DHS 4300A系列手冊(cè)由美國(guó)國(guó)土安全局推出,旨在指導(dǎo)敏感系統(tǒng)中無(wú)線技術(shù)的安全使用。手冊(cè)中包括了如RFID、藍(lán)牙等許多種無(wú)線技術(shù)的使用規(guī)范。接下來(lái),我們將以藍(lán)牙技術(shù)為例,具體剖析此手冊(cè)中對(duì)于藍(lán)牙技術(shù)方面的指導(dǎo)要求。DHS 4300A Q6(藍(lán)牙安全)于2014年12月15日發(fā)布,文檔的主要目的是在安裝、配置、使用、管理支持藍(lán)牙的設(shè)備時(shí)能夠確保最低安全性基準(zhǔn)。
藍(lán)牙技術(shù)簡(jiǎn)介
藍(lán)牙是一種無(wú)線開放標(biāo)準(zhǔn)技術(shù),用于在沒有互連電纜的情況下在短距離設(shè)備之間交換語(yǔ)音或數(shù)據(jù)。其有效范圍變化取決于傳播條件、材料覆蓋、天線配置、電池狀況等,但大多數(shù)藍(lán)牙設(shè)備的有效范圍為10m或更小。該技術(shù)已經(jīng)集成到許多類型的設(shè)備中了,包括手機(jī)、筆記本電腦、打印機(jī)、鍵盤、鼠標(biāo)和耳機(jī)等,并且主要用于在設(shè)備之間建立自組織無(wú)線個(gè)域網(wǎng)(WPAN)如圖2所示。藍(lán)牙版本1.1和1.2僅支持最高為1 Mbps的傳輸速度,稱為基本速率(BR),并且可以實(shí)現(xiàn)大約720 kbps的有效載荷吞吐量。版本2.0中引入的增強(qiáng)數(shù)據(jù)速率(EDR)規(guī)定了高達(dá)3 Mbps的數(shù)據(jù)速率和大約2.1 Mbps的吞吐量。
圖2 Ad hoc藍(lán)牙網(wǎng)絡(luò)
文檔中給出了藍(lán)牙技術(shù)可以用來(lái)增強(qiáng)部門人員執(zhí)行任務(wù)和業(yè)務(wù)需求能力的示例如下:
辦公環(huán)境中的平板電腦藍(lán)牙鍵盤;
辦公室人員的藍(lán)牙耳機(jī);
藍(lán)牙PIV讀卡器;
車內(nèi)使用的免提手機(jī);
在檢查點(diǎn)基本單元與移動(dòng)設(shè)備之間傳輸數(shù)據(jù);
在執(zhí)法或調(diào)查期間收集在現(xiàn)場(chǎng)遇到的嫌疑人或感興趣人的指紋。
由上可知,藍(lán)牙技術(shù)的需求十分迫切,而且與電纜設(shè)備和外圍設(shè)備相比,藍(lán)牙具有明顯的易用性優(yōu)點(diǎn)。
藍(lán)牙技術(shù)的安全問題
但像任何無(wú)線技術(shù)一樣,藍(lán)牙通信易受各種威脅。因?yàn)樵摷夹g(shù)已經(jīng)使用各種各樣的芯片組、操作系統(tǒng)和物理設(shè)備配置,這會(huì)導(dǎo)致大量不同的安全編程接口和默認(rèn)設(shè)置。這些復(fù)雜性增加到無(wú)線通信中,意味著藍(lán)牙易受一般無(wú)線威脅以及自身固有的漏洞的影響。常見的攻擊包括:
Bluebugging :攻擊者控制手機(jī),可以撥打電話,竊聽電話交談,閱讀聯(lián)系人和日歷等;
Bluejacking:將匿名、未經(jīng)請(qǐng)求的消息發(fā)送到具有藍(lán)牙設(shè)備的手機(jī)中并設(shè)為不可見;
Blueprinting:遠(yuǎn)程采集藍(lán)牙設(shè)備指紋;
BlueSmack :通過(guò)藍(lán)牙連接執(zhí)行拒絕服務(wù)攻擊,使設(shè)備不可用;
Bluesnarfing :使攻擊者完全訪問日歷、聯(lián)系人、電子郵件和短信;
BlueStumbling :允許攻擊者根據(jù)藍(lán)牙設(shè)備地址查找和識(shí)別用戶。
藍(lán)牙規(guī)范包括四種安全模式,分別提供不同方式、不同程度的保護(hù)措施。
安全模式1
使用安全模式1的設(shè)備被認(rèn)為是不安全的。在這種安全模式下,安全功能(認(rèn)證和加密)從未啟動(dòng),因此設(shè)備和連接容易受到攻擊。實(shí)際上,這種模式下的藍(lán)牙設(shè)備是不分?jǐn)澄业?,并且不采用任何機(jī)制來(lái)阻止其他藍(lán)牙設(shè)備建立連接。如果遠(yuǎn)程設(shè)備發(fā)起配對(duì)、認(rèn)證或加密請(qǐng)求,則安全模式1設(shè)備將接受該請(qǐng)求而不加任何認(rèn)證。由于其高度的脆弱性,文檔規(guī)定DHS不得使用安全模式1。
安全模式2
安全模式2是服務(wù)級(jí)強(qiáng)制安全模式,其可以在鏈路建立之后但在邏輯信道建立之前啟動(dòng)安全過(guò)程。在這種安全模式下,本地安全管理器控制對(duì)特定服務(wù)的訪問。訪問控制以及與其他協(xié)議和設(shè)備用戶的接口由單獨(dú)的集中式安全管理器維護(hù)。此策略可以為具有不同安全需求并行運(yùn)行的應(yīng)用程序定義不同的安全策略和信任級(jí)別來(lái)限制訪問,可以在不提供對(duì)其他服務(wù)的訪問的情況下授予訪問某些服務(wù)的權(quán)限。在這種模式下,引入了授權(quán)的概念(即決定特定設(shè)備是否允許訪問特定服務(wù)的過(guò)程)。
安全模式3
安全模式3提供最好的安全性。它是鏈路級(jí)強(qiáng)制安全模式,其中藍(lán)牙設(shè)備在鏈路完全建立之前啟動(dòng)安全過(guò)程。在安全模式3下運(yùn)行的藍(lán)牙設(shè)備為設(shè)備的所有連接授權(quán)認(rèn)證和加密。因此,在進(jìn)行認(rèn)證、加密和授權(quán)之前,甚至不能進(jìn)行服務(wù)的發(fā)現(xiàn)。一旦設(shè)備經(jīng)過(guò)身份認(rèn)證,服務(wù)級(jí)別授權(quán)通常不會(huì)被安全模式3設(shè)備執(zhí)行。當(dāng)經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程設(shè)備在不了解本地設(shè)備所有者的情況下使用藍(lán)牙服務(wù)時(shí),服務(wù)級(jí)授權(quán)應(yīng)被執(zhí)行以防止認(rèn)證濫用。
安全模式4
安全模式4使用安全簡(jiǎn)單配對(duì)策略(Secure Simple Pairing,SSP),其中在鏈路密鑰生成時(shí),橢圓曲線(Elliptic Curve Diffie-Hellman,ECDH)密鑰協(xié)議取代了過(guò)時(shí)的密鑰協(xié)議。
-
藍(lán)牙
+關(guān)注
關(guān)注
114文章
5724瀏覽量
169139 -
無(wú)線
+關(guān)注
關(guān)注
31文章
5403瀏覽量
172865 -
電池
+關(guān)注
關(guān)注
84文章
10333瀏覽量
128219
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論