Начиная с 27 марта 2025 г. мы рекомендуем использовать android-latest-release вместо aosp-main для создания и участия в AOSP. Дополнительные сведения см. в разделе Изменения в AOSP .

Эта страница переведена с помощью Cloud Translation API.

Оператор Wi-Fi

Операторский Wi-Fi — это функция автоматического подключения (с использованием зашифрованного IMSI), доступная в Android 9 и более поздних версиях. Она позволяет устройствам автоматически подключаться к сетям Wi-Fi, предоставляемым оператором. В местах с высокой загруженностью или слабым покрытием сотовой связи, например, на стадионах или станциях метро, операторский Wi-Fi может использоваться для улучшения качества связи и разгрузки трафика.

Устройства с функцией операторского Wi-Fi автоматически подключаются к настроенным сетям Wi-Fi оператора (сетям с сертификатом открытого ключа). Когда пользователь вручную отключается от сети оператора, эта сеть добавляется в чёрный список на 24 часа (без автоматического подключения). Пользователи могут вручную подключаться к сетям из чёрного списка в любое время.

Выполнение

Для внедрения операторского Wi-Fi производители устройств и операторы связи должны выполнить следующие действия.

Производители

Для устройств под управлением Android 11 и выше используйте API предложений Wi-Fi, чтобы добавить профили Wi-Fi для каждого оператора.

Для устройств с версией 10 или ниже добавьте профили Wi-Fi, настроив параметр carrier_wifi_string_array для каждого оператора в диспетчере конфигурации оператора .

carrier_wifi_string_array : массив строк, где каждая строка представляет собой идентификатор SSID Wi-Fi в кодировке Base64 и тип EAP, разделённые запятой, где тип EAP — целое число (см. Реестр расширяемого протокола аутентификации (EAP) ). Например, следующая конфигурация предназначена для SOME_SSID_NAME с использованием EAP-AKA и Some_Other_SSID с использованием EAP-SIM :
```
config {
  key: "carrier_wifi_string_array"
  text_array {
    item: "U09NRV9TU0lEX05BTUUK,23"
    item: "U29tZV9PdGhlcl9TU0lECg==,18"
  }
}
```

В диспетчере конфигурации оператора настройте следующие параметры для каждого оператора:

imsi_key_availability_int : определяет, доступен ли ключ, используемый для шифрования IMSI, для WLAN (установлен бит 1), EPDG (установлен бит 0) или для обоих (установлены и бит 0, и бит 1). Например, следующая конфигурация указывает, что шифрование IMSI доступно для WLAN, но не для EPDG:
```
config {
  key: "imsi_key_availability_int"
  int_value: 2
}
```
imsi_key_download_url_string : URL-адрес, с которого загружается протокол, содержащий открытый ключ оператора, используемый для шифрования IMSI. Например, следующая конфигурация предоставляет конкретный URL-адрес:
```
config {
  key: "imsi_key_download_url_string"
  text_value: "https://www.some_company_name.com:5555/some_directory_name/some_filename.json"
}
```
allow_metered_network_for_cert_download_bool : флаг, указывающий, разрешать ли загрузку открытого ключа оператора связи по тарифицируемой (сотовой) сети. Если этот флаг не установлен, новое устройство без подключения к Wi-Fi не сможет подключиться к сети Wi-Fi оператора, поскольку ему не будет разрешено загрузить ключ.
```
config {
  key: "allow_metered_network_for_cert_download_bool"
  bool_value: true
}
```

Перевозчики

Для внедрения операторского Wi-Fi оператор должен включить защиту конфиденциальности IMSI и предоставить открытый ключ.

Защита конфиденциальности IMSI

Android защищает конфиденциальность постоянного идентификатора абонента (IMSI) с помощью криптографии с открытым ключом. Android реализует спецификацию Wireless Broadband Alliance (WBA) для защиты конфиденциальности IMSI для Wi-Fi . При включении защиты конфиденциальности IMSI для соединения постоянный идентификатор абонента не передается в открытом виде по беспроводной сети.

Постоянное шифрование личности

Формат зашифрованного постоянного идентификатора выглядит следующим образом:

Постоянный идентификатор имеет формат <EAP-Method><IMSI>@<NAI realm> .
Префикс EAP-Method — это один октет, который определяет метод EAP, используемый для аутентификации:
- 0 : EAP-AKA
- 1 : EAP-SIM
- 6 : EAP-AKA'
Формат области NAI — wlan.mnc XXX .mcc YYY .3gppnetwork.org , где XXX заменяется на код мобильной сети SIM-карты (MNC), а YYY — на код мобильной сети страны (MCC).
Постоянный идентификатор шифруется с использованием открытого ключа RSA, предоставленного оператором. Открытый ключ включен в сертификат X.509 .
Используется схема шифрования RSAES-OAEP с криптографической хеш-функцией SHA-256. Эта схема гарантирует уникальность зашифрованного текста при каждом использовании, что позволяет избежать необходимости в ещё одной постоянной идентификации, которую можно отследить.
Длина ключа RSA составляет 2048 бит.
Буфер шифрования составляет 256 байт.
Зашифрованный текст кодируется с помощью Base64 .
Длина выходного зашифрованного постоянного идентификатора составляет 344 байта.

Encrypted Permanent Identity = Base64(RSAES-OAEP-SHA-256(<EAP-Method><IMSI>@<NAI Realm>))

Идентификатор ключа

Идентификатор ключа — это необязательная пара значений атрибутов, которую оператор прикрепляет к сертификату, чтобы сервер мог найти нужный закрытый ключ во время аутентификации. Пример идентификатора ключа: CertificateSerialNumber=123456 . Если идентификатор ключа указан, он отправляется в открытом виде в рамках процесса аутентификации.

Изменения в методах аутентификации EAP на основе SIM-карты

Если для соединения включена защита конфиденциальности IMSI, система не отправляет постоянный идентификатор при получении EAP-Request/Identity , а вместо этого отвечает анонимным логином:

SERVER: EAP-Request/Identity
UE: EAP-Response/Identity AT_IDENTITY=<prefix>|anonymous@<NAI Realm>

<prefix> необязателен. Если для конфигурации оператора enable_eap_method_prefix_bool задано значение true , первый символ идентификатора (перед anonymous ) уведомляет сервер о типе используемого метода EAP до начала обмена EAP.

0 : EAP-AKA
1 : EAP-SIM
6 : EAP-AKA'

Если конфигурация оператора связи установлена на false , этот префикс не включается в сообщение.

В ответ сервер отправляет сообщение EAP-Request/AKA-Identity и система отвечает в следующем формате:

SERVER: EAP-Request/AKA-Identity AT_ANY_ID_REQ
UE: EAP-Response/AKA-Identity AT_IDENTITY=<prefix>|<Encrypted Permanent Identity>|","|"<attribute>=<value>"

Первый символ идентификатора уведомляет сервер либо о том, что используется зашифрованный идентификатор, либо о типе настроенного метода EAP:

\0 : Зашифрованная постоянная идентификация
0 : EAP-AKA
1 : EAP-SIM
6 : EAP-AKA'

Пара значений атрибута идентификатора ключа является необязательной и не добавляется в конец зашифрованного постоянного идентификатора, если не используется.

На этом этапе сервер находит закрытый ключ из идентификатора ключа (если он предоставлен), расшифровывает зашифрованную идентификационную информацию с помощью закрытого ключа оператора связи и продолжает обычный поток EAP.

После успешной аутентификации сервер может предоставить идентификатор для быстрой повторной аутентификации или временный идентификатор (псевдоним), который будет использоваться в последующих соединениях. Если сервер не предоставляет временные идентификаторы, система отправляет зашифрованный идентификатор при последующем соединении.

Извлечение, истечение срока действия и отзыв сертификата оператора

Если в системе не установлен сертификат, система использует URL-адрес, указанный в конфигурации оператора imsi_key_download_url_string , для загрузки сертификата методом HTTP GET. Система использует сотовые данные только в том случае, если для конфигурации оператора allow_metered_network_for_cert_download_bool задано значение true . В противном случае система загружает сертификат только при наличии Wi-Fi-соединения.

Система контролирует истечение срока действия сертификата. Система начинает попытки обновить сертификаты за 21 день до истечения срока действия сертификата и использует тот же URL для загрузки нового сертификата.

В случае, если серверу не удается расшифровать зашифрованную идентификацию, сервер отправляет сообщение EAP-Request/AKA-Notification с кодом AT_NOTIFICATION General Failure (16384) для завершения обмена EAP.

В случае отзыва или истёкшего срока действия сертификата сервер отправляет сообщение EAP-Request/AKA-Notification с кодом AT_NOTIFICATION Certificate Replacement Required (16385)» для завершения обмена EAP. В ответ система применяет внутреннюю эвристику, чтобы определить, следует ли удалить сертификат, и попытаться загрузить новый сертификат с того же URL-адреса.

Предоставьте открытый ключ

Укажите публичный URL-адрес сервера, желательно с использованием HTTP по TLS, на котором размещен сертификат оператора связи, где:

Открытый ключ и срок действия можно извлечь из сертификата.

Информация с сервера представлена в формате JSON следующим образом:

Property: key-identifier
Type: String
Encoding: UTF-8
Description: Specifies an identifier that the carrier would like to attach to the certificate.
Optional: Yes

Property: certificate
Property alternative name: public-key
Type: String
Encoding: Base64
Description: The content of the carrier's X.509 certificate.
Optional: No

Property: key-type
Type: String
Encoding: UTF-8
Description: Specifies the module that will use the key. The value for type must be either WLAN or EPDG.
Optional: Yes. If the key-type property isn't included, then its value defaults to WLAN.

Ниже приведен пример открытого ключа.

{
"carrier-keys" : [ {
  "key-identifier" : "CertificateSerialNumber=5xxe06d4",
  "public-key" : "-----BEGIN CERTIFICATE-----\r\nTIIDRTCCAi2gAwIBAgIEVR4G1DANBgkqhkiG9w0BAQsFADBTMQswCQYDVQQGEwJVUzELMAkGA1UE\r\nCBMCTkExCzAJBgNVBAcTAk5BMQswCQYDVQQKEwJOQTELMAkGA1UECxMCTkExEDAOBgNVBAMTB1Rl\r\nc3RiT6N1/w==\r\n-----END CERTIFICATE-----"
} ]
}