【正文】 一無(wú)線網(wǎng)絡(luò)中的安全問(wèn)題 安全威脅來(lái)源 非法竊聽(tīng) 非授權(quán)訪問(wèn) 服務(wù)拒絕 耗能攻擊 返 回 上 頁(yè) 下 頁(yè) 非法竊聽(tīng)是指入侵者通過(guò)對(duì)無(wú)線信道的監(jiān)聽(tīng)來(lái)獲取傳輸?shù)男畔⑹菍?duì)通信網(wǎng)絡(luò)最常見(jiàn)的攻擊方法這種威脅源于無(wú)線鏈路的開(kāi)放性但是由于無(wú)線傳輸距離受到功率和信噪比的限制竊聽(tīng)者必須與源結(jié)點(diǎn)距離較近藍(lán)牙技術(shù)標(biāo)準(zhǔn)建議采用較低的發(fā)射功率標(biāo)準(zhǔn)通信距離僅有十米這在一定程度上保證了網(wǎng)絡(luò)的可靠性 1非法竊聽(tīng) 返 回 上 頁(yè) 下 頁(yè) 非法訪問(wèn)是指入侵者偽裝成合法用戶來(lái)訪問(wèn)網(wǎng)絡(luò)資源以期達(dá)到破壞目的或者是違反安全策略利用安全系統(tǒng)的缺陷非法占有系統(tǒng)資源或訪問(wèn)本應(yīng)受保護(hù)的信息必須對(duì)網(wǎng)絡(luò)中的通信設(shè)備增加認(rèn)證機(jī)制以防止非授權(quán)用戶使用網(wǎng)絡(luò)資源 2非法訪問(wèn) 返 回 上 頁(yè) 下 頁(yè) 服務(wù)拒絕是指入侵者通過(guò)某些手段使合法用戶無(wú)法獲得其應(yīng)有的網(wǎng)絡(luò)服務(wù)這種攻擊方式在Internet中最為常見(jiàn)也最為有效在藍(lán)牙網(wǎng)絡(luò)中這種威脅包括阻止合法用戶建立連接或通過(guò)向網(wǎng)絡(luò)發(fā)送大量垃圾數(shù)據(jù)來(lái)破壞合法用戶的正常通信對(duì)于這種威脅通常可采用認(rèn)證機(jī)制和流量控制機(jī)制來(lái)防止 3服務(wù)拒絕 返 回 上 頁(yè) 下 頁(yè) 耗能攻擊也稱為能源消耗攻擊現(xiàn)有藍(lán)牙設(shè)備為節(jié)約電池能量使用節(jié)能機(jī)制在不進(jìn)行通信時(shí)進(jìn)入休眠狀態(tài)能源消耗攻擊目的是破壞節(jié)能機(jī)制如不停地發(fā)送連接請(qǐng)求使設(shè)備無(wú)法進(jìn)入節(jié)能模式最終達(dá)到消耗能量的目的目前對(duì)這種攻擊還沒(méi)有行之有效的辦法 4耗能攻擊 返 回 上 頁(yè) 下 頁(yè) 二藍(lán)牙采用的安全技術(shù) 藍(lán)牙技術(shù)標(biāo)準(zhǔn)除了采用上述的跳頻擴(kuò)頻技術(shù)和低發(fā)射功率等常規(guī)安全技術(shù)外還采用內(nèi)置的安全機(jī)制來(lái)保證無(wú)線傳輸?shù)陌踩? 1 安全模式 在這種模式下藍(lán)牙設(shè)備屏蔽鏈路級(jí)的安全功能適于非敏感信息的數(shù)據(jù)庫(kù)的訪問(wèn)這方面的典型的例子有自動(dòng)交換名片和日歷 即vCard和vCalendar ●安全模式1無(wú)安全要求 返 回 上 頁(yè) 下 頁(yè) 提供業(yè)務(wù)級(jí)的安全機(jī)制允許更多靈活的訪問(wèn)過(guò)程例如并行運(yùn)行一些有不同安全要求的應(yīng)用程序在這種模式中藍(lán)牙設(shè)備在信道建立后啟動(dòng)安全性過(guò)程也就是說(shuō)它的安全過(guò)程在較高層協(xié)議進(jìn)行 ●安全模式2強(qiáng)制業(yè)務(wù)級(jí)安全 提供鏈路級(jí)的安全機(jī)制鏈路管理器對(duì)所有建立連接的應(yīng)用程序以一種公共的等級(jí)強(qiáng)制執(zhí)行安全標(biāo)準(zhǔn)在這種模式中藍(lán)牙設(shè)備在信道建立以前啟動(dòng)安全性過(guò)程也就是說(shuō)它的安全過(guò)程在較低層協(xié)議進(jìn)行 ●安全模式3強(qiáng)制鏈路級(jí)安全 返 回 上 頁(yè) 下 頁(yè) 2 設(shè)備和業(yè)務(wù)的安全等級(jí) 1設(shè)備定義了三個(gè)級(jí)別的信任等級(jí) ●可信任設(shè)備設(shè)備已通過(guò)鑒權(quán)存儲(chǔ)了鏈路密鑰在設(shè)備數(shù)據(jù)庫(kù)中標(biāo)識(shí)為可信任可信任設(shè)備可以無(wú)限制的訪問(wèn)所有的業(yè)務(wù) ●不可信任設(shè)備設(shè)備已通過(guò)鑒權(quán)存儲(chǔ)了鏈路密鑰但在設(shè)備數(shù)據(jù)庫(kù)中沒(méi)有標(biāo)識(shí)為可信任不可信任設(shè)備訪問(wèn)業(yè)務(wù)是受限的 ●未知設(shè)備無(wú)此設(shè)備的安全性信息為不可信任設(shè)備 返 回 上 頁(yè) 下 頁(yè) 2業(yè)務(wù)的三種安全級(jí)別 ●需授權(quán)只允許信任設(shè)備自動(dòng)訪問(wèn)的業(yè)務(wù) 例如在設(shè)備數(shù)據(jù)庫(kù)中已登記的那些設(shè)備 不信任的設(shè)備需要在授權(quán)過(guò)程完成后才能訪問(wèn)該業(yè)務(wù)授權(quán)總是需要鑒權(quán)以確認(rèn)遠(yuǎn)端設(shè)備是正確的設(shè)備 ●需鑒權(quán)在連接到應(yīng)用程序之前遠(yuǎn)端設(shè)備必須接受鑒權(quán) ●需加密在允許訪問(wèn)業(yè)務(wù)前必須切換到加密模式下 返 回 上 頁(yè) 下 頁(yè) 3 鏈路級(jí)安全參數(shù) 藍(lán)牙技術(shù)在應(yīng)用層和鏈路層上提供了安全措施鏈路層采用的四種不同實(shí)體來(lái)保證安全所有鏈路級(jí)的安全功能都是基于鏈路密鑰的概念實(shí)現(xiàn)的鏈路密鑰是對(duì)應(yīng)每一對(duì)設(shè)備單獨(dú)存儲(chǔ)的一些128位的隨機(jī)數(shù) 返 回 上 頁(yè) 下 頁(yè) 4 密鑰管理 藍(lán)牙系統(tǒng)用于確保安全傳輸?shù)拿荑€有幾種其中最重要的密鑰是用于兩個(gè)藍(lán)牙設(shè)備之間鑒權(quán)的鏈路密鑰加密密鑰可以由鏈路密鑰推算出來(lái)這將確保數(shù)據(jù)包的安全而且每次傳輸都會(huì)重新生成最后還有PIN碼用于設(shè)備之間互相識(shí)別 返 回 上 頁(yè) 下 頁(yè) 一共有四種可能存在的鏈路密鑰所有鏈路密鑰都是128位的隨機(jī)數(shù)它們或者是臨時(shí)的或者是半永久性的加密密鑰由當(dāng)前的鏈路密鑰推算而來(lái)每次需要加密密鑰時(shí)它會(huì)自動(dòng)更換之所以將加密密鑰與鑒權(quán)密鑰分離開(kāi)是因?yàn)榭梢允褂幂^短的加密密鑰而不減弱鑒權(quán)過(guò)程的安全性 鏈路密鑰 返 回 上 頁(yè) 下 頁(yè) 通常稱為PIN 個(gè)人識(shí)別號(hào)碼 是一個(gè)由用戶選擇或固定的數(shù)字長(zhǎng)度可以為16個(gè)字節(jié)通常采用四位十進(jìn)制數(shù)用戶在需要時(shí)可以改變它這樣就增加了系統(tǒng)的安全性另外同時(shí)在兩個(gè)設(shè)備輸入PIN比其中一個(gè)使用固定的PIN要安全得多事實(shí)上它是唯一的可信的用于生成密鑰的數(shù)據(jù)典型情況是四位十進(jìn)制PIN碼與其他變量結(jié)合生成鏈路密鑰和加密密鑰 藍(lán)牙安全碼 返 回 上 頁(yè) 下 頁(yè) 藍(lán)牙系統(tǒng)加密算法為數(shù)據(jù)包中的凈荷 即數(shù)據(jù)部分 加密其核心部分是數(shù)據(jù)流密碼機(jī)E0它包括凈荷密鑰生成器密鑰流生成器和加解密模塊由于密鑰長(zhǎng)度從8比特到128比特不等信息交互雙方必須通過(guò)協(xié)商確定密鑰長(zhǎng)度 5 加密算法 返 回 上 頁(yè) 下 頁(yè) 有幾種加密模式可供使用如果使用了單元密鑰或者聯(lián)合密鑰廣播的數(shù)據(jù)流將不進(jìn)行加密點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)流可以加密也可以不加密如果使用了主密鑰則有三種可能的模式 ●加密模式1不對(duì)任何進(jìn)行加密 ●加密模式2廣播數(shù)據(jù)流不加密點(diǎn)對(duì)點(diǎn)數(shù)據(jù)流用臨時(shí)密鑰Kmaste進(jìn)行加密 ●加密模式3所有數(shù)據(jù)流均用臨時(shí)密鑰Kmaste進(jìn)行加密 返 回 上 頁(yè) 下 頁(yè) 6 認(rèn)證機(jī)制 兩個(gè)設(shè)備第一次通信時(shí)借助結(jié)對(duì)初始化過(guò)程生成一個(gè)共用的鏈路密鑰結(jié)對(duì)過(guò)程要求用戶輸入16字節(jié) 或128位 PIN到兩個(gè)設(shè)備根據(jù)藍(lán)牙技術(shù)標(biāo)準(zhǔn)結(jié)對(duì)過(guò)程如下 ●根據(jù)用戶輸入的PIN生成一個(gè)共用隨機(jī)數(shù)作為初始化密鑰此密鑰只用一次然后即被丟棄 ●在整個(gè)鑒權(quán)過(guò)程中始終檢查PIN是否與結(jié)對(duì)設(shè)備相符 ●生成一個(gè)普通的128位隨機(jī)數(shù)鏈路密鑰暫時(shí)儲(chǔ)存在結(jié)對(duì)的設(shè)備中只要該鏈路密鑰儲(chǔ)存在雙方設(shè)備中就不再需要重復(fù)結(jié)對(duì)過(guò)程只需實(shí)現(xiàn)鑒權(quán)過(guò)程 返 回 上 頁(yè) 下 頁(yè) ●基帶連接加密不需要用戶的輸入當(dāng)成功鑒權(quán)并檢索到當(dāng)前鏈路密鑰后鏈路密鑰會(huì)為每個(gè)通信會(huì)話生成一個(gè)新的加密密鑰加密密鑰長(zhǎng)度依據(jù)對(duì)安全等級(jí)而定一般在8128比特之間最大的加密長(zhǎng)度受硬件能力的限制防止非授權(quán)用戶的攻擊藍(lán)牙標(biāo)準(zhǔn)規(guī)定如果認(rèn)證失敗藍(lán)牙設(shè)備會(huì)推遲一段時(shí)間重新請(qǐng)求認(rèn)證每增加一次認(rèn)證請(qǐng)求推遲時(shí)間就會(huì)增加一倍直到推遲時(shí)間達(dá)到最大值同樣認(rèn)證請(qǐng)求成功后推遲時(shí)間也相應(yīng)地成倍遞減直到達(dá)到最小值 返 回 上 頁(yè) 下 頁(yè) 二 藍(lán)牙技術(shù)應(yīng)用模型 藍(lán)牙技術(shù)的應(yīng)用被認(rèn)為非常廣泛而且極具潛力它可以應(yīng)用于無(wú)線設(shè)備如PDA手機(jī)智能電話無(wú)繩電話圖像處理設(shè)備照相機(jī)打印機(jī)掃描儀安全產(chǎn)品智能卡身份識(shí)別票據(jù)管理安全檢查消費(fèi)娛樂(lè)耳機(jī)MP3游戲汽車產(chǎn)品GPSABS動(dòng)力系統(tǒng)安全氣袋家用電器電視機(jī)電冰箱電烤箱微波爐音響錄像機(jī)醫(yī)療健身建筑玩具等領(lǐng)域 返 回 上 頁(yè) 下 頁(yè) 藍(lán)牙SIG定義的幾種基本的應(yīng)用模型 ●文件傳輸 ●局域網(wǎng)接入 ●因特網(wǎng)網(wǎng)橋 ●同步 ●三合一電話 ●終極耳機(jī) 返 回 上 頁(yè) 下 頁(yè) 藍(lán)牙SIG可提供的應(yīng)用具體可列舉如下 1手機(jī)與計(jì)算機(jī)的相連目前多數(shù)通過(guò)IrDA紅外線或是RS232串口線藍(lán)牙取而代之不僅方便而且資料傳送的速度也不用擔(dān)心有的狀況下IsDA的速度更快些 2可作無(wú)繩電話使用內(nèi)置藍(lán)牙芯片的手機(jī)在家里可以當(dāng)作無(wú)繩電話使用不用雙向收費(fèi)節(jié)省手機(jī)費(fèi)用 3數(shù)據(jù)共享辦公更簡(jiǎn)易無(wú)論手機(jī)計(jì)算機(jī)打印機(jī)PDA或是數(shù)碼相機(jī)MP3播放器都可以用藍(lán)牙互傳語(yǔ)音文字圖像文件蜘蛛網(wǎng)式的會(huì)議室將不復(fù)存在白板記錄儀投影機(jī)等都可以利用藍(lán)牙來(lái)簡(jiǎn)化操作 返 回 上 頁(yè) 下 頁(yè) 4Internet接入內(nèi)置藍(lán)牙芯片的筆記本型計(jì)算機(jī)或手機(jī)時(shí)不僅可以使用公共電話交換網(wǎng)public swithed telephone network PSTN ISDNLANxDSL而且蜂窩式移動(dòng)網(wǎng)絡(luò)照樣可以進(jìn)行高速連接 5無(wú)線免提筆記本型電腦具有話筒及揚(yáng)聲器用藍(lán)牙連接將來(lái)的手機(jī)多人視頻會(huì)議更加容易而且免提手機(jī)不在是汽車獨(dú)有的了 6同步資料 7藍(lán)牙還可以應(yīng)用于鍵盤鼠標(biāo)家庭網(wǎng)絡(luò)高速無(wú)線內(nèi)部網(wǎng)絡(luò)電子名片等 返 回 上 頁(yè) 下 頁(yè) 三 藍(lán)牙的發(fā)展 據(jù)一項(xiàng)最新的研究預(yù)測(cè)藍(lán)牙將滲透到17個(gè)不同的市場(chǎng)領(lǐng)域在未來(lái)幾年里才是藍(lán)牙大規(guī)模占有市場(chǎng)的時(shí)候當(dāng)然藍(lán)牙仍然是一項(xiàng)發(fā)展中的技術(shù)其應(yīng)用目前應(yīng)該說(shuō)仍處于起步階段要真正達(dá)到大規(guī)模進(jìn)入商用市場(chǎng)并在用戶中普及還有大量應(yīng)用技術(shù)細(xì)節(jié)需要解決 返 回 上 頁(yè) 下 頁(yè) 藍(lán)牙需要解決的問(wèn)題 1 增加消費(fèi)者的認(rèn)知度 5爭(zhēng)取眾多操作系統(tǒng)支持藍(lán)牙 4 與其他技術(shù)的共存 3 產(chǎn)品應(yīng)使用方便 2 產(chǎn)品應(yīng)具有互操作性 返 回 上 頁(yè) 下 頁(yè) 6芯片越來(lái)越小巧 7向單芯片方向發(fā)展 8芯片價(jià)格持續(xù)下降 9干擾問(wèn)題的解決 10 支持漫游功能 返 回 上 頁(yè) 下 頁(yè) maxbook118　藍(lán)牙技術(shù)原理 一 藍(lán)牙系統(tǒng)組成 主要組成單元簡(jiǎn)介 一個(gè)微波跳頻擴(kuò)頻通信系統(tǒng)數(shù)據(jù)和話音信息分組在指定的時(shí)隙指定跳頻頻率發(fā)送和接收 1藍(lán)牙無(wú)線射頻單元 返 回 上 頁(yè) 下 頁(yè) 包括基帶數(shù)字信號(hào)處理的硬件部分并完成基帶協(xié)議和其他低層鏈路的規(guī)程基帶控制器的服務(wù)項(xiàng)目包括發(fā)送和接收數(shù)據(jù)設(shè)備信號(hào)請(qǐng)求鏈路地址查詢建立連接驗(yàn)證協(xié)商并建立連接方式確定分組內(nèi)型設(shè)置監(jiān)聽(tīng)方式設(shè)置保持方式設(shè)置休眠方式 2基帶控制器單元 鏈路管理單元實(shí)現(xiàn)鏈路的建立驗(yàn)證鏈路配置及其協(xié)議鏈路管理單元可以發(fā)現(xiàn)其他的鏈路管理單元并通過(guò)連接管理協(xié)議LMP建立通信聯(lián)系鏈路管理器通過(guò)基帶控制器提供的服務(wù)實(shí)現(xiàn)上述功能 3鏈路管理單元 返 回 上 頁(yè) 下 頁(yè) 二藍(lán)牙的結(jié)構(gòu)體系 它是由底層硬件模塊中間層和高端應(yīng)用層三大部分組成 返 回 上 頁(yè) 下 頁(yè) 一藍(lán)牙的底層模塊 由鏈路管理層LMP Link Manager Protocol 基帶層BB Base Band 和射頻RF Radio Frequency 組成 各部分主要功能 通過(guò)24GHz無(wú)需申請(qǐng)的ISM頻段實(shí)現(xiàn)數(shù)據(jù)流的過(guò)濾和傳輸它主要定義了工作在此頻段的藍(lán)牙接收機(jī)應(yīng)滿足的要求 1無(wú)線連接層RF 返 回 上 頁(yè) 下 頁(yè) 基帶層BB提供了兩種不同的物理鏈路同步面向連接鏈路和異步無(wú)連接鏈路ACL負(fù)責(zé)跳頻和藍(lán)牙數(shù)據(jù)及信息幀的傳輸且對(duì)所有內(nèi)型的數(shù)據(jù)包提供了不同層次的前向糾錯(cuò)碼FEC Forward Error Correction 或循環(huán)冗余度差錯(cuò)校驗(yàn)CTC 2基帶層BB LMP層負(fù)責(zé)兩個(gè)或多個(gè)設(shè)備鏈路的建立和拆除及鏈路的安全和控制如鑒權(quán)和加密控制和協(xié)商基帶包的大小等它為上層軟件模塊提供了不同的訪問(wèn)入口 3鏈路管理層LMP 返 回 上 頁(yè) 下 頁(yè) 藍(lán)牙主機(jī)控制器接口HCI Host controller interface 由基帶控制器連接管理器控制和事件寄存器等組成它是藍(lán)牙協(xié)議中軟硬件之間的接口提供了一個(gè)調(diào)用下層BBLM狀態(tài)和控制寄存器等硬件的統(tǒng)一命令上下兩個(gè)模塊接口之間的消息和數(shù)據(jù)的傳遞必須通過(guò)HCI的解釋才能進(jìn)行HCI層以上的協(xié)議軟件實(shí)體運(yùn)行在主機(jī)上而HCI以下的功能由藍(lán)牙設(shè)備來(lái)完成二者之間通過(guò)傳輸層進(jìn)行交換 4藍(lán)牙主機(jī)控制器接口 返 回 上 頁(yè) 下 頁(yè) 二 中間協(xié)議層 1 中間協(xié)議層的組成 ●邏輯鏈路控制與適配協(xié)議L2CAP Logical Link Control and Adaptation Protocol ●串口仿真協(xié)議或稱線纜替換協(xié)議RFCOMM ●二進(jìn)制電話控制協(xié)議TCS Telephone Control Protocol Spectocol ●服務(wù)發(fā)現(xiàn)協(xié)議SDP Service Discovery Protocol 返 回 上 頁(yè) 下 頁(yè) 2 各部分的功能 L2CAP是藍(lán)牙協(xié)議棧的核心組成部分也是其他協(xié)議實(shí)現(xiàn)的基礎(chǔ)它位于基帶之上向上層提供面向連接和無(wú)連接的數(shù)據(jù)服務(wù)它主要完成數(shù)據(jù)的拆裝服務(wù)質(zhì)量控制協(xié)議的復(fù)用分組的分割和重組Segmentation And REassembly及組提取等功能L2CAP允許高達(dá)64KB的數(shù)據(jù)分組 1邏輯鏈路控制與適配協(xié)議L2CAP SDP是一個(gè)基于客戶服務(wù)器結(jié)構(gòu)的協(xié)議它工作在L2CAP層之上為上層應(yīng)用程序提供一種機(jī)制來(lái)發(fā)現(xiàn)可用的服務(wù)及其屬性而服務(wù)的屬性包括服務(wù)的內(nèi)型及該服務(wù)所需的機(jī)制或協(xié)議信息 2服務(wù)發(fā)現(xiàn)協(xié)議SDP 返 回 上 頁(yè) 下 頁(yè) RFCOMM是一個(gè)仿真有線鏈路的無(wú)線數(shù)據(jù)仿真協(xié)議符合ETSI標(biāo)準(zhǔn)的TS0710串口仿真協(xié)議它在藍(lán)牙基帶上仿真RS232的控制和數(shù)據(jù)信號(hào)為原先使用串行連接的上層業(yè)務(wù)提供傳送能力 3串口仿真協(xié)議或稱線纜替換協(xié)議RFCOMM TCS是一個(gè)基于ITU_TQ931建議的采用面向比特的協(xié)議它定義了用于藍(lán)牙設(shè)備之間建立語(yǔ)音和數(shù)據(jù)呼叫的控制信令Call Control Signaling1并負(fù)責(zé)處理藍(lán)牙設(shè)備組的移動(dòng)管理過(guò)程 4二進(jìn)制電話控制協(xié)議TCS 返 回 上 頁(yè) 下 頁(yè) 三 高端應(yīng)用層 高端應(yīng)用層位于藍(lán)牙協(xié)議棧的最上部分一個(gè)完整的藍(lán)牙協(xié)議棧按其功能又可劃分為四層 ●核心協(xié)議層BBLMPL2CAPSDP ●線纜替換協(xié)議層RFCOMM ●電話控制協(xié)議層TCSBIN ●選用協(xié)議層PPPTCPTPUDPOBEXIrMCWAPWAE 高端應(yīng)用層是由選用協(xié)議層組成 返 回 上 頁(yè) 下 頁(yè) 選用協(xié)議各部分的功能 1PPP Pointtopoint Protocol 是點(diǎn)對(duì)點(diǎn)協(xié)議由封裝鏈路控制協(xié)議網(wǎng)絡(luò)控制協(xié)議組成定義了串行點(diǎn)到點(diǎn)鏈路應(yīng)當(dāng)如何傳輸因特網(wǎng)協(xié)議數(shù)據(jù)它主要用于LAN接入撥號(hào)網(wǎng)絡(luò)及傳真等應(yīng)用規(guī)范 2TCPIP 傳輸控制協(xié)議網(wǎng)絡(luò)層協(xié)議 UDP User Datagram Protocol對(duì)象交換協(xié)議 是三種已有的協(xié)議它定義了因特網(wǎng)與網(wǎng)絡(luò)相關(guān)的通信及其他內(nèi)型計(jì)算機(jī)設(shè)備和外圍設(shè)備之間的通信這樣即可提高效率又可在一定程度上保證藍(lán)牙技術(shù)和其他通信技術(shù)的互操作性 返 回 上 頁(yè) 下 頁(yè) 3OBEX Object Exchange Protocol 是對(duì)象交換協(xié)議它支持設(shè)備見(jiàn)的數(shù)據(jù)交換采用客戶服務(wù)器模式提供與HTTP 超文本傳輸協(xié)議 相同的基本功能該協(xié)議作為一個(gè)開(kāi)放性標(biāo)準(zhǔn)還定義了可用于交換的電子商務(wù)卡個(gè)人日志表消費(fèi)和便條等格式 4WAP Wireless Application Protocol 是無(wú)線應(yīng)用協(xié)