一种虚拟化环境下密码卡资源动态控制方法

一种虚拟化环境下密码卡资源动态控制方法
【技术领域】
[0001]本发明属于云计算技术领域，更具体地，涉及一种虚拟化环境下密码卡资源动态控制方法。
【背景技术】
[0002]虚拟化技术逐渐成为云计算中的核心技术，它提供了对物理服务器上资源最大化利用的一个切实可行的解决方案。另一方面，现在高性能的硬件设备价格昂贵，在没有虚拟化技术的前提下，这中昂贵的硬件设备，性能并没有得到最大程度上的利用。PC1-E密码设备就是其中的一种。
[0003]已有的专利发明已经给出了在虚拟化环境下，虚拟机中虚拟化PC1-E密码卡设备的方法，而且也成功实现了 PC1-E密码卡设备的虚拟化。这为本发明提供了基础。
[0004]然而，在这种PC1-E密码卡设备虚拟化方法中，存在两点不足。一是没有考虑到单台物理机上有多块PC1-E密码设备时该如何在多个DomU之间分配使用该物理密码卡，做到密码设备的负载均衡；二是对该物理密码的状态信息，包括各个PC1-E密码设备当前在为哪台虚拟化服务器服务、各个PC1-E密码设备加密解密的数据量等信息进行实时监控。

【发明内容】

[0005]针对现有发明技术的缺陷，本发明目的在于找出一种适应多服务器多加密卡的情况下，对密码卡资源的控制方法，能够将硬件加密卡资源动态的分配给虚拟化服务器。
[0006]为了实现上述目的，本发明提供了一种虚拟化环境下密码卡资源动态控制方法，包括如下步骤:
[0007](I)对硬件PC1-E密码卡设备，进行数据结构的封装，该封装的数据结构中包含了该硬件PC1-E密码卡设备的引用计数、累积加密数据量和累积解密数据量，以及绑定到该密码卡设备上的虚拟机序列；在单台物理服务器引导完成之后，加载驱动层的内核模块，完成该数据结构的初始化，建立硬件PC1-E密码卡设备序列Gi1, kfkn)，其中Ici表示第i块PC1-E密码卡，η表示硬件PC1-E密码卡设备的数量，并且把硬件PC1-E密码卡设备的累积加密数据量G1, e2,…，e”…，en)和累积解密数据量；(Cl1, d2,…，φ，..., dn)初始化为(O, O,…，…，O)，ejP d i分别表示第i块硬件PC1-E密码卡设备的累积加密数据量和累积解密数据量，η表示硬件PC1-E加密卡设备的数量，初始化硬件PC1-E加密卡设备的引用计数序列((^c2,…，Ci，…，cn)为(0，0，…，…，O)，其中Ci为第i块硬件PC1-E密码设备，你表示硬件PC1-E密码卡设备的数量；
[0008](2)在虚拟化服务器DomUi启动时，运行PC1-E密码卡资源分配算法，为该启动的虚拟化服务器分配并绑定一块硬件PC1-E密码卡设备；
[0009](3)虚拟化服务器DomUi启动之后，设根据PC1-E密码卡资源分配算法为其分配的硬件PC1-E密码卡设备为Ici，硬件PC1-E密码卡设备引用计数序列变为(C1, C2,…，Ci+1，…，cn)，将新的硬件PC1-E密码卡设备的引用计数序列和该绑定的虚拟机序列信息从该单台物理服务器上发送到需要监控的物理服务器；
[0010](4)记录物理PC1-E密码卡的资源累计加密数据量为(ei，e2,…，…，en)，在虚拟化服务器00!1^请求一次加密后，更新硬件PC1-E密码卡设备累计加密数据量为(e 1； e2,…，θ?+ρ,…，en)，其中P为设加密数据量；
[0011](5)记录物理PC1-E密码卡资源的累计解密数据量为(d” d2，…，φ，…，dn)，在虚拟化服务器DomUi请求一次解密后，更新硬件PC1-E密码卡设备累计解密数据量为(Cl1, d2,...，di+q,...，dn)，其中 q 为解密数据量;
[0012](6)在虚拟化服务器DomUi关机时，取消加密卡绑定，更新(c ” C2,...，Cj+1,...，cn)为(C1, c2,…，Ci,…，cn);但是该密码卡的加密数据量序列(e” e2,…，e^p,…，en)和解密数据量序列(屯，d2,…，di+q，…，dn)不变，同时将新的硬件PC1-E密码卡设备的引用计数序列和该绑定的虚拟机序列信息从该单台物理服务器上发送到需要监控的物理服务器；
[0013](7)驱动加载之后，在驱动层创建内核线程，负责实时将硬件PC1-E加密卡设备的引用计数序列、绑定的虚拟机序列和累积加密数据量和累积解密数据量发送给应用层。
[0014]通过本发明所构思的以上技术方案，与现有技术相比，本发明具有以下的有益效果:
[0015](I)、由于步骤(1)、步骤(2)和步骤(3)，本发明专利满足了在单台物理服务器上对多块硬件PC1-E密码卡设备动态地分配给虚拟化服务器，给出了一个负载均衡的解决方案。
[0016](3)、由于步骤(3)和步骤(6)，本发明给出了在多台物理服务器的情况下，对各台物理服务器上的硬件PC1-E加密卡与虚拟化服务器之间的绑定信息进行实时监控。
[0017](2)、由于步骤(4)和步骤(5)，本发明给出了对于多台物理服务器的情况下，对于各台物理服务器上的硬件PC1-E密码卡设备的累积加密和解密数据量进行实时的监控。
【附图说明】
[0018]图1为本发明实施例中单台服务器上多块密码卡设备动态绑定示意图；
[0019]图2为本发明实施例中多服务器情况下物理密码卡资源状态监控示意图。图中从服务器在实际情况中有多台。
【具体实施方式】
[0020]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0021]本发明提供了一种虚拟化环境下密码卡资源动态控制方法，该方法用于虚拟化平台下，包括Xen、KVM,VMWARE但不限于这三种虚拟化平台，在不同系统下均可行。具体地，所述方法包括如下步骤:
[0022](I)对硬件PC1-E密码卡设备，进行数据结构的封装，该封装的数据结构中包含了该硬件PC1-E密码卡设备的引用计数、累积加密数据量和累积解密数据量，以及绑定到该密码卡设备上的虚拟机序列。在单台物理服务器引导完成之后，加载驱动层的内核模块，完成该数据结构的初始化，建立硬件PC1-E密码卡设备序列Gi1, lv..kn)，其中Iii表示第i块PC1-E密码卡，并且把硬件PC1-E密码卡设备的累积加密数据量(ei，e2,…，e”…，en)和累积解密数据量((I1, d2,…，(Ii,…，dn)初始化为(O, O,…，…，O), ejP (^分别表不第i块硬件PC1-E密码卡设备的累积加密数据量和累积解密数据量。
[0023]具体地，在驱动层的实现上，采用内核链表保存硬件加密卡的数据结构。
[0024](2)在虚拟化服务器DomUi启动时，运行PC1-E密码卡资源分配算法，为该启动的虚拟化服务器分配并绑定一块硬件PC1-E密码卡设备。
[0025]如图1所示，为本发明实施例中单台服务器上多块密码卡设备动态绑定示意图。图中所示为DomO中只有两块PC1-E密码卡的情形。途中实线表示在虚拟机启动时动态绑定的加密卡，虚线表示系统管理员指定的绑定关系。图中所示表示为DomUl和DomUk+1分配两块密码卡。
[0026]具体地，PC1-E密码卡资源绑定具体步骤为:
[0027](2.1)搜寻硬件PC1-E密码设备引用计数序列(C1, C2,…，C」,…，cn)，其中C」表示第j块密码卡的引用计数，找到最小的引用计数Ci，PC1-E密码卡资源分配算法本次运行所选择出的硬件PC1-E密码卡设备为Iv
[0028](2.2)更新硬件PC1-E密码卡设备的引用计数序列(C1, C2，…，Ci+1，…，cn)，并且将需要绑定硬件PC1-E密码卡设备匕的虚拟化服务器DomU ,加入到k i的虚拟机列表中。
[0029](3)虚拟化服务器0011^启动之后，根据PC1-E密码卡资源分配算法，为其分配的硬件PC1-E密码卡设备为Ici，硬件PC1-E密码卡设备引用计数序列变为(C1, C2,…，Ci+1，…，cn)。此时硬件PC1-E密码卡状态已经发生改变，将新的硬件PC1-E密码卡设备的引用计数序列和该绑定的虚拟机序列信息从该单台物理服务器上发送到需要监控的物理服务器。
[0030](4)虚拟化服务器启动之后，系统管理员可以根据虚拟化服务器的业务需求为虚拟化服务器另外再指派虚加密卡。系统管理员在在监控服务器上为指定的虚拟机选择添加硬件PC1-E密码卡设备，该添加指令(DomUi, η)，表示为虚拟化服务器DomUi添加η块硬件PC1-E密码卡设备。虚拟机所在单台物理服务器接收到该指令后，将其传递至驱动层。驱动层执行密码卡指派算法。
[0031]具体地，密码卡指派算法:
[0032](4.1)驱动层接收到(DomUi, η