Verstehen Sie Ihr eigenes Computernetzwerk? Diese Sicherheitsrisiken können übersehen werden!

Rechenleistungsnetzwerke sind eine Schlüsselinfrastruktur für den Aufbau der digitalen Wirtschaft, und Netzwerksicherheit und Datensicherheit sind wichtige Garantien für die gesunde Entwicklung von Rechenleistungsnetzwerken. Der vom Zentralkomitee der Kommunistischen Partei Chinas und dem Staatsrat herausgegebene „Gesamtplan für den Aufbau des digitalen China“ wies auf die Notwendigkeit hin, eine zuverlässige und kontrollierbare digitale Sicherheitsbarriere aufzubauen. Sorgen Sie für eine effektive Aufrechterhaltung der Netzwerksicherheit und verbessern Sie das rechtliche, regulatorische und politische System für die Netzwerksicherheit. Verbessern Sie die Möglichkeiten zum Schutz der Datensicherheit, richten Sie ein Basissystem zur Klassifizierung und Abstufung des Schutzes von Daten ein und verbessern Sie die Überwachung der Netzwerkdaten sowie das Frühwarn- und Notfallreaktionssystem. Da die Rechenleistung im Heimbereich ein wichtiger Bestandteil des Computernetzwerks ist, bestehen auch erhebliche Sicherheitsprobleme. Das Verständnis dieser Sicherheitsrisiken, die Formulierung entsprechender Sicherheitsmaßnahmen und der Aufbau eines umfassenden Sicherheitsschutzmechanismus sind wichtige Voraussetzungen dafür, dass die Rechenleistung im privaten Bereich voll ausgeschöpft und sinnvoll eingesetzt wird.

1. Zusammensetzung und Entwicklungstrend der Haushaltsrechenleistung

Die Rechenleistung zu Hause umfasst in der Regel die folgende Ausrüstung:

①Personalcomputer: Der Personalcomputer ist zu Hause eines der am häufigsten verwendeten Computergeräte. Sie sind in der Regel mit Komponenten wie einer zentralen Verarbeitungseinheit (CPU), einer Grafikverarbeitungseinheit (GPU) und einem Speicher ausgestattet, die verschiedene Rechenaufgaben erledigen können.

2. Mobile Geräte: einschließlich Smartphones, Tablets usw. Diese Geräte verfügen normalerweise über eine relativ geringe Verarbeitungsleistung, können aber auch einige einfache Computeraufgaben bewältigen.

3 Smart-Home-Geräte: einschließlich intelligenter Haushaltsgeräte, intelligenter Lautsprecher, intelligenter Kameras usw. Diese Geräte sind hauptsächlich für eine einzige Funktion verantwortlich. Die Vielseitigkeit und Prozessorleistung der Geräte ist geringer als bei Mobilgeräten, sie können jedoch auch zur Verarbeitung spezifischer Rechenaufgaben oder Rechenaufgaben mit geringerer Granularität verwendet werden.

3 Netzwerkelementausrüstung: wie Router, Switches, TV-Set-Top-Boxen usw. Die Hauptfunktion dieser Geräte besteht in der Datenweiterleitung, in bestimmten Szenarien können sie jedoch auch zur Ausführung von Computeraufgaben wie Video- und Audio-Caching verwendet werden.

Die zukünftige Entwicklung der Rechenleistung von Haushalten wird folgende Trends aufweisen: 1. Die Rechenleistung verbessert sich ständig. 2. Der Intelligenzgrad der Ausrüstung verbessert sich ständig. ③ Die Funktionen werden immer komplexer.

Diese Entwicklungstrends deuten darauf hin, dass in Heimcomputernetzwerken ein enormes Potenzial steckt, sie bringen jedoch auch Sicherheitsherausforderungen für den Aufbau von Computernetzwerken mit sich.

2. Drei Implementierungsmodi für Heimcomputernetzwerke

Das „Computing Power Network White Paper“ von China Mobile stellt die allgemeine Architektur des Computing Power Network klar dar. Als Teil des Rechenleistungsnetzwerks weist das Heim-Rechenleistungsnetzwerk Ähnlichkeiten mit anderen Rechenleistungsnetzwerken auf, hat aber auch seine eigenen Merkmale. Insbesondere sind die Netzwerkendgeräte mit ihrer Rechenleistung vielfältig und allgegenwärtig. eine große Anzahl von Geräten mit geringer Rechenleistung haben eine geringe Rechenleistung; Es kommt zu großen Netzwerkverzögerungen und die Online-Zeit ist instabil. Daher kann beim Aufbau eines Heimcomputernetzwerks neben der Übernahme einer allgemeinen Architektur auch die Kombination der Merkmale bestimmter Geschäftsszenarien und Computergeräte zur Implementierung eines Architekturmodells verwendet werden, das tatsächlichen Anwendungsszenarien entspricht. Im Folgenden sind einige typische Architekturmodelle aufgeführt:

Der erste Modus ist der allgemeine Architekturmodus, der die Rechenleistung des Terminals durch Rechenleistungsmessung, integrierte Orchestrierung, Virtualisierung und andere Technologien integriert und zur einheitlichen Verwaltung und Planung in das Rechenleistungsnetzwerk integriert.

Der zweite Modus ist der Terminal-Selbstorganisationsnetzwerkmodus, bei dem Geräte aus mehreren Haushalten innerhalb einer Region miteinander verbunden sind und die Rechenleistung über ein selbstorganisierendes Netzwerk zwischen den Geräten geplant wird. Um eine intelligente Planung zu realisieren, ist eine Interaktion mit der Plattformseite unvermeidlich, der Hauptdatenaustausch findet jedoch im Clientnetzwerk statt. Zu den Vernetzungsformen zählen Feldterminal-Rechenleistungsnetze, lokale Terminal-Rechenleistungsnetze und ausländische Terminal-Rechenleistungsnetze (Whitepaper zu End-Side Computing Power Networks). Zu den typischen Produkten gehört HomeCDN.

Das dritte Modell ist das Business-Cloud-Modell. Bei diesem Modell werden einerseits Thin Terminals auf dem Client eingesetzt, um die Investitionskosten zu senken, andererseits wird in den Computing-Ressourcenpool investiert. Benutzerdienste werden von Terminals in Ressourcenpools migriert, wodurch die Vorteile des zentralisierten Computing auf der Cloud-Plattform voll ausgeschöpft und On-Demand-Computing-Dienste für Heimanwendungen bereitgestellt werden. Typische Produkte sind beispielsweise Cloud-Computer, Cloud-Shops usw.

3. Risiken für Heimcomputernetzwerke

Die Architektur von Heimcomputernetzwerken hat sich im Vergleich zu herkömmlichen Heimnetzwerken erheblich verändert. Daher hat sich auch die Ausprägung der Sicherheitsrisiken entsprechend geändert, wie unten aufgeführt:

①Anschluss

Auf der Benutzerseite werden Endgeräte eingesetzt, die räumlich und zeitlich stark exponiert sind und über keine Sicherheitsvorkehrungen verfügen. All dies macht Endgeräte zum schwächsten und anfälligsten Glied in der Architektur. In herkömmlichen Heimnetzwerken werden nur Daten, die sich auf den Heimbenutzer beziehen, zwischen der Plattform und den Heimgeräten übertragen. Selbst wenn ein Gerät gehackt wird, hält sich der Schaden in Grenzen. In der Rechenleistungsnetzwerkarchitektur kann das Hacken des Terminals zum Eindringen anderer Heimanwender oder Geschäftsplattformen oder zum Abfluss von Kerndaten führen. Mit zunehmendem Nutzen eines Angriffs wird dieser unweigerlich die Aufmerksamkeit von Angreifern auf sich ziehen.

Darüber hinaus gibt es große Unterschiede zwischen der Hardware und Software der Terminals und die Online-Zeit ist instabil, was zu instabilen Diensten und unvorhersehbaren Rechenzeiten führt und die Qualität der Computernetzwerkdienste beeinträchtigt.

② Netzwerk

Wenn für die Übertragung drahtlose Netzwerke verwendet werden, können die Daten leicht überwacht werden und die Vertraulichkeit ist unzureichend.

Als wichtige Netzwerkelementgeräte verfügen Home-Gateways und Home-Switches über eine auf ihren ursprünglichen Funktionen basierende Steuerebenenlogik. Mit der Funktionserweiterung steigt auch die Gefahr von Angriffen.

Der Sicherheitsmechanismus des Heimnetzwerks ist schwach, sodass ein erfolgreicher Angriff leicht möglich ist. Der Intranet-Segmentierungsisolationsmechanismus oder die Firewall-Funktion ist nicht perfekt und die nachgelagerten Geräte befinden sich alle im selben Netzwerksegment, sodass ein Angriff von einem Gerät auf andere Geräte leicht gestartet werden kann. Im Szenario eines Heimcomputernetzwerks werden diese Punkte zu Punkten, die leicht durchbrochen und ausgenutzt werden können.

③Plattform

Die Computernetzwerkplattform ist für Endbenutzer zugänglich und lässt sich durch die Bereitstellung eines privaten Netzwerks oder das Anvisieren bestimmter IP-Adressen nur schwer verteidigen, wodurch das Risiko von Denial-of-Service-Angriffen steigt.

Die Computernetzwerkplattform integriert Endknoten in die Verwaltung und Planung von Ressourcenpools, wodurch die Grenzen zwischen Computerressourcen und Daten verschwimmen und das Risiko eines unbefugten Zugriffs besteht.

Wenn die Plattform Rechenleistungsdienste für Dritte bereitstellt, kann dies zu Angriffen auf den Transaktionsprozess führen, wie etwa der Leugnung der Gültigkeit des Vertrags, der Fälschung von Transaktionsdaten usw.

④ Datensicherheit

Die Wahrnehmung der Rechenleistung erfordert die Erfassung einer großen Menge an Terminaldaten und deren Übermittlung an die Plattform. Diese Daten stehen in engem Zusammenhang mit den persönlichen Informationen des Benutzers, wodurch die Gefahr eines Verlusts privater Daten besteht.

Rechenknoten sind überall verteilt. Beim Entladen der Rechenleistung auf Rechenknoten besteht die Gefahr eines Datendiebstahls, wenn kein wirksamer Verschlüsselungsschutz erfolgt.

4. Sicherheitsmaßnahmen und -technologien

①Terminalsicherheit

Da Terminals zahlreichen Angriffen ausgesetzt sein können und einem breiten Gefahrenpotenzial ausgesetzt sind, ist es mit herkömmlichen Sicherheitsmechanismen schwierig, sie umfassend abzudecken. Für einen umfassenden Schutz kann eine Kombination aus Trusted Computing und Zero-Trust-Mechanismen in Betracht gezogen werden. Das Prinzip des Trusted Computing besteht darin, zunächst eine vertrauenswürdige Wurzel im System zu erstellen und dann eine Vertrauenskette von der Hardwareplattform über das Betriebssystem bis hin zum Anwendungssystem aufzubauen. In dieser Vertrauenskette wird eine Ebene von der Wurzel aus authentifiziert und jeweils nur eine Ebene als vertrauenswürdig eingestuft, um eine schrittweise Ausweitung des Vertrauens zu erreichen. Auf dem Betriebssystem können nur authentifizierte Programme ausgeführt werden, nicht authentifizierte Programme können nicht ausgeführt werden. Dadurch wird eine sichere und vertrauenswürdige Computerumgebung geschaffen. Der Zero-Trust-Mechanismus kann das Terminal vor dem Zugriff authentifizieren und im nachfolgenden Prozess kontinuierlich eine Verhaltenserkennung und Vertrauensbewertung durchführen, um Angriffe rechtzeitig zu erkennen und Schutzmaßnahmen zu ergreifen.

Um die Probleme der instabilen und heterogenen Rechenleistung von Terminals zu lösen, können den Terminals kleine, nicht in Echtzeit ausgeführte und allgemeine Rechenaufgaben zugewiesen werden. Um die Auswirkungen instabiler Rechenleistung zu reduzieren, können auch terminale selbstorganisierende Netzwerke (Modus zwei) und die Verlagerung von Rechenressourcen auf die Plattform (Modus drei) eingesetzt werden.

②Netzwerksicherheit

Um zu verhindern, dass Daten während der Netzwerkübertragung überwacht und manipuliert werden, sollte zur Verschlüsselung der Datenübertragung ein leistungsstarker Verschlüsselungsalgorithmus verwendet werden. Gleichzeitig sollten die übertragenen Daten verschleiert werden, um zu verhindern, dass der Monitor durch Merkmalsanalyse gezielte Angriffe auf die Daten durchführt.

Wenn Heimnetzwerkelementgeräte als Kernnetzwerkgeräte betrachtet werden, kann in ihnen eine Vertrauenswurzel implantiert werden, die nicht nur die Sicherheit von Netzwerkelementgeräten gewährleisten, sondern auch Hardware, Betriebssysteme und andere Geräte messen und authentifizieren kann, wodurch insgesamt eine vertrauenswürdige Computerumgebung aufgebaut wird.

Die Netzwerkelementausrüstung zwingt das Heimnetzwerk zur Verwendung sicherer Passwörter, um illegalen Zugriff zu verhindern. fügt Firewall-Funktionen hinzu, um die Zugriffskontrolle zwischen Geräten zu verstärken; und kombiniert die Plattformanalyse-Engine zur Durchführung der Angriffserkennung, um Angriffe im Netzwerk so früh wie möglich zu erkennen und zu behandeln.

③Plattformsicherheit

Die Plattform kann die softwaredefinierte SDP-Boundary-Technologie verwenden, um den Mechanismus „Authentifizierung vor Verbindung“ zu implementieren. Erst nachdem der Client die Authentifizierung bestanden hat, kann er eine Verbindung mit dem Server herstellen, wodurch die Wahrscheinlichkeit eines Angriffs effektiv verringert wird. Nach einem Angriff kann die Plattform außerdem die leistungsstarken Rechen- und Analysefunktionen des Computernetzwerks nutzen, um eine Quellenverfolgungserkennung durchzuführen, die Angriffsquelle schnell zu lokalisieren und abzufangen.

Die Plattform sollte dem Prinzip der „minimalen Autorisierung“ folgen, um unbefugten Zugriff oder Datenmissbrauch zu verhindern und den durch Angriffe verursachten Schaden zu minimieren.

Wenn Sie Transaktionen mit Rechenleistung über Plattformen von Drittanbietern durchführen, können Sie die Smart Contracts, den Mehrparteienkonsens und andere Technologien der Blockchain nutzen, um die Sicherheit, Transparenz und Rückverfolgbarkeit der Transaktion zu gewährleisten.

④Datensicherheit

Um die Privatsphäre der Benutzer wirksam zu schützen, kann Differential Privacy Computing eingesetzt werden, um den Daten während der Datenerfassung und -analyse ein gewisses Maß an Rauschen oder Datenstörungen hinzuzufügen, sodass Angreifer nicht genau auf einzelne Merkmalsdaten schließen können. Auf diese Weise bleiben die Gültigkeit und Verfügbarkeit der Daten erhalten, während die Privatsphäre geschützt wird.

Beim Auslagern von Rechenaufgaben auf Rechenknoten kann die Multi-Party Secure Computing-Technologie verwendet werden, um Datenoperationen ohne Entschlüsselung durchzuführen. Zu den gängigen sicheren Mehrparteien-Computing-Technologien zählen verschleierte Schaltkreise, homomorphe Verschlüsselung und Schlüsselfreigabe.

5. Zusammenfassung

Während die Integration der Rechenleistung und die Verbesserung der Ressourcennutzung erreicht werden, sind Heimcomputernetzwerke auch mit einer Vielzahl neuer Sicherheitsrisiken konfrontiert. Um diesen Risiken zu begegnen, ist es notwendig, ein umfassendes Sicherheitssystem aufzubauen, das auf den vorhandenen Sicherheitsmechanismen basiert und Trusted Computing, Zero Trust, Multi-Party Secure Computing, Blockchain und andere Technologien kombiniert. Gleichzeitig kann entsprechend den spezifischen Geschäftsmerkmalen eine spezifische Systemarchitektur übernommen werden, um die Gefährdung zu verringern und das Angriffsrisiko zu reduzieren.

Autor: Li Zhihui

Einheit: China Mobile Smart Home Operation Center