交换公钥阶段
配网器与未配网设备配网时,需要发布网络秘钥与地址。如果没有没有加密,那么任意一个蓝牙设备,发送相同的广播数据,就能操控整个网络,这是不安全的。为什么需要地址,mesh网络是支持单播,组播和广播三种方式,那么每一个节点都要单播地址,组播地址和广播地址,要不然在收到消息后,没法判断本节点该怎么处理这条消息,因为mesh是基于洪泛的方式。
为了解决安全问题,蓝牙mesh规范要求配网器与未配网设备在配网时均需要对对方身份进行验证,然后将配网信息加密后发布给未配网设备。在蓝牙mesh规范中,先采用(ECDH算法)非对称秘钥方式计算出对称的加密密钥,然后用计算出的对称密钥对消息进行加密、解密(AES-CCM算法)。
可以使用两种算法交换设备的ECDH公共密钥:(1)通过蓝牙通道进行明文交换(2)通过OOB隧道进行交换。(在Provisioning Capabilities返回的数据中已经决定,Public Key Type字段)
Provisioning Start(配网开始)
消息由配网器发送给未配网设备,其数据格式如下:
Provisioning Public Key(配网公钥)
消息由配网器发送给设备,是配网器的公钥,配网器公钥消息包含X和Y两部分,分别占32字节。当Provision Start消息中的公钥为OOB公钥时,此消息不存在,双方通过诸如二维码、NFC等OOB方式交互公钥。
ECDH秘钥计算
当公钥交换阶段的交互流程结束后,配网器与未配网设备均需验证收到的公钥有效性(是否位于ECC椭圆曲线上),如验证为无效的公钥,则需要退出配网流程。
ECDH算法全称是椭圆曲线迪菲-赫尔曼秘钥交换(Elliptic Curve Diffie–Hellman key Exchange),是ECC算法和DH秘钥交换相结合的一种算法。DH是”Diffie-Hellman"的意思。它实际上是密钥协商算法,而不是加解密算法。主要是用来在一个不安全的通道中建立起安全的共有加密资料,一般来说交换的都是私钥,这个密钥一般作为“对称加密”的密钥而被双方在后续数据传输中使用。ECDH是建立在这样一个前提之上的,给定椭圆曲线上的一个点P,一个整数k,求Q=KP很容易;但是通过Q,P求解K很难。
协议所面临的问题
由于 ECDH 密钥交换协议不验证公钥发送者的身份,因此无法阻止中间人攻击。如果监听者 Mallory 截获了 Alice 的公钥,就可以替换为他自己的公钥,并将其发送给 Bob。Mallory 还可以截获 Bob 的公钥,替换为他自己的公钥,并将其发送给 Alice。这样,Mallory 就可以轻松地对 Alice 与 Bob 之间发送的任何消息进行解密。他可以更改消息,用他自己的密钥对消息重新加密,然后将消息发送给接收者。
Mesh网络中,配网器和设备均需要根据自己对应的私钥和收到的公钥消息中对方的公钥计算ECDH秘钥。ECDH秘钥的算法为P-256。
身份认证阶段
蓝牙mesh规范使用的ECDH算法可以较为显著的对抗被动监听及暴力计算攻击,但无法对抗中间人攻击,所以需要在ECDH计算密钥结束后对配网器和未配网设备进行身份认证,认证的方式是通过两者共享的密钥对某个随机值进行加密计算并生成确认值,然后将这两个值都交给对方设备进行身份认证。
在蓝牙mesh规范中,身份认证过程包含了对设备端和配网器端的认证,两者均会和对方交互一个Confirmation Value,以及生成此Confirmation Value的Random Value,Confirmation value的计算使用了ECDH秘钥、配网交互数据包及OOB认证信息。当一方接收到完整的Confirmation Value和Random Value后会根据自己的ECDH密钥、配网交互数据包及OOB认证信息,对收到的Random Value重新计算,生成一个Confirmation Value,然后与收到的Confirmation Value对比,如果相同则认证成功,如果失败则退出配网。当两者均完成认证后,整个认证流程结束。
在mesh规范中,定义了3种OOB认证方式:(1)输出式OOB认证(2)输入式OOB认证(3)静态OOB或无OOB认证。
- (1)输出式OOB认证:由设备通过一种方式告诉配网器的使用者,来确定这个随机数。比如:未配网设备是一个灯,通过闪烁的次数来确定随机数是几。如果未配网设备有一个LCD的屏幕,它就可以显示一个多位的随机数。
- (2)输入式OOB认证:配网器显示一个随机数,在未配网设备上以一种方式将随机数输入未配网设备。例如:一个点灯开关允许用户在一个特定的时间内按适当的次数用作随机数的输入。
- (3)静态OOB或无OOB认证:如果未配网设备与配网器的输入输出能力受限,无法使用输入式OOB认证方式和输出式OOB认证方式。静态OOB是采用一个中间人无法得知的预设共享密钥。无OOB认证方式是比较危险的。
分发配网数据
配网器负责生成并分发配网数据到未配网设备,网络数据包括如:“Network Key(网络密钥)”以及“Unicast Address(设备地址)”等重要数据。
Provisioning Complete / Provisioning Failed
配网完成没有参数。配网失败在mesh规范中定义了9种错误码。
分发配网数据的加密方式
为了更安全地分发配网数据,配网器需要使用AES-CCM算法来加密配网数据,比如算法涉及两个加密密钥参数:Session Key和Session Nonce,他们均由ECDH密钥派生。
配网器将加密后的配网数据包发送给未配网设备,未配网设备从数据中获知Unicast Address和Network Key之后,即可加入蓝牙mesh网络,成为网络中的一个节点。