這個(gè)世界上現(xiàn)在到處都是物聯(lián)網(wǎng)設(shè)備,而且將來(lái)還會(huì)更多。在2017年,大約有84億臺(tái)接入了互聯(lián)網(wǎng)的智能設(shè)備,比如說(shuō)恒溫器、照相機(jī)、路燈和其他
這個(gè)世界上現(xiàn)在到處都是物聯(lián)網(wǎng)設(shè)備,而且將來(lái)還會(huì)更多。在2017年,大約有84億臺(tái)接入了互聯(lián)網(wǎng)的智能設(shè)備,比如說(shuō)恒溫器、照相機(jī)、路燈和其他電子產(chǎn)品。到2020年,這個(gè)數(shù)字可能會(huì)超過(guò)200億,而到2030年,可能會(huì)上升到500億甚至更多。由于這些設(shè)備會(huì)一直處于在線狀態(tài),所以他們很容易受到網(wǎng)絡(luò)攻擊,而且它們甚至還會(huì)“參與”到網(wǎng)絡(luò)攻擊活動(dòng)中。
現(xiàn)在很多智能設(shè)備都是由類似谷歌、蘋果和三星這樣的巨頭公司制造的,它們不僅技術(shù)實(shí)力雄厚,而且又有市場(chǎng)激勵(lì),可以快速解決任何安全問(wèn)題。但實(shí)際上,現(xiàn)在的物聯(lián)網(wǎng)設(shè)備體積越來(lái)越小,像門鈴和燈泡這樣的東西都開(kāi)始配備數(shù)字“大腦”了,但這些設(shè)備往往由一些發(fā)展中國(guó)家的不知名公司生產(chǎn)的,而這些公司并沒(méi)有足夠的經(jīng)濟(jì)實(shí)力或技術(shù)實(shí)力來(lái)為產(chǎn)品提供強(qiáng)大的安全功能。
不安全的物聯(lián)網(wǎng)設(shè)備已經(jīng)給互聯(lián)網(wǎng)造成了重大的“災(zāi)害”,而作為一個(gè)網(wǎng)絡(luò)安全領(lǐng)域的研究人員,我認(rèn)為也許區(qū)塊鏈技術(shù)和網(wǎng)絡(luò)安全可以成為一對(duì)“絕佳拍檔”。
安全迫在眉睫
現(xiàn)在的大型科技公司都會(huì)努力保護(hù)用戶的安全,但只要他們的服務(wù)系統(tǒng)在這個(gè)復(fù)雜的網(wǎng)絡(luò)世界中運(yùn)行,就總會(huì)有出現(xiàn)安全問(wèn)題的時(shí)候。他們也有自己的研究團(tuán)隊(duì)和安全分析專家,他們也會(huì)努力在問(wèn)題出現(xiàn)之前確定并修復(fù)漏洞。
當(dāng)他們發(fā)現(xiàn)漏洞之后,他們會(huì)立刻針對(duì)漏洞開(kāi)發(fā)更新補(bǔ)丁,并將它們推送給用戶。但是除了需要跟蹤問(wèn)題并制定解決方案的人力資源以外,這還需要公司投入巨大的資金,這涉及到軟件響應(yīng)自動(dòng)化、軟件版本存儲(chǔ)空間以及給數(shù)百萬(wàn)用戶推送修復(fù)補(bǔ)丁的網(wǎng)絡(luò)帶寬資源等等,這也是為什么你手機(jī)和電腦中的軟件能夠時(shí)刻保持最新版本的原因(有的用戶可能會(huì)禁用自動(dòng)更新)。
但需要注意的是,現(xiàn)在有很多攻擊技術(shù)都可以利用硬件和軟件產(chǎn)品的更新機(jī)制來(lái)實(shí)施攻擊,并注入類似后門這樣的惡意軟件。
區(qū)塊鏈技術(shù)
簡(jiǎn)而言之,區(qū)塊鏈就是一種記錄交易數(shù)據(jù)的計(jì)算機(jī)數(shù)據(jù)庫(kù),但這種數(shù)據(jù)庫(kù)存儲(chǔ)在很多不同的地方。從某種意義上來(lái)說(shuō),它就像一種公告欄,任何人都可以在這里張貼交易通知。而每一張“通知”內(nèi)都需要附帶有數(shù)字簽名,并且不能隨意更改或刪除。
當(dāng)然了,我也不是第一個(gè)建議使用區(qū)塊鏈技術(shù)來(lái)提升物聯(lián)網(wǎng)設(shè)備安全性的人了。早在2017年1月份,一個(gè)由美國(guó)網(wǎng)絡(luò)巨頭思科公司、德國(guó)博世工程公司、紐約梅隆銀行、中國(guó)電子制造商富士康、荷蘭網(wǎng)絡(luò)公司Gemolto以及一些區(qū)塊鏈初創(chuàng)企業(yè)就已經(jīng)開(kāi)始研發(fā)這樣的一種基于區(qū)塊鏈技術(shù)的安全保護(hù)系統(tǒng)了。
任何一家設(shè)備制造商都可以利用這種技術(shù)來(lái)改造自己的軟件更新基礎(chǔ)設(shè)施。小型公司可以通過(guò)編程的方式讓他們的產(chǎn)品來(lái)頂起檢測(cè)區(qū)塊鏈系統(tǒng)中是否有可用的軟件更新,而且他們還可以向這個(gè)系統(tǒng)中上傳自己開(kāi)發(fā)的更新。每一臺(tái)設(shè)備都必須擁有健壯的密碼標(biāo)識(shí),以確保制造商可以跟合法設(shè)備通信交互。因此,設(shè)備制造商和他們的客戶就能夠確保自己的產(chǎn)品可以實(shí)時(shí)保持安全和更新了。
這類系統(tǒng)必須要能夠編程進(jìn)一些內(nèi)存空間以及計(jì)算處理能力有限的小型設(shè)備,并且需要使用一定的標(biāo)準(zhǔn)規(guī)范來(lái)與其他設(shè)備交互或驗(yàn)證更新,并區(qū)分攻擊者消息以及官方信息?,F(xiàn)有的區(qū)塊鏈系統(tǒng)中,比如說(shuō)比特幣PSV和以太坊輕量級(jí)客戶端協(xié)議等等,這些標(biāo)準(zhǔn)看起來(lái)都不錯(cuò)。但是區(qū)塊鏈技術(shù)的創(chuàng)新研究人員還會(huì)繼續(xù)尋找更好的實(shí)踐方案,并讓將來(lái)數(shù)十億數(shù)百億的物聯(lián)網(wǎng)設(shè)備能夠更加安全快捷地檢查和下載產(chǎn)品更新。
外部壓力的重要性
實(shí)際上,開(kāi)發(fā)基于區(qū)塊鏈技術(shù)的系統(tǒng)還不足以保護(hù)物聯(lián)網(wǎng)設(shè)備的安全。如果設(shè)備制造商沒(méi)有完全信賴并使用這種系統(tǒng)(有些設(shè)備接入了,但有些設(shè)備卻沒(méi)有)的話,網(wǎng)絡(luò)風(fēng)險(xiǎn)將依然存在。有些公司所制造的廉價(jià)設(shè)備利潤(rùn)可能會(huì)非常少,所以他們?cè)跊](méi)有外界幫助和支持(人力或物力資源)的情況下,可能不太會(huì)愿意主動(dòng)開(kāi)發(fā)和使用這類安全系統(tǒng)。因此,可能需要一系列政府法規(guī)或消費(fèi)者的強(qiáng)力意愿才能讓他們改變目前的這種想法。
毫無(wú)疑問(wèn),物聯(lián)網(wǎng)設(shè)備制造商還會(huì)加快他們的步伐,而未來(lái)互聯(lián)網(wǎng)的安全很大程度上會(huì)取決于物聯(lián)網(wǎng)的安全。區(qū)塊鏈技術(shù),可能會(huì)是一種可行性很高的解決方案。