[[212541]]

DHS 4300A系列手冊由美國國土安全局推出，旨在指導敏感系統中無線技術的安全使用。手冊中包括了如RFID、藍牙等許多種無線技術的使用規范。接下來，我們將以藍牙技術為例，具體剖析此手冊中對于藍牙技術方面的指導要求。DHS 4300A –Q6（藍牙安全）于2014年12月15日發布，文檔的主要目的是在安裝、配置、使用、管理支持藍牙的設備時能夠確保最低安全性基準。

圖1  DHS 4300A敏感系統手冊

藍牙技術簡介

藍牙是一種無線開放標準技術，用于在沒有互連電纜的情況下在短距離設備之間交換語音或數據。其有效范圍變化取決于傳播條件、材料覆蓋、天線配置、電池狀況等，但大多數藍牙設備的有效范圍為10m或更小。該技術已經集成到許多類型的設備中了，包括手機、筆記本電腦、打印機、鍵盤、鼠標和耳機等，并且主要用于在設備之間建立自組織無線個域網（WPAN）如圖2所示。藍牙版本1.1和1.2僅支持最高為1 Mbps的傳輸速度，稱為基本速率（BR），并且可以實現大約720 kbps的有效載荷吞吐量。版本2.0中引入的增強數據速率（EDR）規定了高達3 Mbps的數據速率和大約2.1 Mbps的吞吐量。

圖2  Ad hoc藍牙網絡

文檔中給出了藍牙技術可以用來增強部門人員執行任務和業務需求能力的示例如下:

• 辦公環境中的平板電腦藍牙鍵盤；
• 辦公室人員的藍牙耳機；
• 藍牙PIV讀卡器；
• 車內使用的免提手機；
• 在檢查點基本單元與移動設備之間傳輸數據；
• 在執法或調查期間收集在現場遇到的嫌疑人或感興趣人的指紋。

由上可知，藍牙技術的需求十分迫切，而且與電纜設備和外圍設備相比，藍牙具有明顯的易用性優點。

藍牙技術的安全問題

但像任何無線技術一樣，藍牙通信易受各種威脅。因為該技術已經使用各種各樣的芯片組、操作系統和物理設備配置，這會導致大量不同的安全編程接口和默認設置。這些復雜性增加到無線通信中，意味著藍牙易受一般無線威脅以及自身固有的漏洞的影響。常見的攻擊包括：

• Bluebugging ：攻擊者控制手機，可以撥打電話，竊聽電話交談，閱讀聯系人和日歷等；
• Bluejacking：將匿名、未經請求的消息發送到具有藍牙設備的手機中并設為不可見；
• Blueprinting：遠程采集藍牙設備指紋；
• BlueSmack ：通過藍牙連接執行拒絕服務攻擊，使設備不可用；
• Bluesnarfing ：使攻擊者完全訪問日歷、聯系人、電子郵件和短信；
• BlueStumbling ：允許攻擊者根據藍牙設備地址查找和識別用戶。

藍牙規范包括四種安全模式，分別提供不同方式、不同程度的保護措施。

安全模式1

使用安全模式1的設備被認為是不安全的。在這種安全模式下，安全功能（認證和加密）從未啟動，因此設備和連接容易受到攻擊。實際上，這種模式下的藍牙設備是“不分敵我的”，并且不采用任何機制來阻止其他藍牙設備建立連接。如果遠程設備發起配對、認證或加密請求，則安全模式1設備將接受該請求而不加任何認證。由于其高度的脆弱性，文檔規定DHS不得使用安全模式1。

安全模式2

安全模式2是服務級強制安全模式，其可以在鏈路建立之后但在邏輯信道建立之前啟動安全過程。在這種安全模式下，本地安全管理器控制對特定服務的訪問。訪問控制以及與其他協議和設備用戶的接口由單獨的集中式安全管理器維護。此策略可以為具有不同安全需求并行運行的應用程序定義不同的安全策略和信任級別來限制訪問，可以在不提供對其他服務的訪問的情況下授予訪問某些服務的權限。在這種模式下，引入了授權的概念（即決定特定設備是否允許訪問特定服務的過程）。

安全模式3

安全模式3提供最好的安全性。它是鏈路級強制安全模式，其中藍牙設備在鏈路完全建立之前啟動安全過程。在安全模式3下運行的藍牙設備為設備的所有連接授權認證和加密。因此，在進行認證、加密和授權之前，甚至不能進行服務的發現。一旦設備經過身份認證，服務級別授權通常不會被安全模式3設備執行。當經過身份驗證的遠程設備在不了解本地設備所有者的情況下使用藍牙服務時，服務級授權應被執行以防止“認證濫用”。

安全模式4

安全模式4使用安全簡單配對策略（Secure Simple Pairing，SSP），其中在鏈路密鑰生成時，橢圓曲線（Elliptic Curve Diffie-Hellman，ECDH）密鑰協議取代了過時的密鑰協議。

提高藍牙技術安全性的指導意見

為盡可能提高藍牙技術的安全性，文檔從管理、技術、操作部署三個方面給出了指導性意見。

管理上的最佳方法

• 確保藍牙用戶了解與藍牙使用有關的安全相關責任，并提供一系列預防措施，以更好地保護手持藍牙設備免遭盜竊；
• 僅在必要時啟用藍牙（例如在移動設備上關閉藍牙，并在不使用時關閉耳機）；
• 當藍牙鏈接處于活動狀態時，盡量減少藍牙鏈接設備之間的距離；
• 最小化語音通話的持續時間；
• 最大限度地減少信號攔截的機會，最大化與其他藍牙設備，其他人和不受信任區域的距離；
• 在進行配對時，移動設備將嘗試找到其他支持藍牙的設備。要始終驗證并確認正在配對的設備。如果出現意外提示，請不要輸入密碼；
• 從配對設備列表中刪除丟失、被盜或未使用的設備；
• 定期進行全面的安全評估，以充分了解藍牙安全狀況；
• 確保從架構角度充分了解涉及藍牙技術的無線設備和網絡，并做好相應記錄；
• 維護所有藍牙設備和地址的完整清單；
• 個人及時跟蹤藍牙安全產品和標準的進展以及技術的威脅和漏洞。

技術上的最佳方法

• 更改藍牙設備的默認設置；
• 將藍牙功率設置為最低可用，以便盡可能減小信號范圍。采用的最低藍牙功率應足以維持授權用戶之間的通信；
• 選擇足夠長、隨機和私密的PIN碼，避免使用靜態和弱PIN（例如全零）；
• 確保鏈接密鑰不是基于單位密鑰。使用共享單位密鑰可能導致成功的欺騙，中間人攻擊（MITM）和竊聽攻擊；
• 根據密鑰條目關聯模型，為每組配對設備使用隨機和唯一的密鑰。如果一個靜態密鑰用于多組配對設備，則密鑰條目關聯模型提供的MITM保護將被減少；
• 鎖定每個設備上的藍牙堆棧，以確保只有必需和批準的配置文件和服務可供使用，禁用不需要的和未經批準的服務；
• 將藍牙設備默認設置為不可發現，并保持不可發現，除非配對需要的情況。在發現服務期間發送的默認藍牙設備名稱應更改為非標識值；
• 對所有藍牙連接進行鏈接加密，并使用它來保護藍牙連接期間的所有數據傳輸，否則傳輸的數據容易受到竊聽；
• 如果正在使用多跳無線通信，請確保在通信鏈路中的每個鏈路上啟用加密。一個不安全的鏈接將影響整個通信鏈；
• 確保對所有連接執行相互設備認證；
• 將加密密鑰大小配置為允許的最大值（128位）。使用允許的最大密鑰可以防止暴力攻擊；

操作和部署上的最佳方法

• 確保藍牙功能在不使用時被禁用。在所有設備上應禁用藍牙功能，除非用戶明確地啟用藍牙建立連接。這可以最大限度地減少潛在的惡意活動。對于不支持禁用藍牙（例如耳機）的設備，整個設備在不使用時應該關閉；
• 盡可能不頻繁地進行配對。理想情況下，在安全區域，攻擊者無法實際觀察密鑰條目或攔截藍牙配對消息。用戶不應該響應任何請求PIN的消息，除非用戶已經發起配對，并且確定用戶的設備之一發送了PIN請求。配對是一個至關重要的安全功能，要求用戶對可能的竊聽保持基本的安全意識；
• 基本速率/增強型數據速率（BR / EDR）服務級別安全模式（即安全模式2或4）只能在受控和良好的已知環境中使用。安全模式3提供最好的安全性；
• 確保具有藍牙接口的便攜式設備配置有密碼或啟用訪問的PIN。如果設備丟失或被盜，這有助于防止未經授權的訪問；
• 如果藍牙設備丟失或被盜，用戶應立即從所有其他藍牙設備的配對設備列表中刪除丟失的設備；
• 在支持基于主機的安全軟件的啟用藍牙的主機上安裝防病毒軟件；
• 全面測試和定期部署藍牙軟件和固件修補程序和升級；
• 不接受任何來自未知或可疑設備的傳輸。這些類型的傳輸通常包括消息，文件和圖像；
• 在部署之前，充分了解部署任何安全功能或產品帶來的影響。

總結

無線通訊技術方便了生活、工作的方方面面，但它也引入了更多的安全隱患。在規范的安全框架下合理合法使用無線通訊技術是極其重要的。本文以DHS 4300A系列手冊出發，為敏感系統中藍牙技術的使用帶去指導性意見，為藍牙技術的發展保駕護航。

【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件，轉載請聯系原作者】

戳這里，看該作者更多好文