方 強,朱紅儒,黃天寧,劉大鵬

(阿里巴巴集團，北京 100102)

0 引言

2018年我國智能門鎖品牌已經(jīng)超過3 500家，生產(chǎn)企業(yè)超過1 500家，市場規(guī)模達(dá)到400億[1]。智能門鎖已經(jīng)成為家庭的重要入口控制設(shè)備，不僅僅能夠?qū)崿F(xiàn)對入戶門的控制，甚至有些智能門鎖實現(xiàn)了對智能家居(如燈泡、窗簾、空調(diào))的聯(lián)動控制。智能門鎖的信息安全已不僅僅威脅用戶隱私數(shù)據(jù)等虛擬網(wǎng)絡(luò)空間的安全，已經(jīng)能夠?qū)τ脩舻呢敭a(chǎn)和生命安全產(chǎn)生威脅。

智能門鎖是智能家電的新型產(chǎn)品且尚不成熟，門鎖要成為家居入口并起到核心作用，在其自身的計算能力、安全性、性能等方面還需要進一步完善。本文旨在針對智能門鎖行業(yè)的信息安全性問題提出保護建議，以使門鎖企業(yè)在設(shè)計、開發(fā)、制造時排除信息安全風(fēng)險，提高國內(nèi)門鎖產(chǎn)品的整體安全水平。本文內(nèi)容范圍是消費級聯(lián)網(wǎng)型智能門鎖。

1 智能門鎖終端及云平臺架構(gòu)

為了能夠更好地理解和研究智能門鎖的信息安全風(fēng)險，需要對智能門鎖的技術(shù)架構(gòu)進行研究。圖1為本文提出的智能門鎖的整體技術(shù)架構(gòu)。

圖1 智能門鎖終端及云平臺架構(gòu)圖

智能門鎖整體架構(gòu)由云平臺側(cè)(包括安全管理平臺、設(shè)備管理平臺、服務(wù)管理平臺)、通信網(wǎng)絡(luò)(移動通信及固定網(wǎng)絡(luò))、鎖體(包括控制單元、讀卡器、藍(lán)牙/NFC/RCC模塊、ZigBee/WiFi/433/LoRa/NB-IoT模塊、語音模塊、顯示模塊、生物識別模塊、安全芯片、密碼鍵盤、電機)及配件(門禁卡、移動終端、網(wǎng)關(guān)/路由器)組成。

2 智能門鎖終端信息安全風(fēng)險研究

2.1 安全研究現(xiàn)狀

目前針對智能門鎖產(chǎn)業(yè)的安全研究，較為成熟的是針對功能安全的。尤其是在歐美，家庭安防市場發(fā)展成熟，有一套相對完善、嚴(yán)格的標(biāo)準(zhǔn)。國內(nèi)由公安部主導(dǎo)的GA374-2001 《電子防盜鎖》及GA701-2007 《指紋防盜鎖通用技術(shù)條件》是目前接受度較高的兩項公共安全行業(yè)內(nèi)的智能門鎖標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中規(guī)定了電子防盜鎖的技術(shù)要求和測試方法，并按照機械強度、環(huán)境試驗的嚴(yán)酷等級將產(chǎn)品的安全由高到低分為A、B兩級。該標(biāo)準(zhǔn)內(nèi)容重點為電子防盜鎖的功能安全，信息安全內(nèi)容未明確要求。

2017年開始，國內(nèi)有多家公司、標(biāo)準(zhǔn)組織開始研究并發(fā)布了智能門鎖信息安全相關(guān)的研究報告和技術(shù)標(biāo)準(zhǔn)。其中，ICA聯(lián)盟發(fā)布了智能門鎖信息安全系列標(biāo)準(zhǔn)，對智能門鎖的信息安全做了較為詳細(xì)的要求。此外，智標(biāo)委發(fā)布的《智慧社區(qū) 智能門鎖信息安全風(fēng)險導(dǎo)則》國家標(biāo)準(zhǔn)，也對智能門鎖信息安全提出了指導(dǎo)意見和技術(shù)要求[2]。

本文首先識別需要保護的安全資產(chǎn)，然后對資產(chǎn)所面臨的信息安全風(fēng)險進行識別，最后提出安全防范方法。

2.2 安全風(fēng)險

智能門鎖需要保護的安全資產(chǎn)主要有：

(1)用戶數(shù)據(jù)：包括用戶密鑰或口令、用戶ID、用戶生物特征信息、音視頻采集數(shù)據(jù)、設(shè)備唯一標(biāo)識(ID)、智能門鎖安全固件、配置數(shù)據(jù)、訪問控制列表和預(yù)置密鑰及交互密鑰數(shù)據(jù)、開鎖PIN碼(口令)等信息。

(2)安全服務(wù)：包括密碼算法固件、隨機數(shù)生成能力等。

根據(jù)調(diào)查和研究，當(dāng)前智能門鎖中面臨較多攻擊風(fēng)險的模塊是：

(1)控制單元模塊：實現(xiàn)門鎖基本功能的模塊，如主控芯片單元、電路板、電器接口、軟件固件、存儲加密密鑰的專用存儲區(qū)域。

(2)生物識別模塊：對人體生物特征進行采集的指紋傳感器、人臉攝像頭、虹膜傳感器等軟硬件模塊。

(3)密碼鍵盤模塊：用于在門鎖面板上輸入密碼的按鍵及配套的硬件模塊。

(4)云端服務(wù)風(fēng)險：為門鎖提供云端服務(wù)，如密鑰管理、設(shè)備認(rèn)證、固件升級等功能。

攻擊者會對以上模塊發(fā)起攻擊，試圖繞過智能門鎖的身份認(rèn)證功能，獲取開鎖權(quán)限。進一步可能會對門鎖用戶造成財產(chǎn)甚至生命的安全風(fēng)險。具體的攻擊對象、攻擊手段、詳細(xì)攻擊示例及攻擊結(jié)果如下節(jié)詳述。

2.3 各模塊攻擊手段示例及攻擊結(jié)果分析

2.3.1 控制單元安全風(fēng)險

控制單元的攻擊手段示例、攻擊結(jié)果如下：

(1)物理探測攻擊：智能門鎖在工作時，應(yīng)用數(shù)據(jù)會在各個模塊之間傳輸，傳輸通過各個功能模塊間的金屬連線實現(xiàn)，攻擊者可以對這些金屬連線進行探測、監(jiān)聽，嘗試在用戶的會話期間或從先前的已經(jīng)通過身份驗證的用戶中獲取未受保護的殘留安全相關(guān)數(shù)據(jù)(如生物識別數(shù)據(jù)和設(shè)置)。攻擊結(jié)果：

①揭示/重建密鑰等敏感數(shù)據(jù)；

②改變門鎖安全功能，甚至導(dǎo)致某安全功能模塊失效，進而泄漏敏感信息。

(2)代碼惡意修改：在固件升級過程中，攻擊者可通過獲得固件，然后在固件中植入木馬、后門，二次打包應(yīng)用程序到固件中進行遠(yuǎn)程燒錄。攻擊結(jié)果：獲取用戶敏感信息和控制設(shè)備，從而實現(xiàn)持續(xù)性影響，甚至可以毀壞智能門鎖的正常使用。

(3)調(diào)試接口攻擊：利用控制單元的調(diào)試接口，使設(shè)備重新進入測試模式，從而獲取設(shè)備內(nèi)部關(guān)鍵信息。攻擊結(jié)果：獲取設(shè)備調(diào)試接口的控制權(quán)，對內(nèi)部資源進行訪問；攻擊者也可以使用調(diào)試接口刷入改動后的固件，在門鎖中植入后門。

(4)環(huán)境改變攻擊：通過改變芯片隨機數(shù)模塊的工作條件(如工作電壓、溫度等)來影響生成的隨機數(shù)質(zhì)量。攻擊結(jié)果：獲取內(nèi)部產(chǎn)生的隨機數(shù)因子。

(5)強電磁波干擾(“小黑盒”攻擊)：攻擊者通過外部的強電磁場發(fā)射工具，向門鎖發(fā)出強電磁波干擾(俗稱小黑盒攻擊)，電磁波在門鎖內(nèi)部耦合產(chǎn)生電壓，可能觸發(fā)門鎖的誤動作[3]。攻擊結(jié)果：包括但不僅限于觸發(fā)開鎖信號、驅(qū)動電機、觸發(fā)MCU或識別芯片重啟等造成誤開鎖。

2.3.2 生物識別模塊安全風(fēng)險

生物識別模塊的攻擊手段示例及攻擊結(jié)果如下：

(1)生物特征信息重放：攻擊者通過簡易指紋膜(導(dǎo)電性或非導(dǎo)電性)對無人值守門鎖外露指紋模塊進行表面貼敷，以覆蓋少部分指紋傳感器，攻擊者便可能利用算法漏洞實現(xiàn)偽造登錄，即繞過授權(quán)指紋直接開鎖。攻擊結(jié)果：假指紋開鎖。

(2)篡改指紋識別模塊算法運行比對結(jié)果，攻擊手段包括：

①指紋識別模塊需將已錄入的指紋圖像轉(zhuǎn)換為模板，并存儲在非易失性存儲器中(例如Flash存儲器等)，在指紋錄入、比對過程中，軟件環(huán)境的漏洞可能導(dǎo)致相關(guān)指紋敏感信息泄露。

②針對指紋識別模塊中指紋敏感信息的攻擊，存在本地和遠(yuǎn)程兩種攻擊方式，其中本地攻擊，可采用侵入式、半侵入式攻擊方式針對硬件模塊或芯片進行攻擊。遠(yuǎn)程攻擊，由于智能門鎖具備網(wǎng)絡(luò)通信功能，攻擊者可以利用網(wǎng)絡(luò)協(xié)議漏洞遠(yuǎn)程獲取指紋敏感信息，篡改指紋識別算法輸出的比對結(jié)果，從而使指紋識別功能失效。

③智能門鎖的前面板如果機械強度不夠高，有可能被破拆、鉆洞，進而搭線，指紋比對結(jié)果傳輸至主控芯片的鏈路有可能被實施中間人攻擊，即在傳輸過程中被篡改。

攻擊結(jié)果：指紋識別功能失效或泄露用戶指紋敏感信息。

(3)殘留指紋信息非法采集：通過指紋膠帶等一系列的手段采集識別器上殘留的指紋信息并進行恢復(fù)。攻擊結(jié)果：假指紋開鎖。

2.3.3 密碼鍵盤模塊安全風(fēng)險

密碼鍵盤攻擊手段示例、攻擊結(jié)果如下：

(1)偷窺：密碼鍵盤無遮擋，智能門鎖上的密碼鍵盤在輸入密碼時，周圍環(huán)境被安裝微型攝像頭進行偷窺。攻擊結(jié)果：用戶密碼泄露。

(2)覆膜攻擊：攻擊者可在密碼鍵盤上覆蓋一層薄膜，以獲取用戶的開鎖密碼。攻擊結(jié)果：用戶密碼泄露。

(3)硬件木馬植入：缺少主動探測的防拆機制，未采用工業(yè)設(shè)計手段保護硬件安全，攻擊者通過安裝物理木馬設(shè)備竊取密碼。攻擊結(jié)果：用戶密碼泄露。

2.3.4 云端服務(wù)安全風(fēng)險

云端服務(wù)攻擊手段示例、攻擊結(jié)果如下：

(1)賬戶冒用：攻擊者通過木馬或其他攻擊手段盜用合法用戶身份或賬號進行非法操作。攻擊結(jié)果：用戶身份信息泄露并遠(yuǎn)程非法操作智能門鎖。

(2)偽設(shè)備注冊：攻擊者獲取智能門鎖的設(shè)備注冊信息(如設(shè)備唯一ID等)，偽造設(shè)備連接云平臺。攻擊者可能利用這些偽設(shè)備對其他設(shè)備發(fā)起DDoS攻擊等[4]。攻擊結(jié)果：造成平臺無法獲取真實設(shè)備狀態(tài)信息及產(chǎn)生DDoS攻擊。

(3)數(shù)據(jù)竊聽：通過竊聽手段竊取系統(tǒng)軟件和應(yīng)用軟件的系統(tǒng)數(shù)據(jù)及敏感的業(yè)務(wù)數(shù)據(jù)。攻擊結(jié)果：用戶身份信息泄露。

3 智能門鎖信息安全防范

3.1 控制單元保護

為了防范對控制單元的攻擊風(fēng)險，門鎖廠商應(yīng)使用軟件數(shù)據(jù)加密甚至是成本更高的硬加密的方案保護門鎖內(nèi)的敏感數(shù)據(jù)不被黑客惡意竊取。例如，智能門鎖中的密鑰、指紋特征值、其他敏感信息等可以保存在安全芯片或者可信執(zhí)行環(huán)境中。此外，遠(yuǎn)程APP開鎖的安全性尚未得到有效保障，所以可在業(yè)務(wù)允許的情況下禁用遠(yuǎn)程開鎖功能。聯(lián)網(wǎng)型智能門鎖應(yīng)能將使用過程中產(chǎn)生的輸入錯誤報警、防破壞報警及事件記錄等信息上傳至后臺服務(wù)器。在后臺服務(wù)端，門鎖廠商后臺服務(wù)器不應(yīng)存儲與門鎖相匹配的對稱密鑰信息，防止門鎖遭到破解后黑客反向攻擊廠商的服務(wù)器。

3.2 生物識別模塊保護

智能鎖內(nèi)應(yīng)使用經(jīng)過權(quán)威機構(gòu)測試認(rèn)證的安全芯片，加密存儲指紋模板和敏感數(shù)據(jù)。在傳輸生物識別信息時應(yīng)該使用足夠強壯的加密算法和完善的傳輸機制。對于假指紋，智能門鎖可以考慮使用3D高清圖像和指紋算法。

3.3 密碼鍵盤安全保護

智能門鎖可采用虛位密碼，防止他人偷窺。密碼鍵盤按鍵表面應(yīng)該有保護措施，防止黑客在鍵盤表面安裝overlay裝置盜取密碼。不同的密碼鍵盤按鍵，其按鍵聲音應(yīng)該完全一致，防止密碼被竊聽。如果智能門鎖成本允許，應(yīng)增加主動探測的防拆機制，防止黑客安裝物理攻擊設(shè)備竊取密碼。

3.4 云服務(wù)安全保護和方案

云服務(wù)平臺應(yīng)重點防御用戶隱私數(shù)據(jù)泄露及偽造設(shè)備到云平臺注冊進而發(fā)起DDoS攻擊的情況。

針對用戶隱私數(shù)據(jù)的保護，云服務(wù)提供商應(yīng)滿足國家及國際的有關(guān)數(shù)據(jù)安全保護的標(biāo)準(zhǔn)及法規(guī)。

針對偽設(shè)備接入，云服務(wù)提供商應(yīng)能夠保障智能門鎖連接云服務(wù)時設(shè)備唯一ID真實有效。建議基于硬件安全芯片構(gòu)建云端一體化的身份認(rèn)證方案，通過預(yù)置ID及密鑰的方式，保障智能門鎖身份認(rèn)證過程中的信任根不被泄露和篡改。技術(shù)實現(xiàn)上，搭載了設(shè)備唯一ID的安全芯片不僅可以集成在控制單元上，也可以集成在生物識別模塊、讀卡器模塊或家庭網(wǎng)關(guān)中，實現(xiàn)對智能門鎖連接云平臺時傳輸?shù)年P(guān)鍵數(shù)據(jù)的加密和認(rèn)證。同時，重點打通安全應(yīng)用程序到安全芯片再到門鎖MCU等之間的通信協(xié)議(SPIIICUART等)、指令、接口,并開展標(biāo)準(zhǔn)化工作降低安全成本，幫助更多的智能門鎖安全地連接到云平臺。

4 結(jié)論

智能門鎖信息安全研究已成為行業(yè)熱點，受“小黑盒”攻擊事件的影響，消費者也逐漸意識到智能門鎖信息安全的重要性，從而驅(qū)動了智能門鎖廠商加大了對信息安全的投入力度。但是，智能門鎖行業(yè)發(fā)展迅速，安全攻擊技術(shù)也伴隨著行業(yè)迅速發(fā)展，對應(yīng)的安全解決方案相對發(fā)展速度較慢，其中很重要的原因是缺乏有效的行業(yè)引導(dǎo)。

未來建議從以下三個層面提升智能門鎖行業(yè)的信息安全水平。技術(shù)層面上，通過構(gòu)建云端一體化的身份認(rèn)證方案，向門鎖廠商提供安全成本可控的云服務(wù)，相比較門鎖廠商自建云服務(wù)及身份認(rèn)證管理平臺更加迅速和低成平，有助于在短期內(nèi)提升智能門鎖廠商的信息安全水位；從企業(yè)層面，尤其是面對消費者的電商平臺，需要加大對劣質(zhì)的、不安全的門鎖的管理和監(jiān)督；行業(yè)層面，需要門鎖廠商、銷售機構(gòu)、地產(chǎn)廠商、服務(wù)提供商及政府加強合作，通過落地項目，引導(dǎo)信息安全方案與智能門鎖的融合，幫助提升智能門鎖的信息安全程度，提高門鎖廠商的信息安全能力，才可以進一步保障智能門鎖及其使用者的安全。