作為技術(shù)新聞的愛好者，您可能偶爾會看到有關(guān)藍牙安全性的文章。比如，聳人聽聞的“重大藍牙安全漏洞使數(shù)百萬臺設(shè)備面臨風(fēng)險”或“藍牙漏洞使您容易受到攻擊”之類的頭條新聞。咋聽起來，就像蝗災(zāi)一樣。由此，概述了該如何確保藍牙使用的安全性。

安全研究社區(qū)與SIG之間的合作

通常被忽視的事實是，安全研究社區(qū)與藍牙特殊利益組織（SIG）之間建立了有計劃的，有目的的協(xié)作關(guān)系，該組織是監(jiān)督藍牙技術(shù)使用安全的非營利性貿(mào)易協(xié)會。

藍牙SIG鼓勵社區(qū)積極審查規(guī)范，這些規(guī)范均可公開審查。

查找和暴露這些錯誤是在實驗室環(huán)境中的特殊條件下執(zhí)行的艱苦過程。

使用我們所依賴的任何技術(shù)，對安全性的擔(dān)憂已超過保證，而且Bluetooth SIG及其成員也保持警惕以防惡意行為。

我們認為安全性對于沒有電線的世界至關(guān)重要，這正是我們?nèi)绱伺Ω纳扑{牙技術(shù)的安全性的原因。

我們認為，與安全研究界的合作對于整個藍牙技術(shù)的不斷進步和改進至關(guān)重要。讓我們更深入地研究Bluetooth SIG如何實現(xiàn)安全性。

藍牙技術(shù)的發(fā)展

在我們20多年的歷史中，Bluetooth SIG與其成員公司合作，使Bluetooth技術(shù)成為事實上的低功耗無線標(biāo)準(zhǔn)。根據(jù)2020年藍牙市場更新，今年將有46億臺使用藍牙技術(shù)的設(shè)備出貨。

我們已經(jīng)確保藍牙技術(shù)可以從簡單但出色的無線音頻配對解決方案發(fā)展到智能建筑，智能產(chǎn)業(yè)和智能城市等新興市場的物聯(lián)網(wǎng)中智能自動化的基礎(chǔ)。

為了提供卓越的藍牙連接性，我們與會員社區(qū)中的近36，000家公司合作，每個公司都將藍牙技術(shù)用作各種應(yīng)用程序的連接組織。

傳統(tǒng)產(chǎn)業(yè)和新興產(chǎn)業(yè)的增長以及維持它們所需的聯(lián)網(wǎng)設(shè)備的爆炸式增長意味著，安全性必須始終是技術(shù)專業(yè)人員的首要考慮因素。但是，安全性實施既不是交鑰匙的，也不是一刀切的。要使藍牙技術(shù)真正無處不在-不可能。

因為藍牙無處不在，但實際上不可能無處不在。

藍牙無處不在是藍牙SIG制定了三管齊下的方法來優(yōu)先考慮安全性和保護藍牙技術(shù)的原因。

該方法解決了藍牙規(guī)范和接口中的安全問題，為藍牙SIG成員提供了持續(xù)的安全培訓(xùn)。教育部分涉及藍牙安全響應(yīng)程序。它還經(jīng)過專門設(shè)計，為藍牙技術(shù)的不斷創(chuàng)新和迭代留出了空間。

沒有技術(shù)是完美的。通過解釋藍牙SIG安全流程的范圍和意圖，我們希望為有關(guān)藍牙安全的敘述提供一個教育性的視角，并將其從一個以恐慌為標(biāo)題的新聞中占主導(dǎo)地位的內(nèi)容轉(zhuǎn)移到一個對我們的安全過程透明的內(nèi)容中，從而繼續(xù)增強現(xiàn)有的安全性。保護并引入新的安全措施，以滿足連接領(lǐng)域不斷發(fā)展的要求。

所有藍牙設(shè)備的基本組成部分

要了解安全性，重要的是要了解藍牙技術(shù)的組成部分-藍牙規(guī)格。

本質(zhì)上，規(guī)范是開發(fā)人員用來在藍牙設(shè)備之間建立連接和互操作性的要求。除了音頻流和簡單的數(shù)據(jù)傳輸外，藍牙的更多用例已經(jīng)出現(xiàn)，涵蓋了所有應(yīng)用程序中的設(shè)備網(wǎng)絡(luò)和定位服務(wù)。藍牙的應(yīng)用包括工業(yè)資產(chǎn)跟蹤到商業(yè)照明。

隨著藍牙規(guī)范的擴展，它們所包含的安全措施也必須擴展。

最突出的藍牙規(guī)范是核心規(guī)范，它定義了開發(fā)人員用來創(chuàng)建構(gòu)成蓬勃發(fā)展的藍牙生態(tài)系統(tǒng)的可互操作設(shè)備的基本構(gòu)造塊。

但是，還有超過100個其他配置文件和協(xié)議規(guī)范，它們定義了如何構(gòu)建從可互操作的藍牙耳機到創(chuàng)建用于照明控制的大規(guī)模藍牙網(wǎng)狀設(shè)備網(wǎng)絡(luò)的所有內(nèi)容。

開發(fā)人員指南

開發(fā)人員遵循每個規(guī)范中的指導(dǎo)原則，以根據(jù)其產(chǎn)品設(shè)計的需要來適應(yīng)其實現(xiàn)。

每個規(guī)范都有其自己的技術(shù)和工具，可讓開發(fā)人員解決其產(chǎn)品的安全預(yù)防措施并確保藍牙設(shè)備之間的通信安全。

您可以將其視為開發(fā)人員可以選擇以為其產(chǎn)品實施適當(dāng)安全級別的工具箱。低功耗藍牙產(chǎn)品開發(fā)人員可以使用的一些安全功能包括：

防止被動竊聽

防范中間人（MITM）攻擊

使用AES-CCM加密技術(shù)在兩個低功耗藍牙設(shè)備之間進行加密通信

隱私和身份跟蹤保護

完整的列表可在Bluetooth最佳實踐指南中找到，此處的所有成員均可使用。

安全評論

盡管在開發(fā)過程中對規(guī)范進行安全審查，但SIG的36，000名成員中的每個成員都需要為其實施所需的最佳安全選項。

例如，工廠中啟用了藍牙的狀態(tài)監(jiān)視系統(tǒng)與無線鼠標(biāo)相比，將需要明顯不同的安全功能。開發(fā)人員可以自行選擇要在其藍牙產(chǎn)品中實現(xiàn)的必要安全功能。

使藍牙規(guī)范提供這些選項和靈活性是使藍牙技術(shù)在眾多可用的低功耗無線技術(shù)中獨樹一幟的魔力。

這些選項使成員可以自由地為其產(chǎn)品選擇最佳的安全功能，但這也意味著成員可能會選擇對其應(yīng)用程序不夠的安全或隱私功能。這導(dǎo)致我們進入第二部分-教育。

教育：設(shè)計，開發(fā)和部署安全藍牙設(shè)備的工具

為了幫助成員為他們的應(yīng)用選擇合適的安全選項，Bluetooth SIG定期發(fā)布學(xué)習(xí)指南，培訓(xùn)視頻和各種其他教育材料。

這些教育材料說明了為什么某些安全選項在特定應(yīng)用中比其他安全選項更有效。他們還解釋了每個規(guī)范中的常見安全風(fēng)險以及如何最好地避免這些風(fēng)險。

常見的實施最佳做法包括：

遵循最新版本的藍牙規(guī)范，以確保開發(fā)人員擁有最新指南

記錄產(chǎn)品設(shè)計的安全性要求，以便在實施中使用適當(dāng)?shù)陌踩?/p>

測試和審核實施的安全功能

確保UX界面向用戶提供有關(guān)任何安全或隱私問題的適當(dāng)通知

在面向外部數(shù)據(jù)源（尤其是無線數(shù)據(jù)源）的任何接口的開發(fā)中加強安全編碼實踐

這些教學(xué)材料為會員指明了正確的方向，而藍牙技術(shù)是一種開放的全球標(biāo)準(zhǔn)。藍牙SIG及其成員在安全研究界的幫助下，共同負責(zé)生產(chǎn)安全的藍牙設(shè)備和應(yīng)用程序。

社區(qū)：共享藍牙安全責(zé)任

藍牙SIG與安全研究界建立了長期的合作關(guān)系。這種工作關(guān)系過程的一部分是鼓勵通過藍牙安全響應(yīng)計劃對技術(shù)進行持續(xù)審查并報告規(guī)范范圍內(nèi)的漏洞。

響應(yīng)計劃可確保在我們的成員組織中調(diào)查，解決和傳達報告的漏洞。

例如，去年，洛桑聯(lián)邦理工學(xué)院（EPFL）的研究人員幫助揭露了與藍牙BR / EDR連接中的配對有關(guān)的缺陷。

提交缺陷報告后會發(fā)生什么？

一旦報告，Bluetooth SIG便會迅速修復(fù)該漏洞-為成員提供建議，以在集成核心規(guī)范的同時徹底整合所有必要的補丁程序-并迅速更新。

EPFL，Bluetooth SIG及其成員之間的合作確保了持續(xù)改進和技術(shù)安全性。

諸如此類的關(guān)系使我們能夠快速解決由于藍牙技術(shù)的新發(fā)展而引起的任何安全問題。

小結(jié)

藍牙技術(shù)的潛力和力量不斷增長。每年都有數(shù)十億臺新的支持藍牙的設(shè)備出貨，藍牙無線技術(shù)與我們的生活息息相關(guān)。

藍牙是使我們彼此之間以及與我們周圍世界聯(lián)系在一起的東西。

隨著社區(qū)不斷擴展藍牙技術(shù)的功能-重點是確保我們的藍牙通信保持安全。
責(zé)任編輯:tzh