Современные системы предоставления электронных услуг (например, веб-сервисы потокового медиавещания, сервисы доступа к архивам мультимедийной информации, центры обработки и хранения оцифрованных данных и т.п.) представляют собой сложные информационно-телекоммуникационные системы, которые работают под высокой нагрузкой, обрабатывают большие объемы трафика и множество соединений.

При этом доступ к мультимедиа-информации осуществляется по открытым каналам сети Интернет, а с ростом распространенности вредоносного программного обеспечения и уровня киберпреступности вопрос обеспечения защиты сервисов доступа к мультимедийным услугам является основополагающим для таких систем ввиду ценности и важности сохраняемых, обрабатываемых и передаваемых данных.

Для обеспечения конфиденциальности и целостности мультимедиа-информации в информационно-телекоммуникационных системах, обеспечивающих широкополосный доступ к мультимедийным услугам, очевидным решением является использование методов и средств защиты информации, которые обеспечивают безопасность передаваемых данных и аутентификацию субъектов доступа.

Рынок отечественных современных средств защиты данных, передаваемых через открытые сети, представлен известными примерами.

rutokenКомплекс «РУТОКЕН» является аппаратным средством аутентификации и защиты информации, которое позволяет кодировать данные в режимах простой замены, гаммирования и гаммирования с обратной связью. Данные решения обладает производительностью, недостаточной для обработки больших объемов информации (максимальная производительность до 1 Мб/с), не поддерживают современные версии операционных систем, а также уязвимы к локальным атакам при аутентификации, поскольку управление осуществляется через терминал при подключении к недоверенному компьютеру.

kripto-proУстройства защиты данных типа «КРИПТОН» характеризуются высокой стоимостью и низкой скоростью кодирования, при этом одна плата может обслуживать только один персональный компьютер).

В настоящее время ведутся разработки параллельного алгоритма кодирования данных по ГОСТ 28147-89, совместимого с платформой Xeon Phi (фирма Intel). Независимость каждого блока кодирования от остальных в данном решении дает возможность реализовать параллельную обработку блоков сообщения на сопроцессоре. Предполагается, что использование сопроцессоров корпорации Intel с архитектурой Many Integrated Core позволит существенно повысить производительность вычислений. openmpВ указанном проекте используется технология многопоточного программирования OpenMP, которая известна своей простотой и одновременным наличием архитектурных ограничений, что скажется на эффективности, переносимости и гибкости решения.

truecryptШироко известна открытая программная технология кодирования «на лету» TrueCrypt, которая поддерживает параллельное кодирование, что обеспечивает ее производительность на многоядерных и многопроцессорных системах. Однако в данном решении параллельная обработка трафика возможна только на базе одного вычислителя, и программа не предназначена для многопользовательской среды.

В настоящее время ведутся разработки эффективного метода параллельной обработки трафика больших объемов с использованием облачных систем с применением алгоритмов, поддерживающих обработку данных на основе оценочного подхода. Основной задачей является адаптация известных технологий параллельных вычислений для выполнений операций над закодированными данными. При этом максимальная эффективность достигается за счет выполнения параллельных операций с помощью пакета MapReduce. Однако эффективность такой схемы параллельного кодирования зависит от способа развертывания и производительности модели MapReduce, что лишает ее независимости и гибкости.

Таким образом, в настоящее время нерешенными остаются две основные проблемы:

  1. Проблема низкой производительности. Использование средств защиты существенно влияет на производительность и, соответственно, на пропускную способность сетевой подсистемы информационно-телекоммуникационной системы, в которой обеспечивается широкополосный доступ к мультимедийным услугам.
  2. Проблема адаптации целевой системы. Использование средств защиты трафика приводит к необходимости адаптации состава, взаимосвязей компонентов и архитектуры самой системы предоставления доступа к мультимедийным услугам.

Обеспечение производительности системы доступа к мультимедийным услугам является жизненно необходимым эксплуатационным требованием, предъявляемым к современным широкополосным средам и системам, ввиду роста числа одновременных запросов на обслуживания и больших объемов передаваемых данных (например, снимков высокого разрешения, видео-материалов высокого качества и т.п.).

В перспективе такие системы должны быть способны обрабатывать десятки миллионов запросов, поэтому вопросы быстродействия необходимо учитывать уже на этапе проектирования. Особую сложность при реализации данного требования вызывает необходимость обеспечения производительности при обработке поступающих запросов в совокупности с быстродействием подсистемы защиты.

При этом актуальна проблема одновременного обеспечения защиты данных при одновременном выполнении требований высокой производительности.

Защита передаваемых мультимедийных данных заключается в обеспечении безопасности информации, которая передается по открытым телекоммуникационным каналам из системы предоставления цифровых услуг к потребителям и загружается в систему, поступая от источников информации.

Как правило, под данным требованием подразумевается кодирование передаваемых файлов, например, копий фотоданных, видеоданных, текстовой информации большого объема для большого количества потребителей информации. Защита каналов передачи данных заключается в необходимости обеспечения защищенности пакетов сетевого трафика. Данное требование выполняется с помощью потокового кодирования передаваемых через сеть Интернет IP-пакетов. Для решения данной задачи в настоящее время широко применяется технология SSL, основанная на предоставлении доступа к мультимедиа-хранилищам по защищенному протоколу HTTPS. С помощью данной технологии осуществляется аутентификация клиентов, а также защита канала передаваемой информации с помощью различных алгоритмов кодирования. В сравнении с типовым сценарием работы открытого сервера внедрение технологии SSL приводит к появлению дополнительных этапов обработки пользовательских запросов. При этом наблюдается не только ухудшение показателей, но и изменение собственно динамики работы сервера (падение пропускной способности сервера в 4-5 раз).

Помимо этого, вместо практически монотонной априорно предсказуемой работы при обработке HTTPS-трафика наблюдается скачкообразное поведение сервера, что в конечном итоге неблагоприятно сказывается на показателях отзывчивости (отклика) сервисов широкополосного доступа к мультимедийным услугам (замедление ответной реакции сервера в 8-10 раз).

Операции кодирования данных являются достаточно ресурсоемкими и часто потребляют гораздо больше ресурсов, чем собственно обработка пользовательских запросов на доступ к цифровым услугам. Это приводит к тому, что большую часть времени серверы системы предоставления мультимедиа-услуг заняты кодирование и декодированием данных, вычислением хеш-функций и выполнением других функций обработки трафика. Кроме того, при внедрении средств защиты вводятся дополнительные проверки, например, аутентифицирован ли пользователь, имеет ли он права доступа и т.п. Это приводит к тому, что программистам-разработчикам необходимо переконструировать исходный код системы. А в том случае, если требования изменяются или появляются новые, то данные действия необходимо будет повторять заново. Таким образом, проблема адаптации целевой системы представляет также актуальную проблему организации эффективного доступа к мультимедийным услугам, т.к. для надежной и долгосрочной работы системы необходимо поддерживать определенный уровень гибкости и простоты архитектуры.

Ввиду отсутствия высокопроизводительных потоковых средств защиты информации как на отечественном, так и на зарубежном рынке, для решения проблем снижения производительности и обеспечения адаптации систем предлагается разработать принципиально новый подход, который заключается в выделении средств защиты доступа к широкополосным мультимедийным услугам в изолированные сервера с поддержкой автоматической балансировки нагрузки, обеспечив при этом эффективность обработки сетевого трафика за счет реализации принципа разделения трафика на потоки, обрабатываемые в создаваемой виртуальной среде, включающей пул виртуальных машин, мощности которых динамически перераспределяются в зависимости от изменений сетевой нагрузки.