ICS35.030 CCSL80 中华人民共和国国家标准 GB/T44602—2024 网络安全技术 智能门锁网络安全技术规范 Cybersecuritytechnology—Cybersecuritytechnicalspecificationforsmartlockproducts 2024-09-29发布 2025-04-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 概述 2 ……………………………………………………………………………………………………… 6 智能门锁安全技术要求 3 ………………………………………………………………………………… 6.1 智能门锁终端安全技术要求 3 ……………………………………………………………………… 6.2 智能门锁接入网关安全技术要求 6 ………………………………………………………………… 6.3 智能门锁管理平台安全技术要求 7 ………………………………………………………………… 6.4 智能门锁控制端安全技术要求 10 …………………………………………………………………… 6.5 安全保障要求 12 ……………………………………………………………………………………… 7 智能门锁安全测评方法 14 ………………………………………………………………………………… 7.1 智能门锁终端安全测评方法 14 ……………………………………………………………………… 7.2 智能门锁接入网关安全测评方法 20 ………………………………………………………………… 7.3 智能门锁管理平台安全测评方法 23 ………………………………………………………………… 7.4 智能门锁控制端安全测评方法 27 …………………………………………………………………… 7.5 安全保障测评方法 32 ………………………………………………………………………………… 8 安全等级划分 36 …………………………………………………………………………………………… 附录A(资料性) 智能门锁常见安全风险分析 37 ………………………………………………………… 附录B(规范性) 智能门锁基本级和增强级安全技术要求和测评方法最小集合 39 …………………… 参考文献 42 …………………………………………………………………………………………………… ⅠGB/T44602—2024 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:公安部第三研究所、中国网络安全审查认证和市场监管大数据中心、国家计算机 网络与信息安全管理中心、青岛海尔智能家电科技有限公司、中国科学院软件研究所、杭州萤石软件有 限公司、浙江大华技术股份有限公司、中山市锁业协会、中国移动通信集团有限公司、中国电信集团有限 公司、国家信息中心、电信科学技术第一研究所有限公司、阿里巴巴(北京)软件服务有限公司、深圳市凯 迪仕智能科技股份有限公司、浙江德施曼科技智能股份有限公司、上海嘉韦思信息技术有限公司、鹿客 科技(北京)股份有限公司、烁博信息科技(上海)有限公司、浙江智贝信息科技有限公司、上海物盾信息 科技有限公司、翼盾(上海)智能科技有限公司、移康智能科技(上海)股份有限公司、东屋世安物联科技 (江苏)股份有限公司、中国科学院信息工程研究所、华为终端有限公司、中移(杭州)信息技术有限公司、 青岛国创智能家电研究院有限公司、宁波市镇海神舟锁业有限公司、国网浙江省电力有限公司电力科学 研究院、内蒙古数字经济安全科技有限公司、杭州安恒信息技术股份有限公司、北京梆梆安全科技有限 公司、北京智游网安科技有限公司、上海思敦信息科技有限公司、广东樱花智能科技有限公司、中山市杨 格锁业有限公司、中山市名光智能科技有限公司。 本文件主要起草人:刘继顺、陆臻、沈亮、张艳、李海鹏、孙永清、胡津铭、张智强、申永波、何清林、 李莉、杨晨、晏敏、李伟、于晓杰、冯秀英、江为强、王雷、汪来富、陈月华、高金君、方强、苏祺云、董启广、 舒首衡、向阳、李志伟、周正达、徐梦宇、朱易翔、朱鹏程、闵浩、李凤华、陈志远、路晓明、王凯、吴其良、 孙歆、蔡宇渊、周亚超、卢佐华、程智力、曾松峰、王海强、周理新、金泽。 ⅢGB/T44602—2024 网络安全技术 智能门锁网络安全技术规范 1 范围 本文件给出了智能门锁的组成结构,规定了智能门锁终端、接入网关、管理平台、控制端的网络安全 技术要求以及安全等级划分,描述了相应的测评方法。 本文件适用于智能门锁的网络安全设计、开发、测试和评价。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T18336.1—2024 网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型 GB/T18336.3—2024 网络安全技术 信息技术安全评估准则 第3部分:安全保障组件 GB/T25069 信息安全技术 术语 GB/T33745—2017 物联网 术语 GB/T35273—2020 信息安全技术 个人信息安全规范 GB/T37076—2018 信息安全技术 指纹识别系统技术要求 GB/T38671—2020 信息安全技术 远程人脸识别系统技术要求 3 术语和定义 GB/T18336.1—2024、GB/T18336.3—2024、GB/T25069、GB/T33745—2017、GB/T35273— 2020界定的以及下列术语和定义适用于本文件。 3.1 智能门锁 smartlock 以生物特征、电子标签、无线遥控编码、电子口令或远程控制指令等作为鉴别凭证控制门锁开启或 关闭,由门锁终端、接入网关、管理平台以及控制端等部分组成的门锁系统。 3.2 相互鉴别 mutualauthentication 实体双方均向对方提供身份保证信息的实体鉴别机制。 [来源:GB/T15843.1—2017,3.18]。 3.3 IC卡 ICcard 内部嵌入了集成电路芯片的卡片。 注:其中CPU卡是含有中央处理器(CPU)的IC卡。 3.4 敏感信息 sensitiveinformation 一旦泄漏、修改、破坏或丢失可能会对用户产生严重影响或损害的信息。 注:敏感信息包含但不限于数字键盘口令、蓝牙密钥、用户个人识别码(PIN)、用户标识、智能卡鉴权数据、用户生物 特征信息、设备根密钥等信息。 1GB/T44602—2024 3.5 虚位口令 virtualpassword 在正确的口令前面和后面加上任意位数的字符的口令。 3.6 呈现攻击 presentingattacks 攻击者试图通过展示某种形式的伪装或替代样本来欺骗生物识别模块,以绕过身份鉴别机制的攻 击行为。 [来源:GB/T41815.1—2022,3.5,有修改]。 4 缩略语 下列缩略语适用于本文件。 AI:人工智能(ArtificialIntelligence) APP:应用软件(ApplicationSoftware) CPU:中央处理器(CentralProcessingUnit) IC:集成电路(IntegratedCircuit) SQL:结构化查询语言(StructuredQueryLanguage) 3D:三维(ThreeDimesnsions) 5 概述 智能门锁是一种物联网应用系统,用以实现门锁的用户识别、远程控制以及系统管理,主要包括智能 门锁终端、智能门锁接入网关、智能门锁管理平台和智能门锁控制端等组成部分,其系统组成如图1所示。 图1 智能门锁系统组成参考示意图 2GB/T44602—2024