สำหรับอุปกรณ์ที่ใช้ Android 13 ขึ้นไป Android รองรับแนวทางการตรวจสอบสิทธิ์ Trust on First Use (TOFU) ( RFC7435 ) ซึ่งช่วยให้ผู้ใช้เชื่อถือเครือข่ายองค์กร (EAP) ได้โดยการติดตั้ง CA หลักที่เซิร์ฟเวอร์ใช้และตั้งชื่อโดเมนใน เครือข่ายที่บันทึกไว้ TOFU อนุญาตให้อุปกรณ์รับรหัสสาธารณะที่ไม่ได้รับการรับรองความถูกต้องเมื่อผู้ใช้เชื่อมต่อกับเครือข่ายองค์กรเป็นครั้งแรกและเก็บรหัสไว้สำหรับการเชื่อมต่อในภายหลัง
พื้นหลัง
เมื่อเปรียบเทียบกับเครือข่ายส่วนบุคคลที่ต้องใช้เพียงรหัสผ่าน เครือข่ายองค์กรใช้การตรวจสอบสิทธิ์โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ซึ่งกำหนดให้ไคลเอ็นต์ติดตั้งใบรับรองล่วงหน้า ใน Android 11 หรือต่ำกว่า ผู้ใช้สามารถเลือกตัวเลือก ไม่ต้องตรวจสอบ ใบรับรอง CA ของเซิร์ฟเวอร์ในการตั้งค่าเครือข่าย โดยข้ามการตรวจสอบใบรับรองฝั่งเซิร์ฟเวอร์ อย่างไรก็ตาม เพื่อเสริมความปลอดภัยและปฏิบัติตามข้อกำหนด WPA R2 Android 12 จึงได้แนะนำข้อกำหนดสำหรับเครือข่ายองค์กรที่ต้องมีการตรวจสอบใบรับรองเซิร์ฟเวอร์ ข้อกำหนดเพิ่มเติมนี้สร้างอุปสรรคสำหรับผู้ใช้เนื่องจากจำเป็นต้องติดตั้งใบรับรอง CA สำหรับเครือข่ายดังกล่าว TOFU มอบวิธีให้ผู้ใช้เชื่อมต่อกับเครือข่ายองค์กรที่ใช้ PKI เพียงยอมรับ CA หลัก
ลักษณะการทำงาน
อุปกรณ์ที่รองรับ TOFU จะแสดงลักษณะการทำงานต่อไปนี้เมื่อผู้ใช้เชื่อมต่อกับเครือข่ายองค์กรที่ไม่มีคีย์สาธารณะที่ได้รับการตรวจสอบสิทธิ์ ที่ติดตั้งไว้แล้ว
เชื่อมต่อกับเครือข่ายใหม่ผ่านเครื่องมือเลือก Wi-Fi
เลือกเครือข่ายองค์กรใหม่ในเครื่องมือเลือก Wi-Fi
อุปกรณ์จะแสดงกล่องโต้ตอบ (รูปที่ 1) เพื่อยืนยันว่าเครือข่ายเชื่อถือได้หรือไม่
แตะ ใช่ เชื่อมต่อ เพื่อยอมรับการเชื่อมต่อเครือข่าย หรือแตะ ไม่ ไม่ต้องเชื่อมต่อ เพื่อปฏิเสธ
หากคุณแตะ ใช่ เชื่อมต่อ อุปกรณ์จะกำหนดค่าพารามิเตอร์ความปลอดภัย เชื่อมต่อกับเครือข่าย และเปิดใช้งานการเชื่อมต่ออัตโนมัติสำหรับเครือข่ายโดยอัตโนมัติ
หากคุณแตะ ไม่ ไม่ต้องเชื่อมต่อ อุปกรณ์จะยกเลิกการเชื่อมต่อจากเครือข่ายและปิดใช้งานการเชื่อมต่ออัตโนมัติสำหรับเครือข่าย
รูปที่ 1 กล่อง โต้ตอบสำหรับคุณลักษณะ TOFU
เชื่อมต่อกับเครือข่ายที่มีอยู่โดยเปิดใช้งานการเชื่อมต่ออัตโนมัติ
เมื่อเชื่อมต่อกับเครือข่ายองค์กรที่เปิดใช้งานการเชื่อมต่ออัตโนมัติ แต่ไม่มีใบรับรอง CA ที่ถูกต้อง อุปกรณ์จะเชื่อมต่อโดยอัตโนมัติ จากนั้นจะแสดงการแจ้งเตือนแบบติดหนึบ (ไม่สามารถปิดได้)
แตะการแจ้งเตือน
อุปกรณ์จะแสดงกล่องโต้ตอบ (รูปที่ 1) เพื่อยืนยันว่าเครือข่ายเชื่อถือได้หรือไม่
แตะ ใช่ เชื่อมต่อ เพื่อยอมรับการเชื่อมต่อเครือข่าย หรือแตะ ไม่ ไม่ต้องเชื่อมต่อ เพื่อปฏิเสธ
หากคุณแตะ ใช่ เชื่อมต่อ อุปกรณ์จะกำหนดค่าพารามิเตอร์ความปลอดภัย เชื่อมต่อกับเครือข่าย และเปิดใช้งานการเชื่อมต่ออัตโนมัติสำหรับเครือข่ายโดยอัตโนมัติ
หากคุณแตะ ไม่ ไม่ต้องเชื่อมต่อ อุปกรณ์จะยกเลิกการเชื่อมต่อจากเครือข่ายและปิดใช้งานการเชื่อมต่ออัตโนมัติสำหรับเครือข่าย
การนำไปปฏิบัติ
เพื่อสนับสนุนคุณลักษณะ TOFU ให้ใช้ HAL ของผู้ร้องขอที่มีให้ใน Android Open Source Project (AOSP) ที่ /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant
API สาธารณะต่อไปนี้พร้อมใช้งานใน Android 13 เพื่อให้แอปใช้งาน:
-
WifiManager#isTrustOnFirstUseSupported()
: ระบุว่าอุปกรณ์รองรับ TOFU หรือไม่ -
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean)
: เปิดใช้งาน TOFU -
WifiEnterpriseConfig#isTrustOnFirstUseEnabled()
: ระบุว่าเปิดใช้งาน TOFU หรือไม่
การตรวจสอบ
หากต้องการตรวจสอบการใช้งาน TOFU บนอุปกรณ์ของคุณ ให้ใช้การทดสอบต่อไปนี้:
- ซีทีเอส:
CtsWifiTestCases
- VTS:
VtsHalWifiSupplicantStaNetworkTargetTest