[发明专利]一种虚拟机迁移方法、通用处理器及电子设备

说明书

本申请涉及一种虚拟机迁移方法、通用处理器及电子设备，属于计算机技术领域。该方法应用于虚拟机迁出设备，虚拟机迁出设备包括：输入输出设备和通用处理器，通用处理器包括设置在通用处理器内部总线上的硬件加解密模块。方法包括：输入输出设备通过输入输出控制器经内部总线获取待迁移虚拟机对应的待迁移数据；硬件加解密模块对经内部总线传输的待迁移数据进行加密，并将加密后的待迁移数据经内部总线传输给输入输出控制器；输入输出设备将经输入输出控制器获取的加密后的待迁移数据发送给虚拟机迁入设备。该方法使得虚拟机在迁移过程中虚拟机数据可以实时的加解密，不需要借助安全处理器进行加密和解密，极大地提高了迁移效率。

技术领域

本申请属于计算机技术领域，具体涉及一种虚拟机迁移方法、通用处理器及电子设备。

背景技术

虚拟机迁移是指将虚拟机从一个物理平台迁移到另一个物理平台，虚拟机迁移过程中若不对迁移的数据流进行控制，则容易造成敏感数据泄露。而加密则可以防止网路监听盗取虚拟机数据，所以在有安全虚拟的虚拟机进行迁移时往往需要对虚拟机的数据进行加密。

当有虚拟机需要进行迁移时，对于不支持安全加密虚拟化(Secure EncryptedVirtualization，SEV)的虚拟机，由安全中心随机生成一个256bit的密钥并告知源主机的虚拟机管理器，虚拟机管理器先从内存中读取出要加密的数据，然后调用加密部件(安全处理器的加密指令)对虚拟机的数据进行加密，并将加密的数据放到指定的内存(由于安全处理器不能直接进行IO访问，因此需要回写入内存)，然后再启动输入输出设备(例如，网卡)进行加密数据搬移。目的主机将接收的数据在临时缓存区中先行缓存，然后调用加密部件对加密的数据进行解密，从而得到明文数据，最后再搬移至内存。对于支持安全加密虚拟化SEV的虚拟机的迁移，由于虚拟机在内存中的数据本身就是加密的，并且虚拟机管理器无法对虚拟机的内存进行解密。在SEV虚拟机迁移过程中，源主机和目的主机通过安全认证，源主机的安全处理器使用一个与目的主机共享的密钥对虚拟机数据进行加密放到内存，源主机的虚拟机管理器直接启动输入输出设备导出加密的虚拟机数据，目的主机接收到虚拟机数据后由安全处理器先使用共享的密钥进行解密，之后再由内存加解密模块使用目的主机安全处理器分配的密钥进行虚拟机数据加密。

现有虚拟机迁移存在以下缺陷，对于非SEV虚拟机迁移，对要迁移的虚拟机数据至少需要在内存做两次搬移，占用内存的带宽，且无法对迁移的虚拟机数据进行实时加密，消耗虚拟机迁移的时间。对SEV虚拟机迁移，需要借助安全处理器进行软件加密和解密，占用安全处理器的资源。

发明内容

鉴于此，本申请的目的在于提供一种虚拟机迁移方法、通用处理及电子设备，以改善现有虚拟机迁移方法需要借助安全处理器进行加密和解密，不仅占用安全处理器的资源，而且还存在消耗的时间额外，从而导致迁移效率不高的问题。

本申请的实施例是这样实现的：

第一方面，本申请实施例提供了一种虚拟机迁移方法，应用于虚拟机迁出设备，所述虚拟机迁出设备包括：输入输出设备和通用处理器，所述通用处理器包括设置在所述通用处理器内部总线上的硬件加解密模块，所述内部总线上还连接有输入输出控制器；所述方法包括：所述输入输出设备通过所述输入输出控制器经所述内部总线获取待迁移虚拟机对应的待迁移数据；所述硬件加解密模块对经所述内部总线传输的所述待迁移数据进行加密，并将加密后的待迁移数据经所述内部总线传输给所述输入输出控制器；其中，所述硬件加解密模块对所述待迁移数据进行加密时，所使用的加密密钥为虚拟机迁入设备和所述虚拟机迁出设备之间约定好的第一密钥；所述输入输出设备将经所述输入输出控制器获取的所述加密后的待迁移数据发送给所述虚拟机迁入设备。本申请实施例中，通过在通用处理器内部的内部总线上新增硬件加解密模块，使得硬件加解密模块能对经总线迁出的数据进行实时的加密，使得不再需要安全处理器进行软件加密，从而不需要数据多次出入内存，能够减少内存带宽消耗，极大地提高了迁移效率。