跳至主要內容
繁體中文

Passpoint (Hotspot 2.0) 如何顛覆顧客 Wi-Fi 體驗

本技術參考指南詳述了 Passpoint (Hotspot 2.0) 與 802.11u 協定如何取代傳統的 Captive Portal,實現無縫、安全且類似行動網路的 Wi-Fi 漫遊。本指南為 IT 主管提供架構概述、部署框架,以及採用憑證式驗證來解決 MAC 隨機化挑戰並提升顧客體驗的商業案例。

📖 6 分鐘閱讀📝 1,359 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
Passpoint 如何顛覆顧客 Wi-Fi 體驗 Purple 技術簡報 — 長度約 10 分鐘 --- 引言與背景 — 約 1 分鐘 歡迎收聽 Purple 技術簡報系列。在接下來的十分鐘裡,我將帶您了解一項坦白說多年前就該取代 Captive Portal 的技術 — Passpoint,也就是大家熟知的 Hotspot 2.0。 如果您正在管理飯店集團、零售物業、體育場館或任何顧客會重複連線的場域之 Wi-Fi 基礎架構,您幾乎肯定遇到過同樣的瓶頸:顧客抱怨每次都必須重新登入、您的 IT 服務台不斷接到關於 Wi-Fi「以前能用,現在不行」的報修電話,以及您逐漸意識到 iOS 14 和 Android 10 的 MAC 位址隨機化已經悄悄破壞了您的重新驗證邏輯。 Passpoint 就是解決所有這些問題的答案。但它不是一個魔法開關 — 它是一個經過精心設計的協定,需要深思熟慮的部署。那麼,讓我們開始深入探討。 --- 技術深挖 — 約 5 分鐘 讓我們從 Passpoint 解決的核心問題開始,工程師稱之為「網路選擇問題」。 在傳統 Wi-Fi 中,您的裝置會掃描已知的 SSID(網路名稱),如果識別出其中一個,就會進行連線。這很簡單,但也很脆弱。它需要先前的連線記錄,無法告訴您該網路的安全狀況,也不支援場域之間的漫遊。每次顧客走進您的飯店,他們的裝置都必須手動指向您的網路,然後被 Captive Portal 攔截,再透過網頁表單進行驗證。這就是摩擦。而在 2026 年,摩擦就是一種競爭劣勢。 Passpoint 完全改變了這種模式。裝置不再尋找網路名稱,而是尋找支援其憑證的網路。在嘗試連線之前,裝置就會詢問無線基地台:「你支援我的身分識別提供者嗎?」如果答案是肯定的,驗證就會自動進行。沒有登入頁面。沒有密碼提示。無需手動選擇。這就是應用於 Wi-Fi 的行動漫遊模式。 實現這一點的機制稱為一般廣告服務(Generic Advertisement Service,簡稱 GAS),並結合了存取網路查詢協定(Access Network Query Protocol,簡稱 ANQP)。當啟用 Passpoint 的無線基地台廣播其 Beacon 時,它會包含一個稱為互連元素(Interworking Element)的資訊 — 基本上是一個宣告「我支援 802.11u」的標記,而 802.11u 正是支撐這一切的 IEEE 修正案。您的裝置看到該標記後,會發送 GAS 請求,並在該請求中透過 ANQP 查詢詢問:「你支援哪些 Roaming Consortium 組織識別碼?」無線基地台隨即做出回應。如果與裝置上已有的設定檔相符,就會啟動完整的 WPA2 或 WPA3 Enterprise 驗證握手。 該驗證使用 IEEE 802.1X(企業有線網路中使用的基於連接埠的存取控制標準),並結合 EAP 方法。最常見的是使用憑證的 EAP-TLS、安全傳輸使用者名稱和密碼的 EAP-TTLS,以及用於行動電信商 SIM 卡驗證的 EAP-SIM 或 EAP-AKA。 其結果是獲得一個經過雙向驗證且完全加密的工作階段。裝置向網路證明其身分,網路也向裝置證明其身分。這種雙向驗證可以防止困擾開放式 Wi-Fi 環境的邪惡雙生仔攻擊(Evil Twin Attacks)和中間人攻擊。 現在,您會與 Passpoint 一起聽到的一個詞是 OpenRoaming — 這是無線寬頻聯盟(Wireless Broadband Alliance)的聯盟框架。這裡有一個關鍵的區別:Passpoint 是車輛,OpenRoaming 是高速公路系統。 Passpoint 定義了裝置如何探索網路並向其進行驗證。OpenRoaming 則定義了信任生態系統,允許身分識別提供者(例如 Google、Samsung 或行動電信商)與存取提供者(您的飯店、體育場、零售物業)相互信任彼此的憑證,而無需在每對夥伴之間簽署雙邊協議。OpenRoaming 使用帶有 RadSec 通道(即基於 TLS 的 RADIUS)的星狀拓撲 PKI 模型,在聯盟中代理驗證請求。免結算 OpenRoaming 的關鍵 Roaming Consortium OI 是 5A-03-BA。您可能還需要廣播舊版的 Cisco OI (00-40-96),以相容於較舊的裝置和 Samsung OneUI 設定檔。 從安全合規的角度來看,Passpoint 是一次重大升級。WPA3-Enterprise 使用 192 位元安全模式並強制執行轉向保密(Forward Secrecy)— 每個工作階段都使用唯一的加密金鑰,因此即使一個工作階段遭到破解,也不會洩露歷史流量。對於受 PCI DSS 約束的組織(特別是處理刷卡交易的零售環境)或受 GDPR 個人資料保護義務約束的組織,Passpoint 基於憑證的驗證意味著您無需透過網頁表單收集認證資訊,這大大減少了您的資料處理暴露面。 接著是 MAC 位址隨機化。現代 iOS 和 Android 裝置預設會隨機化其 MAC 位址。這破壞了傳統 Captive Portal 的重新驗證流程 — 裝置在每次存取時看起來都像新的一樣。Passpoint 對此免疫。驗證是基於憑證而非基於 MAC 的。不論顧客裝置當天的 MAC 位址是什麼,回頭客每次造訪都能無縫連線。這對您的 Wi-Fi 分析也有重大影響 — 如果您使用的是 Purple 的分析平台,憑證式驗證將恢復您回頭客數據的準確性。 --- 部署建議與常見陷阱 — 約 2 分鐘 讓我為您說明實際的部署情況。 基礎架構要求雖然比 Captive Portal 更複雜,但對於任何運行企業級硬體的組織來說都是完全可以實現的。您需要通過 Passpoint 認證的無線基地台 — 目前來自 Cisco、Aruba、Ruckus 和 Ubiquiti 的大多數企業級 AP 都支援此功能。您需要一個支援 EAP 的 RADIUS 伺服器、用於憑證管理的 AAA 基礎架構,以及理想情況下用於自助式設定檔配置的 OSU(線上簽約)伺服器。 設定工作主要圍繞四個要素:您的 ANQP 設定(定義 AP 在關聯前廣告的內容)、您的 Roaming Consortium OI、您的 NAI Realm 定義(告知裝置您支援哪些 EAP 方法),以及您的場域資訊(裝置用來顯示網路相關內容)。 對於大多數場域,我最強烈的建議是採用雙 SSID 策略。為回頭客和已註冊使用者運行一個 Passpoint SSID,並為首次造訪者保留一個 Captive Portal SSID。將 Captive Portal 作為引導註冊的管道 — 在首次造訪驗證流程結束時,提供安裝 Passpoint 設定檔的選項。這種漸進式註冊模式讓您兩全其美:首次存取簡單,後續返回無縫。 現在來談談陷阱。我見過最常見的部署失敗是將 Passpoint 直接作為 Captive Portal 的替代品,卻沒有建立引導註冊流程。如果顧客不知道如何安裝設定檔,或者 OSU 流程太過繁瑣,採用率就會停滯不前。請務必投資於配置體驗。 第二個陷阱是憑證管理。如果您使用帶有裝置憑證的 EAP-TLS,您需要一個健全的 PKI 生命週期管理。過期的憑證會悄無聲息地中斷受影響裝置的驗證 — 而您的服務台往往是最後一個知道的。請自動化憑證更新並主動監控過期情況。 第三:不要忽視對舊型裝置的支援。Passpoint 需要 iOS 7 或更高版本、Android 6 或更高版本,以及 Windows 10 或更高版本。這涵蓋了絕大多數現代裝置,但 IoT 裝置和一些較舊的企業配發硬體將需要替代的存取路徑。 --- 快速問答 — 約 1 分鐘 Passpoint 是否適用於現有的無線基地台?如果是過去五年內的企業級硬體,幾乎肯定可以 — 請檢查規格表中的 Wi-Fi Alliance Passpoint 認證。 我還能透過 Passpoint 收集顧客資料嗎?可以,但機制有所轉變。資料收集發生在設定檔配置時(在 OSU 流程或 App 註冊中),而不是在每次登入時。這實際上更符合 GDPR 規範,因為同意是一次性且明確擷取的。 需要品牌形象宣傳頁面的場域該怎麼辦?Passpoint 連線在設計上是隱形的,因此不適用傳統的宣傳頁面。但是,如果您整合了會員 App,您可以在連線後觸發 App 內通知或推播訊息。一些營運商使用混合模式,在註冊 Passpoint 之前,首次造訪仍需通過品牌入口網站。 加入 OpenRoaming 是免費的嗎?透過無線寬頻聯盟,可以免費使用使用 5A-03-BA OI 的免結算層級 OpenRoaming。包含分析和營利功能的商業層級可透過 WBA 成員獲得。 --- 總結與後續步驟 — 約 1 分鐘 總結來說:Passpoint 不是未來的技術 — 它是一個成熟、基於標準的協定,已在全球主要機場、連鎖飯店和體育場館部署。對於您的組織而言,問題不在於是否採用,而是在於何時以及如何採用。 如果您管理的是飯店集團、零售連鎖店或有回頭客的大型場域,投資報酬率非常明確:減輕服務台負擔、提高顧客滿意度、降低合規風險,以及獲得不會因 MAC 隨機化而失真的準確分析數據。 您的後續步驟非常簡單。首先,稽核您現有的 AP 設備是否通過 Passpoint 認證。其次,評估您的 RADIUS 基礎架構,並確定是否需要 OSU 伺服器進行自助式配置。第三,設計您的雙 SSID 策略和引導註冊流程。第四,如果您正在考慮 OpenRoaming 聯盟,請與無線寬頻聯盟或像 Purple 這樣能為您處理聯盟對接的平台供應商聯絡。 以上是 Purple 關於 Passpoint 和 Hotspot 2.0 的技術簡報。如需完整的書面指南、架構圖和實際部署範例,請造訪 purple.ai。感謝您的收聽。

header_image.png

執行摘要

對於現代企業場域而言,繁瑣的連線流程是一種競爭劣勢。傳統的 Captive Portal 雖然曾是訪客網路存取的標準,但如今已成為顯著的營運瓶頸,也是使用者持續感到挫折的根源。Passpoint(又稱 Hotspot 2.0)從根本上改變了這一模式,以無縫、類似行動網路漫遊的體驗取代了手動的網頁驗證。透過利用 IEEE 802.11u 標準與 WPA3-Enterprise 加密,Passpoint 允許訪客裝置自動且安全地探索、驗證並連線至企業 Wi-Fi 網路。

對於 旅宿餐飲零售 以及大型公共場域的 IT 主管而言,過渡到 Passpoint 已不再是可有可無的選擇。現代 iOS 與 Android 裝置中預設實施的 MAC 位址隨機化,已實質上破壞了傳統 Captive Portal 的重新驗證邏輯,這意味著回訪訪客在每次造訪時都會被視為新裝置。Passpoint 透過驗證使用者的憑證設定檔而非其硬體位址來解決此問題。本指南詳細介紹了 Passpoint 的技術架構、部署的商業影響,以及旨在改善 Guest WiFi 體驗同時減少客服中心開銷的廠商中立實作框架。

技術深度剖析

網路選擇問題與 802.11u

在傳統的 Wi-Fi 部署中,裝置依賴一種本質上非常脆弱的機制來進行網路選擇:掃描已知的服務設定識別碼 (SSID)。這種方法要求使用者先前曾連線至該網路,或手動從清單中選取網路。它在關聯前無法提供關於網路安全狀態、驗證要求或上游網際網路可用性的任何能見度。Passpoint 透過 IEEE 802.11u 修正案解決了這一限制,該修正案引入了與外部網路的互通性 (Interworking with External Networks)。

啟用 Passpoint 的裝置不會被動掃描 SSID,而是在嘗試關聯之前主動查詢網路基礎設施。當無線基地台廣播其信標 (Beacon) 時,會包含一個互通性元素 (Interworking Element) —— 指示支援 802.11u 的標記。用戶端裝置偵測到此標記並發起一般廣告服務 (GAS) 請求。封裝在此請求中的是存取網路查詢協定 (ANQP) 查詢。裝置會詢問基礎設施:「您支援哪些漫遊聯盟組織識別碼 (OI)?」如果無線基地台的回應與裝置上儲存的憑證設定檔相符,則會進行自動驗證。

passpoint_architecture_overview.png

驗證與安全架構

Passpoint 強制要求企業級安全性,完全消除了 Captive Portal 部署中固有的「開放網路」階段。驗證是透過 IEEE 802.1X 基於連接埠的網路存取控制,並結合可延伸驗證協定 (EAP) 方法來處理。企業部署中最常見的方法是 EAP-TLS(依賴用戶端與伺服器憑證)、EAP-TTLS(通道化憑證)以及 EAP-SIM/AKA(用於行動網路分流場景)。

此架構提供了雙向驗證。裝置向網路以密碼學方式證明其身分,至關重要的是,網路也向裝置證明其身分。這種雙向驗證是防範邪惡雙胞胎 (Evil Twin) 無線基地台和中間人攔截嘗試的首要防線。此外,Passpoint 強制要求 WPA2-Enterprise 或 WPA3-Enterprise 加密。WPA3-Enterprise 引入了 192 位元安全模式並強制要求轉向秘鑰精靈(Forward Secrecy),確保即使未來工作階段金鑰遭到破解,歷史流量仍保持加密狀態。

OpenRoaming 聯盟

雖然 Passpoint 定義了探索與驗證的技術機制,但 OpenRoaming 提供了信任框架。由無線寬頻聯盟 (WBA) 開發的 OpenRoaming 是一個全球聯盟,允許身分識別提供者(如行動網路業者、Google 或 Apple)與存取提供者(如飯店、體育場和零售連鎖店)相互信任彼此的憑證,而不需要每個實體之間簽署雙邊協議。

OpenRoaming 運作於星狀拓撲的公開金鑰基礎建設 (PKI) 模型上。驗證請求是使用 RadSec (RADIUS over TLS) 通道在聯盟中進行代理傳輸。透過廣播免結算的 OpenRoaming OI (5A-03-BA),企業場域可以立即為全球數百萬名裝置上已擁有相容身分設定檔的使用者,提供無縫且安全的 Wi-Fi 存取。

實作指南

部署 Passpoint 需要比傳統開放網路更複雜的基礎設施基準,但這些元件在現代企業環境中都是標準配置。

基礎設施先決條件

  1. 通過 Passpoint 認證的無線基地台:無線基礎設施必須支援 802.11u 和 Hotspot 2.0 規範。過去五年內由 Cisco、Aruba 和 Ruckus 等廠商製造的絕大多數企業級無線基地台都符合此要求。
  2. RADIUS/AAA 基礎設施:一個強大的 RADIUS 伺服器,能夠處理 EAP 驗證並將請求路由至適當的身分識別存放區。如果參與 OpenRoaming,該 RADIUS 伺服器伺服器必須支援 RadSec 以進行安全代理。
  3. 線上註冊 (OSU) 伺服器:對於自行核發憑證(而非僅依賴同盟身分)的環境,OSU 伺服器提供了向訪客裝置安全佈署 Passpoint 設定檔的機制。

雙 SSID 策略

對於正在過渡到 Passpoint 的場域而言,最有效的部署模型是雙 SSID 策略。此方法保留了傳統的 Captive Portal SSID 用於初始引導,同時提供 Passpoint SSID 用於後續的無縫連線。

當訪客首次連線到 Captive Portal SSID 時,他們會完成標準的驗證流程(例如:接受條款與條件、提供電子郵件地址)。驗證成功後,入口網站會提供下載 Passpoint 設定檔的選項。安裝完成後,裝置在未來的所有造訪中都將自動優先選擇安全的 Passpoint SSID。這種漸進式的引導模式確保了舊型裝置的相容性,同時將大多數使用者遷移到安全、無摩擦的 Passpoint 網路。

passpoint_vs_captive_portal_comparison.png

最佳實踐

在設計 Passpoint 架構時,IT 主管必須遵守幾項關鍵的最佳實踐,以確保營運穩定性與安全性。

首先,憑證生命週期管理至關重要。如果使用 EAP-TLS,用戶端或伺服器憑證過期將導致無聲的驗證失敗,這對於第一線服務台來說很難診斷。請實施自動化憑證更新協定與主動監控。正如我們在 網路存取控制的裝置狀態評估 指南中所強調的,在管理基於憑證的存取時,強大的端點能見度是必不可少的。

其次,確保舊型裝置相容性。雖然 iOS 7+、Android 6+ 和 Windows 10+ 原生支援 Passpoint,但某些物聯網 (IoT) 裝置、舊型硬體和受嚴格企業管理的裝置可能缺乏支援。雙 SSID 策略透過提供備用存取方法來降低此風險。

第三,在設定 ANQP 元素時,確保場域資訊 (Venue Information) 準確且具描述性。此中繼資料通常會由用戶端裝置的作業系統顯示,以提供使用者正在加入之網路的背景資訊。

疑難排解與風險緩釋

Passpoint 的複雜性引入了與 Captive Portal 部署不同的特定失敗領域。

失敗模式 1:RADIUS 逾時或無法連線 如果本地 RADIUS 伺服器無法連線到上游的身分識別提供者(特別是在同盟 OpenRoaming 場景中),EAP 握手將會逾時。 緩釋措施:實施備援 RADIUS 基礎架構,並確保對 RadSec 通道進行強大的監控。請參閱我們關於 RadSec : Sécurisation du trafic d'authentification RADIUS avec TLS 的技術文件以獲取設定指引。

失敗模式 2:設定檔佈署失敗 使用者在嘗試從 OSU 伺服器下載 Passpoint 設定檔時可能會遇到錯誤,這通常是由於行動裝置上 Captive Portal 瀏覽器的限制所致。 緩釋措施:設計 Captive Portal 流程,在開始下載設定檔之前,先從 Captive Network Assistant (CNA) 迷你瀏覽器跳轉到裝置的原生系統瀏覽器。

失敗模式 3:MAC 隨機化對分析的影響 雖然 Passpoint 解決了由 MAC 隨機化引起的驗證中斷問題,但僅依賴 MAC 地址的舊型分析平台仍會報告不準確的訪客計數。 緩釋措施:將 RADIUS 驗證記錄與您的 WiFi Analytics 平台整合。透過追蹤不重複的憑證識別碼(例如可計費使用者身分識別或匿名化 NAI)而非 MAC 地址,場域可以恢復準確的人流量與忠誠度指標。

投資報酬率 (ROI) 與商業影響

部署 Passpoint 的商業案例建立在三個可衡量的支柱上:營運效率、風險降低和使用者體驗。

從營運角度來看,消除 Captive Portal 的摩擦直接關係到與 Wi-Fi 連線相關的 IT 服務台工單減少。在大型 醫療保健交通運輸 環境中,這代表了顯著的成本節省。

在風險緩釋方面,從開放網路轉向 WPA3-Enterprise 加密大幅降低了場域的法律責任風險。對於適用 PCI DSS 的零售環境,資料處理範圍的縮減(透過消除網頁式憑證收集)簡化了合規性稽核。

最後,使用者體驗的提升是深遠的。在旅宿業中,研究一致顯示,無縫、可靠的 Wi-Fi 是顧客滿意度和重複預訂的主要驅動力。透過實施 Passpoint,場域提供了媲美行動網路可靠性的連線體驗,將 Wi-Fi 從令人沮喪的公用工具轉變為透明、優質的便利設施。

deployment_decision_framework.png

關鍵定義

IEEE 802.11u

無線網路標準修正案,可實現與外部網路的互連(Interworking with External Networks),允許裝置在關聯前查詢 AP。

設定無線控制器時,工程師必須啟用 802.11u,以允許裝置探索 Passpoint 功能。

ANQP (Access Network Query Protocol)

一種查詢與回應協定,供裝置在連線前探索網路服務、漫遊協議和場域資訊。

IT 小組在無線控制器上設定 ANQP 設定檔,以廣播其支援的 Roaming Consortium OI 和 NAI Realm。

Roaming Consortium OI

由無線基地台廣播的組織識別碼(Organisational Identifier),用於指示該網路支援哪些身分識別提供者或聯盟。

如果企業加入 OpenRoaming,必須確保其 AP 廣播特定的 OpenRoaming OI (5A-03-BA)。

OSU (Online Sign-Up)

一種標準化流程與伺服器基礎架構,用於安全地將 Passpoint 憑證和憑證配置到使用者裝置。

在為會員計劃建置自助式註冊流程時,開發人員將與 OSU 伺服器整合,以將設定檔推送到裝置。

RadSec

一種將 RADIUS 驗證流量封裝在 TLS 通道內的協定,以確保在不安全網路上的安全傳輸。

將驗證請求從本地場域代理傳輸到雲端 OpenRoaming 中樞時需要使用。

NAI Realm

網路存取識別碼領域(Network Access Identifier Realm);指示使用者的網域以及網路支援的特定 EAP 驗證方法。

與 ANQP 一起設定,以告知用戶端裝置該網路是否需要 EAP-TLS、EAP-TTLS 或 EAP-SIM。

EAP-TLS

可延伸驗證協定 - 傳輸層安全性(Extensible Authentication Protocol - Transport Layer Security);一種高度安全的驗證方法,需要用戶端和伺服器憑證。

常用於企業員工 Wi-Fi 部署,IT 人員可透過 MDM 將憑證推送到受控裝置。

MAC Address Randomisation

現代行動作業系統中的一項隱私功能,可為每個 Wi-Fi 網路連線產生虛擬、暫時的硬體位址。

這是推動場域停用 Captive Portal 的主要催化劑,因為它破壞了根據硬體識別回頭客的能力。

範例

一家擁有 400 間客房的企業連鎖飯店,因回頭客抱怨每次在飯店大廳、餐廳和客房都必須手動重新連線至 Wi-Fi(儘管先前已連線過),導致 IT 服務台收到大量報修工單。該飯店目前在開放式 SSID 上使用傳統的 Captive Portal。網路架構師該如何解決此問題?

架構師應採用雙 SSID 策略。首先,部署一個安全的 Passpoint SSID,廣播該飯店專屬的 Roaming Consortium OI。其次,修改開放式 SSID 上現有的 Captive Portal,將其作為引導註冊的管道。當顧客透過入口網站登入時,系統會提示他們下載 Passpoint 設定檔至其裝置。安裝完成後,當顧客在大廳、餐廳和客房之間移動時,裝置將自動且安全地透過 802.1X/EAP 向 Passpoint SSID 進行驗證,從而免去手動重新驗證的麻煩。

考官評語: 此方法直接解決了因 MAC 位址隨機化破壞 Captive Portal 工作階段持續性所帶來的摩擦。透過利用 Captive Portal 來配置設定檔,飯店能確保使用者順暢過渡,同時為不支援 Passpoint 的舊型裝置保留存取路徑。

一家全國連鎖零售商希望在其 500 個營業據點提供安全、無縫的 Wi-Fi,以提高會員 App 的參與度。然而,為數百萬潛在客戶管理自訂憑證或個人認證資訊在營運上被認為是不可行的。推薦的部署架構是什麼?

該零售商應部署 Passpoint 並與 OpenRoaming 聯盟整合。透過將其無線基地台設定為廣播免結算的 OpenRoaming OI (5A-03-BA),並建立從其 RADIUS 基礎架構到 OpenRoaming 中樞的 RadSec 通道,零售商即可允許任何擁有相容身分識別提供者設定檔(例如現代 Samsung 裝置或行動電信商設定檔)的客戶自動連線。零售商隨後可將此功能與其會員 App 整合,在成功關聯網路時觸發推播通知。

考官評語: 透過 OpenRoaming 進行聯盟整合是實現規模化的最佳解決方案。它將身分識別管理和憑證配置的負擔轉移給成熟的身分識別提供者,使零售商能夠專注於存取層以及隨之而來的參與度分析。

練習題

Q1. 一家醫院的 IT 主管希望部署 Passpoint,以確保醫生的行動裝置能安全地連線到臨床網路,同時讓患者連線到獨立的訪客網路。醫生使用的是非受控的個人裝置 (BYOD)。架構師應推薦哪種 EAP 方法和配置策略?

提示:考量安全性與在非受控個人裝置上管理憑證的營運開銷之間的平衡。

查看標準答案

架構師應推薦採用 EAP-TTLS 搭配線上簽約 (OSU) 伺服器配置流程。EAP-TLS 需要用戶端憑證,這在非受控的 BYOD 裝置上部署和管理在營運上非常困難。EAP-TTLS 允許醫生使用其現有的 Active Directory/LDAP 認證資訊(使用者名稱和密碼)在安全的 TLS 工作階段中進行安全驗證。OSU 伺服器可提供自助服務入口網站,醫生只需登入一次即可下載設定檔,此後即可實現自動連線。

Q2. 在 Passpoint 部署試點期間,Android 裝置成功進行驗證並連線,但 iOS 裝置在 EAP 握手期間失敗。RADIUS 記錄顯示「Unknown CA」錯誤。最可能的原因和解決方案是什麼?

提示:Apple 的 iOS 對於 RADIUS 伺服器憑證的信任鏈有嚴格的要求。

查看標準答案

最可能的原因是 RADIUS 伺服器使用的是自我簽署憑證,或是由 iOS 裝置預設不信任的私有內部憑證授權單位 (CA) 核發的憑證。Android 裝置有時允許使用者繞過或忽略憑證驗證(儘管這是很不安全的做法),而 iOS 則對 Passpoint 設定檔嚴格執行此驗證。解決方案是將 RADIUS 伺服器憑證替換為由公開受信任的商業 CA(例如 DigiCert、Let's Encrypt)核發的憑證,或確保將私有 CA 根憑證明確綑綁在推送到 iOS 裝置的 Passpoint 設定檔中。

Q3. 某體育場館已啟用 OpenRoaming。一名擁有有效 Google OpenRoaming 設定檔的使用者走進場館,但其裝置並未嘗試自動連線。網路工程師首先應驗證體育場無線區域網路控制器上的哪項特定設定?

提示:裝置在嘗試連線之前,如何知道無線基地台支援 OpenRoaming 聯盟?

查看標準答案

工程師應驗證 ANQP 設定,特別是檢查無線基地台是否正在廣播正確的 OpenRoaming 組織識別碼 (OI),即 5A-03-BA。如果 AP 的 Beacon 或 GAS 回應中未包含此 OI,裝置將無法將該網路識別為 OpenRoaming 參與者,且不會嘗試進行驗證。

繼續閱讀本系列

如何在 Starlink 上設定 Captive Portal:偏遠地區與海事場所指南

本指南詳細介紹如何繞過 Starlink 原生硬體,並使用企業級路由設備整合雲端管理的 Captive Portal。您將學習如何克服 CGNAT 限制、強制執行 VLAN 隔離、管理衛星頻寬限制,並確保符合法規規範。

閱讀指南 →

Captive Portal 最佳做法:針對高轉換率與合規性的設計

本技術指南為 IT 經理、網路架構師和場域營運總監提供了部署 Captive Portal 的完整藍圖,在網路安全與高用戶轉換率之間取得平衡。內容涵蓋從 VLAN 區隔和 RADIUS 驗證,到符合 GDPR 規範的同意書設計與驗證方法選擇的完整架構。結合 Purple 於 2024 年在 80,000 多個場域和 4.4 億次登入的營運經驗,每項建議均基於真實的部署數據。

閱讀指南 →

如何優化 Captive Portals 以實現最大化網路安全與使用者轉換率

本指南為企業級場域優化 Captive Portals 提供完整的技術藍圖,涵蓋網路分段架構、身分驗證方法選擇、符合 GDPR 規範的同意書設計以及轉換率優化。本書專為飯店、連鎖零售、體育場館和公共部門機構的 IT 經理、網路架構師及 CTO 撰寫,協助其在網路安全與第一方數據收集之間取得平衡。Purple 在全球超過 80,000 個場域營運 Captive Portal 基礎設施,並在 2024 年處理了 4.4 億次登入,本指南所提供的框架皆源自於這些實務營運經驗。

閱讀指南 →