TimeTec has merged all of its solutions into www.timeteccloud.com, click to
TimeTec BLE和IoT產品系列的藍牙安全措施
什麼是藍牙?
藍牙是一種無線電無線電規範,旨在取代電纜作為電子設備之間數據和語音信號的媒介。該規範由由1000多家製造商組成的藍牙特別興趣小組定義。它主要用於移動設備和優先設計,以實現小尺寸,低功耗和低成本。

什麼是藍牙低功耗(BLE)?
與傳統藍牙相比,BLE節能環保,可用於各種應用。例如,BLE無線協議允許任何附近的BLE兼容設備與智能手機,平板電腦或智能手錶進行通信以觸發應用程序中的功能。例如,要使用智能手機鎖定或解鎖門,使用智能手錶監控心跳,或使用智能手機應用跟踪丟失的物品,如鑰匙或錢包。

經典藍牙和藍牙低功耗(BLE)
總之,藍牙和BLE用於非常不同的目的。藍牙可以處理大量數據,但很快就會消耗電池壽命,而且成本更高。另一方面,BLE用於不需要交換大量數據的應用,因此可以以更低的成本在電池電力上運行數年。 BLE 4.0在2011年首次上市,其次是2013年的BLE 4.1和2014年的BLE 4.2。

BLE 4.2提供高達1 Mbps的數據速率,同時消耗僅0.01至0.5瓦,這是Bluetooth Classic Classic速度的三分之一,功耗僅為一半。

以下是藍牙比較的清晰畫面:
產品規格
藍牙
低功耗藍牙(BLE)
 
  網絡拓撲結構 分散網 星巴士
  能量消耗 低(小於30 mA) 非常低(小於15 mA)
  速度 700 Kbps 1 Mbps
  範圍 <30 m 50米(開闊場地150米)
  射頻頻段 2400 MHz 2400 MHz
  頻道 從2.400 GHz到2.4835 GHz的79個通道,間隔為1 MHz 從2402MHz到2480MHz的40個通道(包括3個廣告和37個數據通道)
  調製 GFSK(調製指數0.35),π/ 4 DQPSK,8DPSK GFSK(調製指數0.5)
  兩台設備之間的數據傳輸延遲 約。 100毫秒 約。 3毫秒
  傳播 FHSS(1MHz頻道) FHSS(2MHz頻道)
  鏈接層 TDMA TDMA
  消息大小(字節) 358(最大) 8至47
  錯誤檢測/校正 8位CRC(報頭),16位CRC,2/3 FEC(有效載荷),ACK 24位CRC,ACK
  安全 64b / 128b,用戶定義的應用程序層 128位AES,用戶定義的應用層
  應用程序吞吐量 0.7至2.1 Mbps0.7至2.1 Mbps0.7 to 2.1 Mbps 低於0.3 Mbps
  節點/活動從站 7 無限
BLE的主要功能是什麼?
能量消耗低,傳感器可以在鈕扣電池上運行一年以上
在新產品和現有產品中實施成本較低
使用加密連接傳輸多個數據流時更安全
無線範圍可根據需要進行優化,適用於任何應用
具有有限延遲要求的大量通信節點
通過掃描和連接BLE傳感器很容易使用
全球標準由大多數硬件製造商和行業支持
允許多個供應商互操作性的兼容性
比可穿戴設備中使用的傳統藍牙體積更小。
可以與其他類型的無線技術共存
可以使用位置智能實時跟踪項目
可以根據店內行為發送促銷優惠通知
BLE的威脅是什麼?
BLE為用戶提供了許多優點和便利,但它確實帶來了風險。藍牙技術和相關設備容易受到諸如拒絕服務攻擊,竊聽,中間人(MITM)攻擊,信息修改和資源盜用等一般無線網絡威脅的影響,並且還受到更具體的藍牙相關的威脅攻擊如下:
藍劫
這是攻擊者向藍牙設備發送未經請求的消息或名片的過程,主要用於廣告目的。劫持行為類似於針對電子郵件用戶進行的垃圾郵件和網絡釣魚攻擊。當一個有害的意圖發送bluejacking消息時,它可能會誘使用戶做出響應,將新聯繫人添加到設備的地址簿中。藍牙設備所有者應當意識到,這可能會導致各種社會工程學攻擊,其中它會操縱用戶執行操作或洩露機密信息。設置為不可發現模式的設備不容易發生藍牙劫持,並且為了使藍牙劫持發揮作用;發送和接收設備必須在10米範圍內。
Bluesnarfing
這是強制與藍牙設備建立連接以訪問存儲器中存儲的數據(如聯繫人列表,日曆,電子郵件,文本消息,圖片,視頻和國際移動設備標識(IMEI))的方法。這是保密性和完整性的威脅。由於敏感信息可能通過bluesnarfing從設備上竊取,與bluejacking相比,它更加惡意,儘管它們都是在沒有所有者知識的情況下利用設備的藍牙連接。通過將設備的藍牙設置為不可發現模式,該設備變得不太容易受到bluesnarfing的影響,儘管它可能仍然通過強力攻擊bluesnarf-able。
Bluebugging
這種方法是在藍牙攻擊和藍牙攻擊發生後開發的,它允許攻擊者遠程訪問藍牙設備並使用其功能,如閱讀電話簿,檢查日曆,連接到互聯網,撥打電話,竊聽電話通過呼叫轉移和發送消息而不用用戶的知識。與所有攻擊一樣,攻擊者必須距離設備10米內。
Bluesmack
這是一種藍牙拒絕服務(DOS)攻擊,其中藍牙設備被攻擊者的惡意請求淹沒,導致它無法被其擁有者和設備的電池耗盡,影響設備在攻擊後持續運行。由於藍牙連接所需的接近度,用戶可以將設備移動到新的位置以防止發生攻擊。
關於安全藍牙使用的提示
您可能已經在使用藍牙技術與移動電話耳機進行通信,或者將您的計算機連接到光學鼠標,因為所有這些技術都很好,攻擊者正在設法利用這些功能。使用以下提示來幫助保持藍牙設備的安全。
不使用時關閉“可發現”模式
您設備上的“可發現”模式僅用於“配對”兩個支持藍牙的設備。當配對過程完成後,“可發現”模式可以關閉,因為設備應該記得彼此。
不要通過藍牙發送敏感信息
避免使用支持藍牙的設備傳遞或傳輸敏感信息和個人信息,因為它可能會被嗅探。
使用強密碼
這是在配對藍牙設備時隨機生成的,並且在出乎意料地提示輸入密碼時不會輸入密鑰。
從配對的設備列表中刪除丟失或被盜設備
始終保持設備的物理控制。
避免接受手機或設備上收到的未知附件或應用程序
如果你不期待它,不管它有多合理。如果您的設備要求配對並且您沒有啟動配對,請拒絕並檢查您的“可發現”設置是否設置為“關閉”或“隱藏”。
我們採取了什麼安全措施?
為了確保我們的物聯網設備和手機之間的所有流量,TimeTec添加了高級加密標準(AES)加密。

AES在AES比賽評估過程中於2001年由美國國家標準與技術研究院(NIST)發布。 Rijndael是比賽的獲勝者,NIST選擇它作為AES的算法。從2001年開始,AES已被美國政府採納,現在正在全球範圍內使用。它取代了1977年發布的數據加密標準(DES)。AES描述的算法是一種對稱密鑰算法,這意味著對數據進行加密和解密時使用相同的密鑰。 AES被認為是安全的,非常快速和緊湊,大約1kB的代碼,其塊大小是32的倍數(通常為128比特),其密鑰長度也是32的倍數(通常為128,192或256比特),它有一個非常整潔的代數描述。

AES加密用於對藍牙設備之間交換的信息進行編碼,使竊聽者無法讀取其內容。因此,TimeTec物聯網設備和手機之間發送的內容是安全可靠的。除了數據加密之外,我們還調整了物聯網設備的藍牙範圍或藍牙天線,以適應特定的使用情況,並防止有人在我們的物聯網設備上進行Bluesnarfing。例如,如果智能手機連接到BLE門鎖,該人員必須距離物聯網設備1-2米內,以防止入侵者從角落竊聽。

簡而言之,藍牙技術特別是BLE對企業和消費者來說是一個很好的補充。但是,所有用戶都必須了解其使用所涉及的技術和風險,因此可以降低風險以獲得更好的用戶體驗。


憑藉其低能量功能,了解更多關於藍牙安全的信息