面向應(yīng)用對象的訪問控制模型研究

李 勇，蓋新貌

（1.解放軍信息工程大學(xué) 電子技術(shù)學(xué)院，河南 鄭州450004；2.國防科學(xué)技術(shù)大學(xué) 計算機學(xué)院，湖南 長沙410073）

0 引 言

分布式應(yīng)用系統(tǒng)具有內(nèi)部結(jié)構(gòu)復(fù)雜、分布離散、用戶量大、職責(zé)多樣等特點，對其進行訪問控制應(yīng)充分考慮應(yīng)用環(huán)境的上下文。目前常見的訪問控制策略 （包括自主訪問控制、強制訪問控制和基于角色的訪問控制）對分布式應(yīng)用系統(tǒng)的保護效果并不理想：由于應(yīng)用服務(wù)平臺的作用，難以在分布式應(yīng)用系統(tǒng)中實施基于安全標記的強制訪問控制模型［1－5］；基于角色的訪問控制［6－8］雖然便于實施，但無法隨上下文環(huán)境實現(xiàn)對權(quán)限的動態(tài)控制以及用戶權(quán)限的時間關(guān)聯(lián)約束。相對于上述模型，基于任務(wù)的訪問控制模型（task－based access control，TBAC）［9－11］從工作流中的任務(wù)角度建模，依據(jù)任務(wù)和任務(wù)狀態(tài)的不同對權(quán)限進行動態(tài)管理，更適合分布式應(yīng)用系統(tǒng)。但目前關(guān)于TBAC模型的研究成果尚不足以直接應(yīng)用，原因有二：一是TBAC模型的控制目標 （授權(quán)步、授權(quán)結(jié)構(gòu)體）是工作流層面的抽象概念，如果在實際的信息系統(tǒng)中實施TBAC模型需要將這些抽象概念映射到應(yīng)用環(huán)境中，目前未見相關(guān)研究成果；二是基于任務(wù)的訪問控制缺乏具體的安全規(guī)則。本文將角色的概念和面向?qū)ο蟮乃枷耄?2］引入TBAC模型，提出了面向應(yīng)用對象的訪問控制（application object oriented access control，AOOAC）模型，解決了TBAC模型面臨的兩個問題。

1 面向應(yīng)用對象的訪問控制模型

1.1 基本思想

TBAC模型中，任務(wù)是一個邏輯概念，定義為分派給某一組織或個人按一定流程完成的工作，任務(wù)實例是任務(wù)的一次具體完成過程。為了簡化問題，本文假設(shè)所有的任務(wù)都是原子任務(wù)。

從現(xiàn)實的角度看，信息系統(tǒng)的工作模式為：用戶以一定身份登錄應(yīng)用系統(tǒng)完成特定的任務(wù)。因此，用戶、角色、應(yīng)用系統(tǒng)與任務(wù)之間存在密不可分的聯(lián)系，本文從 “用戶－角色－應(yīng)用－任務(wù)”的角度進行建模。把任務(wù)抽象為應(yīng)用類，把任務(wù)實例涉及的角色、進程、資源等因素封裝為應(yīng)用對象 （應(yīng)用對象可理解為進程家族在訪問客體資源時的代理），在此基礎(chǔ)上把授權(quán)步映射為應(yīng)用對象，通過角色安全向量和客體安全向量實現(xiàn)客體與應(yīng)用對象的關(guān)聯(lián)，從而實現(xiàn)TBAC模型到實際應(yīng)用系統(tǒng)的映射。在安全策略方面，本文用臨時權(quán)限保證逆向信息流的合法性，用保護態(tài)實現(xiàn)對客體的分階段保護和對逆向信息流的限制。

1.2 模型元素

定義1 用戶是應(yīng)用系統(tǒng)的使用者和任務(wù)的執(zhí)行者，記為u，用戶集記為U。

定義2 角色是用戶登錄應(yīng)用系統(tǒng)的身份，記為r，角色集記為R。

用戶集和角色集之間是多對多映射關(guān)系。在角色分配過程中應(yīng)考慮角色之間的靜態(tài)職責(zé)分割和動態(tài)職責(zé)分割［13］。角色分配不作為本文研究的重點，此處不再贅述。

定義3 主體是系統(tǒng)中的主動實體 （進程），記為sub，主體集記為SUB?？腕w是系統(tǒng)中的被動實體 （文件、設(shè)備、服務(wù)等），記為obj，客體集記為OBJ。主體對客體的操作類型為OP＝ ｛r，a，w｝，r、a、w分別表示只讀、只寫、讀寫操作。

定義4 應(yīng)用對象用四元組 （R，SUB，OBJ，T）表示，其中T為有效期。應(yīng)用對象記為ao，應(yīng)用對象的集合記為AO。ao∈AO，ao.r是用戶登錄應(yīng)用系統(tǒng)的角色；ao.SUB是用戶以角色ao.r登錄應(yīng)用系統(tǒng)形成的主體以及該主體的后代主體構(gòu)成的集合 （ao.SUBSUB）；ao.OBJ是由ao.SUB創(chuàng)建的客體集 （ao.OBJOBJ）；ao.t是應(yīng)用對象的有效期。應(yīng)用類是對完成相同任務(wù)的應(yīng)用對象的抽象，記為ac，應(yīng)用類的集合記為AC。

約定1ao∈AO，ao.OBJ稱為ao的內(nèi)部客體，OBJ－ao.OBJ稱為ao的外部客體。

應(yīng)用類是一個抽象概念，應(yīng)用對象是一個具體概念。一個應(yīng)用類可以實例化為多個應(yīng)用對象，這些應(yīng)用對象用于完成相同的任務(wù)，具有相同的角色和有效期，但擁有不同的進程子集和客體子集。另外，應(yīng)用類是相對靜態(tài)的，應(yīng)用對象是動態(tài)的，其內(nèi)部狀態(tài)隨著任務(wù)的執(zhí)行過程而不斷變化。

定義5ao∈AO，ao.state表示該應(yīng)用對象的狀態(tài)，應(yīng)用對象的狀態(tài)空間定義為 ｛active，sleep，sdead，fdead｝，分別表示應(yīng)用對象處于活躍狀態(tài)、睡眠狀態(tài)成功死亡狀態(tài)和失敗死亡狀態(tài)。

應(yīng)用對象由活躍狀態(tài)到睡眠狀態(tài)稱為被掛起，由睡眠狀態(tài)到活躍狀態(tài)稱為被激活，由活躍或睡眠狀態(tài)到死亡狀態(tài)稱為被撤銷。應(yīng)用對象狀態(tài)轉(zhuǎn)換的依據(jù)是應(yīng)用對象之間的依賴關(guān)系。依賴本來是任務(wù)之間的相互關(guān)系，在AOOAC模型中體現(xiàn)在應(yīng)用對象之間的相互關(guān)系上。對依賴關(guān)系的描述見文獻 ［10］，本文只給出各種依賴關(guān)系的符號表示。

定義6ao，ao′∈AO：①ao順序依賴于ao′記為ao→ao′；②ao同步依賴于ao′記為aoao′；③ao失敗依賴于ao′記為ao｜→ao′；④ao互斥依賴于ao′記為ao⊥ao′。

定義7 C是線性全序保密性級別。c∈C，c′∈C，c＞c′表示保密性級別c高于保密性級別c′，c＜c′表示保密性級別c低于保密性級別c′，c＝c′表示保密性級別c等于保密性級別c′。I是線性全序完整性級別。i∈I，i′∈I，i＞I′表示完整性級別i高于完整性級別i′，i＜i′表示完整性級別i低于完整性級別i′，i＝i′表示完整性級別i等于完整性級別i′。

定義8 角色安全向量定義為四元組 （C，I，D，P）。r∈R，r.c和r.i分別表示角色的保密性標記和完整性標記；D是組織機構(gòu)中崗位的集合，崗位之間形成樹狀家族關(guān)系，r∈R，r′∈R，r.d∠r′.d表示r隸屬于r′稱r是r′的下屬，r′是r的上級，r.d√r′.d表示r直接隸屬于r′，稱r是r′的直接下屬，r′是r的直接上級，r.d～r′.d表示r和r′擁有相同的直接上級，稱r和r′互為同事；P＝ （OP，OBJ，T）∪ ｛ ｝是臨時權(quán)限集，r∈R，r.p＝ 表示角色r沒有有效的臨時權(quán)限，r.p＝ （op，obj，t）表示角色r對應(yīng)的應(yīng)用對象在有效期t內(nèi)擁有對客體obj進行op操作的臨時權(quán)限。

約定2 nt表示當前時間。ao∈AO，ao.t≥nt表示應(yīng)用對象已失效，ao.t＜nt表示應(yīng)用對象未失效；r∈R，r.p.t≥nt表示臨時權(quán)限已失效，r.p.t＜nt表示臨時權(quán)限未失效。

定義9 客體安全向量定義為四元組 （C，I，PS）。obj∈OBJ，obj.c和obj.i分別表示客體的保密性標記和安全性標記；PS＝（AO∪｛｝，S）表示客體的保護態(tài)，其中AO是應(yīng)用對象集，表示客體的屬主，S＝ ｛no，public，protect，private｝是客體在其屬主內(nèi)部的狀態(tài)，obj∈OBJ，obj.ps.ao＝表示res不屬于任何應(yīng)用對象，如果-ao∈AO使得obj.ps.ao＝ao則表示obj是應(yīng)用對象ao的內(nèi)部客體；當且僅當obj.ps.ao＝時obj.ps.s＝no，否則obj.ps.s＝public表示obj處于公開態(tài)，obj.ps.s＝protect表示obj處于保護態(tài)，obj.ps.s＝private表示obj處于私有態(tài)。

約定3obj∈OBJ，若obj.b＝則稱obj是公共客體，否則稱其為非公共客體。

下面定義可信對象，用于完成動態(tài)授權(quán)和調(diào)整客體的保護態(tài)的特權(quán)操作。

定義10 可信角色是角色集合中的特殊元素，該角色擁有調(diào)整非公共客體的保護態(tài)以及授予應(yīng)用對象臨時權(quán)限的特權(quán)，可信角色記為tr。

定義11 用戶以tr登錄應(yīng)用系統(tǒng)后生成的主體集以及相關(guān)權(quán)限集和客體集的封裝體稱為可信對象，記為to。

針對可信角色和可信對象，提出以下3條假設(shè)：

假設(shè)1 可信角色分配給可信賴的用戶。

假設(shè)2 可信對象對應(yīng)的靜態(tài)代碼是經(jīng)過安全測評認證的，且靜態(tài)代碼的加載過程真實可信。

假設(shè)3 可信對象的行為規(guī)則是完備的，不存在安全漏洞。

1.3 安全規(guī)則

1.3.1 狀態(tài)轉(zhuǎn)換規(guī)則

規(guī)則1ao∈AO，當滿足以下條件之一時ao被掛起：

（1）-ao＇∈AO，ao→ao＇，且ao＇.state≠sdead；

（2）-ao＇∈AO，ao｜→ao＇，且ao＇.state≠fdead；

（3）-ao＇∈AO，aoao＇，且ao＇.state≠active；

（4）-ao＇∈AO，ao⊥ao＇，且ao＇.state＝active。

規(guī)則2ao∈AO，當滿足以下全部條件時被激活：

（1）-ao＇∈AO，ao→ao＇，且ao＇.state＝sdead；

（2）-ao＇∈AO，ao｜→ao＇，且ao＇.state＝fdead；

（3）-ao＇∈AO，aoao＇，且ao＇.state＝active；

（4）-ao＇∈AO，ao⊥ao＇，且ao＇.state≠active。

規(guī)則3ao∈AO，當且僅當滿足以下條件之一時被撤銷：

（1）ao的任務(wù)已經(jīng)完成；

（2）ao.t＞nt。

1.3.2 訪問控制規(guī)則

規(guī)則4obj∈OBJ，obj的安全向量按如下規(guī)則進行標記：

（1）若obj是由系統(tǒng)創(chuàng)建的公共客體，則在創(chuàng)建該客體時，按如下規(guī)則設(shè)置其安全向量：obj.ps.ao＝ ，obj.ps.s＝no，obj.c為最低保密級別，obj.i為最高完整性級別；

（2）若obj是由應(yīng)用對象創(chuàng)建的非公共客體 （假設(shè)obj由ao創(chuàng)建，ao∈AO），則在創(chuàng)建該客體時，按如下規(guī)則設(shè)置其安全向量：obj.c＝ao.r.c，obj.i＝ao.r.i，obj.ps.ao＝ao，obj.ps.s＝private；

（3）若 obj.ps.ao≠ ，則可信對象to可在 ｛public，protect，private｝范圍內(nèi)調(diào)整obj.ps.s的值；

（4）若obj是由應(yīng)用對象創(chuàng)建的非公共客體 （假設(shè)obj由ao創(chuàng)建，ao∈AO），則當ao被撤銷時，obj.ps.ao≠ ，obj.ps.s＝no。

規(guī)則5obj∈OBJ，若obj.ps.s＝public，則to可對obj進行保密性檢查或 （和）完整性檢查，并賦予特定角色以指定方式訪問obj的臨時權(quán)限。

規(guī)則6 允許ao對obj執(zhí)行r操作，當且僅當滿足下列條件之一：

（1）ao.state＝active∧obj.ps.ao＝∧ao.r.c≥obj.c∧ao.r.i≤obj.i；

（2）-ao＇∈AO，使得ao.state＝active∧obj.ps.ao＝ao＇∧obj.ps.s＝public∧ （（ao.r.c≥obj.c∧ao.r.i≤obj.i）∨ （ao.r.p＝ （r，obj，t）∧ao.r.p.t＜nt））；

（3）-ao＇∈AO，使得ao.state＝active∧obj.ps.ao＝ao＇∧obj.ps.s＝protect∧ （ao＇.r.d∠ao.r.d∨ao＇.r.d～ao.r.d）∧ao.r.c≥obj.c∧ao.r.i≤obj.i；

（4）ao.state＝active∧obj.ps.ao＝ao。

規(guī)則7 允許ao對obj執(zhí)行a操作，當且僅當滿足下列條件之一：

（1）ao.state＝active∧obj.ps.ao＝∧ao.c≤obj.c∧ao.i≥obj.i；

（2）-ao＇∈AO，使得ao.state＝active∧obj.ps.ao＝ao＇∧obj.ps.s＝public∧ （（ao.r.c≤obj.c∧ao.r.i≥obj.i）∨ （ao.r.p＝ （a，obj，t）∧ao.r.p.t＜nt））；

（3）-ao＇∈AO，使得ao.state＝active∧obj.ps.ao＝ao＇∧obj.ps.s＝protect∧ （ao＇.r.d∠ao.r.d∨ao＇.r.d～ao.r.d）∧ao.c≤obj.c∧ao.i≥obj.i；

（4）ao.state＝active∧obj.ps.ao＝ao。

規(guī)則8 允許ao對obj執(zhí)行w操作，當且僅當滿足下列條件之一：

（1）ao.state＝active∧obj.ps.ao＝∧ao.c＝obj.c∧ao.i＝obj.i；

（2）-ao＇∈AO，使得ao.state＝active∧obj.ps.ao＝ao＇∧obj.ps.s＝public∧ （（ao.r.c＝obj.c∧ao.r.i＝obj.i）∨ （ao.r.p＝ （w，obj，t）∧ao.r.p.t＜nt））；

（3）-ao＇∈AO，使得ao.state＝active∧obj.ps.ao＝ao＇∧obj.ps.s＝protect∧ （ao＇.r.d∠ao.r.d∨ao＇.r.d～ao.r.d）∧ao.r.c＝obj.c∧ao.r.i＝obj.i；

（4）ao.state＝active∧obj.ps.ao＝ao。

規(guī)則6～規(guī)則8蘊涵以下幾點：①任何應(yīng)用對象可訪問其內(nèi)部客體；②臨時權(quán)限只適用于訪問處于公開狀態(tài)的非公共客體；③任何處于保護態(tài)的客體只允許其屬主的上級或同事訪問；④任何處于私有態(tài)的客體只允許其屬主訪問。

2 模型安全性分析

BLP模型和Biba模型是訪問控制的經(jīng)典模型，分別用于解決保密性和完整性問題。下面通過證明AOOAC模型與BLP模型和Biba模型的符合性，分析該模型的安全性。

引理1 在不考慮臨時權(quán)限的情況下，AOOAC模型符合BLP模型。

證明：只須證明在不考慮臨時權(quán)限的情況下應(yīng)用對象的行為滿足ss－特性和＊－特性。

首先證明ss－特性。ss－特性要求主體對客體進行讀操作的充要條件是主體安全級支配客體安全級。下面對客體類型進行討論。①obj∈OBJ，若obj是由系統(tǒng)創(chuàng)建的公共客體，則根據(jù)規(guī)則4，obj擁有最低保密級別。因此ao∈AO，有ao.r.c≥obj.c，因此ao讀訪問obj符合ss－特性。②obj∈OBJ，若obj是由已死亡應(yīng)用對象創(chuàng)建的公共客體，則根據(jù)規(guī)則4，obj.ps.ao＝，obj.ps.s＝no，根據(jù)規(guī)則6和規(guī)則8，ao∈AO讀訪問obj的充要條件是ao.r.c≥obj.c∧ao.r.i≤obj.i，符合ss－特性。③obj∈OBJ，若obj是非公共客體，則 -ao′∈AO，obj.ps.ao＝ao′。此時，若obj.ps.s＝public，在不考慮臨時權(quán)限的情況下，根據(jù)規(guī)則6和規(guī)則8，ao∈AO讀訪問obj的充要條件是ao.r.c≥obj.c∧ao.r.i≤obj.i，符合ss－特性。若obj.ps.s＝protect，根據(jù)規(guī)則6和規(guī)則8，ao∈AO讀訪問obj的充要條件是 （ao′.r.d∠ao.r.d∨ao′.r.d～ao.r.d）∧ao.r.c≥obj.c∧ao.r.i≤obj.i，該條件是對ao.r.c≥obj.c∧ao.r.i≤obj.i的加強，因此也符合ss－特性。若obj.ps.s＝private，根據(jù)規(guī)則6和規(guī)則8，ao∈AO讀訪問obj的充要條件是ao＝ao′，根據(jù)規(guī)則4，obj.c＝ao′.r.c，因此符合ss－特性。綜上所述，AOOAC模型在不考慮臨時權(quán)限的情況下滿足ss－特性。

同理可證AOOAC模型在不考慮臨時權(quán)限的情況下滿足＊－特性。命題成立。

引理2 在不考慮臨時權(quán)限的情況下，AOOAC模型符合Biba模型。

證明：與引理1證明過程相似，略。

引理3 AOOAC模型中由臨時權(quán)限導(dǎo)致的逆向信息流不會破壞客體的保密性和完整性。

證明：由假設(shè)1－3可知命題成立。

引理4 AOOAC模型中非公共客體狀態(tài)調(diào)整不會破壞客體的保密性和完整性。

證明：由假設(shè)1－3可知命題成立。

定理1 AOOAC模型能保證客體的保密性和完整性。

證明：由引理1－4可知命題成立。

3 與同類模型的比較

AOOAC模型融合了基于任務(wù)的訪問控制、面向?qū)ο蟮脑L問控制和二維標識模型，本節(jié)簡單分析AOOAC模型對相關(guān)模型的優(yōu)勢。文獻 ［9］形式化描述了TBAC模型，文獻 ［10］研究了任務(wù)之間的依賴關(guān)系，文獻 ［11］在TBAC中引入了角色的概念。但是，上述文獻中存在的共同的問題是授權(quán)步、授權(quán)結(jié)構(gòu)體等抽象概念在具體實施時難以 “落地”。本文提出的AOOAC模型通過將任務(wù)實例映射為應(yīng)用對象較好的解決了這個問題。文獻 ［14－15］用面向?qū)ο蟮乃枷雽ο到y(tǒng)訪問控制因素進行抽象并提出訪問控制規(guī)則，但訪問控制規(guī)則只考慮了客體的歸屬而不考慮保密性和完整性因素。AOOAC模型提出的訪問控制規(guī)則以保密性和完整性標記作為訪問控制的主要因素，在此基礎(chǔ)上通過客體的歸屬和保護態(tài)對訪問行為作進一步的限制，增強了模型的安全性和適用性。文獻 ［3－5］研究了基于多級安全策略的二維標識模型，通過體調(diào)整客體的安全級別實現(xiàn)逆向信息流，這導(dǎo)致所有相關(guān)級別的主體都能訪問級別調(diào)整后的客體，這顯然不是級別調(diào)整的初衷。AOOAC模型的訪問控制規(guī)則對文獻 ［3－4］進行了兩點改進：①通過臨時授權(quán)實現(xiàn)逆向信息流。②通過客體的保護態(tài)對應(yīng)用對象的訪問行為作進一步的限制。這在很大程度上提高了模型的可用性和安全性。

4 結(jié)束語

本文將面向?qū)ο笏枷牒徒巧母拍钜隩BAC模型，提出了面向應(yīng)用對象的訪問控制模型。該模型將TBAC模型中工作流層面的任務(wù)和任務(wù)實例映射為信息系統(tǒng)層面的應(yīng)用類和應(yīng)用對象，解決了基于任務(wù)的訪問控制模型難以在現(xiàn)實系統(tǒng)中實施和缺少具體的安全規(guī)則等問題。將TBAC模型映射到AOOAC模型的前提條件是工作流程明確且相對固定，因此AOOAC模型并不是普適的，僅適用于人員可控、邊界明確、工作流程可預(yù)期的生產(chǎn)型信息系統(tǒng)。下一步的工作重點是研究可信對象的行為規(guī)則。

［1］HE Jian－bo，QING Si－h(huán)an，WANG Chao.Analysis of two improved BLP models［J］.Journal of Software，2007，18 （6）：1501－1509（in Chinese）.［何建波，卿斯?jié)h，王超.對兩個改進的BLP模型的分析［J］.軟件學(xué)報，2007，18 （6）：1501－1509.］

［2］ZHANG Xiang－feng，SUN Yu－fang.Dynamic enforcement of the strict integrity policy in Biba′s model ［J］.Journal of Computer Research and Development，2005，42 （5）：746－754 （in Chinese）.［張相鋒，孫玉芳.Biba模型中嚴格完整性政策的動 態(tài) 實 施 ［J］.計算機研究與發(fā)展，2005，42 （5）：746－754.］

［3］CAI Yi.Research on secure operating system for supporting trusted operating platform ［D］.Wuhan：Naval University of Engineering，2005：16－37 （in Chinese）.［蔡誼.支持可信操作平臺的安全操作系統(tǒng)研究 ［D］.武漢：海軍工程大學(xué)，2005：16－37.］

［4］LI Yifa，SHEN Chang－xiang.A new secure model of operating system ［J］.Science in China Ser E Information Sciences，2006，36 （4）：347－357 （in Chinese）.［李益發(fā)，沈昌祥.一種新的操作系統(tǒng)安全模型 ［J］.中國科學(xué) （E輯），2006，36（4）：347－356.］

［5］LIU Wei－peng，ZHANG Xing.Research of duality and multilevel security model based on intransitive noninterference theory［J］.Journal of Communications，2009，30 （2）：52－58 （in Chinese）.［劉威鵬，張興.基于非傳遞無干擾理論的二元多級安全模型研究 ［J］.通信學(xué)報，2009，30 （2）：52－58.］

［6］XIA Lei，HUANG Hao.Configure multi－level security policy using RBAC model ［J］.Application Research of Computers，2008，25 （3）：891－894 （in Chinese）.［夏磊，黃浩.一種使用RBAC模擬實施BLP的方法 ［J］.計算機應(yīng)用研究，2008，25 （3）：891－894.］

［7］ZHANG Hong－qi，ZHOU Jing，ZHANG Bin.Research of extension of static constraints mechanism in RBAC model ［J］.Journal of Beijing University of Posts and Telecommunication，2008，31 （3）：123－127 （in Chinese）.［張紅旗，周靖，張斌.RBAC模型中靜態(tài)約束機制的擴展 ［J］.北京郵電大學(xué)學(xué)報，2008，31 （3）：123－127.］

［8］XU Feng，LAI Hai－guang，HUANG Hao，et al.Serviceoriented role－based access control ［J］.Chinese Journal of Computers，2005，28 （4）：686－693 （in Chinese）.［許峰，賴海光，黃皓，等.面向服務(wù)的角色訪問控制技術(shù)研究 ［J］.計算機學(xué)報，2005，28 （4）：686－693.］

［9］DENG Ji－bo，HONG Fan.Task－based access control model［J］.Journal of Software，2003，14 （1）：76－82 （in Chinese）.［鄧集波，洪帆.基于任務(wù)的訪問控制模型 ［J］.軟件學(xué)報，2003，14 （1）：76－82.］

［10］ZHAO Yong，LIU Ji－qiang，HAn Zhen，et al.Research on access control model based on task ［J］.Computer Engerning，2008，34 （5）：28－30 （in Chinese）.［趙勇，劉吉強，韓臻，等.基于任務(wù)的訪問控制模型研究 ［J］.計算機工程，2008，34 （5）：28－30.］

［11］CHEN Wei－h(huán)e，YIN Xin－chun，MAO Bing，et al.A task and role based access control model for Web ［J］.Journal of Computer Research and Development，2004，41 （9）：1466－1473（in Chinese）.［陳偉鶴，殷新春，茅兵，等.基于任務(wù)和角色的雙重Web訪問控制模型 ［J］.計算機研究與發(fā)展，2004，41 （9）：1466－1473.］

［12］ZHENG Zhi－rong.Study on operating system security framework oriented for application object security ［D］.Wuhan：Naval University of Engineering，2005：15－17 （in Chinese）.［鄭志蓉.面向應(yīng)用對象安全的操作系統(tǒng)安全結(jié)構(gòu)框架研究［D］.武漢：海軍工程大學(xué)，2005：15－17.］

［13］XU Chun－gen，YAN Han，LIU Feng－yu.Formal specification for object－oriented model of role－based access control ［J］.Mini Micro Systems，2003，24 （5）：853－858 （in Chinese）.［許春根，嚴悍，劉鳳玉.對象式基于角色訪問控制模型的規(guī)范化 描述 ［J］.小 型微型 計算 機系統(tǒng)，2003，24 （5）：853－858.］

［14］ZI Xiao－chao，MAO Bing，XIE Li.Research on object－oriented access control model and its applications ［J］.Computer Applications and Software，2004，21 （1）：4－6 （in Chinese）.［訾小超，茅兵，謝立.面向?qū)ο笤L問控制模型的研究與實現(xiàn)［J］.計算機應(yīng)用與軟件，2004，21 （1）：4－6.］

［15］LIU Wei－wei.Mobile code security based on trusted computing technology ［D］.Beijing：Beijing Jiaotong University，2009：83－88（in Chinese）.［劉巍偉.基于可信計算技術(shù)的移動代碼安全研究 ［D］.北京：北京交通大學(xué)，2009：83－88.］