信息安全技術 智能門鎖網絡安全技術規(guī)范

ICS35.030

CCSL80

中華人民共和國國家標準

GB/TXXXXX—XXXX

信息安全技術智能門鎖網絡安全技術規(guī)范

Informationsecuritytechnology—Cybersecuritytechnicalspecificationforsmart

lockproducts

(點擊此處添加與國際標準一致性程度的標識)

（征求意見稿）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起

草。

請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。

本文件由全國信息安全標準化技術委員會（SAC/TC260）提出并歸口。

本文件起草單位：公安部第三研究所、中國信息安全研究院有限公司、中移（杭州）信息技術有限

公司、中國網絡安全審查技術與認證中心、國家計算機網絡與信息安全管理中心、浙江大華技術股份有

限公司、杭州螢石軟件有限公司、中山市鎖業(yè)協會、云丁網絡技術(北京)有限公司、北京奇虎科技有限

公司、上海斗象信息技術有限公司、寧波市鎮(zhèn)海神舟鎖業(yè)有限公司、阿里巴巴（北京）軟件服務有限公

司、青島海爾智能家電科技有限公司、上海嘉韋思信息科技有限公司、北京小米移動軟件有限公司、移

康智能科技（上海）股份有限公司、南京東屋電氣有限公司、上海市質量監(jiān)督檢驗技術研究院、工業(yè)和

信息化部電子第五研究所、中國科學院信息工程研究所、中國信息通信研究院、華為技術有限公司、翼

盾（上海）智能科技有限公司、浙江智貝信息科技有限公司、上海物盾信息科技有限公司、啟明星辰信

息技術集團股份有限公司、深圳市凱迪仕智能科技股份有限公司。

本文件主要起草人：劉繼順、陸臻、顧健、沈亮、張艷、孫永清、李海鵬、胡津銘、張智強、楊晨、

路曉明、于曉杰、常濤、張屹、何清林、馮秀英、何曙、李樂言、潘月霖、舒首衡、李國柱、姚俊寧、

朱易翔、周正達、徐夢宇、陳燦峰、朱鵬程、閔浩、李鳳華、張昊星、賴東亮、蘇祺云、吳其良、杜南、

牛國君。

II

GB/TXXXXX—XXXX

信息安全技術智能門鎖網絡安全技術規(guī)范

1范圍

本文件規(guī)定了聯網智能門鎖系統中的智能門鎖終端、接入網關、管理平臺、控制端應用

APP各組成部分以及通信連接網絡的安全技術要求，給出了測試方法及安全等級劃分。

本文件適用于智能門鎖系統的網絡安全設計、實現和測試。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期

的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改單）適用于本文件。

GB/T15843—2017信息技術安全技術實體鑒別

GB21556—2008鎖具安全通用技術條件

GB/T25069信息安全技術術語

GB/T33474—2016物聯網參考體系結構

GB/T33745—2017物聯網術語

GB/T34975—2017信息安全技術移動智能終端應用安全技術要求和測試評價方法

GB/T35273—2020信息安全技術個人信息安全規(guī)范

GB/T36950—2018信息安全技術智能卡安全技術要求

GB/T36951—2018信息安全技術物聯網感知終端應用安全技術要求

GB/T37024—2018信息安全技術物聯網感知層網關安全技術要求

GB/T37044—2018信息安全技術物聯網安全參考模型及通用要求

GB/T37076—2018信息安全技術指紋識別系統技術要求

GB/T38671—2020信息安全技術遠程人臉識別系統技術要求

3術語和定義

GB21556—2008、GB/T25069、GB/T33474—2016、GB/T33745—2017、GB/T34975—

2017、GB/T35273—2020、GB/T36951—2018、GB/T37024—2018、GB/T37044—2018界

定的以及下列術語和定義適用于本文件。

3.1

智能門鎖smartlock

以生物特征、電子標簽、無線遙控編碼、電子口令或遠程控制指令等作為鑒別信息，由

門鎖終端、接入網關、管理平臺以及控制端應用APP等部分組成的門鎖信息系統。

3.2

相互鑒別mutualauthentication

實體雙方均向對方提供身份保證信息的實體鑒別機制。

1

[來源：GB/T15843.1—2017，3.18]。

3.3

CPU卡CPUcard

含有中央處理器（CPU）的IC卡。

3.4

關鍵安全信息criticalsecurityinformation

與安全相關的信息，其被泄露或被修改后會危及智能門鎖安全性。

注：例如用戶登錄鑒別信息、管理平臺管理員鑒別信息、智能門鎖終端鑒別信息等。

3.5

虛位口令virtualpassword

在正確的口令前面和后面加上任意位數的字符的口令。

3.6

呈現攻擊presentingattacks

以干擾生物特征識別系統的操作為目的，針對生物特征數據采集模塊的一種攻擊行為。

4縮略語

以下縮略語適用于本文件。

AP：無線接入點（AccessPoint）

APP：應用軟件（ApplicationSoftware）

CPU：中央處理器（CentralProcessingUnit）

HTTPS：超文本傳輸安全協議（HyperTextTransferProtocoloverSecureSocketLayer）

IC：集成電路（IntegratedCircuit）

ID：標識（Identification）

IP：互聯網協議（InternetProtocol）

KRACK：口令重置攻擊（KeyReinstallationAttacks）

MAC：媒體訪問控制（MediaAccessControl）

MCU：微控制單元（MicrocontrollerUnit）

NFC：近場通信（NearFieldCommunication）

PCB：印刷電路板（PrintedCircuitBoards）

PIN：個人識別碼（PersonalIdentificationNumber）

SSID：服務集標識（ServiceSetIdentifier）

SSL：安全套接層（SecureSocketsLayer）

TCP：傳輸控制協議（TransmissionControlProtocol）

UID：用戶身份標識（UserIdentification）

WPA：Wi-Fi保護訪問（Wi-FiProtectedAccess）

WPA2：Wi-Fi保護訪問2（Wi-FiProtectedAccessTwo）

2D：二維（TwoDimensional）

3D：三維（ThreeDimensional）

5概述

2

GB/TXXXXX—XXXX

5.1智能門鎖組成

智能門鎖是一種物聯網應用系統，用以實現門鎖的用戶識別、遠程控制以及系統管理，

主要包括智能門鎖終端、接入網關、管理平臺和控制端應用APP等組件，其整體組成形態(tài)如

圖1所示。

控制端應用APP

廣域網

用戶接入網關

管理平臺

智能門鎖終端

圖1智能門鎖系統組成

圖1中：

a）智能門鎖終端是智能數據采集、接受遠程控制，提供門鎖啟閉功能的智能軟硬件實

體。

b）接入網關為智能門鎖終端提供網絡連接，提供協議轉換、本地場景化服務和設備管

理功能。

c）智能門鎖管理平臺是后端智能門鎖服務應用承載的功能實體，通過與智能門鎖終端、

智能門鎖移動應用協同，實現智能門鎖的具體應用服務。智能門鎖管理平臺具備智

能門鎖終端管理、智能感知信息融合處理、遠程人機交互、遠程控制等功能。

d）控制端應用APP為實際使用智能門鎖的終端用戶提供遠程控制、人機交互等功能。

e）智能門鎖系統的通信網絡為智能門鎖系統提供數據通信連接能力，實現智能數據采

集、數據傳輸、數據處理等功能。智能門鎖終端通過智能門鎖接入網關或運營商網

絡與智能門鎖管理平臺、用戶控制端連接，實現智能采集數據與控制指令的交互。

5.2安全風險分析和安全分級

根據智能門鎖系統的網絡組成架構，本文件對智能門鎖系統面臨的安全風險進行了抽

象，主要包括針對智能門鎖終端、接入網關的硬件攻擊風險，針對管理平臺、控制端應用的

軟件攻擊風險，以及針對近距離無線傳輸和遠距離核心網絡傳輸的攻擊風險，具體分析見

A.1和A.2。

根據應用場景對網絡安全防護能力的不同要求，將智能門鎖系統的安全級別劃分為兩

個等級：基本級、增強級，增強級網絡安全防護能力高于基本級，增強級在基本級基礎上增

加或者增強的技術要求用加粗字體表示。

6智能門鎖網絡安全技術要求

6.1智能門鎖終端安全技術要求

3

鑒別數據安全

口令鑒別安全

智能門鎖使用口令作為鑒別信息時應滿足：

a)鍵盤有震動或聲音反饋時，所有按鍵引起的震動或聲音保持無差異或者隨機反饋；

b)在鍵盤無遮擋的設備上，支持虛位口令；

c)支持多重身份鑒別。

生物信息鑒別安全

智能門鎖使用生物信息鑒別用戶身份時，生物識別模塊應具備生物信息仿冒防范能力，

滿足：

a)指紋識別模塊具備防復制指紋仿冒、防指紋照片仿冒的能力，符合GB/T37076-2018

中要求；

b)人臉識別模塊具備防復制人臉仿冒、防人臉照片仿冒、防面具仿冒的能力，符合GB/T

38671—2020中要求；

c)指紋識別模塊具備檢測假體或防止指紋假體仿冒行為；

d)人臉識別模塊具備防人臉視頻仿冒、防人臉電腦圖像合成仿冒、防假體面具仿冒能

力，符合GB/T38671—2020中要求。

e)具備其他類型生物識別模塊具備防護呈現攻擊的能力；

f)具備生物識別模塊具備發(fā)生上述攻擊時暫停服務并發(fā)出告警的能力。

IC卡安全

智能門鎖使用IC卡鑒別用戶身份時，IC卡應滿足：

a)符合GB/T36950-2018的要求；

b)具備數據加密能力；

c)具有防復制功能；

d)IC卡采用CPU卡，其形態(tài)包括但不限于CPU智能卡、搭載安全載體且具備CPU卡功能

的終端設備；

e)具備物理防御手段以防止側信道攻擊。

固件安全

智能門鎖終端固件應滿足：

a)在得到用戶確認后，能進行固件更新機制；

b)固件下載時，具備對更新文件來源進行校驗的能力；

c)具備防止中間人劫持或嗅探的安全下載通道；

d)固件升級時，具備對更新文件完整性校驗能力；

e)固件升級失敗，能夠保持固件的可用性；

f)具備防止未授權的固件回退的能力。

操作系統安全

智能門鎖終端操作系統應滿足：

a)按照最小化原則，僅保留業(yè)務必需的應用模塊、使用端口、控制權限；

b)提供安全啟動認證機制，禁止用戶直接登錄操作系統；

4

GB/TXXXXX—XXXX

c)具備操作系統更新機制和更新失效保護機制，更新前需要得到用戶確認且告知更新

結果。

應用安全

智能門鎖終端應用應滿足：

a)在安裝應用軟件時，對軟件安裝包的完整性與來源的真實性進行校驗；

b)具備防范越權操控和身份仿冒的能力；

c)安裝滿足業(yè)務安全功能需求的軟件并正確配置及使用；

d)按照策略進行補丁更新和升級，保證所更新的數據是來源的真實性和完整性；

e)應用軟件更新失敗時，保持應用軟件的可用性；

f)具備防逆向、反編譯能力。

接入認證

終端標識

針對智能門鎖終端標識，應滿足：

a)具備可用于通信識別的唯一標識；

b)設備標識具備防篡改機制。

網絡接入認證

針對網絡接入認證，應滿足：

a)在接入網絡時，智能門鎖終端應采用遵循GB/T15843-2017的預共享密鑰鑒別機

制向接入網絡證明其網絡身份；

b)智能門鎖終端與管理平臺、接入網關、控制端采用相互鑒別機制，鑒別機制采用

GB/T15843-2017的基于數字證書的接入機制。

賬戶與口令

智能門鎖終端賬戶與口令安全要求應滿足：

a)添加用戶、刪除用戶、恢復出廠設置等重要操作僅能由授權管理員進行操作，且操

作前驗證管理員身份；

b)具備防止窮舉口令攻擊的能力，針對虛位口令的防窮舉攻擊機制能根據實際輸入的

口令長度增加限制；

c)智能門鎖終端不應采用默認口令，恢復出廠設置后，要求用戶立即設置新口令，口

令有復雜度要求。

訪問控制

智能門鎖終端的訪問控制功能應滿足：

a)遵循最小權限原則對用戶、控制端、管理平臺分配智能門鎖操作權限；

b)能設置網絡訪問控制策略，只允許授權的網絡通信單元通過網絡訪問和操作智能門

鎖。

通信安全

通信端口控制

5

針對通信端口控制，應滿足：

a)遵循最小配置原則，禁用非必要的通信端口；

b)支持在線動態(tài)啟用或者禁用特定的通信端口，啟用或者禁用特定通信端口時應僅

允許由授權用戶操作。

傳輸可靠性

智能門鎖終端應具備保障傳輸可靠性的機制，滿足：

a)具備通信完整性校驗機制，進行數據傳輸的完整性保護；

b)發(fā)生通信延時或中斷時具備通信恢復機制；

c)具備冗余鏈路，保證傳輸鏈路可靠性。

傳輸保密性

智能門鎖終端通過有線通信或者無線通信方式與其他組件通信時，應滿足：

a)與接入網關之間的數據傳輸采用保密措施；

b)與管理平臺之間的數據傳輸采用保密措施；

c)與控制端應用APP之間的數據傳輸采用保密措施；

d)與智能鑰匙之間的數據傳輸采用保密措施。

數據安全

數據采集安全

智能門鎖終端采集數據時，應滿足：

a)數據采集前，明確告知用戶采集數據范圍、采集目的和采集方式等信息；

b)數據采集時，滿足最少夠用原則，不應過度采集。

數據存儲安全

智能門鎖終端存儲數據時，應滿足：

a)具備數據機密性保護機制，對重要數據進行加密處理；

b)具備數據完整性保護機制，實現對鑒別數據、審計數據的完整性保護。

數據銷毀安全

智能門鎖終端應具備數據銷毀機制，對廢棄數據及時安全銷毀。

個人信息安全

智能門鎖終端的收集、存儲個人信息時，應符合GB/T35273—2020中第5章和第6章

的安全要求。

安全審計

智能門鎖終端設備應具備對安全事件的審計記錄功能，滿足：

a)審計范圍覆蓋用戶在智能門鎖終端中的關鍵操作、重要行為、業(yè)務資源使用情況等

重要事件；

1)對鑒別機制的任何使用，包括智能門鎖終端與應用服務平臺相互驗證成功與

失敗等；

2)通信會話的中止，包括設備的正常中止和非正常中止；

6

GB/TXXXXX—XXXX

3)對智能門鎖終端的關鍵操作。

b)事件記錄包含事件的日期和時間、事件類型、主體標識、客體標識和結果；

c)本地審計記錄具備存儲容量保護措施，防止存儲空間超過閾值后審計記錄被破壞；

d)保證審計記錄向管理平臺的傳輸安全。

入侵防范

應能限制其他設備與智能門鎖終端通信的地址，避免智能門鎖終端對陌生地址的攻擊

行為，發(fā)生連續(xù)鑒別失敗、外力強拆等安全事件時，應能發(fā)出告警。

其他

接口安全

智能門鎖硬件接口應滿足：

a)調試功能接口在出廠時設置為默認關閉；

b)燒錄/調試功能接口，如JTAG、串口等，具備鑒別用戶身份和訪問權限能力，禁止

直接登錄；

c)不應保留燒錄/調試功能接口。

異常情況響應

電源電量不足引起的智能門鎖開啟控制異常時，應具備應急充電接口，能夠應急充電。

6.2接入網關安全技術要求

接入認證

網關標識

對于智能門鎖接入網關的標識，應符合終端標識中a)-b)的要求。

網絡接入認證

a)接入網關應能對接入的智能門鎖終端進行設備身份鑒別；

b)接入網關與智能門鎖終端、管理平臺、控制端進行相互鑒別機制，采用遵循GB/T

15843-2017的預共享密鑰鑒別機制或采用遵循GB/T15843-2017的基于數字證書的

接入鑒別機制。

認證失敗處理

接入網關應具備接入認證失敗的處理能力，滿足：

a)當認證應答超過規(guī)定時限時，接入網關系統能終止與待接入終端之間的當前通信會

話；

b)在經過一定次數的認證失敗后，接入網關系統能終止由接入終端發(fā)起的建立會話的

嘗試，在一定的時間間隔后才允許繼續(xù)接入；

c)在經過一定次數的認證失敗后，采集和記錄當前嘗試鑒別者的信息（指紋、人臉信

息等），并上報給用戶或者管理員。

訪問控制

7

接入網關應能控制智能門鎖終端和管理平臺的網絡訪問，滿足：

a)能制定訪問控制策略，防止資源被非法訪問和非法使用，訪問控制策略包含用戶或

者設備身份和基于IP地址及端口、用戶/用戶組、讀/寫等操作、有效時間周期等的

兩種及以上構成的組合；

b)能控制相同網絡內部的相互訪問；

c)能控制不同網絡區(qū)域之間的訪問；

d)能支持接入終端白名單機制，限制對接入網關的通信訪問。

通信安全

傳輸可靠性

對于智能門鎖接入網關的傳輸可靠性，應滿足：

a)對于智能門鎖接入網關的傳輸可靠性，符合傳輸可靠性中a)-b)的要求。

b)采用安全通信機制，防止重放攻擊和中間人攻擊。

傳輸保密性

對于智能門鎖接入網關的傳輸保密性，應符合傳輸保密性中a)-c)的要求。

數據安全

數據存儲安全

接入網關在數據存儲安全方面，應滿足：

a)對存儲在接入網關中的數據進行保護，避免非授權的訪問，重要數據包括但不限于

終端設備或用戶的鑒別信息、網關配置信息、安全策略、審計信息等；

b)對于接入網關在數據存儲安全方面，符合數據存儲安全中b)的要求。

數據銷毀安全

智能門鎖接入網關應具備數據銷毀機制，廢棄數據應及時安全銷毀。

個人信息安全

智能門鎖接入網關的存儲個人信息時，應符合GB/T35273—2020中第5章和第6章的

安全要求。

安全審計

針對接入網關安全審計，應滿足：

a)符合6.1.10安全審計的要求；

b)記錄惡意攻擊、異常行為、病毒/木馬程序等的入侵行為。

入侵防范

a)針對接入網關入侵防范，應滿足：接入網關具備對接入終端的接入防護能力，支持

應用指定的通信協議和數據內容格式檢查的數據包過濾，并丟棄不符合過濾要求的

數據包；

b)僅開放應用相關的通信端口；

c)能針對網關的惡意攻擊、異常行為、病毒/木馬程序等的入侵行為進行檢測和防護；

8

GB/TXXXXX—XXXX

d)拒絕和丟棄不可鑒別的通信網通信數據，且記錄相應的日志。

其他

失效保護

接入網關應具備失效保護能力，保證設備異常時安全策略的正確性和可用性。

6.3管理平臺安全技術要求

接入認證

智能門鎖管理平臺的身份鑒別應滿足：

a)采用鑒別技術對用戶登錄、設備通信進行身份鑒別；

b)提供并啟用登錄失敗處理功能；

c)提供并啟用用戶身份標識唯一檢查功能，保證不存在重復用戶身份標識，提供并啟

用用戶鑒別信息復雜度檢查功能；

d)不應明文存儲鑒別信息；

e)采用兩種或兩種以上組合的鑒別技術來進行身份鑒別；

f)進行系統安全相關的關鍵操作前進行用戶二次身份鑒別。

訪問控制

智能門鎖管理平臺的訪問控制應滿足：

a)控制用戶的訪問權限，按安全策略要求控制用戶對管理平臺的訪問；

b)控制管理平臺上應用與應用之間相互調用的權限，按照安全策略要求控制應用對其

他應用里的用戶數據或特權指令等資源的調用。

通信安全

傳輸可靠性

對于智能門鎖管理平臺的傳輸可靠性，應符合傳輸可靠性要求。

傳輸保密性

對于智能門鎖管理平臺的傳輸保密性，應符合傳輸保密性中a)-c)的要求。

應用安全

智能門鎖管理平臺的應用要求包括：

a)管理平臺的接入應用，應滿足：

1)對接入平臺的應用的身份合法性進行認證，只有經過認證的合法應用才能接入

應用服務平臺執(zhí)行后續(xù)的業(yè)務調用；

2)應用認證全程不應明文傳遞密鑰或以弱算法等變換后傳遞，防止反向推出密鑰，

保證認證安全；

3)為不同的應用分配不同的密鑰，并支持密鑰的生成、分發(fā)、存儲、更新等密鑰

管理功能。

b)管理平臺的接入設備，應滿足：

9

1)為每個智能門鎖終端分配唯一的身份標識，并與設備信息進行關聯，如設備廠

商、設備類型、型號等信息；

2)通過預置密鑰、密鑰個人化協商等方式，為每個設備分配唯一的設備密鑰，設

備密鑰與設備標識一一綁定，并支持密鑰的生成、分發(fā)、存儲、更新等密鑰管

理功能；

3)對接入平臺的設備進行身份鑒別，只有經過鑒別，具有權限的設備才能接入業(yè)

務平臺進行后續(xù)應用操作；

4)設備認證過程不應明文傳遞密鑰或以弱算法等變換后傳遞，防止反向推出密鑰，

保證認證安全；

5)設備認證過程中如果使用隨機數機制，應確保不可預測；

6)對于支持應用賬號綁定的設備，不應通過設備重置方式進行賬號重新綁定，只

有原賬號解綁后才可進行重新綁定。

c)管理平臺對訪問應用服務平臺的平臺管理人員進行身份鑒別，采用兩種或兩種以上

多因素身份鑒別技術進行身份鑒別，其中一種鑒別技術至少應使用密碼技術來實現。

數據安全

數據采集安全

對于智能門鎖管理平臺的數據采集安全，應符合數據采集安全要求。

數據訪問控制

對智能門鎖管理平臺數據訪問控制要求包括：

a)應支持權限控制功能，保證用戶僅能對該業(yè)務系統對應的數據庫進行權限以內的相

關操作，不能訪問其他未被授權的業(yè)務系統數據；

b)涉及重要業(yè)務數據及其相關關鍵安全信息的文件應進行權限控制，只能由授權用戶

訪問；

c)上傳下載時，限制用戶向上跨目錄訪問，只能訪問指定目錄下的文件。

數據安全存儲

智能門鎖管理平臺的數據安全存儲功能應滿足：

a)支持分等級的數據加密方法，根據數據重要程度采用不同的安全保密存儲機制；

b)支持密鑰安全存儲，例如將密鑰存儲在加密機或特定代理內部，保證密鑰不被泄露；

c)支持數據完整性保護，對關鍵安全信息提供完整性檢測機制，關鍵安全信息損壞和

丟失時能及時發(fā)現。

數據銷毀安全

智能門鎖管理平臺數據銷毀功能應支持完全清除數據，清除數據后不可恢復，在銷毀數

據前應提前明確提示用戶，并由用戶確認是否銷毀后執(zhí)行。

數據備份與恢復

智能門鎖管理平臺的數據備份與恢復功能應滿足：

a)具備對各類數據和文件進行歸檔的能力，并定期對臨時數據及文件自動清理，數據

刪除后系統內的文件、目錄和數據庫等資源所在存儲空間被釋放或重新分配；

b)備份數據完整有效且保密存儲；

10

GB/TXXXXX—XXXX

c)恢復數據時校驗備份數據的完整性。

數據融合處理

智能門鎖管理平臺的數據融合處理功能應滿足：

a)能夠對來自不同智能門鎖終端和接入網關的數據進行數據融合處理，使不同種類的

數據可在同一平臺被使用；

b)對不同數據之間的依賴關系和制約關系進行智能處理。

個人信息安全

智能門鎖管理平臺的收集、存儲個人信息時，應符合GB/T35273—2020中第5章和第

6章的安全要求。

安全審計

智能門鎖管理平臺的安全審計功能應滿足：

a)審計范圍應覆蓋到用戶在管理平臺中的關鍵操作、重要行為、業(yè)務資源使用情況等

重要事件，包括但不限于以下事件：

1)審計功能的啟動和關閉；

2)導出、另存和刪除審計日志；

3)設置鑒別嘗試次數；

4)設置審計日志報警門限值；

5)鑒別機制的使用；

6)用戶的創(chuàng)建、修改、刪除和授權；

7)通過控制端應用對智能門鎖設備進行的操作；

8)設備狀態(tài)的變化；

9)其他系統參數配置和管理安全功能行為的操作。

b)對審計記錄進行保護，避免非授權的訪問、篡改、覆蓋或刪除等；

c)根據業(yè)務功能需求提供與其相關的審計信息及審計分析報告；

d)相關審計記錄包括事件日期、時間、用戶、類型、描述和結果等，審計記錄留存時

間超過6個月；

e)具備對審計記錄數據進行統計、查詢、分析及生成審計報表的功能；

f)具備自動化審計功能，監(jiān)控明顯異常操作并響應；

g)支持審計日志導出功能；

h)對審計記錄進行非明文存儲；

i)記錄惡意攻擊、異常行為、病毒/木馬程序等的入侵行為。

其他

資源控制

智能門鎖管理平臺的資源控制功能應滿足：

a)限制對管理平臺訪問的最大并發(fā)會話連接數；

b)提供資源控制不當的報警及響應；

c)在會話處于非活躍狀態(tài)一定時間后終止會話連接；

d)對用戶與管理平臺通信過程中的重要數據加密，具備對訪問、通信等行為的防抵賴

功能。

11

抗數據重放

智能門鎖管理平臺的抗數據重放功能應滿足：

a)能鑒別數據的新鮮性，避免歷史數據的重放攻擊；

b)能鑒別歷史數據的非法修改，避免數據的修改重放攻擊。

6.4控制端應用APP安全技術要求

應用安全

安裝要求

智能門鎖控制端應用APP的安裝步驟應滿足：

a)安裝過程經用戶明確許可；

b)包含可有效表征供應者或開發(fā)者身份的簽名信息、軟件屬性信息；

c)在安裝的過程中，可隨時取消安裝；

d)正確安裝到相關移動智能終端上，并生成相應的圖標；

e)下載和安裝過程中，不得捆綁下載其他應用軟件；

f)在安裝智能門鎖控制端應用APP時，遵循最小安裝原則，不應安裝本軟件功能說明

文檔中未加說明的額外功能，不安裝用戶未知和未允許的第三方應用；

g)以用戶可見的方式進行安裝，有安裝界面；

h)安裝時調用終端資源和終端數據向用戶明示，并得到授權后使用該終端資源和數據；

i)控制端應用在安裝好后不應強制用戶重啟設備；

j)未經用戶允許不應獲取已安裝的第三方應用信息；

k)不應對終端操作系統和其他應用軟件的正常運行造成影響。

卸載要求

智能門鎖控制端應用APP卸載后，不影響移動智能終端的正常使用，應滿足：

a)提供卸載軟件的方式，用戶能夠隨時卸載應用軟件；

b)卸載時將其安裝進去的文件全部卸載，自動運行權限需要得到用戶的明確授權；

c)能夠完全刪除安裝和使用過程中產生的資源文件、配置文件和用戶數據，刪除用戶

使用過程中生成的數據時應有提示；

d)能夠恢復修改的系統配置信息；

e)能夠徹底卸載應用軟件，不應在系統中留下應用軟件的臨時文件和活動程序或模塊；

f)卸載后不影響終端操作系統和其他應用軟件的功能。

更新機制

智能門鎖控制端應用APP應支持軟件的更新，滿足：

a)有更新版本時，提示用戶更新，不應未經用戶允許自動更新；

b)具備保證軟件更新的時效性和準確性的安全機制；

c)更新失敗應能回退到更新前的版本。

接入認證

身份鑒別

12

GB/TXXXXX—XXXX

智能門鎖控制端應用APP控制智能門鎖開啟或讀取用戶信息時，應滿足：

a)在用戶訪問應用業(yè)務前，智能門鎖控制端應用APP對用戶身份進行鑒別；

b)具備登錄超時后的鎖定或注銷功能；

c)具備防暴力破解的鑒別失敗處理措施。

口令安全機制

智能門鎖控制端應用APP使用口令作為鑒別信息時，應滿足：

a)口令信息不應以明文形式顯示和存儲；

b)不應默認保存用戶上次的賬號及口令信息；

c)具備口令強度檢查機制；

d)具備口令時效性檢查機制；

e)修改或找回口令時，具備驗證機制；

f)在使用過程中具備防鍵盤劫持機制；

g)具備口令鑒別失敗處理能力；

h)口令不應以明文傳輸。

訪問控制

智能門鎖控制端應用APP應滿足：

a)授權用戶訪問的內容不應超出授權范圍；

b)未得到用戶許可前不應訪問智能門鎖終端的數據；

c)未得到用戶許可前不應對智能門鎖終端數據進行修改和刪除。

通信安全

傳輸可靠性

對于智能門鎖控制端應用APP的傳輸可靠性，應符合傳輸可靠性要求。

傳輸保密性

智能門鎖控制端應用APP與智能門鎖終端、接入網關、管理平臺通信時，數據傳輸應采

取保密措施。

數據安全

數據采集安全

對于智能門鎖應用APP的數據采集安全，應符合數據采集安全要求。

數據存儲安全

智能門鎖控制端應用APP應對關鍵安全信息數據進行安全加密存儲。

數據銷毀安全

智能門鎖控制端應用APP應具備數據銷毀機制，廢棄數據應及時安全銷毀。

個人信息安全

智能門鎖控制端應用APP收集、存儲、使用個人信息時應符合GB/T35273—2020第5

13

章、第6章和第7章的安全要求。

安全審計

智能門鎖控制端應用APP發(fā)生網絡交互時,APP應記錄日志，并傳輸到服務平臺，應滿

足：

a)對各項操作進行審計記錄，可記錄事件包括但不限于：

1)對鑒別機制的任何使用，包括控制端應用APP與管理平臺、智能門鎖終端相互

驗證成功與失敗等；

2)通信會話的終止，包括控制端應用APP的正常中止和非正常中止；

3)對智能門鎖終端的關鍵操作。

b)事件記錄包含事件的日期和時間、事件的類型、主題標識、客體標識和結果；

c)本地審計記錄具備存儲容量保護措施，防止存儲空間超過閾值后審計記錄被破壞；

d)保證審計記錄向管理平臺的傳輸安全。

7智能門鎖網絡安全測試方法

7.1智能門鎖終端安全測試方法

鑒別數據安全

口令鑒別安全

智能門鎖終端口令安全的測試方法和預期結果如下：

a)檢測方法：

1)觀察智能門鎖口令按鍵按下后的反饋是否一樣；

2)觀察按下智能門鎖的口令按鍵后是否有對應的數字音頻輸出；

3)觀察智能門鎖是否支持虛位口令功能；

4)檢查智能門鎖是否具有多重鑒別功能。

b)預期結果：

1)智能門鎖的口令按鍵按下后的反饋是完全一樣的或者反饋是足夠隨機的；

2)智能門鎖的口令按鍵按下后音頻模塊不能識別PIN碼，且無法輸出對應的音

頻；

3)智能門鎖支持虛位口令功能；

4)智能門鎖支持除口令鑒別以外的多重鑒別。

生物信息鑒別安全

智能門鎖使用生物信息鑒別用戶身份時，測試方法和預期結果如下：

a)檢測方法：

1)檢查指紋識別模塊是否具備防復制指紋仿冒、防指紋照片仿冒的能力，是否符

合GB/T37076-2018中要求；

2)檢查人臉識別模塊是否具備防復制人臉仿冒、防人臉照片仿冒、防面具仿冒的

能力，是否符合GB/T38671—2020中要求；

3)檢查指紋識別模塊是否具備檢測假體或防止指紋假體仿冒行為；

4)檢查人臉識別模塊是否具備防人臉視頻仿冒、防人臉電腦圖像合成仿冒、防

假體面具仿冒能力，是否符合GB/T38671—2020中要求；

14

GB/TXXXXX—XXXX

5)檢查其他類型生物識別模塊是否具備防護呈現攻擊的能力；

6)發(fā)生上述攻擊時觀察生物識別模塊是否暫停服務并發(fā)出告警。

b)預期結果：

1)指紋識別模塊具備防復制指紋仿冒、防指紋照片仿冒的能力，符合GB/T

37076-2018中要求；

2)人臉識別模塊是否具備防復制人臉仿冒、防人臉照片仿冒、防面具仿冒的能力，

符合GB/T38671—2020中要求；

3)指紋識別模塊具備檢測假體或防止指紋假體仿冒行為；

4)人臉識別模塊具備防人臉視頻仿冒、防人臉電腦圖像合成仿冒、防假體面具

仿冒能力，符合GB/T38671—2020中要求；

5)其他類型生物識別模塊具備防護呈現攻擊的能力；

6)發(fā)生上述攻擊時，生物識別模塊暫停服務并發(fā)出告警。

IC卡安全

智能門鎖終端IC卡安全的測試方法和預期結果如下：

a)檢測方法：

1)讀取IC卡中的數據，觀察數據中的口令是否不同；

2)查看IC卡是否使用CPU卡；

3)觀察智能門鎖程序中是否有對IC卡校驗的代碼；

4)逆向智能門鎖固件，提取出根密鑰對比其他門鎖的根密鑰是否一樣。

b)預期結果：

1)IC卡采用CPU卡；

2)智能門鎖對IC卡進行綁卡，認證時對IC卡的數據模塊進行讀寫校驗；

3)智能門鎖具有唯一的根密鑰。

固件安全

智能門鎖終端固件安全的測試方法和預期結果如下：

a)檢測方法：

1)審查廠商提交的文檔，查看操作系統是否具有自動和手動更新功能；如果具有

自動更新功能，在授權的條件下，檢查是否可以自動更新操作系統；如果具有

手動更新功能，在授權的條件下，檢查是否可以手動更新操作系統；

2)在升級服務器中添加用于測試的新版本固件,啟動固件升級,檢查固件升級前

是否對固件升級包驗證來源可靠性；

3)審查廠商提交的文檔，查看固件下載鏈路是否可確?？尚?，防止中間人劫持或

者嗅探；

4)修改固件升級文件的內容，在授權的條件下，進行系統更新，檢查是否可以通

過完整性校驗，完成更新；

5)嘗試推送不正確的固件給設備，使升級失敗，驗證設備是否恢復到之前可用的

版本。

b)預期結果：

1)操作系統具有自動和手動更新功能；

2)在升級服務器中添加用于測試的新版本固件,啟動固件升級,固件升級前對固

件升級包驗證來源可靠性；

3)固件下載鏈路可以確?？尚?，防止中間人劫持或者嗅探；

15

4)修改固件升級文件的內容，在授權的條件下，進行系統更新，不能通過完整性

校驗，更新失?。?/p>

5)推送不正確的固件給設備，使升級失敗，設備可以恢復到之前可用的版本。

操作系統安全

智能門鎖終端操作系統安全的測試方法和預期結果如下：

a)檢測方法：

1)查看智能門鎖終端操作系統的應用模塊、使用端口、控制權限信息，滿足最小

化原則；

2)查看是否提供安全啟動認證機制，默認賬戶常用空口令登錄是否成功；

3)查看系統更新時是否獲得最終用戶授權，更新后是否通知更新結果。

b)預期結果：

1)智能門鎖終端操作系統的應用模板、使用端口、控制權限信息滿足最小化原則；

2)智能門鎖操作系統提供安全認證機制；

3)智能門鎖操作系統更新時得到最終用戶確認且告知更新結果。

應用安全

智能門鎖終端應用安全的測試方法和預期結果如下：

a)檢測方法：

1)在安裝應用軟件時，是否對軟件包的完整性與來源的真實進行校驗；

2)查看智能門鎖終端是否具備防范越權操作和身份仿冒的能力；

3)查看智能門鎖終端安裝軟件是否滿足業(yè)務安全功能需求，且是否正確配置及

使用；

4)查看智能門鎖終端是否具備軟件更新升級功能，是否檢查更新的數據來源，且

判斷軟件來源的真實性和完整性；

5)查看軟件更新失敗時，是否保持應用軟件的可用性；

6)查看智能門鎖終端是否具備防逆向反編譯能力。

b)預期結果：

1)在安裝應用軟件時，智能門鎖終端校驗軟件包的完整性和來源的真實性；

2)智能門鎖終端具備防范越權操作和身份仿冒的能力；

3)智能門鎖終端的安裝軟件滿足業(yè)務安全功能需求，且發(fā)布軟件配置正確；

4)智能門鎖終端具備軟件更新和升級功能，升級時校驗更新數據的來源，并判斷

真實性和完整性；

5)智能門鎖終端軟件更新失敗時，不影響應用軟件的使用；

6)智能門鎖終端具備防逆向反編譯能力。

接入認證

終端標識

智能門鎖終端標識的測試方法和預期結果如下：

a)檢測方法：

1)查看智能門鎖終端是否有唯一標識，非授權用戶是否可以更改；

2)查看智能門鎖終端是否具備防篡改保護機制。

b)預期結果：

16

GB/TXXXXX—XXXX

1)智能門鎖終端具備門鎖的唯一標識，且非授權用戶不能更改；

2)智能門鎖終端設備標識具備防篡改保護機制。

網絡接入認證

智能門鎖終端網絡接入認證的測試方法和預期結果如下：

a)檢測方法：

1)在智能門鎖終端核查預共享密鑰鑒別機制，抓取網絡通信數據包進行分析；

2)核查智能門鎖終端是否采用數字證書和數字簽名，驗證是否采用數字簽名方

式進行身份鑒別；

3)是否可以向接入網絡證明其網絡身份。

b)預期結果：

1)在智能門鎖終端核查預共享密鑰鑒別機制；

2)智能門鎖終端采用數字證書和數字簽名方式進行身份鑒別；

3)可向接入網絡證明其網絡身份。

賬號與口令

智能門鎖終賬號與口令的測試方法和預期結果如下：

a)檢測方法：

1)測試添加用戶、刪除用戶、恢復出廠設置等重要操作是否需要驗證管理員身份；

2)暴力破解智能門鎖口令，觀察智能門鎖是否會自鎖；

3)用默認口令嘗試打開門鎖。

b)預期結果：

1)添加用戶、刪除用戶、恢復出廠設置等重要操作需要驗證管理員身份；

2)智能門鎖具備防止窮舉口令、指紋識別、人臉識別的功能；

3)用默認口令無法打開門鎖。

訪問控制

智能門鎖終端訪問控制的測試方法和預期結果如下：

a)檢測方法：

1)驗證智能門鎖終端是否可以對用戶、控制端、管理平臺配置合理的操作權限；

2)是否可以配置網絡訪問控制策略，配置的策略是否生效。

b)預期結果：

1)智能門鎖終端可以遵循最小權限原則對用戶、控制端、管理平臺配置合理的操

作權限；

2)可配置網絡訪問控制策略，配置的策略生效。

通信安全

通信端口控制測試

智能門鎖終端通信端口控制的測試方法和預期結果如下：

a)檢測方法：

1)掃描智能門鎖是否開啟業(yè)務需求以外的通信端口；

2)動態(tài)配置特定的通信端口。

b)預期結果：

17

1)智能門鎖終端遵循最小配置原則，禁用非必要的通信端口；

2)支持在線動態(tài)啟用或者禁用特定的通信端口，啟用或者禁用特定通信端口時

應僅可由授權用戶操作。

傳輸可靠性測試

智能門鎖終端傳輸可靠性的測試方法和預期結果如下：

a)檢測方法：

1)攔截通信數據包，查看數據包中是否有校驗傳輸數據完整性的校驗數據；

2)檢測智能門鎖是否具有通信延時和中斷的處理機制；

3)對通信過程進行重放攻擊和中間人攻擊。

b)預期結果：

1)智能門鎖具有通信完整性的校驗機制；

2)智能門鎖具有通信延時和中斷機制；

3)智能門鎖可以防止重放攻擊和中間人攻擊。

傳輸保密性測試

智能門鎖終端傳輸可靠性的測試方法和預期結果如下：

a)檢測方法：

1)抓取與網關之間的數據傳輸數據包，查看數據包中是否采取保密措施；

2)抓取與平臺之間的數據傳輸數據包，查看數據包中是否采取保密措施；

3)抓取與APP之間的數據傳輸數據包，查看數據包中是否采取保密措施；

4)抓取與遙控鑰匙之間的數據傳輸數據包，查看數據包中是否采取保密措施。

b)預期結果：

1)與網關之間的通信數據包采取了保密措施；

2)與平臺之間的通信數據包采取了保密措施；

3)與APP之間的通信數據包采取了保密措施；

4)與遙控鑰匙之間的通信數據包采取了保密措施。

數據安全

數據采集安全

智能門鎖終端數據采集的測試方法和預期結果如下：

a)檢測方法：

1)數據采集前，查看用戶手冊、用戶通知等信息中是否告知用戶采集數據范圍、

采集目的和采集方式等信息；

2)數據采集時，查看數據內容是否與告知用戶的數據內容一致。

b)預期結果：

1)數據采集前，已通過用戶手冊、用戶通知等途徑告知用戶采集數據范圍、采集

目的和采集方式等信息；

2)數據采集時，采集的數據與告知用戶的數據內容一致。

數據存儲安全

智能門鎖終端數據存儲的測試方法和預期結果如下：

a)檢測方法：

18

GB/TXXXXX—XXXX

1)查看智能門鎖終端數據，對留存數據進行加密處理；

2)查看智能門鎖終端認證數據、審計數據完整性防護機制。

b)預期結果：

1)智能門鎖終端重要數據進行加密處理，具備機密性防護機制；

2)智能門鎖終端數據具備完整性防護機制。

數據銷毀安全

智能門鎖終端數據銷毀的測試方法和預期結果如下：

a)檢測方法：

查看智能門鎖終端數據銷毀時，是否有殘留數據。

b)預期結果：

智能門鎖終端數據銷毀時，數據及時安全銷毀。

個人信息安全

智能門鎖終端收集、存儲個人信息安全的測試方法和預期結果如下：

a)檢測方法：

核查產品收集、存儲個人信息時是否滿足GB/T35273—2020標準第5章、第6章

中對應項的要求；

b)預期結果：

產品符合GB/T35273—2020標準中對應項的要求。

安全審計

智能門鎖終端安全審計的測試方法和預期結果如下：

a)檢測方法：

1)當用戶對智能門鎖終端設備進行操作時，檢查對于關鍵操作、重要行為、業(yè)務

資源使用情況是否進行日志記錄，檢查內容包括但不限于：

查看是否覆蓋智能門鎖終端與管理平臺相互驗證成功與失敗信息；

查看是否記錄通信會話中止信息；

查看是否記錄對智能門鎖終端關鍵操作的信息。

2)查看事件記錄是否包含事件的日期和時間、事件的類型、主體標識、客體標識

和結果；

3)查看本地審計記錄是否有保護措施，以防止存儲空間超過閾值后審計記錄被

破壞；

4)查看審計記錄向管理平臺轉移時是否采用安全傳輸方式。

b)預期結果：

1)當用戶對設備進行操作時，設備會對用戶的關鍵操作、重要行為、業(yè)務資源使

用情況進行日志記錄，記錄內容包括但不限于：

覆蓋智能門鎖終端與管理平臺相互驗證成功與失敗信息；

記錄通信會話中止信息；

記錄對智能門鎖終端關鍵操作的信息。

2)日志事件記錄包含事件的日期和時間、事件的類型、主體標識、客體標識和結

果；

3)智能門鎖終端對本地審計日志記錄存在保護措施，防止存儲空間超過閾值破

壞審計記錄；

19

4)審計記錄向管理平臺轉移時采用安全傳輸方式。

入侵防范

智能門鎖終端入侵防范安全的測試方法和預期結果如下：

a)檢測方法：

查看是否具備限制其他設備與智能門鎖終端通信的目標地址的能力。

b)預期結果：

具備限制其他設備與智能門鎖終端通信的目標地址。

其他

接口安全

智能門鎖終端接口安全的測試方法和預期結果如下：

a)檢測方法：

1)對于具備JTAG、串口等燒錄/調試的接口，檢查用戶是否需要配置用戶名、口

令等方式得到認證授權，才能進行登錄，是否已禁止直接登錄；

2)查看調試功能的接口，是否在出廠時是否設置為默認關閉；

3)檢查是否保留燒錄/調試功能接口。

b)預期結果：

1)對于具備JTAG、串口等燒錄/調試的接口，用戶需要配置用戶名、口令等方式

得到認證授權，才能進行登錄，并禁止直接登錄；

2)具備調試功能接口出廠時設置默認關閉；

3)未保留燒錄/調試功能接口。

異常情況響應

智能門鎖終端異常情況響應測試方法和預期結果如下：

a)檢測方法：

1)查看智能門鎖是否具備應急充電接口；

2)觸發(fā)電源電量不足引起智能門鎖開啟控制異常情況，查看應急充電是否生效。

b)預期結果：

1)智能門鎖具備應急充電接口；

2)觸發(fā)電源電量不足引起智能門鎖開啟控制異常情況，能夠應急充電。

7.2接入網關測試方法

接入認證

網關終端標識

智能門鎖接入網關標識的測試方法、預期結果參照

網絡接入認證

智能門鎖接入鑒別機制的測試方法和預期結果如下：

a)檢測方法：

1)檢查智能門鎖接入網關是否提供多種鑒別方式，并與產品說明描述一致；

20

GB/TXXXXX—XXXX

2)檢查多種鑒別方式是否可以有效使用；

3)檢查是否具備智能門鎖終端設備標識在接入網關生命周期內具備唯一性；

4)檢查對鑒別機制是否可同時多種方式使用。

b)預期結果：

1)智能門鎖接入網關具備鑒別機制；

2)智能門鎖接入網關的鑒別機制與產品說明描述一致；

3)智能門鎖終端設備標識在接入網關生命周期內具備唯一性；

4)智能門鎖接入網關支持同時多種方式使用。

認證失敗處理

智能門鎖接入網關鑒別失敗處理的測試方法和預期結果如下：

a)檢測方法：

1)檢查智能門鎖接入網關設備是否具備超時機制；

2)設定會話超時重新鑒別的時間段，檢查在設定的時間段內沒有任何操作的情

況下，接入網關是否鎖定或者終止會話，用戶再次激活會話是否需要重新鑒定；

3)接設定會話鑒定失敗最大閾值，重復嘗試失敗會話，檢查接入網關是否具備

階段性鎖定功能。

b)預期結果：

1)接入網關具備檢查會話超時機制，會話超時后需重新鑒定；

2)在設定會話超時重新鑒別的時間段沒有任何操作的情況下，會話被鎖定或終

止會話，用戶需要再次身份鑒別才能夠重新管理和使用系統；

3)嘗試多次失敗會話鑒別，接入網關會對用戶IP地址等標識信息鎖定；

4)嘗試多次失敗會話鑒別，接入網關會對用戶IP地址等標識信息鎖定。

訪問控制

智能門鎖接入網關訪問控制的測試方法和預期結果如下：

a)檢測方法：

1)配置啟動接入網關訪問控制表，檢查是否支持基于IP地址及端口、用戶/用戶

組、讀/寫等操作、有效時間周期、重要性標記等的兩種及以上構成的組合；

2)在相同網絡內部是否可以訪問；

3)在不同網絡之間進行跨網訪問；

4)制定白名單，查看限定用戶是否可以訪問成功。

b)預期結果：

1)接入網關支持訪問控制表等訪問控制策略，支持基于IP地址及端口、用戶/用

戶組、讀/寫等操作、有效時間周期、重要性標記等的兩種及以上構成的組合；

2)在相同網絡內部，僅能控制范圍內的訪問可以訪問成功；

3)在不同網絡，僅能控制范圍內的訪問可以訪問成功；

4)僅在白名單定義的用戶可以接入網關進行訪問。

通信安全

傳輸可靠性測試

傳輸可靠性的測試方法、預期結果參照。

傳輸保密性測試

21

傳輸保密性的測試方法、預期結果參照的1)-3)。