智能門鎖信息安全風險研究

導語：智能門鎖信息安全風險研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要:當前智能聯網產品由于信息傳輸、信息存儲等環節存在的風險和相關標準的缺失，導致嚴重的產品信息安全問題。本文以當前市場占有率較高的智能門鎖作為研究對象，聯合質監部門開展產品風險監測和質量測評，發現智能門鎖產品普遍存在的信息安全隱患，并針對性的提出解決方案。本文研究成果為建立聯網智能門鎖安全和技術要求的國家標準提供技術支撐，進而推進行業健康有序的發展為建設智慧城市夯實基礎。

關鍵詞:智能門鎖；信息安全；標準

1引言

智能門鎖是通過無線網絡、NFC、現代生物學或光學、遠程操控等技術，在產品安全性、用戶識別、管理性方面更加智能化、簡便化的鎖具。它具備的遠程解鎖、人臉識別[1]、智能報警等智能化功能，更是區別于傳統的機械門鎖，成為智能家居產品市場占有率最高的產品之一。當前針對聯網智能門鎖所涵蓋的通信、軟件等方面的要求缺乏強制性標準，甚至連行業標準或地方標準也尚在制定當中，因此產品質量存在信息傳輸、數據儲存、后端安全防護等方面的不足和隱患。開門指令就是一串電子密鑰，且無復雜度限制。部分智能門鎖生產廠家對密鑰的通信數據未做加密處理，或者簡單借用藍牙本身的加密通道，有的甚至將密碼保存在手機APP上。這樣的做法使得智能門鎖開門指令數據很容易被截取，截取了加密數據后就不停的發給云端做重放攻擊[2]！另外，一些智能鎖廠家的密鑰存儲于服務器上，一旦發生服務器被攻擊，可能導致數據泄露，也無法避免監守自盜的風險。本文基于對智能門鎖系統的集中研究和試驗，發現智能家居產品的信息安全和個人敏感信息泄露的問題，并提出相應的解決方案。方案能夠有效降低智能門鎖產品的信息安全問題，以保護消費者的利益，防范大規模風險事故的爆發。

2智能門鎖系統架構

智能門鎖系統主要是由電子鎖、智能化模組（指紋模組、人臉識別模組、智能語音模組、智能貓眼等）、通信系統、移動終端和云服務系統組成（見圖1）。云服務系統是智能門鎖的核心系統,包括應用系統、數據庫、應用服務器和安全機制。云服務系統為智能門鎖和移動客戶端提供用戶權限管理、身份鑒別、數據儲存和數據增值等服務。用戶通過云服務系統實現對鎖的遠程控制、遠程視頻、遠程語音和遠程授權等，云服務系統對用戶操作進行鑒權、安全審計，并對鎖的狀態和報警信息進行監控記錄。智能門鎖通過多種通訊方式連接智能云端系統。一種方式是智能門鎖通過ZigBee[3]、BLE[4]等低功耗通訊協議連接智能網關[5]，智能網關再連接WIFI進入Internet訪問云服務系統。另一種方式是智能門鎖系統通過自帶的WIFI模塊連接云端，這種方式對電池容量有較高要求。最后一種方式是通過移動通訊網絡4G/5G/NB-IOT[6]接入互聯網訪問云服務器系統。智能化模組是智能門鎖系統中最能體現智能化的部分，用戶通過智能化模組可以直觀的感受智能門鎖的便利性和智能性。常用的智能化模組包括智能貓眼、人臉識別、虹膜識別、指紋識別、語音智能等。電子鎖主要包括機械鎖、嵌入式系統和集成模塊，這部分主要實現門鎖的機械功能。移動客戶端主要作用是方便用戶通過移動終端設備（如手機、PAD等）直接操控智能門鎖，例如：遠程開鎖、遠程語音視頻、開鎖記錄、臨時密碼授權等服務。智能門鎖的使用場景如下：用戶使用移動終端App獲取開鎖憑據，通過移動App，或者用戶輸入密碼，或者對用戶進行生物特征信息驗證后，從智能門鎖云服務系統獲取一個動態開鎖密鑰，或者是訪問鎖設備中安全存儲的開鎖鑰匙，并通過近場通訊協議與智能門鎖進行交互和驗證后，控制開鎖。智能門鎖是一個由門鎖、網關、路由器、云平臺以及移動終端構成的一個“生態”系統。該系統的任何一個環節出現漏洞，或者數據在傳輸過程中被截獲與解析，都有可能對消費者帶來極大的人身和財產安全風險。因此對智能門鎖系統開展信息安全研究迫在眉睫。

3智能門鎖信息安全隱患

目前針對智能門鎖通信和遠程控制功能可能帶來的諸多防技術開啟能力、互開率、誤識率、信息保存安全、防破壞報警功能、秘鑰防復制能力等在相關標準中缺乏規定，導致針對智能門鎖的關鍵技術監管依據不足。我們聯合有關監管部門對聯網智能門鎖開展風險監測調研。分別按高、中、低檔市場占比排名前40的不同品牌、不同技術等級的51批次產品實施安全測試。測試項目包含數據傳輸安全、敏感信息保護安全、安全認證及移動客戶端TechniquesofAutomation&Applications安全等多個層面。檢測結果表明智能門鎖普遍存在以下幾點信息安全隱患。（1）信息傳輸風險智能門鎖移動客戶端APP與云服務端之間的關鍵信息傳輸時未使用安全加密通信協議，傳輸數據的機密性、完整性和合法性未得到有效保證。有些智能鎖的在傳輸開鎖憑證時，使用的http協議，傳輸數據采用token加密并使用時間戳校驗來防止數據被劫持篡改，但這種方式無法抵御重放攻擊。（2）關鍵信息數據儲存風險。用戶關鍵信息包括開鎖憑據（數字鍵盤密碼、藍牙密鑰、智能卡密鑰等）、用戶生物特征信息、用戶注冊數據、家庭成員出入記錄等。測試結果顯示有1/5的智能門鎖Aapp的登錄密碼、開鎖密碼和個人敏感信息采用明文或者簡單加密的方式保存在手機客戶端。黑客可以輕易破解客戶端應用從而獲取用戶的個人隱私信息，甚至可以遠程開啟用戶的智能門鎖，帶來了嚴重的安全問題；其中有些門鎖將指紋信息保存在手機數據庫中，當存儲的指紋信息被替換成他人指紋信息后，可以對智能門鎖實施替換攻擊。（3）移動客戶端應用缺陷風險許多智能門鎖企業并未具備軟件開發能力，通常是將軟件設計開發外包給第三方智能門鎖方案設計公司，導致許多智能門鎖的移動應用存在相似的漏洞和設計缺陷。因此一個簡單的漏洞就會演變為許多智能門鎖企業的群體風險事件。在智能門鎖遠程控制過程中，開門指令都是通過手機App發送的，因而一旦手機App遭受攻擊，也可能導致數據泄露，秘鑰被截獲的風險。智能門鎖App應用普遍使用系統默認的輸入法軟件盤，第三方軟件可以將輸入的登錄密碼和開鎖密碼進行采集記錄，增加了密碼泄露的風險。有超過一半的智能門鎖APP可以被反編譯并進行二次打包，那么用戶有可能使用被黑客二次打包過的app進行開鎖，從而泄露密碼和個人信息。有些智能鎖在傳輸開鎖憑證調用云端API接口時存在著安全保護機制漏洞：在遠程開鎖，訪問記錄查詢等功能中使用的api連接未使用有效的完整性校驗機制，有些校驗機制簡單，存在被截取重放攻擊的風險。（4）身份鑒別風險測試發現2/3的智能門鎖存在密碼過短風險，密碼設置有效長度僅為4位數，過短的密碼大大增加了被暴力破解的概率；部分智能門鎖提供臨時密碼生成，并可二次分享，造成了密碼被盜用風險的擴散。（5）生物識別的安全風險生物識別模塊識別主要包括指紋識別和人臉識別。指紋識別由于算法原因，異物信息可以隨著正常的用戶信息學習錄入識別模塊，非正常用戶識別時就會出現認假的情況，導致識別模塊的被破解。人臉識別存在呈現攻擊的風險。通過對攝像傳感器輸入拍攝的用戶頭像，人臉識別模塊識別時做出錯誤的比對判斷，從而造成非法用戶開啟智能門鎖。另一個重要風險在于生物特征是極關鍵的個人隱私信息。在可以預見的未來，人臉識別技術將廣泛應用于生產生活消費中。因此應防止個人生物特征數據被門鎖設備外的系統采集使用。（6）云服務平臺和網關風險云服務平臺作為設備數據和用戶數據的統一存儲與管理平臺，其自身的安全機制決定了整個智能門鎖的安全水平。一些智能鎖廠家的密鑰存儲于云服務器上，通過網關與云服務器建立連接，一旦發生服務器或網關被攻擊，就有數據泄露風險，也存在監守自盜風險。另一方面，云服務平臺存在性能效率上的設計漏洞，遠程開鎖時門鎖響應時間較長，用戶誤以為未打開門鎖而離開后，門鎖才響應開啟門鎖。

4智能門鎖信息安全保護方案

通過以上的分析,智能門鎖暴露的一系列信息安全風險問題足以使用戶隱私和財產安全蒙受重大損失。為此，針對以上風險點，經過總結歸納提出了以下相應的解決方案，減少信息安全風險發生的可能性。4.1遠程安全通信方案。為避免非授權用戶的遠程訪問和非法入侵攔截泄露或篡改敏感數據[7]，建議使用遠程密鑰下發技術，支持發送方與接受方之間的雙向認證，在認證過程中協商通信雙方的數據加密密鑰，并保證一次一密。客戶端與服務端的應用API連接中，開鎖憑證等關鍵信息傳輸應盡量采用HTTPS加密協議，既保證了請求的防篡改，也保證了響應內容的防篡改；在API參數化時，需要對參數進行時間戳加隨機數的雙因素驗證身份，并進行散列函數加密保證信息的完整性[8]，并在每次訪問后變更隨機數，防止重放攻擊。4.2關鍵數據加密保護方案。在智能門鎖應用中，涉及用戶關鍵數據存儲在門鎖、云服務系統以及移動客戶端。應保證用戶關鍵數據加密存儲在安全載體中。對用戶關鍵數據進行分類分級管理,將用戶數據分為兩類：一類是用戶登錄憑證和開鎖密碼，二類是關于用戶個人隱私信息和開門記錄等。對于第一類數據，應采取有效的措施確保其生成或采集過程中的保密性、完整性、真實性以及可追溯性，防止被未授權第三方獲取或篡改；對于采集的用戶生物特征信息，在生物特征項提取結束后應及時清除用戶的生物特征樣本并確保其不可恢復。對于第二類數據在數據采集和調用前應先經授權用戶確認后才可以使用用戶數據，在使用完成后對于操作過程中產生的臨時數據應及時清除并確保不可恢復。4.3移動客戶端應用保護方案。智能門鎖的移動客戶端App應采用代碼混淆或加殼等代碼加固方式部署，防止應用App被反編譯。客戶端App應進行簽名校驗，防止應用二次打包，同時App應用運行時應具備反調試能力。密碼輸入應采用類似于銀行等金融機構專用設計的安全鍵盤，避免被第三方軟件記錄，導致密碼被泄露。在遠程連接服務端時應采用完整性校驗機制和加密機制，減少信息被攔截的風險。4.4身份鑒別訪問控制方案。應確保密碼設置長度的合理性及限制密碼保存個數。設置開鎖密碼應保持6位以上，并采用虛位密碼技術（即在真實密碼前后隨意增加數字仍可開鎖，起到保護密碼作用），門鎖終端可保存密碼的個數應做限制，防止被誤開。在使用分享密碼功能時限制使用次數和時限，減少被擴散使用的風險。用戶身份鑒別信息丟失或失效時，應采用鑒別信息重置或其他技術措施保證認證系統安全。對于敏感操作應對身份鑒別采用多因素或雙因素認證的方案，如：密碼+指紋的模式，多因素開模式相對于單因素開模式具有更高的安全系數。4.5生物識別安全保護方案。針對生物識別安全風險的解決方式，一是應避免生物特征信息被用戶設備外的系統采集，對于設備外的采集信息，在生物特征項提取結束后應及時清除用戶的生物特征樣本并確保其不可恢復。二是采用活體檢測技術，如使用指靜脈識別技術[9]。指靜脈技術可以識別手指內部靜脈血管的脈絡紋路，每個人的脈絡紋路具有唯一性，且非活體無法成像，保證生物識別的高安全和高精準度。4.6云服務系統安全保護方案。云服務系統安全機制應該包含：數據災備安全、信息安全、安全審計、運維安全和管理安全，并提供個人數據全生命周期的安全和隱私保護。在服務器架構上應采用集群部署方式，一方面增加應用服務響應的性能效率能力，另一方面避免單點故障引發系統宕機。系統應建立有效的入侵檢測與防御機制[10]，防止服務器與網絡被惡意入侵和攻擊。

5結束語

智能門鎖的安全問題關系著千家萬戶的人身財產安全。隨著智能門鎖行業的迅猛發展，指紋識別、遠程開鎖，人臉識別等技術廣泛應用技術上的安全隱患也逐漸暴露出來。本文從信息傳輸安全、數據存儲安全、安全認證及移動客戶端安全等多個層面提出風險問題，并給出了相應的解決方案。經試驗證明解決方案可以降低非法開鎖的風險，增強對隱私數據的保護。本文研究成果已經應用在智能門鎖標準的制定上，將為智能門鎖的設計生產提供規范依據，引導企業規范產品的安全設計和質量安全，推動智能門鎖產業規范化的健康發展。

作者:林宗繆 何曙 裴雨清 單位:上海市質量監督檢驗技術研究院