近些年,随着移动计算、分布式计算直至普适计算的迅速发展,嵌入式系统技术得到了最为广泛的应用。但与传统的桌面计算和企业互联相比,嵌入式计算的安全性是一个更为开放、更为复杂、需要长期关注的问题。设计者需要在整个嵌入式系统设计过程中,把适宜的安全强度,与其他设计准则,如成本、性能和功耗等一起权衡考虑。此外,嵌入式系统的广泛使用和应用环境的开放性使得其实现自身的安全性也必须被充分关注。从终端用户的角度,本文针对嵌入式系统的安全需求、安全实现分别从算法级和体系结构级两个层次进行重点研究。首先,论述了嵌入式系统的安全工程需求与密码算法之间的关系,选择了合适的密码算法原语AES-128、ECC-GF(2¹⁶³)、SHA-1,为全文研究确立了研究对象。进一步分析了嵌入式安全中密码算法的实现安全性,以及密码算法在嵌入式安全工程中的应用。其次,针对AES-128、ECC-GF(2¹⁶³)、SHA-1算法原语,我们在微结构层次对三者的电路实现进行了详细论述。实现结果表明,基于2个S盒,8位数据总线宽度的AES-128电路最适合资源严格受限的无线传感器网络（WSN,Wireless Sensor Network）节点使用。应用数位模乘、Montgomery Ladder点乘实现的ECC-GF(2¹⁶³)处理器具有面积和能耗的最佳折衷。通过折叠的数据通路、改进的进位跳跃加法器（CSKA,CarrySkip Adder）实现的SHA-1电路,能够使性能和面积均得到较大改善。接下,以旁路泄漏分析来考查密码算法电路实现自身的物理安全性。我们建立了基于仿真功耗和真实功耗的功耗分析攻击（DPA,Differential Power Analysis）测试平台,分别对AES-128和Montgomery Ladder电路实现进行了功耗和时间的攻击分析。提出了一种基于最大偏差的功耗分析方法,能够以较低的计算复杂度攻击出AES电路加密密钥。同时,提出一种异构S盒-随机字节替换抗攻击策略,该方法能够以较小的代价显著地增强电路的抗功耗攻击特性。对于ECC-GF(2¹⁶³)的（DA,Double-Add）算法实现,我们研究了时间攻击与随机数隐蔽方法,DPA实验证明ECC-GF(2¹⁶³)的Montgomery Ladder实现仅能够抵御时间攻击和简单功耗分析（SPA,Simple PowerAnalysis）攻击,但依然易受DPA攻击。此外,我们在Atmel AT89C55微控制器上验证了汉明功耗模型,并对该器件的DPA泄漏进行了量化分析。最后,本文对三个嵌入式系统安全工程实践进行应用研究,它们分别基于无线传感器网络,嵌入式系统知识产权保护和静态数据存储领域。IEEE802.15.4 CCM-AES协处理器的设计能够最小化主处理器负载,全硬件实现IEEE802.15.4协议安全模式。基于SMIC 0.35μm 2P3M工艺和SHA-1算法实现的安全认证芯片可以对主机和从机身份进行双向密钥认证。针对固态硬盘（SSD,Solid State Disk）数据安全方案,我们实现了基于射频识别（RFID,Radio Frequency Identification）的密钥有效管理,以及高性能的CTR-AES-128加解密,其性能达到1.8Gbps。