Содержание к диссертации
Введение
ГЛАВА 1. Концепция удостоверяющего центра 12
1.1. Основы инфраструктуры открытых ключей 14
1.2.1. Комбинированное использование криптографических систем 15
1.2.2. Основные понятия и определения PKI... .,.. 17
1.2.3. Компоненты РКТ 20
1.2. Удостоверяющий Центр 22
1.2.1. Назначение удостоверяющего центра 22
1.2.2. Классификация удостоверяющих центров 23
1.2.3. Структура удостоверяющего центра 23
1.2Л Компоненты УЦ 26
1.2,5, Жизненный цикл сертификата в УЦ 27
1.3. Государственное регулирование в вопросе УЦ 28
1АК Трансграничные PKI коммуникации 29
1.4. Практика использования УЦ в РФ 32
1.5.1. Общие показатели отрасли на 2006 год 33
1.5.2. Иерархия структуры УЦ 33
1.5.3. Тенденции использования УЦ 35
1.5.4. Актуальные проблемы использования УЦ 35
1.5. Выводы 38
ГЛАВА 2. Процессное моделирование УЦ 39
2Л. Описание методологии процессного подхода 39
2.1 Л. Методология IDEF 40
2Л.2. Синтаксис графического языка IDEF0 41
2.2. Функциональная модель балансировки нагрузки в сети с УЦ 42
2.2.1. Контекстная диаграмма 43
2.2.2. Диаграмма основной и вспомогательной деятельности УЦ 46
2.2.3. Диаграмма основной деятельности УЦ 48
2.2.4. Диаграмма управления жизненным циклом сертификатов 53
2.2.5. Диаграмма отзыва сертификата 55
2.2.6. Деятельность модуля балансировки нагрузки 56
2.3. Сценарий процесса балансировки нагрузки в нотации IDEF3 60
2.4. Результаты процессного моделирования 61
2.5. Выводы 62
ГЛАВА 3. Оптимизация структуры сети с УЦ 63
ЗЛ. Проектирование архитектуры PKI 63
ЗЛЛ. Формирование модели доверия 63
ЗЛ.2, Определение вида иерархии 68
3.2, Оптимизация структуры сети с УЦ 70
3.2.1. Постановка задачи .» * 71
3.2.2. Выбор критерия оптимизации и ограничений 72
3.2.3. Расчет ограничений 73
3.2.4. Расчет критерия оптимизации , 80
3.2.5. Формализация задачи аналитического моделирования 82
3.2.6. Математическая модель 83
3.2.7. Оптимизационный алгоритм 84
3.2.8. Выбор структуры сети УЦ для имитационного моделирования 87
3.3. Выводы 89
ГЛАВА 4. Адаптивная балансировка нагрузки в сети с УЦ 90
4Л. Балансировка нагрузки 90
4.1.1. Анализ существующих методов балансировки нагрузки 90
4.1.2. Выбор метода балансировки нагрузки сети 96
4Л.З. Введение интегрального критерия оптимизации 99
4Л.4. Принцип формирования графа сети с УЦ 106
4Л.5. Описание матричного метода балансировки нагрузки 106
4.1.6. Сравнение предложенного подхода с другими QoS-методами 109
4.2. Имитационное моделирование системы балансировки 111
4.2.1. Алгоритм имитационного моделирования , 111
4.2.2. Моделирование нагрузки узла 114
4.2.3. Вычисление вектора значений интегрального критерия 115
4.2.4. Балансировка нагрузки 115
4.2.5. Результаты имитационного моделирования 116
4.3. Выводы 122
Заключение 123
Библиографический список 125
- Жизненный цикл сертификата в УЦ
- Диаграмма основной и вспомогательной деятельности УЦ
- Выбор критерия оптимизации и ограничений
- Сравнение предложенного подхода с другими QoS-методами
Введение к работе
С начала нового тысячелетия, все четче прослеживается тенденция удорожания передаваемой и хранимой в вычислительных сетях информации. Все появляются утверждения о том, что стоимость данных превышает не только стоимость организации связи, но и всего программно-аппаратного комплекса и используемых вычислительных средств. Это связано с бурным развитием электронного документооборота, который получил помимо мощной технологической и технической базы еще и юридическую поддержку» Так принятый в 2002 Федеральный закон «Об электронной цифровой подписи» [56] позволил перевеста в электронный вид делопроизводство без потери юридической значимости пересылаемых данных. Помимо государственного сектора, в котором криптография применяется для организации защищенного канала связи между различными департаментами и службами, еще более быстрыми темпами растет ИТ-сектор корпоративного защищенного документооборота. Инвестиции в эту технологичную область сейчас считаются одними из самых быстроокупаемых и перспективных.
Естественно предположить, что ценная информация требует безотказных и надежных методов ее защиты. Эта необходимость привела к качественному пересмотру вопросов информационной безопасности. Этапы информатизации, которые можно выделить в России, достаточно условны и границы их размыты в связи с внушительной разницей в условиях ее проведения. Первый этап характеризуется наполнением рынка вычислительными средствами, он проходил с середины 80-х до середины 90-х годов прошлого века. Следующей стадией информатизации стал процесс формирования и развития рынка российского Интернета (с середины 90-х по сегодняшний день), а параллельно, с развитием телекоммуникационных технологий и повышением риска потери информации в локальных и глобальных сетях, по праву в отдельный этап информатизации можно отнести и развитие сегмента защиты информации.
Последний этап более других размыт по срокам. Но именно сейчас в России технологии защиты информации становятся все более массовыми и доступными.
В любом случае, бесспорным остается тот факт, что на текущий момент и службы информационной безопасности государственных учреждений, и их коммерческие аналоги четко осознали необходимость использования более комплексного и надежного средства зашиты информации, чем межсетевой экран и антивирусное средство, что ни в коей мере не подразумевает отказ от использования этих средств.
Для комплексной защиты документооборота все чаще используется технология Удостоверяющих Центров, базирующаяся на концепции Инфраструктуры Открытых Ключей (ИОК). ИОК основана на криптографических понятиях, методах н теориях, объединенных в единую систему для практического применения.
На данный момент технологию защиты документооборота при помощи Удостоверяющего Центра (УЦ) нельзя назвать абсолютно новой и неисследованной. Уже сейчас на территории страны действует более 300 различных УЦ во взаимодействие с использованием ЭЦП сегодня вовлечено более 150 тыс. юридических лиц [49].
Тем не менее, основная задача по построению единого корневого УЦ еще не решена. Помимо этой задачи, решение которой возможно только на федеральном уровне, в проблематике Удостоверяющих Центров остается еще много проблем, требующих изучения, В частности, одна из задач улучшения качества функционирования сети с УЦ состоит в выборе ее топологической структуры.
Удостоверяющий Центр - технология, ориентированная на распределенную структуру сети, целью которой заключается в надежном хранении и пересылке информации по открытым каналам связи. При распределенной структуре также встает вопрос об используемой в
вычислительной сети с УЦ топологии и взаиморасположении основных элементов системы. Концепция Удостоверяющих Центров и практика их применения показывает, что сеть узлов представляет собой иерархическую древовидную топологию, корнем которой является головной УЦ. Несколько сетей УЦ могут связываться в единую систему с иерархической или сетевой моделью доверия.
Формирование оптимальной структуры сети с УЦ, наряду с другими задачами, решаемыми при проектировании системы защищенного документооборота, является одним из ключевых моментов, от правильности выполнения которого зависит успешность всего проекта. Набольшее влияние на экономическую эффективность имеют два фактора - географическое распределение рабочих мест и управляющих компонент УЦ, а также требования по скорости доставки сообщений [55].
С учетом этих факторов вырабатывается оптимальная на момент проектирования топология, состав и структура компонентов Удостоверяющего Центра, Расчеты топологии сети и размещения узлов УЦ делается с учетом прогнозируемых максимальных нагрузок на эти элементы и линии связи.
В рамках предлагаемого подхода к решению вопросов анализа и синтеза топологической структуры сети перед разработчиком стоит задача формирования оптимальной структуры сети на основе выбранных критериев. На выходе процесса проектирования получается статическая топологическая структура, оптимизированная по выбранному критерию.
Другим нерешенным аспектом использования УЦ, ставшим объектом исследования, проводимого в рамках диссертационной работы, является распределение нагрузки между управляющими компонентами УЦ (УК УЦ). Даже правильно спрогнозированная абонентская нагрузка узлов, прикрепленных к управляющим компонентам сети, а также восходящая и нисходящая транзитная нагрузка самих УК УЦ, не позволяет учесть резких перепадов интенсивности информационного потока. Ситуация осложняется
тем, что вышедшие из строя УКУЦ требуют своевременного
перераспределения поступающих на них сообщений. В связи с этим актуален вопрос адаптивной балансировки нагрузки в сети с УЦ
Целью диссертационной работы является создание метода динамической адаптации нагрузки на компоненты сети УЦ, а также разработка алгоритма построения оптимальной топологической структуры сети с Удостоверяющим Центром, Для достижения данных результатов в диссертации решаются следующие задачи:
проведение комплексного системного анализа предметной области (концепция Удостоверяющего Центра);
рассмотрение возможных вариантов построения топологической структуры сети с УЦ;
формирование списка критериев, влияющих на структуру сети;
разработка математической модели для представления сети с УЦ;
разработка алгоритма построения оптимальной топологической структуры сети с УЦ;
выбор интегрального критерия оптимизации системы балансировки нагрузки в сети;
разработка алгоритма адаптивной балансировки нагрузки на УК УЦ.
Объектом исследования является сеть с УД в которой требуется повысить качество функционирования путем оптимизации и реконфигурации ее топологической структуры, а так же динамического управления информационным потоком.
Предметом исследования являются аналитические и имитационные модели, формализующие процесс генерации и трансляции информационного потока в сети с УЦ с учетом ее топологических особенностей и набора входящих параметров. В процессе моделирования используется системный подход, методы структурного анализа, теории графов и теории массового обслуживания, методы математического моделирования.
Научная новизна работы выражается в следующем;
На основании проведенного анализа обоснован выбор и предложена структура распределенной сети с УЦ,
Разработана функциональная модель сети с УЦ в нотациях IDEF0, позволяющая определить взаимосвязь между информационными потоками и провести функциональную декомпозицию системы»
Разработан эвристический алгоритм поиска оптимальной топологической структуры сети с использованием предложенного критерия оптимизации и ограничений, рассчитываемых на основе приведенных затрат и вероятностно-временных характеристик,
Предложен интеграчьный критерий оптимизации системы адаптивной балансировки нагрузки на УК УЦ.
Предложен метод адаптивной балансировки нагрузки на УКУЦ на основе матричного подхода, дополненный использованием матриц транзитных путей.
Практическая ценность работы выражается в следующем:
L На основе созданных математических моделей и алгоритмов разработан программный модуль «Верба-САБ» (система адаптивной балансировки), дополняющий базовую функциональность Удостоверяющего Центра возможностью мониторинга и перераспределения нагрузки на узлы сети.
Результаты имитационного моделирования получены при помощи специально разработанного для этих целей программного модуля, который позволяет сгенерировать входящий информационный поток и реакцию на него со стороны УК УЦ с учетом задаваемых параметров быстродействия, текущей загруженности и надежности работы. Это делает его пригодным для использования в отладочных целях на реальных действующих сетях с УЦ,
Разработанный алгоритм адаптивной балансировки нагрузки на УКУЦ применяется в программно-аппаратном комплексе криптографической
защиты информации «Универсальный пункт Верба-ВБ», созданном с учетом результатов исследований, проведенных в диссертационной работе. 4. Результаты исследования нашли практическое применение при построении средства криптографической защиты информации «Верба-ДМ», получившего сертификат ФСБ по уровню КС2 с моделью нарушителя Н2. В диссертационной работе защищаются следующие положения:
процессная модель защищенного документооборота на основе сети с УЦ;
аналитическая модель оптимизации топологической структуры сети с УЦ;
эвристический алгоритм поиска оптимального местоположения узлов УЦ;
интегральный критерий оптимизации нагрузки на УК УЦ;
алгоритм нахождения оптимальных для перераспределения информационного потока управляющих компонент УЦ;
имитационная модель балансировки нагрузки на УК УЦ;
программные комплексы криптографической защиты информации «Верба-ВБ» и «Верба-ДМ».
Система адаптивной балансировки нагрузки реализована в программно-аппаратном комплексе защиты информации «Верба-ВБ», который внедрен в ряде предприятий (ООО «ТехИнформКонсалтинг» г. Москва, ЗАО «ИнфоКоммуникационные технологии «Верба» г. Москва» 000 «ВолгаБлоб» г. Волгоград), В настоящее время от лица 000 «ВолгаБлоб», учрежденного после выигрыша заявки в Фонде содействия развитию малых форм предприятий в научно-технической сфере, проходит доработка комплекса до статуса корпоративного УЦ и интеграция его в ряд информационно-вычислительных систем (система «Эталон» фирмы Цефей, Москва; телекоммуникационная система «Евразия-регионы» г. Москва и др.).
Основные положения работы докладывались и обсуждались в ходе научных семинаров кафедры «ЭВМ и систем» ВолгГТУ, а также на
всероссийских и международных конференциях («Телематика-2003/2004/2005», СПб; «Информационная безопасность 2004», МИФИ, Москва; «Информационные технологии в науке и образовании 2004», Волгоград; "IT + S&E'05", Ялта-Гурзуф, 2005,2006; «Инноватика-2005», Москва, 2005). По теме диссертации опубликовано 14 печатных работ, в том числе 2 в центральных изданиях. На СКЗИ «Верба-ДМ» и «Верба-ВБ», в которых применялись результаты диссертационных исследований, получены свидетельства об регистрации программ в Федеральном институте промышленной собственности (Роспатенте).
Диссертационная работа состоит из введения, четырех глав и заключения. В первой главе описывается концепция построения защищенного документооборота на базе вычислительной сети с Удостоверяющим Центом. Во второй главе описывается процессный подход моделирования сети с УЦ производится декомпозиция УЦ по функциональному критерию, выделяются ключевые элементы основной деятельности. Детально рассмотрен комплекс мер по улучшению функционирования сети.
В третьей главе описана аналитическая модель процесса построения оптимальной топологической структуры сети с УЦ на основе теории массового обслуживания. Оптимизационный алгоритм реализуется с использованием эвристических приемов.
В четверной главе приводится алгоритм адаптивной балансировки нагрузки, по которому разработана имитационная модель. Введен интегральный критерий оптимизации нагрузки, что позволило максимально приблизить имитационную модель к реальности.
Жизненный цикл сертификата в УЦ
Оджш го осноннык іадот, решаемых РКІ, жшнешюго цмшіа кяювдвдто матувала, нтшшя с процесса его завершая процессом уничтожений по истечении срока его действия.
Особенность работы с юдачевьш материалом в РКІ заключи что после процедуры гш&ршщи каждый компонент ключевой пары свою собственную жизнь: секретний шит - в гаадетае элемента r-реды бегшігасностк (Р$Е)Т открытый ключ - к составе сертификата кяючя. Это обусловливает ряд проблем, гаюапных с синхрон жшменных циклов ключей,
Составлшопдае жшиешюго цикла ключей определяются уровнем уничтожение в даго также моїух входить функции восстановления ключей посла утраты в временного их ИЗЪЯТИЯ ИЗ обращения. За все эта фувадш тычз&т АРМ Абонента. Схша, приведенная на Рис. І 0, мшшстрирует зтзігьг жизнейного и&кзш сертификата и модули УІ і принимающие в НИХ участке.
Развитие системы удостоверяющих центров в РОССИИ расем&гримаетен в качестве одного из приоритетных ышраидсиий государственной политики В області! информационных технологий.
Уполномоченным органом исполнительной власті! в области использовании ЭЦП является Федеральное агентство но информационным технологиям, входящее в состав Министерства информационных технологий [55] Этот государственный орган ориентирован на работу внутри страны, в его обязанностях не декларируется развитие международного сотрудничества но развитию электронного документооборота, С другой стороны, именно это ведомство должно курировать подобного рода вопросы, на которых имеет смысл остановиться подробнее.
Одной из важнейших целей защищенного электронного документооборота является обеспечение юридической значимости ЭЦП под документами в рамках национальной инфраструктуры открытых ключей, поэтому следует рассмотреть вопрос использования отечественной ЭЦП на международном уровне и признанности ЭЦП различных государств.
В результате контактов российских экспертов с рядом авторитетных зарубежных специалистов в этой области, выяснилось, что создаваемые в мире национальные PKI не могут взаимодействовать друг с другом, поскольку не обеспечивают необходимую юридическую значимость трансграничных коммуникаций. Даже в объединенной Европе [19] этот вопрос не решен полностью.
Один из аспектов этой сложной проблемы заключается в степени взаимного доверия государств в сфере национальной информационной безопасности, поскольку в основе применяемых цифровых подписей лежат различные национальные криптографические алгоритмы. Следствием этого и ряда других причин, излагаемых ниже, является невозможность полноценно использовать такой мощный инструмент информационного общества, как Интернет для целей делового общения. К ним относится международная электронная торговля, дистанционное образование, электронное правосудие, мобильные платежи и другие задачи, которые сегодня являются привычными в традиционном физическом мире.
Большинство преступлений, совершаемых в Интернет, основано на его публичности и анонимности пользователей - базовых принципах этой сети, заложенных еще при ее формировании.
Задача защиты информации внутри одной страны ориентируется на национальные стандарты по защите информации и3 соответственно, на отечественные криптографические алгоритмы. Даже при общих форматах передаваемых данных (соответствие международным стандартам и спецификациям PKCS#, RFC, X.5Q9 и т.п.) совместимости между российскими и зарубежными СКЗИ в целом и УЦ в частности не может быть теоретически. Российская нормативная база не позволяет использовать для защиты информации внутри страны алгоритмы, отличные от отечественных стандартов.
В настоящее время начата проработка этой проблемы, прежде всего с технологических позиций, и выработано одно из возможных решений. Оно направлено на сохранение в разных странах собственного пространства доверия при обеспечении возможности трансграничного обмена электронными документами. Эта технология условно называется «электронный нотариат».
Кроме того, проведенны й анализ показал, что для практического применения таких решений потребуется внести изменения в международное право, например, в Гаагскую конвенцию 1961 года «Об апостилях», которая регулирует взаимное межгосударственное признание обычных бумажных документов. Возможным вариантом может быть принятие отдельной специализированной Конвенции о порядке признания электронных документов.
Отсутствие каких-либо границ в глобальном электронном пространстве приводит к тому, что возникшая проблема не может быть эффективно решена только в национальном формате. Глобализация экономики привела в движение гигантские потоки людей, товаров, транспорта, финансовых ресурсов. Это вызывает естественное стремление населения разных стран получать качественные юридически значимые информационные услуги в любой точке земного шара.
Задача может быть решена только при достижении соответствующих межгосударственных договоренностей поскольку касается вопроса защиты прав граждан, находящихся под юрисдикцией различных национальных законодательств. После этого использование ЭЦП для аутентификации участников юридически значимых коммуникаций станет массовым.
Первые попытки создания международного соглашения подобного рода были предприняты в 2005 году, когда была разработана «Конвенция об использовании электронных сообщений в международных договорах». Но этот документ обладал рядом существенных недостатков, не позволившим ему стать нормативной основой межгосударственного взаимодействия.
Технически проблему межгосударственного юридически значимого электронного документооборота может решить создание ряда сервисов, объединенных в понятие электронного нотариата.
Диаграмма основной и вспомогательной деятельности УЦ
Используя процессный подход, можно представить деятельность Удостоверяющего Центра, как иерархическая совокупность целевых и вспомогательных процессов. Такое представление существенно облегчает определение целей и задач модуля балансировки нагрузки на узлы сети «Верба-САБ», как составной части УЦ, а также его взаимосвязей с Удостоверяющим Центром, как комплексом, представленным в виде «черного ящика» без функционального разбиения на модули,
«Верба-САБ» выполняет следующие действия:
- производит мониторинг текущих нагрузок на УК УЦ;
- формирует предупредительные сигналы при работе УЦ;
- анализирует статистику нагрузок на управляющие модули УЦ;
- перераспределяет нагрузку на УК УЦ по результатам анализа; Перечисленные функции повышают эффективность работы УЦ в целом за счет минимизации издержек по простою оборудования и персонала и позволяют избежать значительных потерь от неправильного или несвоевременного для УЦ обращения с информационными, программными и аппаратными активами.
Преимуществом модуля «Верба-САБ» является формирование отчетов в терминах предметной области, т.е. максимально приближенных к реалиям работы Удостоверяющего Центра, что делает представленную в них информацию максимально востребованной и воспринимаемой для управляющего персонала.
На Рис. 18 представлена диаграмма, построенная в нотации IDEF0, которая иллюстрирует связь целевой функции «Верба-САБ» и основной функции УЦ, которую можно сформулировать, как реализацию PKI.
Рис» 18. Диаграмма влияния процесса балансировки нагрузки на работу УЦ Из приведенной диаграммы видно, что входными параметрами для «Верба-САБ» являются: информация о среде УЦ; статистические данные о нагрузке на модули УЦ; информация о текущей структуре УЦ. Помимо этого для функционирования «Верба-САБ» необходимы нормативные документы, пороговые значения показателей нагрузки и управляющие сигналы от УЦ. Выходом деятельности модуля «Верба-САБ» являются: сигналы опасности, вырабатывающиеся в случае превышения показателей нагрузки на управляющие компоненты УЦ заданных пороговых значений;
отчеты, содержащие графические данные - результаты анализа статистических данных;
управляющие сигналы, обеспечивающие при наличии средств обратной связи в управляющих модулях, возможность перераспределение нагрузки в иерархической структуре УЦ.
Приведенная структура является первым уровнем формализации функций «Верба-САБ» в контексте всего Удостоверяющего Центра, Последующие шаги по детализации каждого вида деятельности позволяют построить конечную функциональную модель этого модуля.
Дальнейшей декомпозицией структуры УЦ является разбиение основной деятельности УЦ по реализации ИОК (PKI) на ряд базовых процессов,
Выбор критерия оптимизации и ограничений
Вероятностно-временные характеристики, отражающие требования абонентов, не могут быть приняты в качестве критерия оптимизации, т.к. эти требования трудно определить с достаточной степенью точности. Этот тип характеристик сети больше подходит к группе параметров ограничений [20], равно как и внутренние параметры сети с УЦ, включая пропускную способность, производительность и надежность узлов. Внешние воздействия и научно-технические решения являются факторами, влияющими на внутренние параметры, и потому тоже не могут быть приняты в качестве критерия оптимизации. Более точную оценку дают экономические критерии. При этом можно рассматривать капитальные и приведенные затраты, а также срок окупаемости [12, 48].
Наиболее просто задача решается с помощью критерия капитальных затрат. Однако такая оценка может привести к существенной ошибке, поскольку эксплуатационные расходы могут быть не только сопоставимы, но и превышать издержки на первичное разворачивание сети с УЦ. Специфика расходов на содержание сети УЦ привела к необходимости видоизменения формулы расчета экономического критерия оптимизации, в качестве которого выбраны приведенные затраты на внедрение и обслуживание сети с УЦ.
В качестве ограничений, как уже было сказано выше, могут выступать параметры качества обслуживания (вероятностно-временные характеристики, старение сообщения, вероятность своевременной доставки сообщения, достоверность) и внутренние параметры сети (пропускная способность, надежность, производительность).
В предлагаемой модели ограничениями выбраны два параметра: вероятность своевременного обслуживания и время обслуживания сообщений. Их расчет на основании теории массового обслуживания, приведен далее.
Стохастический характер поступления данных и их детерминированная обработка делают возможным использование СеМО в качестве адекватной модели сети УЦ с пакетной коммутацией [21,30,32]. Основная задача моделирования состоит в анализе наиболее важных характеристик сети передачи данных [66].
В первой фазе СеМО происходит формирование запросов на абонентских местах и служебных сообщений на УК УЦ. Информационный поток, состоящий из этих сообщений, поступает в сеть УЦ. Пунктами назначения являются УК УЦ. В случае восходящих/нисходящих по иерархии запросов, а так же в случае перераспределения информационных потоков в результате балансировки нагрузки, сообщения могут быть перенаправлены на другой узел сети (УК УЦ), В случае изменения маршрута сообщений алгоритм адаптивной балансировки может привести к включению в путь следования транзитных узлов. Общее число узлов и соответствующих им фаз СеМО в дальнейшем примем равным п.
Информационные процессы в сети с УЦ предлагается интерпретировать несколькими способами, описанными далее,
Информационные процессы в сети с УЦ представляются в виде многофазной многоканальной сети массового обслуживания с отказами и повторными вызовами, прямым порядком обработки входящего информационного потока, распределенного по экспоненциальному закону в условиях реальной надежности. Приоритетность информационного потока не учитывается. В соответствии с классификацией Кендалла такая СеМО обозначается, как М1 ; \dx\ [65].
Сравнение предложенного подхода с другими QoS-методами
Большинство применяемых методов оптимизации работы сети направлены на перераспределение ресурсов отдельного маршрутизатора между различными протекающими через него потоками. Именно эту задачу решают методы, объединенные под общим названием Quality of Service (QoS).
Quality of Service (QoS) предполагает способность сети обеспечить необходимый сервис заданному трафику в определенных технологических рамках [38]. В самом определении ограничен спектр действия комплекса мер по обеспечению качества связи только технической компонентой. Среди распространенных критериев, лежащих в основе QoS, можно выделить
Bandwidth (BW) - полоса пропускания;
Delay - задержка при передаче пакета;
Jitter - колебание (вариация) задержки при передаче пакетов;
Packet Loss - потери пакетов.
Требования по качеству обслуживания сети сформированы в виде сервисных моделей QoS. Так Integrated Service (IntServ, RFC 1633) обеспечивает качество обслуживания, гарантируя необходимую пропускную способность, a Differentiated Service (DiffServ, RFC 2474/2475) можно кратко охарактеризовать как приоритезацию трафика (Prioritization).
Применительно к сети УЦ необходимо сказать, что возможности ранжирования важности данных, предусмотренные в QoS (например, задание поля DSCP в IP-заголовке) будут действовать для всего передаваемого трафика. Обработка значения приоритетов ведется на сетевом уровне OSI-модели, что не позволит выделить из массива передаваемых данных PKI-элементы. Т.к. канал связи, по которому взаимодействуют УК УЦ, в большинстве случаев использует Интернет, то контроль качества обслуживания такого рода явно не подойдет для балансировки нагрузки на УК УЦ. Это связано с тем, что в сети, помимо трафика данных, предназначенного для УК УЦ, много служебной информации высокого приоритета (к примеру, сообщения RIP и ICMP протоколов), что затрудняет выделение требующейся информации. Малопригодна для сети УЦ и методика управления перегрузками, рассматривающая очереди пакетов на выходных буферах коммутационного оборудования.
Применение существующих моделей QoS осложняется некорректной обработкой битов приоритета некоторыми моделями маршрутизаторов. Т.к. при взаимодействии УКУЦ трафик проходит через коммутационное оборудование Интернет-провайдеров, то нет гарантии соблюдения политики приоритетов трафика, принятой для сети с УЦ.
Основной недостаток, свойственный для протоколов маршрутизации трафика и балансировки нагрузки на маршрутизаторы, (такие как RIP, и состояния связей, такие как OSPF и IS-IS), выражается в переключении всего трафика на кратчайший маршрут, что не позволяет оптимально загрузить каналы связи. Переводя эту проблему в плоскость вопроса сети с УЦ, можно сказать, что предложенный матричный подход балансировки нагрузки лишен этого недостатка. Действительно, если строить матрицу балансировки через небольшие интервалы времени, то распределение трафика по УК УЦ может вестись в соответствии не только с загрузкой и доступностью линии связи, но и с учетом текущей нагрузки на УК УЦ. Это позволяет для новых поступающих данных динамически определять оптимальный маршрут и конечную точку обработки.
Подводя итог, следует отметить, что оптимальным является использование QoS-требований, совместно с предложенным механизмом балансировки нагрузки. QoS приоритезация трафика позволит выделить его среди всей информации, принимаемой на УК УЦ, а перераспределение нагрузки позволит снизить нагрузку на перегруженные узлы сети. Более того, новые QoS разработки позволяют работать с прикладным уровнем по модели OSI (например, QoS Works компании Sitara), что позволит обеспечить привилегированные права для компонент УЦ, реализующих балансировку нагрузки {«Верба-САБ»). Данная технология называется профилированием трафика и требует поддержки со стороны коммутационного оборудования, при которой балансировка нагрузки может стать более эффективной [52],
