隨著新Bluetooth?低功耗軟件開(kāi)發(fā)工具包(SDK) BLE-Stack 2.2軟件的發(fā)布,TI提供了如藍(lán)牙4.2核心規(guī)格中所描述的全新的安全級(jí)別。但是,這些安全提升到底意味著什么,為什么現(xiàn)在會(huì)做出這些提升?
藍(lán)牙4.2有兩個(gè)獨(dú)立的安全升級(jí):
安全配對(duì)
隱私
安全配對(duì)
配對(duì)是兩個(gè)需要交換信息的藍(lán)牙設(shè)備通過(guò)一些定義的關(guān)系形式建立連接的過(guò)程。在許多情況下,這些信息對(duì)于其他在連接交換的射頻數(shù)據(jù)包接收范圍之內(nèi)的其他人而言沒(méi)有價(jià)值。但是隨著藍(lán)牙從智能手機(jī)生態(tài)系統(tǒng)轉(zhuǎn)移到物聯(lián)網(wǎng)(IoT),物聯(lián)網(wǎng)中住宅和建筑自動(dòng)化以及汽車(chē)和醫(yī)療/健康應(yīng)用需要進(jìn)行信息傳輸,如果信息被攻擊者攔截或篡改,可能會(huì)導(dǎo)致很?chē)?yán)重的后果,因此提供安全的連接通過(guò)遵守通用的標(biāo)準(zhǔn)確保數(shù)據(jù)的保密性和完整性變得十分重要。這就是藍(lán)牙4.2所帶來(lái)的益處。
只要共享密鑰,對(duì)兩臺(tái)設(shè)備連接中傳輸?shù)臄?shù)據(jù)包進(jìn)行安全加密非常直接。AES-CCM是藍(lán)牙4.2和之前藍(lán)牙標(biāo)準(zhǔn)的加密技術(shù)。但是AES-CCM技術(shù)不能為兩臺(tái)配對(duì)的設(shè)備提供交換密鑰而不被幾米外的被動(dòng)接收者讀取的方法。藍(lán)牙4.2采用了橢圓曲線DH(ECDH)密鑰協(xié)議,對(duì)上述方面做出了大幅改進(jìn)。ECDH是今天密鑰協(xié)議模式中的黃金標(biāo)準(zhǔn),允許沒(méi)有共享信息的兩方建立只有雙方知道的密鑰。觀察交換數(shù)據(jù)包的抓數(shù)據(jù)包軟件將無(wú)法“猜出”共享的密鑰。這完全得益于橢圓曲線密碼學(xué)(ECC)的非對(duì)稱(chēng)密鑰屬性,允許雙方都擁有一個(gè)公共密鑰和一個(gè)私人密鑰。設(shè)備1的私人密鑰和設(shè)備2的公共密鑰加密的數(shù)據(jù)包只能由設(shè)備2使用私人密鑰和設(shè)備1使用公共密鑰才能解密。設(shè)備2的數(shù)據(jù)包只可能來(lái)自設(shè)備1,而且不可能被其他人讀取。使用設(shè)備2的私人密鑰和設(shè)備1的公共密鑰從設(shè)備2向設(shè)備1進(jìn)行傳輸采用相同的方法。這仍是匿名交換,不會(huì)證明設(shè)備1或2的身份。如果需要,身份信息可以通過(guò)設(shè)備1和設(shè)備2交換證書(shū)在應(yīng)用級(jí)別進(jìn)行添加,根據(jù)公共密鑰確認(rèn)身份。
圖 1:設(shè)備1箱設(shè)備2發(fā)送認(rèn)證私人信息。只有設(shè)備2可以讀取,而且只有設(shè)備1可以進(jìn)行發(fā)送,因?yàn)樾枰O(shè)備2的私人密鑰進(jìn)行解密,使用設(shè)備1的私人密鑰進(jìn)行加密。
隱私
為了能與新設(shè)備配對(duì),藍(lán)牙低功耗外圍設(shè)備會(huì)有規(guī)律地發(fā)送可連接廣播。如果停止發(fā)送廣播,就永遠(yuǎn)不會(huì)再建立新的連接,所以這一活動(dòng)貫穿設(shè)備的整個(gè)使用期。這些廣播包含掃描中央設(shè)備(例如智能手機(jī))發(fā)起與外圍設(shè)備建立配對(duì)過(guò)程所需的信息。信息包括可以識(shí)別出外圍設(shè)備藍(lán)牙設(shè)備地址(BD地址)。這使得追蹤外圍設(shè)備,記錄其位置變得非常簡(jiǎn)單。被動(dòng)觀察者只需要接聽(tīng)廣播的外圍設(shè)備,記錄BD地址,將其從許多觀察轉(zhuǎn)發(fā)到接收BD地址的數(shù)據(jù)處理中心。通過(guò)這種方式,在組織設(shè)立觀察者的地方都可以搜索到外圍設(shè)備。因?yàn)樵絹?lái)越多的外圍設(shè)備一直被其所有者攜帶,所以不只是外圍設(shè)備,其所有者也被搜索到。對(duì)于零售業(yè),這樣可以幫助分析客戶(hù)在商店內(nèi)甚至商店之間流動(dòng)的情況。這樣收集和使用信息在大多數(shù)情況下是沒(méi)有危害的,但是這種追蹤非常簡(jiǎn)單意味著許多組織都可以進(jìn)行操作,因?yàn)椴恍枰嗟馁Y源和先進(jìn)的技術(shù)。
藍(lán)牙4.2的隱私改進(jìn)解決了這一問(wèn)題,解決方案非常簡(jiǎn)單:藍(lán)牙4.2外圍設(shè)備定期隨機(jī)選擇新的BD地址進(jìn)行廣播。只有與信任的主機(jī)建立連接后,才顯示外圍設(shè)備的真正BD地址。向追蹤發(fā)送廣播的藍(lán)牙4.2外圍設(shè)備的觀察者將無(wú)法在隨機(jī)選擇的地址的基礎(chǔ)上發(fā)現(xiàn)真正的BD地址,而且追蹤該地址只能持續(xù)到設(shè)備選擇新地址之前。
總結(jié)
TI的BLE-Stack 2.2等藍(lán)牙4.2大幅改善了安全性和隱私性,讓開(kāi)發(fā)者部署的設(shè)備可以建立安全的連接,不被觀察者攔截或追蹤。想要把這些安全改進(jìn)添加到你的藍(lán)牙產(chǎn)品中,請(qǐng)查看TI的Simplelink?藍(lán)牙低功耗CC2640無(wú)線微控制器(MCU)。
下一步去哪兒?
了解關(guān)于CC2640無(wú)線微控制器的更多信息。
下載新BLE-Stack 2.2。
閱讀我們的最新博客文章,了解關(guān)于BLE-Stack 2.2的更多信息。
訂購(gòu)藍(lán)牙低功耗LaunchPad?開(kāi)發(fā)工具包。
在Simplelink學(xué)院查看我們的在線培訓(xùn)。
如有問(wèn)題,請(qǐng)咨詢(xún)我們的專(zhuān)家。
原文鏈接;
https://e2e.ti.com/blogs_/b/connecting_wirelessly/archive/2016/08/11/how-bluetooth-4-2-can-help-enable-product-security
