Passpoint
传递点(有时称为“热点 2.0”)是无缝身份验证热点的标准。 Passpoint 提供客户端和接入点之间的加密连接。 在建立连接之前,它使用 IEEE 802.11u 与提供程序通信。 身份验证和加密通过使用 WPA2-Enterprise 或 WPA3-Enterprise 提供,以及多种 EAP 方法之一。
下表介绍了用于 Passpoint 的常见凭据类型和 EAP 方法组合,以及 Windows 10 和 11 中每个预配方法的相应支持。
| 凭据类型 | EAP 方法 | 从网站或应用进行预配 | 由 MDM 或组策略预配 | 由移动运营商从 COSA 预配 | 联机注册 |
|---|---|---|---|---|---|
| 用户名和密码 | 使用 MS-CHAP-V2 的 EAP-TTLS | 是 | 是 | 否 | 是(仅限 Windows 11) |
| 用户名和密码 | 使用 MS-CHAP-V2 的 PEAP | 是 | 是 | 否 | 否 |
| 用户名和密码 | 使用 MS-CHAP-V2 的 TEAP | 是 | 是 | 否 | 否 |
| 证书 | EAP-TLS | 部分* | 是 | 否 | 否 |
| 证书 | 使用 EAP-TLS 的 PEAP | 部分* | 是 | 否 | 否 |
| 证书 | EAP-TTLS 与 EAP-TLS | 部分* | 是 | 否 | 否 |
| 证书 | 带有 EAP-TLS 的 TEAP | 部分* | 是 | 否 | 否 |
| SIM | EAP-SIM | 是 | 是 | 是(仅限 Windows 11) | 否 |
| SIM | EAP-AKA | 是 | 是 | 是(仅限 Windows 11) | 否 |
| SIM | EAP-AKA' | 是 | 是 | 是(仅限 Windows 11) | 否 |
注意
如果使用基于证书的凭据,则证书不能与 Wi-Fi 配置文件直接关联,也不能直接从网站或 UWP 应用安装。 但是,仍可以预配配置文件,如果通过其他机制安装证书,则方案将有效。 例如,用户可以直接下载和安装证书,也可以通过 Win32 应用进行安装。
预配方法
使用联机注册 (OSU)
Windows 11 支持 Wi-Fi 联盟 Passpoint 规范中定义的 OSU,并具有某些约束:
- 打开注册 SSID (不支持 OSEN)
- 使用 EAP-TTLS 的用户名和密码凭据(不支持其他身份验证方法或凭据类型)。
- 不支持订阅修正和策略更新。
配置文件格式
除了遵循标准 PPS-MO 格式的联机注册之外,所有其他预配方法都依赖于 WLANProfile XML 格式。 Passpoint 特定详细信息在 Hotspot2 元素中指定。
地点信息
从 Windows 11 版本 23H2 开始,Windows 支持 Passpoint 会场信息功能,这允许网络运营商提供一个 HTTPS Web URL,链接到有关场地的详细信息。 当网络提供此 URL 时,Windows 会在“快速设置”中显示连接的 Wi-Fi 网络旁边的“地点信息”链接。 对于自动连接,Windows 将显示直接链接到 URL 的通知。
漫游联盟成员身份
从 Windows 11 版本 23H2 开始,如果匹配配置文件包含漫游联盟组织标识符(RCOI),则 Windows 在关联请求帧中包含漫游联盟选择元素。
较旧版本
Windows 8 和 Windows 8.1 不支持 Passpoint 的发现或联机注册部分,但它们确实支持 WPA2-Enterprise 和 Passpoint 规范所需的所有 EAP 方法。 因此,当用户已有凭据时,Windows 8 和 Windows 8.1 可以连接到 Passpoint 网络。 由于 Windows 8 和 Windows 8.1 不支持 802.11u 发现,因此操作员必须使用包含适用于其网络的 SSID 的无线配置文件预配 Windows 8 或 Windows 8.1。
Windows 10 完全支持 Passpoint 版本 1,包括发现和配置文件创建,但不支持联机注册。