TAF-FG1-AS0030-V1.0.0-2019 智能門鎖信息安全技術(shù)要求和評估方法

1、電 信 終 端 產(chǎn) 業(yè) 協(xié) 會 標 準TAF-FG1-AS0030-V1.0.0:2019智能門鎖信息安全技術(shù)要求和評估方法Information Security Technical Requirement and Evaluation Method on Smart Gate Lock2019-04-23 發(fā)布2019- 04-23 實施電信終端產(chǎn)業(yè)協(xié)會發(fā) 布II范圍1II2 規(guī)范性引用文件1術(shù)語、定義和縮略語113.1 縮略語1智能門鎖結(jié)構(gòu)和功能架構(gòu)1智能鎖整體架構(gòu)1智能門鎖本地端功能2總體安全目標3安全風險3安全目標4安全功能要求4控制單元4信息采集單元5通信模塊安全5存儲單元5安全單

2、元6傳輸安全7安全認證8管理客戶端安全8測試內(nèi)容和評估方法9附 錄 A （規(guī)范性附錄） 標準修訂歷史14附 錄 B （資料性附錄） 附錄15參考文獻16前言本標準按照 GB/T 1.1-2009給出的規(guī)則起草。本標準由電信終端產(chǎn)業(yè)協(xié)會提出并歸口。本標準起草單位：中國信息通信研究院、中國電信終端公司、中移物聯(lián)網(wǎng)有限公司、北京鼎合思銳軟件技術(shù)有限公司、深圳市紐創(chuàng)信安科技開發(fā)有限公司、上海果通通信科技股份有限公司、鄭州信大捷安信息技術(shù)股份有限公司、紫光同芯微電子有限公司、上海掌御信息科技有限公司、北京百度網(wǎng)訊科技有限公司、意法半導(dǎo)體、深圳聯(lián)亨智云智能科技有限公司本標準主要起草人：國煒、潘娟、耿炎、趙

3、峰、路曄綿、王海蘭、樊俊鋒、孫景峰、李勛宏、梁松濤、尹文基、陳珊、黃鈞、李笑如引言隨著互聯(lián)網(wǎng)技術(shù)、云技術(shù)、高端制造技術(shù)的開發(fā)與應(yīng)用，智能家居行業(yè)油然而起。而這其中，智能門鎖堪稱是智能家居的入口級產(chǎn)品，乃至各大企業(yè)都盯住了這塊巨大的市場蛋糕。然而在市場發(fā)展初期， 由于缺乏良好的市場規(guī)則、以及有效的市場監(jiān)管措施，更是缺少統(tǒng)一的產(chǎn)品互聯(lián)和安全標準，使這些智能產(chǎn)品良莠不齊地出現(xiàn)在消費者的日常生活中，在給消費者帶來方便的同時，也相繼帶來了很多安全問題。本標準從信息通信安全的角度制定智能門鎖信息安全技術(shù)要求和評估方法。智能門鎖信息安全技術(shù)要求和評估方法范圍本文檔規(guī)定了智能門鎖信息安全技術(shù)要求和評估方法，原

4、則上僅在協(xié)會內(nèi)部使用，為協(xié)會開展智能門鎖安全評估提供技術(shù)依據(jù)。本文檔是評估實驗室進行智能門鎖安全測試的指南，也可以供認證產(chǎn)品的生產(chǎn)商使用。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。術(shù)語、定義和縮略語縮略語智能門鎖結(jié)構(gòu)和功能架構(gòu)智能鎖整體架構(gòu)智能門鎖的整體應(yīng)用架構(gòu)根據(jù)現(xiàn)有技術(shù)方案可分為2種，一種是連接網(wǎng)關(guān)通信結(jié)構(gòu)，一種是蜂窩通信結(jié)構(gòu)，如NB-IOT。兩種應(yīng)用架構(gòu)中主要包括智能門鎖本地端，智能門鎖云管理平臺和管理客戶端三大組成部分，整體架構(gòu)圖如下：IP網(wǎng)絡(luò)蜂窩網(wǎng)絡(luò)管理客

5、戶端數(shù)字網(wǎng)關(guān)非授權(quán)頻譜通信智能門鎖智能門鎖私有云公有云物聯(lián)網(wǎng)云平臺圖1 智能門鎖應(yīng)用架構(gòu)智能門鎖本地端由前面板、鎖體和后面板三部分組成，其中前面板包含眾多復(fù)雜的電子器件，如電機、主控電路板、顯示屏、信息采集模塊（如密碼輸入界面、指紋識別模塊）、把手和滑蓋等元器件， 它一般為面向門外的開鎖界面；鎖體結(jié)構(gòu)包括機械鎖體部分、電機和鎖芯部分，后面板包含了通訊模塊如WIFI、藍牙、Zigbee、NB-IoT等、反鎖控制鍵、電池槽、后把手。智能門鎖云管理平臺通過網(wǎng)絡(luò)將管理客戶端和智能門鎖本地端進行連接并保證其傳輸安全，同時承擔管理客戶端對本地端接入、控制、授權(quán)等操作的認證功能，以及對所有操作的日志和審計功

6、能。管理客戶端為用戶提供能夠通過物聯(lián)網(wǎng)云平臺對智能門鎖本地端進行遠程操作的接口，其主要應(yīng)對其臨時存儲或者持久存儲的數(shù)據(jù)進行保護，并對智能門鎖云管理平臺的數(shù)據(jù)傳輸進行保護，同時采用一定的安全機制保障自身安全。智能門鎖本地端功能控制單元安全單元存儲單元通信模塊執(zhí)行單元信息采集單元電源圖 2 智能鎖本地端功能架構(gòu)圖如圖2所示，智能門鎖本地端包含的主要功能模塊如下：信息采集單元：通過該單元采集能夠驅(qū)動本地端機械鎖體部分的信息，包括密碼信息、生物識別信息。該信息要有唯一性、安全性、方便性、兼容性、廣泛性等特點。通信模塊：通過該單元將鎖體上的信息如狀態(tài)信息、開關(guān)信息等，借助通信網(wǎng)關(guān)或者其它網(wǎng)絡(luò)設(shè)備傳遞到智

7、能門鎖云管理平臺，同時反向可接收云管理平臺傳遞的控制信息，啟動本地端的控制單元完成機械鎖體部分的控制。存儲單元：內(nèi)部存儲秘鑰、固件、應(yīng)用數(shù)據(jù)的物理單元，如智能門鎖的主控秘鑰、過程秘鑰、加密秘鑰、解密秘鑰、臨時秘鑰、認證秘鑰都需要存儲在該物理單元內(nèi)。安全單元：實現(xiàn)智能門鎖本地端用戶如指紋、密碼、人臉識別、虹膜識別、指靜脈等多種生物特征驗證憑據(jù)的身份認證，以及智能門鎖云管理平臺的控制指令有效性驗證，認證結(jié)果將反饋至控制單元。執(zhí)行單元：通過接收控制單位發(fā)送的指令，完成對智能門鎖本地端機械鎖體部門的動作?？刂茊卧鹤鳛橹悄苕i的核心功能模塊，起到各模塊間信息協(xié)同與交互的作用。除此之外，智能門鎖還包括機械

8、和鎖芯部分。對這兩部分的安全技術(shù)要求不在本標準的規(guī)定范圍內(nèi)?？傮w安全目標安全風險本地安全風險用戶信息被竊取生物特征信息被竊取固件被非法讀取或篡改開鎖PIN 碼被提取門卡被復(fù)制控制命令被重放控制命令被偽造遠程安全風險遠程非法登陸智能門鎖云管理平臺服務(wù)器遠程用戶提權(quán)固件非法升級控制命令被重放控制命令被偽造智能門鎖云管理平臺被拒絕服務(wù)攻擊用戶信息被遠程截取生物特征信息被遠程截取安全目標本地安全目標設(shè)備在固件存儲、固件升級等方面應(yīng)有足夠的防護，防止攻擊者通過提取固件、分析固件、操控固件非法操控智能門鎖設(shè)備。智能門鎖在開關(guān)鎖具的令牌、密碼、生物特征識別、近場控制命令等方面應(yīng)具有足夠的安全防護， 防止攻擊

9、者通過攻擊上述模塊非法操控智能門鎖設(shè)備。智能門鎖應(yīng)在軟硬件設(shè)計上具有安全防護，以防止用戶提權(quán)、生命周期修改、設(shè)備工作模式修改等非法操作。遠程安全目標智能門鎖與智能門鎖云管理平臺、智能門鎖與管理客戶端、智能門鎖與控制網(wǎng)關(guān)之間應(yīng)具有足夠的通信加密機制，以防止控制命令重放和偽造、遠程用戶提取。智能門鎖與智能門鎖云管理平臺、智能門鎖與管理客戶端、智能門鎖與控制網(wǎng)關(guān)之間應(yīng)具備驗證機制，以防止非法遠程登錄、非法遠程固件操控。隱私數(shù)據(jù)安全目標智能門鎖應(yīng)具有足夠的防護措施，以防止用戶的隱私數(shù)據(jù)在設(shè)備端、通信過程中泄露。智能門鎖作為一種安全設(shè)備，應(yīng)確保只有合法用戶通過設(shè)定的方法控制，并確保用戶隱私數(shù)據(jù)的安全。智

10、能門鎖應(yīng)具有足夠的安全防護措施來應(yīng)對包括本地破解、遠程非法控制、用戶隱私數(shù)據(jù)泄漏，并通過相應(yīng)的攻擊測試。安全功能要求控制單元控制單元應(yīng)支持智能門鎖的防拆保護機制，且當檢測到外部拆解門鎖的行為時，控制單元應(yīng)給出報警信息，并采取適當?shù)男袨楸Ｗo鎖內(nèi)信息的安全?？刂茊卧獞?yīng)支持智能門鎖工作環(huán)境檢測機制，且當檢測到門鎖的工作環(huán)境（溫度、電源電壓、工作電流、電磁脈沖等）超過門鎖正常工作范圍時，控制單元應(yīng)給出報警信息，并采取適當?shù)男袨楸Ｗo鎖內(nèi)信息的安全?？刂茊卧獞?yīng)具備足夠的安全防護能力，保證自身在受到干擾（溫度、電源電壓、電磁脈沖等）的情況下能夠保持安全的工作狀態(tài)?？刂茊卧獞?yīng)支持敏感信息的安全傳輸、安全存儲和

11、安全使用。信息采集單元對于具備生物識別開鎖功能的智能門鎖，生物采集模塊應(yīng)支持活體檢測能力。對于使用信息識別卡開鎖功能的智能門鎖，信息識別卡應(yīng)具備防復(fù)制能力；且應(yīng)采用口令或密碼算法對信息識別卡鑒別信息讀寫等操作設(shè)置控制權(quán)限，限制非授權(quán)的信息識別卡訪問。通信模塊安全通信模塊的通用安全要求1) 通信模塊應(yīng)使用加密算法和完整性保護算法保證通信的加密，避免側(cè)信道攻擊。蜂窩通信模塊的安全要求蜂窩通信模塊需要具備不可更改的設(shè)備IMEI號，以便網(wǎng)絡(luò)側(cè)可利用IMEI號實現(xiàn)機卡互鎖功能。蜂窩通信模塊應(yīng)具備雙向鑒權(quán)能力，防止偽基站攻擊，防止附著一個不可信的網(wǎng)絡(luò)上。根據(jù)目前網(wǎng)絡(luò)部署情況，建議采用3G/4G/NB-Io

12、T/eMTC等網(wǎng)絡(luò)，避免使用2G網(wǎng)絡(luò)。當安全元件同時作為eSIM功能時，蜂窩通信模塊需要支持轉(zhuǎn)發(fā)安全應(yīng)用層數(shù)據(jù)能力，以便向MCU提供應(yīng)用層的身份識別和數(shù)據(jù)加密、完整性校驗功能。藍牙模塊的安全要求藍牙模塊應(yīng)支持加密傳輸。BLE 4.2版本及以上的模塊應(yīng)使用LE Secure Connections功能。ZigBee 模塊安全要求應(yīng)使用訪問控制模式或安全模式進行通信。當使用訪問控制模式時，通過訪問控制列表限制非法節(jié)點獲取數(shù)據(jù)；當使用訪問控制模式時，ACL采用預(yù)置的方式，且使用安全存儲機制。當使用安全模式時，采用AES 128位加密算法進行通信加密，同時進行完整性校驗。當使用安全模式時，密鑰采用預(yù)置

13、或預(yù)置SALT+衍生的方式，預(yù)置的密鑰或者SALT應(yīng)使用安全存儲機制。433MHz 無線、WIFI 模塊的安全要求應(yīng)符合6.3.1所規(guī)定的要求。存儲單元概述智能鎖使用的存儲單元包括RAM、ROM和Flash存儲。RAM：用于系統(tǒng)啟動后的應(yīng)用程序、數(shù)據(jù)的保存，掉電后復(fù)位；ROM：用于保存系統(tǒng)啟動程序、系統(tǒng)軟件，不可擦寫；Flash：用于保存系統(tǒng)配置、關(guān)鍵業(yè)務(wù)數(shù)據(jù)的持久化、日志數(shù)據(jù)，掉電保持，可重復(fù)擦寫；RAM 存儲安全對RAM存儲單元，應(yīng)該采用統(tǒng)一的內(nèi)存管理機制，劃分安全區(qū)域和非安全區(qū)域，分別存放敏感數(shù)據(jù)和非敏感數(shù)據(jù)。敏感數(shù)據(jù)又稱隱私數(shù)據(jù)，如用戶身份信息、密碼、位置等與用戶相關(guān)的數(shù)據(jù)，而其它非涉

14、及用戶相關(guān)的數(shù)據(jù)為非敏感數(shù)據(jù)。對涉及安全操作的軟件模塊，可以向內(nèi)存管理服務(wù)申請安全區(qū)域的內(nèi)存以及非安全區(qū)域的內(nèi)存；對涉及非安全相關(guān)的模塊，只能向內(nèi)存管理服務(wù)申請非安全區(qū)域的內(nèi)存。ROM 存儲安全（可選）對ROM存儲單元，本身屬于不可擦寫存儲，存儲的數(shù)據(jù)不需要進行額外的保護。但系統(tǒng)啟動代碼在加載Flash存儲單元的程序時，應(yīng)進行簽名驗證。系統(tǒng)啟動代碼還要防止電磁攻擊，避免寄存器錯亂導(dǎo)致的異常行為。Flash 存儲安全對于Flash存儲單元，存儲的內(nèi)容包括固件代碼和數(shù)據(jù)。固件代碼：應(yīng)對固件代碼采用簽名驗證，且固件代碼應(yīng)具有反逆向保護。固件更新FOTA：空中更新的固件代碼應(yīng)該采用代碼簽名機制來驗證代

15、碼的完整性和可靠性， 且應(yīng)具有防回滾功能。數(shù)據(jù)：敏感數(shù)據(jù)在存儲時應(yīng)采用加密存儲，且安全存儲的密鑰可以由硬件安全單元衍生。安全單元概述智能門鎖如具備硬件密碼模塊或硬件安全單元(Secure Element)，則智能門鎖使用指紋、虹膜、人臉、指靜脈（不限于以上方式）等生物識別特征進行身份識別時，應(yīng)采用密碼模塊對相關(guān)敏感信息進行加密存儲；遠程、近端等傳送給智能門鎖系統(tǒng)的關(guān)鍵信息（如控制信息、配置信息等）應(yīng)進行簽名驗證。抗攻擊防護硬件密碼模塊或安全單元應(yīng)具備安全防護機制，能夠防止物理攻擊、側(cè)信道攻擊、故障注入攻擊等靜態(tài)和動態(tài)的攻擊。且需要對芯片工作環(huán)境進行監(jiān)控, 當芯片遭受可疑的攻擊時, 產(chǎn)生告警信息

16、; 對其內(nèi)部總線以及存儲器等重要敏感電路部分增加物理保護層，以阻止入侵者利用探針等手段竊取信息；通過設(shè)計隨機振動的電源提高抗功耗分析攻擊的能力。密鑰管理安全硬件密碼模塊或安全單元支持多級密鑰離散的機制，智能門鎖各級發(fā)卡方在卡片主控密鑰和應(yīng)用主控密鑰的控制下裝載應(yīng)用和密鑰。硬件密碼模塊或安全單元主控密鑰是卡片的控制密鑰，初始值由安全單元生產(chǎn)商寫入，由發(fā)卡方替換為發(fā)卡方的卡片主控密鑰?？ㄆ骺孛荑€的更新在發(fā)卡方自身的控制下進行。硬件密碼模塊或安全單元主控密鑰的訪問控制可通過外部認證操作實現(xiàn)，也可通過安全報文的方式實現(xiàn)。發(fā)卡方必須在安全單元主控密鑰的控制下完成裝載應(yīng)用主控密鑰和更新卡片主控密鑰。應(yīng)用

17、層密鑰包括應(yīng)用主控密鑰、應(yīng)用維護密鑰、應(yīng)用工作密鑰、應(yīng)用數(shù)據(jù)。應(yīng)用主控密鑰是在安全單元主控密鑰控制下寫入的。發(fā)卡方必須在應(yīng)用主控密鑰的控制下完成裝載應(yīng)用維護密鑰、應(yīng)用工作密鑰和更新應(yīng)用主控密鑰。硬件密碼模塊或安全單元應(yīng)提供密鑰分散、數(shù)據(jù)加密和完整性校驗功能。應(yīng)支持國際主流的標準加密算法，若支持國密算法，則應(yīng)符合國家密碼管理機構(gòu)的相關(guān)規(guī)定。傳輸安全傳輸安全通用技術(shù)要求智能門鎖的信息傳輸安全涉及智能門鎖、控制終端、智能門鎖云管理平臺的數(shù)據(jù)處理單元之間的數(shù)據(jù)安全傳輸。智能門鎖傳輸安全泛指采用密碼技術(shù)在智能門鎖、控制終端、云管理平臺的數(shù)據(jù)處理單元之間保證數(shù)據(jù)傳輸?shù)耐暾?、機密性和抗重放攻擊。傳輸安全不

18、涉及智能門鎖內(nèi)部數(shù)據(jù)傳輸?shù)陌踩?。?shù)據(jù)傳輸完整性技術(shù)要求智能門鎖應(yīng)用的各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用數(shù)據(jù)完整性校驗機制保證傳輸數(shù)據(jù)的完整性。智能門鎖各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，除傳輸數(shù)據(jù)主體之外應(yīng)附加用于對數(shù)據(jù)進行完整性校驗的校驗信息；智能門鎖各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，可根據(jù)傳輸不同分類級別的數(shù)據(jù)采用不同的數(shù)據(jù)校驗方法；智能門鎖各個執(zhí)行主體之間在傳輸控制指令、管理數(shù)據(jù)、隱私數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)等重要數(shù)據(jù)時，可采用密碼機制保證數(shù)據(jù)傳輸完整性，采用的密碼機制應(yīng)支持國際主流的標準加密算法，若支持國密算法，則應(yīng)符合國家密碼管理機構(gòu)的相關(guān)規(guī)定；在檢測到傳輸數(shù)據(jù)的完整性遭到破壞時，

19、應(yīng)采取措施恢復(fù)或重新獲取數(shù)據(jù)。數(shù)據(jù)傳輸機密性技術(shù)要求智能門鎖應(yīng)用的各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用密碼機制保證傳輸數(shù)據(jù)的機密性。a)智能門鎖各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用密碼機制對傳輸數(shù)據(jù)進行加密；智能門鎖各個執(zhí)行主體之間對于重要數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸，應(yīng)采用有一定強度的加密算法對數(shù)據(jù)進行加密；智能門鎖各個執(zhí)行主體之間在傳輸加密數(shù)據(jù)時，應(yīng)采用一次一密的加密傳輸方式； d)智能門鎖各個執(zhí)行主體之間傳輸數(shù)據(jù)時的加密算法，可采用國產(chǎn)密碼算法；e)智能門鎖各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，若涉及密鑰管理，密鑰管理策略應(yīng)能夠解決周期密鑰更新、密鑰撤銷和密鑰分發(fā)等問題。數(shù)據(jù)傳

20、輸抗重放技術(shù)要求智能門鎖應(yīng)用的各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用一定的機制保證傳輸數(shù)據(jù)的抗重放攻擊。智能門鎖各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，應(yīng)采用機制防止數(shù)據(jù)包或報文的重排或重放；智能門鎖各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，可使用序列碼或時間戳實現(xiàn)抗重放攻擊；智能門鎖各個執(zhí)行主體之間在進行數(shù)據(jù)傳輸時，可在數(shù)據(jù)中加入與當前事件有關(guān)的一次性隨機數(shù)。安全認證安全認證通用技術(shù)要求智能門鎖應(yīng)用中各個執(zhí)行主體之間應(yīng)具備認證鑒別機制，各個執(zhí)行主體之間可采用不同的身份認證和鑒別機制。接入認證智能門鎖應(yīng)用的各個執(zhí)行主體之間應(yīng)采用身份認證或鑒別機制實現(xiàn)接入認證。智能門鎖接入云管理平臺時，應(yīng)對智能門鎖與云管理

21、平臺之間采用身份認證及鑒別機制；控制終端接入云管理平臺時，對云管理平臺與控制終端之間應(yīng)采用雙向身份認證及鑒別機制； c)智能門鎖與控制終端之間，應(yīng)建立基于身份的雙向認證機制；d)接入認證失敗時，云管理平臺應(yīng)支持以下失敗處理：能終止智能門鎖或控制終端端接入認證超時的當前會話；能終止智能門鎖或控制終端規(guī)定次數(shù)認證失敗的接入會話的嘗試。控制認證控制終端與智能門鎖之間應(yīng)建立控制認證鑒別機制。a)控制終端與智能門鎖之間應(yīng)建立基于數(shù)字證書的雙向身份認證機制；控制終端與智能門鎖之間應(yīng)保證只有認證通過的控制終端可控制相應(yīng)的智能門鎖；控制終端與智能門鎖之間應(yīng)保證只有認證通過的智能門鎖可接收并執(zhí)行相應(yīng)的控制指令；

22、 b)控制認證失敗時，應(yīng)終止控制終端對智能門鎖的控制請求。授權(quán)認證云管理平臺用于建立智能門鎖與控制終端之間的授權(quán)認證機制，通過云管理平臺實現(xiàn)控制終端與智能門鎖之間的信息綁定。云管理平臺向控制終端進行授權(quán)時，應(yīng)建立云管理平臺與控制終端之間的認證機制；云管理平臺應(yīng)支持授權(quán)控制終端僅可訪問被授權(quán)綁定的智能門鎖，并能阻止非授權(quán)的控制終端的訪問請求；云管理平臺在向不同級別的控制終端用戶進行授權(quán)時，應(yīng)采取不同級別的授權(quán)權(quán)限； d)云管理平臺應(yīng)支持對控制終端與智能門鎖之間的綁定關(guān)系的修改、解除；e)云管理平臺應(yīng)支持授權(quán)控制終端訪問歷史的智能門鎖數(shù)據(jù)。管理客戶端安全訪問控制客戶端APP應(yīng)能對訪問者進行驗證，只

23、接受通過認證的用戶的訪問，同時應(yīng)對敏感數(shù)據(jù)進行訪問權(quán)限控制。數(shù)據(jù)安全保護應(yīng)加密存儲敏感數(shù)據(jù)，敏感數(shù)據(jù)存儲路徑應(yīng)設(shè)置嚴格的訪問控制機制，避免數(shù)據(jù)泄露。用于加密的密鑰應(yīng)妥善保存，避免被直接獲取。應(yīng)禁止日志數(shù)據(jù)包含與用戶數(shù)據(jù)相關(guān)的數(shù)據(jù)。反逆向保護應(yīng)采取代碼混淆、加殼等防護措施，實現(xiàn)客戶端APP反編譯保護。反盜版保護應(yīng)采取簽名機制，防止客戶端APP被重打包。防篡改攻擊應(yīng)對程序的完整性、參數(shù)內(nèi)容的完整性和有效性進行檢查，以防御篡改攻擊。測試內(nèi)容和評估方法測試內(nèi)容與安全分級測試內(nèi)容將全部覆蓋4.2節(jié)所定義的功能模塊，以及對應(yīng)的第6章所規(guī)定的安全功能要求。同時，將這些安全功能要求按照級別由低到高被包含在不同

24、的一級、二級、三級里。具體內(nèi)容見表1。表1 測試內(nèi)容和安全分級測試單元測試項一級二級三級控制單元控制單元應(yīng)支持門鎖的防拆保護機制控制單元應(yīng)支持門鎖工作環(huán)境檢測機制控制單元應(yīng)具備自身的安全防護能力控制單元應(yīng)支持敏感信息的安全傳輸、存儲和使用信息采集單元生物采集模塊應(yīng)支持活體檢測能力信息識別卡應(yīng)具備防復(fù)制能力；且應(yīng)采用口令或密碼算法對信息識別卡鑒別信息讀寫等操作設(shè)置控制權(quán)限，限制非授權(quán)的信息識別卡訪問。通信模塊安全通信應(yīng)支持加密算法和完整性保護算法蜂窩通信模塊應(yīng)具備 IMEI 號蜂窩通信模塊應(yīng)具備雙向鑒權(quán)能力當安全芯片具備 eSIM 功能時，蜂窩通信模塊應(yīng)支持轉(zhuǎn)發(fā)安全應(yīng)用層數(shù)據(jù)能力，以便向 MCU

25、 提供安全應(yīng)用層的身份識別、數(shù)據(jù)加密、完整性校驗功能（條件性支持）藍牙模塊應(yīng)支持加密傳輸BLE 4.2 版本及以上的模塊應(yīng)使用 LE Secure Connections 功能ZigBee 模塊應(yīng)使用訪問控制模式或安全模式通信在訪問控制模式下，通過訪問控制列表限制非法節(jié)點獲取數(shù)據(jù)在訪問控制模式下的 ACL 采用預(yù)置方式，并使用安全存儲機制在安全模式下，采用 AES 128 位加密算法，同時進行完整性校驗在安全模式下，密鑰采用預(yù)置或預(yù)置 SALT+衍生方式，密鑰使用安全存儲機制存儲單元在加載系統(tǒng)啟動代碼時，應(yīng)進行代碼的完整性和可靠性驗證（系統(tǒng)安全啟動）固件在寫入時應(yīng)進行代碼簽名驗證固件代碼應(yīng)進行反逆向保護敏感數(shù)據(jù)在存儲時應(yīng)采用加密存儲通過 OTA 更新的固件代碼應(yīng)采用簽名驗證,且應(yīng)具有防回滾功能對 RAM 存儲單元，應(yīng)采用內(nèi)存管理機制來劃分安全區(qū)域和非安全區(qū)域?qū)γ舾袛?shù)據(jù)以及非敏感數(shù)據(jù)的存儲傳輸安全各執(zhí)行主體之間進行數(shù)據(jù)傳