随着计算技术和网络技术的飞速发展，IT基础设施中的计算、存储等各类资源都通过网络聚合在一起。这种基于网络的计算环境通常直接服务于开放的、大规模的用户群体，而用户的需求是多样的，要求计算环境提供支持大规模异构并发服务的计算模式。以云计算为代表的新型计算模式的出现一定程度上满足了这一要求，同时，基于虚拟机构建的虚拟计算平台成为企业信息基础设施(数据中心)的主要形式。当前，安全、性能、可用性和易用性是云计算面临的主要挑战。本文着眼于围绕虚拟计算环境的核心--系统级虚拟机，研究面向可信性需求的虚拟计算平台体系结构，结合蓬勃发展的操作系统虚拟化技术和可信计算技术，构建面向数据中心基于虚拟机的分布式可信计算平台，提出满足平台内虚拟机并发执行和数据的隔离性、可靠性和可信性的关键技术，以实现在受到干扰时平台仍能够向用户提供可信连续的服务。　　 本文的主要贡献如下：　　 1.提出了构建面向数据中心的可信虚拟计算平台的设计方法、系统框架(TRainbow)。随着虚拟化技术的发展，云计算模式已变得越来越受欢迎。然而，人们仍然十分关注云计算平台的计算环境的运行时完整性、数据隐私的保护等安全问题，以及这种计算平台的服务效率问题。与此同时，面向这种网络化计算平台的可信虚拟计算环境及其核心系统软件的设计理论和方法依然处于探索阶段。通过分析当前典型可信虚拟计算平台，重点分析虚拟计算环境的安全管理问题，把握可信性增强技术的研究现状，我们发现完整性成为虚拟计算平台可信的核心属性。我们基于拆分、定制、重构和隔离增强的设计原则，设计开发了一个新型的可信虚拟计算平台(TRainbow)。该平台基于虚拟机间的能力流动机制确保计算平台的服务高效性，基于虚拟机的内核重构和安全增强确保计算平台的环境可信性。　　 2.设计并实现了一种面向环境可信的管理域虚拟机完整性动态监测关键技术，并构建了一个增强TRainbow可信性的平台完整性监测系统(VMGuard)。云计算提供商根据客户的需求可以动态的为其分配虚拟机，同时保持了对管理者虚拟机的特权，这就要求客户信任云平台提供商对其数据和应用软件进行保密性和完整性的保证。然而，由于来自不同客户的虚拟机往往运行在云平台中的同一物理主机上，管理者虚拟机一旦遭到攻击，很容易导致用户虚拟机的可信性遭到破坏。因此，确保管理者虚拟机的可信性对于云计算平台非常重要。目前的研究工作主要侧重于普通用户虚拟机完整性的可信性增强，还没有出现面向管理者虚拟机完整性的可信性增强机制，我们提出一种面向管理者虚拟机的完整性监控和分布式检测系统(VMGuard)。该系统在每个物理节点上部署了一个特殊的虚拟机，由其负责监测和度量运行在同一物理节点上的管理者虚拟机的内核完整性，并将完整性度量值发送到完整性验证服务器进行安全存储和独立分析。对原型系统的实验评估结果表明，VMGuard能在1分钟内检测到管理者虚拟机受到的7种典型内核级rootkit攻击，性能开销控制在8％以内。　　 3.设计并实现了一种可信高效远程I/O绑定关键技术，并基于该技术提出一种构建可信可控用户虚拟计算环境的方法(TRIOB)。随着虚拟化技术日益成为数据中心的核心技术，计算资源和存储资源可以被松绑，即分别处于不同的物理位置。一方面，通过计算资源和存储资源的分布化，可以充分挖掘物理资源的利用率。另一方面，从用户的角度来说，通过将计算资源和存储资源分别部署在用户指定的可信管理域中，可以有效的解决数据的存储安全和用户对计算环境的定制访问的要求。我们引入了一种面向虚拟机环境的远程I/O绑定技术，通过借鉴OS-Bypass的思想，消除了传统I/O绑定技术在虚拟机环境中部署时存在的软件层次冗余缺陷，与NFS性能相比，远程I/O的性能提高了％4。通过将该远程I/O绑定技术与用户虚拟机运行时完整性度量技术相结合，我们进一步提出了一种用户可控的可信虚拟计算环境构建方法(TRIOB)。在该虚拟计算环境中，用户的数据可以存储在其信任的本地节点；通过TRIOB的排他一对一绑定特性，可以确保用户的存储资源与云平台中用户租用的虚拟机之间实现可信绑定，排除了数据泄漏的安全威胁；同时，用户虚拟机的完整性度量信息被透明的传输到用户的本地节点，保证了用户可以及时感知租用虚拟机的可信性。　　 4.设计并实现了一种面向虚拟存储的完整性在线检测技术(Tapwire)。目前，虚拟机普遍采用镜像文件等虚拟存储作为存储资源，及时检测虚拟存储的数据完整性已经成为构建可信虚拟计算环境非常重要的问题.研究人员提出了许多面向存储系统的完整性检测系统和工具，这些系统大多数由于需要部署到被检测虚拟机内部，无法实现透明的检测，容易受到攻击而失效。为了增强安全性，可以将检测系统部署在虚拟机外部，然而目前存在的检测系统还不能实现完全透明检测，需要依赖被检测虚拟机的内部状态来进行完整性分析。我们提出并构建了一种新型的面向虚拟存储的在线数据完整性检测系统，原型系统基于Xen的拆分设备驱动模型，引入高效的内部语义转换机制，基于虚拟存储的自描述信息实现了完全透明检测。该系统基于虚拟机的隔离性保证检测系统的安全性，无需在被检测对象中引入额外的模块，实现了监控的透明性；高效的语义转换机制屏蔽了检测系统内部的复杂性，有助于向管理员提供友好的访问接口。实验表明，原型系统可以检测到13种典型用户模式rootkit对虚拟存储中关键文件的破坏行为，同时系统的开销处于3～40％范围内。