藍牙在移動醫(yī)療中的優(yōu)勢和安全性考慮

吳夷 秦麗平 李敏 黃寅寅 浙江省醫(yī)療器械檢驗院 （浙江 杭州 310000）

1995年，愛立信公司提出了藍牙概念。1998年5月，以愛立信、諾基亞、東芝、IBM和因特爾公司為主的特別興趣組織SIG（Special Interest Group）指定了短距離無線通信協(xié)議，聯(lián)合宣布了一項名為藍牙（Bluetooth）的技術[1]。

微軟、3COM、朗訊和摩托羅拉于1999年加入SIG，并與原先的5個發(fā)起成員一同成為了SIG的領導成員。

藍牙作為一種無線技術標準，用于設備間及與個人域網(wǎng)之間的短距離數(shù)據(jù)交換。藍牙使用2400～2483.5MHz的ISM（Industrial，Scienti fi c & Medical）波段的無線電波。

1.藍牙應用在移動醫(yī)療中的優(yōu)勢

1.1 藍牙與WiFi的區(qū)別和優(yōu)勢

藍牙和WiFi有些類似的應用，如設置網(wǎng)絡、打印、傳輸文件。WiFi，作為無線局域網(wǎng)（WLAN），主要用于替代工作場所一般局域網(wǎng)接入中使用的高速線纜。WiFi的優(yōu)勢是建網(wǎng)時間短，組網(wǎng)靈活，容易延展網(wǎng)絡，數(shù)據(jù)傳輸快。WiFi適用于一些能夠進行稍復雜的客戶端設置和需要高速的應用。而藍牙作為無線個人域網(wǎng)（WPAN）或者說微微網(wǎng)，主要用于便攜式設備及其應用，可以替代便攜式設備的線纜。其優(yōu)勢是體積小、功耗低、成本低、兼容性廣、開放性強，可同時進行語音信號和數(shù)據(jù)的傳輸，具有較強的抗干擾能力。藍牙適用于兩個設備通過最簡單的配置進行連接的簡單應用。

藍牙在移動醫(yī)療中的推廣得益于藍牙4.0技術規(guī)范的推出。2010年6月30日，SIG正式推出藍牙4.0技術規(guī)范，主打低功耗性能，可將所有支持藍牙連接的設備互聯(lián)并且還有向上連接至電腦進而與整個互聯(lián)網(wǎng)相連。2013年和2014年又推出了4.1和4.2版本。結合藍牙模塊成熟、體積小、成本低等特性，廣泛用于設備和終端的連接和數(shù)據(jù)交換，適合于移動醫(yī)療的要求。特別對于可穿戴設備而言，其應用優(yōu)勢更是明顯。而WiFi通過互聯(lián)網(wǎng)連接上安裝訪問點來創(chuàng)造。在熱點覆蓋的區(qū)域，使用支持WiFi連接的設備便可隨時聯(lián)網(wǎng)，但隨之而來，數(shù)據(jù)安全性也廣受懷疑，這是移動醫(yī)療在應用中不得不考慮的一個因素[2]。2017年10月，用于保護WiFi安全的WPA/WPA2加密協(xié)議漏洞曝光，該漏洞名稱為“密鑰重裝攻擊”KRACK，幾乎影響全部計算機、手機和路由器等WiFi設備。11月又有新零日WiFi漏洞被發(fā)現(xiàn)。

1.2 藍牙與NFC的區(qū)別和優(yōu)勢

NFC是Near Field Communication的簡稱，中文名為“近場通信”，是一種短距離的高頻無線通信技術。它是由免接觸式射頻識別（RFID）演變而來，并向下兼容RFID，其允許電子設備之間非接觸式點對點進行短距離的數(shù)據(jù)傳輸。NFC略勝藍牙的地方在于設置程序較短。藍牙功能是在配對后進行數(shù)據(jù)的傳輸；而NFC不必配對，直接可以傳輸。

相比NFC，藍牙更適合移動醫(yī)療的重要因素是使用距離，對比NFC的10cm，藍牙就遠得多了，并且傳輸速度也高于NFC。

2.藍牙在移動醫(yī)療中的安全性考慮

2.1 藍牙標準中的三個基本服務

藍牙應用于移動醫(yī)療，在帶來極大便利的同時，也必須考慮其安全性。藍牙標準中指定了三個基本的安全服務。

認證：基于藍牙設備地址，驗證正在通信的設備的身份。藍牙設備的認證過程采用挑戰(zhàn)/響應方案的形式。挑戰(zhàn)/響應協(xié)議通過檢查藍牙鏈路密鑰驗證設備。藍牙標準允許進行單向和相互認證。對于相互認證，驗證方與申請方交換角色重復認證過程。如果認證失敗，藍牙設備在進行一個新的嘗試前等待一段時間。這個時間間隔按指數(shù)增加。

機密性：通過確保設備在被允許使用一項服務之前是已經(jīng)被授權的，來允許其對資源的控制。藍牙提供了一個單獨的保密服務，以防止在藍牙設備之間企圖竊聽包交換數(shù)據(jù)的有效載荷。藍牙有三種加密模式：對任何流量無加密；基于單獨鏈路密鑰，使用加密密鑰加密單獨編址的流量，不對廣播流量加密；基于主鏈路密鑰，使用加密密鑰對所有流量進行加密。

授權：通過確保允許設備使用服務前設備已被授權，實現(xiàn)資源控制。

2.2 藍牙的安全模式

在藍牙V4.0以前，藍牙BR/EDR/HS系列規(guī)范定義了4種安全模式，每個藍牙設備必須工作于這些模式之一。

安全模式1從不啟動安全功能，即認證和加密。設備和連接容易受到攻擊。在這個安全模式下，設備的不安全的；安全模式2是強制的服務安全模式，鏈接建立后，在控制器中實現(xiàn)認證和加密機制；安全模式3是強制的鏈路級安全模式，在物理鏈路完全建立前，要求驗證和加密所有出入的設備連接；安全模式4是強制的服務級安全服務，在物理和邏輯鏈路建立后使用安全簡單配對（SSP）。

藍牙V4.0引入了低功耗（LE），但同時支持BR/EDR/HS。LE旨在支持計算和存儲受限的設備，其安全性與BR/EDR/HS不同。LE設定了3種連接模式，分別為立即工作（Just Works）、萬能鑰匙進入（Passkey Entry）和帶外連接（Out of Band）[3]。LE第一次在藍牙規(guī)范中引入了AES-CCM加密算法。另外，LE還引入了諸如私有設備地址和數(shù)據(jù)簽名等功能，分別由新的加密密鑰-身份解析密鑰（IRK）和連接簽名解析密鑰（CSRK）支持這些功能。這些密鑰（LTK、IRK、CSRK）在LE配對期間生成并安全分發(fā)。藍牙LE利用AESCCM提供保密性，以及每包認證和完整性。由于LTK用作加密密鑰輸入。成功的加密設置提供了隱含的認證。雖然數(shù)據(jù)簽名不提供保密性，但對遠程設備持有正確CSRK提供了隱含的認證[4]。

2.3 安全威脅

雖然藍牙在設計時已經(jīng)含有安全策略，但并不是一個非常有效的安全系統(tǒng)，其安全性也受到無線網(wǎng)絡的威脅。對藍牙協(xié)議本身的攻擊可以分為兩類：主動攻擊和被動攻擊。主動攻擊是被沒有認證的第三方將正常通信的數(shù)據(jù)進行修改；被動攻擊可以是對傳輸內(nèi)容進行竊聽，也可以是對通信模式進行監(jiān)聽獲取相關信息。如：

藍牙漏洞攻擊（Bluesnar fi ng）：Bluesnar fi ng讓攻擊者能夠利用舊設備的固件漏洞來訪問開啟藍牙功能的設備。這種攻擊強制建立了一個到藍牙設備的連接，并允許訪問儲存在設備上的數(shù)據(jù)，包括設備的國際移動設備身份碼（IMEI）。IMEI是每個設備的唯一身份標識，攻擊者有可能使用它來把所有來電從用戶設備路由到攻擊者的設備。

藍牙劫持（Bluejacking）：Bluejacking是一種在開啟藍牙功能的設備上實施的攻擊，例如對手機的攻擊。攻擊者通過發(fā)送未經(jīng)請求的消息給開啟藍牙功能的設備用戶來發(fā)起B(yǎng)luejacking。實際的消息不會對用戶的設備造成損害，但是它們可以誘使用戶以某種方式做出響應或添加新聯(lián)系人到設備的地址薄。這種消息發(fā)送攻擊類似于對電子郵件用戶進行垃圾郵件和網(wǎng)絡釣魚攻擊。當用戶對包含有害目的之bluejacking消息發(fā)起了一個響應，則Bluejacking能夠造成危害。

藍牙竊聽（Bluebugging）：Bluebugging利用一個在一些較老設備固件上存在的漏洞來獲取設備和其命令的訪問權限。這種攻擊無需通知用戶就使用設備的命名，從而讓攻擊者可以訪問數(shù)據(jù)、撥打電話、竊聽通話、發(fā)送信息和利用設備提供的其他服務與功能。

拒絕服務（Denial of Service）：像其他無線技術一樣，藍牙也容易受到DoS攻擊。影響包括讓設備的藍牙接口無法使用和耗盡設備電池。這些類型的攻擊效果并不顯著，而且因為需要接近才能使用藍牙，所以通?？梢院苋菀椎赝ㄟ^簡單的移動到有效范圍之外來避免。

模糊測試攻擊（Fuzzing Attacks）：藍牙Fuzzing Attacks包括發(fā)送格式錯誤或其他非標準的數(shù)據(jù)給設備的藍牙射頻接口和觀察設備如何反應的。如果一個設備的運作被這些攻擊減慢或停止，一個嚴重的漏洞可能存在于協(xié)議棧之中。

配對竊聽（Pairing Eavesdropping）：PIN碼/傳統(tǒng)配對（藍牙2.0及更早版本）和LE配對（藍牙4.0）都易受到竊聽攻擊。如果給予足夠的時間，成功的竊聽者會收集所有的配對幀，然后他/她能夠確定這個（些）機密的密鑰——它允許受信設備模擬和主動/被動數(shù)據(jù)解密。

安全簡單配對攻擊（Secure Simple Pairing Attacks）：許多技術可以強制遠程設備使用立即工作SSP，然后利用其缺乏MITM保護的特性（例如，攻擊設備聲稱它沒有輸入/輸出功能）。此外，固定萬能鑰匙也可能讓攻擊者進行MITM攻擊[5]。

2.4 對移動醫(yī)療中使用的藍牙安全性建議

越來越多的移動醫(yī)療，特別在可穿戴醫(yī)療設備中使用到了藍牙技術，而醫(yī)療器械不同于別的設備，由于醫(yī)療器械的目的和性質，對數(shù)據(jù)的安全性和準確性有著相當高的要求。為滿足此要求，可以在應用層和鏈路層實現(xiàn)。但現(xiàn)有市場的情況在應用層進行安全實現(xiàn)的并不多。大多數(shù)的情況是直接使用市面上的藍牙模塊。

在產(chǎn)品設計中，首先通過改進加強藍牙標準中的安全體制進行提升，然后改變藍牙移動系統(tǒng)的加密算法來提升安全度，最后可以在應用層進行安全機制加強的環(huán)節(jié)，實現(xiàn)藍牙在移動醫(yī)療中的安全性[6]。因此，建議對移動醫(yī)療軟件進行設計規(guī)范，要求其在應用層和鏈路層都進行安全實現(xiàn)，進而保障數(shù)據(jù)的安全性和準確性[7]。

根據(jù)藍牙的基本服務、安全模式和鏈路級的安全，對移動醫(yī)療中藍牙的使用提出以下建議。

①根據(jù)之前所述的安全模式，盡可能應用較高的安全模式。當出現(xiàn)不同版本的藍牙設備進行配對時，應使用各自最安全的模式。

②更改藍牙設備的默認設置，不使用默認的PIN碼，增加PIN碼復雜度、隨機性、長度和隱私性；禁用不必要的藍牙配置文件和服務，以減少攻擊者可能試圖利用的漏洞。

③設置從設備為靜態(tài)狀態(tài)，只能和特定的主設備連接，屏蔽其他藍牙設備的搜索。

④連接時，主從設備分別請求對方發(fā)送ID號，確認是否為合法設備。

⑤對傳輸數(shù)據(jù)進行加密。

⑥當不需要時，確保藍牙設備處于關閉狀態(tài)，以減少設備暴露于惡意活動的機會。

⑦將藍牙設備設置為不可發(fā)現(xiàn)模式，以提高藍牙設備的安全性，減少不必要的安全威脅。

3.小結

隨著藍牙在移動醫(yī)療中的廣泛應用，有必要結合高層的認證機制來進一步提高系統(tǒng)的安全性，如采用服務級別安全模式來實現(xiàn)記憶用戶的接入控制，以安全管理器為核心進行認證、授權，動態(tài)發(fā)布密鑰進行加密等[8]。

[1] 劉康.藍牙技術簡介[J].江蘇通信技術,2001,17(2):41-44.

[2] 藍牙與WiFi無線連接哪個對移動設備最需要[J].計算機與網(wǎng)絡,2012,38(14):31.

[3] Bluetooth SIG. Bluetooth speci fi cation version4.0[EB/OL].https://www.Bluetooth.org/DocMan/handlers/DownloadDoc.ashx?doc_id=229737,2010-6/2015-1.

[4] 嚴霄鳳.藍牙安全研究[J].網(wǎng)絡安全技術與應用,2013,13(2):51-54.

[5] NIST. Guide to Bluetooth Security[EB/OL].http://csrc.nist.gov/publications/nistpubs/800-121-rev1/sp800-121_rev1.pdf,2012-6.

[6] 胡榮.藍牙安全性的改進與實現(xiàn)[D].成都:電子科技大學,2010.

[7] 譚鳳林,葛臨東.藍牙安全機制分析[J].信息工程大學學報,2002,3(2):76-78.

[8] 馬躍,曹秀英.藍牙鏈路級安全的研究[J].應用科學學報,2004,22(2):265-268.