iOS安全保护介绍中文版官方iOS_Security_Guide

ios安全白皮书（中文版）信用卡、借记卡和储值卡颈置支付授权交易专用动态安全码使用 Apple pay进行免接触式支付使用 Apple pay进行应用内支付在网上使用 Apple Pay支付或者通过“接力”支付回馈卡Apple pay cashSuica卡暂停使用、移除和抹掉付款卡第39页互联网服务Apple ide信息FaceTime通话iCloudiCloud钥匙串Siri连续互通Safari建议、搜索中的Siri建议、查询、#图像、“新闻”应用以及不支持新闻”应用的国家或地区的“新”小组件第50页设备控制密码保护iS配对模型配置执行移动设备管理(MDM共用的iPadApple校园教务管理设备注册Apple Config临督访问限制远程擦除丢失模式激活锁第55页隐私控制定位服务访问个人数据隐私政策第56页 Apple安全性奖金第57页结束语安全性承诺第58页术语表第60页文稿修订记录iOS安全保护指南一白皮书|2018年1月介绍Appe设计的ioS平台以安全性为核心。着手于开发一流的移动平台时,我们充分利用了数十年积累的丰富经验,力求打造出全新的架构。在深入思考桌面环境中的诸多安全性隐愚后,我们在ioS的设计中建立了一个全新的安全保护机制。我们开发并整合了一系列有助于增强移动环境安全性的创新玏能,它们会在默认情况下为整个系统提供保护。数据保护类这一切使得iOS在移动设备安全领域迈出了更深远的一步。软件、硬件和服务在每台joS设备上紧密联系、共同工作,旨在为用户提供最高的安全性应用沙盒和透明的体验。joS不仅保护设备和其中的静态数据,还保护整个生态系统,包括用户在本地、网络上以及使用互联网核心服务执行的所有操作。用户分区软件(加密)iOS和iOS设备不但提供先进的安全性功能,而且还易于使用。很多安全性功能在默认情况下均夂于启用状态,因此∏部门无需执行大量的配置操作。而设备加密等关键的安操作系统分区全性功能是不可配置的,因此可以避免用户在无意中停用这些功能。面容|D等其他功能让设备安全性变得更简单直观,从而增强了用户体验。文件系统本文详细介绍了安全性技术和功能如何在iOS平台中得以实现。在本文的帮助下,各个公司能够将iOS平台安全性技术和功能与自身的政簣和规程结合在一起,从而满足公司的特定安全性需求。内核本文主要分为以下几个主题安全隔区安全元件·系统安全性: iPhone、iPad和 iPod touch上安全的一体化软硬件平台。硬件和加密和数据保护:一种对用户数捃进行保护的架构和设计。在设备丢失或被盗,或有未固件授权人员尝试使用或修改设备时,能够保护设备上的用户数据加密引擎·应用安全性:确保应用安全运行,同时又不破坏平台完整性的系统。网络安全性:针对传输中的数据提供安全认证和加密的行业标准联网协议。· Apple pay: Apple推行的安全支付方式。设备密钥群组密钥·互联网服务: Apple用来提供信息通信、同步和备份服务的网络基础架构。Apple根证书·设备控制:允许对ioS设备进行管理、防上未经授权的使用以及在设备丟失或被盗时OS安全性架构图以直观的图表形式概述了启用远程擦除的方法本文要探讨的各类技术。·隐私控制:jOS中可用于控制“定位服务”和用户数据汸问权限的功能。iOS安全保护指南一白皮书|2018年1月系统安全性进入设备固件升级(DFU)模式系统安全性旨在确保每台ioS设备的所有核心组件都能为软件和硬件提供安全保护。进入DF∪樸式后恢复设备,可使设备恢复到这包括启动过程、软件更新和安全隔区。此架构是iOS安全体系的核心,并且不会影响已知的正常状态,该状态下只存在未修改的设备的正常使用Appe签名的代码。可通过以下方式手动进入DF∪模式。ioS设备的硬件、软件和服笫实现了紧密集成,可确保系统的每个组件均获得信任,并对系统进行整体验证。从初始启动到joS软件更新,再到第三方应用,每个步骤都经过分柝首先,使用USB连接线将设备连接到电脑。和审查,确保硬件和软件以最优化的方式协同工作,并以恰当的方式使用资源。然后在 iPhone x、 iPhone8或 iPhone8Plus上:按下并快速松开调高音量按钮。按下并快安全启动链速松开调低音量按钮。然后,按住侧边按钮直启动过程每个步骤包含的组件都经Appe加密签名以确保其完整性,只有在验证信任到看见恢复模式屏幕。链后,每个步骎才能继续。这些组件包括引导加载程序、內核、內核扩展项和基带固件。在 iPhone7或 iPhone7Plus上:同按这一安全启动链有助于确保软件的最底层不被篡改。住侧边授钮和调低音量按钮。一直技佳直到看Os设备开机后,其应用程序处理器会立即执行只读内存(称为 Boot rom中的代码见恢复模式屏幕。这些不可更改的代码(称为硬件的信任根)是在制造芯片时设好的,为隐式受信任代码。在 iPhone6s及更早机型、iad或Boot rom代码包含Appe根CA公钥,该公钥用于验证oot引导加载程序是否经Pod touch上:同时按住主屏幕按钮和顶部过 Apple签名,以决定是否允许其加载。这是信任链中的第一步,信任链中的每个步骤(或侧边)按钮。一直按住直到看见恢复模式都确保下一步骤获得 Apple的签名。 iBoot完成任务后,会验证和运行iOS内核。对于并幕搭载S1、A9或更早A系列处理器的设备, Boot rom还会加载和验证底层引导加载程注:设备进入DFU模式时,屏幕上不会显示序LLB),之后会依次加载和验证Boot。任何内容。如果出现Appe标志,表示按住如果 Boot rom载入LLB(在较旧设备上)或 iBoot(在较新设备上)失败,会导致设侧边按钮或睡眠/唤醒按钮的时闫过长。备进入DF∪模式。如果LLB或 iBoot无法载入或验证下一步,启动过程会暂停,设备显示屏会显示连接到 iTunes屏幕。这被称为恢复模式。出现任一情况,设备都必须通过USB连接到 iTunes,并恢复为出厂默认设置。对于可接入蜂窝移动网络的设备,基带子系统也使用其类似的安全启动过程,包括已签名的软件以及由基带处理器验证的密钥。对于搭载安全隔区的设备,安全隔区协处理器还会使用安全启动过程,用以确保其单独的软件经过Appe验证和签名。请参阅本白皮书的“安全隔区”部分有关手动进入恢复模式的更多信息,请访问:support.apple.com/zh-cn/HT201263系统软件授权Apple会定期发布软件更新以解决新出现的安全性问题,并提供全新功能;此类更新会同时提供给所有支持的设备。用户会在设备上和 iTunes中看到ios更新通知,更新通过无线方式发送,旨在鼓励用户尽快应用最新的安全性修正。前述启动过程有助于确保设备上只能安装 Apple签名的代码。为避免设备降级为缺少最新安全性更新的早期版本,ioS采用了名为“系统软件授权”的过程。如果可以将设备降级,攻击者一旦有了设备的控制权,便会安裝早期版本的ios,并利用旧版本中未修复的漏洞来进行破坏。对于搭载安全隔区的设备,安全隰区协处珵器还会利用“系统软件授权”来确保软件的完整性,并防止降级安装。请参阅本白皮书的“安全隔区”部分。iOS安全保护指南一白皮书|2018年1月iOS软件更新可通过 ITunes安装,也可采用无线(OTA)方式直接在设备上安装。如果通过 iTunes安装更新,系统会下载并安装完整的iOS副本。如果采用OTA方式安装软件更新,系统将仅下载完成更新所需的组件,而不是下载整个操作系统,这样可有效提升网络效率。此外,软件更新可以缓存到运行 macOS High Sierra且启用了“内容缓存”的Mac上,这样iOs设备便无需通过互联网重新下载必要的更新。iOS设备仍需联系 Apple服务器来完成更新过程。在iOS升级过程中, iTunes(若采用OTA软件更新方式,则为设备本身)会连接到Appe安装授权服务器,并向其发送以下数据:要安装的安装包各部分例如, iBoot内核及操作系统映像)的加密测量值列表、一个随机的反重放值(随机数)以及设备的唯一1D(EC|D)。授权服务器将提供的测量值列表与允许安装的版本进行比较,如果找到匹配项,就会将ECD添加到测量值并对结果进行签名。作为升级过程的一部分,服多器会将完整的一组已签名数据传递给设备。添加EC|D可为请求设备“个性化”授权。通过仅对已知测量值授权和签名,服务器可确保更新的内容即为 Apple所提供的内容。启动时信任链评估用于验证签名是否来自 Apple,并结合设备的ECD来确认从磁盘加载的项目测量值是否与该签名认可的内容相匹配。这些步骤可确保针对特定没备进行授权,并且旧版iOS无法从一台设备拷贝到另一台设备。随机数可防止攻击者存储服务器的响应和利用该响应来破坏设备或通过其他方式篡改系统软件安全隔区安全隔区是 Apple T1、 Apple s2、 Apple s3、 Apple a7或更高版本A系列处理器中集成的协处理器。它使用加密内存,并包含一个硬件随机数生成器。安全隔区为数据保护密钥管理提供所有加密操作,即使在内核遭到入侵的情况下,也可维护数据保护的完整性。安全隔区与应用程序处理器之间的通信被隔离到一个中断驱动的邮箱以及共享的內存数据缓冲区。安全隔区运行的是L4微内核的Appe定制版本。此微内核由 Apple签名,作为iOs安全启动链的部分进行验证,并通过定制化的软件更新过程得到更新。设备启动时会创建一个临时密钥,此密钥与设备的UD配合使用,并用于对设备内存空间的安全隔区部分进行加密。除在 Apple a7上之外,安全隔区的內存也使用临时密钥进行认证。在 apple a11上,使用了完整性树防止安全性要求极高的安全隔区内存岀现重放,并使用储存在芯片上SRAM中的临时密钥和随机数进行认证。此外,由安全隔区存储到文件系统的数据还会通过与U|D配合使用的密钥以及反重放计数器进行加密。安全隔区上的反重放服务用于随事件的发展撤销数据,这些标记反重放边界的事件包括但不限于更改密码·启用/停用触控|D或面容|D·添加/删除指纹重设面容|D·添加/移除 Apple pay卡片抹掉所有内容和设置安全隔区还负责处理来自触控D和面容传感器的指纹和面容数据,确定是否匹配,然后代表用户允许访问或购买。iOS安全保护指南一白皮书|2018年1月触控|D触控D是指纹感应系统,有助于更快、更轻松地对 iPhone和iad进行安全的访问此技术可从任意角度读取指纹数据,随着传感器每次使用时识判出更多重叠的节点而不断扩大指纹图,逐步提高对用户指纹识别的能力。面容|D只需轻轻一瞥,面容D就会安全地解锁 iPhone x。它借助于原深感摄像头系统所使用的先进技术来准确绘制您脸部的几何特征,从而提供直观、安全的认证方法。面容|D通过检测您注视的方向来确认注意力,然后使用神经网络来匹配和反欺诈,让用户只需一瞥即可解锁手机。面容D自动适应您外貌的变化,并谨慎地保护您生物识别数据的隐私和安全。触控ID、面容ID和密码要使用触控D或面容D,您必须对设条进行相应的设置,令设备需要密码才能解锁当触控围D或面容|D检测到匹配成功后,设备便会自动解锁,且不会要求输入设备密码。这让使用更长、更复杂的密码变得更加实际,因为您无需频繁圯输入这样的密码。触控D和面容|D不会代替您的密码.而是在精心设计的范围和时间限制内方便您轻松访问设备这一点十分重要,因为强密码是形成您iOS设备加密保护的根基。您随时都可以使用密码来代晳触控ID或面容,并且在以下情况下必须使用密码:·设备刚刚开机或重新启动设备未解锁的时问超过48小时。·在过去156个小时(六天半)内未使用密码解锁设备,且在过去4小时内未使月面容|D解锁设备。·设备收到了远程锁定命令。尝试五次后未能成功匹配·在关机/使用SOS紧急联络后触控或面容D启用后,按下侧边按钮时,设备会立即锁定,且每次设备进入睡眠状态后都会锁定。每次唤酲时,需要成功匹配触控|D和面容|D,或者密码其他人注视您的 iPhoneⅩ并通过面容|D解锁成功的概率大约为一百万分之一(而触控ID的这一概率为五万分之一)。为了提供额外的保护,触控D和面容1都只允许五次不成功的匹配尝试,之后便会要求输入密码来获得设备的访问权狠。对于与您长相相似的双胞抬和兄弟姐妹,以及未满13岁的儿童,面容D错误匹配的概率有所不同。后者的原因是,儿童的险部特征可能尚木完全成型。如果对此感到担忧, Apple建议您使用密码来认证触控ID安全性只有当主屏幕按钮周围的电容金属环检测到手指触摸时,指纹传感器才会启动,从而触发先进的成像阵列来扫描手指,并将扫描结果发送至安全隔区。处理器和触控丨D传感器之间的通信通过串行外设接口总线实现。处理器将数据转发到安全隔区,但处理器本身无法读取这些数据。数据通过会话密钥进行加密和认证,该密钥通过为每个出厂触控|D传感器及其对应的安全隔区预置的共享密钥进行协商。共享密钥对于每个触控I传感器而言都是随机且不同的强密钥。会话密钥交换针对双方使用AES密钥封装,并提供一个用于建立会话密钥并使用AES-CcM传输加密的随机密钥。光栅扫描结果会临时储存在安全隔区的加密内存中,同时系统会对其进行向量化处理以便分析,然后将丢弃相关数据。此分析采用皮下纹路走向角度映射,这是一种有损过程,会在分析完成后丢弃用于重建用户实际指纹的详细数据。最终生成的节点图以一种只能由安全嗝区读取的加密格式进行储存,不包含任何身份信息并且绝不会发送给Appe或备份至iCloud或 iTunes。iOS安全保护指南一白皮书|2018年1月面容D安全性面容|D旨在确认用户的注意力,提供一种匹配错误率低的可靠认证方法,并減少数字和实体诈骗当您拿起 iPhoneⅩ或轻点屏幕来唤醒设备时,以及当 iPhone x尝试对您进行认证来显示收到的通知或者支持的应用要求进行面容认证时,原深感摄像头会自动查找您的脸部。检测到验部后,面容D通过检测到您的双眼睁开且注视着设备来确认注意力和解锁意图;对于辅助功能,当“旁白”激活时,此功能会停用,并且可在需要时单独停用。旦确认存在注薏着设备的脸部,原深感摄像头会投影并读取30000多个红外点以绘制脸部的深度图和2D红外图像。此数据被用来创建一个2D图像和深度图序列,经过数字签名后发送到安全隔区。为抵制数字和实体诈骗,原深感摄像头会随机化捕捉到的一个2D图像和深度图序列,并投影出设备特定的随机图案。A11仿生芯片的神经引擎(在安全隔区中受到保护)的一部分会将岀数据转换为数学表达式,并将该表达式与注册的脸部数据进行对比。此注册的脸部数据本身就是捕捉自您脸部各种姿态转换而成的数学表达式。在安全隔区内部,使用专为脸部识别而训练的神经网络来执行脸部匹配。我们开发的脸部匹配神经网络使用了超过十亿张图像,其中包括在参与者知情同意的条件下所开展的研究中收集的R图像和深度图像。 Apple与全世界的参与者开展合作,力争包括不同性别年龄、种族和其他因素的各类人群代表。此项研究根据需要进行了扩增,从而为各种不冋范围的用户提供高度的准确性。即使戴有帽子、围巾、眼镜、隐形眼镜和各式太阳眼镜,面容心D也会确保正常使用。此外,在窒内、室外,甚至完全漆黑的情况下都可以使用。训练用来发现和抵制诈骗的外神经网络可以抵御尝试使用照片或面具来解锁 iPhoneⅩ的行为。面容ID数据,其中包括脸部的数学表达式,经过加密且仅可被安全隔区使月。此数据绝对不会离开设备,不会发送给Appe,也不会包括在设备备份中。在日常操作中,以下面容|D数据会存储和加密,仅供安全隔区使用:·注册时,计算出的您脸部的数学表达式。·在某些解锁尝试过程中计算岀的险部数学表达式,如果而容|D认为这些表达式有助于扩增日后匹配。在日常操作中所捕捉的脸部图像不会存储,在注册时或与注册的面容|D数据进行对比时,会在计算出数学表达式后会立即丢弃。触控ID或面容|D如何解锁iOS设备如果触控|或面容|D已停用,当设备锁定时,保存在安全隔区中数据保护的最高类的密钥将被丢弃。除非您输入密码来解锁设备,否则不允许访问该类中的文件和钥匙串项。如果触控|D或面容ID已启用,当设备锁定时,这些密钥不会被丢弃,而是通过提供给安全隔区中的触控1D或面容D子系统的密钥进行封装。当您尝试解锁设备时,如果设备检测到匹配成玏,它将提供用于解封数据保护密钥的密钥,从而使设夆得到解锁。此过程要求数据保护和触控或面容ID子系统相互配合以解锁设备,因此提供了额外的保护。设备重启时,触控1D或面容|D用来解锁设备所需的痉钥会丢失;如果出现需要输入密码的任何情况(例如,超过48小时未解锁或尝试匹配失败超过五次),安全隔区会丢弃密钥。为了改善解锁性能并紧跟您脸部和外观的自然变化,面容会随着时间扩增其储存的数学表达式。成功解锁后,面容ID会在有限的次数内使用新计算的数学表达式(如果其质量够好)来解锁,然后丢弃该数据。相反,如果面容丨D未能识别您,但匹配质量较某些阈值要高且您在失败后立即输入了密码,面容D会再次捕捉并使用新计算的数学表达式来扩增其注册的面容D数据。如果您停止与之匹配且在有限的解锁次数后,此新的面容ID数据会丟弃。这些扩增过程允许面容|D紧跟因您脸部毛发或化妆品使用而带来的大幅改变,从而尽量减少错误接受率。iOS安全保护指南一白皮书|2018年1月8触控D、面容|D和 Apple pay您乜可以结合 Apple pay使用触控ID和面客|D,在商店、应用和网上轻松、安全地进行购买。有关触控和 Apple Pay的更多信息,请参阅本白皮书的“ Apple Pay”部分要使用面容|D授权店内支付,您必须先连按侧边按钮两下来确认支付意图。然后使用面容|D进行认证,之后将 iPhone x靠近免接触式支付读卡器。在面容|D认证后,如果想要选择其他 Apple Pay支付方式,您需要重新认证,但无需再次连按侧边按钮两下。要在应用內和网上进行支付,需要连按侧边按钮两下来确认您的支付意图,然后使用面容ID鉴定来授权此次付款。如果在连按两下侧边按钮后的30秒内没有完成 Apple Pay交易,您需要再次连按侧边按钮两下来重新确认支付意图。面容|D诊断面容ID数据不会离开您的设备,也绝不会备份到 iCloud或任何其他地方。只有当您想要将面容|D诊断数据提供给 AppleCare以获得文持时,此信息才会从您的设备传输。启用“面容旧诊断”要求从Appe获得数字签名的授权,这个授权与在软件更新定制化过程中所使用的类似。获得授权后,您将能够在 iphoneⅩ上的“设置”应用内激活“面容D诊断”并开始设置过程作为设置“面容D诊断”的一部分,现有的面容|D注册将被删除且会要求您在面容|D中重新注册。在接下来的10天内, iPhoneⅩ会开始记录在认证过程中所捕捉到的面容D图像;之后, iPhoneⅩ将自动停上存储图像。“面容|D诊断”不会自动将数据发送给Apple。在发送给Appe前,您可以检查和批准“面容ID诊断”数据,其中包括在诊断模式中所收集的注册和解锁图像(包括失败和成功的情況)。“面容诊断”仅会上传您批准的“面容围D诊断”图像,在上传之前此数据会加密,且在上传完成后立即从 iPhoneⅩ删除。您拒绝的图像会立即删除。如果未通过检查图像并上传任何经过批准的图像而结束“面容|D诊断”会话,“面容D诊断”会在40天后自动结束,所有诊断图像会从您的 iPhone x删除。您也可以随时停用“面容|D诊断”。如果停用:所有本地图像会立即删除,且在这些情况下不会与 Apple共亨任何面容|D数据。触控ID和面容ID的其他用途第三方应用可以使用系统提供的AP要求用户使用触控|D、面容1D或密码进行认证,支持触控ID的应用无需任何更改便可自动支持面容ID。使用触控ID或面容D时,用只会收到认证是否成功的通知,而无法访问触控|D、面容D或与已注册用户关联的擔。钥匙串项也可使用触控ID或面容D进行保护,使安全隔区仅当匹配成功或设备密码正确时才将其释岀。在要求使用触控⑩D、面容υ或密码解锁钥韪串项前,应用开发者调用AP确认用户已经设置了密码。应用开发者可以执行以下操作·要求认证AP操作不回退到应用密码或者设备密码。他们可以查询用户是否进行了注册,从而允许在注重安全性的应用中将触控|D或面容ID月作第二重身份。·在安全隔区内生成和使用受触控ID或面容心保护的ECC密钥。涉及这些密钥的操作始终在安全隔区授权使用后在安全隔区内执行。您还可以对触控|D或面容|D进行配置,以便批准 iTunes store、 App Store和iBooks store中的购买行为,省去每次都要输入 Apple Id密码的麻烦。在iS11或更高版本中,受触控ID和面容ID保护的安全隔区ECC密钥用于给商店请求签名来授权购买iOS安全保护指南一白皮书|2018年1月9加密和数据保护抹掉所有内容和设置安全启动链、代码签名和运行时进程安全性都有助于确保只有受信任的代码及应用可以在设置”口的“抹掉所有内容和设置”选项会清设备上运行。iOS还有更多加密和数据倸护功能来保护用户数据的安全,即使安全性基础除可擦除储存空司上的所有密钥,从而使设备架构的其他部分遭到入侵(例如,在设备上进行未授权的修改)。这对于月户和T管理员上的所有用户数据因为处于加密状态而不可访都大有助益,它可始终保护个人和企业信息,而且有办法在设备被盗或丢失时立即进行彻问。因此,这是在将设备送给别人或送修时确底的远程摞除保从设备中移除所有个人信息的理想方式。重要事项:除非设备已备份,否则请勿使用抹掉所有内容和设置"选项,因为抹掉的数据硬件安全性功能尢法恢复。在移动设备上,速度和节能至关重要。加密操作非常复杂,如果在设计和实施时未考虑这两个重要因素,可能会带来一些性能或电池续航方面的问题每台ioS设备都配备了专用的AES-256加密引擎,它内置于闪存与主系统内存之间的DMA路径中,可以实现高效的文件加密。在A9或更高版本的A系列处理器上,闪存子系统位于隔离的总线上,该总线仅被授权通过DMA加密引擎访问包含用户数据的内存设备的唯一|D(UID)和设备组DGD)是AES256位密钥,密钥已在制造过程中被固化(uID)或编译(G|D)在应用程序处理器和安全隔区中。任何软件或固件都无法直接读取这些,而只能查看加密或解密操作结果。这些加密或解密操作则由植入于硅片中的专用AES引擎将UD或GD用作密钥来执行。此外,只有专用于安全隔区的AES引擎才能使用安全隔区的UID和GID。UD和G|D也不可以通过JTAG或其他调试接口使用。在T1、S2、S3、A9或更高版本的A系列处理器上,每个安全隔区会生成自己的UD(唯—1D)。因为每台设备的UD都是唯一的,且完全是在安全隔区內生成,而不是在设备外的制造系统中生成,因此 Apple或其任何供应商都无法访问或存储UD。在安全隔区中运行的软件利用UD来保护设备特定的密钥。有了UD,就可以通过加密方式将数据与特定设备捆绑起来。例如,用于保护文件系统的密钥层次结构就包括∪D,因此如果将存储芯片从一台设备整个移至另一台设备,文件将不可访问。∪|D与设备上的任何其他标识符都无关。G|D对于同一类设备(例如,使用App|eA8处理器的所有设备)的所有处理器是通用的。除了U|D和G|D,所有其他加密密钥都由系统的随机数生成器(RNG)使用基于CTR DRBG的算法创建。系统熵是在启动期间从时间变化以及设备启动后从中断计时中生戌的。在安全隔区内部,生成的密钥使用的是其真正的硬件随机数生成器,它基于多个环形振荡器并经过 CTR DRBG后处理安全抹掉存储的密钥与生成它们一样重要。在闪存上执行这功操作尤其貝有挑战性,例如,在闪存上损耗均衡(wear- leveling)可能意味着需要抹掉多份数据副本。为了解决该问题,joS设夆加入了一种专用于安全擦除数据的功能,称为可擦除存储器。此功能通过访问基础存储技术(例如NAND)直接进行非常低级别的寻址并抹掉少量数据块。iOS安全保护指南一白皮书|2018年1月