Esta página se ha traducido con Cloud Translation API.

Habilite MACsec para funciones de Ethernet

Esta página explica cómo habilitar MACsec para las funciones de Ethernet.

Utilice MACsec para autenticar y cifrar la comunicación Ethernet utilizada por el infoentretenimiento en el vehículo (IVI) para diferentes unidades de ECU, protegiendo los datos contra manipulación, reproducción o divulgación de información. Haga esto comprando habilitando MACsec IEEE 802.11AE para la red Ethernet.

Descripción general

Para habilitar MACsec, se utiliza wpa_supplicant como demonio para manejar el protocolo de enlace del Acuerdo de clave MACsec (MKA). Se define una HAL de MACsec para almacenar de forma segura la clave precompartida de MACsec, denominada clave de asociación de conectividad (CAK). MACsec HAL solo admite CAK. Este MACsec HAL específico del proveedor almacena el CAK de forma segura en un almacenamiento a prueba de manipulaciones. El aprovisionamiento de la clave depende de la implementación del proveedor.

flujo MACsec

La Figura 1 ilustra el flujo MACsec en la unidad principal.

Habilitar MACsec

Para brindar soporte para funcionalidades con la clave MACsec CAK, MACsec para Ethernet debe habilitarse explícitamente con una MACsec HAL específica del proveedor.

Para habilitar la función, habilite wpa_supplicant_macsec y el macsec-service específico del proveedor en PRODUCT_PACKAGES y el archivo de configuración para wpa_supplicant_macsec , init rc en PRODUCT_COPY_FILES .

Por ejemplo, este archivo [device-product].mk :

# MACSEC HAL

# This is a mock MACsec HAL implementation with keys embedded in it. Replace with vendor specific HAL
PRODUCT_PACKAGES += android.hardware.automotive.macsec-service

# wpa_supplicant build with MACsec support

PRODUCT_PACKAGES += wpa_supplicant_macsec

# configuration file for wpa_supplicant with MACsec

PRODUCT_COPY_FILES += \
    $(LOCAL_PATH)/wpa_supplicant_macsec.conf:$(TARGET_COPY_OUT_VENDOR)/etc/wpa_supplicant_macsec.conf \
    $(LOCAL_PATH)/wpa_supplicant_macsec.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/wpa_supplicant_macsec.rc

Por ejemplo, wpa_supplicant_macsec.conf .

# wpa_supplicant_macsec.conf
eapol_version=3
ap_scan=0
fast_reauth=1
# Example configuration for MACsec with preshared key
# mka_cak is not actual key but index for MACsec HAL to specify which key to use
# and make_cak must be either 16 digits or 32 digits depends the actually CAK key length.
network={
        key_mgmt=NONE
        eapol_flags=0
        macsec_policy=1
        macsec_replay_protect=1
        macsec_replay_window=0
        mka_cak=00000000000000000000000000000001
        mka_ckn=31323334
        mka_priority=128
}

Ejemplo de wpa_supplicant_macsec.conf en eth0 . Cuando MACsec necesita proteger varias interfaces de red, puede iniciar varios servicios.

# wpa_supplicant_macsec.rc
service wpa_supplicant_macsec /vendor/bin/hw/wpa_supplicant_macsec \
        -dd -i eth0 -Dmacsec_linux -c /vendor/etc/wpa_supplicant_macsec.conf
        oneshot

Inicie wpa_supplicant_macsec después de que la interfaz Ethernet esté lista. Si el sistema Ethernet no está listo, wpa_supplicant devuelve inmediatamente un error. Para evitar condiciones de carrera, es posible que sea necesario esperar (el tiempo de espera predeterminado es cinco (5) segundos) para /sys//class/net/${eth_interface} .

# init.target.rc
on late-fs
    …
    wait /sys/class/net/eth0
    start wpa_supplicant_macsec
    …

Configure la dirección IP para la interfaz MACsec

El administrador de conectividad del sistema puede configurar la dirección IP de la interfaz MACsec una vez que se inicia zygote. A continuación se muestra un archivo XML superpuesto de ejemplo para conectividad. Si la dirección IP para la interfaz MACsec debe estar lista antes de que se inicie zygote, un demonio específico del proveedor deberá escuchar la interfaz macsec0 y configurarla en su lugar, ya que el administrador de conectividad del sistema solo se inicia después de que se inicie zygote.

# Example of com.google.android.connectivity.resources overlay config
<?xml version="1.0" encoding="utf-8"?>
<!-- Resources to configure the connectivity module based on each OEM's preference. -->
<resources xmlns:xliff="urn:oasis:names:tc:xliff:document:1.2">
    <!-- Whether the internal vehicle network should remain active even when no
         apps requested it. -->
    <bool name="config_vehicleInternalNetworkAlwaysRequested">true</bool>
    <string-array translatable="false" name="config_ethernet_interfaces">
        <!-- Not metered, trusted, not vpn, vehicle, not vcn managed, restricted -->
        <item>macsec0;11,14,15,27,28;ip=10.10.10.2/24 gateway=10.10.10.1 dns=4.4.4.4,8.8.8.8</item>
    </string-array>
    <string translatable="false" name="config_ethernet_iface_regex">macsec\\d</string>
</resources>

MACsec HAL

La HAL específica del proveedor de MACsec debe implementar las siguientes funciones para proteger la clave CAK. Todo el cifrado y descifrado con la clave se realiza directamente sin exponer la clave a wpa_supplicant .

/**
 * MACSEC pre-shared key plugin for wpa_applicant
 *
 * The goal of this service is to provide function for using the MACSEC CAK
 *
 */
@VintfStability
interface IMacsecPSKPlugin {
    /**
     * For xTS test only, not called in production
     *
     * @param keyId is key id to add
     * @param CAK, CAK key to set
     * @param CKN, CKN to set
     *
     * @return ICV.
     */
    void addTestKey(in byte[] keyId, in byte[] CAK, in byte[] CKN);


    /**
     * Use ICV key do AES CMAC same as ieee802_1x_icv_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for AES CMAC
     * @param data
     *
     * @return ICV.
     */
    byte[] calcICV(in byte[] keyId, in byte[] data);


    /**
     * KDF with CAK key to generate SAK key same as ieee802_1x_sak_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for KDF
     * @param seed is key seed (random number)
     * @param sakLength generated SAK length (16 or 32)
     *
     * @return SAK key.
     */
    byte[] generateSAK(in byte[] keyId, in byte[] data, in int sakLength);


    /**
     * Encrypt using KEK key, this is same as aes_wrap with kek.key in wpa_supplicant
     * which used to wrap a SAK key
     *
     * @param keyId is key id to be used for encryption
     * @param sak is SAK key (16 or 32 bytes) to be wrapped.
     *
     * @return wrapped data using KEK key.
     */
    byte[] wrapSAK(in byte[] keyId, in byte[] sak);


    /**
     * Decrypt using KEK key, this is same as aes_unwrap with kek.key in wpa_supplicant
     * which used to unwrap a SAK key
     *
     * @param keyId is key id to be used for decryption
     * @param sak is wrapped SAK key.
     *
     * @return unwrapped data using KEK key.
     */
    byte[] unwrapSAK(in byte[] keyId, in byte[] sak);
}

Implementación de referencia

Se proporciona una implementación de referencia en hardware/interfaces/macsec/aidl/default , que proporciona una implementación de software de HAL con claves integradas en su interior. Esta implementación proporciona solo una referencia funcional a HAL, ya que las claves no están respaldadas por un almacenamiento resistente a manipulaciones.

Pruebe el MACsec HAL

Se proporciona una prueba MACsec HAL en hardware/interfaces/automotive/macsec/aidl/vts/functional .

Para ejecutar la prueba:

$ atest VtsHalMacsecPskPluginV1Test

Esto llama addTestKey para insertar una clave de prueba en HAL y verificar con los valores esperados para calcIcv , generateSak , wrapSak y unwrapSak .

Para confirmar que MACsec está funcionando, para las pruebas de integración, haga ping entre dos máquinas en la interfaz MACsec:

# ping -I macsec0 10.10.10.1

Para probar Cuttlefish con el host, se necesita echo 8 > /sys/devices/virtual/net/cvd-ebr/bridge/group_fwd_mask en el host para permitir el paso de las tramas LLDP requeridas para MACsec.