PPSK WPA3: comparing features and deployment models

歡迎來到 Purple 技術簡報。我是您的主持人，今天我們要探討一個幾乎每位在多租戶物業、旅宿業或零售業工作的網路架構師都會面臨的問題：PPSK 與 WPA3 究竟該如何比較，以及哪種部署模式最適合您的環境？ 讓我們從背景脈絡開始。如果您是物業開發商、租賃物業營運商，或管理共享 WiFi 基礎設施住宅區的房東，您可能都聽過這兩個詞。PPSK（代表 Private Pre-Shared Key）以及 WPA3（Wi-Fi Alliance 的最新一代 WiFi 安全性標準）。它們常被討論得像是相互競爭的技術，但事實並非如此。它們解決的是不同的問題。而且在許多部署中，您兩者都需要。 所以在深入探討之前，讓我們清楚定義這些術語。 WPA3 是一項安全認證標準，由 Wi-Fi Alliance 於 2018 年批准。它主要有兩種版本：WPA3-Personal，它以稱為 SAE - Simultaneous Authentication of Equals 的機制取代了舊有的 Pre-Shared Key 機制；以及 WPA3-Enterprise，它建構於 802.1X 框架之上，並為高安全性環境引入了選配的 192 位元密碼編譯套件。 WPA3-Personal 的關鍵改進在於 SAE 消除了解除安裝後的字典攻擊。在 WPA2 中，如果攻擊者在裝置連接到您的網路時截獲了四向交握，他們就可以帶走該資料，並無限期地使用暴力破解工具進行破解，而無需再次接觸您的網路。SAE 徹底阻止了這種情況。每次嘗試猜測密碼都需要與基地台進行主動互動。這使得離線破解在實際上變得不可行。 WPA3 還強制要求使用受保護的管理幀（Protected Management Frames，簡稱 PMF，定義於 IEEE 802.11w）。這可以保護裝置與基地台之間的管理流量免受偽造和重放攻擊。在 WPA2 中，PMF 是選配的；而在 WPA3 中，它是強制要求的。 現在，我們來談談 PPSK。Private Pre-Shared Key 是一項專利技術 - 「專利」這個詞很重要，我們稍後會再談到。其核心概念很簡單：與其讓 SSID 上的每個裝置共用一個密碼，每個裝置或每個使用者都會獲得一個專屬的密碼。不同的廠商有不同的品牌名稱。Cisco 稱之為 iPSK。Extreme Networks 稱之為 PPSK。Ruckus 稱之為 DPSK。Juniper Mist 稱之為 Multi-PSK。HPE Aruba 稱之為 MPSK。Cambium 稱之為 ePSK。但所有這些技術的底層機制都是相同的。 以下是其技術運作方式。在標準的 WPA2-Personal 中，Pre-Shared Key 是使用 802.11i 標準中定義的公式從您的密碼中推導出來的。使用相同密碼的每個裝置都會推導出相同的 PSK。在 PPSK 實作中，每個專屬密碼都會推導出不同的 PSK。當裝置連線時，基地台或 RADIUS 伺服器會嘗試將每個儲存的 PSK 與四向交握中的訊息完整性檢查（Message Integrity Check）進行比對，直到找到相符的密碼為止。這就是辨識裝置身分的方式。 實際的應用結果是，您可以為 BTR 大樓中的每位住戶、飯店中的每位員工或每個 IoT 裝置類別分配專屬的唯一金鑰，並將該金鑰對應到特定的 VLAN。公寓一號的住戶獲得金鑰 A，對應到 VLAN 10。公寓二號的住戶獲得金鑰 B，對應到 VLAN 20。他們的流量在 Layer 2 進行隔離。他們共用一個 SSID、一組存取點、一個基礎架構 - 但他們無法看到彼此的裝置。 現在這就是 PPSK 與 WPA3 之間的衝突在架構上變得至關重要的部分。而這也是大多數指南一筆帶過的部分。 傳統形式的 PPSK 運行於 WPA2。多重 PSK 機制依賴於 802.11i（即 WPA2 的基礎標準）中定義的四向交握。WPA3-Personal 則使用 SAE 取代了該交握。這兩種機制在協定層級上根本不相容。 這意味著，如果您目前在大多數存取點上設定純 WPA3-Personal SSID，您將無法在同一個 SSID 上同時運行 PPSK。SAE 交握不支援多重 PSK 的嘗試與比對流程。 然而 - 這點非常重要 - 業界正積極解決這個問題。Juniper Mist 的 Access Assurance 平台目前已支援 WPA3 Multi-PSK，採用基於 RADIUS 的方法，其中存取點運行於 WPA3-SAE 模式，並由 RADIUS 伺服器處理每個裝置的金鑰查詢。Cisco 的 iPSK 解決方案同樣支援 WPA3-SAE，透過外部 RADIUS 伺服器儲存 MAC 位址與 PSK 的對應關係。隨著 802.11ax 規範下的 Wi-Fi 6E 引入的 6GHz 頻段，強制要求使用 WPA3。因此，任何針對 6GHz 的佈署都必須尋找相容 WPA3 的 PPSK 解決方案。 這對您佈署決策的實際影響是：如果您使用的是 Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks 或 Fortinet 的硬體，在確定您的安全性架構之前，請先檢查您的廠商目前的韌體是否支援 WPA3 加上多重 PSK。技術發展非常迅速。 讓我們來談談佈署模式。我們在實務中主要看到三種模式。 第一種是不含 RADIUS 的 PPSK，有時稱為本地 PPSK 或基於控制器的 PPSK。PSK 池直接儲存在存取點或無線控制器上。這是最簡單的佈署。不需要外部驗證伺服器。它非常適合較小的場域 - 單一零售分店、成員少於 500 人的共同工作空間或小型住宅區。限制在於規模。大多數基於控制器的實作將 PSK 的數量限制在數百到數千個之內。金鑰管理會變成手動。而且因為金鑰儲存在本地，撤銷遭破解的金鑰需要直接操作控制器。 第二種模型是搭配 RADIUS 的 PPSK。在這種架構下，PSK 池存在於外部 RADIUS 伺服器中。當裝置連接時，無線基地台（AP）會將驗證請求轉發給 RADIUS，RADIUS 會尋找該裝置正確的 PSK 並將其傳回給 AP。這種模型可擴充至數萬台裝置。它與身分驗證提供商（Microsoft Entra ID、Okta、Google Workspace）整合，因此您可以自動化佈署和取消佈署。當住戶搬出 BTR（租賃專用住宅）大樓時，您只需在身分驗證提供商中撤銷其權限，他們的 WiFi 存取權限就會在幾秒鐘內消失。無需手動輪換金鑰。這正是 Purple 的 Multi-Tenant WiFi 平台所採用的架構。 第三種模型是採用 802.1X 的 WPA3-Enterprise。完全不需要 PSK。每台裝置都使用憑證或憑證資訊透過 EAP-TLS 或 PEAP 進行驗證。這是企業環境、醫療保健以及任何有嚴格合規性要求（如 PCI DSS 或 ISO 27001）的黃金標準。其管理開銷較高 - 您需要用於憑證管理的公開金鑰基礎架構，且每台裝置都必須進行註冊。對於住戶自備裝置的 BTR 大樓，這通常不太實際。但對於飯店的員工網路或醫院的臨床裝置群，這就是正確的解決方案。 現在，讓我們看看兩個實際案例，使其更加具體。 案例一。一個擁有 200 個單元的租賃專用住宅（BTR）開發項目。營運商希望每位住戶都擁有自己的私有網路區段，且無法看到鄰近住戶的裝置。他們還需要支援智慧家庭裝置 - 恆溫器、智慧門鈴、智慧喇叭 - 這些通常僅支援 WPA2。此外，他們希望網路管理開銷越低越好。 這裡正確的架構是在 WPA2 或 WPA2/WPA3 過渡模式 SSID 上，搭配使用 RADIUS 的 PPSK。每位住戶在入住時都會獲得一個唯一的密碼，此密碼是透過與 RADIUS 伺服器整合的物業管理系統自動佈署。他們的裝置 - 手機、筆記型電腦、智慧電視 - 使用該密碼進行連接，並進入其專屬的 VLAN。他們的 IoT 裝置則使用獨立的 IoT 密碼進行連接，該密碼會對應到受限制的 IoT VLAN，且無法存取主要的住宅區段。當他們搬出時，物業管理系統會觸發取消佈署。其密碼將被撤銷。存取權限隨之結束。 Purple 的 Multi-Tenant WiFi 平台正是處理此工作流程，並與來自 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 的硬體進行整合。雲端重疊意味著無論現場使用何種硬體，您都可以從單一儀表板管理整個資產。 情境二。一間擁有 150 間客房的飯店。該飯店需要三個獨立的網路區段：供飯店訪客使用的客用 WiFi、供營運設備使用的員工 WiFi，以及供監視器、門禁和空調系統（HVAC）使用的建築管理網路。客用網路必須流暢無阻。員工網路必須安全且可審計。建築管理網路則需要完全隔離。 在此，架構採用三 SSID 設計。客用 SSID 使用支援 SAE 的 WPA3-Personal，或使用帶有機會性無線加密（OWE）的 Enhanced Open 以提供真正的無密碼體驗，並結合 Purple 的 Captive Portal 進行基於同意的登入。員工 SSID 使用帶有 802.1X 的 WPA3-Enterprise，並透過 Microsoft Entra ID 進行身分驗證。建築管理 SSID 則使用 PPSK 搭配專屬 VLAN，並在防火牆端與所有其他流量完全隔離。 現在讓我說明最常見的部署陷阱，因為這正是部署出錯的地方。 第一個是 PMF 相容性。WPA3 強制要求保護管理框架（PMF）。如果您有不支援 PMF 的舊型設備 - 例如舊款條碼掃描器、POS 終端機、某些醫療設備 - 它們將無法連線到純 WPA3 SSID。其症狀是設備看得到網路但無法建立關聯。解決方法是使用 WPA3 轉換模式（允許 WPA2 和 WPA3 用戶端在同一個 SSID 上），或在隔離的 VLAN 上為這些舊型設備提供專屬的 WPA2 SSID。轉換模式是有效的遷移策略，但它容易受到降級攻擊，因此請將其視為暫時性方案。 第二個陷阱是金鑰擴張。在沒有妥善生命週期管理的 PPSK 部署中，您會累積過期的金鑰。前住戶、離職員工、報廢的設備 - 它們都會在您的 RADIUS 資料庫中留下孤立的 PSK。每一個都是潛在的攻擊媒介。請從第一天起就將啟用和停用自動化，並每季審計您的 PSK 資料庫。 第三個陷阱是 6GHz 規劃。如果您正在部署 Wi-Fi 6E 或 Wi-Fi 7 基地台並希望使用 6GHz 頻段，WPA3 是強制性的。您無法在 6GHz 上執行 WPA2。因此，如果您的 PPSK 策略依賴 WPA2，您的 6GHz 無線電將無法使用，或必須執行獨立的 SSID。在確定您的硬體採購之前，請先規劃好您的安全架構。 現在進行快速問答。 問題：我可以在同一個 SSID 上執行 PPSK 和 WPA3 嗎？回答：在目前大多數硬體上，原生是不支援的。但 Juniper Mist 和 Cisco 都支援 WPA3-SAE 搭配基於 RADIUS 的多 PSK。請檢查您廠商目前的韌體。預期在未來 12 到 18 個月內，所有廠商都會提供更廣泛的支援。 問題：PPSK 是否符合 PCI-DSS 規範？回答：如果每個持卡人資料環境設備都在其獨立的 VLAN 上，且存取受到控制和審計，PPSK 即可滿足 PCI-DSS 網路分割要求。對於持卡人資料環境，使用 802.1X 和 EAP-TLS 的 WPA3-Enterprise 是更安全的長期選擇。 常見問題：如果住戶將其 PPSK 分享給鄰居會怎麼樣？回答：他們的鄰居將會進入與該住戶相同的 VLAN。該鄰居無法存取其他住戶的流量。但這確實意味著物業營運商正在向未授權的使用者提供服務。若要減輕此問題，可在硬體支援的情況下將 PSK 與 MAC 位址進行綁定，或實施使用情況監控與異常警報。 總結來說，PPSK 與 WPA3 是互補的，而非競爭關係。PPSK 解決了多租戶隔離問題 - 單一 SSID、每個住戶或裝置擁有專屬憑證、自動分配 VLAN。WPA3 則解決了驗證安全問題 - SAE 消除離線字典攻擊、PMF 保護管理訊框，且 192 位元套件可滿足高安全性的合規要求。 對於現今部署共享 WiFi 基礎設施的 BTR 營運商與房東，建議的架構是使用結合 RADIUS 的 PPSK 進行住戶隔離，並運行於 WPA2 或 WPA3 轉換模式以提供廣泛的裝置相容性，同時隨著硬體廠商支援的成熟，規劃明確遷移至原生 WPA3 PPSK 的路徑。此外，再搭配專為員工與營運裝置設計的 WPA3-Enterprise SSID，以及用於智慧建築系統的隔離 IoT VLAN。 Purple 的多租戶 WiFi 平台作為獨立於硬體的雲端重疊網路，全面涵蓋了這一切。我們管理 RADIUS 整合、配置工作流程、分析與合規性報告 - 橫跨 80,000 個實際場域及 3.5 億不重複使用者。通過 ISO 27001 認證，符合 GDPR 與 CCPA 規範，擁有 99.999% 的上線時間。我們下次見。