`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Протокол Hotspot 2.0 усиливает позиции Wi-Fi

+22
голоса

Под влиянием изменений в беспроводной индустрии операторы, организаторы крупных мероприятий и корпорации ищут способы, чтобы предоставить заказчикам новые сервисы. Многие организации склоняются на этом пути к технологиям Wi-Fi.  Однако чтобы они получили широкое распространение, необходимо обеспечить простоту и безопасность доступа пользователей. Разработка протокола Hotspot 2.0 направлена на решение этих проблем.

Протокол Hotspot 2.0, также известный как HS2.0, был разработан в первой половине 2012 г., но затем переименован в Wi-Fi Certified Passpoint, и теперь в соответствующей литературе встречаются оба названия. Протокол является реализацией подхода Wi-Fi Alliance к публичному доступу к сетям Wi-Fi, а именно, сделать процедуры аутентификации и роуминга подобными тем, которые мы наблюдаем в сетях сотовой связи.

Для обеспечения последнего Hotspot 2.0 использует набор протоколов стандарта IEEE 802.11u, опубликованного в феврале 2011 г. Стандарт определяет ряд улучшений протокола 802.11 (WLAN), чтобы поддержать процесс взаимодействия с внешними сетями. Одна из мотиваций разработки 802.11u заключалась в том, чтобы позволить клиентским устройствам больше узнать о сети, прежде чем решить подсоединяться к ней или нет. Это дополнительное знание позволяет использовать такие возможности, как выбор сети, автоматический роуминг, безопасная аутентификация пользователя, интеграцию QoS с операторскими сетями, передающими пользовательский трафик.

Одной из наиболее важных и фундаментальных функций любой сети Wi-Fi является процесс, посредством которого клиентское устройство обнаруживает точки доступа (ТД) и определяет их возможности. Клиенты могут использовать активные или пассивные методы сканирования, чтобы открыть ТД, получить информацию о сети, определить, какая сеть лучше и подсоединиться к ней. К сожалению, сегодня этот процесс зависит от распознавания сетевого имени пользователя – SSID. Хотя 802.11u и не изменяет фундаментально основной процесс обнаружения, однако позволяет получить новую информацию в течение процесса сканирования.

В сетях 802.11 клиенты получают от ТД информацию о сети с помощью сигнальных кадров (beacon frames) и кадров ответа на зондирование (probe response frames). Каждый из кадров несет информацию о возможностях ТД в компонентах пакета, называемых информационным «элементом». Протокол 802.11u улучшает обнаружение сети с помощью добавочных информационных элементов в этих кадрах. Основные из них следующие:

 

  • Extended Capabilities – указывает, поддерживает ли ТД особенности взаимодействия (interworking) 802.11u;
  • Interworking – говорит о возможностях сервиса взаимодействия ТД или клиента;
  • Advertisement Protocol – указывает на поддержку сетью определенных протоколов извещения, таких как ANQP (Access Network Query Protocol), которые позволяют клиенту узнать больше о сети, запросив ТД, прежде чем формировать соединение;
  • Roaming Consortium – указывает сервис-провайдеров или группу роуминг-партнеров, чьи мандаты безопасности могут быть использованы для подсоединения к сети.

Эти изменения в сигнальных кадрах и кадрах зондирования позволяет ТД объявлять о своей поддержке 802.11u.

Основой, которая обеспечивает транспорт службам извещений, таким как ANQP, является Generic Advertisement Service (GAS). Когда клиенту нужно запросить ТД с помощью протокола извещения, он использует GAS, чтобы это сделать. В общем же, все протоколы извещения передаются с помощью GAS. Одна из причин использования GAS заключается в том, что мобильные устройства не должны получать IP-адрес перед ассоциацией.

В сетях 802.11 в любой момент времени клиент Wi-Fi и ТД может находиться в одном из нескольких состояний связи. Процесс обнаружения и выбора сети происходит, когда ТД и клиент находятся в состоянии без установления ассоциации и без проверки аутентификации – начальной стадии. До 802.11u клиентская станция выбирала сеть, исходя из базовой информации в сигнальных кадрах и ответах зондирования. Клиенты не имели возможности заглянуть за ТД в проводную сеть до ассоциации. Вот где 802.11u и процесс запроса вступают в игру.

Протокол 802.11 имеет специальный тип кадра, который может быть использован на этом первом этапе (без аутентификации и без ассоциации), чтобы вызвать определенные действие получателем. Он называется Public Action. 802.11u вводит новые подтипы кадров Public Action для запросов и ответов GAS, позволяющие клиенту запросить у ТД действия до образования ассоциации. Это важно для расширенных возможностей обнаружения сети и других будущих сервисов извещений.

Далее вкратце будут рассмотрены основные технические аспекты Hotspot 2.0, такие как архитектура, необходимые компоненты и расширенные элементы.

С самой общей точки зрения архитектура содержит три основные группы: Hotspot-оператор, мобильный сервис-провайдер (SP) и мобильное устройство. Пример архитектуры Hotspot 2.0 приведен на рис.

Протокол Hotspot 2.0 усиливает позиции Wi-Fi

Рис.  Архитектура Hotspot 2.0

Сервис-провайдер (с точки зрения Hotspot-оператора) является объектом, который предоставляет сетевые сервисы и может быть идентифицирован  Network Access Identifier Realm (стандартный синтаксис идентификатора – user@example.com), 3GPP Cellular Network или элементом ANQP.

На стороне сервис-провайдера работают следующие компоненты:

  • Online Sign Up (OSU) Server – управляет процессом OSU с пользователем. Процесс доставляет пользователю параметры доступа от оператора или сервис-провайдера. Эта особенность дает простой и ясный способ конфигурации конечного устройства пользователя;

 

  • AAA Server – ответственный за аутентификацию, авторизацию и учетную запись;
  • Policy Server – доставляет политики пользователю и управляет им посредством процессов Hotspot Discovery и Selection. Эти политики доставляются пользователю в форме Management Objects (MO). МО формируется главным узлом PerProviderSubscription, который содержит информацию о политиках, подписке и параметрах доступа, предоставляемых сервис-провайдером мобильному устройству. Мобильное устройство может иметь несколько независимых узлов PerProviderSubscription, по одному на каждого сервис-провайдера;
  • Subscription Remediation (Sub Rem) Server – доставляет параметры подписки пользователю посредством МО. Доставка параметров подписки пользователю является частью процесса OSU. Hotspot-оператор является объектом, который отвечает за работу ТД Wi-Fi. На его стороне должны работать компоненты, кратко описанные ниже:
  • ТД – является терминальной точкой сети. Если ТД поддерживает технологию HS2.0, она должна удовлетворять ряду специальных требований, на которых мы здесь останавливаться не будем;
  • AAA Server – может действовать как ААА-прокси, ретранслируя сообщения AAA Server, поддерживаемого сервис-провайдером. Если ТД публичная, то он действует как AAA Server для своих собственных заказчиков;
  • HTTP Server – обрабатывает сообщения, такие как вся регистрация, исправление, условия обмена данными, между мобильным устройством и Hotspot-оператором/сервис-провайдером, выполняемыми через HTTPS;
  • Серверы Sub Rem и OSU – требуются Hotspot-оператору в случае публичных ТД и работают так же, как и их собратья у сервис-провайдера.
  • На мобильное устройство, которое подключается к базовой станции (BSS) и включает в кадр запроса на ассоциацию поддержку HS2.0, также накладывается ряд требований, которые мы опускаем.

При соединении мобильного устройства с сетью, удовлетворяющей требованиям HS2.0, необходимо выполнить ряд процедур, которые делятся на последовательность состояний: Discovery, Registration, Provisioning и Access.

В течение состояния Discovery мобильное устройство сканирует поддерживающие HS2.0 сети и выполняет обмен элементом ANQP, чтобы узнать возможности этих сетей перед процессом ассоциации. Если сеть поддерживает HS2.0, то мобильное устройство определяет, есть ли у него одна или более учетных записей с правами доступа (хранимые в PerProviderSubscription МО), которые могут быть использованы для доступа к любой из имеющихся сетей HS2.0.

Если сети HS2.0 доступны, но пользователь не имеет соответствующих прав, мобильное устройство может позволить пользователю вручную выбрать  сеть HS2.0 из списка доступных опций на интерфейсе пользователя (User Interface, UI) для OSU. Если пользователь выбрал сеть из списка OSU, мобильное устройство переходит к состоянию Registration.

Состояние Registration наступает после того, как мобильное устройство подключилось к OSU ESS (Extended Service Set), чтобы выполнить онлайн-регистрацию учетной записи у поставщика услуг (если мобильное устройство уже имеет права доступа в текущую сеть HS2.0, то состояние Registration не вводится, и мобильное устройство переходит в состояние Access).

В течение процедуры OSU мобильное устройство посылает информацию, такую как контакт и метод оплаты, серверу OSU. Мобильное устройство может предоставить эту информацию в автоматическом режиме или пользователь может мануально ввести эти данные в процессе OSU. Учетные данные и связанные с ними метаданные, предоставленные в следующем состоянии, привязываются к этой учетной записи.

Состояние Provisioning вводится после того, как мобильное устройство и сервер OSU выходят из состояния Registration. В состоянии Provisioning на мобильное устройство устанавливается ряд сертификатов, которые мы здесь перечислять не будем. Как только процесс Provisioning успешно завершен, мобильное устройство отсоединяется от OSU ESS, выходит из состояния Provisioning и переходит к состоянию Access.

Состояние Access вводится, когда мобильное устройство связалось с сетью, для которой у него есть учетные данные для входа и настройки безопасности WLAN, и успешно прошло аутентификацию в этой сети. Для сетей HS2.0 эти параметры были предварительно настроены на мобильном устройстве либо в состоянии Provisioning, либо с помощью других средств.

В состоянии Access мобильное устройство взаимно аутентифицируется с AAA-сервером оператора услуг с использованием одного из методов EAP (Extensible Authentication Protocol).

Если аутентификация с сервером AAA успешна, мобильное устройство получает полный доступ к ТД сети Wi-Fi.

Если срок действия подписки/политики пользователя истекает во время состояния Access, мобильное устройство должно вернуться в состояние Registration, чтобы обновить их, или даже выбрать другую сеть HS2.0.

В статье не рассмотрены очень многие технические детали, включение которых лишило бы ее ознакомительного характера.

В заключение отметим, что, как полагают специалисты, сети Hotspot 2.0 будут высоко востребованы и широко использоваться в качестве вспомогательных механизмов для оптимизированного, бесшовного и расширенного доступа к Интернету, поскольку они становятся важными в современных сложных средах развертывания сети, которые включают в себя различные сетевые политики.

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT