Passpoint
Passpoint(有时称为“热点 2.0”)是一种用于无缝连入热点的认证标准。 Passpoint 提供客户端和接入点之间的加密连接。 在建立连接之前,它使用 IEEE 802.11u 与提供程序通信。 身份验证和加密通过使用 WPA2-Enterprise 或 WPA3-Enterprise,以及配合多种 EAP 方法之一来实现。
下表介绍了用于 Passpoint 的常见凭据类型和 EAP 方法组合,以及 Windows 10 和 11 中每个预配方法的相应支持。
| 凭据类型 | EAP 方法 | 从网站或应用中进行预配 | 由 MDM 或组策略进行预配 | 由移动运营商通过 COSA 进行预配 | 联机注册 |
|---|---|---|---|---|---|
| 用户名和密码 | EAP-TTLS 与 MS-CHAP-V2 | 是的 | 是的 | 不 | 是(仅限 Windows 11) |
| 用户名和密码 | PEAP 与 MS-CHAP-V2 | 是的 | 是的 | 不 | 不 |
| 用户名和密码 | TEAP 与 MS-CHAP-V2 | 是的 | 是的 | 不 | 不 |
| 证书 | EAP-TLS | 部分* | 是的 | 不 | 不 |
| 证书 | PEAP 与 EAP-TLS | 部分* | 是的 | 不 | 不 |
| 证书 | EAP-TTLS 与 EAP-TLS | 部分* | 是的 | 不 | 不 |
| 证书 | TEAP 与 EAP-TLS | 部分* | 是的 | 不 | 不 |
| SIM卡 | EAP-SIM | 是的 | 是的 | 是(仅限 Windows 11) | 不 |
| SIM卡 | EAP-AKA | 是的 | 是的 | 是(仅限 Windows 11) | 不 |
| SIM卡 | EAP-AKA' | 是的 | 是的 | 是(仅限 Windows 11) | 不 |
*对于基于证书的凭据,证书不能与 Wi-Fi 配置文件直接关联,也不能直接从网站或 UWP 应用安装。 但是,仍可以预配配置文件,如果通过其他机制安装了证书,则方案将有效。 例如,用户可以直接下载和安装证书,也可以通过 Win32 应用进行安装。
预配方法
从 COSA 进行基于移动运营商 SIM 卡的身份验证
使用联机注册 (OSU)
Windows 11 支持 Wi-Fi 联盟 Passpoint 规范中定义的 OSU,但有一些限制:
- 打开注册 SSID(不支持 OSEN)
- 使用 EAP-TTLS 的用户名和密码凭据(不支持其他身份验证方法或凭据类型)
- 不支持订阅修正和策略更新
配置文件格式
除了遵循标准 PPS-MO 格式的联机注册之外,所有其他预配方法都依赖于 WLANProfile XML 格式。 Passpoint 具体信息在 Hotspot2 元素中指定。
地点信息
从 Windows 11 版本 23H2 开始,Windows 支持 Passpoint 会场信息功能,这允许网络运营商提供一个 HTTPS Web URL,链接到有关场地的详细信息。 当网络提供此 URL 时,Windows 会在“快速设置”中显示连接 Wi-Fi 网络旁边的 地点信息 链接。 对于自动连接,Windows 将显示直接链接到 URL 的通知。
漫游联盟成员身份
从 Windows 11 版本 23H2 开始,如果匹配配置文件包含漫游联盟组织标识符(RCOI),则 Windows 在关联请求帧中包含漫游联盟选择元素。
较旧的版本
Windows 8 和 Windows 8.1 不支持 Passpoint 的发现或联机注册部分,但它们确实支持 Passpoint 规范所需的 WPA2-Enterprise 和所有 EAP 方法。 因此,当用户已有凭据时,Windows 8 和 Windows 8.1 可以连接到 Passpoint 网络。 由于 Windows 8 和 Windows 8.1 不支持 802.11u 发现,因此运营商必须用包含适用于其网络的 SSID 的无线配置文件来配置 Windows 8 或 Windows 8.1。
Windows 10 完全支持 Passpoint 版本 1,包括发现和配置文件创建,但不支持联机注册。