CN110213338A - 一种基于加密运算的集群化加速计算方法及*** - Google Patents

Abstract

本发明属于计算机技术领域，特别涉及一种基于加密运算的集群化加速计算方法及***，所述加速计算方法包括：接收加密计算任务，查询集群资源列表，其中，所述集群资源列表包括CPU资源使用率、内存资源使用率；根据所述集群资源列表，选择最优集群节点，发送所述加密计算任务到所述最优集群节点；所述最优集群节点接收并使用第一计算单元和/或第二计算单元执行所述加密计算任务，返回任务计算结果。本发明采用具有负载均衡策略的计算集群，提高任务计算速度和效率，适合RSA2048、ECC等主流非对称加密算法的加解密计算、共享密钥计算。

Description

一种基于加密运算的集群化加速计算方法及***

技术领域

本发明属于计算机技术领域，特别涉及一种基于加密运算的集群化加速计算方法及***。

背景技术

HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，使用HTTP协议传输隐私信息非常不安全。

为了保证这些隐私数据能加密传输，于是网景公司设计了安全套接层SSL(SecureSockets Layer)协议，即安全传输层协议TLS(Transport Layer Security)，用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。简单来说，HTTPS协议是由TLS/SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比HTTP协议安全。

TLS/SSL协议具有身份验证、信息加密和完整性校验的功能，虽然使得HTTPS相对HTTP有很大的优势，也正因为TLS/SSL协议在信息加密过程中使用了非对称密钥交换技术，使得HTTPS性能和速度严重降低。

目前，RSA2048、ECC等主流非对称密钥交换算法中的加解密计算、共享密钥计算等计算任务的复杂度较高，对CPU时间消耗过大。

在传统的数据计算处理中，服务器的计算能力取决于服务器的CPU、内存等自身硬件条件，单台服务器的计算能力毕竟有限，而有的计算任务，如RSA2048、ECC等主流非对称加密算法的加解密计算、共享密钥计算复杂度较高，对CPU消耗较大，不仅高负荷占据计算资源，还降低了软件的业务处理能力。

发明内容

针对上述问题，本发明提供了一种基于加密运算的集群化加速计算方法，所述加速计算方法包括：

接收加密计算任务，查询集群资源列表，其中，所述集群资源列表包括CPU资源使用率、内存资源使用率；

根据所述集群资源列表，选择最优集群节点，发送所述加密计算任务到所述最优集群节点；

所述最优集群节点接收并使用第一计算单元和/或第二计算单元执行所述加密计算任务，返回任务计算结果。

进一步的，所述接收加密计算任务，查询集群资源列表包括：

前端业务***调用前端代理接口发送所述加密计算任务，

前端代理接收并缓存所述加密计算任务，连接集群控制服务，查询集群资源列表，所述集群控制服务返回集群资源列表；

所述根据集群资源列表，选择最优集群节点，发送计算任务到最优集群节点包括：

前端代理根据所述集群资源列表，选择最优集群节点，发送所述加密计算任务到最优集群节点。

进一步的，所述最优集群节点接收并使用第一计算单元和/或第二计算单元执行所述加密计算任务，返回任务计算结果包括：

所述最优集群节点接收并缓存所述加密计算任务，返回前端代理任务接收成功；

前端代理接口返回业务***所述加密计算任务的调用结果；

所述最优集群节点使用第一计算单元和/或第二计算单元执行所述加密计算任务；

所述最优集群节点返回前端代理任务计算结果；

前端代理缓存所述任务计算结果；

前端业务***调用前端代理接口进行任务计算结果查询；

前端代理接口返回前端业务***所述任务计算结果。

进一步的，所述加速计算方法还包括：

信息采集服务定时采集节点信息，连接集群控制服务发送所述节点信息；

集群控制服务接收所述节点信息，更新所述集群资源列表。

进一步的，所述选择最优集群节点的方法包括：

判断第一节点和第二节点的内存使用率是否满足第一阈值：

当两个节点的内存使用率均满足第一阈值或均不满足第一阈值时，选择两个节点中CPU使用率低的节点作为最优集群节点；

当只有一个节点的内存使用率满足第一阈值时，判断该节点的CPU使用率是否满足第二阈值：若满足第二阈值，则将该节点作为空闲度高的节点；若不满足第二阈值，则选择两个节点中CPU使用率低的节点作为最优集群节点。

进一步的，所述选择两个节点中CPU使用率低的节点作为最优集群节点包括：

当两个节点的CPU使用率相同时选择内存使用率低的节点作为最优集群节点。

进一步的，所述使用第一计算单元和/或第二计算单元执行所述加密计算任务遵循计算任务调度方法，所述计算任务调度方法包括：

统计多种计算任务在第一计算单元和第二计算单元上的计算时间；

根据统计结果，判断当前计算任务在第一计算单元和第二计算单元上计算的预计完成时间，所述预计完成时间包括第一计算单元或第二计算单元上未完成的任务量和当前计算任务所需要的计算时间；

将所述当前计算任务分配给预计完成时间短的第一计算单元或第二计算单元。

本发明还提供了一种基于加密运算的集群化加速计算***，所述加速计算***包括：

前端代理服务子***，用于接收加密计算任务，查询集群资源列表，根据所述集群资源列表，选择最优集群节点，发送所述加密计算任务到所述最优集群节点；

计算服务子***，用于接收并使用第一计算单元和/或第二计算单元执行所述加密计算任务，返回任务计算结果。

进一步的，所述加速计算***还包括：

信息采集服务子***，用来定时采集集群节点信息，发送所述集群节点信息；

集群控制服务子***，接收所述集群节点信息，根据所述集群节点信息，更新所述集群资源列表。

进一步的，所述计算服务子***包括：

任务收发模块，用来接收所述加密计算任务，返回任务计算结果；

第一计算单元，使用密码卡执行所述加密计算任务；

第二计算单元，使用CPU执行所述加密计算任务；

计算任务调度模块，根据计算任务调度方法，向第一计算单元或第一计算单元分配所述加密计算任务；

高速通信模块，用来实现所述前端代理子***与所述计算服务子***之间所述加密计算任务和任务计算结果的快速传输。

本发明采用具有负载均衡策略的计算集群，承担原来在单台计算机上运行的需要消耗资源的海量计算任务，使用CPU、密码卡按照一定的计算任务调度方法执行计算任务，减少计算服务器CPU、内存计算资源占用，提高任务计算速度和效率，适合RSA2048、ECC等主流非对称加密算法的加解密计算、共享密钥计算。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明一种基于加密运算的集群化加速计算方法工作流程示意图；

图2示出了本发明实施例的最优集群节点选择方法示意图；

图3示出了本发明实施例的计算任务调度方法工作流程图；

图4示出了本发明实施例的一种基于加密运算的集群化加速计算***的***框架图；

图5示出了本发明实施例的一种基于加密运算的集群化加速计算***的***部署示意图；

图6示出了本发明实施例的一种基于加密运算的集群化加速计算***的***结构图；

图7示出了本发明实施例的计算任务调度工作流程示意图；

图8示出了本发明实施例的前端代理子***工作流程图；

图9示出了本发明实施例的任务收发工作示意图；

图10示出了本发明实施例的任务发送与接收异步工作示意图；

图11示出了本发明实施例的CPU与密码卡并行计算示意图；

图12示出了本发明实施例的Openssl引擎接口库支持的算法；

图13示出了本发明实施例的计算服务子***工作流程示意图；

图14示出了本发明实施例的首页管理中数据传输流程示意图；

图15示出了本发明加速计算***工作流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地说明，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明中不限于对非对称密钥交换算法中的加密解密、签名验签的计算，可适用于在PCI运算卡、CPU上运行的各种算法的计算，适用范围广泛，本发明实施例以对非对称密钥交换算法中的加解密算法的计算进行示例性说明。

集群是一组相互独立、通过高速网络互联的计算机，它们构成了一个组，并以单一***的模式加以管理，一个客户与集群相互作用时，集群像是一个独立的服务器。集群中每台计算机视为集群的一个节点，即集群节点。集群具有健壮性，单台节点服务器故障不影响其他服务器运行，易伸缩，可轻易添加或减少节点服务器。

本发明提供了一种基于加密运算的集群化加速计算方法，如图1所示，主要包括以下步骤。

步骤一：接收并缓存计算任务，查询集群资源列表。

本实施例中，后台***接收并缓存计算任务，触发连接配置设定的集群节点的集群控制服务进程，查询集群资源列表。其中，计算任务为加密或解密计算工作，如访问一个HTTPS地址时，对地址的证书链进行验证，需要对签名进行解密。集群控制服务管理所有集群节点，提供集群资源列表，集群资源列表包括集群节点的CPU资源使用率内存资源使用率。集群控制服务根据查询请求返回集群资源列表。本实施例中，集群节点是加密/解密计算执行能力的一系列***，多个***可以部署在不同的终端或者相同的服务器终端。

集群控制服务可以使用集群中间件Zookeeper，它是一个高效的分布式协调服务，可以提供配置信息管理、命名、分布式同步、集群管理、数据库切换等服务。采用集群中间件Zookeeper进行集群管理，将综合各开源集群中间件Zookeeper可视化管理工具进行集群管理的设计开发。

步骤二：根据集群资源列表，选择最优集群节点，将接收的计算任务发送给最优集群节点。

本发明一种集群的加速计算方法采用集群负载均衡方法，根据集群资源列表中集群节点的资源使用率，评选出空闲集群节点排名，把资源使用率最低的节点作为最优集群节点，将计算任务分配给最优集群节点，实现后端集群节点之间的动态负载均衡。

最优集群节点，也就是较空闲的集群节点，即资源使用率比较低的集群节点，由于加解密运算主要还是消耗CPU资源，而内存的消耗较少，所以在选择最优集群节点过程中，在内存满足阈值的情况下，最主要的还是比较节点的CPU使用率，内存使用率作为次要比较因素。一般情况下，CPU使用率较低的节点较为空闲。根据信息采集服务所采集到的集群各节点的资源使用列表，比较得出最优的集群节点。

如图2所示，在两个节点直接进行空闲程度排序的规则为：

判断第一节点和第二节点的内存使用率是否满足第一阈值：

当两个节点的内存使用率均满足第一阈值或均不满足时，选择两个节点中CPU使用率低的节点作为空闲度高的节点；

当只有一个节点的内存使用率满足第一阈值时，判断该节点的CPU使用率是否满足第二阈值：若满足第二阈值，则将该节点作为空闲度高的节点；若不满足第二阈值，则选择两个节点中CPU使用率低的节点作为空闲度高的节点。

上述选择两个节点中CPU使用率低的节点作为空闲度高的节点还包括在两个节点的CPU使用率相同时选择内存使用率低的节点作为空闲节点。

示例性的，比较A、B两个节点资源使用率，选择较空闲的节点的具体流程如图2所示，首先判断节点内存使用率是否小于内存使用率阈值，例如，内存使用率阈值为90％；其次判断节点CPU使用率是否小于CPU使用率阈值，例如，CPU占用率阈值为90％；再者比较A、B两个节点的CPU使用率，如果两节点的CPU使用率不相等，则将CPU使用率较低的节点选为最优的集群节点，如果两节点的CPU使用率相等，则进一步比较两节点的内存使用率，将内存使用率较低的节点选为最优的集群节点。

根据图2所示最优集群节点的选择方法，表1列出了A、B两个节点不同资源使用率情况下最优集群节点的选择结果。

表1 A、B节点不同资源使用率情况下最优集群节点的选择结果

最优集群节点是较空闲的节点，并不是最空闲的集群节点，因为各节点的资源使用率的采集并不是实时的，而是定时的，所以最优集群节点不一定是最为空闲的节点。如果实时采集，将消耗很多资源，而且长时间看，集群各节点的资源使用情况总体上是趋于平衡的，并不会相差太多，因此定时采集即可。

步骤三：最优集群节点接收、缓存并执行计算任务，缓存并返回任务计算结果。

最优集群节点接收计算任务，缓存计算任务到任务缓存队列，执行单元从任务缓存队列读取计算任务进行计算。

因为集群能够处理的计算任务是海量的，而有的任务的计算是比较消耗时间的，缓存是为了能够接收并处理到每一个计算任务，使每个计算任务和任务计算结果不会丢失。

执行计算任务的计算单元包括第一计算单元和第二计算单元，示例性的，第一计算单元是CPU，第二计算单元是PIC运算卡(例如密码卡)，对应的工作线程分别是CPU工作线程、密码卡工作线程。

密码卡是一种PCI运算卡，是高性能的基础密码设备，是密码硬件平台的重要部件之一，广泛应用在签名验证服务器、VPN网关等多种密码设备中，主要完成加密、解密、签名、验签等功能。

分别启动CPU工作线程、密码卡工作线程，工作线程按照计算任务调度方法，向CPU或密码卡分配计算任务，CPU工作线程、密码卡工作线程分别执行计算任务，将计算结果写入缓存队列。当业务***查询计算任务结果时，返回任务计算结果给业务***。

计算任务调度方法包括学习阶段和分配阶段。其中，

在学习阶段：

CPU和密码卡分别对各种计算任务进行计算；

读取CPU和密码卡上已完成计算任务的计算时间和任务数量；

分别计算每种任务在CPU和密码卡上的运算速度。

在分配阶段：

根据CPU运算速度和密码卡运算速度，分别计算CPU上未完成的计算任务所需计算时间T1，和密码卡上未完成的计算任务所需计算时间T2；

根据CPU运算速度和密码卡运算速度，分别计算待计算任务在CPU上计算所需计算时间T3和待计算任务在密码卡上计算所需计算时间T4；

比较待计算的计算任务在CPU上计算预计完成时间(T1+T3)与待计算的计算任务在密码卡上计算预计完成时间(T2+T4)；

如果(T1+T3)大于(T2+T4)，将待计算的计算任务分配给密码卡；如果(T1+T3)小于等于(T2+T4)，将待计算的计算任务分配给CPU。

示例性的，计算任务调度方法工作流程如图3所示，包括如下步骤。

(1)初始化计算任务调度进程；

(2)查询计算任务是否存在，如果存在，则转到步骤(3)，如果不存在，延时一段时间再执行步骤(2)；

(3)从缓存中取出本批次计算任务；

(4)分别计算本批次计算任务在CPU上计算所需计算时间和本批次计算任务在密码卡上计算所需计算时间，分别记为T1和T2；

(5)分别计算CPU上未完成的计算任务所需计算时间T1，和密码卡上未完成的计算任务所需计算时间T2；

(6)比较(T1+T3)和(T2+T4)，如果(T1+T3)大于(T2+T4)，将本批次计算任务分配给密码卡，反之分配给CPU。

(7)CPU或密码卡执行计算任务，对计算结果进行缓存，然后返回到步骤(2)。

计算任务发送及计算结果返回可批量进行，充分利用带宽，实现高吞吐量，尽量减少网络开销导致的***性能降低。

步骤四：定时采集集群节点信息，将集群节点信息更新到集群资源列表和数据库。

定时采集集群节点信息，集群节点信息包括集群节点的资源使用率、任务情况等信息。其中，资源使用率包括CPU资源使用率和内存资源使用率等信息；任务情况包括当前的任务量、已完成的任务量和未完成的任务量等信息。

连接集群控制服务发送采集到的节点信息，集群控制服务根据采集到的节点信息更新集群资源列表。连接集群控制服务，读取集群所有节点信息，将所有节点信息更新到数据库。

本发明一种基于加密运算的集群化加速计算方法采用集群的方式，采用集群负载均衡策略，承担原来在单台计算机上运行的需要消耗资源的海量计算任务；同时，使用CPU、密码卡按照一定的计算任务调度方法执行计算任务，能够减少计算服务器CPU、内存计算资源占用，提高任务计算速度和效率，适合RSA2048、ECC等主流非对称加密算法的加解密计算、共享密钥计算。

本发明还提供了一种基于加密运算的集群化加速计算***，该加速计算***的***架构包括硬件层、硬件接口封装层、后端计算集群层、前端代理接口层、业务调用层等层次，如图4所示。

硬件层提供计算服务所支持的硬件，包括PCI运算卡和CPU等硬件设备。密码卡是一种PCI运算卡，是强调高性能的基础密码设备，是密码硬件平台的重要部件之一，广泛应用在签名验证服务器、VPN网关等多种密码设备中。

硬件接口封装层对密码卡基于Openssl计算接口和基于Intel指令优化的Openssl接口进行二次封装，提供支持密码卡和CPU协同运算的外部调用接口，供前端代理接口层进行计算调用。在计算机网络上，Openssl是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。基于Intel指令优化是指充分利用AVX2指令集和MULX、ADCX、ADOX、RORX、RDSEED等新指令进行的指令优化。

后端计算集群层负责计算任务的收发管理、调用硬件封装接口执行计算任务，并缓存计算结果，发送给前端代理接口。计算任务包括加密解密、签名验签等任务。

后端计算集群层主要由计算服务、集群控制服务、信息采集服务组成，计算服务包括Thrift通信服务框架、任务收发模块、运算模块。Thrift可以作为高性能的通讯中间件,支持数据(对象)序列化和多种类型的RPC服务。RPC(Remote Procedure Call Protocol)服务是指(RFC-1831)远程过程调用协议，一种通过网络从远程计算机程序上请求服务，而不需要了解底层网络技术的协议。

任务收发模块负责接收前端代理通过交换网络发来的各类计算任务，负责将计算结果通过交换网络返回前端代理，响应前端代理的API通信初始化和API关闭的接口函数。对接收的计算任务和计算结果采用了缓存机制，包括无锁任务队列和无锁结果队列。

前端代理接口层负责集群节点的查询，计算任务的缓存与发送，计算结果的接收、缓存和查询，任务发送量的控制等任务。

业务调用层负责调用前端代理接口，发送计算任务，取回任务执行结果；还包括发送计算任务前的身份注册和执行结束后的身份注销。

本发明一种基于加密运算的集群化加速计算***主要分为前端服务和后端集群计算两部分，***部署示意图如图5所示。

前端服务部分由前端代理接口层、业务调用层组成，部署在前端服务器上，主要与前端业务进行对接，将计算任务通过接口发给后端计算集群，并返回计算结果。

前端服务部分包括前端代理软件和业务***，因为普通服务器***已具有业务***，所以业务***不是本发明的重点。

集群计算部分由硬件层、硬件接口封装层、后端计算集群层组成，部署在后端集群服务器上，包含高速通信、任务收发、第一计算单元、第二计算单元、日志记录等六个模块。

集群计算部分包括硬件和软件，硬件与普通服务器的区别是，在已有服务器硬件基础上安装密码卡。

前端服务部分与集群计算部分进行对接，将计算任务通过接口发给后端集群计算部分，并返回计算结果。

集群计算部分包含高速通信、任务收发、信息采集、第一计算单元接口、第二计算单元接口、计算任务调度、日志记录等模块。

本发明一种基于加密运算的集群化加速计算***结构图如图6所示，该***由前端代理、计算服务、信息采集服务、集群控制服务、信息入库服务、集群管理服务六个子***组成。

前端代理子***由业务对接、数据收发模块和任务分配模块组成。其中，业务对接模块通过通用接口接收业务***发来的相关计算任务并进行缓存，以实现流量控制；负责将后端计算集群的计算结果返回给前端业务***。支持多种业务，接口统一，并对不同业务进行编号，以区分不同的前端业务；可对业务进行资源使用等的必要限制，尽量降低对现有业务***的影响，使业务***平滑过渡。

数据收发模块负责通过前端服务器与后端集群服务器之间的交换网络将计算任务分发给后端集群服务器，负责接收后端集群返回的计算结果。

任务分配模块根据后端集群中各个节点的资源使用率、任务情况，将计算任务分配到最优集群节点，实现后端集群服务器之间的动态负载均衡。任务分配的工作流程示意图如图7所示，前端代理接收业务***发来的计算任务，触发前端代理通过集群中间件Zookeeper通道向集群中间件Zookeeper查询并获取集群资源列表，根据资源列表中各节点的CPU、内存资源使用率，选择资源使用率最低的计算节点作为最优集群节点，前端代理把计算任务通过UDP报文形式发送给计算节点。计算节点执行计算任务，仍通过UDP报文形式返回计算结果给前端代理。

前端代理子***工作流程如图8所示，包括以下步骤。

(1)集群管理，身份注册

业务***通过业务对接模块向前端代理发送身份注册请求，前端代理调用身份注册接口，身份注册接口通过数据收发模块向后端集群服务发起集群资源列表查询请求，获取最优集群节点服务器信息。后端集群服务向最优集群节点服务器发起连接建立请求，建立通信通道，并接收后端集群服务生成的唯一身份标识，通过数据收发模块返回给前端代理。

(2)业务对接中发送计算任务

业务***调用业务对接模块的任务发送接口，前端代理接收业务任务，并将任务信息缓存到任务队列。身份注册成功后，前端代理启动任务发送工作线程，读取缓存队列，通过数据收发模块将任务信息批量发送给后端集群服务。

(3)业务对接中获取任务结果

身份注册成功后，前端代理启动任务获取工作线程，通过数据收发模块向后端集群服务发起获取任务计算结果请求，将后端集群服务发送的批量结果写入结果缓存Map。业务***调用业务对接模块的任务获取接口，前端代理查询任务缓存Map，得到对应的结果通过业务对接模块返回给业务***。

(4)身份注销

业务***通过业务对接模块向前端代理发送身份注销请求，前端代理调用身份注销接口，身份注销接口通过数据收发模块向后端集群服务发起身份注销请求。后端集群服务关闭连接通道，释放资源。

计算服务子***包括任务收发、计算任务调度、第一计算单元、第二计算单元、高速通信、日志记录六个模块。

任务收发模块负责接收前端代理的数据收发模块通过交换网络发来的各类计算任务，负责将计算结果通过交换网络返回前端代理。

前端代理与任务收发模块之间，设计网络通讯协议，形成通讯接口，完成计算任务的下发和结果的正确返回。示例性的，如图9所示，任务发送及结果返回采用UDP报文传输，UDP协议因为具有确认机制、重传机制、一致性检测，所以具有高可靠性。

任务发送及结果返回可批量进行，充分利用带宽，实现高吞吐量，尽量减少网络开销导致的***性能降低。如图10所示，任务发送与接收异步进行，实现一套高效的计算结果反馈给用户的机制。

计算任务调度模块核心功能是实现各种加解密计算任务的调度，主要负责调用封装的密码卡和CPU统一接口，读取任务队列，执行加解密计算任务，做到密码卡、CPU任务合理调度和分配，充分发挥两者的性能。

密码卡对外提供基于Openssl的加密引擎，而本发明基于CPU的计算采用Intel指令优化的Openssl，两种Openssl存在调用的冲突，因此CPU与密码卡的并行计算需要对这两种Openssl进行二次封装，CPU与密码卡执行计算任务根据计算任务调度方法采用多线程争抢式调度执行，如图11所示。

基于上述两种Openssl，分别由密码卡和CPU执行计算。由于密码卡公钥运算，例如加密和验签，不如CPU计算快；密码卡私钥运算，例如解密和签名，比CPU快。因此在计算任务调度时需要针对这种情况进行必要设置。本发明采用公钥运算多开启CPU执行单元，私钥运算多开启密码卡执行单元的方式。

示例性的，第一计算单元使用PCI运算卡(例如密码卡)执行计算任务，可通过简单灵活的配置支持不同厂家不同型号的密码卡。本发明基于Openssl标准接口进行开发，目前基于Openssl引擎的密码卡无需修改程序均可支持。密码卡厂商提供的Openssl接口库与本发明所使用的Openssl接口库有冲突，将通过动态独立加载两种Openssl接口库的形式，将两种接口分别提取出来，分离调用。当替换密码卡时，只需替换密码卡Openssl接口库即可。图12示出了Openssl引擎接口库支持的算法，包括标准算法、扩展算法。

在计算机网络上，Openssl是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。

密码卡支持包括但不限于以下算法，非对称密钥交换算法有：

RSA：RSA512、RSA1024、RSA2048、RSA4096；

DH：DH-1024、DH-2048、DH-3072；

DHE：DHE-1024、DHE-2048、DHE-3072；

ECDH：ECDHP256、ECDHP384、ECDHP521、ECDH-secp192k1、ECDH-secp224k1、ECDH-secp192r1、ECDH-secp224r1、ECDH-secp256r1、ECDH-secp384r1、ECDH-secp521r1、ECDH-brainpoolP256r1、ECDH-brainpoolP384r1、ECDH-brainpoolP512r1；

ECDHE：ECDHE-secp192k1、ECDHE-secp224k1、ECDHE-secp192r1、ECDHE-secp224r1、ECDHE-secp256r1、ECDHE-secp384r1、ECDHE-secp521r1、ECDHE-brainpoolP256r1、ECDHE-brainpoolP384r1、ECDHE-brainpoolP512r1。

数字签名算法有：

RSA：RSA512、RSA1024、RSA2048、RSA4096；

DSA：DSA512、DSA1024、DSA2048；

ECDSA：ECDSAP256、ECDSAP384、ECDSAP521、ECDSA-secp192k1、ECDSA-secp224k1、ECDSA-secp256k1、ECDSA-secp192r1、ECDSA-secp224r1、ECDSA-secp256r1、ECDSA-secp384r1、ECDSA-secp521r1、ECDSA-brainpoolP256r1、ECDSA-brainpoolP384r1、ECDSA-brainpoolP512r1。

CPU运算模块，使用CPU执行所述加密计算任务。本发明基于Openssl标准接口进行开发，加载基于Intel指令优化的Openssl接口库进行CPU运算，支持非对称加解密、签名验证、密钥交换等各种标准算法，可灵活选择任意支持算法进行计算。

高速通信模块主要实现用来实现前端代理子***与计算服务子***之间计算任务和任务计算结果的快速传输，支持一定的并发。

高速通信由以下四个条件提供保证：

(1)UDP通信；

(2)HP Socket高性能通信框架；

(3)多线程数据发送；

(4)通过接收端和发送端的控制策略实现在UDP协议下端到端拥塞控制。

其中，接收端和发送端的控制策略是指采用简单的滑动窗口协议，通过计算发送端和接收端往返时间间隔，来动态调整发送端的发送速率。Socket模型采用异步消息，而非阻塞方式。

拥塞控制是指设定一个窗口大小，发送端发送完窗口内所有包后，计算丢包率，然后动态调整发送时间间隔。根据丢包个数，以及哪些包丢失，由接收端通知发送端，发送端只管时间间隔发送即可。如果发送端发现本次没有丢包，则继续发送下面的包。当一个窗口完全正确发送后，重新计算往返时间RTT(Round-Trip Time)，根据当前网络拥塞状况，调整发送间隔。

日志记录模块按照一定日志格式对计算任务的类型、数量、处理时间等信息进行记录，并保存到磁盘。

计算服务子***工作流程如图13所示，具体包括以下步骤。

(1)***初始化

***初始化读取***配置，设置网络处理线程池参数、工作者线程参数等，初始化连接Session队列。计算服务子***为每一个客户端的连接会话(Session)都设置了一个队列。

(2)接口初始化

接口初始化主要包括分别加载密码卡Openssl接口库、基于Intel指令优化的CPUOpenssl接口库，构建接口引擎。

(3)任务接收

前端代理调用任务收发模块把计算任务发送给最优集群节点的计算服务，计算服务接收、缓存计算任务。

(4)计算任务调度

计算任务调度分别启动CPU工作线程、密码卡工作线程，工作线程根据计算任务调度算法读取缓存任务的任务队列，调用第一计算单元接口(例如CPU运算接口)或第二计算单元运算接口(例如密码卡运算接口)执行第一计算单元(例如CPU运算)或第二计算单元运算(例如密码卡运算)，将计算结果写入缓存队列。

(5)任务结果返回

前端代理通过任务收发模块查询计算任务的计算结果，计算服务把相应的计算结果返回给前端代理。

计算任务调度方法包括学习阶段和分配阶段。其中，

在学习阶段：

CPU和密码卡分别对各种计算任务进行计算；

读取CPU和密码卡上已完成计算任务的计算时间和任务数量；

分别计算每种任务在CPU和密码卡上的运算速度。

在分配阶段：

根据CPU运算速度和密码卡运算速度，分别计算CPU上未完成的计算任务所需计算时间T1，和密码卡上未完成的计算任务所需计算时间T2；

根据CPU运算速度和密码卡运算速度，分别计算待计算任务在CPU上计算所需计算时间T3和待计算任务在密码卡上计算所需计算时间T4；

比较待计算的计算任务在CPU上计算预计完成时间(T1+T3)与待计算的计算任务在密码卡上计算预计完成时间(T2+T4)；

如果(T1+T3)大于(T2+T4)，将待计算的计算任务分配给密码卡；如果(T1+T3)小于等于(T2+T4)，将待计算的计算任务分配给CPU。

示例性的，计算任务调度方法工作流程如图3所示，包括如下步骤。

(1)初始化计算任务调度进程；

(2)查询计算任务是否存在，如果存在，则转到步骤(3)，如果不存在，延时一段时间再执行步骤(2)；

(3)从缓存中取出本批次计算任务；

(4)分别计算本批次计算任务在CPU上计算所需计算时间和本批次计算任务在密码卡上计算所需计算时间，分别记为T1和T2；

(5)分别计算CPU上未完成的计算任务所需计算时间T1，和密码卡上未完成的计算任务所需计算时间T2；

(6)比较(T1+T3)和(T2+T4)，如果(T1+T3)大于(T2+T4)，将本批次计算任务分配给密码卡，反之分配给CPU。

(7)CPU或密码卡执行计算任务，对计算结果进行缓存，然后返回到步骤(2)。

集群控制服务子***管理所有集群节点，向前端代理提供集群节点的CPU资源使用率和内存资源使用率排名，以及集群节点当前的任务量、已完成的任务量、未完成的任务量排名，由前端代理选择最优集群节点。

集群控制服务可以使用集群中间件，即集群中间件Zookeeper，它是一个高效的分布式协调服务，可以提供配置信息管理、命名、分布式同步、集群管理、数据库切换等服务。采用集群中间件Zookeeper进行集群管理，将综合各开源集群中间件Zookeeper可视化管理工具进行集群管理的设计开发。

信息采集服务子***包括资源采集、任务采集、集群控制服务交互三个模块。

资源采集模块采集计算节点的CPU、内存使用率。调用***函数读取CPU使用率、内存使用率，生成采集数据包。

任务采集模块采集计算节点当前的任务量、已完成的任务量、未完成的任务量等信息，读取计算服务的任务日志，并格式化，生成采集数据包。

集群控制服务交互模块将采集到的节点数据通知集群控制服务，集群控制服务采用集群中间件Zookeeper，通知流程包括初始化、连接集群中间件Zookeeper、写数据、断开四个步骤。

集群管理服务WEB子***提供集群管理界面，能够监控到集群中的设备和密码卡的状态，包括硬件资源、操作***等状态，可对有故障的设备和密码卡进行告警。集群管理服务WEB子***包括首页、节点展示、告警管理、***管理、用户管理五个模块。

集群管理服务Web子***不同于集群中间件Zookeeper，它们是两个不同的子***。集群管理服务Web子***更侧重于展示集群各节点的资源使用情况和各业务的计算任务统计等。集群中间件Zookeeper主要用于监控集群各节点的工作状态，与业务本身没有关系。

首页视图包括整个集群服务器的信息，具体包括全国集群分布图、服务器总数、密码卡总数、任务数量、资源占用率、告警信息等。如图14所示，首页视图展示的集群服务器的信息数据均保存在数据库总，当首页视图进行展示时，首页视图调用数据获取接口，数据获取接口查询数据库，获取首页视图需要展示的数据，并将该数据返回给首页视图。

节点展示模块具有节点查询和统计功能，查询功能按照IP，模糊查询节点状态，精确查询卡状态。统计功能以折线图展示一天内各时段的CPU和内存的使用率。

节点展示信息包含节点服务器信息，包括节点服务器的IP，上线时间，节点状态，包含密码卡状态、CPU频率内存容量、任务量等。

告警管理模块包含告警信息展示、告警查询、填写处理意见功能。

告警信息展示包括告警时间，节点ID，IP，卡ID，告警类别，告警描述，状态，处理意见。告警查询功能按照IP查询告警时间段、告警状态。其中，告警状态包括告警已处理，告警未处理。对未处理的告警，填写处理意见。

***管理模块是对***业务的管理，包括业务信息展示，业务编辑，业务启用，业务停用等功能。

业务信息展示信息包括业务ID，业务描述，CPU占用率，内存占用率，业务状态，任务量，CPU使用阈值，内存使用阈值。业务编辑功能对业务的信息进行修改，可以修改的有业务描述，CPU阈值，内存阈值。业务启用时，点击启用按钮即可生效。生效后，服务器上可以运行该任务。业务停用时，点击停用按钮即可停用。停用后，则服务器将不对业务进行处理。

用户管理模块功能包括用户查询，用户新增，用户修改，用户删除，用户启用停用等功能。用户查询包括按用户名，用户类型查询。用户新增需要填写用户名，密码，确认密码，用户类型等信息后保存。在用户列表上可以启用，停用用户。支持用户信息修改和删除操作。

信息入库服务子***包括数据库处理、集群控制服务交互、数据处理三个模块。

数据库处理模块负责与数据库进行交互，调用底层数据库接口，执行连接、查询、增加、删除、修改等操作。

集群控制服务交互(集群中间件Zookeeper交互)模块从集群中间件Zookeeper读取集群节点信息，集群中间件Zookeeper交互流程包括初始化、连接集群中间件Zookeeper、读取数据、断开四个步骤。

数据处理模块处理从集群中间件Zookeeper中读取到的数据，包括数据格式化、数据解析、查询等。

图15示出了本发明加速计算***工作流程示意图，如图15所示，示例性的，前端设有M个前端服务器，分别是第1,2,3…M个前端服务器，每个前端服务器包括业务***和前端代理。后端设有计算集群、数据库和集群管理子***。计算集群由N个计算节点组成，分别是第1,2,3…N个计算节点服务器，每个计算节点服务器相互独立，通过高速网络互联，它们构成了一个组，并以单一***的模式加以管理。每个计算节点包括计算服务、信息采集服务和集群控制服务。数据库和集群管理子***可以部署在独立于集群节点的单独服务器上，也可以部署在集群节点服务器上，通过软件接口与集群节点进行数据交互。

本发明一种基于加密运算的集群化加速计算***的工作流程如下：

(1)前端业务***调用前端代理接口发出计算请求。

(2)前端代理接收并缓存计算任务，连接配置设定的集群节点集群控制服务。

(3)集群控制服务返回节点资源列表。

(4)前端代理选择最优的后端计算节点服务器并连接。

(5)后端计算节点缓存计算任务。

(6)后端计算节点返回前端代理任务接收成功。

(7)前端代理接口返回前端业务***计算任务调用结果。

(8)后端计算节点执行计算任务。

(9)后端计算节点返回前端代理任务计算结果。

(10)前端代理缓存任务计算结果。

(11)前端业务***调用前端代理接口进行任务计算结果查询。

(12)前端代理接口返回前端业务***任务计算结果。

(13)信息采集服务定时采集节点信息(资源使用率、任务情况等)。

(14)信息采集服务连接集群控制服务发送采集到的节点信息。

(15)信息入库服务连接集群控制服务读取集群所有节点信息，将集群信息写入数据库。

(16)集群管理子***读取数据库数据并展示。

因为集群能够处理的计算任务是海量的，而有的任务的计算是消耗时间长，缓存是为了能够接收并处理到每一个计算任务，使每个计算任务和任务计算结果不会丢失。另外，计算服务接收到计算任务，虽然不能立即返回任务计算结果，但会立即返回给前端代理接口任务接收成功的消息，调用前端代理接口的业务***获知任务发送成功，如此可以保证业务***及时获知任务是否发送成功，如果发送失败，业务***可以重发。

本发明提供的一种基于加密运算的集群化加速计算***具有健壮性，单台集群节点服务器故障不影响其他服务器运行，易伸缩，可方便添加或减少节点服务器。加速计算***通过对集群各节点资源占用数据的采集，由前端代理选择相对空闲的节点计算服务处理计算任务，达到负载均衡的目的，并且可随着集群中节点数的增加，扩展***的计算能力，提高整个***的计算性能。

尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于加密运算的集群化加速计算方法，其特征在于，所述加速计算方法包括：

接收加密计算任务，查询集群资源列表，其中，所述集群资源列表包括CPU资源使用率、内存资源使用率；

根据所述集群资源列表，选择最优集群节点，发送所述加密计算任务到所述最优集群节点；

所述最优集群节点接收并使用第一计算单元和/或第二计算单元执行所述加密计算任务，返回任务计算结果。

2.根据权利要求1所述的加速计算方法，其特征在于，所述接收加密计算任务，查询集群资源列表包括：

前端业务***调用前端代理接口发送所述加密计算任务，

前端代理接收并缓存所述加密计算任务，连接集群控制服务，查询集群资源列表，所述集群控制服务返回集群资源列表；

所述根据集群资源列表，选择最优集群节点，发送计算任务到最优集群节点包括：

前端代理根据所述集群资源列表，选择最优集群节点，发送所述加密计算任务到最优集群节点。

3.根据权利要求2所述的加速计算方法，其特征在于，所述最优集群节点接收并使用第一计算单元和/或第二计算单元执行所述加密计算任务，返回任务计算结果包括：

所述最优集群节点接收并缓存所述加密计算任务，返回前端代理任务接收成功；

前端代理接口返回业务***所述加密计算任务的调用结果；

所述最优集群节点使用第一计算单元和/或第二计算单元执行所述加密计算任务；

所述最优集群节点返回前端代理任务计算结果；

前端代理缓存所述任务计算结果；

前端业务***调用前端代理接口进行任务计算结果查询；

前端代理接口返回前端业务***所述任务计算结果。

4.根据权利要求3所述的加速计算方法，其特征在于，所述加速计算方法还包括：

信息采集服务定时采集节点信息，连接集群控制服务发送所述节点信息；

集群控制服务接收所述节点信息，更新所述集群资源列表。

5.根据权利要求1-4任一项所述的加速计算方法，其特征在于，所述选择最优集群节点的方法包括：

判断第一节点和第二节点的内存使用率是否满足第一阈值：

当两个节点的内存使用率均满足第一阈值或均不满足第一阈值时，选择两个节点中CPU使用率低的节点作为最优集群节点；

当只有一个节点的内存使用率满足第一阈值时，判断该节点的CPU使用率是否满足第二阈值：若满足第二阈值，则将该节点作为空闲度高的节点；若不满足第二阈值，则选择两个节点中CPU使用率低的节点作为最优集群节点。

6.根据权利要求5所述的加速计算方法，其特征在于，所述选择两个节点中CPU使用率低的节点作为最优集群节点包括：

当两个节点的CPU使用率相同时选择内存使用率低的节点作为最优集群节点。

7.根据权利要求1-4、6任一项所述的加速计算方法，其特征在于，所述使用第一计算单元和/或第二计算单元执行所述加密计算任务遵循计算任务调度方法，所述计算任务调度方法包括：

统计多种计算任务在第一计算单元和第二计算单元上的计算时间；

根据统计结果，判断当前计算任务在第一计算单元和第二计算单元上计算的预计完成时间，所述预计完成时间包括第一计算单元或第二计算单元上未完成的任务量和当前计算任务所需要的计算时间；

将所述当前计算任务分配给预计完成时间短的第一计算单元或第二计算单元。

8.一种基于加密运算的集群化加速计算***，其特征在于，所述加速计算***包括：

前端代理服务子***，用于接收加密计算任务，查询集群资源列表，根据所述集群资源列表，选择最优集群节点，发送所述加密计算任务到所述最优集群节点；

计算服务子***，用于接收并使用第一计算单元和/或第二计算单元执行所述加密计算任务，返回任务计算结果。

9.根据权利要求8所述的加速计算***，其特征在于，所述加速计算***还包括：

信息采集服务子***，用来定时采集集群节点信息，发送所述集群节点信息；

集群控制服务子***，接收所述集群节点信息，根据所述集群节点信息，更新所述集群资源列表。

10.根据权利要求8或9所述加速计算***，其特征在于，所述计算服务子***包括：

任务收发模块，用来接收所述加密计算任务，返回任务计算结果；

第一计算单元，使用密码卡执行所述加密计算任务；

第二计算单元，使用CPU执行所述加密计算任务；

计算任务调度模块，根据计算任务调度方法，向第一计算单元或第一计算单元分配所述加密计算任务；

高速通信模块，用来实现所述前端代理子***与所述计算服务子***之间所述加密计算任务和任务计算结果的快速传输。