[发明专利]一种桌面虚拟化环境下的可信安全增强方法

说明书

技术领域

本发明属于网络安全技术领域，特别涉及一种桌面虚拟化环境下的可信安全增强方法。

背景技术

近年来，桌面虚拟化技术以基于服务器的计算加上瘦客户端的使用改变了传统PC的分布式计算使用模式，将桌面或者客户端操作系统与原来的物理硬件进行隔离，实现了更为灵活的应用。以用户为中心的桌面虚拟化技术能够对用户而不是设备进行配置和管理，有效提高部署和管理用户桌面环境的效率。

但是，在桌面虚拟化技术给人们的生活和工作带来便捷的同时，也暴露了许多安全隐患，传统的安全防护机制和策略在面对虚拟化技术本身带来的新的安全挑战时，已经很难达到预定的防护目标，无法有效阻断攻击者的非法访问和入侵。

在虚拟化可信安全防护相关技术领域，申请号为200580041663.7的专利公开了一种用于建立在数据服务器和中间件服务器之间的连接的方法和系统，为了确保连接的安全，它定义了中间件服务器和数据库服务器之间与可信环境相关的多个信任属性，通过信任属性的匹配来建立安全连接。此方法虽然在传输链路上保证了一定的连接安全性，但是缺少对连接双方的平台认证和完整性认证，因此很难确保数据传输的端到端安全。申请号为200580020738.3的专利公开了一种提供可信平台模块的安全虚拟化的方法，在含有物理TPM(Trusted Platform Module，可信平台模块)的处理系统上创建虚拟TPM，该虚拟TPM服务可以存储用于物理TPM内的虚拟TPM的密钥，同时该虚拟TPM服务可以使用虚拟TPM以提供仿真的物理TPM特征。该方法虽然对虚拟化平台本身的安全性和完整性作了增强，但是由于该方法仅针对单台设备，无法应用于桌面虚拟化环境下的前后端数据传输需求，因此具有一定的应用局限性。

综上所述，从端到端信息传输的角度出发，目前桌面虚拟化还存在如下安全问题：

服务器和终端设备可信启动：传统安全防护措施无法验证设备启动过程中各组件的完整性，当硬件、固件、虚拟机监视器、操作系统以及应用程序任意一个被篡改都会直接威胁到整个平台的安全。尤其是当虚拟机监视器被篡改或劫持时，由于它具有很高的特权，会破坏整个虚拟机架构的安全模型，虚拟机中的安全防护措施也都会失效。

网络接入安全和平台认证：用户终端接入网络的多样性加大了端到端通信信息被恶意伪造、窃取、篡改的可能性。同时，接入网络与用户终端的异构性、数据中心的虚拟化、存储空间的复用以及资源共享等特性降低了对用户行为的审查能力。

发明内容

为了解决上述问题，本发明提出一种桌面虚拟化环境下的可信安全增强方法。借助瘦客户机这种依赖于服务器处理能力实现数据访问和应用处理的使用方式，在一定程度上减轻敏感数据资源在终端上的安全隐患，获得更加安全的远程应用和数据访问能力。

为了实现上述目的，本发明采用以下技术方案。

根据桌面虚拟化的应用模式，将桌面虚拟化基础设施分为前端瘦客户机和后端数据中心两个部分。前端瘦客户机用于实现与部署在数据中心服务器的虚拟机连接，并进行远程桌面显示、普通办公操作以及其他业务访问；后端数据中心以服务器的形式存在，向用户提供虚拟机资源、内存资源、存储资源等，并提供一定的安全防护功能接口。本发明的体系架构如图1所示，主要包括三大部分：前端瘦客户机可信启动，后端服务器可信启动和平台可信接入认证。通过在瘦客户机嵌入可信密码模块(Trusted Cryptography Module,TCM)，采用完整性度量、信任链传递等可信计算框架下的方法实现用户终端自身的安全可信；采用可信接入和远程证明技术来解决远程终端的接入认证，采用可信硬件模块的加密方法实现对传输数据的安全保护；通过构建可信服务器，引入虚拟可信密码模块(vTCM)，实现可信用户终端安全接入，提高桌面虚拟化环境面对恶意攻击的主动防御能力。

一种桌面虚拟化环境下的可信安全增强方法，包括以下步骤：

步骤1：启动瘦客户机和服务器，两者自动进行由底层硬件到上层应用软件的可信度量和信任链传递。

进行可信度量和信任链传递的目的是保证平台自身的安全性。

步骤2：瘦客户机可信接入及平台双向远程证明。

本步骤的目的是确保质询方和证明方两者的完整性。

步骤3：接入认证成功之后，启动远程桌面连接软件，瘦客户机获取服务器虚拟机的桌面并进行访问和操作。