网络安全

Posted on Posted in 安全

移动设备用户无论从何处访问他们的组织网络都需要经过授权,而且在传输过程中这些用户的数据需要受到保护。iOS 设备提供久经验证的技术,可在 WLAN 和蜂窝数据网络连接中实现这些安全目标。这些技术与广泛的 VPN 技术相集成,以确保对敏感信息传输的基于 IP 的加密为最高级别。应用程序可以利用这些技术在 iPhone、iPad 和组织的 IT 服务之间使用 SSL/TLS 实现加密通信。

iOS 设备的下一个安全层级为 iOS 设备发送和接收数据的网络提供了安全保障。这一层包含多种集成特性、方法和功能,它们会阻止未授权访问进出设备的数据。这些集成特性、方法和功能包括:

  • 鉴定方法用于在登录专用网络和资源时对用户凭证进行安全验证
  • 网络加密技术和协议用于保护设备间的数据传输
  • WLAN 技术和协议用于提供对无线网络的无缝集成和安全访问
  • 证书和身份可以实现数据安全的多重目的,包括自动安全地对用户进行鉴定
  • VPN 技术可以安全访问专用网络
鉴定方法

鉴定是用户或其他实体(如服务器)证明其身份的过程。这通过以下方式来实现:展示某些已知的事物、所拥有的物品、某种唯一识别特征或者这些内容的某种组合。

常见的例子是你如何在自动柜员机上证明你的身份:你插入 ATM 卡(你拥有的物品)并输入你的个人识别号码(PIN,你知道的事物)。

iOS 依靠设备的 PIN 和“沙箱”应用程序来提供安全性 – iOS 没有授权或鉴定的界面。这些请求由 iPhone 或 iPad 连接的服务器授权。

启用安全访问现有 VPN 环境的同时,iOS 设备为用户鉴定提供了有效的方法,包括:

  • 密码 (MS-CHAPv2)
  • X.509 数字证书
  • 共享密钥

对于需要双因素令牌的环境,iOS 设备集成了 RSA SecurID 和 CRYPTOCard。

网络加密

虽然可以在设备上加密数据,但这些数据还需要通过网络安全传递。iOS 支持 VPN 和 SSL/TLS 等业界标准协议,可以对通过其蜂窝和 WLAN 无线电与设备之间传输的数据进行加密。

安全套接字层 (SSL) 是一种用于在 Internet 上安全传送私人文稿的协议。SSL 使用私钥来加密通过 SSL 连接传送的数据。iOS 使用 SSL 和 TLS 协议以及 CFNetwork 系统 API 来实现安全的通信。

Safari 和其他 Web 浏览器均支持 SSL,并且许多网站使用该协议来传送机密用户信息,如信用卡号码。Software Update 等其他 Web 应用程序同样使用 SSL 来提供安全的信息传送。

SSL 采用公钥和私钥加密系统和数字证书。双方均需要有效的证书,才能建立 SSL 连接。

SSL 和 TLS 是安全协议的两个版本,可以通过网络提供安全的通信。这些协议通常用于 TCP/IP 连接,如 Internet。它们可以使用基于证书的鉴定来确保你的顾客与有效的服务器通信;它们可以验证数据以防篡改;它们还可以采用公钥加密方法来抵御窃取和信息伪造。所有主流浏览器和网络服务器中均内置了 SSL(最新版本还包括 TLS)。只要用户使用安全网站(如通过 Internet 向供应商发送其信用卡号码)并且在 URL 开头看到 https 协议标识符,而不是 http,就意味着他们在使用 SSL 或 TLS 进行通信。

TLS 协议不能与 SSL 互操作,但如果不能与连接的另一端建立 TLS 会话,则这些协议的 iOS 实施“Secure Transport”将切换为 SSL 3.0。

Safari、日历、邮件和其他 Internet 应用程序会自动启动这些机制,以便在 iPhone、iPad 和组织的 IT 服务之间启用加密的通信渠道。

WLAN

iOS 设备可以安全地连接到组织或客人 WLAN 网络,因此无论顾客是在校园中还是在旅途中,都能方便快捷地加入可用的无线网络。

iOS 设备支持业界标准的无线网络协议,其中包括:

  • WEP
  • WPA 个人级
  • WPA 企业级
  • WPA2 个人级
  • WPA2 企业级

通过 iOS 设备,企业和教育顾客可以无缝访问他们的 WLAN 网络,因为这些设备支持带有 802.1X 鉴定的 WPA2 企业级 WLAN。这种无线鉴定也被称为“远程鉴定拨入用户服务”(RADIUS)。它在与 RADIUS 兼容的目录服务器(如 Mac OS X 服务器中的开放目录服务器)中授权用户和群组,以便他们访问无线网络上与 RADIUS 兼容的接入点,如 Apple AirPort 基站。

RADIUS 允许自动 WLAN 登录和持久 WLAN,所以用户可以轻松加入已知网络并与其保持连接。

由于支持 802.1X,iOS 设备可以集成到广泛的 RADIUS 鉴定环境中,包括:

  • EAP-TLS
  • EAP-TTLS
  • EAP-FAST
  • EAP-SIM
  • PEAP v0、v1
  • LEAP

用户可以将 iOS 设备设置成自动加入可用的 WLAN 网络。无需单独打开浏览器会话,只要在 WLAN 设置或 Mail 等应用程序中输入相关信息,即可加入需要登录凭证的 WLAN 网络。低能耗的持久 WLAN 连接使得 iPad 应用程序能够使用 WLAN 网络推送通知。

顾客可以利用配置描述文件,建立有关无线网络、安全性和鉴定的设置。有关更多信息,请参阅资源页上的“安全概述”。

活动 – 典型的 WPA2 企业级/802.1X 部署方案

iPhone(或 iPad)请求访问网络服务。通过选择一个无线网络或配置对特定 SSID 的访问权限,iPhone(或 iPad)会初始化连接。

活动 – 在 iOS 设备上配置安全 WLAN 登录

在本次活动中,你将使用“设置”应用程序配置对 WLAN 网络的安全访问,该网络需要密码才能访问。

订阅 WLAN 网络是公用的 WLAN 网络,需订阅或付费才能使用。通常可在咖啡店、Internet 咖啡馆、机场和其他不提供免费 WLAN 网络的公共场所找到该网络。在某些国家或地区,该网络由无线运营商(例如星巴克店内的 AT&T 无线热点)进行赞助和维护。

顾客的 iOS 设备如果运行 iOS 3 或更高版本,则能够记住其订阅的 WLAN 网络。当 iOS 设备位于 WLAN 网络服务范围内时,将会自动连接并登录到 WLAN 网络。让我们回顾一下此功能的工作方式。
加入订阅 WLAN 网络

  1. 通过你的设备从提供订阅 WLAN 网络的场所找到并加入该网络。设备上应当会出现登录屏幕。如果未出现,请打开 Safari 并尝试加载网页。
  2. 在登录屏幕上选择相应的登录选项。选项随订阅 WLAN 提供商的不同而不同。

完成登录过程后,便可访问 Internet。

当你使用订阅 WLAN 网络时,可能会向你收取服务费和其他费用。联系网络提供商,了解更多信息。
WLAN 自动加入

你的设备会记住该网络和登录信息,因此每当你位于服务范围内时,便可自动重新连接到订阅 WLAN 网络。

如果你不希望设备自动加入该网络,可以通过轻按订阅 WLAN 网络名称旁边的 V 形标记禁用自动加入功能。


注意:如果在未完成登录过程的情况下退出登录屏幕,将自动禁用该网络的自动加入功能。如果设备未如预期的那样自动加入订阅 WLAN 网络,请进行检查,以确保启用了“自动加入”设置。某些订阅 WLAN 网络可能不支持自动加入功能,每次都需要你登录到该网络。
其他信息

如果设备无法在登录屏幕使用 Safari 提交信息,请执行以下操作:

  • 轻按“设置”>“Safari”>“自动填充”,确保名称和密码的自动填充功能已关闭。
证书和身份

数字证书是一种识别形式,可实现简化鉴定、数据完整性和加密。数字证书由一个公钥和私钥对,以及其他有关用户和颁发此证书的证书颁发机构的信息组成。

iOS 设备支持数字证书,数字证书可以用来签署和加密多种类型的数据,包括配置描述文件和网络通信。

身份证书

无需用户名、密码甚至令牌,数字证书就可以针对企业服务对用户进行安全鉴定。iOS 设备支持针对 Microsoft Exchange ActiveSync、Cisco IPSec VPN 和 WPA2 企业级 WLAN 网络访问的基于证书的鉴定。

服务器证书

数字证书也会验证和加密网络通信来确保与内部网站和公共 Internet 上的网站间的安全通信。例如,Safari 浏览器可以检查 X.509 身份证书的有效性,并使用 128 字节的 SSL 加密建立安全会话。这样便核实了站点身份的合法性,并且保护与网站通信时的个人或机密数据不被拦截。

通过在 iOS 设备上使用标准的 X.509 身份证书进行鉴定,用户可以实现对组织资源的简化访问并以另一种方式使用基于硬件的令牌。

信任链

数字证书的颁发机构通过向证书添加数字签名来确保证书没有被更改,并用来验证颁发机构的身份。通常,数字签名通过另外一个证书进行验证。结果是,每个证书通常都是以根证书结束的证书信任链的一部分,验证根证书无需依靠其他证书。

数字证书的某些特性(称为证书扩展)为数字证书建立了信任级别。信任策略 (TP) 是一组规则,指定了特定信任度级别的证书的适当使用方法。换句话说,证书的信任级别回答了这个问题“我应该相信这个操作的证书吗?”信任策略插件执行两大功能:集合验证给定证书所需的证书链;决定证书符合的信任级别。

iOS 设备通过 X.509 身份证书上的 AppleX.509TP 模块执行这些验证功能。这个模块执行一个称为 S/MIME 策略的信任策略。S/MIME 策略指定证书必须包含一个与发送者地址匹配的电子邮箱地址,这样才可以信任证书来验证数字签名的电子邮件。

注意:当证书或证书截止日期中的错误导致信任链中的一个链接尚未验证时,会引起有关证书的最常见问题之一。

描述文件管理器

描述文件管理器可以对配置描述文件进行签名,从而使设备可以验证这些描述文件未被修改过。这需要一个代码签名证书,而描述文件管理器可以生成此证书。或者,顾客也可以使用已经建立信任链的签名证书。可以在 Server 应用程序的“描述文件管理器”面板上启用描述文件签名。在这里,管理员可从 system 钥匙串中选择已安装的代码签名证书。用户通过从用户门户下载信任描述文件来安装中级证书,以验证签名的描述文件。

根证书

每个证书都由另外一个证书验证,从而创建了以根证书结束的证书链。证书的颁发者称为证书颁发机构 (CA)。根证书的所有者称为根证书颁发机构。

Apple 是一个证书颁发机构,为一些产品和服务提供根证书和中级证书。请在 Apple.com 上访问根证书颁发机构网页,查看和下载 Apple 证书并查看证书策略。

iOS 设备包括许多预安装的根证书。要查看预先安装的系统根证书列表,请参阅位于http://support.apple.com/kb/HT5012?viewlocale=zh_CN 的 Apple 支持文章。如果你的顾客要使用未预先安装的根证书(例如顾客组织自行签发的根证书),他们可以使用“支持的证书”部分所列的任一方法将根证书分发给 iPhone 或 iPad。

支持的证书

iOS 设备支持带有 RSA 密钥的行业标准 X.509 证书,并能够识别文件扩展名 .cer、.crt 和 .der。证书链评估由 Safari、Mail、VPN 和其他应用程序执行。

iOS 设备可以使用只包含一个身份的 P12(PKCS #12 标准)文件。它们可识别文件扩展名 .p12 和 .pfx。安装身份时,会提示用户输入能够对它进行保护的口令。

顾客可以通过手动或使用配置描述文件,安装将证书串建立到受信任的根证书所需的必要证书。他们无需添加 Apple 预先安装到设备上的任何根证书。要查看预安装的系统根证书列表,请参见资源页面上的文章“List of available trusted root certificates”(可用的受信根证书列表)。其他证书可以通过安全证书注册协议 (SCEP) 进行无线安全安装。

如果组织没有通过描述文件分发证书,则他们的用户可以通过从网站下载证书到设备,或打开电子邮件中的附件进行手动安装。设备能够识别含有以下 MIME 类型和文件扩展名的证书:

application/x-pkcs12、.p12、.pfx

application/x-x509-ca-cert、.cer、.crt、.der

重要事项:当顾客使用 iPCU 通过 USB 直接在设备上安装配置描述文件时,描述文件在传输到设备之前会自动签名并加密。为此,描述文件管理器会在设备上自动安装证书;顾客可以在“摘要”面板中看到证书。出现“此证书由不被信任的发行者签名”的消息是正常的,并且在意料之中,因为证书是自行签名的。

安装身份证书和根证书

用户将根证书或身份证书下载到设备时,会出现“安装描述文件”屏幕。描述会指出类型:身份证书或根证书颁发机构。用户只需轻按“安装”即可。如果是身份证书,用户会被要求输入证书密码。

如果用户删除了访问帐户或网络所需的证书,他们的设备将无法连接到相应的服务。

重要事项:在 iOS 设备上,这些证书同其他类型的鉴定凭证、数字身份、用户名和密码一起存储于钥匙串中。

使用 Mail 发送加密邮件

iOS 5 在 Mail 中支持 S/MIME。这是一项发送邮件设置,允许用户发送经过签名和加密的电子邮件。可以为设备上配置的每个邮件帐户单独启用签名和加密,并且这些设置也可以单独配置。

要选择签名和加密证书供特定的邮件帐户使用,必须首先在设备上使用“凭证”面板安装该证书。

重要事项:必须为“密钥加密”启用身份证书,而且它们的“通用名称”必须与配置描述文件的电子邮件设置有效负载中指定的电子邮件地址相符。

描述文件管理器

设备必须能够与描述文件管理器服务器建立可信、安全的连接。如果顾客的服务器 SSL 证书不是由 OS X Lion 或 iOS 已知的信任 CA 颁发的,用户必须在自己的设备上安装必要的根证书才能验证该证书。顾客可以从用户门户下载信任描述文件来完成这一操作。

证书验证

当顾客使用证书来验证身份、保护他们的通信以及管理对受保护资源(例如网络服务)的访问时,确保这些证书的有效性非常重要。

让我们看一下验证证书的两种常见方法:

  • 证书撤销清单
  • 在线证书状态协议

顾名思义,证书撤销清单 (CRL) 是指订户与其数字证书状态配对的清单。该清单列举了撤消的证书及撤消原因。这些清单包含了证书颁发日期和颁发证书的实体。此外,每个清单包含了预定的下次发行日期。当潜在用户尝试访问某个服务器时,该服务器会根据 CRL 条目允许或拒绝访问。CRL 的主要局限是需要频繁下载更新以保持清单处于最新状态。

请访问 Apple 的根证书颁发机构网页,查看和下载 Apple 的 CRL 并查看 Apple 的证书策略。

另一种验证方法是在线证书状态协议 (OCSP)。OCSP 可以实时检查证书的状态,打破了 CRL 方法的局限。在 iOS 设备上首次打开应用程序时,分发证书通过联系 Apple 的 OCSP 服务器进行验证。除非证书已被撤消,否则应用程序将被允许运行。无法联系 OCSP 服务器或得到 OCSP 服务器响应,不应视为撤消。要查看状态,设备必须可以访问 ocsp.apple.com。

OCSP 响应在设备上的缓存时间由 OCSP 服务器指定,目前是 3 到 7 天。直到设备重启或缓存的响应过期,才会再次检查证书的有效性。如果此时收到撤消,则应用程序将被阻止运行。

活动 – 查看已安装的凭证

在本活动中,你将使用 iPCU 在 iOS 设备上安装证书和凭证,并查看 iOS 设备上已安装的证书和凭证。

使用 iPCU 查看 iOS 设备上安装的证书和凭证:

  1. 确保你的电脑上已安装 iPCU。iPCU 同时支持 Mac 和 Windows 电脑。请从 Apple 网站的 iPhone 企业支持网页下载 iPCU。
  2. 打开 iPCU。当打开 iPCU 时,会出现如下图所示的窗口。

  3. 使用 USB 线缆将 iOS 设备连接到电脑。该设备将显示在资源库的“设备”列表中。
  4. 从“资料库”列表中选择“设备”。你将看到设备列表。确认你连接的设备位于列表中。

  5. 点按此设备的“摘要”标签以查看设备上安装的证书。
  6. 点按“详细信息”旁边的显示三角形以查看特定证书的详细信息。

查看或删除设备上安装的证书:

  1. 转到“设置”>“通用”>“描述文件”。

在查看完 iOS 设备上的证书后,退出 iPCU 并拔下设备。

 

VPN
VPN(虚拟专用网络)通过 Internet 提供到专用网络(如公司或学校的网络)的安全访问。许多企业和机构都使用某些形式的虚拟专用网络。这些安全网络服务可能已经过部署,通常只需要很少的设置和配置就能与 iOS 设备配合使用。iOS 设备可以轻松与组织的 VPN 服务器连接,使用户能够安全地访问关键的业务信息。iOS 设备上内置的 VPN 客户端支持 Cisco IPSec、L2TP/IPSec 和 PPTP。

顾客可以在 iPhone 或 iPad 上使用“网络”设置手动配置 VPN 访问。顾客还可以使用配置描述文件设置 VPN,该文件包含多组 VPN 连接配置。“配置描述文件”中介绍了描述文件设置。

SSL VPN

SSL VPN 是一种 VPN,它使用 SSL 协议对客户端和服务器之间的通信进行加密,从而确保对敏感信息的传输进行高水平的基于 IP 的加密。

顾客可以通过 Juniper、Cisco 和 F5 使用 App Store 应用程序,以配置 iOS 设备访问安全套接字层 (SSL) VPN 环境。

VPN on demand

顾客使用配置描述文件设置 VPN 后,其最终用户可在需要时从自己的 iPhone 或 iPad 自动启用它。配置描述文件可以配置“VPN on Demand”,以使用证书自动访问预定义的域。

这种基于证书的鉴定机制使用 X.509 身份证书,以使 VPN 鉴定过程对用户透明,同时提供对网络服务的安全访问。

我们来了解一下“VPN on Demand”选项:

  • 总是

    对任何与指定域匹配的地址启动 VPN 连接

  • 永不

    对任何与指定域匹配的地址均不启动 VPN 连接,但如果 VPN 已激活,则可以使用它

  • 需要时建立

    仅在 DNS 查找失败后,才对与指定域匹配的地址启动 VPN 连接

该操作适用于所有匹配地址。将地址对照简单的字符串匹配,从后往前进行比较。这样,地址“.example.org”(前面带有句点)与“support.example.org”和“sales.example.org”匹配,但与“www.private-example.org”不匹配。

但是,如果顾客指定匹配域为“example.org”(注意,这次前面没有句点),它将与“www.private- example.org”和其他所有域都匹配。

重要事项:LDAP 连接不会启动 VPN 连接;如果其他应用程序(如 Safari)尚未建立 VPN 连接,则 LDAP 查找就会失败。
VPN 代理

iOS 设备支持网络代理配置,以便根据顾客的特定组织策略中转进入公共或私人网络域的通信。

iPhone 支持通过代理自动配置 (PAC) 或 Web 代理自动发现协议 (WPAD) 进行手动 VPN 代理和自动代理配置。

活动 – 典型 VPN 部署方案

iPhone 请求访问网络服务(通常通过 PPP 连接)。

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注