前不久,工业互联网安全应急响应中心发布《智能门锁安全分析报告》,紧接着,全国智能建筑及居住区数字化标准化技术委员会开展的《建筑及居住区数字化技术应用智能门锁安全》已完成编制工作。标准规定了智能门锁的系统架构、智能门锁终端安全、智能钥匙安全、云服务平台安全、客户端安全、通用安全、安全等级方法等。
与TEE有没有关系,这是安智客最关心的!
在数据安全10.3章节中用户数据存储安全要求:
对于类2数据,应采取有效的安全措施确保其存储的保密性和完整性如加密存储等;宜结合智能门锁设备或者移动终端中的可信环境如 SE 或者 TEE 进行安全保护;
解读一下,这里面有几个意思:
1,明确了用户数据范围:
用户数据的实体包括门锁设备、云服务平台以及客户端。用户数据安全要求涉及用户数据的生成、存储、传输、使用、备份以及销毁等环节。
也就是说锁端设备主要会要求用到安全芯片或者SE,手机中客户端需要用到TEE。2,标准对用户数据进行了分级:
这个类2数据是指:与用户隐私相关的用户数据,如用户注册数据、家庭成员出入记录等;
具体说来,不管能否远程开锁,类2数据基本上可以在手机上查看的用户隐私数据,这部分数据存在于用户手机中,也是最薄弱的部分,所以明确了需要对其完整性和保密性进行保护,建议采用TEE或者SE。
3,智能锁安全也是分级的。
根据安全保护强弱,将智能门锁的安全能力分为三个等级,由弱到强分别是一级、二级、三级。
对于数据安全中用户数据的保护从一级到三级要求都是一样的。这样就间接说明不管什么级别的智能门锁,对于数据安全要求一样,其中手机客户端端对于数据存储安全都需要用TEE或者SE来进行安全保护。
最好的消息是基本上手机端TEE都已经普及了,所以标准有了实施的基础,最坏的消息是面对不同的TEE厂商,锁厂怎么办?
这个标准哪里下载?
http://www.ibrc426.com/newsitem/278234816
声明:本文来自安智客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。