本發明提供一種實現虛擬機中訪問PCI密碼卡的方法及裝置，所述方法包括如下步驟：S1.為服務器配置PCI密碼卡的硬件軟件環境，安裝PCI密碼卡及其設備驅動，將環境配置完成的服務器作為宿主機，并設置宿主機開啟CPU虛擬化；S2.在宿主機安裝qemu工具，并為qemu工具配置kvm模塊、crypto密碼模塊、virtio虛擬IO模塊及virtio后端驅動；S3.通過qemu工具創建鏡像，并啟動虛擬機，在虛擬機安裝virtio前端驅動；S4.虛擬機中應用通過virtio前端驅動與宿主機中virtio后端驅動建立連接，再通過PCI密碼卡設備驅動訪問宿主機PCI密碼卡進行加解密的加速。

技術領域

本發明屬于信息安全技術領域，具體涉及一種實現虛擬機中訪問PCI密碼卡的方法及裝置。

背景技術

kvm-qemu，是一種linux系統下的虛擬化方案，kvm是linux內核提供的虛擬化架構，qemu是一個主機上的虛擬機控制器。

virtio，是虛擬IO半虛擬化技術。

密碼卡作為信息安全領域重要的基礎設備，提供了一系列的信息安全基礎功能，例如真隨機數的生成、數據的加密解密、文件的簽名驗簽、密碼的生成和安全存儲，通過搜集環境物理噪聲生成的真隨機數具有更高的安全性，基于硬件的加解密操作能夠提供更快的速度，相較于基于軟件的實現，密碼卡能夠提供更安全、可靠、高性能的密碼運算服務，在一些關鍵的安全領域，例如CA系統、秘鑰管理系統、VPN安全網關起到重要作用，廣泛應用于政府、銀行、證券、電子商務、電信等行業，PCI密碼卡是一種通過PCI/PCIe接口連接到計算機主板的密碼卡。

在信息安全領域，涉及到關鍵密碼計算的服務，一般需要部署到安裝有密碼卡設備的物理服務器上，因為這些密碼計算依賴于密碼卡設備，這就增加了設備采購和運維成本。雖然當前已經有基于全虛擬化技術實現的在虛擬機中訪問PCI密碼卡的方案，但是由于全虛擬化技術中涉及到數據傳輸鏈路長，數據在虛擬機和宿主機之間傳輸過程中拷貝次數多，導致虛擬機內部訪問宿主機PCI密碼卡設備IO性能損耗嚴重。

此為現有技術的不足，因此，針對現有技術中的上述缺陷，提供一種實現虛擬機中訪問PCI密碼卡的方法及裝置，是非常有必要的。

發明內容

針對現有技術的上述虛擬機中訪問PCI密碼卡采用全虛擬化技術導致數量鏈路長，數據在虛擬機和宿主機之間傳輸過程中拷貝次數多，導致虛擬機內部訪問宿主機PCI密碼卡設備IO性能損耗嚴重的缺陷，本發明提供一種實現虛擬機中訪問PCI密碼卡的方法及裝置，以解決上述技術問題。

第一方面，本發明提供一種實現虛擬機中訪問PCI密碼卡的方法，包括如下步驟：

S1.為服務器配置PCI密碼卡的硬件軟件環境，安裝PCI密碼卡及其設備驅動，將環境配置完成的服務器作為宿主機，并設置宿主機開啟CPU虛擬化；

S2.在宿主機安裝qemu工具，并為qemu工具配置kvm模塊、crypto密碼模塊、virtio虛擬IO模塊及virtio后端驅動；

S3.通過qemu工具創建鏡像，并啟動虛擬機，在虛擬機安裝virtio前端驅動；

S4.虛擬機中應用通過virtio前端驅動與宿主機中virtio后端驅動建立連接，再通過PCI密碼卡設備驅動訪問宿主機PCI密碼卡進行加解密的加速。

進一步地，步驟S1具體步驟如下：

S11.將PCI密碼卡安裝到服務器的PCI或者PCIe插槽；

S12.在服務器安裝linux操作系統及PCI密碼卡設備驅動；

S13.將配置完成PCI密碼卡硬件軟件環境的服務器作為宿主機；

S14.檢查宿主機是否開啟CPU虛擬化；