By Sachin Gupta & Richa Dham, Cypress Semiconductor 對于任何一個無線設(shè)備，無論是健康監(jiān)測器還是付款系統(tǒng)，保護用戶的隱私信息都是非常重要的。隱私機制可防止設(shè)備受到不可信的設(shè)備追蹤。安全的通信保證了數(shù)據(jù)安全，防止未經(jīng)授權(quán)的設(shè)備侵入數(shù)據(jù)導(dǎo)致觸發(fā)系統(tǒng)意外操作。BLE 4.2的新功能加強了隱私和安全，解決了早期BLE的缺陷并且提高了能效。 隱私 為了保護BLE設(shè)備的隱私，受信任的BLE設(shè)備使用共享的身份解析密鑰（IRK，Identity Resolving Key）生成和解析隨機的可解析私有地址（RPA，Resolvable Private Address）。只有一臺設(shè)備擁有另一臺廣播設(shè)備的IRK時，才能跟蹤該廣播設(shè)備的活動。 藍牙設(shè)備在配對期間共享IRK，并將其存儲在設(shè)備內(nèi)置存儲器中的解析列表中。因此，早前綁定的設(shè)備依然可以解析對方設(shè)備的私有地址。 藍牙4.1中，該解析列表保存于主機并且由主機完成地址解析，也就是說每次收到RPA的廣告包時，都需要主機進行干預(yù)。在藍牙4.2中，該解析列表保存在控制器中，由控制器解析私有地址。如果設(shè)備主機使用單獨的CPU，則主機不需要被喚醒即可進行藍牙配對，從而降低了整體功耗。即使設(shè)備使用相同的CPU執(zhí)行控制器和主機，因為地址不需要通過不同的協(xié)議層，減少了解析地址所需的CPU循環(huán)次數(shù)，也可降低功耗。 RPA會時刻變化，因此第三方更難以跟蹤私有設(shè)備。在Privacy 1.1（藍牙4.1）中，建議的RPA超時時間為15分鐘。然而，由于Privacy1.1對連接和功耗有一定影響，因此它的使用非常有限。此外，由于Privacy 1.1不支持地址在鏈路層解析，因此在使用RPA時不能實現(xiàn)設(shè)備過濾和定向連接廣播（DCA）之類的功能。 藍牙4.2中Privacy 1.2允許的RPA超時時間可以為1秒到11.5小時。因為BLE 4.2支持在鏈路層解析地址，故可使用DCA加速設(shè)備之間的連接并降低功耗。 被動竊聽 為了防止未經(jīng)授權(quán)訪問通信，無線系統(tǒng)必須防止被動竊聽和中間人（MITM）攻擊。被動竊聽是指第三臺設(shè)備偷偷地竊聽兩個設(shè)備（見圖2）之間的私有通信。對于支付解決方案這樣的信息保密性（比如密碼）極其重要的應(yīng)用來說，防止被動竊聽是非常重要的。 圖1：在被動竊聽攻擊中，第三臺設(shè)備偷偷竊聽兩個設(shè)備之間的通信。 通過使用密鑰對數(shù)據(jù)進行加密，系統(tǒng)可以防止被動竊聽。藍牙低功耗4.2引入LE安全連接，采用符合聯(lián)邦信息處理標準（FIPS）的DCTH （Elliptic Curve Diffie-Hellman）算法生成密鑰。該密鑰用于生成其它密鑰，如長期密鑰和DH密鑰，但其本身從不通過無線電共享。由于DH密鑰從不通過無線電交換，因此第三方設(shè)備很難猜出加密密鑰。在藍牙低功耗早期版本（藍牙4.1或更老版本）中，設(shè)備采用的是非常容易猜測到的臨時密鑰（TK）對連接進行首次加密，此后的長期密鑰和其他密鑰都會在這個不太安全的連接上進行。 中間人 MITM是指當兩個設(shè)備嘗試彼此通信時，第三設(shè)備插入到兩者之間并偽裝成對方設(shè)備（參見圖1）。通過認證可以確保系統(tǒng)所通信的設(shè)備是其實際預(yù)期的設(shè)備，而不是偽裝的非授權(quán)設(shè)備。 圖2：在中間人攻擊中，第三臺設(shè)備插入兩臺設(shè)備的連接之中，并且使通訊的兩端認為他們是在與對方直接對話。 在藍牙通信中，兩臺設(shè)備使用關(guān)聯(lián)模型實現(xiàn)相互驗證，然后安全地交換數(shù)據(jù)。藍牙配對是一個密鑰交換的過程；但是，交換密鑰之前，這兩個設(shè)備必須共享包括認證要求在內(nèi)的配對參數(shù)。而為了實現(xiàn)認證，兩臺設(shè)備必須使用某種關(guān)聯(lián)模型進行相互驗證。模型的選擇基于三個參數(shù)： a. 是否需要MITM防護 b. 該設(shè)備是否可以從用戶接收數(shù)據(jù)（例如按鈕或鍵盤輸入）或是否可以向用戶輸出數(shù)據(jù)（例如LCD顯示6位十進制數(shù)）。將用戶納入到配對處理是數(shù)據(jù)安全傳輸?shù)囊粋€重要因素 c. 該設(shè)備是否能夠進行頻帶外（OOB）通信。例如，如果部分安全密鑰可以在兩個設(shè)備之間通過近場通訊（NFC）溝通，那么竊聽者就無法理解最終的數(shù)據(jù)意義。 BLE 4.2有四個關(guān)聯(lián)模型可供選擇： 數(shù)值比較-兩臺待匹配設(shè)備均顯示六位數(shù)字，如果兩個數(shù)字相同，那么用戶在設(shè)備上選擇“是”即可通過驗證。藍牙4.2 低功耗安全連接引入了這種關(guān)聯(lián)模型。在傳統(tǒng)配對（藍牙低功耗4.1或更老的版本）中，這些IO功能實現(xiàn)的是“即刻運行”關(guān)聯(lián)模型（無驗證）。 密鑰輸入-用戶在兩臺設(shè)備中輸入相同的密鑰，或其中一臺設(shè)備顯示密鑰，用戶在另一臺設(shè)備輸入相同的密鑰。在傳統(tǒng)密鑰輸入（藍牙4.1或更老的版本）中，整個密鑰以簡單的單次確認即可進入交換；而藍牙4.2中，一次交換一位密鑰，安全性有了很大提高。這種逐位公布保證了在協(xié)議的配對程序失敗之前，未猜測到的密鑰泄露不超過2位。 非藍牙傳輸（OOB）-OOB關(guān)聯(lián)模型適用于雙方設(shè)備中至少有一個具有OOB能力、能夠加密信息進行頻帶外交換的情況。此時，MITM防護取決于用于共享信息的OOB協(xié)議對MITM的抵抗力。在傳統(tǒng)配對（BLE 4.1或更老的版本）中，兩個設(shè)備都需要具有OOB能力才能使用OOB關(guān)聯(lián)模型。 即刻運行-在不需要MITM保護或者設(shè)備具有表1中提到的IO能力的時候，采用這種關(guān)聯(lián)模型。 表1顯示了不同IO情況下在LE安全連接配對時能夠使用的關(guān)聯(lián)模型。但是，如果不需要MITM保護或其中某臺BLE設(shè)備具有OOB功能時， 可以忽略IO。 表1：關(guān)聯(lián)模型的選擇取決于設(shè)備的I/O支持如何。 藍牙低功耗4.2提供三個支持MITM防護的關(guān)聯(lián)模型以及一個針對無需MITM防護應(yīng)用的模型。4.1以及更老的BLE版本不支持數(shù)值關(guān)聯(lián)模型；如果OOB數(shù)據(jù)也不可用，則只能使用密鑰輸入關(guān)聯(lián)模型進行驗證配對。而密鑰關(guān)聯(lián)模型需要鍵盤實現(xiàn)密鑰輸入，這一點在許多系統(tǒng)中無法實現(xiàn)，限制了MITM防護的應(yīng)用。但是，只要顯示能夠?qū)崿F(xiàn)是/否選項時，可以使用數(shù)值比較模型，為更多的應(yīng)用提供MITM保護。 配對 配對是密鑰交換和認證的過程。根據(jù)不同的藍牙低功耗版本，有兩種取決于的配對類型：LE安全連接（藍牙4.2新增）和LE傳統(tǒng)配對（藍牙4.0以后的版本支持）。與之前的版本相比，LE安全連接提供了顯著的改善。 藍牙低功耗的配對分為三個階段。在第一階段，設(shè)備交換其配對參數(shù)，其是能夠確定合適關(guān)聯(lián)模型的能力和安全要求。配對參數(shù)包括各種字段，如圖3。 圖3：BLE 4.2配對第一階段交換的配對參數(shù) LE安全連接采用符合聯(lián)邦信息處理標準（FIPS）的ECDH算法，能夠在沒有防護的信道中建立安全的共享密鑰。使用ECDH形式是P-256，這意味著設(shè)備生成的私有密鑰長度為256位（或32字節(jié)）。 執(zhí)行ECDH算法之前，兩個設(shè)備必須確定一組特定的域參數(shù)。在LE安全連接中，因為兩臺待連接設(shè)備都FIP的SP-256 ECDH機制，因此都知道一個默認的參數(shù)。隨后，兩臺設(shè)備各生成一對密鑰，一個稱為私有密鑰，該設(shè)備不會通過無線電進行共享或發(fā)送；另一個稱為公共密鑰，由設(shè)備密鑰和一個發(fā)生器函數(shù)（域參數(shù)的一部分）產(chǎn)生。 隨后，兩臺設(shè)備都將自己的公共密鑰發(fā)送給對方設(shè)備。使用這個接收到的公共密鑰、自己的公共密鑰以及自己的私有密鑰，兩臺設(shè)備都能夠生成一個共享密鑰。注意，被動竊聽者只能獲取設(shè)備之間交換的公共密鑰，但沒有雙方的私有密鑰，因此不能產(chǎn)生用于進一步加密的共享密鑰。通過這種方式，ECDH能夠在不安全的通道上生成共享密鑰并對連接進行加密。 圖4顯示了在有第三設(shè)備竊聽的情況下，兩臺設(shè)備是如何建立共享密鑰的。 圖4：當有第三設(shè)備竊聽時，兩臺設(shè)備正在建立共享密鑰 在第2階段中，ECDH密鑰生成后將公共密鑰分享給可信的設(shè)備并建立加密連接。為確保與設(shè)備進行通信的設(shè)備是預(yù)期的設(shè)備，需要使用關(guān)聯(lián)模型進行認證。該設(shè)備根據(jù)ECDH算法的共享密鑰生成一個長期密鑰（LTK）并繼續(xù)進行第二階段的認證檢查，包括檢查DH密鑰。 在第3階段，使用長期密鑰來對連接進行加密。一旦連接被加密，密鑰就可以通過配對參數(shù)中的啟動器密鑰分配/應(yīng)答器密鑰分配標志進行共享（例如，如果采用RPA，則需要IRK）。 數(shù)據(jù)簽名 數(shù)據(jù)簽名是另一個能夠幫助增加安全級別的BLE功能。在沒有使用加密時，BLE可以使用連接簽名解析密鑰（CSRK，Connection Signature Resolving Key）對數(shù)據(jù)進行認證。簽名是由簽名算法和計數(shù)器產(chǎn)生的。計數(shù)器隨各數(shù)據(jù)PDU遞增，以避免任何重放攻擊。請注意，數(shù)據(jù)簽名并非用來防護被動竊聽，而是為接收設(shè)備驗證數(shù)據(jù)源的真實性。 藍牙低功耗4.2提供了強大的安全機制以確保安全的無線連接系統(tǒng)。盡管BLE 4.1和4.2都提供了MITM防護功能，但只有藍牙4.2能夠?qū)崿F(xiàn)真正安全的BLE系統(tǒng)。當使用藍牙4.1 的LE傳統(tǒng)配對時，只有OOB關(guān)聯(lián)模型提供了被動竊聽的防護；而藍牙4.2還提供數(shù)值比較關(guān)聯(lián)模型和ECDH算法以確保隱私和數(shù)據(jù)安全。? (mbbeetchina)