Đối với các thiết bị chạy Android 13 trở lên, Android hỗ trợ phương pháp xác thực Trust on First Use (TOFU) (RFC7435). Phương pháp này cho phép người dùng tin tưởng mạng doanh nghiệp (EAP) bằng cách cài đặt CA gốc mà máy chủ sử dụng và đặt tên miền của mạng đó trong một mạng đã lưu. TOFU cho phép thiết bị lấy khoá công khai chưa xác thực khi người dùng kết nối với mạng doanh nghiệp lần đầu tiên và giữ lại khoá đó cho các kết nối tiếp theo.
Thông tin khái quát
So với các mạng cá nhân chỉ yêu cầu mật khẩu, mạng doanh nghiệp sử dụng phương thức xác thực cơ sở hạ tầng khoá công khai (PKI). Phương thức này yêu cầu ứng dụng cài đặt trước chứng chỉ. Trong Android 11 trở xuống, người dùng có thể chọn tuỳ chọn Do not validate (Không xác thực) cho chứng chỉ CA của máy chủ trong phần cài đặt mạng, bỏ qua quy trình xác thực chứng chỉ phía máy chủ. Tuy nhiên, để tăng cường tính bảo mật và tuân thủ thông số kỹ thuật WPA R2, Android 12 đã đưa ra yêu cầu đối với mạng doanh nghiệp là phải có quy trình xác thực chứng chỉ máy chủ. Yêu cầu bổ sung này đã tạo ra rào cản cho người dùng vì họ cần cài đặt chứng chỉ CA cho các mạng đó. TOFU cung cấp một cách để người dùng kết nối với mạng doanh nghiệp dựa trên PKI chỉ bằng cách chấp nhận CA gốc của mạng đó.
Hành vi của tính năng
Các thiết bị hỗ trợ TOFU sẽ hiển thị hành vi sau đây khi người dùng kết nối với một mạng doanh nghiệp không có khoá công khai đã xác thực được cài đặt sẵn.
Kết nối với mạng mới thông qua bộ chọn Wi-Fi
Chọn một mạng doanh nghiệp mới trong bộ chọn Wi-Fi.
Thiết bị sẽ hiển thị một hộp thoại (Hình 1) để xác nhận xem mạng có đáng tin cậy hay không.
Nhấn vào Có, kết nối để chấp nhận kết nối mạng hoặc nhấn vào Không, không kết nối để từ chối.
Nếu bạn nhấn vào Có, kết nối, thiết bị sẽ tự động định cấu hình các thông số bảo mật, kết nối với mạng và bật tính năng tự động kết nối cho mạng.
Nếu bạn nhấn vào Không, đừng kết nối, thiết bị sẽ ngắt kết nối với mạng và tắt tính năng tự động kết nối cho mạng đó.
Hình 1. Hộp thoại cho tính năng TOFU
Kết nối với mạng hiện có khi bật tính năng tự động kết nối
Khi kết nối với một mạng doanh nghiệp đã bật tính năng tự động kết nối nhưng không có chứng chỉ CA hợp lệ, thiết bị sẽ tự động kết nối, sau đó hiển thị một thông báo cố định (không thể đóng).
Nhấn vào thông báo đó.
Thiết bị hiển thị hộp thoại (Hình 1) để xác nhận xem mạng có đáng tin cậy hay không.
Nhấn vào Có, kết nối để chấp nhận kết nối mạng hoặc nhấn vào Không, không kết nối để từ chối.
Nếu bạn nhấn vào Có, kết nối, thiết bị sẽ tự động định cấu hình các thông số bảo mật, kết nối với mạng và bật tính năng tự động kết nối cho mạng.
Nếu bạn nhấn vào Không, đừng kết nối, thiết bị sẽ ngắt kết nối với mạng và tắt tính năng tự động kết nối cho mạng đó.
Triển khai
Để hỗ trợ tính năng TOFU, hãy triển khai các HAL của ứng dụng yêu cầu truy cập được cung cấp trong Dự án nguồn mở Android (AOSP) tại /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant.
Các API công khai sau đây có trong Android 13 để các ứng dụng sử dụng:
WifiManager#isTrustOnFirstUseSupported(): Cho biết thiết bị có hỗ trợ TOFU hay không.WifiEnterpriseConfig#enableTrustOnFirstUse(boolean): Bật TOFU.WifiEnterpriseConfig#isTrustOnFirstUseEnabled(): Cho biết liệu TOFU có được bật hay không.
Xác nhận kết quả
Để xác thực việc triển khai TOFU trên thiết bị, hãy sử dụng các kiểm thử sau:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest