邬贺铨院士:产业互联需强化物联网的安全观

  

 

  在2017中国(上海)国际物联网大会上,中国工程院院士、中国互联网协会理事长邬贺铨院士出席,并做了名为“物联网的产业机遇与安全挑战”的开场主题报告。

  邬院士这次报告主要围绕着大智移云催生物联网新应用、数字经济开拓物联网大产业和产业互联强化物联网的安全观等三大主题展开,其中物联网安全方面的内容引起了业界人士的诸多关注。

  物联网安全问题日益严重

  随着物联网产业的不断发展,在物联网的市场应用越来越广泛深入和数字经济开拓发展渠道的当下,关于物联网的安全问题也日渐突出。这次,邬院士提出了产业互联将强化物联网安全观的新概念。众所周知,一般来讲,物联网比互联网安全,因为相对智能手机操作系统上百万行代码和PC操作系统数千万行代码,传感器操作系统也就万行量级的代码,传感器因软件程序简单而少有漏洞的机会。而且物联网通常是企业网或者区域网,并不见得需要连到公众互联网,避免了遭遇外部黑客和木马的攻击。

  但是,这并不意味着所有的物联网都不连接到公众网上,而且就算没有连接,由于操作和管理上的失误,也可能搭建了和公众网之间的桥梁。所以今年,美国《麻省理工科技评论》发布了2017年十大突破性技术,将僵尸物联网列入其中。韩国产业研究院认为,到2020年,因为物联网信息安全问题导致的经济损失将达到180亿美元。

  2010年一种名为“震网”的蠕虫病毒通过U盘被带入伊朗核电站设备,侵入西门子公司提供的工控系统,导致20%的离心机报废;2015年年底乌克兰地区的电网局部停电事件,也是因为U盘将邮件的木马带入电网控制系统。这是因为物联网节点往往以无线自组织网的方式互联,可能识别不了恶意加入的物联网节点,该异己节点不仅获取物联网信息还可能有潜伏的木马。

  据邬院士介绍,经过对国内市场上销售的近百个品牌的家用智能摄像头进行安全评估测试后发现,近八成的产品存在用户信息泄露、数据传输未加密、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。去年10月份,黑客组织做了一个试探,用一个木马感染了美国东部超过10万个摄像头,这些摄像头主要是中国的提供的。这些摄像头同时向美国DNS服务器发起DDoS攻击,让服务器没法正常工作,也叫拒绝服务工作。很多网站都没法用了,所以近半个美国的互联网陷入瘫痪。

  而工业物联网来说,安全问题更大。用户在睡觉的时候,PC和手机可能是不在线的,但物联网的节点是永远在线的,这就增加了物联网设备被木马控制的机会。现在有一个物联网搜索引擎叫Shodan,专门搜索联网的节点,还有存在安全漏洞的路由器、信号灯。最近发生了好几期无人机干扰民航机的事件,可能是意外,也可能是被敌人操控了,还有无人驾驶的汽车在行驶过程中被木马控制,打开车门。所以未来,机器人杀人的担心,也不一定是多余的。

  区块链强化产业互联安全等级

  近来物联网领域内区块链概念很热。那么,什么是区块链?区块是包含带时间戳的数字资产交易信息的数据块,区块链是由密码关联的区块组成的分布式数据库,也被称为分布式账本。一旦有交易发生,经过验证并添加到区块链的信息就会被永久地储存。所有当前参与的节点共同维护交易及区块链,单个节点对区块链的修改是无效的,因此区块链的稳定性和可靠性很高。区块链的体系分为数据层、网络层、共识层、激励层和智能合约层。数据层采用不对称的加密技术,全网的节点以P2P的方式组网,所有节点都平等的计算一道数学难题,当然,难度要控制在一定时间内能解出来,通过挖矿,最先找到答案的节点将获得这个区块的广播发布权。但是为了刺激大家挖矿,一定要有激励,所以所有交易都要交手续费给记录区块的矿工。

  而物联网区块链(BOT——Blockchainof things)——基于区块链有关技术使能的物体参与和进行交易的分布服务平台。设备层有设备能力和网关,网络层有网络能力、传送能力和BOT P2P能力,还有服务支持与应用支持层,另外还有区块链在物联网的应用。