借助蓝牙 ® 随机解析私有地址（RPA）更新，提升设备隐私性与能效表现

蓝牙 ® 随机 RPA 更新功能，增强了对 “可解析私有地址” 的管理能力，同时提升了蓝牙 LE 设备的隐私性与能效表现。本文将说明蓝牙 ® 随机 RPA 更新的重要性、工作原理，并为刚接触这一蓝牙增强功能的读者提供实用背景信息。

背景

所有蓝牙设备都有一个用于身份识别的 48 位唯一地址，该地址分为 “公共地址” 与 “随机地址” 两类，二者的核心差异如下：

随机地址的普及度远高于公共地址，因为它省去了地址注册的成本。而随机地址的两个子类型有何区别呢？在静态子类型中，地址要么在设备生命周期内固定，要么仅在设备启动时修改，但运行时无法变更；而在私有子类型中，地址可在运行时周期性变更。

运行时变更地址的能力，让随机私有地址在设备隐私保护方面极具优势 —— 例如，它能增加设备被追踪的难度，或隐藏设备的真实身份（如公共地址或随机静态地址）。

可解析私有地址（RPA）

蓝牙 LE 支持 “可解析私有地址（RPA）”：这是一种随机私有地址，仅在设备共享 “身份解析密钥（IRK）” 时才能被解析（IRK 是蓝牙设备配对时安全交换的密钥，用于对地址进行加密验证）。

RPA 从两方面助力设备隐私保护：一是让外部观察者难以通过地址模式关联设备行为，防止长期追踪；二是仅允许可信设备互相识别。

RPA 的使用

可通过HCI_LE_Set_Resolvable_Private_Address_Timeout命令（操作码 0x002E）配置 RPA 更新，它通过固定超时值控制可解析私有地址的更新频率，其参数结构如下：

RPA 是增强蓝牙设备隐私的重要机制，但固定超时的方式存在两个不可忽视的局限：

1. 可预测风险：攻击者可通过观察 RPA 更新模式建模设备行为。即便用最长 15 分钟的更新间隔，RPA 地址仍可能被预测，进而在用户追踪场景中被利用，用于定位设备或监控设备活动；

2. 能效风险：对于无法接受可预测风险的应用（如智能手机、笔记本），RPA 随机化需由主机直接管理，这会导致 RPA 更新频繁中断主机或唤醒设备，最终增加系统能耗、缩短电池续航。

蓝牙 ® 随机 RPA 更新

新的蓝牙 ® 随机 RPA 更新功能解决了上述两个局限：简而言之，它将 RPA 超时参数设为指定时间范围内的随机值（而非此前的固定值）；同时让控制器可在指定时间范围内自动生成新 RPA，减轻了主机管理、重新配置 RPA 超时的负担，避免不必要的设备唤醒，从而节省能耗。

蓝牙 ® 随机 RPA 更新的使用

HCI_LE_Set_Resolvable_Private_Address_Timeout命令推出了 v2 版本（操作码 0x0095），新增了 “最小 / 最大超时限制” 参数，用于设定控制器自动生成新 RPA、随机变更 RPA 的时间范围，其参数结构如下：

让这一新 HCI 命令成为可能的核心增强点包括：

1. 随机时间生成算法：控制器会在指定范围内生成均匀分布的随机值，符合《蓝牙核心规范第 2 卷 H 部分第 2 节》中的随机数生成规范；

2. 错误处理：若RPA_Timeout_Min超过RPA_Timeout_Max，或任一参数超出范围（>0x0E10），命令将返回错误码 0x12（无效 HCI 命令参数）；

3. 向后兼容性：新的 v2 版本命令可与传统固定 RPA 超时的 v1 版本共存，可通过HCI_Read_Local_Supported_Commands命令（操作码 0x0002）查询设备支持的具体命令。

未来，支持蓝牙 ® 随机 RPA 更新的设备将呈现 “开箱即用” 的新行为：无需显式调用新 HCI 命令，设备会自动随机化 RPA 更新。

核心要点

• 蓝牙 ® 随机 RPA 更新是随蓝牙核心规范 6.1 推出的仅 HCI 层增强功能，可提升蓝牙设备的隐私性与能效表现；

• 蓝牙 ® 随机 RPA 更新将可解析私有地址的更新频率设为指定范围内的随机时间值，同时让控制器自动生成新 RPA，将 RPA 超时的管理、重新配置工作从主机转移到控制器。