【文章內(nèi)容簡介】 CAP 位于中間數(shù)據(jù)鏈路層的核心位置，此協(xié)議是作為高層應(yīng)用層協(xié)議從基帶層和鏈接層直接抓取數(shù)據(jù)而專門設(shè)立的一個適配協(xié)議。 L2CAP 首先根據(jù)預(yù)定分組大小對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行封裝、不足位的數(shù)據(jù)包則補位完成。然后與基帶層進(jìn)行協(xié)商，對安全的數(shù)據(jù)包進(jìn)行標(biāo)識，再與某些高端應(yīng)用協(xié)議通信，最后以高端應(yīng)用協(xié)議返回的要求進(jìn)行再次封裝，將符合發(fā)送條件的分組向應(yīng)用層發(fā)送，并且保持與應(yīng)用層的通信，隨時接受應(yīng)用層的反饋。 L2CAP 這些功能很重要，基本上應(yīng)用層操作底層的硬件和底層的請 8 求服務(wù)都通過 L2CAP 的分派與轉(zhuǎn)發(fā)。在中間鏈路層中，業(yè)務(wù)搜尋協(xié)議（ SDP）是另外一個重要的組成部分，它是每個藍(lán)牙網(wǎng)絡(luò)節(jié)點查詢的基礎(chǔ)。通過 SDP，可以查詢設(shè)備信息、服務(wù)及服務(wù)條件， SDP 會在查詢之后建立兩個或多個藍(lán)牙網(wǎng)絡(luò)節(jié)點之間的查詢通道并保持鏈接。改變 SDP 的設(shè)定條件，可以得到 3 種不同的查詢方式：服務(wù)條件查詢、服務(wù)種類查詢和信息內(nèi)容查詢。這三種查詢方式都是基于 C/S 模式的應(yīng)用。串口仿真協(xié)議是為了在無線網(wǎng)絡(luò)上模擬有線數(shù)據(jù)網(wǎng)絡(luò)數(shù)而采用的，它是依據(jù) ETSI 標(biāo)準(zhǔn)而設(shè)置的串口仿真協(xié)議。串口仿真協(xié)議分別在基帶層和中間鏈路 層上仿真 RS232 的傳輸特性和數(shù)據(jù)包分派特征，使到上層應(yīng)用層可以忽略基帶層的無線網(wǎng)絡(luò)特征，直接使用經(jīng)串口仿真協(xié)議仿真輸出的各項網(wǎng)絡(luò)信息。 TCS 是一個基于比特數(shù)據(jù)流的協(xié)議，它是為了藍(lán)牙技術(shù)融入到電話系統(tǒng)中而設(shè)立，它包括了語音數(shù)據(jù)和視頻數(shù)據(jù)兩個部分，這兩個部分的功能類似串口仿真協(xié)議，都是轉(zhuǎn)變并封裝基帶層傳遞過來的信息以便應(yīng)用層直接使用這些信息。 高端應(yīng)用層 應(yīng)用層位于藍(lán)牙移動系統(tǒng)的最上層，所以定義為高端應(yīng)用層。而高端應(yīng)用層的核心部分是選用協(xié)議層。選用協(xié)議層中的點到點傳輸協(xié)議（ PointtoPoint Protocol PPP）是由鏈路層控制協(xié)議、網(wǎng)絡(luò)流量控制協(xié)議兩個協(xié)議組成，它的主要作用是規(guī)定點到點傳送中數(shù)據(jù)的傳輸規(guī)范；無線應(yīng)用協(xié)議（ Wireless Application Protocol WAP）作為早已存在的無線網(wǎng)絡(luò)通信協(xié)議，原來的作用是在電話系統(tǒng)上實現(xiàn)因特網(wǎng)接入服務(wù)，現(xiàn)在藍(lán)牙協(xié)議將其完整的移植過來，作為藍(lán)牙系統(tǒng)連接因特網(wǎng)的一種協(xié)議方式。當(dāng)然應(yīng)用層還包括了傳輸控制協(xié)議 /網(wǎng)絡(luò)層協(xié)議（ TCP/IP）、用戶數(shù)據(jù)報協(xié)議（ User Datagram Protocol UDP）和對象交換協(xié)議（ Object Exchange Protocol OBEX），這四個協(xié)議無論是在固定網(wǎng)絡(luò)還是無線網(wǎng)絡(luò)中都是必要的，而且由于中間鏈接層和高端應(yīng)用層中的某些協(xié)議的轉(zhuǎn)換功能，這四個協(xié)議無需修改就可應(yīng)用于藍(lán)牙協(xié)議棧。 根據(jù)每個協(xié)議的功能，完整的藍(lán)牙協(xié)議又可劃分為四層：核心協(xié)議層（ BB、 LMP、LCAP、 SDP）、線纜替換協(xié)議層（ RFCOMM）、電話控制協(xié)議層（ TCSBIN）、選用協(xié)議層（ PPP、TCP、 TP、 UDP、 OBEX、 IRMC、 WAP、 WAE）。但是這樣的層次劃分對于本文的研究方向幫助不大，所以本文還是按照 基帶層、中間鏈路層和高端應(yīng)用層來劃分，這樣的層次結(jié)構(gòu)有助于分析各分組在不同的傳送階段的安全特性和處于的不同的安全模式。 9 第三章 藍(lán)牙安全機制分析及其改進(jìn) 無線通信信號很容易被跟蹤、截取和篡改，安全性威脅比有線通信更為嚴(yán)峻；而藍(lán)牙的基帶與射頻的帶寬有限，加密和認(rèn)證信息不能太多，否則會影響到系統(tǒng)有效傳輸速率；藍(lán)牙無線通信在安全保護(hù)方面存在這些特殊的困難，因此藍(lán)牙 SIG 在藍(lán)牙規(guī)范中提供了一系列安全機制來增強藍(lán)牙無線通信的安全性。本章首先介紹了藍(lán)牙的安全機制。在此基礎(chǔ)上， 主要 對 藍(lán)牙鏈路層相關(guān)安全問題進(jìn)行分析。 最 后對藍(lán)牙 鏈路層 安全機制提出了一些改進(jìn)的方法。 藍(lán)牙安全機制 藍(lán)牙協(xié)議采取的安全機制適用于水平對等方式的通信驗證 ,即在同一協(xié)議層藍(lán)牙設(shè)備雙方以相同方式實現(xiàn)身份認(rèn)證和數(shù)據(jù)加密。藍(lán)牙網(wǎng)絡(luò)的安全體系主要有 :應(yīng)用層的安全機制、鏈路層的安全機制、射頻和基帶的安全機制。藍(lán)牙協(xié)議在基帶層采用的跳頻技術(shù)在一定程度上保證了微微網(wǎng)組網(wǎng)時的安全 ,藍(lán)牙協(xié)議也在鏈路層和應(yīng)用層設(shè)置了比較可靠的安全機制。 應(yīng)用層的安全機制 在藍(lán)牙的體系結(jié)構(gòu)中 ,底層應(yīng)用安全和高層應(yīng)用安全是互不干涉、彼此分開的 ,即底層并不了解也并不需要了解 應(yīng)用層的安全?；? L2CAP 之上的應(yīng)用層的安全機制 ,不同的協(xié)議也可以對自己的安全策略進(jìn)行加強保護(hù)。 安全管理器在應(yīng)用層的安全機制中起重要作用 :藍(lán)牙設(shè)備實體間訪問請求與答復(fù) 。藍(lán)牙設(shè)備實體連接時彼此間的認(rèn)證 。對設(shè)備的基本信息進(jìn)行存儲和查詢 。對服務(wù)應(yīng)用等相關(guān)安全信息的存儲和查詢 。手機藍(lán)牙設(shè)備用戶在進(jìn)行鏈路連接時 PIN 碼的輸入也是一種安全機制。 鏈路層的安全機制 藍(lán)牙的跳頻技術(shù)雖然對防止竊聽起一定作用 ,但僅是這種保護(hù)是不夠的。藍(lán)牙協(xié)議在最初的設(shè)計已經(jīng)考慮到了這一點 ,所以在藍(lán)牙協(xié)議中建立了鏈路級安 全機制 ,主要包含了設(shè)備間身份認(rèn)證和傳輸數(shù)據(jù)進(jìn)行加密兩個功能。在鏈路層中 ,藍(lán)牙規(guī)范中設(shè)計了 3 10 種安全模式 : （ 1）非安全模式。不采用信息安全管理和不執(zhí)行安全保護(hù)及處理，當(dāng)設(shè)備上運行一般應(yīng)用時使用它。在該模式中，設(shè)備避開鏈路層的安全功能，可任意訪問不含敏感信息的數(shù)據(jù)庫。 （ 2）業(yè)務(wù)層安全模式。藍(lán)牙設(shè)備在 L2CAP 層建立信道之后采用信息安全管理并執(zhí)行安全保護(hù)和處理。這種安全機制建立在 L2CAP 中和它之上的協(xié)議中，該模式可為多種應(yīng)用提供不同的訪問政策，可并行運行安全需求不同的應(yīng)用。 （ 3）鏈路層安全模式。是指藍(lán)牙 設(shè)備在 LMP 層建立鏈路的同時就采用信息安全管理和執(zhí)行安全保護(hù)及處理，這種安全機制建立在芯片中和 LMP（鏈路管理協(xié)議）基礎(chǔ)上。在該模式中，鏈路管理器（ LM）在同一層面上對所有的應(yīng)用強制執(zhí)行安全措施。 安全模式 2 與安全模式 3 的本質(zhì)區(qū)別在于：安全模式 2 下的藍(lán)牙設(shè)備在信道建立以前啟動安全性過程，也就是說，它的安全性過程在較低層協(xié)議進(jìn)行。 射頻和基帶的安全機制 射頻是指介于聲音頻率和紅外頻率之間的電磁波頻率。藍(lán)牙射頻采用調(diào)頻擴(kuò)頻技術(shù) ,載波中心頻率每秒改變 1600次 ,接收方在與發(fā)送方保持收發(fā)定時同 步的同時還要知道控制頻率改變的偽隨機序列的規(guī)律。藍(lán)牙射頻規(guī)范定義了接收機靈敏度、跳頻頻率、調(diào)制方式、發(fā)射功率、藍(lán)牙射頻頻段等參數(shù)。藍(lán)牙設(shè)備發(fā)送數(shù)據(jù)時 ,基帶部分將來自高層協(xié)議的數(shù)據(jù)進(jìn)行信道編碼 ,向下發(fā)送給射頻 。接收數(shù)據(jù)時 ,將射頻傳來的數(shù)據(jù)進(jìn)行信道解碼 ,傳送給高層協(xié)議。 在藍(lán)牙技術(shù)中將 通信頻段分成 79 個通信頻道 ,調(diào)頻技術(shù)可以使每個時隙上發(fā)送的數(shù)據(jù) ,從一個頻道跳到另一個頻道上。跳頻擴(kuò)頻會使竊聽變得困難 ,攻擊者即使知道了鏈路密鑰或加密密鑰 ,但也必須同步記錄下在鏈路建立連接期間的 79 個跳頻信道。藍(lán)牙跳頻速 率是 1600 次 /秒 ,比一般的跳頻速率高。所以藍(lán)牙系統(tǒng)的跳頻機制對于來自其它設(shè)備傳輸干擾起到了一定的保護(hù)作用。藍(lán)牙設(shè)備正常的發(fā)射功率是 1～ 100mW,在通常操作環(huán)境中的 10mW,但是在特定的情況下需采用面向傳輸以更高的輸出功率到達(dá)更遠(yuǎn)的距離。攻擊者就可以利用物理攻擊的方法將其能源耗盡。為了防御這種攻擊 ,藍(lán)牙安全體系定義了 3 種節(jié)能狀態(tài) ,即休眠狀態(tài)、保持和呼吸狀態(tài)。 11 藍(lán)牙鏈路層安全問題分析 與改進(jìn)方案 由于藍(lán)牙技術(shù)的設(shè)計目標(biāo)是低成本和高效率 ， 因此在設(shè)計目標(biāo)和安全目標(biāo)之間作了折中 ， 藍(lán)牙系統(tǒng)提供的安全性并 不高 。 對于家用電器等對安全性要求不太敏感的應(yīng)用 ，藍(lán)牙系統(tǒng)提供的安全性已經(jīng)足夠了 ； 但對于對安全性要求較敏感的場合比如銀行系統(tǒng)等 ， 藍(lán)牙系統(tǒng)所提供的安全性就顯得有點不足 。鏈路層安全是藍(lán)牙系統(tǒng)總體安全中重要的一環(huán)，故其安全問題不容忽視。 藍(lán)牙鏈路層的安全問題包括 PIN 碼、鑒權(quán)、藍(lán)牙設(shè)備地址、 E0 算法這四個方面 ，以下將會對這 4 個重要的安全問題一一進(jìn)行分析，并給出相應(yīng)的改進(jìn)措施。 PIN 碼安全問題分析及其改進(jìn)方案 兩個藍(lán)牙設(shè)備開啟以后 ,設(shè)備雙方要初始化一個通信鏈路通道 ,用戶雙方必須先協(xié)商相同的 PIN 碼 ,再進(jìn)行 輸入匹配 ,這樣兩個設(shè)備的通信鏈路成功建立。 在實 際應(yīng) 用中人們常采用四位十進(jìn)制數(shù)字作為 PIN 碼 ， 當(dāng)使用四位十進(jìn)制數(shù)字作PIN 碼時 ， 只有 10000 種可能的組合 ， 其密鑰空間太小 。 再加上統(tǒng)計顯示人們所使用的PIN 碼中一半為藍(lán)牙系統(tǒng)的默認(rèn)值 0， 這就使得初始字的可信度相當(dāng)?shù)?， 攻擊者很容易得到 PIN 碼 。 由此， 藍(lán) 牙網(wǎng)絡(luò)中 PIN 碼存在著安全隱患 ,藍(lán)牙 PIN 碼是否安全在鏈路通信過程中占據(jù)至關(guān)重要的位置 ,如何防御 PIN 碼攻擊是本 節(jié) 的主要內(nèi)容。 那么一般攻擊者是怎樣獲得兩設(shè)備配對時的 PIN 碼的呢 ？ 基本方法就是窮舉法 ， 一般假 定 PIN 碼比較短 ， 比如 16 位 (即四位十進(jìn)制數(shù) )。 當(dāng)然為了提高窮舉效率 ， 攻擊者會把用戶最可能用的 PIN 碼編成字典 ， 優(yōu)先試探字典中的 PIN 碼 。 由于藍(lán)牙鏈路層采取了一些保護(hù)措施 ， 如果用戶第一次輸入的 PIN 碼不正確 ， 只有等待一段時間才能進(jìn)行第二次輸入 。 隨著輸入不正確次數(shù)的增加 ， 等待時間將會呈指數(shù)形式增加 。 這可以抵制試探性攻擊 ， 防止攻擊者短時間內(nèi)試探多個 PIN 碼 ， 顯然攻擊者不能進(jìn)行在線攻擊 ， 攻擊者一般采用離線攻擊 。 首先攻擊者要記錄下兩藍(lán)牙設(shè)備一次通訊的全過程，即兩藍(lán)牙設(shè)備所傳遞的所有信息。如果這次是兩藍(lán)牙設(shè)備的 第一次通訊，并且所使用的 PIN 碼比較短，攻擊者就有可能獲得 PIN 碼，進(jìn)而獲得兩藍(lán)牙設(shè)備的公共鏈路字。由于兩藍(lán)牙設(shè)備第一次通訊時要進(jìn)行配對并產(chǎn)生鏈路字，當(dāng)然攻擊者也記錄下了這個過程。攻擊者可以用一個猜測的 PIN 12 碼，申請者 (兩藍(lán)牙設(shè)備配對時一個為申請者，另一個為檢驗者 )的藍(lán)牙設(shè)備地址以及檢驗者發(fā)送給申請者的隨機數(shù) inRAND 經(jīng) E22 算法計算出一個初如字 initK 。然后用申請者的藍(lán)牙設(shè)備地址、檢驗者發(fā)送給申請者的隨機數(shù) auRAND 及剛才計算出的初始字作為藍(lán)牙鑒權(quán)算法 E1 的輸入，計算出一個應(yīng)答值。接著用這個應(yīng)答值與申請者發(fā)送給 initK 檢驗者的應(yīng)答進(jìn)行比較，若兩者相同，則此 PIN 碼即為兩藍(lán)牙設(shè)備的 PIN 碼；若不相同，則從字典中另選一 PIN 碼重復(fù)上述過程。 顯然在人少的地方 (比如家里 )對藍(lán)牙設(shè)備進(jìn)行配對是對付離線攻擊最有效的方法 ，攻擊者記錄不了兩藍(lán)牙設(shè)備的配對過程 ， 就不能實施離線攻擊 ， 只能采取在線攻擊 。 藍(lán)牙協(xié)議對在線攻擊有很好的保護(hù) ， 攻擊者很 難得逞 。 很多時候用戶是無法選擇配對地點的 ， 比如用藍(lán)牙設(shè)備在銀行開戶時 ， 你總不能要求銀行人員在你家里開戶吧 !這時怎樣才能提高藍(lán)牙設(shè)備的安全性呢 ？ 第一當(dāng)然盡量在人少的時候開戶 ； 第二就是選擇好的PIN 碼 (像 我們平時所用的密碼一樣 )， 盡量不要用生日 、 電話號碼之類的 PIN 碼 ； 第三也是最重要的是要選擇長的 PIN 碼 ， 長的 PIN 碼是對