智能门锁不安全?蓝牙方案可解决
随着物联网时代的深入发展,智慧家居产品种类日益丰富,智能门锁逐步走入千家万户,成为公众关注的焦点.在保障个人安全方面具有至关重要的地位,其通信功能的安全隐患问题已经引起工信部中国赛宝实验室的关注.舆情监测数据显示,在通信功能层面的安全隐患问题上出现了一系列问题:一是导致门锁被非法解锁行为所侵扰;二是伴随出现用户的敏感信息泄露情况.
有别于传统的机械式的死板设计与操作方式, 智能门禁系统具备远程控制功能, 可通过手机APP实现远程授权, 并实时监控室内安全状况, 系统能够自动识别并响应不同场景下的需求, 同时通过云端服务整合家庭安防资源, 在提升用户体验的同时, 也面临着多重安全威胁, 包括但不限于设备本地的安全漏洞威胁, 手机APP层面的安全隐患, 各种通信方式的安全漏洞威胁以及云端服务端的安全风险等
为了验证智能门锁的安全性, 我们展开了相关调研与实验. 在实地走访及调研使用智能门锁的用户群体后, 发现许多人选择使用这款产品是因为其带来的便利性, 即无需携带钥匙或担心钥匙遗失的问题. 此外, 也有部分用户对于产品的安全性存在担忧, 主要集中在担心指纹泄露问题上, 认为需要频繁更换密码以确保安全, 并且认为其安全性不如C级锁的标准. 因此, 我们查阅了国家智能家居质量检验中心关于该产品的安全性能测试报告
首先,常见的可破坏智能门锁的安全性能的方式主要有以下几种:
1.制造假指纹覆膜
2.复制IC卡
3.制造智能门锁系统的开路或短路
采用前述三种方法对市面上 diverse 品牌的38款智能锁逐一进行了检测。经过全面评估后发现,仅有少量的8款智能锁经测试后仍未能抵御所有检测手段,而其余的30款智能锁在安全评估中均未能达标。
进一步分析风险来源,智能门锁安全问题主要体现在以下三个方面:
“三方”认证安全
手机端与设备端及云端三方相互之间的身份认证可能存在明显的安全隐患,并且可能会被攻击者冒充以获取信任;从而对整个系统的安全性构成潜在威胁
链路安全
手机端、移动设备以及云端平台各自采用不同的通信协议进行连接,在保障信息安全方面具有重要地位。如果某条通信链路未采用安全可靠的加密技术,则可能导致敏感信息泄露甚至引发智能家居系统被恶意控制的风险。
本地安全
密码信息、指纹信息、卡片信息以及人脸信息等构成了该智能门锁身份认证功能的重要支撑因素及核心隐私数据。当这些关键数据落入攻击者的手中并完成复制后,则可能导致严重的安全风险。
基于智能门锁安全问题这一背景,在深入了解智能门锁应用场景特征的基础上,信驰达依据国家政策、行业标准规范这一指引原则,推出了物联网低功耗蓝牙模块智能门锁方案,并满足新兴智慧家庭对物联网终端的安全需求。
不同于传统机械式的 deadbolt ,现代智能门锁具备多种智能化功能:能够通过互联网连接实现远程控制;通过应用程序向相关方分配解码权限;实时获取当前状态信息;并能与其它设备协同工作。其系统架构整合了智能家庭网关、手机APP以及云端服务等多个环节;在安全防护方面则存在多种潜在威胁途径:包括但不限于设备自身安全威胁(如芯片漏洞)、应用层面的安全漏洞(如越界访问)、网络通信层的安全隐患(如WIFI/Wiimax/蓝牙协议漏洞)以及上层管理系统的安全漏洞(如无授权访问)。此外还需防范来自家庭智能网关及有线数据中继节点的服务中断威胁以及云端服务系统的安全风险。
为了深入验证智能门锁的安全性能指标, 我们展开了系统性的调研与实验测试工作. 通过调查访谈多个使用智能门锁的用户群体, 发现相当一部分家庭成员选择了这种设备主要是因为其便捷性和无需随身携带钥匙的优势. 同时, 我们也注意到, 有相当比例的用户对于设备的安全性提出了担忧, 主要集中在指纹识别信息可能被非法获取的风险上. 此外, 部分用户还普遍质疑其与高端传统机械锁相比的安全性能是否达到同一水准. 基于此, 我们特意查阅并参考了国家智能家居质量检验中心发布的关于智能门锁安全性能的权威测试报告.
首先,常见的可破坏智能门锁的安全性能的方式主要有以下几种:
1.制造假指纹覆膜
2.复制IC卡
3.制造智能门锁系统的开路或短路
经过运用三种不同的检测手段对市场上共计38款不同品牌的智能门锁进行了系统性评估后发现仅有8款门锁未能抵御所有测试手段而其余的30款智能门锁在各项安全考验中均未达标
进一步分析风险来源,智能门锁安全问题主要体现在以下三个方面:
“三方”认证安全
手机端与设备端以及云端三方之间相互的身份认证可能存在潜在的安全隐患;可能会有攻击者以假身份进行冒充行为从而赢得用户的信任;这种行为可能导致整个系统的安全性出现问题。
链路安全
手机端、设备端及云端三方各自采用不同类型的通信手段建立联系,在此过程中通信数据的安全性是极为关键的。如果某条通信线路未配备安全可靠的加密机制,则可能导致通信数据泄露,并最终导致整个智能家居系统陷入受控状态。
本地安全
智能门锁系统中的身份认证功能主要依赖于多种关键数据要素的协同工作:包括作为基础支撑的技术参数——密码信息与指纹信息;以及作为实体身份验证材料——卡片信息;还有作为生物特征识别依据——人脸信息;同时,在加密机制中扮演核心角色的是密钥证书等技术手段。这些核心数据要素共同构成了系统运行的安全保障体系。然而,在当前技术环境下如果这些关键机密遭到不当获取与利用(包括但不限于非法复制与仿制),将会对系统的正常运行造成不可估量的危害
就智能门锁安全保障问题而言,在结合其应用场景特征的基础上(基于应用特性),信驰达依据国家相关政策和行业标准进行了深入研究与创新性设计(开发了...方案)。该解决方案旨在满足新兴智慧家庭对物联网终端的安全需求(并具备相应的防护功能)。