สำหรับอุปกรณ์ที่ใช้ Android 13 ขึ้นไป Android รองรับวิธีการตรวจสอบสิทธิ์แบบ Trust on First Use (TOFU) (RFC7435) ซึ่งช่วยให้ผู้ใช้เชื่อถือเครือข่ายขององค์กร (EAP) โดยการติดตั้ง CA รูท ที่ใช้โดยเซิร์ฟเวอร์และการตั้งค่าชื่อโดเมนในเครือข่ายที่บันทึกไว้ TOFU อนุญาตให้ อุปกรณ์เพื่อรับคีย์สาธารณะที่ไม่ผ่านการตรวจสอบสิทธิ์เมื่อผู้ใช้เชื่อมต่อเป็นครั้งแรก ไปยังเครือข่ายขององค์กรและเก็บคีย์ไว้สำหรับการเชื่อมต่อในครั้งต่อๆ ไป
ฉากหลัง
เมื่อเทียบกับเครือข่ายส่วนบุคคลที่กำหนดให้ใช้รหัสผ่านเพียงอย่างเดียว เครือข่ายขององค์กร ใช้การตรวจสอบสิทธิ์โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ซึ่งต้องใช้ไคลเอ็นต์ ติดตั้งใบรับรองล่วงหน้า ใน Android 11 หรือต่ำกว่า ผู้ใช้สามารถเลือก ไม่ต้องตรวจสอบตัวเลือกสำหรับใบรับรอง CA ของเซิร์ฟเวอร์ในการตั้งค่าเครือข่าย เพื่อข้ามการตรวจสอบความถูกต้องของใบรับรองฝั่งเซิร์ฟเวอร์ อย่างไรก็ตาม เพื่อเพิ่มความรัดกุม และเป็นไปตามข้อกำหนด WPA R2 Android 12 จึงเปิดตัว ข้อกำหนดสำหรับเครือข่ายองค์กรให้ตรวจสอบใบรับรองเซิร์ฟเวอร์ ช่วงเวลานี้ ข้อกำหนดเพิ่มเติม สร้างอุปสรรคสำหรับผู้ใช้ เนื่องจากผู้ใช้จะต้องติดตั้ง CA สำหรับเครือข่ายดังกล่าว TOFU มอบวิธีสำหรับผู้ใช้ในการเชื่อมต่อกับ เครือข่ายองค์กรที่ใช้ PKI ด้วยการยอมรับ CA รูท
ลักษณะการทำงาน
อุปกรณ์ที่รองรับ TOFU จะแสดงลักษณะการทำงานต่อไปนี้เมื่อผู้ใช้เชื่อมต่อ ไปยังเครือข่ายขององค์กรที่ยังไม่ได้ติดตั้ง คีย์สาธารณะที่ตรวจสอบสิทธิ์แล้ว
เชื่อมต่อกับเครือข่ายใหม่ผ่านเครื่องมือเลือก Wi-Fi
เลือกเครือข่ายองค์กรใหม่ในเครื่องมือเลือก Wi-Fi
อุปกรณ์จะแสดงกล่องโต้ตอบ (รูปที่ 1) เพื่อยืนยันว่า เครือข่ายนั้นเชื่อถือได้
แตะใช่ เชื่อมต่อเพื่อยอมรับการเชื่อมต่อเครือข่าย หรือแตะไม่ ไม่ต้องเชื่อมต่อ เชื่อมต่อเพื่อปฏิเสธการเชื่อมต่อ
หากแตะใช่ เชื่อมต่อ อุปกรณ์จะกําหนดค่า พารามิเตอร์ความปลอดภัย เชื่อมต่อกับเครือข่าย และเปิดใช้การเชื่อมต่ออัตโนมัติ สำหรับเครือข่าย
หากคุณแตะไม่ ไม่ต้องเชื่อมต่อ อุปกรณ์จะยกเลิกการเชื่อมต่อกับ เครือข่ายและปิดใช้งานการเชื่อมต่ออัตโนมัติสำหรับเครือข่าย
รูปที่ 1 กล่องโต้ตอบสำหรับฟีเจอร์ TOFU
เชื่อมต่อกับเครือข่ายที่มีอยู่โดยเปิดใช้การเชื่อมต่ออัตโนมัติ
เมื่อเชื่อมต่อกับเครือข่ายขององค์กรที่เปิดใช้การเชื่อมต่ออัตโนมัติไว้ แต่ ไม่มีใบรับรอง CA ที่ถูกต้อง อุปกรณ์จะเชื่อมต่อโดยอัตโนมัติ จากนั้น แสดงการแจ้งเตือนแบบติดหนึบ (ปิดไม่ได้)
แตะการแจ้งเตือน
อุปกรณ์จะแสดงกล่องโต้ตอบ (รูปที่ 1) เพื่อยืนยันว่า เครือข่ายนั้นเชื่อถือได้
แตะใช่ เชื่อมต่อเพื่อยอมรับการเชื่อมต่อเครือข่าย หรือแตะไม่ ไม่ต้องเชื่อมต่อ เชื่อมต่อเพื่อปฏิเสธการเชื่อมต่อ
หากแตะใช่ เชื่อมต่อ อุปกรณ์จะกําหนดค่า พารามิเตอร์ความปลอดภัย เชื่อมต่อกับเครือข่าย และเปิดใช้การเชื่อมต่ออัตโนมัติ สำหรับเครือข่าย
หากคุณแตะไม่ ไม่ต้องเชื่อมต่อ อุปกรณ์จะยกเลิกการเชื่อมต่อกับ เครือข่ายและปิดใช้งานการเชื่อมต่ออัตโนมัติสำหรับเครือข่าย
การใช้งาน
หากต้องการสนับสนุนฟีเจอร์ TOFU ให้ใช้ HAL ของผู้สมัครที่ระบุไว้ใน
โครงการโอเพนซอร์ส Android (AOSP) ที่
/hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant
API สาธารณะต่อไปนี้พร้อมให้บริการใน Android 13 สำหรับใช้งานโดยแอปพลิเคชัน:
WifiManager#isTrustOnFirstUseSupported()ระบุว่าอุปกรณ์รองรับ TOFU หรือไม่WifiEnterpriseConfig#enableTrustOnFirstUse(boolean)เปิดใช้ TOFUWifiEnterpriseConfig#isTrustOnFirstUseEnabled()ระบุว่ามีการเปิดใช้ TOFU ไหม
การตรวจสอบความถูกต้อง
หากต้องการตรวจสอบการติดตั้งใช้งาน TOFU ในอุปกรณ์ ให้ใช้การทดสอบต่อไปนี้
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest