Passpoint เป็นโปรโตคอลของ Wi-Fi Alliance (WFA) ที่ช่วยให้อุปกรณ์เคลื่อนที่ค้นหาและตรวจสอบสิทธิ์ฮอตสปอต Wi-Fi ที่ให้บริการอินเทอร์เน็ตได้
การสนับสนุนอุปกรณ์
หากต้องการรองรับ Passpoint ผู้ผลิตอุปกรณ์ต้องใช้
อินเทอร์เฟซ Supplicant ตั้งแต่ Android 13 เป็นต้นไป
อินเทอร์เฟซจะใช้ AIDL สำหรับคำจำกัดความ HAL
สำหรับรุ่นก่อน Android 13
อินเทอร์เฟซและพาร์ติชันของผู้ให้บริการจะใช้ HIDL
ไฟล์ HIDL อยู่ใน hardware/interfaces/supplicant/1.x
และไฟล์ AIDL อยู่ใน hardware/interfaces/supplicant/aidl
Supplicant รองรับมาตรฐาน 802.11u โดยเฉพาะฟีเจอร์การค้นหาและการเลือกเครือข่าย เช่น Generic Advertisement Service (GAS) และ Access Network Query Protocol (ANQP)
การใช้งาน
Android 11 ขึ้นไป
หากต้องการรองรับ Passpoint ในอุปกรณ์ที่ใช้ Android 11 ขึ้นไป ผู้ผลิตอุปกรณ์ต้องให้การรองรับเฟิร์มแวร์สำหรับ 802.11u ข้อกำหนดอื่นๆ ทั้งหมดสำหรับการรองรับ Passpoint จะรวมอยู่ใน AOSP
Android 10 หรือต่ำกว่า
สำหรับอุปกรณ์ที่ใช้ Android 10 หรือต่ำกว่า ผู้ผลิตอุปกรณ์ต้องให้การสนับสนุนทั้งเฟรมเวิร์กและ HAL/เฟิร์มแวร์ ดังนี้
- Framework: เปิดใช้ Passpoint (ต้องใช้ฟีเจอร์ Flag)
- เฟิร์มแวร์: รองรับ 802.11u
หากต้องการรองรับ Passpoint ให้ใช้ Wi-Fi HAL และเปิดใช้ค่าสถานะฟีเจอร์สำหรับ
Passpoint ใน device.mk ที่อยู่ใน device/<oem>/<device> ให้แก้ไขตัวแปรสภาพแวดล้อม
PRODUCT_COPY_FILES เพื่อรวมการรองรับฟีเจอร์
Passpoint
PRODUCT_COPY_FILES +=
frameworks/native/data/etc/android.hardware.wifi.passpoint.xml:$(TARGET_COPY_OUT_VENDOR)/etc/permissions/android.hardware.wifi.passpoint.xml
ข้อกำหนดอื่นๆ ทั้งหมดสำหรับการรองรับ Passpoint จะรวมอยู่ใน AOSP
การตรวจสอบความถูกต้อง
หากต้องการตรวจสอบการใช้งานฟีเจอร์ Passpoint ให้เรียกใช้ การทดสอบหน่วยของแพ็กเกจ Passpoint ต่อไปนี้
การทดสอบบริการ:
atest com.android.server.wifi.hotspot2การทดสอบของผู้จัดการ
atest android.net.wifi.hotspot2การจัดสรร Passpoint R1
Android รองรับ Passpoint R1 ตั้งแต่ Android 6.0 ซึ่งอนุญาตให้จัดสรรข้อมูลเข้าสู่ระบบ Passpoint R1 (รุ่น 1) ผ่านการดาวน์โหลดบนเว็บของไฟล์พิเศษที่มีข้อมูลโปรไฟล์และข้อมูลเข้าสู่ระบบ ไคลเอ็นต์จะเปิดตัวโปรแกรมติดตั้งพิเศษสำหรับข้อมูล Wi-Fi โดยอัตโนมัติ และอนุญาตให้ผู้ใช้ดูข้อมูลบางส่วนก่อนที่จะยอมรับหรือปฏิเสธเนื้อหา
ระบบจะใช้ข้อมูลโปรไฟล์ที่มีอยู่ในไฟล์เพื่อจับคู่กับข้อมูลที่ดึงมาจากจุดเข้าใช้งานที่เปิดใช้ Passpoint และจะใช้ข้อมูลเข้าสู่ระบบโดยอัตโนมัติกับเครือข่ายที่ตรงกัน
การใช้งานอ้างอิงของ Android รองรับ EAP-TTLS, EAP-TLS, EAP-SIM, EAP-AKA และ EAP-AKA'
กลไกการดาวน์โหลด
ไฟล์การกำหนดค่า Passpoint ต้องโฮสต์ในเว็บเซิร์ฟเวอร์และควรได้รับการป้องกันด้วย TLS (HTTPS) เนื่องจากอาจมีรหัสผ่านข้อความธรรมดาหรือข้อมูลคีย์ส่วนตัว เนื้อหาประกอบด้วยข้อความ MIME แบบหลายส่วนที่ห่อหุ้ม แสดงใน UTF-8 และเข้ารหัสในการเข้ารหัส base64 ตามส่วนที่ 6.8 ของ RFC-2045
ไคลเอ็นต์ใช้ฟิลด์ส่วนหัว HTTP ต่อไปนี้เพื่อเปิดตัวโปรแกรมติดตั้ง Wi-Fi ในอุปกรณ์โดยอัตโนมัติ
- ต้องตั้งค่า
Content-Typeเป็นapplication/x-wifi-config - ต้องตั้งค่า
Content-Transfer-Encodingเป็นbase64 - ต้องไม่ตั้งค่า
Content-Disposition
เมธอด HTTP ที่ใช้ในการดึงข้อมูลไฟล์ต้องเป็น GET ทุกครั้งที่ HTTP GET จากเบราว์เซอร์ได้รับการตอบกลับที่มีส่วนหัว MIME เหล่านี้ แอปการติดตั้งจะเริ่มทำงาน การดาวน์โหลดต้องเกิดจากการแตะองค์ประกอบ HTML เช่น ปุ่ม (ระบบไม่รองรับการเปลี่ยนเส้นทางอัตโนมัติไปยัง URL การดาวน์โหลด) ลักษณะการทำงานนี้ เป็นของ Google Chrome โดยเฉพาะ เว็บเบราว์เซอร์อื่นๆ อาจมีหรือไม่มีฟังก์ชันการทำงานที่คล้ายกัน
องค์ประกอบของไฟล์
เนื้อหาที่เข้ารหัส Base64 ต้องประกอบด้วยเนื้อหาแบบหลายส่วน MIME ที่มี
Content-Typeเป็น multipart/mixed ส่วนต่อไปนี้ประกอบกันเป็นส่วนต่างๆ ของเนื้อหาแบบหลายพาร์ท
| ส่วน | Content-Type (เครื่องหมายคำพูดน้อยกว่า) | ต้องระบุ | คำอธิบาย |
|---|---|---|---|
| โปรไฟล์ |
application/x-passpoint-profile
|
เสมอ | เพย์โหลดที่จัดรูปแบบ SyncML ของ OMA-DM ซึ่งมี MO ที่จัดรูปแบบ Passpoint R1
PerProviderSubscription สำหรับ HomeSP
และ Credential |
| ใบรับรองความน่าเชื่อถือ |
application/x-x509-ca-cert
|
ต้องใช้สำหรับ EAP-TLS และ EAP-TTLS | เพย์โหลดใบรับรอง X.509v3 ที่เข้ารหัสฐาน 64 รายการเดียว |
| คีย์ EAP-TLS |
application/x-pkcs12
|
ต้องใช้สำหรับ EAP-TLS | โครงสร้าง PKCS #12 ASN.1 ที่เข้ารหัส Base64 ซึ่งมีห่วงโซ่ใบรับรองไคลเอ็นต์ที่มีอย่างน้อยใบรับรองไคลเอ็นต์และคีย์ส่วนตัวที่เชื่อมโยง คอนเทนเนอร์ PKCS 12 รวมถึงคีย์ส่วนตัวและใบรับรองต้องอยู่ในรูปแบบข้อความธรรมดาโดยไม่มีรหัสผ่าน |
ต้องโอนส่วนโปรไฟล์เป็นข้อความ XML ที่เข้ารหัส UTF-8 และเข้ารหัส Base64
ซึ่งระบุส่วนของHomeSPและCredentialใน
ข้อกำหนดทางเทคนิคของ Passpoint R2 เวอร์ชัน 1.0.0 ส่วนที่ 9.1
โหนดระดับบนสุดต้องเป็น MgmtTree และโหนดลูกที่อยู่ติดกันต้องเป็น PerProviderSubscription ตัวอย่างไฟล์ XML จะปรากฏใน
ตัวอย่างโปรไฟล์ OMA-DM XML
ใช้โหนดของซับทรีต่อไปนี้ภายใต้ HomeSP
FriendlyName: ต้องตั้งค่า ใช้เป็นข้อความที่แสดงFQDN: ต้องระบุRoamingConsortiumOI
ใช้โหนดของซับทรีต่อไปนี้ภายใต้ Credential
Realm: ต้องเป็นสตริงที่ไม่ว่างUsernamePassword: ต้องระบุสำหรับ EAP-TTLS ที่ตั้งค่าโหนดต่อไปนี้Username: สตริงที่มีชื่อผู้ใช้Password: สตริงที่เข้ารหัส Base64 (ตั้งค่าเป็นcGFzc3dvcmQ=ซึ่งเป็นสตริงที่เข้ารหัส Base64 สำหรับ "password" ในตัวอย่างด้านล่าง)EAPMethod/EAPType: ต้องตั้งค่าเป็น21EAPMethod/InnerMethod: ต้องตั้งค่าเป็นPAP,CHAP,MS-CHAPหรือMS-CHAP-V2
DigitalCertificate: ต้องระบุสำหรับ EAP-TLS ต้องตั้งค่าโหนดต่อไปนี้- ตั้งค่า
CertificateTypeเป็นx509v3 CertSHA256Fingerprintตั้งค่าเป็นไดเจสต์ SHA-256 ที่ถูกต้องของใบรับรองไคลเอ็นต์ ในส่วน MIME ของคีย์ EAP-TLS
- ตั้งค่า
SIM: ต้องระบุสำหรับ EAP-SIM, EAP-AKA และ EAP-AKA' ฟิลด์EAPTypeต้อง ตั้งค่าเป็นประเภท EAP ที่เหมาะสม และIMSIต้องตรงกับ IMSI ของซิมการ์ด ที่ติดตั้งในอุปกรณ์ ณ เวลาที่จัดสรร สตริง IMSI อาจประกอบด้วยตัวเลขฐานสิบทั้งหมดเพื่อบังคับให้มีการจับคู่ที่เท่ากันทุกประการ หรือประกอบด้วยตัวเลขฐานสิบ 5 หรือ 6 หลักตามด้วยเครื่องหมายดอกจัน (*) เพื่อ ผ่อนปรนการจับคู่ IMSI ให้เป็น MCC/MNC เท่านั้น ตัวอย่างเช่น สตริง IMSI 123456* จะตรงกับซิมการ์ดที่มี MCC เป็น 123 และ MNC เป็น 456
Android 11 มีความสามารถที่ช่วยให้การจัดสรร Passpoint R1 ยืดหยุ่นมากขึ้น
- ชื่อโดเมนการตรวจสอบสิทธิ์ การให้สิทธิ์ และการบัญชี (AAA) แยกกัน
ผู้ดูแลระบบเครือข่าย Passpoint ที่ต้องการระบุชื่อโดเมน AAA แยกต่างหากจากชื่อโดเมนที่สมบูรณ์ในตัวเอง (FQDN) ที่เครือข่ายโฆษณาผ่าน Access Network Query Protocol (ANQP) สามารถระบุรายการ FQDN ที่คั่นด้วยเครื่องหมายอัฒภาคในโหนดใหม่ภายใต้
ExtensionSubtree ได้ โหนดนี้เป็นโหนดที่ไม่บังคับ และอุปกรณ์ที่ใช้ Android เวอร์ชัน 10 หรือต่ำกว่าจะละเว้นโหนดนี้
Android: แผนผังย่อยของส่วนขยาย AndroidAAAServerTrustedNames: ต้องระบุสำหรับชื่อที่เชื่อถือได้ของเซิร์ฟเวอร์ AAA โดยตั้งค่าโหนดต่อไปนี้FQDN: สตริงที่มีชื่อที่เชื่อถือได้ของเซิร์ฟเวอร์ AAA ใช้ เครื่องหมายเซมิโคลอนเพื่อคั่นชื่อที่เชื่อถือได้ เช่นexample.org;example.com
- CA รากส่วนตัวที่ลงนามด้วยตนเอง
- ผู้ดูแลระบบเครือข่าย Passpoint ที่จัดการใบรับรองภายใน สามารถจัดสรรโปรไฟล์ด้วย CA แบบ Self-signed ส่วนตัวสำหรับการตรวจสอบสิทธิ์ AAA
- อนุญาตให้ติดตั้งโปรไฟล์โดยไม่ต้องมีใบรับรอง CA รูท
- ระบบจะใช้ใบรับรอง CA หลักที่แนบมากับโปรไฟล์เพื่อการตรวจสอบสิทธิ์เซิร์ฟเวอร์ AAA ผู้ดูแลระบบเครือข่าย Passpoint ที่ต้องการใช้ Root CA ที่เชื่อถือได้แบบสาธารณะสำหรับการตรวจสอบสิทธิ์เซิร์ฟเวอร์ AAA สามารถจัดสรรโปรไฟล์ได้โดยไม่ต้องมีใบรับรอง Root CA ในกรณีนี้ ระบบจะยืนยันใบรับรองเซิร์ฟเวอร์ AAA กับใบรับรอง CA รูทสาธารณะที่ติดตั้งในที่เก็บที่เชื่อถือได้
การจัดสรร Passpoint R2
Android 10 ได้เปิดตัวการรองรับฟีเจอร์ Passpoint R2 Passpoint R2 ใช้การลงชื่อสมัครใช้ออนไลน์ (OSU) ซึ่งเป็นวิธีมาตรฐานในการ จัดสรรโปรไฟล์ Passpoint ใหม่ Android 10 ขึ้นไป รองรับการจัดสรรโปรไฟล์ EAP-TTLS โดยใช้โปรโตคอล SOAP-XML ผ่าน OSU ESS แบบเปิด
ฟีเจอร์ Passpoint R2 ที่รองรับต้องใช้โค้ดอ้างอิง AOSP เท่านั้น (ไม่จำเป็นต้องรองรับไดรเวอร์หรือเฟิร์มแวร์เพิ่มเติม) โค้ดอ้างอิง AOSP ยังมีการใช้งานเริ่มต้นของ UI Passpoint R2 ในแอปการตั้งค่า ด้วย
เมื่อ Android ตรวจพบจุดเข้าใช้งาน Passpoint R2 เฟรมเวิร์ก Android จะดำเนินการต่อไปนี้
- แสดงรายชื่อผู้ให้บริการที่ AP โฆษณาในตัวเลือก Wi-Fi (นอกเหนือจากการแสดง SSID)
- แจ้งให้ผู้ใช้แตะผู้ให้บริการรายใดรายหนึ่งเพื่อตั้งค่าโปรไฟล์ Passpoint
- แนะนำขั้นตอนการตั้งค่าโปรไฟล์ Passpoint ให้ผู้ใช้
- ติดตั้งโปรไฟล์ Passpoint ที่ได้เมื่อเสร็จสมบูรณ์
- เชื่อมต่อกับเครือข่าย Passpoint โดยใช้โปรไฟล์ Passpoint ที่จัดสรรใหม่
ฟีเจอร์ Passpoint R3
Android 12 มีฟีเจอร์ Passpoint R3 ต่อไปนี้ซึ่งช่วยปรับปรุงประสบการณ์ของผู้ใช้และช่วยให้เครือข่ายเป็นไปตาม กฎหมายท้องถิ่น
- ข้อกำหนดและเงื่อนไข
การยอมรับข้อกำหนดและเงื่อนไขเป็นข้อกำหนดทางกฎหมายในบางสถานที่และ สถานที่จัดงานเพื่อให้บริการการเข้าถึงเครือข่าย ฟีเจอร์นี้ช่วยให้การติดตั้งใช้งานเครือข่ายสามารถ แทนที่แคปทีฟพอร์ทัลที่ไม่ปลอดภัยซึ่งใช้เครือข่ายแบบเปิดด้วยเครือข่าย Passpoint ที่ปลอดภัย ระบบจะแสดงการแจ้งเตือนต่อผู้ใช้เมื่อต้องยอมรับข้อกำหนดและ เงื่อนไข
URL ของข้อกำหนดและเงื่อนไขต้องชี้ไปยังเว็บไซต์ที่ปลอดภัยซึ่งใช้ HTTPS หาก URL ชี้ไปยังเว็บไซต์ที่ไม่ปลอดภัย เฟรมเวิร์กจะตัดการเชื่อมต่อและบล็อกเครือข่ายทันที
- URL ข้อมูลสถานที่
ช่วยให้ผู้ให้บริการเครือข่ายและสถานที่ต่างๆ สามารถให้ข้อมูลเพิ่มเติมแก่ผู้ใช้ เช่น แผนที่สถานที่ ไดเรกทอรี โปรโมชัน และคูปอง ระบบจะแสดงการแจ้งเตือนต่อผู้ใช้เมื่อเชื่อมต่อเครือข่าย
URL ข้อมูลสถานที่ต้องชี้ไปยังเว็บไซต์ที่ปลอดภัยซึ่งใช้ HTTPS หาก URL ชี้ไปยังเว็บไซต์ที่ไม่ปลอดภัย เฟรมเวิร์กจะไม่สนใจ URL และ จะไม่แสดงการแจ้งเตือน
ฟีเจอร์อื่นๆ ของ Passpoint
Android 11 มีความสามารถ Passpoint ต่อไปนี้ซึ่งช่วยปรับปรุงประสบการณ์ของผู้ใช้ การใช้พลังงาน และความยืดหยุ่นในการติดตั้งใช้งาน
- การบังคับใช้และการแจ้งเตือนวันที่หมดอายุ
- การบังคับใช้วันที่หมดอายุในโปรไฟล์ช่วยให้เฟรมเวิร์กหลีกเลี่ยง การเชื่อมต่ออัตโนมัติกับจุดเข้าถึงที่มีข้อมูลเข้าสู่ระบบที่หมดอายุแล้ว ซึ่ง จะเชื่อมต่อไม่สำเร็จ ซึ่งจะช่วยป้องกันการใช้งานเวลาออกอากาศ รวมถึงประหยัดแบตเตอรี่และแบนด์วิดท์ของแบ็กเอนด์ เฟรมเวิร์กจะแสดงการแจ้งเตือนแก่ผู้ใช้เมื่อเครือข่าย ที่ตรงกับโปรไฟล์อยู่ในช่วง และโปรไฟล์หมดอายุ
- มีหลายโปรไฟล์ที่มี FQDN เหมือนกัน
- ผู้ให้บริการที่ติดตั้งใช้งานเครือข่าย Passpoint และใช้รหัสเครือข่ายโทรศัพท์เคลื่อนที่ภาคพื้นดินสาธารณะ (PLMN) หลายรายการสามารถจัดสรรโปรไฟล์ Passpoint หลายรายการที่มี FQDN เดียวกัน โดยมี 1 รายการสำหรับรหัส PLMN แต่ละรายการ ซึ่งจะจับคู่กับซิมการ์ดที่ติดตั้งโดยอัตโนมัติและใช้เพื่อเชื่อมต่อเครือข่าย
Android 12 มีความสามารถ Passpoint ต่อไปนี้ซึ่งช่วยปรับปรุงประสบการณ์ของผู้ใช้ การใช้พลังงาน และความยืดหยุ่นในการติดตั้งใช้งาน
- คำนำหน้าของข้อมูลประจำตัวที่ตกแต่งแล้ว
- เมื่อตรวจสอบสิทธิ์ในเครือข่ายที่มีการตกแต่งคำนำหน้า คำนำหน้า ข้อมูลประจำตัวที่ตกแต่งแล้วจะช่วยให้ผู้ให้บริการเครือข่ายอัปเดตตัวระบุการเข้าถึงเครือข่าย (NAI) เพื่อทำการกำหนดเส้นทางที่ชัดเจนผ่านพร็อกซีหลายรายการภายในเครือข่าย AAA (ดู RFC 7542) Android 12 ใช้ฟีเจอร์นี้ ตามข้อกำหนดของ WBA สำหรับส่วนขยาย PPS-MO
- การจัดการการยกเลิกการเชื่อมต่อที่กำลังจะเกิดขึ้น
- อนุญาตให้ผู้ให้บริการเครือข่ายส่งสัญญาณไปยังอุปกรณ์ว่าบริการไม่พร้อมใช้งานสำหรับข้อมูลเข้าสู่ระบบที่ใช้ในการตรวจสอบสิทธิ์เครือข่ายเป็นระยะเวลาหนึ่ง (ระบุผ่านการหน่วงเวลาการหมดเวลา) หลังจากได้รับสัญญาณนี้ อุปกรณ์จะไม่พยายามเชื่อมต่อเครือข่ายอีกครั้งด้วยข้อมูลเข้าสู่ระบบเดียวกัน จนกว่าจะหมดเวลาหน่วง ในทางตรงกันข้าม อุปกรณ์ที่ไม่รองรับฟีเจอร์นี้อาจพยายามเชื่อมต่อกับเครือข่ายซ้ำๆ ขณะที่บริการไม่พร้อมใช้งาน
ตัวอย่างโปรไฟล์ XML ของ OMA-DM PerProviderSubscription-MO
โปรไฟล์ที่มีข้อมูลเข้าสู่ระบบชื่อผู้ใช้/รหัสผ่าน (EAP-TTLS)
ตัวอย่างต่อไปนี้แสดงโปรไฟล์สำหรับเครือข่ายที่มีลักษณะดังนี้
- ตั้งชื่อที่เป็นมิตรกับเครือข่ายเป็น
Example Network - ตั้งค่า FQDN เป็น
hotspot.example.net - OI ของกลุ่มโรมมิ่ง (สำหรับการโรมมิ่ง)
- ข้อมูลเข้าสู่ระบบที่มีชื่อผู้ใช้
userรหัสผ่านpasswordที่เข้ารหัสด้วย Base64 และตั้งค่า Realm เป็นexample.net - ตั้งค่าวิธีการ EAP เป็น
21(EAP-TTLS) - ตั้งค่าวิธีการภายในระยะที่ 2 เป็น
MS-CHAP-V2 - ตั้งชื่อโดเมน AAA สำรองเป็น
trusted.comและtrusted.net
<MgmtTree xmlns="syncml:dmddf1.2">
<VerDTD>1.2</VerDTD>
<Node>
<NodeName>PerProviderSubscription</NodeName>
<RTProperties>
<Type>
<DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
</Type>
</RTProperties>
<Node>
<NodeName>i001</NodeName>
<Node>
<NodeName>HomeSP</NodeName>
<Node>
<NodeName>FriendlyName</NodeName>
<Value>Example Network</Value>
</Node>
<Node>
<NodeName>FQDN</NodeName>
<Value>hotspot.example.net</Value>
</Node>
<Node>
<NodeName>RoamingConsortiumOI</NodeName>
<Value>112233,445566</Value>
</Node>
</Node>
<Node>
<NodeName>Credential</NodeName>
<Node>
<NodeName>Realm</NodeName>
<Value>example.net</Value>
</Node>
<Node>
<NodeName>UsernamePassword</NodeName>
<Node>
<NodeName>Username</NodeName>
<Value>user</Value>
</Node>
<Node>
<NodeName>Password</NodeName>
<Value>cGFzc3dvcmQ=</Value>
</Node>
<Node>
<NodeName>EAPMethod</NodeName>
<Node>
<NodeName>EAPType</NodeName>
<Value>21</Value>
</Node>
<Node>
<NodeName>InnerMethod</NodeName>
<Value>MS-CHAP-V2</Value>
</Node>
</Node>
</Node>
</Node>
<Node>
<NodeName>Extension</NodeName>
<Node>
<NodeName>Android</NodeName>
<Node>
<NodeName>AAAServerTrustedNames</NodeName>
<Node>
<NodeName>FQDN</NodeName>
<Value>trusted.com;trusted.net</Value>
</Node>
</Node>
</Node>
</Node>
</Node>
</Node>
</MgmtTree>
โปรไฟล์ที่มีข้อมูลเข้าสู่ระบบใบรับรองดิจิทัล (EAP-TLS)
ตัวอย่างต่อไปนี้แสดงโปรไฟล์สำหรับเครือข่ายที่มีลักษณะดังนี้
- ตั้งชื่อที่เป็นมิตรกับเครือข่ายเป็น
GlobalRoaming - ตั้งค่า FQDN เป็น
globalroaming.net - OI ของกลุ่มบริษัทโรมมิ่ง (สำหรับการโรมมิ่ง)
- ตั้งค่า Realm เป็น
users.globalroaming.net - ข้อมูลเข้าสู่ระบบที่มีใบรับรองดิจิทัลซึ่งมีลายนิ้วมือที่ระบุ
<MgmtTree xmlns="syncml:dmddf1.2">
<VerDTD>1.2</VerDTD>
<Node>
<NodeName>PerProviderSubscription</NodeName>
<RTProperties>
<Type>
<DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
</Type>
</RTProperties>
<Node>
<NodeName>i001</NodeName>
<Node>
<NodeName>HomeSP</NodeName>
<Node>
<NodeName>FriendlyName</NodeName>
<Value>GlobalRoaming</Value>
</Node>
<Node>
<NodeName>FQDN</NodeName>
<Value>globalroaming.net</Value>
</Node>
<Node>
<NodeName>RoamingConsortiumOI</NodeName>
<Value>FFEEDDCC0,FFEEDDCC1,009999,008888</Value>
</Node>
</Node>
<Node>
<NodeName>Credential</NodeName>
<Node>
<NodeName>Realm</NodeName>
<Value>users.globalroaming.net</Value>
</Node>
<Node>
<NodeName>DigitalCertificate</NodeName>
<Node>
<NodeName>CertificateType</NodeName>
<Value>x509v3</Value>
</Node>
<Node>
<NodeName>CertSHA256Fingerprint</NodeName>
<Value>0ef08a3d2118700474ca51fa25dc5e6d3d63d779aaad8238b608a853761da533</Value>
</Node>
</Node>
</Node>
</Node>
</Node>
</MgmtTree>
โปรไฟล์ที่มีข้อมูลเข้าสู่ระบบซิม (EAP-AKA)
ตัวอย่างต่อไปนี้แสดงโปรไฟล์สำหรับเครือข่ายที่มีลักษณะดังนี้
- ตั้งชื่อที่เป็นมิตรกับเครือข่ายเป็น
Purple Passpoint - ตั้งค่า FQDN เป็น
wlan.mnc888.mcc999.3gppnetwork.org - ข้อมูลเข้าสู่ระบบซิมที่มีรหัส PLMN เป็น
999888 - ตั้งค่าวิธีการ EAP เป็น
23(EAP-AKA)
<MgmtTree xmlns="syncml:dmddf1.2">
<VerDTD>1.2</VerDTD>
<Node>
<NodeName>PerProviderSubscription</NodeName>
<RTProperties>
<Type>
<DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
</Type>
</RTProperties>
<Node>
<NodeName>i001</NodeName>
<Node>
<NodeName>HomeSP</NodeName>
<Node>
<NodeName>FriendlyName</NodeName>
<Value>Purple Passpoint</Value>
</Node>
<Node>
<NodeName>FQDN</NodeName>
<Value>purplewifi.com</Value>
</Node>
</Node>
<Node>
<NodeName>Credential</NodeName>
<Node>
<NodeName>Realm</NodeName>
<Value>wlan.mnc888.mcc999.3gppnetwork.org</Value>
</Node>
<Node>
<NodeName>SIM</NodeName>
<Node>
<NodeName>IMSI</NodeName>
<Value>999888*</Value>
</Node>
<Node>
<NodeName>EAPType</NodeName>
<Value>23</Value>
</Node>
</Node>
</Node>
</Node>
</Node>
</MgmtTree>
คำแนะนำเกี่ยวกับการตรวจสอบสิทธิ์
อุปกรณ์ที่ใช้ Android 8.x หรือ Android 9 ที่มีโปรไฟล์ Passpoint R1 EAP-SIM, EAP-AKA หรือ EAP-AKA' จะไม่เชื่อมต่อกับเครือข่าย Passpoint โดยอัตโนมัติ ปัญหานี้ส่งผลกระทบต่อผู้ใช้ ผู้ให้บริการ และบริการต่างๆ โดยการลดการออฟโหลด Wi-Fi
| กลุ่ม | ผลกระทบ | ขนาดของผลกระทบ |
|---|---|---|
| ผู้ให้บริการและผู้ให้บริการ Passpoint | ภาระงานในเครือข่ายมือถือเพิ่มขึ้น | ผู้ให้บริการที่ใช้ Passpoint R1 |
| ผู้ใช้ | พลาดโอกาสในการเชื่อมต่อจุดเข้าใช้งาน (AP) Wi-Fi ของผู้ให้บริการโดยอัตโนมัติ ซึ่งส่งผลให้มีค่าใช้จ่ายด้านอินเทอร์เน็ตสูงขึ้น | ผู้ใช้ทุกคนที่มีอุปกรณ์ที่ทำงานบนเครือข่ายของผู้ให้บริการที่รองรับ Passpoint R1 |
สาเหตุที่ดำเนินการไม่สำเร็จ
Passpoint ระบุกลไกในการจับคู่ผู้ให้บริการที่โฆษณา (ANQP) กับโปรไฟล์ที่ติดตั้งในอุปกรณ์ กฎการจับคู่ต่อไปนี้สำหรับ EAP-SIM, EAP-AKA และ EAP-AKA' เป็นชุดกฎบางส่วนที่มุ่งเน้นไปที่ความล้มเหลวของ EAP-SIM/AKA/AKA'
If the FQDN (Fully Qualified Domain Name) matches
then the service is a Home Service Provider.
Else: If the PLMN ID (3GPP Network) matches
then the service is a Roaming Service Provider.
เกณฑ์ที่ 2 ได้รับการแก้ไขใน Android 8.0 ดังนี้
Else: If the PLMN ID (3GPP Network) matches AND the NAI Realm matches
then the service is a Roaming Service Provider.
การแก้ไขนี้ทำให้ระบบไม่พบผู้ให้บริการที่เคยใช้งานได้ก่อนหน้านี้ อุปกรณ์ Passpoint จึงไม่เชื่อมต่ออัตโนมัติ
วิธีแก้ปัญหา
หากต้องการแก้ปัญหาเกณฑ์การจับคู่ที่แก้ไขแล้ว ผู้ให้บริการเครือข่ายและ ผู้ให้บริการต้องเพิ่มขอบเขตตัวระบุการเข้าถึงเครือข่าย (NAI) ลงใน ข้อมูลที่เผยแพร่โดย AP ของ Passpoint
โซลูชันที่แนะนำคือให้ผู้ให้บริการเครือข่ายใช้ วิธีแก้ปัญหาชั่วคราวฝั่งเครือข่ายเพื่อให้เวลาในการติดตั้งใช้งานเร็วที่สุด วิธีแก้ปัญหาฝั่งอุปกรณ์ ขึ้นอยู่กับว่า OEM จะเลือกรายการการเปลี่ยนแปลง (CL) จาก AOSP หรือไม่ แล้ว อัปเดตอุปกรณ์ในฟิลด์
การแก้ไขเครือข่ายสำหรับผู้ให้บริการเครือข่ายและผู้ให้บริการ Passpoint
วิธีแก้ปัญหาฝั่งเครือข่ายต้องมีการกำหนดค่าเครือข่ายใหม่เพื่อเพิ่มองค์ประกอบ ANQP ของ NAI realm ตามที่ระบุไว้ด้านล่าง ข้อกำหนดของ Passpoint ไม่ได้ กำหนดให้มีองค์ประกอบ ANQP ของ NAI Realm แต่การเพิ่มพร็อพเพอร์ตี้นี้ เป็นไปตามข้อกำหนดของ Passpoint ดังนั้นการติดตั้งใช้งานไคลเอ็นต์ที่เป็นไปตามข้อกำหนด จึงไม่ควรหยุดทำงาน
- เพิ่มองค์ประกอบ ANQP ของขอบเขต NAI
- ตั้งค่าฟิลด์ย่อยของขอบเขต NAI ให้ตรงกับ
Realmของโปรไฟล์ ที่ติดตั้งในอุปกรณ์ ตั้งค่าข้อมูลต่อไปนี้ตามประเภท EAP แต่ละประเภท
- EAP-TTLS: ตั้งค่า
EAPMethod(21)และประเภทการตรวจสอบสิทธิ์ภายในที่รองรับ (PAP,CHAP,MS-CHAPหรือMS-CHAP-V2) - EAP-TLS: ตั้งค่า
EAPMethod(13) - EAP-SIM: ตั้งค่า
EAPMethod(18) - EAP-AKA: ตั้งค่า
EAPMethod(23) - EAP-AKA': ตั้งค่า
EAPMethod(50)
- EAP-TTLS: ตั้งค่า
การแก้ไขอุปกรณ์/AOSP สำหรับ OEM
หากต้องการใช้การแก้ปัญหาชั่วคราวฝั่งอุปกรณ์ OEM ต้องเลือก CL aosp/718508 คุณใช้แพตช์นี้กับรุ่นต่อไปนี้ได้ (ใช้กับ Android 10 ขึ้นไปไม่ได้)
- Android 9
- Android 8.x
เมื่อได้รับแพตช์แล้ว OEM จะต้องอัปเดตอุปกรณ์ในฟิลด์