หน้านี้อธิบายวิธีเปิดใช้งาน MACsec สำหรับคุณสมบัติอีเธอร์เน็ต
ใช้ MACsec เพื่อตรวจสอบสิทธิ์และเข้ารหัสการสื่อสารอีเธอร์เน็ตที่ใช้โดยระบบสาระบันเทิงในรถยนต์ (IVI) สำหรับหน่วย ECU ต่างๆ ปกป้องข้อมูลจากการปลอมแปลง เล่นซ้ำ หรือเปิดเผยข้อมูล ทำการซื้อนี้เพื่อเปิดใช้งาน MACsec IEEE 802.11AE สำหรับเครือข่ายอีเธอร์เน็ต
ภาพรวม
หากต้องการเปิดใช้งาน MACsec จะใช้ wpa_supplicant
เป็น daemon สำหรับจัดการการจับมือ MACsec Key Agreement (MKA) MACsec HAL ถูกกำหนดไว้สำหรับจัดเก็บคีย์ที่แชร์ล่วงหน้าของ MACsec เรียกว่าคีย์การเชื่อมโยงการเชื่อมต่อ (CAK) อย่างปลอดภัย MACsec HAL รองรับเฉพาะ CAK เท่านั้น MACsec HAL เฉพาะผู้จำหน่ายนี้จะจัดเก็บ CAK ไว้อย่างปลอดภัยในที่เก็บข้อมูลป้องกันการงัดแงะ การจัดเตรียมคีย์ขึ้นอยู่กับการใช้งานของผู้จำหน่าย
การไหลของ MACsec
รูปที่ 1 แสดงการไหลของ MACsec บนเฮดยูนิต
เปิดใช้งาน MACsec
เพื่อให้การสนับสนุนฟังก์ชันการทำงานด้วยคีย์ MACsec CAK นั้น MACsec สำหรับอีเธอร์เน็ตจะต้องเปิดใช้งานอย่างชัดเจนด้วย MACsec HAL เฉพาะผู้จำหน่าย
หากต้องการเปิดใช้งานคุณสมบัตินี้ ให้เปิดใช้งาน wpa_supplicant_macsec
และ macsec-service
เฉพาะผู้ขายเป็น PRODUCT_PACKAGES
และไฟล์การกำหนดค่าสำหรับ wpa_supplicant_macsec
init rc
เป็น PRODUCT_COPY_FILES
ตัวอย่างเช่น ไฟล์ [device-product].mk
นี้:
# MACSEC HAL # This is a mock MACsec HAL implementation with keys embedded in it. Replace with vendor specific HAL PRODUCT_PACKAGES += android.hardware.automotive.macsec-service # wpa_supplicant build with MACsec support PRODUCT_PACKAGES += wpa_supplicant_macsec # configuration file for wpa_supplicant with MACsec PRODUCT_COPY_FILES += \ $(LOCAL_PATH)/wpa_supplicant_macsec.conf:$(TARGET_COPY_OUT_VENDOR)/etc/wpa_supplicant_macsec.conf \ $(LOCAL_PATH)/wpa_supplicant_macsec.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/wpa_supplicant_macsec.rc
ตัวอย่างเช่น wpa_supplicant_macsec.conf
# wpa_supplicant_macsec.conf eapol_version=3 ap_scan=0 fast_reauth=1 # Example configuration for MACsec with preshared key # mka_cak is not actual key but index for MACsec HAL to specify which key to use # and make_cak must be either 16 digits or 32 digits depends the actually CAK key length. network={ key_mgmt=NONE eapol_flags=0 macsec_policy=1 macsec_replay_protect=1 macsec_replay_window=0 mka_cak=00000000000000000000000000000001 mka_ckn=31323334 mka_priority=128 }
ตัวอย่าง wpa_supplicant_macsec.conf
บน eth0
เมื่ออินเทอร์เฟซเครือข่ายหลายรายการจำเป็นต้องได้รับการปกป้องโดย MACsec คุณสามารถเริ่มบริการต่างๆ ได้
# wpa_supplicant_macsec.rc service wpa_supplicant_macsec /vendor/bin/hw/wpa_supplicant_macsec \ -dd -i eth0 -Dmacsec_linux -c /vendor/etc/wpa_supplicant_macsec.conf oneshot
เริ่ม wpa_supplicant_macsec
หลังจากอินเทอร์เฟซอีเทอร์เน็ตพร้อม หากอีเทอร์เน็ตของระบบไม่พร้อม wpa_supplicant
จะส่งคืนข้อผิดพลาดทันที เพื่อหลีกเลี่ยงสภาวะการแข่งขัน อาจต้องรอ (การหมดเวลาเริ่มต้นคือห้า (5) วินาที) สำหรับ /sys//class/net/${eth_interface}
# init.target.rc on late-fs … wait /sys/class/net/eth0 start wpa_supplicant_macsec …
กำหนดค่าที่อยู่ IP สำหรับอินเทอร์เฟซ MACsec
การกำหนดค่าที่อยู่ IP ของอินเทอร์เฟซ MACsec สามารถทำได้โดยตัวจัดการการเชื่อมต่อระบบเมื่อไซโกตเริ่มทำงาน นี่คือตัวอย่างไฟล์ XML แบบซ้อนทับสำหรับการเชื่อมต่อ หากจำเป็นต้องพร้อมที่อยู่ IP สำหรับอินเทอร์เฟซ MACsec ก่อนที่ไซโกเทตจะเริ่มทำงาน daemon เฉพาะผู้จำหน่ายจะต้องฟังอินเทอร์เฟซ macsec0 และกำหนดค่าแทน เนื่องจากตัวจัดการการเชื่อมต่อระบบจะเริ่มทำงานหลังจากไซโกเทตเริ่มทำงานเท่านั้น
# Example of com.google.android.connectivity.resources overlay config <?xml version="1.0" encoding="utf-8"?> <!-- Resources to configure the connectivity module based on each OEM's preference. --> <resources xmlns:xliff="urn:oasis:names:tc:xliff:document:1.2"> <!-- Whether the internal vehicle network should remain active even when no apps requested it. --> <bool name="config_vehicleInternalNetworkAlwaysRequested">true</bool> <string-array translatable="false" name="config_ethernet_interfaces"> <!-- Not metered, trusted, not vpn, vehicle, not vcn managed, restricted --> <item>macsec0;11,14,15,27,28;ip=10.10.10.2/24 gateway=10.10.10.1 dns=4.4.4.4,8.8.8.8</item> </string-array> <string translatable="false" name="config_ethernet_iface_regex">macsec\\d</string> </resources>
แมคเซค ฮาล
HAL เฉพาะผู้จัดจำหน่ายของ MACsec ต้องใช้ฟังก์ชันต่อไปนี้เพื่อปกป้องคีย์ CAK การเข้ารหัสและถอดรหัสทั้งหมดด้วยคีย์จะดำเนินการโดยตรงโดยไม่ต้องเปิดเผยคีย์ต่อ wpa_supplicant
/** * MACSEC pre-shared key plugin for wpa_applicant * * The goal of this service is to provide function for using the MACSEC CAK * */ @VintfStability interface IMacsecPSKPlugin { /** * For xTS test only, not called in production * * @param keyId is key id to add * @param CAK, CAK key to set * @param CKN, CKN to set * * @return ICV. */ void addTestKey(in byte[] keyId, in byte[] CAK, in byte[] CKN);
/** * Use ICV key do AES CMAC same as ieee802_1x_icv_aes_cmac in wpa_supplicant * * @param keyId is key id to be used for AES CMAC * @param data * * @return ICV. */ byte[] calcICV(in byte[] keyId, in byte[] data);
/** * KDF with CAK key to generate SAK key same as ieee802_1x_sak_aes_cmac in wpa_supplicant * * @param keyId is key id to be used for KDF * @param seed is key seed (random number) * @param sakLength generated SAK length (16 or 32) * * @return SAK key. */ byte[] generateSAK(in byte[] keyId, in byte[] data, in int sakLength);
/** * Encrypt using KEK key, this is same as aes_wrap with kek.key in wpa_supplicant * which used to wrap a SAK key * * @param keyId is key id to be used for encryption * @param sak is SAK key (16 or 32 bytes) to be wrapped. * * @return wrapped data using KEK key. */ byte[] wrapSAK(in byte[] keyId, in byte[] sak);
/** * Decrypt using KEK key, this is same as aes_unwrap with kek.key in wpa_supplicant * which used to unwrap a SAK key * * @param keyId is key id to be used for decryption * @param sak is wrapped SAK key. * * @return unwrapped data using KEK key. */ byte[] unwrapSAK(in byte[] keyId, in byte[] sak); }
การดำเนินการอ้างอิง
การใช้งานอ้างอิงมีให้ใน hardware/interfaces/macsec/aidl/default
ซึ่งจัดเตรียมการใช้งานซอฟต์แวร์ของ HAL โดยมีคีย์ฝังอยู่ภายใน การใช้งานนี้ให้เฉพาะการอ้างอิงการทำงานกับ HAL เท่านั้น เนื่องจากคีย์ไม่ได้รับการสนับสนุนจากที่เก็บข้อมูลป้องกันการงัดแงะ
ทดสอบ MACsec HAL
การทดสอบ MACsec HAL มีให้ใน hardware/interfaces/automotive/macsec/aidl/vts/functional
หากต้องการรันการทดสอบ:
$ atest VtsHalMacsecPskPluginV1Test
สิ่งนี้เรียก addTestKey
-- เพื่อแทรกคีย์ทดสอบลงใน HAL และเพื่อตรวจสอบกับค่าที่คาดหวังสำหรับ calcIcv
, generateSak
, wrapSak
และ unwrapSak
เพื่อยืนยันว่า MACsec ใช้งานได้ สำหรับการทดสอบการรวม ให้ ping ระหว่างเครื่องสองเครื่องในอินเทอร์เฟซ MACsec:
# ping -I macsec0 10.10.10.1
หากต้องการทดสอบ Cuttlefish กับโฮสต์ จำเป็นต้อง echo 8 > /sys/devices/virtual/net/cvd-ebr/bridge/group_fwd_mask
ในโฮสต์เพื่ออนุญาตให้ส่งผ่านเฟรม LLDP ที่จำเป็นสำหรับ MACsec