吴夷 秦丽平 李敏 黄寅寅 浙江省医疗器械检验院 (浙江 杭州 310000)
1995年,爱立信公司提出了蓝牙概念。1998年5月,以爱立信、诺基亚、东芝、IBM和因特尔公司为主的特别兴趣组织SIG(Special Interest Group)指定了短距离无线通信协议,联合宣布了一项名为蓝牙(Bluetooth)的技术[1]。
微软、3COM、朗讯和摩托罗拉于1999年加入SIG,并与原先的5个发起成员一同成为了SIG的领导成员。
蓝牙作为一种无线技术标准,用于设备间及与个人域网之间的短距离数据交换。蓝牙使用2400~2483.5MHz的ISM(Industrial,Scienti fi c & Medical)波段的无线电波。
蓝牙和WiFi有些类似的应用,如设置网络、打印、传输文件。WiFi,作为无线局域网(WLAN),主要用于替代工作场所一般局域网接入中使用的高速线缆。WiFi的优势是建网时间短,组网灵活,容易延展网络,数据传输快。WiFi适用于一些能够进行稍复杂的客户端设置和需要高速的应用。而蓝牙作为无线个人域网(WPAN)或者说微微网,主要用于便携式设备及其应用,可以替代便携式设备的线缆。其优势是体积小、功耗低、成本低、兼容性广、开放性强,可同时进行语音信号和数据的传输,具有较强的抗干扰能力。蓝牙适用于两个设备通过最简单的配置进行连接的简单应用。
蓝牙在移动医疗中的推广得益于蓝牙4.0技术规范的推出。2010年6月30日,SIG正式推出蓝牙4.0技术规范,主打低功耗性能,可将所有支持蓝牙连接的设备互联并且还有向上连接至电脑进而与整个互联网相连。2013年和2014年又推出了4.1和4.2版本。结合蓝牙模块成熟、体积小、成本低等特性,广泛用于设备和终端的连接和数据交换,适合于移动医疗的要求。特别对于可穿戴设备而言,其应用优势更是明显。而WiFi通过互联网连接上安装访问点来创造。在热点覆盖的区域,使用支持WiFi连接的设备便可随时联网,但随之而来,数据安全性也广受怀疑,这是移动医疗在应用中不得不考虑的一个因素[2]。2017年10月,用于保护WiFi安全的WPA/WPA2加密协议漏洞曝光,该漏洞名称为“密钥重装攻击”KRACK,几乎影响全部计算机、手机和路由器等WiFi设备。11月又有新零日WiFi漏洞被发现。
NFC是Near Field Communication的简称,中文名为“近场通信”,是一种短距离的高频无线通信技术。它是由免接触式射频识别(RFID)演变而来,并向下兼容RFID,其允许电子设备之间非接触式点对点进行短距离的数据传输。NFC略胜蓝牙的地方在于设置程序较短。蓝牙功能是在配对后进行数据的传输;而NFC不必配对,直接可以传输。
相比NFC,蓝牙更适合移动医疗的重要因素是使用距离,对比NFC的10cm,蓝牙就远得多了,并且传输速度也高于NFC。
蓝牙应用于移动医疗,在带来极大便利的同时,也必须考虑其安全性。蓝牙标准中指定了三个基本的安全服务。
认证:基于蓝牙设备地址,验证正在通信的设备的身份。蓝牙设备的认证过程采用挑战/响应方案的形式。挑战/响应协议通过检查蓝牙链路密钥验证设备。蓝牙标准允许进行单向和相互认证。对于相互认证,验证方与申请方交换角色重复认证过程。如果认证失败,蓝牙设备在进行一个新的尝试前等待一段时间。这个时间间隔按指数增加。
机密性:通过确保设备在被允许使用一项服务之前是已经被授权的,来允许其对资源的控制。蓝牙提供了一个单独的保密服务,以防止在蓝牙设备之间企图窃听包交换数据的有效载荷。蓝牙有三种加密模式:对任何流量无加密;基于单独链路密钥,使用加密密钥加密单独编址的流量,不对广播流量加密;基于主链路密钥,使用加密密钥对所有流量进行加密。
授权:通过确保允许设备使用服务前设备已被授权,实现资源控制。
在蓝牙V4.0以前,蓝牙BR/EDR/HS系列规范定义了4种安全模式,每个蓝牙设备必须工作于这些模式之一。
安全模式1从不启动安全功能,即认证和加密。设备和连接容易受到攻击。在这个安全模式下,设备的不安全的;安全模式2是强制的服务安全模式,链接建立后,在控制器中实现认证和加密机制;安全模式3是强制的链路级安全模式,在物理链路完全建立前,要求验证和加密所有出入的设备连接;安全模式4是强制的服务级安全服务,在物理和逻辑链路建立后使用安全简单配对(SSP)。
蓝牙V4.0引入了低功耗(LE),但同时支持BR/EDR/HS。LE旨在支持计算和存储受限的设备,其安全性与BR/EDR/HS不同。LE设定了3种连接模式,分别为立即工作(Just Works)、万能钥匙进入(Passkey Entry)和带外连接(Out of Band)[3]。LE第一次在蓝牙规范中引入了AES-CCM加密算法。另外,LE还引入了诸如私有设备地址和数据签名等功能,分别由新的加密密钥-身份解析密钥(IRK)和连接签名解析密钥(CSRK)支持这些功能。这些密钥(LTK、IRK、CSRK)在LE配对期间生成并安全分发。蓝牙LE利用AESCCM提供保密性,以及每包认证和完整性。由于LTK用作加密密钥输入。成功的加密设置提供了隐含的认证。虽然数据签名不提供保密性,但对远程设备持有正确CSRK提供了隐含的认证[4]。
虽然蓝牙在设计时已经含有安全策略,但并不是一个非常有效的安全系统,其安全性也受到无线网络的威胁。对蓝牙协议本身的攻击可以分为两类:主动攻击和被动攻击。主动攻击是被没有认证的第三方将正常通信的数据进行修改;被动攻击可以是对传输内容进行窃听,也可以是对通信模式进行监听获取相关信息。如:
蓝牙漏洞攻击(Bluesnar fi ng):Bluesnar fi ng让攻击者能够利用旧设备的固件漏洞来访问开启蓝牙功能的设备。这种攻击强制建立了一个到蓝牙设备的连接,并允许访问储存在设备上的数据,包括设备的国际移动设备身份码(IMEI)。IMEI是每个设备的唯一身份标识,攻击者有可能使用它来把所有来电从用户设备路由到攻击者的设备。
蓝牙劫持(Bluejacking):Bluejacking是一种在开启蓝牙功能的设备上实施的攻击,例如对手机的攻击。攻击者通过发送未经请求的消息给开启蓝牙功能的设备用户来发起Bluejacking。实际的消息不会对用户的设备造成损害,但是它们可以诱使用户以某种方式做出响应或添加新联系人到设备的地址薄。这种消息发送攻击类似于对电子邮件用户进行垃圾邮件和网络钓鱼攻击。当用户对包含有害目的之bluejacking消息发起了一个响应,则Bluejacking能够造成危害。
蓝牙窃听(Bluebugging):Bluebugging利用一个在一些较老设备固件上存在的漏洞来获取设备和其命令的访问权限。这种攻击无需通知用户就使用设备的命名,从而让攻击者可以访问数据、拨打电话、窃听通话、发送信息和利用设备提供的其他服务与功能。
拒绝服务(Denial of Service):像其他无线技术一样,蓝牙也容易受到DoS攻击。影响包括让设备的蓝牙接口无法使用和耗尽设备电池。这些类型的攻击效果并不显著,而且因为需要接近才能使用蓝牙,所以通常可以很容易地通过简单的移动到有效范围之外来避免。
模糊测试攻击(Fuzzing Attacks):蓝牙Fuzzing Attacks包括发送格式错误或其他非标准的数据给设备的蓝牙射频接口和观察设备如何反应的。如果一个设备的运作被这些攻击减慢或停止,一个严重的漏洞可能存在于协议栈之中。
配对窃听(Pairing Eavesdropping):PIN码/传统配对(蓝牙2.0及更早版本)和LE配对(蓝牙4.0)都易受到窃听攻击。如果给予足够的时间,成功的窃听者会收集所有的配对帧,然后他/她能够确定这个(些)机密的密钥——它允许受信设备模拟和主动/被动数据解密。
安全简单配对攻击(Secure Simple Pairing Attacks):许多技术可以强制远程设备使用立即工作SSP,然后利用其缺乏MITM保护的特性(例如,攻击设备声称它没有输入/输出功能)。此外,固定万能钥匙也可能让攻击者进行MITM攻击[5]。
越来越多的移动医疗,特别在可穿戴医疗设备中使用到了蓝牙技术,而医疗器械不同于别的设备,由于医疗器械的目的和性质,对数据的安全性和准确性有着相当高的要求。为满足此要求,可以在应用层和链路层实现。但现有市场的情况在应用层进行安全实现的并不多。大多数的情况是直接使用市面上的蓝牙模块。
在产品设计中,首先通过改进加强蓝牙标准中的安全体制进行提升,然后改变蓝牙移动系统的加密算法来提升安全度,最后可以在应用层进行安全机制加强的环节,实现蓝牙在移动医疗中的安全性[6]。因此,建议对移动医疗软件进行设计规范,要求其在应用层和链路层都进行安全实现,进而保障数据的安全性和准确性[7]。
根据蓝牙的基本服务、安全模式和链路级的安全,对移动医疗中蓝牙的使用提出以下建议。
①根据之前所述的安全模式,尽可能应用较高的安全模式。当出现不同版本的蓝牙设备进行配对时,应使用各自最安全的模式。
②更改蓝牙设备的默认设置,不使用默认的PIN码,增加PIN码复杂度、随机性、长度和隐私性;禁用不必要的蓝牙配置文件和服务,以减少攻击者可能试图利用的漏洞。
③设置从设备为静态状态,只能和特定的主设备连接,屏蔽其他蓝牙设备的搜索。
④连接时,主从设备分别请求对方发送ID号,确认是否为合法设备。
⑤对传输数据进行加密。
⑥当不需要时,确保蓝牙设备处于关闭状态,以减少设备暴露于恶意活动的机会。
⑦将蓝牙设备设置为不可发现模式,以提高蓝牙设备的安全性,减少不必要的安全威胁。
随着蓝牙在移动医疗中的广泛应用,有必要结合高层的认证机制来进一步提高系统的安全性,如采用服务级别安全模式来实现记忆用户的接入控制,以安全管理器为核心进行认证、授权,动态发布密钥进行加密等[8]。
[1] 刘康.蓝牙技术简介[J].江苏通信技术,2001,17(2):41-44.
[2] 蓝牙与WiFi无线连接哪个对移动设备最需要[J].计算机与网络,2012,38(14):31.
[3] Bluetooth SIG. Bluetooth speci fi cation version4.0[EB/OL].https://www.Bluetooth.org/DocMan/handlers/DownloadDoc.ashx?doc_id=229737,2010-6/2015-1.
[4] 严霄凤.蓝牙安全研究[J].网络安全技术与应用,2013,13(2):51-54.
[5] NIST. Guide to Bluetooth Security[EB/OL].http://csrc.nist.gov/publications/nistpubs/800-121-rev1/sp800-121_rev1.pdf,2012-6.
[6] 胡荣.蓝牙安全性的改进与实现[D].成都:电子科技大学,2010.
[7] 谭凤林,葛临东.蓝牙安全机制分析[J].信息工程大学学报,2002,3(2):76-78.
[8] 马跃,曹秀英.蓝牙链路级安全的研究[J].应用科学学报,2004,22(2):265-268.