Para dispositivos con Android 13 o versiones posteriores, Android Admite el enfoque de autenticación de confianza en el primer uso (TOFU). (RFC7435). que permite a los usuarios confiar en una red empresarial (EAP) mediante la instalación de la AC raíz que usa el servidor y configura su nombre de dominio en una red guardada. TOFU permite el dispositivo para obtener una clave pública no autenticada cuando un usuario se conecta por primera vez a una red empresarial y retienen la clave para conexiones posteriores.
Información general
En comparación con las redes personales que solo requieren una contraseña, las redes empresariales usan autenticación de infraestructura de clave pública (PKI), que requiere que el cliente preinstalar certificados. En Android 11 o versiones anteriores, los usuarios pueden seleccionar la No validar para el certificado de la AC del servidor en la configuración de red. omitir la validación del certificado del servidor. Sin embargo, para fortalecer seguridad y cumplen con la especificación WPA R2, en Android 12 se introdujo para que las redes empresariales tengan la validación de certificado de servidor. Esta requisitos adicionales crearon una barrera para los usuarios, ya que debían instalar una AC. para estas redes. TOFU proporciona una forma para que los usuarios se conecten a un red empresarial basada en PKI con solo aceptar su AC raíz.
Comportamiento de la función
Los dispositivos que admiten TOFU muestran el siguiente comportamiento cuando un usuario se conecta a una red empresarial que no tiene un dispositivo ya instalado con una clave pública autenticada.
Conectarse a una nueva red con el selector de Wi-Fi
Selecciona una nueva red empresarial en el selector de Wi-Fi.
Se mostrará un diálogo (Figura 1) en el dispositivo para confirmar si el elemento red sea de confianza.
Presiona Sí, conectar para aceptar la conexión de red, o bien presiona No, no hacerlo. conectarte para rechazar la llamada.
Si presionas Sí, conectar, el dispositivo configura automáticamente la parámetros de seguridad, se conecta a la red y habilita la conexión automática para la red.
Si presionas No, no conectar, el dispositivo se desconectará de la red e inhabilita la conexión automática para la red.
Figura 1: Diálogo de la función TOFU
Conéctate a una red existente con la conexión automática habilitada
Cuando se conecta a una red empresarial que tiene habilitada la conexión automática, pero no tiene un certificado de CA válido, el dispositivo se conecta automáticamente y, luego, muestra una notificación fija (que no se puede descartar).
Presiona la notificación.
Se mostrará un diálogo (Figura 1) en el dispositivo para confirmar si el elemento red sea de confianza.
Presiona Sí, conectar para aceptar la conexión de red, o bien presiona No, no hacerlo. conectarte para rechazar la llamada.
Si presionas Sí, conectar, el dispositivo configura automáticamente la parámetros de seguridad, se conecta a la red y habilita la conexión automática para la red.
Si presionas No, no conectar, el dispositivo se desconectará de la red e inhabilita la conexión automática para la red.
Implementación
Para admitir la función TOFU, implementa las HALs solicitantes que se proporcionan en el
Proyecto de código abierto de Android (AOSP) en
/hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant
Las siguientes APIs públicas están disponibles en Android 13 para uso de las aplicaciones:
WifiManager#isTrustOnFirstUseSupported()Indica si el dispositivo es compatible con TOFU.WifiEnterpriseConfig#enableTrustOnFirstUse(boolean)Habilita TOFU.WifiEnterpriseConfig#isTrustOnFirstUseEnabled()Indica si TOFU está habilitado.
Validación
Para validar la implementación de TOFU en tu dispositivo, usa las siguientes pruebas:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest