本發明提供了一種熱遷移的方法、裝置及電子設備，其中，該方法包括：預先設置第一擴展指令集和第一遷移密鑰寄存器；生成源遷移主密鑰，并基于存儲指令將源遷移主密鑰存入至第一遷移密鑰寄存器中；基于飛地資源搬出指令讀取源遷移主密鑰，對待遷移飛地內存頁進行加密處理，并搬出加密后的待遷移飛地內存頁；將遷移數據發送至目標主機。該技術方案利用存儲指令將遷移主密鑰存儲到安全可信的遷移密鑰寄存器中，避免遷移主密鑰被泄露；之后利用該飛地資源搬出指令，基于遷移主密鑰對待遷移飛地內存頁進行加密處理，能夠保證飛地內存中數據的安全性，且使得虛擬管理器也有權將加密后待遷移飛地內存頁發送至目標主機，從而實現飛地內存頁的熱遷移。

技術領域

本發明涉及熱遷移技術領域，具體而言，涉及一種熱遷移的方法、裝置、電子設備及計算機可讀存儲介質。

背景技術

Intel的SGX(Software Guard Extensions，軟件防護擴展)是實現在第六代CPU之后的一組擴展指令集。SGX著眼于提供一個為用戶應用程序提供可信的執行環境，為了達到這一目標，SGX使得應用程序在一段位于Enclave(飛地)地址空間中能夠開辟一段受保護的內存空間，該內存空間一般稱為EPC(Enclave Page Cache，飛地頁緩存)。

然而，將SGX應用到云計算中存在一個具有挑戰性的問題：現有SGX VMM(VirtualMachine Manager，虛擬機管理器，一種具有較高特權的軟件)不提供實時遷移(也叫熱遷移，live migration)。通常，在托管遷移中，源VMM將整個VM(Virtual Machin，虛擬機)的內存頁傳輸到目標VMM，直到不同物理機器(源主機和目標主機)中的VM是一致的。然后，目標VMM啟動遷移的VM，源VMM停止VM。為此，對于啟用SGX的VM的托管動態遷移VMM應該將enclave內存頁傳輸到目的地宿主。

然而，VMM不能像往常一樣傳輸enclave頁，因為SGX阻止VMM直接訪問PRM(Preserved Random Memory，預留隨機存儲器)。英特爾公司2016年官方的SGX開發者指南提供了跨平臺遷移enclave數據的指南，但該指南不能應用于遷移除enclave數據之外的其他enclave頁，不能有效實現熱遷移。

發明內容

為解決現有存在的技術問題，本發明實施例提供一種熱遷移的方法、裝置、電子設備及計算機可讀存儲介質。

第一方面，本發明實施例提供了一種熱遷移的方法，包括：

預先設置第一擴展指令集，并新增第一遷移密鑰寄存器，所述第一擴展指令集包括存儲指令和飛地資源搬出指令；

根據與目標主機之間的通信消息生成源遷移主密鑰，并基于所述存儲指令將所述源遷移主密鑰存入至所述第一遷移密鑰寄存器中；

基于所述飛地資源搬出指令讀取所述第一遷移密鑰寄存器中的所述源遷移主密鑰，根據所述源遷移主密鑰對待遷移飛地內存頁進行加密處理，并基于所述飛地資源搬出指令搬出加密后的所述待遷移飛地內存頁；

將遷移數據發送至所述目標主機，所述遷移數據包括加密后的所述待遷移飛地內存頁。

第二方面，本發明實施例還提供了一種熱遷移的方法，包括：

預先設置第二擴展指令集，并新增第二遷移密鑰寄存器，所述第二擴展指令集包括存儲指令和飛地資源加載指令；

根據與源主機之間的通信消息生成目標遷移主密鑰，并基于所述存儲指令將所述目標遷移主密鑰存入至所述第二遷移密鑰寄存器中；

獲取到所述源主機發送的遷移數據，基于所述飛地資源加載指令讀取所述第二遷移密鑰寄存器中的所述目標遷移主密鑰；所述遷移數據包括加密后的所述源主機的待遷移飛地內存頁；

根據所述目標遷移主密鑰對所述遷移數據進行解密處理，提取并存儲所述待遷移飛地內存頁。