随着计算机技术的发展，虚拟化技术作为云计算最重要的支撑技术成为近年来的研究热点。在众多虚拟化技术中，Xen以其优越的性能和开源性受到业界广泛认同。Xen是一种系统虚拟机(Systerm Virtual Machine，SVM)，负责管理和控制系统中所有软硬件资源，并为其上并发运行的多个虚拟机提供相互隔离的运行环境。但是，如果Xen被破坏，则会危及其上运行的所有虚拟机，造成严重的损失。因此，Xen虚拟机安全就成为近年来研究的重点。本文重点研究Xen虚拟机的安全策略模型和安全机制，主要工作有以下四点：1、提出了一种最小特权无干扰安全策略模型(Non-inference Security Poliycy Model withLeast Privilege，LPNIM)。利用Roscoe无干扰理论和通信进程代数CSP(CommunicatingSequential Processes)对模型进行了形式化描述，并基于Roscoe惰性抽象、确定性及Schneider阶函数等相关理论对模型的隔离和共享策略进行了形式化证明。该模型利用最小特权原则的思想，通过实施分区级和主体资源级两级策略，使机密性无干扰安全策略模型和完整性无干扰安全策略模型有机结合，满足了系统机密性、完整性和最小特权需求。2、构建了一个安全增强的Xen虚拟机体系结构(Security-Enhanced Xen，SEXen)。SEXen基于LPNIM，对现有Xen体系结构进行修改，增加了网络域、可信启动模块(Trusted LaunchModule, TLM)和细粒度强制访问控制模块(Finer-grained Mandatory Access Control Module，FMACM)。SEXen简化了Dom0特权域的操作，满足了模型对可信度量能力和最小特权信息流控制能力的需求。3、实现了从开机到虚拟机启动的可信启动机制。基于动态可信度量技术，设计了启动控制策略，保证了只有度量成功，且提供正确的密钥时，才可以启动虚拟机。该机制提供了对系统初始状态完整性的保护，并阻止了SMM(System Management Mode)绕过攻击。4、实现了细粒度的信息流访问控制机制。通过修改Xen Hypervisor内核和Guest OS内核，可以实现对虚拟机间和虚拟机内部操作的控制，以保证只有在满足虚拟机级和主体资源级两级安全策略的前提下，上述操作才能执行。该机制实现了最小特权信息流控制和安全策略的集中统一管理。