一种分布式加密系统的制作方法
【专利摘要】本实用新型提供了一种分布式加密系统,包括多个用于执行加密任务且相互级联的工作节点;其中,至少一个工作节点与主机相连接,用于接收主机分配的加密任务;每个工作节点能执行至少一个加密任务并可将其余未执行的加密任务发送到与其相连的其他工作节点。采用本实用新型的技术方案,能迅速将加密任务分配至各个工作节点,加密任务在各个工作节点中近乎同时执行,从而大大提高了加密速度,降低延时时间,使加密性能大大提升。
【专利说明】一种分布式加密系统
【技术领域】
[0001]本实用新型涉及一种加密设备,尤其涉及一种分布式加密系统和加密加速器。
【背景技术】
[0002]加密系统广泛应用于各种需要大量数据运算的应用场合。在大多数这种应用中,比如数据存储和网络传输,处理速度和延迟都会影响加密性能。而随着数字处理技术的飞速发展,元器件及其构成的系统的处理速度越来越快,加密系统的性能就变得更加重要。而现有技术中的加密系统,延迟问题非常严重。
[0003]故,针对目前现有技术中存在的上述缺陷,实有必要进行研究,以提供一种方案,以解决现有技术中存在的缺陷,从而进一步提高加密系统的性能并降低延时时间。
【发明内容】
[0004]为了克服上述现有技术的缺陷,本实用新型提供了一种具有多个能够执行加密算法的工作节点的分布式加密系统,其中至少一个工作节点与外部主机相连接,并接收主机分配的加密任务。每个工作节点执行一个或多个加密任务,并能将其余的加密任务分配给其他工作节点。
[0005]为解决现有技术存在的问题,本实用新型的技术方案为:
[0006]一种分布式加密系统,包括多个用于执行加密任务且相互级联的工作节点;其中,至少一个工作节点与主机相连接,用于接收主机分配的加密任务;
[0007]每个工作节点能执行至少一个加密任务并可将其余未执行的加密任务发送到与其相连的其他工作节点。
[0008]优选地,所述工作节点保存并及时更新其下级工作节点的工作标志位,并根据该标志位分配合适数量的加密任务。
[0009]优选地,所述工作节点包括设备接口、本地工作站以及至少一个级联接口 ;所述设备接口与本地工作站和级联接口相连接,用于接收加密任务;
[0010]所述本地工作站用于执行加密任务;
[0011 ] 所述级联接口用于级联其他工作节点。
[0012]优选地,所述工作节点间的级联方式为串行或者并行。
[0013]优选地,所述设备接口 为 PCIe、SATA、USB、SAS, IEEE1394、SD、eMMC 或 SPI 接口中的任一种。
[0014]优选地,所述工作节点还包括微处理器和数据缓冲器,所述数据缓冲器用于缓存所述设备接口接收到加密任务;所述微处理器与设备接口、本地工作站、数据缓冲器以及级联接口相连接,用于分配所述数据缓冲器中的加密任务。
[0015]优选地,所述本地工作站包括多个并接用于执行加密任务的工作单元,每个工作单元能并行执行加密任务。
[0016]优选地,所述工作单元包括任务缓冲器、加密模块和结果缓冲器,所述加密模块与任务缓冲器和结果缓冲器相连接,对存储在所述任务缓冲器中的数据执行加密操作,并将加密后的结果存储在所述结果缓冲器。
[0017]优选地,所述加密模块中执行的加密算法为对称密钥加密算法、公开密钥加密算法或哈希算法中的任一种。
[0018]优选地,所述对称密钥加密算法为AES-128算法,AES-256算法,DES算法或tripleDES算法中的任一种;所述哈希加密算法为SHA-1算法,SHA-2算法,SHA-3算法或MD5算法中的任一种;公开密钥加密算法为Diffie-Hellman算法,RSA算法,DSA算法或ECC算法中的任一种。
[0019]与现有技术相比,本实用新型的有益效果如下:通过多个相互级联的工作节点,能迅速将加密任务分配至各个工作节点,加密任务在各个工作节点中近乎同时执行,从而大大提高了加密速度,降低延时时间,使加密性能大大提升。
【专利附图】
【附图说明】
[0020]图1是本实用新型分布式加密系统实施方式一的原理框图;
[0021]图1a是本实用新型实施例分布式加密系统的应用实例;
[0022]图2是本实用新型分布式加密系统中工作节点实施方式一的原理框图;
[0023]图2a是本实用新型分布式加密系统中工作节点实施方式二的原理框图;
[0024]图3是本实用新型分布式加密系统实施方式二的原理框图;
[0025]图4是本实用新型分布式加密系统实施方式三的原理框图;
[0026]图5是本实用新型分布式加密系统中工作节点实施方式三的原理框图;
[0027]图6是本实用新型分布式加密系统中本地工作站的原理框图;
[0028]图6a是本实用新型分布式加密系统中工作单元的原理框图。
【具体实施方式】
[0029]为了使本实用新型的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本实用新型进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本实用新型,并不用于限定本实用新型。
[0030]相反,本实用新型涵盖任何由权利要求定义的在本实用新型的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本实用新型有更好的了解,在下文对本实用新型的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本实用新型。
[0031]本实用新型的分布式加密系统由多个工作节点组成,每一个工作节点都可以执行加密任务。如果工作节点处于“忙”状态下,能将其他未执行的加密任务发送给其他工作节点。下面将结合附图详细说明。
[0032]参见图1,所示为本实用新型分布式加密系统的实施方式一的原理框图。分布式加密系统I通过接口 6与外部主机2连接,包括X个工作节点4,分别为工作节点4-1到4-X,其中X为整数。
[0033]至少有一个工作节点4通过接口 6与主机2连接,这里将与主机连接的工作节点4称为主工作节点,与前级工作节点相连且与后级工作节点相连的工作节点称为路由工作节点,仅与前级工作节点相连相连的工作节点称为终端工作节点,需要说明的是,主工作节点、路由工作节点以及终端工作节点在原理结构上可以完全一样。主工作节点与主机通信并接收加密任务以及与加密任务相关的数据,保留至少一个加密任务由本节点处理或者保留最多个本节点能立即处理的加密任务,并将其余的加密任务传送到与其相连的其他工作节点(路由工作节点或者终端工作节点)。路由工作节点执行与主工作节点相同的操作,而终端工作节点仅执行加密任务。主工作节点和路由工作节点根据接收到的加密任务的数量和本身包含的工作节点数量判断自身需要执行的操作。工作节点在所能承担的加密的任务上执行加密算法的期间,其余的加密任务已流到所级联的其他工作节点上。采用上述方式,每一个工作节点都会收到至少一个加密任务,执行加密算法,在此并不对加密/解密算法做任何限定。因此,通过这种方式分配加密任务到各个工作节点,加密任务的执行至少在一定程度上是并行(或本质上是同时进行的)。由此带来了加密性能和效果得到了提高。这是因为,一个工作节点在执行一个或多个加密任务的同时,其余的加密任务已经被该工作节点发送到其它有能力立即执行加密任务的工作节点,各个工作节点几乎是同时执行加密任务。
[0034]由上所述的加密系统I能在很多领域得到应用。例如用于银行保证交易安全的加密加速器卡。在大多数应用中,主机2是任务的发起者,而加密系统I是加密任务的执行者。
[0035]在本实用新型的一个优选实施方式中,接口 6是能与总线兼容的USB接口或者是PCIe接口,或者其他任意适用的总线接口。主机2可以是PC、SUN服务器、IBM主机等。参加图la,所示为本实用新型实施例分布式加密系统I的一个应用实例。分布式加密系统I应用在银行系统3中,银行系统3相当于图1中的主机2。银行系统3包括多个用户7,比如银行收纳员与银行职工。每一个用户7都需要通过与银行服务器8的数据通信才能执行各种银行交易。
[0036]参见图la,服务器8与分布式加密系统I连接,通过工作节点4_1与服务器8进行数据通信。工作节点4-1接收所有由用户7发起的加密任务,然后执行一个或多个接收到的加密任务,并将其余未执行的加密任务分配给与其相连的工作节点4-2,工作节点4-2执行与工作节点4-1相同的操作,以此类推。参见图2,所示为本实用新型分布式加密系统I中工作节点实施方式一的原理框图。工作节点4包括设备接口 11、本地工作站10和级联接口 13,其中,设备接口 11分别与本地工作站10和级联接口 13相连接。当然任一个工作节点的设备接口 11可与其前一级工作节点的级联接口 13相连接。虽然图1a中未显示,但是根据图1可知,设备接口 11也可与外部主机2连接。
[0037]在本实用新型的一种优选实施方式中,设备接口 11可以是适用不同工业标准的标准计算机接口,包括但不仅限于PCIE、SATA, USB、SAS、IEEE1394、SD、eMMC、SPI等标准接□。
[0038]设备接口 11从主机2接收加密任务并将其发送到本地工作站10,在本地工作站10 “空闲”的状态下可执行其他加密任务,否则将加密任务转发至级联接口 13,通过级联接口 13将加密任务发送到其他工作节点。图2中未显示,级联接口 13与相连的工作节点4的设备接口相连接。在本地工作站10 “忙”的状态下,级联接口 13将加密任务及相关的数据传送到与其相连的其他工作节点,从而实现加密任务的加速执行。因此,在本实用新型实施例的分布式加密系统I中,由主机2发起的加密任务具有更高的执行速度。[0039]在这里需要说明,加密任务包括但不仅局限于对称加密/解密、数字签名、数字证书、哈希算法、非对称加密/解密。在分布式加密系统中工作节点的数量取决于由主机2发起的加密任务的数量和主机2要求达到的吞吐量。
[0040]参见图2a,所示为本实用新型分布式加密系统I中工作节点的实施方式二。工作节点4a包括m个级联接口 13,分别是13-1到13-m,其中m为正整数。级联接口 13_1到13-m均与设备接口 11相连接。本地工作站10不仅与级联接口 13-1到13_m连接还与设备接口 11相连接。
[0041]设备接口 11将通过接口 6接收到的加密任务及其相关数据(加密任务由主机生成)可发送至m个工作节点。工作节点4a与工作节点4在原理上是类似的,只是工作节点4a有m个级联接口 13-1到13_m,可以同时与m个工作节点通信。
[0042]由于一个工作节点可以同时与m个工作节点通信,这样使得来自于主机的加密任务及相关的数据可以更快速的转移到其它工作节点。从而大大提高了分布式加密系统I的性能。
[0043]在本实用新型的一种优选实施方式中,连接m个级联接口 13的设备接口 11以及主工作节点的设备接口 11的处理速度比其他工作节点的接口要快几个数量级。这是因为主工作节点在与主机通信的过程中必须保证有足够的处理速度接受所有加密任务,而其余工作节点通常没有这么高的处理速度要求。在本实用新型的优选实施方式中,设备接口 11可以是PCIe兼容设备控制器,也可以是USB兼容设备控制器,接口 6可以是PCIe兼容总线,也可以是USB兼容总线,级联接口 13可以是PCIe兼容主机控制器,也可以是USB兼容主机控制器。
[0044]参见图3,所示为本实用新型分布式加密系统实施方式二的原理框图,其中工作节点采用图2所示的工作节点4。分布式加密系统I包括X个工作节点分别为4-1到4-X,相互之间采用串行级联的方式连接。工作节点4-1通过接口 6接收来自于主机的加密任务及相关的数据,工作节点4-1与工作节点4-2串行连接,以此类推。工作节点4-1中的本地工作站10执行至少一个加密任务,并将其余的任务通过级联接口 13转发至工作节点4-2。工作节点4-2通过自身的设备接口 11-2接收其余的加密任务并执行至少一个加密任务,再将其余的加密任务通过级联接口转发至另一个工作节点,以此类推。
[0045]在本实用新型的一种优选实施方式中,工作节点4-1中保存所有级联工作节点4的工作标志位,工作标志位至少包括“空闲”或“忙”状态,并根据工作标志位发送合适数量的加密任务到级联接口,尽量保证让所有处于“空闲”状态的工作节点执行加密任务。
[0046]参见图4,所示为本实用新型分布式加密系统实施方式三的原理框图,其中工作节点采用图2a所示的工作节点4a。分布式加密系统I包括多个工作节点4a,以并行的方式相互级联。工作节点4a通过接口 6接受来自于主机的加密任务及相关的数据。
[0047]工作节点4a通过自身级联接口 13-1到13_m与m个工作节点4a_l到4a_m相连接,同样,工作节点4a-l至4a-m中任一个都能与m个工作节点4a_l_l到4a-l_m相连接,以此类推。工作节点4a在本地工作站10执行一个或多个加密任务并将其余的加密任务转发至4a-l到4a-m。工作节点4a_l至4a_m同样也执行一个或多个接收到的加密任务并将其余的加密任务发送到工作节点4a-l_l到4a-l_m,以此类推。工作节点4a以并行方式相互级联,减少了加密任务在工作节点4a间的传播,进一步提高了分布式加密系统I的性能。[0048]在本实用新型的一种优选实施方式中,对任一个工作节点而言,前级工作节点中级联接口 13就相当于主机或任务发起者,同样,相对于其下一级工作节点,该工作节点也相当于主机或任务发起者,以此类推,直至没有更多的加密任务需要执行。工作节点中的设备接口 11对于前级工作节点来说相当于任务的执行者。例如,图3所示的实施方式中,工作节点4-1对于下一个工作节点4-2来说相当于主机,以此类推。设备接口 11-2相对于前级工作节点4-1中的设备接口 11-1来说相当于任务执行者。
[0049]在本实用新型的一种优选实施方式中,一旦工作节点完成它的加密任务,它就会将标志位和加密任务的结果信息回发至最初发送任务的工作节点。也就是说如果完成加密任务的工作节点和最初发送任务的工作节点之间还存在其他工作节点,那么标志位和加密任务的结果信息将会经过中间工作节点再传送至最初的工作节点,最后会回发到主机2上。
[0050]参见图4,工作节点4a-l_m回发标志位和结果信息至工作节点4a_l,然后工作节点4a_l再回发至工作节点4a,工作节点4a再将其回发至主机2或者打包多个加密任务的结果信息和标志位后再回发至主机2。
[0051]在本实用新型的一种优选实施方式中,工作节点4a保存所有级联工作节点的工作标志位,并根据工作标志位向级联工作节点发送合适数量的加密任务以保证处于“空闲”状态下的工作节点执行加密任务。
[0052]在本实用新型的一种优选实施方式中,能够存在足够数量的工作节点4a以满足分布式加密系统I所需的加密性能,同时并不需要所有级联接口 13都连接另一个工作节点
4a0
[0053]参见图5,所示为本实用新型分布式加密系统中工作节点的实施方式三的原理框图。工作节点4b进一步包括数据缓冲器12和微处理器15。数据缓冲器12与设备接口 11、本地工作站10、微处理器15以及级联接口 13-1至13-m相连接。数据缓冲器12用于接收主机的加密任务及其相关的数据并进行相应任务处理,发送其余任务至下一个工作节点。微处理器15与设备接口 11、本地工作站10、数据缓冲器12以及级联接口 13-1至13_m相连接。微处理器15管理不同结构工作节点4b中的任务流分配,并负责与其他工作节点的通信。
[0054]参见图6,所示为本实用新型分布式加密系统中本地工作站的原理框图。本地工作站10由多个并行连接的工作单元20元组成,并行方式使多个工作单元20能同时执行加密任务,从而能够加速执行主机分配的加密任务,大大提升了加密系统的性能。
[0055]在本实用新型的一种优选实施方式中,本地工作站可以同时执行多个加密任务。
[0056]参见图6a,所示为本实用新型分布式加密系统中工作单元的原理框图。工作单元20包括任务缓冲器22、加密模块24和结果缓冲器26。任务缓冲器22与加密模块24连接,加密模块24与结果缓冲器26连接。加密模块24对存储在任务缓冲器22中的数据执行加密操作,并将加密后的结果存储在结果缓冲器26。
[0057]在本实用新型的一种优选实施方式中,本地工作站10执行加密操作包括但不仅局限于对称密钥加密算法、公开密钥加密算法、哈希算法等。典型的对称密钥加密算法包括但不仅局限于AES-128算法,AES-256算法,DES算法及tripleDES算法等。哈希加密算法包括但不仅局限于SHA-1算法,SHA-2算法,SHA-3算法及MD5算法等。公开密钥加密包括但不仅局限于Diffie-Hellman算法,RSA算法,DSA算法及ECC算法等。本地工作站10,工作单元20或加密模块24都可以执行主机所要求的任何加密功能。
[0058]以上所述仅为本实用新型的较佳实施例而已,并不用以限制本实用新型,凡在本实用新型的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本实用新型的保护范围之内。
【权利要求】
1.一种分布式加密系统,其特征在于,包括多个用于执行加密任务且相互级联的工作节点;其中,至少一个工作节点与主机相连接,用于接收主机分配的加密任务; 每个工作节点能执行至少一个加密任务并可将其余未执行的加密任务发送到与其相连的其他工作节点。
2.根据权利要求1所述的分布式加密系统,其特征在于,所述工作节点保存并及时更新其下级工作节点的工作标志位,并根据该标志位分配合适数量的加密任务。
3.根据权利要求1或2所述的分布式加密系统,其特征在于,所述工作节点包括设备接口、本地工作站以及至少一个级联接口 ;所述设备接口与本地工作站和级联接口相连接,用于接收加密任务; 所述本地工作站用于执行加密任务; 所述级联接口用于级联其他工作节点。
4.根据权利要求3所述的分布式加密系统,其特征在于,所述工作节点间的级联方式为串行或者并行。
5.根据权利要求3所述的分布式加密系统,其特征在于,所述设备接口为PCIe、SATA、USB、SAS、IEEE 1394、SD、eMMC 或 SPI 接口中的任一种。
6.根据权利要求3所述的分布式加密系统,其特征在于,所述工作节点还包括微处理器和数据缓冲器,所述数据缓冲器用于缓存所述设备接口接收到加密任务;所述微处理器与设备接口、本地工作站、数据缓冲器以及级联接口相连接,用于分配所述数据缓冲器中的加密任务。
7.根据权利要求3所述的分布式加密系统,其特征在于,所述本地工作站包括多个并接用于执行加密任务的工作单元,每个工作单元能并行执行加密任务。
8.根据权利要求7所述的分布式加密系统,其特征在于,所述工作单元包括任务缓冲器、加密模块和结果缓冲器,所述加密模块与任务缓冲器和结果缓冲器相连接,对存储在所述任务缓冲器中的数据执行加密操作,并将加密后的结果存储在所述结果缓冲器。
9.根据权利要求8所述的分布式加密系统,其特征在于,所述加密模块中执行的加密算法为对称密钥加密算法、公开密钥加密算法或哈希算法中的任一种。
10.根据权利要求9所述的分布式加密系统,其特征在于,所述对称密钥加密算法为AES-128算法,AES-256算法,DES算法或triple DES算法中的任一种;所述哈希加密算法为SHA-1算法,SHA-2算法,SHA-3算法或MD5算法中的任一种;公开密钥加密算法为Diffie-Hellman算法,RSA算法,DSA算法或ECC算法中的任一种。
【文档编号】H04L29/06GK203786722SQ201420200878
【公开日】2014年8月20日 申请日期:2014年4月23日 优先权日:2014年4月23日
【发明者】樊凌雁, 王时, 楚传仁 申请人:杭州电子科技大学