計(jì)算機(jī)網(wǎng)絡(luò)安全教程 第4版 課件 ch10 無線網(wǎng)絡(luò)網(wǎng)絡(luò)安全

第十章無線網(wǎng)絡(luò)網(wǎng)絡(luò)安全

內(nèi)容提要：無線網(wǎng)絡(luò)安全的特點(diǎn)Wi-Fi和無線局域網(wǎng)安全

移動(dòng)終端安全無線安全技術(shù)及應(yīng)用小結(jié)10.1無線網(wǎng)絡(luò)安全的特點(diǎn)1.無線網(wǎng)絡(luò)概述無線網(wǎng)絡(luò)是無線設(shè)備之間以及無線設(shè)備與有線網(wǎng)絡(luò)之間的一種網(wǎng)絡(luò)結(jié)構(gòu)。根據(jù)覆蓋范圍、傳輸速率和用途的不同，無線網(wǎng)絡(luò)可以分為4類：無線廣域網(wǎng)、無線城域網(wǎng)、無線局域網(wǎng)和無線個(gè)人網(wǎng)。返回本章首頁2.無線網(wǎng)絡(luò)特點(diǎn)與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)有其自身的特點(diǎn)，這些特點(diǎn)往往也是威脅無線網(wǎng)絡(luò)安全的重要因素。使用無線介質(zhì)有限的帶寬電源管理返回本章首頁3.無線網(wǎng)絡(luò)面臨的安全威脅無線網(wǎng)絡(luò)面臨的威脅主要來自5個(gè)方面：無線電信號干擾非法接入網(wǎng)絡(luò)欺騙和會(huì)話攔截網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)阻塞攻擊返回本章首頁10.2Wi-Fi和無線局域網(wǎng)安全1.Wi-Fi和無線局域網(wǎng)概述無線局域網(wǎng)（WLAN）是指在一個(gè)局部區(qū)域內(nèi)計(jì)算機(jī)之間通過無線鏈路進(jìn)行通信的網(wǎng)絡(luò)，是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。隨著筆記本電腦和PAD、手機(jī)等移動(dòng)終端設(shè)備的廣泛使用和無線通信技術(shù)的快速發(fā)展，無線局域網(wǎng)在社會(huì)生活中的作用越來越重要。返回本章首頁WLAN由無線網(wǎng)卡、無線接入點(diǎn)（AccessPoint，AP）、計(jì)算機(jī)和有關(guān)設(shè)備組成。返回本章首頁在WLAN標(biāo)準(zhǔn)中，應(yīng)用最廣泛的是IEEE802.11系列標(biāo)準(zhǔn)。常用的標(biāo)準(zhǔn)主要有IEEE802.11b，IEEE802.lla，IEEE802.1lg，IEEE802.1ln等。其中，802.11b是IEEE于1999年批準(zhǔn)的標(biāo)準(zhǔn)，也被稱為Wi-Fi。Wi-Fi是WirelessFidelity的縮寫，即無線保真。Wi-Fi是由Wi-Fi聯(lián)盟持有的無線局域網(wǎng)實(shí)現(xiàn)方式的標(biāo)識，即遵循IEEE802.11系列協(xié)議的無線局域網(wǎng)實(shí)現(xiàn)方式。返回本章首頁2.無線局域網(wǎng)安全機(jī)制2001年5月802.11工作組成立了802.11i任務(wù)組，專門負(fù)責(zé)制定WLAN的安全標(biāo)準(zhǔn)。與WLAN有關(guān)的安全機(jī)制主要包括WEP、WPA和WPA2等協(xié)議標(biāo)準(zhǔn)。返回本章首頁WEP（WiredEquivalentPrivacy）WEP即有線等價(jià)保密。WEP協(xié)議的設(shè)計(jì)目標(biāo)是保護(hù)傳輸數(shù)據(jù)的機(jī)密性、完整性和提供對WLAN的訪問控制，但是由于協(xié)議設(shè)計(jì)者對于RC4加密算法的不正確使用，使得WEP實(shí)際上無法達(dá)到其期望目標(biāo)。WEP采用一個(gè)初始向量（IV）和密鑰（KEY）生成一個(gè)中間密鑰，然后用該中間密鑰加密信息。WEP加密采用的密鑰長度為40bits，IV的長度為24bits。返回本章首頁WPAWPA標(biāo)準(zhǔn)是Wi-Fi聯(lián)盟聯(lián)合IEEE802.11i任務(wù)組的專家共同提出的，在該標(biāo)準(zhǔn)中數(shù)據(jù)加密使用臨時(shí)密鑰完整性協(xié)議（TemporaryKeyIntegrityProtocol，TKIP），認(rèn)證有兩種可選模式：一種是使用802.1x協(xié)議進(jìn)行認(rèn)證，適用于企業(yè)用戶；另一種稱為預(yù)先共享密鑰（Pre-SharedKey，PSK）模式，采取用戶在WLAN的所有設(shè)備中手工輸人共享密鑰的辦法來進(jìn)行認(rèn)證，適用于家庭用戶。返回本章首頁WPA標(biāo)準(zhǔn)專門對WEP協(xié)議的不足之處進(jìn)行了有針對性的改進(jìn)，對于802.lli標(biāo)準(zhǔn)和WEP都具有兼容性。WPA標(biāo)準(zhǔn)是802.11i標(biāo)準(zhǔn)正式實(shí)施以前WLAN安全采用的過渡方案。WPA依然采用RC4算法對數(shù)據(jù)進(jìn)行加密，為了增強(qiáng)數(shù)據(jù)安全性，將密鑰長度增加到128bits，且IV長度增加到48bits。返回本章首頁WPA2WPA2是對WPA的增強(qiáng)，實(shí)際上是802.11i的完整實(shí)現(xiàn)。802.11i標(biāo)準(zhǔn)包括一組魯棒性很強(qiáng)的安全標(biāo)準(zhǔn)集，包括802.1X身份驗(yàn)證和基于端口的訪問控制，AES加密模塊和CCMP，用來保持關(guān)聯(lián)性的跟蹤，并提供保密、完整性和源身份驗(yàn)證。返回本章首頁應(yīng)用模式WPAWPA2企業(yè)應(yīng)用模式身份認(rèn)證：IEEE802.1x/EAP身份認(rèn)證：IEEE802.1x/EAP加密：TKIP/MIC加密：AES-CCMP個(gè)人應(yīng)用模式身份認(rèn)證：PSK身份認(rèn)證：PSK加密：TKIP/MIC加密：AES-CCMP10.3移動(dòng)終端安全1.iOS安全iOS是蘋果公司為移動(dòng)設(shè)備開發(fā)的操作系統(tǒng)，主要用于iPhone，iPodTouch，iPad和AppleTV。iOS是從MacOSX衍生而來的類Unix操作系統(tǒng)。iOS最吸引用戶的就是其電子市場（AppStore），集中管理應(yīng)用程序以供用戶下載。返回本章首頁iOS安全機(jī)制為了保證用戶的安全，蘋果為iOS設(shè)計(jì)了一套安全機(jī)制。主要由下面幾部分構(gòu)成：（1）可信引導(dǎo)（2）程序簽名（3）沙盒和權(quán)限管理（4）密鑰鏈和數(shù)據(jù)保護(hù)返回本章首頁iOS安全隱患在iOS系統(tǒng)安全體制之下，仍然存在很多安全隱患和問題，主要包括：（1）利用引導(dǎo)過程的缺陷對設(shè)備進(jìn)行“越獄”。用戶使用這種技術(shù)及軟件可以獲得iOS的最高訪問權(quán)限，甚至可以解開運(yùn)營商對手機(jī)網(wǎng)絡(luò)的限制。普通用戶利用這些工具就可以對其設(shè)備進(jìn)行“越獄”，獲得管理員權(quán)限，然后就能訪問文件系統(tǒng)、執(zhí)行非官方簽名的應(yīng)用程序。返回本章首頁用戶對iOS設(shè)備進(jìn)行越獄，主動(dòng)破壞iOS系統(tǒng)的安全保護(hù)機(jī)制，實(shí)際上是對iOS系統(tǒng)數(shù)據(jù)安全最大的威協(xié)。相比使用AppStore，用戶更加容易受到惡意軟件的影響，同時(shí)惡意軟件也可以獲得最高權(quán)限，從而對系統(tǒng)進(jìn)行全面的控制，竊取用戶隱私和數(shù)據(jù)。返回本章首頁返回本章首頁功能未越獄越獄自啟動(dòng)運(yùn)行無法實(shí)現(xiàn)可以實(shí)現(xiàn)獲取聯(lián)系人可以實(shí)現(xiàn)可以實(shí)現(xiàn)獲取短信、通話記錄無法實(shí)現(xiàn)可以實(shí)現(xiàn)破解郵件、網(wǎng)絡(luò)密碼無法實(shí)現(xiàn)可以實(shí)現(xiàn)GPS后臺(tái)追蹤需要用戶授權(quán)不需要用戶授權(quán)通話、短信攔截?zé)o法實(shí)現(xiàn)可以實(shí)現(xiàn)后臺(tái)錄音無法實(shí)現(xiàn)可以實(shí)現(xiàn)越獄前后，iOS應(yīng)用程序所能實(shí)現(xiàn)的一些功能對比。（2）手機(jī)隱私泄露問題。不同于其他平臺(tái)，手機(jī)操作系統(tǒng)需要保護(hù)手機(jī)中存儲(chǔ)的手機(jī)號碼、通訊錄、短信、地址之類的隱私信息。蘋果公司則主要依靠自己的軟件審查機(jī)制來保證iOS平臺(tái)上軟件的安全性，只有經(jīng)過審查的應(yīng)用程序才能發(fā)布到AppStore上，嚴(yán)格的檢查將惡意程序阻止在系統(tǒng)之外。但是，由于這個(gè)審查過程和方法的細(xì)節(jié)并未公開，用戶無法完全信任蘋果的這套機(jī)制能夠確保的用戶數(shù)據(jù)的安全。返回本章首頁（3）安全漏洞和惡意程序。在BlackHatUSA2009上研究者演示了如何用短信來得到iPhone的控制權(quán)。而iPhone中Safari漏洞也是黑客一直用來攻擊的對象。返回本章首頁iOS安全加固由于在未越獄iOS系統(tǒng)中的應(yīng)用不能對系統(tǒng)進(jìn)行深層次的操作，因此正常的應(yīng)用軟件不能實(shí)現(xiàn)一般安全軟件系統(tǒng)的掃描、攔截、監(jiān)控等功能。目前在AppStore上銷售的安全軟件多以通訊錄備份、電池管理等功能為主的手機(jī)管理軟件。而在越獄過的iOS系統(tǒng)中，雖然iOS系統(tǒng)本身的安全機(jī)制受到破壞，但應(yīng)用程序卻有能力實(shí)現(xiàn)對iOS系統(tǒng)更深入的安全防護(hù)。返回本章首頁返回本章首頁360安全衛(wèi)士（iphone版）是專門針對iOS系統(tǒng)的管理軟件，但是需要先對iOS進(jìn)行越獄才能全面地發(fā)揮作用。360安全衛(wèi)士（iphone版）的主要功能包括流量監(jiān)控、安全備份、系統(tǒng)信息查詢、號碼歸屬地查詢、照片保險(xiǎn)箱、密碼保險(xiǎn)箱等。iPhone及iPad安全使用指南美國家安全局2012年發(fā)布了《iPhone及iPad安全使用指南》，該指南提供了在iOS下運(yùn)行的iPhone及iPad的安全管理基本知識，提出了保持物理安全、及時(shí)升級iOS系統(tǒng)、不要“越獄”、開啟自動(dòng)鎖屏及密碼功能、不要加入到不熟悉的無線網(wǎng)絡(luò)、在不需要時(shí)關(guān)閉藍(lán)牙、關(guān)閉地點(diǎn)設(shè)置等10項(xiàng)安全建議。返回本章首頁返回本章首頁（1）保持物理安全（2）及時(shí)升級iOS系統(tǒng)（3）不要“越獄”（4）開啟自動(dòng)鎖屏及密碼功能（5）不要加入到不熟悉的無線網(wǎng)絡(luò)（6）在不需要時(shí)關(guān)閉藍(lán)牙（7）關(guān)閉地點(diǎn)設(shè)置（8）上網(wǎng)瀏覽器的設(shè)置（9）電子郵件的設(shè)置（10）使用iPhone的設(shè)置軟件2.Android安全Android簡介2007年11月5日Google公司正式發(fā)布了基于Linux內(nèi)核的開源操作系統(tǒng)Android?，F(xiàn)已成為全球市場占有份額最高的智能手機(jī)操作系統(tǒng)。Android的流行使其已成為眾多惡意軟件的攻擊目標(biāo)，針對Android的木馬、Rootkit和應(yīng)用層特權(quán)提升攻擊等安全威脅不斷出現(xiàn)。返回本章首頁Android組件模型Android是一個(gè)移動(dòng)設(shè)備軟件棧，其系統(tǒng)架構(gòu)包含多個(gè)層次，主要有應(yīng)用層、應(yīng)用框架層、Android運(yùn)行時(shí)和系統(tǒng)庫以及Linux內(nèi)核。Android中的應(yīng)用都是用Java語言編寫，然后生成Dalvik虛擬機(jī)可執(zhí)行的apk文件。Android應(yīng)用由一個(gè)或多個(gè)不同的組件構(gòu)成，這些組件主要包括四種類型:Activity、Service、BroadcastReceiver、ContentProvider。返回本章首頁返回本章首頁Activity是用戶接口的容器，表現(xiàn)為可視化的用戶接口。Service在后臺(tái)運(yùn)行，它沒有可視化的用戶接口，通常完成一些無需用戶干預(yù)的操作。BroadcastReceiver用于接收和響應(yīng)應(yīng)用關(guān)心的廣播消息。ContentProvider提供了一種應(yīng)用間共享數(shù)據(jù)的方法。Android安全機(jī)制（1）權(quán)限機(jī)制Android應(yīng)用框架層提供了限制組件間訪問的強(qiáng)制訪問控制機(jī)制，系統(tǒng)中定義了一系列安全操作相關(guān)的權(quán)限標(biāo)簽，應(yīng)用需要在配置文件（Manifest.xml）中利用這些標(biāo)簽聲明自己所需的權(quán)限，當(dāng)用戶同意授權(quán)后，該應(yīng)用下屬的所有組件將會(huì)繼承應(yīng)用聲明的所有權(quán)限。同時(shí)，組件也可以利用權(quán)限標(biāo)簽限制能夠與其交互的組件范圍。返回本章首頁返回本章首頁Android支持普通（normal）、危險(xiǎn)（dangerous）、簽名（signature）以及簽名或系統(tǒng)（SignatureOrSystem）四種權(quán)限保護(hù)級別。危險(xiǎn)級別的權(quán)限在應(yīng)用程序安裝時(shí)會(huì)在屏幕上列出，而普通級別的權(quán)限是隱藏在折疊目錄或屏幕上的。簽名級別的權(quán)限只有在請求權(quán)限的應(yīng)用程序與聲明權(quán)限的程序是用相同的證書簽名時(shí)才被授權(quán)。返回本章首頁（2）沙盒機(jī)制為了保障每個(gè)應(yīng)用運(yùn)行過程中不被其他應(yīng)用影響，Android系統(tǒng)為每個(gè)應(yīng)用在運(yùn)行過程中提供了一個(gè)沙盒。其具體實(shí)現(xiàn)是，Android系統(tǒng)為每個(gè)應(yīng)用提供一個(gè)Dalvik虛擬機(jī)實(shí)例，使其獨(dú)立地運(yùn)行于一個(gè)進(jìn)程，并且為每一個(gè)應(yīng)用創(chuàng)建一個(gè)對應(yīng)于Linux底層的用戶名，并設(shè)置用戶ID。利用這個(gè)用戶ID可以保護(hù)應(yīng)用的文件、數(shù)據(jù)和內(nèi)存。返回本章首頁如果希望2個(gè)應(yīng)用共享權(quán)限、數(shù)據(jù)，可以通過設(shè)置sharedUserID來聲明2個(gè)應(yīng)用使用同一個(gè)用戶ID，運(yùn)行于同一進(jìn)程，并共享其資源和權(quán)限。但是聲明使用sharedUserID的應(yīng)用必須有相同的用戶簽名。這種機(jī)制不但可以在應(yīng)用運(yùn)行過程中保障其獨(dú)立性，還可以提高系統(tǒng)的魯棒性。當(dāng)單個(gè)應(yīng)用運(yùn)行出現(xiàn)問題時(shí)，可以消除其虛擬機(jī)實(shí)例來保障整個(gè)系統(tǒng)的安全運(yùn)行。返回本章首頁（3）簽名機(jī)制所有Android應(yīng)用都要被打包成*.apk文件，這個(gè)文件在發(fā)布時(shí)都必須被簽名，與通常在信息安全領(lǐng)域中使用數(shù)字證書的用途不同，Android利用數(shù)字簽名來標(biāo)識應(yīng)用的作者和在應(yīng)用間建立信任關(guān)系，而不是用來判定應(yīng)用是否應(yīng)該被安裝。而且，這個(gè)數(shù)字證書并不需要權(quán)威的數(shù)字證書簽名機(jī)構(gòu)認(rèn)證，而是由開發(fā)者來進(jìn)行控制和使用的，用來進(jìn)行應(yīng)用包的自我認(rèn)證的。Android安全缺陷（1）Android通過PackageInstaller在應(yīng)用安裝時(shí)檢查應(yīng)用所需的權(quán)限，并提示用戶，由用戶做出抉擇。但是，如果用戶想使用該應(yīng)用的功能，就必須同意應(yīng)用申請的全部權(quán)限，否則PackageInstaller將拒絕安裝該應(yīng)用。（2）Android沒有對已授予應(yīng)用的權(quán)限的使用范圍進(jìn)行限制。比如應(yīng)用申請了讀聯(lián)系人數(shù)據(jù)的權(quán)限，那么它就可以讀取全部的聯(lián)系人數(shù)據(jù)，而不能根據(jù)聯(lián)系人分組區(qū)別對待。返回本章首頁返回本章首頁（3）由于所有權(quán)限都是在安裝時(shí)進(jìn)行檢查并授予的，所以資源的訪問不能根據(jù)用戶的位置、時(shí)間等不同而進(jìn)行動(dòng)態(tài)的限制。（4）用戶撤銷已授予某個(gè)應(yīng)用權(quán)限的唯一方法就是卸載該應(yīng)用。以上安全缺陷不僅降低了Android平臺(tái)的可用性，同時(shí)導(dǎo)致平臺(tái)容易遭受應(yīng)用層權(quán)限提升攻擊，具體又可分為混淆代理人攻擊和共謀攻擊。Android安全配置為了保障運(yùn)行Android系統(tǒng)的移動(dòng)終端的安全，對其進(jìn)行安全配置是非常必要的，比較方便的配置方式是使用專業(yè)的Android系統(tǒng)配置管理軟件。常用配置管理軟件有LBE安全大師、360手機(jī)衛(wèi)士等。下面以LBE安全大師為例來介紹Android系統(tǒng)的安全配置。返回本章首頁返回本章首頁（1）LBE安全大師簡介LBE安全大師是Android平臺(tái)上首款主動(dòng)式防御軟件，第一款具備實(shí)時(shí)監(jiān)控與攔截能力的手機(jī)安全軟件。LBE安全大師基于業(yè)界首創(chuàng)的Android平臺(tái)API攔截技術(shù)，能夠?qū)崟r(shí)監(jiān)控與攔截系統(tǒng)中的敏感操作，動(dòng)態(tài)攔截來自已知和未知的各種威脅，避免各類吸費(fèi)軟件，廣告軟件乃至木馬病毒竊取移動(dòng)終端內(nèi)的隱私信息。返回本章首頁LBE安全大師能夠?yàn)橄到y(tǒng)中每一個(gè)應(yīng)用的每一個(gè)敏感操作指定權(quán)限，包括允許、拒絕和提示。通過此項(xiàng)功能，用戶可以關(guān)閉某些應(yīng)用申請的額外權(quán)限，阻止應(yīng)用內(nèi)嵌廣告代碼的執(zhí)行而保留應(yīng)用功能不受影響。返回本章首頁（2）權(quán)限管理LBE安全大師提供了免root直接進(jìn)行權(quán)限管理的配置模式，同時(shí)提供了專業(yè)的權(quán)限配置推薦，給用戶權(quán)威的配置指導(dǎo)，簡化了權(quán)限配置過程。返回本章首頁（3）病毒查殺基于安天AVLSDK反病毒引擎，具有業(yè)內(nèi)領(lǐng)先的病毒查殺率和極低的病毒誤報(bào)率，提供快速及深度無掃描方式，強(qiáng)化檢測所有已安裝軟件，真正做到無死角病毒檢測。返回本章首頁（4）騷擾攔截LBE安全大師的騷擾攔截功能內(nèi)置智能識別算法，可使用黑白名單、關(guān)鍵字和自定義攔截模式等方式自動(dòng)攔截特定的騷擾來電和短信，可以在絕大多數(shù)手機(jī)上實(shí)現(xiàn)無響鈴攔截，陌生來電延遲3秒響鈴，避免騷擾來電和詐騙電話。10.4無線安全技術(shù)及應(yīng)用1.常用無線網(wǎng)絡(luò)安全技術(shù)訪問控制技術(shù)利用MAC地址訪問控制和服務(wù)區(qū)認(rèn)證ID（SSID）技術(shù)來防止非法的無線設(shè)備入侵。數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密是無線網(wǎng)絡(luò)安全的基礎(chǔ)，對傳輸?shù)臄?shù)據(jù)進(jìn)行加密是為了防止其在未授權(quán)的情況下數(shù)據(jù)被泄露、破壞或篡改。返回本章首頁端口訪問技術(shù)IEEE802.1x協(xié)議是一種基于端口訪問的控制協(xié)議，能夠?qū)崿F(xiàn)對局域網(wǎng)設(shè)備的安全認(rèn)證和授權(quán)。該技術(shù)是用于無線網(wǎng)絡(luò)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。802.1x除提供端口控制訪問能力之外，還提供基于用戶的認(rèn)證系統(tǒng)，使得網(wǎng)絡(luò)管理者能更容易控制網(wǎng)絡(luò)接入。返回本章首頁數(shù)據(jù)校驗(yàn)技術(shù)校驗(yàn)是為了確保傳輸數(shù)據(jù)的完整性，防止數(shù)據(jù)在傳輸?shù)倪^程中被非法截取后而進(jìn)行惡意修改的行為。返回本章首頁2.無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用修改無線路由器的默認(rèn)賬號和密碼無線路由器出廠時(shí)設(shè)置的默認(rèn)賬戶與密碼通常都比較簡單，而且眾所周知。因此必須及時(shí)修改無線路由器的默認(rèn)賬號和密碼，并且要定期進(jìn)行變更，防止非法用戶登錄無線路由器，修改相關(guān)參數(shù)，從而可以對無線局域網(wǎng)內(nèi)的用戶進(jìn)行訪問和攻擊。返回本章首頁設(shè)置服務(wù)區(qū)標(biāo)識符（SSID）SSID是用來區(qū)分不同的無線網(wǎng)絡(luò)。AP和無線路由器默認(rèn)情況下會(huì)向所有的無線客戶端廣播自己的SSID號，從而方便用戶接入相應(yīng)的無線網(wǎng)絡(luò)。廣播SSID的功能在方便正常用戶的同時(shí)也給非法用戶接入網(wǎng)絡(luò)創(chuàng)造了條件，因此應(yīng)及時(shí)取消AP和無線路由器的“允許SSID廣播”功能，使得非法用戶不能搜索到SSID號，從而降低網(wǎng)絡(luò)被入侵的幾率，增加網(wǎng)絡(luò)的安全性。返回本章首頁啟用無線網(wǎng)絡(luò)的加密設(shè)置無線設(shè)備上都具有WEP加密、WPA加密和WPA2加密功能，其中WPA2使用256位的密鑰，而且數(shù)據(jù)包在廣播過程中，WPA2加密密鑰不斷變化，具有更好的安全性，應(yīng)優(yōu)先啟用WPA2加密功能。返回本章首頁設(shè)置MA