硬件安全智能门锁安全研究方法总结2017年智能门锁产值超过百亿元，市场规模接近800万把，预计2020年智能门锁市场规模将达到4000万把。

　　智能门锁是一个典型的物联网系统，这个系统是由感知层，传输层和应用层组成，包括智能门锁设备，智能家庭网关，手机APP，云端服务组件组成。

　　在感知层，用户身份认证方式主要有固定密码，临时密码，指纹，掌纹，人脸识别，RFID，NFC和APP。

　　随着智能门锁普及，各种安全漏洞也爆出来：指纹复制，密码猜解，强磁干扰，APP漏洞，近场通信劫持，WIFI流量劫持，云端服务器漏洞。

　　广义上来说，有密码门锁，指纹门锁，APP门锁，蓝牙门锁的任一功能的门锁都可以称之为智能门锁。

　　从技术发展趋势方面说，智能门锁的联网方式目前主要是WIFI和蓝牙，此外还有Zigbee、433MHz和 315MHz等，由于WIFI和NB-IoT优势非常明显，未来将会成为智能门锁的主流联网方式。

　　0x02智能门锁技术发展现状1.智能门锁组网技术智能门锁的整体组网机构是物联网三层结构：感知层，传输层，应用层。

　　在感知层由于受到功耗的限制，大部分智能门锁采用电池供电，其通信方式主要有蓝牙、ZigBee、NB-IoT、433MHz和315MHz。

　　应用层就是智能门锁的云端服务，主要负责智能门锁的设备接入，身份认证，逻辑控制亿博，数据分析和业务展示。目前智能门锁云端服务主要部署在公有云上，比如阿里云，AWS，Azure。

　　在临时密码开锁模式下，户主通过手机APP从云端获取当前时段开锁的临死密码，通过微信短信将密码发送给访客。

　　使用FRID卡的门锁，门禁管理系统会在FRID卡中写入代表该卡身份的的字符串，在开锁时，门锁提取FRID卡中的字符串，并传到云端进行对比。

　　使用NFC卡和CPU卡的门锁，门禁管理系统会在NFC卡和CPU卡中写入代表该卡身份的私钥和公钥，开锁时，卡通过门锁与云端进行双向认证。

　　在用户开锁时，用户在手机APP上完成认证，然后在手机上点击开锁按钮，智能门锁会接收到云端发送的开锁指令。

　　根据智能门锁的组网体系结构，安全风险模型可以划分为以下五个方面：智能门锁安全风险（针对智能门锁设备的攻击）、移动应用安全风险（针对智能门锁手机APP的攻击）、近场通信安全风险(针对WIFI、ZigBee、蓝牙亿博、433和315等通信方式的攻击)、网络安全风险（针对家庭智能网关和有线数据拦截的攻击）和应用安全风险（针对智能门锁云平台的攻击）。

　　智能门锁的生物钥匙中，虹膜和人脸的伪造难度较高，已知攻击风险较小；但是掌纹和指纹有较高的伪造风险。

　　如果这种直流馈电足够高，将触发智能门锁小型电机驱动锁芯实现开锁。或者导致MCU的逻辑异常而重启，有的智能门锁默认重启后会自动开锁。

　　FRID卡中存储代表持卡人身份信息的字符串，一般的FRID卡中的信息都是以明文形式存储的，攻击者可以读取里面的信息，并复制到其他卡中，从而获得持卡人的授权信息。（2）案例分析

　　（1）原理分析有些智能门锁可以通过wifi直接连接到公网上亿博，手机在远端也会通过WIFI连接到智能门锁和云端，考虑到大量的智能门锁通信协议采用明文传输，通过攻击WIFI路由器，智能家居网关，或者劫持WIFI信号，可以实现对智能门锁的控制。

　　未限制密码长度，未限制非法登录次数，重置密码的短信验证码又在本地产生，或者存在于返回的数据包中。

　　2.访问控制漏洞后端信息系统没有对数据包中重要访问控制参数进行验证，导致越权操作。还可能存在远程代码执行漏洞，root权限执行任意命令。

　　通过说明手册进行基本配置：将门锁外面板和内面板接通，安装电池后智能门锁通信模块开启，下载APP添加搜索设备，APP会自动通过蓝牙搜索到附近设备，长按功能键两秒后和手机配对成功。

　　录入指纹后，通过指纹可以开锁，之前已经分析过，是将已经录入的指纹上传到云端，开锁时放上指纹，传到云端进行对比

　　该固定密码存储在智能门锁的固态存储空间中，同时也会上传云端进行存储。用户开锁时，输入密码，比对成功就会开锁

　　经过测试后发现，门锁与APP之间的通信是基于蓝牙的，通过抓包验证测试猜测本智能门锁并没有云端，密码和指纹通过蓝牙传输存储在门锁固件芯片中，门锁与APP的通信也是基于蓝牙。

　　是一个伪智能门锁，因此决定抓取设备和APP之间的数据包做分析，root了一台android手机，安装了tcpdump用于抓取数据包