GB/T 38648-2020 信息安全技术 蓝牙安全指南

３５．０４０

８０

中华人民共和国国家标准

—

３８６４８２０２０

信息安全技术蓝牙安全指南

２０２００４２８发布

国家市场监督管理总局

发布

国家标准化管理委员会

目次

前言…………………………Ⅲ

１范围………………………１

２规范性引用文件…………………………１

３术语和定义………………１

４缩略语……………………１

５概述………………………２

６安全建议…………………２

６．１管理…………………２

６．２技术…………………２

６．３操作…………………３

附录资料性附录蓝牙安全机制

Ａ（）……………………４

附录资料性附录蓝牙漏洞与威胁

Ｂ（）…………………６

参考文献……………………１２

Ⅰ

前言

本标准按照／—给出的规则起草。

ＧＢＴ１．１２００９

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

Ⅲ

信息安全技术蓝牙安全指南

１范围

本标准给出了蓝牙安全建议。

本标准适用于蓝牙以下版本含蓝牙可对蓝牙设备的设计开发测试使用提供指导

５．０（５．０），、、、。

２规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。，

。，（）。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

／—信息安全技术术语

ＧＢＴ２５０６９２０１０

３术语和定义

／—界定的以及下列术语和定义适用于本文件。

ＧＢＴ２５０６９２０１０

３．１

蓝牙犫犾狌犲狋狅狅狋犺

一种采用射频方式在近距离使用电子信息设备交换信息的无线接口技术。

３．２

蓝牙网络犫犾狌犲狋狅狅狋犺狀犲狋狑狅狉犽

使用蓝牙技术将各种形式的蓝牙设备相互连接构成的无线网络。

４缩略语

下列缩略语适用于本文件。

＿蓝牙设备地址

：（）

ＢＤＡＤＤＲＢｌｕｅｔｏｏｔｈＤｅｖｉｃｅＡｄｄｒｅｓｓ

基础速率

：（）

ＢＲＢａｓｉｃＲａｔｅ

：（）

ＣＳＲＫ连接签名解析密钥ＣｏｎｎｅｃｔｉｏｎＳｉｎａｔｕｒｅＲｅｓｏｌｖｉｎＫｅ

ｇｇｙ

：（）

ＥＣＤＨ迪菲赫尔曼椭圆曲线ＥｌｌｉｔｉｃＣｕｒｖｅＤｉｆｆｉｅＨｅｌｌｍａｎ

ｐ

增强数据率

：（）

ＥＤＲＥｎｈａｎｃｅｄＤａｔａＲａｔｅ

高速数据速率

ＨＳ：（ＨｉｈＳｅｅｄ）

ｇｐ

身份解析密钥

：（）

ＩＲＫＩｄｅｎｔｉｔＲｅｓｏｌｖｉｎＫｅ

ｙｇｙ

低功耗

：（）

ＬＥＬｏｗＥｎｅｒ

ｇｙ

：（）

ＬＴＫ长期密钥ＬｏｎＴｅｒｍＫｅ

ｇｙ

中间人

：（）

ＭＩＴＭＭａｎｉｎｔｈｅＭｉｄｄｌｅ

协议适应层

：（）

ＰＡＬＰｒｏｔｏｃｏｌＡｄａｔｉｏｎＬａｅｒ

ｐｙ

：（）

ＰＩＮ个人识别码ＰｅｒｓｏｎａｌＩｄｅｎｔｉｆｉｃａｔｉｏｎＮｕｍｂｅｒ

公钥基础设施

：（）

ＰＫＩＰｕｂｌｉｃＫｅＩｎｆｒａｓｔｒｕｃｔｕｒｅ

ｙ

：（）

ＳＤＰ服务发现协议ＳｅｒｖｉｃｅＤｉｓｃｏｖｅｒＰｒｏｔｏｃｏｌ

ｙ

１

／—

犌犅犜３８６４８２０２０

：（）

ＳＳＰ安全简单配对ＳｅｃｕｒｅＳｉｍｌｅＰａｉｒｉｎ

ｐｇ

５概述

、、。，／；

蓝牙分为和四种类型蓝牙和版本支持传输速率为蓝牙

ＢＲＥＤＲＨＳＬＥ１．１１．２ＢＲ１Ｍｂｉｔｓ

版本引入传输速率提高至蓝牙版本引入最高传输速率可达蓝

，／；，／；

２．０ＥＤＲ３Ｍｂｉｔｓ３．０ＨＳ２４Ｍｂｉｔｓ

牙版本引入保持最高传输速率的同时降低了能耗蓝牙至版本均支持

，。、、

４．０ＬＥ４．０５．０ＢＲＥＤＲＨＳ

和ＬＥ四种类型。

。、、，。，、

蓝牙安全机制参见附录ＡＢＲＥＤＲＨＳ支持四种安全模式ＬＥ支持两种安全模式其中ＢＲ

、的安全模式支持五种服务安全级别，的安全模式支持四种加密级别，的安全模式

ＥＤＲＨＳ４ＬＥ１ＬＥ２

。。

支持两种数据签名级别蓝牙典型的安全漏洞和面临的威胁参见附录Ｂ

６安全建议

６．１管理

在部署和维护蓝牙网络时宜关注以下事项包括但不限于

，：

ａ）制定蓝牙网络安全策略；

），，、；

ｂ在部署蓝牙网络前掌握构成蓝牙网络设备的安全特性如身份认证功能数据加密功能等

）定期对蓝牙网络的安全状态进行评估；

ｃ

记录接入蓝牙网络设备的信息如蓝牙物理地址蓝牙名称等

ｄ），、；

设置连续请求之间的时间间隔数值为指数级方式增长防止攻击者重复验证身份

），。

ｅ

６．２技术

６．２．１密钥配置

当采用蓝牙交换信息时密钥配置宜关注以下事项包括但不限于

，，：

），；

ａ配置加密密钥时选择算法允许的最大长度

ｂ）选择随机且达到最大允许长度的数字组合作为ＰＩＮ；

）链路密钥不能基于网络中设备共享的单元密钥；

ｃ

ｄ）设备验证的链路密钥宜在配对过程中产生；

使用的蓝牙以上版本含蓝牙设备使用口令输入模式进行配对时采用随机且唯

）（），

ｅＳＳＰ２．１２．１

一的口令；

提供应用级安全如用户认证端到端安全通信审计等

），、、；

ｆ

使用如生物特征识别技术智能卡双因素认证或等完成用户认证

）、、ＰＫＩ；

ｇ

ｈ）通过配对设备中的随机数产生器生成认证密钥和加密密钥；

）蓝牙广播传输时使用基于主机链路密钥的加密密钥进行加密；

ｉ

）使用ＬＥ技术的设备应采用主流加密算法；

ｊ

ｋ）使用的密码技术应符合国家密码管理相关规定。

６．２．２模式选择

，：

配置蓝牙的通信模式时宜重点关注以下事项包括但不限于

蓝牙以下含蓝牙版本的设备与其他版本的设备使用通信时采用安全

）（）、、，

ａ２．０２．０ＢＲＥＤＲＨＳ

模式３；

２

／—

犌犅犜３８６４８２０２０

）（）、、，；

ｂ蓝牙２．１以上含蓝牙２．１版本的设备之间使用ＢＲＥＤＲＨＳ通信时采用安全模式４

）（）、、，；

蓝牙以上版本含蓝牙设备之间使用通信时采用安全模式级别

ｃ４．１４．１ＢＲＥＤＲＨＳ４４

）、（），

ｄ蓝牙４．０４．１版本的设备和蓝牙４．０以上版本含蓝牙４．０设备使用ＬＥ技术通信时采用安

全模式１级别３；

）、，；

蓝牙版本的设备之间使用技术通信时采用安全模式级别

ｅ４．２５．０ＬＥ１４

）（），“”。

ｆ蓝牙２．１以上含蓝牙２．１版本设备使用ＳＳＰ策略时不使用ＪｕｓｔＷｏｒｋｓ配对方式

注：“”，，）

模式指不需要用户参与设备发起连接即可配对目标设备容易受到附录中的简单配对

ＪｕｓｔＷｏｒｋｓＢＢ．２

ｇ

攻击。

６．２．３连接及链路配置

配置蓝牙的连接及通信链路时宜关注以下事项包括但不限于

，：

ａ）设备之间的通信链路启用加密；

ｂ）设备之间的连接采用双向认证；

）设备需提示用户对蓝牙连接进行授权；

ｃ

），）

ｄ限制蓝牙传输功率大小至仅能满足蓝牙设备间的通信需求降低受到Ｂ．２ｈ侧信道攻击的

风险。

６．３操作

，：

加入蓝牙网络的用户在进行信息交换等操作时宜重点关注以下事项包括但不限于

减少配对次数降低输入口令和蓝牙配对信息泄露的风险

ａ），；

ｂ）不响应未知设备的ＰＩＮ请求；

），、；

ｃ不接受来自未知设备的信息包括文件图片等

ｄ）修改设备的设置使其符合接入网络的安全策略；

）配置设备为非发现模式；

ｅ

）为设备的蓝牙模块设置密码；

ｆ

），；

若设备丢失及时移除现有设备中与丢失设备的配对信息

ｇ

不使用蓝牙时关闭蓝牙功能停用不需要或未授权的服务或资源

ｈ），；

定期升级蓝牙软件及时更新蓝牙补丁和固件

），。

ｉ

３

／—

犌犅犜３８６４８２０２０

附录犃

资料性附录

（）

蓝牙安全机制

犃．１蓝牙安全服务

、、、、。

蓝牙技术提供了身份鉴别保密授权消息完整性配对五种基本的安全服务

、和的安全模式

犃．２犅犚犈犇犚犎犛

、，，

蓝牙和定义了四类安全模式安全模式决定了蓝牙设备何时启用安全服务蓝牙设

ＢＲＥＤＲＨＳ

备工作于其中一类模式下。四类安全模式定义如下：

安全模式设备或模块没有启用加密和认证功能蓝牙以下版本含蓝牙版本的设

ａ）１：。２．０（２．０）

备支持安全模式蓝牙