IPsec/IKEv2-Bibliothek

Das IPsec/IKEv2-Bibliotheksmodul bietet einen Mechanismus zur Verhandlung von Sicherheitsparametern (Schlüssel, Algorithmen, Tunnelkonfigurationen) für neue und vorhandene Android-Funktionen wie Interworking Wireless LAN (IWLAN) und VPNs. Dieses Modul kann aktualisiert werden, d. h. es kann Funktionsupdates außerhalb des normalen Android-Releasezyklus erhalten.

Das IPsec/IKEv2-Bibliotheksmodul bietet folgende Vorteile:

  • Unterstützung für IMS, IWLAN und modernisierte VPNs. Für IP Multimedia Subsystem (IMS) und IWLAN ist IKEv2 erforderlich, um Schlüsselaustausche sicher und zuverlässig durchzuführen. In Android 11 ist die IKEv2-Verhandlungsbibliothek des IPsec/IKEv2-Bibliotheksmoduls die Standardimplementierung eines IKEv2-Clients der Plattform. Sie unterstützt die Ersteinrichtung, die regelmäßige Neuschlüsselung, die Erkennung toter Peers und die Übergabe. Das Modul ermöglicht auch die Einstellung und den Ersatz der racoon-basierten IKEv1-VPN-Bibliothek, die in Android 10 und niedriger als standardmäßiger integrierter VPN-Client verwendet wird.

  • Einheitliches Ökosystem: Die Verwendung der IPsec/IKEv2-Verhandlungsbibliothek als Standardbibliothek der Plattform fördert die systemweite Konsistenz, reduziert die Abhängigkeit von Closed-Source-Implementierungen und verbessert die Wartbarkeit und Aktualisierbarkeit. Eine reine Clientimplementierung, die auf der IPsec API von Android basiert, bietet die Vorteile der Linux-IPsec-Unterstützung, ohne dass die erhöhten Berechtigungen erforderlich sind, die ein IKEv2-Daemon benötigt. Die IKEv2-Bibliothek ist in Java geschrieben, um Sicherheitsprobleme zu vermeiden, die bei C- oder C++-Implementierungen auftreten.

  • Schnellkorrekturen für Sicherheits- und Interoperabilitätsprobleme IPsec/IKEv2 ist sicherheitskritischer Code, der VPNs beim Schutz von Nutzerdaten unterstützt. Viele Clients und Server implementieren das IKEv2-Protokoll etwas anders, was zu potenziellen Interoperabilitätsproblemen zwischen der IKEv2-Bibliothek und anderen IKEv2-Servern führen kann. Durch die Aktualisierbarkeit von Modulen kann das Android-Team schnell auf Sicherheitslücken reagieren und Interoperabilitätsfehler beheben, während die Arbeit für Partner des Android-Ökosystems minimiert wird.

Modulgrenze

Das IPsec/IKEv2-Bibliotheksmodul befindet sich in packages/modules/IPsec.

Modulformat

Das Modul der IPsec/IKEv2-Bibliothek (com.android.ipsec) liegt im APEX-Format vor und ist für Geräte mit Android 11 oder höher verfügbar.

Personalisierung

Das IPsec/IKEv2-Bibliotheksmodul unterstützt keine Anpassung.

Testen

Die Android Compatibility Test Suite (CTS) prüft die Funktionalität des IPsec/IKEv2-Bibliotheksmoduls, indem bei jeder Modulveröffentlichung eine umfassende Reihe von CTS-Tests ausgeführt wird. Sie können auch mit dem Befehl atest FrameworksIkeTests Unit-Tests für das IPsec/IKEv2-Bibliotheksmodul ausführen.