พาสพอยท์ (ฮอตสปอต 2.0)

Passpoint คือโปรโตคอล Wi-Fi Alliance (WFA) ที่ช่วยให้อุปกรณ์มือถือสามารถค้นพบและรับรองความถูกต้องของฮอตสปอต Wi-Fi ที่ให้การเข้าถึงอินเทอร์เน็ต

รองรับอุปกรณ์

เพื่อรองรับ Passpoint ผู้ผลิตอุปกรณ์จำเป็นต้องใช้ hardware/interfaces/wifi/supplicant/1.0 หรือสูงกว่า ภาษาการออกแบบอินเทอร์เฟซ Wi-Fi HAL (HIDL) ที่มีให้ใน Android Open Source Project (AOSP) กำหนด HAL ให้กับผู้ร้องขอ ผู้ร้องขอให้การสนับสนุนมาตรฐาน 802.11u โดยเฉพาะคุณสมบัติการค้นหาและการเลือกเครือข่าย เช่น Generic Advertisement Service (GAS) และ access network query protocol (ANQP)

การดำเนินการ

Android 11 หรือสูงกว่า

เพื่อรองรับ Passpoint บนอุปกรณ์ที่ใช้ Android 11 ขึ้นไป ผู้ผลิตอุปกรณ์จำเป็นต้องให้การสนับสนุนเฟิร์มแวร์สำหรับ 802.11u ข้อกำหนดอื่น ๆ ทั้งหมดสำหรับการรองรับ Passpoint จะรวมอยู่ใน AOSP

Android 10 หรือต่ำกว่า

สำหรับอุปกรณ์ที่ใช้ Android 10 หรือต่ำกว่า ผู้ผลิตอุปกรณ์จำเป็นต้องจัดเตรียมทั้งเฟรมเวิร์กและการสนับสนุน HAL/เฟิร์มแวร์:

  • กรอบงาน: เปิดใช้งาน Passpoint (ต้องมีแฟล็กคุณลักษณะ)
  • เฟิร์มแวร์: รองรับ 802.11u

เพื่อรองรับ Passpoint ให้ใช้ Wi-Fi HAL และเปิดใช้งานการตั้งค่าสถานะคุณลักษณะสำหรับ Passpoint ใน device.mk อยู่ใน device/<oem>/<device> ให้แก้ไขตัวแปรสภาพแวดล้อม PRODUCT_COPY_FILES เพื่อให้รองรับฟีเจอร์ Passpoint:

PRODUCT_COPY_FILES +=
frameworks/native/data/etc/android.hardware.wifi.passpoint.xml:$(TARGET_COPY_OUT_VENDOR)/etc/permissions/android.hardware.wifi.passpoint.xml

ข้อกำหนดอื่น ๆ ทั้งหมดสำหรับการรองรับ Passpoint จะรวมอยู่ใน AOSP

การตรวจสอบความถูกต้อง

หากต้องการตรวจสอบการใช้งานฟีเจอร์ Passpoint ให้ใช้ชุดการทดสอบหน่วยและการทดสอบการรวมที่มีให้ใน Android Comms Test Suite (ACTS)

การทดสอบหน่วย

รันการทดสอบหน่วยแพ็คเกจ Passpoint ต่อไปนี้

การทดสอบการบริการ:

atest com.android.server.wifi.hotspot2

การทดสอบผู้จัดการ:

atest android.net.wifi.hotspot2

การทดสอบบูรณาการ (ACTS)

ชุดทดสอบ ACTS Passpoint ซึ่งอยู่ใน tools/test/connectivity/acts_tests/tests/google/wifi/WifiPasspointTest.py จะใช้ชุดการทดสอบการทำงาน

การจัดเตรียม Passpoint R1

Android รองรับ Passpoint R1 ตั้งแต่ Android 6.0 ทำให้สามารถจัดเตรียมข้อมูลประจำตัว Passpoint R1 (รุ่น 1) ผ่านการดาวน์โหลดไฟล์พิเศษทางเว็บที่มีโปรไฟล์และข้อมูลรับรอง ไคลเอนต์เปิดตัวโปรแกรมติดตั้งพิเศษสำหรับข้อมูล Wi-Fi โดยอัตโนมัติ และอนุญาตให้ผู้ใช้ดูข้อมูลบางส่วนก่อนที่จะยอมรับหรือปฏิเสธเนื้อหา

ข้อมูลโปรไฟล์ที่มีอยู่ในไฟล์ใช้สำหรับจับคู่กับข้อมูลที่ดึงมาจากจุดเชื่อมต่อที่เปิดใช้งาน Passpoint และข้อมูลประจำตัวจะถูกนำไปใช้กับเครือข่ายที่ตรงกันโดยอัตโนมัติ

การใช้งานอ้างอิง Android รองรับ EAP-TTLS, EAP-TLS, EAP-SIM, EAP-AKA และ EAP-AKA'

กลไกการดาวน์โหลด

ไฟล์การกำหนดค่า Passpoint ต้องโฮสต์บนเว็บเซิร์ฟเวอร์และควรได้รับการปกป้องด้วย TLS (HTTPS) เนื่องจากไฟล์ดังกล่าวอาจมีรหัสผ่านแบบข้อความที่ชัดเจนหรือข้อมูลคีย์ส่วนตัว เนื้อหาประกอบด้วยข้อความ MIME แบบหลายส่วนที่ห่อหุ้มที่แสดงใน UTF-8 และเข้ารหัสด้วยการเข้ารหัส base64 ตาม RFC-2045 ส่วนที่ 6.8

ไคลเอนต์ใช้ฟิลด์ส่วนหัว HTTP ต่อไปนี้เพื่อเรียกใช้ตัวติดตั้ง Wi-Fi บนอุปกรณ์โดยอัตโนมัติ:

  • ต้องตั้งค่า Content-Type เป็น application/x-wifi-config
  • Content-Transfer-Encoding ต้องตั้งค่าเป็น base64
  • ต้องไม่ตั้งค่า Content-Disposition

วิธี HTTP ที่ใช้ในการดึงไฟล์ต้องเป็น GET ทุกครั้งที่ HTTP GET จากเบราว์เซอร์ได้รับการตอบกลับด้วยส่วนหัว MIME เหล่านี้ แอปการติดตั้งจะเริ่มต้นขึ้น การดาวน์โหลดต้องทริกเกอร์โดยการแตะที่องค์ประกอบ HTML เช่น ปุ่ม (ไม่รองรับการเปลี่ยนเส้นทางอัตโนมัติไปยัง URL ดาวน์โหลด) ลักษณะการทำงานนี้เฉพาะสำหรับ Google Chrome; เว็บเบราว์เซอร์อื่น ๆ อาจมีหรือไม่มีฟังก์ชันที่คล้ายคลึงกัน

องค์ประกอบของไฟล์

เนื้อหาที่เข้ารหัส Base64 ต้องประกอบด้วยเนื้อหาหลายส่วน MIME ที่มี Content-Type เป็น multipart/mixed ส่วนต่อไปนี้ประกอบขึ้นเป็นแต่ละส่วนของเนื้อหาแบบหลายส่วน

ส่วนหนึ่ง ประเภทเนื้อหา (เครื่องหมายคำพูดน้อยกว่า) ที่จำเป็น คำอธิบาย
ประวัติโดยย่อ application/x-passpoint-profile เสมอ เพย์โหลดที่จัดรูปแบบ OMA-DM SyncML ที่มี Passpoint R1 PerProviderSubscription จัดรูปแบบ MO สำหรับ HomeSP และ Credential
ใบรับรองความน่าเชื่อถือ application/x-x509-ca-cert จำเป็นสำหรับ EAP-TLS และ EAP-TTLS เพย์โหลดใบรับรองที่เข้ารหัส X.509v3 base64 เดียว
คีย์ EAP-TLS application/x-pkcs12 จำเป็นสำหรับ EAP-TLS โครงสร้าง PKCS #12 ASN.1 ที่เข้ารหัส base64 ที่มีห่วงโซ่ใบรับรองไคลเอ็นต์ที่มีใบรับรองไคลเอ็นต์และคีย์ส่วนตัวที่เกี่ยวข้องเป็นอย่างน้อย คอนเทนเนอร์ PKCS 12 รวมถึงคีย์ส่วนตัวและใบรับรองทั้งหมดต้องเป็นข้อความที่ชัดเจนและไม่มีรหัสผ่าน

ส่วนโปรไฟล์ต้องถูกถ่ายโอนเป็นข้อความ XML ที่เข้ารหัสแบบ 64 ฐานและเข้ารหัส UTF-8 ที่ระบุส่วนต่างๆ ของ HomeSP และทรีย่อย Credential ในข้อกำหนดทางเทคนิค Passpoint R2 เวอร์ชัน 1.0.0 ส่วนที่ 9.1

โหนดระดับบนสุดต้องเป็น MgmtTree และโหนดย่อยในทันทีต้องเป็น PerProviderSubscription ไฟล์ XML ตัวอย่างปรากฏใน โปรไฟล์ตัวอย่าง OMA-DM XML

โหนดทรีย่อยต่อไปนี้ถูกใช้ภายใต้ HomeSP :

  • FriendlyName : ต้องตั้งค่า; ใช้เป็นข้อความแสดงผล
  • FQDN : จำเป็น
  • RoamingConsortiumOI

โหนดทรีย่อยต่อไปนี้ใช้ภายใต้ Credential :

  • Realm : ต้องเป็นสตริงที่ไม่ว่าง
  • UsernamePassword ผ่าน : จำเป็นสำหรับ EAP-TTLS ที่มีชุดโหนดต่อไปนี้:

    • Username : สตริงที่มีชื่อผู้ใช้
    • Password : สตริงที่เข้ารหัส Base64 (ตั้งค่าเป็น cGFzc3dvcmQ= สตริงที่เข้ารหัส base64 สำหรับ "รหัสผ่าน" ในตัวอย่างด้านล่าง)
    • EAPMethod/EAPType : ต้องตั้งค่าเป็น 21
    • EAPMethod/InnerMethod : ต้องตั้งค่าเป็น PAP , CHAP , MS-CHAP หรือ MS-CHAP-V2 อย่างใดอย่างหนึ่ง
  • DigitalCertificate : จำเป็นสำหรับ EAP-TLS ต้องตั้งค่าโหนดต่อไปนี้:

    • CertificateType ตั้งค่าเป็น x509v3
    • ตั้งค่า CertSHA256Fingerprint เป็นไดเจสต์ SHA-256 ที่ถูกต้องของใบรับรองไคลเอ็นต์ในส่วน MIME ของคีย์ EAP-TLS
  • SIM : จำเป็นสำหรับ EAP-SIM, EAP-AKA และ EAP-AKA' ต้องตั้งค่าฟิลด์ EAPType เป็นประเภท EAP ที่เหมาะสม และ IMSI ต้องตรงกับ IMSI ของหนึ่งในซิมการ์ดที่ติดตั้งในอุปกรณ์ในขณะที่จัดเตรียม สตริง IMSI สามารถประกอบด้วยเลขทศนิยมทั้งหมดเพื่อบังคับให้จับคู่ความเท่าเทียมกันทั้งหมด หรือเลขฐานสิบศูนย์หรือมากกว่าตามด้วยเครื่องหมายดอกจัน (*) เพื่อคลายการจับคู่ IMSI กับคำนำหน้าเท่านั้น ตัวอย่างเช่น สตริง IMSI 123* ตรงกับซิมการ์ดใดๆ ที่มี IMSI ขึ้นต้นด้วย 123

Android 11 มาพร้อมความสามารถที่ทำให้การจัดเตรียม Passpoint R1 มีความยืดหยุ่นมากขึ้น

ชื่อโดเมนการพิสูจน์ตัวตน การอนุญาต และการบัญชี (AAA) แยกจากกัน

ผู้ดูแลระบบเครือข่าย Passpoint ที่ต้องการชื่อโดเมน AAA ที่ระบุโดยไม่ขึ้นกับชื่อโดเมนแบบเต็ม (FQDN) ที่โฆษณาโดยเครือข่ายผ่าน Access Network Query Protocol (ANQP) สามารถระบุรายการ FQDN ที่คั่นด้วยเซมิโคลอนในโหนดใหม่ภายใต้ทรีย่อย Extension . นี่เป็นโหนดเสริมและอุปกรณ์ที่ใช้ Android เวอร์ชัน 10 หรือต่ำกว่าจะไม่สนใจโหนดนี้

  • Android : ทรีย่อยส่วนขยายของ Android

    • AAAServerTrustedNames : จำเป็นสำหรับชื่อที่เชื่อถือได้ของเซิร์ฟเวอร์ AAA ที่มีชุดโหนดต่อไปนี้:

      • FQDN : สตริงที่มีชื่อที่เชื่อถือได้ของเซิร์ฟเวอร์ AAA ใช้เครื่องหมายอัฒภาคเพื่อแยกชื่อที่เชื่อถือได้ ตัวอย่างเช่น example.org;example.com
CAs รูทส่วนตัวที่ลงนามด้วยตนเอง
ผู้ดูแลระบบเครือข่าย Passpoint ที่จัดการใบรับรองภายในสามารถจัดเตรียมโปรไฟล์ด้วย CA ส่วนตัวที่ลงนามเองสำหรับการตรวจสอบ AAA
อนุญาตให้ติดตั้งโปรไฟล์โดยไม่มีใบรับรอง Root CA
ใบรับรอง Root CA ที่แนบกับโปรไฟล์จะใช้สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์ AAA ผู้ดูแลระบบเครือข่าย Passpoint ที่ต้องการใช้ Root CA สาธารณะที่เชื่อถือได้สำหรับการตรวจสอบสิทธิ์เซิร์ฟเวอร์ AAA สามารถจัดเตรียมโปรไฟล์ได้โดยไม่ต้องใช้ใบรับรอง Root CA ในกรณีนี้ ระบบจะตรวจสอบใบรับรองเซิร์ฟเวอร์ AAA เทียบกับใบรับรอง Root CA สาธารณะที่ติดตั้งใน trust store

การจัดเตรียม Passpoint R2

Android 10 รองรับฟีเจอร์ Passpoint R2 Passpoint R2 ใช้การลงชื่อสมัครใช้ออนไลน์ (OSU) ซึ่งเป็นวิธีมาตรฐานในการจัดเตรียมโปรไฟล์ Passpoint ใหม่ Android 10 ขึ้นไปรองรับการจัดเตรียมโปรไฟล์ EAP-TTLS โดยใช้โปรโตคอล SOAP-XML ผ่าน OSU ESS ที่เปิดอยู่

ฟีเจอร์ Passpoint R2 ที่รองรับนั้นรองรับเพียงโค้ดอ้างอิง AOSP เท่านั้น ไม่จำเป็นต้องรองรับไดรเวอร์หรือเฟิร์มแวร์เพิ่มเติม) รหัสอ้างอิง AOSP ยังรวมการใช้งานเริ่มต้นของ Passpoint R2 UI ในแอปการตั้งค่า

เมื่อ Android ตรวจพบจุดเข้าใช้งาน Passpoint R2 กรอบงาน Android:

  1. แสดงรายการผู้ให้บริการที่โฆษณาโดย AP ในตัวเลือก Wi-Fi (นอกเหนือจากการแสดง SSID)
  2. แจ้งให้ผู้ใช้แตะผู้ให้บริการรายใดรายหนึ่งเพื่อตั้งค่าโปรไฟล์ Passpoint
  3. แนะนำผู้ใช้ผ่านขั้นตอนการตั้งค่าโปรไฟล์ Passpoint
  4. ติดตั้งโปรไฟล์ Passpoint ที่เป็นผลลัพธ์เมื่อเสร็จสิ้น
  5. เชื่อมโยงกับเครือข่าย Passpoint โดยใช้โปรไฟล์ Passpoint ที่จัดเตรียมใหม่

คุณสมบัติของ Passpoint R3

Android 12 แนะนำคุณลักษณะ Passpoint R3 ต่อไปนี้ ซึ่งปรับปรุงประสบการณ์ผู้ใช้และอนุญาตให้เครือข่ายปฏิบัติตามกฎหมายท้องถิ่น:

ข้อกำหนดและเงื่อนไข

ในบางสถานที่และสถานที่บางแห่งจำเป็นต้องยอมรับข้อกำหนดและเงื่อนไขเพื่อให้สามารถเข้าถึงเครือข่ายได้ คุณลักษณะนี้ช่วยให้การปรับใช้เครือข่ายแทนที่พอร์ทัลแคปทีฟที่ไม่ปลอดภัย ซึ่งใช้เครือข่ายแบบเปิดด้วยเครือข่าย Passpoint ที่ปลอดภัย การแจ้งเตือนจะแสดงให้ผู้ใช้เห็นเมื่อจำเป็นต้องยอมรับข้อกำหนดและเงื่อนไข

ข้อกำหนดและเงื่อนไข URL ต้องชี้ไปที่เว็บไซต์ที่ปลอดภัยโดยใช้ HTTPS หาก URL ชี้ไปยังเว็บไซต์ที่ไม่ปลอดภัย เฟรมเวิร์กจะตัดการเชื่อมต่อและบล็อกเครือข่ายทันที

URL ข้อมูลสถานที่

อนุญาตให้ผู้ให้บริการเครือข่ายและสถานที่ให้ข้อมูลเพิ่มเติมแก่ผู้ใช้ เช่น แผนที่สถานที่ ไดเรกทอรี โปรโมชั่น และคูปอง การแจ้งเตือนจะแสดงให้ผู้ใช้เห็นเมื่อมีการเชื่อมต่อเครือข่าย

URL ข้อมูลสถานที่ต้องชี้ไปที่เว็บไซต์ที่ปลอดภัยโดยใช้ HTTPS หาก URL ชี้ไปยังเว็บไซต์ที่ไม่ปลอดภัย เฟรมเวิร์กจะละเว้น URL และไม่แสดงการแจ้งเตือน

คุณสมบัติ Passpoint อื่น ๆ

Android 11 แนะนำความสามารถ Passpoint ต่อไปนี้ ซึ่งปรับปรุงประสบการณ์ผู้ใช้ การใช้พลังงาน และความยืดหยุ่นในการใช้งาน

การบังคับใช้และการแจ้งเตือนวันหมดอายุ
การบังคับใช้วันที่หมดอายุบนโปรไฟล์ทำให้กรอบงานสามารถหลีกเลี่ยงการเชื่อมต่ออัตโนมัติกับจุดเชื่อมต่อที่มีข้อมูลประจำตัวที่หมดอายุ ซึ่งถูกผูกไว้ว่าจะล้มเหลว วิธีนี้ช่วยป้องกันการใช้เวลาออกอากาศ และช่วยประหยัดแบตเตอรี่และแบนด์วิดท์ของแบ็กเอนด์ กรอบงานจะแสดงการแจ้งเตือนให้กับผู้ใช้เมื่อเครือข่ายที่ตรงกับโปรไฟล์ของพวกเขาอยู่ในระยะและโปรไฟล์หมดอายุ
หลายโปรไฟล์ที่มี FQDN . เหมือนกัน
ผู้ให้บริการที่ปรับใช้เครือข่าย Passpoint และใช้ ID เครือข่ายโทรศัพท์เคลื่อนที่สาธารณะ (PLMN) หลายรายการสามารถจัดเตรียมโปรไฟล์ Passpoint หลายรายการด้วย FQDN เดียวกัน หนึ่งรายการสำหรับแต่ละ PLMN ID ซึ่งจะจับคู่โดยอัตโนมัติกับซิมการ์ดที่ติดตั้งและใช้ในการเชื่อมต่อเครือข่าย

Android 12 แนะนำความสามารถ Passpoint ต่อไปนี้ ซึ่งปรับปรุงประสบการณ์ผู้ใช้ การใช้พลังงาน และความยืดหยุ่นในการใช้งาน:

คำนำหน้าตัวตนที่ตกแต่งแล้ว
เมื่อตรวจสอบสิทธิ์เครือข่ายด้วยการตกแต่งคำนำหน้า คำนำหน้าข้อมูลประจำตัวที่ตกแต่งไว้จะช่วยให้ผู้ให้บริการเครือข่ายอัปเดต Network Access Identifier (NAI) เพื่อดำเนินการกำหนดเส้นทางที่ชัดเจนผ่านพร็อกซีหลายรายการภายในเครือข่าย AAA (ดู RFC 7542 ) Android 12 ใช้คุณลักษณะนี้ตาม ข้อกำหนด WBA สำหรับส่วนขยาย PPS-MO
Deauthentication การจัดการที่ใกล้เข้ามา
อนุญาตให้ผู้ให้บริการเครือข่ายส่งสัญญาณไปยังอุปกรณ์ที่บริการไม่พร้อมใช้งานสำหรับข้อมูลรับรองที่ใช้ในการตรวจสอบสิทธิ์กับเครือข่ายในช่วงระยะเวลาหนึ่ง (ระบุผ่านการหน่วงเวลา) หลังจากรับสัญญาณนี้ อุปกรณ์ต่างๆ จะไม่พยายามเชื่อมต่อกับเครือข่ายอีกครั้งด้วยข้อมูลประจำตัวเดิม จนกว่าจะหมดเวลาการหมดเวลา ในทางกลับกัน อุปกรณ์ที่ไม่รองรับคุณสมบัตินี้อาจพยายามเชื่อมต่อกับเครือข่ายซ้ำๆ กันในขณะที่บริการไม่พร้อมใช้งาน

ตัวอย่างของโปรไฟล์ OMA-DM PerProviderSubscription-MO XML

โปรไฟล์ที่มีชื่อผู้ใช้/รหัสผ่านประจำตัว (EAP-TTLS)

ตัวอย่างต่อไปนี้สาธิตโปรไฟล์สำหรับเครือข่ายด้วย:

  • ตั้งชื่อที่เป็นมิตรกับเครือข่ายเป็น Example Network
  • FQDN ตั้งค่าเป็น hotspot.example.net
  • Roaming consortium OIs (สำหรับการโรมมิ่ง)
  • Credential with username user รหัสผ่าน password ที่เข้ารหัสด้วย Base64 และขอบเขตที่ตั้งค่าเป็น example.net
  • วิธี EAP ตั้งค่าเป็น 21 (EAP-TTLS)
  • วิธีการภายใน Phase-2 ตั้งค่าเป็น MS-CHAP-V2
  • ชื่อโดเมน AAA ทางเลือกที่ตั้งค่าเป็น trusted.com และ trusted.net
<MgmtTree xmlns="syncml:dmddf1.2">
  <VerDTD>1.2</VerDTD>
  <Node>
    <NodeName>PerProviderSubscription</NodeName>
    <RTProperties>
      <Type>
        <DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
      </Type>
    </RTProperties>
    <Node>
      <NodeName>i001</NodeName>
      <Node>
        <NodeName>HomeSP</NodeName>
        <Node>
          <NodeName>FriendlyName</NodeName>
          <Value>Example Network</Value>
        </Node>
        <Node>
          <NodeName>FQDN</NodeName>
          <Value>hotspot.example.net</Value>
        </Node>
        <Node>
          <NodeName>RoamingConsortiumOI</NodeName>
          <Value>112233,445566</Value>
        </Node>
      </Node>
      <Node>
        <NodeName>Credential</NodeName>
        <Node>
          <NodeName>Realm</NodeName>
          <Value>example.net</Value>
        </Node>
        <Node>
          <NodeName>UsernamePassword</NodeName>
          <Node>
            <NodeName>Username</NodeName>
            <Value>user</Value>
          </Node>
          <Node>
            <NodeName>Password</NodeName>
            <Value>cGFzc3dvcmQ=</Value>
          </Node>
          <Node>
            <NodeName>EAPMethod</NodeName>
            <Node>
              <NodeName>EAPType</NodeName>
              <Value>21</Value>
            </Node>
            <Node>
              <NodeName>InnerMethod</NodeName>
              <Value>MS-CHAP-V2</Value>
            </Node>
          </Node>
        </Node>
      </Node>
      <Node>
        <NodeName>Extension</NodeName>
        <Node>
            <NodeName>Android</NodeName>
            <Node>
                <NodeName>AAAServerTrustedNames</NodeName>
                <Node>
                    <NodeName>FQDN</NodeName>
                    <Value>trusted.com;trusted.net</Value>
                </Node>
            </Node>
        </Node>
      </Node>
    </Node>
  </Node>
</MgmtTree>

โปรไฟล์ที่มีข้อมูลรับรองใบรับรองดิจิทัล (EAP-TLS)

ตัวอย่างต่อไปนี้สาธิตโปรไฟล์สำหรับเครือข่ายด้วย:

  • ชื่อที่เป็นมิตรกับเครือข่ายตั้งค่าเป็น GlobalRoaming
  • FQDN ตั้งค่าเป็น globalroaming.net
  • Roaming Consortium OIs (สำหรับการโรมมิ่ง)
  • ตั้งค่าขอบเขตเป็น users.globalroaming.net
  • หนังสือรับรองพร้อมใบรับรองดิจิทัลที่มีลายนิ้วมือที่ระบุ
<MgmtTree xmlns="syncml:dmddf1.2">
  <VerDTD>1.2</VerDTD>
  <Node>
    <NodeName>PerProviderSubscription</NodeName>
    <RTProperties>
      <Type>
        <DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
      </Type>
    </RTProperties>
    <Node>
      <NodeName>i001</NodeName>
      <Node>
        <NodeName>HomeSP</NodeName>
        <Node>
          <NodeName>FriendlyName</NodeName>
          <Value>GlobalRoaming</Value>
        </Node>
        <Node>
          <NodeName>FQDN</NodeName>
          <Value>globalroaming.net</Value>
        </Node>
        <Node>
          <NodeName>RoamingConsortiumOI</NodeName>
          <Value>FFEEDDCC0,FFEEDDCC1,009999,008888</Value>
        </Node>
      </Node>
      <Node>
        <NodeName>Credential</NodeName>
        <Node>
          <NodeName>Realm</NodeName>
          <Value>users.globalroaming.net</Value>
        </Node>
        <Node>
          <NodeName>DigitalCertificate</NodeName>
          <Node>
            <NodeName>CertificateType</NodeName>
            <Value>x509v3</Value>
          </Node>
          <Node>
            <NodeName>CertSHA256Fingerprint</NodeName>
            <Value>0ef08a3d2118700474ca51fa25dc5e6d3d63d779aaad8238b608a853761da533</Value>
          </Node>
        </Node>
      </Node>
    </Node>
  </Node>
</MgmtTree>

โปรไฟล์ที่มีข้อมูลรับรองซิม (EAP-AKA)

ตัวอย่างต่อไปนี้สาธิตโปรไฟล์สำหรับเครือข่ายด้วย:

  • ชื่อที่เป็นมิตรกับเครือข่ายตั้งค่าเป็น Purple Passpoint
  • FQDN ตั้งค่าเป็น wlan.mnc888.mcc999.3gppnetwork.org
  • ข้อมูลประจำตัวของซิมที่มี PLMN ID 999888
  • วิธี EAP ตั้งค่าเป็น 23 (EAP-AKA)
<MgmtTree xmlns="syncml:dmddf1.2">
  <VerDTD>1.2</VerDTD>
  <Node>
    <NodeName>PerProviderSubscription</NodeName>
    <RTProperties>
      <Type>
        <DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
      </Type>
    </RTProperties>
    <Node>
      <NodeName>i001</NodeName>
      <Node>
        <NodeName>HomeSP</NodeName>
        <Node>
          <NodeName>FriendlyName</NodeName>
          <Value>Purple Passpoint</Value>
        </Node>
        <Node>
          <NodeName>FQDN</NodeName>
          <Value>purplewifi.com</Value>
        </Node>
      </Node>
      <Node>
        <NodeName>Credential</NodeName>
        <Node>
          <NodeName>Realm</NodeName>
          <Value>wlan.mnc888.mcc999.3gppnetwork.org</Value>
        </Node>
        <Node>
          <NodeName>SIM</NodeName>
          <Node>
            <NodeName>IMSI</NodeName>
            <Value>999888*</Value>
          </Node>
          <Node>
            <NodeName>EAPType</NodeName>
            <Value>23</Value>
          </Node>
        </Node>
      </Node>
    </Node>
  </Node>
</MgmtTree>

คำแนะนำการตรวจสอบสิทธิ์

อุปกรณ์ที่ใช้ Android 8.x หรือ Android 9 ที่มีโปรไฟล์ Passpoint R1 EAP-SIM, EAP-AKA หรือ EAP-AKA จะไม่เชื่อมต่อกับเครือข่าย Passpoint โดยอัตโนมัติ ปัญหานี้ส่งผลกระทบต่อผู้ใช้ ผู้ให้บริการ และบริการโดยการลดปริมาณการใช้ Wi-Fi

เซ็กเมนต์ ผลกระทบ ขนาดของผลกระทบ
ผู้ให้บริการและผู้ให้บริการ Passpoint เพิ่มภาระในเครือข่ายเซลลูลาร์ ผู้ให้บริการรายใดที่ใช้ Passpoint R1
ผู้ใช้ พลาดโอกาสในการเชื่อมต่ออัตโนมัติกับจุดเชื่อมต่อ Wi-Fi ของผู้ให้บริการ (AP) ส่งผลให้ต้นทุนข้อมูลสูงขึ้น ผู้ใช้ที่มีอุปกรณ์ที่ทำงานบนเครือข่ายผู้ให้บริการที่รองรับ Passpoint R1

สาเหตุของความล้มเหลว

Passpoint ระบุกลไกในการจับคู่ผู้ให้บริการที่โฆษณา (ANQP) กับโปรไฟล์ที่ติดตั้งบนอุปกรณ์ กฎการจับคู่ต่อไปนี้สำหรับ EAP-SIM, EAP-AKA และ EAP-AKA' เป็นชุดบางส่วนของกฎที่เน้นที่ความล้มเหลวของ EAP-SIM/AKA/AKA:

If the FQDN (Fully Qualified Domain Name) matches
    then the service is a Home Service Provider.
Else: If the PLMN ID (3GPP Network) matches
    then the service is a Roaming Service Provider.

เกณฑ์ที่สองได้รับการแก้ไขใน Android 8.0:

Else: If the PLMN ID (3GPP Network) matches AND the NAI Realm matches
    then the service is a Roaming Service Provider.

ด้วยการปรับเปลี่ยนนี้ ระบบพบว่าผู้ให้บริการที่ใช้งานได้ก่อนหน้านี้ไม่ตรงกัน ดังนั้นอุปกรณ์ Passpoint จึงไม่เชื่อมต่ออัตโนมัติ

วิธีแก้ปัญหา

ในการหลีกเลี่ยงปัญหาเกณฑ์การจับคู่ที่แก้ไข ผู้ให้บริการและผู้ให้บริการจำเป็นต้องเพิ่มขอบเขตของตัวระบุการเข้าถึงเครือข่าย (NAI) ให้กับข้อมูลที่เผยแพร่โดย Passpoint AP

โซลูชันที่แนะนำมีไว้สำหรับผู้ให้บริการเครือข่ายในการดำเนินการแก้ไขปัญหาชั่วคราวฝั่งเครือข่ายเพื่อให้ใช้งานได้รวดเร็วที่สุด วิธีแก้ปัญหาด้านอุปกรณ์ขึ้นอยู่กับ OEM ที่รับรายการการเปลี่ยนแปลง (CL) จาก AOSP แล้วอัปเดตอุปกรณ์ในภาคสนาม

การแก้ไขเครือข่ายสำหรับผู้ให้บริการและผู้ให้บริการ Passpoint

การแก้ปัญหาชั่วคราวฝั่งเครือข่ายต้องมีการกำหนดค่าเครือข่ายใหม่เพื่อเพิ่มองค์ประกอบ NAI realm ANQP ตามที่ระบุไว้ด้านล่าง ข้อมูลจำเพาะ Passpoint ไม่ต้องการองค์ประกอบ NAI realm ANQP แต่การเพิ่มคุณสมบัตินี้สอดคล้องกับข้อกำหนด Passpoint ดังนั้นการใช้งานไคลเอนต์ที่เป็นไปตามข้อกำหนดไม่ควรเสียหาย

  1. เพิ่มองค์ประกอบ NAI realm ANQP
  2. ตั้งค่าฟิลด์ย่อยขอบเขต NAI ให้ตรงกับ Realm ของโปรไฟล์ที่ติดตั้งบนอุปกรณ์
  3. ตั้งค่าข้อมูลต่อไปนี้ตาม EAP แต่ละประเภท:

    • EAP-TTLS: ตั้งค่า EAPMethod(21) และประเภทการตรวจสอบสิทธิ์ภายในที่รองรับ ( PAP , CHAP , MS-CHAP หรือ MS-CHAP-V2 )
    • EAP-TLS: ตั้งค่า EAPMethod(13)
    • EAP-SIM: ตั้งค่า EAPMethod(18)
    • EAP-AKA: กำหนด EAPMethod(23)
    • EAP-AKA': ตั้งค่า EAPMethod(50)

การแก้ไขอุปกรณ์/AOSP สำหรับ OEM

หากต้องการใช้วิธีแก้ไขปัญหาชั่วคราวฝั่งอุปกรณ์ OEM จำเป็นต้องเลือกโปรแกรมแก้ไข CL aosp/718508 สามารถใช้โปรแกรมแก้ไขนี้กับรุ่นต่อไปนี้ได้ (ใช้ไม่ได้กับ Android 10 หรือสูงกว่า):

  • Android 9
  • Android 8.x

เมื่อได้รับแพตช์แล้ว OEM จำเป็นต้องอัปเดตอุปกรณ์ในภาคสนาม