在物聯(lián)網(wǎng)應用中，如何確保BLE連接的安全

　　安全性是設計物聯(lián)網(wǎng)(IoT)應用時(shí)面臨的最大挑戰之一。由于物聯(lián)網(wǎng)設備通過(guò)無(wú)線(xiàn)方式進(jìn)行通話(huà)，因此一切控制和狀態(tài)信息以及私人用戶(hù)數據都可能會(huì )暴露于風(fēng)險之中。不安全的物聯(lián)網(wǎng)設備可能會(huì )使人員生命和財產(chǎn)面臨風(fēng)險，而不是帶來(lái)更便捷的生活。試想一下，有人可以攻擊家庭照明控制系統，跟蹤到用戶(hù)何時(shí)在家，然后闖入家中?；蛘哂腥丝梢酝ㄟ^(guò)偽造您的身份，然后開(kāi)啟您的智能鎖。

　　為保障物聯(lián)網(wǎng)設備的安全性，需要進(jìn)行以下三項部署：

　　對未經(jīng)授權的設備隱藏設備身份的機制 - 身份保護對于保護用戶(hù)免受破壞者跟蹤其物理位置至關(guān)重要。如果沒(méi)有足夠的保護，物聯(lián)網(wǎng)設備會(huì )使用戶(hù)面臨隱私泄露以及潛在的生命或財產(chǎn)威脅。這一情況類(lèi)似于有人根據您的汽車(chē)注冊編號對你進(jìn)行跟蹤。

　　防止被動(dòng)竊聽(tīng)- 被動(dòng)竊聽(tīng)是指收聽(tīng)兩臺設備之間私人通信的過(guò)程。被動(dòng)竊聽(tīng)者靜靜地聽(tīng)取通信，但不會(huì )更改數據。

　　防范中間人攻擊 - 中間人(MITM)攻擊是所有安全威脅中最為嚴重的一種情況。在這種情況下，稱(chēng)為MITM攻擊者的第三臺設備不僅可以監聽(tīng)兩臺設備之間的私密通信，還可以模仿其中任意一臺設備并更改數據。

　　對未經(jīng)授權的設備隱藏設備身份

　　BLE設備使用48位地址，如果該地址可被另一臺設備解碼，則后者可對前者實(shí)時(shí)跟蹤。BLE使不可信設備難以通過(guò)頻繁更改地址來(lái)實(shí)施跟蹤。以上是通過(guò)使用僅可信設備可用的身份解析密鑰(IRK)實(shí)現的。對鏈路進(jìn)行加密后，可信設備之間可在配對過(guò)程中共享IRK。然后將其作為綁定過(guò)程的一部分存儲在內部。這一類(lèi)型的地址稱(chēng)為可解析私有地址(RPA)。

　　可解析私有地址包含兩個(gè)組件 - 24位hash和24位prand。hash是IRK函數，prand則由22位隨機數和兩個(gè)固定的MSB(最高有效位)組成。

　　隨機產(chǎn)生的22位prand不能所有位都為'1'或'0'。之后，使用IRK和prand作為加密函數'e'的輸入變量計算hash。

　　Hash = e(IRK，prand)，截斷為24位

　　設備IRK是一組128位數字。通過(guò)104位填充連接，其中填充位設置為‘0’，使得prand的大小與IRK一致。原始prand的LSB(最低有效位)在填充后依然是prand的LSB。生成后的hash將與prand連接從而生成RPA。

　　為解析RPA，需要使用在廣告包中接收的prand和在配對過(guò)程中接收的IRK生成本地hash。然后將這一本地hash與地址中的hash進(jìn)行比較。如果匹配，則可解析地址。由于一臺設備可存儲來(lái)自多臺設備的IRK，因此可使用存儲的每一個(gè)IRK逐個(gè)計算本地hash值，直至匹配為止。

　　BLE 4.2及更高版本允許該地址最快可每秒更改一次，最長(cháng)更改間隔為11.5小時(shí)，這稱(chēng)為RPA超時(shí)。RPA更改的頻次越高，對設備實(shí)施跟蹤就越困難。

　　防止被動(dòng)竊聽(tīng)

　　假設在一次會(huì )議中，交談中有兩個(gè)人突然切換到與會(huì )的其他人難以聽(tīng)懂的他們的母語(yǔ)，那么，將會(huì )發(fā)生什么情況?事實(shí)上通過(guò)這一方式，他們讓這一部分對話(huà)免受被動(dòng)竊聽(tīng)。類(lèi)似地，BLE設備使用共享密鑰對鏈路進(jìn)行加密。因此，沒(méi)有秘鑰的設備將無(wú)法理解鏈路加密之后設備之間的對話(huà)。保護強度取決于鑰匙強度–即獲取或猜測鑰匙的難易程度。

　　BLE(4.2或更高版本)使用符合美國聯(lián)邦信息處理標準(FIPS)的Elliptic Curve Diffie-Hellman(ECDH)算法來(lái)生成和交換密鑰。之后，這些密鑰用于生成其他密鑰，也稱(chēng)為DHKey共享密鑰。再之后，可通過(guò)DHKey共享密鑰對鏈路進(jìn)行加密或生成另一組密鑰對鏈路進(jìn)行加密。

　　在BLE設備中，這一安全通信的基礎是在配對過(guò)程中建立的。配對過(guò)程分為三個(gè)階段：

　　在第1階段，配對過(guò)程中涉及的兩臺設備發(fā)送配對請求和響應以及配對參數，其中包括設備的性能和安全要求。在此之后，兩臺設備將根據交換參數的值選擇配對方式。

　　第2階段涉及設備身份驗證和鏈路加密。該階段建立的安全性環(huán)境可確保設備不受被動(dòng)竊聽(tīng)和MITM攻擊。

　　如前所述，為防止被動(dòng)竊聽(tīng)，BLE使用符合FIPS標準的ECDH算法，使設備能夠在不安全的信道上建立共享密鑰，然后使用該秘鑰或其衍生秘鑰對鏈路進(jìn)行加密。

　　為便于理解ECDH算法的工作原理，我們給出了非常經(jīng)典的Alice和Bob示例(參見(jiàn)圖5)。Alice和Bob希望建立一個(gè)安全的通信鏈路，然而他們正在通信的信道正在被第三方Eve竊聽(tīng)。

　　1. Alice和Bob生成了他們自己的私鑰和公鑰，其中私鑰d是從[1到n-1]的隨機數，并通過(guò)將d乘以G, dG獲得公鑰Q。

　　假設Alice的私鑰和公鑰是dA和QA = dAG，Bob的私鑰和公鑰分別是dB和QB = dBG。

　　2. Alice和Bob在不安全的頻道上互相分享他們的公鑰QA和QB，而該信道正在被Eva竊聽(tīng)。Eve可以攔截QA和QB，但她無(wú)法確定私鑰。

　　3. Alice使用自己的私鑰QBdA計算共享密鑰，Bob則使用QAdB計算共享密鑰。請注意，共享密鑰是相同的。

　　S = QBdA = (dBG)dA = (dAQ)dB = QAdB

　　4. 現在，Alice和Bob可使用該共享密鑰保護其通信，或使用該共享密鑰生成另一個(gè)密鑰。而Eve則無(wú)法計算該密鑰，因為她僅僅知道QA和QB。

　　以上示例假設Alice和Bob都使用相同的域參數。在LE Secure(低功耗安全)連接的情況下，兩臺設備默認遵循FIPS標準的P-256 ECDH機制。

　　一旦兩臺BLE設備成功生成共享密鑰，它們就會(huì )生成長(cháng)期密鑰(LTK)和MAC(介質(zhì)訪(fǎng)問(wèn)控制)密鑰。MAC密鑰用于確認生成的密鑰是否正確。成功確認后，兩臺設備都將使用LTK對鏈路進(jìn)行加密。請注意，該LTK永遠不會(huì )通過(guò)無(wú)線(xiàn)共享，因此被動(dòng)竊聽(tīng)者將無(wú)法計算LTK，竊聽(tīng)者也將無(wú)法攔截兩臺設備之間交換的信息。

　　雖然ECDH提供的安全性保護可防止被動(dòng)竊聽(tīng)，但卻并不能阻止設備免受MITM攻擊。為防止MITM攻擊，基于設備的I / O功能，BLE使用身份驗證作為配對過(guò)程第2階段的一部分。

　　關(guān)于作者：

　　Pushek Madaan現任職于賽普拉斯半導體印度公司，擔任高級應用工程師。他主要使用C語(yǔ)言和匯編語(yǔ)言設計用于模擬和數字電路的嵌入式系統應用，同時(shí)使用C#開(kāi)發(fā)GUI(圖形用戶(hù)界面)。

　　Sachin Gupta現任職于賽普拉斯半導體公司物聯(lián)網(wǎng)業(yè)務(wù)部，擔任資深產(chǎn)品營(yíng)銷(xiāo)工程師。他擁有德里洲際大學(xué)(Guru Gobind Singh Indraprastha University)電子與通信學(xué)士學(xué)位。Sachin在SoC應用開(kāi)發(fā)和產(chǎn)品營(yíng)銷(xiāo)方面擁有9年的經(jīng)驗。