物联网(IoT ,Internet of Thing)已与主要网络攻击产生关联,通常涉及滥用易受攻击的连网装置 (例如监视摄影机),以协助进行恶意活动。当然,各界已对物联网是否能确保联机至庞大互联网的数十亿部装置的安全感到疑虑,并要求提供可行的解决方案以填补此安全缺口。此时登场的是区块链,它是相对较新的技术,可降低透过中央机构入侵物联网装置的风险,同时提升物联网实作的扩充性。原则上,它可透过多种方式保护物联网网络,例如针对异常网络行为形成群体共识,以及隔离未依规定运作的任何节点。
两个关键促成要素合二为一:当物联网遇上区块链
在数十年之间,物联网已大幅扩展并连接各种装置与网络,包括住家、工作场所、运输系统,甚至整座城市。另一方面,已问世十年的区块链将透过其加密及分布式分类账 (以建立可防止窜改的实时记录),为商业模式带来革命。透过物联网与区块链的协同运作,预期后者可为前者的装置与程序提供可验证且安全的记录方式。
区块链以分布式分类账运作,将会记录数据的每个删除或修改动作,随着更多数据 (区块) 的加入,将建立更长的事件链。进行的每笔交易皆附带数字签名,而且永远无法变更或删除。由于区块链去中心化的特性,理论上可防止易受攻击的装置推送假信息及破坏网络环境,无论是智能家居或智能工厂。
在一件最近发生且值得注意的物联网安全事件中,区块链可降低分布式阻断服务 (DDoS) 攻击的风险,这些攻击会同时影响多台装置:一台装置中断不应影响其他装置。我们在保护智慧城市安全中注意到这个问题,此种权宜措施对于维持服务中的联机与功能而言非常重要,特别是关键系统。
使用区块链,每个装置都将具备强大的加密功能,进一步确保与其他装置通讯的安全,并可在最重视隐私的物联网使用案例中提供匿名性。采用者将可更妥善地追踪装置及发布安全更新,协助强化潜在易受攻击的装置。
区块链:安全与 IOT(物联网)之间的必要环节?
图 1:物联网中的区块链:潜在利益
区块链与物联网的结合预期也能解决监管问题。例如,企业中由多个来源进行的交易,可透过不变且透明的记录进行管理,在整体供应链中追踪数据与实体商品。万一发生错误决策或系统过载,区块链记录应能识别出问题点 (例如装置或传感器),企业就能立即采取行动。区块链亦有助于降低营运成本,因为它无需中介或中间人。
物联网的区块链实作与使用案例
区块链不仅是做为加密货币 (最值得注意的是比特币) 基础的分布式分类账。事实上,它已用于不同产业,包括零售业,以简化及确保产品在供应链中移动的安全性,而在制药业则用于确保合约、临床试验及药物本身的完整性。借助将区块链整合至上述及其他产业,即可密切监控产品与服务的质量水平。
在物联网领域中,区块链也越来越受到欢迎。有家公司已开始提供用于工业物联网 (IIoT) 的区块链保护安全平台。此解决方案被誉为第一且唯一的解决方案,其目标是让更多参与者来控制共识,并提高系统的备援能力,以解决物联网广大的攻击面。以区块链为焦点的研究中心也已成型,以促进此技术的发展与商业化,以及革新物联网生态系统的能力。
将区块链整合至物联网的挑战
物联网中的区块链确实正在快速发展,但并非没有障碍。首先,区块链的关键概念是一系列已完成的交易,以及它们形成链的方式。此链是保留过去交易的参考数据而建立的,然后形成区块。但是,建立区块需要大量运算,需要多个处理器与大量时间才能产生。由于要产生一个区块是很困难的,要窜改它也同样困难:窜改者必须窜改前一个区块,并遵循已建立的链,才能彻底变更它。
这种机制似乎是保护物联网安全的理想选择。但是,必须注意的是物联网装置的运算能力相对不足,而底层区块链通讯协议将带来开销流量,并产生可能带来延迟的区块。上述情况对于资源有限且带宽受限的装置,以及需要实时更新或快速响应的运作而言,都不是一个好兆头。
在安全风险方面,研究人员已将与可存取性、匿名性以及身分验证与访问控制相关的威胁进行分类。恶意行为者可能会透过阻断服务 (DoS) 攻击和云端储存入侵等手段,导致用户无法存取数据或服务,对可存取性造成威胁。此外,他们也能搜寻用户的匿名交易与其他公开信息之间的链接,尝试识别特定的使用者。他们也会尝试以合法用户身分来获取数据,但系统可以侦测到身分验证与访问控制的威胁,因为所有交易都会由区块链中的用户记录及验证。
另外,我们在今年的安全预测中,预测区块链将被威胁行动者用来扩展其逃逸技术。推测物联网传感器与装置可能会因为向区块链传送错误信息而受到威胁,也不无可能。透过此技术,如果一笔数据通过认证,就会被记录在区块链中。因此,采用者需确保传感器与装置在遭到入侵时,做好覆盖的准备,并且仅将访问权限授予负责控制的使用者。
安全建议
在正常运行时,区块链可借助降低成本与提高效率,为物联网系统带来极大好处。即使如此,此技术在物联网环境中的渗透程度距离最佳状态仍有一段不小的距离。例如,预期至 2020 年,最多只有 10% 的生产区块链分类账会整合至物联网传感器。而且,在大多数物联网系统的运算能力足以应付庞大的区块链实作之前,还有很长的路要走。
虽然尚未实现消除单点故障,但保护物联网安全的重点仍在于所有连网装置持续进行安全部署。除了及时更新软件以防止停机之外,采用物联网的个人与组织皆应关注的是完整的多层次安全防护,从网关到端点,皆能防止任何潜在的网络入侵与破坏。这需要:
变更预设的凭证。原厂预设凭证导致物联网恶名昭彰地成为殭尸网络并入侵连网装置。因此,建议用户启用密码保护,并使用唯一且复杂的密码,以降低装置遭骇的风险。
(1)强化路由器安全性。易受攻击的路由器导致易受攻击的网络。透过完整的安全解决方案保护路由器安全,可让用户掌握所有连网装置,同时维持隐私与生产力。
(2)设定装置以确保安全。装置的默认设定应加以检查,并依照使用者的需求进行修改。建议自定义功能并停用不必要的功能,以提高安全性。
(3)监控网络流量。积极扫描网络中的异常行为,协助使用者防范任何恶意企图。透过安全解决方案提供的实时扫描,亦可实施自动且高效率的恶意软件侦测。
(4)实作附加安全措施。建议使用者启用防火墙并使用 Wi-Fi Protected Access II (WPA2) 安全通讯协议以增加保护。采用网页信誉评等与应用程控的解决方案,亦可为网络提供更好的可见度。