T_ZSPH 01-2019 建筑及居住区数字化技术应用 智能门锁安全.docx

《T_ZSPH 01-2019 建筑及居住区数字化技术应用 智能门锁安全.docx》由会员分享，可在线阅读，更多相关《T_ZSPH 01-2019 建筑及居住区数字化技术应用 智能门锁安全.docx（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目次1范围.12规范性引用文件.13术语和定义.14缩略语.25智能门锁系统安全架构.36智能门锁终端安全.47智能钥匙安全.88云服务平台安全.99客户端安全.910通用安全.1011安全分级方法.13附录A（资料性附录）智能门锁典型应用.16建筑及居住区数字化技术应用智能门锁安全1范围本标准规定了智能门锁的系统安全架构、智能门锁终端安全、智能钥匙安全、云服务平台安全、客户端安全、通用安全、安全分级方法等。本标准适用于智能门锁设计、制造、管理以及应用系统的建设和运维。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件

2、，其最新版本（包括所有的修改单）适用于本文件。GB17859-1999计算机信息系统安全保护等级划分准则GB/T18336.1-2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T30146-2013公共安全业务连续性管理体系要求GB/T31168-2014信息安全技术云计算安全能力要求GB/T32907-2016信息安全技术SM4分组密码算法GB/T32915-2016信息安全技术二元序列随机性检测方法GB/T35273-2017信息安全技术个人信息安全规范CJ/T166-2014建设事业集成电路（IC）卡应用技术条件GM/Z0001-2013密码术语GM/T0008-

3、2012安全芯片密码检测准则JG/T394-2012建筑智能门锁通用技术要求3术语和定义下列术语和定义适用于本文件。3.1智能门锁smartlock采用信息技术控制的锁具及相关系统。3.2智能钥匙smartkey通过密钥认证、生物识别、图形或数字密码等数字化认证方式，实现与智能门锁终端进行安全交互认证完成开锁功能的媒体。3.3安全模块securitymodule1具有密码算法、安全功能的媒体。3.4密钥key控制密码算法运算的关键信息或参数。参考GM/Z0001-2013，2.633.5开锁记录unlockingrecord用户打开、关闭门锁的标识、时间、方式等信息的日志数据。3.6敏感数据s

4、ensitivedata一旦泄露、非法提供或滥用可能危害设备安全，极易导致人身伤害、财产损失的数据。注：包括用户密码、用户ID、卡片鉴权数据、关键代码、生物特征数据、设备根密钥等。参考GB/T35273-2017，3.23.7开锁凭据unlockingcredential用户用来打开门锁的凭证。3.8固件firmware在设备内部与设备运行、控制相关的所有可执行程序代码。4缩略语下列缩略语适用于本文件。APP应用（Application）BLE低功耗蓝牙（BluetoothLowEnergy）COS芯片操作系统（ChipOperateSystem）CPU中央处理单元（CentralProces

5、singUnit）DTLS数据包传输层安全性协议(DatagramTransportLayerSecurity)EEPROM带电可擦可编程只读存储器(ElectricallyErasableProgrammableReadOnlyMemory)IoT物联网(InternetofThings)LoRa长距离无线电（LongRange）LoRaWAN长距离广域网（LongRangeWideAreaNetwork）MCU微控制单元（MicroControllerUnit）NB-IoT窄带物联网（NarrowBandInternetofThings）NFC近场通信（NearFieldCommunica

6、tion）OOB带外传输（OutofBand）2PIN个人识别码(PersonalIdentificationNumber)RAM随机存取存储器（RandomAccessMemory）RCC限域通信（RangeControlledCommunication）ROM只读内存（Read-OnlyMemory）SE安全元件（SecureElement）TEE可信执行环境（TrustedExecutionEnvironment）UID唯一标识符（UniqueIdentifier）3DES三重数据加密算法(TripleDataEncryptionStandard)5智能门锁系统安全架构智能门锁系统架构应

7、包括智能门锁终端、智能钥匙、云服务平台、客户端及通信模块组成，见图1所示，典型应用参见附录A。并符合下列要求：a)智能门锁终端：当终端接收到授权设备或部件的指令时，对门执行锁定或者解锁操作；b)智能钥匙：承载智能锁开锁凭据（如密码、生物特征、UID等）的载体，可以是CPU卡、手机、智能穿戴设备等；c)云服务平台：应包括IoT平台和业务平台两部分，并符合下列要求:1)业务平台：实现对锁及用户的管理和控制，支持用户鉴权身份识别，提供统一人机交互界面的应用软件实现对锁控制、状态查询、报警处理等功能；2)IoT平台：为智能门锁提供连接管理、设备管理、数据安全防护等功能；3)云服务基础设施平台：提供计算

8、、存储、网络、安全等基础设施服务。d)客户端：方便用户通过手机直接操控智能门锁，如远程开门、远程查看、临时密钥授权等服务。e)通信模块：应包含智能门锁组件与组件之间的通信管理（如通过BLE、zigbee等实现的短距离通信），以及本地组件与远端云服务平台之间的通信管理（如通过3G/4G/5G、NB-IoT等实现的远距离通信）。图1智能门锁系统安全架构36智能门锁终端安全6.1硬件参考架构智能门锁终端应包含主控模块、语音模块、显示模块、读卡模块、按键模块、生物特征识别模块、通信模块、安全模块及电机等物理部件，也包含为电子模块提供软件能力的嵌入式系统，见图2所示。各模块应具有下列功能：a)主控模块：

9、实现智能门锁的用户界面、应用功能与逻辑控制等功能；b)安全模块：提供智能门锁的安全运算（如加解密运算、安全认证、数据校验、数据鉴权等）、敏感数据（如用户密码、用户ID、卡片鉴权数据、关键代码、生物特征数据、设备根密钥等）的安全存储和电机控制（根据第11章安全分级方法可选）等功能；c)按键模块：通过触控或者机械方式实现用户密码输入功能；d)生物特征识别模块：采集用户个体的生物特征信息，实现生物特征信息的比对功能；e)通信模块：通过BLE/zigbee/WAPI（Wi-Fi）/NB-IoT/LoRa/LoRaWAN/3G/4G/5G等远、近场通信技术，实现门锁设备的网络接入，与云端进行连接通信等功

10、能；f)电机：控制机械装置，实现开、关锁功能；g)显示模块：实现智能门锁信息显示功能；h)语音模块：实现智能门锁声音播放功能。图2智能门锁终端硬件参考架构6.2物理安全6.2.1防拆安全机制6.2.1.1防拆报警设备应具备移除检测和报警机制。在设备安装完毕后，应能检测到未授权的拆卸、破坏操作，具体应符合下列要求：a)设备应具备防拆报警装置，当正常工作状态的设备检测到拆除时，应能触发声音或灯光报警，带有联网装置的设备应能推送报警信息到云服务平台或者客户端；b)设备防拆开关应具有一定的容错设计，防止误报警。6.2.1.2防拆审计设备检测到拆除、破坏等安全事件时，应有完善的安全审计措施和安全保护机制

11、，保证设备中敏感数据不会被窃取。46.2.2物理环境攻击审计设备应具有相应审计和安全保护机制，当检测到物理环境（温度、电压等）变化攻击行为时，应能有效地保证设备敏感数据不被窃取或者泄露。6.2.3防物理侵入设备在工作时，应能防止攻击者对模块间的传输数据进行物理探测、监听、干扰和修改。6.2.4模块防移除防伪造6.2.4.1模块移除检测模块移除检测应符合下列要求：a）在设备上电时，应对设备内的模块（包含但不限于生物特征识别模块、通信模块）进行自检和合法性认证；b）在设备运行期间，应对设备各关键模块定期进行自检和合法性认证：c）当检测到模块被移除或无应答时，应通过声音、灯光或网络发出报警信号。6.

12、2.4.2模块伪造检测当检测到非授权模块时，设备应保证其不能被认证通过，并通过声音、灯光或网络发出报警信号。6.2.5按键模块输入过程保护通过检测声音、电磁辐射、能量消耗或者其他外部特性检测等(即使是在设备操作员或销售员提供的协助下)，不能侦测到内部传输的PIN，并应符合下列要求：a)具备密码按键的设备应提供防偷窥机制，以保护用户的PIN输入过程；b)当设备配装显示屏时，在密码按键上输入的PIN应以无意义字符显示；c)当设备具有语音模块时，在密码按键上输入PIN的按键提示音应保证一致，无差异或者足够随机不会泄露敏感信息；d)当设备的密码按键带有震动反馈或能引起震动时，应保证所有按键引起的震动保

13、持一致，无差异或者足够随机不会泄露敏感信息；e)物理密码按键要保证物理按键引起的机械音保持一致，无差异或者足够随机不会泄露敏感数据；f)密码按键应考虑在输入PIN码后，键盘按键上无明显的热残留信息。6.2.6指纹识别模块安全要求6.2.6.1防异物混淆防异物混淆应符合下列要求：a)指纹识别模块应能识别到传感器表面的非正常异物信息；b)指纹识别模块不应将异物信息特征写入指纹特征数据。6.2.6.2防假指纹防假指纹要求如下：a)指纹识别模块应具有一定的防指纹残留设计；b)指纹识别模块应具有能识别出非活体指纹的能力。56.2.6.3指纹特征数据使用安全智能门锁应对指纹特征数据进行严格保护，使其（指纹

14、特征数据）在整个生命周期中不被窃取、泄露、非法修改、非法删除等，应符合下列要求：a)指纹特征数据应加密存储在指纹识别模块的存储器内；b)指纹特征数据不应从存储载体中读出；c)删除指纹用户后，指纹特征数据应立即从设备中清除；d)指纹特征的添加、删除应具有权限保护机制，具有相关权限的用户才能进行添加、删除操作；e)指纹识别模块应能识别传感器表面的裂损，不应将裂损信息特征写入指纹特征数据。6.2.7安全模块要求安全模块应符合下列要求：a)应至少支持国产密码算法（如SM4等），SM4算法应符合GB/T32907-2016的要求；b)安全模块应与设备绑定使用，一机一密，在非绑定设备上应不能正常工作c)应

15、提供加解密服务、数据鉴权、安全认证、卡片开锁子密钥生成等基本应用接口；d)安全模块应提供用户PIN数据安全存储应用接口；e)安全模块应提供智能卡鉴权数据安全存储接口；f)安全模块应提供根密钥安全存储接口，根密钥在出厂时由生产方以密文形式写入设备，每个设备必须不同，出厂后用户无法通过任意接口读取和修改根密钥；g)应符合CJ/T166-2014中关于安全存取模块和安全设备的要求。6.2.8电机(电磁铁)控制器要求电机（电磁铁）宜由安全芯片进行控制。6.3系统安全6.3.1设备自检设备应具备自检功能，检查目标应包括固件、密钥、审计记录、针对篡改迹象的安全机制以及设备是否处于被攻破状态。并应符合下列要

16、求：a)应能够检查设备的固件、安全机制以及环境状态；b)当出现故障时，设备及其功能应以安全的方式失去效用；c)设备每24小时内应至少重新初始化内存一次；d)设备每次启动时应完成自检且每24小时应至少进行一次自检。6.3.2逻辑异常对系统出现的逻辑异常，应进行正确处理。具体要求如下：a)对于正确的命令应能够正常工作和应答，当接收到无效命令（包括错误顺序的命令、未知命令、错误模式下的命令、错误的命令参数）时，应能够正常工作；b)对无效指令应采取进入已定义的安全状态的方式，防止攻击者利用无效指令获取系统和芯片内部运行信息；c)受到远程或本地网络扫描、拒绝服务攻击后，应能够正常工作；d)系统崩溃后，应

17、修正错误或恢复正常启动。6.3.3固件认证6设备固件及对固件的任何改动都应经过严格的流程控制和认证，以保证固件中不含隐藏的非法功能。具体要求如下：a)设备上电时应对固件做真实性、完整性校验，确保固件未被非法篡改；b)应存在对应的漏洞发现、管理和升级的流程；c)漏洞发现、管理、升级和发布的流程应在安全策略中明确。6.3.4固件更新6.3.4.1固件更新安全要求在厂商支持的更新模式下，应满足10.2的相关要求，设备应验证更新固件的完整性和真实性，并应符合下列要求：a)固件更新前，应与更新源进行双向认证，确认更新源的合法性；b)固件下载时，应建立安全通道，加密传输更新指令和固件数据；c)固件下载完毕

18、后，应对新固件进行完整性和真实性校验，保证未被篡改；d)更新完成后，应对新固件进行完整性和真实性校验；e)固件更新失败时，应有有效的机制保证智能门锁处于安全状态。6.3.4.2固件更新禁止回滚应禁止固件版本回滚，以应对降级攻击。6.3.5PIN安全6.3.5.1PIN防穷举设备应具有防止利用穷举攻击PIN值、指纹识别，人脸识别等能力。对虚位密码的防穷举应根据实际输入的密码长度增加限制。6.3.5.2PIN加密算法设备应采用PIN加密技术，并应符合下列要求：a)应禁止输出密钥以及PIN的明文；b)应禁止用已经泄密或存在已经泄露可能性的密钥去加密其它密钥或PIN。6.3.6操作系统最小配置当设备使

19、用操作系统（包括商业化操作系统，自定义操作系统等）时，应仅包含必须的组件和服务。6.3.7内存清除敏感数据及其过程信息使用完毕或超时后应立即从内存中清除。6.3.8存储安全敏感数据应加密存储在安全载体中，使用安全模块进行保护，以确保在采集、生成和保存过程中的保密性、完整性和合法性，防止被未授权第三方获取或篡改。数据存储应考虑异常通信中断、异常断电等情况下的数据完整性，在使用前需经过校验，并符合10.3的要求。6.3.9随机数设备中的随机数产生器应经过评估，以保证其产生的随机数无法被预测，具体要求如下：7a)设备中应具有硬件真随机数模块；b)随机数随机性应符合GB/T32915-2016的要求。

20、6.3.10敏感服务控制设备敏感服务用于访问敏感功能。应对敏感服务进行有效保护并进行使用限制，并符合下列要求：a)设备的敏感服务应充分保护，使用设备的敏感服务应通过身份验证，进入或退出敏感服务不应泄露或改变设备中的敏感信息；b)应对设备敏感服务的范围和使用时间进行限制，保证设备敏感服务不被非法使用。当超出服务范围和使用时间时，设备应退出敏感服务并返回到正常模式；c)用户添加、删除等关键敏感操作应验证管理员密码，且仅能由管理员进行操作；d)管理员密码不应采用默认密码，且强制设置管理员密码时应禁止输入默认密码。6.3.11安全审计安全审计的具体要求如下：a)设备应具备对敏感操作和安全事件的记录和审

21、计功能；b)对于连续多次开锁失败等敏感事件应能主动记录和报警；c)厂家应在安全策略中明确说明各种开锁方式下连续开锁失败的具体次数。6.3.12调试接口安全在产品交付后，应确保模块的调试接口和调试功能禁止使能，以确保固件与敏感数据不被非法读取或篡改。6.3.13业务安全指纹或密码功能的联机智能门锁，宜增加防劫持指纹或劫持密码，通过该指纹或密码开门后可向指定人员远程推送报警信息，报警方式为短信、APP推送或语音电话。7智能钥匙安全7.1开锁凭据安全开锁凭据应包括但不限于：开锁PIN码、动态开锁凭据等，应保证其整个生命周期中不被窃取、泄露和非法获取。并符合下列要求：a)开锁密码长度应不少于6位；b)

22、虚位密码应同时支持前后虚位密码；c)密码尝试次数应做严格限制；d)动态开锁凭据应只能用于指定的智能锁设备；e)动态开锁凭据应仅能使用一次，且应包含具有超时期限；f)动态开锁凭据数据长度不应少于（含）8字节。7.2钥匙载体安全钥匙载体包括移动终端、智能卡、可穿戴设备等，钥匙载体安全应符合下列要求：a)钥匙信息、密钥信息需加密存储在安全芯片中，安全芯片应符合GB/T18336.1-2015中EAL4或GM/T0008-2012中等级二的要求；b)安全芯片应至少支持SM4等安全算法，具备硬件防攻击能力；8c)安全芯片应采用硬件真随机数发生器；d)钥匙和智能门锁间的通信需有安全认证校验机制，能够抵御重

23、放分析，并保障通信信息的保密性、完整性和真实性；e)当钥匙载体支持多应用时，各应用之间相互独立；f)钥匙载体应用的安全技术要求应符合CJ/T166-2014的要求。8云服务平台安全8.1云服务基础设施平台安全要求云服务基础设施平台作为设备数据和用户数据的统一存储与管理平台，其安全机制应包含数据安全、信息安全、管理安全和个人隐私保护安全。具体要求如下：a）数据安全应符合GB/T30146-2013的要求；b）信息安全应符合GB17859-1999的要求；c）管理安全应符合GB/T31168-2014的要求；d）个人隐私安全应满足GB/T35273-2017的要求。8.2IoT平台安全要求IoT平

24、台应提供连接管理和设备管理等功能，主要涉及设备接入安全和设备数据管理安全,具体要求如下：a）智能锁与IoT平台间应采用安全传输协议；b）IoT平台与业务平台间应支持HTTPS双向认证，确保传输安全；c）智能锁与IoT平台间应支持身份认证机制，确保合法设备接入；d）具备抵御流量型攻击，对外的接口具备入侵防御能力；e)支持主机入侵检测HIDS机制。8.3业务平台安全要求业务平台应实现对智能门锁和用户的管理与控制，主要提供智能锁控制、状态查询、报警处理等功能，其具体安全要求如下：a）提供个人数据全生存周期的安全和隐私保护；b）满足GB/T31168-2014的要求。9客户端安全9.1身份鉴别客户端应

25、设计安全的身份鉴别方案，保证用户身份鉴别安全，具体要求如下：a)用户在首次注册及修改口令时，应有对用户的鉴别信息进行复杂度检查设计；b)用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证认证系统安全；c)客户端在设计时，对于敏感操作应对身份鉴别采用二次验证的方案。敏感操作如密码增加删除修改、指纹增加删除、解绑设备等。9.2数据完整性9为保证数据在传输过程中不被篡改，客户端对服务端发送数据应采用密钥技术对数据进行完整性签名。9.3数据保密性为防止客户端中敏感数据被盗取，客户端应进行数据保密设计，具体要求如下：a)应采用加密技术保证敏感数据在本地存储时的保密性；b)应确保客户端中的

26、敏感数据不能被其他应用操作读取；c)应对通信过程中的敏感数据或整个报文进行加密保护；d)客户端应在发布前关闭调试日志打印功能，防止敏感数据泄露。9.4反编译保护客户端反编译保护应符合下列要求：a)客户端应采用包括代码混淆或加壳等代码加固方式部署；b)客户端运行态应具备反调试能力；c)客户端应具有对自身签名进行校验的能力，防止应用重打包。10通用安全10.1密钥管理安全10.1.1密码算法密码算法应符合下列要求：a)智能门锁体系中，安全芯片或安全模块应至少支持国产密码算法（如SM4等），且可选支持国际密码算法（如3DES/AES/RSA/ECC等）；b)智能门锁中用于数据加解密的密钥应存储在硬件

27、安全芯片中或安全模块中。10.1.2密钥唯一性设备中若保存可对认证数据进行加密的私有密钥，应保证每台设备中私有密钥的唯一性，并应符合下列要求：a)设备中的密钥应实现一机一密；b)单个设备绑定的所有智能卡应实现一卡一密，智能卡（含虚拟卡）是智能门锁应用的标配，相对于密码开锁、指纹开锁等方式安全级别更高；c)网关设备搭载安全芯片的，网关设备的密钥应实现一机一密。10.1.3密钥生命周期10.1.3.1交换和存储密钥交换和存储应符合下列要求：a)密钥和相关的敏感数据应安全存储；b)密钥应在安全的控制下下载。10.1.3.2备份当密钥备份生成时，应实现双重控制。备份的安全级别应等于要备份的密钥的最低级

28、别。10.1.3.3传输10当密钥在设备间传输时，传输过程应进行加密，并符合下列要求：a)除设备初始化、智能卡绑卡时，密钥不应在通道上传输；b)密钥传输时，应使用安全通道进行保护；c)在密钥传输期间，从第三方收到的密钥应以加密方式传送，或者在授权的密钥管理人之间交换的最少2个组件进行传输，并使用防篡改的序列化信封进行交换；d)当使用远程密钥下发技术，应支持发送方与接受方之间的双向认证，防止敏感数据被泄露或篡改，“会话密钥”并应保证一次一密。10.1.3.4使用密钥使用应符合下列要求：a)数据加解密密钥、安全通道密钥等密钥功能不应混用；b)不应输出密钥明文，不应使用已经泄密或存在泄密可能性的密钥

29、去加密其他密钥；c)不应把密钥明文从高安全性的组件传送至低安全性的组件中去；d)在门锁设备中存储的密钥应使用密文存储；e)门锁初始化完成之后根密钥不应向外部传输；f)智能卡绑卡时，智能卡密钥应使用过程密钥加密之后密文传输，并且绑卡完成之后，不应在通信链路上进行传输。10.1.3.5删除应使用适当的机制来销毁或删除钥匙和密钥部件，以防止被盗窃，披露或未经授权的使用。10.2通信安全10.2.1设备入网安全当采用标准通信协议（如蓝牙、zigbee，NB-IoT等）进行设备的入网许可时，应符合下列要求：a)当使用低功耗蓝牙（BLE）进行设备入网时，应采用PassKeyEntry、NumericCom

30、parison、OOB模式授权配网，或者当采用JustWork方式匹配时，应有效防止中间人攻击；b)当使用zigbee技术进行设备入网时，应采用zigbee3.0InstallCode/PreInstallKey的安全模式授权匹配，或者当采用非zigbee3.0InstallCode/PreInstallKey的模式配网时，应有效防止中间人攻击；c)当使用WAPI（Wi-Fi）技术进行设备入网时，应采用WPA3及以上版本协议；d)当使用NB-IoT无线通信加密和鉴权要求时，NB-IoT通信的鉴权、加密和完整性保护应符合相关标准的要求。10.2.2数据传输安全智能锁以无线方式开锁或者进行密钥下发

31、等敏感数据交互时，通信双方应进行认证，防止敏感数据被泄露或篡改，并应符合下列要求：a)采用蓝牙、WAPI（Wi-Fi）、zigbee等技术，通信模块与钥匙载体或者网关之间的通信要求应符合国家密码管理关于算法的要求；b)采用NB-IoT通信模块与云服务平台间认证加密时，应符合下列要求：1)安全传输协议：应支持DTLS；2)认证加密能力：应支持软件认证加密能力,宜支持专用硬件认证加密模块。1110.2.3认证加密能力具有数据存储和设备管理的通信设备，应使用硬件安全模块进行加密计算。10.3数据安全10.3.1一般规定在智能门锁应用中，涉及用户数据的实体包括门锁设备、云服务平台以及客户端。用户数据安

32、全要求涉及用户数据的生成、存储、传输、使用、备份以及销毁等环节。用户数据应包括以下三类：a)类1数据：可直接用于开锁的用户数据，如开锁凭据或者用户生物特征信息，属于敏感数据，其安全要求参见其他章节中关于敏感数据的保护要求；b)类2数据：与用户隐私相关的用户数据，如用户注册数据、家庭成员出入记录等；c)类3数据：与用户隐私无关的用户数据，如门锁在用户使用过程中发生的异常状态记录等。10.3.2用户数据生成安全要求用户数据生成的安全要求包括但不限于：a)应根据用户数据所属类别不同，确定该类别用户数据生成或采集过程中的安全保护方案；b)对于类2数据，应采取有效的措施确保其生成或采集过程中的完整性、真

33、实性，宜采取有效的措施确保其生成或采集过程中的保密性和可追溯性。对于涉及到用户隐私的数据，在生成或者采集前应向用户明示并在经用户同意的情况下才可以开展；c)对于类3数据，应采取有效的措施确保其生成过程中的完整性和真实性。10.3.3用户数据存储安全要求用户数据存储的安全要求包括但不限于：a)应根据用户数据的所属类别和存储位置，确定具体的存储安全保护方案；b)应采取有效的安全措施，确保未经授权的第三方无法访问到存储的用户数据；c)对于类2数据，应采取有效的安全措施确保其存储的保密性和完整性如加密存储等；宜结合智能门锁设备或者移动终端中的可信环境如SE或者TEE进行安全保护；d)对于涉及到用户隐私

34、的用户数据，宜只留存在用户设备中，如需存储到云服务平台，应向用户明示并在经用户同意的情况下才可以开展；e)对于类3数据，如需存储到云服务平台，宜向用户明示并在经用户同意的情况下再进行开展。10.3.4用户数据传输安全要求用户数据传输的安全要求包括但不限于：a)应根据用户数据的所属类别和存储位置，确定具体的传输安全保护方案；b)用户数据传输主体应采取有效的措施验证与其通信的实体身份真实性并具备相应权限接收该用户数据；c)对于类2数据，应采取有效的安全措施确保其传输的保密性、完整性和真实性，防止在传输过程中被未授权第三方获取或篡改；d)对于类3数据，应采取有效的安全措施确保其传输的完整性和真实性。

35、10.3.5用户数据使用安全要求12等级安全要求一级二级三级智能门锁终端安全物理安全防拆安全机制防拆报警防拆审计-物理环境攻击审计-防物理侵入-模块防移除防伪造模块移除检测-模块伪造检测-按键模块输入过程保护-指纹识别模块安全要求防异物混淆防假指纹指纹特征数据使用安全用户数据使用的安全要求包括但不限于：a)应严格控制用户数据的使用方权限，只有被合法授权的使用方才能够在其授权范围内访问并使用用户数据；b)对于涉及到用户隐私的数据的使用，应向用户明示并在经用户同意的情况下才可以开展；10.3.6用户数据备份安全要求用户数据备份的安全要求包括但不限于：a)应根据用户数据的所属类别，确定具体的数据备份

36、方案；b)备份数据宜进行加密保护；c)恢复数据应考虑恢复过程的异常通信中断等,数据恢复后再使用前应该经过校验；10.3.7用户数据销毁安全要求用户数据销毁的安全要求包括但不限于：a)用户数据销毁前，应确认操作者是否具有对待销毁数据的操作权限；b)若具备数据删除功能，在删除数据前应明确提示用户，并由用户再次确认是否删除数据；c)如数据在服务端、客户端和设备端同时存在，应保证销毁的状态保持同步；d)对已删除的用户数据应确保不可恢复。11安全分级方法根据安全保护强弱，将智能门锁的安全能力分为三个等级，由弱到强分别是一级、二级、三级，如表1所示。表1安全分级表13安全模块要求-电机（电磁铁）控制器要求

37、-系统安全设备自检-逻辑异常-固件认证-固件更新固件更新安全要求固件更新禁止回滚-PIN安全PIN防穷举PIN加密算法-操作系统最小配置-内存清除-存储安全-随机数-敏感服务控制-安全审计-调试接口安全-业务安全-智能钥匙安全开锁凭据安全-钥匙载体安全-云服务平台安全云服务基础设施平台安全要求*-IoT平台安全要求*-业务平台安全要求*-客户端安全身份鉴别*-数据完整性*-数据保密性*-反编译保护*-通用安密钥管理安全密码算法-密钥唯一性-密钥生命周期交换和储存14全备份传输-使用删除通信安全设备入网安全-数据传输安全-认证加密能力-数据安全一般规定-用户数据生成安全要求-用户数据存储安全要求-用户数据传输安全要求-用户数据使用安全要求-用户数据备份安全要求-用户数据销毁安全要求-安全分级-注：带有“*”的安全要求，离线智能门锁不做要求。A