无显示屏设备的蓝牙数字比较配对

DisplayYesNo 和 NoInputNoOutput 设备

Numeric Comparison 和 Just Works 具有类似的配对协议，只是 Just Works 中跳过了一些重要的检查，这导致配对协议生成未经身份验证的链接密钥。

Just Works 和未经身份验证的链接密钥的危险在于它们容易受到所谓的 NiNo MitM（NoInputNoOutput Machine-in-the-Middle）攻击。这是具有现实世界影响的实际攻击。

您提出的建议将有效，因为第二台设备没有屏幕，用户无法直观地确认数字。确认数字是蓝牙中重要的安全步骤，因为它使得主动 MitM 攻击仅以 0.000001 的概率成功

DisplayYesNo 和 DisplayOnly 设备

我还发现您可能会想到一台设备显示是/否确认（例如用户的电话），然后另一台设备仅显示代码。以我对协议的了解，如果第二个设备输出代码并且用户可以直观地确认它，我不能说它实际上应该导致“Just Works”（我可能会错过一些东西，除非系统被编程为强制“Just Works”并且不在第二台设备上显示实际代码）。

但是这样的设置会使第二个设备更容易受到未经授权的连接的攻击，并且可能允许或简化其他利用步骤（特定于实现）。这就是为什么如果您是开发人员，我敦促您实现规范中所述的协议 - 执行数字比较的两个设备都应该有办法确认或拒绝代码！

另外这里有一个来自Bluetooth SIG网站的表格供您理解：