CN114944917B - 使用量子密钥迁移虚拟机的方法、装置、介质和设备 - Google Patents

使用量子密钥迁移虚拟机的方法、装置、介质和设备 Download PDF

Info

Publication number
CN114944917B
CN114944917B CN202210856193.5A CN202210856193A CN114944917B CN 114944917 B CN114944917 B CN 114944917B CN 202210856193 A CN202210856193 A CN 202210856193A CN 114944917 B CN114944917 B CN 114944917B
Authority
CN
China
Prior art keywords
key
virtual
manager
virtual key
quantum
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210856193.5A
Other languages
English (en)
Other versions
CN114944917A (zh
Inventor
高光辉
王其兵
王林松
陈柳平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guokaike Quantum Technology Beijing Co Ltd
Original Assignee
Guokaike Quantum Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guokaike Quantum Technology Beijing Co Ltd filed Critical Guokaike Quantum Technology Beijing Co Ltd
Priority to CN202210856193.5A priority Critical patent/CN114944917B/zh
Publication of CN114944917A publication Critical patent/CN114944917A/zh
Application granted granted Critical
Publication of CN114944917B publication Critical patent/CN114944917B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供使用量子密钥迁移虚拟机的方法、装置、介质和设备,其中,所述方法包括:向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求;将会话密钥分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机;由第一虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据并将加密后的虚拟机的数据传送回第一计算节点,第一计算节点将加密后的虚拟机的数据迁移至第二计算节点;由第二虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据并将解密后的虚拟机的数据传送回第二计算节点。本发明有效地解决了由于计算节点之间缺乏共同使用的对称量子密钥而无法安全地迁移虚拟机的问题。

Description

使用量子密钥迁移虚拟机的方法、装置、介质和设备
技术领域
本发明涉及量子加解密技术领域,尤其涉及使用量子密钥迁移虚拟机的方法、装置、介质和设备。
背景技术
在基于量子密钥的云计算平台中,可针对连接至不同量子密钥分发节点的不同计算节点使用对称量子密钥来对这些计算节点之间传送的数据进行加解密以确保云存储数据的安全性。然而,针对连接至相同量子密钥分发节点的不同计算节点使用对称量子密钥来对这些计算节点之间传送的数据进行加解密,在某些情况下,可能会由于计算节点之间缺乏共同使用的对称量子密钥而无法实现对虚拟机的安全迁移。
发明内容
本发明的目的在于提供使用量子密钥迁移虚拟机的方法、装置、介质和设备。
根据本发明的一方面,提供一种使用量子密钥迁移虚拟机的方法,所述方法包括:锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥;向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括所述第一量子密钥的标识和第二虚拟密钥管理机的标识;将来自所述量子密钥分发节点的针对所述请求的响应分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机,所述响应包括基于第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥;响应于来自第一计算节点的数据加密请求而由第一虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,所述数据加密请求包括虚拟机的数据;将加密后的虚拟机的数据作为针对所述数据加密请求的响应传送回第一计算节点,第一计算节点将加密后的虚拟机的数据迁移至第二计算节点;响应于来自第二计算节点的数据解密请求而由第二虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,所述数据解密请求包括加密后的虚拟机的数据;将解密后的虚拟机的数据作为针对所述数据解密请求的响应传送回第二计算节点。
根据本发明的一个实施例,针对所述请求的响应还包括第一虚拟密钥管理机的标识,其中,所述方法还包括:根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,其中,生成的会话密钥以密文的形式被接收至第二虚拟密钥管理机。
根据本发明的一个实施例,针对所述请求的响应还包括第二虚拟密钥管理机的标识,其中,所述方法还包括:根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,其中,生成的会话密钥以密文的形式被接收至第一虚拟密钥管理机。
根据本发明的另一方面,提供一种使用量子密钥迁移虚拟机的方法,所述方法包括:锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥;向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括所述第一量子密钥的标识和第二虚拟密钥管理机的标识;将来自所述量子密钥分发节点的针对所述请求的响应分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机,所述响应包括基于第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥;响应于来自第二计算节点的数据加密请求而由第二虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,所述数据加密请求包括虚拟机的数据;将加密后的虚拟机的数据作为针对所述数据加密请求的响应传送回第二计算节点,第二计算节点将加密后的虚拟机的数据迁移至第一计算节点;响应于来自第一计算节点的数据解密请求而由第一虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,所述数据解密请求包括加密后的虚拟机的数据;将解密后的虚拟机的数据作为针对所述数据解密请求的响应传送回第一计算节点。
根据本发明的一个实施例,针对所述请求的响应还包括第一虚拟密钥管理机的标识,其中,所述方法还包括:根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,其中,生成的会话密钥以密文的形式被接收至第二虚拟密钥管理机。
根据本发明的一个实施例,针对所述请求的响应还包括第二虚拟密钥管理机的标识,其中,所述方法还包括:根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,其中,生成的会话密钥以密文的形式被接收至第一虚拟密钥管理机。
根据本发明的另一方面,提供一种使用量子密钥迁移虚拟机的方法,所述方法包括:接收来自包括第一虚拟密钥管理机和第二虚拟密钥管理机的量子密钥分发节点的用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥的标识和第二虚拟密钥管理机的标识;根据所述第一量子密钥的标识和第二虚拟密钥管理机的标识锁定第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥;向所述量子密钥分发节点发送针对所述请求的响应,所述响应包括基于所述第一量子密钥和所述第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥。
根据本发明的一个实施例,针对所述请求的响应还包括第一虚拟密钥管理机的标识。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,其中,生成的会话密钥以密文的形式被发送至第二虚拟密钥管理机。
根据本发明的一个实施例,针对所述请求的响应还包括第二虚拟密钥管理机的标识。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,其中,生成的会话密钥以密文的形式被发送至第一虚拟密钥管理机。
根据本发明的另一方面,提供一种使用量子密钥迁移虚拟机的装置,所述装置包括:量子密钥锁定单元,被配置为锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥;会话密钥请求单元,被配置为向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括所述第一量子密钥的标识和第二虚拟密钥管理机的标识;会话密钥接收单元,被配置为将来自所述量子密钥分发节点的针对所述请求的响应分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机,所述响应包括基于第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥;虚拟机数据加密单元,被配置为响应于来自第一计算节点的数据加密请求而由第一虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,所述数据加密请求包括虚拟机的数据;第一数据传送单元,被配置为将加密后的虚拟机的数据作为针对所述数据加密请求的响应传送回第一计算节点,第一计算节点将加密后的虚拟机的数据迁移至第二计算节点;虚拟机数据解密单元,被配置为响应于来自第二计算节点的数据解密请求而由第二虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,所述数据解密请求包括加密后的虚拟机的数据;第二数据传送单元,被配置为将解密后的虚拟机的数据作为针对所述数据解密请求的响应传送回第二计算节点。
根据本发明的一个实施例,针对所述请求的响应还包括第一虚拟密钥管理机的标识,其中,所述装置还包括:第一会话密钥存储单元,被配置为根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,其中,生成的会话密钥以密文的形式被接收至第二虚拟密钥管理机。
根据本发明的一个实施例,针对所述请求的响应还包括第二虚拟密钥管理机的标识,其中,所述装置还包括:第二会话密钥存储单元,被配置为根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,其中,生成的会话密钥以密文的形式被接收至第一虚拟密钥管理机。
根据本发明的另一方面,提供一种使用量子密钥迁移虚拟机的装置,所述装置包括:量子密钥锁定单元,被配置为锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥;会话密钥请求单元,被配置为向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括所述第一量子密钥的标识和第二虚拟密钥管理机的标识;会话密钥接收单元,被配置为将来自所述量子密钥分发节点的针对所述请求的响应分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机,所述响应包括基于第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥;虚拟机数据加密单元,被配置为响应于来自第二计算节点的数据加密请求而由第二虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,所述数据加密请求包括虚拟机的数据;第一数据传送单元,被配置为将加密后的虚拟机的数据作为针对所述数据加密请求的响应传送回第二计算节点,第二计算节点将加密后的虚拟机的数据迁移至第一计算节点;虚拟机数据解密单元,被配置为响应于来自第一计算节点的数据解密请求而由第一虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,所述数据解密请求包括加密后的虚拟机的数据;第二数据传送单元,被配置为将解密后的虚拟机的数据作为针对所述数据解密请求的响应传送回第一计算节点。
根据本发明的一个实施例,针对所述请求的响应还包括第一虚拟密钥管理机的标识,其中,所述装置还包括:第一会话密钥存储单元,被配置为根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,其中,生成的会话密钥以密文的形式被接收至第二虚拟密钥管理机。
根据本发明的一个实施例,针对所述请求的响应还包括第二虚拟密钥管理机的标识,其中,所述装置还包括:第二会话密钥存储单元,被配置为根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,其中,生成的会话密钥以密文的形式被接收至第一虚拟密钥管理机。
根据本发明的另一方面,提供一种使用量子密钥迁移虚拟机的装置,所述装置包括:会话密钥请求接收单元,被配置为接收来自包括第一虚拟密钥管理机和第二虚拟密钥管理机的量子密钥分发节点的用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥的标识和第二虚拟密钥管理机的标识;量子密钥获取单元,被配置为根据所述第一量子密钥的标识和第二虚拟密钥管理机的标识获取第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥;会话密钥响应发送单元,被而配置为向所述量子密钥分发节点发送针对所述请求的响应,所述响应包括基于所述第一量子密钥和所述第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥。
根据本发明的一个实施例,针对所述请求的响应还包括第一虚拟密钥管理机的标识。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,其中,生成的会话密钥以密文的形式被发送至第二虚拟密钥管理机。
根据本发明的一个实施例,针对所述请求的响应还包括第二虚拟密钥管理机的标识。
根据本发明的一个实施例,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,其中,生成的会话密钥以密文的形式被发送至第一虚拟密钥管理机。
根据本发明的另一方面,提供一种存储有计算机程序的计算机可读存储介质,当所述计算机程序在被处理器执行时,实现如前面所述的使用量子密钥迁移虚拟机的方法。
根据本发明的另一方面,提供一种计算机设备,所述计算机设备包括:处理器;存储器,存储有计算机程序,当所述计算机程序被处理器执行时,实现如前面所述的使用量子密钥迁移虚拟机的方法。
本发明所提供的使用量子密钥迁移虚拟机的方法、装置、介质和设备不仅能够解决在基于量子密钥的云计算平台中由于计算节点之间缺乏共同使用的对称量子密钥而无法安全地迁移虚拟机的问题,而且还降低了虚拟机因迁移而导致数据泄露的风险,这在很大程度上提升了云计算平台的安全性。
附图说明
通过下面结合附图进行的描述,本发明的上述目的和特点将会变得更加清楚。
图1示出了根据本发明的示例性实施例的云计算平台的示意图。
图2示出了根据本发明的示例性实施例的使用量子密钥迁移虚拟机的方法的示意性流程图。
图3示出了根据本发明的示例性实施例的使用量子密钥迁移虚拟机的方法的另一示意性流程图。
图4示出了根据本发明的示例性实施例的使用量子密钥迁移虚拟机的方法的又一示意性流程图。
图5示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥迁移虚拟机的示意性操作时序图。
图6示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥迁移虚拟机的另一示意性操作时序图。
图7示出了根据本发明的示例性实施例的使用量子密钥迁移虚拟机的装置的示意性结构框图。
图8示出了根据本发明的示例性实施例的使用量子密钥迁移虚拟机的装置的另一示意性结构框图。
图9示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥迁移虚拟机的系统的示意性架构图。
图10示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥迁移虚拟机的示意性数据交互过程。
具体实施方式
下面,将参照附图来详细说明本发明的实施例。
图1示出了根据本发明的示例性实施例的云计算平台的示意图。
参照图1,在图1示出的云计算平台中,不同的计算平台可被连接至不同的量子密钥分发节点,每个计算平台上可运行一个或多个虚拟机,每个量子密钥分发节点上可基于虚拟化技术而生成一个或多个虚拟密钥管理机来为相应的虚拟机提供数据加解密服务,并且同一量子密钥分发节点中的虚拟密钥管理机被数据隔离,以降低量子密钥在同一量子密钥分发节点中的不同虚拟密钥管理机之间泄露的风险,这使得同一量子密钥分发节点中的各个虚拟密钥管理机之间无法互相进行数据访问。
另外,在图1示出的云计算平台中,每个量子密钥分发节点除了连接至相应的计算节点之外,还连接至量子密钥分发设备(Quantum Key Distribution,简称QKD)(未示出),以与云计算平台中的其他量子密钥分发节点连接的量子密钥分发设备进行量子密钥分发,通过对在量子密钥分发过程中产生的量子光进行基矢比对和数据后处理以筛选出合适的对称量子密钥来为云计算平台中的不同计算节点或不同虚拟机之间的数据传输提供安全保障。
当虚拟机由于设备故障或其他原因从计算节点A迁移至计算节点C并且计算节点A和计算节点C分别连接至不同的量子密钥分发节点时,可通过在计算节点A连接的量子密钥分发节点与计算节点C连接的量子密钥分发节点之间进行量子密钥分发来产生用于计算节点A与计算节点C之间的对称量子密钥,以确保虚拟机在迁移过程中的安全性。然而,当虚拟机由于设备故障或其他原因从计算节点A迁移至计算节点B并且计算节点A和计算节点B均连接至同一量子密钥分发节点时,可能会由于虚拟机在迁移前所分配的虚拟密钥管理机与虚拟机在迁移后所分配的虚拟密钥管理机之间被数据隔离而导致没有合适的对称量子密钥将虚拟机从计算节点A安全地迁移至计算节点B。
为此,本发明在下文中提出了使用量子密钥迁移虚拟机的方法和装置来克服上述问题的发生。
图2示出了根据本发明的示例性实施例的使用量子密钥迁移虚拟机的方法的示意性流程图。
参照图2,当虚拟机从第一计算节点迁移至第二计算节点时,图2示出的方法可包括如下步骤。
在步骤201,可锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥。
在步骤202,可向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,该请求包括第一量子密钥的标识和第二虚拟密钥管理机的标识。
在步骤203,可将来自量子密钥分发节点的针对请求的响应分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机,该响应包括基于第三虚拟密钥管理机的量子密钥池中的第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥。例如,可通过,但不限于,对第一量子密钥和第二量子密钥进行异或运算来生成第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥。
在一个示例中,针对请求的响应还可包括第一虚拟密钥管理机的标识。这使得第二虚拟密钥管理机可根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。
另外,在该示例中,针对请求的响应还可包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识。相应地,生成的会话密钥可以以密文的形式被接收至第二虚拟密钥管理机。第二虚拟密钥管理机可根据第三量子密钥的标识从其量子密钥池中获取第三量子密钥,以从接收到的密文中解密出生成的会话密钥。
在另一示例中,针对请求的响应还可包括第二虚拟密钥管理机的标识。这使得第一虚拟密钥管理机可根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。
另外,在该示例中,针对请求的响应还可包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识。相应地,生成的会话密钥可以以密文的形式被接收至第一虚拟密钥管理机。第一虚拟密钥管理机可根据第四量子密钥的标识从其量子密钥池中获取第四量子密钥,以从接收到的密文中解密出生成的会话密钥。
在步骤204,可响应于来自第一计算节点的数据加密请求而由第一虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,该数据加密请求包括虚拟机的数据。
在步骤205,可将加密后的虚拟机的数据作为针对数据加密请求的响应传送回第一计算节点,第一计算节点将加密后的虚拟机的数据迁移至第二计算节点。
在步骤206,可响应于来自第二计算节点的数据解密请求而由第二虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,该数据解密请求包括加密后的虚拟机的数据。
在步骤207,可将解密后的虚拟机的数据作为针对数据解密请求的响应传送回第二计算节点。
上述方法可执行在包括第一虚拟密钥管理机与第二虚拟密钥管理机的量子密钥分发节点中,其中,第一虚拟密钥管理机被配置为在虚拟机位于第一计算节点时向虚拟机提供数据加解密服务,第二虚拟密钥管理机被配置为在虚拟机位于第二计算节点时向虚拟机提供数据加解密服务。
图3示出了根据本发明的示例性实施例的使用量子密钥迁移虚拟机的方法的另一示意性流程图。
参照图3,当虚拟机从第二计算节点迁移至第一计算节点时,图3所示的方法可包括如下步骤。
在步骤301至步骤303,可执行与图2所示的方法中的步骤201至步骤203相同的处理,这里不再重复描述。
在步骤304,可响应于来自第二计算节点的数据加密请求而由第二虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,该数据加密请求包括虚拟机的数据。
在步骤305,可将加密后的虚拟机的数据作为针对数据加密请求的响应传送回第二计算节点,第二计算节点将加密后的虚拟机的数据迁移至第一计算节点。
在步骤306,可响应于来自第一计算节点的数据解密请求而由第一虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,该数据解密请求包括加密后的虚拟机的数据。
在步骤307,将解密后的虚拟机的数据作为针对数据解密请求的响应传送回第一计算节点。
上述方法可执行在包括第一虚拟密钥管理机与第二虚拟密钥管理机的量子密钥分发节点中,其中,第一虚拟密钥管理机被配置为在虚拟机位于第一计算节点时向虚拟机提供数据加解密服务,第二虚拟密钥管理机被配置为在虚拟机位于第二计算节点时向虚拟机提供数据加解密服务。
图4示出了根据本发明的示例性实施例的使用量子密钥迁移虚拟机的方法的又一示意性流程图。
参照图4,图4示出的方法可包括如下步骤。
在步骤401,可接收来自包括第一虚拟密钥管理机和第二虚拟密钥管理机的量子密钥分发节点的用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,该请求包括第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥的标识和第二虚拟密钥管理机的标识。
在步骤402,可根据第一量子密钥的标识和第二虚拟密钥管理机的标识锁定第三虚拟密钥管理机的量子密钥池中的第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥。
在步骤403,可向量子密钥分发节点发送针对请求的响应,该响应包括基于第一量子密钥和第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥。例如,可通过,但不限于,对第一量子密钥和第二量子密钥进行异或运算来生成第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥。
在一个示例中,针对请求的响应还可包括第一虚拟密钥管理机的标识。这使得量子密钥分发节点中的第二虚拟密钥管理机能够根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。
另外,在该示例中,针对请求的响应还可包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识。相应地,生成的会话密钥可以以密文的形式被发送至第二虚拟密钥管理机。第二虚拟密钥管理机可根据第三量子密钥的标识从其量子密钥池中获取第三量子密钥,以从接收的密文中解密出生成的会话密钥。
在另一示例中,针对请求的响应还可包括第二虚拟密钥管理机的标识。这使得量子密钥分发节点中的第一虚拟密钥管理机能够根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。
另外,在该示例中,针对请求的响应还可包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识。相应地,生成的会话密钥可以以密文的形式被发送至第一虚拟密钥管理机。第一虚拟密钥管理机可根据第四量子密钥的标识从其量子密钥池中获取第四量子密钥,以从接收的密文中解密出生成的会话密钥。
上述方法可执行在包括第三虚拟密钥管理机的量子密钥分发节点中,其中,第一虚拟密钥管理机被配置为在虚拟机位于第一计算节点时向虚拟机提供数据加解密服务,第二虚拟密钥管理机被配置为在虚拟机位于第二计算节点时向虚拟机提供数据加解密服务。
图5示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥迁移虚拟机的示意性操作时序图。
参照图5,在云计算平台中,当虚拟机VM因设备故障或者其他原因而从计算节点A迁移至计算节点B时,在被配置为在虚拟机位于计算节点A时向虚拟机VM提供数据加解密服务的虚拟密钥管理机VQKM1与被配置为在虚拟机位于计算节点B时向虚拟机VM提供数据加解密服务的虚拟密钥管理机VQKM2之间被数据隔离的情况下,可按照如下操作时序迁移虚拟机VM。
首先,在操作S501,量子密钥分发节点QKDN1可锁定虚拟密钥管理机VQKM1的量子密钥池中的虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM3之间的量子密钥QK1。
接着,在操作S502,量子密钥分发节点QKDN1可向量子密钥分发节点QKDN2发送用于获取虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2之间的会话密钥的请求,该请求包括量子密钥QK1的标识和虚拟密钥管理机VQKM2的标识。
接着,在操作S503,量子密钥分发节点QKDN2可接收用于获取虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2之间的会话密钥的请求。
接着,在操作S504,量子密钥分发节点QKDN2可根据量子密钥QK1的标识和虚拟密钥管理机VQKM2的标识获取虚拟密钥管理机VQKM3的量子密钥池中的量子密钥QK1和虚拟密钥管理机VQKM2与虚拟密钥管理机VQKM3之间的量子密钥QK2。
接着,在操作S505,量子密钥分发节点QKDN2可向量子密钥分发节点QKDN1发送针对上述请求的响应,该响应包括基于量子密钥QK1和量子密钥QK2而生成的虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2之间的会话密钥。
接着,在操作S506,量子密钥分发节点QKDN1可将来自量子密钥分发节点QKDN2的针对上述请求的响应分别接收至虚拟密钥管理机VQKM1和虚拟密钥管理机VQKM2。
接着,在操作S507,量子密钥分发节点QKDN1可响应于来自计算节点A的数据加密请求而由虚拟密钥管理机VQKM1使用生成的会话密钥加密虚拟机VM的数据,该数据加密请求包括虚拟机VM的数据。
接着,在操作S508,量子密钥分发节点QKDN1可将加密后的虚拟机VM的数据作为针对数据加密请求的响应传送回计算节点A,计算节点A将加密后的虚拟机VM的数据迁移至计算节点B。
接着,在操作S509,量子密钥分发节点QKDN1可响应于来自计算节点B的数据解密请求而由虚拟密钥管理机VQKM2使用生成的会话密钥解密加密后的虚拟机VM的数据,该数据解密请求包括加密后的虚拟机VM的数据。
最后,在操作S510,量子密钥分发节点QKDN1可将解密后的虚拟机VM的数据作为针对数据解密请求的响应传送回计算节点B。
图6示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥迁移虚拟机的另一示意性操作时序图。
参照图6,在云计算平台中,当虚拟机VM因设备故障或者其他原因而从计算节点B迁移至计算节点A时,在被配置为在虚拟机位于计算节点A时向虚拟机VM提供数据加解密服务的虚拟密钥管理机VQKM1与被配置为在虚拟机位于计算节点B时向虚拟机VM提供数据加解密服务的虚拟密钥管理机VQKM2之间被数据隔离的情况下,可按照如下操作时序迁移虚拟机VM。
首先,在操作S601,量子密钥分发节点QKDN1可锁定虚拟密钥管理机VQKM1的量子密钥池中的虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM3之间的量子密钥QK1。
接着,在操作S602,量子密钥分发节点QKDN1可向量子密钥分发节点QKDN2发送用于获取虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2之间的会话密钥的请求,该请求包括量子密钥QK1的标识和虚拟密钥管理机VQKM2的标识。
接着,在操作S603,量子密钥分发节点QKDN2可接收用于获取虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2之间的会话密钥的请求。
接着,在操作S604,量子密钥分发节点QKDN2可根据量子密钥QK1的标识和虚拟密钥管理机VQKM2的标识获取虚拟密钥管理机VQKM3的量子密钥池中的量子密钥QK1和虚拟密钥管理机VQKM2与虚拟密钥管理机VQKM3之间的量子密钥QK2。
接着,在操作S605,量子密钥分发节点QKDN2可向量子密钥分发节点QKDN1发送针对上述请求的响应,该响应包括基于量子密钥QK1和量子密钥QK2而生成的虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2之间的会话密钥。
接着,在操作S606,量子密钥分发节点QKDN1可将来自量子密钥分发节点QKDN2的针对上述请求的响应分别接收至虚拟密钥管理机VQKM1和虚拟密钥管理机VQKM2。
接着,在操作S607,量子密钥分发节点QKDN1可响应于来自计算节点B的数据加密请求而由虚拟密钥管理机VQKM2使用生成的会话密钥加密虚拟机VM的数据,该数据加密请求包括虚拟机VM的数据。
接着,在操作S608,量子密钥分发节点QKDN1可将加密后的虚拟机VM的数据作为针对数据加密请求的响应传送回计算节点B,计算节点B将加密后的虚拟机VM的数据迁移至计算节点A。
接着,在操作S609,量子密钥分发节点QKDN1可响应于来自计算节点A的数据解密请求而由虚拟密钥管理机VQKM1使用生成的会话密钥解密加密后的虚拟机VM的数据,该数据解密请求包括加密后的虚拟机VM的数据。
最后,在操作S610,量子密钥分发节点QKDN1可将解密后的虚拟机VM的数据作为针对数据解密请求的响应传送回计算节点A。
图7示出了根据本发明的示例性实施例的使用量子密钥迁移虚拟机的装置的示意性结构框图。
参照图7,根据本发明的示例性实施例的使用量子密钥迁移虚拟机的装置至少可包括量子密钥锁定单元701、会话密钥请求单元702、会话密钥接收单元703、虚拟机数据加密单元704、第一数据传送单元705、虚拟机数据解密单元706、第二数据传送单元707。
在图7示出的装置中,量子密钥锁定单元701可用于锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥;会话密钥请求单元702可用于向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,该请求包括第一量子密钥的标识和第二虚拟密钥管理机的标识;会话密钥接收单元703可用于将来自量子密钥分发节点的针对请求的响应分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机,该响应包括基于第三虚拟密钥管理机的量子密钥池中的第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥。
在虚拟机从第一计算节点迁移至第二计算节点的情况下,虚拟机数据加密单元704可用于响应于来自第一计算节点的数据加密请求而由第一虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,该数据加密请求包括虚拟机的数据;第一数据传送单元705可用于将加密后的虚拟机的数据作为针对数据加密请求的响应传送回第一计算节点,第一计算节点将加密后的虚拟机的数据迁移至第二计算节点;虚拟机数据解密单元706可用于响应于来自第二计算节点的数据解密请求而由第二虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,该数据解密请求包括加密后的虚拟机的数据;第二数据传送单元707可用于将解密后的虚拟机的数据作为针对数据解密请求的响应传送回第二计算节点。
在虚拟机从第二计算节点迁移至第一计算节点的情况下,虚拟机数据加密单元704可用于响应于来自第二计算节点的数据加密请求而由第二虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,该数据加密请求包括虚拟机的数据;第一数据传送单元705可用于将加密后的虚拟机的数据作为针对数据加密请求的响应传送回第二计算节点,第二计算节点将加密后的虚拟机的数据迁移至第一计算节点;虚拟机数据解密单元706可用于响应于来自第一计算节点的数据解密请求而由第一虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,该数据解密请求包括加密后的虚拟机的数据;第二数据传送单元707可用于将解密后的虚拟机的数据作为针对数据解密请求的响应传送回第一计算节点。
在图7示出的装置中,第一虚拟密钥管理机被配置为在虚拟机位于第一计算节点时向虚拟机提供数据加解密服务,第二虚拟密钥管理机被配置为在虚拟机位于第二计算节点时向虚拟机提供数据加解密服务。
在一个示例中,针对请求的响应还可包括第一虚拟密钥管理机的标识。相应地,图7示出的装置还可包括第一会话密钥存储单元(未示出),第一会话密钥存储单元可用于根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。另外,在该示例中,针对请求的响应还可包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识。相应地,生成的会话密钥可以以密文的形式被接收至第二虚拟密钥管理机。
在另一示例中,针对请求的响应还可包括第二虚拟密钥管理机的标识。相应地,图7示出的装置还可包括第二会话密钥存储单元,第二会话密钥存储单元可用于根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。在该示例中,针对请求的响应还可包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识。相应地,生成的会话密钥可以以密文的形式被接收至第一虚拟密钥管理机。
图8示出了根据本发明的示例性实施例的使用量子密钥迁移虚拟机的装置的另一示意性结构框图。
参照图8,根据本发明的示例性实施例的使用量子密钥迁移虚拟机的装置至少可包括会话密钥请求接收单元801、量子密钥获取单元802和会话密钥响应发送单元803。
在图8示出的装置中,会话密钥请求接收单元801可用于接收来自包括第一虚拟密钥管理机和第二虚拟密钥管理机的量子密钥分发节点的用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,该请求包括第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥的标识和第二虚拟密钥管理机的标识;量子密钥获取单元802可用于根据第一量子密钥的标识和第二虚拟密钥管理机的标识获取第三虚拟密钥管理机的量子密钥池中的第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥;会话密钥响应发送单元803可用于向量子密钥分发节点发送针对请求的响应,该响应包括基于第一量子密钥和第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥。
在图8示出的装置中,第一虚拟密钥管理机被配置为在虚拟机位于第一计算节点时向虚拟机提供数据加解密服务,第二虚拟密钥管理机被配置为在虚拟机位于第二计算节点时向虚拟机提供数据加解密服务。
在一个示例中,针对请求的响应还可包括第一虚拟密钥管理机的标识。另外,在该示例中,针对请求的响应还可包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,相应地,生成的会话密钥可以以密文的形式被发送至第二虚拟密钥管理机。
在另一示例中,针对请求的响应还可包括第二虚拟密钥管理机的标识。另外,在该示例中,针对请求的响应还可包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,相应地,生成的会话密钥可以以密文的形式被发送至第一虚拟密钥管理机。
图9示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥迁移虚拟机的系统的示意性架构图。
参照图9,根据本发明的示例性实施例的在云计算平台中使用量子密钥迁移虚拟机的系统可包括图7和图8示出的装置。图7示出的装置可布置在如图5和图6所示的量子密钥分发节点QKDN1中。图8示出的装置可布置在如图5和图6所示的量子密钥分发节点QKDN2中。当虚拟机VM从计算节点A迁移至计算节点B或者从计算节点B迁移至计算节点A时,在量子密钥分发节点中的虚拟密钥管理机之间被数据隔离的情况下,虚拟机VM可经由图9示出的系统实现对虚拟机VM的安全迁移。
下面将参照图10来进一步详细描述本发明的具体实施过程。
图10示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥迁移虚拟机的示意性数据交互过程。
虚拟密钥管理机VQKM1、虚拟密钥管理机VQKM2、虚拟密钥管理机监视器以及加密卡可被包括在如图5和6所示的量子密钥分发节点QKDN1中,在量子密钥分发节点QKDN1中,虚拟密钥管理机监视器负责为连接到量子密钥分发节点QKDN1的计算节点A和计算节点B中的各个虚拟机分配相应的虚拟密钥管理机。虚拟密钥管理机可被配置为向相应的虚拟机提供数据加解密服务,例如,虚拟密钥管理机VQKM1可被配置为向位于计算节点A中的虚拟机VM提供数据加解密服务,虚拟密钥管理机VQKM2可被配置为向位于计算节点B中的虚拟机VM提供数据加解密服务。虚拟密钥管理机VQKM3可被包括在如图5和6所示的量子密钥分发节点QKDN2中,并且可通过量子密钥分发节点QKDN2连接的QKD与量子密钥分发节点QKDN1连接的QKD进行量子密钥分发,以产生用于虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM3之间的量子密钥以及用于虚拟密钥管理机VQKM2与虚拟密钥管理机VQKM3之间的量子密钥。因此,虚拟密钥管理机VQKM1的量子密钥池和虚拟密钥管理机VQKM3的量子密钥池中均可存储有用于虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM3之间的量子密钥,虚拟密钥管理机VQKM2的量子密钥池和虚拟密钥管理机VQKM3的量子密钥池中均可存储有用于虚拟密钥管理机VQKM2与虚拟密钥管理机VQKM3之间的量子密钥。在量子密钥分发节点中的虚拟密钥管理机之间被数据隔离的情况下(即,虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2之间无法相互通信),可按照如下数据交互过程迁移虚拟机。
在1001,计算节点A向计算节点B发送迁移虚拟机的通知。
在1002,计算节点B向虚拟密钥管理机监视器申请虚拟密钥管理机VQKM2,以在虚拟机被迁移之后向虚拟机提供数据加解密服务。
在1003,虚拟密钥管理机监视器向虚拟密钥管理机VQKM2发送迁移虚拟机的通知。
在1004,虚拟密钥管理机VQKM2根据该通知锁定虚拟密钥管理机VQKM2与虚拟密钥管理机VQKM3之间的量子密钥A。
在1005,虚拟密钥管理机VQKM2向虚拟密钥管理机VQKM3发送用于获取虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2之间的会话密钥的请求,该请求包括量子密钥A的标识和虚拟密钥管理机VQKM1的标识。
在1006,虚拟密钥管理机VQKM3根据量子密钥A的标识获取量子密钥A,然后根据虚拟密钥管理机VQKM1的标识获取与虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM3之间的量子密钥B,并且通过对量子密钥A与量子密钥B进行异或运算而生成会话密钥K。
在1007,虚拟密钥管理机VQKM3向虚拟密钥管理机VQKM1通知量子密钥B被锁定的通知,该通知包括量子密钥B的标识。
在1008,虚拟密钥管理机VQKM1根据该通知销毁其量子密钥池中的量子密钥B,以确保虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM3中的量子密钥的对称性。
在1009,虚拟密钥管理机VQKM3使用虚拟密钥管理机VQKM2与虚拟密钥管理机VQKM3之间的量子密钥C加密会话密钥K。
在1010,虚拟密钥管理机VQKM3向虚拟密钥管理机VQKM2发送针对请求的响应,该响应包括使用量子密钥C加密的会话密钥K、虚拟密钥管理机VQKM1的标识以及用于加密会话密钥的量子密钥C的标识。
在1011,虚拟密钥管理机VQKM3使用虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM3之间的量子密钥D加密会话密钥K。
在1012,虚拟密钥管理机VQKM3向虚拟密钥管理机VQKM1发送针对请求的响应,该响应包括使用量子密钥D加密的会话密钥K、虚拟密钥管理机VQKM2的标识以及用于加密会话密钥K的量子密钥D的标识。
在1013,虚拟密钥管理机VQKM2向量子密钥分发节点QKDN1中的加密卡发送加密会话密钥的指令,该指令包括根据量子密钥C的标识获取的量子密钥C的密文以及使用量子密钥C加密的会话密钥K。
在1014,加密卡从量子密钥C的密文中解密出量子密钥C,使用量子密钥C解密出会话密钥K,使用数据加密密钥加密会话密钥K。
在1015,加密卡向虚拟密钥管理机VQKM2返回会话密钥K的密文。
在1016,虚拟密钥管理机VQKM2将会话密钥K的密文存储为虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2之间的会话密钥,以在迁移虚拟机过程中对虚拟机的数据进行加解密。
在1017,虚拟密钥管理机VQKM1向其所在的量子密钥分发节点QKDN1中的加密卡发送加密会话密钥的指令,该指令包括根据量子密钥D的标识获取的量子密钥D的密文以及使用量子密钥D加密的会话密钥K。
在1018,加密卡从量子密钥D的密文中解密出量子密钥D,使用量子密钥D解密出会话密钥K,使用数据加密密钥加密会话密钥K。
在1019,加密卡向虚拟密钥管理机VQKM1返回会话密钥K的密文。
在1020,虚拟密钥管理机VQKM1将会话密钥K的密文存储为虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2之间的会话密钥,以在迁移虚拟机的过程中对虚拟机的数据进行加解密。
在后续的虚拟机迁移过程中,虚拟密钥管理机VQKM1与虚拟密钥管理机VQKM2可使用会话密钥K对虚拟机数据进行加解密,以确保虚拟机迁移的安全性。
应当理解,图10所示的实施过程仅仅是示意性的,根据需要,还可采用其他的数据交互方式来实现本发明。
可以看出,根据本发明的示例性实施例的使用量子密钥迁移虚拟机的方法和装置不仅能够解决在基于量子密钥的云计算平台中由于计算节点之间缺乏共同使用的对称量子密钥而无法安全地迁移虚拟机的问题,而且还降低了虚拟机因迁移而导致数据泄露的风险,这在很大程度上提升了云计算平台的安全性。
根据本发明的示例性实施例还可提供一种存储有计算机程序的计算机可读存储介质。该计算机可读存储介质存储有当被处理器执行时使得处理器执行根据本发明的使用量子密钥迁移虚拟机的方法的计算机程序。该计算机可读记录介质是可存储由计算机系统读出的数据的任意数据存储装置。计算机可读记录介质的示例包括:只读存储器、随机存取存储器、只读光盘、磁带、软盘、光数据存储装置和载波(诸如经有线或无线传输路径通过互联网的数据传输)。
根据本发明的示例性实施例还可提供一种计算机设备。该计算机设备包括处理器和存储器。存储器用于存储计算机程序。所述计算机程序被处理器执行使得处理器执行根据本发明的使用量子密钥迁移虚拟机的方法的计算机程序。
尽管已参照优选实施例表示和描述了本申请,但本领域技术人员应该理解,在不脱离由权利要求限定的本申请的精神和范围的情况下,可以对这些实施例进行各种修改和变换。

Claims (32)

1.一种使用量子密钥迁移虚拟机的方法,其特征在于,所述方法包括:
锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥;
向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括所述第一量子密钥的标识和第二虚拟密钥管理机的标识;
将来自所述量子密钥分发节点的针对所述请求的响应分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机,所述响应包括基于第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥;
响应于来自第一计算节点的数据加密请求而由第一虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,所述数据加密请求包括虚拟机的数据;
将加密后的虚拟机的数据作为针对所述数据加密请求的响应传送回第一计算节点,第一计算节点将加密后的虚拟机的数据迁移至第二计算节点;
响应于来自第二计算节点的数据解密请求而由第二虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,所述数据解密请求包括加密后的虚拟机的数据;
将解密后的虚拟机的数据作为针对所述数据解密请求的响应传送回第二计算节点。
2.根据权利要求1所述的方法,其特征在于,针对所述请求的响应还包括第一虚拟密钥管理机的标识,
其中,所述方法还包括:
根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。
3.根据权利要求1所述的方法,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,
其中,生成的会话密钥以密文的形式被接收至第二虚拟密钥管理机。
4.根据权利要求1所述的方法,其特征在于,针对所述请求的响应还包括第二虚拟密钥管理机的标识,
其中,所述方法还包括:
根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。
5.根据权利要求1所述的方法,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,
其中,生成的会话密钥以密文的形式被接收至第一虚拟密钥管理机。
6.一种使用量子密钥迁移虚拟机的方法,其特征在于,所述方法包括:
锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥;
向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括所述第一量子密钥的标识和第二虚拟密钥管理机的标识;
将来自所述量子密钥分发节点的针对所述请求的响应分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机,所述响应包括基于第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥;
响应于来自第二计算节点的数据加密请求而由第二虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,所述数据加密请求包括虚拟机的数据;
将加密后的虚拟机的数据作为针对所述数据加密请求的响应传送回第二计算节点,第二计算节点将加密后的虚拟机的数据迁移至第一计算节点;
响应于来自第一计算节点的数据解密请求而由第一虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,所述数据解密请求包括加密后的虚拟机的数据;
将解密后的虚拟机的数据作为针对所述数据解密请求的响应传送回第一计算节点。
7.根据权利要求6所述的方法,其特征在于,针对所述请求的响应还包括第一虚拟密钥管理机的标识,
其中,所述方法还包括:
根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。
8.根据权利要求6所述的方法,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,
其中,生成的会话密钥以密文的形式被接收至第二虚拟密钥管理机。
9.根据权利要求6所述的方法,其特征在于,针对所述请求的响应还包括第二虚拟密钥管理机的标识,
其中,所述方法还包括:
根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。
10.根据权利要求6所述的方法,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,
其中,生成的会话密钥以密文的形式被接收至第一虚拟密钥管理机。
11.一种使用量子密钥迁移虚拟机的方法,其特征在于,所述方法包括:
接收来自包括第一虚拟密钥管理机和第二虚拟密钥管理机的量子密钥分发节点的用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥的标识和第二虚拟密钥管理机的标识请求;
根据所述第一量子密钥的标识和第二虚拟密钥管理机的标识锁定第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥;
向所述量子密钥分发节点发送针对所述请求的响应,所述响应包括基于所述第一量子密钥和所述第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥。
12.根据权利要求11所述的方法,其特征在于,针对所述请求的响应还包括第一虚拟密钥管理机的标识。
13.根据权利要求11所述的方法,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,
其中,生成的会话密钥以密文的形式被发送至第二虚拟密钥管理机。
14.根据权利要求11所述的方法,其特征在于,针对所述请求的响应还包括第二虚拟密钥管理机的标识。
15.根据权利要求11所述的方法,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,
其中,生成的会话密钥以密文的形式被发送至第一虚拟密钥管理机。
16.一种使用量子密钥迁移虚拟机的装置,其特征在于,所述装置包括:
量子密钥锁定单元,被配置为锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥;
会话密钥请求单元,被配置为向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括所述第一量子密钥的标识和第二虚拟密钥管理机的标识;
会话密钥接收单元,被配置为将来自所述量子密钥分发节点的针对所述请求的响应分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机,所述响应包括基于第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥;
虚拟机数据加密单元,被配置为响应于来自第一计算节点的数据加密请求而由第一虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,所述数据加密请求包括虚拟机的数据;
第一数据传送单元,被配置为将加密后的虚拟机的数据作为针对所述数据加密请求的响应传送回第一计算节点,第一计算节点将加密后的虚拟机的数据迁移至第二计算节点;
虚拟机数据解密单元,被配置为响应于来自第二计算节点的数据解密请求而由第二虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,所述数据解密请求包括加密后的虚拟机的数据;
第二数据传送单元,被配置为将解密后的虚拟机的数据作为针对所述数据解密请求的响应传送回第二计算节点。
17.根据权利要求16所述的装置,其特征在于,针对所述请求的响应还包括第一虚拟密钥管理机的标识,
其中,所述装置还包括:
第一会话密钥存储单元,被配置为根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。
18.根据权利要求16所述的装置,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,
其中,生成的会话密钥以密文的形式被接收至第二虚拟密钥管理机。
19.根据权利要求16所述的装置,其特征在于,针对所述请求的响应还包括第二虚拟密钥管理机的标识,
其中,所述装置还包括:
第二会话密钥存储单元,被配置为根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。
20.根据权利要求16所述的装置,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,
其中,生成的会话密钥以密文的形式被接收至第一虚拟密钥管理机。
21.一种使用量子密钥迁移虚拟机的装置,其特征在于,所述装置包括:
量子密钥锁定单元,被配置为锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥;
会话密钥请求单元,被配置为向包括第三虚拟密钥管理机的量子密钥分发节点发送用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括所述第一量子密钥的标识和第二虚拟密钥管理机的标识;
会话密钥接收单元,被配置为将来自所述量子密钥分发节点的针对所述请求的响应分别接收至第一虚拟密钥管理机和第二虚拟密钥管理机,所述响应包括基于第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥;
虚拟机数据加密单元,被配置为响应于来自第二计算节点的数据加密请求而由第二虚拟密钥管理机使用生成的会话密钥加密虚拟机的数据,所述数据加密请求包括虚拟机的数据;
第一数据传送单元,被配置为将加密后的虚拟机的数据作为针对所述数据加密请求的响应传送回第二计算节点,第二计算节点将加密后的虚拟机的数据迁移至第一计算节点;
虚拟机数据解密单元,被配置为响应于来自第一计算节点的数据解密请求而由第一虚拟密钥管理机使用生成的会话密钥解密加密后的虚拟机的数据,所述数据解密请求包括加密后的虚拟机的数据;
第二数据传送单元,被配置为将解密后的虚拟机的数据作为针对所述数据解密请求的响应传送回第一计算节点。
22.根据权利要求21所述的装置,其特征在于,针对所述请求的响应还包括第一虚拟密钥管理机的标识,
其中,所述装置还包括:
第一会话密钥存储单元,被配置为根据第一虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第二虚拟密钥管理机的量子密钥池中。
23.根据权利要求21所述的装置,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,
其中,生成的会话密钥以密文的形式被接收至第二虚拟密钥管理机。
24.根据权利要求21所述的装置,其特征在于,针对所述请求的响应还包括第二虚拟密钥管理机的标识,
其中,所述装置还包括:
第二会话密钥存储单元,被配置为根据第二虚拟密钥管理机的标识将生成的会话密钥作为第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥存储至第一虚拟密钥管理机的量子密钥池中。
25.根据权利要求21所述的装置,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,
其中,生成的会话密钥以密文的形式被接收至第一虚拟密钥管理机。
26.一种使用量子密钥迁移虚拟机的装置,其特征在于,所述装置包括:
会话密钥请求接收单元,被配置为接收来自包括第一虚拟密钥管理机和第二虚拟密钥管理机的量子密钥分发节点的用于获取第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥的请求,所述请求包括第一虚拟密钥管理机与第三虚拟密钥管理机之间的第一量子密钥的标识和第二虚拟密钥管理机的标识请求;
量子密钥获取单元,被配置为根据所述第一量子密钥的标识和第二虚拟密钥管理机的标识获取第三虚拟密钥管理机的量子密钥池中的所述第一量子密钥和第二虚拟密钥管理机与第三虚拟密钥管理机之间的第二量子密钥;
会话密钥响应发送单元,被而配置为向所述量子密钥分发节点发送针对所述请求的响应,所述响应包括基于所述第一量子密钥和所述第二量子密钥而生成的第一虚拟密钥管理机与第二虚拟密钥管理机之间的会话密钥。
27.根据权利要求26所述的装置,其特征在于,针对所述请求的响应还包括第一虚拟密钥管理机的标识。
28.根据权利要求26所述的装置,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第二虚拟密钥管理机与第三虚拟密钥管理机之间的第三量子密钥的标识,
其中,生成的会话密钥以密文的形式被发送至第二虚拟密钥管理机。
29.根据权利要求26所述的装置,其特征在于,针对所述请求的响应还包括第二虚拟密钥管理机的标识。
30.根据权利要求26所述的装置,其特征在于,针对所述请求的响应还包括第三虚拟密钥管理机的量子密钥池中的用于加密生成的会话密钥的第一虚拟密钥管理机与第三虚拟密钥管理机之间的第四量子密钥的标识,
其中,生成的会话密钥以密文的形式被发送至第一虚拟密钥管理机。
31.一种存储有计算机程序的计算机可读存储介质,其中,当所述计算机程序被处理器执行时,实现权利要求1至15中任意一项所述的使用量子密钥迁移虚拟机的方法。
32.一种计算设备,包括:
处理器;
存储器,存储有计算机程序,当所述计算机程序被处理器执行时,实现权利要求1至15中任意一项所述的使用量子密钥迁移虚拟机的方法。
CN202210856193.5A 2022-07-21 2022-07-21 使用量子密钥迁移虚拟机的方法、装置、介质和设备 Active CN114944917B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210856193.5A CN114944917B (zh) 2022-07-21 2022-07-21 使用量子密钥迁移虚拟机的方法、装置、介质和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210856193.5A CN114944917B (zh) 2022-07-21 2022-07-21 使用量子密钥迁移虚拟机的方法、装置、介质和设备

Publications (2)

Publication Number Publication Date
CN114944917A CN114944917A (zh) 2022-08-26
CN114944917B true CN114944917B (zh) 2022-10-14

Family

ID=82910553

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210856193.5A Active CN114944917B (zh) 2022-07-21 2022-07-21 使用量子密钥迁移虚拟机的方法、装置、介质和设备

Country Status (1)

Country Link
CN (1) CN114944917B (zh)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9729517B2 (en) * 2013-01-22 2017-08-08 Amazon Technologies, Inc. Secure virtual machine migration
SE538279C2 (sv) * 2014-09-23 2016-04-19 Kelisec Ab Förfarande och system för att fastställa förekomst av
CN105700945B (zh) * 2016-01-12 2019-01-11 中南大学 一种基于净室环境的虚拟机安全迁移方法
CN107171792A (zh) * 2017-06-05 2017-09-15 北京邮电大学 一种虚拟密钥池及量子密钥资源的虚拟化方法
CN111147232A (zh) * 2019-11-25 2020-05-12 北京邮电大学 Qkd通信节点及其量子密钥资源迁移方法和装置
CN114697013B (zh) * 2020-12-30 2024-03-26 科大国盾量子技术股份有限公司 基于可信中继节点共享密钥的量子密钥管理方法
CN113179514B (zh) * 2021-03-25 2022-08-05 北京邮电大学 中继共存场景下的量子密钥分发方法及相关设备
CN113285804A (zh) * 2021-07-21 2021-08-20 苏州浪潮智能科技有限公司 虚拟机磁盘数据的加解密方法、装置、设备及存储介质
CN113986464A (zh) * 2021-10-27 2022-01-28 济南浪潮数据技术有限公司 虚拟机安全迁移的方法和系统

Also Published As

Publication number Publication date
CN114944917A (zh) 2022-08-26

Similar Documents

Publication Publication Date Title
CN109033855B (zh) 一种基于区块链的数据传输方法、装置及存储介质
US11316677B2 (en) Quantum key distribution node apparatus and method for quantum key distribution thereof
US9954680B1 (en) Secure management of a master encryption key in a split-key based distributed computing environment
EP3248310B1 (en) Method, apparatus, and system for quantum key distribution
US11063754B2 (en) Systems, devices, and methods for hybrid secret sharing
EP3195555B1 (en) Secure key management for roaming protected content
US11128447B2 (en) Cryptographic operation method, working key creation method, cryptographic service platform, and cryptographic service device
US20170244687A1 (en) Techniques for confidential delivery of random data over a network
EP2645618A1 (en) Method and system for network data access
US20160261592A1 (en) Method and device for the secure authentication and execution of programs
KR20010072206A (ko) 공중/개인키 쌍들의 안전한 분배 방법 및 장치
WO2016136024A1 (ja) 鍵付替え方向制御システムおよび鍵付替え方向制御方法
US20180241747A1 (en) Information processing apparatus, authentication method, and recording medium for recording computer program
EP3413505A1 (en) Communication apparatus, communication system, key sharing method, and computer-readable medium
JP6049914B2 (ja) 暗号システム、鍵生成装置及び再暗号化装置
KR20120132708A (ko) 클라우드 컴퓨팅 환경에서의 접근 권한 분산 관리 장치 및 그 방법
JP6401875B2 (ja) データ処理システム
CN114338005A (zh) 一种数据传输加密方法、装置、电子设备及存储介质
Kaushik et al. Secure cloud data using hybrid cryptographic scheme
CN114944917B (zh) 使用量子密钥迁移虚拟机的方法、装置、介质和设备
JP4995667B2 (ja) 情報処理装置、サーバ装置、情報処理プログラム及び方法
CN114938275B (zh) 使用量子密钥迁移虚拟机的方法、装置、介质和设备
KR20170047853A (ko) Drm 서비스 제공 장치 및 방법, drm 서비스를 이용한 콘텐츠 재생 장치 및 방법
JP2016151797A (ja) 情報処理システム、その制御方法、及びプログラム
US11177949B2 (en) Data sharing method, data sharing system, data sharing server, communication terminal and program

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant