परिचय
मोबाइल एपीआई खोलें (OMAPI) एक मानक API है, जिसका उपयोग डिवाइस के Secure से संपर्क करने के लिए किया जाता है एलिमेंट. Android 13 से पहले, सिर्फ़ ऐप्लिकेशन और फ़्रेमवर्क वाले मॉड्यूल में इस इंटरफ़ेस पर पहुंच सकते हैं. इसे वेंडर स्टेबल इंटरफ़ेस में बदलकर, एचएएल मॉड्यूल भी सुरक्षित एलिमेंट के साथ संपर्क कर सकते हैं को अनुमति दें.
बिना एचएएल मॉड्यूल के लिए, OMAPI में नई ऐक्सेस एंट्री जोड़ी गई मौजूदा इंटरफ़ेस में किसी एपीआई में बदलाव करके. कोई नहीं मौजूदा ऐप्लिकेशन और फ़्रेमवर्क मॉड्यूल के लिए ज़रूरी बदलाव इस इंटरफ़ेस का उपयोग करके देखा जा सकता है.
Android Ready SE प्रोग्राम के हिस्से के तौर पर हम Android की मुख्य सुरक्षा सुविधाएं बना रहे हैं. जैसे, KeyMaster, Keymint, सुरक्षा से जुड़े क्रेडेंशियल और रिमोट कुंजी के प्रावधान की सुविधा सुरक्षित मोड पर उपलब्ध है एलिमेंट. इन्हें चालू करने के लिए, इनके एचएएल (वेंडर कॉम्पोनेंट) की ज़रूरत होती है OMAPI वेंडर के ज़रिए सुरक्षा एलिमेंट के साथ संपर्क करने की सुविधाएं स्थिर इंटरफ़ेस.
डिज़ाइन आर्किटेक्चर
अपने प्रॉडक्ट में, सिक्योर एलिमेंट और Android के लिए तैयार एसई की सुविधाओं को इंटिग्रेट करने वाले OEM डिवाइसों के लिए इस इंटरफ़ेस को चालू करना ज़रूरी है, क्योंकि यह डिफ़ॉल्ट रूप से बंद रहता है. इस अपडेट से पहले, पैकेज के हिसाब से सुरक्षा के लिए, ऐक्सेस के नियम तय करना नाम या उसके सिग्नेचर हैश (डिवाइस ऐप्लिकेशन रेफ़रंस) और AID (SE आवेदन का संदर्भ). एचएएल मॉड्यूल में यूनीक आइडेंटिफ़ायर नहीं हैं जैसे पैकेज नाम या हस्ताक्षर प्रमाणपत्र. अब Android 13 में, OMAPI वेंडर स्टेबल सर्विस की मदद से एचएएल मॉड्यूल, सुरक्षा एलिमेंट को ऐक्सेस कर सकते हैं. एसई वेंडर, 16 बाइट का यूनीक आइडेंटिफ़ायर यूयूआईडी तय कर सकते हैं. ऐक्सेस के इस नियम को एचएएल मॉड्यूल पर लागू करने के लिए, एसई वेंडर को मैप करना होगा अपने वेंडर में 16 बाइट का यह यूनीक आइडेंटिफ़ायर, यूयूआईडी टू एचएएल मॉड्यूल यूआईडी यूयूआईडी मैपिंग कॉन्फ़िगरेशन एक्सएमएल.
ज़रूरी होने पर, OMAPI वेंडर स्टेबल सर्विस, यूयूआईडी को एफ़एफ़ से पैड करती है इसे 20 बाइट बनाने के लिए, 6.1, DeviceAppID-REF-DO पेज: 66 और इसमें ऐक्सेस के नियमों को सुरक्षित तरीके से बताया गया है एलिमेंट, डिवाइस ऐप्लिकेशन के रेफ़रंस के तौर पर इस 20 बाइट यूयूआईडी का इस्तेमाल कर रहे हैं.
वेंडर की UUID मैपिंग फ़ाइल का नाम, पहले से तय प्रीफ़िक्स के साथ बनाया गया है
hal_uuid_map_ और उसे सिस्टम की वैल्यू के साथ जोड़ा गया
प्रॉपर्टी ro.boot.product.hardware.sku
hal_uuid_map_value_of_ro.boot.product.hardware.sku.xml
OMAPI वेंडर स्थिर सेवा इस फ़ाइल के लिए के अंतर्गत खोज करती है
/odm/etc/, /vendor/etc/, और /etc/
फ़ोल्डर. वेंडर के UUID मैपिंग कॉन्फ़िगरेशन के बारे में ज़्यादा जानकारी
फ़ाइल उपलब्ध है
यहां पढ़ें.
लागू करना
OMAPI वेंडर स्टेबल को चालू करने के लिए, इन बदलावों की ज़रूरत है टारगेट बिल्ड में सेवा से जुड़ी सुविधा.
सुरक्षा चिप
सिक्योर एलिमेंट
सेवा फ़्लैग चालू करें
secure_element_vintf_enabled के तहत, रिसॉर्स ओवरले का इस्तेमाल किया जा रहा है
डिवाइस के हिसाब से बनाए गए फ़ोल्डर.
<bool name="secure_element_vintf_enabled">true</bool>
अपनी सेवा के लिए यूआईडी और यूयूआईडी मैपिंग एक्सएमएल तय करें.
<ref_do>
<uuid_ref_do>
<uids>
<uid>0</uid>
</uids>
<uuid>9f36407ead0639fc966f14dde7970f68</uuid>
</uuid_ref_do>
<uuid_ref_do>
<uids>
<uid>1096</uid>
<uid>1097</uid>
</uids>
<uuid>a9b7ba70783b317e9998dc4dd82eb3c5</uuid>
</uuid_ref_do>
</ref_do>
यूयूआईडी का इस्तेमाल करके, एचएएल सेवा के लिए सुरक्षा एलिमेंट एआर का प्रावधान इस तरह से करें: डिवाइस ऐप्लिकेशन के संदर्भ. मैपिंग में मैपिंग एंट्री जोड़ें config जहां इस UUID को HAL मॉड्यूल यूआईडी से मैप किया जा सकता है. इसके साथ मैपिंग वेंडर, एचएएल मॉड्यूल को Secure एलिमेंट ऐक्सेस करने की अनुमति दे रहे हैं. OMAPI वीटीएस टेस्ट का इस्तेमाल OMAPI वेंडर को चालू करने के लिए, रेफ़रंस लागू करने के तौर पर किया जा सकता है एचएएल मॉड्यूल में स्थिर सेवा.
HAL मॉड्यूल सेनीति अपडेट करना: अनुमति देने के लिए HAL मॉड्यूल के लिए सेनीति नियम जोड़ें अपने डोमेन को ऐक्सेस करने की अनुमति दे सकते हैं, ताकि वे OMAPI वेंडर स्टेबल सेवा को ऐक्सेस कर सकें.
allow hal_module_label secure_element_service:service_manager find
OMAPI वेंडर की स्थायी सेवा से कनेक्ट करें: HAL मॉड्यूल से, OMAPI वेंडर का इस्तेमाल करें
सेवा लेबल
android.se.omapi.ISecureElementService/defaultandroid.se.omapi.ISecureElementService/default
सेवा से कनेक्ट करने के लिए.
पुष्टि करें
पुष्टि करें कि OMAPI वेंडर स्थिर सेवा को सफलतापूर्वक चलाकर लागू किया गया: OMAPI वीटीएस टेस्ट.
run vts -m VtsHalOmapiSeServiceV1_TargetTest
run vts -m VtsHalOmapiSeAccessControlTestCases