[发明专利]一种热迁移的方法、装置及电子设备

说明书

本发明提供了一种热迁移的方法、装置及电子设备，其中，该方法包括：预先设置第一扩展指令集和第一迁移密钥寄存器；生成源迁移主密钥，并基于存储指令将源迁移主密钥存入至第一迁移密钥寄存器中；基于飞地资源搬出指令读取源迁移主密钥，对待迁移飞地内存页进行加密处理，并搬出加密后的待迁移飞地内存页；将迁移数据发送至目标主机。该技术方案利用存储指令将迁移主密钥存储到安全可信的迁移密钥寄存器中，避免迁移主密钥被泄露；之后利用该飞地资源搬出指令，基于迁移主密钥对待迁移飞地内存页进行加密处理，能够保证飞地内存中数据的安全性，且使得虚拟管理器也有权将加密后待迁移飞地内存页发送至目标主机，从而实现飞地内存页的热迁移。

技术领域

本发明涉及热迁移技术领域，具体而言，涉及一种热迁移的方法、装置、电子设备及计算机可读存储介质。

背景技术

Intel的SGX(Software Guard Extensions，软件防护扩展)是实现在第六代CPU之后的一组扩展指令集。SGX着眼于提供一个为用户应用程序提供可信的执行环境，为了达到这一目标，SGX使得应用程序在一段位于Enclave(飞地)地址空间中能够开辟一段受保护的内存空间，该内存空间一般称为EPC(Enclave Page Cache，飞地页缓存)。

然而，将SGX应用到云计算中存在一个具有挑战性的问题：现有SGX VMM(VirtualMachine Manager，虚拟机管理器，一种具有较高特权的软件)不提供实时迁移(也叫热迁移，live migration)。通常，在托管迁移中，源VMM将整个VM(Virtual Machin，虚拟机)的内存页传输到目标VMM，直到不同物理机器(源主机和目标主机)中的VM是一致的。然后，目标VMM启动迁移的VM，源VMM停止VM。为此，对于启用SGX的VM的托管动态迁移VMM应该将enclave内存页传输到目的地宿主。

然而，VMM不能像往常一样传输enclave页，因为SGX阻止VMM直接访问PRM(Preserved Random Memory，预留随机存储器)。英特尔公司2016年官方的SGX开发者指南提供了跨平台迁移enclave数据的指南，但该指南不能应用于迁移除enclave数据之外的其他enclave页，不能有效实现热迁移。

发明内容

为解决现有存在的技术问题，本发明实施例提供一种热迁移的方法、装置、电子设备及计算机可读存储介质。

第一方面，本发明实施例提供了一种热迁移的方法，包括：

预先设置第一扩展指令集，并新增第一迁移密钥寄存器，所述第一扩展指令集包括存储指令和飞地资源搬出指令；

根据与目标主机之间的通信消息生成源迁移主密钥，并基于所述存储指令将所述源迁移主密钥存入至所述第一迁移密钥寄存器中；

基于所述飞地资源搬出指令读取所述第一迁移密钥寄存器中的所述源迁移主密钥，根据所述源迁移主密钥对待迁移飞地内存页进行加密处理，并基于所述飞地资源搬出指令搬出加密后的所述待迁移飞地内存页；

将迁移数据发送至所述目标主机，所述迁移数据包括加密后的所述待迁移飞地内存页。

第二方面，本发明实施例还提供了一种热迁移的方法，包括：

预先设置第二扩展指令集，并新增第二迁移密钥寄存器，所述第二扩展指令集包括存储指令和飞地资源加载指令；

根据与源主机之间的通信消息生成目标迁移主密钥，并基于所述存储指令将所述目标迁移主密钥存入至所述第二迁移密钥寄存器中；

获取到所述源主机发送的迁移数据，基于所述飞地资源加载指令读取所述第二迁移密钥寄存器中的所述目标迁移主密钥；所述迁移数据包括加密后的所述源主机的待迁移飞地内存页；

根据所述目标迁移主密钥对所述迁移数据进行解密处理，提取并存储所述待迁移飞地内存页。