[发明专利]适用于Xen虚拟化环境下的专用数据加密方法及加密卡

摘要

本发明提供一种适用于Xen虚拟化环境下的专用数据加密方法及加密卡，加密卡包括：权限管理单元、数据分配单元、队列加工单元和业务处理单元；数据分配单元用于将数据加密卡的硬件映射为多个独立的缓冲资源池，并且，每一个缓冲资源池的一端唯一对应一个虚拟机；队列加工单元用于建立与每一个缓冲资源池唯一对应的一组输入队列和输出队列；输入队列用于接收到的来自与其唯一对应的缓冲资源池的加密业务请求；然后将各加密业务请求依次发送到业务处理单元；输出队列用于将接收到的来自业务处理单元的加密业务响应依次返回给与其唯一对应的缓冲资源池。多台虚拟机共享一个加密卡硬件，提高了加密卡硬件的使用效率；还具有数据安全性高的优点。

主权项

1.一种适用于Xen虚拟化环境下的专用数据加密方法，其特征在于，包括以下步骤：S1，根据配置规则，将所述数据加密卡的硬件映射为多个独立的缓冲资源池，并且，每一个缓冲资源池的一端唯一对应一个虚拟机；所述缓冲资源池的另一端唯一对应一组输入队列和输出队列；S2，当指定虚拟机需要使用所述数据加密卡进行加密业务处理时，所述指定虚拟机将加密业务请求发送到与其唯一对应的指定缓冲资源池；S3，所述指定缓冲资源池再将所述加密业务请求发送到与其唯一对应的指定输入队列；S4，所述指定输入队列按时间先后顺序排列不同时间接收到的加密业务请求；然后按照先到先服务原则，将各加密业务请求依次发送到所述数据加密卡的业务处理单元；S5，所述业务处理单元处理所述加密业务请求，得到加密业务响应；然后将所述加密业务响应发送到指定输出队列；S6，所述指定输出队列按照先到先服务原则，将接收到的各加密业务响应依次返回给所述指定缓冲资源池，所述指定缓冲资源池再将该加密业务响应返回给所述指定虚拟机；其中，S2中，还包括：当指定虚拟机需要使用所述数据加密卡时，首先判断所述指定虚拟机是否具有使用所述数据加密卡的权限，如果有，则执行后续步骤；否则，拒绝其使用所述数据加密卡；S6之后，还包括：当所述指定输出队列输出某一加密业务响应到所述指定虚拟机之后，即从所述指定输出队列中删除该加密业务响应；基于适用于Xen虚拟化环境下的专用数据加密方法的适用于Xen虚拟化环境下的专用数据加密卡，包括：权限管理单元、数据分配单元、队列加工单元和业务处理单元；所述权限管理单元用于管理本数据加密卡所对应的各虚拟机账户的权限；所述数据分配单元用于将数据加密卡的硬件映射为多个独立的缓冲资源池，并且，每一个缓冲资源池的一端唯一对应一个虚拟机；还用于在驱动层分别对各个所述缓冲资源池进行管理；所述队列加工单元用于建立与每一个所述缓冲资源池唯一对应的一组输入队列和输出队列；所述输入队列用于按时间先后顺序排列不同时间接收到的来自与其唯一对应的缓冲资源池的加密业务请求；然后按照先到先服务原则，将各加密业务请求依次发送到所述数据加密卡的业务处理单元；所述输出队列用于按照先到先服务原则，将接收到的来自业务处理单元的加密业务响应依次返回给与其唯一对应的缓冲资源池；所述业务处理单元用于对接收到的来自输入队列的加密业务请求进行处理，得到加密业务响应；然后将所述加密业务响应返回给所述输出队列；由于一个数据加密卡被若干台虚拟机共享，为合理调度各虚拟机使用业务处理单元进行业务处理的效率，数据加密卡设置调度策略，包括：(1)优先级调度策略：即：预先配置各虚拟机的优先级别；数据加密卡配置输入队列监听模块，用于实时监听各个虚拟机输入队列的空闲状态，一旦监听到优先级高的虚拟机输入队列中存在业务处理请求时，则优先处理该优先级别高的输入队列存储的请求，直到处理完成后，再处理其他低优先级的业务处理请求；当配置以下优先级别顺序：虚拟机1＞虚拟机2＞虚拟机3；若某一时刻，监听到虚拟机1和虚拟机2输入队列为空，而虚拟机3输入队列中存在处理请求，则业务处理单元处理虚拟机3输入队列的处理请求；一旦某一时刻监听到虚拟机1输入队列中存在处理请求时，则业务处理单元将当前正在处理的请求处理完毕后，立刻按顺序执行虚拟机1输入队列的请求，直到将虚拟机1输入队列所有请求均处理完毕后，再执行其他虚拟机输入队列中的请求；(2)轮询调度策略：即：数据加密卡配置输入队列监听模块，用于实时监听各个虚拟机输入队列的空闲状态，然后按顺序循环执行各虚拟机输入队列的请求；如果某一时刻监听到虚拟机1输入队列按时间先后顺序存在AB两条请求；虚拟机2输入队列按时间先后顺序存在CDE三条请求；虚拟机3输入队列为空；则首先处理A请求，然后处理C请求；然后再处理B请求，然后再处理D请求，最后处理E请求。