论文摘要
身份认证与访问控制是信息系统防御主动攻击的主要安全机制。尽管蓝牙已在手机、耳机及键盘鼠标等领域得到广泛应用,然而其自身的安全问题却限制了蓝牙进一步应用。引入用户身份认证并增强访问控制功能是提高蓝牙安全性的有效手段。本文深入研究了蓝牙协议规范与通信特点,分析了安全方面存在的问题和不足。针对蓝牙无用户认证以及访问控制弱的突出问题,结合相关安全因素及所研究课题的需求,设计了蓝牙安全应用系统的总体结构。通过研究蓝牙通信与设备认证过程,本文提出了一种用户认证的引入机制,进而构造了用户与设备双重身份的认证方案。结合蓝牙自身特点及应用实际,设计了用户认证协议S-ECSRP。引入用户认证机制可以识别连接的远程设备使用者的身份,解决了蓝牙访问的用户无关性带来的诸多问题。实验表明,认证方案能够实现用户与设备两种身份的无缝结合,是合理可行的,并且S-ECSRP协议也是实用有效的。在保证身份可靠性的前提下,本文结合蓝牙各协议层通信特点,采用现有的访问控制技术,设计了一种层次化的访问控制方案。方案在HCI层采用是否允许连接的粗粒度控制,L2CAP和RFCOMM层上采取针对协议的自主访问控制,并在服务应用上实现了细粒度的强制访问控制。实验结果显示,方案在不失应用灵活性的同时,能更全面地保障蓝牙访问的安全。在对身份认证与访问控制研究的基础上,基于BlueZ协议栈,分别在主机和嵌入式安全平台上实现了蓝牙安全应用系统。系统主要包括注册授权、身份认证和访问控制三个功能模块。