Android 11 兼容性定义

使用合集保持井井有条 根据您的偏好保存内容并对其进行分类。

1. 简介

本文档列举了设备要与 Android 11 兼容必须满足的要求。

“MUST”、“MUST NOT”、“REQUIRED”、“SHALL”、“SHALL NOT”、“SHOULD”、“SHOULD NOT”、“RECOMMENDED”、“MAY” 和 “OPTIONAL” 的用法均符合 IETF 标准，该标准在 RFC2119 中定义。

在本文档中，“设备实现方”或“实现方”是指开发运行 Android 11 的硬件/软件解决方案的个人或组织。“设备实现”或“实现”是指如此开发的硬件/软件解决方案。

要被视为与 Android 11 兼容，设备实现必须满足本兼容性定义中提出的要求，包括通过引用并入的任何文档。

如果本定义或第 10 节中描述的软件测试中存在沉默、歧义或不完整之处，则设备实现方有责任确保与现有实现的兼容性。

因此，Android 开源项目既是 Android 的参考实现，也是首选实现。强烈建议设备实现方尽可能基于 Android 开源项目提供的“上游”源代码来实现其实现。虽然某些组件在理论上可以替换为替代实现，但强烈建议不要效仿这种做法，因为通过软件测试将变得非常困难。实现方有责任确保与标准 Android 实现的完全行为兼容性，包括兼容性测试套件及其他方面。最后请注意，本文档明确禁止某些组件替换和修改。

本文档中链接的许多资源直接或间接地来源于 Android SDK，并且在功能上与该 SDK 文档中的信息相同。如果本兼容性定义或兼容性测试套件与 SDK 文档不一致，则以 SDK 文档为准。本文档中链接资源中提供的任何技术细节均被视为本兼容性定义的一部分。

1.1 文档结构

1.1.1. 按设备类型划分的要求

第 2 节包含适用于特定设备类型的所有要求。第 2 节的每个小节都专门针对一种特定设备类型。

普遍适用于任何 Android 设备实现的所有其他要求都列在第 2 节之后的章节中。这些要求在本文档中被称为“核心要求”。

1.1.2. 要求 ID

要求 ID 针对 MUST 要求分配。

• ID 仅针对 MUST 要求分配。
• STRONGLY RECOMMENDED 要求标记为 [SR]，但不分配 ID。
• ID 由以下部分组成：设备类型 ID - 条件 ID - 要求 ID（例如 C-0-1）。

每个 ID 的定义如下

• 设备类型 ID（详情请参阅 2. 设备类型）
  • C：核心（适用于任何 Android 设备实现的要求）
  • H：Android 手持设备
  • T：Android 电视设备
  • A：Android 汽车实现
  • W：Android 手表实现
  • Tab：Android 平板电脑实现
• 条件 ID
  • 当要求为无条件时，此 ID 设置为 0。
  • 当要求为有条件时，对于第 1 个条件分配 1，并且在同一节和同一设备类型内，数字递增 1。
• 要求 ID
  • 此 ID 从 1 开始，并在同一节和同一条件下递增 1。

1.1.3. 第 2 节中的要求 ID

第 2 节中的要求 ID 以相应的节 ID 开头，后跟上述要求 ID。

• 第 2 节中的 ID 由以下部分组成：节 ID / 设备类型 ID - 条件 ID - 要求 ID（例如 7.4.3/A-0-1）。

2. 设备类型

虽然 Android 开源项目提供了一个软件堆栈，可用于各种设备类型和外形规格，但有些设备类型具有相对更完善的应用分发生态系统。

本节介绍了这些设备类型，以及适用于每种设备类型的其他要求和建议。

所有不属于任何所述设备类型的 Android 设备实现仍必须满足本兼容性定义的其他章节中的所有要求。

2.1 设备配置

如需了解按设备类型划分的硬件配置的主要差异，请参阅本节中后续的设备特定要求。

2.2. 手持设备要求

Android 手持设备是指通常通过手持方式使用的 Android 设备实现，例如 mp3 播放器、手机或平板电脑。

如果 Android 设备实现满足以下所有条件，则归类为手持设备

• 具有提供移动性的电源，例如电池。
• 物理对角屏幕尺寸在 3.3 英寸（对于在早于 Android 11 的 API 级别上发布的设备为 2.5 英寸）到 8 英寸的范围内。

本节其余部分中的附加要求特定于 Android 手持设备实现。

2.2.1. 硬件

手持设备实现

• [7.1.1.1/H-0-1] 必须至少有一个 Android 兼容显示屏，该显示屏满足本文档中描述的所有要求。
• [7.1.1.3/H-SR] 强烈建议为用户提供更改显示尺寸（屏幕密度）的途径。

如果手持设备实现支持软件屏幕旋转，则它们

• [7.1.1.1/H-1-1]* 必须使可供第三方应用使用的逻辑屏幕在短边上至少为 2 英寸，在长边上至少为 2.7 英寸。在本兼容性定义文档的 API 级别之前发布的设备可免除此要求。

如果手持设备实现不支持软件屏幕旋转，则它们

• [7.1.1.1/H-2-1]* 必须使可供第三方应用使用的逻辑屏幕在短边上至少为 2.7 英寸。在本兼容性定义文档的 API 级别之前发布的设备可免除此要求。

如果手持设备实现通过 Configuration.isScreenHdr() 声明支持高动态范围显示屏，则它们

• [7.1.4.5/H-1-1] 必须声明支持 EGL_EXT_gl_colorspace_bt2020_pq、EGL_EXT_surface_SMPTE2086_metadata、EGL_EXT_surface_CTA861_3_metadata、VK_EXT_swapchain_colorspace 和 VK_EXT_hdr_metadata 扩展程序。

手持设备实现

• [7.1.4.6/H-0-1] 必须通过系统属性 graphics.gpu.profiler.support 报告设备是否支持 GPU 性能剖析功能。

如果手持设备实现通过系统属性 graphics.gpu.profiler.support 声明支持，则它们

• [7.1.4.6/H-1-1] 必须以符合 Perfetto 文档中定义的 GPU 计数器和 GPU 渲染阶段架构的 protobuf 轨迹作为输出进行报告。
• [7.1.4.6/H-1-2] 必须按照 gpu counter trace packet proto 报告设备 GPU 计数器的符合性值。
• [7.1.4.6/H-1-3] 必须按照 render stage trace packet proto 报告设备 GPU 渲染阶段的符合性值。
• [7.1.4.6/H-1-4] 必须按照格式 power/gpu_frequency 报告 GPU 频率跟踪点。

手持设备实现

• [7.1.5/H-0-1] 必须包含对上游 Android 开源代码实现的旧版应用兼容模式的支持。也就是说，设备实现不得更改激活兼容模式的触发器或阈值，也不得更改兼容模式本身的行为。
• [7.2.1/H-0-1] 必须包含对第三方输入法编辑器 (IME) 应用的支持。
• [7.2.3/H-0-3] 必须在提供主屏幕的所有 Android 兼容显示屏上提供“主页”功能。
• [7.2.3/H-0-4] 必须在所有 Android 兼容显示屏上提供“返回”功能，并在至少一个 Android 兼容显示屏上提供“最近使用”功能。
• [7.2.3/H-0-2] 必须将“返回”功能 (KEYCODE_BACK) 的正常和长按事件都发送到前台应用。这些事件不得被系统占用，并且可以由 Android 设备外部（例如，连接到 Android 设备的外部硬件键盘）触发。
• [7.2.4/H-0-1] 必须支持触摸屏输入。
• [7.2.4/H-SR] 强烈建议在长按 KEYCODE_MEDIA_PLAY_PAUSE 或 KEYCODE_HEADSETHOOK 时启动用户选择的辅助应用，即实现 VoiceInteractionService 的应用或处理 ACTION_ASSIST 的 Activity（如果前台 Activity 不处理这些长按事件）。
• [7.3.1/H-SR] 强烈建议包含 3 轴加速度计。

如果手持设备实现包含 3 轴加速度计，则它们

• [7.3.1/H-1-1] 必须能够以至少 100 Hz 的频率报告事件。

如果手持设备实现包含 GPS/GNSS 接收器并通过 android.hardware.location.gps 功能标记向应用报告此功能，则它们

• [7.3.3/H-2-1] 必须尽快报告 GNSS 测量结果，即使尚未报告从 GPS/GNSS 计算出的位置也是如此。
• [7.3.3/H-2-2] 必须报告 GNSS 伪距和伪距速率，这些数据在确定位置后的晴空条件下，在静止或加速度小于每秒平方 0.2 米的移动状态下，足以在至少 95% 的时间内计算出 20 米以内的位置和 0.2 米/秒以内的速度。

如果手持设备实现包含 3 轴陀螺仪，则它们

• [7.3.4/H-3-1] 必须能够以至少 100 Hz 的频率报告事件。
• [7.3.4/H-3-2] 必须能够测量高达每秒 1000 度的方向变化。

能够进行语音通话并在 getPhoneType 中指示 PHONE_TYPE_NONE 以外的任何值的手持设备实现

• [7.3.8/H] 应该包含接近传感器。

手持设备实现

• [7.3.11/H-SR] 建议支持具有 6 自由度的姿势传感器。
• [7.4.3/H] 应该包含对蓝牙和蓝牙 LE 的支持。

如果手持设备实现包含按流量计费的连接，则它们

• [7.4.7/H-1-1] 必须提供流量节省程序模式。

如果手持设备实现包含使用 CameraMetadata.REQUEST_AVAILABLE_CAPABILITIES_LOGICAL_MULTI_CAMERA 列出功能的逻辑摄像头设备，则它们

• [7.5.4/H-1-1] 默认情况下必须具有正常视野 (FOV)，并且必须介于 50 度到 90 度之间。

手持设备实现

• [7.6.1/H-0-1] 必须至少有 4 GB 的非易失性存储空间可用于应用私有数据（又名“/data”分区）。
• [7.6.1/H-0-2] 当内核和用户空间可用的内存少于 1GB 时，必须为 ActivityManager.isLowRamDevice() 返回“true”。

如果手持设备实现声明仅支持 32 位 ABI

• [7.6.1/H-1-1] 如果默认显示屏使用高达 qHD（例如 FWVGA）的帧缓冲区分辨率，则内核和用户空间可用的内存必须至少为 416MB。

• [7.6.1/H-2-1] 如果默认显示屏使用高达 HD+（例如 HD、WSVGA）的帧缓冲区分辨率，则内核和用户空间可用的内存必须至少为 592MB。

• [7.6.1/H-3-1] 如果默认显示屏使用高达 FHD（例如 WSXGA+）的帧缓冲区分辨率，则内核和用户空间可用的内存必须至少为 896MB。

• [7.6.1/H-4-1] 如果默认显示屏使用高达 QHD（例如 QWXGA）的帧缓冲区分辨率，则内核和用户空间可用的内存必须至少为 1344MB。

如果手持设备实现声明支持任何 64 位 ABI（无论是否支持任何 32 位 ABI）

• [7.6.1/H-5-1] 如果默认显示屏使用高达 qHD（例如 FWVGA）的帧缓冲区分辨率，则内核和用户空间可用的内存必须至少为 816MB。

• [7.6.1/H-6-1] 如果默认显示屏使用高达 HD+（例如 HD、WSVGA）的帧缓冲区分辨率，则内核和用户空间可用的内存必须至少为 944MB。

• [7.6.1/H-7-1] 如果默认显示屏使用高达 FHD（例如 WSXGA+）的帧缓冲区分辨率，则内核和用户空间可用的内存必须至少为 1280MB。

• [7.6.1/H-8-1] 如果默认显示屏使用高达 QHD（例如 QWXGA）的帧缓冲区分辨率，则内核和用户空间可用的内存必须至少为 1824MB。

请注意，上述“内核和用户空间可用的内存”是指除已专用于硬件组件（如无线装置、视频等）的内存空间之外提供的内存空间，这些硬件组件不受设备实现上的内核控制。

如果手持设备实现包含内核和用户空间可用的内存少于或等于 1GB，则它们

• [7.6.1/H-9-1] 必须声明功能标记 android.hardware.ram.low。
• [7.6.1/H-9-2] 必须至少有 1.1 GB 的非易失性存储空间用于应用私有数据（又名“/data”分区）。

如果手持设备实现包含内核和用户空间可用的内存超过 1GB，则它们

• [7.6.1/H-10-1] 必须至少有 4GB 的非易失性存储空间可用于应用私有数据（又名“/data”分区）。
• 应该声明功能标记 android.hardware.ram.normal。

手持设备实现

• [7.6.2/H-0-1] 不得提供小于 1 GiB 的应用共享存储空间。
• [7.7.1/H] 应该包含支持外围设备模式的 USB 端口。

如果手持设备实现包含支持外围设备模式的 USB 端口，则它们

• [7.7.1/H-1-1] 必须实现 Android 开放配件 (AOA) API。

如果手持设备实现包含支持主机模式的 USB 端口，则它们

• [7.7.2/H-1-1] 必须实现 Android SDK 文档中记载的 USB 音频类。

手持设备实现

• [7.8.1/H-0-1] 必须包含麦克风。
• [7.8.2/H-0-1] 必须具有音频输出并声明 android.hardware.audio.output。

如果手持设备实现能够满足支持 VR 模式的所有性能要求并包含对 VR 模式的支持，则它们

• [7.9.1/H-1-1] 必须声明 android.hardware.vr.high_performance 功能标记。
• [7.9.1/H-1-2] 必须包含一个实现 android.service.vr.VrListenerService 的应用，VR 应用可以通过 android.app.Activity#setVrModeEnabled 启用该应用。

如果手持设备实现包含一个或多个处于主机模式的 USB-C 端口并实现（USB 音频类），除了 第 7.7.2 节中的要求外，它们还

• [7.8.2.2/H-1-1] 必须提供以下 HID 代码的软件映射

• [7.8.2.2/H-1-2] 必须在插入插头时触发 ACTION_HEADSET_PLUG Intent，但前提是 USB 音频接口和端点已正确枚举，以便识别连接的终端类型。

当检测到 USB 音频终端类型 0x0302 时，它们

• [7.8.2.2/H-2-1] 必须广播 Intent ACTION_HEADSET_PLUG，并将“麦克风”附加内容设置为 0。

当检测到 USB 音频终端类型 0x0402 时，它们

• [7.8.2.2/H-3-1] 必须广播 Intent ACTION_HEADSET_PLUG，并将“麦克风”附加内容设置为 1。

当 USB 外围设备连接时调用 API AudioManager.getDevices() 时，它们

• [7.8.2.2/H-4-1] 如果 USB 音频终端类型字段为 0x0302，则必须列出类型为 AudioDeviceInfo.TYPE_USB_HEADSET 且角色为 isSink() 的设备。

• [7.8.2.2/H-4-2] 如果 USB 音频终端类型字段为 0x0402，则必须列出类型为 AudioDeviceInfo.TYPE_USB_HEADSET 且角色为 isSink() 的设备。

• [7.8.2.2/H-4-3] 如果 USB 音频终端类型字段为 0x0402，则必须列出类型为 AudioDeviceInfo.TYPE_USB_HEADSET 且角色为 isSource() 的设备。

• [7.8.2.2/H-4-4] 如果 USB 音频终端类型字段为 0x603，则必须列出类型为 AudioDeviceInfo.TYPE_USB_DEVICE 且角色为 isSink() 的设备。

• [7.8.2.2/H-4-5] 如果 USB 音频终端类型字段为 0x604，则必须列出类型为 AudioDeviceInfo.TYPE_USB_DEVICE 且角色为 isSource() 的设备。

• [7.8.2.2/H-4-6] 如果 USB 音频终端类型字段为 0x400，则必须列出类型为 AudioDeviceInfo.TYPE_USB_DEVICE 且角色为 isSink() 的设备。

• [7.8.2.2/H-4-7] 如果 USB 音频终端类型字段为 0x400，则必须列出类型为 AudioDeviceInfo.TYPE_USB_DEVICE 且角色为 isSource() 的设备。

• [7.8.2.2/H-SR] 强烈建议在连接 USB-C 音频外围设备后，在不到 1000 毫秒的时间内执行 USB 描述符的枚举、识别终端类型并广播 Intent ACTION_HEADSET_PLUG。

如果手持设备实现包含至少一个触感促动器，则它们

• [7.10/H-SR]* 强烈建议不要使用偏心旋转质量 (ERM) 触感促动器（振动器）。
• [7.10/H]* 应该将促动器放置在靠近用户通常握持或触摸设备的位置。
• [7.10/H-SR]* 强烈建议在 android.view.HapticFeedbackConstants 中实现 清晰触感的所有公共常量，即（CLOCK_TICK、CONTEXT_CLICK、KEYBOARD_PRESS、KEYBOARD_RELEASE、KEYBOARD_TAP、LONG_PRESS、TEXT_HANDLE_MOVE、VIRTUAL_KEY、VIRTUAL_KEY_RELEASE、CONFIRM、REJECT、GESTURE_START 和 GESTURE_END）。
• [7.10/H-SR]* 强烈建议在 android.os.VibrationEffect 中实现 清晰触感的所有公共常量，即（EFFECT_TICK、EFFECT_CLICK、EFFECT_HEAVY_CLICK 和 EFFECT_DOUBLE_CLICK），并在 android.os.VibrationEffect.Composition 中实现 丰富触感的所有公共常量，即（PRIMITIVE_CLICK 和 PRIMITIVE_TICK）。
• [7.10/H-SR]* 强烈建议使用这些链接的触感常量映射。
• [7.10/H-SR]* 强烈建议遵循 质量评估，以评估 createOneShot() 和 createWaveform() API 的质量。
• [7.10/H-SR]* 强烈建议通过运行 android.os.Vibrator.hasAmplitudeControl() 来验证振幅可伸缩性的功能。

线性谐振促动器 (LRA) 是一种单质量弹簧系统，它具有一个主谐振频率，在该频率下，质量沿所需运动方向平移。

如果手持设备实现包含至少一个线性谐振促动器，则它们

• [7.10/H]* 应该在纵向方向的 X 轴上移动触感促动器。

如果手持设备实现具有 X 轴线性谐振促动器 (LRA) 触感促动器，则它们

• [7.10/H-SR]* 强烈建议 X 轴 LRA 的谐振频率低于 200 Hz。

如果手持设备实现遵循触感常量映射，则它们

• [7.10/H-SR]* 强烈建议对触感常量执行质量评估。

2.2.2. 多媒体

手持设备实现必须支持以下音频编码和解码格式，并使其可供第三方应用使用

• [5.1/H-0-1] AMR-NB
• [5.1/H-0-2] AMR-WB
• [5.1/H-0-3] MPEG-4 AAC Profile (AAC LC)
• [5.1/H-0-4] MPEG-4 HE AAC Profile (AAC+)
• [5.1/H-0-5] AAC ELD（增强型低延迟 AAC）

手持设备实现必须支持以下视频编码格式，并使其可供第三方应用使用

• [5.2/H-0-1] H.264 AVC
• [5.2/H-0-2] VP8

手持设备实现必须支持以下视频解码格式，并使其可供第三方应用使用

• [5.3/H-0-1] H.264 AVC
• [5.3/H-0-2] H.265 HEVC
• [5.3/H-0-3] MPEG-4 SP
• [5.3/H-0-4] VP8
• [5.3/H-0-5] VP9

2.2.3. 软件

手持设备实现

• [3.2.3.1/H-0-1] 必须具有一个应用来处理 SDK 文档中描述的 ACTION_GET_CONTENT、ACTION_OPEN_DOCUMENT、ACTION_OPEN_DOCUMENT_TREE 和 ACTION_CREATE_DOCUMENT Intent，并提供用户途径以使用 DocumentsProvider API 访问文档提供程序数据。
• [3.2.3.1/H-0-2]* 必须预加载一个或多个具有 Intent 处理程序的应用或服务组件，以处理此处列出的以下应用 Intent 定义的所有公共 Intent 过滤器模式。
• [3.2.3.1/H-SR] 强烈建议 预加载一个可以处理 ACTION_SENDTO 或 ACTION_SEND 或 ACTION_SEND_MULTIPLE intents 以发送电子邮件的电子邮件应用程序。
• [3.4.1/H-0-1] 必须 提供 android.webkit.Webview API 的完整实现。
• [3.4.2/H-0-1] 必须 包含一个独立的浏览器应用程序，用于通用的用户网页浏览。
• [3.8.1/H-SR] 强烈建议 实现一个默认启动器，该启动器支持应用内固定快捷方式、小部件和 widgetFeatures。
• [3.8.1/H-SR] 强烈建议 实现一个默认启动器，该启动器提供通过 ShortcutManager API 快速访问第三方应用程序提供的其他快捷方式。
• [3.8.1/H-SR] 强烈建议 包含一个默认启动器应用程序，该应用程序显示应用程序图标的徽章。
• [3.8.2/H-SR] 强烈建议 支持第三方应用程序小部件。
• [3.8.3/H-0-1] 必须 允许第三方应用程序通过 Notification 和 NotificationManager API 类通知用户值得注意的事件。
• [3.8.3/H-0-2] 必须 支持富通知。
• [3.8.3/H-0-3] 必须 支持浮动通知。
• [3.8.3/H-0-4] 必须 包含一个通知栏，为用户提供直接控制（例如，回复、稍后提醒、关闭、阻止）通知的能力，通过用户操作，例如操作按钮或 AOSP 中实现的控制面板。
• [3.8.3/H-0-5] 必须 在通知栏中显示通过 RemoteInput.Builder setChoices() 提供的选项。
• [3.8.3/H-SR] 强烈建议 在通知栏中显示通过 RemoteInput.Builder setChoices() 提供的第一个选项，而无需额外的用户交互。
• [3.8.3/H-SR] 强烈建议 当用户展开通知栏中的所有通知时，在通知栏中显示通过 RemoteInput.Builder setChoices() 提供的所有选项。
• [3.8.3.1/H-SR] 强烈建议 显示 Notification.Action.Builder.setContextual 设置为 true 的操作，与 Notification.Remoteinput.Builder.setChoices 显示的回复内联。
• [3.8.4/H-SR] 强烈建议 在设备上实现一个助手来处理 Assist action。

如果手持设备实现支持 Assist action，则它们

• [3.8.4/H-SR] 强烈建议 使用长按 HOME 键作为指定的交互来启动助手应用程序，如 7.2.3 节 中所述。必须 启动用户选择的助手应用程序，换句话说，实现 VoiceInteractionService 的应用程序，或处理 ACTION_ASSIST intent 的 activity。

如果手持设备实现支持 conversation notifications 并将它们与警报和静默非对话通知分开分组，则它们

• [3.8.4/H-1-1]* 必须 将对话通知显示在非对话通知之前，但正在进行的前台服务通知和 importance:high 通知除外。

如果 Android 手持设备实现支持锁屏，则它们

• [3.8.10/H-1-1] 必须 显示锁屏通知，包括媒体通知模板。

如果手持设备实现支持安全锁屏，则它们

• [3.9/H-1-1] 必须 实现 Android SDK 文档中定义的 设备管理 策略的全部范围。
• [3.9/H-1-2] 必须 声明通过 android.software.managed_users 功能标志支持托管配置文件，除非设备配置为使其 报告 自身为低 RAM 设备，或使其将内部（不可移动）存储分配为共享存储。

如果手持设备实现包含对 ControlsProviderService 和 Control API 的支持，并允许第三方应用程序发布 设备控件，那么它们

• [3.8.16/H-1-1] 必须 声明功能标志 android.software.controls 并将其设置为 true。
• [3.8.16/H-1-2] 必须 提供用户操作界面，允许用户从第三方应用程序通过 ControlsProviderService 和 Control API 注册的控件中添加、编辑、选择和操作用户最喜欢的设备控件。
• [3.8.16/H-1-3] 必须 在默认启动器的三次交互内提供对此用户操作界面的访问。
• [3.8.16/H-1-4] 必须 在此用户操作界面中准确呈现每个通过 ControlsProviderService API 提供控件的第三方应用程序的名称和图标，以及 Control API 提供的任何指定字段。

相反，如果手持设备实现不实现此类控件，则它们

• [3.8.16/H-2-1] 必须 为 ControlsProviderService 和 Control API 报告 null。
• [3.8.16/H-2-2] 必须 声明功能标志 android.software.controls 并将其设置为 false。

手持设备实现

• [3.10/H-0-1] 必须 支持第三方辅助功能服务。
• [3.10/H-SR] 强烈建议 在设备上预加载辅助功能服务，其功能与 talkback 开源项目 中提供的 Switch Access 和 TalkBack（对于预装的文本到语音引擎支持的语言）辅助功能服务相当或超出其功能。
• [3.11/H-0-1] 必须 支持安装第三方 TTS 引擎。
• [3.11/H-SR] 强烈建议 包含一个 TTS 引擎，支持设备上可用的语言。
• [3.13/H-SR] 强烈建议 包含一个快速设置 UI 组件。

如果 Android 手持设备实现声明 FEATURE_BLUETOOTH 或 FEATURE_WIFI 支持，则它们

• [3.16/H-1-1] 必须 支持伴侣设备配对功能。

如果导航功能作为屏幕上的基于手势的操作提供

• [7.2.3/H] Home 功能的手势识别区域的高度应该不超过屏幕底部 32 dp。

如果手持设备实现从屏幕左右边缘的任何位置提供导航功能作为手势

• [7.2.3/H-0-1] 导航功能的手势区域在每侧必须小于 40 dp 宽度。默认情况下，手势区域应该为 24 dp 宽度。

2.2.4. 性能和功耗

• [8.1/H-0-1] 一致的帧延迟。不一致的帧延迟或渲染帧的延迟必须不得超过每秒 5 帧发生，并且应该低于每秒 1 帧。
• [8.1/H-0-2] 用户界面延迟。设备实现必须确保低延迟用户体验，通过在小于 36 秒内滚动 Android 兼容性测试套件 (CTS) 定义的 10K 列表条目列表。
• [8.1/H-0-3] 任务切换。当多个应用程序已启动时，重新启动已启动的应用程序在启动后必须少于 1 秒。

手持设备实现

• [8.2/H-0-1] 必须 确保至少 5 MB/s 的顺序写入性能。
• [8.2/H-0-2] 必须 确保至少 0.5 MB/s 的随机写入性能。
• [8.2/H-0-3] 必须 确保至少 15 MB/s 的顺序读取性能。
• [8.2/H-0-4] 必须 确保至少 3.5 MB/s 的随机读取性能。

如果手持设备实现包括 AOSP 中包含的或扩展 AOSP 中包含的功能的设备电源管理改进功能，则它们

• [8.3/H-1-1] 必须 提供用户操作界面以启用和禁用省电模式功能。
• [8.3/H-1-2] 必须 提供用户操作界面以显示所有免除应用程序待机和 Doze 省电模式的应用程序。

手持设备实现

• [8.4/H-0-1] 必须 提供每个组件的功耗配置文件，该文件定义了每个硬件组件的 电流消耗值 以及 Android 开源项目站点中记录的组件随时间推移造成的大概电池损耗。
• [8.4/H-0-2] 必须 以毫安时 (mAh) 为单位报告所有功耗值。
• [8.4/H-0-3] 必须 报告每个进程的 UID 的 CPU 功耗。Android 开源项目通过 uid_cputime 内核模块实现满足此要求。
• [8.4/H-0-4] 必须 通过 adb shell dumpsys batterystats shell 命令向应用程序开发者提供此功耗使用情况。
• [8.4/H] 如果无法将硬件组件功耗归因于应用程序，则应该归因于硬件组件本身。

如果手持设备实现包括屏幕或视频输出，则它们

• [8.4/H-1-1] 必须 遵守 android.intent.action.POWER_USAGE_SUMMARY intent 并显示一个设置菜单，显示此功耗使用情况。

2.2.5. 安全模型

手持设备实现

• [9.1/H-0-1] 必须 允许第三方应用程序通过 android.permission.PACKAGE_USAGE_STATS 权限访问使用情况统计信息，并提供用户可访问的机制，以响应 android.settings.ACTION_USAGE_ACCESS_SETTINGS intent 授予或撤销对此类应用程序的访问权限。

手持设备实现（* 不适用于平板电脑）

• [9.11/H-0-2]* 必须 使用隔离的执行环境备份密钥库实现。
• [9.11/H-0-3]* 必须 具有 RSA、AES、ECDSA 和 HMAC 加密算法以及 MD5、SHA1 和 SHA-2 系列哈希函数的实现，以便在安全地与内核及以上运行的代码隔离的区域中正确支持 Android Keystore 系统支持的算法。安全隔离必须阻止内核或用户空间代码可能访问隔离环境内部状态的所有潜在机制，包括 DMA。上游 Android 开源项目 (AOSP) 通过使用 Trusty 实现满足此要求，但另一个基于 ARM TrustZone 的解决方案或第三方审查的基于适当虚拟机监控程序的隔离的安全实现是替代选项。
• [9.11/H-0-4]* 必须 在隔离的执行环境中执行锁屏身份验证，并且仅在成功时，才允许使用身份验证绑定的密钥。锁屏凭据的存储方式必须仅允许隔离的执行环境执行锁屏身份验证。上游 Android 开源项目提供了 Gatekeeper 硬件抽象层 (HAL) 和 Trusty，可用于满足此要求。
• [9.11/H-0-5]* 必须 支持密钥证明，其中证明签名密钥受安全硬件保护，并且签名在安全硬件中执行。证明签名密钥的共享数量必须足够多，以防止密钥被用作设备标识符。满足此要求的一种方法是共享相同的证明密钥，除非生产了给定 SKU 的至少 100,000 个单元。如果生产了超过 100,000 个 SKU 单元，则每个 100,000 个单元可以使用不同的密钥。

请注意，如果设备实现已在较早的 Android 版本上启动，则此类设备免于拥有由隔离的执行环境支持的密钥库并支持密钥证明的要求，除非它声明 android.hardware.fingerprint 功能，该功能需要由隔离的执行环境支持的密钥库。

当手持设备实现支持安全锁屏时，它们

• [9.11/H-1-1] 必须 允许用户选择最短的睡眠超时时间，即从解锁状态到锁定状态的过渡时间，为 15 秒或更短。
• [9.11/H-1-2] 必须 提供用户操作界面以隐藏通知并禁用除 9.11.1 安全锁屏 中描述的主要身份验证之外的所有形式的身份验证。AOSP 将要求作为锁定模式满足。

如果手持设备实现包括多用户并且未声明 android.hardware.telephony 功能标志，则它们

• [9.5/H-2-1] 必须 支持受限配置文件，该功能允许设备所有者管理设备上的其他用户及其功能。借助受限配置文件，设备所有者可以快速为其他用户设置单独的工作环境，并能够更精细地管理这些环境中可用的应用程序中的限制。

如果手持设备实现包括多用户并且声明 android.hardware.telephony 功能标志，则它们

• [9.5/H-3-1] 必须不得 支持受限配置文件，但必须与 AOSP 控制实现保持一致，以启用/禁用其他用户访问语音通话和短信。

2.2.6. 开发者工具和选项兼容性

手持设备实现（* 不适用于平板电脑）

• [6.1/H-0-1]* 必须 支持 shell 命令 cmd testharness。

手持设备实现（* 不适用于平板电脑）

• Perfetto
  • [6.1/H-0-2]* 必须 向 shell 用户公开 /system/bin/perfetto 二进制文件，其 cmdline 符合 perfetto 文档。
  • [6.1/H-0-3]* perfetto 二进制文件必须接受符合 perfetto 文档 中定义的架构的 protobuf 配置作为输入。
  • [6.1/H-0-4]* perfetto 二进制文件必须将符合 perfetto 文档 中定义的架构的 protobuf 跟踪作为输出写入。
  • [6.1/H-0-5]* 必须 通过 perfetto 二进制文件提供至少 perfetto 文档 中描述的数据源。
  • [6.1/H-0-6]* perfetto 跟踪守护程序必须默认启用（系统属性 persist.traced.enable）。

2.2.7 手持媒体性能等级

有关媒体性能等级的定义，请参见 7.11 节。

2.2.7.1. 媒体

如果手持设备实现为 android.os.Build.VERSION_CODES.MEDIA_PERFORMANCE_CLASS 返回 android.os.Build.VERSION_CODES.R，则它们

• [5.1/H-1-1] 必须 通过 CodecCapabilities.getMaxSupportedInstances() 和 VideoCapabilities.getSupportedPerformancePoints() 方法，通告可以在任何编解码器组合中并发运行的最大硬件视频解码器会话数。
• [5.1/H-1-2] 必须 支持在 720p 分辨率@30 fps 下并发运行的任何编解码器组合中支持 6 个硬件视频解码器会话实例（AVC 或 HEVC）。
• [5.1/H-1-3] 必须 通过 CodecCapabilities.getMaxSupportedInstances() 和 VideoCapabilities.getSupportedPerformancePoints() 方法，通告可以在任何编解码器组合中并发运行的最大硬件视频编码器会话数。
• [5.1/H-1-4] 必须 支持在 720p 分辨率@30 fps 下并发运行的任何编解码器组合中支持 6 个硬件视频编码器会话实例（AVC 或 HEVC）。
• [5.1/H-1-5] 必须 通过 CodecCapabilities.getMaxSupportedInstances() 和 VideoCapabilities.getSupportedPerformancePoints() 方法，通告可以在任何编解码器组合中并发运行的最大硬件视频编码器和解码器会话数。
• [5.1/H-1-6] 必须 支持在 720p@30 fps 分辨率下并发运行的任何编解码器组合中支持 6 个硬件视频解码器和硬件视频编码器会话实例（AVC 或 HEVC）。
• [5.1/H-1-7] 负载下，对于所有硬件视频编码器（Dolby vision 编解码器除外），1080p 或更小视频编码会话的编解码器初始化延迟必须为 65 毫秒或更短。此处的负载定义为使用硬件视频编解码器与 1080p 音视频录制初始化同时进行的 1080p 到 720p 纯视频转码会话。
• [5.1/H-1-8] 负载下，对于所有音频编码器，128 kbps 或更低比特率音频编码会话的编解码器初始化延迟必须为 50 毫秒或更短。此处的负载定义为使用硬件视频编解码器与 1080p 音视频录制初始化同时进行的 1080p 到 720p 纯视频转码会话。
• [5.3/H-1-1] 在负载下，对于 1080p 30 fps 视频会话，必须不得每 10 秒丢帧超过 1 帧（即，小于 0.333% 的丢帧率）。负载定义为使用硬件视频编解码器与 128 kbps AAC 音频播放同时进行的 1080p 到 720p 纯视频转码会话。
• [5.3/H-1-2] 在负载下，在 30 fps 视频会话中进行视频分辨率更改期间，必须不得每 10 秒丢帧超过 1 帧。负载定义为使用硬件视频编解码器与 128Kbps AAC 音频播放同时进行的 1080p 到 720p 纯视频转码会话。
• [5.6/H-1-1] 使用 OboeTester 点击到音调测试或 CTS 验证程序点击到音调测试，点击到音调的延迟时间必须少于 100 毫秒。

2.2.7.2. 相机

如果手持设备实现为 android.os.Build.VERSION_CODES.MEDIA_PERFORMANCE_CLASS 返回 android.os.Build.VERSION_CODES.R，则它们

• [7.5/H-1-1] 必须 具有主后置摄像头，分辨率至少为 12 兆像素，支持 4k@30fps 视频拍摄。主后置摄像头是摄像头 ID 最低的后置摄像头。
• [7.5/H-1-2] 必须 具有主前置摄像头，分辨率至少为 4 兆像素，支持 1080p@30fps 视频拍摄。主前置摄像头是摄像头 ID 最低的前置摄像头。
• [7.5/H-1-3] 对于主后置摄像头，必须支持 android.info.supportedHardwareLevel 属性为 FULL 或更好，对于主前置摄像头，必须支持 LIMITED 或更好。
• [7.5/H-1-4] 对于两个主摄像头，必须支持 CameraMetadata.SENSOR_INFO_TIMESTAMP_SOURCE_REALTIME。
• [7.5/H-1-5] 对于两个主摄像头，在 ITS 照明条件 (3000K) 下，CTS 相机 PerformanceTest 测量的 camera2 JPEG 拍摄延迟必须 < 1000 毫秒，分辨率为 1080p。
• [7.5/H-1-6] 对于两个主摄像头，在 ITS 照明条件 (3000K) 下，CTS 相机 PerformanceTest 测量的 camera2 启动延迟（打开摄像头到第一帧预览帧）必须 < 600 毫秒。

2.2.7.3. 硬件

如果手持设备实现为 android.os.Build.VERSION_CODES.MEDIA_PERFORMANCE_CLASS 返回 android.os.Build.VERSION_CODES.R，则它们

• [7.1.1.1/H-1-1] 必须 具有至少 1080p 的屏幕分辨率。
• [7.1.1.3/H-1-1] 必须 具有至少 400 dpi 的屏幕密度。
• [7.6.1/H-1-1] 必须 具有至少 6 GB 的物理内存。

2.2.7.4. 性能

如果手持设备实现为 android.os.Build.VERSION_CODES.MEDIA_PERFORMANCE_CLASS 返回 android.os.Build.VERSION_CODES.R，则它们

• [8.2/H-1-1] 必须 确保至少 100 MB/s 的顺序写入性能。
• [8.2/H-1-2] 必须 确保至少 10 MB/s 的随机写入性能。
• [8.2/H-1-3] 必须 确保至少 200 MB/s 的顺序读取性能。
• [8.2/H-1-4] 必须 确保至少 25 MB/s 的随机读取性能。

2.3. 电视要求

Android 电视设备是指 Android 设备实现，它是一种娱乐界面，供用户在约十英尺远的地方（“后仰”或“10 英尺用户界面”）消费数字媒体、电影、游戏、应用程序和/或直播电视。

如果 Android 设备实现满足以下所有条件，则将其归类为电视

• 已提供一种机制来远程控制显示器上呈现的用户界面，该显示器可能位于离用户十英尺远的地方。
• 具有对角线长度大于 24 英寸的嵌入式屏幕显示器，或者包括视频输出端口，例如 VGA、HDMI、DisplayPort 或用于显示的无线端口。

本节其余部分的附加要求特定于 Android 电视设备实现。

2.3.1. 硬件

电视设备实现

• [7.2.2/T-0-1] 必须 支持 D-pad。
• [7.2.3/T-0-1] 必须 提供 Home 和 Back 功能。
• [7.2.3/T-0-2] 必须 将 Back 功能 (KEYCODE_BACK) 的正常和长按事件都发送到前台应用程序。
• [7.2.6.1/T-0-1] 必须 包括对游戏控制器的支持，并声明 android.hardware.gamepad 功能标志。
• [7.2.7/T] 应该 提供一个遥控器，用户可以通过该遥控器访问 非触摸导航 和 核心导航键 输入。

如果电视设备实现包括 3 轴陀螺仪，则它们

• [7.3.4/T-1-1] 必须 能够报告高达至少 100 Hz 的频率的事件。
• [7.3.4/T-1-2] 必须 能够测量高达每秒 1000 度的方向变化。

电视设备实现

• [7.4.3/T-0-1] 必须 支持蓝牙和蓝牙 LE。
• [7.6.1/T-0-1] 必须 具有至少 4 GB 的非易失性存储空间，可用于应用程序私有数据（又名“/data”分区）。

如果电视设备实现包括支持主机模式的 USB 端口，则它们

• [7.5.3/T-1-1] 必须 包括对通过此 USB 端口连接但不一定始终连接的外部摄像头的支持。

如果电视设备实现是 32 位的

• [7.6.1/T-1-1] 如果使用以下任何密度，则内核和用户空间可用的内存必须至少为 896MB

  • 小型/普通屏幕上的 400dpi 或更高
  • 大型屏幕上的 xhdpi 或更高
  • 超大屏幕上的 tvdpi 或更高

如果电视设备实现是 64 位的

• [7.6.1/T-2-1] 如果使用以下任何密度，则内核和用户空间可用的内存必须至少为 1280MB

  • 小型/普通屏幕上的 400dpi 或更高
  • 大型屏幕上的 xhdpi 或更高
  • 超大屏幕上的 tvdpi 或更高

请注意，上述“内核和用户空间可用的内存”是指除已专用于硬件组件（如无线装置、视频等）的内存空间之外提供的内存空间，这些硬件组件不受设备实现上的内核控制。

电视设备实现

• [7.8.1/T] 应该 包含麦克风。
• [7.8.2/T-0-1] 必须 具有音频输出并声明 android.hardware.audio.output。

2.3.2. 多媒体

电视设备实现必须支持以下音频编码和解码格式，并使它们可供第三方应用程序使用

• [5.1/T-0-1] MPEG-4 AAC Profile (AAC LC)
• [5.1/T-0-2] MPEG-4 HE AAC Profile (AAC+)
• [5.1/T-0-3] AAC ELD (增强型低延迟 AAC)

电视设备实现必须支持以下视频编码格式，并使它们可供第三方应用程序使用

• [5.2/T-0-1] H.264
• [5.2/T-0-2] VP8

电视设备实现

• [5.2.2/T-SR] 强烈建议 支持以每秒 30 帧的速度对 720p 和 1080p 分辨率的视频进行 H.264 编码。

电视设备实现必须支持以下视频解码格式，并使它们可供第三方应用程序使用

• [5.3.3/T-0-1] MPEG-4 SP
• [5.3.4/T-0-2] H.264 AVC
• [5.3.5/T-0-3] H.265 HEVC
• [5.3.6/T-0-4] VP8
• [5.3.7/T-0-5] VP9
• [5.3.1/T-0-6] MPEG-2

电视设备实现必须支持 MPEG-2 解码，如 5.3.1 节详细描述，在标准视频帧率和分辨率下，最高可达并包括

• [5.3.1/T-1-1] HD 1080p，每秒 29.97 帧，Main Profile High Level。
• [5.3.1/T-1-2] HD 1080i，每秒 59.94 帧，Main Profile High Level。它们必须对隔行扫描 MPEG-2 视频进行去隔行处理，并使其可供第三方应用程序使用。

电视设备实现必须支持 H.264 解码，如 5.3.4 节详细描述，在标准视频帧率和分辨率下，最高可达并包括

• [5.3.4/T-1-1] HD 1080p，每秒 60 帧，Baseline Profile
• [5.3.4/T-1-2] HD 1080p，每秒 60 帧，Main Profile
• [5.3.4/T-1-3] HD 1080p，每秒 60 帧，High Profile Level 4.2

具有 H.265 硬件解码器的电视设备实现必须支持 H.265 解码，如 5.3.5 节详细描述，在标准视频帧率和分辨率下，最高可达并包括

• [5.3.5/T-1-1] HD 1080p，每秒 60 帧，Main Profile Level 4.1

如果具有 H.265 硬件解码器的电视设备实现支持 H.265 解码和 UHD 解码配置文件，则它们

• [5.3.5/T-2-1] 必须 支持 UHD 解码配置文件，每秒 60 帧，Main10 Level 5 Main Tier 配置文件

电视设备实现必须支持 VP8 解码，如 5.3.6 节详细描述，在标准视频帧率和分辨率下，最高可达并包括

• [5.3.6/T-1-1] HD 1080p，每秒 60 帧解码配置文件

具有 VP9 硬件解码器的电视设备实现必须支持 VP9 解码，如 5.3.7 节详细描述，在标准视频帧率和分辨率下，最高可达并包括

• [5.3.7/T-1-1] HD 1080p，每秒 60 帧，配置文件 0（8 位颜色深度）

如果具有 VP9 硬件解码器的电视设备实现支持 VP9 解码和 UHD 解码配置文件，则它们

• [5.3.7/T-2-1] 必须 支持 UHD 解码配置文件，每秒 60 帧，配置文件 0（8 位颜色深度）。
• [5.3.7/T-2-1] 强烈建议 支持 UHD 解码配置文件，每秒 60 帧，配置文件 2（10 位颜色深度）。

电视设备实现

• [5.5/T-0-1] 必须 包括对系统主音量和受支持输出上的数字音频输出音量衰减的支持，但压缩音频直通输出（设备上未完成音频解码）除外。

如果电视设备实现没有内置显示器，而是支持通过 HDMI 连接的外部显示器，则它们

• [5.8/T-0-1] 必须 设置 HDMI 输出模式以选择可以使用 50Hz 或 60Hz 刷新率支持的最大分辨率。
• [5.8/T-SR] 强烈建议 提供用户可配置的 HDMI 刷新率选择器。
• [5.8] 应该 根据设备销售区域的视频刷新率，将 HDMI 输出模式刷新率设置为 50Hz 或 60Hz。

如果电视设备实现没有内置显示器，而是支持通过 HDMI 连接的外部显示器，则它们

• [5.8/T-1-1] 必须 支持 HDCP 2.2。

如果电视设备实现不支持 UHD 解码，而是支持通过 HDMI 连接的外部显示器，则它们

• [5.8/T-2-1] 必须 支持 HDCP 1.4

2.3.3. 软件

电视设备实现

• [3/T-0-1] 必须 声明功能 android.software.leanback 和 android.hardware.type.television。
• [3.2.3.1/T-0-1] 必须 预加载一个或多个应用程序或服务组件，这些应用程序或服务组件具有 intent 处理程序，用于 此处 列出的以下应用程序 intent 定义的所有公共 intent 过滤器模式。
• [3.4.1/T-0-1] 必须 提供 android.webkit.Webview API 的完整实现。

如果 Android 电视设备实现支持锁屏，则它们

• [3.8.10/T-1-1] 必须 显示锁屏通知，包括媒体通知模板。

电视设备实现

• [3.8.14/T-SR] 强烈建议 支持画中画 (PIP) 模式多窗口。
• [3.10/T-0-1] 必须 支持第三方辅助功能服务。
• [3.10/T-SR] 强烈建议在设备上预加载辅助功能服务，使其功能与 Switch Access 和 TalkBack（对于预装的文本转语音引擎支持的语言）辅助功能服务相当或更高，如 talkback 开源项目 中所提供。

如果电视设备实现报告了 android.hardware.audio.output 功能，则它们

• [3.11/T-SR] 强烈建议包含支持设备上可用语言的 TTS 引擎。
• [3.11/T-1-1] 必须支持安装第三方 TTS 引擎。

电视设备实现

• [3.12/T-0-1] 必须支持 TV Input Framework。

2.3.4. 性能和功耗

• [8.1/T-0-1] 一致的帧延迟。不一致的帧延迟或渲染帧的延迟必须不得超过每秒 5 帧的频率发生，并且应该低于每秒 1 帧。
• [8.2/T-0-1] 必须确保至少 5MB/秒的顺序写入性能。
• [8.2/T-0-2] 必须确保至少 0.5MB/秒的随机写入性能。
• [8.2/T-0-3] 必须确保至少 15MB/秒的顺序读取性能。
• [8.2/T-0-4] 必须确保至少 3.5MB/秒的随机读取性能。

如果电视设备实现包含 AOSP 中包含的或扩展 AOSP 中包含的功能以改进设备电源管理，则它们

• [8.3/T-1-1] 必须提供用户界面以启用和停用省电功能。

如果电视设备实现没有电池，则它们

• [8.3/T-1-2] 必须按照 支持无电池设备 中的描述将设备注册为无电池设备。

如果电视设备实现有电池，则它们

• [8.3/T-1-3] 必须提供用户界面以显示所有从应用待机和 Doze 省电模式中豁免的应用。

电视设备实现

• [8.4/T-0-1] 必须提供每个组件的功耗配置文件，其中定义了每个硬件组件的 电流消耗值 以及 Android 开源项目站点中记录的组件随时间推移引起的大概电池耗电量。
• [8.4/T-0-2] 必须以毫安时 (mAh) 为单位报告所有功耗值。
• [8.4/T-0-3] 必须报告每个进程的 UID 的 CPU 功耗。Android 开源项目通过 uid_cputime 内核模块实现满足此要求。
• [8.4/T] 应该在无法将硬件组件功耗归因于应用的情况下归因于硬件组件本身。
• [8.4/T-0-4] 必须通过 adb shell dumpsys batterystats shell 命令向应用开发者提供此功耗使用情况。

2.3.5. 安全模型

电视设备实现

• [9.11/T-0-1] 必须使用隔离的执行环境备份密钥库实现。
• [9.11/T-0-2] 必须具有 RSA、AES、ECDSA 和 HMAC 加密算法以及 MD5、SHA1 和 SHA-2 系列哈希函数的实现，以便在与内核及更高层级上运行的代码安全隔离的区域中正确支持 Android Keystore 系统支持的算法。安全隔离必须阻止内核或用户空间代码可能访问隔离环境内部状态的所有潜在机制，包括 DMA。上游 Android 开源项目 (AOSP) 通过使用 Trusty 实现来满足此要求，但另一个基于 ARM TrustZone 的解决方案或第三方审查的适当的基于虚拟机监控程序的隔离的安全实现也是替代方案。
• [9.11/T-0-3] 必须在隔离的执行环境中执行锁屏身份验证，并且仅在成功时才允许使用身份验证绑定的密钥。锁屏凭据的存储方式必须允许仅隔离的执行环境执行锁屏身份验证。上游 Android 开源项目提供了 Gatekeeper 硬件抽象层 (HAL) 和 Trusty，可用于满足此要求。
• [9.11/T-0-4] 必须支持密钥证明，其中证明签名密钥受安全硬件保护，并且签名在安全硬件中执行。证明签名密钥必须在足够多的设备之间共享，以防止密钥被用作设备标识符。满足此要求的一种方法是共享相同的证明密钥，除非生产了给定 SKU 的至少 100,000 个单元。如果生产了超过 100,000 个 SKU 单元，则每个 100,000 个单元可以使用不同的密钥。

请注意，如果设备实现已在较早的 Android 版本上启动，则此类设备免于拥有由隔离的执行环境支持的密钥库并支持密钥证明的要求，除非它声明 android.hardware.fingerprint 功能，该功能需要由隔离的执行环境支持的密钥库。

如果电视设备实现支持安全锁屏，则它们

• [9.11/T-1-1] 必须允许用户选择从解锁状态转换到锁定状态的睡眠超时时间，最小允许超时时间最多为 15 秒或更短。

如果电视设备实现包含多个用户且未声明 android.hardware.telephony 功能标志，则它们

• [9.5/T-2-1] 必须支持受限配置文件，此功能允许设备所有者管理设备上的其他用户及其功能。借助受限配置文件，设备所有者可以快速为其他用户设置独立的工作环境，并能够更精细地管理这些环境中可用的应用中的限制。

如果电视设备实现包含多个用户并声明 android.hardware.telephony 功能标志，则它们

• [9.5/T-3-1] 必须不得支持受限配置文件，但必须与 AOSP 对启用/停用其他用户访问语音通话和短信的控件的实现保持一致。

2.3.6. 开发者工具和选项兼容性

电视设备实现

• Perfetto
  • [6.1/T-0-1] 必须向 shell 用户公开 /system/bin/perfetto 二进制文件，该二进制文件的 cmdline 符合 perfetto 文档。
  • [6.1/T-0-2] perfetto 二进制文件必须接受符合 perfetto 文档 中定义的架构的 protobuf 配置作为输入。
  • [6.1/T-0-3] perfetto 二进制文件必须写入符合 perfetto 文档 中定义的架构的 protobuf 跟踪作为输出。
  • [6.1/T-0-4] 必须通过 perfetto 二进制文件提供至少 perfetto 文档 中描述的数据源。

2.4. 手表要求

Android 手表设备是指旨在佩戴在身体上（可能在手腕上）的 Android 设备实现。

如果 Android 设备实现满足以下所有条件，则将其归类为手表

• 屏幕的物理对角线长度在 1.1 到 2.5 英寸范围内。
• 具有提供的佩戴在身体上的机制。

本节其余部分的其他要求特定于 Android 手表设备实现。

2.4.1. 硬件

手表设备实现

• [7.1.1.1/W-0-1] 必须具有物理对角线尺寸在 1.1 到 2.5 英寸范围内的屏幕。

• [7.2.3/W-0-1] 必须向用户提供主屏幕功能，以及返回功能，除非它处于 UI_MODE_TYPE_WATCH 模式。

• [7.2.4/W-0-1] 必须支持触摸屏输入。

• [7.3.1/W-SR] 强烈建议包含 3 轴加速度计。

如果手表设备实现包含 GPS/GNSS 接收器并通过 android.hardware.location.gps 功能标志报告应用程序的功能，则它们

• [7.3.3/W-1-1] 必须报告 GNSS 测量值，即使尚未报告从 GPS/GNSS 计算的位置，也应尽快报告。
• [7.3.3/W-1-2] 必须报告 GNSS 伪距和伪距速率，在确定位置后的开阔天空条件下，当静止或以小于 0.2 米/平方秒的加速度移动时，这些伪距和伪距速率足以在至少 95% 的时间内将位置计算在 20 米以内，速度计算在 0.2 米/秒以内。

如果手表设备实现包含 3 轴陀螺仪，则它们

• [7.3.4/W-2-1] 必须能够测量高达每秒 1000 度的方向变化。

手表设备实现

• [7.4.3/W-0-1] 必须支持蓝牙。

• [7.6.1/W-0-1] 必须具有至少 1 GB 的非易失性存储空间，可用于应用程序私有数据（也称为“/data”分区）。

• [7.6.1/W-0-2] 必须具有内核和用户空间可用的至少 416 MB 内存。

• [7.8.1/W-0-1] 必须包含麦克风。

• [7.8.2/W] 可以具有音频输出。

2.4.2. 多媒体

无其他要求。

2.4.3. 软件

手表设备实现

• [3/W-0-1] 必须声明 android.hardware.type.watch 功能。
• [3/W-0-2] 必须支持 uiMode = UI_MODE_TYPE_WATCH。
• [3.2.3.1/W-0-1] 必须为 此处 列出的以下应用程序 Intent 定义的所有公共 Intent 过滤器模式预加载一个或多个应用程序或服务组件，并带有 Intent 处理程序。

手表设备实现

• [3.8.4/W-SR] 强烈建议在设备上实现助手以处理 Assist 操作。

声明 android.hardware.audio.output 功能标志的手表设备实现

• [3.10/W-1-1] 必须支持第三方辅助功能服务。
• [3.10/W-SR] 强烈建议在设备上预加载辅助功能服务，使其功能与 Switch Access 和 TalkBack（对于预装的文本转语音引擎支持的语言）辅助功能服务相当或更高，如 talkback 开源项目 中所提供。

如果手表设备实现报告了 android.hardware.audio.output 功能，则它们

• [3.11/W-SR] 强烈建议包含支持设备上可用语言的 TTS 引擎。

• [3.11/W-0-1] 必须支持安装第三方 TTS 引擎。

2.4.4. 性能和功耗

如果手表设备实现包含 AOSP 中包含的或扩展 AOSP 中包含的功能以改进设备电源管理，则它们

• [8.3/W-SR] 强烈建议提供用户界面以显示所有从应用待机和 Doze 省电模式中豁免的应用。
• [8.3/W-SR] 强烈建议提供用户界面以启用和停用省电功能。

手表设备实现

• [8.4/W-0-1] 必须提供每个组件的功耗配置文件，其中定义了每个硬件组件的 电流消耗值 以及 Android 开源项目站点中记录的组件随时间推移引起的大概电池耗电量。
• [8.4/W-0-2] 必须以毫安时 (mAh) 为单位报告所有功耗值。
• [8.4/W-0-3] 必须报告每个进程的 UID 的 CPU 功耗。Android 开源项目通过 uid_cputime 内核模块实现满足此要求。
• [8.4/W-0-4] 必须通过 adb shell dumpsys batterystats shell 命令向应用开发者提供此功耗使用情况。
• [8.4/W] 应该在无法将硬件组件功耗归因于应用的情况下归因于硬件组件本身。

2.4.5. 安全模型

如果手表设备实现包含多个用户且未声明 android.hardware.telephony 功能标志，则它们

• [9.5/W-1-1] 必须支持受限配置文件，此功能允许设备所有者管理设备上的其他用户及其功能。借助受限配置文件，设备所有者可以快速为其他用户设置独立的工作环境，并能够更精细地管理这些环境中可用的应用中的限制。

如果手表设备实现包含多个用户并声明 android.hardware.telephony 功能标志，则它们

• [9.5/W-2-1] 必须不得支持受限配置文件，但必须与 AOSP 对启用/停用其他用户访问语音通话和短信的控件的实现保持一致。

2.5. 汽车要求

Android 汽车实现是指运行 Android 作为部分或全部系统和/或信息娱乐功能的车载主机。

如果 Android 设备实现声明了 android.hardware.type.automotive 功能或满足以下所有条件，则将其归类为汽车

• 嵌入为汽车的一部分或可插入汽车。
• 在驾驶员座椅排中使用屏幕作为主显示屏。

本节其余部分的其他要求特定于 Android 汽车设备实现。

2.5.1. 硬件

汽车设备实现

• [7.1.1.1/A-0-1] 必须具有物理对角线尺寸至少为 6 英寸的屏幕。

• [7.1.1.1/A-0-2] 必须具有至少 750 dp x 480 dp 的屏幕尺寸布局。

• [7.2.3/A-0-1] 必须提供主屏幕功能，并且可以提供返回和最近使用的应用功能。

• [7.2.3/A-0-2] 必须将返回功能 (KEYCODE_BACK) 的正常和长按事件都发送到前台应用程序。
• [7.3/A-0-1] 必须实现并报告 GEAR_SELECTION、NIGHT_MODE、PERF_VEHICLE_SPEED 和 PARKING_BRAKE_ON。
• [7.3/A-0-2] NIGHT_MODE 标志的值必须与仪表板日/夜模式保持一致，并且应该基于环境光传感器输入。底层环境光传感器可以与 光度计 相同。
• [7.3/A-0-3] 必须为提供的每个传感器提供传感器附加信息字段 TYPE_SENSOR_PLACEMENT 作为 SensorAdditionalInfo 的一部分。
• [7.3/A-0-1] 可以通过将 GPS/GNSS 与其他传感器融合来进行 位置 推算。如果 位置 是推算出来的，则强烈建议实现和报告使用的相应 传感器 类型和/或 车辆属性 ID。
• [7.3/A-0-2] 通过 LocationManager#requestLocationUpdates() 请求的 位置 必须不得进行地图匹配。

如果汽车设备实现包含 3 轴加速度计，则它们

• [7.3.1/A-1-1] 必须能够以至少 100 Hz 的频率报告事件。
• [7.3.1/A-1-2] 必须符合 Android 汽车传感器坐标系。

如果汽车设备实现包含 3 轴陀螺仪，则它们

• [7.3.4/A-2-1] 必须能够以至少 100 Hz 的频率报告事件。
• [7.3.4/A-2-2] 必须还实现 TYPE_GYROSCOPE_UNCALIBRATED 传感器。
• [7.3.4/A-2-3] 必须能够测量高达每秒 250 度的方向变化。
• [7.3.4/A-SR] 强烈建议将陀螺仪的测量范围配置为 +/-250dps，以便最大化可能的分辨率

如果汽车设备实现包含 GPS/GNSS 接收器，但不包含基于蜂窝网络的数据连接，则它们

• [7.3.3/A-3-1] 必须在首次开启 GPS/GNSS 接收器时或在 4 天以上后 60 秒内确定位置。
• [7.3.3/A-3-2] 必须满足 7.3.3/C-1-2 和 7.3.3/C-1-6 中描述的首次定位时间标准，适用于所有其他位置请求（即，非首次或 4 天以上后的请求）。7.3.3/C-1-2 要求通常在没有基于蜂窝网络的数据连接的车辆中通过以下方式满足：使用接收器上计算的 GNSS 轨道预测，或使用上次已知的车辆位置以及至少 60 秒的位置推算能力（位置精度满足 7.3.3/C-1-3），或两者结合使用。

汽车设备实现

• [7.4.3/A-0-1] 必须支持蓝牙，并且应该支持蓝牙 LE。
• [7.4.3/A-0-2] Android 汽车实现必须支持以下蓝牙配置文件
  • 通过免提配置文件 (HFP) 进行电话呼叫。
  • 通过音频分发配置文件 (A2DP) 进行媒体播放。
  • 通过远程控制配置文件 (AVRCP) 进行媒体播放控制。
  • 使用电话簿访问配置文件 (PBAP) 进行联系人共享。

• [7.4.3/A-SR] 强烈建议支持消息访问配置文件 (MAP)。

• [7.4.5/A] 应该包括对基于蜂窝网络的数据连接的支持。

• [7.4.5/A] 可以对系统应用应可用的网络使用系统 API NetworkCapabilities#NET_CAPABILITY_OEM_PAID 常量。

外部视图摄像头是指对设备实现外部场景进行成像的摄像头，例如行车记录仪。

汽车设备实现

• 应该包括一个或多个外部视图摄像头。

如果汽车设备实现包含外部视图摄像头，对于此类摄像头，它们

• [7.5/A-1-1] 必须不得通过 Android Camera API 访问外部视图摄像头，除非它们符合摄像头 核心要求。
• [7.5/A-SR] 强烈建议不要旋转或水平镜像摄像头预览。
• [7.5.5/A-SR] 强烈建议将其方向设置为使摄像头的长尺寸与水平线对齐。
• [7.5/A-SR] 强烈建议分辨率至少为 130 万像素。
• 应该具有固定对焦或 EDOF（扩展景深）硬件。
• 应该支持 Android 同步框架。
• 可以在摄像头驱动程序中实现硬件自动对焦或软件自动对焦。

汽车设备实现

• [7.6.1/A-0-1] 必须具有至少 4 GB 的非易失性存储空间，可用于应用程序私有数据（也称为“/data”分区）。

• [7.6.1/A] 应该格式化数据分区，以便在闪存存储上提供更高的性能和寿命，例如使用 f2fs 文件系统。

如果汽车设备实现通过内部非可移动存储的一部分提供共享外部存储，则它们

• [7.6.1/A-SR] 强烈建议减少在外部存储上执行的操作的 I/O 开销，例如使用 SDCardFS。

如果汽车设备实现是 32 位

• [7.6.1/A-1-1] 如果使用以下任何密度，则内核和用户空间可用的内存必须至少为 512MB

  • 小型/普通屏幕上的 280dpi 或更低
  • 超大屏幕上的 ldpi 或更低
  • 大屏幕上的 mdpi 或更低

• [7.6.1/A-1-2] 如果使用以下任何密度，则内核和用户空间可用的内存必须至少为 608MB

  • 小型/普通屏幕上的 xhdpi 或更高
  • 大屏幕上的 hdpi 或更高
  • 超大屏幕上的 mdpi 或更高

• [7.6.1/A-1-3] 内核和用户空间可用的内存必须至少为 896MB，如果使用以下任何密度

  • 小型/普通屏幕上的 400dpi 或更高
  • 大型屏幕上的 xhdpi 或更高
  • 超大屏幕上的 tvdpi 或更高

• [7.6.1/A-1-4] 如果使用以下任何密度，则内核和用户空间可用的内存必须至少为 1344MB

  • 小型/普通屏幕上的 560dpi 或更高
  • 大屏幕上的 400dpi 或更高
  • 超大屏幕上的 xhdpi 或更高

如果汽车设备实现是 64 位

• [7.6.1/A-2-1] 如果使用以下任何密度，则内核和用户空间可用的内存必须至少为 816MB

  • 小型/普通屏幕上的 280dpi 或更低
  • 超大屏幕上的 ldpi 或更低
  • 大屏幕上的 mdpi 或更低

• [7.6.1/A-2-2] 如果使用以下任何密度，则内核和用户空间可用的内存必须至少为 944MB

  • 小型/普通屏幕上的 xhdpi 或更高
  • 大屏幕上的 hdpi 或更高
  • 超大屏幕上的 mdpi 或更高

• [7.6.1/A-2-3] 如果使用以下任何密度，则内核和用户空间可用的内存必须至少为 1280MB

  • 小型/普通屏幕上的 400dpi 或更高
  • 大型屏幕上的 xhdpi 或更高
  • 超大屏幕上的 tvdpi 或更高

• [7.6.1/A-2-4] 如果使用以下任何密度，则内核和用户空间可用的内存必须至少为 1824MB

  • 小型/普通屏幕上的 560dpi 或更高
  • 大屏幕上的 400dpi 或更高
  • 超大屏幕上的 xhdpi 或更高

请注意，上述“内核和用户空间可用的内存”是指除已专用于硬件组件（如无线装置、视频等）的内存空间之外提供的内存空间，这些硬件组件不受设备实现上的内核控制。

汽车设备实现

• [7.7.1/A] 应该包括支持外围设备模式的 USB 端口。

汽车设备实现

• [7.8.1/A-0-1] 必须包含麦克风。

汽车设备实现

• [7.8.2/A-0-1] 必须具有音频输出并声明 android.hardware.audio.output。

2.5.2. 多媒体

汽车设备实现必须支持以下音频编码和解码格式，并使它们可用于第三方应用程序

• [5.1/A-0-1] MPEG-4 AAC Profile (AAC LC)
• [5.1/A-0-2] MPEG-4 HE AAC Profile (AAC+)
• [5.1/A-0-3] AAC ELD (增强型低延迟 AAC)

汽车设备实现必须支持以下视频编码格式，并使它们可用于第三方应用程序

• [5.2/A-0-1] H.264 AVC
• [5.2/A-0-2] VP8

汽车设备实现必须支持以下视频解码格式，并使它们可用于第三方应用程序

• [5.3/A-0-1] H.264 AVC
• [5.3/A-0-2] MPEG-4 SP
• [5.3/A-0-3] VP8
• [5.3/A-0-4] VP9

强烈建议汽车设备实现支持以下视频解码

• [5.3/A-SR] H.265 HEVC

2.5.3. 软件

汽车设备实现

• [3/A-0-1] 必须声明 android.hardware.type.automotive 功能。

• [3/A-0-2] 必须支持 uiMode = UI_MODE_TYPE_CAR。

• [3/A-0-3] 必须支持 android.car.* 命名空间中的所有公共 API。

如果汽车设备实现提供使用 android.car.CarPropertyManager 和 android.car.VehiclePropertyIds 的专有 API，则它们

• [3/A-1-1] 必须不得将特殊权限附加到系统应用程序对这些属性的使用，或阻止第三方应用程序使用这些属性。
• [3/A-1-2] 必须不得复制 SDK 中已存在的车辆属性。

汽车设备实现

• [3.2.1/A-0-1] 必须支持并强制执行 汽车权限参考页面 中记录的所有权限常量。

• [3.2.3.1/A-0-1] 必须为 此处 列出的以下应用程序 Intent 定义的所有公共 Intent 过滤器模式预加载一个或多个应用程序或服务组件，并带有 Intent 处理程序。

• [3.4.1/A-0-1] 必须提供 android.webkit.Webview API 的完整实现。

• [3.8.3/A-0-1] 当第三方应用程序请求时，必须显示使用 Notification.CarExtender API 的通知。

• [3.8.4/A-SR] 强烈建议在设备上实现助手以处理 Assist 操作。

如果汽车设备实现包含一键通按钮，则它们

• [3.8.4/A-1-1] 必须使用短按一键通按钮作为指定交互来启动用户选择的助手应用程序，换句话说，即实现 VoiceInteractionService 的应用程序。

汽车设备实现

• [3.8.3.1/A-0-1] 必须正确渲染 汽车操作系统上的通知 SDK 文档中描述的资源。
• [3.8.3.1/A-0-2] 必须在通知操作中显示 PLAY 和 MUTE，以代替通过 Notification.Builder.addAction() 提供的操作。
• [3.8.3.1/A] 应该限制使用丰富的管理任务，例如每个通知渠道的控件。可以使用每个应用程序的 UI 界面来减少控件。

汽车设备实现

• [3.14/A-0-1] 必须包含 UI 框架以支持第三方应用程序使用 3.14 节中描述的媒体 API。
• [3.14/A-0-2] 必须允许用户在驾驶时安全地与媒体应用程序交互。
• [3.14/A-0-3] 必须支持带有 CAR_EXTRA_MEDIA_PACKAGE 附加信息的 CAR_INTENT_ACTION_MEDIA_TEMPLATE 隐式 Intent 操作。
• [3.14/A-0-4] 必须提供进入媒体应用程序的 首选项活动 的界面，但必须仅在汽车 UX 限制未生效时启用它。
• [3.14/A-0-5] 必须显示媒体应用程序设置的 错误消息，并且必须支持可选的附加信息 ERROR_RESOLUTION_ACTION_LABEL 和 ERROR_RESOLUTION_ACTION_INTENT。
• [3.14/A-0-6] 必须为支持搜索的应用支持应用内搜索界面。
• [3.14/A-0-7] 在显示 MediaBrowser 层次结构时，必须尊重 CONTENT_STYLE_BROWSABLE_HINT 和 CONTENT_STYLE_PLAYABLE_HINT 定义。

如果汽车设备实现包含默认启动器应用，则它们

• [3.14/A-1-1] 必须包含媒体服务并使用 CAR_INTENT_ACTION_MEDIA_TEMPLATE Intent 打开它们。

汽车设备实现

• [3.8/A] 可以限制应用程序进入全屏模式的请求，如 沉浸式文档 中所述。
• [3.8/A] 可以始终保持状态栏和导航栏可见。
• [3.8/A] 可以限制应用程序更改系统 UI 元素后面的颜色的请求，以确保这些元素始终清晰可见。

2.5.4. 性能和功耗

汽车设备实现

• [8.2/A-0-1] 必须报告每个进程的 UID 的非易失性存储读取和写入的字节数，以便开发者可以通过 System API android.car.storagemonitoring.CarStorageMonitoringManager 获取统计信息。Android 开源项目通过 uid_sys_stats 内核模块满足此要求。
• [8.3/A-1-3] 必须支持 车库模式。
• [8.3/A] 应该在每次驾驶后至少在车库模式下停留 15 分钟，除非
  • 电池耗尽。
  • 没有安排空闲作业。
  • 驾驶员退出车库模式。
• [8.4/A-0-1] 必须提供每个组件的功耗配置文件，其中定义了每个硬件组件的 电流消耗值 以及 Android 开源项目站点中记录的组件随时间推移引起的大概电池耗电量。
• [8.4/A-0-2] 必须以毫安时 (mAh) 为单位报告所有功耗值。
• [8.4/A-0-3] 必须报告每个进程的 UID 的 CPU 功耗。Android 开源项目通过 uid_cputime 内核模块实现满足此要求。
• [8.4/A] 应该在无法将硬件组件功耗归因于应用的情况下归因于硬件组件本身。
• [8.4/A-0-4] 必须通过 adb shell dumpsys batterystats shell 命令向应用开发者提供此功耗使用情况。

2.5.5. 安全模型

如果汽车设备实现支持多用户，则它们

• [9.5/A-1-1] 必须不得允许用户与 无头系统用户 交互或切换到该用户，但 设备配置 除外。
• [9.5/A-1-2] 必须在 BOOT_COMPLETED 之前切换到 辅助用户。
• [9.5/A-1-3] 即使设备上的用户数量已达到最大值，必须也支持创建 访客用户 的能力。

汽车设备实现

• [9.11/A-0-1] 必须使用隔离的执行环境备份密钥库实现。
• [9.11/A-0-2] 必须具有 RSA、AES、ECDSA 和 HMAC 加密算法以及 MD5、SHA1 和 SHA-2 系列哈希函数的实现，以便在与内核及更高层级上运行的代码安全隔离的区域中正确支持 Android Keystore 系统支持的算法。安全隔离必须阻止内核或用户空间代码可能访问隔离环境内部状态的所有潜在机制，包括 DMA。上游 Android 开源项目 (AOSP) 通过使用 Trusty 实现来满足此要求，但另一个基于 ARM TrustZone 的解决方案或第三方审查的适当的基于虚拟机监控程序的隔离的安全实现也是替代方案。
• [9.11/A-0-3] 必须在隔离的执行环境中执行锁屏身份验证，并且仅在成功时才允许使用身份验证绑定的密钥。锁屏凭据的存储方式必须允许仅隔离的执行环境执行锁屏身份验证。上游 Android 开源项目提供了 Gatekeeper 硬件抽象层 (HAL) 和 Trusty，可用于满足此要求。
• [9.11/A-0-4] 必须支持密钥证明，其中证明签名密钥受安全硬件保护，并且签名在安全硬件中执行。证明签名密钥必须在足够多的设备之间共享，以防止密钥被用作设备标识符。满足此要求的一种方法是共享相同的证明密钥，除非生产了给定 SKU 的至少 100,000 个单元。如果生产了超过 100,000 个 SKU 单元，则每个 100,000 个单元可以使用不同的密钥。

请注意，如果设备实现已在较早的 Android 版本上启动，则此类设备免于拥有由隔离的执行环境支持的密钥库并支持密钥证明的要求，除非它声明 android.hardware.fingerprint 功能，该功能需要由隔离的执行环境支持的密钥库。

汽车设备实现

• [9.14/A-0-1] 必须门控来自 Android 框架车辆子系统的消息，例如，将允许的消息类型和消息源添加到允许列表。
• [9.14/A-0-2] 必须监控，以防来自 Android 框架或第三方应用的拒绝服务攻击。这可以防止恶意软件通过流量淹没车辆网络，从而可能导致车辆子系统发生故障。

2.5.6. 开发者工具和选项兼容性

汽车设备实现

• Perfetto
  • [6.1/A-0-1] 必须向 shell 用户公开一个 /system/bin/perfetto 二进制文件，该文件的命令行 (cmdline) 符合 perfetto 文档。
  • [6.1/A-0-2] perfetto 二进制文件必须接受符合 perfetto 文档中定义的模式 (schema) 的 protobuf 配置作为输入。
  • [6.1/A-0-3] perfetto 二进制文件必须写入符合 perfetto 文档中定义的模式 (schema) 的 protobuf 跟踪 (trace) 作为输出。
  • [6.1/A-0-4] 必须通过 perfetto 二进制文件提供至少 perfetto 文档中描述的数据源。

2.6. 平板电脑要求

Android 平板电脑设备指的是一种 Android 设备实现，它通常满足以下所有标准

• 用双手握持使用。
• 不具有翻盖或可转换配置。
• 与设备一起使用的物理键盘实现通过标准连接（例如 USB、蓝牙）进行连接。
• 具有提供移动性的电源，例如电池。
• 物理对角线屏幕尺寸在 7 到 18 英寸范围内。

平板电脑设备实现与手持设备实现具有类似的要求。例外情况在该部分中用 * 指示，并在本节中注明以供参考。

2.6.1. 硬件

屏幕尺寸

• [7.1.1.1/Tab-0-1] 必须具有 7 到 18 英寸范围内的屏幕。

陀螺仪

如果平板电脑设备实现包含三轴陀螺仪，则它们

• [7.3.4/Tab-1-1] 必须能够测量高达每秒 1000 度的方向变化。

最小内存和存储（第 7.6.1 节）

为手持设备要求中的小型/普通屏幕列出的屏幕密度不适用于平板电脑。

USB 外围设备模式（第 7.7.1 节）

如果平板电脑设备实现包含支持外围设备模式的 USB 端口，则它们

• [7.7.1/Tab] 可以实现 Android 开放配件 (AOA) API。

虚拟现实模式（第 7.9.1 节）

虚拟现实高性能（第 7.9.2 节）

虚拟现实要求不适用于平板电脑。

2.6.2. 安全模型

密钥和凭据（第 9.11 节）

请参阅 [9.11] 节。

如果平板电脑设备实现包含多用户并且未声明 android.hardware.telephony 功能标志，则它们

• [9.5/T-1-1] 必须支持受限配置文件，这是一项允许设备所有者管理设备上的其他用户及其功能的功能。借助受限配置文件，设备所有者可以快速为其他用户设置单独的工作环境，并能够更精细地管理这些环境中可用的应用程序的限制。

如果平板电脑设备实现包含多用户并且声明了 android.hardware.telephony 功能标志，则它们

• [9.5/T-2-1] 不得支持受限配置文件，但必须与 AOSP 实现的控件保持一致，以启用/禁用其他用户访问语音通话和短信。

2.6.2. 软件

• [3.2.3.1/Tab-0-1] 必须为此处 列出 的所有公共 intent 过滤器模式预加载一个或多个具有 intent 处理程序的应用程序或服务组件。

3. 软件

3.1. 受管理 API 兼容性

受管理的 Dalvik 字节码执行环境是 Android 应用程序的主要方式。Android 应用程序编程接口 (API) 是暴露给在受管理运行时环境中运行的应用程序的一组 Android 平台接口。

设备实现

• [C-0-1] 必须提供 Android SDK 或上游 Android 源代码中任何用 “@SystemApi” 标记装饰的任何文档记录的 API 的完整实现，包括所有文档记录的行为。

• [C-0-2] 必须支持/保留用 TestApi 注解 (@TestApi) 标记的所有类、方法和关联元素。

• [C-0-3] 不得省略任何受管理 API，更改 API 接口或签名，偏离文档记录的行为，或包含空操作 (no-ops)，除非本兼容性定义明确允许。

• [C-0-4] 即使 Android 包含 API 的某些硬件功能被省略，也必须仍然保持 API 存在并以合理的方式运行。有关此场景的具体要求，请参阅 第 7 节。

• [C-0-5] 不得允许第三方应用使用非 SDK 接口，这些接口被定义为 Java 语言包中位于 AOSP 中的引导类路径中，并且不构成公共 SDK 一部分的方法和字段。这包括用 @hide 注解装饰但没有用 @SystemAPI 装饰的 API，如 SDK 文档和私有及包私有类成员中所述。

• [C-0-6] 必须随每个非 SDK 接口一起发布，这些接口与 AOSP 中相应 API 级别分支的 prebuilts/runtime/appcompat/hiddenapi-flags.csv 路径中通过临时和拒绝列表标志提供的受限列表相同。

• [C-0-7] 必须支持 签名配置 动态更新机制，以通过在任何 APK 中嵌入签名配置，使用 AOSP 中存在的现有公钥，从受限列表中删除非 SDK 接口。

  但是它们

  • 可以，如果在设备实现中缺少隐藏 API 或以不同方式实现，则将隐藏 API 移动到拒绝列表，或从所有受限列表（即淡灰色、深灰色、黑色）中省略它。
  • 可以，如果隐藏 API 在 AOSP 中尚不存在，则将隐藏 API 添加到任何受限列表（即淡灰色、深灰色、黑色）。

3.1.1. Android 扩展

Android 支持通过更新特定 API 级别的扩展版本来扩展该 API 级别的受管理 API 表面。android.os.ext.SdkExtensions.getExtensionVersion(int apiLevel) API 返回提供的 apiLevel 的扩展版本（如果该 API 级别有扩展）。

Android 设备实现

• [C-0-1] 必须预加载共享库 ExtShared 和服务 ExtServices 的 AOSP 实现，其版本必须大于或等于每个 API 级别允许的最低版本。例如，运行 API 级别 24 的 Android 7.0 设备实现必须至少包含版本 1。

• [C-0-2] 必须仅返回已由 AOSP 定义的有效扩展版本号。

• [C-0-3] 必须支持由 第 3.1 节 中的要求定义的 android.os.ext.SdkExtensions.getExtensionVersion(int apiLevel) 返回的扩展版本定义的所有 API，其方式与其他受管理 API 的支持方式相同。

3.1.2. Android 库

由于 Apache HTTP 客户端弃用，设备实现

• [C-0-1] 不得将 org.apache.http.legacy 库放在引导类路径中。
• [C-0-2] 仅当应用程序满足以下条件之一时，才必须将 org.apache.http.legacy 库添加到应用程序类路径中
  • 目标 API 级别为 28 或更低。
  • 在其清单文件中声明它需要该库，方法是将 <uses-library> 的 android:name 属性设置为 org.apache.http.legacy。

AOSP 实现满足这些要求。

3.2. 软 API 兼容性

除了 第 3.1 节 中的受管理 API 之外，Android 还包括一个重要的运行时“软” API，其形式为 intent、权限以及 Android 应用程序的类似方面，这些方面无法在应用程序编译时强制执行。

3.2.1. 权限

• [C-0-1] 设备实现者必须支持并强制执行 权限参考页面 中记录的所有权限常量。请注意，第 9 节 列出了与 Android 安全模型相关的其他要求。

3.2.2. 构建参数

Android API 在 android.os.Build 类上包含许多常量，旨在描述当前设备。

• [C-0-1] 为了在设备实现之间提供一致且有意义的值，下表包含对设备实现必须符合的这些值的格式的附加限制。

3.2.3. Intent 兼容性

3.2.3.1. 常用应用程序 Intent

Android intent 允许应用程序组件从其他 Android 组件请求功能。Android 上游项目包含一个应用程序列表，这些应用程序实现了几种 intent 模式以执行常用操作。

设备实现

• [C-SR] 强烈建议为此处 列出 的所有公共 intent 过滤器模式预加载一个或多个具有 intent 处理程序的应用程序或服务组件，并提供实现，即满足 SDK 中描述的开发者对这些常用应用程序 intent 的期望。

有关每种设备类型的强制性应用程序 intent，请参阅 第 2 节。

3.2.3.2. Intent 解析

• [C-0-1] 由于 Android 是一个可扩展平台，因此设备实现必须允许第三方应用程序覆盖 第 3.2.3.1 节 中引用的每个 intent 模式，但“设置”除外。上游 Android 开源实现默认允许这样做。

• [C-0-2] 设备实现者不得将特殊权限附加到系统应用程序对这些 intent 模式的使用，也不得阻止第三方应用程序绑定到并控制这些模式。此项禁止特别包括但不限于禁用“选择器”用户界面，该界面允许用户在处理相同 intent 模式的多个应用程序之间进行选择。

• [C-0-3] 设备实现必须提供用户界面，供用户修改 intent 的默认活动。

• 但是，当默认活动为数据 URI 提供更具体的属性时，设备实现可以为特定 URI 模式（例如 http://play.google.com）提供默认活动。例如，指定数据 URI “http://www.android.com” 的 intent 过滤器模式比浏览器的核心 intent 模式 “http://” 更具体。

Android 还包括一种机制，供第三方应用程序声明某些类型的 Web URI intent 的权威默认 应用程序链接行为。当此类权威声明在应用程序的 intent 过滤器模式中定义时，设备实现

• [C-0-4] 必须尝试验证任何 intent 过滤器，方法是执行 数字资产链接规范 中定义的验证步骤，这些步骤由上游 Android 开源项目中的程序包管理器实现。
• [C-0-5] 必须在应用程序安装期间尝试验证 intent 过滤器，并将所有成功验证的 URI intent 过滤器设置为其 URI 的默认应用程序处理程序。
• 可以将其 URI 的特定 URI intent 过滤器设置为默认应用程序处理程序（如果它们已成功验证，但其他候选 URI 过滤器验证失败）。如果设备实现这样做，则必须在设置菜单中为用户提供适当的每个 URI 模式的覆盖。
• 必须在“设置”中为用户提供每个应用程序的应用程序链接控件，如下所示
  • [C-0-6] 用户必须能够整体覆盖应用程序的默认应用程序链接行为，使其为：始终打开、始终询问或永不打开，这必须同等适用于所有候选 URI intent 过滤器。
  • [C-0-7] 用户必须能够查看候选 URI intent 过滤器的列表。
  • 设备实现可以为用户提供基于每个 intent 过滤器覆盖已成功验证的特定候选 URI intent 过滤器的能力。
  • [C-0-8] 如果设备实现允许某些候选 URI intent 过滤器验证成功，而另一些可能失败，则设备实现必须为用户提供查看和覆盖特定候选 URI intent 过滤器的能力。

3.2.3.3. Intent 命名空间

• [C-0-1] 设备实现不得包含任何 Android 组件，该组件使用 android. 或 com.android. 命名空间中的 ACTION、CATEGORY 或其他键字符串来响应任何新的 intent 或广播 intent 模式。
• [C-0-2] 设备实现者不得包含任何 Android 组件，该组件使用属于另一个组织的包空间中的 ACTION、CATEGORY 或其他键字符串来响应任何新的 intent 或广播 intent 模式。
• [C-0-3] 设备实现者不得更改或扩展 第 3.2.3.1 节 中列出的任何 intent 模式。
• 设备实现可以包含使用与其自身组织明确且明显相关的命名空间的 intent 模式。此项禁止类似于 第 3.6 节 中针对 Java 语言类指定的命名空间。

3.2.3.4. 广播 Intent

第三方应用程序依赖平台广播某些 intent，以通知它们硬件或软件环境的变化。

设备实现

• [C-0-1] 必须响应 SDK 文档中描述的适当系统事件，广播此处 列出 的公共广播 intent。请注意，此要求与第 3.5 节不冲突，因为 SDK 文档中也描述了后台应用程序的限制。此外，某些广播 intent 取决于硬件支持，如果设备支持必要的硬件，则它们必须广播 intent 并提供与 SDK 文档一致的行为。

3.2.3.5. 条件应用程序 Intent

Android 包括一些设置，这些设置使用户可以轻松选择其默认应用程序，例如主屏幕或短信。

在有意义的情况下，设备实现必须提供类似的设置菜单，并与 SDK 文档中描述的 intent 过滤器模式和 API 方法兼容，如下所示。

如果设备实现报告 android.software.home_screen，则它们

• [C-1-1] 必须遵守 android.settings.HOME_SETTINGS intent，以显示主屏幕的默认应用程序设置菜单。

如果设备实现报告 android.hardware.telephony，则它们

• [C-2-1] 必须提供一个设置菜单，该菜单将调用 android.provider.Telephony.ACTION_CHANGE_DEFAULT intent，以显示一个对话框来更改默认 SMS 应用程序。

• [C-2-2] 必须遵守 android.telecom.action.CHANGE_DEFAULT_DIALER intent，以显示一个对话框，允许用户更改默认电话应用程序。

  • 必须对来电和去电使用用户选择的默认电话应用程序的 UI，紧急呼叫除外，紧急呼叫将使用预装的电话应用程序。

• [C-2-3] 必须遵守 android.telecom.action.CHANGE_PHONE_ACCOUNTS intent，以提供用户便利来配置与 ConnectionServices 关联的 PhoneAccounts，以及电信服务提供商将用于拨出电话的默认 PhoneAccount。AOSP 实现通过在“通话”设置菜单中包含“通话帐户选项”菜单来满足此要求。

• [C-2-4] 必须允许持有 android.app.role.CALL_REDIRECTION 角色的应用程序使用 android.telecom.CallRedirectionService。

• [C-2-5] 必须为用户提供便利，以选择一个持有 android.app.role.CALL_REDIRECTION 角色的应用程序。
• [C-2-6] 必须遵守 android.intent.action.SENDTO 和 android.intent.action.VIEW intent，并提供一个活动来发送/显示 SMS 消息。
• [C-SR] 强烈建议使用预加载的拨号器应用程序遵守 android.intent.action.ANSWER、android.intent.action.CALL、android.intent.action.CALL_BUTTON、android.intent.action.VIEW 和 android.intent.action.DIAL intent，该拨号器应用程序可以处理这些 intent 并提供 SDK 中描述的实现。

如果设备实现报告 android.hardware.nfc.hce，则它们

• [C-3-1] 必须遵守 android.settings.NFC_PAYMENT_SETTINGS intent，以显示非接触式支付的默认应用程序设置菜单。
• [C-3-2] 必须遵守 android.nfc.cardemulation.action.ACTION_CHANGE_DEFAULT intent，以显示一个活动，该活动打开一个对话框，询问用户是否更改特定类别的默认卡模拟服务，如 SDK 中所述。

如果设备实现报告 android.hardware.nfc，则它们

• [C-4-1] 必须遵守这些 intent android.nfc.action.NDEF_DISCOVERED、android.nfc.action.TAG_DISCOVERED 和 android.nfc.action.TECH_DISCOVERED，以显示一个活动，该活动满足开发者对这些 intent 的期望，如 SDK 中所述。

如果设备实现支持 VoiceInteractionService 并且一次安装了多个使用此 API 的应用程序，则它们

• [C-4-1] 必须遵守 android.settings.ACTION_VOICE_INPUT_SETTINGS intent，以显示语音输入和辅助功能的默认应用程序设置菜单。

如果设备实现报告 android.hardware.bluetooth，则它们

• [C-5-1] 必须遵守 ‘android.bluetooth.adapter.action.REQUEST_ENABLE’ intent，并显示一个系统活动，以允许用户打开蓝牙。
• [C-5-2] 必须遵守 ‘android.bluetooth.adapter.action.REQUEST_DISCOVERABLE’ intent，并显示一个请求可发现模式的系统活动。

如果设备实现支持 DND 功能，则它们

• [C-6-1] 必须实现一个活动，该活动将响应 intent ACTION_NOTIFICATION_POLICY_ACCESS_SETTINGS，对于具有 UI_MODE_TYPE_NORMAL 的实现，它必须是一个用户可以在其中授予或拒绝应用程序访问 DND 策略配置的活动。

如果设备实现允许用户在设备上使用第三方输入法，则它们

• [C-7-1] 必须提供用户可访问的机制，以响应 android.settings.INPUT_METHOD_SETTINGS intent，添加和配置第三方输入法。

如果设备实现支持第三方辅助功能服务，则它们

• [C-8-1] 必须遵守 android.settings.ACCESSIBILITY_SETTINGS intent，以提供用户可访问的机制，从而启用和禁用第三方辅助功能服务以及预加载的辅助功能服务。

如果设备实现包括对 Wi-Fi Easy Connect 的支持并将该功能暴露给第三方应用程序，则它们

• [C-9-1] 必须按照 SDK 文档中的描述，实现 Settings#ACTION_PROCESS_WIFI_EASY_CONNECT_URI Intent API。

如果设备实现提供省电模式，则：* [C-10-1] 必须在设置中提供用户界面，以处理 Settings.ACTION_IGNORE_BACKGROUND_DATA_RESTRICTIONS_SETTINGS intent，允许用户将应用程序添加到允许列表或从允许列表中删除应用程序。

如果设备实现不提供省电模式，则它们

• [C-11-1] 必须具有一个 Activity 来处理 Settings.ACTION_IGNORE_BACKGROUND_DATA_RESTRICTIONS_SETTINGS intent，但可以将其实现为无操作。

如果设备实现通过 android.hardware.camera.any 声明支持摄像头，则它们

• [C-12-1] 必须遵守 android.media.action.STILL_IMAGE_CAMERA 和 android.media.action.STILL_IMAGE_CAMERA_SECURE intent，并按照 SDK 中的描述以静止图像模式启动相机。
• [C-12-2] 必须遵守 android.media.action.VIDEO_CAMERA intent，以按照 SDK 中的描述以视频模式启动相机。
• [C-12-3] 必须仅允许预装的 Android 应用程序处理以下 intent：MediaStore.ACTION_IMAGE_CAPTURE、MediaStore.ACTION_IMAGE_CAPTURE_SECURE 和 MediaStore.ACTION_VIDEO_CAPTURE，如 SDK 文档中所述。

如果设备实现报告 android.software.device_admin 功能，则它们

• [C-13-1] 必须遵守 intent android.app.action.ADD_DEVICE_ADMIN，以调用 UI 来引导用户将设备管理员添加到系统（或允许他们拒绝）。

• [C-13-2] 必须遵守 intent android.app.action.ADMIN_POLICY_COMPLIANCE、android.app.action.GET_PROVISIONING_MODE、android.app.action.PROVISIONING_SUCCESSFUL、android.app.action.PROVISION_MANAGED_DEVICE、android.app.action.PROVISION_MANAGED_PROFILE、android.app.action.SET_NEW_PARENT_PROFILE_PASSWORD、android.app.action.SET_NEW_PASSWORD 和 android.app.action.START_ENCRYPTION，并具有一个 Activity 来为这些 intent 提供实现，如 SDK 此处所述。

如果设备实现声明 android.software.autofill 功能标志，则它们

• [C-14-1] 必须完全实现 AutofillService 和 AutofillManager API，并遵守 android.settings.REQUEST_SET_AUTOFILL_SERVICE intent，以显示默认应用设置菜单，供用户启用和禁用自动填充以及更改默认的自动填充服务。

如果设备实现包含预装应用或希望允许第三方应用访问使用情况统计信息，则它们

• [C-SR] 强烈建议提供用户可访问的机制，以响应 android.settings.ACTION_USAGE_ACCESS_SETTINGS intent，为声明 android.permission.PACKAGE_USAGE_STATS 权限的应用授予或撤销访问使用情况统计信息的权限。

如果设备实现打算禁止任何应用（包括预装应用）访问使用情况统计信息，则它们

• [C-15-1] 必须仍然具有一个 Activity 来处理 android.settings.ACTION_USAGE_ACCESS_SETTINGS intent 模式，但必须将其实现为无操作，即具有与用户拒绝访问时相同的行为。

如果设备实现报告 android.hardware.audio.output 功能，则它们

• [C-SR] 强烈建议遵守 android.intent.action.TTS_SERVICE、android.speech.tts.engine.INSTALL_TTS_DATA 和 android.speech.tts.engine.GET_SAMPLE_TEXT intent，并具有一个 Activity 来为这些 intent 提供实现，如 SDK 此处所述。

Android 包含对交互式屏幕保护程序（以前称为“Dreams”）的支持。屏幕保护程序允许用户在连接到电源的设备处于空闲状态或停靠在桌面底座中时与应用程序进行交互。设备实现

• 应该包含对屏幕保护程序的支持，并提供一个设置选项，供用户响应 android.settings.DREAM_SETTINGS intent 配置屏幕保护程序。

3.2.4. 在辅助/多个显示器上的 Activity

如果设备实现允许在多个显示器上启动正常的 Android Activity，则它们

• [C-1-1] 必须设置 android.software.activities_on_secondary_displays 功能标志。
• [C-1-2] 必须保证与在主显示器上运行的 Activity 类似的 API 兼容性。
• [C-1-3] 当启动新 Activity 时未通过 ActivityOptions.setLaunchDisplayId() API 指定目标显示器时，必须将新 Activity 放置在与启动它的 Activity 相同的显示器上。
• [C-1-4] 当删除带有 Display.FLAG_PRIVATE 标志的显示器时，必须销毁所有 Activity。
• [C-1-5] 当设备被安全锁屏锁定时，必须安全地隐藏所有屏幕上的内容，除非应用选择使用 Activity#setShowWhenLocked() API 在锁屏上显示。
• 应该具有 android.content.res.Configuration，它与该显示器相对应，以便在辅助显示器上启动 Activity 时能够正确显示、运行并保持兼容性。

如果设备实现允许在辅助显示器上启动正常的 Android Activity，并且辅助显示器具有 android.view.Display.FLAG_PRIVATE 标志

• [C-3-1] 只有该显示器的所有者、系统以及已在该显示器上的 Activity 必须能够启动到该显示器。每个人都可以启动到带有 android.view.Display.FLAG_PUBLIC 标志的显示器。

3.3. 原生 API 兼容性

原生代码兼容性具有挑战性。因此，设备实现者

• [SR] 强烈建议使用上游 Android 开源项目中列出的库的实现。

3.3.1. 应用程序二进制接口

托管的 Dalvik 字节码可以调用应用程序 .apk 文件中提供的原生代码，该原生代码作为针对相应设备硬件架构编译的 ELF .so 文件。由于原生代码高度依赖于底层处理器技术，因此 Android 在 Android NDK 中定义了许多应用程序二进制接口 (ABI)。

设备实现

• [C-0-1] 必须与一个或多个已定义的 Android NDK ABI 兼容。
• [C-0-2] 必须包含对在托管环境中运行的代码调用原生代码的支持，使用标准的 Java 原生接口 (JNI) 语义。
• [C-0-3] 必须与下面列表中每个必需的库在源兼容性（即，头文件兼容性）和二进制兼容性（对于 ABI）方面保持一致。
• [C-0-5] 必须通过 android.os.Build.SUPPORTED_ABIS、android.os.Build.SUPPORTED_32_BIT_ABIS 和 android.os.Build.SUPPORTED_64_BIT_ABIS 参数准确报告设备支持的原生应用程序二进制接口 (ABI)，每个参数都是以逗号分隔的 ABI 列表，从最优先到最不优先排序。

• [C-0-6] 必须通过上述参数报告以下 ABI 列表的子集，并且不得报告列表中未包含的任何 ABI。

  • armeabi（NDK 不再支持作为目标）
  • armeabi-v7a
  • arm64-v8a
  • x86
  • x86-64

• [C-0-7] 必须使以下所有库（提供原生 API）可供包含原生代码的应用使用

  • libaaudio.so（AAudio 原生音频支持）
  • libamidi.so（原生 MIDI 支持，如果声明了功能 android.software.midi，如第 5.9 节中所述）
  • libandroid.so（原生 Android Activity 支持）
  • libc（C 库）
  • libcamera2ndk.so
  • libdl（动态链接器）
  • libEGL.so（原生 OpenGL 表面管理）
  • libGLESv1_CM.so (OpenGL ES 1.x)
  • libGLESv2.so (OpenGL ES 2.0)
  • libGLESv3.so (OpenGL ES 3.x)
  • libicui18n.so
  • libicuuc.so
  • libjnigraphics.so
  • liblog（Android 日志记录）
  • libmediandk.so（原生媒体 API 支持）
  • libm（数学库）
  • libneuralnetworks.so（神经网络 API）
  • libOpenMAXAL.so（OpenMAX AL 1.0.1 支持）
  • libOpenSLES.so（OpenSL ES 1.0.1 音频支持）
  • libRS.so
  • libstdc++（对 C++ 的最低限度支持）
  • libvulkan.so (Vulkan)
  • libz (Zlib 压缩)
  • JNI 接口

• [C-0-8] 不得添加或删除上述原生库的公共函数。

• [C-0-9] 必须在 /vendor/etc/public.libraries.txt 中列出直接向第三方应用公开的其他非 AOSP 库。
• [C-0-10] 不得向以 API 级别 24 或更高版本为目标的第三方应用公开任何其他在 AOSP 中实现和提供的原生库，因为它们是保留的。
• [C-0-11] 必须通过 libGLESv3.so 库导出所有 OpenGL ES 3.1 和 Android Extension Pack 函数符号，如 NDK 中定义的那样。请注意，虽然所有符号都必须存在，但第 7.1.4.1 节更详细地描述了何时需要每个对应函数的完整实现的要求。
• [C-0-12] 必须通过 libvulkan.so 库导出核心 Vulkan 1.0 函数符号，以及 VK_KHR_surface、VK_KHR_android_surface、VK_KHR_swapchain、VK_KHR_maintenance1 和 VK_KHR_get_physical_device_properties2 扩展。请注意，虽然所有符号都必须存在，但第 7.1.4.2 节更详细地描述了何时需要每个对应函数的完整实现的要求。
• 应该使用上游 Android 开源项目中提供的源代码和头文件构建

请注意，未来的 Android 版本可能会引入对其他 ABI 的支持。

3.3.2. 32 位 ARM 原生代码兼容性

如果设备实现报告支持 armeabi ABI，则它们

• [C-3-1] 还必须支持 armeabi-v7a 并报告其支持，因为 armeabi 仅用于向后兼容旧版应用。

如果设备实现报告支持 armeabi-v7a ABI，对于使用此 ABI 的应用，它们

• [C-2-1] 必须在 /proc/cpuinfo 中包含以下行，并且即使当其他 ABI 读取它们时，也不应更改同一设备上的值。

  • Features:，后跟设备支持的任何可选 ARMv7 CPU 功能的列表。
  • CPU architecture:，后跟一个整数，描述设备支持的最高 ARM 架构（例如，对于 ARMv8 设备，为“8”）。

• [C-2-2] 即使在 ARMv8 架构上实现 ABI 的情况下，也必须始终保持以下操作可用，无论是通过原生 CPU 支持还是通过软件模拟

  • SWP 和 SWPB 指令。
  • SETEND 指令。
  • CP15ISB、CP15DSB 和 CP15DMB 屏障操作。

• [C-2-3] 必须包含对 Advanced SIMD（又名 NEON）扩展的支持。

3.4. Web 兼容性

3.4.1. WebView 兼容性

如果设备实现提供 android.webkit.Webview API 的完整实现，则它们

• [C-1-1] 必须报告 android.software.webview。
• [C-1-2] 必须使用来自上游 Android 开源项目的 Android 11 分支的 Chromium 项目构建，用于实现 android.webkit.WebView API。

• [C-1-3] WebView 报告的用户代理字符串必须采用以下格式

  Mozilla/5.0 (Linux; Android $(VERSION); [$(MODEL)] [Build/$(BUILD)]; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 $(CHROMIUM_VER) Mobile Safari/537.36

  • $(VERSION) 字符串的值必须与 android.os.Build.VERSION.RELEASE 的值相同。
  • $(MODEL) 字符串可以为空，但如果不为空，则必须与 android.os.Build.MODEL 的值相同。
  • “Build/$(BUILD)”可以省略，但如果存在，则 $(BUILD) 字符串必须与 android.os.Build.ID 的值相同。
  • $(CHROMIUM_VER) 字符串的值必须是上游 Android 开源项目中 Chromium 的版本。
  • 设备实现可以省略用户代理字符串中的 Mobile。

• WebView 组件应该包含对尽可能多的 HTML5 功能的支持，并且如果它支持该功能，则应该符合 HTML5 规范。

• [C-1-3] 必须在与实例化 WebView 的应用程序不同的进程中呈现所提供的内容或远程 URL 内容。具体而言，单独的渲染器进程必须保持较低的特权，以单独的用户 ID 运行，无权访问应用程序的数据目录，没有直接网络访问权限，并且只能通过 Binder 访问最低限度要求的系统服务。WebView 的 AOSP 实现满足此要求。

请注意，如果设备实现是 32 位的或声明了功能标志 android.hardware.ram.low，则它们可以免除 C-1-3。

3.4.2. 浏览器兼容性

如果设备实现包含用于通用 Web 浏览的独立浏览器应用程序，则它们

• [C-1-1] 必须支持与 HTML5 关联的以下每个 API
  • 应用程序缓存/离线操作
  • <video> 标签
  • 地理位置
• [C-1-2] 必须支持 HTML5/W3C webstorage API，并且应该支持 HTML5/W3C IndexedDB API。请注意，由于 Web 开发标准机构正在过渡到倾向于使用 IndexedDB 而不是 webstorage，因此 IndexedDB 有望在未来的 Android 版本中成为必需的组件。
• 可以随附独立浏览器应用程序中的自定义用户代理字符串。
• 应该在独立浏览器应用程序上（无论是基于上游 WebKit 浏览器应用程序还是第三方替代品）尽可能多地实现对 HTML5 的支持。

但是，如果设备实现不包含独立的浏览器应用程序，则它们

• [C-2-1] 必须仍然支持 第 3.2.3.1 节中描述的公共 intent 模式。

3.5. API 行为兼容性

设备实现

• [C-0-9] 必须确保为所有已安装的应用应用 API 行为兼容性，除非它们受到 第 3.5.1 节中所述的限制。
• [C-0-10] 不得实现允许列表方法，该方法仅确保设备实现者选择的应用的 API 行为兼容性。

每种 API 类型（托管、软、原生和 Web）的行为必须与上游 Android 开源项目的首选实现保持一致。一些特定的兼容性领域是

• [C-0-1] 设备不得更改标准 intent 的行为或语义。
• [C-0-2] 设备不得更改特定类型的系统组件（例如 Service、Activity、ContentProvider 等）的生命周期或生命周期语义。
• [C-0-3] 设备不得更改标准权限的语义。
• 设备不得更改对后台应用程序强制执行的限制。更具体地说，对于后台应用
  • [C-0-4] 它们必须停止执行应用程序注册的回调，以接收来自 GnssMeasurement 和 GnssNavigationMessage 的输出。
  • [C-0-5] 它们必须限制通过 LocationManager API 类或 WifiManager.startScan() 方法提供给应用程序的更新频率。
  • [C-0-6] 如果应用程序以 API 级别 25 或更高版本为目标，则它们不得允许在应用程序的清单中为标准 Android intent 的隐式广播注册广播接收器，除非广播 intent 需要 "signature" 或 "signatureOrSystem" protectionLevel 权限或在 豁免列表上。
  • [C-0-7] 如果应用程序以 API 级别 25 或更高版本为目标，则它们必须停止应用程序的后台服务，就像应用程序已调用服务的 stopSelf() 方法一样，除非应用程序被放置在临时允许列表中以处理对用户可见的任务。
  • [C-0-8] 如果应用程序以 API 级别 25 或更高版本为目标，则它们必须释放应用程序持有的唤醒锁。
• [C-0-9] 设备必须返回以下安全提供程序，作为 Security.getProviders() 方法的前七个数组值，按照给定的顺序和给定的名称（由 Provider.getName() 返回）和类返回，除非应用程序已通过 insertProviderAt() 或 removeProvider() 修改了列表。设备可以在下面指定的提供程序列表之后返回其他提供程序。
  1. AndroidNSSP - android.security.net.config.NetworkSecurityConfigProvider
  2. AndroidOpenSSL - com.android.org.conscrypt.OpenSSLProvider
  3. CertPathProvider - sun.security.provider.CertPathProvider
  4. AndroidKeyStoreBCWorkaround - android.security.keystore.AndroidKeyStoreBCWorkaroundProvider
  5. BC - com.android.org.bouncycastle.jce.provider.BouncyCastleProvider
  6. HarmonyJSSE - com.android.org.conscrypt.JSSEProvider
  7. AndroidKeyStore - android.security.keystore.AndroidKeyStoreProvider

以上列表并非详尽无遗。兼容性测试套件 (CTS) 测试了平台行为兼容性的重要部分，但并非全部。设备实现者有责任确保与 Android 开源项目的行为兼容性。因此，设备实现者应该尽可能使用通过 Android 开源项目提供的源代码，而不是重新实现系统的重要部分。

3.5.1. 应用程序限制

如果设备实现实现了限制应用的专有机制，并且该机制比 Rare App Standby Bucket 更具限制性，则它们

• [C-1-1] 必须提供用户界面，用户可以在其中查看受限制的应用列表。
• [C-1-2] 必须提供用户界面，以打开/关闭每个应用的限制。
• [C-1-3] 在没有系统运行状况不佳行为的证据的情况下，不得自动应用限制，但可以在检测到系统运行状况不佳行为（如卡住的唤醒锁、长时间运行的服务和其他条件）时对应用应用限制。这些标准可以由设备实现者确定，但必须与应用对系统运行状况的影响相关。其他与系统运行状况纯粹无关的标准（例如应用在市场中不受欢迎）不得用作标准。
• [C-1-4] 当用户手动关闭应用限制时，不得自动对应用应用应用限制，并且可以建议用户应用应用限制。
• [C-1-5] 如果自动对应用应用了应用限制，必须通知用户。此类信息必须在应用限制后 24 小时内提供。
• [C-1-6] 当受限制的应用调用此 API 时，必须为 ActivityManager.isBackgroundRestricted() 返回 true。
• [C-1-7] 不得限制用户显式使用的最顶层前台应用。
• [C-1-8] 当用户显式开始使用曾经受限制的应用时，必须暂停对变为最顶层前台应用程序的应用的限制。

3.6. API 命名空间

Android 遵循 Java 编程语言定义的包和类命名空间约定。为确保与第三方应用程序的兼容性，设备实现者不得对以下包命名空间进行任何禁止的修改（见下文）

• java.*
• javax.*
• sun.*
• android.*
• androidx.*
• com.android.*

也就是说，它们

• [C-0-1] 不得通过更改任何方法或类签名，或通过删除类或类字段来修改 Android 平台上公开的 API。
• [C-0-2] 不得在上述命名空间的 API 中添加任何公开的元素（例如类或接口，或现有类或接口的字段或方法）或测试或系统 API。“公开的元素”是指任何未在上游 Android 源代码中使用的“@hide”标记修饰的构造。

设备实现者可以修改 API 的底层实现，但此类修改

• [C-0-3] 不得影响任何公开 API 的声明行为和 Java 语言签名。
• [C-0-4] 不得向开发人员宣传或以其他方式公开。

但是，设备实现者可以在标准 Android 命名空间之外添加自定义 API，但自定义 API

• [C-0-5] 不得位于另一组织拥有或引用的命名空间中。例如，设备实现者不得将 API 添加到 com.google.* 或类似的命名空间：只有 Google 才能这样做。同样，Google 不得将 API 添加到其他公司的命名空间。
• [C-0-6] 必须打包在 Android 共享库中，以便只有显式使用它们的应用程序（通过 <uses-library> 机制）才会受到此类 API 增加的内存使用量的影响。

如果设备实现者建议改进上述包命名空间之一（例如，通过向现有 API 添加有用的新功能，或添加新的 API），则实现者应该访问 source.android.com 并根据该站点上的信息开始贡献更改和代码的过程。

请注意，上述限制对应于 Java 编程语言中命名 API 的标准约定；本节旨在加强这些约定，并通过将其包含在本兼容性定义中使其具有约束力。

3.7. 运行时兼容性

设备实现

• [C-0-1] 必须支持完整的 Dalvik Executable (DEX) 格式和 Dalvik 字节码规范和语义。

• [C-0-2] 必须根据上游 Android 平台以及下表指定的配置 Dalvik 运行时以分配内存。（有关屏幕尺寸和屏幕密度定义，请参阅 第 7.1.1 节。）

• 应该使用 Android RunTime (ART)，即 Dalvik Executable Format 的参考上游实现，以及参考实现的包管理系统。

• 应该在各种执行模式和目标架构下运行模糊测试，以确保运行时的稳定性。请参阅 Android 开源项目网站中的 JFuzz 和 DexFuzz。

请注意，下面指定的内存值被视为最小值，设备实现可以为每个应用程序分配更多内存。

3.8. 用户界面兼容性

3.8.1. 启动器（主屏幕）

Android 包括启动器应用程序（主屏幕）和对第三方应用程序替换设备启动器（主屏幕）的支持。

如果设备实现允许第三方应用程序替换设备主屏幕，则它们

• [C-1-1] 必须声明平台功能 android.software.home_screen。
• [C-1-2] 当第三方应用程序使用 <adaptive-icon> 标签来提供其图标，并且调用 PackageManager 方法来检索图标时，必须返回 AdaptiveIconDrawable 对象。

如果设备实现包含默认启动器，该启动器支持应用内固定快捷方式，则它们

• [C-2-1] 必须为 ShortcutManager.isRequestPinShortcutSupported() 报告 true。
• [C-2-2] 在添加应用程序通过 ShortcutManager.requestPinShortcut() API 方法请求的快捷方式之前，必须具有用户界面来询问用户。
• [C-2-3] 必须支持固定快捷方式以及动态和静态快捷方式，如 App Shortcuts 页面上所述。

相反，如果设备实现不支持应用内固定快捷方式，则它们

• [C-3-1] 必须为 ShortcutManager.isRequestPinShortcutSupported() 报告 false。

如果设备实现实现默认启动器，该启动器通过 ShortcutManager API 提供对第三方应用程序提供的其他快捷方式的快速访问，则它们

• [C-4-1] 必须支持所有已记录的快捷方式功能（例如，静态和动态快捷方式、固定快捷方式），并完全实现 ShortcutManager API 类的 API。

如果设备实现包含默认启动器应用，该应用显示应用图标的标记，则它们

• [C-5-1] 必须遵守 NotificationChannel.setShowBadge() API 方法。换句话说，如果该值设置为 true，则显示与应用图标关联的可视化指示，并且当应用的所有通知渠道都将该值设置为 false 时，不显示任何应用图标标记方案。
• 当第三方应用程序通过使用专有 API 指示支持专有标记方案时，可以覆盖应用图标标记及其专有标记方案，但应该使用 SDK 中描述的通知标记 API 提供的资源和值，例如 Notification.Builder.setNumber() 和 Notification.Builder.setBadgeIconType() API。

3.8.2. 小部件

Android 通过定义组件类型以及相应的 API 和生命周期来支持第三方应用小部件，这允许应用程序向最终用户公开 “AppWidget”。

如果设备实现支持第三方应用小部件，则它们

• [C-1-1] 必须声明对平台功能 android.software.app_widgets 的支持。
• [C-1-2] 必须包含对 AppWidget 的内置支持，并公开用户界面功能，以直接在启动器内添加、配置、查看和删除 AppWidget。
• [C-1-3] 必须能够呈现标准网格尺寸为 4 x 4 的小部件。有关详细信息，请参阅 Android SDK 文档中的 App Widget 设计指南。
• 可以在锁屏上支持应用程序小部件。

如果设备实现支持第三方应用小部件和应用内固定快捷方式，则它们

• [C-2-1] 必须为 AppWidgetManager.html.isRequestPinAppWidgetSupported() 报告 true。
• [C-2-2] 必须在通过 AppWidgetManager.requestPinAppWidget() API 方法添加应用请求的快捷方式之前，向用户提供用户提示。

3.8.3. 通知

Android 包含 Notification 和 NotificationManager API，第三方应用开发者可以使用这些 API 通知用户值得注意的事件，并使用设备的硬件组件（例如声音、振动和光线）和软件功能（例如通知栏、系统栏）来吸引用户的注意力。

3.8.3.1. 通知的呈现

如果设备实现允许第三方应用通知用户值得注意的事件，则它们

• [C-1-1] 必须支持使用硬件功能的通知，如 SDK 文档中所述，并在设备实现硬件允许的范围内。例如，如果设备实现包含振动器，则必须正确实现振动 API。如果设备实现缺少硬件，则必须将相应的 API 实现为空操作。此行为在第 7 节中进一步详述。
• [C-1-2] 必须正确渲染所有为 API 或状态栏/系统栏图标风格指南中提供的资源（图标、动画文件等），尽管它们可以为通知提供与参考 Android 开源实现所提供的用户体验不同的替代用户体验。
• [C-1-3] 必须遵守并正确实现为API描述的更新、移除和分组通知的行为。
• [C-1-4] 必须提供 SDK 中记录的 NotificationChannel API 的完整行为。
• [C-1-5] 必须提供用户提示，以阻止和修改每个渠道和应用包级别的特定第三方应用的通知。
• [C-1-6] 还必须提供用户提示，以显示已删除的通知渠道。
• [C-1-7] 必须正确渲染通过 Notification.MessagingStyle 与通知文本一起提供的所有资源（图像、贴纸、图标等），而无需额外的用户交互。例如，必须显示通过 android.app.Person 在通过 setGroupConversation 设置的群组对话中提供的所有资源，包括图标。
• [C-SR] 强烈建议在用户多次关闭某个第三方应用的通知后，自动显示用户提示，以阻止每个渠道和应用包级别的该应用的通知。
• 应该支持富通知。
• 应该将一些更高优先级的通知呈现为平视通知。
• 应该提供用户提示来暂停通知。
• 可以仅管理第三方应用何时可以通知用户值得注意的事件的可见性和时间，以减轻驾驶员分心等安全问题。

Android 11 引入了对对话通知的支持，这些通知使用 MessagingStyle 并提供已发布的 People 快捷方式 ID。

设备实现

• [C-SR] 强烈建议将对话通知分组并显示在非对话通知之前，但正在进行的前台服务通知和 importance:high 通知除外。

如果设备实现支持对话通知，并且应用为气泡提供了所需的数据，则它们

• [C-SR] 强烈建议将此对话显示为气泡。AOSP 实现通过默认的系统 UI、设置和启动器满足这些要求。

如果设备实现支持富通知，则它们

• [C-2-1] 必须使用通过 Notification.Style API 类及其子类提供的完全相同的资源作为呈现的资源元素。
• 应该呈现 Notification.Style API 类及其子类中定义的每个资源元素（例如，图标、标题和摘要文本）。

如果设备实现支持平视通知：它们

• [C-3-1] 必须在使用平视通知时使用 Notification.Builder API 类中描述的平视通知视图和资源。
• [C-3-2] 必须按照 SDK 中的描述，显示通过 Notification.Builder.addAction() 提供的操作以及通知内容，而无需额外的用户交互。

3.8.3.2. 通知侦听器服务

Android 包含 NotificationListenerService API，允许应用（一旦用户明确启用）接收所有通知的副本，因为它们被发布或更新。

设备实现

• [C-0-1] 必须正确且及时地将其完整通知更新到所有此类已安装且用户已启用的侦听器服务，包括附加到 Notification 对象的所有元数据。
• [C-0-2] 必须遵守 snoozeNotification() API 调用，并在 API 调用中设置的暂停持续时间后，关闭通知并进行回调。

如果设备实现具有暂停通知的用户提示，则它们

• [C-1-1] 必须通过标准 API（例如 NotificationListenerService.getSnoozedNotifications()）正确反映暂停的通知状态。
• [C-1-2] 必须向每个已安装的第三方应用提供此用户提示以暂停通知，除非它们来自持久/前台服务。

3.8.3.3. DND（请勿打扰）

如果设备实现支持 DND 功能，则它们

• [C-1-1] 必须在设备实现提供了用户授予或拒绝第三方应用访问 DND 策略配置的方式时，显示应用程序创建的 自动 DND 规则 以及用户创建和预定义的规则。
• [C-1-3] 必须遵守沿 NotificationManager.Policy 传递的 suppressedVisualEffects 值，并且如果应用设置了 SUPPRESSED_EFFECT_SCREEN_OFF 或 SUPPRESSED_EFFECT_SCREEN_ON 标志中的任何一个，则应该向用户指示视觉效果在 DND 设置菜单中被抑制。

3.8.4. 搜索

Android 包含允许开发者将搜索整合到其应用程序中，并将应用程序的数据公开到全局系统搜索的 API。一般来说，此功能由一个单一的、系统范围的用户界面组成，该界面允许用户输入查询，在用户键入时显示建议，并显示结果。Android API 允许开发者重用此界面以在其自己的应用中提供搜索，并允许开发者向公共全局搜索用户界面提供结果。

• Android 设备实现应该包括全局搜索，这是一个单一的、共享的、系统范围的搜索用户界面，能够实时响应用户输入提供建议。

如果设备实现实现了全局搜索界面，则它们

• [C-1-1] 必须实现允许第三方应用程序在全局搜索模式下运行时向搜索框添加建议的 API。

如果没有安装任何利用全局搜索的第三方应用程序

• 默认行为应该是显示 Web 搜索引擎结果和建议。

Android 还包含 Assist API，允许应用程序选择与设备上的助手共享当前上下文的多少信息。

如果设备实现支持 Assist 操作，则它们

• [C-2-1] 必须通过以下方式清楚地向最终用户指示何时共享上下文：
  • 每次辅助应用访问上下文时，在屏幕边缘显示白光，其持续时间和亮度达到或超过 Android 开源项目实现的水平。
  • 对于预装的辅助应用，在距离默认语音输入和辅助应用设置菜单不到两次导航的位置提供用户提示，并且仅当用户通过热词或辅助导航键输入显式调用辅助应用时才共享上下文。
• [C-2-2] 如第 7.2.3 节中所述，启动辅助应用的指定交互必须启动用户选择的辅助应用，换句话说，即实现 VoiceInteractionService 的应用，或处理 ACTION_ASSIST intent 的 Activity。

3.8.5. 警报和 Toast

应用程序可以使用 Toast API 向最终用户显示简短的非模态字符串，这些字符串会在短暂的时间后消失，并使用 TYPE_APPLICATION_OVERLAY 窗口类型 API 将警报窗口显示为覆盖在其他应用之上的叠加层。

如果设备实现包括屏幕或视频输出，则它们

• [C-1-1] 必须提供用户提示，以阻止应用显示使用 TYPE_APPLICATION_OVERLAY 的警报窗口。AOSP 实现通过在通知栏中设置控件来满足此要求。

• [C-1-2] 必须遵守 Toast API，并以某种高度可见的方式向最终用户显示来自应用程序的 Toast。

3.8.6. 主题

Android 提供“主题”作为应用程序跨整个 Activity 或应用程序应用样式的机制。

Android 包含“Holo”和“Material”主题系列，作为一组定义的样式，供应用程序开发者使用，如果他们想要匹配 Android SDK 定义的 Holo 主题外观。

如果设备实现包括屏幕或视频输出，则它们

• [C-1-1] 不得更改暴露给应用程序的任何 Holo 主题属性。
• [C-1-2] 必须支持“Material”主题系列，并且不得更改暴露给应用程序的任何 Material 主题属性或其资产。
• [C-1-3] 必须将“sans-serif”字体系列设置为 Roboto version 2.x，对于 Roboto 支持的语言，或者提供用户提示以将用于“sans-serif”字体系列的字体更改为 Roboto version 2.x，对于 Roboto 支持的语言。

Android 还包含“Device Default”主题系列，作为一组定义的样式，供应用程序开发者使用，如果他们想要匹配设备实现者定义的设备主题的外观。

• 设备实现可以修改暴露给应用程序的 Device Default 主题属性。

Android 支持带有半透明系统栏的变体主题，这允许应用程序开发者用其应用内容填充状态栏和导航栏后面的区域。为了在这种配置中实现一致的开发者体验，重要的是在不同的设备实现中保持状态栏图标样式。

如果设备实现包括系统状态栏，则它们

• [C-2-1] 必须对系统状态图标（例如信号强度和电池电量）以及系统发出的通知使用白色，除非图标指示有问题状态或应用使用 SYSTEM_UI_FLAG_LIGHT_STATUS_BAR 标志请求浅色状态栏。
• [C-2-2] 当应用请求浅色状态栏时，Android 设备实现必须将系统状态图标的颜色更改为黑色（详细信息，请参阅 R.style）。

3.8.7. 动态壁纸

Android 定义了一个组件类型以及相应的 API 和生命周期，允许应用程序向最终用户公开一个或多个“动态壁纸”。动态壁纸是动画、图案或类似的图像，具有有限的输入功能，作为壁纸显示在其他应用程序后面。

如果硬件可以运行所有动态壁纸，且功能不受限制，并以合理的帧速率运行，且不对其他应用程序产生不利影响，则认为该硬件能够可靠地运行动态壁纸。如果硬件的限制导致壁纸和/或应用程序崩溃、故障、消耗过多的 CPU 或电池电量，或以无法接受的低帧速率运行，则认为该硬件无法运行动态壁纸。例如，某些动态壁纸可能使用 OpenGL 2.0 或 3.x 上下文来渲染其内容。动态壁纸在不支持多个 OpenGL 上下文的硬件上无法可靠运行，因为动态壁纸对 OpenGL 上下文的使用可能会与也使用 OpenGL 上下文的其他应用程序冲突。

• 能够如上所述可靠运行动态壁纸的设备实现应该实现动态壁纸。

如果设备实现实现了动态壁纸，则它们

• [C-1-1] 必须报告平台功能标志 android.software.live_wallpaper。

3.8.8. 活动切换

上游 Android 源代码包含概览屏幕，这是一个系统级用户界面，用于任务切换和显示最近访问的活动和任务，使用用户上次离开应用程序时应用程序图形状态的缩略图图像。

包括第 7.2.3 节中详述的最近使用应用功能导航键的设备实现可以更改界面。

如果包括第 7.2.3 节中详述的最近使用应用功能导航键的设备实现更改了界面，则它们

• [C-1-1] 必须至少支持最多 7 个显示的活动。
• 应该一次至少显示 4 个活动的标题。
• [C-1-2] 必须实现屏幕固定行为，并为用户提供设置菜单来切换该功能。
• 应该在最近使用应用中显示高亮颜色、图标、屏幕标题。
• 应该显示关闭提示（“x”），但可以延迟到用户与屏幕交互时再显示。
• 应该实现一个快捷方式，以便轻松切换到上一个活动。
• 当最近使用应用功能键被点击两次时，应该触发最近使用的两个应用之间的快速切换操作。
• 如果支持分屏多窗口模式，则当最近使用应用功能键被长按时，应该触发分屏多窗口模式。
• 可以显示关联的最近使用应用作为一个一起移动的组。
• [SR] 强烈建议对概览屏幕使用上游 Android 用户界面（或类似的基于缩略图的界面）。

3.8.9. 输入管理

Android 包括对输入管理和对第三方输入法编辑器的支持。

如果设备实现允许用户在设备上使用第三方输入法，则它们

• [C-1-1] 必须声明平台功能 android.software.input_methods 并支持 Android SDK 文档中定义的 IME API。

3.8.10. 锁屏媒体控制

Remote Control Client API 从 Android 5.0 开始已被弃用，转而使用 Media Notification Template，该模板允许媒体应用程序与锁屏上显示的播放控件集成。

3.8.11. 屏幕保护程序（以前称为 Dreams）

有关配置屏幕保护程序的设置 intent，请参阅第 3.2.3.5 节。

3.8.12. 位置

如果设备实现包括能够提供位置坐标的硬件传感器（例如 GPS），则它们

• [C-1-2] 必须在“设置”中的“位置”菜单中显示位置的当前状态。
• [C-1-3] 不得在“设置”中的“位置”菜单中显示位置模式。

3.8.13. Unicode 和字体

Android 包括对 Unicode 10.0 中定义的表情符号字符的支持。

如果设备实现包括屏幕或视频输出，则它们

• [C-1-1] 必须能够以彩色字形渲染这些表情符号字符。
• [C-1-2] 必须包括对以下内容的支持
  • Roboto 2 字体，具有不同的粗细 - sans-serif-thin、sans-serif-light、sans-serif-medium、sans-serif-black、sans-serif-condensed、sans-serif-condensed-light，适用于设备上可用的语言。
  • 完整的 Unicode 7.0 覆盖范围，包括拉丁语、希腊语和西里尔语，包括拉丁语扩展 A、B、C 和 D 范围，以及 Unicode 7.0 货币符号块中的所有字形。
• 应该支持 Unicode 技术报告 #51 中指定的肤色和多元家庭表情符号。

如果设备实现包括 IME，则它们

• 应该为用户提供这些表情符号字符的输入法。

Android 包括渲染缅甸字体的支持。缅甸语有几种不符合 Unicode 标准的字体，通常称为“Zawgyi”，用于渲染缅甸语。

如果设备实现包括对缅甸语的支持，则它们

* [C-2-1] MUST render text with Unicode compliant font as default;
  non-Unicode compliant font MUST NOT be set as default font unless the user
  chooses it in the language picker.
* [C-2-2] MUST support a Unicode font and a non-Unicode compliant font if a
  non-Unicode compliant font is supported on the device.  Non-Unicode
  compliant font MUST NOT remove or overwrite the Unicode font.
* [C-2-3] MUST render text with non-Unicode compliant font ONLY IF a
  language code with [script code Qaag](
  http://unicode.org/reports/tr35/#unicode_script_subtag_validity) is
  specified (e.g. my-Qaag). No other ISO language or region codes (whether
  assigned, unassigned, or reserved) can be used to refer to non-Unicode
  compliant font for Myanmar. App developers and web page authors can
  specify my-Qaag as the designated language code as they would for any
  other language.

3.8.14. 多窗口

如果设备实现具有同时显示多个活动的能力，则它们

• [C-1-1] 必须根据 Android SDK 多窗口模式支持文档中描述的应用程序行为和 API 实现此类多窗口模式，并满足以下要求
• [C-1-2] 必须遵守应用在 AndroidManifest.xml 文件中设置的 android:resizeableActivity，如 此 SDK 中所述。
• [C-1-3] 如果屏幕高度小于 440 dp 且屏幕宽度小于 440 dp，则不得提供分屏或自由窗口模式。
• [C-1-4] 在图片画中画以外的多窗口模式下，Activity 不得调整大小至小于 220dp 的尺寸。
• 屏幕尺寸为 xlarge 的设备实现应该支持自由窗口模式。

如果设备实现支持多窗口模式，以及分屏模式，则它们

• [C-2-1] 必须预加载可调整大小的启动器作为默认启动器。
• [C-2-2] 如果启动器应用是焦点窗口，则必须裁剪分屏多窗口的停靠活动，但应该显示其部分内容。
• [C-2-3] 必须遵守第三方启动器应用程序声明的 AndroidManifestLayout_minWidth 和 AndroidManifestLayout_minHeight 值，并且在显示停靠活动的部分内容的过程中，不得覆盖这些值。

如果设备实现支持多窗口模式和画中画多窗口模式，则它们

• [C-3-1] 当应用满足以下条件时，必须以画中画多窗口模式启动 Activity：* 目标 API 级别为 26 或更高版本，并声明 android:supportsPictureInPicture * 目标 API 级别为 25 或更低版本，并同时声明 android:resizeableActivity 和 android:supportsPictureInPicture。
• [C-3-2] 必须通过 setActions() API 在其 SystemUI 中公开当前 PIP Activity 指定的操作。
• [C-3-3] 必须支持纵横比大于或等于 1:2.39 且小于或等于 2.39:1 的宽高比，如 PIP Activity 通过 setAspectRatio() API 指定的。
• [C-3-4] 必须使用 KeyEvent.KEYCODE_WINDOW 来控制 PIP 窗口；如果未实现 PIP 模式，则该键必须可用于前台 Activity。
• [C-3-5] 必须提供用户提示，以阻止应用以 PIP 模式显示；AOSP 实现通过在通知栏中设置控件来满足此要求。

• [C-3-6] 当应用程序未声明任何 AndroidManifestLayout_minWidth 和 AndroidManifestLayout_minHeight 值时，必须为 PIP 窗口分配以下最小宽度和高度

  • Configuration.uiMode 设置为 UI_MODE_TYPE_TELEVISION 以外的设备必须分配最小宽度和高度为 108 dp。
  • Configuration.uiMode 设置为 UI_MODE_TYPE_TELEVISION 的设备必须分配最小宽度为 240 dp 和最小高度为 135 dp。

3.8.15. 显示屏缺口

Android 支持 SDK 文档中描述的显示屏缺口。DisplayCutout API 定义了显示屏边缘上的一个区域，由于显示屏缺口或边缘上的曲面显示屏，该区域可能无法供应用程序使用。

如果设备实现包括显示屏缺口，则它们

• [C-1-5] 如果设备的纵横比为 1.0(1:1)，则不得有缺口。
• [C-1-2] 每个边缘不得超过一个缺口。
• [C-1-3] 必须遵守应用通过 WindowManager.LayoutParams API 设置的显示屏缺口标志，如 SDK 中所述。
• [C-1-4] 必须报告 DisplayCutout API 中定义的所有缺口指标的正确值。

3.8.16. 设备控件

Android 包含 ControlsProviderService 和 Control API，允许第三方应用程序发布设备控件，以便用户快速查看状态和执行操作。

有关设备特定要求，请参阅第 2_2_3 节。

3.9. 设备管理

Android 包含一些功能，允许具有安全意识的应用程序通过 Android 设备管理 API 执行系统级别的设备管理功能，例如强制执行密码策略或执行远程擦除。

如果设备实现实现了 Android SDK 文档中定义的全部 设备管理 策略，则它们

• [C-1-1] 必须声明 android.software.device_admin。
• [C-1-2] 必须支持第 3.9.1 节和第 3.9.1.1 节中描述的设备所有者配置。

3.9.1 设备配置

3.9.1.1 设备所有者配置

如果设备实现声明 android.software.device_admin，则它们

• [C-1-1] 必须支持将设备策略客户端 (DPC) 注册为设备所有者应用，如下所述
  • 当设备实现尚无用户数据时，它
    • [C-1-3] 必须为 DevicePolicyManager.isProvisioningAllowed(ACTION_PROVISION_MANAGED_DEVICE) 报告 true。
    • [C-1-4] 必须响应 intent 操作 android.app.action.PROVISION_MANAGED_DEVICE，将 DPC 应用程序注册为设备所有者应用程序。
    • [C-1-5] 如果设备通过功能标志 android.hardware.nfc 声明支持近场通信 (NFC)，并且接收到包含 MIME 类型为 MIME_TYPE_PROVISIONING_NFC 的记录的 NFC 消息，则必须将 DPC 应用程序注册为设备所有者应用程序。
  • 当设备实现具有用户数据时，它
    • [C-1-6] 必须为 DevicePolicyManager.isProvisioningAllowed(ACTION_PROVISION_MANAGED_DEVICE) 报告 false。
    • [C-1-7] 不得再将任何 DPC 应用程序注册为设备所有者应用程序。
• [C-1-2] 在配置过程之前或期间，必须要求采取一些肯定性操作，以同意将应用程序设置为设备所有者。同意可以通过用户操作或某种编程方式获得，但在启动设备所有者配置之前，必须显示适当的披露声明（如 AOSP 中引用的）。此外，企业用于设备所有者配置的编程设备所有者同意机制不得干扰非企业用户的开箱即用体验。
• [C-1-3] 不得硬编码同意，也不得阻止使用其他设备所有者应用程序。

如果设备实现声明 android.software.device_admin，但也包含专有的设备所有者管理解决方案，并提供一种机制来将配置在其解决方案中的应用程序提升为“设备所有者等效项”到标准 Android DevicePolicyManager API 识别的标准“设备所有者”，则它们

• [C-2-1] 必须制定流程来验证正在提升的特定应用程序是否属于合法的企业设备管理解决方案，并且该应用程序已在其专有解决方案中配置为具有与“设备所有者”等效的权限。
• [C-2-2] 在将 DPC 应用程序注册为“设备所有者”之前，必须显示与 android.app.action.PROVISION_MANAGED_DEVICE 启动的流程相同的 AOSP 设备所有者同意披露声明。
• 可以在将 DPC 应用程序注册为“设备所有者”之前，设备上已存在用户数据。

3.9.1.2 受管理个人资料配置

如果设备实现声明 android.software.managed_users，则它们

• [C-1-1] 必须实现允许设备策略控制器 (DPC) 应用程序成为新的受管理个人资料的所有者的 API。

• [C-1-2] 受管理个人资料配置过程（由 android.app.action.PROVISION_MANAGED_PROFILE 启动的流程）用户体验必须与 AOSP 实现一致。

• [C-1-3] 必须在“设置”中提供以下用户提示，以向用户指示特定系统功能已被设备策略控制器 (DPC) 禁用

  • 一致的图标或其他用户提示（例如上游 AOSP 信息图标），以表示特定设置受到设备管理员的限制。
  • 设备管理员通过 setShortSupportMessage 提供的简短解释消息。
  • DPC 应用程序的图标。

3.9.2 受管理个人资料支持

如果设备实现声明 android.software.managed_users，则它们

• [C-1-1] 必须通过 android.app.admin.DevicePolicyManager API 支持受管理个人资料。
• [C-1-2] 必须允许创建且仅允许创建一个受管理个人资料。
• [C-1-3] 必须使用图标徽章（类似于 AOSP 上游工作徽章）来表示受管理应用程序和小部件以及其他带徽章的 UI 元素，例如“最近使用应用”和“通知”。
• [C-1-4] 必须显示通知图标（类似于 AOSP 上游工作徽章），以指示用户何时位于受管理个人资料应用程序中。
• [C-1-5] **必须**在设备唤醒 (ACTION_USER_PRESENT) 且前台应用程序位于托管配置文件内时，显示一个 Toast 提示，指示用户位于托管配置文件中。
• [C-1-6] 如果存在托管配置文件，**必须**在意图“选择器”中显示一个可视的辅助功能，以允许用户将意图从托管配置文件转发到主用户，或反之亦然，如果设备策略控制器启用此功能。
• [C-1-7] 如果存在托管配置文件，**必须**为主用户和托管配置文件都公开以下用户辅助功能
  • 分别核算主用户和托管配置文件的电池、位置、移动数据和存储使用情况。
  • 独立管理主用户或托管配置文件中安装的 VPN 应用程序。
  • 独立管理主用户或托管配置文件中安装的应用程序。
  • 独立管理主用户或托管配置文件中的帐户。
• [C-1-8] **必须**确保预装的拨号器、联系人和消息应用程序可以从托管配置文件（如果存在）以及主配置文件中搜索和查找来电者信息，如果设备策略控制器允许。
• [C-1-9] **必须**确保其满足适用于启用多用户的设备的所有安全要求（参见第 9.5 节），即使托管配置文件不计为主用户之外的另一个用户。

如果设备实现声明了 android.software.managed_users 和 android.software.secure_lock_screen，则它们

• [C-2-1] **必须**支持指定一个单独的锁屏，满足以下要求，以便仅授予对在托管配置文件中运行的应用程序的访问权限。
  • 设备实现 **必须** 遵守 DevicePolicyManager.ACTION_SET_NEW_PASSWORD intent，并显示一个界面来为托管配置文件配置单独的锁屏凭据。
  • 托管配置文件的锁屏凭据 **必须** 使用与父配置文件相同的凭据存储和管理机制，如 Android 开源项目站点 上所述。
  • DPC 密码策略 **必须** 仅适用于托管配置文件的锁屏凭据，除非在 getParentProfileInstance 返回的 DevicePolicyManager 实例上调用。
• 当托管配置文件中的联系人显示在预装的通话记录、通话中 UI、进行中和未接来电通知、联系人和消息应用程序中时，它们 **应该** 带有与指示托管配置文件应用程序相同的徽章。

3.9.3 托管用户支持

如果设备实现声明 android.software.managed_users，则它们

• [C-1-1] 当 isLogoutEnabled 返回 true 时，**必须** 提供用户辅助功能，以便从当前用户注销并切换回多用户会话中的主用户。用户辅助功能 **必须** 可从锁屏界面访问，而无需解锁设备。

3.10. 无障碍功能

Android 提供了一个无障碍功能层，帮助残障用户更轻松地导航他们的设备。此外，Android 提供了平台 API，使无障碍功能服务实现能够接收用户和系统事件的回调，并生成替代反馈机制，例如文本转语音、触觉反馈和轨迹球/D-pad 导航。

如果设备实现支持第三方辅助功能服务，则它们

• [C-1-1] **必须** 提供 Android 无障碍功能框架的实现，如 无障碍功能 API SDK 文档中所述。
• [C-1-2] **必须** 生成无障碍功能事件，并将适当的 AccessibilityEvent 传递给所有注册的 AccessibilityService 实现，如 SDK 中所述。
• [C-1-4] 当启用的无障碍功能服务声明 AccessibilityServiceInfo.FLAG_REQUEST_ACCESSIBILITY_BUTTON 时，**必须** 在系统的导航栏中添加一个按钮，允许用户控制无障碍功能服务。请注意，对于没有系统导航栏的设备实现，此要求不适用，但设备实现 **应该** 提供用户辅助功能来控制这些无障碍功能服务。

如果设备实现包含预装的无障碍功能服务，则它们

• [C-2-1] 当数据存储使用基于文件的加密 (FBE) 进行加密时，**必须** 将这些预装的无障碍功能服务实现为 Direct Boot Aware 应用程序。
• **应该** 在开箱即用设置流程中提供一种机制，供用户启用相关的无障碍功能服务，以及调整字体大小、显示大小和放大手势的选项。

3.11. 文本转语音

Android 包含 API，允许应用程序使用文本转语音 (TTS) 服务，并允许服务提供商提供 TTS 服务的实现。

如果设备实现报告了 android.hardware.audio.output 功能，则它们

• [C-1-1] **必须** 支持 Android TTS 框架 API。

如果设备实现支持安装第三方 TTS 引擎，则它们

• [C-2-1] **必须** 提供用户辅助功能，允许用户选择一个 TTS 引擎以在系统级别使用。

3.12. TV 输入框架

Android 电视输入框架 (TIF) 简化了向 Android 电视设备交付直播内容的过程。TIF 提供了一个标准 API 来创建控制 Android 电视设备的输入模块。

如果设备实现支持 TIF，则它们

• [C-1-1] **必须** 声明平台功能 android.software.live_tv。
• [C-1-2] **必须** 支持所有 TIF API，以便可以使用这些 API 和 第三方基于 TIF 的输入 服务的应用程序可以在设备上安装和使用。

3.13. 快速设置

Android 提供了一个快速设置 UI 组件，允许快速访问常用或紧急需要的操作。

如果设备实现包含快速设置 UI 组件并支持第三方快速设置，则它们

• [C-1-1] **必须** 允许用户从第三方应用程序添加或删除通过 quicksettings API 提供的磁贴。
• [C-1-2] **不得** 将来自第三方应用程序的磁贴直接自动添加到快速设置中。
• [C-1-3] **必须** 将所有用户添加的来自第三方应用程序的磁贴与系统提供的快速设置磁贴一起显示。

3.14. 媒体 UI

如果设备实现包括非语音激活的应用程序（Apps），这些应用程序通过 MediaBrowser 或 MediaSession 与第三方应用程序交互，则 Apps

• [C-1-2] **必须** 清楚地显示通过 getIconBitmap() 或 getIconUri() 获取的图标，以及通过 getTitle() 获取的标题，如 MediaDescription 中所述。可以缩短标题以符合安全法规（例如，驾驶员分心）。

• [C-1-3] **必须** 在显示此第三方应用程序提供的内容时，始终显示第三方应用程序图标。

• [C-1-4] **必须** 允许用户与整个 MediaBrowser 层次结构交互。**可以** 限制对部分层次结构的访问，以符合安全法规（例如，驾驶员分心），但 **不得** 基于内容或内容提供商给予优惠待遇。

• [C-1-5] **必须** 将双击 KEYCODE_HEADSETHOOK 或 KEYCODE_MEDIA_PLAY_PAUSE 视为 KEYCODE_MEDIA_NEXT，用于 MediaSession.Callback#onMediaButtonEvent。

3.15. 即时应用

设备实现 **必须** 满足以下要求

• [C-0-1] 即时应用 **必须** 仅被授予 android:protectionLevel 设置为 "instant" 的权限。
• [C-0-2] 即时应用 **不得** 通过 隐式 intent 与已安装的应用交互，除非满足以下条件之一
  • 组件的 intent 模式过滤器已公开并具有 CATEGORY_BROWSABLE
  • 操作是 ACTION_SEND、ACTION_SENDTO、ACTION_SEND_MULTIPLE 之一
  • 目标通过 android:visibleToInstantApps 显式公开
• [C-0-3] 即时应用 **不得** 与已安装的应用显式交互，除非组件通过 android:visibleToInstantApps 公开。
• [C-0-4] 已安装的应用 **不得** 查看设备上即时应用的详细信息，除非即时应用显式连接到已安装的应用程序。

如果设备实现支持即时应用，那么它们

• [C-1-1] **必须** 提供以下用户辅助功能，用于与即时应用交互。AOSP 通过默认的系统 UI、设置和启动器满足这些要求。
• [C-1-2] **必须** 提供用户辅助功能，以查看和删除本地缓存的每个单独应用包的即时应用。
• [C-1-3] **必须** 提供一个持久性用户通知，该通知可以在即时应用在前台运行时折叠。此用户通知 **必须** 包括即时应用不需要安装，并提供一个用户辅助功能，将用户定向到设置中的应用程序信息屏幕。对于通过 Web intent 启动的即时应用，如通过将操作设置为 Intent.ACTION_VIEW 且方案为“http”或“https”的 intent 定义的，额外的用户辅助功能 **应该** 允许用户不启动即时应用，而是使用配置的 Web 浏览器启动关联的链接（如果设备上有浏览器可用）。
• [C-1-4] 如果设备上提供“最近”功能，**必须** 允许从“最近”功能访问正在运行的即时应用。
• [C-1-5] **必须** 预加载一个或多个应用程序或服务组件，这些组件具有 SDK 此处列出的 intent 的 intent 处理程序，并使这些 intent 对即时应用可见。

3.16. 伴侣设备配对

Android 包括对伴侣设备配对的支持，以便更有效地管理与伴侣设备的关联，并提供 CompanionDeviceManager API 供应用程序访问此功能。

如果设备实现支持伴侣设备配对功能，则它们

• [C-1-1] **必须** 声明功能标志 FEATURE_COMPANION_DEVICE_SETUP 。
• [C-1-2] **必须** 确保 android.companion 包中的 API 已完全实现。
• [C-1-3] **必须** 提供用户辅助功能，供用户选择/确认伴侣设备存在且可操作。

3.17. 重量级应用

如果设备实现声明了功能 FEATURE_CANT_SAVE_STATE，则它们

• [C-1-1] **必须** 在系统中一次只运行一个已安装的应用程序，该应用程序指定了 cantSaveState。如果用户在没有显式退出的情况下离开此类应用程序（例如，在离开活动 Activity 时按 Home 键，而不是在系统中没有剩余活动 Activity 时按返回键），则设备实现 **必须** 像对待其他预期保持运行的事物（例如前台服务）一样，优先考虑 RAM 中的该应用程序。当此类应用程序在后台运行时，系统仍然可以对其应用电源管理功能，例如限制 CPU 和网络访问。
• [C-1-2] **必须** 提供一个 UI 辅助功能，以选择一旦用户启动第二个声明了 cantSaveState 属性的应用程序，则不参与正常状态保存/恢复机制的应用程序。
• [C-1-3] **不得** 对指定了 cantSaveState 的应用程序应用其他策略更改，例如更改 CPU 性能或更改调度优先级。

如果设备实现未声明功能 FEATURE_CANT_SAVE_STATE，则它们

• [C-1-1] **必须** 忽略应用程序设置的 cantSaveState 属性，并且 **不得** 基于该属性更改应用程序行为。

3.18. 联系人

Android 包含 Contacts Provider API，允许应用程序管理设备上存储的联系人信息。直接输入到设备中的联系人数据通常会与 Web 服务同步，但数据 **可以** 也仅驻留在设备本地。仅存储在设备上的联系人被称为 **本地联系人。**

RawContacts 在 Account 中“关联”或“存储”，当 raw contacts 的 ACCOUNT_NAME 和 ACCOUNT_TYPE 列与帐户的相应 Account.name 和 Account.type 字段匹配时。

**默认本地帐户**：用于仅存储在设备上且未与 AccountManager 中的帐户关联的 raw contacts 的帐户，这些帐户是使用 ACCOUNT_NAME 和 ACCOUNT_TYPE 列的 *null* 值创建的。

**自定义本地帐户**：用于仅存储在设备上且未与 AccountManager 中的帐户关联的 raw contacts 的帐户，这些帐户是使用 ACCOUNT_NAME 和 ACCOUNT_TYPE 列的 *至少一个非空值* 创建的。

设备实现

• [C-SR] **强烈建议** 不要创建 **自定义本地帐户**。

如果设备实现使用 **自定义本地帐户**

• [C-1-1] **自定义本地帐户** 的 ACCOUNT_NAME **必须** 由 ContactsContract.RawContacts.getLocalAccountName 返回
• [C-1-2] **自定义本地帐户** 的 ACCOUNT_TYPE **必须** 由 ContactsContract.RawContacts.getLocalAccountType 返回
• [C-1-3] 由第三方应用程序使用 **默认本地帐户** 插入的 raw contacts（即，通过为 ACCOUNT_NAME 和 ACCOUNT_TYPE 设置 null 值）**必须** 插入到 **自定义本地帐户** 中。
• [C-1-4] 插入到 **自定义本地帐户** 中的 Raw contacts **不得** 在添加或删除帐户时被删除。
• [C-1-5] 对 **自定义本地帐户** 执行的删除操作 **必须** 导致 raw contacts 立即被清除（就像 CALLER_IS_SYNCADAPTER 参数设置为 true 一样），即使 CALLER\_IS\_SYNCADAPTER 参数设置为 false 或未指定。

4. 应用程序打包兼容性

设备实现

• [C-0-1] **必须** 能够安装和运行由 官方 Android SDK 中包含的“aapt”工具生成的 Android “.apk”文件。
• 由于上述要求可能具有挑战性，**建议** 设备实现使用 AOSP 参考实现的软件包管理系统。

设备实现

• [C-0-2] **必须** 支持使用 APK 签名方案 v3、APK 签名方案 v2 和 JAR 签名来验证 “.apk” 文件。
• [C-0-3] **不得** 以阻止这些文件在其他兼容设备上正确安装和运行的方式扩展 .apk、Android Manifest、Dalvik 字节码 或 RenderScript 字节码格式。

• [C-0-4] **不得** 允许软件包的当前“记录安装程序”以外的应用在没有任何用户确认的情况下静默卸载该应用，如 DELETE_PACKAGE 权限的 SDK 文档中所述。唯一的例外是处理 PACKAGE_NEEDS_VERIFICATION intent 的系统软件包验证程序应用和处理 ACTION_MANAGE_STORAGE intent 的存储管理器应用。

• [C-0-5] **必须** 具有一个 Activity 来处理 android.settings.MANAGE_UNKNOWN_APP_SOURCES intent。

• [C-0-6] **不得** 从未知来源安装应用程序包，除非 请求安装 的应用程序满足以下所有要求

  • 它 **必须** 声明 REQUEST_INSTALL_PACKAGES 权限或将 android:targetSdkVersion 设置为 24 或更低。
  • 它 **必须** 已获得用户授予的从未知来源安装应用的权限。

• **应该** 提供用户辅助功能，以允许每个应用程序授予/撤销从未知来源安装应用的权限，但 **可以** 选择将其实现为无操作，并为 startActivityForResult() 返回 RESULT_CANCELED，如果设备实现不想允许用户拥有此选择权。但是，即使在这种情况下，它们 **应该** 向用户说明为什么没有提供这种选择。

• [C-0-7] **必须** 在启动应用程序中的 Activity 之前，向用户显示一个警告对话框，其中包含通过系统 API PackageManager.setHarmfulAppWarning 提供的警告字符串，该应用程序已通过相同的系统 API PackageManager.setHarmfulAppWarning 标记为可能有害。

• **应该** 提供用户辅助功能，以便在警告对话框上选择卸载或启动应用程序。

• [C-0-8] **必须** 实现对增量文件系统的支持，如 此处 所述。

• [C-0-9] **必须** 支持使用 APK 签名方案 v4 验证 .apk 文件。

• 如果设备实现已在较早的 Android 版本上启动，并且无法通过系统软件更新满足 [C-0-8] 和 [C-0-9] 要求，则它们 **可以** 免除这些要求。

5. 多媒体兼容性

设备实现

• [C-0-1] **必须** 支持 第 5.1 节 中定义的媒体格式、编码器、解码器、文件类型和容器格式，用于 MediaCodecList 声明的每个编解码器。
• [C-0-2] **必须** 声明并通过 MediaCodecList 报告第三方应用程序可用的编码器、解码器的支持情况。
• [C-0-3] **必须** 能够正确解码并使其编码的所有格式可供第三方应用程序使用。这包括其编码器生成的所有比特流及其 CamcorderProfile 中报告的配置文件。

设备实现

• **应该** 旨在实现最小的编解码器延迟，换句话说，它们
  • **应该** 不消耗和存储输入缓冲区，并且仅在处理后才返回输入缓冲区。
  • **应该** 不将解码缓冲区保留超过标准（例如 SPS）规定的时间。
  • **应该** 不将编码缓冲区保留超过 GOP 结构所需的时间。

以下部分中列出的所有编解码器都在 Android 开源项目的首选 Android 实现中作为软件实现提供。

请注意，谷歌和开放手机联盟均未声明这些编解码器不受第三方专利的约束。那些打算在硬件或软件产品中使用此源代码的人员应注意，此代码的实现，包括在开源软件或共享软件中，可能需要来自相关专利持有人的专利许可。

5.1. 媒体编解码器

5.1.1. 音频编码

请参阅 5.1.3. 音频编解码器详细信息 了解更多详情。

如果设备实现声明了 android.hardware.microphone，则它们 **必须** 支持编码以下音频格式并使其可供第三方应用程序使用

• [C-1-1] PCM/WAVE
• [C-1-2] FLAC
• [C-1-3] Opus

所有音频编码器 **必须** 支持

• [C-3-1] 通过 android.media.MediaCodec API 的 PCM 16 位本机字节顺序音频帧。

5.1.2. 音频解码

请参阅 5.1.3. 音频编解码器详细信息 了解更多详情。

如果设备实现声明支持 android.hardware.audio.output 功能，则它们 **必须** 支持解码以下音频格式

• [C-1-1] MPEG-4 AAC Profile (AAC LC)
• [C-1-2] MPEG-4 HE AAC Profile (AAC+)
• [C-1-3] MPEG-4 HE AACv2 Profile (enhanced AAC+)
• [C-1-4] AAC ELD (enhanced low delay AAC)
• [C-1-11] xHE-AAC (ISO/IEC 23003-3 Extended HE AAC Profile，包括 USAC Baseline Profile 和 ISO/IEC 23003-4 Dynamic Range Control Profile)
• [C-1-5] FLAC
• [C-1-6] MP3
• [C-1-7] MIDI
• [C-1-8] Vorbis
• [C-1-9] PCM/WAVE，包括高达 24 位、192 kHz 采样率和 8 声道的高分辨率音频格式。请注意，此要求仅适用于解码，设备允许在播放阶段进行降采样和混音。
• [C-1-10] Opus

如果设备实现支持通过 android.media.MediaCodec API 中的默认 AAC 音频解码器解码多声道流（即超过两个声道）的 AAC 输入缓冲区到 PCM，则 **必须** 支持以下内容

• [C-2-1] 解码 **必须** 在不进行混音的情况下执行（例如，5.0 AAC 流必须解码为五个声道的 PCM，5.1 AAC 流必须解码为六个声道的 PCM）。
• [C-2-2] 动态范围元数据 **必须** 如 ISO/IEC 14496-3 中的“动态范围控制 (DRC)”中所定义，以及 android.media.MediaFormat DRC 键用于配置音频解码器的动态范围相关行为。AAC DRC 键在 API 21 中引入，它们是：KEY_AAC_DRC_ATTENUATION_FACTOR、KEY_AAC_DRC_BOOST_FACTOR、KEY_AAC_DRC_HEAVY_COMPRESSION、KEY_AAC_DRC_TARGET_REFERENCE_LEVEL 和 KEY_AAC_ENCODED_TARGET_LEVEL。
• [SR] **强烈建议** 所有 AAC 音频解码器都满足上述 C-2-1 和 C-2-2 要求。

当解码 USAC 音频时，MPEG-D (ISO/IEC 23003-4)

• [C-3-1] 响度和 DRC 元数据 **必须** 根据 MPEG-D DRC 动态范围控制配置文件级别 1 进行解释和应用。
• [C-3-2] 解码器 **必须** 根据使用以下 android.media.MediaFormat 键设置的配置进行操作：KEY_AAC_DRC_TARGET_REFERENCE_LEVEL 和 KEY_AAC_DRC_EFFECT_TYPE。

MPEG-4 AAC、HE AAC 和 HE AACv2 配置文件解码器

• **可以** 支持使用 ISO/IEC 23003-4 动态范围控制配置文件进行响度和动态范围控制。

如果支持 ISO/IEC 23003-4，并且如果解码比特流中同时存在 ISO/IEC 23003-4 和 ISO/IEC 14496-3 元数据，则

• ISO/IEC 23003-4 元数据 **应** 优先。

所有音频解码器 **必须** 支持输出

• [C-6-1] 通过 android.media.MediaCodec API 的 PCM 16 位本机字节顺序音频帧。

5.1.3. 音频编解码器详细信息

5.1.4. 图像编码

请参阅 5.1.6. 图像编解码器详细信息 了解更多详情。

设备实现 **必须** 支持编码以下图像编码

• [C-0-1] JPEG
• [C-0-2] PNG
• [C-0-3] WebP

如果设备实现通过 android.media.MediaCodec 为媒体类型 MIMETYPE_IMAGE_ANDROID_HEIC 支持 HEIC 编码，则它们

• [C-1-1] **必须** 提供硬件加速的 HEVC 编码器编解码器，该编解码器支持 BITRATE_MODE_CQ 比特率控制模式、HEVCProfileMainStill 配置文件和 512 x 512 像素帧大小。

5.1.5. 图像解码

请参阅 5.1.6. 图像编解码器详细信息 了解更多详情。

设备实现 **必须** 支持解码以下图像编码

• [C-0-1] JPEG
• [C-0-2] GIF
• [C-0-3] PNG
• [C-0-4] BMP
• [C-0-5] WebP
• [C-0-6] Raw

如果设备实现支持 HEVC 视频解码，则它们：* [C-1-1] **必须** 支持 HEIF (HEIC) 图像解码。

支持高位深格式（每个通道 9 位以上）的图像解码器

• [C-2-1] **必须** 在应用程序请求时支持输出 8 位等效格式，例如，通过 android.graphics.Bitmap 的 ARGB_8888 配置。

5.1.6. 图像编解码器详细信息

通过 MediaCodec API 公开的图像编码器和解码器

• [C-1-1] 必须通过 CodecCapabilities 支持 YUV420 8:8:8 灵活颜色格式 (COLOR_FormatYUV420Flexible)。

• [SR] 强烈建议支持输入 Surface 模式的 RGB888 颜色格式。

• [C-1-3] 必须支持至少一种平面或半平面 YUV420 8:8:8 颜色格式：COLOR_FormatYUV420PackedPlanar (等同于 COLOR_FormatYUV420Planar) 或 COLOR_FormatYUV420PackedSemiPlanar (等同于 COLOR_FormatYUV420SemiPlanar)。强烈建议同时支持这两种格式。

5.1.7. 视频编解码器

• 为了获得可接受的网络视频流和视频会议服务质量，设备实现应使用符合 requirements 的硬件 VP8 编解码器。

如果设备实现包含视频解码器或编码器

• [C-1-1] 视频编解码器必须支持输出和输入字节缓冲区大小，这些大小应能容纳标准和配置规定的最大可行的压缩和未压缩帧，但也不应过度分配。

• [C-1-2] 视频编码器和解码器必须通过 CodecCapabilities 支持 YUV420 8:8:8 灵活颜色格式 (COLOR_FormatYUV420Flexible)。

• [C-1-3] 视频编码器和解码器必须支持至少一种平面或半平面 YUV420 8:8:8 颜色格式：COLOR_FormatYUV420PackedPlanar (等同于 COLOR_FormatYUV420Planar) 或 COLOR_FormatYUV420PackedSemiPlanar (等同于 COLOR_FormatYUV420SemiPlanar)。强烈建议同时支持这两种格式。

• [SR] 强烈建议视频编码器和解码器支持至少一种硬件优化的平面或半平面 YUV420 8:8:8 颜色格式（YV12、NV12、NV21 或等效的供应商优化格式）。

• [C-1-5] 支持高位深格式（每通道 9 位以上）的视频解码器，如果应用程序请求，必须支持输出 8 位等效格式。这必须通过经由 android.media.MediaCodecInfo 支持 YUV420 8:8:8 颜色格式来体现。

如果设备实现通过 Display.HdrCapabilities 公告 HDR 配置文件支持，则它们

• [C-2-1] 必须支持 HDR 静态元数据解析和处理。

如果设备实现通过 MediaCodecInfo.CodecCapabilities 类中的 FEATURE_IntraRefresh 公告帧内刷新支持，则它们

• [C-3-1] 必须支持 10 - 60 帧范围内的刷新周期，并在配置的刷新周期的 20% 范围内准确运行。

除非应用程序使用 KEY_COLOR_FORMAT 格式键另行指定，否则视频解码器实现

• [C-4-1] 如果使用 Surface 输出进行配置，则必须默认使用针对硬件显示优化的颜色格式。
• [C-4-2] 如果配置为不使用 Surface 输出，则必须默认使用针对 CPU 读取优化的 YUV420 8:8:8 颜色格式。

5.1.8. 视频编解码器列表

5.1.9. 媒体编解码器安全

设备实现必须确保符合以下描述的媒体编解码器安全功能。

Android 包括对 OMX（一种跨平台多媒体加速 API）以及 Codec 2.0（一种低开销多媒体加速 API）的支持。

如果设备实现支持多媒体，则它们

• [C-1-1] 必须通过 OMX 或 Codec 2.0 API（或两者兼有）提供对媒体编解码器的支持，如 Android 开源项目中所述，并且不得禁用或规避安全保护。这并非特指每个编解码器都必须使用 OMX 或 Codec 2.0 API，而仅指必须提供对至少一个此类 API 的支持，并且对可用 API 的支持必须包括存在的安全保护。
• [C-SR] 强烈建议包括对 Codec 2.0 API 的支持。

如果设备实现不支持 Codec 2.0 API，则它们

• [C-2-1] 对于设备支持的每种媒体格式和类型（编码器或解码器），必须包含来自 Android 开源项目的相应 OMX 软件编解码器（如果可用）。
• [C-2-2] 名称以 "OMX.google." 开头的编解码器必须基于其 Android 开源项目源代码。
• [C-SR] 强烈建议 OMX 软件编解码器在无法访问硬件驱动程序（内存映射器除外）的编解码器进程中运行。

如果设备实现支持 Codec 2.0 API，则它们

• [C-3-1] 对于设备支持的每种媒体格式和类型（编码器或解码器），必须包含来自 Android 开源项目的相应 Codec 2.0 软件编解码器（如果可用）。
• [C-3-2] 必须将 Codec 2.0 软件编解码器置于 Android 开源项目中提供的软件编解码器进程中，以便更精细地授予对软件编解码器的访问权限。
• [C-3-3] 名称以 "c2.android." 开头的编解码器必须基于其 Android 开源项目源代码。

5.1.10. 媒体编解码器特性

如果设备实现支持媒体编解码器，则它们

• [C-1-1] 必须通过 MediaCodecInfo API 返回媒体编解码器特性的正确值。

特别是

• [C-1-2] 名称以 "OMX." 开头的编解码器必须使用 OMX API，并且名称必须符合 OMX IL 命名准则。
• [C-1-3] 名称以 "c2." 开头的编解码器必须使用 Codec 2.0 API，并且名称必须符合 Android 的 Codec 2.0 命名准则。
• [C-1-4] 名称以 "OMX.google." 或 "c2.android." 开头的编解码器不得被描述为供应商或硬件加速。
• [C-1-5] 在编解码器进程（供应商或系统）中运行的编解码器，如果可以访问除内存分配器和映射器之外的硬件驱动程序，则不得被描述为仅软件。
• [C-1-6] Android 开源项目中不存在或并非基于该项目中的源代码的编解码器必须被描述为供应商。
• [C-1-7] 利用硬件加速的编解码器必须被描述为硬件加速。
• [C-1-8] 编解码器名称不得具有误导性。例如，名为 "decoders" 的编解码器必须支持解码，而名为 "encoders" 的编解码器必须支持编码。名称包含媒体格式的编解码器必须支持这些格式。

如果设备实现支持视频编解码器

• [C-2-1] 所有视频编解码器必须发布以下尺寸的可实现帧率数据（如果编解码器支持这些尺寸）

• [C-2-2] 被描述为硬件加速的视频编解码器必须发布性能点信息。它们必须各自列出所有受支持的标准性能点（在 PerformancePoint API 中列出），除非它们被另一个受支持的标准性能点覆盖。
• 此外，如果它们支持除列出的标准性能点之外的持续视频性能，则应发布扩展性能点。

5.2. 视频编码

如果设备实现支持任何视频编码器并将其提供给第三方应用，则它们

• 在两个滑动窗口中，帧内帧 (I 帧) 间隔之间的比特率不应超过 15%。
• 在 1 秒的滑动窗口内，比特率不应超过 100%。

如果设备实现包括对角线长度至少为 2.5 英寸的嵌入式屏幕显示或包括视频输出端口，或者通过 android.hardware.camera.any 功能标志声明支持摄像头，则它们

• [C-1-1] 必须包含对至少一个 VP8 或 H.264 视频编码器的支持，并使其可供第三方应用程序使用。
• 应支持 VP8 和 H.264 视频编码器，并使其可供第三方应用程序使用。

如果设备实现支持任何 H.264、VP8、VP9 或 HEVC 视频编码器并使其可供第三方应用程序使用，则它们

• [C-2-1] 必须支持动态可配置比特率。
• 应支持可变帧率，其中视频编码器应根据输入缓冲区的时戳确定瞬时帧持续时间，并根据该帧持续时间分配其比特桶。

如果设备实现支持 MPEG-4 SP 视频编码器并将其提供给第三方应用，则它们

• 应支持受支持的编码器的动态可配置比特率。

如果设备实现提供硬件加速的视频或图像编码器，并支持通过 android.camera API 公开的一个或多个连接或可插拔硬件摄像头

• [C-4-1] 所有硬件加速的视频和图像编码器必须支持从硬件摄像头编码帧。
• 应支持通过所有视频或图像编码器从硬件摄像头编码帧。

5.2.1. H.263

如果设备实现支持 H.263 编码器并将其提供给第三方应用，则它们

• [C-1-1] 必须支持 Baseline Profile Level 45。
• 应支持受支持的编码器的动态可配置比特率。

5.2.2. H.264

如果设备实现支持 H.264 编解码器，则它们

• [C-1-1] 必须支持 Baseline Profile Level 3。但是，ASO（任意条带排序）、FMO（灵活宏块排序）和 RS（冗余条带）的支持是可选的。此外，为了保持与其他 Android 设备的兼容性，建议编码器不要将 ASO、FMO 和 RS 用于 Baseline Profile。
• [C-1-2] 必须支持下表中的 SD（标准清晰度）视频编码配置文件。
• 应支持 Main Profile Level 4。
• 应支持下表中指示的 HD（高清晰度）视频编码配置文件。

如果设备实现通过媒体 API 报告支持 720p 或 1080p 分辨率视频的 H.264 编码，则它们

• [C-2-1] 必须支持下表中的编码配置文件。

5.2.3. VP8

如果设备实现支持 VP8 编解码器，则它们

• [C-1-1] 必须支持 SD 视频编码配置文件。
• 应支持以下 HD（高清晰度）视频编码配置文件。
• [C-1-2] 必须支持写入 Matroska WebM 文件。
• 应提供符合 WebM 项目 RTC 硬件编码要求的硬件 VP8 编解码器，以确保可接受的网络视频流和视频会议服务质量。

如果设备实现通过媒体 API 报告支持 720p 或 1080p 分辨率视频的 VP8 编码，则它们

• [C-2-1] 必须支持下表中的编码配置文件。

5.2.4. VP9

如果设备实现支持 VP9 编解码器，则它们

• [C-1-2] 必须支持 Profile 0 Level 3。
• [C-1-1] 必须支持写入 Matroska WebM 文件。
• [C-1-3] 必须生成 CodecPrivate 数据。
• 应支持下表中指示的 HD 解码配置文件。
• [SR] 如果有硬件编码器，则强烈建议支持下表中指示的 HD 解码配置文件。

如果设备实现声明通过 Media API 支持 Profile 2 或 Profile 3

• 对 12 位格式的支持是可选的。

5.2.5. H.265

如果设备实现支持 H.265 编解码器，则它们

• [C-1-1] 必须支持 Main Profile Level 3。
• 应支持下表中指示的 HD 编码配置文件。
• [SR] 如果有硬件编码器，则强烈建议支持下表中指示的 HD 编码配置文件。

5.3. 视频解码

如果设备实现支持 VP8、VP9、H.264 或 H.265 编解码器，则它们

• [C-1-1] 必须在同一流内，通过标准 Android API，实时支持所有 VP8、VP9、H.264 和 H.265 编解码器的动态视频分辨率和帧率切换，并达到设备上每个编解码器支持的最大分辨率。

5.3.1. MPEG-2

如果设备实现支持 MPEG-2 解码器，则它们

• [C-1-1] 必须支持 Main Profile High Level。

5.3.2. H.263

如果设备实现支持 H.263 解码器，则它们

• [C-1-1] 必须支持 Baseline Profile Level 30 和 Level 45。

5.3.3. MPEG-4

如果设备实现带有 MPEG-4 解码器，则它们

• [C-1-1] 必须支持 Simple Profile Level 3。

5.3.4. H.264

如果设备实现支持 H.264 解码器，则它们

• [C-1-1] 必须支持 Main Profile Level 3.1 和 Baseline Profile。ASO（任意条带排序）、FMO（灵活宏块排序）和 RS（冗余条带）的支持是可选的。
• [C-1-2] 必须能够解码下表中列出的 SD（标准清晰度）配置文件，并使用 Baseline Profile 和 Main Profile Level 3.1（包括 720p30）进行编码的视频。
• 应能够解码下表中指示的 HD（高清晰度）配置文件。

如果 Display.getSupportedModes() 方法报告的高度等于或大于视频分辨率，则设备实现

• [C-2-1] 必须支持下表中的 HD 720p 视频解码配置文件。
• [C-2-2] 必须支持下表中的 HD 1080p 视频解码配置文件。

5.3.5. H.265 (HEVC)

如果设备实现支持 H.265 编解码器，则它们

• [C-1-1] 必须支持 Main Profile Level 3 Main tier 和下表中指示的 SD 视频解码配置文件。
• 应支持下表中指示的 HD 解码配置文件。
• [C-1-2] 如果有硬件解码器，则必须支持下表中指示的 HD 解码配置文件。

如果 Display.getSupportedModes() 方法报告的高度等于或大于视频分辨率，则

• [C-2-1] 设备实现必须支持至少一种 H.265 或 VP9 的 720、1080 和 UHD 配置文件解码。

如果设备实现声明通过 Media API 支持 HDR Profile

• [C-3-1] 设备实现必须接受来自应用程序的必需 HDR 元数据，以及支持从比特流和/或容器中提取和输出必需的 HDR 元数据。
• [C-3-2] 设备实现必须在设备屏幕或标准视频输出端口（例如 HDMI）上正确显示 HDR 内容。

5.3.6. VP8

如果设备实现支持 VP8 编解码器，则它们

• [C-1-1] 必须支持下表中的 SD 解码配置文件。
• 应使用符合 requirements 的硬件 VP8 编解码器。
• 应支持下表中的 HD 解码配置文件。

如果 Display.getSupportedModes() 方法报告的高度等于或大于视频分辨率，则

• [C-2-1] 设备实现必须支持下表中的 720p 配置文件。
• [C-2-2] 设备实现必须支持下表中的 1080p 配置文件。

5.3.7. VP9

如果设备实现支持 VP9 编解码器，则它们

• [C-1-1] 必须支持下表中指示的 SD 视频解码配置文件。
• 应支持下表中指示的 HD 解码配置文件。

如果设备实现支持 VP9 编解码器和硬件解码器

• [C-2-1] 必须支持下表中指示的 HD 解码配置文件。

如果 Display.getSupportedModes() 方法报告的高度等于或大于视频分辨率，则

• [C-3-1] 设备实现必须支持至少一种 VP9 或 H.265 的 720、1080 和 UHD 配置文件解码。

如果设备实现声明通过 'CodecProfileLevel' 媒体 API 支持 VP9Profile2 或 VP9Profile3

• 对 12 位格式的支持是可选的。

如果设备实现声明通过媒体 API 支持 HDR Profile (VP9Profile2HDR, VP9Profile2HDR10Plus, VP9Profile3HDR, VP9Profile3HDR10Plus)

• [C-4-1] 设备实现必须接受来自应用程序的必需 HDR 元数据（所有 HDR 配置文件的 KEY_HDR_STATIC_INFO，以及 HDR10Plus 配置文件的 'KEY_HDR10_PLUS_INFO'）。它们还必须支持从比特流和/或容器中提取和输出必需的 HDR 元数据。
• [C-4-2] 设备实现必须在设备屏幕或标准视频输出端口（例如 HDMI）上正确显示 HDR 内容。

5.3.8. Dolby Vision

如果设备实现通过 HDR_TYPE_DOLBY_VISION 声明支持 Dolby Vision 解码器，则它们

• [C-1-1] 必须提供支持 Dolby Vision 的提取器。
• [C-1-2] 必须在设备屏幕或标准视频输出端口（例如 HDMI）上正确显示 Dolby Vision 内容。
• [C-1-3] 必须将向后兼容的基础层（如果存在）的轨道索引设置为与组合的 Dolby Vision 层的轨道索引相同。

5.3.9. AV1

如果设备实现支持 AV1 编解码器，则它们

• [C-1-1] 必须支持 Profile 0，包括 10 位内容。

5.4. 音频录制

虽然本节中概述的某些要求自 Android 4.3 以来被列为“应”，但未来版本的兼容性定义计划将这些要求更改为“必须”。**强烈建议**现有和新的 Android 设备满足这些被列为“应”的要求，否则当升级到未来版本时，它们将无法获得 Android 兼容性。

5.4.1. 原始音频捕获和麦克风信息

如果设备实现声明 android.hardware.microphone，则它们

• [C-1-1] 必须允许捕获具有以下特性的原始音频内容

  • 格式：线性 PCM，16 位
  • 采样率：8000、11025、16000、44100、48000 Hz
  • 声道：单声道

• 应允许捕获具有以下特性的原始音频内容

  • 格式：线性 PCM，16 位和 24 位
  • 采样率：8000、11025、16000、22050、24000、32000、44100、48000 Hz
  • 声道：与设备上的麦克风数量相同的声道数

• [C-1-2] 必须在上述采样率下进行捕获，而无需进行升采样。

• [C-1-3] 当使用降采样捕获上述采样率时，必须包含适当的抗混叠滤波器。

• 应允许 AM 无线电和 DVD 质量的原始音频内容捕获，这意味着以下特性

  • 格式：线性 PCM，16 位
  • 采样率：22050、48000 Hz
  • 声道：立体声
  • [C-1-4] 必须遵守 MicrophoneInfo API，并正确填写设备上可供第三方应用程序使用的可用麦克风的信息，通过 AudioManager.getMicrophones() API，以及当前活动的麦克风，这些麦克风可通过 AudioRecord.getActiveMicrophones() 和 MediaRecorder.getActiveMicrophones() API 供第三方应用程序访问。如果设备实现允许 AM 无线电和 DVD 质量的原始音频内容捕获，则它们

• [C-2-1] 必须在不高于 16000:22050 或 44100:48000 的任何比率下进行捕获，而无需进行升采样。

• [C-2-2] 对于任何升采样或降采样，必须包含适当的抗混叠滤波器。

5.4.2. 语音识别捕获

如果设备实现声明 android.hardware.microphone，则它们

• [C-1-1] 必须以采样率 44100 和 48000 之一捕获 android.media.MediaRecorder.AudioSource.VOICE_RECOGNITION 音频源。
• [C-1-2] 默认情况下，在从 AudioSource.VOICE_RECOGNITION 音频源录制音频流时，必须禁用任何降噪音频处理。
• [C-1-3] 默认情况下，在从 AudioSource.VOICE_RECOGNITION 音频源录制音频流时，必须禁用任何自动增益控制。
• 应以近似平坦的幅度与频率特性来录制语音识别音频流：具体而言，在 100 Hz 至 4000 Hz 范围内为 ±3 dB。
• 应设置语音识别音频流的输入灵敏度，使得在 1000 Hz 时 90 dB 声功率级 (SPL) 源对于 16 位样本产生 2500 的 RMS。
• 应录制语音识别音频流，以便 PCM 幅度级别在线性跟踪输入 SPL 变化，范围至少为 30 dB，从 -18 dB 到 +12 dB re 90 dB SPL 在麦克风处。
• 应录制语音识别音频流，在麦克风处 1 kHz 时 90 dB SPL 输入电平下的总谐波失真 (THD) 小于 1%。

如果设备实现声明 android.hardware.microphone 和针对语音识别调整的噪声抑制（降低）技术，则它们

• [C-2-1] 必须允许使用 android.media.audiofx.NoiseSuppressor API 控制此音频效果。
• [C-2-2] 必须通过 AudioEffect.Descriptor.uuid 字段唯一标识每种噪声抑制技术实现。

5.4.3. 用于重定向播放的捕获

android.media.MediaRecorder.AudioSource 类包括 REMOTE_SUBMIX 音频源。

如果设备实现同时声明 android.hardware.audio.output 和 android.hardware.microphone，则它们

• [C-1-1] 必须正确实现 REMOTE_SUBMIX 音频源，以便当应用程序使用 android.media.AudioRecord API 从此音频源录制时，它会捕获除以下项之外的所有音频流的混合

  • AudioManager.STREAM_RING
  • AudioManager.STREAM_ALARM
  • AudioManager.STREAM_NOTIFICATION

5.4.4. 声学回声消除器

如果设备实现声明 android.hardware.microphone，则它们

• 应实现针对语音通信调整的 声学回声消除器 (AEC) 技术，并在使用 AudioSource.VOICE_COMMUNICATION 进行捕获时应用于捕获路径

如果设备实现提供声学回声消除器，当选择 AudioSource.VOICE_COMMUNICATION 时，该消除器会插入捕获音频路径中，则它们

• [C-SR] 强烈建议通过 AcousticEchoCanceler API 方法 AcousticEchoCanceler.isAvailable() 声明这一点
• [C-SR] 强烈建议允许使用 AcousticEchoCanceler API 控制此音频效果。
• [C-SR] 强烈建议通过 AudioEffect.Descriptor.uuid 字段唯一标识每种 AEC 技术实现。

5.4.5. 并发捕获

如果设备实现声明 android.hardware.microphone，则它们必须按照 本文档 中的描述实现并发捕获。具体而言

• [C-1-1] 必须允许辅助功能服务使用 AudioSource.VOICE_RECOGNITION 进行捕获，并且至少一个应用程序使用任何 AudioSource 进行捕获，从而并发访问麦克风。
• [C-1-2] 必须允许具有 Assistant 角色的预安装应用程序，以及至少一个应用程序使用任何 AudioSource（AudioSource.VOICE_COMMUNICATION 或 AudioSource.CAMCORDER 除外）进行捕获，从而并发访问麦克风。
• [C-1-3] 当应用程序使用 AudioSource.VOICE_COMMUNICATION 或 AudioSource.CAMCORDER 进行捕获时，必须使任何其他应用程序（辅助功能服务除外）的音频捕获静音。但是，当应用通过 AudioSource.VOICE_COMMUNICATION 进行捕获时，如果另一个应用是具有 CAPTURE_AUDIO_OUTPUT 权限的特权（预安装）应用，则它可以捕获语音通话。
• [C-1-4] 如果两个或多个应用程序正在并发捕获，并且都没有应用程序在最前面显示 UI，则最近开始捕获的应用程序会接收音频。

5.4.6. 麦克风增益级别

如果设备实现声明 android.hardware.microphone，则它们

• 对于用于录制语音识别音频源的每个麦克风，应在中频范围内表现出近似平坦的幅度与频率特性：具体而言，在 100 Hz 至 4000 Hz 范围内为 ±3dB。
• 对于用于录制语音识别音频源的每个麦克风，应设置音频输入灵敏度，使得以 90 dB 声压级 (SPL) 播放的 1000 Hz 正弦波音调源，对于 16 位样本产生 2500 的 RMS（或对于浮点/双精度样本产生 -22.35 dB Full Scale）。
• [C-SR] 强烈建议对于用于录制语音识别音频源的每个麦克风，在低频范围内表现出幅度级别：具体而言，与中频范围相比，在 5 Hz 至 100 Hz 范围内为 ±20 dB。
• [C-SR] 强烈建议对于用于录制语音识别音频源的每个麦克风，在高频范围内表现出幅度级别：具体而言，与中频范围相比，在 4000 Hz 至 22 KHz 范围内为 ±30 dB。

5.5. 音频播放

Android 包含允许应用通过第 7.8.2 节中定义的音频输出外围设备播放音频的支持。

5.5.1. 原始音频播放

如果设备实现声明 android.hardware.audio.output，则它们

• [C-1-1] 必须允许播放具有以下特性的原始音频内容

  • 源格式：线性 PCM，16 位、8 位、浮点
  • 声道：单声道、立体声、具有最多 8 个声道的有效多声道配置
  • 采样率（单位 Hz）:
    • 8000、11025、16000、22050、32000、44100、48000（在上面列出的声道配置中）
    • 96000（在单声道和立体声中）

• 应允许播放具有以下特性的原始音频内容

  • 采样率: 24000, 48000

5.5.2. 音频效果

Android 为设备实现提供了 音频效果 API。

如果设备实现声明了 android.hardware.audio.output 功能，则它们

• [C-1-1] 必须支持可通过 AudioEffect 子类 Equalizer 和 LoudnessEnhancer 控制的 EFFECT_TYPE_EQUALIZER 和 EFFECT_TYPE_LOUDNESS_ENHANCER 实现。
• [C-1-2] 必须支持可视化工具 API 实现，可通过 Visualizer 类控制。
• [C-1-3] 必须支持可通过 AudioEffect 子类 DynamicsProcessing 控制的 EFFECT_TYPE_DYNAMICS_PROCESSING 实现。
• 应支持可通过 AudioEffect 子类 BassBoost、EnvironmentalReverb、PresetReverb 和 Virtualizer 控制的 EFFECT_TYPE_BASS_BOOST、EFFECT_TYPE_ENV_REVERB、EFFECT_TYPE_PRESET_REVERB 和 EFFECT_TYPE_VIRTUALIZER 实现。
• [C-SR] 强烈建议在浮点和多声道中支持效果。

5.5.3. 音频输出音量

汽车设备实现

• 应允许使用 AudioAttributes 定义的内容类型或用途，以及 android.car.CarAudioManager 中公开定义的汽车音频用途，分别调整每个音频流的音量。

5.6. 音频延迟

音频延迟是指音频信号通过系统时的时间延迟。许多类型的应用程序依赖于短延迟来实现实时音效。

在本节中，使用以下定义

• 输出延迟。应用程序写入 PCM 编码数据帧的时间与在设备上传感器将相应的声音呈现给环境或信号通过端口离开设备并在外部可观察到的时间之间的时间间隔。
• 冷启动输出延迟。首次帧的输出延迟，此时音频输出系统在请求之前一直处于空闲和断电状态。
• 持续输出延迟。设备播放音频后，后续帧的输出延迟。
• 输入延迟。环境通过设备上传感器将声音呈现给设备或信号通过端口进入设备的时间与应用程序读取相应的 PCM 编码数据帧的时间之间的时间间隔。
• 丢失输入。输入信号的初始部分，不可用或无法使用。
• 冷启动输入延迟。丢失输入时间和首次帧的输入延迟之和，此时音频输入系统在请求之前一直处于空闲和断电状态。
• 持续输入延迟。设备捕获音频时，后续帧的输入延迟。
• 冷启动输出抖动。冷启动输出延迟值的不同测量值之间的变异性。
• 冷启动输入抖动。冷启动输入延迟值的不同测量值之间的变异性。
• 持续环路延迟。持续输入延迟加上持续输出延迟再加上一个缓冲区周期的总和。缓冲区周期允许应用程序处理信号的时间，以及应用程序缓解输入和输出流之间相位差的时间。
• OpenSL ES PCM 缓冲区队列 API。OpenSL ES API 集中与 PCM 相关的 API，位于 Android NDK 中。
• AAudio 原生音频 API。AAudio API 集中位于 Android NDK 中的 API。
• 时间戳。一个对，由流中的相对帧位置和估计的该帧进入或离开关联端点上的音频处理管道的时间组成。另请参阅 AudioTimestamp。
• 故障。音频信号中的临时中断或不正确的样本值，通常由输出的 缓冲区欠载、输入的缓冲区溢出或任何其他数字或模拟噪声源引起。

如果设备实现声明 android.hardware.audio.output，则它们必须满足或超过以下要求

• [C-1-1] AudioTrack.getTimestamp 和 AAudioStream_getTimestamp 返回的输出时间戳的精度必须为 +/- 2 毫秒。
• [C-1-2] 冷启动输出延迟为 500 毫秒或更短。

如果设备实现声明 android.hardware.audio.output，则强烈建议满足或超过以下要求

• [C-SR] 冷启动输出延迟为 100 毫秒或更短。运行此 Android 版本的现有和新设备强烈建议立即满足这些要求。在 2021 年的未来平台版本中，我们将要求冷启动输出延迟为 200 毫秒或更短作为必须满足的要求。
• [C-SR] 持续输出延迟为 45 毫秒或更短。
• [C-SR] 尽量减少冷启动输出抖动。
• [C-SR] AudioTrack.getTimestamp 和 AAudioStream_getTimestamp 返回的输出时间戳的精度必须为 +/- 1 毫秒。

如果设备实现在任何初始校准之后，在使用 OpenSL ES PCM 缓冲区队列和 AAudio 原生音频 API 时，对于至少一个受支持的音频输出设备的持续输出延迟和冷启动输出延迟，它们是

• [C-SR] 强烈建议通过声明 android.hardware.audio.low_latency 功能标志来报告低延迟音频。
• [C-SR] 强烈建议通过 AAudio API 满足低延迟音频的要求。
• [C-SR] 强烈建议确保对于从 AAudioStream_getPerformanceMode() 返回 AAUDIO_PERFORMANCE_MODE_LOW_LATENCY 的流，AAudioStream_getFramesPerBurst() 返回的值小于或等于 android.media.AudioManager.getProperty(String) 对于属性键 AudioManager.PROPERTY_OUTPUT_FRAMES_PER_BUFFER 返回的值。

如果设备实现不满足通过 OpenSL ES PCM 缓冲区队列和 AAudio 原生音频 API 两者实现低延迟音频的要求，则它们

• [C-2-1] 绝不能报告支持低延迟音频。

如果设备实现包含 android.hardware.microphone，则它们必须满足以下输入音频要求

• [C-3-1] 限制输入时间戳的误差，如 AudioRecord.getTimestamp 或 AAudioStream_getTimestamp 返回的时间戳，误差必须在 +/- 2 毫秒以内。“误差”在此处表示与正确值的偏差。
• [C-3-2] 冷启动输入延迟为 500 毫秒或更短。

如果设备实现包含 android.hardware.microphone，则强烈建议满足以下输入音频要求

• [C-SR] 冷启动输入延迟为 100 毫秒或更短。运行此 Android 版本的现有和新设备强烈建议立即满足这些要求。在 2021 年的未来平台版本中，我们将要求冷启动输入延迟为 200 毫秒或更短作为必须满足的要求。
• [C-SR] 持续输入延迟为 30 毫秒或更短。
• [C-SR] 持续环路延迟为 50 毫秒或更短。
• [C-SR] 尽量减少冷启动输入抖动。
• [C-SR] 限制输入时间戳的误差，如 AudioRecord.getTimestamp 或 AAudioStream_getTimestamp 返回的时间戳，误差必须在 +/- 1 毫秒以内。

5.7. 网络协议

设备实现必须支持 Android SDK 文档中指定的音频和视频播放的 媒体网络协议。

如果设备实现包含音频或视频解码器，则它们

• [C-1-1] 必须支持 第 5.1 节 中通过 HTTP(S) 的所有必需的编解码器和容器格式。

• [C-1-2] 必须支持下面的媒体分段格式表中显示的通过 HTTP Live Streaming 草案协议，版本 7 的媒体分段格式。

• [C-1-3] 必须支持下面的 RTSP 表中的以下 RTP 音频视频配置文件和相关编解码器。对于例外情况，请参阅 第 5.1 节 中的表脚注。

媒体分段格式

RTSP（RTP、SDP）

5.8. 安全媒体

如果设备实现支持安全视频输出并能够支持安全表面，则它们

• [C-1-1] 必须声明支持 Display.FLAG_SECURE。

如果设备实现声明支持 Display.FLAG_SECURE 并支持无线显示协议，则它们

• [C-2-1] 必须使用密码学强度高的机制（例如 HDCP 2.x 或更高版本）来保护通过无线协议（例如 Miracast）连接的显示器的链路安全。

如果设备实现声明支持 Display.FLAG_SECURE 并支持有线外部显示器，则它们

• [C-3-1] 必须为通过用户可访问的有线端口连接的所有外部显示器支持 HDCP 1.2 或更高版本。

5.9. 乐器数字接口 (MIDI)

如果设备实现通过 android.content.pm.PackageManager 类报告支持 android.software.midi 功能，则它们

• [C-1-1] 必须支持 所有 它们为其提供通用非 MIDI 连接的、支持 MIDI 的硬件传输的 MIDI，其中此类传输为

  • USB 主机模式，第 7.7 节
  • 以中央角色运行的蓝牙 LE MIDI，第 7.4.3 节

• [C-1-2] 必须支持应用间 MIDI 软件传输（虚拟 MIDI 设备）

• [C-1-3] 必须包含 libamidi.so（原生 MIDI 支持）

• 应该支持 USB 外围设备模式 MIDI，第 7.7 节

5.10. 专业音频

如果设备实现通过 android.content.pm.PackageManager 类报告支持 android.hardware.audio.pro 功能，则它们

• [C-1-1] 必须报告支持 android.hardware.audio.low_latency 功能。
• [C-1-2] 必须具有持续环路音频延迟，如 第 5.6 节音频延迟 中定义，必须为 20 毫秒或更短，并且应该在至少一条支持的路径上为 10 毫秒或更短。
• [C-1-3] 必须包含支持 USB 主机模式和 USB 外围设备模式的 USB 端口。
• [C-1-4] 必须报告支持 android.software.midi 功能。
• [C-1-5] 必须使用 OpenSL ES PCM 缓冲区队列 API 和 AAudio 原生音频 API 的至少一条路径来满足延迟和 USB 音频要求。
• [SR] 强烈建议使用 AAudio 原生音频 API 通过 MMAP 路径 来满足延迟和 USB 音频要求。
• [C-1-6] 必须具有 200 毫秒或更短的冷启动输出延迟。
• [C-1-7] 必须具有 200 毫秒或更短的冷启动输入延迟。
• [SR] 强烈建议在音频活动且 CPU 负载变化时提供一致的 CPU 性能水平。这应该使用 Android 应用版本的 SynthMark 提交 ID 09b13c6f49ea089f8c31e5d035f912cc405b7ab8 进行测试。SynthMark 使用在模拟音频框架上运行的软件合成器，该框架测量系统性能。SynthMark 应用需要使用“Automated Test”选项运行，并达到以下结果
  • voicemark.90 >= 32 个声音
  • latencymark.fixed.little <= 15 毫秒
  • latencymark.dynamic.little <= 50 毫秒

有关基准测试的说明，请参阅 SynthMark 文档。

• 应该尽量减少音频时钟相对于标准时间的不准确性和漂移。
• 应该尽量减少音频时钟相对于 CPU CLOCK_MONOTONIC 的漂移（当两者都处于活动状态时）。
• 应该尽量减少设备上传感器的音频延迟。
• 应该尽量减少 USB 数字音频的音频延迟。
• 应该记录所有路径上的音频延迟测量值。
• 应该尽量减少音频缓冲区完成回调条目时间中的抖动，因为这会影响回调可用的完整 CPU 带宽百分比。
• 应该在报告的延迟下，在正常使用情况下提供零音频故障。
• 应该提供零声道间延迟差异。
• 应该尽量减少所有传输上的 MIDI 平均延迟。
• 应该尽量减少负载下所有传输上的 MIDI 延迟变化（抖动）。
• 应该在所有传输上提供准确的 MIDI 时间戳。
• 应该尽量减少设备上传感器的音频信号噪声，包括冷启动后立即的时间段。
• 当输入端和输出端都处于活动状态时，应该在相应端点的输入侧和输出侧之间提供零音频时钟差异。相应端点的示例包括设备上的麦克风和扬声器，或音频插孔输入和输出。
• 当输入和输出端都处于活动状态时，应该在同一线程上处理相应端点的输入侧和输出侧的音频缓冲区完成回调，并在从输入回调返回后立即进入输出回调。或者，如果无法在同一线程上处理回调，则在进入输入回调后不久进入输出回调，以允许应用程序具有输入和输出侧的一致时序。
• 应该尽量减少相应端点的输入侧和输出侧的 HAL 音频缓冲之间的相位差。
• 应该尽量减少触摸延迟。
• 应该尽量减少负载下触摸延迟的变化（抖动）。
• 应该具有从触摸输入到音频输出的小于或等于 40 毫秒的延迟。

如果设备实现满足上述所有要求，则它们

• [SR] 强烈建议通过 android.content.pm.PackageManager 类报告支持 android.hardware.audio.pro 功能。

如果设备实现包含 4 导体 3.5 毫米音频插孔，则它们

• [C-2-1] 必须具有通过音频插孔路径为 20 毫秒或更短的持续环路音频延迟。
• [SR] 强烈建议遵守 移动设备（插孔）规范 中的 有线音频耳机规范（v1.1）。
• 通过音频插孔路径的持续环路音频延迟应该为 10 毫秒或更短。

如果设备实现省略了 4 导体 3.5 毫米音频插孔并包含支持 USB 主机模式的 USB 端口，则它们

• [C-3-1] 必须实现 USB 音频类。
• [C-3-2] 必须具有通过使用 USB 音频类的 USB 主机模式端口为 20 毫秒或更短的持续环路音频延迟。
• 通过使用 USB 音频类的 USB 主机模式端口的持续环路音频延迟应该为 10 毫秒或更短。
• [C-SR] 强烈建议在使用也支持这些要求的 USB 音频外围设备时，支持高达 8 个通道每个方向、96 kHz 采样率和 24 位或 32 位深度的同步 I/O。

如果设备实现包含 HDMI 端口，则它们

• 应该在至少一种配置中支持立体声和八个通道的输出，采样深度为 20 位或 24 位，采样率为 192 kHz，且无位深度损失或重采样。

5.11. 捕获原始音频

Android 包括通过 android.media.MediaRecorder.AudioSource.UNPROCESSED 音频源记录原始音频的支持。在 OpenSL ES 中，可以使用记录预设 SL_ANDROID_RECORDING_PRESET_UNPROCESSED 访问它。

如果设备实现打算支持原始音频源并使其可供第三方应用使用，则它们

• [C-1-1] 必须通过 android.media.AudioManager 属性 PROPERTY_SUPPORT_AUDIO_SOURCE_UNPROCESSED 报告支持。

• [C-1-2] 必须在中间频率范围内表现出大致平坦的幅度与频率特性：具体而言，对于用于记录原始音频源的每个麦克风，从 100 Hz 到 7000 Hz 范围内为 ±10dB。

• [C-1-3] 必须在低频率范围内表现出幅度水平：具体而言，对于用于记录原始音频源的每个麦克风，与中频范围相比，从 5 Hz 到 100 Hz 范围内为 ±20 dB。

• [C-1-4] 必须在高频率范围内表现出幅度水平：具体而言，对于用于记录原始音频源的每个麦克风，与中频范围相比，从 7000 Hz 到 22 KHz 范围内为 ±30 dB。

• [C-1-5] 必须设置音频输入灵敏度，以便以 94 dB 声压级 (SPL) 播放的 1000 Hz 正弦波音源对于每个用于记录原始音频源的麦克风，产生 RMS 为 520（对于 16 位样本）或 -36 dB Full Scale（对于浮点/双精度样本）的响应。

• [C-1-6] 对于用于记录原始音频源的每个麦克风，必须具有 60 dB 或更高的信噪比 (SNR)。（其中 SNR 测量为 94 dB SPL 与自噪声的等效 SPL 之间的差值，A 计权）。

• [C-1-7] 对于用于记录原始音频源的每个麦克风，必须具有小于 1% 的总谐波失真 (THD)（对于 90 dB SPL 输入电平下的 1 kHz）。

• 路径中不得有任何其他信号处理（例如，自动增益控制、高通滤波器或回声消除），除了将电平调整到所需范围的电平乘法器。换句话说

• [C-1-8] 如果出于任何原因在架构中存在任何信号处理，则必须禁用它，并有效地为信号路径引入零延迟或额外的延迟。
• [C-1-9] 允许在路径上的电平乘法器不得为信号路径引入延迟或延迟。

所有 SPL 测量均在紧邻被测麦克风的位置进行。对于多麦克风配置，这些要求适用于每个麦克风。

如果设备实现声明 android.hardware.microphone 但不支持原始音频源，则它们

• [C-2-1] 必须为 AudioManager.getProperty(PROPERTY_SUPPORT_AUDIO_SOURCE_UNPROCESSED) API 方法返回 null，以正确指示缺少支持。
• [SR] 仍然强烈建议满足尽可能多的原始录音源信号路径的要求。

6. 开发者工具和选项兼容性

6.1. 开发者工具

设备实现

• [C-0-1] 必须支持 Android SDK 中提供的 Android 开发者工具。

• Android 调试桥 (adb)

  • [C-0-2] 必须支持 Android SDK 中记录的 adb 以及 AOSP 中提供的 shell 命令，应用程序开发者可以使用这些命令，包括 dumpsys cmd stats
  • [C-0-11] 必须支持 shell 命令 cmd testharness。从较早的 Android 版本升级设备实现而没有持久数据块的设备可以免除 C-0-11 的要求。
  • [C-0-3] 不得更改通过 dumpsys 命令记录的设备系统事件（batterystats、diskstats、fingerprint、graphicsstats、netstats、notification、procstats）的格式或内容。
  • [C-0-10] 必须完整记录以下事件，并使其可供 cmd stats shell 命令和 StatsManager 系统 API 类访问和使用。
    • ActivityForegroundStateChanged
    • AnomalyDetected
    • AppBreadcrumbReported
    • AppCrashOccurred
    • AppStartOccurred
    • BatteryLevelChanged
    • BatterySaverModeStateChanged
    • BleScanResultReceived
    • BleScanStateChanged
    • ChargingStateChanged
    • DeviceIdleModeStateChanged
    • ForegroundServiceStateChanged
    • GpsScanStateChanged
    • JobStateChanged
    • PluggedStateChanged
    • ScheduledJobStateChanged
    • ScreenStateChanged
    • SyncStateChanged
    • SystemElapsedRealtime
    • UidProcessStateChanged
    • WakelockStateChanged
    • WakeupAlarmOccurred
    • WifiLockStateChanged
    • WifiMulticastLockStateChanged
    • WifiScanStateChanged
  • [C-0-4] 必须默认禁用设备端 adb 守护程序，并且必须有用户可访问的机制来启用 Android 调试桥。
  • [C-0-5] 必须支持安全 adb。Android 包括对安全 adb 的支持。安全 adb 可以在已知的已验证主机上启用 adb。
  • [C-0-6] 必须提供一种机制，允许从主机连接 adb。具体而言

  如果缺少 USB 端口的设备实现支持外围设备模式，则它们

  • [C-3-1] 必须通过局域网（例如以太网或 Wi-Fi）实现 adb。
  • [C-3-2] 必须为 Windows 7、8 和 10 提供驱动程序，允许开发者使用 adb 协议连接到设备。

  如果设备实现支持通过 Wi-Fi 连接 adb 到主机，则它们

  • [C-4-1] 必须使 AdbManager#isAdbWifiSupported() 方法返回 true。

  如果设备实现支持通过 Wi-Fi 连接 adb 到主机，并且包含至少一个摄像头，则它们

  • [C-5-1] 必须使 AdbManager#isAdbWifiQrSupported() 方法返回 true。

• Dalvik 调试监视服务 (ddms)

  • [C-0-7] 必须支持 Android SDK 中记录的所有 ddms 功能。由于 ddms 使用 adb，因此默认情况下应禁用对 ddms 的支持，但只要用户已激活 Android 调试桥，就必须支持 ddms，如上所述。
• Monkey
  • [C-0-8] 必须包含 Monkey 框架，并使其可供应用程序使用。
• SysTrace
  • [C-0-9] 必须支持 Android SDK 中记录的 systrace 工具。Systrace 必须默认禁用，并且必须有用户可访问的机制来启用 Systrace。
• Perfetto
  • [C-SR] 强烈建议向 shell 用户公开一个 /system/bin/perfetto 二进制文件，该二进制文件的 cmdline 符合 perfetto 文档。
  • [C-SR] 强烈建议 perfetto 二进制文件接受符合 perfetto 文档 中定义的架构的 protobuf 配置作为输入。
  • [C-SR] 强烈建议 perfetto 二进制文件将符合 perfetto 文档 中定义的架构的 protobuf 跟踪作为输出写入。
  • [C-SR] 强烈建议通过 perfetto 二进制文件提供至少 perfetto 文档 中描述的数据源。
• 低内存管理器
  • [C-0-10] 当应用程序被 低内存管理器 终止时，必须将 LMK_KILL_OCCURRED_FIELD_NUMBER Atom 写入 statsd 日志。
• 测试工具模式 如果设备实现支持 shell 命令 cmd testharness 并运行 cmd testharness enable，则它们
  • [C-2-1] 必须为 ActivityManager.isRunningInUserTestHarness() 返回 true
  • [C-2-2] 必须按照 测试工具模式文档 中所述实现测试工具模式。

如果设备实现通过 android.hardware.vulkan.version 功能标志报告支持 Vulkan 1.0 或更高版本，则它们

• [C-1-1] 必须为应用程序开发者提供启用/禁用 GPU 调试层的功能。
• [C-1-2] 必须在启用 GPU 调试层时，枚举调试应用程序基本目录中找到的外部工具（即，不是平台或应用程序包的一部分）提供的库中的层，以支持 vkEnumerateInstanceLayerProperties() 和 vkCreateInstance() API 方法。

6.2. 开发者选项

Android 包括对开发者配置应用程序开发相关设置的支持。

设备实现必须为开发者选项提供一致的体验，它们

• [C-0-1] 必须遵循 android.settings.APPLICATION_DEVELOPMENT_SETTINGS intent 以显示应用程序开发相关设置。上游 Android 实现默认情况下隐藏“开发者选项”菜单，并允许用户通过在 设置 > 关于设备 > 版本号 菜单项上按七 (7) 次来启动“开发者选项”。
• [C-0-2] 必须默认隐藏“开发者选项”。
• [C-0-3] 必须提供清晰的机制来启用“开发者选项”，该机制不对一个第三方应用程序相对于另一个应用程序给予优惠待遇。必须提供公开可见的文档或网站来描述如何启用“开发者选项”。此文档或网站必须可从 Android SDK 文档链接。
• 当“开发者选项”启用且用户安全受到关注时，应该向用户显示持续的视觉通知。
• 为了防止在用户安全受到关注的情况下分散注意力，可以暂时限制对“开发者选项”菜单的访问，方法是直观地隐藏或禁用该菜单。

7. 硬件兼容性

如果设备包含具有第三方开发者对应 API 的特定硬件组件

• [C-0-1] 设备实现必须按照 Android SDK 文档中的描述实现该 API。

如果 SDK 中的 API 与声明为可选的硬件组件交互，并且设备实现不具备该组件

• [C-0-2] 组件 API 的完整类定义（如 SDK 文档中所述）仍必须呈现。
• [C-0-3] API 的行为必须以某种合理的方式实现为无操作。
• [C-0-4] API 方法必须在 SDK 文档允许的情况下返回 null 值。
• [C-0-5] API 方法必须在 SDK 文档不允许 null 值的情况下返回类的无操作实现。
• [C-0-6] API 方法不得抛出 SDK 文档中未记录的异常。
• [C-0-7] 对于相同的构建指纹，设备实现必须始终通过 android.content.pm.PackageManager 类上的 getSystemAvailableFeatures() 和 hasSystemFeature(String) 方法一致地报告准确的硬件配置信息。

这些要求适用的典型场景示例是电话 API：即使在非电话设备上，也必须将这些 API 实现为合理的无操作。

7.1. 显示和图形

Android 包括自动调整应用程序资源和 UI 布局以适应设备的设施，以确保第三方应用程序在 各种硬件配置 上良好运行。在所有第三方 Android 兼容应用程序可以运行的 Android 兼容显示器上，设备实现必须正确实现这些 API 和行为，如本节详细说明。

本节中要求引用的单位定义如下

• 物理对角线尺寸。显示器发光部分的两个相对角之间的距离（英寸）。
• 每英寸点数 (dpi)。1 英寸的线性水平或垂直跨度所包含的像素数。在列出 dpi 值的情况下，水平和垂直 dpi 都必须在范围内。
• 纵横比。屏幕较长尺寸的像素与较短尺寸的像素之比。例如，480x854 像素的显示器的纵横比为 854/480 = 1.779，或大约“16:9”。
• 密度无关像素 (dp)。标准化为 160 dpi 屏幕的虚拟像素单位，计算公式为：像素 = dps * (密度/160)。

7.1.1. 屏幕配置

7.1.1.1. 屏幕尺寸和形状

Android UI 框架支持各种不同的逻辑屏幕布局尺寸，并允许应用程序通过 Configuration.screenLayout 以及 SCREENLAYOUT_SIZE_MASK 和 Configuration.smallestScreenWidthDp 查询当前配置的屏幕布局尺寸。

设备实现

• [C-0-1] 必须为 Configuration.screenLayout 报告正确的布局尺寸，如 Android SDK 文档中所定义。具体而言，设备实现必须报告正确的逻辑密度无关像素 (dp) 屏幕尺寸，如下所示

  • 将 Configuration.uiMode 设置为 UI_MODE_TYPE_WATCH 以外的任何值，并为 Configuration.screenLayout 报告 small 尺寸的设备，必须至少具有 426 dp x 320 dp。
  • 为 Configuration.screenLayout 报告 normal 尺寸的设备，必须至少具有 480 dp x 320 dp。
  • 为 Configuration.screenLayout 报告 large 尺寸的设备，必须至少具有 640 dp x 480 dp。
  • 设备报告 Configuration.screenLayout 的尺寸为 xlarge 时，必须至少具有 960 dp x 720 dp 的分辨率。

• [C-0-2] 必须正确遵守应用程序通过 AndroidManifest.xml 中的 <supports-screens> 属性声明的屏幕尺寸支持，如 Android SDK 文档中所述。

• 可以具有带圆角的 Android 兼容显示屏。

如果设备实现支持 UI_MODE_TYPE_NORMAL 并包含带圆角的 Android 兼容显示屏，则它们

• [C-1-1] 必须确保满足以下至少一项要求
• 圆角半径小于或等于 38 dp。

• 当在逻辑显示屏的每个角锚定一个 15 dp x 15 dp 的框时，每个框至少有一个像素在屏幕上可见。

• 应该包含用户可切换到具有直角显示模式的功能。

如果设备实现包括可折叠的 Android 兼容显示屏，或者包括多个显示面板之间的折叠铰链，并使此类显示屏可用于渲染第三方应用程序，则它们

• [C-2-1] 必须实现最新可用的稳定版本 extensions API 或稳定版本的 sidecar API，以供 Window Manager Jetpack 库使用。

如果设备实现包括可折叠的 Android 兼容显示屏，或者包括多个显示面板之间的折叠铰链，并且铰链或折叠穿过全屏应用程序窗口，则它们

• [C-3-1] 必须通过 extensions 或 sidecar API 向应用程序报告铰链或折叠的位置、边界和状态。

有关正确实现 sidecar 或 extension API 的详细信息，请参阅 Window Manager Jetpack 的公共文档。

7.1.1.2. 屏幕宽高比

虽然 Android 兼容显示屏的物理显示屏宽高比没有限制，但第三方应用程序渲染的逻辑显示屏的宽高比（可以从通过 view.Display API 和 Configuration API 报告的高度和宽度值推导得出）必须满足以下要求

• [C-0-1] Configuration.uiMode 设置为 UI_MODE_TYPE_NORMAL 的设备实现必须具有小于或等于 1.86（大约 16:9）的宽高比值，除非应用程序满足以下条件之一

  • 应用程序已声明它通过 android.max_aspect 元数据值支持更大的屏幕宽高比。
  • 应用程序声明它可以通过 android:resizeableActivity 属性调整大小。
  • 应用程序以 API 级别 24 或更高级别为目标，并且未声明会限制允许的宽高比的 android:maxAspectRatio。

• [C-0-2] Configuration.uiMode 设置为 UI_MODE_TYPE_NORMAL 的设备实现必须具有等于或大于 1.3333 (4:3) 的宽高比值，除非应用程序可以通过满足以下条件之一来拉伸得更宽

  • 应用程序声明它可以通过 android:resizeableActivity 属性调整大小。
  • 应用程序声明了一个会限制允许的宽高比的 android:minAspectRatio。

• [C-0-3] Configuration.uiMode 设置为 UI_MODE_TYPE_WATCH 的设备实现必须将宽高比值设置为 1.0 (1:1)。

7.1.1.3. 屏幕密度

Android UI 框架定义了一组标准逻辑密度，以帮助应用程序开发人员定位应用程序资源。

• [C-0-1] 默认情况下，设备实现必须仅通过 DisplayMetrics 上的 DENSITY_DEVICE_STABLE API 报告 Android 框架密度之一，并且此值在任何时候都不得更改；但是，设备可以根据用户在初始启动后设置的显示配置更改（例如，显示尺寸）报告不同的任意密度。

• 设备实现应定义在数值上最接近屏幕物理密度的标准 Android 框架密度，除非该逻辑密度将报告的屏幕尺寸推低至低于支持的最小值。如果数值上最接近物理密度的标准 Android 框架密度导致屏幕尺寸小于最小支持的兼容屏幕尺寸（320 dp 宽度），则设备实现应报告下一个最低的标准 Android 框架密度。

如果存在更改设备显示尺寸的功能

• [C-1-1] 显示尺寸的缩放比例不得大于原始密度的 1.5 倍，或产生的有效最小屏幕尺寸小于 320dp（相当于资源限定符 sw320dp），以先到者为准。
• [C-1-2] 显示尺寸的缩放比例不得小于原始密度的 0.85 倍。
• 为了确保良好的可用性和一致的字体大小，建议提供以下原始显示选项的缩放（同时遵守上述限制）
• 小：0.85x
• 默认：1x（原始显示比例）
• 大：1.15x
• 更大：1.3x
• 最大：1.45x

7.1.2. 显示指标

如果设备实现包括 Android 兼容显示屏或到 Android 兼容显示屏的视频输出，则它们

• [C-1-1] 必须报告 android.util.DisplayMetrics API 中定义的所有 Android 兼容显示指标的正确值。

如果设备实现不包括嵌入式屏幕或视频输出，则它们

• [C-2-1] 必须报告 android.util.DisplayMetrics API 中定义的模拟默认 view.Display 的 Android 兼容显示屏的正确值。

7.1.3. 屏幕方向

设备实现

• [C-0-1] 必须报告它们支持的屏幕方向（android.hardware.screen.portrait 和/或 android.hardware.screen.landscape），并且必须至少报告一个支持的方向。例如，具有固定方向横向屏幕的设备（如电视或笔记本电脑）应仅报告 android.hardware.screen.landscape。
• [C-0-2] 必须在通过 android.content.res.Configuration.orientation、android.view.Display.getOrientation() 或其他 API 查询时，报告设备当前方向的正确值。

如果设备实现同时支持屏幕方向，则它们

• [C-1-1] 必须支持应用程序动态定向到纵向或横向屏幕方向。也就是说，设备必须尊重应用程序对特定屏幕方向的请求。
• [C-1-2] 更改方向时不得更改报告的屏幕尺寸或密度。
• 可以选择纵向或横向方向作为默认方向。

7.1.4. 2D 和 3D 图形加速

7.1.4.1 OpenGL ES

设备实现

• [C-0-1] 必须通过托管 API（例如通过 GLES10.getString() 方法）和原生 API 正确识别支持的 OpenGL ES 版本（1.1、2.0、3.0、3.1、3.2）。
• [C-0-2] 必须为它们标识为支持的每个 OpenGL ES 版本包含对所有相应托管 API 和原生 API 的支持。

如果设备实现包括屏幕或视频输出，则它们

• [C-1-1] 必须支持 OpenGL ES 1.1 和 2.0，如 Android SDK 文档中所体现和详述的那样。
• [C-SR] 强烈建议支持 OpenGL ES 3.1。
• 应该支持 OpenGL ES 3.2。

如果设备实现支持任何 OpenGL ES 版本，则它们

• [C-2-1] 必须通过 OpenGL ES 托管 API 和原生 API 报告它们已实现的任何其他 OpenGL ES 扩展，反之，不得报告它们不支持的扩展字符串。
• [C-2-2] 必须支持 EGL_KHR_image、EGL_KHR_image_base、EGL_ANDROID_image_native_buffer、EGL_ANDROID_get_native_client_buffer、EGL_KHR_wait_sync、EGL_KHR_get_all_proc_addresses、EGL_ANDROID_presentation_time、EGL_KHR_swap_buffers_with_damage、EGL_ANDROID_recordable 和 EGL_ANDROID_GLES_layers 扩展。
• [C-SR] 强烈建议支持 EGL_KHR_partial_update 和 OES_EGL_image_external 扩展。
• 应该通过 getString() 方法准确报告它们支持的任何纹理压缩格式，这通常是供应商特定的。

如果设备实现声明支持 OpenGL ES 3.0、3.1 或 3.2，则它们

• [C-3-1] 除了 libGLESv2.so 库中的 OpenGL ES 2.0 函数符号外，还必须导出这些版本的相应函数符号。
• [SR] 强烈建议支持 OES_EGL_image_external_essl3 扩展。

如果设备实现支持 OpenGL ES 3.2，则它们

• [C-4-1] 必须完全支持 OpenGL ES Android Extension Pack。

如果设备实现完全支持 OpenGL ES Android Extension Pack，则它们

• [C-5-1] 必须通过 android.hardware.opengles.aep 功能标志识别该支持。

如果设备实现公开支持 EGL_KHR_mutable_render_buffer 扩展，则它们

• [C-6-1] 还必须支持 EGL_ANDROID_front_buffer_auto_refresh 扩展。

7.1.4.2 Vulkan

Android 包括对 Vulkan 的支持，Vulkan 是一种用于高性能 3D 图形的低开销、跨平台 API。

如果设备实现支持 OpenGL ES 3.1，则它们

• [SR] 强烈建议包括对 Vulkan 1.1 的支持。

如果设备实现包括屏幕或视频输出，则它们

• 应该包括对 Vulkan 1.1 的支持。

Vulkan dEQP 测试被划分为多个测试列表，每个列表都有一个关联的日期/版本。这些测试列表位于 Android 源代码树中的 external/deqp/android/cts/main/vk-master-YYYY-MM-DD.txt。支持自报告级别的 Vulkan 的设备表明它可以传递此级别和更早版本的所有测试列表中的 dEQP 测试。

如果设备实现包括对 Vulkan 1.0 或更高版本的支持，则它们

• [C-1-1] 必须使用 android.hardware.vulkan.level 和 android.hardware.vulkan.version 功能标志报告正确的整数值。
• [C-1-2] 必须为 Vulkan 原生 API vkEnumeratePhysicalDevices() 枚举至少一个 VkPhysicalDevice。
• [C-1-3] 必须为每个枚举的 VkPhysicalDevice 完全实现 Vulkan 1.0 API。
• [C-1-4] 必须通过 Vulkan 原生 API vkEnumerateInstanceLayerProperties() 和 vkEnumerateDeviceLayerProperties() 枚举包含在应用程序软件包原生库目录中名为 libVkLayer*.so 的原生库中的层。
• [C-1-5] 除非应用程序的 android:debuggable 属性设置为 true，否则不得枚举应用程序软件包外部的库提供的层，或提供其他跟踪或拦截 Vulkan API 的方法。
• [C-1-6] 必须报告它们通过 Vulkan 原生 API 支持的所有扩展字符串，反之，不得报告它们未正确支持的扩展字符串。
• [C-1-7] 必须支持 VK_KHR_surface、VK_KHR_android_surface、VK_KHR_swapchain 和 VK_KHR_incremental_present 扩展。
• [C-1-8] 必须通过 android.software.vulkan.deqp.level 功能标志报告支持的 Vulkan dEQP 测试的最高版本。
• [C-1-9] 必须至少支持版本 132317953（来自 2019 年 3 月 1 日），如 android.software.vulkan.deqp.level 功能标志中所报告的那样。
• [C-1-10] 必须通过版本 132317953 和 android.software.vulkan.deqp.level 功能标志中指定的版本之间的测试列表中的所有 Vulkan dEQP 测试。
• [C-SR] 强烈建议支持 VK_KHR_driver_properties 和 VK_GOOGLE_display_timing 扩展。

如果设备实现不包括对 Vulkan 1.0 的支持，则它们

• [C-2-1] 不得声明任何 Vulkan 功能标志（例如 android.hardware.vulkan.level、android.hardware.vulkan.version）。
• [C-2-2] 不得为 Vulkan 原生 API vkEnumeratePhysicalDevices() 枚举任何 VkPhysicalDevice。

如果设备实现包括对 Vulkan 1.1 的支持并声明了任何 Vulkan 功能标志，则它们

• [C-3-1] 必须公开支持 SYNC_FD 外部信号量和句柄类型以及 VK_ANDROID_external_memory_android_hardware_buffer 扩展。

7.1.4.3 RenderScript

• [C-0-1] 设备实现必须支持 Android RenderScript，如 Android SDK 文档中所详述的那样。

7.1.4.4 2D 图形加速

Android 包括一种机制，供应用程序通过使用清单标记 android:hardwareAccelerated 或直接 API 调用来声明它们想要为应用程序、Activity、Window 或 View 级别启用 2D 图形硬件加速。

设备实现

• [C-0-1] 必须默认启用硬件加速，并且如果开发人员通过设置 android:hardwareAccelerated="false” 或直接通过 Android View API 禁用硬件加速来请求禁用硬件加速，则必须禁用硬件加速。
• [C-0-2] 必须表现出与 硬件加速 相关的 Android SDK 文档一致的行为。

Android 包括一个 TextureView 对象，使开发人员可以将硬件加速的 OpenGL ES 纹理直接集成为 UI 层次结构中的渲染目标。

设备实现

• [C-0-3] 必须支持 TextureView API，并且必须表现出与上游 Android 实现一致的行为。

7.1.4.5 广色域显示屏

如果设备实现通过 Configuration.isScreenWideColorGamut() 声称支持广色域显示屏，则它们

• [C-1-1] 必须具有颜色校准的显示屏。
• [C-1-2] 必须具有色域完全覆盖 CIE 1931 xyY 空间中 sRGB 色域的显示屏。
• [C-1-3] 必须具有色域在 CIE 1931 xyY 空间中至少覆盖 DCI-P3 面积 90% 的显示屏。
• [C-1-4] 必须支持 OpenGL ES 3.1 或 3.2 并正确报告。
• [C-1-5] 必须声明支持 EGL_KHR_no_config_context、EGL_EXT_pixel_format_float、EGL_KHR_gl_colorspace、EGL_EXT_gl_colorspace_scrgb、EGL_EXT_gl_colorspace_scrgb_linear、EGL_EXT_gl_colorspace_display_p3、EGL_EXT_gl_colorspace_display_p3_linear 和 EGL_EXT_gl_colorspace_display_p3_passthrough 扩展。
• [C-SR] 强烈建议支持 GL_EXT_sRGB。

相反，如果设备实现不支持广色域显示屏，则它们

• [C-2-1] 应该在 CIE 1931 xyY 空间中覆盖 100% 或更多的 sRGB，尽管屏幕色域未定义。

7.1.5. 旧版应用程序兼容模式

Android 指定了一种“兼容模式”，其中框架以“正常”屏幕尺寸等效模式（320dp 宽度）运行，以方便未针对旧版本的 Android 开发的旧版应用程序，这些旧版本早于屏幕尺寸独立性。

7.1.6. 屏幕技术

Android 平台包括允许应用程序将丰富的图形渲染到 Android 兼容显示屏的 API。设备必须支持 Android SDK 定义的所有这些 API，除非本文档中明确允许。

设备实现的所有 Android 兼容显示屏

• [C-0-1] 必须能够渲染 16 位彩色图形。
• 应该支持能够渲染 24 位彩色图形的显示屏。
• [C-0-2] 必须能够渲染动画。
• [C-0-3] 必须具有介于 0.9 和 1.15 之间的像素宽高比 (PAR)。也就是说，像素宽高比必须接近正方形 (1.0)，容差为 10~15%。

7.1.7. 辅助显示屏

Android 包括对辅助 Android 兼容显示屏的支持，以启用媒体共享功能以及用于访问外部显示屏的开发人员 API。

如果设备实现支持外部显示屏（通过有线、无线或嵌入式附加显示屏连接），则它们

• [C-1-1] 必须实现 DisplayManager 系统服务和 API，如 Android SDK 文档中所述。

7.2. 输入设备

设备实现

• [C-0-1] 必须包括输入机制，例如触摸屏或非触摸导航，以在 UI 元素之间导航。

7.2.1. 键盘

如果设备实现包括对第三方输入法编辑器 (IME) 应用程序的支持，则它们

• [C-1-1] 必须声明 android.software.input_methods 功能标志。
• [C-1-2] 必须完全实现 Input Management Framework
• [C-1-3] 必须预装软件键盘。

设备实现：* [C-0-1] 不得包含与 android.content.res.Configuration.keyboard（QWERTY 或 12 键）中指定的格式之一不匹配的硬件键盘。 * 应该包括其他软键盘实现。 * 可以包括硬件键盘。

7.2.2. 非触摸导航

Android 包括对 D-pad、轨迹球和滚轮作为非触摸导航机制的支持。

设备实现

• [C-0-1] 必须报告 android.content.res.Configuration.navigation 的正确值。

如果设备实现缺少非触摸导航，则它们

• [C-1-1] 必须为文本的选择和编辑提供合理的替代用户界面机制，该机制与输入管理引擎兼容。上游 Android 开源实现包括一种选择机制，该机制适用于缺少非触摸导航输入的设备。

7.2.3. 导航键

通常通过与专用物理按钮或触摸屏的不同部分交互提供的主页、最近使用和返回功能对于 Android 导航范例至关重要，因此，设备实现

• [C-0-1] 必须提供用户功能来启动已安装的应用程序，这些应用程序具有 <intent-filter>，并且为电视设备实现设置了 ACTION=MAIN 和 CATEGORY=LAUNCHER 或 CATEGORY=LEANBACK_LAUNCHER。主页功能应该是此用户功能的机制。
• 应该为“最近使用”和“返回”功能提供按钮。

如果提供了“主页”、“最近使用”或“返回”功能，则它们

• [C-1-1] 在任何功能可访问时，必须通过单击操作（例如，点击、双击或手势）访问。
• [C-1-2] 必须清楚地指示哪个单击操作将触发每个功能。在按钮上印上可见图标、在屏幕导航栏部分显示软件图标或在开箱即用设置体验期间引导用户完成分步演示流程是此类指示的示例。

设备实现

• [SR] 强烈建议不要为 菜单功能 提供输入机制，因为它自 Android 4.0 起已弃用，转而使用操作栏。

如果设备实现提供菜单功能，则它们

• [C-2-1] 每当操作溢出菜单弹出窗口不为空且操作栏可见时，都必须显示操作溢出按钮。
• [C-2-2] 不得修改通过选择操作栏中的溢出按钮显示的操作溢出弹出窗口的位置，但在通过选择菜单功能显示操作溢出弹出窗口时，可以以修改后的位置在屏幕上渲染操作溢出弹出窗口。

如果设备实现不提供菜单功能，为了向后兼容，它们

• [C-3-1] 当 targetSdkVersion 小于 10 时，必须通过物理按钮、软件键或手势使应用程序可以使用菜单功能。除非与其他导航功能一起隐藏，否则应可访问此菜单功能。

如果设备实现提供 Assist 功能，则它们

• [C-4-1] 在其他导航键可访问时，必须通过单击操作（例如，点击、双击或手势）使 Assist 功能可访问。
• [SR] 强烈建议使用长按主页功能作为此指定交互。

如果设备实现使用屏幕的不同部分来显示导航键，则它们

• [C-5-1] 导航键必须使用屏幕的不同部分，应用程序不可用，并且不得遮挡或以其他方式干扰应用程序可用的屏幕部分。
• [C-5-2] 必须向应用程序提供满足第 7.1.1 节中定义的要求的显示屏部分。
• [C-5-3] 必须遵守应用程序通过 View.setSystemUiVisibility() API 方法设置的标志，以便屏幕的此不同部分（也称为导航栏）按照 SDK 中的文档正确隐藏。

如果导航功能作为屏幕上的基于手势的操作提供

• [C-6-1] WindowInsets#getMandatorySystemGestureInsets() 只能用于报告主页手势识别区域。
• [C-6-2] 从前台应用程序通过 View#setSystemGestureExclusionRects() 提供的排除矩形内开始，但在 WindowInsets#getMandatorySystemGestureInsets() 之外的手势，只要排除矩形在 View#setSystemGestureExclusionRects() 的文档中指定的最大排除限制内允许，则不得为导航功能拦截。
• [C-6-3] 如果之前向前台应用程序发送了 MotionEvent.ACTION_DOWN 事件，则一旦触摸开始被系统手势拦截，必须向前台应用程序发送 MotionEvent.ACTION_CANCEL 事件。
• [C-6-4] 必须提供用户功能来切换到基于屏幕按钮的导航（例如，在“设置”中）。
• 应该提供主页功能，作为从屏幕当前方向的底部边缘向上滑动的手势。
• 应该提供“最近使用”功能，作为从与“主页”手势相同的区域向上滑动并按住不放的手势。
• 从 WindowInsets#getMandatorySystemGestureInsets() 内开始的手势不应受前台应用程序通过 View#setSystemGestureExclusionRects() 提供的排除矩形的影响。

如果从屏幕当前方向的左右边缘的任何位置提供导航功能

• [C-7-1] 导航功能必须是“返回”，并作为从屏幕当前方向的左右边缘滑动的手势提供。
• [C-7-2] 如果在左右边缘提供自定义可滑动系统面板，则它们必须放置在屏幕顶部 1/3 区域内，并具有清晰、持久的可视指示，表明拖入会调用上述面板，而不是“返回”。系统面板可以由用户配置为放置在屏幕边缘顶部 1/3 区域下方，但系统面板不得使用超过边缘 1/3 的区域。
• [C-7-3] 当前台应用程序设置了 View.SYSTEM_UI_FLAG_IMMERSIVE 或 View.SYSTEM_UI_FLAG_IMMERSIVE_STICKY 标志时，从边缘滑动必须表现得与 AOSP 中的实现相同，这在 SDK 中有所记录。
• [C-7-4] 当前台应用程序设置了 View.SYSTEM_UI_FLAG_IMMERSIVE 或 View.SYSTEM_UI_FLAG_IMMERSIVE_STICKY 标志时，自定义可滑动系统面板必须保持隐藏状态，直到用户调出系统栏（也称为导航栏和状态栏），如 AOSP 中所实现的那样。

7.2.4. 触摸屏输入

Android 包括对各种指针输入系统的支持，例如触摸屏、触摸板和假触摸输入设备。基于触摸屏的设备实现与显示屏相关联，使用户能够直接操作屏幕上的项目。由于用户直接触摸屏幕，因此系统不需要任何额外的功能来指示正在操作的对象。

设备实现

• 应该具有某种类型的指针输入系统（类似于鼠标或触摸）。
• 应该支持完全独立跟踪的指针。

如果设备实现包括主 Android 兼容显示屏上的触摸屏（单点触摸或更好），则它们

• [C-1-1] 必须为 Configuration.touchscreen API 字段报告 TOUCHSCREEN_FINGER。
• [C-1-2] 必须报告 android.hardware.touchscreen 和 android.hardware.faketouch 功能标志。

如果设备实现包括可以跟踪主 Android 兼容显示屏上多个触摸点的触摸屏，则它们

• [C-2-1] 必须报告与设备上特定触摸屏类型对应的相应功能标志 android.hardware.touchscreen.multitouch、android.hardware.touchscreen.multitouch.distinct、android.hardware.touchscreen.multitouch.jazzhand。

如果设备实现依赖外部输入设备（如鼠标或轨迹球）（即不直接触摸屏幕）作为主 Android 兼容显示屏上的输入，并且满足第 7.2.5 节中的假触摸要求，则它们

• [C-3-1] 不得报告任何以 android.hardware.touchscreen 开头的功能标志。
• [C-3-2] 必须仅报告 android.hardware.faketouch。
• [C-3-3] 必须为 Configuration.touchscreen API 字段报告 TOUCHSCREEN_NOTOUCH。

7.2.5. 假触摸输入

假触摸界面提供了一种用户输入系统，该系统近似于触摸屏功能的一个子集。例如，鼠标或遥控器驱动屏幕光标以近似触摸，但需要用户先指向或聚焦，然后单击。许多输入设备（如鼠标、触控板、基于陀螺仪的空中鼠标、陀螺仪指针、操纵杆和多点触控板）可以支持假触摸交互。Android 包括功能常量 android.hardware.faketouch，它对应于高保真非触摸（基于指针）输入设备（如鼠标或触控板），该设备可以充分模拟基于触摸的输入（包括基本手势支持），并表明设备支持触摸屏功能的模拟子集。

如果设备实现不包含触摸屏，但包含他们想要提供的另一种指针输入系统，则他们

• 应该声明支持 android.hardware.faketouch 功能标志。

如果设备实现声明支持 android.hardware.faketouch，则他们

• [C-1-1] 必须报告指针位置的绝对 X 和 Y 屏幕位置，并在屏幕上显示可视指针。
• [C-1-2] 必须报告触摸事件，其动作代码指定指针在屏幕上按下或抬起时发生的状态变化。
• [C-1-3] 必须支持在屏幕上的对象上按下和抬起指针，这允许用户模拟点击屏幕上的对象。
• [C-1-4] 必须支持在屏幕上的对象上的同一位置在时间阈值内按下指针、抬起指针、按下指针然后抬起指针，这允许用户模拟双击屏幕上的对象。
• [C-1-5] 必须支持在屏幕上的任意点按下指针，将指针移动到屏幕上的任何其他任意点，然后抬起指针，这允许用户模拟触摸拖动。
• [C-1-6] 必须支持按下指针，然后允许用户快速将对象移动到屏幕上的不同位置，然后在屏幕上抬起指针，这允许用户在屏幕上快速滑动对象。

如果设备实现声明支持 android.hardware.faketouch.multitouch.distinct，则他们

• [C-2-1] 必须声明支持 android.hardware.faketouch。
• [C-2-2] 必须支持对两个或更多独立指针输入的区分跟踪。

如果设备实现声明支持 android.hardware.faketouch.multitouch.jazzhand，则他们

• [C-3-1] 必须声明支持 android.hardware.faketouch。
• [C-3-2] 必须支持对 5 个（跟踪一只手的手指）或更多指针输入的完全独立区分跟踪。

7.2.6. 游戏控制器支持

7.2.6.1. 按钮映射

设备实现

• [C-1-1] 必须能够将 HID 事件映射到下表列出的相应 InputEvent 常量。上游 Android 实现满足此要求。

如果设备实现嵌入了控制器，或者在包装盒中附带了单独的控制器，该控制器将提供输入下表列出的所有事件的方法，则他们

• [C-2-1] 必须声明功能标志 android.hardware.gamepad

1 KeyEvent

2 上述 HID 用法必须在游戏手柄 CA (0x01 0x0005) 中声明。

3 此用法必须具有 0 的逻辑最小值、7 的逻辑最大值、0 的物理最小值、315 的物理最大值、度为单位以及 4 的报告大小。逻辑值定义为偏离垂直轴的顺时针旋转；例如，逻辑值 0 表示没有旋转且向上按钮被按下，而逻辑值 1 表示旋转 45 度且向上和向左键都被按下。

4 MotionEvent

1 MotionEvent

7.2.7. 遥控器

有关设备特定要求，请参阅第 2.3.1 节。

7.3. 传感器

如果设备实现包含特定传感器类型，并且该传感器类型具有针对第三方开发人员的相应 API，则设备实现必须按照 Android SDK 文档和关于传感器的 Android 开源文档中的描述来实现该 API。

设备实现

• [C-0-1] 必须根据 android.content.pm.PackageManager 类准确报告传感器的存在或缺失。
• [C-0-2] 必须通过 SensorManager.getSensorList() 和类似方法返回支持的传感器的准确列表。
• [C-0-3] 必须对所有其他传感器 API 表现合理（例如，当应用程序尝试注册侦听器时，返回 true 或 false，当相应的传感器不存在时，不调用传感器侦听器等）。

如果设备实现包含特定传感器类型，并且该传感器类型具有针对第三方开发人员的相应 API，则他们

• [C-1-1] 必须使用 Android SDK 文档中定义的每种传感器类型的相关国际单位制 (公制) 值报告所有传感器测量值。
• [C-1-2] 当应用程序处理器处于活动状态时，对于最大请求延迟为 0 毫秒的传感器流，必须以最大延迟 100 毫秒 + 2 * sample_time 报告传感器数据。此延迟不包括任何滤波延迟。
• [C-1-3] 必须在传感器激活后的 400 毫秒 + 2 * sample_time 内报告第一个传感器样本。此样本的精度为 0 是可以接受的。
• [C-1-4] 对于 Android SDK 文档指示为连续传感器的任何 API，设备实现必须持续提供周期性数据样本，这些样本应具有低于 3% 的抖动，其中抖动定义为连续事件之间报告的时间戳值之差的标准偏差。
• [C-1-5] 必须确保传感器事件流不得阻止设备 CPU 进入挂起状态或从挂起状态唤醒。
• [C-1-6] 必须按照 Android SDK 文档中的定义，以纳秒为单位报告事件时间，表示事件发生的时间，并与 SystemClock.elapsedRealtimeNano() 时钟同步。
• [C-SR] 强烈建议时间戳同步误差低于 100 毫秒，并且应该时间戳同步误差低于 1 毫秒。
• 当激活多个传感器时，功耗不应超过各个传感器报告的功耗之和。

上面的列表并非详尽无遗；Android SDK 的文档化行为和关于传感器的 Android 开源文档应被视为权威。

如果设备实现包含特定传感器类型，并且该传感器类型具有针对第三方开发人员的相应 API，则他们

• [C-1-6] 必须为所有传感器设置非零分辨率，并通过 Sensor.getResolution() API 方法报告该值。

某些传感器类型是复合的，这意味着它们可以从一个或多个其他传感器提供的数据中派生出来。（示例包括方向传感器和线性加速度传感器。）

设备实现

• 当包含传感器类型中描述的先决条件物理传感器时，应该实现这些传感器类型。

如果设备实现包含复合传感器，则他们

• [C-2-1] 必须按照关于复合传感器的 Android 开源文档中的描述来实现传感器。

如果设备实现包含特定传感器类型，并且该传感器类型具有针对第三方开发人员的相应 API，并且该传感器仅报告一个值，则设备实现

• [C-3-1] 必须将传感器的分辨率设置为 1，并通过 Sensor.getResolution() API 方法报告该值。

如果设备实现包含特定传感器类型，该类型支持 SensorAdditionalInfo#TYPE_VEC3_CALIBRATION，并且该传感器向第三方开发人员公开，则他们

• [C-4-1] 不得在提供的数据中包含任何固定的、工厂确定的校准参数。

如果设备实现包含 3 轴加速度计、3 轴陀螺仪传感器或磁力计传感器的组合，则他们

• [C-SR] 强烈建议确保加速度计、陀螺仪和磁力计具有固定的相对位置，这样，如果设备是可变形的（例如可折叠的），则在所有可能的设备变形状态下，传感器轴仍保持对齐并与传感器坐标系一致。

7.3.1. 加速度计

设备实现

• [C-SR] 强烈建议包含 3 轴加速度计。

如果设备实现包含 3 轴加速度计，则他们

• [C-1-1] 必须能够以至少 50 Hz 的频率报告事件。
• [C-1-2] 必须实现并报告 TYPE_ACCELEROMETER 传感器。
• [C-1-3] 必须遵守 Android API 中详细说明的Android 传感器坐标系。
• [C-1-4] 必须能够测量从自由落体到任何轴上重力的四倍 (4g) 或更大的加速度。
• [C-1-5] 必须具有至少 12 位的分辨率。
• [C-1-6] 标准偏差必须不大于 0.05 m/s^，其中标准偏差应基于以最快采样率在至少 3 秒的时间段内收集的样本按轴计算。
• [SR] 强烈建议实现 TYPE_SIGNIFICANT_MOTION 复合传感器。
• [SR] 强烈建议实现并报告 TYPE_ACCELEROMETER_UNCALIBRATED 传感器。强烈建议 Android 设备满足此要求，以便它们能够升级到未来可能需要此功能的平台版本。
• 应该实现 Android SDK 文档中描述的 TYPE_SIGNIFICANT_MOTION、TYPE_TILT_DETECTOR、TYPE_STEP_DETECTOR、TYPE_STEP_COUNTER 复合传感器。
• 应该以至少 200 Hz 的频率报告事件。
• 应该具有至少 16 位的分辨率。
• 如果特性在生命周期内发生变化，则应在使用时进行校准和补偿，并在设备重启之间保留补偿参数。
• 应该是温度补偿的。

如果设备实现包含 3 轴加速度计，并且实现了 TYPE_SIGNIFICANT_MOTION、TYPE_TILT_DETECTOR、TYPE_STEP_DETECTOR、TYPE_STEP_COUNTER 复合传感器中的任何一个

• [C-2-1] 它们的总功耗必须始终小于 4 mW。
• 对于设备处于动态或静态状态时，每个传感器的功耗应低于 2 mW 和 0.5 mW。

如果设备实现包含 3 轴加速度计和 3 轴陀螺仪传感器，则他们

• [C-3-1] 必须实现 TYPE_GRAVITY 和 TYPE_LINEAR_ACCELERATION 复合传感器。
• [C-SR] 强烈建议实现 TYPE_GAME_ROTATION_VECTOR 复合传感器。

如果设备实现包含 3 轴加速度计、3 轴陀螺仪传感器和磁力计传感器，则他们

• [C-4-1] 必须实现 TYPE_ROTATION_VECTOR 复合传感器。

7.3.2. 磁力计

设备实现

• [C-SR] 强烈建议包含 3 轴磁力计（指南针）。

如果设备实现包含 3 轴磁力计，则他们

• [C-1-1] 必须实现 TYPE_MAGNETIC_FIELD 传感器。
• [C-1-2] 必须能够以至少 10 Hz 的频率报告事件，并且应该以至少 50 Hz 的频率报告事件。
• [C-1-3] 必须遵守 Android API 中详细说明的Android 传感器坐标系。
• [C-1-4] 必须能够测量每个轴上 -900 µT 到 +900 µT 之间的磁场，然后才会饱和。
• [C-1-5] 硬磁偏移值必须小于 700 µT，并且应该小于 200 µT，方法是将磁力计放置在远离动态（电流感应）和静态（磁铁感应）磁场的位置。
• [C-1-6] 必须具有等于或高于 0.6 µT 的分辨率。
• [C-1-7] 必须支持硬磁偏置的在线校准和补偿，并在设备重启之间保留补偿参数。
• [C-1-8] 必须应用软磁补偿 — 校准可以在使用时或在设备生产期间完成。
• [C-1-9] 标准偏差必须不大于 1.5 µT，标准偏差应基于以最快采样率在至少 3 秒的时间段内收集的样本按轴计算；应该标准偏差不大于 0.5 µT。
• [C-SR] 强烈建议实现 TYPE_MAGNETIC_FIELD_UNCALIBRATED 传感器。

如果设备实现包含 3 轴磁力计、加速度计传感器和 3 轴陀螺仪传感器，则他们

• [C-2-1] 必须实现 TYPE_ROTATION_VECTOR 复合传感器。

如果设备实现包含 3 轴磁力计、加速度计，则他们

• 可以实现 TYPE_GEOMAGNETIC_ROTATION_VECTOR 传感器。

如果设备实现包含 3 轴磁力计、加速度计和 TYPE_GEOMAGNETIC_ROTATION_VECTOR 传感器，则他们

• [C-3-1] 功耗必须小于 10 mW。
• 当传感器以 10 Hz 的频率注册为批处理模式时，功耗应该小于 3 mW。

7.3.3. GPS

设备实现

• [C-SR] 强烈建议包含 GPS/GNSS 接收器。

如果设备实现包含 GPS/GNSS 接收器，并通过 android.hardware.location.gps 功能标志向应用程序报告此功能，则他们

• [C-1-1] 当通过 LocationManager#requestLocationUpdate 请求时，必须支持至少 1 Hz 的位置输出速率。
• [C-1-2] 当连接到 0.5 Mbps 或更快的网速互联网连接时，必须能够在 10 秒内（快速首次定位时间）确定开阔天空条件下的位置（强信号，可忽略的多径，HDOP < 2）。此要求通常通过使用某种形式的辅助或预测 GPS/GNSS 技术来满足，以最大限度地缩短 GPS/GNSS 锁定时间（辅助数据包括参考时间、参考位置和卫星星历/时钟）。
  • [C-1-6] 在进行此类位置计算后，即使在初始位置计算一小时后重新启动位置请求，即使在没有数据连接和/或断电循环后进行后续请求，设备实现也必须在 5 秒内在开阔天空条件下确定其位置。

• 在开阔天空条件下确定位置后，当静止或以小于每秒平方米 1 米的加速度移动时

  • [C-1-3] 必须能够至少在 95% 的时间内将位置确定在 20 米以内，并将速度确定在每秒 0.5 米以内。
  • [C-1-4] 必须通过 GnssStatus.Callback 同时跟踪和报告来自一个星座的至少 8 颗卫星。
  • 应该能够同时跟踪来自多个星座（例如，GPS + 至少一个 Glonass、北斗、伽利略）的至少 24 颗卫星。
  • [C-SR] 强烈建议在紧急电话呼叫期间继续通过 GNSS 位置提供程序 API 传递正常的 GPS/GNSS 位置输出。
  • [C-SR] 强烈建议报告来自所有跟踪星座（如 GnssStatus 消息中所报告）的 GNSS 测量值，SBAS 除外。
  • [C-SR] 强烈建议报告 GNSS 测量的 AGC 和频率。
  • [C-SR] 强烈建议报告所有精度估计值（包括方位角、速度和垂直精度），作为每个 GPS/GNSS 位置的一部分。
  • [C-SR] 强烈建议尽快报告 GNSS 测量值，即使尚未报告从 GPS/GNSS 计算出的位置也是如此。
  • [C-SR] 强烈建议报告 GNSS 伪距和伪距率，在开阔天空条件下确定位置后，当静止或以小于每秒平方米 0.2 米的加速度移动时，这些伪距和伪距率足以至少在 95% 的时间内将位置计算在 20 米以内，并将速度计算在每秒 0.2 米以内。

7.3.4. 陀螺仪

设备实现

• [C-SR] 强烈建议包含陀螺仪传感器。

如果设备实现包含 3 轴陀螺仪，则他们

• [C-1-1] 必须能够以至少 50 Hz 的频率报告事件。
• [C-1-2] 必须实现 TYPE_GYROSCOPE 传感器，并且强烈建议也实现 TYPE_GYROSCOPE_UNCALIBRATED 传感器。
• [C-1-4] 必须具有 12 位或更高的分辨率，并且应该具有 16 位或更高的分辨率。
• [C-1-5] 必须是温度补偿的。
• [C-1-6] 必须在使用时进行校准和补偿，并在设备重启之间保留补偿参数。
• [C-1-7] 方差必须不大于 1e-7 rad^2 / s^2 每 Hz（每 Hz 方差，或 rad^2 / s）。方差可以随采样率变化，但必须受此值约束。换句话说，如果您测量 1 Hz 采样率下陀螺仪的方差，则应该不大于 1e-7 rad^2/s^2。
• [SR] 强烈建议当设备在室温下静止时，校准误差小于 0.01 rad/s。
• 应该以至少 200 Hz 的频率报告事件。

如果设备实现包含 3 轴陀螺仪、加速度计传感器和磁力计传感器，则他们

• [C-2-1] 必须实现 TYPE_ROTATION_VECTOR 复合传感器。

如果设备实现包含 3 轴加速度计和 3 轴陀螺仪传感器，则他们

• [C-3-1] 必须实现 TYPE_GRAVITY 和 TYPE_LINEAR_ACCELERATION 复合传感器。
• [C-SR] 强烈建议实现 TYPE_GAME_ROTATION_VECTOR 复合传感器。

7.3.5. 气压计

设备实现

• [C-SR] 强烈建议包含气压计（环境气压传感器）。

如果设备实现包含气压计，则他们

• [C-1-1] 必须实现并报告 TYPE_PRESSURE 传感器。
• [C-1-2] 必须能够以 5 Hz 或更高的频率传递事件。
• [C-1-3] 必须是温度补偿的。
• [SR] 强烈建议能够报告 300hPa 至 1100hPa 范围内的压力测量值。
• 应该具有 1hPa 的绝对精度。
• 应该在 20hPa 范围内具有 0.12hPa 的相对精度（相当于海平面上 ~200m 变化时 ~1m 的精度）。

7.3.6. 温度计

如果设备实现包含环境温度计（温度传感器），则他们

• [C-1-1] 必须为环境温度传感器定义 SENSOR_TYPE_AMBIENT_TEMPERATURE，并且传感器必须测量用户与设备交互的环境（房间/车厢）温度，单位为摄氏度。

如果设备实现包含测量环境温度以外的温度（例如 CPU 温度）的温度计传感器，则他们

• [C-2-1] 不得为温度传感器定义 SENSOR_TYPE_AMBIENT_TEMPERATURE。

7.3.7. 光度计

• 设备实现可以包含光度计（环境光传感器）。

7.3.8. 接近传感器

• 设备实现可以包含接近传感器。

如果设备实现包含接近传感器，则他们

• [C-1-1] 必须测量屏幕同一方向上物体的接近程度。也就是说，接近传感器必须定向为检测靠近屏幕的物体，因为此传感器类型的主要目的是检测用户正在使用的手机。如果设备实现包含任何其他方向的接近传感器，则不得通过此 API 访问它。
• [C-1-2] 必须具有 1 位或更高的精度。

7.3.9. 高保真传感器

如果设备实现包含本节中定义的一组更高质量的传感器，并向第三方应用程序提供这些传感器，则他们

• [C-1-1] 必须通过 android.hardware.sensor.hifi_sensors 功能标志来识别此功能。

如果设备实现声明 android.hardware.sensor.hifi_sensors，则他们

• [C-2-1] 必须具有 TYPE_ACCELEROMETER 传感器，该传感器

  • 必须具有至少 -8g 和 +8g 之间的测量范围，并且强烈建议具有至少 -16g 和 +16g 之间的测量范围。
  • 必须具有至少 2048 LSB/g 的测量分辨率。
  • 必须具有 12.5 Hz 或更低的最小测量频率。
  • 必须具有 400 Hz 或更高的最大测量频率；应该支持 SensorDirectChannel RATE_VERY_FAST。
  • 必须具有不高于 400 μg/√Hz 的测量噪声。
  • 必须实现此传感器的非唤醒形式，并具有至少 3000 个传感器事件的缓冲能力。
  • 批处理功耗必须不高于 3 mW。
  • [C-SR] 强烈建议具有至少为奈奎斯特频率 80% 的 3dB 测量带宽，以及此带宽内的白噪声频谱。
  • 在室温下测试时，加速度随机游走应该小于 30 μg √Hz。
  • 偏置随温度的变化应该 ≤ +/- 1 mg/°C。
  • 最佳拟合线非线性应该 ≤ 0.5%，灵敏度随温度的变化应该 ≤ 0.03%/C°。
  • 交叉轴灵敏度应该 < 2.5 %，并且交叉轴灵敏度变化 < 0.2%，在设备工作温度范围内。

• [C-2-2] 必须具有 TYPE_ACCELEROMETER_UNCALIBRATED，其质量要求与 TYPE_ACCELEROMETER 相同。

• [C-2-3] 必须具有 TYPE_GYROSCOPE 传感器，该传感器

  • 必须具有至少 -1000 和 +1000 dps 之间的测量范围。
  • 必须具有至少 16 LSB/dps 的测量分辨率。
  • 必须具有 12.5 Hz 或更低的最小测量频率。
  • 必须具有 400 Hz 或更高的最大测量频率；应该支持 SensorDirectChannel RATE_VERY_FAST。
  • 必须具有不高于 0.014°/s/√Hz 的测量噪声。
  • [C-SR] 强烈建议具有至少为奈奎斯特频率 80% 的 3dB 测量带宽，以及此带宽内的白噪声频谱。
  • 在室温下测试时，速率随机游走应该小于 0.001 °/s √Hz。
  • 偏置随温度的变化应该 ≤ +/- 0.05 °/ s / °C。
  • 灵敏度随温度的变化应该 ≤ 0.02% / °C。
  • 最佳拟合线非线性应该 ≤ 0.2%。
  • 噪声密度应该 ≤ 0.007 °/s/√Hz。
  • 在 10 ~ 40 ℃ 温度范围内，当设备静止时，校准误差应该小于 0.002 rad/s。
  • g 灵敏度应该小于 0.1°/s/g。
  • 交叉轴灵敏度应该 < 4.0 %，交叉轴灵敏度变化 < 0.3%，在设备工作温度范围内。

• [C-2-4] 必须具有 TYPE_GYROSCOPE_UNCALIBRATED，其质量要求与 TYPE_GYROSCOPE 相同。

• [C-2-5] 必须具有 TYPE_GEOMAGNETIC_FIELD 传感器，该传感器

  • 必须具有至少 -900 和 +900 μT 之间的测量范围。
  • 必须具有至少 5 LSB/uT 的测量分辨率。
  • 必须具有 5 Hz 或更低的最小测量频率。
  • 必须具有 50 Hz 或更高的最大测量频率。
  • 必须具有不高于 0.5 uT 的测量噪声。

• [C-2-6] 必须具有 TYPE_MAGNETIC_FIELD_UNCALIBRATED，其质量要求与 TYPE_GEOMAGNETIC_FIELD 相同，此外

  • 必须实现此传感器的非唤醒形式，并具有至少 600 个传感器事件的缓冲能力。
  • [C-SR] 强烈建议当报告速率为 50 Hz 或更高时，具有从 1 Hz 到至少 10 Hz 的白噪声频谱。

• [C-2-7] 必须具有 TYPE_PRESSURE 传感器，该传感器

  • 必须具有至少 300 和 1100 hPa 之间的测量范围。
  • 必须具有至少 80 LSB/hPa 的测量分辨率。
  • 必须具有 1 Hz 或更低的最小测量频率。
  • 必须具有 10 Hz 或更高的最大测量频率。
  • 必须具有不高于 2 Pa/√Hz 的测量噪声。
  • 必须实现此传感器的非唤醒形式，并具有至少 300 个传感器事件的缓冲能力。
  • 批处理功耗必须不高于 2 mW。
• [C-2-8] 必须具有 TYPE_GAME_ROTATION_VECTOR 传感器。
• [C-2-9] 必须具有 TYPE_SIGNIFICANT_MOTION 传感器，该传感器
  • 设备静态时功耗必须不高于 0.5 mW，设备移动时功耗必须不高于 1.5 mW。
• [C-2-10] 必须具有 TYPE_STEP_DETECTOR 传感器，该传感器
  • 必须实现此传感器的非唤醒形式，并具有至少 100 个传感器事件的缓冲能力。
  • 设备静态时功耗必须不高于 0.5 mW，设备移动时功耗必须不高于 1.5 mW。
  • 批处理功耗必须不高于 4 mW。
• [C-2-11] 必须具有 TYPE_STEP_COUNTER 传感器，该传感器
  • 设备静态时功耗必须不高于 0.5 mW，设备移动时功耗必须不高于 1.5 mW。
• [C-2-12] 必须具有 TILT_DETECTOR 传感器，该传感器
  • 设备静态时功耗必须不高于 0.5 mW，设备移动时功耗必须不高于 1.5 mW。
• [C-2-13] 加速度计、陀螺仪和磁力计报告的同一物理事件的事件时间戳必须彼此在 2.5 毫秒之内。加速度计和陀螺仪报告的同一物理事件的事件时间戳应该彼此在 0.25 毫秒之内。
• [C-2-14] 必须使陀螺仪传感器事件时间戳与相机子系统在同一时间基准上，并且误差在 1 毫秒之内。
• [C-2-15] 必须在应用程序可获得上述任何物理传感器上的数据后 5 毫秒内将样本传递给应用程序。
• [C-2-16] 当启用以下传感器的任何组合时，设备静态时功耗必须不高于 0.5 mW，设备移动时功耗必须不高于 2.0 mW
  • SENSOR_TYPE_SIGNIFICANT_MOTION
  • SENSOR_TYPE_STEP_DETECTOR
  • SENSOR_TYPE_STEP_COUNTER
  • SENSOR_TILT_DETECTORS
• [C-2-17] 可以具有 TYPE_PROXIMITY 传感器，但如果存在，则必须具有至少 100 个传感器事件的最小缓冲能力。

请注意，本节中的所有功耗要求均不包括应用程序处理器的功耗。它包括整个传感器链（传感器、任何支持电路、任何专用传感器处理系统等）消耗的功率。

如果设备实现包含直接传感器支持，则他们

• [C-3-1] 必须通过 isDirectChannelTypeSupported 和 getHighestDirectReportRateLevel API 正确声明对直接通道类型和直接报告速率级别的支持。
• [C-3-2] 对于声明支持传感器直接通道的所有传感器，必须支持两种传感器直接通道类型中的至少一种。
  • TYPE_HARDWARE_BUFFER
  • TYPE_MEMORY_FILE
• 对于以下类型的主传感器（非唤醒变体），应该支持通过传感器直接通道进行事件报告
  • TYPE_ACCELEROMETER
  • TYPE_ACCELEROMETER_UNCALIBRATED
  • TYPE_GYROSCOPE
  • TYPE_GYROSCOPE_UNCALIBRATED
  • TYPE_MAGNETIC_FIELD
  • TYPE_MAGNETIC_FIELD_UNCALIBRATED

7.3.10. 生物识别传感器

有关测量生物识别解锁安全性的更多背景信息，请参阅测量生物识别安全性文档。

如果设备实现包含安全锁屏，则他们

• 应该包含生物识别传感器

生物识别传感器可以根据其欺骗和冒名顶替接受率以及生物识别管道的安全性分为3 类（以前的强）、2 类（以前的弱）或1 类（以前的便捷）。此分类确定了生物识别传感器必须与平台和第三方应用程序接口的能力。传感器默认分类为 1 类，如果他们希望分类为 2 类或 3 类，则需要满足以下详细说明的附加要求。2 类和 3 类 生物识别技术都获得了以下详细说明的附加功能。

如果设备实现通过 android.hardware.biometrics.BiometricManager、android.hardware.biometrics.BiometricPrompt 和 android.provider.Settings.ACTION_BIOMETRIC_ENROLL 向第三方应用程序提供生物识别传感器，则他们

• [C-4-1] 必须满足本文档中定义的 3 类或 2 类 生物识别的要求。
• [C-4-2] 必须识别并遵守在 Authenticators 类中定义为常量的每个参数名称及其任何组合。相反，不得遵守或识别传递给 canAuthenticate(int) 和 setAllowedAuthenticators(int) 方法的整数常量，但 Authenticators 和其任何组合中记录为公共常量的整数常量除外。
• [C-4-3] 在具有 3 类或 2 类 生物识别技术的设备上，必须实现 ACTION_BIOMETRIC_ENROLL 操作。此操作必须仅呈现 3 类或 2 类 生物识别技术的注册入口点。

如果设备实现支持被动生物识别技术，则他们

• [C-5-1] 默认情况下必须要求额外的确认步骤（例如，按下按钮）。
• [C-SR] 强烈建议设置一个设置，允许用户覆盖应用程序首选项，并始终要求附带确认步骤。
• [C-SR] 强烈建议确认操作是安全的，这样操作系统或内核泄露无法欺骗它。例如，这意味着基于物理按钮的确认操作通过安全元件 (SE) 的仅输入通用输入/输出 (GPIO) 引脚进行路由，该引脚只能通过物理按钮按下来驱动，而不能通过任何其他方式驱动。
• [C-5-2] 必须另外实现与 setConfirmationRequired(boolean) 对应的隐式身份验证流程（无需确认步骤），应用程序可以设置该流程以用于登录流程。

如果设备实现具有多个生物识别传感器，则他们

• [C-SR] 强烈建议每次身份验证仅需要确认一个生物识别技术（例如，如果设备上同时提供指纹和面部传感器，则在确认其中任何一个后，应发送 onAuthenticationSucceeded ）。

为了使设备实现允许第三方应用程序访问密钥库密钥，他们

• [C-6-1] 必须满足下面本节中定义的 3 类 的要求。
• [C-6-2] 当身份验证需要 BIOMETRIC_STRONG，或者使用 CryptoObject 调用身份验证时，必须仅呈现 3 类 生物识别技术。

如果设备实现希望将生物识别传感器视为 1 类（以前的 便捷），则他们

• [C-1-1] 必须具有小于 0.002% 的误接受率。
• [C-1-2] 必须披露此模式可能不如强 PIN 码、图案或密码安全，并且如果欺骗和冒名顶替接受率高于 7%（根据 Android 生物识别测试协议 衡量），则必须明确列举启用此模式的风险。
• [C-1-3] 生物识别验证失败五次后，必须限制尝试次数，至少等待 30 秒 - 其中一次失败尝试是指捕捉质量足够高 (BIOMETRIC_ACQUIRED_GOOD)，但不匹配已注册生物识别信息的尝试。
• [C-1-4] 必须先通过让用户确认现有设备凭据或添加新的设备凭据（TEE 保护的 PIN 码/图案/密码）来建立信任链，然后才能添加新的生物识别信息；Android 开源项目实现提供了框架机制来执行此操作。
• [C-1-5] 当用户帐户被移除时（包括通过恢复出厂设置），必须完全移除用户的所有可识别生物识别数据。
• [C-1-6] 必须遵守该生物识别信息的单独标志（即 DevicePolicyManager.KEYGUARD_DISABLE_FINGERPRINT、 DevicePolicymanager.KEYGUARD_DISABLE_FACE 或 DevicePolicymanager.KEYGUARD_DISABLE_IRIS ）。
• [C-1-7] 对于搭载 Android 10 新版本的设备，必须每 24 小时或更短时间提示用户进行推荐的主要身份验证（例如 PIN 码、图案、密码），对于从早期 Android 版本升级的设备，必须每 72 小时或更短时间提示用户进行验证。

• [C-1-8] 在发生以下任一情况后，必须提示用户进行推荐的主要身份验证（例如：PIN 码、图案、密码）：

  • 4 小时的空闲超时期限，或者
  • 3 次生物识别身份验证尝试失败。
  • 在成功确认设备凭据后，空闲超时期限和失败身份验证计数将重置。

  从早期 Android 版本升级的设备可以豁免 C-1-8。* [C-SR] 强烈建议新设备使用 Android 开源项目提供的框架中的逻辑来强制执行 [C-1-7] 和 [C-1-8] 中指定的约束条件。* [C-SR] 强烈建议设备上的误识率低于 10%。* [C-SR] 强烈建议对于每个注册的生物识别信息，从检测到生物识别信息到屏幕解锁的延迟时间低于 1 秒。

如果设备实现希望将生物识别传感器视为Class 2（以前称为Weak），则它们

• [C-2-1] 必须满足上述 Class 1 的所有要求。
• [C-2-2] 欺骗和冒名顶替接受率不得高于 20%（根据 Android 生物识别测试协议 衡量）。
• [C-2-3] 必须在 Android 用户或内核空间之外的隔离执行环境（例如可信执行环境 (TEE)）中或在具有通往隔离执行环境的安全通道的芯片上执行生物识别匹配。
• [C-2-4] 必须对所有可识别数据进行加密和密码学身份验证，使其无法在隔离执行环境之外或在具有通往隔离执行环境的安全通道的芯片上被获取、读取或更改，具体如 Android 开源项目站点上的实施指南中所述。
• [C-2-5] 对于基于摄像头的生物识别信息，在进行基于生物识别信息的身份验证或注册时
  • 必须以一种模式操作摄像头，以防止摄像头帧在隔离执行环境之外或在具有通往隔离执行环境的安全通道的芯片上被读取或更改。
  • 对于 RGB 单摄像头解决方案，摄像头帧可以在隔离执行环境之外读取，以支持注册预览等操作，但仍必须不可更改。
• [C-2-6] 不得允许第三方应用程序区分单个生物识别注册。
• [C-2-7] 不得允许在 TEE 上下文之外未经加密访问可识别生物识别数据或从中派生的任何数据（例如嵌入）。

• [C-2-8] 必须具有安全的处理管道，以使操作系统或内核的泄露无法允许直接注入数据以错误地将用户识别为已通过身份验证。

  如果设备实现已在早期 Android 版本上发布，并且无法通过系统软件更新满足 C-2-8 要求，则可以豁免该要求。

• [C-SR] 强烈建议为所有生物识别模式包含活体检测，并为面部生物识别信息包含注意力检测。

如果设备实现希望将生物识别传感器视为 Class 3（以前称为 Strong），则它们

• [C-3-1] 必须满足上述 Class 2 的所有要求，但 [C-1-7] 和 [C-1-8] 除外。从早期 Android 版本升级的设备不能豁免 C-2-7。
• [C-3-2] 必须具有硬件支持的密钥库实现。
• [C-3-3] 欺骗和冒名顶替接受率不得高于 7%（根据 Android 生物识别测试协议 衡量）。
• [C-3-4] 必须每 72 小时或更短时间提示用户进行推荐的主要身份验证（例如 PIN 码、图案、密码）。

7.3.12. 姿势传感器

设备实现

• 可以支持 6 自由度的姿势传感器。

如果设备实现支持 6 自由度的姿势传感器，则它们

• [C-1-1] 必须实现并报告 TYPE_POSE_6DOF 传感器。
• [C-1-2] 必须比单独的旋转矢量更准确。

7.3.13. 铰链角度传感器

如果设备实现支持铰链角度传感器，则它们

• [C-1-1] 必须实现并报告 TYPE_HINGLE_ANGLE。
• [C-1-2] 必须支持 0 到 360 度（包括 0 度和 360 度）之间至少两个读数。
• [C-1-3] 对于 getDefaultSensor(SENSOR_TYPE_HINGE_ANGLE)，必须返回 wakeup 传感器。

7.4. 数据连接

7.4.1. 电话

Android API 和本文档中使用的“电话”特指与通过 GSM 或 CDMA 网络拨打语音电话和发送短信消息相关的硬件。虽然这些语音电话可能是也可能不是分组交换的，但出于 Android 的目的，它们被视为独立于任何可能使用相同网络实现的数据连接。换句话说，Android “电话”功能和 API 专门指语音电话和短信。例如，无法拨打电话或发送/接收短信消息的设备不被视为电话设备，无论它们是否使用蜂窝网络进行数据连接。

• Android 可以用于不包含电话硬件的设备。也就是说，Android 与非电话设备兼容。

如果设备实现包含 GSM 或 CDMA 电话功能，则它们

• [C-1-1] 必须声明 android.hardware.telephony 功能标志以及根据技术而定的其他子功能标志。
• [C-1-2] 必须完全支持该技术的 API。

如果设备实现不包含电话硬件，则它们

• [C-2-1] 必须将完整的 API 实现为无操作。

如果设备实现支持 eUICC 或 eSIM/嵌入式 SIM 卡，并包含专有机制以使第三方开发人员可以使用 eSIM 功能，则它们

• [C-3-1] 必须提供 EuiccManager API 的完整实现。

7.4.1.1. 号码阻止兼容性

如果设备实现报告 android.hardware.telephony feature，则它们

• [C-1-1] 必须包含号码阻止支持
• [C-1-2] 必须完全实现 BlockedNumberContract 和 SDK 文档中描述的相应 API。
• [C-1-3] 必须阻止来自 'BlockedNumberProvider' 中电话号码的所有呼叫和消息，而无需与应用进行任何交互。唯一的例外是 SDK 文档中描述的临时解除号码阻止的情况。
• [C-1-4] 不得为被阻止的呼叫写入 平台呼叫日志提供程序。
• [C-1-5] 不得为被阻止的消息写入 Telephony 提供程序。
• [C-1-6] 必须实现一个被阻止号码管理 UI，该 UI 通过 TelecomManager.createManageBlockedNumbersIntent() 方法返回的 intent 打开。
• [C-1-7] 不得允许辅助用户查看或编辑设备上的被阻止号码，因为 Android 平台假定主用户对设备上的单个电话服务实例具有完全控制权。所有与阻止相关的 UI 必须对辅助用户隐藏，并且仍然必须遵守阻止列表。
• 当设备更新到 Android 7.0 时，应该将阻止的号码迁移到提供程序中。

7.4.1.2. Telecom API

如果设备实现报告 android.hardware.telephony，则它们

• [C-1-1] 必须支持 SDK 中描述的 ConnectionService API。
• [C-1-2] 当用户正在进行由不支持通过 CAPABILITY_SUPPORT_HOLD 指定的保持功能的第三方应用发起的通话时，必须显示新的来电并提供用户操作来接受或拒绝来电。
• [C-1-3] 必须具有一个实现 InCallService 的应用程序。

• [C-SR] 强烈建议通知用户接听来电将断开正在进行的通话。

  AOSP 实现通过一个浮动通知来满足这些要求，该通知向用户指示接听来电将导致另一个通话被断开。

• [C-SR] 强烈建议预加载默认拨号器应用，当第三方应用在其 PhoneAccount 上将其 EXTRA_LOG_SELF_MANAGED_CALLS 额外键设置为 true 时，该应用会在其通话记录中显示通话记录条目和第三方应用的名称。

• [C-SR] 强烈建议如下处理音频耳机的 KEYCODE_MEDIA_PLAY_PAUSE 和 KEYCODE_HEADSETHOOK 事件，以用于 android.telecom API：
  • 在正在进行的通话期间检测到按键事件的短按时，调用 Connection.onDisconnect()。
  • 在来电期间检测到按键事件的短按时，调用 Connection.onAnswer()。
  • 在来电期间检测到按键事件的长按时，调用 Connection.onReject()。
  • 切换 CallAudioState 的静音状态。

7.4.2. IEEE 802.11 (Wi-Fi)

设备实现

• 应该包含对一种或多种形式的 802.11 的支持。

如果设备实现包含对 802.11 的支持并向第三方应用程序公开该功能，则它们

• [C-1-1] 必须实现相应的 Android API。
• [C-1-2] 必须报告硬件功能标志 android.hardware.wifi。
• [C-1-3] 必须实现 SDK 文档中描述的 多播 API。
• [C-1-4] 必须支持多播 DNS (mDNS)，并且不得在任何操作时间（包括）过滤 mDNS 数据包 (224.0.0.251)：
  • 即使屏幕未处于活动状态。
  • 对于 Android 电视设备实现，即使在待机电源状态下也是如此。
• [C-1-5] 不得将 WifiManager.enableNetwork() API 方法调用视为足以切换当前活动的 Network，该网络默认用于应用程序流量，并由 ConnectivityManager API 方法（例如 getActiveNetwork 和 registerDefaultNetworkCallback）返回。换句话说，只有在成功验证 Wi-Fi 网络提供互联网访问的情况下，它们才可以禁用任何其他网络提供商（例如移动数据）提供的互联网访问。
• [C-1-6] 强烈建议在调用 ConnectivityManager.reportNetworkConnectivity() API 方法时，重新评估 Network 上的互联网访问，并且一旦评估确定当前 Network 不再提供互联网访问，则切换到任何其他可用的网络（例如移动数据），以提供互联网访问。
• [C-SR] 强烈建议在 STA 断开连接时，在每次扫描开始时随机化探测请求帧的源 MAC 地址和序列号。
  • 组成一次扫描的每组探测请求帧应使用一个一致的 MAC 地址（不应在扫描过程中随机化 MAC 地址）。
  • 探测请求序列号应在扫描中的探测请求之间正常迭代（按顺序）。
  • 探测请求序列号应在一次扫描的最后一个探测请求和下一次扫描的第一个探测请求之间随机化。
• [C-SR] 强烈建议在 STA 断开连接时，仅允许以下元素出现在探测请求帧中：
  • SSID 参数集 (0)
  • DS 参数集 (3)

如果设备实现包含对 IEEE 802.11 标准中定义的 Wi-Fi 省电模式的支持，则它们

• [C-3-1] 每当应用程序通过 WifiManager.createWifiLock() 和 WifiManager.WifiLock.acquire() API 获取 WIFI_MODE_FULL_HIGH_PERF 锁定或 WIFI_MODE_FULL_LOW_LATENCY 锁定且该锁定处于活动状态时，必须关闭 Wi-Fi 省电模式。
• [C-3-2] 当设备处于 Wi-Fi 低延迟锁定 (WIFI_MODE_FULL_LOW_LATENCY) 模式时，设备与接入点之间的平均往返延迟必须小于 Wi-Fi 高性能锁定 (WIFI_MODE_FULL_HIGH_PERF) 模式期间的延迟。
• [C-SR] 强烈建议在获取并生效低延迟锁定 (WIFI_MODE_FULL_LOW_LATENCY) 时，最大限度地减少 Wi-Fi 往返延迟。

如果设备实现支持 Wi-Fi 并使用 Wi-Fi 进行位置扫描，则它们

• [C-2-1] 必须提供用户操作来启用/禁用通过 WifiManager.isScanAlwaysAvailable API 方法读取的值。

7.4.2.1. Wi-Fi Direct

设备实现

• 应该包含对 Wi-Fi Direct（Wi-Fi 对等网络）的支持。

如果设备实现包含对 Wi-Fi Direct 的支持，则它们

• [C-1-1] 必须实现 SDK 文档中描述的相应 Android API。
• [C-1-2] 必须报告硬件功能 android.hardware.wifi.direct。
• [C-1-3] 必须支持常规 Wi-Fi 操作。
• [C-1-4] 必须同时支持 Wi-Fi 和 Wi-Fi Direct 操作。

7.4.2.2. Wi-Fi 隧道式直接链路设置

设备实现

• 应该包含对 Android SDK 文档中描述的 Wi-Fi 隧道式直接链路设置 (TDLS) 的支持。

如果设备实现包含对 TDLS 的支持，并且通过 WiFiManager API 启用了 TDLS，则它们

• [C-1-1] 必须通过 WifiManager.isTdlsSupported 声明对 TDLS 的支持。
• 应该仅在可能且有益时使用 TDLS。
• 应该具有一些启发式方法，并且当 TDLS 的性能可能比通过 Wi-Fi 接入点更差时，不应使用 TDLS。

7.4.2.3. Wi-Fi Aware

设备实现

• 应该包含对 Wi-Fi Aware 的支持。

如果设备实现包含对 Wi-Fi Aware 的支持并向第三方应用公开该功能，则它们

• [C-1-1] 必须实现 SDK 文档中描述的 WifiAwareManager API。
• [C-1-2] 必须声明 android.hardware.wifi.aware 功能标志。
• [C-1-3] 必须同时支持 Wi-Fi 和 Wi-Fi Aware 操作。
• [C-1-4] 必须在不超过 30 分钟的间隔内以及每当启用 Wi-Fi Aware 时随机化 Wi-Fi Aware 管理接口地址，除非正在进行 Aware 测距操作或 Aware 数据路径处于活动状态（只要数据路径处于活动状态，就不需要随机化）。

如果设备实现包含对 Wi-Fi Aware 和 第 7.4.2.5 节中描述的 Wi-Fi 位置的支持，并向第三方应用公开这些功能，则它们

• [C-2-1] 必须实现位置感知发现 API：setRangingEnabled、 setMinDistanceMm、 setMaxDistanceMm 和 onServiceDiscoveredWithinRange。

7.4.2.4. Wi-Fi Passpoint

如果设备实现包含对 802.11 (Wi-Fi) 的支持，则它们

• 应该包含对 Wi-Fi Passpoint 的支持。

如果设备实现包含对 Wi-Fi Passpoint 的支持，则它们

• [C-1-2] 必须实现 SDK 文档中描述的与 Passpoint 相关的 WifiManager API。
• [C-1-3] 必须支持 IEEE 802.11u 标准，特别是与网络发现和选择相关的标准，例如通用广告服务 (GAS) 和接入网络查询协议 (ANQP)。

相反，如果设备实现不包含对 Wi-Fi Passpoint 的支持

• [C-2-1] 与 Passpoint 相关的 WifiManager API 的实现必须抛出 UnsupportedOperationException。

7.4.2.5. Wi-Fi 位置（Wi-Fi 往返时间 - RTT）

设备实现

• 应该包含对 Wi-Fi 位置的支持。

如果设备实现包含对 Wi-Fi 位置的支持并向第三方应用公开该功能，则它们

• [C-1-1] 必须实现 SDK 文档中描述的 WifiRttManager API。
• [C-1-2] 必须声明 android.hardware.wifi.rtt 功能标志。
• [C-1-3] 必须为每个 RTT 突发随机化源 MAC 地址，该突发在执行 RTT 的 Wi-Fi 接口未与接入点关联时执行。

7.4.2.6. Wi-Fi Keepalive Offload

设备实现

• 应该包含对 Wi-Fi keepalive offload 的支持。

如果设备实现包含对 Wi-Fi keepalive offload 的支持并向第三方应用公开该功能，则它们

• [C-1-1] 必须支持 SocketKeepAlive API。

• [C-1-2] 必须支持至少三个通过 Wi-Fi 的并发 keepalive 插槽和至少一个通过蜂窝网络的 keepalive 插槽。

如果设备实现不包含对 Wi-Fi keepalive offload 的支持，则它们

• [C-2-1] 必须返回 ERROR_UNSUPPORTED。

7.4.2.7. Wi-Fi Easy Connect（设备配置协议）

设备实现

• 应该包含对 Wi-Fi Easy Connect (DPP) 的支持。

如果设备实现包括对 Wi-Fi Easy Connect 的支持并将该功能暴露给第三方应用程序，则它们

• [C-1-1] 必须使 WifiManager#isEasyConnectSupported() 方法返回 true。

7.4.3. 蓝牙

如果设备实现支持蓝牙音频配置文件，则它们

• 应该支持高级音频编解码器和蓝牙音频编解码器（例如 LDAC）。

如果设备实现支持 HFP、A2DP 和 AVRCP，则它们

• 应该支持至少 5 个总连接设备。

如果设备实现声明 android.hardware.vr.high_performance 功能，则它们

• [C-1-1] 必须支持蓝牙 4.2 和蓝牙 LE 数据长度扩展。

Android 包含对 蓝牙和蓝牙低功耗 的支持。

如果设备实现包含对蓝牙和蓝牙低功耗的支持，则它们

• [C-2-1] 必须声明相关的平台功能（分别为 android.hardware.bluetooth 和 android.hardware.bluetooth_le）并实现平台 API。
• 应该根据设备实现相关的蓝牙配置文件，例如 A2DP、AVRCP、OBEX、HFP 等。

如果设备实现包含对蓝牙低功耗 (BLE) 的支持，则它们

• [C-3-1] 必须声明硬件功能 android.hardware.bluetooth_le。
• [C-3-2] 必须启用基于 GATT（通用属性配置文件）的蓝牙 API，如 SDK 文档和 android.bluetooth 中所述。
• [C-3-3] 必须报告 BluetoothAdapter.isOffloadedFilteringSupported() 的正确值，以指示是否实现了 ScanFilter API 类的过滤逻辑。
• [C-3-4] 必须报告 BluetoothAdapter.isMultipleAdvertisementSupported() 的正确值，以指示是否支持低功耗广告。
• [C-3-5] 必须实现可解析私有地址 (RPA) 超时，超时时间不得超过 15 分钟，并在超时时轮换地址，以在设备主动使用 BLE 进行扫描或广告时保护用户隐私。为防止定时攻击，超时间隔还必须在 5 到 15 分钟之间随机化。
• 在实现 ScanFilter API 时，应该支持将过滤逻辑卸载到蓝牙芯片组。
• 应该支持将批量扫描卸载到蓝牙芯片组。
• 应该支持至少 4 个插槽的多重广告。

如果设备实现支持蓝牙 LE 并使用蓝牙 LE 进行位置扫描，则它们

• [C-4-1] 必须提供用户操作来启用/禁用通过系统 API BluetoothAdapter.isBleScanAlwaysAvailable() 读取的值。

如果设备实现包含对蓝牙 LE 和助听器配置文件的支持，如 使用蓝牙 LE 的助听器音频支持 中所述，则它们

• [C-5-1] 对于 BluetoothAdapter.getProfileProxy(context, listener, BluetoothProfile.HEARING_AID)，必须返回 true。

7.4.4. 近场通信

设备实现

• 应该包含用于近场通信 (NFC) 的收发器和相关硬件。
• [C-0-1] 即使设备实现不包含对 NFC 的支持或未声明 android.hardware.nfc 功能，也必须实现 android.nfc.NdefMessage 和 android.nfc.NdefRecord API，因为这些类表示与协议无关的数据表示格式。

如果设备实现包含 NFC 硬件并计划将其提供给第三方应用，则它们

• [C-1-1] 必须从 android.content.pm.PackageManager.hasSystemFeature() 方法报告 android.hardware.nfc 功能。
• 必须能够通过以下 NFC 标准读取和写入 NDEF 消息，如下所示：
• [C-1-2] 必须能够通过以下 NFC 标准充当 NFC Forum 读取器/写入器（由 NFC Forum 技术规范 NFCForum-TS-DigitalProtocol-1.0 定义）：
  • NfcA (ISO14443-3A)
  • NfcB (ISO14443-3B)
  • NfcF (JIS X 6319-4)
  • IsoDep (ISO 14443-4)
  • NFC Forum 标签类型 1、2、3、4、5（由 NFC Forum 定义）

• [SR] 强烈建议能够通过以下 NFC 标准读取和写入 NDEF 消息以及原始数据。请注意，虽然 NFC 标准被声明为“强烈建议”，但计划在未来版本的兼容性定义中将其更改为“必须”。这些标准在本版本中是可选的，但在未来版本中将是必需的。强烈鼓励运行此 Android 版本的现有设备和新设备现在就满足这些要求，以便它们能够升级到未来的平台版本。

• [C-1-13] 必须在 NFC 发现模式下轮询所有受支持的技术。

• 当设备唤醒且屏幕处于活动状态且锁屏已解锁时，应该处于 NFC 发现模式。
• 应该能够读取 Thinfilm NFC 条形码 产品的条形码和 URL（如果已编码）。

请注意，上面引用的 JIS、ISO 和 NFC Forum 规范没有公开可用的链接。

Android 包含对 NFC 主机卡模拟 (HCE) 模式的支持。

如果设备实现包含能够进行 HCE（用于 NfcA 和/或 NfcB）的 NFC 控制器芯片组并支持应用程序 ID (AID) 路由，则它们

• [C-2-1] 必须报告 android.hardware.nfc.hce 功能常量。
• [C-2-2] 必须支持 Android SDK 中定义的 NFC HCE API。

如果设备实现包含能够进行 NfcF 的 HCE 的 NFC 控制器芯片组，并为第三方应用程序实现该功能，则它们

• [C-3-1] 必须报告 android.hardware.nfc.hcef 功能常量。
• [C-3-2] 必须实现 Android SDK 中定义的 NfcF 卡模拟 API。

如果设备实现包含本节中描述的通用 NFC 支持，并在读取器/写入器角色中支持 MIFARE 技术（MIFARE Classic、MIFARE Ultralight、MIFARE Classic 上的 NDEF），则它们

• [C-4-1] 必须实现 Android SDK 文档中记录的相应 Android API。
• [C-4-2] 必须从 android.content.pm.PackageManager.hasSystemFeature() 方法报告功能 com.nxp.mifare。请注意，这不是标准的 Android 功能，因此不会作为常量出现在 android.content.pm.PackageManager 类中。

7.4.5. 网络协议和 API

7.4.5.1. 最低网络能力

设备实现

• [C-0-1] 必须包含对一种或多种形式的数据网络的支持。具体来说，设备实现必须包含对至少一种数据标准的支持，该标准能够达到 200 Kbit/秒或更高。满足此要求的技术示例包括 EDGE、HSPA、EV-DO、802.11g、以太网和蓝牙 PAN。
• 当物理网络标准（例如以太网）是主要数据连接时，还应该包含对至少一种常见的无线数据标准（例如 802.11 (Wi-Fi)）的支持。
• 可以实现多种形式的数据连接。

7.4.5.2. IPv6

设备实现

• [C-0-2] 必须包含 IPv6 网络堆栈，并支持使用托管 API（例如 java.net.Socket 和 java.net.URLConnection）以及本机 API（例如 AF_INET6 套接字）进行 IPv6 通信。
• [C-0-3] 必须默认启用 IPv6。
• 必须确保 IPv6 通信与 IPv4 一样可靠，例如
  • [C-0-4] 必须在 Doze 模式下保持 IPv6 连接。
  • [C-0-5] 速率限制不得导致设备在任何使用 RA 生存期至少为 180 秒的符合 IPv6 标准的网络上丢失 IPv6 连接。
• [C-0-6] 当连接到 IPv6 网络时，必须为第三方应用程序提供与网络的直接 IPv6 连接，而设备本地不发生任何形式的地址或端口转换。托管 API（例如 Socket#getLocalAddress 或 Socket#getLocalPort) 和 NDK API（例如 getsockname() 或 IPV6_PKTINFO）都必须返回实际用于在网络上发送和接收数据包的 IP 地址和端口，并且该地址和端口对互联网（Web）服务器可见为源 IP 和端口。

所需的 IPv6 支持级别取决于网络类型，如下列要求所示。

如果设备实现支持 Wi-Fi，则它们

• [C-1-1] 必须支持 Wi-Fi 上的双堆栈和仅 IPv6 操作。

如果设备实现支持以太网，则它们

• [C-2-1] 必须支持以太网上的双堆栈和仅 IPv6 操作。

如果设备实现支持蜂窝数据，则它们

• [C-3-1] 必须支持蜂窝网络上的 IPv6 操作（仅 IPv6 以及可能的双堆栈）。

如果设备实现支持多种网络类型（例如 Wi-Fi 和蜂窝数据），则它们

• [C-4-1] 当设备同时连接到多种网络类型时，必须同时满足每种网络类型的上述要求。

7.4.5.3. Captive Portals

Captive portal 指的是需要登录才能获得互联网访问权限的网络。

如果设备实现提供 android.webkit.Webview API 的完整实现，则它们

• [C-1-1] 必须提供一个 captive portal 应用程序来处理 intent ACTION_CAPTIVE_PORTAL_SIGN_IN，并通过在调用 System API ConnectivityManager#startCaptivePortalApp(Network, Bundle) 时发送该 intent 来显示 captive portal 登录页面。
• [C-1-2] 当设备连接到任何网络类型（包括蜂窝/移动网络、WiFi、以太网或蓝牙）时，必须执行 captive portal 检测并支持通过 captive portal 应用程序登录。
• [C-1-3] 当设备配置为使用私有 DNS 严格模式时，必须支持使用明文 DNS 登录到 captive portal。
• [C-1-4] 必须按照 SDK 文档的规定，对所有非显式与 captive portal 通信的网络流量使用加密 DNS，文档请参考 android.net.LinkProperties.getPrivateDnsServerName 和 android.net.LinkProperties.isPrivateDnsActive。
• [C-1-5] 必须确保在用户登录 captive portal 时，应用程序使用的默认网络（由 ConnectivityManager.getActiveNetwork、ConnectivityManager.registerDefaultNetworkCallback 返回，并由 Java 网络 API（如 java.net.Socket）和原生 API（如 connect()）默认使用）是任何其他可用的、提供互联网访问的网络（如果可用）。

7.4.6. 同步设置

设备实现

• [C-0-1] 必须默认启用主自动同步设置，以便方法 getMasterSyncAutomatically() 返回 “true”。

7.4.7. 流量节省程序

如果设备实现包含按流量计费的连接，则

• [SR] 强烈建议提供流量节省模式。

如果设备实现提供流量节省模式，则

• [C-1-1] 必须支持 ConnectivityManager 类中的所有 API，如 SDK 文档中所述

如果设备实现不提供省电模式，则它们

• [C-2-1] 必须为 ConnectivityManager.getRestrictBackgroundStatus() 返回值 RESTRICT_BACKGROUND_STATUS_DISABLED
• [C-2-2] 不得广播 ConnectivityManager.ACTION_RESTRICT_BACKGROUND_CHANGED。

7.4.8. 安全元件

如果设备实现支持 Open Mobile API 兼容的安全元件，并向第三方应用开放，则

• [C-1-1] 必须通过 android.se.omapi.SEService.getReaders() API 枚举可用的安全元件读取器。

• [C-1-2] 必须通过 android.hardware.se.omapi.uicc 为具有基于 UICC 的安全元件的设备、通过 android.hardware.se.omapi.ese 为具有基于 eSE 的安全元件的设备以及通过 android.hardware.se.omapi.sd 为具有基于 SD 的安全元件的设备声明正确的功能标记。

7.5. 相机

如果设备实现包含至少一个相机，则

• [C-1-1] 必须声明 android.hardware.camera.any 功能标记。
• [C-1-2] 必须允许应用程序同时分配 3 个 RGBA_8888 位图，其大小等于设备上最大分辨率相机传感器生成的图像大小，同时相机为基本预览和静态图像拍摄而打开。
• [C-1-3] 必须确保预装的默认相机应用程序处理 intent MediaStore.ACTION_IMAGE_CAPTURE、MediaStore.ACTION_IMAGE_CAPTURE_SECURE 或 MediaStore.ACTION_VIDEO_CAPTURE 时，在将图像元数据发送到接收应用程序之前，删除用户位置信息，当接收应用程序没有 ACCESS_FINE_LOCATION 权限时。

7.5.1. 后置摄像头

后置摄像头是位于设备显示屏背面一侧的摄像头；也就是说，它像传统相机一样拍摄设备远侧的场景。

设备实现

• 应该包含后置摄像头。

如果设备实现包含至少一个后置摄像头，则

• [C-1-1] 必须报告功能标记 android.hardware.camera 和 android.hardware.camera.any。
• [C-1-2] 必须具有至少 200 万像素的分辨率。
• 应该在相机驱动程序中实现硬件自动对焦或软件自动对焦（对应用程序软件透明）。
• 可能具有固定对焦或 EDOF（扩展景深）硬件。
• 可能包含闪光灯。

如果相机包含闪光灯

• [C-2-1] 除非应用程序通过启用 Camera.Parameters 对象的 FLASH_MODE_AUTO 或 FLASH_MODE_ON 属性显式启用了闪光灯，否则当 android.hardware.Camera.PreviewCallback 实例已在相机预览表面上注册时，闪光灯灯泡不得亮起。请注意，此约束不适用于设备的内置系统相机应用程序，而仅适用于使用 Camera.PreviewCallback 的第三方应用程序。

7.5.2. 前置摄像头

前置摄像头是位于设备显示屏同侧的摄像头；也就是说，通常用于拍摄用户图像的摄像头，例如用于视频会议和类似应用程序。

设备实现

• 可能包含前置摄像头。

如果设备实现包含至少一个前置摄像头，则

• [C-1-1] 必须报告功能标记 android.hardware.camera.any 和 android.hardware.camera.front。
• [C-1-2] 必须具有至少 VGA (640x480 像素) 的分辨率。
• [C-1-3] 不得将前置摄像头用作 Camera API 的默认摄像头，并且不得将 API 配置为将前置摄像头视为默认后置摄像头，即使它是设备上唯一的摄像头。
• [C-1-4] 当当前应用程序已通过调用 android.hardware.Camera.setDisplayOrientation() 方法显式请求旋转相机显示时，相机预览必须相对于应用程序指定的方向水平镜像。相反，当当前应用程序未通过调用 android.hardware.Camera.setDisplayOrientation() 方法显式请求旋转相机显示时，预览必须沿设备的默认水平轴镜像。
• [C-1-5] 不得镜像返回到应用程序回调或提交到媒体存储的最终捕获的静态图像或视频流。
• [C-1-6] 必须以与相机预览图像流相同的方式镜像后视图显示的图像。
• 可能包含后置摄像头可用的功能（例如自动对焦、闪光灯等），如 7.5.1 节中所述。

如果设备实现能够由用户旋转（例如通过加速度计自动旋转或通过用户输入手动旋转）

• [C-2-1] 相机预览必须相对于设备的当前方向水平镜像。

7.5.3. 外部相机

设备实现

• 可能包含对不一定始终连接的外部相机的支持。

如果设备实现包含对外部相机的支持，则

• [C-1-1] 必须声明平台功能标记 android.hardware.camera.external 和 android.hardware camera.any。
• [C-1-2] 如果外部相机通过 USB 主机端口连接，则必须支持 USB 视频类 (UVC 1.0 或更高版本)。
• [C-1-3] 必须通过连接物理外部相机设备的相机 CTS 测试。相机 CTS 测试的详细信息可在 source.android.com 上找到。
• 应该支持视频压缩，例如 MJPEG，以实现高质量未编码流（即原始或独立压缩的图片流）的传输。
• 可能支持多个相机。
• 可能支持基于相机的视频编码。

如果支持基于相机的视频编码

• [C-2-1] 设备实现必须能够访问同步的未编码/MJPEG 流（QVGA 或更高分辨率）。

7.5.4. 相机 API 行为

Android 包括两个 API 包来访问相机，较新的 android.hardware.camera2 API 向应用程序公开较低级别的相机控制，包括高效的零拷贝突发/流式传输流程以及每个帧的曝光、增益、白平衡增益、色彩转换、降噪、锐化等控制。

较旧的 API 包 android.hardware.Camera 在 Android 5.0 中被标记为已弃用，但它仍然应该可供应用程序使用。Android 设备实现必须确保继续支持此 API，如本节和 Android SDK 中所述。

在已弃用的 android.hardware.Camera 类和较新的 android.hardware.camera2 包之间通用的所有功能，必须在两个 API 中具有同等的性能和质量。例如，在等效设置下，自动对焦速度和精度必须相同，并且捕获的图像质量必须相同。依赖于两个 API 不同语义的功能不需要具有匹配的速度或质量，但应该尽可能接近。

设备实现必须为所有可用的相机实现以下与相机相关的 API 行为。设备实现

• [C-0-1] 当应用程序从未调用 android.hardware.Camera.Parameters.setPreviewFormat(int) 时，必须对提供给应用程序回调的预览数据使用 android.hardware.PixelFormat.YCbCr_420_SP。
• [C-0-2] 当应用程序注册 android.hardware.Camera.PreviewCallback 实例并且系统调用 onPreviewFrame() 方法且预览格式为 YCbCr_420_SP 时，onPreviewFrame() 中传递的 byte[] 中的数据必须进一步采用 NV21 编码格式。也就是说，NV21 必须是默认格式。
• [C-0-3] 必须支持 YV12 格式（由 android.graphics.ImageFormat.YV12 常量表示）用于 android.hardware.Camera 的前置和后置摄像头的相机预览。（硬件视频编码器和相机可以使用任何原生像素格式，但设备实现必须支持转换为 YV12。）
• [C-0-4] 对于广告 REQUEST_AVAILABLE_CAPABILITIES_BACKWARD_COMPATIBLE 功能在 android.request.availableCapabilities 中的 android.hardware.camera2 设备，必须支持 android.hardware.ImageFormat.YUV_420_888 和 android.hardware.ImageFormat.JPEG 格式作为通过 android.media.ImageReader API 的输出。
• [C-0-5] 必须仍然实现 Android SDK 文档中包含的完整 Camera API，无论设备是否包含硬件自动对焦或其他功能。例如，缺少自动对焦功能的相机仍必须调用任何注册的 android.hardware.Camera.AutoFocusCallback 实例（即使这与非自动对焦相机无关）。请注意，这确实适用于前置摄像头；例如，即使大多数前置摄像头不支持自动对焦，API 回调也必须如所述进行“伪造”。
• [C-0-6] 必须识别并遵守在 android.hardware.Camera.Parameters 类和 android.hardware.camera2.CaptureRequest 类中定义为常量的每个参数名称。相反，设备实现不得遵守或识别传递给 android.hardware.Camera.setParameters() 方法的字符串常量，但那些记录为 android.hardware.Camera.Parameters 上的常量除外。也就是说，如果硬件允许，设备实现必须支持所有标准相机参数，并且不得支持自定义相机参数类型。例如，支持使用高动态范围 (HDR) 成像技术进行图像捕获的设备实现必须支持相机参数 Camera.SCENE_MODE_HDR。
• [C-0-7] 必须使用 android.info.supportedHardwareLevel 属性报告适当的支持级别，如 Android SDK 中所述，并报告相应的 框架功能标记。
• [C-0-8] 还必须通过 android.request.availableCapabilities 属性声明其 android.hardware.camera2 的各个相机功能，并声明相应的 功能标记；如果其任何连接的相机设备支持该功能，则必须定义该功能标记。
• [C-0-9] 每当相机拍摄新照片并且照片条目已添加到媒体存储时，必须广播 Camera.ACTION_NEW_PICTURE intent。
• [C-0-10] 每当相机录制新视频并且视频条目已添加到媒体存储时，必须广播 Camera.ACTION_NEW_VIDEO intent。
• [C-0-11] 必须使所有可通过已弃用的 android.hardware.Camera API 访问的相机也可通过 android.hardware.camera2 API 访问。
• [C-0-12] 必须确保面部外观不被改变，包括但不限于为任何 android.hardware.camera2 或 android.hardware.Camera API 更改面部几何形状、面部肤色或面部皮肤平滑度。
• [C-SR] 对于具有多个朝向同一方向的 RGB 相机的设备，强烈建议支持逻辑相机设备，该设备列出功能 CameraMetadata.REQUEST_AVAILABLE_CAPABILITIES_LOGICAL_MULTI_CAMERA，其中包含朝向该方向的所有 RGB 相机作为物理子设备。

如果设备实现为第三方应用程序提供专有的相机 API，则

• [C-1-1] 必须使用 android.hardware.camera2 API 实现此类相机 API。
• 可以为 android.hardware.camera2 API 提供供应商标签和/或扩展。

7.5.5. 相机方向

如果设备实现具有前置或后置摄像头，则此类相机

• [C-1-1] 必须定向，使相机的长尺寸与屏幕的长尺寸对齐。也就是说，当设备以横向方向握持时，相机必须以横向方向捕获图像。这适用于设备的自然方向，即适用于横向主设备以及纵向主设备。

7.6. 内存和存储

7.6.1. 最低内存和存储

设备实现

• [C-0-1] 必须包含一个 下载管理器，应用程序可以使用它来下载数据文件，并且它们必须能够将至少 100MB 大小的单个文件下载到默认“缓存”位置。

7.6.2. 应用程序共享存储

设备实现

• [C-0-1] 必须提供存储以供应用程序共享，通常也称为“共享外部存储”、“应用程序共享存储”或 Linux 路径 "/sdcard"（其挂载在该路径上）。
• [C-0-2] 必须配置为默认挂载共享存储，换句话说，即“开箱即用”，无论存储是在内部存储组件还是可移动存储介质（例如安全数字卡插槽）上实现的。
• [C-0-3] 必须将应用程序共享存储直接挂载到 Linux 路径 sdcard 上，或包含从 sdcard 到实际挂载点的 Linux 符号链接。
• [C-0-4] 必须默认对所有以 API 级别 29 或更高版本为目标的应用程序启用 分区存储，但在以下情况下除外
  • 当应用程序在其清单中请求 android:requestLegacyExternalStorage="true" 时。
• [C-0-5] 通过 MediaStore 访问媒体文件时，必须编辑存储在媒体文件中的位置元数据（例如 GPS Exif 标签），除非调用应用程序持有 ACCESS_MEDIA_LOCATION 权限。

设备实现可以使用以下任一方式满足上述要求

• 用户可访问的可移动存储，例如安全数字 (SD) 卡插槽。
• 作为 Android 开源项目 (AOSP) 实现的内部（不可移动）存储的一部分。

如果设备实现使用可移动存储来满足上述要求，则

• [C-1-1] 当插槽中未插入存储介质时，必须实现 toast 或弹出窗口用户界面警告用户。
• [C-1-2] 必须包含 FAT 格式的存储介质（例如 SD 卡），或在包装盒和购买时可用的其他材料上显示存储介质必须单独购买。

如果设备实现使用不可移动存储的一部分来满足上述要求，则

• 应该使用内部应用程序共享存储的 AOSP 实现。
• 可以将存储空间与应用程序私有数据共享。

如果设备实现具有带 USB 外围模式支持的 USB 端口，则

• [C-3-1] 必须提供一种机制，允许从主机计算机访问应用程序共享存储上的数据。
• 应该通过 Android 的媒体扫描程序服务和 android.provider.MediaStore 透明地公开来自两个存储路径的内容。
• 可以使用 USB 大容量存储，但应该使用媒体传输协议来满足此要求。

如果设备实现具有带 USB 外围模式并支持媒体传输协议的 USB 端口，则

• 应该与参考 Android MTP 主机 Android File Transfer 兼容。
• 应该报告 USB 设备类 0x00。
• 应该报告 USB 接口名称 'MTP'。

7.6.3. 可采纳的存储

如果设备预计具有移动性质（不同于电视），则设备实现

• [SR] 强烈建议在长期稳定的位置实现可采纳的存储，因为意外断开连接可能会导致数据丢失/损坏。

如果可移动存储设备端口位于长期稳定的位置，例如在电池仓或其他保护盖内，则设备实现

• [SR] 强烈建议实现 可采纳的存储。

7.7. USB

如果设备实现具有 USB 端口，则

• 应该支持 USB 外围模式，并且应该支持 USB 主机模式。

7.7.1. USB 外围模式

如果设备实现包含支持外围模式的 USB 端口

• [C-1-1] 该端口必须可连接到具有标准 A 型或 C 型 USB 端口的 USB 主机。
• [C-1-2] 必须通过 android.os.Build.SERIAL 报告 USB 标准设备描述符中 iSerialNumber 的正确值。
• [C-1-3] 如果支持 C 型 USB，则必须根据 C 型电阻标准检测 1.5A 和 3.0A 充电器，并且必须检测广告中的更改。
• [SR] 该端口应该使用 micro-B、micro-AB 或 C 型 USB 外形尺寸。强烈建议现有和新的 Android 设备满足这些要求，以便它们能够升级到未来的平台版本。
• [SR] 该端口应该位于设备的底部（根据自然方向），或者为所有应用程序（包括主屏幕）启用软件屏幕旋转，以便当设备以端口在底部方向定向时，显示屏可以正确绘制。强烈建议现有和新的 Android 设备满足这些要求，以便它们能够升级到未来的平台版本。
• [SR] 应该实现支持在 HS 啁啾和流量期间汲取 1.5 A 电流，如 USB 电池充电规范，修订版 1.2 中所述。强烈建议现有和新的 Android 设备满足这些要求，以便它们能够升级到未来的平台版本。
• [SR] 强烈建议不支持超出默认级别的修改 Vbus 电压的专有充电方法，或更改接收器/源角色，因为这可能会导致与支持标准 USB Power Delivery 方法的充电器或设备互操作性问题。虽然这被称为“强烈建议”，但在未来的 Android 版本中，我们可能会要求所有 C 型设备支持与标准 C 型充电器的完全互操作性。
• [SR] 强烈建议当支持 C 型 USB 和 USB 主机模式时，支持 Power Delivery 进行数据和电源角色交换。
• 应该支持 Power Delivery 进行高压充电，并支持 Alternate Modes，例如显示输出。
• 应该实现 Android Open Accessory (AOA) API 和规范，如 Android SDK 文档中所述。

如果设备实现包含 USB 端口并实现 AOA 规范，则

• [C-2-1] 必须声明对硬件功能 android.hardware.usb.accessory 的支持。
• [C-2-2] USB 大容量存储类必须在 USB 大容量存储的接口描述 iInterface 字符串末尾包含字符串 "android"

7.7.2. USB 主机模式

如果设备实现包含支持主机模式的 USB 端口，则

• [C-1-1] 必须实现 Android USB 主机 API，如 Android SDK 中所述，并且必须声明对硬件功能 android.hardware.usb.host 的支持。
• [C-1-2] 必须实现支持连接标准 USB 外围设备，换句话说，它们必须
  • 具有设备上 C 型端口或随附电缆，将设备上专有端口适配为标准 C 型 USB 端口（USB C 型设备）。
  • 具有设备上 A 型端口或随附电缆，将设备上专有端口适配为标准 A 型 USB 端口。
  • 具有设备上 micro-AB 端口，应该随附电缆，适配为标准 A 型端口。
• [C-1-3] 不得随附从 USB A 型或 micro-AB 端口转换为 C 型端口（插座）的适配器。
• [C-SR] 强烈建议实现 USB 音频类，如 Android SDK 文档中所述。
• 应该支持在主机模式下为连接的 USB 外围设备充电；对于 USB C 型连接器，广告至少 1.5A 的源电流，如 USB C 型电缆和连接器规范修订版 1.2 的 Termination Parameters 章节中所述，或对于 Micro-AB 连接器，使用 USB 电池充电规范，修订版 1.2 中指定的 Charging Downstream Port (CDP) 输出电流范围。
• 应该实现并支持 USB C 型标准。

如果设备实现包含支持主机模式和 USB 音频类的 USB 端口，则

• [C-2-1] 必须支持 USB HID 类。
• [C-2-2] 必须支持检测和映射以下 HID 数据字段，这些字段在 USB HID Usage Tables 和 Voice Command Usage Request 中指定，映射到 KeyEvent 常量，如下所示
  • Usage Page (0xC) Usage ID (0x0CD): KEYCODE_MEDIA_PLAY_PAUSE
  • Usage Page (0xC) Usage ID (0x0E9): KEYCODE_VOLUME_UP
  • Usage Page (0xC) Usage ID (0x0EA): KEYCODE_VOLUME_DOWN
  • Usage Page (0xC) Usage ID (0x0CF): KEYCODE_VOICE_ASSIST

如果设备实现包含支持主机模式和存储访问框架 (SAF) 的 USB 端口，则

• [C-3-1] 必须识别任何远程连接的 MTP（媒体传输协议）设备，并使其内容可通过 ACTION_GET_CONTENT、ACTION_OPEN_DOCUMENT 和 ACTION_CREATE_DOCUMENT intent 访问。

如果设备实现包含支持主机模式和 USB C 型的 USB 端口，则

• [C-4-1] 必须实现 USB C 型规范（第 4.5.1.3.3 节）定义的双重角色端口功能。
• [SR] 强烈建议支持 DisplayPort，应该支持 USB 超高速数据速率，并且强烈建议支持 Power Delivery 进行数据和电源角色交换。
• [SR] 强烈建议不支持 USB C 型电缆和连接器规范修订版 1.2 附录 A 中描述的音频适配器配件模式。
• 应该实现最适合设备外形尺寸的 Try.* 模型。例如，手持设备应该实现 Try.SNK 模型。

7.8. 音频

7.8.1. 麦克风

如果设备实现包含麦克风，则

• [C-1-1] 必须报告 android.hardware.microphone 功能常量。
• [C-1-2] 必须满足 5.4 节中的音频录制要求。
• [C-1-3] 必须满足 5.6 节中的音频延迟要求。
• [SR] 强烈建议支持近超声录制，如 7.8.3 节中所述。

如果设备实现省略了麦克风，则

• [C-2-1] 不得报告 android.hardware.microphone 功能常量。
• [C-2-2] 必须至少将音频录制 API 实现为空操作，根据 第 7 节。

7.8.2. 音频输出

如果设备实现包含扬声器或音频/多媒体输出端口，用于音频输出外围设备，例如 4 导体 3.5 毫米音频插孔或使用 USB 音频类的 USB 主机模式端口，则

• [C-1-1] 必须报告 android.hardware.audio.output 功能常量。
• [C-1-2] 必须满足 5.5 节中的音频播放要求。
• [C-1-3] 必须满足 5.6 节中的音频延迟要求。
• [SR] 强烈建议支持近超声播放，如 7.8.3 节中所述。

如果设备实现不包含扬声器或音频输出端口，则

• [C-2-1] 不得报告 android.hardware.audio.output 功能。
• [C-2-2] 必须至少将音频输出相关 API 实现为空操作。

就本节而言，“输出端口”是指 物理接口，例如 3.5 毫米音频插孔、HDMI 或具有 USB 音频类的 USB 主机模式端口。通过基于无线电的协议（例如蓝牙、WiFi 或蜂窝网络）进行音频输出的支持不符合包含“输出端口”的条件。

7.8.2.1. 模拟音频端口

为了与整个 Android 生态系统中使用 3.5 毫米音频插头的 耳机和其他音频配件 兼容，如果设备实现包含一个或多个模拟音频端口，则

• [C-SR] 强烈建议至少包含一个音频端口为 4 导体 3.5 毫米音频插孔。

如果设备实现具有 4 导体 3.5 毫米音频插孔，则

• [C-1-1] 必须支持音频播放到立体声耳机和带麦克风的立体声耳机。
• [C-1-2] 必须支持具有 CTIA 引脚排列顺序的 TRRS 音频插头。
• [C-1-3] 必须支持检测和映射到以下 3 个阻抗范围（麦克风和音频插头上的接地导体之间）的键代码
  • 70 欧姆或更小: KEYCODE_HEADSETHOOK
  • 210-290 欧姆: KEYCODE_VOLUME_UP
  • 360-680 欧姆: KEYCODE_VOLUME_DOWN
• [C-1-4] 必须在插入插头时触发 ACTION_HEADSET_PLUG，但仅在插头上的所有触点都接触到插孔上的相关部分之后。
• [C-1-5] 必须能够在 32 欧姆扬声器阻抗上驱动至少 150mV ± 10% 的输出电压。
• [C-1-6] 必须具有介于 1.8V ~ 2.9V 之间的麦克风偏置电压。
• [C-1-7] 必须检测和映射到以下阻抗范围（麦克风和音频插头上的接地导体之间）的键代码
  • 110-180 欧姆: KEYCODE_VOICE_ASSIST
• [C-SR] 强烈建议支持具有 OMTP 引脚排列顺序的音频插头。
• [C-SR] 强烈建议支持从带麦克风的立体声耳机进行音频录制。

如果设备实现具有 4 导体 3.5 毫米音频插孔并支持麦克风，并且广播 android.intent.action.HEADSET_PLUG，且 extra 值 microphone 设置为 1，则

• [C-2-1] 必须支持检测插入的音频配件上的麦克风。

7.8.2.2. 数字音频端口

为了与整个 Android 生态系统中使用 USB-C 连接器并实现（USB 音频类）的耳机和其他音频配件兼容，如 Android USB 耳机规范中所定义。

有关设备特定要求，请参阅 2.2.1 节。

7.8.3. 近超声

近超声音频是 18.5 kHz 到 20 kHz 频带。

设备实现

• 必须通过 AudioManager.getProperty API 正确报告对近超声音频功能的支持，如下所示

如果 PROPERTY_SUPPORT_MIC_NEAR_ULTRASOUND 为 “true”，则 VOICE_RECOGNITION 和 UNPROCESSED 音频源必须满足以下要求

• [C-1-1] 麦克风在 18.5 kHz 到 20 kHz 频带内的平均功率响应必须不低于 2 kHz 响应低 15 dB 以上。
• [C-1-2] 对于 -26 dBFS 下的 19 kHz 音调，麦克风在 18.5 kHz 到 20 kHz 范围内的非加权信噪比必须不低于 50 dB。

如果 PROPERTY_SUPPORT_SPEAKER_NEAR_ULTRASOUND 为 “true”

• [C-2-1] 扬声器在 18.5 kHz - 20 kHz 范围内的平均响应必须不低于 2 kHz 响应低 40 dB 以上。

7.8.4. 信号完整性

设备实现：* 应该为手持设备上的输入和输出流提供无故障音频信号路径，如每个路径一分钟的测试期间测得的零故障所定义。使用 [OboeTester] (https://github.com/google/oboe/tree/master/apps/OboeTester) “Automated Glitch Test” 进行测试。

该测试需要一个 音频环回适配器，直接在 3.5 毫米插孔中使用，和/或与 USB-C 到 3.5 毫米适配器结合使用。所有音频输出端口都应该进行测试。

OboeTester 目前支持 AAudio 路径，因此应该使用 AAudio 测试以下组合是否存在故障

可靠的流应该满足以下 2000 Hz 正弦波的信噪比 (SNR) 和总谐波失真 (THD) 标准。

7.9. 虚拟现实

Android 包括用于构建“虚拟现实”(VR) 应用程序的 API 和设施，包括高质量的移动 VR 体验。设备实现必须正确实现这些 API 和行为，如本节详细介绍。

7.9.1. 虚拟现实模式

Android 包括对 VR 模式 的支持，VR 模式是一项功能，可在 VR 应用程序具有用户焦点时处理通知的立体渲染并禁用单眼系统 UI 组件。

7.9.2. 虚拟现实模式 - 高性能

如果设备实现支持 VR 模式，则

• [C-1-1] 必须至少有 2 个物理核心。
• [C-1-2] 必须声明 android.hardware.vr.high_performance 功能。
• [C-1-3] 必须支持持续性能模式。
• [C-1-4] 强烈建议支持 OpenGL ES 3.2。
• [C-1-5] 必须支持 android.hardware.vulkan.level 0。
• 应支持 android.hardware.vulkan.level 1 或更高版本。
• [C-1-6] 必须实现 EGL_KHR_mutable_render_buffer、EGL_ANDROID_front_buffer_auto_refresh、EGL_ANDROID_get_native_client_buffer、EGL_KHR_fence_sync、EGL_KHR_wait_sync、EGL_IMG_context_priority、EGL_EXT_protected_content、EGL_EXT_image_gl_colorspace，并在可用的 EGL 扩展列表中公开这些扩展。
• [C-1-8] 必须实现 GL_EXT_multisampled_render_to_texture2、GL_OVR_multiview、GL_OVR_multiview2、GL_EXT_protected_textures，并在可用的 GL 扩展列表中公开这些扩展。
• [C-SR] 强烈建议实现 GL_EXT_external_buffer、GL_EXT_EGL_image_array、GL_OVR_multiview_multisampled_render_to_texture，并在可用的 GL 扩展列表中公开这些扩展。
• [C-SR] 强烈建议支持 Vulkan 1.1。
• [C-SR] 强烈建议实现 VK_ANDROID_external_memory_android_hardware_buffer、VK_GOOGLE_display_timing、VK_KHR_shared_presentable_image，并在可用的 Vulkan 扩展列表中公开这些扩展。
• [C-SR] 强烈建议公开至少一个 Vulkan 队列族，其中 flags 同时包含 VK_QUEUE_GRAPHICS_BIT 和 VK_QUEUE_COMPUTE_BIT，并且 queueCount 至少为 2。
• [C-1-7] GPU 和显示屏必须能够同步对共享前缓冲区的访问，以便在两个渲染上下文中以 60fps 交替眼睛渲染 VR 内容时，不会出现可见的撕裂伪影。
• [C-1-9] 必须实现对 AHardwareBuffer 标志 AHARDWAREBUFFER_USAGE_GPU_DATA_BUFFER、AHARDWAREBUFFER_USAGE_SENSOR_DIRECT_DATA 和 AHARDWAREBUFFER_USAGE_PROTECTED_CONTENT 的支持，如 NDK 中所述。
• [C-1-10] 必须实现对具有以下用法标志任意组合的 AHardwareBuffer 的支持：AHARDWAREBUFFER_USAGE_GPU_COLOR_OUTPUT、AHARDWAREBUFFER_USAGE_GPU_SAMPLED_IMAGE、AHARDWAREBUFFER_USAGE_PROTECTED_CONTENT，至少对于以下格式：AHARDWAREBUFFER_FORMAT_R5G6B5_UNORM、AHARDWAREBUFFER_FORMAT_R8G8B8A8_UNORM、AHARDWAREBUFFER_FORMAT_R10G10B10A2_UNORM、AHARDWAREBUFFER_FORMAT_R16G16B16A16_FLOAT。
• [C-SR] 强烈建议支持分配具有多个图层以及 C-1-10 中指定的标志和格式的 AHardwareBuffer。
• [C-1-11] 必须支持 H.264 解码，至少 3840 x 2160，30fps，压缩到平均 40Mbps（相当于 4 个 1920 x1080，30 fps-10 Mbps 或 2 个 1920 x 1080，60 fps-20 Mbps）。
• [C-1-12] 必须支持 HEVC 和 VP9，必须能够解码至少 1920 x 1080，30 fps，压缩到平均 10 Mbps，并且应能够解码 3840 x 2160，30 fps-20 Mbps（相当于 4 个 1920 x 1080，30 fps-5 Mbps）。
• [C-1-13] 必须支持 HardwarePropertiesManager.getDeviceTemperatures API，并返回准确的皮肤温度值。
• [C-1-14] 必须具有嵌入式屏幕，并且其分辨率必须至少为 1920 x 1080。
• [C-SR] 强烈建议显示分辨率至少为 2560 x 1440。
• [C-1-15] 显示屏在 VR 模式下必须至少以 60 Hz 的频率更新。
• [C-1-17] 显示屏必须支持低余晖模式，余晖 ≤ 5 毫秒，余晖定义为像素发光的时间量。
• [C-1-18] 必须支持蓝牙 4.2 和蓝牙 LE 数据长度扩展 第 7.4.3 节。
• [C-1-19] 必须支持并正确报告所有以下默认传感器类型的 直接通道类型
  • TYPE_ACCELEROMETER
  • TYPE_ACCELEROMETER_UNCALIBRATED
  • TYPE_GYROSCOPE
  • TYPE_GYROSCOPE_UNCALIBRATED
  • TYPE_MAGNETIC_FIELD
  • TYPE_MAGNETIC_FIELD_UNCALIBRATED
• [C-SR] 强烈建议为上面列出的所有直接通道类型支持 TYPE_HARDWARE_BUFFER 直接通道类型。
• [C-1-21] 必须满足 android.hardware.hifi_sensors 的陀螺仪、加速度计和磁力计相关要求，如 第 7.3.9 节中所述。
• [C-SR] 强烈建议支持 android.hardware.sensor.hifi_sensors 功能。
• [C-1-22] 必须具有不高于 28 毫秒的端到端运动到光子延迟。
• [C-SR] 强烈建议具有不高于 20 毫秒的端到端运动到光子延迟。
• [C-1-23] 必须具有第一帧比率，即从黑到白过渡后的第一帧上像素的亮度与稳态白像素亮度之间的比率，至少为 85%。
• [C-SR] 强烈建议具有至少 90% 的第一帧比率。
• 可以为前台应用程序提供独占核心，并且可以支持 Process.getExclusiveCores API 以返回专用于顶部前台应用程序的 cpu 核心编号。

如果支持独占核心，则该核心

• [C-2-1] 必须不允许任何其他用户空间进程在其上运行（应用程序使用的设备驱动程序除外），但可以允许一些内核进程根据需要运行。

7.10. 触觉反馈

有关设备特定要求，请参阅 2.2.1 节。

7.11. 媒体性能等级

设备实现的媒体性能等级可以从 android.os.Build.VERSION_CODES.MEDIA_PERFORMANCE_CLASS API 获取。媒体性能等级的要求针对从 R（版本 30）开始的每个 Android 版本定义。特殊值 0 表示设备不属于媒体性能等级。

如果设备实现为 android.os.Build.VERSION_CODES.MEDIA_PERFORMANCE_CLASS 返回非零值，则它们

• [C-1-1] 必须至少返回 android.os.Build.VERSION_CODES.R 的值。

• [C-1-2] 必须是手持设备实现。

• [C-1-3] 必须满足 第 2.2.7 节中描述的“媒体性能等级”的所有要求。

有关设备特定要求，请参阅 第 2.2.7 节。

8. 性能和功耗

一些最低性能和功耗标准对于用户体验至关重要，并影响开发人员在开发应用程序时的基线假设。

8.1. 用户体验一致性

如果存在某些最低要求以确保应用程序和游戏的一致帧率和响应时间，则可以为最终用户提供流畅的用户界面。设备实现可以根据设备类型，对用户界面延迟和任务切换具有可测量的要求，如 第 2 节中所述。

8.2. 文件 I/O 访问性能

为应用程序私有数据存储 (/data 分区) 提供一致文件访问性能的通用基线，使应用程序开发人员能够设定适当的期望，这将有助于他们的软件设计。设备实现可以根据设备类型，对以下读写操作具有 第 2 节中描述的某些要求

• 顺序写入性能。通过使用 10MB 写入缓冲区写入 256MB 文件来衡量。
• 随机写入性能。通过使用 4KB 写入缓冲区写入 256MB 文件来衡量。
• 顺序读取性能。通过使用 10MB 读取缓冲区读取 256MB 文件来衡量。
• 随机读取性能。通过使用 4KB 读取缓冲区读取 256MB 文件来衡量。

8.3. 节电模式

如果设备实现包括 AOSP 中包含的用于改进设备电源管理的功能（例如，应用待机存储分区、Doze）或扩展不应用比 稀有应用待机存储分区 更严格限制的功能，则它们

• [C-1-1] 对于应用待机和 Doze 节电模式的触发、维护、唤醒算法和全局系统设置的使用，不得偏离 AOSP 实现。
• [C-1-2] 对于使用全局设置来管理应用待机中每个存储分区中应用的作业、警报和网络的限制，不得偏离 AOSP 实现。
• [C-1-3] 对于用于应用待机的 应用待机存储分区 的数量，不得偏离 AOSP 实现。
• [C-1-4] 必须实现 应用待机存储分区 和 Doze，如 电源管理 中所述。
• [C-1-5] 当设备处于省电模式时，必须为 PowerManager.isPowerSaveMode() 返回 true。
• [C-SR] 强烈建议提供用户界面来启用和禁用省电功能。
• [C-SR] 强烈建议提供用户界面来显示所有免除应用待机和 Doze 节电模式的应用。

如果设备实现扩展了 AOSP 中包含的电源管理功能，并且该扩展应用了比 稀有应用待机存储分区 更严格的限制，请参阅 第 3.5.1 节。

除了省电模式外，Android 设备实现可以实现高级配置和电源接口 (ACPI) 定义的 4 种睡眠电源状态中的任何一种或全部。

如果设备实现实现了 ACPI 定义的 S4 电源状态，则它们

• [C-1-1] 必须仅在用户采取明确操作将设备置于非活动状态之后（例如，通过关闭物理上是设备一部分的盖子或关闭车辆或电视），以及在用户重新激活设备之前（例如，通过打开盖子或重新打开车辆或电视）进入此状态。

如果设备实现实现了 ACPI 定义的 S3 电源状态，则它们

• [C-2-1] 必须满足上面的 C-1-1，或者，必须仅在第三方应用程序不需要系统资源（例如，屏幕、CPU）时才进入 S3 状态。

  相反，当第三方应用程序需要系统资源时，必须退出 S3 状态，如此 SDK 上所述。

  例如，当第三方应用程序请求通过 FLAG_KEEP_SCREEN_ON 保持屏幕开启或通过 PARTIAL_WAKE_LOCK 保持 CPU 运行时，设备不得进入 S3 状态，除非如 C-1-1 中所述，用户已采取明确操作将设备置于非活动状态。相反，当通过 JobScheduler 实现的第三方应用的任务被触发或 Firebase Cloud Messaging 传递到第三方应用时，设备必须退出 S3 状态，除非用户已将设备置于非活动状态。这些不是全面的示例，AOSP 实现了广泛的唤醒信号，这些信号会触发从该状态唤醒。

8.4. 功耗核算

更准确的功耗核算和报告为应用开发人员提供了优化应用程序功耗模式的激励和工具。

设备实现

• [SR] 强烈建议提供每个组件的功耗配置文件，该文件定义每个硬件组件的 电流消耗值 以及组件随时间推移造成的大致电池损耗，如 Android 开源项目站点中所述。
• [SR] 强烈建议以毫安时 (mAh) 为单位报告所有功耗值。
• [SR] 强烈建议报告每个进程 UID 的 CPU 功耗。Android 开源项目通过 uid_cputime 内核模块实现来满足此要求。
• [SR] 强烈建议通过 adb shell dumpsys batterystats shell 命令向应用开发人员提供此功耗使用情况。
• 如果无法将硬件组件功耗归因于应用程序，则应归因于硬件组件本身。

8.5. 一致的性能

对于高性能长时间运行的应用程序，性能可能会大幅波动，这可能是由于在后台运行的其他应用程序或由于温度限制导致的 CPU 节流。Android 包含程序接口，以便当设备有能力时，顶部前台应用程序可以请求系统优化资源分配以解决此类波动。

设备实现

• [C-0-1] 必须通过 PowerManager.isSustainedPerformanceModeSupported() API 方法准确报告对持续性能模式的支持。

• 应支持持续性能模式。

如果设备实现报告支持持续性能模式，则它们

• [C-1-1] 当应用程序请求时，必须为顶部前台应用程序提供至少 30 分钟的一致性能水平。
• [C-1-2] 必须遵守 Window.setSustainedPerformanceMode() API 和其他相关 API。

如果设备实现包括两个或更多 CPU 核心，则它们

• 应提供至少一个可以由顶部前台应用程序保留的独占核心。

如果设备实现支持为顶部前台应用程序保留一个独占核心，则它们

• [C-2-1] 必须通过 Process.getExclusiveCores() API 方法报告可以由顶部前台应用程序保留的独占核心的 ID 编号。
• [C-2-2] 必须不允许除应用程序使用的设备驱动程序之外的任何用户空间进程在独占核心上运行，但可以允许一些内核进程根据需要运行。

如果设备实现不支持独占核心，则它们

• [C-3-1] 必须通过 Process.getExclusiveCores() API 方法返回一个空列表。

9. 安全模型兼容性

设备实现

• [C-0-1] 必须实现与 Android 平台安全模型一致的安全模型，如 Android 开发人员文档中 安全和权限参考文档 中定义的 API。

• [C-0-2] 必须支持安装自签名应用程序，而无需来自任何第三方/机构的任何其他权限/证书。具体而言，兼容设备必须支持以下小节中描述的安全机制。

9.1. 权限

设备实现

• [C-0-1] 必须支持 Android 开发人员文档中定义的 Android 权限模型。具体而言，它们必须强制执行 SDK 文档中描述的每个权限；不得省略、更改或忽略任何权限。

• 可以添加其他权限，前提是新的权限 ID 字符串不在 android.\* 命名空间中。

• [C-0-2] PROTECTION_FLAG_PRIVILEGED 的 protectionLevel 权限必须仅授予系统映像的特权路径中预安装的应用，以及每个应用的显式允许列表权限的子集中。AOSP 实现通过从 etc/permissions/ 路径中的文件中读取和遵守每个应用的允许列表权限，并将 system/priv-app 路径用作特权路径来满足此要求。

危险保护级别的权限是运行时权限。 targetSdkVersion > 22 的应用程序在运行时请求它们。

设备实现

• [C-0-3] 必须显示一个专用界面，供用户决定是否授予请求的运行时权限，并提供一个界面供用户管理运行时权限。
• [C-0-4] 必须具有两个用户界面的一个且仅一个实现。
• [C-0-5] 除非满足以下条件，否则不得向预安装的应用授予任何运行时权限
  • 可以在应用程序使用之前获得用户的同意。
  • 运行时权限与预安装的应用程序设置为默认处理程序的意图模式相关联。
• [C-0-6] 必须仅向注册了正确安全恢复代理的系统应用授予 android.permission.RECOVER_KEYSTORE 权限。正确安全恢复代理定义为与设备外远程存储同步的设备上软件代理，该代理配备了安全硬件，其保护强度等同于或强于 Google Cloud Key Vault Service 中描述的保护强度，以防止对锁屏知识因素的暴力破解攻击。

设备实现

• [C-0-7] 当应用程序通过标准 Android API 或专有机制请求位置或物理活动数据时，必须遵守 Android 位置权限 属性。此类数据包括但不限于

  • 设备的位置（例如，纬度和经度）。
  • 可用于确定或估计设备位置的信息（例如，SSID、BSSID、小区 ID 或设备连接到的网络的位置）。
  • 用户的物理活动或物理活动分类。

更具体地说，设备实现

• [C-0-8] 必须获得用户同意才能允许应用程序访问位置或物理活动数据。
• [C-0-9] 必须仅向持有 SDK 上描述的足够权限的应用程序授予运行时权限。例如，TelephonyManager#getServiceState 需要 android.permission.ACCESS_FINE_LOCATION。

权限可以标记为受限，从而改变其行为。

• [C-0-10] 除非满足以下条件，否则不得向应用程序授予标记为标志 hardRestricted 的权限

  • 应用程序 APK 文件位于系统分区中。
  • 用户为与 hardRestricted 权限关联的角色分配应用程序。
  • 安装程序向应用程序授予 hardRestricted。
  • 应用程序在较早的 Android 版本上被授予 hardRestricted。

• [C-0-11] 持有 softRestricted 权限的应用程序必须仅获得有限访问权限，并且在 SDK 中描述的允许列表之前不得获得完全访问权限，其中为每个 softRestricted 权限定义了完全和有限访问权限（例如，READ_EXTERNAL_STORAGE）。

如果设备实现提供用户界面以选择哪些应用程序可以使用处理 ACTION_MANAGE_OVERLAY_PERMISSION 意图的活动在其他应用程序之上绘制，则它们

• [C-2-1] 必须确保所有具有 ACTION_MANAGE_OVERLAY_PERMISSION 意图的意图过滤器的活动都具有相同的 UI 屏幕，无论启动应用程序或其提供的任何信息如何。

9.2. UID 和进程隔离

设备实现

• [C-0-1] 必须支持 Android 应用程序沙箱模型，其中每个应用程序都以唯一的 Unix 样式 UID 并在单独的进程中运行。
• [C-0-2] 必须支持以相同的 Linux 用户 ID 运行多个应用程序，前提是这些应用程序已正确签名和构造，如 安全和权限参考 中所定义。

9.3. 文件系统权限

设备实现

• [C-0-1] 必须支持 安全和权限参考 中定义的 Android 文件访问权限模型。

9.4. 备选执行环境

即使设备实现包括使用 Dalvik 可执行格式或本机代码以外的其他软件或技术执行应用程序的运行时环境，设备实现也必须保持 Android 安全和权限模型的一致性。换句话说

• [C-0-1] 备选运行时本身必须是 Android 应用程序，并遵守标准的 Android 安全模型，如 第 9 节的其他部分所述。

• [C-0-2] 不得向备选运行时授予访问权限，以访问运行时 AndroidManifest.xml 文件中未通过 <uses-permission> 机制请求的权限保护的资源。

• [C-0-3] 备选运行时不得允许应用程序使用受限于系统应用程序的 Android 权限保护的功能。

• [C-0-4] 备选运行时必须遵守 Android 沙箱模型，并且使用备选运行时安装的应用程序不得重用设备上安装的任何其他应用程序的沙箱，除非通过共享用户 ID 和签名证书的标准 Android 机制。

• [C-0-5] 备选运行时不得启动、授予或被授予对与其他 Android 应用程序对应的沙箱的访问权限。

• [C-0-6] 备选运行时不得以超级用户 (root) 或任何其他用户 ID 的任何特权启动、被授予或授予给其他应用程序。

• [C-0-7] 当备选运行时的 .apk 文件包含在设备实现的系统映像中时，它必须使用与用于签署设备实现中包含的其他应用程序的密钥不同的密钥进行签名。

• [C-0-8] 安装应用程序时，备选运行时必须获得用户对应用程序使用的 Android 权限的同意。

• [C-0-9] 当应用程序需要使用设备资源时，如果存在相应的 Android 权限（例如，摄像头、GPS 等），则备选运行时必须告知用户应用程序将能够访问该资源。

• [C-0-10] 当运行时环境未以这种方式记录应用程序功能时，运行时环境在安装使用该运行时的任何应用程序时，必须列出运行时本身拥有的所有权限。

• 备选运行时应通过 PackageManager 将应用程序安装到单独的 Android 沙箱（Linux 用户 ID 等）中。

• 备选运行时可以提供由使用备选运行时的所有应用程序共享的单个 Android 沙箱。

9.5. 多用户支持

Android 包括 对多用户的支持，并提供对完全用户隔离的支持。

• 如果设备实现对主外部存储使用 可移动媒体，则可以但不应启用多用户。

如果设备实现包括多个用户，则它们

• [C-1-1] 必须满足与 多用户支持 相关的以下要求。
• [C-1-2] 对于每个用户，必须实现与 Android 平台安全模型一致的安全模型，如 API 中 安全和权限参考文档 中定义。
• [C-1-3] 必须为每个用户实例提供单独且隔离的共享应用程序存储（又名 /sdcard）目录。
• [C-1-4] 必须确保给定用户拥有和代表其运行的应用程序无法列出、读取或写入任何其他用户拥有的文件，即使两个用户的数据都存储在同一卷或文件系统上。
• [C-1-5] 如果设备实现对外部存储 API 使用可移动媒体，则当启用多用户时，必须使用仅存储在仅系统可访问的不可移动媒体上的密钥来加密 SD 卡的内容。由于这将使主机 PC 无法读取媒体，因此设备实现将需要切换到 MTP 或类似系统，以便为主机 PC 提供对当前用户数据的访问权限。

9.6. 高级短信警告

Android 包括支持警告用户任何外发的 高级短信消息。高级短信消息是发送到已向运营商注册的服务的短信消息，可能会向用户收取费用。

如果设备实现声明支持 android.hardware.telephony，则它们

• [C-1-1] 必须在向设备中 /data/misc/sms/codes.xml 文件中定义的正则表达式标识的号码发送 SMS 消息之前警告用户。上游 Android 开源项目提供了一种满足此要求的实现。

9.7. 安全功能

设备实现必须确保符合内核和平台中的安全功能，如下所述。

Android 沙箱包括使用安全增强型 Linux (SELinux) 强制访问控制 (MAC) 系统、seccomp 沙箱和 Linux 内核中的其他安全功能的功能。设备实现

• [C-0-1] 即使在 Android 框架下实现了 SELinux 或任何其他安全功能，也必须保持与现有应用程序的兼容性。
• [C-0-2] 当安全功能检测到并成功阻止了安全违规时，不得具有可见的用户界面，但在发生未阻止的安全违规并导致成功利用时，可以具有可见的用户界面，该安全功能在 Android 框架下实现。
• [C-0-3] 不得使 SELinux 或在 Android 框架下实现的任何其他安全功能可供用户或应用开发者配置。
• [C-0-4] 不得允许可以通过 API（例如，设备管理 API）影响另一个应用程序的应用程序配置破坏兼容性的策略。
• [C-0-5] 必须将媒体框架拆分为多个进程，以便可以更严格地授予每个进程的访问权限，如 Android 开源项目站点中的 描述。
• [C-0-6] 必须实现内核应用程序沙箱机制，该机制允许使用来自多线程程序的可配置策略过滤系统调用。上游 Android 开源项目通过启用 seccomp-BPF 与线程组同步 (TSYNC) 来满足此要求，如 source.android.com 的内核配置部分中所述。

内核完整性和自我保护功能是 Android 安全性的组成部分。设备实现

• [C-0-7] 必须实现内核堆栈缓冲区溢出保护机制。此类机制的示例包括 CC_STACKPROTECTOR_REGULAR 和 CONFIG_CC_STACKPROTECTOR_STRONG。
• [C-0-8] 必须实现严格的内核内存保护，其中可执行代码是只读的，只读数据是不可执行且不可写的，可写数据是不可执行的（例如 CONFIG_DEBUG_RODATA 或 CONFIG_STRICT_KERNEL_RWX）。
• [C-0-9] 必须在最初随 API 级别 28 或更高版本一起提供的设备上，实现用户空间和内核空间之间复制的静态和动态对象大小边界检查（例如 CONFIG_HARDENED_USERCOPY）。
• [C-0-10] 必须在最初随 API 级别 28 或更高版本一起提供的设备上，在内核模式下执行时，不执行用户空间内存（例如，硬件 PXN，或通过 CONFIG_CPU_SW_DOMAIN_PAN 或 CONFIG_ARM64_SW_TTBR0_PAN 模拟）。
• [C-0-11] 必须在最初随 API 级别 28 或更高版本一起提供的设备上，在内核中，正常 usercopy 访问 API 之外，不读取或写入用户空间内存（例如，硬件 PAN，或通过 CONFIG_CPU_SW_DOMAIN_PAN 或 CONFIG_ARM64_SW_TTBR0_PAN 模拟）。
• [C-0-12] 如果硬件容易受到 CVE-2017-5754 的攻击，则必须在最初随 API 级别 28 或更高版本一起提供的所有设备上，实现内核页表隔离（例如 CONFIG_PAGE_TABLE_ISOLATION 或 CONFIG_UNMAP_KERNEL_AT_EL0）。
• [C-0-13] 如果硬件容易受到 CVE-2017-5715 的攻击，则必须在最初随 API 级别 28 或更高版本一起提供的所有设备上，实现分支预测强化（例如 CONFIG_HARDEN_BRANCH_PREDICTOR）。
• [SR] 强烈建议在初始化后保持仅在初始化期间写入的内核数据标记为只读（例如 __ro_after_init）。

• [C-SR] 强烈建议随机化内核代码和内存的布局，并避免会危及随机化的暴露（例如，通过 /chosen/kaslr-seed Device Tree node 或 EFI_RNG_PROTOCOL 的引导加载程序熵的 CONFIG_RANDOMIZE_BASE）。

• [C-SR] 强烈建议在内核中启用控制流完整性 (CFI)，以提供针对代码重用攻击的额外保护（例如 CONFIG_CFI_CLANG 和 CONFIG_SHADOW_CALL_STACK）。

• [C-SR] 强烈建议不要禁用已启用控制流完整性 (CFI)、影子调用堆栈 (SCS) 或整数溢出清理 (IntSan) 的组件。
• [C-SR] 强烈建议为任何其他安全敏感的用户空间组件启用 CFI、SCS 和 IntSan，如 CFI 和 IntSan 中所述。
• [C-SR] 强烈建议在内核中启用堆栈初始化，以防止使用未初始化的局部变量 (CONFIG_INIT_STACK_ALL 或 CONFIG_INIT_STACK_ALL_ZERO)。此外，设备实现不应假定编译器用于初始化局部变量的值。
• [C-SR] 强烈建议在内核中启用堆初始化，以防止使用未初始化的堆分配 (CONFIG_INIT_ON_ALLOC_DEFAULT_ON)，并且它们不应假定内核用于初始化这些分配的值。

如果设备实现使用 Linux 内核，则它们

• [C-1-1] 必须实现 SELinux。
• [C-1-2] 必须将 SELinux 设置为全局强制模式。
• [C-1-3] 必须在强制模式下配置所有域。不允许任何宽容模式域，包括特定于设备/供应商的域。
• [C-1-4] 必须不得修改、省略或替换上游 Android 开放源代码项目 (AOSP) 中提供的 system/sepolicy 文件夹内的 neverallow 规则，且策略必须在所有 neverallow 规则存在的情况下进行编译，AOSP SELinux 域以及设备/供应商特定域均需如此。
• [C-1-5] 必须在每个应用程序的私有数据目录上具有每个应用程序 SELinux 限制的每个应用程序 SELinux 沙盒中运行 API 级别为 28 或更高级别的第三方应用程序。
• 应该保留上游 Android 开放源代码项目的 system/sepolicy 文件夹中提供的默认 SELinux 策略，并且仅在此策略的基础上进一步添加其自身设备特定的配置。

如果设备实现已在较早版本的 Android 上发布，并且无法通过系统软件更新满足 [C-1-1] 和 [C-1-5] 要求，则可以豁免这些要求。

如果设备实现使用 Linux 以外的内核，则

• [C-2-1] 必须使用等效于 SELinux 的强制访问控制系统。

Android 包含多项纵深防御功能，这些功能是设备安全不可或缺的一部分。

9.8. 隐私

9.8.1. 使用历史记录

Android 存储用户的选择历史记录，并通过 UsageStatsManager 管理此类历史记录。

设备实现

• [C-0-1] 必须保持此类用户历史记录的合理保留期限。
• [SR] 强烈建议保持 14 天的保留期限，此期限已在上游 AOSP 实现中默认配置。

Android 使用 StatsLog 标识符存储系统事件，并通过 StatsManager 和 IncidentManager 系统 API 管理此类历史记录。

设备实现

• [C-0-2] 必须仅包含使用系统 API 类 IncidentManager 创建的事件报告中标记为 DEST_AUTOMATIC 的字段。
• [C-0-3] 必须不得使用系统事件标识符来记录 StatsLog SDK 文档中所述事件以外的任何其他事件。如果记录了其他系统事件，则可以使用的原子标识符范围为 100,000 到 200,000。

9.8.2. 录制

设备实现

• [C-0-1] 必须不得预加载或开箱即用地分发在未经用户同意或未提供清晰的持续通知的情况下将用户的私人信息（例如，击键、屏幕上显示的文本、错误报告）发送到设备外部的软件组件。
• [C-0-2] 每当通过 MediaProjection 或专有 API 启用屏幕投射或屏幕录制时，必须显示并获得明确的用户同意，允许捕获用户屏幕上显示的任何敏感信息。必须不得为用户提供禁用未来显示用户同意的工具。
• [C-0-3] 当屏幕投射或屏幕录制启用时，必须向用户显示持续通知。AOSP 通过在状态栏中显示持续通知图标来满足此要求。

如果设备实现包括系统中的功能，该功能通过系统 API ContentCaptureService 或 第 9.8.6 节内容捕获 中描述的其他专有方式以外的方式捕获屏幕上显示的内容和/或录制设备上播放的音频流，则

• [C-1-1] 每当启用此功能并主动捕获/录制时，必须向用户显示持续通知。

如果设备实现包括开箱即用启用的组件，该组件能够录制环境音频和/或录制设备上播放的音频以推断有关用户上下文的有用信息，则

• [C-2-1] 必须不得在持久性设备上存储中存储或传输到设备外部录制的原始音频或任何可以转换回原始音频或近似副本的格式，除非获得用户的明确同意。

9.8.3. 连接

如果设备实现具有带 USB 外围模式支持的 USB 端口，则

• [C-1-1] 在允许通过 USB 端口访问共享存储的内容之前，必须呈现用户界面，请求用户同意。

9.8.4. 网络流量

设备实现

• [C-0-1] 必须预安装与上游 Android 开放源代码项目中提供的系统信任的证书颁发机构 (CA) 存储相同的根证书。
• [C-0-2] 交付时必须带有空的用户根 CA 存储。
• [C-0-3] 当添加用户根 CA 时，必须向用户显示警告，指示网络流量可能受到监控。

如果设备流量通过 VPN 路由，则设备实现

• [C-1-1] 必须向用户显示警告，指示以下任一项
  • 网络流量可能受到监控。
  • 网络流量正在通过提供 VPN 的特定 VPN 应用程序路由。

如果设备实现具有默认情况下开箱即用的机制，该机制通过代理服务器或 VPN 网关路由网络数据流量（例如，预加载授予 android.permission.CONTROL_VPN 的 VPN 服务），则

• [C-2-1] 必须在启用该机制之前请求用户同意，除非 VPN 是由设备策略控制器通过 DevicePolicyManager.setAlwaysOnVpnPackage() 启用的，在这种情况下，用户无需提供单独的同意，但必须仅被通知。

如果设备实现实现用户工具来切换第三方 VPN 应用程序的“始终开启 VPN”功能，则

• [C-3-1] 对于在 AndroidManifest.xml 文件中通过将 SERVICE_META_DATA_SUPPORTS_ALWAYS_ON 属性设置为 false 而不支持始终开启 VPN 服务的应用程序，必须禁用此用户工具。

9.8.5. 设备标识符

设备实现

• [C-0-1] 必须阻止应用程序访问设备序列号以及适用的 IMEI/MEID、SIM 卡序列号和国际移动用户识别码 (IMSI)，除非该应用程序满足以下要求之一
  • 是由设备制造商验证的已签名运营商应用程序。
  • 已被授予 READ_PRIVILEGED_PHONE_STATE 权限。
  • 具有 UICC 运营商权限 中定义的运营商权限。
  • 是已被授予 READ_PHONE_STATE 权限的设备所有者或个人资料所有者。
  • （仅适用于 SIM 卡序列号/ICCID）具有应用程序检测用户身份变化的当地法规要求。

9.8.6. 内容捕获

Android 通过系统 API ContentCaptureService 或其他专有方式，支持设备实现捕获应用程序和用户之间以下交互的机制。

• 屏幕上呈现的文本和图形，包括但不限于通知和辅助数据，通过 AssistStructure API。
• 媒体数据，例如设备录制或播放的音频或视频。
• 输入事件（例如，按键、鼠标、手势、语音、视频和辅助功能）。
• 应用程序通过 Content Capture API 或类似的专有 API 提供给系统的任何其他事件。
• 通过 TextClassifier API 发送到系统 TextClassifier 的任何文本或其他数据，即发送到系统服务以理解文本的含义，以及根据文本生成预测的后续操作。

如果设备实现捕获上述数据，则

• [C-1-1] 必须加密设备中存储的所有此类数据。此加密可以使用 Android 基于文件的加密或 Cipher SDK 中描述的 API 版本 26+ 中列出的任何密码进行。
• [C-1-2] 必须不得使用 Android 备份方法 或任何其他备份方法备份原始数据或加密数据。
• [C-1-3] 必须仅使用保护隐私的机制发送所有此类数据和设备日志。保护隐私的机制定义为“仅允许聚合分析并防止将记录的事件或派生的结果与单个用户匹配的机制”，以防止任何按用户数据可被内省（例如，使用差分隐私技术（如 RAPPOR）实现）。
• [C-1-4] 必须不得将此类数据与设备上的任何用户身份（例如 Account）相关联，除非每次关联数据时都获得用户的明确同意。
• [C-1-5] 必须不得与其他应用程序共享此类数据，除非每次共享时都获得用户的明确同意。
• [C-1-6] 如果 ContentCaptureService 或专有方式收集的数据以任何形式存储在设备上，则必须提供用户工具来擦除此类数据。

如果设备实现包含实现系统 API ContentCaptureService 或任何专有服务（捕获上述描述的数据）的服务，则

• [C-2-1] 必须不得允许用户使用用户可安装的应用程序或服务替换内容捕获服务，并且必须仅允许预安装的服务捕获此类数据。
• [C-2-2] 必须不得允许预安装的内容捕获服务机制以外的任何应用程序能够捕获此类数据。
• [C-2-3] 必须提供用户工具来禁用内容捕获服务。
• [C-2-4] 必须不得省略用户工具来管理内容捕获服务持有的 Android 权限，并遵循 第 9.1 节权限 中描述的 Android 权限模型。

• [C-SR] 强烈建议将内容捕获服务组件分开，例如，不将服务绑定或共享进程 ID，与其他系统组件分开，以下组件除外

  • 电话、联系人、系统 UI 和媒体

9.8.7. 剪贴板访问

设备实现

• [C-0-1] 必须不得返回剪贴板上的剪切数据（例如，通过 ClipboardManager API），除非该应用程序是默认 IME 或当前具有焦点的应用程序。

9.8.8. 位置信息

设备实现

• [C-0-1] 在没有明确用户同意或用户发起的情况下，必须不得打开/关闭设备位置设置和 Wi-Fi/蓝牙扫描设置。
• [C-0-2] 必须提供用户工具来访问位置相关信息，包括最近的位置请求、应用程序级别权限以及 Wi-Fi/蓝牙扫描的使用情况以确定位置。
• [C-0-3] 必须确保使用紧急位置绕过 API [LocationRequest.setLocationSettingsIgnored()] 的应用程序是用户发起的紧急会话（例如，拨打 911 或短信发送至 911）。但是，对于汽车，在检测到碰撞/事故的情况下（例如，为了满足 eCall 要求），车辆可以发起紧急会话，而无需用户主动交互。
• [C-0-4] 必须保留紧急位置绕过 API 绕过设备位置设置的能力，而无需更改设置。
• [C-0-5] 必须在后台应用程序使用 [ACCESS_BACKGROUND_LOCATION] 权限访问其位置后，安排通知提醒用户。

9.8.9. 已安装的应用程序

面向 API 级别 30 或更高级别的 Android 应用程序默认情况下无法查看有关其他已安装应用程序的详细信息（请参阅 Android SDK 文档中的软件包可见性）。

设备实现

• [C-0-1] 必须不得向任何面向 API 级别 30 或更高级别的应用程序公开有关任何其他已安装应用程序的详细信息，除非该应用程序已经能够通过托管 API 查看有关其他已安装应用程序的详细信息。这包括但不限于设备实现者添加的任何自定义 API 公开的详细信息，或通过文件系统访问的详细信息。

9.8.10. 连接性错误报告

如果设备实现使用带有 BugreportManager 的系统 API BUGREPORT_MODE_TELEPHONY 生成错误报告，则

• [C-1-1] 每次调用系统 API BUGREPORT_MODE_TELEPHONY 生成报告时，必须获得用户同意，并且必须不得提示用户同意来自该应用程序的所有未来请求。
• [C-1-2] 当报告开始生成时，必须显示并获得明确的用户同意，并且在没有明确用户同意的情况下，必须不得将生成的报告返回给请求应用程序。
• [C-1-3] 生成的请求报告必须至少包含以下信息
  • TelephonyDebugService 转储
  • TelephonyRegistry 转储
  • WifiService 转储
  • ConnectivityService 转储
  • 调用软件包的 CarrierService 实例的转储（如果已绑定）
  • 无线电日志缓冲区
• [C-1-4] 必须不得在生成的报告中包含以下内容
  • 任何与连接性调试无关的信息。
  • 任何类型的用户安装的应用程序流量日志或用户安装的应用程序/软件包的详细配置文件（UID 可以，软件包名称不可以）。
• 可以包含与任何用户身份无关的附加信息。（例如，供应商日志）。

如果设备实现在错误报告中包含附加信息（例如供应商日志），并且该信息对隐私/安全/电池/存储/内存有影响，则

• [C-SR] 强烈建议具有默认禁用状态的开发者设置。AOSP 通过在开发者设置中提供“启用详细供应商日志记录”选项来满足此要求，以在错误报告中包含其他设备特定的供应商日志。

9.8.11. 数据 Blob 共享

Android 通过 BlobStoreManager 允许应用程序向系统贡献数据 Blob，以便与选定的一组应用程序共享。

如果设备实现支持 SDK 文档中描述的共享数据 Blob，则

• [C-1-1] 必须不得共享超出应用程序预期允许范围的数据 Blob（即默认访问的范围以及可以使用 BlobStoreManager.session#allowPackageAccess()、BlobStoreManager.session#allowSameSignatureAccess() 或 BlobStoreManager.session#allowPublicAccess() 指定的其他访问模式不得修改）。AOSP 参考实现满足这些要求。
• [C-1-2] 必须不得将数据 Blob 的安全哈希值（用于控制访问）发送到设备外部或与其他应用程序共享。

9.9. 数据存储加密

所有设备都必须满足第 9.9.1 节的要求。在本文档的 API 级别之前发布的设备可豁免第 9.9.2 节和第 9.9.3 节的要求；相反，它们必须满足与设备发布的 API 级别相对应的 Android 兼容性定义文档中第 9.9 节的要求。

9.9.1. 直接启动

设备实现

• [C-0-1] 即使设备不支持存储加密，也必须实现 直接启动模式 API。

• [C-0-2] ACTION_LOCKED_BOOT_COMPLETED 和 ACTION_USER_UNLOCKED Intent 仍必须广播，以向 Direct Boot 感知应用程序发出设备加密 (DE) 和凭据加密 (CE) 存储位置可供用户使用的信号。

9.9.2. 加密要求

设备实现

• [C-0-1] 必须加密应用程序私有数据（/data 分区）以及应用程序共享存储分区（/sdcard 分区）（如果它是设备的永久性、不可移动部件）。
• [C-0-2] 必须在用户完成开箱即用设置体验时默认启用数据存储加密。

• [C-0-3] 必须通过实施以下两种加密方法之一来满足上述数据存储加密要求

  • 基于文件的加密 (FBE) 和 元数据加密，如第 9.9.3.1 节所述。
  • 如第 9.9.3.2 节所述的每用户块级加密。

9.9.3. 加密方法

如果设备实现已加密，则

• [C-1-1] 在 ACTION_LOCKED_BOOT_COMPLETED 消息广播后，必须在不要求用户提供凭据的情况下启动，并允许 Direct Boot 感知应用程序访问设备加密 (DE) 存储。
• [C-1-2] 仅在用户通过提供其凭据（例如，密码、PIN 码、图案或指纹）解锁设备并且 ACTION_USER_UNLOCKED 消息广播后，才允许访问凭据加密 (CE) 存储。
• [C-1-13] 必须不得提供任何方法来解锁 CE 保护的存储，而无需用户提供的凭据、注册的托管密钥或满足 第 9.9.4 节 中要求的重启后恢复实现。
• [C-1-4] 必须使用已验证启动。

9.9.3.1. 基于文件的加密和元数据加密

如果设备实现使用基于文件的加密和元数据加密，则

• [C-1-5] 必须使用 AES-256-XTS 或 Adiantum 加密文件内容和文件系统元数据。AES-256-XTS 是指具有 256 位密码密钥长度的高级加密标准，以 XTS 模式运行；密钥的完整长度为 512 位。Adiantum 是指 Adiantum-XChaCha12-AES，如 https://github.com/google/adiantum 中所指定。文件系统元数据是诸如文件大小、所有权、模式和扩展属性 (xattrs) 之类的数据。
• [C-1-6] 必须使用 AES-256-CBC-CTS 或 Adiantum 加密文件名。
• [C-1-12] 如果设备具有高级加密标准 (AES) 指令（例如，基于 ARM 的设备上的 ARMv8 加密扩展，或基于 x86 的设备上的 AES-NI），则必须使用上述基于 AES 的选项进行文件名、文件内容和文件系统元数据加密，而不是 Adiantum。
• [C-1-13] 必须使用加密强度高且不可逆的密钥派生函数（例如 HKDF-SHA512）从 CE 和 DE 密钥派生任何需要的子密钥（例如，每个文件的密钥。“加密强度高且不可逆”意味着密钥派生函数具有至少 256 位的安全强度，并且表现得像 伪随机函数族 在其输入之上。

• [C-1-14] 必须不得对不同的加密目的（例如，同时用于加密和密钥派生，或用于两种不同的加密算法）使用相同的基于文件的加密 (FBE) 密钥或子密钥。

• 保护 CE 和 DE 存储区域和文件系统元数据的密钥

• [C-1-7] 必须以加密方式绑定到硬件支持的密钥库。此密钥库必须绑定到已验证启动和设备的硬件信任根。

• [C-1-8] CE 密钥必须绑定到用户的锁屏凭据。
• [C-1-9] 当用户未指定锁屏凭据时，CE 密钥必须绑定到默认密码。
• [C-1-10] 必须是唯一且不同的，换句话说，没有用户的 CE 或 DE 密钥与任何其他用户的 CE 或 DE 密钥匹配。

• [C-1-11] 必须使用强制支持的密码、密钥长度和模式。

• 应该使预安装的基本应用程序（例如，闹钟、电话、消息程序）Direct Boot 感知。

上游 Android 开放源代码项目提供了基于 Linux 内核“fscrypt”加密功能和基于 Linux 内核“dm-default-key”功能的元数据加密的首选基于文件的加密实现。

9.9.3.2. 每用户块级加密

如果设备实现使用每用户块级加密，则

• [C-1-1] 必须启用第 9.5 节中描述的多用户支持。
• [C-1-2] 必须提供每用户分区，使用原始分区或逻辑卷。
• [C-1-3] 必须对底层块设备的加密使用每个用户唯一且不同的加密密钥。

• [C-1-4] 必须对用户分区的块级加密使用 AES-256-XTS。

• 保护每用户块级加密设备的密钥

• [C-1-5] 必须以加密方式绑定到硬件支持的密钥库。此密钥库必须绑定到已验证启动和设备的硬件信任根。

• [C-1-6] 必须绑定到相应用户的锁屏凭据。

可以使用 Linux 内核“dm-crypt”功能通过每用户分区来实现每用户块级加密。

9.9.4. 重启后恢复

重启后恢复允许在 OTA 发起的重启后解锁所有应用程序（包括那些尚不支持 Direct Boot 的应用程序）的 CE 存储。此功能使用户能够在重启后接收来自已安装应用程序的通知。

重启后恢复的实现必须继续确保，当设备落入攻击者手中时，即使设备已开机、CE 存储已解锁并且用户在收到 OTA 后解锁了设备，攻击者也很难恢复用户的 CE 加密数据。为了抵抗内部攻击，我们还假设攻击者获得了对广播加密签名密钥的访问权限。

具体而言

• [C-0-1] 即使对于实际拥有设备然后具有以下能力和限制的攻击者，CE 存储也必须不可读

  • 可以使用任何供应商或公司的签名密钥来签署任意消息。
  • 可以导致设备接收 OTA。
  • 可以修改任何硬件（AP、闪存等）的操作，但以下详述的情况除外，但此类修改涉及至少一小时的延迟和破坏 RAM 内容的电源循环。
  • 无法修改防篡改硬件（例如 Titan M）的操作。
  • 无法读取实时设备的 RAM。
  • 无法获得用户的凭据（PIN 码、图案、密码）或以其他方式导致其被输入。

例如，符合 此处 找到的所有描述的设备实现将符合 [C-0-1]。

9.10. 设备完整性

以下要求确保设备完整性状态的透明度。设备实现

• [C-0-1] 必须通过系统 API 方法 PersistentDataBlockManager.getFlashLockState() 正确报告其引导加载程序状态是否允许刷写系统镜像。FLASH_LOCK_UNKNOWN 状态保留用于从早期版本的 Android 升级的设备实现，其中不存在此新的系统 API 方法。

• [C-0-2] 必须支持已验证启动以确保设备完整性。

如果设备实现在早期版本的 Android 上发布时已不支持已验证启动，并且无法通过系统软件更新添加对此功能的支持，则可以豁免此要求。

已验证启动是一项保证设备软件完整性的功能。如果设备实现支持此功能，则

• [C-1-1] 必须声明平台功能标志 android.software.verified_boot。
• [C-1-2] 必须在每个启动序列上执行验证。
• [C-1-3] 必须从作为信任根的不可变硬件密钥开始验证，一直到系统分区。
• [C-1-4] 必须实现验证的每个阶段，以在执行下一阶段中的代码之前检查下一阶段中所有字节的完整性和真实性。
• [C-1-5] 必须使用与 NIST 当前针对哈希算法 (SHA-256) 和公钥大小 (RSA-2048) 的建议一样强大的验证算法。
• [C-1-6] 当系统验证失败时，必须不得允许启动完成，除非用户同意尝试启动，在这种情况下，必须不得使用来自任何未验证的存储块的数据。
• [C-1-7] 必须不得允许修改设备上的已验证分区，除非用户已明确解锁引导加载程序。
• [C-SR] 如果设备中有多个离散芯片（例如，无线电、专用图像处理器），则强烈建议这些芯片中的每一个芯片的启动过程在启动时验证每个阶段。
• [C-1-8] 必须使用防篡改存储：用于存储引导加载程序是否已解锁。防篡改存储意味着引导加载程序可以检测到存储是否已从 Android 内部被篡改。
• [C-1-9] 在使用设备时，必须提示用户，并且在允许从引导加载程序锁定模式转换到引导加载程序解锁模式之前，需要物理确认。
• [C-1-10] 必须为 Android 使用的分区（例如，启动分区、系统分区）实现回滚保护，并使用防篡改存储来存储用于确定最低允许 OS 版本的元数据。
• [C-SR] 强烈建议使用植根于受已验证启动保护的分区的信任链来验证所有特权应用程序 APK 文件。
• [C-SR] 强烈建议在执行特权应用程序从其 APK 文件外部加载的任何可执行工件（例如，动态加载的代码或编译的代码）之前对其进行验证，或者强烈建议完全不要执行它们。
• 应该为具有持久性固件（例如，调制解调器、摄像头）的任何组件实现回滚保护，并且应该使用防篡改存储来存储用于确定最低允许版本的元数据。

如果设备实现在早期版本的 Android 上发布时已不支持 C-1-8 到 C-1-10，并且无法通过系统软件更新添加对这些要求的支持，则可以豁免这些要求。

上游 Android 开放源代码项目在 external/avb/ 存储库中提供了此功能的首选实现，可以将其集成到用于加载 Android 的引导加载程序中。

设备实现

• [C-0-3] 必须支持针对受信任密钥以加密方式验证文件内容，而无需读取整个文件。
• [C-0-4] 当读取内容未针对受信任密钥进行验证时，必须不得允许对受保护文件的读取请求成功。

如果设备实现在早期版本的 Android 上发布时没有针对受信任密钥验证文件内容的能力，并且无法通过系统软件更新添加对此功能的支持，则可以豁免此要求。上游 Android 开放源代码项目提供了基于 Linux 内核 fs-verity 功能的此功能的首选实现。

设备实现

• [C-R] 建议支持 Android 受保护的确认 API。

如果设备实现支持 Android 受保护的确认 API，则

• [C-3-1] 必须为 ConfirmationPrompt.isSupported() API 报告 true。

• [C-3-2] 必须确保在 Android 操作系统（包括其内核）中运行的代码（无论是恶意的还是其他代码）都无法在没有用户交互的情况下生成肯定响应。

• [C-3-3] 必须确保即使在 Android 操作系统（包括其内核）被入侵的情况下，用户也能够查看和批准提示的消息。

9.11. 密钥和凭据

Android Keystore 系统允许应用程序开发者将加密密钥存储在容器中，并通过 KeyChain API 或 Keystore API 在加密操作中使用它们。设备实现

• [C-0-1] 必须允许导入或生成至少 8,192 个密钥。
• [C-0-2] 锁屏身份验证必须限制尝试次数，并且必须具有指数退避算法。超过 150 次失败尝试后，每次尝试的延迟必须至少为 24 小时。
• 不应限制可以生成的密钥数量

当设备实现支持安全锁屏时，它

• [C-1-1] 必须使用隔离执行环境备份密钥库实现。
• [C-1-2] 必须实现 RSA、AES、ECDSA 和 HMAC 加密算法以及 MD5、SHA1 和 SHA-2 系列哈希函数，以正确支持 Android Keystore 系统在安全隔离区域中支持的算法，该区域与内核及以上层级运行的代码隔离。安全隔离必须阻止内核或用户空间代码可能访问隔离环境内部状态的所有潜在机制，包括 DMA。上游 Android 开源项目 (AOSP) 通过使用 Trusty 实现来满足此要求，但另一个基于 ARM TrustZone 的解决方案或经过第三方审查的基于适当虚拟机监控程序隔离的安全实现也是替代方案。
• [C-1-3] 必须在隔离的执行环境中执行锁屏身份验证，并且仅在成功时才允许使用绑定到身份验证的密钥。锁屏凭据的存储方式必须仅允许隔离的执行环境执行锁屏身份验证。上游 Android 开源项目提供了 Gatekeeper 硬件抽象层 (HAL) 和 Trusty，它们可用于满足此要求。
• [C-1-4] 必须支持密钥证明，其中证明签名密钥受安全硬件保护，并且签名在安全硬件中执行。证明签名密钥必须在足够多的设备之间共享，以防止这些密钥被用作设备标识符。满足此要求的一种方法是共享相同的证明密钥，除非生产了至少 100,000 个给定 SKU 的单元。如果生产了超过 100,000 个 SKU 的单元，则每 100,000 个单元可以使用不同的密钥。

请注意，如果设备实现已在较早的 Android 版本上启动，则此类设备免于拥有由隔离的执行环境支持的密钥库并支持密钥证明的要求，除非它声明 android.hardware.fingerprint 功能，该功能需要由隔离的执行环境支持的密钥库。

• [C-1-5] 必须允许用户选择从解锁状态转换到锁定状态的睡眠超时时间，最小允许超时时间为 15 秒。车载设备在关闭主机或切换用户时锁定屏幕的情况下，可以不具有睡眠超时配置。

9.11.1. 安全锁屏和身份验证

AOSP 实现遵循分层身份验证模型，其中基于知识因素的主要身份验证可以由辅助强生物识别技术或较弱的三级模式支持。

设备实现

• [C-SR] 强烈建议仅将以下方法之一设置为主要身份验证方法
  • 数字 PIN 码
  • 字母数字密码
  • 在 3x3 点网格上的滑动图案

请注意，以上身份验证方法在本文件中称为推荐的主要身份验证方法。

如果设备实现添加或修改了推荐的主要身份验证方法，并使用新的身份验证方法作为锁定屏幕的安全方式，则新的身份验证方法

• [C-2-1] 必须是 密钥使用需要用户身份验证 中描述的用户身份验证方法。

如果设备实现添加或修改了基于已知密钥来解锁锁屏的身份验证方法，并使用新的身份验证方法作为锁定屏幕的安全方式

• [C-3-1] 最短允许输入长度的熵必须大于 10 位。
• [C-3-2] 所有可能输入的最大熵必须大于 18 位。
• [C-3-3] 新的身份验证方法不得替换 AOSP 中实现和提供的任何推荐的主要身份验证方法（即 PIN 码、图案、密码）。
• [C-3-4] 当设备策略控制器 (DPC) 应用程序通过 DevicePolicyManager.setPasswordQuality() 方法设置了比 PASSWORD_QUALITY_SOMETHING 更严格的质量常量时，必须禁用新的身份验证方法。
• [C-3-5] 新的身份验证方法必须每 72 小时或更短时间回退到推荐的主要身份验证方法（即 PIN 码、图案、密码），或者明确告知用户，为了保护其数据的隐私，某些数据将不会被备份。

如果设备实现添加或修改了推荐的主要身份验证方法以解锁锁屏，并使用基于生物识别的新身份验证方法作为锁定屏幕的安全方式，则新方法

• [C-4-1] 必须满足 第 7.3.10 节 中针对1 类（以前称为便捷类）描述的所有要求。
• [C-4-2] 必须具有回退机制，以使用基于已知密钥的推荐的主要身份验证方法之一。
• [C-4-3] 当设备策略控制器 (DPC) 应用程序通过调用方法 DevicePolicyManager.setKeyguardDisabledFeatures() 并带有任何相关的生物识别标志（即 KEYGUARD_DISABLE_BIOMETRICS、KEYGUARD_DISABLE_FINGERPRINT、KEYGUARD_DISABLE_FACE 或 KEYGUARD_DISABLE_IRIS）设置了锁屏功能策略时，必须禁用新的身份验证方法，并且仅允许推荐的主要身份验证方法解锁屏幕。