ตั้งแต่วันที่ 27 มีนาคม 2025 เป็นต้นไป เราขอแนะนำให้ใช้ android-latest-release แทน aosp-main เพื่อสร้างและมีส่วนร่วมใน AOSP โปรดดูข้อมูลเพิ่มเติมที่หัวข้อการเปลี่ยนแปลงใน AOSP

หน้านี้ได้รับการแปลโดย Cloud Translation API

Trust on First Use (TOFU)

สำหรับอุปกรณ์ที่ใช้ Android 13 ขึ้นไป Android จะรองรับแนวทางการตรวจสอบสิทธิ์แบบเชื่อถือในการใช้งานครั้งแรก (TOFU) (RFC7435) ซึ่งช่วยให้ผู้ใช้เชื่อถือเครือข่ายขององค์กร (EAP) ได้โดยการติดตั้ง CA รูทที่ใช้โดยเซิร์ฟเวอร์และตั้งค่าชื่อโดเมนในเครือข่ายที่บันทึกไว้ TOFU ช่วยให้อุปกรณ์รับคีย์สาธารณะที่ไม่มีการรับรองเมื่อผู้ใช้เชื่อมต่อกับเครือข่ายขององค์กรเป็นครั้งแรก และเก็บคีย์ไว้สำหรับการเชื่อมต่อครั้งต่อๆ ไป

ฉากหลัง

เมื่อเทียบกับเครือข่ายส่วนบุคคลที่ต้องใช้เพียงรหัสผ่าน เครือข่ายขององค์กรจะใช้การตรวจสอบสิทธิ์โครงสร้างพื้นฐานของคีย์สาธารณะ (PKI) ซึ่งกำหนดให้ไคลเอ็นต์ต้องติดตั้งใบรับรองล่วงหน้า ใน Android 11 หรือต่ำกว่า ผู้ใช้สามารถเลือกตัวเลือกไม่ตรวจสอบสำหรับใบรับรอง CA ของเซิร์ฟเวอร์ในการตั้งค่าเครือข่าย ซึ่งจะข้ามการตรวจสอบใบรับรองฝั่งเซิร์ฟเวอร์ อย่างไรก็ตาม Android 12 ได้กำหนดข้อกำหนดให้เครือข่ายขององค์กรต้องมีการตรวจสอบใบรับรองเซิร์ฟเวอร์เพื่อเพิ่มความปลอดภัยและปฏิบัติตามข้อกำหนดของ WPA R2 ข้อกำหนดเพิ่มเติมนี้ทำให้เกิดอุปสรรคต่อผู้ใช้เนื่องจากต้องติดตั้งใบรับรอง CA สำหรับเครือข่ายดังกล่าว TOFU เป็นวิธีที่ช่วยให้ผู้ใช้เชื่อมต่อกับเครือข่ายองค์กรที่ใช้ PKI ได้ง่ายๆ เพียงยอมรับ CA รูท

ลักษณะการทำงาน

อุปกรณ์ที่รองรับ TOFU จะแสดงลักษณะการทำงานต่อไปนี้เมื่อผู้ใช้เชื่อมต่อกับเครือข่ายขององค์กรที่ไม่มีคีย์สาธารณะที่ตรวจสอบสิทธิ์ซึ่งติดตั้งไว้แล้ว

เชื่อมต่อกับเครือข่ายใหม่ผ่านเครื่องมือเลือก Wi-Fi

เลือกเครือข่ายขององค์กรใหม่ในเครื่องมือเลือก Wi-Fi

อุปกรณ์จะแสดงกล่องโต้ตอบ (รูปที่ 1) เพื่อยืนยันว่าเชื่อถือเครือข่ายหรือไม่
แตะใช่ เชื่อมต่อเพื่อยอมรับการเชื่อมต่อเครือข่าย หรือแตะไม่ อย่าเชื่อมต่อเพื่อปฏิเสธ
- หากแตะใช่ เชื่อมต่อ อุปกรณ์จะกำหนดค่าพารามิเตอร์การรักษาความปลอดภัย เชื่อมต่อกับเครือข่าย และเปิดใช้การเชื่อมต่ออัตโนมัติสำหรับเครือข่ายโดยอัตโนมัติ
  
  หมายเหตุ: เครือข่ายที่กำหนดค่าไม่ถูกต้องซึ่งใช้ใบรับรองที่ไม่ถูกต้องหรือหมดอายุแล้วอาจไม่อนุญาตให้อุปกรณ์ตรวจสอบความปลอดภัย ในกรณีเช่นนี้ อุปกรณ์จะเชื่อมต่อกับเครือข่ายไม่สำเร็จ
- หากแตะไม่ อย่าเชื่อมต่อ อุปกรณ์จะตัดการเชื่อมต่อจากเครือข่ายและปิดใช้การเชื่อมต่ออัตโนมัติสำหรับเครือข่ายนั้น
รูปที่ 1 กล่องโต้ตอบสําหรับฟีเจอร์ TOFU

เชื่อมต่อกับเครือข่ายที่มีอยู่โดยเปิดใช้การเชื่อมต่ออัตโนมัติ

เมื่อเชื่อมต่อกับเครือข่ายขององค์กรที่เปิดใช้การเชื่อมต่ออัตโนมัติแต่ไม่มีใบรับรอง CA ที่ถูกต้อง อุปกรณ์จะเชื่อมต่อโดยอัตโนมัติ จากนั้นจะแสดงการแจ้งเตือนแบบติดหนึบ (ปิดไม่ได้)

แตะการแจ้งเตือน

อุปกรณ์จะแสดงกล่องโต้ตอบ (รูปที่ 1) เพื่อยืนยันว่าเชื่อถือเครือข่ายหรือไม่
แตะใช่ เชื่อมต่อเพื่อยอมรับการเชื่อมต่อเครือข่าย หรือแตะไม่ อย่าเชื่อมต่อเพื่อปฏิเสธ
- หากแตะใช่ เชื่อมต่อ อุปกรณ์จะกำหนดค่าพารามิเตอร์การรักษาความปลอดภัย เชื่อมต่อกับเครือข่าย และเปิดใช้การเชื่อมต่ออัตโนมัติสำหรับเครือข่ายโดยอัตโนมัติ
  
  หมายเหตุ: เครือข่ายที่กำหนดค่าไม่ถูกต้องซึ่งใช้ใบรับรองที่ไม่ถูกต้องหรือหมดอายุแล้วอาจไม่อนุญาตให้อุปกรณ์ตรวจสอบความปลอดภัย ในกรณีเช่นนี้ อุปกรณ์จะเชื่อมต่อกับเครือข่ายไม่สำเร็จ
- หากแตะไม่ อย่าเชื่อมต่อ อุปกรณ์จะตัดการเชื่อมต่อจากเครือข่ายและปิดใช้การเชื่อมต่ออัตโนมัติสำหรับเครือข่ายนั้น

การใช้งาน

หากต้องการรองรับฟีเจอร์ TOFU ให้ใช้ HAL ของ supplicant ที่ระบุไว้ในโครงการโอเพนซอร์ส Android (AOSP) ที่ /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant

API สาธารณะต่อไปนี้พร้อมให้ใช้งานในแอปใน Android 13

WifiManager#isTrustOnFirstUseSupported(): ระบุว่าอุปกรณ์รองรับ TOFU หรือไม่
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): เปิดใช้ TOFU
WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): ระบุว่าเปิดใช้ TOFU หรือไม่

การตรวจสอบความถูกต้อง

หากต้องการตรวจสอบการติดตั้งใช้งาน TOFU ในอุปกรณ์ ให้ใช้การทดสอบต่อไปนี้

CTS: CtsWifiTestCases
VTS: VtsHalWifiSupplicantStaNetworkTargetTest