(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210856236.X (22)申请日 2022.07.21 (65)同一申请的已公布的文献号 申请公布号 CN 114938275 A (43)申请公布日 2022.08.23 (73)专利权人 国开启科量子技 术 （北京） 有限公 司 地址 100193 北京市海淀区西北旺东路10 号院东区5号楼一层108 (72)发明人 高光辉　王其兵　王林松　陈柳平　 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) G06F 9/455(2006.01) (56)对比文件 CN 10978319 2 A,2019.0 5.21 CN 113703911 A,2021.1 1.26 CN 10746 5689 A,2017.12.12 CN 10140 5694 A,20 09.04.08 CN 109508224 A,2019.0 3.22CN 10916 5079 A,2019.01.08 US 2019268149 A1,2019.08.2 9 US 2022179673 A1,202 2.06.09 US 2022019367 A1,202 2.01.20 US 2020004568 A1,2020.01.02 马彰超等.软件定义的量子密钥分发网络技 术研究. 《邮电设计技 术》 .2019,(第4期),第71- 75页. 陈怡丹等.云计算环境下虚拟机动态迁移的 安全问题分析. 《计算机技 术与发展》 .2015,第25 卷(第12期),第1 14-117页. 陈晖.一个新型的量子密钥服 务体系架构. 《中国电子科 学研究院学报》 .2020,第15卷(第3 期),第217-2 23页. 代龙飞.跨数据中心云服 务实时迁移的研究 与实现. 《中国优秀硕士学位 论文全文数据库信 息科技辑》 .2019,(第1 1期),第I137- 6页. (续) 审查员 张雨旸 (54)发明名称 使用量子密钥迁移虚拟机的方法、 装置、 介 质和设备 (57)摘要 本发明提供使用量子密钥迁移虚拟机的方 法、 装置、 介质和设备， 其中， 所述方法包括： 锁定 第一虚拟密钥管理机的量子密钥池中的第一虚 拟密钥管理机与第二虚拟密钥管理机之间的量 子密钥作为用于迁移的会话密钥； 向包括第二虚 拟密钥管理机的量子密钥分发节点发送量子密 钥被锁定的通知； 由第一虚拟密钥管理机使用锁 定的量子密钥对虚拟机的数据进行加解密， 以将 虚拟机的数据从第一计算节点安全地迁移至第 二计算节 点。 本发明能够在连接至相同量子密钥 分发节点的不同计算节点之间使用量子密钥安 全地迁移虚拟机的同时保持云计算平台中的不同量子密钥分发节点之间的量子密钥的对称性。 [转续页] 权利要求书2页 说明书8页 附图7页 CN 114938275 B 2022.10.14 CN 114938275 B (56)对比文件 P. Sharma等.Quantum K ey Distribution Secured Optical Netw orks: A Survey. 《IE EE Open Journal of the Com munications Society》 .2021,第2卷第2049-2083页.2/2 页 2[接上页] CN 114938275 B1.一种使用量子密钥迁移 虚拟机的方法， 其特 征在于， 所述方法包括： 响应于虚拟机从第一计算节点迁移至第二计算节点的通知而锁定第一虚拟密钥管理 机的量子密钥池中的第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥作为用 于所述迁移的会话密钥； 向第二量子密钥分发节点发送所述量子密钥被锁定为用于所述迁移的会话密钥的通 知， 所述通知包括所述量子密钥的标识， 以使得第二量子密钥分发节点响应于所述通知而 销毁第二虚拟密钥管理机的量子密钥池中的与所述量子密钥的标识对应的第一虚拟密钥 管理机与第二虚拟密钥管理机之间的量子密钥； 响应于来自第一计算节点的数据加密请求而由第一虚拟密钥管理机使用锁定的量子 密钥加密虚拟机的数据， 所述数据加密请求包括虚拟机的数据； 将加密后的虚拟机的数据作为针对所述数据加密请求的响应传送回第 一计算节点， 第 一计算节点将加密后的虚拟机的数据迁移至第二计算节点； 响应于来自第二计算节点的数据解密请求而由第一虚拟密钥管理机使用锁定的量子 密钥解密加密后的虚拟机的数据， 所述数据解密请求包括加密后的虚拟机的数据； 将解密后的虚拟机的数据作为针对所述数据解密请求的响应传送回第二计算节点， 其中， 第一虚拟密钥管理机包括在第一量子密钥分发节点中， 第二虚拟密钥管理机包 括在第二量子密钥分发节点中， 并且第一虚拟密钥管理机被配置为向第一计算节点和 第二 计算节点 提供数据加解密服 务。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 从第一虚拟密钥管理机的量子密钥池中获取锁定的量子密钥的密文； 根据锁定的量子密钥的标识从加密卡中获取锁定的量子密钥的量子密钥加密 密钥； 使用锁定的量子密钥的量子密钥加密密钥从锁定的量子密钥的密文中解密出锁定的 量子密钥。 3.一种使用量子密钥迁移 虚拟机的方法， 其特 征在于， 所述方法包括： 接收来自第一量子密钥分发节点的响应于虚拟机从第一计算节点迁移至第二计算节 点而锁定第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥作为用于所述迁移 的会话密钥的通知， 所述 通知包括所述 量子密钥的标识； 响应于所述通知而销毁第二虚拟密钥管理机的量子密钥池中的与所述量子密钥的标 识对应的第一虚拟密钥管理机与第二虚拟密钥管理机之间的量子密钥， 其中， 第一虚拟密钥管理机包括在第一量子密钥分发节点中， 第二虚拟密钥管理机包 括在第二量子密钥分发节点中， 并且第一虚拟密钥管理机被配置为向第一计算节点和 第二 计算节点 提供数据加解密服 务。 4.一种使用量子密钥迁移 虚拟机的装置， 其特 征在于， 所述装置包括： 量子密钥锁定单元， 被配置为响应于虚拟机从第 一计算节点迁移至第 二计算节点的通 知而锁定第一虚拟密钥管理机的量子密钥池中的第一虚拟密钥管理机与第二虚拟密钥管 理机之间的量子密钥作为用于所述迁移的会话密钥； 量子密钥锁定通知单元， 被配置为向第 二量子密钥分发节点发送所述量子密钥被锁定 为用于所述迁移的会话密钥的通知， 所述通知包括所述量子密钥的标识， 以使得第二量子 密钥分发节点响应于所述通知而销毁第二虚拟密钥管理机的量子密钥池中的与所述量子权　利　要　求　书 1/2 页 2 CN 114938275 B 3