安全漏洞讓智能門鎖安全防控付諸東流

文｜本刊記者 盧希

智能門鎖，正在成為中國(guó)智能硬件中名符其實(shí)的“爆品”。作為智能家居的入口級(jí)產(chǎn)品，從2015年至今，智能門鎖行業(yè)實(shí)現(xiàn)飛速發(fā)展。據(jù)全國(guó)制鎖行業(yè)信息中心統(tǒng)計(jì)數(shù)據(jù)顯示，2015年全國(guó)智能鎖的出貨量為200萬(wàn)套，2016年為300萬(wàn)套，到2017年猛增到了800萬(wàn)套。2018年上半年，智能門鎖的訂單量就超過(guò)了2017全年的產(chǎn)銷量，達(dá)到830萬(wàn)套。智能鎖出貨量增長(zhǎng)的同時(shí)，其品牌數(shù)量和生產(chǎn)企業(yè)數(shù)量也在進(jìn)一步增長(zhǎng)，截止至2018年6月底，我國(guó)智能門鎖品牌已超過(guò)3500家，生產(chǎn)企業(yè)數(shù)量超過(guò)1500家，門鎖產(chǎn)品一片繁榮。

繁榮的背后，仍有一些隱患需要我們重視，許多智能門鎖標(biāo)配的開(kāi)鎖業(yè)主卡，其安全級(jí)別甚至低于在公交領(lǐng)域廣泛應(yīng)用的公交IC卡。

M1卡開(kāi)門已是公交領(lǐng)域?yàn)l臨淘汰的卡種

近年來(lái)，全國(guó)多地頻發(fā)M1公交卡被破解篡改事件。在這些新聞中，篡改成本低、技術(shù)要求簡(jiǎn)單成為M1公交卡被破解的代名詞。

網(wǎng)上關(guān)于M1卡破解的“攻略”更是數(shù)不勝數(shù)，按照這些攻略分享的步驟，一個(gè)沒(méi)有任何軟件基礎(chǔ)的“小白”也能在半天內(nèi)對(duì)普通M1卡實(shí)現(xiàn)破解，對(duì)于公交卡而言損失的是資金，那對(duì)于門鎖業(yè)主卡來(lái)說(shuō)，其危險(xiǎn)性和嚴(yán)重性不言而喻。

早在2008年，德國(guó)研究員亨里克·普洛茨和弗吉尼亞大學(xué)計(jì)算機(jī)科學(xué)在讀博士卡爾斯滕·諾爾成功破解了M1卡的安全算法。漏洞在于，M1卡在產(chǎn)生奇偶校驗(yàn)位時(shí)將數(shù)據(jù)鏈路層和安全通信層本該分層處理的協(xié)議混為一談，先校驗(yàn)后加密，并且重復(fù)使用了加密校驗(yàn)位的密碼。這是不符合安全原則的，并確實(shí)可被利用。再者就是M1卡嵌套認(rèn)證的漏洞使得攻擊者在得知一個(gè)扇區(qū)的密鑰后可較容易地再破解其它任何扇區(qū)的密鑰從而做到對(duì)該卡的全面破解。

門鎖未來(lái)市場(chǎng)可期，安全防控更需萬(wàn)無(wú)一失

《中國(guó)智能門鎖白皮書(shū)2017》指出，當(dāng)前國(guó)內(nèi)智能門鎖滲透率還比較低，未來(lái)發(fā)展空間巨大。目前，中國(guó)智能門鎖市場(chǎng)占有率不足3%，而歐美市場(chǎng)為50%，日韓則達(dá)80%，未來(lái)必然有猛烈增長(zhǎng)的爆發(fā)時(shí)刻。根據(jù)預(yù)測(cè)，2017年至2019年國(guó)內(nèi)智能門鎖市場(chǎng)銷量將保持100%左右，到2019年，中國(guó)智能門鎖銷量將突破3200萬(wàn)套。

2009年4月，工業(yè)和信息部發(fā)布《關(guān)于做好應(yīng)對(duì)部分IC卡出現(xiàn)嚴(yán)重安全漏洞工作的通知》，要求各地各機(jī)關(guān)和部門開(kāi)展對(duì)IC卡使用情況的調(diào)查及應(yīng)對(duì)工作。

2013年12月，住房和城鄉(xiāng)建設(shè)部IC卡應(yīng)用服務(wù)中心發(fā)布了《關(guān)于采取若干措施促進(jìn)城市一卡通系統(tǒng)升級(jí)及加快CPU卡替換M1卡的通知》，文件要求自2014年1月1日起，仍在用M1卡的城市一卡通運(yùn)營(yíng)單位新采購(gòu)的安全認(rèn)證卡中將統(tǒng)一設(shè)置M1卡控制時(shí)效，其時(shí)效控制時(shí)間截止為2018年12月31日，2019年1月1日起安全認(rèn)證卡僅支持CPU卡應(yīng)用。

作為家的守護(hù)者，智能門鎖各項(xiàng)技術(shù)的安全防控理應(yīng)跟上潮流趨勢(shì)，優(yōu)質(zhì)的門鎖廠商，不僅僅能為客戶帶來(lái)密碼、生物識(shí)別等越來(lái)越便捷的開(kāi)門方式，還應(yīng)該確保應(yīng)用的每一項(xiàng)技術(shù)的安全級(jí)別達(dá)到更高要求。