WPA3 和 Wi-Fi 增強型開放

Android 10 引入了對 Wi-Fi Alliance (WFA) Wi-Fi Protected Access version 3 (WPA3) 和 Wi-Fi Enhanced Open 標準的支持。欲了解更多信息,請參閱在WFA網站的安全性

WPA3 是用於個人和企業網絡的新 WFA 安全標準。它旨在通過使用現代安全算法和更強大的密碼套件來提高整體 Wi-Fi 安全性。 WPA3有兩部分:

  • WPA3-個人:使用的equals(SAE),而不是預共享密鑰(PSK)的同時認證,為用戶提供免受攻擊更強的安全保護,如離線字典攻擊,一鍵恢復,和消息鍛造。
  • WPA3企業:優惠更強的認證,鏈路層加密方法,以及用於敏感的安全環境的可選192位的安全模式。

Wi-Fi Enhanced Open 是一種基於機會無線加密 (OWE) 的公共網絡新 WFA 安全標準。它在咖啡館、酒店、餐館和圖書館等領域的開放、無密碼保護的網絡上提供加密和隱私。 Enhanced Open 不提供身份驗證。

WPA3 和 Wi-Fi Enhanced Open 提高了整體 Wi-Fi 安全性,提供更好的隱私性和針對已知攻擊的穩健性。由於許多設備尚不支持這些標准或尚未進行軟件升級以支持這些功能,WFA 提出了以下過渡模式:

  • WPA2 / WPA3過渡模式:服務接入點支持WPA2和WPA3標準兼任。在此模式下,Android 10 設備使用 WPA3 連接,運行 Android 9 或更低版本的設備使用 WPA2 連接到同一接入點。
  • WPA2 / WPA3-企業轉型模式:服務接入點支持WPA2-Enterprise和WPA3,企業標準並行。
  • OWE過渡模式:服務接入點同時支持OWE和開放標準的同時。在此模式下,Android 10 設備使用 OWE 連接,運行 Android 9 或更低版本的設備連接到同一接入點,無需任何加密。

Android 12 支持 Transition Disable 指示,這是一種指示設備不要使用 WPA2 而是使用 WPA3 的機制。當設備收到此指示時,它使用 WPA3 連接到支持過渡模式的 WPA3 網絡。 Android 12 還支持 WPA3 Hash-to-Element (H2E) 身份驗證交換。欲了解更多信息,請參閱WPA3規範

WPA3 和 Wi-Fi Enhanced Open 僅在客戶端模式下受支持。

執行

為了支持WPA3和Wi-Fi增強開放,實現在Android開源項目(AOSP)提供的請求者HAL界面設計語言(HIDL) hardware/interfaces/wifi/supplicant/1.3/

支持 WPA3 和 OWE 需要以下條件:

  • 支持 SAE 和 OWE 的 Linux 內核補丁

    • cfg80211
    • nl80211
  • wpa_supplicant與SAE,SUITEB192和OWE支持

  • 支持 SAE、SUITEB192 和 OWE 的 Wi-Fi 驅動程序

  • 支持 SAE、SUITEB192 和 OWE 的 Wi-Fi 固件

  • 支持 WPA3 和 OWE 的 Wi-Fi 芯片

Android 10 中提供了公共 API 方法,以允許應用確定設備對以下功能的支持:

WifiConfiguration.java包含新的密鑰管理類型,以及成對密碼,密碼組,分組管理密碼,並Suite B的密碼,這對於OWE,WPA3-個人和WPA3企業版是必需的。

啟用 WPA3 和 Wi-Fi Enhanced Open

要在 Android 框架中啟用 WPA3-Personal、WPA3-Enterprise 和 Wi-Fi Enhanced Open:

  • WPA3-個人:包括CONFIG_SAE中編譯選項wpa_supplicant配置文件

    # WPA3-Personal (SAE)
    CONFIG_SAE=y
    
  • WPA3-企業:包括CONFIG_SUITEB192CONFIG_SUITEB中編譯選項wpa_supplicant配置文件。

    # WPA3-Enterprise (SuiteB-192)
    CONFIG_SUITEB=y
    CONFIG_SUITEB192=y
    
  • 的Wi-Fi增強開放:包括CONFIG_OWE中編譯選項wpa_supplicant配置文件。

    # Opportunistic Wireless Encryption (OWE)
    # Experimental implementation of draft-harkins-owe-07.txt
    CONFIG_OWE=y
    

如果未啟用 WPA3-Personal、WPA3-Enterprise 或 Wi-Fi Enhanced Open,用戶將無法手動添加、掃描或連接到這些類型的網絡。

驗證

要測試您的實現,請運行以下測試。

單元測試

運行SupplicantStaIfaceHalTest驗證能力標誌的行為WPA3和OWE。

atest SupplicantStaIfaceHalTest

運行WifiManagerTest驗證此功能的公共API的行為。

atest WifiManagerTest

集成測試 (ACTS)

要運行一個集成測試,使用Android通訊科測試套件(ACTS)文件, WifiWpa3OweTest.py ,位於tools/test/connectivity/acts/tests/google/wifi

VTS 測試

運行VtsHalWifiSupplicantV1_3TargetTest測試方HAL 1.3的行為。

vts-tradefed run commandAndExit vts --skip-all-system-status-check --primary-abi-only --skip-preconditions --module VtsHalWifiSupplicantV1_3Target