2018年03月11日 | 智能门锁风险最大的一个功能，大家尽量不要使用！

2018-03-11 来源：引石安评

智能门锁正以便捷、安全的特点逐步走入家庭，作为家庭的入口，智能门锁成为各巨头们争夺的入口产品，各类的智能门锁呼之欲出，指纹识别、声音识别、指静脉识别等等技术都加入其中，智能门锁变得一下高大起来。

　　使用智能门锁，一方面人们可以不用带钥匙了，省去了之前钥匙丢失造成的麻烦。另一方面，智能门锁还可与家庭的安全防护联系起来，解决了人们更多的安全诉求。但不论怎么，在引石老王看来，智能门锁加入到家庭智能家居应用中，一旦接入互联网，实现远程控制开锁应用(比如家庭的主人在单位，通过远程控制门锁，实现老人、孩子或者到访客人进门这类应用)，那风险就会大幅度提升，会给家庭埋下比较大的安全隐患。

　　为什么远程开锁存在较大的安全隐患？引石老王先给大家简单介绍智能门锁远程开锁的原理。

　　带有入网功能的智能门锁一般都会涉及到设备端(智能门锁)、后台服务云端(智能家居云端)、以及通信客户端(手机APP)三部分，这三部分任何一个端点的安全都可能会影响到智能门锁的安全。

　　从图中可以看到，为了保证安全，负责任的智能门锁厂家对这三个端点之间的数据都是加密通讯(传输)的。家庭主人打开手机APP发送开锁的请求到智能家居云端，云端收到开锁请求，发送开锁指令到智能门锁远程开锁。看到这儿，肯定有人会说，这不是挺安全吗？风险从何而来呢？

　　引石老王要说，行业技术隔行如隔山，做行业应用到大牛的人不一定明白安全到底有多大的风险或者说黑客是如何搞定应用的？恰恰是因为应用开发人员对安全认知的缺失，导致一些智能产品上市后，面临太多的安全风险。对于老百姓来讲，更是如此。这种对安全的疑问，让众多行业内专家和老百姓忽略了真正的信息安全风险，

　　对数据仅实现加密就自以为安全的智能门锁应用，黑客们有各种方式去进行攻击。

　　网络黑客们考虑的问题绝不是数据加密这么简单？数据虽然加密了，但对黑客来讲，依然可以采取各种方式进行攻击。

　　举例子来说，黑客将家庭主人远程发出开门的加密数据截取，等到需要的时候再发给服务端依然可以实现将家门打开，或者说黑客侵入手机客户端，将密钥截取掉(其实仅需要把家庭主人调用密钥的那6位口令拿到就行了)，那么黑客就可以随时开门了。

　　再或者，黑客什么也不做，截取了加密数据后就不停的发给云端做重放攻击！甚至，黑客将主人开门的指令做修改和授权，像网络视频VIP用户口令售卖一样卖掉？黑客通过智能门锁进入了智能家居中的其他智能设备，在主人不知情的情况下，打开了摄像头，复制了控制智能家居的其他系统.......

　　以多年信息安全与反黑技术研究的经验来讲，引石老王绝不是危言损听，不光是智能门锁，智能家居中的任何设备一旦接入互联网，通过远程控制完成应用，如果做不好安全防御，那出现风险的机会就会非常大。

　　如何实现对智能门锁远程开锁功能的安全防御，杜绝潜在的安全风险？

　　如何实现智能门锁远程控制开锁功能的安全防御，杜绝黑客攻击的风险？引石老王带大家先了解什么是远程控制。

　　远程控制，指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段，连通需被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。比如，远程唤醒技术(WOL，Wake-on-LAN)是由网卡配合其他软硬件，通过给处于待机状态的网卡发送特定的数据祯，实现电脑从停机状态启动的一种技术。

　　说白了，远程控制就是通过无线或有线通信实现对远端设备的控制操作。那么，在应用系统中，这种操作是通过什么来实现的呢？显而易见，开锁功能是由智能门锁系统应用中的开锁指令来实现的，通过系统发送控制开锁的指令对远端的智能门锁设备进行开锁功能操作。

　　指令系统是指计算机所能执行的全部指令的集指令系统合，它描述了计算机内全部的控制信息和“逻辑判断”能力。

　　引用了远程控制与指令系统两项专业术语，引石老王就是想告诉大家，在智能设备的远程控制应用中，只有实现了对指令系统的安全加固防御，才可能杜绝远程控制造成的黑客入侵风险。但目前智能门锁厂家的安全技术除了数据加密外，还没有一家可以实现对开锁指令的安全加固，更不用说那些应用软件存在的安全漏洞了。

　　因此，为了您家的安全，不要轻易去使用智能门锁中的远程开锁功能，也尽量不要开启其他智能家居设备中的远程控制功能。当然，也许您并不会遇到所谓的安全风险，但您必须知道，信息安全风险是不可逆的，一旦遇到，安全风险不可避免。远程开锁这种看上去高大上，方便快捷的功能，其实隐藏了比较高的安全风险。

智能门锁智能家居

上一篇:智能服务机器人产业链分析：需要密切关注三大趋势

下一篇:智能锁选购十问十答：进口的有可能水土不服？