一種藍(lán)牙配對策略的改進(jìn)方法

歡迎閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭g迎閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭「兄x閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭「兄x閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭g迎閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭?！感謝閱讀本文檔，希望本文檔能夠?qū)δ兴鶐椭∫环N藍(lán)牙配對策略的改進(jìn)方法王昭順，楚恩來（北京科技大學(xué)信息工程學(xué)院計(jì)算機(jī)系，北京，100083）摘要：藍(lán)牙已成為當(dāng)前非常流行的短距離無線通信方式。藍(lán)牙配對能夠保證兩個設(shè)備之間的認(rèn)證和安全連接的建立，但是，在配對過程中會受到多種攻擊，例如：中間人攻擊。為了提高藍(lán)牙配對策略的安全性和易用性，本文對傳統(tǒng)藍(lán)牙配對過程進(jìn)行了介紹，通過分析針對傳統(tǒng)配對的攻擊方式，給出一個利用基于橢圓曲線的Diffe-Hellman密鑰交換體制和藍(lán)牙帶外傳輸機(jī)制的配對策略，既簡化了藍(lán)牙配對過程，又增加了藍(lán)牙通信安全性。關(guān)鍵詞：藍(lán)牙；配對；安全性；中圖法分類號: TP393 文獻(xiàn)標(biāo)識碼:AAnimprovementforBluetoothpairingCHUEn-lai1,WANGZhao-shun2（DepartmentofComputerScience,SchoolofInformationEngineering,UniversityofScienceandTechnologyofBeijing,Beijing,100083）Abstract:Bluetoothhasbecomeapopularwirelesscommunication.Bluetoothdevicepairingenablestwodevicestoauthenticateeachotherandestablishasecurewirelessconnection.However,therearemanyattacksduringpairing,e.g.man-in-the-middleattacks.InordertoimprovetheusageandsecurityofBluetooth,Thispaperpresentsthetraditionalpairingprotocolandanalyzestheattacksagainstpreviouslypairing.Itprovidesastrategyofpairing,whichinvolveEllipseCurveDiffie-Hellmankeyexchangeprotocolandoutofbandcommunication.Notonlyitcansimplifytheprocessofpairing,butalsoimprovethesecurityofBluetooth.Keywords:Bluetooth;pairing;security;引言藍(lán)牙技術(shù)作為短距離、低功耗、低復(fù)雜度的連接手段，致力于將特定的移動電話、便攜式計(jì)算機(jī)以及其他各種便攜式通信設(shè)備在近距離內(nèi)實(shí)現(xiàn)無縫的資源共享。藍(lán)牙技術(shù)已獲得了全球認(rèn)可，它是當(dāng)今市場上支持范圍最廣泛，功能最豐富的無線標(biāo)準(zhǔn)。藍(lán)牙技術(shù)與其他無線通信技術(shù)一樣，采用開放的信道作為通信介質(zhì)，因此，藍(lán)牙無線網(wǎng)絡(luò)在安全性方面也面臨各種威脅，例如假冒、竊聽、非授權(quán)訪問和服務(wù)拒絕。不同的安全威脅會給網(wǎng)絡(luò)帶來不同程度的破壞。藍(lán)牙安全體系主要包括三方面的內(nèi)容：密鑰管理、認(rèn)證和加密。整個安全系統(tǒng)依賴于用戶的個人身份識別碼（PersonalIdentificationNumber），簡稱PIN碼。其長度為8—128比特。為了通過藍(lán)牙建立連接，在第一次與對方設(shè)備建立安全連接時或者是鏈路密鑰丟失時，需要雙方設(shè)備提供各自的PIN碼，完成設(shè)備間的認(rèn)證，這個過程叫做配對。由于藍(lán)牙無線通信技術(shù)需要安全保障，使得藍(lán)牙設(shè)備在使用時需要配對來提高通信的安全性。藍(lán)牙特別興趣小組（BluetoothSpecialInterestGroup，簡稱SIG）給出的一項(xiàng)有關(guān)使用問題分布調(diào)查結(jié)果顯示：39%的用戶不知道如何將設(shè)備進(jìn)入配對模式，24%輸入的PIN碼被拒絕，12%的設(shè)備沒有被授權(quán)。這對藍(lán)牙配對策略和安全性提出了新的要求，例如：簡化配對過程（減少配對步驟、需要最小程度的用戶干預(yù)、提高配對速度），提高藍(lán)牙無線通信的安全。傳統(tǒng)藍(lán)牙配對策略和安全隱患分析傳統(tǒng)配對策略本文的研究是基于藍(lán)牙規(guī)范中定義的安全模式3，即在鏈路層使用藍(lán)牙設(shè)備地址、用于認(rèn)證的鏈路密鑰、加密密鑰、128比特的隨機(jī)數(shù)四個實(shí)體來建立或維持藍(lán)牙安全性的模式。其中，配對過程的認(rèn)證方案采用“提問”/“應(yīng)答”的方式。當(dāng)一個設(shè)備發(fā)出請求，另一個設(shè)備收到后作出響應(yīng)，配對就開始了，配對成功表示雙方相互認(rèn)證的成功，從而可以進(jìn)行加密的數(shù)據(jù)通信。假設(shè)設(shè)備A為申請者，設(shè)備B為驗(yàn)證者，進(jìn)行配對主要步驟可用下列過程簡要描述：初始化密鑰的建立：設(shè)備A初始化，產(chǎn)生一個隨機(jī)數(shù)IN_RAND，并將這個隨機(jī)數(shù)通過藍(lán)牙信道傳遞給設(shè)備B。A，B分別利用函數(shù)E22生成初始化密鑰Kinit，其中輸入?yún)?shù)為申請連接的設(shè)備地址BD_ADDRa、PIN碼，PIN碼的長度，隨機(jī)數(shù)IN_RAND。Kinit=E22(BD_ADDRa,PIN,PIN_Len,IN_RAND)驗(yàn)證方的驗(yàn)證：設(shè)備B生成鑒別隨機(jī)數(shù)AU_RANDb，將其發(fā)送給設(shè)備A，設(shè)備A利用AU_RANDb，通過基于SAFER+128的認(rèn)證函數(shù)E1，計(jì)算得出32比特的響應(yīng)數(shù)SRES1，并將其發(fā)送給設(shè)備B。設(shè)備B同樣利用認(rèn)證函數(shù)E1計(jì)算得出32bit的響應(yīng)數(shù)SRES1，比較兩個SRES1是否一致，一致繼續(xù)完成配對過程，否則配對失敗。SRES=E1(Kinit,BD_ADDR,AU_RAND)申請方的驗(yàn)證：再進(jìn)行反方向的認(rèn)證，設(shè)備A生成鑒別隨機(jī)數(shù)AU_RANDa，發(fā)送給設(shè)備B，B計(jì)算出SRES2，并將其發(fā)送給設(shè)備A。A比較自己計(jì)算得出的SRES2和設(shè)備B傳來的是否一致，一致則配對成功，否則配對失敗。同時保存在第二次生成SRES時計(jì)算出的一個輔助參數(shù)——96比特的鑒別加密偏移數(shù)ACO，作為輸入?yún)?shù)用在生成加密密鑰的算法中。至此配對過程完成。傳統(tǒng)配對的安全隱患分析傳統(tǒng)藍(lán)牙配對策略面臨的安全挑戰(zhàn)主要包括被動監(jiān)聽（利用監(jiān)聽的PIN碼攻擊）和主動控制（中間人攻擊）兩大類。被動監(jiān)聽是指第三方設(shè)備監(jiān)測兩個藍(lán)牙設(shè)備之間的通信，通過逆向過程推導(dǎo)出雙方使用的LinkKey。主動控制是指第三方設(shè)備直接充當(dāng)信息的中轉(zhuǎn)站，控制兩個藍(lán)牙設(shè)備的通信。PIN碼攻擊藍(lán)牙技術(shù)中在選定密鑰長度一定的情況下，加密強(qiáng)度取決于PIN碼，可見PIN碼在藍(lán)牙安全體系中的重要地位。在傳統(tǒng)的配對過程中PIN碼的選擇一般有三種：①無PIN碼：無安全性（無驗(yàn)證、無加密）；②固定PIN碼：有限安全性（通常為“0000”、“1111”或類似數(shù)字）；③可變PIN碼：最佳安全性（1至16位字母數(shù)字字符）；這里對安全性相對較高的可變PIN碼做安全分析。通過上文的分析可以看出，PIN碼在鏈路密鑰產(chǎn)生的過程中是一個重要的參數(shù)。但是PIN碼在使用過程中會帶來一定的問題。如使用較短的PIN碼（一個典型的PIN是一個4位十進(jìn)制數(shù)，用戶甚至還會選擇一些容易記憶的號碼，如“1234”），這使得密鑰空間只有10000個值，會成為窮舉攻擊的對象。由于藍(lán)牙設(shè)備的地址是公開的，其它參數(shù)信息見表1，都是明文傳送。只要攻擊者對開放的藍(lán)牙鏈路做監(jiān)聽，就能夠容易的獲得這些參數(shù)。當(dāng)用窮舉法猜到正確的PIN碼時，攻擊者通過E1算法很容易就可計(jì)算出鏈路密鑰，安全的鏈路就會被攻擊者攻破。如果選擇較長的PIN碼，如最長的128比特。將帶來極大的不便，因?yàn)?，每次配對時都需要輸入PIN碼來完成認(rèn)證。表1配對參數(shù)表消息標(biāo)號源目的消息長度備注1ABIN_RAND128位明文2ABLK_RANDa⊕Kinit128位明文，B收到消息后，解開得到LK_RANDa3BALK_RANDb⊕Kinit128位明文，A收到消息后，解開得到LK_RANDb4ABAU_RANDa128位明文5BASRES132位明文6BAAU_RANDb128位明文7ABSRES232位明文窮舉猜測PIN碼的步驟：列舉出所有可能的PIN值，假定PIN碼為4個十進(jìn)制數(shù)，那么可能的PIN取值從0000到9999之間。按照順序取PIN列表中的第一個值，并從監(jiān)聽兩設(shè)備的藍(lán)牙會話中取得消息IN_RAND，就可以通過公開的算法E22算法，計(jì)算得到Kinit。根據(jù)消息2和消息3，第二步得到的Kinit，反推計(jì)算出LK_RANDa和LK_RANDb（LK_RANDa和LK_RANDb是設(shè)備A，B生成的又一組隨機(jī)數(shù)，在第一次認(rèn)證時使用Kinit作為參數(shù)計(jì)算認(rèn)證密鑰，以后的認(rèn)證過程使用由LK_RANDa，LK_RANDb計(jì)算得來的認(rèn)證密鑰Kab）。根據(jù)LK_RANDa和LK_RANDb以及兩個設(shè)備的地址等信息，計(jì)算得到Kab。由Kab和消息4(AU_RANDa)，計(jì)算得到SRES，并與信息5的SRES1比較。同樣的，用Kab和AU_RANDb，計(jì)算得到SRES2，并與信息7進(jìn)行比較。如果第五步的消息比較相等，則給定的PIN是正確的;如果不匹配，回到第二步，取PIN列表的下一個PIN，重復(fù)第二步后的步驟，直到找到個正確的PIN為止。由于配對完成后，接下來的通信不需要再進(jìn)行交換PIN碼的配對，而是直接進(jìn)行雙方認(rèn)證，這時攻擊者不能再監(jiān)聽獲得所有的參數(shù)來達(dá)到攻擊的目的。但是，由于藍(lán)牙技術(shù)支持在一方設(shè)備丟失鏈路密鑰的情況下發(fā)送LMP_not_accepted消息告知對方，可以重啟配對過程，這一特點(diǎn)給了攻擊者可乘之機(jī)。在此給出了三種方法實(shí)現(xiàn)重啟配對過程獲得所有參數(shù)：方法一，如果在設(shè)備A發(fā)送AU_RAND給從設(shè)備B后，攻擊者立即發(fā)送偽造了的LMP_not_accepted消息給設(shè)備A，A誤認(rèn)為此消息是B發(fā)來，重新配對開始。方法二，攻擊者在設(shè)備A向設(shè)備B發(fā)送AU_RAND前，偽造A向B發(fā)送IN_RAND消息。B誤以為A丟失了鏈路密鑰，于是迫使配對過程重新開始。方法三，設(shè)備A發(fā)送AU_RAND消息給設(shè)備B，并等待設(shè)備返回SRES。如果在A收到B返回SRES之前，攻擊者仿造B向A發(fā)出一個隨機(jī)的SRES，設(shè)備A將收到的SRES與設(shè)備自身計(jì)算的SRES進(jìn)行比較，比較結(jié)果不一樣，A于是重新要求認(rèn)證，當(dāng)認(rèn)證失敗次數(shù)達(dá)到一定數(shù)量時，配對過程會重新啟動。中間人攻擊方式假設(shè)設(shè)備A和設(shè)備B之間存在著公共鏈路密鑰，現(xiàn)在攻擊者就可以對兩個設(shè)備進(jìn)行攻擊，如圖1所示：圖1中間人攻擊攻擊者假冒A和B，向A、B分別發(fā)送Connection_Req命令，A、B分別用LMP_Accept來應(yīng)答請求，建立連接。A向攻擊者發(fā)送隨機(jī)數(shù)AU_RANDa來要求驗(yàn)證。攻擊者向B轉(zhuǎn)發(fā)A發(fā)送給它的隨機(jī)數(shù)AU_RANDa要求B進(jìn)行驗(yàn)證。B產(chǎn)生驗(yàn)證碼SRES1發(fā)送給攻擊者。攻擊者把B產(chǎn)生的驗(yàn)證碼SRES1轉(zhuǎn)發(fā)給A。A通過計(jì)算SRES1，驗(yàn)證正確，攻擊者通過A的驗(yàn)證。同樣通過SRES2的驗(yàn)證正確，攻擊者通過B的驗(yàn)證。這樣攻擊者在不知道設(shè)備A和設(shè)備B公共鏈路密鑰的情況下冒充設(shè)備通過了驗(yàn)證，可以讀取或篡改雙方設(shè)備傳遞的信息。改進(jìn)配對策略的研究和實(shí)現(xiàn)概述本文對傳統(tǒng)配對過程進(jìn)行改進(jìn)，給出一種易用性強(qiáng)、安全性高的配對策略，來滿足人們對藍(lán)牙安全通信的需要。在易用性方面我們采取的措施是：不用輸入PIN碼，盡量減少用戶對配對過程的干預(yù)；安全性方面采用的措施是：利用基于橢圓曲線的Diffe-Hellman密鑰交換和藍(lán)牙帶外傳輸機(jī)制，并使用了兩次認(rèn)證的方式，防止受到上文中闡述的攻擊方式的攻擊，實(shí)現(xiàn)安全配對。改進(jìn)配對的過程實(shí)現(xiàn)配對過程包括三個階段：公鑰交換、第一次認(rèn)證、第二次認(rèn)證。假設(shè)設(shè)備A為申請者，設(shè)備B為驗(yàn)證者進(jìn)行配對。公鑰交換在啟動配對過程之前，確保藍(lán)牙設(shè)備A是初始化過的，設(shè)備A、B生成各自的ECDH（EllipticCurveDiffie-Hellman）密鑰對（SKa，PKa）、（SKb，PKb）。配對初始化，選定設(shè)備A，發(fā)送A的公鑰PKa給遠(yuǎn)端設(shè)備B，當(dāng)B收到A設(shè)備的公鑰后，將自己的公鑰PKb發(fā)送給配對發(fā)起設(shè)備A，這個傳遞過程在藍(lán)牙鏈路中完成。兩個設(shè)備利用各自的私鑰SKa，和對方設(shè)備的公鑰PKb，通過FIPSP-192曲線函數(shù)各自計(jì)算DHkey，A設(shè)備計(jì)算它的DHKey函數(shù)如下：DHKey=P192（SKa,PKb）。第一次認(rèn)證設(shè)備A、B生成各自128位的隨機(jī)數(shù)Ra，Rb。設(shè)備A、B分別利用基于的Hash函數(shù)f1計(jì)算128位Ca,Cb。A設(shè)備計(jì)算Ca函數(shù)如下：Ca=f1（PKa,PKa,Ra,Rb）這里Rb=0設(shè)備A將三個重要參數(shù)Ca，BD_ADDRa，Ra，發(fā)送給遠(yuǎn)端設(shè)備B，同樣，B將他自己的這些信息發(fā)送給A。這一步非常關(guān)鍵是保證整個配對過程安全性的關(guān)鍵點(diǎn)。選取藍(lán)牙帶外通信手段進(jìn)行傳輸，我們將在后面對這部分的實(shí)現(xiàn)著重講解。當(dāng)設(shè)備A收到發(fā)送過來的信息后，將計(jì)算Ca時使用的Rb由零改為接收到的值，通過函數(shù)f1來計(jì)算對方的公鑰Cb，并且和本地收到對方設(shè)備傳過來的Cb值作比較，相等繼續(xù)下面的步驟，不等則返回配對失??；設(shè)備B同樣重復(fù)這樣的過程。第二次認(rèn)證設(shè)備A、B分別生成隨機(jī)數(shù)Na，Nb通過藍(lán)牙鏈路交換。兩個設(shè)備利用目前各自擁有的參數(shù)，通過基于的Hash函數(shù)f3計(jì)算Ea，Eb進(jìn)行第二階段的認(rèn)證。A設(shè)備計(jì)算它的Ea值函數(shù)如下：Ea=f3(DHKey,Na,Nb,Ra,IOcapA,BD_ADDRa,BD_ADDRb)其中IOcap是24bit的值表示邏輯鏈路層的I/O能力。設(shè)備A將計(jì)算出來的Ea值，通過藍(lán)牙鏈路發(fā)給設(shè)備B，B收到后利用函數(shù)f3計(jì)算Ea，與收到設(shè)備A傳來的Ea比較，如果不等則退出。若相等，則設(shè)備B將計(jì)算出來的Eb發(fā)給A，A設(shè)備收到后進(jìn)行類似第3步的確認(rèn)，相等則認(rèn)證完成；否則退出，配對失敗。配對成功。兩端設(shè)備分別計(jì)算兩方進(jìn)行加密通信使用的密鑰。利用NFC技術(shù)完成藍(lán)牙帶外數(shù)據(jù)傳輸考慮到利用藍(lán)牙帶外傳輸?shù)陌踩院涂尚行浴Ｎ覀儾捎肗FC技術(shù)，NFC英文全稱NearFieldCommunication，近距離無線通信。是由飛利浦公司發(fā)起，由諾基亞、索尼等著名廠商聯(lián)合主推的一項(xiàng)無線技術(shù)。NFC由非接觸式射頻識別(RFID)及互聯(lián)互通技術(shù)整合演變而來，在單一芯片上結(jié)合感應(yīng)式讀卡器、感應(yīng)式卡片和點(diǎn)對點(diǎn)的功能，能在短距離內(nèi)與兼容設(shè)備進(jìn)行識別和數(shù)據(jù)交換。便快捷地進(jìn)行無線連接，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)交換和服務(wù)。使用NFC技術(shù)完成藍(lán)牙帶外傳輸?shù)脑颍篘FC具有雙向連接和識別的特點(diǎn)，工作于13.56MHz頻率范圍，和藍(lán)牙設(shè)備工作頻率互不干擾，使NFC便于與藍(lán)牙在同一個產(chǎn)品中共存；NFC的作用距離10厘米左右，并且鏈路層包括一個加密鑒權(quán)程序和防沖突機(jī)制，從而排除了第三方進(jìn)行的中間人攻擊；在藍(lán)牙設(shè)備之間采用NFC技術(shù)作為傳輸手段，就可以消除用戶干預(yù)，并使設(shè)備之間幾乎即時的配對成為可能。從而簡化藍(lán)牙數(shù)據(jù)處理過程中發(fā)現(xiàn)和協(xié)商階段的操作?？紤]到需要降低功耗，設(shè)置NFC芯片在被動通信模式下工作。在一臺藍(lán)牙設(shè)備發(fā)起配對請求后將與自己連接的NFC芯片設(shè)置為Target模式，將本地的藍(lán)牙配對數(shù)據(jù)傳遞給NFC芯片，等待對方配對數(shù)據(jù)的到來。另一臺設(shè)備收到配對請求，將于自己連接的NFC芯片設(shè)置為Initiator模式，并將本地的藍(lán)牙配對數(shù)據(jù)傳遞給NFC芯片。這里的配對數(shù)據(jù)包括數(shù)據(jù)認(rèn)證密鑰Cx、藍(lán)牙地址BD_ADDR、產(chǎn)生的隨機(jī)數(shù)R。這時只需將兩個NFC芯片彼此靠攏，即可觸發(fā)NFC的一個應(yīng)用會話，交換配對雙方的數(shù)據(jù)。采用這種技術(shù)和策略，能在改善安全功能前提下最大限度地減少用戶交互操作。結(jié)束語本文對傳統(tǒng)藍(lán)牙配對和對其進(jìn)行的攻擊方式進(jìn)行了研究與分析，給出了一種基于NFC技術(shù)的藍(lán)牙簡單配對的方案，對于在傳統(tǒng)配對方式下的PIN碼攻擊和中間人攻擊都有較好的防御功能。在提高了藍(lán)牙安全體系的可靠性基礎(chǔ)上，在用戶體驗(yàn)的易用性方面也有了很