Cette page a été traduite par l'API Cloud Translation.

Passpoint (Hotspot 2.0)

Passpoint est un protocole Wi-Fi Alliance (WFA) qui permet aux appareils mobiles de détecter les points d'accès Wi-Fi qui fournissent un accès à Internet et de s'y authentifier.

Assistance relative aux appareils

Pour assurer la compatibilité avec Passpoint, les fabricants d'appareils doivent implémenter l'interface du demandeur. À partir d'Android 13, l'interface utilise AIDL pour la définition HAL. Pour les versions antérieures à Android 13, les interfaces et les partitions de fournisseurs utilisent HIDL. Les fichiers HIDL se trouvent dans hardware/interfaces/supplicant/1.x et les fichiers AIDL dans hardware/interfaces/supplicant/aidl. Le demandeur prend en charge la norme 802.11u, en particulier les fonctionnalités de découverte et de sélection de réseau telles que le service publicitaire générique (GAS) et le protocole de requête réseau d'accès (ANQP).

Implémentation

Android 11 ou version ultérieure

Pour prendre en charge Passpoint sur les appareils équipés d'Android 11 ou version ultérieure, les fabricants doivent fournir la compatibilité du micrologiciel avec la version 802.11u. Toutes les autres exigences liées à la prise en charge de Passpoint sont incluses dans l'AOSP.

Android 10 ou version antérieure

Pour les appareils équipés d'Android 10 ou version antérieure, les fabricants d'appareils doivent fournir une compatibilité avec le framework et le HAL/micrologiciel:

Framework: Activer Passpoint (nécessite un flag de fonctionnalité)
Micrologiciel: prise en charge de la norme 802.11u

Pour prendre en charge Passpoint, implémentez le HAL Wi-Fi et activez le flag de fonctionnalité pour Passpoint. Dans le fichier device.mk situé dans device/<oem>/<device>, modifiez la variable d'environnement PRODUCT_COPY_FILES pour inclure la prise en charge de la fonctionnalité Passpoint:

PRODUCT_COPY_FILES +=
frameworks/native/data/etc/android.hardware.wifi.passpoint.xml:$(TARGET_COPY_OUT_VENDOR)/etc/permissions/android.hardware.wifi.passpoint.xml

Toutes les autres exigences liées à la prise en charge de Passpoint sont incluses dans l'AOSP.

Validation

Pour valider votre implémentation de la fonctionnalité Passpoint, utilisez l'ensemble de tests unitaires et d'intégrations fournis dans la suite de tests de communication Android (ACTS).

Tests unitaires

Exécutez les tests unitaires du package Passpoint suivants.

Tests du service:

atest com.android.server.wifi.hotspot2

Tests du responsable:

atest android.net.wifi.hotspot2

Tests d'intégration (ACTS)

La suite de tests ACTS Passpoint, située dans tools/test/connectivity/acts_tests/tests/google/wifi/WifiPasspointTest.py, implémente un ensemble de tests fonctionnels.

Provisionnement Passpoint R1

Android est compatible avec Passpoint R1 depuis Android 6.0, ce qui permet de provisionner les identifiants Passpoint R1 (version 1) via le téléchargement Web d'un fichier spécial contenant les informations de profil et d'identifiant. Le client lance automatiquement un programme d'installation spécial pour les informations Wi-Fi et permet à l'utilisateur de consulter une partie de ces informations avant d'accepter ou de refuser le contenu.

Les informations de profil contenues dans le fichier sont utilisées pour la mise en correspondance avec les données récupérées à partir de points d'accès compatibles avec Passpoint, et les identifiants sont automatiquement appliqués à tout réseau correspondant.

L'implémentation de référence Android est compatible avec EAP-TTLS, EAP-TLS, EAP-SIM, EAP-AKA et EAP-AKA.

Mécanisme de téléchargement

Le fichier de configuration Passpoint doit être hébergé sur un serveur Web et doit être protégé par TLS (HTTPS), car il peut contenir un mot de passe en texte clair ou des données de clé privée. Le contenu est constitué de texte MIME en plusieurs parties encapsulé, représenté au format UTF-8 et encodé en base64 conformément à la section 6.8 du document RFC-2045.

Les champs d'en-tête HTTP suivants permettent au client de lancer automatiquement un programme d'installation Wi-Fi sur l'appareil:

Content-Type doit être défini sur application/x-wifi-config.
Content-Transfer-Encoding doit être défini sur base64.
Content-Disposition ne doit pas être défini.

La méthode HTTP utilisée pour récupérer le fichier doit être GET. Chaque fois qu'une requête HTTP GET du navigateur reçoit une réponse avec ces en-têtes MIME, l'application d'installation démarre. Le téléchargement doit être déclenché en appuyant sur un élément HTML, comme un bouton (les redirections automatiques vers une URL de téléchargement ne sont pas acceptées). Ce comportement est spécifique à Google Chrome. D'autres navigateurs Web peuvent proposer ou non des fonctionnalités similaires.

Composition de fichiers

Le contenu encodé en base64 doit être constitué de contenu MIME en plusieurs parties avec un Content-Type défini sur multipart/mixed. Les parties suivantes constituent les différentes parties du contenu.

Pièce	Content-Type (moins de guillemets)	Obligatoire	Description
Profil	`application/x-passpoint-profile`	Toujours	Charge utile au format OMA-DM SyncML contenant l'objectif marketing au format `PerProviderSubscription` Passpoint R1 pour `HomeSP` et `Credential`.
Certificat de confiance	`application/x-x509-ca-cert`	Obligatoire pour EAP-TLS et EAP-TTLS	Une seule charge utile de certificat encodée en base64 X.509v3.
Clé EAP-TLS	`application/x-pkcs12`	Obligatoire pour EAP-TLS	Structure ASN.1 PKCS #12 encodée en base64 contenant une chaîne de certificats client avec au moins le certificat client et la clé privée associée. Le conteneur PKCS 12, la clé privée et les certificats doivent tous être indiqués en texte clair, sans mot de passe.

La section "Profile" (Profil) doit être transférée sous forme de texte XML encodé en base64 et en UTF-8 spécifiant des parties des sous-arborescences HomeSP et Credential dans la section 9.1 de la spécification technique Passpoint R2 version 1.0.0.

Le nœud de niveau supérieur doit être MgmtTree et le sous-nœud immédiat doit être PerProviderSubscription. Un exemple de fichier XML apparaît dans la section Exemple de profil XML OMA-DM.

Les nœuds de sous-arborescence suivants sont utilisés sous HomeSP:

FriendlyName: doit être défini et utilisé comme texte d'affichage.
FQDN: obligatoire
RoamingConsortiumOI

Les nœuds de sous-arborescence suivants sont utilisés sous Credential:

Realm: doit être une chaîne non vide
UsernamePassword: obligatoire pour EAP-TTLS avec les nœuds suivants définis:
- Username: chaîne contenant le nom d'utilisateur
- Password: chaîne encodée en base64 (définie sur cGFzc3dvcmQ=, la chaîne encodée en base64 pour "password", dans l'exemple ci-dessous).
- EAPMethod/EAPType: doit être défini sur 21.
- EAPMethod/InnerMethod: doit être défini sur PAP, CHAP, MS-CHAP ou MS-CHAP-V2.
DigitalCertificate: obligatoire pour EAP-TLS. Vous devez définir les nœuds suivants:
- CertificateType défini sur x509v3
- CertSHA256Fingerprint défini sur le condensé SHA-256 du certificat client dans la section MIME de la clé EAP-TLS ;
SIM: requis pour EAP-SIM, EAP-AKA et EAP-AKA. Le champ EAPType doit être défini sur le type d'EAP approprié et IMSI doit correspondre à un IMSI de l'une des cartes SIM installées dans l'appareil au moment du provisionnement. La chaîne IMSI peut être entièrement constituée de chiffres décimaux pour forcer une correspondance d'égalité complète, ou de 5 ou 6 chiffres décimaux suivis d'un astérisque (*) pour assouplir la mise en correspondance IMSI avec la valeur MCC/MNC uniquement. Par exemple, la chaîne IMSI 123456* correspond à n'importe quelle carte SIM ayant le code MCC 123 et MNC 456.

Android 11 introduit des fonctionnalités qui rendent le provisionnement de Passpoint R1 plus flexible.

Nom de domaine distinct pour l'authentification, l'autorisation et la traçabilité (AAA): Les administrateurs réseau Passpoint qui ont besoin d'un nom de domaine AAA spécifié indépendamment du nom de domaine complet annoncé par le réseau via le protocole ANQP (Access Network Query Protocol) peuvent spécifier une liste de noms de domaine complets délimités par un point-virgule dans un nouveau nœud dans la sous-arborescence Extension. Il s'agit d'un nœud facultatif. Les appareils équipés d'Android version 10 ou antérieure l'ignorent.

Android: sous-arborescence des extensions Android
- AAAServerTrustedNames: obligatoire pour les noms de confiance des serveurs AAA avec les nœuds suivants définis:
  - FQDN: chaîne contenant les noms de confiance du serveur AAA. Utilisez des points-virgules pour séparer les noms de confiance. Par exemple, example.org;example.com.

Autorités de certification racine privées autosignées: Les administrateurs réseau Passpoint qui gèrent leurs certificats en interne peuvent provisionner des profils avec une autorité de certification autosignée privée pour l'authentification AAA.
Autoriser l'installation de profils sans certificat CA racine: Le certificat CA racine associé au profil est utilisé pour l'authentification du serveur AAA. Les administrateurs réseau Passpoint qui souhaitent s'appuyer sur des autorités de certification racine approuvées publiques pour authentifier leur serveur AAA peuvent provisionner des profils sans certificat CA racine. Dans ce cas, le système vérifie les certificats du serveur AAA par rapport aux certificats CA racine publics installés dans le magasin de confiance.

Provisionnement Passpoint R2

Android 10 est compatible avec les fonctionnalités de Passpoint R2. Passpoint R2 implémente l'inscription en ligne (OSU), une méthode standard pour provisionner de nouveaux profils Passpoint. Android 10 ou version ultérieure est compatible avec le provisionnement de profils EAP-TTLS à l'aide du protocole SOAP-XML sur un OSU ESS ouvert.

Les fonctionnalités Passpoint R2 compatibles ne nécessitent que le code de référence AOSP (aucune compatibilité supplémentaire avec les pilotes ou les micrologiciels n'est requise). Le code de référence AOSP inclut également une implémentation par défaut de l'interface utilisateur de Passpoint R2 dans l'application Paramètres.

Lorsqu'Android détecte un point d'accès Passpoint R2, le framework Android:

Affiche la liste des fournisseurs de services annoncés par le point d'accès dans le sélecteur Wi-Fi (en plus des SSID).
Invite l'utilisateur à appuyer sur l'un des fournisseurs de services pour configurer un profil Passpoint.
Guide l'utilisateur tout au long du processus de configuration du profil Passpoint.
Installe le profil Passpoint obtenu en cas de réussite de l'opération.
S'associe au réseau Passpoint à l'aide du profil Passpoint nouvellement provisionné.

Fonctionnalités de Passpoint R3

Android 12 introduit les fonctionnalités Passpoint R3 suivantes qui améliorent l'expérience utilisateur et permettent aux réseaux de respecter les lois locales:

Conditions d'utilisation

L'acceptation des conditions d'utilisation est légalement obligatoire dans certains emplacements et dans certaines voies pour fournir un accès au réseau. Cette fonctionnalité permet aux déploiements réseau de remplacer les portails captifs non sécurisés, qui utilisent des réseaux ouverts, par un réseau Passpoint sécurisé. Une notification s'affiche lorsque l'utilisateur doit accepter les conditions d'utilisation.

L'URL des conditions d'utilisation doit rediriger vers un site Web sécurisé via HTTPS. Si l'URL pointe vers un site Web non sécurisé, le framework se déconnecte et bloque immédiatement le réseau.

URL des informations sur le lieu

Permet aux opérateurs réseau et aux établissements de fournir des informations supplémentaires à l'utilisateur, telles que des plans d'établissements, des annuaires, des promotions et des bons de réduction. Une notification s'affiche à l'attention de l'utilisateur lorsque le réseau est connecté.

L'URL des informations sur l'établissement doit pointer vers un site Web sécurisé via HTTPS. Si l'URL pointe vers un site Web non sécurisé, le framework l'ignore et n'affiche pas de notification.

Autres fonctionnalités Passpoint

Android 11 introduit les fonctionnalités Passpoint suivantes qui améliorent l'expérience utilisateur, la consommation d'énergie et la flexibilité de déploiement.

Application des dates d'expiration et notification: L'application de dates d'expiration aux profils permet au framework d'éviter la connexion automatique aux points d'accès dont les identifiants ont expiré, lesquels sont voués à l'échec. Cela évite d'utiliser le temps d'accès, et permet d'économiser la batterie et la bande passante du backend. Le framework affiche une notification à l'utilisateur lorsqu'un réseau correspondant à son profil est à portée et que le profil a expiré.
Plusieurs profils avec un nom de domaine complet identique: Les opérateurs qui déploient des réseaux Passpoint et utilisent plusieurs ID de réseau mobile terrestre public (PLMN) peuvent provisionner plusieurs profils Passpoint avec le même nom de domaine complet (FQDN, un pour chaque ID PLMN), qui est automatiquement associé à la carte SIM installée et utilisé pour connecter le réseau.

Android 12 introduit les fonctionnalités Passpoint suivantes qui améliorent l'expérience utilisateur, la consommation d'énergie et la flexibilité de déploiement:

Préfixe d'identité décoré: Lors de l'authentification sur des réseaux avec une décoration de préfixe, le préfixe d'identité décoré permet aux opérateurs réseau de mettre à jour l'identifiant d'accès au réseau (NAI) pour effectuer un routage explicite via plusieurs proxys au sein d'un réseau AAA (voir RFC 7542). Android 12 implémente cette fonctionnalité conformément à la spécification WBA pour les extensions PPS-MO.
Gestion imminente de la désauthentification: Permet aux opérateurs réseau de signaler à un appareil que le service n'est pas disponible pour l'identifiant utilisé pour s'authentifier sur le réseau pendant une certaine durée (spécifiée via un délai avant expiration). Après avoir reçu ce signal, les appareils ne tenteront pas de se reconnecter au réseau avec les mêmes identifiants avant l'expiration du délai. En revanche, les appareils qui ne sont pas compatibles avec cette fonctionnalité peuvent tenter de se reconnecter au réseau de manière répétée lorsque le service est indisponible.

Exemples de profils XML OMA-DM PerProviderSubscription-MO

Profil avec identifiants de nom d'utilisateur/mot de passe (EAP-TTLS)

L'exemple suivant illustre un profil pour un réseau avec:

Nom de compatibilité réseau défini sur Example Network
Nom de domaine complet défini sur hotspot.example.net
OI du consortium en itinérance (pour l'itinérance)
Identifiant avec le nom d'utilisateur user, le mot de passe password encodé en Base64 et le domaine défini sur example.net
Méthode EAP définie sur 21 (EAP-TTLS)
Méthode interne de la phase 2 définie sur MS-CHAP-V2
Autres noms de domaine AAA définis sur trusted.com et trusted.net

<MgmtTree xmlns="syncml:dmddf1.2">
  <VerDTD>1.2</VerDTD>
  <Node>
    <NodeName>PerProviderSubscription</NodeName>
    <RTProperties>
      <Type>
        <DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
      </Type>
    </RTProperties>
    <Node>
      <NodeName>i001</NodeName>
      <Node>
        <NodeName>HomeSP</NodeName>
        <Node>
          <NodeName>FriendlyName</NodeName>
          <Value>Example Network</Value>
        </Node>
        <Node>
          <NodeName>FQDN</NodeName>
          <Value>hotspot.example.net</Value>
        </Node>
        <Node>
          <NodeName>RoamingConsortiumOI</NodeName>
          <Value>112233,445566</Value>
        </Node>
      </Node>
      <Node>
        <NodeName>Credential</NodeName>
        <Node>
          <NodeName>Realm</NodeName>
          <Value>example.net</Value>
        </Node>
        <Node>
          <NodeName>UsernamePassword</NodeName>
          <Node>
            <NodeName>Username</NodeName>
            <Value>user</Value>
          </Node>
          <Node>
            <NodeName>Password</NodeName>
            <Value>cGFzc3dvcmQ=</Value>
          </Node>
          <Node>
            <NodeName>EAPMethod</NodeName>
            <Node>
              <NodeName>EAPType</NodeName>
              <Value>21</Value>
            </Node>
            <Node>
              <NodeName>InnerMethod</NodeName>
              <Value>MS-CHAP-V2</Value>
            </Node>
          </Node>
        </Node>
      </Node>
      <Node>
        <NodeName>Extension</NodeName>
        <Node>
            <NodeName>Android</NodeName>
            <Node>
                <NodeName>AAAServerTrustedNames</NodeName>
                <Node>
                    <NodeName>FQDN</NodeName>
                    <Value>trusted.com;trusted.net</Value>
                </Node>
            </Node>
        </Node>
      </Node>
    </Node>
  </Node>
</MgmtTree>

Profil avec un certificat numérique (EAP-TLS)

L'exemple suivant illustre un profil pour un réseau avec:

Nom de compatibilité réseau défini sur GlobalRoaming
Nom de domaine complet défini sur globalroaming.net
OI du consortium en itinérance (pour l'itinérance)
Domaine défini sur users.globalroaming.net
Justificatif d'identité avec un certificat numérique portant l'empreinte spécifiée

<MgmtTree xmlns="syncml:dmddf1.2">
  <VerDTD>1.2</VerDTD>
  <Node>
    <NodeName>PerProviderSubscription</NodeName>
    <RTProperties>
      <Type>
        <DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
      </Type>
    </RTProperties>
    <Node>
      <NodeName>i001</NodeName>
      <Node>
        <NodeName>HomeSP</NodeName>
        <Node>
          <NodeName>FriendlyName</NodeName>
          <Value>GlobalRoaming</Value>
        </Node>
        <Node>
          <NodeName>FQDN</NodeName>
          <Value>globalroaming.net</Value>
        </Node>
        <Node>
          <NodeName>RoamingConsortiumOI</NodeName>
          <Value>FFEEDDCC0,FFEEDDCC1,009999,008888</Value>
        </Node>
      </Node>
      <Node>
        <NodeName>Credential</NodeName>
        <Node>
          <NodeName>Realm</NodeName>
          <Value>users.globalroaming.net</Value>
        </Node>
        <Node>
          <NodeName>DigitalCertificate</NodeName>
          <Node>
            <NodeName>CertificateType</NodeName>
            <Value>x509v3</Value>
          </Node>
          <Node>
            <NodeName>CertSHA256Fingerprint</NodeName>
            <Value>0ef08a3d2118700474ca51fa25dc5e6d3d63d779aaad8238b608a853761da533</Value>
          </Node>
        </Node>
      </Node>
    </Node>
  </Node>
</MgmtTree>

Profil avec des identifiants SIM (EAP-AKA)

L'exemple suivant illustre un profil pour un réseau avec:

Nom de compatibilité réseau défini sur Purple Passpoint
Nom de domaine complet défini sur wlan.mnc888.mcc999.3gppnetwork.org
Identifiant de la carte SIM avec l'ID PLMN de 999888
Méthode EAP définie sur 23 (EAP-AKA)

<MgmtTree xmlns="syncml:dmddf1.2">
  <VerDTD>1.2</VerDTD>
  <Node>
    <NodeName>PerProviderSubscription</NodeName>
    <RTProperties>
      <Type>
        <DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
      </Type>
    </RTProperties>
    <Node>
      <NodeName>i001</NodeName>
      <Node>
        <NodeName>HomeSP</NodeName>
        <Node>
          <NodeName>FriendlyName</NodeName>
          <Value>Purple Passpoint</Value>
        </Node>
        <Node>
          <NodeName>FQDN</NodeName>
          <Value>purplewifi.com</Value>
        </Node>
      </Node>
      <Node>
        <NodeName>Credential</NodeName>
        <Node>
          <NodeName>Realm</NodeName>
          <Value>wlan.mnc888.mcc999.3gppnetwork.org</Value>
        </Node>
        <Node>
          <NodeName>SIM</NodeName>
          <Node>
            <NodeName>IMSI</NodeName>
            <Value>999888*</Value>
          </Node>
          <Node>
            <NodeName>EAPType</NodeName>
            <Value>23</Value>
          </Node>
        </Node>
      </Node>
    </Node>
  </Node>
</MgmtTree>

Avis Auth

Les appareils équipés d'Android 8.x ou d'Android 9 avec un profil Passpoint R1 EAP-SIM, EAP-AKA ou EAP-AKA ne se connecteront pas automatiquement au réseau Passpoint. Ce problème affecte les utilisateurs, les opérateurs et les services en réduisant le déchargement Wi-Fi.

Segment	Conséquences	L'ampleur de l'impact
Opérateurs et fournisseurs de services Passpoint	Charge plus importante sur le réseau mobile.	Tout opérateur utilisant Passpoint R1.
Utilisateurs	Opportunité manquée de connexion automatique aux points d'accès Wi-Fi de l'opérateur, ce qui entraîne une augmentation des coûts liés à la consommation de données.	Tout utilisateur disposant d'un appareil fonctionnant sur un réseau d'opérateur compatible avec Passpoint R1.

Cause de l'échec

Passpoint spécifie un mécanisme permettant d'associer un fournisseur de services annoncé (ANQP) à un profil installé sur l'appareil. Les règles de correspondance suivantes pour EAP-SIM, EAP-AKA et EAP-AKA constituent un ensemble partiel de règles axées sur les échecs d'EAP-SIM/AKA/AKA:

If the FQDN (Fully Qualified Domain Name) matches
    then the service is a Home Service Provider.
Else: If the PLMN ID (3GPP Network) matches
    then the service is a Roaming Service Provider.

Le deuxième critère a été modifié dans Android 8.0:

Else: If the PLMN ID (3GPP Network) matches AND the NAI Realm matches
    then the service is a Roaming Service Provider.

Avec cette modification, le système n'a observé aucune correspondance pour les fournisseurs de services qui fonctionnaient auparavant. Les appareils Passpoint ne se sont donc pas connectés automatiquement.

Solutions de contournement

Pour contourner le problème lié aux critères de correspondance modifiés, les opérateurs et les fournisseurs de services doivent ajouter le domaine de l'identifiant d'accès au réseau (NAI) aux informations publiées par Passpoint AP.

La solution recommandée est que les fournisseurs de services réseau mettent en œuvre une solution de contournement côté réseau pour que le déploiement soit le plus rapide possible. Pour contourner ce problème, les OEM doivent récupérer une liste de modifications à partir d'AOSP, puis mettre à jour les appareils sur le terrain.

Correction du problème réseau pour les opérateurs et les fournisseurs de services Passpoint

La solution de contournement côté réseau nécessite de reconfigurer le réseau pour ajouter l'élément ANQP du domaine NAI, comme spécifié ci-dessous. Les spécifications Passpoint ne nécessitent pas d'élément ANQP du domaine NAI, mais l'ajout de cette propriété est conforme aux spécifications Passpoint. Par conséquent, les implémentations client conformes aux spécifications ne devraient pas rencontrer d'interruption.

Ajoutez l'élément ANQP du domaine NAI.
Définissez le sous-champ de domaine NAI afin qu'il corresponde au Realm du profil installé sur l'appareil.
Définissez les informations suivantes en fonction de chaque type d'EAP:
- EAP-TTLS:définissez EAPMethod(21) et les types d'authentification internes compatibles (PAP, CHAP, MS-CHAP ou MS-CHAP-V2).
- EAP-TLS:définir EAPMethod(13)
- EAP-SIM:définir EAPMethod(18)
- EAP-AKA:définissez EAPMethod(23)
- EAP-AKA' : définir EAPMethod(50)

Correction de l'appareil/AOSP pour les OEM

Pour mettre en œuvre une solution de contournement côté appareil, les OEM doivent choisir la CL de correctif aosp/718508. Ce correctif peut être appliqué aux versions suivantes (il ne s'applique pas à Android 10 ou version ultérieure):

Android 9
Android 8.x

Lorsque le correctif est récupéré, les OEM doivent mettre à jour les appareils sur le terrain.