智能门锁安全国家标准与TEE

2018-12-18 15:48:14 浏览数 (1)

前不久,工业互联网安全应急响应中心发布《智能门锁安全分析报告》,详细报告:https://www.ics-cert.org.cn/portal/page/132/4a05060c1708467fae321533f76452af.html

紧接着,全国智能建筑及居住区数字化标准化技术委员会开展的《建筑及居住区数字化技术应用智能门锁安全》已完成编制工作。标准规定了智能门锁的系统架构、智能门锁终端安全、智能钥匙安全、云服务平台安全、客户端安全、通用安全、安全等级方法等。

与TEE有没有关系,这是安智客最关心的!

在数据安全10.3章节中用户数据存储安全要求:

对于类2数据,应采取有效的安全措施确保其存储的保密性和完整性如加密存储等;宜结合智能门锁设备或者移动终端中的可信环境如 SE 或者 TEE 进行安全保护;

解读一下,这里面有几个意思:

1,明确了用户数据范围:

用户数据的实体包括门锁设备、云服务平台以及客户端。用户数据安全要求涉及用户数据的生成、存储、传输、使用、备份以及销毁等环节。

也就是说锁端设备主要会要求用到安全芯片或者SE,手机中客户端需要用到TEE。

2,标准对用户数据进行了分级:

这个类2数据是指:与用户隐私相关的用户数据,如用户注册数据、家庭成员出入记录等

具体说来,不管能否远程开锁,类2数据基本上可以在手机上查看的用户隐私数据,这部分数据存在于用户手机中,也是最薄弱的部分,所以明确了需要对其完整性和保密性进行保护,建议采用TEE或者SE。

3,智能锁安全也是分级的。

根据安全保护强弱,将智能门锁的安全能力分为三个等级,由弱到强分别是一级、二级、三级。

对于数据安全中用户数据的保护从一级到三级要求都是一样的。这样就间接说明不管什么级别的智能门锁,对于数据安全要求一样,其中手机客户端端对于数据存储安全都需要用TEE或者SE来进行安全保护。

最好的消息是基本上手机端TEE都已经普及了,所以标准有了实施的基础,最坏的消息是面对不同的TEE厂商,锁厂怎么办?

这个标准哪里下载?

http://www.ibrc426.com/newsitem/278234816

0 人点赞