IPsec/IKEv2 程式庫模組提供一種機制,可為新舊 Android 功能 (例如互通無線區域網路 (IWLAN) 和 VPN) 協商安全性參數 (金鑰、演算法、通道設定)。這個模組可更新,也就是說,該模組可接收一般 Android 發布週期以外的功能更新。
IPsec/IKEv2 程式庫模組具備下列優點:
支援 IMS、IWLAN 和現代化 VPN。IP Multimedia Subsystem (IMS) 和 IWLAN 需要 IKEv2 來安全可靠地完成金鑰交換。在 Android 11 中,IPsec/IKEv2 程式庫模組的 IKEv2 協商資料庫是平台對 IKEv2 用戶端的預設實作方式,可支援初始建立、定期重新產生金鑰、偵測死節點和移交。這個模組還可讓您淘汰並取代以 racoon 為基礎的 IKEv1 VPN 程式庫,該程式庫在 Android 10 以下版本中用於預設內建的 VPN 用戶端。
生態系統一致性。使用 IPsec/IKEv2 協商程式庫做為平台的預設程式庫,可促進生態系統的一致性、減少對封閉原始碼實作的依賴,並改善可維護性和可更新性。只要在 Android 的 IPsec API 上實作用戶端專屬功能,就能發揮 Linux IPsec 支援的強大功能,而不需要 IKEv2 守護程式所需的進階權限。IKEv2 程式庫是以 Java 編寫,可避免在 C 或 C++ 實作中發現的安全性問題。
快速修正安全性和互通性問題。IPsec/IKEv2 是安全性關鍵程式碼,可支援 VPN 保護使用者資料。許多用戶端和伺服器實作 IKEv2 通訊協定的做法略有不同,因此 IKEv2 程式庫和其他 IKEv2 伺服器之間可能會發生互通性問題。模組更新功能可讓 Android 團隊快速回應安全漏洞,並迅速修正互通性錯誤,同時盡量減少生態系統合作夥伴的工作量。
模組邊界
IPsec/IKEv2 程式庫模組位於 packages/modules/IPsec 中。
模組格式
IPsec/IKEv2 程式庫模組 (com.android.ipsec) 採用 APEX 格式,適用於搭載 Android 11 以上版本的裝置。
自訂
IPsec/IKEv2 程式庫模組不支援自訂。
測試
Android Compatibility Test Suite (CTS) 會在每個模組版本上執行一套完整的 CTS 測試,驗證 IPsec/IKEv2 程式庫模組的功能。您也可以使用 atest FrameworksIkeTests 指令執行 IPsec/IKEv2 程式庫模組單元測試。