云计算是一种将大规模的IT资源通过互联网按需快速地交付给用户的服务模式。通常基础设施(IaaS)云服务将云计算中心的物理资源转化为由虚拟机组成的资源池，实施资源池化管理。这种资源池化管理方式将底层物理节点的管理细节对外隐藏。从安全的角度，资源池化管理模式约束了用户鉴别和决定部署服务的虚拟机是否由可信的物理节点承载的能力，使得用户对从IaaS云服务商获取的虚拟机存在固有的不信任，影响了IaaS云服务大规模的推广和应用。　　 本文针对用户对承载用户服务的云服务的物理基础设施的信任需求，提出了面向资源池化管理的信任管理模型，设计了由具有匿名信任关系的可信的物理机组成的可信集群和能够提供可信虚拟机的可信资源池。IaaS云服务中心的物理机被组织成为物理机集群，以集群为单位承载用户的的软件服务。集群与用户服务形成一对一的对应关系。一种匿名的群签名密码系统被用来在集群内部的物理机之间构建具有匿名的可验证的信任关系，将普通的物理机集群变为物理机之间具有信任关系的可信集群，实现可信集群内物理机的信任关系的建立、验证和撤销。可信集群能够满足资源池化管理模式下的对物理机匿名的信任管理需求，允许在物理机之间建立信任关系同时又实现对物理机真实身份的隐藏。以可信集群为基础，构建能够提供可信虚拟机的可信资源池，并给出可信资源池具体的设计方案。可信资源池的设计方案让用户参与到可信资源池的创建过程，将创建可信资源池的责任由用户和IaaS云服务商共同承担，增强用户使用IaaS云服务的信心。为了使用户能够对从IaaS云服务商获取到的虚拟机的可信程度进行验证，定义了资源的实时安全属性和基准安全属性的概念。用户在使用虚拟机之前，先通过虚拟机提供的信任验证接口获取虚拟机的实时安全属性，然后与虚拟机的基准安全属性对比，如果一致就表明虚拟机是可信的;否则，虚拟机就是不可信的。这就是用户进行资源可信程度验证的原理。对资源的可信程度的验证使用户具备了鉴别可信物理基础设施的能力，能够决定自己的软件服务只被可信的物理机承载运行。另外，虚拟机迁移协议能够在迁移源节点和迁移目的节点建立可靠的传输通道，能够抵抗中间人攻击和保证迁移数据的完整性。本文还对可信集群的交互协议进行安全证明，并对可信资源池进行建模分析，证明可信资源池系统是安全的。最后，我们给出了对研究工作的总结和对将来工作的展望。