當前位置:首頁 > 物聯(lián)網(wǎng) > 網(wǎng)絡(luò)層
[導讀]安全性是設(shè)計物聯(lián)網(wǎng)(IoT)應(yīng)用時面臨的最大挑戰(zhàn)之一。由于物聯(lián)網(wǎng)設(shè)備通過無線方式進行通話,因此一切控制和狀態(tài)信息以及私人用戶數(shù)據(jù)都可能會暴露于風險之中。不安全的物聯(lián)網(wǎng)設(shè)備可能會使人員生命和財產(chǎn)面臨風險,而不是帶來更便捷的生活。

安全性是設(shè)計物聯(lián)網(wǎng)(IoT)應(yīng)用時面臨的最大挑戰(zhàn)之一。由于物聯(lián)網(wǎng)設(shè)備通過無線方式進行通話,因此一切控制和狀態(tài)信息以及私人用戶數(shù)據(jù)都可能會暴露于風險之中。不安全的物聯(lián)網(wǎng)設(shè)備可能會使人員生命和財產(chǎn)面臨風險,而不是帶來更便捷的生活。試想一下,有人可以攻擊家庭照明控制系統(tǒng),跟蹤到用戶何時在家,然后闖入家中?;蛘哂腥丝梢酝ㄟ^偽造您的身份,然后開啟您的智能鎖。

為保障物聯(lián)網(wǎng)設(shè)備的安全性,需要進行以下三項部署:

對未經(jīng)授權(quán)的設(shè)備隱藏設(shè)備身份的機制 - 身份保護對于保護用戶免受破壞者跟蹤其物理位置至關(guān)重要。如果沒有足夠的保護,物聯(lián)網(wǎng)設(shè)備會使用戶面臨隱私泄露以及潛在的生命或財產(chǎn)威脅。這一情況類似于有人根據(jù)您的汽車注冊編號對你進行跟蹤。

防止被動竊聽- 被動竊聽是指收聽兩臺設(shè)備之間私人通信的過程。被動竊聽者靜靜地聽取通信,但不會更改數(shù)據(jù)。

防范中間人攻擊 - 中間人(MITM)攻擊是所有安全威脅中最為嚴重的一種情況。在這種情況下,稱為MITM攻擊者的第三臺設(shè)備不僅可以監(jiān)聽兩臺設(shè)備之間的私密通信,還可以模仿其中任意一臺設(shè)備并更改數(shù)據(jù)。

對未經(jīng)授權(quán)的設(shè)備隱藏設(shè)備身份

BLE設(shè)備使用48位地址,如果該地址可被另一臺設(shè)備解碼,則后者可對前者實時跟蹤。BLE使不可信設(shè)備難以通過頻繁更改地址來實施跟蹤。以上是通過使用僅可信設(shè)備可用的身份解析密鑰(IRK)實現(xiàn)的。對鏈路進行加密后,可信設(shè)備之間可在配對過程中共享IRK。然后將其作為綁定過程的一部分存儲在內(nèi)部。這一類型的地址稱為可解析私有地址(RPA)。

可解析私有地址包含兩個組件 - 24位hash和24位prand。hash是IRK函數(shù),prand則由22位隨機數(shù)和兩個固定的MSB(最高有效位)組成。

隨機產(chǎn)生的22位prand不能所有位都為'1'或'0'。之后,使用IRK和prand作為加密函數(shù)'e'的輸入變量計算hash。

Hash = e(IRK,prand),截斷為24位

設(shè)備IRK是一組128位數(shù)字。通過104位填充連接,其中填充位設(shè)置為‘0’,使得prand的大小與IRK一致。原始prand的LSB(最低有效位)在填充后依然是prand的LSB。生成后的hash將與prand連接從而生成RPA。

為解析RPA,需要使用在廣告包中接收的prand和在配對過程中接收的IRK生成本地hash。然后將這一本地hash與地址中的hash進行比較。如果匹配,則可解析地址。由于一臺設(shè)備可存儲來自多臺設(shè)備的IRK,因此可使用存儲的每一個IRK逐個計算本地hash值,直至匹配為止。

BLE 4.2及更高版本允許該地址最快可每秒更改一次,最長更改間隔為11.5小時,這稱為RPA超時。RPA更改的頻次越高,對設(shè)備實施跟蹤就越困難。

防止被動竊聽

假設(shè)在一次會議中,交談中有兩個人突然切換到與會的其他人難以聽懂的他們的母語,那么,將會發(fā)生什么情況?事實上通過這一方式,他們讓這一部分對話免受被動竊聽。類似地,BLE設(shè)備使用共享密鑰對鏈路進行加密。因此,沒有秘鑰的設(shè)備將無法理解鏈路加密之后設(shè)備之間的對話。保護強度取決于鑰匙強度–即獲取或猜測鑰匙的難易程度。

BLE(4.2或更高版本)使用符合美國聯(lián)邦信息處理標準(FIPS)的Elliptic Curve Diffie-Hellman(ECDH)算法來生成和交換密鑰。之后,這些密鑰用于生成其他密鑰,也稱為DHKey共享密鑰。再之后,可通過DHKey共享密鑰對鏈路進行加密或生成另一組密鑰對鏈路進行加密。

在BLE設(shè)備中,這一安全通信的基礎(chǔ)是在配對過程中建立的。配對過程分為三個階段:

在第1階段,配對過程中涉及的兩臺設(shè)備發(fā)送配對請求和響應(yīng)以及配對參數(shù),其中包括設(shè)備的性能和安全要求。在此之后,兩臺設(shè)備將根據(jù)交換參數(shù)的值選擇配對方式。

第2階段涉及設(shè)備身份驗證和鏈路加密。該階段建立的安全性環(huán)境可確保設(shè)備不受被動竊聽和MITM攻擊。

如前所述,為防止被動竊聽,BLE使用符合FIPS標準的ECDH算法,使設(shè)備能夠在不安全的信道上建立共享密鑰,然后使用該秘鑰或其衍生秘鑰對鏈路進行加密。

為便于理解ECDH算法的工作原理,我們給出了非常經(jīng)典的Alice和Bob示例(參見圖5)。Alice和Bob希望建立一個安全的通信鏈路,然而他們正在通信的信道正在被第三方Eve竊聽。

1.Alice和Bob生成了他們自己的私鑰和公鑰,其中私鑰d是從[1到n-1]的隨機數(shù),并通過將d乘以G, dG獲得公鑰Q。

假設(shè)Alice的私鑰和公鑰是dA和QA = dAG,Bob的私鑰和公鑰分別是dB和QB = dBG。

2.Alice和Bob在不安全的頻道上互相分享他們的公鑰QA和QB,而該信道正在被Eva竊聽。Eve可以攔截QA和QB,但她無法確定私鑰。

3.Alice使用自己的私鑰QBdA計算共享密鑰,Bob則使用QAdB計算共享密鑰。請注意,共享密鑰是相同的。

S = QBdA = (dBG)dA = (dAQ)dB = QAdB

4.現(xiàn)在,Alice和Bob可使用該共享密鑰保護其通信,或使用該共享密鑰生成另一個密鑰。而Eve則無法計算該密鑰,因為她僅僅知道QA和QB。

以上示例假設(shè)Alice和Bob都使用相同的域參數(shù)。在LE Secure(低功耗安全)連接的情況下,兩臺設(shè)備默認遵循FIPS標準的P-256 ECDH機制。

一旦兩臺BLE設(shè)備成功生成共享密鑰,它們就會生成長期密鑰(LTK)和MAC(介質(zhì)訪問控制)密鑰。MAC密鑰用于確認生成的密鑰是否正確。成功確認后,兩臺設(shè)備都將使用LTK對鏈路進行加密。請注意,該LTK永遠不會通過無線共享,因此被動竊聽者將無法計算LTK,竊聽者也將無法攔截兩臺設(shè)備之間交換的信息。

雖然ECDH提供的安全性保護可防止被動竊聽,但卻并不能阻止設(shè)備免受MITM攻擊。為防止MITM攻擊,基于設(shè)備的I / O功能,BLE使用身份驗證作為配對過程第2階段的一部分。

關(guān)于作者:

Pushek Madaan現(xiàn)任職于賽普拉斯半導體印度公司,擔任高級應(yīng)用工程師。他主要使用C語言和匯編語言設(shè)計用于模擬和數(shù)字電路的嵌入式系統(tǒng)應(yīng)用,同時使用C#開發(fā)GUI(圖形用戶界面)。

Sachin Gupta現(xiàn)任職于賽普拉斯半導體公司物聯(lián)網(wǎng)業(yè)務(wù)部,擔任資深產(chǎn)品營銷工程師。他擁有德里洲際大學(Guru Gobind Singh Indraprastha University)電子與通信學士學位。Sachin在SoC應(yīng)用開發(fā)和產(chǎn)品營銷方面擁有9年的經(jīng)驗。

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉