Hyposys系统。是一个分布式的计算机信息系统,由分布很广的若干个网络节点组成,上面运行着多个专用业务软件,这些业务软件运行过程中,生成大量的文件和数据库需要进行严格的访问控制,该系统内部安全程度要求很高,但又不得不连接到互联网,这样,系统成为攻击和渗透的重点对象,因此系统从BIOS、操作系统到终端、服务器,再到网络采用了种种安全措施解决系统的安全问题,即便如此,系统依然面临着来自内部的非法篡改和来自外部病毒木马干扰等一系列重大安全问题。针对这一应用背景,本文主要探讨利用可信计算达到系统运行可信目标,研究保障系统安全运行的可信平台的模型和体系结构。首先借鉴无干扰安全策略模型,提出了一种适用于可信计算平台系统设计的理论模型----基于进程的无干扰可信模型(NITM),该模型将系统抽象为进程、操作、状态和输出,形式化地定义了进程运行可信,利用逻辑推理方法获得了系统达到运行可信所需满足的三条性质,结果隔离性、单步隔离性和无干扰隔离性,便于将模型映射到实际系统。依据无干扰可信模型,提出了以可信根为核心支撑的可信平台体系结构,将密码机制融入到计算机体系结构的设计之中,给出可信计算平台体系结构的总体实现框架。基本思路是以密码为基础实现可信功能,以可信功能支撑系统平台的无干扰可信运行,保障系统运行安全。以可信平台控制模块为信任根,实现可信度量根、可信报告根和可信存储根,以这三个信任根为基础实现可信管道,实现应用与TPCM之间的交互,在此基础上,利用密码协议和相关命令形成一个不受其它进程干扰的运算管道,保证经过管道的输出结果预期,由此提出无干扰可信管道的工程模型,并用计算不可区分性证明了无干扰可信管道被干扰的概率可以归结为密码破译,从而将无干扰理论向工程应用推进了一步。然后分章节描述了可信平台体系结构的各个关键部分,包括可信平台密码方案、可信平台控制模块、可信平台基础支撑软件。本文基本思路是以密码为基础实现可信计算功能,支撑系统可信运行,保障系统安全。以可信平台控制模块为可信根,由信任链扩展形成TCB(Trusted Computing Base),由可信管道实现不同层面TCB无缝连接,使TCB不受其它实体干扰。TCB扩展实质上将系统与安全相关的功能基于可信根实现,从而大大减少了TCB的规模,更便于形式化描述、验证,并且可实现。本文是笔者参加多项可信计算科研项目基础上完成的,项目包括全国信安标委下达的可信计算标准研究制定任务,国家科技计划2007CB311100、2006AA01Z440等,所述工作以重大应用为背景,研究相应理论模型,提出工程模型,突破多项可信计算平台的关键技术,主要创新点如下:第一、在理论模型方面提出了系统运行可信的判定条件,用逻辑推理和形式化方法研究系统运行可信,提出了基于进程的无干扰可信模型,该模型建立在严格的逻辑推理基础上,不依赖于安全机制和实现.任何一种符合这个模型的实现,都可以达到系统运行可信的目标。第二、在工程模型方面提出了无干扰可信管道模型,用形式化方法描述可信管道是非传递无干扰可信模型的实例,并用计算不可区分性证明了可信管道模型被干扰的概率可以归纳为密码破译,达到无干扰要求,该工程模型可以用于可信平台体系结构的设计。第三、改进了可信平台密码实现方案,提出双证书的平台证书管理方案,简化了平台密钥迁移;提出授权数据复用的授权数据管理方法和统一的授权协议,解决了大量授权数据管理中的同步问题,并用BAN逻辑方法分析了授权协议的安全性。第四、提出可信平台控制模块(Trusted Platform Control Model,TPCM)设计方案,解决可信根问题。改变了TCG规范中的可信平台模块作为被动设备的思路,将可信平台模块设计为主控设备,实现了TPCM芯片对整个平台的主动控制作用。将可信根全部设计在芯片内部,使其受到强度更高的物理保护。第五、研究可信平台基础支撑软件设计方案,提出可信监控器(TRM)模型,描述了由三个可信根为基础构成的三个可信管道,利用这些管道完成系统完整性度量、平台证实,外部实体对TPCM访问等功能,使得TCB不被篡改,不受其它实体运行干扰。