WPA3 và Wi-Fi Nâng cao Mở

Android 10 giới thiệu hỗ trợ cho các tiêu chuẩn Wi-Fi Protected Access phiên bản 3 (WPA3) và Wi-Fi Enhanced Open của Liên minh Wi-Fi (WFA). Để biết thêm thông tin, hãy xem Bảo mật trên trang WFA .

WPA3 là tiêu chuẩn bảo mật WFA mới dành cho mạng cá nhân và doanh nghiệp. Nó nhằm mục đích cải thiện bảo mật Wi-Fi tổng thể bằng cách sử dụng các thuật toán bảo mật hiện đại và bộ mật mã mạnh hơn. WPA3 có hai phần:

  • WPA3-Personal: Sử dụng xác thực đồng thời bằng (SAE) thay vì khóa chia sẻ trước (PSK), cung cấp cho người dùng các biện pháp bảo vệ mạnh mẽ hơn trước các cuộc tấn công như tấn công từ điển ngoại tuyến, khôi phục khóa và giả mạo thư.
  • WPA3-Enterprise: Cung cấp các phương thức mã hóa lớp liên kết và xác thực mạnh hơn cũng như chế độ bảo mật 192-bit tùy chọn cho các môi trường bảo mật nhạy cảm.

Wi-Fi Tăng cường Mở rộng là tiêu chuẩn bảo mật WFA mới dành cho các mạng công cộng dựa trên mã hóa không dây cơ hội (OWE). Nó cung cấp mã hóa và quyền riêng tư trên các mạng mở, không được bảo vệ bằng mật khẩu ở các khu vực như quán cà phê, khách sạn, nhà hàng và thư viện. Mở rộng nâng cao không cung cấp xác thực.

WPA3 và Wi-Fi Tăng cường mở cải thiện bảo mật Wi-Fi tổng thể, mang lại sự riêng tư và độ tin cậy tốt hơn trước các cuộc tấn công đã biết. Vì nhiều thiết bị chưa hỗ trợ các tiêu chuẩn này hoặc chưa có bản nâng cấp phần mềm để hỗ trợ các tính năng này nên WFA đã đề xuất các chế độ chuyển đổi sau:

  • Chế độ chuyển tiếp WPA2/WPA3: Điểm truy cập phục vụ hỗ trợ đồng thời các tiêu chuẩn WPA2 và WPA3. Ở chế độ này, các thiết bị Android 10 sử dụng WPA3 để kết nối và các thiết bị chạy Android 9 trở xuống sử dụng WPA2 để kết nối với cùng một điểm truy cập.
  • Chế độ chuyển tiếp WPA2/WPA3-Enterprise: Điểm truy cập phục vụ hỗ trợ đồng thời các tiêu chuẩn WPA2-Enterprise và WPA3-Enterprise.
  • Chế độ chuyển tiếp OWE: Điểm truy cập phục vụ hỗ trợ đồng thời cả OWE và các tiêu chuẩn mở. Ở chế độ này, các thiết bị Android 10 sử dụng OWE để kết nối và các thiết bị chạy Android 9 trở xuống kết nối với cùng một điểm truy cập mà không cần bất kỳ mã hóa nào.

Android 12 hỗ trợ chỉ báo Tắt chuyển tiếp, một cơ chế hướng dẫn thiết bị không sử dụng WPA2 và thay vào đó hãy sử dụng WPA3. Khi một thiết bị nhận được chỉ báo này, nó sẽ sử dụng WPA3 để kết nối với mạng WPA3 hỗ trợ chế độ chuyển tiếp. Android 12 cũng hỗ trợ trao đổi xác thực WPA3 Hash-to-Element (H2E). Để biết thêm thông tin, hãy xem Đặc tả WPA3 .

WPA3 và Wi-Fi Tăng cường mở chỉ được hỗ trợ ở chế độ máy khách.

Thực hiện

Để hỗ trợ Mở rộng nâng cao WPA3 và Wi-Fi, hãy triển khai giao diện HAL của người thay thế. Bắt đầu từ Android 13, giao diện sử dụng AIDL cho định nghĩa HAL. Đối với các bản phát hành trước Android 13, giao diện và phân vùng nhà cung cấp sử dụng HIDL. Giao diện HIDL có thể được tìm thấy trong hardware/interfaces/wifi/supplicant/1.3/ và giao diện AIDL có thể được tìm thấy trong hardware/interfaces/wifi/supplicant/aidl/ ,

Những điều sau đây là bắt buộc để hỗ trợ WPA3 và OWE:

  • Các bản vá nhân Linux để hỗ trợ SAE và OWE

    • cfg80211
    • nl80211
  • wpa_supplicant có hỗ trợ SAE, SUITEB192 và OWE

  • Trình điều khiển Wi-Fi có hỗ trợ SAE, SUITEB192 và OWE

  • Phần mềm Wi-Fi hỗ trợ SAE, SUITEB192 và OWE

  • Chip Wi-Fi hỗ trợ WPA3 và OWE

Các phương thức API công khai có sẵn trong Android 10 để cho phép các ứng dụng xác định khả năng hỗ trợ của thiết bị cho các tính năng này:

WifiConfiguration.java chứa các loại quản lý khóa mới, cũng như mật mã cặp, mật mã nhóm, mật mã quản lý nhóm và mật mã Suite B, được yêu cầu cho OWE, WPA3-Personal và WPA3-Enterprise.

Kích hoạt mở WPA3 và Wi-Fi nâng cao

Để bật WPA3-Personal, WPA3-Enterprise và Mở nâng cao Wi-Fi trong khung Android:

  • WPA3-Personal: Bao gồm tùy chọn biên dịch CONFIG_SAE trong tệp cấu hình wpa_supplicant .

    # WPA3-Personal (SAE)
    CONFIG_SAE=y
    
  • WPA3-Enterprise: Bao gồm các tùy chọn biên dịch CONFIG_SUITEB192CONFIG_SUITEB trong tệp cấu hình wpa_supplicant .

    # WPA3-Enterprise (SuiteB-192)
    CONFIG_SUITEB=y
    CONFIG_SUITEB192=y
    
  • Mở rộng Wi-Fi: Bao gồm tùy chọn biên dịch CONFIG_OWE trong tệp cấu hình wpa_supplicant .

    # Opportunistic Wireless Encryption (OWE)
    # Experimental implementation of draft-harkins-owe-07.txt
    CONFIG_OWE=y
    

Nếu WPA3-Personal, WPA3-Enterprise hoặc Mở rộng Wi-Fi không được bật, người dùng sẽ không thể thêm, quét hoặc kết nối với các loại mạng này theo cách thủ công.

Thẩm định

Để kiểm tra việc triển khai của bạn, hãy chạy các kiểm tra sau.

Kiểm tra đơn vị

Chạy SupplicantStaIfaceHalTest để xác minh hành vi của cờ khả năng cho WPA3 và OWE.

atest SupplicantStaIfaceHalTest

Chạy WifiManagerTest để xác minh hoạt động của các API công khai cho tính năng này.

atest WifiManagerTest

Kiểm tra tích hợp (ACTS)

Để chạy thử nghiệm tích hợp, hãy sử dụng tệp Android Comms Test Suite (ACTS), WifiWpa3OweTest.py , nằm trong tools/test/connectivity/acts_tests/tests/google/wifi .

kiểm tra VTS

Nếu giao diện HIDL được triển khai, hãy chạy:

atest VtsHalWifiSupplicantV1_3TargetTest

Nếu giao diện AIDL được triển khai, hãy chạy:

atest VtsHalWifiSupplicantStaIfaceTargetTest