Google se compromete a impulsar la igualdad racial para las comunidades afrodescendientes. Obtén información al respecto.

Se usó la API de Cloud Translation para traducir esta página.

Cómo habilitar MACsec para las funciones de Ethernet

En esta página, se explica cómo habilitar MACsec para las funciones de Ethernet.

Usa MACsec para autenticar y encriptar la red Ethernet la comunicación usada por el infoentretenimiento en el vehículo (IVI) para diferentes unidades de ECU, lo que protege que los datos no se manipulen, vuelvan a reproducir ni divulguen. Habilita esta opción de compra MACsec IEEE 802.11AE para la red Ethernet

Descripción general

Para habilitar MACsec, se usa wpa_supplicant como daemon para controlar el Protocolo de enlace del Acuerdo de claves de MACsec (MKA). La HAL de MACsec se define para almacenar el archivo clave precompartida, llamada clave de asociación de conectividad (CAK), de manera segura. La HAL de MACsec solo es compatible con CAK. Esta HAL de MACsec específica del proveedor almacena el CAK de forma segura en un manipulador resistente y resistente. El aprovisionamiento de la clave depende de la implementación del proveedor.

Flujo de MACsec

En la Figura 1, se ilustra el flujo de MACsec en la consola central.

Habilitar MACsec

Para admitir las funcionalidades con la clave CAK de MACsec, el protocolo MACsec para Ethernet debe habilitarse explícitamente con una HAL de MACsec específica del proveedor.

Para habilitar la función, habilita wpa_supplicant_macsec y la configuración macsec-service a PRODUCT_PACKAGES y al archivo de configuración para wpa_supplicant_macsec, init rc secuencia de comandos para PRODUCT_COPY_FILES

Por ejemplo, este archivo [device-product].mk hace lo siguiente:

# MACSEC HAL

# This is a mock MACsec HAL implementation with keys embedded in it. Replace with vendor specific HAL
PRODUCT_PACKAGES += android.hardware.automotive.macsec-service

# wpa_supplicant build with MACsec support

PRODUCT_PACKAGES += wpa_supplicant_macsec

# configuration file for wpa_supplicant with MACsec

PRODUCT_COPY_FILES += \
    $(LOCAL_PATH)/wpa_supplicant_macsec.conf:$(TARGET_COPY_OUT_VENDOR)/etc/wpa_supplicant_macsec.conf \
    $(LOCAL_PATH)/wpa_supplicant_macsec.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/wpa_supplicant_macsec.rc

Por ejemplo, wpa_supplicant_macsec.conf.

# wpa_supplicant_macsec.conf
eapol_version=3
ap_scan=0
fast_reauth=1
# Example configuration for MACsec with preshared key
# mka_cak is not actual key but index for MACsec HAL to specify which key to use
# and make_cak must be either 16 digits or 32 digits depends the actually CAK key length.
network={
        key_mgmt=NONE
        eapol_flags=0
        macsec_policy=1
        macsec_replay_protect=1
        macsec_replay_window=0
        mka_cak=00000000000000000000000000000001
        mka_ckn=31323334
        mka_priority=128
}

wpa_supplicant_macsec.conf de muestra en eth0. Cuando se usan varios estas interfaces deben estar protegidas por MACsec, puedes iniciar varios servicios.

# wpa_supplicant_macsec.rc
service wpa_supplicant_macsec /vendor/bin/hw/wpa_supplicant_macsec \
        -dd -i eth0 -Dmacsec_linux -c /vendor/etc/wpa_supplicant_macsec.conf
        oneshot

Inicia wpa_supplicant_macsec cuando la interfaz de Ethernet esté lista. Si el botón sistema Ethernet no está listo, wpa_supplicant muestra un error de inmediato. Para evitar las condiciones de carrera, se debe esperar (el tiempo de espera predeterminado es de cinco (5) segundos) para Es posible que se necesite un valor de /sys//class/net/${eth_interface}.

# init.target.rc
on late-fs
    …
    wait /sys/class/net/eth0
    start wpa_supplicant_macsec
    …

Configura la dirección IP para la interfaz MACsec

La conectividad del sistema permite configurar la dirección IP de la interfaz MACsec una vez que se inicia Zygote. Este es un ejemplo de un archivo en formato XML de superposición para la conectividad. Si el botón La dirección IP para la interfaz MACsec debe estar lista antes de que se inicie Zygote, una red específica del proveedor, daemon debería escuchar la interfaz macsec0 y configurarla, ya que el administrador de conectividad del sistema solo se inicia luego de que se inicia Zygote.

# Example of com.google.android.connectivity.resources overlay config
<?xml version="1.0" encoding="utf-8"?>
<!-- Resources to configure the connectivity module based on each OEM's preference. -->
<resources xmlns:xliff="urn:oasis:names:tc:xliff:document:1.2">
    <!-- Whether the internal vehicle network should remain active even when no
         apps requested it. -->
    <bool name="config_vehicleInternalNetworkAlwaysRequested">true</bool>
    <string-array translatable="false" name="config_ethernet_interfaces">
        <!-- Not metered, trusted, not vpn, vehicle, not vcn managed, restricted -->
        <item>macsec0;11,14,15,27,28;ip=10.10.10.2/24 gateway=10.10.10.1 dns=4.4.4.4,8.8.8.8</item>
    </string-array>
    <string translatable="false" name="config_ethernet_iface_regex">macsec\\d</string>
</resources>

HAL de MACsec

La HAL específica del proveedor de MACsec debe implementar las siguientes funciones para proteger el CAK . Toda la encriptación y desencriptación con la clave se realiza directamente sin exponerla a wpa_supplicant

/**
 * MACSEC pre-shared key plugin for wpa_applicant
 *
 * The goal of this service is to provide function for using the MACSEC CAK
 *
 */
@VintfStability
interface IMacsecPSKPlugin {
    /**
     * For xTS test only, not called in production
     *
     * @param keyId is key id to add
     * @param CAK, CAK key to set
     * @param CKN, CKN to set
     *
     * @return ICV.
     */
    void addTestKey(in byte[] keyId, in byte[] CAK, in byte[] CKN);


    /**
     * Use ICV key do AES CMAC same as ieee802_1x_icv_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for AES CMAC
     * @param data
     *
     * @return ICV.
     */
    byte[] calcICV(in byte[] keyId, in byte[] data);


    /**
     * KDF with CAK key to generate SAK key same as ieee802_1x_sak_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for KDF
     * @param seed is key seed (random number)
     * @param sakLength generated SAK length (16 or 32)
     *
     * @return SAK key.
     */
    byte[] generateSAK(in byte[] keyId, in byte[] data, in int sakLength);


    /**
     * Encrypt using KEK key, this is same as aes_wrap with kek.key in wpa_supplicant
     * which used to wrap a SAK key
     *
     * @param keyId is key id to be used for encryption
     * @param sak is SAK key (16 or 32 bytes) to be wrapped.
     *
     * @return wrapped data using KEK key.
     */
    byte[] wrapSAK(in byte[] keyId, in byte[] sak);


    /**
     * Decrypt using KEK key, this is same as aes_unwrap with kek.key in wpa_supplicant
     * which used to unwrap a SAK key
     *
     * @param keyId is key id to be used for decryption
     * @param sak is wrapped SAK key.
     *
     * @return unwrapped data using KEK key.
     */
    byte[] unwrapSAK(in byte[] keyId, in byte[] sak);
}

Implementación de referencia

Se proporciona una implementación de referencia en hardware/interfaces/macsec/aidl/default, que proporciona un software de HAL con claves incorporadas. Esta implementación solo proporciona una referencia funcional a la HAL, ya que las claves no están respaldadas por un almacenamiento resistente a alteraciones.

Cómo probar la HAL de MACsec

Se proporciona una prueba de HAL de MACsec en hardware/interfaces/automotive/macsec/aidl/vts/functional

Para ejecutar la prueba, haz lo siguiente:

$ atest VtsHalMacsecPskPluginV1Test

Esto llama a addTestKey para insertar una clave de prueba en la HAL y verificar el valores esperados para calcIcv, generateSak, wrapSak y unwrapSak

Para confirmar que MACsec está funcionando, para las pruebas de integración, haz ping entre dos máquinas de la Interfaz MACsec:

# ping -I macsec0 10.10.10.1

Para probar Cuttlefish con host, echo 8 > /sys/devices/virtual/net/cvd-ebr/bridge/group_fwd_mask en el host es necesarias para permitir la transferencia de las tramas LLDP necesarias para MACsec.