操作系统安全问题是信息安全领域最重要和最基本的问题之一。本文以UNIX操作系统为平台，重点对安全操作系统模型和安全策略实现结构进行了研究。 本文通过重点分析针对UNIX操作系统的一些攻击实例，指出现有的UNIX操作系统自主访问机制和超级用户特权实现方式是最主要的安全问题。在对BLP模型进行分析的基础上，提出了以BLP模型为基础的完整性和特权角色扩展的UNIX操作系统安全模型。BLP模型主要注重保密性控制，控制信息从高安全级传向低安全级，而缺少完整性控制，不能控制“向上写(write up)”操作，“向上写”操作存在着潜在的问题。为此，我们提出BLP安全模型的完整性改进方法，为主体和客体增加完整性级别标识，当客体的安全级严格支配主体的安全级时，即低保密性进程要进行向上写高保密性数据时，要增加判别主体和客体的完整性级别，此时，主体完整性级别必须支配客体的完整性级别。 在BLP模型的具体实现中，还必须控制可信主体的权限，为此，我们提出的对BLP模型另一改进方法是特权和角色扩展，增加特权和角色的概念，实施最小特权原则。为UNIX操作系统内核定义了29种进程能够拥有的特权，为了更好地与主体和客体关联，又提出了特权集的概念，将一个或多个特权的集合组成特权集。为每个进程定义三个特权集：基本特权集、内核授权集、有效特权集。与每个可执行文件关联两个特权集：潜在特权集和许可特权集。 本文系统地讨论了特权转换和系统安全状态转换规则。在给出特权转换的基本规则以后，详细讨论了exec()、setpriv()和chpriv()这三个系统调用的特权转换规则。给出了初始系统状态和系统的安全状态要求，定义了21个状态转换函数。 本文提出了一种新的基于UNIX操作系统的安全策略实现结构。新结构的基本思想是：将安全策略的定义、策略决定和策略执行机制相分离。采取了安全策略驱动程序、安全策略开关表、安全策略模块、安全策略服务器和消息通信机制相结合的方法，其中，安全策略驱动程序、安全策略开关表和安全策略模块位于操作系统内核中，安全策略服务器不在内核实现，而是在核心外，安全策略服务器与内核中的安全策略驱动程序、安全策略模块通过消息机制通信。这种结构使得操作系统能够灵活地支持不同的安全策略，而且对于一个给定的安全策略，系统能够配置成支持不同的安全策略配置参数，而不需要重新编译内核或修改文件系统格式。 本文详细讨论了安全策略实现结构中各模块的主要功能和相互关系，不仅给出了在这种安全策略实现结构中安全访问控制流程，而且给出了消息头和消息体信息工程大学博士学位论文格式定义，定义了10种消息的主要功能，重点对安全策略服务器与内核中的安全策略驱动程序、安全策略模块之间的消息通信机制进行了分析。本文讨论了DAC和MAC策略在上述安全策略实现结构中的实现。 本文最后介绍了全文研究的应用实践，一是一个实际的安全操作系统的实现研究;二是设计和实现了一个基于主流商用UN工X操作系统的操作系统安全增强系统。