云计算是继网格计算与集群计算之后的新一代计算模式,它能有效地降低IT系统成本。虽然IT资源利用率在云计算这种服务模式下得到了很大的提高,但租借云平台计算资源的租户们却失去了对物理计算机和网络的控制权,因此用户和企业会担心存储在云端的安全敏感数据泄露或被滥用,从而很难安心把机密数据和任务提交给云平台。因此,云计算在带来便利的同时也带来了更高的信任要求,只有安全问题得到充分解决,才能让用户信任云平台,从而让云计算普及起来。因此,研究可信云平台构建问题,对于建设高可靠性云平台服务中心、普及云计算技术具有重大意义。可信计算是构建可信云的重要基础,只有将可信计算的思想融入到云计算平台才能使云平台更加稳定和牢固。然而,目前国内外对可信计算技术的研究还处在单机或者单个虚拟机监视器的阶段,尚不能适用于云平台,可信云平台的构建还存在下面这些亟待深入研究的问题：首先,目前的可信执行环境构建技术都无法适用于云平台多租户、多层次、动态性强的服务模式特征,因此云平台需要为每个租户提供支持动态构建,且可划分安全级别的可信执行环境。其次,可信云服务构建方面,目前的云计算平台还缺少专门提供安全支持的可信云服务。然后,在云环境下虚拟机可信回滚方面,由于虚拟化技术带来的回滚功能会造成了虚拟机安全状态和可信平台模块记录的安全状态不一致的问题,这会引发重放攻击,从而危害到云平台的可信性。最后,在云环境下可信虚拟机组构建方面,目前的可信计算技术都是服务于单一物理机或者单一虚拟机,而在云计算模式下,以虚拟机组为单位向租户提供云服务这种模式还需要一个整体安全状态度量的可信支撑架构。通过对构建可信云计算平台的几个关键技术进行研究,解决此类问题。首先,针对云环境缺乏可信度量根的问题,提出了一种基于虚拟动态可信度量根的可信执行环境构建机制,能同时为云平台一个物理节点上多个用户的虚拟机同时提供动态构建可信执行环境并提供可信证明,多级安全环机制隔离用户不同安全级别执行环境中的密钥。其次,针对云环境下缺乏可信云服务的问题,提出一种可信云服务构建机制,主要针对云环境下数字签名服务设计了一套全新的数字签名保证方案Assured Digital Signing (ADS)来增强数据的可信性。基于模块化设计的ADS对应用程序透明,即应用程序不需要修改就能使用可信数字签名服务,且能在任意虚拟机监视器上实现。为了尽量减少对可信计算基的修改,ADS的同时利用了可信计算和虚拟化技术的优势。即使在签名应用程序和客户操作系统内核都是恶意的情况下,ADS也能保证数字签名服务的安全可信,并允许验证者检查签名的有效性,以及系统的安全性。最后,通过对ADS系统进行系统属性安全分析和性能测试,验证了ADS的安全性和实用性。再次,针对云平台虚拟机回滚攻击的问题,最先发现了虚拟机回滚后虚拟机安全状态和可信平台度量状态不一致问题,并在未部署可信平台模块(Trusted Platform Module, TPM)的亚马逊EC2和部署了TPM的实验环境中成功试验了几种利用虚拟机回滚机制进行的攻击。通过对回滚攻击的本质原因进行分析,提出了一种有效的解决方法,叫做抵御回滚的虚拟可信平台模块系统(rollback-resilient TPM,简称rvTPM),该系统能让租户或云应用在虚拟机发生回滚后检测到回滚事件,即可完全监控虚拟机全生命周期的安全状态。对rvTPM系统进行功能性测试和性能测试表明rvTPM检测回滚并不会给云平台带来明显的性能开销。最后,针对云环境下虚拟机组缺乏可信支持的问题,提出了一种类似TPM机制却面向云环境的可信平台模块(TPM for Cloud, TPMc). TPMc能够监控虚拟机组内所有虚拟机的安全状态,给验证者提供一个全组虚拟机的可信状态视图。TPMc为虚拟机组提供了安全共享存储功能,让一个虚拟机的封装密钥能被组内其他虚拟机安全使用。并且TPMc为虚拟机组提供了全新的密钥封装设计,能把密钥绑定到整个虚拟机组的安全状态,并且一个虚拟机可不信也并不会影响到其他虚拟机。通过对TPMc原型系统的实现和性能测试,证明了TPMc系统不会对云环境造成显著的资源开销。综上所述,通过使用上述这些云计算执行环境可信构建关键技术,可动态为云租户提供可信执行环境,并为租户构建可信云服务,且避免了虚拟机回滚引发的状态不一致问题,最后为云环境下虚拟机组这种服务模式提供可信支撑架构。