Google cam kết thúc đẩy công bằng chủng tộc cho Cộng đồng người da đen. Xem cách thực hiện.

Trang này được dịch bởi Cloud Translation API.

Tin cậy khi sử dụng lần đầu (TOFU)

Đối với các thiết bị chạy Android 13 trở lên, Android hỗ trợ phương pháp xác thực Tin cậy khi sử dụng lần đầu (TOFU) ( RFC7435 ), cho phép người dùng tin cậy mạng doanh nghiệp (EAP) bằng cách cài đặt CA gốc được máy chủ sử dụng và đặt tên miền của nó trong một mạng đã lưu. TOFU cho phép thiết bị lấy khóa chung không được xác thực khi người dùng lần đầu kết nối với mạng doanh nghiệp và giữ lại khóa cho các kết nối tiếp theo.

Lý lịch

So với các mạng cá nhân chỉ yêu cầu mật khẩu, mạng doanh nghiệp sử dụng xác thực cơ sở hạ tầng khóa công khai (PKI), yêu cầu khách hàng phải cài đặt trước chứng chỉ. Trong Android 11 trở xuống, người dùng có thể chọn tùy chọn Không xác thực cho chứng chỉ CA máy chủ trong cài đặt mạng, bỏ qua xác thực chứng chỉ phía máy chủ. Tuy nhiên, để tăng cường bảo mật và tuân thủ thông số WPA R2, Android 12 đã đưa ra yêu cầu đối với mạng doanh nghiệp phải xác thực chứng chỉ máy chủ. Yêu cầu bổ sung này đã tạo ra rào cản cho người dùng khi họ cần cài đặt chứng chỉ CA cho các mạng như vậy. TOFU cung cấp cách để người dùng kết nối với mạng doanh nghiệp dựa trên PKI bằng cách chấp nhận CA gốc của nó.

Hành vi tính năng

Các thiết bị hỗ trợ TOFU hiển thị hành vi sau khi người dùng kết nối với mạng doanh nghiệp chưa cài đặt sẵn khóa chung được xác thực.

Kết nối với mạng mới thông qua bộ chọn Wi-Fi

Chọn mạng doanh nghiệp mới trong bộ chọn Wi-Fi.
Thiết bị hiển thị hộp thoại (Hình 1) để xác nhận xem mạng có đáng tin cậy hay không.
Nhấn Có, kết nối để chấp nhận kết nối mạng hoặc nhấn Không, không kết nối để từ chối.
- Nếu bạn nhấn Có, kết nối , thiết bị sẽ tự động định cấu hình các tham số bảo mật, kết nối với mạng và bật tính năng tự động kết nối cho mạng.
  Lưu ý: Mạng được định cấu hình sai sử dụng chứng chỉ không hợp lệ hoặc hết hạn có thể không cho phép thiết bị xác thực bất kỳ bảo mật nào. Trong những trường hợp như vậy, thiết bị không kết nối được với mạng.
- Nếu bạn nhấn Không, không kết nối , thiết bị sẽ ngắt kết nối mạng và tắt tính năng tự động kết nối cho mạng.
Hình 1. Hộp thoại cho tính năng TOFU

Kết nối với mạng hiện có với tính năng tự động kết nối được bật

Khi kết nối với mạng doanh nghiệp đã bật tính năng tự động kết nối nhưng không có chứng chỉ CA hợp lệ, thiết bị sẽ tự động kết nối, sau đó hiển thị thông báo cố định (không thể loại bỏ).

Nhấn vào thông báo.
Thiết bị hiển thị hộp thoại (Hình 1) để xác nhận xem mạng có đáng tin cậy hay không.
Nhấn Có, kết nối để chấp nhận kết nối mạng hoặc nhấn Không, không kết nối để từ chối.
- Nếu bạn nhấn Có, kết nối , thiết bị sẽ tự động định cấu hình các tham số bảo mật, kết nối với mạng và bật tính năng tự động kết nối cho mạng.
  Lưu ý: Mạng được định cấu hình sai sử dụng chứng chỉ không hợp lệ hoặc hết hạn có thể không cho phép thiết bị xác thực bất kỳ bảo mật nào. Trong những trường hợp như vậy, thiết bị không kết nối được với mạng.
- Nếu bạn nhấn Không, không kết nối , thiết bị sẽ ngắt kết nối mạng và tắt tính năng tự động kết nối cho mạng.

Thực hiện

Để hỗ trợ tính năng TOFU, hãy triển khai các HAL thay thế được cung cấp trong Dự án mã nguồn mở Android (AOSP) tại /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant .

Các API công khai sau đây có sẵn trong Android 13 để các ứng dụng sử dụng:

WifiManager#isTrustOnFirstUseSupported() : Cho biết thiết bị có hỗ trợ TOFU hay không.
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean) : Bật TOFU.
WifiEnterpriseConfig#isTrustOnFirstUseEnabled() : Cho biết liệu TOFU có được bật hay không.

Thẩm định

Để xác thực việc triển khai TOFU trên thiết bị của bạn, hãy sử dụng các thử nghiệm sau:

CTS: CtsWifiTestCases
VTS: VtsHalWifiSupplicantStaNetworkTargetTest