iOS设备接入WiFi和3G网络安全性分析

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

更多移动安全专题请见:http://mobile.51cto.com/hot-293442.htm

 

1. 接入WiFi

1.1 无线对等保密WEP(Wired Equivalent Privacy)

WEP在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。

1.2 WPA-PSK(Wi-Fi Protected Access Pre-Shared Key)/WPA2-PSK(TKIP or CCMP)

均采用预共享密钥认证。WPA2 则是基于IEEE802.11i 的正式规范制定,相比WPA具有更高的安全性。WPA-PSK必须支持基于TKIP(Temporal Key Integrity Protocol)的密钥管理和数据加密,而对于WPA 是否支持基于CCMP(Counter mode with Cipher-block chaining Message authentication code Protocol)的密钥管理和数据加密WiFi 联盟即没有进行规定,也不提供兼容性测试。WPA2-PSK必须能够同时支持TKIP 和CCMP,而且这两种方式都必须通过兼容性测试。TKIP 是对WEP 加密方法的加强和升级,其密钥长度为128 位,解决了WEP 密钥长度过短的问题,在安全性上有所增强。TKIP 通过将多种因素混合在一起(包括基本密钥、AP 的MAC 地址以及数据包的序列号)生成用于加密每个数据包的密钥。该混合操作在设计上将对无线终端和AP 的要求减少到最低程度,并能提供足够的密码强度,使其不会被轻易破解。此外,混合操作还可以有效解决WEP 加密中遇到的重复密钥使用和重放攻击问题。CCMP 一种以AES(Advanced Encryption Standard)的块密码为基础的安全协议。IEEE 802.11i 要求使用CCMP 为无线网络提供四种安全服务:认证、机密性、完整性和重放攻击保护。CCMP 使用128 位AES 加密算法实现机密性,使用其他 CCMP 协议组件实现其余三种服务。CCMP 结合了两种复杂的加密技术(counter mode 和 CBC-MAC)以此为无线终端和AP 之间的数据通信提供一种健壮的安全协议。需要强调的是,虽然 WPA-PSK/WPA2-PSK 采用了更为强大的加密算法,但其用户认证和加密的共享密码(原始密钥)是人为确定并通过手工设定的,而且对于接入同一个AP的所有终端来说,它们所设置的密钥是一样的。因此,其密钥难于管理并容易泄漏,不适合在安全性要求非常严格的场合应用。

1.3 WPA/WPA2(TKIP or CCMP)

为了改善WPA-PSK或WPA2-PSK(指Personal 的标准,主要用于个人用户)在密钥管理方面的不足,WiFi联盟提供了WPA/WPA2(TKIP or CCMP)(指Enterprise 的标准,主要用于企业用户),它们使用802.1x 来进行用户认证并生成用于加密数据的根密钥,而不再使用手工设定的预共享密钥,但加密过程则没有区别。在WPA(或WPA2)中,RADIUS服务器取代了WPA-PSK(或WPA2-PSK)认证过程中的单一密码机制。用户在接入无线网络前,首先需要提供相应的身份证明,通过与用户身份数据库中的认证信息进行比对检查,以确认是否具有权限并向客户端动态分发用于加密数据的密钥。由于采用了 802.1X 进行用户身份认证,每个用户的登录信息都由其自身进行管理,有效减少信息泄漏的可能性。并且用户每次接入无线网络时的数据加密密钥都是通过RADIUS服务器动态分配的,攻击者难于获取加密密钥。因此,WPA/WPA2(TKIP or CCMP)极大的提高了网络的安全性,并成为高安全无线网络的首选接入方式。

2. 接入3G

3G是英文the 3rd Generation的缩写,指第三代移动通信技术。相对第一代模拟制式手机(1G)和第二代GSM、CDMA等数字手机 (2G),第三代手机(3G)一般地讲,是指将无线通信与国际互联网等多媒体通信结合的新一代移动通信系统。从运营商网络层面来看,3G与2G的主要区别是在传输声音和数据的速度上的提升,它能够在全球范围内更好地实现无线漫游,并处理图像、音乐、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务,同时也要考虑与已有第二代系统的良好兼容性。为了提供这种服务,无线网络必须能够支持不同的数据传输速度,也就是说在室内、室外和行车的环境中能够分别支持至少2Mbps(兆比特/每秒)、384kbps(千比特/每秒)以及144kbps的传输速度(此数值根据网络环境会发生变化)。

从手机使用的卡来看,以前,iPhone/iPad使用2G网络,采用的是SIM卡,而SIM卡存在众多安全问题,包括手机卡被复制、话费盗打、基站冒充、信息泄露等等。

而目前iPhone/iPad使用的3G系统主要提供了如下安全机制:

(a) 实现了双向认证。不但提供基站对用户的认证,也提供了用户对基站的认证,可有效防止伪基站攻击。

(b) 提供了接入链路信令数据的完整性保护。

(c) 密钥长度增加为128 bit,改进了算法。

(d) 3GPP接入链路数据加密延伸至无线接入控制器。

(e) 3G的安全机制还具有可拓展性,为将来引入新业务提供安全保护措施。

(f) 3G能向用户提供安全可视性操作,用户可随时查看自己所用的安全模式及安全级别。

(g) 在密钥长度、算法选定、鉴别机制和数据完整性检验等方面,3G的安全性能远远优于2G。

3G网络用户的用户名和密码都内嵌在SIM卡中,用户无法直接读出,且被盗用和破解的可能性极小(目前没有发现针对3G SIM卡的破解案例),因此较为安全。



















本文转自samsunglinuxl51CTO博客,原文链接:http://blog.51cto.com/patterson/686723 ,如需转载请自行联系原作者

相关文章
|
4月前
|
开发框架 前端开发 Android开发
Flutter 与原生模块(Android 和 iOS)之间的通信机制,包括方法调用、事件传递等,分析了通信的必要性、主要方式、数据传递、性能优化及错误处理,并通过实际案例展示了其应用效果,展望了未来的发展趋势
本文深入探讨了 Flutter 与原生模块(Android 和 iOS)之间的通信机制,包括方法调用、事件传递等,分析了通信的必要性、主要方式、数据传递、性能优化及错误处理,并通过实际案例展示了其应用效果,展望了未来的发展趋势。这对于实现高效的跨平台移动应用开发具有重要指导意义。
521 4
|
4月前
|
人工智能 边缘计算 物联网
蜂窝网络未来发展趋势的分析
蜂窝网络未来发展趋势的分析
161 2
|
4月前
|
数据采集 缓存 定位技术
网络延迟对Python爬虫速度的影响分析
网络延迟对Python爬虫速度的影响分析
|
4月前
|
安全 Android开发 数据安全/隐私保护
深入探讨iOS与Android系统安全性对比分析
在移动操作系统领域,iOS和Android无疑是两大巨头。本文从技术角度出发,对这两个系统的架构、安全机制以及用户隐私保护等方面进行了详细的比较分析。通过深入探讨,我们旨在揭示两个系统在安全性方面的差异,并为用户提供一些实用的安全建议。
|
1月前
|
监控 Linux PHP
【02】客户端服务端C语言-go语言-web端PHP语言整合内容发布-优雅草网络设备监控系统-2月12日优雅草简化Centos stream8安装zabbix7教程-本搭建教程非docker搭建教程-优雅草solution
【02】客户端服务端C语言-go语言-web端PHP语言整合内容发布-优雅草网络设备监控系统-2月12日优雅草简化Centos stream8安装zabbix7教程-本搭建教程非docker搭建教程-优雅草solution
88 20
|
2月前
|
安全 Linux 网络安全
利用Python脚本自动备份网络设备配置
通过本文的介绍,我们了解了如何利用Python脚本自动备份网络设备配置。该脚本使用 `paramiko`库通过SSH连接到设备,获取并保存配置文件。通过定时任务调度,可以实现定期自动备份,确保网络设备配置的安全和可用。希望这些内容能够帮助你在实际工作中实现网络设备的自动化备份。
87 14
|
3月前
|
存储 安全 物联网
浅析Kismet:无线网络监测与分析工具
Kismet是一款开源的无线网络监测和入侵检测系统(IDS),支持Wi-Fi、Bluetooth、ZigBee等协议,具备被动监听、实时数据分析、地理定位等功能。广泛应用于安全审计、网络优化和频谱管理。本文介绍其安装配置、基本操作及高级应用技巧,帮助用户掌握这一强大的无线网络安全工具。
177 9
浅析Kismet:无线网络监测与分析工具
|
1月前
|
监控 关系型数据库 MySQL
【01】客户端服务端C语言-go语言-web端PHP语言整合内容发布-优雅草网络设备监控系统-硬件设备实时监控系统运营版发布-本产品基于企业级开源项目Zabbix深度二开-分步骤实现预计10篇合集-自营版
【01】客户端服务端C语言-go语言-web端PHP语言整合内容发布-优雅草网络设备监控系统-硬件设备实时监控系统运营版发布-本产品基于企业级开源项目Zabbix深度二开-分步骤实现预计10篇合集-自营版
37 0
|
2月前
|
存储 监控 安全
网络设备日志记录
网络设备日志记录是追踪设备事件(如错误、警告、信息活动)的过程,帮助IT管理员进行故障排除和违规后分析。日志详细记录用户活动,涵盖登录、帐户创建及数据访问等。为优化日志记录,需启用日志功能、管理记录内容、区分常规与异常活动,并使用专用工具进行事件关联和分析。集中式日志记录解决方案可收集并统一管理来自多种设备和应用的日志,提供简化搜索、安全存储、主动监控和更好的事件可见性,增强网络安全。常用工具如EventLog Analyzer能灵活收集、存储和分析日志,确保高效管理。
131 5
|
3月前
|
数据采集 机器学习/深度学习 人工智能
基于AI的网络流量分析:构建智能化运维体系
基于AI的网络流量分析:构建智能化运维体系
539 13

热门文章

最新文章