Skip to main content
Español
Precios

La guía definitiva sobre la arquitectura y autenticación de OpenRoaming

Esta guía ofrece una referencia técnica autorizada sobre la arquitectura de OpenRoaming de la WBA, abarcando la base de Passpoint, la federación RADIUS, la seguridad mTLS de RadSec y una guía de despliegue paso a paso para recintos empresariales. Proporciona a los responsables de IT, arquitectos de red y operadores de recintos los conocimientos necesarios para sustituir los Captive Portals por una conectividad Wi-Fi fluida, segura y conforme a la normativa que ofrece un ROI medible.

📖 7 min de lectura📝 1,706 palabras🔧 2 ejemplos3 preguntas📚 9 términos clave

🎧 Escuchar esta guía

Ver transcripción
[00:00:00] Host: Welcome to the Purple Technical Briefing. I'm your host, and today we are diving deep into a technology that is fundamentally re-architecting how enterprise Wi-Fi operates: WBA OpenRoaming. If you're an IT manager, a network architect, or a venue operations director, you know the pain of the traditional captive portal. The manual logins, the support tickets, the frustrated guests. Today, we're discussing how OpenRoaming replaces that friction with a secure, cellular-like roaming experience. Let's get into the architecture. [00:01:00] Host: To understand OpenRoaming, we have to look at the underlying mechanics. It's built on a foundation of Passpoint, or Hotspot 2.0, which is based on the IEEE 802.11u standard. This allows a device — your smartphone or laptop — to silently query the access point using the Access Network Query Protocol, or ANQP. The device asks, "Do you support my credentials?" by looking for specific Roaming Consortium Organization Identifiers, or RCOIs. If there's a match, the device connects automatically. No splash pages. No user intervention. It is, quite simply, the cellular roaming experience finally delivered over Wi-Fi. [00:02:30] Host: The Wireless Broadband Alliance, or WBA, manages the global federation that makes this possible. Think of it as a trust framework. On one side, you have Identity Providers — organisations that issue credentials to users. This could be a mobile carrier, a corporate IT department, or a loyalty programme. On the other side, you have Access Network Providers — the venues that operate the physical Wi-Fi infrastructure. Hotels, stadiums, retail chains, airports. The WBA federation is the glue that connects them, allowing a user credentialed by their mobile carrier to seamlessly authenticate at a hotel they've never visited before. [00:04:00] Host: But how does the venue's network actually verify those credentials securely, across thousands of different providers, globally? This is where the RADIUS federation comes in. OpenRoaming solves the scalability problem using dynamic DNS discovery, defined in RFC 7585. When an authentication request hits your RADIUS proxy, it performs a DNS NAPTR lookup on the user's realm to dynamically find the Identity Provider's RadSec server. It then establishes a RadSec connection — that's RADIUS over TLS, defined in RFC 6614 — secured by mutual TLS using certificates issued by the WBA's own Public Key Infrastructure. This means any two parties in the federation can establish a trusted, encrypted connection without ever having met before. [00:05:30] Host: Let's talk security and compliance, because this is where OpenRoaming delivers a truly transformative upgrade. With a captive portal, your traffic is unencrypted over the air until you finish logging in. OpenRoaming uses 802.1X authentication and WPA3-Enterprise. You get encryption from the very first packet. Furthermore, the mutual certificate authentication prevents Evil Twin attacks, where a rogue access point spoofs your network name. Because the device verifies the network's certificate before connecting, a spoofed network simply cannot pass that verification. [00:07:00] Host: From a GDPR standpoint, OpenRoaming uses pseudonymous identifiers instead of raw PII. You know the user is authenticated and legitimate, but you minimise your data footprint. For PCI DSS compliance in retail environments, you enforce dynamic VLAN assignment via your RADIUS server to drop guest users into an isolated network segment, keeping them completely separated from your point-of-sale systems. [00:08:00] Host: Now, implementation pitfalls. First, verify your hardware supports Passpoint. Second, certificate lifecycle management is critical — if your WBA PKI certificates expire, RadSec fails silently. Set up monitoring with at least 60 days' warning. Third, ensure DNS infrastructure is rock solid, as dynamic discovery depends entirely on reliable NAPTR and SRV record resolution. [00:08:45] Host: Rapid-fire Q&A. Can I still control bandwidth per user? Yes — authentication is federated, but authorisation is local. Your RADIUS server applies QoS profiles via Vendor-Specific Attributes. Does it work for IoT devices? Yes — headless devices provisioned with a Passpoint profile via MDM connect automatically. What's the ROI? Venues report 70 to 80 percent reductions in Wi-Fi support tickets. The RAI Amsterdam deployment saw 18,000 attendees consuming 77 terabytes of data over four days. [00:09:45] Host: To summarise: OpenRoaming is the modern standard for secure guest connectivity. Deploy the settlement-free RCOI, audit your access points for Passpoint support, evaluate your RADIUS infrastructure for RadSec capability, and engage with a WBA broker. Thank you for joining this Purple Technical Briefing. Until next time, keep your networks secure and your connections seamless.

header_image.png

Resumen ejecutivo

El modelo tradicional de Captive Portal para el Wi-Fi de invitados está obsoleto. Durante décadas, los recintos han dependido de pantallas de inicio de sesión manuales que frustran a los usuarios, ofrecen una seguridad deficiente y generan una carga de soporte significativa. OpenRoaming de la WBA representa un cambio arquitectónico fundamental, sustituyendo la autenticación manual por una federación global de conexiones seguras y automáticas basadas en la tecnología Passpoint (Hotspot 2.0) y la Autenticación 802.1X: Asegurando el acceso a la red en dispositivos modernos .

Para los responsables de IT y arquitectos de red, el despliegue de OpenRoaming ya no es solo una cuestión de mejorar la experiencia del usuario; es un imperativo estratégico para mejorar la seguridad de la red, reducir los tickets de soporte e impulsar un ROI medible mediante una mayor utilización de la red. Esta guía proporciona una referencia técnica completa para implementar la arquitectura OpenRoaming, navegar por la federación RADIUS y garantizar el cumplimiento de los estándares de seguridad modernos en entornos empresariales, de Retail y de Hostelería .

Análisis técnico profundo: La arquitectura de OpenRoaming

La arquitectura de OpenRoaming opera a través de una federación de confianza gestionada por la Wireless Broadband Alliance (WBA). Cierra la brecha entre los Proveedores de Identidad (IDP) que emiten credenciales y los Proveedores de Red de Acceso (ANP) que operan la infraestructura Wi-Fi.

La base de Passpoint

En el núcleo de OpenRoaming se encuentra el estándar Passpoint de la Wi-Fi Alliance (basado en IEEE 802.11u). Passpoint permite que los dispositivos descubran y se autentiquen en redes Wi-Fi automáticamente. Cuando un dispositivo entra en un recinto habilitado para OpenRoaming, utiliza el Access Network Query Protocol (ANQP) para consultar al punto de acceso sobre los Identificadores de Organización del Consorcio de Roaming (RCOI) compatibles antes de asociarse. Este descubrimiento previo a la asociación es totalmente invisible para el usuario: el dispositivo determina silenciosamente si posee credenciales válidas para la red antes de iniciar cualquier intento de conexión.

La federación RADIUS y RadSec

El roaming Wi-Fi de operadores tradicional se basa en tablas de enrutamiento RADIUS estáticas pobladas mediante acuerdos bilaterales, protegidas a través de túneles IPSec. Este modelo no es escalable para una federación global y abierta. OpenRoaming soluciona esto utilizando el descubrimiento dinámico de pares basado en DNS (RFC 7585) y RadSec (RADIUS sobre TLS, RFC 6614).

Cuando un punto de acceso recibe una solicitud de autenticación, el proxy RADIUS local realiza una búsqueda DNS NAPTR en el dominio del usuario para descubrir dinámicamente el servidor RadSec del IDP. La señalización se protege mediante TLS mutuo (mTLS) con certificados emitidos por la PKI de cuatro niveles de la WBA, lo que garantiza la seguridad de extremo a extremo entre la Red de Acceso y el Proveedor de Identidad sin necesidad de acuerdos bilaterales preestablecidos.

Identificadores de Organización del Consorcio de Roaming (RCOI)

OpenRoaming utiliza RCOI específicos para difundir controles de políticas y modelos de liquidación. Estos se anuncian en el beacon 802.11 y a través de ANQP:

Valor RCOI Modelo Descripción
5A-03-BA Sin liquidación El ANP proporciona conectividad sin coste para el IDP. Modelo dominante para empresas, Retail y Hostelería.
BA-A2-D0 Con liquidación El ANP espera una compensación económica. Se utiliza para escenarios de conectividad premium.

Los 12 bits más significativos del RCOI también pueden utilizarse para definir políticas de Grupo de Acceso Cerrado (CAG), lo que permite a los ANP e IDP negociar niveles de Calidad de Servicio, niveles de verificación de identidad y requisitos de privacidad de forma granular.

architecture_overview.png

Guía de implementación

El despliegue de OpenRoaming requiere la coordinación entre el hardware de red, la infraestructura RADIUS y la gestión de identidades. Para obtener una visión completa de los requisitos de hardware, consulte nuestra guía sobre Definición de puntos de acceso inalámbricos: Su guía definitiva para 2026 .

Paso 1: Evaluación de la preparación de la infraestructura

Verifique que sus puntos de acceso y controladores de LAN inalámbrica admitan Passpoint/Hotspot 2.0 (IEEE 802.11u). La mayoría de los equipos de nivel empresarial fabricados después de 2018 incluyen soporte nativo. Configure un SSID dedicado protegido con WPA3-Enterprise (o WPA2-Enterprise para la compatibilidad con dispositivos antiguos). Este SSID transportará el tráfico de OpenRoaming y debe configurarse con los ajustes ANQP adecuados para difundir su RCOI.

Paso 2: Membresía de la WBA y contratación de un broker

Para participar en la federación OpenRoaming, su organización debe unirse a la WBA directamente o contratar a un broker autorizado de la WBA. El broker asignará a su organización una Identidad WBA (WBAID), emitirá sus certificados RadSec bajo la PKI de la WBA y configurará sus registros DNS NAPTR/SRV para permitir el descubrimiento dinámico. Este es el paso fundamental que conecta su infraestructura a la federación global.

Paso 3: Configuración de la infraestructura RADIUS

Su servidor RADIUS debe estar configurado para enrutar las solicitudes de autenticación a la federación OpenRoaming. Esto implica configurar RadSec para establecer conexiones mTLS utilizando sus certificados emitidos por la WBA. El proxy RADIUS debe ser capaz de realizar búsquedas DNS NAPTR para resolver dinámicamente los puntos finales del IDP. Las soluciones RADIUS basadas en la nube pueden simplificar significativamente este paso al abstraer los complejos procesos de descubrimiento de DNS y gestión de certificados.

Paso 4: Estrategia de aprovisionamiento de dispositivos

La instalación de perfiles Passpoint en los dispositivos de los usuarios es la principal consideración operativa. Hay cuatro enfoques disponibles:

Método Ideal para Mecanismo
Push de MDM Cor gestionadodispositivos corporativos Los perfiles de Intune, Jamf o Workspace ONE se instalan automáticamente
Online Sign-Up (OSU) Despliegues orientados al consumidor Autoinscripción estandarizada mediante el protocolo Passpoint OSU
Aprovisionamiento basado en aplicaciones Miembros de programas de fidelización La aplicación móvil instala el perfil Passpoint tras la autenticación
Inscripción mediante código QR Check-in en el sector hospitality Un código QR físico activa la instalación del perfil

Paso 5: Configuración de políticas y segmentación de VLAN

Configure su controlador WLAN para emitir los RCOI de OpenRoaming adecuados a través de ANQP. Implemente la asignación dinámica de VLAN mediante atributos RADIUS para garantizar que el tráfico de invitados esté aislado de las redes corporativas. Esto es innegociable para el cumplimiento de PCI DSS en entornos de Retail y una práctica recomendada en todos los sectores.

deployment_checklist.png

Mejores prácticas de seguridad y cumplimiento

OpenRoaming mejora fundamentalmente la postura de seguridad del Wi-Fi de los recintos, pasando de redes abiertas y sin cifrar a una seguridad robusta de nivel empresarial. Para profundizar en los mecanismos de autenticación subyacentes, consulte Autenticación 802.1X: Protección del acceso a la red en dispositivos modernos .

WPA3-Enterprise y autenticación 802.1X

A diferencia de los Captive Portal, donde el tráfico no está cifrado hasta el inicio de sesión, OpenRoaming utiliza el cifrado WPA3-Enterprise desde el primer paquete. El proceso de autenticación mutua 802.1X garantiza que el dispositivo del usuario verifique criptográficamente la identidad de la red antes de transmitir cualquier credencial, eliminando el riesgo de puntos de acceso fraudulentos «Evil Twin», una vulnerabilidad que los Captive Portal tradicionales no pueden resolver.

Privacidad y cumplimiento del GDPR

Los Captive Portal tradicionales suelen recopilar abundante información de identificación personal (PII), lo que genera importantes cargas de cumplimiento con el GDPR. OpenRoaming autentica a los usuarios mediante identificadores seudónimos, como el atributo Chargeable-User-Identity (CUI). El recinto verifica que el usuario es legítimo sin necesidad de procesar su PII bruta, cumpliendo con los principios de minimización de datos del GDPR y reduciendo el alcance de sus obligaciones de procesamiento de datos.

Segmentación de red y PCI DSS

Para entornos de Retail , el cumplimiento de PCI DSS es fundamental. El tráfico de OpenRoaming debe estar estrictamente segmentado de los sistemas de punto de venta (POS) y de las redes corporativas. Utilice la asignación dinámica de VLAN mediante atributos RADIUS para aislar el tráfico de invitados inmediatamente después de la autenticación, ubicándolo en una instancia VRF con solo una ruta de internet predeterminada y reglas de denegación explícitas para todo el espacio de direcciones interno RFC 1918.

comparison_chart.png

Casos de estudio: OpenRoaming en producción

Caso de estudio 1: Centro de convenciones RAI Amsterdam (Eventos y conferencias)

El centro de convenciones RAI Amsterdam, uno de los recintos para eventos más grandes de Europa que recibe 1,5 millones de invitados al año, desplegó Wi-Fi 6 con WBA OpenRoaming en 2023. En Cisco Live Europe, más de 18.000 asistentes tuvieron acceso a una conectividad OpenRoaming fluida, consumiendo más de 77 terabytes de datos en cuatro días. Los asistentes pasaron una media de seis horas en la red. El despliegue demostró cómo OpenRoaming elimina el pico de conexiones que suele producirse cuando se abren las puertas de los eventos, distribuyendo la carga de autenticación de forma equitativa en toda la federación. Para los centros de Transport y de conferencias, este caso de estudio es la prueba de concepto definitiva.

Caso de estudio 2: Cadena minorista Delhaize (Retail)

El grupo minorista belga Delhaize desplegó OpenRoaming en toda su red de tiendas para mejorar la conectividad de los clientes y agilizar las operaciones. El despliegue resolvió problemas persistentes con las tasas de conversión de los Captive Portal, un desafío al que se enfrentan todos los operadores de Retail , ya que los clientes optan cada vez más por los datos móviles en lugar de interactuar con pantallas de inicio de sesión manuales. Al permitir una conectividad automática y segura para los usuarios de la aplicación de fidelización, Delhaize aumentó la adopción del Wi-Fi y mejoró la calidad de los datos analíticos en tienda, apoyando directamente las decisiones de merchandising y utilización del espacio. Esto se alinea con la tendencia general de integrar WiFi Analytics con plataformas de inteligencia minorista.

Resolución de problemas y mitigación de riesgos

Aunque OpenRoaming simplifica la experiencia del usuario final, la infraestructura subyacente es compleja. Los arquitectos de red deben mitigar proactivamente los modos de fallo comunes:

La caducidad del certificado RadSec es el riesgo operativo más crítico. Las conexiones mTLS dependen de los certificados WBA PKI. Un certificado caducado interrumpirá inmediatamente el enrutamiento de la federación, provocando fallos de autenticación silenciosos. Implemente una monitorización con al menos 60 días de antelación y un proceso de renovación definido.

Los fallos de resolución DNS son la segunda causa más común de interrupciones de OpenRoaming. El descubrimiento dinámico de pares depende de una resolución DNS fiable de los registros NAPTR y SRV. Asegúrese de que sus proxies RADIUS tengan configurados reenviadores DNS redundantes y de alto rendimiento, y pruebe la resolución DNS como parte de sus comprobaciones periódicas del estado de la red.

La compatibilidad con dispositivos antiguos debe planificarse durante la transición. Aunque los dispositivos modernos iOS, Android, Windows y macOS admiten Passpoint de forma nativa, los dispositivos más antiguos no. Mantenga una red tradicional de Guest WiFi en paralelo durante el periodo de transición para garantizar una cobertura universal.

Una configuración incorrecta del proxy RADIUS puede causar fallos de enrutamiento basados en el dominio (realm). Asegúrese de que su proxy gestione correctamente el dominio EAP-Identity y de que sus registros DNS NAPTR tengan el formato correcto para el descubrimiento RFC 7585.Realice pruebas con varios dominios IDP antes de la puesta en marcha.

ROI e impacto empresarial

El caso de negocio de OpenRoaming va mucho más allá de la elegancia técnica. Los operadores de recintos pueden esperar retornos medibles en varios vectores:

Métrica Resultado típico Fuente
Reducción de tickets de soporte de Wi-Fi Disminución del 70–80% Informes de despliegue de la WBA
Aumento de la tasa de adopción de Wi-Fi Aumento del 40–50% Datos de despliegue en aeropuertos de la WBA
Consumo de datos por usuario Significativamente mayor frente al Captive Portal Estudio de caso de RAI Amsterdam
Riesgo de cumplimiento de PII Sustancialmente reducido Modelo de ID seudónimo de la GDPR

Al adoptar OpenRoaming, los recintos ofrecen las soluciones de WiFi para hostelería moderna que sus huéspedes merecen , transformando el Wi-Fi de un servicio frustrante en un facilitador invisible y fluido de la experiencia digital. La integración con las plataformas de WiFi Analytics adquiere más valor a medida que las mayores tasas de conexión generan conjuntos de datos más ricos y representativos. Para las organizaciones que exploran el panorama más amplio de la modernización de redes, los beneficios principales de SD WAN para las empresas modernas proporcionan un contexto complementario sobre cómo encaja OpenRoaming dentro de una arquitectura de red moderna definida por software.

El sector de la sanidad también se beneficiará significativamente, ya que OpenRoaming permite una conectividad segura y automática para los médicos visitantes y los dispositivos IoT médicos, sin los riesgos de cumplimiento de las redes de invitados abiertas ni la carga operativa de la gestión del Captive Portal por dispositivo.

Términos clave y definiciones

Passpoint (Hotspot 2.0)

A Wi-Fi Alliance certification programme based on IEEE 802.11u that enables devices to automatically discover and authenticate to Wi-Fi networks without user intervention, using pre-provisioned credentials.

The foundational technology that makes the seamless OpenRoaming experience possible on the end-user device. Without Passpoint support on both the AP and the device, OpenRoaming cannot function.

RadSec

A protocol (RFC 6614) that transports RADIUS packets over a TCP and TLS connection, providing encrypted, reliable, and authenticated delivery of authentication signalling.

Used to secure authentication traffic traversing the public internet between the venue's RADIUS proxy and the global OpenRoaming federation. Replaces the legacy IPSec tunnel model.

RCOI (Roaming Consortium Organization Identifier)

A 3-octet or 5-octet identifier broadcast by access points in 802.11 beacons and ANQP responses to indicate which roaming federations and settlement policies the network supports.

Devices read the RCOI to determine if they hold valid credentials to connect before attempting authentication. The settlement-free RCOI (5A-03-BA) is the standard for enterprise deployments.

ANQP (Access Network Query Protocol)

An IEEE 802.11 protocol used by devices to query access points for network information — including supported RCOIs, venue name, and NAI realm list — prior to association.

Enables devices to silently evaluate whether a network supports their credentials without disrupting the user or initiating a connection attempt.

Identity Provider (IDP)

An organisation that maintains user identities and issues the Passpoint credentials (certificates or profiles) used for OpenRoaming authentication.

Mobile carriers, corporate IT departments, and loyalty programmes act as IDPs. The IDP authenticates the user and signals the result to the ANP via the RADIUS federation.

Access Network Provider (ANP)

The venue or organisation that operates the physical Wi-Fi infrastructure, broadcasts OpenRoaming RCOIs, and enforces local access policies.

Hotels, stadiums, retail stores, and enterprise offices act as ANPs. The ANP controls what authenticated users can access, regardless of which IDP authenticated them.

WBA PKI

The four-level Public Key Infrastructure managed by the Wireless Broadband Alliance, used to issue the mTLS certificates required for RadSec connections between federation participants.

Provides the foundational cryptographic trust that allows thousands of independent networks to securely federate without pre-established bilateral agreements.

802.1X

An IEEE standard for port-based network access control that provides an authentication mechanism for devices wishing to attach to a LAN or WLAN, using EAP (Extensible Authentication Protocol) methods.

The robust security framework underpinning OpenRoaming. It prevents unauthorised access and enables WPA3-Enterprise encryption from the first data packet.

Chargeable-User-Identity (CUI)

A RADIUS attribute (RFC 4372) that provides a pseudonymous, stable identifier for a user across multiple sessions, without exposing their actual identity to the access network.

Enables venues to track unique visitors for analytics purposes while minimising PII collection, directly supporting GDPR data minimisation compliance.

Casos de éxito

A 500-room luxury hotel currently uses a captive portal requiring guests to log in with their room number and last name. They are experiencing high support volumes and poor guest satisfaction scores regarding Wi-Fi. They want to implement OpenRoaming but are concerned about losing the ability to tier bandwidth for VIP guests and loyalty programme members.

The hotel should deploy OpenRoaming using the settlement-free RCOI (5A-03-BA), with the hotel's loyalty app acting as an Identity Provider. When a VIP loyalty member authenticates, the IDP's RADIUS Access-Accept response includes Vendor-Specific Attributes (VSAs) that instruct the hotel's WLAN controller to assign the user to a premium QoS profile and a dedicated high-bandwidth VLAN. Standard guests authenticated via a third-party IDP (e.g., their mobile carrier) receive the default QoS profile. The hotel's RADIUS server acts as the policy enforcement point, translating IDP-supplied identity attributes into local network policies.

Notas de implementación: This approach elegantly separates authentication from authorisation. OpenRoaming handles the seamless, secure onboarding (the 'who'), while local RADIUS policies ensure the venue retains granular control over network resources (the 'what'). This satisfies both the operational goal of reducing friction and the business requirement of maintaining service tiering. It also demonstrates a key architectural principle: the IDP proves identity, but the ANP enforces policy.

A large retail chain with 200 stores wants to deploy OpenRoaming to improve customer connectivity and feed their WiFi Analytics platform with richer footfall data. Their security team is concerned about PCI DSS compliance and the risk of guest devices accessing the corporate network or point-of-sale systems.

The retail chain must implement strict network segmentation as a prerequisite to deployment. The OpenRoaming SSID must be mapped to an isolated guest VLAN at the access layer (the AP or distribution switch). The RADIUS server should enforce dynamic VLAN assignment, ensuring all OpenRoaming-authenticated users are placed into a VRF instance with only a default route to the internet and explicit ACL deny rules for all RFC 1918 internal address space. The OpenRoaming RADIUS proxy should be deployed in a DMZ, with no direct routing path to the corporate network. A quarterly penetration test should verify that the segmentation boundary holds.

Notas de implementación: This is the industry-standard approach for retail environments. By enforcing segmentation at the edge and utilising VRFs, the OpenRoaming traffic is completely decoupled from the cardholder data environment (CDE). This ensures the deployment does not increase the scope of their PCI DSS audit. The DMZ placement of the RADIUS proxy is a critical detail that many deployments overlook — it ensures that even if the RADIUS infrastructure is compromised, attackers cannot pivot to the corporate network.

Análisis de escenarios

Q1. Your venue is experiencing frequent silent authentication failures for a subset of OpenRoaming users. Packet captures confirm the EAP-Identity response is received by the AP, but no RADIUS Access-Request ever reaches the Identity Provider. What is the most likely architectural failure point, and how would you diagnose it?

💡 Sugerencia:Consider the steps required for the RADIUS proxy to locate the correct destination for the specific user's realm before it can forward the authentication request.

Mostrar enfoque recomendado

The most likely failure point is DNS resolution at the RADIUS proxy. OpenRoaming relies on dynamic discovery (RFC 7585), requiring the proxy to perform a DNS NAPTR/SRV lookup on the realm provided in the EAP-Identity. If DNS fails, the proxy cannot determine the IP address of the IDP's RadSec server, resulting in a silent failure. Diagnose by running a manual NAPTR lookup from the RADIUS proxy for the affected realm, verifying that the correct SRV records are returned and that the RadSec server IP is reachable on port 2083.

Q2. A hospital IT director wants to deploy OpenRoaming to improve connectivity for visiting clinicians and medical IoT devices, but mandates that all guest traffic must be encrypted over the air from the moment of connection to comply with internal security policy. They currently use a captive portal with WPA2-Personal (PSK). Does OpenRoaming satisfy this requirement, and how does the encryption model differ?

💡 Sugerencia:Compare the encryption timing of captive portals versus 802.1X-based authentication, and consider what happens to traffic before the captive portal login is completed.

Mostrar enfoque recomendado

Yes, OpenRoaming fully satisfies this requirement. With a captive portal, traffic is unencrypted over the air until the user completes the login process — creating a vulnerability window. OpenRoaming uses 802.1X authentication and WPA3-Enterprise (or WPA2-Enterprise), which establishes a unique, cryptographically secure encrypted session via a 4-way handshake immediately upon successful authentication, before any user data is transmitted. Each session uses a unique PMK derived from the EAP exchange, ensuring per-session encryption that is far stronger than the shared PSK model.

Q3. You are configuring the WLAN controller for a new stadium deployment that will participate in the settlement-free OpenRoaming federation. A colleague suggests also broadcasting the settled RCOI to maximise compatibility. What are the implications of broadcasting both RCOIs simultaneously, and what is your recommendation?

💡 Sugerencia:Consider the commercial and operational implications of the settled RCOI, and how devices prioritise RCOI matching.

Mostrar enfoque recomendado

Broadcasting the settled RCOI (BA-A2-D0) alongside the settlement-free RCOI (5A-03-BA) is technically possible but carries significant commercial risk. The settled RCOI signals to Identity Providers that the ANP expects financial compensation for connectivity. This may deter IDPs from allowing their users to connect, as they would incur charges. For a stadium seeking maximum user adoption and seamless connectivity, broadcasting only the settlement-free RCOI is the correct approach. The settled RCOI should only be used when a specific commercial settlement agreement is in place with the relevant IDPs.

Conclusiones clave

  • OpenRoaming replaces manual captive portals with automatic, zero-touch Wi-Fi connectivity built on Passpoint (IEEE 802.11u) and 802.1X authentication.
  • The global federation scales through dynamic DNS-based peer discovery (RFC 7585) and RadSec mTLS (RFC 6614), eliminating the need for static routing tables or bilateral agreements.
  • WPA3-Enterprise encryption is established from the very first packet, and mutual certificate authentication eliminates Evil Twin attack vectors.
  • Pseudonymous identifiers (Chargeable-User-Identity) minimise PII collection, directly reducing GDPR compliance obligations for venue operators.
  • Venues typically report a 70-80% reduction in Wi-Fi-related support tickets and a 40-50% increase in Wi-Fi adoption rates after deployment.
  • Certificate lifecycle management is the single most critical operational task — expired WBA PKI certificates cause silent RadSec failures.
  • Dynamic VLAN assignment via RADIUS is mandatory for PCI DSS compliance in retail environments and best practice across all verticals.
Sobre nosotros
Empleo
Informe B Corp
Planes
Funciones de WiFi para invitados
Precios de WiFi para invitados
Servicios profesionales
Reservar una demo
Políticas
Legal
Política de privacidad
Términos de uso
Mis datos
Política de cookies
SLA estándar
Soporte y asesoramiento
Calculadora de ROI
Calculadora de precios
Soporte de Purple
WhatsApp
© 2026 Purple. Todos los derechos reservados.
Gestionar preferencias de cookies