在云平台中,作为底层支撑技术的虚拟化技术在带来效率提升和开销降低的同时,也带来了一系列由于物理的共享与逻辑隔离的冲突而导致的数据安全问题。在公有云环境下,不同机构之间物理隔离的网络被由网络虚拟化技术构建的虚拟网络取代。这种网络资源复用模式虽然实现了网络资源的高效利用、网络流量的集中分发,但也带来了诸多安全问题。因此,如何克服云边界泛化所带来的安全挑战确保云平台内数据的安全成为当前信息安全领域亟待解决的重要问题。利用虚拟机监视器的特权保护泛化的云边界为云平台中的数据安全提供新的思路。可信虚拟域是将需要协同工作的且具有相同的数据安全需求的一系列虚拟机资源进行聚合,在同一个虚拟域中执行同样的安全策略,从而形成一个相对隔离的安全域,这样有效的弥补了由于边界泛化导致的问题。同时以保证业务连续性为目的的热补丁机制也对防护云平台中漏洞程序导致的数据泄露具有重要的作用。此外,云平台的数据安全存储(密文访问控制)和密文操作功能(密文查询)通过对数据进行加密来保证数据的安全,并在密文的基础上通过研究密钥的管理和密文的操作技术为云平台中数据的安全提供重要保障。故此,为了有效应对边界泛化所带来的安全挑战,仅从单一层次无法有效的防护云平台中数据的安全,本文从环境安全到软件安全、从静态数据到动态数据等多个方面共同确保数据的安全,即从整体环境的角度出发增强网络虚拟化的隔离机制实现不同等级的虚拟机网络的隔离构建虚拟域,同时利用数据的安全存储和安全访问技术来防护虚拟域内部数据的安全。具体内容包括：1)研究云计算环境下可信虚拟域构建方法针对现有研究未能很好解决虚拟机共享网络资源所带来的安全隐患以及未充分考虑云计算模式下同一安全域中虚拟机协同工作的需求的问题,本文提出了一种基于VPE的可信虚拟域构建机制。该机制利用网络虚拟化网络流量集中分发的特性,在云主机中设置可信虚拟域的构建策略,在数据包递交给虚拟机之前将数据包进行截获,并根据安全策略对数据包进行流向控制,从而实现虚拟机之间的隔离性以及不同安全域间的有效隔离,以形成云边界的安全防护屏障。同时结合可信计算理论设计了一套可信虚拟域的可信管理机制(可信接入、可信退出等),从而确保可信虚拟域成员系统可靠性。2)研究云平台下基于VMI的透明热补丁方法针对传统的云平台漏洞防护机制存在问题及云环境下的漏洞快速抑制的需求,本文拟利用虚拟机自省技术VMI和基于漏洞特征的输入过滤机制,提出一种基于VMI透明热补丁机制vPatcher。该机制的主要思路利用虚拟化技术中主机系统的特权截获所有经过宿主机平台的的网络数据包,进而解析获得网络数据包端口信息。随后利用VMI机制将虚拟机内存信息映射到特权域中,通过语义还原获得虚拟机的内部进程网络连接信息,经过匹配分析出该网络数据包的接收进程。最后利用漏洞触发规则对网络数据包及对应进程信息进行分析,判断该网络包是否存在触发漏洞的条件,从而对云平台软件进行透明化热维护。3)研究适应于云存储的动态策略密文访问控制方法为了进一步安全且有效地降低策略更新带来的性能开销,需要安全降低Data Owner的密钥维护量,且构建高效的密钥和数据更新策略。针对上述问题,本文提出了一种适应于云存储动态策略更新的密文访问控制方法CACDP。该方法在二叉Trie树基础上引入密钥推导机制构建了一种基于密钥推导的二叉Trie密钥管理树Keyder-Trie,进一步降低Data Owner维护密钥的复杂度,提高密钥安全性；CACDP方法在该密钥树基础上结合满足多跳性的ELGamal代理重加密算法将访问控制策略更新导致的密钥重加密任务转移到CSP执行,降低密钥更新的开销。同时,本方案利用双层加密策略尽量降低策略更新中数据的返回频率。本方案分别从密钥和数据两方面,节省计算开销和通信开销,更好支持访问控制策略的动态更新。4)研究云平台下基于隐私保护的密文查询方法国内外针对DAS模式密文查询技术缺少攻击模式下对隐私的深度分析。针对该问题,本文提出了一种DAS模式下基于隐私保护的桶划分算法。首先根据查询的过程提出了一套密文查询中信息泄露的隐私指标体系,并将该指标体系与查询效率进行结合,最后基于遗传算法的桶划分算法对隐私与效率的模型进行最优化,从而获得最优的桶划分方案来确保查询过程中的隐私与查询效率最优的平衡。该算法可以在最大化范围查询的精确度和提高系统效率基础上,降低密文查询中隐私泄露的信息,从而提高云平台中隐私数据的可用性和隐私性。