GB/T 38648-2020 信息安全技术 蓝牙安全指南

GB/T 38648-2020 信息安全技术 蓝牙安全指南
仅供个人学习
反馈
标准编号:GB/T 38648-2020
文件类型:.pdf
资源大小:864.8K
标准类别:环保标准
资源ID:40868
免费资源

GB/T 38648-2020标准规范下载简介

GB/T 38648-2020 信息安全技术 蓝牙安全指南简介:

GB/T 38648-2020《信息安全技术 蓝牙安全指南》是中国国家标准,由国家市场监督管理总局和国家标准化管理委员会发布。该标准主要规定了蓝牙技术在信息安全领域的应用和管理,旨在确保蓝牙通信设备和系统的安全,防止未经授权的访问、数据泄露或其他安全威胁。

蓝牙(Bluetooth)是一种短距离无线通信技术,广泛应用于智能手机、耳机、音箱、智能家居设备等。随着蓝牙设备的普及,对蓝牙安全的需求也日益增强。GB/T 38648-2020标准涵盖了蓝牙设备的身份验证、加密、安全配置、漏洞管理、安全审计等方面,为蓝牙设备制造商、开发者、用户和监管机构提供了一套全面的安全指导。

该标准旨在提升蓝牙设备的安全性,防止未经授权的设备接入,保障用户数据和个人隐私的安全,同时也为蓝牙技术的持续发展和标准化提供了重要的指导。通过遵循该标准,可以有效降低蓝牙设备在使用过程中可能面临的安全风险。

GB/T 38648-2020 信息安全技术 蓝牙安全指南部分内容预览:

国家市场监督管理总局 发布 国家标准化管理委员会

GB/T38648—2020

DB61∕T 1036-2016 公路桥梁和隧道混凝土结构防腐涂装技术规程范围 规范性引用文件 术语和定义 缩略语 概述 安全建议 6.1 管理 6.2技术 6.3操作 附录A(资料性附录) 蓝牙安全机制 附录B(资料性附录) 蓝牙漏洞与威胁 参考文献

GB/T38648—2020

本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国科学院大学、西安电子科技大学、南京理工大学。 本标准主要起草人:张玉清、王基策、何远、李意莲、杨毅宇、黄庭培、赵尚儒、冯翰滔、姚尧、王文杰 王鹤、付安民、伍高飞、李学俊

GB/T38648—2020

信息安全技术蓝牙安全指南

SSP:安全简单配对(SecureSimplePairing

蓝牙分为BR、EDR、HS和LE四种类型。蓝牙1.1和1.2版本支持BR,传输速率为1Mbit/s;蓝牙 2.0版本引人EDR,传输速率提高至3Mbit/s;蓝牙3.0版本引人HS,最高传输速率可达24Mbit/s;蓝 牙4.0版本引人LE,保持最高传输速率的同时降低了能耗。蓝牙4.0至5.0版本均支持BR、EDR、HS 和LE四种类型, 蓝牙安全机制参见附录A。BR、EDR、HS支持四种安全模式,LE支持两种安全模式。其中,BR、 DR、HS的安全模式4支持五种服务安全级别,LE的安全模式1支持四种加密级别,LE的安全模式2 支持两种数据签名级别。蓝牙典型的安全漏洞和面临的威胁参见附录B。

GB/T38648—2020

b)蓝牙2.1以上(含蓝牙2.1)版本的设备之间使用BR、EDR、HS通信时,采用安全模式4; c)蓝牙4.1以上版本(含蓝牙4.1)设备之间使用BR、EDR、HS通信时,采用安全模式4级别4; 1 蓝牙4.0、4.1版本的设备和蓝牙4.0以上版本(含蓝牙4.0)设备使用LE技术通信时,采用安 全模式1级别3; e 蓝牙4.2、5.0版本的设备之间使用LE技术通信时,采用安全模式1级别4; f)蓝牙2.1以上(含蓝牙2.1)版本设备使用SSP策略时,不使用"JustWorks"配对方式。 注:"JustWorks"模式指不需要用户参与,设备发起连接即可配对目标设备,容易受到附录B中B.2g)的简单配对 攻击。

6.2.3连接及链路配置

蓝牙技术提供了身份鉴别、保密、授权、 息完整性、配对五种基本的安全服务

A.2BR、EDR和HS的安全模式

工作于其中一类模式下。四类安全模式定义如下: a)安全模式1:设备或模块没有启用加密和认证功能。蓝牙2.0以下版本(含蓝牙2.0)版本的设 备支持安全模式1,蓝牙2.1以上版本(含蓝牙2.1)的设备可以使用安全模式1向下兼容之前 版本的设备。 b)安全模式2:强制的服务级安全模式。安全功能在物理连接建立后,逻辑连接建立前启动。由 本地安全管理器控制对特定服务的访问。本地安全管理器通过授权功能,决定一个设备是否 被允许获得一项特定权限。在本地安全管理器中实现认证和加密机制。蓝牙2.0以下版本 (含蓝牙2.0)的设备支持安全模式2,蓝牙2.1以上版本(含蓝牙2.1)的设备可以使用安全模式 2向下兼容之前版本的设备。 c)安全模式3:强制的链路级安全模式。安全功能在物理连接完全建立前启动。要求对所有接 人设备进行验证和加密。一旦设备通过验证后通常不会再执行服务级的授权。蓝牙2.0以下 版本(含蓝牙2.0)的设备支持安全模式3,蓝牙2.1以上版本(含蓝牙2.1)的设备可以使用安全 模式3向下兼容之前版本的设备 d)安全模式4:强制的服务级安全模式(类似于安全模式2)。安全功能在物理和逻辑连接建立后 启动。使用SSP策略,在连接密钥生成时用椭圆曲线ECDH密钥协议取代传统的密钥协商协 议,设备认证和加密算法与蓝牙2.0及早期版本中的算法相同。是否进行链路密钥验证取决 于使用的SSP关联。安全模式4需要加密所有服务。为了兼容,当与蓝牙2.0以下版本 (含蓝牙2.0)不支持安全模式4的设备通信时,安全模式4的设备可以回落到任何其他三种安 全模式之一。安全模式4下的服务又可以分为五种安全级别:级别0和级别1都没有任何安 全要求,区别在于级别0只适用于SDP协议;级别2要求未认证的链路密钥;级别3要求已认 证的链路密钥;级别4要求已认证的链路密钥并使用安全连接

蓝牙LE旨在支持计算和存储受限的设备,其安全性与BR、EDR和HS不同。另外,LE还引入了 者如私有设备地址和数据签名等功能,分别由新的加密密钥 一一IRK和CSRK来支持这些功能。这些 密钥(LTK、IRK、CSRK)在LE配对期间生成并安全分发。 LE安全模式类似于BR、EDR和HS的服务级安全模式,每个服务可以有自已的安全要求。而且 E还规定,每个服务请求也可以有自已的安全要求。LE安全模式1和安全模式2的定义如下: a)安全模式1:拥有四种加密级别,其中级别1不使用认证和加密;级别2使用加密、不使用配对

认证;级别3使用加密和配对认证;蓝牙4.2以上版本(含蓝牙4.2)添加了级别4,级别4使用 特定加密算法进行加密和配对认证。 b 安全模式2:提供了数据签名,数据签名提供了数据完整性,但不提供保密性。安全模式2拥 有两种数据签名级别,其中级别1使用数据签名、不使用配对认证;级别2使用数据签名和配 对认证。 如果不同的服务具有不同的安全模式或级别,则使用较强的安全要求。LE安全模式1级别4的安 全性最高,安全模式1级别1的安全性最低。由于安全模式2不提供加密,安全模式1级别3和级别4 优于安全模式2。对于4.2以上版本(含蓝牙4.2),建议使用安全模式1级别4。对于4.2以下版本,建 义使用安全模式1级别3。

SY 0453-98石油建设工程质量检验评定标准 油田集输管道工程GB/T 386482020

表B.1给出了蓝牙主要的安全漏洞信息、漏洞影响的版本以及可采取的安全建议。

表B.1蓝牙主要安全漏洞

GB/T38648—2020

GB/T38648—2020

蓝牙设备易受到常见的各类无线网络威胁,比如拒绝服务攻击、窃听、消息篡改及资源盗用等。蓝 牙设备也容易受到以下特定威胁《生活垃圾堆肥处理工程项目建设标准 141-2010》,包括但不限于: a)蓝牙诱捕:攻击者利用蓝牙设备的固件漏洞入侵开启蓝牙的设备。这种攻击通过非法建立与 蓝牙设备的连接来获取该设备上包括国际移动设备识别码在内的任意存储数据。国际移动设 备识别码是区别移动设备的标志。攻击者可以利用国际移动设备识别码将受害用户设备上的 所有来电转接到攻击者的设备。

GB/T 386482020

©版权声明
相关文章