TimeTec BLE和IoT产品系列的蓝牙安全措施
什么是蓝牙?
蓝牙是一种无线电无线电规范,旨在取代电缆作为电子设备之间数据和语音信号的媒介。该规范由由1000多家制造商组成的蓝牙特别兴趣小组定义。它主要用于移动设备和优先设计,以实现小尺寸,低功耗和低成本。
蓝牙是一种无线电无线电规范,旨在取代电缆作为电子设备之间数据和语音信号的媒介。该规范由由1000多家制造商组成的蓝牙特别兴趣小组定义。它主要用于移动设备和优先设计,以实现小尺寸,低功耗和低成本。
什么是蓝牙低功耗(BLE)?
蓝牙低功耗(BLE)是传统蓝牙技术的增强版本。 BLE近来在IT和移动行业中被大量讨论。近年来,BLE应用在卫生保健,智能家居自动化,安防,零售,仓储,广告等各个行业都有大量应用。
与传统蓝牙相比,BLE节能环保,可用于各种应用。例如,BLE无线协议允许任何附近的BLE兼容设备与智能手机,平板电脑或智能手表进行通信以触发应用程序中的功能。例如,要使用智能手机锁定或解锁门,使用智能手表监控心跳,或使用智能手机应用跟踪丢失的物品,如钥匙或钱包。
| 经典蓝牙和蓝牙低功耗(BLE) |
| 总之,蓝牙和BLE用于非常不同的目的。蓝牙可以处理大量数据,但会很快消耗电池寿命,而且成本更高。另一方面,BLE用于不需要交换大量数据的应用,因此可以以更低的成本在电池电力上运行数年。 BLE 4.0在2011年首次上市,其次是2013年的BLE 4.1和2014年的BLE 4.2。 BLE 4.2提供高达1 Mbps的数据速率,而消耗的功率仅为0.01至0.5瓦,是Classic Classic速度的三分之一,功耗仅为一半。 以下是蓝牙比较的清晰画面: |
|
|
|
|||||||||
| 网络拓扑结构 | 分散网 | 星巴士 | |||||||||
| 能量消耗 | 低(小于30 mA) | 非常低(小于15 mA) | |||||||||
| 速度 | 700 Kbps | 1 Mbps | |||||||||
| 范围 | <30 m | 50米(开阔场地150米) | |||||||||
| 射频频段 | 2400 MHz | 2400 MHz | |||||||||
| 频道 | 从2.400 GHz到2.4835 GHz的79个通道,间隔为1 MHz | 从2402MHz到2480MHz的40个通道(包括3个广告和37个数据通道) | |||||||||
| 调制 | GFSK(调制指数0.35),π/ 4 DQPSK,8DPSK | GFSK(调制指数0.5) | |||||||||
| 两台设备之间的数据传输延迟 | 约。 100毫秒 | 约。 3毫秒 | |||||||||
| 传播 | FHSS(1MHz频道) | FHSS(2MHz频道) | |||||||||
| 链接层 | TDMA | TDMA | |||||||||
| 消息大小(字节) | 358(最大) | 8至47 | |||||||||
| 错误检测/校正 | 8位CRC(报头),16位CRC,2/3 FEC(有效载荷),ACK | 24位CRC,ACK | |||||||||
| 安全 | 64b / 128b,用户定义的应用程序层 | 128位AES,用户定义的应用层 | |||||||||
| 应用程序吞吐量 | 0.7至2.1 Mbps0.7 to 2.1 Mbps | 小于0.3 Mbps | |||||||||
| 节点/活动从站 | 7 | 无限 | |||||||||
BLE的主要功能是什么?
| 能量消耗低,传感器可以在纽扣电池上运行一年以上 |
| 在新产品和现有产品中实施成本较低 |
| 使用加密连接传输多个数据流时更安全 |
| 无线范围可根据需要进行优化,适用于任何应用 |
| 具有有限延迟要求的大量通信节点 |
| 通过扫描和连接BLE传感器很容易使用 |
| 全球标准由大多数硬件制造商和行业支持 |
| 允许多个供应商互操作性的兼容性 |
| 比可穿戴设备中使用的传统蓝牙体积更小。 |
| 可以与其他类型的无线技术共存 |
| 可以使用位置智能实时跟踪项目 |
| 可以根据店内行为发送促销优惠通知 |
BLE的威胁是什么?
BLE为用户提供了许多优点和便利,但它确实带来了风险。蓝牙技术和相关设备容易受到诸如拒绝服务攻击,窃听,中间人(MITM)攻击,信息修改和资源盗用等一般无线网络威胁的影响,并且还受到更具体的蓝牙相关的威胁攻击如下:
蓝劫
这是攻击者向蓝牙设备发送未经请求的消息或名片的过程,主要用于广告目的。劫持行为类似于针对电子邮件用户进行的垃圾邮件和网络钓鱼攻击。当一个有害的意图发送bluejacking消息时,它可能会诱使用户做出响应,将新联系人添加到设备的地址簿中。蓝牙设备所有者应当意识到,这可能会导致各种社会工程学攻击,其中它会操纵用户执行操作或泄露机密信息。设置为不可发现模式的设备不容易发生蓝牙劫持,并且为了使蓝牙劫持发挥作用;发送和接收设备必须在10米范围内。
这是攻击者向蓝牙设备发送未经请求的消息或名片的过程,主要用于广告目的。劫持行为类似于针对电子邮件用户进行的垃圾邮件和网络钓鱼攻击。当一个有害的意图发送bluejacking消息时,它可能会诱使用户做出响应,将新联系人添加到设备的地址簿中。蓝牙设备所有者应当意识到,这可能会导致各种社会工程学攻击,其中它会操纵用户执行操作或泄露机密信息。设置为不可发现模式的设备不容易发生蓝牙劫持,并且为了使蓝牙劫持发挥作用;发送和接收设备必须在10米范围内。
Bluesnarfing
这是强制与蓝牙设备建立连接以访问存储器中存储的数据(如联系人列表,日历,电子邮件,短信,图片,视频和国际移动设备标识(IMEI))的方法。这是保密性和完整性的威胁。由于敏感信息可能通过bluesnarfing从设备上窃取,与bluejacking相比,它更加恶意,尽管它们都是在没有所有者知识的情况下利用设备的蓝牙连接。通过将设备的蓝牙设置为不可发现模式,该设备变得不太容易受到bluesnarfing的影响,尽管它可能仍然通过强力攻击bluesnarf-able。
这是强制与蓝牙设备建立连接以访问存储器中存储的数据(如联系人列表,日历,电子邮件,短信,图片,视频和国际移动设备标识(IMEI))的方法。这是保密性和完整性的威胁。由于敏感信息可能通过bluesnarfing从设备上窃取,与bluejacking相比,它更加恶意,尽管它们都是在没有所有者知识的情况下利用设备的蓝牙连接。通过将设备的蓝牙设置为不可发现模式,该设备变得不太容易受到bluesnarfing的影响,尽管它可能仍然通过强力攻击bluesnarf-able。
Bluebugging
这种方法是在蓝牙攻击和蓝牙攻击发生后开发的,它允许攻击者远程访问蓝牙设备并使用其功能,如阅读电话簿,检查日历,连接到互联网,拨打电话,窃听电话通过呼叫转移和发送消息而不用用户的知识。与所有攻击一样,攻击者必须距离设备10米内。
这种方法是在蓝牙攻击和蓝牙攻击发生后开发的,它允许攻击者远程访问蓝牙设备并使用其功能,如阅读电话簿,检查日历,连接到互联网,拨打电话,窃听电话通过呼叫转移和发送消息而不用用户的知识。与所有攻击一样,攻击者必须距离设备10米内。
Bluesmack
这是一种蓝牙拒绝服务(DOS)攻击,其中蓝牙设备被攻击者的恶意请求淹没,导致它无法被其拥有者和设备的电池耗尽,影响设备在攻击后持续运行。由于蓝牙连接所需的接近度,用户可以将设备移动到新的位置以防止发生攻击。
这是一种蓝牙拒绝服务(DOS)攻击,其中蓝牙设备被攻击者的恶意请求淹没,导致它无法被其拥有者和设备的电池耗尽,影响设备在攻击后持续运行。由于蓝牙连接所需的接近度,用户可以将设备移动到新的位置以防止发生攻击。
关于安全蓝牙使用的提示
您可能已经在使用蓝牙技术与移动电话耳机进行通信,或者将您的计算机连接到光学鼠标,因为所有这些技术都很好,攻击者正在设法利用这些功能。使用以下提示来帮助保持蓝牙设备的安全。
不使用时关闭“可发现”模式
您设备上的“可发现”模式仅用于“配对”两个支持蓝牙的设备。当配对过程完成后,“可发现”模式可以关闭,因为设备应该记得彼此。
您设备上的“可发现”模式仅用于“配对”两个支持蓝牙的设备。当配对过程完成后,“可发现”模式可以关闭,因为设备应该记得彼此。
不要通过蓝牙发送敏感信息
避免使用支持蓝牙的设备传递或传输敏感信息和个人信息,因为它可能会被嗅探。
避免使用支持蓝牙的设备传递或传输敏感信息和个人信息,因为它可能会被嗅探。
使用强密码
这是在配对蓝牙设备时随机生成的,并且在出乎意料地提示输入密码时不会输入密钥。
这是在配对蓝牙设备时随机生成的,并且在出乎意料地提示输入密码时不会输入密钥。
从配对的设备列表中删除丢失或被盗设备
始终保持设备的物理控制。
始终保持设备的物理控制。
避免接受手机或设备上收到的未知附件或应用程序
如果你不期待它,不管它有多合理。如果您的设备要求配对并且您没有启动配对,请拒绝并检查您的“可发现”设置是否设置为“关闭”或“隐藏”。
如果你不期待它,不管它有多合理。如果您的设备要求配对并且您没有启动配对,请拒绝并检查您的“可发现”设置是否设置为“关闭”或“隐藏”。
我们采取了什么安全措施?
为了确保我们的物联网设备和手机之间的所有流量,TimeTec添加了高级加密标准(AES)加密。
AES在AES比赛评估过程中于2001年由美国国家标准与技术研究院(NIST)发布。 Rijndael是比赛的胜利者,NIST选择它作为AES的算法。从2001年开始,AES已被美国政府采纳,现在正在全球范围内使用。它取代了1977年发布的数据加密标准(DES)。AES描述的算法是一种对称密钥算法,这意味着对数据进行加密和解密时使用相同的密钥。 AES被认为是安全的,非常快速和紧凑的,大约1kB的代码,其块大小是32的倍数(通常是128比特),其密钥长度也是32的倍数(通常为128,192或256比特),它有一个非常整洁的代数描述。
AES加密用于对蓝牙设备之间交换的信息进行编码,使窃听者无法读取其内容。因此,TimeTec物联网设备和手机之间发送的内容是安全可靠的。除了数据加密之外,我们还调整了物联网设备的蓝牙范围或蓝牙天线,以适应特定的使用情况,并防止有人在我们的物联网设备上进行Bluesnarfing。例如,如果智能手机连接到BLE门锁,该人员必须距离物联网设备1-2米内,以防止入侵者从角落窃听。
简而言之,蓝牙技术特别是BLE对于企业和消费者来说是一个很好的补充。但是,所有用户都必须了解其使用所涉及的技术和风险,因此可以降低风险以获得更好的用户体验。
凭借其低能量功能,了解更多关于蓝牙安全的信息
为了确保我们的物联网设备和手机之间的所有流量,TimeTec添加了高级加密标准(AES)加密。
AES在AES比赛评估过程中于2001年由美国国家标准与技术研究院(NIST)发布。 Rijndael是比赛的胜利者,NIST选择它作为AES的算法。从2001年开始,AES已被美国政府采纳,现在正在全球范围内使用。它取代了1977年发布的数据加密标准(DES)。AES描述的算法是一种对称密钥算法,这意味着对数据进行加密和解密时使用相同的密钥。 AES被认为是安全的,非常快速和紧凑的,大约1kB的代码,其块大小是32的倍数(通常是128比特),其密钥长度也是32的倍数(通常为128,192或256比特),它有一个非常整洁的代数描述。
AES加密用于对蓝牙设备之间交换的信息进行编码,使窃听者无法读取其内容。因此,TimeTec物联网设备和手机之间发送的内容是安全可靠的。除了数据加密之外,我们还调整了物联网设备的蓝牙范围或蓝牙天线,以适应特定的使用情况,并防止有人在我们的物联网设备上进行Bluesnarfing。例如,如果智能手机连接到BLE门锁,该人员必须距离物联网设备1-2米内,以防止入侵者从角落窃听。
简而言之,蓝牙技术特别是BLE对于企业和消费者来说是一个很好的补充。但是,所有用户都必须了解其使用所涉及的技术和风险,因此可以降低风险以获得更好的用户体验。
凭借其低能量功能,了解更多关于蓝牙安全的信息
TimeTec © 2024, All Rights Reserved