الثقة عند الاستخدام الأول (TOFU)

بالنسبة للأجهزة التي تعمل بنظام التشغيل Android 13 أو أعلى، يدعم Android نهج المصادقة الثقة عند الاستخدام الأول (TOFU) ( RFC7435 )، والذي يتيح للمستخدمين الوثوق بشبكة مؤسسة (EAP) عن طريق تثبيت المرجع المصدق الجذر الذي يستخدمه الخادم وتعيين اسم المجال الخاص به في الشبكة المحفوظة. يسمح TOFU للجهاز بالحصول على مفتاح عام غير مصادق عليه عندما يتصل المستخدم لأول مرة بشبكة مؤسسة ويحتفظ بالمفتاح للاتصالات اللاحقة.

خلفية

بالمقارنة مع الشبكات الشخصية التي تتطلب كلمة مرور فقط، تستخدم شبكات المؤسسات مصادقة البنية التحتية للمفتاح العام (PKI)، والتي تتطلب من العميل تثبيت الشهادات مسبقًا. في نظام Android 11 أو الإصدارات الأقدم، يمكن للمستخدمين تحديد خيار عدم التحقق من صحة شهادة CA للخادم في إعدادات الشبكة، وتجاوز التحقق من صحة الشهادة من جانب الخادم. ومع ذلك، لتعزيز الأمان والامتثال لمواصفات WPA R2، قدم Android 12 متطلبًا لشبكات المؤسسات للحصول على التحقق من صحة شهادة الخادم. أدى هذا المتطلب الإضافي إلى إنشاء عائق أمام المستخدمين حيث يحتاجون إلى تثبيت شهادة CA لهذه الشبكات. يوفر TOFU طريقة للمستخدمين للاتصال بشبكة مؤسسة قائمة على PKI بمجرد قبول المرجع المصدق الجذر الخاص بها.

سلوك الميزة

تعرض الأجهزة التي تدعم TOFU السلوك التالي عندما يتصل مستخدم بشبكة مؤسسة لا تحتوي على مفتاح عام مصادق عليه مثبت بالفعل .

اتصل بالشبكة الجديدة من خلال منتقي Wi-Fi

  1. حدد شبكة مؤسسة جديدة في منتقي Wi-Fi.

    يعرض الجهاز مربع حوار (الشكل 1) لتأكيد ما إذا كانت الشبكة موثوقة أم لا.

  2. انقر فوق نعم، اتصل لقبول اتصال الشبكة، أو انقر فوق لا، لا تتصل للرفض.

    • إذا قمت بالنقر فوق نعم، اتصل ، يقوم الجهاز تلقائيًا بتكوين معلمات الأمان والاتصال بالشبكة وتمكين الاتصال التلقائي بالشبكة.

    • إذا قمت بالنقر فوق لا، لا تتصل ، فسيتم قطع اتصال الجهاز بالشبكة وتعطيل الاتصال التلقائي بالشبكة.

    مربع حوار لميزة TOFU

    الشكل 1. مربع الحوار الخاص بميزة TOFU

الاتصال بالشبكة الحالية مع تمكين الاتصال التلقائي

عند الاتصال بشبكة مؤسسة تم تمكين الاتصال التلقائي بها ولكن لا تحتوي على شهادة CA صالحة، يتصل الجهاز تلقائيًا، ثم يعرض إشعارًا ثابتًا (غير قابل للفصل).

  1. اضغط على الإخطار.

    يعرض الجهاز مربع حوار (الشكل 1) لتأكيد ما إذا كانت الشبكة موثوقة أم لا.

  2. انقر فوق نعم، اتصل لقبول اتصال الشبكة، أو انقر فوق لا، لا تتصل للرفض.

    • إذا قمت بالنقر فوق نعم، اتصل ، يقوم الجهاز تلقائيًا بتكوين معلمات الأمان والاتصال بالشبكة وتمكين الاتصال التلقائي بالشبكة.

    • إذا قمت بالنقر فوق لا، لا تتصل ، فسيتم قطع اتصال الجهاز بالشبكة وتعطيل الاتصال التلقائي بالشبكة.

تطبيق

لدعم ميزة TOFU، قم بتنفيذ HALs للملتمس المتوفرة في مشروع Android مفتوح المصدر (AOSP) على /hardware/interfaces/wifi/supplicant/aidl/android/hardware/wifi/supplicant .

تتوفر واجهات برمجة التطبيقات العامة التالية في Android 13 لتستخدمها التطبيقات:

تصديق

للتحقق من صحة تنفيذ TOFU على جهازك، استخدم الاختبارات التالية:

  • CTS: CtsWifiTestCases
  • VTS: VtsHalWifiSupplicantStaNetworkTargetTest