【文章內(nèi)容簡介】 CAP 位于中間數(shù)據(jù)鏈路層的核心位置，此協(xié)議是作為高層應用層協(xié)議從基帶層和鏈接層直接抓取數(shù)據(jù)而專門設立的一個適配協(xié)議。 L2CAP 首先根據(jù)預定分組大小對網(wǎng)絡數(shù)據(jù)包進行封裝、不足位的數(shù)據(jù)包則補位完成。然后與基帶層進行協(xié)商，對安全的數(shù)據(jù)包進行標識，再與某些高端應用協(xié)議通信，最后以高端應用協(xié)議返回的要求進行再次封裝，將符合發(fā)送條件的分組向應用層發(fā)送，并且保持與應用層的通信，隨時接受應用層的反饋。 L2CAP 這些功能很重要，基本上應用層操作底層的硬件和底層的請 8 求服務都通過 L2CAP 的分派與轉(zhuǎn)發(fā)。在中間鏈路層中，業(yè)務搜尋協(xié)議（ SDP）是另外一個重要的組成部分，它是每個藍牙網(wǎng)絡節(jié)點查詢的基礎。通過 SDP，可以查詢設備信息、服務及服務條件， SDP 會在查詢之后建立兩個或多個藍牙網(wǎng)絡節(jié)點之間的查詢通道并保持鏈接。改變 SDP 的設定條件，可以得到 3 種不同的查詢方式：服務條件查詢、服務種類查詢和信息內(nèi)容查詢。這三種查詢方式都是基于 C/S 模式的應用。串口仿真協(xié)議是為了在無線網(wǎng)絡上模擬有線數(shù)據(jù)網(wǎng)絡數(shù)而采用的，它是依據(jù) ETSI 標準而設置的串口仿真協(xié)議。串口仿真協(xié)議分別在基帶層和中間鏈路 層上仿真 RS232 的傳輸特性和數(shù)據(jù)包分派特征，使到上層應用層可以忽略基帶層的無線網(wǎng)絡特征，直接使用經(jīng)串口仿真協(xié)議仿真輸出的各項網(wǎng)絡信息。 TCS 是一個基于比特數(shù)據(jù)流的協(xié)議，它是為了藍牙技術融入到電話系統(tǒng)中而設立，它包括了語音數(shù)據(jù)和視頻數(shù)據(jù)兩個部分，這兩個部分的功能類似串口仿真協(xié)議，都是轉(zhuǎn)變并封裝基帶層傳遞過來的信息以便應用層直接使用這些信息。 高端應用層 應用層位于藍牙移動系統(tǒng)的最上層，所以定義為高端應用層。而高端應用層的核心部分是選用協(xié)議層。選用協(xié)議層中的點到點傳輸協(xié)議（ PointtoPoint Protocol PPP）是由鏈路層控制協(xié)議、網(wǎng)絡流量控制協(xié)議兩個協(xié)議組成，它的主要作用是規(guī)定點到點傳送中數(shù)據(jù)的傳輸規(guī)范；無線應用協(xié)議（ Wireless Application Protocol WAP）作為早已存在的無線網(wǎng)絡通信協(xié)議，原來的作用是在電話系統(tǒng)上實現(xiàn)因特網(wǎng)接入服務，現(xiàn)在藍牙協(xié)議將其完整的移植過來，作為藍牙系統(tǒng)連接因特網(wǎng)的一種協(xié)議方式。當然應用層還包括了傳輸控制協(xié)議 /網(wǎng)絡層協(xié)議（ TCP/IP）、用戶數(shù)據(jù)報協(xié)議（ User Datagram Protocol UDP）和對象交換協(xié)議（ Object Exchange Protocol OBEX），這四個協(xié)議無論是在固定網(wǎng)絡還是無線網(wǎng)絡中都是必要的，而且由于中間鏈接層和高端應用層中的某些協(xié)議的轉(zhuǎn)換功能，這四個協(xié)議無需修改就可應用于藍牙協(xié)議棧。 根據(jù)每個協(xié)議的功能，完整的藍牙協(xié)議又可劃分為四層：核心協(xié)議層（ BB、 LMP、LCAP、 SDP）、線纜替換協(xié)議層（ RFCOMM）、電話控制協(xié)議層（ TCSBIN）、選用協(xié)議層（ PPP、TCP、 TP、 UDP、 OBEX、 IRMC、 WAP、 WAE）。但是這樣的層次劃分對于本文的研究方向幫助不大，所以本文還是按照 基帶層、中間鏈路層和高端應用層來劃分，這樣的層次結(jié)構有助于分析各分組在不同的傳送階段的安全特性和處于的不同的安全模式。 9 第三章 藍牙安全機制分析及其改進 無線通信信號很容易被跟蹤、截取和篡改，安全性威脅比有線通信更為嚴峻；而藍牙的基帶與射頻的帶寬有限，加密和認證信息不能太多，否則會影響到系統(tǒng)有效傳輸速率；藍牙無線通信在安全保護方面存在這些特殊的困難，因此藍牙 SIG 在藍牙規(guī)范中提供了一系列安全機制來增強藍牙無線通信的安全性。本章首先介紹了藍牙的安全機制。在此基礎上， 主要 對 藍牙鏈路層相關安全問題進行分析。 最 后對藍牙 鏈路層 安全機制提出了一些改進的方法。 藍牙安全機制 藍牙協(xié)議采取的安全機制適用于水平對等方式的通信驗證 ,即在同一協(xié)議層藍牙設備雙方以相同方式實現(xiàn)身份認證和數(shù)據(jù)加密。藍牙網(wǎng)絡的安全體系主要有 :應用層的安全機制、鏈路層的安全機制、射頻和基帶的安全機制。藍牙協(xié)議在基帶層采用的跳頻技術在一定程度上保證了微微網(wǎng)組網(wǎng)時的安全 ,藍牙協(xié)議也在鏈路層和應用層設置了比較可靠的安全機制。 應用層的安全機制 在藍牙的體系結(jié)構中 ,底層應用安全和高層應用安全是互不干涉、彼此分開的 ,即底層并不了解也并不需要了解 應用層的安全。基于 L2CAP 之上的應用層的安全機制 ,不同的協(xié)議也可以對自己的安全策略進行加強保護。 安全管理器在應用層的安全機制中起重要作用 :藍牙設備實體間訪問請求與答復 。藍牙設備實體連接時彼此間的認證 。對設備的基本信息進行存儲和查詢 。對服務應用等相關安全信息的存儲和查詢 。手機藍牙設備用戶在進行鏈路連接時 PIN 碼的輸入也是一種安全機制。 鏈路層的安全機制 藍牙的跳頻技術雖然對防止竊聽起一定作用 ,但僅是這種保護是不夠的。藍牙協(xié)議在最初的設計已經(jīng)考慮到了這一點 ,所以在藍牙協(xié)議中建立了鏈路級安 全機制 ,主要包含了設備間身份認證和傳輸數(shù)據(jù)進行加密兩個功能。在鏈路層中 ,藍牙規(guī)范中設計了 3 10 種安全模式 : （ 1）非安全模式。不采用信息安全管理和不執(zhí)行安全保護及處理，當設備上運行一般應用時使用它。在該模式中，設備避開鏈路層的安全功能，可任意訪問不含敏感信息的數(shù)據(jù)庫。 （ 2）業(yè)務層安全模式。藍牙設備在 L2CAP 層建立信道之后采用信息安全管理并執(zhí)行安全保護和處理。這種安全機制建立在 L2CAP 中和它之上的協(xié)議中，該模式可為多種應用提供不同的訪問政策，可并行運行安全需求不同的應用。 （ 3）鏈路層安全模式。是指藍牙 設備在 LMP 層建立鏈路的同時就采用信息安全管理和執(zhí)行安全保護及處理，這種安全機制建立在芯片中和 LMP（鏈路管理協(xié)議）基礎上。在該模式中，鏈路管理器（ LM）在同一層面上對所有的應用強制執(zhí)行安全措施。 安全模式 2 與安全模式 3 的本質(zhì)區(qū)別在于：安全模式 2 下的藍牙設備在信道建立以前啟動安全性過程，也就是說，它的安全性過程在較低層協(xié)議進行。 射頻和基帶的安全機制 射頻是指介于聲音頻率和紅外頻率之間的電磁波頻率。藍牙射頻采用調(diào)頻擴頻技術 ,載波中心頻率每秒改變 1600次 ,接收方在與發(fā)送方保持收發(fā)定時同 步的同時還要知道控制頻率改變的偽隨機序列的規(guī)律。藍牙射頻規(guī)范定義了接收機靈敏度、跳頻頻率、調(diào)制方式、發(fā)射功率、藍牙射頻頻段等參數(shù)。藍牙設備發(fā)送數(shù)據(jù)時 ,基帶部分將來自高層協(xié)議的數(shù)據(jù)進行信道編碼 ,向下發(fā)送給射頻 。接收數(shù)據(jù)時 ,將射頻傳來的數(shù)據(jù)進行信道解碼 ,傳送給高層協(xié)議。 在藍牙技術中將 通信頻段分成 79 個通信頻道 ,調(diào)頻技術可以使每個時隙上發(fā)送的數(shù)據(jù) ,從一個頻道跳到另一個頻道上。跳頻擴頻會使竊聽變得困難 ,攻擊者即使知道了鏈路密鑰或加密密鑰 ,但也必須同步記錄下在鏈路建立連接期間的 79 個跳頻信道。藍牙跳頻速 率是 1600 次 /秒 ,比一般的跳頻速率高。所以藍牙系統(tǒng)的跳頻機制對于來自其它設備傳輸干擾起到了一定的保護作用。藍牙設備正常的發(fā)射功率是 1～ 100mW,在通常操作環(huán)境中的 10mW,但是在特定的情況下需采用面向傳輸以更高的輸出功率到達更遠的距離。攻擊者就可以利用物理攻擊的方法將其能源耗盡。為了防御這種攻擊 ,藍牙安全體系定義了 3 種節(jié)能狀態(tài) ,即休眠狀態(tài)、保持和呼吸狀態(tài)。 11 藍牙鏈路層安全問題分析 與改進方案 由于藍牙技術的設計目標是低成本和高效率 ， 因此在設計目標和安全目標之間作了折中 ， 藍牙系統(tǒng)提供的安全性并 不高 。 對于家用電器等對安全性要求不太敏感的應用 ，藍牙系統(tǒng)提供的安全性已經(jīng)足夠了 ； 但對于對安全性要求較敏感的場合比如銀行系統(tǒng)等 ， 藍牙系統(tǒng)所提供的安全性就顯得有點不足 。鏈路層安全是藍牙系統(tǒng)總體安全中重要的一環(huán)，故其安全問題不容忽視。 藍牙鏈路層的安全問題包括 PIN 碼、鑒權、藍牙設備地址、 E0 算法這四個方面 ，以下將會對這 4 個重要的安全問題一一進行分析，并給出相應的改進措施。 PIN 碼安全問題分析及其改進方案 兩個藍牙設備開啟以后 ,設備雙方要初始化一個通信鏈路通道 ,用戶雙方必須先協(xié)商相同的 PIN 碼 ,再進行 輸入匹配 ,這樣兩個設備的通信鏈路成功建立。 在實 際應 用中人們常采用四位十進制數(shù)字作為 PIN 碼 ， 當使用四位十進制數(shù)字作PIN 碼時 ， 只有 10000 種可能的組合 ， 其密鑰空間太小 。 再加上統(tǒng)計顯示人們所使用的PIN 碼中一半為藍牙系統(tǒng)的默認值 0， 這就使得初始字的可信度相當?shù)?， 攻擊者很容易得到 PIN 碼 。 由此， 藍 牙網(wǎng)絡中 PIN 碼存在著安全隱患 ,藍牙 PIN 碼是否安全在鏈路通信過程中占據(jù)至關重要的位置 ,如何防御 PIN 碼攻擊是本 節(jié) 的主要內(nèi)容。 那么一般攻擊者是怎樣獲得兩設備配對時的 PIN 碼的呢 ？ 基本方法就是窮舉法 ， 一般假 定 PIN 碼比較短 ， 比如 16 位 (即四位十進制數(shù) )。 當然為了提高窮舉效率 ， 攻擊者會把用戶最可能用的 PIN 碼編成字典 ， 優(yōu)先試探字典中的 PIN 碼 。 由于藍牙鏈路層采取了一些保護措施 ， 如果用戶第一次輸入的 PIN 碼不正確 ， 只有等待一段時間才能進行第二次輸入 。 隨著輸入不正確次數(shù)的增加 ， 等待時間將會呈指數(shù)形式增加 。 這可以抵制試探性攻擊 ， 防止攻擊者短時間內(nèi)試探多個 PIN 碼 ， 顯然攻擊者不能進行在線攻擊 ， 攻擊者一般采用離線攻擊 。 首先攻擊者要記錄下兩藍牙設備一次通訊的全過程，即兩藍牙設備所傳遞的所有信息。如果這次是兩藍牙設備的 第一次通訊，并且所使用的 PIN 碼比較短，攻擊者就有可能獲得 PIN 碼，進而獲得兩藍牙設備的公共鏈路字。由于兩藍牙設備第一次通訊時要進行配對并產(chǎn)生鏈路字，當然攻擊者也記錄下了這個過程。攻擊者可以用一個猜測的 PIN 12 碼，申請者 (兩藍牙設備配對時一個為申請者，另一個為檢驗者 )的藍牙設備地址以及檢驗者發(fā)送給申請者的隨機數(shù) inRAND 經(jīng) E22 算法計算出一個初如字 initK 。然后用申請者的藍牙設備地址、檢驗者發(fā)送給申請者的隨機數(shù) auRAND 及剛才計算出的初始字作為藍牙鑒權算法 E1 的輸入，計算出一個應答值。接著用這個應答值與申請者發(fā)送給 initK 檢驗者的應答進行比較，若兩者相同，則此 PIN 碼即為兩藍牙設備的 PIN 碼；若不相同，則從字典中另選一 PIN 碼重復上述過程。 顯然在人少的地方 (比如家里 )對藍牙設備進行配對是對付離線攻擊最有效的方法 ，攻擊者記錄不了兩藍牙設備的配對過程 ， 就不能實施離線攻擊 ， 只能采取在線攻擊 。 藍牙協(xié)議對在線攻擊有很好的保護 ， 攻擊者很 難得逞 。 很多時候用戶是無法選擇配對地點的 ， 比如用藍牙設備在銀行開戶時 ， 你總不能要求銀行人員在你家里開戶吧 !這時怎樣才能提高藍牙設備的安全性呢 ？ 第一當然盡量在人少的時候開戶 ； 第二就是選擇好的PIN 碼 (像 我們平時所用的密碼一樣 )， 盡量不要用生日 、 電話號碼之類的 PIN 碼 ； 第三也是最重要的是要選擇長的 PIN 碼 ， 長的 PIN 碼是對