目前,电子与信息技术的迅猛发展,使得嵌入式计算技术得以广泛普及应用,嵌入式设备已成为国防、医疗、工业过程控制、金融、乃至于人们生活密不可分的组成部分之一。这些嵌入式设备在为人类社会提供便捷之时,其自身的可信性也引起人们重视,如何针对嵌入式系统的特点,构建一个高可信的嵌入式计算环境已成为信息安全领域研究热点之一。现有的计算系统可信环境构建技术主要侧重于桌面及服务器领域,难以适用于嵌入式领域。另一方面,现有的软件可信性分析技术未考虑系统状态对软件实体可信的影响。本文基于双内核技术、信息流非传递无干扰理论等,针对嵌入式可信环境构建中的信任根设计、可信性分析、信任链传递、远程证明等关键问题开展了深入研究。论文工作中的创新性研究成果主要有:(1)提出了一种由引导程序与可信内核构成的嵌入式信任根构建方法。固化在引导FLASH中的引导程序度量、验证并加载可信内核,可信内核通过禁止用户内核及上层应用对FLASH的写访问,实现对引导程序的保护,二者相互作用保证了信任根的不可篡改性;可信内核内嵌虚拟可信平台模块(v TPM),可实现为用户内核提供密码服务相关功能,引导FLASH中开辟特定区域用于实现v TPM所需要的平台配置寄存器及相关存储区。与可信计算组织的可信计算架构相比,该方法不需要增加额外的硬件,具有可避免了成本、功耗、体积增加的优点,普适性更好。论文中搭建了实现该方法的原型系统,实验结果表明,采用该方法可提供可信平台模块(TPM)密码服务相关功能,并可有效提高系统的安全性。(2)基于双内核架构,提出一种干-支型信任链传递模型,从信任根到操作系统,采用链式信任链传递模型,从操作系统到应用程序采用星型信任链传递模型。干-支式模型中,操作系统内核作为系统可信的关键组成部分由信任根直接度量,是信任链中的主干;应用程序由操作系统可信内核内嵌的v TPM分别度量,是信任链中的分支。该模型有效地缩减了信任链的长度,既避免了链式传递所带来的信任衰减问题,又提高了星型模型中所有的信任全部由嵌入式可信平台模块测量所引起的效率低下问题。(3)提出了一种基于信息流动态非传递无干扰模型的软件动态可信性分析方法,论述了系统状态对软件可信性的影响,采用访问控制刻画软件实体运行态互干扰行为,建立了分析模型,为信任链传递过程中软件动态可信性分析提供了一种新方法。在此基础上给出了系统可信的判断定理,并予以证明,解决了现有技术无法分析信任链传递过程中系统状态对软件可信性影响的问题。(4)针对二叉哈希树动态构造中根哈希更新效率较低问题,提出了一种新型的数据结构—左满哈希树,并给出了新叶结点插入算法及根哈希更新算法,与采用平衡二叉哈希树相比较而言,将新叶结点插入带来的根哈希更新计算量降低了大约40%,且能有效地降低哈希树的构造时间。(5)提出了一种基于关注点的动态可信远程证明模型,给出了远程证明的形式化定义,分析了远程证明中质询方与证明方的关系,论述了基于关注点的远程证明的合理性,通过将信任根与应用动态可信监控模块相结合,将完整性度量架构(IMA)中对所有加载模块的度量证明转化为对基本计算环境、应用动态可信监控模块、请求服务模块三个关注点的可信性证明;该方法中采用左满哈希树存储应用程序完整性的度量值,既保护了证明方其他应用模块的隐私,又提高了证明效率。原型系统实验数据表明该系统能够验证程序的动态行为,弥补了静态度量的不足,且对系统性能的影响较小。