雲丁科技首席架構師葉雲：智慧門鎖，讓居住更安全

我們帶來的第五個重磅內容，來自 雲丁科技首席架構師葉雲 帶來的—— 《智慧門鎖，讓居住更安全》 。

現如今越來越多的家庭都開始選用智慧門鎖，其中絕大部分使用者應該是被它便捷的指紋開鎖方式吸引，可以不帶鑰匙了。但今年的「小黑盒」事件將智慧門鎖的安全問題推到輿論的風口浪尖，大家開始質疑智慧門鎖的安全性相對傳統機械鎖大打折扣。今天，來自小米爆款門鎖鹿客品牌的首席架構師葉雲，來給我們分享鎖具製造商角度的安全考量，到底什麼樣的智慧鎖是靠譜的。

在過去的幾年裡，我們在門鎖的安全技術上應該說有了一定的實踐，我列出了我總結的幾個基本原則，他們會有形無形的影響到我們整個產品功能的設計，以及我們的技術方案的實現。

第一個，近程高於遠端。這裡的遠端是通過我們的伺服器下發給門鎖一個指令進行控制。近程指的是在地理位置上，我們離這個門鎖很近，通過門鎖本地的互動或者通過藍芽近場的互動去控制門鎖。

第二個，技術高於流程，我相信做技術的都有這個領悟。我們的雲端不會儲存使用者的密碼，其實相信與否我們並不是很在意，而我們關心的是這種做法會給我們的安全帶來多大的提升。

第三個，第三方不可信，這裡的主語是我們的門鎖使用者。對於使用者來說，即使你雲端不儲存密碼，但是你密碼要經過雲端下發，不相信你的運營商、我不相信你的後臺。所以說我們就提到了一個端到端的解決方案，過後我會單獨去講這個方案。

最後一個，影響隔離，這是非常非常核心的一點。因為我們如果黑客去破解一把鎖的話，他往往需要破壞這把鎖，或者說取得使用者手機的高許可權才能做到。所以說對於這把鎖的危險來說，我覺得它是不大的，是可控的。但是，我們擔心的是這把鎖被破解以後，影響到其他的鎖。這一點非常重要，我覺得做IoT的應該都要遵守「一機一密」這個原則。

我把門鎖的安全主要分成四大塊：

機械電子

雲和資料

通訊

端

接下來我來詳細的解讀這幾點。首先是機械這一塊，在智慧鎖的概念出來之前，我們就有機械以及電子門鎖在這個市場上的經驗。國家層面對於機械電子鎖是有相應的標準的，我們的鎖首先是一個機械鎖，然後再添加了智慧部分，所以說它首先要滿足我們國家已有的這部分的標準。比如鎖芯的等級，還有鎖體的等級，都是公安部規定的最高等級。

第二點，對於我們外部密碼按鍵部分我們會做足夠的防護。電子鎖的開鎖方式都是通過離合，我們在離合的介面應該放到鎖體內部，而不是前面的面板體裡面。還需要做防拆報警，智慧鎖區別於以前的鎖，它有個重要的特點就是聯網，所以它能夠實時監控鎖的狀態，遠端給我們發出一些警報。

電子安全，比如我們的密碼鍵盤與我們主控的通訊，不應該是簡單的一些開鎖指令，應該是直接傳到裝置後端進行開鎖。指紋識別也非常重要，通常做法都是廠商通過指紋的模組傳遞一個正確的訊號過來，這是非常不安全的，我們應該按照模組和指控之間加密的協議去做這個事情。

系統安全也是列了幾個點，第一，我們在協議裡面加密的部分需要通過隨機數的方式去增加破解的難度。對於本地的鎖裡面儲存的關鍵資料操作，我們在刪除的時候應該把整個儲存區域進行一個全覆蓋的寫入，而不是我就把系統的索引或者結構給刪除。裝置質檢，我們的裝置每次重啟的時候，會去讀取它需要的執行資料，包括我們的密碼等等，我們儲存的時候會對資料進行一個簽名的校驗，當啟動的時候會校驗這個資料是否被篡改。包括我們對外設也會有安全性的檢查。最後一點，密碼以及生物特徵等等關鍵資訊的儲存都應該一是加密的儲存。在我們做比對的時候也是會做一個加密的比對。

通訊部分首先是入網的身份認證，需要後臺參與去校驗實體的合法化。大部分的網路層都支援加密的協議，我們要把它開啟。下面兩個具體的點，我們該用的ZigBee3.0以上的協議，並採用Install Code方式入網。藍芽不應該保持長連線，如果沒有通訊的話，可以把它斷開，這樣可以防止一些惡意的攻擊讓你的鎖沒辦法開門。最後一點非常關鍵，無論我採用什麼樣的協議，也包括網路上的，我們在應用層一定要加二次的資料加密。

OTA的安全非常重要，需要做到兩點：對韌體要做完整性的校驗，以及簽名的認證。我們在升級和重啟校驗的時候也會做這個事情。這個是我們加簽和解籤的認證，在裝置端的演算法經過了不少的調研，最後我們採用了目前這個演算法。最後講一下2of3，就是說我們的簽名是由三個不同的管理員進行管理，我們在裝置上校籤的時候，只要三個簽名其中有兩個簽名通過以後，才能進行升級。

端到端安全對於使用者來說手機跟門鎖是他的財產，他拿在手上就是信任的。但是當手機給門鎖下指令，比如下發密碼要經過你的網路，經過雲丁的後臺再到門鎖上。中間其餘所有的部分，使用者都是不相信的，中間商不賺差價這是一個偽命題。我們的做法端到端安全，首先端是指門鎖端，資料從手機原點到我們的門鎖傳輸過程中始終是密文形式，我們的門鎖只會執行信任手機給它的指令，當然它們在一開始的握手可能是需要我們後臺參與的，去做一個身份的認證。

單獨說一下小黑盒事件，它的原理是這樣的，通過小黑盒產生的強電磁場去幹擾門鎖內部的電路，產生電流以後驅動電機去開鎖。或者有些門鎖的晶片被幹擾丟擲異常導致重啟，重啟的時候它的邏輯沒做好會直接進行開鎖。最簡單的辦法就是做電磁防護。但這種方式本質上並沒有解決問題，所以我們還要做的徹底一些。第一個是我們電機的驅動方式不應該是一個簡單的電平驅動，而是應該有資料協議在裡面。第二個，我們對重啟異常邏輯的控制，除了這種重啟異常，還包括我們在通訊過程中接收到的這種異常的指令、無效的指令，這些異常的指令我們也要覆蓋到。

下面是一些個人對門鎖行業的建議：

第一就是我們所有的廠商都應該去重視安全這個事情，安全非常重要，出現一次事故關係到非常多使用者的正常生活。

第二個是標準，智慧門的標準還沒有推出來，我們國家的政府機構和各大平臺都在做推進標準的這件事情，我們雲丁也在非常努力地加入這件事情。

第三個是因為我們做幾年鎖下來，我們接觸了不少的安全團隊，安全公司。但是我們會發現一個問題，現在的安全公司對 IoT 的投入還是比較前期的，這可能跟IoT本身的特性有關，這是因為每個方案都是不一樣的，case by case，沒有一個通用的解決方案，所以說安全公司在做產品的時候會顧慮到這一點，投入產出怎麼評估，所以也希望相關的平臺公司能夠更多地投入做這件事情。

PPT下載連結：https://cnbj1.fds.api.xiaomi.com/src/xiaomi-IoT-security-conference/%E6%99%BA%E8%83%BD%E9%97%A8%E9%94%81%EF%BC%8C%E8%AE%A9%E5%B1%85%E4%BD%8F%E6%9B%B4%E5%AE%89%E5%85%A8-%E5%8F%B6%E4%BA%91.pdf