close
当前位置: 物联网在线 > 技术文库 >

解密蓝牙mesh系列 | 第八篇

蓝牙mesh网络安全性概览

为何安全性如此关键?

安全性可谓是物联网(IoT)最受关注的问题之一。从农业到医院、从智能家居到商业智能建筑、从发电站到交通管理系统,物联网系统和技术将触及我们生活的方方面面。物联网系统如果存在安全漏洞,就可能会导致灾难性的后果。

蓝牙mesh网络的安全性从设计之初就是重中之重。本文将着重分析主要的安全特性和现已被解决的安全问题。本系列的后续文章也将持续详细地介绍蓝牙mesh网络安全性的各个方面。

蓝牙mesh网络强制使能安全性

低功耗蓝牙(Bluetooth Low Energy)GATT设备可实施蓝牙核心规格中定义的一系列安全措施。产品设计人员有责任决定采取哪些安全措施,也可以决定不采用任何既有的安全特性。换句话说,低功耗蓝牙GATT的安全性配置是非强制性的。如果我们谈论的是单一设备的安全性及其与另一台设备的连接,只要产品设计师正确地进行风险评估,那么他的决定就是合理的。然而,蓝牙mesh网络中的安全性涉及的不仅是单一设备或对等设备之间的连接安全性;它关注的是整个设备网络的安全性,以及网络中各组设备的安全性。

因此, 蓝牙mesh网络中强制性使用安全性。

蓝牙mesh网络安全性的基本概念

以下基本的安全性说明适用于所有蓝牙mesh网络:

“”

安全分级考量与安全密钥

蓝牙mesh安全性的核心是三类安全密钥。这些密钥为mesh网络的不同方面提供了安全性,并实现了蓝牙mesh网络安全性中的关键性能,即“安全分级考量”。

以可用作中继(Relay)节点的mesh照明灯为例,它能够作为中继,处理与楼宇中蓝牙mesh门窗安全系统相关的消息。照明灯完全不涉及对这些消息内容细节的访问和处理,但却会将消息中继至其他节点。

为处理这种潜在的利益冲突,蓝牙mesh采用称为“应用密钥(AppKey) ”的安全密钥来保护应用层消息,它不同于用于保护特定应用(如照明、物理安全、温控等)相关数据安全的密钥。

蓝牙mesh网络中的所有节点都拥有一个或多个网络密钥(NetKey),每个网络密钥对应一个子网,它也可能是主要子网。节点必须拥有网络密钥,才能成为网络中的成员。网络加密密钥(Encryption Key)和隐私密钥(Privacy Key)直接源于网络密钥。

拥有NetKey让节点能够对网络层的数据进行解密和验证,以便执行诸如中继等网络功能。但应用程序数据不可被解密。

每个节点还拥有一个唯一的安全密钥,称为设备密钥(DevKey),用于节点的启动配置(Provisioning)和配置流程。

区域隔离

节点拥有了主要NetKey ,就意味着它具备了蓝牙mesh网络成员资格和访问权限。但也可以将网络划分成不同的子网,每个子网都有自己的子网密钥。这意味着只有拥有指定子网密钥的设备才能与该子网中的其他成员设备进行通信。也可以临时创建并分配子网密钥,例如,酒店中位于不同客房的节点的隔离。

节点移除、密钥刷新与垃圾桶攻击

如上所述,节点包含各种蓝牙mesh安全密钥。如果一个节点发生故障并需要处理,或者如果所有者决定将节点出售给其他人,那么重要的是确保该设备及其所包含的密钥不会被盗用,避免向节点原本所在的网络发动攻击。

“”

蓝牙mesh网络确保设备可被安全地进行丢弃处理

从网络中删除节点的程序现已有明确定义。通过启动配置设备(Provisioner)应用程序,可将节点添加至黑名单,然后启动密钥刷新程序(Key Refresh Procedure)。

密钥刷新程序会向网络中除黑名单成员以外的所有节点发放新的网络密钥、应用密钥、以及所有相关的派生数据。也就是说,构成网络和应用程序安全性基础的整套安全密钥将被替换。

因此,已从网络中移除的、包含原有NetKey 和AppKey的节点将不再是网络成员,换句话说,上述这些不被授信的节点将从网络当中剔除出去,因此也无法再构成威胁。

隐私

由NetKey导出的隐私密钥(Private Key)用于对网络PDU (Payload Data Unit) 的报头值进行模糊化,例如源地址(source address)。模糊化可以确保无法通过随机的被动窃听来跟踪节点及其使用者,也使得基于流量分析的攻击难以实施。

中继攻击


(责任编辑:ioter)

用户喜欢...

蓝牙网状网络中的设备管理

蓝牙网状网络就像一个俱乐部。如果您是俱乐部会员,则可以进入俱乐部并使用您的会员类型允许的设施和服务。如果你不是,不管你怎么说,你都不能进门。 蓝牙网状设备可以是或者不是...


蓝牙mesh | “三大法宝“让你的网络无懈可击

随着我们越来越深入物联网(IoT)领域,无论是新技术还是现有的技术,对安全这一问题的关注从未停止过。如果用户和提供商数据存在任何风险,那么灵活性、能源效率和互通性等优势便无...


解密蓝牙mesh系列 | 第十篇

在本文的Part1中,我介绍了启动配置承载层(provisioning bearer layer)和蓝牙mesh启动配置流程的前三个阶段:发送Beacon信号、邀请和交换公共密钥。 启动配置流程包括五个阶段: 1、发送Beacon信号...


解密蓝牙mesh系列 | 第七篇

市场上的低功耗蓝牙设备 低功耗蓝牙 低功耗蓝牙(Bluetooth Low Energy)是一项相当成功的无线技术。如今已经很难找到不支持低功耗蓝牙的智能手机或平板电脑了。可以说它是可穿戴技术兴起...


解密蓝牙mesh系列 | 第六篇

蓝牙mesh网络好比是一个VIP俱乐部。如果您是这个俱乐部的会员,就可以随意进入,享受与会员类别相对应的设施和服务。如果您不是会员,便无论如何也过不了门卫这一关。 蓝牙mesh设备有可...


百度云RSA解密加速服务

RSA算法是一种最广为使用的“非对称加密算法”,一般公钥/私钥长度越长,安全性就越好,计算也越复杂。百度云https改造中应用了RSA 2048加解密算法,针对高计算复杂度的RSA解密任务,我...


【原创深度】蓝牙扩展了开源应用

得益于开源软件的成功经验,Arduino开创了开源硬件(OSHW)模型,鼓励业余和专业工程师去学习、修改、宣传、制作和销售其设计的公开可用硬件产品。开源硬件在个人和商业应用中的作用借...


解密蓝牙mesh系列 | 第二篇

在本系列的第一篇中,我们介绍了全新的蓝牙mesh网络技术。如果您还未阅读第一篇,建议先从头阅读,然后再进入第二篇。 本篇将介绍蓝牙mesh网络的基本概况,包括大型mesh网络中的消息传...


基于DSP与FPGA的蓝牙数据采集系统设计

作者: 杨勇 杨润生 刘品 基于DSP与FPGA的蓝牙数据采集系统设计,数据采集系统广泛地应用于工业、国防、图像处理、信号检测等领域。DSP处理器是一种高速的数字信号处理器 数据采集系统广...


新型视频压缩技术大解密

介绍在 2014年NAB大会上所展出的所有与视频压缩和SMPTE 2022有关的产品。如果您正在开发高清晰度视频产品,相信这篇博客会对您有所帮助 数字视频的优点是,使用数字视频流可完成多项任务...