Тема: «Разработка технологии защищенного доступа к

14.575.21.0079
1/2
Федеральная целевая программа
«Исследования и разработки по приоритетным направлениям развития научно-технологического
комплекса России на 2014—2020 годы»
Информационно-телекоммуникационные системы
Тема: «Разработка технологии защищенного доступа к широкополосным мультимедийным
услугам на основе методов высокопроизводительного многопоточного шифрования
и расшифрования сетевого трафика в виртуализированной вычислительной среде»
Соглашение 14.575.21.0079
на период 2014 - 2015 гг.
Руководитель проекта: профессор, д.т.н. М. О. Калинин
Получатель субсидии: ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра Великого»
Цели и задачи проекта
Цель проекта – создание научно-технических решений в области управления обработкой сетевых потоков данных на основе программного комплекса, в котором реализуются методы
обеспечения высокопроизводительного защищенного доступа к широкополосным мультимедийным услугам в сетях общего доступа.
Актуальность проекта: Включение сетевых средств защиты информации в состав распределенной ИТКС приводит к снижению пропускной способности и повышению загрузки
вычислительных ресурсов. Пиковая пропускная способность аппаратных кодировщиков на сегодняшний день составляет 4 Гбит/с (в кластерном исполнении). В гигабитных сетях массового
сектора и с учетом повышения скоростей передачи данных в каналах связи возможностей аппаратных решений недостаточно. Наращивание вычислительной мощности способом
кластерного подключения требует управления кластером и распределения трафика между серверами, выполняющими кодирование, что повышает нагрузку на внутреннюю сеть и тем самым
не позволяет увеличить пропускную способность сети. Кроме этого при кластерном подключении увеличивается энергопотребление всей системы и стоимость системы. В современных
широкополосных сетях необходимы высокопроизводительные системы защиты, которые совмещают выполнение требований безопасности и производительности.
Новизна разработанного решения заключается в использовании технологии виртуализации и в выделении средств защиты в изолированные виртуальные машины с контролем их числа
и уровня загруженности, с обеспечением автоматической балансировки нагрузки и многопоточной параллельной обработки сетевого трафика. Новизна обеспечивается реализацией
принципа разделения трафика на сетевые потоки, параллельно обрабатываемые в виртуальных машинах, мощности которых динамически перераспределяются в зависимости от изменений
интенсивности сетевой нагрузки. Распараллеливание обработки позволяет достичь 5-кратного повышения производительности подсистемы защиты широкополосных ИТКС. Использование
динамически меняющегося в зависимости от входной сетевой нагрузки пула виртуальных машин, служащих средой для выполнения программ-обработчиков трафика, обеспечивает
масштабируемость решения (до 40 виртуальных узлов и выше, в зависимости от интенсивности трафика и доступных аппаратных ресурсов). Совокупность разработанных алгоритмов
балансировки и масштабирования позволяет учитывать загруженность физических ресурсов, число узлов обработки трафика, объем входящего трафика, на основе чего изменяется
распределение нагрузки и рабочая конфигурация виртуализированной вычислительной среды. За счет этого достигается сбалансированное и равномерное использование вычислительных
ресурсов. Широкие возможности наращивания числа узлов-обработчиков и адаптивный параллелизм в обработке трафика отвечает актуальным требованиям по диапазону востребованных
скоростей передачи данных (100Мбит/с – 10Гбит/с) и позволяет гибко реагировать на изменения интенсивности входного трафика в современных широкополосных компьютерных сетях.
Ожидаемые результаты проекта
•
•
•
•
•
•
модель классификации сетевого трафика и динамического распределения сетевой нагрузки, формируемой в подсистеме защиты ИТКС;
метод обеспечения масштабируемости подсистемы защиты ИТКС, основанный на динамическом распределении сетевого трафика и управлении виртуальными машинами (ВМ) в ВВС
в зависимости от уровня текущей сетевой нагрузки;
метод повышения производительности подсистемы защиты ИТКС, основанный на диспетчеризации (планировании) процессов обработки сетевого трафика;
алгоритм распределения сетевой нагрузки и алгоритм планирования вычислительных процессов обработки сетевого трафика в ВВС, реализующей защиту широкополосного доступа
к мультимедийным услугам;
методика построения высокопроизводительной подсистемы управления сетевой нагрузкой и вычислительными процессами обработки трафика на базе ВВС для ИТКС..
проект ТЗ на проведение ОКР по теме: «Разработка высокопроизводительного облачного программного комплекса сетевой защиты информационно-телекоммуникационных систем
широкополосных мультимедийных услуг».
Перспективы практического использования
•
•
•
•
улучшение потребительских свойств ИТКС обработки и передачи спутниковых снимков, данных мониторинга земной поверхности, метеоданных, медицинских данных, АСУ ТП, ИТКС,
в которых обрабатываются, передаются и сохраняются мультимедийные данные и данные большого объема (так называемых систем "больших данных");
проведение ОКР, направленных на создание новых наукоемких технологий и программного обеспечения, предназначенных для реализации высокопроизводительных защищенных систем
хранения, передачи и обработки мультимедийных данных большого объема в сетях с большой пропускной способностью, в цифровых системах массовых социальных услуг;
проведение ОКР с участием зарубежных партнеров при создании высокопроизводительных систем мультимедиа-кодирования при организации международного медиавещания в сети
Интернет, предоставления массового доступа к цифровым сервисам, при построении защищенных систем управления большими агломерациями киберфизических систем, применяемых
в рамках наднациональных интересов (освоение космоса, исследование Мирового океана и труднодоступных территорий);
внедрение в учебно-образовательный процесс в высших учебных заведениях Минобрнауки РФ при подготовке специалистов в областях сетевых технологий и кибербезопасности.
Результаты исследовательской работы, полученные в 2015 г.
Разработанная имитационная модель позволяет оценить состоятельность подхода по управлению сетевыми потоками и виртуальными машинами при реализации высокоскоростной
обработки сетевого трафика. Модель реализована в среде моделирования NS-3.
Разработанный метод обеспечения масштабируемости заключается в динамическом подключении/отключении виртуальных машин (узлов обработки трафика) в зависимости
от интенсивности входящего трафика. На модели достигнут 10-кратный рост производительности при увеличении числа узлов до 8 без учета балансировки.
Разработанный метод повышения производительности заключается в распараллеливании вычислений по обработке трафика на виртуальные машины, внедрении балансировки нагрузки
между виртуальными машинами. При интенсивности входящего трафика 10 Гбит/c, по оценке, полученной с помощью имитационной модели, необходимо не менее 40 виртуальных машин
для обеспечения данной скорости.
На модели подтверждена эффективность разработанных алгоритмов балансировки RoundRobin, модифицированного Weighted RoundRobin, алгоритма RoundRobin с кортежами,
адаптивного алгоритма Weighted RoundRobin с кортежами. Экспериментально подтверждена эффективность адаптированного взвешенного карусельного алгоритма. Для его реализации
не требуется дополнительная память в виде таблицы кортежей и поиска по ней; алгоритм универсален и требует только информации о текущей загруженности узлов обработки.
Разработанные алгоритмы масштабирования показали свою пригодность при решении задачи оптимизации числа виртуальных узлов-обработчиков при заданной интенсивности входной
сетевой нагрузки без учета вероятностных свойств входящего трафика.
Программная реализация алгоритмов на экспериментальном стенде и проведение экспериментальных исследований подтвердило, что разработанная технология впервые
предлагает подход, позволяющий решить проблему одновременного сочетания требований обеспечения защиты данных и высокой производительности сетевых систем защиты. Задача
повышения производительности средств защиты решается в проекте путем увеличения степени масштабируемости решения (до 40 параллельно выполняющихся обработчиков на одной
платформе) за счет использования виртуальных машин, которые могут загружаться или выгружаться динамически в зависимости от текущей сетевой нагрузки. Данная особенность
технически отличает разрабатываемое программное решение от любого известного аппаратного или программно-аппаратного (IP-шифраторов семейств "Континент", "Заслон", "Криптон"
и т.п.) и позволяет на практике достичь 5-кратного повышения пропускной способности на 8 виртуальных вычислителях. Программное решение на базе виртуальной платформы
позволяет одновременно с кодированием сетевого трафика решать дополнительные задачи (например, поиск сигнатур атак, антивирусная защита), что принципиально невозможно
в однофункциональных сетевых устройствах. Ближайшим аналогом является линейка сетевых продуктов фирмы Crossbeam (в настоящее время Blue Coat Systems, США), однако в отличие
от них отечественное решение является программным, в нем используется разделение трафика на потоки, балансировка с учетом загруженности ресурсов, динамическое масштабирование
пула виртуальных узлов-обработчиков и использование высокопроизводительной виртуальной платформы общего назначения.
Результаты проекта освещены в 5 публикациях в международных изданиях, индексируемых в Scopus. По результатам проекта подано 2 заявки на получение патентов РФ,
1 свидетельство о регистрации программы для ПЭВМ. Достижения представлены на крупных международных выставках в КНР (CHTF) и Германии (CeBIT). Технические и научные результаты
проекта обсуждены на отечественных и международных конференциях. Проект представлен на сайте: hpc-project.ru.
Индустриальный партнер проекта ОАО «НПК «ТРИСТАН»
Сфера деятельности: разработка передающего и радиолокационного оборудования, создание аппаратуры цифровой обработки высокоскоростных потоков информации; разработка
программно-аппаратного и программного обеспечения обработки сигналов и потоков информации; разработка систем защищенной передачи информации; разработка средств защиты
каналов связи,
Финансовая поддержка выполнения исследовательских работ: 250 тыс. руб. (2014 г.: 100 тыс. руб., 2015 г.: 150 тыс. руб.)
14.575.21.0079