无线新技术：hotspot2.0

技术背景

HotSpot 2.0（后文简称为HS2.0）是WiFi联盟推出的一套技术规范，其主要目的是使一个漫游的WiFi客户端能够在陌生的环境里自动发现并注册和自己的移动网络服务提供商（Service Provider）有漫游协议的WiFi网络。该技术为电信运营商，城域SP，企业和任何有意向的实体结成漫游联盟提供了可能，并使HS2.0用户获得类似于移动蜂窝网络（Cellular Network）的漫游体验。WiFi联盟为所有通过了HS2.0认证测试的设备提供了一个专用的认证标识“WiFi CERTIFIED Passpoint”。

技术简介

根据全球市场的需求和技术演进，WiFi Alliance把HS2.0的实现和认证分为Phase 1、2两个步骤，这主要是由于HS2.0网络一般定位于覆盖公共区域，为了提供不逊于蜂窝网的安全强度，WiFi联盟强制满足HS2.0认证的AP使用WPA2-Enterprise加密和EAP认证，其禁止使用WPA/WPA2-Personal（PSK），WEP等相对较弱的网络保护方式。以iPhone为例，可见HS2.0 Phase1客户端的配置需要较多人工介入。

在iPhone配置工具上新建配置文件

配置与和EAP方法所需的安全凭据

配置EAP方法/Roaming Consortium Ols、NAI Real Names、CMCC/MNC

下载配置文件到手机

启用

更重要的是，当客户端和网络仅支持HS2.0 Phase 1的情况下，一旦用户所处的漫游环境中没有符合终端预设参数的WiFi网络，HS2.0 Phase 1就无法实现自动漫游。即使客户自行找到了合适HS2.0网络，也很难便捷的配置接入新网络所需的安全凭据，因此影响了HS2.0的用户体验。

WiFi Alliance在Phase2中提出的增强目的是使用户能通过简单的“发现”，“注册”，“使用”三步，提供用户类似蜂窝网的无缝漫游体验，（如图1所示）：

HS2.0 Phase 2的特性和架构更改均围绕上述目的，通过OMA-DM和SOAP-XML协议在运营商和用户之间构建了一条带内管理通道简化证书自动生成，移动终端的在线配置。与此同时，HS2.0 Phase 2还在终端的接入管理上进一步精细化，使得支持HS2.0 Phase 2的WiFi运营商能够更灵活的制定策略，以适应不同用户的需求。

技术实现系统架构

HotSpot 2.0的系统架构（如图2所示）。主要构成部分如下：

HS2.0无线系统

ANQP Server：Phase 1中加入的逻辑实体，用于支持客户端关联前的网络发现；

AAA/Portal Server：认证和计费服务器，用于认证无线侧的设备或中继客户端的认证报文；

OSU SSID：接入后，用于客户端订阅和预配置；

Production SSID：完成订阅和预配置后的客户端接入的SSID。

HS2.0服务商

AAA Server：用于HS2.0用户的认证；

CA：服务商的证书服务器，用于颁发或者注销用户证书；

Policy Server：管理并配置客户端的策略（例如，上下行带宽，和服务器之间约定的协议类型等）；

Remediation Server：当SP认为无线用户的证书或者配置有问题时，会通知用户接入该服务器进行修正处理。（例如：套餐更改，用户欠费等）；

OSU：在线注册服务器。与客户端操作系统通过OMA DM或者SOAP-XML协议传递信息。用于处理订阅请求，预配置用户的证书（RA）。处理证书相关操作会和CA和AAA交互，处理策略参数相关操作时会和策略服务器交互。

用户终端

Connection Manager：终端侧连接管理实体。HS2.0Phase 2增加了OMA（Open Mobile Alliance）组织定义的一套移动终端管理节点，称为MO（Management Object）的逻辑实体。通过OMA-DM或SOAP-XML协议与运营商的SU，Policy，Remediation服务器交互。当手机完成和运营商OSU服务器的注册和预配置后，对应该运营商的PPS MO里面存储了运营商配置的SSID，证书，规则，计费信息等。

接入状态机

典型的HS2.0 Phase 2关联流程包含了以下几个状态：

网络发现（Network Discovery）：这是指终端通过Probe，Beacon，ANQP等802.11协议报文寻找当前网络中是否有符合自己条件的网络（SSID）。HS2.0网络搜寻的主要依据是判断终端设备预存凭据中的NAIRealm（Network Access Identifier）和AP发出的ANQP报文NAI Realm域是否匹配。除此之外，HS2.0规范也允许终端设备对NAI匹配的结果列表进行个性化的排序和裁剪以利于用户选择，比如，是否漫游，信号强度是否满足要求，用户是否配置过优选网络等。若匹配后的SSID列表结果不为空，那么终端就会使用列表中某个SSID支持的NAI绑定的凭据和EAP认证方法自动尝试关联这个SSID。直接进入接入态。若SSID列表为空，则根据用户的选择进入注册状态。

*注：ANQP NAI代表HS2.0网络允许接入的用户域。ANQP Domain List代表了运营该HS2.0网络的实体。

*注：移动设备可以通过PPS MO中的用户NAI和发现阶段ANQP报文中的Domain List元素中的FQDN比对判断自己是否漫游。也可通过（U）SIM卡上MCC，MNC索引组成特定的FQDN和Domain List中获取的域名比对。

网络注册（Network Registration）：当设备没有找到能和自己匹配的HS2.0 SSID时，会在终端的用户界面上显示一个OSU list。这个OSU list列出了当前网络中支持在线注册的SSID列表，用户可以选择一个SSID进行在线网络注册。在用户选择的过程中，通过和OSU之间的信息交互，用户通过向界面向运营商提供诸如联络方式，支付方式等信息来获取一个可用账户。具体过程见OSU Connection Procedure。

网络预配置（Network Provisioning）：当用户获取到一个可用账户后，运营商和终端操作系统需要将接入认证所需的CA证书，用户证书以及用户配置元数据（Meta Data）安装到用户终端上。同时，运营商系统还要将用户申请的账户和以上凭据及元数据绑定。具体过程见OSU Connection Procedure。

网络接入（Network Access）：以上步骤完成后，用户终端就可以从OSU SSID退出，根据元数据中的配置去关联Production SSID，认证成功后获取与账户相关的网络访问权限。

网络接入态还包含两个机制：

■ 网络异常　　■ 网络修复

网络异常态是指用户接入后，网络在完成用户的EAP认证后发现某些异常情况，比如AP负载过高或者AP所属区域不允许该客户接入，需要用户暂时离线或者关联ESS内的其他AP。网络会通过RADIUS接口通知无线系统，无线系统则利用802.11协议的WNM-NotificationDe-authentication Imminent Notice报文通知用户。

网络修复是指，当用户预配置的凭据，策略信息或者其他元数据需要更新时，网络会通过RADIUS接口通知无线系统，无线系统则利用802.11协议的WNM-NotificationRemediation报文通知用户接入指定的Remediation Server进行修复和更新。