CN114238938B - 一种pcie密码卡虚拟化配置管理方法 - Google Patents
一种pcie密码卡虚拟化配置管理方法 Download PDFInfo
- Publication number
- CN114238938B CN114238938B CN202111561303.7A CN202111561303A CN114238938B CN 114238938 B CN114238938 B CN 114238938B CN 202111561303 A CN202111561303 A CN 202111561303A CN 114238938 B CN114238938 B CN 114238938B
- Authority
- CN
- China
- Prior art keywords
- virtualization
- password card
- user
- pcie
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5011—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种PCIE密码卡虚拟化配置管理方法,包括如下步骤:S1)将PCIE密码卡存储空间分割为N个存储区,再将每个存储区分割成M个存储单元,各个存储单元相互独立,其中,N和M均为自然数,且M小于或等于N;S2)设置PCIE密码卡的虚拟化模式,虚拟化模式包括全部虚拟化和部分虚拟化;S3)将PCIE密码卡初始化,具体操作为:先利用密码卡配置工具生成管理密钥和设备密钥,然后添加用户信息。本发明通过动态选择部分虚拟化还是全部虚拟化实现密码卡资源的分配管理,提高了密码卡使用灵活性。
Description
技术领域
本发明涉及计算机信息安全通信技术领域。具体地说是一种PCIE密码卡虚拟化配置管理方法。
背景技术
虚拟化技术逐渐成为云计算中的核心技术,它提供了对物理服务器上资源最大化利用的一个切实可行的解决方案。另一方面,现在高性能的硬件设备价格昂贵,在没有虚拟化技术的前提下,这中昂贵的硬件设备,性能并没有得到最大程度上的利用。
专利——一种虚拟化环境下密码卡资源动态控制方法中公开了以下内容:一是在单台物理服务器上,对物理密码卡设备的分配方法;二是在多台服务器情况下,对各台服务器上的物理密码卡的使用情况实时监控的一种方法。对于监控的内容包括使用该加密卡的虚拟化服务器的个数以及绑定虚拟化服务器的名称,同时还包括该密码卡加密和解密的数据量。密码卡的主要功能可以分为管理功能和密码运算功能,该技术方案仅对密码运算功能进行了资源分配,密码卡的管理功能并没提及。
专利——一种密码设备的虚拟化实现架构公开了一种密码设备的虚拟化实现架构,具体包括应用程序接口、linux用户空间加密接口cryptodev、linux内核加密框架LinuxKernelCrypto Framework、I/O半虚拟化程序Virtio-Crypto、QEMU模拟器、密码卡接口和物理密码设备驱动程序,所述应用程序接口,发送用户的密码服务请求。该技术方案提出了密码卡的虚拟化架构,但是并未提及密码卡资源的分配。
发明内容
为此,本发明所要解决的技术问题在于提供一种PCIE密码卡虚拟化配置管理方法,通过动态选择部分虚拟化还是全部虚拟化实现密码卡资源的分配管理,提高了密码卡使用灵活性。
为解决上述技术问题,本发明提供如下技术方案:
一种PCIE密码卡虚拟化配置管理方法,包括如下步骤:
S1)将PCIE密码卡存储空间分割为N个存储区,再将每个存储区分割成M个存储单元,各个存储单元相互独立,其中,N和M均为自然数,且M小于或等于N;
S2)设置PCIE密码卡的虚拟化模式,虚拟化模式包括全部虚拟化和部分虚拟化;
S3)将PCIE密码卡初始化,具体操作为:先利用密码卡配置工具生成管理密钥和设备密钥,然后添加用户信息;
S4)将步骤S3)中生成的管理密钥和设备密钥以及添加的用户信息存放在步骤S1)中被分割出来的对应存储区内。
上述PCIE密码卡虚拟化配置管理方法,在步骤S2)中,用户在与密码卡通信过程中通过传递变量vf_mode的值来选择部分虚拟化或全部虚拟化,其中,全部虚拟化时,vf_mode设为1,步骤S1)中分割出来的存储区一一映射给虚拟密码卡,部分虚拟化时,vf_mode设为0,密码卡内某一存储区映射给所有的虚拟密码卡。
上述PCIE密码卡虚拟化配置管理方法,在步骤S4)中,全部虚拟化时,生成的设备信息及用户信息只能存储在对应的存储单元内且虚拟化用户的用户信息相互独立;部分虚拟化时,所有虚拟化用户共用一套设备信息和用户信息且虚拟化用户的用户信息相互公开。
上述PCIE密码卡虚拟化配置管理方法,在全部虚拟化应用场景下,虚拟密码卡在用户登录时将用户信息和虚拟密码卡对应存储区内的信息进行校验,并将登录信息记录在对应存储区内。
上述PCIE密码卡虚拟化配置管理方法,在部分虚拟化应用场景下,虚拟密码卡在用户登录时会将用户信息与密码卡存储区内的信息进行校验并将登录信息存储在密码卡该存储区内,且不同的虚拟密码卡无法同时登录相同的用户。
上述PCIE密码卡虚拟化配置管理方法,在部分虚拟化应用场景下,任一虚拟化用户执行的管理操作对所有虚拟化用户均为有效操作。
上述PCIE密码卡虚拟化配置管理方法,在全部虚拟化的应用场景下,任一虚拟化用户执行的管理操作仅对该虚拟化用户有效。
本发明的技术方案取得了如下有益的技术效果:
本发明提出了全部虚拟化和部分虚拟化的实施方案,由用户自由选择虚拟化的方式,提高了密码卡使用的灵活性,增加了密码卡的应用场景。
附图说明
图1为PCIE密码卡内部存储空间分割配置示意图;
图2为全部虚拟化时存储区映射关系示意图;
图3为部分虚拟化时存储区映射关系示意图。
具体实施方式
如图1所示,本发明PCIE密码卡虚拟化配置管理方法,包括如下步骤:
S1)将PCIE密码卡存储空间分割为N个存储区,再将每个存储区分割成3个存储单元,各个存储单元相互独立,其中,N为大于或等于3的自然数;存储单元用于存储设备信息、用户信息和用户密钥对,每个存储单元仅存储一种信息;
S2)设置PCIE密码卡的虚拟化模式,虚拟化模式包括全部虚拟化和部分虚拟化;具体操作为:用户在与密码卡通信过程中通过传递变量vf_mode的值来选择部分虚拟化或全部虚拟化,其中,全部虚拟化时,vf_mode设为1,步骤S1)中分割出来的存储区一一映射给虚拟密码卡,部分虚拟化时,vf_mode设为0,密码卡内某一存储区映射给所有的虚拟密码卡;
S3)将PCIE密码卡初始化,具体操作为:先利用密码卡配置工具生成管理密钥和设备密钥,然后添加用户信息;
S4)将步骤S3)中生成的管理密钥和设备密钥以及添加的用户信息存放在步骤S1)中被分割出来的对应存储区内。
其中,全部虚拟化时,在步骤S4中,生成的设备信息及用户信息只能存储在对应的存储单元内且虚拟化用户的用户信息相互独立,即每个虚拟化用户只有权限读取或修改自己的设备信息和用户信息,而无权限操作其他虚拟化用户的数据;部分虚拟化时,在步骤S4)中,所有虚拟化用户共用一套设备信息和用户信息且虚拟化用户的用户信息相互公开。在全部虚拟化应用场景下,虚拟密码卡在用户登录时将用户信息和虚拟密码卡对应存储区内的信息进行校验,并将登录信息记录在对应存储区内。在全部虚拟化的应用场景下,任一虚拟化用户执行的管理操作仅对该虚拟化用户有效。
在部分虚拟化应用场景下,虚拟密码卡在用户登录时会将用户信息与密码卡存储区内的信息进行校验并将登录信息存储在密码卡该存储区内,且不同的虚拟密码卡无法同时登录相同的用户。且在部分虚拟化应用场景下,任一虚拟化用户执行的管理操作对所有虚拟化用户均为有效操作。
具体实施操作
1.PCIE密码卡初始化及用户注册与注销
PCIE密码卡初始化涉及到设备密钥、管理密钥、设备信息的生成及存储,用户注册和注销涉及到用户信息(包括用户pin码、usbkey公钥、用户类型)的生成、存储及删除。在将PCIE密码卡内存分割并将PCIE密码卡进行虚拟化之后,利用密码卡配置工具生成设备密钥、管理密钥和设备信息,并将上述信息存储在对应的存储区内,通过用户注册和注销实现对用户信息的生成、存储以及删除。
在全部虚拟化应用场景下,如图1所示,PCIE密码卡的存储空间被平均分割为独立的储存区,每个存储区被分割为3个独立的存储单元,如图2所示,虚拟化密码卡生成的设备及用户信息被存储在各自的存储单元内,虚拟化用户删除信息时也只能删除对应存储单元空间内存放的信息。
而在部分虚拟化应用场景下,如图3所示,PCIE密码卡的存储区1映射给所有虚拟密码卡,所有虚拟密码卡用户共用一套设备和用户信息,虚拟密码卡a注册了新的用户,虚拟密码卡b也能看到虚拟密码卡a注册的用户;虚拟密码卡b注销用户后,虚拟密码卡a也无法看到此用户信息。
2.用户登录、登出
用户登录时将会需要对用户信息进行校验以及合成管理密钥,而用户登出将会改变用户的登录状态。
在全部虚拟化应用场景下,虚拟密码卡在用户登录时,会将用户信息和虚拟密码卡对应存储区内的信息进行校验,并将登录信息记录在对应的存储区内。用户登出也只会改变对应虚拟密码卡内存储区的信息。
在部分虚拟化应用场景下,虚拟密码卡在用户登录时,会将用户信息和密码卡存储区1内的信息进行校验,并将登录信息存储在密码卡的存储区1,不同的虚拟密码卡无法同时登录相同的用户。用户登出时会改变密码卡存储区1中的信息。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。
Claims (3)
1.一种PCIE密码卡虚拟化配置管理方法,其特征在于,包括如下步骤:
S1)将PCIE密码卡存储空间分割为N个存储区,再将每个存储区分割成M个存储单元,各个存储单元相互独立,其中,N和M均为自然数,且M小于或等于N;
S2)设置PCIE密码卡的虚拟化模式,虚拟化模式包括全部虚拟化和部分虚拟化;用户在与密码卡通信过程中通过传递变量vf_mode的值来选择部分虚拟化或全部虚拟化,其中,全部虚拟化时,vf_mode设为1,步骤S1)中分割出来的存储区一一映射给虚拟密码卡,部分虚拟化时,vf_mode设为0,密码卡内某一存储区映射给所有的虚拟密码卡;
S3)将PCIE密码卡初始化,具体操作为:先利用密码卡配置工具生成管理密钥和设备密钥,然后添加用户信息;
S4)将步骤S3)中生成的管理密钥和设备密钥以及添加的用户信息存放在步骤S1)中被分割出来的对应存储区内;全部虚拟化时,生成的设备信息及用户信息只能存储在对应的存储单元内且虚拟化用户的用户信息相互独立;部分虚拟化时,所有虚拟化用户共用一套设备信息和用户信息且虚拟化用户的用户信息相互公开;在全部虚拟化应用场景下,虚拟密码卡在用户登录时将用户信息和虚拟密码卡对应存储区内的信息进行校验,并将登录信息记录在对应存储区内;在部分虚拟化应用场景下,虚拟密码卡在用户登录时会将用户信息与密码卡存储区内的信息进行校验并将登录信息存储在密码卡该存储区内,且不同的虚拟密码卡无法同时登录相同的用户。
2.根据权利要求1所述的PCIE密码卡虚拟化配置管理方法,其特征在于,在部分虚拟化应用场景下,任一虚拟化用户执行的管理操作对所有虚拟化用户均为有效操作。
3.根据权利要求1所述的PCIE密码卡虚拟化配置管理方法,其特征在于,在全部虚拟化的应用场景下,任一虚拟化用户执行的管理操作仅对该虚拟化用户有效。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111561303.7A CN114238938B (zh) | 2021-12-15 | 2021-12-15 | 一种pcie密码卡虚拟化配置管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111561303.7A CN114238938B (zh) | 2021-12-15 | 2021-12-15 | 一种pcie密码卡虚拟化配置管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114238938A CN114238938A (zh) | 2022-03-25 |
CN114238938B true CN114238938B (zh) | 2022-10-21 |
Family
ID=80759228
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111561303.7A Active CN114238938B (zh) | 2021-12-15 | 2021-12-15 | 一种pcie密码卡虚拟化配置管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114238938B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116074003B (zh) * | 2023-03-06 | 2023-06-20 | 中安云科科技发展(山东)有限公司 | 一种密码机动态多线程负载均衡方法、系统及密码机 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357700A (zh) * | 2016-11-24 | 2017-01-25 | 济南浪潮高新科技投资发展有限公司 | 一种云环境下密码设备虚拟化方法 |
CN110321695A (zh) * | 2019-07-11 | 2019-10-11 | 成都卫士通信息产业股份有限公司 | 大数据系统密码服务方法、装置 |
CN112487393A (zh) * | 2020-11-23 | 2021-03-12 | 苏州浪潮智能科技有限公司 | 一种实现虚拟机中访问pci密码卡的方法及装置 |
-
2021
- 2021-12-15 CN CN202111561303.7A patent/CN114238938B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357700A (zh) * | 2016-11-24 | 2017-01-25 | 济南浪潮高新科技投资发展有限公司 | 一种云环境下密码设备虚拟化方法 |
CN110321695A (zh) * | 2019-07-11 | 2019-10-11 | 成都卫士通信息产业股份有限公司 | 大数据系统密码服务方法、装置 |
CN112487393A (zh) * | 2020-11-23 | 2021-03-12 | 苏州浪潮智能科技有限公司 | 一种实现虚拟机中访问pci密码卡的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114238938A (zh) | 2022-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9317316B2 (en) | Host virtual machine assisting booting of a fully-encrypted user virtual machine on a cloud environment | |
CN108228316B (zh) | 一种密码设备虚拟化的方法及设备 | |
US11294735B2 (en) | Method and apparatus for accessing desktop cloud virtual machine, and desktop cloud controller | |
CN101449275B (zh) | 用于存储装置的安全访问控制的系统和方法 | |
US8621196B2 (en) | Booting from an encrypted ISO image | |
US10956596B2 (en) | System and method for automatically securing sensitive data in public cloud using a serverless architecture | |
US20230031297A1 (en) | Binding secure keys of secure guests to a hardware security module | |
CN102882885A (zh) | 一种提高云计算数据安全的方法及系统 | |
US10623186B1 (en) | Authenticated encryption with multiple contexts | |
CN102667803B (zh) | 用于根据所分配的权限信息运行虚拟机的方法和设备 | |
US10922420B2 (en) | Virtualized volume level security | |
US10601580B2 (en) | Secure order preserving string compression | |
US20230291542A1 (en) | Implementing resilient deterministic encryption | |
JP2022523770A (ja) | セキュア・インタフェース・コントロールのためのセキュア実行ゲスト所有者コントロール | |
CN114930328A (zh) | 将安全模块的安全对象绑定到安全访客 | |
CN114238938B (zh) | 一种pcie密码卡虚拟化配置管理方法 | |
CN116418522A (zh) | 一种基于虚拟化技术的云服务器密码机系统 | |
EP3553689B1 (en) | System and method for automatically securing sensitive data in public cloud using a serverless architecture | |
CN108021801A (zh) | 基于虚拟桌面的防泄密方法、服务器及存储介质 | |
Zhou et al. | A secure virtual data center based on data labeled cloud-agent | |
CN116614241A (zh) | 一种认证方法,计算装置和实例管理装置 | |
KR101302003B1 (ko) | 버추얼 오퍼레이팅 시스템 | |
CN113468563A (zh) | 虚拟机数据加密方法、装置、计算机设备和存储介质 | |
CN115202828A (zh) | 一种多云环境下迁移虚拟机的方法及设备 | |
CN117763529A (zh) | 一种实现云桌面与云应用融合管理的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |