Zaufanie przy pierwszym użyciu (TOFU)

Na urządzeniach z Androidem 13 lub nowszym obsługuje metodę uwierzytelniania TOFU (Trust on First Use) (RFC7435), który pozwala użytkownikom ufać sieci firmowej (EAP) przez zainstalowanie głównego urzędu certyfikacji używane przez serwer i ustawiając nazwę domeny w zapisanej sieci. Zezwolenia TOFU urządzenie, aby uzyskać nieuwierzytelniony klucz publiczny, gdy użytkownik po raz pierwszy nawiąże połączenie z siecią firmową i zachowaj klucz na potrzeby kolejnych połączeń.

Tło

W porównaniu z sieciami osobistymi, które wymagają tylko hasła, sieci firmowe korzystać z uwierzytelniania w infrastrukturze klucza publicznego (PKI), co wymaga klienta aby wstępnie zainstalować certyfikaty. Na Androidzie 11 lub starszym użytkownicy mogą wybrać Nie sprawdzaj poprawności w przypadku certyfikatu CA serwera w ustawieniach sieci. pomijanie weryfikacji certyfikatu po stronie serwera. Aby jednak wzmocnić i być zgodne ze specyfikacją WPA R2, w Androidzie 12 wprowadzono wymaga weryfikacji certyfikatu serwera w sieciach firmowych. Ten dodatkowe wymaganie stwarzało barierę dla użytkowników, którzy muszą zainstalować urząd certyfikacji dla takich sieci. TOFU zapewnia użytkownikom połączenie z Sieć firmowa oparta na infrastrukturze PKI przez zaakceptowanie jej głównego urzędu certyfikacji.

Opis funkcji

Urządzenia obsługujące TOFU wyświetlają następujące zachowanie, gdy użytkownik łączy się do sieci firmowej, która nie ma już zainstalowanej aplikacji uwierzytelniony klucz publiczny.

Połącz się z nową siecią przez selektor Wi-Fi

  1. Wybierz nową sieć firmową w selektorze Wi-Fi.

    Urządzenie wyświetla okno (ilustracja 1), aby sprawdzić, czy jest zaufana.

  2. Kliknij Tak, połącz, aby zaakceptować połączenie sieciowe, lub Nie, nie połącz, aby odrzucić prośbę.

    • Jeśli klikniesz Tak, połącz, urządzenie automatycznie skonfiguruje parametry zabezpieczeń, łączy się z siecią i umożliwia automatyczne łączenie dla sieci.

    • Jeśli klikniesz Nie, nie łącz, urządzenie rozłączy się z i wyłącza w niej automatyczne połączenie.

    Okno funkcji TOFU

    Rysunek 1. Okno funkcji TOFU

Połącz z istniejącą siecią z włączonym automatycznym łączeniem

Gdy łączysz się z siecią firmową, która ma włączone automatyczne łączenie, ale nie ma prawidłowego certyfikatu CA, urządzenie łączy się automatycznie, wyświetla przyklejone (niemożliwe do zamknięcia) powiadomienie.

  1. Kliknij powiadomienie.

    Urządzenie wyświetla okno (ilustracja 1), aby sprawdzić, czy jest zaufana.

  2. Kliknij Tak, połącz, aby zaakceptować połączenie sieciowe, lub Nie, nie połącz, aby odrzucić prośbę.

    • Jeśli klikniesz Tak, połącz, urządzenie automatycznie skonfiguruje parametry zabezpieczeń, łączy się z siecią i umożliwia automatyczne łączenie dla sieci.

    • Jeśli klikniesz Nie, nie łącz, urządzenie rozłączy się z i wyłącza w niej automatyczne połączenie.

Implementacja

Aby obsługiwać funkcję TOFU, zaimplementuj dodatkowe HAL podane w Android Open Source Project (AOSP) na stronie /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant

Poniższe publiczne interfejsy API są dostępne w Androidzie 13 przeznaczone dla aplikacji:

Weryfikacja

Aby sprawdzić wdrożenie TOFU na urządzeniu, przeprowadź te testy:

  • punkt CTS: CtsWifiTestCases
  • VTS: VtsHalWifiSupplicantStaNetworkTargetTest