蓝牙技术安全性分析与安全策略_毕业学位论文(编辑修改稿)

蓝牙技术安全性分析与安全策略_毕业学位论文(编辑修改稿)内容摘要：

成的一个小组公开宣布 :没有可信的或有说服力的证据来证实在可接受的辐射范围内的无线设备所发出的辐射能够对人的身体健康带来不良影啊。 由此可见，我们并不需要担心蓝牙技术所带来的辐射。 信息安全 它 是指要保证通讯双方所传递的信息不被窃听和篡改，蓝牙系统必须在链路层和应用层上提供安全措施。 蓝牙系统中的安全威胁 蓝牙系统中的安全威胁主要来源于：非法窃听、非法访问、服务拒绝和耗能攻击。 不同的安全威胁会给网络带来不同程度的破坏。 1 非法窃听：它是指攻击者通过对传输媒介的监听非法获取传输的信息，是对通信网络最常见的攻击方法。 这种威胁源于无线链路的开放性，但是由于无线 传输距离受到功率和信噪比的限制，窃听者必须与源结点距离较近。 蓝牙技术标准建议采用较低的发射功率，标准通信距离仅有十米，这在一定程度上保证 了网络的可靠性。 2 非法访问：指入侵者伪装成合法用户来访问网络资源，以期达到破坏目的。 或者是违反安全策略，利用安全系统的缺陷非法占有系统资源或访问本应受保护的信息。 必须对网络中的通信设备增加认证机制，以防门非授权用户使用网络资源。 3服务拒绝：指入侵者通过某些手段使合法用户无法获得其应有的网络服务。 在蓝牙网络中，这种威胁包括阻比合法用户建立连接，或通过向网络发送大量垃圾数据来破坏合法用户的正常通信。 对于这种威胁，通常可采用认证机制和流量控制机制来防门。 4 耗能攻击：耗能攻击也称为能源消耗攻击，现有蓝牙设 备为节约电池能量，使用节能机制，在不进行通信时进入体眠状态。 能源消耗攻击目的是破坏节能机制，如不停地发送连接请求，使设备无法进入节能模式，最终达到消耗能量的目的。 目前对这种攻击还没有行之有效的办法。 蓝牙系统安全的任务 2. 蓝牙系统的安全任务 1 可用性：对于蓝牙系统，可用性就是确保网络中的节点在受到各种网络攻击时仍然能够提供相应的服务。 可用性攻击主要有阻塞类攻击和能源消耗攻击。 2 机密性：由于蓝牙系统采用了无线信道，所以很容易受到被动窃听性攻击，往往无法察觉。 虽然可以限制信号的发射范围 来阻止一定的窃听攻击，但完全阻止是不可能的。 所以在网络中传输的敏感信息需要保证其机密性。 3 授权与密钥管理：授权与密钥管理也是一个复杂的问题，由于网络没有固定拓扑，无法确定业务授权中心。 同时，如果网络中结点数目较多，并且移动性较强，就会造成认证机制相对复杂，通常需要第三方介入。 使用的密钥交换算法要能很好地解决网络移动性强，拓扑不固定的问题。 4 身份识别与完整性：由于无线信道的开放性，必须对信道进行加密，必须有完整的认证机制，对通信单元进行身份识别，同时，也要保证信息在传输过程中的完整性。 5 认证：在蓝 牙系统中，认证就是要确认通信对方实体是真实的。 6 不可抵赖性：不可抵赖性是用来保证蓝牙系统中的移动节点不能抵赖它以前的行为。 第三章 蓝牙安全机制的框架 蓝牙的安全体系结构由用户接口、应用程序、 RFCOMM 或者其他复用协议、L2CAP、链路管理器 / 链路控制器、安全管理器 (Security Manager) 、通用安全管理实体、 HCI、服务数据库、设备数据库、注册等模块组成。 其安全体系结构如图 1 所示。 其中实线为“询问”过程 ,虚线为“注册”过程。 该体系结构各 个部件的功能如下。 其中安全管理器是蓝牙安全体系结构中的关键部件。 它主要完成以下六种功 能 :存储和查询有关服务的相关安全信息。 存储和查询有关设备的相关安全信息。 回应来自协议实体或应用程序的访问请求 (允许或拒绝 )。 在连接到应用程序之前进行认证或加密。 通过初始化或处理 ESCE(外部安全控制实体 ,例如设备用户 ) 的输入来建立设备级的信任关系。 初始化呼叫及查询由用户输入的个人标识码PIN ,PIN 输入也可以由应用程序来完成。 服务数据库为每个服务提供相关的安全入口。 在起始阶段存储在非易失性存储器 NVM 或服务寄存 器中。 信任设备必须储存在设备数据库 NVM中。 如果入口因故而被删除 ,那么设备就看成未知设备 ,而且被设为默认的访问级别。 用户接口其功能是为实现授权而产生的用户交互对话 ,如输入 PIN 等 ,如果安全管理器需要 PIN ,可以使用对 ESCE 的调用 ,也可以直接从链路管理器中取得。 RFCOMM或其它复用协议是需要对服务访问作决定的其它复用协议 (如RFCOMM) 以与 L2CAP 同样的方式查询安全管理器 ,但有另外的附加注册过程 ,它允许对连接到复用协议本身的连接去设置访问策略。 L2CAP 接口要求安全管理器在导入和导 出请求状态下有访问数据库的权利。 HCI/ 链路管理器的接口模块可实现以下功能 : ①鉴权请求。 ②加密控制。 ③远程设备的名称请求。 ④在链路层设置加密策略。 ⑤在链路层设置鉴权策略。 有一些注册过程是必须的 ,如 :有安全级别和协议栈信息的服务、在 L2CAP 层之上的复用协议。 注册由负责在 BT 协议栈中设置路径的实体完成 ,它的具体实现取决于注册的实体 ,如果没有注册 ,就使用缺省设置。 该体系结构指出何时关联用户 (如输入 PIN) ,以及为了支持预期的安全检验功能底层的蓝牙协议需要执行的动作。 蓝牙安全体系建立在 L2CAP 层之上 ,它可以实现对服务的选择性访问。 利用中央安全管理器很容易实现灵活的访问机制 ,因为协议及其它实体的接口很简单 ,并且它们被局限于请求 / 答应和注册这样一种过程 ,访问控制封装在安全管理器中。 因此 ,实现更为复杂的访问不会影响其他部分的实现。 在该体系结构中 ,访问一个信任设备的信息流 ,连接的建立过程依次为 : (1) HCI 向 L2CAP 发送连接请求。 (2) L2CAP 请求安全管理器给予访问权限。 (3) 安全管理器查询服务数据库。 (4) 安全管理器查询设备数据库。 (5) 如果有必要 ,安全管理器执 行鉴权和加密过程。 (6) 安全管理器给予访问权限。 (7) L2CAP 继续建立连接。 蓝牙的安全设置 蓝牙为确保与有线通信相似的安全性能，它在底层和高层为数据的传输定义了多种安全模式和安全级别。 蓝牙规范中定义了三种安全实现模式 : •安全模式 1 :无安全机制 •安全模式 2 :服务级安全机制 •安全模式 3 :链路级安全机制 安全模式 1 :无任何安全需求 ,无须任何安全服务和机制的保护。 此时任何设备和用户都可以访问任何类型的服务。 其典型的应用有 :电子名片 (vCard) 的交换、电子日历 (vCalendar) 等数据传输。 安全模式 2 :对系统的各个应用和服务需要进行分别的安全保护 ,包括授权访问、身份鉴别和加密传输。 加密和鉴别发生在逻辑链路控制和适配协议 (L2CA 信道建立之前 )。 安全模式 3 :对所有的应用和服务的访问都需要实行访问授权、身份鉴别和加密传输。 这种模式的鉴服务层安全模式和链路层安全模式的本质区别就在于：对服务层安全模式来说，设备是在通信信道建立以后才开始进行安全程序的，而对链路层安全模式来说，设备是在通信信道建立之前就开始进行安全程序的。 蓝牙的安全级别 蓝牙定义了两类安全级别，即设 备安全级别和服务安全级别。 1 设备的安全级别对于设备而言，它有两种不同的信任级别：①信任设备：设备已鉴权，链路密钥已保存在设备数据库中，并标记为 信任。 信任设备一般是有固定关系 (配对 )的，它可不受限制地访问所有服务；②非信任设备：设备已鉴权，链路密钥已保存在设备数据库中，但没有标记为 信任。 非信任设备没有永久固定关系 (或是临时的 )，或有固定关系但并不认为它是信任的设备，它对服务的访问要受到一定的限制。 另外，未知设备也是未非信任 设备，它没有有效的安全信息。 2 服务的安全级别对于请求授权的服务、鉴权和加密可分别地设置。 访问请求允许定义 3种安全级别：①要求授权和鉴权的服务，自动访问只允许对信任设备进行，其它设备需要用人工授权；②仅仅要求鉴权的服务，无须授权；③对所有设备开放的服务，不要求鉴权。 另外，蓝牙还定义了缺省安全级别，用于提供继承应用的需要。 蓝牙技术的安全机制 蓝才技术的无线传输特性使它非常容易受到攻击，因此安全机制在蓝才技术中显得尤为重要。 虽然蓝牙系统所采用的跳频技术已经提供了一定的安全保障，但是蓝才系统仍然需要链路层和应用层的安全管理。 在链路层中，蓝才系统使用认证、加密和密钥管理等功能进行安全控制。 在应用层中，用户可以使用个人标识码 (PIN)来进行单双向认证。 3. 设备鉴权 蓝才设备的鉴权是指对蓝才设备用户身份的鉴别和确认，可防比对关键数据和功能的非法访问，也可防比黑客试图伪装成授权用户进行欺骗。 首先，校验者向申请者发送一个 LMP_ au_ rand PDU(其中带有一个 16字节的随机数 )进行询问，申请者用这个随机数进行相应的运算，并在 LMP_ sres PDU 中把运算的结果返回给校验者。 如果返回的结果符合要求，那么校 验者就认为申请者是一个通过鉴权的设备。 当然，校验者和申请者的角色可以互换，进行反向鉴权。 加密是在发送端将数据按一定的规律扰乱后再进行传送，到接收端再通过解密进行复原，这样可以保持链路中的机密性，以防门他人窃听。 蓝牙要求你为每一台蓝牙设备设置访问密码，只有提供正确访问密码的蓝牙设备才可以处理网络数据。 蓝牙采用密匙为数据加密，如图二所示。 在进行蓝牙设备的初始设置时，密匙被存入加密芯片。 接收信息时，加密芯片利用密钥对信息加密。 发送信息时，加密芯片再利用密匙对信息解密。 网络中，只有那些拥有相同加 密芯片和密匙的蓝才设备才能读懂信息，其他没有密匙的用户并不能解密任何信息。 快跳频 跳频就是不同的频进之间迅速而随机地跳变，这将非常有利于保证数据的安全性和完招性，因为如果在一个频进上遇到干扰，就可以迅速跳到可能没有干扰的另一个频进上工作。 如果在一个频进传送的信号因受到干扰而出现了差错，就可以跳到另一个频进上重发。 蓝才的运行方式不仅能够保证数据出错时允许重发，而目 _还能保证重发必定是在不同的频进上进行的。 蓝牙技术把 ISM频段分判成 79个跳频信进，以每秒 1600次的伪随机跳频序列，在 79个信 进之间改变频率。 如果在某个频率点上有强大的干扰，那么受其影。