各大廠商的 Per-Device PSK 比較：iPSK、DPSK、MPSK 與 PPSK（以及 WPA3 支援）

每個裝置專屬 PSK 廠商大比拼：iPSK、DPSK、MPSK 與 PPSK 比較，以及 WPA3 支援。Purple 技術簡報。 簡介與背景。 歡迎收看 Purple 技術簡報系列。我將帶您深入瞭解目前企業 WiFi 中最實用且最常被誤解的主題之一：每個裝置專屬的預先共用金鑰（per-device pre-shared keys）。具體來說，我們將比較各大廠商如何實作此功能、他們的命名方式、其實際的運作原理，以及至關重要的一點：當您嘗試移轉至 WPA3 時會發生什麼事。 如果您是 IT 經理、網路架構師或場域營運總監，負責管理飯店、零售連鎖店、體育場或公共部門園區的 WiFi，這篇簡報就是為您準備的。您可能已經遇過這一大堆縮寫：iPSK、DPSK、MPSK、PPSK。它們指的都是同一個概念——在單一 SSID 上為每個裝置或使用者提供其專屬的唯一密碼——但實作方式卻大不相同，而這些差異在您規劃下一次基礎設施更新時至關重要。 讓我們從基本原理開始，然後逐一分析各家廠商，最後探討目前大家都在努力解決的 WPA3 問題。 技術深度解析。 那麼，什麼是每個裝置專屬 PSK？它為什麼存在？ 傳統的 WPA2-Personal 在整個 SSID 中使用單一的共用密碼。您訪客網路上的每個人都使用相同的密碼。這會帶來兩個問題。首先，您無法在不變更所有人密碼的情況下，撤銷單一裝置的存取權限。其次，您無法針對單一裝置進行可視化管理或原則執行。每個裝置專屬 PSK 解決了這兩個問題。每個裝置或使用者都會獲得唯一的憑證。您可以撤銷其中一個，而不會影響其他憑證。您可以為每個金鑰分配不同的 VLAN、頻寬原則或存取排程。這是介於 WPA2-Personal 的簡易性與完整 802.1X 企業級驗證的複雜性之間的折衷方案。 現在讓我們來看看各家廠商是如何實作此功能的。 Cisco Meraki 將其稱為 iPSK（Identity Pre-Shared Key）。Meraki 支援兩種模式。在沒有 RADIUS 的情況下，您最多可以直接在 Meraki 儀表板中設定五個唯一的 PSK，每個 PSK 都對應到一個 VLAN。這可以快速設定，且不需要外部基礎設施。搭配 RADIUS（通常是 Cisco ISE）使用時，您可以擴充至數千個金鑰。用戶端進行關聯，AP 將 MAC 位址和 PSK 提示傳送到 RADIUS 伺服器，伺服器傳回正確的每個裝置專屬金鑰，然後使用該金鑰作為成對主金鑰（Pairwise Master Key）來完成標準的 WPA2 四向交握。這裡的核心重點是，執行查閱的是 RADIUS 伺服器，而不是 AP。AP 只是協助進行此交換過程。 HPE Aruba 稱其為 MPSK（Multiple Pre-Shared Key，多重預共用金鑰）。Aruba Central 和 Aruba Instant 支援兩種模式的 MPSK：MPSK Local（金鑰儲存在控制器或 AP 叢集上）以及搭配 ClearPass（Aruba 的 RADIUS 和原則引擎）的 MPSK。ClearPass 可容納數萬個金鑰、指派動態 VLAN，並針對每個金鑰套用基於角色的原則。其驗證流程與 Meraki 的 RADIUS 模式基本相同：在四向交握之前，基於 MAC 的查閱會傳回每台裝置的金鑰。 Ruckus（現為 CommScope 的一部分）稱其為 DPSK（Dynamic Pre-Shared Key，動態預共用金鑰）。這可說是市場上最成熟的實現方式。Ruckus DPSK 自早期的 SmartZone 時代起就已推出。在本地模式下，DPSK 服務在控制器上執行並保存金鑰資料庫。在 RADIUS 模式下，它與 Cloudpath（Ruckus 自家的網路存取控制平台）整合。Ruckus 的獨特之處在於 DPSK3（其 DPSK 的 WPA3 擴充版本，我們稍後會再提及）。DPSK3 適用於執行韌體 7.0 或更新版本的 Wi-Fi 6、6E 和 7 基地台，並以 WPA2/WPA3 混合模式運作。 Juniper Mist 稱其為 PPSK（Private Pre-Shared Key，私有預共用金鑰），有時也稱為 Multi-PSK。Mist 將金鑰儲存在雲端（Mist 組織或站點金鑰資料庫中），每個站點限制為 5,000 個金鑰。金鑰可以按使用者、按裝置或按群組進行指派。Mist 還與其 Access Assurance 服務（雲端原生 NAC）整合，增加了基於 RADIUS 的 PSK 查閱。至關重要的是，Juniper 已宣布透過 Access Assurance 支援 WPA3 RADIUS PSK，允許單一 WPA3-Personal SSID 提供多個密碼。這是市場上較具前瞻性的實現方式之一。 Extreme Networks（已收購 Aerohive）透過 ExtremeCloud IQ 稱其為 PPSK（Private Pre-Shared Key，私有預共用金鑰）。Extreme 的實現方式支援在 AP 本身進行本地金鑰儲存，這對於連線能力有限的分支機構或遠端站點非常有用。它還支援透過 ExtremeCloud IQ 的雲端 RADIUS 服務進行基於 RADIUS 的查閱。此外也提供 MAC 綁定功能，可將 PPSK 綁定到特定的裝置 MAC 位址以提高安全性。 Fortinet 稱其為 MPSK（Multiple Pre-Shared Key，多重預共用金鑰），透過 FortiAP 和 FortiGate 無線控制器進行管理。Fortinet 的實現方式值得注意，因為自 FortiAP 韌體 8.0 起，它在其 MPSK 設定檔中明確支援 WPA3-SAE 和 WPA3-SAE 轉換安全模式。您可以建立具有 WPA3-SAE 金鑰的 MPSK 設定檔，將其指派給 VAP，並啟用每個金鑰的動態 VLAN 指派。這是目前最乾淨俐落的 WPA3 MPSK 實現方式之一。 Ubiquiti UniFi 稱其為私有預共用金鑰（Private Pre-Shared Keys，或 Private PSK）。UniFi 的實作僅限於本地端——金鑰儲存在 UniFi Network 控制器中，而非外部 RADIUS 伺服器。您可以為每個金鑰分配不同的 VLAN，並設定每個金鑰的用戶端限制。其重大限制在於：截至 2026 年中，UniFi Private PSK 僅適用於 2.4 GHz 和 5 GHz 的 WPA2 網路，不支援 WPA3 和 6 GHz。對於較小規模的部署，這沒有問題，但在您決定大規模投入 UniFi 設備之前，這是個值得了解的限制。 現在，來談談 WPA3 的問題。這正是技術上有趣的地方。 WPA2-Personal 使用四向交握（four-way handshake）。用戶端與 AP 從共享的成對主金鑰（Pairwise Master Key，PMK）中衍生出成對暫時金鑰（Pairwise Transient Key），而 PMK 本身又是從密碼衍生而來。由於 PMK 的衍生發生在 RADIUS 查詢之後，AP 可以在該時間點替換為每個裝置專屬的金鑰。標準規範並不在意這一點——它只看是否有有效的 PMK。 WPA3-Personal 則以 SAE（Simultaneous Authentication of Equals，對等同時認證）取代了四向交握。SAE 是一種基於 Diffie-Hellman 的協定。在關聯完成之前，雙方都會承諾使用一個由密碼衍生出的共享密碼元素。關鍵差異在於：在 SAE 交換開始之前，雙方都必須已知該密碼。在該協定中，RADIUS 伺服器無法在任何時間點為每個裝置注入不同的金鑰。AP 和用戶端此時已經在使用單一共享值進行加密互動。 這就是為什麼 WPA3 在其標準形式下，目前每個 SSID 僅允許一個金鑰。這不是韌體限制，而是協定本身的限制。 解決方案主要分為以下三類： 第一，WPA3 過渡模式（WPA3 transition mode）——也稱為 WPA2/WPA3 混合模式。SSID 同時廣播 WPA2-PSK 和 WPA3-SAE。WPA2 用戶端使用四向交握，並可透過 RADIUS 接收每個裝置專屬的金鑰。WPA3 用戶端則使用帶有單一共享密碼的 SAE。這是目前部署最廣泛的方法，並受到 Cisco Meraki、HPE Aruba、Ruckus 等廠商的支援。 第二，專有擴充功能。Ruckus DPSK3 是最明顯的例子。透過以 Cloudpath 作為 RADIUS 後端運行 WPA2/WPA3 混合模式，DPSK3 允許支援 WPA3 的裝置使用 SAE，同時系統透過 Cloudpath 整合來管理每個裝置的金鑰綁定。Juniper 的 Access Assurance WPA3 RADIUS PSK 也採用了類似的方法。Fortinet 的 MPSK 搭配 WPA3-SAE 過渡模式，則可讓您在同一個 MPSK 設定檔中混合使用 WPA2-Personal 和 WPA3-SAE 金鑰。 第三，轉向 802.1X。對於受控端點——企業筆記型電腦、員工裝置，以及任何您可以推送憑證的裝置——採用 EAP-TLS 的 WPA3-Enterprise 是最乾淨俐落的解答。它完全相容於 WPA3 和 6 GHz，提供每個裝置的身份識別，並可與 Microsoft Entra ID、Okta 和 Google Workspace 整合。其代價是部署的複雜性以及對憑證基礎架構的需求。 實作建議與常見陷阱。 那麼，您實際上應該怎麼做？ 如果您正在營運一家混合了房客裝置、IoT 感測器和員工裝置的飯店物業，2026 年最務實的解決方案是採用混合 SSID 設計。針對舊型 IoT 和房客裝置，保留使用每裝置 PSK 的 WPA2-Personal SSID。針對您所控制的員工裝置，則執行 WPA3-Enterprise SSID。在您的主要房客 SSID 上使用過渡模式，以同時支援 WPA2 和 WPA3 用戶端，而不會使您的 SSID 數量變得零碎。 如果您使用的是 Ruckus 且執行 Wi-Fi 6 或更新的硬體，那麼在 WPA2/WPA3 混合模式下搭配 Cloudpath 的 DPSK3 非常值得評估。它能為您提供目前最接近原生 WPA3 每裝置 PSK 的體驗。 如果您使用的是 Fortinet，搭配 WPA3-SAE 過渡模式的 MPSK 設定檔配置起來非常直觀，並能為您提供清晰的遷移路徑。 如果您使用的是 UniFi，請向您的專案關係人明確說明 Private PSK 僅支援 WPA2。對於部署具有 6 GHz 頻段之 Wi-Fi 6E 或 Wi-Fi 7 的場域，您需要針對該頻段採用不同的驗證策略。 我們最常看到的陷阱是團隊假設在現有的每裝置 PSK SSID 上啟用 WPA3 就能直接運作。事實並非如此。請先在試點場域進行測試。檢查您的 AP 韌體版本——例如，Ruckus 上的 DPSK3 需要 7.0 或更高版本的韌體。並檢查您的 RADIUS 伺服器相容性——混合模式下的 Ruckus DPSK3 具體需要 Cloudpath，而非一般的 RADIUS 伺服器。 第二個陷阱是金鑰擴張。每裝置 PSK 對於責任追溯非常有用，但前提是您必須擁有在裝置報廢時撤銷金鑰的流程。如果沒有生命週期管理，您最終會面臨數千個孤立的金鑰且沒有稽核軌跡。從第一天起，就將您的金鑰佈署與裝置管理工作流程整合。 快速問答。 我可以在 6 GHz SSID 上使用每裝置 PSK 嗎？不行。6 GHz 強制要求僅限 WPA3，而 WPA3 原生不支援每裝置 PSK。對於需要每裝置 PSK 的裝置，請使用 802.1X 或獨立的 2.4/5 GHz SSID。 每裝置 PSK 是否符合 PCI DSS 要求？如果每個金鑰都對應到隔離的 VLAN，則 WPA2 上的每裝置 PSK 可以滿足 PCI DSS 4.0 網路分割要求。但 PCI DSS 強烈建議在持卡人資料環境中使用 802.1X。請與您的 QSA 確認。 每個 SSID 的最大金鑰數量是多少？這有很大的差異。搭配 ISE 的 Cisco Meraki 支援非常大型的部署。Ruckus DPSK 支援數萬個金鑰。Juniper Mist 限制為每個場域 5,000 個。UniFi 實際上受限於控制器記憶體。請務必針對您的特定韌體版本查閱廠商文件。 Purple 在其中扮演什麼角色？Purple 作為雲端覆蓋層，部署在您現有的硬體之上。我們與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 進行整合。針對 Guest WiFi 和 Staff WiFi 部署，Purple 負責處理身分識別層（驗證、數據擷取、同意管理），並透過 RADIUS 或 API 將相應的 VLAN 或策略指派傳回您的硬體。您保留現有的單一裝置 PSK 基礎架構；Purple 則在之上增添身分識別與分析層。 摘要與後續步驟。 讓我們來做個總結。 單一裝置 PSK（無論您稱其為 iPSK、DPSK、MPSK 還是 PPSK）是所有主要企業級 WiFi 廠商皆提供、成熟且支援良好的功能。各家實作方式的差異在於金鑰儲存位置、擴充方式以及與 RADIUS 的整合方式。 WPA3 的 SAE 協定對單一裝置 PSK 造成了實質上的技術限制。該標準原生並不支援此功能。目前的實際解決方案是採用過渡模式、如 DPSK3 等專有擴充功能，或是針對支援的裝置轉用 802.1X。 各廠商摘要：Cisco Meraki iPSK 在 RADIUS 模式下與 ISE 搭配運作良好；WPA3 支援是透過過渡模式實現。HPE Aruba MPSK 搭配 ClearPass 具有高度可擴充性；WPA3 MPSK 目前正在積極開發中。Ruckus DPSK3 是目前最成熟的 WPA3 單一裝置 PSK 解決方案。Juniper Mist Access Assurance 增加了 WPA3 RADIUS PSK。Fortinet MPSK 在其 MPSK 設定檔中明確支援 WPA3-SAE。Extreme PPSK 在本地和 RADIUS 模式下表現穩健。UniFi Private PSK 僅限 WPA2 且僅限本地。 關於您的後續步驟：稽核您目前的單一裝置 PSK 部署、識別哪些裝置支援 WPA3，並設計一個能同時滿足兩者的混合 SSID 策略。如果您正在規劃硬體更新，請優先考慮已確認支援 DPSK3 或 WPA3 MPSK 的 Wi-Fi 6 或 Wi-Fi 7 AP。 如果您想了解 Purple 如何與您的特定硬體廠商整合，在您的單一裝置 PSK 部署之上增添身分識別管理與分析功能，請造訪 purple.ai 或聯絡您的客戶團隊。 本次簡報到此結束。感謝您的聆聽。