智能門鎖風(fēng)險(xiǎn)分析及防范

方 強(qiáng),朱紅儒,黃天寧,劉大鵬

(阿里巴巴集團(tuán)，北京 100102)

0 引言

2018年我國智能門鎖品牌已經(jīng)超過3 500家，生產(chǎn)企業(yè)超過1 500家，市場規(guī)模達(dá)到400億[1]。智能門鎖已經(jīng)成為家庭的重要入口控制設(shè)備，不僅僅能夠?qū)崿F(xiàn)對入戶門的控制，甚至有些智能門鎖實(shí)現(xiàn)了對智能家居(如燈泡、窗簾、空調(diào))的聯(lián)動控制。智能門鎖的信息安全已不僅僅威脅用戶隱私數(shù)據(jù)等虛擬網(wǎng)絡(luò)空間的安全，已經(jīng)能夠?qū)τ脩舻呢?cái)產(chǎn)和生命安全產(chǎn)生威脅。

智能門鎖是智能家電的新型產(chǎn)品且尚不成熟，門鎖要成為家居入口并起到核心作用，在其自身的計(jì)算能力、安全性、性能等方面還需要進(jìn)一步完善。本文旨在針對智能門鎖行業(yè)的信息安全性問題提出保護(hù)建議，以使門鎖企業(yè)在設(shè)計(jì)、開發(fā)、制造時排除信息安全風(fēng)險(xiǎn)，提高國內(nèi)門鎖產(chǎn)品的整體安全水平。本文內(nèi)容范圍是消費(fèi)級聯(lián)網(wǎng)型智能門鎖。

1 智能門鎖終端及云平臺架構(gòu)

為了能夠更好地理解和研究智能門鎖的信息安全風(fēng)險(xiǎn)，需要對智能門鎖的技術(shù)架構(gòu)進(jìn)行研究。圖1為本文提出的智能門鎖的整體技術(shù)架構(gòu)。

圖1 智能門鎖終端及云平臺架構(gòu)圖

智能門鎖整體架構(gòu)由云平臺側(cè)(包括安全管理平臺、設(shè)備管理平臺、服務(wù)管理平臺)、通信網(wǎng)絡(luò)(移動通信及固定網(wǎng)絡(luò))、鎖體(包括控制單元、讀卡器、藍(lán)牙/NFC/RCC模塊、ZigBee/WiFi/433/LoRa/NB-IoT模塊、語音模塊、顯示模塊、生物識別模塊、安全芯片、密碼鍵盤、電機(jī))及配件(門禁卡、移動終端、網(wǎng)關(guān)/路由器)組成。

2 智能門鎖終端信息安全風(fēng)險(xiǎn)研究

2.1 安全研究現(xiàn)狀

目前針對智能門鎖產(chǎn)業(yè)的安全研究，較為成熟的是針對功能安全的。尤其是在歐美，家庭安防市場發(fā)展成熟，有一套相對完善、嚴(yán)格的標(biāo)準(zhǔn)。國內(nèi)由公安部主導(dǎo)的GA374-2001 《電子防盜鎖》及GA701-2007 《指紋防盜鎖通用技術(shù)條件》是目前接受度較高的兩項(xiàng)公共安全行業(yè)內(nèi)的智能門鎖標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中規(guī)定了電子防盜鎖的技術(shù)要求和測試方法，并按照機(jī)械強(qiáng)度、環(huán)境試驗(yàn)的嚴(yán)酷等級將產(chǎn)品的安全由高到低分為A、B兩級。該標(biāo)準(zhǔn)內(nèi)容重點(diǎn)為電子防盜鎖的功能安全，信息安全內(nèi)容未明確要求。

2017年開始，國內(nèi)有多家公司、標(biāo)準(zhǔn)組織開始研究并發(fā)布了智能門鎖信息安全相關(guān)的研究報(bào)告和技術(shù)標(biāo)準(zhǔn)。其中，ICA聯(lián)盟發(fā)布了智能門鎖信息安全系列標(biāo)準(zhǔn)，對智能門鎖的信息安全做了較為詳細(xì)的要求。此外，智標(biāo)委發(fā)布的《智慧社區(qū) 智能門鎖信息安全風(fēng)險(xiǎn)導(dǎo)則》國家標(biāo)準(zhǔn)，也對智能門鎖信息安全提出了指導(dǎo)意見和技術(shù)要求[2]。

本文首先識別需要保護(hù)的安全資產(chǎn)，然后對資產(chǎn)所面臨的信息安全風(fēng)險(xiǎn)進(jìn)行識別，最后提出安全防范方法。

2.2 安全風(fēng)險(xiǎn)

智能門鎖需要保護(hù)的安全資產(chǎn)主要有：

(1)用戶數(shù)據(jù)：包括用戶密鑰或口令、用戶ID、用戶生物特征信息、音視頻采集數(shù)據(jù)、設(shè)備唯一標(biāo)識(ID)、智能門鎖安全固件、配置數(shù)據(jù)、訪問控制列表和預(yù)置密鑰及交互密鑰數(shù)據(jù)、開鎖PIN碼(口令)等信息。

(2)安全服務(wù)：包括密碼算法固件、隨機(jī)數(shù)生成能力等。

根據(jù)調(diào)查和研究，當(dāng)前智能門鎖中面臨較多攻擊風(fēng)險(xiǎn)的模塊是：

(1)控制單元模塊：實(shí)現(xiàn)門鎖基本功能的模塊，如主控芯片單元、電路板、電器接口、軟件固件、存儲加密密鑰的專用存儲區(qū)域。

(2)生物識別模塊：對人體生物特征進(jìn)行采集的指紋傳感器、人臉攝像頭、虹膜傳感器等軟硬件模塊。

(3)密碼鍵盤模塊：用于在門鎖面板上輸入密碼的按鍵及配套的硬件模塊。

(4)云端服務(wù)風(fēng)險(xiǎn)：為門鎖提供云端服務(wù)，如密鑰管理、設(shè)備認(rèn)證、固件升級等功能。

攻擊者會對以上模塊發(fā)起攻擊，試圖繞過智能門鎖的身份認(rèn)證功能，獲取開鎖權(quán)限。進(jìn)一步可能會對門鎖用戶造成財(cái)產(chǎn)甚至生命的安全風(fēng)險(xiǎn)。具體的攻擊對象、攻擊手段、詳細(xì)攻擊示例及攻擊結(jié)果如下節(jié)詳述。

2.3 各模塊攻擊手段示例及攻擊結(jié)果分析

2.3.1 控制單元安全風(fēng)險(xiǎn)

控制單元的攻擊手段示例、攻擊結(jié)果如下：

(1)物理探測攻擊：智能門鎖在工作時，應(yīng)用數(shù)據(jù)會在各個模塊之間傳輸，傳輸通過各個功能模塊間的金屬連線實(shí)現(xiàn)，攻擊者可以對這些金屬連線進(jìn)行探測、監(jiān)聽，嘗試在用戶的會話期間或從先前的已經(jīng)通過身份驗(yàn)證的用戶中獲取未受保護(hù)的殘留安全相關(guān)數(shù)據(jù)(如生物識別數(shù)據(jù)和設(shè)置)。攻擊結(jié)果：

①揭示/重建密鑰等敏感數(shù)據(jù)；

②改變門鎖安全功能，甚至導(dǎo)致某安全功能模塊失效，進(jìn)而泄漏敏感信息。

(2)代碼惡意修改：在固件升級過程中，攻擊者可通過獲得固件，然后在固件中植入木馬、后門，二次打包應(yīng)用程序到固件中進(jìn)行遠(yuǎn)程燒錄。攻擊結(jié)果：獲取用戶敏感信息和控制設(shè)備，從而實(shí)現(xiàn)持續(xù)性影響，甚至可以毀壞智能門鎖的正常使用。

(3)調(diào)試接口攻擊：利用控制單元的調(diào)試接口，使設(shè)備重新進(jìn)入測試模式，從而獲取設(shè)備內(nèi)部關(guān)鍵信息。攻擊結(jié)果：獲取設(shè)備調(diào)試接口的控制權(quán)，對內(nèi)部資源進(jìn)行訪問；攻擊者也可以使用調(diào)試接口刷入改動后的固件，在門鎖中植入后門。

(4)環(huán)境改變攻擊：通過改變芯片隨機(jī)數(shù)模塊的工作條件(如工作電壓、溫度等)來影響生成的隨機(jī)數(shù)質(zhì)量。攻擊結(jié)果：獲取內(nèi)部產(chǎn)生的隨機(jī)數(shù)因子。

(5)強(qiáng)電磁波干擾(“小黑盒”攻擊)：攻擊者通過外部的強(qiáng)電磁場發(fā)射工具，向門鎖發(fā)出強(qiáng)電磁波干擾(俗稱小黑盒攻擊)，電磁波在門鎖內(nèi)部耦合產(chǎn)生電壓，可能觸發(fā)門鎖的誤動作[3]。攻擊結(jié)果：包括但不僅限于觸發(fā)開鎖信號、驅(qū)動電機(jī)、觸發(fā)MCU或識別芯片重啟等造成誤開鎖。

2.3.2 生物識別模塊安全風(fēng)險(xiǎn)

生物識別模塊的攻擊手段示例及攻擊結(jié)果如下：

(1)生物特征信息重放：攻擊者通過簡易指紋膜(導(dǎo)電性或非導(dǎo)電性)對無人值守門鎖外露指紋模塊進(jìn)行表面貼敷，以覆蓋少部分指紋傳感器，攻擊者便可能利用算法漏洞實(shí)現(xiàn)偽造登錄，即繞過授權(quán)指紋直接開鎖。攻擊結(jié)果：假指紋開鎖。

(2)篡改指紋識別模塊算法運(yùn)行比對結(jié)果，攻擊手段包括：

①指紋識別模塊需將已錄入的指紋圖像轉(zhuǎn)換為模板，并存儲在非易失性存儲器中(例如Flash存儲器等)，在指紋錄入、比對過程中，軟件環(huán)境的漏洞可能導(dǎo)致相關(guān)指紋敏感信息泄露。

②針對指紋識別模塊中指紋敏感信息的攻擊，存在本地和遠(yuǎn)程兩種攻擊方式，其中本地攻擊，可采用侵入式、半侵入式攻擊方式針對硬件模塊或芯片進(jìn)行攻擊。遠(yuǎn)程攻擊，由于智能門鎖具備網(wǎng)絡(luò)通信功能，攻擊者可以利用網(wǎng)絡(luò)協(xié)議漏洞遠(yuǎn)程獲取指紋敏感信息，篡改指紋識別算法輸出的比對結(jié)果，從而使指紋識別功能失效。

③智能門鎖的前面板如果機(jī)械強(qiáng)度不夠高，有可能被破拆、鉆洞，進(jìn)而搭線，指紋比對結(jié)果傳輸至主控芯片的鏈路有可能被實(shí)施中間人攻擊，即在傳輸過程中被篡改。

攻擊結(jié)果：指紋識別功能失效或泄露用戶指紋敏感信息。

(3)殘留指紋信息非法采集：通過指紋膠帶等一系列的手段采集識別器上殘留的指紋信息并進(jìn)行恢復(fù)。攻擊結(jié)果：假指紋開鎖。

2.3.3 密碼鍵盤模塊安全風(fēng)險(xiǎn)

密碼鍵盤攻擊手段示例、攻擊結(jié)果如下：

(1)偷窺：密碼鍵盤無遮擋，智能門鎖上的密碼鍵盤在輸入密碼時，周圍環(huán)境被安裝微型攝像頭進(jìn)行偷窺。攻擊結(jié)果：用戶密碼泄露。

(2)覆膜攻擊：攻擊者可在密碼鍵盤上覆蓋一層薄膜，以獲取用戶的開鎖密碼。攻擊結(jié)果：用戶密碼泄露。

(3)硬件木馬植入：缺少主動探測的防拆機(jī)制，未采用工業(yè)設(shè)計(jì)手段保護(hù)硬件安全，攻擊者通過安裝物理木馬設(shè)備竊取密碼。攻擊結(jié)果：用戶密碼泄露。

2.3.4 云端服務(wù)安全風(fēng)險(xiǎn)

云端服務(wù)攻擊手段示例、攻擊結(jié)果如下：

(1)賬戶冒用：攻擊者通過木馬或其他攻擊手段盜用合法用戶身份或賬號進(jìn)行非法操作。攻擊結(jié)果：用戶身份信息泄露并遠(yuǎn)程非法操作智能門鎖。

(2)偽設(shè)備注冊：攻擊者獲取智能門鎖的設(shè)備注冊信息(如設(shè)備唯一ID等)，偽造設(shè)備連接云平臺。攻擊者可能利用這些偽設(shè)備對其他設(shè)備發(fā)起DDoS攻擊等[4]。攻擊結(jié)果：造成平臺無法獲取真實(shí)設(shè)備狀態(tài)信息及產(chǎn)生DDoS攻擊。

(3)數(shù)據(jù)竊聽：通過竊聽手段竊取系統(tǒng)軟件和應(yīng)用軟件的系統(tǒng)數(shù)據(jù)及敏感的業(yè)務(wù)數(shù)據(jù)。攻擊結(jié)果：用戶身份信息泄露。

3 智能門鎖信息安全防范

3.1 控制單元保護(hù)

為了防范對控制單元的攻擊風(fēng)險(xiǎn)，門鎖廠商應(yīng)使用軟件數(shù)據(jù)加密甚至是成本更高的硬加密的方案保護(hù)門鎖內(nèi)的敏感數(shù)據(jù)不被黑客惡意竊取。例如，智能門鎖中的密鑰、指紋特征值、其他敏感信息等可以保存在安全芯片或者可信執(zhí)行環(huán)境中。此外，遠(yuǎn)程APP開鎖的安全性尚未得到有效保障，所以可在業(yè)務(wù)允許的情況下禁用遠(yuǎn)程開鎖功能。聯(lián)網(wǎng)型智能門鎖應(yīng)能將使用過程中產(chǎn)生的輸入錯誤報(bào)警、防破壞報(bào)警及事件記錄等信息上傳至后臺服務(wù)器。在后臺服務(wù)端，門鎖廠商后臺服務(wù)器不應(yīng)存儲與門鎖相匹配的對稱密鑰信息，防止門鎖遭到破解后黑客反向攻擊廠商的服務(wù)器。

3.2 生物識別模塊保護(hù)

智能鎖內(nèi)應(yīng)使用經(jīng)過權(quán)威機(jī)構(gòu)測試認(rèn)證的安全芯片，加密存儲指紋模板和敏感數(shù)據(jù)。在傳輸生物識別信息時應(yīng)該使用足夠強(qiáng)壯的加密算法和完善的傳輸機(jī)制。對于假指紋，智能門鎖可以考慮使用3D高清圖像和指紋算法。

3.3 密碼鍵盤安全保護(hù)

智能門鎖可采用虛位密碼，防止他人偷窺。密碼鍵盤按鍵表面應(yīng)該有保護(hù)措施，防止黑客在鍵盤表面安裝overlay裝置盜取密碼。不同的密碼鍵盤按鍵，其按鍵聲音應(yīng)該完全一致，防止密碼被竊聽。如果智能門鎖成本允許，應(yīng)增加主動探測的防拆機(jī)制，防止黑客安裝物理攻擊設(shè)備竊取密碼。

3.4 云服務(wù)安全保護(hù)和方案

云服務(wù)平臺應(yīng)重點(diǎn)防御用戶隱私數(shù)據(jù)泄露及偽造設(shè)備到云平臺注冊進(jìn)而發(fā)起DDoS攻擊的情況。

針對用戶隱私數(shù)據(jù)的保護(hù)，云服務(wù)提供商應(yīng)滿足國家及國際的有關(guān)數(shù)據(jù)安全保護(hù)的標(biāo)準(zhǔn)及法規(guī)。

針對偽設(shè)備接入，云服務(wù)提供商應(yīng)能夠保障智能門鎖連接云服務(wù)時設(shè)備唯一ID真實(shí)有效。建議基于硬件安全芯片構(gòu)建云端一體化的身份認(rèn)證方案，通過預(yù)置ID及密鑰的方式，保障智能門鎖身份認(rèn)證過程中的信任根不被泄露和篡改。技術(shù)實(shí)現(xiàn)上，搭載了設(shè)備唯一ID的安全芯片不僅可以集成在控制單元上，也可以集成在生物識別模塊、讀卡器模塊或家庭網(wǎng)關(guān)中，實(shí)現(xiàn)對智能門鎖連接云平臺時傳輸?shù)年P(guān)鍵數(shù)據(jù)的加密和認(rèn)證。同時，重點(diǎn)打通安全應(yīng)用程序到安全芯片再到門鎖MCU等之間的通信協(xié)議(SPIIICUART等)、指令、接口,并開展標(biāo)準(zhǔn)化工作降低安全成本，幫助更多的智能門鎖安全地連接到云平臺。

4 結(jié)論

智能門鎖信息安全研究已成為行業(yè)熱點(diǎn)，受“小黑盒”攻擊事件的影響，消費(fèi)者也逐漸意識到智能門鎖信息安全的重要性，從而驅(qū)動了智能門鎖廠商加大了對信息安全的投入力度。但是，智能門鎖行業(yè)發(fā)展迅速，安全攻擊技術(shù)也伴隨著行業(yè)迅速發(fā)展，對應(yīng)的安全解決方案相對發(fā)展速度較慢，其中很重要的原因是缺乏有效的行業(yè)引導(dǎo)。

未來建議從以下三個層面提升智能門鎖行業(yè)的信息安全水平。技術(shù)層面上，通過構(gòu)建云端一體化的身份認(rèn)證方案，向門鎖廠商提供安全成本可控的云服務(wù)，相比較門鎖廠商自建云服務(wù)及身份認(rèn)證管理平臺更加迅速和低成平，有助于在短期內(nèi)提升智能門鎖廠商的信息安全水位；從企業(yè)層面，尤其是面對消費(fèi)者的電商平臺，需要加大對劣質(zhì)的、不安全的門鎖的管理和監(jiān)督；行業(yè)層面，需要門鎖廠商、銷售機(jī)構(gòu)、地產(chǎn)廠商、服務(wù)提供商及政府加強(qiáng)合作，通過落地項(xiàng)目，引導(dǎo)信息安全方案與智能門鎖的融合，幫助提升智能門鎖的信息安全程度，提高門鎖廠商的信息安全能力，才可以進(jìn)一步保障智能門鎖及其使用者的安全。