Введение
Open Mobile API (OMAPI) — это стандартный API, используемый для связи с Secure Element устройства. До Android 13 к этому интерфейсу имели доступ только приложения и модули фреймворка. Преобразовав его в стабильный интерфейс поставщика, модули HAL также могут взаимодействовать с элементами безопасности через службу OMAPI.
Для модулей HAL была добавлена новая запись доступа к OMAPI без изменения каких-либо API-интерфейсов в текущем существующем интерфейсе. Для существующих модулей приложения и платформы, использующих этот интерфейс, не требуется модификаций.
В рамках программы Android Ready SE мы делаем основные функции безопасности Android, такие как Keymaster, Keymint, идентификационные данные и удаленную подготовку ключей, доступными на Secure Elements. Для их включения требуются HAL (компоненты поставщика) этих функций для связи с Secure Element через стабильный интерфейс поставщика OMAPI.
Архитектура дизайна
OEM-производителям, интегрирующим функции Secure Element и Android Ready SE в свои устройства, необходимо включить этот интерфейс, поскольку по умолчанию он отключен. До этого обновления правила доступа к Secure Element определялись именем пакета или хэшами его подписи (ссылка на приложение устройства) и AID (ссылка на приложение SE). Модули HAL не имели уникальных идентификаторов, таких как имена пакетов или сертификаты подписи. Теперь в Android 13 стабильная служба OMAPI Vendor позволяет модулям HAL получать доступ к Secure Element. Поставщики SE могут определить уникальный идентификатор UUID из 16 байтов. Чтобы применить это правило доступа к модулям HAL, поставщики SE должны сопоставить этот 16-байтовый уникальный идентификатор UUID с UID модуля HAL в XML-файле конфигурации сопоставления UUID своего поставщика.
OMAPI Vendor Stable Service дополняет UUID символом FF, если это необходимо, чтобы сделать его 20-байтовым, в соответствии с разделом 6.1, страница DeviceAppID-REF-DO: 66, и определяет правила доступа в защищенных элементах, используя этот 20-байтовый UUID в качестве ссылки на приложение устройства.
Имя файла сопоставления UUID поставщика формируется с предопределенным префиксом hal_uuid_map_ и дополняется значением системного свойства ro.boot.product.hardware.sku
hal_uuid_map_value_of_ro.boot.product.hardware.sku.xml
Служба OMAPI Vendor Stable ищет этот файл в папках /odm/etc/ , /vendor/etc/ и /etc/ . Подробное описание файла конфигурации сопоставления UUID поставщика доступно здесь .
Реализация
Следующие изменения необходимы для включения функции OMAPI Vendor Stable Service в целевой сборке.
Безопасный элемент
Безопасный элемент Включите служебный флаг secure_element_vintf_enabled используя наложение ресурсов в конкретных папках устройства.
<bool name="secure_element_vintf_enabled">true</bool>
Определите XML сопоставления UID и UUID для вашей службы.
<ref_do>
<uuid_ref_do>
<uids>
<uid>0</uid>
</uids>
<uuid>9f36407ead0639fc966f14dde7970f68</uuid>
</uuid_ref_do>
<uuid_ref_do>
<uids>
<uid>1096</uid>
<uid>1097</uid>
</uids>
<uuid>a9b7ba70783b317e9998dc4dd82eb3c5</uuid>
</uuid_ref_do>
</ref_do>
Подготовьте AR Secure Element для службы HAL, используя UUID в качестве ссылок на приложения устройств. Добавьте запись сопоставления в конфигурацию сопоставления, где вы можете сопоставить этот UUID с UID модуля HAL. С помощью этого сопоставления поставщики разрешают модулям HAL получать доступ к Secure Element. Тесты OMAPI VTS можно использовать в качестве эталонных реализаций для включения OMAPI Vendor Stable Service в модулях HAL.
Обновление sepolicy модуля HAL: добавьте правило sepolicy для модуля HAL, чтобы разрешить их домену доступ к стабильной службе поставщика OMAPI.
allow hal_module_label secure_element_service:service_manager find
Подключение к стабильной службе поставщика OMAPI: из модулей HAL используйте метку службы поставщика OMAPI android.se.omapi.ISecureElementService/defaultandroid.se.omapi.ISecureElementService/default для подключения к службе.
Проверка
Убедитесь, что стабильная служба поставщика OMAPI успешно внедрена, запустив тесты OMAPI VTS .
run vts -m VtsHalOmapiSeServiceV1_TargetTest
run vts -m VtsHalOmapiSeAccessControlTestCases