每个蓝牙设备在链路层都有四个用于保证安全性的信息单元。分别是蓝牙设备地址(BD_ADDR)，由IEEE定义，是一个48比特位的蓝牙设备标识地址；私有认证密钥，是一个用于认证的128比特随机数；私有加密密钥，是一个用于加密的8到128比特的随机数；和一个由蓝牙设备定义的128位随机或伪随机数(RAND)。

　　蓝牙标准中定义了三种安全模式：

● 安全模式1：无安全机制；
● 安全模式2：面向业务的安全保证；
● 安全模式3：面向链路的安全保证；

　　模式2与模式3的不同点在于，在安全模式3中，蓝牙设备会在通信链路建立之前进行安全初始化工作。

　　而面向业务的安全保证中，也划分为不同层次。分别是需要授权与认证的业务，仅需认证的业务，和开放的业务。

1、密钥管理

　　通信双方的所有信息都需要链路加密，以生命期来区分，加密密钥可分为永久密钥，半永久密钥，和临时密钥。按照不同的应用类型来区分，链路密钥可以分为组合密钥(combination keys), 单元密钥(unit keys), 主密钥和初始密钥(master keys and initialization keys)。其中实现组合密钥和单元密钥的算法被称为E21，实现主密钥和初始密钥的算法被称为E22。

　　单元密钥在设备加载成功之后生成，是每个设备特有的私有密钥；组合密钥内容由通信设备双方的地址确定；主密钥用于当设备进行点到多点通信时代替当前链路密钥；初始化密钥在初始化过程中作为链路密钥，仅仅在设备加载时使用。

　　除使用链路密钥之外，密钥管理还包括报文加密密钥，E3是实现报文加密密钥的算法。报文加密密钥由链路密钥，96比特的密码偏移(COF)，和128位随机数生成。报文加密进程由LM(链路管理程序)启动，加密进程每次运行时都生成不同的报文密钥。

2、加密算法

　　蓝牙系统加密算法为数据包中的净荷即数据部分加密，其核心部分是数据流密码机(stream cipher)E0，它包括净荷密钥生成器，密钥流生成器，和加/解密模块。加密算法流程如图1所示：

图1、蓝牙系统加密过程描述图