Link Manager Protocol Specification（4.2）

4.2 Security

4.2.1 Authentication

定义有2种认证：传统型和安全型。如果有一个设备不从controller和host 2方面支持安全认证，则采用传统型认证。安全型认证需要两端设备同时都支持controller和host的安全连接。
传统型认证基于challenge-response机制。认证者发出包含一个随机数的LMP_au_rand给远端，远端收到后计算一个回复，这个回复由那个随机数，远端地址和密钥共同决定。认证者接收到回复后判断是否正确。这个回复的成功计算需要双方共享密钥。master和slave都可以作为认证的发起者。
安全认证就是一个challenge-reponse机制。认证者发出包含一个随机数的LMP_au_rand给远端，远端回复另一个包含随机数的LMP_au_rand。两端LM都需要用h4函数计算Device Authentication Key, SRES_master和SRES_slave，用h5函数计算ACO值。slave将计算的SRES_slave发给master, master将计算的SRES_master发给slave。这个认证的成功也需要双方共享密钥。

4.2.1.1 Claimant has Link Key(Legacy Authentication)

如果被认证者拥有与认证者相关的link key，那么它能计算回复，通过LMP_sres发给认证者。如果认证者检查后发现不正确，那么认证者将结束这个连接，发送LMP_detach，错误码为Authentication Failure(0x05))。

一旦收到一个 LMP_au_rand，LM必须在发起它自己的认证前回复 LMP_sres。

当两端同时发起认证时，根据2.5.1节处理，确保他们计算密钥有相同的ACO。（？？？）

4.2.1.2 Claimant has no Link Key(Legacy Authentication and Secure Authentication)

如果被认证者没有link key，它会回复LMP_not_accepted，错误码PIN or Key Missing(0x06)。这个过程传统认证和安全型认证都一样。

4.2.1.3 Repeated Attempts

具体在5.1节中描述，可以防止攻击者在短时间内尝试大量的key

4.2.1.4 Responder has Link Key(Secure Authentication)

master和slave都可以做认证者和被认证者。发起者是先发LMP_au_rand的那个。
发起者发送LMP_au_rand给接收者，如果接收者有相关的link key，它也会以LMP_au_rand回复。然后发起者和接收者都会计算回复。slave首先回复包含SRES_slave的LMP_sres。然后master回复包含SRES_master的LMP_sres。master需要确认收到的SRES_slave与自己计算出的SRES_slave是否一致，slave需要确认收到的SRES_master与自己计算出的SRES_master是否一致。如果不一致，任一设备都可发送LMP_detach，错误码为Authentication Failure(0x05))来结束连接。

如果master和slave同时发起安全型认证，那么master会拒绝slave的 LMP_au_rand，回复 LMP_not_accepted，错误码 LMP Error Transaction Collision(0x23)。slave会重新发起TID为0的LMP_au_rand`。
安全型认证是一个双向认证。

4.2.2 Pairing

如果2个设备没有共同的link key，那么会通过pairing或者Secure Simple Pairing过程来创建一个初始key。如果用pairing流程，那么初始key会基于PIN，随机数和蓝牙地址来建立。当双方都有计算好了的初始key，那么link key将会被创建，双向认证可以继续进行。pairing流程开始于设备发送LMP_in_rand。

4.2.2.1 Responder Accepts Pairing

当发起者发送LMP_in_rand后，应答者回复LMP_accepted。双方基于应答者的蓝牙地址计算初始key，然后创建link key。

4.2.2.2

如果应答者有一个固定的PIN，那么它将产生一个随机数作为参数随LMP_in_rand返回发起者。如果发起者的PIN可变，那么它会接收这个LMP_in_rand，回复LMP_accepted。双方基于这个随机数和发起者的蓝牙地址来计算初始key，然后创建link key。

如果应答者有一个固定PIN，发起者也有一个固定PIN，那么第二个 LMP_in_rand会被发起者拒绝，发送 LMP_not_accepted，错误码 Pairing not Allowed(0x18)。

4.2.2.3 Responder Rejects Pairing

如果应答者拒绝pairing，它会发送LMP_not_accepted，错误码Pairing not Allowed(0x18)。

4.2.2.4 Creation of the Link Key

当双方都计算了初始key后就会开始创建link key。link key会在随后连接的认证过程中用到，直到它改变。pairing过程创建的link key可能是一个联合的key或者是单个设备的unit key。

• 如果一个设备发送LMP_unit_key，另一个设备发送LMP_comb_key，那么link key是unit key。
• 如果双发都发送LMP_unit_key，那么将采用master的unit key为link key。
• 如果双发都发送LMP_comb_key，那么将按PartH 3.2节计算link key。
  LMP_unit_key是由unit key 按位异或初始key，LMP_comb_key是由LK_RAND按位异或初始key得到的。设备配置为使用联合key的都会保存link key。
  不建议使用unit key，因为安全性不佳。
  如果link key已经创建成功，那么会继续进行认证来保证双方产生的link key一致。认证以后，发起者会暂停，立即重新加密产生一个新的密钥。所以在认证过程中，ACO会产生一个新的密钥，如果采用E0加密方式，重新加密时会随LMP_start_encryption_req发送一个随机数。
  
  

4.2.2.5 Repeated Attempts

如果创建了link key后的认证由于错误的认证回复失败了，4.2.1.3节的内容同样适用。可以防止攻击者在短时间内尝试大量的PIN码