本發(fā)明涉及信息安全密碼技術(shù)領(lǐng)域，本發(fā)明公開了一種增強密碼機安全服務接入能力的方法，主控進程創(chuàng)建并監(jiān)控多個工作進程，工作進程綁定到若干個CPU核上，每個CPU核需駐留N個工作進程，其中N≥2；工作進程創(chuàng)建并管理服務線程池，由服務線程池中的服務線程實現(xiàn)業(yè)務指令報文解析與處理；工作進程配備共享資源，由進程所屬服務線程池中的多個服務線程共享使用，并實現(xiàn)與其他工作進程之間的資源隔離。本發(fā)明通過引入工作進程多核綁定、服務線程池以及密碼運算統(tǒng)一調(diào)度技術(shù)，大幅提升密碼機的安全服務接入能力，即使在高并發(fā)業(yè)務接入場景下，密碼機的密碼運算性能不損失，充分利用了密碼機的硬件平臺資源，本發(fā)明能快速適配到不同的密碼機硬件平臺。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全密碼技術(shù)領(lǐng)域，尤其涉及一種增強密碼機安全服務接入能力的方法。

背景技術(shù)

密碼技術(shù)是信息安全的技術(shù)基礎(chǔ)，密碼機是密碼技術(shù)安全應用的基礎(chǔ)和信息化安全的核心。隨著我國信息化產(chǎn)業(yè)高速全面發(fā)展，作為信息安全基礎(chǔ)核心的密碼設(shè)備，一直通過不斷升級硬件平臺提供更強性能的密碼業(yè)務服務，也面臨著越來越高的業(yè)務服務并發(fā)接入要求。

傳統(tǒng)的密碼機安全服務并發(fā)接入通常采用多進程方式，為每個接入的業(yè)務服務創(chuàng)建一個專用服務進程，完成報文收發(fā)、解析和密碼運算，實現(xiàn)密碼業(yè)務指令的快速處理。當業(yè)務服務接入數(shù)量大幅增長時，服務進程的創(chuàng)建將占用大量CPU和內(nèi)存資源；同時，由于進程數(shù)量過大，當大量進程同時進行指令處理時，大部分的CPU資源將被消耗于進程上下文切換，導致密碼機的密碼服務性能急劇下降，不能充分發(fā)揮密碼機的安全服務性能，造成硬件資源的極大浪費。

發(fā)明內(nèi)容

為了解決上述問題，為了解決密碼機在上述業(yè)務服務高并發(fā)接入場景下存在的性能陡降和資源浪費問題，進一步提升密碼機的并發(fā)接入服務性能，本發(fā)明提出一種增強密碼機安全服務接入能力的方法，其技術(shù)方案如下：

主控進程創(chuàng)建并監(jiān)控多個工作進程，所述工作進程綁定到若干個CPU核上，每個CPU核需駐留N個所述工作進程，其中N≥2；所述工作進程創(chuàng)建并管理服務線程池，由所述服務線程池中的服務線程實現(xiàn)業(yè)務指令報文解析與處理；所述工作進程配備共享資源，由進程所屬服務線程池中的多個服務線程共享使用，并實現(xiàn)與其他工作進程之間的資源隔離。

進一步的，所述工作進程采用基于多路IO復用技術(shù)的事件驅(qū)動架構(gòu)，能夠以較低的資源需求高效處理數(shù)以萬計的TCP并發(fā)網(wǎng)絡(luò)連接。

進一步的，所述工作進程的數(shù)量根據(jù)密碼機所使用硬件平臺的CPU核數(shù)進行設(shè)定，其數(shù)量至少是所述CPU核數(shù)的兩倍，并均衡地綁定到各個CPU核上。

進一步的，所述服務線程采用線程池的方式以避免密碼機線程或進程過多造成性能下降，所述服務線程池中服務線程的數(shù)量根據(jù)密碼機所使用的密碼卡的并發(fā)處理能力確定，以充分利用密碼卡的密碼運算性能。

進一步的，所述服務線程使用密碼運算統(tǒng)一調(diào)度模塊與密碼卡進行交互，所述密碼運算統(tǒng)一調(diào)度模塊提供了抽象的密碼卡應用接口，能夠屏蔽不同密碼卡之間的接口使用差異。

進一步的，當密碼卡數(shù)量多于1張時，所述密碼運算統(tǒng)一調(diào)度模塊根據(jù)指定的調(diào)度策略選擇密碼卡執(zhí)行密碼運算，最大限度利用所有密碼卡的性能。

進一步的，本發(fā)明的方法具體包括以下步驟：

步驟1：密碼機創(chuàng)建主控制進程；所述主控制進程啟動后，依次進行所有密碼卡初始化及功能檢查、系統(tǒng)參數(shù)優(yōu)化、網(wǎng)絡(luò)參數(shù)優(yōu)化和網(wǎng)絡(luò)服務創(chuàng)建；

步驟2：所述主控制進程創(chuàng)建設(shè)定數(shù)量的工作進程并將其綁定到相應的CPU核；所述工作進程啟動后，依次創(chuàng)建服務共享資源和設(shè)定數(shù)量的服務線程；

步驟3：所述工作進程接收業(yè)務系統(tǒng)的TCP網(wǎng)絡(luò)連接請求，并在該連接上接收業(yè)務系統(tǒng)的密碼服務請求報文；