(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211116106.9 (22)申请日 2022.09.14 (71)申请人 中国科学院信息 工程研究所 地址 100093 北京市海淀区闵庄路甲89号 (72)发明人 贾晓启　张伟娟　陈家赟　刘超　 王睿怡　黄庆佳　宋振宇　杜海超　 周梦婷　唐静　孟丹　 (74)专利代理 机构 北京君尚知识产权代理有限 公司 11200 专利代理师 邱晓锋 (51)Int.Cl. G06F 9/451(2018.01) G06F 9/455(2006.01) G06F 9/54(2006.01) G06F 21/60(2013.01)G06F 21/64(2013.01) (54)发明名称 一种可信桌 面虚拟化系统 (57)摘要 本发明提出一种可信桌面虚拟化系统， 包括 桌面虚拟化宿主机、 桌面虚拟化管理器、 虚拟桌 面透传协议组件、 虚拟桌面终端设备； 桌面虚拟 化宿主机包含内置安全设备卡， 可确保主机内存 中操作系统、 桌面虚拟化功能安全可信； 桌面虚 拟化管理器通过虚拟可信启动组件、 虚拟桌面度 量设备组件、 虚拟桌面可信迁移组件等确保安全 可信； 虚拟桌面透传协议组件提供从虚拟桌面到 虚拟桌面终端设备的可信传输隧道， 确保虚拟桌 面实时数据在传输过程中的机密性和完整性； 虚 拟桌面终端设备包含内置安全硬件模块， 对终端 系统内存中操作系统或虚拟桌面客户端的相关 重要对象进行主动动态度量， 确保安全可信。 本 发明能够提升桌面虚拟化系统在生命周期各个 环节中的安全可信。 权利要求书2页 说明书4页 附图1页 CN 115543501 A 2022.12.30 CN 115543501 A 1.一种可信桌面虚拟化系统， 其特征在于， 包括桌面虚拟化宿主机、 桌面虚拟化管理 器、 虚拟桌 面透传协议组件、 虚拟桌 面终端设备； 其中， 所述桌面虚拟化宿主机包含内置安全设备卡， 用于确保主机内存中操作系统、 桌面虚 拟化功能安全可信； 所述桌面虚拟化管理器管理所有虚拟桌面整个生命周期的运行过程， 通过虚拟可信启 动组件、 虚拟桌 面度量设备组件、 虚拟桌 面可信迁移组件来确保安全可信； 所述虚拟桌面透传协议组件通过加密传输和完整性校验， 提供从虚拟桌面到虚拟桌面 终端设备的可信传输隧道， 确保虚拟桌 面实时数据在 传输过程中的机密性和完整性； 所述虚拟桌面终端设备包含内置安全硬件模块， 对终端系统内存中操作系统或虚拟桌 面客户端的相关重要对象主动发起实时完整性校验， 确保安全可信。 2.如权利要求1所述的可信桌面虚拟化系统， 其特征在于， 所述桌面虚拟化宿主机对宿 主机系统内存中操作系统、 桌面虚拟化功能相关的重要对 象主动发起实时完整性校验， 并 将日志存 储在该设备卡上的非易失性存 储器中。 3.如权利要求1所述的可信桌面虚拟化系统， 其特征在于， 所述桌面虚拟化管理器利用 虚拟可信启动组件， 在虚拟桌面启动过程中对其操作系统镜像中关键文件执行度量操作； 利用虚拟桌面度量设备组件， 在虚拟桌面执行过程中执行主动动态度量操作； 利用虚拟桌 面可信迁移组件， 保证虚拟桌 面迁移过程和迁移后的可信。 4.如权利要求3所述的可信桌面虚拟化系统， 其特征在于， 所述虚拟可信启动组件在虚 拟桌面终端设备操作系统启动的过程中， 对包括系统镜像在内的关键对象进行度量值计 算， 同时从 内置安全硬件模块中获取到虚拟桌面镜像基准度量值， 进 行对比， 如果不同则判 定为度量结果异常， 形成相应的告警信息 。 5.如权利要求3所述的可信桌面虚拟化系统， 其特征在于， 所述虚拟桌面度量设备组件 在虚拟桌面执行过程中定时主动读取虚拟桌面内存中的度量对 象数值， 进行度量值计算， 与虚拟桌面基准度量值进行对比， 如果相同则认为度量值匹配成功， 如果不同则认为度量 值匹配失败， 度量值匹配失败时将异常日志写入内置安全硬件模块上非易失性存储器上的 日志文件中。 6.如权利要求5所述的可信桌面虚拟化系统， 其特征在于， 所述虚拟桌面基准度量值的 生成方式为： 在虚拟桌面首次运行前进行度量值计算， 虚拟桌面度量设备组件将计算生成 的度量值作为虚拟桌面基准度量值， 存入内置安全硬件模块上非易失性存储器中， 供后续 校验使用。 7.如权利要求3所述的可信桌面虚拟化系统， 其特征在于， 所述利用虚拟桌面可信 迁移 组件， 保证虚拟桌面迁移过程和迁移后的可信， 包括： 在虚拟桌面迁移的过程中， 将相对应 的虚拟桌面度量设备组件一并进行迁移， 其中包含虚拟桌面度量设备组件的状态信息、 配 置文件、 日志文件， 以确保拟桌面度量设备组件在迁移工作前后的一致性， 从而确保虚拟桌 面迁移过程和迁移后的可信。 8.如权利要求1所述的可信桌面虚拟化系统， 其特征在于， 所述虚拟桌面透传协议组件 利用签名认证算法， 确保建立传输信道的双方身份可信， 防御中间人攻击； 利用加密算法和 完整性校验算法， 确保虚拟桌 面在传输信道中的机密性和完整性。 9.如权利要求1所述的可信桌面虚拟化系统， 其特征在于， 在虚拟桌面终端操作系统执权　利　要　求　书 1/2 页 2 CN 115543501 A 2行过程中， 虚拟桌面 终端设备的内置安全硬件模块定时主动读取虚拟桌面终端操作系统内 存中的度量对象数值， 进 行度量值计算， 与 虚拟桌面 终端基准度量值进 行对比， 如果相同则 认为度量值匹配成功， 如果不同则认为度量值匹配失败， 度量值匹配失败时将异常日志写 入虚拟桌 面终端设备的内置安全硬件 模块上非易失性存 储器上的日志文件中。 10.如权利要求9所述的可信桌面虚拟化系统， 其特征在于， 所述虚拟桌面终端基准度 量值的生成方式为： 在虚拟桌面 终端操作系统启动的过程中从虚拟桌面 终端设备内置安全 硬件模块中获取到虚拟桌面终端操作系统的度量对 象列表并计算度量值作为虚拟桌面终 端基准度量值， 同时利用内置安全硬件模块中存储的校验值对度量对象列表进行完整性检 测。权　利　要　求　书 2/2 页 3 CN 115543501 A 3