Das Modul „IPsec/IKEv2 Library“ bietet einen Mechanismus zum Aushandeln von Sicherheitsparametern (Schlüssel, Algorithmen, Tunnelkonfigurationen) für neue und bestehende Android-Funktionen wie Interworking Wireless LAN (IWLAN) und VPNs. Dieses Modul kann aktualisiert werden. Das bedeutet, dass es Funktionsupdates außerhalb des normalen Android-Releasezyklus erhalten kann.
Das IPsec/IKEv2-Bibliotheksmodul bietet die folgenden Vorteile.
Unterstützung für IMS, IWLAN und moderne VPNs. Für das IP Multimedia Subsystem (IMS) und IWLAN ist IKEv2 erforderlich, um Schlüsselaustausche sicher und zuverlässig durchzuführen. In Android 11 ist die IKEv2-Verhandlungsbibliothek des IPsec/IKEv2-Bibliotheksmoduls die Standardimplementierung eines IKEv2-Clients auf der Plattform, der die Erstkonfiguration, die regelmäßige Neuverschlüsselung, die Erkennung von inaktiven Peers und die Übergabe unterstützt. Das Modul ermöglicht auch die Einstellung und den Ersatz der auf Racoon basierenden IKEv1-VPN-Bibliothek, die als standardmäßiger integrierter VPN-Client in Android 10 und niedriger verwendet wird.
Einheitlichkeit des Ökosystems: Die Verwendung der IPsec/IKEv2-Negotiation-Bibliothek als Standardbibliothek der Plattform fördert die Konsistenz im gesamten Ökosystem, reduziert die Abhängigkeiten von Implementierungen mit geschlossenem Quellcode und verbessert die Wartungsfreundlichkeit und Aktualisierbarkeit. Eine reine Clientimplementierung, die auf der IPsec API von Android basiert, ermöglicht die Nutzung der Linux-IPsec-Unterstützung, ohne dass die erhöhten Berechtigungen erforderlich sind, die für einen IKEv2-Daemon benötigt werden. Die IKEv2-Bibliothek ist in Java geschrieben, um Sicherheitsprobleme zu vermeiden, die in C- oder C++-Implementierungen gefunden wurden.
Schnelle Lösungen für Sicherheits- und Interoperabilitätsprobleme: IPsec/IKEv2 ist sicherheitskritischer Code, der VPNs beim Schutz von Nutzerdaten unterstützt. Viele Clients und Server implementieren das IKEv2-Protokoll leicht unterschiedlich, was zu potenziellen Interoperabilitätsproblemen zwischen der IKEv2-Bibliothek und anderen IKEv2-Servern führen kann. Durch die Aktualisierbarkeit von Modulen kann das Android-Team schnell auf Sicherheitslücken reagieren und Interoperabilitätsfehler beheben, während der Aufwand für Ökosystempartner minimiert wird.
Modulgrenze
Das Modul „IPsec/IKEv2 Library“ befindet sich in packages/modules/IPsec.
Modulformat
Das IPsec/IKEv2-Bibliotheksmodul (com.android.ipsec) ist im APEX-Format verfügbar und kann auf Geräten mit Android 11 oder höher verwendet werden.
Personalisierung
Das IPsec/IKEv2-Bibliotheksmodul unterstützt keine Anpassung.
Testen
Die Android Compatibility Test Suite (CTS) überprüft die Funktionalität des IPsec/IKEv2-Bibliotheksmoduls, indem bei jeder Modulversion eine umfassende Reihe von CTS-Tests ausgeführt wird. Sie können auch Modultests für die IPsec/IKEv2-Bibliothek mit dem Befehl atest FrameworksIkeTests ausführen.