本發明公開了一種服務器加解密刀片、系統及加解密方法，所述加解密刀片包括：若干個用于對數據進行加解密處理的硬件加解密模塊；與若干個硬件加解密模塊均連接的PCIe Switch芯片；所述硬件加解密模塊支持I/O虛擬化標準SR?IOV，并通過PCIe插槽與所述PCIe Switch芯片連接；所述硬件加解密模塊上包括用于進行數據加解密的加解密資源。本發明的加解密刀片可以提供更容量的加解密資源，可實現X86計算刀片與加解密刀片及其內部模塊之間的全交叉連接，每個硬件加解密模塊的一個物理加解密功能可以虛擬化為數百個邏輯的加解密功能，極大地方便了加解密資源的靈活調度和共享。

技術領域

本發明涉及數據加解密技術領域，具體涉及一種服務器加解密刀片、系統、及加解密方法。

背景技術

目前使用的云計算服務器，一般都是通過純軟件，或者在服務器PCIe插槽內插入硬件加解密加速卡，完成應用所需要的加解密功能。在現有技術中采用純軟件實現加解密，主要是通過執行X86指令完成，如圖1所示。加解密指令與數據，均保存在DDR中，X86核運行軟件指令，完成DDR中數據的加解密，結果也保存在DDR中。通過使用Intel提供的增強技術，采用純軟件實現加解密，能夠滿足較低容量的加解密需求。

但是，如果加解密流量更高，則需要通過硬件實現加解密，即使用硬件加解密加速卡，如圖1所示。但是這種結構存在如下問題：1.盡管Intel通過SIMD、超線程、亂序執行、專用指令集擴展等技術，提高了數據處理的并行度，但軟件指令串行執行的本質，使得最終獲得的數據處理并行度并不高，因此實現加解密被效率低下。2.由于在微架構設計中大量采用了運算部件共享、Cache共享、分支預測、超線程等設計方法，使得CPU和整個處理器系統中存在大量信息泄露的側信道存在。而云計算環境，多虛擬機共享一套物理執行資源，提升計算資源利用率的同時，因為無法避免側信道攻擊，作為信息安全基礎保障的加解密本身，也面臨極其嚴重的安全問題。3. PCIe擴展卡，需要插入服務器的PCIe插槽，且只能被本服務器上的應用程序使用，無法被多個服務器或刀片共享，不方便云計算環境靈活調度加解密資源。

因此，現有技術還有待于改進和發展。

發明內容

本發明要解決的技術問題在于，針對現有技術的上述缺陷，提供一種服務器加解密刀片、系統及加解密方法，旨在解決現有技術中的加解密刀片效率低下、面臨安全問題以及硬件加解密加速卡不方便擴展、不支持共享等問題。

本發明解決技術問題所采用的技術方案如下：

一種服務器加解密刀片，其中，所述加解密刀片包括：若干個用于對數據進行加解密處理的硬件加解密模塊；與若干個硬件加解密模塊均連接的PCIe Switch芯片；

所述硬件加解密模塊支持I/O虛擬化標準的單根I/O虛擬化，并通過PCIe 插槽與所述PCIe Switch芯片連接；

所述硬件加解密模塊上包括用于進行數據加解密的加解密資源。

優選地，所述的服務器加解密刀片，其中，所述PCIe Switch芯片支持I/O虛擬化標準的多根I/O虛擬化。

優選地，所述的服務器加解密刀片，其中，所述加解密刀片中還包括監控管理模塊，所述監控管理模塊與若干個硬件加解密模塊均連接，且用于對加解密刀片中的模塊電源、模塊運行狀態進行監控。

優選地，所述的服務器加解密刀片，其中，所述加解密刀片支持熱插拔。

一種服務器加解密系統，其中，所述服務器加解密系統包括：加解密刀片；與所述加解密刀片通過PCIe 插槽連接的刀片服務器背板；與所述刀片服務器背板通過PCIe 插槽連接的若干個X86計算刀片。