WPA3 和 Wi-Fi 強化版開放

Android 10 支援 Wi-Fi Alliance (WFA) Wi-Fi 保護存取版本 3 (WPA3) 和 Wi-Fi 強化版開放 標準。如要 資訊,請參閱 WFA 網站上的安全性

WPA3 是個人和企業專屬的 WFA 安全性標準 更是如此透過採用現代的防護機制,提升整體 Wi-Fi 安全性 演算法和更強大的加密套件WPA3 分為兩個部分:

  • WPA3-Personal:使用等於 (SAE) 的同步驗證 而不是預先共用金鑰 (PSK),可提供使用者更強大的安全性 防禦網路,例如離線字典攻擊、金鑰 以及復原和傳訊內容
  • WPA3-Enterprise:提供更完善的驗證方式和連結層 加密方法,以及選擇性的 192 位元安全模式,可進行機密性偵測 安全環境

Wi-Fi Enhanced Open 是全新的 WFA 安全性標準,供大眾使用 採用投機性無線加密 (OWE) 運作的網路。這項服務提供 運用未受密碼保護的開放式網路 (例如 咖啡廳、飯店、餐廳和圖書館。強化型開啟功能無法提供 驗證。

WPA3 和 Wi-Fi 強化版開放功能可改善整體 Wi-Fi 安全性,提供更優質的服務 能抵禦已知的攻擊,隱私性和穩固性。許多裝置尚未支援 或尚未升級軟體來支援這些功能 WFA 提議採取下列轉換模式:

  • WPA2/WPA3 轉換模式:供應存取點支援 WPA2 和 同時採用 WPA3 標準。在這個模式下 有 10 部裝置使用 WPA3 連線和裝置 (搭載 Android 9 以下版本) 會使用 WPA2 連線至相同的存取點。
  • WPA2/WPA3-Enterprise 轉換模式:提供存取點 同時支援 WPA2-Enterprise 和 WPA3-Enterprise 標準。
  • OWE 轉換模式:供應存取點同時支援 OWE 和開放功能 同時處理多項標準在這個模式下,Android 10 裝置會使用 OWE 連線,且搭載 Android 9 以下版本的裝置連線能力 使用相同的存取點,且未加密。

Android 12 支援轉換停用指標 指示裝置不要使用 WPA2 並改用 WPA3 的機制。 收到這個指示後,裝置會使用 WPA3 連線至 WPA3 支援轉換模式的網路Android 12 亦支援 WPA3 雜湊元素 (H2E) 驗證交換。如要 相關資訊,請參閱 WPA3 規格

只有在用戶端模式才支援 WPA3 和 Wi-Fi 強化開放功能。

實作

如要支援 WPA3 和 Wi-Fi Enhanced Open Open 模式,請實作供應器 HAL 介面。 自 Android 13 起, 介面會使用 AIDL 做為 HAL 定義 針對 Android 13 以下版本, 介面和供應商分區會使用 HIDL。 HIDL 介面位於 hardware/interfaces/wifi/supplicant/1.3/、 而 AIDL 介面位於 hardware/interfaces/wifi/supplicant/aidl/

以下是支援 WPA3 和 OWE 的必備條件:

  • 支援 SAE 和 OWE 的 Linux kernel 修補程式

    • cfg80211
    • nl80211
  • wpa_supplicant敬上 支援 SAE、SUITEB192 和 OWE

  • 支援 SAE、SUITEB192 和 OWE 的 Wi-Fi 驅動程式

  • 支援 SAE、SUITEB192 和 OWE 的 Wi-Fi 韌體

  • 支援 WPA3 和 OWE 的 Wi-Fi 晶片

Android 10 中提供公用 API 方法, app,判斷裝置是否支援這些功能:

WifiConfiguration.java敬上 包含新的金鑰管理類型,以及配對加密、群組加密 以及團隊管理加密,以及 OWE 中必備的 Suite B 加密 WPA3-Personal 和 WPA3-Enterprise

啟用 WPA3 和 Wi-Fi 強化開啟功能

在 Android 裝置上啟用 WPA3-Personal、WPA3-Enterprise 和 Wi-Fi 強化開啟功能 架構:

  • WPA3-Personal:CONFIG_SAE 編譯選項加入 wpa_supplicant 設定檔

    # WPA3-Personal (SAE)
    CONFIG_SAE=y
    
  • WPA3-Enterprise:加入 CONFIG_SUITEB192CONFIG_SUITEB wpa_supplicant 設定檔中的編譯選項。

    # WPA3-Enterprise (SuiteB-192)
    CONFIG_SUITEB=y
    CONFIG_SUITEB192=y
    
  • Wi-Fi 強化開啟:CONFIG_OWE wpa_supplicant 設定檔。

    # Opportunistic Wireless Encryption (OWE)
    # Experimental implementation of draft-harkins-owe-07.txt
    CONFIG_OWE=y
    

如果未啟用 WPA3-個人、WPA3-Enterprise 或 Wi-Fi 強化開啟功能,使用者 將無法手動新增、掃描或連線至這類網路。

驗證

如要測試實作成果,請執行下列測試。

單元測試

SupplicantStaIfaceHalTest敬上 來驗證 WPA3 和 OWE 功能旗標的行為。

atest SupplicantStaIfaceHalTest

WifiManagerTest敬上 驗證這項功能的公用 API 行為。

atest WifiManagerTest

VTS 測試

如果已實作 HIDL 介面,請執行以下指令:

atest VtsHalWifiSupplicantV1_3TargetTest

如果已實作 AIDL 介面,請執行:

atest VtsHalWifiSupplicantStaIfaceTargetTest