随着信息技术的高速发展，信息安全问题日益突出，得到了社会各个领域的高度关注。面对纷繁复杂的各种攻击手段，信息安全专家沈昌祥院士指出，操作系统安全是整个信息系统安全的基石，相应地，在操作系统层构建针对应用程序的安全保障机制成为研究热点。在各种安全威胁中，许多的攻击手段都与权限密切相关，通过获取操作系统管理员权限实现对整个系统资源的访问，从而破坏系统的机密性和完整性。因此，在操作系统层展开对权限问题的研究对于提高系统整体安全具有重要的现实意义。　　针对系统中的权限问题，尤其是操作系统中用户权限“共享”的部分，已有的最小特权、职责分离等研究难以实现有效控制，主要原因是由于普遍使用的Windows、Linux操作系统体系结构设计简化的先天不足，在类似多用户共享访问系统服务的典型应用场景中，众多用户都是通过服务程序这个载体对客体发起访问，所以被共享访问的载体便成为权限的“汇聚点”，而在操作系统层难以对共享的权限按照用户的维度实现有效隔离及控制，这会导致如下问题：首先，服务程序运行在操作系统核心层，普通用户能够通过程序漏洞或溢出攻击，获取系统核心层的超级用户权限；其次，单靠应用程序对用户的隔离机制容易被攻击、篡改或旁路；最后，缺乏权限实施的系统层可信保障机制，极易导致用户权限的非法窃取、篡改等安全问题。　　针对上述问题，本文分析操作系统中主要存在的权限“共享”点，即“执行程序共享”、“客体共享”、“核心环境共享”，并围绕这三个核心问题展开深入研究，提出操作系统层用户权限隔离的安全体系结构，给出“面向多用户的服务程序隔离”和“共享客体隔离”两个关键方法以及权限相关的可信保障机制。其中，两个隔离方法是关键，在系统层有效防止不同用户权限的非法窃取及提升，而可信保障机制是基础，是隔离机制在操作系统内核层的延伸，同时为系统运行提供基础可信环境，确保用户权限的正确实施。　　论文的主要研究成果如下：　　(1)阐述用户权限隔离的基本概念，提出了基于有限状态机的用户权限隔离模型，通过状态机模型分析证明用户权限交集处，易导致权限窃取及非法提升等问题；针对操作系统中“执行程序共享”、“客体共享”、“核心环境共享”三个关键问题，提出操作系统中用户权限隔离体系结构，并描述了体系结构的基本组成框架及其可信特征。　　(2)提出了面向系统服务的用户权限隔离方法，利用虚拟化技术，为用户构造了相互隔离的运行环境，给出用户隔离域的形式化定义及隔离域构建的关键机制；给出了形式化的隔离保障策略，并分析证明用户隔离域符合最小权限的条件约束，最终消除了操作系统中的潜在特权用户。　　(3)基于无干扰理论，提出了面向共享客体的权限隔离方法。针对传统的访问控制及信息流模型难以解决的访问路径、访问行为参数、进程访问时的状态问题，方法扩展给出了信道可信、行为可信、状态合法三个安全约束，通过形式化推导，分析证明方法对于改进无干扰策略的安全性，证明方法能够防止不同主体通过共享客体产生的非法信息流动而导致的权限问题。此外，文章提出了基于该方法的安全封装层，给出了模型中的三个安全约束的具体实现机制。　　(4)给出了用户权限隔离体系中的可信保障机制。提出了一种基于LS2的操作系统内核完整性度量方法，将度量阶段分为前、中、后三个阶段，给出了各阶段的可信度量逻辑，证明方法能够对操作系统内核的完整性进行有效判定，为用户权限隔离体系建立可信的基础运行环境：在此基础上，提出了可信管道保障机制，给出可信管道三个安全属性的形式化定义及具体实现机制，实现了操作系统核心层用户操作的逻辑隔离，保障用户访问操作从应用层至操作系统核心层的一致性，可信管道的操作语义传递为权限判定奠定了基础，能够确保用户权限的正确实施。　　总之，针对操作系统中权限共享问题，本文探讨了对用户权限隔离的一系列关键技术和方法，从面向程序的用户隔离、共享客体隔离、核心环境保障三个方面确保了用户权限的正确实施，上述研究成果为进一步设计和开发操作系统中权限控制机制提供了理论与实践基础。