Начиная с 27 марта 2025 г. мы рекомендуем использовать android-latest-release вместо aosp-main для создания и участия в AOSP. Дополнительные сведения см. в разделе Изменения в AOSP .

Эта страница переведена с помощью Cloud Translation API.

Оператор Wi-Fi
Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.

Carrier Wi-Fi — это функция автоматического подключения (использующая зашифрованный IMSI), доступная в Android 9 и выше, которая позволяет устройствам автоматически подключаться к сетям Wi-Fi, реализованным оператором. В зонах с высокой загруженностью или с минимальным покрытием сотовой связи, таких как стадион или станция метро, операторский Wi-Fi может использоваться для улучшения качества подключения пользователей и разгрузки трафика.

Устройства с функцией Wi-Fi оператора автоматически подключаются к настроенным сетям Wi-Fi оператора (сетям с сертификатом открытого ключа). Когда пользователь вручную отключается от сети Wi-Fi оператора, сеть заносится в черный список на 24 часа (без автоматического подключения). Пользователи могут вручную подключаться к сетям из черного списка в любое время.

Выполнение

Для внедрения операторского Wi-Fi производители устройств и операторы должны выполнить следующие действия.

Производители

Для устройств под управлением Android 11 и выше используйте API предложений Wi-Fi, чтобы добавить профили Wi-Fi для каждого оператора.

Для устройств с версией 10 или ниже добавьте профили Wi-Fi, настроив параметр carrier_wifi_string_array для каждого оператора в диспетчере конфигурации оператора .

carrier_wifi_string_array : массив строк, где каждая строковая запись представляет собой закодированный Base64 Wi-Fi SSID и тип EAP, разделенные запятой, где тип EAP является целым числом (см. Реестр расширяемого протокола аутентификации (EAP) ). Например, следующая конфигурация предназначена для SOME_SSID_NAME с использованием EAP-AKA и Some_Other_SSID с использованием EAP-SIM :
```
config {
  key: "carrier_wifi_string_array"
  text_array {
    item: "U09NRV9TU0lEX05BTUUK,23"
    item: "U29tZV9PdGhlcl9TU0lECg==,18"
  }
}
```

В диспетчере конфигурации оператора настройте следующие параметры для каждого оператора:

imsi_key_availability_int : Определяет, доступен ли ключ, используемый для шифрования IMSI, для WLAN (установлен бит 1), EPDG (установлен бит 0) или обоих (установлены и бит 0, и бит 1). Например, следующая конфигурация указывает, что шифрование IMSI доступно для WLAN, но не для EPDG:
```
config {
  key: "imsi_key_availability_int"
  int_value: 2
}
```
imsi_key_download_url_string : URL, с которого загружается proto, содержащий открытый ключ оператора, используемый для шифрования IMSI. Например, следующая конфигурация предоставляет определенный URL:
```
config {
  key: "imsi_key_download_url_string"
  text_value: "https://www.some_company_name.com:5555/some_directory_name/some_filename.json"
}
```
allow_metered_network_for_cert_download_bool : Флаг, указывающий, разрешать ли загрузку открытого ключа оператора по тарифной (сотовой) сети. Если этот флаг не установлен, новое устройство без подключения к Wi-Fi не сможет подключиться к сети Wi-Fi оператора, поскольку ему не будет разрешено загрузить ключ.
```
config {
  key: "allow_metered_network_for_cert_download_bool"
  bool_value: true
}
```

Перевозчики

Для внедрения операторского Wi-Fi оператор должен включить защиту конфиденциальности IMSI и предоставить открытый ключ.

Защита конфиденциальности IMSI

Android защищает конфиденциальность постоянной идентификации абонента (IMSI) с помощью криптографии с открытым ключом. Android реализует спецификацию Wireless Broadband Alliance (WBA) для защиты конфиденциальности IMSI для Wi-Fi . Когда защита конфиденциальности IMSI включена для соединения, постоянная идентификация абонента не передается в открытом виде по воздуху.

Постоянное шифрование личности

Формат зашифрованного постоянного идентификатора выглядит следующим образом:

Постоянный идентификатор имеет формат <EAP-Method><IMSI>@<NAI realm> .
Префикс EAP-Method представляет собой один октет, который определяет метод EAP, используемый для аутентификации:
- 0 : EAP-AKA
- 1 : EAP-SIM
- 6 : EAP-AKA'
Формат области NAI — wlan.mnc XXX .mcc YYY .3gppnetwork.org , где XXX заменяется на код мобильной сети SIM-карты (MNC), а YYY заменяется на мобильный код страны (MCC).
Постоянная идентификация шифруется с использованием открытого ключа RSA, предоставленного оператором. Открытый ключ включен в сертификат X.509 .
Схема шифрования — RSAES-OAEP с SHA-256 в качестве криптографической хэш-функции. Эта схема шифрования гарантирует уникальный шифртекст каждый раз, когда используется схема, тем самым избегая еще одной постоянной личности, которую можно отследить.
Длина ключа RSA составляет 2048 бит.
Буфер шифрования составляет 256 байт.
Зашифрованный текст кодируется с помощью Base64 .
Длина выходного зашифрованного постоянного идентификатора составляет 344 байта.

Encrypted Permanent Identity = Base64(RSAES-OAEP-SHA-256(<EAP-Method><IMSI>@<NAI Realm>))

Идентификатор ключа

Идентификатор ключа — это необязательная пара значений атрибутов, которую носитель прикрепляет к сертификату, чтобы сервер мог найти правильный закрытый ключ во время аутентификации. Примером идентификатора ключа является CertificateSerialNumber=123456 . Если идентификатор ключа указан, он отправляется в открытом виде как часть процесса аутентификации.

Изменения методов аутентификации EAP на основе SIM-карты

Если для соединения включена защита конфиденциальности IMSI, система не отправляет постоянную идентификацию при получении EAP-Request/Identity , вместо этого она отвечает анонимным логином:

SERVER: EAP-Request/Identity
UE: EAP-Response/Identity AT_IDENTITY=<prefix>|anonymous@<NAI Realm>

<prefix> не является обязательным. Если конфигурация оператора enable_eap_method_prefix_bool установлена в true , первый символ идентификатора (перед anonymous ) уведомляет сервер о типе используемого метода EAP до начала обмена EAP.

0 : EAP-AKA
1 : EAP-SIM
6 : EAP-AKA'

Если конфигурация оператора связи установлена на false , этот префикс не включается в сообщение.

В ответ сервер отправляет сообщение EAP-Request/AKA-Identity , а система отвечает в следующем формате:

SERVER: EAP-Request/AKA-Identity AT_ANY_ID_REQ
UE: EAP-Response/AKA-Identity AT_IDENTITY=<prefix>|<Encrypted Permanent Identity>|","|"<attribute>=<value>"

Первый символ идентификатора уведомляет сервер либо о том, что используется зашифрованный идентификатор, либо о типе настроенного метода EAP:

\0 : Зашифрованная постоянная идентификация
0 : EAP-AKA
1 : EAP-SIM
6 : EAP-AKA'

Пара значений атрибута идентификатора ключа является необязательной и не добавляется в конец зашифрованного постоянного идентификатора, если не используется.

На этом этапе сервер находит закрытый ключ из идентификатора ключа (если он указан), расшифровывает зашифрованную идентификационную информацию с помощью закрытого ключа оператора связи и продолжает обычный поток EAP.

После успешной аутентификации сервер может предоставить быструю повторную идентификацию или временную идентификацию (псевдоним), которая используется в последующих соединениях. Если сервер не предоставляет временные идентификационные данные, система отправляет зашифрованную идентификацию в последующем соединении.

Извлечение, истечение срока действия и отзыв сертификата оператора

В случае, если в системе не установлен сертификат, система использует URL, указанный в конфигурации оператора imsi_key_download_url_string , для загрузки сертификата с помощью метода HTTP GET. Система использует сотовые данные только в том случае, если конфигурация оператора allow_metered_network_for_cert_download_bool установлена в true . В противном случае система загружает сертификат только при наличии подключения Wi-Fi.

Истечение срока действия сертификата принудительно обеспечивается системой. Система начинает попытки обновить сертификаты за 21 день до даты истечения срока действия сертификата и использует тот же URL для загрузки нового сертификата.

В случае, если серверу не удается расшифровать зашифрованную идентификацию, сервер отправляет сообщение EAP-Request/AKA-Notification с кодом AT_NOTIFICATION General Failure (16384) для завершения обмена EAP.

В случае, если сертификат отозван или истек срок его действия, сервер отправляет сообщение EAP-Request/AKA-Notification с кодом AT_NOTIFICATION Certificate Replacement Required (16385) для прекращения обмена EAP. В ответ система применяет внутреннюю эвристику, чтобы определить, следует ли удалить сертификат, и попытаться загрузить новый сертификат с того же URL.

Предоставьте открытый ключ

Укажите публичный URL-адрес сервера, желательно с использованием HTTP через TLS, на котором размещен сертификат оператора, где:

Открытый ключ и срок действия можно извлечь из сертификата.

Информация с сервера представлена в формате JSON следующим образом:

Property: key-identifier
Type: String
Encoding: UTF-8
Description: Specifies an identifier that the carrier would like to attach to the certificate.
Optional: Yes

Property: certificate
Property alternative name: public-key
Type: String
Encoding: Base64
Description: The content of the carrier's X.509 certificate.
Optional: No

Property: key-type
Type: String
Encoding: UTF-8
Description: Specifies the module that will use the key. The value for type must be either WLAN or EPDG.
Optional: Yes. If the key-type property isn't included, then its value defaults to WLAN.

Ниже приведен пример открытого ключа.

{
"carrier-keys" : [ {
  "key-identifier" : "CertificateSerialNumber=5xxe06d4",
  "public-key" : "-----BEGIN CERTIFICATE-----\r\nTIIDRTCCAi2gAwIBAgIEVR4G1DANBgkqhkiG9w0BAQsFADBTMQswCQYDVQQGEwJVUzELMAkGA1UE\r\nCBMCTkExCzAJBgNVBAcTAk5BMQswCQYDVQQKEwJOQTELMAkGA1UECxMCTkExEDAOBgNVBAMTB1Rl\r\nc3RiT6N1/w==\r\n-----END CERTIFICATE-----"
} ]
}