Моделирование и оценка производительности работы защищенных каналов в корпоративных сетях

Вид работы:

Дипломная (ВКР)
Предмет:

Информационное обеспечение, программирование
Язык:

Русский
,
Формат файла:
MS Word

1,64 Мб
Опубликовано:

2013-07-26

Все дипломные работы по информационному обеспечению

Скачать дипломную работу Читать текст online Заказать дипломную
*Помощь в написании! Посмотреть все дипломные работы

Вы можете узнать стоимость помощи в написании студенческой работы.

Моделирование и оценка производительности работы защищенных каналов в корпоративных сетях

Оглавление

Введение

Глава 1. Предметная область и постановка задачи

.1 Аппаратные средства построения VPN

.2 Программные реализации VPN

.3 Платформы реализации защищенного канала

Глава 2. Алгоритмы шифрования в защищенных каналах

.1 Асимметричные алгоритмы шифрования

.2 Симметричные алгоритмы шифрования

.3 Режимы шифрования

Глава 3. Моделирование, производительность и масштабируемость защищенных каналов

.1 Моделирование и оценка производительности работы защищенных каналов

.1.1 Оценка производительности защищенного канала

.1.2 Разработка модели функционирования сети

.1.3 Многомерный регрессионный анализ

.2 Механизмы оптимизации

.3 Производительность 1С: Предприятие 8.1

.4 Тестирование 1C Предприятия

.4.1 1С: Корпоративный инструментальный пакет

.4.2 Тест-центр

.4.3 Центр управления производительностью

.5 Результаты тестирования платформы 1С: Предприятие 8.1

.5.1 Тестирование с помощью TPC-1C-GILV-A

Заключение

Список используемой литературы

Приложение

Введение

В первое поколение (1945-1954) развития компьютерной техники, Клод Шеннон (создатель теории информации), Алан Тьюринг (математик, разработавший теорию программ и алгоритмов) и Джон фон Нейман (автор конструкции вычислительных устройств, которая до сих пор лежит в основе большинства компьютеров) и другие великие математики, стоявшие у истоков информационных технологий, могли лишь мечтать о том, чтобы их ЭВМ могли хотя бы провести элементарные расчёты. По мере развития информационных технологий более остро вставал вопрос не только сохранения результатов расчётов, но и их защиты от несанкционированного доступа. В конечном итоге это привело к широкому использованию шифрования информации на её носителях.

В век, когда информационные технологии поглотили наш мир полностью, когда мы уже не можем представить себе жизнь без компьютера, когда даже поход в магазин за хлебом оборачивается общением с вычислительной техникой, люди все больше задумываются не столько о безопасном хранении данных, а о территориальной безопасной передачи этих данных. Вначале эта проблема решалась прокладкой прямого кабельного соединения физически защищённого от перехвата информации, учитывая большие материальные затраты, такую защиту могли себе позволить только крупные корпорации и государственные органы. Быстрое развитие интернет породило новую тенденцию - использование для построения глобальных корпоративных связей более дешёвого и более доступного транспорта Интернет. Влияние Интернет на корпоративные сети способствовало появлению нового понятия - Intranet, при котором способы доставки и обработки информации, присущие Интернет, переносятся в корпоративную сеть. Однако Интранет представляет собой очевидную угрозу безопасности сети предприятия, поскольку внутренние ресурсы корпоративной сети становятся доступными многим пользователям Интернет, а конфиденциальный трафик может быть просмотрен злоумышленником. Для обеспечения безопасного сетевого соединения с распределенными подразделениями компании организуется виртуальная частная сеть (Virtual Private Networks, VPN), которая использует набор технологий, гарантирующих секретность, защиту и целостность данных, передаваемых по сети общего пользования. Слово «частный» в данном контексте означает, что передача данных между удаленными пользователями корпоративной сети компании осуществляется в зашифрованном виде, что позволяет говорить о создании безопасного канала связи - «туннеля». В качестве среды транспортировки шифрованных данных используется Интернет.

Данное решение является оптимальным в плане финансовых затрат и позволяет обеспечить наиболее гибкий способ доступа удаленных пользователей к ресурсам корпоративной сети.

Глава 1. Предметная область и постановка задачи

Перед администраторами удаленного доступа и систем VPN стоит сложная задача - подготовить и развернуть такое решение, которое даст возможность одновременно удовлетворять потребностям различных пользователей корпоративной сети предприятия. В настоящее время на рынке средств организации виртуальных частных сетей имеется множество готовых решений и технологий, частично дублирующих друг друга по выполняемым функциям.

Все продукты для создания VPN можно условно разделить на две категории - программные и аппаратные. Программное решение для VPN - как правило, готовое приложение, которое устанавливается на подключенном к сети компьютере со стандартной операционной системой. Из соображений защиты и производительности для установки VPN-приложений лучше всего выделять отдельные машины, которые должны устанавливаться на всех концах соединений. Ряд производителей, таких как компании Axent Technologies, Check Point Software Technologies и NetGuard, поставляют VPN-пакеты, которые легко интегрируются с программными межсетевыми экранами и работают на различных операционных системах, включая Windows NT/2000, Sun Solaris и Linux.

Для развертывания программные решения обычно сложнее, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. Такая работа сложна даже для опытных специалистов. С другой стороны, стоимость программных решений относительно ниже: в зависимости от размера сети можно приобрести VPN-пакет за 2-25 тыс. долл. (без стоимости оборудования, установки и обслуживания).

Аппаратные VPN-решения включают в себя все, что необходимо для соединения: компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Ряд компаний, в том числе Cisco Systems, NetScreen и Sonic, предлагают целый спектр решений, которые могут масштабироваться в зависимости от количества одновременных VPN-соединений, с которыми планируется работать, и ожидаемого объема трафика. Развертывать аппаратные решения значительно проще, на их запуск требуется всего несколько часов. Еще одним серьезным преимуществом аппаратных VPN-решений является более высокая производительность. В них используются специальные печатные платы и операционные системы, оптимизированные под данную задачу и освобожденные от необходимости поддерживать другие функции. К минусам аппаратных решений относится их высокая стоимость. Диапазон цен - от 10 тыс. долл. за устройство для удаленного офиса до сотен тысяч долларов за VPN для предприятия.

Выбор решения зависит от размера сети и объема трафика. Не нужно забывать, что шифрование требует существенных вычислительных ресурсов и может перегружать компьютер, когда несколько VPN-соединений одновременно участвуют в передаче данных.

.1 Аппаратные средства построения VPN

Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служат продукты:

· Xedia Access Point 1000. Устройство Access Point 1000 представляет собой высокопроизводительный маршрутизатор для доступа к сети Internet; оно поддерживает ряд IP-услуг, включая передачу трафика в сети Internet по защищенным IPSec-туннелям. Данный маршрутизатор может размещаться как часть службы оператора, например, провайдера услуг Internet, либо как часть инфраструктуры большой корпоративной сети. Обладая мощными средствами обеспечения безопасности, отличной производительностью и возможностями расширения, маршрутизатор Access Point 1000 идеально подходит для работы в качестве интегрированного в VPN маршрутизатора либо в качестве VPN-шлюза в больших информационных центрах. Согласно сайту производителя, его стоимость составляет $19 995 за устройство, а также $1 000 за программный пакет QVPN.

· Lucent VPN Gateway. Межсетевой шлюз Lucent VPN Gateway специально оптимизирован для обеспечения максимальной безопасности. Безопасность обычно достигается за счет некоторого снижения производительности устройства; это отражается в параметрах производительности данного продукта. В отличие от других испытанных VPN-шлюзов, где аппаратное и программное обеспечение находятся в одном корпусе, в данном продукте аппаратное устройство (устройство для доступа к VPN) и ПО (сервер управления VPN-шлюзом, VPN Gateway Management Server) представляют собой отдельные компоненты. Согласно сайту производителя, его цена составляет $21 990; комплект поставки включает два аппаратных модуля Lucent VPN Gateway, программные модули Lucent Security Management Server Software и Lucent IPSec Client, а также лицензию на 100 одновременных VPN-сеансов.

· VPNet VSU-1100. Продукт VSU-1100 представляет собой высокопроизводительный VPN-шлюз для защищённых коммерческих сетевых приложений. Он может применяться крупными предприятиями, создающими собственные VPN, провайдерами сетевых услуг, которые размещают управляемые услуги VPN и провайдерами приложений (ASP- Application Service Provider), оказывающими важные коммерческие услуги (business-critical solutions) корпоративным клиентам. Продукт VSU-1100 поддерживает полный набор VPN-услуг, например, IPSec-шифрование, утвержденное Международной ассоциацией надежности вычислительных систем (ICSA -International Computer Safety Association); сжатие и аутентификацию пакетов; управление ключами с помощью протоколов IKE и протокола IP c ключами защиты (SKIP - Secure Key Internet Protoсol); преобразование сетевых адресов (NAT - Network Address Translation) и цифровые сертификаты. Стоимость составляет $4 995 за один узел, $9 990 за два узла, а многоузловой модуль VPNmanager MultiSite стоит $1 995. Лицензия на один клиентский модуль продается за $99.

· RadGuard cIPro-VPN. Продукт cIPro-VPN фирмы Radguard представляет собой аппаратный VPN-шлюз с мощными механизмами безопасности, который может применяться в сетях intranet, extranet, VPN-коллективного пользования и на безопасных виртуальных частных каналах для мобильных пользователей. Продукт cIPro-VPN использует аппаратный модуль сертификации, и совместим со стандартами IPsec и X.509. Он очень легок в установке и эксплуатации, не требует ни детальных знаний основ информационной безопасности, ни уникальных навыков работы с сетями. Средняя цена равна $14 950 за комплект, включающий в себя два устройства доступа к VPN с функциями межсетевого экрана, а также ПО для сертификации и управления.

Следует отметить, что использование рассмотренного перечня аппаратных средств для построения VPN предполагает большие материальные затраты (более 10000$). Для многих фирм такое решение является неприемлемым. Высокая стоимость этих устройств не является их единственным недостатком. Здесь следует отметить также отсутствие мобильности и возможности смены набора алгоритмов шифрования для передаваемых данных.

1.2 Программные реализации VPN

Способы построения защищённых каналов на базе программных реализаций VPN включают в себя:

1. Использовать свободной реализации IPSec (Internet Protocol Security). В качестве таковой могут выступать FreeSWAN или FreeBSD IPSec.

2. Внедрить коммерческого решения. Например, Cisco VPN или Securepoint VPN Server, которые также основаны на IPSec.

. Взять на вооружение свободные разработки, использующие криптографические алгоритмы собственного изготовления. Список таких приложений довольно велик. Поэтому перечислим только те, что у всех на слуху - cipe, vpnd, tinc, - этот список можно было бы продолжать очень долго.

. Самостоятельно написать программное обеспечение, реализующее все механизмы VPN.

. Использовать PPTP (Point to Point Tunneling Protocol).

6. Внедрить программный пакет OpenVPN.

Рассмотрим более подробно достоинства и недостатки каждого из приведённых выше программных средств реализации VPN.

Последние несколько лет при создании VPN, стандартом де-факто считается IPSec. Такая распространенность помогает не слишком беспокоиться о совместимости VPN-серверов и клиентов. Единый стандарт - очень удобен. Подобный способ хорош тем, что не потребует больших материальных затрат и в то же время предлагает стойкую криптографическую защиту передаваемых данных. Но на этом его преимущества заканчиваются. Основным недостатком IPSec является то, что он некорректно работает с межсетевыми экранами, особенно если используется технология NAT. Экраны с контролем состояния соединения (statefull firewall), находящиеся между двумя точками виртуального тоннеля и управляемые провайдером, могут не пропускать те или иные IPSec-пакеты. О кроссплатформенности разных реализаций IPSec пока остается только мечтать в связи с тем, что для реализации функций IPSec приходится вносить в ядро операционной системы и IP-стек довольно много изменений. Как гласит старинная пословица: «Надежность заканчивается там, где начинается сложная механика», это значит, что одна-единственная ошибка в коде, реализующем IPSec, приведет к снижению безопасности. Вдобавок, на данный момент, не существует легко настраиваемого свободного клиента. Также стоит обратить внимание на большую сложность установки и настройки такого комплекса по сравнению с остальными типами VPN. Еще одним из минусов является отсутствие технической поддержки. Если возникнут трудности, то на квалифицированную помощь от производителя рассчитывать нельзя.

Второй способ подходит для тех, кто готов вложить большие деньги (значительно меньшие, чем в аппаратные средства). Достоинством такого решения является то, что будет получена качественная техническая поддержка. Также обычно оказывается бесплатная помощь специалистов, которые самостоятельно, или по вашим указаниям, решат, как именно соединить сети для достижения наилучшего результата. Да и с технической документацией вероятнее всего дело будет обстоять очень хорошо. Но, как всегда в жизни, плюсов без минусов не бывает. Выбрав решение от одного производителя, вы будете впредь очень сильно привязаны к нему. Соответственно, если выбранный поставщик не реализует те или иные возможности в своей продуктовой линейке, скорее всего, вы не сможете ими воспользоваться.

Третий вариант наиболее подходит для тех, кому нужно развернуть VPN без больших затрат времени, сил и капиталовложений. В то же время нужно отдавать себе отчет, что обычно подобные программы пишут для собственного использования те, кто не смог или не захотел разобраться с принципами работы и методикой настройки IPSec. Соответственно основной идеей разработки является удобство использования и нетребовательность к ресурсам. Со временем такие программы понемногу совершенствуются, но все, же не стоит ожидать от них запредельной надежности и безопасности. Происходит это потому, что каждый автор использует свои собственные реализации крипто алгоритмов. Конечно, они обеспечивают некоторую степень защищенности, но без проведения сторонней экспертизы точно сказать, насколько надежно работают, довольно затруднительно. Соответственно данный класс программ больше подходит для защиты каналов, по которым передается информация с малым временем жизни, предназначенная для ограниченного распространения. Внедрение такого решения позволит защитить данные от начинающих злоумышленников, но не от профессионалов в области промышленного шпионажа. Впрочем, для некоторых предприятий вполне достаточно и таких возможностей.

Четвертый путь выглядит привлекательным только для специалистов в области криптографии, обладающих большим количеством свободного времени. Но, к сожалению, таких людей в мире немного.

Вариант решения, основанный на PPT, большей частью используется приверженцами Microsoft. Данный стандарт реализует довольно стойкое шифрование и аутентификацию соединений. Созданный в недрах большой Редмондской корпорации, он не получил особого распространения в мире UNIX. Хотя свободное программное обеспечение для работы с ним существует и пользуется некоторым спросом, все же решения на основе IPSec практикуют гораздо чаще. Происходит это, видимо, потому, что IPSec имеет более надежные процедуры шифрования.

Ну а большинству администраторов, не воспользовавшихся вариантами, предлагаемыми выше, видимо, придется обратиться к программе OpenVPN (сайт проекта #"655974.files/image001.gif"> и

· Вычисляется их произведение

· Вычисляется Функция Эйлера

· Выбирается целое такое, что и взаимно простое с

С помощью расширенного алгоритма Евклида находится число такое, что

это значит, что при некотором целом .

Число называется модулем, а числа и - открытой и секретной экспонентами, соответственно. Пара чисел является открытой частью ключа, а - секретной. Числа и после генерации пары ключей могут быть уничтожены, но, ни в коем случае не должны быть раскрыты.

Для того, чтобы зашифровать сообщение вычисляется

Число используется в качестве шифр-текста. Для расшифровывания нужно вычислить .

Нетрудно убедиться, что при расшифровывании мы восстановим исходное сообщение:

(2.1)

Из условия следует, что для некоторого целого , следовательно,

Согласно теореме Эйлера:

поэтому

На случайные простые числа и накладываются следующие дополнительные ограничения:

· и не должны быть слишком близки друг к другу, иначе можно будет их найти, используя метод факторизации Ферма. Однако, если оба простых числа и были сгенерированы независимо, то это ограничение с огромной вероятностью автоматически выполняется.

· Необходимо выбирать «сильные» простые числа <#"655974.files/image025.gif">

Рис. 2.1 Схема шифрования DES

Входной блок данных, состоящий из 64 бит, преобразуется в выходной блок идентичной длины. Ключ шифрования должен быть известен как отправляющей, так и принимающей стороне. В алгоритме широко используются битовые перестановки.

В основе алгоритма лежит цепь Фейстеля, чья цикловая (раундовая) функция f обрабатывает 32-разрядные слова (половину блока) и использует в качестве параметра 48-разрядный подключ (J). Сначала 32 входные разряда с помощью расширяющей перестановки преобразуются в 48 (некоторые разряды повторяются). Схема этого расширения показана ниже (номера соответствуют номерам бит входного 32-битового блока).

Рис. 2.2 Расширяющая перестановка

Значение на выходе ключевого сумматора получается в результате побитового сложения (исключающее ИЛИ, xor) сформированного 48-разрядного блока и текущего подключа. Результирующий 48-разрядный блок преобразуется в 32-разрядный с помощью S-блоков. Затем выполняется ещё одна битовая перестановка согласно схеме, показанной ниже (числа представляют собой порядковые номера бит).

Рис. 2.3 Битовая перестановка

Шифрование начинается с перестановки бит (IP - Initial Permutation) в 64-разрядном блоке исходных данных. 58-ой бит становится первым, 50-ый - вторым и т. д. Схема перестановки битов показана ниже.

Рис. 2.4 Схема перестановки

Полученный блок делится на две 32-разрядные части L0 и R0. Далее 16 раз повторяются следующие 4 процедуры:

1 Преобразование ключа с учетом номера итерации i (перестановки разрядов с удалением 8 бит, в результате получается 48-разрядный ключ)

2 Пусть A = Li, а J - преобразованный ключ. С помощью функции генерируется 32-разрядное выходное значение цикловой (раундовой) функции.

Выполняется операция , результат обозначается Ri + 1

Выполняется операция присвоения Li + 1 = Ri

После выполнения 16 циклов преобразования производится ещё одна битовая перестановка, инверсная начальной. Она предполагает следующее размещение 64 бит зашифрованных данных (первым битом становится 40-ой, вторым 8-ой и т. д.)

Рис. 2.5 Битовая перестановка, инверсная начальной

блоки представляют собой таблицы, содержащие 4 строки и 16 столбцов. Первый S-блок S1 представлен ниже.

Рис. 2.6 Первый S-блок

Входной 48-разрядный блок делится на 8 групп по 6 разрядов. Первый и последний разряд в группе используются в качестве адреса строки, а средние 4 разряда - в качестве адреса столбца. В результате, каждые 6 бит преобразуются в 4 бита, а весь 48-разрядный код в 32-разрядный (для этого нужно 8 S-блоков). Существуют аппаратные реализации стандарта DES, обеспечивающие высокую производительность.

Из-за малой длины ключа (56 бит), имеется всего 2⁵⁶ различных ключей, что при нынешнем развитии техники недопустимо по причине низкого времени взлома атакой типа Brute Force (всего несколько часов). Также вызывает сомнение его надежность, так как в основе алгоритма DES лежат 8 таблиц подстановки (S-boxes), применяемые в каждом раунде.

На сегодняшний день такая длина ключа недостаточна, поскольку допускает успешное применение атак типа Brute Force. Альтернативой DES можно считать тройной DES. Существует опасность, что эти S-boxes конструировались таким образом, что криптоанализ возможен для взломщика, который знает слабые места S-boxes. В течение многих лет обсуждалось как стандартное, так и неожиданное поведение S-boxes, но все-таки никому не удалось обнаружить их фатально слабые места.

Всё это привело к тому, что в У.Тачмен предложил идею шифровать блок открытого текста P три раза с помощью двух ключей K₁и K₂

С=Е_K1(D_K2(E_K2(P))) (2.2)

То есть блок открытого текста Р сначала шифруется ключом K₁, затем расшифровывается ключом K₂ и окончательно шифруется ключом K₁. [1]

Это позволило вывести стойкость алгоритма на современный уровень.

Advanced Encryption Standard (AES)(Rijndael)

Advanced Encryption Standard (AES), также известный, как Rijndael симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит), финалист конкурса AES, принятый в качестве американского стандарта шифрования правительством США. Выбор был сделан с расчётом на повсеместное использование и активный анализ алгоритма, как это было с его предшественником, DES. Государственный институт стандартов и технологий (англ. National Institute of Standards and Technology, NIST) США опубликовал предварительную спецификацию AES 26 ноября 2001 года, после пятилетней подготовки. 26 мая 2002 года AES был объявлен стандартом шифрования. По состоянию на 2006 год AES является одним из самых распространённых алгоритмов симметричного шифрования.

Этот алгоритм представляет собой симметричный блочный шифр, который работает с блоками данных длиной 128 бит и использует ключи длиной 128, 192 и 256 бит (версии AES-28; AES-192 и AES-256). Сам алгоритм может работать и с другими длинами блоков данных и ключей, но эта возможность в стандарт не вошла.

Состояние можно представить в виде прямоугольного массива байтов. Этот массив имеет 4 строки, а число столбцов обозначено как Nb и равно длине блока, деленной на 32.

Ключ шифрования также представлен в виде прямоугольного массива с четырьмя строками. Число столбцов обозначено как Nk и равно длине ключа, деленной на 32. Это показано на рисунке 1.

Рис. 2.7 Пример представления состояния (Nb=6) и ключа шифрования (Nk=4)

В некоторых случаях ключ шифрования показан как линейный массив 4-байтовых слов. Слова состоят из 4 байтов, которые находятся в одном столбце (при представлении в виде прямоугольного массива).

Входные данные для шифра ("открытый текст", если используется режим шифрования ECB) обозначаются как байты состояния в порядке a_0,0, a_1,0, a_3,0, a_0,1, a_1,1, a_3,1,a_4,1... После завершения действия шифра выходные данные получаются из байтов состояния в том же порядке.

Число циклов обозначено как Nr и зависит от значений Nb и Nk. Оно приведено в Таблице 2.1.

Таблица 2.1 Число циклов (Nr) как функция от длины ключа и длины блока

Цикловое преобразование состоит из четырех различных преобразований. На псевдо-Си это выглядит следующим образом:

Round (State, RoundKey)

{(State); // замена байт(State); // сдвиг строк(State); // замешивание столбцов(State, RoundKey); // добавление циклового ключа

}

Последний цикл шифра немного отличается. Он выглядит так:

FinalRound(State, RoundKey)

{(State); // замена байт(State); // сдвиг строк(State, RoundKey); // добавление циклового ключа

}

В приведенной записи, "функции" - Round, ByteSub и т.д. выполняют свои действия над массивами, переданными указателями (State, RoundKey).

Как можно заметить, последний цикл отличается от простого цикла только отсутствием замешивания столбцов. Каждое из приведенных преобразований разобрано далее.

Преобразование ByteSub представляет собой нелинейную замену байт, выполняемую независимо с каждым байтом состояния. Таблицы замены (или S-блоки) являются инвертируемыми и построены из композиции двух преобразований:

. Первое - получение обратного элемента относительно умножения в поле GF(28), описанного в разделе 2.1. '00' переходит сам в себя.

. Применение аффинного преобразования (над GF(2)), определенного как:

Таблица 2.2 Схема аффинного преобразования

y0	=	1	1	1	1	1	0	0	0	x0	+	0
y1		0	1	1	1	1	1	0	0	x1		1
y2		0	0	1	1	1	1	1	0	x2		1
y3		0	0	0	1	1	1	1	1	x3		0
y4		1	0	0	0	1	1	1	1	x4		0
y5		1	1	0	0	0	1	1	1	x5		0
y6		1	1	1	0	0	0	1	1	x6		1
y7		1	1	1	1	0	0	0	1	x7		1

Применение описанного S-блока ко всем байтам состояния обозначено как ByteSub(State). Рисунок 2.8 иллюстрирует применение преобразования ByteSub к состоянию.

Рис 2.8 ByteSub действует на каждый байт состояния

Преобразование сдвига строк (ShiftRow).

Последние 3 строки состояния циклически сдвигаются на различное число байт. Строка 1 сдвигается на С1 байт, строка 2 - на С2 байт и строка 3 - на С3 байт.

Значения сдвигов С1, С2 и С3 зависят от длины блока Nb. Их величины приведены в таблице 2.3.

Таблица 2.3 Величина сдвига для разной длины блоков

Nb	C1	C2	C3
4	1	2	3
6	1	2	3
8	1	3	4

Операция сдвига последних 3 строк состояния на определенную величину обозначена как ShiftRow(State). Рисунок 2.9 показывает влияние преобразования на состояние.

Рис 2.9 ShiftRow действует на строки состояния.

Преобразование замешивания столбцов (MixColumn).

В этом преобразовании столбцы состояния рассматриваются как многочлены над GF(28) и умножаются по модулю x⁴+1 на многочлен c(x), выглядящий следующим образом:

(x)='03' x³ + '01' x² + '01' x + '02' (2.3)

Это может быть представлено в виде матричного умножения. Пусть b(x)=c(x)a(x),

Таблица 2.4

b0	=	02	03	01	01	a0
b1		01	02	03	01	a1
b2		01	01	02	03	a2
b3		03	01	01	02	a3

Применение этой операции ко всем четырем столбцам состояния обозначено как MixColumn(State). Рисунок 2.10 демонстрирует применение MixColumn к состоянию.

Рис 2.10 MixColumn действует на столбцы состояния.

Добавление циклового ключа.

В данной операции цикловой ключ добавляется к состоянию посредством простого EXOR. Цикловой ключ вырабатывается из ключа шифрования посредством алгоритма выработки ключей (key schedule). Длина циклового ключа равна длине блока Nb.

Преобразование, содержащее добавление посредством EXOR циклового ключа к состоянию, обозначено как AddRoundKey(State, RoundKey). Оно проиллюстрировано на рисунке 2.11.

Рис 2.11 При добавлении ключа цикловой ключ складывается посредством EXOR с состоянием.

Алгоритм выработки ключей (Key Schedule).

Цикловые ключи получаются из ключа шифрования посредством алгоритма выработки ключей. Он содержит два компонента: расширение ключа (Key Expansion) и выбор циклового ключа (Round Key Selection). Основополагающие принципы алгоритма выглядят следующим образом:

· Общее число бит цикловых ключей равно длине блока, умноженной на число циклов плюс 1 (например, для длины блока 128 бит и 10 циклов требуется 1408 бит циклового ключа).

· Ключ шифрования расширяется в Расширенный Ключ (Expanded Key).

· Цикловые ключи берутся из Расширенного ключа следующим образом: первый цикловой ключ содержит первые Nb слов, второй - следующие Nb слов и т.д.

Расширение ключа (Key Expansion).

Расширенный ключ представляет собой линейный массив 4-ех байтовых слов и обозначен как W[Nb*(Nr+1)]. Первые Nk слов содержат ключ шифрования. Все остальные слова определяются рекурсивно из слов с меньшими индексами. Алгоритм выработки ключей зависит от величины Nk: ниже приведена версия для Nk равного или меньшего 6 и версия для Nk большего 6.Для Nk<6 или Nk=6 мы имеем:

KeyExpansion(CipherKey,W

{(i = 0; i < Nk; i++) W[i] = CipherKey[i];(j = Nk; j < Nb*(Nk+1); j+=Nk)

{[j] = W[j-Nk] ^ SubByte(Rotl(W[j-1])) ^ Rcon[j/Nk];(i = 1; i < Nk && i+j < Nb*(Nr+1); i++)

}

Как можно заметить, первые Nk слов заполняются ключом шифрования. Каждое последующее слово W[i] получается посредством EXOR предыдущего слова W[i-1] и слова на Nk позиций ранее W[i-Nk]. Для слов, позиция которых кратна Nk, перед EXOR применяется преобразование к W[i-1], а затем еще прибавляется цикловая константа. Преобразование содержит циклический сдвиг байтов в слове, обозначенный как Rotl, затем следует SubByte - применение замены байт. Для Nk>6 мы имеем:

KeyExpansion(CipherKey,W)

{(i=0; i<Nk; i++) W[i]=CipherKey[i];

for (j=Nk; j<Nb*(Nk+1); j+=Nk)

{[j] = W[j-Nk] ^ SubByte(Rotl(W[j-1])) ^ Rcon[j/Nk];(i=1; i<4; i++) W[i+j] = W[i+j-Nk] ^ W[i+j-1];[j+4] = W[j+4-Nk] ^ SubByte(W[j+3]);(i=5; i<Nk; i++) W[i+j] = W[i+j-Nk] ^ W[i+j-1];

}

Отличие для схемы при Nk>6 состоит в применении SubByte для каждого 4-го байта из Nk. Цикловая константа не зависит от Nk и определяется следующим образом:

Rcon[i] = (RC[i], '00', '00', '00') (2.4)

где: RC[0]='01'[i]=xtime(Rcon[i-1])

Выбор циклового ключа.

i-ый цикловой ключ получается из слов массива циклового ключа от W[Nb*i] и доW[Nb(i+1)]. Это показано на рисунке 2.12.

Рис 2.12 Расширение ключа и выбор циклового ключа для Nb=6 и Nk=4.

Замечание: Алгоритм выработки ключей можно осуществлять и без использования массива W[Nb*(Nr+1)]. Для реализаций, в которых существенно требование к занимаемой памяти, цикловые ключи могут вычисляться на лету посредством использования буфера из Nk слов.

Шифр Rijndael состоит из:

· начального добавления циклового ключа;

· Nr-1 циклов;

· заключительного цикла.

На псевдо-Си это выглядит следующим образом:

Rijndael (State, CipherKey)

{

KeyExpansion(CipherKey, ExpandedKey); // Расширение ключа

AddRoundKey(State, ExpandedKey); // Добавление циклового ключа

For (i=1 ; i<Nr ; i++) Round(State,ExpandedKey+Nb*i); // циклы(State, ExpandedKey+Nb*Nr); // заключительный цикл

}

Если предварительно выполнена процедура расширения ключа, то Rijndael будет выглядеть следующим образом:

Rijndael (State, CipherKey)

{(State, ExpandedKey);(i=1 ; i<Nr ; i++) Round(State,ExpandedKey+Nb*i);(State, ExpandedKey+Nb*Nr);

}

Замечание: Расширенный ключ должен всегда получаться из ключа шифрования и никогда не указывается напрямую. Нет никаких ограничений на выбор ключа шифрования.

Blowfish

Алгоритм был разработан в 1993 году Брюсом Шнайером (Bruce Schneier). Этот алгоритм, по заявлению автора, разрабатывался как быстрый, компактный и простой алгоритм с настраиваемой стойкостью (ключ до 448 бит).является сетью Фейштеля, у которой количество итераций равно 16. Длина блока равна 64 битам, ключ может иметь любую длину в пределах 448 бит. Хотя перед началом любого шифрования выполняется сложная фаза инициализации, само шифрование данных выполняется достаточно быстро.

Алгоритм состоит из двух частей: расширение ключа и шифрование данных. Расширение ключа преобразует ключ длиной, по крайней мере, 448 бит в несколько массивов подключей общей длиной 4168 байт.

В основе алгоритма лежит сеть Фейштеля с 16 итерациями. Каждая итерация состоит из перестановки, зависящей от ключа, и подстановки, зависящей от ключа и данных. Операциями являются XOR и сложение 32-битных слов.использует большое количество подключей. Эти ключи должны быть вычислены заранее, до начала любого шифрования или дешифрования данных. Элементы алгоритма:

1. Р - массив, состоящий из восемнадцати 32-битных подключей: Р₁, Р₂,..., Р₁₈.

2. Четыре 32-битных S-boxes c 256 входами каждый. Первый индекс означает номер S-box, второй индекс - номер входа.

3. S_1,0, S_1,1, … S_1,255;

4. S_2,0, S_2,1, … S_2,255;

. S_3,0, S_3,1, … S_3,255;

. S_4,0, S_4,1, … S_4,255;

Метод, используемый для вычисления этих подключей, будет описан ниже.

Входом является 64-битный элемент данных X, который делится на две 32-битные половины, X₁ и X_r.

_l = X_l XOR P_i(2.5)

X_r = F (X_l) XOR X_r (2.6)

X_l and X_r

Разделить X_l на четыре 8-битных элемента A, B, C, D.

F (X_l) = ((S_1,_А + S_2,B mod 2³²) XOR S_3,C) + S_4,D mod 2³²

Дешифрование отличается от шифрования тем, что P_i используются в обратном порядке.

Генерация подключей: Подключи вычисляются с использованием самого алгоритма Blowfish. Для этого следует:

1 Инициализировать первый Р-массив и четыре S-boxes фиксированной строкой.

Зашифровать нулевую строку алгоритмом Blowfish, используя подключи, описанные в пунктах (1) и (2).

Заменить Р₁ и Р₂ выходом, полученным на шаге (3).

Зашифровать выход шага (3), используя алгоритм Blowfish с модифицированными подключами.

Заменить Р₃ и Р₄ выходом, полученным на шаге (5).

Продолжить процесс, заменяя все элементы Р-массива, а затем все четыре S-boxes, выходами соответствующим образом модифицированного алгоритма Blowfish.

Для создания всех подключей требуется 521 итерация, что существенно затрудняет атаки вида Brute Force. Однако это делает его непригодным для использования в системах, где ключ часто меняется и на каждом ключе шифруется небольшие по объему данные. Алгоритм лучше всего подходит для систем, в которых на одном и том же ключе шифруются большие массивы данных. В алгоритме на время написания не было найдено ни одной уязвимости. Максимальная длина ключа (448 бит) и сложность его создания позволяет говорить о том, что атаки простым перебором на современной технике займут много времени. Даже при не больших ключах можно достичь высокой защищённости данных.

RC5

Алгоритм RC5 интересен по многим причинам. Во-первых, он создан известнейшим криптологом Роном Ривестом (Ron Rivest) - одним из разработчиков асимметричной системы RSA и одним из основателей одноименной фирмы (RSA Data Security), которая, несомненно, входит в число мировых лидеров рынка средств криптографической защиты информации. Аббревиатура RC обозначает, согласно разным источникам, либо Rivest Cipher, либо Ron's Code, т. е. в совокупности "шифр Рона Ривеста".

Во-вторых, аналогично предыдущим алгоритмам шифрования Рона Ривеста RC2 и RC4, алгоритм RC5 получил весьма широкое распространение: по количеству пользователей в мире он стоит в одном ряду с такими известными алгоритмами, как IDEA и Blowfish.

И, наконец, на преобразованиях, используемых в RC5, основана последующая разработка компании RSA - алгоритм RC6, который стал финалистом конкурса AES по выбору нового стандарта шифрования США. RC6 не победил в конкурсе, но, видимо, превзойдет своего предшественника по широте использования.

Алгоритм RC5 имеет переменные длину блока, количество раундов и длину ключа. Для спецификации алгоритма с конкретными параметрами принято обозначение RC5-W/R/K, где W равно половине длины блока в битах, R - число раундов, K - длина ключа в байтах.

Для эффективной реализации величину W рекомендуют брать равной машинному слову. Например, для 32-битных платформ оптимальным будет выбор W=32, что соответствует размеру блока 64 бита.

Для стимуляции изучения и применения шифра RC5 RSA Security Inc. 28 января 1997 года предложила взломать серию сообщений, зашифрованных алгоритмом RC5 с разными параметрами, назначив за взлом каждого сообщения приз в $10000. Шифр с самыми слабыми параметрами RC5-32/12/5 был взломан в течение нескольких часов. Тем не менее, последний осуществлённый взлом шифра RC5-32/12/8 потребовал 5 лет. Взлом RC5-32/12/8 был осуществлён в рамках проекта распределённых вычислений RC5-64 (здесь 64=K*8, длина ключа в битах) под руководством distributed.net. По-прежнему неприступными пока остаются RC5-32/12/K для K=9..16. distributed.net стартовала проект RC5-72 для взлома RC5-32/12/9.

Как пишет автор алгоритма, "RC5 - это несколько различных алгоритмов", поскольку, помимо секретного ключа, в число параметров алгоритма входят следующие:

· размер слова w - RC5 шифрует блоками по два слова, допустимы значения w 16, 32 или 64, причем рекомендуется значение 32;

· количество раундов алгоритма R - в качестве значения допустимо любое целое число от 0 до 255 включительно;

· размер секретного ключа в байтах b - любое целое значение от 0 до 255 включительно.

По мнению автора алгоритма, переменные параметры расширяют сферу использования алгоритма, а также сильно сокращают издержки, если необходим переход на более сильный вариант алгоритма - в отличие от DES (основная проблема которого - короткий 56-битный ключ), в программной или аппаратной реализации RC5, поддерживающей переменные параметры, легко было бы заменить ключ более длинным, таким образом устранив проблему. Вот что пишет об этом Рон Ривест: "Фиксированные параметры могут быть не менее опасны [переменных], поскольку их нельзя улучшить при необходимости. Рассмотрим проблему DES: его ключ слишком короток, и нет простого способа увеличить его".

Автор предусмотрел и проблему совместимости реализаций RC5 с различными параметрами - каждое зашифрованное сообщение рекомендуется предварять заголовком, содержащим список значений основных параметров алгоритма. Предполагается, что в этом случае для расшифрования сообщения следует установить параметры из заголовка, после чего (при наличии корректного ключа) сообщение легко будет расшифровать.

Структура алгоритма представлена на рис. 2.13. Алгоритм представляет собой сеть Фейстеля, в каждом раунде которой выполняются следующие операции:

A = ((A (+) B) <<< B) + K2*r mod 2w, (2.7)= ((A (+) B) <<< A) + K2*r+1 mod 2w, (2.8)

где r - номер текущего раунда, начиная с 1; Kn - фрагмент расширенного ключа; <<< n - операция циклического сдвига на x бит влево, где x - значение младших log2 w бит n

Рис 2.13. Структура алгоритма RC5.

Перед первым раундом выполняются операции наложения двух первых фрагментов расширенного ключа на шифруемые данные:

A = A + K0 mod 2w (2.9)= B + K1 mod 2w (2.10)

Стоит отметить, что под словом "раунд" в описании алгоритма Ривест понимает преобразования, соответствующие двум раундам обычных алгоритмов, структура которых представляет собой сеть Фейстеля (см. рис. 2.13). Это означает, что раунд алгоритма RC5 обрабатывает блок целиком, тогда как типичный раунд сети Фейстеля обрабатывает только один субблок - обычно половину блока, реже его четверть.

Алгоритм поразительно прост - в нем используются только операции сложения по модулю 2 и по модулю 2w, а также сдвиги на переменное число бит. Последняя из операций представляется автором алгоритма как революционное решение, не использованное в более ранних алгоритмах шифрования (до алгоритма RC5 такие операции использовались только в алгоритме Madryga, не получившем широкой известности): сдвиг на переменное число бит - это весьма просто реализуемая операция, которая, однако, существенно усложняет дифференциальный и линейный криптоанализ алгоритма. Простота алгоритма может рассматриваться как его важное достоинство - простой алгоритм легче реализовать и легче анализировать на предмет возможных уязвимостей.

Для расшифрования выполняются обратные операции в обратной последовательности, т. е. в каждом раунде r (с обратной последовательностью раундов) выполняются следующие операции:

B = ((B - K2*r+1 mod 2w) >>> A) (+) A (2.11)= ((A - K2*r mod 2w) >>> B) (+) B (2.12)

где >>> n - аналогичная описанной выше (<<< n) операция побитового циклического сдвига вправо.

Соответственно после R раундов выполняются следующие операции:

B = B - K1 mod 2w (2.13)= A - K0 mod 2w (2.14)

Алгоритм RC5 и некоторые его варианты запатентованы; патенты принадлежат фирме RSA Data Security.

Процедура расширения ключа незначительно сложнее собственно шифрования. Расширение ключа выполняется в несколько этапов.

Этап 1. Выравнивание ключа шифрования, в рамках которого ключ шифрования, если его размер в байтах b не кратен w/8 (т. е. размеру слова в байтах), дополняется нулевыми байтами до ближайшего большего размера c, кратного w/8.

Этап 2. Инициализация массива расширенных ключей K0…K2*R+1, которая выполняется следующим образом:

K0 = Pw (2.15)+1 = Ki + Qw (2.16)

где Pw и Qw - псевдослучайные константы, образованные путем умножения на 2w дробной части и последующего округления до ближайшего нечетного целого двух математических констант (e и f соответственно). В спецификации алгоритма приведены вычисленные константы для возможных значений w в шестнадцатеричном виде:

P16 = B7E1 (2.17)= 9E37 (2.18)= B7E15163 (2.19)= 9E3779B9 (2.20)

P64 = B7E151628AED2A6B (2.21)

Q64 = 9E3779B97F4A7C15 (2.22)

Этап 3. Циклически выполняются следующие действия:

A = Ki = (Ki + A + B) <<< 3 (2.23)= KCj = (KCj + A + B) <<< (A + B) (2.24)= i + 1 mod (2 * R + 1) (2.25)= j + 1 mod c (2.26)

где i, j, A и B - временные переменные, их начальные значения равны нулю; KC - выровненный на этапе 1 ключ шифрования.

Количество итераций цикла N определяется как

= 3 * m,

где m - максимальное из двух значений: c либо (2 х R + 1).

Считается, что именно революционная идея сдвига на переменное число бит привлекла внимание криптоаналитиков к алгоритму RC5 - он стал одним из алгоритмов, наиболее изученных на предмет возможных уязвимостей.

Начало криптоанализу алгоритма RC5 было положено сотрудниками RSA Laboratories (научного подразделения фирмы RSA Data Security) Бертоном Калиски-младшим (Burton S. Kaliski Jr.) и Икван Лайзой Ин (Yiqun Lisa Yin). В период с 1995 по 1998 г. они опубликовали ряд отчетов, в которых подробно проанализировали криптостойкость алгоритма RC5. Сделанные из них выводы приведены ниже.почти невозможно вскрыть методом линейного криптоанализа. Во многом это свойство алгоритма предопределено наличием операции циклического сдвига на переменное число бит. Однако дальнейшие исследования показали, что существует класс ключей, при использовании которых алгоритм можно вскрыть линейным криптоанализом.

Дифференциальный криптоанализ существенно более эффективен при атаках на алгоритм RC5. Калиски и Ин предложили атаку на алгоритм RC5-32/12/16, для которой требовалось 263 пар выбранных открытых текстов и соответствующих им шифртекстов. Этот результат улучшили Ларс Кнудсен (Lars R. Knudsen) и Уилли Мейер (Willi Meier), которым для атаки потребовалось 254 выбранных открытых текстов. Они же нашли несколько классов слабых ключей, упрощающих дифференциальный криптоанализ. А наилучшим результатом стал криптоаналитический метод, предложенный криптологами Алексом Бирюковым (Alex Biryukov) и Эйялом Кушилевицем (Eyal Kushilevitz), в котором необходимо 244 выбранных открытых текстов для успешной атаки. Тем не менее, все описанные выше атаки не слишком практичны - для их выполнения требуется огромное число выбранных открытых текстов. Бирюков и Кушилевиц считают, что для обеспечения полной невскрываемости алгоритма дифференциальным криптоанализом достаточно выполнения 18-20 раундов вместо 12.

На основании того факта, что на ряде платформ операция циклического сдвига на переменное число бит выполняется за различное число тактов процессора, изобретатель метода вскрытия алгоритмов шифрования по времени исполнения Пол Кохер (Paul C. Kocher) высказал предположение о возможности атаки по времени исполнения на алгоритм RC5 на таких платформах. Два варианта подобной атаки были сформулированы криптоаналитиками Говардом Хейзом (Howard M. Heys) и Хеленой Хандшух (Helena Handschuh), которые показали, что секретный ключ можно вычислить, выполнив около 220 операций шифрования с высокоточными замерами времени исполнения и затем от 228 до 240 тестовых операций шифрования. Однако, Калиски и Ин предложили весьма простое "противоядие" - принудительно выполнять все сдвиги за одинаковое число тактов (т. е. взять наиболее медленный из возможных сдвигов - это, несомненно, несколько снизит среднюю скорость шифрования). Аналогичную методику противодействия атакам по времени исполнения советует и сам Кохер.

Таким образом, наиболее реальный метод взлома алгоритма RC5 (не считая вариантов с небольшим числом раундов и с коротким ключом) - полный перебор возможных вариантов ключа шифрования. Это означает, что у алгоритма RC5 практически отсутствуют недостатки с точки зрения стойкости. Косвенно этот вывод подтверждается тем, что достаточно много исследований стойкости алгоритма было направлено против вариантов с усеченным числом раундов: такие варианты обычно исследуются в случае отсутствия серьезных уязвимостей у полноценных вариантов алгоритма.

Было немало и других исследований данного алгоритма, причем подавляющее их большинство применялось к 64-битной версии алгоритма (для w = 32). Это не означает, что RC5 со 128-битным блоком шифруемых данных менее изучен - результаты исследований показывают, что 128-битный вариант RC5 с достаточным числом раундов вскрыть существенно сложнее 64-битного. Например, Бирюков и Кушилевиц предложили атаку на алгоритм RC5-64/16/16 на основе 263 выбранных открытых текстов, что достаточно нереально для практического применения.

2.3 Режимы шифрования

Для любого симметричного блочного алгоритма шифрования определено четыре режима выполнения.

· ECB - Electronic Codebook - каждый блок из 64 битов незашифрованного текста шифруется независимо от остальных блоков, с применением одного и того же ключа шифрования. Типичные приложения - безопасная передача одиночных значений (например, криптографического ключа).

Рис 2.14 Схема режима шифрования ECB

· CBC - Cipher Block Chaining - вход криптографического алгоритма является результатом применения операции XOR к следующему блоку незашифрованного текста и предыдущему блоку зашифрованного текста. Типичные приложения - общая блок-ориентированная передача, аутентификация.

Рис 2.15 Схема режима шифрования CBC

· CFB - Cipher Feedback - при каждом вызове алгоритма обрабатывается J битов входного значения. Предшествующий зашифрованный блок используется в качестве входа в алгоритм; к J битам выхода алгоритма и следующему незашифрованному блоку из J битов применяется операция XOR, результатом которой является следующий зашифрованный блок из J битов. Типичные приложения - потокоориентированная передача, аутентификация.

Рис 2.16 Схема режима шифрования CFB

· OFB - Output Feedback - аналогичен CFB, за исключением того, что на вход алгоритма при шифровании следующего блока подается результат шифрования предыдущего блока; только после этого выполняется операция XOR с очередными J битами незашифрованного текста. Типичные приложения - потокоориентированная передача по зашумленному каналу (например, спутниковая связь).

Рис 2.17 Схема режима шифрования OFB

Для наглядной иллюстрации разницы в них приведён рисунок 2.18.

Рис 2.18 Проблема при шифровании блочными алгоритмами: (а) оригинальная картинка; (b) зашифровано в режиме ECB; (c) зашифровано в режиме CBC.

На рисунке 2.18 при режиме электронной книги (ECB) видно, что общие очертания еще можно различить, а при использовании сцепления блока, картинка превращается в «белый шум», который близок по своей природе к случайным числам.

Глава 3. Моделирование, производительность и масштабируемость защищенных каналов

.1 Моделирование и оценка производительности работы защищенных каналов

Проблема выбора алгоритма шифрования и серверной ОС является одним из важнейших этапов построения защищенного канала корпоративной сети. В случае если бы все алгоритмы были идеальными (то есть не имели никаких уязвимостей), то криптостойкость его была бы прямо пропорциональна длине ключа, так как единственным оставшимся способом для взлома шифротекста был метод полного перебора. Все вышеописанные алгоритмы за все время существования не были скомпрометированы ни разу, следовательно, будем опираться при оценке стойкости алгоритма на длину ключа. Увеличение длины ключа сильно сказывается на производительности данного алгоритма из-за увеличения количества раундов при шифровании. В качестве примера для тестирования был выбран симметричный алгоритм блочного шифрования AES с размерами блока 128 и 256 бит. Этот выбор объясняется тем, что с одной стороны он является стандартом шифрования во многих странах и, как следствие, широко используется для реализации защищенных каналов в корпоративных сетях. Тестирование проводилось с двумя серверными операционными системами Windows Server 2003 и Fedora core 8.0., учитывая огромный рынок серверных приложений, работающих в этих средах.

3.1.1 Оценка производительности защищенного канала

Для основного тестирования в реальных условиях были выбраны в качестве сервера Intel Core 2 Duo E8200 (Wolfdale) с частотой 2667 МГц и объемом оперативной памяти в 2048 Мб. В качестве клиентов были выбраны компьютеры Intel Celeron с частотой 1800 МГц и оперативной памятью в размере 790 Мб. Все компьютеры были объединены в общую сеть с помощью сетевого коммутатора. Тестирование проводилось с двумя серверными операционными системами Windows Server 2003 и Fedora core 8.0.

На клиентах использовалась операционная система Windows XP SP2. Для реализации зашифрованного канала была выбрана программа openvpn-2.0.

В качестве средства измерения взят программный продукт с графической оболочкой Jpref версии 2.0.0.- кроссплатформенная клиент-серверная программа - генератор TCP и UDP трафика для тестирования пропускной способности сети.

Настройка OpenVPN c применением сертификатов X.509.

Файл конфигурации серверов:

dev tap

server 192.168.0.0 255.255.255.0

cipher AES-128-CBCauth key.txt 0serverdh1024.pemca.crtswat.crtswat.key

keepalive 10 60

Файл конфигурации клиентов:

remote 192.160.1.111

dev tapAES-256-CBCauth key.txt 110 60clientdh1024.pem

ca ca.crtclient.crt

key client.key

Для выбора сетевой ОС в условиях работы множества удаленных клиентов с сервером по защищенному каналу необходимо получить количественную оценку зависимости пропускной способности этого канала от типа используемой сетевой ОС, битности ключа шифрования, количества удаленных клиентов. Под пропускной способностью защищенного канала (его производительностью) будем понимать количество переданной информации в единицу времени [bits/sec].

Для решения поставленной задачи произведем вычислительный эксперимент, используя пакет Jpref, для одного, двух и трех клиентов в течение времени 30 сек. для альтернативных вариантов сетевых ОС.

Результаты тестирования для варианта используемых ОС: сервер - Windows Server 2003, клиент - Windows XP, представлены в таблице 3.1

Таблица 3.1 Результаты тестирования защищенного канала для варианта: Windows Server 2003 с клиентами Windows XP

Количество клиентов	Тип алгоритм шифрования
	AES-128-CBC				AES-256-CBC
	исх.	вход	сумма	cup	исх.	вход	сумма	cup
1	21	33,3	54,38	22,7	13,2	30,3	43,52	23
2	18,5	28,3	48,89	28,1	10,7	10,5	21,13	27,3
3	16	40,7	57,69	31,5	17,4	35,2	47,6	31,7

В таблице 3.1 использованы следующие условные обозначения:

· исх. - исходящий трафик от сервера к клиенту переданной информации в единицу времени [bits/sec];

· вход - входящий трафик от клиента к серверу переданной информации в единицу времени [bits/sec];

· сумма - суммированный исходящий и входящий трафик переданной информации в единицу времени [bits/sec];

· cup - загрузка центрального процессора сервера представлена в виде % от максимально допустимой.

Рис 3.1 Пропускная способность канала корпоративной сети с защищенным каналом с серверной операционной системой Windows Server 2003

На рис. 3.1 использованы следующие условные обозначения:

***_* пример (128_1);

*** - размер ключа шифрование в битах 128, 256;

* - количество удаленных клиентов при тестировании сети.

P - пропускная способность защищенного канала, принимается значение в единицу времени [bits/sec].

Результаты тестирования для варианта используемых ОС: сервер - Fedora core, клиент - Windows XP, представлены в таблице 3.2

Таблица 3.2 Результаты тестирования защищенного канала для варианта: Fedora core с клиентами Windows XP

Количество клиентов	Алгоритм шифрования
	AES-128-CBC				AES-256-CBC
	исх.	вход	сумма	cup	исх.	вход	сумма	cup
1	22,5	33,6	55,04	23	22,5	31,7	54,21	22,4
2	20,3	32,2	51,47	27,7	22,3	30,8	53,16	26,6
3	27,9	41,8	68,68	29,6	24,5	39,2	63,78	30,5

В таблице 3.2 использованы следующие условные обозначения:

· исх. - исходящий трафик от сервера к клиенту переданной информации в единицу времени [bits/sec];

· вход -входящий трафик от клиента к серверу переданной информации в единицу времени [bits/sec];

· сумма - суммированный исходящий и входящий трафик переданной информации в единицу времени [bits/sec];

· cup - загрузка центрального процессора сервера представлена в виде % от максимально допустимой.

Рис 3.2 Пропускная способность канала корпоративной сети с защищенным каналом с серверной операционной системой Fedora core.

На рис. 3.2 использованы следующие условные обозначения:

***_* пример (128_1);

*** - размер ключа шифрование в битах 128, 256;

* - количество удаленных клиентов при тестировании сети;

P - пропускная способность защищенного канала, принимается значение в единицу времени [bits/sec].

Всего было проведено 360 опытов, и на их основе построен сводный график, представляющий общую зависимость пропускной способности защищенного канала сети.

Рис 3.3 Пропускная способность канала корпоративной сети с защищенным каналом для альтернативных вариантов серверных ОС.

На рис 3.3 использованы следующие условные обозначения:

· OS -тип сетевой операционной системы (MS Windows Server 2003 - win, Fedora core 8 - lin);

· KEY - в bit (бит) - длинна ключа, установленного для используемого протокола шифрования (использована группа протоколов AES-xxx-CBC, в название которой вместо ххх - длины ключа использовано значение 256 бит);

· C - количество удаленных узлов, одновременно осуществляющих обмен данными с сервером VPN;

· P - пропускная способность защищенного канала, принимается значение в единицу времени [bits/sec].

Рис 3.4 График загрузки центрального процессора для альтернативных вариантов серверных ОС.

На рис 3.4 использованы следующие условные обозначения:

· OS -тип сетевой операционной системы (MS Windows Server 2003 - win, Fedora core 8 - lin);

· C - количество удаленных узлов, одновременно осуществляющих обмен данными с сервером VPN;

· L - загрузка центрального процессора сервера представлена в виде % от максимально допустимой;

Анализ графиков, представленных на рис. 3.3, рис. 3.4, позволяет сделать следующие выводы:

. При прочих одинаковых условиях сбора статистики, ОС семейства Fedora core обеспечивают большую производительность по сравнению с ОС Windows 2003 в условиях защищенного канала.

. В условиях работы ОС Fedora core увеличение количества удаленных клиентов не значительно сказывается на пропускной способности защищенного канала, чего нельзя сказать при использование ОС семейства MS Windows Server 2003, для неё характерны большие нагрузки на производительность канала;

. Так же исходя, из проведенных тестирований, можно сделать вывод, что для современных компьютеров серверного класса длина ключа шифрования защищенного канала незначительно сказывается на общей производительности системы.

. В условиях работы ОС Fedora core нагрузка на центральный процессор значительно меньше, особенно при увеличении количества узлов сети. Для ОС семейства MS Windows Server 2003 характерны достаточно большие нагрузки на ЦП.

3.1.2 Разработка модели функционирования сети

С целью автоматизации выбора оптимальных параметров в защищённом канале корпоративной сети, построенной на базе OpenVPN, необходимо построить функцию отклика, которая будет идентифицировать пропускную способность канала в зависимости от воздействующих факторов: операционной системы, длины ключа, количества узлов корпоративной сети. Математическим аппаратом, который позволяет решить данную задачу, является Метод Группового Учёта Аргументов (Group Method of Data Handling). Он применяется в самых различных областях для анализа данных и отыскания знаний, прогнозирования и моделирования систем, оптимизации и распознавания образов. Индуктивные алгоритмы МГУА дают уникальную возможность автоматически находить взаимозависимости в данных, выбрать оптимальную структуру модели или сети и увеличить точность существующих алгоритмов.

Этот подход самоорганизации моделей принципиально отличается от обычно используемых дедуктивных методов. Он основан на индуктивных принципах - нахождение лучшего решения основано на переборе всевозможных вариантов.

При помощи перебора различных решений подход индуктивного моделирования пытается минимизировать роль предпосылок автора о результатах моделирования. Компьютер сам находит структуру модели и законы, действующие в объекте. Он может быть использован при создании искусственного интеллекта как советчик для разрешения споров и при принятии решений.

Другим достоинством МГУА является то, что он гарантирует помехоустойчивость получаемых моделей. Чем больше степень неточности данных, характеризуемая отношением мощности помехи к мощности точных данных, тем проще модель оптимальной сложности, поэтому МГУА при увеличении помех выбирает все более узкие границы области моделирования и все более простые структуры моделей. Таким образом, при самоорганизации модели на ЭВМ выбирается структура, ближайшая к оптимальной для каждого уровня отношения помеха-сигнал.

Исходя из вышеизложенного, МГУА - наиболее удобное средство для решения задачи количественной идентификации системы, которая позволяет получить объективную, помехоустойчивую, непротиворечивую модель оптимальной структуры.

Для подготовки элементов выборки к использованию в МГУА необходимо произвести ее цензурирование, т.е. приведение к отрезку [0,1].

Для нормальной случайной величины 99,7% значений находятся внутри интервала , где - среднее значение, -дисперсия этой величины, поэтому значения, находящиеся вне этого интервала, как правило, порождены разными погрешностями и являются выбросами, а, значит, такие наблюдения должны быть удалены из выборки.

После цензурирования выборки все ее значения приводятся к отрезку [0,1] по формуле

(3.1)

Необходимость такого приведения вызвана большим числом арифметических операций на элементах выборки в МГУА, что при разных порядках чисел ведет к накоплению больших погрешностей и плохой сходимости метода.

Для восстановления зависимости используется полиномиальный итерационный алгоритм МГУА, в результате работы которого должна быть получена зависимость

(3.2)

где l - число элементов в исходном базисе факторов;

m - число слагаемых модели с ненулевыми значениями коэффициентов, называемое сложностью модели.

Перед началом работы алгоритма выборка делится на две части: рабочую, по которой модель строится, и экзаменационную - на ней она проверяется.

Одна из основных трудностей при применении методов перекрестного обоснования, частным случаем которых является МГУА, связана с разбиением выборки на два подмножества - рабочую и экзаменационную части. Поскольку модель в значительной степени определяется рабочей частью выборки, необходимо, чтобы объем рабочей части был больше, и чтобы и в рабочую, и в экзаменационную часть попадали наблюдения со всего интервала множества значений, поэтому перед запуском алгоритма МГУА, полезно упорядочить наблюдения в выборке по возрастанию отклика, а, затем, выбирать данные для экзаменационной части через некоторое одинаковое число наблюдений.

Рассмотрим подробнее процедуру МГУА.

В качестве нулевого приближения берется множество моделей сложности 1, это сами значения факторов. Таким образом, первоначальная модель имеет вид где коэффициент определяется итерационным методом наименьших квадратов (МНК) по рабочей части выборки, после этого по экзаменационной части выборки определяется F наилучших моделей с помощью внешнего критерия регулярности - минимума евклидовой нормы вектора невязки между реальным значением отклика и значением, полученным по проверяемой модели

, (3.3)

где - число элементов в экзаменационной части выборки.

Для формирования базиса переменных дальнейших шагов итерационной процедуры используется функция , которая из F лучших моделей предыдущего шага и l исходных переменных формирует базисные переменные следующего шага, например,

. (3.4)

Число F передаваемых от шага к шагу наилучших моделей называется свободой выбора метода.

При формировании базиса r-го шага учитывается тот факт, что на r-м шаге сложность модели не должна превышать r. Параллельно с процессом построения базиса идет построение набора коэффициентов для этого базиса итерационным МНК по рабочей части выборки и вычисление критерия регулярности по экзаменационной части. В памяти ЭВМ в каждый момент времени сохраняются только F лучших моделей. При исчерпании множества базисов r-го шага осуществляется переход к следующему (r+1)-му шагу.

Процесс останавливается при выполнении следующего неравенства:

(3.5)

и за результат принимается лучшая модель (r-1) шага.

Теперь рассмотрим подробнее процедуру подбора коэффициентов модели по заданной структуре модели итерационным МНК.

Пусть задана структура модели сложности , необходимо подобрать коэффициенты , чтобы приблизить значения отклика из рабочей части выборки:

(3.6)

с точностью до заданного e, чтобы минимизировать взвешенную сумму квадратов отклонений:

(3.7)

где N_p - число наблюдений в рабочей части выборки.

Первоначально весовые коэффициенты наблюдений предполагаются одинаковыми и равными 1, с этими весами строится система коэффициентов a_k, k=1,2,...,m модели в виде решения системы линейных уравнений:

(3.8)

Затем выбираются веса таким образом, чтобы вес i-го наблюдения зависел от отношения i-го остатка в предыдущей итерации к общей мере остатков в этой итерации:

(3.9)

и по этим весам строится новая система коэффициентов модели и т.д. Процесс останавливается, когда достигается заданная степень точности e, т.е. когда выполнится неравенство

. (3.10)

Для использования полученной зависимости в имитационной модели необходимо произвести пересчет коэффициентов модели с учетом коэффициентов линейного преобразования, которое осуществлялось при центрировании и нормировании [6].

Для построения функции отклика воспользуемся специализированным пакетом для моделирования нейронных сетей NeuroShell 2 (Ward Systems Group, Inc.), в котором реализован комбинаторный алгоритм МГУА. Для построения функции требуется серия опытов с разным состоянием сети, будем использовать данные, полученные при тестирование из приложения 1.

В результате расчёта с использованием пакета NeuroShell была получена функция отклика:

Y=-0.42-0.14*X1-8.8E-002*X2+0.4*X3+0.36*X3^2+6.7E-002*X1*X2+ 0.26*X1*X3-2.6E-002*X2*X3, (3.11)

где:

X1=2*(win/lin-1)-1 операционная система;

X2=2*(key-128)/128 длина ключа в битах;

X3=(Kol-1)/2 количество клиентов участвующих в тестирование;

Y=2*S<->C- 6.54/87 (расчётная производительность в тысячах bit/sec).

В результате работы пакета NeuroShell построим графики:

Рис 3.5 График производительности защищенного канала построенный на основе данных полученных опытным путем.

Значения параметра N определяет условия проведения опыта в части используемой сетевой операционной системы сервера, количества удаленных клиентов сети и длины ключа шифрования. Вся необходимая информация для построения графика, представленная на рис. 3.5, приведена в приложении 1.

Рис 3.6 График функции Y(N) производительности защищенного канала корпоративной сети.

Для сравнения с исходными данными, полученными при просчете программой, построим вместе с ним график пропускной способности сети полученный опытным путём при тестировании:

Рис 3.7 Совмещенный график функции отклика Y(N) и эмпирических данных.

Рис 3.8 График среднеквадратического отклонения ошибки и корреляцией Y(N) и исходных данных.

виртуальная сеть шифрование защищенный канал

Из графика рис 3.7 видно, что функция отклика, полученная с помощью пакета МГУА рис 3.6, схожа с графиком рис 3.5 построенным на основе данных полученных опытным путем. Исходя из этого можно судить об адекватности данной модели в реальных условиях.

Полученная функция отклика (3.11) позволяет производить периодическую адаптацию модели к изменениям в корпоративной сети в зависимости от нагрузки. Позволяет рассчитать производительность защищённого канала при изменении ситуации в корпоративной сети (возрастание трафика, изменение алгоритмов шифрования изменение количества удаленных рабочих станций входящих в корпоративную сеть). Данная функция может быть использована в программном обеспечении для управления защищённым каналом. Например, такое приложение может выполнять динамическую смену алгоритма шифрования на основе предсказанной модели поведения системы. Стоит отметить и то, что функцию можно автоматически адаптировать к среде по мере расширения данных о состоянии канала, так как МГУА позволяет динамически «обучаться» по новым выборкам.

3.1.3 Многомерный регрессионный анализ

Для того чтобы определить значимость зависимых переменных на полученную функцию отклика (3.11) проведем многомерный регрессионный анализ.

Очевидно, что простое поверхностное изучение данных не позволяет обнаружить, какие факторы, рассмотренные на стадии статистического анализа исходной информации, являются существенными, а какие - нет.

Необходимо найти оптимальный вариант модели, отражающий основные закономерности исследуемого явления с достаточной степенью статистической надежности.

В модель должны быть включены все факторы, которые оказывают влияние на зависимую переменную (в нашем случае - количество узлов, операционная система, размер ключа шифрования). При невыполнении этого требования модель может оказаться неадекватной вследствие недоучета существенных факторов.

С другой стороны, количество факторов, включаемых в модель, не должно быть слишком большим. Невыполнение этого требования приводит к необходимости увеличения числа наблюдений, к невозможности использования достаточно сложных зависимостей, к снижению точности оценок, к сложности интерпретации модели и к трудности ее практического использования.

Таким образом, возникает задача уменьшения числа переменных, включаемых в модель, без нарушения исходных предпосылок, т.е. задача понижения размерности модели.

Выделяют два существенных подхода к решению проблемы сокращения количества исходных переменных:

отсеивание менее существенных факторов в процессе построения регрессионной модели;

замена исходного набора переменных меньшим числом эквивалентных факторов, полученных в результате преобразований исходного набора.

Процедура отсева несущественных факторов в процессе построения регрессионной модели и получила название многошагового регрессионного анализа.

Этот метод основан на вычислении нескольких промежуточных уравнений регрессии, в результате анализа которых получают конечную модель, включающую только факторы, оказывающие статистически существенное влияние на исследуемую зависимую переменную. Различные сочетания одних и тех же факторов оказывают разное влияние на зависимую переменную. Вследствие этого появляется необходимость выбора наилучшей модели, т.к. перебирать все возможные варианты сочетания факторов и строить множество уравнений регрессии (количество которых может быть очень велико) просто не имеет смысла.

Таким образом методы пошагового регрессионного анализа позволяют избежать столь громоздких расчетов и получить достаточно надежную и полную модель зависимости исследуемого признака от ряда объясняющих переменных.

Как было сказано выше, основой многошагового регрессионного анализа является построение уравнения регрессии. Рассмотрим более подробно его систему и основные понятия.

В общем виде многомерная линейная регрессионная модель зависимости y от объясняющих переменных , ,…, имеет вид:

. (3.12)

Для оценки неизвестных параметров взята случайная выборка объема n из (k+1)-мерной случайной величины (y, ,,…,).

В матричной форме модель имеет вид:

, (3.13)

где , , , ε= (3.14)

вектор-столбец фактических значений зависимой переменной размерности n;

матрица значений объясняющих переменных размерности n*(k+1);

вектор-столбец неизвестных параметров, подлежащих оценке, размерности (k+1);

вектор-столбец случайных ошибок размерности n с математическим ожиданием ME=0 и ковариационной матрицей

(3.15)

соответственно, при этом

-единичная матрица размерности (nxn).

Оценки неизвестных параметров находятся методом наименьших квадратов, минимизируя скалярную сумму квадратов по компонентам вектора β.

Далее подставив выражение

(3.16)

в ,

получаем скалярную сумму квадратов

Условием обращения полученной суммы в минимум является система нормальных уравнений:

, (j=0,1,2,…,k).

В результате дифференцирования получается:

При замене вектора неизвестных параметров β на оценки, полученные методом наименьших квадратов, получаем следующее выражение:

. (3.17)

Далее умножив обе части уравнения слева на матрицу , получим

(3.18)

Так как , тогда .

Полученные оценки вектора b являются не смещенными и эффективными.

Ковариационная матрица вектора b имеет вид:

где - остаточная дисперсия.

Элементы главной диагонали этой матрицы представляют собой дисперсии вектора оценок b. Остальные элементы являются значениями коэффициентов ковариации:

, (3.19)

где , .

Таким образом, оценка - это линейная функция от зависимой переменной. Она имеет нормальное распределение с математическим ожиданием и дисперсией

. (3.20)

Несмещенная оценка остаточной дисперсии определяется по формуле:

, (3.21)

где n - объем выборочной совокупности; k - число объясняющих переменных.

Для проверки значимости уравнения регрессии используют F-критерий дисперсионного анализа, основанного на разложении общей суммы квадратов отклонений на составляющие части:

, где (3.22)

сумма квадратов отклонений (от нуля), обусловленная регрессией

(3.23)

сумма квадратов отклонений фактических значений зависимой переменной от расчетных , т.е. сумма квадратов отклонений относительно плоскости регрессии, обусловленное воздействием случайных и неучтенных в модели факторов.

Для проверки гипотезы используется величина

, (3.24),

которая имеет F-распределение Фишера-Снедекора с числом степеней свободы и . Если , то уравнение регрессии значимо, т.е. в уравнении есть хотя бы один коэффициент регрессии, отличный от нуля.

В случае значимости уравнения регрессии проверяется значимость отдельных коэффициентов регрессии. Для проверки нулевой гипотезы используется величина

(3.25),

которая имеет F-распределение Фишера-Снедекора с числом степеней свободы и ; - соответствующий элемент главной диагонали ковариационной матрицы.

Коэффициент регрессии считается значимым, если . Для значимых коэффициентов регрессии можно построить доверительные интервалы, используя формулу

(3.26),

где находится по таблице распределения Стьюдента для уровня значимости и числа степеней свободы .

Проводить регрессионный анализ будем с помощью программы Statistica 6.0

Результаты, полученные из программы Statistica 6.0 в результате расчета по исходным данным из приложения 1:

Таблица 3.3 Матрица парных коэффициентов корреляции

	X1	X2	X3	Y
X1	1,00000	0,01094	-0,01016	-0,268308
X2	0,01094	1,00000	0,00355	-0,180454
X3	-0,01016	0,00355	1,00000	0,663083
Y	-0,26831	-0,18045	0,66308	1,00000

В таблице 3.3 переставлены следующие условные обозначения:

· X1 -тип сетевой операционной системы (MS Windows Server 2003 - win, Fedora core 8 - lin);

· X2 - в bit (бит) - длинна ключа, установленного для используемого протокола шифрования (использована группа протоколов AES-xxx-CBC, в название которой вместо ххх - длины ключа использовано значения 128, 256);

· X3 - количество удаленных узлов, одновременно осуществляющих обмен данными с сервером VPN;

· Y - полученная функция отклика.

Анализ матрицы таблица 3.3 парных коэффициентов корреляции показывает, что результативный показатель наиболее тесно связан с показателем X3 - количеством клиентов, так как этот показатель имеет наибольшее значение.

Отсюда можно сделать вывод, что наиболее значимым параметром в функции отклика (3.11), полученной ранее, является параметр X3,тоесть именно количество клиентов в большей степени повлияло на функцию при ее просчете пакетом NeuroShell.

3.2 Механизмы оптимизации

Масштабируемость - это способность системы адаптироваться к расширению предъявляемых требований и возрастанию объемов решаемых задач. Система «1С: Предприятие 8.0» имеет хорошие возможности масштабирования. Она позволяет работать как в файловом варианте, так и с использованием технологии «клиент-сервер». В последнем случае применяется современная трехуровневая архитектура, когда между клиентом и сервером баз данных Microsoft SQL Server располагается сервер 1С: Предприятия 8.0.

Важно отметить, что одни и те же прикладные решения (конфигурации) могут использоваться как в файловом, так и в клиент-серверном варианте работы. При переходе от файлового варианта к технологии «клиент-сервер» не требуется вносить изменения в прикладное решение. Поэтому выбор варианта работы целиком зависит от потребностей заказчика и его финансовых возможностей. На начальной стадии можно работать в файловом варианте, а затем с увеличением количества пользователей и объема базы данных можно легко перейти на клиент-серверный вариант.

Платформа «1С: Предприятие 8.0» позволяет создавать как простые решения для автоматизации задач небольших предприятий и домашних пользователей, так и достаточно сложные автоматизированные системы с большим количеством объектов и взаимосвязей между ними, реализующие весь комплекс задач по учету и управлению предприятием.

Трехуровневая архитектура «клиент-сервер»

Одним из наиболее существенных нововведений 1С: Предприятия 8.0 является реализация трехуровневой архитектуры «клиент-сервер». В 1С: Предприятии 7.7 в клиент-серверном варианте работы с информационной базой программа, работающая на компьютере пользователя, обращалась непосредственно к базе данных в среде MS SQL Server. В новой версии на одном из компьютеров работает сервер 1С: Предприятия 8.0. Программа, работающая у пользователя, взаимодействует с сервером 1С: Предприятия 8.0, а сервер при необходимости обращается к базе данных MS SQL Server. При этом физически сервер 1С: Предприятия 8.0 и MS SQL Server могут располагаться как на одном компьютере, так и на разных. Это позволяет администратору при необходимости распределять нагрузку между серверами.

Использование сервера 1С: Предприятия 8.0 позволяет сосредоточить на нем выполнение наиболее объемных операций по обработке данных. Например, при выполнении даже весьма сложных запросов программа, работающая у пользователя, будет получать только необходимую ей выборку, а вся промежуточная обработка будет выполняться на сервере. Обычно увеличить мощность сервера гораздо проще, чем обновить весь парк клиентских машин.

Другим важным аспектом использования 3-х уровневой архитектуры является удобство администрирования и упорядочивание доступа пользователей к информационной базе. В этом варианте пользователь не должен знать о физическом расположении конфигурации или базы данных. Весь доступ осуществляется через сервер 1С: Предприятия 8.0. При обращении к той или иной информационной базе пользователь должен указать только имя сервера и имя информационной базы, а система запрашивает соответственно имя и пароль пользователя.

Технологическая платформа 1С:Предприятия 8 содержит ряд механизмов, оптимизирующих скорость работы прикладных решений.

Выполнение на сервере

В варианте клиент-сервер использование сервера 1С:Предприятия 8 позволяет сосредоточить на нем выполнение наиболее объемных операций по обработке данных. Например, при выполнении даже весьма сложных запросов программа, работающая у пользователя, будет получать только необходимую ей выборку, а вся промежуточная обработка будет выполняться на сервере. Обычно увеличить мощность сервера гораздо проще, чем обновить весь парк клиентских машин.

Кэширование данных

Система 1С:Предприятие 8 использует механизм кэширования данных, считанных из базы данных при использовании объектной техники. При обращении к реквизиту объекта выполняется чтение всех данных объекта в кэш, расположенный в оперативной памяти. Последующие обращения к реквизитам того же объекта будут направляться уже в кэш, а не в базу данных, что значительно сокращает время, затрачиваемое на получение нужных данных.

Работа встроенного языка на сервере

При работе в клиент-серверном варианте разработчик может организовать выполнение различных процедур и функций общих модулей и модулей объектов на сервере приложения или на клиентском месте. Распределенное выполнение процедур и функций позволяет вынести на сервер выполнение "тяжелых" алгоритмов и тем самым обеспечить одинаковую производительность на разных клиентских машинах.

3.3 Производительность 1С: Предприятие 8.1

Для оценки производительности и масштабируемости клиент-серверной версии 1С:Предприятие 8 был проведен ряд тестов, позволяющих:

· оценить работоспособность и производительность 1С:Предприятия 8 при работе с серверными операционными системами: Windows Server 2003 и Fedora core 8

· оценить работоспособность и производительность 1С:Предприятия 8 при работе c различными СУБД PostgresSQL, MSSQLserver.

При проведении теста применялись общепринятые подходы к оценке производительности корпоративных информационных систем:

· Использование для тестирования типового прикладного решения.

· Тестирование операций, наиболее критичных с точки зрения работы типичной организации.

· Тестирование операций при фиксированных параметрах, типичных для большинства организаций

· Программная имитация типичных сценариев работы пользователей системы, создающих нагрузку существенно превышающую нагрузку, создаваемую реальными пользователями

· Использование в качестве основных показателей объема бизнес-операций, отражаемых в системе в единицу времени, и среднего времени выполнения операции.

3.4 Тестирование 1C Предприятия

Тестирование проводилось на двух серверных операционных системах Windows Server 2003 (Ms SQLserver 2005) и Linux core 8 (PostgreSQL). Использовалось специализированное программное обеспечение для тестирования: 1С:Корпоративный инструментальный пакет, и TPC-1C-GILV бесплатная утилита для тестирования.

3.4.1 1С: Корпоративный инструментальный пакет

1С: Корпоративный инструментальный пакет - предназначен для повышения производительности, масштабируемости и надежности информационных систем на платформе 1С:Предприятие 8 за счет:

* обнаружения и автоматического анализа возможных технических проблем на любых стадиях внедрения (в том числе на стадии проектирования);

* получения объективной информации о производительности системы;

* получения полной технической информации о проблемах производительности, имеющихся в системе, с целью дальнейшей оптимизации ее кода.

Корпоративный инструментальный пакет может использоваться как самостоятельно (например, для оценки применимости какой-либо типовой конфигурации для решения задач клиента) так и в качестве дополнительного инструмента, позволяющего провести анализ «узких мест» и повысить производительность и масштабируемость внедряемой или уже внедренной системы.

Основные решаемые задачи

Основные задачи, решаемые при помощи Корпоративного инструментального пакета:

* проведение многопользовательских нагрузочных испытаний без участия реальных пользователей:

* оценка применимости системы в заданных условиях;

* оценка масштабируемости системы;

* выбор оборудования;

* получение объективных (числовых) показателей производительности системы во время ее нагрузочных испытаний или рабочей эксплуатации;

* сбор и хранение информации о динамике производительности системы во времени;

* поиск и анализ «узких мест» и оптимизация кода системы:

* сбор полной информации обо всех проблемах производительности, имеющихся в многопользовательской системе:

* ранжирование проблем по степени их влияния на производительность системы в целом;

* предоставление сквозной информации о контексте каждой проблемы на всех уровнях функционирования системы (действия пользователя, стек вызовов исходного кода, запросы к СУБД).

Общая схема работы

Исследуемая информационная база - это прикладная система на платформе 1С:Предприятие 8, в которой необходимо провести анализ производительности, а так же поиск возможных проблем и узких мест с целью дальнейшей оптимизации.

Нагрузка в исследуемой базе может создаваться Тест-центром (при помощи сценариев тестирования) либо реальными пользователями системы.

Эксперт, при помощи Тест-центра и «Центра управления производительностью» осуществляет сбор показателей производительности системы. На основании полученных значений он оценивает текущую работоспособность системы и наличие в ней проблем производительности.

Если обнаружены проблемы производительности, то эксперт при помощи ЦУП собирает дополнительную (аналитическую) информацию об «узких местах» системы. На основании этой информации и рекомендаций, данных в руководстве по использованию "Корпоративного инструментального паркета", эксперт может произвести оптимизацию системы, изменив код конфигурации и/или структуру метаданных.

3.4.2 Тест-центр

Тест-центр - инструмент автоматизации многопользовательских нагрузочных испытаний информационных систем на платформе 1С:Предприятие 8. С его помощью можно моделировать работу предприятия без участия реальных пользователей.

3.4.3 Центр управления производительностью

«Центр управления производительностью» (ЦУП) - инструмент мониторинга и анализа производительности информационных систем на платформе 1С:Предприятие 8.ЦУП предназначен для оценки производительности системы, сбора подробной технической информации об имеющихся «узких местах» и анализа этой информации с целью дальнейшей оптимизации.

С помощью тест-центра проводилась нагрузка на сервер 1с:предприятия с 10 виртуальными пользователями, статистика собиралась с помощью Центр управления производительностью.

3.5 Результаты тестирования платформы 1С: Предприятие 8.1

Для выбора сетевой ОС и СУБД в условиях работы множества клиентов с сервером «1С Предприятие 8.1» получить как количественную оценку производительности от типа используемой сетевой ОС, количества удаленных клиентов, так и оценку масштабируемости платформы 1С Предприятие 8.1.

Для решения поставленной задачи произведем вычислительный эксперимент, используя пакет 1С Корпоративный инструментальный пакет и тест TCP-1C-GILV-A, для 10 удаленных виртуальных пользователей и альтернативных вариантов сетевых ОС.

Результаты тестирования для варианта используемых ОС представлены:

· Для Windows Server 2003 + Ms SQLserver 2005 на рис.3.8 и таблица 3.4;

· Для Fedora core 8 + PostgreSQL на рис.3.9 и таблица 3.5.

Результаты по второму тесту для варианта используемых ОС представлены:

· Для Windows Server 2003 + Ms SQLserver 2005 на рис.3.10;

· Для Fedora core 8 + PostgreSQL на рис.3.12.

Рис. 3.9 Производительность технологической платформы 1С Предприятие на сервере Windows 2003

Привязка обозначений функций P1_, P2_, P3_, P4_, P5к их смысловому названию представлены в таблице 3.4.

Таблица 3.4 Сводная таблица значений полученных при тестировании ЦУП

Показатель производительности	Единица	Среднее	Максимум	Сумма
Суммарное время выполнения запроса, P1	Сек.	0.231	1.791	13.879
Максимальное время выполнения запроса, P2	Сек.	0.063	0.359	3.772
Среднее время выполнения запроса, P3	Сек.	0.057	0.294	3.430
Количество выполняемых запросов, P4	Шт.	0.748	3.200	44.903
Суммарное время ожидания на блокировках СУБД и 1С, P5	Сек	1.088	6.067	65.268

Рис. 3.10 Производительность технологической платформы 1С Предприятие на сервере Fedora core 8

Привязка обозначений функций P1_, P2_, P3_, P4_, P5к их смысловому названию представлены в таблице 3.5.

Таблица 3.5 Сводная таблица значений полученных при тестировании ЦУП

Показатель производительности	Единица	Среднее	Максимум	Сумма
Суммарное время выполнения запроса, P1	Сек.	0.267	2.251	17.879
Максимальное время выполнения запроса, P2	Сек.	0.050	0.564	3.943
Среднее время выполнения запроса, P3	Сек.	0.071	0.539	3.542
Количество выполняемых запросов, P4	Шт.	0.648	4.364	50.012
Суммарное время ожидания на блокировках СУБД и 1, P5С	Сек	1.304	6.778	67.328

3.5.1 Тестирование с помощью TPC-1C-GILV-A

Тест относится к разделу универсальных интегральных кроссплатформенных тестов. Даже более того, он применим для файлового и клиент-серверного вариантов эксплуатации 1С:Предприятие. Тест работает для всех СУБД, поддерживаемых 1С.

Мы получаем в качестве результата некий индекс производительности (скорости). Не важно, хороший или плохой результат - это результат работы платформы на нашем сервере. Данный тест, выполненный на конкретном сервере, дает результат по совокупности настроек hardware, операционной системы, СУБД и т.д. Тем не менее высокий результат на конкретном серверном оборудовании означает, что при соблюдении нормальных условий такой же результат будет на идентичном серверном оборудовании.

Результаты тестирования:

Рис. 3.11 Показатель производительности технологической платформы 1С Предприятие 8.1 на сервере Windows 2003 в результате применения теста TPC-1C-GILV-A.

Рис. 3.12 Показатель производительности технологической платформы 1С Предприятие 8.1 на сервере Fedora core 8 в результате применения теста TPC-1C-GILV-A

Вывод.

На основании полученных тестовых результатов можно с уверенностью сказать, что для использования платформы 1С Предприятия 8.1 и для реализации клиент-серверной технологии, луче всего использовать ее в связке с сервером Windows Server 2003 и СУБД Ms SQLserver 2005. Так как по результатам двух тестов эта ОС показала наилучшую производительность и масштабируемость, в условиях данной корпоративной сети. Для использования сервера Fedora core 8 и СУБД PostgreSQL для клиент-серверной технологий 1С Предприятие 8.1 сервер нуждается в профессиональной настройке, как самой операционной системы, так и СУБД PostgreSQL. Это связано с тем, что технологическая платформа 1С Предприятие 8.1 изначально разрабатывалась, и была оптимизирована для работы с Windows Server 2003 и СУБД MS SQLServer.

Заключение

1. В результате проведённого исследования была построена аналитическая функция отклика для моделирования и оценки производительности пропускной способности корпоративной сети с защищенным каналом.

. Протестирован один из самых популярных алгоритмов шифрования с различными параметрами и с двумя различными операционными системами и произведена оценка их производительности.

. Получены наборы оптимальных конфигураций для построения защищённых каналов корпоративных сетей.

. По итогам тестирования можно сделать вывод о наиболее производительной и моделируемой серверной операционной системе.

. Исследование позволило получить наиболее экономичное решение для построения защищённых каналов корпоративной сети.

. Проведено тестирование технологической платформы 1С Предприятие с двумя различными серверными операционными системами и СУБД.

. По результатам тестирования можно сделать вывод об наиболее производительной серверной операционной системе, подходящей наилучшим образом для реализации клиент - серверного технологии на основе технологической платформы 1С Предприятии 8.1.

Список используемой литературы

1. А.В. Соколов, В.Ф.Шаньгин. Защита информации в распределенных корпоративных сетях и системах. - М.: ДМК Пресс, 2002. - 656с.

2. W. Stallings Cryptography and Network Security: Principles and Practice (Second Edition). - Prentice Hall Upper Saddle River, New Jersey 07458 - 569 c.

3. Л.К. Бабенко, Е.А. Ищукова. Современные алгоритмы блочного шифрования и методы их анализа: учеб. пособие для студентов вузов, обучающихся по группе специальностей в обл. информ. безопасности - М.: Гелиос АРВ,2006. - 376с.

4. Menezes, Alfred; van Oorschot, Paul C.; Vanstone, Scott A. Handbook of Applied Cryptography. - CRC Press, October 1996. ISBN 0-8493-8523-7

. Нильс Фергюсон, Брюс Шнайер. Практическая криптография = Practical Cryptography: Designing and Implementing Secure Cryptographic Systems. - М.: «Диалектика», 2004. - С. 432. - ISBN 0-471-22357-3

. Бутов А.С., Гаскаров Д.В., Егоров А.Н., Крупенина Н.В. Транспортные системы: моделирование и управление. - СПб.: Судостроение, 2001, - 552 с.

. Ананий В. Левитин Глава 3. Метод грубой силы: Задача о рюкзаке // Алгоритмы: введение в разработку и анализ = Introduction to The Design and Analysis of Aigorithms. - М.: «Вильямс», 2006. - С. 160-163. - ISBN 0-201-74395-7

. Гаскаров Д.В., Шаповалов В.И. Малая выборка. - М.: Статистика, 1978. - 248 с.

. А. Г. Ивахненко, Ю. П. Юрачковский Моделирование сложных систем по экспериментальным данным. - М.: «Радио и связь», 1987. -120c.

Приложение

Сводная таблица значений параметров, опытных и модельных значений производительности защищенного канала

N	win/lin	Key	кол	S<>C	модель	отклонение
1	1	128	1	45,9	49,6439	-3,7439
2	1	128	1	45,5	49,6439	-4,1439
3	1	128	1	43,61	49,6439	-6,0339
4	1	128	1	45,9	49,6439	-3,7439
5	1	128	1	36,6	49,6439	-13,0439
6	1	128	1	47,3	49,6439	-2,3439
7	1	128	1	46,1	49,6439	-3,5439
8	1	128	1	49	49,6439	-0,6439
9	1	128	1	39,9	49,6439	-9,7439
10	1	128	1	39,8	49,6439	-9,8439
11	1	128	1	46,3	49,6439	-3,3439
12	1	128	1	46,3	49,6439	-3,3439
13	1	128	1	28,65	49,6439	-20,9939
14	1	128	1	46,8	49,6439	-2,8439
15	1	128	1	46,7	49,6439	-2,9439
16	1	128	1	48,4	49,6439	-1,2439
17	1	128	1	45,3	49,6439	-4,3439
18	1	128	1	48,3	49,6439	-1,3439
19	1	128	1	41,8	49,6439	-7,8439
20	1	128	1	41,78	49,6439	-7,8639
21	1	128	1	45,6	49,6439	-4,0439
22	1	128	1	47,2	49,6439	-2,4439
23	1	128	38,4	49,6439	-11,2439
24	1	128	1	45,6	49,6439	-4,0439
25	1	128	1	45,7	49,6439	-3,9439
26	1	128	1	35,1	49,6439	-14,5439
27	1	128	1	44,7	49,6439	-4,9439
28	1	128	1	42,96	49,6439	-6,6839
29	1	128	1	47,9	49,6439	-1,7439
30	1	128	1	58,4	49,6439	8,756096
31	1	128	2	52,97	41,7632	11,20678
32	1	128	2	58,16	41,7632	16,39678
33	1	128	2	43,56	41,7632	1,796777
34	1	128	2	64,76	41,7632	22,99678
35	1	128	2	46,7	41,7632	4,936777
36	1	128	2	52,82	41,7632	11,05678
37	1	128	2	51	41,7632	9,236777
38	1	128	2	53,38	41,7632	11,61678
39	1	128	2	39,31	41,7632	-2,45322
40	1	128	2	68,37	41,7632	26,60678
41	1	128	2	60,22	41,7632	18,45678
42	1	128	2	41,37	41,7632	-0,39322
43	1	128	2	47,99	41,7632	6,226777
44	1	128	2	72,55	41,7632	30,78678
45	1	128	2	35,64	41,7632	-6,12322
46	1	128	2	64,5	41,7632	22,73678
47	1	128	2	45,27	41,7632	3,506777
48	1	128	2	53,62	41,7632	11,85678
49	1	128	2	48,11	41,7632	6,346777
50	1	128	2	55,01	41,7632	13,24678
51	1	128	2	49,91	41,7632	8,146777
52	1	128	2	52,16	41,7632	10,39678
53	1	128	2	47,96	41,7632	6,196777
54	1	128	2	58,45	41,7632	16,68678
55	1	128	2	57,04	41,7632	15,27678
56	1	128	2	40,86	41,7632	-0,90322
57	1	128	2	66,4	41,7632	24,63678
58	1	128	2	19,95	41,7632	-21,8132
59	1	128	2	58,79	41,7632	17,02678
60	1	128	2	50,44	41,7632	8,676777
61	1	128	2	47,91	41,7632	6,146777
62	1	128	2	55,3	41,7632	13,53678
63	1	128	3	63,35	63,0616	0,288395
64	1	128	3	53,02	63,0616	-10,0416
65	1	128	3	66,2	63,0616	3,138395
66	1	128	3	63,94	63,0616	0,878395
67	1	128	3	54,64	63,0616	-8,4216
68	1	128	3	58,3	63,0616	-4,7616
69	1	128	3	52,49	63,0616	-10,5716
70	1	128	3	59,34	63,0616	-3,7216
71	1	128	3	56,64	63,0616	-6,4216
72	1	128	3	60,56	63,0616	-2,5016
73	1	128	3	63,0616	-1,2316
74	1	128	3	60,64	63,0616	-2,4216
75	1	128	3	57,38	63,0616	-5,6816
76	1	128	3	58,93	63,0616	-4,1316
77	1	128	3	58,64	63,0616	-4,4216
78	1	128	3	58,34	63,0616	-4,7216
79	1	128	3	57,88	63,0616	-5,1816
80	1	128	3	61,35	63,0616	-1,7116
81	1	128	3	54,54	63,0616	-8,5216
82	1	128	3	62,11	63,0616	-0,9516
83	1	128	3	51,21	63,0616	-11,8516
84	1	128	3	61,91	63,0616	-1,1516
85	1	128	3	58,08	63,0616	-4,9816
86	1	128	3	56,44	63,0616	-6,6216
87	1	128	3	56,71	63,0616	-6,3516
88	1	128	3	61,43	63,0616	-1,6316
89	1	128	3	50,61	63,0616	-12,4516
90	1	128	3	51,49	63,0616	-11,5716
91	1	128	3	47,16	63,0616	-15,9016
92	1	128	3	56,01	63,0616	-7,0516
93	1	128	3	57,5	63,0616	-5,5616
94	1	256	1	44,1	39,2016	4,89837
95	1	256	1	45,6	39,2016	6,39837
96	1	256	1	42,74	39,2016	3,53837
97	1	256	1	42,25	39,2016	3,04837
98	1	256	1	40,26	39,2016	1,05837
99	1	256	1	42,59	39,2016	3,38837
100	1	256	1	41,33	39,2016	2,12837
101	1	256	1	45,5	39,2016	6,29837
102	1	256	1	42,15	39,2016	2,94837
103	1	256	1	57,8	39,2016	18,59837
104	1	256	1	38,5	39,2016	-0,70163
105	1	256	1	34,95	39,2016	-4,25163
106	1	256	1	52,7	39,2016	13,49837
107	1	256	1	43,2	39,2016	3,99837
108	1	256	1	57	39,2016	17,79837
109	1	256	1	36,6	39,2016	-2,60163
110	1	256	1	39,8	39,2016	0,59837
111	1	256	1	48,7	39,2016	9,49837
112	1	256	1	36,8	39,2016	-2,40163
113	1	256	1	41,28	39,2016	2,07837
114	1	256	1	51,4	39,2016	12,19837
115	1	256	1	46,9	39,2016	7,69837
116	1	256	1	36,4	39,2016	-2,80163
117	1	256	1	48,6	39,2016	9,39837
118	1	256	1	41,4	39,2016	2,19837
119	1	256	1	47,6	39,2016	8,39837
120	1	256	1	51	39,2016	11,79837
121	1	256	1	21,67	39,2016	-17,5316
122	1	256	2	21,93	29,2213	-7,29133
123	1	256	2	14,69	-14,5313
124	1	256	2	15,26	29,2213	-13,9613
125	1	256	2	24,32	29,2213	-4,90133
126	1	256	2	23,47	29,2213	-5,75133
127	1	256	2	22,57	29,2213	-6,65133
128	1	256	2	18,3	29,2213	-10,9213
129	1	256	2	23,53	29,2213	-5,69133
130	1	256	2	17,89	29,2213	-11,3313
131	1	256	2	23,73	29,2213	-5,49133
132	1	256	2	18,48	29,2213	-10,7413
133	1	256	2	23,59	29,2213	-5,63133
134	1	256	2	17,04	29,2213	-12,1813
135	1	256	2	23,03	29,2213	-6,19133
136	1	256	2	15,51	29,2213	-13,7113
137	1	256	2	23,03	29,2213	-6,19133
138	1	256	2	19,32	29,2213	-9,90133
139	1	256	2	20,44	29,2213	-8,78133
140	1	256	2	22,8	29,2213	-6,42133
141	1	256	2	19,47	29,2213	-9,75133
142	1	256	2	20,12	29,2213	-9,10133
143	1	256	2	21,63	29,2213	-7,59133
144	1	256	2	22,81	29,2213	-6,41133
145	1	256	2	22,39	29,2213	-6,83133
146	1	256	2	22,54	29,2213	-6,68133
147	1	256	2	29	29,2213	-0,22133
148	1	256	2	23,78	29,2213	-5,44133
149	1	256	2	19,6	29,2213	-9,62133
150	1	256	2	21,7	29,2213	-7,52133
151	1	256	2	20,17	29,2213	-9,05133
152	1	256	2	22,95	29,2213	-6,27133
153	1	256	3	54,65	48,4201	6,229902
154	1	256	3	53,77	48,4201	5,349902
155	1	256	3	58,27	48,4201	9,849902
156	1	256	3	60,9	48,4201	12,4799
157	1	256	3	44,08	48,4201	-4,3401
158	1	256	3	61,9	48,4201	13,4799
159	1	256	3	54,95	48,4201	6,529902
160	1	256	3	55,09	48,4201	6,669902
161	1	256	3	57,26	48,4201	8,839902
162	1	256	3	63,91	48,4201	15,4899
163	1	256	3	58,1	48,4201	9,679902
164	1	256	3	60,1	48,4201	11,6799
165	1	256	3	48,3	48,4201	-0,1201
166	1	256	3	63,13	48,4201	14,7099
167	1	256	3	51,64	48,4201	3,219902
168	1	256	3	52,01	48,4201	3,589902
169	1	256	3	56,47	48,4201	8,049902
170	1	256	3	52,97	48,4201	4,549902
171	1	256	3	35,49	48,4201	-12,9301
172	1	256	3	49,86	48,4201	1,439902
173	1	256	3	34,91	48,4201
174	1	256	3	46,08	48,4201	-2,3401
175	1	256	3	23,66	48,4201	-24,7601
176	1	256	3	43,94	48,4201	-4,4801
177	1	256	3	56,39	48,4201	7,969902
178	1	256	3	53,41	48,4201	4,989902
179	1	256	3	54,28	48,4201	5,859902
180	1	256	3	64,32	48,4201	15,8999
181	1	256	3	63,09	48,4201	14,6699
182	1	256	3	45,31	48,4201	-3,1101
183	1	256	3	52,38	48,4201	3,959902
184	2	128	1	14,28	11,8886	2,391388
185	2	128	1	12,07	11,8886	0,181388
186	2	128	1	13,03	11,8886	1,141388
187	2	128	1	13,86	11,8886	1,971388
188	2	128	1	12,88	11,8886	0,991388
189	2	128	1	10,89	11,8886	-0,99861
190	2	128	1	12,78	11,8886	0,891388
191	2	128	1	10,55	11,8886	-1,33861
192	2	128	1	12,29	11,8886	0,401388
193	2	128	1	12,36	11,8886	0,471388
194	2	128	1	13,28	11,8886	1,391388
195	2	128	1	13,21	11,8886	1,321388
196	2	128	1	13,18	11,8886	1,291388
197	2	128	1	13,1	11,8886	1,211388
198	2	128	1	13,04	11,8886	1,151388
199	2	128	1	13,25	11,8886	1,361388
200	2	128	1	13,08	11,8886	1,191388
201	2	128	1	13,3	11,8886	1,411388
202	2	128	1	12,91	11,8886	1,021388
203	2	128	1	12,26	11,8886	0,371388
204	2	128	1	13,31	11,8886	1,421388
205	2	128	1	12,67	11,8886	0,781388
206	2	128	1	10,06	11,8886	-1,82861
207	2	128	1	13,47	11,8886	1,581388
208	2	128	1	13,35	11,8886	1,461388
209	2	128	1	13,43	11,8886	1,541388
210	2	128	1	13,2	11,8886	1,311388
211	2	128	1	13,3	11,8886	1,411388
212	2	128	1	12,59	11,8886	0,701388
213	2	128	1	13,03	11,8886	1,141388
214	2	128	2	24,44	25,1202	-0,68019
215	2	128	2	17,34	25,1202	-7,78019
216	2	128	2	21,8	25,1202	-3,32019
217	2	128	2	22,54	25,1202	-2,58019
218	2	128	2	25,64	25,1202	0,51981
219	2	128	2	22,15	25,1202	-2,97019
220	2	128	2	23,63	25,1202	-1,49019
221	2	128	2	23,8	25,1202	-1,32019
222	2	128	2	23,62	25,1202	-1,50019
223	2	128	2	23,05	25,1202	-2,07019	2	128	2	23,15	25,1202	-1,97019
225	2	128	2	24,09	25,1202	-1,03019
226	2	128	2	24,09	25,1202	-1,03019
227	2	128	2	23,61	25,1202	-1,51019
228	2	128	2	24,14	25,1202	-0,98019
229	2	128	2	23,18	25,1202	-1,94019
230	2	128	2	23,75	25,1202	-1,37019
231	2	128	2	24	25,1202	-1,12019
232	2	128	2	22,28	25,1202	-2,84019
233	2	128	2	23,2	25,1202	-1,92019
234	2	128	2	20,69	25,1202	-4,43019
235	2	128	2	23,23	25,1202	-1,89019
236	2	128	2	23,49	25,1202	-1,63019
237	2	128	2	24,62	25,1202	-0,50019
238	2	128	2	21,5	25,1202	-3,62019
239	2	128	2	22,69	25,1202	-2,43019
240	2	128	2	22,65	25,1202	-2,47019
241	2	128	2	23,42	25,1202	-1,70019
242	2	128	2	24,97	25,1202	-0,15019
243	2	128	2	21,5	25,1202	-3,62019
244	2	128	2	23,34	25,1202	-1,78019
245	2	128	3	87,41	67,5308	19,87917
246	2	128	3	51,96	67,5308	-15,5708
247	2	128	3	81,94	67,5308	14,40917
248	2	128	3	54,67	67,5308	-12,8608
249	2	128	3	67,29	67,5308	-0,24083
250	2	128	3	70,88	67,5308	3,34917
251	2	128	3	66,82	67,5308	-0,71083
252	2	128	3	77,51	67,5308	9,97917
253	2	128	3	54,45	67,5308	-13,0808
254	2	128	3	77,75	67,5308	10,21917
255	2	128	3	72,57	67,5308	5,03917
256	2	128	3	60,88	67,5308	-6,65083
257	2	128	3	68,96	67,5308	1,42917
258	2	128	3	71,15	67,5308	3,61917
259	2	128	3	68,63	67,5308	1,09917
260	2	128	3	72,16	67,5308	4,62917
261	2	128	3	65,13	67,5308	-2,40083
262	2	128	3	72,89	67,5308	5,35917
263	2	128	3	84,21	67,5308	16,67917
264	2	128	3	67,28	67,5308	-0,25083
265	2	128	3	56,79	67,5308	-10,7408
266	2	128	3	81,74	67,5308	14,20917
267	2	128	3	61,22	67,5308	-6,31083
268	2	128	3	74,17	67,5308	6,63917
269	2	128	3	61,93	67,5308	-5,60083
270	2	128	3	66,75	67,5308	-0,78083
271	2	128	3	69,12	67,5308	1,58917
272	2	128	3	65,49	67,5308	-2,04083
273	2	128	3	67,15	67,5308	-0,38083
274	128	3	64,86	67,5308	-2,67083
275	2	128	3	65,47	67,5308	-2,06083
276	2	256	1	11,41	12,309	-0,899
277	2	256	1	8,84	12,309	-3,469
278	2	256	1	6,54	12,309	-5,769
279	2	256	1	11,5	12,309	-0,809
280	2	256	1	12,29	12,309	-0,019
281	2	256	1	13,7	12,309	1,391004
282	2	256	1	11,72	12,309	-0,589
283	2	256	1	14,1	12,309	1,791004
284	2	256	1	13,89	12,309	1,581004
285	2	256	1	13,26	12,309	0,951004
286	2	256	1	12,68	12,309	0,371004
287	2	256	1	12,66	12,309	0,351004
288	2	256	1	12,96	12,309	0,651004
289	2	256	1	13,25	12,309	0,941004
290	2	256	1	13,45	12,309	1,141004
291	2	256	1	13,46	12,309	1,151004
292	2	256	1	13,35	12,309	1,041004
293	2	256	1	13,31	12,309	1,001004
294	2	256	1	13,45	12,309	1,141004
295	2	256	1	12,61	12,309	0,301004
296	2	256	1	13,43	12,309	1,121004
297	2	256	1	13,01	12,309	0,701004
298	2	256	1	13,01	12,309	0,701004
299	2	256	1	12,7	12,309	0,391004
300	2	256	1	13,38	12,309	1,071004
301	2	256	1	11,8	12,309	-0,509
302	2	256	1	12,83	12,309	0,521004
303	2	256	1	13,37	12,309	1,061004
304	2	256	1	13,24	12,309	0,931004
305	2	256	1	13,11	12,309	0,801004
306	2	256	1	12,56	12,309	0,251004
307	2	256	2	19,72	23,441	-3,72096
308	2	256	2	21,24	23,441	-2,20096
309	2	256	2	23,57	23,441	0,129042
310	2	256	2	22,7	23,441	-0,74096
311	2	256	2	23,19	23,441	-0,25096
312	2	256	2	22,44	23,441	-1,00096
313	2	256	2	23,39	23,441	-0,05096
314	2	256	2	21,88	23,441	-1,56096
315	2	256	2	24,12	23,441	0,679042
316	2	256	2	24,33	23,441	0,889042
317	2	256	2	23,17	23,441	-0,27096
318	2	256	2	24,26	23,441	0,819042
319	2	256	2	23,77	23,441	0,329042
320	2	256	2	24,34	23,441	0,899042
321	2	256	2	23,9	23,441	0,459042
322	2	256	2	23,23	23,441	-0,21096
323	2	256	2	23,61	23,441	0,169042
324	2	2	22,79	23,441	-0,65096
325	2	256	2	23,68	23,441	0,239042
326	2	256	2	23,22	23,441	-0,22096
327	2	256	2	22,88	23,441	-0,56096
328	2	256	2	23,49	23,441	0,049042
329	2	256	2	22,79	23,441	-0,65096
330	2	256	2	23,17	23,441	-0,27096
331	2	256	2	24,17	23,441	0,729042
332	2	256	2	22,68	23,441	-0,76096
333	2	256	2	23,2	23,441	-0,24096
334	2	256	2	21,85	23,441	-1,59096
335	2	256	2	23,93	23,441	0,489042
336	2	256	2	22,79	23,441	-0,65096
337	2	256	2	23,01	23,441	-0,43096
338	2	256	3	62,99	63,752	-0,76198
339	2	256	3	60,88	63,752	-2,87198
340	2	256	3	68,03	63,752	4,278017
341	2	256	3	67,32	63,752	3,568017
342	2	256	3	64	63,752	0,248017
343	2	256	3	64,11	63,752	0,358017
344	2	256	3	64,38	63,752	0,628017
345	2	256	3	65,83	63,752	2,078017
346	2	256	3	64,3	63,752	0,548017
347	2	256	3	60,76	63,752	-2,99198
348	2	256	3	61,63	63,752	-2,12198
349	2	256	3	65,58	63,752	1,828017
350	2	256	3	66,63	63,752	2,878017
351	2	256	3	65,9	63,752	2,148017
352	2	256	3	66,7	63,752	2,948017
353	2	256	3	69,92	63,752	6,168017
354	2	256	3	64,79	63,752	1,038017
355	2	256	3	66,38	63,752	2,628017
356	2	256	3	62,09	63,752	-1,66198
357	2	256	3	63,66	63,752	-0,09198
358	2	256	3	61,29	63,752	-2,46198
359	2	256	3	63,13	63,752	-0,62198
360	2	256	3	66,26	63,752	2,508017
361	2	256	3	66,92	63,752	3,168017
362	2	256	3	62,97	63,752	-0,78198
363	2	256	3	59,47	63,752	-4,28198
364	2	256	3	66,19	63,752	2,438017
365	2	256	3	56,1	63,752	-7,65198
366	2	256	3	57,12	63,752	-6,63198
367	2	256	3	58,53	63,752	-5,22198
368	2	256	3	63,32	63,752	-0,43198

В приложении использованы следующие обозначения:

· N - номер опыта;

· win/lin - серверная ОС (Windows 2003 / Fedora core 8);

· Key - длина ключа шифрования;

· Кол - количество удаленных клиентов;

· S<>C - суммарная пропускная способность;

· модель - просчитанная пропускная способность;

· отклонение - разница между S<>C и моделью.

y0	=	1	1	1	1	1	0	0	0	x0	+	0
y1		0	1	1	1	1	1	0	0	x1		1
y2		0	0	1	1	1	1	1	0	x2		1
y3		0	0	0	1	1	1	1	1	x3		0
y4		1	0	0	0	1	1	1	1	x4		0
y5		1	1	0	0	0	1	1	1	x5		0
y6		1	1	1	0	0	0	1	1	x6		1
y7		1	1	1	1	0	0	0	1	x7		1

y0	=	1	1	1	1	1	0	0	0	x0	+	0
y1		0	1	1	1	1	1	0	0	x1		1
y2		0	0	1	1	1	1	1	0	x2		1
y3		0	0	0	1	1	1	1	1	x3		0
y4		1	0	0	0	1	1	1	1	x4		0
y5		1	1	0	0	0	1	1	1	x5		0
y6		1	1	1	0	0	0	1	1	x6		1
y7		1	1	1	1	0	0	0	1	x7		1

Моделирование и оценка производительности работы защищенных каналов в корпоративных сетях

Моделирование и оценка производительности работы защищенных каналов в корпоративных сетях

.1 Аппаратные средства построения VPN

1.2 Программные реализации VPN

2.3 Режимы шифрования

Глава 3. Моделирование, производительность и масштабируемость защищенных каналов

.1 Моделирование и оценка производительности работы защищенных каналов

3.1.1 Оценка производительности защищенного канала

3.1.2 Разработка модели функционирования сети

3.1.3 Многомерный регрессионный анализ

3.2 Механизмы оптимизации

3.3 Производительность 1С: Предприятие 8.1

3.4 Тестирование 1C Предприятия

3.4.1 1С: Корпоративный инструментальный пакет

3.4.2 Тест-центр

3.4.3 Центр управления производительностью

3.5 Результаты тестирования платформы 1С: Предприятие 8.1

3.5.1 Тестирование с помощью TPC-1C-GILV-A

Заключение

Список используемой литературы

Приложение

Сводная таблица значений параметров, опытных и модельных значений производительности защищенного канала

Похожие работы на - Моделирование и оценка производительности работы защищенных каналов в корпоративных сетях

y0	=	1	1	1	1	1	0	0	0	x0	+	0
y1		0	1	1	1	1	1	0	0	x1		1
y2		0	0	1	1	1	1	1	0	x2		1
y3		0	0	0	1	1	1	1	1	x3		0
y4		1	0	0	0	1	1	1	1	x4		0
y5		1	1	0	0	0	1	1	1	x5		0
y6		1	1	1	0	0	0	1	1	x6		1
y7		1	1	1	1	0	0	0	1	x7		1