作為技術(shù)新聞的愛好者,您可能偶爾會看到有關(guān)藍牙安全性的文章。比如,聳人聽聞的“重大藍牙安全漏洞使數(shù)百萬臺設(shè)備面臨風險”或“藍牙漏洞使您容易受到攻擊”之類的頭條新聞。咋聽起來,就像蝗災一樣。由此,概述了該如何確保藍牙使用的安全性。
安全研究社區(qū)與SIG之間的合作
通常被忽視的事實是,安全研究社區(qū)與藍牙特殊利益組織(SIG)之間建立了有計劃的,有目的的協(xié)作關(guān)系,該組織是監(jiān)督藍牙技術(shù)使用安全的非營利性貿(mào)易協(xié)會。
藍牙SIG鼓勵社區(qū)積極審查規(guī)范,這些規(guī)范均可公開審查。
查找和暴露這些錯誤是在實驗室環(huán)境中的特殊條件下執(zhí)行的艱苦過程。
使用我們所依賴的任何技術(shù),對安全性的擔憂已超過保證,而且Bluetooth SIG及其成員也保持警惕以防惡意行為。
我們認為安全性對于沒有電線的世界至關(guān)重要,這正是我們?nèi)绱伺Ω纳扑{牙技術(shù)的安全性的原因。
我們認為,與安全研究界的合作對于整個藍牙技術(shù)的不斷進步和改進至關(guān)重要。讓我們更深入地研究Bluetooth SIG如何實現(xiàn)安全性。
藍牙技術(shù)的發(fā)展
在我們20多年的歷史中,Bluetooth SIG與其成員公司合作,使Bluetooth技術(shù)成為事實上的低功耗無線標準。根據(jù)2020年藍牙市場更新,今年將有46億臺使用藍牙技術(shù)的設(shè)備出貨。
我們已經(jīng)確保藍牙技術(shù)可以從簡單但出色的無線音頻配對解決方案發(fā)展到智能建筑,智能產(chǎn)業(yè)和智能城市等新興市場的物聯(lián)網(wǎng)中智能自動化的基礎(chǔ)。
為了提供卓越的藍牙連接性,我們與會員社區(qū)中的近36,000家公司合作,每個公司都將藍牙技術(shù)用作各種應用程序的連接組織。
傳統(tǒng)產(chǎn)業(yè)和新興產(chǎn)業(yè)的增長以及維持它們所需的聯(lián)網(wǎng)設(shè)備的爆炸式增長意味著,安全性必須始終是技術(shù)專業(yè)人員的首要考慮因素。但是,安全性實施既不是交鑰匙的,也不是一刀切的。要使藍牙技術(shù)真正無處不在-不可能。
因為藍牙無處不在,但實際上不可能無處不在。
藍牙無處不在是藍牙SIG制定了三管齊下的方法來優(yōu)先考慮安全性和保護藍牙技術(shù)的原因。
該方法解決了藍牙規(guī)范和接口中的安全問題,為藍牙SIG成員提供了持續(xù)的安全培訓。教育部分涉及藍牙安全響應程序。它還經(jīng)過專門設(shè)計,為藍牙技術(shù)的不斷創(chuàng)新和迭代留出了空間。
沒有技術(shù)是完美的。通過解釋藍牙SIG安全流程的范圍和意圖,我們希望為有關(guān)藍牙安全的敘述提供一個教育性的視角,并將其從一個以恐慌為標題的新聞中占主導地位的內(nèi)容轉(zhuǎn)移到一個對我們的安全過程透明的內(nèi)容中,從而繼續(xù)增強現(xiàn)有的安全性。保護并引入新的安全措施,以滿足連接領(lǐng)域不斷發(fā)展的要求。
所有藍牙設(shè)備的基本組成部分
要了解安全性,重要的是要了解藍牙技術(shù)的組成部分-藍牙規(guī)格。
本質(zhì)上,規(guī)范是開發(fā)人員用來在藍牙設(shè)備之間建立連接和互操作性的要求。除了音頻流和簡單的數(shù)據(jù)傳輸外,藍牙的更多用例已經(jīng)出現(xiàn),涵蓋了所有應用程序中的設(shè)備網(wǎng)絡(luò)和定位服務。藍牙的應用包括工業(yè)資產(chǎn)跟蹤到商業(yè)照明。
隨著藍牙規(guī)范的擴展,它們所包含的安全措施也必須擴展。
最突出的藍牙規(guī)范是核心規(guī)范,它定義了開發(fā)人員用來創(chuàng)建構(gòu)成蓬勃發(fā)展的藍牙生態(tài)系統(tǒng)的可互操作設(shè)備的基本構(gòu)造塊。
但是,還有超過100個其他配置文件和協(xié)議規(guī)范,它們定義了如何構(gòu)建從可互操作的藍牙耳機到創(chuàng)建用于照明控制的大規(guī)模藍牙網(wǎng)狀設(shè)備網(wǎng)絡(luò)的所有內(nèi)容。
開發(fā)人員指南
開發(fā)人員遵循每個規(guī)范中的指導原則,以根據(jù)其產(chǎn)品設(shè)計的需要來適應其實現(xiàn)。
每個規(guī)范都有其自己的技術(shù)和工具,可讓開發(fā)人員解決其產(chǎn)品的安全預防措施并確保藍牙設(shè)備之間的通信安全。
您可以將其視為開發(fā)人員可以選擇以為其產(chǎn)品實施適當安全級別的工具箱。低功耗藍牙產(chǎn)品開發(fā)人員可以使用的一些安全功能包括:
防止被動竊聽
防范中間人(MITM)攻擊
使用AES-CCM加密技術(shù)在兩個低功耗藍牙設(shè)備之間進行加密通信
隱私和身份跟蹤保護
完整的列表可在Bluetooth最佳實踐指南中找到,此處的所有成員均可使用。
安全評論
盡管在開發(fā)過程中對規(guī)范進行安全審查,但SIG的36,000名成員中的每個成員都需要為其實施所需的最佳安全選項。
例如,工廠中啟用了藍牙的狀態(tài)監(jiān)視系統(tǒng)與無線鼠標相比,將需要明顯不同的安全功能。開發(fā)人員可以自行選擇要在其藍牙產(chǎn)品中實現(xiàn)的必要安全功能。
使藍牙規(guī)范提供這些選項和靈活性是使藍牙技術(shù)在眾多可用的低功耗無線技術(shù)中獨樹一幟的魔力。
這些選項使成員可以自由地為其產(chǎn)品選擇最佳的安全功能,但這也意味著成員可能會選擇對其應用程序不夠的安全或隱私功能。這導致我們進入第二部分-教育。
教育:設(shè)計,開發(fā)和部署安全藍牙設(shè)備的工具
為了幫助成員為他們的應用選擇合適的安全選項,Bluetooth SIG定期發(fā)布學習指南,培訓視頻和各種其他教育材料。
這些教育材料說明了為什么某些安全選項在特定應用中比其他安全選項更有效。他們還解釋了每個規(guī)范中的常見安全風險以及如何最好地避免這些風險。
常見的實施最佳做法包括:
遵循最新版本的藍牙規(guī)范,以確保開發(fā)人員擁有最新指南
記錄產(chǎn)品設(shè)計的安全性要求,以便在實施中使用適當?shù)陌踩?/p>
測試和審核實施的安全功能
確保UX界面向用戶提供有關(guān)任何安全或隱私問題的適當通知
在面向外部數(shù)據(jù)源(尤其是無線數(shù)據(jù)源)的任何接口的開發(fā)中加強安全編碼實踐
這些教學材料為會員指明了正確的方向,而藍牙技術(shù)是一種開放的全球標準。藍牙SIG及其成員在安全研究界的幫助下,共同負責生產(chǎn)安全的藍牙設(shè)備和應用程序。
社區(qū):共享藍牙安全責任
藍牙SIG與安全研究界建立了長期的合作關(guān)系。這種工作關(guān)系過程的一部分是鼓勵通過藍牙安全響應計劃對技術(shù)進行持續(xù)審查并報告規(guī)范范圍內(nèi)的漏洞。
響應計劃可確保在我們的成員組織中調(diào)查,解決和傳達報告的漏洞。
例如,去年,洛桑聯(lián)邦理工學院(EPFL)的研究人員幫助揭露了與藍牙BR / EDR連接中的配對有關(guān)的缺陷。
提交缺陷報告后會發(fā)生什么?
一旦報告,Bluetooth SIG便會迅速修復該漏洞-為成員提供建議,以在集成核心規(guī)范的同時徹底整合所有必要的補丁程序-并迅速更新。
EPFL,Bluetooth SIG及其成員之間的合作確保了持續(xù)改進和技術(shù)安全性。
諸如此類的關(guān)系使我們能夠快速解決由于藍牙技術(shù)的新發(fā)展而引起的任何安全問題。
小結(jié)
藍牙技術(shù)的潛力和力量不斷增長。每年都有數(shù)十億臺新的支持藍牙的設(shè)備出貨,藍牙無線技術(shù)與我們的生活息息相關(guān)。
藍牙是使我們彼此之間以及與我們周圍世界聯(lián)系在一起的東西。
隨著社區(qū)不斷擴展藍牙技術(shù)的功能-重點是確保我們的藍牙通信保持安全。
責任編輯:tzh
-
照明
+關(guān)注
關(guān)注
11文章
1511瀏覽量
131366 -
通信
+關(guān)注
關(guān)注
18文章
6030瀏覽量
135975 -
藍牙
+關(guān)注
關(guān)注
114文章
5819瀏覽量
170250 -
無線
+關(guān)注
關(guān)注
31文章
5451瀏覽量
173282
發(fā)布評論請先 登錄
相關(guān)推薦
評論