操作系统的安全性是计算机系统安全的基石。一个安全的操作系统应当满足信息的保密性、完整性和可用性的目标。本论文主要研究了安全操作系统的安全体系结构、安全模型及其在服务体/执行流模型上的实现。　　论文首先描述了安全操作系统发展历程，剖析了当前操作系统所面临的威胁，详细介绍了安全操作系统的研究背景、基本理论和相关系统。在重点分析安全操作系统构造方法的基础上阐述了安全操作系统应当以安全控制为中心、安全策略为导向的原则构造安全模型，并采用一种合适的基础设施实现这个安全模型。本文采用基于服务体/执行流模型的操作系统构造技术来构造安全操作系统的基础设施。　　为了支持宽广的、动态的安全策略，一个灵活的安全体系结构是必要的。本文提出了一种新的权能与安全策略相结合的安全体系结构（Capability and Security Policy，记为CASP结构）。该结构具有两级判定机制，将安全判定模块和安全实施模块分离开来，其中安全判定模块进一步分为权能服务器和安全服务器。权能服务器管理权能，提供底层的直接访问控制;安全服务器管理安全策略，同时控制着权能的创建和传播动作。安全实施模块直接与权能服务器交互，间接接受安全服务器的控制。　　基于权能的安全操作系统具有控制粒度较细的特性，能够有效支持最小特权和责任分离原则。本文提出一种新的权能管理模型（GYC模型），其特点是:(1)权能单独作为一种对象，可以控制任意客体;(2)用权能传播树管理权能的传播与撤销，有效解决了权能的即时撤销和完全撤销问题;(3)大幅减少了使用权能进行访问检查的时间，针对权能系统中的瓶颈问题有效提高了整体性能。在此基础上，本文又进一步提出了一种结合了权能管理模型与多安全策略合成的安全模型，能够合成RBAC、TE、BLP、Biba等多种安全策略，并可支持Chinese Wall扩展的安全策略。在该安全模型中，用RBAC进行权限管理，用TE实施域间隔离特性，用BLP和Biba实施信息保密性和完整性的强制安全控制。通过引入权能角色，将RBAC和权能管理模型结合起来，使得既便于进行安全管理，又能实现细粒度的安全控制。　　传统的安全操作系统都是基于进程/线程模型进行构造的，进程和线程分别对应了操作系统的存储模型和运行模型。这种安全操作系统在存储模型方面多采取多地址空间构造技术，这是由于单地址空间构造技术保护机制复杂，效率很难提高。在运行模型方面多采取线程模型，其优点是为用户提供了一个清晰的编程模型。但是线程模型没有明确区分并发和并行，线程之间通信是异步的，降低了系统的效率。　　为了克服上述问题，本文介绍了一种我们提出的基于服务体/执行流模型的安全操作系统构造方式。服务体/执行流模型是一种新型的操作系统构造模型。它抛弃了进程/线程概念，采用服务体作为系统的存储模型，融合了多地址空间和单地址空间的构造技术;采用执行流作为系统的运行模型，明确区分并发和并行，利于编写高效程序和支持分布式应用。采用服务体/执行流模型的操作系统在灵活性、可扩展性方面等同于微内核;在效率方面逼近单内核，但是由于单内核模型中的用户服务程序通常使用进程实现，而服务体间通信的效率比进程间通信的效率要高得多，所以服务体/执行流模型对于构造用户服务程序比单内核模型效率要高。　　在基于服务体/执行流模型的安全操作系统中，各功能模块提供了一定的服务。从面向对象的角度看，各功能模块实现了各种对象，提供了对象的接口。服务体/执行流模型使用端口表示对象，服务体间通过端口进行通信，通过对象管理器和服务体间通信机制对对象接口进行强制性的安全检查，由此实现了对象粒度的安全控制。文中详细给出了基于服务体/执行流模型的安全操作系统S-Minicore的设计与实现，并提出了将安全模型框架应用于作为服务体的数据库管理系统的安全控制，使得数据库管理系统的设计者能够用权能管理模型获得与传统SQL一致的安全控制机制，有机统一操作系统和数据库管理系统的安全控制，从而提供一种统一的、安全的数据处理平台。