文/蔡孟凌
區塊鏈技術在近年來就像人工智能、量子技術一樣被廣泛討論,從供應鏈到物流、金融等各商業領域的應用,當中也包含國防軍事領域。區塊鏈之所以為人所重視,主要是透過複雜的數學邏輯,以最安全與最可信賴的方式組織與儲存訊息。
在世界各地,各國都在競相研究與發展區塊鏈技術,歐盟認為,此項技術可以影響整個歐盟的各個部門,可以為歐盟數位市場的發展提供更好的基礎;就美國而言,隨著網路攻擊不斷增加,可見目前的網路安全協議存在著巨大的問題,因此美國也開始積極發展基於區塊鏈技術的通訊方式,以確保資料保密性與供應鏈安全的問題。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
另外台灣從 2017 年 815 大停電開始,能源問題開始被提出來討論。能源是供應鏈很重要的一環,缺電不僅直接影響民生問題,也會造成國安危機。在 2018 年即有台灣碳交易公司提出以區塊鏈技術為基底的分散式儲能、再生能源憑證與碳權交易市場的生態系,打造台灣 P2P 能源交易市場。在近期 Web3 有個項目稱之為「再生金融」(Regenerative Finance,ReFi)即透過 DeFi 協議中使用碳作為抵押品,並將碳封存作為 NFTs,這代表氣候行動可以被嵌入到其他協議和應用中,透過碳代幣可以幫助支持現實世界中的環境項目開發出強大的融資生態系統。
打造可追溯系統,強化供應鏈安全
透過區塊鏈打造的供應鏈,可以最佳化庫存系統、可信賴的合作環境、更快的異常檢測、發現假冒的零組件,甚至可以發現需要維護和操作的零件。再加上區塊鏈的可靠性和透明度,有助於確保所有採購訂單、交易和庫存收據都經由數位簽名並永久記錄在區塊鏈帳本上。
在區塊鏈技術中,有許多不同的共識協議,如 PoW、PoS、DPoS、PBFT、PoA、Ripple 等,都各有其優勢和劣勢。例如,PoW(工作量證明)使用密集的算力來驗證交易,造成大量能量的耗損;PoS(權益證明機制)鼓勵購買大量加密貨幣,可能導致網路的中心化,失去原本去中心化的價值,甚至造成加密貨幣通膨的問題;PBFT(拜占庭容錯)則可能包含少量不可靠或潛在的惡意節點來驗證一個區塊。
因此,開始有人關注如何透過區塊鏈打造「安全可追溯系統」(圖1),保證所需的可追溯資料在供應鏈參與者之間可以獲取和共享,並進而允許對供應鏈上的產品進行追蹤,以保護仿冒品進入供應鏈。以紡織業為例,可透過「安全標籤演算法」,在原料織品表面印上隨機粒子分布進行安全可追溯性標籤之編碼,使每個產品都有唯一簽名,並且該安全標籤很難複製且耐水洗、耐磨損。
整體而言,基於智能合約的區塊鏈技術在供應鏈管理中的主要應用有:
- 交易結算、
- 業務審計、
- 安全運輸、
- 分散式製造任務中安全和可信賴的協作、
- 高效組織的激勵措施、
- 防止違反規定、
- 識別假冒偽劣的零件、
- 關稅和貿易政策的執行、
- 可靠的增材製造等。
資訊供應鏈安全 ─ 以國防供應鏈為例
隨著人工智慧、雲端服務、物聯網等新興技術的普及,也伴隨著很多資安風險。近年來不論是政府單位、半導體產業、金融機構等發生的網路攻擊事件中,可看出駭客已開始鎖定管理服務供應商或第三方分包商作為攻擊目標,再經過供應鏈體系滲透擴大攻擊範圍。2020 年底俄羅斯經由美國軟體供應商 ─ SolarWinds 進行一系列「供應鏈攻擊」,將已植入惡意程式的更新軟體提供給國防單位的供應商,成功滲透美國國務院、國土安全部等重要政府單位和 500 大企業,是近年來美國重大資安威脅事件。
在供應鏈攻擊中,駭客主要是透過社交工程、水坑式攻擊、APT 攻擊、表單挾持等,針對資訊供應鏈網路進行攻擊。因此,在近年來各種資安研討會都會提及資訊供應鏈安全的重要性,其中又以國防更為人所重視。
隨著國軍與相關廠商合作機會越趨頻繁,許多委外軍事應用系統、資訊設備等,並不是合約的主承包商獨立研發製造,而是轉包給其他廠商,以美國國防部來說,就至少有 30 萬家大大小小的合作供應商。因此若疏於建構完善的資安防護機制,恐怕會對國軍帶來極大的資安威脅。傳統上「專網專用、實體隔離」的封閉安全思維應該要擺脫,進而思考如何提升關聯式的資訊供應鏈的安全認證與管控。藉由區塊鏈技術可提供系統相對的安全和可信的通訊、國防庫存管理、追蹤國防設備的進口與安裝。
[ 閱讀所有蔡孟凌的文章 ]
以美國為例,目前美國國防部不僅要求其 IT 承包商必須具備「網路安全成熟度模型認證」(Cybersecurity Maturity Model Certification,CMMC),另外根據 2021 年一篇由馬來西亞國防大學網路安全中心發表的文章指出,美國開始將區塊鏈納入軍事供應鏈簡化其系統,允許各個機構只訂購他們所需要的零件以加強前端操作,而不是在完整的裝備上花費鉅額資金和時間等待,此舉也被稱為「增材製造」(Additive Manufacturing),透過帶有區塊鏈技術的 3D 列印可以在現場生產軍事標準零件,同時解決國防工業的機敏資訊和智慧財產權的問題;而北約,亦採用區塊鏈來確保軍事採購和可追蹤的物流供應服務。
不僅是西方國家,中國也在近幾年投資了超過 500 個的區塊鏈項目,包含金融、國防、物流和製造業,例如他們試圖將區塊鏈技術用於維護軍事後勤,包含管理情報行動的資金分配、保護國防人員的資料、武器的生命週期;另外韓國、俄羅斯也積極將區塊鏈用於安全的國防通訊和資料管理。
在執行軍事計畫和戰場行動中,部隊需要以安全和可信的方式進行協調和溝通。在現代戰場上,有許多基於物聯網運作的裝置,例如 GPS 的導彈系統、無人機、工程車、武器等,都有龐大的數據流量。經由區塊鏈技術可以保障軍事行動中的指揮和控制,例如無人機群透過預先安裝的區塊鏈數據執行任務,並且透過智能合約進行驗證和識別,攻擊者很難干預已記錄下來的任務執行情況(圖2)。同樣地,當指揮官要求炮兵在一個戰場開始行動時,智能合約可以用來記錄砲兵的位置和狀態,也就是砲兵可以在區塊鏈上紀錄交易,作為回應其命令行動的證明。這樣可以確保所有部隊的行為都是誠實且遵循相同的軍事計畫,並且指揮官可以監控任務的進展。
以邊境防護來說,可以在區塊鏈平台上註冊每個軍事與網路設備,透過邊緣節點的資料分析,可識別未經授權的越境行為,智能合約即可自動通知並與已註冊的軍事單位分享資料,使國防能有效且快速回應。
從本文的介紹可以進一步了解區塊鏈技術在供應鏈和資通訊的應用,不過區塊鏈的應用仍在早期階段,不管是延遲交易、資料隱私(如 GDPR)、監管與法律、節點資源限制、智能合約的安全性、能源效率等,目前仍有許多問題和挑戰仍待解決。因此,如何透過克服技術上的局限性,去提高區塊鏈的實用性,是目前面臨的主要課題之一。
(本文授權非營利轉載,請註明出處:CIO Taiwan)