物联网BLE认证机制设计的挑战以GogoroSmartScooter-HITCON.pdf

物聯網 BLE 認證機制設計的挑戰 以 Gogoro Smart Scooter 為例 GD 、CSC 台灣科技大學 資管所 隱私與風險管理實驗室 講師介紹 G D CSC • 台灣科技大學 資管所 碩士生 • 台灣科技大學 資管所 副教授 • Team T5 CTO (Chief Food Officer) • 夠麻吉股份有限公司 獨立董事 • CHROOT Member • 台灣大學 資訊管理 博士 • 曾任 • 曾任 • 到處打零工 • 資誠企業管理顧問股份有限公司協理 • 好學生乖小孩 • 意藍科技股份有限公司資深顧問 • 數位鑑識、事件處理 、威脅情資整合 • 具有 CISSP 、CCFP 、CSSLP 、CISM 等多 張國際資安認證 。 • 走在路上偶爾踢到一些漏洞 去年 Synology 送我一台 NAS • 近年來除了從事資安研究，發表多篇國際 希望 Gogoro 也能這麼 nice XD 期刊與會議論文外，也曾協助多家政府單 位與企業，建立資訊安全管理制度，或發 掘系統資安漏洞 。 大綱 1. 介紹 Bluetooth Low Energy 、安全性分析流程 2. Smartphone 透過 BLE 控制 IoT 裝置，需要一套認證機制 3. BLE 4.0 配對有許多限制 ，許多廠商選擇不配對另設計認證機制 4. 重視消費者隱私下 ，硬體識別元(Identifier)受限、亂數化 5. 未配對裝置無法取得硬體識別元，設計認證機制遇到的挑戰 6. 提出一種更好的認證機制：雙計數器強化認證 Bluetooth 4.0 有三種 High Speed Classic Low Energy 用 WiFi 傳資料 最常見的藍牙 原名 Wibree 協定 建立持續連線 可建立持續連線 不建立持續連線 高耗電 中耗電 低耗電 高頻寬 中頻寬 低頻寬 短距離 中距離 長距離 (我沒用過) 耳機、鍵盤、滑鼠 溫度計、手環、IoT 裝置 Bluetooth 4.0 Low Energy 類似 HTTP ：session-less 並有七種 method Method 方向 功能 Request Central - Peripheral 一般發送訊息 Response Peripheral - Ce