تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

الثقة عند الاستخدام الأول (TOFU)

بالنسبة إلى الأجهزة التي تعمل بالإصدار 13 من نظام التشغيل Android أو الإصدارات الأحدث، يتوافق Android مع نهج مصادقة الثقة عند الاستخدام الأول (TOFU) (RFC7435)، الذي يتيح للمستخدمين الثقة في شبكة مؤسسة (EAP) من خلال تثبيت هيئة إصدار الشهادات (CA) الجذر التي يستخدمها الخادم وضبط اسم النطاق في الشبكة المحفوظة. تتيح بنود الاستخدام (TOFU) للجهاز الحصول على مفتاح عام لم تتم مصادقته عندما يتصل مستخدم لأول مرة بشبكة مؤسسة ويحتفظ بالمفتاح للاتصالات اللاحقة.

خلفية

مقارنةً بالشبكات الشخصية التي تتطلّب إدخال كلمة مرور فقط، تستخدم شبكات المؤسسات مصادقة البنية الأساسية للمفتاح العام (PKI)، ما يتطلّب من العميل تثبيت الشهادات مسبقًا. في نظام التشغيل Android 11 أو الإصدارات الأقدم، يمكن للمستخدمين اختيار الخيار عدم التحقّق من الصحة لشهادة مرجع تصديق الخادم في إعدادات الشبكة، متجاوزين عملية التحقّق من صحة الشهادة من جهة الخادم. ومع ذلك، لتعزيز الأمان والامتثال لمواصفات WPA R2، أدخل نظام Android 12 متطلبًا لشبكات المؤسسات يقضي بإجراء عملية التحقّق من شهادة الخادم. وقد شكّل هذا المتطلّب الإضافي عائقًا أمام المستخدمين لأنّهم يحتاجون إلى تثبيت شهادة CA لهذه الشبكات. توفّر TOFU طريقة للمستخدمين للاتصال بشبكة مؤسسة تستند إلى PKI من خلال قبول مرجع تصديق الجذر الخاص بها.

سلوك الميزة

تعرض الأجهزة المتوافقة مع ميزة TOFU السلوك التالي عندما يتصل مستخدم بشبكة مؤسسة لا تتضمّن مفتاحًا عامًا تم تثبيته مسبقًا ومصادق عليه.

الاتصال بشبكة جديدة من خلال "أداة اختيار Wi-Fi"

اختَر شبكة مؤسسة جديدة من خلال أداة اختيار شبكة Wi-Fi.

يعرض الجهاز مربّع حوار (الشكل 1) لتأكيد ما إذا كانت الشبكة موثوق بها.
انقر على نعم، اتّصل لقبول الاتصال بالشبكة، أو انقر على لا، لا اتّصل لرفض الاتصال.
- إذا نقرت على نعم، الاتصال، سيضبط الجهاز تلقائيًا مَعلمات الأمان ويتصل بالشبكة ويفعِّل ميزة "الاتصال تلقائيًا" للشبكة.
  
  ملاحظة: قد لا تسمح الشبكات التي تم ضبط إعداداتها بشكلٍ غير صحيح والتي تستخدم شهادات غير صالحة أو منتهية الصلاحية بإجراء أي عملية إثبات أمان من خلال الجهاز. وفي مثل هذه الحالات، يتعذّر على الجهاز الاتصال بالشبكة.
- في حال النقر على لا، لا أريد الاتصال، سيتم قطع اتصال الجهاز بالشبكة ويُوقف الاتصال التلقائي بالشبكة.
الشكل 1: مربّع حوار لميزة TOFU

الاتصال بالشبكة الحالية مع تفعيل ميزة "الاتصال التلقائي"

عند الاتصال بشبكة مؤسسة تم تفعيل ميزة "الاتصال التلقائي" فيها ولكن لا تتضمّن شهادة هيئة إصدار مصدق صالحة، يتصل الجهاز تلقائيًا ثم يعرض إشعارًا ثابتًا (لا يمكن إغلاقه).

انقر على الإشعار.

يعرض الجهاز مربّع حوار (الشكل 1) لتأكيد ما إذا كانت الشبكة موثوقة.
انقر على نعم، اتّصل لقبول الاتصال بالشبكة، أو انقر على لا، لا اتّصل لرفض الاتصال.
- إذا نقرت على نعم، الاتصال، سيضبط الجهاز تلقائيًا مَعلمات الأمان ويتصل بالشبكة ويفعِّل ميزة "الاتصال تلقائيًا" للشبكة.
  
  ملاحظة: قد لا تسمح الشبكات التي تم ضبط إعداداتها بشكلٍ غير صحيح والتي تستخدم شهادات غير صالحة أو منتهية الصلاحية بإجراء أي عملية إثبات أمان من خلال الجهاز. وفي مثل هذه الحالات، يتعذّر على الجهاز الاتصال بالشبكة.
- في حال النقر على لا، عدم الاتصال، ينقطع اتصال الجهاز بالشبكة ويتم إيقاف الاتصال التلقائي بالشبكة.

التنفيذ

لتفعيل ميزة TOFU، عليك تنفيذ واجهات برمجة التطبيقات لنظام HAL الخاصة بطلب البيانات المقدَّمة في "المشروع المفتوح المصدر لنظام Android" ‏ (AOSP) على الرابط /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant.

تتوفّر واجهات برمجة التطبيقات العامة التالية في نظام التشغيل Android 13 لتستخدمها التطبيقات:

WifiManager#isTrustOnFirstUseSupported(): تشير إلى ما إذا كان الجهاز متوافقًا مع بنود الاستخدام (TOFU)
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): تفعّل TOFU.
‫WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): يشير إلى ما إذا كان وضع TOFU مفعّلاً.

التحقُّق

للتحقّق من صحة تنفيذ TOFU على جهازك، استخدِم الاختبارات التالية:

CTS: ‏ CtsWifiTestCases
VTS: ‏ VtsHalWifiSupplicantStaNetworkTargetTest