Android 10 giới thiệu hỗ trợ cho các tiêu chuẩn Truy cập được bảo vệ bằng Wi-Fi (WFA) của Liên minh Wi-Fi phiên bản 3 (WPA3) và Wi-Fi Nâng cao Mở. Để biết thêm thông tin, hãy xem Bảo mật trên trang WFA .
WPA3 là một tiêu chuẩn bảo mật WFA mới cho mạng cá nhân và mạng doanh nghiệp. Nó nhằm mục đích cải thiện bảo mật Wi-Fi tổng thể bằng cách sử dụng các thuật toán bảo mật hiện đại và bộ mật mã mạnh hơn. WPA3 có hai phần:
- WPA3-Personal: Sử dụng xác thực đồng thời bằng (SAE) thay vì khóa chia sẻ trước (PSK), cung cấp cho người dùng các biện pháp bảo vệ an ninh mạnh mẽ hơn chống lại các cuộc tấn công như tấn công từ điển ngoại tuyến, khôi phục khóa và giả mạo tin nhắn.
- WPA3-Enterprise: Cung cấp xác thực mạnh hơn và các phương pháp mã hóa lớp liên kết cũng như chế độ bảo mật 192-bit tùy chọn cho các môi trường bảo mật nhạy cảm.
Wi-Fi Enhanced Open là một tiêu chuẩn bảo mật WFA mới cho các mạng công cộng dựa trên mã hóa không dây cơ hội (OWE). Nó cung cấp mã hóa và quyền riêng tư trên các mạng mở, không được bảo vệ bằng mật khẩu trong các khu vực như quán cà phê, khách sạn, nhà hàng và thư viện. Mở nâng cao không cung cấp xác thực.
WPA3 và Wi-Fi Enhanced Open cải thiện bảo mật Wi-Fi tổng thể, mang lại sự riêng tư và mạnh mẽ hơn trước các cuộc tấn công đã biết. Vì nhiều thiết bị chưa hỗ trợ các tiêu chuẩn này hoặc chưa được nâng cấp phần mềm để hỗ trợ các tính năng này, WFA đã đề xuất các chế độ chuyển đổi sau:
- Chế độ chuyển tiếp WPA2 / WPA3: Điểm truy cập phục vụ hỗ trợ đồng thời các tiêu chuẩn WPA2 và WPA3. Ở chế độ này, các thiết bị Android 10 sử dụng WPA3 để kết nối và các thiết bị chạy Android 9 trở xuống sử dụng WPA2 để kết nối với cùng một điểm truy cập.
- Chế độ chuyển tiếp WPA2 / WPA3-Enterprise: Điểm truy cập phục vụ hỗ trợ đồng thời các tiêu chuẩn WPA2-Enterprise và WPA3-Enterprise.
- Chế độ chuyển tiếp OWE: Điểm truy cập phục vụ hỗ trợ đồng thời cả tiêu chuẩn mở và OWE. Ở chế độ này, các thiết bị Android 10 sử dụng OWE để kết nối và các thiết bị chạy Android 9 trở xuống kết nối với cùng một điểm truy cập mà không cần bất kỳ mã hóa nào.
Android 12 hỗ trợ chỉ báo Tắt chuyển đổi, một cơ chế hướng dẫn thiết bị không sử dụng WPA2 và sử dụng WPA3 thay thế. Khi một thiết bị nhận được chỉ báo này, thiết bị đó sẽ sử dụng WPA3 để kết nối với mạng WPA3 hỗ trợ chế độ chuyển tiếp. Android 12 cũng hỗ trợ trao đổi xác thực WPA3 Hash-to-Element (H2E). Để biết thêm thông tin, hãy xem Thông số kỹ thuật WPA3 .
WPA3 và Wi-Fi Enhanced Open chỉ được hỗ trợ ở chế độ ứng dụng khách.
Thực hiện
Để hỗ trợ WPA3 và Wi-Fi Enhanced Open, hãy triển khai giao diện Supplicant HAL. Bắt đầu với Android 13, giao diện sử dụng AIDL cho định nghĩa HAL. Đối với các bản phát hành trước Android 13, giao diện và phân vùng của nhà cung cấp sử dụng HIDL. Giao diện HIDL có thể được tìm thấy trong hardware/interfaces/wifi/supplicant/1.3/
và giao diện AIDL có thể được tìm thấy trong hardware/interfaces/wifi/supplicant/aidl/
,
Những điều sau đây là bắt buộc để hỗ trợ WPA3 và OWE:
Các bản vá nhân Linux để hỗ trợ SAE và OWE
- cfg80211
- nl80211
wpa_supplicant
có hỗ trợ SAE, SUITEB192 và OWETrình điều khiển Wi-Fi hỗ trợ SAE, SUITEB192 và OWE
Chương trình cơ sở Wi-Fi hỗ trợ SAE, SUITEB192 và OWE
Chip Wi-Fi hỗ trợ WPA3 và OWE
Các phương thức API công khai có sẵn trong Android 10 để cho phép các ứng dụng xác định hỗ trợ của thiết bị cho các tính năng này:
-
WifiManager#isWpa3SaeSupported
-
WifiManager#isWpa3SuiteBSupported
-
WifiManager#isEnhancedOpenSupported
WifiConfiguration.java
chứa các kiểu quản lý khóa mới, cũng như mật mã ghép nối, mật mã nhóm, mật mã quản lý nhóm và mật mã Suite B, được yêu cầu cho OWE, WPA3-Personal và WPA3-Enterprise.
Bật WPA3 và Wi-Fi Nâng cao Mở
Để bật WPA3-Personal, WPA3-Enterprise và Wi-Fi Enhanced Open trong Android framework:
WPA3-Personal: Bao gồm tùy chọn biên dịch
CONFIG_SAE
trong tệp cấu hìnhwpa_supplicant
.# WPA3-Personal (SAE) CONFIG_SAE=y
WPA3-Enterprise: Bao gồm các tùy chọn biên dịch
CONFIG_SUITEB192
vàCONFIG_SUITEB
trong tệp cấu hìnhwpa_supplicant
.# WPA3-Enterprise (SuiteB-192) CONFIG_SUITEB=y CONFIG_SUITEB192=y
Mở nâng cao Wi-Fi: Bao gồm tùy chọn biên dịch
CONFIG_OWE
trong tệp cấu hìnhwpa_supplicant
.# Opportunistic Wireless Encryption (OWE) # Experimental implementation of draft-harkins-owe-07.txt CONFIG_OWE=y
Nếu WPA3-Personal, WPA3-Enterprise hoặc Wi-Fi Enhanced Open không được bật, người dùng sẽ không thể thêm, quét hoặc kết nối với các loại mạng này theo cách thủ công.
Thẩm định
Để kiểm tra việc triển khai của bạn, hãy chạy các bài kiểm tra sau.
Bài kiểm tra đơn vị
Chạy SupplicantStaIfaceHalTest
để xác minh hành vi của các cờ khả năng cho WPA3 và OWE.
atest SupplicantStaIfaceHalTest
Chạy WifiManagerTest
để xác minh hoạt động của các API công khai cho tính năng này.
atest WifiManagerTest
Kiểm tra tích hợp (ACTS)
Để chạy kiểm tra tích hợp, hãy sử dụng tệp Bộ kiểm tra Android Comms (ACTS), WifiWpa3OweTest.py
, nằm trong tools/test/connectivity/acts_tests/tests/google/wifi
.
Kiểm tra VTS
Nếu giao diện HIDL được triển khai, hãy chạy:
atest VtsHalWifiSupplicantV1_3TargetTest
Nếu giao diện AIDL được triển khai, hãy chạy:
atest VtsHalWifiSupplicantStaIfaceTargetTest