随着系统虚拟化技术的不断成熟，尤其是在云计算和服务器集群领域的广泛应用，虚拟化系统的安全问题也越来越受到人们的关注。虚拟化系统中不同应用的虚拟机能随时独立接入和使用平台共享资源，不同物理平台的虚拟机间也有资源互访的需求，这都对虚拟化系统的安全提出了挑战。目前主要通过在虚拟机监视器中，部署访问控制机制并应用不同的安全模型来增强虚拟化系统的安全性。这样的解决方案至少存在两点不足：缺乏统一的访问控制策略管理，难以从整体上保障系统的安全；缺乏访问控制机制自身安全性的考虑，使整个虚拟化系统的安全处于不确定状态。因此，如何为虚拟化系统提供策略灵活、安全可信的访问控制机制，是当前虚拟化技术发展亟待解决的问题。本文首先利用新一代计算机固件与上层虚拟化方案选取的无关性和基于硬件的安全性，参考分布式环境下策略管理的实现方案，研究并提出了基于固件的虚拟化系统策略管理机制。使用通用、可移植的XACML策略语言描述系统安全策略。通过可视化策略配置工具，实现固件环境的策略配置、存储；通过集成访问控制管理器和运行时服务，为虚拟化平台提供统一、可信的策略管理服务。然后，本文以基于内核的虚拟化方案KVM为参考环境，研究并提出了基于固件的虚拟化系统集成访问控制机制。以集成访问控制管理器为策略决策者，基于Linux下安全模块LSM实现的虚拟机引用监视器为策略执行者，两者间通过访问控制代理构建了虚拟化系统下策略灵活、安全可信的集成访问控制机制。为了适用于多密级信息共享环境，在集成访问控制机制中应用了BLP安全模型，并以军队信息系统共享为例，说明了该集成访问控制机制在实际环境中的应用。在此基础上，本文于KVM下实现了基于固件的虚拟化系统集成访问控制机制的原型系统。通过系统性能、系统启动时延、资源访问时延等多方面的实验数据，与KVM下传统的访问控制机制SVirt进行了对比分析，说明了该集成访问控制机制的可用性。