Тема: «Разработка технологии защищенного доступа к
advertisement
14.575.21.0079 1/2 Федеральная целевая программа «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2014—2020 годы» Информационно-телекоммуникационные системы Тема: «Разработка технологии защищенного доступа к широкополосным мультимедийным услугам на основе методов высокопроизводительного многопоточного шифрования и расшифрования сетевого трафика в виртуализированной вычислительной среде» Соглашение 14.575.21.0079 на период 2014 - 2015 гг. Руководитель проекта: профессор, д.т.н. М. О. Калинин Получатель субсидии: ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра Великого» Цели и задачи проекта Цель проекта – создание научно-технических решений в области управления обработкой сетевых потоков данных на основе программного комплекса, в котором реализуются методы обеспечения высокопроизводительного защищенного доступа к широкополосным мультимедийным услугам в сетях общего доступа. Актуальность проекта: Включение сетевых средств защиты информации в состав распределенной ИТКС приводит к снижению пропускной способности и повышению загрузки вычислительных ресурсов. Пиковая пропускная способность аппаратных кодировщиков на сегодняшний день составляет 4 Гбит/с (в кластерном исполнении). В гигабитных сетях массового сектора и с учетом повышения скоростей передачи данных в каналах связи возможностей аппаратных решений недостаточно. Наращивание вычислительной мощности способом кластерного подключения требует управления кластером и распределения трафика между серверами, выполняющими кодирование, что повышает нагрузку на внутреннюю сеть и тем самым не позволяет увеличить пропускную способность сети. Кроме этого при кластерном подключении увеличивается энергопотребление всей системы и стоимость системы. В современных широкополосных сетях необходимы высокопроизводительные системы защиты, которые совмещают выполнение требований безопасности и производительности. Новизна разработанного решения заключается в использовании технологии виртуализации и в выделении средств защиты в изолированные виртуальные машины с контролем их числа и уровня загруженности, с обеспечением автоматической балансировки нагрузки и многопоточной параллельной обработки сетевого трафика. Новизна обеспечивается реализацией принципа разделения трафика на сетевые потоки, параллельно обрабатываемые в виртуальных машинах, мощности которых динамически перераспределяются в зависимости от изменений интенсивности сетевой нагрузки. Распараллеливание обработки позволяет достичь 5-кратного повышения производительности подсистемы защиты широкополосных ИТКС. Использование динамически меняющегося в зависимости от входной сетевой нагрузки пула виртуальных машин, служащих средой для выполнения программ-обработчиков трафика, обеспечивает масштабируемость решения (до 40 виртуальных узлов и выше, в зависимости от интенсивности трафика и доступных аппаратных ресурсов). Совокупность разработанных алгоритмов балансировки и масштабирования позволяет учитывать загруженность физических ресурсов, число узлов обработки трафика, объем входящего трафика, на основе чего изменяется распределение нагрузки и рабочая конфигурация виртуализированной вычислительной среды. За счет этого достигается сбалансированное и равномерное использование вычислительных ресурсов. Широкие возможности наращивания числа узлов-обработчиков и адаптивный параллелизм в обработке трафика отвечает актуальным требованиям по диапазону востребованных скоростей передачи данных (100Мбит/с – 10Гбит/с) и позволяет гибко реагировать на изменения интенсивности входного трафика в современных широкополосных компьютерных сетях. Ожидаемые результаты проекта • • • • • • модель классификации сетевого трафика и динамического распределения сетевой нагрузки, формируемой в подсистеме защиты ИТКС; метод обеспечения масштабируемости подсистемы защиты ИТКС, основанный на динамическом распределении сетевого трафика и управлении виртуальными машинами (ВМ) в ВВС в зависимости от уровня текущей сетевой нагрузки; метод повышения производительности подсистемы защиты ИТКС, основанный на диспетчеризации (планировании) процессов обработки сетевого трафика; алгоритм распределения сетевой нагрузки и алгоритм планирования вычислительных процессов обработки сетевого трафика в ВВС, реализующей защиту широкополосного доступа к мультимедийным услугам; методика построения высокопроизводительной подсистемы управления сетевой нагрузкой и вычислительными процессами обработки трафика на базе ВВС для ИТКС.. проект ТЗ на проведение ОКР по теме: «Разработка высокопроизводительного облачного программного комплекса сетевой защиты информационно-телекоммуникационных систем широкополосных мультимедийных услуг». Перспективы практического использования • • • • улучшение потребительских свойств ИТКС обработки и передачи спутниковых снимков, данных мониторинга земной поверхности, метеоданных, медицинских данных, АСУ ТП, ИТКС, в которых обрабатываются, передаются и сохраняются мультимедийные данные и данные большого объема (так называемых систем "больших данных"); проведение ОКР, направленных на создание новых наукоемких технологий и программного обеспечения, предназначенных для реализации высокопроизводительных защищенных систем хранения, передачи и обработки мультимедийных данных большого объема в сетях с большой пропускной способностью, в цифровых системах массовых социальных услуг; проведение ОКР с участием зарубежных партнеров при создании высокопроизводительных систем мультимедиа-кодирования при организации международного медиавещания в сети Интернет, предоставления массового доступа к цифровым сервисам, при построении защищенных систем управления большими агломерациями киберфизических систем, применяемых в рамках наднациональных интересов (освоение космоса, исследование Мирового океана и труднодоступных территорий); внедрение в учебно-образовательный процесс в высших учебных заведениях Минобрнауки РФ при подготовке специалистов в областях сетевых технологий и кибербезопасности. Результаты исследовательской работы, полученные в 2015 г. Разработанная имитационная модель позволяет оценить состоятельность подхода по управлению сетевыми потоками и виртуальными машинами при реализации высокоскоростной обработки сетевого трафика. Модель реализована в среде моделирования NS-3. Разработанный метод обеспечения масштабируемости заключается в динамическом подключении/отключении виртуальных машин (узлов обработки трафика) в зависимости от интенсивности входящего трафика. На модели достигнут 10-кратный рост производительности при увеличении числа узлов до 8 без учета балансировки. Разработанный метод повышения производительности заключается в распараллеливании вычислений по обработке трафика на виртуальные машины, внедрении балансировки нагрузки между виртуальными машинами. При интенсивности входящего трафика 10 Гбит/c, по оценке, полученной с помощью имитационной модели, необходимо не менее 40 виртуальных машин для обеспечения данной скорости. На модели подтверждена эффективность разработанных алгоритмов балансировки RoundRobin, модифицированного Weighted RoundRobin, алгоритма RoundRobin с кортежами, адаптивного алгоритма Weighted RoundRobin с кортежами. Экспериментально подтверждена эффективность адаптированного взвешенного карусельного алгоритма. Для его реализации не требуется дополнительная память в виде таблицы кортежей и поиска по ней; алгоритм универсален и требует только информации о текущей загруженности узлов обработки. Разработанные алгоритмы масштабирования показали свою пригодность при решении задачи оптимизации числа виртуальных узлов-обработчиков при заданной интенсивности входной сетевой нагрузки без учета вероятностных свойств входящего трафика. Программная реализация алгоритмов на экспериментальном стенде и проведение экспериментальных исследований подтвердило, что разработанная технология впервые предлагает подход, позволяющий решить проблему одновременного сочетания требований обеспечения защиты данных и высокой производительности сетевых систем защиты. Задача повышения производительности средств защиты решается в проекте путем увеличения степени масштабируемости решения (до 40 параллельно выполняющихся обработчиков на одной платформе) за счет использования виртуальных машин, которые могут загружаться или выгружаться динамически в зависимости от текущей сетевой нагрузки. Данная особенность технически отличает разрабатываемое программное решение от любого известного аппаратного или программно-аппаратного (IP-шифраторов семейств "Континент", "Заслон", "Криптон" и т.п.) и позволяет на практике достичь 5-кратного повышения пропускной способности на 8 виртуальных вычислителях. Программное решение на базе виртуальной платформы позволяет одновременно с кодированием сетевого трафика решать дополнительные задачи (например, поиск сигнатур атак, антивирусная защита), что принципиально невозможно в однофункциональных сетевых устройствах. Ближайшим аналогом является линейка сетевых продуктов фирмы Crossbeam (в настоящее время Blue Coat Systems, США), однако в отличие от них отечественное решение является программным, в нем используется разделение трафика на потоки, балансировка с учетом загруженности ресурсов, динамическое масштабирование пула виртуальных узлов-обработчиков и использование высокопроизводительной виртуальной платформы общего назначения. Результаты проекта освещены в 5 публикациях в международных изданиях, индексируемых в Scopus. По результатам проекта подано 2 заявки на получение патентов РФ, 1 свидетельство о регистрации программы для ПЭВМ. Достижения представлены на крупных международных выставках в КНР (CHTF) и Германии (CeBIT). Технические и научные результаты проекта обсуждены на отечественных и международных конференциях. Проект представлен на сайте: hpc-project.ru. Индустриальный партнер проекта ОАО «НПК «ТРИСТАН» Сфера деятельности: разработка передающего и радиолокационного оборудования, создание аппаратуры цифровой обработки высокоскоростных потоков информации; разработка программно-аппаратного и программного обеспечения обработки сигналов и потоков информации; разработка систем защищенной передачи информации; разработка средств защиты каналов связи, Финансовая поддержка выполнения исследовательских работ: 250 тыс. руб. (2014 г.: 100 тыс. руб., 2015 г.: 150 тыс. руб.) 14.575.21.0079
