【蓝牙协议栈】【BLE】低功耗蓝牙配对绑定过程分析（超详细）

1. 精讲蓝牙协议栈（Bluetooth Stack）：SPP/A2DP/AVRCP/HFP/PBAP/IAP2/HID/MAP/OPP/PAN/GATTC/GATTS/HOGP等协议理论

2. 欢迎大家关注和订阅，【蓝牙协议栈】和【Android Bluetooth Stack】专栏会持续更新中.....敬请期待！

1. 配对/绑定概念介绍

2. 配对基本概念解读

3. Paring流程及命令

2.1 阶段1：配对特性交换

2.2 阶段2：密钥生成

2.2.1 legacy paring

2.2.2 LESC paring

2.3 阶段3：秘密信息分发

2.4 绑定，重连和加密

2.5 配对命令一览表

1. 配对/绑定概念介绍

Paring（配对）和bonding（绑定）是实现蓝牙射频通信安全的一种机制，有两点需要注意：

1. paring/bonding实现的是蓝牙链路层的安全，对应用来说完全透明，也就是说，不管有没有paring/bonding，你发送或接收应用数据的方式是一样的，不会因为加了paring/bonding应用数据传输需要做某些特殊处理；

2. 安全有两种选项：加密或者签名，目前绝大多数应用都是选择加密，后续我们也会以加密为重点进行讲述。实现蓝牙通信安全，除了paring/bonding这种底层方式，用户也可以在应用层去实现相同功能，两者从功能上和安全性上没有本质区别，只不过应用层自己实现的话，需要自己选择密码算法，密钥生成，密钥交换等，如果你不是这方面的专家，你的应用就有可能会存在安全漏洞。Paring/bonding则把上述过程标准化，放在了蓝牙协议栈中，并且其安全性得到了充分评估，用户可以 “无感的” 用上安全的蓝牙通信。

Paring/bonding是蓝牙security manager（SM）的一部分，SM定义了蓝牙通信的安全框架，里面涉及安全架构，密码工具箱，paring协议等，其中paring协议是关键，所以我们经常把paring和SM二者等价，下面将对paring进行详细阐述。

2. 配对基本概念解读

Paring（配对），配对包括配对能力交换，设备认证，密钥生成，连接加密以及机密信息分发等过程，配对的目的有三个：加密连接，认证设备，以及生成密钥。从手机角度看，一旦设备跟手机配对成功，蓝牙配置菜单将包含该配对设备，如下所示：

如果用户需要主动删除配对设备，点击配对设备右边的“设置”菜单，出现如下界面，选择“取消配对”或者“忽略该设备”，设备的配对信息即被手机删除。

Bonding（绑定），配对过程中会生成一个长期密钥（LTK，long-term Key），如果配对双方把这个LTK存储起来放在Flash中，那么这两个设备再次重连的时候，就可以跳过配对流程，而直接使用LTK对蓝牙连接进行加密，设备的这种状态称为bonding。如果paring过程中不存储LTK（不分发LTK）也是可以的，paring完成后连接也是加密的，但是如果两个设备再次重连，那么就需要重走一次paring流程，否则两者还是明文通信。在不引起误解的情况下，我们经常把paring当成paring和bonding两者的组合，因为只paring不bonding的应用情况非常少见。在不引起混淆的情况下，下文就不区分paring和bonding的区别，换句话说，我们会把paring和bonding两个概念等同起来进行混用。

SM（security manager），蓝牙协议栈的安全管理层，规定了跟蓝牙安全通信有关的所有要素，包括paring，bonding，以及下文提到的SMP。

SMP（security manager protocol），安全管理协议，SMP着重两个设备之间的蓝牙交互命令序列，对paring的空中包进行了严格时序规定。

OOB（out of band，带外），OOB就是不通过蓝牙射频本身来交互，而是通过比如人眼，NFC，UART等带外方式来交互配对信息，在这里人眼，NFC，UART通信方式就被称为OOB通信方式。

Passkey，又称pin码，是指用户在键盘中输入的一串数字，以达到认证设备的目的。低功耗蓝牙的passkey必须为6位。

Numeric comparison（数字比较），numeric comparison其实跟passkey一样，也是用来认证设备的，只不过passkey是通过键盘输入的，而numeric comparison是显示在显示器上的，numeric comparison也必须是6位的数字。

MITM（man in the middle），MITM是指A和B通信过程中，C会插入进来以模拟A或者B，并且具备截获和篡改A和B之间所有通信报文的能力，从而达到让A或者B信任它，以至于错把C当成B或者A来通信。如果对安全要求比较高，需要具备MITM保护能力，在SM中这个是通过认证（authentication）来实现的，SM中实现认证的方式有三种：OOB认证信息，passkey以及numeric comparison，大家根据自己的实际情况，选择其中一种即可。

LESC（LE secure connections），又称SC，蓝牙4.2引入的一种新的密钥生成方式和验证方式，SC通过基于椭圆曲线的Diffie-Hellman密钥交换算法来生成设备A和B的共享密钥，此密钥生成过程中需要用到公私钥对，以及其他的密码算法库。LESC同时还规定了相应的通信协议以生成该密钥，并验证该密钥。需要注意的是LESC对paring的其他方面也会产生一定的影响，所以我们经常会把LESC看成是一种新的配对方式。

Legacy paring，在LESC引入之前的密钥生成方式，称为legacy paring，换句话说，legacy paring是相对LESC来说的，不支持LESC的配对即为legacy paring（legacy配对）。

TK（Temporary Key，临时密钥），legacy paring里面的概念，如果采用just work配对方式，TK就是为全0；如果采用passkey配对方式，TK就是passkey；如果采用OOB配对方式，TK就是OOB里面的信息。

STK（short term key，短期密钥），legacy配对里面的概念，STK是通过TK推导出来的，通过TK对设备A和B的随机数进行加密，即得到STK。

LTK（long term key，长期密钥），legacy配对和LESC配对都会用到LTK，如前所述，LTK是用来对未来的连接进行加密和解密用的。Legacy paring中的LTK由从设备根据相应的算法自己生成的（LTK生成过程中会用到EDIV（分散因子）和Rand（随机数）），然后通过蓝牙空中包传给主机。LESC配对过程中，先通过Diffie-Hellman生成一个共享密钥，然后这个共享密钥再对设备A和B的蓝牙地址和随机数进行加密，从而得到LTK，LTK由设备A和B各自同时生成，因此LTK不会出现在LESC蓝牙空中包中，大大提高了蓝牙通信的安全性。

IRK（Identity Resolving Key，蓝牙设备地址解析密钥），有些蓝牙设备的地址为可解析的随机地址，比如iPhone手机，由于他们的地址随着时间会变化，那如何确定这些变化的地址都来自同一个设备呢？答案就是IRK，IRK通过解析变化的地址的规律，从而确定这些地址是否来自同一个设备，换句话说，IRK可以用来识别蓝牙设备身份，因此其也称为Identity information。IRK一般由设备出厂的时候按照一定要求自动生成。

Identity Address（设备唯一地址），蓝牙设备地址包括public，random static， private resolvable，random unresolved共四类。如果设备不支持privacy，那么identity address就等于public或者random static设备地址。如果设备支持privacy，即使用private resolvable蓝牙设备地址，在这种情况下，虽然其地址每隔一段时间会变化一次，但是identity address仍然保持不变，其取值还是等于内在的public或者random static设备地址。Identity Address和IRK都可以用来唯一标识一个蓝牙设备。

IO capabilities（输入输出能力），是指蓝牙设备的输入输出能力，比如是否有键盘，是否有显示器，是否可以输入Yes/No两个确认值。

Key size（密钥长度），一般来说，密钥默认长度为16字节，为了适应一些低端的蓝牙设备处理能力，你也可以把密钥长度调低，比如变为10个字节。

3. Paring流程及命令

Paring包含三个阶段：

配对特性交换，即交换各自都支持哪些配对特性，比如支不支持SC，支不支持MITM，支不支持OOB，以及它的输入输出能力等
密钥生成阶段，legacy paring和LESC paring两者的区别就在这里，因此后续我们会分开阐述legacy paring和SC paring的阶段
Legacy paring：STK生成（注：legacy paring的LTK生成跟配对流程无关，如前所述，其是由从机自己生成的）
SC paring：LTK生成
3. 通过蓝牙空中包分发一些秘密信息。Legacy paring需要分发LTK，IRK等，而SC paring只需分发IRK。秘密信息分发之前，必须保证连接已加密。

Paring流程如下所示：

2.1 阶段1：配对特性交换

配对特性交换涉及三条PDU命令：

Paring_Request

Paring_Response

Security_Request

IO Capability占一个字节，其定义如下所示：

AuthReq也是占用一个字节，其定义如下所示：

2.2 阶段2：密钥生成

根据阶段1的IO输入输出能力以及是否存在OOB，阶段2存在如下几种配对方式（或者说认证方式）

Just works
Numeric comparison（LESC才有）
Passkey
OOB

对于legacy paring，如果A和B都支持OOB，那么两者就会采用OOB方式进行配对，否则根据IO能力选择配对方式。

对于SC paring，如果A或者B有一方支持OOB，那么两者就会采用OOB方式进行配对，否则根据IO能力选择配对方式。不同的IO能力对应的配对方式如下所示：

注：粗略来说，有认证的配对方式就具备MITM保护功能，从IO角度看，有三种配对方式：just works，passkey和Numeric Comparison，其中just works没有MITM保护功能，而passkey和Numeric comparison具备MITM保护功能。换句话说，如果你要求你的设备具备MITM保护功能，那么它必须有一定IO能力，而不能是“NoInputNoOutput”。至于OOB方式有没有MITM保护，取决于OOB通信的安全性，如果OOB通信具备MITM保护，那么蓝牙也具备MITM保护，否则就不具备。

下面分legacy paring和sc paring对配对流程进行讲解。

2.2.1 legacy paring

Legacy paring整个配对流程是围绕STK生成来做的，设备的认证是通过设备A和B经由TK生成一个确认数，如果这个确认数相同，则认证通过。

如前所述，legacy paring需要先生成TK，TK的生成方式取决于配对方式：

Just works。TK默认为全0
Passkey。TK由6位passkey扩展而来
OOB。TK直接由OOB数据提供

然后生成确认数，算法如下所示

生成STK的算法如下所示：

以passkey legacy paring为例，其第2阶段全工作流程如下所示：

Just works和OOB配对流程就不再赘述了，大家自己去看一下蓝牙核心规范的说明。

这里强调一下，配对完成之后，连接就会加密，而且加密的密钥是STK，而不是LTK。

2.2.2 LESC paring

跟legacy paring不一样的地方，LESC paring是通过Diffie-Hellman算法直接生成LTK，因此它不需要生成TK和STK。为了生成LTK，双方需要先交换公钥，流程如下所示：

公钥交换后，设备A和B就开始独自计算各自的DHKey，按照D-H算法，他们俩算出的DHKey会是同一个。而LTK和MacKey就是通过这个DHKey加密一系列数据而得到的。

Legacy paring在整个配对流程中只做一次认证，而LESC paring会做两次认证。LESC第一阶段认证的原理是，设备A和B各生成一个随机数，然后认证这个随机数对不对。LESC第二阶段认证过程是：设备A和B通过MacKey各生成一个检查值，对方确认这个值对不对。

以LESC Numeric comparison为例，其第一阶段认证流程如下所示：

我们还是以LESC Numeric comparison为例，其第二阶段全工作流程如下所示：

一旦LTK生成成功，主机端就可以发起加密连接流程，如下所示：

至此，LESC连接被LTK加密了，后面就可以分发秘密信息了。

2.3 阶段3：秘密信息分发

一旦连接加密了，主机和从机之间就可以分发一些秘密信息。

如果是legacy paring，如下秘密信息必须分发：

LTK
EDIV
Rand

同时根据情况，legacy paring还需分发如下信息：

IRK
Identity address

如果是LESC paring，秘密信息分发是可选，一般有可能分发如下信息：

IRK
Identity address

如下为legacy paring可能分发的最多秘密信息的一个例子：

2.4 绑定，重连和加密

如上所述，如果配对的两个设备生成了LTK及其他秘密信息，并且把LTK及其他秘密信息保存到Flash等永久化存储设备中，那么我们就可以说这两个设备绑定成功。换句话说，paring和bonding是两个不同的概念，paring更强调认证和密钥生成，而bonding更强调密钥保存。一旦两个设备bonding成功，那么这两个设备断开再次重连的时候，主机就可以发起加密流程，从而使用paring生成的LTK对后续的连接进行加密。主机发出加密连接流程如下所示：