通常情况下，系统安全分为安全功能和安全保障两个方面，安全功能指系统实现的安全策略和安全机制所满足的功能要求，安全保障则是通过一定的方法保证安全功能的正确实施。近年来，这两方面都成为了国内外安全研究者关注的焦点，产生了一系列的研究成果。相比较而言，安全功能方面的研究成果更为丰硕，信息流模型、访问控制机制、安全体系架构各方面都已经开展了广泛而深入的工作。而在安全保障方面，人们还是更多地从传统软件工程的角度，对软件的设计、开发、测试和脆弱评估进行生命周期的保障研究。而对于由操作系统体系结构决定的运行环境的安全保障尚缺乏深入的研究。特别是对于目前主流的通用操作系统，尚无有效办法解决由硬件结构简化而引起的安全保障问题。操作系统结构化是解决安全保障问题的必经之路，也是高安全级操作系统（TCSEC B2级以上）的重要本质性特征。因此，对操作系统结构化的关键技术进行深入研究，构建能够满足高等级系统要求的安全保障体系，对于我国重要信息系统的等级保护制度进一步推进具有重要的理论和现实意义。本文将操作系统结构化的问题概括为程序结构化、数据结构化和连接结构化三个方面，程序结构化针对指令执行的有序性，要防止指令的非法转移，这是程序运行的可信性要求。数据结构化主要指系统中信息流的策略符合性，要防止用户间非授权的信息流动。连接结构化主要指网络中连接的安全性，防止由网络中恶意用户引起的非法连接、数据泄露和篡改。这三个层次的结构化相辅相成、缺一不可，只有将其在操作系统层面整合为有机统一的整体，才能对当今系统中的安全功能构成实质性的支撑，从而保障其可信运行，而当前恰恰缺乏这种针对操作系统级结构化体系结构的研究。为此，本文引入了可信管道的概念，以此为基础研究进程结构化、虚拟隔离、信息流控制三个关键技术在结构化系统中的整合，并结合无干扰模型，对结构化系统的安全性进行了形式化的分析和证明。本文主要围绕TCSEC结构化保护级的安全保障要求展开研究，从程序结构化、数据结构化和连接结构化三个方面对操作系统的结构化特征进行了分析和阐述。并且通过可信管道的引入，提出了新型的结构化操作系统体系结构SOSA(Structuration Operating System Architecture)；重点研究了SOSA体系下结构化操作系统的三个关键技术进程结构化、虚拟隔离和信息流控制，分别提出了相关机制和方法，并基于经典的无干扰模型对它们进行了安全性的形式化分析和证明；最后，在Linux平台上实现了相关原型。论文的主要研究结果如下：(1)系统阐述了结构化的基本概念，提出了结构化的安全操作系统体系结构SOSA；结合可信计算的现有研究，探讨了SOSA体系的可信特征；将SOSA体系和结构化保护级标准的一些关键特征进行了对应。（2）改进经典的无干扰模型，提出了一种基于进程的操作系统结构化模型，对操作系统的进程结构化问题进行了形式化描述，给出了进程结构化环境安全的结构化规则，并予以证明。(3)研究了虚拟隔离机制对SOSA体系下结构化安全的重要性，提出了一种面向进程环境的虚拟隔离实现模型SVIEM(Structuration Virtual IsolationEnvironment Model)，基于该模型给出SOSA体系下的虚拟隔离规则，并且提出了一种以进程环境隔离和TCB思想为基础的虚拟隔离机制。理论分析表明虚拟隔离机制能够满足BLP模型和Biba模型在保密性和完整性方面的要求。(4)提出了可信管道的形式化描述，建立了结构化系统信息流控制模型SIFCM(Structuration Information Flow Control Model)，并且在SOSA架构下提出了基于可信管道的信息流控制方法。同时，结合经典无干扰模型的引用监视器假设，以SOSA体系的结构化规则来对应高安全系统的安全保障要求，并基于SIFCM和BLP模型对其结构化规则的保障作用进行了证明。最后，对系统进行隐通道分析，研究了可信管道在存储隐通道消除中的重要作用。(5)在Linux平台上，实现了SOSA体系下程序结构化、数据结构化和连接结构化的相关关键技术。总之，针对TCSEC B2级以上高安全级操作系统的安全保障要求，本文探讨了对操作系统进行结构化改造的一系列关键技术和方法，从程序结构化、数据结构化和连接结构化三方面确保了系统安全功能的正确实施，上述研究成果为进一步设计和开发高安全等级操作系统的提供了基础。