技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)信息安全技術(shù)領(lǐng)域，主要涉及一種多接口密碼模塊并行調(diào)度方法，該方法一方面使用并行方法對(duì)多接口密碼模塊進(jìn)行統(tǒng)一調(diào)度提高系統(tǒng)加解密效率，另一方面提供本地和網(wǎng)絡(luò)接口方便在多用戶環(huán)境下使用。

背景技術(shù)

密碼模塊是一種通過(guò)硬件接口（例如：PCI、PCI-E、USB和LPC等）連接在計(jì)算機(jī)主板上，提供加解密和安全認(rèn)證服務(wù)的安全芯片，是計(jì)算機(jī)系統(tǒng)密碼和安全的基本保障。密碼模塊內(nèi)部擁有獨(dú)立的處理器（例如）和存儲(chǔ)單元，不僅可以存儲(chǔ)密鑰和特征數(shù)據(jù)，而且能夠獨(dú)立地進(jìn)行加解密數(shù)據(jù)的操作。

通常情況下，密碼模塊是以FPGA等可編程單元或?qū)Ｓ眉呻娐罚ˋpplication Specific Integrated Circuit, ASIC）的形式實(shí)現(xiàn)的，其數(shù)據(jù)處理速度往往低于計(jì)算機(jī)內(nèi)CPU的數(shù)據(jù)處理速度。當(dāng)在集群計(jì)算/云計(jì)算環(huán)境下，有大量數(shù)據(jù)需要進(jìn)行加解密處理時(shí)，密碼模塊往往成為整個(gè)計(jì)算機(jī)系統(tǒng)的性能瓶頸。

為了解決密碼模塊性能的問(wèn)題，已有研究人員利用虛擬化技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)了相關(guān)密碼模塊的虛擬軟件。一方面，密碼模塊虛擬軟件能夠由CPU運(yùn)行，密碼處理速度顯著提高；另一方面，虛擬機(jī)管理器通過(guò)在每個(gè)虛擬機(jī)中運(yùn)行一個(gè)密碼模塊虛擬軟件，并對(duì)這些虛擬軟件進(jìn)行管理的方式，實(shí)現(xiàn)密碼模塊的并發(fā)執(zhí)行和調(diào)度。

但是，在一些特殊行業(yè)或部門（例如：政府、公安、軍事等）中，密碼算法是一個(gè)安全級(jí)別非常高的機(jī)密，只能由指定單位制定、獲知和實(shí)施，其他單位和個(gè)人不允許獲得密碼算法的相關(guān)信息。在這些行業(yè)或部門中，密碼算法的特殊性決定了相關(guān)密碼算法只能以封裝在密碼模塊的形式發(fā)布，無(wú)法被相關(guān)虛擬軟件虛擬。

綜上所述，需要針對(duì)我國(guó)一些行業(yè)計(jì)算機(jī)系統(tǒng)中密碼算法部署的特殊要求，通過(guò)利用多接口密碼模塊和主CPU的運(yùn)算能力，結(jié)合相關(guān)密碼模塊的特點(diǎn)，研究多接口密碼模塊并發(fā)運(yùn)行和統(tǒng)一調(diào)度的方式，以本地調(diào)用和網(wǎng)絡(luò)服務(wù)的形式提供密碼服務(wù)，提高相關(guān)行業(yè)計(jì)算機(jī)系統(tǒng)密碼處理的能力。

發(fā)明內(nèi)容

本發(fā)明目的在于解決現(xiàn)有技術(shù)不足，針對(duì)密碼模塊及相關(guān)虛擬化在我國(guó)一些行業(yè)的局限性，提供一種并發(fā)調(diào)度多接口密碼模塊的方式，以本地調(diào)用和網(wǎng)絡(luò)服務(wù)的形式提供密碼服務(wù)，提高相關(guān)計(jì)算機(jī)系統(tǒng)密碼處理的能力，方便多用戶使用。

本發(fā)明一種多接口密碼模塊并行調(diào)度方法的技術(shù)方案如下：

首先，通過(guò)本地接口或網(wǎng)絡(luò)接口接收密碼服務(wù)請(qǐng)求,其中，本地接口以動(dòng)態(tài)鏈接庫(kù)形式提供，網(wǎng)絡(luò)接口以基于socket端口的服務(wù)器端提供。密碼服務(wù)請(qǐng)求包括：密碼算法句柄、密鑰句柄、密碼模式句柄、待處理數(shù)據(jù)長(zhǎng)度和待處理數(shù)據(jù)。本地接口或網(wǎng)絡(luò)接口接收到密碼服務(wù)請(qǐng)求之后，通過(guò)本地調(diào)用轉(zhuǎn)發(fā)給密碼數(shù)據(jù)預(yù)處理部件。

然后，密碼數(shù)據(jù)預(yù)處理部件對(duì)接收到的密碼服務(wù)請(qǐng)求進(jìn)行預(yù)處理。一方面，根據(jù)分組密碼的特性，對(duì)密碼服務(wù)請(qǐng)求中的數(shù)據(jù)進(jìn)行分組并賦予負(fù)載值；另一方面，根據(jù)密碼服務(wù)請(qǐng)求中密碼算法和加解密模式的特點(diǎn)對(duì)數(shù)據(jù)分組進(jìn)行并行化處理標(biāo)記。在對(duì)待處理數(shù)據(jù)進(jìn)行分組和標(biāo)記后，通過(guò)本地調(diào)用轉(zhuǎn)發(fā)給密碼模塊并行調(diào)度部件。

接下來(lái)，密碼模塊并行調(diào)度部件將標(biāo)有并行化處理標(biāo)記的待處理數(shù)據(jù)分組，根據(jù)基于負(fù)載累計(jì)加權(quán)值的負(fù)載均衡調(diào)度方法，將當(dāng)前數(shù)據(jù)分組分配給累計(jì)負(fù)載最小的密碼模塊，并接收密碼模塊的響應(yīng)分組。根據(jù)密碼服務(wù)請(qǐng)求的標(biāo)記，密碼模塊并行調(diào)度部件對(duì)響應(yīng)分組進(jìn)行標(biāo)記，并交給密碼數(shù)據(jù)預(yù)處理部件。

最后，密碼數(shù)據(jù)預(yù)處理部件根據(jù)響應(yīng)分組的標(biāo)記，對(duì)響應(yīng)分組進(jìn)行排序和組裝，形成密碼服務(wù)響應(yīng)。密碼數(shù)據(jù)預(yù)處理部件將密碼服務(wù)響應(yīng)交給本地接口或網(wǎng)絡(luò)接口，最終返回給多接口密碼模塊并行調(diào)度的調(diào)用者。

本發(fā)明一種多接口密碼模塊并行調(diào)度的實(shí)現(xiàn)方法，通過(guò)本地接口/網(wǎng)絡(luò)接口接收密碼服務(wù)請(qǐng)求并發(fā)送密碼服務(wù)響應(yīng)，密碼數(shù)據(jù)預(yù)處理部件對(duì)待處理數(shù)據(jù)進(jìn)行分組、負(fù)載值賦予和并行化標(biāo)記并對(duì)響應(yīng)分組進(jìn)行排序和組裝形成密碼服務(wù)響應(yīng)，密碼模塊并行調(diào)度部件根據(jù)標(biāo)記按照基于負(fù)載累計(jì)加權(quán)值的負(fù)載均衡調(diào)度方法將當(dāng)前的請(qǐng)求分組分配給累計(jì)負(fù)載最小的密碼模塊并接收對(duì)應(yīng)的響應(yīng)分組。該方法一方面使用并行方法對(duì)多接口密碼模塊進(jìn)行統(tǒng)一調(diào)度提高系統(tǒng)加解密效率，另一方面提供本地和網(wǎng)絡(luò)接口方便在多用戶環(huán)境下使用。所述密碼數(shù)據(jù)預(yù)處理和并行化調(diào)度多密碼模塊的具體流程如下，