Google berkomitmen untuk mendorong terwujudnya keadilan ras bagi komunitas Kulit Hitam. Lihat caranya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Aktifkan MACsec untuk fitur ethernet

Halaman ini menjelaskan cara mengaktifkan MACsec untuk fitur ethernet.

Gunakan MACsec untuk mengautentikasi dan mengenkripsi komunikasi ethernet yang digunakan oleh infotainment dalam kendaraan (IVI) untuk unit ECU yang berbeda, melindungi data dari gangguan, pemutaran ulang, atau pengungkapan informasi. Lakukan pembelian ini dengan mengaktifkan MACsec IEEE 802.11AE untuk jaringan ethernet.

Ringkasan

Untuk mengaktifkan MACsec, wpa_supplicant digunakan sebagai daemon untuk menangani jabat tangan Perjanjian Kunci MACsec (MKA). MACsec HAL didefinisikan untuk menyimpan kunci MACsec yang dibagikan sebelumnya, yang disebut kunci asosiasi konektivitas (CAK) dengan aman. MACsec HAL hanya mendukung CAK. MACsec HAL khusus vendor ini menyimpan CAK dengan aman di penyimpanan tahan kerusakan. Penyediaan kunci bergantung pada implementasi vendor.

Aliran MACsec

Gambar 1 mengilustrasikan aliran MACsec pada head unit.

Aktifkan MACsec

Untuk memberikan dukungan fungsionalitas dengan kunci CAK MACsec, MACsec untuk ethernet harus diaktifkan secara eksplisit dengan MACsec HAL khusus vendor.

Untuk mengaktifkan fitur ini, aktifkan wpa_supplicant_macsec dan macsec-service khusus vendor ke PRODUCT_PACKAGES dan file konfigurasi untuk wpa_supplicant_macsec , skrip init rc ke PRODUCT_COPY_FILES .

Misalnya, file [device-product].mk ini:

# MACSEC HAL

# This is a mock MACsec HAL implementation with keys embedded in it. Replace with vendor specific HAL
PRODUCT_PACKAGES += android.hardware.automotive.macsec-service

# wpa_supplicant build with MACsec support

PRODUCT_PACKAGES += wpa_supplicant_macsec

# configuration file for wpa_supplicant with MACsec

PRODUCT_COPY_FILES += \
    $(LOCAL_PATH)/wpa_supplicant_macsec.conf:$(TARGET_COPY_OUT_VENDOR)/etc/wpa_supplicant_macsec.conf \
    $(LOCAL_PATH)/wpa_supplicant_macsec.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/wpa_supplicant_macsec.rc

Misalnya, wpa_supplicant_macsec.conf .

# wpa_supplicant_macsec.conf
eapol_version=3
ap_scan=0
fast_reauth=1
# Example configuration for MACsec with preshared key
# mka_cak is not actual key but index for MACsec HAL to specify which key to use
# and make_cak must be either 16 digits or 32 digits depends the actually CAK key length.
network={
        key_mgmt=NONE
        eapol_flags=0
        macsec_policy=1
        macsec_replay_protect=1
        macsec_replay_window=0
        mka_cak=00000000000000000000000000000001
        mka_ckn=31323334
        mka_priority=128
}

Contoh wpa_supplicant_macsec.conf di eth0 . Ketika beberapa antarmuka jaringan perlu dilindungi oleh MACsec, Anda dapat memulai beberapa layanan.

# wpa_supplicant_macsec.rc
service wpa_supplicant_macsec /vendor/bin/hw/wpa_supplicant_macsec \
        -dd -i eth0 -Dmacsec_linux -c /vendor/etc/wpa_supplicant_macsec.conf
        oneshot

Mulai wpa_supplicant_macsec setelah antarmuka ethernet siap. Jika ethernet sistem belum siap, wpa_supplicant segera mengembalikan kesalahan. Untuk menghindari kondisi balapan, menunggu (batas waktu default adalah lima (5) detik) untuk /sys//class/net/${eth_interface} mungkin diperlukan.

# init.target.rc
on late-fs
    …
    wait /sys/class/net/eth0
    start wpa_supplicant_macsec
    …

Konfigurasikan alamat IP untuk antarmuka MACsec

Konfigurasi alamat IP antarmuka MACsec dapat dilakukan oleh manajer konektivitas sistem setelah zigot dimulai. Berikut adalah contoh file XML overlay untuk konektivitas. Jika alamat IP untuk antarmuka MACsec harus siap sebelum zigot dimulai, daemon khusus vendor perlu mendengarkan antarmuka macsec0 dan mengkonfigurasinya karena manajer konektivitas sistem hanya dimulai setelah zigot dimulai.

# Example of com.google.android.connectivity.resources overlay config
<?xml version="1.0" encoding="utf-8"?>
<!-- Resources to configure the connectivity module based on each OEM's preference. -->
<resources xmlns:xliff="urn:oasis:names:tc:xliff:document:1.2">
    <!-- Whether the internal vehicle network should remain active even when no
         apps requested it. -->
    <bool name="config_vehicleInternalNetworkAlwaysRequested">true</bool>
    <string-array translatable="false" name="config_ethernet_interfaces">
        <!-- Not metered, trusted, not vpn, vehicle, not vcn managed, restricted -->
        <item>macsec0;11,14,15,27,28;ip=10.10.10.2/24 gateway=10.10.10.1 dns=4.4.4.4,8.8.8.8</item>
    </string-array>
    <string translatable="false" name="config_ethernet_iface_regex">macsec\\d</string>
</resources>

MACsec HAL

HAL khusus vendor MACsec harus menerapkan fungsi berikut untuk melindungi kunci CAK. Semua enkripsi dan dekripsi dengan kunci dilakukan secara langsung tanpa memaparkan kunci ke wpa_supplicant .

/**
 * MACSEC pre-shared key plugin for wpa_applicant
 *
 * The goal of this service is to provide function for using the MACSEC CAK
 *
 */
@VintfStability
interface IMacsecPSKPlugin {
    /**
     * For xTS test only, not called in production
     *
     * @param keyId is key id to add
     * @param CAK, CAK key to set
     * @param CKN, CKN to set
     *
     * @return ICV.
     */
    void addTestKey(in byte[] keyId, in byte[] CAK, in byte[] CKN);


    /**
     * Use ICV key do AES CMAC same as ieee802_1x_icv_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for AES CMAC
     * @param data
     *
     * @return ICV.
     */
    byte[] calcICV(in byte[] keyId, in byte[] data);


    /**
     * KDF with CAK key to generate SAK key same as ieee802_1x_sak_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for KDF
     * @param seed is key seed (random number)
     * @param sakLength generated SAK length (16 or 32)
     *
     * @return SAK key.
     */
    byte[] generateSAK(in byte[] keyId, in byte[] data, in int sakLength);


    /**
     * Encrypt using KEK key, this is same as aes_wrap with kek.key in wpa_supplicant
     * which used to wrap a SAK key
     *
     * @param keyId is key id to be used for encryption
     * @param sak is SAK key (16 or 32 bytes) to be wrapped.
     *
     * @return wrapped data using KEK key.
     */
    byte[] wrapSAK(in byte[] keyId, in byte[] sak);


    /**
     * Decrypt using KEK key, this is same as aes_unwrap with kek.key in wpa_supplicant
     * which used to unwrap a SAK key
     *
     * @param keyId is key id to be used for decryption
     * @param sak is wrapped SAK key.
     *
     * @return unwrapped data using KEK key.
     */
    byte[] unwrapSAK(in byte[] keyId, in byte[] sak);
}

Implementasi referensi

Implementasi referensi disediakan di hardware/interfaces/macsec/aidl/default , yang menyediakan implementasi perangkat lunak HAL dengan kunci yang tertanam di dalamnya. Implementasi ini hanya menyediakan referensi fungsional ke HAL karena kuncinya tidak didukung oleh penyimpanan yang tahan terhadap kerusakan.

Uji MACsec HAL

Tes MACsec HAL disediakan di hardware/interfaces/automotive/macsec/aidl/vts/functional .

Untuk menjalankan tes:

$ atest VtsHalMacsecPskPluginV1Test

Ini memanggil addTestKey -- untuk memasukkan kunci tes ke dalam HAL dan memverifikasi nilai yang diharapkan untuk calcIcv , generateSak , wrapSak dan unwrapSak .

Untuk memastikan MACsec berfungsi, untuk pengujian integrasi, lakukan ping antara dua mesin di antarmuka MACsec:

# ping -I macsec0 10.10.10.1

Untuk menguji Sotong dengan host, echo 8 > /sys/devices/virtual/net/cvd-ebr/bridge/group_fwd_mask di host diperlukan untuk memungkinkan melewati frame LLDP yang diperlukan untuk MACsec.