信息安全技术 蓝牙使用安全指南 目??次 前言 II 范围 1 规范性引用文件 1 术语和定义 1 缩略语 1 概述 2 安全使用建议 2 管理建议 2 技术建议 2 操作建议 3 附录 A （资料性附录） 蓝牙安全机制 4 A.1 蓝牙安全功能 4 附录 B （资料性附录） 蓝牙漏洞与威胁 6 蓝牙漏洞 6 蓝牙威胁 9 参考文献 11 I 信息安全技术 蓝牙使用安全指南 范围 本标准规定了蓝牙的使用安全建议。 本标准适用于使用了蓝牙1.1、1.2、2.0、2.1、3.0、4.0、4.1、4.2和5.0规范的蓝牙设备和模块， 可为组织机构部署和管理蓝牙网络提供参考。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 17901.1-1999 信息技术 安全技术 密钥管理 第1部分：框架 GB/T 21053—2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求GB/T 25069—2010 信息安全技术 术语 GM/Z 0001—2013 密码术语 SIG Bluetooth Core Specification 蓝牙技术联盟 蓝牙标准 IEEE 802.11 电气和电子工程师协会 无线局域网 AP标准 术语和定义 GB/T 17901.1-1999、GB/T 25069-2010、 GB/T 21053-2007、GM/Z 0001—2013界定的以及下列术 语和定义适用于本文件。 3.1 蓝牙 Bluetooth 蓝牙是一种短距离的低成本、低功耗的无线通讯技术，可实现固定设备、移动设备之间的数据交换。 缩略语 下列缩略语适用于本文件。 AES-CCM：高级加密标准-CCM 模式（Advanced Encryption Standard-Counter with CBC-MAC） BR：基础速率（Basic Rate） CSRK：连接签名解析密钥（Connection Signature Resolving Key） ECDH：迪菲赫尔曼椭圆曲线（Elliptic Curve Diffie Hellman） EDR：增强数据率（Enhanced Data Rate） HS：高速数据速率（High Speed） IRK：身份解析密钥（Identity Resolving Key） ISM：工业的、科学的、医学的（Industrial Scientific Medical） LE：低功耗（Low Energy） 1 LTK：长期密钥（Long-Term Key） MITM：中间人（Man-in-the-Middle） PIN：个人识别码（Personal Identification Number） SSP：安全简单配对（Secure Simple Pairing） 概述 蓝牙是一种低成本、低功耗的无线通信技术，使用短波特高频无线 GHz的ISM 频段进行通信。蓝牙技术分为基本速率/增强数据速率（BR/EDR）和低耗能（LE）两种技术类型。其中BR/EDR型用于以点对点网络拓扑结构创建一对一的设备通信；LE型则使用点对点（一对一）、广播（一 对多）和网格（多对多）等多种网络拓扑结构。 蓝牙标准中提供了蓝牙安全机制（参见附录A），然而这些安全机制存在一定的局限性。蓝牙不仅面临一般的无线网络威胁，还受到针对蓝牙标准的安全漏洞的威胁（参见附录B）。由此，不安全地使用蓝牙网络可能会导致攻击者在未授权情况下获得蓝牙网络系统使用权限，或在未授权情况下获取到敏 感信息。 安全使用建议 管理建议 在部署和维护网络功能时可参照以下建议： 在部署蓝牙网络前需充分了解其产品和安全特征； 定期执行全面的安全评估，以便于充分了解组织的蓝牙安全状态； 接入无线网络中的蓝牙设备应在网络架构上便于识别，并能用文档描述； 维护一个完整的清单，清单包括所有具备蓝牙功能的无线设备和地址(BD_ADDR)； 制定一个无线网络安全策略用于提高蓝牙无线网络的安全性； 给用户提供相应的安全防范建议从而更好地保护用户的手持蓝牙设备不被盗窃； 指定一人追踪蓝牙安全产品和安全标准的进展（例如通过蓝牙技术联盟）以及该技术的威胁和漏洞； 若使用了移动设备管理方案，应在该方案中正确实施蓝牙安全策略。 技术建议 密钥配置 蓝牙通信过程中的密钥配置遵循以下建议： 配置加密密钥时尽量选择允许的最大长度，并定期进行更换； 私有的PIN码设置应为随机且足够长，避免固定弱PIN码，比如全0； 链路密钥不能基于网络中所有设备共享的单元密钥； 设备验证的可靠链路密钥需在配对过程中产生； 对于使用SSP的蓝牙2.1及更高版本设备，使用口令输入模式时可在每次配对过程中采用随机且唯一的密钥； 对敏感信息的传输使用应用程序级（蓝牙协议栈的顶端）认证和加密； 推荐使用如生物识别技术、智能卡、双因素认证或公钥基础设施（PKI）等完成用户认证； 通过配对设备中的随机数产生器来生成可靠的PIN码。 2 模式选择 蓝牙通信过程中的模式选择遵循以下建议： 对于使用安全模式4的蓝牙2.1及更高版本设备，在与蓝牙2.0及更低版本设备兼容时，降低到安 全模式3； 对于使用LE技术的蓝牙4.0和蓝牙4.1设备和服务，使用安全模式1级别3； 对于使用LE技术的蓝牙4.2及蓝牙5.0设备和服务，使用安全模式1级别4； 对于使用BR/EDR的蓝牙4.1及以上更高版本设备和服务，使用安全模式4级别4； 建议为所有广播传输执行加密（加密模式3）； 对于使用SSP的蓝牙2.1及更高版本设备不使用“Just Works”模式，以免受到简单配对攻击（参见附录B.2-h）； 一个BR/EDR服务层的安全模式（即安全模式2或4）只用于已经控制并充分了解的环境 i) 对于使用LE技术的蓝牙，使用AES-CCM加密算法。 链路管理 蓝牙通信过程中的链路管理宜遵循以下建议： 停用不需要或未授权的服务和资源； 在所有蓝牙连接中使用链路加密； 推荐使用多跳无线通信，并对通信链路上每一条链接加密； 建议对设备的所有连接采用双向认证； 把蓝牙设备的功率设置为最低可满足大小级别，以便于传输只在安全参数允许范围内进行； 蓝牙设备在允许任何进入的连接请求进行之前需提示用户授权所有传入的蓝牙连接请求。 操作建议 加入蓝牙网络的用户在进行信息交互等操作时可参考以下建议： 蓝牙网络用户需了解使用蓝牙的安全相关责任； 尽量少的执行配对，并在攻击者无法观测输入口令或拦截蓝牙配对信息的地方执行配对； 不响应由未进行匹配确认的未知设备发出的任何请求PIN码的消息,； 尽量不接受来自未知或可疑设备的任何形式的传输，这些传输的形式包括消息、文件和图片， 以免受到蓝牙劫持攻击（参见附录B.2-b）； 修改蓝牙设备的默认设置，令其符合接入网络的安全策略； 关闭不使用的蓝牙模块和设备； 除需要配对以外，蓝牙设备应默认配置为非发现模式； 为具有蓝牙接口的便携式设备都设定一个密码 ； 如果一个蓝牙设备丢失或被盗，立即从所有曾与其配对过的蓝牙设备中移除配对； 如果开启蓝牙的主机支持安装安全软件，那么建议安装杀毒软件； 充分测试并定期升级及部署蓝牙软件和固件补丁。 3 A A 附 录 A （资料性附录） 蓝牙安全机制 蓝牙安全功能 蓝牙标准中规定了五种基本的安全服务： 认证：根据蓝牙设备地址验证通信设备的身份。蓝牙不提供本地用户认证； 保密：通过确保只有授权设备才能访问和查看传输数据，防止由窃听造成的信息泄密； 授权：通过确保允许设备使用服务前设备已被授权，实现资源控制； 消息完整性：验证两个蓝牙设备之间发送的消息没有在途中被改变； 配对/连接：创建一个或多个共享密钥，并且将这些密钥进行储存以便于在后续连接中形成可信 设备对。 蓝牙不提供诸如审计、完整性和不可抵赖性等其他安全服务，如果需要这些服务，需通过其他的方 法提供。 BR/EDR/HS安全功能 蓝牙BR/EDR/HS技术标准定义了四个安全模式，安全模式决定了蓝牙设备什么时候启动安全功能。安全模式1到4分别定义如下： 安全模式1：设备被认为没有安全。即不启动安全功能(即，认证和加密)，设备和链接容易受到攻击。所有蓝牙2.0和更早的设备支持安全模式1，蓝牙2.1和更高版本的设备可以使用安全模式1与旧设备兼容； 安全模式2：强制的服务级安全模式。安全程序可在链接建立后，逻辑通道建立之前启动。由本 地安全管理器控制对特定服务的访问。引入授权的概念决定一个特定设备是否被允许访问一个 特定服务。在控制器中实现认证和加密机制。所有蓝牙2.0和更早的设备支持安全模式2，蓝牙 2.1和更高版本的设备只支持与蓝牙2.0或更早设备的兼容； 安全模式3：强制的链路级安全模式。蓝牙设备在物理链路完全建立前启动安全程序。要求验证 和加密所有出入设备的连接。一旦设备通过验证，设备一般不进行服务级别授权。蓝牙2.0和 更早的设备支持安全模式3，蓝牙2.1和更高的设备只能为了兼容的目的支持它； 安全模式4：强制的服务级安全模式(类似于安全模式2)。安全程序在物理和逻辑链路建立后启动。使用安全简单配对(SSP)，用椭圆曲线Diffie-Hellman(ECDH)密钥协议取代传统的密钥协商用于链路密钥生成。设备认证和加密算法与蓝牙2.0 + EDR和早期版本中的算法相同。是否进行链路密钥验证取决于使用的SSP关联模型。安全模式4需要加密所有服务(除服务发现)。

　　2、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问加。

　　3、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。

　　4、VIP文档为合作方或网友上传，每下载1次， 网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

　　易倍体育官网登录入口 Emc易倍平台

　　初中地理：ESP8266智能插座在环境监测中的数据收集与处理论文.docx

　　新能源集控中心项目 智慧电厂建设项目 智慧光伏 智慧水电 智慧燃机 智慧工地 智慧城市 数据中心 电力行业信息化

　　宣贯培训(2026年)《GBT 12220-2015工业阀门 标志》.pptx

　　普通党员2026年组织生活会对照检查材料与严格对照“带头干事创业、强化政治忠诚等五个带头”方面检查材料【2篇文】.docx

　　第三单元人口迁徙文化交融与认同课件-高三历史统编版选择性必修3文化交流与传播一轮复习.pptx

　　Danfoss丹佛斯变频器iC2-M iC2-Micro应用指南.pdf

　　原创力文档创建于2008年，本站为文档C2C交易模式，即用户上传的文档直接分享给其他用户（可下载、阅读），本站只是中间服务平台，本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方，若您的权利被侵害，请发链接和相关诉求至 电线) ，上传者