在信息安全越来越难以保证的今天，操作系统易用性和安全性的矛盾日益突出，主流操作系统虽有很好的易用性，但是其安全性不强；而自主设计的安全操作系统因应用软件的不足而表现出较差的易用性。安全电脑（Secure Computer）则能够通过虚拟机技术，将安全操作系统作为宿主系统，而主流操作系统作为客户系统，从而在一定程度上解决上述矛盾。然而，由于安全电脑中的多域隔离和多网隔离，客户系统之间的数据共享受到很大限制。本文设计的磁盘共享与访问控制方案，正好提供了一种在安全电脑环境中的，安全可控的数据共享方式。本文所做的工作包含：　　 1、研究了常见的数据共享方式，分析其特点与在安全电脑环境中应用的不足，提出了一种新式的通过共享虚拟磁盘来实现数据共享的构想。　　 2、研究了安全电脑的系统架构，介绍了其对硬件辅助虚拟化技术的支持和通过虚拟机技术来管理操作系统等软硬件特点，分析了与本课题密切相关的多网隔离和共享数据单向传输等功能特点。　　 3、研究了安全电脑中使用的虚拟化技术，分析Xen虚拟机的Hypercall、Event Channel、Gfant Table等基础机制，重点研究了其分离设备驱动模型和在全虚拟客户系统中实现半虚拟驱动程序的策略。　　 4、提出了磁盘共享与访问控制的基本方案及其改进策略。基本方案是使用相同的物理存储资源为各客户系统创建共享虚拟磁盘，为了满足安全电脑的需求，提出了如下改进策略，包括：插入虚拟磁盘控制模块、建立读写互斥的共享方式、增加共享数据检验模块、建立客户系统与特权域的通信信道等。　　 5、提出了磁盘共享与访问控制的详细设计方案及相应部分的实现，特点包括：（1）设计了全虚拟客户系统中的半虚拟驱动，实现了客户系统与特权域的主动通信；（2）设计了DSC管理器，将一组多对多的关系转化为两组一对多的关系，大大简化了控制逻辑的设计；（3）分析了Qemu-dm软件模拟I/O操作的流程，设计了虚拟磁盘控制模块，实现了虚拟磁盘的访问控制；（4）设计了共享数据检验模块，确保了共享数据的合法性。　　 6、设计测试用例，验证了磁盘共享与访问控制的设计方案，证明在安全性、可控性和传输性能方面均满足安全电脑的需求。