[发明专利]一种基于PCIE通道的多算法IP核的高速加解密系统及方法

说明书

本发明公开了一种基于PCIE通道的多算法IP核的高速加解密系统及方法，在本发明设计方案下，PCIE加解密芯片所有的加解密业务是基于算法IP核X驱动的，芯片内部可用算法核的状态寄存器ALG_KERNEL_IDLE_Reg位于PCIe内存空间中，便于上位机PCIe驱动使用配置，用户的加解密源数据存储在上层主机系统内存中，由PCIE加解密芯片内部的DMA主动进行读取源数据，算法IP核进行加解密运算，完成后由内部DMA主动将加解密后的数据写回到同一内存中，直到将目标数据全部处理完毕后，最后产生PCIe MSI中断，ISR向“算法核完成状态消息对列”写入消息，唤醒用户线程，从而完成全部加解密工作,同时算法IP核被释放成空闲可用状态。

技术领域

本发明涉及计算机加解密技术领域，尤其涉及一种基于PCIE通道的多算法IP核的高速加解密系统及方法。

背景技术

PICE加密卡是通过PCIE插槽，使用PCIE标准接口和主机进行通讯的并提供加解密服务的产品，主要应用于加密机、服务器，视频监控等数据流量大有加解密需求的应用场景。为了解决现有技术上层主机中间件的数据传输中间环节和不必要的等待时间，有的方案是使用FPGA：包括一个PCI-e 3.0核，两个SWITCH模块和若干个算法核组成。其PCI-e 3.0核与SWITCH模块之间有若干个DMA通道负责搬运数据，PCI-e 3.0核它通过物理接口直接与客户机相连，客户机通过PCI-e 3.0通道与加密卡进行通信，并且可以通过PCIE寄存器指定特定的DMA通道搬运数据；这种基于PCIE加密卡的高性能加解密方法的工作流程为：多个数据通道组成，有两个DMA通道，一个SWITCH模块，两个算法核模块构成一个数据通道，每个数据通道有三个线程：发送线程，接收线程，回调线程。每个数据通道能独立完成加解密操作。可以看到其上层中间件驱动的参于加解密的过程较多，其加解密的数据是由发送线程及接收线程控制下进行传输的，存在多次调度及搬移数据-等待完成-搬移数据的过程，其性能会受到上层主机当时环境影响。

现有技术中PCIE加密卡是将数据包组织成适合加密芯片处理的数据包格式，由上层中间件PCIE加密卡驱动程序通过PCIE接口送入加密模块内部，然后等待加密模块处理后，将处理后的数据使用主机CPU资源或上层主机内核系统中的DMA再送至PCIE驱动程序，再由驱动程序送给用户加解密程序，这种“等待传输数据-处理数据-等待返回数据”的加解密处理模式，中间会产生使用多个中断，中断处理延时大，内核负载重，其加解密性能不够高效。

目前的PCIE接口安全芯片，多数是使用PCIE的内存空间映射方式，在上层主机Linux内核基础上，编写中间件直接控制PCIE接口安全芯片进行数据的加解密处理操作，由于PCIE接口安全芯片内部的RAM存储器存储空间大小是固定的，而需要加解密的数据有可能会非常大，这就需要将加解密源数据进行分包处理，并通过系统内核使用内存拷贝的方式或者是系统内核的DMA，通过PCIE接口进行下发一包数据给芯片加密，等待加密完成，读取加密结果数据，重复此操作直到全部数据加密完成，我们可以看到加密是完全在上层主机系统中间件的驱动控制下完成的，下发加解密数据小数量数据包给PCIe加密芯片时，会大量使用上层主机CPU资源或是内核DMA资源，因而系统内核存在多次调度执行的情形，在服务器多进程，多线程等高业务量的环境下，存在查询中断延时大加解密效率降低等问题。例如当使用PCIE加解密板卡加密1000K数据，加密线程的流程是将1000K 数据进行分包，当底下PCIE接口芯片加密时，因为待加密的数据包还没有完成加密操作，那么这个加密线程将会被上层主机系统内核阻塞，系统内核调度其他线程运行， 当一包数据加密完成时，线程被唤醒继续进行下一包数据的处理，直到完成1000K数据的加密，我们可以看到同一个线程存在多次调度执行的情形。

目前PCIE接口上支持SR-IOV虚拟化功能的加解密板卡，其PF、VF功能多数是使用虚拟机内核的DMA或芯片内部DMA进行与数据传输有关的操作，当需要使用加解密核时，因为PCIE加解密芯片内部的硬件资源间的耦合度较高，可能会存在排队等待关键资源操作的时候，有的VF与加解密核存在固定的绑定关系，其上层中间件的设计复杂度高，存在多个排队机制，在虚拟化的使用环境下多进程、多线程时加解密的性能会大大下降。