智能门锁安全国家标准与TEE

前不久，工业互联网安全应急响应中心发布《智能门锁安全分析报告》，详细报告：https://www.ics-cert.org.cn/portal/page/132/4a05060c1708467fae321533f76452af.html

紧接着，全国智能建筑及居住区数字化标准化技术委员会开展的《建筑及居住区数字化技术应用智能门锁安全》已完成编制工作。标准规定了智能门锁的系统架构、智能门锁终端安全、智能钥匙安全、云服务平台安全、客户端安全、通用安全、安全等级方法等。

与TEE有没有关系，这是安智客最关心的！

在数据安全10.3章节中用户数据存储安全要求：

对于类2数据，应采取有效的安全措施确保其存储的保密性和完整性如加密存储等；宜结合智能门锁设备或者移动终端中的可信环境如 SE 或者 TEE 进行安全保护；

解读一下，这里面有几个意思：

1，明确了用户数据范围：

用户数据的实体包括门锁设备、云服务平台以及客户端。用户数据安全要求涉及用户数据的生成、存储、传输、使用、备份以及销毁等环节。

也就是说锁端设备主要会要求用到安全芯片或者SE，手机中客户端需要用到TEE。

2，标准对用户数据进行了分级：

这个类2数据是指：与用户隐私相关的用户数据，如用户注册数据、家庭成员出入记录等；

具体说来，不管能否远程开锁，类2数据基本上可以在手机上查看的用户隐私数据，这部分数据存在于用户手机中，也是最薄弱的部分，所以明确了需要对其完整性和保密性进行保护，建议采用TEE或者SE。

3，智能锁安全也是分级的。

根据安全保护强弱，将智能门锁的安全能力分为三个等级，由弱到强分别是一级、二级、三级。

对于数据安全中用户数据的保护从一级到三级要求都是一样的。这样就间接说明不管什么级别的智能门锁，对于数据安全要求一样，其中手机客户端端对于数据存储安全都需要用TEE或者SE来进行安全保护。

最好的消息是基本上手机端TEE都已经普及了，所以标准有了实施的基础，最坏的消息是面对不同的TEE厂商，锁厂怎么办？

这个标准哪里下载？

http://www.ibrc426.com/newsitem/278234816