Passpoint (Hotspot 2.0) 如何重塑访客 Wi-Fi 体验

Passpoint 如何重塑访客 Wi-Fi 体验 —— Purple 技术简报（约 10 分钟） --- 引言和背景 — 约 1 分钟 欢迎收听 Purple 技术简报系列。在接下来的十分钟里，我将带你了解一项早该取代 Captive Portal 的技术——Passpoint，也称 Hotspot 2.0。 如果你在酒店集团、零售园区、体育场馆或任何有访客重复连接的场所管理 Wi-Fi 基础设施，几乎肯定遇到过同样的问题：访客抱怨每次都要登录，IT 服务台接到大量电话询问 Wi-Fi 为何“之前能用”，并且逐渐意识到 iOS 14 和 Android 10 的 MAC 地址随机化已在悄然破坏你的重新认证逻辑。 Passpoint 是所有问题的答案。但它不是一个魔法开关——而是一个需要精心部署的、经过良好设计的协议。那么，让我们开始吧。 --- 技术深度解析 — 约 5 分钟 让我们从 Passpoint 解决的核心问题说起，工程师称之为网络选择问题。 在传统 Wi-Fi 中，你的设备扫描已知的 SSID——一个网络名称——如果识别到，就进行连接。这很简单，但也很脆弱。它需要事先连接过，对网络的安全状况没有任何提示，并且不支持跨场所漫游。每次访客走进你的酒店，他们的设备都必须手动指向你的网络，然后被 Captive Portal 拦截，再通过网页表单进行认证。这就是摩擦。而在 2026 年，摩擦就是一种竞争劣势。 Passpoint 彻底改变了这种模式。设备不再寻找网络名称，而是寻找支持其凭证的网络。甚至在尝试连接之前，设备就会询问接入点：“你支持我的身份提供商吗？”如果答案是肯定的，就会自动进行认证。没有登录页面，没有密码提示，无需手动选择。这是将蜂窝漫游模式应用于 Wi-Fi。 实现这一点的机制称为通用广告服务（GAS），结合访问网络查询协议（ANQP）。当支持 Passpoint 的接入点广播其信标时，其中包含一个称为交互元素的字段——本质上是一个标志，表明“我支持 802.11u”，这是支撑这一切的 IEEE 修正案。你的设备看到这个标志，发送 GAS 请求，并在请求中使用 ANQP 查询：“你支持哪些漫游联盟组织标识符？”接入点进行回应。如果与设备上已有的配置文件匹配，完整的 WPA2 或 WPA3 Enterprise 认证握手就会开始。 该认证使用 IEEE 802.1X——与企业有线网络相同的基于端口的访问控制标准——并结合 EAP 方法。最常见的是使用证书的 EAP-TLS、安全隧道传输用户名和密码的 EAP-TTLS，以及用于移动运营商 SIM 认证的 EAP-SIM 或 EAP-AKA。 结果是建立一个相互认证、完全加密的会话。设备向网络证明其身份，网络也向设备证明其身份。这种互相认证正是防止恶意孪生攻击和中间人攻击，这些攻击困扰着开放的 Wi-Fi 环境。 现在，与 Passpoint 一起经常听到的一个术语是 OpenRoaming——无线宽带联盟（WBA）的联盟框架。有一个重要的区别：Passpoint 是汽车，OpenRoaming 是高速公路系统。 Passpoint 定义了设备如何发现网络并向网络认证。OpenRoaming 定义了信任生态系统，使身份提供商（例如 Google、三星或移动运营商）和访问提供商（你的酒店、体育场馆、零售园区）能够相互信任对方的凭证，而无需每对实体之间的双边协议。OpenRoaming 使用中心辐射式的 PKI 模型，并通过 RadSec 隧道（即基于 TLS 的 RADIUS）代理认证请求穿越联盟。免费结算的 OpenRoaming 的关键漫游联盟 OI 是 5A-03-BA。你还需要广播传统的 Cisco OI，00-40-96，以便与旧设备及 Samsung OneUI 配置文件兼容。 从安全合规角度来看，Passpoint 是一次重大升级。WPA3-Enterprise 使用 192 位安全模式并强制前向保密——每个会话使用唯一的加密密钥，因此泄漏一个会话不会暴露历史流量。对于受 PCI DSS 约束的组织（特别是处理卡支付的零售环境）或承担 GDPR 个人数据义务的组织，Passpoint 基于证书的认证意味着你不会通过网页表单收集凭证，从而大大减少了数据处理界面。 此外还有 MAC 地址随机化问题。现代 iOS 和 Android 设备默认会随机化其 MAC 地址。这破坏了传统的 Captive Portal 重新认证流程——设备每次访问看起来都像新设备。Passpoint 对此免疫。认证是基于凭证的，而非基于 MAC 地址。你的回头客每次访问都能无缝连接，无论他们的设备当天的 MAC 地址是什么。这对你的 Wi-Fi 分析也有重要意义——如果你使用 Purple 的分析平台，基于凭证的认证会恢复你回头客数据的准确性。 --- 实施建议与陷阱 — 约 2 分钟 让我给你一个实际的部署图景。 基础设施要求比 Captive Portal 更复杂，但对于任何运行企业级硬件的组织来说，都是触手可及的。你需要支持 Passpoint 认证的接入点——今天大多数来自 Cisco、Aruba、Ruckus 和 Ubiquiti 的企业 AP 都支持这一点。你需要一个支持 EAP 的 RADIUS 服务器、用于凭证管理的 AAA 基础设施，以及理想情况下一个 OSU（在线注册）服务器用于自助配置文件安装。 配置工作集中在四个要素上：你的 ANQP 设置，它定义了 AP 在预关联时通告的信息；你的漫游联盟 OI；你的 NAI 域定义，它告诉设备你支持的 EAP 方法；以及你的场所信息，它被设备用于显示关于网络的上下文。 我对大多数场所的最强烈建议是采用双 SSID 策略。运行一个 Passpoint SSID 用于回头客和已注册用户，并保留一个 Captive Portal SSID 用于首次访问者。将 Captive Portal 作为引导漏斗——在首次访问认证流程结束时提供安装 Passpoint 配置文件的选项。这种渐进式引导模式为你带来了两全其美：便捷的首次访问和回头时的无缝连接。 现在谈谈陷阱。我看到的最常见的部署失败是将 Passpoint 视为 Captive Portal 的直接替代品，而不构建引导体验。如果访客不知道如何安装配置文件，或者 OSU 流程笨拙，采用就会停滞。投入资源改善安装体验。 第二个陷阱是证书管理。如果你使用带有设备证书的 EAP-TLS，你需要一个强大的 PKI 生命周期。过期的证书会无声地中断受影响设备的认证——你的服务台可能是最后知道的。主动自动化证书更新并监控过期。 第三：不要忽视旧设备支持。Passpoint 需要 iOS 7 或更高版本、Android 6 或更高版本以及 Windows 10 或更高版本。这涵盖了绝大多数现代设备，但 IoT 设备和一些较旧的企业发放硬件将需要替代访问路径。 --- 快速问答 — 约 1 分钟 Passpoint 能与现有接入点一起使用吗？如果它们是过去五年中企业级硬件，几乎肯定可以——在规格表中查看 Wi-Fi 联盟 Passpoint 认证。 使用 Passpoint 还能收集访客数据吗？可以，但机制发生了变化。数据收集发生在配置文件安装时——在 OSU 流程或应用注册期间——而不是每次登录时。这实际上对 GDPR 更友好，因为同意只被捕获一次，且明确。 那么想要品牌启动页的场所呢？Passpoint 连接在设计上是不可见的，因此传统的启动页不适用。不过，如果你有忠诚度应用集成，可以在连接后触发应用内通知或推送消息。一些运营商使用混合模式，首次访问在 Passpoint 注册前仍通过品牌门户。 OpenRoaming 加入免费吗？使用 5A-03-BA OI 的免费结算层级 OpenRoaming 可通过无线宽带联盟免费获取。带有分析和货币化功能的商业层级可通过 WBA 成员获得。 --- 总结与后续步骤 — 约 1 分钟 总结一下：Passpoint 不是未来的技术——它是一个成熟的、基于标准的协议，已在全球各大机场、连锁酒店和体育场部署。你的组织面临的问题不是是否采用，而是何时以及如何采用。 如果你经营一个酒店集团、零售连锁店或拥有回头客的大型场所，ROI 案例清晰可见：降低服务台负担、提高访客满意度、降低合规风险，以及不被 MAC 随机化破坏的准确分析数据。 你的下一步很简单。首先，审计你当前的 AP 资产是否通过 Passpoint 认证。其次，评估你的 RADIUS 基础设施，确定是否需要 OSU 服务器用于自助服务安装。第三，设计你的双 SSID 策略和引导旅程。第四，如果你考虑 OpenRoaming 联盟，请与无线宽带联盟或像 Purple 这样的平台提供商合作，他们可以代你处理联盟管道。 这是 Purple 关于 Passpoint 和 Hotspot 2.0 的技术简报。获取完整的书面指南、架构图和部署实例，请访问 purple.ai。感谢收听。