（战略管理）蓝牙技术安全性分析与安全策略

系(部)院：计算机系在蓝牙网络中，没有固定的基础组织，其拓扑结构随时有的设备都通过无线方式连接，而且设备间的通信不是由网络中某个设备来转达的，这个设备即在网络中的网络中，安全问题是相当复杂的，网络特别容易泄密和遭受攻击。本文通过对蓝牙技术的介绍，主要针对蓝牙技术安全系统的安全需求和安全威胁，并对蓝牙的安全机制的框了蓝牙安全结构，针对蓝牙系统安全的两种主要模式即级安全模式，进行了重点分析。同时，蓝牙技术的无线统抗干扰性，并在一定程度上保证了系统的安全性。最后，全问题的安全策略。Abstracttstopologyallhasthepossibilitychangeasnecessary,allequipmentallthrougcessarilyiscarriesondirectly,possiblyis,thisequipmentwhichsomeequipmeivulgeasecretandtosuffertheattack.hefast-frequencyhoppingplantoguaranteethelinkspeciallytobestable,likethisstrencryption;Authorization2.1蓝牙技术的安全问题分为生态安全和信息安2.1.1生态安全92.1.2信息安全92.3.1蓝牙系统的安全任务103.4.1设备鉴权133.4.2加密143.4.3快跳频145.1.3加密通信205.1.4认证205.1.5服务级安全策略215.2.1鉴别攻击215.2.2加密攻击225.2.3通信攻击225.2.4跳频攻击225.3.1跳频伪随机数发生器和电源管理方式225.3.2加密管理235.3.3查询策略235.3.4服务安全与服务发现235.3.5路由管理235.3.6鉴别的本地化安全策略23范围内的无线数据与语音通信的迫切需要。蓝牙标准,解决了小型移动设备间的无线互连问题。它以规范的公开性、频带的无须在探讨蓝牙技术在应用过程中如何能够实现一个真正的无捷、安全可靠的通信环境。同时，蓝牙技术的无线传输特性攻击，蓝牙技术特别设计了快速跳频方案以确保链路稳用和传输层的安全性。蓝牙技术是一种无线数据和语音通信的开放性全及点对多点通信。几个蓝牙设备相互连接，形成一个特别网络，称为微微网。几个相互独立、以特定方式连接在一起的微微网构成分牙系统分布式网络的安全特性与传统的分布式网络是不同的。蓝牙提供了一种短距离的无线通信标准,解决了小型移动设备间的无线互连米的空间内所有支持该技术的移动或非移动设备可以方便行音频通信或直接通过手机进行Internet冲浪。其应用范围相当广泛，可以应机、传真机、数码相机、移动电话和高品质耳机等，使用无成一个微微网(Pi-conet)，多个Piconet之间也可以互连形成Scatternet,从而方便快速地实现各类设备之间随时随地的通信。它以规范的公无须授权性等优点而越来越受到人们的重视。蓝牙技术的应用范代各种移动信息电子设备之间的电缆,向信息家电、电子上,很容易受到干扰。因此,它的安全性就显得尤为重要。在蓝牙网络中，没有固定的基础组织，其拓扑结构随时有的设备都通过无线方式连接，而且设备间的通信不一是由网络中某个设备来转达的，这个设备即在网络中起的网络中，安全问题是相当复杂的，网络特别容易泄密牙的安全问题长期以来备受业界关注，它是除价格之外分析蓝牙技术的两种安全模式,从抗网络攻击角度出发,提出完善蓝牙安全的一些策略和方法。不过，正如一些专家所指出的那样，并不是万无一失的，仍然有一些漏洞存在。比如蓝牙设备能够像原来的合法用户一样使用。如果需要对用户鉴权，链路级安全机制的基础上，增加应用级安全机制，例如当务应用时，在用户界面上增加用户和密码等要求用户输入此:第一，在所有的蓝牙技术装置中建立连接安全激活设置;第二，使用安全的应用软件，如点对点封装协议，安全套接层或虚拟个人网络;第三，评估产品的鼓励用户养成良好的安全习惯并使用适当的配置。在传统网络中存在的安全问题在蓝牙中同样也存在，而传输特性，蓝牙系统中的安全问题有其特殊性。2.1蓝牙技术的安全问题分为生态安全和2.1.1生态安全万分之一，而在这些输出中，也只有一小部分被人体吸收。在通常被认为是安全的，而蓝牙的功率还不及蜂窝电话。来组织的专家组成的一个小组公开宣布:没有可信的或有说服力的证据来证实在可接受的辐射范围内的无线设备所发出的辐射能够对人的身啊。由此可见，我们并不需要担心蓝牙技术所带来的辐射。2.1.2信息安全它是指要保证通讯双方所传递的信息不被窃路层和应用层上提供安全措施。蓝牙系统中的安全威胁主要来源于：非法窃听、能攻击。不同的安全威胁会给网络带来不同程度的破坏。是对通信网络最常见的攻击方法。这种威胁源于无线传输距离受到功率和信噪比的限制，窃听者必须与源结技术标准建议采用较低的发射功率，标准通信距离仅有十米保证了网络的可靠性。的;或者是违反安全策略，利用安全系统的缺陷非法占有系统资源或访问本应受保护的信息。必须对网络中的通信设备增加认证机制，以防网络资源。务。在蓝牙网络中，这种威胁包括阻比合法用户建大量垃圾数据来破坏合法用户的正常通信。对于这制和流量控制机制来防门。量，使用节能机制，在不进行通信时进入体眠状态。节能机制，如不停地发送连接请求，使设备无法进入能量的目的。目前对这种攻击还没有行之有效的办法。2.3.1蓝牙系统的安全任务攻击时仍然能够提供相应的服务。可用性攻击主要有阻击。击，往往无法察觉。虽然可以限制信号的发完全阻止是不可能的。所以在网络中传输的敏感信息需要保证其机密性。固定拓扑，无法确定业务授权中心。同时，如果网络中结动性较强，就会造成认证机制相对复杂，通常需要第三方换算法要能很好地解决网络移动性强，拓扑不固定的问题。须有完整的认证机制，对通信单元进行身份识别，同时，也过程中的完整性。以前的行为。个部件的功能如下。其中安全管理器是蓝牙安全体系结构中的关键功能:存储和查询有关服务的相关安全信息;存储和查询有关设备的相关安全信息;回应来自协议实体或应用程序的访问请求(允许或拒绝);在连接到应用程序之前进行认证或加密;通过初始化或处理ESCE(外部安全户)的输入来建立设备级的信任关系;初始化呼叫及查询由用户输入的个人标识服务数据库为每个服务提供相关的安全入口。在起始就看成未知设备,而且被设为默认的访问级别。得。许对连接到复用协议本身的连接去设置访问策略。利。HCI/链路管理器的接口模块可实现以下功能:①鉴权请求;②加密控制;③远程设备的名称请求;④在链路层设置加密策略;⑤在链路层设置鉴权策略。实现取决于注册的实体,如果没有注册,就使用缺省设置。该体系结构指出何时关联用户(如输入PIN),以及为了支持预期的安全检验功能底层的蓝牙协议需要问。利用中央安全管理器很容易实现灵活的访问机制,因为协议及其它实体的接口很简单,并且它们被局限于请求/答应和注册这样一种过程,访问控制封装在安全管理器中。因此,实现更为复杂的访问不会影响其他部分的实现。在该体系结构中,访问一个信任设备的信息流,连接的建立过程依次为:(3)安全管理器查询服务数据库。(4)安全管理器查询设备数据库。(5)如果有必要,安全管理器执行鉴权和加密过程。(6)安全管理器给予访问权限。蓝牙为确保与有线通信相似的安全性能，它在底义了多种安全模式和安全级别。蓝牙规范中定义了三种安全实现模式:•安全模式1:无安全机制•安全模式2:服务级安全机制•安全模式3:链路级安全机制安全模式1:无任何安全需求,无须任何安全服务和机制的保护。此时任何设备和用户都可以访问任何类型的服务;其典型的应用有:电子名片(vCard)的交换、电子日历(vCalendar)等数据传输。安全模式2:对系统的各个应用和服务需要进行分别的安全保护,包括授权访问、身份鉴别和加密传输。加密和鉴别发安全模式3:对所有的应用和服务的访问都需要实行访问授权、身份鉴别和加密传输。这种模式的鉴服务层安全模式和链路层安全模于：对服务层安全模式来说，设备是在通信信道的，而对链路层安全模式来说，设备是在通信信道建立之序的。蓝牙定义了两类安全级别，即设备安全级别和服务安全级别。备一般是有固定关系(配对)的，它可不受限制地访问所有服务；②非信任设信任设备没有永久固定关系(或是临时的)，或有固定关系但并不认为它是信任的设备，它对服务的访问要受到一定的限制。另外，未知设备，它没有有效的安全信息。用于提供继承应用的需要。蓝才技术的无线传输特性使它非常容易受到攻击术中显得尤为重要。虽然蓝牙系统所采用的跳频技术已经提障，但是蓝才系统仍然需要链路层和应用层的安全管理。在统使用认证、加密和密钥管理等功能进行安全控制。在应用用个人标识码(PIN)来进行单双向认证。3.4.1设备鉴权蓝才设备的鉴权是指对蓝才设备用户身份的鉴别和确功能的非法访问，也可防比黑客试图伪装成授权用户进返回给校验者。如果返回的结果符合要求，那么校验者就认过鉴权的设备。当然，校验者和申请者的角色可以互换，进行反向鉴权。3.4.2加密加密是在发送端将数据按一定的规律扰乱后再进行传送解密进行复原，这样可以保持链路中的机密性，以防门他人窃为每一台蓝牙设备设置访问密码，只有提供正确访问密码的蓝理网络数据。蓝牙采用密匙为数据加密，如图二所示。在进行设置时，密匙被存入加密芯片。接收信息时，加密芯片利用密钥对信息加密;发送信息时，加密芯片再利用密匙对信息解密。网络中，芯片和密匙的蓝才设备才能读懂信息，其他没有密匙的息。3.4.3快跳频跳频就是不同的频进之间迅速而随机地跳变，这将安全性和完招性，因为如果在一个频进上遇到干扰，就可干扰的另一个频进上工作;如果在一个频进传送的信号因受到干扰而出现了差错，就可以跳到另一个频进上重发。蓝才的运行方式不仅允许重发，而目_还能保证重发必定是在不同的频进上进行的。将每个数据重复发送三遍。采取跳频和重发机制之后，在一人就可以同时使用蓝牙设备，而不会出现明显的干扰。通过上述讨论，可以发现蓝牙在其系统的高层和底安全机制，然而，这些安全机制也并非万能，依然存4.1私秘性威胁方面保证了设备不会被人冒用，而另一方面又是私秘性问题。由于它的唯一性，因此用户在踪，个人行为容易暴露，私秘性可能会受到侵害。4.2数据保密性存在安全隐患蓝牙系统的鉴权和加密是基于一个假设，即假设路密钥，通常在使用的过程中，所有的信息都是公开的，攻击实现起来有一定的困难，但也代表了一种不安全的因素。换系统。4.4数据完整性威胁蓝牙不检查数据的完整性，当恶意用户可能拥有密后，它就可以以中间人的身份去攻击和修段了解数据是否被人篡改，节点也不能验证信息源。4.5访问控制威胁蓝牙的访问控制主要建立在鉴权基础之上的，鉴的身份，在一些小的个人网络中，实体鉴权的概念备的所有者往往是同一个人，假定这个人有能力管点间创立一定的知识和共享的秘密，节点间的相互是否知道它们之间的秘密。然而，当用户想把个能的，因为它们之间无法相互识别。4.6拒绝服务威胁有公布测试的方法，因此也有理由相信蓝牙与其它技术的，蓝牙系统在开放环境中可能常遇到拒绝服务攻击。是电池的耗尽，当然这不是大问题。4.7伪随机序列发生器的潜在威胁伪随机序列数是蓝牙系统加密算法的基础，但蓝牙规确的说明，也没有说明它的统计测试概率，因此，伪随机全独立地取决于制造商。这种对伪随机序列发生器的蓝牙系统的安全。4.8安全构架设计的局限性在链路层使用4个实体(Enitity)来建立或维持安全性。它们分别是：数。5.1.1密钥D蓝牙设备间的安全事务管理都是通过密钥(Key)进行的。在蓝牙系统中，有(KLink)。•初始密钥KInit：用于保护传输中的初始化参数。钥。链路密钥用于认证过程，同时也作为加密密钥的一个参数。5.1.2鉴别和加密D可用下列过程简要描述(顺序略有不同):(1)匹配创建链路密钥系统根据询问/应答创建Klink,基本步骤如下:a)初始化密钥的创建b)设备密钥作为链路密钥(用于网内广播)c)合成密钥作为链路密钥(点对点)(2)用当前链路密钥(Klink)来鉴别(3)鉴别后加密密钥的产生A:IF当前链路密钥是主控设备密钥5.1.3加密通信对每个数据包的净荷(Payload)进行加密,这通过硬件由流密码E0完成。•配置主设备：发送和接收已加密的信息分组。加密的撤消由三个步骤完成(过程与启动过程相似)。5.1.4认证求的客户机发送一个需要认证的随机数，然后的结果与本地计算的结果相同，就表明认证成功。如果认证失败，蓝牙设备会推迟一段时间重新请请求，推迟时间就会增加一倍，直到推迟时间达到最大功后，推迟时间也相应地成倍递减，直到达到最小值。5.1.5服务级安全策略任、不可信任和未知设备。可信任设备可无限制地访问所有服务,不可信任设备访问服务受限,未知设备也是不可信任设备。对于服务定义了三种安全级别:1需要授权和鉴别的服务,只有可信任设备可以自动访问服务,要手动授权;2仅需要鉴别的服务,授权是不必要的;3对所有设备开放的服务,授权和鉴别都不需要。通过鉴别的设备对服务或设备的访问权限取决于对应的注册安全等级,各种服务可以进行服务注册,对这些服务访问的级别取决于服务自身的安全机制,因而这也是蓝牙本身的不足。通过鉴别的设备对服务或设备的访问权限取决于对种服务可以进行服务注册，对这些服务访问的级别取决制，因而这也是蓝牙本身的不足。和框架,网中设备能充当路由器来中转信息到发送端不能直接到达的节点上。根以下类型的攻击。5.2.1鉴别攻击鉴别是基于设备间相同链路密钥的共享。如果链路密钥是初始化密钥,那么如果链路密钥由设备密钥产生,则会产生冒充攻击等。三个设备使用相同的密钥,且能够相互冒充身份。5.2.2加密攻击尝试强力攻击(Brute-forceAttack)。另一种攻击是基于加密算法。5.2.3通信攻击起怀疑的用户。蓝牙规范中,数据帧有三处要被编辑。用这些修改伪造过的数据帧,攻击者伪造用户的ID并发出呼叫,用编码扰频器搞乱用户和网络的通信,或以中转方式,重发先前的会话帧破坏被攻击者的重要数据。5.2.4跳频攻击虽然跳频(FH)攻击方案较为困难,但是跳频本身有一些易遭攻击的弱点。电磁脉冲来破坏时钟,使其不能和其它设备通信,但这种攻击可能性较小。扩大,使攻击者容易偷听到网络和通信的相关信息,包括跳频算法和相关参数。针对以上分析,可以从以下几个方面来完善蓝牙技术规范,增强其安全性。5.3.1跳频伪随机数发生器和电源管理方式蓝牙安全策略的基点之一是跳频发射时所用的伪和抗干扰性,须优化硬件跳频算法和相关参数,选择产生周期长、不呈明显模式和点分布均匀的方法来产生伪随机数,保证跳频序列的高随机性,增强抗攻击性。蓝牙电源管理不仅和跳频有关,还和设备的其它硬软件功能有关。除了会影响。使用适当的射频功率,从而可适当减小可侦听电磁波的范围,最大程度上确保不被偷听和攻击。5.3.2加密管理增加蓝牙设备存储(密钥或PIN)能力,避免使用内增加PIN的长度,上层应用程序限制适当的密钥长度下限,增大密钥值空间备密钥作为链路密钥,多使用合成密钥作为链路密钥;经常更换链路密钥。优化白化(Whitening)算法,增加净荷数据扰码后的随机性,降低发送数据的块密码等其它较适合算法,重新设计加密硬件。5.3.3查询策略硬件上优化设计,减少发送频率合成器的切换时间;优化退让机制(算法),避免多个设备对查询ID分组响应时发生冲突而多次重传数据包,降低重传率,减少建立连接前各种连接参数的过分暴露。5.3.4服务安全与服务发现在链路级安全的基础上,完善服务注册机制,增加和完善中间组件和应用程序本身的安全策略;增强应用服务自身的安全性,减轻服务攻击。全面的服务发现和访问机制。5.3.5路由管理在蓝牙中间组件组或应用组中增加更安全的路由协议,优化散列网的路由算法,保证网络中转访问过程中数据的安全,避免中转攻击,降低设备功率消耗。5.3.6鉴别的本地化安全策略RSA方案或Diffie-Hellman密钥一致协议[4],解决用户立,完善自组网络的安全,避免冒充攻击。蓝牙系统确实在高层和低层都使用了许多的安全仍然存在一些安全问题。6.1策是需要有应用层的安全措施，使得认证过程和加密过程除还与用户相关。典型的认证过程如基于用户共享口令的认证方的认证。于生成密钥的数据。为了初始化一个安全链接,两个蓝牙设备必须输入相同的都要输入一长串难记的字符,使用户使用起来很不方便,用户有可能将其存在设0(默认值),这就使得初始字的可信度相当低,攻击者很容易获得PIN,所以PIN易受攻击。备的唯一标志，如果被假冒，那么使用设备地址作言。这类安全问题的对策是对每次通信，特别是和不同的链路密钥。对存储空间较小，无法存储太多每次通信时使用密钥交换协议来交换一个单独的会话密钥。私秘性问题:对每个蓝牙设备来说,其48位IEEE设备地址是全球惟一的,它生,也就是用户隐私问题。用户在移动使用的过程很容易被人追踪,个人行为容易暴露,私秘性可能会受到侵害。数据保密性存在安全隐患:鉴权和加密都是基于双方共享的链路字(即链路密钥),其它信息都是公开的。这样就可能导致安全问题的出现:假定设备B和设权。6.3局限性除了上述安全隐患外,蓝牙安全体系结构在设计上还存在着一些局限性,主要表现在以下几方面:(1)蓝牙只鉴权设备,而不鉴权用户,因此,对用户的鉴权不得