物联网（IOT）产品检测认证

1. 标准核心定位

EN 18031是欧盟针对无线电设备（RED指令）的强制性网络安全标准，2025年8月1日起强制执行。其三大子标准分工明确：

· EN 18031-1：聚焦联网防护（如防DDoS、加密通信），适用于连接互联网的设备。

· EN 18031-2：专注个人数据保护（如生物特征、开锁记录），适用于存储或处理隐私数据的设备。

· EN 18031-3：规范金融交易安全（如支付验证），仅适用于支付类设备（门锁通常不涉及）。

2. 智能门锁分类的底层逻辑

是否需认证？关键看两点：

①是否属于无线电设备（含无线通信模块）；

②是否涉及联网或隐私数据处理。

注：有线设备、无通信模块的纯机械电子锁不属于RED指令范围，无需EN 18031认证。

· 特点：仅本地密码/指纹/人脸开锁，无蓝牙、WiFi等无线模块。

· 认证结论：

 无需任何EN 18031认证（非无线电设备）。

 但需注意：若存储指纹等生物数据，建议参考EN 18031-2的加密要求（如AES-256）以提升安全性。

2.1 手机APP控制型

· 特点：通过手机蓝牙连接，APP含用户账户、开锁记录等数据。

· 认证结论：

 需同时通过EN 18031-1和-2。

原因：APP作为门锁功能延伸，涉及联网（数据传输）和隐私处理（账户/生物数据）。

测试重点：蓝牙通信加密（TLS 1.3）、APP权限控制、生物数据本地存储。

2.2 蓝牙遥控器型（如公司前台锁）

· 特点：仅通过独立遥控器开锁，无APP、无联网。

· 认证结论：

 无需EN 18031-1（未连接互联网）；

 需通过EN 18031-2（若支持指纹/人脸开锁，涉及隐私数据存储）。

· 特点：支持远程控制、临时密码分发、视频监控等联网功能，且存储用户生物数据。

· 认证结论：

强制同时通过EN 18031-1和-2。

· 高风险项：

· 通信安全（防中间人攻击、TLS 1.3加密）；

· 数据存储（生物特征禁止上传云端，需本地加密）；

· 固件更新（90天内修复漏洞）。

· 特点：通过网线接入局域网/互联网，无无线模块。

· 认证结论：

 无需EN 18031认证（非无线电设备，超出RED指令范围）。

 安全建议：虽无强制认证，但需按同等标准防护（如防暴力破解、加密存储），避免成黑客跳板。

· 特点：依赖Zigbee网关联网，锁体与网关可分离销售。

· 认证结论：

· 理想情况：锁与网关作为整体系统认证，需通过EN 18031-1（联网）和-2（隐私数据）。

· 分拆认证风险：

若仅锁体送检：需搭配网关测试，但报告仅体现锁体（隐含合规风险）；

 强烈建议：网关与锁体联合认证，避免因网关漏洞导致锁体被攻破。

· 未认证产品的真实危害

· 法律风险：2025年8月后未认证产品禁入欧盟，已售设备可能召回+年营收4%罚款；

· 安全危机：97%市售门锁存高危漏洞，黑客3秒破解电磁防护缺失产品。

1. 精准分类，避免过度认证

· 普通锁/有线锁：无需EN 18031，但需加固本地安全；

· 蓝牙遥控锁：仅需EN 18031-2；其他联网锁：EN 18031-1/-2双认证。

2. Zigbee系统的合规策略

· 联合认证：锁体与网关作为整体测试，降低系统风险；

· 供应链管理：要求网关供应商提供预认证报告。

3. 技术整改优先级

· 高危项：禁用远程开锁（除非通过NB认证）、部署动态密码；

· 成本优化：采用预认证安全芯片（如NXP SE050），减少30%测试项。

GTG特别提示：2025年8月强制实施仅剩1个月，建议立即启动漏洞扫描与文档预审！

EN 18031不仅是欧盟市场的“通行证”，更是智能门锁安全基因的重构契机。GTG建议厂商：以通信模块为锚点厘清认证范围，用金融级安防标准（如本地加密、防回滚机制）赋能普通门锁，方能在全球合规浪潮中抢占先机。