對於運行 Android 13 或更高版本的設備,Android 支援首次使用信任 (TOFU) 身份驗證方法 ( RFC7435 ),該方法允許用戶透過安裝伺服器使用的根 CA 並將其網域設定為信任企業 (EAP) 網路。保存的網路。 TOFU 允許裝置在使用者首次連接到企業網路時取得未經身份驗證的公鑰,並保留該金鑰用於後續連線。
背景
與只需要密碼的個人網路相比,企業網路使用公鑰基礎架構(PKI)身份驗證,這需要用戶端預先安裝憑證。在 Android 11 或更低版本中,使用者可以在網路設定中為伺服器 CA 憑證選擇不驗證選項,從而繞過伺服器端憑證的驗證。然而,為了加強安全性並遵守 WPA R2 規範,Android 12 引入了企業網路必須進行伺服器憑證驗證的要求。這項附加要求為使用者設定了障礙,因為他們需要為此類網路安裝 CA 憑證。 TOFU 為使用者提供了一種只需接受其根 CA 即可連接到基於 PKI 的企業網路的方法。
特徵行為
當使用者連接到尚未安裝經過驗證的公鑰的企業網路時,支援 TOFU 的裝置會顯示以下行為。
透過 Wi-Fi 選擇器連接到新網絡
在 Wi-Fi 選擇器中選擇新的企業網路。
設備會顯示對話方塊(圖 1)以確認網路是否可信。
點擊是,連接以接受網路連接,或點擊否,不連接以拒絕。
如果點擊是,連接,設備會自動配置安全參數,連接到網絡,並啟用網絡自動連接。
如果您點擊否,請勿連接,裝置會中斷與網路的連接並停用網路自動連線。
圖 1. TOFU 功能的對話框
連接到現有網路並啟用自動連接
當連接到啟用了自動連接但沒有有效 CA 憑證的企業網路時,裝置會自動連接,然後顯示黏性(不可關閉)通知。
點擊通知。
設備會顯示對話方塊(圖 1)以確認網路是否可信。
點擊是,連接以接受網路連接,或點擊否,不連接以拒絕。
如果點擊是,連接,設備會自動配置安全參數,連接到網絡,並啟用網絡自動連接。
如果您點擊否,請勿連接,裝置會中斷與網路的連接並停用網路自動連線。
執行
若要支援 TOFU 功能,請實作 Android 開源專案 (AOSP) 中提供的請求者 HAL(位於/hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant 。
Android 13 中提供以下公共 API 供應用程式使用:
-
WifiManager#isTrustOnFirstUseSupported():指示設備是否支援 TOFU。 -
WifiEnterpriseConfig#enableTrustOnFirstUse(boolean):啟用 TOFU。 -
WifiEnterpriseConfig#isTrustOnFirstUseEnabled():指示是否啟用 TOFU。
驗證
若要驗證 TOFU 在您的裝置上的實現,請使用以下測試:
- CTS:
CtsWifiTestCases - VTS:
VtsHalWifiSupplicantStaNetworkTargetTest