IPsec/IKEv2 庫

IPsec/IKEv2 庫模塊提供了一種機制,用於協商安全參數(密鑰、算法、隧道配置)以用於新的和現有的 Android 功能,例如互通無線 LAN (IWLAN) 和 VPN。此模塊是可更新的,這意味著它可以接收正常 Android 發布週期之外的功能更新。

IPsec/IKEv2 庫模塊提供以下好處。

  • 支持 IMS、IWLAN 和現代化的 VPN。 IP 多媒體子系統 (IMS) 和 IWLAN 需要 IKEv2 才能安全可靠地完成密鑰交換。在 Android 11 中,IPsec/IKEv2 庫模塊的 IKEv2 協商庫是平台的默認 IKEv2 客戶端實現,支持初始建立、定期重新密鑰、失效對等點檢測和切換。該模塊還支持棄用和替換基於 racoon 的 IKEv1 VPN 庫,該庫用作 Android 10 及更低版本中的默認內置 VPN 客戶端。

  • 生態系統一致性。使用 IPsec/IKEv2 協商庫作為平台的默認庫可以鼓勵整個生態系統的一致性,減少對閉源實現的依賴,並提高可維護性和可更新性。擁有在 Android 的 IPsec API 之上運行的僅客戶端實現可以釋放 Linux IPsec 支持的強大功能,而無需 IKEv2 守護程序所需的提升權限。 IKEv2 庫是用 Java 編寫的,以避免在 C 或 C++ 實現中發現安全問題。

  • 快速修復安全性和互操作性問題。 IPsec/IKEv2 是支持 VPN 保護用戶數據的安全關鍵代碼。許多客戶端和服務器實現 IKEv2 協議的方式略有不同,從而導致 IKEv2 庫和其他 IKEv2 服務器之間存在潛在的互操作性問題。模塊可更新性使 Android 團隊能夠快速響應安全漏洞并快速修復互操作性錯誤,同時最大限度地減少生態系統合作夥伴的工作量。

模塊邊界

IPsec/IKEv2 庫模塊位於packages/modules/IPsec中。

模塊格式

IPsec/IKEv2 庫模塊 ( com.google.android.ipsec ) 採用APEX格式,可用於運行 Android 11 或更高版本的設備。

定制

IPsec/IKEv2 庫模塊不支持自定義。

測試

Android 兼容性測試套件 (CTS) 通過在每個模塊版本上運行一組全面的 CTS 測試來驗證 IPsec/IKEv2 庫模塊的功能。您還可以使用命令atest FrameworksIkeTests運行 IPsec/IKEv2 庫模塊單元測試。