可信恢复结合了安全操作系统的可用性和安全性需求，强调了系统失效后进行安全无损的恢复，它也是对高等级安全操作系统的重要要求。本文以SECIMOS和CAS-EARTH两个安全操作系统的实际开发过程为基础，从基本定义和要求、可信恢复系统模型、可信恢复方法类型、恢复保证和触发时机等方面入手，对可信恢复的关键技术开展研究，为高等级安全操作系统的研发提供了参考。本文所取得的主要成果有：　　 第一，围绕操作系统恢复，总结了现有恢复技术和方法的特点，分析目前操作系统恢复技术的研发趋势。从安全相关性和可信赖性，对可信恢复的基本性质进行了深入研究，说明了可信恢复的目的和方法，阐明了可信恢复与其他安全组件之间的相互关系。给出了一个具体的可信恢复定义，全面地概括了可信恢复的基本性质，为设计和实现可信恢复机制与过程提供坚实的理论指导。　　 第二，由可信恢复的定义延伸，提出了一种基于动作时序逻辑的可信恢复系统模型TLA-TRM，刻画了恢复过程中状态转换的时序逻辑关系，明晰了可信恢复系统的基本内容和要求。　　 第三，根据可信恢复系统模型，通过IBAC，TE，RBAC和PCW模型的融合，在乐观安全策略下，利用补偿性良构事务，提出了对恶意偏构事务的完整性可信恢复监控机模型。在撤销偏构事务对文件完整性的恶意操作时，为追踪受其影响的数据和操作，提出了两种不同的恢复算法。该模型既结合了安全监控机实施访问控制的要求，又满足了对完整性进行可信恢复的要求。　　 第四，为保证安全操作系统恢复后初始状态的安全性，本文结合可信计算平台，采用了利用TPM和非对称加密算法进行可信启动的方法。针对目前常见的备份/恢复方式，借助可信计算对平台的可信认证，提出恢复数据的远程可信备份和获取框架及相关协议，保证了系统能够使用可信的备份数据进行恢复。　　 第五，采用轻量级形式化方法，通过在设计阶段对可信恢复机制的形式化规范和验证，来保证其能够达到可信恢复的目的。提出了以安全策略核心，围绕可信恢复对安全审计系统的要求，设计与实现了一安全审计系统，为检测安全策略违反，触发可信恢复机制奠定了基础。