智能门锁安全

1.智能锁产品技术现状

电气化的门锁产品最早兴起于欧美,起初被称为“Doorlock”或是“Digital doorlock”,从名字的叫法不难看出,起先的产品最多可称之为“电子门锁”或是“数字门锁”,其在具体实现上也只是将原有的机械钥匙认证开锁方式替换为某种数字化认证开锁方式而已,例如:输入密码、RFID、智能卡、NFC或生物识别技术等。其另外一个显著特点是以此种设计理念开发的产品,均为单机产品,开锁“密码”或“密钥”本地存储,交互时要么经由开锁人直接输入密码开锁,要么开锁人手持门卡实现简单的单向数据传输与校验后,经由类单片机主控芯片操纵继电机装置完成机械开锁过程。此类产品的出现大大简化了传统佩戴钥匙的不便,但此类产品还并不能称之为智能门锁产品,但毕竟改变了原有机械门锁存在的诸多不便和问题,且革命性的引入数字化认证手段大大提升用户体验,笔者且称之为电子门锁。

智能门锁
图片来自于网络

智能门锁的出现和大行其道其实是近几年技术发展的必然结果。其规模应用首先出现在韩、日两国,且在韩国先后出现了GATEMAN和三星等市场占有率极高的品牌产品,其中GATEMAN更是号称入户门智能锁的开创者,在韩国拥有一半以上的市场占有率,且行销全球。智能门锁相比与原有的电子门锁产品,其虽然具体实现也是使用了数字化认证开锁方式替代原有机械钥匙认证开锁方式,但区别在于首先此类多用于入户门的智能门锁产品大多从设计上会采用包括机械钥匙开锁在内并结合密码、指纹和门卡等多种数字化认证开锁方式结合的复合开锁方式,以进一步提升产品体验。其次就是在众多开锁方式中生物识别技术成为最为流行的方式,在智能手机指纹识别的趋势引领下,原本成本高昂的指纹识别模组迅速实现了规模化应用,并成为智能门锁最为代表性的产品功能化特征之一,体验极佳。再次就是除了支持类似电子门锁的单机开锁方式外,智能门锁发展出结合蓝牙、WIFI和4G移动网络通讯方式在内的联机开锁方式。并在类似Aribnb模式下的公寓租赁、酒店等市场需求催生出基于密码、密钥分发在内的近场和远程开锁方式。更有甚者在未来智能家居物联网趋势下,智能门锁将扮演入口角色,以入户开门为触发驱动消费者家中的各类联网化设备进入伺服状态,迎接主人的到来,可谓想象空间丰富,应用场景多样。


图片来自ICA联盟《2017中国智能锁应用与发展白皮书》

2.发展前景分析

也正是基于此类物联网的丰富应用场景,2017年6月由阿里巴巴联合物联网智慧家庭、智慧城市、智慧工业等产业成员,共同发起了以完善建设面向物联网的产业生态体系——IoT合作伙伴计划联盟IoT Connectivity Alliance,简称ICA联盟)。该联盟的建立旨在联合产业各方发展完善物联网相关的技术,共建相关的联盟标准,推动国家标准和国际标准,促进物联网行业的快速、健康发展。针对目前物联网产业面临着比较严重的碎片化问题,虽然业界的物联网标准很多,但没有某个单一标准能够打通整个物联网生态。因此,ICA联盟积极打造能够涵盖物联网全产业链的联盟平台,从芯片到云,通过共建物联网联盟标准,推动实现物联网产业生态内设备与服务的互联互通与安全可靠,为用户和产业创造价值。


图片来自ICA联盟《2017中国智能锁应用与发展白皮书》

根据ICA联盟定义,智能门锁是指区别于传统机械锁的基础上改进的,在用户安全性、识别性、管理性方面更加智能化、简便化的锁具。智能门锁是门禁系统中锁门的执行部件。智能门锁区别于传统机械锁,是具有安全性、便利性、先进技术的复合型锁具。且常见的智能门锁由前面板、锁体和后面板三部分构成,其中前面板结构电子化结构最为复杂,大多包括含有主芯片的主控电路板、密码键盘、指纹识别模块、电机、蓝牙模块、显示屏和把手、滑盖等器件共同构成,一般为面向门外开锁面;锁体结构相对简单,仅包括传统的机械锁体、电机和锁芯部分构成,承担机械功能;后面板大多由通讯模块如WIFI等、反锁控制键、电池槽以及后把手构成,为面向门内锁门面。以上三个主体部分共同构成了智能门锁全部物理结构件。如果从逻辑层面划分,又可将智能门锁构成划分为:机械结构部分、识别与控制部分、通讯和服务部分;其中机械结构为门锁核心部分,包含锁芯、面板和锁体,承担所有物理机械功能;识别与控制部分包含生物识别、智能终端和密码识别,该部分主要有电子化器件构成承担数字化认证功能;通信与服务部分包含芯片、软件、云端系统以及具体通信连接方式如WIFI、蓝牙等共同构成,联网化的电子门锁才是其智能化的重要体现。


图片来自ICA联盟《2017中国智能锁应用与发展白皮书》

2016年中国智能锁零售市场正式爆发,进而带动中国智能锁市场进入快速发展时期。2016年,中国智能锁行业整体销量超过350万套。预计到2020年,中国智能门锁销量将突破3200万套。可见中国将成为全球智能门锁产业中增长最快的市场,做出这一推论是基于两个重要政策趋势的出现:

一则是近几年,在政府部门的政策支持、人工智能技术的快速发展和消费者在智能家居领域消费需求激增等多项宏观利好因素的刺激下,中国智能家居行业正在快速发展和渗透,这其中既有众多互联网企业的不断推动,诸如阿里、京东、小米等先后在这一市场通过建立生态的策略逐渐发力;又有传统家电和消费电子企业纷纷跟进,海尔、美的乃至华为等先后推出自有品牌的智能联网化家居系列产品,伴随而来的是越来越多的智能物联网化产品成本不断下降进而迅速走进千家万户。在所有的智能家居产品方面,消费者对智能监控产品最感兴趣,其次才是个人护理及监控管理设备。其中,智能门锁作为智能家居的入口级产品以及家庭智能安防产品的核心单品,已经成为智能家居生态链上不可或缺的核心组成部分,随着需求的旺盛和场景的不断开发,必定有越来越多的应有将围绕智能门锁展开。

二则是在新的住房政策引导下,房屋租赁市场亟待被盘活,数年的房地产业高速增长在中国的大中型城市中产生了大量的空置住房,而这些城市人口中流动人口的比例向来居高,巨大的供需矛盾必然催生出旺盛的需求,仅以公寓长租为例,其行业正在处于政策发力下指数级发展的初期,根据知寓信息咨询行业报告分析,目前国内房屋租赁的交易额大致在8000亿元人民币左右,城市闲置房屋超过7300万套,测算国内流动人口中青年租房的市场规模已达到近8000亿元人民币,仅每年新增的大专院校应届毕业生租房需求市场规模就达600亿元人民币之巨。巨大的市场诱惑力在政策利好初期就吸引了一大批互联网巨头企业的瞩目,阿里和京东先后在政策发布初期宣布成立独立部门进军这一新生市场。虽然需求的旺盛大大的促进了公寓市场规模的扩大,但在发展中,公寓租赁业一直无法摆脱传统商业模式的缓慢发展和规模扩张后的高成本弊端。想在在短时间内实现跳跃式发展,就需要以新技术为支撑点大力探索创新和革命性的商业模式,而这也正是多数互联网企业所擅长的。仔细分析公寓租赁的基本业务模式不难发现其主要利润来源是赚取服务费用和租赁费用。只有通过规模化扩张才能带来业务的快速增长,而通过整合个人业主,二房东和存量地产租赁物业实现房源规模化的过程中,市场需要更多的创新型竞争产品。智能门锁的出现降低了房租催缴成本和用户体验上的冲突,结合互联网和标准住宿产品,客户可以进一步自主看房,办理入住手续,退房流程,实现全程在线无人化办理,面对分散在城市中各个角落的待租公寓,企业可以极大的节省人员运营投入成本,仅通过加盟,合作伙伴,托管等新的互联网化运营模式,对整体出租房屋进行更为详细和系统的管理。降低运营成本,提高管理效率,优化客户体验,逐步实现房屋租赁从线下向线上的迁移。


图片来自ICA联盟《2017中国智能锁应用与发展白皮书》

3.关键技术与信息安全风险

技术的发展可谓日新月异,我国智能门锁的整体应用技术,已经由早期的单一数字化认证开锁、单向指令输入的数字门锁时代跨越式发展到了如今的多种数字化认证复合开锁乃至双向校验的智能物联时代,且技术发展上呈现以下趋势:在安全技术应用方面,智能门锁产品大量应用指纹等生物识别、电子密码、手机APP、智能卡等多种开锁方式,且大多实现方法结合密码算法实现具备一定安全等级;在平台化“云”与“端”连接方面,智能门锁也正将原有的蓝牙、WIFI连接逐步想NB-IoT物联网技术进行过度,真正打通物物相连;在智能化、人性化方面,智能门锁通过实现与用户自由智能家居设备的互联互通,为用户提供包括报警提醒、设备联动、租赁管理等多场景叠加应用的可行性以实现入口效应。然而更多的开锁方式、更多的联网化应用在带来丰富的用户体验的同时,也带来了更多的风险,门锁虽有智能化的需求,但不可回避的是其保障用户人身、财产安全性的核心要义,面对不法分子的种种恶行,多年来国家公共安全行业主管部门会同科研院所、行业自律协会等产业各界力量先后共同制定了关于电子防盗锁的各项行业规范,如《电子防盗锁GA374-2001》、《指纹锁防盗标准GA701-2007》等共同为电子锁类产品保驾护航。上述标准中从物理安全和信息安全角度着手对于电子防盗锁涉及的防盗安全、电气安全和产品耐久性与可靠性做出了相关的详细要求,并在其后的修订中涉及了联网型和单机型电子防盗锁、及对钥匙种类进行了细化等调整,以适应快速发展的电子锁类产品行业需求。

然而单纯从智能门锁技术发展趋势上来看,笔者建议可从以下几个角度着手考虑加强智能门锁行业信息安全要求:

第一,近场本地数字化认证开锁技术风险分析

单机型智能门锁支持近场多种数字化认证复合开锁技术的运用带来便利性的同时给了黑客或攻击者等不法分子更多的机会或方式尝试绕过合法认证途径,实现未授权开锁进而由信息安全风险问题造成实质生命、财产威胁问题,这些方式包括但不限于生物识别认证开锁、密码输入认证开锁、RFID/智能卡认证开锁等,在信息安全风险看来上述各种数字化认证方式均依赖密码算法进行保护,然而“不恰当”或“不完善”的产品设计很可能造成潜在的漏洞或风险,因而


图片来自ICA联盟《2017中国智能锁应用与发展白皮书》

生物识别技术就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性(如指纹、脸象、虹膜等)和行为特征(如笔迹、声音、步态等)来进行个人身份的鉴定。常见的智能门锁生物识别技术包括指纹识别、指静脉识别、人脸识别和虹膜识别等。其中指静脉识别具有高可靠性和高适应性的特点,且较难伪造,但应用成本高昂;人脸识别技术给用户的体验感很好,且可实现非接触开锁,但该技术对于周遭环境适用性较差,功耗和成本都很高;虹膜识别技术属于安全性较高的生物识别技术,但同样实施成本高昂且感受不佳,多用于高要求设施中;唯有指纹识别技术随着智能手机技术发展,具有用户体验好,技术成熟且成本较低的特点,在智能门锁产品上推广较好,但其缺点也较为突出即无法防范伪造指纹鉴权,但指纹识别智能门锁依然是市场的主流产品。现阶段指纹锁使用的指纹模组分为光学指纹模组和半导体指纹模组,其中光学指纹模组具有成本低,采集面积大,湿手指适应性好等优点。而半导体指纹模组具有体积小,采图效果好,干手指适应性好等优点。然而综合指纹识别技术在智能门锁上的运用可能存在的“攻击面”诸如:
? 指纹模板本地明文保存,攻击者可通过远程访问方法侵入后截取指纹模板和数据;
? 指纹模板需加密存储,但指纹识别模组或芯片尚无国际组织、国内监管部门认证的安全芯片,指纹模板和数据有被破解或替换的隐患;
? 半导体指纹模组攻击者可通过对锁体表面残存指纹进行搜集,以自制导电指纹膜绕过鉴权实现开锁;
? 光学指纹模组攻击者可以通过清晰照片图像截取指纹信息复制指纹膜。
总体上半导体和光学指纹模组更多是对各类环境适应性方面的差异,实际使用中,在识别及安全性方面不存在太大的差异,均存在被仿造指纹攻破的可能性。


图片来自ICA联盟《2017中国智能锁应用与发展白皮书》

密码输入认证开锁技术应用较早,也较为普遍,且在金融等诸多行业中均有广泛应用,是一种较为有效且牢靠的密码认证方式。其作用的基本原理有赖于通过密钥保护的密码算法将用户提前设置的多位开锁密码保存在本地设备的加密安全芯片中或云端,待开锁过程中用户输入正确密码实现输入密码和存储密码比对的校验认证过程。因而对于密码键盘的设计显得尤为关键,在本地密码存储的应用场景中,一方面要防止每次密码输入过程中,密码采集时存在的泄露风险,另一方面要考虑针对本地存储待比对的密码必然要实现加密存储,以防止密码明文的泄露风险。而如果考虑对密码进行云端存储和校验则还需考虑远程传输与存储风险。其可能存在的“攻击面”诸如:
? 密码键盘无遮挡,密码存在被偷窥风险;
? 密码键盘反复使用,数字键表面存在较多残存指纹,可被光学设备采集后暴力破解分析正确密码;
? 在密码键盘表面安装overlay,存在获取密码风险;
? 不同按键声音可能不同,存在窃听泄露密码的风险;
? 缺少主动探测的防拆机制,存在安装物理木马设备窃取密码的风险;
? 密码需加密存储,但处理芯片尚无国际组织、国内监管部门认证的安全芯片,密码数据和保护密钥有被破解或替换的隐患;?
总体上由于用于智能门锁产品上的密码键盘产品并无门槛性要求,因此大多设计厂商出于成本考虑对于加密主芯片的选择通常较为草率,可能存在较大风险。


图片来自ICA联盟《2017中国智能锁应用与发展白皮书》

RFID/智能卡认证开锁技术最早应用于门禁系统的设计和使用,多用于不同物理空间的隔离或访问权限的区分,具有很广的应用领域,且由于成本不同存在较多变体,如RFID技术所实现的门卡,读卡设备仅对传输的卡ID进行识别和比对从而实现鉴权认证;而智能IC卡则会借用类似通讯技术中较复杂的密钥体系经由读卡器与存储在本地或云端的证书或加密数据进行单向或双向校验从而实现鉴权认证;更为复杂的应用则是借用类似电子支付技术中的密钥双向校验机制,实现卡片与终端或云端的双向校验,甚至借助智能手机的嵌入式SE和NFC技术模拟卡片实现数据交互等。其可能存在的“攻击面”诸如:
? ID卡等只判断卡片ID号,很容易通过卡片复制,实现开锁;
? mifare 1等类似的逻辑卡,可以从市面购买读卡器,实现复制卡片;
? CPU卡,如果IC卡没有安全级别认证,可通过攻击手段实现卡片复制;
? 密钥体系需加密存储,但用于智能门卡的处理芯片尚无国际组织、国内监管部门认证的安全芯片,密钥有被破解或替换的隐患。
总体上由于用于智能门锁产品上的智能门卡产品并无门槛性要求,因此大多设计厂商出于成本考虑对于密钥处理IC卡芯片的选择通常较为草率,可能存在较大风险。

第二、远程云端数字化认证开锁技术风险分析

联网型智能门锁产品所支持的远程数字化认证开锁技术风险更大,毕竟针对近场开锁方式的黑客攻击多半将围绕产品物理层实现展开,具有一定实施难度,而移动互联网应用和过度追求用户体验所催生大量基于智能手机APP的密码、密钥分发从而实现的远程云端认证开锁方式更使黑客低成本绕开物理防护,而直接针对基于安卓系统或IOS系统设计的手机APP客户端进行木马攻击或云端后台服务器的网络攻击就可轻松获取开锁密码或密钥,对企业级租赁客户的危害极大,毕竟涉及远程密钥分发对于整个系统的信息安全设计和软硬件的结合要求是极高的。

其可能存在的“攻击面”诸如:
? 厂商自行开发的APP软件漏洞,未做安全加固或TEE迁移,可被篡改或植入木马;
? 智能手机操作系统本身存在漏洞,易被木马、病毒侵扰产生敏感信息泄露风险;
? 不使用密钥加密体系或密码算法保护,直接与门锁终端或云端后台进行明文通讯、交互,泄露敏感信息;
? 将用户指纹模板、密码或加密密钥等敏感信息存贮在云端可能带来更大的信息安全隐患,如网络攻击或传输过程中被截取等,因而对存储与传输均有极高安全要求以抵抗黑客攻击。

总体而言远程云端数字认证开锁技术的应用对于“云(平台)、(传输)管、(本地终)端”均有较高信息安全要求,需借助密码算法和密钥体系对于其间所传输和存储、乃至暂存的敏感数据与信息进行加密处理和缓存清除等系统性操作,以尽量降低明文在体系中的出现概率,对产品开发商和系统搭建方的信息安全要求都是较高的,考虑到这一应用场景多用于企业级租赁客户,可在后续工作开展中通过标准化进行逐步规范。

第三、充电组件及接口安全风险分析

为了驱动电机和实现通讯智能门锁设计中不得不考虑未佩戴物理钥匙且电池耗尽的极端情况的发生,因此大部分产品的设计中都会在门锁外部留有紧急充电接口,如果在设计上无法实现充电电路与控制电路的良好隔离,亦或是复用该接口进行电路调试或简单上位机通讯则黑客便可利用技术手段通过该接口入侵电路注入硬件木马或突变电信号导致控制电路失效实现开锁,此外有的智能门锁还支持蓝牙、WIFI或NB-IoT等开放协议通讯传输,此类传输中很有可能夹带开锁密钥或密码,而此类开放协议如开始时未使用最新版本协议实现均有存在系统漏洞的可能性,进而使得攻击者通过识别此类开放漏洞实现信息窃取。


图片来自ICA联盟《2017中国智能锁应用与发展白皮书》

其可能存在的“攻击面”诸如:
? 充电口进行电压毛刺攻击,可能导致锁体逻辑混乱进入非预期状态,或解锁过程中进行攻击绕过鉴权;
? 进入调试模式(安卓、私有化系统);
? 蓝牙组件存在利用蓝牙嗅探器获取蓝牙通信数据实现重放攻击的风险;
? WIFI等开放通讯协议漏洞可被利用。
总体而言针对充电接口的电路设计存在一定技巧性,需要进行行业规范,且借助开放通信协议进行交互的组件件需要必要的漏洞扫描,以确保不被攻击者利用。

4.公共安全行业典型案例分析

针对单机型智能门锁的黑客攻击,以下内容源自网络媒体:
“一个公开的秘密是,物联网(如果我们非要这样称呼它的话)是非常糟糕的,在技术标准、互操作性和安全性方面都是如此。虽然我们不期望智能灯泡或智能咖啡机有多好的安全保障,但智能门锁就另当别论了,它们不应该被轻易破解。
在2017年的 DEF CON 黑客大会上,两场不同的演示传达了一则清晰的讯息:在开始能够信任普通的智能门锁之前——甚或那些比较高端的(如果你非得选一个的话,高端的还是更好一些)——我们还有很长的一段路要走。这可能会让你大吃一惊,或者你多年来一直都在强调这个事实。不管怎样,这些黑客有理有据地证明了这一点。
来自Merculite Security的安东尼·罗斯(Anthony Rose)和本·拉姆齐(Ben Ramsey)向我们展示了一些破解智能门锁的技术,他们所使用的工具是价格不到 200 美元的现成硬件。有些门锁比另一些更容易打开,但到最后,16 只锁中有 12 只被成功破解。”详见:https://news.cnblogs.com/n/551172/

针对联机型智能门锁的黑客攻击,以下内容源自网络媒体:
“安全极客在无需物理接触、无需拆解门锁的情况下获得果加互联网智能门锁所有的开锁密码,这是2017国际安全极客大赛GeekPwn上出现的一幕。值的众多公寓租赁企业对其信息安全进行深思。
安全极客在无需物理接触、无需拆解门锁的情况下获得果加互联网智能门锁所有的开锁密码,这是2017国际安全极客大赛GeekPwn上出现的一幕。值得一提的是,此次被选手攻破的果加智能门锁是目前中国使用量最大的智能锁品牌,被多个公寓品牌所使用,比如链家自如、万科、绿地、途家小猪、米途、蘑菇等等,果加智能在京东自营店公布其用户数已超过100万。”详见:http://www.soft6.com/news/201705/16/317467.html