資訊安全是物聯網應用發展的前提,但目前絕大多數的業者都將重點放在防毒跟對抗惡意軟體上,卻忽略了物聯網系統中,為數眾多的資料採集節點,例如感測器所產生的資料,是否真實可靠。但最古老的駭客行為,其實是針對資料進行竄改,以謀取經濟利益。因此,如何避免這類節點所產生的資料遭到竄改,其實是資安最基本的工作,而這也正是區塊鏈技術能使得上力的地方。
Bii Labs創辦人暨執行長朱宜振表示,早在網際網路跟個人電腦流行前,就已經有各種駭客行為,例如偷改水/電錶、盜打長途電話等。換言之,駭客攻擊的目標未必是已經布署了層層防禦的資訊系統,只要攻破各種布署在現場的資料產生節點,進行資料竄改,就足以讓系統的擁有者或營運商蒙受巨大損失。也因為如此,現在新式的水電錶都已經電子化、數位化,防止不肖人士用最簡單粗暴的機械手段來竄改資料。
然而,電子化或數位化雖能有效防止水/電錶被機械手段竄改,但若沒有相對應的配套措施,這些數位資料還是有可能被有心人用其他方法竄改。因此,針對水/電錶這類設備,許多硬體廠商已備妥對應的反竄改機制。但這些方案是專為水/電錶的應用情境設計,對智慧工廠裡為數眾多的感測器、儀表不見得適用。因此,最根本的辦法還是讓資料本身就難以被竄改,而這正是區塊鏈技術可以使得上力的地方。
區塊鏈技術因為比特幣(Bitcoin)等數位貨幣的爆紅而備受矚目,導致外界經常將區塊鏈跟數位貨幣畫上等號,但這其實是個大誤解。區塊鏈技術最獨特的地方,在於提出了分散式帳本的概念,這使得駭客即便攻破系統中的某個節點,竄改其帳本上的部分資料,跟其他節點上的帳本資料一比對,立刻就會被發現,除非駭客同時攻破了足夠數量的節點,並進行資料竄改。
而且,為了簡化運算跟儲存空間的需求,通常每一個分散式帳本都只有整體資料的一部分,這使得駭客更難以竄改資料,因為即便攻破多個節點,取得的帳本資料上,不一定含有駭客想竄改的那筆資料。
簡言之,帳本越分散,透過區塊鏈保護的資料越難被竄改。而這正是區塊鏈技術可以用來打造物聯網信任根(Root of Trust)的原因。試想,當一個物聯網中的資料被分散到數以千計、甚至萬計的節點中,而且每個節點所擁有的資料又只有整體資料的一部分時,攻擊者要破壞資料一致性(Data Integrity)的難度會有多高?
也因為這個緣故,有許多跟資料交換有關的應用,都開始對導入區塊鏈產生濃厚興趣。例如Bii Labs日前就跟軟領科技合作,針對機器對機器(M2M)資料交換安全需求,推出了區塊鏈軟體即服務的平台。另一方面,台灣某家經營智慧停車業務的系統整合商,也有意在其停車格所使用的地磁感測器中導入Bii Labs的區塊鏈技術,實現自動化且可靠的帳務清算。
朱宜振總結說,區塊鏈技術不是所有資安問題的最佳解答,但在確保資料一致性方面,有著先天上的優勢。另一方面,區塊鏈技術也在不斷進化,讓很多運算資源很有限的嵌入式系統,也能跑得動區塊鏈演算法,例如前面提到的地磁感測器,其運算能力遠不如配備獨立顯卡的PC,還是一樣能導入。別把區塊鏈跟挖礦混為一談,才能瞭解區塊鏈技術的潛力跟未來發展方向。