随着计算机和网络的发展,越来越多的嵌入式设备接入了互联网,计算资源的共享跨越了空间和时间的限制,信息安全的问题显得越来越重要。操作系统是嵌入式系统的核心基础设施,如果缺乏这个安全的根基,构筑在其上的应用系统以及安全系统的安全性将得不到根本保障。我国的政府、国防、金融、普通消费市场等领域对嵌入式设备的安全都有各自的要求,但都需要找到一个既满足功能、性能要求,又具备足够的安全可信度的嵌入式操作系统。本论文以此为目标展开了理论上和实践上的研究,取得了若干有用的成果,并有所突破。本文首先详细分析了嵌入式操作系统安全危害的种类及来源,分阶段总结了几十年来的安全操作系统领域的研究成果及最新发展趋势,然后深入地研究了操作系统的安全机制及实现技术,理清了安全性研究和开发安全的嵌入式操作系统的思路。在上述基础上,论文围绕着嵌入式安全操作系统的核心问题——安全核展开研究。从支持多策略和动态策略的角度深入剖析了安全核及相关概念,根据安全核的需求和设计原则在以下几个方面进行了重点研究:1.多策略集成性研究 支持多策略和动态策略是安全操作系统目前发展的趋势。本文对访问控制策略和访问支持策略进行研究,同时研究了不同安全策略作用下嵌入式操作系统的状态迁移模型、安全服务分类和控制需求之间的关系,探讨了策略的可实现性问题。提出了一种多策略集成性模型,并设计了多策略语言。2.安全核体系结构 本文在分析传统安全核和引用监视器的作用及其不足的基础上,提出了一种支持动态策略的安全核体系结构。整个安全核的设计分离了决策和实施,采用决策缓存优化了性能。除了多策略和动态策略的支持问题,本文还对安全扩展、策略在线升级模型等关键问题进行了研究。3.授权撤消问题 分析了现有安全操作系统对权限撤销操作支持的不足之处,并根据安全核的特点提出了一种结合级联和非级联两种互补特性的权限撤销机制,用于点到点和点到面的权限撤销。并且探讨了权限撤销可能对任务的关键操作带来的不可预料的破坏问题及其解决方法。该授权撤消机制能够满足嵌入式安全操作系统的绝大多数权限撤销操作需要。4.基于以上各方面研究的成果,最后实现了一个嵌入式操作系统安全核原<WP=6>型,通过功能和性能测试证明了我们提出的安全核体系结构的合理性和实用性。除上述工作外,本论文还对嵌入式操作系统的其他安全保障技术进行了研究和探讨,主要集中在以下两个方面:一是应用级安全问题,通过把反射技术和引用监视器思想相结合,提出了基于安全元对象的应用级引用监视器技术,并通过应用实例探讨了该技术。基于反射机制的安全增强具有运行开销小, 同时安全策略定制灵活、易于扩展等优点。二是提出了一种基于安全操作系统的域访问控制机制,把安全操作系统的访问控制与网络的访问控制结合起来,用安全节点验证网络连结的安全性,用安全路由器过滤节点之间交换的数据包,建立了专用网络的强安全模型。