IPsec/IKEv2 라이브러리

IPsec/IKEv2 라이브러리 모듈은 IWLAN(Interworking Wireless LAN) 및 VPN과 같은 신규 및 기존 Android 기능의 보안 매개변수(키, 알고리즘, 터널 구성)를 협상하기 위한 메커니즘을 제공합니다. 이 모듈은 업데이트할 수 있습니다. 즉, 일반적인 Android 출시 주기 외에도 기능 업데이트를 받을 수 있습니다.

IPsec/IKEv2 라이브러리 모듈은 다음과 같은 이점을 제공합니다.

  • IMS, ILWAN 및 최신 VPN 지원: IP 멀티미디어 하위 시스템(IMS) 및 IWLAN은 키 교환을 안전하고 안정적으로 완료하기 위해 IKEv2가 필요합니다. Android 11에서 IPsec/IKEv2 라이브러리 모듈의 IKEv2 협상 라이브러리는 플랫폼의 IKEv2 클라이언트 기본 구현으로, 초기 설정, 주기적 키 갱신, 데드 피어 감지 및 핸드오프를 지원합니다. 또한 이 모듈을 통해 Android 10 이하에서 기본 내장 VPN 클라이언트로 사용되는 racoon 기반 IKEv1 VPN 라이브러리를 지원 중단하고 교체할 수 있습니다.

  • 생태계 일관성: IPsec/IKEv2 협상 라이브러리를 플랫폼의 기본 라이브러리로 사용하면 생태계 전반의 일관성을 촉진하고 비공개 소스 구현에 대한 종속 항목을 줄이며 유지관리 기능 및 업데이트 기능을 향상할 수 있습니다. Android의 IPsec API를 기반으로 작동하는 클라이언트 전용 구현을 통해 IKEv2 데몬에 필요한 권한 승격 없이 Linux IPsec 지원 기능을 활용할 수 있습니다. IKEv2 라이브러리는 C 또는 C++ 구현에서 발견되는 보안 문제를 방지하기 위해 자바로 작성되었습니다.

  • 보안 및 상호 운용성 문제의 빠른 수정: IPsec/IKEv2는 사용자 데이터를 보호하는 측면에서 VPN을 지원하는 보안상 중요한 코드입니다. 많은 클라이언트 및 서버가 IKEv2 프로토콜을 약간 다르게 구현하므로 IKEv2 라이브러리와 다른 IKEv2 서버 간에 상호 운용성 문제가 발생할 수 있습니다. 모듈 업데이트 기능을 통해 Android 팀은 보안 취약점에 신속하게 대응하고 상호 운용성 버그를 빠르게 수정하는 동시에 생태계 파트너의 작업을 최소화할 수 있습니다.

모듈 경계

IPsec/IKEv2 라이브러리 모듈은 packages/modules/IPsec에 있습니다.

모듈 형식

IPsec/IKEv2 라이브러리 모듈(com.android.ipsec)은 APEX 형식이며 Android 11 이상을 실행하는 기기에서 사용할 수 있습니다.

맞춤설정

IPsec/IKEv2 라이브러리 모듈은 맞춤설정을 지원하지 않습니다.

테스트

Android 호환성 테스트 모음(CTS)은 모듈 출시마다 일련의 종합 CTS 테스트를 실행하여 IPsec/IKEv2 라이브러리 모듈의 기능을 확인합니다. 또한 개발자는 atest FrameworksIkeTests 명령어를 사용하여 IPsec/IKEv2 라이브러리 모듈 단위 테스트를 실행할 수도 있습니다.