【ESPHome】ESP32 DIY通用蓝牙网关，接入米家系门锁等各种设备

ruan_yhang

我核对了一下 Frame Control 字段定义，发现 MAC地址 在第5位，也就是 10 那里不代表 MAC 地址，1代表该包加密。

我今天又重新抓了包试一下，结果发现两次抓包的数据不一致，两次的数据如下：

Service Data: 10441a03 26 35d931647ed1
Service Data: 48441a03 29 f594ca47a31462d52b2b280314c0b7
前半段和上一次的很像，应该属于同一个协议，到序号后面就明显不一样了。

另外对米家APP进行用户添加密码操作，发现下面这个值正好是 16字节，这个应该是对应的用户密码信息，需要AES128解密。
Value: 010c0077986ceaa27056

XCray

ruan_yhang 发表于 2021-5-14 11:22
我核对了一下 Frame Control 字段定义，发现 MAC地址 在第5位，也就是 10 那里不代表 MAC 地址，1代表该包 ...

是的，有加密的，有不加密的，你得通过加密标志位区分。

协议都是BLE MiBeacon，这点毫无疑问。

现在需要弄明白的是加了密的object字段如何解密。

XCray

neroxps 发表于 2021-5-2 21:39
据大佬说蓝牙是自带 AES-128 硬件加解密，key是临时的，根据米家服务器下发的 token 来生成，也就是说，抓 ...

关键还是这个key！

token可以获取到，但如何生成key就不知道了，这玩意儿差一个bit也不好使

neroxps

XCray 发表于 2021-5-14 19:35
关键还是这个key！

token可以获取到，但如何生成key就不知道了，这玩意儿差一个bit也不好使 ...

emmm 得逆向才知道了，估计是某种非对称加密~

sdfd

看大佬讨论真精彩，期待能解决

ruan_yhang

1、门锁广播的字段有两种，包含Object的那一长串Service Data（24个字节）应该是加密的，而网关能够输出日志，说明网关有key且能够解析这些数字；
2、通过网关串口长时间接收日志，发现隔段时间能收到包含 门锁 token （12个字节）和 Benconkey（16个字节）的数据，应该云端传过来的，结果被网关打印出来了；
3、理论上搞清楚广播发出的数据Service Data哪一段是加密数据，就应该能进行AES128解密吧？

XCray

ruan_yhang 发表于 2021-5-29 17:12
1、门锁广播的字段有两种，包含Object的那一长串Service Data（24个字节）应该是加密的，而网关能够输出日 ...

真的？？？这可是个大好消息！

1. 没错，我也是这么想的，很可能是解密后再用云端miio的方式加密传给服务器，当然也有可能网关不解密而是透传给服务器由服务器解密。

2. 能否给个完整的”包含 门锁 token （12个字节）和 Benconkey（16个字节）的数据“消息？我看怎么加到mqttl代码里去抓这个

至于第3条，我已经很清楚了。

如果真能从ttl获取到beaconkey，这事儿就差不多可以搞定了

ruan_yhang

说实话，我也是瞎蒙的才抓到的。受到2楼的启发，他说 key是临时的，根据米家服务器下发的 token 来生成，后面又说key会在本地保存一段时间。我就重置了门锁和网关，重新设置，结果里面就能收到门锁的 beaconkey。

XCray

ruan_yhang 发表于 2021-5-29 17:31
说实话，我也是瞎蒙的才抓到的。受到2楼的启发，他说 key是临时的，根据米家服务器下发的 token 来生成，后 ...

谢谢！我把程序改了，看看不重置的情况下能否从ttl抓到这条消息。

刚才特意翻了翻之前调试的时候留下来的消息记录，没找到。发往云端的 ”_sync.ble_query_dev“倒是有很多，但没看到回复的

ruan_yhang

XCray 发表于 2021-5-29 18:32
谢谢！我把程序改了，看看不重置的情况下能否从ttl抓到这条消息。

刚才特意翻了翻之前调试的时候留下来的 ...

蓝牙广播的数据，比如：48441a033c967e9fca5654edb6d67617d932a539262e30ac 一共24个字节，前面4个48 44 1a 03 能够从米家iBeacon协议里面推出来。后面还剩20个字节，如果是AES解密的，应该128bit才对。