國家互聯網應急中心網絡安全應急技術國家工程實驗室

啟明星辰積極防御實驗室（ADLab）

北京同余科技有限公司

云丁網絡技術（北京）有限公司

引言

2016年起，隨著物聯網、云計算、大數據等技術的不斷成熟和廣泛應用，加上資本的助推，智能家居異軍突起，成為新興產業勢力。智能門鎖作為智能家居產業中的代表性產品之一，發展潛力非常巨大，2017年智能門鎖產值超過百億元，市場規模接近800萬把，預計2020年智能門鎖市場規模將達到4000萬把。 

智能門鎖是一個典型的物聯網系統，其整個系統由感知層、傳輸層和應用層組成，包括智能門鎖設備、智能家庭網關、手機APP和云端服務等組件。其中傳輸層與應用層技術為現有互聯網技術，相對成熟穩定。在感知層，用戶身份認證方式主要有固定密碼、臨時密碼、指紋、掌紋、人臉、RFID、NFC和APP等，近場接入技術主要有WIFI、藍牙、Zigbee、433Mhz和 315MHz等。隨著智能門鎖的流行，各種安全隱患也不斷被暴露出來，指紋復制、密碼猜解、強磁干擾、APP漏洞、近場通信劫持、WIFI流量劫持和云端服務漏洞等各種智能門鎖的安全事件已經被媒體廣泛報道。

智能門鎖的安全將會直接導致個人和家庭的生命財產安全，其重要性勿需多言。本報告重點關注智能門鎖的網絡安全問題，首先分析了智能門鎖的發展趨勢，梳理了智能門鎖的各種開鎖技術。接下來深入分析了智能門鎖的各項聯網技術，并根據智能門鎖的組網體系架構提出了其安全風險模型，同時結合具體的智能門鎖安全漏洞進行案例驗證分析。最后從個人用戶、廠商和行業主管等幾個方面分別提出了幾點智能門鎖網絡安全的建議，希望能給智能門鎖行業提供一些參考。

1、智能門鎖市場現狀與發展趨勢

智能門鎖是指區別于傳統機械鎖的基礎上改進的一類門鎖，在用戶安全性、識別性和管理性方面更加智能化和簡便化的鎖具。廣義上說，具有指紋門鎖、密碼門鎖、藍牙門鎖或者APP互聯網門鎖等任一功能的門鎖均可稱為智能門鎖。

據《鯨準研究院-2018中國智能門鎖行業深度研究報告》數據，2017年智能門鎖銷量約800萬套，行業總產值超過100億元，在2016年的基礎上實現了翻倍增長，2018年有望繼續翻倍。截至2018年6月底，我國4億家庭智能門鎖滲透率在5%左右，3000萬套B端運營的租賃公寓滲透率在10%左右，未來發展空間巨大。

到2020年，我國智能門鎖年銷量將超過 4000萬套，市場規模將超400億元。2018、2019和2020三年將是智能門鎖發展的黃金三年，到2022年，我國4億家庭的智能門鎖滲透率將達到35%，達到2018年歐美的水平，公寓端的滲透率將超過50%。

從技術發展趨勢方面說，智能門鎖的聯網方式目前主要是WIFI和藍牙，此外還有Zigbee、433MHz和 315MHz等，由于WIFI和NB-IoT優勢非常明顯，未來將會成為智能門鎖的主流聯網方式。

2、智能門鎖技術發展現狀

2.1 智能門鎖組網技術

智能門鎖的整體組網為典型的物聯網三層結構，即感知層、傳輸層和應用層。其中感知層由智能門鎖和智能手機APP組成，傳輸層包括家庭智能網關和移動通信基站等，應用層即為智能門鎖云平臺。下圖列示了現在常見的智能門鎖的聯網方案，不同廠商不同型號的門鎖往往選擇其中一種或幾種連接方式實現聯網。

圖2-1 典型的智能門鎖組網技術

在感知層，由于受到功耗的限制，大部分智能門鎖采用電池供電，其通信方式主要有藍牙、ZigBee、NB-IoT、433MHz和315MHz等。也有部分門鎖有條件采用交流電供電，該類門鎖通常采用WIFI方式與云端進行通信。

在傳輸層，其通信方式主要有家用寬帶（WIFI/以太網）和移動通信（3G/4G）。

應用層即智能門鎖的云端服務，主要負責智能門鎖的設備接入、身份認證、邏輯控制、數據分析和業務展示等。目前智能門鎖云端服務主要部署在云上，如阿里云、AWS、Azure和騰訊云等，以及各廠商自己的私有云上。

2.2 智能門鎖開鎖模式

2.2.1 固定密碼開鎖模式

用戶在安裝固定密碼智能門鎖的時候，需要先進行門鎖初始化，并完成密碼設置，該密碼存儲在智能門鎖的固態存儲空間，同時也會上傳到云端進行存儲。

在用戶開鎖時，在門鎖上輸入密碼，如果輸入的密碼與預先設置的密碼一致，則可打開門鎖。

圖2-2 固定密碼開鎖模式

2.2.2 臨時密碼開鎖模式

在臨時密碼開鎖模式下，戶主會通過手機APP從云端獲取當前時段開鎖的臨時密碼，并通過短信、微信或者手機APP等方式將臨時密碼發送給訪客。

訪客在門鎖上輸入接收到的臨時密碼后，門鎖會將該密碼與云端自動生成的當前時段臨時密碼進行對比，如果成功，則開鎖。

圖2-3 臨時密碼開鎖模式

2.2.3 生物鑰匙開鎖模式

目前，市面上常用且穩定可靠的智能門鎖開鎖生物特征主要有指紋、掌紋、虹膜和人臉等。

該類門鎖在安裝的過程中，會將指紋、掌紋、虹膜和人臉等生物特征初始化到智能門鎖固態存儲或者云端。

用戶開鎖時，門鎖需要采集用戶的指紋、掌紋、虹膜和人臉特征，并傳統到云端與初始化特征進行對比，如果對比成功，則開鎖。

圖2-4 生物鑰匙開鎖模式

2.2.4 智能卡鑰匙開鎖模式

用于智能門鎖開鎖的智能卡主要有RFID卡、NFC卡和CPU卡三類，該類門鎖主要應用在酒店和公寓等場景。

使用RFID卡的門鎖，門禁管理系統會在RFID卡中寫入代表該卡身份的字符串，在開鎖時，門鎖提取RFID卡中的字符串，并傳輸到云端進行對比，對比成功，則開鎖。

使用NFC卡和CPU卡的門鎖，門禁管理系統會在NFC卡和CPU卡中寫入代表該卡身份的私鑰和公鑰，在開鎖時，該卡通過門鎖與云端進行雙向身份認證，如果認證成功，門鎖接收到云端的開鎖指令，打開門鎖。

圖2-5 智能門禁卡開鎖模式

2.2.5 手機APP開鎖模式

采用手機APP開鎖的門鎖，在初始化的過程中，云端會將門鎖與指定手機上的APP進行綁定。

在用戶開鎖時，用戶在手機APP上完成身份認證，然后在手機上點擊開鎖按鈕，智能門鎖就會接收到云端下發的開鎖指令，然后打開門鎖。

圖2-6 手機APP開鎖模式

3、智能門鎖安全風險與案例分析

3.1 安全風險模型

根據智能門鎖的組網體系架構，其安全風險可以劃分為以下五個方面：智能門鎖安全風險（針對智能門鎖設備的攻擊）、移動應用安全風險（針對智能門鎖手機APP的攻擊）、近場通信安全風險(針對WIFI、ZigBee、藍牙、433和315等通信方式的攻擊)、網絡安全風險（針對家庭智能網關和有線數據攔截的攻擊）和應用安全風險（針對智能門鎖云平臺的攻擊）。

圖3-1 智能門鎖網絡安全風險模型

3.2 智能門鎖安全風險

3.2.1 生物鑰匙攻擊

智能門鎖的常用生物鑰匙中，虹膜和人臉的偽造難度較高，已知的攻擊風險較小，但指紋和掌紋有較高的偽造風險，難度低，已經比較常見。

圖3-2 指紋識別攻擊

3.2.2 固定密碼安全

在使用固定密碼的智能門鎖中，經常出現使用默認密碼、后門密碼、密碼邏輯漏洞和短密碼等問題，并存在密碼泄漏等現象。

圖3-3 固定密碼攻擊

3.2.3 固件竊取和逆向

攻擊者拆開智能門鎖后，通過專用工具從固件存儲器中讀取固件內容，然后逆向分析固件存在的漏洞，再結合其它攻擊手段對漏洞進行利用。

圖3-4固件讀取

3.2.4 無線饋電攻擊

（1）原理分析

無線饋電是一項應用廣泛的技術，包括電磁爐、無線充電、非接觸卡等。一些智能門鎖由于設計缺陷，在布線及電路設計時沒有考慮電磁干擾問題。攻擊者可以利用特斯拉線圈通過無線電波干擾，使得智能門鎖的內部電路產生直流饋電。

如果這種直流饋電足夠高，將觸發智能門鎖小型電機驅動鎖芯實現開鎖。或者導致MCU的邏輯異常而重啟，有的智能門鎖默認重啟后會自動開鎖。

圖3-5 開鎖電路圖

（2）案例分析

2018年5月26日，第九屆中國（永康）國際門業博覽會上，一位女士以一個小黑盒連續打開了多家品牌的智能門鎖，最短的時間只有3秒，一篇名為《那個女人毀了整個指紋鎖行業》的文章迅速躥紅，成為智能門鎖圈的惡夢。

“小黑盒”的原理是特斯拉線圈通電后，可能產生兩種效果：一是利用智能門鎖電路的饋電系統驅動電流打開門鎖；二是該線圈產生強電磁脈沖攻擊智能門鎖芯片，會造成芯片死機并重啟，有的智能門鎖默認重啟后會自動開鎖。

圖3-6 “小黑盒”開鎖圖

3.3 移動應用安全風險

（1）原理分析

移動應用APP中存在各種常見的安全風險，如：移動端APP代碼中或者固件中使用固定的加解密密鑰；移動端APP代碼沒有采用加固和混淆技術使得代碼被完整逆向，進而了解并破解開鎖機制然后構造控制指令進行攻擊；開發人員遺留的代碼BUG問題，有可能導致繞過相關權限驗證；移動端操作系統出現相關漏洞，導致被植入惡意代碼進而控制手機實現攻擊；移動端APP和設備之間的認證問題，如果移動端APP和設備之間的認證過程出現漏洞，這就容易導致中間人攻擊，即偽造一個假移動端APP和真實設備進行通信達到欺騙目的進而實現攻擊。

攻擊者利用智能門鎖對應的APP存在的這些漏洞或缺陷，繞過智能門鎖、APP和云端服務預先設定的邏輯，實現非授權的開鎖操作。

（2）案例分析

某品牌智能門鎖存在密碼重置漏洞（漏洞編號CNVD-2017-03908）。我們通過逆向智能門鎖APP，分析其代碼邏輯及智能門鎖APP與云端網絡交互的報文，掌握了相關云端接口的定義。發現該品牌鎖的某個業務接口缺少用戶合法性驗證，攻擊者可以利用已經掌握的用戶信息，繞過合法性驗證進行密碼重置。攻擊者利用重置后的密碼完成登錄后，可以進行開鎖和修改用戶信息等操作。在此研究基礎上，我們又做了進一步的安全分析，發現了一個影響更大的安全問題：攻擊者通過該漏洞可以獲取該智能門鎖產品的全部用戶資料，包括手機號和開門密碼。由于該漏洞不依賴手機驗證碼，這種攻擊具有更大的隱蔽性，因此危害更大。

圖3-7 移動應用安全案例

3.4 近場通信安全風險

3.4.1 RFID門鎖攻擊

（1）原理分析

RFID卡中存儲代表持卡人身份信息的字符串，而一般的RFID卡中的信息以明文形式存儲，或者僅經過簡單處理后存儲，攻擊者可以讀取其中的信息，并復制到其卡片中，從而獲取持卡人的授權。

（2）案例分析

某品牌智能門鎖為RFID門鎖，測試人員從淘寶上購買簡單的RFID讀寫器，即可從已有的RFID卡中讀取信息，并寫入到新的RFID卡中，并通過新的RFID正常打開門鎖。

該類RFID卡常常以小區門禁、樓宇門禁和酒店房卡等形式出現，造成的影響面極大。

圖3-8讀取門禁卡信息

3.4.2 315Mhz無線電門鎖攻擊

（1）原理分析

無線電門鎖響應指定的無線電信號，而一般的無線電門鎖的信號是固定的，攻擊者可以重放無線電信號或對信號進行簡單處理，從而偽造真實用戶開關門鎖的行為。

（2）案例分析

某品牌智能門鎖存在無線電信號重放攻擊漏洞（漏洞編號CNVD-2018-02695）。該門鎖為無線電門鎖，測試人員從淘寶上購買簡單的無線電收發器，即可抓取無線電門鎖開關門信號，并存儲此無線電數據包到本地，通過重放包含開鎖信號的無線電數據包即可打開門鎖。

該類無線電門鎖常常以車庫門禁、家庭門禁和汽車門等形式出現，這種攻擊行為可形成巨大安全隱患。

圖3-9 利用無線電工具重放信號開鎖

3.5 網絡通信安全風險

（1）原理分析

有的智能門鎖直接通過WIFI信號連接到互聯網，而其它通信方式的門鎖連接到相應的網關后，也會通過WIFI信號連接到互聯網，與此同時，手機APP在家時，也會通過WIFI連接到智能門鎖和云端服務器?？紤]到大量的智能門鎖通信協議采用明文傳輸，或者加密傳輸過程中存在漏洞，通過攻擊WIFI路由器、智能家居網關，或者截持WIFI信號，可以實現對智能門鎖的控制。

（2）案例分析

某品牌智能門鎖存在設計漏洞（漏洞編號CNVD-2016-12586）。測試人員通過WIFI信號抓取，分析出APP與智能門鎖云端服務之間的通信是明文傳輸，并識別出智能門鎖開門和關門的特定數據包。

測試人員在劫持WIFI信號后，即可通過WIFI信號重放攻擊的方式，實現對門鎖的控制。

圖3-11 WIFI信號劫持實現開關門操作

3.6 云平臺服務安全風險

（1）用戶身份鑒別漏洞

未限制密碼復雜度，未限制非法登陸次數，重置密碼的短信驗證碼又本地產生或者存在于返回數據包中。

（2）訪問控制漏洞

后端信息系統沒有對數據包中重要訪問控制參數進行校驗，導致越權操作。還有存在遠程代碼執行漏洞，可以進行root權限命令執行。重要回話信息被劫持。

（3）云管理平臺系統存在web安全問題

常見的web安全漏洞同樣存在于智能門鎖云管理平臺，例如，SQL注入、任意文件上傳、失效的身份驗證和回話管理、跨站腳本攻擊、不安全的直接對象引用、安全配置錯誤、敏感信息泄露、功能級訪問控制缺失、跨站請求偽造、使用含有已經存在漏洞的組件和未驗證的重定向和轉發等漏洞。

4、風險防范和安全建議

根據智能門鎖風險模型，智能門鎖面臨的安全風險包括智能門鎖安全風險、移動應用安全風險、近場通信安全風險、網絡安全風險和應用安全風險等五個方面的風險。

智能門鎖的安全問題一旦被黑客關注并利用，將會給用戶帶來非常直接的經濟和財產損失，并給社會造成極為嚴重的負面影響。接下來將從用戶、廠商和行業三個角度，分別給出一些針對性的改進意見和措施。

4.1 門鎖用戶

對于個人用戶來說，首先盡量選用知名品牌廠商生產、性價比適合自身的智能門鎖產品。其次如果家庭選擇安裝了智能家庭網關設備，應盡量選擇具有安全功能的設備，如近場通信安全監控和流量安全監控等相關安全功能，對常見的攻擊行為進行監控即可有效提高家庭安全。

4.2 門鎖廠商

（1）確實提高移動應用的安全質量

智能門鎖廠商通過在移動應用設計過程中引入安全設計，在移動應用測試過程中增加安全測試，并通過安全加固等手段加強移動應用的抗分析能力，可以較好地提高移動應用的安全質量。

（2）加強智能門鎖安全設計把關

智能門鎖廠商在設計的過程中，通過提高電磁屏蔽、關閉調試接口和調試功能、加固固件、增加指紋活性檢測、實施RFID加密、禁止簡單密碼、動態快速升級固件等多種安全措施，可以確實提高智能門鎖的抗攻擊能力。

（3）提高網絡安全防護水平

智能門鎖體系中智能門鎖、移動應用和云端服務三者之間，都應該采用規范的加密傳輸方式進行通信，優先選擇采用國家密碼管理部門批準使用的密碼算法和密碼算法使用規范，以確保網絡通信的安全。

（4）持續保障云端服務安全

在提高應用層安全風險方面，應該在云端服務設計過程中引入安全設計，在產品測試過程中引入安全測試，在服務上線后，進行持續的滲透測試和風險評估，選擇具有安全防護實力的云服務平臺，并部署相關的云端安全防護產品或服務，對云端實施從物理層、虛擬化層、主機層、網絡層、數據層到應用層的全體系、全方位、全時段的安全監控與運維，形成完備的安全防護措施，確保云端服務的高度安全。

4.3 行業監管和指導

對于智能門鎖整體行業，相關行業部門應該組織制定一套完善的安全實施標準，覆蓋智能門鎖體系從規劃、設計、開發、測試、部署、上線到運營的全部過程，強化整個行業的安全意識，確實提高整個行業整體的產品安全水平。同時組織制定配套的智能門鎖網絡安全產品檢測規范，聯網智能門鎖產品上市前應進行網絡安全相關檢測和認證。