人类社会正迈向一个高度信息化、数字化的时代。在这种形势下,大量的信息被数字化并由信息系统统一维护和管理。随着信息系统的不断完善,信息系统管理着越来越多重要的数据,信息系统的安全性已成为信息系统设计中十分重要的问题。由于操作系统处于信息系统最底层,且具有基础和核心地位,操作系统的安全成为了整个信息系统安全的前提和根本保证,因此对操作系统层级的安全机制的研究是十分必要的。信息系统安全的重要内容是保证系统中数据的安全,而数据的安全性可通过存取访问控制来实现。目前,Linux操作系统以其优越、稳定的系统性能赢得了越来越多用户的青睐。面对不断提升的安全需求,Linux操作系统的存取访问控制机制也在不断发展和完善。例如,最新的Linux 2.6内核中集成了支持强制访问控制的SELinux安全子系统用于满足高等级安全需求。但是这些机制仍存在许多不足之处。本文以改进和完善现有Linux存取访问控制机制为目标,在对现有的Linux存取访问控制机制进行了全面分析的基础上,进一步结合原有的信息安全模型,总结了操作系统中的分权思想,并进一步提出了LYSLinux存取访问控制模型及分层授权观点。为了验证本文提出的LYSLinux存取访问控制模型的可行性和正确性,本文设计并实现了基于LYSLinux存取访问控制模型的LYSLinux原型系统。LYSLinux原型系统的设计充分利用了Linux内核提供的Linux安全模块(LSM)、文件系统扩展属性等安全设施,并基于FLASK安全体系结构设计和实现了基于策略驱动的内核存取访问控制模块、基于XML的安全策略配置文件描述格式以及安全策略编译器等系统组件。最后,本文通过对LYSLinux原型系统的测试和结果分析,就论文工作进行总结并给出了该系统的优缺点和后续工作意见。