Inhaltsverzeichnis
Werbung
Anmeldung eines 802.11u-fähigen Clients an einem Hotspot 2.0
Diese Funktionsbeschreibung erläutert schematisch Auswahl und Anmeldevorgang eines 802.11u-fähigen Geräts an
einem Hotspot 2.0.
Anmeldung via Benutzername/Passwort oder digitalem Zertifikat
1. Die Hotspots antworten daraufhin mit einem ANQP-Response, der u. a. jeweils den Namen des Hotspot-Betreibers
sowie eine Liste der NAI-Realms enthält, welche alle verfügbaren Roaming-Partner (Service-Provider, kurz SP) auflistet.
2. Das Gerät lädt die auf ihm lokal abgespeicherten Zugangsdaten aus den vom Benutzer eingerichten WLAN-Profilen
oder installierten Zertifikaten, und gleicht die dortigen Realms mit den unter (2) erhaltenen NAI-Realm-Listen ab.
a. Erzielt das Gerät hierbei einen Treffer, weiß es, dass es sich bei betreffenden Wi-Fi-Netzwerk erfolgreich
authentisieren kann.
b. Erzielt das Gerät mehrere Treffer, erfolgt die Auswahl eines Wi-Fi-Netzwerks anhand einer vom Benutzer
eingerichteten Präferenzliste. Diese Liste legt die Reihenfolge der bevorzugten Betreiber im Zusammenhang mit
den möglichen Roaming-Partnern fest. Das Gerät vergleicht hierbei die unter (2) erhaltenen Betreiber-Namen
mit der Liste und wählt jenen Betreiber aus, der die höchste Priorität besitzt.
3. Das Gerät authentisiert sich mit seinen lokalen Zugangsdaten am Hotspot des bevorzugten Betreibers für den
passenden SP. Der Access Point übermittelt diese Daten seinerseits über die SSPN-Schnittstelle (Subscription Service
Provider Network) an ein für die Authentifizierung zuständiges AAA-System. Die Authentisierung erfolgt dabei über
die vom SP festgelegte Authentifizierungsmethode; bei der Authentisierung via Benutzername/Passwort umfasst dies
EAP-TTLS, bei der Authentisierung via digitalem Zertifikat EAP-TLS.
Anmeldung via (U)SIM
1. Im Unterschied zur Anmeldung via Benutzername/Passwort oder digitalem Zertifikat fragt ein Gerät bei vorliegen
einer (U)SIM in seinen ANQP-Requests nicht nach der Liste der NAI-Realms, sondern der 3GPP Cellular Network
Information. In den ANQP-Responses beinhaltet diese Cellular-Netzwerk-Informations-Liste alle Mobilfunkanbieter,
für die der Access Point eine Authentisierung ermöglicht.
2. Das Gerät lädt aus seiner lokalen (U)SIM-Karte die Kennwerte für das Mobilfunknetzwerk und gleicht diese Daten
mit den erhaltenen Cellular-Netzwerk-Informations-Listen ab. Der Listenabgleich sowie die Auswahl eines bevorzugten
Betreibernetzwerkes erfolgen synonym zur Anmeldung via Benutzername/Passwort oder digitalem Zertifikat.
3. Das Gerät authentisiert sich mit seinen lokalen Zugangsdaten am Hotspot des bevorzugten Betreibers für die passende
Mobilfunkgesellschaft. Der Hotspot übermittelt diese Daten seinerseits über die SSPN-Schnittstelle (Subscription
Service Provider Network) an ein für die Authentifizierung zuständiges AAA-System. Durch das Vorhandensein einer
(U)SIM-Karte ändert sich die mögliche Authentifizierungsmethode für das Gerät zu EAP-SIM oder EAP-AKA.
4. Das AAA-System erkundigt sich für die Authentifizierung über die MAP-Schnittstelle (Mobile Application Part) beim
HLR-Server (Home Location Register) der Mobilfunkgesellschaft, um die Zugangsdaten zu verifizieren.
Im Falle einer erfolgreichen Authentisierung erhält das Gerät den Zugriff auf das WLAN-Netzwerk entweder via Hotspot
(Zugangsdaten für das Betreiber-Netzwerk liegen vor) oder automatischem Roaming (Zugangsdaten für das
Betreiber-Netzwerk liegen nicht vor).
Stehen dem Gerät mehrere Authentifizierungsmöglichkeiten zur Auswahl (z. B. SIM-Karte und Benutzername/Passwort),
hat es die Möglichkeit, anhand der NAI-Realm- bzw. Cellular-Netzwerk-Informations-Liste die bevorzugte
EAP-Authentifizierungsmethode und damit die bevorzugten Zugangsdaten auszuwählen.
Empfohlene allgemeine Einstellungen
Die Hotspot-2.0-Spezifikation empfiehlt für den 802.11u-Betrieb folgende allgemeine Einstellungen:
1
Aktivierte WPA2-Enterprise Sicherheit (802.1x)
1
Authentifizierung via EAP mit der entsprechenden Variante:
2
EAP-SIM/EAP-AKA bei Authentifizierung mit SIM/USIM-Karte
2
EAP-TLS bei Authentifizierung mit digitalem Zertifikat
2
EAP-TTLS bei Authentifizierung mit Benutzername und Passwort
1
Aktiviertes und eingerichtetes Proxy-ARP
Referenzhandbuch
14 Public Spot
955
Werbung
Inhaltsverzeichnis
