嵌入式高确保系统（如综合化航空电子系统等）对于不同安全级别的信息的跨平台、多用户处理和共享提出了更高的安全性要求。针对这一要求，学术界提出了多重独立等级安全(Multiple Independent Levels of Security/Safety，MILS)体系结构。本文在系统分析了MILS系统安全体系架构和分区机制的基础上，针对因缺乏有效的信息流控制方案而导致敏感信息未经授权的披露和篡改的问题，研究了MILS系统中分区间的信息流控制解决方案，具体如下：1.针对MILS系统组件组合的特点和信息流控制目标，提出了基于可信组件的分区间信息流控制模型。为了提高信息传递的效率和安全性，采用共享内存技术构建分区间信息传递机制。2.为了防止低密级分区非法获取高密级信息，设计了各可信组件的信息流控制策略，包括基于格模型的多级安全策略、可信降级策略以及先降级再升级策略，最终形成了多层次的信息流控制策略框架。3.针对MILS系统中分区间的信息流都必须是分离内核授权的这一需求，构建了各可信组件的信息流控制机制，其中分离内核定义授权的信息流并控制信息的流向；MMR拦截未经授权的信息流并进行分区间路由；Guard执行基于协议和应用的消息内容过滤，并根据需要对消息进行降级；PCS对分布式MILS中处于不同节点上的分区间信息流先加密降级再解密升级，以保证网络中数据的机密性。各可信组件协同工作，对信息的整个流动过程进行控制并确保其安全性。4.应用本文提出的方案对一种多级文件系统的客户分区请求消息进行控制，以保证文件系统的机密性和完整性。分析验证表明，本文所设计的信息流控制方案能够确保分区间的所有信息流都是经过分离内核授权，并通过可信组件过滤的合法消息。