CN102270153A - 一种虚拟环境下加密卡共享的方法和装置 - Google Patents
一种虚拟环境下加密卡共享的方法和装置 Download PDFInfo
- Publication number
- CN102270153A CN102270153A CN2011102309590A CN201110230959A CN102270153A CN 102270153 A CN102270153 A CN 102270153A CN 2011102309590 A CN2011102309590 A CN 2011102309590A CN 201110230959 A CN201110230959 A CN 201110230959A CN 102270153 A CN102270153 A CN 102270153A
- Authority
- CN
- China
- Prior art keywords
- encrypted card
- request
- queue
- card
- resource file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种虚拟环境下加密卡共享的方法,将一个硬件加密卡映射成独立的加密卡资源文件;为每个资源文件建立处理队列并调度处理请求。本发明通过将同一块加密卡映射为多个不同的资源文件,就可以将多个不同的加密卡资源分配给各虚拟机使用,但各虚拟机在物理层面上使用的仍是同一块加密卡,极大的提高了加密卡的使用效率。
Description
技术领域
本发明涉及硬件共享,具体来讲,涉及一种在虚拟机环境下对加密卡进行共享的方法和装置。
背景技术
近年来随着云应用模式的迅速发展,云安全成为广大用户最为关注的问题。目前,加密卡普遍应用于信息安全领域,用于认证用户身份和保障用户数据安全,所以使用加密卡保证云环境的安全成为了首选。在云环境中普遍使用虚拟化技术,而当前的虚拟化技术导致虚拟机对加密卡是独占性质的,即如果虚拟机A使用了加密卡,其他虚拟机就无法使用该加密卡,直到A释放加密卡资源。
在Linux***下,正常加密卡的驱动程序会将加密卡映射为具有唯一资源标识号的资源文件,所有应用程序通过该资源标识号使用该资源文件,并通过驱动程序使用物理加密卡。虚拟化技术使用VMM(Virtual Machine Monitor,虚拟机监视器)对硬件进行调度,如图1所以。当前的虚拟化技术VMM分配方案是:为一台虚拟机分配了加密卡硬件资源后,其他虚拟机就无法申请该硬件资源。
这种对加密卡的使用模式极大的浪费了加密卡资源,所以我们需要找到一种使得加密卡可以被多虚拟机共享使用方法,提高加密卡的使用效率。
发明内容
为了解决上述问题,本发明提出了一种虚拟环境下加密卡的共享方法,即改变现有加密卡驱动程序将一块加密卡映射为一个资源文件的单一模式,而是将同一块加密卡映射为多个不同的资源文件,这样从VMM的角度来看就是有多个物理加密卡存在,VMM就可以将多个不同的加密卡资源分配给各虚拟机使用,但各虚拟机在物理层面上使用的仍是同一块加密卡。
一种虚拟环境下加密卡共享的方法,
将一个硬件加密卡映射成独立的加密卡资源文件;
为每个资源文件建立处理队列并调度处理请求。
优选的,所述处理队列包括输入队列和输出队列;
所述输入队列存放的是对加密卡的请求操作命令和数据;
所述输出队列存放的是加密卡响应请求后返回的响应结果。
优选的,所述加密卡资源文件的数量至少为一个。
优选的,所述调度处理请求采用先到先服务算法。
优选的,请求在被加密卡处理后,该请求会在输入队列中被删除,请求完成后把处理结果返回到输出队列。
一种虚拟环境下加密卡共享的装置,包括,
资源映射模块,用于将一个硬件加密卡映射成独立的加密卡资源文件;
队列管理模块,用于为每个资源文件建立处理队列并调度处理请求。
优选的,所述处理队列包括输入队列和输出队列;
所述输入队列存放的是对加密卡的请求操作命令和数据;
所述输出队列存放的是加密卡响应请求后返回的响应结果。
优选的,所述加密卡资源文件的数量至少为一个。
优选的,所述调度处理请求采用先到先服务算法。
优选的,请求在被加密卡处理后,该请求会在输入队列中被删除,请求完成后把处理结果返回到输出队列。
本发明通过将同一块加密卡映射为多个不同的资源文件,就可以将多个不同的加密卡资源分配给各虚拟机使用,但各虚拟机在物理层面上使用的仍是同一块加密卡,极大的提高了加密卡的使用效率。
附图说明
图1是虚拟机独占加密卡示意图。
图2是多虚拟机共享加密卡示意图。
图3是多虚拟机共享加密卡通信示意图。
具体实施方式
下面结合附图和具体实施方式对本发明进行说明。
为了实现虚拟环境下多虚拟机共享加密卡,需要在现有普通加密卡驱动基础上加入资源映射模块和队列处理模块。
资源映射模块的主要作用就是将一个加密卡硬件映射成为多个独立的加密卡资源文件,如图3所示一块物理加密卡被映射为三个独立的资源文件,但各资源文件最终访问的是一块物理加密卡。所以需要在驱动内对不同资源文件的请求进行管理。为了解决上面的问题引入了队列管理模块。
队列管理模块的主要作用是为每个资源文件建立两个处理队列,一个是输入队列,如图3所示的IP1、IP2和IP3;一个是输出队列,如图3所示的OP1、OP2和OP3。输入队列存放的是对加密卡的请求操作命令和数据,输出队列存放的是加密卡响应请求后,返回的响应结果。队列管理模块的另一个重要作用是分派请求。队列管理模块按照各队列中请求的时间先后顺序分派请求,即先到先服务原则。一旦一个请求被对列管理模块选中,将要交给加密卡处理,该请求会被从输入队列中删除;一旦一个请求被加密卡处理完成,队列管理模块会将加密卡返回的处理结果放入输出队列,同样按照先到先服务原则,返回给对应的资源文件,最终返回给对应的虚拟机。
Claims (10)
1.一种虚拟环境下加密卡共享的方法,其特征在于:
将一个硬件加密卡映射成独立的加密卡资源文件;
为每个资源文件建立处理队列并调度处理请求。
2.如权利要求1所述的方法,其特征在于:所述处理队列包括输入队列和输出队列;
所述输入队列存放的是对加密卡的请求操作命令和数据;
所述输出队列存放的是加密卡响应请求后返回的响应结果。
3.如权利要求1所述的方法,其特征在于:所述加密卡资源文件的数量至少为一个。
4.如权利要求1所述的方法,其特征在于:所述调度处理请求采用先到先服务算法。
5.如权利要求2所述的方法,其特征在于:请求在被加密卡处理后,该请求会在输入队列中被删除,请求完成后把处理结果返回到输出队列。
6.一种虚拟环境下加密卡共享的装置,其特征在于:包括,
资源映射模块,用于将一个硬件加密卡映射成独立的加密卡资源文件;
队列管理模块,用于为每个资源文件建立处理队列并调度处理请求。
7.如权利要求6所述的装置,其特征在于:所述处理队列包括输入队列和输出队列;
所述输入队列存放的是对加密卡的请求操作命令和数据;
所述输出队列存放的是加密卡响应请求后返回的响应结果。
8.如权利要求6所述的装置,其特征在于:所述加密卡资源文件的数量至少为一个。
9.如权利要求6所述的装置,其特征在于:所述调度处理请求采用先到先服务算法。
10.如权利要求7所述的装置,其特征在于:请求在被加密卡处理后,该请求会在输入队列中被删除,请求完成后把处理结果返回到输出队列。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102309590A CN102270153A (zh) | 2011-08-12 | 2011-08-12 | 一种虚拟环境下加密卡共享的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102309590A CN102270153A (zh) | 2011-08-12 | 2011-08-12 | 一种虚拟环境下加密卡共享的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102270153A true CN102270153A (zh) | 2011-12-07 |
Family
ID=45052464
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102309590A Pending CN102270153A (zh) | 2011-08-12 | 2011-08-12 | 一种虚拟环境下加密卡共享的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102270153A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103873245A (zh) * | 2012-12-14 | 2014-06-18 | 华为技术有限公司 | 虚拟机***数据加密方法及设备 |
| CN104951712A (zh) * | 2014-03-24 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 一种Xen虚拟化环境下的数据安全防护方法 |
| CN104954452A (zh) * | 2015-06-02 | 2015-09-30 | 华中科技大学 | 一种虚拟化环境下密码卡资源动态控制方法 |
| CN104951688A (zh) * | 2014-03-24 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 适用于Xen虚拟化环境下的专用数据加密方法及加密卡 |
| CN106874065A (zh) * | 2017-01-18 | 2017-06-20 | 北京三未信安科技发展有限公司 | 一种支持硬件虚拟化的*** |
| CN109639424A (zh) * | 2018-12-25 | 2019-04-16 | 山东超越数控电子股份有限公司 | 一种基于不同密钥的虚拟机镜像加密方法及装置 |
| CN111291332A (zh) * | 2020-02-24 | 2020-06-16 | 山东超越数控电子股份有限公司 | 一种在虚拟化环境下共享使用加密卡的方法及*** |
| CN113285983A (zh) * | 2021-04-26 | 2021-08-20 | 北京科东电力控制***有限责任公司 | 一种支持多虚拟化安防设备共享单加密卡的虚拟实验*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070106992A1 (en) * | 2005-11-09 | 2007-05-10 | Hitachi, Ltd. | Computerized system and method for resource allocation |
| CN101262352A (zh) * | 2008-03-04 | 2008-09-10 | 浙江大学 | 一体化安全管理中数据统一加速处理方法 |
| US20100023939A1 (en) * | 2008-07-28 | 2010-01-28 | Fujitsu Limited | Virtual-machine generating apparatus, virtual-machine generating method, and virtual-machine generation program |
| CN101976200A (zh) * | 2010-10-15 | 2011-02-16 | 浙江大学 | 在虚拟机监控器外进行输入输出设备虚拟化的虚拟机*** |
| CN102023888A (zh) * | 2010-11-04 | 2011-04-20 | 北京曙光天演信息技术有限公司 | 一种基于多加密卡的虚拟设备 |
-
2011
- 2011-08-12 CN CN2011102309590A patent/CN102270153A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070106992A1 (en) * | 2005-11-09 | 2007-05-10 | Hitachi, Ltd. | Computerized system and method for resource allocation |
| CN101262352A (zh) * | 2008-03-04 | 2008-09-10 | 浙江大学 | 一体化安全管理中数据统一加速处理方法 |
| US20100023939A1 (en) * | 2008-07-28 | 2010-01-28 | Fujitsu Limited | Virtual-machine generating apparatus, virtual-machine generating method, and virtual-machine generation program |
| CN101976200A (zh) * | 2010-10-15 | 2011-02-16 | 浙江大学 | 在虚拟机监控器外进行输入输出设备虚拟化的虚拟机*** |
| CN102023888A (zh) * | 2010-11-04 | 2011-04-20 | 北京曙光天演信息技术有限公司 | 一种基于多加密卡的虚拟设备 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014089968A1 (zh) * | 2012-12-14 | 2014-06-19 | 华为技术有限公司 | 虚拟机***数据加密方法及设备 |
| CN103873245A (zh) * | 2012-12-14 | 2014-06-18 | 华为技术有限公司 | 虚拟机***数据加密方法及设备 |
| CN104951688B (zh) * | 2014-03-24 | 2019-04-12 | 国家计算机网络与信息安全管理中心 | 适用于Xen虚拟化环境下的专用数据加密方法及加密卡 |
| CN104951712A (zh) * | 2014-03-24 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 一种Xen虚拟化环境下的数据安全防护方法 |
| CN104951688A (zh) * | 2014-03-24 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 适用于Xen虚拟化环境下的专用数据加密方法及加密卡 |
| CN104951712B (zh) * | 2014-03-24 | 2019-07-26 | 国家计算机网络与信息安全管理中心 | 一种Xen虚拟化环境下的数据安全防护方法 |
| CN104954452A (zh) * | 2015-06-02 | 2015-09-30 | 华中科技大学 | 一种虚拟化环境下密码卡资源动态控制方法 |
| CN104954452B (zh) * | 2015-06-02 | 2018-12-28 | 华中科技大学 | 一种虚拟化环境下密码卡资源动态控制方法 |
| CN106874065A (zh) * | 2017-01-18 | 2017-06-20 | 北京三未信安科技发展有限公司 | 一种支持硬件虚拟化的*** |
| CN109639424A (zh) * | 2018-12-25 | 2019-04-16 | 山东超越数控电子股份有限公司 | 一种基于不同密钥的虚拟机镜像加密方法及装置 |
| CN109639424B (zh) * | 2018-12-25 | 2022-06-17 | 超越科技股份有限公司 | 一种基于不同密钥的虚拟机镜像加密方法及装置 |
| CN111291332A (zh) * | 2020-02-24 | 2020-06-16 | 山东超越数控电子股份有限公司 | 一种在虚拟化环境下共享使用加密卡的方法及*** |
| CN111291332B (zh) * | 2020-02-24 | 2023-11-03 | 超越科技股份有限公司 | 一种在虚拟化环境下共享使用加密卡的方法及*** |
| CN113285983A (zh) * | 2021-04-26 | 2021-08-20 | 北京科东电力控制***有限责任公司 | 一种支持多虚拟化安防设备共享单加密卡的虚拟实验*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102270153A (zh) | 一种虚拟环境下加密卡共享的方法和装置 | |
| CN108228316B (zh) | 一种密码设备虚拟化的方法及设备 | |
| CN103139159B (zh) | 云计算架构中的虚拟机之间的安全通信 | |
| US10102018B2 (en) | Introspective application reporting to facilitate virtual machine movement between cloud hosts | |
| CN102214117B (zh) | 虚拟机管理方法、***及虚拟机管理服务器 | |
| US9141785B2 (en) | Techniques for providing tenant based storage security and service level assurance in cloud storage environment | |
| CN109857542B (zh) | 算力资源调节方法、***及装置 | |
| US20150207678A1 (en) | Method and Apparatus for Managing Physical Network Interface Card, and Physical Host | |
| US9858110B2 (en) | Virtual credential adapter for use with virtual machines | |
| US11307802B2 (en) | NVMe queue management multi-tier storage systems | |
| CN104951688B (zh) | 适用于Xen虚拟化环境下的专用数据加密方法及加密卡 | |
| CN105069383A (zh) | 一种云桌面usb存储外设管控的方法及*** | |
| US20170093742A1 (en) | Managing a shared pool of configurable computing resources having an arrangement of a set of dynamically-assigned resources | |
| US20210157655A1 (en) | Container load balancing and availability | |
| CN109726005A (zh) | 用于管理资源的方法、服务器***和计算机程序产品 | |
| CN104951712A (zh) | 一种Xen虚拟化环境下的数据安全防护方法 | |
| CN113821308B (zh) | 片上***、虚拟机任务处理方法及设备、存储介质 | |
| CN105306576A (zh) | 一种密码运算单元的调度方法及*** | |
| CN103207965A (zh) | 一种虚拟环境下License认证的方法及装置 | |
| US11861406B2 (en) | Dynamic microservices allocation mechanism | |
| CN104598298A (zh) | 基于虚拟机当前工作性质以及任务负载的虚拟机调度算法 | |
| US20200151012A1 (en) | Adjustment of the number of central processing units to meet performance requirements of an i/o resource | |
| CN102801636A (zh) | 云计算平台云主机网络带宽限制的方法 | |
| US11416306B1 (en) | Placement to optimize heterogeneous physical host utilization | |
| US20150348177A1 (en) | Managing lease transactions in distributed systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20111207 |