智能门锁信息安全风险研究

导语：智能门锁信息安全风险研究一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

摘要:当前智能联网产品由于信息传输、信息存储等环节存在的风险和相关标准的缺失，导致严重的产品信息安全问题。本文以当前市场占有率较高的智能门锁作为研究对象，联合质监部门开展产品风险监测和质量测评，发现智能门锁产品普遍存在的信息安全隐患，并针对性的提出解决方案。本文研究成果为建立联网智能门锁安全和技术要求的国家标准提供技术支撑，进而推进行业健康有序的发展为建设智慧城市夯实基础。

关键词:智能门锁；信息安全；标准

1引言

智能门锁是通过无线网络、NFC、现代生物学或光学、远程操控等技术，在产品安全性、用户识别、管理性方面更加智能化、简便化的锁具。它具备的远程解锁、人脸识别[1]、智能报警等智能化功能，更是区别于传统的机械门锁，成为智能家居产品市场占有率最高的产品之一。当前针对联网智能门锁所涵盖的通信、软件等方面的要求缺乏强制性标准，甚至连行业标准或地方标准也尚在制定当中，因此产品质量存在信息传输、数据储存、后端安全防护等方面的不足和隐患。开门指令就是一串电子密钥，且无复杂度限制。部分智能门锁生产厂家对密钥的通信数据未做加密处理，或者简单借用蓝牙本身的加密通道，有的甚至将密码保存在手机APP上。这样的做法使得智能门锁开门指令数据很容易被截取，截取了加密数据后就不停的发给云端做重放攻击[2]！另外，一些智能锁厂家的密钥存储于服务器上，一旦发生服务器被攻击，可能导致数据泄露，也无法避免监守自盗的风险。本文基于对智能门锁系统的集中研究和试验，发现智能家居产品的信息安全和个人敏感信息泄露的问题，并提出相应的解决方案。方案能够有效降低智能门锁产品的信息安全问题，以保护消费者的利益，防范大规模风险事故的爆发。

2智能门锁系统架构

智能门锁系统主要是由电子锁、智能化模组（指纹模组、人脸识别模组、智能语音模组、智能猫眼等）、通信系统、移动终端和云服务系统组成（见图1）。云服务系统是智能门锁的核心系统,包括应用系统、数据库、应用服务器和安全机制。云服务系统为智能门锁和移动客户端提供用户权限管理、身份鉴别、数据储存和数据增值等服务。用户通过云服务系统实现对锁的远程控制、远程视频、远程语音和远程授权等，云服务系统对用户操作进行鉴权、安全审计，并对锁的状态和报警信息进行监控记录。智能门锁通过多种通讯方式连接智能云端系统。一种方式是智能门锁通过ZigBee[3]、BLE[4]等低功耗通讯协议连接智能网关[5]，智能网关再连接WIFI进入Internet访问云服务系统。另一种方式是智能门锁系统通过自带的WIFI模块连接云端，这种方式对电池容量有较高要求。最后一种方式是通过移动通讯网络4G/5G/NB-IOT[6]接入互联网访问云服务器系统。智能化模组是智能门锁系统中最能体现智能化的部分，用户通过智能化模组可以直观的感受智能门锁的便利性和智能性。常用的智能化模组包括智能猫眼、人脸识别、虹膜识别、指纹识别、语音智能等。电子锁主要包括机械锁、嵌入式系统和集成模块，这部分主要实现门锁的机械功能。移动客户端主要作用是方便用户通过移动终端设备（如手机、PAD等）直接操控智能门锁，例如：远程开锁、远程语音视频、开锁记录、临时密码授权等服务。智能门锁的使用场景如下：用户使用移动终端App获取开锁凭据，通过移动App，或者用户输入密码，或者对用户进行生物特征信息验证后，从智能门锁云服务系统获取一个动态开锁密钥，或者是访问锁设备中安全存储的开锁钥匙，并通过近场通讯协议与智能门锁进行交互和验证后，控制开锁。智能门锁是一个由门锁、网关、路由器、云平台以及移动终端构成的一个“生态”系统。该系统的任何一个环节出现漏洞，或者数据在传输过程中被截获与解析，都有可能对消费者带来极大的人身和财产安全风险。因此对智能门锁系统开展信息安全研究迫在眉睫。

3智能门锁信息安全隐患

目前针对智能门锁通信和远程控制功能可能带来的诸多防技术开启能力、互开率、误识率、信息保存安全、防破坏报警功能、秘钥防复制能力等在相关标准中缺乏规定，导致针对智能门锁的关键技术监管依据不足。我们联合有关监管部门对联网智能门锁开展风险监测调研。分别按高、中、低档市场占比排名前40的不同品牌、不同技术等级的51批次产品实施安全测试。测试项目包含数据传输安全、敏感信息保护安全、安全认证及移动客户端TechniquesofAutomation&Applications安全等多个层面。检测结果表明智能门锁普遍存在以下几点信息安全隐患。（1）信息传输风险智能门锁移动客户端APP与云服务端之间的关键信息传输时未使用安全加密通信协议，传输数据的机密性、完整性和合法性未得到有效保证。有些智能锁的在传输开锁凭证时，使用的http协议，传输数据采用token加密并使用时间戳校验来防止数据被劫持篡改，但这种方式无法抵御重放攻击。（2）关键信息数据储存风险。用户关键信息包括开锁凭据（数字键盘密码、蓝牙密钥、智能卡密钥等）、用户生物特征信息、用户注册数据、家庭成员出入记录等。测试结果显示有1/5的智能门锁Aapp的登录密码、开锁密码和个人敏感信息采用明文或者简单加密的方式保存在手机客户端。黑客可以轻易破解客户端应用从而获取用户的个人隐私信息，甚至可以远程开启用户的智能门锁，带来了严重的安全问题；其中有些门锁将指纹信息保存在手机数据库中，当存储的指纹信息被替换成他人指纹信息后，可以对智能门锁实施替换攻击。（3）移动客户端应用缺陷风险许多智能门锁企业并未具备软件开发能力，通常是将软件设计开发外包给第三方智能门锁方案设计公司，导致许多智能门锁的移动应用存在相似的漏洞和设计缺陷。因此一个简单的漏洞就会演变为许多智能门锁企业的群体风险事件。在智能门锁远程控制过程中，开门指令都是通过手机App发送的，因而一旦手机App遭受攻击，也可能导致数据泄露，秘钥被截获的风险。智能门锁App应用普遍使用系统默认的输入法软件盘，第三方软件可以将输入的登录密码和开锁密码进行采集记录，增加了密码泄露的风险。有超过一半的智能门锁APP可以被反编译并进行二次打包，那么用户有可能使用被黑客二次打包过的app进行开锁，从而泄露密码和个人信息。有些智能锁在传输开锁凭证调用云端API接口时存在着安全保护机制漏洞：在远程开锁，访问记录查询等功能中使用的api连接未使用有效的完整性校验机制，有些校验机制简单，存在被截取重放攻击的风险。（4）身份鉴别风险测试发现2/3的智能门锁存在密码过短风险，密码设置有效长度仅为4位数，过短的密码大大增加了被暴力破解的概率；部分智能门锁提供临时密码生成，并可二次分享，造成了密码被盗用风险的扩散。（5）生物识别的安全风险生物识别模块识别主要包括指纹识别和人脸识别。指纹识别由于算法原因，异物信息可以随着正常的用户信息学习录入识别模块，非正常用户识别时就会出现认假的情况，导致识别模块的被破解。人脸识别存在呈现攻击的风险。通过对摄像传感器输入拍摄的用户头像，人脸识别模块识别时做出错误的比对判断，从而造成非法用户开启智能门锁。另一个重要风险在于生物特征是极关键的个人隐私信息。在可以预见的未来，人脸识别技术将广泛应用于生产生活消费中。因此应防止个人生物特征数据被门锁设备外的系统采集使用。（6）云服务平台和网关风险云服务平台作为设备数据和用户数据的统一存储与管理平台，其自身的安全机制决定了整个智能门锁的安全水平。一些智能锁厂家的密钥存储于云服务器上，通过网关与云服务器建立连接，一旦发生服务器或网关被攻击，就有数据泄露风险，也存在监守自盗风险。另一方面，云服务平台存在性能效率上的设计漏洞，远程开锁时门锁响应时间较长，用户误以为未打开门锁而离开后，门锁才响应开启门锁。

4智能门锁信息安全保护方案

通过以上的分析,智能门锁暴露的一系列信息安全风险问题足以使用户隐私和财产安全蒙受重大损失。为此，针对以上风险点，经过总结归纳提出了以下相应的解决方案，减少信息安全风险发生的可能性。4.1远程安全通信方案。为避免非授权用户的远程访问和非法入侵拦截泄露或篡改敏感数据[7]，建议使用远程密钥下发技术，支持发送方与接受方之间的双向认证，在认证过程中协商通信双方的数据加密密钥，并保证一次一密。客户端与服务端的应用API连接中，开锁凭证等关键信息传输应尽量采用HTTPS加密协议，既保证了请求的防篡改，也保证了响应内容的防篡改；在API参数化时，需要对参数进行时间戳加随机数的双因素验证身份，并进行散列函数加密保证信息的完整性[8]，并在每次访问后变更随机数，防止重放攻击。4.2关键数据加密保护方案。在智能门锁应用中，涉及用户关键数据存储在门锁、云服务系统以及移动客户端。应保证用户关键数据加密存储在安全载体中。对用户关键数据进行分类分级管理,将用户数据分为两类：一类是用户登录凭证和开锁密码，二类是关于用户个人隐私信息和开门记录等。对于第一类数据，应采取有效的措施确保其生成或采集过程中的保密性、完整性、真实性以及可追溯性，防止被未授权第三方获取或篡改；对于采集的用户生物特征信息，在生物特征项提取结束后应及时清除用户的生物特征样本并确保其不可恢复。对于第二类数据在数据采集和调用前应先经授权用户确认后才可以使用用户数据，在使用完成后对于操作过程中产生的临时数据应及时清除并确保不可恢复。4.3移动客户端应用保护方案。智能门锁的移动客户端App应采用代码混淆或加壳等代码加固方式部署，防止应用App被反编译。客户端App应进行签名校验，防止应用二次打包，同时App应用运行时应具备反调试能力。密码输入应采用类似于银行等金融机构专用设计的安全键盘，避免被第三方软件记录，导致密码被泄露。在远程连接服务端时应采用完整性校验机制和加密机制，减少信息被拦截的风险。4.4身份鉴别访问控制方案。应确保密码设置长度的合理性及限制密码保存个数。设置开锁密码应保持6位以上，并采用虚位密码技术（即在真实密码前后随意增加数字仍可开锁，起到保护密码作用），门锁终端可保存密码的个数应做限制，防止被误开。在使用分享密码功能时限制使用次数和时限，减少被扩散使用的风险。用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证认证系统安全。对于敏感操作应对身份鉴别采用多因素或双因素认证的方案，如：密码+指纹的模式，多因素开模式相对于单因素开模式具有更高的安全系数。4.5生物识别安全保护方案。针对生物识别安全风险的解决方式，一是应避免生物特征信息被用户设备外的系统采集，对于设备外的采集信息，在生物特征项提取结束后应及时清除用户的生物特征样本并确保其不可恢复。二是采用活体检测技术，如使用指静脉识别技术[9]。指静脉技术可以识别手指内部静脉血管的脉络纹路，每个人的脉络纹路具有唯一性，且非活体无法成像，保证生物识别的高安全和高精准度。4.6云服务系统安全保护方案。云服务系统安全机制应该包含：数据灾备安全、信息安全、安全审计、运维安全和管理安全，并提供个人数据全生命周期的安全和隐私保护。在服务器架构上应采用集群部署方式，一方面增加应用服务响应的性能效率能力，另一方面避免单点故障引发系统宕机。系统应建立有效的入侵检测与防御机制[10]，防止服务器与网络被恶意入侵和攻击。

5结束语

智能门锁的安全问题关系着千家万户的人身财产安全。随着智能门锁行业的迅猛发展，指纹识别、远程开锁，人脸识别等技术广泛应用技术上的安全隐患也逐渐暴露出来。本文从信息传输安全、数据存储安全、安全认证及移动客户端安全等多个层面提出风险问题，并给出了相应的解决方案。经试验证明解决方案可以降低非法开锁的风险，增强对隐私数据的保护。本文研究成果已经应用在智能门锁标准的制定上，将为智能门锁的设计生产提供规范依据，引导企业规范产品的安全设计和质量安全，推动智能门锁产业规范化的健康发展。

作者:林宗缪 何曙 裴雨清 单位:上海市质量监督检验技术研究院