IPsec / IKEv2 ライブラリ

IPsec/IKEv2 Library モジュールは、インターワーキング無線 LAN(IWLAN)や VPN などの、新規と既存の Android 機能のセキュリティ パラメータ(鍵、アルゴリズム、トンネル構成)をネゴシエートするためのメカニズムを提供します。このモジュールは更新可能です。つまり、通常の Android リリース サイクル外で機能のアップデートを受信できます。

IPsec/IKEv2 Library モジュールには次のような利点があります。

  • IMS、IWLAN、最新の VPN のサポート。 IP マルチメディア サブシステム(IMS)と IWLAN では、鍵交換を安全かつ確実に行うために IKEv2 が必要です。Android 11 では、IPsec/IKEv2 Library モジュールの IKEv2 ネゴシエーション ライブラリがプラットフォームの IKEv2 クライアントのデフォルト実装であり、初期の確立、定期的な鍵交換、デッドピア検出、ハンドオフをサポートします。また、このモジュールにより、Android 10 以前のデフォルトの組み込み VPN クライアントとして使用されていた racoon ベースの IKEv1 VPN ライブラリのサポートを終了し、置き換えることができます。

  • エコシステムの一貫性。IPsec/IKEv2 ネゴシエーション ライブラリをプラットフォームのデフォルト ライブラリとして使用すると、エコシステム全体の一貫性が促進され、クローズド ソース実装の依存関係が減少し、保守性と更新性が改善されます。Android の IPsec API 上で機能するクライアント専用の実装を使用すると、IKEv2 デーモンに必要な昇格された権限を必要とせずに、Linux IPsec サポートの威力を発揮できます。IKEv2 ライブラリは、C または C++ の実装で判明したセキュリティ上の問題を回避するために Java で記述されています。

  • セキュリティと相互運用性に関する問題の迅速な修正。IPsec/IKEv2 は、ユーザーデータの保護において、VPN をサポートするセキュリティ クリティカルなコードです。クライアントとサーバーの多くは IKEv2 プロトコルの実装方法が若干異なるため、IKEv2 ライブラリと他の IKEv2 サーバーとの間で相互運用性の問題が生じる可能性があります。モジュールの更新が可能であるため、Android チームはセキュリティの脆弱性に迅速に対応し、エコシステム パートナーの作業を最小限に抑えつつ、相互運用性のバグを迅速に修正できます。

モジュールの境界

IPsec/IKEv2 Library モジュールは、packages/modules/IPsec にあります。

モジュールの形式

IPsec/IKEv2 Library モジュール(com.android.ipsec)は APEX 形式であり、Android 11 以降を搭載したデバイスで使用できます。

カスタマイズ

IPsec/IKEv2 Library モジュールはカスタマイズをサポートしていません。

テスト

Android 互換性テストスイート(CTS)は、すべてのモジュール リリースで包括的な CTS テストを実行し、IPsec/IKEv2 Library モジュールの機能を検証します。また、atest FrameworksIkeTests コマンドを使用して、IPsec/IKEv2 Library モジュールの単体テストを実行することもできます。