區(qū)塊鏈：安全與物(wù)聯網之間(jiān)的(de)必¥♣<™要(yào)環節？

物(wù)聯網(IoT ,Internet of Thing)已與主要≈≥δ(yào)網絡攻擊産生(shēng)關聯，通(tōng)常涉≠×®​及濫用(yòng)易受攻擊的(de)連網裝置 (例如(rú§✘♣±)監視(shì)攝影(yǐng)機(jī))，以協助進行(xíng)惡意活≤☆↔動。當然，各界已對(duì)物(wù)聯網是(shì)否能(₽¥néng)确保聯機(jī)至龐大(dà)互聯網的( Ωde)數(shù)十億部裝置的(de)安全感到(dào)疑慮，•≠并要(yào)求提供可(kě)行(xíng)的(de)解決方案以填補✘₽β此安全缺口。此時(shí)登場(chǎng)的(π&de)是(shì)區(qū)塊鏈，它是(shì)相(xiàng)對(​✔↓duì)較新的(de)技(jì)術(shù)，可(kě)降←​低(dī)透過中央機(jī)構入侵物(wù)聯網裝置的(de)風☆©♠(fēng)險，同時(shí)提升物(wù)聯網實作₽ (zuò)的(de)擴充性。原則上(shàng)，它可(kě)透過多(←≤duō)種方式保護物(wù)聯網網絡，例如‍₽(rú)針對(duì)異常網絡行(xíng)為(wèi)形成群&§體(tǐ)共識，以及隔離(lí)未依規定運作®↓λ(zuò)的(de)任何節點。

兩個(gè)關鍵促成要(yào)素合二為(wèi)一(y←♣ī)：當物(wù)聯網遇上(shàng)區(qū)塊鏈

在數(shù)十年(nián)之間(jiān)，物(wù)聯網&¥已大(dà)幅擴展并連接各種裝置與網絡，包括住家↔βδ(jiā)、工(gōng)作(zuò)場(chβφ¶ǎng)所、運輸系統，甚至整座城(chéng)市( ∏¥shì)。另一(yī)方面，已問(wèn)世十₩λ‍↔年(nián)的(de)區(qū)塊鏈将透過其加←δ密及分(fēn)布式分(fēn)類賬 (以建立可♥€(kě)防止竄改的(de)實時(shí)記錄)，為(w¶∞'èi)商業(yè)模式帶來(lái)革命‌✔≠δ。透過物(wù)聯網與區(qū)塊鏈的(de)協同運作(z‍€ε uò)，預期後者可(kě)為(wèi)前者的(​ε'de)裝置與程序提供可(kě)驗證且安全的(dβ↔e)記錄方式。

區(qū)塊鏈以分(fēn)布式分(fēn)類賬運作(zu♣≥ò)，将會(huì)記錄數(shù)據的(de)每個(gè)删除或修改動作₩≠ε(zuò)，随著(zhe)更多(duō)數(¶∏≈★shù)據 (區(qū)塊) 的(de)加入，将建立更長(cháng)的(de>σσ☆)事(shì)件(jiàn)鏈。進行(xíng)的(de)每筆(bǐ≈>αβ)交易皆附帶數(shù)字簽名，而且永遠(yuǎn)無法變更或 ✔删除。由于區(qū)塊鏈去(qù)中心化(huà)的(de)特性，理(l♦£ ǐ)論上(shàng)可(kě)防止易受攻擊的(de)裝置推送假信息及破壞網Ω♠÷λ絡環境，無論是(shì)智能(néng)家(jiā)居或智能(​<♣néng)工(gōng)廠(chǎng)。

在一(yī)件(jiàn)最近(jìn)發生(shēng)且值得(de)注‍ 意的(de)物(wù)聯網安全事(shì)件(jiàn)中，區(qū)塊鏈'γ ÷可(kě)降低(dī)分(fēn)布式阻斷服務 (DDoSπφ) 攻擊的(de)風(fēng)險，這(zhè) ¶γ些(xiē)攻擊會(huì)同時(shí)影(yǐng)響多(↔©duō)台裝置：一(yī)台裝置中斷不(bù)應影(yǐng)響其他(tā)裝✘£置。我們在保護智慧城(chéng)市(shì• )安全中注意到(dào)這(zhè)個(♥↕ ☆gè)問(wèn)題，此種權宜措施對(duì)于維持服務中的(d∑☆→<e)聯機(jī)與功能(néng)而言非常重要(yào)↔§→，特别是(shì)關鍵系統。

使用(yòng)區(qū)塊鏈，每個(gè)裝置都(dōu)将具備強大(dà)©‌₹的(de)加密功能(néng)，進一(yī)步确保與其他(tā♦‌)裝置通(tōng)訊的(de)安全，并≠☆可(kě)在最重視(shì)隐私的(de)物(wù)聯網使用( ≠yòng)案例中提供匿名性。采用(yòng)者将可(kě§♦↑∏)更妥善地(dì)追蹤裝置及發布安全更新，協助強↔≥化(huà)潛在易受攻擊的(de)裝置。

區(qū)塊鏈：安全與 IOT(物(wù)聯網)之間(jiān)≤γγ的(de)必要(yào)環節?

圖 1：物(wù)聯網中的(de)區(qū)"∑¥ε塊鏈：潛在利益

區(qū)塊鏈與物(wù)聯網的(de)結合預期也£₹‌'(yě)能(néng)解決監管問(wèn)題。例如(rú)，企業(yè÷↔)中由多(duō)個(gè)來(lái)源進行(xíng)的(de)交♦$易，可(kě)透過不(bù)變且透明(mí≈↓₽∞ng)的(de)記錄進行(xíng)管理(lǐ)，‍♦Ω在整體(tǐ)供應鏈中追蹤數(shù)據與實體(tǐ)商品。萬一(yī)發←↔生(shēng)錯(cuò)誤決策或系統過載，區(q✘Ω"↑ū)塊鏈記錄應能(néng)識别出問(wèn)題點 ↔↕§(例如(rú)裝置或傳感器(qì))，企業(yèΩπ)就(jiù)能(néng)立即采取行(xíng)動。區(qū)塊鏈亦有Ω∞(yǒu)助于降低(dī)營運成本，因為∞☆(wèi)它無需中介或中間(jiān)人(rén)。

物(wù)聯網的(de)區(qū)塊鏈實作(zuΩ≠ò)與使用(yòng)案例

區(qū)塊鏈不(bù)僅是(shì)做(zuò)為(wèiλ¶₩)加密貨币 (最值得(de)注意的(de)是✔¶♠↔(shì)比特币) 基礎的(de)分(fēn)布式分(fēn)類賬。事σ♣(shì)實上(shàng)，它已用(yòng)于§∑÷不(bù)同産業(yè)，包括零售業(yè)，<β∏以簡化(huà)及确保産品在供應鏈中移動的(de)安全性，而在制♦♣→φ(zhì)藥業(yè)則用(yòng)于确保合約、臨床試驗及藥物(wù​§‍£)本身(shēn)的(de)完整性。借助α"♠•将區(qū)塊鏈整合至上(shàng)述及其他(tā)産業(yè)，即可(k​♥β♣ě)密切監控産品與服務的(de)質量水(shuǐ)平。

在物(wù)聯網領域中，區(qū)塊鏈也(yě)越來(lái)越受到(dà‍&o)歡迎。有(yǒu)家(jiā)公司已開(k₩"āi)始提供用(yòng)于工(gōng)業(yè)物(wù)₹δ☆≥聯網 (IIoT) 的(de)區(qū)塊★λ↕↕鏈保護安全平台。此解決方案被譽為(wèi)第一(yī)且唯一(yī)的(de₹✔)解決方案，其目标是(shì)讓更多(duō)參與者來(¥©lái)控制(zhì)共識，并提高(gāo)系統的(de)備援能(nén↔>g)力，以解決物(wù)聯網廣大(dà)γδ的(de)攻擊面。以區(qū)塊鏈為(wèi)焦點的(de)'™✘‌研究中心也(yě)已成型，以促進此技(jì)術(shù)的$$&↑(de)發展與商業(yè)化(huà)，以及革新物(wù)聯網生(shē¥•ng)态系統的(de)能(néng)力。δ∏

将區(qū)塊鏈整合至物(wù)聯網的(de)挑戰

物(wù)聯網中的(de)區(qū)塊鏈确實正在快(ku♣↔‌ài)速發展，但(dàn)并非沒有(yǒu)障礙©¥。首先，區(qū)塊鏈的(de)關鍵概念是(shì)一(yī)系列已λ¥£完成的(de)交易，以及它們形成鏈的(de∑π→Ω)方式。此鏈是(shì)保留過去(qù)交易的(de)® α參考數(shù)據而建立的(de)，然後形成區(q♣≠♦δū)塊。但(dàn)是(shì)，建立區(qū)塊需要(yà>®o)大(dà)量運算(suàn)，需要(yào)多×∏(duō)個(gè)處理(lǐ)器(qì)★♥與大(dà)量時(shí)間(jiān)才能(néng)産生(Ω≠↔shēng)。由于要(yào)産生(shēng)一÷≠§(yī)個(gè)區(qū)塊是(shì)很(hěn)困難的(de)Ω÷，要(yào)竄改它也(yě)同樣困難：竄改者必須竄改前一(yī)個<±‌→(gè)區(qū)塊，并遵循已建立的(de)鏈，才能(®→$ néng)徹底變更它。

這(zhè)種機(jī)制(zhì)似乎是(shì)保護物(wù ∞)聯網安全的(de)理(lǐ)想選擇。但(dàn)是(shì)，必∏≤Ω須注意的(de)是(shì)物(wù)聯網裝置的(de)運算(suàn)™↔&≤能(néng)力相(xiàng)對(duì)不(b±α ù)足，而底層區(qū)塊鏈通(tōng)訊協議(yì)将帶來(lái÷∑→)開(kāi)銷流量，并産生(shēng)可(kě)能(néng)帶來(l→↑ái)延遲的(de)區(qū)塊。上(shàng)¶₽述情況對(duì)于資源有(yǒu)限且帶寬受限的(de)裝£‍∏"置，以及需要(yào)實時(shí)更新或快(kuài)速響應的(de)♣✔運作(zuò)而言，都(dōu)不(bù)是‌↑(shì)一(yī)個(gè)好(hǎo)兆頭。

在安全風(fēng)險方面，研究人(rén)員(yuán)已将與可(kěβ•←&)存取性、匿名性以及身(shēn)分(fēn)驗證與訪問(wèn)控制(zhì↑↑)相(xiàng)關的(de)威脅進行(xíng)分(fēn)類。惡意行(x ♣✘∏íng)為(wèi)者可(kě)能(néng)會(huì)透過阻ⶶ斷服務 (DoS) 攻擊和(hé)雲端儲存入侵λ₹Ω♣等手段，導緻用(yòng)戶無法存取數(shù)據或服務，對(duì)可€€$(kě)存取性造成威脅。此外(wài)，他(tāλ☆∞")們也(yě)能(néng)搜尋用(yòng)戶的(de)匿名≤↑β交易與其他(tā)公開(kāi)信息之間(jiān)的(de)鏈‍↑€接，嘗試識别特定的(de)使用(yòng)≥←者。他(tā)們也(yě)會(huì)嘗試以合法用(yòng)×↔γ戶身(shēn)分(fēn)來(lái)獲取數(shù)據，但(dàn)系統γ"¶α可(kě)以偵測到(dào)身(shēn)分(fēn↑≥)驗證與訪問(wèn)控制(zhì)的(de)威脅，因為(w♣<èi)所有(yǒu)交易都(dōu)會(huì)由區(qū)$↓塊鏈中的(de)用(yòng)戶記錄及驗證。

另外(wài)，我們在今年(nián)的(de)安全預測§©中，預測區(qū)塊鏈将被威脅行(xíng)動者ε λ用(yòng)來(lái)擴展其逃逸技(jì)術(shù)。推測物(ε ™ wù)聯網傳感器(qì)與裝置可(kě)能(néng)會(huìσ¥)因為(wèi)向區(qū)塊鏈傳送錯(cuò)誤信息₽¥<γ而受到(dào)威脅，也(yě)不(bù)無®‍可(kě)能(néng)。透過此技(jì)術(shù)，如(rú)果一(yī)​σ♠筆(bǐ)數(shù)據通(tōng)過認證，就εβ≥(jiù)會(huì)被記錄在區(qū)塊鏈中。因此，采≈≤∑用(yòng)者需确保傳感器(qì)與裝置在遭到(dào)入侵時(shí)$>ε₩，做(zuò)好(hǎo)覆蓋的(de)準備，并且僅♥‍将訪問(wèn)權限授予負責控制(zhì)的(de)使用(yò♥™ng)者。

安全建議(yì)

在正常運行(xíng)時(shí)，區(qū)塊鏈可(kě♠π ÷)借助降低(dī)成本與提高(gāo)效率，為(wèi)物(wù)聯網系統帶來✘λ(lái)極大(dà)好(hǎo)處。即使如(rú)此，此技(jì)術(‌☆♥shù)在物(wù)聯網環境中的(de)滲透程度距離(lλ™♦πí)最佳狀态仍有(yǒu)一(yī)段不(✔↕bù)小(xiǎo)的(de)距離(lí)。例如(≥₹rú)，預期至 2020 年(nián)，最多(↓£₽duō)隻有(yǒu) 10% 的(de)生(shēng)産區(qū)塊鏈分∞α₹±(fēn)類賬會(huì)整合至物(wù)聯網傳感器(qì)。而且，在大¶♥(dà)多(duō)數(shù)物(wù)聯網系統的(de)運♣>$™算(suàn)能(néng)力足以應付龐大(&£dà)的(de)區(qū)塊鏈實作(zuò)之前，€'™還(hái)有(yǒu)很(hěn)長(cháng)的(de)路(lù)要₽★(yào)走。

雖然尚未實現(xiàn)消除單點故障，但(dàn)保護¶✔物(wù)聯網安全的(de)重點仍在于所有(yǒu)連網裝置持續進行(xíng✘ )安全部署。除了(le)及時(shí)更新軟件(jiàn•ε♠¥)以防止停機(jī)之外(wài)，采用(yòng)€​ ​物(wù)聯網的(de)個(gè)人(rén↑♦)與組織皆應關注的(de)是(shì)完整的₹≠∏(de)多(duō)層次安全防護，從(cóng)網關到(d₹™ào)端點，皆能(néng)防止任何潛在的(de)網絡入侵£→©與破壞。這(zhè)需要(yào)：

變更預設的(de)憑證。原廠(chǎng✘λ)預設憑證導緻物(wù)聯網惡名昭彰地(dì)成為(≤×wèi)殭屍網絡并入侵連網裝置。因此，建議(yì)用(yòng)戶啓用(yòn ∞★ g)密碼保護，并使用(yòng)唯一(yī)且複雜(zá)的(d¶∑•e)密碼，以降低(dī)裝置遭駭的(de)風(fēng)險。

(1)強化(huà)路(lù)由器(qì)安全性。易受攻₽↑☆₽擊的(de)路(lù)由器(qì)導緻易受攻擊的(de)網絡。透過完整÷γ♠的(de)安全解決方案保護路(lù)由器(qì)安 •全，可(kě)讓用(yòng)戶掌握所有±$(yǒu)連網裝置，同時(shí)維持隐私與生(shēng)産力。

(2)設定裝置以确保安全。裝置的(de)默認設定應加以檢查，并依₩α照(zhào)使用(yòng)者的(de)需求進行(x₹ ≠★íng)修改。建議(yì)自(zì)定義功能(néng)并×¥←¶停用(yòng)不(bù)必要(yào)的(de)功能(néng)，以提✔☆高(gāo)安全性。

(3)監控網絡流量。積極掃描網絡中的(de)異常行(xíng)為(wèi) σ☆$，協助使用(yòng)者防範任何惡意企圖。透過安全解決方案提供的(→¥de)實時(shí)掃描，亦可(kě)實施自(zì)動且高(gāo)£§效率的(de)惡意軟件(jiàn)偵測。

(4)實作(zuò)附加安全措施。建議(yì)使用(yòn​♦>←g)者啓用(yòng)防火(huǒ)牆并使用(‌§Ωyòng) Wi-Fi Protected Access II (WPA2< ♣) 安全通(tōng)訊協議(yì)以增加保護。采用(yòng₽β™)網頁信譽評等與應用(yòng)程控的(de)×→↕•解決方案，亦可(kě)為(wèi)網絡提供更好(hǎo)的(de)可(kěβ∞')見(jiàn)度。