随着嵌入式系统功能日益强大,应用成本逐渐降低,嵌入式实时系统已广泛应用于航空航天、核电能源、医疗卫生、国防电子等诸多安全关键系统中。这些系统一旦失效,将会引起生命财产的重大损失并可能严重破坏环境卫生。在一些非常尖端的航空、国防电子等安全关键系统中,存在多个安全等级的应用要求,将这些系统称为多级安全关键嵌入式系统。随着互联网技术和软件技术在这些系统中的大量使用,软件的故障、失效和安全威胁已逐渐成为引发系统失效的主要根源。因此,提高多级安全关键嵌入式系统的可信性越来越重要。高可信嵌入式操作系统体系架构是从嵌入式系统软件平台出发,提高多级安全关键嵌入式系统可信能力的主要手段,已成为嵌入式系统的热点课题。论文对多级安全关键嵌入式系统现有的高可信保障技术进行了系统、全面的分析,认为当前所面临的主要问题有:1)无法同时满足多个可信属性,如无法同时满足安全性、防危性、实时性等属性;2)不能满足多级安全应用的要求;3)系统开销过大,无法通过较高安全等级的认证。针对上述问题,本文研究了可信的本质,并以嵌入式可信操作系统为核心,对多级安全关键嵌入式系统的可信保障技术进行了系统、深入地理论研究和实验,主要的工作与贡献包括:1)深入地研究了可信计算的定义和属性,总结了嵌入式操作系统高可信保障技术的局限性和不足,给出了嵌入式可信操作系统的定义,为嵌入式系统可信保障技术的研究探索了一条新的途径。2)在分析现有可信保障技术不足之处的基础上,提出了一种高可信嵌入式操作系统体系架构-Hades架构。Hades架构克服了传统技术的缺陷,可同时满足多个高可信属性,并且通过采用时空隔离思想和分区机制把系统故障和安全威胁控制在较小的时空范围内,同时还为多级安全应用提供了支持。3)为保障敏感信息的机密性,对现有的分区间数据通信机制进行了分析,总结出存在的问题,提出了多级安全信息流控制模型,建立了严格的分区间信息流控制机制和控制策略,确保分区间所有的信息流必须经过可信分离内核的授权。通过原型实验和系统开销测试说明信息流控制机制是可行的,并且其较少的系统开销不会影响可信分离内核通过安全认证。4)为提高系统实时性,并严防因某个分区子系统长期独占或超时使用CPU等物理资源而引起的系统故障,在分析现有分区调度算法不足的基础上,提出了基于固定周期分区的静态调度模型和基于固定延迟分区的动态调度模型。建立了基于优先级位图的分区级和任务级两级调度机制,以加快两级调度速度。任务级调度采用RM和EDF两种调度算法,并分别就任务的可调度性进行了理论研究,给出了保证任务按时正确运行的调度条件,通过仿真实验进一步验证了调度模型和调度条件的正确性。5)针对现有可信保障机制无法同时满足系统安全性、防危性要求的不足,设计了一种多层次的安全/防危策略框架,该框架从体系结构上同时支持多种安全、防危策略。通过设置可信服务分区方便系统管理员对策略的集中管理、配置、剪裁和扩展。采用强制访问控制机制,为多种安全策略的实现探索了一种可行的方案。建立了基于有限自动机的防危策略模型,并基于此模型以核电控制系统为原型实现了防危策略,该技术可推广到其他任何安全关键设备中。目前,国内外对嵌入式可信操作系统的研究还处于发展阶段,存在许多有待解决的问题。本文提出的高可信嵌入式操作系统体系架构,及信息流控制机制、基于分区的调度模型和任务调度条件、多层次的安全/防危策略框架为嵌入式可信操作系统的进一步研究提供了新的技术和思路。