Tin cậy vào lần sử dụng đầu tiên (TOFU)

Đối với các thiết bị chạy Android 13 trở lên, Android hỗ trợ phương pháp xác thực Trust on First Use (TOFU) (RFC7435). Phương thức này cho phép người dùng tin tưởng mạng doanh nghiệp (EAP) bằng cách cài đặt CA gốc mà máy chủ sử dụng và đặt tên miền của mạng đó trong một mạng đã lưu. TOFU cho phép thiết bị lấy khoá công khai chưa xác thực khi người dùng kết nối với mạng doanh nghiệp lần đầu tiên và giữ lại khoá đó cho các kết nối tiếp theo.

Thông tin khái quát

So với các mạng cá nhân chỉ yêu cầu mật khẩu, mạng doanh nghiệp sử dụng phương thức xác thực cơ sở hạ tầng khoá công khai (PKI). Phương thức này yêu cầu ứng dụng cài đặt trước chứng chỉ. Trong Android 11 trở xuống, người dùng có thể chọn tuỳ chọn Do not validate (Không xác thực) cho chứng chỉ CA máy chủ trong phần cài đặt mạng, bỏ qua quy trình xác thực chứng chỉ phía máy chủ. Tuy nhiên, để tăng cường tính bảo mật và tuân thủ thông số kỹ thuật WPA R2, Android 12 đã đưa ra yêu cầu đối với mạng doanh nghiệp là phải có quy trình xác thực chứng chỉ máy chủ. Yêu cầu bổ sung này đã tạo ra rào cản cho người dùng vì họ cần cài đặt chứng chỉ CA cho các mạng đó. TOFU cung cấp một cách để người dùng kết nối với mạng doanh nghiệp dựa trên PKI chỉ bằng cách chấp nhận CA gốc của mạng đó.

Hành vi của tính năng

Các thiết bị hỗ trợ TOFU sẽ hiển thị hành vi sau đây khi người dùng kết nối với một mạng doanh nghiệp không có khoá công khai đã xác thực được cài đặt sẵn.

Kết nối với mạng mới thông qua bộ chọn Wi-Fi

1. Chọn một mạng doanh nghiệp mới trong bộ chọn Wi-Fi.

   Thiết bị sẽ hiển thị một hộp thoại (Hình 1) để xác nhận xem mạng có đáng tin cậy hay không.

2. Nhấn vào Có, kết nối để chấp nhận kết nối mạng hoặc nhấn vào Không, không kết nối để từ chối.

   • Nếu bạn nhấn vào Có, kết nối, thiết bị sẽ tự động định cấu hình các thông số bảo mật, kết nối với mạng và bật tính năng tự động kết nối cho mạng.

   • Nếu bạn nhấn vào Không, đừng kết nối, thiết bị sẽ ngắt kết nối với mạng và tắt tính năng tự động kết nối cho mạng đó.

   

   Hình 1. Hộp thoại cho tính năng TOFU

Kết nối với mạng hiện có khi bật tính năng tự động kết nối

Khi kết nối với một mạng doanh nghiệp đã bật tính năng tự động kết nối nhưng không có chứng chỉ CA hợp lệ, thiết bị sẽ tự động kết nối, sau đó hiển thị một thông báo cố định (không thể đóng).

1. Nhấn vào thông báo đó.

   Thiết bị sẽ hiển thị một hộp thoại (Hình 1) để xác nhận xem mạng có đáng tin cậy hay không.

2. Nhấn vào Có, kết nối để chấp nhận kết nối mạng hoặc nhấn vào Không, không kết nối để từ chối.

   • Nếu bạn nhấn vào Có, kết nối, thiết bị sẽ tự động định cấu hình các thông số bảo mật, kết nối với mạng và bật tính năng tự động kết nối cho mạng.

   • Nếu bạn nhấn vào Không, đừng kết nối, thiết bị sẽ ngắt kết nối với mạng và tắt tính năng tự động kết nối cho mạng đó.

Triển khai

Để hỗ trợ tính năng TOFU, hãy triển khai các HAL của ứng dụng yêu cầu được cung cấp trong Dự án nguồn mở Android (AOSP) tại /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant.

Các API công khai sau đây có trong Android 13 để các ứng dụng sử dụng:

• WifiManager#isTrustOnFirstUseSupported(): Cho biết liệu thiết bị có hỗ trợ TOFU hay không.
• WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): Bật TOFU.
• WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): Cho biết liệu TOFU có được bật hay không.

Xác nhận kết quả

Để xác thực việc triển khai TOFU trên thiết bị, hãy sử dụng các kiểm thử sau:

• CTS: CtsWifiTestCases
• VTS: VtsHalWifiSupplicantStaNetworkTargetTest