Skip to main content

工业

区块链:物联网网络安全的关键

Edge security, IoT cybersecurity, IoT attack

如果您是一名黑客,那么方法很简单:控制一个保护程度较低的物联网端点,然后利用它来访问企业网络中其他位置上价值更高的目标。所以,针对物联网设备的网络攻击在 2019 年上半年增长了两倍也就不足为奇了

这种攻击方式之所以可行,至少部分是因为大多数物联网网络基于集中式通信和安全架构,例如公钥基础结构 (PKI)。当管理成千上万个难以控制的分布式系统时,PKI 带来的诸多挑战使物联网部署容易受到中间人攻击,以及发生单点故障。

区块链安全公司 SmartAxiom 的副总裁 Trent Poltronetti 解释说。

“问题在于 PKI 涉及很多证书,而这种信任链又会回溯到根证书,” Poltronetti 说。“如果实施得当,它是相当安全的,但在现实世界中如果您拥有一些这样面向用户的端点设备,那么您就必须与某个遥远的服务器进行通信,而同时也许还有数百万台设备也与之联系。

“如果捕获到密钥,则可以进行中间人攻击,并将虚假数据提供给服务器或设备。接下来,您会面临这样一个问题:是将系统设计为“失效开放” (Fail Open) 以使它可以继续运行并且让用户满意,但安全性得不到保障,还是直接将整个系统完全锁闭。”

所以,与其尝试将集中式安全架构强加到分布式系统上,为什么不采用像区块链这样的分布式安全架构呢?

区块链:分布式边缘安全

区块链为 PKI 提供了替代方案。作为一种分布式数据库技术,区块链通过在对等网络上的节点之间建立信任,来消除与传统安全架构相关的单点故障。

由于使用多个分散节点来验证交易,因此基于区块链的网络具有以下优点:

  • 冗余:即使单个服务器或网络出现故障,其他区块链节点也可以继续验证交易。而且,由于交易存储在多个节点上,因此一个节点发生安全风险并不会损害整个系统。
  • 弹性:由于密码散列将每个块绑定到前一个块,所以交易是使用共享历史记录进行身份验证的,这是防止中间人攻击的另一种方式。
  • 可扩展性:区块链网络上的节点越多,安全性就越高,因为有更多的计算资源应用于交易验证。

Poltronetti 说:“尽管单个节点结构简单并有可能被破解,但作为节点组,它们可以协同工作来替代安全服务器的功能,以进行身份​​验证和批准。”“它们的可靠性来自于冗余。因为这是大多数人的共识。”

与比特币相比,更适合物联网系统

尽管具有这些优势,但大多数区块链技术都是为企业部署而设计的。在这些应用中,区块链节点通常可以使用数据中心级的计算和内存资源。而且,随着区块链的发展以及向网络中添加越来越多的节点,生成和验证块变得更加复杂且耗时,因此在许多企业区块链用例中,预计会产生巨大的延迟。

当然,物联网边缘节点也不包含任何数据中心级计算。而且它们对时间非常敏感,就像用户无法接受要等 10 分钟才能打开灯或空调。为了弥补这些弊端,SmartAxiom 开发了他们称为 BlockLock 的多链区块链,可以从端点到云端帮助保护物联网网络。BlockLock 将传统的区块链架构分为两部分:一个是用于控制节点供应、身份验证和身份管理的“设备链”,另一个用于记录交易的“事件链”(图 1)。

图 1.区块链验证过程被划分为“设备链”和“事件链”,以改善内存利用率和系统延迟。(来源:SmartAxiom)
图 1. 区块链验证过程被划分为“设备链”和“事件链”,以改善内存利用率和系统延迟。(资料来源:SmartAxiom)

这种方法从多个方面使物联网系统受益。首先,由于“设备链”仅负责设备而不考虑其进行的交易,因此它可以放在端点级的小容量、高速 SRAM 中。其次,该架构极大地减少了存储需求,因为不必在每次新交易时都复制设备数据。如果交易位于共享历史记录验证所需的缓冲区之外,则可以丢弃这些交易或将其存档在云存储中。

BlockLock 跨越各种硬件、操作系统和网络。它可以在内存不足 512 MB,以英特尔® 凌动® 处理器为驱动的物联网网关上运行,并且消耗的资源不到系统总资源的 5%。

但是,对于由简单的微控制器驱动,并且资源有限的物联网传感器节点来说,它的性能要求仍然过高。而且,运行 BlockLock 的网关的效率不足以支持完整规模的企业区块链。

为了实现完整的边缘到云区块链架构,以利用多链架构的速度和存储优势,SmartAxiom 开发了两个额外的组件作为 BlockLock 堆栈的补充:

  • 在端点中,Beachhead Microcode 提供了一个小型区块链库,可帮助促进加密块的生成。它还实施了一个用于临时存储交易的微型分类账。
  • 在云端/数据中心,该公司的 Tenacious Service 与 INFORMIX 集成,可以长期存储时间序列和空间/GIS 数据,允许用户将本地物联网区块链与其他分布式分类帐同步,并包括一些其他异常检测和安全分析工具。

图 2 中显示了 SmartAxiom 区块链产品组合的整体图,统称为 Fortress。即使所有这些基础设施都准备就位,SmartAxiom 多链也能够在 100 毫秒或更短的时间内批准区块链交易 — 至少比传统 PKI 身份验证快 5 倍。

图 2.Fortress 包含三个区块链组件,将多链架构从边缘扩展到云端。(来源:SmartAxiom)
图 2. Fortress 包含三个区块链组件,将多链架构从边缘扩展到云端。(来源:SmartAxiom

物联网安全性的现状

新技术成功进入市场通常需要花费数年的时间,但是物联网安全性已经落后于形势。为了应对不断发展的物联网威胁态势,当今组织正在实施基于区块链的安全解决方案。

例如,一家大型汽车制造商在他们的一个工厂采用了 SmartAxiom 的多链安全架构。在这里,该项技术用于增强实时传感器、执行器和控制系统的网络安全性。另外,这种方法还可以用于消除仓库 IT、运营和分析平台之间的孤岛,从而将工厂数据同步到一个整体系统中。

在这种情况下,SmartAxiom 部署能够实现小于 10 毫秒的延迟。

但是,区块链的应用领域并不仅限于增强安全性和自动化效率。它的特性还可以外展至车辆或其电子控制单元 (ECU),从而潜在地保障“边缘设备”与维持物联网运转的企业应用程序之间的连接。

“汽车上有 200 个处理器。如果您把它们划分成六个或七个最大的轻型区块链来运行 — 然后让它们彼此信任,使它们协同工作,那么汽车就能够自我防御,” Poltronetti说。“如果区块链也信任汽车,那么汽车将成为更大型系统中的一个端点。所以,无论对于打车、汽车共享,还是送货,这都是一件相当美妙的事情。”

作者简介

Chad Cox is a freelance writer living with his wife and two sons. His main focus is technology, though he also enjoys writing about cooking. He received a BA in Cultural and Analytical Literature and holds a Master’s in Teaching and Curriculum. In his free time, Chad researches PC gaming components and builds gaming computers.

Profile Photo of Chad Cox