(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210946813.4 (22)申请日 2022.08.09 (71)申请人 北京安盟信息技 术股份有限公司 地址 100094 北京市海淀区西北旺镇邓庄 南路南侧、 友谊路西侧的土井村盛景 创业园T01地 块1号楼3A层3A19 (72)发明人 李阳　张大伟　 (74)专利代理 机构 北京冠榆知识产权代理事务 所(特殊普通 合伙) 11666 专利代理师 朱亚琦 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/00(2022.01) H04L 9/08(2006.01) G06F 21/31(2013.01)G06F 21/45(2013.01) (54)发明名称 一种基于虚拟化技术的密码服务加速方法 及装置 (57)摘要 本发明公开一种基于虚拟化技术的密码服 务加速方法及装置， 其中， 所述装置包括硬件密 码模块和预装有供硬件密码模块使用的物理功 能驱动和虚拟功能驱动的应用服务器或硬件平 台， 硬件密码 模块与应用服务器或硬件平台通信 连接； 当需要密码服务的应用通过API接口与应 用服务器或硬件平台通信连接时， 应用服务器或 硬件平台利用预装的物理功能驱动和虚拟功能 驱动在应用服务器或硬件平台上虚拟出与需要 密码服务的应用相对应的虚拟密码模块， 并在硬 件密码模块的存储空间中虚拟出与虚拟密码模 块相对应的存储区， 然后通过该虚拟密码模块为 该应用提供密码服务； 虚拟密码模块用于对硬件 密码模块进行模拟。 权利要求书1页 说明书4页 附图2页 CN 115022095 A 2022.09.06 CN 115022095 A 1.一种基于虚拟化 技术的密码服 务加速方法， 其特 征在于， 包括如下步骤： S10） 在应用服务器或硬件平台上安装供硬件密码模块使用的物理功能驱动和虚拟功 能驱动； S20） 将硬件密码模块与应用服 务器或与应用服 务器相连接的硬件平台通信连接； S30） 将需要密码服 务的应用通过API接口与应用服 务器或硬件平台通信连接； S40） 应用服务器或硬件平台利用步骤S10） 中安装 的物理功能驱动和虚拟功能驱动在 应用服务器 或硬件平台上虚拟出与需要密码服务的应用相对应的虚拟密码模块， 并在硬件 密码模块的存储空间中虚拟出与虚拟密码模块相对应的存储区， 然后通过该虚拟密码模块 为该应用提供密码服 务； 虚拟密码模块用于对硬件密码模块进行模拟。 2.根据权利要求1所述的基于虚拟化技术的密码服务加速方法， 其特征在于， 在步骤 S20） 中， 硬件密码模块 通过PCI‑E接口与应用服 务器或硬件平台通信连接 。 3.根据权利要求1所述的基于虚拟化技术的密码服务加速方法， 其特征在于， 硬件平台 为IPSec VPN或SSL VPN网络处 理平台。 4.根据权利要求1所述的基于虚拟化技术的密码服务加速方法， 其特征在于， 在步骤 S40） 中， 应用服务器或硬件平台利用步骤S10） 中安装的物理功能驱动和虚拟功能驱动通过 PCI‑E虚拟化技术在应用服 务器或硬件平台上虚拟出虚拟密码模块。 5.根据权利要求1～4任一所述的基于虚拟化技术的密码服务加速方法， 其特征在于， 当虚拟密码模块数量大于或等于2个时， 虚拟密码模块之间是相互独立的。 6.一种密码服务加速装置， 其特征在于， 包括硬件密码模块和预装有供硬件密码模块 使用的物理功能驱动和虚拟功能驱动的应用服务器或硬件平台， 硬件密码模块与应用服务 器或硬件平台通信连接； 当需要密码服务的应用通过API接口与应用服务器或硬件平台通 信连接时， 应用服务器或硬件平台利用预装的物理功能驱动和虚拟功能驱动在应用服务器 或硬件平台上虚拟出与需要密码服务的应用相对应的虚拟密码模块， 并在硬件密码模块的 存储空间中虚拟出与虚拟密码模块相对应的存储区， 然后通过该虚拟密码模块为该应用提 供密码服 务； 虚拟密码模块用于对硬件密码模块进行模拟。 7.根据权利要求6所述的密码服务加速装置， 其特征在于， 硬件密码模块通过PCI ‑E接 口与应用服 务器或硬件平台通信连接 。 8.根据权利 要求7所述的密码服务加速装置， 其特征在于， 硬件平台为IPSec  VPN或SSL   VPN网络处 理平台。 9.根据权利要求6～8任一所述的密码服务加速装置， 其特征在于， 硬件密码模块内预 设有大于或等于 3中加密算法。 10.根据权利要求6～8任一所述的密码服务加速装置， 其特征在于， API接口包括用户 态API接口和内核态 API接口。权　利　要　求　书 1/1 页 2 CN 115022095 A 2一种基于虚拟化 技术的密码服务加速方 法及装置 技术领域 [0001]本发明涉及密码服务调用技术领域。 具体地说是一种基于虚拟化技术的密码服务 加速方法及装置， 尤其涉及IPSec  VPN、 SSL VPN等密码网关使用的密码加速服务， 在内核态 和用户态同时需要 进行硬件密码加速， 以满足密码网关所部署的网络对设备的性能要求。 背景技术 [0002]随着互联网的高速发展， 越来越多的设备接入网络， 同时网络带宽也呈现指数级 增长， 现在的个人局域网， 已普遍千兆速率， 这就对为满足网络安全而部署的密码设备性能 提出了更高的要求。 [0003]网络密码装备包括IPSec  VPN网关、 SSL  VPN网关， 这两类密码网关主要工作在网 络层和传输层， 一般采用高性能的多核处理器来处理网络业务数据， 而网关保护数据机密 性使用的对称加密算法、 保护数据完整性使用的杂凑算法和实现身份认证使用的非对称算 法一般采用硬件实现。 [0004]在IPSec VPN网关和SSL  VPN网关中， 均需要实现密钥协商和业务数据加 解密， 而 且， 密钥协商程序一般 工作在用户态， 数据加解密工作在内核态。 [0005]在IPSec VPN网关和SSL  VPN网关中， 通信的双方通过协商生成会话密钥， 再使用 会话密钥将待传输的TCP数据或IP数据进 行加密， 像普通TCP数据包或者IP数据包一样进 行 传输。 [0006]如上处理， 只有IPSec  VPN网关、 SSL  VPN网关的通信双方能够对网络上 的数据能 够进行解析和处理， 而对于其他非法捕获者而言只是无意义的数据。 IPSec  VPN、 SSL VPN通 信协商的安全通道提供已下功能和特性： 数据机密性， 通过协商的会话密钥对数据的加密， 保证只有通信双方才能解密出 数据。 [0007]数据完整性， 通过协商好的HMAC算法计算数据 包的MAC值， 已保证数据在传递过程 中的完整性。 [0008]身份认证， 通过协商过程中公私钥签名验签来保证对方的真实身份。 [0009]消息防重放， IPSec  VPN、 SSL VPN网关通过保证每个数据包的唯一性和消息ID递 增性来确保攻击者捕获的数据包不能重发或重用。 [0010]如上所述， IPSec  VPN、 SSL VPN使用密钥协商、 数据加解密来确保数据机密性、 完 整性以及身份认证， 而算法都由硬件密码算法模块实现。 [0011]硬件密码算法模块一般都必须同时提供内核态和用户态的密码算法API接 口， 数 据加解密和密钥协商一般而内核态接口和用户态接口的竞争调用都会使调用接口管理复 杂度增加。 发明内容 [0012]为此， 本发明所要解决的技术问题在于提供一种基于虚拟化技术的密码服务加速说　明　书 1/4 页 3 CN 115022095 A 3