[发明专利]适用于Xen虚拟化环境下的专用数据加密方法及加密卡

说明书

本发明提供一种适用于Xen虚拟化环境下的专用数据加密方法及加密卡，加密卡包括：权限管理单元、数据分配单元、队列加工单元和业务处理单元；数据分配单元用于将数据加密卡的硬件映射为多个独立的缓冲资源池，并且，每一个缓冲资源池的一端唯一对应一个虚拟机；队列加工单元用于建立与每一个缓冲资源池唯一对应的一组输入队列和输出队列；输入队列用于接收到的来自与其唯一对应的缓冲资源池的加密业务请求；然后将各加密业务请求依次发送到业务处理单元；输出队列用于将接收到的来自业务处理单元的加密业务响应依次返回给与其唯一对应的缓冲资源池。多台虚拟机共享一个加密卡硬件，提高了加密卡硬件的使用效率；还具有数据安全性高的优点。

技术领域

本发明属于云计算技术领域，具体涉及一种适用于Xen虚拟化环境下的专用数据加密方法及加密卡。

背景技术

加密卡是为PC机提供加密服务的专用插卡式密码设备，通常通过应用程序接口API的方式为计算机应用系统提供各种安全保密服务，例如：数据加密、数字签名、信息完整性验证、身份认证和访问控制等，主要应用于电子政务、电子商务、电子金融等行业。通过在计算机与外部通信接口上安插特殊的加密卡，可以保证计算机输出的数据均经过加密卡的处理而难以被网络上的攻击者偷窃解读；同时，也只有安装了相应解密卡的计算机才可以正确收取被加密了的数据。也就是说，在物理环境中，通过各种加密设备可以保证数据的可靠性。

但是，目前在虚拟化环境下，一个加密卡硬件只能被唯一一台虚拟机使用；具有加密卡硬件使用效率低的问题。

发明内容

针对现有技术存在的缺陷，本发明提供一种适用于Xen虚拟化环境下的专用数据加密方法及加密卡，多台虚拟机共享一个加密卡硬件，提高了加密卡硬件的使用效率；还具有数据安全性高的优点。

本发明采用的技术方案如下：

本发明提供一种适用于Xen虚拟化环境下的专用数据加密方法，包括以下步骤：

S1，根据配置规则，将所述数据加密卡的硬件映射为多个独立的缓冲资源池，并且，每一个缓冲资源池的一端唯一对应一个虚拟机；所述缓冲资源池的另一端唯一对应一组输入队列和输出队列；

S2，当指定虚拟机需要使用所述数据加密卡进行加密业务处理时，所述指定虚拟机将加密业务请求发送到与其唯一对应的指定缓冲资源池；

S3，所述指定缓冲资源池再将所述加密业务请求发送到与其唯一对应的指定输入队列；

S4，所述指定输入队列按时间先后顺序排列不同时间接收到的加密业务请求；然后按照先到先服务原则，将各加密业务请求依次发送到所述数据加密卡的业务处理单元；

S5，所述业务处理单元处理所述加密业务请求，得到加密业务响应；然后将所述加密业务响应发送到指定输出队列；

S6，所述指定输出队列按照先到先服务原则，将接收到的各加密业务响应依次返回给所述指定缓冲资源池，所述指定缓冲资源池再将该加密业务响应返回给所述指定虚拟机。

优选的，S2中，还包括：

当指定虚拟机需要使用所述数据加密卡时，首先判断所述指定虚拟机是否具有使用所述数据加密卡的权限，如果有，则执行后续步骤；否则，拒绝其使用所述数据加密卡。

优选的，S4之后，还包括：

当所述指定输入队列输出某一加密业务请求到所述业务处理单元之后，即从所述指定输入队列中删除该加密业务请求。

优选的，S6之后，还包括：

当所述指定输出队列输出某一加密业务响应到所述指定虚拟机之后，即从所述指定输出队列中删除该加密业务响应。