Link Manager Protocol Specificat
4.2 Security
4.2.1 Authentication
定义有2种认证:传统型和安全型。如果有一个设备不从controller和host 2方面支持安全认证,则采用传统型认证。安全型认证需要两端设备同时都支持controller和host的安全连接。
传统型认证基于challenge-response机制。认证者发出包含一个随机数的LMP_au_rand
给远端,远端收到后计算一个回复,这个回复由那个随机数,远端地址和密钥共同决定。认证者接收到回复后判断是否正确。这个回复的成功计算需要双方共享密钥。master和slave都可以作为认证的发起者。
安全认证就是一个challenge-reponse机制。认证者发出包含一个随机数的LMP_au_rand
给远端,远端回复另一个包含随机数的LMP_au_rand
。两端LM都需要用h4函数计算Device Authentication Key, SRES_master和SRES_slave,用h5函数计算ACO值。slave将计算的SRES_slave发给master, master将计算的SRES_master发给slave。这个认证的成功也需要双方共享密钥。
4.2.1.1 Claimant has Link Key(Legacy Authentication)
如果被认证者拥有与认证者相关的link key,那么它能计算回复,通过LMP_sres
发给认证者。如果认证者检查后发现不正确,那么认证者将结束这个连接,发送LMP_detach
,错误码为Authentication Failure(0x05))
。
一旦收到一个
LMP_au_rand
,LM必须在发起它自己的认证前回复LMP_sres
。当两端同时发起认证时,根据2.5.1节处理,确保他们计算密钥有相同的ACO。(???)
4.2.1.2 Claimant has no Link Key(Legacy Authentication and Secure Authentication)
如果被认证者没有link key,它会回复LMP_not_accepted
,错误码PIN or Key Missing(0x06)
。这个过程传统认证和安全型认证都一样。
4.2.1.3 Repeated Attempts
具体在5.1节中描述,可以防止攻击者在短时间内尝试大量的key
4.2.1.4 Responder has Link Key(Secure Authentication)
master和slave都可以做认证者和被认证者。发起者是先发LMP_au_rand
的那个。
发起者发送LMP_au_rand
给接收者,如果接收者有相关的link key,它也会以LMP_au_rand
回复。然后发起者和接收者都会计算回复。slave首先回复包含SRES_slave的LMP_sres
。然后master回复包含SRES_master的LMP_sres
。master需要确认收到的SRES_slave与自己计算出的SRES_slave是否一致,slave需要确认收到的SRES_master与自己计算出的SRES_master是否一致。如果不一致,任一设备都可发送LMP_detach
,错误码为Authentication Failure(0x05))
来结束连接。
如果master和slave同时发起安全型认证,那么master会拒绝slave的
LMP_au_rand
,回复LMP_not_accepted
,错误码LMP Error Transaction Collision(0x23)。slave会重新发起TID为0的
LMP_au_rand`。安全型认证是一个双向认证。
4.2.2 Pairing
如果2个设备没有共同的link key,那么会通过pairing或者Secure Simple Pairing过程来创建一个初始key。如果用pairing流程,那么初始key会基于PIN,随机数和蓝牙地址来建立。当双方都有计算好了的初始key,那么link key将会被创建,双向认证可以继续进行。pairing流程开始于设备发送LMP_in_rand
。
4.2.2.1 Responder Accepts Pairing
当发起者发送LMP_in_rand
后,应答者回复LMP_accepted
。双方基于应答者的蓝牙地址计算初始key,然后创建link key。
4.2.2.2
如果应答者有一个固定的PIN,那么它将产生一个随机数作为参数随LMP_in_rand
返回发起者。如果发起者的PIN可变,那么它会接收这个LMP_in_rand
,回复LMP_accepted
。双方基于这个随机数和发起者的蓝牙地址来计算初始key,然后创建link key。
如果应答者有一个固定PIN,发起者也有一个固定PIN,那么第二个
LMP_in_rand
会被发起者拒绝,发送LMP_not_accepted
,错误码Pairing not Allowed(0x18)
。4.2.2.3 Responder Rejects Pairing
如果应答者拒绝pairing,它会发送LMP_not_accepted
,错误码Pairing not Allowed(0x18)
。
4.2.2.4 Creation of the Link Key
当双方都计算了初始key后就会开始创建link key。link key会在随后连接的认证过程中用到,直到它改变。pairing过程创建的link key可能是一个联合的key或者是单个设备的unit key。
- 如果一个设备发送
LMP_unit_key
,另一个设备发送LMP_comb_key
,那么link key是unit key。 - 如果双发都发送
LMP_unit_key
,那么将采用master的unit key为link key。 - 如果双发都发送
LMP_comb_key
,那么将按PartH 3.2节计算link key。
LMP_unit_key
是由unit key 按位异或初始key,LMP_comb_key
是由LK_RAND按位异或初始key得到的。设备配置为使用联合key的都会保存link key。
不建议使用unit key,因为安全性不佳。
如果link key已经创建成功,那么会继续进行认证来保证双方产生的link key一致。认证以后,发起者会暂停,立即重新加密产生一个新的密钥。所以在认证过程中,ACO会产生一个新的密钥,如果采用E0加密方式,重新加密时会随LMP_start_encryption_req
发送一个随机数。
4.2.2.5 Repeated Attempts
如果创建了link key后的认证由于错误的认证回复失败了,4.2.1.3节的内容同样适用。可以防止攻击者在短时间内尝试大量的PIN码