ไว้วางใจในการใช้งานครั้งแรก (TOFU)

สำหรับอุปกรณ์ที่ใช้ Android 13 ขึ้นไป Android รองรับแนวทางการตรวจสอบสิทธิ์ Trust on First Use (TOFU) ( RFC7435 ) ซึ่งช่วยให้ผู้ใช้เชื่อถือเครือข่ายองค์กร (EAP) ได้โดยการติดตั้ง CA หลักที่เซิร์ฟเวอร์ใช้และตั้งชื่อโดเมนใน เครือข่ายที่บันทึกไว้ TOFU อนุญาตให้อุปกรณ์รับรหัสสาธารณะที่ไม่ได้รับการรับรองความถูกต้องเมื่อผู้ใช้เชื่อมต่อกับเครือข่ายองค์กรเป็นครั้งแรกและเก็บรหัสไว้สำหรับการเชื่อมต่อในภายหลัง

พื้นหลัง

เมื่อเปรียบเทียบกับเครือข่ายส่วนบุคคลที่ต้องใช้เพียงรหัสผ่าน เครือข่ายองค์กรใช้การตรวจสอบสิทธิ์โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ซึ่งกำหนดให้ไคลเอ็นต์ติดตั้งใบรับรองล่วงหน้า ใน Android 11 หรือต่ำกว่า ผู้ใช้สามารถเลือกตัวเลือก ไม่ต้องตรวจสอบ ใบรับรอง CA ของเซิร์ฟเวอร์ในการตั้งค่าเครือข่าย โดยข้ามการตรวจสอบใบรับรองฝั่งเซิร์ฟเวอร์ อย่างไรก็ตาม เพื่อเสริมความปลอดภัยและปฏิบัติตามข้อกำหนด WPA R2 Android 12 จึงได้แนะนำข้อกำหนดสำหรับเครือข่ายองค์กรที่ต้องมีการตรวจสอบใบรับรองเซิร์ฟเวอร์ ข้อกำหนดเพิ่มเติมนี้สร้างอุปสรรคสำหรับผู้ใช้เนื่องจากจำเป็นต้องติดตั้งใบรับรอง CA สำหรับเครือข่ายดังกล่าว TOFU มอบวิธีให้ผู้ใช้เชื่อมต่อกับเครือข่ายองค์กรที่ใช้ PKI เพียงยอมรับ CA หลัก

ลักษณะการทำงาน

อุปกรณ์ที่รองรับ TOFU จะแสดงลักษณะการทำงานต่อไปนี้เมื่อผู้ใช้เชื่อมต่อกับเครือข่ายองค์กรที่ไม่มีคีย์สาธารณะที่ได้รับการตรวจสอบสิทธิ์ ที่ติดตั้งไว้แล้ว

เชื่อมต่อกับเครือข่ายใหม่ผ่านเครื่องมือเลือก Wi-Fi

  1. เลือกเครือข่ายองค์กรใหม่ในเครื่องมือเลือก Wi-Fi

    อุปกรณ์จะแสดงกล่องโต้ตอบ (รูปที่ 1) เพื่อยืนยันว่าเครือข่ายเชื่อถือได้หรือไม่

  2. แตะ ใช่ เชื่อมต่อ เพื่อยอมรับการเชื่อมต่อเครือข่าย หรือแตะ ไม่ ไม่ต้องเชื่อมต่อ เพื่อปฏิเสธ

    • หากคุณแตะ ใช่ เชื่อมต่อ อุปกรณ์จะกำหนดค่าพารามิเตอร์ความปลอดภัย เชื่อมต่อกับเครือข่าย และเปิดใช้งานการเชื่อมต่ออัตโนมัติสำหรับเครือข่ายโดยอัตโนมัติ

    • หากคุณแตะ ไม่ ไม่ต้องเชื่อมต่อ อุปกรณ์จะยกเลิกการเชื่อมต่อจากเครือข่ายและปิดใช้งานการเชื่อมต่ออัตโนมัติสำหรับเครือข่าย

    กล่องโต้ตอบสำหรับคุณสมบัติ TOFU

    รูปที่ 1 กล่อง โต้ตอบสำหรับคุณลักษณะ TOFU

เชื่อมต่อกับเครือข่ายที่มีอยู่โดยเปิดใช้งานการเชื่อมต่ออัตโนมัติ

เมื่อเชื่อมต่อกับเครือข่ายองค์กรที่เปิดใช้งานการเชื่อมต่ออัตโนมัติ แต่ไม่มีใบรับรอง CA ที่ถูกต้อง อุปกรณ์จะเชื่อมต่อโดยอัตโนมัติ จากนั้นจะแสดงการแจ้งเตือนแบบติดหนึบ (ไม่สามารถปิดได้)

  1. แตะการแจ้งเตือน

    อุปกรณ์จะแสดงกล่องโต้ตอบ (รูปที่ 1) เพื่อยืนยันว่าเครือข่ายเชื่อถือได้หรือไม่

  2. แตะ ใช่ เชื่อมต่อ เพื่อยอมรับการเชื่อมต่อเครือข่าย หรือแตะ ไม่ ไม่ต้องเชื่อมต่อ เพื่อปฏิเสธ

    • หากคุณแตะ ใช่ เชื่อมต่อ อุปกรณ์จะกำหนดค่าพารามิเตอร์ความปลอดภัย เชื่อมต่อกับเครือข่าย และเปิดใช้งานการเชื่อมต่ออัตโนมัติสำหรับเครือข่ายโดยอัตโนมัติ

    • หากคุณแตะ ไม่ ไม่ต้องเชื่อมต่อ อุปกรณ์จะยกเลิกการเชื่อมต่อจากเครือข่ายและปิดใช้งานการเชื่อมต่ออัตโนมัติสำหรับเครือข่าย

การนำไปปฏิบัติ

เพื่อสนับสนุนคุณลักษณะ TOFU ให้ใช้ HAL ของผู้ร้องขอที่มีให้ใน Android Open Source Project (AOSP) ที่ /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant

API สาธารณะต่อไปนี้พร้อมใช้งานใน Android 13 เพื่อให้แอปใช้งาน:

การตรวจสอบ

หากต้องการตรวจสอบการใช้งาน TOFU บนอุปกรณ์ของคุณ ให้ใช้การทดสอบต่อไปนี้:

  • ซีทีเอส: CtsWifiTestCases
  • VTS: VtsHalWifiSupplicantStaNetworkTargetTest