CN116527257B - 异构计算***及基于异构计算***的资源处理方法 - Google Patents

异构计算***及基于异构计算***的资源处理方法 Download PDF

Info

Publication number
CN116527257B
CN116527257B CN202310764757.7A CN202310764757A CN116527257B CN 116527257 B CN116527257 B CN 116527257B CN 202310764757 A CN202310764757 A CN 202310764757A CN 116527257 B CN116527257 B CN 116527257B
Authority
CN
China
Prior art keywords
computing
host
heterogeneous
resource
pcie
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310764757.7A
Other languages
English (en)
Other versions
CN116527257A (zh
Inventor
蓝晏翔
熊军
邵乐希
王嘉平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Digital Economy Academy IDEA
Original Assignee
International Digital Economy Academy IDEA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Digital Economy Academy IDEA filed Critical International Digital Economy Academy IDEA
Priority to CN202310764757.7A priority Critical patent/CN116527257B/zh
Publication of CN116527257A publication Critical patent/CN116527257A/zh
Application granted granted Critical
Publication of CN116527257B publication Critical patent/CN116527257B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/125Parallelization or pipelining, e.g. for accelerating processing of cryptographic operations
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了异构计算***及基于异构计算***的资源处理方法,该***包括:宿主机、通过PCIe总线与宿主机连接的PCIe桥、与PCIe桥连接的异构计算设备;PCIe桥在接收到来自宿主机的计算任务指令为机密计算任务指令时,获取对称密钥,再通过对称密钥对来自宿主机的加密资源解密,得到第一待计算资源并发送至与其连接的异构计算设备;异构计算设备对来自PCIe桥的第一待计算资源计算得到第一计算结果;PCIe桥通过对称密钥对来自异构计算设备的第一计算结果进行加密,并将加密后的第一计算结果通过PCIe总线发送至宿主机,宿主机通过对称密钥解密得到第一计算结果,提高异构机密计算过程中的资源安全性。

Description

异构计算***及基于异构计算***的资源处理方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种异构计算***及基于异构计算***的资源处理方法。
背景技术
随着云计算、大数据的快速发展,计算量也越来越大,相对的,实时性要求也越来越高,目前以软件形式在通用CPU实现某些计算已经无法满足计算需求。相关技术中,提出了通过PCIe接口连接异构计算设备(例如:GPU、DPU等)以实现外部异构加速计算,以满足越来越高的计算需求。
然而,随着互联网技术的快速发展,用户对数据安全计算的需求越来越高。目前所提出的机密计算技术主要集中于CPU,通过Intel SGX或ARM TrustZone,从CPU内部划分出一个由CPU保证的“安全区域”作为机密计算资源,其他区域称为“正常区域”并作为普通计算资源,安全区域中的代码和程序不允许被其他程序访问和使用(即便是操作***级别权限的软件也无法访问和使用),使得CPU可以同时实现机密计算和普通计算。
但是,由于当前的机密计算技术主要集中于CPU只能保证数据在CPU端的安全性,无法直接扩展到异构计算设备(例如DPU、GPU)上,从而无法保证数据在异构计算设备中的安全性。
虽然目前部分公司提供了支持机密计算的GPU,例如NVIDIA公司最新推出的H100GPU。然而,在需要异构计算设备实现机密计算时只能采用该GPU芯片,不具有普适性,影响异构计算、数据安全的发展。
基于此,如何提供一种具有普适性、能够实现异构计算设备机密计算的技术成为亟需解决的技术问题。
发明内容
本发明的主要目的在于提供一种异构计算***及基于异构计算***的资源处理方法,旨在解决现有技术中的异构计算设备实现机密计算普适性低,异构机密计算的数据安全低的问题。
为了实现上述目的,本发明提供了一种异构计算***,所述异构计算***包括:宿主机、PCIe桥、以及与所述PCIe桥连接的所述异构计算设备;其中,所述PCIe桥通过PCIe总线与所述宿主机连接并通信;
所述PCIe桥用于接收来自所述宿主机的计算任务指令,在所述计算任务指令为机密计算任务指令时,获取对称密钥;
所述PCIe桥还用于根据所述对称密钥对来自所述宿主机的加密资源进行解密,得到第一待计算资源,并将所述第一待计算资源发送至与所述PCIe桥连接的异构计算设备;
其中,所述加密资源为所述宿主机根据获取的所述对称密钥对第一待计算资源加密得到的;
所述异构计算设备用于对来自所述PCIe桥的所述第一待计算资源进行计算得到第一计算结果;
所述PCIe桥还用于通过所述对称密钥对来自所述异构计算设备的第一计算结果进行加密,并将加密后的第一计算结果通过PCIe总线发送至宿主机;
所述宿主机用于根据获取的所述对称密钥对所述加密后的第一计算结果解密,得到所述第一计算结果。
可选地,所述PCIe桥具体用于:在所述计算任务指令为机密计算任务指令时,通过PCIe总线与所述宿主机进行身份认证,并当身份认证成功后获取所述对称密钥。
可选地,所述异构计算设备为多个,每个所述异构计算设备与所述PCIe桥一一对应连接,每个所述PCIe桥通过所述PCIe总线与所述宿主机连接。
可选地,所述宿主机还用于:在生成所述计算任务指令后,获取与所述宿主机连接的每个所述PCIe桥对应的所述异构计算设备的当前空闲资源量;
基于每个所述异构计算设备的当前空闲资源量以及所述计算任务指令所需的计算资源量,确定用于所述计算任务指令的异构计算设备。
可选地,所述宿主机还用于:所述获取与所述宿主机连接的每个所述PCIe桥对应的所述异构计算设备的当前空闲资源量之前,确定所述计算任务指令对应的任务类型;所述任务类型包括:机密计算任务、普通计算任务;
当所述计算任务指令对应的任务类型为所述机密计算任务时,获取所述宿主机的机密计算环境的当前空闲资源量;
当所述计算任务指令对应的任务类型为所述普通计算任务时,获取所述宿主机的普通计算环境的当前空闲资源量;
当所述机密计算环境的当前空闲资源量小于所述机密计算任务的计算资源量或所述普通计算环境的当前空闲资源量小于所述普通计算任务的计算资源量时,获取与所述宿主机连接的每个所述PCIe桥对应的所述异构计算设备的当前空闲资源量。
可选地,所述PCIe包括:上行端口、下行端口;
所述上行端口通过PCIe总线与宿主机的PCIe接口连接,所述下行端口与异构计算设备的PCIe接口连接。可选地,所述PCIe桥还用于在所述计算任务指令为普通计算任务指令时,通过PCIe总线接收来自所述宿主机的第二待计算资源并发送至与所述PCIe桥连接的异构计算设备;
所述异构计算设备还用于对所述第二待计算资源进行计算,得到第二计算结果发送至所述PCIe桥;
所述宿主机用于接收来自所述PCIe桥的第二计算结果。
可选地,所述宿主机包括:机密计算环境和普通计算环境;
其中,所述机密计算任务指令为所述宿主机中的机密计算环境基于机密计算任务生成;
所述普通计算任务指令为所述宿主机中普通计算环境基于普通计算任务生成。
可选地,所述宿主机用于:当得到相应的计算结果时,生成任务结束指令发送至所述PCIe桥;
所述PCIe桥用于基于所述任务结束指令,删除对应的所述异构计算设备中存储的所有资源。
为了实现上述目的,本发明还提供了一种基于异构计算***的资源处理方法,所述异构计算***为如上任意项所述的异构计算***,所述资源处理方法包括:
PCIe桥接收来自宿主机的计算任务指令,在所述计算任务指令为机密计算任务指令时,获取所述对称密钥;
所述PCIe桥根据所述对称密钥对来自所述宿主机的加密资源进行解密,得到第一待计算资源并发送至与PCIe桥连接的异构计算设备;
其中,所述加密资源为所述宿主机根据获取的所述对称密钥对第一待计算资源加密得到的;
所述PCIe桥根据所述对称密钥对来自所述异构计算设备的第一计算结果进行加密,并将加密后的第一计算结果通过PCIe总线发送至宿主机,以使宿主机通过所述对称密钥对所述加密后的第一计算结果解密,得到所述第一计算结果;
其中,所述第一计算结果为所述异构计算对来自所述PCIe桥的所述第一待计算资源进行计算得到的。
可选地,所述方法还包括:在所述计算任务指令为普通计算任务指令时,所述PCIe桥通过PCIe总线接收来自所述宿主机的第二待计算资源并发送至与所述PCIe桥连接的异构计算设备;所述PCIe桥接收来自所述异构计算设备的第二计算结果并发送至宿主机,以使所述宿主机得到所述第二计算结果;其中,所述第二计算结果为所述异构计算设备对所述第二待计算资源进行计算得到的。
本发明通过PCIe桥将宿主机与异构计算设备连接,在机密计算过程中,PCIe桥以及宿主机先获取对称密钥,宿主机的机密计算环境与PCIe桥之间的通信均使用上述对称密钥进行加解密,一方面,PCIe桥与宿主机获取对称密钥,在机密计算任务过程中PCIe桥与宿主机之间进行数据传输时均进行加密的形式传输,保证了第一待计算资源从宿主机端到PCIe桥之间的安全性,使得第一待计算资源能够在整个异构机密计算过程中数据的安全性;另一方面,通过PCIe桥将异构计算设备和宿主机连接起来实现异构机密计算,不改变原本计算***的拓扑结构、不需改变异构计算设备的PCIe接口的通讯协议,也无需对异构计算资源本身做任何修改,不改变异构计算设备原本的功能和能力,能够适用于具有PCIe接口的不同类型的异构计算设备,从而提高异构机密计算的普适性。
附图说明
图1为本发明实施例的异构计算***的结构示意图之一;
图2为本发明实施例的异构计算***的结构示意图之二;
图3为本发明实施例提供的基于异构计算***的资源处理方法的流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1为本发明实施例提供的异构计算***的结构示意图,如图1所示,该异构计算***至少包括:宿主机100、PCIe桥200、异构计算设备300。
其中,PCIe桥200包括上行端口和下行端口,上行端口通过PCIe总线与宿主机100的PCIe接口连接,以实现PCIe桥200通过PCIe总线与宿主机100连接并通信。PCIe桥200的下行端口与异构计算设备300的PCIe接口连接,以实现PCIe桥200与异构计算设备300的连接。基于此,实现宿主机100通过PCIe桥200与异构计算设备300之间的通信。上述PCIe桥是一个增加安全功能(如加解密、身份认证、访问控制、状态管理等)的透明桥,例如:PCI-PCIBridge、PCIe Switch。
上述宿主机100包括机密计算环境、普通计算环境。其中,机密计算环境即为宿主机100中用于进行机密计算的区域,普通计算环境即为宿主机100中用于除机密计算外的普通计算的区域。本发明实施例中,可以通过Intel SGX或ARM TrustZone,从宿主机100的CPU内部划分出一个由CPU保证的“安全区域”作为机密计算环境,其他区域称为“正常区域”并作为普通计算环境。
上述异构计算设备300具有PCIe接口,例如GPU板卡、DPU板卡、NPU板卡、FPGA加速卡、ASIC加速卡等,在本发明实施例中不做具体限定。
在本发明实施例中,上述宿主机100用于生成计算任务指令,并将生成的计算任务指令通过PCIe总线发送至PCIe桥200。上述计算任务指令包括:机密计算任务指令、普通计算任务指令。其中,机密计算任务指令是宿主机100中的机密计算环境基于机密计算任务生成的,用于指示进行机密计算;普通计算任务指令是宿主机100中的普通计算环境基于普通计算任务生成的,用于指示进行普通计算。
上述PCIe桥用于接收来自宿主机100的计算任务指令,并确定计算任务指令的类型,从而实现状态管理。在计算任务指令为机密计算任务指令时,获取对称密钥,使得宿主机100和PCIe桥200都能得到对称密钥。上述宿主机100的机密计算环境用于根据对称密钥对机密计算任务指令对应的第一待计算资源进行加密,得到第一加密资源并通过PCIe总线发送至PCIe桥200。上述PCIe桥200用于根据对称密钥对第一加密资源进行解密,得到第一待计算资源并发送至与该PCIe桥200连接的异构计算设备300。上述异构计算设备300用于对第一待计算资源进行计算,得到对应的第一计算结果并发送至与其连接的PCIe桥200。上述PCIe桥200用于根据对称密钥对第一计算结果进行加密,并通过PCIe总线将加密后的第一计算结果发送至上述宿主机100的机密计算环境。上述宿主机100的机密计算环境根据对称密钥对加密后的第一计算结果进行解密,得到第一计算结果。
在本发明实施例中,具有机密计算环境的宿主机100和其对应的异构计算设备300之间设置PCIe桥200,宿主机100将机密计算环境基于机密计算任务生成的机密计算任务指令通过PCIe总线发送至对应的PCIe桥200后,先获取宿主机100的机密计算环境与PCIe桥200之间通信的对称密钥,宿主机100通过对称密钥对第一待计算资源进行加密后通过PCIe总线发送至PCIe桥200,PCIe桥200对该第一加密资源进行解密并将解密后的第一待计算资源发送至与其连接的异构计算设备300,该异构计算设备300对该第一待计算资源进行计算,并将得到的第一计算结果发送至与其连接的PCIe桥200,该PCIe桥200根据上述对称密钥对第一计算结果进行加密,并将加密后的第一计算结果通过PCIe总线发送至宿主机100的机密计算环境,该机密计算环境通过对称密钥对加密后的第一计算结果解密从而得到对应的第一计算结果,完成在异构计算设备300中的机密计算。
在本发明的一些实施例中,在所述计算任务指令为机密计算任务指令时,PCIe桥获取对称密钥至少可以通过以下任意一种方式实现:
在所述计算任务指令为机密计算任务指令时,PCIe桥与宿主机的机密计算环境进行密钥交换,以得到对称密钥;
在计算任务指令为机密计算任务指令时,宿主机的机密计算环境将预先生成的对称密钥发送至PCIe桥。
基于本发明提供的异构计算***,在上述机密计算过程中,宿主机100的机密计算环境与PCIe桥200之间的通信均使用上述对称密钥进行加解密,一方面,保证了第一待计算资源从宿主机100端到PCIe桥200之间的安全性,使得第一待计算资源能够在整个异构机密计算过程中数据的安全性;另一方面,通过PCIe桥200将异构计算设备300和宿主机100连接起来,不改变原本计算***的拓扑结构、不需改变异构计算设备300PCIe接口的通讯协议,也无需对异构计算资源本身做任何修改,不改变异构计算设备300原本的功能和能力,能够适用于具有PCIe接口的不同类型的异构计算设备300,从而提高异构机密计算的普适性。
进一步地,上述PCIe桥200具体用于在计算任务指令为机密计算任务指令时,通过PCIe总线与宿主机100进行身份认证,并当身份认证成功后再获取对称密钥。
本发明实施例中,PCIe桥200在接收到的计算任务指令为机密计算任务指令时,需要先与宿主机100的机密计算环境进行身份认证,在身份认证成功建立可信连接后再获取对称密钥,从而进一步提高异构计算***在机密计算时的安全性。
可以理解的是,上述身份认证可以是现有公开的身份认证方式,在发明实施例中不做具体限定。
在本发明的一些实施例中,上述PCIe桥200还用于在计算任务指令为普通计算任务指令时,通过PCIe总线接收来自宿主机100的第二待计算资源并发送至与该PCIe桥200连接的异构计算设备300。上述异构计算设备300还用于对第二待计算资源进行计算,得到第二计算结果并发送至PCIe桥200,PCIe桥200用于将该第二计算结果通过PCIe总线发送至宿主机100,即宿主机100还用于接收来自PCIe桥200的第二计算结果。
本发明实施例提供的异构计算***,不仅可以进行异构机密计算还可以进行异构普通计算,PCIe桥200在接收到的计算任务指令为普通计算任务指令时,直接将接收来自宿主机100的普通计算环境的第二待计算资源并发送至与其连接的异构计算设备300,并将异构计算设备300对第二待计算资源计算得到的第二计算结果直接发送至宿主机100的普通计算环境,从而实现异构普通计算。
可以理解的是,上述第一待计算资源为需要进行机密计算的待计算资源,上述第二待计算资源为进行普通计算的待计算资源。并且,无论是第一待计算资源还是第二待计算资源均可以是数据或代码,在本发明实施例中不做具体限定。
本发明提供的异构计算***,既可以实现异构机密计算还可以实现异构普通计算,即可以在机密计算和普通计算之间实现状态切换,使得异构计算设备300既可以用于机密计算又可以用于普通计算,从而提高异构计算设备的利用率,提高用户体验。
如图2所示,本发明提供的异构计算***中宿主机100可以对应有多个异构计算设备300,每个异构计算设备300与一个PCIe桥200一一对应连接,每个PCIe桥200通过PCIe总线与该宿主机100连接。
在本发明实施例中,为宿主机100设置多个异构计算设备300可以提高该异构计算***的计算量,还可以同时进行多个异构计算进行,从而进一步提高用户体验。
在本发明的一些实施例中,宿主机100还用于在生成计算任务指令后,获取与宿主机100连接的每个PCIe桥200对应的异构计算设备300的当前空闲资源量;基于每个异构计算设备300的当前空闲资源量和该计算任务指令所需的计算资源量,确定用于该计算任务指令的异构计算设备300。
具体地,宿主机100在生成计算任务指令后,可以先通过与其连接的PCIe桥200获取各个异构计算设备300的当前空闲资源量,然后将每个异构计算设备300的当前空间资源量与该计算任务指令所需的计算资源量进行比较,从当前空间资源量大于计算资源量的异构计算设备300中随机选取一个异构计算设备300,作为执行该计算任务指令对应的计算任务的异构计算设备300。
上述计算任务指令所需的计算资源量即为计算任务指令对应的计算任务所需的计算资源量,这里所提到的计算任务既可以是机密计算任务还可以是普通计算任务。
更进一步地,宿主机100还可以在异构计算设备300的当前空闲资源量均小于计算资源量时,将该计算任务指令对应的计算任务分成多个子任务,并为每个子任务分配对应的异构计算设备300,从而保证异构计算的效率。
可以理解的是,上述计算任务分成多个子任务可以按照计算资源量平均分配,也可以根据异构计设备的当前空间资源量进行划分,在本发明实施例中不做具体限定。
若异构计算***中的宿主机100对应多个异构计算设备300则在宿主机100生成计算任务指令之后可以通过PCIe桥200获取每个异构计算设备300的当前空闲资源量为该计算任务指令分配对应的异构计算设备300。
在本发明的一些实施例中,宿主机100还用于:获取与宿主机100连接的每个PCIe桥200对应的异构计算设备300的当前空闲资源量之前,确定该计算任务指令对应的任务类型,当计算任务指令对应的任务类型为机密计算任务时,获取该宿主机100的机密计算环境的当前空闲资源量;当该计算任务指令对应的任务类型为普通计算任务时,获取该宿主机100的普通计算环境的当前空闲资源量;在机密计算环境的当前空闲资源量小于机密计算任务的计算资源量或普通计算环境的当前空闲资源量小于普通计算任务的计算资源量时,获取与宿主机100连接的每个PCIe桥200对应的异构计算设备300的当前空闲资源量。
在本发明实施例中,在获取与宿主机100连接的每个PCIe桥200对应的异构计算设备300的当前空闲资源量之前,宿主机100先确定其自身当前空闲资源量,从而判断是否需要异构计算设备300进行异构计算,进一步提高计算任务的计算效率。
在本发明的一些实施例中,宿主机100还用于当得到计算结果时,生成任务结束指令并发送至PCIe桥200。PCIe桥200还用于基于任务结束指令,删除该异构计算机设备中存储的所有资源。
上述计算结果包括第一计算结果和第二计算结果,在计算结果为第一计算结果时上述任务结束指令为宿主机100的机密计算环境生成的,在计算结果为第二计算结果时上述任务结束指令为宿主机100的普通计算环境生成的。上述所有资源是指该异构计算设备300在机密计算或普通计算过程中接收以及生成的所有数据或代码。
具体地,宿主机100获取到计算结果后,生成对应的任务结束指令并通过PCIe总线发送至对应的PCIe桥200,PCIe桥200在接收到该任务结束指令后,删除其存储的所有资源。
本发明在计算任务结束后删除异构计算设备300在计算任务过程中接收或生成的所有资源,避免资源被盗取,进一步保证异构计算的安全性。
基于上述异构计算***,本发明还提供了一种基于异构计算***的资源处理方法,如图3所示,该资源处理方法至少包括以下步骤:
S301,PCIe桥接收来自宿主机的计算任务指令,在计算任务指令为机密计算任务指令时,获取对称密钥。
具体地,宿主机的机密计算环境在生成机密计算任务后,先确定执行当前机密计算任务的PCIe桥。在确定执行当前机密计算任务的PCIe桥之后PCIe桥与宿主机的机密计算环境以预先约定的方式进行身份认证,在身份认证通过后PCIe桥再获取对称密钥。
S302,PCIe桥根据对称密钥对来自宿主机的加密资源进行解密,得到第一待计算资源并发送至与PCIe桥连接的异构计算设备。
其中,加密资源为宿主机根据对称密钥对第一待计算资源加密得到的。
在本发明实施例中,PCIe桥获取到对称密钥后,宿主机的机密计算环境启动该机密计算任务,并将加密资源发送至该PCIe桥。
S303,PCIe桥根据对称密钥对来自异构计算设备的第一计算结果进行加密,并将加密后的第一计算结果通过PCIe总线发送至宿主机,以使宿主机通过上述对称密钥对加密后的第一计算结果解密,得到第一计算结果。
其中,第一计算结果为异构计算设备对来自PCIe桥的第一待计算资源进行计算得到的。
在本发明的一些实施例中,在宿主机得到第一计算结果后,生成对应的任务结束指令并发送至PCIe桥,PCIe桥在接收到任务结束指令后删除该PCIe桥对应的异构计算设备中所有资源,以进一步提高数据建模过程中数据的安全性。
在本发明的一些实施例中,上述资源处理方法还可以包括以下步骤:在计算任务指令为普通计算任务指令时,PCIe桥通过PCIe总线接收来自宿主机的第二待计算资源并发送至与该PCIe桥连接的异构计算设备;PCIe桥接收来自异构计算设备的第二计算结果并发送至宿主机,以使宿主机得到第二计算结果。
其中,第二计算结果为异构计算设备对第二待计算资源进行计算得到的。
本发明中各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于方法实施例而言,由于其基本相似于***实施例,所以描述的比较简单,相关之处参见***实施例的部分说明即可。
此外,本发明实施例提供的***和方法一一对应,因此,方法也具有与其对应的***类似的有益技术效果。由于上面已经对***的有益效果进行了详细说明,因此,这里不再赘述方法的有益技术效果。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
当然,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关硬件(如处理器,控制器等)来完成,所述的程序可存储于一计算机可读取的计算机可读存储介质中,所述程序在执行时可包括如上述各方法实施例的流程。其中所述的计算机可读存储介质可为存储器、磁碟、光盘等。
应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (8)

1.一种异构计算***,其特征在于,所述异构计算***包括:宿主机、PCIe桥、以及与所述PCIe桥连接的异构计算设备;其中,所述PCIe桥通过PCIe总线与所述宿主机连接并通信;
所述PCIe桥包括:上行端口、下行端口;
所述上行端口通过PCIe总线与宿主机的PCIe接口连接,所述下行端口与异构计算设备的PCIe接口连接;
所述PCIe桥用于接收来自所述宿主机的计算任务指令,在所述计算任务指令为机密计算任务指令时,获取对称密钥;
所述PCIe桥具体用于:
在所述计算任务指令为机密计算任务指令时,通过PCIe总线与所述宿主机进行身份认证,并当身份认证成功后获取所述对称密钥;
所述PCIe桥还用于根据所述对称密钥对来自所述宿主机的加密资源进行解密,得到第一待计算资源,并将所述第一待计算资源发送至与所述PCIe桥连接的异构计算设备;
其中,所述加密资源为所述宿主机根据获取的所述对称密钥对第一待计算资源加密得到的;
所述异构计算设备用于对来自所述PCIe桥的所述第一待计算资源进行计算得到第一计算结果;
所述PCIe桥还用于通过所述对称密钥对来自所述异构计算设备的第一计算结果进行加密,并将加密后的第一计算结果通过PCIe总线发送至宿主机;
所述宿主机用于根据获取的所述对称密钥对所述加密后的第一计算结果解密,得到所述第一计算结果;
所述PCIe桥还用于在所述计算任务指令为普通计算任务指令时,通过PCIe总线接收来自所述宿主机的第二待计算资源并发送至与所述PCIe桥连接的异构计算设备;
所述异构计算设备还用于对所述第二待计算资源进行计算,得到第二计算结果发送至所述PCIe桥;
所述宿主机用于接收来自所述PCIe桥的第二计算结果。
2.根据权利要求1所述的异构计算***,其特征在于,所述异构计算设备为多个,每个所述异构计算设备与所述PCIe桥一一对应连接,每个所述PCIe桥通过所述PCIe总线与所述宿主机连接。
3.根据权利要求2所述的异构计算***,其特征在于,所述宿主机还用于:
在生成所述计算任务指令后,获取与所述宿主机连接的每个所述PCIe桥对应的所述异构计算设备的当前空闲资源量;
基于每个所述异构计算设备的当前空闲资源量以及所述计算任务指令所需的计算资源量,确定用于所述计算任务指令的异构计算设备。
4.根据权利要求3所述的异构计算***,其特征在于,所述宿主机还用于:
所述获取与所述宿主机连接的每个所述PCIe桥对应的所述异构计算设备的当前空闲资源量之前,确定所述计算任务指令对应的任务类型;所述任务类型包括:机密计算任务、普通计算任务;
当所述计算任务指令对应的任务类型为所述机密计算任务时,获取所述宿主机的机密计算环境的当前空闲资源量;
当所述计算任务指令对应的任务类型为所述普通计算任务时,获取所述宿主机的普通计算环境的当前空闲资源量;
当所述机密计算环境的当前空闲资源量小于所述机密计算任务的计算资源量或所述普通计算环境的当前空闲资源量小于所述普通计算任务的计算资源量时,获取与所述宿主机连接的每个所述PCIe桥对应的所述异构计算设备的当前空闲资源量。
5.根据权利要求1所述的异构计算***,其特征在于,所述宿主机包括:机密计算环境和普通计算环境;
其中,所述机密计算任务指令为所述宿主机中的机密计算环境基于机密计算任务生成;
所述普通计算任务指令为所述宿主机中普通计算环境基于普通计算任务生成。
6.根据权利要求1所述的异构计算***,其特征在于,所述宿主机用于:当得到相应的计算结果时,生成任务结束指令发送至所述PCIe桥;
所述PCIe桥用于基于所述任务结束指令,删除对应的所述异构计算设备中存储的所有资源。
7.一种基于异构计算***的资源处理方法,其特征在于,所述异构计算***为如权利要求1-6任一项所述的异构计算***,所述资源处理方法包括:
PCIe桥接收来自宿主机的计算任务指令,在所述计算任务指令为机密计算任务指令时,获取对称密钥;
所述PCIe桥根据所述对称密钥对来自所述宿主机的加密资源进行解密,得到第一待计算资源并发送至与PCIe桥连接的异构计算设备;
其中,所述加密资源为所述宿主机根据获取的所述对称密钥对所述第一待计算资源加密得到的;
所述PCIe桥通过所述对称密钥对来自所述异构计算设备的第一计算结果进行加密,并将加密后的第一计算结果通过PCIe总线发送至宿主机,以使宿主机通过所述对称密钥对所述加密后的第一计算结果解密,得到所述第一计算结果;
其中,所述第一计算结果为所述异构计算对来自所述PCIe桥的所述第一待计算资源进行计算得到的。
8.根据权利要求7所述的基于异构计算***的资源处理方法,其特征在于,所述方法还包括:
在所述计算任务指令为普通计算任务指令时,所述PCIe桥通过PCIe总线接收来自所述宿主机的第二待计算资源并发送至与所述PCIe桥连接的异构计算设备;
所述PCIe桥接收来自所述异构计算设备的第二计算结果并发送至宿主机,以使所述宿主机得到所述第二计算结果;其中,所述第二计算结果为所述异构计算设备对所述第二待计算资源进行计算得到的。
CN202310764757.7A 2023-06-27 2023-06-27 异构计算***及基于异构计算***的资源处理方法 Active CN116527257B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310764757.7A CN116527257B (zh) 2023-06-27 2023-06-27 异构计算***及基于异构计算***的资源处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310764757.7A CN116527257B (zh) 2023-06-27 2023-06-27 异构计算***及基于异构计算***的资源处理方法

Publications (2)

Publication Number Publication Date
CN116527257A CN116527257A (zh) 2023-08-01
CN116527257B true CN116527257B (zh) 2023-10-31

Family

ID=87408567

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310764757.7A Active CN116527257B (zh) 2023-06-27 2023-06-27 异构计算***及基于异构计算***的资源处理方法

Country Status (1)

Country Link
CN (1) CN116527257B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111897398A (zh) * 2020-08-11 2020-11-06 曙光信息产业(北京)有限公司 一种异构计算扩展装置及电子设备
CN112035388A (zh) * 2020-08-12 2020-12-04 北京数盾信息科技有限公司 一种基于PCI-e通道的高性能加解密方法
CN112685352A (zh) * 2020-12-31 2021-04-20 深圳安捷丽新技术有限公司 一种pcie转sata协议的桥接芯片及其运行方法
CN114600108A (zh) * 2019-08-16 2022-06-07 边信联科技股份有限公司 异构处理器通过开放式连接器进行具有远距认证及信息独立的可信运算***及方法
CN115237843A (zh) * 2022-09-23 2022-10-25 粤港澳大湾区数字经济研究院(福田) 一种可信计算***及方法
CN116226940A (zh) * 2022-12-08 2023-06-06 广州万协通信息技术有限公司 一种基于pcie的数据安全处理方法以及数据安全处理***

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI566103B (zh) * 2015-11-16 2017-01-11 宇瞻科技股份有限公司 PCIe橋接器之轉換裝置及其方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114600108A (zh) * 2019-08-16 2022-06-07 边信联科技股份有限公司 异构处理器通过开放式连接器进行具有远距认证及信息独立的可信运算***及方法
CN111897398A (zh) * 2020-08-11 2020-11-06 曙光信息产业(北京)有限公司 一种异构计算扩展装置及电子设备
CN112035388A (zh) * 2020-08-12 2020-12-04 北京数盾信息科技有限公司 一种基于PCI-e通道的高性能加解密方法
CN112685352A (zh) * 2020-12-31 2021-04-20 深圳安捷丽新技术有限公司 一种pcie转sata协议的桥接芯片及其运行方法
CN115237843A (zh) * 2022-09-23 2022-10-25 粤港澳大湾区数字经济研究院(福田) 一种可信计算***及方法
CN116226940A (zh) * 2022-12-08 2023-06-06 广州万协通信息技术有限公司 一种基于pcie的数据安全处理方法以及数据安全处理***

Also Published As

Publication number Publication date
CN116527257A (zh) 2023-08-01

Similar Documents

Publication Publication Date Title
CN113438289B (zh) 基于云计算的区块链数据处理方法及装置
KR102377187B1 (ko) 블록체인의 프라이버시 데이터 처리방법, 장치, 디바이스 및 저장매체
Zhao et al. A security framework in G-Hadoop for big data computing across distributed Cloud data centres
JP2021189431A5 (zh)
CN111737366B (zh) 区块链的隐私数据处理方法、装置、设备以及存储介质
WO2020042822A1 (zh) 密码运算、创建工作密钥的方法、密码服务平台及设备
CN105700945A (zh) 一种基于净室环境的虚拟机安全迁移方法
WO2020042798A1 (zh) 密码运算、创建工作密钥的方法、密码服务平台及设备
CN113971289A (zh) 区块链一体机的可信启动方法及装置
KR102258215B1 (ko) Kms 및 hsm를 함께 이용하는 보안 시스템 및 그 동작 방법
KR20160097892A (ko) 가상화 기반의 보안 서비스 제공 장치 및 제공 방법
CN109600337B (zh) 资源处理方法、装置、***及计算机可读介质
CN104951712A (zh) 一种Xen虚拟化环境下的数据安全防护方法
CN114039753A (zh) 一种访问控制方法、装置、存储介质及电子设备
CN113489706B (zh) 一种数据处理方法、装置、***、设备及存储介质
CN116893903B (zh) 一种加密资源分配方法、***、设备及存储介质
CN116527257B (zh) 异构计算***及基于异构计算***的资源处理方法
CN116070240B (zh) 多芯片调用机制的数据加密处理方法及装置
CN115237843B (zh) 一种可信计算***及方法
WO2022001842A1 (zh) 处理数据的方法、主机及装置
EP3872671A1 (en) Secure key management system
CN108449358B (zh) 基于云的低延时安全计算方法
CN114329574B (zh) 基于域管平台的加密分区访问控制方法、***及计算设备
Wong et al. Security support for mobile grid services framework
CN117879819B (zh) 密钥管理方法、装置、存储介质、设备及算力服务***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20230801

Assignee: Shenzhen Qiangji Computing Technology Co.,Ltd.

Assignor: Guangdong Hong Kong Macao Dawan District Digital Economy Research Institute (Futian)

Contract record no.: X2023980045750

Denomination of invention: Heterogeneous computing systems and resource processing methods based on heterogeneous computing systems

Granted publication date: 20231031

License type: Exclusive License

Record date: 20231103

EE01 Entry into force of recordation of patent licensing contract