计算机系统安全的研究是一个渐进的过程,人们不可能追求绝对的安全,而只能期望越来越可靠的安全。随着计算机系统、尤其是端系统中安全问题的日益突出,网络环境下的计算机系统正面临严重的信任危机。在现有条件下,从技术和实施两方面考虑,研究计算机系统的可信赖安全增强方法,达到系统可信可控使用的目的,具有重大的理论意义和实用价值。实现系统可信和可控目标的基本途径是寻找一种可验证的系统使用方式,即不仅实现系统的权限合理分配,而且保证系统在授权范围内被正确执行。实现系统可信,首先需要研究可信性验证的基本方法,因为只有通过一种可验证的方式让系统执行,人们才可能确切地了解计算机的行为,达到可信使用系统的目的。其次需要研究可信验证条件下权限的合理分配方法,使得系统执行各种任务时满足最小特权原则。国际TCG提出的可信计算平台技术通过在系统中增加硬件形态的信任根源,并借助信任根源实现平台中软硬件实体的相互认证,实现了系统上层应用被底层信任根源所担保;获取-授权(Take-Grant)安全模型能够辨别系统中主体获得访问客体权限的条件,为系统权限分配和检查提供了很好参考。借鉴上述两方面的研究成果,本文深入研究了计算机系统的可信性验证方法,并将其应用到获取-授权模型中,提出了可信赖获取-授权模型(Trusted Take-Grant Model),使得基于该安全模型进行设计的系统不仅能够在权限范围内正确执行,而且能够确保系统安全机制自身的安全。根据可信赖获取-授权安全模型,本文以满足安全应用需要,降低安全增强成本,确保安全控制灵活等为目标,提出了通用计算机系统的安全增强体系结构,并对其中的一系列关键技术进行了研究,最后设计并实现了原型验证系统。本文在对这些基本理论和关键技术进行研究的过程中,取得了以下主要研究成果:1.深入研究了系统可信性验证的一般方法,提出了可信赖获取-授权模型。本文从身份、行为、内容和计算环境四个方面对系统可信性验证的基本方法进行了深入研究。并将可信性验证方法与传统Take-Grant模型相结合,通过在模型中引入可信主体,限制获取和授权操作只为可信主体使用,增加模型的可信性验证规则,进而提出了新的可信赖获取-授权模型。新提出的模型具有更精简的结构和更直观的解释,增强了系统访问控制的效果,避免了不可信主体合谋窃取权限的现象。2.提出了端系统和分布式系统的可信赖安全增强的体系结构。本文充分发挥安全核心芯片在系统安全控制中的关键作用,在借鉴现有安全操作系统体系结构研究成果的基础上,提出了端系统的可信赖安全增强的体系结构;并基于安全增强的端系统,提出了两种典型的分布式系统可信赖安全增强的体系结构。提出的安全体系结构不仅实现了可信赖的访问控制,支持灵活的安全策略,而且能够保证安全机制自身的安全。3.提出了一种算法灵活的安全核心芯片的体系结构,设计并实现了一款安全核心芯片SUP320。不同的系统在安全增强中使用的密码算法有所不同。为了支持多种密码算法,又不过多影响芯片成本和密码算法的运行效率,本文研究了通过软硬件协同加速密码算法运行的关键技术,提出了一种由RISC核和多个密码算法协处理器组成的SOC安全核心芯片体系结构。并基于该体系结构设计实现了一款符合TPM规范的安全核心芯片SUP320。4.深入研究了系统可信赖安全增强实施的系列关键技术,提出了基于USBKey的信任链建立方案和进程可信赖保护方案,以及基于生物击键特征的用户身份识别算法。在安全模型、体系结构和安全芯片研究的基础上,针对通用计算机系统的安全增强实施,深入研究了系统可信赖安全增强实施的系列关键技术。包括信任链建立技术、身份认证技术、进程可信保护技术、存储安全增强技术、网络接入认证技术和分布式系统多级认证技术等。提出了基于USBKey的信任链建立方案和进程可信赖保护方案,以及基于生物击键特征的用户身份识别算法。5.设计并实现了一个原型验证系统。在上述研究成果的基础上,设计实现了一个具有实用价值的原型验证系统EISMS(Enterprise Inner Security Management System),并对原型系统进行了多项测试。结果表明各项关键技术的研究达到了预期目标。以上研究成果都以增强系统的可信性和可控性为目标,充分发挥安全核心芯片在整个系统安全控制中的核心作用,将权限控制和可信验证相结合,弥补了传统安全增强方法不能保证安全机制自身安全的不足。实际的测试表明,以上安全增强方法能够在降低软硬件代价,保证系统平滑升级的前提下实现更多更强的安全控制,满足了现有安全应用的需要。