一种服务器加解密刀片、系统、及加解密方法与流程

本发明涉及数据加解密技术领域，具体涉及一种移服务器加解密刀片、系统、及加解密方法。

背景技术：

目前使用的云计算服务器，一般都是通过纯软件，或者在服务器pcie插槽内插入硬件加解密加速卡，完成应用所需要的加解密功能。在现有技术中采用纯软件实现加解密，主要是通过执行x86指令完成，如图1所示。加解密指令与数据，均保存在ddr中，x86核运行软件指令，完成ddr中数据的加解密，结果也保存在ddr中。通过使用intel提供的增强技术，采用纯软件实现加解密，能够满足较低容量的加解密需求。

但是，如果加解密流量更高，则需要通过硬件实现加解密，即使用硬件加解密加速卡，如图1所示。但是这种结构存在如下问题：1.尽管intel通过simd、超线程、乱序执行、专用指令集扩展等技术，提高了数据处理的并行度，但软件指令串行执行的本质，使得最终获得的数据处理并行度并不高，因此实现加解密被效率低下。2.由于在微架构设计中大量采用了运算部件共享、cache共享、分支预测、超线程等设计方法，使得cpu和整个处理器系统中存在大量信息泄露的侧信道存在。而云计算环境，多虚拟机共享一套物理执行资源，提升计算资源利用率的同时，因为无法避免侧信道攻击，作为信息安全基础保障的加解密本身，也面临极其严重的安全问题。3.pcie扩展卡，需要插入服务器的pcie插槽，且只能被本服务器上的应用程序使用，无法被多个服务器或刀片共享，不方便云计算环境灵活调度加解密资源。

因此，现有技术还有待于改进和发展。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种服务器加解密刀片、系统及加解密方法，旨在解决现有技术中的加解密刀片效率低下、面临安全问题以及硬件加解密加速卡不方便扩展、不支持共享等问题。

本发明解决技术问题所采用的技术方案如下：

一种服务器加解密刀片，其中，所述加解密刀片包括：若干个用于对数据进行加解密处理的硬件加解密模块；与若干个硬件加解密模块均连接的pcieswitch芯片；

所述硬件加解密模块支持i/o虚拟化标准的单根i/o虚拟化，并通过pcie插槽与所述pcieswitch芯片连接；

所述硬件加解密模块上包括用于进行数据加解密的加解密资源。

优选地，所述的服务器加解密刀片，其中，所述pcieswitch芯片支持i/o虚拟化标准的多根i/o虚拟化。

优选地，所述的服务器加解密刀片，其中，所述加解密刀片中还包括监控管理模块，所述监控管理模块与若干个硬件加解密模块均连接，且用于对加解密刀片中的模块电源、模块运行状态进行监控。

优选地，所述的服务器加解密刀片，其中，所述加解密刀片支持热插拔。

一种服务器加解密系统，其中，所述服务器加解密系统包括：加解密刀片；与所述加解密刀片通过pcie插槽连接的刀片服务器背板；与所述刀片服务器背板通过pcie插槽连接的若干个x86计算刀片。

优选地，所述的服务器加解密系统，其中，所述加解密刀片包括：若干个用于对数据进行加解密处理的硬件加解密模块；与若干个硬件加解密模块均连接的pcieswitch芯片；与若干个硬件加解密模块均连接的监控管理模块；所述监控管理模块用于对加解密刀片中的模块电源、模块运行状态进行监控；

所述硬件加解密模块支持i/o虚拟化标准的单根i/o虚拟化，并通过pcie插槽与所述pcieswitch芯片连接；所述硬件加解密模块上包括用于进行数据加解密的加解密资源；

所述pcieswitch芯片支持i/o虚拟化标准的多根i/o虚拟化，且通过pcie插槽与所述刀片服务器背板连接。

优选地，所述的服务器加解密系统，其中，所述加解密刀片支持热插拔。

一种服务器加解密方法，其中，所述加解密方法包括：

步骤a、将配置有若干个硬件加解密模块的加解密刀片插入服务器中；

步骤b、控制所述加解密刀片的监控管理模块获取加解密刀片上的加解密资源总容量与规格，并通过服务器上报至云操作系统；

步骤c、云操作系统根据需求进行统一调度，将虚拟机调度到插有加解密刀片的服务器中，并配置刀片服务器背板和所述加解密刀片上的pcieswitch芯片，获取所述加解密刀片上的加解密资源；

步骤d、控制虚拟机运行，通过所述加解密刀片上获取的加解密资源进行加解密操作，并在加解密操作完成后释放加解密资源。

优选地，所述的服务器加解密方法，其中，所述步骤c还包括：

云操作系统还将虚拟机中的多个x86计算刀片集中调配到少数硬件加解密模块上，并关闭空闲硬件加解密模块的电源；

当加解密任务增加时，打开空闲硬件加解密模块的电源，实时对x86计算刀片进行调配。

优选地，所述的服务器加解密方法，其中，所述步骤c还包括：

云操作系统还根据负载轻重，实时调整单个硬件加解密模块的处理时钟频率。

本发明的有益效果：本发明的加解密刀片通过堆叠多个硬件加解密模块，所有的硬件加解密模块均与pcieswitch芯片连接，可以提供更容量的加解密资源；并且pcieswitch芯片是支持i/o虚拟化标准mr-iov，可实现x86计算刀片与加解密刀片及其内部模块之间的全交叉连接，每个硬件加解密模块的一个物理加解密功能可以虚拟化为数百个逻辑的加解密功能，极大地方便了加解密资源的灵活调度和共享。

附图说明

图1是现有技术中通过软件与硬件加解密加速卡来实现加解密的结构示意图。

图2是本发明的服务器加解密系统的一个较佳实施例的结构示意图。

图3是本发明的服务器加解密系统的一个具体应用实施例的结构示意图。

图4是本发明的服务器加解密方法的一个较佳实施例的流程示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

为了解决现有技术中通过软件与硬件加解密加速卡来实现加解密时所出现的问题，本发明提供一种服务器加解密刀片，通过此刀片，可以极大地提高服务器的加解密处理能力，降低功耗，提升服务器的计算效率，提高云计算环境的整体安全。从图2中可以看出，图2中的加解密刀片包括：若干个用于对数据进行加解密处理的硬件加解密模块；与若干个硬件加解密模块均连接的pcieswitch芯片。

具体地，由于一般服务器中，因为空间限制，pcie插槽有限，最多插入1到2块pcie硬件加解密加速卡。为了提供更高容量的加解密服务，本发明中的加解密刀片中堆叠多个硬件加解密模块。并且加解密刀片上的多个硬件加解密模块，均通过pcie插槽与pcieswitch芯片连接，完全可以根据需要增减，具有非常好的可扩展性。

在本发明中，所述硬件加解密模块支持pci-sig（pci-specialinterestgroup）发布的i/o虚拟化标准sr-iov(singlerooti/ovirtualization，单根i/o虚拟化)，可以把一个物理加解密功能(physicalfunction，pf)虚拟化为数百个逻辑的加解密功能(virtualfunction，vf)。加解密资源切分得非常细。云操作系统可以把如此细粒度的加解密资源，非常灵活地调度给服务器中的x86计算刀片。并且，所述硬件加解密模块通过pcie插槽与所述pcieswitch芯片连接，由于pcie的高带宽，低延迟，能够确保加解密刀片提供的服务，与现有技术中在服务器中加插硬件加解密卡，具备同样的性能指标。

在本实施例中，所述pcieswitch芯片支持i/o虚拟化标准mr-iov(multi-rooti/ovirtualization)，方便上游端口的任意x86刀片共享访问下游端口的任意加解密模块。

优选地，本发明中的加解密刀片还包括监控管理模块，所述监控管理模块与若干个硬件加解密模块均连接，且用于对加解密刀片中的模块电源、模块运行状态进行监控。本发明的加解密刀片支持热插拔，不再需要打开服务器中计算刀片，加插pcie卡。把整个加解密刀片插入服务器中，即可立即开始工作。没有加解密任务时，可关闭整个加解密刀片的电源，或者直接拔出加解密刀片，把槽位让给x86计算刀片。

进一步地，本发明中还提供一种具有上述加解密刀片的服务器加解密系统，具体如图2中所示。所述加解密系统除了具有所述加解密刀片以外，还包括与所述加解密刀片通过pcie插槽连接的刀片服务器背板；与所述刀片服务器背板通过pcie插槽连接的若干个x86计算刀片。

具体地，上述加解密刀片包括：若干个用于对数据进行加解密处理的硬件加解密模块；与若干个硬件加解密模块均连接的pcieswitch芯片；与若干个硬件加解密模块均连接的监控管理模块；所述监控管理模块用于对加解密刀片中的模块电源、模块运行状态进行监控。所述硬件加解密模块支持i/o虚拟化标准sr-iov，并通过pcie插槽与所述pcieswitch芯片连接；所述硬件加解密模块上包括用于进行数据加解密的加解密资源；所述pcieswitch芯片支持i/o虚拟化标准mr-iov，且通过pcie插槽与所述刀片服务器背板连接。

本实施例中，由于在多个x86计算刀片与多个硬件加解密模块之间，采用的是支持mr-i/ov的pcieswitch芯片。一个硬件加解密模块可以同时服务于多个x86计算刀片，而不是像现有技术中的服务器插卡方式，加解密卡只能绑定到主板所在的某一个服务器上。本实施例中的一个x86计算刀片，也能同时使用多个硬件加解密模块。多个x86计算刀片与多个硬件加解密模块之间，全交叉连接。既能汇聚多个硬件加解密模块，为某一x86计算刀片提供高容量加解密服务；又能把某一硬件加解密模块，按虚拟功能切分的细粒度，分配给多个x86计算刀片共享使用。

此外，在加解密负载比较轻时，云操作系统可以把多个x86计算刀片需要的加解密服务，集中调度到少数模块上，并关闭空闲的硬件加解密模块电源，降低整个加解密刀片的功耗；在加解密任务变重时，可以迅速打开加解密刀片中闲置的硬件加解密模块的电源；可以根据负载轻重，调整单个硬件加解密模块的处理时钟频率，与之匹配，降低运行中硬件加解密模块的功耗。

本发明提供一个具体应用的实施例，如图3所示。图3是一个持14个热拔插刀片的服务器架构示意图。服务器配置了12个x86计算刀片，2个加解密刀片，通过支持pcieswitch芯片的刀片服务器背板互连。每个x86计算刀片有两个x86芯片，由云操作系统调度，可以承载多个虚拟机，用于共享刀片上的计算/存储/网络资源。

其中，每个加解密刀片，包括一个支持mr-iov的pcieswitch芯片，四个硬件加解密模块，一个监控管理模块。加解密刀片上的pcieswitch芯片与刀片服务器背板上的pcieswitch芯片，由云操作系统根据资源调度方案进行配置，在多个x86计算刀片与多个加解密刀片之间，建立逻辑连接。所述加解密刀片支持热插拔，支持x86刀片与加解密刀片之间的全交叉连接。

其中，硬件加解密模块，具备pcie接口，支持sr-iov，把单个物理的加解密资源，虚拟化为数百个逻辑的加解密资源，方便云操作系统的灵活调度。监控管理模块，提供加解密刀片的资源能力上报，模块电源管理，模块运行状态监控，加解密刀片上电自检等辅助功能。

进一步地，基于上述实施例，本发明还提供一种服务器加解密方法，如图4所示。所述服务器加解密方法包括以下步骤：

步骤s100、将配置有若干个硬件加解密模块的加解密刀片插入服务器中；

步骤s200、控制所述加解密刀片的监控管理模块获取加解密刀片上的加解密资源总容量与规格，并通过服务器上报至云操作系统；

步骤s300、云操作系统根据需求（虚拟机对计算、存储、网络、加解密资源的需求）进行统一调度，将虚拟机调度到插有加解密刀片的服务器中，并配置刀片服务器背板和所述加解密刀片上的pcieswitch芯片，获取所述加解密刀片上的加解密资源；

步骤s400、控制虚拟机运行，通过所述加解密刀片上获取的加解密资源进行加解密操作，并在加解密操作完成后释放加解密资源。

较佳地，所述步骤s300还包括：云操作系统还将虚拟机中的多个x86计算刀片集中调配到少数硬件加解密模块上，并关闭空闲硬件加解密模块的电源；当加解密任务增加时，打开空闲硬件加解密模块的电源，实时对x86计算刀片进行调配。此外，云操作系统还根据负载轻重，实时调整单个硬件加解密模块的处理时钟频率，降低运行中硬件加解密模块的功耗。

综上所述，本发明提供了一种服务器加解密刀片、系统及加解密方法，所述加解密刀片包括：若干个用于对数据进行加解密处理的硬件加解密模块；与若干个硬件加解密模块均连接的pcieswitch芯片；所述硬件加解密模块支持i/o虚拟化标准sr-iov，并通过pcie插槽与所述pcieswitch芯片连接；所述硬件加解密模块上包括用于进行数据加解密的加解密资源。

本发明的加解密刀片通过堆叠多个硬件加解密模块，所有的硬件加解密模块均与pcieswitch芯片连接，可以提供更容量的加解密资源；并且pcieswitch芯片是支持i/o虚拟化标准mr-iov，可实现x86计算刀片与加解密刀片及其内部模块之间的全交叉连接，每个硬件加解密模块的一个物理加解密功能可以虚拟化为数百个逻辑的加解密功能，极大地方便了加解密资源的灵活调度和共享。

应当理解的是，本发明的应用不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。