EN 18031作為歐盟針對無線電設(shè)備的強制性網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，自2025年8月1日起正式生效，成為智能門鎖進(jìn)入歐盟市場的“準(zhǔn)入門檻”。該標(biāo)準(zhǔn)并非單一規(guī)范，而是由三個子標(biāo)準(zhǔn)構(gòu)成嚴(yán)密體系：EN 18031-1聚焦聯(lián)網(wǎng)防護(hù)，針對防DDoS攻擊、加密通信等聯(lián)網(wǎng)安全需求；EN 18031-2專注個人數(shù)據(jù)保護(hù)，涉及生物特征、開鎖記錄等隱私信息的安全處理；EN 18031-3則針對金融交易安全，因智能門鎖通常不涉及支付功能，故較少適用。

判斷一款智能門鎖是否需要認(rèn)證，核心在于兩點：是否屬于包含無線通信模塊的無線電設(shè)備，以及是否涉及聯(lián)網(wǎng)或隱私數(shù)據(jù)處理。值得注意的是，純有線設(shè)備或無任何通信模塊的機(jī)械電子鎖，因不在RED指令覆蓋范圍內(nèi)，無需進(jìn)行EN 18031認(rèn)證。

六類智能門鎖的認(rèn)證要求

類型1：普通鎖（無通信模塊）

這類門鎖僅支持本地密碼、指紋或人臉開鎖，不含藍(lán)牙、WiFi等無線模塊。由于不屬于無線電設(shè)備，無需任何EN 18031認(rèn)證。但需注意，若設(shè)備存儲指紋等生物數(shù)據(jù)，建議參考EN 18031-2中的加密要求（如采用AES-256加密算法），以增強數(shù)據(jù)安全性。

類型2：藍(lán)牙鎖（分兩亞類）

?      手機(jī)APP控制型：通過手機(jī)藍(lán)牙連接，APP包含用戶賬戶、開鎖記錄等數(shù)據(jù)。因APP作為門鎖功能延伸，涉及聯(lián)網(wǎng)數(shù)據(jù)傳輸和隱私信息處理，需同時通過EN 18031-1和-2認(rèn)證。測試重點包括藍(lán)牙通信加密（需符合TLS 1.3標(biāo)準(zhǔn)）、APP權(quán)限控制及生物數(shù)據(jù)本地存儲規(guī)范。

?      藍(lán)牙遙控器型：僅通過獨立遙控器開鎖，無APP且不聯(lián)網(wǎng)。此類設(shè)備無需EN 18031-1認(rèn)證，但如果支持指紋或人臉開鎖（涉及隱私數(shù)據(jù)存儲），則需通過EN 18031-2認(rèn)證。

類型3：WiFi鎖與類型4：4G/5G鎖

這兩類門鎖支持遠(yuǎn)程控制、臨時密碼分發(fā)、視頻監(jiān)控等聯(lián)網(wǎng)功能，且存儲用戶生物數(shù)據(jù)，因此必須同時通過EN 18031-1和-2認(rèn)證。測試中的高風(fēng)險項包括：通信安全（需防范中間人攻擊，采用TLS 1.3加密）、數(shù)據(jù)存儲（生物特征禁止上傳云端，必須本地加密）、固件更新（要求90天內(nèi)修復(fù)已發(fā)現(xiàn)漏洞）。

類型5：有線鎖（網(wǎng)口直連）

通過網(wǎng)線接入局域網(wǎng)或互聯(lián)網(wǎng)，無無線模塊。由于不屬于無線電設(shè)備，超出RED指令范圍，無需EN 18031認(rèn)證。但安全專家建議，即使無強制要求，也應(yīng)按同等安全標(biāo)準(zhǔn)進(jìn)行防護(hù)（如防暴力破解、加密存儲），避免成為黑客攻擊的跳板。

類型6：Zigbee鎖（需網(wǎng)關(guān)配合）

依賴Zigbee網(wǎng)關(guān)實現(xiàn)聯(lián)網(wǎng)功能，鎖體與網(wǎng)關(guān)可分離銷售。理想情況下，鎖與網(wǎng)關(guān)需作為整體系統(tǒng)認(rèn)證，同時通過EN 18031-1（聯(lián)網(wǎng)安全）和-2（隱私數(shù)據(jù)保護(hù)）。若僅對鎖體單獨送檢，需搭配網(wǎng)關(guān)測試，但報告僅體現(xiàn)鎖體合規(guī)性，存在隱含風(fēng)險。因此，強烈建議網(wǎng)關(guān)與鎖體聯(lián)合認(rèn)證，避免因網(wǎng)關(guān)漏洞導(dǎo)致鎖體被攻破。

高危漏洞與認(rèn)證防護(hù)價值

智能門鎖面臨三大安全威脅，而EN 18031標(biāo)準(zhǔn)提供了針對性解決方案：

?      弱密碼暴力破解：61%的用戶習(xí)慣用生日等簡單信息設(shè)密碼，此類密碼4分鐘即可被破解。標(biāo)準(zhǔn)要求強制采用8位以上含大小寫字母和數(shù)字的組合密碼，并設(shè)置5次錯誤嘗試后鎖定機(jī)制。

?      生物數(shù)據(jù)泄露：部分產(chǎn)品將未加密的指紋模板上傳云端，存在被偽造身份的風(fēng)險。標(biāo)準(zhǔn)規(guī)定生物數(shù)據(jù)必須采用AES-256加密存儲，且禁止上傳云端。

?      通信劫持：未加密的藍(lán)牙指令可能被截獲，7.2分鐘即可接管門鎖。標(biāo)準(zhǔn)強制要求采用TLS 1.3加密，有效防范中間人攻擊。

未通過認(rèn)證的產(chǎn)品將面臨雙重風(fēng)險：法律層面，2025年8月后禁入歐盟市場，已售設(shè)備可能被召回并面臨年營收4%的罰款；安全層面，97%的市售未認(rèn)證門鎖存在高危漏洞，部分電磁防護(hù)缺失的產(chǎn)品甚至可被黑客3秒破解。

廠商認(rèn)證實施建議

1.   精準(zhǔn)分類，避免過度認(rèn)證：普通鎖和有線鎖無需EN 18031認(rèn)證，但需加固本地安全；藍(lán)牙遙控鎖僅需EN 18031-2認(rèn)證；其他聯(lián)網(wǎng)鎖則需通過EN 18031-1和-2雙認(rèn)證。

2.   Zigbee系統(tǒng)合規(guī)策略：優(yōu)先選擇鎖體與網(wǎng)關(guān)聯(lián)合認(rèn)證，降低系統(tǒng)風(fēng)險；同時加強供應(yīng)鏈管理，要求網(wǎng)關(guān)供應(yīng)商提供預(yù)認(rèn)證報告。

3.   技術(shù)整改優(yōu)先級：高危項需優(yōu)先處理，如禁用遠(yuǎn)程開鎖（除非通過NB認(rèn)證）、部署動態(tài)密碼；成本優(yōu)化方面，可采用NXP SE050等預(yù)認(rèn)證安全芯片，減少30%的測試項目。

距離2025年8月強制實施僅剩1個月，廠商應(yīng)立即啟動漏洞掃描與文檔預(yù)審，確保產(chǎn)品順利通過認(rèn)證，避免市場準(zhǔn)入受阻。