الثقة عند الاستخدام الأول (TOFU)

بالنسبة إلى الأجهزة التي تعمل بالإصدار 13 من نظام التشغيل Android أو الإصدارات الأحدث، يمكن استخدام نظام نهج مصادقة الثقة عند الاستخدام الأول (TOFU) (RFC7435)، والذي يتيح للمستخدمين الوثوق في شبكة مؤسسة (EAP) من خلال تثبيت مرجع تصديق الجذر استخدامه من قبل الخادم وتعيين اسم المجال الخاص به في إحدى الشبكات المحفوظة. تتيح استخدام بنود الاستخدام (TOFU) الحصول على مفتاح عام لم تتم مصادقته عندما يتصل المستخدم لأول مرة إلى شبكة مؤسسة والاحتفاظ بالمفتاح للاتصالات اللاحقة.

خلفية

بالمقارنة مع الشبكات الشخصية التي لا تتطلب سوى كلمة مرور، فإن شبكات المؤسسات تستخدم مصادقة البنية التحتية للمفتاح العام (PKI)، الأمر الذي يتطلب من العميل لتثبيت الشهادات مسبقًا في نظام التشغيل Android 11 أو الإصدارات الأقدم، يمكن للمستخدمين اختيار خيار عدم التحقق من شهادة CA للخادم في إعدادات الشبكة، تجاوز التحقق من صحة شهادة جهة الخادم. ومع ذلك، من أجل تعزيز ويتوافق مع مواصفات WPA R2، قدّم Android 12 متطلبات التحقق من صحة شهادة الخادم لشبكات المؤسسات. هذا النمط مطلب إضافي أنشأ عائقًا أمام المستخدمين حيث إنهم بحاجة إلى تثبيت مرجع تصديق شهادة لهذه الشبكات. توفر TOFU طريقة للمستخدمين للاتصال شبكة مؤسسة مستندة إلى PKI من خلال قبول هيئة إصدار الشهادات (CA) الجذرية بسهولة.

سلوك الميزة

تعرض الأجهزة التي تدعم TOFU السلوك التالي عند اتصال المستخدم إلى شبكة مؤسسة غير مثبَّت عليها مسبقًا مفتاح عام تمت مصادقته.

الاتصال بشبكة جديدة من خلال "أداة اختيار Wi-Fi"

  1. اختَر شبكة مؤسسة جديدة من خلال أداة اختيار شبكة Wi-Fi.

    يعرض الجهاز مربع حوار (الشكل 1) لتأكيد ما إذا كان شبكتك موثوق بها.

  2. انقر على نعم، أريد الاتصال لقبول الاتصال بالشبكة، أو على لا، لا أريد. الاتصال لرفضها.

    • إذا نقرت على نعم، أريد الاتصال، يضبط الجهاز تلقائيًا معايير الأمان والاتصال بالشبكة وتمكين الاتصال التلقائي للشبكة.

    • إذا نقرت على لا، عدم الربط، ينقطع اتصال الجهاز ويوقف الاتصال التلقائي بالشبكة.

    مربّع حوار حول ميزة بنود الاستخدام (TOFU)

    الشكل 1. مربّع حوار حول ميزة "بنود الاستخدام"

الاتصال بالشبكة الحالية مع تفعيل الاتصال التلقائي

عند الاتصال بشبكة مؤسسة تم تفعيل الاتصال التلقائي بها، ولكن لا يمتلك شهادة CA صالحة، فسيتصل الجهاز تلقائيًا، تعرض إشعارًا ثابتًا (غير قابل للإغلاق).

  1. انقر على الإشعار.

    يعرض الجهاز مربع حوار (الشكل 1) لتأكيد ما إذا كان شبكتك موثوق بها.

  2. انقر على نعم، أريد الاتصال لقبول الاتصال بالشبكة، أو على لا، لا أريد. الاتصال لرفضها.

    • إذا نقرت على نعم، أريد الاتصال، يضبط الجهاز تلقائيًا معايير الأمان والاتصال بالشبكة وتمكين الاتصال التلقائي للشبكة.

    • إذا نقرت على لا، عدم الربط، ينقطع اتصال الجهاز ويوقف الاتصال التلقائي بالشبكة.

التنفيذ

لدعم ميزة TOFU، نفذ HALs الإضافية المقدمة في مشروع مفتوح المصدر لنظام Android (AOSP) على /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant

تتوفّر واجهات برمجة التطبيقات العلنية التالية في نظام التشغيل Android 13 كي تستخدمها التطبيقات:

التحقُّق

للتحقّق من تنفيذ بنود الاستخدام (TOFU) على جهازك، استخدِم الاختبارات التالية:

  • مجموعة أدوات اختبار العمل: CtsWifiTestCases
  • VTS: VtsHalWifiSupplicantStaNetworkTargetTest