使用量子密钥对虚拟机数据进行加解密的方法、装置、介质和设备与流程

1.本发明涉及量子加解密技术领域，尤其涉及使用量子密钥对虚拟机数据进行加解密的方法、装置、介质和设备。


背景技术：

2.在基于量子密钥的云计算平台中，虚拟机可通过其所在计算节点连接的量子密钥分发节点中的加密卡来对虚拟机数据进行加解密，以确保云存储数据的安全性。当虚拟机所在计算节点出现设备故障时，虚拟机会迁移至其他计算节点上以继续为用户提供服务。然而，由于用于对虚拟机数据进行加解密的数据加密密钥不会随着虚拟机的迁移而迁移，因此这种迁移会导致迁移之后的虚拟机因获取不到数据加密密钥而无法对虚拟机数据进行加解密。


技术实现要素：

3.本发明的目的在于提供使用量子密钥对虚拟机数据进行加解密的方法、装置、介质和设备。
4.根据本发明的一方面，提供一种使用量子密钥对虚拟机数据进行加解密的方法，所述方法包括：响应于虚拟机从第一计算节点迁移至第二计算节点而获取所述虚拟机的标识；向第一虚拟密钥管理机所在的量子密钥分发节点发送用于获取所述虚拟机的数据加密密钥的请求，所述请求包括所述虚拟机的标识；接收来自所述量子密钥分发节点的针对所述请求的响应，所述响应包括所述虚拟机的数据加密密钥的密文以及用于加密所述虚拟机的数据加密密钥的第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥的标识；根据所述量子密钥的标识从第二虚拟密钥管理机的量子密钥池中获取所述量子密钥；使用所述量子密钥从所述虚拟机的数据加密密钥的密文中解密出所述虚拟机的数据加密密钥；使用解密出的数据加密密钥对来自第二计算节点的所述虚拟机的数据进行加密或解密，其中，第一虚拟密钥管理机被配置为在所述虚拟机位于第一计算节点时向所述虚拟机提供数据加解密服务，第二虚拟密钥管理机被配置为在所述虚拟机位于第二计算节点时向所述虚拟机提供数据加解密服务。
5.根据本发明的一个实施例，从第二虚拟密钥管理机的量子密钥池中获取的量子密钥为所述量子密钥的密文。
6.根据本发明的一个实施例，在使用所述量子密钥从所述虚拟机的数据加密密钥的密文中解密出所述虚拟机的数据加密密钥之前，所述方法还包括：根据所述量子密钥的标识从第二虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取所述量子密钥的量子密钥加密密钥；使用所述量子密钥的量子密钥加密密钥从所述量子密钥的密文中解密出所述量子密钥。
7.根据本发明的另一方面，提供一种使用量子密钥对虚拟机数据进行加解密的方
法，所述方法包括：接收来自第二虚拟密钥管理机所在的量子密钥分发节点的用于获取虚拟机的数据加密密钥的请求，所述请求包括所述虚拟机的标识；根据所述虚拟机的标识从第一虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取所述虚拟机的数据加密密钥；从第一虚拟密钥管理机的量子密钥池中获取用于加密所述虚拟机的数据加密密钥的第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥；使用所述量子密钥将所述虚拟机的数据加密密钥加密成所述虚拟机的数据加密密钥的密文；将所述虚拟机的数据加密密钥的密文以及所述量子密钥的标识作为针对所述请求的响应发送至第二虚拟密钥管理机所在的量子密钥分发节点，其中，第一虚拟密钥管理机被配置为在所述虚拟机位于第一计算节点时向所述虚拟机提供数据加解密服务，第二虚拟密钥管理机被配置为在所述虚拟机位于第二计算节点时向所述虚拟机提供数据加解密服务。
8.根据本发明的一个实施例，从第一虚拟密钥管理机的量子密钥池中获取的量子密钥为所述量子密钥的密文。
9.根据本发明的一个实施例，在使用所述量子密钥将所述虚拟机的数据加密密钥加密成所述虚拟机的数据加密密钥的密文之前，所述方法还包括：根据所述量子密钥的标识从第一虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取所述量子密钥的量子密钥加密密钥；使用所述量子密钥的量子密钥加密密钥从所述量子密钥的密文中解密出所述量子密钥。
10.根据本发明的另一方面，提供一种使用量子密钥对虚拟机数据进行加解密的装置，所述装置包括：虚拟机标识获取单元，被配置为响应于虚拟机从第一计算节点迁移至第二计算节点而获取所述虚拟机的标识；数据加密密钥请求单元，被配置为向第一虚拟密钥管理机所在的量子密钥分发节点发送用于获取所述虚拟机的数据加密密钥的请求，所述请求包括所述虚拟机的标识；数据加密密钥接收单元，被配置为接收来自所述量子密钥分发节点的针对所述请求的响应，所述响应包括所述虚拟机的数据加密密钥的密文以及用于加密所述虚拟机的数据加密密钥的第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥的标识；第一量子密钥获取单元，被配置为根据所述量子密钥的标识从第二虚拟密钥管理机的量子密钥池中获取所述量子密钥；数据加密密钥解密单元，被配置为使用所述量子密钥从所述虚拟机的数据加密密钥的密文中解密出所述虚拟机的数据加密密钥；虚拟机数据加解密单元，被配置为使用解密出的数据加密密钥对来自第二计算节点的所述虚拟机的数据进行加密或解密，其中，第一虚拟密钥管理机被配置为在所述虚拟机位于第一计算节点时向所述虚拟机提供数据加解密服务，第二虚拟密钥管理机被配置为在所述虚拟机位于第二计算节点时向所述虚拟机提供数据加解密服务。
11.根据本发明的一个实施例，从第二虚拟密钥管理机的量子密钥池中获取的量子密钥为所述量子密钥的密文。
12.根据本发明的一个实施例，所述装置还包括：第一量子密钥加密密钥获取单元，被配置为根据所述量子密钥的标识从第二虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取所述量子密钥的量子密钥加密密钥；第一量子密钥解密单元，被配置为使用所述量子密钥的量子密钥加密密钥从所述量子密钥的密文中解密出所述量子密钥。
13.根据本发明的另一方面，提供一种使用量子密钥对虚拟机数据进行加解密的装置，所述装置包括：数据加密密钥请求接收单元，被配置为接收来自第二虚拟密钥管理机所
在的量子密钥分发节点的用于获取虚拟机的数据加密密钥的请求，所述请求包括所述虚拟机的标识；数据加密密钥获取单元，被配置为根据所述虚拟机的标识从第一虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取所述虚拟机的数据加密密钥；第二量子密钥获取单元，被配置为从第一虚拟密钥管理机的量子密钥池中获取用于加密所述虚拟机的数据加密密钥的第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥；数据加密密钥加密单元，被配置为使用所述量子密钥将所述虚拟机的数据加密密钥加密成所述虚拟机的数据加密密钥的密文；数据加密密钥请求响应单元，被配置为将所述虚拟机的数据加密密钥的密文以及所述量子密钥的标识作为针对所述请求的响应发送至第二虚拟密钥管理机所在的量子密钥分发节点，其中，第一虚拟密钥管理机被配置为在所述虚拟机位于第一计算节点时向所述虚拟机提供数据加解密服务，第二虚拟密钥管理机被配置为在所述虚拟机位于第二计算节点时向所述虚拟机提供数据加解密服务。
14.根据本发明的一个实施例，从第一虚拟密钥管理机的量子密钥池中获取的量子密钥为所述量子密钥的密文。
15.根据本发明的一个实施例，所述装置还包括：第二量子密钥加密密钥获取单元，被配置为根据所述量子密钥的标识从第一虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取所述量子密钥的量子密钥加密密钥；第二量子密钥解密单元，被配置为使用所述量子密钥的量子密钥加密密钥从所述量子密钥的密文中解密出所述量子密钥。
16.根据本发明的另一方面，提供一种存储有计算机程序的计算机可读存储介质，当所述计算机程序在被处理器执行时，实现如前面所述的使用量子密钥对虚拟机数据进行加解密的方法。
17.根据本发明的另一方面，提供一种计算机设备，所述计算机设备包括：处理器；存储器，存储有计算机程序，当所述计算机程序被处理器执行时，实现如前面所述的使用量子密钥对虚拟机数据进行加解密的方法。
18.本发明所提供的使用量子密钥对虚拟机数据进行加解密的方法、装置、介质和设备不仅能够解决虚拟机在云计算平台中因其迁移至其他计算节点而无法使用数据加密密钥对其数据（诸如，虚拟机镜像数据、快照数据等）进行加解密的问题，而且还有效地降低了虚拟机因迁移而导致数据泄露的风险，这在很大程度上提升了云计算平台的安全性。
附图说明
19.通过下面结合附图进行的描述，本发明的上述目的和特点将会变得更加清楚。
20.图1示出了云计算平台的系统架构的示意图。
21.图2示出了根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的方法的示意性流程图。
22.图3示出了根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的方法的另一示意性流程图。
23.图4示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥对虚拟机数据进行加解密的示意性操作时序图。
24.图5示出了根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的装置的示意性结构框图。
25.图6示出了根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的装置的另一示意性结构框图。
26.图7示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥对虚拟机数据进行加解密的系统的示意性架构图。
具体实施方式
27.下面，将参照附图来详细说明本发明的实施例。
28.图1示出了云计算平台的系统架构的示意图。
29.参照图1，在图1示出的云计算平台中，不同的计算平台可被连接至不同的量子密钥分发节点，每个计算平台上可运行一个或多个虚拟机，每个量子密钥分发节点上可基于虚拟化技术而生成一个或多个虚拟密钥管理机来为相应的虚拟机提供数据加解密服务，并且同一量子密钥分发节点中的虚拟密钥管理机之间被数据隔离，以降低量子密钥在同一量子密钥分发节点中的不同虚拟密钥管理机之间泄露的风险，这使得同一量子密钥分发节点中的各个虚拟密钥管理机之间无法互相进行数据访问。
30.另外，在图1示出的云计算平台中，每个量子密钥分发节点除了连接至相应的计算平台之外，还连接至量子密钥分发设备（quantum key distribution，简称qkd）（未示出），以与云计算平台中的其他量子密钥分发节点连接的量子密钥分发设备进行量子密钥分发，通过对在量子密钥分发过程中产生的量子光进行基矢比对和数据后处理以筛选出合适的对称量子密钥，这些量子密钥被按照预定策略分配给基于虚拟化技术而生成在同一量子密钥分发节点中的各个虚拟密钥管理机的量子密钥池中，以为云计算平台中的不同计算节点或不同虚拟机之间的数据传输提供安全保障。
31.另外，在图1示出的云计算平台中，每个量子密钥分发节点中均设置有加密卡（诸如，但不限于，pci-e加密卡），主密钥、密钥加密密钥、数据加密密钥、量子密钥加密密钥均可存储在加密卡中，量子密钥可被分配给各个虚拟密钥管理机的量子密钥池，换言之，量子密钥可存储在加密卡之外的存储装置中。每个虚拟密钥管理机可经由加密卡使用数据加密密钥对来自其相应的虚拟机中的数据（诸如，虚拟机镜像数据、快照数据等）进行加解密。然而，当虚拟机由于设备故障或其他原因而发生迁移（例如，但不限于，从图1所示的计算节点a迁移至图1所示的计算节点c）时，由于虚拟机的数据加密密钥仍然驻留在量子密钥分发节点qkdn1的加密卡（未示出）中，而加密卡不会随着虚拟机的迁移而迁移，因此，虚拟机在计算节点a时使用数据加密密钥加密的数据在虚拟机迁移至计算节点c之后将无法得到解密。
32.为此，本发明在下文中提出了使用量子密钥对虚拟机数据进行加解密的方法和装置来克服上述问题的发生。
33.图2示出了根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的方法的示意性流程图。
34.参照图2，图2所示的方法可包括如下步骤。
35.在步骤201，可响应于虚拟机从第一计算节点迁移至第二计算节点而获取虚拟机的标识。
36.在步骤202，可向第一虚拟密钥管理机所在的量子密钥分发节点发送用于获取虚拟机的数据加密密钥的请求，该请求包括虚拟机的标识。
37.在步骤203，可接收来自量子密钥分发节点的针对请求的响应，该响应包括虚拟机的数据加密密钥的密文以及用于加密虚拟机的数据加密密钥的第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥的标识。
38.在步骤204，可根据量子密钥的标识从第二虚拟密钥管理机的量子密钥池中获取量子密钥。
39.在步骤205，可使用量子密钥从虚拟机的数据加密密钥的密文中解密出虚拟机的数据加密密钥。
40.在步骤206，可使用解密出的数据加密密钥对来自第二计算节点的虚拟机的数据进行加密或解密。
41.上述方法可执行在第二虚拟密钥管理机所在的量子密钥分发节点中，并且第一虚拟密钥管理机可被配置为在虚拟机位于第一计算节点时向虚拟机提供数据加解密服务，第二虚拟密钥管理机可被配置为在虚拟机位于第二计算节点时向虚拟机提供数据加解密服务。
42.在示例中，从第二虚拟密钥管理机的量子密钥池中获取的量子密钥可以是量子密钥的明文，也可以是量子密钥的密文。如果获取的量子密钥是密文，则在执行步骤205之前，可根据量子密钥的标识从第二虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取量子密钥的量子密钥加密密钥，并且使用量子密钥的量子密钥加密密钥从量子密钥的密文中解密出量子密钥。这里，量子密钥和量子密钥的量子密钥加密密钥均在量子密钥分发节点进行量子密钥分发期间产生，因此，量子密钥和量子密钥的量子密钥加密密钥均为对称密钥。
43.图3示出了根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的方法的另一示意性流程图。
44.参照图3，图3所示的方法可包括如下步骤。
45.在步骤301，可接收来自第二虚拟密钥管理机所在的量子密钥分发节点的用于获取虚拟机的数据加密密钥的请求，该请求包括虚拟机的标识。
46.在步骤302，可根据虚拟机的标识从第一虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取虚拟机的数据加密密钥。
47.在步骤303，可从第一虚拟密钥管理机的量子密钥池中获取用于加密虚拟机的数据加密密钥的第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥。
48.在步骤304，可使用量子密钥将虚拟机的数据加密密钥加密成虚拟机的数据加密密钥的密文。
49.在步骤305，可将虚拟机的数据加密密钥的密文以及量子密钥的标识作为针对请求的响应发送至第二虚拟密钥管理机所在的量子密钥分发节点。
50.上述方法可执行在第一虚拟密钥管理机所在的量子密钥分发节点中，并且第一虚拟密钥管理机可被配置为在虚拟机位于第一计算节点时向虚拟机提供数据加解密服务，第二虚拟密钥管理机可被配置为在虚拟机位于第二计算节点时向虚拟机提供数据加解密服务。
51.在示例中，从第一虚拟密钥管理机的量子密钥池中获取的量子密钥可以是量子密钥的明文，也可以是量子密钥的密文。如果获取的量子密钥是密文，则在执行步骤304之前，
可根据量子密钥的标识从第一虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取量子密钥的量子密钥加密密钥，并且使用量子密钥的量子密钥加密密钥从量子密钥的密文中解密出量子密钥。这里，量子密钥和量子密钥的量子密钥加密密钥均在量子密钥分发节点进行量子密钥分发期间产生，因此，量子密钥和量子密钥的量子密钥加密密钥均为对称密钥。
52.图4示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥对虚拟机数据进行加解密的示意性操作时序图。
53.参照图4，在云计算平台中，在虚拟机vm因设备故障或者其他原因从计算节点a迁移至计算节点c之后，可按照如下操作时序对虚拟机vm数据进行加解密。
54.首先，在操作s401，量子密钥分发节点qkdn2可响应于虚拟机vm从第一计算节点a迁移至第二计算节点c而获取虚拟机vm的标识。
55.接着，在操作s402，量子密钥分发节点qkdn2可向量子密钥分发节点qkdn1发送用于获取虚拟机vm的数据加密密钥的请求，该请求包括虚拟机vm的标识。
56.接着，在操作s403，量子密钥分发节点qkdn1可接收来自量子密钥分发节点qkdn2的用于获取虚拟机vm的数据加密密钥的请求。
57.接着，在操作s404，量子密钥分发节点qkdn1可根据虚拟机vm的标识从量子密钥分发节点qkdn1的加密卡中获取虚拟机vm的数据加密密钥。量子密钥分发节点qkdn1的加密卡中可存储有连接至量子密钥分发节点qkdn1的计算节点a和计算节点b中的各个虚拟机的数据加密密钥。在云计算平台中，其他量子密钥分发节点的加密卡中同样也存储有连接至其他量子密钥分发节点的各个计算节点中的各个虚拟机的数据加密密钥。
58.接着，在操作s405，量子密钥分发节点qkdn1可从虚拟密钥管理机vqkm1的量子密钥池中获取用于加密虚拟机vm的数据加密密钥的虚拟密钥管理机vqkm1与虚拟密钥管理机vqkm2之间的量子密钥k。虚拟密钥管理机vqkm1的量子密钥池中可存储有虚拟密钥管理机vqkm1与虚拟密钥管理机vqkm2以及虚拟密钥管理机vqkm1与其他虚拟密钥管理机之间的量子密钥。在云计算平台中，其他虚拟密钥管理机的量子密钥池中同样也存储有其他虚拟密钥管理机与另一虚拟密钥管理机之间的量子密钥。
59.接着，在操作s406，量子密钥分发节点qkdn1可使用量子密钥k将虚拟机vm的数据加密密钥加密成虚拟机vm的数据加密密钥的密文。
60.接着，在操作s407，量子密钥分发节点qkdn1可将虚拟机vm的数据加密密钥的密文以及量子密钥k的标识作为针对请求的响应发送至量子密钥分发节点qkdn2。
61.接着，在操作s408，量子密钥分发节点qkdn2可接收来自量子密钥分发节点qkdn1的针对请求的响应，该响应包括虚拟机vm的数据加密密钥的密文以及量子密钥k的标识。
62.接着，在操作s409，量子密钥分发节点qkdn2可根据量子密钥k的标识从虚拟密钥管理机vqkm2的量子密钥池中获取量子密钥k。虚拟密钥管理机vqkm2的量子密钥池中可存储有虚拟密钥管理机vqkm2与虚拟密钥管理机vqkm1以及虚拟密钥管理机vqkm2与其他虚拟密钥管理机之间的量子密钥。
63.接着，在操作s410，量子密钥分发节点qkdn2可使用量子密钥k从虚拟机vm的数据加密密钥的密文中解密出虚拟机vm的数据加密密钥。
64.最后，在操作s411，量子密钥分发节点qkdn2可使用解密出的数据加密密钥对来自
计算节点c的虚拟机vm的数据进行加密或解密。
65.图5示出了根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的装置的示意性结构框图。
66.参照图5，根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的装置至少可包括虚拟机标识获取单元501、数据加密密钥请求单元502、数据加密密钥接收单元503、第一量子密钥获取单元504、数据加密密钥解密单元505和虚拟机数据加解密单元506。
67.在图5示出的装置中，虚拟机标识获取单元501可响应于虚拟机从第一计算节点迁移至第二计算节点而获取虚拟机的标识；数据加密密钥请求单元502可向第一虚拟密钥管理机所在的量子密钥分发节点发送用于获取虚拟机的数据加密密钥的请求，该请求包括虚拟机的标识；数据加密密钥接收单元503可接收来自量子密钥分发节点的针对请求的响应，该响应包括虚拟机的数据加密密钥的密文以及用于加密虚拟机的数据加密密钥的第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥的标识；第一量子密钥获取单元504可根据量子密钥的标识从第二虚拟密钥管理机的量子密钥池中获取量子密钥；数据加密密钥解密单元505可使用量子密钥从虚拟机的数据加密密钥的密文中解密出虚拟机的数据加密密钥；虚拟机数据加解密单元506可使用解密出的数据加密密钥对来自第二计算节点的虚拟机的数据进行加密或解密。
68.在图5示出的装置中，第一虚拟密钥管理机可被配置为在虚拟机位于第一计算节点时向虚拟机提供数据加解密服务，第二虚拟密钥管理机可被配置为在虚拟机位于第二计算节点时向虚拟机提供数据加解密服务。
69.在示例中，从第二虚拟密钥管理机的量子密钥池中获取的量子密钥可以是量子密钥的明文，也可以是量子密钥的密文。如果获取的量子密钥是密文，则在图5示出的装置中，还可包括第一量子密钥加密密钥获取单元和第一量子密钥解密单元（均未示出），第一量子密钥加密密钥获取单元可根据量子密钥的标识从第二虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取量子密钥的量子密钥加密密钥；第一量子密钥解密单元可使用量子密钥的量子密钥加密密钥从量子密钥的密文中解密出量子密钥。
70.图6示出了根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的装置的另一示意性结构框图。
71.参照图6，根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的装置至少可包括数据加密密钥请求接收单元601、数据加密密钥获取单元602、第二量子密钥获取单元603、数据加密密钥加密单元604和数据加密密钥请求响应单元605。
72.在图6示出的装置中，数据加密密钥请求接收单元601可接收来自第二虚拟密钥管理机所在的量子密钥分发节点的用于获取虚拟机的数据加密密钥的请求，该请求包括虚拟机的标识；数据加密密钥获取单元602可根据虚拟机的标识从第一虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取虚拟机的数据加密密钥；第二量子密钥获取单元603可从第一虚拟密钥管理机的量子密钥池中获取用于加密虚拟机的数据加密密钥的第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥；数据加密密钥加密单元604可使用量子密钥将虚拟机的数据加密密钥加密成虚拟机的数据加密密钥的密文；数据加密密钥请求响应单元605可将虚拟机的数据加密密钥的密文以及量子密钥的标识作为针对请求的响应
发送至第二虚拟密钥管理机所在的量子密钥分发节点。
73.在图6示出的装置中，第一虚拟密钥管理机可被配置为在虚拟机位于第一计算节点时向虚拟机提供数据加解密服务，第二虚拟密钥管理机可被配置为在虚拟机位于第二计算节点时向虚拟机提供数据加解密服务。
74.在示例中，从第一虚拟密钥管理机的量子密钥池中获取的量子密钥可以是量子密钥的明文，也可以是量子密钥的密文。如果获取的量子密钥是密文，则在图6示出的装置中，还可包括第二量子密钥加密密钥获取单元和第二量子密钥解密单元（均未示出）第二量子密钥加密密钥获取单元可根据量子密钥的标识从第一虚拟密钥管理机所在的量子密钥分发节点的加密卡中获取量子密钥的量子密钥加密密钥；第二量子密钥解密单元可使用量子密钥的量子密钥加密密钥从量子密钥的密文中解密出量子密钥。
75.图7示出了根据本发明的示例性实施例的在云计算平台中使用量子密钥对虚拟机数据进行加解密的系统的示意性架构图。
76.参照图7，根据本发明的示例性实施例的在云计算平台中使用量子密钥迁移虚拟机的系统可包括图5和图6示出的装置。图5示出的装置可布置在如图4所示的量子密钥分发节点qkdn2中。图6示出的装置可布置在如图4所示的量子密钥分发节点qkdn1中。在虚拟机vm从计算节点a迁移至计算节点c之后，虚拟机vm可经由图7示出的系统实现对虚拟机数据的加解密。
77.可以看出，根据本发明的示例性实施例的使用量子密钥对虚拟机数据进行加解密的方法和装置不仅能够解决虚拟机在云计算平台中因其迁移至其他计算节点而无法使用数据加密密钥对其数据（诸如，虚拟机镜像数据、快照数据等）进行加解密的问题，而且还有效地降低了虚拟机因迁移而导致数据泄露的风险，这在很大程度上提升了云计算平台的安全性。
78.根据本发明的示例性实施例还可提供一种存储有计算机程序的计算机可读存储介质。该计算机可读存储介质存储有当被处理器执行时使得处理器执行根据本发明的使用量子密钥对虚拟机数据进行加解密的方法的计算机程序。该计算机可读记录介质是可存储由计算机系统读出的数据的任意数据存储装置。计算机可读记录介质的示例包括：只读存储器、随机存取存储器、只读光盘、磁带、软盘、光数据存储装置和载波（诸如经有线或无线传输路径通过互联网的数据传输）。
79.根据本发明的示例性实施例还可提供一种计算机设备。该计算机设备包括处理器和存储器。存储器用于存储计算机程序。所述计算机程序被处理器执行使得处理器执行根据本发明的使用量子密钥对虚拟机数据进行加解密的方法的计算机程序。
80.尽管已参照优选实施例表示和描述了本技术，但本领域技术人员应该理解，在不脱离由权利要求限定的本技术的精神和范围的情况下，可以对这些实施例进行各种修改和变换。