ios系統安全機制概覽

2022-09-20 03:54:11 字數 4475 閱讀 1726

ios通過以下幾種機制來保全整個系統的安全性:

所有ios裝置中,系統與硬體都高度整合,從系統啟動、系統更新、應用的安裝、應用的執行時等多個方面來保全系統的安全,具體包括:

xnu,系統開始執行。

2:ios裝置的系統公升級之後是不允許降級的(官方沒有提供介面)。這樣做的好處是系統的安全等級只會越來越高,二不會出現由於系統降級,已修復安全風險又暴露出來的問題。

ios系統在公升級過程需要聯網進行驗證,系統公升級之前,裝置會將llb、iboot、核心、映象,外加乙個隨機的不可重複的值傳送到蘋果的伺服器進行驗證,伺服器端對所有這些進行驗證,如果通過驗證,將會返回乙個通過的結果,結果加入了與裝置唯一相關的ecid。這樣做的好處是此值是無法重用的,只能對應與一台裝置,且只能使用一次。同過這種機制,保證了系統公升級過程都是符合蘋果要求的。提高了較高的安全性。

3:所有執行在ios上的**都是需要簽名的。蘋果自帶應用已經打上了蘋果的簽名,而第三方應用,則需要開發者賬號進行簽名,而開發者賬號都是通過蘋果官方實名審核的賬號,從開發者源頭上控制了程式的安全性,也就是說,系統內所有執行的程式都是可信的,且知道**的。這個簽名就是在xcode code signing選項裡選擇的賬戶。

4:執行與ios系統的第三方軟體都是執行與sandbox之內,每個第三方程式都有自己的獨佔的路徑,其只能訪問獨佔路境內的內容,其他程式的檔案一般情況下無法訪問,如果要訪問,只能通過蘋果官方api,而不能自行操作檔案。連個應用之間無法共享檔案,如要互相通訊,只能通過url schema或shared key chain。

另外,每個應用都有其執行許可權,不同許可權可進行的操作是不同的,將應用的許可權限制在其需要的範圍內,而不賦予額外的許可權。

1:加解密是耗時耗能源的操作。而ios內所有使用者資料都是強制加密的,加密功能不能關閉。所以,蘋果的aes加解密引擎都是硬體級的,位於儲存與系統之間的dma內,所有進出儲存的資料都啊要經過硬體的加密與揭秘,這樣提供了較高的效率與效能。

加密揭秘使用的key主要來自unique id(uid)以及group id(gid),uid與唯一裝置相關,gid與某種特定型號的cpu相關,一台裝置的uid及gid全部被燒製到晶元內部,除了aes加密引擎,沒有其他方法直接讀取,能看到的只有使用uid及gid加密後的資料。這樣,不同裝置的加密結果是不同的,同一套密文只能在加密的機器上進行解密。

除了gid及uid,其他加密使用的key全部來自系統自帶的隨機數生成器,具體使用的演算法為yarrow。

2: ios提供了名為file data protection的資料保護方法。所有檔案在加密時使用的key都是不同的,這些key被稱作的prefile key,儲存於metafile內。

prefile的訪問需要進行解密的key,這些key包括:

file system key: 系統安裝時生成的乙個隨即的key

class key,另乙個key,與uid相關,如果使用者設定了鎖屏密碼,那麼此class key將的**將同時包括鎖屏密碼。

只有有了這兩個key,乙個檔案的prefilekey才能被讀取出來,此加密的檔案才能被揭秘,也就是說,當鎖屏之後,或儲存位於不同的裝置之上,資料是無法讀取的。

file system key還有乙個重要作用,遠端刪除資料時,其實不用真正的刪除磁碟上的資料,只要刪除此key,那麼所有檔案的prefile key 將不能訪問,也就是所有檔案將無法讀取。

3:鎖屏密碼為了防止暴力破解,增加了三個限制:

將其與uid繫結,也就是只能在該密碼生成的裝置上進行嘗試,

兩次嘗試的間隔被強制設成80ms,機器暴力破解的時間將大大加長

增加選項,如果連續輸錯次數超過10次,可以選擇刪除裝置內資料

4:keychain。應用的小量極敏感資料,例如密碼,最好儲存與keychain內,而不是應用自己管理。

除了本地資料的保護,蘋果還對資料的傳輸提供了多種多樣的保護機制。蘋果提供了 可靠的、可信以及加密的連線。因為ios平台限制了同時監聽的埠的數量,並將那些不必要的網路組建,例如telnet,shell以及web server等,所以不需要防火牆的保護。

ssl, tls,蘋果提供了對ssl以及tls的支援。cfnetwork則簡化了這些協議的使用。

vpn,ios內建的vpn客戶端,支援多種vpn伺服器及認證方式。

wifi,提供了包括wpa2 enterprise在內的多樣標準wifi協議。

藍芽,ios藍芽功能提供了多樣化的安全選擇

針對企業使用者,ios系統提供了多樣的安全策略,管理原可以根據需求對裝置的安全特性進行多樣化的設定,包括密碼策略,資料保護策略,應用使用策略,遠端資料刪除等功能,給企業級使用者提供了高安全性以及極大的靈活性。

ios通過以下幾種機制來保全整個系統的安全性:

所有ios裝置中,系統與硬體都高度整合,從系統啟動、系統更新、應用的安裝、應用的執行時等多個方面來保全系統的安全,具體包括:

xnu,系統開始執行。

2:ios裝置的系統公升級之後是不允許降級的(官方沒有提供介面)。這樣做的好處是系統的安全等級只會越來越高,二不會出現由於系統降級,已修復安全風險又暴露出來的問題。

ios系統在公升級過程需要聯網進行驗證,系統公升級之前,裝置會將llb、iboot、核心、映象,外加乙個隨機的不可重複的值傳送到蘋果的伺服器進行驗證,伺服器端對所有這些進行驗證,如果通過驗證,將會返回乙個通過的結果,結果加入了與裝置唯一相關的ecid。這樣做的好處是此值是無法重用的,只能對應與一台裝置,且只能使用一次。同過這種機制,保證了系統公升級過程都是符合蘋果要求的。提高了較高的安全性。

3:所有執行在ios上的**都是需要簽名的。蘋果自帶應用已經打上了蘋果的簽名,而第三方應用,則需要開發者賬號進行簽名,而開發者賬號都是通過蘋果官方實名審核的賬號,從開發者源頭上控制了程式的安全性,也就是說,系統內所有執行的程式都是可信的,且知道**的。這個簽名就是在xcode code signing選項裡選擇的賬戶。

4:執行與ios系統的第三方軟體都是執行與sandbox之內,每個第三方程式都有自己的獨佔的路徑,其只能訪問獨佔路境內的內容,其他程式的檔案一般情況下無法訪問,如果要訪問,只能通過蘋果官方api,而不能自行操作檔案。連個應用之間無法共享檔案,如要互相通訊,只能通過url schema或shared key chain。

另外,每個應用都有其執行許可權,不同許可權可進行的操作是不同的,將應用的許可權限制在其需要的範圍內,而不賦予額外的許可權。

1:加解密是耗時耗能源的操作。而ios內所有使用者資料都是強制加密的,加密功能不能關閉。所以,蘋果的aes加解密引擎都是硬體級的,位於儲存與系統之間的dma內,所有進出儲存的資料都啊要經過硬體的加密與揭秘,這樣提供了較高的效率與效能。

加密揭秘使用的key主要來自unique id(uid)以及group id(gid),uid與唯一裝置相關,gid與某種特定型號的cpu相關,一台裝置的uid及gid全部被燒製到晶元內部,除了aes加密引擎,沒有其他方法直接讀取,能看到的只有使用uid及gid加密後的資料。這樣,不同裝置的加密結果是不同的,同一套密文只能在加密的機器上進行解密。

除了gid及uid,其他加密使用的key全部來自系統自帶的隨機數生成器,具體使用的演算法為yarrow。

2: ios提供了名為file data protection的資料保護方法。所有檔案在加密時使用的key都是不同的,這些key被稱作的prefile key,儲存於metafile內。

prefile的訪問需要進行解密的key,這些key包括:

file system key: 系統安裝時生成的乙個隨即的key

class key,另乙個key,與uid相關,如果使用者設定了鎖屏密碼,那麼此class key將的**將同時包括鎖屏密碼。

只有有了這兩個key,乙個檔案的prefilekey才能被讀取出來,此加密的檔案才能被揭秘,也就是說,當鎖屏之後,或儲存位於不同的裝置之上,資料是無法讀取的。

file system key還有乙個重要作用,遠端刪除資料時,其實不用真正的刪除磁碟上的資料,只要刪除此key,那麼所有檔案的prefile key 將不能訪問,也就是所有檔案將無法讀取。

3:鎖屏密碼為了防止暴力破解,增加了三個限制:

將其與uid繫結,也就是只能在該密碼生成的裝置上進行嘗試,

兩次嘗試的間隔被強制設成80ms,機器暴力破解的時間將大大加長

增加選項,如果連續輸錯次數超過10次,可以選擇刪除裝置內資料

4:keychain。應用的小量極敏感資料,例如密碼,最好儲存與keychain內,而不是應用自己管理。

除了本地資料的保護,蘋果還對資料的傳輸提供了多種多樣的保護機制。蘋果提供了 可靠的、可信以及加密的連線。因為ios平台限制了同時監聽的埠的數量,並將那些不必要的網路組建,例如telnet,shell以及web server等,所以不需要防火牆的保護。

ssl, tls,蘋果提供了對ssl以及tls的支援。cfnetwork則簡化了這些協議的使用。

vpn,ios內建的vpn客戶端,支援多種vpn伺服器及認證方式。

wifi,提供了包括wpa2 enterprise在內的多樣標準wifi協議。

藍芽,ios藍芽功能提供了多樣化的安全選擇

針對企業使用者,ios系統提供了多樣的安全策略,管理原可以根據需求對裝置的安全特性進行多樣化的設定,包括密碼策略,資料保護策略,應用使用策略,遠端資料刪除等功能,給企業級使用者提供了高安全性以及極大的靈活性。

ios系統安全機制概覽

ios通過以下幾種機制來保全整個系統的安全性 所有ios裝置中,系統與硬體都高度整合,從系統啟動 系統更新 應用的安裝 應用的執行時等多個方面來保全系統的安全,具體包括 2 ios裝置的系統公升級之後是不允許降級的 官方沒有提供介面 這樣做的好處是系統的安全等級只會越來越高,二不會出現由於系統降級,...

系統安全管理

1 禁止root使用者登陸,使用普通使用者登陸再切換root使用者 2 更改ssh連線埠 3 定期更改系統密碼,或使用金鑰的方式連線 4 使用堡壘機管理伺服器 5 編寫指令碼防止ssh暴力破解 1 shell指令碼 bin bash denyhosts shell scripts if d root...

系統安全 Firewall

netfilter iptables是與最新的2.6.x版本linux核心整合的ip資訊包過濾系統。如果linux系統連線到網際網路或lan 伺服器或連線lan和網際網路的 伺服器,則該系統有理由在linux系統上更好的控制ip資訊包過濾和防火牆配置。雖然netfilter iptablesip資訊...