DHS 4300A系列手冊由美國國土安全局推出，旨在指導敏感系統(tǒng)中無線技術的安全使用。手冊中包括了如RFID、藍牙等許多種無線技術的使用規(guī)范。接下來，我們將以藍牙技術為例，具體剖析此手冊中對于藍牙技術方面的指導要求。DHS 4300A –Q6（藍牙安全）于2014年12月15日發(fā)布，文檔的主要目的是在安裝、配置、使用、管理支持藍牙的設備時能夠確保低安全性基準。

藍牙技術簡介

藍牙是一種無線開放標準技術，用于在沒有互連電纜的情況下在短距離設備之間交換語音或數(shù)據(jù)。其有效范圍變化取決于傳播條件、材料覆蓋、天線配置、電池狀況等，但大多數(shù)藍牙設備的有效范圍為10m或更小。該技術已經(jīng)集成到許多類型的設備中了，包括手機、筆記本電腦、打印機、鍵盤、鼠標和耳機等，并且主要用于在設備之間建立自組織無線個域網(wǎng)（WPAN）如圖2所示。藍牙版本1.1和1.2僅支持高為1 Mbps的傳輸速度，稱為基本速率（BR），并且可以實現(xiàn)大約720 kbps的有效載荷吞吐量。版本2.0中引入的增強數(shù)據(jù)速率（EDR）規(guī)定了高達3 Mbps的數(shù)據(jù)速率和大約2.1 Mbps的吞吐量。

文檔中給出了藍牙技術可以用來增強部門人員執(zhí)行任務和業(yè)務需求能力的示例如下:

    辦公環(huán)境中的平板電腦藍牙鍵盤；
    辦公室人員的藍牙耳機；
    藍牙PIV讀卡器；
    車內(nèi)使用的免提手機；
    在檢查點基本單元與移動設備之間傳輸數(shù)據(jù)；
    在執(zhí)法或調(diào)查期間收集在現(xiàn)場遇到的嫌疑人或感興趣人的指紋。

由上可知，藍牙技術的需求十分迫切，而且與電纜設備和外圍設備相比，藍牙具有明顯的易用性優(yōu)點。

藍牙技術的安全問題

但像任何無線技術一樣，藍牙通信易受各種威脅。因為該技術已經(jīng)使用各種各樣的芯片組、操作系統(tǒng)和物理設備配置，這會導致大量不同的安全編程接口和默認設置。這些復雜性增加到無線通信中，意味著藍牙易受一般無線威脅以及自身固有的漏洞的影響。常見的攻擊包括：

    Bluebugging ：攻擊者控制手機，可以撥打電話，竊聽電話交談，閱讀聯(lián)系人和日歷等；
    Bluejacking：將匿名、未經(jīng)請求的消息發(fā)送到具有藍牙設備的手機中并設為不可見；
    Blueprinting：遠程采集藍牙設備指紋；
    BlueSmack ：通過藍牙連接執(zhí)行拒絕服務攻擊，使設備不可用；
    Bluesnarfing ：使攻擊者完全訪問日歷、聯(lián)系人、電子郵件和短信；
    BlueStumbling ：允許攻擊者根據(jù)藍牙設備地址查找和識別用戶。

藍牙規(guī)范包括四種安全模式，分別提供不同方式、不同程度的保護措施。

安全模式1

使用安全模式1的設備被認為是不安全的。在這種安全模式下，安全功能（認證和加密）從未啟動，因此設備和連接容易受到攻擊。實際上，這種模式下的藍牙設備是“不分敵我的”，并且不采用任何機制來阻止其他藍牙設備建立連接。如果遠程設備發(fā)起配對、認證或加密請求，則安全模式1設備將接受該請求而不加任何認證。由于其高度的脆弱性，文檔規(guī)定DHS不得使用安全模式1。

安全模式2

安全模式2是服務級強制安全模式，其可以在鏈路建立之后但在邏輯信道建立之前啟動安全過程。在這種安全模式下，本地安全管理器控制對特定服務的訪問。訪問控制以及與其他協(xié)議和設備用戶的接口由單獨的集中式安全管理器維護。此策略可以為具有不同安全需求并行運行的應用程序定義不同的安全策略和信任級別來限制訪問，可以在不提供對其他服務的訪問的情況下授予訪問某些服務的權限。在這種模式下，引入了授權的概念（即決定特定設備是否允許訪問特定服務的過程）。

安全模式3

安全模式3提供好的安全性。它是鏈路級強制安全模式，其中藍牙設備在鏈路完全建立之前啟動安全過程。在安全模式3下運行的藍牙設備為設備的所有連接授權認證和加密。因此，在進行認證、加密和授權之前，甚至不能進行服務的發(fā)現(xiàn)。一旦設備經(jīng)過身份認證，服務級別授權通常不會被安全模式3設備執(zhí)行。當經(jīng)過身份驗證的遠程設備在不了解本地設備所有者的情況下使用藍牙服務時，服務級授權應被執(zhí)行以防止“認證濫用”。

安全模式4

安全模式4使用安全簡單配對策略（Secure Simple Pairing，SSP），其中在鏈路密鑰生成時，橢圓曲線（Elliptic Curve Diffie-Hellman，ECDH）密鑰協(xié)議取代了過時的密鑰協(xié)議。

提高藍牙技術安全性的指導意見

為盡可能提高藍牙技術的安全性，文檔從管理、技術、操作部署三個方面給出了指導性意見。

管理上的佳方法

    確保藍牙用戶了解與藍牙使用有關的安全相關責任，并提供一系列預防措施，以更好地保護手持藍牙設備免遭盜竊；
    僅在必要時啟用藍牙（例如在移動設備上關閉藍牙，并在不使用時關閉耳機）；
    當藍牙鏈接處于活動狀態(tài)時，盡量減少藍牙鏈接設備之間的距離；
    小化語音通話的持續(xù)時間；
    大限度地減少信號攔截的機會，大化與其他藍牙設備，其他人和不受信任區(qū)域的距離；
    在進行配對時，移動設備將嘗試找到其他支持藍牙的設備。要始終驗證并確認正在配對的設備。如果出現(xiàn)意外提示，請不要輸入密碼；
    從配對設備列表中刪除丟失、被盜或未使用的設備；
    定期進行全面的安全評估，以充分了解藍牙安全狀況；
    確保從架構角度充分了解涉及藍牙技術的無線設備和網(wǎng)絡，并做好相應記錄；
    維護所有藍牙設備和地址的完整清單；
    個人及時跟蹤藍牙安全產(chǎn)品和標準的進展以及技術的威脅和漏洞。

技術上的佳方法

    更改藍牙設備的默認設置；
    將藍牙功率設置為低可用，以便盡可能減小信號范圍。采用的低藍牙功率應足以維持授權用戶之間的通信；
    選擇足夠長、隨機和私密的PIN碼，避免使用靜態(tài)和弱PIN（例如全零）；
    確保鏈接密鑰不是基于單位密鑰。使用共享單位密鑰可能導致成功的欺騙，中間人攻擊（MITM）和竊聽攻擊；
    根據(jù)密鑰條目關聯(lián)模型，為每組配對設備使用隨機和唯一的密鑰。如果一個靜態(tài)密鑰用于多組配對設備，則密鑰條目關聯(lián)模型提供的MITM保護將被減少；
    鎖定每個設備上的藍牙堆棧，以確保只有必需和批準的配置文件和服務可供使用，禁用不需要的和未經(jīng)批準的服務；
    將藍牙設備默認設置為不可發(fā)現(xiàn)，并保持不可發(fā)現(xiàn)，除非配對需要的情況。在發(fā)現(xiàn)服務期間發(fā)送的默認藍牙設備名稱應更改為非標識值；
    對所有藍牙連接進行鏈接加密，并使用它來保護藍牙連接期間的所有數(shù)據(jù)傳輸，否則傳輸?shù)臄?shù)據(jù)容易受到竊聽；
    如果正在使用多跳無線通信，請確保在通信鏈路中的每個鏈路上啟用加密。一個不安全的鏈接將影響整個通信鏈；
    確保對所有連接執(zhí)行相互設備認證；
    將加密密鑰大小配置為允許的大值（128位）。使用允許的大密鑰可以防止暴力攻擊；

操作和部署上的佳方法

    確保藍牙功能在不使用時被禁用。在所有設備上應禁用藍牙功能，除非用戶明確地啟用藍牙建立連接。這可以大限度地減少潛在的惡意活動。對于不支持禁用藍牙（例如耳機）的設備，整個設備在不使用時應該關閉；
    盡可能不頻繁地進行配對。理想情況下，在安全區(qū)域，攻擊者無法實際觀察密鑰條目或攔截藍牙配對消息。用戶不應該響應任何請求PIN的消息，除非用戶已經(jīng)發(fā)起配對，并且確定用戶的設備之一發(fā)送了PIN請求。配對是一個至關重要的安全功能，要求用戶對可能的竊聽保持基本的安全意識；
    基本速率/增強型數(shù)據(jù)速率（BR / EDR）服務級別安全模式（即安全模式2或4）只能在受控和良好的已知環(huán)境中使用。安全模式3提供好的安全性；
    確保具有藍牙接口的便攜式設備配置有密碼或啟用訪問的PIN。如果設備丟失或被盜，這有助于防止未經(jīng)授權的訪問；
    如果藍牙設備丟失或被盜，用戶應立即從所有其他藍牙設備的配對設備列表中刪除丟失的設備；
    在支持基于主機的安全軟件的啟用藍牙的主機上安裝防病毒軟件；
    全面測試和定期部署藍牙軟件和固件修補程序和升級；
    不接受任何來自未知或可疑設備的傳輸。這些類型的傳輸通常包括消息，文件和圖像；
    在部署之前，充分了解部署任何安全功能或產(chǎn)品帶來的影響。

總結

無線通訊技術方便了生活、工作的方方面面，但它也引入了更多的安全隱患。在規(guī)范的安全框架下合理合法使用無線通訊技術是極其重要的。本文以DHS 4300A系列手冊出發(fā)，為敏感系統(tǒng)中藍牙技術的使用帶去指導性意見，為藍牙技術的發(fā)展保駕護航。