Passpoint‏ (Hotspot 2.0)

Passpoint הוא פרוטוקול של Wi-Fi Alliance (WFA) שמאפשר למכשירים ניידים לגלות ולאמת נקודות Wi-Fi לשיתוף אינטרנט שמספקות גישה לאינטרנט.

תמיכה במכשיר

כדי לתמוך ב-Passpoint, יצרני המכשירים צריכים להטמיע את ממשק ה-Supplicant. החל מ-Android 13, הממשק משתמש ב-AIDL להגדרת HAL. בגרסאות קודמות ל-Android 13, ממשקי API ומחיצות ספקים משתמשים ב-HIDL. קבצי ה-HIDL נמצאים ב-hardware/interfaces/supplicant/1.x וקובצי ה-AIDL נמצאים ב-hardware/interfaces/supplicant/aidl. הלקוח מספק תמיכה בתקן 802.11u, ובאופן ספציפי בתכונות של גילוי רשת ובחירה, כמו Generic Advertisement Service‏ (GAS) ו-access network query protocol‏ (ANQP).

הטמעה

ההטמעה של Passpoint משתנה בהתאם לגרסת Android.

‫Android מגרסה 11 ואילך

כדי לתמוך ב-Passpoint במכשירים עם Android מגרסה 11 ואילך, יצרני המכשירים צריכים לספק תמיכה בקושחה ל-802.11u. כל שאר הדרישות לתמיכה ב-Passpoint כלולות ב-AOSP.

‫Android מגרסה 10 ומטה

במכשירים עם Android מגרסה 10 ומטה, יצרני המכשירים צריכים לספק תמיכה גם במסגרת, גם ב-HAL וגם בקושחה:

  • ‫Framework: אישור ל-Passpoint (נדרש feature flag)
  • קושחה: תמיכה ב-802.11u

כדי לתמוך ב-Passpoint, צריך להטמיע את Wi-Fi HAL ולהפעיל את ה-feature flag ל-Passpoint. ב-device.mk שנמצא ב-device/<oem>/<device>, משנים את משתנה הסביבה PRODUCT_COPY_FILES כך שיכלול תמיכה בתכונת Passpoint:

PRODUCT_COPY_FILES +=
frameworks/native/data/etc/android.hardware.wifi.passpoint.xml:$(TARGET_COPY_OUT_VENDOR)/etc/permissions/android.hardware.wifi.passpoint.xml

כל שאר הדרישות לתמיכה ב-Passpoint כלולות ב-AOSP.

אימות

כדי לאמת את ההטמעה של תכונת Passpoint, מריצים את בדיקות היחידה של חבילת Passpoint הבאה:

בדיקות שירות:

atest com.android.server.wifi.hotspot2

בדיקות בחשבון ניהול:

atest android.net.wifi.hotspot2

הקצאת הרשאות ב-Passpoint R1

מערכת Android תומכת ב-Passpoint R1 מאז Android 6.0, ומאפשרת הקצאה של אישורי Passpoint R1 (גרסה 1) באמצעות הורדה מבוססת-אינטרנט של קובץ מיוחד שמכיל מידע על פרופיל ואישורים. הלקוח מפעיל אוטומטית תוכנת התקנה מיוחדת למידע על ה-Wi-Fi ומאפשר למשתמש לצפות בחלקים מהמידע לפני שהוא מאשר או דוחה את התוכן.

פרטי הפרופיל שכלולים בקובץ משמשים להתאמה לנתונים שאוחזרו מנקודות גישה עם Passpoint, והאישורים מוחלים באופן אוטומטי על כל רשת תואמת.

הטמעת ההפניה של Android תומכת ב-EAP-TTLS,‏ EAP-TLS,‏ EAP-SIM,‏ EAP-AKA ו-EAP-AKA'.

מנגנון ההורדה

קובץ ההגדרה של Passpoint צריך להתארח בשרת אינטרנט ולהיות מוגן באמצעות TLS‏ (HTTPS), כי הוא עשוי להכיל סיסמה בטקסט גלוי או נתונים של מפתח פרטי. התוכן מורכב מטקסט MIME מרובה חלקים עטוף שמיוצג ב-UTF-8 ומקודד בקידוד base64 לפי סעיף 6.8 ב-RFC-2045.

השדות הבאים בכותרת ה-HTTP משמשים את הלקוח להפעלת תוכנת התקנה של Wi-Fi במכשיר באופן אוטומטי:

  • הערך של Content-Type חייב להיות application/x-wifi-config.
  • הערך של Content-Transfer-Encoding חייב להיות base64.
  • אסור להגדיר את Content-Disposition.

שיטת ה-HTTP שמשמשת לאחזור הקובץ חייבת להיות GET. בכל פעם שמתקבלת תגובה עם כותרות ה-MIME האלה מקריאת HTTP GET מהדפדפן, אפליקציית ההתקנה מופעלת. ההורדה צריכה להתחיל בלחיצה על רכיב HTML, כמו כפתור (הפניות אוטומטיות לכתובת URL של הורדה לא נתמכות). ההתנהגות הזו ספציפית ל-Google Chrome. יכול להיות שדפדפני אינטרנט אחרים יספקו פונקציונליות דומה, ויכול להיות שלא.

הרכב הקובץ

התוכן בקידוד Base64 חייב להיות תוכן MIME multipart עם Content-Type של multipart/mixed. החלקים הבאים מרכיבים את החלקים הנפרדים של תוכן ה-multipart.

Part ‫Content-Type (ללא מרכאות) חובה תיאור
פרופיל application/x-passpoint-profile תמיד מטען ייעודי (payload) בפורמט OMA-DM SyncML שמכיל את ה-MO בפורמט Passpoint R1 PerProviderSubscription עבור HomeSP ו-Credential.
אישור מהימן application/x-x509-ca-cert נדרש עבור EAP-TLS ו-EAP-TTLS מטען ייעודי (payload) של אישור יחיד בקידוד Base64 מסוג X.509v3.
מפתח EAP-TLS application/x-pkcs12 נדרש עבור EAP-TLS מבנה PKCS #12 ASN.1 בקידוד Base64 שמכיל שרשרת של אישורי לקוח, עם לפחות אישור הלקוח והמפתח הפרטי המשויך. קובץ ה-PKCS 12, המפתח הפרטי והאישורים צריכים להיות בטקסט גלוי ללא סיסמה.

הקטע Profile צריך להיות מועבר כטקסט XML בקידוד Base64 ובקידוד UTF-8, שמציין חלקים מעץ המשנה HomeSP ומעץ המשנה Credential במפרט הטכני של Passpoint R2 בגרסה 1.0.0, קטע 9.1.

הצומת ברמה העליונה חייב להיות MgmtTree והצומת המשני המיידי חייב להיות PerProviderSubscription. דוגמה לקובץ XML מופיעה במאמר דוגמה לפרופיל OMA-DM XML.

הצמתים הבאים בעץ המשנה נמצאים מתחת לצומת HomeSP:

  • FriendlyName: חובה להגדיר את הערך הזה. הוא משמש כטקסט שמוצג למשתמשים.
  • FQDN: חובה
  • RoamingConsortiumOI

הצמתים הבאים בעץ המשנה נמצאים מתחת לצומת Credential:

  • Realm: מחרוזת לא ריקה

  • UsernamePassword: נדרש עבור EAP-TTLS עם הצמתים הבאים:

    • Username: מחרוזת שמכילה את שם המשתמש
    • Password: מחרוזת בקידוד Base64 (מוגדרת ל-cGFzc3dvcmQ=, המחרוזת בקידוד Base64 של 'password', בדוגמה הבאה)
    • EAPMethod/EAPType: צריך להיות מוגדר ל-21
    • EAPMethod/InnerMethod: הערך צריך להיות אחד מהערכים הבאים: PAP,‏ CHAP,‏ MS-CHAP או MS-CHAP-V2

  • DigitalCertificate: נדרש עבור EAP-TLS. צריך להגדיר את הצמתים הבאים:

    • הכתובת x509v3 הוגדרה כמיקום הCertificateType
    • CertSHA256Fingerprint מוגדר לערך הנכון של הגיבוב (digest) לפי SHA-256 של אישור הלקוח בקטע MIME של מפתח EAP-TLS

  • SIM: נדרש עבור EAP-SIM,‏ EAP-AKA ו-EAP-AKA'. השדה EAPType צריך להיות מוגדר לסוג ה-EAP המתאים, והערך של IMSI צריך להיות זהה ל-IMSI של אחד מכרטיסי ה-SIM שמותקנים במכשיר בזמן ההקצאה. מחרוזת ה-IMSI יכולה להכיל רק ספרות עשרוניות כדי לאלץ התאמה מלאה, או 5 או 6 ספרות עשרוניות ואחריהן כוכבית (*) כדי להרחיב את ההתאמה של ה-IMSI רק ל-MCC/MNC. לדוגמה, מחרוזת ה-IMSI 123456* תואמת לכל כרטיס SIM עם MCC בתור 123 ו-MNC בתור 456.

ב-Android 11 נוספו יכולות שהופכות את ההקצאה של Passpoint R1 לגמישה יותר.

שם דומיין נפרד לאימות, להרשאה ולניהול חשבונות (AAA)

מנהלי רשתות Passpoint שצריכים לציין שם דומיין AAA בנפרד משם הדומיין שמוגדר במלואו (FQDN) שמשודר על ידי הרשת באמצעות פרוטוקול השאילתות של רשת הגישה (ANQP), יכולים לציין רשימה של שמות דומיין שמוגדרים במלואם (FQDN) שמופרדים באמצעות נקודה-ופסיק בצומת חדש מתחת לעץ המשנה Extension. זהו צומת אופציונלי, ומכשירים עם Android מגרסה 10 ומטה מתעלמים ממנו.

  • Android: עץ משנה של תוסף Android

    • AAAServerTrustedNames: נדרש לשמות מהימנים של שרת AAA עם הצמתים הבאים:

      • FQDN: מחרוזת שמכילה את השמות המהימנים של שרת ה-AAA. משתמשים בנקודה-פסיק כדי להפריד בין השמות המהימנים. לדוגמה, example.org;example.com.
רשויות אישורים (CA) פרטיות בחתימה עצמית

אדמינים של רשתות Passpoint שמנהלים את האישורים שלהם באופן פנימי יכולים להקצות פרופילים עם CA פרטי בחתימה עצמית לאימות AAA.

אפשר להתקין פרופילים בלי אישור CA בסיסי

אישור ה-CA הבסיסי שמצורף לפרופיל משמש לאימות שרת AAA. אדמינים של רשתות Passpoint שרוצים להסתמך על רשויות אישורים ציבוריות מהימנות לצורך אימות שרת AAA יכולים להקצות פרופילים בלי אישור CA בסיסי. במקרה כזה, המערכת מאמתת את אישורי שרת ה-AAA מול אישורי ה-CA הבסיסיים הציבוריים שהותקנו במאגר האישורים המהימנים.

הקצאת הרשאות ב-Passpoint R2

ב-Android 10 נוספה תמיכה בתכונות של Passpoint R2. ב-Passpoint R2 מיושמת הרשמה אונליין (OSU), שיטה סטנדרטית להקצאת פרופילי Passpoint חדשים. ‫Android 10 ואילך תומך בהקצאת פרופילים של EAP-TTLS באמצעות פרוטוקול SOAP-XML דרך OSU ESS פתוח.

התכונות הנתמכות של Passpoint R2 דורשות רק קוד הפניה של AOSP (לא נדרשת תמיכה נוספת במנהל התקן או בקושחה). קוד ההפניה של AOSP כולל גם הטמעה של ברירת המחדל של ממשק המשתמש של Passpoint R2 באפליקציית ההגדרות.

כשמערכת Android מזהה נקודת גישה של Passpoint R2, מסגרת Android:

  1. מוצגת רשימה של ספקי השירותים שמפרסמים את עצמם בבוחר הרשתות של Wi-Fi (בנוסף להצגת ה-SSID).
  2. מוצגת למשתמש בקשה ללחוץ על אחד מספקי השירות כדי להגדיר פרופיל Passpoint.
  3. המשתמש מונחה בתהליך הגדרת הפרופיל של Passpoint.
  4. אם ההתקנה מסתיימת בהצלחה, פרופיל Passpoint שנוצר מותקן.
  5. ההתקן משויך לרשת Passpoint באמצעות פרופיל Passpoint שהוקצה לו לאחרונה.

תכונות של Passpoint R3

ב-Android 12 נוספו התכונות הבאות של Passpoint R3, שמשפרות את חוויית המשתמש ומאפשרות לרשתות לעמוד בדרישות של החוקים המקומיים:

תנאים והגבלות

במקומות מסוימים נדרשת הסכמה לתנאים ולהגבלות כדי לקבל גישה לרשת. התכונה הזו מאפשרת להחליף פריסות של רשתות בפורטלים שבויים לא מאובטחים, שמשתמשים ברשתות פתוחות, ברשת Passpoint מאובטחת. המשתמש מקבל הודעה כשנדרש אישור של התנאים וההגבלות.

כתובת ה-URL של התנאים וההגבלות חייבת להפנות לאתר מאובטח באמצעות HTTPS. אם כתובת ה-URL מפנה לאתר לא מאובטח, המסגרת מתנתקת מיד וחוסמת את הרשת.

כתובת URL עם פרטי המקום

מאפשר למפעילים של רשתות ולבעלי מקומות לספק למשתמש מידע נוסף, כמו מפות של המקום, מדריכים, מבצעים ושוברים. התראה מוצגת למשתמש כשהרשת מחוברת.

כתובת ה-URL של פרטי המקום חייבת להפנות לאתר מאובטח באמצעות HTTPS. אם כתובת ה-URL מפנה לאתר לא מאובטח, המסגרת מתעלמת מכתובת ה-URL ולא מציגה התראה.

תכונות אחרות של Passpoint

‫Android 11 כוללת את היכולות הבאות של Passpoint, שמשפרות את חוויית המשתמש, את צריכת החשמל ואת הגמישות של הפריסה.

אכיפה של תאריך התפוגה והתראה
אכיפת תאריכי תפוגה בפרופילים מאפשרת למסגרת להימנע מחיבור אוטומטי לנקודות גישה עם פרטי כניסה שתוקפם פג, ולכן החיבור ייכשל. כך לא ייעשה שימוש בזמן שיחה, ותיחסך סוללה ורוחב פס בבק-אנד. המסגרת מציגה למשתמש התראה כשברשת יש התאמה לפרופיל שלו והתוקף של הפרופיל פג.
כמה פרופילים עם אותו FQDN
ספקי סלולר שמפעילים רשתות Passpoint ומשתמשים בכמה מזהי רשתות סלולריות ציבוריות (PLMN) יכולים להקצות כמה פרופילים של Passpoint עם אותו שם דומיין מלא (FQDN), אחד לכל מזהה PLMN. הפרופילים האלה מותאמים אוטומטית לכרטיס ה-SIM המותקן ומשמשים לחיבור לרשת.

‫Android 12 כוללת את היכולות הבאות של Passpoint, שמשפרות את חוויית המשתמש, את צריכת החשמל ואת הגמישות של הפריסה:

קידומת של זהות מעוטרת
כשמבצעים אימות לרשתות עם קידומת מעוצבת, קידומת הזהות המעוצבת מאפשרת למפעילי רשת לעדכן את מזהה הגישה לרשת (NAI) כדי לבצע ניתוב מפורש דרך כמה שרתי proxy בתוך רשת AAA (ראו RFC 7542). ‫Android 12 מטמיע את התכונה הזו בהתאם למפרט ה-WBA לתוספים של PPS-MO.
טיפול בהסרת אימות שעומדת להתרחש
מאפשר למפעילי רשתות לסמן למכשיר שהשירות לא זמין עבור פרטי הכניסה שמשמשים לאימות ברשת למשך זמן מסוים (שמצוין באמצעות עיכוב של פסק זמן). אחרי קבלת האות הזה, המכשירים לא ינסו להתחבר מחדש לרשת עם אותם פרטי כניסה עד שתפוג ההשהיה של הזמן הקצוב לתפוגה. לעומת זאת, מכשירים שלא תומכים בתכונה הזו עשויים לנסות להתחבר לרשת שוב ושוב בזמן שהשירות לא זמין.

דוגמאות לפרופילי XML של OMA-DM PerProviderSubscription-MO

פרופיל עם פרטי כניסה של שם משתמש וסיסמה (EAP-TTLS)

בדוגמה הבאה מוצג פרופיל של רשת עם:

  • השם הידידותי של הרשת שהוגדר הוא Example Network
  • השם המלא של הדומיין שהוגדר הוא hotspot.example.net
  • מזהי OIs של קונסורציום בנדידה (לנדידה)
  • פרטי כניסה עם שם משתמש user, סיסמה password בקידוד Base64, ותחום שהוגדר ל-example.net
  • שיטת EAP מוגדרת כ-21 (EAP-TTLS)
  • השיטה הפנימית של שלב 2 הוגדרה כ-MS-CHAP-V2
  • שמות דומיין חלופיים מסוג AAA הוגדרו ל-trusted.com ול-trusted.net
<MgmtTree xmlns="syncml:dmddf1.2">
  <VerDTD>1.2</VerDTD>
  <Node>
    <NodeName>PerProviderSubscription</NodeName>
    <RTProperties>
      <Type>
        <DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
      </Type>
    </RTProperties>
    <Node>
      <NodeName>i001</NodeName>
      <Node>
        <NodeName>HomeSP</NodeName>
        <Node>
          <NodeName>FriendlyName</NodeName>
          <Value>Example Network</Value>
        </Node>
        <Node>
          <NodeName>FQDN</NodeName>
          <Value>hotspot.example.net</Value>
        </Node>
        <Node>
          <NodeName>RoamingConsortiumOI</NodeName>
          <Value>112233,445566</Value>
        </Node>
      </Node>
      <Node>
        <NodeName>Credential</NodeName>
        <Node>
          <NodeName>Realm</NodeName>
          <Value>example.net</Value>
        </Node>
        <Node>
          <NodeName>UsernamePassword</NodeName>
          <Node>
            <NodeName>Username</NodeName>
            <Value>user</Value>
          </Node>
          <Node>
            <NodeName>Password</NodeName>
            <Value>cGFzc3dvcmQ=</Value>
          </Node>
          <Node>
            <NodeName>EAPMethod</NodeName>
            <Node>
              <NodeName>EAPType</NodeName>
              <Value>21</Value>
            </Node>
            <Node>
              <NodeName>InnerMethod</NodeName>
              <Value>MS-CHAP-V2</Value>
            </Node>
          </Node>
        </Node>
      </Node>
      <Node>
        <NodeName>Extension</NodeName>
        <Node>
            <NodeName>Android</NodeName>
            <Node>
                <NodeName>AAAServerTrustedNames</NodeName>
                <Node>
                    <NodeName>FQDN</NodeName>
                    <Value>trusted.com;trusted.net</Value>
                </Node>
            </Node>
        </Node>
      </Node>
    </Node>
  </Node>
</MgmtTree>

פרופיל עם אישור דיגיטלי (EAP-TLS)

בדוגמה הבאה מוצג פרופיל של רשת עם:

  • השם הידידותי של הרשת שהוגדר הוא GlobalRoaming
  • השם המלא של הדומיין שהוגדר הוא globalroaming.net
  • מזהי ארגון של קונסורציום בנדידה (לנדידה)
  • התחום שהוגדר: users.globalroaming.net
  • פרטי כניסה עם אישור דיגיטלי שיש לו את טביעת האצבע שצוינה
<MgmtTree xmlns="syncml:dmddf1.2">
  <VerDTD>1.2</VerDTD>
  <Node>
    <NodeName>PerProviderSubscription</NodeName>
    <RTProperties>
      <Type>
        <DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
      </Type>
    </RTProperties>
    <Node>
      <NodeName>i001</NodeName>
      <Node>
        <NodeName>HomeSP</NodeName>
        <Node>
          <NodeName>FriendlyName</NodeName>
          <Value>GlobalRoaming</Value>
        </Node>
        <Node>
          <NodeName>FQDN</NodeName>
          <Value>globalroaming.net</Value>
        </Node>
        <Node>
          <NodeName>RoamingConsortiumOI</NodeName>
          <Value>FFEEDDCC0,FFEEDDCC1,009999,008888</Value>
        </Node>
      </Node>
      <Node>
        <NodeName>Credential</NodeName>
        <Node>
          <NodeName>Realm</NodeName>
          <Value>users.globalroaming.net</Value>
        </Node>
        <Node>
          <NodeName>DigitalCertificate</NodeName>
          <Node>
            <NodeName>CertificateType</NodeName>
            <Value>x509v3</Value>
          </Node>
          <Node>
            <NodeName>CertSHA256Fingerprint</NodeName>
            <Value>0ef08a3d2118700474ca51fa25dc5e6d3d63d779aaad8238b608a853761da533</Value>
          </Node>
        </Node>
      </Node>
    </Node>
  </Node>
</MgmtTree>

פרופיל עם פרטי כניסה ל-SIM‏ (EAP-AKA)

בדוגמה הבאה מוצג פרופיל של רשת עם:

  • השם הידידותי של הרשת שהוגדר הוא Purple Passpoint
  • השם המלא של הדומיין שהוגדר הוא wlan.mnc888.mcc999.3gppnetwork.org
  • פרטי כניסה ל-SIM עם מזהה PLMN‏ 999888
  • שיטת EAP מוגדרת כ-23 (EAP-AKA)
<MgmtTree xmlns="syncml:dmddf1.2">
  <VerDTD>1.2</VerDTD>
  <Node>
    <NodeName>PerProviderSubscription</NodeName>
    <RTProperties>
      <Type>
        <DDFName>urn:wfa:mo:hotspot2dot0-perprovidersubscription:1.0</DDFName>
      </Type>
    </RTProperties>
    <Node>
      <NodeName>i001</NodeName>
      <Node>
        <NodeName>HomeSP</NodeName>
        <Node>
          <NodeName>FriendlyName</NodeName>
          <Value>Purple Passpoint</Value>
        </Node>
        <Node>
          <NodeName>FQDN</NodeName>
          <Value>purplewifi.com</Value>
        </Node>
      </Node>
      <Node>
        <NodeName>Credential</NodeName>
        <Node>
          <NodeName>Realm</NodeName>
          <Value>wlan.mnc888.mcc999.3gppnetwork.org</Value>
        </Node>
        <Node>
          <NodeName>SIM</NodeName>
          <Node>
            <NodeName>IMSI</NodeName>
            <Value>999888*</Value>
          </Node>
          <Node>
            <NodeName>EAPType</NodeName>
            <Value>23</Value>
          </Node>
        </Node>
      </Node>
    </Node>
  </Node>
</MgmtTree>

התרעה על אימות

מכשירים עם Android מגרסה 8.x או Android מגרסה 9 עם פרופיל Passpoint R1 EAP-SIM,‏ EAP-AKA או EAP-AKA' לא יתחברו אוטומטית לרשת Passpoint. הבעיה הזו משפיעה על משתמשים, ספקי סלולר ושירותים, כי היא מאפשרת הפחתת עומס מרשת ה-Wi-Fi.

פלח השפעה גודל ההשפעה
ספקים וספקי שירות Passpoint עומס מוגבר על הרשת הסלולרית. כל ספק סלולר שמשתמש ב-Passpoint R1.
משתמשים הייתה הזדמנות להתחבר אוטומטית לנקודות גישה (AP) ל-Wi-Fi של הספק, אבל היא לא נוצלה, ולכן עלויות הנתונים גבוהות יותר. כל משתמש עם מכשיר שפועל ברשת של ספק שתומכת ב-Passpoint R1.

הסיבה לכישלון

פרוטוקול Passpoint מציין מנגנון להתאמה בין ספק שירות שמפורסם (ANQP) לבין פרופיל שמותקן במכשיר. הכללים הבאים להתאמה ל-EAP-SIM, ל-EAP-AKA ול-EAP-AKA' הם קבוצה חלקית של כללים שמתמקדים בכשלים של EAP-SIM/AKA/AKA':

If the FQDN (Fully Qualified Domain Name) matches
    then the service is a Home Service Provider.
Else: If the PLMN ID (3GPP Network) matches
    then the service is a Roaming Service Provider.

הקריטריון השני שונה ב-Android 8.0:

Else: If the PLMN ID (3GPP Network) matches AND the NAI Realm matches
    then the service is a Roaming Service Provider.

בעקבות השינוי הזה, המערכת לא זיהתה התאמה לספקי שירות שעבדו בעבר, ולכן מכשירי Passpoint לא התחברו אוטומטית.

פתרונות עקיפים

כדי לעקוף את הבעיה של קריטריוני ההתאמה שהשתנו, ספקי סלולר וספקי שירותים צריכים להוסיף את תחום מזהה הגישה לרשת (NAI) למידע שפורסם על ידי נקודת הגישה של Passpoint.

הפתרון המומלץ הוא שספקי שירותי רשת יטמיעו פתרון עקיף בצד הרשת, כדי להגיע לפריסה בזמן הקצר ביותר. פתרון עקיף בצד המכשיר תלוי ביצרני ציוד מקורי (OEM) שבוחרים רשימת שינויים (CL) מ-AOSP ואז מעדכנים את המכשירים בשטח.

תיקון רשת לספקי סלולר ולספקי שירות Passpoint

הפתרון העקיף בצד הרשת מחייב הגדרה מחדש של הרשת כדי להוסיף את רכיב ה-ANQP של תחום ה-NAI כפי שמפורט בהמשך. במפרטים של Passpoint לא נדרש רכיב ה-ANQP של תחום ה-NAI, אבל הוספת המאפיין הזה תואמת למפרטים של Passpoint, ולכן יישומי לקוח שתואמים למפרטים לא אמורים להיפגע.

  1. מוסיפים את רכיב ה-ANQP של תחום ה-NAI.
  2. מגדירים את שדה המשנה של תחום NAI כך שיתאים ל-Realm של הפרופיל שהותקן במכשיר.
  3. מגדירים את הפרטים הבאים בהתאם לכל סוג של EAP:
    • EAP-TTLS: מגדירים את EAPMethod(21) ואת סוגי האימות הפנימי הנתמכים (PAP,‏ CHAP,‏ MS-CHAP או MS-CHAP-V2)
    • EAP-TLS: מגדירים את EAPMethod(13)
    • EAP-SIM: הגדרה של EAPMethod(18)
    • EAP-AKA: הגדרה של EAPMethod(23)
    • EAP-AKA': הגדרה של EAPMethod(50)

תיקון במכשיר או ב-AOSP ליצרני ציוד מקורי

כדי להטמיע פתרון עקיף בצד המכשיר, יצרני ציוד מקורי (OEM) צריכים לבחור את תיקון ה-CL‏ aosp/718508. אפשר להחיל את התיקון הזה על הגרסאות הבאות (לא רלוונטי ל-Android 10 ומעלה):

  • ‫Android 9
  • ‫Android 8.x

כשתיקון האבטחה נאסף, יצרני ציוד מקורי צריכים לעדכן את המכשירים בשטח.