日前, 由迈瑞微电子有限公司 (以下简称 '迈瑞微' ) 发起, 来自公安三所, 国家锁具产品质量监督检验中心, 工信部电子五所, 阿里云, 神舟锁业, 安规电子等国家机构和企业的安全技术高手在深圳汇聚一堂, 全面揭示智能锁系统安全风险, 并给出有价值的应对措施.
迈瑞微创始人李扬渊在会上表示, 智能锁技术组件可以分为三类: 认证技术: 包括生物识别, 密码, 刷卡, 无线遥控, 机械锁芯; 执行技术: 包括电机控制, 机械离合, 机械传动; 联网技术: 包括网络接入, 设备认证, 数据加密, 网络端业务流程;
首先, 在认证安全环节: 通过演示破解苹果, OPPO, 华为等手机指纹锁的视频, 李扬渊提出了防御需要基于漏洞原理去改进的建议. 他表示: '指纹识别技术已经非常成熟, 其中的风险只是落后技术 '诈尸' 导致. 部分智能锁能够被破解是因为其算法弱化了判决机制. 最高等级的安全指纹识别算法, 应该做到仅1个细节点不同就能判决整体不同. '
近年来, 智能安防产业在国内生产总值占7‰, 行业增速保持在13%, 国内安防市场的增速高于全球平均水平. 安防系统中核心的视频监控产品的年复合增速超过12%, 远超过IT市场年复合6%的增速.
通过对智能门锁硬件, 固件, 指纹认证, zigbee等安全风险分析, 公安部第三研究所, 国家网络与信息系统安全产品质量监督检验中心刘继顺博士指出了智能家居安全检测认证的意义, 并建议智能锁企业应该加强风险评估以及安全培训, 尽快建立智能物联安全标准体系.
执行安全
在执行安全环节, 宁波市神舟锁业有限公司技术总监吴其良对于智能锁机械结构安全的隐患也提出了以下5个解决方案:
第一, 设计一款防暴面板是智能防盗锁的关键, 除制作材料必须符合要求外, 其固定螺栓座必须加长, 让它完全嵌入门面板之内, 并在固定板上增设方杆防护套和防撬报警开关; 第二, 如条件许可, 面板可以采用嵌入方式, 迫使工具无法攻破. 另外, 可在关键部位增设防钻机构, 完善安全防护; 第三, 主控锁采用中置离合启闭; 第四, 主锁栓增设自锁定机装置; 第五, 选择可靠的上游系统配置, 采用 '外识内执' 的设计方案, 避免智能部位直接受到干扰攻击.
国家锁具产品质量监督检验中心 (浙江) 主任助理田帆在 '智能门锁标准现状及未来走向浅谈' 的主题演讲中, 主要从国内外标准现状以及政策导向, 经由国内各大企业探索实践, 为智能门锁未来标准的制定指出了发展方向.
联网安全
在联网安全环节, 智慧云锁存在着云服务器被攻破, 通讯链路未加密被篡改, 指令重放攻击, 破解密钥, 仿冒设备等安全风险.
基于此况, 阿里云推出了ID²门锁安全方案, ID²一芯一密, 不可篡改, 不可伪造. 阿里云IoT事业部安全专家杨涛通过对阿里云IoT智能锁安全解决方案的介绍, 以及网关框架图, 云锁框架图的分析, 展示出了一条完善的安全架构.
工业和信息化部电子第五研究所—物联网攻防实验室高级测评师李乐言从黑客攻击的角度对智能门锁信息安全的风险进行了详细的分析, 提出了最小化攻击面, Secure default, 权限最小化, 纵深防御, 不要信任第三方系统, 业务隔离, 公开设计, 使用白名单等8大设计原则.
宁波安规电子科技有限公司创始人兼产品经理虞哲君通过锁具的发展史, 指出了锁具的安全性与便捷性之间的关系, 倡导业界做真正安全, 便捷, 有品质的锁.
安全专家组计划
无论是万物解锁的指纹头, 还是闻风丧胆的黑盒子, 其破解原理其实都并不复杂, 之所以让无数企业中招, 是因为:
缺乏系统安全考量: 智能锁安全属性跨度大, 新问题多, 是泛安全技术领域的新挑战. 必须从认证, 执行, 联网三个维度系统综合考量, 缺一不可. 防御等级缺乏攻击手段论证: 很多企业的技术防御措施还停留在投入市场发现问题之后再打补丁的阶段, 贸然把缺陷产品放到市场上去是极不负责任的. 应该在实验室里进行极端攻防演练, 未雨绸缪. 为了价格对安全性轻易妥协: 抗攻击是系统层面的事情, 终端的安全责任很大, 消费电子时代积累下来的低成本竞争惯性该结束了. 人才缺乏: 智能锁的智能是有成本的, 最重要的是高级人才的成本. 目前芯片设计人员几乎都是软件编程, 懂模拟器件设计知识的凤毛菱角. 既懂锁具设计, 又懂网络系统安全, 还懂电子芯片的几乎不存在.
为了突破这一困境, 迈瑞微在会上首倡 '安全专家组计划' , 不讲阳春白雪, 只做实用的解决方案:
安全需认证, 需公示, 使企业的投入有所回报: 技术专家联合官方检测机构一起研发和推出安全认证体系, 设计指导和检测认证相互配合; 对于通过智能锁安全等级认证的优秀产品, 会在电商平台和经销商渠道中做品质背书; 安全专家组还可以对终端企业的安全团队进行培训, 让企业自身成长起来.
到此, 迈瑞微智能锁系统安全技术峰会圆满结束, 但产业安全标准的落地依旧在路上, 智能锁的安全问题并不只是哪一个产业环节或者哪一个公司能解决, 需要整个产业链的共同推进.