數據傳輸控制方法、密鑰管理方法、配置方法及相關裝置，其中，所述數據傳輸控制方法適于直接存儲訪問控制裝置控制第一存儲裝置和外設之間的數據傳輸，所述第一存儲裝置適于存儲加密虛擬機的加密數據，所述數據傳輸控制方法包括：獲取來自安全處理裝置響應于直接存儲訪問傳輸發起請求所配置的密鑰控制信息并存儲；獲取所述加密虛擬機配置的直接存儲訪問傳輸控制信息；根據所述直接存儲訪問傳輸控制信息，獲取相應的密鑰控制信息，并根據數據傳輸方向，控制密鑰處理裝置對所述第一存儲裝置和所述外設之間傳輸的數據通過所述密鑰控制信息進行處理。

技術領域

本發明實施例涉及數據安全技術領域，尤其涉及一種數據傳輸控制方法、密鑰管理方法、配置方法及相關裝置。

背景技術

主機操作系統可以運行多個虛擬機，且主機操作系統可以隨意查看虛擬機內存。然而，一旦主機被劫持，在內存加密技術出現之前，客戶虛擬機數據有潛在的泄露風險。于是，CPU芯片廠商提出虛擬機加密技術來彌補該風險。具體而言，在CPU芯片架構上，引入內存加密技術，不同的虛擬機可以配置屬于虛擬機自己的加密密鑰，而主機操作系統并不知道當前所運行的虛擬機的內存加密密鑰，進而無法窺視虛擬機內的客戶數據。另外，引入安全處理器(Platform Secure Processor，PSP)來管理虛擬機密鑰，主機操作系統啟動加密虛擬機時，通知所述安全處理器為待啟動的虛擬機配置專有內存加密密鑰。加密虛擬機本身在運行過程中，其內存都是通過硬件進行加密，主機操作系統無法破解并讀取虛擬機數據。

為提高CPU的利用率，還引入了直接存儲訪問(Direct Memory Access，DMA)技術，DMA技術是不通過CPU而直接與系統內存交換數據的接口技術。加密虛擬機需要與DMA外部設備(簡稱外設，比如網卡等)進行交互，而外設傳輸所需的數據是明文，無須加密，如果外設直接通過DMA傳輸加密的虛擬機內存數據，則無法處理客戶正常業務。

目前，在處理加密虛擬機與外設進行DMA數據交互時，一般采用回彈緩沖區(Bounce Buffer)機制，即加密虛擬機另外分配一塊普通內存，即非加密內存作為DMA傳輸的臨時內存，DMA控制裝置可以直接訪問所述普通內存。

然而，DMA技術本身是為了避免CPU的內存復制而引入的，而上述加密虛擬機回彈緩沖區機制需要CPU在普通內存與加密虛擬機內存之間做復制，頻繁的CPU內存復制，大大降低了加密虛擬機的性能。

發明內容

針對上述問題，本發明實施例提供一種數據傳輸控制方法、密鑰管理方法、配置方法及相關裝置，能夠提高加密虛擬機的性能。

首先，本發明實施例提供了一種數據傳輸控制方法，適于直接存儲訪問控制裝置控制第一存儲裝置和外設之間的數據傳輸，所述第一存儲裝置適于存儲加密虛擬機的加密數據，所述數據傳輸控制方法包括：

獲取來自安全處理裝置響應于直接存儲訪問傳輸發起請求所配置的密鑰控制信息并存儲；

獲取所述加密虛擬機配置的直接存儲訪問傳輸控制信息；

根據所述直接存儲訪問傳輸控制信息，獲取相應的密鑰控制信息，并根據數據傳輸方向，控制密鑰處理裝置對所述第一存儲裝置和所述外設之間傳輸的數據通過所述密鑰控制信息進行處理。

可選地，所述直接存儲訪問控制裝置包括第二存儲裝置，所述方法還包括：

對所述第一存儲裝置和所述外設之間傳輸的數據進行緩存處理。

可選地，所述獲取來自安全處理裝置響應于直接存儲訪問傳輸發起請求所配置的密鑰控制信息并存儲，包括：

獲取來自所述安全處理裝置響應于所述加密虛擬機發送的直接存儲訪問傳輸發起請求所配置的密鑰控制信息并存儲；

所述根據數據傳輸方向，控制密鑰處理裝置對所述第一存儲裝置和所述外設之間傳輸的數據通過所述密鑰控制信息進行處理，包括：