抗疫用藍(lán)牙健康監(jiān)測設(shè)備信息安全實(shí)驗(yàn)技術(shù)

張 蒙，胡曦明,2*，吳振強(qiáng),2，王 亮,2

(1.陜西師范大學(xué) 計(jì)算機(jī)科學(xué)學(xué)院，陜西 西安 710119；2.現(xiàn)代教學(xué)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710119)

0 引 言

隨著疫情防控常態(tài)化，面向大眾隨時(shí)隨地開展大規(guī)模、低成本、無接觸式生命體征自動(dòng)采集與監(jiān)控井噴式爆發(fā)并成為疫情防控的剛性需求，而生活中常見的藍(lán)牙體溫槍、臂式體溫儀、藍(lán)牙血壓計(jì)等藍(lán)牙智能健康監(jiān)測設(shè)備憑借價(jià)格低廉與簡便易用的產(chǎn)品優(yōu)勢正好契合醫(yī)院[1]、社區(qū)[2]、車站[3]、商超、學(xué)校等民生一線普及體溫、心率、血壓等生命體征常規(guī)性監(jiān)測的急迫需求。這類家用級藍(lán)牙電子消費(fèi)品迅速填補(bǔ)并擠占醫(yī)用級抗疫醫(yī)護(hù)設(shè)備市場[4]，由此催生眾多無醫(yī)用設(shè)備生產(chǎn)資質(zhì)的信息產(chǎn)業(yè)廠家紛紛涌入并密集推出“槍、儀、計(jì)、器”等形形色色的藍(lán)牙健康監(jiān)測設(shè)備迎合疫情防控市場需求。

不可否認(rèn)，應(yīng)急之下家用級藍(lán)牙健康監(jiān)測設(shè)備成功跨界填補(bǔ)醫(yī)用剛需，既可化解基層一線疫情防控“燃眉之急”，亦可助力信息技術(shù)產(chǎn)業(yè)拓展市場，但是家用級藍(lán)牙健康監(jiān)測設(shè)備的信息安全性也因跨界出現(xiàn)監(jiān)管“真空”，現(xiàn)有國家食品藥品監(jiān)督管理體系尚未對此建立相應(yīng)信息安全認(rèn)證標(biāo)準(zhǔn)來規(guī)范生產(chǎn)廠商與產(chǎn)品市場，由此導(dǎo)致被監(jiān)測民眾的個(gè)人信息、生命體征和生活習(xí)慣等私密數(shù)據(jù)在采集與傳輸過程中因設(shè)備安全漏洞面臨惡意盜用、非法篡改等嚴(yán)重安全威脅，研究一種適用于基層一線人員不依賴專業(yè)檢測環(huán)境即可自主開展藍(lán)牙健康監(jiān)測設(shè)備信息安全檢驗(yàn)的實(shí)驗(yàn)技術(shù)成為確保疫情防控信息安全的現(xiàn)實(shí)需求，同時(shí)也可倒逼廠商升級優(yōu)化產(chǎn)品，以技術(shù)創(chuàng)新賦能健康監(jiān)測細(xì)分市場育新機(jī)、開新局。

1 藍(lán)牙健康監(jiān)測設(shè)備信息安全研究現(xiàn)狀

以中國知網(wǎng)(CNKI)收錄2008-2021年的普刊和核刊為文獻(xiàn)統(tǒng)計(jì)源，分別以關(guān)鍵詞“可穿戴醫(yī)療設(shè)備”或“智慧醫(yī)療”并含“藍(lán)牙”以及“安全技術(shù)”或“實(shí)驗(yàn)技術(shù)”，通過檢索、篩選得到學(xué)術(shù)文獻(xiàn)23篇，通過文獻(xiàn)調(diào)查法和主題聚類分析藍(lán)牙健康監(jiān)測設(shè)備安全性技術(shù)發(fā)展現(xiàn)狀與趨勢，如表1所示。

表1 藍(lán)牙健康監(jiān)測設(shè)備文獻(xiàn)調(diào)查情況

(統(tǒng)計(jì)來源：2008-2021中國知網(wǎng)CNKI收錄期刊)

(1)偏重面向理論研究安全防御，缺乏面向?qū)嵺`安全檢測。

總體來看，安全防御理論性研究文獻(xiàn)占比60.9%，集中聚焦三個(gè)主題。一是加密算法，例如武漢大學(xué)馬方方提出基于本地差分隱私模型的隱私保護(hù)算法防御可穿戴設(shè)備數(shù)值型敏感數(shù)據(jù)泄露威脅[5]，中國電子科技集團(tuán)公司第二十研究所王樂提出基于匿名化算法與屬性加密相融合的隱私保護(hù)算法有效實(shí)現(xiàn)用戶隱私信息保護(hù)[6]；二是認(rèn)證方式，武漢大學(xué)王俊提出基于PUF和IPI的輕量級雙因子認(rèn)證協(xié)議有效阻止可穿戴設(shè)備面臨的妥協(xié)和假冒等攻擊[7]；三是安全協(xié)議，信息工程大學(xué)耿君峰建立基于藍(lán)牙安全查詢、尋呼及會(huì)話更新安全協(xié)議防御用戶位置隱私泄露威脅[8]。安全防護(hù)不等同于防御技術(shù)，其中還應(yīng)包括真實(shí)場景下設(shè)備的安全效能檢測技術(shù)，當(dāng)前重防御理論研究而輕面向真實(shí)設(shè)備“真刀真槍”安全檢測的失衡現(xiàn)狀易導(dǎo)致“研”與“用”難以形成閉環(huán)。

(2)專業(yè)化安全檢測技術(shù)服務(wù)于科研實(shí)驗(yàn)而非公共應(yīng)用。

現(xiàn)有為數(shù)不多圍繞手環(huán)、Fitbit、智能手表等藍(lán)牙健康監(jiān)測設(shè)備信息安全檢測的研究，一方面是技術(shù)性綜述，例如國防科技大學(xué)劉強(qiáng)基于可穿戴健康跟蹤設(shè)備Fitbit進(jìn)行可穿戴設(shè)備安全與隱私實(shí)例分析和隱私保護(hù)技術(shù)總結(jié)[9]。另一方面是高校、研究所等科研機(jī)構(gòu)開展加密算法、安全協(xié)議研發(fā)過程中為實(shí)現(xiàn)原型驗(yàn)證服務(wù)的附屬，例如天津大學(xué)金志剛基于物聯(lián)網(wǎng)智能鎖通過利用CPN模型分析仿真實(shí)驗(yàn)驗(yàn)證加固后的通信模型能更有效抵御非法重放攻擊以及竊聽[10]。

從技術(shù)特征分析，上述安全防護(hù)實(shí)驗(yàn)技術(shù)專業(yè)性強(qiáng)、操作復(fù)雜度高、實(shí)現(xiàn)成本大，僅適用于科研人員在實(shí)驗(yàn)室等專門環(huán)境下開展。著眼后疫情時(shí)代，常態(tài)化大眾生命體征監(jiān)測有升格為社會(huì)公共衛(wèi)生服務(wù)保障體系重要組成的發(fā)展趨勢，低技術(shù)門檻、便攜高效可供實(shí)地實(shí)時(shí)檢驗(yàn)藍(lán)牙健康監(jiān)測設(shè)備信息安全性的實(shí)驗(yàn)技術(shù)是保障防疫信息安全亟待研究的新課題。

2 基于個(gè)人移動(dòng)端的信息安全檢測實(shí)驗(yàn)技術(shù)

2.1 總體架構(gòu)

遵循“隨時(shí)、隨地、隨手”不依賴專業(yè)檢測設(shè)備開展無損檢測實(shí)驗(yàn)的設(shè)計(jì)原則和技術(shù)要求，提出基于個(gè)人移動(dòng)端“手機(jī)+筆記本電腦”打造模塊化、便攜式、輕量級藍(lán)牙健康監(jiān)測設(shè)備信息安全實(shí)驗(yàn)技術(shù)，總體架構(gòu)如圖1所示。

圖1 藍(lán)牙檢測設(shè)備信息安全實(shí)驗(yàn)技術(shù)總體架構(gòu)

(1)用戶模塊。

在醫(yī)院、學(xué)校、機(jī)場等社會(huì)公共場所，醫(yī)務(wù)、安保、地勤等一線疫情防控工作人員，采用定點(diǎn)架設(shè)、手持臨檢或定時(shí)采集等方式對園區(qū)出入者、集中隔離者、重點(diǎn)人群等進(jìn)行體溫、血壓、血氧、心率等常規(guī)性體征監(jiān)測。

(2)設(shè)備模塊。

體溫槍、血糖儀、血壓計(jì)等常用藍(lán)牙健康監(jiān)測設(shè)備，實(shí)現(xiàn)對被測者常規(guī)生命體征的實(shí)時(shí)、定時(shí)或階段性采集，并及時(shí)將采集數(shù)據(jù)通過藍(lán)牙傳輸至檢測模塊。

(3)檢測模塊。

采用“手機(jī)+筆記本電腦”，其中手機(jī)通過系統(tǒng)升級、APP安裝等操作將普通智能手機(jī)打造成安全檢測“操作端”，可實(shí)現(xiàn)實(shí)時(shí)收集、監(jiān)測上傳的藍(lán)牙報(bào)文并可向設(shè)備下發(fā)多種特定檢測報(bào)文，整個(gè)交互過程由筆記本電腦通過Wireshark等可視化協(xié)議分析軟件開展報(bào)文分析，報(bào)文交互與報(bào)文分析相結(jié)合從而實(shí)現(xiàn)安全性檢測。

2.2 工作過程

藍(lán)牙健康監(jiān)測設(shè)備信息安全檢測步驟以及對應(yīng)的設(shè)備配置與詳細(xì)操作，如圖2所示。

圖2 配置與操作

(1)檢測接入。

按照“隨時(shí)、隨地、隨手”開展檢測的性能設(shè)計(jì)，操作端手機(jī)運(yùn)行藍(lán)牙掃描連接APP(例如：nrf connect)，先掃描獲取被檢測設(shè)備在藍(lán)牙連接中的名稱，再以該名稱查找設(shè)備MAC地址，然后即可針對該地址進(jìn)行發(fā)起檢測接入。

(2)檢測操作。

采用基于手機(jī)“btsnoop_hci.log+MX藍(lán)牙模塊”的測量技術(shù)。btsnoop_hci.log是Android系統(tǒng)自動(dòng)生成的藍(lán)牙調(diào)試文件，記錄藍(lán)牙設(shè)備與手機(jī)通信的所有數(shù)據(jù)，支持對藍(lán)牙hci以上協(xié)議層的詳細(xì)分析；MX藍(lán)牙模塊是Android系統(tǒng)Xposed框架中提供藍(lán)牙控制和測試的服務(wù)實(shí)體[11]。配置手機(jī)檢測環(huán)境：手機(jī)系統(tǒng)升級后安裝Xposed框架并運(yùn)行MX藍(lán)牙模塊實(shí)時(shí)監(jiān)測，獲得目標(biāo)特性UUID值和對應(yīng)通知、讀或?qū)懙膬?nèi)容；然后將該目標(biāo)特性UUID值與Bluetooth SIG定義的“標(biāo)準(zhǔn)Characteristics UUID表格”進(jìn)行比對查找，進(jìn)而判斷其含義與是否符合標(biāo)準(zhǔn)規(guī)定。“btsnoop_hci.log+MX藍(lán)牙模塊”相比EN-dongle等專用設(shè)備的傳統(tǒng)測量技術(shù)更加適用于抗疫一線非專業(yè)人員操作使用。

(3)報(bào)文分析。

檢測操作過程中獲取的btsnoop_hci.log是以機(jī)器可讀的特定格式來記錄藍(lán)牙數(shù)據(jù)[12]，只能通過可視化分析工具進(jìn)行語義解析才能將其翻譯為可讀的協(xié)議報(bào)文。為此，采用“Wireshark+CPAS”，將Wireshark結(jié)構(gòu)清晰的嵌套式報(bào)文結(jié)構(gòu)和CPAS分析內(nèi)容為自然語言的優(yōu)點(diǎn)綜合運(yùn)用，實(shí)現(xiàn)對目標(biāo)功能UUID值精準(zhǔn)定位等深度報(bào)文分析。

首先，電腦同時(shí)運(yùn)行Wireshark與CPAS，將操作端手機(jī)產(chǎn)生的藍(lán)牙抓包日志btsnoop_hci.log導(dǎo)入電腦，根據(jù)檢測操作階段獲得的目標(biāo)特性UUID值精準(zhǔn)篩選定位報(bào)文；然后，利用Wireshark和CPAS判斷該設(shè)備是否為明文傳輸，若為明文傳輸則進(jìn)一步讀取目標(biāo)特性值的讀寫權(quán)限、value值和句柄值等關(guān)鍵信息；最后，通過CPAS實(shí)現(xiàn)對通知、寫操作等關(guān)鍵報(bào)文的分析，為安全性檢測提供支撐。

(4)安全性檢測。

面對市場上種類繁多的藍(lán)牙健康監(jiān)測設(shè)備，如何基于“手機(jī)+筆記本電腦”而非專業(yè)檢測設(shè)備，實(shí)現(xiàn)高效、便捷并且較為全面與有深度的信息安全性檢測是關(guān)鍵。該文設(shè)計(jì)四類針對性安全檢測項(xiàng)，分別是：接入控制、信息保密性、信息完整性和身份認(rèn)證，形成有效涵蓋健康監(jiān)測設(shè)備工作全流程的信息安全檢測鏈。

接入控制：在用戶手機(jī)正常接入被檢測設(shè)備的情況下，檢測手機(jī)運(yùn)行實(shí)驗(yàn)APP(例如：nrf connect)針對被檢測設(shè)備新發(fā)起強(qiáng)制性接入請求，利用多端同時(shí)接入設(shè)備的互斥性[13]，實(shí)現(xiàn)對設(shè)備準(zhǔn)入、用戶認(rèn)證等接入控制的安全性檢測。

信息保密性：檢測手機(jī)捕獲與被檢測設(shè)備的通信報(bào)文，利用筆記本電腦可視化工具讀取報(bào)文內(nèi)容，分析報(bào)文是否明文傳輸、目標(biāo)特性格式和內(nèi)容，實(shí)現(xiàn)對編碼格式、加密程度等信息保密性的安全性檢測。

信息完整性：在報(bào)文分析的基礎(chǔ)上，利用檢測手機(jī)運(yùn)行手機(jī)實(shí)驗(yàn)APP(例如：nrf connect)在未經(jīng)授權(quán)情況下向被檢測設(shè)備發(fā)送格式正確、內(nèi)容更改的虛假報(bào)文，判斷設(shè)備是否能保持?jǐn)?shù)據(jù)真實(shí)性和可信性，實(shí)現(xiàn)對數(shù)據(jù)恢復(fù)、檢驗(yàn)修正[14]等信息完整性的安全性檢測。

身份認(rèn)證：檢測手機(jī)作為中間人截獲用戶手機(jī)與被檢測設(shè)備通信報(bào)文后，運(yùn)行重放工具(例如：nrf connect)向被檢測設(shè)備發(fā)送相同報(bào)文，利用設(shè)備鑒別可信任用戶和惡意攻擊者程度以及資源訪問、使用權(quán)限，實(shí)現(xiàn)對身份識(shí)別、授權(quán)機(jī)制等身份認(rèn)證的安全性檢測。

3 藍(lán)牙健康監(jiān)測設(shè)備信息安全性實(shí)驗(yàn)

針對市面暢銷的藍(lán)牙體溫計(jì)、藍(lán)牙血壓計(jì)等多種抗疫用藍(lán)牙健康監(jiān)測設(shè)備作為被檢測設(shè)備開展接入控制、信息保密性、信息完整性和身份認(rèn)證等四項(xiàng)檢測。

3.1 實(shí)驗(yàn)原理

利用手機(jī)實(shí)驗(yàn)APP(例如：nrf connect)對被檢測設(shè)備發(fā)起強(qiáng)制性接入請求實(shí)現(xiàn)接入控制檢測；通過捕獲并分析通信報(bào)文實(shí)現(xiàn)信息保密性檢測；基于前兩種檢測獲取信息，通過主動(dòng)注入虛假報(bào)文或重放截獲報(bào)文篡改數(shù)據(jù)或欺騙攻擊實(shí)現(xiàn)信息完整性和身份認(rèn)證檢測，實(shí)驗(yàn)原理拓?fù)淙鐖D3所示。

圖3 實(shí)驗(yàn)原理拓?fù)?/p>

在實(shí)驗(yàn)中的實(shí)驗(yàn)設(shè)備分工和參數(shù)如表2所示。

表2 實(shí)驗(yàn)設(shè)備分工和參數(shù)

3.2 藍(lán)牙健康監(jiān)測設(shè)備的信息安全實(shí)驗(yàn)

3.2.1 接入控制

手機(jī)實(shí)驗(yàn)APP nrf connect進(jìn)行接入控制檢測。這款軟件適用于中小學(xué)、醫(yī)院等非專業(yè)設(shè)備、非專業(yè)人員使用，原因如下：一是該軟件集合藍(lán)牙掃描、連接和發(fā)送報(bào)文等多種功能；二是可直接在應(yīng)用市場免費(fèi)下載安裝，獲取方便；三是該軟件可直接接入無密碼、驗(yàn)證碼等用戶認(rèn)證的藍(lán)牙設(shè)備。實(shí)驗(yàn)結(jié)果表明，nrf connect發(fā)出接入請求后順利與設(shè)備建立連接，證明兩種實(shí)驗(yàn)設(shè)備缺乏用于接入控制的用戶認(rèn)證等手段，如圖4所示。

圖4 接入控制檢測

3.2.2 信息保密性

(1)報(bào)文分析階段得出藍(lán)牙血壓計(jì)當(dāng)前時(shí)間設(shè)置功能為句柄值0x0031，名稱Current Time、UUID值00002A2B的寫操作特性，寫入內(nèi)容在報(bào)文中以明文傳輸。報(bào)文顯示手機(jī)將血壓計(jì)時(shí)間設(shè)置為2020/11/16/22:53:32，對應(yīng)MX藍(lán)牙抓包命令行語句為：00002A2B寫：E4070B10143520000000。簡單分析得出十六進(jìn)制表示的命令E4070B10143520000000對應(yīng)十進(jìn)制表示的時(shí)間2020/11/16/22:53:32。

(2)報(bào)文分析階段得出體溫監(jiān)測儀體溫警報(bào)值通知功能為句柄值0x0012，UUID值4D540001的特性，寫入內(nèi)容為55AA090100017A0185，協(xié)議格式不符合Bluetooth SIG定義的“標(biāo)準(zhǔn)Characteristics UUID表格”，無法直接破譯。根據(jù)反復(fù)測試(通過每次體溫測量通知內(nèi)容與此值進(jìn)行比對)，得出此值的含義為37.8℃。兩種設(shè)備信息保密性程度報(bào)文分析如圖5所示。

圖5 信息保密性檢測

3.2.3 信息完整性和身份認(rèn)證

(1)對藍(lán)牙血壓計(jì)的信息完整性檢測。

MX藍(lán)牙模塊顯示當(dāng)前時(shí)間設(shè)置語句為：00002A2B寫：E5070218152E18000000，依據(jù)之前翻譯思路對應(yīng)時(shí)間2021/2/24/21:48:24，利用nrf connect向句柄值0x0031、UUID值0x2A2B的特性，寫入E5070218152E18000000，觀察血壓計(jì)當(dāng)前時(shí)間又被改為2021/2/24/21:48:24，與當(dāng)前真實(shí)時(shí)間不符，數(shù)據(jù)被篡改導(dǎo)致藍(lán)牙血壓計(jì)的信息完整性被破壞[15]，如圖6所示。

由此可知，十六進(jìn)制命令前四位代表年，后面依次為月、日、時(shí)、分、秒，可以隨意寫入符合此結(jié)構(gòu)的數(shù)據(jù)，例如向句柄值0x0031、UUID值0x2A2B的特性寫入F3070312152118000000，藍(lán)牙血壓計(jì)顯示時(shí)間被更改為2035/3/18/21:33:24。

(2)對體溫監(jiān)測儀的身份認(rèn)證檢測。

報(bào)文分析階段得出體溫監(jiān)測儀寫操作為句柄值0x0010、UUID值4D540002的特性，寫入內(nèi)容為55aa050105，功能為設(shè)置體溫警報(bào)默認(rèn)值(37.8℃)。手機(jī)端APP向該特性寫入此值后，體溫監(jiān)測儀會(huì)向手機(jī)通過句柄值0x0012，UUID值4D540001的特性發(fā)送一條值為55AA090100017A0185的通知，即在信息保密性檢測階段破譯出的37.8℃。以此為基礎(chǔ)進(jìn)行重放攻擊。

圖6 藍(lán)牙血壓計(jì)信息完整性檢測

首先手機(jī)APP端更改體溫警報(bào)值為37.6℃，同時(shí)MX藍(lán)牙模塊顯示手機(jī)向體溫監(jiān)測儀通過句柄值0x0010，UUID值4D540002的特性寫入55AA09020001780184(更改成功)。然后利用nrf connect連接體溫監(jiān)測儀，向句柄值0x0010，UUID值4D540002的特性寫入55aa050105，進(jìn)行重放攻擊，意圖觸發(fā)設(shè)置體溫報(bào)警默認(rèn)值(37.8℃)功能。MX藍(lán)牙模塊顯示體溫監(jiān)測儀再次向手機(jī)通過句柄值0x0012，UUID值4D540001的特性發(fā)送值為55AA090100017A0185的通知，證明重放攻擊操作將體溫警報(bào)值設(shè)置為默認(rèn)值37.8℃，查看手機(jī)APP頁面驗(yàn)證，與預(yù)期結(jié)果相同，體溫警報(bào)值通過重放攻擊復(fù)置為37.8℃，如圖7所示。

圖7 體溫監(jiān)測儀身份認(rèn)證檢測

實(shí)驗(yàn)表明，此款體溫監(jiān)測儀缺乏身份認(rèn)證機(jī)制，無法判斷連接、通信對方是否可信任，攻擊者很容易利用身份認(rèn)證缺失漏洞惡意擾亂正常通信。

4 結(jié)束語

藍(lán)牙健康監(jiān)測設(shè)備現(xiàn)有身份認(rèn)證機(jī)制、加密措施簡單，數(shù)據(jù)編碼[16]復(fù)雜程度低，黑客容易破譯、攻擊。通過數(shù)字簽名技術(shù)[17]、時(shí)間戳技術(shù)[18]等加強(qiáng)設(shè)備本身的安全性，同時(shí)用戶也應(yīng)盡量減少在未知網(wǎng)絡(luò)下的連接，減少隱私泄露的風(fēng)險(xiǎn)。

通過對不同種類藍(lán)牙健康監(jiān)測設(shè)備的安全性進(jìn)行實(shí)驗(yàn)探究，分析對比不同品牌、不同產(chǎn)地的醫(yī)療設(shè)備的藍(lán)牙傳輸協(xié)議，并進(jìn)行不同種類的、輕量級、操作便捷的安全性檢測，為非專業(yè)網(wǎng)絡(luò)安全人員使用藍(lán)牙健康監(jiān)測設(shè)備過程中測試設(shè)備安全性提供了不依賴于專業(yè)設(shè)備的實(shí)驗(yàn)技術(shù)，為“抓抗疫、促發(fā)展、保安全”提供技術(shù)支撐。