《建筑及居住区数字化技术应用智能门锁安全》(T-ZSPH 01—2019).pdf

《《建筑及居住区数字化技术应用智能门锁安全》(T-ZSPH 01—2019).pdf》由会员分享，可在线阅读，更多相关《《建筑及居住区数字化技术应用智能门锁安全》(T-ZSPH 01—2019).pdf（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 团 体 标 准 编号 T/ZSPH 012019 建筑及居住区数字化技术应用 智能 门锁安全 Digital technique application of building and residence community-Security for smart lock 2019 年 3 月 11 日发布 2019 年 3 月 11 日实施 中关村乐家智慧居住区产业技术联盟 发布目 次 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.2 5 智能门锁系统安全架构.3 6 智能门锁终端安全.4 7 智能钥匙安全.8 8 云服务平台安全.9 9 客户端安全.9 10 通用

2、安全.10 11 安全分级方法.13 附录 A（资料性附录）智能门锁典型应用.16 前 言 为了支撑建筑及居住区数字化技术发展，规范智能门锁安全技术要求，引导行业健康有序发展，全国智能建筑及居住区数字化标准化技术委员会组织相关单位开展了建筑及居住区数字化技术应用 智能门锁安全（导则）的编制，本导则规定了智能门锁的系统安全架构、智能门锁终端安全、智能钥匙安全、云服务平台安全、客户端安全、通用安全、安全分级方法等，适用于智能门锁设计、制造、管理以及应用系统的建设和运维。本导则起草单位：中外建设信息有限责任公司、深圳市物联汇信息技术有限公司、华为技术有限公司、阿里巴巴（中国）有限公司、国民技术股份有

3、限公司、北京银联金卡科技有限公司、北京亿速码数据处理有限责任公司、上海复旦微电子集团股份有限公司、云丁网络技术（北京）有限公司、深圳市飞比电子科技有限公司、互联网金融身份认证联盟、小米通讯技术有限公司、北京百度网讯科技有限公司、浙江蚂蚁精密科技有限公司、北京智宝云科科技有限公司、王力安防科技股份有限公司、合肥工业大学、上海市质量监督检验技术研究院、深圳市汇顶科技股份有限公司、上海三星半导体有限公司、天博电子信息科技有限公司、恩智浦（中国）管理有限公司、飞天诚信科技股份有限公司、杭州晟元数据安全技术股份有限公司、紫光同芯微电子有限公司、杭州华橙网络科技有限公司、杭州赛客网络科技有限公司、深圳市罗

4、曼斯科技有限公司、中山市杨格锁业有限公司、广东亚太天能科技股份有限公司、深圳市优点科技有限公司、北京中电华大电子设计有限责任公司、深圳坚朗海贝斯智能科技有限公司、东信和平科技股份有限公司、智居云锁联盟、楚天龙股份有限公司、杭州萤石软件有限公司、英飞凌集成电路（北京）有限公司、北京果加智能科技有限公司、拂记企业股份有限公司、广州征安电子科技有限公司、安朗杰安防技术（中国）有限公司、天津国芯科技有限公司、上海果通通信科技股份有限公司、德施曼机电（中国）有限公司、青岛海信智慧家居系统股份有限公司、兆讯恒达微电子技术（北京）有限公司、中移物联网有限公司、安钥（北京）科技股份有限公司、深圳乙木生物识别技

5、术有限公司、北京眼神科技有限公司、大唐微电子技术有限公司、青岛海尔智能家电科技有限公司、美的智慧家居科技有限公司、厦门立林科技有限公司、兰和科技（深圳）有限公司、深圳市纳泽科技有限公司、北京铭光正讯科技有限公司、北京自如生活资产管理有限公司、北京清微智能科技有限公司。本导则主要起草人：张永刚、马虹、钟美生、渠韶光、周景才、蔡文成、方强、赵永刚、翁俊峰、尚治宇、王小军、向阳、刘宏伟、孙曦、江小威、杨京桦、王旭雅、冯建鑫、侯高鹏、支崇铮、张仁斌、何曙、刘金涛、陈昭、曹瑞兴、吴建斌、朱鹏飞、吴斌、王凯、谢运、雷元淮、陈德华、杨官贵、许南海、张辉、王宇、李丹、王宏杰、黄小鹏、蒋曲明、温兴双、黄显明、林

6、国辉、李炳松、郑庆三、衡潇、张斌、彭成、郝德成、韩盈盈、邢冲、胡汉城、陈其嘤、张淼、彭程、王勇、刘杰、江峰、王远春、曾兵、夏自立、金泽、刘陶、王博。1 建筑及居住区数字化技术应用 智能门锁安全 1 范围 本标准规定了智能门锁的系统安全架构、智能门锁终端安全、智能钥匙安全、云服务平台安全、客户端安全、通用安全、安全分级方法等。本标准适用于智能门锁设计、制造、管理以及应用系统的建设和运维。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB 17859-1999 计算机信

7、息系统安全保护等级划分准则 GB/T 18336.1-2015 信息技术 安全技术信息技术安全评估准则 第3部分：安全保障组件 GB/T 30146-2013 公共安全 业务连续性管理体系要求 GB/T 31168-2014 信息安全技术 云计算安全能力要求 GB/T 32907-2016 信息安全技术 SM4分组密码算法 GB/T 32915-2016 信息安全技术 二元序列随机性检测方法 GB/T 35273-2017 信息安全技术 个人信息安全规范 CJ/T 166-2014 建设事业集成电路（IC）卡应用技术条件 GM/Z 0001-2013 密码术语 GM/T 0008-2012 安

8、全芯片密码检测准则 JG/T 394-2012 建筑智能门锁通用技术要求 3 术语和定义 下列术语和定义适用于本文件。3.1 智能门锁 smart lock 采用信息技术控制的锁具及相关系统。3.2 智能钥匙 smart key 通过密钥认证、生物识别、图形或数字密码等数字化认证方式，实现与智能门锁终端进行安全交互认证完成开锁功能的媒体。3.3 安全模块 security module 2 具有密码算法、安全功能的媒体。3.4 密钥 key 控制密码算法运算的关键信息或参数。参考GM/Z 0001-2013，2.63 3.5 开锁记录 unlocking record 用户打开、关闭门锁的标识

9、、时间、方式等信息的日志数据。3.6 敏感数据 sensitive data 一旦泄露、非法提供或滥用可能危害设备安全，极易导致人身伤害、财产损失的数据。注：包括用户密码、用户ID、卡片鉴权数据、关键代码、生物特征数据、设备根密钥等。参考GB/T 35273-2017，3.2 3.7 开锁凭据 unlocking credential 用户用来打开门锁的凭证。3.8 固件 firmware 在设备内部与设备运行、控制相关的所有可执行程序代码。4 缩略语 下列缩略语适用于本文件。APP 应用（Application）BLE 低功耗蓝牙（Bluetooth Low Energy）COS 芯片操作系

10、统（Chip Operate System）CPU 中央处理单元（Central Processing Unit）DTLS 数据包传输层安全性协议(Datagram Transport Layer Security)EEPROM 带电可擦可编程只读存储器(Electrically Erasable Programmable Read Only Memory)IoT 物联网(Internet of Things)LoRa 长距离无线电（Long Range）LoRaWAN 长距离广域网（Long Range Wide Area Network）MCU 微控制单元（Micro Controller

11、 Unit）NB-IoT 窄带物联网（Narrow Band Internet of Things）NFC 近场通信（Near Field Communication）OOB 带外传输（Out of Band）3 PIN 个人识别码(Personal Identification Number)RAM 随机存取存储器（Random Access Memory）RCC 限域通信（Range Controlled Communication）ROM 只读内存（Read-Only Memory）SE 安全元件（Secure Element）TEE 可信执行环境（Trusted Execution E

12、nvironment）UID 唯一标识符（Unique Identifier）3DES 三重数据加密算法(Triple Data Encryption Standard)5 智能门锁系统安全架构 智能门锁系统架构应包括智能门锁终端、智能钥匙、云服务平台、客户端及通信模块组成，见图1所示，典型应用参见附录A。并符合下列要求：a)智能门锁终端：当终端接收到授权设备或部件的指令时，对门执行锁定或者解锁操作；b)智能钥匙：承载智能锁开锁凭据（如密码、生物特征、UID 等）的载体，可以是 CPU卡、手机、智能穿戴设备等；c)云服务平台：应包括 IoT 平台和业务平台两部分，并符合下列要求:1)业务平台：

13、实现对锁及用户的管理和控制，支持用户鉴权身份识别，提供统一人机交互界面的应用软件实现对锁控制、状态查询、报警处理等功能；2)IoT 平台：为智能门锁提供连接管理、设备管理、数据安全防护等功能；3)云服务基础设施平台：提供计算、存储、网络、安全等基础设施服务。d)客户端：方便用户通过手机直接操控智能门锁，如远程开门、远程查看、临时密钥授权等服务。e)通信模块：应包含智能门锁组件与组件之间的通信管理（如通过 BLE、zigbee 等实现的短距离通信），以及本地组件与远端云服务平台之间的通信管理（如通过3G/4G/5G、NB-IoT 等实现的远距离通信）。图1 智能门锁系统安全架构 4 6 智能门锁

14、终端安全 6.1 硬件参考架构 智能门锁终端应包含主控模块、语音模块、显示模块、读卡模块、按键模块、生物特征识别模块、通信模块、安全模块及电机等物理部件，也包含为电子模块提供软件能力的嵌入式系统，见图 2 所示。各模块应具有下列功能：a)主控模块：实现智能门锁的用户界面、应用功能与逻辑控制等功能；b)安全模块：提供智能门锁的安全运算（如加解密运算、安全认证、数据校验、数据鉴权等）、敏感数据（如用户密码、用户 ID、卡片鉴权数据、关键代码、生物特征数据、设备根密钥等）的安全存储和电机控制（根据第 11 章安全分级方法可选）等功能；c)按键模块：通过触控或者机械方式实现用户密码输入功能；d)生物特

15、征识别模块：采集用户个体的生物特征信息，实现生物特征信息的比对功能；e)通信模块：通过 BLE/zigbee/WAPI（Wi-Fi）/NB-IoT/LoRa/LoRaWAN/3G/4G/5G 等远、近场通信技术，实现门锁设备的网络接入，与云端进行连接通信等功能；f)电机：控制机械装置，实现开、关锁功能；g)显示模块：实现智能门锁信息显示功能；h)语音模块：实现智能门锁声音播放功能。图2 智能门锁终端硬件参考架构 6.2 物理安全 6.2.1 防拆安全机制 6.2.1.1 防拆报警 设备应具备移除检测和报警机制。在设备安装完毕后，应能检测到未授权的拆卸、破坏操作，具体应符合下列要求：a)设备应具

16、备防拆报警装置，当正常工作状态的设备检测到拆除时，应能触发声音或灯光报警，带有联网装置的设备应能推送报警信息到云服务平台或者客户端；b)设备防拆开关应具有一定的容错设计，防止误报警。6.2.1.2 防拆审计 设备检测到拆除、破坏等安全事件时，应有完善的安全审计措施和安全保护机制，保证设备中敏感数据不会被窃取。5 6.2.2 物理环境攻击审计 设备应具有相应审计和安全保护机制，当检测到物理环境（温度、电压等）变化攻击行为时，应能有效地保证设备敏感数据不被窃取或者泄露。6.2.3 防物理侵入 设备在工作时，应能防止攻击者对模块间的传输数据进行物理探测、监听、干扰和修改。6.2.4 模块防移除防伪造

17、 6.2.4.1 模块移除检测 模块移除检测应符合下列要求：a）在设备上电时，应对设备内的模块（包含但不限于生物特征识别模块、通信模块）进行自检和合法性认证；b）在设备运行期间，应对设备各关键模块定期进行自检和合法性认证：c）当检测到模块被移除或无应答时，应通过声音、灯光或网络发出报警信号。6.2.4.2 模块伪造检测 当检测到非授权模块时，设备应保证其不能被认证通过，并通过声音、灯光或网络发出报警信号。6.2.5 按键模块输入过程保护 通过检测声音、电磁辐射、能量消耗或者其他外部特性检测等(即使是在设备操作员或销售员提供的协助下)，不能侦测到内部传输的PIN，并应符合下列要求：a)具备密码按

18、键的设备应提供防偷窥机制，以保护用户的 PIN 输入过程；b)当设备配装显示屏时，在密码按键上输入的 PIN 应以无意义字符显示；c)当设备具有语音模块时，在密码按键上输入 PIN 的按键提示音应保证一致，无差异或者足够随机不会泄露敏感信息；d)当设备的密码按键带有震动反馈或能引起震动时，应保证所有按键引起的震动保持一致，无差异或者足够随机不会泄露敏感信息；e)物理密码按键要保证物理按键引起的机械音保持一致，无差异或者足够随机不会泄露敏感数据；f)密码按键应考虑在输入 PIN 码后，键盘按键上无明显的热残留信息。6.2.6 指纹识别模块安全要求 6.2.6.1 防异物混淆 防异物混淆应符合下列

19、要求：a)指纹识别模块应能识别到传感器表面的非正常异物信息；b)指纹识别模块不应将异物信息特征写入指纹特征数据。6.2.6.2 防假指纹 防假指纹要求如下：a)指纹识别模块应具有一定的防指纹残留设计；b)指纹识别模块应具有能识别出非活体指纹的能力。6 6.2.6.3 指纹特征数据使用安全 智能门锁应对指纹特征数据进行严格保护，使其（指纹特征数据）在整个生命周期中不被窃取、泄露、非法修改、非法删除等，应符合下列要求：a)指纹特征数据应加密存储在指纹识别模块的存储器内；b)指纹特征数据不应从存储载体中读出；c)删除指纹用户后，指纹特征数据应立即从设备中清除；d)指纹特征的添加、删除应具有权限保护机

20、制，具有相关权限的用户才能进行添加、删除操作；e)指纹识别模块应能识别传感器表面的裂损，不应将裂损信息特征写入指纹特征数据。6.2.7 安全模块要求 安全模块应符合下列要求：a)应至少支持国产密码算法（如 SM4 等），SM4 算法应符合 GB/T 32907-2016 的要求；b)安全模块应与设备绑定使用，一机一密，在非绑定设备上应不能正常工作 c)应提供加解密服务、数据鉴权、安全认证、卡片开锁子密钥生成等基本应用接口；d)安全模块应提供用户 PIN 数据安全存储应用接口；e)安全模块应提供智能卡鉴权数据安全存储接口；f)安全模块应提供根密钥安全存储接口，根密钥在出厂时由生产方以密文形式写入

21、设备，每个设备必须不同，出厂后用户无法通过任意接口读取和修改根密钥；g)应符合 CJ/T 166-2014 中关于安全存取模块和安全设备的要求。6.2.8 电机(电磁铁)控制器要求 电机（电磁铁）宜由安全芯片进行控制。6.3 系统安全 6.3.1 设备自检 设备应具备自检功能，检查目标应包括固件、密钥、审计记录、针对篡改迹象的安全机制以及设备是否处于被攻破状态。并应符合下列要求：a)应能够检查设备的固件、安全机制以及环境状态；b)当出现故障时，设备及其功能应以安全的方式失去效用；c)设备每 24 小时内应至少重新初始化内存一次；d)设备每次启动时应完成自检且每 24 小时应至少进行一次自检。6

22、.3.2 逻辑异常 对系统出现的逻辑异常，应进行正确处理。具体要求如下：a)对于正确的命令应能够正常工作和应答，当接收到无效命令（包括错误顺序的命令、未知命令、错误模式下的命令、错误的命令参数）时，应能够正常工作；b)对无效指令应采取进入已定义的安全状态的方式，防止攻击者利用无效指令获取系统和芯片内部运行信息；c)受到远程或本地网络扫描、拒绝服务攻击后，应能够正常工作；d)系统崩溃后，应修正错误或恢复正常启动。6.3.3 固件认证 7 设备固件及对固件的任何改动都应经过严格的流程控制和认证，以保证固件中不含隐藏的非法功能。具体要求如下：a)设备上电时应对固件做真实性、完整性校验，确保固件未被非

23、法篡改；b)应存在对应的漏洞发现、管理和升级的流程；c)漏洞发现、管理、升级和发布的流程应在安全策略中明确。6.3.4 固件更新 6.3.4.1 固件更新安全要求 在厂商支持的更新模式下，应满足10.2的相关要求，设备应验证更新固件的完整性和真实性，并应符合下列要求：a)固件更新前，应与更新源进行双向认证，确认更新源的合法性；b)固件下载时，应建立安全通道，加密传输更新指令和固件数据；c)固件下载完毕后，应对新固件进行完整性和真实性校验，保证未被篡改；d)更新完成后，应对新固件进行完整性和真实性校验；e)固件更新失败时，应有有效的机制保证智能门锁处于安全状态。6.3.4.2 固件更新禁止回滚

24、应禁止固件版本回滚，以应对降级攻击。6.3.5 PIN 安全 6.3.5.1 PIN 防穷举 设备应具有防止利用穷举攻击PIN值、指纹识别，人脸识别等能力。对虚位密码的防穷举应根据实际输入的密码长度增加限制。6.3.5.2 PIN 加密算法 设备应采用PIN加密技术，并应符合下列要求：a)应禁止输出密钥以及 PIN 的明文；b)应禁止用已经泄密或存在已经泄露可能性的密钥去加密其它密钥或 PIN。6.3.6 操作系统最小配置 当设备使用操作系统（包括商业化操作系统，自定义操作系统等）时，应仅包含必须的组件和服务。6.3.7 内存清除 敏感数据及其过程信息使用完毕或超时后应立即从内存中清除。6.3

25、.8 存储安全 敏感数据应加密存储在安全载体中，使用安全模块进行保护，以确保在采集、生成和保存过程中的保密性、完整性和合法性，防止被未授权第三方获取或篡改。数据存储应考虑异常通信中断、异常断电等情况下的数据完整性，在使用前需经过校验，并符合 10.3 的要求。6.3.9 随机数 设备中的随机数产生器应经过评估，以保证其产生的随机数无法被预测，具体要求如下：8 a)设备中应具有硬件真随机数模块；b)随机数随机性应符合 GB/T 32915-2016 的要求。6.3.10 敏感服务控制 设备敏感服务用于访问敏感功能。应对敏感服务进行有效保护并进行使用限制，并符合下列要求：a)设备的敏感服务应充分保

26、护，使用设备的敏感服务应通过身份验证，进入或退出敏感服务不应泄露或改变设备中的敏感信息；b)应对设备敏感服务的范围和使用时间进行限制，保证设备敏感服务不被非法使用。当超出服务范围和使用时间时，设备应退出敏感服务并返回到正常模式；c)用户添加、删除等关键敏感操作应验证管理员密码，且仅能由管理员进行操作；d)管理员密码不应采用默认密码，且强制设置管理员密码时应禁止输入默认密码。6.3.11 安全审计 安全审计的具体要求如下：a)设备应具备对敏感操作和安全事件的记录和审计功能；b)对于连续多次开锁失败等敏感事件应能主动记录和报警；c)厂家应在安全策略中明确说明各种开锁方式下连续开锁失败的具体次数。6

27、.3.12 调试接口安全 在产品交付后，应确保模块的调试接口和调试功能禁止使能，以确保固件与敏感数据不被非法读取或篡改。6.3.13 业务安全 指纹或密码功能的联机智能门锁，宜增加防劫持指纹或劫持密码，通过该指纹或密码开门后可向指定人员远程推送报警信息，报警方式为短信、APP推送或语音电话。7 智能钥匙安全 7.1 开锁凭据安全 开锁凭据应包括但不限于：开锁PIN码、动态开锁凭据等，应保证其整个生命周期中不被窃取、泄露和非法获取。并符合下列要求：a)开锁密码长度应不少于 6 位；b)虚位密码应同时支持前后虚位密码；c)密码尝试次数应做严格限制；d)动态开锁凭据应只能用于指定的智能锁设备；e)动

28、态开锁凭据应仅能使用一次，且应包含具有超时期限；f)动态开锁凭据数据长度不应少于（含）8 字节。7.2 钥匙载体安全 钥匙载体包括移动终端、智能卡、可穿戴设备等，钥匙载体安全应符合下列要求：a)钥匙信息、密钥信息需加密存储在安全芯片中，安全芯片应符合 GB/T 18336.1-2015中 EAL4 或 GM/T 0008-2012 中等级二的要求；b)安全芯片应至少支持 SM4 等安全算法，具备硬件防攻击能力；9 c)安全芯片应采用硬件真随机数发生器；d)钥匙和智能门锁间的通信需有安全认证校验机制，能够抵御重放分析，并保障通信信息的保密性、完整性和真实性；e)当钥匙载体支持多应用时，各应用之间

29、相互独立；f)钥匙载体应用的安全技术要求应符合 CJ/T 166-2014 的要求。8 云服务平台安全 8.1 云服务基础设施平台安全要求 云服务基础设施平台作为设备数据和用户数据的统一存储与管理平台，其安全机制应包含数据安全、信息安全、管理安全和个人隐私保护安全。具体要求如下：a）数据安全应符合GB/T 30146-2013的要求；b）信息安全应符合GB 17859-1999的要求；c）管理安全应符合GB/T 31168-2014的要求；d）个人隐私安全应满足GB/T 35273-2017的要求。8.2 IoT 平台安全要求 IoT平台应提供连接管理和设备管理等功能，主要涉及设备接入安全和设

30、备数据管理安全,具体要求如下：a）智能锁与IoT平台间应采用安全传输协议；b）IoT平台与业务平台间应支持HTTPS双向认证，确保传输安全；c）智能锁与IoT平台间应支持身份认证机制，确保合法设备接入；d）具备抵御流量型攻击，对外的接口具备入侵防御能力；e)支持主机入侵检测HIDS机制。8.3 业务平台安全要求 业务平台应实现对智能门锁和用户的管理与控制，主要提供智能锁控制、状态查询、报警处理等功能，其具体安全要求如下：a）提供个人数据全生存周期的安全和隐私保护；b）满足GB/T 31168-2014的要求。9 客户端安全 9.1 身份鉴别 客户端应设计安全的身份鉴别方案，保证用户身份鉴别安全

31、，具体要求如下：a)用户在首次注册及修改口令时，应有对用户的鉴别信息进行复杂度检查设计；b)用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证认证系统安全；c)客户端在设计时，对于敏感操作应对身份鉴别采用二次验证的方案。敏感操作如密码增加删除修改、指纹增加删除、解绑设备等。9.2 数据完整性 10 为保证数据在传输过程中不被篡改，客户端对服务端发送数据应采用密钥技术对数据进行完整性签名。9.3 数据保密性 为防止客户端中敏感数据被盗取，客户端应进行数据保密设计，具体要求如下：a)应采用加密技术保证敏感数据在本地存储时的保密性；b)应确保客户端中的敏感数据不能被其他应用操作读取；

32、c)应对通信过程中的敏感数据或整个报文进行加密保护；d)客户端应在发布前关闭调试日志打印功能，防止敏感数据泄露。9.4 反编译保护 客户端反编译保护应符合下列要求：a)客户端应采用包括代码混淆或加壳等代码加固方式部署；b)客户端运行态应具备反调试能力；c)客户端应具有对自身签名进行校验的能力，防止应用重打包。10 通用安全 10.1 密钥管理安全 10.1.1 密码算法 密码算法应符合下列要求：a)智能门锁体系中，安全芯片或安全模块应至少支持国产密码算法（如 SM4 等），且可选支持国际密码算法（如 3DES/AES/RSA/ECC 等）；b)智能门锁中用于数据加解密的密钥应存储在硬件安全芯片

33、中或安全模块中。10.1.2 密钥唯一性 设备中若保存可对认证数据进行加密的私有密钥，应保证每台设备中私有密钥的唯一性，并应符合下列要求：a)设备中的密钥应实现一机一密；b)单个设备绑定的所有智能卡应实现一卡一密，智能卡（含虚拟卡）是智能门锁应用的标配，相对于密码开锁、指纹开锁等方式安全级别更高；c)网关设备搭载安全芯片的，网关设备的密钥应实现一机一密。10.1.3 密钥生命周期 10.1.3.1 交换和存储 密钥交换和存储应符合下列要求：a)密钥和相关的敏感数据应安全存储；b)密钥应在安全的控制下下载。10.1.3.2 备份 当密钥备份生成时，应实现双重控制。备份的安全级别应等于要备份的密钥

34、的最低级别。10.1.3.3 传输 11 当密钥在设备间传输时，传输过程应进行加密，并符合下列要求：a)除设备初始化、智能卡绑卡时，密钥不应在通道上传输；b)密钥传输时，应使用安全通道进行保护；c)在密钥传输期间，从第三方收到的密钥应以加密方式传送，或者在授权的密钥管理人之间交换的最少 2 个组件进行传输，并使用防篡改的序列化信封进行交换；d)当使用远程密钥下发技术，应支持发送方与接受方之间的双向认证，防止敏感数据被泄露或篡改，“会话密钥”并应保证一次一密。10.1.3.4 使用 密钥使用应符合下列要求：a)数据加解密密钥、安全通道密钥等密钥功能不应混用；b)不应输出密钥明文，不应使用已经泄密

35、或存在泄密可能性的密钥去加密其他密钥；c)不应把密钥明文从高安全性的组件传送至低安全性的组件中去；d)在门锁设备中存储的密钥应使用密文存储；e)门锁初始化完成之后根密钥不应向外部传输；f)智能卡绑卡时，智能卡密钥应使用过程密钥加密之后密文传输，并且绑卡完成之后，不应在通信链路上进行传输。10.1.3.5 删除 应使用适当的机制来销毁或删除钥匙和密钥部件，以防止被盗窃，披露或未经授权的使用。10.2 通信安全 10.2.1 设备入网安全 当采用标准通信协议（如蓝牙、zigbee，NB-IoT等）进行设备的入网许可时，应符合下列要求：a)当使用低功耗蓝牙（BLE）进行设备入网时，应采用 PassK

36、ey Entry、Numeric Comparison、OOB 模式授权配网，或者当采用 Just Work 方式匹配时，应有效防止中间人攻击；b)当使用 zigbee 技术进行设备入网时，应采用 zigbee3.0 Install Code/PreInstall Key 的安全模式授权匹配，或者当采用非 zigbee3.0 Install Code/PreInstall Key的模式配网时，应有效防止中间人攻击；c)当使用 WAPI（Wi-Fi）技术进行设备入网时，应采用 WPA3 及以上版本协议；d)当使用 NB-IoT 无线通信加密和鉴权要求时，NB-IoT 通信的鉴权、加密和完整性保护

37、应符合相关标准的要求。10.2.2 数据传输安全 智能锁以无线方式开锁或者进行密钥下发等敏感数据交互时，通信双方应进行认证，防止敏感数据被泄露或篡改，并应符合下列要求：a)采用蓝牙、WAPI（Wi-Fi）、zigbee 等技术，通信模块与钥匙载体或者网关之间的通信要求应符合国家密码管理关于算法的要求；b)采用 NB-IoT 通信模块与云服务平台间认证加密时，应符合下列要求：1)安全传输协议：应支持 DTLS；2)认证加密能力：应支持软件认证加密能力,宜支持专用硬件认证加密模块。12 10.2.3 认证加密能力 具有数据存储和设备管理的通信设备，应使用硬件安全模块进行加密计算。10.3 数据安全

38、 10.3.1 一般规定 在智能门锁应用中，涉及用户数据的实体包括门锁设备、云服务平台以及客户端。用户数据安全要求涉及用户数据的生成、存储、传输、使用、备份以及销毁等环节。用户数据应包括以下三类：a)类 1 数据：可直接用于开锁的用户数据，如开锁凭据或者用户生物特征信息，属于敏感数据，其安全要求参见其他章节中关于敏感数据的保护要求；b)类 2 数据：与用户隐私相关的用户数据，如用户注册数据、家庭成员出入记录等；c)类 3 数据：与用户隐私无关的用户数据，如门锁在用户使用过程中发生的异常状态记录等。10.3.2 用户数据生成安全要求 用户数据生成的安全要求包括但不限于：a)应根据用户数据所属类别

39、不同，确定该类别用户数据生成或采集过程中的安全保护方案；b)对于类 2 数据，应采取有效的措施确保其生成或采集过程中的完整性、真实性，宜采取有效的措施确保其生成或采集过程中的保密性和可追溯性。对于涉及到用户隐私的数据，在生成或者采集前应向用户明示并在经用户同意的情况下才可以开展；c)对于类 3 数据，应采取有效的措施确保其生成过程中的完整性和真实性。10.3.3 用户数据存储安全要求 用户数据存储的安全要求包括但不限于：a)应根据用户数据的所属类别和存储位置，确定具体的存储安全保护方案；b)应采取有效的安全措施，确保未经授权的第三方无法访问到存储的用户数据；c)对于类 2 数据，应采取有效的安

40、全措施确保其存储的保密性和完整性如加密存储等；宜结合智能门锁设备或者移动终端中的可信环境如 SE 或者 TEE 进行安全保护；d)对于涉及到用户隐私的用户数据，宜只留存在用户设备中，如需存储到云服务平台，应向用户明示并在经用户同意的情况下才可以开展；e)对于类 3 数据，如需存储到云服务平台，宜向用户明示并在经用户同意的情况下再进行开展。10.3.4 用户数据传输安全要求 用户数据传输的安全要求包括但不限于：a)应根据用户数据的所属类别和存储位置，确定具体的传输安全保护方案；b)用户数据传输主体应采取有效的措施验证与其通信的实体身份真实性并具备相应权限接收该用户数据；c)对于类 2 数据，应采

41、取有效的安全措施确保其传输的保密性、完整性和真实性，防止在传输过程中被未授权第三方获取或篡改；d)对于类 3 数据，应采取有效的安全措施确保其传输的完整性和真实性。10.3.5 用户数据使用安全要求 13 用户数据使用的安全要求包括但不限于：a)应严格控制用户数据的使用方权限，只有被合法授权的使用方才能够在其授权范围内访问并使用用户数据；b)对于涉及到用户隐私的数据的使用，应向用户明示并在经用户同意的情况下才可以开展；10.3.6 用户数据备份安全要求 用户数据备份的安全要求包括但不限于：a)应根据用户数据的所属类别，确定具体的数据备份方案；b)备份数据宜进行加密保护；c)恢复数据应考虑恢复过

42、程的异常通信中断等,数据恢复后再使用前应该经过校验；10.3.7 用户数据销毁安全要求 用户数据销毁的安全要求包括但不限于：a)用户数据销毁前，应确认操作者是否具有对待销毁数据的操作权限；b)若具备数据删除功能，在删除数据前应明确提示用户，并由用户再次确认是否删除数据；c)如数据在服务端、客户端和设备端同时存在，应保证销毁的状态保持同步；d)对已删除的用户数据应确保不可恢复。11 安全分级方法 根据安全保护强弱，将智能门锁的安全能力分为三个等级，由弱到强分别是一级、二级、三级，如表1所示。表1 安全分级表 等级 安全要求 一级 二级 三级 智能门锁终端安全 物理安全 防拆安全机制 防拆报警 防

43、拆审计-物理环境攻击审计-防物理侵入-模块防移除防伪造 模块移除检测-模块伪造检测-按键模块输入过程保护-指纹识别模块安全要求 防异物混淆 防假指纹 指纹特征数据使用安全 14 安全模块要求-电机（电磁铁）控制器要求-系统安全 设备自检-逻辑异常-固件认证-固件更新 固件更新安全要求 固件更新禁止回滚-PIN 安全 PIN 防穷举 PIN 加密算法-操作系统最小配置-内存清除-存储安全-随机数-敏感服务控制-安全审计-调试接口安全-业务安全-智能钥匙安全 开锁凭据安全-钥匙载体安全-云服务平台安全 云服务基础设施平台安全要求*-IoT 平台安全要求*-业务平台安全要求*-客户端安全 身份鉴别*

44、-数据完整性*-数据保密性*-反编译保护*-通用安密钥管理安全 密码算法-密钥唯一性-密钥生命周期 交换和储存 15 全 备份 传输-使用 删除 通信安全 设备入网安全-数据传输安全-认证加密能力-数据安全 一般规定-用户数据生成安全要求-用户数据存储安全要求-用户数据传输安全要求-用户数据使用安全要求-用户数据备份安全要求-用户数据销毁安全要求-安全分级-注：带有“*”的安全要求，离线智能门锁不做要求。A 16 附 录 A（资料性附录）智能门锁典型应用 A.1 一般规定 根据智能门锁在开锁流程中，是否需要连接远端服务器，可分为离线智能门锁和联机智能门锁两大类。A.2 离线智能门锁 离线智能门

45、锁的连接方式见图A.1。智能门锁通讯网络（管）用户智能门锁服务平台 图A.1 离线智能门锁连接方式 开通环节：a)用户在购买并安装了智能门锁后，根据使用说明进行初始化；b)门锁初始化过程中可能需要连接到智能门锁服务平台进行初始化操作；c)用户根据使用说明设置开锁凭据，根据门锁支持方式不同，可为设置开锁密码，可为录入用户生物特征信息，或可为初始化门禁卡等；d)在完成开锁凭据设置后，门锁状态调整为正常使用状态。开锁环节：用户在开锁过程中无需联网，只需要在跟门锁交互提供相应的开锁凭据，如输入开锁密码，或使用对应的用户生物特征信息，或提供开锁门禁卡等，在智能门锁本地进行校验后确定是否进行开锁。A.3

46、联网智能门锁 A.3.1 门锁直接连接服务器 17 门锁直接连接服务器的连接方式见图A.2。智能门锁通讯网络（管）用户智能门锁服务平台 图A.2 门锁直接连接服务器 开通环节：a)用户根据智能门锁使用说明请求开通并录入对应该用户的开锁凭据；b)智能门锁连接到智能门锁服务平台进行录入初始化；c)用户根据使用说明设置开锁凭据，该开锁凭据存储在智能门锁服务平台上；d)根据门锁支持方式不同，开锁凭据可为开锁密码，也可为录入的用户生物特征信息等；e)在完成开锁凭据录入后，门锁状态调整为正常使用状态。开锁环节：用户在开锁过程中需要连接智能门锁服务平台，并跟门锁交互提供相应的开锁凭据，如输入开锁密码，或使用

47、对应的用户生物特征信息等，由智能门锁传输到智能门锁服务平台进行验证后确定是否进行开锁。A.3.2 结合移动终端App连接服务器 门锁结合移动终端App连接服务器的连接方式见图A.3。18 智能门锁通讯网络（管）用户智能门锁服务平台 图A.3 结合移动终端 App 连接服务器 开通环节：a)用户请求开通使用智能门锁；b)用户需要下载安装相应的移动智能终端 App，并通过智能终端 App 填写信息，完成门锁注册开通过程；c)智能门锁服务平台将用户的开通信息同步到智能门锁中，可由智能门锁服务平台直接连接门锁进行同步，也可以通过用户的移动终端 App，再通过近场通信协议与门锁连接进行同步；d)用户根据移动 App 提示设置开锁凭据，根据门锁具体支持方案不同，开锁凭据可为开锁密码，也可为录入的用户生物特征信息，或者是写入到移动设备中并安全存储的开锁钥匙等；e)在完成开通后，门锁状态调整为正常使用状态。开锁环节：用户在开锁过程中需要使用移动终端App并通过其获取开锁凭据，方式可以是通过移动App，或者是让用户输入密码，或者是对用户进行生物特征信息验证后，从智能门锁服务平台获取一个动态开锁密钥，或者是访问移动设备中安全存储的开锁钥匙，并通过近场通信协议与智能门锁进行交互和验证后，确定是否开锁。B