最近临近双十一,如果大家有要购买智能门锁的需求,可以看这篇文章,如果暂时没有需求,也可以看看这篇文章,了解一下当前智能门锁的功能和安全性;
先通过消费者需要购买智能门锁的视角来看;
购物网站提供的参数
购物网站琳琅满目的需求参数;
产品参数
通过筛选销量的方式挑选几款产品看参数;
某宝参数提供较少,只能看商家有没有贴图出来,不然看不到详细的参数;
某东给的参数相对较为详细;
参数解析
那么我们普通消费者选购的时候如何查看这些参数呢,这里我挑选一下相对专业性强一些或者重要一些的参数,然后做一下对应简单解析,其他参数比较容易理解各位看官根据自身实际情况选配;然后有一些参数比较统一,在市面上的智能门锁占比比较大,这类参数也不多解释。
当然以下表格也只是一个大略的评估,每个协议也有对应不一样的高中低档的类型;
接下来通过专业角度解析参数和安全相关问题;
开锁方式原理介绍
门锁开锁的方式日新月异,不断有新的方案出来,虽然开门方式有异,但是不管怎么说也绕不开其通信方式; 四种不同协议的智能门锁的数据通信流程图:
智能门锁安全风险分析
1.生物钥匙攻击
智能门锁的生物钥匙中,虹膜和人脸的伪造难度较高,已知攻击风险较小;但是掌纹和指纹有较高的伪造风险,现在很多设备对指纹膜也有鉴别能力,或者加上生物电识别。
2.固定密码安全
在使用固定密码的智能设备中,经常出现使用默认密码,后门密码,密码逻辑漏洞和短密码等问题,并存在密码泄露问题。对应的此处问题,很多厂家多了动态密码和临时密码的方案。
3.近场通信安全风险
FRID 卡中存储代表持卡人身份信息的字符串,一般的 FRID 卡中的信息都是以明文形式存储的,攻击者可以读取里面的信息,并复制到其他卡中,从而获得持卡人的授权信息;所以这里推荐使用的卡一定要ID卡或者M1卡。
无线电门锁响应指定的无线电信号,一般的无线电门锁的信号是固定的,攻击者可以重放无线电信号,或者对信号进行修改,从而伪造真实用户的开锁行为。
4.网络通信安全风险
有些智能门锁可以通过 wifi 直接连接到公网上,手机在远端也会通过 WIFI 连接到智能门锁和云端,考虑到大量的智能门锁通信协议采用明文传输,通过攻击 WIFI 路由器,智能家居网关,或者劫持 WIFI 信号,可以实现对智能门锁的控制。
5.其他
移动应用安全风险
设备硬件安全风险
设备固件安全风险
云服务安全风险
服务提供商安全风险
安全风险有很多,最开始的产品设计或者现在的产品都可能没有考虑完全这些风险,即使现在的产品是已经考虑全了的,但是也不能保证安全风险不会出现新的;安全是一个对抗过程,所以选择一个大的品牌,这样才能够保证产品的安全迭代更新;这些风险不在这里详细描述了,有兴趣的可以参考其他文章
参考:
浅谈智能门锁离合器安全设计 - 安全客,安全资讯平台
硬件安全|智能门锁安全研究方法总结|NOSEC安全讯息平台 - 白帽汇安全研究院
智能锁指纹锁常见解锁方式?指静脉解锁是什么? - 知乎
