GB/T 38648-2020标准规范下载简介
GB/T 38648-2020 信息安全技术 蓝牙安全指南ICS.35.040 L.80
GB/T 38648—2020
国家市场监督管理总局 发布 国家标准化管理委员会
NB/T 35094-2017 水电工程水温计算规范GB/T38648—2020
范围 规范性引用文件 术语和定义 缩略语 概述 安全建议 6.1 管理 6.2技术 6.3操作 附录A(资料性附录) 蓝牙安全机制 附录B(资料性附录) 蓝牙漏洞与威胁 参考文献
GB/T38648—2020
本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国科学院大学、西安电子科技大学、南京理工大学。 本标准主要起草人:张玉清、王基策、何远、李意莲、杨毅宇、黄庭培、赵尚儒、冯翰滔、姚尧、王文杰 王鹤、付安民、伍高飞、李学俊
GB/T38648—2020
信息安全技术蓝牙安全指南
SSP:安全简单配对(SecureSimplePairing
蓝牙分为BR、EDR、HS和LE四种类型。蓝牙1.1和1.2版本支持BR,传输速率为1Mbit/s;蓝牙 2.0版本引人EDR,传输速率提高至3Mbit/s;蓝牙3.0版本引人HS,最高传输速率可达24Mbit/s;蓝 牙4.0版本引人LE,保持最高传输速率的同时降低了能耗。蓝牙4.0至5.0版本均支持BR、EDR、HS 和LE四种类型, 蓝牙安全机制参见附录A。BR、EDR、HS支持四种安全模式,LE支持两种安全模式。其中,BR、 DR、HS的安全模式4支持五种服务安全级别,LE的安全模式1支持四种加密级别,LE的安全模式2 支持两种数据签名级别。蓝牙典型的安全漏洞和面临的威胁参见附录B。
GB/T38648—2020
b)蓝牙2.1以上(含蓝牙2.1)版本的设备之间使用BR、EDR、HS通信时,采用安全模式4; c)蓝牙4.1以上版本(含蓝牙4.1)设备之间使用BR、EDR、HS通信时,采用安全模式4级别4; 1 蓝牙4.0、4.1版本的设备和蓝牙4.0以上版本(含蓝牙4.0)设备使用LE技术通信时,采用安 全模式1级别3; e 蓝牙4.2、5.0版本的设备之间使用LE技术通信时,采用安全模式1级别4; f)蓝牙2.1以上(含蓝牙2.1)版本设备使用SSP策略时,不使用"JustWorks"配对方式。 注:"JustWorks"模式指不需要用户参与,设备发起连接即可配对目标设备,容易受到附录B中B.2g)的简单配对 攻击。
6.2.3连接及链路配置
DG/TJ08-2100-2012 人工湿地污水处理技术规程蓝牙技术提供了身份鉴别、保密、授权、 息完整性、配对五种基本的安全服务
A.2BR、EDR和HS的安全模式
工作于其中一类模式下。四类安全模式定义如下: a)安全模式1:设备或模块没有启用加密和认证功能。蓝牙2.0以下版本(含蓝牙2.0)版本的设 备支持安全模式1,蓝牙2.1以上版本(含蓝牙2.1)的设备可以使用安全模式1向下兼容之前 版本的设备。 b)安全模式2:强制的服务级安全模式。安全功能在物理连接建立后,逻辑连接建立前启动。由 本地安全管理器控制对特定服务的访问。本地安全管理器通过授权功能,决定一个设备是否 被允许获得一项特定权限。在本地安全管理器中实现认证和加密机制。蓝牙2.0以下版本 (含蓝牙2.0)的设备支持安全模式2,蓝牙2.1以上版本(含蓝牙2.1)的设备可以使用安全模式 2向下兼容之前版本的设备。 c)安全模式3:强制的链路级安全模式。安全功能在物理连接完全建立前启动。要求对所有接 人设备进行验证和加密。一旦设备通过验证后通常不会再执行服务级的授权。蓝牙2.0以下 版本(含蓝牙2.0)的设备支持安全模式3,蓝牙2.1以上版本(含蓝牙2.1)的设备可以使用安全 模式3向下兼容之前版本的设备 d)安全模式4:强制的服务级安全模式(类似于安全模式2)。安全功能在物理和逻辑连接建立后 启动。使用SSP策略,在连接密钥生成时用椭圆曲线ECDH密钥协议取代传统的密钥协商协 议,设备认证和加密算法与蓝牙2.0及早期版本中的算法相同。是否进行链路密钥验证取决 于使用的SSP关联模型。安全模式4需要加密所有服务。为了兼容,当与蓝牙2.0以下版本 (含蓝牙2.0)不支持安全模式4的设备通信时,安全模式4的设备可以回落到任何其他三种安 全模式之一。安全模式4下的服务又可以分为五种安全级别:级别0和级别1都没有任何安 全要求,区别在于级别0只适用于SDP协议;级别2要求未认证的链路密钥;级别3要求已认 证的链路密钥;级别4要求已认证的链路密钥并使用安全连接
蓝牙LE旨在支持计算和存储受限的设备,其安全性与BR、EDR和HS不同。另外,LE还引入了 者如私有设备地址和数据签名等功能,分别由新的加密密钥 一一IRK和CSRK来支持这些功能。这些 密钥(LTK、IRK、CSRK)在LE配对期间生成并安全分发。 LE安全模式类似于BR、EDR和HS的服务级安全模式,每个服务可以有自已的安全要求。而且 E还规定,每个服务请求也可以有自已的安全要求。LE安全模式1和安全模式2的定义如下: a)安全模式1:拥有四种加密级别,其中级别1不使用认证和加密;级别2使用加密、不使用配对
认证;级别3使用加密和配对认证;蓝牙4.2以上版本(含蓝牙4.2)添加了级别4,级别4使用 特定加密算法进行加密和配对认证。 b 安全模式2:提供了数据签名,数据签名提供了数据完整性,但不提供保密性。安全模式2拥 有两种数据签名级别,其中级别1使用数据签名、不使用配对认证;级别2使用数据签名和配 对认证。 如果不同的服务具有不同的安全模式或级别,则使用较强的安全要求。LE安全模式1级别4的安 全性最高,安全模式1级别1的安全性最低。由于安全模式2不提供加密,安全模式1级别3和级别4 优于安全模式2。对于4.2以上版本(含蓝牙4.2),建议使用安全模式1级别4。对于4.2以下版本,建 义使用安全模式1级别3。
GB/T 386482020
GTCC-056-2018 ZPW-2000A.T无绝缘轨道电路设备(发送器)-铁路专用产品质量监督抽查检验实施细则表B.1给出了蓝牙主要的安全漏洞信息、漏洞影响的版本以及可采取的安全建议。
表B.1蓝牙主要安全漏洞