首页 > 传媒 > 关键词  > 互联网安全最新资讯  > 正文

智能门锁移动互联网安全风险及加固策略研析

2019-03-20 16:10 · 稿源: 厂商

近几年,智能门锁市场发展迅猛。随着物联网时代的临近,各行各业都在谋求智能化转型,智能门锁逐渐成为大众关注的焦点。智能锁市场巨大的增长空间不可小觑,但作为守护人身、财产安全的重要环节,随之而来的安全保障也成为智能门锁发展的关键点。

智能门锁发展态势 应用中主要风险

智能门锁是区别于传统机械锁的基础上改进而来,其核心功能是“无钥匙开锁”,联网之后可实现分发开锁权限、获得门锁状态、与其他设备联动,基于这四大功能,又发散出诸多具体功能。根据 2018 年的调查数据显示,已有超过 2000 家企业进入智能门锁领域。 2019 年整个智能门锁市场会超过 2900 万台,到 2020 年,整个智能门锁会超过 4000 万台,市场规模将达到 400 亿,未来发展空间巨大。

数据来源:全国锁业信息中心

按照客户进行分类,智能门锁分为家庭智能门锁和公寓智能门锁,家庭锁的客户是我国居民家庭,公寓锁的客户是我国长短租公寓运营主体,“公寓”口径是所有B端(商家) 运营的用于出租的居民住房,包括集中式和分散式的公寓。

智能门锁功能实现主要包括智能门锁设备、智能家庭网关、手机APP和云端服务等组件。按功能分层可分为感知层、传输层和应用层,其中传输层与应用层技术为现有互联网技术,感知层用户身份认证方式主要有固定密码、临时密码、指纹、掌纹、人脸、RFID、NFC和APP等,近场接入技术主要有WIFI、蓝牙、Zigbee、433Mhz和315MHz等。

根据智能门锁的功能实现相关主要组建分析,其安全风险可以划分为以下五个方面:

(1)智能门锁安全风险(针对智能门锁设备的攻击);

(2)移动应用安全风险(针对智能门锁手机APP的攻击);

(3)近场通信安全风险(针对WIFI、ZigBee、蓝牙等通信方式的攻击);

(4)网络安全风险(针对家庭智能网关和有线数据拦截的攻击);

(5)应用安全风险(针对智能门锁云平台的攻击)。

针对移动互联网相关的安全风险进行进一步风险与案例进行分析,主要包括以下几个方面:

1、移动应用安全风险

移动应用APP中存在各种常见的安全风险,如:移动端APP代码中或者固件中使用固定的加解密密钥;移动端APP代码没有采用加固和混淆技术使得代码被完整逆向,进而了解并破解开锁机制然后构造控制指令进行攻击;开发人员遗留的代码BUG问题,有可能导致绕过相关权限验证;移动端操作系统出现相关漏洞,导致被植入恶意代码进而控制手机实现攻击;移动端APP和设备之间的认证问题,如果移动端APP和设备之间的认证过程出现漏洞,这就容易导致中间人攻击,即伪造一个假移动端APP和真实设备进行通信达到欺骗目的进而实现攻击。

攻击者利用智能门锁对应的APP存在的这些漏洞或缺陷,绕过智能门锁、APP和云端服务预先设定的逻辑,实现非授权的开锁操作。

2、网络通信安全风险

有的智能门锁直接通过WIFI信号连接到互联网,而其它通信方式的门锁连接到相应的网关后,也会通过WIFI信号连接到互联网,与此同时,手机APP在家时,也会通过WIFI连接到智能门锁和云端服务器。考虑到大量的智能门锁通信协议采用明文传输,或者加密传输过程中存在漏洞,通过攻击WIFI路由器、智能家居网关,或者截持WIFI信号,可以实现对智能门锁的控制。

3、云平台服务安全风险

(1)用户身份鉴别漏洞

未限制密码复杂度,未限制非法登陆次数,重置密码的短信验证码又本地产生或者存在于返回数据包中。

(2)访问控制漏洞

后端信息系统没有对数据包中重要访问控制参数进行校验,导致越权操作。还有存在远程代码执行漏洞,可进行root权限命令执行。重要回话信息被劫持。

(3)云管理平台系统存在web安全问题

常见的web安全漏洞同样存在于智能门锁云管理平台,例如,SQL注入、任意文件上传、失效的身份验证和回话管理、跨站脚本攻击、不安全的直接对象引用、安全配置错误、敏感信息泄露、功能级访问控制缺失、跨站请求伪造、使用含有已经存在漏洞的组件和未验证的重定向和转发等漏洞。

智能门锁安全加固相关政策标准

智能门锁是采用信息技术控制的锁具,组建接口关系复杂,且对于不同的组件,所面临的威胁不同,对抗威胁的目的不同,在设计时需要实现的安全功能也不尽相同。另外,针对市场上智能门锁的痛点,需要加强智能门锁安全设计、重视移动互联网应用的安全、选择合规的云服务提供商、重视个人信息保护的要求、重视定期评估以及漏洞修补的响应机制。

目前智能门锁渗透率相对较低、现行智能门锁标准重点在机械安全和功能安全,安全问题有待解决。在此背景下,国家发布了信息安全等保2. 0 等国家标准从技术要求和管理要求两个维度进行统一安全部署要求,并在《第 3 部分 移动互联网安全扩展要求》中从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全进行移动互联网相关安全要求细化。

全国智标委在 2018 年底正式发布了《建筑及居住区数字化技术应用智能门锁安全技术》导则,导则中明确了智能门锁系统架构,并对智能门锁终端安全、智能钥匙安全、云服务平台安全、客户端安全、通用安全、智能门锁安全等具体内容进行了规定。

智能门锁系统架构图

其中相关安全要求包括:

1、云服务基础设施平台安全要求

云服务基础设施平台作为设备数据和用户数据的统一存储与管理平台,其安全机制应包含数据安全、信息安全、管理安全和个人隐私保护安全。

2、IoT 平台安全要求

IoT平台应提供连接管理和设备管理等功能,主要涉及设备接入安全和设备数据管理安全,包括:

(1)智能锁与IoT平台间应采用安全传输协议;

(2)IoT平台与业务平台间应支持HTTPS双向认证,确保传输安全;

(3)智能锁与IoT平台间应支持身份认证机制,确保合法设备接入;

(4)具备抵御流量型攻击,对外的接口具备入侵防御能力;

(5)支持主机入侵检测HIDS机制

3、数据完整性

为保证数据在传输过程中不被篡改,客户端对服务端发送数据应采用密钥技术对数据进行完整性签名。

4、数据保密性

为防止客户端中敏感数据被盗取,客户端应进行数据保密设计,包括:

  1. 应采用加密技术保证敏感数据在本地存储时的保密性;

  2. 应确保客户端中的敏感数据不能被其他应用操作读取;

  3. 应对通信过程中的敏感数据或整个报文进行加密保护;

  4. 客户端应在发布前关闭调试日志打印功能,防止敏感数据泄露。

5、数据传输安全

智能锁以无线方式开锁或者进行密钥下发等敏感数据交互时,通信双方应进行认证,防止敏感数据被泄露或篡改,并应符合导则相关要求。

6、认证加密能力

具有数据存储和设备管理的通信设备,应使用硬件安全模块进行加密计算。应至少支持国密算法,且可选支持国际算法。

智能门锁移动互联网安全加固技术及策略建议

经过多年研究和实践,几维安全结合智能门锁应用场景特征及安全隐患进行分析研究,以国家政策、行业标准规范为指引,结合公司技术研究提出智能门锁移动互联网安全加固策略建议,包括:

1、云管端防护策略

安全的保障需要多环节共同协同实现,从智能门锁功能实现主要组建入手,从云管端进行安全加固整体解决方案的构建是实现安全目标的关键。

2、终端固件和APP代码虚拟化保护

保护智能门锁最核心的部分(固件+APP),确保最核心的密钥和业务逻辑不被攻击者逆向破解,从而保障智能锁不被攻击。传统的安全加固只能针对黑盒的APP(.apk/.ipa)状态的应用进行安全加密,KiwiVM虚拟机基于LLVM从源代码编译阶段虚拟化源代码,可以适用于各个平台和架构,换句话说,只要研发平台可以使用LLVM编译器,均可使用KiwiVM针对源代码进行虚拟化加密。这样才有KiwiVM即可同时对固件和APP进行安全加固,保障两者不被攻击者逆向分析破解。

3、虚拟化实现

通过前端代码采集套件,采集源代码,利用LLVM-IR进行代码虚拟化,最终编译为适用平台的可执行文件

虚拟化实现流程图

以几维安全技术产品部署为例,公司自主研发的基于LLVM编译器的全平台全架构的KiwiVM虚拟化防护方案技术为基础,用白盒密钥保护技术产品进行数据传输安全加固,实现通信完整性和保密性的保障;通过终端应用加固技术产品进行代码加密,实现应用数据完整性和保密性的保障;通过部署防御性SDK进行检测实现资源控制等。

结 语

随着物联网、5G等技术的快速发展、智慧化的深入推进,智能门锁的普遍应用将是大势所趋,但是智能门锁安全作为关系到人身、财产安全的关键点仍面临许多挑战, 2019 年将会是各方势力继续加紧投入、智能门锁产业崛起和场景落地继续开拓的关键一年,后续通过政府引导和产业链多方深度合作,将进一步共同推动智能门锁标准化落地,保障安全环境构建、促进产业发展。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 耶鲁yale智能门锁使用分享 安利给大家

    当今社会,大家换新家也好,重装修也罢,选门锁这一点还是会纠结很久,终于选定了品牌,那么多型号摆在眼前又是个纠结点。那我今天就来推荐下我自家在用的智能锁--耶鲁yale智能锁YCK371。选择智能锁首先考虑安全 要衡量一把智能门锁的安全系数是否达标,主要要看门锁的锁芯、指纹采集头以及门锁的功能性。锁芯是控制锁开启的主要零件,因此购买智能门锁时,锁芯的质量将直接影响这把门锁的安全性。 耶鲁智能锁对我来说是个宝藏品?

  • 哪款智能门锁可靠?浙江消保委公布测评结果,乐橙荣获五星评级!

    近期,浙江省消费者保护委员会比较试验参考智能门锁国标和行标,结合消费者关注重点,对样品的防技术开启、防拆报警、手动部件强度、环境适应性等性能指标进行了测试,并公布了对 40 款智能门锁的比较测试结果。其中,乐橙获得五星评级。▲来源:消费者报道综合浙江消保委本次比较试验通过线上电商平台和线下锁匠门店渠道购买了共计 40 款智能门锁样品,其中包括乐橙、耶鲁、德施曼、凯迪仕、亚太天能、SAMSUNG等 40 个品牌,售价从

  • 这款智能门锁太火了,媒体老师说不下单就抢不到了!

    11 月 22 日上午十点,乐视在自己的商城上市了一款3D高端智能锁S7R,它不仅具备传统的指纹开锁功能,同时配备了3D人脸开锁+猫眼抓拍功能,而乐视商城仅 1299 元开售,高端不贵,可真是将高端智能门锁的价格打了下来。有媒体老师表示:“我赶紧去下单,怕被抢光,3D智能门锁的价格才1299,真的太良心了。 3D人脸开锁+指纹+大屏猫眼,乐视S7R智能门锁的功能一应俱全 人脸识别可能大家最为熟知的就是手机解锁,一些单位上下班打卡也?

  • 家庭邻里关系开的一剂“良药” 是凯迪仕智能门锁

    生活“锁”事 来款凯迪仕凌晨 2 点,我敲响邻居家的门,说实话我做了半个小时的心理准备。毕竟这么晚打扰别人有点不人道。但是撬锁的话,得再重新换一把,我这门锁是纯铜打造,成本太高有点心疼。我敲了好久,邻居终于被吵醒了。我支支吾吾的解释,说忘带钥匙了,希望可以借用下他家阳台翻进自家去开门,邻居在屋内大喊,太晚了不方便!为什么不换一把智能锁呢?我跟媳妇心照不宣的看了彼此一眼,是时候换电子锁了。好在门口鞋柜上

  • 7大开锁方式!小米智能门锁1S磨砂金开售:到手1099元

    11月29日消息,今年4月,小米国民门锁”升级版小米智能门锁1S正式发布,支持7大开锁方式,采用直插式C级智能锁芯,并将门锁、门铃合而为一。今日,小米之家官微宣布,全新小米智能门锁1S磨砂金配色全渠道正式预售,到手价1099元。据悉,小米智能门锁1S是初代小米智能门锁的升级版,官方数据显示,小米初代智能门锁累计销量突破100万台。与初代相比,小米智能门锁1S升级支持双生态,除支持米家外,也支持苹果的Apple HomeKit,体验?

  • 互联网内卷的尽头是内容

    流量是一切广告业务的根基。上季度,快手的DAU(日活跃用户)达3.2亿,MAU(月活跃用户)达5.7亿,均创下历史新高;活跃用户平均时长从第二季度的107分钟提升至120分钟;日均流量同比增长60%。

  • 互联网广告整体下滑,谁在增长?

    BAT三巨头的广告增速纷纷从两位数降至个位数——阿里巴巴的客户管理收入(主要为广告费和佣金)增速仅为3%;腾讯的广告收入同比增长仅5%,细分下来,媒体广告收入部分是负增长;百度核心的搜索+信息流增速下滑至6%。

  • ​藏在互联网三季报里的“心机”

    目前正值中概股陆续披露三季报的时节,虽然“人与人的悲欢并不相通”,但透过阿里巴巴、腾讯、百度、京东、B站、快手、小米等明星公司的财报,我们找到了一个大家心照不宣的共同“心机”——他们几乎都在同一时间确认巨额的投资损失。

  • 时代系:互联网行业正在“重塑”

    “别只惦记着几捆白菜、几斤水果的流量,科技创新的星辰大海、未来的无限可能性,其实更令人心潮澎湃”。 2020 年底,《人民日报》对社区团购发声的回响贯穿互联网业 2021 年发展。相关部门着手处置平台垄断、竞争失序、无序扩张等问题,互联网行业正在“重塑”。反垄断深入平台开始“拆墙” 2021 年,反垄断风暴来临。多家电商平台作为头部企业,面临着强监管。同时,反垄断背景下,互联互通今年频繁被提及。 9 月 9 日,工信部有

  • 一代互联网人,知了天命后

    这些年,他公开露面的时间和次数越来越少。从缺席公司内部的年会,到错过意义重大的两会,再到连续三年避开乌镇峰会,马化腾似乎有意淡出公众的视野。

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天