更新,提升设备隐私性与能效表现)
蓝牙 ® 随机 RPA 更新功能,增强了对 “可解析私有地址” 的管理能力,同时提升了蓝牙 LE 设备的隐私性与能效表现。本文将说明蓝牙 ® 随机 RPA 更新的重要性、工作原理,并为刚接触这一蓝牙增强功能的读者提供实用背景信息。
背景
所有蓝牙设备都有一个用于身份识别的 48 位唯一地址,该地址分为 “公共地址” 与 “随机地址” 两类,二者的核心差异如下:
随机地址的普及度远高于公共地址,因为它省去了地址注册的成本。而随机地址的两个子类型有何区别呢?在静态子类型中,地址要么在设备生命周期内固定,要么仅在设备启动时修改,但运行时无法变更;而在私有子类型中,地址可在运行时周期性变更。
运行时变更地址的能力,让随机私有地址在设备隐私保护方面极具优势 —— 例如,它能增加设备被追踪的难度,或隐藏设备的真实身份(如公共地址或随机静态地址)。
可解析私有地址(RPA)
蓝牙 LE 支持 “可解析私有地址(RPA)”:这是一种随机私有地址,仅在设备共享 “身份解析密钥(IRK)” 时才能被解析(IRK 是蓝牙设备配对时安全交换的密钥,用于对地址进行加密验证)。
RPA 从两方面助力设备隐私保护:一是让外部观察者难以通过地址模式关联设备行为,防止长期追踪;二是仅允许可信设备互相识别。
RPA 的使用
可通过HCI_LE_Set_Resolvable_Private_Address_Timeout命令(操作码 0x002E)配置 RPA 更新,它通过固定超时值控制可解析私有地址的更新频率,其参数结构如下:
RPA 是增强蓝牙设备隐私的重要机制,但固定超时的方式存在两个不可忽视的局限:
可预测风险:攻击者可通过观察 RPA 更新模式建模设备行为。即便用最长 15 分钟的更新间隔,RPA 地址仍可能被预测,进而在用户追踪场景中被利用,用于定位设备或监控设备活动;
能效风险:对于无法接受可预测风险的应用(如智能手机、笔记本),RPA 随机化需由主机直接管理,这会导致 RPA 更新频繁中断主机或唤醒设备,最终增加系统能耗、缩短电池续航。
蓝牙 ® 随机 RPA 更新
新的蓝牙 ® 随机 RPA 更新功能解决了上述两个局限:简而言之,它将 RPA 超时参数设为指定时间范围内的随机值(而非此前的固定值);同时让控制器可在指定时间范围内自动生成新 RPA,减轻了主机管理、重新配置 RPA 超时的负担,避免不必要的设备唤醒,从而节省能耗。
蓝牙 ® 随机 RPA 更新的使用
HCI_LE_Set_Resolvable_Private_Address_Timeout命令推出了 v2 版本(操作码 0x0095),新增了 “最小 / 最大超时限制” 参数,用于设定控制器自动生成新 RPA、随机变更 RPA 的时间范围,其参数结构如下:
让这一新 HCI 命令成为可能的核心增强点包括:
随机时间生成算法:控制器会在指定范围内生成均匀分布的随机值,符合《蓝牙核心规范第 2 卷 H 部分第 2 节》中的随机数生成规范;
错误处理:若RPA_Timeout_Min超过RPA_Timeout_Max,或任一参数超出范围(>0x0E10),命令将返回错误码 0x12(无效 HCI 命令参数);
向后兼容性:新的 v2 版本命令可与传统固定 RPA 超时的 v1 版本共存,可通过HCI_Read_Local_Supported_Commands命令(操作码 0x0002)查询设备支持的具体命令。
未来,支持蓝牙 ® 随机 RPA 更新的设备将呈现 “开箱即用” 的新行为:无需显式调用新 HCI 命令,设备会自动随机化 RPA 更新。
核心要点
蓝牙 ® 随机 RPA 更新是随蓝牙核心规范 6.1 推出的仅 HCI 层增强功能,可提升蓝牙设备的隐私性与能效表现;
蓝牙 ® 随机 RPA 更新将可解析私有地址的更新频率设为指定范围内的随机时间值,同时让控制器自动生成新 RPA,将 RPA 超时的管理、重新配置工作从主机转移到控制器。
