摘要：公有云计算是一种第三方服务模型,云服务提供商(Cloud Service Provider, CSP)和云计算服务客户是该服务模型的两个关键实体,其中CSP拥有云计算服务平台的资产所有权和资产管理权,并通过向云计算服务客户出租云计算服务平台作为其盈利方式；云计算服务客户在云计算服务平台上运行其应用或处理、存储其数据,拥有云计算服务平台的使用权。在云计算服务的这种资产所有权和使用权分离的特性下,云计算服务客户无法确认云服务平台的安全性,也无法采取任何措施来提高云服务平台的安全性；要保证这种云计算服务的正常运行,CSP必须能够向其服务客户证明云计算服务平台是可信的,即要采取适当结构和措施使客户相信其应用和数据在CSP提供的云计算服务平台上能够安全地运行、处理和存储,从而吸引客户来租用其服务。要实现可信的云计算服务平台,CSP必须从两个方面着手,其一是要保证云计算服务平台的透明性,让客户能够验证云计算服务平台在结构、组成、状态和管理策略等内容上符合其安全预期；其二是将云计算服务平台的管理权限按照管理层次在CSP和客户之间进行合理分割,允许客户对自己的业务和数据安全进行管理和控制,提高客户对云计算服务的信心。本文结合云计算服务的特点,充分考虑虚拟化环境下的资源复用机制和平台动态性特征,对云计算服务透明性和可控性两个可信要求展开研究。为了保证云计算服务平台的透明性,本文提出基于可信第三方的云计算服务模型。在该服务模型中,第三方可信主体不仅为客户提供平台可信的验证依据,也为CSP建立和运行云计算服务平台提供认证和认可服务；此外,可信计算平台技术也可应用于新的服务模型中,比如可信传递技术机制和平台可信证明技术机制,CSP基于这些技术建立可信的云计算服务平台,并向客户证明服务平台的可信。为了支持客户对云计算服务的可控性,本文提出云计算服务二级管理机制,即CSP和客户之间在安全管理上的合理分工机制,CSP负责云计算服务平台的基础运行、资源调度和分配以及客户之间的安全隔离,客户则负责与其应用和数据相关的安全策略管理。这种二级安全管理机制的好处是它既能最大程度地让客户控制其自身业务和数据,并减轻CSP的管理工作量,降低其运维风险,而且还能保证最有效地实现不同客户之间的安全隔离。本文主要贡献包括：1)提出了可信云计算服务平台体系结构；2)提出了可信云计算服务的透明性保证机制；3)提出了可信云计算服务平台的客户可控制机制；4)开发并建立原型系统,对可信云计算平台体系结构和部分关键技术进行验证。