“可信计算”是信息安全研究的热点。在信息安全的实践中，人们逐渐认识到，产生信息安全事故的技术原因主要是现有的PC机软、硬件结构简化，可信性差，导致资源非法使用。为了解决PC机结构简化造成的安全性差的问题，从基础上提高其可信性，在世界范围内推行可信计算技术。由此，“可信计算”被工业界引入PC机等终端，并很快掀起可信计算研究和产品开发的新高潮。　　 从可信计算整体技术架构分析，其主要包括以下4个关键技术：1、信任根；2、可信度量；3、信任链；4、可信报告或称远程证明。　　 其中可信度量作为核心技术，用于测量系统预期描述和系统实际行为的符合程度，揭示了系统运行可信的条件。虽然一些国内外厂商依据TCG（TrustedComputing Group）的技术规范，开发并相继推出一些可信计算终端及其相关配套产品，但仍缺少基础理论研究，尤其针对可信度量技术，还没有给出一个完整的模型。可信度量作为扩展信任边界，搭建信任链的重要技术，应从底层硬件开始，贯穿上层软件，最终扩展到网络，形成与信任根、信任链和可信报告其它3个技术的融合。因此，迫切需要研究可信计算平台的度量模型和关键技术，为可信终端的实施提供坚实的理论基础。　　 本文主要围绕可信度量模型和关键技术展开研究。通过构建形式化的可信度量模型，将可信度量技术与可信计算其它技术相融合，提出了适用于网络环境下的终端可信度量架构和远程证明机制。本文的主要创新性成果如下：　　 (1)描述了针对终端平台的可信度量模型。该模型从整体上给出终端可信度量的架构。本论文采用谓词逻辑对可信度量进行了形式化的描述，分析了如何通过可信度量，完成终端平台内部和外部信任链的建立和扩展的过程和架构。在该模型中，通过细化度量目标和度量方法，将传统一维线性结构改进成细粒度的树状结构；其次，通过引入可信度量代理，以刻画一个具有层次性的度量树架构，为下一步的工程实现理清了思路。最后，引入可信支撑实体集的概念以描述预期，并通过度量树和该集合导出可信报告，实现远程证明。该形式化模型以可信度量技术为核心，从整体上描述了该技术在典型可信应用场景中实施架构。　　 (2)提出一种基于可信平台模块的可信度量技术。该方案主要涉及从开机到操作系统内核加载前的平台启动过程。引入可信平台控制模块( TrustedPlatform Control Module, TPCM)作为平台的信任根。并将可信度量根(Root ofT rust Meausrement， RTM)植入在TPCM内部。针对整个平台的第一步度量，提出了由TPCM度量BIOS的主动度量方法，改变了现有信任根作为被动辅助设备的实现思路，解决了TCG中由于RTM被篡改而引起的度量根失效等问题。通过建立TPCM的代理模块，搭建了基于可信扩展度量模块的多度量代理架构，不仅为终端的启动流程，同时也为整个终端的度量架构提供了有益的工程实现架构。　　 (3)研究基于图灵机模型的可信动态度量技术。图灵机模型作为通用的计算模型，能够全面清楚的描述进程本身及其运行环境。从该模型出发，分析了进程运行时面临的主要威胁，提出了针对状态空间Q和状态转移函数δ的度量技术。　　 首先，针对进程状态空间Q简化的问题，研究了现有进程缓冲区的溢出攻击方法。通过对当前多种攻击模型的分析和总结，发现已有防范措施存在的不足，并从根本上提出了一种细粒度的状态空间逻辑隔离架构和溢出检测机制，最后通过时序逻辑和实验验证了模型和方法的有效性。　　 其次，针对转移函数δ，利用随机进程代数形式化工具——交互式马尔可夫链(Interactive Markov Chain, IMC)对系统软件行为预期进行建模。通过建立行为序列路径的时序概率和稳态概率，描述了系统动态行为的功能和性能预期。该模型解决了线性模型无法度量复杂分支系统的缺点；增加了动态行为和时间之间的时序关系。通过对进程运行时的系统调用进行观测和统计，实现对进程功能和性能的动态度量，以发现运行时异常。该方法为并发系统的度量提供了新的思路。　　 (4)研究可信度量模型在网络中的应用。首先，针对局域网环境，提出了基于可信度量模型的客户端可信报告和集中控管的技术实现方法。通过扩展IEEE802.1X认证协议，将可信度量代理的度量结果作为终端认证的重要参数，实现了基于数据链路层的认证协议。通过实现可信度量模型与管理中心、入侵监测系统以及流量监测系统的联动，将现有局域网安全机制与可信计算进行融合，提高了对网络控管的效率。其次，本文探讨了如何在开放网络环境中利用可信计算技术解决普适计算中的安全问题。对于普适计算的上下文感知环节，提出了基于可信计算终端的安全解决方案。通过对终端的改造和引入安全协议，保证上下文信息采集、存储和报告的可信。