Введение
Open Mobile API (OMAPI) — это стандартный API, используемый для связи с элементом безопасности устройства. До Android 13 доступ к этому интерфейсу имели только приложения и модули фреймворка. Преобразовав его в стабильный интерфейс поставщика, модули HAL также могут взаимодействовать с элементами безопасности через службу OMAPI.
Добавлен новый доступ к OMAPI для модулей HAL без изменения каких-либо API в текущем существующем интерфейсе. Для существующих модулей приложений и фреймворков, использующих этот интерфейс, не требуется никаких изменений.
В рамках программы Android Ready SE мы делаем основные функции безопасности Android, такие как Keymaster, KeyMint, Identity Credentials и Remote Key Provisioning (RKP), доступными в Secure Elements. Для их включения требуются HAL (компоненты поставщика) этих функций для связи с Secure Element через стабильный интерфейс поставщика OMAPI.
Архитектура дизайна

OEM-производители, интегрирующие функции Secure Element и Android Ready SE в свои устройства, должны включить этот интерфейс, так как по умолчанию он отключен. До этого обновления правила доступа к Secure Element определялись именем пакета или его хэшами подписи (ссылка на приложение устройства) и AID (ссылка на приложение SE). Модули HAL не имели уникальных идентификаторов, таких как имена пакетов или сертификаты подписи. Теперь в Android 13 служба OMAPI Vendor Stable Service позволяет модулям HAL получать доступ к Secure Element. Поставщики SE могут определить уникальный идентификатор UUID из 16 байт. Чтобы применить это правило доступа к модулям HAL, поставщики SE должны сопоставить этот 16-байтовый уникальный идентификатор UUID с UID модуля HAL в своей конфигурации сопоставления UUID поставщика XML.
Служба OMAPI Vendor Stable Service при необходимости дополняет UUID символами FF, чтобы сделать его 20-байтовым, согласно разделу 6.1, страница DeviceAppID-REF-DO: 66, и определяет правила доступа в защищенных элементах, используя этот 20-байтовый UUID в качестве ссылки на приложение устройства.
Имя файла сопоставления UUID поставщика формируется с помощью предопределенного префикса hal_uuid_map_
и добавляется значение системного свойства ro.boot.product.hardware.sku
hal_uuid_map_value_of_ro.boot.product.hardware.sku.xml
Служба OMAPI Vendor Stable ищет этот файл в папках /odm/etc/
, /vendor/etc/
и /etc/
. Подробное описание файла конфигурации сопоставления UUID поставщика доступно здесь .
Выполнение
Для включения функции OMAPI Vendor Stable Service в целевой сборке необходимы следующие изменения.
SecureElement
SecureElement Включите флаг службы secure_element_vintf_enabled
с помощью наложения ресурсов в папках, специфичных для устройства.
<bool name="secure_element_vintf_enabled">true</bool>
Определите UID и сопоставление UUID XML для вашего сервиса.
<ref_do> <uuid_ref_do> <uids> <uid>0</uid> </uids> <uuid>9f36407ead0639fc966f14dde7970f68</uuid> </uuid_ref_do> <uuid_ref_do> <uids> <uid>1096</uid> <uid>1097</uid> </uids> <uuid>a9b7ba70783b317e9998dc4dd82eb3c5</uuid> </uuid_ref_do> </ref_do>
Предоставьте защищенные элементы AR для службы HAL, используя UUID в качестве ссылок на приложения устройств. Добавьте запись сопоставления в конфигурацию сопоставления, где вы можете сопоставить этот UUID с UID(ами) модуля HAL. С помощью этого сопоставления поставщики разрешают модулям HAL получать доступ к защищенному элементу. Тесты OMAPI VTS можно использовать в качестве эталонных реализаций для включения стабильной службы поставщика OMAPI в модулях HAL.
Обновление политики модуля HAL: добавление правила политики для модуля HAL, чтобы разрешить его домену доступ к стабильной службе поставщика OMAPI.
allow hal_module_label secure_element_service:service_manager find
Подключитесь к стабильной службе поставщика OMAPI: из модулей HAL используйте метку службы поставщика OMAPI android.se.omapi.ISecureElementService/defaultandroid.se.omapi.ISecureElementService/default
для подключения к службе.
Проверка
Подтвердите, что стабильная служба поставщика OMAPI успешно реализована, выполнив тесты OMAPI VTS .
run vts -m VtsHalOmapiSeServiceV1_TargetTest run vts -m VtsHalOmapiSeAccessControlTestCases