導(dǎo)語(yǔ)：智能門(mén)鎖信息安全風(fēng)險(xiǎn)研究一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:當(dāng)前智能聯(lián)網(wǎng)產(chǎn)品由于信息傳輸、信息存儲(chǔ)等環(huán)節(jié)存在的風(fēng)險(xiǎn)和相關(guān)標(biāo)準(zhǔn)的缺失，導(dǎo)致嚴(yán)重的產(chǎn)品信息安全問(wèn)題。本文以當(dāng)前市場(chǎng)占有率較高的智能門(mén)鎖作為研究對(duì)象，聯(lián)合質(zhì)監(jiān)部門(mén)開(kāi)展產(chǎn)品風(fēng)險(xiǎn)監(jiān)測(cè)和質(zhì)量測(cè)評(píng)，發(fā)現(xiàn)智能門(mén)鎖產(chǎn)品普遍存在的信息安全隱患，并針對(duì)性的提出解決方案。本文研究成果為建立聯(lián)網(wǎng)智能門(mén)鎖安全和技術(shù)要求的國(guó)家標(biāo)準(zhǔn)提供技術(shù)支撐，進(jìn)而推進(jìn)行業(yè)健康有序的發(fā)展為建設(shè)智慧城市夯實(shí)基礎(chǔ)。

關(guān)鍵詞:智能門(mén)鎖；信息安全；標(biāo)準(zhǔn)

1引言

智能門(mén)鎖是通過(guò)無(wú)線網(wǎng)絡(luò)、NFC、現(xiàn)代生物學(xué)或光學(xué)、遠(yuǎn)程操控等技術(shù)，在產(chǎn)品安全性、用戶識(shí)別、管理性方面更加智能化、簡(jiǎn)便化的鎖具。它具備的遠(yuǎn)程解鎖、人臉識(shí)別[1]、智能報(bào)警等智能化功能，更是區(qū)別于傳統(tǒng)的機(jī)械門(mén)鎖，成為智能家居產(chǎn)品市場(chǎng)占有率最高的產(chǎn)品之一。當(dāng)前針對(duì)聯(lián)網(wǎng)智能門(mén)鎖所涵蓋的通信、軟件等方面的要求缺乏強(qiáng)制性標(biāo)準(zhǔn)，甚至連行業(yè)標(biāo)準(zhǔn)或地方標(biāo)準(zhǔn)也尚在制定當(dāng)中，因此產(chǎn)品質(zhì)量存在信息傳輸、數(shù)據(jù)儲(chǔ)存、后端安全防護(hù)等方面的不足和隱患。開(kāi)門(mén)指令就是一串電子密鑰，且無(wú)復(fù)雜度限制。部分智能門(mén)鎖生產(chǎn)廠家對(duì)密鑰的通信數(shù)據(jù)未做加密處理，或者簡(jiǎn)單借用藍(lán)牙本身的加密通道，有的甚至將密碼保存在手機(jī)APP上。這樣的做法使得智能門(mén)鎖開(kāi)門(mén)指令數(shù)據(jù)很容易被截取，截取了加密數(shù)據(jù)后就不停的發(fā)給云端做重放攻擊[2]！另外，一些智能鎖廠家的密鑰存儲(chǔ)于服務(wù)器上，一旦發(fā)生服務(wù)器被攻擊，可能導(dǎo)致數(shù)據(jù)泄露，也無(wú)法避免監(jiān)守自盜的風(fēng)險(xiǎn)。本文基于對(duì)智能門(mén)鎖系統(tǒng)的集中研究和試驗(yàn)，發(fā)現(xiàn)智能家居產(chǎn)品的信息安全和個(gè)人敏感信息泄露的問(wèn)題，并提出相應(yīng)的解決方案。方案能夠有效降低智能門(mén)鎖產(chǎn)品的信息安全問(wèn)題，以保護(hù)消費(fèi)者的利益，防范大規(guī)模風(fēng)險(xiǎn)事故的爆發(fā)。

2智能門(mén)鎖系統(tǒng)架構(gòu)

智能門(mén)鎖系統(tǒng)主要是由電子鎖、智能化模組（指紋模組、人臉識(shí)別模組、智能語(yǔ)音模組、智能貓眼等）、通信系統(tǒng)、移動(dòng)終端和云服務(wù)系統(tǒng)組成（見(jiàn)圖1）。云服務(wù)系統(tǒng)是智能門(mén)鎖的核心系統(tǒng),包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器和安全機(jī)制。云服務(wù)系統(tǒng)為智能門(mén)鎖和移動(dòng)客戶端提供用戶權(quán)限管理、身份鑒別、數(shù)據(jù)儲(chǔ)存和數(shù)據(jù)增值等服務(wù)。用戶通過(guò)云服務(wù)系統(tǒng)實(shí)現(xiàn)對(duì)鎖的遠(yuǎn)程控制、遠(yuǎn)程視頻、遠(yuǎn)程語(yǔ)音和遠(yuǎn)程授權(quán)等，云服務(wù)系統(tǒng)對(duì)用戶操作進(jìn)行鑒權(quán)、安全審計(jì)，并對(duì)鎖的狀態(tài)和報(bào)警信息進(jìn)行監(jiān)控記錄。智能門(mén)鎖通過(guò)多種通訊方式連接智能云端系統(tǒng)。一種方式是智能門(mén)鎖通過(guò)ZigBee[3]、BLE[4]等低功耗通訊協(xié)議連接智能網(wǎng)關(guān)[5]，智能網(wǎng)關(guān)再連接WIFI進(jìn)入Internet訪問(wèn)云服務(wù)系統(tǒng)。另一種方式是智能門(mén)鎖系統(tǒng)通過(guò)自帶的WIFI模塊連接云端，這種方式對(duì)電池容量有較高要求。最后一種方式是通過(guò)移動(dòng)通訊網(wǎng)絡(luò)4G/5G/NB-IOT[6]接入互聯(lián)網(wǎng)訪問(wèn)云服務(wù)器系統(tǒng)。智能化模組是智能門(mén)鎖系統(tǒng)中最能體現(xiàn)智能化的部分，用戶通過(guò)智能化模組可以直觀的感受智能門(mén)鎖的便利性和智能性。常用的智能化模組包括智能貓眼、人臉識(shí)別、虹膜識(shí)別、指紋識(shí)別、語(yǔ)音智能等。電子鎖主要包括機(jī)械鎖、嵌入式系統(tǒng)和集成模塊，這部分主要實(shí)現(xiàn)門(mén)鎖的機(jī)械功能。移動(dòng)客戶端主要作用是方便用戶通過(guò)移動(dòng)終端設(shè)備（如手機(jī)、PAD等）直接操控智能門(mén)鎖，例如：遠(yuǎn)程開(kāi)鎖、遠(yuǎn)程語(yǔ)音視頻、開(kāi)鎖記錄、臨時(shí)密碼授權(quán)等服務(wù)。智能門(mén)鎖的使用場(chǎng)景如下：用戶使用移動(dòng)終端App獲取開(kāi)鎖憑據(jù)，通過(guò)移動(dòng)App，或者用戶輸入密碼，或者對(duì)用戶進(jìn)行生物特征信息驗(yàn)證后，從智能門(mén)鎖云服務(wù)系統(tǒng)獲取一個(gè)動(dòng)態(tài)開(kāi)鎖密鑰，或者是訪問(wèn)鎖設(shè)備中安全存儲(chǔ)的開(kāi)鎖鑰匙，并通過(guò)近場(chǎng)通訊協(xié)議與智能門(mén)鎖進(jìn)行交互和驗(yàn)證后，控制開(kāi)鎖。智能門(mén)鎖是一個(gè)由門(mén)鎖、網(wǎng)關(guān)、路由器、云平臺(tái)以及移動(dòng)終端構(gòu)成的一個(gè)“生態(tài)”系統(tǒng)。該系統(tǒng)的任何一個(gè)環(huán)節(jié)出現(xiàn)漏洞，或者數(shù)據(jù)在傳輸過(guò)程中被截獲與解析，都有可能對(duì)消費(fèi)者帶來(lái)極大的人身和財(cái)產(chǎn)安全風(fēng)險(xiǎn)。因此對(duì)智能門(mén)鎖系統(tǒng)開(kāi)展信息安全研究迫在眉睫。

3智能門(mén)鎖信息安全隱患

目前針對(duì)智能門(mén)鎖通信和遠(yuǎn)程控制功能可能帶來(lái)的諸多防技術(shù)開(kāi)啟能力、互開(kāi)率、誤識(shí)率、信息保存安全、防破壞報(bào)警功能、秘鑰防復(fù)制能力等在相關(guān)標(biāo)準(zhǔn)中缺乏規(guī)定，導(dǎo)致針對(duì)智能門(mén)鎖的關(guān)鍵技術(shù)監(jiān)管依據(jù)不足。我們聯(lián)合有關(guān)監(jiān)管部門(mén)對(duì)聯(lián)網(wǎng)智能門(mén)鎖開(kāi)展風(fēng)險(xiǎn)監(jiān)測(cè)調(diào)研。分別按高、中、低檔市場(chǎng)占比排名前40的不同品牌、不同技術(shù)等級(jí)的51批次產(chǎn)品實(shí)施安全測(cè)試。測(cè)試項(xiàng)目包含數(shù)據(jù)傳輸安全、敏感信息保護(hù)安全、安全認(rèn)證及移動(dòng)客戶端TechniquesofAutomation&Applications安全等多個(gè)層面。檢測(cè)結(jié)果表明智能門(mén)鎖普遍存在以下幾點(diǎn)信息安全隱患。（1）信息傳輸風(fēng)險(xiǎn)智能門(mén)鎖移動(dòng)客戶端APP與云服務(wù)端之間的關(guān)鍵信息傳輸時(shí)未使用安全加密通信協(xié)議，傳輸數(shù)據(jù)的機(jī)密性、完整性和合法性未得到有效保證。有些智能鎖的在傳輸開(kāi)鎖憑證時(shí)，使用的http協(xié)議，傳輸數(shù)據(jù)采用token加密并使用時(shí)間戳校驗(yàn)來(lái)防止數(shù)據(jù)被劫持篡改，但這種方式無(wú)法抵御重放攻擊。（2）關(guān)鍵信息數(shù)據(jù)儲(chǔ)存風(fēng)險(xiǎn)。用戶關(guān)鍵信息包括開(kāi)鎖憑據(jù)（數(shù)字鍵盤(pán)密碼、藍(lán)牙密鑰、智能卡密鑰等）、用戶生物特征信息、用戶注冊(cè)數(shù)據(jù)、家庭成員出入記錄等。測(cè)試結(jié)果顯示有1/5的智能門(mén)鎖Aapp的登錄密碼、開(kāi)鎖密碼和個(gè)人敏感信息采用明文或者簡(jiǎn)單加密的方式保存在手機(jī)客戶端。黑客可以輕易破解客戶端應(yīng)用從而獲取用戶的個(gè)人隱私信息，甚至可以遠(yuǎn)程開(kāi)啟用戶的智能門(mén)鎖，帶來(lái)了嚴(yán)重的安全問(wèn)題；其中有些門(mén)鎖將指紋信息保存在手機(jī)數(shù)據(jù)庫(kù)中，當(dāng)存儲(chǔ)的指紋信息被替換成他人指紋信息后，可以對(duì)智能門(mén)鎖實(shí)施替換攻擊。（3）移動(dòng)客戶端應(yīng)用缺陷風(fēng)險(xiǎn)許多智能門(mén)鎖企業(yè)并未具備軟件開(kāi)發(fā)能力，通常是將軟件設(shè)計(jì)開(kāi)發(fā)外包給第三方智能門(mén)鎖方案設(shè)計(jì)公司，導(dǎo)致許多智能門(mén)鎖的移動(dòng)應(yīng)用存在相似的漏洞和設(shè)計(jì)缺陷。因此一個(gè)簡(jiǎn)單的漏洞就會(huì)演變?yōu)樵S多智能門(mén)鎖企業(yè)的群體風(fēng)險(xiǎn)事件。在智能門(mén)鎖遠(yuǎn)程控制過(guò)程中，開(kāi)門(mén)指令都是通過(guò)手機(jī)App發(fā)送的，因而一旦手機(jī)App遭受攻擊，也可能導(dǎo)致數(shù)據(jù)泄露，秘鑰被截獲的風(fēng)險(xiǎn)。智能門(mén)鎖App應(yīng)用普遍使用系統(tǒng)默認(rèn)的輸入法軟件盤(pán)，第三方軟件可以將輸入的登錄密碼和開(kāi)鎖密碼進(jìn)行采集記錄，增加了密碼泄露的風(fēng)險(xiǎn)。有超過(guò)一半的智能門(mén)鎖APP可以被反編譯并進(jìn)行二次打包，那么用戶有可能使用被黑客二次打包過(guò)的app進(jìn)行開(kāi)鎖，從而泄露密碼和個(gè)人信息。有些智能鎖在傳輸開(kāi)鎖憑證調(diào)用云端API接口時(shí)存在著安全保護(hù)機(jī)制漏洞：在遠(yuǎn)程開(kāi)鎖，訪問(wèn)記錄查詢等功能中使用的api連接未使用有效的完整性校驗(yàn)機(jī)制，有些校驗(yàn)機(jī)制簡(jiǎn)單，存在被截取重放攻擊的風(fēng)險(xiǎn)。（4）身份鑒別風(fēng)險(xiǎn)測(cè)試發(fā)現(xiàn)2/3的智能門(mén)鎖存在密碼過(guò)短風(fēng)險(xiǎn)，密碼設(shè)置有效長(zhǎng)度僅為4位數(shù)，過(guò)短的密碼大大增加了被暴力破解的概率；部分智能門(mén)鎖提供臨時(shí)密碼生成，并可二次分享，造成了密碼被盜用風(fēng)險(xiǎn)的擴(kuò)散。（5）生物識(shí)別的安全風(fēng)險(xiǎn)生物識(shí)別模塊識(shí)別主要包括指紋識(shí)別和人臉識(shí)別。指紋識(shí)別由于算法原因，異物信息可以隨著正常的用戶信息學(xué)習(xí)錄入識(shí)別模塊，非正常用戶識(shí)別時(shí)就會(huì)出現(xiàn)認(rèn)假的情況，導(dǎo)致識(shí)別模塊的被破解。人臉識(shí)別存在呈現(xiàn)攻擊的風(fēng)險(xiǎn)。通過(guò)對(duì)攝像傳感器輸入拍攝的用戶頭像，人臉識(shí)別模塊識(shí)別時(shí)做出錯(cuò)誤的比對(duì)判斷，從而造成非法用戶開(kāi)啟智能門(mén)鎖。另一個(gè)重要風(fēng)險(xiǎn)在于生物特征是極關(guān)鍵的個(gè)人隱私信息。在可以預(yù)見(jiàn)的未來(lái)，人臉識(shí)別技術(shù)將廣泛應(yīng)用于生產(chǎn)生活消費(fèi)中。因此應(yīng)防止個(gè)人生物特征數(shù)據(jù)被門(mén)鎖設(shè)備外的系統(tǒng)采集使用。（6）云服務(wù)平臺(tái)和網(wǎng)關(guān)風(fēng)險(xiǎn)云服務(wù)平臺(tái)作為設(shè)備數(shù)據(jù)和用戶數(shù)據(jù)的統(tǒng)一存儲(chǔ)與管理平臺(tái)，其自身的安全機(jī)制決定了整個(gè)智能門(mén)鎖的安全水平。一些智能鎖廠家的密鑰存儲(chǔ)于云服務(wù)器上，通過(guò)網(wǎng)關(guān)與云服務(wù)器建立連接，一旦發(fā)生服務(wù)器或網(wǎng)關(guān)被攻擊，就有數(shù)據(jù)泄露風(fēng)險(xiǎn)，也存在監(jiān)守自盜風(fēng)險(xiǎn)。另一方面，云服務(wù)平臺(tái)存在性能效率上的設(shè)計(jì)漏洞，遠(yuǎn)程開(kāi)鎖時(shí)門(mén)鎖響應(yīng)時(shí)間較長(zhǎng)，用戶誤以為未打開(kāi)門(mén)鎖而離開(kāi)后，門(mén)鎖才響應(yīng)開(kāi)啟門(mén)鎖。

4智能門(mén)鎖信息安全保護(hù)方案

通過(guò)以上的分析,智能門(mén)鎖暴露的一系列信息安全風(fēng)險(xiǎn)問(wèn)題足以使用戶隱私和財(cái)產(chǎn)安全蒙受重大損失。為此，針對(duì)以上風(fēng)險(xiǎn)點(diǎn)，經(jīng)過(guò)總結(jié)歸納提出了以下相應(yīng)的解決方案，減少信息安全風(fēng)險(xiǎn)發(fā)生的可能性。4.1遠(yuǎn)程安全通信方案。為避免非授權(quán)用戶的遠(yuǎn)程訪問(wèn)和非法入侵?jǐn)r截泄露或篡改敏感數(shù)據(jù)[7]，建議使用遠(yuǎn)程密鑰下發(fā)技術(shù)，支持發(fā)送方與接受方之間的雙向認(rèn)證，在認(rèn)證過(guò)程中協(xié)商通信雙方的數(shù)據(jù)加密密鑰，并保證一次一密?？蛻舳伺c服務(wù)端的應(yīng)用API連接中，開(kāi)鎖憑證等關(guān)鍵信息傳輸應(yīng)盡量采用HTTPS加密協(xié)議，既保證了請(qǐng)求的防篡改，也保證了響應(yīng)內(nèi)容的防篡改；在API參數(shù)化時(shí)，需要對(duì)參數(shù)進(jìn)行時(shí)間戳加隨機(jī)數(shù)的雙因素驗(yàn)證身份，并進(jìn)行散列函數(shù)加密保證信息的完整性[8]，并在每次訪問(wèn)后變更隨機(jī)數(shù)，防止重放攻擊。4.2關(guān)鍵數(shù)據(jù)加密保護(hù)方案。在智能門(mén)鎖應(yīng)用中，涉及用戶關(guān)鍵數(shù)據(jù)存儲(chǔ)在門(mén)鎖、云服務(wù)系統(tǒng)以及移動(dòng)客戶端。應(yīng)保證用戶關(guān)鍵數(shù)據(jù)加密存儲(chǔ)在安全載體中。對(duì)用戶關(guān)鍵數(shù)據(jù)進(jìn)行分類分級(jí)管理,將用戶數(shù)據(jù)分為兩類：一類是用戶登錄憑證和開(kāi)鎖密碼，二類是關(guān)于用戶個(gè)人隱私信息和開(kāi)門(mén)記錄等。對(duì)于第一類數(shù)據(jù)，應(yīng)采取有效的措施確保其生成或采集過(guò)程中的保密性、完整性、真實(shí)性以及可追溯性，防止被未授權(quán)第三方獲取或篡改；對(duì)于采集的用戶生物特征信息，在生物特征項(xiàng)提取結(jié)束后應(yīng)及時(shí)清除用戶的生物特征樣本并確保其不可恢復(fù)。對(duì)于第二類數(shù)據(jù)在數(shù)據(jù)采集和調(diào)用前應(yīng)先經(jīng)授權(quán)用戶確認(rèn)后才可以使用用戶數(shù)據(jù)，在使用完成后對(duì)于操作過(guò)程中產(chǎn)生的臨時(shí)數(shù)據(jù)應(yīng)及時(shí)清除并確保不可恢復(fù)。4.3移動(dòng)客戶端應(yīng)用保護(hù)方案。智能門(mén)鎖的移動(dòng)客戶端App應(yīng)采用代碼混淆或加殼等代碼加固方式部署，防止應(yīng)用App被反編譯?？蛻舳薃pp應(yīng)進(jìn)行簽名校驗(yàn)，防止應(yīng)用二次打包，同時(shí)App應(yīng)用運(yùn)行時(shí)應(yīng)具備反調(diào)試能力。密碼輸入應(yīng)采用類似于銀行等金融機(jī)構(gòu)專用設(shè)計(jì)的安全鍵盤(pán)，避免被第三方軟件記錄，導(dǎo)致密碼被泄露。在遠(yuǎn)程連接服務(wù)端時(shí)應(yīng)采用完整性校驗(yàn)機(jī)制和加密機(jī)制，減少信息被攔截的風(fēng)險(xiǎn)。4.4身份鑒別訪問(wèn)控制方案。應(yīng)確保密碼設(shè)置長(zhǎng)度的合理性及限制密碼保存?zhèn)€數(shù)。設(shè)置開(kāi)鎖密碼應(yīng)保持6位以上，并采用虛位密碼技術(shù)（即在真實(shí)密碼前后隨意增加數(shù)字仍可開(kāi)鎖，起到保護(hù)密碼作用），門(mén)鎖終端可保存密碼的個(gè)數(shù)應(yīng)做限制，防止被誤開(kāi)。在使用分享密碼功能時(shí)限制使用次數(shù)和時(shí)限，減少被擴(kuò)散使用的風(fēng)險(xiǎn)。用戶身份鑒別信息丟失或失效時(shí)，應(yīng)采用鑒別信息重置或其他技術(shù)措施保證認(rèn)證系統(tǒng)安全。對(duì)于敏感操作應(yīng)對(duì)身份鑒別采用多因素或雙因素認(rèn)證的方案，如：密碼+指紋的模式，多因素開(kāi)模式相對(duì)于單因素開(kāi)模式具有更高的安全系數(shù)。4.5生物識(shí)別安全保護(hù)方案。針對(duì)生物識(shí)別安全風(fēng)險(xiǎn)的解決方式，一是應(yīng)避免生物特征信息被用戶設(shè)備外的系統(tǒng)采集，對(duì)于設(shè)備外的采集信息，在生物特征項(xiàng)提取結(jié)束后應(yīng)及時(shí)清除用戶的生物特征樣本并確保其不可恢復(fù)。二是采用活體檢測(cè)技術(shù)，如使用指靜脈識(shí)別技術(shù)[9]。指靜脈技術(shù)可以識(shí)別手指內(nèi)部靜脈血管的脈絡(luò)紋路，每個(gè)人的脈絡(luò)紋路具有唯一性，且非活體無(wú)法成像，保證生物識(shí)別的高安全和高精準(zhǔn)度。4.6云服務(wù)系統(tǒng)安全保護(hù)方案。云服務(wù)系統(tǒng)安全機(jī)制應(yīng)該包含：數(shù)據(jù)災(zāi)備安全、信息安全、安全審計(jì)、運(yùn)維安全和管理安全，并提供個(gè)人數(shù)據(jù)全生命周期的安全和隱私保護(hù)。在服務(wù)器架構(gòu)上應(yīng)采用集群部署方式，一方面增加應(yīng)用服務(wù)響應(yīng)的性能效率能力，另一方面避免單點(diǎn)故障引發(fā)系統(tǒng)宕機(jī)。系統(tǒng)應(yīng)建立有效的入侵檢測(cè)與防御機(jī)制[10]，防止服務(wù)器與網(wǎng)絡(luò)被惡意入侵和攻擊。

5結(jié)束語(yǔ)

智能門(mén)鎖的安全問(wèn)題關(guān)系著千家萬(wàn)戶的人身財(cái)產(chǎn)安全。隨著智能門(mén)鎖行業(yè)的迅猛發(fā)展，指紋識(shí)別、遠(yuǎn)程開(kāi)鎖，人臉識(shí)別等技術(shù)廣泛應(yīng)用技術(shù)上的安全隱患也逐漸暴露出來(lái)。本文從信息傳輸安全、數(shù)據(jù)存儲(chǔ)安全、安全認(rèn)證及移動(dòng)客戶端安全等多個(gè)層面提出風(fēng)險(xiǎn)問(wèn)題，并給出了相應(yīng)的解決方案。經(jīng)試驗(yàn)證明解決方案可以降低非法開(kāi)鎖的風(fēng)險(xiǎn)，增強(qiáng)對(duì)隱私數(shù)據(jù)的保護(hù)。本文研究成果已經(jīng)應(yīng)用在智能門(mén)鎖標(biāo)準(zhǔn)的制定上，將為智能門(mén)鎖的設(shè)計(jì)生產(chǎn)提供規(guī)范依據(jù)，引導(dǎo)企業(yè)規(guī)范產(chǎn)品的安全設(shè)計(jì)和質(zhì)量安全，推動(dòng)智能門(mén)鎖產(chǎn)業(yè)規(guī)范化的健康發(fā)展。

作者:林宗繆 何曙 裴雨清 單位:上海市質(zhì)量監(jiān)督檢驗(yàn)技術(shù)研究院