watchOS 系统安全性
Apple Watch 使用与 iOS 和 iPadOS 相同的许多基于硬件的平台安全性功能。例如,Apple Watch:
执行安全启动和安全软件更新
维持操作系统完整性
帮助保护设备上以及与配对的 iPhone 和互联网通信期间的数据
支持的技术包括“系统安全性”中所列技术(例如 KIP、SKP 和 SCIP)以及数据保护、钥匙串和网络技术。
更新 watchOS
watchOS 可配置为在夜间更新。有关 Apple Watch 密码是如何储存以及用于更新过程的更多信息,请参阅密钥包。
手腕检测
如果打开了手腕检测,设备从用户的手腕取下后会立即自动锁定。如果关闭了手腕检测,控制中心会提供锁定 Apple Watch 的选项。Apple Watch 锁定后,只有通过在 Apple Watch 上输入密码才能使用 Apple Pay。用户可以在 iPhone 上的 Watch App 中关闭手腕检测。此设置还可使用设备管理服务强制实施。
激活锁
为 iPhone 打开“查找”后,其配对的 Apple Watch 也可以使用激活锁。激活锁使任何人都难以使用或出售丢失或被盗的 Apple Watch。激活锁需要用户的 Apple 账户和密码来取消配对、抹掉或重新激活 Apple Watch。有关更多信息,请参阅激活锁安全性。
与 iPhone 安全配对
Apple Watch 一次只能与一台 iPhone 配对。取消配对 Apple Watch 时,iPhone 会发送抹掉 Apple Watch 所有内容和设置的指令。
Apple Watch 与 iPhone 的配对使用编码到动画图案中的密钥保护,该图案由 Apple Watch 显示,并使用 iPhone 相机拍摄。如有必要,六位数 PIN 码也可用作回退配对方法。密钥或 PIN 码的使用方式取决于 Apple Watch 和 iPhone 上运行的操作系统版本。
运行 watchOS 26 或更高版本的 Apple Watch 与运行 iOS 26 或更高版本的 iPhone 配对时,配对会通过在安全 IKEv2 连接中交换密钥的方式执行。此连接使用标准 PSK 认证和编码到动画图案中的密钥进行认证,或者由使用 SPAKE2+ 从 PIN 码派生的连接特定密钥进行认证。除了椭圆曲线迪菲-赫尔曼提供的安全保护,ML-KEM-1024 还会用于提供量子安全性。
连接建立后,每台设备会生成随机 Ed25519 公私密钥对,并交换公钥。私钥会植根于 Apple Watch 上的安全隔区。此过程不会在 iPhone 上发生,因为用户将其 iCloud 云备份恢复到相同 iPhone 时会保留现有 Apple Watch 配对而无需迁移。每台设备还会生成和交换用于 BLE 4.1 带外配对的密钥。
Apple Watch 和 iPhone 运行较低版本软件时,编码到动画图案中的密钥会用于 BLE 4.1 带外配对,六位数 PIN 码会用于配对标准 BLE 万能钥匙进入模式。BLE 会话建立且使用《蓝牙核心规范》中可用的最高级安全协议加密后,iPhone 和 Apple Watch 会通过以下任一过程交换密钥:
改编自 Apple 身份服务 (IDS) 的过程(如 iMessage 信息安全性概览中所述)。
使用 IKEv2/IPSec 的密钥交换过程。初始密钥交换使用蓝牙会话密钥(用于配对场景)或 IDS 密钥(用于操作系统更新场景)认证。每台设备生成 Ed25519 公私密钥对,初始密钥交换过程中会交换公钥。运行 watchOS 10 或更高版本的 Apple Watch 首次配对后,私钥会植根于其安全隔区中。
在运行 iOS 17 或更高版本的 iPhone 上,私钥不会植根于安全隔区中,因为用户将其 iCloud 云备份恢复到相同 iPhone 时会保留现有 Apple Watch 配对而无需迁移。
【注】用于密钥交换和加密的机制各有不同,具体取决于 iPhone 和 Apple Watch 上的操作系统版本。运行 iOS 13 或更高版本的 iPhone 在与运行 watchOS 6 或更高版本的 Apple Watch 配对时,将仅使用 IKEv2/IPSec 进行密钥交换和加密。
密钥交换后:
蓝牙会话密钥被丢弃,iPhone 和 Apple Watch 间的所有通信(通过加密蓝牙、无线局域网和提供二级加密层的蜂窝链路)使用以上列出的一种方法加密。
BLE 设备地址也会每隔 15 分钟更新一次,以降低有人广播永久标识符导致设备被本地跟踪的风险。
(仅限 IKEv2/IPsec)密钥储存在“系统”钥匙串中,用于认证以后设备之间的 IKEv2/IPsec 会话。设备之间的加密取决于硬件和操作系统:
运行 iOS 26 或更高版本的 iPhone 在与运行 watchOS 26 或更高版本的 Apple Watch 配对时,除了椭圆曲线迪菲-赫尔曼提供的安全保护,还会采用 ML-KEM-768 提供量子安全性。
运行 iOS 15 或更高版本的 iPhone 与运行 watchOS 8 或更高版本的 Apple Watch Series 4 或后续机型配对时,将使用 AES-256-GCM 实现加密并提供完整性保护。
旧款设备或运行较低操作系统版本的设备使用 ChaCha20-Poly1305 搭配 256 位密钥。
为支持需要流传输数据的 App,加密采用了 FaceTime 通话安全性中所描述的方法,即使用配对 iPhone 所提供的 Apple 身份服务 (IDS) 或直接互联网连接。
Apple Watch 对文件和钥匙串项采用硬件加密储存方式以及基于类的保护。同时对钥匙串项还使用了访问控制密钥包。Apple Watch 和 iPhone 间通信使用的密钥也采用了基于类的保护进行加密。有关更多信息,请参阅用于数据保护的密钥包。
使用 Apple Watch 在 macOS 中批准
启用使用 Apple Watch 自动解锁后,Apple Watch 可替代或者配合触控 ID 来批准以下授权和认证提示:
macOS 和 Apple App 要求授权
第三方 App 要求认证
保存的 Safari 浏览器密码
安全备忘录
安全使用无线局域网、蜂窝网络、iCloud 和 Gmail
当 Apple Watch 不在蓝牙通信范围内时,可以转而使用无线局域网或蜂窝网络。如果配对 iPhone 已经加入过某个无线局域网,且其网络凭证在两台设备处于相互覆盖范围内时已经同步到 Apple Watch,Apple Watch 会自动加入此网络。此“自动加入”行为可稍后在 Apple Watch “设置” App 中的“无线局域网”部分对每个网络进行配置。两台设备从未加入过的无线局域网可在 Apple Watch “设置” App 中的“无线局域网”部分手动加入。
Apple Watch 和 iPhone 未在通信范围内时,Apple Watch 会直接接入 iCloud 和 Gmail 服务器来取回邮件,而不是通过互联网与配对 iPhone 同步邮件数据。对于 Gmail 账户,用户必须在 iPhone 上 Watch App 中的“邮件”部分进行 Google 认证。从 Google 收到的 OAuth 令牌会以加密格式通过 Apple 身份服务 (IDS) 发送到 Apple Watch,用于取回邮件。此 OAuth 令牌绝不会用于从配对 iPhone 连接 Gmail 服务器。