Ta strona została przetłumaczona przez Cloud Translation API.

Włącz MACsec dla funkcji Ethernet

Na tej stronie dowiesz się, jak włączyć MACsec dla funkcji Ethernet.

Używaj MACsec do uwierzytelniania i szyfrowania sieci Ethernet komunikacji wykorzystywanych przez systemy multimedialne w pojazdach (IVI) dla różnych jednostek ECU, co zapewnia danych pochodzących z manipulacji, ponownego odtwarzania lub z ujawniania informacji. Włącz tę opcję MACsec IEEE 802.11AE dla sieci Ethernet.

Omówienie

Aby włączyć MACsec, demono wpa_supplicant jest używane do obsługi Uzgadnianie połączenia MACsec (MKA). Do przechowywania MACsec zdefiniowano plik HAL MACsec PSK, nazywany kluczem powiązania połączenia (CAK). HAL MACsec obsługuje tylko klucz CAK. Ten specyficzny dla dostawcy kod MACsec HAL przechowuje klucz CAK bezpiecznie w manipulacji i przechowywania odpornej pamięci masowej. Udostępnianie klucza zależy od implementacji dostawcy.

Przepływ MACsec

Ilustracja 1 przedstawia przepływ MACsec w radioodtwarzaczu.

Włącz MACsec

Aby zapewnić obsługę funkcji z kluczem CAK MACsec, MACsec dla sieci Ethernet musi być jawnie włączona za pomocą indywidualnego dostawcy kodu HAL MACsec.

Aby włączyć tę funkcję, włącz funkcję wpa_supplicant_macsec i metodę tylko tego dostawcy Z macsec-service do PRODUCT_PACKAGES i plik konfiguracji dla wpa_supplicant_macsec, init rc skrypt do PRODUCT_COPY_FILES.

Na przykład ten plik [device-product].mk:

# MACSEC HAL

# This is a mock MACsec HAL implementation with keys embedded in it. Replace with vendor specific HAL
PRODUCT_PACKAGES += android.hardware.automotive.macsec-service

# wpa_supplicant build with MACsec support

PRODUCT_PACKAGES += wpa_supplicant_macsec

# configuration file for wpa_supplicant with MACsec

PRODUCT_COPY_FILES += \
    $(LOCAL_PATH)/wpa_supplicant_macsec.conf:$(TARGET_COPY_OUT_VENDOR)/etc/wpa_supplicant_macsec.conf \
    $(LOCAL_PATH)/wpa_supplicant_macsec.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/wpa_supplicant_macsec.rc

Na przykład: wpa_supplicant_macsec.conf.

# wpa_supplicant_macsec.conf
eapol_version=3
ap_scan=0
fast_reauth=1
# Example configuration for MACsec with preshared key
# mka_cak is not actual key but index for MACsec HAL to specify which key to use
# and make_cak must be either 16 digits or 32 digits depends the actually CAK key length.
network={
        key_mgmt=NONE
        eapol_flags=0
        macsec_policy=1
        macsec_replay_protect=1
        macsec_replay_window=0
        mka_cak=00000000000000000000000000000001
        mka_ckn=31323334
        mka_priority=128
}

Przykład: wpa_supplicant_macsec.conf w: eth0. W przypadku wielu sieci interfejsy muszą być chronione przez MACsec, możesz uruchomić wiele usług.

# wpa_supplicant_macsec.rc
service wpa_supplicant_macsec /vendor/bin/hw/wpa_supplicant_macsec \
        -dd -i eth0 -Dmacsec_linux -c /vendor/etc/wpa_supplicant_macsec.conf
        oneshot

Gdy interfejs Ethernet będzie gotowy, uruchom aplikację wpa_supplicant_macsec. Jeśli Sieć Ethernet nie jest gotowa, wpa_supplicant natychmiast zwraca błąd. Aby uniknąć wyścigu, czas oczekiwania (domyślny limit czasu wynosi pięć (5) sekund) Może być potrzebna /sys//class/net/${eth_interface}.

# init.target.rc
on late-fs
    …
    wait /sys/class/net/eth0
    start wpa_supplicant_macsec
    …

Skonfiguruj adres IP dla interfejsu MACsec

Adres IP interfejsu MACsec może być konfigurowany przez połączenia systemowe po uruchomieniu zygote. Oto przykładowy plik XML nakładki. Jeśli Adres IP interfejsu MACsec musi być gotowy przed uruchomieniem zygote (specyficzne dla dostawcy) demon będzie musiał nasłuchiwać interfejsu MACsec0 i go skonfigurować, ponieważ menedżer połączeń systemowych uruchamia się dopiero po uruchomieniu zygote.

# Example of com.google.android.connectivity.resources overlay config
<?xml version="1.0" encoding="utf-8"?>
<!-- Resources to configure the connectivity module based on each OEM's preference. -->
<resources xmlns:xliff="urn:oasis:names:tc:xliff:document:1.2">
    <!-- Whether the internal vehicle network should remain active even when no
         apps requested it. -->
    <bool name="config_vehicleInternalNetworkAlwaysRequested">true</bool>
    <string-array translatable="false" name="config_ethernet_interfaces">
        <!-- Not metered, trusted, not vpn, vehicle, not vcn managed, restricted -->
        <item>macsec0;11,14,15,27,28;ip=10.10.10.2/24 gateway=10.10.10.1 dns=4.4.4.4,8.8.8.8</item>
    </string-array>
    <string translatable="false" name="config_ethernet_iface_regex">macsec\\d</string>
</resources>

MACsec HAL

HAL MACsec specyficzny dla dostawcy musi implementować poniższe funkcje do ochrony CAK . Całe szyfrowanie i odszyfrowywanie za pomocą klucza odbywa się bezpośrednio bez ujawniania klucza wpa_supplicant

/**
 * MACSEC pre-shared key plugin for wpa_applicant
 *
 * The goal of this service is to provide function for using the MACSEC CAK
 *
 */
@VintfStability
interface IMacsecPSKPlugin {
    /**
     * For xTS test only, not called in production
     *
     * @param keyId is key id to add
     * @param CAK, CAK key to set
     * @param CKN, CKN to set
     *
     * @return ICV.
     */
    void addTestKey(in byte[] keyId, in byte[] CAK, in byte[] CKN);


    /**
     * Use ICV key do AES CMAC same as ieee802_1x_icv_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for AES CMAC
     * @param data
     *
     * @return ICV.
     */
    byte[] calcICV(in byte[] keyId, in byte[] data);


    /**
     * KDF with CAK key to generate SAK key same as ieee802_1x_sak_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for KDF
     * @param seed is key seed (random number)
     * @param sakLength generated SAK length (16 or 32)
     *
     * @return SAK key.
     */
    byte[] generateSAK(in byte[] keyId, in byte[] data, in int sakLength);


    /**
     * Encrypt using KEK key, this is same as aes_wrap with kek.key in wpa_supplicant
     * which used to wrap a SAK key
     *
     * @param keyId is key id to be used for encryption
     * @param sak is SAK key (16 or 32 bytes) to be wrapped.
     *
     * @return wrapped data using KEK key.
     */
    byte[] wrapSAK(in byte[] keyId, in byte[] sak);


    /**
     * Decrypt using KEK key, this is same as aes_unwrap with kek.key in wpa_supplicant
     * which used to unwrap a SAK key
     *
     * @param keyId is key id to be used for decryption
     * @param sak is wrapped SAK key.
     *
     * @return unwrapped data using KEK key.
     */
    byte[] unwrapSAK(in byte[] keyId, in byte[] sak);
}

Implementacja referencyjna

Implementacja referencyjna jest dostępna w hardware/interfaces/macsec/aidl/default, która oferuje oprogramowanie implementacji HAL z wbudowanymi kluczami. Ta implementacja zapewnia tylko funkcjonalne odniesienie do HAL, ponieważ klucze nie są zabezpieczone przez pamięć odporną na manipulacje.

Testowanie HAL MACsec

Test HAL MACsec jest udostępniany w hardware/interfaces/automotive/macsec/aidl/vts/functional

Aby przeprowadzić test:

$ atest VtsHalMacsecPskPluginV1Test

Wywołuje to metodę addTestKey, aby wstawić klucz testowy do HAL i zweryfikować oczekiwane wartości w kolumnach calcIcv, generateSak, wrapSak i unwrapSak.

Aby upewnić się, że MACsec działa, w przypadku testów integracji użyj pinga między 2 maszynami w Interfejs MACsec:

# ping -I macsec0 10.10.10.1

Aby przetestować mątwę z gospodarzem, echo 8 > /sys/devices/virtual/net/cvd-ebr/bridge/group_fwd_mask na hoście jest potrzebne do umożliwienia przekazywania klatek LLDP wymaganych dla MACsec.