Uu PPSK 2023: comparing features and deployment models

UU PPSK 2023: Comparing Features and Deployment Models. A Purple Technical Briefing. 歡迎。今天我們將探討在為多租戶住宅物業設計 WiFi 時，您將做出的最重要架構決策之一：要部署哪種預先共用金鑰模型。具體而言，我們將重點放在 UU PPSK（代表 Unique per-User Pre-Shared Key - 每用戶唯一預先共用金鑰），以及為什麼它已成為英國各地「建房出租（Build to Rent）」營運商、學生宿舍提供商和多住宅單元（MDU）房東的首選架構。 讓我們從問題開始。您正在管理一棟大樓，其中數十或數百個獨立家庭共用同一個實體網路基礎架構。每位居民都需要私密、像家一樣的 WiFi 體驗。他們的 Chromecast 需要找到他們的手機。他們的智慧喇叭需要與他們的燈泡進行通訊。至關重要的是，隔壁公寓的居民不應該看到這些內容。 傳統的解決方案要麼是共用密碼（這在規模化時會帶來安全隱患），要麼是完整的 802.1X 企業部署（這需要公共金鑰基礎架構、憑證管理以及 RADIUS 伺服器，而大多數物業營運商根本沒有足夠的 IT 資源來運行）。這兩種選擇都不適合擁有 200 個單元的「建房出租」大樓。 這就是 PPSK 發揮作用的地方。PPSK 代表 Private Pre-Shared Key。這個概念很簡單：與其整棟大樓共用一個 WiFi 密碼，每位居民都會獲得自己專屬的唯一密碼。他們連接到同一個 SSID、同一個網路名稱，但他們的金鑰是專屬於他們的。如果他們搬走，您只需撤銷其金鑰。這對其他任何居民完全沒有影響。 現在，這裡有三種不同的模型，理解其中的差異對於做出正確的架構決策至關重要。 第一種模型是標準的共用 PSK。一個密碼，所有人都在同一個網路上。這是目前大多數大樓仍在運行的模式。它部署簡單，但這是一個單點故障。只要有一位居民在論壇上分享了密碼，您就失去了對網路的控制。想要移除承包商的存取權限？您必須更改所有人的密碼。在規模化運作下，這是無法管理的。 第二種模型是 Group PPSK。在這裡，您為每組用戶分配一個唯一的金鑰，例如每層樓一個金鑰，或每種租約類型一個金鑰。這比共用密碼好，但它仍然存在波及範圍的問題。如果群組中的一個金鑰遭到洩露，整個群組都會受到影響。您仍然無法在網路層將個別居民彼此隔離。 第三種模式，也是我們今天關注的重點，就是 UU PPSK - 每位使用者專屬的預共用金鑰。這在 Cisco Meraki 被稱為 iPSK，在 Ruckus 被稱為 DPSK，而在 HPE Aruba 則被稱為 MPSK。各家廠商的術語有所不同，但概念完全相同。每一位住戶、每一個裝置群組，都會獲得自己專屬且具密碼學唯一性的金鑰。而該金鑰會對應到其專屬的 VLAN、其專屬的網路區段，與大樓內的其他所有住戶完全隔離。 這就是實現我們所謂 WiFi 氣泡（WiFi bubble）的架構。住戶 A 的裝置可以互相看見、進行投放、配對以及分享檔案，完全就像在家庭網路中一樣。但住戶 A 卻無法看見任何屬於住戶 B 的裝置，即使他們都連接到同一個 SSID、使用同一個基地台，並透過相同的實體線路基礎設施也是如此。 讓我為您說明技術驗證流程，因為這能讓整個運作機制更加清晰。 當住戶的裝置連線到 SSID 時，無線區域網路控制器會攔截該連線嘗試。在 WPA2 四向交握（four-way handshake）期間，裝置會提供其預共用金鑰。控制器會在 PPSK 資料庫中查詢該金鑰，並回傳分配給該住戶的唯一 VLAN ID。控制器驗證金鑰後，裝置即完成驗證並被放置在專屬的 VLAN 中。關鍵在於，該 VLAN 分配同時也帶有正確的頻寬策略和防火牆規則。因此，裝置不僅僅是通過驗證，還會自動被引導至單一 SSID 下的正確網路區段。沒有 SSID 激增的問題，也沒有信標（beacon）開銷。一個網路名稱，底下卻有著數百個隔離的私有網路。 現在，我們要談談 MAC 位址隨機化，因為這是大多數部署容易遇到的陷阱。自 iOS 14、Android 10 和 Windows 11 起，出於隱私考量，裝置預設會使用隨機 MAC 位址。如果您的驗證平台正在進行 MAC 查詢，而裝置提供的是隨機位址，查詢就會失敗，導致裝置無法連線。解決方案是實施預先註冊工作流程，讓住戶在連線前先註冊其裝置。Purple 的平台會將此程序作為住戶新手引導流程的一部分自動處理。 讓我們來談談部署模式，因為 UU PPSK 可以透過三種不同的方式進行部署，而正確的選擇取決於您的大樓規模、IT 資源和預算。 第一種是控制器本地 PPSK。在這種模式下，唯一金鑰會直接儲存在無線控制器上，不需要外部 RADIUS 伺服器。這非常適合大約 50 個單位以下的小型部署，且運作起來最簡單。Ubiquiti UniFi 原生支援此功能。其限制在於擴充性。大多數控制器的本地 PPSK 項目上限為幾百個，而且您會失去使 UU PPSK 在大規模營運中切實可行的集中式生命週期管理。第二種模式是基於 RADIUS 的 PPSK。在此模式下，金鑰會儲存在外部 RADIUS 伺服器中，控制器會針對每次的新連線向 RADIUS 伺服器進行查詢。這可以擴展到數千個單元。Ruckus SmartZone、HPE Aruba ClearPass 和 Cisco ISE 都支援此模式。雖然營運開銷較高，但擴充性與生命週期管理能力明顯更好。 第三種模式，也是 Purple 針對租賃專用住宅（Build to Rent）及多住戶單元營運商所推薦的模式，即雲端 RADIUS-as-a-Service。在此模式下，RADIUS 基礎設施由 Purple 託管與管理，您只需透過雲端重疊網路將您的存取點連接到該設施。這讓您既能擁有基於 RADIUS 的 PPSK 的擴充性，又無需承擔執行自有 RADIUS 伺服器的營運開銷。Purple 的平台建置在您現有的硬體之上 - 無論是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 還是 Fortinet - 並為金鑰佈署、生命週期管理與住戶引導提供協調層。 金鑰生命週期已完全自動化。住戶搬入時，系統會透過與物業管理系統的整合自動佈署其金鑰。住戶搬出時，其金鑰會立即被撤銷，且不會對其他任何住戶造成影響。無需手動介入，沒有安全漏洞，也沒有密碼定期更換的困擾。 讓我提供兩個具體的部署情境，讓這個概念更具體。 第一個是擁有 250 個單元的租賃專用住宅開發案。開發商在整棟大樓中都指定使用 Cisco Meraki 存取點。他們需要為每位住戶提供具備完整 IoT 支援、入住當天即可啟用、且每個家庭可支援 15 到 25 裝置的專屬 WiFi 體驗。部署的架構是在整棟大樓中使用單一 SSID，並透過 Purple 的雲端 RADIUS 服務採用 UU PPSK。每位住戶在搬入時都會透過住戶應用程式收到一把專屬金鑰。該金鑰會對應到具備專用子網路的專屬 VLAN，為每個家庭提供完全隔離的網路區段。每個 VLAN 內都啟用了 mDNS 反射，因此 Chromecast、Apple TV 和 Sonos 都能如預期正常運作。大樓在啟用首日即有 250 個作用中的住戶 VLAN 上線，且現場團隊完全不需要進行任何手動 RADIUS 設定。 第二個案例是一個擁有 400 個床位的專屬學生公寓。這裡的挑戰在於每年的學生成員更替。每年八月，400 名學生搬出，另外 400 名新學生搬進，通常在同一週內發生。在使用共享 PSK 模式的情況下，這意味著需要變更整個大樓的密碼，進而影響每一位續住的居民。而使用 UU PPSK，這意味著撤銷 400 個金鑰並配置 400 個新金鑰，這一切都可以透過與學生管理系統的整合來自動化完成。該部署使用 Ruckus SmartZone 搭配 DPSK，並由 Purple 的 RADIUS 服務提供支援。每位學生在抵達前的註冊過程中都會透過電子郵件收到其專屬的唯一金鑰。營運團隊報告指出，第一學期與 WiFi 相關的支援工單減少了 70%，這主要是因為完全消除了先前困擾共享 PSK 部署的 Chromecast 和智慧電視配對問題。 現在，在我們進入快速問答之前，讓我先介紹三個實用的經驗法則。 法則一：如果您的建築物有超過 50 個單元，請使用基於 RADIUS 的 UU PPSK，而不是控制器本地的 PPSK。控制器本地 PPSK 的擴充性上限會在隨後上線的 12 個月內為您帶來問題。 法則二：從第一天起就為 MAC 隨機化做好規劃。將預先註冊工作流程建立到您的居民入駐流程中。不要假設裝置預設會提供其永久的 MAC 地址。 法則三：自動化金鑰生命週期管理。與共享 PSK 相比，UU PPSK 的營運價值完全取決於自動配置和撤銷金鑰。大規模的手動金鑰管理是行不通的。從一開始就要與您的物業管理系統進行整合。 好的，讓我們針對我最常被問到的問題進行快速問答。 UU PPSK 是否支援 WPA3？支援，但有一些注意事項。WPA3-SAE 改變了握手機制。大多數現代控制器支援 WPA2 和 WPA3 過渡模式下的 UU PPSK，以實現向後相容。如果您正在指定在 6 GHz 頻段上強制執行 WPA3 的 WiFi 6E 基地台，請在購買硬體之前驗證您廠商的具體支援情況。 單一 SSID 可以支援多少個唯一金鑰？這取決於您的控制器平台。使用外部 RADIUS 伺服器，實際限制是您的 RADIUS 資料庫容量。Purple 的雲端 RADIUS 服務可擴充至支援數萬個同時運作的金鑰。 UU PPSK 是 802.1X 的替代方案嗎？不是。對於完全託管的公司裝置群，802.1X 仍然是正確的解決方案。UU PPSK 則是住宅網路的正確解決方案，在這種網路中，您需要針對每個家庭進行隔離、支援 IoT，並實現大規模的營運簡化。 那麼 GDPR 合規性呢？UU PPSK 為您提供完整的稽核軌跡。每次連線都與特定的居民金鑰綁定，而該金鑰又與特定的租約記錄綁定。使用共享 PSK，這種歸責性是不可能實現的。UU PPSK 是唯一能夠讓您準確回應主體存取請求或執法機關查詢的架構。 總結來說：UU PPSK 是一種驗證架構，使住宅規模的多租戶 WiFi 營運變得切實可行。它提供每個住戶獨立的網路隔離、自動化金鑰生命週期管理，並支援各種消費級 IoT 裝置，且無需企業級憑證基礎架構。對於任何超過 50 個單位的專供出租 (Build to Rent) 開發項目或多戶住宅物業，這是您現今應指定的架構。 如果您想了解 Purple 的多租戶 WiFi 解決方案如何搭配您現有的硬體運作，請造訪 purple.ai 或與我們的網路架構師聯絡。感謝您的收聽。