随着计算机技术的迅猛发展,计算机与网络的应用已深入到生活的各个领域并发挥着巨大的作用,随之而来的安全问题也日益严峻。通用计算机没有完善的安全机制和防护策略,是产生安全问题的根源。可信计算以物理安全的可信根为起点,通过信任度量和信任链技术将信任关系扩展到整个计算机系统,从根源上解决计算机系统的安全问题。但是可信平台模块TPM是嵌入在主板上的,这对于可信计算在通用计算机上的应用受到很大的限制,并且可信计算平台并未对登陆用户进行严格的合法性验证。针对上述问题本文提出了一种适用于通用计算机的可信安全体系结构,以USBKEY代替TPM构建可信根,实现可信启动功能,并通过进程监控系统确保计算机运行时系统进程的可信。在保证计算机功能正常运行的同时将可信计算应用到通用计算机系统,为用户创建安全可信的工作环境。本文依据TCG规范,通过分析可信启动机制和GRUB源码,借鉴基于TPM的可信计算平台,设计提出了一种基于USBKEY的可信安全体系结构,以解决通用计算机安全抵抗能力不足的问题。该体系结构以USBKEY和BIOS为可信根,通过开机认证、可信引导以及信任链技术实现了适用于通用计算机的可信启动功能,并借助核心的安全硬件USBKEY,设计进程监控系统,在操作系统运行时实时监控系统进程,确保进程的完整性和可信。开机认证功能和可信引导功能是在GRUB源码的基础上改造实现的,开机认证实现对终端登陆用户的合法性认证;可信引导实现对启动过程中加载的系统内核文件进行完整性度量,确保操作系统启动加载过程是可信的,最终为计算机系统创建一个安全可信的运行环境。