智能门锁移动互联网安全风险及加固策略的研究

日期:2019-03-26 18:50

近年来,智能门锁市场发展迅速。。 随着物联网时代的到来,各行各业都在寻求智能转型。 智能门锁逐渐成为公众关注的焦点。 智能锁市场的巨大增长空间不可低估,但作为保护人身和财产安全的重要环节,随之而来的安全性也成为智能锁发展的关键。。

智能门锁应用中的主要风险及发展趋势

智能门锁是对传统机械锁的改进后端信息系统没有检查数据包中的重要访问控制参数,导致未经授权的操作 其核心功能是“无钥匙开锁”目前智能门锁的标准侧重于机械安全和功能安全,安全问题亟待解决 联网后,可以分配解锁权限,获取门锁状态,并与其他设备连接该指南规定了智能门锁系统的体系结构,并规定了终端安全、智能钥匙安全、云服务平台安全、客户端安全、一般安全、智能门锁安全等具体内容 基于这四个功能,它还具有许多特定的功能相关安全要求包括: 根据物联网平台应提供连接管理和设备管理等功能,主要涉及设备访问安全和设备数据管理安全,包括:0作为设备数据和用户数据的统一存储和管理平台,云服务基础设施平台应包括数据安全、信息安全、管理安全和个人隐私保护安全8年的调查数据,已有智能门锁的核心部分(固件+应用程序)受到保护,以确保核心密钥和业务逻辑不会被攻击者反向破解,从而确保智能锁不受攻击000多家企业进入智能门锁领域数据保密性数据传输安全性 2019年,整个智能门锁市场将超过2900万台,到2020年,整个智能门锁市场将超过为了防止客户的敏感数据被盗,客户应进行数据保密设计,包括:000万台,市场规模将达到400亿台,未来发展空间巨大认证和加密能力经过多年的研究和实践,结合智能门锁的应用场景特点和安全隐患,对多维安全性进行了分析和研究

数据来源:全国锁业信息中心

资料来源:国家锁业信息中心

根据客户的分类,智能门锁分为家庭智能门锁和公寓智能门锁终端固件和应用程序代码的虚拟化保护 家庭锁的客户是中国居民家庭,公寓锁的客户是中国长期和短期租赁公寓的主要经营者虚拟化实施 “公寓”的口径是由B端(商户)经营的所有出租住宅,包括集中式和分散式公寓随着物联网、5G等技术的快速发展和智慧的深化,智能门锁的普遍应用将是大势所趋

智能门锁移动互联网安全风险及加固策略研析

智能门锁功能的实现主要包括智能门锁设备、智能家庭网关、手机应用、云服务等组件。根据功能分层,可分为感知层、传输层和应用层,其中传输层和应用层技术是现有的互联网技术。感知层的用户身份认证方法主要包括固定密码、临时密码、指纹、掌纹、人脸、射频识别、NFC和应用程序等。近场接入技术主要包括WIFI、蓝牙、Zigbee、4( 1 )用户识别漏洞为了确保数据在传输过程中不会被篡改,客户端应该使用关键技术对服务器发送的数据的完整性进行签名Mhz和通过前端代码收集包,收集源代码,代码通过LLVM-IR虚拟化,最终编译成适用平台的可执行文件1当智能锁以无线方式解锁或与密钥分发等敏感数据交互时,通信双方应进行认证,以防止敏感数据被泄露或高德娱乐主管篡改,并应遵守本指南的相关要求MHz等。

智能门锁移动互联网安全风险及加固策略研析

根据对智能门锁功能实现相关主要组件的分析,其安全风险可分为以下五个方面:

( 1 )智能门锁的安全风险(对智能门锁设备的攻击);

( 2 )移动应用安全风险(对智能门锁手机应用的攻击);

( 3 )近场通信安全风险(对WIFI、ZigBee、蓝牙等通信模式的攻击);

( 4 )网络安全风险(对家庭智能网关的攻击和有线数据拦截);

( 5 )应用安全风险(对智能门锁云平台的攻击)。

对移动互联网相关安全风险进行进一步的风险分析和案例分析,主要包括以下几个方面:

1。移动应用安全风险

移动应用程序中存在各种常见的安全风险,例如:移动应用程序代码或固件中使用固定的加密和解密密钥;移动应用程序代码不使用强化和混淆技术使代码完全反转,从而理解和破解解锁机制,然后构造攻击控制指令。 开发人员留下的代码BUG问题可能会导致绕过相关权限的验证。 移动操作系统中存在相关漏洞,导致植入恶意代码来控制手机攻击。 移动应用与设备之间的认证问题。如果移动应用程序和设备之间的认证过程存在缺陷,很容易导致中间人攻击。e。伪造一个假的移动应用程序与真实设备通信,达到欺骗的目的,然后实现攻击。

攻击者利用智能门锁对应的应用程序的这些漏洞或缺陷绕过智能门锁、应用程序和云服务预设的逻辑,实现未经授权的解锁操作。

2。网络通信安全风险

一些智能门锁通过WIFI信号直接连接到互联网,而其他通信模式门锁在连接到相应网关后也通过WIFI信号连接到互联网。与此同时,在家时,手机应用程序也通过WIFI连接到智能门锁和云服务器。考虑到大量智能门锁通信协议采用明文传输或存在lo。

3。密码的复杂性不受限制,非法登录次数不受限制,用于重置密码的短信验证码是本地生成的或者存在于返回的数据包中

( 2 )访问控制漏洞。

还有一个允许根权限命令执行的远程代码执行漏洞

重要回复消息被劫持。( 3 )云管理平台系统存在网络安全问题。智能门锁云管理平台中也存在常见的网络安全漏洞,如: SQL注入、任意文件上传、无效认证和回复管理、跨站点脚本攻击、不安全的直接对象引用、安全配置错误、敏感信息泄露、缺乏功能性访问控制、跨站点请求伪造、使用存在漏洞的组件以及未经验证的重定向和转发等。

智能门锁安全加固相关政策标准

智能门锁是一种由信息技术控制的锁,其接口复杂。

对于不同的组件,它们面临的威胁不同,面对威胁的目的也不同,设计中需要实现的安全功能也不同

此外,针对市场上智能门锁的痛点,有必要加强智能门锁的安全性设计,关注移动互联网应用的安全性,选择合规云服务提供商,关注个人信息保护需求,关注定期评估和漏洞修复的响应机制。。。目前,智能门锁的渗透率相对较低。

在这方面,国家颁布了信息安全和其他保障2。0等国家标准从技术要求和管理要求两个维度进行统一的安全部署要求,在《第三部分移动互联网安全扩展要求》中,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面详细阐述了移动互联网相关的安全要求。。。2018年底,国家知识产权委员会正式发布了《智能门锁安全技术在建筑和住宅领域数字技术应用指南》。

智能门锁移动互联网安全风险及加固策略研析

。。智能门锁系统架构图。

智能门锁移动互联网安全风险及加固策略研析

1

云服务基础架构平台的安全要求

1。2

物联网平台安全要求。

2。( 1 )智能锁与物联网平台之间应采用安全传输协议;

( 2 )物联网平台和业务平台之间应支持HTTPS双向认证,以确保传输安全;

? ( 3 )智能锁与物联网平台之间应支持身份认证机制,以确保合法设备的访问;

( 4 )具有抵御流量攻击的能力,外部接口具有入侵防御能力;

( 5 )支持主机入侵检测HIDS机制

3

数据完整性

3。。

4。

4。( 1 )

应采用加密技术,以确保敏感数据在本地存储时的机密性

( 2 )? 应确保客户端中的敏感数据不会被其他应用程序操作读取;。

( 3 )? 通信过程中的敏感数据或整个信息应加密和保护

( 4 )? 这。

。? 5。

5。。

具有数据存储和设备管理功能的通信设备应使用硬件安全模块进行加密计算。

6。至少,它应该支持国家机密算法和可选的国际算法

。。智能门锁移动互联网安全加固技术及政策建议。

以国家政策、行业标准和规范为指导,结合公司技术研究,提出智能门锁移动互联网安全加固策略建议,包括:

1、云端保护策略。安全保障需要多环节共同实现

从智能门锁功能的主体建设入手,云端整体安全加固方案的建设是实现安全目标的关键

。。2。

2。传统的安全加固只能应用于黑盒应用(

apk /。Ipa )状态应用程序为安全加密,凯维虚拟机虚拟化源代码来自基于LLVM的源代码编译阶段,可以应用于各种平台和架构,换句话说,只要研发平台可以使用LLVM编译器,就可以使用凯维虚拟机虚拟化加密作为源代码。只有这样,凯维虚拟机才能同时对固件和应用程序进行安全增强,从而保护二者免受反向分析和攻击者破解。。。3。

3。虚拟化实施流程图

以多维安全技术产品的部署为例,公司自主开发了基于LLVM编译器的全平台、全架构凯维虚拟机虚拟化保护方案技术,并使用白盒密钥保护技术产品进行数据传输安全强化,确保通信的完整性和保密性。

虚拟化实现流程图

通过终端应用强化技术产品进行代码加密,确保应用数据的完整性和保密性;通过部署防御软件开发工具包进行检测、资源控制等

。。 结论。

然而,智能门锁作为关系到人身和财产安全的一个关键点,其安全性仍然面临诸多挑战

2019年将是各方继续加大投资力度、智能门锁行业崛起和场景登陆持续发展的关键一年。通过政府引导和产业链各方的深入合作,以下将进一步共同推进智能门锁标准化,确保安全环境建设,促进产业发展。。。。