专业信息安全工程师网站|培训机构|服务商(2019信息安全工程师学习QQ群:327677606,客服QQ:270019001)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 综合知识 >> 文章内容
蓝牙安全-信息安全工程师知识点
来源:信管网  2019年01月10日  【信管网:信息安全工程师专业网站所有评论

信息安全工程师知识点:蓝牙安全

蓝牙技术提供短距离的对等通信,它在应用层和链路层上都采取了保密措施以保证通信的安全性,所有蓝牙设备都采用相同的认证和加密方式。在链路层,使用4个参数来加强通信的安全性,即蓝牙设备地址BD_ADDR、认证私钥、加密私钥和随机码RAND。

蓝牙设备地址是一个48位的IEEE地址,它唯一地识别蓝牙设备,对所有蓝牙设备都是公开的:认证私钥在设备初始化期间生成,其长度为128比特;加密私钥通常在认证期间由认证私钥生成,其长度根据算法要求选择8~128比特之间的数(8的整数倍),对于目前的绝大多数应用,采用64比特的加密私钥就可保证其安全性:随机码由蓝牙设备的伪随机过程产生,其长度为128 比特。每个蓝牙设备都有一个伪随机码发生器,它产生的随机数可作为认证私钥和加密私钥。在蓝牙技术中,仅要求随机码是不重复的和随机产生的。"不重复"是指在认证私钥生存期间,该随机码重复的可能性极小,如日期/时间戳"随机产生"是指在随机码产生前不可能预测码字的实际值。蓝牙设备加密私钥的长度是由厂商预先设定的,用户不能更改。为防止用户使用不允许的密钥长度,蓝牙基带处理器不接受高层软件提供的加密私钥。若想改变连接密钥,必须按基带规范的步骤进行,其具体步骤取决于连接密钥类型。连接密钥是一个128比特的随机数,它由两个或多个成员共享,是成员间进行安全事务的基础,它本身居于认证过程,同时也作为生成加密私钥的参数。

连接密钥可以是半永久的或临时的。半永久连接密钥保存在非易失性存储器中,即使当前通话结束后也可使用,因此,它可作为数个并发连接的蓝牙设备间的认证码。临时连接密钥仅用于当前通话。在点对多点的通信中,当主设备发送广播信息时,将采用一个公共密钥临时替换各从设备当前的连接密钥。

为适应各种应用,定义如下密钥类型:组合密钥KAB:设备密钥KA;临时密钥Kmaster;初始密钥Kinit。此外,KC表示加密私钥。任何时候执行连接管理器(LM)命令进行加密时,加密私钥就会自动改变。对蓝牙设备而言, KAB和KA在功能上没有区别,只是生成方法不同而己。KA由设备自身生成,且保持不变; KAB自设备A和设备B提供的信息共商生成,只要有两个设备产生一个新的连接,就会生成一个KAB。究竟采用KA或KAB,取决于具体应用。对于存储容量较小的蓝牙设备或者对于处于大用户群中的设备,适合采用KA,此时只需存储单个密钥。对于要求较高安全级别的应用,适宜采用KAB,但要求设备拥有较大的存储空闰。Kmaster仅用于当前通话,它可以临时替换连接密钥。Kinit在初始化期间用作连接密钥,以保证初始化参数的安全传送,它由一个随机数、PIN码的低8位及BD_ADDR生成。PIN码可以是蓝牙设备提供的一个固定码,也可以由用户任意指定,但两个设备中的PIN码必须匹配。在两个设备中采用用户指定的PIN码比采用设备自身提供的PIN 码更安全:即使采用固定的PIN码方式,也应该允许能够改变PIN码,以防止获得该PIN码的用户重新初始化设备。如果找不到可用的PIN码,则使用缺省值0。短PIN码可以满足许多具体应用的安全性要求,但存在不确定的非安全因素:过长的PIN码不利于交换,需要应用层软件的支持。因而,在实际应用中,常采用短的数据串作为PIN码,其长度一般不超过16字节。

在蓝牙技术中,认证采用口令一应答方式。验证方要求申请者鉴别随机数AU一RAND及认证码E1并返回计算结果SRES,若双方的计算结果相等则认证成功。在蓝牙技术中,不要求验证方一定是主设备,而是由应用本身指明需要认证的设备,且在某些应用中只须单向认证。在对等追信中,采用相互认证方式,由LM控制认证的方向,相互认证。当设备A成功认证设备B 后,设备B将AU_RANDB(不同于AU_RANDA)发送给设备A,设备B、A使用新的AU-RANDB、AU_RANDA和连接密铝分别计算出SRES和SRES',若两者相等,则认证成功,并保留ACO值。若某次认证失欺,则必须等待一定的时间间隔才能进行再次认证。如果使自同-BD_ADDR重复认证,则等待的时间间隔将按指数方式增长到最大值:若在一段时间内,所有认证都是成功的,则两次认证闰的时间间隔将按指数方式减小到最小值,此方式可以阻止试图使用不同的密钥以重复认证方式登录的入侵者。蓝牙设备保留了每一个己接入设备的认证时间间隔表,以减少遭到攻击的可能性。

总之,蓝牙安全机制的目的在于提供适当级别的安全保护。如果用户有更高级别的保密要求,可采用更有效的传输层和应用层安全机制。




分享到: 新浪微博 腾讯朋友 收藏本页
发表评论  查看完整评论  

相关内容

推荐文章
合作网站内容