[发明专利]一种支持硬件虚拟化的系统

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种支持硬件虚拟化的系统。

背景技术

以计算机为主的信息系统日益受到安全威胁，这种威胁在计算机网络发展过程中愈演愈烈，传统的防火墙、入侵检测、防病毒等技术措施是被动防护的技术，在日新月异的信息安全威胁面前局限性日益明显。可信计算试图通过加强计算机系统架构自身的“免疫能力”，主动地防御信息安全威胁，即建立可信的信息系统。

在云环境中，传统的安全策略不能很好的发挥作用，数据的访问控制和保护更困难，适合采用可信计算等主动防御技术的保护。但云环境下的可信也面临诸如国家对自主可控的要求、缺少高性能的TPM可信根，无法提供强保护机制等技术挑战。亟需一种能够在云环境中使用的密码硬件模块作为可信基础，构建一个积极防御、主动免疫的云可信硬件体系，为云计算、大数据、移动化、虚拟化提供可信可控的安全服务环境。

此外，随着大数据时代的到来，数据已成为个人、企业、机构乃至国家最重要的财富。数据集中已是大势所趋，越来越多的企业选择自建云数据中心，或将数据迁移到公有的云存储中。这样带来方便的同时，也给数据带来了安全隐患。无法有效控制数据访问权限，无法审计文件访问痕迹，云管理员越权，存储设备丢失废弃造成数据泄露等安全问题，让用户感觉云端的数据无法掌控。云端数据存储的安全可信也就成为阻碍云存储模式发展的最大问题。亟需高性能的且能够在虚拟机中使用的密码硬件为基础将受保护的数据加密后以密文的形式保存在云存储系统之上。

云应用的兴起需要底层硬件设备的技术支撑，在云环境中，不同的用户会分享同一组硬件资源。云环境里需要服务器端的设备具备两个特性来支撑云环境使用：高性能以及虚拟化支持。

服务器端设备的虚拟化的实现有三个部分的实现：CPU虚拟化，内存虚拟化和IO虚拟化。CPU虚拟化及内存虚拟化已由相应的CPU、主板、操作系统做了很好的支撑。

密码卡作为一种扩展的IO设备，支持虚拟化环境的调用也是云时代的发展要求。因此需要密码卡支持相应的虚拟化技术SR-IOV。SR-IOV技术是一种基于硬件的虚拟化解决方案。SR-IOV标准允许在虚拟机之间高效共享PCIe设备，并且它是在硬件中实现的，可以获得能够与本机性能媲美的I/O性能。

密码卡支持IO虚拟化技术，其前提是密码卡已经具有了高性能高带宽的特性，离开了这个前提，支持多个用户共同分享密码卡的硬件资源将失去分享的意义，而目前的密码卡显然无法完全满足高性能高带宽的要求。

发明内容

本发明提供一种支持硬件虚拟化的系统，目的在于能够支持虚拟化功能，能够在虚拟机操作系统环境中访问密码卡的密码服务，方便客户将业务移植到虚拟机操作系统。

本发明解决上述技术问题的技术方案如下：一种支持硬件虚拟化的系统，所述系统包括：至少一个虚拟机、宿主机、驱动模块和密码卡，

所述密码卡安装在宿主机中，所述密码卡中设置有DMA读通道和DMA写通道，用于分别控制不同虚拟机的DMA读和DMA写；

所述宿主机用于配置和复位密码卡的数据信息；

所述驱动模块用于接收并处理密码卡与虚拟机之间交互的数据。

本发明的有益效果是：本发明通过相对独立的DMA读通道和DMA写通道，分别控制不同虚拟机的DMA读和DMA写，能够最大化利用传输总线的带宽，达到了高性能高带宽的要求，能够使用且支持8至16个虚拟机。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述每一个虚拟机中均设置有相互独立的控制寄存器阵列和存储器，所述控制寄存器阵列包括地址寄存器、数据读长度寄存器、数据写长度寄存器、DMA传输启动寄存器和DMA传输状态寄存器；所述地址寄存器、数据读长度寄存器、数据写长度寄存器、DMA传输启动寄存器和DMA传输状态寄存器均映射到所对应的虚拟机的存储器空间。

采用上述进一步方案的有益效果是：在每一个虚拟机中设置与其相对应的控制寄存器阵列，其他虚拟机无法对其进行访问，各虚拟机的存储区也是相互独立，彼此隔绝的，保证了虚拟机在运行过程中不会对彼此造成干扰。

进一步，所述密码卡中设置有与每一个虚拟机相对应且彼此独立的数字存储区，用于存储虚拟机的收发数据。

采用上述进一步方案的有益效果是：密码卡中设置的数字存储区能够对虚拟机从外部接收的数据或准备往外传输的数据进行存储，保证数据的完整性，不会造成数据的流失。