随着嵌入式系统的广泛应用及发展,越来越多的嵌入式系统开始采用了操作系统。然而,嵌入式操作系统的安全性却始终被忽视,而与此对应的是越来越多的针对嵌入式系统的攻击。因此,嵌入式操作系统的安全性是嵌入式操作系统不可或缺的。嵌入式操作系统安全性主要靠访问控制来增强。访问控制分为自主访问控制(DAC)强制访问控制(MAC)及基于角色的访问控制(RBAC)三类。DAC是让客体(资源的载体)的属主决定该客体可接受的访问类别;而MAC是让系统的安全策略来决定一次主体对客体的访问。RBAC与以上两类访问控制策略都不同,它是策略中性的,而且它支持最小特权和权职分离的特点,使得其发展十分迅速。本文将详细介绍RBAC模型,并指出它的先进之处。随后本文将针对Core-RBAC模型分析其在实际应用上的不足,尤其是在实际应用中不便之处,然后针对这些不足,介绍GB-RBAC模型,并说明GB-RBAC模型为何更适合操作系统中的实际应用需要。本文实现了GB-RBAC模型的扩充,采用了静态职责分离,并加入了三条形式化说明的约束:对象组成员完全互斥、非法操作集约束、角色防冗余约束。其中对象组完全互斥使得每一个客体只能被分配到一个对象组中,从而使得该客体被分配到的访问控制权限唯一;非法操作集保证了权职分离原则,限制某些角色的权利过大;防冗余约束防止两个拥有完全相同权限的角色出现,保证了角色不存在冗余。另外,本系统还加入了对于Linux内核模块载入的监视,防止了系统安全机制自身受到破坏。本文还在广泛应用于嵌入式系统的Linux操作系统上实现了角色管理组件、用户管理组件、权限管理组件以及外围辅助程序四部分。最后,通过实验证明,本内核可以阻止没有被访问控制规则允许的客体访问,比Linux传统的访问控制可以控制更多的操作种类,并且做到了管理和控制力度之间的平衡,并具有一定的自我保护性,加强了嵌入式操作系统的安全性。