برای دستگاههایی که دارای Android نسخه 13 یا بالاتر هستند، Android از رویکرد احراز هویت Trust on First Use (TOFU) ( RFC7435 ) پشتیبانی میکند، که به کاربران اجازه میدهد با نصب CA ریشه مورد استفاده توسط سرور و تنظیم نام دامنه آن در یک شبکه سازمانی (EAP) اعتماد کنند. شبکه ذخیره شده TOFU به دستگاه این امکان را میدهد که وقتی کاربر برای اولین بار به یک شبکه سازمانی متصل میشود، یک کلید عمومی تأیید نشده به دست آورد و کلید را برای اتصالات بعدی حفظ کند.
پس زمینه
در مقایسه با شبکههای شخصی که فقط به رمز عبور نیاز دارند، شبکههای سازمانی از احراز هویت زیرساخت کلید عمومی (PKI) استفاده میکنند که به مشتری نیاز دارد تا گواهیها را از قبل نصب کند. در اندروید 11 یا پایینتر، کاربران میتوانند با دور زدن تأیید اعتبار گواهی سمت سرور، در تنظیمات شبکه، گزینه Do not validate را برای گواهی CA سرور انتخاب کنند. با این حال، برای تقویت امنیت و مطابقت با مشخصات WPA R2، اندروید 12 الزامی را برای شبکههای سازمانی برای تأیید اعتبار گواهی سرور معرفی کرد. این نیاز اضافی مانعی برای کاربران ایجاد کرد زیرا آنها نیاز به نصب گواهی CA برای چنین شبکه هایی دارند. TOFU راهی را برای کاربران فراهم می کند تا به سادگی با پذیرش CA ریشه آن به یک شبکه سازمانی مبتنی بر PKI متصل شوند.
رفتار ویژگی
دستگاههایی که از TOFU پشتیبانی میکنند، وقتی کاربر به یک شبکه سازمانی متصل میشود که کلید عمومی تأیید شده قبلاً نصب نشده است، رفتار زیر را نشان میدهند.
از طریق انتخابگر Wi-Fi به شبکه جدید متصل شوید
یک شبکه سازمانی جدید را در انتخابگر Wi-Fi انتخاب کنید.
دستگاه یک گفتگو (شکل 1) را برای تأیید اینکه آیا شبکه قابل اعتماد است نشان می دهد.
برای قبول کردن اتصال شبکه روی بله، وصل شوید یا برای رد کردن روی خیر، وصل نشوید ضربه بزنید.
اگر روی بله، اتصال ضربه بزنید، دستگاه به طور خودکار پارامترهای امنیتی را پیکربندی می کند، به شبکه متصل می شود و اتصال خودکار را برای شبکه فعال می کند.
اگر روی خیر ضربه بزنید، متصل نشوید ، دستگاه از شبکه قطع می شود و اتصال خودکار برای شبکه غیرفعال می شود.
شکل 1. گفتگو برای ویژگی TOFU
با فعال بودن اتصال خودکار به شبکه موجود متصل شوید
هنگام اتصال به یک شبکه سازمانی که اتصال خودکار را فعال کرده است اما گواهینامه CA معتبر ندارد، دستگاه به طور خودکار متصل می شود، سپس یک اعلان چسبنده (غیرقابل رد) نمایش می دهد.
روی اعلان ضربه بزنید.
دستگاه یک گفتگو (شکل 1) را برای تأیید اینکه آیا شبکه قابل اعتماد است نشان می دهد.
برای قبول کردن اتصال شبکه روی بله، وصل شوید یا برای رد کردن روی خیر، وصل نشوید ضربه بزنید.
اگر روی بله، اتصال ضربه بزنید، دستگاه به طور خودکار پارامترهای امنیتی را پیکربندی می کند، به شبکه متصل می شود و اتصال خودکار را برای شبکه فعال می کند.
اگر روی خیر ضربه بزنید، متصل نشوید ، دستگاه از شبکه قطع می شود و اتصال خودکار برای شبکه غیرفعال می شود.
پیاده سازی
برای پشتیبانی از ویژگی TOFU، HAL های درخواستی ارائه شده در پروژه منبع باز Android (AOSP) را در آدرس /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant پیاده سازی کنید.
API های عمومی زیر در Android 13 برای استفاده توسط برنامه ها در دسترس هستند:
-
WifiManager#isTrustOnFirstUseSupported(): نشان می دهد که آیا دستگاه از TOFU پشتیبانی می کند یا خیر. -
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): TOFU را فعال می کند. -
WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): نشان می دهد که آیا TOFU فعال است یا خیر.
اعتبار سنجی
برای تایید اجرای TOFU بر روی دستگاه خود، از تست های زیر استفاده کنید:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest
برای دستگاههایی که دارای Android نسخه 13 یا بالاتر هستند، Android از رویکرد احراز هویت Trust on First Use (TOFU) ( RFC7435 ) پشتیبانی میکند، که به کاربران اجازه میدهد با نصب CA ریشه مورد استفاده توسط سرور و تنظیم نام دامنه آن در یک شبکه سازمانی (EAP) اعتماد کنند. شبکه ذخیره شده TOFU به دستگاه این امکان را میدهد که وقتی کاربر برای اولین بار به یک شبکه سازمانی متصل میشود، یک کلید عمومی تأیید نشده به دست آورد و کلید را برای اتصالات بعدی حفظ کند.
پس زمینه
در مقایسه با شبکههای شخصی که فقط به رمز عبور نیاز دارند، شبکههای سازمانی از احراز هویت زیرساخت کلید عمومی (PKI) استفاده میکنند که به مشتری نیاز دارد تا گواهیها را از قبل نصب کند. در اندروید 11 یا پایینتر، کاربران میتوانند با دور زدن تأیید اعتبار گواهی سمت سرور، در تنظیمات شبکه، گزینه Do not validate را برای گواهی CA سرور انتخاب کنند. با این حال، برای تقویت امنیت و مطابقت با مشخصات WPA R2، اندروید 12 الزامی را برای شبکههای سازمانی برای تأیید اعتبار گواهی سرور معرفی کرد. این نیاز اضافی مانعی برای کاربران ایجاد کرد زیرا آنها نیاز به نصب گواهی CA برای چنین شبکه هایی دارند. TOFU راهی را برای کاربران فراهم می کند تا به سادگی با پذیرش CA ریشه آن به یک شبکه سازمانی مبتنی بر PKI متصل شوند.
رفتار ویژگی
دستگاههایی که از TOFU پشتیبانی میکنند، وقتی کاربر به یک شبکه سازمانی متصل میشود که کلید عمومی تأیید شده قبلاً نصب نشده است، رفتار زیر را نشان میدهند.
از طریق انتخابگر Wi-Fi به شبکه جدید متصل شوید
یک شبکه سازمانی جدید را در انتخابگر Wi-Fi انتخاب کنید.
دستگاه یک گفتگو (شکل 1) را برای تأیید اینکه آیا شبکه قابل اعتماد است نشان می دهد.
برای قبول کردن اتصال شبکه روی بله، وصل شوید یا برای رد کردن روی خیر، وصل نشوید ضربه بزنید.
اگر روی بله، اتصال ضربه بزنید، دستگاه به طور خودکار پارامترهای امنیتی را پیکربندی می کند، به شبکه متصل می شود و اتصال خودکار را برای شبکه فعال می کند.
اگر روی خیر ضربه بزنید، متصل نشوید ، دستگاه از شبکه قطع می شود و اتصال خودکار برای شبکه غیرفعال می شود.
شکل 1. گفتگو برای ویژگی TOFU
با فعال بودن اتصال خودکار به شبکه موجود متصل شوید
هنگام اتصال به یک شبکه سازمانی که اتصال خودکار را فعال کرده است اما گواهینامه CA معتبر ندارد، دستگاه به طور خودکار متصل می شود، سپس یک اعلان چسبنده (غیرقابل رد) نمایش می دهد.
روی اعلان ضربه بزنید.
دستگاه یک گفتگو (شکل 1) را برای تأیید اینکه آیا شبکه قابل اعتماد است نشان می دهد.
برای قبول کردن اتصال شبکه روی بله، وصل شوید یا برای رد کردن روی خیر، وصل نشوید ضربه بزنید.
اگر روی بله، اتصال ضربه بزنید، دستگاه به طور خودکار پارامترهای امنیتی را پیکربندی می کند، به شبکه متصل می شود و اتصال خودکار را برای شبکه فعال می کند.
اگر روی خیر ضربه بزنید، متصل نشوید ، دستگاه از شبکه قطع می شود و اتصال خودکار برای شبکه غیرفعال می شود.
پیاده سازی
برای پشتیبانی از ویژگی TOFU، HAL های درخواستی ارائه شده در پروژه منبع باز Android (AOSP) را در آدرس /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant پیاده سازی کنید.
API های عمومی زیر در Android 13 برای استفاده توسط برنامه ها در دسترس هستند:
-
WifiManager#isTrustOnFirstUseSupported(): نشان می دهد که آیا دستگاه از TOFU پشتیبانی می کند یا خیر. -
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): TOFU را فعال می کند. -
WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): نشان می دهد که آیا TOFU فعال است یا خیر.
اعتبار سنجی
برای تایید اجرای TOFU بر روی دستگاه خود، از تست های زیر استفاده کنید:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest
برای دستگاههایی که دارای Android نسخه 13 یا بالاتر هستند، Android از رویکرد احراز هویت Trust on First Use (TOFU) ( RFC7435 ) پشتیبانی میکند، که به کاربران اجازه میدهد با نصب CA ریشه مورد استفاده توسط سرور و تنظیم نام دامنه آن در یک شبکه سازمانی (EAP) اعتماد کنند. شبکه ذخیره شده TOFU به دستگاه این امکان را میدهد که وقتی کاربر برای اولین بار به یک شبکه سازمانی متصل میشود، یک کلید عمومی تأیید نشده به دست آورد و کلید را برای اتصالات بعدی حفظ کند.
پس زمینه
در مقایسه با شبکههای شخصی که فقط به رمز عبور نیاز دارند، شبکههای سازمانی از احراز هویت زیرساخت کلید عمومی (PKI) استفاده میکنند که به مشتری نیاز دارد تا گواهیها را از قبل نصب کند. در اندروید 11 یا پایینتر، کاربران میتوانند با دور زدن تأیید اعتبار گواهی سمت سرور، در تنظیمات شبکه، گزینه Do not validate را برای گواهی CA سرور انتخاب کنند. با این حال، برای تقویت امنیت و مطابقت با مشخصات WPA R2، اندروید 12 الزامی را برای شبکههای سازمانی برای تأیید اعتبار گواهی سرور معرفی کرد. این نیاز اضافی مانعی برای کاربران ایجاد کرد زیرا آنها نیاز به نصب گواهی CA برای چنین شبکه هایی دارند. TOFU راهی را برای کاربران فراهم می کند تا به سادگی با پذیرش CA ریشه آن به یک شبکه سازمانی مبتنی بر PKI متصل شوند.
رفتار ویژگی
دستگاههایی که از TOFU پشتیبانی میکنند، وقتی کاربر به یک شبکه سازمانی متصل میشود که کلید عمومی تأیید شده قبلاً نصب نشده است، رفتار زیر را نشان میدهند.
از طریق انتخابگر Wi-Fi به شبکه جدید متصل شوید
یک شبکه سازمانی جدید را در انتخابگر Wi-Fi انتخاب کنید.
دستگاه یک گفتگو (شکل 1) را برای تأیید اینکه آیا شبکه قابل اعتماد است نشان می دهد.
برای قبول کردن اتصال شبکه روی بله، وصل شوید یا برای رد کردن روی خیر، وصل نشوید ضربه بزنید.
اگر روی بله، اتصال ضربه بزنید، دستگاه به طور خودکار پارامترهای امنیتی را پیکربندی می کند، به شبکه متصل می شود و اتصال خودکار را برای شبکه فعال می کند.
اگر روی خیر ضربه بزنید، متصل نشوید ، دستگاه از شبکه قطع می شود و اتصال خودکار برای شبکه غیرفعال می شود.
شکل 1. گفتگو برای ویژگی TOFU
با فعال بودن اتصال خودکار به شبکه موجود متصل شوید
هنگام اتصال به یک شبکه سازمانی که اتصال خودکار را فعال کرده است اما گواهینامه CA معتبر ندارد، دستگاه به طور خودکار متصل می شود، سپس یک اعلان چسبنده (غیرقابل رد) نمایش می دهد.
روی اعلان ضربه بزنید.
دستگاه یک گفتگو (شکل 1) را برای تأیید اینکه آیا شبکه قابل اعتماد است نشان می دهد.
برای قبول کردن اتصال شبکه روی بله، وصل شوید یا برای رد کردن روی خیر، وصل نشوید ضربه بزنید.
اگر روی بله، اتصال ضربه بزنید، دستگاه به طور خودکار پارامترهای امنیتی را پیکربندی می کند، به شبکه متصل می شود و اتصال خودکار را برای شبکه فعال می کند.
اگر روی خیر ضربه بزنید، متصل نشوید ، دستگاه از شبکه قطع می شود و اتصال خودکار برای شبکه غیرفعال می شود.
پیاده سازی
برای پشتیبانی از ویژگی TOFU، HAL های درخواستی ارائه شده در پروژه منبع باز Android (AOSP) را در آدرس /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant پیاده سازی کنید.
API های عمومی زیر در Android 13 برای استفاده توسط برنامه ها در دسترس هستند:
-
WifiManager#isTrustOnFirstUseSupported(): نشان می دهد که آیا دستگاه از TOFU پشتیبانی می کند یا خیر. -
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): TOFU را فعال می کند. -
WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): نشان می دهد که آیا TOFU فعال است یا خیر.
اعتبار سنجی
برای تایید اجرای TOFU بر روی دستگاه خود، از تست های زیر استفاده کنید:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest