张艳 国家网络与信息系统安全产品质量监督检验中心 智能互联安全测评实验室主任
摘要:从分析智能锁安全问题入手,结合国家相关部门监管要求,分析智能锁的工作原理、产业现状和攻击方式,并从标准化、技术创新、检测认证、创新服务等角度提出相应安全对策。
分享的内容主要包括三个方面,主要还是安全现状的介绍,然后还有我们针对智能锁目前存在的安全风险,我们可以采取哪些应对措施?第三个针对标准化的工作进行一个简单的介绍。
目前随着我们国家智慧城市建设和平安中国,以及国家提出的智能制造2025实施的要求,目前安防类市场的需求非常的旺盛,技术发展也是非常的快速。呈现出两个方面的趋势,一个就是智能化水平越来越高,联网的范围也是越来越大。刚才的长虹专家也介绍,整个智能家居,包括智能安防、智慧医疗、智慧警务等等各个方面终端的设备联网的趋势和范围都是越来越大的。同时,伴随着这些技术的发展,还有人工智能技术的发展,目前中国的智能家居行业也是在快速发展的一个状态。
以这个智能家居的入口及产品,还有就是智能安防产品的核心单品来说,我们大家生活中会接触到的一个智能门锁。智能门锁前面杨主任也提到,根据市场的调研情况,在去年的年销量达到了近两千万套的规模,根据权威的调查到2020年这个数字会达到4000万套的规模,从经济效益上来说超过400亿元的市场规模,因为智能门锁的市场前景非常的好,越来越多的企业也是加入到这个智能门锁的技术研发,还有一些相应的安全防护产品的研发这个领域当中来。
智能门锁大家都知道是以传统的机械锁为基础进行改进的,也是在用户的安全性、识别性和管理性方面更加的智能化和便捷化的锁具。智能锁目前也是智能家居整个生态链上不可或缺的核心地位的作用。
国家方面也是对于智能安防、交通早在2012年提出了《关于大力推进信息化发展和切实保障信息安全的若干意见》当中包括智能家居领域的在智慧城市建设当中的基础定位,也是提出了重点发展的要求,包括工信部等各大部委对于物联网的发展规划提出了相应的要求。根据国家互联网应急中心发布的数据来看,早在2017年底的时候,全国智能门锁相关的企业数量达到了1300多家,智能门锁的品牌达到2800个的数据规模。
下面看一下智能门锁的构成,智能门锁的物理构成主要分为三个部分,包括前面板、锁体和后面板,前面板承载的是:主芯片、密码按键、指纹头模块、前把手、电机、蓝牙模块、显示屏、滑盖。后面板承载的是:通讯模块、电池槽、后把手等等这些组件。
从它的技术层面来说主要包括三个部分,包括它的机械结构方面、识别控制技术方面,还有通信服务方面。识别控制技术这块主要是一些生物特征的识别技术,还有智能终端、密码等等相关的技术,通信服务这块更多的涉及到安全芯片、智能门锁应用软件,以及云平台云端的服务平台,还有就是涉及到我们经常在智能门锁应用当中可以看到的,包括WIFI、蓝牙、FID、NB-IOT等等通信协议的技术。
智能门锁的组网方式来说是典型的物联网三层结构,包括了感知层、传输层、应用层三个层面。感知层在智能门锁这块包括了门锁、智能终端这个层面,在传输层这块更多的涉及到常见的家庭智能网关,就是用于门锁的智能接入,还有移动通信基站等等,应用层层面用于后端的控制管理和控制指令下发的云服务平台,云平台负责智能锁的身份认证、设备接入、逻辑控制、数据内容展示等等。
我这边列举了几个智能门锁常见的开锁模式,基本上就是囊括了目前市场上见到的智能门锁应用的方式,包括固定的口令密码开锁,还有一些临时性的密码,这个主要是应用于比如说有访客到访,或者是酒店式公寓等等的应用场景当中,可能是由手机端进行门锁的密码获取操作,然后会分发一个当前时段的临时密码到手机终端上,用户发送给访客进行开锁的流程。还有生物特征方面主要包括了指纹、人脸、虹膜等等这些生物特征的开锁方式。智能卡钥匙这块更多的是门禁卡、FID、CPU卡等等智能卡钥匙的方式。手机APP应该说是目前应用最典型的智能门锁开锁的方式。
正是因为智能门锁联网的方式,经过归纳存在五个方面的安全风险。首先是门锁方面的,主要针对智能门锁的设备攻击威胁,因为作为一个智能联网产品,智能产品面临的安全风险在门锁这块都是存在的。其次在智能手机的APP应用方面的一些攻击威胁,因为常见的APP存在的包括能够进行逆向分析、数据截获等等,对于智能门锁的应用安全方面都是存在的。还有针对WIFI、Zigbee、蓝牙等等的攻击。第四个方面针对网络传输方面,数据传输过程、通信连接过程当中的智能网关和拦截的风险。最后针对云平台方面的,包括web应用方面,还有数据隐私泄露等等这两方面的应用安全的风险。
正是基于这么多的安全风险,也是因为智能门锁的安全质量和老百姓的人身财产安全是密切相关的,所以国家包括国务院在《开展质量提升行动的指导意见》当中,对于国家质量标准、检测检验、认证认可机构的能效运行,说白了是对于智能门锁安全检测认证这块提出了要求,还有强化设备智能门锁的隐私安全和保护的安要求,以及提高自身产品安全、环保、可靠性等要求和标准。
在总体的指导意见提出之后,国家这边通过市场监管总局各大部委对于智能门锁开展了一系列的风险监测的活动,去年年底的时候国家质检总局针对三个省市的,包括北京、广东、浙江三个省份的34个批次的智能门锁开展了风险监测和安全性方面的测试,总共抽查了34个批次,对于这个信息保存和务实率、防破坏报警、泄露电流等等11项指标进行了验证和检测,主要发现了智能门锁在远程控制方面和人脸识别、指纹识别方面的威胁是比较高的一个风险。在感应卡的识别的隐患也比较多,另外在密码逻辑的安全方面、抗电磁干扰、指纹识别等存在不同程度的安全风险。
下面简单介绍一下,第一个关于小黑盒攻击测试,这个大家在新闻互联网上看到了很多,去年5月份第九届中国永康国际门业博览会上,有人用特斯拉线圈装置最快在3秒之内开智能门锁门禁的效果,很多款不同品牌的门锁在现场进行了演示,这样的攻击演示引起了社会上广泛的关注。它的原理主要是利用智能门锁电路的配电系统驱动电流开启门锁,另外一种因为特斯拉线圈产生比较强的电磁脉冲之后攻击智能门锁的芯片可以造成芯片的死机并且重启,很多的智能门锁在这个机制方面默认芯片重启之后就会开锁,所以实现了攻击后开锁的效果。
第二个方面是生物特征识别方面的风险,前面提到的一个风险监测活动当中有10个批次的智能门锁都被发现存在指纹识别、人脸识别方面的安全威胁,在指纹识别区受到类似于头发丝、金属丝、胶带等等,或者出现裂纹的时候产生效果,任何的指纹都可以进行开锁的实现。经过分析,智能门锁并没有区分非指纹图像和指纹图像的情况下,有的智能门锁会把这些带有裂纹所形成的图像存在了库里的模板当中,就会导致在下一次使用的时候可能会把裂纹图像进行一个匹配,或者是非指纹图像作为一个标准的鉴别信息,从而能够实现智能门锁开启的效果。还有就是在人脸识别的功能智能门锁也会存在相应的问题,主要是不能够区分真实的人脸信息和照片的区别。
第三个是感应卡方面的安全风险,同样在30个批次风险监测的智能门锁当中都具备了感应卡开锁的功能,30款当中有20款的智能门锁存在智能卡方面的安全风险,表现就是它能够支持用户录入自己其他的一些智能卡,包括公交卡、门禁卡、饭卡等等作为开锁工具,这些门锁使用了感应卡并没有加密的区块,这部分可以通过手机和解密的读卡器读取到相关信息,攻击者对于这些区域进行写入操作。同样的关联问题可以体现在FID技术的门禁卡当中,FID卡在智能门锁应用当中会存储代表持卡人身份信息的字符串,通常FID卡中会对信息进行明文存储,或者经过简单处理之后的存储,攻击者只要通过常用的读卡器就能够读取存储的字符串信息,再进行新的FID卡信息的写入获取权限实现正常开锁的效果。
第四个是远程控制方面的安全风险,这个也同样是在风险监测那次活动中发现的比较重要的一个安全风险类型,抽查的批次产品当中有10个批次都是支持移动应用的远程控制、远程开锁,以及查卡门禁开启记录的功能,其中有8个存在相应的问题。很多的问题主要是APP自身的问题,比如说同样加解密钥的使用,一些APP代码没有经过加固过,密钥进行逆向分析,分析出和门锁当中的交互信息。程序员在代码编辑的时候存在bug问题,还有就是终端本身存在相应的漏洞,植入恶意代码之后进行智能门锁的攻击,第五个方面就是在手机的APP和门锁,或者是智能的安全接入网关之间的认证问题导致中间人攻击,这个都是在智能门锁远程控制当中的安全风险。
第六个是关于WIFI信号劫持方面实现开门操作的威胁,同样是因为门锁和APP很多通过WIFI接入到互联网,比如用户的手机在家里的时候也是通过WIFI连到家里的路由器,如果攻击者通过攻击WIFI路由器、智能家居网关劫持信号可以分析定位出当中交互的数据包进行相应的截获和重放,通过重放攻击的方式实现对于门锁的控制。
其他方面包括智能门锁存储的固定密码,可能很多的时候使用这些默认密码,还有密码逻辑漏洞、短密码等等,复杂度不够的问题,以及密码泄露等等的情况,这个是固定密码相关的威胁。另一方面,更多体现在云服务平台方面的问题,包括用户身份鉴别机制、访问控制方面的漏洞,以及前面提到过的云管理平台web安全方面的问题,还有敏感信息泄露等等这些已知的漏洞情况都会导致云平台的安全风险给智能门锁的应用带来相应的威胁。
谈到这么多的安全风险之后,我们该如何采取相应的应对措施呢?主要从三个方面,第一个从部分用户的角度来说,肯定首先是要选择相应的比较知名的品牌有质量保障的厂商,其次选取具有安全功能的智能家庭网关设备,比如近场通信安全监控和流量安全监控等相关安全功能,并且进行策略启用。从智能门锁厂商来说首先通过移动应用的安全质量,通过APP加固等常规的安全加固手段加快防逆向分析和抗分析的能力。第二个加强智能门锁的安全设计,提高智能门锁的抗攻击能力,包括安全芯片方面。第三个是网络安全防护,主要指通信过程当中的安全性防护措施。第四个就是保障云端的服务安全,从物理层面、虚拟化层面,包括从主机层、网络层、应用层等等的全方位的对于云平台全时段的安全监控,还有运维形成网络措施保障安全性。
第三个层面从监管,或者检测认证的角度,遵从行业监管的相关意见对智能门锁的质量,或者是安全性方面进行质量的把关。我们这边提供包括电子防盗锁的GA认证等等,第一个主要依据了公安行业标准机械防盗锁和电子防盗锁的标准,还有就是指纹防盗锁的通用技术条件作为认证检测依据,这块更多不是信息安全类的要求,可能从机械安全角度和安防的角度对智能门锁功能的安全性进行认证。下面社会公共安全领域智能联网产品认证,主要是依据智能联网产品网络安全认证的实施规则,以及操作了18336和通用渗透测试的检测条件,以及专门针对智能联网产品制定的网络安全技术规范这些技术标准实施的一个检测和认证。
智能联网产品网络安全认证涵盖12个大类、55个测试点的安全技术检测,这个涵盖的范围主要包括具有联网功能的,比如说摄像机等视频监控产品和智能门锁等智能防护产品,以及探测器等等,还有楼宇对讲出入口控制等等都在这个安全认证的范围当中。此外,安全控制点的要求后面我会介绍,基本上涵盖目前已知的安全漏洞和威胁。因为智能联网产品的分门别类,技术实现方式很多,所以在认证技术规范的动态调整的角度也会持续不断地更新最新的一些安全威胁对技术规范进行调整,能够尽可能覆盖到行业当中报出来的一些新的安全问题。这个认证的实施也是为了促进智能联网产品的技术创新,提高产品的公信力、竞争力,同样也是为用户进行甄别产品和网络安全防护能力的需求提供有效的参照。
对于刚才提到的智能联网产品的网络安全认证的技术规范,我们这边主要针对联网产品面临的一些安全威胁提出相应的技术指标。从安全技术要求的角度对于智能联网产品的安全功能,包括标识鉴别、用户数据保护、安全管理、TOE访问、TSF保护、可信路径性等等,安全保障要求主要针对智能联网产品的开发、设计、使用等全生命周期当中的安全保障提出具体的要求,比开发指导性文档、生命周期支持、测试等等,同时在脆弱性攻击加入了渗透测试的要求,模拟黑客对于产品展开一定的攻击,包括远程网络攻击、物理接触攻击等等,尽可能在检测认证环节能够在第一时间发现产品存在的安全问题及早进行修复。
标准中的安全技术要求前面提到的安全防护点来说,首先标识和鉴别包括了常规的鉴别失败处理、属性定义、口令验证、鉴别时效、多重鉴别机制等等要求,这个主要为智能门锁用户鉴别方面的弱口令、默认口令、暴力猜测、设备防爆等等方面的威胁。第二个,用户数据保护方面的技术要求主要是包括访问控制、基于安全属性的访问控制、信息流控制、属性制定、变更修改等等这方面的要求,主要是为了应对智能联网产品,包括智能门锁在内的用户数据越权访问,以及信息泄露方面的安全风险。第三个,安全管理方面的技术要求,包括数据管理、安全管理、功能规范、管理员角色、时效性等等这方面的要求,主要是为了应对智能联网产品管理权限和安全策略越权访问等等方面的威胁,因为时间关系具体的技术条目不展开了。第四个,TOE访问这块针对多重并发会话限定、锁定、建立等等要求,这个主要应对产品的管理权限。还有就是产品数据篡改、重放攻击、补丁攻击等等方面的威胁。第五个,TFS保护方面的技术要求,包括测试、时间戳、重放检测、被动恢复、数据保密性等等方面的要求,这个主要针对智能联网产品的越权访问、设备仿冒、重放攻击等等面临的安全威胁。可信度这块主要是应对产品数据和控制传输产生的威胁制定的技术要求。安全审计也是常规的审计数据产生,审计查阅、数据保护、简单攻击探测和安全报警方面的要求,这个主要为了应对产品管理、访问行为不可追溯这方面存在的威胁而定义的技术要求。
第三个方面主要介绍一下智能门锁的安全技术要求的标准化进展,在今年1月底,市场监管总局印发了2019年版的《全国重点工业产品质量监督目录》,这里面明确将智能门锁列入到重点的产品质量安全监管的目录当中,要求结合产品的应用实际进一步突出加强安全评估,以及分类监管和动态调整的要求,也是体现了国家对于智能门锁这一类产品,或者这个应用领域的重点关注度。
对于整个智能门锁的行业来说,相关的一些行业部门组织都在致力于制定比较完善的,包括安全实施标准,能够覆盖智能门锁整体的体系,从规划、设计、开发到测试部署,以及上线运营等等的全部过程来强化整个行业的安全意识,包括产品安全水平。
同时也是组织制定比较完善的一些包括检测标准、安全实施标准等等方面的行业标准、国家标准,这个已经成为一个行业的共识。
所以今年全国信安标准化技术委员会发布的《2019年工作要点》当中将智能门锁的安全标准作为全年的重点工作在开展,正是基于这样的要求,今年4月份宁波的全国信安标准化技术委员会举办的标准会议中全体会议上,也是申请制定智能门锁的安全技术要求和测试评价方法,得到了与会专家、工作组专家、参会代表和秘书处的支持,在工作组内已经投票通过了。
目前国内在行的标准包括国家安全标准《锁具安全使用通用技术条件》,更多的是对锁具载荷、承受强度、执手静压力提出了规定,还有电子通用技术应用,以及机械防盗锁通用技术要求,前面提到的监督检查抽查都是依据这些行业标准进行检测。这是国内的标准情况。
国外主要是在美国和欧洲,对于智能门锁的应用市场和标准是比较成熟的,包括在SCA263的WG3工作组制定的欧盟高安全锁具标准。
我们申请制定的国家标准和现有的标准来说有明显的区别,刚才提到的锁具相关的标准更多的对于机械安全、电子功能提出相应的要求,缺少的是信息安全方面的技术内容,已有的这些标准没有办法有效覆盖,或者来规范产品的信息安全方面的功能,所以国标的制定和实施也是为了将来能够填补智能门锁信息安全的技术要求空白。同时这个标准的制定和实施将来也是和其他的传统机械安全电子功能方面的技术标准可以协调配合来配套实施的。这个标准的制定目标就是为了针对智能门锁的类别产品的信息安全技术要求,以及测试评价方法进行明确,并且能够解决目前已经曝出来的包括小黑盒攻击、生物识别身份鉴别仿冒等等这些问题,从而提升产品全面的安全性,包括智能门锁用户安全保障能力,智能门锁行业的发展,以及真正最终用户的生命财产安全等等。
研究的内容方面主要包括智能门锁的锁体、接入网关的安全功能要求、智能门锁管理平台,包括云端的管理平台的功能要求,还有APP端功能要求,以及相应的测试评价方法。
前期的准备工作当中编制组囊括了各个行业的单位,包括像三所、中国网络安全审查技术和认证中心、国家计算机网络安全研究、信通院、中科院信通所等等网络安全研究和测评机构,包括华为、阿里、百度、中国电信、中国移动等等电信运营商,以及业内的知名网络安全厂商,包括奇虎科技等等,包括APP端的爱加密等等这些厂商。更多的是以中山市的锁业协会为代表的30家锁具生产厂商从事制锁行业的龙头企业和地方行业协会等等,都有相应的跟智能门锁,或者锁具相关标准编制的基础。
从编制思路上来说,主要是充分调研智能门锁的行业,完成相应的安全威胁的风险,从而能够建设符合这个门锁的安全防护需求的信息安全标准。同时也是建立从自上而下的信息安全技术要求,从最底层的锁体安全到上层的应用,再到云平台、远程服务端等等分层次建立安全要求的内容,从而明确各个方面的安全技术指标。在各个层级之内,明确安全分级的需求,从而推动跨层级的技术安全服务产品,能够更好地推广标准化,降低安全部署的成本。
所以说我们这个标准的制定更多的是能够为整个行业的发展,或者这类产品的技术发展提供相应的技术依据,同样也是来指导智能门锁类产品的安全设计、生产和测试。此外,也是对相关的产品管理部门和测评机构提供一个管理测评的重要参考。所以我们也是希望更多的一些业内机构,或者厂商能够参与到我们这个标准的制定过程中。
最后归纳总结一下关于智能联网产品,包括智能门锁的安全,主要有以下的建议。首先是加强相应产品的安全风险评估,以及应用方面的安全培训,能够提高无论是生产企业,还是用户这边的安全意识。其次是加强技术合作,包括一些高效可靠的标识鉴别技术、安全准入等等相关的技术应用,建立相关产品的标准体系不仅仅是一个安全测评的标准,从整个体系的角度来提供一系列的标准。同时也是能够使采购和使用的这些方面能够符合相应的标准要求,尽可能使用通过网络安全认证的联网产品。
我们相信通过端、管、云等等完整的安全链,可以大家共同处理形成一个责任比较明晰、保障有力的安全机制,提升智能门锁的联网产品,或者设备的网络安全防护能力。同样也是为整个智能互联时代下网络空间安全的维护做出应有的贡献。