藍(lán)牙如何工作

        藍(lán)牙是一個(gè)由IEEE 802.15定義的無(wú)線網(wǎng)絡(luò)。為了減少頻率的沖突，藍(lán)牙使用2.4MHz的波段進(jìn)行操作。一個(gè)藍(lán)牙連接的吞吐量則視該設(shè)備生產(chǎn)商所部署的版本而定。最大的數(shù)據(jù)傳輸率大約在1Mbps到3Mbps之間。而實(shí)際使用中的數(shù)據(jù)傳輸速率一般肯定會(huì)低于這個(gè)極限數(shù)字。

        由愛立信公司于1994年最早提出，藍(lán)牙現(xiàn)已成為建立小型個(gè)人網(wǎng)絡(luò)的技術(shù)選擇，而無(wú)需使用電纜。看圖A。
 

圖A 小型個(gè)人網(wǎng)絡(luò)
 
       
藍(lán)牙個(gè)人區(qū)域網(wǎng)絡(luò)，也被稱作piconets，由一個(gè)主設(shè)備，以及最多7臺(tái)活躍從設(shè)備組成。一個(gè)藍(lán)牙Piconet可以看到如圖B所示。另外，還可以在主設(shè)備上連接255臺(tái)處于Park模式的設(shè)備。
 

圖B 一個(gè)藍(lán)牙piconet
 
       
在一個(gè)piconet之中，每一個(gè)從設(shè)備都通過一個(gè)物理信道依附于主設(shè)備。每一個(gè)信道又被劃分為不同的窄通道。在主設(shè)備和從設(shè)備之間傳輸?shù)臄?shù)據(jù)包就通過這些不同的窄通道進(jìn)行傳輸。物理信道無(wú)法在從設(shè)備之間建立。所以的數(shù)據(jù)傳輸都由主設(shè)備管理。主設(shè)備會(huì)持續(xù)的詢問每臺(tái)設(shè)備，看它是否需要服務(wù)。另外，主設(shè)備也負(fù)責(zé)同步所有的設(shè)備，以保證時(shí)間相一致。

一臺(tái)設(shè)備可以通過一種或者兩種方法加入一個(gè)Piconet。首先，一臺(tái)藍(lán)牙設(shè)備可以進(jìn)入一個(gè)查詢狀態(tài)，以發(fā)現(xiàn)其他藍(lán)牙設(shè)備。在這個(gè)查詢之中，信息會(huì)被提供，以說(shuō)明它需要何種類型的服務(wù)。藍(lán)牙設(shè)備可以提供一種或者多種所需的服務(wù)，并且在廣播范圍內(nèi)，如果它是處于發(fā)現(xiàn)模式的話，就會(huì)對(duì)請(qǐng)求作出響應(yīng)。這個(gè)過程用于在一臺(tái)或者多臺(tái)基于所使用的安全模式進(jìn)行響應(yīng)的設(shè)備之間建立一個(gè)信道。

       
第二種方法，是一臺(tái)主設(shè)備搜索范圍之內(nèi)的其他設(shè)備。每發(fā)現(xiàn)一臺(tái)設(shè)備，就自動(dòng)將其添加到piconet之中，并同時(shí)依據(jù)安全準(zhǔn)則對(duì)這臺(tái)設(shè)備進(jìn)行處理，或者對(duì)兩臺(tái)設(shè)備都進(jìn)行處理。

        兩臺(tái)設(shè)備之間可以建立信道的距離則取決于它們的功率類別。表格A顯示了三個(gè)類別，以及每個(gè)類別的潛在連接范圍。類別1和類別2是最常見的。
 

表格A 類別
 
        最后，兩個(gè)或者更多的piconet可以潛在連接以建立一個(gè)scatternet，如圖C所示。

圖C 一個(gè)scatternet

      藍(lán)牙安全

       
藍(lán)牙設(shè)備可以輕易的彼此互連。這也是這個(gè)標(biāo)準(zhǔn)被開發(fā)出來(lái)的目的所在。因此，許多設(shè)備生產(chǎn)商在部署藍(lán)牙時(shí)，往往只提供了連接的簡(jiǎn)易性，卻忽視了因此而暴露個(gè)人或者企業(yè)信息資產(chǎn)的巨大風(fēng)險(xiǎn)。

        藍(lán)牙標(biāo)準(zhǔn)定義了3種安全模式，如表格B所示。
 

表格B
 
        安全模式

       
被配置為安全模式1的設(shè)備沒有任何安全機(jī)制。這種類型的連接絕對(duì)不能被用于共享敏感數(shù)據(jù)。安全模式2是三種模式之中最具彈性的。一旦兩臺(tái)設(shè)備建立了一個(gè)物理信道，可以對(duì)應(yīng)用程序以及服務(wù)應(yīng)用營(yíng)運(yùn)策略，以規(guī)定所需的安全級(jí)別。

       
并非所有的應(yīng)用程序或者服務(wù)都必須使用同一安全級(jí)別。舉例來(lái)說(shuō)，一個(gè)健康組織可能會(huì)配置一個(gè)應(yīng)用程序在藍(lán)牙設(shè)備之間共享患者的信息。在這種情況下，認(rèn)證，加密，以及授權(quán)措施都應(yīng)該被使用。認(rèn)證允許一臺(tái)設(shè)備拒絕連接企圖，而加密則保護(hù)在信道中交換的數(shù)據(jù)。不過，這些設(shè)備卻可以共享一些無(wú)需加密數(shù)據(jù)傳輸?shù)墓眯畔?比如名片等)。

       
這種僅僅在需要時(shí)才使用藍(lán)牙安全措施的能力，可以幫助增強(qiáng)用戶性能優(yōu)化的相關(guān)體驗(yàn)。它同樣也可以限制連接的設(shè)備連接到某個(gè)可用服務(wù)的子集上。而授權(quán)的使用，則可以讓一個(gè)提供服務(wù)的設(shè)備根據(jù)具體的規(guī)則，允許一個(gè)連接設(shè)備使用某些服務(wù)，但卻不可以使用其他服務(wù)。

       
模式3的安全是最安全的，但是彈性不如模式2。當(dāng)使用模式3建立了一個(gè)信道后，在信道建立完畢之前，就開始了認(rèn)證協(xié)商和加密協(xié)商。之后設(shè)備之間傳輸?shù)乃行畔⒍紩?huì)被加密。但是授權(quán)將不被需要，因?yàn)橐话慵俣▋膳_(tái)設(shè)備之間如果通過模式3建立信道的話，它們彼此就是可以全權(quán)訪問對(duì)方所有可用數(shù)據(jù)以及所有服務(wù)的。

        模式2和模式3的安全級(jí)別通過一個(gè)被稱作“配對(duì)”的過程來(lái)進(jìn)行實(shí)施。具體關(guān)于藍(lán)牙安全配對(duì)的細(xì)節(jié)不在本文討論的范圍之內(nèi)。

   藍(lán)牙的漏洞

       
雖然對(duì)藍(lán)牙來(lái)說(shuō)，安全是可以使用的，但是許多的智能手機(jī)，移動(dòng)電話，以及其他設(shè)備制造商們還是選擇使用了安全模式1。另外，海量的設(shè)備都被設(shè)置成了“發(fā)現(xiàn)/對(duì)所有人可用”的模式，這會(huì)讓設(shè)備對(duì)所有的服務(wù)探查都做出回應(yīng)。這可以讓用戶迅速體驗(yàn)到使用piconet的好處，而無(wú)需去費(fèi)神擔(dān)心具體安全配置的過程。

        曾經(jīng)在一篇文章中，Alexander Gostev記述了由卡巴斯基實(shí)驗(yàn)室進(jìn)行的一場(chǎng)研究的相關(guān)結(jié)果，該研究側(cè)重于發(fā)現(xiàn)公共場(chǎng)所下藍(lán)牙設(shè)備的實(shí)際漏洞情況?？ò退够难芯筷?duì)伍參觀了倫敦的“信息安全2006”大會(huì)(InfoSecurity 2006)，目的是為了盡可能多的測(cè)試藍(lán)牙設(shè)備。

       
對(duì)Gostev而言，他們發(fā)現(xiàn)超過1000臺(tái)藍(lán)牙設(shè)備使用“對(duì)所有人可見”模式。換句話說(shuō)，這1000臺(tái)設(shè)備時(shí)刻準(zhǔn)備和其他設(shè)備建立連接。由于缺乏任何機(jī)制以阻止非法訪問，這些設(shè)備所有的數(shù)據(jù)都暴露在外，或面臨被惡意軟件快速傳播的危險(xiǎn)。所檢測(cè)的設(shè)備包括：

        移動(dòng)電話
        智能手機(jī)
        筆記本電腦
        無(wú)繩電話
        PDA
        臺(tái)式機(jī)電腦
        其他未分類的設(shè)備

        無(wú)法關(guān)閉“發(fā)現(xiàn)/對(duì)所有人可用”的模式，或無(wú)法部署起碼模式2的安全級(jí)別，可能會(huì)導(dǎo)致企業(yè)的信息遭到下述方式的泄漏：

        敏感數(shù)據(jù)可以被隨意瀏覽
        攻擊者可以盜打電話
        對(duì)相關(guān)設(shè)備可以進(jìn)行拒絕服務(wù)攻擊
        通訊錄可以被人隨意下載
        設(shè)備可能被安裝惡意軟件，以便進(jìn)一步感染其他設(shè)備，包括網(wǎng)絡(luò)上的附加設(shè)備。
        攻擊者可以安裝惡意軟件，從而獲取該設(shè)備的當(dāng)前控制權(quán)
 
        保護(hù)藍(lán)牙網(wǎng)絡(luò)

       
有許多方法可以讓一個(gè)企業(yè)來(lái)保護(hù)它的藍(lán)牙設(shè)備安全。面對(duì)各種安全挑戰(zhàn)，首要任務(wù)是要教育你的員工。買個(gè)雇員應(yīng)當(dāng)都知曉正確的使用藍(lán)牙設(shè)備的方法，以及錯(cuò)誤的做法是什么。另外，應(yīng)當(dāng)制定相關(guān)策略，以便對(duì)企業(yè)所有的無(wú)線設(shè)備以及私人所有的設(shè)備分別進(jìn)行管理。作為最低限度，一個(gè)策略應(yīng)當(dāng)解決下述問題：

        設(shè)置設(shè)備，任何連接請(qǐng)求都必須得到用戶的批準(zhǔn)
        當(dāng)不使用藍(lán)牙功能時(shí)，應(yīng)當(dāng)關(guān)閉
        不使用模式1的藍(lán)牙設(shè)備;確保僅在對(duì)可信任設(shè)備配對(duì)時(shí)才使用發(fā)現(xiàn)模式
        信任設(shè)備應(yīng)當(dāng)在安全環(huán)境中進(jìn)行配對(duì)，以遠(yuǎn)離惡意勢(shì)力的侵?jǐn)_
        在合理舉例之內(nèi)，最小化設(shè)備使用的范圍
        考慮在每臺(tái)藍(lán)牙設(shè)備上安裝反病毒軟件和個(gè)人防火墻軟件

        緊密管理

       
對(duì)企業(yè)的生產(chǎn)力工具箱而言，藍(lán)牙是非常好的一個(gè)附加工具。但是，技術(shù)團(tuán)隊(duì)必須對(duì)它有詳細(xì)的了解，而它的部署則必須進(jìn)行緊密管理。如果購(gòu)買的設(shè)備不支持正確的安全措施，或者無(wú)法讓設(shè)備暴露的危險(xiǎn)最小化，都會(huì)置整個(gè)企業(yè)的數(shù)據(jù)于危險(xiǎn)之地。