張艷 國家網(wǎng)絡與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心 智能互聯(lián)安全測評實驗室主任

　　分享的內(nèi)容主要包括三個方面，主要還是安全現(xiàn)狀的介紹，然后還有我們針對智能鎖目前存在的安全風險，我們可以采取哪些應對措施？第三個針對標準化的工作進行一個簡單的介紹。

　　目前隨著我們國家智慧城市建設和平安中國，以及國家提出的智能制造2025實施的要求，目前安防類市場的需求非常的旺盛，技術發(fā)展也是非常的快速。呈現(xiàn)出兩個方面的趨勢，一個就是智能化水平越來越高，聯(lián)網(wǎng)的范圍也是越來越大。剛才的長虹專家也介紹，整個智能家居，包括智能安防、智慧醫(yī)療、智慧警務等等各個方面終端的設備聯(lián)網(wǎng)的趨勢和范圍都是越來越大的。同時，伴隨著這些技術的發(fā)展，還有人工智能技術的發(fā)展，目前中國的智能家居行業(yè)也是在快速發(fā)展的一個狀態(tài)。

　　以這個智能家居的入口及產(chǎn)品，還有就是智能安防產(chǎn)品的核心單品來說，我們大家生活中會接觸到的一個智能門鎖。智能門鎖前面楊主任也提到，根據(jù)市場的調(diào)研情況，在去年的年銷量達到了近兩千萬套的規(guī)模，根據(jù)權威的調(diào)查到2020年這個數(shù)字會達到4000萬套的規(guī)模，從經(jīng)濟效益上來說超過400億元的市場規(guī)模，因為智能門鎖的市場前景非常的好，越來越多的企業(yè)也是加入到這個智能門鎖的技術研發(fā)，還有一些相應的安全防護產(chǎn)品的研發(fā)這個領域當中來。

　　智能門鎖大家都知道是以傳統(tǒng)的機械鎖為基礎進行改進的，也是在用戶的安全性、識別性和管理性方面更加的智能化和便捷化的鎖具。智能鎖目前也是智能家居整個生態(tài)鏈上不可或缺的核心地位的作用。

　　國家方面也是對于智能安防、交通早在2012年提出了《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》當中包括智能家居領域的在智慧城市建設當中的基礎定位，也是提出了重點發(fā)展的要求，包括工信部等各大部委對于物聯(lián)網(wǎng)的發(fā)展規(guī)劃提出了相應的要求。根據(jù)國家互聯(lián)網(wǎng)應急中心發(fā)布的數(shù)據(jù)來看，早在2017年底的時候，全國智能門鎖相關的企業(yè)數(shù)量達到了1300多家，智能門鎖的品牌達到2800個的數(shù)據(jù)規(guī)模。

　　下面看一下智能門鎖的構成，智能門鎖的物理構成主要分為三個部分，包括前面板、鎖體和后面板，前面板承載的是：主芯片、密碼按鍵、指紋頭模塊、前把手、電機、藍牙模塊、顯示屏、滑蓋。后面板承載的是：通訊模塊、電池槽、后把手等等這些組件。

　　從它的技術層面來說主要包括三個部分，包括它的機械結構方面、識別控制技術方面，還有通信服務方面。識別控制技術這塊主要是一些生物特征的識別技術，還有智能終端、密碼等等相關的技術，通信服務這塊更多的涉及到安全芯片、智能門鎖應用軟件，以及云平臺云端的服務平臺，還有就是涉及到我們經(jīng)常在智能門鎖應用當中可以看到的，包括WIFI、藍牙、FID、NB-IOT等等通信協(xié)議的技術。

　　智能門鎖的組網(wǎng)方式來說是典型的物聯(lián)網(wǎng)三層結構，包括了感知層、傳輸層、應用層三個層面。感知層在智能門鎖這塊包括了門鎖、智能終端這個層面，在傳輸層這塊更多的涉及到常見的家庭智能網(wǎng)關，就是用于門鎖的智能接入，還有移動通信基站等等，應用層層面用于后端的控制管理和控制指令下發(fā)的云服務平臺，云平臺負責智能鎖的身份認證、設備接入、邏輯控制、數(shù)據(jù)內(nèi)容展示等等。

　　我這邊列舉了幾個智能門鎖常見的開鎖模式，基本上就是囊括了目前市場上見到的智能門鎖應用的方式，包括固定的口令密碼開鎖，還有一些臨時性的密碼，這個主要是應用于比如說有訪客到訪，或者是酒店式公寓等等的應用場景當中，可能是由手機端進行門鎖的密碼獲取操作，然后會分發(fā)一個當前時段的臨時密碼到手機終端上，用戶發(fā)送給訪客進行開鎖的流程。還有生物特征方面主要包括了指紋、人臉、虹膜等等這些生物特征的開鎖方式。智能卡鑰匙這塊更多的是門禁卡、FID、CPU卡等等智能卡鑰匙的方式。手機APP應該說是目前應用最典型的智能門鎖開鎖的方式。

　　正是因為智能門鎖聯(lián)網(wǎng)的方式，經(jīng)過歸納存在五個方面的安全風險。首先是門鎖方面的，主要針對智能門鎖的設備攻擊威脅，因為作為一個智能聯(lián)網(wǎng)產(chǎn)品，智能產(chǎn)品面臨的安全風險在門鎖這塊都是存在的。其次在智能手機的APP應用方面的一些攻擊威脅，因為常見的APP存在的包括能夠進行逆向分析、數(shù)據(jù)截獲等等，對于智能門鎖的應用安全方面都是存在的。還有針對WIFI、Zigbee、藍牙等等的攻擊。第四個方面針對網(wǎng)絡傳輸方面，數(shù)據(jù)傳輸過程、通信連接過程當中的智能網(wǎng)關和攔截的風險。最后針對云平臺方面的，包括web應用方面，還有數(shù)據(jù)隱私泄露等等這兩方面的應用安全的風險。

　　正是基于這么多的安全風險，也是因為智能門鎖的安全質(zhì)量和老百姓的人身財產(chǎn)安全是密切相關的，所以國家包括國務院在《開展質(zhì)量提升行動的指導意見》當中，對于國家質(zhì)量標準、檢測檢驗、認證認可機構的能效運行，說白了是對于智能門鎖安全檢測認證這塊提出了要求，還有強化設備智能門鎖的隱私安全和保護的安要求，以及提高自身產(chǎn)品安全、環(huán)保、可靠性等要求和標準。

　　在總體的指導意見提出之后，國家這邊通過市場監(jiān)管總局各大部委對于智能門鎖開展了一系列的風險監(jiān)測的活動，去年年底的時候國家質(zhì)檢總局針對三個省市的，包括北京、廣東、浙江三個省份的34個批次的智能門鎖開展了風險監(jiān)測和安全性方面的測試，總共抽查了34個批次，對于這個信息保存和務實率、防破壞報警、泄露電流等等11項指標進行了驗證和檢測，主要發(fā)現(xiàn)了智能門鎖在遠程控制方面和人臉識別、指紋識別方面的威脅是比較高的一個風險。在感應卡的識別的隱患也比較多，另外在密碼邏輯的安全方面、抗電磁干擾、指紋識別等存在不同程度的安全風險。

　　下面簡單介紹一下，第一個關于小黑盒攻擊測試，這個大家在新聞互聯(lián)網(wǎng)上看到了很多，去年5月份第九屆中國永康國際門業(yè)博覽會上，有人用特斯拉線圈裝置最快在3秒之內(nèi)開智能門鎖門禁的效果，很多款不同品牌的門鎖在現(xiàn)場進行了演示，這樣的攻擊演示引起了社會上廣泛的關注。它的原理主要是利用智能門鎖電路的配電系統(tǒng)驅(qū)動電流開啟門鎖，另外一種因為特斯拉線圈產(chǎn)生比較強的電磁脈沖之后攻擊智能門鎖的芯片可以造成芯片的死機并且重啟，很多的智能門鎖在這個機制方面默認芯片重啟之后就會開鎖，所以實現(xiàn)了攻擊后開鎖的效果。

　　第二個方面是生物特征識別方面的風險，前面提到的一個風險監(jiān)測活動當中有10個批次的智能門鎖都被發(fā)現(xiàn)存在指紋識別、人臉識別方面的安全威脅，在指紋識別區(qū)受到類似于頭發(fā)絲、金屬絲、膠帶等等，或者出現(xiàn)裂紋的時候產(chǎn)生效果，任何的指紋都可以進行開鎖的實現(xiàn)。經(jīng)過分析，智能門鎖并沒有區(qū)分非指紋圖像和指紋圖像的情況下，有的智能門鎖會把這些帶有裂紋所形成的圖像存在了庫里的模板當中，就會導致在下一次使用的時候可能會把裂紋圖像進行一個匹配，或者是非指紋圖像作為一個標準的鑒別信息，從而能夠?qū)崿F(xiàn)智能門鎖開啟的效果。還有就是在人臉識別的功能智能門鎖也會存在相應的問題，主要是不能夠區(qū)分真實的人臉信息和照片的區(qū)別。

　　第三個是感應卡方面的安全風險，同樣在30個批次風險監(jiān)測的智能門鎖當中都具備了感應卡開鎖的功能，30款當中有20款的智能門鎖存在智能卡方面的安全風險，表現(xiàn)就是它能夠支持用戶錄入自己其他的一些智能卡，包括公交卡、門禁卡、飯卡等等作為開鎖工具，這些門鎖使用了感應卡并沒有加密的區(qū)塊，這部分可以通過手機和解密的讀卡器讀取到相關信息，攻擊者對于這些區(qū)域進行寫入操作。同樣的關聯(lián)問題可以體現(xiàn)在FID技術的門禁卡當中，F(xiàn)ID卡在智能門鎖應用當中會存儲代表持卡人身份信息的字符串，通常FID卡中會對信息進行明文存儲，或者經(jīng)過簡單處理之后的存儲，攻擊者只要通過常用的讀卡器就能夠讀取存儲的字符串信息，再進行新的FID卡信息的寫入獲取權限實現(xiàn)正常開鎖的效果。

　　第四個是遠程控制方面的安全風險，這個也同樣是在風險監(jiān)測那次活動中發(fā)現(xiàn)的比較重要的一個安全風險類型，抽查的批次產(chǎn)品當中有10個批次都是支持移動應用的遠程控制、遠程開鎖，以及查卡門禁開啟記錄的功能，其中有8個存在相應的問題。很多的問題主要是APP自身的問題，比如說同樣加解密鑰的使用，一些APP代碼沒有經(jīng)過加固過，密鑰進行逆向分析，分析出和門鎖當中的交互信息。程序員在代碼編輯的時候存在bug問題，還有就是終端本身存在相應的漏洞，植入惡意代碼之后進行智能門鎖的攻擊，第五個方面就是在手機的APP和門鎖，或者是智能的安全接入網(wǎng)關之間的認證問題導致中間人攻擊，這個都是在智能門鎖遠程控制當中的安全風險。

　　第六個是關于WIFI信號劫持方面實現(xiàn)開門操作的威脅，同樣是因為門鎖和APP很多通過WIFI接入到互聯(lián)網(wǎng)，比如用戶的手機在家里的時候也是通過WIFI連到家里的路由器，如果攻擊者通過攻擊WIFI路由器、智能家居網(wǎng)關劫持信號可以分析定位出當中交互的數(shù)據(jù)包進行相應的截獲和重放，通過重放攻擊的方式實現(xiàn)對于門鎖的控制。

　　其他方面包括智能門鎖存儲的固定密碼，可能很多的時候使用這些默認密碼，還有密碼邏輯漏洞、短密碼等等，復雜度不夠的問題，以及密碼泄露等等的情況，這個是固定密碼相關的威脅。另一方面，更多體現(xiàn)在云服務平臺方面的問題，包括用戶身份鑒別機制、訪問控制方面的漏洞，以及前面提到過的云管理平臺web安全方面的問題，還有敏感信息泄露等等這些已知的漏洞情況都會導致云平臺的安全風險給智能門鎖的應用帶來相應的威脅。

　　談到這么多的安全風險之后，我們該如何采取相應的應對措施呢？主要從三個方面，第一個從部分用戶的角度來說，肯定首先是要選擇相應的比較知名的品牌有質(zhì)量保障的廠商，其次選取具有安全功能的智能家庭網(wǎng)關設備，比如近場通信安全監(jiān)控和流量安全監(jiān)控等相關安全功能，并且進行策略啟用。從智能門鎖廠商來說首先通過移動應用的安全質(zhì)量，通過APP加固等常規(guī)的安全加固手段加快防逆向分析和抗分析的能力。第二個加強智能門鎖的安全設計，提高智能門鎖的抗攻擊能力，包括安全芯片方面。第三個是網(wǎng)絡安全防護，主要指通信過程當中的安全性防護措施。第四個就是保障云端的服務安全，從物理層面、虛擬化層面，包括從主機層、網(wǎng)絡層、應用層等等的全方位的對于云平臺全時段的安全監(jiān)控，還有運維形成網(wǎng)絡措施保障安全性。

　　第三個層面從監(jiān)管，或者檢測認證的角度，遵從行業(yè)監(jiān)管的相關意見對智能門鎖的質(zhì)量，或者是安全性方面進行質(zhì)量的把關。我們這邊提供包括電子防盜鎖的GA認證等等，第一個主要依據(jù)了公安行業(yè)標準機械防盜鎖和電子防盜鎖的標準，還有就是指紋防盜鎖的通用技術條件作為認證檢測依據(jù)，這塊更多不是信息安全類的要求，可能從機械安全角度和安防的角度對智能門鎖功能的安全性進行認證。下面社會公共安全領域智能聯(lián)網(wǎng)產(chǎn)品認證，主要是依據(jù)智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡安全認證的實施規(guī)則，以及操作了18336和通用滲透測試的檢測條件，以及專門針對智能聯(lián)網(wǎng)產(chǎn)品制定的網(wǎng)絡安全技術規(guī)范這些技術標準實施的一個檢測和認證。

　　智能聯(lián)網(wǎng)產(chǎn)品網(wǎng)絡安全認證涵蓋12個大類、55個測試點的安全技術檢測，這個涵蓋的范圍主要包括具有聯(lián)網(wǎng)功能的，比如說攝像機等視頻監(jiān)控產(chǎn)品和智能門鎖等智能防護產(chǎn)品，以及探測器等等，還有樓宇對講出入口控制等等都在這個安全認證的范圍當中。此外，安全控制點的要求后面我會介紹，基本上涵蓋目前已知的安全漏洞和威脅。因為智能聯(lián)網(wǎng)產(chǎn)品的分門別類，技術實現(xiàn)方式很多，所以在認證技術規(guī)范的動態(tài)調(diào)整的角度也會持續(xù)不斷地更新最新的一些安全威脅對技術規(guī)范進行調(diào)整，能夠盡可能覆蓋到行業(yè)當中報出來的一些新的安全問題。這個認證的實施也是為了促進智能聯(lián)網(wǎng)產(chǎn)品的技術創(chuàng)新，提高產(chǎn)品的公信力、競爭力，同樣也是為用戶進行甄別產(chǎn)品和網(wǎng)絡安全防護能力的需求提供有效的參照。

　　對于剛才提到的智能聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡安全認證的技術規(guī)范，我們這邊主要針對聯(lián)網(wǎng)產(chǎn)品面臨的一些安全威脅提出相應的技術指標。從安全技術要求的角度對于智能聯(lián)網(wǎng)產(chǎn)品的安全功能，包括標識鑒別、用戶數(shù)據(jù)保護、安全管理、TOE訪問、TSF保護、可信路徑性等等，安全保障要求主要針對智能聯(lián)網(wǎng)產(chǎn)品的開發(fā)、設計、使用等全生命周期當中的安全保障提出具體的要求，比開發(fā)指導性文檔、生命周期支持、測試等等，同時在脆弱性攻擊加入了滲透測試的要求，模擬黑客對于產(chǎn)品展開一定的攻擊，包括遠程網(wǎng)絡攻擊、物理接觸攻擊等等，盡可能在檢測認證環(huán)節(jié)能夠在第一時間發(fā)現(xiàn)產(chǎn)品存在的安全問題及早進行修復。

　　標準中的安全技術要求前面提到的安全防護點來說，首先標識和鑒別包括了常規(guī)的鑒別失敗處理、屬性定義、口令驗證、鑒別時效、多重鑒別機制等等要求，這個主要為智能門鎖用戶鑒別方面的弱口令、默認口令、暴力猜測、設備防爆等等方面的威脅。第二個，用戶數(shù)據(jù)保護方面的技術要求主要是包括訪問控制、基于安全屬性的訪問控制、信息流控制、屬性制定、變更修改等等這方面的要求，主要是為了應對智能聯(lián)網(wǎng)產(chǎn)品，包括智能門鎖在內(nèi)的用戶數(shù)據(jù)越權訪問，以及信息泄露方面的安全風險。第三個，安全管理方面的技術要求，包括數(shù)據(jù)管理、安全管理、功能規(guī)范、管理員角色、時效性等等這方面的要求，主要是為了應對智能聯(lián)網(wǎng)產(chǎn)品管理權限和安全策略越權訪問等等方面的威脅，因為時間關系具體的技術條目不展開了。第四個，TOE訪問這塊針對多重并發(fā)會話限定、鎖定、建立等等要求，這個主要應對產(chǎn)品的管理權限。還有就是產(chǎn)品數(shù)據(jù)篡改、重放攻擊、補丁攻擊等等方面的威脅。第五個，TFS保護方面的技術要求，包括測試、時間戳、重放檢測、被動恢復、數(shù)據(jù)保密性等等方面的要求，這個主要針對智能聯(lián)網(wǎng)產(chǎn)品的越權訪問、設備仿冒、重放攻擊等等面臨的安全威脅?？尚哦冗@塊主要是應對產(chǎn)品數(shù)據(jù)和控制傳輸產(chǎn)生的威脅制定的技術要求。安全審計也是常規(guī)的審計數(shù)據(jù)產(chǎn)生，審計查閱、數(shù)據(jù)保護、簡單攻擊探測和安全報警方面的要求，這個主要為了應對產(chǎn)品管理、訪問行為不可追溯這方面存在的威脅而定義的技術要求。

　　第三個方面主要介紹一下智能門鎖的安全技術要求的標準化進展，在今年1月底，市場監(jiān)管總局印發(fā)了2019年版的《全國重點工業(yè)產(chǎn)品質(zhì)量監(jiān)督目錄》，這里面明確將智能門鎖列入到重點的產(chǎn)品質(zhì)量安全監(jiān)管的目錄當中，要求結合產(chǎn)品的應用實際進一步突出加強安全評估，以及分類監(jiān)管和動態(tài)調(diào)整的要求，也是體現(xiàn)了國家對于智能門鎖這一類產(chǎn)品，或者這個應用領域的重點關注度。

　　對于整個智能門鎖的行業(yè)來說，相關的一些行業(yè)部門組織都在致力于制定比較完善的，包括安全實施標準，能夠覆蓋智能門鎖整體的體系，從規(guī)劃、設計、開發(fā)到測試部署，以及上線運營等等的全部過程來強化整個行業(yè)的安全意識，包括產(chǎn)品安全水平。

　　同時也是組織制定比較完善的一些包括檢測標準、安全實施標準等等方面的行業(yè)標準、國家標準，這個已經(jīng)成為一個行業(yè)的共識。

　　所以今年全國信安標準化技術委員會發(fā)布的《2019年工作要點》當中將智能門鎖的安全標準作為全年的重點工作在開展，正是基于這樣的要求，今年4月份寧波的全國信安標準化技術委員會舉辦的標準會議中全體會議上，也是申請制定智能門鎖的安全技術要求和測試評價方法，得到了與會專家、工作組專家、參會代表和秘書處的支持，在工作組內(nèi)已經(jīng)投票通過了。

　　目前國內(nèi)在行的標準包括國家安全標準《鎖具安全使用通用技術條件》，更多的是對鎖具載荷、承受強度、執(zhí)手靜壓力提出了規(guī)定，還有電子通用技術應用，以及機械防盜鎖通用技術要求，前面提到的監(jiān)督檢查抽查都是依據(jù)這些行業(yè)標準進行檢測。這是國內(nèi)的標準情況。

　　國外主要是在美國和歐洲，對于智能門鎖的應用市場和標準是比較成熟的，包括在SCA263的WG3工作組制定的歐盟高安全鎖具標準。

　　我們申請制定的國家標準和現(xiàn)有的標準來說有明顯的區(qū)別，剛才提到的鎖具相關的標準更多的對于機械安全、電子功能提出相應的要求，缺少的是信息安全方面的技術內(nèi)容，已有的這些標準沒有辦法有效覆蓋，或者來規(guī)范產(chǎn)品的信息安全方面的功能，所以國標的制定和實施也是為了將來能夠填補智能門鎖信息安全的技術要求空白。同時這個標準的制定和實施將來也是和其他的傳統(tǒng)機械安全電子功能方面的技術標準可以協(xié)調(diào)配合來配套實施的。這個標準的制定目標就是為了針對智能門鎖的類別產(chǎn)品的信息安全技術要求，以及測試評價方法進行明確，并且能夠解決目前已經(jīng)曝出來的包括小黑盒攻擊、生物識別身份鑒別仿冒等等這些問題，從而提升產(chǎn)品全面的安全性，包括智能門鎖用戶安全保障能力，智能門鎖行業(yè)的發(fā)展，以及真正最終用戶的生命財產(chǎn)安全等等。

　　研究的內(nèi)容方面主要包括智能門鎖的鎖體、接入網(wǎng)關的安全功能要求、智能門鎖管理平臺，包括云端的管理平臺的功能要求，還有APP端功能要求，以及相應的測試評價方法。

　　前期的準備工作當中編制組囊括了各個行業(yè)的單位，包括像三所、中國網(wǎng)絡安全審查技術和認證中心、國家計算機網(wǎng)絡安全研究、信通院、中科院信通所等等網(wǎng)絡安全研究和測評機構，包括華為、阿里、百度、中國電信、中國移動等等電信運營商，以及業(yè)內(nèi)的知名網(wǎng)絡安全廠商，包括奇虎科技等等，包括APP端的愛加密等等這些廠商。更多的是以中山市的鎖業(yè)協(xié)會為代表的30家鎖具生產(chǎn)廠商從事制鎖行業(yè)的龍頭企業(yè)和地方行業(yè)協(xié)會等等，都有相應的跟智能門鎖，或者鎖具相關標準編制的基礎。

　　從編制思路上來說，主要是充分調(diào)研智能門鎖的行業(yè)，完成相應的安全威脅的風險，從而能夠建設符合這個門鎖的安全防護需求的信息安全標準。同時也是建立從自上而下的信息安全技術要求，從最底層的鎖體安全到上層的應用，再到云平臺、遠程服務端等等分層次建立安全要求的內(nèi)容，從而明確各個方面的安全技術指標。在各個層級之內(nèi)，明確安全分級的需求，從而推動跨層級的技術安全服務產(chǎn)品，能夠更好地推廣標準化，降低安全部署的成本。

　　所以說我們這個標準的制定更多的是能夠為整個行業(yè)的發(fā)展，或者這類產(chǎn)品的技術發(fā)展提供相應的技術依據(jù)，同樣也是來指導智能門鎖類產(chǎn)品的安全設計、生產(chǎn)和測試。此外，也是對相關的產(chǎn)品管理部門和測評機構提供一個管理測評的重要參考。所以我們也是希望更多的一些業(yè)內(nèi)機構，或者廠商能夠參與到我們這個標準的制定過程中。

　　最后歸納總結一下關于智能聯(lián)網(wǎng)產(chǎn)品，包括智能門鎖的安全，主要有以下的建議。首先是加強相應產(chǎn)品的安全風險評估，以及應用方面的安全培訓，能夠提高無論是生產(chǎn)企業(yè)，還是用戶這邊的安全意識。其次是加強技術合作，包括一些高效可靠的標識鑒別技術、安全準入等等相關的技術應用，建立相關產(chǎn)品的標準體系不僅僅是一個安全測評的標準，從整個體系的角度來提供一系列的標準。同時也是能夠使采購和使用的這些方面能夠符合相應的標準要求，盡可能使用通過網(wǎng)絡安全認證的聯(lián)網(wǎng)產(chǎn)品。

　　我們相信通過端、管、云等等完整的安全鏈，可以大家共同處理形成一個責任比較明晰、保障有力的安全機制，提升智能門鎖的聯(lián)網(wǎng)產(chǎn)品，或者設備的網(wǎng)絡安全防護能力。同樣也是為整個智能互聯(lián)時代下網(wǎng)絡空間安全的維護做出應有的貢獻。