تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

تمكين MACsec لميزات إيثرنت

تشرح هذه الصفحة كيفية تمكين MACsec لميزات إيثرنت.

استخدم MACsec لمصادقة وتشفير اتصال إيثرنت الذي يستخدمه نظام المعلومات والترفيه داخل السيارة (IVI) لوحدات وحدة التحكم الإلكترونية المختلفة، مما يحمي البيانات من العبث أو إعادة التشغيل أو الكشف عن المعلومات. قم بذلك وشراء تمكين MACsec IEEE 802.11AE لشبكة إيثرنت.

ملخص

لتمكين MACsec، يتم استخدام wpa_supplicant كبرنامج خفي للتعامل مع تأكيد اتصال اتفاقية مفتاح MACsec (MKA). يتم تعريف MACsec HAL لتخزين مفتاح MACsec المشترك مسبقًا، والذي يسمى مفتاح اقتران الاتصال (CAK) بشكل آمن. يدعم MACsec HAL فقط CAK. يقوم MACsec HAL الخاص بالبائع بتخزين CAK بشكل آمن في وحدة تخزين مقاومة للعبث. يعتمد توفير المفتاح على تنفيذ البائع.

تدفق MACsec

يوضح الشكل 1 تدفق MACsec على الوحدة الرئيسية.

تمكين MACsec

لتوفير الدعم للوظائف باستخدام مفتاح MACsec CAK، يجب تمكين MACsec للإيثرنت بشكل صريح باستخدام MACsec HAL الخاص بالمورد.

لتمكين الميزة، قم بتمكين wpa_supplicant_macsec macsec-service الخاصة بالمورد إلى PRODUCT_PACKAGES وملف التكوين لـ wpa_supplicant_macsec ، وبرنامج init rc النصي إلى PRODUCT_COPY_FILES .

على سبيل المثال، هذا الملف [device-product].mk :

# MACSEC HAL

# This is a mock MACsec HAL implementation with keys embedded in it. Replace with vendor specific HAL
PRODUCT_PACKAGES += android.hardware.automotive.macsec-service

# wpa_supplicant build with MACsec support

PRODUCT_PACKAGES += wpa_supplicant_macsec

# configuration file for wpa_supplicant with MACsec

PRODUCT_COPY_FILES += \
    $(LOCAL_PATH)/wpa_supplicant_macsec.conf:$(TARGET_COPY_OUT_VENDOR)/etc/wpa_supplicant_macsec.conf \
    $(LOCAL_PATH)/wpa_supplicant_macsec.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/wpa_supplicant_macsec.rc

على سبيل المثال، wpa_supplicant_macsec.conf .

# wpa_supplicant_macsec.conf
eapol_version=3
ap_scan=0
fast_reauth=1
# Example configuration for MACsec with preshared key
# mka_cak is not actual key but index for MACsec HAL to specify which key to use
# and make_cak must be either 16 digits or 32 digits depends the actually CAK key length.
network={
        key_mgmt=NONE
        eapol_flags=0
        macsec_policy=1
        macsec_replay_protect=1
        macsec_replay_window=0
        mka_cak=00000000000000000000000000000001
        mka_ckn=31323334
        mka_priority=128
}

نموذج wpa_supplicant_macsec.conf على eth0 . عندما تحتاج واجهات شبكة متعددة إلى الحماية بواسطة MACsec، يمكنك بدء خدمات متعددة.

# wpa_supplicant_macsec.rc
service wpa_supplicant_macsec /vendor/bin/hw/wpa_supplicant_macsec \
        -dd -i eth0 -Dmacsec_linux -c /vendor/etc/wpa_supplicant_macsec.conf
        oneshot

ابدأ تشغيل wpa_supplicant_macsec بعد أن تصبح واجهة Ethernet جاهزة. إذا لم تكن شبكة إيثرنت النظام جاهزة، فسيقوم wpa_supplicant بإرجاع خطأ على الفور. لتجنب حالات السباق، قد تكون هناك حاجة إلى الانتظار (المهلة الافتراضية هي خمس (5) ثوانٍ) لـ /sys//class/net/${eth_interface} .

# init.target.rc
on late-fs
    …
    wait /sys/class/net/eth0
    start wpa_supplicant_macsec
    …

قم بتكوين عنوان IP لواجهة MACsec

يمكن أن يتم تكوين عنوان IP لواجهة MACsec بواسطة مدير اتصال النظام بمجرد بدء تشغيل zygote. فيما يلي مثال لملف XML المتراكب للاتصال. إذا كان عنوان IP لواجهة MACsec يحتاج إلى أن يكون جاهزًا قبل بدء تشغيل zygote، فسيحتاج البرنامج الخفي الخاص بالمورد إلى الاستماع إلى واجهة macsec0 وتكوينه بدلاً من ذلك نظرًا لأن مدير اتصال النظام يبدأ فقط بعد بدء تشغيل zygote.

# Example of com.google.android.connectivity.resources overlay config
<?xml version="1.0" encoding="utf-8"?>
<!-- Resources to configure the connectivity module based on each OEM's preference. -->
<resources xmlns:xliff="urn:oasis:names:tc:xliff:document:1.2">
    <!-- Whether the internal vehicle network should remain active even when no
         apps requested it. -->
    <bool name="config_vehicleInternalNetworkAlwaysRequested">true</bool>
    <string-array translatable="false" name="config_ethernet_interfaces">
        <!-- Not metered, trusted, not vpn, vehicle, not vcn managed, restricted -->
        <item>macsec0;11,14,15,27,28;ip=10.10.10.2/24 gateway=10.10.10.1 dns=4.4.4.4,8.8.8.8</item>
    </string-array>
    <string translatable="false" name="config_ethernet_iface_regex">macsec\\d</string>
</resources>

ماكسيك هال

يجب أن يقوم HAL الخاص ببائع MACsec بتنفيذ الوظائف التالية لحماية مفتاح CAK. تتم جميع عمليات التشفير وفك التشفير باستخدام المفتاح مباشرةً دون تعريض المفتاح لـ wpa_supplicant .

/**
 * MACSEC pre-shared key plugin for wpa_applicant
 *
 * The goal of this service is to provide function for using the MACSEC CAK
 *
 */
@VintfStability
interface IMacsecPSKPlugin {
    /**
     * For xTS test only, not called in production
     *
     * @param keyId is key id to add
     * @param CAK, CAK key to set
     * @param CKN, CKN to set
     *
     * @return ICV.
     */
    void addTestKey(in byte[] keyId, in byte[] CAK, in byte[] CKN);


    /**
     * Use ICV key do AES CMAC same as ieee802_1x_icv_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for AES CMAC
     * @param data
     *
     * @return ICV.
     */
    byte[] calcICV(in byte[] keyId, in byte[] data);


    /**
     * KDF with CAK key to generate SAK key same as ieee802_1x_sak_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for KDF
     * @param seed is key seed (random number)
     * @param sakLength generated SAK length (16 or 32)
     *
     * @return SAK key.
     */
    byte[] generateSAK(in byte[] keyId, in byte[] data, in int sakLength);


    /**
     * Encrypt using KEK key, this is same as aes_wrap with kek.key in wpa_supplicant
     * which used to wrap a SAK key
     *
     * @param keyId is key id to be used for encryption
     * @param sak is SAK key (16 or 32 bytes) to be wrapped.
     *
     * @return wrapped data using KEK key.
     */
    byte[] wrapSAK(in byte[] keyId, in byte[] sak);


    /**
     * Decrypt using KEK key, this is same as aes_unwrap with kek.key in wpa_supplicant
     * which used to unwrap a SAK key
     *
     * @param keyId is key id to be used for decryption
     * @param sak is wrapped SAK key.
     *
     * @return unwrapped data using KEK key.
     */
    byte[] unwrapSAK(in byte[] keyId, in byte[] sak);
}

التنفيذ المرجعي

يتم توفير التنفيذ المرجعي في hardware/interfaces/macsec/aidl/default ، والذي يوفر تنفيذًا برمجيًا لـ HAL مع وجود مفاتيح مضمنة بداخله. يوفر هذا التطبيق مرجعًا وظيفيًا فقط لـ HAL نظرًا لأن المفاتيح غير مدعومة بوحدة تخزين مقاومة للتلاعب.

اختبار MACsec HAL

يتم توفير اختبار MACsec HAL في hardware/interfaces/automotive/macsec/aidl/vts/functional .

لإجراء الاختبار:

$ atest VtsHalMacsecPskPluginV1Test

يستدعي هذا addTestKey - لإدراج مفتاح اختبار في HAL وللتحقق من القيم المتوقعة لـ calcIcv ، و generateSak ، و wrapSak ، و unwrapSak .

للتأكد من عمل MACsec، لإجراء اختبارات التكامل، قم بإجراء اختبار الاتصال بين جهازين في واجهة MACsec:

# ping -I macsec0 10.10.10.1

لاختبار Cuttlefish مع المضيف، يلزم وجود echo 8 > /sys/devices/virtual/net/cvd-ebr/bridge/group_fwd_mask في المضيف للسماح بالمرور عبر إطارات LLDP المطلوبة لـ MACsec.