机密虚拟机热迁移

基于机密虚拟机的核心能力，通过加入安全托管模块和TEE侧热迁移模块，使机密虚拟机能够在运行不中断的情况下，从一个机密计算环境安全地迁移至另一个经过验证的机密计算环境，从而确保机密虚拟机中的敏感数据在迁移前、中、后始终处于加密或隔离保护之下。

在华为鲲鹏处理器中，通过使能TEE套件机密虚拟机热迁移模块实现此功能。其迁移主要部件包括：

• TEE套件内部热迁移模块。
• 专用热迁移机密虚拟机MigCVM和内部运行的mig-agent。
• 虚拟机管理器QEMU和kernel-kvm的热迁移相关功能。

如图所示，机密虚拟机热迁移主要分成两部分：

1. 利用可信代理，源端和对端进行互相远程证明，并协商迁移密钥。
2. 迁移过程TEE侧利用协商好的迁移密钥将内存、vCPU、CVM状态信息加密，使其以密文形式传输至目标节点。

价值优势：

• 保证在云运维场景下进行节点故障修复，节点升级时保证机密计算云服务业务不受影响。
• 兼容主流云管工具（libvirt），减少用户使用成本。
• 保证在达成稳定性保护的基础上，机密虚拟机中的敏感数据不会泄露。
• 首个支持商用ARM架构机密虚拟机热迁移方案，相比业界其它方案，性能有优势。