下载掌阅APP,畅读海量书库
立即打开
能想到做智能门锁安全工作的大概时间点为如下:
图 204
在那年,应该是新开展了智能门锁业务不久,大家都懂的:新开展的业务大多是ODM代工。
大品牌的新开展业务先进行代工会有很多好处:
●站在前人的肩膀上;
●行业进入快;
●研发成本低;
●质量管控也还行。
但也有很多弊端:
●质量只能算还行,质量天花板取决于代工厂,要突破其质量标准,就要花人力驻场;
●包括技术在内的各种能力不会有积累;
●会拉低做得好的其他品类(比如电视机)的用户品牌感;
对市场新要求缺乏敏感度,比如有关部门下发的各种要求;
图 205
代工厂可能有收到但不会主动通知品牌方,品牌方有收到但很难提升代工厂的质量标准,特别是安全质量,有时候没有是没有那个能力去提升,所以当产品真收到这样的通知,正好电视机那边已经搞安全一段时间了,事情也就落到头上了,而此时还收到一个门锁的安全评测,说有问题。
当时,各个地方各种检测机构都会对门锁进行检测,大家一致想打开门锁网络安全行业,各个检测机构都对智能门锁进行网络安全摸底,所以摸出很多问题,其中的一份截图如下:
图 206
这是一次当时发生的检测报告(报告内容只是示意图,不是真实情况),这个报告最早是发到广州分公司的,然后兜兜转转到了笔者手中,而再把报告给了门锁产业,后面就需要讨论解决方案,特别是门锁安全后面怎么做。
在拿到这个报告的不久,应该是江苏浙江那块,也有新闻稿报了门锁网络安全的事件,而这促进了工作重心逐渐从智能电视安全到门锁安全。
作为在当时来说的一个新兴产业,很多标准还不完善,各大机构也想抢先确立其江湖地位,所以会广发邀请函给有做门锁的企业制定团体标准。由于已经在处理评测问题了,所以也就收到了参编团体标准的邀请函。
而在当时的以前,个人还没有代表公司参加各种团体标准,出席各种演讲或其他会议,这可能是第一次。
图 207
这是某个金联盟的会议,应该是第一次在外面抛头露面了(还有就是参加家电院的智能电视团标的制定,不记得哪个比较早了),开始参加时比较拘谨紧张的。
不过说到这个团体标准呢那是槽点多多。
参加该团体标准的制定也带来了些收获。
●为以后制定内部的门锁安全规范提供了范本,把团体标准内化为内部标准了;
●快速建立起了对门锁安全的认知。
而更全面更深入地认知门锁安全是参加电子五所的一次培训。
图 208
印象非常深刻的是:这堂课开始就播放了一个如何用除了钥匙外的各种工具开锁的视频,在安全人员的眼中,智能门锁看起来很不安全:智能门锁的安全级别一般会比较高,用的锁芯都会是C级以上,但在专业开锁面前,还是一秒破防。
这堂课包括评估技术、攻防技术、安全开发技术、通信安全技术等内容。
这是本人正式参加的培训里涉及的范围比较广比较深的一堂课,大多也是团队管理者需要了解的,算是体验还比较好的,后面的各种安全培训,就没有报名参加,应该都差不多;大多都是渗透方面的培训,对于管理者来说肯定没法了解那么深入。
通过以上事情,建立起假如要发展智能门锁业务,那么就需要搞门锁网络安全的认知。
通过以上事情,建立起门锁网络安全的初步理解。
但最终在门锁持续的深耕却是给领导报告工作的时候,领导想让安全在门锁上成为竞争力,能够有网络安全的好卖点,这就不仅仅是解决问题了,而是需要技术领先了。
图 209
最初是凭感觉画这个雷达图的,而这个分类的想法延续到后面的很多策略上。
对于各类家电的安全想法就是:
●智能门锁对于安全要求肯定最高,但包括自身在内的业界水平都还比较低;
●GDPR和CCPA对于安全的要求也没那么高,以此大概为及格线,自身距离已经不远;
●常规联网家电的安全要求是最低的,虽然实际情况大都在裸奔;
●带支付的家电要求也蛮高的,但第三方支付模块自身安全度很高,所以自己研发的支付家电就要重点提升安全度;
●带AI语音家电的安全度要求其实不高,重要的是对语音和控制指令的管管控;
●带摄像头的家电要求只比门锁低一点,摄像头涉及的隐私信息比AI语音敏感多了。
基于上面的判断,基本可以认定必须搞智能门锁安全,包括安全技术;当然,还缺了一些实际资料的支撑,所以接下来需要寻找当时可能的门锁安全标准。
智能门锁的信息安全或者网络安全的标准,在当时甚至直到现在可谓百花齐放,大家都想在这块制定相应的标准,但大多影响力只在一定范围。
图 210
所有的门锁标准估计都会以国标GB21556 为权威,其是开始,也是结束。
国家强制标准比较少,GB21556 是其中一个标准,在 2008 年制定的时候,肯定没有考虑到还有智能门锁这种需要网络安全的形态,原本计划在 2023 年进行更新但好像并没有。
GA374 是一个强制标准,它不是国家标准,是公安部标准,应该算是行业标准吧,这点很奇怪,业界更多的是强制执行GA374 而不是GB21556,并没有听说GA374 会把智能门锁的网络安全信息安全内容加进去。公安部还有一部GA701,这部就比较少听说过了,日期比较久远。
至于各个行业都会有各自的团体标准,只影响到这个团体内部的公司,比如ICA/T的一系列标准,都是*里牵头制定的,在当时会影响门锁上天猫的时候,会给一个喵注的标志,至于用户购买门锁有没有看喵注就很难说,反正很少注意到。
在全国信息安全标准技术委员会TC260 有一个标志,是公安三所牵头的,叫《智能门锁安全技术要求和测试评价方法》,在 2019 年就开始制定了,一直想发布实施,但好像是由于GB21556 要更新进信息安全的内容而迟迟没有发布,因为GB21556 是强制标准的。需要和其对齐。
以上所述,很难能拿出一部最权威的智能门锁网络安全的标准作为准则,指导智能门锁网络安全的建设,但可以从测试单位的测试报告中提取评测依据作为参考。
由于智能门锁安全技术标准在当时(2020 年初)并没有出来,前面提到的收到的门锁评测标准一般都是使用其他的标准作为依据,比如:
GB/T 35290-2017《信息安全技术 射频识别(RFID)系统通用安全技术要求》
GB/T 35273-2017《信息安全技术 个人信息安全规范》
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护技术要求》
JG/T 394-2012 《建筑只能门锁通用安全技术要求》
而使用这些标准评测出来的报告也能作为依据报送给质量监督局。
所以当时的结论是:参考这些标准和第一次团标标准,内化成自身标准作为指导智能门锁安全建设的标准;为了过国家标准,产业需要了尽早布局智能门锁的安全技术研发。
当时智能门锁这个行业对于信息安全技术,网络安全技术的认知程度比较浅,产品中能够带安全芯片的就算对信息安全有所追求的了,而这也局限于头部企业。
当然,就算到现在,头部企业也就放安全芯片的锁多了些,可能并没有深入研发其系统软件,理由就是并没有多少款锁能通过CCRC认证,作为基准的带信息安全的国标还迟迟未出。
图 211
安全方案主要集中在以下三个。
●某家安全芯片:这往往是接入某家生态,满足其要求,而且听说其安全芯片比较便宜。
●某里的ID2:某里的ID2 主要的影响是上其电商平台有个特殊标志,门锁厂家好像只需要出安全芯片的费用就行,某里的密钥费用可以用几年,几年后就要收费。
●Nxx安全芯片:一般是想自己搞安全方案。
接入人家的方案,那么根密钥肯定掌握在人家手中,接入某里的ID2,根密钥是在某里那里。只有接入传统的安全芯片,才能烧入自己的密钥,把安全的根掌握在自己手中。但据了解应该还没有门锁厂家自建根密钥系统烧入自己的密钥,都是安全芯片厂家自己的密钥。
自己搞密钥管理系统、搞统一安全技术架构,在智能门锁中已经属于比较领先的了。(查看本节后面以及第 8 章的密钥管理系统)
智能门锁的认证应该有很多,但在当时参加了这两个机构的一些培训和论坛,所以对他们比较了解,主要也是因为近,就在广州。
图 212
一直和电子五所有合作,往后的门锁会首先去赛宝那边拿一个认证作为背书,而后面的认证单位和某里合作,是瞄注的认证之一,有普通级和增强级两个级别。
认证公司依据的标准一般是国家标准,不管是强制标准还是推荐标准,假如没有国家标准,就会和某个团体合作制定该团体标准,然后以这个团体标准为基准,也有用自己制定的内部标准的。
还有一个就是公安部的认证,一般通过的是公安部发布的标准,比如GA374。
业界采用了 3 种成熟的安全芯片方案,正好某里的ID2 来上门推荐(不记得有主动叫)就基本只关注了该方案。
什么是ID2 呢,官网是这样说的:x里云Link ID 2 (Internet Device ID),是物联网设备的可信身份标识,具备不可篡改、不可伪造、全球唯一的安全属性,是实现万物互联、服务流转的关键基础设施。
图 213
原理过程如下:
①门锁厂家的门锁云服务,先要和ID2 的云服务交互,获取一个随机数;
②门锁云服务接着会把这个随机数发给门锁终端;
③门锁会从ID2 的SDK获取认证码和ID;
④然后整个系统就一路上传,把这个认证码和ID上传到ID2 云服务器;
⑤由于随机数是ID2 云服务器生成的,有时间限制,而且传输通道也是加密的,保证整条通路的安全性,至此,ID2 云服务器就认证了门锁终端的合法性;
⑥门锁服务器还会带上自己的会话密钥给ID2,ID2 因为认证了门锁终端的安全,也就认证了门锁云的安全,所以就把门锁云给的会话密钥用自己的私钥给加密了;
⑦门锁服务就把ID2 加密的会话密钥下发给门锁终端(可以带上会话密钥的签名,保障其真实性,防止被ID2 服务器给替换了);
⑧门锁终端就用ID2 的SDK解密出会话密钥;
⑨然后再验证会话密钥的签名;
至此,一条连接三方的安全通道就建立起来了。
这个方案断断续续地进行着,但可能由于几年后要收费,也由于后面已经自建密钥管理系统始终没有完善。
该原理和画法指导了后面很多的安全通道的建立,从后面的篇章内容不止出现一两次就可以看出。
一直想建立物联网的安全实验室,所以在最初的制定《智能门锁安全规范》的基础上,结合一段时间收集整理的《门锁安全技术与卖点》而制定了《软件系统安全等级评估准则》,并且还制定了证书模板,看起来很正式。
图 214
实验室的想法在 2019 年底就想做,到了 2023 年还没有实现。安全等级评估准则也就内部试了两三次,随着业务与领导的意见而没有采用。因为一直作为运动员去解决安全问题,满足业务需求,并不具备裁判员资格进而给产品发证书。
不过这个等级评估准则也指导了开发领先门锁的工作,比如试图建立门锁安全框架。
依据内化的准则的情况总觉得建立评估实验室有点无法进行,最终还是回到擅长的领域:就是建立智能门锁安全框架了,从建设者的角度增强门锁的安全。
图 215
现在来看,当时制定的这三步走看起来是多么宏大而不切业务。
经过几年零星的投入和努力,感觉连满足在制定的国标《智能门锁安全技术要求和测试评价方法》的基础安全架构都没有达到,而对应的国标增强级的增强级安全架构就更加达不到。
至于长远目标是门锁整体的安全等级要达到EAL4 +就更加镜花水月,而且当时并没有智能门锁对应的PP。
现在看来,智能门锁的某个模块才有可能达到CC认证的相应级别。(CC认证的详细内容在第 6 章)
尝试制定评估准则建立实验室很难完成,尝试建立安全技术框架需要契合业务研发,那么开发门锁检测平台就现实得多。
因为市面肯定是买不到门锁安全检测软件的,而开发出来的安全技术也需要检测才清楚落地和运行情况。
图 216
测试平台及其测试方法只能逐渐积累,并且把测试方法、测试参数、测试步骤逐渐沉淀在平台上,才能够逐渐建立这样的护城河,但从零开始搭建的检测平台由于人力投入的问题,1 年肯定搞不定,有可能必须 3 到 5 年。还好前面有建立过智能电视检测平台可以参考,但门锁软件系统和智能电视很大的不一样,而业务方,一年没有盈利估计就面临裁员下台,就算是盈利也面临各种岗位调整,所以持续的建设安全检测平台的前途是未卜。(检测平台技术内容见第 8 章)
凭感觉给当时的门锁安全水平做了个评估,可以看到安全水平太低,还有很多工作需要做。
图 217
到最高点的标准可分为以下三条。
●安全软件系统:EAL3 或者水果机。
●安全开发环境:ISO27001,ISO27701。(组织安全在两年后通过了认证,见第 7 章)
●安全渗透技术:能破解水果机或者知名网站。
基础安全的水平虽然看起来不行,但建设大多也看不到摸不着,很难体现其显著价值,进而很难体现在各种绩效中,很难申请到预算,所以在后续的汇报中,被指示需要和产业对齐,给产业打造安全卖点,能够立时给产业带来卖点才行。这个指导思想从此以后始终持续着指导着门锁安全的工作,所以参考“安全技术与卖点”(未写出来)写了个PPT,先找领导对齐想法,进而找业务兜售规划的 8D买点。
正好在发布新闻发布会,宣传新智能门锁的安全特性的时候,提出了“5D安全防护技术”,就想在这上面能不能搞点下一代,比如 6D、7D之类的,因为产品是站在他们的立场上提出了概念,但最懂技术的还是研发嘛,至少比产品的懂。
假如帮他们想卖点,他们应该很乐意吧。
图 218
当时宣传的 5D的安全防护包括:
●物理安全技术;
●生物安全技术;
●信息安全技术;
● AI安全技术;
●物联安全技术。
在一个懂技术的看来这些技术特点还是有点牵强,因为缺乏合理的推导或数据支撑;在技术背景、有规划经验、在搞安全来看,网络安全主要还是数据安全。那么可以从数据的产生开始推导规划智能门锁应该具备哪些安全技术、安全科技。
注:本节内容肯定还参考了其他已有的成果,不一一赘述。
(1)智能门锁在使用的过程中会产生的数据
●指纹数据
●密码数据
●人脸数据
●IC卡数据
●临时数据
●设备数据
●电子信号
●弹珠数据
图 219
(2)有人去开锁关锁会产生的数据
●假如用钥匙开门,那么对应产生的就是锁头里的弹珠数据;
●假如用手指去开门,那么就会产生指纹数据;
●假如用密码开门,那么就会有密码数据的产生;
●假如用人脸去开门,那么就是产生人脸数据;
●假如是用IC卡去开门,那么就是产生IC卡数据。
(3)只要数据的产生,就会有泄露的可能性,对应也有其安全方案
●弹珠数据的安全方案就是几级锁芯,智能门锁一般都用C级锁芯,这很安全,国标有。
●指纹数据的威胁在电视剧里面经常演的拿胶纸一贴,指纹就出来了,而更加成熟且安全的方案是指静脉。
●密码数据的安全方案是虚位密码,就是加入前后数字进行混淆,方式其实并不太人性化,自己的智能门锁就从来没用过虚位密码。
●人脸数据的威胁是找一个打印的人脸就能开,所以方案集中在如何判断是一个真人:有温度,是立体,能动。
●IC数据数据的威胁是IC卡能被复制,或者IC卡会丢,那么方案就是怎么保密IC和重置IC卡。
(4)第 1D的智能门锁安全防护技术
在这里,把指纹数据安全、密码数据安全、人脸数据安全、IC卡数据安全、临时密码数据安全统称为识别安全技术:第 1D的智能门锁安全防护技术。
这里的安全技术其实更准确应该叫安全水平,但在市场上,叫技术更加高大上有水平。
(5)识别安全技术的维度进一步可拆分
识别安全技术可拆分为密码安全、识别卡安全、指纹识别安全、人脸识别安全、临时密码安全等,更多的开门方式意味着更多的数据产生。(更多开门方式见后面)
这些特征是用户能够感知到的,也容易想到的,所以是门锁企业一直推广的安全卖点。
接下来进入用户看不到的,可能也是门锁厂家想不到的或者不想想的,因为要体现在卖点上确实比较难的安全特性。
(1)第 2D的智能门锁安全防护技术
智能门锁具备有通用的智能电子设备的结构。
图 220
只要是智能设备,就必须有软件系统,而软件系统肯定是运行在电路硬件的SOC里的,电路硬件一般都会有外壳,而智能门锁的外壳是门锁安全的保障,这里包括锁芯,外壳假如被拆了,那么锁芯就暴露了,锁芯暴露了,那么一切安全措施都白搭。
现在的很多非法开锁方式还是从如何搞定硬件结构开始。
对于外壳和锁芯的安全防护技术,可以洞察到大家还是比较成熟的。
图 221
把这些抽象为保护弹珠数据都统称为物理安全技术:第 2D的智能门锁安全防护技术。
(2)第 3D的智能门锁安全防护技术
现代的智能门锁上面都会有电子电路,而这些电子电路会受到电磁干扰、信号干扰等各种干扰而导致运行不正常,进而导致锁头运行不正常。
电气安全技术除了下面这些,应该还有更多才对,比如对供电系统、对电机系统、对CPU的运行等的干扰而引起问题的防护措施等。
图 222
可能民用对电气的破解技术还不够深入导致缺乏相应的安全措施。
把为保护电子信号、电子层安全的措施都统称为电气安全技术:第 3D的智能门锁安全防护技术。
(3)第 4D的智能门锁安全防护技术
智能门锁的核心是有软件系统,在软件系统上可运行各种功能,可处理各种数字数据,包括指纹数据、人脸数据、密码数据、IC卡数据、系统数据等数字数据都会存放在软件系统中。
图 223
而软件系统面临的软件渗透方式非常多,如逆向分析、软件漏洞、网络端口等;
特别是智能门锁企业原本都是传统企业,一般缺乏了对软件系统网络安全的认知,国家级相关标准又迟迟没有出台,这导致门锁的软件系统大多在裸奔状态,而威胁软件系统最简单的方式就是从软件系统与外界的联系入手,比如调试端口、网络端口、工厂模式、系统升级等。可以从洞察市场所宣传的智能门锁安全中看到,大多企业并没有对智能门锁软件系统做足够的安全防护。
把为保护关键数字数据的软件系统安全措施都统称为系统安全技术:第 4D的智能门锁安全防护技术。
系统安全技术的维度进一步可拆分为:系统启动、模块运行、数据存储、固件升级等。
只要是智能设备,就可能需要和其他联网设备进行交互数据,而智能门锁是整个智慧家居的重要组成部分,其安全性的要求也是最高的。
图 224
●智能门锁是入户的第一道关口,而近场距离的传输是门锁的第一道关口;
●近距通信包括但不限于蓝牙、Wi-Fi、ZIGBEE,NFC等;
●目前门锁近场通信最重要的连接端是手机和路由器;
●只要有通信,就会面临被监听、嗅探、重放等攻击威胁。
把为保护数字数据的近距离通信的安全措施都统称为物联安全技术:第 5D的智能门锁安全防护技术。
物联安全技术的维度进一步可拆分为:接入安全、蓝牙安全、局域网安全、ZIGBEE安全、NFC安全等
可能传统门锁厂家认为搞一个安全芯片,安全就做到位了,但实际上并不够,安全芯片只是具备了做智能门锁网络安全的条件,就比如给了一把刀就能杀猪了吗,明显不是。
图 225
从各家的宣传上看,安全芯片用在蓝牙通信、NFC通信这些地方,大多是因为采用的是别人提供的这些模块,这些模块里面自带了安全芯片。
而安全芯片是刀,它可以用到的地方不止蓝牙通信、NFC,还有非常之多的地方需要深入使用。
实际数据的控制在很多地方都会有,比如运营商在云端的控制,但对于用户实际感受来说,最大的数据控制来自手机控制。
图 226
通过手机可以查看和接收门锁的各种状态,设置门锁的各种配置,甚至开关门锁等,而手机是通过App,也就是应用来承载这些功能的。
这里的保护数据的控制特指应用安全技术:第 6D的智能门锁安全防护技术。
应用安全技术的维度也能进一步拆分为:接入安全、传输安全、存储安全、升级/安装安全、运行安全等。
应用安全技术在第 4 章有更详细的描述。
(1)整个智能门锁系统安全中,后面的几个安全特征才是最重要的
图 227
智能门锁接入互联网是智能化的重要标志,以前没有接入互联网的叫电子门锁,但接入互联网就会有威胁,就会有相应的安全措施,比如是否建立双向认证的通信通道、是否采用更新版本的HTTPS通信、是否存在远程控制端口、是否存在远程的终端安全服务等。
这里把保护数据的互联网通信的安全方案叫网路安全技术:第 7D的智能门锁安全防护技术。
(2)网路安全技术维度的进一步拆分为:接入安全、传输安全、远程控制安全等。
(3)各家安全芯片属于哪类技术
图 228
●从各个厂家的广告来看,采用某里ID2 就是网路安全技术的一种。
●某家的明显是物联安全技术:蓝牙通信内容加密;
●NFC芯片是深度保护用户信息,也就是数据存储安全,属于识别安全技术或者系统安全技术。
物联网最关键最应该建设的安全其实是云端安全技术(这和第三次战略规划中的洞察吻合)。
图 229
因为云服务收集了该品牌所有智能门锁的信息,还有可能保存所有用户的指纹、人脸、密码等数据,提供了门锁的各种云端服务,特别从云端还可能能够直接控制着门锁,所以是最重要的,但也是用户最感知不到的,当时给产业大领导讲,他也不懂可能是不想懂,所以报告里面并没有再详细细分。
云服务安全在国内最通用的做法就是通过等保三级的认证,但在门锁产品上是不够的。因为云端服务会时时刻刻更新、运营会时时刻刻进行,而等保三级一年才重审一次,对里面的流程和管理也难于监督是否执行到位,所以对于智能门锁服务云端必须时时刻刻有人在安全运维,监控安全情况,渗透其安全性才行。
这里把对存储门锁大数据、提供云服务的云端的安全措施叫云端安全技术:第 8D的智能门锁安全防护技术。
智能门锁的安全卖点宣传上很少看到有其云通过等保三级认证的宣传的。
云端安全技术并没有出现在兜售报告中,出现在其中是AI保护技术,该名词继承了已宣传的卖点中的“5D安全防护技术”,而AI保护技术本质就是数据的应用。
图 230
各个门锁企业对包括如何使用智能门锁的各类数据让用户感觉更加安全的应用是越来越擅长的,这能给市场带来科技先进感,也能给用户带来实际的安全体验,特别是智能化未来科技的趋势。
所以这里把数据的安全应用叫AI安全技术:第 9D的智能门锁安全防护技术。
中华传统文化里,九是极数,就是最大的数,也没想到从数据的一生推导出来的安全技术就是九维,这是巧合也是必然。
而且从第 1D的用户能感知到的安全,到第 9D也是用户能感知到的安全,这又是一个回归。
要衡量安全需要维度,还需要深度,对于深度可以使用雷达图来示意距离领先水平还有多远。
只要把每个维度进行深度细分,每个细分对应着具体技术,制定对应的分值,那么就可以建立一套对于门锁安全程度的评分模型;
如何根据具体安全技术来建立该评分模型,业务是不懂的,这里也只能省略。
图 231
评分模型可以加上权重,就可以突出产业所关注的点,或者市场对其的关注度。
比如可以制定下面的加权值:
●识别安全技术 10%;
●物理安全技术 20%,传统企业对其关注高;
●电气安全技术 10%;
●系统安全技术 5%;
●物联安全技术 10%;
●应用安全技术 5%;
●网路安全技术 15%,网路安全是物联网安全的核心;
●云端安全技术 10%;
● AI安全技术 15%,市场、用户、未来都对其很关注。
假如以总分为 10 分,那么可以算出:
●系列 1 产品的综合分数是 4.6 分;
●系列 2 产品的综合分数是 4.75 分;
●系列 1 产品主要发力在数据连接上,比如加了第三方有安全芯片的蓝牙芯片;
●系列 2 产品安全的综合能力较强,成本也会比较低。
通过合理的维度评分,结合预算就可以筛选出下一代智能门锁的安全发力点、安全卖点。
通过该评分模型,和建立的智能门锁安全技术和卖点库,想什么技术和卖点就在里面挑就行。
通过该评分模型,就能够很轻易地确定下一代的目标。
这就能在头脑中形成了非常清晰的安全技术战略库,后面做什么都能心有成竹,可惜一直想用该方式来指导建立云端安全而无所得,这是后话。(见第 3 章的云端安全)
把上面得到的分数作为纵坐标,把每个安全技术作为横坐标,就可以得到一个两维的衡量智能门锁安全水平的曲线。
图 232
面积的大小,基本就反映了安全水平(这里没有体现权重),并且制定相应的下一代目标,有了 9 个维度,也可以分别分给 9 个团队去执行,谁达到或者超过目标,也就可以和年终奖挂钩。
图 233
至此研发虽然还没有完成,但市场就可以提前去宣传下一代的目标就是从 5D进化为 9D,而下下一代,就可以把另一个维度拿出来宣传,再下下下一代,就可以综合评分出来了,真正实现开发一代、预研一代,规划一代。
最后,就做了大概一年周期的智能门锁的规划,自己觉得按照这个理想计划,智能门锁这个产业可以很快就能在市场上打出名头。
图 234
计划包括:
●年初,向产业老总汇报该卖点规划,这个需要得到产业老总的认可,要不一切都白搭;(没想到这一步都没走下去)
●同时,可以建立安全技术卖点库,以后产业只需要在里面选就行了,不需要去苦恼下一代要做啥;(没想到建立该技术库后,产业并没有在其中选)
●接下会建立完善的安全测试方法来测试是否做到位;
●后面可能还需要持续的深入洞察和研究,才能持续的填充安全技术卖点库,以及为后面做准备;
●到了年底就可以开发布会了,发布 9D的安全智能门锁,这感觉可以立足于行业之巅;
●还可以持续的画饼后面的几代产品情况;
●最后,发布智能门锁安全白皮书,在专业领域里建立权威。
虽然最终计划只是理想,但作为技术人,总需要主责的去推动产品技术的发展。
虽然总能得到一些更加实际的回答,就如“以为是来解决现在利润问题的,没想到是来画饼的”而受到打击。
种种原因也导致理想规划最终没法完全落地,那么就需要再另想办法,比如乘着领导在推技术护城河理念的时候也提出安全护城河。
做这个报告有几个原因:
●给产业大领导汇报后,和产业的关注点不太一致;
●整体研发氛围比较积极,年末的规划里都写要打造技术护城河;
●直属领导很关注护城河这个事情。
所以,就考虑写一份安全的护城河规划报告。
首先,必须让领导了解什么是网络安全。一般情况下,很多人对网路安全、信息安全、网络(空间)安全、产品软件安全等概念都区分不开。
图 235
● Network Security:网络安全,更喜欢叫网路安全,一般指万维网或者局域网自身的安全,不影响到其他联网个体,很多人印象中的网络安全就是这个概念。
●Cybe Security:网络(空间)安全,所有网络设备系统的总体,只要联网,就在这空间内,是领土领海领空外的第 4 空间,只要某个个体联网,就在它的定义里。智能产品都会联网,也在里面,所以在物联网中用来表示产品物联网安全更合适些,本书时常使用的网络安全就是该概念。
● Information Security:信息安全,信息包括数字信息和实体信息,一般指的是保护组织内的各种资料信息、机密信息、技术信息、规划信息、员工信息等安全,不管这种信息是实体的还是数字的。
●产品网络安全(product CyberSecurity):保护联网产品系统的稳定运行,所承载的软件功能的安全、数字资产的安全、数字信息的安全等。
●软件安全(Software Security):保护产品的软件系统的安全、数字信息的安全等。
●安全软件(Security Software):具有安全功能的软件,比如加固软件、扫描软件、防火墙等。
这看起来是一个套蝶翅膀结构,很对称、不错,能比较直观地看到不同安全概念之间的差异性:
●信息安全比网络(空间)安全多了实体部分信息的安全;
●网络(空间)安全又比信息安全多了强调网络及个体的稳定性运行;
●网路安全强调的是云辐射出来的网络通路的安全,终端安全只是影响到它而已;
●软件安全又以终端系统软件为中心,强调的是终端系统软件自身的安全;
●而这两者之间的共同点就是网络端口的通信安全。
一般看到这些解释,还是能够理解这几个概念的区别的。
可以把智能家电按照其智能化程度划分为四级。
分类分级的概念在各种报告中出现过很多次,但本次汇报应是唯一一次向上呈现。
图 236
●一类:包括空冰洗衣、小家电、白家电在内,特征就是联网的产品,在进化为可以语音控制的智能产品。
●二类:包括电视、手机在内的,大多是黑家电,有带屏幕的,特征就是可以远程控制,或者带支付,又或者带摄像头的产品。
●三类:包括智能门锁、摄像头在内的,和安防相关,可能会直接接入公网的,也就是智能安防、智慧城市相关的产品。
●四类:金融领域或者驾驶领域的,会威胁到人的财产安全或者生命安全的。
这样的分类应该没有问题吧?
那么按照其影响进行分类,再可以看到按照这个分类,可以看到每一类的数据量基本按照指数级的增长。
图 237
那么就可以按照数据量进行分级。
●一级:一万以内的数据量。
●二级:十万以内的数据量。
●三级:百万以内的数据量。
●四级:百万以上的数据量。
根据数据量,接着就对应了每一个安全等级,可以制定相应的安全策略。
通过数量的大小和数据自身的影响,就可以制定相应的安全策略。
图 238
(1)一级策略
●采用没啥工作量的安全措施:测试一下,修复一些容易修复的问题。
●采用成熟的安全措施,比如整点数据加密。
●这些安全措施不会影响到用户体验,满足法规基线要求。
(2)二级策略
●进一步增加工作量的措施,比如配置一般性的SELinux;
●可能需要一般的开发量,比如一人月;
●或许会增加少量的成本,比如一机一密;
●或许会影响体验,但对比带来的安全是值得的,比如 3 个字符的密码设置。
(3)三级策略
●进一步增加工作量,按照安全标志保护级去配置强制访问控制和自主访问控制;
●需要较大的开发量,比如一人年以上;
●肯定会增加成本,比如增加安全芯片;
●对用户的体验在可控访问内,比如语音通话需要手机短信验证。
(4)四级策略
定义为最高级,也就是有什么安全就上什么,一般公司也做不了形式化安全。
以上分类分级在后续的很多次演讲中会出现,后面的就不会出现了。(可查阅第 9 章)
有了策略,就可以把知道的安全技术、安全措施都写下来,做成一张地图。
接下来,就可以按照前面的分级策略,大体的把已知道的安全措施(前面已经整理在《门锁安全技术与卖点》中)、安全技术都进行排列分布。
图 239
可以看到安全技术维度和上一个报告的 9D维度不太一样:
●假如按照 9D去排列,很多技术会重复,特别是近距通信和网路通信的部分。
●这里只是排列出最重要的 4 个分类,关于分类,后面还会重复出现。
●在不同场合不同时期的不同推论,分类会有所不同。
●技术的分级是根据感觉上应该投入的人力来分,并没有标准。
这个地图是通用的安全技术地图,假如单放到门锁这个产品上,需要进行修正:
通过落地到智能门锁上,就可以形成Y轴是智能门锁的 9D安全技术和卖点,X轴是每一个维度的技术的选择技术地图。
图 240
该图里面的技术只是示意,实际会比这个更多的技术。这里的物理安全和电气安全和门锁系统的物联网安全关系不强,所以把它画外面点。AI安全、应用安全的相关性也不太大,但和物联网安全相关。
这是给领导汇报,领导肯定不会关注具体的技术,他应该只会关注分级分类的逻辑是否合理:如何切入智能门锁上进行应用以及如何推导出下一个想表达的意思。
先要介绍自身对护城河的看法:护城河一般都体现在看不见的地方。
功能技术容易被抄,但高稳定、高体验、高性能、高安全的产品就不好抄,需要厂家长年的沉淀。
图 241
●业界水平:假设某个产品的标准是一周连续开机的稳定性分数为 90 分,60%以上的人说体验好的评分为 6 分,就达到质量要求;这可能是大部分企业能达到的水平,所以构不成护城河。
●逐渐形成了护城河:稳定性到了一定程度后,要提升就非常困难了,比如稳定性从 90%提升到 95%以上,这比以前从 0 提升到 90 还困难。
●护城河加长:那么就应该把重心切换到提升体验和性能上,把其从 6 分提升到 7 分。
●护城河再加长:性能到了 7 分以上,提升又非常困难,那么就应该切换重心,提升产品的网络安全水平。产品的网络安全在前面的一二级提升还是非常容易的,只是产品安全体系需要从零开始建设。
●护城河持续加深:产品网络安全全面提升到一级后,又可以把重心切换回来,继续提升稳定性、体验和性能,这是一个螺旋式上升的过程。
那么护城河越深就会越安全:比如该护城河花费了 100 人年,那么竞争者大概率也需要 100人年才能搭建这样的护城河,排除竞争对手把核心骨干或者一个团队挖过去的情况。
护城河=方向准+持续走下去。经常变来变去,特别是人员变来变去从而导致方向变来变去,技术护城河不可能建设成功。
有了和领导达成共识的护城河概念,就可以规划产品进阶路线。
接着规划每个阶段需要达到的目标。
图 242
(1)阶段一:解决重点问题
自主加密算法:现有基本是裸奔的,成熟算法体积有点大,为了产业能够接受和解决重点问题,可以在自主算法、自主密钥保密上做措施。
(2)阶段二:开始着力的地方
●在系统启动上进行保护。
●对数据进行保护:可以宣传自主研发个人信息保护技术。
●对OTA进行保护:可以宣传安全OTA系统。
●对应用进行加固:反正已经购买了,不用白不用。
●对随机密码进行安全处理:可以宣传安全随机密码。
(3)阶段三:让研发进入安全的节奏
●导入成熟的方案,比如ID2 方案,大家都这样做了,终于可以开始搞了;
●对关键数据进行保护,以前在电视上做过,现在再做,思路清晰;
●对物联网协议进行安全适配,以前适配过,但安全没有介入,要想办法进入才行;
●云端一直是悬在安全人头上的一把剑,找机会搞点预算就要把它给做了。
(4)阶段四:在现有环境下安全可以达到的
●建立公司的统一密钥管理系统并且落地到每个产品中;(第 8 章)
●建立统一的安全技术架构;(第 8 章)
●基于安全芯片的门锁竞争力。(本章)
(5)阶段五:写一些基本没法做的又想做的技术
其实到这个阶段,才算进入护城河。
每个阶段都还有很多可以探索的地方,在此不一一赘叙。
规划完每个阶段要研发的技术后,结合前面的 9D安全评分模型,对每个阶段进行评分。
图 243
可以看到,虽然技术措施很多,但实际评分没有想象的那么高,特别是阶段二以后,要提升1 分都是非常困难的,阶段五能达到 8.325 还是因为把自己能想到的安全技术都加进去了。8 分以上才算是进入了护城河,随着对安全技术认知越来越深,评分标准应该会有修订,8 分估计就降到 4 ~ 5 分了。
接着是年度计划等内容,省略。
领导听了护城河的想法,肯定也有所感触,所以叫来业务一起听,指出现有产品水平可能就在一级,需要达到更高级才行,业务表示没有预算,所以想着筹备一份报告到总部要预算,但去总部需要时机,这应该发生在第二次战略规划之后。
安全人需要孜孜不倦地推行安全理念,把安全技术作为一个管理人员的基本素养和责任,新的一年需要一个项目预算到总部的技术委员会去报告,让顶层建筑了解产品的网络安全也是竞争力的一个重要维度。
到总部的报告需要按照战略规划的套路来,也就是市场洞察(五看)、策略制定、计划、执行,但套路是可以稍微改动的。
在 2019 年的网络上有不少关于智能门锁安全的报告,正好开始做智能门锁安全也在那个时期,后面估计遇到疫情,关于智能门锁的网络安全、信息安全的报告就少了起来。
(1)国内报告
当时国内 315 对于智能门锁的安全还是比较关注的:
图 244
(2)国外的事件
图 245
自己做了智能门锁渗透并且录制了视频进行播放进行了演示(具体省略),演示视频揭示了智能门锁的网络安全存在很大的问题。
(3)威胁点分析
图 246
从各种事件可以看出,通过渗透打开智能门锁的方式太多了,嗅探数据,重放攻击,贴膜注册、MAC地址、硬编密钥等方式都能进行开锁,就算自己的渗透,也出现水平越权等方式可以进行非法开锁。
(4)攻击链分析
可以对整个智能门锁的数据链路进行抽象处理,就可以看到攻击链在哪里。
图 247
●有智能门锁的控制App,那么App自身的载体会面临攻击;
●App和云端的通信会面临嗅探、劫持等攻击;
●假如手机或平板是通过基站的,那么伪基站也是个攻击方式;
●云端每天都会面临成千上万的攻击(有数据支撑);
●智能门锁需要和云端进行通信,也会面临嗅探、劫持、重放等攻击。
智能门锁自身存在很多攻击点,在上面已经讲过,而这些攻击点会互相影响,比如从某一个智能门锁提取出密钥,那么可能就能够找到云,甚至App的漏洞,进而攻击其他智能门锁。做过有一次的渗透试验就是基于这个原理。
既然智能门锁存在比较大的网络安全、信息安全的威胁,那么行业的竞争者是怎么做的呢?
可以到各个线上商城或者各个论坛展览会搜索大家的安全都做了什么,来了解竞争对手都做了什么。
图 248
也可以通过商用的调查表了解客户对于智能家居,特别是智能门锁的忧虑是什么,关注的因素是什么。
可以看到用户对于智能门锁的犹豫和质疑点排列:安全是排在前列的,隐私安全是排第一的。
所以必须宣传更多的智能门锁的安全技术,需要打造智能门锁的安全竞争力。
怎么让用户能够感知得到做的安全的?
图 249
通过研究保险柜广告,发现保险柜是这么宣传安全的。
●参数:门有多厚,钢板有多厚,那么对于智能门锁也一样,可以宣传经过多少次测试,渗透过多少次,等等。
●技术:接着就是宣传各种技术了,这对于信息安全、网络安全来说,是最擅长了,不管技术有多好,只要多,只要听起来玄乎就行。
●认证:太玄乎肯定不行,第三方认证是必须的,公安部的、国家的、国际的、金融的都写上,不过要担心是否吹过头了。能过CCRC认证的门锁还是够实力的,虽然不是标准的CC认证。
接着,就拿上国家标准来分析分析,看看还缺了什么?
图 250
虽然国家强制标准GB 21556 还只是草稿阶段,并没有正式发布,但也需要提前布局一些技术措施,这不仅是提前占领市场,还是对用户负责,对社会负责。(领导都怕负责任)
国家强制标准里面的网络安全部分包括三部分:
●移动App软件安全要求,可见国家对于App控制制定终端的安全的重视;
●通信与控制安全要求,这也是非常重要的一点,前面一直有说过;
●生物特征识别安全要求,这个其实就是门锁自身的安全要求;
但结合智能门锁的联网情况,国家标准并没有与和路由连接有关的安全要求,可能是因为路由自身有国家标准(GB ∕ T 18018-2019 信息安全技术 路由器安全技术要求),也缺乏云端安全要求,云端安全也有等保 2.0 的要求,所以国家标准比较完美地补充了整个智能门锁安全系统中缺失的部分。
那么至此,就会形成整体的安全解决方案。(因为这个汇报比下面的推演来得晚,所以方案会比下面的四代技术架构来得更加完善)
图 251
在这里,引入了后面章节会涉及的统一安全技术架构的内容。
通过对国家要点的归纳总结,得到智能门锁的概要系统图,从概要系统图,引入了统一安全技术架构后,得到了智能门锁的整体安全解决方案:
●包括在通过等保 2.0 的云端上引入云安全SDK,为云端应用提供加解密库、身份认证鉴权库、安全OTA的解决方案、安全通信、固件签名等功能,而这些安全的密钥都是基于云端的密钥管理系统的;
●包括为移动App提供了包括加解密库、身份认证鉴权库、安全通信、防hook、加固混淆等功能,同样道理,这些安全功能都会给予App的密钥管理系统。而移动App只需要应用这些功能,以及增加一下增强措施,比如数据沙包,内存保护等措施;
●包括为门锁的通信模组提供的包括加解密库、认证认证鉴权库、授权码申请机制、安全通信、安全OTA等功能,同样道理,这些功能都是基于模块的密钥管理系统的,假如增加安全启动就形成了高安全的智能门锁通信模组;
●门锁主板同样也要继承类似的SDK,门锁主板可能需要更多的安全功能,包括但不限于可信执行环境TEE、终端安全感知系统、安全启动模式,甚至侧信道防护机制,而假如加入安全芯片,就可以提供一个可信的信任根,只要安全芯片不会被破解,上面一整个链条都是安全的。
图 252
把信任链给突出出来,可以清楚地看到整条信任链的信任关系。
在向总部的汇报,解决方案只要有就行了,他们估计看不懂具体的实现技术,也没时间看,但应用场景一般需要有。
图 253
比如上面列出的 12 项的应用场景,这些场景只要经过产品和市场的包装,估计就能显得高大上了。
比如:数据保密就叫金融级数据保密,殊不知金融级数据保密肯定要认证的,而且是一个安全系统的,肯定不止一个点。
还是套用前面的 9D安全技术,对比采用该方案前后每个维度的变化,可以直观地可以看到竞争力水平。(领导们喜欢看雷达图,直观)
图 254
可以看到物理安全和电气安全在这里并没有增长,那是因为这两个维度不是此方案的内容,而感觉传统门锁厂家在这块实力应该比较强才对。
此方案在系统安全技术、物联安全技术、网络安全技术上的提升是最大的。这是因为系统采用了加密芯片,那么系统数据被渗透的可能性就比较少,当然,把整个内存焊下来后用读内存设备肯定还是能够渗透,但既然能够拿到内存,肯定就破坏门锁了,更何况里面的数据呢,门锁最大的作用还是保护家里的财产。
基于安全芯片的安全SDK提供的安全方案,在物联上会比较安全,存在危险是近场通信的协议很多,不可能每种协议都能够透彻的落实保密方案。
网路安全技术和物联类似,不过网络通信的情况更加复杂,这里还有路由等因素在内。
提升次之的有以下四个方面。
●应用安全技术。采用这个方案有效提升应用在加解密数据上的安全性,但移动应用是安装在手机上的,手机系统不受控制,hook、内存、数据都会存在越权的风险,假如是水果手机,这个分数应该更高一些。
●云端安全技术。这个也有提升,但是其他项目的内容,不在这个项目里。
●AI安全技术。这个和该方案的应用场景有关系,但AI这个的上限应该很高,不能一下子提升太多 ,后面就没故事讲了。
●识别安全技术提升了一点,是结合新产品可能引入的识别模块,以及模块绑定这个功能。
除了带来安全,还能够带来其他竞争力,比如由于密钥预制,性能会有所提升,配网的时候能提升 6 秒,还满足和OLA、metta等物联网物联对于安全的要求。
假如这个方案能够实施,基本就能与业界的安全领先水平持平了。
接着对该项目的技术进行拆分,假如有办法进行拆分,说明工程师心中有谱,就算一两个功能失败也不会影响到整个项目。
图 255
这样的拆分和前面的应用场景和技术竞争力都有较强的关系,当然,向总部汇报,总部领导一般不会关注这么细。
具体的分析在图中,不再赘述。主要是它的主要作用就是看拆分的模块是否合理,至于里面每个模块的价值、交付方式等,后面对技术的详解可能会写到。
要看一个产品的网络安全、信息安全是否达到一定水平,最好的办法就是进行认证。
图 256
更详细的认证解析,在第 6 章节有写,但想着领导不需要知道那么清楚,他们应该只需要大体了解一下智能门锁可以过什么认证,以及每个认证的作用就可以了。
(1)国内标准认证
●国内包括赛宝、威凯、家电院、公安三所等的认证,由于国家标准还没有出台,所以各自采用的认证标准不太一样;
●个人觉得认证强度和详细程度是这个排列:赛宝、威凯、家电院、公安三所,当然,这些单位的安全认证肯定也分等级,比如威凯就分普通级和增强级;
●价格好像也是这样排的,其实也好理解,测试得多,测试得更详细,肯定花费也高。
(2)ETSI 303645
●满足欧洲IoT联网产品的网络安全要求;
●TUV等相关欧洲在中国的分公司都有做;
●第一次认证周期好像是 3 ~ 5 个月,主要是补各种标准和流程的资料;
●假如卖欧洲,比较有必要做这个认证。
(3)UL2900
●美国UL公司的认证标准,其他公司也能做;
●UL2900 应该分 3 级,通常过的都是第一级;
●每一级的价格不一样,越高级价格应该是翻倍;
●不知道是第二级还是第三级需要代码审计;
●假如卖美国,可以做UL2900 认证来背书。
(4)CC认证
CC认证应该是认证中最权威的,但要做这个认证不容易,首先必须和认证机构配套写对应等级的PP规范。总共分EAL1 到EAL7,7 个级别,假如没有任何基础,要过EAL2 级需要比较多的工作量,而且门锁整机暂时也很难通过CC认证,因为没有对应的PP(第 6 章),而提高一级,投入可能需要增加一个数量级,主要是组织架构、流程体系、工厂生产、销售售后等方面的安全保障要求的提升会更加复杂。
接着看现在国内的水平都在哪。
图 257
可以找出每个门锁的销售广告,看看都过了哪些认证。
●*L:赛宝信息安全评估证书。
●*仕:CSP智能锁认证,个人理解强度算中等吧。
●*客:赛宝信息安全评估证书,ICA联盟认证。
●*曼:赛宝信息安全评估证书,ICA联盟认证。
可以看出国内大家的信息安全水平和认证,都处于起步位置。既然起点低,那么打造安全竞争力的机会就高。
假如能够一下子拿到CC认证,那么安全水平就一下子走到了最前面了,虽然某为的门锁已经拿了CCRC认证(不是CC),它和传统厂家不在一个维度上。
不管是什么报告,都需要列出计划。每次计划,不管是哪一年哪一期的计划,第一期都在补短。
图 258
●第一期补短:把自己熟悉的安全措施落地到产品,这是能保证的,技术上基本不会有风险,可能的风险就是业务和生产。
●第二期提升:这些技术下点功夫也能搞懂的,虽然存在一定风险,但在可控范围内。
●第三期拔高:这些就很陌生了,TEE还能搞懂,侧信道防护是什么,态势感知又是现在风向以及感觉很庞大的一套系统,所以第三期也就提提。
这个规划看起来和“构建技术护城河”不太一样,那是因为隔了 1 年多了,这个规划更加贴合实用贴合构建卖点,上面是技术护城河,这次是安全竞争力,是不同的技术方向导致的。
大体看来:一期补短的内容大体相当于第一阶加第二阶的内容;而二期提升相当于第三阶段内容再添加一些新内容,比如防hook、安全BLE等。
来看看这个规划在前面战略规划的路标的位置:
图 259
写了这么多的内容,终于有一个方案报告和前面的战略规划接起来了,这主要是因为规划工作其实在技术方案出台之后(理想情况规划应该是在技术之前),也是因为是在搞智能电视安全技术之后才做的战略规划这个工作。
前面的几次汇报旨在在新的组织架构中快速站住脚跟。
接下来需要分析技术控制点和专利布局(略)。
最后需要对每个阶段的每个类型的人力做判断,那么可以算出总人力大概是 65 人月。(过程略,只是示意,不代表实际)。
图 260
下面费用只是示意,不代表实际情况。
图 261
接着,要列出核心人员。
●项目Sponsor:该项目后台是谁,也就是是花了谁的预算,一般都是老总,看项目级别多高,sponsor就多高。
●项目OWNER:这项目是谁的,实际掌控者。
●顾问:一般由战略规划或者总部研发管理担任,还是看项目级别,多数项目是没有顾问的。
●财务:每一个阶段都需要花钱,要找谁报账。
●HR:每一个阶段都需要人力变动,要找谁招聘。
●法务:是否合规,需要法务审核;
●安全:一般项目还需要安全,但这个是安全自身的项目。
●架构师;架构师一般是评估该项目的架构是否合理的,也由架构师出架构,由项目OWNER进行评估。
除此之外,还有以下角色:
●安全技术Leader;
●前端开发Leader;
●云端后端开发Leader;
●终端开发Leader;
●测试Leader;
●产品经理;
●质量经理;
●项目管理;
●工厂接口人;
●市场代表。
可以看到,一个项目的执行,涉及的人员角色很多,上面的人力比实际少了非常非常多。
有规划 8D卖点、技术护城河、安全竞争力的一系列汇报都需要有对应的技术架构。
先要扒一扒看看业界的宣传点,这能带来的想法和思路。
图 262
在其中寻找安全关键点:
●NFC开门:现在大家的门锁,都在NFC开门上下功夫,这主要是由于这项技术比较成熟,用户体验也不错。
●蓝牙开门:NFC会增加成本,但蓝牙是现成的,但传统厂家做该功能会面临需要打开App才能开锁,只有又做手机又做门锁,才有可能做到不用打开App就能开门。体验比NFC差一些。
●人脸开门:随着摄像头的加入,人脸开门是个不错的方式,现在手机大多都人脸解锁界面了,但用在门锁上,对人脸的安全要求会比手机高多了。手机大多还是带在身边,丢失毕竟是一个概率问题。
●无感开门:上面的各种方式,其实都在朝着无感开门的方向努力,科技的发展就会把人类养得越来越懒,这是比如的,连掏手机打开App的动作不想要。
●安全芯片:头部企业终于越来越多采用安全芯片来保护智能门锁的信息安全,这也可能是因为加安全芯片会带来利润的提升。
●视频对话:在门锁上加一个摄像头,门锁上可以有更多的想象空间,不过加这个功能会更加耗电,时不时就要换电池,这点就增加了用户的使用成本了。
●门锁安防:既然门锁了就是安防的一部分了,这点应该说是摄像头要做的事情了。
从这时候可以看到,行业在智能门锁的网络安全上已经前进了好大的一步,不过各个部分都还是独立的,并没有融合为一个整体。
这里面无感开门和智能安防,就是门锁后面要发力的地方。
用市场上现有的产品指导下一代产品的方向,是销售和市场惯用的方式,但作为技术人,应该从产品规划里面看能否加入安全,然后将其作为卖点,作为竞争力点。
先对智能门锁功能进行归类总结。
图 263
站在一个安全人的眼中,这里面好多都可以嵌入安全功能,打造智能门锁卖点。
图 264
对产品规划功能进行安全技术的进化,顺理成章就形成了安全卖点。
这里有两个概念:
●可信是有信任链;
●安全就是平常的安全措施;
开始打造的卖点主要集中在开锁场景、摄像头和数据管理上,这也符合安全用户的习惯。
专职产品规划肯定规划不出这么多安全的功能,所以需要安全专业配合。
这个场景就是上一节安全竞争力的内容,这里就顺手搬过来。
安全使用场景很多是从参考战略规划,战略规划也是头脑风暴提炼而来的。
图 265
产品部门会更加直观地看到,以后他们可以宣传什么了,而且经过产品和市场部门的包装、打造,这些会显得更加高大上,用户会觉得技术确实很强。
虽然在安全人看起来,这大多只要用点心,多花点时间和预算就可以成功。
卖点有了,那么需要开发的功能和技术自然就要跟上。
再次对每一代的技术路线进行梳理。
图 266
这看起来就实际多了,至少第一代第二代在现有的人力之下,还是可以完成的。
这非常契合战略规划的整体路标,当然,这里第一代和第二代由于人力的问题,强制分为两步走,第一代和第二代的技术在后面的描述中大多都能找到。
新兴产业就是这样,每次投入非常少,但到了新闻发布会,就到处寻找卖点,憋概念。
作为安全人巴不得一下子走到拔高和领先的步骤,要不整天整年都在补短。
有了每一代的路线,就需要设计每一代的技术架构。在一个没有专业架构师的团队,部门负责人就是总架构师。
第一代的技术架构,建立了基本安全框架和信任链框架。
图 267
第一代技术架构基本解决了安全最痛的问题——通信的密钥的安全性问题,给所有的安全都指引了归家的路,建立了信任链的基础。解决了最核心的身份鉴权的功能,以前虽然也能解决,但密钥要不硬编码,要不进行网络下发,在物端的存放也存在很大安全问题。值得一提的是,第一代技术架构还解决了通信安全的问题。
(密钥管理系统和生产售后系统参考第 8 章内容)
看信任链的关系:
图 268
这就可以看到,信任链的起始是位于可信密钥管理系统的,而该系统位于公司内部网,只通过VPN和门锁的云服务连接。
密钥生成过程:
●生产售后系统在工厂内部网内,通过烧录把密钥写到门锁端;
●门锁云服务端会通过VPN向可信密钥管理系统申请密钥;
●App端在初始化的时候也会直接向云端申请子密钥;
●至此,云管端所有的密钥的根就都来源于可信密钥系统;
●云端、App端、门锁终端的密钥都不一样,但它们的祖先都一样;
运行信任过程:
●运行时,门锁终端会通过密钥管理库读取存放在自身系统中的子密钥;
●通信模块会也会通过内部通信获取子密钥;
●通信模块在通信的时候就使用自己的密钥和App以及云端认证自身的密钥是否都来自共同的祖先;
●假如是共同的祖先,就说明密钥的有效性;
●同理,整个系统后续就可以脱离可信密钥管理系统,以门锁端的密钥为可信根进行信任链的认证,于该链条的安全措施和技术就可以都叫可信了。
可信是基于信任链的安全,是安全的进阶。
整个信任链其实有点类似区块链,区块链方法的运用其实无处不在,只是不叫区块链而已。
第二代的结构和第一代差不多:
图 269
●此代最大的变化就是安全芯片的引入,这就极大地提高了整个门锁终端的安全度,当然还要看每个功能模块的实际应用情况;
●安全OTA、远程授权机制、安全临时密码等功能也得以加入,这些功能都是第一次没做完留下的;
●这里在App上还能加入隐私之盾,作用就是可以让用户看到门锁系统对于用户数据的使用情况,防护情况;
●这还是一个概念,需要和产品对齐和设计。
看信任链情况:
图 270
●工厂烧写直接就把密钥烧入安全芯片了,而不是烧进主板;当然,假如主板和通信模块都烧入,那会提高安全程度;
●其他的模块和第一代类似;
●当系统运作起来的时候,整条信任链就以安全芯片为基准;
●假如所有地方都应用彻底,没有漏洞,那么整个门锁可以看齐安全芯片,安全芯片是EAL4 +级;
●不过这非常难,所以就有第三代和第四代的存在。
第三代的整个基本安全框架维持不变,整体已经和安全竞争力所呈现的差不多,但通过一步步进化已经比较完善。
图 271
第三代主要着力在门锁终端自身的安全上,增加了很多内生安全措施:
●安全启动,安全启动和电视的类似,但要基于信任链,前面已经建立好信任链了,这时候就可以用了;
●模组安全绑定以及配套的一些功能在这里补齐,包括安全协议等;
●内部通信,也由于终端安全协议的开发,所以内部可以进行保密度比较好的加密通信;
●开始发力物联网的近场通信安全,构建安全BLE协议;
●增强用户登录的安全性,所以门锁端,App端还会增加多重身份认证的功能,进一步增强可感知的安全性;
●App控制端安全可能会引入数据沙箱,增强App自身的对于数据的管控。
第三代技术架构可能已经达到或者超过在制定国标的安全要求,假如这代的技术架构进入了研发阶段,估计也会和上一代一样进行拆分。这么多的新安全功能,看起来一年周期很难开发完。
本代的信任链和第二代的一样,只是应用得更加广泛,不再赘述。
第四代技术架构是一个理想,是个人能力内所能想到的安全措施的集合体。
图 272
这一代有很多进化的地方。
●最大的特点就是加了外部硬件攻击监控器的电路并且独立供电,只要有人要动硬件,就会把内存的密钥、数据都销毁掉。这是在POS机上的技术。
●然后蓝牙电气纹、WiF-i电气纹的引入也是一个前沿技术,有研究说只要是通信,在通信协议层之下还有不同,但同一个软件,这些不同又是相同的,就好像指纹一样。安全度非常高,只要出厂后就不会改变。
●第三个技术才是引入安全可执行环境TEE,这在电视机技术那边有讲过,不过在门锁里面使用,肯定是精简过后的。
●第四个就是端侧的安全感知,和硬件攻击监控器做配合,动了门锁的硬件软件等,都能快速的感知到,快速的通知到门锁的拥有者。
●第五个高端技术就是端到端的加密,虽然端到端加密原理不复杂,但复杂的是需要搭建相应的云平台来交换密钥,那么该系统的自身安全度也是个问题。
●第六个就是和其他电器进行物联,比如电视的语音控制可以控制到门锁,而门锁开关也可以影响到电视的动作等,持续增强AI安全。
●应用端安全的防hook,加固,内存防护等都是成熟技术,有预算有钱就可以购买第三方加入,这些不建议自己开发,安全水平很难和商用的相比。
这一代技术的信任链类似,只是多了很多高端应用,特别是TEE的信任链,可以是独立安全芯片,也可以是基于已有的安全芯片。本门锁假如受到攻击,就会锁死门户,除了暴力拆,没有其他办法,主要原因是门锁内的秘钥与数据会被销毁,
这是一个堆叠了很多做安全的人想深入了解的安全技术的堆砌。
每一项技术都需要花费很多的时间和预算去积累。
在很多环境下都不可能提供充足的资源去研发第三代后面的各种技术,也许需要去研究院之类才行,但对技术的探索是技术人的天性,是兴趣之所在。
很难说出探索安全无感的开锁技术的原因,但起因是领导一直以来的的想法都是要手机无感开门。
锁头,最大的用户体验肯定的开锁这个动作(最核心的技术是安全)。
如今的智能门锁的开锁方式已经发展出来很多种。
图 273
假如智能门锁需要持续发展,最需要关注的地方就是开锁这个方式。假如需要分析还有没有进步的空间,那么就需要收集大部分常用的开锁方式,然后进行优缺点分析:
●钥匙开锁:这是最古老的开锁方式,不管如何不能放弃,但在智能锁里,肯定不能作为主要开锁方式,要不也就不智能了。钥匙的缺点就是会忘记带钥匙,钥匙会丢失,钥匙丢失了要重新换锁。
●卡片开锁:可能是智能门锁的第二种开锁方式,最早应该是酒店和宾馆使用,但在家用上,实际体验和钥匙一样,都需要额外带在身上,也会丢失,可能不用重新换锁,换ID就行,但被复制了,锁主人也基本不会知道。
●指纹开锁:应该是现在最常用的开锁方式了,大部分智能门锁都有指纹功能,不需要额外带个东西也不会丢失,但指纹开锁其实存在一个很大的安全隐患:手机用指纹开机,银行用指纹确认身份,还有更多的地方会用到指纹,而锁头在门外,其实很容易被有心人采集指纹信息。
●手机NFC开锁:不需要额外带一种方式,大家现在都有手机了,而且就算手机丢了,手机自身有锁,其中的NFC不容易被复制,当然,该手机也能够开锁,但手机丢失的时候就知道了,在门锁上可以马上注销掉。不过开始的时候,需要掏手机,有一点麻烦(手机放的位置距离锁一般会超过 10cm吧)。
●手环NFC开锁:这是个不错的方式,前提是要有带NFC的手环。这些NFC开始都需要门锁增加NFC模块,提升了成本;手机上需要设置NFC,增加了步骤。
●手机蓝牙开锁:不仅需要掏手机,还需要打开App,操作多了,不会太常用,除非忘记带指纹。例如家里的长城欧拉有手机开锁,基本就没有用过。
●人脸开锁:这种方式和指纹类似,看起来比指纹体验感肯定更好,手机刷脸和刷指纹的体验区别就知道了,但人脸开始需要增加更多的成本,至少摄像头是需要的,带来的问题还有门锁的功耗增加。假如门锁每星期都需要充电,这谁受得了。
除了前面这几种开锁方式,还有一种是用手机临时授权别人,比如客人的开锁方式:一般采用临时密码的方式,密码有使用时长;授权微信号开门也是个不错的方式。
开锁方式太多,从而导致门锁更加不安全,因为锁的安全取决于最不安全的那块板:
图 274
假如这 9 种开锁方式,安全度最差的是临密,那么这个门锁的安全度就是临密的安全度。
这里举例临密为最短板,主要是临时密码有很多地方存在风险,包括生成算法、网络传输、服务云端、手机App等都有可能,环节比较多。
结合安全和体验,会一直在想:
有没有一种,屋子主人走到门锁边上,锁就自动开了,既没有泄露任何个人信息的风险,锁的钥匙卡片之类又不会丢失,安全度还比现有的开锁方更加高,这种想法看起来的确是完美开锁方式呢。
而现在标志一个人的很好办法就是随身手机,手机一直在辐射着各种信号,假如能够判断手机的身份,门就自动开了,那就好了。(这和领导的想法不谋而合)
汽车好像实现了该功能,所以找了资料,看看它是怎么做的。
从网络搜索汽车的开门方式是一个逐步进化的方式,和家庭的开门方式是类似的。
图 275
●摇摆钥匙对应古时候的那种钥匙;
●机械钥匙是现在最常用的钥匙;
●芯片钥匙对应了IC卡开门;
●遥控钥匙和智能钥匙,对应家居应该没有:走到门口,还要掏出遥控按一下开门,没有必要啊;
●数字钥匙感觉就是和手机绑定,用手机开门,这不就不谋而合吗,原来汽车一直就在研究这块的技术,而数字技术又分几代。
■NFC:掏出带NFC的手机刷一下,现在智能门锁和汽车都走到了这一步。
■BLE:走近了,车门自动打开,智能门锁还做不到,后面分析。
■UWB:应该是现在最先进的技术,后面分析。
BLE开门又分需要打开应用和不需要打开应用两种。
需要打开应用进行蓝牙开门
这种方式对于厂家来说是最简单的,可实现性也最强,只要开发一个App就行,但用户需要打开应用,点击开门或开锁,用户体验并没有多大改进。欧拉车就是这种开门方式,宁愿用钥匙开也不想要掏出手机,解锁手机,打开应用,然后再点按钮开车门,这居然需要 4 步。
开锁App在后台也能够开锁,但无法保障App就能稳定运行在后台:大概率上,当走到门口的时候,开锁App因为长时间没有运行而被系统杀死或中止运行了。
图 276
不需要打开应用蓝牙开门
这种方式需要两个前提:
●汽车的做法在车上步了 3 根天线,可以判断蓝牙信号的强度,蓝牙信号强度和距离成一个非线性的关系,到达一定强度值就开门;
●手机要做系统改进,提高安全度,但蓝牙耳机和手机的重新连接没有那么复杂,不需要修改手机系统,只要系统自动生成的一个PIN码对上就行。
智能门锁所面临问题
假如安全度要求没那么高,假如忽略安全性问题,看起来智能门锁也可以做到怀里兜着手机,走进门,门自动打开,但实际上在智能门锁又会面临自身的问题。
●定位问题:汽车需要 3 根蓝牙天线来定位钥匙是在车里还是在车外,还不一定准确。汽车用蓝牙主要是用来激活汽车,让汽车开门模块提前做好准备而不是立刻开锁;智能门锁需要定位在门外还是门内,这是最大的问题。
●安全问题:假如智能门锁上只要和手机蓝牙PIN码对上就连接并打开门锁,那么智能门锁安全最短的那块板将是BLE开锁。
最早的想法是手机能够自动发送证书和门锁进行认证,经研究手机系统没法自动发送证书,只能通过打开应用,由激活应用来发证书,这又回到了上面需要打开应用的情形。
所以通过手机自身蓝牙功能想达到既能无感开锁又安全开锁的方案很难实现,需要再次寻找方案。
(1)什么是UWB
超宽带(Ultra Wide Band,UWB)技术是一种无线载波通信技术,它不采用正弦载波,而是利用纳秒级的非正弦波窄脉冲传输数据,因此其所占的频谱范围很宽。
UWB技术具有系统复杂度低、发射信号功率谱密度低、对信道衰落不敏感、截获能力低、定位精度高等优点,尤其适用于室内等密集多径场所的高速无线接入。(复制自百度百科)。
那么就可以利用UWB这个特性开门,做成UWB钥匙。
(2)UWB钥匙的原理
图 277
在车上应用:
●首先,肯定是需要配对,车和手机进行绑定;
●其次,车和手机通过蓝牙进行认证,车知道是手机要靠近了,唤醒UWB模块,这也是因为蓝牙现在的功耗比较低、距离比较远,但定位没有UWB精确。
图 278
在智能门锁的应用(译文):
●移动设备检测到智能锁低功耗蓝牙广播,基于广播的数据,移动设备识别出设备类型;
●确定该设备是否为已关联的智能锁;
●随后将触发凭据验证,生成必须的会话密钥,用于实际测距;
●随后将启动安全超宽带测距会话,测量移动设备与智能锁之间的距离及到达角度,这个超宽带测距会话在两端使用,一旦到达阀值,智能锁将为要进门的用户触发开锁操作;
●超宽带测距功能还可以确定设备位于门的哪一侧;
●能管理多个会话,同时感测多个设备。
(3)UWB钥匙的优点
●UWB主要解决的是BLE的定位问题,包括精确定位和门内门外的定位。
●按照介绍,具有安全、稳定、精确、实时等优点。
花这么大的代价就为了实现用户无须手持任何设备或钥匙就能够开门,从对公司产生的实际收益来说感觉有点得不偿失,但假如这是提高公司的品牌力,用户对公司的科技水平的认知,那么就很有价值了。
假如能和全套智能家居结合起来,那么成本估计在可以接受的范围呢。
(4)UWB钥匙的缺点
●新款手机逐渐有了该功能,老式手机应该没有这个功能;
●UWB比蓝牙还耗电,单用在门锁上,门锁的电池需要增大;
●费钱,研发、测试、生产、成熟、一整套下来,不知道要花多少钱,感觉没有几千万预算搞不定。
(5)UWB的参数
精确度:正负 10cm。
强壮性:500MHz的带宽,2ns的单个脉冲,200ns的测距脉冲。
范围广:100 米的直线距离。
安全高:本身就是保密协议STS,8000 多帧,时间戳匹配。
实时性:测距时间小于 10ms。
需要继续寻找一种既安全又方便还省钱的技术方案。
通过寻找方案商,找到了一种感觉不错的无感开门方案,但已经有某品牌的门锁在用了。
图 279
这个方案的核心是把手机的SIM卡换成特定的SIM卡。
这项产品来自国内某民技术,是国产芯片。
这个特定的SIM卡是三个芯片的集成:蓝牙芯片、安全芯片、RCC通信芯片。这就解决了安全问题,RCC通信好像还可以解决测距问题。
什么是RCC技术(源自网络):
RCC(Range Controlled Communication)技术是中国原始创新技术,于 2009 年成为中国移动企业标准,并获工信部互联互通标准工作组及中国通信标准化协会立项。该技术采用 2.45GHz频段结合低频磁技术,同时解决了信号穿透手机及距离控制问题,使得近场通信功能可在SIM卡上实现,并可利用手机网络实现便利充值及查询。具备RCC功能的SIM卡可透过手机与消费终端直接完成交易,手机操作系统不参与,交易数据不经过其他中间环节。
看起来可以解决蓝牙无感开门方案的问题:蓝牙无感开门就是由于要手机系统参与,要不门锁App就需要时刻运行在后台或者前台都能开门才行,这是无法实现的。
RCC看起来和UWB也类似,不过RCC不能测量角度,精度应该也比UWB差。
RCC的出现是为了在国内有能和NFC竞争的近场协议。
NFC方案是需要掏出手机接触,这是由NFC的通信距离是 4 厘米决定的。
RCC的距离可以最远到 500 厘米,所以就能实现无感开门了。
RCC如何解决BLE无法识别是门内和门外呢?
方案商给的方案是通过锁靠门外一点的芯片和锁靠门内的一颗芯片来识别是门外门内。
蓝牙芯片在这里的作用是什么呢?和UWB一样,应该是利用蓝牙的广播来做最初的认证和唤醒设备吗?当初和供应商聊方案的时候,怎么没有想到这个重大的问题。
把上面提到的 4 种通信技术整理了一下,如下:
图 280
●RCC想替代NFC,但不知道为什么没有推广起来。
●UWB是BLE的补充,但大家用途各自不一样,总结如下。
■BLE:10 米的数据通信,认证和唤醒设备。
■UWB:100 米内的精确定位,室内室外都可以定位。
●NFC:4 厘米内的数据通信。
●RCC:几十厘米内的数据通信,也能简单定位,感觉技术是借鉴蓝牙的,但想实现NFC的功能。
各种通信协议都有各自的用途,各自的优缺点,要不就会消亡,特定SIM卡方案最大的缺点就是用户需要去换手机SIM卡。
在此之前,还接触过另一个方案。
很早之前经领导介绍接触过一伙的国外研究者,他们介绍了一种技术,叫射频纹。
图 281
研究表明,不管是蓝牙还是Wi-Fi,只要是射频的底层,可能是电平脉冲之上那一层,多多少少都会存在差异,而且同一个型号的不同模块都会存在差异,也就是世界上不会存在一模一样的不同模块的射频信号,所以可以用来制作无感开锁的钥匙。(射频纹原理见下一节)
最终没有采纳的原因:
●每种射频型号的模块需要研究团队去研究和提取出新的射频纹;
●每款手机假如采用不同的射频芯片,那么也需要重新研究;
●必须提供经费供研发团队去研究不同手机的射频纹,提取出新的射频纹。
这样时间和费用的投入就大了去了,所以就没采用了,而且也没有提到能不能定位是室内还是室外。
最终的目标是要找出一种无感的开锁方案,所以就提出了一种想法:
人靠近门的时候,手机和蓝牙进行通信,传递证书进行身份认证。不管如何,都会用手去开门的,此时门锁可以捕捉到指纹就可以开锁。而这个指纹模块可以比通常的指纹模块的性能低一点。因为前面已经做了身份鉴权了,指纹模块是第二因子的鉴权,还有同时传递了证书进行认证,就是三因子鉴权,极大地提高了安全度。
假如有一个衡量指标,指纹开锁的安全度是 5,蓝牙鉴权安全度是 2,证书鉴权 8,那么三因子的安全度不是 5 + 2 + 8 = 15 的安全度,而是 5*2*8 = 80 的安全度,也就是安全性是单用指纹的十多倍不只是 3 倍,假如还有其他因子,就可能大于 80 的安全度。
图 282
该方案的设想是:
图 283
(1)配对过程
首先,还是需要可信密钥管理系统同时下发密钥给云端和终端,这样就建立了信任链。
其次,手机App在添加门锁的时候云端会用安全通信的方式下发密钥(子密钥)给手机App。
最后,在手机App和门锁进行蓝牙配对的时候,会进行第一次的密钥认证,确认双方是否可信的。
(2)开锁过程
首先,当手机和门锁靠近的时候,就能收到门锁的BLE广播,识别出门锁型号和原来配对过的信息,此时激活门锁蓝牙通信。
门锁蓝牙通信和App传递自身密钥的同一个祖先的识别码(哈希值)进行第二次鉴权。这两个过程的发生,用户都感知不到的。
假如只是双因子认证,这时候已经可以了,而且此时用户是无感开门,安全度比单一因子开门安全多了,但还能更进一步,反正用户都是要用手去开门的,那么此时就可以加上指纹识别,进一步鉴别身份,安全度爆棚。
(3)开锁因子
这样,其实可以有三种组合方式的身份鉴权。
图 284
第一种和前面蓝牙开门方案一样,弊端还是无法确认是门内还是门外,在门内也会开锁,就尴尬了;还有就是需要手机App运行设置密钥,但安卓会杀后台,IOS不能常驻后台,所以需要打开App。
第二种没有问题,两个蓝牙只要配对过就能够连接,核心还是指纹开锁,蓝牙配对只是辅助安全,看起来是可以实用。
第三种是三因子认证开锁,适用于更高安全的领域,高安全麻烦一点很正常:需要多了点开App,这一步应该没有问题。
这个方案并没有申请专利,当管理者后对专利已经麻木了,也不需要完成专利考核指标。
把每个的方案的特点总结一下:
图 285
智能门锁的开锁,个人以为会朝着两个方向发展:
●无感开锁,体现智能化;
●更加安全,体现高端化。
后面开锁方式的增加,其实并不能再体现智能门锁的竞争力和技术了。
上面的方案都有可采取的地方,特定SIM卡是现在比较成熟的方案,将来可能是UWB的天下,精确定位可以有更多的产品想象力。
而更加安全肯定是高端化的一个重要的方向,总是有一些地方需要特别安全的,而且是可以不计成本,看看现在的保险柜还需要双因子开锁就知道了:一般是钥匙加密码,而门锁上,手机无感加指纹开锁,这是一种趋势:老百姓生活越好对安全的需求就越高。
和智慧家居结合:
智能门锁作为智慧家居的入口,假如能和智慧家居联动,那么它将是整个智慧家居最重要的组成部分。
图 286
实例举的是水果家的Homekit,但进入HomeKit的产品需要MFi认证,MFi认证自身包括了安全部分,必须遵守水果家的MFi准则进行设计生产,任何设计物料上的变更都需要告知水果,假如无法保存品质和资质,就会被取消资格。
经过了解,MFi认证对于产线的改动比较大,最终确定没有进入MFi认证中,除非有其他产业一起搞。
2020 年的某天某人介绍了一家创业团队,说其有一项技术可以实现无感开门,听起来挺厉害的,就想着能否用在门锁上,所以约了该团队进行讨论。其实当时也嘀咕:这样的业务应该首先找门锁产品团队,而不应该首先找安全团队,除非里面涉及安全技术。
通过他们的介绍,现在无线电设备有各种安全问题,如下图所示:
图 287
“用户会需要便利的,不需要手动就可以开门的体验,而且用户肯定希望很安全,肯定也不希望被窃取个人隐私。”
他们播放一段无感开门的视频来证明他们所描述的技术。
图 288
当人走到大门附近,口袋里的产品就会发出无线电波;当门锁接收到该电波的时候门锁自动就旋开,大门也就打开了。
当时还没有无感开锁的概念,就觉得很炫酷,确实很方便,所以就需要深入了解其原理,写一份报告讲给领导和产业听,看他们是否有兴趣,是否愿意投资。
有两个安全研究人员在DEF CON大会上展示了智能门锁的安全情况,他们成功破解了当时市场上 75%的智能锁。采用的攻击方式有:
图 289
(1)数字攻击
他们测试了 16 个智能门锁,其中有 8 个能配蓝牙嗅探器(淘宝上可以买到)破解,该嗅探器在传输过程中会提取文本凭证;在重放攻击中,其中的 4 个会被击败,锁头会自动打开;剩下4 个,采用了加密和双因子验证机制,所以没有被破解开,性能良好。
总的来说,总共有 16 个锁,12 个被破解,虽然样本有点少,但也说明市场有 75%的锁在安全性方面存在很大的风险。
(2)物理层攻击
在重放攻击中,蓝牙的广播凭据信号会被存储并用来重播,就可以获取访问权限。
图 290
而在上面的中继场景中,攻击者会位于用户的移动智能设备和其智能锁之间,那么就可以接收到微弱的凭证信号,那么中继就可以增强这种信号,门锁就会以为移动设备在附近,从而进行开锁(上面开锁技术的BLE开锁技术的风险地方)。
重放攻击这个方法团队也实践过,确实可以。
(3)组件漏洞攻击
这里的组件包括硬件、固件、API、第三方库、开源库等。
这些漏洞大多都不在门锁品牌厂家的可控范围内,所以很难得到及时修补,属于供应链网络安全的一个环节。
比如蓝牙应用中的漏洞就普遍存在,那是因为蓝牙技术栈的实现是多种多样的,各个蓝牙驱动提供商提供的驱动不太一样,而且可能还大多都修改自开源,更会存在各种各样的漏洞。
有研发人员就发现BLE的软件开发套件中存在着 12 个独立的漏洞,而且已经有很多SOC提供商采用该套件。
通过在蓝牙连接鉴权的时候加入另一个因子验证的双因子验证可以极大降低上面的攻击方法带来的安全问题。
经过他们的详细讲解可以了解到,手机时时刻刻发生的蓝牙信号里面,电平那一层是不太一样的,存在一种的纹,就叫射频纹。
图 291
原因是每个无线电信号都有一系列独有的特征,这些特征(比如载波频率的偏移)就可以产生确定的结果,形成一个ID。这个ID就想到相当于密钥或指纹,基本很难伪造这个射频纹,也就是这个特征,而该射频纹随着蓝牙的广播也时时刻刻存在,那么门锁只要和接收到蓝牙的广播,就能够识别出射频纹,那么相应的就可以自动开锁开门。
比较深的原理:载波频率偏移是发射端和接收端的晶振的速率不匹配导致的,所以在BLE的协议里面会引入可接受的容差范围,在BLE5.0 中,该值的访问是比较宽的,在-150HZ到150HZ之间。
载波频率偏移还会受温度的影响,但可以读取片上的温度传感器进行运算补偿。
所以该技术假如能运用在门锁上,具有下面的优点:
●能轻易增加了双因子认证,而且更加安全;
●实现用户的无感开锁,但使用其他双因子,用户总会有感觉;
●由于难于复制,难于暴力破解,所以稳定性很强;
●支持包括蓝牙、Wi-Fi等任何无线技术;
●支持比较老的设备和网络;
●对现有的网络是没有任何影响的;
●由于无须增加新的硬件,只有研发费用,可以被平摊,费用少,最终费用需看规模。
缺点:
●准确率只有 99%,但剩下的 1%,不知道会不会是个问题;
●门锁端还好说,那么多手机,保障学习到其设备纹可能是个问题;
●还是没解决门内门外的问题:能否让门外门内的信号特征不太一样,可能可以。
上面说过,该技术可以应用在门锁,达到无感双因子开门的效果,步骤为。
图 292
在门锁的方案里,还可以加入云端,这样可操作的空间就更大了。
图 293
●射频纹在移动端和门锁端都有射频纹SDK需要嵌入,手机的蓝牙可以有射频纹,门锁肯定也会有,注册的时候,就是认为确认双方都是可信的。
●接着门锁会收到手机的蓝牙广播,里面会包括IQ包、射频纹ID等,门锁端接收到了,就可以和自身存储的进行对比,相同就说明手机是可信的。
●手机此时也可以反过来验证门锁的射频纹是否正确,达到双向认证,不过应该不会有用门锁的射频纹来开手机的应用场景存在吧。
●门锁端和手机端同时可以把射频纹上传到云端,云端就可以感知到门锁端的安全情况了。不过这个射频纹肯定是个人信息。因为可以定位到家庭,家庭一般就几个人,相应也就能定位到人。
●云端估计也要和供应商的云端连接,可以进行算法、数据的更新,增加对手机、通信模块的增量支持。
该方式和其他开锁方向进行对比:
假如整个智能电都能连成一个整体:智能家居,那么手机也应该是整个智能家居的一部分。该智能家居可以叫智空间(第 9 章会再次出现)。
图 294
射频纹可以作为整个智能家居的一个安全密钥存在。通过和门锁进行注册确认,该射频纹就可以传递到其他智能家电并进行存储,那么假如换一把新锁的时候,新锁通过设备纹就能够自动和其他智能家电进行互联,再次交换信息。
这时候,手机又何必只和门锁互通设备纹呢?它和家里任何一件家电连接后同时也就和其他家电连接了。新锁也一样,它可以和任何一台家电进行连接,也就和整个家居进行连接了,或者新锁在家里上网,除了网络密码,也会存储器设备纹,作为整个智能家居的一部分。这和区块链的原理有点类似啊。
那么假如门锁有蓝牙,空调有蓝牙,电视也有蓝牙,那么手机通过这 3 个蓝牙的基站就可以知道它的位置了。
图 295
以后不会遇到找不到手机情况了,直接问家里的任何一台智能家电,它都能告诉你手机在哪。
假如此时主人带手机出门,那么所有家电就都知道家里没人了,那么家里的家电就可以自己撒欢了,比如关掉自己的电睡觉,电视让智能音箱给自己讲故事。
这样不就解决门锁不知道手机在门内和门外的问题了吗?居然乱想也能够解决一个难题。
几年以前就有技术同事说要在电视上做NFC,这样手机很容易就和电视进行连接控制,特别是可以非常简单地进行投屏,但这么多年过去了,好像还没有确切的消息,也不知道是没有做还是做了没人用。
但在门锁上,倒是一直在探索着手机NFC的使用,因为它可以用来代替IC卡,IC卡方式需要多带一张卡,但手机是一般情况下是带的,这样出门就不需要再多带一张卡。IC有会丢失的可能性,家里的智能门锁的IC卡都不知道丢到哪个地方去了就知道了。
NFC是近场通信,可以在靠近的情况下进行数据交换。
智能门锁上增加NFC就是增加一种开门方式,在如今智能门锁开锁方式越来越卷的情况下,NFC开门也成为展现竞争力的技术要点:手机碰一下就开门,不需要带IC卡,指纹开锁有时候还有安全以及偶尔会识别错误等问题,密码也可能经常忘记。
事实上,NFC其实并不太安全:这来源于需要碰一下才会通信,所以一般不会为其做安全措施,因为认为其不会像Wi-Fi那样被劫持,像BLE那样被中继,但NFC卡还是有可能会被复制,比如NFC卡去超市刷了卡,然后刷卡机就把NFC卡码的给盗走了,所以需要了解它有没有可能发生这种情况,这需要了解其原理。
先来看看NFC的数据格式,下面是一种在智能家居上采用的数据格式:NFC数据交换格式NDEF。
图 296
NDEF定义了NFC设备之间传输数据的一种消息封装格式,可以作为一个整体存放在NFC数据区里。NFC数据区里需要一个头数据区,以及私有数据库,这些数据可能都是明文存放在NFC存储区里的。对应在门锁上,NDEF一般用来存放门锁信息、密钥等,大概率也是明文存放着。
在手机上,一般通过钱包使用NFC功能。
手机钱包配对与开锁流程:
图 297
配对和开锁的流程都是类似的,主要区别在于:
●在手机上,需要把门锁的ID写到自己的钱包里;
●配对流程的认证通过是外部认证鉴权通过;
●开锁流程的认证通过包括外部认证鉴权通过和内部认证通过;
●AID,Application Identifier,应用程序标识符。
门锁配对与开锁流程:
图 298
门锁端的流程和手机端类似,但缺少了选择AID的步骤。
在这里还多了计算UID摘要,写入卡标志摘要的步骤,该摘要一般写到NDEF的block里,作为密钥存在。
更详细的NFC原理可查阅网络,不是本书主题内容。
(1)有没有办法防卡复制
先准备工具:
●Mifare经典的工具,一款用于读取、写入以及分享NFC信息的手机应用;
●UID克隆卡专用软件;
●ACR122 读卡器(网商购买);
●NFC手机;
●空白卡。
图 299
通过一系列的操作,最终复制成功,说明是无法防止NFC卡复制的,安全存在问题。
(2)有没有办法防嗅探破解
先准备工具:
●Proxmark3_easy_gui软件;
●crapto1gui软件;
●proxMark3 工具(网商购买);
●空白卡。
图 300
照常顺利破解出UID和其密钥,说明现有的方案无法防止嗅探,安全上存在问题。
可信的方案是引入可信密钥,向每个需要鉴权的卡、端、App、云都内置密钥进行可信互认。
图 301
密钥管理系统和生产售后系统可见第 8 章内容。
NFC卡最好是CPU卡,最起码里面应该有一个特征是外部修改不了的,这样密钥就可以对该特征签名作为密钥,可以鉴权其合法性。
密钥会写在NDEF block里,在每个步骤中添加密钥的互认这个步骤,增强安全性。
图 302
图 303
这也可以算是双因子认证,不过对售后会有所影响,以后用户的卡丢了,或者手机要重新写NFC时,必须使用特定的工具连接对应的可信密钥系统写入密钥,这个NFC卡才能使用,看起来麻烦点。
这是好像新的创收增长点,想想一把车钥匙的制作费是几百上千块,重新制作一把安全的NFC卡,收 100 块总可以吧。妥妥的创收,又提高了门锁的安全度,又有利于用户,一举两得。
(1)都在做
在智能门锁上,安全芯片的应用上越来越广泛,用户对这块的认知度也越来越高,现在销量排名的前十品牌已经基本具备了安全芯片。
图 304
既然大家都具备了,假如自身不具备就会显得落后,那么就可能失去产品的竞争力。
(2)安全吗?
具备了安全芯片,门锁自身、门锁数据就安全了吗?显然不是。
可以把安全芯片比如上保险柜,那么家里买了保险柜,财产就安全了吗?显然不是。因为:
●有了保险柜,但值钱的东西没有都放进去;
●家里有些人没有钥匙,想放也放不了;
●家里有些人钥匙乱丢,想安全也安全不了;
●有些东西没法放进保险柜。
可以看到上面的各种宣传图中,安全芯片附近的小字里面写的是蓝牙,就是蓝牙相关的通信会被安全芯片所保护。
最重要的互联网数据传输安全可能没有包含在安全芯片的保护里面,而且还有其他维度的安全(见 8D卖点),这显然就不安全了。
在制定的包含门锁网络安全的国家标准有两部,虽然距离发布还有些坎坷的路要走,但为了抢占市场先机,需要对其做一些摸底。
在这些标准里面,国标《GB21556.2-xxxx 锁具安全技术要求 第二部分:防盗锁》应该是最权威的了。
可以凭感觉对现有的产品安全度做一个评估。
图 305
黑底白字被认为应该是满足要求的;白底黑字被认为是不满足或不完全满足要求的。
可以看到现有的门锁大部分的信息安全指标都没有满足,这可能是业界通用的安全问题。而这些要求里面,很多要求是基于一机一密的,比如敏感信息安全、固件更新、远程密钥分发、远程通信安全、认证及抗抵赖、门禁卡信息保护、一般安全要求等,而企业要实现一机一密的最快速的方法就是加安全芯片。
换句话说,要满足基于一机一密的安全要求最省事的方式就是加安全芯片,但加了安全芯片,这些安全要求不会立刻满足的,需要把安全芯片中的密钥和加解密算法应用到对应的功能上才行。
在使用安全芯片之前,可能需要研究掌握一下安全芯片的简单原理。
就算确定了在以后的智能门锁必须上安全芯片,但安全芯片的选择上也需要千挑万选的,需要找到一款又便宜又好用的。
(1)什么是安全芯片
网上的定义:安全芯片就是可信任平台模块,是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据。(百度百科)
安全芯片指实现了一种或多种密码算法,直接和/或间接地使用密码技术来保护密钥和敏感信息的集成电路芯片,包括硬件实体及依附于该硬件实体运行的固件。(国家密码管理局商用密码检测中心)
可以总结出安全芯片具有以下关键特征:
●芯片;
●保护密钥;
●加解密算法;
●可存储少量数据。
基于安全芯片做的安全措施就可以冠名为可信。
(2)安全芯片的架构
一个典型的安全芯片的架构如下图:
图 306
可以看到安全芯片,一般具有功能:
●安全加密算法引擎支持安全算法;
●真随机数发生器;
●环境监测电路;
●可能有防拆电路;
●没有体现的密钥。
注:AHB(Advanced High Performance Bus)高级高性能总线,主要用于高性能模块(如 CPU、DMA和DSP等)之间的连接,是SoC的片上系统总线。
APB(Advanced Peripheral Bus)外围总线,APB主要用于低带宽的周边外设之间的连接,例如UART、1284 等。
(3)安全芯片的分类
安全芯片有很多种类别,也有很多分类。
图 307
●按照是否可以重复烧录,可分为固化程序安全芯片和可编程安全芯片。
●按照使用环境的苛刻程度,可分为民用、工业、汽车、军工级,不过这是通用的芯片分级。
●按照安全面向使用对象来说,可分为智能卡、读写器、MPOS、USB-KEY等等。
●安全芯片还可以按照其结构的复杂度,分为简易安全芯片和安全MCU。
简易安全芯片功能较单一,对存储资源以及性能的要求较低,大多是程序固化在芯片里;而安全MCU的功能会相对较多,需要较多的存储资源和性能,芯片一般可以多次编程和写入。简易安全芯片的引脚比较少,10 个脚左右;(下图左边)而安全MCU一般由几十个引脚。(下图右边)
图 308
(4)进化的安全MCU
安全芯片通过不断增强功能,特别是升级里面的CPU、内存和外围接口,那么就可以成为一颗安全MCU。
图 309
安全MCU除CPU和内存增加外,还有几个变化:
●一般会具备环境监测电路以应对防拆卸等动作;
●一般都有N路的I2C、PWM、SPI等外围接口,这也是那么多引脚的原因;
●这些IO接口用户还可以自主配置和对接各种外设;
●里面的固件用户是可以重复烧入的,芯片内部也有固化的BOOT引导程序。
安全MCU可以用在对安全要求较高的小型嵌入式系统的主控或协处理,用来对其进行敏感数据的处理和安全存储,在金融领域、支付、高安全要求的物联网、工控中都有广泛的应用。
(5)合适的应用
写到这里,想起了TEE,这不就是TEE的更加安全版本吗?
图 310
把TEE的架构示意图改改就是安全MCU了,这看起来挺合理的,可查阅前面的可信执行环境的图进行对比。条条道路通罗马啊。
安全MCU由于接口更多,特别是可以重复烧写程序,系统安全会更加难做好。
基于安全MCU打造的模块或产品,通过CC认证会更加容易些,级别也会更加高些。
接下来就是寻找一颗又便宜又好用的安全芯片,这走了不少的路,在这个过程中,调查过很多安全芯片的厂家,比如国*、信*、复*、中*、天*、元*、宏*等的相关型号的安全芯片,可得到了一些特征。
(1)特性对比
查看各个安全芯片的规格书,可以列出其中一些比较关键的信息。
图 311
通过这样的对比,可以得出以下结论。
●宏*的芯片工作功耗是最低的,而天*的该型号的性能是最高的。
●大部分加密的芯片都会支持AES和RSA加解密算法,但不一定支持国密算法,因为AES和RSA属于国际算法,不需要交任何费用,算法也是开源的,而国密算法一般需要进行认证,有认证才能用在国内某些领域,而不需要在这些领域上使用的,就不一定必须支持国密算法。
●安全芯片中存储空间最低的是 8K,估计除了密钥最多只能存一下关键参数了;而最大的是 512K,这个已经可以存储好多东西了,比如指纹特征等。
●这些芯片大多在 1 元到 10 元内,这里不列出具体价格,业务给的限定是门锁上不能用超过X元的安全芯片。
(2)性价比
图 312
把价格和性能制成一个图,虚线为性能要求。
●可以看到天*2 的公司的某个型号的芯片,性价比是超高的。不过在门锁上一般不会用到这么高性能的,只要在虚线上面就可以满足存储 50 个指纹特征的要求了。
●在虚线之上,价格越低越好,这可以淘汰掉宏*、国*、复*的三款芯片了。
●可以看到是天*的另一颗型号芯片入选了,且价格比天*2 低很多,所以天*2 被天*打败了,这应了那句话:不是你不好,而是不需要那么好的,适合就行了。
(3)能价比
由于门锁对于功耗的敏感度非常高,对每个零件的功耗要求是非常高的,这需要把每颗安全芯片都进行能耗测试。
图 313
虚线为最高电流要求。
在工作电流虚线下面的,可以去掉中*、信*、天*2 的几款芯片,而在待机电流上去掉天*2、国*、复*几款芯片。这里忽略了电压,其实电压是一个非常重要的参数。那么还剩下天*,它好像每次都幸存,还有一款元*的芯片,考虑到价格因数,最终可以确定可以选择天*这颗芯片了。
上面是通过芯片规格书上选的,还需要测试做验证是否符合要求。
在选择芯片上,其实还不止上面几个因素,来来回回和业务一起选择了好几个月。不过思路是类似的。
有了选择安全芯片,接下来就需要确定基于安全芯片的安全架构了。
根据上面安全芯片的类型,可以设计出两种结构。
图 314
第一种采用安全MCU,这样的设计就非常简单,通信模组里的安全依赖于主控MCU,主动MCU也有足够的空间来安全储存敏感信息。
该方案安全度高,但主MCU的系统软件需要重新移植,电路需要重新搞。
安全MCU的编程烧录方式可能和普通MCU也有不一样的地方。
第二种就是外挂一个安全芯片,安全芯片可以和通信模组连接,也可以和主控MCU连接,也可以两者都连接。
该方案只在原来的系统架构上加入安全芯片,不管是硬件还是软件的改动都少。
可能会显得更加的专业,特别是更适合做市场广告。
假如采用第一种方案,然后把安全芯片以及其对应的应用导入实际的门锁架构图中。
图 315
可信密钥系统请查看第 8 章相关内容。
黑底白字表示由于安全芯片的引入,需要改动的模块。这是已有的基本的安全功能的门锁。
由于安全芯片的导入、安全算法、安全存储、安全通信等功能都会有所修改。
图 316
整个安全芯片的方案不算复杂,工作量最多的倒是在选择哪种芯片,测试哪种芯片符合要求上。
第二种方案外挂安全芯片的架构图和改动地方类似。
在设计安全系统上,信任链是一切安全的核心。
图 317
这个系统的信任链的根就是可信密钥管理系统,它会下发密钥给生成售后系统,生成售后系统会把密钥烧写到安全芯片,而在运行阶段会时刻和服务云端建立可信的安全通道。
端侧的信任根从安全芯片开始,到主控MCU,再到通信模组,所有的功能模组都有基于安全芯片派生的子密钥,而这些子密钥都会在密钥管理模块中进行管理,密钥管理模组会定时和安全芯片进行通信,确认其管理的密钥的可信。
在端侧和云侧通信的时候,云端需要认证终端是否合法:假冒终端会造成信息泄露、串货、资源被盗链等威胁。
而终端也要认证云端的是否合法。假冒云端可以导致终端的安全受到威胁、信息泄露威胁等,特别是门锁,一般会通过假冒云端来劫持门锁,进而很容易被非法开锁了。
图 318
和ID2 的可信通道建立类似,不过这里的云随机数是可信密钥管理系统生成的。
整个安全通道的建立过程如下:
①门锁的通信模组会通过门锁云服务,向可信密钥管理系统申请随机数;
②门锁云服务接着会把这个随机数发给门锁通信模组;
③通信模组会通过主控(或直接)向安全芯片发送云随机数;
④安全芯片根据云随机数和自身的密钥运行得到认证码,叫云认证码,并且生成自身的端随机数,同时发给通信模组;
⑤通信模组和门锁云服务会把云认证码和端随机数上传到可信密钥管理系统;
⑥此时,门锁云服务可以把自身的会话密钥传给可信密钥管理系统进行加密;
⑦密钥管理系统建议云认证码是否合法,假如合法就根据端随机数生成端认证码,加密会话密钥后下发给门锁云服务,下发到门锁端;
⑧安全芯片最后要建议端认证码的合法性,并且解密得到会话密钥;
⑨该会话密钥后面就用来加密通信的数据。
至此,一条连接三方的安全通道就建立起来了。
通过这种方式,就建立了端侧到云侧的可信通信安全通道。
基于安全芯片的方案,需要应用到每个地方,比如:
●建立双向认证的SSL/TLS通信;
●基于双向认证流程的MQTT流程;
●基于安全芯片的设备绑定和模组认证机制;
●可信的OTA升级机制;
安全启动信任链的建立;
●基于安全芯片的数据安全存储;
●LOG的安全管控。
那么此时就可以对整个解决方案做整体的评分(根据具体的评分标准进行评分)
图 319
可以看到:
●识别安全、物理安全、电气安全评分并没有增加,这是因为这些维度是硬件决定的,需要硬件的提升;
●由于安全芯片的加入,系统安全技术得到了极大的提升,但系统还存在着漏洞以及不太可能落实到每一处细节,所以这个维度后续会面临缓慢提升的工作过程;
●物联安全技术、网路安全技术,这两个维度由于双向认证的加入,一下子会提升到非常高的阶段,再提升需要对传输协议的深度安全化定制;
●由于有等保三级和可信密钥的加入,云端安全技术也比较安全,但云端又是一个比系统更加复杂的地方,特别是在管理层面,这里的分数还偏于太乐观,实际估计就 7 分不到;
●应用安全技术也由于密钥的加入会得到提升,但应用的安全会同时受系统的影响,自身的改进不太可能达到比较高的安全度;
●AI安全技术和本方案关系不大,所以并没有得到提升。
就算这么多的安全措施加入,最终整个智能门锁的安全 9D评分也才 7.15 分,还有很多地方是可以逐步提升的,后面肯定就没办法一下子提升这么大的幅度,有可能是 0.5,甚至 0.1 分的提升。这意味着达到了业界水平,后面提升慢,但却对应护城河的建设。
在智能门锁上,很难采用一些比较复杂的安全技术,但这些技术对于增强门锁安全非常有用,有些可能已经采用,有些可能没有采用。
(1)原因
门锁的模组是有可能被替代的,特别是开门的模组,比如指纹模组,那么就会存在被非法开门,盗取信息,特别是指纹信息、人脸信息等。
影视剧中经常就能看到通过撬开指纹模组后进行更换,最后顺利非法开门的情况,所以门锁内模组间的绑定也是有必要的。
(2)绑定方案
图 320
模组绑定过程大概是这样的。
第一步,提前从可信密钥系统中批量生成公钥。
第二步,把公钥给模组供应商,模组要烧入公私密钥对的公钥。
①在绑定开始的时候,模组向主控MCU发送绑定的请求;
②主动MCU会和安全芯片进行通信,产生一个随机数,假如没有安全芯片就自己根据时钟随机因子产生;
③然后使用自身的私钥加密该随机数;
④随后发送给指纹模组;
⑤指纹模组使用公钥进行解密,得到主控MCU的随机数;
⑥然后获取自身的模组ID。
第三步,计算验证码,一般方法采用摘要算法来计算:SHA256(随机数+模组ID)。
⑦把这个验证码和模组ID同时发给主控MCU,由于摘要算法是不可逆的,所以无法从验证码里面推算出随机数;
⑧主控根据发过来的模组ID以及前面产生的随机数,自己也运算验证码SHA256(随机数+模组ID)。
第四步,对比算出来的验证码和模;组发过来的验证码(哈希值)是否相等,假如相等就说明随机数和模组ID都是正确的,就能成功绑定。
(3)通信方案
使用绑定的密钥加密数据进行正常的数据通信,内部通信的密钥位数可以简单点,比如 16位就够了,对数据加密也可以非常简单,比如就进行异或。
(1)原因
升级包包含了物端系统的软件、配置、参数,甚至还有密钥,很多破解物端系统都是通过解密升级包完成的,比如:
●研究其中的软件可以知道漏洞,调试模式,工厂模式等特殊模式等,比如在参加“AI时代智能电视安全新挑战”的论坛中就看到通过破解升级包然后进行反编译得到进入ROOT模式的方式——遥控几个按键的组合;
●研究其中的配置、参数可以获取各种远程服务地址,甚至改动其中的配置或参数让系统一开机就能进入ROOT模式;很多非官方升级包就是这样干的。
升级包破解属于数据的解密过程,技术成熟。
(2)方案
安全OTA包括两个方面。
一是升级包的完整性、真实性:完整性、真实性是防止升级包被修改,比如被非法加入某些广告木马之类的。
完整性真实性这点由升级包的签名和安全启动来保障,签名在前面关键数据保护等章节有写过,安全启动在前面也有详细描述了。
二是保密性:对软件升级包的加密主要是为了研究升级包,从里面找出系统的漏洞或者密钥,但升级包一般比较大,采用传统的加密方式速度比较慢,所以需要找到一种比较快速的加密方法,比如XOR-CBC算法。
XOR-CBC加密原理:
图 321
CBC:秘闻分组连接模式。
XOR:异或运行。
由于加密也是异或运算,所以速度非常快。
过程是这样的:
①先把升级软件包分为若干组(比如 128 字节);
②第一次先软件包组 1 现和初始化向量IV进行异或;
③接着对异或过后的文件和KEY进行第二次异或得到秘文组 1;
④秘文组 1 和软件包组 2 进行异或,在和KEY异或得到秘文组 2;
⑤依次类推,解密就反过来。
特点:
●由于每组的密文是下一组的输入,所以当有一组发生变化,后续所有密文都会损坏,解密不出来,所以传输的时候需要多传一次MD5 码校验;
●由于可能可以通过对初始化向量IV的反转来攻击破解,所以解密再次通过前面来校验器真实性;(通过初始化向量IV的反转让接收站得到的不是原文,而不是破解了原文,保密性还是得到了保障)
●可以边传输边解密。
服务器升级过程:
图 322
步骤如下:
①当工程师上传升级包的时候,升级管理服务器会产生两个随机数,一个作为初始向量IV,一个作为密钥KEY;
②升级服务器接着解压软件包并生成该软件包的签名文件;(签名文件可校验软件包的完整性真实性)
③然后采用XOR-CBC的算法加密该软件包,异或是一种非常快速的运算,此运行耗时非常快;(XOR-CBC加密主要是对软件包进行加密,保密性)
④接着算出已经加密的包的MD5 码;(对加密的软件包进行完整性校验)
⑤然后把初始化向量IV、密钥KEY、升级地址、MD5 都用私钥进行RSA加密(证书?)。(非对称加密,加密等级很高)
门锁端的升级过程:
①门锁先会下载密钥包;
②使用门锁端的公钥解锁出密钥包;
③然后根据密钥包里面的路径下载正确的软件包;
④接着使用密钥包里面的MD5 码校验一下完整性,主要担心传输过程有变化;
⑤接着使用初始化向量IV和密钥KEY对软件包做解密;
⑥再使用签名文件再次验证一下软件包的合法性。
整个软件升级包需要用到密钥,密钥可以使用密钥管理系统生成的密钥,也可以使用自生成密钥。
(1)原因
在工作的过程中,发现无法每处需要保密的地方都使用可信密钥系统生成的密钥,这一是不是每个机型对应的工厂都能烧录密钥,也有些是很难通过网络下发的,而且可信密钥一般使用在安全要求比较高的场合,有些安全度不高的场合也需要密钥,这些密钥可以由可信密钥进一步派生,也可以直接由ID码生成。
(2)原理
密钥,特别是根密钥一般不会直接使用随机数,可以由对应的方法得到。
图 323
●可以用使用设备的ID,或者芯片的ID,先计算其摘要值出来;
●把该摘要值分为前后两部分,再用摘要值进行加密;
●最后异或得到密钥。
这个方法只要知道其方法,那么就很容易推算出来,所以有改进方法。
图 324
在对前后两部分进行加密的时候,采用其他密钥或者随机数进行加密。这种方法得到的密钥就很难被推算出来,传输的时候可以传输随机数,而ID一般是被对方用其他的方式得到的。当然,这种方式还是依赖于算法的保密性,安全系数不是很高。
(1)原因
在智能终端产品中,调试及调试日记的管控往往是被忽略的,但很多时候这是很大的漏洞,很多工程师在里面不止会打印出设备的运行状态,还会打印出个人信息,甚至密码,密钥都能够被打印出来。
(2)原理
图 325
以下为原理的步骤:
①先要有进入调试状态的命令,DB、debug都可以,需要带工号输入;
②门锁端自身产生一个随机数;
③把随机数、工号、设备ID上传到授权服务器,这些ID都不算保密信息,传输通道使用HTTPS或HTTP都可以;
④授权服务器会从OA查询到对应员工的姓名拼音(或手机号、邮箱号等);
⑤使用摘要算法算出SHA256(设备ID,随机数、工号,姓名拼音),或SHA256(设备ID,随机数、姓名拼音),或SHA256(设备ID,随机数、手机号)等;
⑥生成授权服务器的随机数;
⑦私钥加密上面两步的值;
⑧把这个授权码返回给门锁端;
⑨调试人员此时需要输入自身的信息(姓名拼音、手机号或其他);
⑩门锁端算出这些信息的摘要值,SHA256(设备ID,随机数、工号,姓名拼音),算法和授权服务器保持一致;
⑪使用公钥解密出授权码
⑫对比两个值是否一致;
⑬假如为一致,就进入调试状态,可以自由输出调试日记等。
(3)有两点的问题,需要提出
●假如被其他人知道工号以及对应的信息,这个方案就达不到安全的效果,可以增加短信确认等。
●假如门锁终端没法直接联网,那么第 3 步和第 8 步需要人工进行填写,也就是人工需要在授权服务器填写设备ID、自身工号、随机数;而当授权服务器产生授权码的时候,调试人员需要把授权码填回门锁终端。
(1)为什么要做
不是每款智能门锁都会设计安全芯片,虽然安全芯片的价格就是几块钱,但产品部门还是会为了几块钱而斤斤计较,所以作为一个安全人,就需要提供一种解决方案给到产品部门,这一方案要既能够解决产品的安全问题,又不会给他们增加成本。此时,白盒密码技术就是个不错的选择。
(2)什么是白盒
白盒密码技术是假定攻击者已经完全控制了整个加密的操作过程且对此完全可见,在这种情况下处理面临的严重威胁。黑客们可以不受限制地观察动态密码的运行过程,并且内部算法的详细内容是完全可见、可随意修改的。尽管白盒密码技术的方法完全透明,但是它将密码进行了组合使得密钥不容易提取。(来自网络)
(3)白盒的原理
实现白盒的原理,每次都到key就会生成一个表,然后对民委进行查表操作,实现加解密的操作(古装间谍类的电视剧里经常演的那样)。
图 326
该技术会用到开源代码库。
●aes-whitebox:只实现cfb、ofb、ctr,没有实现cbc、ecb模式。
●c ++ NTL库:用于处理带符号的任意长度整数以及整数和有限域上的矢量,矩阵和多项式的数据结构和算法,用户生成白盒密码表。
(1)目的
信息除了加密保护,还能够把隐秘的信息写在其他载体中,比如把密码写在图片的数据中,而这是往往是为了解决没有手段保护密钥的一种方式。
(2)原理
比如利用人眼对于颜色的敏感度不强的特点,可以把信息写在图片的最低 3 位上,图片看起来还是原来的样子,但数据已经写在里面。
图 327
这种方式可以写得更加隐蔽,比如写两位,或者间隔几个像素后再写等算法,只要不了解算法或者参数,就很难被破解。
隐写的载体可以是图片、视频、其他文件等,但需要对这种文件的各种非常了解才能够把信息隐写进去。
隐写还有一个限制,就是容量,用一个图片的最后 3 个位来隐写,最多有像素*3 位的信息值。
假如一个图像中含有大面积相同的色彩相同,隐写太多的信息会很容易被识别出来。
隐写信息有很多种方法,比如:
●上面所写的就是最低有效位差值,也叫LSB;
●隐蔽和滤波法(mask and filter)(不太了解);
●算法和转化。
(3)框架
一个有效的隐写框架如果下图所示(LSB):
图 328
最核心的就是功能层:
●标签生成,必须在某一个地方写入标签,说清楚隐写的信息是什么;
●隐写算法,有很多隐写算法,这可能是保密度的核心,既安全又不影响原载体是所有算法的追求;
●载体格式解析,简单的格式,比如BMP,可以自身解析,但假如格式比较复杂的,比如视频,需要借用格式解析库解析。
(4)流程
图 329
这个流程简单浅显,应该不需要解释了,略。
进入智能的安全建设大多都是以技术领先为指导思想的,所以从一开始就有了安全技术分级,9D维度评分、四代技术架构等分类分级的动作,这自然而然的需要内化为安全等级技术标准。
●需要根据已知的安全技术、安全标准构成相应的安全等级标准;
●最低等级必须是已经实施的安全技术或措施,这是基线,说明产品的出货已经达到标准了;(实际情况往往和理想逻辑有点相反)
●高一级的标准必须可以实施的安全措施或技术,这就能引导业务落地去落地;
●再高一级必须能符合安全的规划,引导后面一段时间的安全研发工作;
●最高一级必须有长远的目标,或者市面最领先的智能门锁特征。
注:实际情况是先有门锁安全等级标准,后有本节内容,可参阅“跋 2 我制定标准的经历”。
根据以上的原则,再结合现有以及将来可能出现标准的情况,就可以列出标准的依据。
图 330
(1)分级
一级:一级满足市场对门锁安全的最基本的要求,这要求参考已经通过某宝评测的几项门锁信息安全检测要求,也满足最低标准的原则。
二级:参考当时在制定的国家标准的基本要求,经过评估这些基本要求是必须且可以实现的,满足高一级标准的原则。
三级:参考当时在制定的国家标准的强制要求,只要国标能出来,领头的企业绝对会朝着增强级前进,所以能引导后面一段时间的安全研发工作,满足再高一级标准的原则。
四级:这是长远目标,需要洞察已有和可能用在智能门锁上的安全技术或措施。第二级还有很多要求没有实现,制定到四级有点早,所以后面的详细要求只到三级。
详细的国标标准可以在网上搜,而且好像还未发布,国标只有普通级和增强级。
第一级为基线等级,必须强制满足的;第三级是现有的已能够掌握的手段能达到的,超过三级需要采取更加安全的手段。
注:内化该标准时带信息安全的新版《GB21556-xxxx锁具安全技术》标准还没制定,这样 制定出来标准肯定和CC以及其他标准的等级有很大差别。
有了分级的依据,要制定详细的标准要求就需要搞清楚整个智能门锁系统架构,才能分类。
(2)架构
图 331
智能门锁系统是一个整体物联网系统,整个系统包括锁体、网关、应用、管理平台(也就是云端),各个环节都会对智能门锁造成威胁,所以需要分别对这些部分都提出安全技术要求,包括:
●网关安全要求;
●锁体安全要求;
●应用安全要求;
●云端安全要求。
以下简单地描述各个部分的安全要求。
图 332
(1)锁体标识,
一级:应该具备唯一标识。
二级:同上。
三级:应具有不可复制和防篡改保护机制。
(2)接入安全(网络接入安全要求)
一级:能向网络证明终端身份。
二级:证明过程中必须保证密钥安全。
三级:双向认证、密钥需特别保护。
(3)通信安全(无线网络安全要求)
一级:需完整性校验、特征信息需加密传输。
二级:所有字符数据加密、防重放和中间人。
三级:所有数据必须加密、一机一密。
(4)数据安全
一级:敏感信息必须加密,需保护个人信息。
二级:所有信息需完整性校验。
三级:密钥需特别保护、一机一密。
(5)设备安全(升级安全要求)
一级:固件的完整性并提示。
二级:固件的真实,需安全通道进行升级并修复高危漏洞。
三级:升级固件必须加固并修复所有漏洞。
(6)识别安全(指纹识别安全要求)
一级:可以识别异物。
二级:能识别指纹模块的异常。
三级:支持活体检测能力。
(7)失效保护
一级:电源恢复正常后,鉴别信息和时间信息不应丢失,需正常工作。
二级:设备故障需告警且不影响开锁。
三级:同上。
图 333
门锁通过的网关接入广域网,其安全要求如下。
(1)设备标识
一级:应该具备唯一标识。
二级:同上。
三级:应具有不可复制和防篡改保护机制。
(2)鉴别(接入鉴别)
一级:无要求。
二级:能对锁体鉴别其唯一性。
三级:双向认证。
(3)数据安全(存储安全)
一级:无要求。
二级:重要数据保护。
三级:密钥需特别保护。
(4)系统安全(升级安全)
一级:固件的完整性并提示。
二级:固件的真实性,需安全通道进行升级并修复高危漏洞。
三级:升级固件必须加固并修复所有漏洞。
(5)安全审计
一级:无要求。
二级:默认开启审计功能。
三级:具备入侵报警记录。
(6)失效保护
一级:无要求。
二级:断电恢复后安全策略正确。
三级:同上。
图 334
门锁在云端的管理平台,其安全要求如下。
(1)身份鉴别
一级:应该具备用户唯一标识且满足口令复杂度。
二级:同上。
三级:两种组合的口令且放暴力。
(2)访问控制
一级:用户分组且防水平越权。
二级:细分安全策略。
三级:二次身份鉴别。
(3)安全审计
一级:具备安全审计。
二级:保护安全审计。
三级:监控安全审计。
(4)资源控制
一级:无要求。
二级:限制最大并发。
三级:监控通信与服务资源。
(5)密钥管理
一级:无要求。
二级:具备密钥管理功能。
三级:保护密钥管理功能。
云端安全只要通过等保三级,上面的要求肯定都满足,这是基线要求。
云端安全可参考第三章内容。
图 335
门锁一般通过的移动App进行控制,其安全要求如下。
(1)安装与卸载(安装)
一级:明确授权与隐私保护确认。
二级:最小化安装原则。
三级:同上。
(2)鉴别机制(身份鉴别)
一级:有效身份认证机制。
二级:防暴力破解。
三级:同上。
(3)访问控制(基于用户的控制)
一级:有效的授权机制。
二级:现在多重并发会话。
三级:同上。
(4)数据安全(存储安全)
一级:敏感数据保护。
二级:超期处理。
三级:权限准确设置。
(5)运行安全(实现安全)
一级:基本的安全性。
二级:修复高风险漏洞和接口。
三级:防止反编译与篡改。
(6)代码保护
一级:具备完整性校验。
二级:防逆向缝隙。
三级:防进程注入。
应用安全还可查看第 4 章相关内容。
在开始搞门锁安全的时候,恰好听说“全国信息安全标准技术委员会”有类似的国标正在制定,而参加会议了解智能门锁相关国家标准的制定是一个很好的方式,这既为了推动业务的前进,也为了可以向领导汇报安全的动态。
制定该标准时,GB 21556 还没开始制定,所以没有以此为参考,而是参考了当时在制定的另一份信息安全门锁标准《GB/T xxxx信息安全技术 智能门锁安全技术要求和测试评价方法》,当时旁听了该标准的制定过程并提了些意见,可惜这份标准一直没有发布(后面可能会被GB21556 代替)。
图 336
内化标准所参考的标准除了上面还有:
●《ICA/T 2019-212-01 智能门锁信息安全检测规范》
● 《T/SZS 4005-2019 智能门锁通用技术条件》
● 《T/CAS 352-2019 智能门锁智能水平评价技术规范》
智能门锁安全等级评价标准和 9D卖点肯定是不一样的。
9D维度评分倾向于安全技术要求,出发点是卖点;等级标准标准倾向于安全功能要求和安全保障要求,更加能够全面地衡量门锁的安全水平。
图 337
内化等级评价标准是大体参考国标里面对于门锁锁体的安全要求制定的,而 9D维度是根据市场和数据的一生推导出来的,所以分类会不一样,假如要把他们之间的关系对应起来。
●网络安全技术是满足在接入安全要求和通信安全要求里的广域网要求的基础上的增强;
●物联安全技术是蓝牙、zigbee等近场通信基本要求,其实应该包含网关安全才齐全;
●系统安全技术对应着设备安全与数据存储安全,这比较合理些;
●识别安全技术就是指纹、人脸等生物特征的识别,比较准确,技术是在此之上增加静脉、瞳孔,或一些算法的开发;
●AI安全技术,包含一些自动提示等,距离实际的人工智能还有一段距离;
●云端安全技术就是云端安全的一些要求,不是云服务提供商,专门开发云端安全技术的可能性比较低;
●App安全技术可能会有更多的搞头,当精力还是在门锁终端上;
●物理安全技术、电气安全技术这些都有对应的认证,比如C级锁芯、门锁强制认证、辐射认证等。
等级里面定义的一级相当于 9D维度评分的 50 分左右,二级相当于 70 分左右,三级相当于85 分左右,四级肯定是 100 分。
对照的“提前解读的准则”,可分析一下该内化安全等级标准所对应的准则等级。
图 338
就算门锁安全等级技术标准的第三级,也没达到《GB 17859 计算机信息系统安全保护等级划分标准》的第二级,缺少了对客体重用和审计的详细要求,虽说报警功能和事件记录可以算是审计的要求,而第三级所要求的标识和强制访问控制更加没有提到。
由此判断内化智能门锁安全等级技术标准的最高级最多达到《划分标准》里的 1.5 级。
一个原生简单软件系统,要达到 3 级以上还是有点困难,不过这不重要,因为现代CC认证是根据威胁推导出安全功能要求的,等级认证的是保障要求。(见第六章的认证)
制定该等级技术标准时,物联网基线要求还只是EN103645,基于此基础后面才发展成为欧洲物联网安全基线要求EN303645,在第 6 章有详细的描述,在这里可以简单分析一下该内化等级标准是否满足安全基线要求,甚至多了哪些安全要求。
图 339
各种识别安全肯定是通用默认密码的升级版,这已经是功能点了,而重点措施在安全通信能力上,这符合物联网的安全要求趋势。由于不像和智能电视一样搞出很多人为弱点,所以减少暴露弱点的要求就只有两项,只有三项基线要求是没有体现的。
●漏洞报告机制:有了后续制定的安全应急响应流程以及安全响应中心。
●轻松撤销信息:对应个人数据保护,其实在应用安全中有。
●更易安装维护:用户体验线的。
接入安全要求是比基线要求更高的安全要求了,可以看到按照该标准进行评估,一级已经基本能满足基线要求了,达到二级以上肯定能通过 303645 评估,而三级就超过了。
该标准对应的评估实例参考第 5 章评估测试产品的内容。
可以使用“内化等级技术技术标准”对市面流程的智能门锁解决方案进行大概的评估,评估其安全水平。
按照指定的标准对现有的“第一代技术架构”,也就是已经应用了安全措施的门锁进行了大概评估,评估情况如下:
图 340
除了一些不适用,现有产品在网络接入、无线电安全、蓝牙安全、数据存储、调试口安全、人脸识别安全等方面都存在比较大的安全隐患。
对第二代技术架构或探索安全芯片的方案进行大概评估,情况如下:
图 341
可以看到采用了安全芯片以及基于安全芯片的一系列措施后,整体的门锁安全水平能达到第三级的要求,也就是国标的增强级的要求。
安全芯片能够直接影响下面的几项安全技术要求。
●锁体标识:三级需要安全芯片。
●一机一密:三级需要安全芯片。
●双向身份认证:三级需要安全芯片。
可以看到智能门锁加入安全芯片并广泛应用是一个趋势,接下来看看业界流行方案的安全水平都是怎么样的。
这是某企鹅的IoT方案:
图 342
TID的意思是Trust IoT ID,可信物联网设备身份认证的意思,其提供多安全等级、跨平台、资源占用少的物联网设备身份认证服务,支持主流加密算法、国密算法等。(来自官方介绍)
TID方案主要提供的TID的服务平台,以及通过该平台和安全芯片厂家合作,在其芯片中烧入TID的密钥。
TID方案有以下几个特点。
●一机一密:采用一机一密、一次一密的方式,确保每台设备,每次会话均有各自独立的密钥。
●离线认证:支持端到端的离线认证,整个过程无需和云平台通信,节省了设备身份认证时间和网络流量。
●支持国密:支持国际主流的密码算法,还支持国产商用密码算法、SM2、SM3、SM4 等。
●资源较少:相比TLS认证加密协议,握手数据传输量降低 92%,握手次数减少 86%,库文件减少 81%等。
●安全芯片:支持主流的芯片厂家独立供货。
●授权费用:其收费的方式为,授权年限,大体一元一年一个,量多年限长,价格肯定会下降。
这个方案和自主的安全芯片方案基本是一样的,只是可信密钥服务器换成了企鹅,自身不用建立可信密钥系统、生产售后系统等。
在智能门锁终端的工作量一样,安全度评估都也类似。
图 343
同上,解释略。
这是ID2 方案:
图 344
ID2 的含义是Internetr Device ID,是一种物联网设备的可信身份标识,具有不可篡改、不可伪造、全球唯一的安全属性,是实现万物互联,服务流程的关键基础设施。(来自官方介绍)
ID2 首次认证时会自动激活,激活成功后才能在对应的账号控制台上看到ID2。ID2 激活时会消耗一个授权额度,授权额度需要购买。
从官网下单购买安全芯片的时候,会生产对应额度的授权,在线下购买安全芯片,需要联系客户添加授权额度,还可以单独购买授权额度。
ID2 方案有以下几个特点。
●一机一密:同TID。
●离线认证:同TID。
●支持国密:同TID。
●资源占用:相比TLS认证加密协议,握手资源消耗减少 70%,库文件减少 70%。
●安全芯片:同TID。
●烧录环境:由提供已烧录一机一密密钥与ID,工厂组装产线无需增加工序。
●授权费用:比TID便宜那么一丢丢。
对其进行大概评估:
图 345
安全等级评估和TID是一样的,略。
这是HIS方案:
图 346
HIS是某度的安全方案,也是物联安全系统,其基础服务从证书到密钥保护的角度解决物联网安全的问题,通过保护证书和密钥并提供统一的安全接口服务的方式为上层应用提供安全能力,并赋予设备唯一身份标识,提供设备身份认证服务和敏感数据安全传输服务,进而实现端云一体的安全保障。(来自官方介绍)
HIS方案有以下几个特点。
●产线安全烧录:无缝对接知名安全载体厂家产线,在产线安全烧录设备ID、密钥和证书。
●灵活安全选择:支持多种载体(芯片、MCU、TEE等),支持多种对称加密方式(3DES、AES)和非对称加密方式(ECC,RSA)等。
●开箱即用:脚本一次签发,可激活百万设备,简化安全服务应用配置,节省开发时间。
●免入侵测试:设备出厂前全面入侵测试,模拟黑客入侵路线,测试范围包括设备、移动App和云后台等。
●缺点 1:标准的TLS双向身份认证,证书交换加上握手的时间较长。
●缺点 2:设备数据需要流过提供商的云。
评估,同上略。
图 347
这是传统安全芯片厂家的方案,看起来和ID2 的一模一样。
XDJ方案有以下几个特点。
●一机一密:一机一密、一次一密,确保每台设备、每次会话均有各自独立的密钥。
●支持国密:国内的安全芯片厂家,一般都会支持国密。
●安全芯片:主要价格的产品。
●安全服务:由其PKI系统烧入的密钥。
评估,同上略。
把每个方案的主要决策点进行了对比,结果如下(图中的数据只是示例,不代表实际情况):
图 348
可以看到,市面上的摄像头都是基于安全芯片的,所以安全等级类似。近阶段比较好的选择是某D的方案。这个方案投入少,送授权 5 年,5 年后产品都基本过期了,再续费也不需要太多,或者密钥就不更新了。所有的第三方方案都有一个问题,那就是可信根密钥由别人决定,但假如第三方的供应商安全出问题或者业务出问题,可能就会导致自身出现问题,所以最好还是自己搭建系统,虽然一次性投入比较大,只要分摊到上百万的机器上,平均费用就会很低,而且就算用第三方方案,把方案落到终端的研发费用也是少不了的。
所以就有了第 8 章的密钥管理系统的搭建与开发。
从不同的方向可以得到门锁的不同安全技术,这也是技术洞察的内容之一。
从整个门锁系统对于数据过程的保护中,推导出 9D安全技术措施以及评分模型。
图 349
●数据的产生过程会产生识别安全技术(包括锁芯安全);
●数据在门锁中存储就必须有物理安全(防止锁被拆)、电气安全(防止电路被干扰)、系统安全(防止数据被篡改,软件被入侵替换)三个方面的措施;
●数据会被传输,那么传输途径的安全就更加重要;
●锁和用户数据会存放在门锁厂家的云服务中,那么云服务器自身的安全更加重要,已经关乎可能上亿的用户的安全,已经是公众安全范畴了;
●数据会被用来使用,比如改进用户体验,提供更加智能的服务,那么引发的安全技术对于厂家会更加关键。
从门锁安全技术难度,要建立门锁安全技术的护城河看,推导出必须有五个阶段,这需要一步一步走。
图 350
●阶段一(补短),和产品打通,增加一些自身的基础安全措施,已取得认可;
●阶段二(补短),研究产品特性,对产品的一些安全短板进行技术和措施上的补齐;
●阶段三(提升),引入同行业成熟的安全方案或者同行领头企业的安全特性,整体上达到领头企业的水平;
●阶段四(拔高),借鉴跨行,特别是网络企业、通信企业的安全产品经验打造产品安全;●阶段五(领先),还在概念阶段的阶段,很多技术是实验室中的或者需要比较大的投入。
从安全认证的影响程度、完备程度、产品的市场拓展程度,推导出应该四个阶段。
图 351
●首先是国内如今在做的一些安全测试,只是测试大多只要评估证书而没有认证证书,这代表国内门锁流行品牌的水平,已经具备了基本的安全保障,可以防除专业黑客外的其他威胁。
●假如要进军海外,可以做ETSI的 303645 认证,欧洲、澳大利亚、英国等国家对此还是比较认可的,该认证在产品的信息安全、网络安全上的要求会比较容易实现。这是现代的物联网基线要求,在一定程度上代表了行内认知。
●假如要进军美国,或者进行提升,那么UL2900 是一个不错的认证。
●一步到位的话,可以进行CC认证,但CC认证会涉及研发环境、生产环境等各个方面,都需要安全。整个体系都安全了,接入国际领先企业的生态也不成问题。
写到这里的时候,门锁还没有CC认证所需的PP,但和CC相关的有CCRC的认证、通信模块EAL2 的PP、安全芯片EAL2 的PP。(可查阅第 6 章内容)
从智能门锁的开锁方式进化方向来说,猜测可能有下面几种门锁开锁进化方式。
图 352
●从个人的使用情况来说,卡片方式的开锁在家庭估计已经很少有人用了,在酒店等地方使用还很多;
●指纹、人脸,应该是当下流行的家庭门锁开锁方式,假如指纹开不了,才会想到其他方式;
●随着对于个人信息的保护意识越来越关注,手机开锁方式应该会流行起来,不过手机会杀后台,导致需要重新点开应用很影响体验;
●假如在智能车上已经解决无感开锁的技术和生态后,越来越多的无感开锁方式应该会是家庭门锁的主要方式;
●大家在追求完方便后,可能会关注更加安全,特别是高端的智能锁,所以双因子,三因子等是个方向,但这些因子的添加不能以用户的体验感为代价。
整合上面的内容,看门锁的技术进化。
图 353
由上面的内容,大家可以总结一下整个智能门锁的安全框架,这里大体以 9D的来对应。
图 354
整个框架大体以在制定的国标《GB 21556.2-xxxx 锁具安全技术要求 第 2 部分:防盗锁》为基本框架而整理,对应的是框架中的系统安全、识别安全、网络安全、App安全的部分。
而其他没有在标准里体现的,更应该是门锁公司应该着力提升的地方,这些就是建立竞争力,建立护城河的地方。
智能门锁写到这里,其实已经都写完了,但有几个要点对其未来的发展要写:
●对于整个智能家居来说,智能门锁绝对是安全的门户,它可以和其他家居构成家庭的整体防御系统;
●智能门锁甚至可以是整个智能家居的方向盘,比如门一开,整套智能家居开始进入准备启动的状态,既省电又能够提升其他家电的体验;
●中低端的门锁的未来是体验,高端门锁的方向是高安全;
●更加智能化的发展肯定会渗透进门锁,比如chartGPT的应用会从开门的那一时刻就开始;
●智能门锁这一大节能写近百页,就说明在这上面所做的努力之多。