IPsec/IKEv2 庫

IPsec/IKEv2 庫模組提供了一種機制,用於為新的和現有的 Android 功能(例如互通無線 LAN (IWLAN) 和 VPN)協商安全參數(金鑰、演算法、隧道配置)。該模組是可更新的,這意味著它可以在正常的 Android 發布週期之外接收功能更新。

IPsec/IKEv2 庫模組具有以下優點。

  • 支援 IMS、IWLAN 和現代化 VPN。 IP多媒體子系統(IMS)和IWLAN需要IKEv2來安全可靠地完成金鑰交換。在 Android 11 中,IPsec/IKEv2 庫模組的 IKEv2 協商庫是平台的 IKEv2 用戶端的預設實現,支援初始建立、定期重新產生金鑰、失效對等點偵測和切換。該模組還支援棄用和替換基於 racoon 的 IKEv1 VPN 庫,該庫用作 Android 10 及更低版本中的預設內建 VPN 用戶端。

  • 生態系的一致性。使用 IPsec/IKEv2 協商函式庫作為平台的預設函式庫可以促進生態系範圍內的一致性,減少對閉源實作的依賴,並提高可維護性和可更新性。擁有在 Android 的 IPsec API 之上運行的僅限客戶端的實現,可以釋放 Linux IPsec 支援的強大功能,而無需 IKEv2 守護程序所需的提升權限。 IKEv2 函式庫是用 Java 寫的,以避免 C 或 C++ 實作中出現的安全性問題。

  • 快速修復安全性和互通性問題。 IPsec/IKEv2 是支援 VPN 保護使用者資料的安全關鍵程式碼。許多客戶端和伺服器實作 IKEv2 協定的方式略有不同,從而導致 IKEv2 庫與其他 IKEv2 伺服器之間潛在的互通性問題。模組可更新性使 Android 團隊能夠快速回應安全漏洞並快速修復互通性錯誤,同時最大限度地減少生態系統合作夥伴的工作量。

模組邊界

IPsec/IKEv2 庫模組位於packages/modules/IPsec中。

模組格式

IPsec/IKEv2 庫模組 ( com.android.ipsec ) 採用APEX格式,適用於運行 Android 11 或更高版本的裝置。

客製化

IPsec/IKEv2 庫模組不支援自訂。

測試

Android 相容性測試套件 (CTS) 透過在每個模組版本上執行一套全面的 CTS 測試來驗證 IPsec/IKEv2 庫模組的功能。您也可以使用指令atest FrameworksIkeTests來執行 IPsec/IKEv2 庫模組單元測試。