信息安全技術(shù) 智能門鎖網(wǎng)絡(luò)安全技術(shù)規(guī)范

ICS35.030

CCSL80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)智能門鎖網(wǎng)絡(luò)安全技術(shù)規(guī)范

Informationsecuritytechnology—Cybersecuritytechnicalspecificationforsmart

lockproducts

(點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí))

（征求意見稿）

在提交反饋意見時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口。

本文件起草單位：公安部第三研究所、中國信息安全研究院有限公司、中移（杭州）信息技術(shù)有限

公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心、浙江大華技術(shù)股份有

限公司、杭州螢石軟件有限公司、中山市鎖業(yè)協(xié)會(huì)、云丁網(wǎng)絡(luò)技術(shù)(北京)有限公司、北京奇虎科技有限

公司、上海斗象信息技術(shù)有限公司、寧波市鎮(zhèn)海神舟鎖業(yè)有限公司、阿里巴巴（北京）軟件服務(wù)有限公

司、青島海爾智能家電科技有限公司、上海嘉韋思信息科技有限公司、北京小米移動(dòng)軟件有限公司、移

康智能科技（上海）股份有限公司、南京東屋電氣有限公司、上海市質(zhì)量監(jiān)督檢驗(yàn)技術(shù)研究院、工業(yè)和

信息化部電子第五研究所、中國科學(xué)院信息工程研究所、中國信息通信研究院、華為技術(shù)有限公司、翼

盾（上海）智能科技有限公司、浙江智貝信息科技有限公司、上海物盾信息科技有限公司、啟明星辰信

息技術(shù)集團(tuán)股份有限公司、深圳市凱迪仕智能科技股份有限公司。

本文件主要起草人：劉繼順、陸臻、顧健、沈亮、張艷、孫永清、李海鵬、胡津銘、張智強(qiáng)、楊晨、

路曉明、于曉杰、常濤、張屹、何清林、馮秀英、何曙、李樂言、潘月霖、舒首衡、李國柱、姚俊寧、

朱易翔、周正達(dá)、徐夢(mèng)宇、陳燦峰、朱鵬程、閔浩、李鳳華、張昊星、賴東亮、蘇祺云、吳其良、杜南、

牛國君。

II

GB/TXXXXX—XXXX

信息安全技術(shù)智能門鎖網(wǎng)絡(luò)安全技術(shù)規(guī)范

1范圍

本文件規(guī)定了聯(lián)網(wǎng)智能門鎖系統(tǒng)中的智能門鎖終端、接入網(wǎng)關(guān)、管理平臺(tái)、控制端應(yīng)用

APP各組成部分以及通信連接網(wǎng)絡(luò)的安全技術(shù)要求，給出了測(cè)試方法及安全等級(jí)劃分。

本文件適用于智能門鎖系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計(jì)、實(shí)現(xiàn)和測(cè)試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期

的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改單）適用于本文件。

GB/T15843—2017信息技術(shù)安全技術(shù)實(shí)體鑒別

GB21556—2008鎖具安全通用技術(shù)條件

GB/T25069信息安全技術(shù)術(shù)語

GB/T33474—2016物聯(lián)網(wǎng)參考體系結(jié)構(gòu)

GB/T33745—2017物聯(lián)網(wǎng)術(shù)語

GB/T34975—2017信息安全技術(shù)移動(dòng)智能終端應(yīng)用安全技術(shù)要求和測(cè)試評(píng)價(jià)方法

GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T36950—2018信息安全技術(shù)智能卡安全技術(shù)要求

GB/T36951—2018信息安全技術(shù)物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求

GB/T37024—2018信息安全技術(shù)物聯(lián)網(wǎng)感知層網(wǎng)關(guān)安全技術(shù)要求

GB/T37044—2018信息安全技術(shù)物聯(lián)網(wǎng)安全參考模型及通用要求

GB/T37076—2018信息安全技術(shù)指紋識(shí)別系統(tǒng)技術(shù)要求

GB/T38671—2020信息安全技術(shù)遠(yuǎn)程人臉識(shí)別系統(tǒng)技術(shù)要求

3術(shù)語和定義

GB21556—2008、GB/T25069、GB/T33474—2016、GB/T33745—2017、GB/T34975—

2017、GB/T35273—2020、GB/T36951—2018、GB/T37024—2018、GB/T37044—2018界

定的以及下列術(shù)語和定義適用于本文件。

3.1

智能門鎖smartlock

以生物特征、電子標(biāo)簽、無線遙控編碼、電子口令或遠(yuǎn)程控制指令等作為鑒別信息，由

門鎖終端、接入網(wǎng)關(guān)、管理平臺(tái)以及控制端應(yīng)用APP等部分組成的門鎖信息系統(tǒng)。

3.2

相互鑒別mutualauthentication

實(shí)體雙方均向?qū)Ψ教峁┥矸荼ＷC信息的實(shí)體鑒別機(jī)制。

1

[來源：GB/T15843.1—2017，3.18]。

3.3

CPU卡CPUcard

含有中央處理器（CPU）的IC卡。

3.4

關(guān)鍵安全信息criticalsecurityinformation

與安全相關(guān)的信息，其被泄露或被修改后會(huì)危及智能門鎖安全性。

注：例如用戶登錄鑒別信息、管理平臺(tái)管理員鑒別信息、智能門鎖終端鑒別信息等。

3.5

虛位口令virtualpassword

在正確的口令前面和后面加上任意位數(shù)的字符的口令。

3.6

呈現(xiàn)攻擊presentingattacks

以干擾生物特征識(shí)別系統(tǒng)的操作為目的，針對(duì)生物特征數(shù)據(jù)采集模塊的一種攻擊行為。

4縮略語

以下縮略語適用于本文件。

AP：無線接入點(diǎn)（AccessPoint）

APP：應(yīng)用軟件（ApplicationSoftware）

CPU：中央處理器（CentralProcessingUnit）

HTTPS：超文本傳輸安全協(xié)議（HyperTextTransferProtocoloverSecureSocketLayer）

IC：集成電路（IntegratedCircuit）

ID：標(biāo)識(shí)（Identification）

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

KRACK：口令重置攻擊（KeyReinstallationAttacks）

MAC：媒體訪問控制（MediaAccessControl）

MCU：微控制單元（MicrocontrollerUnit）

NFC：近場(chǎng)通信（NearFieldCommunication）

PCB：印刷電路板（PrintedCircuitBoards）

PIN：個(gè)人識(shí)別碼（PersonalIdentificationNumber）

SSID：服務(wù)集標(biāo)識(shí)（ServiceSetIdentifier）

SSL：安全套接層（SecureSocketsLayer）

TCP：傳輸控制協(xié)議（TransmissionControlProtocol）

UID：用戶身份標(biāo)識(shí)（UserIdentification）

WPA：Wi-Fi保護(hù)訪問（Wi-FiProtectedAccess）

WPA2：Wi-Fi保護(hù)訪問2（Wi-FiProtectedAccessTwo）

2D：二維（TwoDimensional）

3D：三維（ThreeDimensional）

5概述

2

GB/TXXXXX—XXXX

5.1智能門鎖組成

智能門鎖是一種物聯(lián)網(wǎng)應(yīng)用系統(tǒng)，用以實(shí)現(xiàn)門鎖的用戶識(shí)別、遠(yuǎn)程控制以及系統(tǒng)管理，

主要包括智能門鎖終端、接入網(wǎng)關(guān)、管理平臺(tái)和控制端應(yīng)用APP等組件，其整體組成形態(tài)如

圖1所示。

控制端應(yīng)用APP

廣域網(wǎng)

用戶接入網(wǎng)關(guān)

管理平臺(tái)

智能門鎖終端

圖1智能門鎖系統(tǒng)組成

圖1中：

a）智能門鎖終端是智能數(shù)據(jù)采集、接受遠(yuǎn)程控制，提供門鎖啟閉功能的智能軟硬件實(shí)

體。

b）接入網(wǎng)關(guān)為智能門鎖終端提供網(wǎng)絡(luò)連接，提供協(xié)議轉(zhuǎn)換、本地場(chǎng)景化服務(wù)和設(shè)備管

理功能。

c）智能門鎖管理平臺(tái)是后端智能門鎖服務(wù)應(yīng)用承載的功能實(shí)體，通過與智能門鎖終端、

智能門鎖移動(dòng)應(yīng)用協(xié)同，實(shí)現(xiàn)智能門鎖的具體應(yīng)用服務(wù)。智能門鎖管理平臺(tái)具備智

能門鎖終端管理、智能感知信息融合處理、遠(yuǎn)程人機(jī)交互、遠(yuǎn)程控制等功能。

d）控制端應(yīng)用APP為實(shí)際使用智能門鎖的終端用戶提供遠(yuǎn)程控制、人機(jī)交互等功能。

e）智能門鎖系統(tǒng)的通信網(wǎng)絡(luò)為智能門鎖系統(tǒng)提供數(shù)據(jù)通信連接能力，實(shí)現(xiàn)智能數(shù)據(jù)采

集、數(shù)據(jù)傳輸、數(shù)據(jù)處理等功能。智能門鎖終端通過智能門鎖接入網(wǎng)關(guān)或運(yùn)營商網(wǎng)

絡(luò)與智能門鎖管理平臺(tái)、用戶控制端連接，實(shí)現(xiàn)智能采集數(shù)據(jù)與控制指令的交互。

5.2安全風(fēng)險(xiǎn)分析和安全分級(jí)

根據(jù)智能門鎖系統(tǒng)的網(wǎng)絡(luò)組成架構(gòu)，本文件對(duì)智能門鎖系統(tǒng)面臨的安全風(fēng)險(xiǎn)進(jìn)行了抽

象，主要包括針對(duì)智能門鎖終端、接入網(wǎng)關(guān)的硬件攻擊風(fēng)險(xiǎn)，針對(duì)管理平臺(tái)、控制端應(yīng)用的

軟件攻擊風(fēng)險(xiǎn)，以及針對(duì)近距離無線傳輸和遠(yuǎn)距離核心網(wǎng)絡(luò)傳輸?shù)墓麸L(fēng)險(xiǎn)，具體分析見

A.1和A.2。

根據(jù)應(yīng)用場(chǎng)景對(duì)網(wǎng)絡(luò)安全防護(hù)能力的不同要求，將智能門鎖系統(tǒng)的安全級(jí)別劃分為兩

個(gè)等級(jí)：基本級(jí)、增強(qiáng)級(jí)，增強(qiáng)級(jí)網(wǎng)絡(luò)安全防護(hù)能力高于基本級(jí)，增強(qiáng)級(jí)在基本級(jí)基礎(chǔ)上增

加或者增強(qiáng)的技術(shù)要求用加粗字體表示。

6智能門鎖網(wǎng)絡(luò)安全技術(shù)要求

6.1智能門鎖終端安全技術(shù)要求

3

鑒別數(shù)據(jù)安全

口令鑒別安全

智能門鎖使用口令作為鑒別信息時(shí)應(yīng)滿足：

a)鍵盤有震動(dòng)或聲音反饋時(shí)，所有按鍵引起的震動(dòng)或聲音保持無差異或者隨機(jī)反饋；

b)在鍵盤無遮擋的設(shè)備上，支持虛位口令；

c)支持多重身份鑒別。

生物信息鑒別安全

智能門鎖使用生物信息鑒別用戶身份時(shí)，生物識(shí)別模塊應(yīng)具備生物信息仿冒防范能力，

滿足：

a)指紋識(shí)別模塊具備防復(fù)制指紋仿冒、防指紋照片仿冒的能力，符合GB/T37076-2018

中要求；

b)人臉識(shí)別模塊具備防復(fù)制人臉仿冒、防人臉照片仿冒、防面具仿冒的能力，符合GB/T

38671—2020中要求；

c)指紋識(shí)別模塊具備檢測(cè)假體或防止指紋假體仿冒行為；

d)人臉識(shí)別模塊具備防人臉視頻仿冒、防人臉電腦圖像合成仿冒、防假體面具仿冒能

力，符合GB/T38671—2020中要求。

e)具備其他類型生物識(shí)別模塊具備防護(hù)呈現(xiàn)攻擊的能力；

f)具備生物識(shí)別模塊具備發(fā)生上述攻擊時(shí)暫停服務(wù)并發(fā)出告警的能力。

IC卡安全

智能門鎖使用IC卡鑒別用戶身份時(shí)，IC卡應(yīng)滿足：

a)符合GB/T36950-2018的要求；

b)具備數(shù)據(jù)加密能力；

c)具有防復(fù)制功能；

d)IC卡采用CPU卡，其形態(tài)包括但不限于CPU智能卡、搭載安全載體且具備CPU卡功能

的終端設(shè)備；

e)具備物理防御手段以防止側(cè)信道攻擊。

固件安全

智能門鎖終端固件應(yīng)滿足：

a)在得到用戶確認(rèn)后，能進(jìn)行固件更新機(jī)制；

b)固件下載時(shí)，具備對(duì)更新文件來源進(jìn)行校驗(yàn)的能力；

c)具備防止中間人劫持或嗅探的安全下載通道；

d)固件升級(jí)時(shí)，具備對(duì)更新文件完整性校驗(yàn)?zāi)芰Γ?/p>

e)固件升級(jí)失敗，能夠保持固件的可用性；

f)具備防止未授權(quán)的固件回退的能力。

操作系統(tǒng)安全

智能門鎖終端操作系統(tǒng)應(yīng)滿足：

a)按照最小化原則，僅保留業(yè)務(wù)必需的應(yīng)用模塊、使用端口、控制權(quán)限；

b)提供安全啟動(dòng)認(rèn)證機(jī)制，禁止用戶直接登錄操作系統(tǒng)；

4

GB/TXXXXX—XXXX

c)具備操作系統(tǒng)更新機(jī)制和更新失效保護(hù)機(jī)制，更新前需要得到用戶確認(rèn)且告知更新

結(jié)果。

應(yīng)用安全

智能門鎖終端應(yīng)用應(yīng)滿足：

a)在安裝應(yīng)用軟件時(shí)，對(duì)軟件安裝包的完整性與來源的真實(shí)性進(jìn)行校驗(yàn)；

b)具備防范越權(quán)操控和身份仿冒的能力；

c)安裝滿足業(yè)務(wù)安全功能需求的軟件并正確配置及使用；

d)按照策略進(jìn)行補(bǔ)丁更新和升級(jí)，保證所更新的數(shù)據(jù)是來源的真實(shí)性和完整性；

e)應(yīng)用軟件更新失敗時(shí)，保持應(yīng)用軟件的可用性；

f)具備防逆向、反編譯能力。

接入認(rèn)證

終端標(biāo)識(shí)

針對(duì)智能門鎖終端標(biāo)識(shí)，應(yīng)滿足：

a)具備可用于通信識(shí)別的唯一標(biāo)識(shí)；

b)設(shè)備標(biāo)識(shí)具備防篡改機(jī)制。

網(wǎng)絡(luò)接入認(rèn)證

針對(duì)網(wǎng)絡(luò)接入認(rèn)證，應(yīng)滿足：

a)在接入網(wǎng)絡(luò)時(shí)，智能門鎖終端應(yīng)采用遵循GB/T15843-2017的預(yù)共享密鑰鑒別機(jī)

制向接入網(wǎng)絡(luò)證明其網(wǎng)絡(luò)身份；

b)智能門鎖終端與管理平臺(tái)、接入網(wǎng)關(guān)、控制端采用相互鑒別機(jī)制，鑒別機(jī)制采用

GB/T15843-2017的基于數(shù)字證書的接入機(jī)制。

賬戶與口令

智能門鎖終端賬戶與口令安全要求應(yīng)滿足：

a)添加用戶、刪除用戶、恢復(fù)出廠設(shè)置等重要操作僅能由授權(quán)管理員進(jìn)行操作，且操

作前驗(yàn)證管理員身份；

b)具備防止窮舉口令攻擊的能力，針對(duì)虛位口令的防窮舉攻擊機(jī)制能根據(jù)實(shí)際輸入的

口令長(zhǎng)度增加限制；

c)智能門鎖終端不應(yīng)采用默認(rèn)口令，恢復(fù)出廠設(shè)置后，要求用戶立即設(shè)置新口令，口

令有復(fù)雜度要求。

訪問控制

智能門鎖終端的訪問控制功能應(yīng)滿足：

a)遵循最小權(quán)限原則對(duì)用戶、控制端、管理平臺(tái)分配智能門鎖操作權(quán)限；

b)能設(shè)置網(wǎng)絡(luò)訪問控制策略，只允許授權(quán)的網(wǎng)絡(luò)通信單元通過網(wǎng)絡(luò)訪問和操作智能門

鎖。

通信安全

通信端口控制

5

針對(duì)通信端口控制，應(yīng)滿足：

a)遵循最小配置原則，禁用非必要的通信端口；

b)支持在線動(dòng)態(tài)啟用或者禁用特定的通信端口，啟用或者禁用特定通信端口時(shí)應(yīng)僅

允許由授權(quán)用戶操作。

傳輸可靠性

智能門鎖終端應(yīng)具備保障傳輸可靠性的機(jī)制，滿足：

a)具備通信完整性校驗(yàn)機(jī)制，進(jìn)行數(shù)據(jù)傳輸?shù)耐暾员Ｗo(hù)；

b)發(fā)生通信延時(shí)或中斷時(shí)具備通信恢復(fù)機(jī)制；

c)具備冗余鏈路，保證傳輸鏈路可靠性。

傳輸保密性

智能門鎖終端通過有線通信或者無線通信方式與其他組件通信時(shí)，應(yīng)滿足：

a)與接入網(wǎng)關(guān)之間的數(shù)據(jù)傳輸采用保密措施；

b)與管理平臺(tái)之間的數(shù)據(jù)傳輸采用保密措施；

c)與控制端應(yīng)用APP之間的數(shù)據(jù)傳輸采用保密措施；

d)與智能鑰匙之間的數(shù)據(jù)傳輸采用保密措施。

數(shù)據(jù)安全

數(shù)據(jù)采集安全

智能門鎖終端采集數(shù)據(jù)時(shí)，應(yīng)滿足：

a)數(shù)據(jù)采集前，明確告知用戶采集數(shù)據(jù)范圍、采集目的和采集方式等信息；

b)數(shù)據(jù)采集時(shí)，滿足最少夠用原則，不應(yīng)過度采集。

數(shù)據(jù)存儲(chǔ)安全

智能門鎖終端存儲(chǔ)數(shù)據(jù)時(shí)，應(yīng)滿足：

a)具備數(shù)據(jù)機(jī)密性保護(hù)機(jī)制，對(duì)重要數(shù)據(jù)進(jìn)行加密處理；

b)具備數(shù)據(jù)完整性保護(hù)機(jī)制，實(shí)現(xiàn)對(duì)鑒別數(shù)據(jù)、審計(jì)數(shù)據(jù)的完整性保護(hù)。

數(shù)據(jù)銷毀安全

智能門鎖終端應(yīng)具備數(shù)據(jù)銷毀機(jī)制，對(duì)廢棄數(shù)據(jù)及時(shí)安全銷毀。

個(gè)人信息安全

智能門鎖終端的收集、存儲(chǔ)個(gè)人信息時(shí)，應(yīng)符合GB/T35273—2020中第5章和第6章

的安全要求。

安全審計(jì)

智能門鎖終端設(shè)備應(yīng)具備對(duì)安全事件的審計(jì)記錄功能，滿足：

a)審計(jì)范圍覆蓋用戶在智能門鎖終端中的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等

重要事件；

1)對(duì)鑒別機(jī)制的任何使用，包括智能門鎖終端與應(yīng)用服務(wù)平臺(tái)相互驗(yàn)證成功與

失敗等；

2)通信會(huì)話的中止，包括設(shè)備的正常中止和非正常中止；

6

GB/TXXXXX—XXXX

3)對(duì)智能門鎖終端的關(guān)鍵操作。

b)事件記錄包含事件的日期和時(shí)間、事件類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果；

c)本地審計(jì)記錄具備存儲(chǔ)容量保護(hù)措施，防止存儲(chǔ)空間超過閾值后審計(jì)記錄被破壞；

d)保證審計(jì)記錄向管理平臺(tái)的傳輸安全。

入侵防范

應(yīng)能限制其他設(shè)備與智能門鎖終端通信的地址，避免智能門鎖終端對(duì)陌生地址的攻擊

行為，發(fā)生連續(xù)鑒別失敗、外力強(qiáng)拆等安全事件時(shí)，應(yīng)能發(fā)出告警。

其他

接口安全

智能門鎖硬件接口應(yīng)滿足：

a)調(diào)試功能接口在出廠時(shí)設(shè)置為默認(rèn)關(guān)閉；

b)燒錄/調(diào)試功能接口，如JTAG、串口等，具備鑒別用戶身份和訪問權(quán)限能力，禁止

直接登錄；

c)不應(yīng)保留燒錄/調(diào)試功能接口。

異常情況響應(yīng)

電源電量不足引起的智能門鎖開啟控制異常時(shí)，應(yīng)具備應(yīng)急充電接口，能夠應(yīng)急充電。

6.2接入網(wǎng)關(guān)安全技術(shù)要求

接入認(rèn)證

網(wǎng)關(guān)標(biāo)識(shí)

對(duì)于智能門鎖接入網(wǎng)關(guān)的標(biāo)識(shí)，應(yīng)符合終端標(biāo)識(shí)中a)-b)的要求。

網(wǎng)絡(luò)接入認(rèn)證

a)接入網(wǎng)關(guān)應(yīng)能對(duì)接入的智能門鎖終端進(jìn)行設(shè)備身份鑒別；

b)接入網(wǎng)關(guān)與智能門鎖終端、管理平臺(tái)、控制端進(jìn)行相互鑒別機(jī)制，采用遵循GB/T

15843-2017的預(yù)共享密鑰鑒別機(jī)制或采用遵循GB/T15843-2017的基于數(shù)字證書的

接入鑒別機(jī)制。

認(rèn)證失敗處理

接入網(wǎng)關(guān)應(yīng)具備接入認(rèn)證失敗的處理能力，滿足：

a)當(dāng)認(rèn)證應(yīng)答超過規(guī)定時(shí)限時(shí)，接入網(wǎng)關(guān)系統(tǒng)能終止與待接入終端之間的當(dāng)前通信會(huì)

話；

b)在經(jīng)過一定次數(shù)的認(rèn)證失敗后，接入網(wǎng)關(guān)系統(tǒng)能終止由接入終端發(fā)起的建立會(huì)話的

嘗試，在一定的時(shí)間間隔后才允許繼續(xù)接入；

c)在經(jīng)過一定次數(shù)的認(rèn)證失敗后，采集和記錄當(dāng)前嘗試鑒別者的信息（指紋、人臉信

息等），并上報(bào)給用戶或者管理員。

訪問控制

7

接入網(wǎng)關(guān)應(yīng)能控制智能門鎖終端和管理平臺(tái)的網(wǎng)絡(luò)訪問，滿足：

a)能制定訪問控制策略，防止資源被非法訪問和非法使用，訪問控制策略包含用戶或

者設(shè)備身份和基于IP地址及端口、用戶/用戶組、讀/寫等操作、有效時(shí)間周期等的

兩種及以上構(gòu)成的組合；

b)能控制相同網(wǎng)絡(luò)內(nèi)部的相互訪問；

c)能控制不同網(wǎng)絡(luò)區(qū)域之間的訪問；

d)能支持接入終端白名單機(jī)制，限制對(duì)接入網(wǎng)關(guān)的通信訪問。

通信安全

傳輸可靠性

對(duì)于智能門鎖接入網(wǎng)關(guān)的傳輸可靠性，應(yīng)滿足：

a)對(duì)于智能門鎖接入網(wǎng)關(guān)的傳輸可靠性，符合傳輸可靠性中a)-b)的要求。

b)采用安全通信機(jī)制，防止重放攻擊和中間人攻擊。

傳輸保密性

對(duì)于智能門鎖接入網(wǎng)關(guān)的傳輸保密性，應(yīng)符合傳輸保密性中a)-c)的要求。

數(shù)據(jù)安全

數(shù)據(jù)存儲(chǔ)安全

接入網(wǎng)關(guān)在數(shù)據(jù)存儲(chǔ)安全方面，應(yīng)滿足：

a)對(duì)存儲(chǔ)在接入網(wǎng)關(guān)中的數(shù)據(jù)進(jìn)行保護(hù)，避免非授權(quán)的訪問，重要數(shù)據(jù)包括但不限于

終端設(shè)備或用戶的鑒別信息、網(wǎng)關(guān)配置信息、安全策略、審計(jì)信息等；

b)對(duì)于接入網(wǎng)關(guān)在數(shù)據(jù)存儲(chǔ)安全方面，符合數(shù)據(jù)存儲(chǔ)安全中b)的要求。

數(shù)據(jù)銷毀安全

智能門鎖接入網(wǎng)關(guān)應(yīng)具備數(shù)據(jù)銷毀機(jī)制，廢棄數(shù)據(jù)應(yīng)及時(shí)安全銷毀。

個(gè)人信息安全

智能門鎖接入網(wǎng)關(guān)的存儲(chǔ)個(gè)人信息時(shí)，應(yīng)符合GB/T35273—2020中第5章和第6章的

安全要求。

安全審計(jì)

針對(duì)接入網(wǎng)關(guān)安全審計(jì)，應(yīng)滿足：

a)符合6.1.10安全審計(jì)的要求；

b)記錄惡意攻擊、異常行為、病毒/木馬程序等的入侵行為。

入侵防范

a)針對(duì)接入網(wǎng)關(guān)入侵防范，應(yīng)滿足：接入網(wǎng)關(guān)具備對(duì)接入終端的接入防護(hù)能力，支持

應(yīng)用指定的通信協(xié)議和數(shù)據(jù)內(nèi)容格式檢查的數(shù)據(jù)包過濾，并丟棄不符合過濾要求的

數(shù)據(jù)包；

b)僅開放應(yīng)用相關(guān)的通信端口；

c)能針對(duì)網(wǎng)關(guān)的惡意攻擊、異常行為、病毒/木馬程序等的入侵行為進(jìn)行檢測(cè)和防護(hù)；

8

GB/TXXXXX—XXXX

d)拒絕和丟棄不可鑒別的通信網(wǎng)通信數(shù)據(jù)，且記錄相應(yīng)的日志。

其他

失效保護(hù)

接入網(wǎng)關(guān)應(yīng)具備失效保護(hù)能力，保證設(shè)備異常時(shí)安全策略的正確性和可用性。

6.3管理平臺(tái)安全技術(shù)要求

接入認(rèn)證

智能門鎖管理平臺(tái)的身份鑒別應(yīng)滿足：

a)采用鑒別技術(shù)對(duì)用戶登錄、設(shè)備通信進(jìn)行身份鑒別；

b)提供并啟用登錄失敗處理功能；

c)提供并啟用用戶身份標(biāo)識(shí)唯一檢查功能，保證不存在重復(fù)用戶身份標(biāo)識(shí)，提供并啟

用用戶鑒別信息復(fù)雜度檢查功能；

d)不應(yīng)明文存儲(chǔ)鑒別信息；

e)采用兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；

f)進(jìn)行系統(tǒng)安全相關(guān)的關(guān)鍵操作前進(jìn)行用戶二次身份鑒別。

訪問控制

智能門鎖管理平臺(tái)的訪問控制應(yīng)滿足：

a)控制用戶的訪問權(quán)限，按安全策略要求控制用戶對(duì)管理平臺(tái)的訪問；

b)控制管理平臺(tái)上應(yīng)用與應(yīng)用之間相互調(diào)用的權(quán)限，按照安全策略要求控制應(yīng)用對(duì)其

他應(yīng)用里的用戶數(shù)據(jù)或特權(quán)指令等資源的調(diào)用。

通信安全

傳輸可靠性

對(duì)于智能門鎖管理平臺(tái)的傳輸可靠性，應(yīng)符合傳輸可靠性要求。

傳輸保密性

對(duì)于智能門鎖管理平臺(tái)的傳輸保密性，應(yīng)符合傳輸保密性中a)-c)的要求。

應(yīng)用安全

智能門鎖管理平臺(tái)的應(yīng)用要求包括：

a)管理平臺(tái)的接入應(yīng)用，應(yīng)滿足：

1)對(duì)接入平臺(tái)的應(yīng)用的身份合法性進(jìn)行認(rèn)證，只有經(jīng)過認(rèn)證的合法應(yīng)用才能接入

應(yīng)用服務(wù)平臺(tái)執(zhí)行后續(xù)的業(yè)務(wù)調(diào)用；

2)應(yīng)用認(rèn)證全程不應(yīng)明文傳遞密鑰或以弱算法等變換后傳遞，防止反向推出密鑰，

保證認(rèn)證安全；

3)為不同的應(yīng)用分配不同的密鑰，并支持密鑰的生成、分發(fā)、存儲(chǔ)、更新等密鑰

管理功能。

b)管理平臺(tái)的接入設(shè)備，應(yīng)滿足：

9

1)為每個(gè)智能門鎖終端分配唯一的身份標(biāo)識(shí)，并與設(shè)備信息進(jìn)行關(guān)聯(lián)，如設(shè)備廠

商、設(shè)備類型、型號(hào)等信息；

2)通過預(yù)置密鑰、密鑰個(gè)人化協(xié)商等方式，為每個(gè)設(shè)備分配唯一的設(shè)備密鑰，設(shè)

備密鑰與設(shè)備標(biāo)識(shí)一一綁定，并支持密鑰的生成、分發(fā)、存儲(chǔ)、更新等密鑰管

理功能；

3)對(duì)接入平臺(tái)的設(shè)備進(jìn)行身份鑒別，只有經(jīng)過鑒別，具有權(quán)限的設(shè)備才能接入業(yè)

務(wù)平臺(tái)進(jìn)行后續(xù)應(yīng)用操作；

4)設(shè)備認(rèn)證過程不應(yīng)明文傳遞密鑰或以弱算法等變換后傳遞，防止反向推出密鑰，

保證認(rèn)證安全；

5)設(shè)備認(rèn)證過程中如果使用隨機(jī)數(shù)機(jī)制，應(yīng)確保不可預(yù)測(cè)；

6)對(duì)于支持應(yīng)用賬號(hào)綁定的設(shè)備，不應(yīng)通過設(shè)備重置方式進(jìn)行賬號(hào)重新綁定，只

有原賬號(hào)解綁后才可進(jìn)行重新綁定。

c)管理平臺(tái)對(duì)訪問應(yīng)用服務(wù)平臺(tái)的平臺(tái)管理人員進(jìn)行身份鑒別，采用兩種或兩種以上

多因素身份鑒別技術(shù)進(jìn)行身份鑒別，其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。

數(shù)據(jù)安全

數(shù)據(jù)采集安全

對(duì)于智能門鎖管理平臺(tái)的數(shù)據(jù)采集安全，應(yīng)符合數(shù)據(jù)采集安全要求。

數(shù)據(jù)訪問控制

對(duì)智能門鎖管理平臺(tái)數(shù)據(jù)訪問控制要求包括：

a)應(yīng)支持權(quán)限控制功能，保證用戶僅能對(duì)該業(yè)務(wù)系統(tǒng)對(duì)應(yīng)的數(shù)據(jù)庫進(jìn)行權(quán)限以內(nèi)的相

關(guān)操作，不能訪問其他未被授權(quán)的業(yè)務(wù)系統(tǒng)數(shù)據(jù)；

b)涉及重要業(yè)務(wù)數(shù)據(jù)及其相關(guān)關(guān)鍵安全信息的文件應(yīng)進(jìn)行權(quán)限控制，只能由授權(quán)用戶

訪問；

c)上傳下載時(shí)，限制用戶向上跨目錄訪問，只能訪問指定目錄下的文件。

數(shù)據(jù)安全存儲(chǔ)

智能門鎖管理平臺(tái)的數(shù)據(jù)安全存儲(chǔ)功能應(yīng)滿足：

a)支持分等級(jí)的數(shù)據(jù)加密方法，根據(jù)數(shù)據(jù)重要程度采用不同的安全保密存儲(chǔ)機(jī)制；

b)支持密鑰安全存儲(chǔ)，例如將密鑰存儲(chǔ)在加密機(jī)或特定代理內(nèi)部，保證密鑰不被泄露；

c)支持?jǐn)?shù)據(jù)完整性保護(hù)，對(duì)關(guān)鍵安全信息提供完整性檢測(cè)機(jī)制，關(guān)鍵安全信息損壞和

丟失時(shí)能及時(shí)發(fā)現(xiàn)。

數(shù)據(jù)銷毀安全

智能門鎖管理平臺(tái)數(shù)據(jù)銷毀功能應(yīng)支持完全清除數(shù)據(jù)，清除數(shù)據(jù)后不可恢復(fù)，在銷毀數(shù)

據(jù)前應(yīng)提前明確提示用戶，并由用戶確認(rèn)是否銷毀后執(zhí)行。

數(shù)據(jù)備份與恢復(fù)

智能門鎖管理平臺(tái)的數(shù)據(jù)備份與恢復(fù)功能應(yīng)滿足：

a)具備對(duì)各類數(shù)據(jù)和文件進(jìn)行歸檔的能力，并定期對(duì)臨時(shí)數(shù)據(jù)及文件自動(dòng)清理，數(shù)據(jù)

刪除后系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫等資源所在存儲(chǔ)空間被釋放或重新分配；

b)備份數(shù)據(jù)完整有效且保密存儲(chǔ)；

10

GB/TXXXXX—XXXX

c)恢復(fù)數(shù)據(jù)時(shí)校驗(yàn)備份數(shù)據(jù)的完整性。

數(shù)據(jù)融合處理

智能門鎖管理平臺(tái)的數(shù)據(jù)融合處理功能應(yīng)滿足：

a)能夠?qū)碜圆煌悄荛T鎖終端和接入網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行數(shù)據(jù)融合處理，使不同種類的

數(shù)據(jù)可在同一平臺(tái)被使用；

b)對(duì)不同數(shù)據(jù)之間的依賴關(guān)系和制約關(guān)系進(jìn)行智能處理。

個(gè)人信息安全

智能門鎖管理平臺(tái)的收集、存儲(chǔ)個(gè)人信息時(shí)，應(yīng)符合GB/T35273—2020中第5章和第

6章的安全要求。

安全審計(jì)

智能門鎖管理平臺(tái)的安全審計(jì)功能應(yīng)滿足：

a)審計(jì)范圍應(yīng)覆蓋到用戶在管理平臺(tái)中的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使用情況等

重要事件，包括但不限于以下事件：

1)審計(jì)功能的啟動(dòng)和關(guān)閉；

2)導(dǎo)出、另存和刪除審計(jì)日志；

3)設(shè)置鑒別嘗試次數(shù)；

4)設(shè)置審計(jì)日志報(bào)警門限值；

5)鑒別機(jī)制的使用；

6)用戶的創(chuàng)建、修改、刪除和授權(quán)；

7)通過控制端應(yīng)用對(duì)智能門鎖設(shè)備進(jìn)行的操作；

8)設(shè)備狀態(tài)的變化；

9)其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。

b)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免非授權(quán)的訪問、篡改、覆蓋或刪除等；

c)根據(jù)業(yè)務(wù)功能需求提供與其相關(guān)的審計(jì)信息及審計(jì)分析報(bào)告；

d)相關(guān)審計(jì)記錄包括事件日期、時(shí)間、用戶、類型、描述和結(jié)果等，審計(jì)記錄留存時(shí)

間超過6個(gè)月；

e)具備對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能；

f)具備自動(dòng)化審計(jì)功能，監(jiān)控明顯異常操作并響應(yīng)；

g)支持審計(jì)日志導(dǎo)出功能；

h)對(duì)審計(jì)記錄進(jìn)行非明文存儲(chǔ)；

i)記錄惡意攻擊、異常行為、病毒/木馬程序等的入侵行為。

其他

資源控制

智能門鎖管理平臺(tái)的資源控制功能應(yīng)滿足：

a)限制對(duì)管理平臺(tái)訪問的最大并發(fā)會(huì)話連接數(shù)；

b)提供資源控制不當(dāng)?shù)膱?bào)警及響應(yīng)；

c)在會(huì)話處于非活躍狀態(tài)一定時(shí)間后終止會(huì)話連接；

d)對(duì)用戶與管理平臺(tái)通信過程中的重要數(shù)據(jù)加密，具備對(duì)訪問、通信等行為的防抵賴

功能。

11

抗數(shù)據(jù)重放

智能門鎖管理平臺(tái)的抗數(shù)據(jù)重放功能應(yīng)滿足：

a)能鑒別數(shù)據(jù)的新鮮性，避免歷史數(shù)據(jù)的重放攻擊；

b)能鑒別歷史數(shù)據(jù)的非法修改，避免數(shù)據(jù)的修改重放攻擊。

6.4控制端應(yīng)用APP安全技術(shù)要求

應(yīng)用安全

安裝要求

智能門鎖控制端應(yīng)用APP的安裝步驟應(yīng)滿足：

a)安裝過程經(jīng)用戶明確許可；

b)包含可有效表征供應(yīng)者或開發(fā)者身份的簽名信息、軟件屬性信息；

c)在安裝的過程中，可隨時(shí)取消安裝；

d)正確安裝到相關(guān)移動(dòng)智能終端上，并生成相應(yīng)的圖標(biāo)；

e)下載和安裝過程中，不得捆綁下載其他應(yīng)用軟件；

f)在安裝智能門鎖控制端應(yīng)用APP時(shí)，遵循最小安裝原則，不應(yīng)安裝本軟件功能說明

文檔中未加說明的額外功能，不安裝用戶未知和未允許的第三方應(yīng)用；

g)以用戶可見的方式進(jìn)行安裝，有安裝界面；

h)安裝時(shí)調(diào)用終端資源和終端數(shù)據(jù)向用戶明示，并得到授權(quán)后使用該終端資源和數(shù)據(jù)；

i)控制端應(yīng)用在安裝好后不應(yīng)強(qiáng)制用戶重啟設(shè)備；

j)未經(jīng)用戶允許不應(yīng)獲取已安裝的第三方應(yīng)用信息；

k)不應(yīng)對(duì)終端操作系統(tǒng)和其他應(yīng)用軟件的正常運(yùn)行造成影響。

卸載要求

智能門鎖控制端應(yīng)用APP卸載后，不影響移動(dòng)智能終端的正常使用，應(yīng)滿足：

a)提供卸載軟件的方式，用戶能夠隨時(shí)卸載應(yīng)用軟件；

b)卸載時(shí)將其安裝進(jìn)去的文件全部卸載，自動(dòng)運(yùn)行權(quán)限需要得到用戶的明確授權(quán)；

c)能夠完全刪除安裝和使用過程中產(chǎn)生的資源文件、配置文件和用戶數(shù)據(jù)，刪除用戶

使用過程中生成的數(shù)據(jù)時(shí)應(yīng)有提示；

d)能夠恢復(fù)修改的系統(tǒng)配置信息；

e)能夠徹底卸載應(yīng)用軟件，不應(yīng)在系統(tǒng)中留下應(yīng)用軟件的臨時(shí)文件和活動(dòng)程序或模塊；

f)卸載后不影響終端操作系統(tǒng)和其他應(yīng)用軟件的功能。

更新機(jī)制

智能門鎖控制端應(yīng)用APP應(yīng)支持軟件的更新，滿足：

a)有更新版本時(shí)，提示用戶更新，不應(yīng)未經(jīng)用戶允許自動(dòng)更新；

b)具備保證軟件更新的時(shí)效性和準(zhǔn)確性的安全機(jī)制；

c)更新失敗應(yīng)能回退到更新前的版本。

接入認(rèn)證

身份鑒別

12

GB/TXXXXX—XXXX

智能門鎖控制端應(yīng)用APP控制智能門鎖開啟或讀取用戶信息時(shí)，應(yīng)滿足：

a)在用戶訪問應(yīng)用業(yè)務(wù)前，智能門鎖控制端應(yīng)用APP對(duì)用戶身份進(jìn)行鑒別；

b)具備登錄超時(shí)后的鎖定或注銷功能；

c)具備防暴力破解的鑒別失敗處理措施。

口令安全機(jī)制

智能門鎖控制端應(yīng)用APP使用口令作為鑒別信息時(shí)，應(yīng)滿足：

a)口令信息不應(yīng)以明文形式顯示和存儲(chǔ)；

b)不應(yīng)默認(rèn)保存用戶上次的賬號(hào)及口令信息；

c)具備口令強(qiáng)度檢查機(jī)制；

d)具備口令時(shí)效性檢查機(jī)制；

e)修改或找回口令時(shí)，具備驗(yàn)證機(jī)制；

f)在使用過程中具備防鍵盤劫持機(jī)制；

g)具備口令鑒別失敗處理能力；

h)口令不應(yīng)以明文傳輸。

訪問控制

智能門鎖控制端應(yīng)用APP應(yīng)滿足：

a)授權(quán)用戶訪問的內(nèi)容不應(yīng)超出授權(quán)范圍；

b)未得到用戶許可前不應(yīng)訪問智能門鎖終端的數(shù)據(jù)；

c)未得到用戶許可前不應(yīng)對(duì)智能門鎖終端數(shù)據(jù)進(jìn)行修改和刪除。

通信安全

傳輸可靠性

對(duì)于智能門鎖控制端應(yīng)用APP的傳輸可靠性，應(yīng)符合傳輸可靠性要求。

傳輸保密性

智能門鎖控制端應(yīng)用APP與智能門鎖終端、接入網(wǎng)關(guān)、管理平臺(tái)通信時(shí)，數(shù)據(jù)傳輸應(yīng)采

取保密措施。

數(shù)據(jù)安全

數(shù)據(jù)采集安全

對(duì)于智能門鎖應(yīng)用APP的數(shù)據(jù)采集安全，應(yīng)符合數(shù)據(jù)采集安全要求。

數(shù)據(jù)存儲(chǔ)安全

智能門鎖控制端應(yīng)用APP應(yīng)對(duì)關(guān)鍵安全信息數(shù)據(jù)進(jìn)行安全加密存儲(chǔ)。

數(shù)據(jù)銷毀安全

智能門鎖控制端應(yīng)用APP應(yīng)具備數(shù)據(jù)銷毀機(jī)制，廢棄數(shù)據(jù)應(yīng)及時(shí)安全銷毀。

個(gè)人信息安全

智能門鎖控制端應(yīng)用APP收集、存儲(chǔ)、使用個(gè)人信息時(shí)應(yīng)符合GB/T35273—2020第5

13

章、第6章和第7章的安全要求。

安全審計(jì)

智能門鎖控制端應(yīng)用APP發(fā)生網(wǎng)絡(luò)交互時(shí),APP應(yīng)記錄日志，并傳輸?shù)椒?wù)平臺(tái)，應(yīng)滿

足：

a)對(duì)各項(xiàng)操作進(jìn)行審計(jì)記錄，可記錄事件包括但不限于：

1)對(duì)鑒別機(jī)制的任何使用，包括控制端應(yīng)用APP與管理平臺(tái)、智能門鎖終端相互

驗(yàn)證成功與失敗等；

2)通信會(huì)話的終止，包括控制端應(yīng)用APP的正常中止和非正常中止；

3)對(duì)智能門鎖終端的關(guān)鍵操作。

b)事件記錄包含事件的日期和時(shí)間、事件的類型、主題標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果；

c)本地審計(jì)記錄具備存儲(chǔ)容量保護(hù)措施，防止存儲(chǔ)空間超過閾值后審計(jì)記錄被破壞；

d)保證審計(jì)記錄向管理平臺(tái)的傳輸安全。

7智能門鎖網(wǎng)絡(luò)安全測(cè)試方法

7.1智能門鎖終端安全測(cè)試方法

鑒別數(shù)據(jù)安全

口令鑒別安全

智能門鎖終端口令安全的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)觀察智能門鎖口令按鍵按下后的反饋是否一樣；

2)觀察按下智能門鎖的口令按鍵后是否有對(duì)應(yīng)的數(shù)字音頻輸出；

3)觀察智能門鎖是否支持虛位口令功能；

4)檢查智能門鎖是否具有多重鑒別功能。

b)預(yù)期結(jié)果：

1)智能門鎖的口令按鍵按下后的反饋是完全一樣的或者反饋是足夠隨機(jī)的；

2)智能門鎖的口令按鍵按下后音頻模塊不能識(shí)別PIN碼，且無法輸出對(duì)應(yīng)的音

頻；

3)智能門鎖支持虛位口令功能；

4)智能門鎖支持除口令鑒別以外的多重鑒別。

生物信息鑒別安全

智能門鎖使用生物信息鑒別用戶身份時(shí)，測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)檢查指紋識(shí)別模塊是否具備防復(fù)制指紋仿冒、防指紋照片仿冒的能力，是否符

合GB/T37076-2018中要求；

2)檢查人臉識(shí)別模塊是否具備防復(fù)制人臉仿冒、防人臉照片仿冒、防面具仿冒的

能力，是否符合GB/T38671—2020中要求；

3)檢查指紋識(shí)別模塊是否具備檢測(cè)假體或防止指紋假體仿冒行為；

4)檢查人臉識(shí)別模塊是否具備防人臉視頻仿冒、防人臉電腦圖像合成仿冒、防

假體面具仿冒能力，是否符合GB/T38671—2020中要求；

14

GB/TXXXXX—XXXX

5)檢查其他類型生物識(shí)別模塊是否具備防護(hù)呈現(xiàn)攻擊的能力；

6)發(fā)生上述攻擊時(shí)觀察生物識(shí)別模塊是否暫停服務(wù)并發(fā)出告警。

b)預(yù)期結(jié)果：

1)指紋識(shí)別模塊具備防復(fù)制指紋仿冒、防指紋照片仿冒的能力，符合GB/T

37076-2018中要求；

2)人臉識(shí)別模塊是否具備防復(fù)制人臉仿冒、防人臉照片仿冒、防面具仿冒的能力，

符合GB/T38671—2020中要求；

3)指紋識(shí)別模塊具備檢測(cè)假體或防止指紋假體仿冒行為；

4)人臉識(shí)別模塊具備防人臉視頻仿冒、防人臉電腦圖像合成仿冒、防假體面具

仿冒能力，符合GB/T38671—2020中要求；

5)其他類型生物識(shí)別模塊具備防護(hù)呈現(xiàn)攻擊的能力；

6)發(fā)生上述攻擊時(shí)，生物識(shí)別模塊暫停服務(wù)并發(fā)出告警。

IC卡安全

智能門鎖終端IC卡安全的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)讀取IC卡中的數(shù)據(jù)，觀察數(shù)據(jù)中的口令是否不同；

2)查看IC卡是否使用CPU卡；

3)觀察智能門鎖程序中是否有對(duì)IC卡校驗(yàn)的代碼；

4)逆向智能門鎖固件，提取出根密鑰對(duì)比其他門鎖的根密鑰是否一樣。

b)預(yù)期結(jié)果：

1)IC卡采用CPU卡；

2)智能門鎖對(duì)IC卡進(jìn)行綁卡，認(rèn)證時(shí)對(duì)IC卡的數(shù)據(jù)模塊進(jìn)行讀寫校驗(yàn)；

3)智能門鎖具有唯一的根密鑰。

固件安全

智能門鎖終端固件安全的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)審查廠商提交的文檔，查看操作系統(tǒng)是否具有自動(dòng)和手動(dòng)更新功能；如果具有

自動(dòng)更新功能，在授權(quán)的條件下，檢查是否可以自動(dòng)更新操作系統(tǒng)；如果具有

手動(dòng)更新功能，在授權(quán)的條件下，檢查是否可以手動(dòng)更新操作系統(tǒng)；

2)在升級(jí)服務(wù)器中添加用于測(cè)試的新版本固件,啟動(dòng)固件升級(jí),檢查固件升級(jí)前

是否對(duì)固件升級(jí)包驗(yàn)證來源可靠性；

3)審查廠商提交的文檔，查看固件下載鏈路是否可確保可信，防止中間人劫持或

者嗅探；

4)修改固件升級(jí)文件的內(nèi)容，在授權(quán)的條件下，進(jìn)行系統(tǒng)更新，檢查是否可以通

過完整性校驗(yàn)，完成更新；

5)嘗試推送不正確的固件給設(shè)備，使升級(jí)失敗，驗(yàn)證設(shè)備是否恢復(fù)到之前可用的

版本。

b)預(yù)期結(jié)果：

1)操作系統(tǒng)具有自動(dòng)和手動(dòng)更新功能；

2)在升級(jí)服務(wù)器中添加用于測(cè)試的新版本固件,啟動(dòng)固件升級(jí),固件升級(jí)前對(duì)固

件升級(jí)包驗(yàn)證來源可靠性；

3)固件下載鏈路可以確?？尚?，防止中間人劫持或者嗅探；

15

4)修改固件升級(jí)文件的內(nèi)容，在授權(quán)的條件下，進(jìn)行系統(tǒng)更新，不能通過完整性

校驗(yàn)，更新失??；

5)推送不正確的固件給設(shè)備，使升級(jí)失敗，設(shè)備可以恢復(fù)到之前可用的版本。

操作系統(tǒng)安全

智能門鎖終端操作系統(tǒng)安全的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)查看智能門鎖終端操作系統(tǒng)的應(yīng)用模塊、使用端口、控制權(quán)限信息，滿足最小

化原則；

2)查看是否提供安全啟動(dòng)認(rèn)證機(jī)制，默認(rèn)賬戶常用空口令登錄是否成功；

3)查看系統(tǒng)更新時(shí)是否獲得最終用戶授權(quán)，更新后是否通知更新結(jié)果。

b)預(yù)期結(jié)果：

1)智能門鎖終端操作系統(tǒng)的應(yīng)用模板、使用端口、控制權(quán)限信息滿足最小化原則；

2)智能門鎖操作系統(tǒng)提供安全認(rèn)證機(jī)制；

3)智能門鎖操作系統(tǒng)更新時(shí)得到最終用戶確認(rèn)且告知更新結(jié)果。

應(yīng)用安全

智能門鎖終端應(yīng)用安全的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)在安裝應(yīng)用軟件時(shí)，是否對(duì)軟件包的完整性與來源的真實(shí)進(jìn)行校驗(yàn)；

2)查看智能門鎖終端是否具備防范越權(quán)操作和身份仿冒的能力；

3)查看智能門鎖終端安裝軟件是否滿足業(yè)務(wù)安全功能需求，且是否正確配置及

使用；

4)查看智能門鎖終端是否具備軟件更新升級(jí)功能，是否檢查更新的數(shù)據(jù)來源，且

判斷軟件來源的真實(shí)性和完整性；

5)查看軟件更新失敗時(shí)，是否保持應(yīng)用軟件的可用性；

6)查看智能門鎖終端是否具備防逆向反編譯能力。

b)預(yù)期結(jié)果：

1)在安裝應(yīng)用軟件時(shí)，智能門鎖終端校驗(yàn)軟件包的完整性和來源的真實(shí)性；

2)智能門鎖終端具備防范越權(quán)操作和身份仿冒的能力；

3)智能門鎖終端的安裝軟件滿足業(yè)務(wù)安全功能需求，且發(fā)布軟件配置正確；

4)智能門鎖終端具備軟件更新和升級(jí)功能，升級(jí)時(shí)校驗(yàn)更新數(shù)據(jù)的來源，并判斷

真實(shí)性和完整性；

5)智能門鎖終端軟件更新失敗時(shí)，不影響應(yīng)用軟件的使用；

6)智能門鎖終端具備防逆向反編譯能力。

接入認(rèn)證

終端標(biāo)識(shí)

智能門鎖終端標(biāo)識(shí)的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)查看智能門鎖終端是否有唯一標(biāo)識(shí)，非授權(quán)用戶是否可以更改；

2)查看智能門鎖終端是否具備防篡改保護(hù)機(jī)制。

b)預(yù)期結(jié)果：

16

GB/TXXXXX—XXXX

1)智能門鎖終端具備門鎖的唯一標(biāo)識(shí)，且非授權(quán)用戶不能更改；

2)智能門鎖終端設(shè)備標(biāo)識(shí)具備防篡改保護(hù)機(jī)制。

網(wǎng)絡(luò)接入認(rèn)證

智能門鎖終端網(wǎng)絡(luò)接入認(rèn)證的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)在智能門鎖終端核查預(yù)共享密鑰鑒別機(jī)制，抓取網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行分析；

2)核查智能門鎖終端是否采用數(shù)字證書和數(shù)字簽名，驗(yàn)證是否采用數(shù)字簽名方

式進(jìn)行身份鑒別；

3)是否可以向接入網(wǎng)絡(luò)證明其網(wǎng)絡(luò)身份。

b)預(yù)期結(jié)果：

1)在智能門鎖終端核查預(yù)共享密鑰鑒別機(jī)制；

2)智能門鎖終端采用數(shù)字證書和數(shù)字簽名方式進(jìn)行身份鑒別；

3)可向接入網(wǎng)絡(luò)證明其網(wǎng)絡(luò)身份。

賬號(hào)與口令

智能門鎖終賬號(hào)與口令的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)測(cè)試添加用戶、刪除用戶、恢復(fù)出廠設(shè)置等重要操作是否需要驗(yàn)證管理員身份；

2)暴力破解智能門鎖口令，觀察智能門鎖是否會(huì)自鎖；

3)用默認(rèn)口令嘗試打開門鎖。

b)預(yù)期結(jié)果：

1)添加用戶、刪除用戶、恢復(fù)出廠設(shè)置等重要操作需要驗(yàn)證管理員身份；

2)智能門鎖具備防止窮舉口令、指紋識(shí)別、人臉識(shí)別的功能；

3)用默認(rèn)口令無法打開門鎖。

訪問控制

智能門鎖終端訪問控制的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)驗(yàn)證智能門鎖終端是否可以對(duì)用戶、控制端、管理平臺(tái)配置合理的操作權(quán)限；

2)是否可以配置網(wǎng)絡(luò)訪問控制策略，配置的策略是否生效。

b)預(yù)期結(jié)果：

1)智能門鎖終端可以遵循最小權(quán)限原則對(duì)用戶、控制端、管理平臺(tái)配置合理的操

作權(quán)限；

2)可配置網(wǎng)絡(luò)訪問控制策略，配置的策略生效。

通信安全

通信端口控制測(cè)試

智能門鎖終端通信端口控制的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)掃描智能門鎖是否開啟業(yè)務(wù)需求以外的通信端口；

2)動(dòng)態(tài)配置特定的通信端口。

b)預(yù)期結(jié)果：

17

1)智能門鎖終端遵循最小配置原則，禁用非必要的通信端口；

2)支持在線動(dòng)態(tài)啟用或者禁用特定的通信端口，啟用或者禁用特定通信端口時(shí)

應(yīng)僅可由授權(quán)用戶操作。

傳輸可靠性測(cè)試

智能門鎖終端傳輸可靠性的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)攔截通信數(shù)據(jù)包，查看數(shù)據(jù)包中是否有校驗(yàn)傳輸數(shù)據(jù)完整性的校驗(yàn)數(shù)據(jù)；

2)檢測(cè)智能門鎖是否具有通信延時(shí)和中斷的處理機(jī)制；

3)對(duì)通信過程進(jìn)行重放攻擊和中間人攻擊。

b)預(yù)期結(jié)果：

1)智能門鎖具有通信完整性的校驗(yàn)機(jī)制；

2)智能門鎖具有通信延時(shí)和中斷機(jī)制；

3)智能門鎖可以防止重放攻擊和中間人攻擊。

傳輸保密性測(cè)試

智能門鎖終端傳輸可靠性的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)抓取與網(wǎng)關(guān)之間的數(shù)據(jù)傳輸數(shù)據(jù)包，查看數(shù)據(jù)包中是否采取保密措施；

2)抓取與平臺(tái)之間的數(shù)據(jù)傳輸數(shù)據(jù)包，查看數(shù)據(jù)包中是否采取保密措施；

3)抓取與APP之間的數(shù)據(jù)傳輸數(shù)據(jù)包，查看數(shù)據(jù)包中是否采取保密措施；

4)抓取與遙控鑰匙之間的數(shù)據(jù)傳輸數(shù)據(jù)包，查看數(shù)據(jù)包中是否采取保密措施。

b)預(yù)期結(jié)果：

1)與網(wǎng)關(guān)之間的通信數(shù)據(jù)包采取了保密措施；

2)與平臺(tái)之間的通信數(shù)據(jù)包采取了保密措施；

3)與APP之間的通信數(shù)據(jù)包采取了保密措施；

4)與遙控鑰匙之間的通信數(shù)據(jù)包采取了保密措施。

數(shù)據(jù)安全

數(shù)據(jù)采集安全

智能門鎖終端數(shù)據(jù)采集的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)數(shù)據(jù)采集前，查看用戶手冊(cè)、用戶通知等信息中是否告知用戶采集數(shù)據(jù)范圍、

采集目的和采集方式等信息；

2)數(shù)據(jù)采集時(shí)，查看數(shù)據(jù)內(nèi)容是否與告知用戶的數(shù)據(jù)內(nèi)容一致。

b)預(yù)期結(jié)果：

1)數(shù)據(jù)采集前，已通過用戶手冊(cè)、用戶通知等途徑告知用戶采集數(shù)據(jù)范圍、采集

目的和采集方式等信息；

2)數(shù)據(jù)采集時(shí)，采集的數(shù)據(jù)與告知用戶的數(shù)據(jù)內(nèi)容一致。

數(shù)據(jù)存儲(chǔ)安全

智能門鎖終端數(shù)據(jù)存儲(chǔ)的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

18

GB/TXXXXX—XXXX

1)查看智能門鎖終端數(shù)據(jù)，對(duì)留存數(shù)據(jù)進(jìn)行加密處理；

2)查看智能門鎖終端認(rèn)證數(shù)據(jù)、審計(jì)數(shù)據(jù)完整性防護(hù)機(jī)制。

b)預(yù)期結(jié)果：

1)智能門鎖終端重要數(shù)據(jù)進(jìn)行加密處理，具備機(jī)密性防護(hù)機(jī)制；

2)智能門鎖終端數(shù)據(jù)具備完整性防護(hù)機(jī)制。

數(shù)據(jù)銷毀安全

智能門鎖終端數(shù)據(jù)銷毀的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

查看智能門鎖終端數(shù)據(jù)銷毀時(shí)，是否有殘留數(shù)據(jù)。

b)預(yù)期結(jié)果：

智能門鎖終端數(shù)據(jù)銷毀時(shí)，數(shù)據(jù)及時(shí)安全銷毀。

個(gè)人信息安全

智能門鎖終端收集、存儲(chǔ)個(gè)人信息安全的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

核查產(chǎn)品收集、存儲(chǔ)個(gè)人信息時(shí)是否滿足GB/T35273—2020標(biāo)準(zhǔn)第5章、第6章

中對(duì)應(yīng)項(xiàng)的要求；

b)預(yù)期結(jié)果：

產(chǎn)品符合GB/T35273—2020標(biāo)準(zhǔn)中對(duì)應(yīng)項(xiàng)的要求。

安全審計(jì)

智能門鎖終端安全審計(jì)的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)當(dāng)用戶對(duì)智能門鎖終端設(shè)備進(jìn)行操作時(shí)，檢查對(duì)于關(guān)鍵操作、重要行為、業(yè)務(wù)

資源使用情況是否進(jìn)行日志記錄，檢查內(nèi)容包括但不限于：

查看是否覆蓋智能門鎖終端與管理平臺(tái)相互驗(yàn)證成功與失敗信息；

查看是否記錄通信會(huì)話中止信息；

查看是否記錄對(duì)智能門鎖終端關(guān)鍵操作的信息。

2)查看事件記錄是否包含事件的日期和時(shí)間、事件的類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)

和結(jié)果；

3)查看本地審計(jì)記錄是否有保護(hù)措施，以防止存儲(chǔ)空間超過閾值后審計(jì)記錄被

破壞；

4)查看審計(jì)記錄向管理平臺(tái)轉(zhuǎn)移時(shí)是否采用安全傳輸方式。

b)預(yù)期結(jié)果：

1)當(dāng)用戶對(duì)設(shè)備進(jìn)行操作時(shí)，設(shè)備會(huì)對(duì)用戶的關(guān)鍵操作、重要行為、業(yè)務(wù)資源使

用情況進(jìn)行日志記錄，記錄內(nèi)容包括但不限于：

覆蓋智能門鎖終端與管理平臺(tái)相互驗(yàn)證成功與失敗信息；

記錄通信會(huì)話中止信息；

記錄對(duì)智能門鎖終端關(guān)鍵操作的信息。

2)日志事件記錄包含事件的日期和時(shí)間、事件的類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)

果；

3)智能門鎖終端對(duì)本地審計(jì)日志記錄存在保護(hù)措施，防止存儲(chǔ)空間超過閾值破

壞審計(jì)記錄；

19

4)審計(jì)記錄向管理平臺(tái)轉(zhuǎn)移時(shí)采用安全傳輸方式。

入侵防范

智能門鎖終端入侵防范安全的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

查看是否具備限制其他設(shè)備與智能門鎖終端通信的目標(biāo)地址的能力。

b)預(yù)期結(jié)果：

具備限制其他設(shè)備與智能門鎖終端通信的目標(biāo)地址。

其他

接口安全

智能門鎖終端接口安全的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)對(duì)于具備JTAG、串口等燒錄/調(diào)試的接口，檢查用戶是否需要配置用戶名、口

令等方式得到認(rèn)證授權(quán)，才能進(jìn)行登錄，是否已禁止直接登錄；

2)查看調(diào)試功能的接口，是否在出廠時(shí)是否設(shè)置為默認(rèn)關(guān)閉；

3)檢查是否保留燒錄/調(diào)試功能接口。

b)預(yù)期結(jié)果：

1)對(duì)于具備JTAG、串口等燒錄/調(diào)試的接口，用戶需要配置用戶名、口令等方式

得到認(rèn)證授權(quán)，才能進(jìn)行登錄，并禁止直接登錄；

2)具備調(diào)試功能接口出廠時(shí)設(shè)置默認(rèn)關(guān)閉；

3)未保留燒錄/調(diào)試功能接口。

異常情況響應(yīng)

智能門鎖終端異常情況響應(yīng)測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)查看智能門鎖是否具備應(yīng)急充電接口；

2)觸發(fā)電源電量不足引起智能門鎖開啟控制異常情況，查看應(yīng)急充電是否生效。

b)預(yù)期結(jié)果：

1)智能門鎖具備應(yīng)急充電接口；

2)觸發(fā)電源電量不足引起智能門鎖開啟控制異常情況，能夠應(yīng)急充電。

7.2接入網(wǎng)關(guān)測(cè)試方法

接入認(rèn)證

網(wǎng)關(guān)終端標(biāo)識(shí)

智能門鎖接入網(wǎng)關(guān)標(biāo)識(shí)的測(cè)試方法、預(yù)期結(jié)果參照

網(wǎng)絡(luò)接入認(rèn)證

智能門鎖接入鑒別機(jī)制的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)檢查智能門鎖接入網(wǎng)關(guān)是否提供多種鑒別方式，并與產(chǎn)品說明描述一致；

20

GB/TXXXXX—XXXX

2)檢查多種鑒別方式是否可以有效使用；

3)檢查是否具備智能門鎖終端設(shè)備標(biāo)識(shí)在接入網(wǎng)關(guān)生命周期內(nèi)具備唯一性；

4)檢查對(duì)鑒別機(jī)制是否可同時(shí)多種方式使用。

b)預(yù)期結(jié)果：

1)智能門鎖接入網(wǎng)關(guān)具備鑒別機(jī)制；

2)智能門鎖接入網(wǎng)關(guān)的鑒別機(jī)制與產(chǎn)品說明描述一致；

3)智能門鎖終端設(shè)備標(biāo)識(shí)在接入網(wǎng)關(guān)生命周期內(nèi)具備唯一性；

4)智能門鎖接入網(wǎng)關(guān)支持同時(shí)多種方式使用。

認(rèn)證失敗處理

智能門鎖接入網(wǎng)關(guān)鑒別失敗處理的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)檢查智能門鎖接入網(wǎng)關(guān)設(shè)備是否具備超時(shí)機(jī)制；

2)設(shè)定會(huì)話超時(shí)重新鑒別的時(shí)間段，檢查在設(shè)定的時(shí)間段內(nèi)沒有任何操作的情

況下，接入網(wǎng)關(guān)是否鎖定或者終止會(huì)話，用戶再次激活會(huì)話是否需要重新鑒定；

3)接設(shè)定會(huì)話鑒定失敗最大閾值，重復(fù)嘗試失敗會(huì)話，檢查接入網(wǎng)關(guān)是否具備

階段性鎖定功能。

b)預(yù)期結(jié)果：

1)接入網(wǎng)關(guān)具備檢查會(huì)話超時(shí)機(jī)制，會(huì)話超時(shí)后需重新鑒定；

2)在設(shè)定會(huì)話超時(shí)重新鑒別的時(shí)間段沒有任何操作的情況下，會(huì)話被鎖定或終

止會(huì)話，用戶需要再次身份鑒別才能夠重新管理和使用系統(tǒng)；

3)嘗試多次失敗會(huì)話鑒別，接入網(wǎng)關(guān)會(huì)對(duì)用戶IP地址等標(biāo)識(shí)信息鎖定；

4)嘗試多次失敗會(huì)話鑒別，接入網(wǎng)關(guān)會(huì)對(duì)用戶IP地址等標(biāo)識(shí)信息鎖定。

訪問控制

智能門鎖接入網(wǎng)關(guān)訪問控制的測(cè)試方法和預(yù)期結(jié)果如下：

a)檢測(cè)方法：

1)配置啟動(dòng)接入網(wǎng)關(guān)訪問控制表，檢查是否支持基于IP地址及端口、用戶/用戶

組、讀/寫等操作、有效時(shí)間周期、重要性標(biāo)記等的兩種及以上構(gòu)成的組合；

2)在相同網(wǎng)絡(luò)內(nèi)部是否可以訪問；

3)在不同網(wǎng)絡(luò)之間進(jìn)行跨網(wǎng)訪問；

4)制定白名單，查看限定用戶是否可以訪問成功。

b)預(yù)期結(jié)果：

1)接入網(wǎng)關(guān)支持訪問控制表等訪問控制策略，支持基于IP地址及端口、用戶/用

戶組、讀/寫等操作、有效時(shí)間周期、重要性標(biāo)記等的兩種及以上構(gòu)成的組合；

2)在相同網(wǎng)絡(luò)內(nèi)部，僅能控制范圍內(nèi)的訪問可以訪問成功；

3)在不同網(wǎng)絡(luò)，僅能控制范圍內(nèi)的訪問可以訪問成功；

4)僅在白名單定義的用戶可以接入網(wǎng)關(guān)進(jìn)行訪問。

通信安全

傳輸可靠性測(cè)試

傳輸可靠性的測(cè)試方法、預(yù)期結(jié)果參照。

傳輸保密性測(cè)試

21

傳輸保密性的測(cè)試方法、預(yù)期結(jié)果參照的1)-3)。