【问题标题】:Bonding pincode and connection authentication绑定密码和连接认证
【发布时间】:2021-06-26 17:02:22
【问题描述】:

我尝试在我的 Movesense 2.0.0 传感器上配置绑定密码,并且在尝试使用 MDS 或 nRF Connect 等应用程序连接到传感器时,我预计会被要求提供该密码。
但是我得到的看起来与 Just Works 模式相同,并且只有当我尝试通过系统的蓝牙设置配对设备时才会询问绑定 PIN。发生这种情况是因为在第一种情况下只有连接而没有配对吗?在系统级配对传感器有哪些优点/用例?
我正在寻找一种方法来防止从不知道秘密访问代码(如 PIN 码)的设备对传感器进行未经授权的访问(连接、API 请求)。 BLE/Movesense 是否提供这样的机制?

【问题讨论】:

    标签: movesense


    【解决方案1】:

    蓝牙和 Movesense 都没有提供安全“使用密码登录”的方法。蓝牙中存在的密钥绑定机制只是为了避免中间人攻击而设计的,并且密钥每次都必须是随机的,因为协议在每次尝试后都会显示密钥。根据规范,某些人使用的静态密钥是不允许的。它可能会阻止您的祖母访问设备,但在协议级别根本不安全。

    如果您在系统级别绑定设备,则进一步的通信将是安全的(加密和身份验证),并且例如可以防止欺骗攻击。由于可以使用 GATT 缓存,因此还可以加快设备连接设置。

    您并没有说您使用的是什么“系统”,所以这只是一个一般性的答案。

    【讨论】:

      猜你喜欢
      • 2013-09-18
      • 2017-07-26
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-07-24
      • 2013-11-06
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多