藍(lán)牙如何工作

        藍(lán)牙是一個(gè)由IEEE 802.15定義的無線網(wǎng)絡(luò)。為了減少頻率的沖突，藍(lán)牙使用2.4MHz的波段進(jìn)行操作。一個(gè)藍(lán)牙連接的吞吐量則視該設(shè)備生產(chǎn)商所部署的版本而定。最大的數(shù)據(jù)傳輸率大約在1Mbps到3Mbps之間。而實(shí)際使用中的數(shù)據(jù)傳輸速率一般肯定會低于這個(gè)極限數(shù)字。

        由愛立信公司于1994年最早提出，藍(lán)牙現(xiàn)已成為建立小型個(gè)人網(wǎng)絡(luò)的技術(shù)選擇，而無需使用電纜?？磮DA。
 

圖A 小型個(gè)人網(wǎng)絡(luò)
 
       
藍(lán)牙個(gè)人區(qū)域網(wǎng)絡(luò)，也被稱作piconets，由一個(gè)主設(shè)備，以及最多7臺活躍從設(shè)備組成。一個(gè)藍(lán)牙Piconet可以看到如圖B所示。另外，還可以在主設(shè)備上連接255臺處于Park模式的設(shè)備。
 

圖B 一個(gè)藍(lán)牙piconet
 
       
在一個(gè)piconet之中，每一個(gè)從設(shè)備都通過一個(gè)物理信道依附于主設(shè)備。每一個(gè)信道又被劃分為不同的窄通道。在主設(shè)備和從設(shè)備之間傳輸?shù)臄?shù)據(jù)包就通過這些不同的窄通道進(jìn)行傳輸。物理信道無法在從設(shè)備之間建立。所以的數(shù)據(jù)傳輸都由主設(shè)備管理。主設(shè)備會持續(xù)的詢問每臺設(shè)備，看它是否需要服務(wù)。另外，主設(shè)備也負(fù)責(zé)同步所有的設(shè)備，以保證時(shí)間相一致。

一臺設(shè)備可以通過一種或者兩種方法加入一個(gè)Piconet。首先，一臺藍(lán)牙設(shè)備可以進(jìn)入一個(gè)查詢狀態(tài)，以發(fā)現(xiàn)其他藍(lán)牙設(shè)備。在這個(gè)查詢之中，信息會被提供，以說明它需要何種類型的服務(wù)。藍(lán)牙設(shè)備可以提供一種或者多種所需的服務(wù)，并且在廣播范圍內(nèi)，如果它是處于發(fā)現(xiàn)模式的話，就會對請求作出響應(yīng)。這個(gè)過程用于在一臺或者多臺基于所使用的安全模式進(jìn)行響應(yīng)的設(shè)備之間建立一個(gè)信道。

       
第二種方法，是一臺主設(shè)備搜索范圍之內(nèi)的其他設(shè)備。每發(fā)現(xiàn)一臺設(shè)備，就自動(dòng)將其添加到piconet之中，并同時(shí)依據(jù)安全準(zhǔn)則對這臺設(shè)備進(jìn)行處理，或者對兩臺設(shè)備都進(jìn)行處理。

        兩臺設(shè)備之間可以建立信道的距離則取決于它們的功率類別。表格A顯示了三個(gè)類別，以及每個(gè)類別的潛在連接范圍。類別1和類別2是最常見的。
 

表格A 類別
 
        最后，兩個(gè)或者更多的piconet可以潛在連接以建立一個(gè)scatternet，如圖C所示。

圖C 一個(gè)scatternet

      藍(lán)牙安全

       
藍(lán)牙設(shè)備可以輕易的彼此互連。這也是這個(gè)標(biāo)準(zhǔn)被開發(fā)出來的目的所在。因此，許多設(shè)備生產(chǎn)商在部署藍(lán)牙時(shí)，往往只提供了連接的簡易性，卻忽視了因此而暴露個(gè)人或者企業(yè)信息資產(chǎn)的巨大風(fēng)險(xiǎn)。

        藍(lán)牙標(biāo)準(zhǔn)定義了3種安全模式，如表格B所示。
 

表格B
 
        安全模式

       
被配置為安全模式1的設(shè)備沒有任何安全機(jī)制。這種類型的連接絕對不能被用于共享敏感數(shù)據(jù)。安全模式2是三種模式之中最具彈性的。一旦兩臺設(shè)備建立了一個(gè)物理信道，可以對應(yīng)用程序以及服務(wù)應(yīng)用營運(yùn)策略，以規(guī)定所需的安全級別。

       
并非所有的應(yīng)用程序或者服務(wù)都必須使用同一安全級別。舉例來說，一個(gè)健康組織可能會配置一個(gè)應(yīng)用程序在藍(lán)牙設(shè)備之間共享患者的信息。在這種情況下，認(rèn)證，加密，以及授權(quán)措施都應(yīng)該被使用。認(rèn)證允許一臺設(shè)備拒絕連接企圖，而加密則保護(hù)在信道中交換的數(shù)據(jù)。不過，這些設(shè)備卻可以共享一些無需加密數(shù)據(jù)傳輸?shù)墓眯畔?比如名片等)。

       
這種僅僅在需要時(shí)才使用藍(lán)牙安全措施的能力，可以幫助增強(qiáng)用戶性能優(yōu)化的相關(guān)體驗(yàn)。它同樣也可以限制連接的設(shè)備連接到某個(gè)可用服務(wù)的子集上。而授權(quán)的使用，則可以讓一個(gè)提供服務(wù)的設(shè)備根據(jù)具體的規(guī)則，允許一個(gè)連接設(shè)備使用某些服務(wù)，但卻不可以使用其他服務(wù)。

       
模式3的安全是最安全的，但是彈性不如模式2。當(dāng)使用模式3建立了一個(gè)信道后，在信道建立完畢之前，就開始了認(rèn)證協(xié)商和加密協(xié)商。之后設(shè)備之間傳輸?shù)乃行畔⒍紩患用?。但是授?quán)將不被需要，因?yàn)橐话慵俣▋膳_設(shè)備之間如果通過模式3建立信道的話，它們彼此就是可以全權(quán)訪問對方所有可用數(shù)據(jù)以及所有服務(wù)的。

        模式2和模式3的安全級別通過一個(gè)被稱作“配對”的過程來進(jìn)行實(shí)施。具體關(guān)于藍(lán)牙安全配對的細(xì)節(jié)不在本文討論的范圍之內(nèi)。

   藍(lán)牙的漏洞

       
雖然對藍(lán)牙來說，安全是可以使用的，但是許多的智能手機(jī)，移動(dòng)電話，以及其他設(shè)備制造商們還是選擇使用了安全模式1。另外，海量的設(shè)備都被設(shè)置成了“發(fā)現(xiàn)/對所有人可用”的模式，這會讓設(shè)備對所有的服務(wù)探查都做出回應(yīng)。這可以讓用戶迅速體驗(yàn)到使用piconet的好處，而無需去費(fèi)神擔(dān)心具體安全配置的過程。

        曾經(jīng)在一篇文章中，Alexander Gostev記述了由卡巴斯基實(shí)驗(yàn)室進(jìn)行的一場研究的相關(guān)結(jié)果，該研究側(cè)重于發(fā)現(xiàn)公共場所下藍(lán)牙設(shè)備的實(shí)際漏洞情況。卡巴斯基的研究隊(duì)伍參觀了倫敦的“信息安全2006”大會(InfoSecurity 2006)，目的是為了盡可能多的測試藍(lán)牙設(shè)備。

       
對Gostev而言，他們發(fā)現(xiàn)超過1000臺藍(lán)牙設(shè)備使用“對所有人可見”模式。換句話說，這1000臺設(shè)備時(shí)刻準(zhǔn)備和其他設(shè)備建立連接。由于缺乏任何機(jī)制以阻止非法訪問，這些設(shè)備所有的數(shù)據(jù)都暴露在外，或面臨被惡意軟件快速傳播的危險(xiǎn)。所檢測的設(shè)備包括：

        移動(dòng)電話
        智能手機(jī)
        筆記本電腦
        無繩電話
        PDA
        臺式機(jī)電腦
        其他未分類的設(shè)備

        無法關(guān)閉“發(fā)現(xiàn)/對所有人可用”的模式，或無法部署起碼模式2的安全級別，可能會導(dǎo)致企業(yè)的信息遭到下述方式的泄漏：

        敏感數(shù)據(jù)可以被隨意瀏覽
        攻擊者可以盜打電話
        對相關(guān)設(shè)備可以進(jìn)行拒絕服務(wù)攻擊
        通訊錄可以被人隨意下載
        設(shè)備可能被安裝惡意軟件，以便進(jìn)一步感染其他設(shè)備，包括網(wǎng)絡(luò)上的附加設(shè)備。
        攻擊者可以安裝惡意軟件，從而獲取該設(shè)備的當(dāng)前控制權(quán)
 
        保護(hù)藍(lán)牙網(wǎng)絡(luò)

       
有許多方法可以讓一個(gè)企業(yè)來保護(hù)它的藍(lán)牙設(shè)備安全。面對各種安全挑戰(zhàn)，首要任務(wù)是要教育你的員工。買個(gè)雇員應(yīng)當(dāng)都知曉正確的使用藍(lán)牙設(shè)備的方法，以及錯(cuò)誤的做法是什么。另外，應(yīng)當(dāng)制定相關(guān)策略，以便對企業(yè)所有的無線設(shè)備以及私人所有的設(shè)備分別進(jìn)行管理。作為最低限度，一個(gè)策略應(yīng)當(dāng)解決下述問題：

        設(shè)置設(shè)備，任何連接請求都必須得到用戶的批準(zhǔn)
        當(dāng)不使用藍(lán)牙功能時(shí)，應(yīng)當(dāng)關(guān)閉
        不使用模式1的藍(lán)牙設(shè)備;確保僅在對可信任設(shè)備配對時(shí)才使用發(fā)現(xiàn)模式
        信任設(shè)備應(yīng)當(dāng)在安全環(huán)境中進(jìn)行配對，以遠(yuǎn)離惡意勢力的侵?jǐn)_
        在合理舉例之內(nèi)，最小化設(shè)備使用的范圍
        考慮在每臺藍(lán)牙設(shè)備上安裝反病毒軟件和個(gè)人防火墻軟件

        緊密管理

       
對企業(yè)的生產(chǎn)力工具箱而言，藍(lán)牙是非常好的一個(gè)附加工具。但是，技術(shù)團(tuán)隊(duì)必須對它有詳細(xì)的了解，而它的部署則必須進(jìn)行緊密管理。如果購買的設(shè)備不支持正確的安全措施，或者無法讓設(shè)備暴露的危險(xiǎn)最小化，都會置整個(gè)企業(yè)的數(shù)據(jù)于危險(xiǎn)之地。