智能門鎖產品現狀與安全防護1

文 /諸佩菊 林宗繆 何 曙

隨著智能門鎖在國內市場的應用日益廣泛，居家裝修選擇智能門鎖的用戶越來越多，便捷性是用戶選擇智能門鎖的重要原因，但是使用過程中的安全隱患問題也逐漸暴露了出來。在近年來的刑事案件中，就有一些安裝智能門鎖的住戶家中被盜。本文旨在探討智能門鎖的產品技術和標準現狀，針對目前智能門鎖存在的安全隱患提出了相應的安全防護建議，以便為將來規范智能門鎖產品市場，提升產品質量提供思路，從而更好地保障用戶的安全。

一、智能門鎖產品技術現狀

智能門鎖是通過無線網絡、近場通信（NFC）、現代生物學或光學和遠程操控等技術，在產品安全性、用戶識別和管理方面更加智能化、簡便化的鎖具。目前，市場上大規模使用的智能門鎖是密碼鎖和指紋鎖。

智能門鎖相比于機械門鎖產品，是以數字化認證開鎖方式替代原有的機械鑰匙認證開鎖方式，同時此類產品大多從設計上采用機械鑰匙開鎖在內，并結合密碼、指紋和門卡等多種數字化認證開鎖方式的復合開鎖方式，以進一步提升產品體驗。在智能手機指紋識別的趨勢引領下，生物特征識別技術（指紋、人臉、聲紋）實現了應用，該技術能通過預先登記的生物特征驗證用戶身份，成為智能門鎖最為代表性的產品功能化特征之一。隨著微信和各類手機軟件（APP）的廣泛應用，智能門鎖發展出結合藍牙、無線網絡（WIFI） 和4G移動網絡通訊方式在內的聯機開鎖方式，通過云端應用系統驗證用戶身份，遠程控制開鎖。

二、智能門鎖結構分析

智能門鎖是在傳統機械鎖的基礎上增加了電子部分，常見的智能門鎖由前面板、鎖體和后面板三部分構成。其中，電子部分主要集中在前面板（見圖1），大多包括含有主芯片的主控電路板、密碼鍵盤、指紋識別模塊、電機和顯示屏等器件；鎖體結構與傳統機械鎖基本相同；后面板大多由通訊模塊如WIFI 等、反鎖控制鍵、電池槽以及后把手構成。

圖1 前面板實物示意圖

三、智能門鎖安全防護

智能門鎖在給用戶帶來便利的同時，也給了不法分子更多繞過合法認證的途徑，實現未授權開鎖，進而造成實質性生命、財產受到威脅的問題。智能門鎖的安全隱患存在于兩大方面，一是產品機械部分質量較差，鎖芯質量不過關，不法分子可以通過鎖具的機械部分開鎖；二是信息安全不過關，通過產品電子部分的漏洞開鎖。下文通過分析智能門鎖存在的安全隱患，提出相應的安全防護建議。

1.物理工具開鎖防護

由于智能門鎖只是在傳統機械門鎖的基礎上增加數字化認證開啟方法，故不法分子通過物理工具開鎖的辦法依舊適用，包括貓眼開鎖、撬壓開鎖和機械性技術開鎖等。由于這類安全隱患都是使用工具暴力插、擰，使鎖的不同部位形成不同類型的機械變形而造成的風險。這是鎖具機械部分不能承受相應的機械強度和剛度所致。

智能門鎖雖主要以數字化認證方式開鎖為主，但廠商仍應嚴格把控鎖具機械部分質量，機械安全性應滿足GA 374-2001《電子防盜鎖》相應指標要求。同時，增加防貓眼撬鎖等功能，避免因機械部分質量問題產生的安全隱患。消費者在購買產品過程中，在注重智能化體驗的同時也應關注智能門鎖的安全等級。

2.信息安全漏洞防護

① 密碼輸入認證安全防護。密碼鎖是目前市場上大規模使用的智能門鎖之一。智能門鎖的投入成本較機械門鎖高很多，商家若出于經濟成本考慮，對所設計生產的智能門鎖沒有采取加密保護，可能存在安全風險。對于用戶來說，在使用過程中要注意遮擋密碼鍵盤，防止被偷窺；對于生產廠商來說，出于安全考慮，在設計時應加強防偷窺設計和加密保護措施，加強密碼輸入的長度、復雜度，同時可通過設置虛位密碼等方式進行安全加密處理。

② 生物識別技術認證安全防護。在指紋、人臉和聲紋等生物識別技術中，指紋識別技術在智能門鎖產品上推廣較好，成本較低、效率高且用戶體驗好。指紋識別智能門鎖是市場的主流產品，但也需要防范不法分子采用偽造指紋的方式開鎖。這類偽造指紋的硅膠與模具在電商平臺上即有銷售，存在一定的安全風險。部分生產廠商采用活體指紋識別技術，通過識別皮膚的溫度和人體皮膚的電容值等，增強指紋識別信息的真實性驗證。在智能門鎖的基本功能選擇時，建議消費者選擇具有多因素或雙因素認證的智能門鎖，如：密碼+指紋的模式。多因素開鎖模式相對于單因素開鎖模式具有更高的安全系數。

③ 電子門鎖智能卡認證安全防護。電子門鎖智能卡認證開鎖技術通常應用于浴室更衣柜、公寓租貸、酒店和小區樓道門禁等領域。采用智能卡認證技術實現的門卡，讀卡設備對傳輸的數據進行單向或雙向校驗，從而實現鑒權認證。一旦實現卡片復制，增加門卡，就會對用戶產生安全隱患。生產廠商應注意防范由此產生的攻擊漏洞和破譯方法，對智能卡進行安全加密處理，增加防復制功能等。

④ 遠程數字化認證安全防護。隨著近幾年智能手機的普及，聯網型智能門鎖應運而生，其一般基于智能手機APP實現遠程數字化云端認證開鎖，一旦不法分子繞開物理防御，針對基于安卓系統或者移動操作系統（IOS）設計的手機APP客戶端進行木馬攻擊或者云端后臺服務器和網關進行網絡攻擊，就有數據泄露的風險，對用戶造成安全隱患。因此，借助互聯網進行數據傳輸和云端信息存儲而發展起來的智能門鎖應相應地關注信息傳輸、數據存儲和后端安全防護等方面的保護。生產企業在設計智能門鎖時，應特別注意聯網功能的應用軟件安全、網絡通訊安全和用戶隱私數據保存與傳輸安全。

⑤ 電磁波干擾開鎖防護。近期媒體報道的“特斯拉”線圈即電磁波干擾開鎖。經邁瑞威安全實驗室分析證實，電磁波干擾開鎖由電路設計缺陷引起，從而觸發電機啟動，打開門鎖。一般高端的智能門鎖除了電源線外還有協議線，開鎖是通過協議傳輸控制的，這時就算有電流進去，產生高低電頻，也無法開啟門鎖。另，部分生產廠商從設計上已不再將電機置于智能門鎖的前面板，避免了由此產生的系列安全隱患。在公安部制定的GA 374-2001《電子防盜鎖》行業標準中，就已考慮了產品抗電磁干擾的要求，該標準正在修訂之中，對抗干擾能力將提出更高的要求。

四、智能門鎖標準現狀與研究方向

智能門鎖產品的出現是近幾年科技發展的必然結果，大大簡化了傳統機械開鎖的不便，與此同時，安全性則成為智能門鎖發展的最大阻礙。目前國內尚無相應的智能門鎖國家標準。公安部出臺了相關的 GA 374-2001、GA 701-2007《指紋防盜鎖通用技術條件》公共安全行業標準，標準按機械強度、環境試驗的嚴酷等級，將產品的安全級別由低到高分為A、B兩級，規定了電子防盜鎖的技術要求和測試方法。為全面規范智能門鎖的安全管理，目前各地區正在全面制定智能門鎖安全標準，中國電信聯合公安部和電信終端產業協會（TAF）于2018年9月共同發布了《智能門鎖信息安全技術要求與測試方法》，中國五金制品協會于2018年11月正式發布了團體標準T/CHNA 1013-2018《智能云鎖的功能要求》。

根據智能門鎖產品隱患和當前行業標準在智能門鎖檢測和評價方法上的不足，上海市計算機軟件測評重點實驗室、公安部第三研究所、上海電子電器技術協會和筆者所在單位等正在共同制定相應的智能門鎖團體標準，標準將全面針對密碼開鎖、生物識別開鎖、智能卡開鎖和移動終端APP開鎖等多種開鎖方式進行研究，并制定智能門鎖系統安全、功能方面的特殊要求和測試方法，以推動智能門鎖產業規范化健康發展。

在當前標準制定過程中，對于密碼輸入、生物識別方面存在的開鎖隱患，要求門鎖應具備防止采用窮舉法攻擊密碼的能力；針對虛位密碼的防窮舉應根據實際輸入的密碼長度增加限制，要求具備密鑰和PIN的保護機制且密鑰量有最低限制要求，對加密數據使用的算法強度增加限制等。智能卡開鎖方式中，要求智能卡需有防復制功能，智能卡和讀寫器中的主密鑰應實現一機一密，若讀卡器采用了安全芯片，其安全等級應有限制等。在遠程數字化認證開鎖方式中，對于移動終端APP和云服務器的信息安全性提出明確要求，包括身份鑒別、訪問控制和數據安全等，應保證數據傳輸的安全性，要求關鍵數據非明文傳輸，云服務端應不存在已公布的高危風險漏洞，并采取有效的入侵防范和惡意代碼防范措施等。智能門鎖經規定的抗干擾試驗，在試驗中和試驗后應正常工作，不應有誤動作。

五、結束語

隨著智能門鎖行業的快速發展，安全性成為智能門鎖發展的最大阻礙。只有充分理解智能門鎖在使用過程中的安全隱患，針對性地提出相應的安全防護措施，形成統一的檢測標準和檢測技術，提高智能門鎖生產門檻，才能規范智能門鎖行業健康發展，從而保障消費者的基本權益。