随着嵌入式系统的应用领域不断扩大,其重要性越来越凸显,同时因为网络连接的便捷性,网络攻防的热点正在向嵌入式系统转换。随着众多黑客纷纷将攻击目标转向嵌入式系统,其应对安全威胁能力不足的缺陷也逐渐显现出来。在对不同应用领域中嵌入式系统的安全性研究进行总结后,可以发现可信运行环境是提高嵌入式系统安全性比较有效的解决方案。但是当前的研究不管是可信运行环境的构建技术,可信运行环境提供的安全服务还是基于可信运行环境的系统安全增强方案等都还存在着不足之处,导致可信运行环境在应用中仍然存在着安全风险。针对上述问题,本文全面分析并总结了可信运行环境在信任根、信任链传递、隔离性以及可信操作系统安全缺陷等方面存在的安全挑战,提出了安全增强的可信运行环境架构。并针对可同时防御物理攻击和软件攻击的信任根、在TrustZone监控模式程序中提供主动防御能力、建立可信操作系统内核的安全模型、基于安全模型设计内核、基于微内核架构设计操作系统系统服务、对不可信的密码软件进行安全性分析、神经网络计算的可信性保证、基于可信运行环境的系统安全方案等关键问题,分别提出了相应的解决方案。最终,形成了一套可信运行环境中基础软件开发和针对部分关键机制或关键软件安全性进行形式化分析与验证的框架,还基于基础软件形成了应用系统,并在实验平台上实现了原型系统的开发和实验评估。结果表明,所设计的安全增强的可信运行环境在功能、性能和安全性方面可以满足嵌入式系统的需求;所设计的入侵检测系统能够有效识别网络攻击,实现系统的主动防御。本文的主要贡献和创新之处有:(1)提出了安全增强的可信运行环境架,并在嵌入式系统中基于TrustZone硬件框架设计并实现了可以同时防御物理攻击和软件攻击的信任根,保证嵌入式系统设备上电后执行代码的可信性。并且构建了从信任根到系统装载程序,再到可信操作系统,再到系统服务,最后到可信应用的完整信任链。(2)根据操作系统安全设计的思想和方法,通过形式化方法建立了可信操作系统内核的状态机安全模型,提供了一个可以用于推理内核安全策略执行能力的框架。基于安全模型,采用微内核架构的设计思想,设计了安全增强的可信操作系统内核,通过自主访问控制机制来控制所有对系统资源以及内核服务的访问,从而解决了当前可信操作系统缺乏安全设计和安全机制的问题。(3)提出了一种基于微内核架构实现用户态系统服务的方法和框架,并基于状态机安全模型对通过内核访问控制机制实现组件之间的隔离性的问题进行了形式化描述和证明。通过在用户态运行系统服务来实现内核与复杂系统服务组件之间的隔离,通过内核访问控制机制保证系统服务组件之间以及可信应用之间的隔离,可以有效解决当前可信操作系统软件规模膨胀可能导致的安全问题。(4)在可信操作系统中实现了NFC软件栈、密码服务和轻量级神经网络可信计算服务框架等用户态系统服务,简化了上层应用的开发。针对系统服务中的不可信组件,例如在密码服务中所采用的开源软件库,提出了一种安全性形式化分析方法。轻量级神经网络可信计算服务框架将神经网络计算中最耗时的线性代数操作(矩阵乘法)外包到丰富运行环境,并在可信运行环境中对外包计算的结果进行校验来保证神经网络计算的可信性,可以有效解决当前在丰富运行环境中进行神经网络计算时容易遭受攻击的问题。(5)基于Linux用户态入侵检测系统架构,提出了一种轻量级的实时网络入侵检测方法,基于该方法提出了基于可信运行环境的入侵检测系统框架。通过入侵检测识别网络威胁,通过可信运行环境保障入侵检测系统自身安全性并提供主动防御能力,提升系统的整体安全性。