随着科学技术的发展与普及,计算机与网络在各个领域都获得了广泛的运用,信息安全问题日益凸显。可信计算是公认的解决计算机安全问题的一种有效途径。采用了可信计算技术的计算机相较于传统的计算机具有明显的安全优势,能够构建一个完整可信的计算平台,但是由于在可信计算平台中硬件模块是嵌入到主板上的,对于传统计算机来说,要想使用可信计算技术就必须要付出较高的代价,并且在可信启动的过程中并未对终端的用户进行认证。针对上述问题,本文设计了一种针对于通用计算机的基于USBKEY的可信体系结构,实现了TCG规范中可信启动过程中的主要功能,不仅保证了系统本身的完整可信,同时也能为上层应用提供可信支撑,解决了为通用计算机建立可信运行环境的问题。本文主要工作如下:本文首先研究了TCG的相关规范,并着重研究了可信启动机制以及相关实现的代码实现过程。其次,通过对可信计算技术的研究,设计出了一种针对通用计算机的可信增强体系结构,以USBKEY和BIOS作为可信根,通过开机认证技术、可信引导技术以及信任链传递技术等,不仅保证了系统平台的可信,同时也为上层实现可信应用提供了接口。再次,通过研究GRUB源码和可信规范,改造开源的GRUB实现了开机认证功能和可信引导功能:前者会在开机后对当前的用户以及当前USBKEY插入的计算机进行认证,一方面解决移动可信根在可信启动之初对计算机的匹配验证问题,另外一方面解决了对用户的可信认证问题;后者则通过在操作系统加载之前对操作系统加载器、内核等所有涉及的文件进行度量验证完成了操作系统的可信引导过程,保证了操作系统各个组件的完整性和可信性,进而保证了操作系统的完整性和可信性。