如何保证蓝牙使用的安全性?

作为技术新闻的爱好者，您可能偶尔会看到有关蓝牙安全性的文章。比如，耸人听闻的“重大蓝牙安全漏洞使数百万台设备面临风险”或“蓝牙漏洞使您容易受到攻击”之类的头条新闻。咋听起来，就像蝗灾一样。由此，概述了该如何确保蓝牙使用的安全性。

安全研究社区与SIG之间的合作

通常被忽视的事实是，安全研究社区与蓝牙特殊利益组织（SIG）之间建立了有计划的，有目的的协作关系，该组织是监督蓝牙技术使用安全的非营利性贸易协会。

蓝牙SIG鼓励社区积极审查规范，这些规范均可公开审查。

查找和暴露这些错误是在实验室环境中的特殊条件下执行的艰苦过程。

使用我们所依赖的任何技术，对安全性的担忧已超过保证，而且Bluetooth SIG及其成员也保持警惕以防恶意行为。

我们认为安全性对于没有电线的世界至关重要，这正是我们如此努力改善蓝牙技术的安全性的原因。

我们认为，与安全研究界的合作对于整个蓝牙技术的不断进步和改进至关重要。让我们更深入地研究Bluetooth SIG如何实现安全性。

蓝牙技术的发展

在我们20多年的历史中，Bluetooth SIG与其成员公司合作，使Bluetooth技术成为事实上的低功耗无线标准。根据2020年蓝牙市场更新，今年将有46亿台使用蓝牙技术的设备出货。

我们已经确保蓝牙技术可以从简单但出色的无线音频配对解决方案发展到智能建筑，智能产业和智能城市等新兴市场的物联网中智能自动化的基础。

为了提供卓越的蓝牙连接性，我们与会员社区中的近36，000家公司合作，每个公司都将蓝牙技术用作各种应用程序的连接组织。

传统产业和新兴产业的增长以及维持它们所需的联网设备的爆炸式增长意味着，安全性必须始终是技术专业人员的首要考虑因素。但是，安全性实施既不是交钥匙的，也不是一刀切的。要使蓝牙技术真正无处不在-不可能。

因为蓝牙无处不在，但实际上不可能无处不在。

蓝牙无处不在是蓝牙SIG制定了三管齐下的方法来优先考虑安全性和保护蓝牙技术的原因。

该方法解决了蓝牙规范和接口中的安全问题，为蓝牙SIG成员提供了持续的安全培训。教育部分涉及蓝牙安全响应程序。它还经过专门设计，为蓝牙技术的不断创新和迭代留出了空间。

没有技术是完美的。通过解释蓝牙SIG安全流程的范围和意图，我们希望为有关蓝牙安全的叙述提供一个教育性的视角，并将其从一个以恐慌为标题的新闻中占主导地位的内容转移到一个对我们的安全过程透明的内容中，从而继续增强现有的安全性。保护并引入新的安全措施，以满足连接领域不断发展的要求。

所有蓝牙设备的基本组成部分

要了解安全性，重要的是要了解蓝牙技术的组成部分-蓝牙规格。

本质上，规范是开发人员用来在蓝牙设备之间建立连接和互操作性的要求。除了音频流和简单的数据传输外，蓝牙的更多用例已经出现，涵盖了所有应用程序中的设备网络和定位服务。蓝牙的应用包括工业资产跟踪到商业照明。

随着蓝牙规范的扩展，它们所包含的安全措施也必须扩展。

最突出的蓝牙规范是核心规范，它定义了开发人员用来创建构成蓬勃发展的蓝牙生态系统的可互操作设备的基本构造块。

但是，还有超过100个其他配置文件和协议规范，它们定义了如何构建从可互操作的蓝牙耳机到创建用于照明控制的大规模蓝牙网状设备网络的所有内容。

开发人员指南

开发人员遵循每个规范中的指导原则，以根据其产品设计的需要来适应其实现。

每个规范都有其自己的技术和工具，可让开发人员解决其产品的安全预防措施并确保蓝牙设备之间的通信安全。

您可以将其视为开发人员可以选择以为其产品实施适当安全级别的工具箱。低功耗蓝牙产品开发人员可以使用的一些安全功能包括：

防止被动窃听

防范中间人（MITM）攻击

使用AES-CCM加密技术在两个低功耗蓝牙设备之间进行加密通信

隐私和身份跟踪保护

完整的列表可在Bluetooth最佳实践指南中找到，此处的所有成员均可使用。

安全评论

尽管在开发过程中对规范进行安全审查，但SIG的36，000名成员中的每个成员都需要为其实施所需的最佳安全选项。

例如，工厂中启用了蓝牙的状态监视系统与无线鼠标相比，将需要明显不同的安全功能。开发人员可以自行选择要在其蓝牙产品中实现的必要安全功能。

使蓝牙规范提供这些选项和灵活性是使蓝牙技术在众多可用的低功耗无线技术中独树一帜的魔力。

这些选项使成员可以自由地为其产品选择最佳的安全功能，但这也意味着成员可能会选择对其应用程序不够的安全或隐私功能。这导致我们进入第二部分-教育。

教育：设计，开发和部署安全蓝牙设备的工具

为了帮助成员为他们的应用选择合适的安全选项，Bluetooth SIG定期发布学习指南，培训视频和各种其他教育材料。

这些教育材料说明了为什么某些安全选项在特定应用中比其他安全选项更有效。他们还解释了每个规范中的常见安全风险以及如何最好地避免这些风险。

常见的实施最佳做法包括：

遵循最新版本的蓝牙规范，以确保开发人员拥有最新指南

记录产品设计的安全性要求，以便在实施中使用适当的安全性

测试和审核实施的安全功能

确保UX界面向用户提供有关任何安全或隐私问题的适当通知

在面向外部数据源（尤其是无线数据源）的任何接口的开发中加强安全编码实践

这些教学材料为会员指明了正确的方向，而蓝牙技术是一种开放的全球标准。蓝牙SIG及其成员在安全研究界的帮助下，共同负责生产安全的蓝牙设备和应用程序。

社区：共享蓝牙安全责任

蓝牙SIG与安全研究界建立了长期的合作关系。这种工作关系过程的一部分是鼓励通过蓝牙安全响应计划对技术进行持续审查并报告规范范围内的漏洞。

响应计划可确保在我们的成员组织中调查，解决和传达报告的漏洞。

例如，去年，洛桑联邦理工学院（EPFL）的研究人员帮助揭露了与蓝牙BR / EDR连接中的配对有关的缺陷。

提交缺陷报告后会发生什么？

一旦报告，Bluetooth SIG便会迅速修复该漏洞-为成员提供建议，以在集成核心规范的同时彻底整合所有必要的补丁程序-并迅速更新。

EPFL，Bluetooth SIG及其成员之间的合作确保了持续改进和技术安全性。

诸如此类的关系使我们能够快速解决由于蓝牙技术的新发展而引起的任何安全问题。

小结

蓝牙技术的潜力和力量不断增长。每年都有数十亿台新的支持蓝牙的设备出货，蓝牙无线技术与我们的生活息息相关。

蓝牙是使我们彼此之间以及与我们周围世界联系在一起的东西。

随着社区不断扩展蓝牙技术的功能-重点是确保我们的蓝牙通信保持安全。
责任编辑:tzh