云计算模式下生产型重要信息系统与传统的生产型重要信息系统相比，最大的特点就是，大量分散在用户终端计算机里的数据和文件，全部集中到中央服务器集群里。用户终端计算机不实际存储和处理数据。虚拟化技术催生高安全的“瘦客户端”同时，将安全问题带入到“云”中。如何满足云计算模式下的生产型重要信息系统高安全需求成为当前研究热点。目前解决方案都是针对云计算模式下生产型重要信息系统某一方面的安全问题进行技术上的改进和创新，而对于保障系统可信运行的安全体系结构研究较少，缺乏统一有效安全的可信证明体系结构。　　我国的“可信计算标准工作组”在可信计算关键标准的研究制定中提出的可信计算平台架构，实现了主动的可信应用支撑和可信保障能力，为保障生产型重要信息系统可信运行构建了平台基础。本文以保障生产型重要信息系统可信运行为目标，着重研究了两个问题:一是，如何引入可信计算技术构建基于云计算模式的生产型重要信息系统;二是，如何对生产型重要信息系统进行基于行为动态度量的可信证明。此外，以食品安全追溯系统为例研究了如何在基于云计算模式的生产型重要信息系统中应用本文提到的研究成果。具体而言，本文的主要工作包括:　　1、针对缺乏有效支撑云计算虚拟化环境的可信证明体系结构研究的问题。本文将可信证明机制引入云计算虚拟化环境中，以可信平台控制模块TPCM/vTPCM为基础，以动态度量为核心，以主动控制为目的，基于TPCM/vTPCM构建可信支持域，对系统功能域中的可执行实体实施动态的可信度量和监控，为系统功能域提供可信证明服务，并依据可信证明的结果对系统功能域内部实体实施主动控制，保障可执行实体的运行可信。在详细研究现有TVD、LVD等主流技术并结合我们研究团队“双系统”云计算虚拟化平台的基础上，提出云计算模式下基于虚拟架构的分布式计算环境中可信虚拟群体的构建方案。阐述了构建可信虚拟群体的体系结构和功能模块，以及构建可信虚拟群体过程中可信虚拟群体初始化阶段、可信虚拟群体活动阶段、可信虚拟群体撤销阶段和可信虚拟群体消亡阶段等四个阶段所涉及到的六个协议。此外，将云计算视为复杂巨系统，引入社会生态学原理描述可信虚拟群体的层次结构和生命周期。　　2、针对缺乏适合基于云计算的生产型重要信息系统内部隔离机制的问题，本文对云计算模式下现有的访问控制技术进行了比较，提出了基于两级密钥管理的访问控制模型。第一级构造了一个基于单项散列函数的访问控制多项式实现了子群体间信息流的隔离，即实现了生产型重要信息系统内部门间的信息隔离;在第一级密钥管理的基础上，提出了子群体间层次密钥管理，实现不同部门间信息流的访问控制。然后对基于两级密钥管理的访问控制模型的安全性及算法进行了分析。最后，通过实例和仿真实验对基于两级密钥管理的访问控制模型进行了验证。　　3、针对缺乏基于云计算的生产型重要信息系统中虚拟机运行时行为的动态可信度量的问题，本文首先给出了刻画云计算模式下虚拟机行为的八个度量点，以八个度量点为基础构建虚拟机的行为向量。进一步，本文采用的带解耦设计的广义预测控制算法解决了云计算模式下同一物理节点上的虚拟机存在资源耦合而导致一般广义预测控制算法不适用的问题。该模型符合TCG提出的可信定义的核心“行为可预期”的内在需求，从理论上解决了现有基于行为的动态度量方法存在的滞后性难题。在阐述了单个虚拟机行为的动态可信度量后，进一步研究虚拟机所在群体的行为可信度量。群体行为可以看做构成该群体的所有虚拟机行为构成希尔伯特空间上的综合反映。建立了基于向量范数的群体可信性指数评价模型及可信性指标分析模型，对群体行为进行可信度量。　　4、针对缺乏适合基于云计算的生产型重要信息系统的可信证明模型的问题，本文提出了基于可信虚拟群体的“推”式运行时四元可信证明模型(GPFA)。双系统架构保证了证明方和验证方的分离;在虚拟机及虚拟机群体行为的运行时可信证明的基础上，向远程质询方以推送的方式报告虚拟计算平台的运行时可信状态。基于“推”的可信证明模型，避免了“代理”可信证明模型过度依赖可信第三方导致效率瓶颈的问题;进一步，基于GPFA，实现了证明方和质询方的可信证明传输协议。在该可信传输协议中，为了保护虚拟计算平台的匿名性，采用了基于环签名的密码学方案，并对该协议进行了形式化证明。