Halaman ini menjelaskan cara mengaktifkan MACsec untuk fitur ethernet.
Menggunakan MACsec untuk mengautentikasi dan mengenkripsi ethernet komunikasi yang digunakan oleh infotainment di dalam kendaraan (IVI) untuk berbagai unit ECU, sehingga melindungi data dari sabotase, pemutaran ulang, atau pengungkapan informasi. Aktifkan pembelian ini MACsec IEEE 802.11AE untuk jaringan ethernet.
Ringkasan
Untuk mengaktifkan MACsec, wpa_supplicant
digunakan sebagai daemon untuk menangani
Handshake MACsec Key Agreement (MKA). HAL MACsec didefinisikan untuk menyimpan MACsec
pre-shared, yang disebut kunci pengaitan konektivitas (CAK) dengan aman. HAL MACsec
hanya mendukung CAK. MACsec HAL khusus vendor ini menyimpan CAK dengan aman
yang tahan lama. Penyediaan kunci bergantung pada implementasi vendor.
Alur MACdtk
Gambar 1 mengilustrasikan alur MACsec di head unit.
Aktifkan MACdtk
Untuk menyediakan dukungan bagi fungsionalitas dengan kunci CAK MACsec, MACsec untuk ethernet harus diaktifkan secara eksplisit dengan MACsec HAL khusus vendor.
Untuk mengaktifkan fitur tersebut, aktifkan wpa_supplicant_macsec
dan opsi khusus vendor
macsec-service
ke PRODUCT_PACKAGES
dan file konfigurasi
untuk wpa_supplicant_macsec
, skrip init rc
untuk
PRODUCT_COPY_FILES
.
Misalnya, file [device-product].mk
ini:
# MACSEC HAL # This is a mock MACsec HAL implementation with keys embedded in it. Replace with vendor specific HAL PRODUCT_PACKAGES += android.hardware.automotive.macsec-service # wpa_supplicant build with MACsec support PRODUCT_PACKAGES += wpa_supplicant_macsec # configuration file for wpa_supplicant with MACsec PRODUCT_COPY_FILES += \ $(LOCAL_PATH)/wpa_supplicant_macsec.conf:$(TARGET_COPY_OUT_VENDOR)/etc/wpa_supplicant_macsec.conf \ $(LOCAL_PATH)/wpa_supplicant_macsec.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/wpa_supplicant_macsec.rc
Misalnya, wpa_supplicant_macsec.conf
.
# wpa_supplicant_macsec.conf eapol_version=3 ap_scan=0 fast_reauth=1 # Example configuration for MACsec with preshared key # mka_cak is not actual key but index for MACsec HAL to specify which key to use # and make_cak must be either 16 digits or 32 digits depends the actually CAK key length. network={ key_mgmt=NONE eapol_flags=0 macsec_policy=1 macsec_replay_protect=1 macsec_replay_window=0 mka_cak=00000000000000000000000000000001 mka_ckn=31323334 mka_priority=128 }
Contoh wpa_supplicant_macsec.conf
di eth0
. Saat beberapa jaringan
antarmuka harus dilindungi oleh MACsec, Anda dapat memulai banyak layanan.
# wpa_supplicant_macsec.rc service wpa_supplicant_macsec /vendor/bin/hw/wpa_supplicant_macsec \ -dd -i eth0 -Dmacsec_linux -c /vendor/etc/wpa_supplicant_macsec.conf oneshot
Mulai wpa_supplicant_macsec
setelah antarmuka ethernet siap. Jika
ethernet sistem belum siap, wpa_supplicant
langsung menampilkan error.
Untuk menghindari kondisi race, waktu tunggu (waktu tunggu default adalah lima (5) detik) untuk
/sys//class/net/${eth_interface}
mungkin diperlukan.
# init.target.rc on late-fs … wait /sys/class/net/eth0 start wpa_supplicant_macsec …
Mengonfigurasi alamat IP untuk antarmuka MACsec
Konfigurasi alamat IP antarmuka MACsec dapat dilakukan oleh konektivitas sistem setelah zygote dimulai. Berikut adalah contoh file XML overlay untuk konektivitas. Jika Alamat IP untuk antarmuka MACsec harus siap sebelum zygote dimulai, sebuah vendor {i>daemon<i} perlu mendengarkan antarmuka {i>macsec0<i} dan mengkonfigurasinya karena pengelola konektivitas sistem hanya dimulai setelah zygote dimulai.
# Example of com.google.android.connectivity.resources overlay config <?xml version="1.0" encoding="utf-8"?> <!-- Resources to configure the connectivity module based on each OEM's preference. --> <resources xmlns:xliff="urn:oasis:names:tc:xliff:document:1.2"> <!-- Whether the internal vehicle network should remain active even when no apps requested it. --> <bool name="config_vehicleInternalNetworkAlwaysRequested">true</bool> <string-array translatable="false" name="config_ethernet_interfaces"> <!-- Not metered, trusted, not vpn, vehicle, not vcn managed, restricted --> <item>macsec0;11,14,15,27,28;ip=10.10.10.2/24 gateway=10.10.10.1 dns=4.4.4.4,8.8.8.8</item> </string-array> <string translatable="false" name="config_ethernet_iface_regex">macsec\\d</string> </resources>
HAL MACsec
HAL khusus vendor MACsec harus mengimplementasikan fungsi berikut untuk melindungi CAK
tombol. Semua enkripsi dan dekripsi dengan kunci
itu dilakukan langsung tanpa mengekspos kunci ke
wpa_supplicant
.
/** * MACSEC pre-shared key plugin for wpa_applicant * * The goal of this service is to provide function for using the MACSEC CAK * */ @VintfStability interface IMacsecPSKPlugin { /** * For xTS test only, not called in production * * @param keyId is key id to add * @param CAK, CAK key to set * @param CKN, CKN to set * * @return ICV. */ void addTestKey(in byte[] keyId, in byte[] CAK, in byte[] CKN);
/** * Use ICV key do AES CMAC same as ieee802_1x_icv_aes_cmac in wpa_supplicant * * @param keyId is key id to be used for AES CMAC * @param data * * @return ICV. */ byte[] calcICV(in byte[] keyId, in byte[] data);
/** * KDF with CAK key to generate SAK key same as ieee802_1x_sak_aes_cmac in wpa_supplicant * * @param keyId is key id to be used for KDF * @param seed is key seed (random number) * @param sakLength generated SAK length (16 or 32) * * @return SAK key. */ byte[] generateSAK(in byte[] keyId, in byte[] data, in int sakLength);
/** * Encrypt using KEK key, this is same as aes_wrap with kek.key in wpa_supplicant * which used to wrap a SAK key * * @param keyId is key id to be used for encryption * @param sak is SAK key (16 or 32 bytes) to be wrapped. * * @return wrapped data using KEK key. */ byte[] wrapSAK(in byte[] keyId, in byte[] sak);
/** * Decrypt using KEK key, this is same as aes_unwrap with kek.key in wpa_supplicant * which used to unwrap a SAK key * * @param keyId is key id to be used for decryption * @param sak is wrapped SAK key. * * @return unwrapped data using KEK key. */ byte[] unwrapSAK(in byte[] keyId, in byte[] sak); }
Penerapan referensi
Implementasi referensi disediakan di
hardware/interfaces/macsec/aidl/default
, yang menyediakan software
implementasi HAL dengan kunci
yang tertanam di dalamnya. Implementasi ini hanya menyediakan
referensi fungsional ke HAL karena kunci
tidak didukung oleh penyimpanan yang tahan perusakan.
Menguji HAL MACsec
Tes HAL MACsec disediakan di
hardware/interfaces/automotive/macsec/aidl/vts/functional
.
Untuk menjalankan pengujian:
$ atest VtsHalMacsecPskPluginV1Test
Kode ini memanggil addTestKey
-- untuk memasukkan kunci pengujian ke dalam HAL dan melakukan verifikasi terhadap
nilai yang diharapkan untuk calcIcv
, generateSak
, wrapSak
, dan
unwrapSak
.
Untuk memastikan MACsec berfungsi, untuk pengujian integrasi, lakukan {i>ping<i} di antara dua komputer di Antarmuka MACsec:
# ping -I macsec0 10.10.10.1
Untuk menguji Sotong dengan {i>host<i},
echo 8 > /sys/devices/virtual/net/cvd-ebr/bridge/group_fwd_mask
dalam host adalah
yang diperlukan untuk memungkinkan {i>passthrough<i} bingkai
LLDP yang diperlukan untuk MACsec.