Logo guild iPSK: a comprehensive guide for businesses

歡迎來到 Purple 技術簡報。今天我們要介紹的是 iPSK (Identity Pre-Shared Key，身分預共用金鑰)，以及為什麼它已成為物業開發商、BTR (合租代管) 營運商和多住戶住宅開發案的終極 WiFi 安全模型。 讓我先從您實際想要解決的問題開始。 您管理一個 Build-to-Rent (建屋出租) 開發案。可能是 100 個單元，也可能是 500 個。您希望每位住戶從第一天起就能擁有安全、私密的 WiFi。您不想在每個公寓都安裝一台獨立的路由器。您不想管理數百個獨立的網路。而且您絕對不能讓住戶 A 在網路上瀏覽住戶 B 的智慧電視。 標準的 WPA2-PSK (即共用密碼模型) 在這種規模下會立即失效。整個建築使用一個密碼意味著一次漏洞就會影響到所有人。而且您無法在不為所有人變更密碼的情況下，單獨撤銷單一住戶的存取權限。這在營運上是不可能的。 另一個極端是採用 802.1X 的 WPA3-Enterprise。非常安全。但它需要為每台裝置提供數位憑證或使用者名稱與密碼憑證。您住戶的遊戲主機、智慧喇叭和恆溫器根本無法連線到 802.1X 網路。它們沒有用戶端軟體 (supplicant)。您每天都會接到接不完的支援電話。 iPSK 恰好介於兩者之間。每位住戶都會獲得自己專屬的預共用金鑰。對住戶來說，它的外觀和使用體驗與家用 WiFi 密碼完全相同。他們只需輸入一次，其擁有的每台裝置就能連線。然而，在幕後，無線存取點會向 Purple 雲端發送包含用戶端 MAC 位址的 RADIUS 請求。我們的 RADIUS 伺服器會查詢該 MAC，找到相符的授權設定檔，並傳回正確的 PSK。接著，存取點會使用該個人金鑰來驗證連線。 結果是：整個建築只需一個 SSID，但每位住戶都被隔離在自己專屬的私有網路區段中。 現在讓我帶您瞭解一下架構，因為這才是真正強大之處。 驗證流程分為四個步驟。首先，用戶端裝置向存取點發送關聯請求。第二，無線控制器 (無論是 Cisco Meraki、HPE Aruba、Ruckus 還是 Juniper Mist) 會向 Purple 雲端發送包含用戶端 MAC 位址的 RADIUS Access-Request。第三，我們的 RADIUS 伺服器會評估授權原則。它會將 MAC 位址與住戶記錄進行比對，擷取指派的 PSK，並傳回包含該住戶 VLAN ID 的 Access-Accept 回應。第四，存取點將用戶端分配到其專屬的 VLAN 中。 從住戶的角度來看，這與標準的家用 WiFi 連線毫無二致。複雜性完全留在伺服器端。這就是 iPSK 的優雅之處。 透過 RADIUS 進行 VLAN 覆蓋意味著住戶 A 進入 VLAN 101，住戶 B 進入 VLAN 102，而您的建築物 IoT 設備、門禁感應器、CCTV、智慧電表則位於完全隔離的 VLAN 上，絕無交叉感染。 簡單介紹一下我們所說的私有區域網路 (Private Area Network) 或 PAN。這是圍繞每個住戶設備建立的虛擬泡泡。雖然數百名住戶共享同一個 WiFi 基礎設施，但 iPSK 可確保 Layer 2 隔離。住戶 A 的手機可以看見自己的 Chromecast 和印表機。隔壁公寓的住戶 B 則完全無法看見或與這些設備進行互動。 這也啟用了一項名為 mDNS 反射 (mDNS Reflection) 的功能，允許設備在其私有區段內互相探索。因此，將 Netflix 投影到 Chromecast 可以完美運作，就像在家庭路由器上一樣，但不會外溢到走廊或任何其他住戶的網路中。 現在讓我將 iPSK 與其他替代方案進行比較，因為身分驗證模型的選擇是您在網路設計中會做出的最重要決策之一。 標準 PSK (WPA2-Personal) 提供簡單性。每個人都使用相同的密碼。但這沒有集中控制。如果一個住戶洩漏了密碼，整個網路都會面臨風險。當住戶搬離時更換密碼會影響到所有其他住戶。在擁有 200 個住戶的規模下，這是無法管理的。 802.1X EAP-TLS 是高安全性的企業標準。它提供基於每台設備憑證的身分驗證。您可以立即撤銷個別存取權限。但它需要憑證授權單位、憑證管理，並且在每台設備上都需要安裝支援程式。遊戲主機、智慧電視、Amazon Alexa 設備，這些都不支援 802.1X。在住宅環境中，這根本行不通。 iPSK 為您提供 802.1X 的單一設備身分識別，同時兼具家用密碼的營運簡單性。它支援 100% 的設備，包括住戶擁有的每一台無螢幕的 IoT 設備。而且因為生命週期已自動化，它可以擴展到數千個住戶，而不會增加管理負擔。 各家廠商的術語有所不同，了解其對等術語很有幫助。HPE Aruba 稱此為 MPSK (Multi-PSK)。Ruckus 和 Juniper Mist 使用 DPSK (Dynamic PSK)。Ubiquiti UniFi 稱其為 PPSK (Private PSK)。這個概念在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 之間是完全相同的。Purple 在所有這些平台上部署為雲端重疊。您不需要更換您的無線存取點。 現在讓我帶您了解實作過程，因為這正是部署容易出錯的地方。 第一個也是最常見的錯誤是 DHCP 範圍估算不足。網路工程師有時會為每個公寓分配一個 /28 子網路以節省 IP 位址空間。這只有 14 個可用位址。到了 2026 年，一對住在租賃住宅（BTR）公寓的夫妻在週二前就會用完這 14 個 IP。手機、筆記型電腦、平板電腦、智慧電視、遊戲主機、智慧喇叭、幾個智慧燈泡。在他們邀請朋友來訪之前，就已經使用了八個裝置。請務必為每位住戶預設使用 /24 子網路。 第二個關鍵細節是客戶端隔離。您必須確保在住戶的 VLAN 內禁用客戶端隔離。如果您保持啟用客戶端隔離，就會破壞 iPSK 旨在實現的智慧家庭功能。使用相同金鑰的裝置將無法相互通訊，而您整個星期都將在處理 Chromecast 的支援工單。 第三個考量是漫遊。如果住戶從四樓的公寓走到一樓的健身房，他們的連線需要保持不中斷。這意味著他們特定的 VLAN 必須主幹傳輸（trunked）到健身房的存取點，或者您需要將流量建立通道傳回中央控制器。這是初始部署中常見的疏忽。 現在來談談最棘手的問題：WPA3 和 6 GHz 頻段。 WiFi 6E 和 WiFi 7 強制在 6 GHz 頻段上使用 WPA3 安全性。WPA3 以等同對等認證（SAE）取代了舊有的四向交握。問題在於，針對 SAE 的 IEEE 802.11 標準目前不支援像 WPA2 那樣在單一 SSID 上使用多個密碼。這不是 Cisco Meraki 的問題，也不是 Aruba 的問題。這是根源於 IEEE 標準本身的全業界限制。 目前最佳的做法是採用混合方法。在 2.4 和 5 GHz 頻段上為舊型裝置和 IoT 硬體保留 WPA2 iPSK SSID。對於 6 GHz 頻段，則為託管的企業端點部署一個使用 802.1X 的獨立 SSID。 另外還有 MAC 位址隨機化的挑戰。Apple iOS 14 和 Android 10 引入了針對每個網路的隨機化 MAC 位址。在基於 MAC 的 iPSK 部署中，存取點會將隨機化的 MAC 傳送到 RADIUS 伺服器。伺服器無法識別它，導致驗證失敗。Cisco Meraki 的 Easy PSK 模式主要透過 EAPOL 參數而非 MAC 查詢來進行驗證，從而解決了這個問題。如果您使用的是 Meraki 且擁有 iOS 或 Android 客戶端，請使用 Easy PSK 模式。 以下兩個真實世界的情境能讓這點更加具體。 場景一：一個擁有 350 個單元的「租賃專用住宅」（Build-to-Rent）開發項目。營運商希望住戶在入住當天前就能收到他們的 WiFi 憑證。Purple 的 Multi-Tenant WiFi 平台與物業管理系統相整合。簽署租約時，PMS 會觸發對 Purple 的 API 呼叫，隨後自動產生並配置一個唯一的 iPSK。住戶透過電子郵件收到他們的金鑰。他們在入住第一天走進去，連接所有裝置，網路就立即啟動。當他們搬出時，該金鑰會自動撤銷。設施團隊完全無需手動干預。與之前的共享密碼模式相比，營運商減少了 60% 以上與 WiFi 相關的支援電話。 場景二：一家擁有 180 間客房的酒店。酒店希望消除賓客反覆抱怨的 Captive Portal 登入流程。使用 iPSK，每間客房都會收到一個列印在房卡上或透過預訂確認郵件發送的唯一金鑰。賓客只需連接一次。在同一次住宿期間的後續訪問中，他們的手機、平板電腦和筆記型電腦都會自動加入網路。客房內的 IoT 裝置位於獨立的 VLAN 上，與賓客流量相隔離。金鑰在辦理入住時產生，並在辦理退房時撤銷，前台無需執行任何手動步驟。 現在進行快速問答。 iPSK 可以不用 Cisco ISE 運作嗎？可以。FreeRADIUS 和 Microsoft NPS 都支援 iPSK 所需的 Tunnel-Password 屬性。Purple 作為 RADIUS 伺服器運作，因此您完全不需要部署或管理自己的 RADIUS 基礎架構。 iPSK 是否符合 PCI DSS 標準？iPSK 支援 PCI DSS 4.0 的網路分段要求。持卡人數據環境必須與賓客和 IoT 網路隔離。iPSK 的 VLAN 覆寫功能正是實現這種分段的機制。 商業案例是什麼？英國房地產聯合會（British Property Federation）的研究指出，在英國的 Build-to-Rent 開發項目中，託管 WiFi 每月可為每個單元帶來 15 至 30 英鎊的租金溢價。您還可以消除住戶等待 ISP 工程師期間 5 到 10 天的空置期。 總結來說，iPSK 在單一 SSID 上為您提供每台裝置的身份識別，而無需 802.1X 憑證的複雜性，也免除了共享密碼的安全漏洞。對於 Build-to-Rent、酒店、零售以及任何需要隔離流量、自動化存取生命週期並支援每種裝置類型的多租戶環境，這都是正確的模式。 在您出發前的五個規則。第一：如果您在單一 SSID 上有超過 50 台裝置或使用者，且需要每台裝置的存取控制，iPSK 幾乎無疑是正確的模式。第二：在配置 iPSK 之前，務必規劃您的 VLAN 架構。第三：如果您在 Cisco Meraki 上使用 iOS 或 Android 用戶端，請使用 Easy PSK 模式。第四：部署 iPSK 時，切勿缺少生命週期管理層。第五：現在就規劃您的 WPA3 遷移。Purple 的 Multi-Tenant WiFi 平台負責處理生命週期自動化的部分，將您的物業管理系統或身分識別提供者連接至您的硬體，並在超過 80,000 個實際營運場域中（且持續增加中）實現大規模的金鑰自動配置與撤銷。 如果您想進一步深入瞭解，無論是架構審查、設定演練還是試點部署，指南中皆附有與我們團隊聯絡的連結。感謝您的聆聽。