随着云计算技术日益成熟强大,传统计算环境正大规模向云计算环境迁移。虚拟桌面是使用云计算资源最直接简单的方式,很多企业都将虚拟桌面应用到基础设施建设中,利用虚拟桌面高效灵活、易于管理的特点提高办公效率,节约成本。然而,虚拟桌面作为一种云服务,同样存在数据隐私保护方面的安全问题。虚拟桌面缺少了传统计算机系统中的物理隔离,不同虚拟桌面共享数据中心的存储与计算资源,这对隐私保护提出了更高的要求。由于缺少一种安全高效的虚拟桌面隐私保护方法,使得安全问题成为制约虚拟桌面技术发展普及的主要原因。为了解决虚拟桌面下的隐私保护问题,提出一种基于密码卡虚拟化的隐私保护方法。首先根据虚拟密码卡及虚拟桌面的特点,分析了虚拟密码卡应用于虚拟桌面隐私保护的优势及存在的安全问题,基于Dolev-Yao模型建立虚拟密码卡隐私保护威胁模型。随后,结合威胁模型,改进BLP模型并提出了动态多安全级虚拟密码卡隐私保护模型(virtual Encryption Device-Privacy Preserving Model,vED-PPM)。模型利用虚拟安全级取代传统静态安全级,结合状态相关的安全级动态调整策略,克服BLP模型的局限性,满足虚拟桌面隐私保护的安全需求。定义新的安全引理、状态转换规则,添加并设计必要的认证机制协议,严格控制信息流动,指导资源调度,达到保护隐私安全的目的。最后,基于BLP可证明安全性理论、BAN逻辑形式化证明vED-PPM模型的有效性及安全性,并基于KVM及VirtIO技术实现了密码卡虚拟化及vED-PPM模型,通过实验验证模型功能,量化性能损失。理论分析及实验表明,vED-PPM安全模型可以防止非法虚拟机窃取用户数据,并限制关键资源访问,保护虚拟桌面环境下隐私数据;性能方面相比无安全模型时损失约1.16%密码卡效率,但其总体效率还是高于96%。文章提出的虚拟密码卡隐私保护方案及vED-PPM安全模型是安全有效且可行的。