随着嵌入式系统在电网、航空、医疗、家居等领域的广泛应用,其安全性日益凸显。为保障嵌入式系统的高安全性,多重独立安全等级(Multi-Independent Levels of Security,MILS)概念应运而生,MILS通过将操作系统分层、内存分区,实现时空、故障隔离,达到内核可验证、故障可控的目的。本文设计并实现了面向基于MILS嵌入式操作系统协同工作平台的多级安全域动态管理机制。特别地,针对某应用程序故障以致协同工作平台功能缺失的问题,设计和实现了多重独立安全等级的安全域,即多级安全域管理;针对同一安全域内平台间的信息隔离和通信问题,设计及实现了多策略融合访问控制模型,完成的主要工作如下:(1)多级安全域动态管理机制设计。基于嵌入式协同工作平台不同应用安全等级各异的特点,设计面向基于MILS嵌入式操作系统协同工作平台应用的多级安全域动态管理机制,在应用程序故障导致协同工作平台功能缺失的情况下,通过多级安全域动态管理实现应用程序的正确安全迁移运行以及平台功能的动态重构。(2)建立基于角色和密级的多策略融合的访问控制模型。针对基于MILS嵌入式操作系统协同工作平台内部不同安全等级应用间信息交互的实际需求,赋予不同应用程序相应角色及不同的操作权限,实现不同功能类型不同密级的应用间信息隔离和安全通信的目的。(3)设计并实现面向基于MILS嵌入式操作系统天脉2协同工作平台应用的多级安全域动态管理和多策略融合的访问控制等组件的实验原型。基于协同工作平台的实时性,验证面向基于MILS嵌入式操作系统协同工作平台应用的多级安全域动态管理和多策略融合的安全访问控制等组件的正确性和可行性。实验结果表明,本文方法不仅能够实现异常终止应用的正确迁移运行和不同应用间的安全访问控制,同时能够满足嵌入式平台安全防护的可行性和实时性,在不影响基于MILS嵌入式操作系统协同工作平台实时性的前提下,有效解决了应用故障导致平台功能缺失的问题。