Desenvolvido pela Wireless Broadband Alliance (WBA), o OpenRoaming é um padrão que permite a conexão automática e segura entre redes Wi-Fi em todo o mundo.
A ideia é simples: permitir que o seu dispositivo se conecte a redes Wi-Fi de forma tão fluida quanto o seu celular alterna entre torres de sinal 4G ou 5G. Quando você entra em um local que suporta a tecnologia, o seu aparelho “conversa” com a rede e estabelece a conexão instantaneamente, sem que você precise abrir uma página de login ou digitar uma senha.
O OpenRoaming não é um protocolo isolado, mas uma estrutura de federação global baseada em padrões. Ele estabelece uma camada de confiança entre Provedores de Identidade (IdPs) e Provedores de Rede (ANPs), eliminando o “gap” de autenticação em redes Wi-Fi públicas e corporativas.
Detalhando um pouco mais…
O ecossistema do OpenRoaming baseia-se em uma federação de confiança global que une dois grupos principais:
- Provedores de Identidade (IDPs): São as entidades que “validam” quem você é. Pode ser a sua operadora de celular, o Google, a Apple, a Samsung ou até o programa de fidelidade de uma rede de hotéis.
- Provedores de Rede (ANPs): São os locais que oferecem o Wi-Fi, como aeroportos, shopping centers, estádios ou escritórios.
O “Aperto de Mão” Digital
Quando você se aproxima de um ponto de acesso compatível, o dispositivo apresenta uma credencial digital. A rede verifica essa credencial com o seu provedor de identidade através de protocolos de segurança (como o Passpoint/Hotspot 2.0). Se tudo estiver certo, a conexão é liberada.
O Framework Passpoint
A base técnica do OpenRoaming é o protocolo Wi-Fi Certified Passpoint® (baseado no padrão IEEE 802.11u). Ele permite que um dispositivo (STA) realize a descoberta de serviços de rede antes mesmo da associação.
Elementos-Chave da Camada de Enlace:
- ANQP (Access Network Query Protocol): O dispositivo utiliza consultas ANQP para descobrir quais Provedores de Serviço (SPs) são suportados pelo Access Point.
- HS2.0 Indication Element: O AP transmite via Beacons e Probe Responses a sua capacidade de suportar o Hotspot 2.0.
- Roaming Consortium Organization Identifiers (RCOIs): O OpenRoaming utiliza RCOIs específicos (como o 5A-03-BA-00-00) para sinalizar que aquele AP pertence à federação global.
A Camada de Segurança e Autenticação
Diferente do Wi-Fi convencional, o OpenRoaming exige o uso de WPA2-Enterprise ou WPA3-Enterprise. Isso garante que o tráfego seja criptografado individualmente via 802.1X.
Protocolo de Transporte de Autenticação: RadSec
O coração da federação é o RadSec (RADIUS sobre TLS – RFC 6614).
- Em redes RADIUS tradicionais, o tráfego utiliza UDP, o que é inseguro para atravessar a internet pública.
- O RadSec estabelece um túnel TLS seguro entre o controlador da rede local e os hubs de roaming da WBA. Isso garante a integridade dos atributos RADIUS e a autenticação mútua entre as pontas através de certificados PKI (Public Key Infrastructure) emitidos pela WBA.
Hierarquia da Federação (novamente)
A infraestrutura é dividida em três pilares, conforme as diretrizes da WBA:
- Identity Providers (IdPs): Entidades que emitem credenciais (EAP-TLS, EAP-TTLS ou EAP-SIM/AKA). Exemplos incluem operadoras de telefonia (via SIM Card) e provedores de nuvem (Google, Apple).
- Access Network Providers (ANPs): Locais físicos que oferecem a infraestrutura de rádio (APs e controladores).
- WBA PKI & Policy: A autoridade central que define as políticas de governança e emite os certificados digitais que validam a confiança entre ANPs e IdPs.
As Principais Vantagens
Conveniência Total
O login é feito uma única vez no seu provedor de identidade. Depois disso, você está “habilitado” para se conectar em qualquer lugar do mundo que ostente o selo OpenRoaming.
Segurança Reforçada (WPA3)
Diferente das redes Wi-Fi abertas tradicionais, que são vulneráveis a ataques, o OpenRoaming exige conexões criptografadas de ponta a ponta. Isso protege seus dados contra interceptações em locais públicos.
Transição Suave (Roaming)
A tecnologia facilita o handover (transição). Se o sinal de celular estiver fraco dentro de um prédio, o aparelho migra automaticamente para o Wi-Fi sem interromper sua chamada de vídeo ou download.
Privacidade
O padrão foi desenhado para que o local onde você está não tenha acesso direto aos seus dados privados, apenas à confirmação de que você é um usuário legítimo.
O OpenRoaming e o 5G
Tecnicamente, o OpenRoaming facilita o Wi-Fi Offloading transparente. Através do uso de credenciais EAP-SIM/AKA, o dispositivo do usuário pode se autenticar na rede Wi-Fi usando o mesmo segredo criptográfico do cartão SIM, consultando o HSS/HLR da operadora de origem via interface SWa (em arquiteturas 4G/5G).
Comparando o modelo de hotspot tradicional com Openroaming
| Característica | Hotspot Tradicional (Captive Portal) | OpenRoaming (WBA Federation) |
| Protocolo de base | HTTP/HTTPS (Camada 7) | IEEE 802.11u / Passpoint (Camada 2) |
| Experiência do Usuário | Manual: Seleção de SSID + Login Web | Automática: “Zero-touch” (estilo celular) |
| Segurança de Rádio | Aberta ou PSK (Vulnerável a Evil Twin) | WPA2/WPA3-Enterprise (Criptografia Individual) |
| Autenticação | Baseada em formulário, SMS ou Social Login | Baseada em Certificados (EAP-TLS) ou SIM Card |
| Criptografia de Dados | Geralmente nula até o login no portal | Criptografia ponta a ponta desde a associação |
| Roaming entre APs | Requer re-autenticação em muitos casos | Transição fluida (Seamless Handover) |
| Identidade (IdP) | Banco de dados local ou base social isolada | Federação Global (Operadoras, Google, Apple) |
| Transporte de Auth | RADIUS padrão (UDP) | RadSec (RADIUS over TLS) via RFC 6614 |
| Descoberta de Rede | Passiva (Beacon SSID) | Ativa (Consultas ANQP antes da conexão) |
| Conformidade (LGPD) | Coleta ativa de dados (formulários) | Privacidade por design (Tokens anonimizados) |
Referências
https://www.wifeed.com.br/conteudo/o-que-e-openroaming-e-como-funciona-em-hotspots-wi-fi/
COMUTADORES 