این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

اعتماد در اولین استفاده (TOFU)

برای دستگاه‌هایی که دارای Android نسخه 13 یا بالاتر هستند، Android از رویکرد احراز هویت Trust on First Use (TOFU) ( RFC7435 ) پشتیبانی می‌کند، که به کاربران اجازه می‌دهد با نصب CA ریشه مورد استفاده توسط سرور و تنظیم نام دامنه آن در یک شبکه سازمانی (EAP) اعتماد کنند. شبکه ذخیره شده TOFU به دستگاه این امکان را می‌دهد که وقتی کاربر برای اولین بار به یک شبکه سازمانی متصل می‌شود، یک کلید عمومی تأیید نشده به دست آورد و کلید را برای اتصالات بعدی حفظ کند.

زمینه

در مقایسه با شبکه‌های شخصی که فقط به رمز عبور نیاز دارند، شبکه‌های سازمانی از احراز هویت زیرساخت کلید عمومی (PKI) استفاده می‌کنند که به مشتری نیاز دارد تا گواهی‌ها را از قبل نصب کند. در اندروید 11 یا پایین‌تر، کاربران می‌توانند با دور زدن تأیید اعتبار گواهی سمت سرور، در تنظیمات شبکه، گزینه Do not validate را برای گواهی CA سرور انتخاب کنند. با این حال، برای تقویت امنیت و مطابقت با مشخصات WPA R2، اندروید 12 الزامی را برای شبکه‌های سازمانی برای تأیید اعتبار گواهی سرور معرفی کرد. این نیاز اضافی مانعی برای کاربران ایجاد کرد زیرا آنها نیاز به نصب گواهی CA برای چنین شبکه هایی دارند. TOFU راهی را برای کاربران فراهم می کند تا به سادگی با پذیرش CA ریشه آن به یک شبکه سازمانی مبتنی بر PKI متصل شوند.

رفتار ویژگی

دستگاه‌هایی که از TOFU پشتیبانی می‌کنند، وقتی کاربر به یک شبکه سازمانی متصل می‌شود که کلید عمومی تأیید شده قبلاً نصب نشده است، رفتار زیر را نشان می‌دهند.

از طریق انتخابگر Wi-Fi به شبکه جدید متصل شوید

یک شبکه سازمانی جدید را در انتخابگر Wi-Fi انتخاب کنید.
دستگاه یک گفتگو (شکل 1) را برای تأیید اینکه آیا شبکه قابل اعتماد است نشان می دهد.
برای قبول کردن اتصال شبکه روی بله، وصل شوید یا برای رد کردن روی خیر، وصل نشوید ضربه بزنید.
- اگر روی بله، اتصال ضربه بزنید، دستگاه به طور خودکار پارامترهای امنیتی را پیکربندی می کند، به شبکه متصل می شود و اتصال خودکار را برای شبکه فعال می کند.
  توجه: شبکه‌های پیکربندی نادرست که از گواهی‌های نامعتبر یا منقضی شده استفاده می‌کنند ممکن است اجازه تأیید امنیتی دستگاه را ندهند. در چنین مواردی، دستگاه نمی تواند به شبکه متصل شود.
- اگر روی خیر ضربه بزنید، متصل نشوید ، دستگاه از شبکه قطع می شود و اتصال خودکار برای شبکه غیرفعال می شود.
شکل 1. گفتگو برای ویژگی TOFU

با فعال بودن اتصال خودکار به شبکه موجود متصل شوید

هنگام اتصال به یک شبکه سازمانی که اتصال خودکار را فعال کرده است اما گواهینامه CA معتبر ندارد، دستگاه به طور خودکار متصل می شود، سپس یک اعلان چسبنده (غیرقابل رد) نمایش می دهد.

روی اعلان ضربه بزنید.
دستگاه یک گفتگو (شکل 1) را برای تأیید اینکه آیا شبکه قابل اعتماد است نشان می دهد.
برای قبول کردن اتصال شبکه روی بله، وصل شوید یا برای رد کردن روی خیر، وصل نشوید ضربه بزنید.
- اگر روی بله، اتصال ضربه بزنید، دستگاه به طور خودکار پارامترهای امنیتی را پیکربندی می کند، به شبکه متصل می شود و اتصال خودکار را برای شبکه فعال می کند.
  توجه: شبکه‌های پیکربندی نادرست که از گواهی‌های نامعتبر یا منقضی شده استفاده می‌کنند ممکن است اجازه تأیید امنیتی دستگاه را ندهند. در چنین مواردی، دستگاه نمی تواند به شبکه متصل شود.
- اگر روی خیر ضربه بزنید، متصل نشوید ، دستگاه از شبکه قطع می شود و اتصال خودکار برای شبکه غیرفعال می شود.

پیاده سازی

برای پشتیبانی از ویژگی TOFU، HAL های درخواستی ارائه شده در پروژه منبع باز Android (AOSP) را در /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant اجرا کنید.

API های عمومی زیر در Android 13 برای استفاده توسط برنامه ها در دسترس هستند:

WifiManager#isTrustOnFirstUseSupported() : نشان می دهد که آیا دستگاه از TOFU پشتیبانی می کند یا خیر.
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean) : TOFU را فعال می کند.
WifiEnterpriseConfig#isTrustOnFirstUseEnabled() : نشان می دهد که آیا TOFU فعال است یا خیر.

اعتبار سنجی

برای تایید اجرای TOFU بر روی دستگاه خود، از تست های زیر استفاده کنید:

CTS: CtsWifiTestCases
VTS: VtsHalWifiSupplicantStaNetworkTargetTest