门锁蹭网卡破解软件下载

ICS35.
040L80中华人民共和国国家标准GB/TXXXXX—XXXX信息安全技术智能门锁安全技术要求和测试评价方法Informationsecuritytechnology-Securitytechnicalrequirementsandtestingandevaluationapproachesforsmartlockproducts(征求意见稿)(本稿完成日期:2020-01-06)在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上.
XXXX-XX-XX发布XXXX-XX-XX实施目次前言IV1范围52规范性引用文件53术语和定义54缩略语65智能门锁系统概述75.
1系统组成75.
2安全分级86智能门锁安全技术要求86.
1智能门锁锁体安全功能要求86.
1.
1智能门锁锁体标识86.
1.
2接入安全要求86.
1.
3通信安全要求96.
1.
4数据安全要求96.
1.
5设备安全要求106.
1.
6软件安全116.
1.
7失效保护116.
2智能门锁接入网关安全功能要求116.
2.
1设备标识116.
2.
2鉴别116.
2.
3访问控制126.
2.
4数据安全126.
2.
5入侵防护126.
2.
6系统安全保护136.
2.
7安全审计136.
2.
8失效保护136.
3智能门锁管理平台安全功能要求136.
3.
1身份鉴别136.
3.
2访问控制146.
3.
3安全审计146.
3.
4资源控制146.
3.
5密钥管理156.
4智能门锁移动应用(APP)安全功能要求156.
4.
1安装及卸载安全156.
4.
2鉴别机制156.
4.
3访问控制166.
4.
4数据安全166.
4.
5运行安全176.
4.
6多方交互安全186.
4.
7代码保护196.
4.
8其他安全要求197智能门锁安全测试评价方法197.
1智能门锁锁体安全功能要求197.
1.
1智能门锁锁体标识197.
1.
2接入安全要求197.
1.
3通信安全要求207.
1.
4数据安全要求207.
1.
5设备安全要求217.
1.
6软件安全237.
1.
7失效保护237.
2智能门锁接入网关安全功能要求237.
2.
1设备标识237.
2.
2鉴别237.
2.
3访问控制247.
2.
4数据安全257.
2.
5入侵防护257.
2.
6系统安全保护257.
2.
7安全审计267.
2.
8失效保护267.
3智能门锁管理平台安全功能要求277.
3.
1身份鉴别277.
3.
2访问控制277.
3.
3安全审计287.
3.
4资源控制297.
3.
5密钥管理307.
4智能门锁移动应用(APP)安全功能要求307.
4.
1安装及卸载安全307.
4.
2鉴别机制317.
4.
3访问控制327.
4.
4数据安全327.
4.
5运行安全337.
4.
6多方交互安全347.
4.
7代码保护347.
4.
8其他安全要求35附录A(资料性附录)36A.
1安全风险概述36A.
2安全风险分析36参考文献43前言本标准按照GB/T1.
1—2009给出的规则起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口.
本标准起草单位:公安部第三研究所、中国网络安全审查技术与认证中心、国家计算机网络与信息安全管理中心、中国信息安全研究院有限公司、杭州萤石软件有限公司、北京奇虎科技有限公司、上海市质量监督检验技术研究院、工业和信息化部电子第五研究所、中山市锁业协会、上海市信息安全行业协会、阿里巴巴(北京)软件服务有限公司、中国电信集团有限公司、青岛海尔智能家电科技有限公司、上海嘉韦思信息科技有限公司、翼盾(上海)智能科技有限公司、浙江智贝信息科技有限公司、上海物盾信息科技有限公司、移康智能科技(上海)股份有限公司、南京东屋电气有限公司.

本标准主要起草人:刘继顺、陆臻、顾健、沈亮、张艳、孙永清、李海鹏、胡津铭、张智强、潘灏、申永波、何清林、杨晨、常涛、张屹、何曙、李乐言、冯秀英、黄磊、方强、汪来富、潘月霖、舒首衡、朱易翔、周正达、徐梦宇、朱林清、闵浩.

信息安全技术智能门锁安全技术要求和测试评价方法范围本标准规定了智能门锁安全技术要求,包括智能门锁锁体安全功能要求、接入网关安全功能要求、管理平台安全功能要求、移动应用安全功能要求,以及测试评价方法.
本标准适用于由智能门锁锁体、接入网关、管理平台、移动应用组成的智能门锁系统的信息安全设计、实现和测试评价.
规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
GB21556-2008锁具安全通用技术条件GB/T25069-2010信息安全技术术语GB/T33474-2016物联网参考体系结构GB/T33745-2017物联网术语GB/T34975-2017信息安全技术移动智能终端应用安全技术要求和测试评价方法GB/T36951-2018信息安全技术物联网感知终端应用安全技术要求GB/T37024-2018信息安全技术物联网感知层网关安全技术要求GB/T37044-2018信息安全技术物联网安全参考模型及通用要求GA374-2019电子防盗锁GA701-2007指纹防盗锁通用技术条件术语和定义GB21556-2008、GB/T25069、GB/T33745-2017界定的以及下列术语和定义适用于本文件.
智能门锁smartlock以生物特征、电子标签、无线遥控编码、电子密码、远程控制指令等鉴别信息,包含门锁锁体、管理平台、移动应用、接入网关等组成部分的门锁信息系统.
双向认证mutualauthentication相互通信的设备或者模组之间同时相互确认对方身份是否可信任的机制.
应用软件(APP)applicationsoftware针对移动智能终端开发的、向用户提供服务功能的应用程序.
包括移动智能终端预安装的第三方应用软件,互联网信息服务提供商提供的可以通过网站、应用商店等移动应用分发平台下载、安装和升级的应用软件,以及以第三方应用软件为平台开发的公众号、小程序等.

移动智能终端smartmobileterminal能够接入移动通信网络,具有应用程序开发接口,并能由用户自行安装、运行和卸载应用软件(APP)的移动终端产品.
云服务平台cloudserviceplatform也称作云端服务平台,简称云端或云平台.
云服务平台分三层:内容管理的基础设施服务层IaaS,内容管理的平台服务层PaaS和内容管理的应用服务层SaaS.
内容管理IaaS为非结构化数据提供分布式存储服务;内容管理PaaS为内容管理提供分类、元数据、版本、搜索及多租户管理,并提供基于标准的服务接口;内容管理SaaS提供基于非结构化数据的应用服务,如电子文档管理、网站群信息发布、表单流程管理等.

敏感信息sensitiveinformation需要保护的信息,该信息的泄漏、修改、破坏或丢失都会对用户产生不可预知的损害.
注:敏感信息包含但不限于用户数字键盘密码、蓝牙密钥、内部寄存器数据、用户PIN码、用户ID、智能卡鉴权数据、用户生物特征信息、设备根密钥、用户注册数等信息.
缩略语以下缩略语适用于本文件.
2D二维(TwoDimensional)3D三维(ThreeDimensional)ACL访问控制列表(AccessControlLists)AP无线接入点(AccessPoint)APP应用软件(ApplicationSoftware)CPU中央处理器(CentralProcessingUnit)HTTPS超文本传输安全协议(HyperTextTransferProtocoloverSecureSocketLayer)IaaS基础设施服务层(InfrastructureasaService)ID标识(Identification)IP互联网协议(InternetProtocol)KRACK密码重置攻击(KeyReinstallationAttacks)MAC媒体传输控制(MediaAccessControl)MCU微控制单元(MicrocontrollerUnit)NFC近场通信(NearFieldCommunication)PaaS平台服务层(PlatformasaService)PCB印刷电路板(PrintedCircuitBoards)PIN个人识别码(PersonalIdentificationNumber)SaaS软件服务层(SoftwareasaService)SD安全数码(SecureDigital)SSID服务集标识(ServiceSetIdentifier)SSL安全套接层(SecureSocketsLayer)TCP传输控制协议(TransmissionControlProtocol)UID用户身份证明(UserIdentification)WPA保护无线电脑网络安全系统(Wi-FiProtectedAccess)WPA2保护无线电脑网络安全系统(Wi-FiProtectedAccessTwo)智能门锁系统概述系统组成智能门锁是综合使用计算机、通信网络、人工智能等技术的物联网系统,用以实现门锁的智能用户识别、远程用户管控以及系统管理,主要包括智能门锁锁体、智能门锁接入网关、智能门锁移动应用(APP)和智能门锁管理平台(云端服务)等组件,其整体框架如图1所示.

图1智能门锁系统组成其中:智能门锁用户是实际使用智能门锁的终端用户.
智能门锁锁体是实现智能门锁具体功能的硬件终端设备,为智能门锁用户提供门锁启闭功能的智能硬件.
智能门锁接入网关为智能门锁锁体提供网络连接,并提供本地场景化服务和设备管理功能.
智能门锁管理平台是后端智能门锁服务应用承载的功能实体,通过与智能门锁锁体、智能门锁移动应用(APP)协同,实现智能门锁的具体应用服务.
智能门锁管理平台包含智能门锁锁体管理升级功能,通过平台为智能门锁锁体提供统一管理和固件升级服务.

智能门锁锁体通过智能门锁接入网关或运营商网络与智能门锁管理平台进行连接,并实现数据与指令的交互,进而实现智能门锁的具体功能应用.
其通信网络分为家庭局域网和互联网,为智能门锁系统提供数据通信连接能力.

安全分级按产品应用场景对信息安全防护能力的要求不同,将产品的安全级别划分为两个等级:基本级、增强级.
智能门锁安全技术要求智能门锁锁体安全功能要求智能门锁锁体标识智能门锁锁体应具备可用于通信识别的智能门锁接入系统的唯一标识,标识存放于智能门锁锁体或接入层网关上.
增强级要求:除满足基本级的要求之外,还应符合以下要求:设备标识应存放于智能门锁锁体或接入层网关上,并且该标识应具备物理不可复制机制或有效的防篡改保护机制.
接入安全要求网络接入认证在接入网络中,智能门锁锁体应满足:在接入网络中具有唯一的网络身份标识;能向接入网络证明其网络身份,至少支持如下机制之一:基于硬件标识的鉴别;基于MAC地址的鉴别;基于通讯协议的鉴别;基于通信端口的鉴别;基于口令鉴别;能进行鉴别失败处理;保证密钥存储和交换安全.
增强级要求:除满足基本级的要求之外,向管理平台证明其网络身份,还应至少支持如下机制之一:基于预共享密钥的双向认证;基于公钥基础设施的接入鉴别.
网络访问控制智能门锁锁体应具备以下能力:禁用业务需求以外的通信端口;设置网络访问控制策略,限制网络中的无关对象通过网络访问和操作智能门锁;宜支持在线动态启用或者禁用特定的通信端口.
通信安全要求无线电安全智能门锁锁体应按国家规定使用无线电频段和辐射强度要求,并具有一定的抗干扰能力.
传输完整性智能门锁锁体:应具有并启用通信完整性校验机制实现数据传输的完整性保护;应具有应对信息传输时发生通信延时或中断的处理机制;应具有通信安全机制以防重放、防伪造、防中间人攻击.
传输保密性智能门锁锁体:与网关之间的数据传输应采用保密措施;与平台之间的数据传输应采用保密措施;与APP之间的数据传输应采用保密措施.
数据安全要求数据保密性智能门锁锁体应具备安全机制保障内存中敏感数据不被未授权对象获取,针对指纹特征等数据存储,应采用有效的安全保护.
数据完整性智能门锁锁体应为其采集的数据生成完整性证据(如校验码、消息摘要、数字签名等).
数据可用性智能门锁锁体在传输其采集的数据时,应对数据新鲜性做出标识.
数据时效性智能门锁锁体在进行诸如临时密码的用户身份验证时,应具备验证使用次数或使用时间等条件.
设备安全要求逻辑控制安全要求智能门锁锁体逻辑控制安全要求如下:锁体设备应具备对敏感功能和安全事件的审计记录功能.
对于连续错误输入次数达到制造商文件规定的次数时(次数范围1-5)应能主动报警;当外力进行强拆除,门锁需要具备一定的报警功能;应具备自检功能,包括启动自检和每24小时至少一次的周期自检.
自检包括锁的固件完整性和真实性、安全机制以及安全状态的检查.
自检失败时,锁体设备应有提示和安全事件记录.
锁体设备至少每24小时重新初始化内存一次;固件升级时,如单机更新,应验证更新固件的完整性和真实性.
如果在线更新,必须对更新源进行合法性认证,建立安全通道传输更新固件,并验证下载的固件的完整性和真实性.
如果验证失败,拒绝进行固件更新.
应不提供用户自主回退机制;添加用户、删除用户、恢复出厂设置等敏感操作应验证管理员身份,且仅能由管理员进行操作;应具备防止穷举攻击口令、指纹识别、人脸识别等开锁方式的能力.
针对虚位口令的防穷举应根据实际输入的口令长度增加限制;门锁不应有默认口令(例如四个0,六个0等);恢复出厂设置后,应要求用户立即设置新口令,新口令应有复杂度要求.
电磁故障注入防范安全要求智能门锁锁体在10000V/m的强电磁脉冲作用下不应该出现异常开启现象.
增强级要求:除满足基本级的要求之外,还应符合以下要求:智能门锁锁体在25000V/m的强电磁脉冲作用下不应该出现异常开启现象.
芯片故障注入防范安全要求智能门锁锁体电路不应保留串口、JTAG调试口等芯片关键烧录/调试接口的焊盘.
增强级要求:除满足基本级的要求之外,还应符合以下要求:智能门锁锁体芯片应保护智能门锁锁体芯片型号信息,如擦去芯片印字等应具备防止非法读取/写入功能,具备代码保护和数据保护功能.
密码键盘模块安全要求智能门锁密码键盘模块应具备以下功能:应具备按键音安全功能,密码键盘带有震动或声音反馈或能引起震动或声音时,所有按键引起的震动或声音应保持一致,无差异;或者足够随机以致无法提取特征用来分辨不同按键;在密码键盘无遮挡的设备上,通过支持虚位密码以降低密码被周围环境的人和摄像头偷窥的风险.
生物识别类模块安全要求使用生物信息识别的智能门锁,应具备生物信息仿冒防范能力,并满足以下要求:指纹识别模块应具有拒绝假指纹的能力;指纹识别模块应具有防护异物混淆攻击的能力;指纹识别模块应具有防护呈现攻击的能力;人脸识别模块应具有防护活体检测攻击和绕过攻击的能力;其他生物信息识别技术,应具备对应的生物信息仿冒防护能力.
IC卡安全要求使用IC卡的智能门锁应具备数据加密能力,并满足以下要求:门禁卡应实现一卡一密;门禁卡应采用CPU卡(包括但不限于CPU智能卡、搭载安全载体且具备CPU卡功能的终端设备);门禁IC卡应具有一定的防复制功能;绑卡、认证操作需要对门禁卡的加密扇区数据块进行读写、校验.
软件安全智能门锁锁体软件应具备以下安全能力:应仅安装经授权的软件;应按照策略进行补丁更新和升级,保证所更新的数据是来源合法的和完整的;固件更新失败时,应有有效的机制保证智能门锁处于安全状态;应安装满足业务安全功能需求的软件并正确配置及使用;应具备安全机制防止软件被逆向和破解.
失效保护智能门锁锁体应能自检已定义的设备故障并进行告警,应确保设备未受故障影响部分的功能正常.
智能门锁接入网关安全功能要求设备标识接入智能门锁网关系统中的设备应具有可用于系统中通信识别的唯一标识,如:设备ID、序列号、MAC地址等;增强级要求:除满足基本级的要求之外,还应符合以下要求:设备标识应存放于智能门锁锁体或接入网关上,并且该标识应具备物理不可克隆机制或有效的防假冒、防篡改保护机制.
鉴别接入鉴别机制接入网关应能够对接入的锁体进行认证,应满足如下要求:能够对锁体设备进行鉴别,至少支持如下机制之一:基于硬件标识的鉴别;基于MAC地址的鉴别;基于口令鉴别.
保证锁体设备标识在接入网关生命周期内的唯一性.
增强级要求:除满足基本级的要求之外,对锁体设备进行鉴别,还应至少支持如下机制之一:基于预共享密钥的双向认证;2)基于公钥基础设施的接入鉴别.
鉴别失败处理接入网关应具备接入鉴别失败的处理能力,并满足以下要求:当鉴别应答超过规定时限时,接入网关系统应能终止与待接入锁体之间的当前通信会话;在经过一定次数的鉴别失败以后,接入网关系统应能终止由接入锁体发起的建立会话的尝试,并在一定的时间间隔后才能允许继续接入;经过一定次数的鉴别失败后,应采集和记录当前尝试鉴别者的信息(指纹、人脸信息等),并通过短信、app等方式上报给用户或者管理员.
访问控制接入网关能够控制接入锁体设备和用户端应用的网络访问,应满足如下要求:支持访问控制表(ACL)等访问控制策略,防止资源被非法访问和非法使用;访问控制策略由基于IP地址及端口、用户/用户组、读/写等操作、有效时间周期、敏感标记等的两种及以上构成的组合;控制相同网络内部的相互访问;控制不同网络之间的跨网访问.
增强级要求:除满足基本级的要求之外,还应符合以下要求:支持白名单机制、限制接入锁体对接入网关的通信访问.
数据安全数据存储安全接入网关在数据存储安全方面,应满足:对需要存储在接入网关中的重要数据进行保护,避免非授权的访问;重要数据包括锁体设备或用户的鉴别信息,网关配置信息,安全策略,审计信息等;具备对存储数据的完整性检测机制,实现鉴别信息、协议转换规则、审计记录等重要数据的完整性检测.
数据传输安全接入网关在数据传输安全方面,应满足:保护数据在传输过程中不被泄露,采用密码技术对重要数据(指令控制数据、业务数据)实施机密性保护,确保数据传输的保密性;具备对传输数据完整性校验机制,实现隐私数据、重要业务数据等重要数据的传输完整性保护(如:校验码、消息摘要、数字签名等);具有通信延时和中断的处理机制.
入侵防护接入网关应具备对接入锁体的接入防护能力,支持应用指定的通信协议和数据内容格式检查的数据包过滤,并丢弃不符合过滤要求的数据包.
增强级要求:除满足基本级的要求之外,还应符合以下要求:仅开放应用相关的通信端口;拒绝和丢弃不可鉴别的通信网通信数据,且记录相应的日志.
系统安全保护智能门锁接入网关的系统,应具备:接入网关应采用权威第三方的时间戳,或每48小时与权威第三方时间服务器进行对时;接入网关的用户应有唯一标识.
对用户进行身份鉴别,使用用户名和口令鉴别时,口令由字母、数字及特殊字符组成,长度不小于8位;接入网关对用户进行身份鉴别时,在用户名和口令的基础上,可以加上其他验证因子以实现多因子身份验证,如动态口令、验证码等;用户身份鉴别失败尝试超过一定阈值,接入网关必须对相应用户锁定一段时间;接入网关的用户应该根据不同角色授予不同权限分组,仅授予用户完成任务所需的最小权限;接入网关能控制数据的本地或远程访问,控制对接入网关的远程配置;接入网关必须关闭不必要开启的应用程序、以及不必要开放的网络端口;接入网关必须支持固件的在线升级,能够验证固件的来源、完整性,支持升级失败时自动回滚.
安全审计智能门锁接入网关应具备安全审计功能,包括:接入网关必须具备安全审计功能,且默认开启.
该功能的启动和关闭动作应进行权限控制且操作被记录;接入网关必须能够记录事件:设备或用户身份鉴别失败,协议转转换失败,修改安全相关配置,任何读取、修改、破坏审计记录的尝试,任何对身份鉴别机制的使用,因鉴别尝试不成功次数超出设定的限制.
对于每一个审计记录,应至少记录事件发生的日期和时间、事件的类型和主体身份;具备相应权限的用户可以查看审计记录.
接入网关应禁止提供审计记录修改、删除功能.
增强级要求:除满足基本级的要求之外,还应符合以下要求:恶意攻击、异常行为、病毒/木马程序等的入侵报警信息记录.
失效保护接入网关应具备保护状态,确保断电恢复时安全策略的正确性.
智能门锁管理平台安全功能要求身份鉴别身份鉴别应符合以下要求:应采用鉴别技术来进行身份鉴别;应提供并启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;应提供并启用用户身份标识唯一检查功能,保证不存在重复用户身份标识.
应提供并启用用户鉴别信息复杂度检查功能,保证身份鉴别信息不易被冒用;管理平台不应明文存储用户的口令等敏感信息.
增强级要求:除满足基本级的要求之外,还应符合以下要求:应采用两种或两种以上组合的鉴别技术来进行身份鉴别,并保证一种身份鉴别机制是不易伪造的;应具备一定的防范暴力(穷举)破解等攻击的能力.
访问控制访问控制应符合以下要求:应严格限制用户的访问权限,按安全策略要求控制用户对管理平台的访问;应严格限制管理平台上应用与应用之间相互调用的权限,按照安全策略要求控制应用对其他应用里用户数据或特权指令等资源的调用.
增强级要求:除满足基本级的要求之外,还应符合以下要求:应对关键操作,需要对用户进行二次身份鉴别.
安全审计安全审计应符合以下要求:审计范围应覆盖到用户在管理平台中的关键操作、重要行为、业务资源使用情况等重要事件;应对审计记录进行保护,有效期内避免受到非授权的访问、篡改、覆盖或删除等;应支持按用户需求提供与其相关的审计信息及审计分析报告;相关审计记录应包括事件日期、时间、用户、类型、描述和结果等,并且保留至少六个月.
增强级要求:除满足基本级的要求之外,还应符合以下要求:应具备对审计记录数据进行统计、查询、分析及生成审计报表的功能;应具备自动化审计功能,监控明显异常操作并响应;相关审计记录应保留至少十二个月;支持审计日志的转储或导出功能;应能汇聚服务范围内的审计数据,支持第三方审计.
资源控制资源控制应符合以下要求:应限制对管理平台访问的最大并发会话连接数等资源配额;应提供资源控制不当的报警及响应;应在会话处于非活跃一定时间后终止会话连接.
增强级要求:除满足基本级的要求之外,还应符合以下要求:根据需要对用户与管理平台相关通信过程中的全部报文或整个会话过程提供必要的保护(如进行通信数据加密),并提供对相关访问、通信等数据的防抵赖功能;定义服务水平阈值,能够对服务水平进行监测,当服务水平降低到预先设定的阈值时进行告警.
密钥管理管理平台应具备对与接入锁体通信的密钥管理功能,并满足以下要求:支持创建、存储、更新和删除接入会话密钥及密钥材料等操作,密钥存储应具备访问控制和密码的保护;提供密钥预分配保护,将预共享密钥和密钥材料分配至接入锁体.
增强级要求:除满足基本级的要求之外,还应符合以下要求:密钥管理支持多级密钥生成和更新机制,主密钥的管理应支持密钥更新和注销安全策略.
注:密钥预分配保护,是一种用来保障基于预共享密钥通信安全的技术,如:单机分发、旁路分发等;多级密钥指的是包含由一种密钥生成另一种密钥的安全机制,如:主密钥-会话密钥-临时密钥之间可由一个生成另一个.

智能门锁移动应用(APP)安全功能要求安装及卸载安全安装要求智能门锁移动APP的安装需得到明确授权,其安装过程只能运行在特定环境中且不能破坏其运行环境.
具体技术要求如下:智能门锁移动APP的安装过程须经用户明确许可;包含可有效表征供应者或开发者身份的签名信息、软件属性信息;智能门锁移动APP在安装的过程中,应可以随时取消安装;正确安装到相关移动智能终端上,并生成相应的图标;在智能门锁移动APP的下载和安装过程中,不得捆绑下载其他应用软件;在安装智能门锁移动APP时,应遵循最小安装原则,不得安装本软件功能说明文档中未加说明的额外功能,不得安装用户未知和未允许的第三方应用;智能门锁移动APP应以用户可见的方式进行安装,应有安装界面,并能提示安装进度;安装时应提示终端操作系统用户对其使用的终端资源和终端数据进行确认;移动应用在安装好后不得强制用户重启设备;不应对终端操作系统和其他应用软件的正常运行造成影响.
卸载要求智能门锁移动APP卸载后,不影响移动智能终端的正常使用.
具体技术要求如下:智能门锁移动APP应提供卸载软件的方式,用户可以随时卸载应用软件;卸载时应将其安装进去的文件全部卸载,自动运行权限需要得到用户的明确授权等;应能完全删除安装和使用过程中产生的资源文件、配置文件和用户数据;删除用户使用过程中生成的数据时应有提示;修改的系统配置信息(如注册表)应能复原;卸载应用软件必须卸载彻底,不能在系统中留下应用软件的临时文件和活动程序或模块;不应影响终端操作系统和其他应用软件的功能.
鉴别机制身份鉴别若智能门锁移动APP涉及用户敏感数据,则应对访问用户提供有效的身份认证机制.
具体技术要求如下:在用户访问应用业务前,智能门锁移动APP对其身份进行鉴别,并提供鉴别失败处理措施;具备登录超时后的锁定或注销功能;应具备防暴力破解能力.
口令安全机制若智能门锁移动APP使用过程中涉及用户口令,则具体技术要求如下:在使用过程中不应以明文形式显示和存储;不应默认保存用户上次的账号及口令信息;具备口令强度检查机制;具备口令时效性检查机制;修改或找回口令时,具备验证机制;在使用过程中应具备防键盘劫持机制;口令不应以明文或不安全形式(如MD5)传输.
验证码安全机制若智能门锁移动APP使用过程中涉及验证码包括图形和手机短信验证码,则具体技术要求如下:验证码应在智能门锁移动APP服务端生成;图形验证码应具备一定的抗机器识别能力;应具有短信验证码防重放攻击机制及防暴力破解能力;手机短信验证码应在服务端进行校验,应具有时效性.
访问控制基于用户的控制若智能门锁移动APP涉及用户敏感数据,则应对访问用户提供有效的授权机制.
具体技术要求如下:授权用户访问的内容不能超出授权的范围;限制应用用户账号的多重并发会话.
对应用软件的限制智能门锁移动APP访问终端数据和终端资源应经过终端操作系统用户明确的许可.
具体技术要求如下:未得到许可前不应访问终端数据和终端资源;未得到许可前不应修改和删除终端数据,不应修改终端资源的配置.
数据安全数据存储安全智能门锁移动应用(APP)在数据存储安全方面应满足:智能门锁移动APP应对敏感信息采用加密等必要安全措施进行存储,以防止数据被未授权获取;智能门锁移动APP本地存储的数据(包括但不限于数据文件、日志文件、数据库文件、会话Cookie、配置文件、SD卡等)不应以明文形式存储用户敏感数据,以防止数据被未授权获取;智能门锁移动APP所收集的敏感信息存储位置应与所明示的保持一致;智能门锁移动APP设置信息的保存期限为实现目的所需的最短时间,并对超出保存期限的敏感信息进行删除或去标识化处理;智能门锁移动APP在用户删除账户后,应及时删除或去标识化处理其敏感信息.
增强集:增强级除满足基本级的要求之外,还应符合以下要求:敏感数据不能存放在外部存储器卡上,无论是否加密;私有目录数据正确设置权限.
对于只有应用程序自身需要访问的数据,只应对该应用程序自身开放读写权限,而将对其他应用的读写执行权限关闭;敏感数据不能以明文存储在私有目录.
数据传输安全智能门锁移动应用(APP)在数据传输安全方面应满足:智能门锁移动APP不应以明文形式通过网络传输用户敏感数据,以防止数据被未授权获取;智能门锁移动APP传输个人信息时,应采用安全通信协议,并对接收方身份进行校验;智能门锁移动APP传输个人信息时,应进行加密处理,以防止数据被未授权获取.
增强级要求:除满足基本级的要求之外,还应符合以下要求:不使用HTTP等明文协议进行数据通信,避免被攻击者窃听,篡改,劫持等;使用HTTPS等加密协议时需要验证证书以及绑定证书.
避免遭受攻击者发起的中间人攻击;若使用自定义协议,则需要有完善的密钥交换协议、高强度的加密算法以及交互信令的完整性校验来保证协议的传输安全.
数据删除智能门锁移动APP若具备数据删除功能,在删除数据前应明确提示用户,并由用户再次确认是否删除数据.
执行删除功能后需保证数据彻底删除且不可恢复.
备份和恢复智能门锁移动APP若具备备份和恢复功能,具体技术要求如下:备份机制应完整有效,且应对备份数据进行加密保护;恢复数据在使用前应校验其可用性、完整性.
运行安全实现安全智能门锁移动APP应保证程序自身的安全性:不应设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口;应具备安全机制防止程序被反编译及篡改;在后台运行,应让用户知晓;在运行中,不应故意破坏其他软件的正常运行;除一些必须的应用(如即时消息类),不应常驻通知栏;应该能够关闭常驻通知栏;的运行不能强制用户下载其他应用或功能代码,或在运行过程中未经用户许可在后台下载其他应用或功能代码;应不存在已公布的高危风险漏洞.
稳定性智能门锁移动APP应保证其稳定运行,避免出现功能失效等类似现象.
具体要求如下:不应造成终端崩溃或异常的情况;避免出现失去响应、闪退等现象;允许随时停止、退出.
容错性智能门锁移动APP应能处理可预知的错误操作,不应影响程序的正常工作.
智能门锁移动APP在发送联网请求时,应具备防止频繁联网的机制.
如应用软件客户端在连续数次(如3次)无法连接服务器后,不应继续频繁自动联网,造成终端资源消耗.
应在较长时间(如10分钟)后,再尝试连接服务器.

资源占用智能门锁移动APP的运行对终端资源,不应长时间固定或无限制占用,不应影响对终端合法的用户登录和资源访问.
升级智能门锁移动APP应支持软件的更新,具体技术要求如下:智能门锁移动APP如有更新版本,应提示用户更新,但不能未经用户允许自动更新;至少采取一种安全机制,保证升级的时效性和准确性;如更新失败,不应反复联网更新;更新失败应能回退到更新前的版本;保证智能门锁移动APP安全机制的有效性.
多方交互安全如智能门锁移动APP需要使用多方交互模型来进行操作,则需要符合以下安全要求:具备防范客户端信息泄漏的有效措施,特别是用于验证身份的重要信息(例如Token、Key等)的泄漏防范;避免身份验证机制的缺失.
在多方交互过程中,各方对于自己收到和发出的消息,都需要进行身份验证,并有效地标识自身的身份;避免不完整的信息提示.
确保在交互过程中,重要信息完整清晰地展示给用户,保证用户的安全.
代码保护考虑到智能门锁移动APP代码中通常包含有与业务密切相关程序的重要逻辑、敏感数据以及与服务器交互的接口等,因此需要保护好这些代码,具体包括:具备完整性检查机制.
应用程序应具备对自身代码完整性校验的能力,防止攻击者轻易地对程序进行篡改;具备防逆向分析的代码保护机制.
为了加大攻击者分析的难度,提高攻击者破解程序的门槛,应用程序应当使用混淆、加壳等保护手段,来防止程序代码被攻击者轻易地分析;具备防范进程注入的保护机制.
应用程序需要具备防止其他程序轻易进行进程注入的能力,提高攻击者注入的成本,从而保护自身的数据和逻辑不被窃取.
其他安全要求智能门锁移动APP服务端应至少满足如下要求:不应在数据库或文件系统中明文存储用户敏感信息;不应在Cookie中保存明文口令;应采取会话保护措施保障智能门锁移动APP与服务端之间的会话不被窃听、篡改、伪造和重放;不应在服务器端日志中记录用户敏感信息,如果确实需要记录敏感信息,则应进行模糊化处理;应确保服务器端日志数据的安全存储,并严格限制日志数据的访问权限;如使用开源第三方应用组件及代码,应对已公布的安全漏洞及时更新补丁;服务器端应不存在已公布的高危风险漏洞.
智能门锁安全测试评价方法智能门锁锁体安全功能要求智能门锁锁体标识智能门锁锁体标识的测试评价方法和预期结果如下:检测方法:检查门锁锁体是否有唯一标识,非授权用户是否可以更改.
预期结果:锁体具备门锁的唯一标识,且非授权用户不能更改.
接入安全要求网络接入认证智能门锁网络接入认证的测试评价方法和预期结果如下:检测方法:门锁在接入网络中是否具有唯一的网络身份;是否可以向接入网络证明其网络身份;以错误的身份接入网络时,是否具有鉴别失败的处理措施;拦截智能门锁流量,查看进行密钥交换时是否有加密.
预期结果:门锁在接入网络中具有唯一的网络身份;可以向接入网络证明其网络身份;具备鉴别失败的处理措施;密钥的存储和传输都被加密且具有完整性检测.
网络访问控制智能门锁网络访问控制的测试评价方法和预期结果如下:检测方法:扫描智能门锁是否开启业务需求以外的通信端口;是否具备网络访问控制策略.
预期结果:智能门锁没有开启业务需求以外的通信端口;智能门锁具备网络访问控制策略.
通信安全要求无线电安全智能门锁无线电安全的测试评价方法和预期结果如下:检测方法:检测智能门锁是否符合国家规定使用无线电频段和辐射强度要求.
预期结果:智能门锁符合国家规定使用无线电频段和辐射强度要求.
传输完整性智能门锁传输完整性的测试评价方法和预期结果如下:检测方法:拦截通信数据包,查看数据包中是否有校验传输数据完整性的校验数据;检测智能门锁是否具有通信延时和中断的处理机制;对通信过程进行重放攻击和中间人攻击.
预期结果:智能门锁具有通信完整性的校验机制;智能门锁具有通信延时和中断机制.
智能门锁可以防止重放攻击和中间人攻击.
数据安全要求数据可用性智能门锁数据可用性的测试评价方法和预期结果如下:检测方法:拦截智能门锁通信数据,观察数据中是否存在可表征时间的标识,包括但不限于时间戳、随机数、计数器等.
预期结果:智能门锁可以对数据的新鲜性做出识别.
数据完整性智能门锁数据完整性的测试评价方法和预期结果如下:检测方法:拦截智能门锁通信数据,分析数据中是否有校验码或数据摘要,通过dump内存内容查看是否存在内存敏感数据泄露.
预期结果:智能门锁为其采集的数据生成校验码或数据摘要,内存敏感数据无法被读取.
设备安全要求逻辑控制安全智能门锁逻辑控制安全的测试评价方法和预期结果如下:检测方法:持续多次使用错误密码开锁,观察门锁是否会自动报警;将智能门锁解包后更改文件系统中内容再重新打包到智能门锁芯片中,观察日志信息中是否会出现自检日志;使用修改过数据的固件更新智能门锁,观察是否会更新成功.
使用低版本固件对智能门锁更新固件,观察是否可以更新成功;测试添加用户、删除用户、恢复出厂设置等敏感操作是否需要验证管理员身份;暴力破解智能门锁密码,观察智能门锁是否会自锁;用默认口令尝试打开门锁.
预期结果:智能门锁对于多次连续开锁失败事件有主动报警功能;智能门锁具备固件完整性和真实性,安全机制以及安全状态的自检功能;智能门锁更新固件时会对固件的真实性和完整性进行校验,智能门锁不支持旧版本固件的回滚更新;添加用户、删除用户、恢复出厂设置等敏感操作需要验证管理员身份;智能门锁具备防止穷举密码、指纹识别、人脸识别的功能;用默认口令无法打开门锁.
电磁故障注入防范安全要求智能门锁电磁故障注入防范安全的测试评价方法和预期结果如下:检测方法:使用特斯拉线圈对智能门锁进行电磁脉冲攻击,观察门锁是否会开启.
预期结果:智能门锁在受到10000V/m的电磁攻击时不会自动打开门锁;增强级要求:除满足基本级的要求之外,还应符合以下测评要求:检测方法:使用特斯拉线圈对智能门锁进行电磁脉冲攻击,观察门锁是否会开启.
预期结果:智能门锁在受到25000V/m的电磁攻击时不会自动打开门锁;芯片故障注入防范安全要求智能门锁芯片故障注入方案安全的测试评价方法和预期结果如下:检测方法:观察PCB板上是否保留处理器芯片的串口/JTAG等烧录/调试物理插针/插槽或焊盘;观察PCB拆取芯片后是否有硬件自毁电路;观察PCB是否预留TestPin,是否有丝印信息,是否存在物理调试接口.
预期结果:PCB板上没遗留关键接口的插针/插槽或焊盘;智能门锁的PCB上有硬件自毁电路;PCB没有预留TestPin,丝印信息,没有物理调试接口.
密码键盘模块安全要求智能门锁密码键盘模块安全的测试评价方法和预期结果如下:检测方法:观察智能门锁密码按键按下后的反馈是否一样;观察按下智能门锁的密码按键后是否有对应的数字音频输出;观察智能门锁是否支持虚位密码功能.
预期结果:智能门锁的密码按键按下后的反馈是完全一样的或者反馈是足够随机的;智能门锁的密码按键按下后音频模块不能识别PIN码,且无法输出对应的音频;智能门锁支持虚位密码功能.
生物识别模块安全要求智能门锁生物识别模块安全的测试评价方法和预期结果如下:检测方法:使用指纹倒模的方法测试智能门锁是否具有识别假指纹的能力;使用导电笔利用指纹模块的学习功能将一部分污迹当作指纹的一部分学习并保存在智能门锁中;将保存在智能门锁中的一个人脸数据打印成照片,使用照片欺骗智能门锁.
预期结果:智能门锁具备拒绝假指纹的能力;智能门锁具有防护异物混淆攻击的能力;智能门锁具有防护呈现攻击的能力;智能门锁具有防护活体检测攻击和绕过的能力.
门禁卡及读卡器模块安全要求智能门锁门禁卡及读卡器模块安全的测试评价方法和预期结果如下:检测方法:读取门禁卡中的数据,观察数据中的密码是否不同;观察门禁卡是否使用CPU卡;观察智能门锁程序中是否有对门禁卡校验的代码;逆向智能门锁固件,提取出根密钥对比其他门锁的根密钥是否一样.
预期结果:门禁卡实现一卡一密;门禁卡采用CPU卡;智能门锁对门禁卡进行绑卡,认证时对门禁卡的数据模块进行读写,校验;智能门锁具有唯一的根密钥.
软件安全智能门锁软件安全的测试评价方法和预期结果如下:检测方法:观察安装软件是否有授权证书;观察整个固件或插件的更新流程;观察是否安装安全软件;利用反编译攻击软件进行逆向和破解.
预期结果:智能门锁或移动端只能安装经过授权的软件;智能门锁的固件更新和插件更新都可以保证数据的完整性和来源合法性;智能门锁安装满足业务的安全软件;无法逆向和破解.
失效保护智能门锁失效保护的测试评价方法和预期结果如下:检测方法:破坏智能门锁的部分功能,观察智能门锁是否会上报损坏情况,是否保证其他功能的正常运行.
预期结果:智能门锁可以自检已定义的设备故障并进行警告,可以确保设备其他部分不受损坏部分的影响.
智能门锁接入网关安全功能要求设备标识智能门锁接入网关设备标识的测试评价方法和预期结果如下:检测方法评价者通过产品说明书、设备标签等信息查看接入设备是否存在唯一标识.
如:设备ID、序列号、MAC地址等;应用发包工具进行传输信息拦截,并更改设备ID,检查被篡改的设备标识是否还能正常使用.
预期结果接入智能门锁网关系统的接入设备具备设备标识;经过篡改的设备标识无法正常使用.
鉴别接入鉴别机制智能门锁接入鉴别机制的测试评价方法和预期结果如下:检测方法:检查智能门锁接入网关是否提供多种鉴别方式,并与产品说明描述一致;检查多种鉴别方式是否可以有效使用;检查是否具备锁体设备标识在接入网关生命周期内具备唯一性.
预期结果:智能门锁接入网关具备鉴别机制;智能门锁接入网关的鉴别机制与产品说明描述一致;智能门锁锁体设备标识在接入网关生命周期内具备唯一性.
增强级要求:除满足基本级的要求之外,还应符合以下要求:检测方法:检查多鉴别机制是否可同时多种方式使用.
预期结果:智能门锁接入网关支持同时多种方式使用.
鉴别失败处理智能门锁接入网关鉴别失败处理的测试评价方法和预期结果如下:检测方法:检查智能门锁接入网关设备是否具备超时机制;设定会话超时重新鉴别的时间段,检查在设定的时间段内没有任何操作的情况下,接入网关是否锁定或者终止会话,用户再次激活会话是否需要重新鉴定;设定会话鉴定失败最大阈值,重复尝试失败会话,检查接入网关是否具备阶段性锁定功能.
预期结果:接入网关具备检查会话超时机制,会话超时后需重新鉴定;在设定会话超时重新鉴别的时间段没有任何操作的情况下,会话被锁定或终止会话,用户需要再次身份鉴别才能够重新管理和使用系统;尝试多次失败会话鉴别,接入网关会对用户IP地址等标识信息锁定.
访问控制智能门锁接入网关访问控制的测试评价方法和预期结果如下:检测方法:配置启动接入网关访问控制表,检查是否支持基于IP地址及端口、用户/用户组、读/写等操作、有效时间周期、敏感标记等的两种及以上构成的组合;在相同网络内部是否可以访问;在不同网络之间进行跨网访问;制定白名单,查看限定用户是否可以访问成功.
预期结果:接入网关支持访问控制表等访问控制策略,支持基于IP地址及端口、用户/用户组、读/写等操作、有效时间周期、敏感标记等的两种及以上构成的组合;在相同网络内部,仅能控制范围内的访问可以访问成功;在不同网络,仅能控制范围内的访问可以访问成功;仅在白名单定义的用户可以接入网关进行访问.
数据安全数据存储安全智能门锁接入网关数据存储安全的测试评价方法和预期结果如下:检测方法:检查接入网关是否存储重要数据,包括锁体设备或用户的鉴别信息,网关配置信息,安全策略,审计信息等;检查接入网关对存储数据是否有完整性检测机制.
预期结果:接入网关具备数据存储能力,存储数据包括锁体设备或用户的鉴别信息,网关配置信息,安全策略,审计信息等;接入网关具备数据完整性校验能力,实现对鉴别信息、协议转换规则、审计记录的完整性保护.
数据传输安全检测方法:使用数据拦截工具对传输的数据进行拦截,检查重要数据是否采用密码技术对其加密来实施保护;使用工具对传输数据进行伪造/篡改,检查数据是否有效可用;将通信延时和中断处理,检查恢复通信是否会话有效.
预期结果:重要数据采用有效加密技术进行保护;对于伪造/篡改的数据,接入网关不予转发;数据传输中通信出现延时或中断,接入网关对异常情况进行处理,重新鉴别身份后再继续数据传输处理.
入侵防护智能门锁接入网关入侵防护的测试评价方法和预期结果如下:检测方法:使用非规定类型通信协议与接入网关进行通信,检查接入网关是否进行转发;使用非标准格式数据内容与接入网关进行通信,检查接入网关是否进行转发;检查接入网关开放的通信端口与产品标准文档描述是否保持一致.
预期结果:接入网关仅转发指定的通信协议和数据内容格式,检查外部来源数据格式,丢弃不符合过滤要求的数据包;接入网关开放设备端口与产品标准文档中描述保持一致.
系统安全保护智能门锁接入网关系统安全保护的测试评价方法和预期结果如下:检测方法:检查接入网关时间戳机制;在接入网关用户系统对用户进行校验操作,检查用户名和口令是否可以有效鉴别;检查口令复杂度是否符合相关标准;检查是否存在多因子校验功能,如动态口令、验证码等;检查用户多次登录失败,接入网关是否具备用户锁定机制;检查接入网关用户是否具备角色管理,默认角色是否实现最小权限限制;检查接入网关是否具备控制数据的本地或远程访问;检查接入网关网络端口开放情况,是否与产品标准文档描述一致;检查接入网关进行固件升级时,设备是否具备对固件完整性进行校验的能力;失败是否可以自动回滚.
预期结果:接入网关应采用安全时间戳方法实现;接入网关支持检查用户名和口令有效性;口令复杂度满足由字母、数字及特殊字符组成,长度不小于8位;接入网关支持多因子验证,如动态口令、验证码等;多次登录接入网关失败后,接入网关会锁定用户信息;接入网关具备角色管理功能,授予角色用户完成任务所需的最小权限;接入网关具备控制数据的本地和远程访问,并支持配置远程访问;接入网关满足关闭不必要开启的应用程序以及关闭不必要的开放网络端口;接入网关升级前会充分校验升级固件及程序的完整性,升级失败会自动回滚到稳定状态.
安全审计智能门锁接入网关安全审计的测试评价方法和预期结果如下:检测方法:检查接入网关是否具备日志记录功能用于安全审计的能力;对设备或用户身份鉴别失败,协议转换失败,修改安全相关配置,任何读取、修改、破坏审计记录的尝试,任何对身份鉴别机制的使用,因鉴别尝试不成功次数超出设定的限制等事件进行操作,检查是否有审计记录;检查审计记录是否包括事件发生的时间、事件的类型和主体身份等信息;检查是否有审计权限角色对审计记录进行查看;对设备发起攻击(如恶意攻击、异常行为、病毒/木马程序等),检查是否有入侵报警记录.
预期结果:接入网关有独立模块进行安全审计;接入网关对各类要求事件均有记录;接入网关审计记录信息符合标准,包括事件发生的时间、事件内容、事件的类型、操作对象、操作结果和主体身份等信息;接入网关有独立角色负责查看审计记录;接入网关具备对各类攻击的入侵报警记录.
失效保护智能门锁接入网关失效保护的测试评价方法和预期结果如下:检测方法对接入网关发起恶意攻击,查看是否进入保护状态;接入网关恢复时,检查安全配置策略是否存在丢失.
预期结果接入网关接受恶意攻击时,会自动开启自动保护状态;接入网关恢复时,所有安全配置保持关闭前状态.
智能门锁管理平台安全功能要求身份鉴别智能门锁管理平台身份鉴别的测试评价方法和预期结果如下:检测方法:检查标识与鉴别策略与规程等相关文档,查看其是否有对用户进行鉴别的要求;检查访问控制策略与规程等相关文档,查看其是否在所定义的时间段内,定义了连续登录失败的上限次数;检查系统配置文件,查看其是否满足定义的登录失败处理策略;检查标识与鉴别策略与规程等相关文档,查看其是否有对信息系统的用户进行唯一标识要求;查看系统设置是否能够强制执行最小口令复杂度,并且满足定义的口令复杂度规则;查看其在用户更新口令时,是否能够强制变更一定数目的字符,确保新旧口令不同;查看是否对存储口令进行加密;查看其是否强制执行最小和最大生存时间限制,并满足定义的最小生存时间和最大生存时间.

预期结果:标识与鉴别策略与规程等相关文档有对用户进行鉴别的要求;访问控制策略与规程等相关文档在所定义的时间段内,定义了连续登录失败的上限次数;系统配置文件满足定义的登录失败处理策略;标识与鉴别策略与规程等相关文档有对信息系统的用户进行唯一标识要求;系统设置能够强制执行最小口令复杂度,并且满足定义的口令复杂度规则;在用户更新口令时,能够强制变更一定数目的字符,确保新旧口令不同;对存储口令进行加密;强制执行最小和最大生存时间限制,并满足定义的最小生存时间和最大生存时间.

增强级:除满足基本级的要求之外,还应符合以下要求:检测方法:检查标识与鉴别策略与规程等相关文档,查看其是否有针对网络访问实施多因子鉴别的要求;检查网络访问机制,查看其是否实施多因子鉴别;检查标识与鉴别策略与规程等相关文档,查看其是否有防范暴力破解等攻击的能力要求,在不影响系统安全情况的前提下使用暴力破解方式测试系统是否能够对攻击进行防范.
预期结果:标识与鉴别策略与规程等相关文档有针对网络访问实施多因子鉴别的要求;网络访问机制实施多因子鉴别;标识与鉴别策略与规程等相关文档有防范暴力破解等攻击的能力要求,系统能够对暴力破解方式测试攻击进行防范.
访问控制智能门锁管理平台访问控制的测试评价方法和预期结果如下:检测方法:检查访问控制策略与规程等相关文档,查看其是否有最小特权策略;检查最小特权策略,查看其为用户提供的访问权限是否满足其最小业务需求;检查访问控制策略与规程等相关文档,查看其是否有针对不同应用间互相调用的权限限制要求,查看应用之间针对用户数据或特权指令等资源的调用是否符合安全策略要求.
预期结果:访问控制策略与规程等相关文档有最小特权策略;最小特权策略为用户提供的访问权限满足其最小业务需求;访问控制策略与规程等相关文档有针对不同应用间互相调用的权限限制要求,应用之间针对用户数据或特权指令等资源的调用符合安全策略要求.
增强级:除满足基本级的要求之外,还应符合以下要求:检测方法:检查访问控制策略与规程等相关文档,查看其是否有对针对关键操作进行再次身份鉴别的要求;测试系统在执行规定的关键操作时,对用户要求再次身份鉴别.
预期结果:访问控制策略与规程等相关文档有针对关键操作进行二次身份验证的规定;在执行关键操作前,系统要求用户完成再次身份鉴别.
安全审计智能门锁管理平台安全审计的测试评价方法和预期结果如下:检测方法:检查审计策略与规程等相关文档,查看其是否要求审计记录对象至少包含:用户在业务应用中的关键操作、重要行为、业务资源使用情况;检查审计策略与规程等相关文档,查看其中是否明确了审计记录保护相关要求,并对提出的安全要求进行评估,测试其是否能够满足系统的安全要求;检查审计策略与规程等相关文档,查看其中是否有对审计日志进行人工审计的要求及审计频率要求;检查审计策略与规程等相关文档,查看其是否有须向客户提供审计分析报告的要求;检查审计策略与规程等相关文档,查看其是否要求审计记录内容至少包含:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,并且审计文档是否保存六个月.
预期结果:审计策略与规程等相关文档要求审计记录对象至少包含:用户在业务应用中的关键操作、重要行为、业务资源使用情况;审计策略与规程等相关文档中明确了审计记录保护相关要求,能够满足系统的安全要求;审计策略与规程等相关文档中有对审计日志进行人工审计的要求及审计频率要求;审计策略与规程等相关文档中有须向客户提供审计分析报告的要求;审计策略与规程等相关文档要求审计记录内容至少包含:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,并且审计文档保存时间为六个月以上.
增强级要求:除满足基本级的要求之外,还应符合以下要求:检测方法:检查审计策略与规程、系统设计说明书等相关文档,查看其是否提供审计处理和审计报告生成的机制;检查审计处理和审计报告生成机制,查看其是否支持实时或准实时的审查、分析和报告,以及对安全事件的事后调查.

检查审计系统配置信息,查看其是否有系统审计过程失败的报警机制;检查审计策略与规程等相关文档,查看其是否有针对审计记录保存时长的要求,并查看保存时长是否为十二个月.
查看系统中是否包含服务范围内的审计数据,并支持第三方审计.
预期结果:审计策略与规程、系统设计说明书等相关文档提供审计处理和审计报告生成的机制;审计处理和审计报告生成机制支持实时或准实时的审查、分析和报告,以及对安全事件的事后调查.
审计系统配置信息有系统审计过程失败的报警机制;审计策略与规程等相关文档有针对审计记录保存时长的要求,并且保存时长为十二个月以上.
系统中包含服务范围内的审计数据,并支持第三方审计.
资源控制智能门锁管理平台资源控制的测试评价方法和预期结果如下:检测方法:检查访问控制策略与规程等相关文档,查看其是否定义了平台访问的最大并发会话连接数等资源配额;测试并发会话控制机制,验证其对所定义的账号的最大并发会话连接数是否满足要求.
检查访问控制策略与规程等相关文档,查看其是否定义了资源控制不当的报警及响应机制;检查访问控制策略与规程等相关文档,查看其是否定义了实施会话锁定时未活动的最大时间段;检查会话管理配置文件,查看其是否按照要求进行了配置;测试会话锁定机制,验证在定义的时间之内会话未活动是否会被锁定,验证用户主动发起锁定指令时是否能够实施会话锁定.

预期结果:访问控制策略与规程等相关文档定义了平台访问的最大并发会话连接数等资源配额;平台对所定义的账号的最大并发会话连接数满足要求.
访问控制策略与规程等相关文档定义了资源控制不当的报警及响应机制;访问控制策略与规程等相关文档定义了实施会话锁定时未活动的最大时间段;会话管理配置文件按照要求进行了配置;在定义的时间之内会话未活动会被锁定,用户主动发起锁定指令时能够实施会话锁定.
增强级要求:除满足基本级的要求之外,还应符合以下要求:检测方法:检查系统与通信保护策略与规程、系统设计说明书等相关文档,查看其是否有符合国家密码管理法律法规的通信加密和签名验签算法及设施的要求;检查通信加密和签名验签设施已获取的证书、测评报告等相关材料,查看其是否满足国家密码管理法律法规;检查系统与通信保护策略与规程、系统设计说明书等相关文档,查看其是否定义了服务水平阈值,并对服务水平进行监测的要求;测试当服务水平降低到预先规定的阈值时系统是否进行告警.
预期结果:系统与通信保护策略与规程、系统设计说明书等相关文档有符合国家密码管理法律法规的通信加密和签名验签算法及设施的要求;通信加密和签名验签设施已获取的证书、测评报告等相关材料满足国家密码管理法律法规;系统与通信保护策略与规程、系统设计说明书等相关文档定义了服务水平阈值,并对服务水平进行监测的要求;当服务水平降低到预先规定的阈值时系统能够进行告警.
密钥管理智能门锁管理平台密钥管理的测试评价方法和预期结果如下:检测方法:检查管理平台是否具备密钥的创建、存储、更新和删除接入会话密钥及密钥材料等操作;检查管理平台的密钥是否具备访问控制和密码保护功能;检查管理平台是否提供密钥分配保护,将预共享密钥和密钥材料分配至接入锁体;检查管理平台是否支持多级密钥的管理机制,包括密钥的生成、更新和注销等安全策略.
预期结果:管理平台具备密钥管理功能,支持对密钥的创建、存储、更新和删除接入会话密钥及密钥材料等操作;管理平台具备密钥的访问控制和密码保护功能;管理平台支持提供密钥分配保护,将预共享密钥和密钥材料分配至接入锁体;管理平台支持多级密钥的管理机制,包括密钥的生成、更新和注销等安全策略.
智能门锁移动应用(APP)安全功能要求安装及卸载安全安装要求智能门锁移动应用(APP)安装的测试评价方法和预期结果如下:检测方法:在移动智能终端上指定位置安装智能门锁移动APP;检查智能门锁移动APP是否包含供应者或开发者的签名信息、软件属性信息(如名称、版本信息和描述等);检查智能门锁移动APP是否提示操作系统用户对其使用的终端资源(如网络通信模块、摄像头、导航定位等)和终端数据(如相册、通讯录等)进行确认;运行智能门锁移动APP,检查是否对终端操作系统、其他应用软件(包括预置应用软件)的使用造成影响.
预期结果:能够安装到移动智能终端上,并生成相应图标;包含供应者或开发者的签名信息、软件属性信息;提示终端操作系统用户对其使用的终端资源和终端数据进行确认;智能门锁移动APP安装后,终端操作系统和其他应用软件仍能正常使用.
卸载要求智能门锁移动应用(APP)卸载的测试评价方法和预期结果如下:检测方法:卸载智能门锁移动APP,检查其安装及使用生成的文件和数据是否能完全删除;检查删除用户数据时(如业务数据)是否有提示;检查是否对终端操作系统、其他应用软件(包括预置应用软件)的使用造成影响.
预期结果:卸载时能够将其安装及使用过程产生的数据全部删除;删除用户数据时能够提示用户授权;卸载后复原系统配置信息(如注册表)等;卸载后系统软件和其他应用软件仍能正常使用.
鉴别机制身份鉴别智能门锁移动应用(APP)身份鉴别的测试评价方法和预期结果如下:检测方法:检查在用户访问应用业务前,智能门锁移动APP是否对其身份进行鉴别;连续尝试登录失败时,检查智能门锁移动APP是否具备鉴别失败处理措施(如锁定账号等);用户登录后长时间不进行任何操作.
预期结果:只有身份认证成功的应用用户才能使用智能门锁移动APP;具备鉴别失败处理措施;具备登录超时后的锁定或注销功能.
口令安全机制智能门锁移动应用(APP)口令安全机制的测试评价方法和预期结果如下:检测方法:在智能门锁移动APP中输入口令,检查口令是否以明文形式显示或存储;检查智能门锁移动APP是否默认保存用户上次的账号及口令信息;检查智能门锁移动APP是否具备口令强度检查机制(如口令长度、复杂度要求等);检测智能门锁移动APP是否具备口令时效性检查机制(如主动提示用户定期修改口令等);检测智能门锁移动APP在修改或找回口令时,是否具备验证机制(如验证手机号码等);检查智能门锁移动APP是否具备防键盘劫持机制;检查口令是否以明文或不安全形式传输.
预期结果:口令在使用、存储过程中不出现明文;未保存用户上次的账号及口令信息;具备口令强度检查机制,初始化及修改用户口令时,能够根据策略检查输入口令的长度和复杂度,若输入的口令不符合口令强度要求,能够提示,并要求重新设置有效口令;具备口令时效性检查机制,能够主动提示用户修改口令;修改或找回口令时,具备验证机制,以防止口令的被非授权获取或篡改;口令在使用过程中具备防键盘劫持机制,无法劫持获取用户输入的口令;口令没有明文传输,且以安全形式加密传输.
验证码安全机制智能门锁移动应用(APP)验证码安全机制的测试评价方法和预期结果如下:检测方法:检查智能门锁移动APP验证码是否在服务端生成而不是在客户端生产;检查智能门锁移动APP图形验证码是否可以被机器识别出明文;检查智能门锁移动APP手机短信验证码是否具备限制应用用户短信验证码的多重发送机制;检查智能门锁移动APP手机短信验证码是否具备限制应用用户短信验证码次数,和短信验证码是否存在有效时长.
预期结果:验证码在服务端生成;图片验证码在使用过程中具备一定的抗机器识别能力;智能门锁移动APP手机短信验证码具有防重放攻击机制;短信验证码存在错误次数限制和有效时长限制.
访问控制基于用户的控制智能门锁移动应用(APP)基于用户的控制的测试评价方法和预期结果如下:检测方法:用户成功登录后,分别访问其授权和非授权的业务;使用同一用户账号在其他终端上同时登录.
预期结果:应用用户仅能访问授权业务;对用户账号的多重并发会话进行限制.
对应用软件的限制智能门锁移动应用(APP)对应用软件的限制的测试评价方法和预期结果如下:检测方法:检查智能门锁移动APP访问、修改和删除终端数据前是否明确经过终端操作系统用户的许可;检查智能门锁移动APP访问、修改终端资源及其配置是否明确经过终端操作系统用户的许可.
预期结果:未经过终端操作系统用户明确许可前,智能门锁移动APP不能访问、修改和删除终端数据;未经过终端操作系统用户明确许可前,智能门锁移动APP不能访问、修改终端资源及其配置.
数据安全数据存储安全智能门锁移动应用(APP)数据存储安全的测试评价方法和预期结果如下:检测方法:处理用户敏感数据(如生物特征、姓名、电话等能够唯一或者通过关联信息确定身份的)时,检查智能门锁移动APP是否以明文形式写入文件中.
预期结果:不以明文形式将用户敏感数据写到任何文件中.
数据传输安全智能门锁移动应用(APP)数据传输安全的测试评价方法和预期结果如下:检测方法:截取数据包,检查智能门锁移动APP是否以明文形式通过网络传输用户敏感数据.
预期结果:不以明文形式通过网络传输用户敏感数据.
数据删除智能门锁移动应用(APP)数据删除的测试评价方法和预期结果如下:检测方法:检查智能门锁移动APP是否提供数据删除的功能;检查在数据删除前,智能门锁移动APP是否明确提示用户,并由用户再次确认是否删除数据.
预期结果:提供数据删除功能;在数据删除之前,智能门锁移动APP能够明确通知用户,用户能够进一步确认或取消数据删除操作.
备份和恢复智能门锁移动应用(APP)备份和恢复的测试评价方法和预期结果如下:检测方法:检查智能门锁移动APP是否提供数据备份和恢复机制;检查存储的备份数据是否为明文;数据恢复后,检查智能门锁移动APP是否进行校验.
预期结果:提供有效的数据备份和恢复机制;对备份数据进行保护;恢复数据在使用前校验其有效性、完整性.
运行安全实现安全智能门锁移动应用(APP)实现安全的测试评价方法和预期结果如下:检测方法:检查智能门锁移动APP(如分析源代码)是否存在有违反或绕过安全规则的任何类型的接口,以及文档中未说明的接口;检查智能门锁移动APP是否具备安全机制防止程序被反编译、反调试;测试智能门锁移动APP是否存在已公布的高危风险漏洞;检测Assets目录下是否有关键信息明文存储,检测本地敏感文件是否进行加密.
预期结果:不留有任何违反或绕过安全规则的任何类型的接口;提供有效的机制(如混淆技术)防止程序被反编译、反调试;不存在已公布的高危风险漏洞;关键信息密文存储,敏感文件加密.
稳定性智能门锁移动应用(APP)稳定性的测试评价方法和预期结果如下:检测方法:在测试过程中,检查智能门锁移动APP是否出现失去响应、非正常退出、功能失效和造成系统崩溃等异常现象;检查智能门锁移动APP是否提供停止、退出的功能.
预期结果:测试过程中,智能门锁移动APP稳定运行,未出现失去响应、非正常退出、功能失效和造成系统崩溃等现象;运行过程中,智能门锁移动APP能够随时停止、退出.
容错性智能门锁移动应用(APP)容错性的测试评价方法和预期结果如下:检测方法:尝试输入错误的操作(如输入数据类型、长度等),检查智能门锁移动APP是否能够处理.
预期结果:支持处理可预知的用户错误操作,且不影响程序的正常工作.
资源占用智能门锁移动应用(APP)资源占用的测试评价方法和预期结果如下:检测方法:在终端上测试终端应用的资源占用情况.
预期结果:未出现长时间、无限制占用终端系统资源的情况.
升级智能门锁移动应用(APP)升级的测试评价方法和预期结果如下:检测方法:检查智能门锁移动APP是否提供软件的升级功能;检查智能门锁移动APP是否提供安全机制,从而保证升级的时效性(如自动升级、更新通知等)和准确性(如完整性校验).
预期结果:具备升级功能;更新过程中,采用安全机制保证升级的时效性和准确性.
多方交互安全智能门锁移动应用(APP)多方交互安全的测试评价方法和预期结果如下:检测方法:采用动态调试技术,验证多方交互过程中的主要信息交互;采用协议分析技术,分析并验证多方交互过程中的数据和信息交互.
预期结果:具备防范客户端信息泄漏的有效措施,特别是用于验证身份的重要信息(例如token、key等)的泄漏防范;避免身份验证机制的缺失.
在多方交互过程中,各方对于自己收到和发出的消息,都需要进行身份验证,并有效地标识自身的身份;避免不完整的信息提示.
确保在交互过程中,重要信息完整清晰地展示给用户,保证用户的安全.
代码保护智能门锁移动应用(APP)代码保护的测试评价方法和预期结果如下:检测方法:采用静态分析和静态调试技术,验证智能门锁移动APP是否实施了代码保护技术,提取静态反汇编结果,在反汇编结果之上进行高层的语义分析,检测应用程序安全性;采用动态调试技术,验证智能门锁移动APP的代码保护强度和效果,同时对应用程序组件及其属性、权限使用、证书信息、文件类型等进行安全性检查.
预期结果:具备完整性检查机制.
应用程序应具备对自身代码完整性校验的能力,防止攻击者轻易地对程序进行篡改;具备防逆向分析的代码保护机制.
为了加大攻击者分析的难度,提高攻击者破解程序的门槛,应用程序应当使用混淆、加壳等保护手段,来防止程序代码被攻击者轻易地分析;具备防范进程注入的保护机制.
应用程序需要具备防止其他程序轻易进行进程注入的能力,提高攻击者注入的成本,从而保护自身的数据和逻辑不被窃取.
其他安全要求智能门锁移动应用(APP)其他安全要求的测试评价方法和预期结果如下:检测方法:检查智能门锁移动APP服务端是否在数据库或文件系统中明文存储用户敏感信息;检查是否存在Cookie中保存明文口令的现象;检查是否提供措施保障智能门锁移动APP与服务端之间的会话不被窃听、篡改、伪造和重放;检查智能门锁移动APP服务端日志是否涉及用户敏感信息;检查智能门锁移动APP服务端日志是否严格限制访问权限;测试开源第三方应用组件及代码是否及时更新补丁;检查智能门锁移动APP服务端是否存在高危风险安全漏洞.
预期结果:智能门锁移动APP服务端未在数据库或文件系统中明文存储用户敏感信息;不存在Cookie中保存明文口令的现象;采取会话保护措施保障智能门锁移动APP与服务端之间的会话不可被窃听、篡改、伪造和重放等;智能门锁移动APP服务端日志中未涉及用户敏感信息,或对录敏感信息进行了模糊化处理;智能门锁移动APP服务端安全存储日志数据,并严格限制日志数据的访问权限;开源第三方应用组件及代码及时更新补丁,不存在已公布的安全漏洞;智能门锁移动APP服务端不存在已公布的高危风险漏洞.
附录A(资料性附录)智能门锁安全风险分析安全风险概述根据智能门锁的组网体系架构,其安全风险可以划分为以下五个方面:智能门锁安全风险(针对智能门锁设备的攻击)、移动应用安全风险(针对智能门锁手机APP的攻击)、近场通信安全风险(针对Wi-Fi、ZigBee、蓝牙、433和315等通信方式的攻击)、网络安全风险(针对家庭智能网关和有线数据拦截的攻击)和应用安全风险(针对智能门锁云平台的攻击).
具体如图2所示:图2智能门锁安全风险模型安全风险分析智能门锁锁体安全风险控制单元及安全模块安全风险控制单元及安全模块主要面临物理探测攻击、环境压力攻击、固件攻击、调试接口攻击、拒绝服务、Abuse攻击、随机数预测、芯片模块通信中间人攻击、强电磁场攻击、安全启动等安全风险.
物理探测攻击风险智能门锁在工作时,应用数据会在各个模块之间传输,传输通过各个功能模块间的金属连线实现,攻击者对这些金属连线进行探测、监听,尝试在用户的会话期间或从先前的已经通过身份验证的用户中利用未受保护的残留安全相关数据(如生物识别数据和设置),以揭示/重建密钥等敏感数据.
甚至可以对金属连线上传输的数据进行干扰、修改,对智能门锁的电路结构进行物理篡改、操纵(包含故障分析和IC逆向工程),以改变其安全功能(硬件和软件部分),甚至导致其安全功能模块失效,进而泄漏敏感信息.

环境压力攻击风险智能门锁在外界环境条件发生变化时,比如采用低温攻击、非正常工作电源电压、时钟频率变更使门锁产生误动作或功能丧失.
固件安全风险设备固件代码恶意篡改攻击威胁,典型方式如植入木马、后门、二次打包应用程序.
该风险多发生在固件升级的过程中,攻击者可通过获得固件、解压、分析并进行篡改,最终远程烧录到设备上.
攻击者通过在固件中植入恶意代码,可以达到获取用户敏感信息和控制设备的目的,从而实现持续性影响,甚至可以毁坏设备的正常使用.
未对FLASH芯片读写进行保护,攻击者可使用FLASH芯片相应的编程器获取二进制数据;固件提取也是攻击者进行软件漏洞攻击的基础,良好的固件保护可以缩小攻击面,而针对固件的提取过程可借助错误注入手段实施攻击(电磁、电压).

调试接口安全风险攻击者有可能利用控制单元的调试接口,使设备重新进入测试模式,从而获取设备内部关键信息.
攻击者有可能使用伪造的身份,获取设备调试接口的控制权,对内部资源进行访问.
攻击者也可以使用调试接口刷入改动后的固件,在门锁中植入后门.
拒绝服务攻击风险攻击者可能通过远程或者本地攻击的方式,使得识别与控制模块对合法授权的用户不能正确识别,导致模块不能正常运行.
Abuse攻击风险攻击者可能会通过向认证者发送带有无效参数或无效命令的指令来滥用认证者功能.
通过智能门锁的响应来推断智能门锁的敏感信息.
随机数预测风险攻击者可能通过预测随机数的生成,或者通过改变芯片随机数模块的工作条件(如工作电压、温度等)来影响生成的随机数质量,甚至通过调试接口获取内部产生的随机数.
芯片模块通信中间人攻击风险芯片模块之间的通信存在中间人攻击风险,攻击者可以试图截取和重放,模仿授权用户的通信过程,从而通过身份认证.
强电磁场攻击攻击者通过外部的强电磁场发射工具,向门锁发出强电磁波干扰(俗称小黑盒攻击),电磁波在门锁内部耦合产生电压,可能触发门锁的误动作,包括但不仅限于触发开锁信号,驱动电机,触发MCU或识别芯片重启等造成误开锁.
安全启动风险智能门锁开机或唤醒时未采用启动认证,攻击者可预置加载非授权的攻击代码,绕过操作系统认证鉴权的攻击等.
生物识别模块安全风险生物识别模块主要面临伪造登陆及异物混淆识别、敏感信息修改、指纹信息错误接受、指纹识别模块呈现、指纹识别模块算法运行环境比对结果被篡改、指纹物理残留被非法采集等安全风险.
伪造登录及异物混淆识别风险攻击者可能试图修改截取或重放通信,模仿或生成授权用户的生物特征以伪装成合法用户并登录智能门锁.
例如攻击者通过简易指纹膜(导电性或非导电性)对无人值守门锁外露指纹模块进行表面贴敷,以覆盖少部分指纹传感器,后续如合法用户使用过程中并未发现该指纹膜可能利用算法漏洞实现伪造登录风险,即绕过授权指纹直接开锁.
原理为传感器区域表面发生破损或者表面存在异物(如指纹膜等)的情况下,传感器在采集信息时容易采集到夹杂异物特征的信息.
在合法用户继续用户使用一段时间后,异物信息有机会伴随正常的用户信息学习进识别模板,异物信息积累到一定程度时会替换掉正常的用户信息,使得识别模块无法正确识别出用户的特征,客户模板被恶意替换.
被异物信息替换后的识别模块,由于异物仍旧残留,非正常用户识别时就会出现认假的情况,从而实现识别模块的破解.
此外,2D人脸技术也存在伪造漏洞,人脸属于弱隐私信息,很容易获取,在打印照片后以特定角度攻击即可实现开锁,或采用相关图像合成软件也可以实现对于所谓活体人脸2D检测的欺骗.
敏感信息修改风险攻击者可能会尝试修改辅助资产,例如生物特征参考或其他与安全相关的系统配置数据.
典型攻击包括尝试修改生物特征识别系统用于验证用户的阈值级别,或尝试修改授权用户的生物认证数据(生物特征参考记录).
指纹信息错误接受风险由于指纹识别模块的设计缺陷(如指纹传感器的面积、指纹识别算法性能、以及比对判断阈值等方面设计缺陷),本应该拒绝的指纹错误地判断为可以接受,从而使未经过录入的手指可以通过正常的指纹识别流程开启智能门锁.
指纹识别模块呈现攻击风险不改变指纹识别模块的内部流程,仅通过对指纹传感器输入某些特定图像,使指纹识别模块执行正常的识别流程、但却做出错误的比对判断结果,从而造成非法用户开启智能门锁.
指纹识别模块算法运行环境比对结果被篡改风险指纹识别模块需将已录入的指纹图像转换为模板、并存储在非易失性存储器中(例如Flash存储器等),在指纹录入、比对过程中,软件环境的漏洞可能导致相关指纹敏感信息泄露.
针对指纹识别模块中指纹敏感信息的攻击,存在本地和远程两种攻击方式,其中本地攻击,可采用侵入式、半侵入式针对硬件模块或芯片进行攻击;远程攻击,由于智能门锁具备网络通信功能,攻击者可以利用网络协议漏洞远程获取指纹敏感信息,篡改指纹识别算法输出的比对结果,从而使指纹识别功能失效.
智能门锁的前面板如果机械强度不够高,有可能被破拆、钻洞、进而搭线,指纹比对结果传输至主控芯片的链路有可能被实施中间人攻击,即在传输过程中被篡改.
指纹物理残留存在被非法采集风险智能门锁合法用户的指纹残留存在被非法采集的风险,而被采集的指纹残留可被用于制作假指纹进而非法开启智能门锁.
针对残留指纹信息制作假指纹的种类可以分为以下几种:2D打印假指纹2D导电硅胶假指纹3D导电硅胶假指纹攻击者可以通过一系列的手段采集到识别器上残留的指纹信息,并且通过这些信息恢复用户的指纹,从而实现攻击破解.
密码键盘安全风险密码键盘主要面临密码偷窥、Overlay攻击、按键音分析、暴力攻击、密码硬件木马植入、密码云端存储及传输等安全风险.
密码偷窥智能门锁上的无遮挡密码键盘在输入密码时,周围环境被安装微型摄像头进行偷窥的风险.
Overlay攻击攻击者可在密码键盘上覆盖一层薄膜,以获取用户的开锁密码.
按键音分析不同按键声音可能不同,存在被窃听泄露密码的风险.
暴力攻击攻击者可能尝试使用暴力攻击的方法对智能门锁的密码、指纹、钥匙等进行攻击.
攻击者通过大量的非法尝试,暴力破解智能门锁的身份验证.
密码校验算法应该拥有完备的逻辑,当输入过长的密码,校验算法可以做正确的处理,不会触发崩溃,而使得程序出现异常.
密码硬件木马植入缺少主动探测的防拆机制,未采用工业设计手段保护硬件安全,存在安装物理木马设备窃取密码的风险.
密码云端存储及传输将用户密码敏感信息存储在云端可能带来更大的信息安全隐患,如网络攻击或传输过程中被截取等,因而对密码的存储与传输均有极高安全要求以抵抗黑客攻击.
门禁卡及读卡器安全风险部分拥有NFC功能的智能手机为方便用户推出门禁卡或门卡复制功能,该功能降低了对于低成本非CPU卡的复制门槛和技术成本.
低频卡复制低频卡内部因只保存一串唯一的序号,通过读写器读取序号写入空白ID卡即可完成非法复制.
高频卡复制当读卡器仅识别高频卡的UID作为身份识别信息时,非法用户可通过复制UID完成对门禁卡的复制;使用UID及密钥认证扇区作为身份识别信息时,当高频卡存在以下问题时可被复制:采用了默认密码密钥长度小于48bits造成破解时间较短采用了可被预测的伪随机算法生成密钥门禁卡信息推导门禁卡关键验证数据应该充分熵化,避免通过门锁型号,批号,出厂时间等外部信息推断出关键验证数据,也应避免通过同型号,不同智能门锁关键验证数据可以推断出其他智能门锁关键验证数据的情况.
门禁卡暴力攻击门禁卡鉴别应设置尝试次数,防止遍历ID等暴力破解攻击.
整锁物理破坏攻击智能门锁面板应有良好的物理防护性,防护性包括但不仅限于机械破坏防护,温度破坏防护.
应保持面板的完整性和隔离性.
智能门锁关键线路设备应该有充分机械强度防护和逻辑防护,避免面板破坏之后可以直接操控面板,导致开门.
智能门锁应该拥有防拆设计,非授权拆毁应该触发警报,防拆器应该在检测到门被拆毁以及防拆器本身被拆毁时发出警报,该警报应该被非断电易失存储器件保存,该警报的消除应该使用等同开门的身份验证.
通信协议攻击安全风险蓝牙通信安全风险蓝牙通信主要面临配对连接、鉴权认证、链路通信等安全风险.
配对连接由于认证器与智能门锁进行配对时,可能采用不同的蓝牙配对机制,当其中一方的蓝牙配对协议安全性较差或因为用户选用了简单的或不安全的蓝牙配对方式(如PIN码和Justworks方式),配对过程容易被分析或破解.
鉴权认证不同版本蓝牙协议,鉴权认证方式不一样,有的鉴权认证方式比较简单,容易被第三方截获或者破获;相同蓝牙协议存在不同的鉴权认证机制,这些鉴权机制的安全性不一,也容易造成安全隐患;链路通讯由于蓝牙通讯是无线通讯,因此通讯的数据是可以被侦听、伪造或干扰的,因此链路通讯风险体现在几方面:同频干扰(虽然有跳频机制,但是跳频机制是在连接时就可以获取的),造成通讯成功率降低或瘫痪;因不启动链路层加密,数据直接明文传输,这样数据可以被直接截获,或者数据被第三方伪造,插入攻击者的数据;链路数据加密的方式不一致,因此使得数据加密的安全性不一样,也造成数据攻击的漏洞,被攻击者截获数据;蓝牙芯片的加密算法运行不像密码芯片一样做了特殊处理,因此攻击者可以通过功耗分析等手段窃取加密密钥,破解加密的通讯数据;没有对关键传输信息进行签名,每次使用相同的密钥、相同的加密方式、发送相同的信息,无法抵御重放攻击.
Zigbee通信安全风险Zigbee通信面临鉴权认证、链路通信等安全风险.
鉴权认证在ZHA1.
2及之前的版本中,Zigbee有一个统一的KEY来保证不同厂家的设备能加入到同一个网络.
在设备入网时,使用这个KEY来加密NetworkKey,在这一时间点,能够被第三方截获或者破获从而得到NetworkKey;在Zigbee3.
0中,使用InstallKey的方式来修正了这一问题,但需要通过别的途径来传输InstallKey,可能会有风险被截获.
链路通讯由于Zigbee通讯是无线通讯,因此通讯的数据是可以被侦听、伪造或干扰的,因此链路通讯风险体现在几方面:同频干扰,造成通讯成功率降低或瘫痪;启用链路层加密,但仅采用AES128加密,密钥位数及强度不够;Zigbee芯片的加密算法运行不像密码芯片一样做了特殊处理,因此攻击者可以通过功耗分析等手段窃取加密密钥,破解加密的通讯数据.
Wi-Fi通信安全风险Wi-Fi通信面临被动侦听、KRACK攻击等安全风险.
被动Wi-Fi侦听蜜罐攻击:攻击者主动架设自己的AP,SSID命名为具有引诱性的SSID,吸引主动连接.
当你连接上后仍然可以正常上网,但是因为你的所有报文都会在攻击者的AP上中转,所以攻击者能做得攻击手段比被动侦听要多得多,在这种情况下,你的上网安全可以说处于极度危险之中,HTTPS/SSL也不可靠了,但这种攻击在设备连接中用得较少.
中间人攻击:攻击者可以通过技术手段模仿连接的AP向设备发送IEEE802.
11协议里的De-Association(解除关联)报文,设备就会被迫与正常的AP断开连接.
然后,攻击者会通过一系列手段将设备引导到他自己建立的AP上,而且这一系列过程中,设备无感知,期间始终可以正常上网.
也就是说设备可能会在不知不觉中被中间人攻击.
KRACK攻击KRACK(密码重置攻击,KeyReinstallationAttacks)是基于Wi-Fi的WPA2/WPA保护协议本身存在的缺陷,目前,除了禁用Wi-Fi以外,针对协议本身没有任何有效的防护方案.
WPA2/WPA是目前全球应用最广的Wi-Fi数据保密协议,根据WPA2/WPA的原有设计,一个密钥只能使用一次,安全研究发现,通过操纵重放加密握手消息(即:记录设备与Wi-Fi路由器间的通信数据,并重新发送出去)的动作,可以令已有密钥被重复使用.
由此,攻击者就获得了一个万能密钥,利用这个万能密钥,攻击者可以攻破WPA2协议,窃听Wi-Fi通信数据,破译网络流量、劫持链接、将内容注入流量中.

KRACK漏洞的可怕之处在于,它并不是某一个Wi-Fi设备本身的问题,也不是换密码就能解决的问题,而是安全保护机制本身存在的缺陷,绝大多数Wi-Fi设备都会受到影响,包括微软、安卓、苹果及基于Linux开发的设备.
值得注意的是,KRACK攻击对Wi-Fi设备本身并不造成影响,它绕过登录系统直接截取通信数据,也就是说,KRACK攻击者无需掌握你的密码,只要靠近Wi-Fi设备,即可通过KRACK攻击来获取或篡改你的Wi-Fi通信内容.

智能门锁软件服务及云平台安全风险终端软件服务安全风险终端面临的安全威胁众多,包括各类计算机病毒,木马、间谍软件、劫持攻击等软攻击及远程攻击手段,以获取账户的ID和密码,获取设备的访问权,控制权等,并侵入终端设备硬件平台、操作系统,窃取核心代码或者算法,破解密钥、加密算法,挖掘控制协议、后台交互逻辑漏洞,发现后台漏洞等.
进而实现暴露系统漏洞、对系统后台进行攻击、控制系统、劫持/控制设备、获取用户信息/机密数据等操作.
操作系统操作系统是应用及业务执行的基础,为其提供稳定安全的执行环境.
黑客对系统底层的劫持、伪装、篡改以出现非用户意愿的行为的执行,同时,操作系统也面临自身升级时的风险挑战.
控制安全智能门锁可与外围设备(如手机)连接,并授权合法设备对其进行操控.
黑客可对通过对两侧设备的侵入,以窃取账号,密码,数据等.
所以,需确保连接和数据传输安全保护,确保连接开启/关闭受控,连接建立的认证与授权、连接状态标识、数据传输安全保护.

业务(应用)安全业务应用安全风险主要来源于恶意攻击、敏感行为控制,以产生非用户意愿的行为,或虚假的设备状态信息.
同时要甄别是否存在业务应用漏洞,无未经授权的修改、删除、窃取用户数据的行为.
数据安全用户数据分为涉及设备合法授权及操作的信息,如账号、密钥、密码等;以及用户隐私数据,如使用设备的时间、地点、频次等,可溯源用户行为及人身安全的尤为敏感.
黑客通过控制设备,链路连接等方式以监听敏感数据,甚至是篡改,伪造用户数据.
所以,终端需保证用户数据的安全存储,确保用户数据不被非法访问、不被非法获取、不被非法篡改.

管理平台安全风险管理平台的安全风险是指可能对资产或组织造成损害事故的潜在因素.
管理平台的安全风险一般为外部风险,主要包括如下:身份假冒此风险的主体主要为非法用户,也有少量的合法用户,风险的客体为所有物理资产、软件资产和数据资产.
此风险主要是合法用户冒用别人的身份或账号进行一些合法操作,或者非法用户盗用合法用户身份或账号进行非法操作,这两种情形在冒用账号方面发生可能性比较高.

信息泄漏此风险的主体为非法用户,也有少量合法用户,主要是蓄意盗取敏感数据或泄露应该保密的信息,风险的客体为软件资产和数据资产.
这些非法用户利用社交等手段获取系统软件或应用软件的配置数据,以便为后面的破坏做好基础,或者直接骗取业务敏感数据,此风险较为隐蔽,利用的手段较多.

数据篡改此风险的主体为非法用户,客体为数据资产.
篡改是在未经授权的情况下更改或删除资源.
数据在传输中(以物理或电子方式)和存储时都会受到此风险.
例如,未受保护的数据包可被截获和修改,或者数据可因为攻击者利用缓冲区溢出执行的恶意代码而损坏.

拒绝服务此风险的主体为非法用户,主要是故意破坏的攻击者,风险的客体为软件资产.
此风险一般是内部的破坏者针对内部应用系统的有效攻击方式,发生可能性较大.
外部的攻击者针对公开服务的各种系统都有可能进行攻击.

数据窃听此风险的主体为非法用户,风险的客体为软件资产和数据资产.
非法用户通过窃听手段窃取系统软件和应用软件的系统数据及敏感的业务数据,为了达到攻击和入侵系统的目的,攻击者一般都会进行这方面的尝试.

恶意代码此风险的主体可以视为系统问题,也可以看作系统外部人员的恶意行为.
但是恶意代码往往不是有针对性的行为,可能是其它软件或系统漏洞引发的结果.
风险的客体为软件资产和信息资产,目前有些恶意代码也可能威胁硬件资产的安全.
系统感染病毒的可能性较多,但也有可能被非法用户利用漏洞安装恶意代码,此风险的可能性与系统的防病毒体系建设和安全漏洞的严重程度有关.

不合理的配置此风险的主体为非法用户,主体为操作系统、应用软件和TCP/IP协议.
大多数系统软件和应用软件为了方便用户,初始安装结束之后,存在一些默认的用户名、口令和开放的服务端口.
这些配置往往会被攻击者利用,造成网络瘫痪或机密被窃取.
另外,TCP/IP某些协议存在一些漏洞,非法用户可以利用此漏洞进行入侵系统,获取管理员的权限.
这些风险发生的可能性适中.