Начиная с 27 марта 2025 г. мы рекомендуем использовать android-latest-release вместо aosp-main для создания и участия в AOSP. Дополнительные сведения см. в разделе Изменения в AOSP .

Эта страница переведена с помощью Cloud Translation API.

Стабильный интерфейс поставщика OMAPI

Введение

Open Mobile API (OMAPI) — это стандартный API, используемый для связи с элементом безопасности устройства. До Android 13 доступ к этому интерфейсу имели только приложения и модули фреймворка. Преобразовав его в стабильный интерфейс поставщика, модули HAL также могут взаимодействовать с элементами безопасности через службу OMAPI.

Добавлен новый доступ к OMAPI для модулей HAL без изменения каких-либо API в текущем существующем интерфейсе. Для существующих модулей приложений и фреймворков, использующих этот интерфейс, не требуется никаких изменений.

В рамках программы Android Ready SE мы делаем основные функции безопасности Android, такие как Keymaster, KeyMint, Identity Credentials и Remote Key Provisioning (RKP), доступными в Secure Elements. Для их включения требуются HAL (компоненты поставщика) этих функций для связи с Secure Element через стабильный интерфейс поставщика OMAPI.

Архитектура дизайна

Дизайн Архитектура — **Рисунок 1** : Архитектура проекта

OEM-производители, интегрирующие функции Secure Element и Android Ready SE в свои устройства, должны включить этот интерфейс, так как по умолчанию он отключен. До этого обновления правила доступа к Secure Element определялись именем пакета или его хэшами подписи (ссылка на приложение устройства) и AID (ссылка на приложение SE). Модули HAL не имели уникальных идентификаторов, таких как имена пакетов или сертификаты подписи. Теперь в Android 13 служба OMAPI Vendor Stable Service позволяет модулям HAL получать доступ к Secure Element. Поставщики SE могут определить уникальный идентификатор UUID из 16 байт. Чтобы применить это правило доступа к модулям HAL, поставщики SE должны сопоставить этот 16-байтовый уникальный идентификатор UUID с UID модуля HAL в своей конфигурации сопоставления UUID поставщика XML.

Служба OMAPI Vendor Stable Service при необходимости дополняет UUID символами FF, чтобы сделать его 20-байтовым, согласно разделу 6.1, страница DeviceAppID-REF-DO: 66, и определяет правила доступа в защищенных элементах, используя этот 20-байтовый UUID в качестве ссылки на приложение устройства.

Имя файла сопоставления UUID поставщика формируется с помощью предопределенного префикса hal_uuid_map_ и добавляется значение системного свойства ro.boot.product.hardware.sku

    hal_uuid_map_value_of_ro.boot.product.hardware.sku.xml

Служба OMAPI Vendor Stable ищет этот файл в папках /odm/etc/ , /vendor/etc/ и /etc/ . Подробное описание файла конфигурации сопоставления UUID поставщика доступно здесь .

Выполнение

Для включения функции OMAPI Vendor Stable Service в целевой сборке необходимы следующие изменения.

SecureElement

Включите флаг службы secure_element_vintf_enabled с помощью наложения ресурсов в папках, специфичных для устройства.

    <bool name="secure_element_vintf_enabled">true</bool>

Определите UID и сопоставление UUID XML для вашего сервиса.

<ref_do>
       <uuid_ref_do>
        <uids>
            <uid>0</uid>
        </uids>
        <uuid>9f36407ead0639fc966f14dde7970f68</uuid>
    </uuid_ref_do>

        <uuid_ref_do>
        <uids>
            <uid>1096</uid>
            <uid>1097</uid>
        </uids>
        <uuid>a9b7ba70783b317e9998dc4dd82eb3c5</uuid>
    </uuid_ref_do>
</ref_do>

Предоставьте защищенные элементы AR для службы HAL, используя UUID в качестве ссылок на приложения устройств. Добавьте запись сопоставления в конфигурацию сопоставления, где вы можете сопоставить этот UUID с UID(ами) модуля HAL. С помощью этого сопоставления поставщики разрешают модулям HAL получать доступ к защищенному элементу. Тесты OMAPI VTS можно использовать в качестве эталонных реализаций для включения стабильной службы поставщика OMAPI в модулях HAL.

Обновление политики модуля HAL: добавление правила политики для модуля HAL, чтобы разрешить его домену доступ к стабильной службе поставщика OMAPI.

    allow hal_module_label secure_element_service:service_manager find

Подключитесь к стабильной службе поставщика OMAPI: из модулей HAL используйте метку службы поставщика OMAPI android.se.omapi.ISecureElementService/defaultandroid.se.omapi.ISecureElementService/default для подключения к службе.

Проверка

Подтвердите, что стабильная служба поставщика OMAPI успешно реализована, выполнив тесты OMAPI VTS .

    run vts -m VtsHalOmapiSeServiceV1_TargetTest
    run vts -m VtsHalOmapiSeAccessControlTestCases

Стабильный интерфейс поставщика OMAPI Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.