現在很多智能設備都是由類似谷歌、蘋果和三星這樣的巨頭公司制造的,它們不僅技術實力雄厚,而且又有市場激勵,可以快速解決任何安全問題。但實際上,現在的物聯網設備體積越來越小,像門鈴和燈泡這樣的東西都開始配備數字“大腦”了,但這些設備往往由一些發展中國家的不知名公司生產的,而這些公司并沒有足夠的經濟實力或技術實力來為產品提供強大的安全功能。
不安全的物聯網設備已經給互聯網造成了重大的“災害”,而作為一個網絡安全領域的研究人員,我認為也許區塊鏈技術和網絡安全可以成為一對“絕佳拍檔”。
安全迫在眉睫
現在的大型科技公司都會努力保護用戶的安全,但只要他們的服務系統在這個復雜的網絡世界中運行,就總會有出現安全問題的時候。他們也有自己的研究團隊和安全分析專家,他們也會努力在問題出現之前確定并修復漏洞。
當他們發現漏洞之后,他們會立刻針對漏洞開發更新補丁,并將它們推送給用戶。但是除了需要跟蹤問題并制定解決方案的人力資源以外,這還需要公司投入巨大的資金,這涉及到軟件響應自動化、軟件版本存儲空間以及給數百萬用戶推送修復補丁的網絡帶寬資源等等,這也是為什么你手機和電腦中的軟件能夠時刻保持最新版本的原因(有的用戶可能會禁用自動更新)。
但需要注意的是,現在有很多攻擊技術都可以利用硬件和軟件產品的更新機制來實施攻擊,并注入類似后門這樣的惡意軟件。
區塊鏈技術
簡而言之,區塊鏈就是一種記錄交易數據的計算機數據庫,但這種數據庫存儲在很多不同的地方。從某種意義上來說,它就像一種公告欄,任何人都可以在這里張貼交易通知。而每一張“通知”內都需要附帶有數字簽名,并且不能隨意更改或刪除。
當然了,我也不是第一個建議使用區塊鏈技術來提升物聯網設備安全性的人了。早在2017年1月份,一個由美國網絡巨頭思科公司、德國博世工程公司、紐約梅隆銀行、中國電子制造商富士康、荷蘭網絡公司Gemolto以及一些區塊鏈初創企業就已經開始研發這樣的一種基于區塊鏈技術的安全保護系統了。
任何一家設備制造商都可以利用這種技術來改造自己的軟件更新基礎設施。小型公司可以通過編程的方式讓他們的產品來頂起檢測區塊鏈系統中是否有可用的軟件更新,而且他們還可以向這個系統中上傳自己開發的更新。每一臺設備都必須擁有健壯的密碼標識,以確保制造商可以跟合法設備通信交互。因此,設備制造商和他們的客戶就能夠確保自己的產品可以實時保持安全和更新了。
這類系統必須要能夠編程進一些內存空間以及計算處理能力有限的小型設備,并且需要使用一定的標準規范來與其他設備交互或驗證更新,并區分攻擊者消息以及官方信息。現有的區塊鏈系統中,比如說比特幣PSV和以太坊輕量級客戶端協議等等,這些標準看起來都不錯。但是區塊鏈技術的創新研究人員還會繼續尋找更好的實踐方案,并讓將來數十億數百億的物聯網設備能夠更加安全快捷地檢查和下載產品更新。
外部壓力的重要性
實際上,開發基于區塊鏈技術的系統還不足以保護物聯網設備的安全。如果設備制造商沒有完全信賴并使用這種系統(有些設備接入了,但有些設備卻沒有)的話,網絡風險將依然存在。有些公司所制造的廉價設備利潤可能會非常少,所以他們在沒有外界幫助和支持(人力或物力資源)的情況下,可能不太會愿意主動開發和使用這類安全系統。因此,可能需要一系列政府法規或消費者的強力意愿才能讓他們改變目前的這種想法。
毫無疑問,物聯網設備制造商還會加快他們的步伐,而未來互聯網的安全很大程度上會取決于物聯網的安全。區塊鏈技術,可能會是一種可行性很高的解決方案