物聯(lián)網(wǎng)中該如何使用區(qū)塊鏈技術(shù)？

　　物聯(lián)網(wǎng)(IoT ,Internet of Thing)已與主要網(wǎng)絡(luò)攻擊產(chǎn)生關(guān)聯(lián)，通常涉及濫用易受攻擊的連網(wǎng)裝置 (例如監(jiān)視攝影機(jī))，以協(xié)助進(jìn)行惡意活動(dòng)。當(dāng)然，各界已對(duì)物聯(lián)網(wǎng)是否能確保聯(lián)機(jī)至龐大互聯(lián)網(wǎng)的數(shù)十億部裝置的安全感到疑慮，并要求提供可行的解決方案以填補(bǔ)此安全缺口。此時(shí)登場(chǎng)的是區(qū)塊鏈，它是相對(duì)較新的技術(shù)，可降低透過中央機(jī)構(gòu)入侵物聯(lián)網(wǎng)裝置的風(fēng)險(xiǎn)，同時(shí)提升物聯(lián)網(wǎng)實(shí)作的擴(kuò)充性。原則上，它可透過多種方式保護(hù)物聯(lián)網(wǎng)網(wǎng)絡(luò)，例如針對(duì)異常網(wǎng)絡(luò)行為形成群體共識(shí)，以及隔離未依規(guī)定運(yùn)作的任何節(jié)點(diǎn)。

　　兩個(gè)關(guān)鍵促成要素合二為一：當(dāng)物聯(lián)網(wǎng)遇上區(qū)塊鏈

　　在數(shù)十年之間，物聯(lián)網(wǎng)已大幅擴(kuò)展并連接各種裝置與網(wǎng)絡(luò)，包括住家、工作場(chǎng)所、運(yùn)輸系統(tǒng)，甚至整座城市。另一方面，已問世十年的區(qū)塊鏈將透過其加密及分布式分類賬 (以建立可防止竄改的實(shí)時(shí)記錄)，為商業(yè)模式帶來革命。透過物聯(lián)網(wǎng)與區(qū)塊鏈的協(xié)同運(yùn)作，預(yù)期后者可為前者的裝置與程序提供可驗(yàn)證且安全的記錄方式。

　　區(qū)塊鏈以分布式分類賬運(yùn)作，將會(huì)記錄數(shù)據(jù)的每個(gè)刪除或修改動(dòng)作，隨著更多數(shù)據(jù) (區(qū)塊) 的加入，將建立更長(zhǎng)的事件鏈。進(jìn)行的每筆交易皆附帶數(shù)字簽名，而且永遠(yuǎn)無法變更或刪除。由于區(qū)塊鏈去中心化的特性，理論上可防止易受攻擊的裝置推送假信息及破壞網(wǎng)絡(luò)環(huán)境，無論是智能家居或智能工廠。

　　在一件最近發(fā)生且值得注意的物聯(lián)網(wǎng)安全事件中，區(qū)塊鏈可降低分布式阻斷服務(wù) (DDoS) 攻擊的風(fēng)險(xiǎn)，這些攻擊會(huì)同時(shí)影響多臺(tái)裝置：一臺(tái)裝置中斷不應(yīng)影響其他裝置。我們?cè)诒Ｗo(hù)智慧城市安全中注意到這個(gè)問題，此種權(quán)宜措施對(duì)于維持服務(wù)中的聯(lián)機(jī)與功能而言非常重要，特別是關(guān)鍵系統(tǒng)。

　　使用區(qū)塊鏈，每個(gè)裝置都將具備強(qiáng)大的加密功能，進(jìn)一步確保與其他裝置通訊的安全，并可在最重視隱私的物聯(lián)網(wǎng)使用案例中提供匿名性。采用者將可更妥善地追蹤裝置及發(fā)布安全更新，協(xié)助強(qiáng)化潛在易受攻擊的裝置。

　　區(qū)塊鏈：安全與 IOT(物聯(lián)網(wǎng))之間的必要環(huán)節(jié)?

　　圖 1：物聯(lián)網(wǎng)中的區(qū)塊鏈：潛在利益

　　區(qū)塊鏈與物聯(lián)網(wǎng)的結(jié)合預(yù)期也能解決監(jiān)管問題。例如，企業(yè)中由多個(gè)來源進(jìn)行的交易，可透過不變且透明的記錄進(jìn)行管理，在整體供應(yīng)鏈中追蹤數(shù)據(jù)與實(shí)體商品。萬一發(fā)生錯(cuò)誤決策或系統(tǒng)過載，區(qū)塊鏈記錄應(yīng)能識(shí)別出問題點(diǎn) (例如裝置或傳感器)，企業(yè)就能立即采取行動(dòng)。區(qū)塊鏈亦有助于降低營(yíng)運(yùn)成本，因?yàn)樗鼰o需中介或中間人。

　　物聯(lián)網(wǎng)的區(qū)塊鏈實(shí)作與使用案例

　　區(qū)塊鏈不僅是做為加密貨幣 (最值得注意的是比特幣) 基礎(chǔ)的分布式分類賬。事實(shí)上，它已用于不同產(chǎn)業(yè)，包括零售業(yè)，以簡(jiǎn)化及確保產(chǎn)品在供應(yīng)鏈中移動(dòng)的安全性，而在制藥業(yè)則用于確保合約、臨床試驗(yàn)及藥物本身的完整性。借助將區(qū)塊鏈整合至上述及其他產(chǎn)業(yè)，即可密切監(jiān)控產(chǎn)品與服務(wù)的質(zhì)量水平。

　　在物聯(lián)網(wǎng)領(lǐng)域中，區(qū)塊鏈也越來越受到歡迎。有家公司已開始提供用于工業(yè)物聯(lián)網(wǎng) (IIoT) 的區(qū)塊鏈保護(hù)安全平臺(tái)。此解決方案被譽(yù)為第一且唯一的解決方案，其目標(biāo)是讓更多參與者來控制共識(shí)，并提高系統(tǒng)的備援能力，以解決物聯(lián)網(wǎng)廣大的攻擊面。以區(qū)塊鏈為焦點(diǎn)的研究中心也已成型，以促進(jìn)此技術(shù)的發(fā)展與商業(yè)化，以及革新物聯(lián)網(wǎng)生態(tài)系統(tǒng)的能力。

　　將區(qū)塊鏈整合至物聯(lián)網(wǎng)的挑戰(zhàn)

　　物聯(lián)網(wǎng)中的區(qū)塊鏈確實(shí)正在快速發(fā)展，但并非沒有障礙。首先，區(qū)塊鏈的關(guān)鍵概念是一系列已完成的交易，以及它們形成鏈的方式。此鏈?zhǔn)潜Ａ暨^去交易的參考數(shù)據(jù)而建立的，然后形成區(qū)塊。但是，建立區(qū)塊需要大量運(yùn)算，需要多個(gè)處理器與大量時(shí)間才能產(chǎn)生。由于要產(chǎn)生一個(gè)區(qū)塊是很困難的，要竄改它也同樣困難：竄改者必須竄改前一個(gè)區(qū)塊，并遵循已建立的鏈，才能徹底變更它。

　　這種機(jī)制似乎是保護(hù)物聯(lián)網(wǎng)安全的理想選擇。但是，必須注意的是物聯(lián)網(wǎng)裝置的運(yùn)算能力相對(duì)不足，而底層區(qū)塊鏈通訊協(xié)議將帶來開銷流量，并產(chǎn)生可能帶來延遲的區(qū)塊。上述情況對(duì)于資源有限且?guī)捠芟薜难b置，以及需要實(shí)時(shí)更新或快速響應(yīng)的運(yùn)作而言，都不是一個(gè)好兆頭。

　　在安全風(fēng)險(xiǎn)方面，研究人員已將與可存取性、匿名性以及身分驗(yàn)證與訪問控制相關(guān)的威脅進(jìn)行分類。惡意行為者可能會(huì)透過阻斷服務(wù) (DoS) 攻擊和云端儲(chǔ)存入侵等手段，導(dǎo)致用戶無法存取數(shù)據(jù)或服務(wù)，對(duì)可存取性造成威脅。此外，他們也能搜尋用戶的匿名交易與其他公開信息之間的鏈接，嘗試識(shí)別特定的使用者。他們也會(huì)嘗試以合法用戶身分來獲取數(shù)據(jù)，但系統(tǒng)可以偵測(cè)到身分驗(yàn)證與訪問控制的威脅，因?yàn)樗薪灰锥紩?huì)由區(qū)塊鏈中的用戶記錄及驗(yàn)證。

　　另外，我們?cè)诮衲甑陌踩A(yù)測(cè)中，預(yù)測(cè)區(qū)塊鏈將被威脅行動(dòng)者用來擴(kuò)展其逃逸技術(shù)。推測(cè)物聯(lián)網(wǎng)傳感器與裝置可能會(huì)因?yàn)橄騾^(qū)塊鏈傳送錯(cuò)誤信息而受到威脅，也不無可能。透過此技術(shù)，如果一筆數(shù)據(jù)通過認(rèn)證，就會(huì)被記錄在區(qū)塊鏈中。因此，采用者需確保傳感器與裝置在遭到入侵時(shí)，做好覆蓋的準(zhǔn)備，并且僅將訪問權(quán)限授予負(fù)責(zé)控制的使用者。

　　安全建議

　　在正常運(yùn)行時(shí)，區(qū)塊鏈可借助降低成本與提高效率，為物聯(lián)網(wǎng)系統(tǒng)帶來極大好處。即使如此，此技術(shù)在物聯(lián)網(wǎng)環(huán)境中的滲透程度距離最佳狀態(tài)仍有一段不小的距離。例如，預(yù)期至 2020 年，最多只有 10% 的生產(chǎn)區(qū)塊鏈分類賬會(huì)整合至物聯(lián)網(wǎng)傳感器。而且，在大多數(shù)物聯(lián)網(wǎng)系統(tǒng)的運(yùn)算能力足以應(yīng)付龐大的區(qū)塊鏈實(shí)作之前，還有很長(zhǎng)的路要走。

　　雖然尚未實(shí)現(xiàn)消除單點(diǎn)故障，但保護(hù)物聯(lián)網(wǎng)安全的重點(diǎn)仍在于所有連網(wǎng)裝置持續(xù)進(jìn)行安全部署。除了及時(shí)更新軟件以防止停機(jī)之外，采用物聯(lián)網(wǎng)的個(gè)人與組織皆應(yīng)關(guān)注的是完整的多層次安全防護(hù)，從網(wǎng)關(guān)到端點(diǎn)，皆能防止任何潛在的網(wǎng)絡(luò)入侵與破壞。這需要：

　　變更預(yù)設(shè)的憑證。原廠預(yù)設(shè)憑證導(dǎo)致物聯(lián)網(wǎng)惡名昭彰地成為殭尸網(wǎng)絡(luò)并入侵連網(wǎng)裝置。因此，建議用戶啟用密碼保護(hù)，并使用唯一且復(fù)雜的密碼，以降低裝置遭駭?shù)娘L(fēng)險(xiǎn)。

　　強(qiáng)化路由器安全性。易受攻擊的路由器導(dǎo)致易受攻擊的網(wǎng)絡(luò)。透過完整的安全解決方案保護(hù)路由器安全，可讓用戶掌握所有連網(wǎng)裝置，同時(shí)維持隱私與生產(chǎn)力。

　　設(shè)定裝置以確保安全。裝置的默認(rèn)設(shè)定應(yīng)加以檢查，并依照使用者的需求進(jìn)行修改。建議自定義功能并停用不必要的功能，以提高安全性。

　　監(jiān)控網(wǎng)絡(luò)流量。積極掃描網(wǎng)絡(luò)中的異常行為，協(xié)助使用者防范任何惡意企圖。透過安全解決方案提供的實(shí)時(shí)掃描，亦可實(shí)施自動(dòng)且高效率的惡意軟件偵測(cè)。

　　實(shí)作附加安全措施。建議使用者啟用防火墻并使用 Wi-Fi Protected Access II (WPA2) 安全通訊協(xié)議以增加保護(hù)。采用網(wǎng)頁信譽(yù)評(píng)等與應(yīng)用程控的解決方案，亦可為網(wǎng)絡(luò)提供更好的可見度。