UU PPSK：比較功能與部署模式

UU PPSK：功能與部署模式比較 Purple 技術簡報 Podcast 預估時長：14 分鐘 歡迎收聽 Purple 技術簡報。我將帶您了解在為多租戶住宅或商業物業設計 WiFi 時，最關鍵的決定之一：要部署哪種預共用金鑰模式。具體而言，我們將專注於 UU PPSK，即「唯一每用戶預共用金鑰」(Unique per-User Pre-Shared Key)，以及為什麼它已成為英國各地「建屋出租」(Build to Rent) 營運商、學生住宿提供商和多住戶單元 (MDU) 房東的首選架構。 讓我們從問題開始。如果您是物業開發商或房東，您管理的建築物中，可能有數十個或數百個獨立住戶共享同一個實體網路基礎設施。您需要讓每位居民都擁有私密、家一般的 WiFi 體驗。他們的 Chromecast 需要找到他們的手機，智慧喇叭需要與他們的燈泡通訊。而且至關重要的是，隔壁公寓的居民絕不能看到這些內容。 傳統的解決方案要麼是共用密碼 - 這在規模化運作時是個安全災難；要麼是完整的 802.1X 企業級部署 - 這需要公開金鑰基礎建設、憑證管理以及 RADIUS 伺服器，而大多數物業營運商根本沒有足夠的 IT 資源來運作。這兩種選擇都不適合擁有 200 個單元的建屋出租大樓。 這就是 PPSK 發揮作用的地方。PPSK 代表私有預共用金鑰 (Private Pre-Shared Key)。這個概念非常簡單：與其整棟大樓共用一個 WiFi 密碼，不如讓每位居民都擁有自己獨特的密碼。他們連接到同一個 SSID、同一個網路名稱，但他們的金鑰是專屬的。如果他們搬走，您只需撤銷他們的金鑰。這對其他居民完全沒有影響。 現在，實際上這裡有三種不同的模式，了解它們之間的差異對於做出正確的架構決策至關重要。 第一種模式是標準的共用 PSK。一個密碼，所有人都在同一個網路上。這是目前大多數建築物仍在運行的模式。它部署簡單，但存在單點故障。只要一位居民在論壇上分享了密碼，您就失去了對網路的控制。想要取消某個承包商的存取權限？您必須為所有人變更密碼。在規模化營運中，這根本無法管理。 第二種模式是 Group PPSK。在這裡，您為每組用戶分配一個唯一的金鑰，例如每個樓層一個金鑰，或每種租約類型一個金鑰。這比共用密碼好，但仍有波及範圍的問題。如果群組中的一個金鑰遭到破解，整個群組都會受到影響。而且您仍然無法在網路層將個別居民彼此隔離。 第三種模式，也是我們今天關注的重點，是 UU PPSK（Unique per-User Pre-Shared Key，即每用戶唯一預共用金鑰），在 Cisco 也被稱為 iPSK，在 Ruckus 被稱為 DPSK，在 HPE Aruba 則被稱為 MPSK。各家廠商的術語有所不同，但概念完全相同。每位住戶、每個裝置群組都會獲得自己專屬且加密唯一的金鑰。而該金鑰會對應到其專屬的 VLAN、其專屬的網路區段，與大樓內的其他所有住戶完全隔離。 這就是實現我所說的 WiFi 氣泡（WiFi bubble）的架構。住戶 A 的裝置可以互相看見、投射、配對、分享檔案，就像在家庭網路中一樣。但住戶 A 無法看見任何屬於住戶 B 的裝置，即使他們都連線到同一個存取點、同一個 SSID，並使用相同的實體線路基礎設施。 讓我帶您了解一下技術認證流程，因為這正是奇妙之處。 當住戶的裝置連線到 SSID 時，無線區域網路控制器（Wireless LAN Controller）會攔截連線嘗試，並將裝置的 MAC 位址轉發給 RADIUS 伺服器。RADIUS 伺服器（可以是雲端託管的，如 Purple 的伺服器）會在其身分識別庫中尋找該 MAC 位址。接著會傳回一個包含分配給該住戶的唯一預共用金鑰的 Access-Accept 回應。控制器會根據傳回的金鑰驗證裝置提供的金鑰。如果符合，該裝置就會通過認證並被分配到該住戶的專屬 VLAN 中。 至關重要的是，該 RADIUS 回應同時也攜帶了 VLAN 分配。因此，裝置不僅僅是通過認證，還會自動被分配到正確的網路區段，並套用正確的頻寬原則和正確的防火牆規則，這一切都來自單一 SSID。沒有 SSID 氾濫的問題。沒有信標（beacon）開銷。一個網路名稱，底下卻有數百個隔離的私有網路。 現在，談談 MAC 位址隨機化，因為這是大多數部署最常遇到的陷阱。自 iOS 14、Android 10 和 Windows 11 起，裝置出於隱私考量，預設會使用隨機 MAC 位址。如果您的 RADIUS 伺服器正在進行 MAC 查詢，而裝置提供的是隨機位址，查詢就會失敗，裝置也就無法連線。 解決方案是將您的 SSID 設定為要求用戶端使用其永久硬體 MAC 位址，或者實施預先註冊工作流程，讓住戶在連線前先註冊其裝置。Purple 的平台會自動處理此流程，作為住戶引導加入流程的一環。 接下來談談部署模式，因為 UU PPSK 可以透過三種不同的方式進行部署，而正確的選擇取決於您的大樓規模、IT 資源和預算。第一種是控制器本地 PPSK。在這種模式下，唯一金鑰直接儲存在無線控制器上，不需要外部 RADIUS 伺服器。這非常適合 200 台裝置以下的小規模部署，且操作最為簡單。Ubiquiti UniFi 原生支援此功能。其限制在於擴充性。大多數控制器最多只能容納數百個本地 PPSK 項目，且您會失去讓 UU PPSK 在大規模營運下切實可行的集中式生命週期管理。 第二種模式是 RADIUS 後端 PPSK。在此模式下，金鑰儲存在外部 RADIUS 伺服器中，控制器會針對每次的新連線查詢 RADIUS 伺服器。這可以擴充至數千台裝置。TP-Link Omada 搭配外部 RADIUS 伺服器可支援多達 4,000 個 PPSK。Ruckus SmartZone、HPE Aruba ClearPass 和 Cisco ISE 都支援此模式。雖然營運開銷較高，但擴充性和生命週期管理功能明顯更好。 第三種模式，也是 Purple 為 BTR（建設出租）和 MDU（多住戶單元）營運商推薦的模式，即雲端 RADIUS-as-a-Service。在此模式下，RADIUS 基礎架構由 Purple 代管和管理，您只需透過雲端覆蓋將您的存取點連接到該架構。這讓您既能擁有 RADIUS 後端 PPSK 的擴充性，又無需承擔運行自家 RADIUS 伺服器的營運開銷。Purple 的平台建置於您現有的硬體之上 - 無論是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 還是 Fortinet - 並為金鑰佈署、生命週期管理和住戶引導提供協調層。 金鑰生命週期完全自動化。住戶入住時，系統會透過物業管理系統整合自動佈署其金鑰。住戶遷出時，其金鑰會立即撤銷，完全不會影響其他住戶。無需手動干預，無安全漏洞，也無密碼輪替的煩惱。 讓我分享兩個具體的部署案例，讓這個方案更具體。 第一個案例是一個擁有 250 個單元的 Build to Rent（建設出租）建案。開發商在整個建築中指定使用 Cisco Meraki 存取點。他們需要為每位住戶提供具備完整 IoT 支援的私有 WiFi 體驗、入住當天即可啟用的便利性，以及支援每戶 15 到 25 台裝置的能力。現在平均每個 BTR 家庭會將 18 台裝置連接到 WiFi，從手機和筆記型電腦到智慧喇叭、串流電視棒及聯網家電。 部署的架構是在整棟建築中使用單一 SSID，並透過 Purple 的雲端 RADIUS 服務運行 UU PPSK。每位住戶在入住時都會透過住戶應用程式收到唯一的金鑰。該金鑰會對應到一個具備私有子網的專屬 VLAN，為每個家庭提供完全隔離的網路區段。每個 VLAN 內都啟用了 mDNS 反射，因此 Chromecast、Apple TV 和 Sonos 都能如預期正常運作。該大樓在啟用首日便上線了 250 個作用中的住戶 VLAN，現場團隊無需進行任何手動 RADIUS 設定。 第二個情境是擁有 400 個床位的專用學生住宿大樓。這裡的挑戰在於每年的住戶流動。每年八月，都有 400 名學生搬出，同時有 400 名新學生搬入，而且通常是在同一個星期內。在共享 PSK 模式下，這意味著需要變更整棟建築物的密碼，進而影響到每位續住的居民。使用 UU PPSK，這代表只需停用 400 個金鑰並核發 400 個新金鑰，而這一切都可以透過與學生管理系統整合來自動化完成。 此部署採用了 Ruckus SmartZone 搭配 DPSK，並由 Purple 的 RADIUS 服務提供支援。每位學生在抵達前的註冊過程中，都會透過電子郵件收到其專屬的唯一金鑰。該金鑰在租期內有效，並在合約結束日自動過期。營運團隊報告指出，第一學期與 WiFi 相關的支援工單減少了 70%，這主要是因為完全解決了先前共享 PSK 部署中一直困擾大家的 Chromecast 和智慧電視配對問題。 現在讓我來說明合規性的角度，因為這對物業營運商來說至關重要，但有時卻被低估了。 GDPR 要求您必須能夠證明對數據處理的責任歸屬。在 WiFi 環境中，這意味著必須能夠識別哪位住戶產生了哪種網路流量，並能夠使用準確且針對特定住戶的資料來回應主體存取請求或執法機關的要求。使用共享 PSK，這是不可能做到的。從 RADIUS 伺服器的角度來看，網路上的每個裝置看起來都一模一樣。使用 UU PPSK，每個連線都會綁定到特定的住戶金鑰，而該金鑰又綁定到特定的租賃記錄。您的稽核追蹤便完整無缺。 在進入快速問答之前，讓我為您提供三個實用的經驗法則。 法則一：如果您的建築物擁有超過 50 個單元，請使用基於 RADIUS 的 UU PPSK，而不要使用控制器本地的 PPSK。控制器本地 PPSK 的擴充性上限會在系統上線後的 12 個月內為您帶來麻煩。 法則二：從第一天起就為 MAC 隨機化做好規劃。在住戶入駐流程中建立預先註冊的工作流程。不要假設裝置在預設情況下會呈現其永久 MAC 地址。 法則三：自動化金鑰生命週期。UU PPSK 相較於共享 PSK 的營運價值，完全取決於金鑰是否能自動核發和停用。大規模的手動金鑰管理是行不通的。從一開始就要與您的物業管理系統或學生管理系統進行整合。 好的，讓我們針對我最常被問到的問題進行快速問答。 UU PPSK 是否支援 WPA3？支援，但有一些限制。WPA3-SAE 改變了交握機制。大多數現代控制器在 WPA2 和 WPA3 過渡模式下支援 UU PPSK，以實現向後相容性。在指定純 WPA3 部署之前，請先確認您的硬體廠商的特定說明文件。 單一 SSID 支援多少個唯一金鑰？這取決於您的控制器平台。使用外部 RADIUS 伺服器時，實際限制取決於您的 RADIUS 資料庫容量。Purple 的雲端 RADIUS 服務可擴充至支援數萬個同時線上的金鑰。 UU PPSK 是否可以取代 802.1X？否。對於已部署 MDM 註冊終端和憑證架構的完全託管企業裝置群，採用 802.1X 的 WPA3-Enterprise 才是更強大的安全性架構。在您無法控制連線至網路之裝置的環境中，UU PPSK 是合適的工具，而這正是 BTR（建屋出租）、學生宿舍和 MDU（多住戶單元）部署的實際情況。 它可以在哪些硬體上運行？Purple 的雲端重疊網路（Overlay）支援 Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks, 與 Fortinet。您無需更換現有的無線基地台。 總結來說：UU PPSK 是讓多租戶 WiFi 在住宅規模下實現營運可行性的驗證架構。它透過現有硬體上的單一 SSID，提供每位住戶的網路隔離、完整的 IoT 支援、自動化的金鑰生命週期管理以及符合 GDPR 規範的稽核軌跡。 這三種部署模式（控制器本地、RADIUS 支援和雲端 RADIUS-as-a-Service）適用於不同的建築規模和 IT 資源水平。對於 50 個單元以上的任何項目，雲端 RADIUS-as-a-Service 是正確的選擇。它消除了運行您自己的 RADIUS 架構的營運開銷，同時提供您所需的擴充性和生命週期管理功能。 Purple 的多租戶 WiFi 平台正好提供了這一點。我們成立於 2012 年，在 80,000 個實際場所運行，僅在 2024 年，我們的平台就處理了 4.4 億次登入。我們通過 ISO 27001 認證、符合 GDPR 規範，且不限硬體。如果您正計劃進行 BTR、學生宿舍或 MDU 部署，並希望瞭解 UU PPSK 如何融入您的特定架構，本簡報中連結的指南是一個很好的起點。 感謝您的聆聽。我們下次再見。