作為技術新聞的愛好者，您可能偶爾會看到有關藍牙安全性的文章。比如，聳人聽聞的“重大藍牙安全漏洞使數百萬臺設備面臨風險”或“藍牙漏洞使您容易受到攻擊”之類的頭條新聞。咋聽起來，就像蝗災一樣。由此，概述了該如何確保藍牙使用的安全性。

安全研究社區與SIG之間的合作

通常被忽視的事實是，安全研究社區與藍牙特殊利益組織（SIG）之間建立了有計劃的，有目的的協作關系，該組織是監督藍牙技術使用安全的非營利性貿易協會。

藍牙SIG鼓勵社區積極審查規范，這些規范均可公開審查。

查找和暴露這些錯誤是在實驗室環境中的特殊條件下執行的艱苦過程。

使用我們所依賴的任何技術，對安全性的擔憂已超過保證，而且Bluetooth SIG及其成員也保持警惕以防惡意行為。

我們認為安全性對于沒有電線的世界至關重要，這正是我們如此努力改善藍牙技術的安全性的原因。

我們認為，與安全研究界的合作對于整個藍牙技術的不斷進步和改進至關重要。讓我們更深入地研究Bluetooth SIG如何實現安全性。

藍牙技術的發展

在我們20多年的歷史中，Bluetooth SIG與其成員公司合作，使Bluetooth技術成為事實上的低功耗無線標準。根據2020年藍牙市場更新，今年將有46億臺使用藍牙技術的設備出貨。

我們已經確保藍牙技術可以從簡單但出色的無線音頻配對解決方案發展到智能建筑，智能產業和智能城市等新興市場的物聯網中智能自動化的基礎。

為了提供卓越的藍牙連接性，我們與會員社區中的近36，000家公司合作，每個公司都將藍牙技術用作各種應用程序的連接組織。

傳統產業和新興產業的增長以及維持它們所需的聯網設備的爆炸式增長意味著，安全性必須始終是技術專業人員的首要考慮因素。但是，安全性實施既不是交鑰匙的，也不是一刀切的。要使藍牙技術真正無處不在-不可能。

因為藍牙無處不在，但實際上不可能無處不在。

藍牙無處不在是藍牙SIG制定了三管齊下的方法來優先考慮安全性和保護藍牙技術的原因。

該方法解決了藍牙規范和接口中的安全問題，為藍牙SIG成員提供了持續的安全培訓。教育部分涉及藍牙安全響應程序。它還經過專門設計，為藍牙技術的不斷創新和迭代留出了空間。

沒有技術是完美的。通過解釋藍牙SIG安全流程的范圍和意圖，我們希望為有關藍牙安全的敘述提供一個教育性的視角，并將其從一個以恐慌為標題的新聞中占主導地位的內容轉移到一個對我們的安全過程透明的內容中，從而繼續增強現有的安全性。保護并引入新的安全措施，以滿足連接領域不斷發展的要求。

所有藍牙設備的基本組成部分

要了解安全性，重要的是要了解藍牙技術的組成部分-藍牙規格。

本質上，規范是開發人員用來在藍牙設備之間建立連接和互操作性的要求。除了音頻流和簡單的數據傳輸外，藍牙的更多用例已經出現，涵蓋了所有應用程序中的設備網絡和定位服務。藍牙的應用包括工業資產跟蹤到商業照明。

隨著藍牙規范的擴展，它們所包含的安全措施也必須擴展。

最突出的藍牙規范是核心規范，它定義了開發人員用來創建構成蓬勃發展的藍牙生態系統的可互操作設備的基本構造塊。

但是，還有超過100個其他配置文件和協議規范，它們定義了如何構建從可互操作的藍牙耳機到創建用于照明控制的大規模藍牙網狀設備網絡的所有內容。

開發人員指南

開發人員遵循每個規范中的指導原則，以根據其產品設計的需要來適應其實現。

每個規范都有其自己的技術和工具，可讓開發人員解決其產品的安全預防措施并確保藍牙設備之間的通信安全。

您可以將其視為開發人員可以選擇以為其產品實施適當安全級別的工具箱。低功耗藍牙產品開發人員可以使用的一些安全功能包括：

防止被動竊聽

防范中間人（MITM）攻擊

使用AES-CCM加密技術在兩個低功耗藍牙設備之間進行加密通信

隱私和身份跟蹤保護

完整的列表可在Bluetooth最佳實踐指南中找到，此處的所有成員均可使用。

安全評論

盡管在開發過程中對規范進行安全審查，但SIG的36，000名成員中的每個成員都需要為其實施所需的最佳安全選項。

例如，工廠中啟用了藍牙的狀態監視系統與無線鼠標相比，將需要明顯不同的安全功能。開發人員可以自行選擇要在其藍牙產品中實現的必要安全功能。

使藍牙規范提供這些選項和靈活性是使藍牙技術在眾多可用的低功耗無線技術中獨樹一幟的魔力。

這些選項使成員可以自由地為其產品選擇最佳的安全功能，但這也意味著成員可能會選擇對其應用程序不夠的安全或隱私功能。這導致我們進入第二部分-教育。

教育：設計，開發和部署安全藍牙設備的工具

為了幫助成員為他們的應用選擇合適的安全選項，Bluetooth SIG定期發布學習指南，培訓視頻和各種其他教育材料。

這些教育材料說明了為什么某些安全選項在特定應用中比其他安全選項更有效。他們還解釋了每個規范中的常見安全風險以及如何最好地避免這些風險。

常見的實施最佳做法包括：

遵循最新版本的藍牙規范，以確保開發人員擁有最新指南

記錄產品設計的安全性要求，以便在實施中使用適當的安全性

測試和審核實施的安全功能

確保UX界面向用戶提供有關任何安全或隱私問題的適當通知

在面向外部數據源（尤其是無線數據源）的任何接口的開發中加強安全編碼實踐

這些教學材料為會員指明了正確的方向，而藍牙技術是一種開放的全球標準。藍牙SIG及其成員在安全研究界的幫助下，共同負責生產安全的藍牙設備和應用程序。

社區：共享藍牙安全責任

藍牙SIG與安全研究界建立了長期的合作關系。這種工作關系過程的一部分是鼓勵通過藍牙安全響應計劃對技術進行持續審查并報告規范范圍內的漏洞。

響應計劃可確保在我們的成員組織中調查，解決和傳達報告的漏洞。

例如，去年，洛桑聯邦理工學院（EPFL）的研究人員幫助揭露了與藍牙BR / EDR連接中的配對有關的缺陷。

提交缺陷報告后會發生什么？

一旦報告，Bluetooth SIG便會迅速修復該漏洞-為成員提供建議，以在集成核心規范的同時徹底整合所有必要的補丁程序-并迅速更新。

EPFL，Bluetooth SIG及其成員之間的合作確保了持續改進和技術安全性。

諸如此類的關系使我們能夠快速解決由于藍牙技術的新發展而引起的任何安全問題。

小結

藍牙技術的潛力和力量不斷增長。每年都有數十億臺新的支持藍牙的設備出貨，藍牙無線技術與我們的生活息息相關。

藍牙是使我們彼此之間以及與我們周圍世界聯系在一起的東西。

隨著社區不斷擴展藍牙技術的功能-重點是確保我們的藍牙通信保持安全。
責任編輯:tzh