一种蓝牙配对策略的改进方法.doc

双页码 计算机应用研究 2006年 一种蓝牙配对策略的改进方法 王昭顺，楚恩来 （北京科技大学 信息工程学院计算机系，北京，100083） 摘 要：蓝牙已成为当前非常流行的短距离无线通信方式。蓝牙配对能够保证两个设备之间的认证和安全连接的建立，但是，在配对过程中会受到多种攻击，例如：中间人攻击。为了提高蓝牙配对策略的安全性和易用性，本文对传统蓝牙配对过程进行了介绍，通过分析针对传统配对的攻击方式，给出一个利用基于椭圆曲线的Diffe-Hellman密钥交换体制和蓝牙带外传输机制的配对策略，既简化了蓝牙配对过程，又增加了蓝牙通信安全性。 关键词：蓝牙；配对；安全性； 中图法分类号: TP393 文献标识码: A An improvement for Bluetooth pairing CHU En-lai1, WANG Zhao-shun2 （Department of Computer Science, School of Information Engineering, University of Science and Technology of Beijing, Beijing, 100083） Abstract: Bluetooth has become a popular wireless communication. Bluetooth device pairing enables two devices to authenticate each other and establish a secure wireless connection. However, there are many attacks during pairing, e.g. man-in-the-middle attacks. In order to improve the usage and security of Bluetooth, This paper presents the traditional pairing protocol and analyzes the attacks against previously pairing. It provides a strategy of pairing, which involve Ellipse Curve Diffie-Hellman key exchange protocol and out of band communication. Not only it can simplify the process of pairing, but also improve the security of Bluetooth. Key words: Bluetooth; pairing; security; 引言 蓝牙技术作为短距离、低功耗、低复杂度的连接手段，致力于将特定的移动电话、便携式计算机以及其他各种便携式通信设备在近距离内实现无缝的资源共享。蓝牙技术已获得了全球认可，它是当今市场上支持范围最广泛，功能最丰富的无线标准。蓝牙技术与其他无线通信技术一样，采用开放的信道作为通信介质，因此，蓝牙无线网络在安全性方面也面临各种威胁，例如假冒、窃听、非授权访问和服务拒绝。不同的安全威胁会给网络带来不同程度的破坏。 蓝牙安全体系主要包括三方面的内容：密钥管理、认证和加密。整个安全系统依赖于用户的个人身份识别码（Personal Identification Number），简称PIN码。其长度为8—128比特。为了通过蓝牙建立连接，在第一次与对方设备建立安全连接时或者是链路密钥丢失时，需要双方设备提供各自的PIN码，完成设备间的认证，这个过程叫做配对。 由于蓝牙无线通信技术需要安全保障，使得蓝牙设备在使用时需要配对来提高通信的安全性。蓝牙特别兴趣小组（Bluetooth Special Interest Group，简称SIG）给出的一项有关使用问题分布调查结果显示：39%的用户不知道如何将设备进入配对模式，24%输入的PIN码被拒绝，12%的设备没有被授权。这对蓝牙配对策略和安全性提出了新的要求，例如：简化配对过程（减少配对步骤、需要最小程度的用户干预、提高配对速度），提高蓝牙无线通信的安全。 传统蓝牙配对策略和安全隐患分析 传统配对策略 本文的研究是基于蓝牙规范中定义的安全模式3，即在链路层使用蓝牙设备地址、用于认证的链路密钥、加密密钥、128比特的随机数四个实体来建立或维持蓝牙安全性的模式。其中，配对过程的认证方案采用