日前, 由邁瑞微電子有限公司 (以下簡稱 '邁瑞微' ) 發起, 來自公安三所, 國家鎖具產品質量監督檢驗中心, 工信部電子五所, 阿里雲, 神舟鎖業, 安規電子等國家機構和企業的安全技術高手在深圳匯聚一堂, 全面揭示智能鎖系統安全風險, 並給出有價值的應對措施.
邁瑞微創始人李揚淵在會上表示, 智能鎖技術組件可以分為三類: 認證技術: 包括生物識別, 密碼, 刷卡, 無線遙控, 機械鎖芯; 執行技術: 包括電機控制, 機械離合, 機械傳動; 聯網技術: 包括網路接入, 設備認證, 數據加密, 網路端業務流程;
首先, 在認證安全環節: 通過演示破解蘋果, OPPO, 華為等手機指紋鎖的視頻, 李揚淵提出了防禦需要基於漏洞原理去改進的建議. 他表示: '指紋識別技術已經非常成熟, 其中的風險只是落後技術 '詐屍' 導致. 部分智能鎖能夠被破解是因為其演算法弱化了判決機制. 最高等級的安全指紋識別演算法, 應該做到僅1個細節點不同就能判決整體不同. '
近年來, 智能安防產業在國內生產總值佔7‰, 行業增速保持在13%, 國內安防市場的增速高於全球平均水平. 安防系統中核心的視頻監控產品的年複合增速超過12%, 遠超過IT市場年複合6%的增速.
通過對智能門鎖硬體, 韌體, 指紋認證, zigbee等安全風險分析, 公安部第三研究所, 國家網路與資訊系統安全產品質量監督檢驗中心劉繼順博士指出了智能家居安全檢測認證的意義, 並建議智能鎖企業應該加強風險評估以及安全培訓, 儘快建立智能物聯安全標準體系.
執行安全
在執行安全環節, 寧波市神舟鎖業有限公司技術總監吳其良對於智能鎖機械結構安全的隱患也提出了以下5個解決方案:
第一, 設計一款防暴面板是智能防盜鎖的關鍵, 除製作材料必須符合要求外, 其固定螺栓座必須加長, 讓它完全嵌入門面板之內, 並在固定板上增設方杆防護套和防撬報警開關; 第二, 如條件許可, 面板可以採用嵌入方式, 迫使工具無法攻破. 另外, 可在關鍵部位增設防鑽機構, 完善安全防護; 第三, 主控鎖採用中置離合啟閉; 第四, 主鎖栓增設自鎖定機裝置; 第五, 選擇可靠的上遊系統配置, 採用 '外識內執' 的設計方案, 避免智能部位直接受到幹擾攻擊.
國家鎖具產品質量監督檢驗中心 (浙江) 主任助理田帆在 '智能門鎖標準現狀及未來走向淺談' 的主題演講中, 主要從國內外標準現狀以及政策導向, 經由國內各大企業探索實踐, 為智能門鎖未來標準的制定指出了發展方向.
聯網安全
在聯網安全環節, 智慧雲鎖存在著雲伺服器被攻破, 通訊鏈路未加密被篡改, 指令重放攻擊, 破解密鑰, 仿冒設備等安全風險.
基於此況, 阿里雲推出了ID²門鎖安全方案, ID²一芯一密, 不可篡改, 不可偽造. 阿里雲IoT事業部安全專家楊濤通過對阿里雲IoT智能鎖安全解決方案的介紹, 以及網關框架圖, 雲鎖框架圖的分析, 展示出了一條完善的安全架構.
工業和資訊化部電子第五研究所—物聯網攻防實驗室高級測評師李樂言從黑客攻擊的角度對智能門鎖資訊安全的風險進行了詳細的分析, 提出了最小化攻擊面, Secure default, 許可權最小化, 縱深防禦, 不要信任第三方系統, 業務隔離, 公開設計, 使用白名單等8大設計原則.
寧波安規電子科技有限公司創始人兼產品經理虞哲君通過鎖具的發展史, 指出了鎖具的安全性與便捷性之間的關係, 倡導業界做真正安全, 便捷, 有品質的鎖.
安全專家組計劃
無論是萬物解鎖的指紋頭, 還是聞風喪膽的黑盒子, 其破解原理其實都並不複雜, 之所以讓無數企業中招, 是因為:
缺乏系統安全考量: 智能鎖安全屬性跨度大, 新問題多, 是泛安全技術領域的新挑戰. 必須從認證, 執行, 聯網三個維度系統綜合考量, 缺一不可. 防禦等級缺乏攻擊手段論證: 很多企業的技術防禦措施還停留在投入市場發現問題之後再打補丁的階段, 貿然把缺陷產品放到市場上去是極不負責任的. 應該在實驗室裡進行極端攻防演練, 未雨綢繆. 為了價格對安全性輕易妥協: 抗攻擊是系統層面的事情, 終端的安全責任很大, 消費電子時代積累下來的低成本競爭慣性該結束了. 人才缺乏: 智能鎖的智能是有成本的, 最重要的是高級人才的成本. 目前晶片設計人員幾乎都是軟體編程, 懂類比器件設計知識的鳳毛菱角. 既懂鎖具設計, 又懂網路系統安全, 還懂電子晶片的幾乎不存在.
為了突破這一困境, 邁瑞微在會上首倡 '安全專家組計劃' , 不講陽春白雪, 只做實用的解決方案:
安全需認證, 需公示, 使企業的投入有所回報: 技術專家聯合官方檢測機構一起研發和推出安全認證體系, 設計指導和檢測認證相互配合; 對於通過智能鎖安全等級認證的優秀產品, 會在電商平台和經銷商渠道中做品質背書; 安全專家組還可以對終端企業的安全團隊進行培訓, 讓企業自身成長起來.
到此, 邁瑞微智能鎖系統安全技術峰會圓滿結束, 但產業安全標準的落地依舊在路上, 智能鎖的安全問題並不只是哪一個產業環節或者哪一個公司能解決, 需要整個產業鏈的共同推進.