Das IPsec/IKEv2-Bibliotheksmodul bietet einen Mechanismus zum Aushandeln von Sicherheitsparametern (Schlüssel, Algorithmen, Tunnelkonfigurationen) für neue und bestehende Android-Funktionen wie Interworking Wireless LAN (IWLAN) und VPNs. Dieses Modul ist aktualisierbar, was bedeutet, dass es außerhalb des normalen Android-Release-Zyklus Funktionsaktualisierungen erhalten kann.
Das IPsec/IKEv2-Bibliotheksmodul bietet die folgenden Vorteile.
Unterstützung für IMS, IWLAN und modernisierte VPNs. IP Multimedia Subsystem (IMS) und IWLAN erfordern IKEv2, um den Schlüsselaustausch sicher und zuverlässig durchzuführen. In Android 11 ist die IKEv2-Aushandlungsbibliothek des IPsec/IKEv2-Bibliotheksmoduls die Standardimplementierung eines IKEv2-Clients der Plattform und unterstützt die Ersteinrichtung, die regelmäßige Neuschlüsselung, die Erkennung toter Peers und die Übergabe. Das Modul ermöglicht außerdem die Abschaffung und den Ersatz der auf Racoon basierenden IKEv1-VPN-Bibliothek, die als standardmäßiger integrierter VPN-Client in Android 10 und niedriger verwendet wird.
Konsistenz des Ökosystems. Die Verwendung der IPsec/IKEv2-Verhandlungsbibliothek als Standardbibliothek der Plattform fördert die ökosystemweite Konsistenz, reduziert Abhängigkeiten von Closed-Source-Implementierungen und verbessert die Wartbarkeit und Aktualisierbarkeit. Mit einer reinen Client-Implementierung, die auf der IPsec-API von Android aufbaut, wird die Leistungsfähigkeit der Linux-IPsec-Unterstützung freigeschaltet, ohne dass die erhöhten Berechtigungen eines IKEv2-Daemons erforderlich sind. Die IKEv2-Bibliothek ist in Java geschrieben, um Sicherheitsprobleme zu vermeiden, die in C- oder C++-Implementierungen auftreten.
Schnelle Lösungen für Sicherheits- und Interoperabilitätsprobleme. IPsec/IKEv2 ist sicherheitskritischer Code, der VPNs bei der Sicherung von Benutzerdaten unterstützt. Viele Clients und Server implementieren das IKEv2-Protokoll etwas anders, was zu potenziellen Interoperabilitätsproblemen zwischen der IKEv2-Bibliothek und anderen IKEv2-Servern führen kann. Die Aktualisierbarkeit des Moduls ermöglicht es dem Android-Team, schnell auf Sicherheitslücken zu reagieren und Interoperabilitätsfehler schnell zu beheben und gleichzeitig den Aufwand für Ökosystempartner zu minimieren.
Modulgrenze
Das IPsec/IKEv2-Bibliotheksmodul befindet sich in packages/modules/IPsec .
Modulformat
Das IPsec/IKEv2-Bibliotheksmodul ( com.android.ipsec ) liegt im APEX- Format vor und ist für Geräte mit Android 11 oder höher verfügbar.
Anpassung
Das IPsec/IKEv2-Bibliotheksmodul unterstützt keine Anpassung.
Testen
Die Android Compatibility Test Suite (CTS) überprüft die Funktionalität des IPsec/IKEv2-Bibliotheksmoduls, indem sie bei jeder Modulversion eine umfassende Reihe von CTS-Tests durchführt. Sie können auch Unit-Tests für das IPsec/IKEv2-Bibliotheksmodul mit dem Befehl atest FrameworksIkeTests ausführen.