计算机网络安全教程 第4版 课件 ch10 无线网络网络安全

第十章无线网络网络安全

内容提要：无线网络安全的特点Wi-Fi和无线局域网安全

移动终端安全无线安全技术及应用小结10.1无线网络安全的特点1.无线网络概述无线网络是无线设备之间以及无线设备与有线网络之间的一种网络结构。根据覆盖范围、传输速率和用途的不同，无线网络可以分为4类：无线广域网、无线城域网、无线局域网和无线个人网。返回本章首页2.无线网络特点与有线网络相比，无线网络有其自身的特点，这些特点往往也是威胁无线网络安全的重要因素。使用无线介质有限的带宽电源管理返回本章首页3.无线网络面临的安全威胁无线网络面临的威胁主要来自5个方面：无线电信号干扰非法接入网络欺骗和会话拦截网络监听网络阻塞攻击返回本章首页10.2Wi-Fi和无线局域网安全1.Wi-Fi和无线局域网概述无线局域网（WLAN）是指在一个局部区域内计算机之间通过无线链路进行通信的网络，是计算机网络与无线通信技术相结合的产物。随着笔记本电脑和PAD、手机等移动终端设备的广泛使用和无线通信技术的快速发展，无线局域网在社会生活中的作用越来越重要。返回本章首页WLAN由无线网卡、无线接入点（AccessPoint，AP）、计算机和有关设备组成。返回本章首页在WLAN标准中，应用最广泛的是IEEE802.11系列标准。常用的标准主要有IEEE802.11b，IEEE802.lla，IEEE802.1lg，IEEE802.1ln等。其中，802.11b是IEEE于1999年批准的标准，也被称为Wi-Fi。Wi-Fi是WirelessFidelity的缩写，即无线保真。Wi-Fi是由Wi-Fi联盟持有的无线局域网实现方式的标识，即遵循IEEE802.11系列协议的无线局域网实现方式。返回本章首页2.无线局域网安全机制2001年5月802.11工作组成立了802.11i任务组，专门负责制定WLAN的安全标准。与WLAN有关的安全机制主要包括WEP、WPA和WPA2等协议标准。返回本章首页WEP（WiredEquivalentPrivacy）WEP即有线等价保密。WEP协议的设计目标是保护传输数据的机密性、完整性和提供对WLAN的访问控制，但是由于协议设计者对于RC4加密算法的不正确使用，使得WEP实际上无法达到其期望目标。WEP采用一个初始向量（IV）和密钥（KEY）生成一个中间密钥，然后用该中间密钥加密信息。WEP加密采用的密钥长度为40bits，IV的长度为24bits。返回本章首页WPAWPA标准是Wi-Fi联盟联合IEEE802.11i任务组的专家共同提出的，在该标准中数据加密使用临时密钥完整性协议（TemporaryKeyIntegrityProtocol，TKIP），认证有两种可选模式：一种是使用802.1x协议进行认证，适用于企业用户；另一种称为预先共享密钥（Pre-SharedKey，PSK）模式，采取用户在WLAN的所有设备中手工输人共享密钥的办法来进行认证，适用于家庭用户。返回本章首页WPA标准专门对WEP协议的不足之处进行了有针对性的改进，对于802.lli标准和WEP都具有兼容性。WPA标准是802.11i标准正式实施以前WLAN安全采用的过渡方案。WPA依然采用RC4算法对数据进行加密，为了增强数据安全性，将密钥长度增加到128bits，且IV长度增加到48bits。返回本章首页WPA2WPA2是对WPA的增强，实际上是802.11i的完整实现。802.11i标准包括一组鲁棒性很强的安全标准集，包括802.1X身份验证和基于端口的访问控制，AES加密模块和CCMP，用来保持关联性的跟踪，并提供保密、完整性和源身份验证。返回本章首页应用模式WPAWPA2企业应用模式身份认证：IEEE802.1x/EAP身份认证：IEEE802.1x/EAP加密：TKIP/MIC加密：AES-CCMP个人应用模式身份认证：PSK身份认证：PSK加密：TKIP/MIC加密：AES-CCMP10.3移动终端安全1.iOS安全iOS是苹果公司为移动设备开发的操作系统，主要用于iPhone，iPodTouch，iPad和AppleTV。iOS是从MacOSX衍生而来的类Unix操作系统。iOS最吸引用户的就是其电子市场（AppStore），集中管理应用程序以供用户下载。返回本章首页iOS安全机制为了保证用户的安全，苹果为iOS设计了一套安全机制。主要由下面几部分构成：（1）可信引导（2）程序签名（3）沙盒和权限管理（4）密钥链和数据保护返回本章首页iOS安全隐患在iOS系统安全体制之下，仍然存在很多安全隐患和问题，主要包括：（1）利用引导过程的缺陷对设备进行“越狱”。用户使用这种技术及软件可以获得iOS的最高访问权限，甚至可以解开运营商对手机网络的限制。普通用户利用这些工具就可以对其设备进行“越狱”，获得管理员权限，然后就能访问文件系统、执行非官方签名的应用程序。返回本章首页用户对iOS设备进行越狱，主动破坏iOS系统的安全保护机制，实际上是对iOS系统数据安全最大的威协。相比使用AppStore，用户更加容易受到恶意软件的影响，同时恶意软件也可以获得最高权限，从而对系统进行全面的控制，窃取用户隐私和数据。返回本章首页返回本章首页功能未越狱越狱自启动运行无法实现可以实现获取联系人可以实现可以实现获取短信、通话记录无法实现可以实现破解邮件、网络密码无法实现可以实现GPS后台追踪需要用户授权不需要用户授权通话、短信拦截无法实现可以实现后台录音无法实现可以实现越狱前后，iOS应用程序所能实现的一些功能对比。（2）手机隐私泄露问题。不同于其他平台，手机操作系统需要保护手机中存储的手机号码、通讯录、短信、地址之类的隐私信息。苹果公司则主要依靠自己的软件审查机制来保证iOS平台上软件的安全性，只有经过审查的应用程序才能发布到AppStore上，严格的检查将恶意程序阻止在系统之外。但是，由于这个审查过程和方法的细节并未公开，用户无法完全信任苹果的这套机制能够确保的用户数据的安全。返回本章首页（3）安全漏洞和恶意程序。在BlackHatUSA2009上研究者演示了如何用短信来得到iPhone的控制权。而iPhone中Safari漏洞也是黑客一直用来攻击的对象。返回本章首页iOS安全加固由于在未越狱iOS系统中的应用不能对系统进行深层次的操作，因此正常的应用软件不能实现一般安全软件系统的扫描、拦截、监控等功能。目前在AppStore上销售的安全软件多以通讯录备份、电池管理等功能为主的手机管理软件。而在越狱过的iOS系统中，虽然iOS系统本身的安全机制受到破坏，但应用程序却有能力实现对iOS系统更深入的安全防护。返回本章首页返回本章首页360安全卫士（iphone版）是专门针对iOS系统的管理软件，但是需要先对iOS进行越狱才能全面地发挥作用。360安全卫士（iphone版）的主要功能包括流量监控、安全备份、系统信息查询、号码归属地查询、照片保险箱、密码保险箱等。iPhone及iPad安全使用指南美国家安全局2012年发布了《iPhone及iPad安全使用指南》，该指南提供了在iOS下运行的iPhone及iPad的安全管理基本知识，提出了保持物理安全、及时升级iOS系统、不要“越狱”、开启自动锁屏及密码功能、不要加入到不熟悉的无线网络、在不需要时关闭蓝牙、关闭地点设置等10项安全建议。返回本章首页返回本章首页（1）保持物理安全（2）及时升级iOS系统（3）不要“越狱”（4）开启自动锁屏及密码功能（5）不要加入到不熟悉的无线网络（6）在不需要时关闭蓝牙（7）关闭地点设置（8）上网浏览器的设置（9）电子邮件的设置（10）使用iPhone的设置软件2.Android安全Android简介2007年11月5日Google公司正式发布了基于Linux内核的开源操作系统Android。现已成为全球市场占有份额最高的智能手机操作系统。Android的流行使其已成为众多恶意软件的攻击目标，针对Android的木马、Rootkit和应用层特权提升攻击等安全威胁不断出现。返回本章首页Android组件模型Android是一个移动设备软件栈，其系统架构包含多个层次，主要有应用层、应用框架层、Android运行时和系统库以及Linux内核。Android中的应用都是用Java语言编写，然后生成Dalvik虚拟机可执行的apk文件。Android应用由一个或多个不同的组件构成，这些组件主要包括四种类型:Activity、Service、BroadcastReceiver、ContentProvider。返回本章首页返回本章首页Activity是用户接口的容器，表现为可视化的用户接口。Service在后台运行，它没有可视化的用户接口，通常完成一些无需用户干预的操作。BroadcastReceiver用于接收和响应应用关心的广播消息。ContentProvider提供了一种应用间共享数据的方法。Android安全机制（1）权限机制Android应用框架层提供了限制组件间访问的强制访问控制机制，系统中定义了一系列安全操作相关的权限标签，应用需要在配置文件（Manifest.xml）中利用这些标签声明自己所需的权限，当用户同意授权后，该应用下属的所有组件将会继承应用声明的所有权限。同时，组件也可以利用权限标签限制能够与其交互的组件范围。返回本章首页返回本章首页Android支持普通（normal）、危险（dangerous）、签名（signature）以及签名或系统（SignatureOrSystem）四种权限保护级别。危险级别的权限在应用程序安装时会在屏幕上列出，而普通级别的权限是隐藏在折叠目录或屏幕上的。签名级别的权限只有在请求权限的应用程序与声明权限的程序是用相同的证书签名时才被授权。返回本章首页（2）沙盒机制为了保障每个应用运行过程中不被其他应用影响，Android系统为每个应用在运行过程中提供了一个沙盒。其具体实现是，Android系统为每个应用提供一个Dalvik虚拟机实例，使其独立地运行于一个进程，并且为每一个应用创建一个对应于Linux底层的用户名，并设置用户ID。利用这个用户ID可以保护应用的文件、数据和内存。返回本章首页如果希望2个应用共享权限、数据，可以通过设置sharedUserID来声明2个应用使用同一个用户ID，运行于同一进程，并共享其资源和权限。但是声明使用sharedUserID的应用必须有相同的用户签名。这种机制不但可以在应用运行过程中保障其独立性，还可以提高系统的鲁棒性。当单个应用运行出现问题时，可以消除其虚拟机实例来保障整个系统的安全运行。返回本章首页（3）签名机制所有Android应用都要被打包成*.apk文件，这个文件在发布时都必须被签名，与通常在信息安全领域中使用数字证书的用途不同，Android利用数字签名来标识应用的作者和在应用间建立信任关系，而不是用来判定应用是否应该被安装。而且，这个数字证书并不需要权威的数字证书签名机构认证，而是由开发者来进行控制和使用的，用来进行应用包的自我认证的。Android安全缺陷（1）Android通过PackageInstaller在应用安装时检查应用所需的权限，并提示用户，由用户做出抉择。但是，如果用户想使用该应用的功能，就必须同意应用申请的全部权限，否则PackageInstaller将拒绝安装该应用。（2）Android没有对已授予应用的权限的使用范围进行限制。比如应用申请了读联系人数据的权限，那么它就可以读取全部的联系人数据，而不能根据联系人分组区别对待。返回本章首页返回本章首页（3）由于所有权限都是在安装时进行检查并授予的，所以资源的访问不能根据用户的位置、时间等不同而进行动态的限制。（4）用户撤销已授予某个应用权限的唯一方法就是卸载该应用。以上安全缺陷不仅降低了Android平台的可用性，同时导致平台容易遭受应用层权限提升攻击，具体又可分为混淆代理人攻击和共谋攻击。Android安全配置为了保障运行Android系统的移动终端的安全，对其进行安全配置是非常必要的，比较方便的配置方式是使用专业的Android系统配置管理软件。常用配置管理软件有LBE安全大师、360手机卫士等。下面以LBE安全大师为例来介绍Android系统的安全配置。返回本章首页返回本章首页（1）LBE安全大师简介LBE安全大师是Android平台上首款主动式防御软件，第一款具备实时监控与拦截能力的手机安全软件。LBE安全大师基于业界首创的Android平台API拦截技术，能够实时监控与拦截系统中的敏感操作，动态拦截来自已知和未知的各种威胁，避免各类吸费软件，广告软件乃至木马病毒窃取移动终端内的隐私信息。返回本章首页LBE安全大师能够为系统中每一个应用的每一个敏感操作指定权限，包括允许、拒绝和提示。通过此项功能，用户可以关闭某些应用申请的额外权限，阻止应用内嵌广告代码的执行而保留应用功能不受影响。返回本章首页（2）权限管理LBE安全大师提供了免root直接进行权限管理的配置模式，同时提供了专业的权限配置推荐，给用户权威的配置指导，简化了权限配置过程。返回本章首页（3）病毒查杀基于安天AVLSDK反病毒引擎，具有业内领先的病毒查杀率和极低的病毒误报率，提供快速及深度无扫描方式，强化检测所有已安装软件，真正做到无死角病毒检测。返回本章首页（4）骚扰拦截LBE安全大师的骚扰拦截功能内置智能识别算法，可使用黑白名单、关键字和自定义拦截模式等方式自动拦截特定的骚扰来电和短信，可以在绝大多数手机上实现无响铃拦截，陌生来电延迟3秒响铃，避免骚扰来电和诈骗电话。10.4无线安全技术及应用1.常用无线网络安全技术访问控制技术利用MAC地址访问控制和服务区认证ID（SSID）技术来防止非法的无线设备入侵。数据加密技术数据加密是无线网络安全的基础，对传输的数据进行加密是为了防止其在未授权的情况下数据被泄露、破坏或篡改。返回本章首页端口访问技术IEEE802.1x协议是一种基于端口访问的控制协议，能够实现对局域网设备的安全认证和授权。该技术是用于无线网络的一种增强性网络安全解决方案。802.1x除提供端口控制访问能力之外，还提供基于用户的认证系统，使得网络管理者能更容易控制网络接入。返回本章首页数据校验技术校验是为了确保传输数据的完整性，防止数据在传输的过程中被非法截取后而进行恶意修改的行为。返回本章首页2.无线网络安全技术应用修改无线路由器的默认账号和密码无线路由器出厂时设置的默认账户与密码通常都比较简单，而且众所周知。因此必须及时修改无线路由器的默认账号和密码，并且要定期进行变更，防止非法用户登录无线路由器，修改相关参数，从而可以对无线局域网内的用户进行访问和攻击。返回本章首页设置服务区标识符（SSID）SSID是用来区分不同的无线网络。AP和无线路由器默认情况下会向所有的无线客户端广播自己的SSID号，从而方便用户接入相应的无线网络。广播SSID的功能在方便正常用户的同时也给非法用户接入网络创造了条件，因此应及时取消AP和无线路由器的“允许SSID广播”功能，使得非法用户不能搜索到SSID号，从而降低网络被入侵的几率，增加网络的安全性。返回本章首页启用无线网络的加密设置无线设备上都具有WEP加密、WPA加密和WPA2加密功能，其中WPA2使用256位的密钥，而且数据包在广播过程中，WPA2加密密钥不断变化，具有更好的安全性，应优先启用WPA2加密功能。返回本章首页设置MA