方 强,朱红儒,黄天宁,刘大鹏

(阿里巴巴集团，北京 100102)

0 引言

2018年我国智能门锁品牌已经超过3 500家，生产企业超过1 500家，市场规模达到400亿[1]。智能门锁已经成为家庭的重要入口控制设备，不仅仅能够实现对入户门的控制，甚至有些智能门锁实现了对智能家居(如灯泡、窗帘、空调)的联动控制。智能门锁的信息安全已不仅仅威胁用户隐私数据等虚拟网络空间的安全，已经能够对用户的财产和生命安全产生威胁。

智能门锁是智能家电的新型产品且尚不成熟，门锁要成为家居入口并起到核心作用，在其自身的计算能力、安全性、性能等方面还需要进一步完善。本文旨在针对智能门锁行业的信息安全性问题提出保护建议，以使门锁企业在设计、开发、制造时排除信息安全风险，提高国内门锁产品的整体安全水平。本文内容范围是消费级联网型智能门锁。

1 智能门锁终端及云平台架构

为了能够更好地理解和研究智能门锁的信息安全风险，需要对智能门锁的技术架构进行研究。图1为本文提出的智能门锁的整体技术架构。

图1 智能门锁终端及云平台架构图

智能门锁整体架构由云平台侧(包括安全管理平台、设备管理平台、服务管理平台)、通信网络(移动通信及固定网络)、锁体(包括控制单元、读卡器、蓝牙/NFC/RCC模块、ZigBee/WiFi/433/LoRa/NB-IoT模块、语音模块、显示模块、生物识别模块、安全芯片、密码键盘、电机)及配件(门禁卡、移动终端、网关/路由器)组成。

2 智能门锁终端信息安全风险研究

2.1 安全研究现状

目前针对智能门锁产业的安全研究，较为成熟的是针对功能安全的。尤其是在欧美，家庭安防市场发展成熟，有一套相对完善、严格的标准。国内由公安部主导的GA374-2001 《电子防盗锁》及GA701-2007 《指纹防盗锁通用技术条件》是目前接受度较高的两项公共安全行业内的智能门锁标准。标准中规定了电子防盗锁的技术要求和测试方法，并按照机械强度、环境试验的严酷等级将产品的安全由高到低分为A、B两级。该标准内容重点为电子防盗锁的功能安全，信息安全内容未明确要求。

2017年开始，国内有多家公司、标准组织开始研究并发布了智能门锁信息安全相关的研究报告和技术标准。其中，ICA联盟发布了智能门锁信息安全系列标准，对智能门锁的信息安全做了较为详细的要求。此外，智标委发布的《智慧社区 智能门锁信息安全风险导则》国家标准，也对智能门锁信息安全提出了指导意见和技术要求[2]。

本文首先识别需要保护的安全资产，然后对资产所面临的信息安全风险进行识别，最后提出安全防范方法。

2.2 安全风险

智能门锁需要保护的安全资产主要有：

(1)用户数据：包括用户密钥或口令、用户ID、用户生物特征信息、音视频采集数据、设备唯一标识(ID)、智能门锁安全固件、配置数据、访问控制列表和预置密钥及交互密钥数据、开锁PIN码(口令)等信息。

(2)安全服务：包括密码算法固件、随机数生成能力等。

根据调查和研究，当前智能门锁中面临较多攻击风险的模块是：

(1)控制单元模块：实现门锁基本功能的模块，如主控芯片单元、电路板、电器接口、软件固件、存储加密密钥的专用存储区域。

(2)生物识别模块：对人体生物特征进行采集的指纹传感器、人脸摄像头、虹膜传感器等软硬件模块。

(3)密码键盘模块：用于在门锁面板上输入密码的按键及配套的硬件模块。

(4)云端服务风险：为门锁提供云端服务，如密钥管理、设备认证、固件升级等功能。

攻击者会对以上模块发起攻击，试图绕过智能门锁的身份认证功能，获取开锁权限。进一步可能会对门锁用户造成财产甚至生命的安全风险。具体的攻击对象、攻击手段、详细攻击示例及攻击结果如下节详述。

2.3 各模块攻击手段示例及攻击结果分析

2.3.1 控制单元安全风险

控制单元的攻击手段示例、攻击结果如下：

(1)物理探测攻击：智能门锁在工作时，应用数据会在各个模块之间传输，传输通过各个功能模块间的金属连线实现，攻击者可以对这些金属连线进行探测、监听，尝试在用户的会话期间或从先前的已经通过身份验证的用户中获取未受保护的残留安全相关数据(如生物识别数据和设置)。攻击结果：

①揭示/重建密钥等敏感数据；

②改变门锁安全功能，甚至导致某安全功能模块失效，进而泄漏敏感信息。

(2)代码恶意修改：在固件升级过程中，攻击者可通过获得固件，然后在固件中植入木马、后门，二次打包应用程序到固件中进行远程烧录。攻击结果：获取用户敏感信息和控制设备，从而实现持续性影响，甚至可以毁坏智能门锁的正常使用。

(3)调试接口攻击：利用控制单元的调试接口，使设备重新进入测试模式，从而获取设备内部关键信息。攻击结果：获取设备调试接口的控制权，对内部资源进行访问；攻击者也可以使用调试接口刷入改动后的固件，在门锁中植入后门。

(4)环境改变攻击：通过改变芯片随机数模块的工作条件(如工作电压、温度等)来影响生成的随机数质量。攻击结果：获取内部产生的随机数因子。

(5)强电磁波干扰(“小黑盒”攻击)：攻击者通过外部的强电磁场发射工具，向门锁发出强电磁波干扰(俗称小黑盒攻击)，电磁波在门锁内部耦合产生电压，可能触发门锁的误动作[3]。攻击结果：包括但不仅限于触发开锁信号、驱动电机、触发MCU或识别芯片重启等造成误开锁。

2.3.2 生物识别模块安全风险

生物识别模块的攻击手段示例及攻击结果如下：

(1)生物特征信息重放：攻击者通过简易指纹膜(导电性或非导电性)对无人值守门锁外露指纹模块进行表面贴敷，以覆盖少部分指纹传感器，攻击者便可能利用算法漏洞实现伪造登录，即绕过授权指纹直接开锁。攻击结果：假指纹开锁。

(2)篡改指纹识别模块算法运行比对结果，攻击手段包括：

①指纹识别模块需将已录入的指纹图像转换为模板，并存储在非易失性存储器中(例如Flash存储器等)，在指纹录入、比对过程中，软件环境的漏洞可能导致相关指纹敏感信息泄露。

②针对指纹识别模块中指纹敏感信息的攻击，存在本地和远程两种攻击方式，其中本地攻击，可采用侵入式、半侵入式攻击方式针对硬件模块或芯片进行攻击。远程攻击，由于智能门锁具备网络通信功能，攻击者可以利用网络协议漏洞远程获取指纹敏感信息，篡改指纹识别算法输出的比对结果，从而使指纹识别功能失效。

③智能门锁的前面板如果机械强度不够高，有可能被破拆、钻洞，进而搭线，指纹比对结果传输至主控芯片的链路有可能被实施中间人攻击，即在传输过程中被篡改。

攻击结果：指纹识别功能失效或泄露用户指纹敏感信息。

(3)残留指纹信息非法采集：通过指纹胶带等一系列的手段采集识别器上残留的指纹信息并进行恢复。攻击结果：假指纹开锁。

2.3.3 密码键盘模块安全风险

密码键盘攻击手段示例、攻击结果如下：

(1)偷窥：密码键盘无遮挡，智能门锁上的密码键盘在输入密码时，周围环境被安装微型摄像头进行偷窥。攻击结果：用户密码泄露。

(2)覆膜攻击：攻击者可在密码键盘上覆盖一层薄膜，以获取用户的开锁密码。攻击结果：用户密码泄露。

(3)硬件木马植入：缺少主动探测的防拆机制，未采用工业设计手段保护硬件安全，攻击者通过安装物理木马设备窃取密码。攻击结果：用户密码泄露。

2.3.4 云端服务安全风险

云端服务攻击手段示例、攻击结果如下：

(1)账户冒用：攻击者通过木马或其他攻击手段盗用合法用户身份或账号进行非法操作。攻击结果：用户身份信息泄露并远程非法操作智能门锁。

(2)伪设备注册：攻击者获取智能门锁的设备注册信息(如设备唯一ID等)，伪造设备连接云平台。攻击者可能利用这些伪设备对其他设备发起DDoS攻击等[4]。攻击结果：造成平台无法获取真实设备状态信息及产生DDoS攻击。

(3)数据窃听：通过窃听手段窃取系统软件和应用软件的系统数据及敏感的业务数据。攻击结果：用户身份信息泄露。

3 智能门锁信息安全防范

3.1 控制单元保护

为了防范对控制单元的攻击风险，门锁厂商应使用软件数据加密甚至是成本更高的硬加密的方案保护门锁内的敏感数据不被黑客恶意窃取。例如，智能门锁中的密钥、指纹特征值、其他敏感信息等可以保存在安全芯片或者可信执行环境中。此外，远程APP开锁的安全性尚未得到有效保障，所以可在业务允许的情况下禁用远程开锁功能。联网型智能门锁应能将使用过程中产生的输入错误报警、防破坏报警及事件记录等信息上传至后台服务器。在后台服务端，门锁厂商后台服务器不应存储与门锁相匹配的对称密钥信息，防止门锁遭到破解后黑客反向攻击厂商的服务器。

3.2 生物识别模块保护

智能锁内应使用经过权威机构测试认证的安全芯片，加密存储指纹模板和敏感数据。在传输生物识别信息时应该使用足够强壮的加密算法和完善的传输机制。对于假指纹，智能门锁可以考虑使用3D高清图像和指纹算法。

3.3 密码键盘安全保护

智能门锁可采用虚位密码，防止他人偷窥。密码键盘按键表面应该有保护措施，防止黑客在键盘表面安装overlay装置盗取密码。不同的密码键盘按键，其按键声音应该完全一致，防止密码被窃听。如果智能门锁成本允许，应增加主动探测的防拆机制，防止黑客安装物理攻击设备窃取密码。

3.4 云服务安全保护和方案

云服务平台应重点防御用户隐私数据泄露及伪造设备到云平台注册进而发起DDoS攻击的情况。

针对用户隐私数据的保护，云服务提供商应满足国家及国际的有关数据安全保护的标准及法规。

针对伪设备接入，云服务提供商应能够保障智能门锁连接云服务时设备唯一ID真实有效。建议基于硬件安全芯片构建云端一体化的身份认证方案，通过预置ID及密钥的方式，保障智能门锁身份认证过程中的信任根不被泄露和篡改。技术实现上，搭载了设备唯一ID的安全芯片不仅可以集成在控制单元上，也可以集成在生物识别模块、读卡器模块或家庭网关中，实现对智能门锁连接云平台时传输的关键数据的加密和认证。同时，重点打通安全应用程序到安全芯片再到门锁MCU等之间的通信协议(SPIIICUART等)、指令、接口,并开展标准化工作降低安全成本，帮助更多的智能门锁安全地连接到云平台。

4 结论

智能门锁信息安全研究已成为行业热点，受“小黑盒”攻击事件的影响，消费者也逐渐意识到智能门锁信息安全的重要性，从而驱动了智能门锁厂商加大了对信息安全的投入力度。但是，智能门锁行业发展迅速，安全攻击技术也伴随着行业迅速发展，对应的安全解决方案相对发展速度较慢，其中很重要的原因是缺乏有效的行业引导。

未来建议从以下三个层面提升智能门锁行业的信息安全水平。技术层面上，通过构建云端一体化的身份认证方案，向门锁厂商提供安全成本可控的云服务，相比较门锁厂商自建云服务及身份认证管理平台更加迅速和低成平，有助于在短期内提升智能门锁厂商的信息安全水位；从企业层面，尤其是面对消费者的电商平台，需要加大对劣质的、不安全的门锁的管理和监督；行业层面，需要门锁厂商、销售机构、地产厂商、服务提供商及政府加强合作，通过落地项目，引导信息安全方案与智能门锁的融合，帮助提升智能门锁的信息安全程度，提高门锁厂商的信息安全能力，才可以进一步保障智能门锁及其使用者的安全。