背景
Hotspot2.0协议是由Wi-Fi联盟推出的,可以使客户端自动发现、注册并关联和自己移动网络服务提供商有漫游协议的无线Wi-Fi网络,实现移动数据网络和无线Wi-Fi网络的自动切换,或者无线Wi-Fi网络的不同无线服务自动切换的一种协议。
2020年,Wi-Fi联盟在Specification Version 3.2中将Hotspot2.0更名为Passpoint,但海内外设备厂商,如cisco,aruba,华为,华三,fortinet等,还是继续沿用Hotspot2.0这个名字。
当前WLAN网络在易用性和安全性等方面主要存在以下问题:
用户接入WLAN网络时需要手动操作,例如在无线终端上打开WLAN管理界面,搜索SSID,选择一个SSID连接,设置身份认证参数等。
无线终端关联AP后,可能需要进一步认证才能获取网络服务。
不同WLAN网络提供的安全机制不一致,不完整。
Hotspot2.0技术解决了上述问题,使用户自动和安全的接入WLAN网络。无线终端自动发现支持Hotspot2.0的网络,根据AP提供的网络信息,自动选择并关联AP,自动完成身份验证。
优点:
运营商
用户的业务流量既可承载在2/3/4/5G网络,也可以通过WLAN网络分流。
允许用户通过漫游接入WLAN网络。
丰富了用户的网络接入方式,吸引用户使用网络。
终端用户
可以自动简捷的接入WLAN网络。
终端用户只需要一个账户凭证,可接入多个WLAN网络,不需要为每个WLAN网络准备一个账户。
Hotspot2.0网络使用WPA2/WPA3-802.1X认证,更好的保障了用户上网安全。
应用场景
高密场景,如机场,火车站,体育馆等,分流移动数据,降低基站负载。
连锁经营的酒店,咖啡馆,便利店等,可以统一管理无线网络,提高便利度,增加客户粘性。
技术原理/实现流程
如何发现Hotspot 2.0网络
发现Hotspot 2.0 WLAN网络的过程,主要包括两个阶段,HS2.0 WLAN网络能力发现和HS 2.0 WLAN网络信息查询。
Beacon帧:
新增能力指示位指示,表明ARP代理等是否支持的能力。
新增Interworking信息指示,Interworking指示是802.11U的指示项,Hotspot 2.0工作在802.11U之上,所以必须携带该指示,其Element ID为107。
新增Advertisement Protocol指示,表明采用的广告协议类型,Element ID为108。
新增Roaming Consortium指示,提供漫游联盟信息,Element ID为111。
新增Hotspot 2.0 Indication指示,提供Hotspot 2.0的相关信息,Element ID为221,子类型为0x10。
Probe request帧:
新增Interworking信息指示,查询自己期望的Hotspot 2.0网络。
Probe response帧:
与Beacon帧一致。
如上图表所示,Hotspot 2.0通过ANQP广告查询协议来查询Hotspot 2.0的相关信息情况,进一步获取更详尽的信息。支持的查询信息如下:
Hotspot 2.0网络能力指示查询;
网络集结点信息查询;
网络认证方式查询;
漫游联盟信息查询;
IP可用类型信息查询;
NAI域以及支持的认证方式信息查询;
蜂窝网络信息查询;
热点运营商域名查询;
运营商名称查询;
广域网信息查询;
在线注册服务提供商信息查询等。
如何选择Hotspot 2.0网络
Hotspot 2.0网络的选择是指终端扫描到大量的无线信号时,如何选择Hotspot 2.0网络的过程,这里主要涉及的是终端的行为状态,这里只做简单的行为描述,不进行详细的解读。其选择网络的优先级大致如下顺序所示:
首先查找当前网络是否存在自己保存使用过的WLAN,这个与传统无线WLAN一致,如果有,直接关联之前保存过的网络。当然如果存在多个,终端会根据信号强度等参数进行网络选择;
如果存在Hotspot 2.0 WLAN网络,执行Hotspot 2.0 WLAN网络的选择过程;
如果存在多个Hotspot 2.0 WLAN网络,还需要综合各Hotspot 2.0 WLAN的负载情况,能力情况选出一个最优的进行关联,这些信息来源于Hotspot 2.0网络的发现过程;
查看是否存在终端服务提供商的网络,如果存在,优先使用;
再查找3GPP是否支持与匹配,如果支持且匹配,优先使用;
查找漫游联盟,如果存在且匹配,则使用;
如果上述步骤都没过,需要在线注册。
如何接入Hotspot 2.0网络
终端识别出Hotspot 2.0网络,并判断自己拥有这个网络的接入权限后,自动执行关联,其关联过程与传统WLAN网络一致,只是这个过程完全自动化而已。但交互的信息会存在如下一些变化:
为了适应紧急服务,在关联或重关联请求中携带interworking信息项,便于终端无需认证就能接入网络,本身紧急服务不支持,所以这个信息项无需支持。
如果当前Hotspot 2.0网络做了QoS MAP映射,需要将QoS MAP映射添加到关联和重关联响应报文中通告给终端。
Hotspot 2.0网络支持的认证方法
协议规定,Hotspot 2.0网络统一使用WPA2/WPA3企业版(802.1X认证)的EAP方法进行认证,需要支持的EAP认证方法包括证书认证,SIM/USIM卡认证和用户名密码认证,如下图所示:
如何在Hotspot 2.0网络认证及漫游(以SIM卡认证为例)
AC+AP场景的认证如上图所示,AP作为ANQP服务器,帮助STA接入网络,AC作为NAS设备与本地AAA服务对接认证,本地AAA服务器在与当前网络服务提供商的AAA服务器对接做代理认证完成认证过程。
如果用户终端使用的是SIM认证,服务提供商的AAA服务器还需要与其HLR服务器对接,完成SIM认证。如果当前用户并不是当前服务提供商的注册用户,当是某个漫游联盟成员的注册用户,则当前服务提供商的AAA服务需要与当前用户的家乡服务提供商(终端所属的服务提供商)AAA服务器对接代理漫游认证终端。
STA:
认证信息自动维护,不需要人为管理,认证信息存在于SIM卡上,STA自行管理与提取;
认证过程自动化,STA自动读取安装的认证信息,自动识别关联的网络与认证信息的对应关系,自动提供认证信息进行认证上网;
认证信息与网络的对应关系不再局限于WLAN的限制,基于服务提供商进行认证,即服务提供商内的终端用户可以在该服务提供商部署的任何Hotspot 2.0网络进行认证上网。
AP:
提供当前网络状态的查询,服务提供商信息的查询,STA通过获取到的服务提供商信息判断是否为当前服务提供商的用户;
提供漫游联盟信息查询,获取漫游服务提供商信息,STA通过漫游联盟信息判断自己是否有权接入;
提供蜂窝网络信息查询,获取蜂窝网络信息,STA通过蜂窝网络信息判断自己是否可以通过SIM认证接入。
AC:
提供NAS设备的认证功能,支持802.1X认证,支持Hotspot 2.0要求的认证方法;
作为Radius客户端,需要扩展支持Hotspot 2.0,包括Hotspot 2.0选项的支持,Hotspot 2.0服务通知到Hotspot 2.0 AP;
Radius支持Hotspot 2.0的选项包括服务订阅校对通知,AP版本,STA认证下线,会话信息URL等。
Local AAA:
与AP、AC在同一局域网内的AAA服务器。对外统一对接服务提供商的AAA服务器,需要支持Radius代理认证,可选支持本地认证;
作为AAA服务器,需要扩展支持Hotspot 2.0,包括Hotspot 2.0选项的支持,Hotspot 2.0服务通知。
SP AAA:
服务提供商的AAA服务器,服务提供商用户的最终认证服务器,需要支持本地认证和Radius代理认证;
如果服务提供商是运营商,需要对接其HLR服务器完成SIM认证;
如果请求认证的用户是其漫游联盟某个成员中的用户,需要代理到该漫游联盟成员做认证;
作为AAA服务器,需要扩展支持Hotspot 2.0,包括Hotspot 2.0选项的支持,Hotspot 2.0服务通知。
SP HLR:
归属位置寄存器,提供移动用户的签约数据,与服务提供商的AAA服务器共同完成SIM认证过程。
?如何在Hotspot 2.0网络认证注册
?如何在Hotspot 2.0网络管理网络状态
?如何在Hotspot 2.0网络管理转发面
?如何在Hotspot 2.0网络支持ARP代理
…
这些内容一般只在认证测试中会用到,此文档暂不涉及,略。
功能限制
第三方产品 |
|
用户终端 |
苹果:Wi-Fi联盟官网查不到苹果手机对Hotspot2.0协议的支持情况,根据实际测试,iOS7以后的版本支持Hotspot2.0协议的部分功能 安卓: 海外:搭载 Android 11或更高版本并具有Wi-Fi功能的设备必须提供对Hotspot2.0的支持,对于搭载Android 10或更低版本的设备,设备制造商需要同时提供框架和HAL/固件支持 国内:OPPO ColorOS 12及以后的版本支持 |
本地AAA服务器 |
Free radius 2.1.12及以后的版本 |
服务提供商AAA服务器 |
|
服务提供商OSUS服务器 |
|
服务提供商HLR服务器 |
|
服务提供商CA服务器 |
|
配置及调试
给配置了WPA2/WPA3-802.1X认证加密方式的信号开启Hotspot 2.0功能
AC开启方法:
config模式底下配置Hotspot2.0空白模板,如:
Ruijie(config)# hotspot2 template HS2_1
在wlan-config模式底下,将配置好的模板应用到想要释放的信号中,即可开启Hotspot2.0 功能,如:
Ruijie(config)# wlan-config 1
Ruijie(config-wlan)# hotspot2 template HS2_1
胖AP开启方法:
config模式底下配置Hotspot2.0空白模板,如:
Ruijie(config)# hotspot2 template HS2_2
在config模式底下,将配置好的模板应用到想要释放的信号中,即可开启Hotspot2.0 功能,如:
Ruijie(config)# hotspot2 wlan 2 template HS2_2
Hotspot2.0模板底下的内容需要根据运营商/服务提供商的配置信息来确定,如某客户发给我们的配置信息:
HS20(config-hs20-tmplt)# show this
Building configuration...
!
domain-name odyssys.net
nai-realm realm-name odyssys.net eap-method-type eap-ttls auth-method 2 auth-para 4
nai-realm realm-name odyssys.net eap-method-type eap-ttls auth-method 5 auth-para 7
operator-name language-code eng name "GlobalReach"
!
end
HS20(config-hs20-tmplt)#
这个是AP开启了Hotspot2.0功能,释放了SSID名为Hotspot2的信号,然后手机上安装了GlobalReach的证书,WLAN页面会出现一个虚拟的Wi-Fi信号,GlobalReachTechnology,点击这个GlobalReachTechnology的图标,手机会自动去关联上面那个Hotspot2的SSID。
Hotspot2.0模板和在线注册模板底下还有其他的命令,不一一列举,具体情况请参考SCG和CREF。
注意事项
首次关联Hotspot2.0网络,需要根据运营商认证方式,在手机上设置EAP method以及Phase 2 authentication等选项,否则容易关联成功但认证失败,导致无法接入网络。
FAQ
1、与传统WLAN自动关联有何区别?
传统WLAN自动关联只是手机上缓存了SSID以及对应的认证信息,一旦SSID发生变化,自动关联就会失败;hotspot2.0网络中,只要后端的服务提供商的AAA服务器与终端(手机)所属的服务提供商属于同一个漫游联盟,SSID怎么变化都不影响自动关联。
2、Hotspot2.0常见故障的排查手段?
如果手机无法自动加入Hotspot2.0网络,首先确认手机是否支持Hotspot2.0(或者说Passpoint),支持的话再查看WLAN选项中的Hotspot2.0开关是否开启。
如果手机已经打开Hotspot2.0开关,就要去确认AP是否释放Hotspot2.0信号,先确认AP的WLAN已经开启了Hotspot2.0配置,即有hotspot2 wlan wlan-id template template-name格式的配置,如:
Ruijie(config)# hotspot2 wlan 2 template HS2_2
如果上述两步确认了都没问题,用debug hotspot2 all的命令收集Log,寻求研发支持。
3、完整的对接案例补充下?
见Hotspot2.0 WEB配置指导手册。