2.1 总体架构

如图2-1所示，云服务保障体系包括可信计算度量、数据隔离、信任链维护及其验证、多级访问控制和云服务评价体系5个部分。可信计算度量、数据隔离是云计算中节点、资源的安全机制，是整个保障体系的基础；信任链维护及其验证则是跨域安全措施；多级访问控制则是从不同的安全需要实施的技术；云服务评价体系是在前面各项保障措施的基础上，对云服务进行全方位评价。

在可信计算度量部分，主要针对应用程序加载和运行过程中的度量需要，对度量规则和度量语义进行定义，借助实时度量模块，结合安全策略规则对进程元素进行实时度量；利用虚拟机检测系统和完整性评估系统，对应用程序的加载状态和运行状态进行实时监控和检测，侦测进程的状态变化；并实时对进程进行完整性评估，有效地保障应用程序的可信传递和系统的可信运行。

图2-1　云计算服务保障体系总体架构

在数据隔离部分，提出基于角色的数据隔离访问安全机制。利用虚拟化技术，云计算平台对其所存储的数据进行隔离，使用户可以基于角色进行隔离访问。另外，云计算平台对用户信任证书与信任等级进行综合验证，及对用户访问行为进行实时监控，云计算平台为用户提供一个更为安全的运行环境，从而完成对云计算平台中数据存储、隔离和访问的保护。

在信任链维护及其验证部分，实现云计算环境中基于客户虚拟机行为的信任链动态维护和验证措施。首先，提出一种基于无干扰理论的信任链动态维护模型。针对虚拟机所处的云环境，总结出影响虚拟机交互安全的4个要素。以无干扰理论为基础，全面考虑安全要素，设计信任链动态维护模型，该模型对虚拟机的输入和输出进行双向控制，并用无干扰理论证明模型的可信性。然后，结合信任链动态维护模型设计信任链动态验证机制。传统的信任链远程验证只为用户提供平台的静态完整性。针对这一不足，结合云环境中虚拟机的动态行为可信性，参考信任链动态维护模型提供的历史行为记录，制定一种具有双重保障的验证机制，为云用户提供更全面的云平台运行状态，推荐更合适的云服务。

在多级访问控制部分，针对云计算中资源访问存在的安全问题，提出了一个基于云平台的分层模型。该模型以虚拟机中的进程、虚拟机、虚拟机监视器为基础将系统划分为3层，实现了对云系统的简化。结合分层模型，给出了相应的访问控制方法。该方法从两方面对多级进行说明：分级验证用户请求；涉及BLP和Biba多级安全模型。在访问控制过程中，模型通过修改实体属性以及设置访问控制策略来满足云环境下访问控制细粒度性、动态性和可扩展性的要求。运用无干扰理论的相关定义和定理对访问控制模型进行形式化描述，并根据无干扰定理的输出一致性、单步一致性、局部遵从性对其安全性进行证明。

在云服务评价体系部分，提出动态筛选评价指标的方法并建立云服务QoS模型——CSERVQUAL模型。针对传统TOPSIS方法中存在的逆序问题，提出一种基于改进功效系数的TOPSIS评价方法——IEC-TOPSIS（Improved Efficacy Coefficient-TOPSIS）方法。为了验证CSERVQUAL模型的适应性和IEC-TOPSIS评价方法的有效性，将其应用到云服务评价系统中。