【技术先锋号】聚焦智能门锁的安全
文章来源:上海复旦微电子集团股份有限公司
基于国产密码算法的智能门锁安全解决方案也应运而生:安全芯片发行系统、安全芯片认证平台、自有认证平台、门锁业务平台、智能门锁、安全芯片等,为智能门锁的市场应用保驾护航。
安全芯片模块(SE),一种采用特殊安全防护设计的芯片,能够安全存储密钥,不会被外部攻击非法获取,支持多种抗攻击的硬核算法,TDES、AES、SM4,SM2、SHA256、SM3。
方案特点:支持设备双向认证,加密解密。支持国密算法SM2/3/4。 一芯一密,一次一密,有效防止大规模破解。使用复旦安全加密芯片,密钥安全预置、安全存储。适应行业:智能家居,智能水表、智能燃气表、工业互联网等安全应用。
2019 年,全国智标委与上海联寓智能科技有限公司以北京的燕京里长租公寓作为绿色智慧公寓标准应用试点项目。燕京里项目使用了符合全国智标委归口管理的智能门锁、智能卡等领域智能门锁相关标准,该款门锁加装了住建部行业级国密安全芯片,同时配套发行了加载国密行业级密钥的CPU 业主卡,安全性更高,难以被破解、复制。业主卡可以实现智能门锁、门禁、会议室、电梯等各个领域的刷卡应用,并且支持手机虚拟卡功能,实现了社区内部的“一卡通行,国密护航”。同时社区业主卡也支持公交刷卡功能,遵循住房和城乡建设部相关国家标准、行业标准,打通城市内“社区—出行”间的互联互通。
该项目采用复旦微电子的安全方案,包括国密行业级密钥管理系统和国密安全芯片FM1280,不同场景的关键业务流程如下。
目前采用离线申请密钥方式,流程如下:
1) 安全芯片厂商申请密钥,系统统一分配UID,不允许重复;
2) 密钥包通过信封加密方式安全下发,仅指定安全芯片厂商能打开;
3) 在安全产线上灌装密钥到安全芯片SE(未激活状态)。
4) 灌装密钥后的安全芯片安全发货至智能门锁厂商。
完成智能门锁生产制造后,首次使用智能锁之前,需要联网,由业务平台发起激活流程,转到认证平台组织专用激活指令,再下发给安全芯片。激活后,安全芯片相关功能才可使用。此过程应在智能门锁出厂前完成。
1) 远程设置密码、密码开锁:密码开锁前,需本地或远程设置开锁密码。远程设置开锁密钥,首先由APP或业务平台发起生成开锁密码,通过合适的密码分发方式,发给用户。经由安全认证平台与智能锁内安全芯片进行身份认证后,把把开锁密码加密写入安全芯片, 实现安全存储。当用户开锁时,把开锁密码送入安全芯片SE,在SE内完成比较,成功后开锁。
2) 手机APP蓝牙开锁:手机APP蓝牙开锁非常方便,但手机容易受到各种外部攻击。需做好安全防护,如代码混淆、密钥安全存储等。为了验证开锁用户合法身份并生成不可篡改的开锁记录,需要手机APP完成电子签名;并且签名数据中应带有随机数,以防重放攻击。更进一步,手机可采用协同签名方式提高安全性。
3) 刷卡开锁:属于IC卡应用的典型流程,即完成卡片与安全芯片的认证,并查询注册名单即可。
在智标委牵头,主要企业积极参与下,已编制了智能门锁相关安全标准等,并完成了初步试点示范应用。下一步就是如何使标准获得广泛应用,使产品质量得到基本保障。使普通消费者很容易选择安全的智能锁产品,如只要符合某标准,通过某检测的产品,就可放心选购,不用担心信息安全问题。
