Bu sayfa, Cloud Translation API ile çevrilmiştir.

Ethernet özellikleri için MACsec'i etkinleştir

Bu sayfada, Ethernet özellikleri için MACsec'in nasıl etkinleştirileceği açıklanmaktadır.

Ethernet'te kimlik doğrulaması yapmak ve ağ şifrelemek için MACsec'i kullanma Farklı ECU üniteleri için araç içi bilgi-eğlence (IVI) tarafından kullanılan iletişim; verilerin izinsiz şekilde değiştirilmesi, tekrar oynatılması veya bilgi ifşası gibi nedenlerle Bunu satın al etkinleştirme Ethernet ağı için MACsec IEEE 802.11AE.

Genel Bakış

MACsec'i etkinleştirmek üzere wpa_supplicant , MACsec Anahtar Sözleşmesi (MKA) el sıkışması. MACsec HAL'si MACsec'i depolamak için tanımlanmıştır önceden paylaşılan anahtarı kullanır. MACsec HAL yalnızca CAK'yı destekler. Tedarikçi firmaya özgü bu MACsec HAL, CAK'i kurcalama sırasında güvenli bir şekilde depolar dirençli depolama alanıdır. Anahtarın temel hazırlığının yapılması, tedarikçi firma uygulamasına bağlıdır.

MACsec akışı

Şekil 1'de ana birimdeki MACsec akışı gösterilmektedir.

MACsec'i etkinleştir

MACsec CAK anahtarıyla işlevsellik desteği sağlamak için ethernet için MACsec sağlayıcıya özgü bir MACsec HAL ile açıkça etkinleştirilmelidir.

Özelliği etkinleştirmek için wpa_supplicant_macsec öğesini ve tedarikçi firmaya özel seçeneğini etkinleştirin. PRODUCT_PACKAGES öğesine macsec-service ve yapılandırma dosyasına wpa_supplicant_macsec için, init rc komut dosyası için PRODUCT_COPY_FILES.

Örneğin, şu [device-product].mk dosyası:

# MACSEC HAL

# This is a mock MACsec HAL implementation with keys embedded in it. Replace with vendor specific HAL
PRODUCT_PACKAGES += android.hardware.automotive.macsec-service

# wpa_supplicant build with MACsec support

PRODUCT_PACKAGES += wpa_supplicant_macsec

# configuration file for wpa_supplicant with MACsec

PRODUCT_COPY_FILES += \
    $(LOCAL_PATH)/wpa_supplicant_macsec.conf:$(TARGET_COPY_OUT_VENDOR)/etc/wpa_supplicant_macsec.conf \
    $(LOCAL_PATH)/wpa_supplicant_macsec.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/wpa_supplicant_macsec.rc

Örneğin, wpa_supplicant_macsec.conf.

# wpa_supplicant_macsec.conf
eapol_version=3
ap_scan=0
fast_reauth=1
# Example configuration for MACsec with preshared key
# mka_cak is not actual key but index for MACsec HAL to specify which key to use
# and make_cak must be either 16 digits or 32 digits depends the actually CAK key length.
network={
        key_mgmt=NONE
        eapol_flags=0
        macsec_policy=1
        macsec_replay_protect=1
        macsec_replay_window=0
        mka_cak=00000000000000000000000000000001
        mka_ckn=31323334
        mka_priority=128
}

eth0 üzerindeki örnek wpa_supplicant_macsec.conf. Birden fazla ağ olduğunda arayüzlerin MACsec tarafından korunması gerekiyorsa birden fazla hizmet başlatabilirsiniz.

# wpa_supplicant_macsec.rc
service wpa_supplicant_macsec /vendor/bin/hw/wpa_supplicant_macsec \
        -dd -i eth0 -Dmacsec_linux -c /vendor/etc/wpa_supplicant_macsec.conf
        oneshot

Ethernet arayüzü hazır olduktan sonra wpa_supplicant_macsec komutunu başlatın. Öğe sistem ethernet hazır değil, wpa_supplicant hemen bir hata döndürür. Yarış koşullarının önüne geçmek için, /sys//class/net/${eth_interface} gerekebilir.

# init.target.rc
on late-fs
    …
    wait /sys/class/net/eth0
    start wpa_supplicant_macsec
    …

MACsec arayüzü için IP adresini yapılandırma

MACsec arayüzü IP adresinin yapılandırılması, sistem bağlantısı tarafından yapılabilir. zaman çizelgesine sadık kalmanızı sağlar. Aşağıda, bağlantı için örnek bir yer paylaşımlı XML dosyası verilmiştir. Öğe MACsec arayüzünün IP adresinin, satıcıya özgü bir özellik olan zygote başlatılmadan önce hazır olması gerekir arka plan programının macsec0 arayüzünü dinlemesi ve onu yapılandırması gerekir; çünkü sistem bağlantı yöneticisi yalnızca zygote başlatıldıktan sonra başlar.

# Example of com.google.android.connectivity.resources overlay config
<?xml version="1.0" encoding="utf-8"?>
<!-- Resources to configure the connectivity module based on each OEM's preference. -->
<resources xmlns:xliff="urn:oasis:names:tc:xliff:document:1.2">
    <!-- Whether the internal vehicle network should remain active even when no
         apps requested it. -->
    <bool name="config_vehicleInternalNetworkAlwaysRequested">true</bool>
    <string-array translatable="false" name="config_ethernet_interfaces">
        <!-- Not metered, trusted, not vpn, vehicle, not vcn managed, restricted -->
        <item>macsec0;11,14,15,27,28;ip=10.10.10.2/24 gateway=10.10.10.1 dns=4.4.4.4,8.8.8.8</item>
    </string-array>
    <string translatable="false" name="config_ethernet_iface_regex">macsec\\d</string>
</resources>

MACsec HAL'si

MACsec tedarikçisine özgü HAL, CAK'ı korumak için aşağıdaki işlevleri uygulamalıdır tuşuna basın. Anahtarla tüm şifreleme ve şifre çözme işlemleri, anahtarı wpa_supplicant

/**
 * MACSEC pre-shared key plugin for wpa_applicant
 *
 * The goal of this service is to provide function for using the MACSEC CAK
 *
 */
@VintfStability
interface IMacsecPSKPlugin {
    /**
     * For xTS test only, not called in production
     *
     * @param keyId is key id to add
     * @param CAK, CAK key to set
     * @param CKN, CKN to set
     *
     * @return ICV.
     */
    void addTestKey(in byte[] keyId, in byte[] CAK, in byte[] CKN);


    /**
     * Use ICV key do AES CMAC same as ieee802_1x_icv_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for AES CMAC
     * @param data
     *
     * @return ICV.
     */
    byte[] calcICV(in byte[] keyId, in byte[] data);


    /**
     * KDF with CAK key to generate SAK key same as ieee802_1x_sak_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for KDF
     * @param seed is key seed (random number)
     * @param sakLength generated SAK length (16 or 32)
     *
     * @return SAK key.
     */
    byte[] generateSAK(in byte[] keyId, in byte[] data, in int sakLength);


    /**
     * Encrypt using KEK key, this is same as aes_wrap with kek.key in wpa_supplicant
     * which used to wrap a SAK key
     *
     * @param keyId is key id to be used for encryption
     * @param sak is SAK key (16 or 32 bytes) to be wrapped.
     *
     * @return wrapped data using KEK key.
     */
    byte[] wrapSAK(in byte[] keyId, in byte[] sak);


    /**
     * Decrypt using KEK key, this is same as aes_unwrap with kek.key in wpa_supplicant
     * which used to unwrap a SAK key
     *
     * @param keyId is key id to be used for decryption
     * @param sak is wrapped SAK key.
     *
     * @return unwrapped data using KEK key.
     */
    byte[] unwrapSAK(in byte[] keyId, in byte[] sak);
}

Referans uygulaması

Referans uygulaması, hardware/interfaces/macsec/aidl/default, Google’ın yerleşik anahtarlarla uygulanması. Bu uygulama yalnızca Anahtarlar, kurcalamaya karşı korumalı depolama alanı ile desteklenmediğinden HAL'ye işlevsel bir referanstır.

MACsec HAL'yi test etme

MACsec HAL testi aşağıda verilmiştir: hardware/interfaces/automotive/macsec/aidl/vts/functional

Testi çalıştırmak için:

$ atest VtsHalMacsecPskPluginV1Test

Bu komut, HAL'ye bir test anahtarı yerleştirmek ve HAL'ye göre doğrulama yapmak için addTestKey calcIcv, generateSak, wrapSak ve için beklenen değerler unwrapSak.

MACsec'in çalıştığını onaylamak için entegrasyon testlerinde MACsec arayüzü:

# ping -I macsec0 10.10.10.1

Mürekkep balığını sunucuyla test etmek için Ana makinede echo 8 > /sys/devices/virtual/net/cvd-ebr/bridge/group_fwd_mask (şimdiki değeri) MACsec için gerekli LLDP çerçevelerinin geçişine izin vermek üzere gereklidir.