[发明专利]一种安全密码模块分片虚拟化方法及系统

权利要求书

1.一种安全密码模块分片虚拟化方法，其特征在于，包括如下步骤：

设备模拟，为虚拟机内部提供虚拟PCIE设备；

地址翻译，将GPA转换为HPA，并且将DMA缓冲区固定在主机内存中，直通给虚拟机使用；

虚拟密码模块内存队列初始化，为每一个虚拟密码模块的共享BAR空间中分配一组内存队列，并初始化其中的密码请求描述符；

密码运算请求提交；

密码运算请求优先级冲裁，实现基于优先级的密码请求任务调度；

密码运算请求执行；

密码运算请求完成通知。

2. 如权利要求1所述的一种安全密码模块分片虚拟化方法，其特征在于，所述设备模拟具体为：通过区分特权敏感资源和性能敏感资源，有效地对特权敏感资源进行设备模拟和对性能敏感资源进行设备直通，为虚拟机内部提供一个完整的具有 PCIE 特性、有接近物理原生平台的性能、有设备共享特性的虚拟 PCIE 设备。

3. 如权利要求1所述的一种安全密码模块分片虚拟化方法，其特征在于，所述地址翻译具体为：通过使用“vfio_pin_pages”地址转换，将 GPA 转换为 HPA ，并且将DMA 缓冲区固定在主机内存中，直通给虚拟机使用。

4.如权利要求1所述的一种安全密码模块分片虚拟化方法，其特征在于，所述虚拟密码模块内存队列初始化具体为：为每一个虚拟密码模块的共享BAR空间中分配一组内存队列，并初始化其中的密码请求描述符，若同时运行多个虚拟机，则分配多组内存队列空间，同时按预设为每一个队列赋权值，该权值代表此队列的处理优先级。

5.如权利要求1所述的一种安全密码模块分片虚拟化方法，其特征在于，所述密码运算请求提交具体为：当虚拟机内用户有密码运算需要时，会通过应用程序调用虚拟密码模块驱动中的接口，填充共享BAR空间的密码请求描述符，并出发I/O指令。

6.如权利要求1所述的一种安全密码模块分片虚拟化方法，其特征在于，所述密码运算请求优先级冲裁具体为：当接收到请求时，首先获取该请求描述符所在队列的权值，该数值代表连续处理密码请求的数量，当处理个数超过该权值，则停止处理该队列上的密码请求，而轮换到下一待处理队列，以实现基于优先级的密码请求任务调度。

7.如权利要求1所述的一种安全密码模块分片虚拟化方法，其特征在于，所述密码运算请求执行具体为：当满足优先级仲裁的处理条件时，将解析密码请求描述符，描述符中含有密码请求数据的客户机物理内存地址，将该地址转换为宿主机的物理内存地址，并将该物理内存地址交给真实密码模块的驱动接口，进而交给真实密码模块的DMA引擎处理。

8.如权利要求1所述的一种安全密码模块分片虚拟化方法，其特征在于，所述密码运算请求完成通知具体为：每一次密码模块硬件处理完成有数据信息更新时，物理硬件首先会触发一个中断注入到物理机内核中，物理机操作系统会更新相关寄存器，并且再向虚拟机内部注入一个中断，通知虚拟机中的虚拟密码模块驱动更新信息，进而将计算结果返回给应用程序。

9.一种安全密码模块分片虚拟化系统，用以实现权利要求1~8任意一项所述的一种安全密码模块分片虚拟化方法，其特征在于，包括模拟模块、翻译模块、初始化模块、提交模块、仲裁模块、执行模块和通知模块，其中，所述模拟模块用以进行设备模拟，为虚拟机内部提供虚拟PCIE设备；所述翻译模块用以进行地址翻译，将GPA转换为HPA，并且将DMA缓冲区固定在主机内存中，直通给虚拟机使用；所述初始化模块用以进行虚拟密码模块内存队列初始化，为每一个虚拟密码模块的共享BAR空间中分配一组内存队列，并初始化其中的密码请求描述符；所述提交模块用以进行密码运算请求提交；所述仲裁模块用以进行密码运算请求优先级冲裁，实现基于优先级的密码请求任务调度；所述执行模块用以进行密码运算请求执行；所述通知模块用以进行密码运算请求完成通知。