新聞中心

EEPW首頁 > 手機與無線通信 > 設計應用 > 藍牙技術(shù)的連接層保護機制分析

藍牙技術(shù)的連接層保護機制分析

作者: 時間:2011-04-11 來源:網(wǎng)絡 收藏

藍牙特殊利益組織(SIG)花了相當多的時間來開發(fā)安全模式作為連結(jié)層級的,例如128位元加密,裝置認證以及授權(quán)等,但是如果要達到最高的信任要求,應用開發(fā)商或者IT組織必須在連結(jié)層級安全上增加應用安全,以便實現(xiàn)端對端的保護。由于藍牙通訊距離短(只有10米),而且有自動電力調(diào)節(jié)機制來限制信號半徑,因此想進行遠程攔截并不容易。不過,Class 3電波可以把藍牙的接收距離增強到100米。

的認證與加密服務由提供。認證采用口令--應答方式,在連接過程中,可能需要一次或兩次認證,或者無需認證。認證對任何一個藍牙系統(tǒng)都是重要的組成部分,它允許用戶自行添加可信任的藍牙設備,例如,只有用戶自己的筆記本電腦才可以通過用戶自己的手機進行通信。藍牙系統(tǒng)采用流密碼加密技術(shù),適于硬件實現(xiàn),密鑰長度可以是0、40或64位,密鑰由高層軟件管理。藍牙安全機制的目的在于提供適當級別的保護,如果用戶有更高級別的保密要求,可以使用有效的傳輸層和應用層安全機制。

藍牙裝置可以與經(jīng)過認證的一方進行雙邊連結(jié),或者是永久性連結(jié)(稱為pairing,配對聯(lián)機),這樣一來受信賴的一方就不需要每次都要經(jīng)過認證流程(比如耳機與電話之間)。藍牙安全最弱的一個環(huán)節(jié),是在裝置的配對聯(lián)機(pairing)上。配對聯(lián)機會使用裝置上的藍牙地址(由制造商設置的固定地址)與個人ID號碼(PIN)來創(chuàng)建一個連結(jié)鎖鑰。在配對過程中,黑客有可能會猜中過于簡短的PIN,進而得知連結(jié)鎖鑰,并竊聽一切對話,或者是捏造一個裝置添加到配對中。

目前還沒有聽過有什么樣的藍牙安全漏洞,不過有個著名程序可以借助測試地址序號來檢測裝置的存在。假以時日,這個軟件將有機會暴露裝置地址,并試圖進行聯(lián)機。不過雙方還是得擁有共通的PIN號碼,黑客才能夠進行攻擊。正如所有的系統(tǒng)一樣,技術(shù)越成熟,使用者與開發(fā)人員越多后,漏洞曝光的速度就會越快。IT組織應該研究藍牙裝置的安全功能,并指導客戶如何把安全風險降到最低。一般來說,除非經(jīng)過實證,否則不宜用藍牙進行高度機密資料的傳輸。



評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉