PPSK 12：比較功能與部署模型

歡迎來到 Purple 技術簡報。今天我們將討論 PPSK 12 - 即預共享金鑰長度至少 12 個字元的 Private Pre-Shared Key - 並為物業開發商、房東和共生住宅（build-to-rent）營運商比較其功能與部署模式。 首先讓我們來看背景脈絡。如果您正在管理一棟擁有 50、100 或 300 個單元的住宅大樓，您會面臨一個不論是共用密碼或完整的企業級 802.1X 部署都無法完美解決的 WiFi 問題。使用共用密碼意味著每個住戶都在同一個網路中。一旦有人搬走，您更換了密碼，就會破壞其他所有住戶的智慧家庭設定。完整的 802.1X 是企業託管裝置的金科玉律，但它需要公鑰基礎建設、憑證管理，以及在每台裝置上進行 supplicant 設定。而您住戶的 Chromecast、智慧音響和遊戲主機根本無法做到這一點。 PPSK 恰好介於這兩個極端之間。每位住戶都會獲得自己專屬且唯一的預共享金鑰 - 長度至少 12 個字元，混合大小寫字母、數字和符號。所有住戶都連線到同一個 SSID。從住戶的角度來看，這感覺就像家裡的 WiFi 網路。從您作為營運商的角度來看，每個連線都是被單獨識別、單獨加密且可以單獨撤銷的。 第一部分：技術架構。 當裝置連線到啟用 PPSK 的 SSID 時，無線區域網路控制器會攔截連線嘗試，並將裝置的 MAC 位址轉發給 RADIUS 伺服器。RADIUS - 即遠端用戶撥入驗證服務 - 是驗證引擎。RADIUS 伺服器在其身分識別庫中尋找該 MAC 位址，並返回 Access-Accept 回應。該回應中嵌入了該住戶唯一的預共享金鑰以及 VLAN 分配。控制器會根據 RADIUS 伺服器返回的金鑰來驗證裝置提供的金鑰。如果兩者相符，裝置就會通過驗證並進入正確的網路區段。 其結果就是我們所說的「單一住戶專屬 WiFi 泡泡」。使用住戶 A 金鑰的每台裝置都能看到使用住戶 A 金鑰的其他所有裝置。他們的手機可以偵測到他們的 Chromecast。他們的智慧音響可以與他們的燈泡配對。他們的遊戲機可以找到他們的電視。使用住戶 A 金鑰的裝置完全無法看到使用其他金鑰的任何裝置。即使住戶 B 的裝置與住戶 A 在同一個實體存取點上，對住戶 A 來說也是隱形不可見的。 各大主要廠商的實作方式都略有不同。Cisco Meraki 稱之為 iPSK - Identity PSK。HPE Aruba 稱之為 MPSK - Multi-PSK。Ruckus 稱之為 DPSK - Dynamic PSK。Juniper Mist 則使用 PPSK。這四家的底層原理完全相同。實作細節的差異僅在於 RADIUS 屬性的結構方式，以及單一 SSID 可以支援多少個唯一的金鑰。關於金鑰長度：最少 12 個字元的要求並非任意制定。WPA2-PSK 金鑰是使用 PBKDF2 與 4,096 次 HMAC-SHA1 迭代衍生而來。短於 12 個字元的金鑰容易受到離線字典攻擊，特別是使用現代 GPU 加速破解工具。在 12 個字元且混合字元類別的情況下，金鑰空間足夠大，可使暴力破解攻擊在計算上不可行。包括 UniFi 在內的部分平台在 UI 層面強制執行此最小值。無論平台是否要求，您都應該在金鑰產生原則中強制執行此要求。 第二部分：部署模式。 PPSK 有三種部署架構，選擇合適的架構取決於您的物業組合和團隊的能力。 第一種是雲端 RADIUS。您的存取點針對託管在雲端（通常跨多個可用區域）的 RADIUS 服務進行驗證。對於多站點物業組合（例如在多個城市擁有物業的 BTR 營運商）來說，這是正確的選擇。雲端 RADIUS 消除單一站點硬體、自動化憑證輪換並彈性擴充。Purple 平台在其驗證基礎架構上提供 99.999% 的可用性。權衡之處在於對 WAN 的依賴：如果某個站點的網際網路連線中斷，新裝置在連線恢復之前將無法進行驗證。可以使用 SD-WAN 和控制器上的本機憑證快取來緩解此問題。 第二種是地端 RADIUS。RADIUS 伺服器 - 通常是 Microsoft NPS 或 FreeRADIUS - 運行在物業的硬體或虛擬機器上。這為您提供低於毫秒級的驗證延遲、完整的資料主權且無 WAN 依賴。對於具有嚴格資料落地要求的大型單一物業，或網際網路連線不穩定的環境，這是正確的選擇。營運成本較高：您的團隊需要管理修補程式、憑證輪換和伺服器健康狀況。憑證過期是地端部署中導致完全驗證中斷最常見的原因。請從第一天起就將自動憑證更新建置到您的運作手冊中。 第三種是混合模式。雲端 RADIUS 處理訪客和 IoT SSID。地端 RADIUS 處理任何針對內部 Active Directory 進行驗證的企業或員工 SSID。對於混合用途開發項目（例如設有地面零售或共享工作空間的 BTR 大樓），這是一個務實的模式。Purple 平台原生支援此混合模式，可運行在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 和 Fortinet 存取點上。 第三部分：金鑰生命週期管理。 技術是簡單的部分。金鑰生命週期管理才是部署在營運上成功與否的關鍵。 在入住時，系統會自動生成並配發住戶專屬的唯一密鑰 - 理想情況下是透過與您的物業管理系統進行 API 整合來完成。住戶會透過歡迎郵件或住戶應用程式收到該密鑰。其所有裝置均使用該單一密鑰進行連線。在退租時，該密鑰會被撤銷。這不會影響任何其他住戶，既不需要輪換密碼，也不會產生任何支援工單。 在租期內，住戶會新增裝置。正確的方法是提供一個自助服務入口網站或住戶應用程式，將住戶現有的密鑰發行給新裝置 - 且不會將該密鑰洩露給其他住戶。Purple 的平台開箱即用，直接提供此工作流程。 關鍵的營運風險是 MAC 位址隨機化。基於隱私考量，iOS 14 及更新版本、Android 10 及更新版本以及 Windows 11 預設都會將 MAC 位址隨機化。如果裝置提供隨機化的 MAC，您的 RADIUS 伺服器將找不到相符的記錄並拒絕連線。解決方案是設定您的 SSID，要求用戶端使用其裝置的永久 MAC 位址，或實施預先註冊工作流程。這必須從第一天起就納入您的部署計劃中，而不是在正式上線時才發現。 第四部分：WPA3 與 6 GHz 的考量。 特別說明一下 WPA3，因為這是我常看到營運商在規劃上犯錯的地方。目前實施的 PPSK 依賴 WPA2-PSK 的四向交握機制。WPA3 引入了 SAE（等同同時驗證），這改變了交握機制。SAE 目前每個 SSID 僅支援一個密鑰。這意味著純 WPA3 SSID 無法支援多個唯一的預先共用金鑰。 在 WiFi 6E 引入的 6 GHz 頻段中，WPA3 是強制要求的。您完全無法在 6 GHz 頻段中執行 WPA2。因此，如果您正在部署 WiFi 6E 或 WiFi 7 無線基地台，且希望使用 6 GHz 頻段，那麼目前在該頻段無法使用 PPSK。 針對 2025 年和 2026 年部署的實用建議是採用雙頻策略。在 2.4 GHz 和 5 GHz 頻段上執行您的 PPSK SSID，並使用 WPA2 或 WPA2/WPA3 轉換模式。在 6 GHz 頻段上則為支援的託管裝置使用獨立的 WPA3-Enterprise SSID。這既能為廣大裝置群提供 PPSK 的每戶隔離優勢，又能為可使用 WPA3 的裝置提供更高等級的安全保障。包括 Cisco Meraki、HPE Aruba 和 Juniper Mist 在內的供應商正積極開發相容於 WPA3 的 PPSK 實作方案。 第五部分：合規性與資料隱私。 與訪客 WiFi 相比，住宅環境中的 PPSK 部署涉及更為敏感的隱私背景。住戶與您維持著長期的關係，資料曝露的時間長達數年，而非數分鐘。 在 GDPR 規範下，住戶隔離本身就是一項隱私要求。您有責任防止某位住戶發現或與另一位住戶的裝置進行互動。PPSK 就是實現這一點的技術機制。針對每位住戶分配 VLAN，可確保即使在共享的實體基礎架構上，也能實現 Layer 2 隔離。 驗證記錄的保留時間應僅限於安全和營運所需的時間。對於住宅部署，六個月是常見的上限。Purple 將數據存儲在可選擇的區域中，支持英國、歐盟和美國的數據落地要求。 對於擁有地面零售或餐飲租戶的 BTR 營運商，PCI DSS 至關重要。具有每租戶 VLAN 分配的 PPSK 允許您證明付款處理設備位於加密隔離的分段上，即使在共享的實體基礎設施上也是如此。與共享密碼部署相比，這是一個顯著的合規優勢。 第六部分：快速問答。 單個 SSID 可以支持多少個唯一的金鑰？這取決於控制器。Cisco Meraki 在沒有 RADIUS 的情況下每個 SSID 最多支持 5,000 個 iPSK，而在有 RADIUS 的情況下實際上沒有限制。Ruckus DPSK 每個區域支持數千個。在實踐中，限制因素是您的 RADIUS 伺服器數據庫容量和查詢效能，而不是無線控制器。 PPSK 是否適用於 IoT 設備？是的。IoT 設備 - 智慧音響、恆溫器、感測器、鎖 - 使用住戶的金鑰進行連接，與任何其他設備完全相同。它們會進入住戶的 VLAN，並可以發現使用相同金鑰的其他設備。這是 PPSK 成為 BTR 和 MDU 部署正確架構的首要原因，因為在這些部署中，每戶 15 到 25 台設備已成為常態。 商業案例是什麼？根據英國房地產聯盟（British Property Federation）的 BTR 研究，具有每住戶隔離功能的託管 WiFi 便利設施每月可帶來每單位 15 到 30 英鎊的租金溢價。當入住時 WiFi 在第一天就準備就緒時，空置期可減少五到十天。當正確部署 PPSK 時，Chromecast 和智慧家居問題的支援工單量會降至接近零。 總結與後續步驟。 PPSK 具有 12 個字元的最小金鑰長度，是 BTR、MDU、學生宿舍和社會住宅部署的正確 WiFi 驗證架構。它提供每住戶隔離、完整的 IoT 支援和自動化的金鑰生命週期管理，而無需 802.1X 的基礎設施開銷。 為多站點群組選擇雲端 RADIUS。為具有數據主權要求的單個大型物業選擇本地 RADIUS。為混合用途開發項目使用混合模式。 從第一天起就為 MAC 地址隨機化做好規劃。在 WPA3 相容的 PPSK 實施成熟的同時，為 WiFi 6E 和 WiFi 7 部署制定雙頻策略。 本季要做的三件事：根據這些標準審計您當前的驗證模型、評估您的 RADIUS 基礎設施，並定義您的金鑰生命週期管理工作流程，包括與您的物業管理系統集成。 Purple 的 Multi-Tenant WiFi 平台在您已擁有的存取點上運行，覆蓋 80,000 個即時場地，並在其驗證基礎設施上提供 99.999% 的正常執行時間。感謝您參加本次 Purple 技術簡報。