تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

الثقة عند الاستخدام الأول (TOFU)

بالنسبة للأجهزة التي تعمل بنظام Android 13 أو إصدار أحدث ، يدعم Android أسلوب مصادقة Trust on First Use (TOFU) ( RFC7435 ) ، والذي يتيح للمستخدمين الوثوق بشبكة مؤسسة (EAP) عن طريق تثبيت المرجع المصدق الجذر الذي يستخدمه الخادم وتعيين اسم المجال الخاص به في الشبكة المحفوظة. يسمح TOFU للجهاز بالحصول على مفتاح عام غير مصدق عندما يتصل المستخدم أولاً بشبكة مؤسسة ويحتفظ بالمفتاح للاتصالات اللاحقة.

خلفية

مقارنة بالشبكات الشخصية التي تتطلب كلمة مرور فقط ، تستخدم شبكات المؤسسات مصادقة البنية التحتية للمفتاح العام (PKI) ، والتي تتطلب من العميل تثبيت الشهادات مسبقًا. في نظام Android 11 أو الإصدارات الأقدم ، يمكن للمستخدمين تحديد خيار عدم التحقق من صحة شهادة المرجع المصدق للخادم في إعدادات الشبكة ، متجاوزًا التحقق من صحة الشهادة من جانب الخادم. ومع ذلك ، لتعزيز الأمان والامتثال لمواصفات WPA R2 ، قدم Android 12 مطلبًا لشبكات المؤسسات للحصول على شهادة الخادم للتحقق من صحة الشهادة. أدى هذا المطلب الإضافي إلى إنشاء حاجز للمستخدمين حيث يحتاجون إلى تثبيت شهادة CA لهذه الشبكات. يوفر TOFU طريقة للمستخدمين للاتصال بشبكة مؤسسة قائمة على PKI عن طريق قبول جذر CA ببساطة.

سلوك الميزة

تعرض الأجهزة التي تدعم TOFU السلوك التالي عندما يتصل المستخدم بشبكة مؤسسة لا تحتوي على مفتاح عام مصادق مثبت بالفعل .

اتصل بشبكة جديدة من خلال منتقي Wi-Fi

حدد شبكة مؤسسة جديدة في منتقي Wi-Fi.
يعرض الجهاز مربع حوار (الشكل 1) لتأكيد ما إذا كانت الشبكة موثوقة.
انقر فوق نعم ، اتصل لقبول اتصال الشبكة ، أو انقر فوق لا ، لا تقم بالاتصال للرفض.
- إذا قمت بالنقر فوق نعم ، قم بالاتصال ، فسيقوم الجهاز تلقائيًا بتهيئة معلمات الأمان ، والاتصال بالشبكة ، وتمكين الاتصال التلقائي للشبكة.
  ملاحظة: الشبكات التي تم تكوينها بشكل خاطئ والتي تستخدم شهادات غير صالحة أو منتهية الصلاحية قد لا تسمح بأي تحقق أمني بواسطة الجهاز. في مثل هذه الحالات ، يفشل الجهاز في الاتصال بالشبكة.
- إذا قمت بالنقر فوق "لا" ، فلا تتصل ، فسيقوم الجهاز بقطع الاتصال بالشبكة وتعطيل الاتصال التلقائي للشبكة.
الشكل 1. مربع حوار لميزة TOFU

الاتصال بالشبكة الحالية مع تمكين الاتصال التلقائي

عند الاتصال بشبكة مؤسسة تم تمكين الاتصال التلقائي بها ولكن ليس لديها شهادة CA صالحة ، يتصل الجهاز تلقائيًا ، ثم يعرض إشعارًا ثابتًا (غير قابل للرفض).

اضغط على الإشعار.
يعرض الجهاز مربع حوار (الشكل 1) لتأكيد ما إذا كانت الشبكة موثوقة.
انقر فوق نعم ، اتصل لقبول اتصال الشبكة ، أو انقر فوق لا ، لا تقم بالاتصال للرفض.
- إذا قمت بالنقر فوق نعم ، قم بالاتصال ، فسيقوم الجهاز تلقائيًا بتهيئة معلمات الأمان ، والاتصال بالشبكة ، وتمكين الاتصال التلقائي للشبكة.
  ملاحظة: الشبكات التي تم تكوينها بشكل خاطئ والتي تستخدم شهادات غير صالحة أو منتهية الصلاحية قد لا تسمح بأي تحقق أمني بواسطة الجهاز. في مثل هذه الحالات ، يفشل الجهاز في الاتصال بالشبكة.
- إذا قمت بالنقر فوق "لا" ، فلا تتصل ، فسيقوم الجهاز بقطع الاتصال بالشبكة وتعطيل الاتصال التلقائي للشبكة.

تطبيق

لدعم ميزة TOFU ، قم بتنفيذ HALs المقدمة في مشروع Android Open Source Project (AOSP) على /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant .

تتوفر واجهات برمجة التطبيقات العامة التالية في Android 13 للاستخدام بواسطة التطبيقات:

WifiManager#isTrustOnFirstUseSupported() : يشير إلى ما إذا كان الجهاز يدعم TOFU.
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean) : لتمكين TOFU.
WifiEnterpriseConfig#isTrustOnFirstUseEnabled() : يشير إلى ما إذا تم تمكين TOFU.

تصديق

للتحقق من صحة تنفيذ TOFU على جهازك ، استخدم الاختبارات التالية:

CTS: CtsWifiTestCases
VTS: VtsHalWifiSupplicantStaNetworkTargetTest