CN105094942B - Hsm会话管理方法、管理虚拟机和服务器 - Google Patents
Hsm会话管理方法、管理虚拟机和服务器 Download PDFInfo
- Publication number
- CN105094942B CN105094942B CN201410165247.9A CN201410165247A CN105094942B CN 105094942 B CN105094942 B CN 105094942B CN 201410165247 A CN201410165247 A CN 201410165247A CN 105094942 B CN105094942 B CN 105094942B
- Authority
- CN
- China
- Prior art keywords
- physics
- hsm
- virtual machine
- session
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种HSM会话管理方法、管理虚拟机和服务器。所述方法,包括:当所述管理虚拟机接收所述vHSM所转发的第一操作请求时,所述管理虚拟机根据预设的选择策略,从所述物理HSM中选择一个初始物理HSM并与之建立物理会话;所述管理虚拟机根据所述第一操作请求确定所述vHSM对应的第一虚拟会话;所述管理虚拟机建立所述第一虚拟会话和所述物理会话的映射关系;所述管理虚拟机根据所述映射关系将所述第一操作请求转发给所述初始物理HSM,以使所述初始物理HSM处理所述第一操作请求;当所述管理虚拟机在预设时间内没有接收到所述vHSM发送的下一个操作请求时,所述管理虚拟机结束所述物理会话并清除所述映射关系。
Description
技术领域
本发明涉及计算机信息技术领域,尤其涉及一种HSM(Hardware SecurityModule,硬件安全模块)会话管理方法、管理虚拟机和服务器。
背景技术
硬件安全模块HSM是一种进行密钥生成、存储、保护和加速密码运算等安全操作的安全硬件,服务器通过HSM执行上述安全功能。
在云服务环境中,会对服务器进行虚拟化,即将一个服务器虚拟化为多个虚拟机。在现有技术中,一个服务器的硬件层中会设置有多个HSM,在创建虚拟机时,人为地通过PCI(Personal Computer Interface,个人电脑接口)直通技术为每个虚拟机分别绑定一个HSM,该虚拟机的安全功能由其对应的HSM执行。
但是,在为一个虚拟机绑定了一个HSM后,该虚拟机的操作请求都会通过所绑定的HSM进行处理,而其他的虚拟机无法使用该HSM,降低了HSM使用的灵活性。
发明内容
本发明所要解决的技术问题在于提供一种HSM会话管理方法、管理虚拟机和服务器,能够提高HSM使用的灵活性。
第一方面,本发明提供了一种HSM会话管理方法,应用于服务器,所述服务器包括至少一个物理HSM;所述服务器运行有虚拟机和管理虚拟机;所述虚拟机包括应用模块和虚拟硬件安全模块vHSM,在所述应用模块和所述vHSM之间建立有虚拟会话;
所述方法,包括:
当所述管理虚拟机接收所述vHSM所转发的第一操作请求时,所述管理虚拟机根据预设的选择策略,从所述物理HSM中选择一个初始物理HSM并与所述初始物理HSM建立物理会话,所述第一操作请求是所述vHSM从所述应用模块接收的;
所述管理虚拟机根据所述第一操作请求确定所述vHSM对应的第一虚拟会话;
所述管理虚拟机建立所述第一虚拟会话和所述物理会话的映射关系;
所述管理虚拟机根据所述映射关系将所述第一操作请求转发给所述初始物理HSM,以使所述初始物理HSM处理所述第一操作请求;
当所述管理虚拟机在预设时间内没有接收到所述vHSM发送的下一个操作请求时,所述管理虚拟机结束所述物理会话并清除所述映射关系。
结合本发明的第一方面,在本发明第一方面的第一种可能的实现方式中,所述管理虚拟机根据预设的选择策略,从所述物理HSM中选择一个初始物理HSM并与所述初始物理HSM建立物理会话,包括:
所述管理虚拟机获取至少一个物理HSM的负载;
所述管理虚拟机将所述至少一个物理HSM中的负载小于第一负载预设值的物理HSM作为初始物理HSM;
所述管理虚拟机与所述初始物理HSM建立物理会话。
结合本发明第一方面的第一种可能的实现方式,在本发明第一方面的第二种可能的实现方式中,所述服务器包括至少两个虚拟机;所述至少两个虚拟机中的vHSM分别与所述至少两个虚拟机中的应用模块建立第二虚拟会话,相对应的,所述管理虚拟机分别与所述至少一个物理HSM建立物理会话,所述建立物理会话的物理HSM为第一物理HSM;所述管理虚拟机分别建立所述第二虚拟会话和所述第二虚拟会话所对应的物理会话之间的映射关系;
所述方法还包括:
所述管理虚拟机获取所述第一物理HSM的负载;
当所述第一物理HSM的负载大于第二负载预设值时,所述管理虚拟机按照预设顺序从所述物理会话中选择一个物理会话进行关闭,其中,所述第二负载预设值大于所述第一负载预设值,与所述关闭的物理会话对应的虚拟会话为第三虚拟会话;
所述管理虚拟机存储所述第三虚拟会话的上下文信息。
结合本发明第一方面的第二种可能的实现方式,在本发明第一方面的第三种可能的实现方式中,所述管理虚拟机按照预设顺序从所述物理会话中选择一个物理会话并进行关闭之后,还包括:
所述管理虚拟机将所述处于物理会话的物理HSM中的负载小于第一负载预设值的物理HSM作为目标物理HSM;
所述管理虚拟机与所述目标物理HSM建立第三物理会话;
所述管理虚拟机建立所述第三虚拟会话和所述第三物理会话的第一映射关系;
当根据所述第三虚拟会话的上下文信息确定存在未完成的操作请求时,所述管理虚拟机通过所述第一映射关系向所述目标物理HSM发送所述未完成的操作请求,以使所述目标物理HSM恢复对于所述未完成的操作请求的处理。
结合本发明的第一方面或第一方面的第一种实现方式或第一方面的第二种实现方式或第一方面的第三种实现方式,在本发明第一方面的第四种可能的实现方式中,在所述管理虚拟机基于所述映射关系,将所述操作请求转发给所述初始物理HSM,以便于通过所述初始物理HSM处理所述操作请求之后,还包括:
所述管理虚拟机检测是否存在虚拟机迁移事件;
当检测到存在虚拟机迁移事件时,所述管理虚拟机存储需要迁移的虚拟机中的虚拟会话的上下文信息;
所述管理虚拟机将所述需要迁移的虚拟机中的虚拟会话的上下文信息发送给目标服务器,以便于所述目标服务器根据所述上下文信息恢复所述需要迁移的虚拟机。
第二方面,本发明提供了一种管理虚拟机,运行于服务器中,所述服务器设置有至少一个物理硬件安全模块HSM;所述服务器还运行有虚拟机;在所述虚拟机中设置有应用模块和虚拟硬件安全模块vHSM,在所述应用模块和所述vHSM之间建立有虚拟会话;
所述管理虚拟机包括;
接收单元,用于接收所述vHSM所转发的所述第一操作请求,所述第一操作请求由是所述vHSM从所述应用模块接收的;
选择单元,用于当所述接收单元接收到所述第一操作请求时,根据所述选择策略,从所述物理HSM中选择初始物理HSM,并与所述初始物理HSM建立物理会话;
映射单元,用于根据所述第一操作请求确定所述vHSM对应的第一虚拟会话,建立所述虚拟会话和所述物理会话的映射关系;
发送单元,用于根据所述映射关系,将所述第一操作请求转发给所述初始物理HSM,以使所述初始物理HSM处理所述第一操作请求;
释放单元,用于当所述管理虚拟机在预设时间内没有接收到所述vHSM发送的下一个操作请求时,结束所述物理会话并清除所述映射关系。
结合本发明的第二方面,在本发明第二方面的第一种可能的实现方式中,所述选择单元包括:
负载检测模块,用于获取至少一个物理HSM的负载;
选择模块,用于将所述至少一个物理HSM中的负载小于第一负载预设值的物理HSM作为初始物理HSM;
建立模块,用于与所述初始物理HSM建立物理会话。
结合本发明第二方面的第一种可能的实现方式,所述服务器包括至少两个虚拟机;所述至少两个虚拟机中的vHSM分别与所述至少两个虚拟机中的应用模块建立第二虚拟会话,相对应的,所述管理虚拟机分别与所述至少一个物理HSM建立物理会话,所述建立物理会话的物理HSM为第一物理HSM;所述管理虚拟机分别建立所述第二虚拟会话和所述第二虚拟会话所对应的物理会话之间的映射关系;
所述管理虚拟机还包括关闭单元;
所述负载检测模块,还用于获取所述第一物理HSM的负载;
所述选择模块,还用于当所述第一物理HSM的负载大于第二负载预设值时,按照预设顺序从所述物理会话中选择一个物理会话进行关闭,其中,所述第二负载预设值大于所述第一负载预设值,与所述关闭的物理会话对应的虚拟会话为第三虚拟会话;
所述存储单元,用于存储所述第三虚拟会话的上下文信息。
结合本发明第二方面的第二种可能的实现方式,在本发明第二方面的第三种可能的实现方式中,所述管理虚拟机,还包括恢复单元;
所述选择模块,还用于将所述处于物理会话的物理HSM中的负载小于第一负载预设值的物理HSM作为目标物理HSM;
所述建立模块,还用于与所述目标物理HSM建立第三物理会话;
所述映射单元,还用于建立所述第三虚拟会话和所述第三物理会话的第一映射关系;
所述恢复单元,用于当根据所述第三虚拟会话的上下文信息确定存在未完成的操作请求时,通过所述第一映射关系向所述目标物理HSM发送所述未完成的操作请求,以使所述目标物理HSM恢复对于所述未完成的操作请求的处理。
结合本发明第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式或第二方面的第三种可能的实现方式,在本发明第二方面的第四种可能的实现方式中,所述管理虚拟机,还包括事件检测单元;
所述事件检测单元,用于检测是否存在虚拟机迁移事件;
所述存储单元,还用于当检测到存在虚拟机迁移事件后,存储需要迁移的虚拟机中的虚拟会话的上下文信息;
所述发送单元,还用于将所述需要迁移的虚拟机中的虚拟会话的上下文信息发送给目标服务器,以便于所述目标服务器根据所述上下文信息恢复所述需要迁移的虚拟机。
第三方面,本发明还提供了一种服务器,所述服务器设置有至少一个物理HSM;所述服务器运行有虚拟机和上述的管理虚拟机;在所述虚拟机中设置有应用模块和vHSM,在所述应用模块和所述vHSM之间建立有虚拟会话。
本发明公开了一种HSM会话管理方法、管理虚拟机和服务器,在虚拟机中通过虚拟出的应用模块和vHSM形成虚拟会话,并在管理虚拟机中根据形成的虚拟会话建立虚拟会话和物理会话之间的映射关系,从而能够通过映射关系灵活地调整处理操作请求的物理HSM。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述服务器的结构示意图;
图2为本发明所述的一种HSM会话管理方法的流程图;
图3为本发明所述服务器中建立物理会话的示意图;
图4为本发明实施例所述的服务器的结构示意图;
图5为本发明实施例所述的一种HSM会话管理方法的流程图;
图6为本发明实施例所述的服务器中建立物理会话的示意图;
图7为本发明另一实施例所述的一种HSM会话管理方法的流程图;
图8为本发明另一实施例所述的一种HSM会话管理方法的流程图;
图9为本发明另一实施例所述的一种HSM会话管理方法的流程图;
图10为本发明所述的一种管理虚拟机的结构示意图;
图11为本发明所述的一种服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种HSM(Hardware Security Module,硬件安全模块)会话管理方法,如图1所示,应用于服务器,所述服务器设置有至少一个物理HSM;所述服务器运行有虚拟机和管理虚拟机;在所述虚拟机中设置有应用模块和vHSM(Virtual HardwareSecurity Module,虚拟硬件安全模块),在所述应用模块和所述vHSM之间建立有虚拟会话;
需要说明的是,在一个服务器中可以运行多个虚拟机。在一个虚拟机中包括多个应用模块和多个vHSM。在服务器的硬件层中设置有物理HSM,该物理HSM的数量可以是一个,也可以为多个。为了从多个物理HSM中选择一个建立物理会话,需要对多个物理HSM进行池化,即将多个物理HSM放入一个资源池中,在进行描述的过程中,仅是示例性的说明,不对物理HSM的数量构成限制。另外,在服务器中还虚拟有虚拟机监控器对虚拟机和管理虚拟机进行监控。该服务器可以是服务器、个人计算机PC等设备。
所述方法,如图2所示,包括:
S100、当所述管理虚拟机接收所述vHSM所转发的第一操作请求时,所述管理虚拟机根据预设的选择策略,从所述物理HSM中选择一个初始物理HSM并与所述初始物理HSM建立物理会话。
其中,所述第一操作请求是所述vHSM从所述应用模块接收的。
S101、所述管理虚拟机根据所述第一操作请求确定所述vHSM对应的第一虚拟会话。
S102、所述管理虚拟机建立所述第一虚拟会话和所述物理会话的映射关系。
S103、所述管理虚拟机根据所述映射关系将所述第一操作请求转发给所述初始物理HSM,以使所述初始物理HSM处理所述第一操作请求。
S104、当所述管理虚拟机在预设时间内没有接收到所述vHSM发送的下一个操作请求时,所述管理虚拟机结束所述物理会话并清除所述映射关系。
在应用模块需要进行操作请求时,如图3所示,在应用模块和该应用模块所属的虚拟机中的vHSM之间会形成虚拟会话。在形成虚拟会话之后,应用模块会通过虚拟会话将第一操作请求发送给vHSM,该虚拟会话为一个数据通路,以实现应用模块和vHSM之间的数据通信。vHSM会将该第一操作请求转发给管理虚拟机。管理虚拟机根据在硬件的物理HSM中选择一个物理HSM作为初始物理HSM,并建立与初始物理HSM之间的物理会话。在物理会话和虚拟会话都建立完成后,管理虚拟机会根据所选择的物理HSM标识、物理会话标识以及虚拟会话标识建立物理会话和虚拟会话之间的映射关系,并基于该映射关系得知处理vHSM所发送的第一操作请求的初始物理HSM。这样一来,基于该映射关系,便可以将虚拟机中一个虚拟会话所发送的第一操作请求发送给物理会话所对应的初始物理HSM进行处理。管理虚拟机将该第一操作请求发送给初始物理HSM进行处理,并且保证在以后发送的其他操作请求的处理过程中,该虚拟机中的应用模块所下发的其他操作请求都会通过对应的初始物理HSM进行处理。当管理虚拟机在接收到第一操作请求之后,对第一操作请求进行处理,此时,管理虚拟机会继续持续接收其他操作请求,但是如果在接收到第一操作请求后,如果在预设时间内没有接收到下一个操作请求,管理虚拟机则会视为物理会话已经完成,并且无新的操作请求需要进行处理,那么管理虚拟机则可以结束该物理会话,并清除所存储的映射关系以便该物理会话不会长时间占用管理虚拟机的资源,使其他的虚拟机可以更有效率的应用管理虚拟机和物理HSM之间的物理会话处理其他操作请求。
在此需要说明的是,该操作请求包括多种请求内容,例如包括虚拟会话标识、设置密钥请求、清空密钥请求、文件签名请求和文件加密计算请求等,该操作请求通过虚拟会话和物理会话发送到初始物理HSM后,会通过该物理HSM进行统一的处理。并且,在物理HSM处理完操作请求后,会通过物理会话和虚拟会话将处理后的信息返回给应用模块。
在服务器中仅设置有一个物理HSM时,管理虚拟机的管理虚拟机无需进行物理HSM的选择判断,直接建立管理虚拟机和该物理HSM的物理会话,并进行应用模块的操作请求的处理。
在服务器中设置有多个物理HSM时,管理虚拟机可以通过以下方式进行物理HSM的选择。
一、基于本发明所描述的方法,因为在服务器中设置有多个物理HSM,所以每个物理HSM都可以进行虚拟机中应用模块的操作请求的处理。在管理虚拟机选择物理HSM时,各物理HSM可能正在进行操作请求的处理,这样一来,各物理HSM上已经存在一定的负载。此时,管理虚拟机可以获取各物理HSM上的现有负载,并根据各物理HSM上的现有负载,从多个物理HSM中选择一个现有负载较低的负载建立物理会话。因此,可以对各物理HSM上的负载进行平均,避免一个物理HSM上的负载过大导致而造成的操作请求处理变慢的问题。
具体的,在根据负载进行物理HSM的选择时,可以设定一个负载预设值,并对至少一个物理HSM的负载和该负载预设值进行比较,选定负载小于该负载预设值的物理HSM作为初始HSM。或者,可以对至少一个物理HSM之间的负载进行比较,从而确定一个负载小于第一负载预设值的物理HSM作为初始物理HSM,而选择一个负载最小的物理HSM可以作为小于第一负载预设值的变形例。
二、在服务器中设置有多个物理HSM,为了从物理HSM中选择一个物理HSM时,可以通过轮询的方式从硬件层选择一个合适的物理HSM建立与虚拟会话所对应的物理会话。
三、在服务器中设置有多个物理HSM,避免在进行物理HSM选择的过程中占用服务器中过多的资源,可以为每一个虚拟机设置一个权重值。在为虚拟机分配物理HSM时,权重值较高的虚拟机会优先进行分配,从而保证权重值较高的虚拟机通过负载较低的物理HSM进行处理。
四、在进行物理HSM的选择时,也可根据需求来选择,具体来说,所述管理虚拟机获取所述至少一个物理HSM的所连接虚拟机的连接数;从所述连接数小于预设连接数的物理HSM中选择一个物理HSM作为初始物理HSM;所述管理虚拟机与所述初始物理HSM建立连接。这样一来,便可以对每个物理HSM所连接的虚拟机的连接数进行控制,从而避免一个物理HSM连接过多虚拟机时所出现的负载过大的情况。
需要说明的是,在应用模块建立虚拟会话后,除了上述四种方式进行物理HSM的选择,也可以通过其他的方式进行物理HSM的分配,例如为虚拟机指定某一个物理HSM进行操作请求的处理。
为了根据多个物理HSM的负载,更灵活地选择物理HSM建立映射关系进行操作请求的处理,进一步的,所述管理虚拟机,根据所述选择策略,从所述至少一个物理HSM中选择初始物理HSM,并与所述初始物理HSM建立物理会话,包括:
所述管理虚拟机获取至少一个物理HSM的负载;
所述管理虚拟机将所述至少一个物理HSM中的负载小于第一负载预设值的物理HSM作为初始物理HSM;
所述管理虚拟机与所述初始物理HSM建立物理会话。
为了避免物理HSM的负载过高而降低操作请求的处理效率,进一步地,所述服务器包括至少两个虚拟机;所述至少两个虚拟机中的vHSM分别与所述至少两个虚拟机中的应用模块建立第二虚拟会话,相对应的,所述管理虚拟机分别与所述至少一个物理HSM建立物理会话,所述建立物理会话的物理HSM为第一物理HSM;所述管理虚拟机分别建立所述第二虚拟会话和所述第二虚拟会话所对应的物理会话之间的映射关系;
所述方法还包括:
所述管理虚拟机获取所述第一物理HSM的负载;
当所述第一物理HSM的负载大于第二负载预设值时,所述管理虚拟机按照预设顺序从所述物理会话中选择一个物理会话进行关闭,其中,所述第二负载预设值大于所述第一负载预设值,与所述关闭的物理会话对应的虚拟会话为第三虚拟会话;
所述管理虚拟机存储所述第三虚拟会话的上下文信息。
为了提高物理HSM对于操作请求的处理效率,那么确定需要关闭的物理会话所对应的物理HSM的第二负载预设值应是大于了选择该物理HSM所限定的第一负载预设值。
为了提高多个物理HSM的利用率,进一步的,所述管理虚拟机按照预设顺序从所述物理会话中选择一个物理会话并进行关闭之后,还包括:
所述管理虚拟机将所述处于物理会话的物理HSM中的负载小于第一负载预设值的物理HSM作为目标物理HSM;
所述管理虚拟机与所述目标物理HSM建立第三物理会话;
所述管理虚拟机建立所述第三虚拟会话和所述第三物理会话的第一映射关系;
当根据所述第三虚拟会话的上下文信息确定存在未完成的操作请求时,所述管理虚拟机通过所述第一映射关系向所述目标物理HSM发送所述未完成的操作请求,以使所述目标物理HSM恢复对于所述未完成的操作请求的处理。
为了重新选择一个物理HSM以提高处理操作请求的效率,此时处于第一负载预设值,尽量选用正在处理操作请求的物理HSM。因为物理HSM在处理很少操作请求,也需要使其处于消耗电能的工作状态,而如果仅通过其中的少部分进行充分而不超载的处理,则可以降低服务器的整体能耗。
为了更好地实现虚拟机的迁移,进一步的,在所述管理虚拟机基于所述映射关系,将所述操作请求转发给所述初始物理HSM,以使所述初始物理HSM处理所述操作请求之后,还包括:
所述管理虚拟机检测是否存在虚拟机迁移事件;
当检测到存在虚拟机迁移事件时,所述管理虚拟机存储需要迁移的虚拟机中的虚拟会话的上下文信息;
所述管理虚拟机将所述需要迁移的虚拟机中的虚拟会话的上下文信息发送给目标服务器,以便于所述目标服务器根据所述上下文信息恢复所述需要迁移的虚拟机。
本发明公开了一种HSM会话管理方法,在虚拟机中通过虚拟出的应用模块和vHSM形成虚拟会话,并在管理虚拟机中根据形成的虚拟会话建立虚拟会话和物理会话之间的映射关系,从而能够通过映射关系灵活地调整处理操作请求的物理HSM。
为了本领域技术人员更好地理解本发明提供的HSM会话管理方法的技术方案,下面通过具体的实施例对本发明提供的HSM会话管理方法进行详细说明。
在本发明的实施例中,该服务器为服务器,如图4所示,包括位于硬件层的第一物理HSM和第二物理HSM,并对该第一物理HSM和第二物理HSM进行池化,即在资源池包括第一物理HSM和第二物理HSM;在所述服务器中虚拟有三个虚拟机,即第一虚拟机、第二虚拟机和第三虚拟机;在第一虚拟机中设置有第一应用模块,在第二虚拟机中设置有第二应用模块,在第三虚拟机中设置有第三应用模块,相对应的,在第一虚拟机中虚拟有第一vHSM,在第二虚拟机中虚拟有第二vHSM,在第三虚拟机中虚拟有第三vHSM。上述服务器中,虚拟机、物理HSM的个数仅为了便于描述,不构成对于服务器的限制。
本实施例的HSM会话管理方法,如图5所示,包括:
S1、第一应用模块建立与第一vHSM的第一虚拟会话,第二应用模块建立与第二vHSM的第二虚拟会话,第三应用模块建立与第三vHSM的第三虚拟会话。
S2、第一应用模块向第一vHSM发送操作请求,第二应用模块向第二vHSM发送操作请求,第三应用模块向第三vHSM发送操作请求。
当虚拟机需要进行安全操作时,首先通过应用模块建立与对应的vHSM之间的虚拟会话,然后,应用模块根据已建立的虚拟会话,将操作请求发送给vHSM。在此,第一应用模块、第二应用模块和第三应用模块的操作请求所请求的内容可以是相同的、也可以是不同的。并且,上述各应用模块并非需要同时建立虚拟会话,也可以分别建立虚拟会话,相对应的,在下述过程中,管理虚拟机也可以分别为虚拟会话建立对应的物理会话。
S3、第一vHSM、第二vHSM和第三vHSM将所接收到的操作请求发送给管理虚拟机中的管理虚拟机。
S4、管理虚拟机根据从资源池中选择物理HSM。
在进行物理HSM的选择时,可以根据上述的多种方式进行,在本实施例中,根据物理HSM的负载进行选择。此时,管理虚拟机获取资源池中第一物理HSM和第二物理HSM的负载,在管理虚拟机获取物理HSM的过程中,可以通过虚拟机监控器进行物理HSM负载的获取,也可以直接通过管理虚拟机获取,对于本领域的技术人员来说,获取物理HSM负载的方式是可以实现的,不再赘述。
当第一物理HSM的负载低于第二物理HSM的负载时,则可以确定第一物理HSM为负载小于第一负载预设值的物理HSM,将第一物理HSM作为被选择的初始物理HSM,如图6所示,管理虚拟机根据第一虚拟会话、第二虚拟会话和第三虚拟会话,分别建立第一物理会话、第二物理会话和第三物理会话,其中第一物理会话对应第一虚拟会话,第二物理会话对应第二虚拟会话,第三物理会话对应第三虚拟会话。
S5、管理虚拟机存储第一虚拟会话和第一物理会话的映射关系,保存第二虚拟会话和第二物理会话的映射关系,保存第三虚拟会话和第三物理会话的映射关系。
管理虚拟机根据接收到的操作请求,获取发送该操作请求的虚拟会话标识;根据所选择的物理HSM,获取该物理HSM的物理HSM标识;根据与物理HSM建立物理会话,获取物理会话标识。根据上述的虚拟会话标识、物理HSM标识和物理会话标识,管理虚拟机建立每个虚拟会话和对应的物理会话的映射关系,并对每一个映射关系进行存储。
S6、管理虚拟机基于所保存的映射关系,将第一应用模块所发送的操作请求、第二应用模块所发送的操作请求和第三应用模块所发送的操作请求发送给第一物理HSM。
S7、第一物理HSM对操作请求进行处理,并基于映射关系,通过物理会话和虚拟会话将处理结果发送回对应的应用模块。
在本实施例中,因为管理虚拟机分别建立了第一虚拟会话和第一物理会话、第二虚拟会话和第二物理会话以及第三虚拟会话和第三物理会话之间的映射关系,所以当管理虚拟机会根据对应的映射关系将其接收到的操作请求转发给对应的物理HSM,即将第一应用模块、第二应用模块和第三应用模块的操作请求分别转发给第一物理HSM。
第一物理HSM在接收到操作请求后,会分别对三个操作请求进行处理,并将操作请求的处理结果发送回对应的应用模块,完成操作请求的处理流程。
基于上述流程可以知道,可以通过资源池中的物理HSM的负载选择一个合适的物理HSM,并通过管理虚拟机为多个虚拟机中的虚拟会话分配对应的物理会话,并保存虚拟会话和物理会话之间的映射关系。基于该映射关系可以建立多个vHSM和一个物理HSM之间的关联,从而可以灵活地为一个虚拟机设置一个对应的物理HSM,并维持vHSM和物理HSM之间的操作请求的处理。另外,可以为多个虚拟机分配一个物理HSM,这样一来,避免了一个虚拟机只能绑定一个物理HSM,无法处理从其他的虚拟机处所发来的操作请求的问题,提高了一个物理HSM的资源利用率。
在为虚拟机分配物理HSM,并通过物理HSM对从虚拟机下发的操作请求进行处理之后,管理虚拟机会维持已经建立的映射关系,并继续基于该映射关系进行操作请求的转发,以使物理HSM进行操作请求的处理。在这个过程中,会出现没有操作请求,即虚拟会话处于空闲状态的情况,此时,如果一直维持该虚拟会话所对应的物理会话,则会占用过多的物理资源,降低服务器、管理虚拟机和物理HSM的工作效率。
为了提高服务器、管理虚拟机和物理HSM的工作效率,在步骤S7后,还包括:
S8、管理虚拟机获取资源池中的物理HSM的负载。
在服务器工作的过程中,管理虚拟机可以一直对资源池中的物理HSM的负载进行监控,并不限制于在特定步骤之后进行负载的监控。在此,仅为了便于说明,不构成对于方法执行的限制。
S9、管理虚拟机根据所获取的第一物理HSM的负载,判断所述第一物理HSM的负载是否大于所设置的第二负载预设值。
在本实施例中,因为第一物理HSM需要处理第一应用模块、第二应用模块和第三应用模块的操作请求,所以第一物理HSM处于负载较大的情况。此时,管理虚拟机根据所获取的第一物理HSM的负载和在管理虚拟机中预先设置的第二负载预设值进行比较。当第一物理HSM的负载小于第二负载预设值的时候,则循坏执行步骤S8。当第一物理HSM的负载大于第二负载预设值时,则执行步骤S10,其中,所述第二负载预设值大于所述第一负载预设值。在此,需要说明的是,虽然在流程中只提到对第一物理HSM的负载进行判断,但是在实际处理的过程中,会对资源池中所有的物理HSM的负载进行检测和判断。
S10、管理虚拟机关闭所述第一虚拟会话。
在执行步骤S10的过程中,如图7所示,会分成以下几个小步骤。
S10a、管理虚拟机获取虚拟会话的会话状态。
在管理虚拟机获知第一物理HSM的负载大于第二负载预设值时,则会获取多个虚拟会话的会话状态。此时,正在进行操作请求的转发、处理和接收处理结果的虚拟会话处于忙碌状态,未进行上述处理的虚拟会话处于空闲状态。
S10b、管理虚拟机判断多个虚拟会话中是否存在空闲状态的虚拟会话。
S10c、管理虚拟机存储处于空闲状态的虚拟会话的上下文信息。
S10d、管理虚拟机释放处于空闲状态的虚拟会话所对应的物理会话所占用的资源。
当管理虚拟机判断存在空闲的虚拟会话时,则关闭该处于空闲状态的虚拟会话。因为处于空闲状态的虚拟会话会占用一定的资源,并且不进行操作请求的处理,所以优先关闭处于空闲状态的虚拟会话,并保存该虚拟会话的上下文信息,该上下文信息,包括会话状态所使用的密钥、当前正在处理的操作请求的参数、会话类型和用户信息等,在此不再赘述。在本实施例中,此时,第一虚拟会话处于空闲状态,则优先关闭第一物理会话,清除虚拟会话和物理会话之间的第一映射关系,并释放第一物理会话所占用的资源。通过关闭物理会话,并释放物理会话所占用的资源,可以降低虚拟会话对应资源的占用。
在关闭了处于空闲状态的虚拟会话所对应的物理会话后,如果需要重新建立物理会话,则可以根据该上下文信息,重新使用上下文信息中保存的密钥进行操作请求的处理,当然是否选择之前的密钥根据虚拟机的设定进行。
在步骤S10b之后,当管理虚拟机获知多个虚拟会话都处于忙碌状态时,则执行步骤S10e。
S10e、管理虚拟机从多个虚拟会话中选择一个虚拟会话。
在此,管理虚拟机可以根据多种方式进行选择,例如该虚拟会话所占用的资源量,该虚拟会话的权重等等。在本实施例中,选择第一虚拟会话所对应的物理会话作为需要关闭的物理会话。
但是,如果此时直接关闭处于忙碌状态的虚拟会话,释放该虚拟会话所对应的物理会话的资源,则会导致操作请求的处理无法完成。为了避免这样的情况发生,则需要在重新建立虚拟会话,并在另一个负载较低的物理HSM上恢复物理会话,并通过该物理HSM进行操作请求的处理。
S10f、管理虚拟机停止正在处理的操作请求,并保存需要关闭的虚拟会话与所对应的物理会话的上下文信息。
在选定一个虚拟会话后,管理虚拟机首先会停止虚拟会话和对应的物理会话正在处理的操作请求,并保存需要关闭的虚拟会话和对应的物理会话的上下文信息。此时,在上下文信息中,会话状态会标记为忙碌状态,即存在未完成的操作请求,并且相对应的也会存储操作请求的参数等。
S10g、管理虚拟机接收到管理虚拟机所下发的恢复指令。
S10h、管理虚拟机获取资源池中的物理HSM的负载。
资源池中的物理HSM的负载的获取过程与步骤S8相类似,在此不再重复描述。
S10i、管理虚拟机根据资源池中的物理HSM的负载确定负载小于第一负载预设值的物理HSM。
在获取资源池中的物理HSM的负载后,根据第一负载预设值确定负载小于第一负载预设值的物理HSM,将该物理HSM作为需要恢复操作请求的处理的物理HSM。
S10j、管理虚拟机与选定的物理HSM上建立物理会话。
管理虚拟机根据上下文信息,在第二虚拟机中重新建立第二应用模块和第二vHSM之间的虚拟会话,并与第二物理HSM建立新物理会话。在虚拟会话和新物理会话建立完成后,保存虚拟会话、新物理会话和第二物理HSM之间的映射关系。建立后的服务器中的架构如图8所示。
S10h、管理虚拟机根据新建立的映射关系和已经保存的上下文信息,通过恢复的虚拟会话和新物理会话,恢复已停止的操作请求的处理。
应用模块根据上下文信息,重新下发停止的操作请求,继续进行已停止的操作请求的处理。
在步骤S7之后,为了进一步适应虚拟机事件,所述方法,如图9所示,还包括:
S11、管理虚拟机判断是否检测到了虚拟机迁移事件。
如果检测到则执行步骤S12,如果未检测到则循环执行步骤S11。
S12、管理虚拟机存储需要迁移的虚拟机中的虚拟会话的上下文信息。
S13、管理虚拟机将需要迁移的虚拟机中的虚拟会话的上下文信息发送给目标服务器。
当管理虚拟机检测到虚拟机的虚拟机迁移事件时,则会将该虚拟机迁移事件所作用的虚拟机的信息进行保存,在这个过程中,也会保存虚拟会话的上下文信息。在此之后,会将虚拟机的信息和该虚拟机的虚拟会话的上下文信息发送给目标服务器。当目标服务器接收到虚拟机的信息后,在目标服务器中重新生成虚拟机,并在虚拟机恢复后,根据虚拟会话的上下文信息与一个物理HSM建立物理会话,并继续进行上下文信息中所包含的操作请求的处理。
当然,在目标服务器上操作请求的处理也不一定按照本实施例所描述的管理方法进行,也可以使PCI直通技术等方式,需要根据目标服务器上的实际情况进行。
另外,在虚拟机运行的过程中,也存在其他的虚拟机事件,例如虚拟机保存事件、虚拟机恢复事件等,在这一过程中,对于操作请求的处理相关的虚拟会话和物理会话的处理方法与上述的方式相类似,不再赘述。
相对应的,本发明还提供了一种管理虚拟机,运行于服务器中,所述服务器设置有至少一个物理HSM;所述服务器还运行有虚拟机;在所述虚拟机中设置有应用模块和vHSM,在所述应用模块和所述vHSM之间建立有虚拟会话;
所述管理虚拟机100,如图10所示,包括;
接收单元110,用于接收所述vHSM所转发的所述第一操作请求,所述第一操作请求是所述vHSM从所述应用模块接收的;
选择单元120,用于当接收单元110接收到所述第一操作请求时根据所述选择策略,从所述物理HSM中选择初始物理HSM,并与所述初始物理HSM建立物理会话;
映射单元130,用于根据所述第一操作请求确定所述vHSM对应的第一虚拟会话,建立所述第一虚拟会话和所述物理会话的映射关系;
发送单元140,用于根据所述映射关系,将所述第一操作请求转发给所述初始物理HSM,以使所述初始物理HSM处理所述第一操作请求;
释放单元150,用于当所述管理虚拟机在预设时间内没有接收到所述vHSM发送的下一个操作请求时,结束所述物理会话并清除所述映射关系。
可选的,所述选择单元120包括:
负载检测模块121,用于获取至少一个物理HSM的负载;
选择模块123,用于将所述至少一个物理HSM中的负载小于第一负载预设值的物理HSM作为初始物理HSM;
建立模块122,用于与所述初始物理HSM建立物理会话。进一步的,所述服务器包括至少两个虚拟机;所述至少两个虚拟机中的vHSM分别与所述至少两个虚拟机建立第二虚拟会话,相对应的,所述至少两个虚拟机分别与所述至少一个物理HSM建立物理会话,所述建立物理会话的物理HSM为第一物理HSM;所述管理虚拟机分别建立所述第二虚拟会话和所述第二虚拟会话所对应的物理会话之间的映射关系;
所述管理虚拟机100还包括存储单元160;
所述负载检测模块121,还用于获取所述第一物理HSM的负载;
所述选择模块123,还用于当所述第一物理HSM的负载大于第二负载预设值时,按照预设顺序从所述物理会话中选择一个物理会话进行关闭,其中,所述第二负载预设值大于所述第一负载预设值,与所述关闭的物理会话对应的虚拟会话为第三虚拟会话;
所述存储单元160,用于存储所述第三虚拟会话的上下文信息。
可选的,所述管理虚拟机100,还包括恢复单元170;
所述选择模块123,还用于将所述处于物理会话的物理HSM中的负载小于第一负载预设值的物理HSM作为目标物理HSM;
所述建立模块122,还用于与所述目标物理HSM建立第三物理会话;
所述映射单元130,还用于建立所述第三虚拟会话和所述第三物理会话的第一映射关系;
所述恢复单元170,用于当根据所述第三虚拟会话的上下文信息确定存在未完成的操作请求时,通过所述第一映射关系向所述目标虚拟会话和所述第三物理会话向所述目标物理HSM发送所述未完成的操作请求,以使所述目标物理HSM恢复对于所述未完成的操作请求的处理。
可选的,所述管理虚拟机100,还包括事件检测单元180;
所述事件检测单元180,用于检测虚拟机迁移事件;
所述存储单元160,还用于当检测到存在虚拟机迁移事件后,存储需要迁移的虚拟机中的虚拟会话的上下文信息;
所述发送单元140,还用于将所述需要迁移的虚拟机中的虚拟会话的上下文信息发送给目标服务器,以便于所述目标服务器根据所述上下文信息恢复所述需要迁移的虚拟机。
本发明公开了一种管理虚拟机,在虚拟机中通过虚拟出的应用模块和vHSM形成虚拟会话,并在管理虚拟机中根据形成的虚拟会话建立虚拟会话和物理会话之间的映射关系,从而能够通过映射关系灵活地调整处理操作请求的物理HSM。
相对应的本发明还公开了一种服务器,如图1所示,设置有至少一个物理HSM;所述服务器运行有虚拟机和上述的管理虚拟机;在所述虚拟机中设置有应用模块和vHSM,在所述应用模块和所述vHSM之间建立有虚拟会话。
本发明公开了一种服务器,在虚拟机中通过虚拟出的应用模块和vHSM形成虚拟会话,并在管理虚拟机中根据形成的虚拟会话建立虚拟会话和物理会话之间的映射关系,从而能够通过映射关系灵活地调整处理操作请求的物理HSM。
相对应的,本发明还公开了一种服务器,如图11所示,所述服务器包括处理器、存储器和至少一个物理HSM;在所述服务器中,如图1所示,通过所述处理器和所述存储器运行虚拟机和管理虚拟机;在所述虚拟机中设置有应用模块和vHSM,在所述应用模块和所述vHSM之间建立有虚拟会话;
所述处理器,用于当所述管理虚拟机接收所述vHSM所转发的第一操作请求时,使所述管理虚拟机根据预设的选择策略,从所述物理HSM中选择一个初始物理HSM并与所述初始物理HSM建立物理会话,所述第一操作请求是所述vHSM从所述应用模块接收的;所述管理虚拟机根据所述第一操作请求确定所述vHSM对应的第一虚拟会话;使所述管理虚拟机建立所述第一虚拟会话和所述物理会话的映射关系,并在存储器中存储;使所述管理虚拟机根据所述映射关系,将所述第一操作请求转发给所述初始物理HSM,以使所述初始物理HSM处理所述第一操作请求;当所述管理虚拟机在预设时间内没有接收到所述vHSM发送的下一个操作请求时,所述管理虚拟机结束所述物理会话并清除所述映射关系。
可选的,所述处理器,具体用于使所述管理虚拟机获取至少一个物理HSM的负载;使所述管理虚拟机将所述至少一个物理HSM中的负载小于第一负载预设值的物理HSM作为初始物理HSM;使所述管理虚拟机与所述初始物理HSM建立物理会话。
进一步的,所述服务器包括至少两个虚拟机;所述至少两个虚拟机中的vHSM分别与所述至少两个虚拟机中的应用模块建立第二虚拟会话,相对应的,所述管理虚拟机分别与所述至少一个物理HSM建立物理会话,所述建立物理会话的物理HSM为第一物理HSM;所述管理虚拟机分别建立所述第二虚拟会话和所述第二虚拟会话所对应的物理会话之间的映射关系;
所述处理器,还用于使所述管理虚拟机获取所述第一物理HSM的负载;当所述第一物理HSM的负载大于第二负载预设值时,所述管理虚拟机按照预设顺序从所述物理会话中选择一个物理会话进行关闭,其中,所述第二负载预设值大于所述第一负载预设值,与所述关闭的物理会话对应的虚拟会话为第三虚拟会话;通过存储器存储所述第三虚拟会话的上下文信息。
进一步的,所述处理器,还用于使所述管理虚拟机将所述处于物理会话的物理HSM中的负载小于第一负载预设值的物理HSM作为目标物理HSM;使所述管理虚拟机与所述目标物理HSM建立第三物理会话;使所述管理虚拟机建立所述第三虚拟会话和所述第三物理会话的第一映射关系,并在存储器中存储;当根据所述第三虚拟会话的上下文信息确定存在未完成的操作请求时,所述管理虚拟机通过所述第一映射关系向所述目标物理HSM发送所述未完成的操作请求,以使所述目标物理HSM恢复对于所述未完成的操作请求的处理。
可选的,所述服务器还包括发送器;
所述处理器,还用于使所述管理虚拟机检测是否存在虚拟机迁移事件;当检测到存在虚拟机迁移事件时,使所述管理虚拟机通过存储器存储需要迁移的虚拟机中的虚拟会话的上下文信息;
所述发送器,还用于将所述需要迁移的虚拟机中的虚拟会话的上下文信息发送给目标服务器,以便于所述目标服务器根据所述上下文信息恢复所述需要迁移的虚拟机。
本发明公开了一种服务器,在虚拟机中通过虚拟出的应用模块和vHSM形成虚拟会话,并在管理虚拟机中根据形成的虚拟会话建立虚拟会话和物理会话之间的映射关系,从而能够通过映射关系灵活地调整处理操作请求的物理HSM。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种硬件安全模块HSM会话管理方法,其特征在于,应用于服务器,所述服务器包括至少一个物理HSM;所述服务器运行有虚拟机和管理虚拟机;所述虚拟机包括应用模块和虚拟硬件安全模块vHSM,在所述应用模块和所述vHSM之间建立有虚拟会话;
所述方法,包括:
当所述管理虚拟机接收所述vHSM所转发的第一操作请求时,所述管理虚拟机根据预设的选择策略,从所述物理HSM中选择一个初始物理HSM并与所述初始物理HSM建立物理会话,所述第一操作请求是所述vHSM从所述应用模块接收的;
所述管理虚拟机根据所述第一操作请求确定所述vHSM对应的第一虚拟会话;
所述管理虚拟机建立所述第一虚拟会话和所述物理会话的映射关系;
所述管理虚拟机根据所述映射关系将所述第一操作请求转发给所述初始物理HSM,以使所述初始物理HSM处理所述第一操作请求;
当所述管理虚拟机在预设时间内没有接收到所述vHSM发送的下一个操作请求时,所述管理虚拟机结束所述物理会话并清除所述映射关系。
2.根据权利要求1所述的方法,其特征在于,所述管理虚拟机根据预设的选择策略,从所述物理HSM中选择一个初始物理HSM并与所述初始物理HSM建立物理会话,包括:
所述管理虚拟机获取至少一个物理HSM的负载;
所述管理虚拟机将所述至少一个物理HSM中的负载小于第一负载预设值的物理HSM作为初始物理HSM;
所述管理虚拟机与所述初始物理HSM建立物理会话。
3.根据权利要求2所述的方法,其特征在于,所述服务器包括至少两个虚拟机;所述至少两个虚拟机中的vHSM分别与所述至少两个虚拟机中的应用模块建立第二虚拟会话,相对应的,所述管理虚拟机分别与所述至少一个物理HSM建立物理会话,所述建立物理会话的物理HSM为第一物理HSM;所述管理虚拟机分别建立所述第二虚拟会话和所述第二虚拟会话所对应的物理会话之间的映射关系;
所述方法还包括:
所述管理虚拟机获取所述第一物理HSM的负载;
当所述第一物理HSM的负载大于第二负载预设值时,所述管理虚拟机按照预设顺序从所述物理会话中选择一个物理会话进行关闭,其中,所述第二负载预设值大于所述第一负载预设值,与所述关闭的物理会话对应的虚拟会话为第三虚拟会话;
所述管理虚拟机存储所述第三虚拟会话的上下文信息。
4.根据权利要求3所述的方法,其特征在于,所述管理虚拟机按照预设顺序从所述物理会话中选择一个物理会话并进行关闭之后,还包括:
所述管理虚拟机将处于物理会话的物理HSM中的负载小于第一负载预设值的物理HSM作为目标物理HSM;
所述管理虚拟机与所述目标物理HSM建立第三物理会话;
所述管理虚拟机建立所述第三虚拟会话和所述第三物理会话的第一映射关系;
当根据所述第三虚拟会话的上下文信息确定存在未完成的操作请求时,所述管理虚拟机通过所述第一映射关系向所述目标物理HSM发送所述未完成的操作请求,以使所述目标物理HSM恢复对于所述未完成的操作请求的处理。
5.根据权利要求1至4任一所述的方法,其特征在于,在所述管理虚拟机基于所述映射关系,将所述操作请求转发给所述初始物理HSM,以使所述初始物理HSM处理所述操作请求之后,还包括:
所述管理虚拟机检测是否存在虚拟机迁移事件;
当检测到存在虚拟机迁移事件时,所述管理虚拟机存储需要迁移的虚拟机中的虚拟会话的上下文信息;
所述管理虚拟机将所述需要迁移的虚拟机中的虚拟会话的上下文信息发送给目标服务器,以便于所述目标服务器根据所述上下文信息恢复所述需要迁移的虚拟机。
6.一种管理虚拟机,其特征在于,运行于服务器中,所述服务器设置有至少一个物理硬件安全模块HSM;所述服务器还运行有虚拟机;在所述虚拟机中设置有应用模块和虚拟硬件安全模块vHSM,在所述应用模块和所述vHSM之间建立有虚拟会话;
所述管理虚拟机包括;
接收单元,用于接收所述vHSM所转发的第一操作请求,所述第一操作请求是所述vHSM从所述应用模块接收的;
选择单元,用于当所述接收单元接收到所述第一操作请求时,根据预设的选择策略,从所述物理HSM中选择初始物理HSM,并与所述初始物理HSM建立物理会话;
映射单元,用于根据所述第一操作请求确定所述vHSM对应的第一虚拟会话,建立所述第一虚拟会话和所述物理会话的映射关系;
发送单元,用于根据所述映射关系,将所述第一操作请求转发给所述初始物理HSM,以使所述初始物理HSM处理所述第一操作请求;
释放单元,用于当所述管理虚拟机在预设时间内没有接收到所述vHSM发送的下一个操作请求时,结束所述物理会话并清除所述映射关系。
7.根据权利要求6所述的管理虚拟机,其特征在于,所述选择单元包括:
负载检测模块,用于获取至少一个物理HSM的负载;
选择模块,用于将所述至少一个物理HSM中的负载小于第一负载预设值的物理HSM作为初始物理HSM;
建立模块,用于与所述初始物理HSM建立物理会话。
8.根据权利要求7所述的管理虚拟机,其特征在于,所述服务器包括至少两个虚拟机;所述至少两个虚拟机中的vHSM分别与所述至少两个虚拟机中的应用模块建立第二虚拟会话,相对应的,所述管理虚拟机分别与所述至少一个物理HSM建立物理会话,所述建立物理会话的物理HSM为第一物理HSM;所述管理虚拟机分别建立所述第二虚拟会话和所述第二虚拟会话所对应的物理会话之间的映射关系;
所述管理虚拟机还包括存储单元;
所述负载检测模块,还用于获取所述第一物理HSM的负载;
所述选择模块,还用于当所述第一物理HSM的负载大于第二负载预设值时,按照预设顺序从所述物理会话中选择一个物理会话进行关闭,其中,所述第二负载预设值大于所述第一负载预设值,与所述关闭的物理会话对应的虚拟会话为第三虚拟会话;
所述存储单元,用于存储所述第三虚拟会话的上下文信息。
9.根据权利要求8所述的管理虚拟机,其特征在于,还包括恢复单元;
所述选择模块,还用于将处于物理会话的物理HSM中的负载小于第一负载预设值的物理HSM作为目标物理HSM;
所述建立模块,还用于与所述目标物理HSM建立第三物理会话;
所述映射单元,还用于建立所述第三虚拟会话和所述第三物理会话的第一映射关系;
所述恢复单元,用于当根据所述第三虚拟会话的上下文信息确定存在未完成的操作请求时,通过所述第一映射关系向所述目标物理HSM发送所述未完成的操作请求,以使所述目标物理HSM恢复对于所述未完成的操作请求的处理。
10.根据权利要求8或9所述的管理虚拟机,其特征在于,还包括事件检测单元;
所述事件检测单元,用于检测是否存在虚拟机迁移事件;
所述存储单元,还用于当检测到存在虚拟机迁移事件后,存储需要迁移的虚拟机中的虚拟会话的上下文信息;
所述发送单元,还用于将所述需要迁移的虚拟机中的虚拟会话的上下文信息发送给目标服务器,以便于所述目标服务器根据所述上下文信息恢复所述需要迁移的虚拟机。
11.一种服务器,其特征在于,所述服务器设置有至少一个物理HSM;所述服务器运行有虚拟机和权利要求6-10所述的管理虚拟机;在所述虚拟机中设置有应用模块和vHSM,在所述应用模块和所述vHSM之间建立有虚拟会话。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410165247.9A CN105094942B (zh) | 2014-04-23 | 2014-04-23 | Hsm会话管理方法、管理虚拟机和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410165247.9A CN105094942B (zh) | 2014-04-23 | 2014-04-23 | Hsm会话管理方法、管理虚拟机和服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105094942A CN105094942A (zh) | 2015-11-25 |
| CN105094942B true CN105094942B (zh) | 2018-09-21 |
Family
ID=54575451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410165247.9A Active CN105094942B (zh) | 2014-04-23 | 2014-04-23 | Hsm会话管理方法、管理虚拟机和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105094942B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3648430B1 (de) * | 2018-11-05 | 2021-06-02 | Wincor Nixdorf International GmbH | Hardware-sicherheitsmodul |
| CN115495767B (zh) * | 2022-11-04 | 2023-03-14 | 湖北芯擎科技有限公司 | 虚拟会话方法、装置、电子设备及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1650244A (zh) * | 2002-08-13 | 2005-08-03 | 诺基亚有限公司 | 以安全或非安全模式执行程序的计算机结构 |
| CN101086714A (zh) * | 2006-06-08 | 2007-12-12 | 国际商业机器公司 | 用于实施远程镜像操作的系统和方法 |
| CN102163266A (zh) * | 2010-02-17 | 2011-08-24 | 微软公司 | 在主机服务器之间安全地移动虚拟机 |
| CN102289386A (zh) * | 2010-06-21 | 2011-12-21 | 英特尔公司 | 通过部分虚拟化机器的统一存储设备 |
| CN102857363A (zh) * | 2012-05-04 | 2013-01-02 | 运软网络科技(上海)有限公司 | 一种虚拟网络的自主管理系统和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8442224B2 (en) * | 2010-06-28 | 2013-05-14 | Intel Corporation | Protecting video content using virtualization |
-
2014
- 2014-04-23 CN CN201410165247.9A patent/CN105094942B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1650244A (zh) * | 2002-08-13 | 2005-08-03 | 诺基亚有限公司 | 以安全或非安全模式执行程序的计算机结构 |
| CN101086714A (zh) * | 2006-06-08 | 2007-12-12 | 国际商业机器公司 | 用于实施远程镜像操作的系统和方法 |
| CN102163266A (zh) * | 2010-02-17 | 2011-08-24 | 微软公司 | 在主机服务器之间安全地移动虚拟机 |
| CN102289386A (zh) * | 2010-06-21 | 2011-12-21 | 英特尔公司 | 通过部分虚拟化机器的统一存储设备 |
| CN102857363A (zh) * | 2012-05-04 | 2013-01-02 | 运软网络科技(上海)有限公司 | 一种虚拟网络的自主管理系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105094942A (zh) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104461744B (zh) | 一种资源分配方法及装置 | |
| CN104243405B (zh) | 一种请求处理方法、装置及系统 | |
| CN102369688A (zh) | 资源动态调整方法和调度设备 | |
| WO2017167025A1 (zh) | 一种实现任务调度的方法、装置及计算机存储介质 | |
| CN105357199B (zh) | 一种云计算认知资源管理系统及方法 | |
| CN108345501A (zh) | 一种分布式资源调度方法和系统 | |
| CN105677441B (zh) | 虚拟机迁移方法、虚拟设施管理器及协调器 | |
| CN105138389A (zh) | 一种集群中虚拟设备的管理方法及系统 | |
| CN107885594A (zh) | 分布式资源调度方法、调度节点及接入节点 | |
| CN103870362B (zh) | 一种数据恢复方法、装置及备份系统 | |
| CN106941516A (zh) | 基于工业互联网操作系统的异构现场设备控制管理系统 | |
| CN107977252A (zh) | 一种云平台业务的缩容方法、装置及云平台 | |
| CN105389206B (zh) | 一种云计算数据中心虚拟机资源快速配置方法 | |
| CN107317712A (zh) | 一种网络切片的创建方法及装置 | |
| CN106201723A (zh) | 一种数据中心的资源调度方法及装置 | |
| CN102970379A (zh) | 在多个服务器之间实现负载均衡的方法 | |
| CN103825785B (zh) | 一种服务节点的监测方法及装置 | |
| CN107704310A (zh) | 一种实现容器集群管理的方法、装置和设备 | |
| CN103888501A (zh) | 虚拟机迁移方法和装置 | |
| CN105871580A (zh) | 跨集群自动化部署运维系统及方法 | |
| CN109672758A (zh) | 地址分配方法、接入服务器及计算机存储介质 | |
| CN106713375A (zh) | 云资源的调配方法及装置 | |
| CN103713942A (zh) | 在集群中调度运行分布式计算框架的方法和系统 | |
| CN106790092A (zh) | 远程过程调用服务端控制系统及方法 | |
| CN107172204A (zh) | 高可用高负载的工单处理系统及工单处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210430 Address after: Unit 3401, unit a, building 6, Shenye Zhongcheng, No. 8089, Hongli West Road, Donghai community, Xiangmihu street, Futian District, Shenzhen, Guangdong 518040 Patentee after: Honor Device Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |