低功耗藍(lán)牙信標(biāo)是否安全且私密?
引言
本文引用地址:http://cafeforensic.com/article/201703/344774.htm許多之前從未使用過無線技術(shù)的原始設(shè)備制造商(OEM)現(xiàn)在正在采用藍(lán)牙(Bluetooth)技術(shù),并將信標(biāo)添加到自己的產(chǎn)品中。對(duì)這些制造商而言,這可能會(huì)很簡單,但更有可能的是他們會(huì)遇到一些挑戰(zhàn)。除了硬件、軟件和電池壽命等考量因素,信標(biāo)設(shè)計(jì)者還需要考慮安全和隱私這項(xiàng)因素。
1關(guān)于安全性
最近的新聞報(bào)道中強(qiáng)調(diào),消費(fèi)者擔(dān)心信標(biāo)會(huì)“追蹤自己的一舉一動(dòng)”。事實(shí)上,典型的信標(biāo)并不收集數(shù)據(jù),因?yàn)樗鼈兪菃蜗蛟O(shè)備——只進(jìn)行廣播。真正侵犯人們隱私的其實(shí)是智能手機(jī),它通過獲知信標(biāo)的位置,并經(jīng)由手機(jī)上應(yīng)用程序所提供的服務(wù)而侵犯人們的隱私。
實(shí)際上,智能手機(jī)可以在沒有信標(biāo)的條件下,通過使用GPS、Wi-Fi和蜂窩網(wǎng)絡(luò)同樣可以侵犯到個(gè)人隱私。只因?yàn)樾艠?biāo)可以低功耗和低成本方式來部署,因此在實(shí)現(xiàn)一種全新應(yīng)用模式的同時(shí),也引發(fā)了人們長久以來一直存在的一些合理的擔(dān)心。其實(shí),用戶也可以在其設(shè)備的設(shè)置中關(guān)閉所有這些“基于位置的服務(wù)(Location Based Service)”。
IT專業(yè)人員和商務(wù)人士也擔(dān)憂信標(biāo)的安全風(fēng)險(xiǎn)。但是,這再一次暗示了通常情況下信標(biāo)所沒有的功能:它們通常是單向設(shè)備,可以發(fā)送但無法接收信息。這就是說,在一些應(yīng)用中,信標(biāo)的安全性很重要,這不僅是針對(duì)正在運(yùn)行的操作,對(duì)信標(biāo)的部署來說也一樣。
對(duì)于信標(biāo)廣播來說,除非其是專有網(wǎng)絡(luò)的一部分,否則根據(jù)定義它是不加密的。然而,IT專業(yè)人員需要對(duì)進(jìn)來的信標(biāo)網(wǎng)絡(luò)流量(如果有的話)予以保護(hù),且保護(hù)程度要與他們對(duì)網(wǎng)絡(luò)中其余設(shè)備所提供的保護(hù)一致,或者至少達(dá)到信標(biāo)硬件能夠適應(yīng)的程度。
在一些信標(biāo)應(yīng)用中,接近信標(biāo)可能會(huì)產(chǎn)生實(shí)際的價(jià)值,比如獲得獎(jiǎng)勵(lì)積分或者進(jìn)入一家商店,那么信標(biāo)提供者可能也同樣需要實(shí)施可預(yù)防欺詐的保護(hù)措施。這可能包括時(shí)間戳、臨時(shí)ID,或者隨機(jī)安全秘鑰,這些都隨著每次接近事件而生成,并由后端系統(tǒng)進(jìn)行驗(yàn)證。
2設(shè)備管理功能的安全性
當(dāng)信標(biāo)在現(xiàn)場部署或升級(jí)時(shí),會(huì)經(jīng)歷一個(gè)配置過程。這很可能就是信標(biāo)最容易遭受安全漏洞威脅的時(shí)候。在這些情況下,信標(biāo)可以使用藍(lán)牙的安全功能(例如配對(duì)、認(rèn)證、加密等),以及其它的安全措施,比如強(qiáng)密碼保護(hù)。
對(duì)于部署來說,訪問配置服務(wù)可被限制在一個(gè)很短的時(shí)間窗口內(nèi)。該窗口結(jié)束后,設(shè)備就會(huì)成為一個(gè)普通的廣播信標(biāo),并且不再廣播其內(nèi)部服務(wù)。該過程如圖1所示。
圖1 信標(biāo)現(xiàn)場部署過程框圖
Power-up 上電 post power-up external input(pushbutton or reed switch)上電后的外部輸入(按鈕或開關(guān))
enable provisioning mode:
-start beacon advertisements
-start configuration sevice advertisements
-set timer,e.g.,60 seconds
配置模式:
——啟動(dòng)信標(biāo)廣告
——開始配置服務(wù)廣告
——設(shè)置定時(shí)器,如60秒
Begin timer 開始計(jì)時(shí) send connection request 發(fā)送連接請(qǐng)求
send authentications details 發(fā)送認(rèn)證信息 authentication successful?認(rèn)證成功?
Update configuration更新配置 connection acknowledged 連接確認(rèn)
Disable configuration services 禁用配置服務(wù) enter normal beacon mode 輸入正常信標(biāo)模式
Non-connectable,undirected advertisements 無連接,無廣告
作者:Silicon Labs供稿
評(píng)論