前言
做这篇专题的背景:
(1)知乎上的“智能锁”话题邀请,看到了很多所谓的“专家”片面的回答和言论,将个别的智能锁行业之前出现过的个例案件拿出来,以此否定智能锁的安全性;
(2)关于很多智能锁的话题可以看得出,大家对于智能锁的认识还处在初级阶段,不能看到问题本质;
(3)规划之内的“白话智能锁”系列,会有安全专题。
正篇
(一)先讲下智能锁行业整体情况。
查看参考专题文章:智能锁行业现状与分析
(二)关于智能锁产品的标准情况。
查看参考专题文章:白话智能锁—标准
(三)产品安全。
(1)智能锁产品行业规范。
市场监管总局关于2018年智能坐便器等3种产品质量国家监督专项抽查情况的通报
市场监管总局关于印发《假冒伪劣重点领域治理工作方案(2019-2021)》的通知_部门政务_中国政府网
(2)智能锁产品安全解读。
① 机械锁芯安全等级。
C级锁芯为当前最高级别,防技术开启时间为10min;部分厂商宣传的超B级锁芯,技术开启长达270min的说法,纯粹是忽悠,不可相信。
② 电子安全。
电量告警:智能锁电量低的时候,需要有明确的声光报警或提示,告知用户电量低的情况,尽 快更换新电池。
防撬告警:前面板被撬动或者松动的情况,智能锁需要发出明确的告警提示并且锁定电子输入通道,保证安全。
电子锁定:在久出或出差期间,可以关闭所有电子通道,只保留机械钥匙(等同于传统C级机械锁)。
卡片钥匙安全:无论是M1加密卡还是CPU卡,都必须做到不使用简单的ID号,不允许被复制或破解(有专题讨论)。
试错告警:在非法尝试开锁超过一定次数后,锁定面板和输入通道,并发出明确的报警和提示。
虚位密码:防止偷窥或密码泄露,采用真实密码前后增加数字的方式,不超过26位的虚位密码属于安全范围。
防尾随:需具备把手下压检测或锁舌收回检测功能,执行完开锁动作立即断开离合器,热防治他人跟随。
③ 信息安全。
(3)智能锁安全案例解析。
① 特斯拉线圈。
特斯拉线圈开锁的根本原因在于某些劣质智能锁未做好电磁防护。
针对以上分析,应对方案如下:
② 生物识别安全(指纹)
A. 自学习功能逻辑
用已录入指纹的手指在已覆盖异物或者存在裂纹的指纹识别模块成功开锁多次后,然后使用未录入指纹的手指仍可以开锁成功。
原因:部分智能门锁中指纹识别的自学习算法在学习过程中,对于更新机制缺少相应的核验环节,或阈值过低,致使非指纹图像干扰也可以通过验证录入。
B. 未对指纹图像进行质量判断
在指纹识别模块上存在异物或存在裂纹的情况下,用户录入指纹作为开锁指纹后,可使用任意其他指纹开启智能门锁。
原因:由于指纹识别模块未对指纹图像进行质量判定,未区分指纹图像和非指纹图像,出现低质量指纹图像或者非指纹图像(如导电涂层、裂纹等)的录入问题,由此导致安全风险。
③ 信息识别卡安全。
卡片钥匙未加密是18年最普遍现象
使用ID卡或IC卡的ID号进行简单添加绑定,作为开锁认证信息而未经过私钥加密处理,存在被复制的风险。
表象:可以任意使用身份证,饭卡,公交卡等卡片添加到智能锁作为开启钥匙(方便但是存在安全隐患)
智能锁专业知识,敬请关注知乎专题。