低功耗蓝牙信标是否安全且私密？

　　引言

　　许多之前从未使用过无线技术的原始设备制造商(OEM)现在正在采用蓝牙(Bluetooth)技术，并将信标添加到自己的产品中。对这些制造商而言，这可能会很简单，但更有可能的是他们会遇到一些挑战。除了硬件、软件和电池寿命等考量因素，信标设计者还需要考虑安全和隐私这项因素。

　　1关于安全性

　　最近的新闻报道中强调，消费者担心信标会“追踪自己的一举一动”。事实上，典型的信标并不收集数据，因为它们是单向设备——只进行广播。真正侵犯人们隐私的其实是智能手机，它通过获知信标的位置，并经由手机上应用程序所提供的服务而侵犯人们的隐私。

　　实际上，智能手机可以在没有信标的条件下，通过使用GPS、Wi-Fi和蜂窝网络同样可以侵犯到个人隐私。只因为信标可以低功耗和低成本方式来部署，因此在实现一种全新应用模式的同时，也引发了人们长久以来一直存在的一些合理的担心。其实，用户也可以在其设备的设置中关闭所有这些“基于位置的服务(Location Based Service)”。

　　IT专业人员和商务人士也担忧信标的安全风险。但是，这再一次暗示了通常情况下信标所没有的功能：它们通常是单向设备，可以发送但无法接收信息。这就是说，在一些应用中，信标的安全性很重要，这不仅是针对正在运行的操作，对信标的部署来说也一样。

　　对于信标广播来说，除非其是专有网络的一部分，否则根据定义它是不加密的。然而，IT专业人员需要对进来的信标网络流量(如果有的话)予以保护，且保护程度要与他们对网络中其余设备所提供的保护一致，或者至少达到信标硬件能够适应的程度。

　　在一些信标应用中，接近信标可能会产生实际的价值，比如获得奖励积分或者进入一家商店，那么信标提供者可能也同样需要实施可预防欺诈的保护措施。这可能包括时间戳、临时ID，或者随机安全秘钥，这些都随着每次接近事件而生成，并由后端系统进行验证。

　　2设备管理功能的安全性

　　当信标在现场部署或升级时，会经历一个配置过程。这很可能就是信标最容易遭受安全漏洞威胁的时候。在这些情况下，信标可以使用蓝牙的安全功能(例如配对、认证、加密等)，以及其它的安全措施，比如强密码保护。

　　对于部署来说，访问配置服务可被限制在一个很短的时间窗口内。该窗口结束后，设备就会成为一个普通的广播信标，并且不再广播其内部服务。该过程如图1所示。

　　图1 信标现场部署过程框图

　　Power-up 上电 post power-up external input(pushbutton or reed switch)上电后的外部输入(按钮或开关)

　　enable provisioning mode:

　　-start beacon advertisements

　　-start configuration sevice advertisements

　　-set timer,e.g.,60 seconds

　　配置模式：

　　——启动信标广告

　　——开始配置服务广告

　　——设置定时器，如60秒

　　Begin timer 开始计时 send connection request 发送连接请求

　　send authentications details 发送认证信息 authentication successful?认证成功?

　　Update configuration更新配置 connection acknowledged 连接确认

　　Disable configuration services 禁用配置服务 enter normal beacon mode 输入正常信标模式

　　Non-connectable,undirected advertisements 无连接，无广告

　　作者：Silicon Labs供稿