云计算是一种基于互联网的计算模式,它将计算任务分布在大量计算机构成的资源池上,消费者能够根据需要获取计算力、存储空间和各种软件服务,并按使用量付费。云计算引起了计算机领域的又一场革新,也带来了许多新的安全问题。基于云计算分布式计算和存储的特点,云计算安全问题可总结为虚拟化安全、应用安全和租户安全三个方面。虚拟化安全包括虚拟机监视器(VMM)的安全和虚拟机操作系统安全两个部分。应用安全包括应用环境安全和可信应用服务。租户安全主要研究在云计算共享计算资源和存储资源的基础上,如何保证租户隔离机制的安全有效,保护租户隐私。从研究现状来看,三方面的研究能在一定程度上解决云计算中的安全问题,但也都存在局限性。当前,可信计算与云计算的结合已经成为研究热点。虚拟技术由于其对虚拟机的高分离性和对资源的高可控性,大大提高了系统的安全性,可信计算在可信认证、可信度量、可信存储等方面为安全应用支撑平台的建立提供了基础支持,从根本上来解决系统的可信性和安全性问题,因此紧密结合可信计算和虚拟技术建立"可信云计算环境",可从根本上确保云环境中用户数据和应用的安全。在沈昌祥院士提出的云计算安全可信架构下,本文把租户隔离机制的可信要求加入到可信云计算环境中,从虚拟计算资源可信、应用环境可信和租户隔离可信三个方面展开研究,建立面向云计算的可信虚拟环境,并对其中的关键技术进行研究,取得下面四个方面的成果。(1)把可信计算与虚拟化技术相结合,提出了一种安全虚拟机完整性监控机制SVMIM(Security Virtual Machine Integrity Monitor),构建可信虚拟计算资源环境。SVMIM采用混杂模式的安全结构,基于可信计算技术对虚拟机操作系统的代码加载过程进行监视和控制,有效克服"语义差别"问题,并保证安全机制自身的可信;同时,SVMIM基于虚拟机网络引导机制,在网络存储端使用存储克隆技术,最大程度地降低安全机制对系统性能的影响。(2)利用可信计算技术,建立可信的应用环境。在云计算平台中,云应用不仅包括一般的可执行程序,也包括Java应用和Web服务。由于Java程序的平台无关性,一些传统的基于操作系统层对可执行程序进行可信度量的方法并不适应。本文先利用SVMIM机制,建立可信的可执行程序应用环境,并且通过对JVM的可信改造,建立起一个可信Java平台(Trusted Java Platform,TJP),实现信任链在JVM中的传递,确保云计算应用环境的可信。(3)为了让租户购买云计算服务,云计算服务提供商(Cloud Service Provider,CSP)必须证明云计算中的租户隔离机制的有效性,提高租户对云计算隔离机制的信心。而现有的云租户隔离机制只是单方面满足CSP的可信要求,注重对云服务的某些外部属性进行测量,不能满足租户对云租户隔离机制的高安全性要求。本文给出了一种面向透明可控要求的可信云租户隔离机制,把透明可控性要求看作是一种云计算系统中不同安全域之间的信息流,它将云租户隔离机制的内部策略和实时运行信息从云管理平台安全域传送到租户安全域,从而为租户测量和验证云租户隔离机制提供了一种方法和手段;同时,本文还通过信息流无干扰理论证明了所提出机制的安全有效性,进一步提高了租户对云租户隔离机制的信心水平。(4)实现云桌面系统这一云计算中的典型应用来对本文提出的方法进行验证和实验。可信云桌面系统从建立可信虚拟计算资源环境、可信应用环境和可信租户隔离环境三个方面来进行设计,并给出了每个功能模块详细的设计思路和实现方法,最后对原型系统进行安全性分析和性能测试,证明了其实际可用性。