hgot07 Hotspot Blog

主に無線LANや認証連携などの技術についてまとめるブログです。ネコは見る専。

OpenRoamingに接続してみる

OpenRoamingって、誰が、どこで、どうやって使えるの?

あっ、はい、それですよね……(汗

例えば、Cisco OpenRoaming appを使って、試すことができます。今回、これを使ってのテストの様子を紹介します。

前にOpenRoamingの記事を書いてから、いつの間にか136日も経っていましたorz (仕事しろ←)

hgot07.hatenablog.com

実はCityroamWBA OpenRoamingに参加してから少し間をおいて、8月末にやっとOpenRoamingの認証連携ネットワークに接続できました。実を言うと、OpenRoamingは2021年半ばまでトライアルの位置付けとのことで、運用に関わる細かい仕組みやルールは、この期間に作っていくみたいです (おそいぞ、コラ)。そんな中で、とりあえず実証実験用の環境をなんとか構築できたところです。

OpenRoamingでは、参加する携帯電話会社やプロバイダのアカウントが利用可能になる予定ですが、実際にOpenRoaming用のPasspointプロファイルの発行まで漕ぎ着けた事業者はまだ数えるほどのようです (ぇー)。事業者にとっても新しいシステムなので、内部での調整に時間がかかっているのかもしれません。

さて、本題のCisco OpenRoaming appですが、こちらで入手できます。Android 10以降が必要です。
[2020/11/2追記] とある情報筋によりますと、ビルド番号QQ3A.200605.002以降が必要とのことです。

play.google.com

このアプリ、現在のバージョンは1.1です。そして、WBAに移管される前のCisco OpenRoamingの仕様で作られているため、WBA OpenRoamingに対応する新しいサービスエリアでは、たぶん利用できません。

ΩΩΩ<な、なんだってー!!

実際は、Passpoint接続で利用するRoaming Consortium Organization Identifier (RCOI)にCisco時代のものが埋め込まれていて、WBAで定義された新しい方とマッチしません。それじゃどうするのかと言いますと、基地局に古いRCOIを追加してあげれば繋がるようになります (ぉーぃ)。

というわけで、はいっ!

 

OpenRoaming @ 東北大学サイバーサイエンスセンター

OpenRoaming @ 東北大学サイバーサイエンスセンター

前述のアプリが何をやっているのかというと、以下のような感じです。

GoogleAppleは自前でPasspoint用プロファイルを配布していないので、アプリ上で利用者がソーシャルログインを試みます (GoogleではOAuthらしい)。認証に成功したら、その利用者に紐づいたPasspointプロファイルがCiscoのIdPで生成され、端末にインストールされます。

OpenRoamingの利用者認証は、端末にインストールされたプロファイルを用いて行われます。プロファイルには"google.openroaming.net"というレルムが埋め込まれているので、端末からの認証リクエストはこのレルムを頼りにCiscoのIdPまで届けられます。

さて、すぐに分かったと思いますが、プロファイルの発行元はGoogleAppleではありません。このため、例えばネット上で利用者が悪事を働いたりした場合に、そのインシデント対応をどうするかが、課題として残っています。技術としては「動く」のですが、プロファイル(アカウント)発行とインシデント対応についての責任体制の開発も必要ということです。もしインシデント時に利用者の追跡が困難となるようならば、この方式のプロファイルを受け入れてくれる通信事業者は限られてくるでしょう。

それで、一般の人たちも試せるの?

東北大学サイバーサイエンスセンターの裏で、試験用の基地局が使えます。色々と実験中なので、たまに落ちていたりしますが……。

また、Cityroamの一部の基地局でも、近いうちに試験電波を出せるように調整中です。

 

おわり