智能门锁实现高安全有这么多“门道”？

对于智能门锁来说，用户可十分方便地用指纹、密码、刷卡远程开门，但方便的背后也带来了一些安全性的问题。

国民技术产品总监夏卓卿在“从金融安全到物联网安全，国民‘芯’打造智能门锁高安全低功耗芯片平台”的演讲中提到，一是目前指纹锁体的结构是指纹模组在前板，指纹模块和主控之间通过明文传播，攻击者通过分析明文就可来模拟开锁指令。二是在密码开锁方面，预置密码存在主控MCU里面，没有安全防护，易被读取。三是对于刷卡开锁，目前普遍采用RFID卡，价格便宜，但很容易被复制，比如黑客可以在附近放置功率比较大的读卡器，从而读取里面的数据。四是如采用钥匙开锁，那么机械锁芯的防技术开启能力很差。

此外，智能门锁需要联网，而联网可能会带来更多的远程开锁安全性问题。夏卓卿分析说，一是云端服务器如果被攻击的话，会泄漏所有锁的开锁密码以及用户的隐私数据。二是通信链路上可能会受到中间人攻击，更改智能门锁固件，使门锁变成废铁。还有DNS欺骗，智能门锁将连接到攻击者设定的云端，黑客可以随意控制智能门锁。三是在移动设备方面，操作系统也存在安全漏洞，被攻破后会窃取用户的开锁密码或者用户权限。四是黑客还可以仿冒门锁设备，如果云端和智能门锁认证机制不健全，会造成服务器无法分辨假锁，从而泄漏真锁的信息。

 “这么多的安全漏洞，导致‘木桶效应’显现，只要有一块短板就可以被黑客利用和攻击。” 夏卓卿强调。

而国民技术作为一家从事了17年的安全技术公司，一直深耕安全芯片及身份认证领域，同时整合安全芯片、连接芯片、低功耗平台拓展物联网应用，可谓是一个“老兵”。虽然在智能锁方面是从2015年开始布局，还是一个“新人”，但以往的积累让其可打造集成主控、安全加密、读卡、蓝牙芯片的高安全低功耗芯片平台，直击痛点。

夏卓卿介绍，国民技术双管齐下，打造智能门锁云—端安全解决方案，一方面提供高安全和低功耗的芯片平台，包含主控、安全芯片、蓝牙等，另一方面通过联合相应的合作伙伴，与阿里对接了云平台，并已制定好了安全协议，提供指纹安全防护。

“在高安全方面，采用了金融级安全协议保护指纹传输；用户密码存于安全芯片，不容易被读出；可读 CPU 卡，卡片不易被复制；采用安全锁芯，杜绝技术开启。” 夏卓卿指出，“在超级功耗方面，国民技术的主控芯片功耗小于1uA，非接读芯片检卡功耗（3次/S）小于7uA，低功耗蓝牙（1次/s）为12uA，同时还有集成度高、BOA成本低的特点。”

在锁芯方面，应对是采用机械+电子双重闭锁，钥匙和锁芯分别内置国民技术安全芯片，认证过的钥匙才能启动开锁。

而云端的安全也是重中之重。夏卓卿指出，采用Zigbee组网时，阿里云提供安全的密钥分发、管理、鉴权的云端服务；Zigbee智能网关内置国民技术安全芯片，存储阿里云提供的全球唯一标识ID和对应的密钥；Zigbee 智能网关可与云沟通出会话密钥，实现安全控制。而在WiFi方面，国民技术与WiFi模组公司合作采用高安全性的模组，不仅可实现企业级安全，每个设备具备独一无二密钥，在设备出厂前完成烧录，还可在局域网上共享加密；而且所有数据传输采用SSL/TLS加密，证书存储于模组中，出厂即保持安全。