[发明专利]一种热迁移的方法、装置及电子设备

权利要求书

1.一种热迁移的方法，其特征在于，包括：

预先设置第一扩展指令集，并新增第一迁移密钥寄存器，所述第一扩展指令集包括存储指令和飞地资源搬出指令；

根据与目标主机之间的通信消息生成源迁移主密钥，并基于所述存储指令将所述源迁移主密钥存入至所述第一迁移密钥寄存器中；

基于所述飞地资源搬出指令读取所述第一迁移密钥寄存器中的所述源迁移主密钥，根据所述源迁移主密钥对待迁移飞地内存页进行加密处理，并基于所述飞地资源搬出指令搬出加密后的所述待迁移飞地内存页；

将迁移数据发送至所述目标主机，所述迁移数据包括加密后的所述待迁移飞地内存页；

所述根据与目标主机之间的通信消息生成源迁移主密钥，包括：

生成源密钥交换消息msg_S，并执行本地认证生成源报告REPORT_S；

将所述源报告REPORT_S发送至本地的引用飞地QE_S，在所述源报告REPORT_S有效时接收所述引用飞地QE_S返回的源引用结构体QUOTE_S；

将所述源密钥交换消息msg_S和所述源引用结构体QUOTE_S发送至目标主机；

接收所述目标主机反馈的目标密钥交换消息msg_D和目标引用结构体QUOTE_D，在所述目标引用结构体QUOTE_D有效时，根据所述源密钥交换消息msg_S和所述目标密钥交换消息msg_D生成源迁移主密钥。

2.根据权利要求1所述的方法，其特征在于，SGX飞地控制结构体中设有迁移属性，且只有待迁移飞地有权更改所述迁移属性的属性值；

在所述基于所述存储指令将所述源迁移主密钥存入至所述第一迁移密钥寄存器中之前，所述方法还包括：

将所述迁移属性的属性值修改为允许存储；

在所述迁移属性的属性值为允许存储时，基于所述存储指令将所述源迁移主密钥存入至所述第一迁移密钥寄存器中。

3.根据权利要求1所述的方法，其特征在于，所述根据所述源迁移主密钥对待迁移飞地内存页进行加密处理，包括：

根据所述源迁移主密钥生成源迁移密钥MK_S和源初始向量IV_S，且MK_S＝KDF(MMK_S,C_MK)，IV_S＝KDF(MMK_S,C_IV)；其中，MMK_S为源迁移主密钥，C_MK为迁移密钥常数，C_IV为初始向量常数，KDF(·)表示密钥生成函数；

根据所述源迁移密钥和所述源初始向量对待迁移飞地内存页进行加密处理。

4.根据权利要求1所述的方法，其特征在于，在所述将迁移数据发送至所述目标主机之前，还包括：

在本地的不可信内存中为所述待迁移飞地内存页和与所述待迁移飞地内存页相对应的页面加密元数据分别分配相应的第一地址和第二地址；

将加密后的所述待迁移飞地内存页存入至所述第一地址，将所述页面加密元数据存入至所述第二地址，并根据加密后的所述待迁移飞地内存页和加密后的所述页面加密元数据生成迁移数据。

5.根据权利要求1-4任意一项所述的方法，其特征在于，所述第一扩展指令集还包括：飞地资源加载指令；

所述方法还包括：

根据与其他主机之间的通信消息生成目标迁移主密钥，并基于所述存储指令将所述目标迁移主密钥存入至所述第一迁移密钥寄存器中；

获取到所述其他主机发送的迁移数据，基于所述飞地资源加载指令读取所述第一迁移密钥寄存器中的所述目标迁移主密钥；所述迁移数据包括加密后的所述其他主机的待迁移飞地内存页；

根据所述目标迁移主密钥对所述其他主机发送的迁移数据进行解密处理，提取并存储所述其他主机的待迁移飞地内存页。