Wi-Fi ของผู้ให้บริการ

Wi-Fi ของผู้ให้บริการเป็นฟีเจอร์การเชื่อมต่ออัตโนมัติ (โดยใช้ IMSI ที่เข้ารหัส) ที่มีให้ใน Android 9 ขึ้นไป ซึ่งช่วยให้อุปกรณ์เชื่อมต่อกับเครือข่าย Wi-Fi ที่ผู้ให้บริการติดตั้งไว้โดยอัตโนมัติ ในพื้นที่ที่มีผู้คนหนาแน่นหรือมีสัญญาณมือถือน้อย เช่น สนามกีฬาหรือสถานีรถไฟใต้ดิน คุณสามารถใช้ Wi-Fi ของผู้ให้บริการเพื่อปรับปรุงประสบการณ์การเชื่อมต่อของผู้ใช้และเพื่อลดปริมาณการรับส่งข้อมูล

อุปกรณ์ที่มีฟีเจอร์ Wi-Fi ของผู้ให้บริการจะเชื่อมต่อกับเครือข่าย Wi-Fi ของผู้ให้บริการที่กำหนดค่าไว้โดยอัตโนมัติ (เครือข่ายที่มีใบรับรองคีย์สาธารณะ) เมื่อผู้ใช้ยกเลิกการเชื่อมต่อกับเครือข่าย Wi-Fi ของผู้ให้บริการด้วยตนเอง ระบบจะเพิ่มเครือข่ายนั้นลงในรายการที่อนุญาตเป็นเวลา 24 ชั่วโมง (ไม่มีการเชื่อมต่ออัตโนมัติ) ผู้ใช้สามารถเชื่อมต่อกับเครือข่ายที่บล็อกด้วยตนเองได้ทุกเมื่อ

การใช้งาน

ผู้ผลิตอุปกรณ์และผู้ให้บริการเครือข่ายต้องดำเนินการต่อไปนี้เพื่อติดตั้งใช้งาน Wi-Fi ของผู้ให้บริการ

ผู้ผลิต

สำหรับอุปกรณ์ที่ใช้ Android 11 ขึ้นไป ให้ใช้ Wi-Fi Suggestion API เพื่อเพิ่มโปรไฟล์ Wi-Fi ของแต่ละผู้ให้บริการ

สำหรับอุปกรณ์ที่ใช้ Windows 10 หรือต่ำกว่า ให้เพิ่มโปรไฟล์ Wi-Fi โดยกำหนดค่าพารามิเตอร์ carrier_wifi_string_array สำหรับผู้ให้บริการแต่ละรายในเครื่องมือจัดการการกำหนดค่าผู้ให้บริการ

• carrier_wifi_string_array: อาร์เรย์สตริงที่แต่ละรายการสตริงเป็น SSID ของ Wi-Fi ที่เข้ารหัส Base64 และประเภท EAP โดยคั่นด้วยคอมมา โดยที่ประเภท EAP เป็นจำนวนเต็ม (ดูรีจิสทรี Extensible Authentication Protocol (EAP)) ตัวอย่างเช่น การกําหนดค่าต่อไปนี้สําหรับ SOME_SSID_NAME โดยใช้ EAP-AKA และ Some_Other_SSID โดยใช้ EAP-SIM

  config {
    key: "carrier_wifi_string_array"
    text_array {
      item: "U09NRV9TU0lEX05BTUUK,23"
      item: "U29tZV9PdGhlcl9TU0lECg==,18"
    }
  }
  

ในเครื่องมือจัดการการกําหนดค่าของผู้ให้บริการ ให้กําหนดค่าพารามิเตอร์ต่อไปนี้สําหรับผู้ให้บริการแต่ละราย

• imsi_key_availability_int: ระบุว่าคีย์ที่ใช้สําหรับการเข้ารหัส IMSI พร้อมใช้งานสําหรับ WLAN (ตั้งค่าบิต 1), EPDG (ตั้งค่าบิต 0) หรือทั้ง 2 อย่าง (ตั้งค่าทั้งบิต 0 และบิต 1) ตัวอย่างเช่น การกําหนดค่าต่อไปนี้ระบุว่าการเข้ารหัส IMSI พร้อมใช้งานสําหรับ WLAN แต่ใช้ไม่ได้กับ EPDG

  config {
    key: "imsi_key_availability_int"
    int_value: 2
  }
  

• imsi_key_download_url_string: URL ที่ใช้ดาวน์โหลดโปรโตคอลที่มีคีย์สาธารณะของผู้ให้บริการที่ใช้สำหรับการเข้ารหัส IMSI ตัวอย่างเช่น การกําหนดค่าต่อไปนี้จะระบุ URL ที่เฉพาะเจาะจง

  config {
    key: "imsi_key_download_url_string"
    text_value: "https://www.some_company_name.com:5555/some_directory_name/some_filename.json"
  }
  

• allow_metered_network_for_cert_download_bool: Flag ที่ระบุว่าจะอนุญาตให้ดาวน์โหลดคีย์สาธารณะของผู้ให้บริการผ่านเครือข่ายแบบมีค่าใช้จ่าย (เครือข่ายมือถือ) หรือไม่ หากไม่ได้ตั้งค่า Flag นี้ อุปกรณ์ใหม่ที่ไม่มีการเชื่อมต่อ Wi-Fi จะเชื่อมต่อเครือข่าย Wi-Fi ของผู้ให้บริการไม่ได้เนื่องจากไม่ได้รับอนุญาตให้ดาวน์โหลดคีย์

  config {
    key: "allow_metered_network_for_cert_download_bool"
    bool_value: true
  }
  

ผู้ให้บริการ

หากต้องการใช้ Wi-Fi ของผู้ให้บริการ ผู้ให้บริการต้องเปิดใช้การคุ้มครองความเป็นส่วนตัวของ IMSI และระบุคีย์สาธารณะ

การคุ้มครองความเป็นส่วนตัวของ IMSI

Android ปกป้องความลับของข้อมูลประจำตัวถาวร (IMSI) ของผู้สมัครใช้บริการโดยใช้วิทยาการเข้ารหัสคีย์สาธารณะ Android ใช้ข้อกำหนดของ Wireless Broadband Alliance (WBA) สำหรับการคุ้มครองความเป็นส่วนตัวของ IMSI สำหรับ Wi-Fi เมื่อเปิดใช้การคุ้มครองความเป็นส่วนตัว IMSI สำหรับการเชื่อมต่อ ระบบจะไม่ส่งข้อมูลประจำตัวผู้สมัครใช้บริการถาวรแบบไม่เข้ารหัสผ่านอากาศ

การเข้ารหัสข้อมูลประจำตัวแบบถาวร

รูปแบบของข้อมูลประจำตัวถาวรที่เข้ารหัสมีดังนี้

• ข้อมูลประจำตัวถาวรอยู่ในรูปแบบ <EAP-Method><IMSI>@<NAI realm>
• คำนำหน้า EAP-Method คือ Octet เดียวที่กำหนดวิธีการ EAP ที่ใช้สำหรับการตรวจสอบสิทธิ์ ดังนี้
  • 0: EAP-AKA
  • 1: EAP-SIM
  • 6: EAP-AKA'
• รูปแบบของรีลเอ็ม NAI คือ wlan.mncXXX.mccYYY.3gppnetwork.org โดยระบบจะแทนที่ XXX ด้วยรหัสเครือข่ายมือถือ (MNC) ของซิมการ์ด และแทนที่ YYY ด้วยรหัสประเทศของเครือข่ายมือถือ (MCC)
• ข้อมูลประจำตัวถาวรจะเข้ารหัสโดยใช้คีย์สาธารณะ RSA ที่ผู้ให้บริการระบุ คีย์สาธารณะจะรวมอยู่ในใบรับรอง X.509
• รูปแบบการเข้ารหัสคือ RSAES-OAEP โดยมี SHA-256 เป็นฟังก์ชันการแฮชที่เข้ารหัสลับ รูปแบบการเข้ารหัสนี้รับประกันข้อความที่เข้ารหัสที่ไม่ซ้ำกันทุกครั้งที่มีการใช้รูปแบบนี้ จึงหลีกเลี่ยงการสร้างข้อมูลประจำตัวถาวรอีกรายการหนึ่งซึ่งติดตามได้
• ความยาวคีย์ RSA คือ 2048 บิต
• บัฟเฟอร์การเข้ารหัสมีขนาด 256 ไบต์
• ข้อความที่เข้ารหัสจะเข้ารหัสด้วย Base64
• ความยาวของข้อมูลประจำตัวถาวรที่เข้ารหัสเอาต์พุตคือ 344 ไบต์

Encrypted Permanent Identity = Base64(RSAES-OAEP-SHA-256(<EAP-Method><IMSI>@<NAI Realm>))

ตัวระบุคีย์

ตัวระบุคีย์คือคู่ค่าแอตทริบิวต์ที่ไม่บังคับซึ่งผู้ให้บริการแนบมากับใบรับรองเพื่อให้เซิร์ฟเวอร์ค้นหาคีย์ส่วนตัวที่เหมาะสมในระหว่างการตรวจสอบสิทธิ์ ตัวอย่างตัวระบุคีย์คือ CertificateSerialNumber=123456 หากระบุตัวระบุคีย์ ระบบจะส่งคีย์แบบไม่เข้ารหัสโดยเป็นส่วนหนึ่งของกระบวนการตรวจสอบสิทธิ์

การแก้ไขวิธีการตรวจสอบสิทธิ์ EAP ที่ใช้ SIM

เมื่อเปิดใช้การคุ้มครองความเป็นส่วนตัว IMSI ในการเชื่อมต่อ ระบบจะไม่ส่งข้อมูลประจำตัวถาวรเมื่อได้รับ EAP-Request/Identity แต่จะใช้การเข้าสู่ระบบแบบไม่ระบุตัวตนแทน ดังนี้

SERVER: EAP-Request/Identity
UE: EAP-Response/Identity AT_IDENTITY=<prefix>|anonymous@<NAI Realm>

<prefix> เป็นค่าที่ไม่บังคับ หากตั้งค่าการกำหนดค่าผู้ให้บริการ enable_eap_method_prefix_bool เป็น true อักขระแรกของข้อมูลประจำตัว (ก่อน anonymous) จะแจ้งให้เซิร์ฟเวอร์ทราบเกี่ยวกับประเภทของวิธีการ EAP ที่ใช้ก่อนที่จะเริ่มการแลกเปลี่ยน EAP

• 0: EAP-AKA
• 1: EAP-SIM
• 6: EAP-AKA'

หากตั้งค่าการกําหนดค่าของผู้ให้บริการเป็น false ระบบจะไม่รวมคำนำหน้านี้ไว้ในข้อความ

เซิร์ฟเวอร์จะตอบกลับด้วยข้อความ EAP-Request/AKA-Identity และระบบจะตอบกลับในรูปแบบต่อไปนี้

SERVER: EAP-Request/AKA-Identity AT_ANY_ID_REQ
UE: EAP-Response/AKA-Identity AT_IDENTITY=<prefix>|<Encrypted Permanent Identity>|","|"<attribute>=<value>"

อักขระแรกของข้อมูลระบุตัวตนจะแจ้งให้เซิร์ฟเวอร์ทราบว่ามีการใช้ข้อมูลระบุตัวตนที่เข้ารหัส หรือประเภทของวิธีการ EAP ที่กำหนดค่าไว้

• \0: ข้อมูลประจำตัวถาวรที่เข้ารหัส
• 0: EAP-AKA
• 1: EAP-SIM
• 6: EAP-AKA'

คู่ค่าแอตทริบิวต์ตัวระบุคีย์เป็นตัวเลือกและจะไม่ต่อท้ายที่ท้ายตัวตนถาวรที่เข้ารหัสหากไม่ได้ใช้งาน

เมื่อถึงจุดนี้ เซิร์ฟเวอร์จะค้นหาคีย์ส่วนตัวจากตัวระบุคีย์ (หากมี) ถอดรหัสข้อมูลประจำตัวที่เข้ารหัสโดยใช้คีย์ส่วนตัวของผู้ให้บริการ และดำเนินการตามโฟลว์ EAP ปกติต่อ

เมื่อตรวจสอบสิทธิ์สำเร็จ เซิร์ฟเวอร์จะระบุตัวตนสำหรับการตรวจสอบสิทธิ์อีกครั้งอย่างรวดเร็วหรือตัวตนชั่วคราว (นามแฝง) ซึ่งจะใช้ในการเชื่อมต่อครั้งต่อๆ ไป หากเซิร์ฟเวอร์ไม่ได้ระบุตัวตนชั่วคราว ระบบจะส่งตัวตนที่เข้ารหัสในการเชื่อมต่อครั้งถัดไป

การเรียกข้อมูลใบรับรองของผู้ให้บริการ การหมดอายุ และการเพิกถอน

ในกรณีที่ไม่ได้ติดตั้งใบรับรองไว้ในระบบ ระบบจะใช้ URL ที่ระบุในการกำหนดค่าผู้ให้บริการ imsi_key_download_url_string เพื่อดาวน์โหลดใบรับรองโดยใช้เมธอด HTTP GET ระบบจะใช้อินเทอร์เน็ตมือถือก็ต่อเมื่อมีการกําหนดค่าผู้ให้บริการ allow_metered_network_for_cert_download_bool เป็น true ไม่เช่นนั้น ระบบจะดาวน์โหลดใบรับรองก็ต่อเมื่อมีการเชื่อมต่อ Wi-Fi เท่านั้น

ระบบจะบังคับใช้การหมดอายุของใบรับรอง ระบบจะเริ่มพยายามต่ออายุใบรับรอง 21 วันก่อนวันที่ใบรับรองหมดอายุ และใช้ URL เดียวกันเพื่อดาวน์โหลดใบรับรองใหม่

ในกรณีที่เซิร์ฟเวอร์ถอดรหัสข้อมูลประจำตัวที่เข้ารหัสไม่ได้ เซิร์ฟเวอร์จะส่งEAP-Request/AKA-Notificationข้อความที่มีรหัส AT_NOTIFICATION General Failure (16384) เพื่อสิ้นสุดการแลกเปลี่ยน EAP

ในกรณีที่ใบรับรองถูกเพิกถอนหรือหมดอายุ เซิร์ฟเวอร์จะส่งEAP-Request/AKA-Notificationข้อความที่มีรหัส AT_NOTIFICATION Certificate Replacement Required (16385) เพื่อสิ้นสุดการแลกเปลี่ยน EAP ระบบจะใช้วิธีการแก้ปัญหาแบบเฮuristic ภายในเพื่อพิจารณาว่าจะนําใบรับรองออกและพยายามดาวน์โหลดใบรับรองใหม่จาก URL เดียวกันหรือไม่

ระบุคีย์สาธารณะ

ระบุ URL สาธารณะไปยังเซิร์ฟเวอร์ โดยควรใช้ HTTP ผ่าน TLS ซึ่งโฮสต์ใบรับรองของผู้ให้บริการ โดยที่

1. คุณดึงข้อมูลคีย์สาธารณะและวันหมดอายุออกจากใบรับรองได้

2. ข้อมูลจากเซิร์ฟเวอร์อยู่ในรูปแบบ JSON ดังนี้

   Property: key-identifier
   Type: String
   Encoding: UTF-8
   Description: Specifies an identifier that the carrier would like to attach to the certificate.
   Optional: Yes
   
   Property: certificate
   Property alternative name: public-key
   Type: String
   Encoding: Base64
   Description: The content of the carrier's X.509 certificate.
   Optional: No
   
   Property: key-type
   Type: String
   Encoding: UTF-8
   Description: Specifies the module that will use the key. The value for type must be either WLAN or EPDG.
   Optional: Yes. If the key-type property isn't included, then its value defaults to WLAN.
   

   ต่อไปนี้เป็นตัวอย่างของคีย์สาธารณะ

   {
   "carrier-keys" : [ {
     "key-identifier" : "CertificateSerialNumber=5xxe06d4",
     "public-key" : "-----BEGIN CERTIFICATE-----\r\nTIIDRTCCAi2gAwIBAgIEVR4G1DANBgkqhkiG9w0BAQsFADBTMQswCQYDVQQGEwJVUzELMAkGA1UE\r\nCBMCTkExCzAJBgNVBAcTAk5BMQswCQYDVQQKEwJOQTELMAkGA1UECxMCTkExEDAOBgNVBAMTB1Rl\r\nc3RiT6N1/w==\r\n-----END CERTIFICATE-----"
   } ]
   }