基于知识发现的风险最小化授权模型＊

2015-03-19何泾沙张伊璇及歆荣

计算机工程与科学 2015年11期

赵斌，何泾沙，张伊璇，及歆荣

（1.北京工业大学软件学院，北京100124；2.济宁学院计算机科学系，山东曲阜273155）

1 引言

访问控制技术是网络信息系统安全的核心技术之一，开放式网络环境下资源共享和安全访问的需求并存，对多网络系统的访问控制中访问主体权限进行统一的管理是十分必要的。为了解决访问控制中授权问题，研究者们进行了大量的研究。

访问控制作为解决云安全问题的关键技术，文献［1］分析了云计算环境下的访问控制体系架构，从访问控制模型、访问控制技术和授权问题等方面进行了综述。文献［2］通过比较分析已有的访问控制模型中关键技术，研究了开放式网络中访问主体和访问客体交互过程中，客体资源管理的重要性，指出客体资源管理是开放式网络环境中实现统一授权管理的基础。为了降低访问控制中安全管理的复杂性，文献［3］提出了在概念格的基础上的RBAC（Role Based Access Control）模型角色最小化问题及算法，发现满足概念格上最小权限原则的最小化角色集合。基于贝叶斯决策理论，文献［4］提出最小风险的本体映射模型，将映射发现问题转换成风险最小化问题，提供了一个多策略的本体映射方法。文献［5］从任务的角度来建立安全模型和实现安全机制，在任务处理的过程中提供了动态实时的安全管理。Ardagna C在文献［6］提出的基于位置的访问控制模型LBAC（Location Based Access Control）将位置信息整合到普通的访问控制模型中，在进行访问授权时能够考虑用户的位置因素。针对开放式网络环境用户和资源的高流动性，在传统RBAC的基础上，文献［7］提出了一种基于信任度的强性RBAC 模型，为用户分配合理的角色和权限，保证安全性授权。为解决访问控制中信任等级的细粒度区分，文献［8］提出了一个带属性策略的RBAC 权限访问控制模型，实现多方精确访问控制，保证了动态权限变化的适应能力及多方访问的权限控制能力。文献［9］采用本体映射技术提出了一种基于本体映射处理推荐信任信息的模型，实现开放分布式的网络环境中基于不同信任本体的各实体间的有效交互，满足实体间推荐信任信息的共享和交流。结合位置与身份分离映射理论，在分析了位置与身份分离协议中可能存在的映射欺骗威胁所带来的安全隐患的情况下，文献［10］提出了一种基于信任度模型的新型映射机制。为满足新兴的多媒体社交网络中访问控制问题，文献［11］提出了面向多媒体社交网络的访问控制模型，基于用户间的关系类型和信任度等因素，对用户请求进行授权的评估决策。基于角色的访问控制模型的基础上，文献［12］提出了多维动态权限控制模型RDRBAC，解决RBAC 中权限动态定制、冗余等问题。考虑普适计算环境下上下文对访问控制的影响，通过对传统的ECA 规则扩展，文献［13］提出了基于模糊理论ECA 规则的访问控制方法，解决授权和访问控制的自适性。文献［14］提出了基于属性的授权和访问控制机制，证明了它在开放式网络环境中的适应性，并给出了实现框架、属性管理和授权机制等。文献［15］提出了一个基于属性的ABAC（Attribute Based Access Control）模型，分析了模型中访问请求、属性权威、策略和判定过程之间的关系，并给出了一个访问控制判定过程可终止的一种特定条件。Bhatele A 等人在文献［16，17］中提出了一个基于多种启发式算法的并行程序自动映射框架。该框架通过程序剖面技术获取通信模式，然后分析通信模式并将其归类，最后根据通信模式的种类动态选择不同的启发式算法寻找最优进程拓扑映射。

信任量化与评估是实施访问控制的基础，信任与权限的映射是有效进行访问控制授权的关键。针对开放式网络下基于信任访问控制TBAC（Trust－Based Access Control）问题中的授权需求，依据粗糙集理论和最小风险贝叶斯决策理论，本文提出了基于知识发现的风险最小化授权（信任－权限）模型RMAM－KD（Risk Minimization Authorization Model based on Knowledge Discovery），对模型元素、关系、约束和规则、授权策略进行了形式化定义。

2 RMAM－KD 授权模型构建及形式化描述

2.1 RMAM－KD授权模型构建

RMAM－KD 授权模型是在TBAC 的基础上引入信任和风险的概念，将交互中涉及到的属性及其信任值和风险值作为授权判断的重要参考依据。基于知识发现风险最小化授权（信任－权限）模型如图1所示。基于粗糙集的知识发现，综合利用所有交互属性（实体属性和网络属性）进行授权映射的知识发现（映射发现），依据贝叶斯决策理论将信任与权限映射问题转换成风险最小化问题。该模型在基于信任的访问控制实体交互过程中涉及到访问控制授权策略中的客体属性和其它相关属性及其关系的描述，依据属性及其信任决定访问主体的访问权限。属性描述及属性信任值是基于信任的访问控制中表达和实施访问控制策略的必要依据，授权策略基于主、客体的属性，同时还受到信任和最小风险等条件的约束。其主要思想：

（1）当网络中实体发生交互时，访问客体根据访问主体的请求，获取当前交互涉及的网络环境属性、访问主体属性等相关属性及其信任值。

（2）在访问主体请求访问客体时，将请求的权限分解为原子权限，从信任－权限数据表中进行原子权限与属性及其信任值的映射知识发现，根据映射规则，获得预测映射关系。

Figure 1 Risk minimization authorization（trust－permission）model based on knowledge discovery图1 基于知识发现风险最小化授权（信任－权限）模型

（3）首先，对预测映射关系中属性组合和其信任值等进行判断，当所有属性及其信任满足授权条件时，依据信任－权限策略，对访问主体进行预授权，若该预测映射关系中属性组合和其信任值等信息不成立，则主体和客体可以通过协商方式获得授权所需条件，直到预授权或拒绝。

（4）依次进行权限组合，由原子权限通过组合获得组合权限，从信任－权限数据表中进行组合权限与属性及其信任值的映射知识发现，根据映射规则，获得预测映射关系，转到（3）。

（5）通过授权约束对所有预先授权进行评估，依据授权约束策略实体间的关系，通过风险最小化下映射的优化策略进行最优综合授权决策。给出本次交互的最终授权。

（6）在主体访问客体的过程中，通过对相关属性和主体行为进行周期性的监控，实时、动态发现、获取属性和行为的变化情况，并进行量化和评估，从而动态调整客体对主体的授权，从而有效抑制主体的非法操作和恶意行为。

在特定的授权过程中，将信任引入到交互实体的授权中来，客体获得主体准确、客观的信任信息，将会提高授权的准确性。信任是客体对主体及其相互之间在多个评价指标的综合量化与评估，是由直接信任和间接信任进行融合得到的。信任的评估与量化机制在文献［18］中进行了详细的分析和介绍。

2.2 RMAM－KD授权模型形式化描述

2.2.1 模型的基本元素

（1）主体集S：S表示访问主体集合，s表示访问主体（s∈S）；s是交互行为的发起者，通常是指用户、进程或代理等。

（2）客体集O：O表示访问客体集合，o表示访问客体（o∈O）；o是交互行为的承受者，通常是指信息、资源和服务等。

（3）权限集P：P表示客体对主体的权限许可集合，p表示某一操作的权限许可（p∈P），通常是指读、写、删等执行操作。

（4）属性集A：A表示交互中涉及实体及其交互网络环境的特征，a表示某一实体属性（a∈A），包括主体（A（S））、客体（A（O））和网络环境（A（E））及其属性，A＝A（S）∪A（O）∪A（E）。

（5）信任集T：T表示实体及其属性的可信程度，t表示某一实体及其属性的信任（t∈T），包括主体、客体和网络环境及其属性的信任。

（6）约束集C：C表示交互过程中对授权涉及到的元素的约束集合，c表示某一约束（c∈C），包括预先授权约束、属性约束、信任约束、时间约束、一致性约束、静态职责分离约束、动态职责分离约束等。

（7）策略集Poli：Poli表示实体应满足的授权条件集合，poli表示某一授权条件（poli∈Poli），包括授权策略、属性－权限策略、信任－权限策略、风险－映射的优化策略。

2.2.2 关系

（1）实体与属性的关系：是多对多的关系，表示为EAR⊆Entity×A，一个实体可以对应多个属性，一个属性也可对应多个实体。形式化表示为：

①EAR＿Entity（a）＝｛entity∈Entity｜（entity，a）∈EAR｝，a∈A。表示返回的是拥有属性所有实体的集合。

②EAR＿Attribute（entity）＝｛a∈A｜（entity，a）∈EAR｝，entity∈Entity。表示返回的是实体拥有所有属性的集合。

（2）权限与属性的关系：是多对多的关系，表示为PAR⊆P×A，一个权限或权限组合可以有多个属性及属性组合，一个属性及属性组合也可对应多个权限或权限组合，形式化表示为：

①PAR＿Perm（a）＝｛p∈P｜（p，a）∈PAR｝，a∈A。表示返回的是关联属性所有权限许可的集合。

②PAR＿Attribute（p）＝｛a∈A｜（p，a）∈PAR｝，p∈P。表示返回的是权限许可关联到的所有属性的集合。

（3）属性与信任的关系：是多对多的关系，表示为ATR⊆P×A，属性在不同的交互过程中对应的信任是不同的，因此属性可以在不同的交互场景中有不同的信任。形式化表示为：

①ATR＿Attribute（t）＝｛a∈A｜（t，a）∈ATR｝，t∈T。表示返回的是信任关联到的所有属性的集合。

②ATR＿Trust（a）＝｛t∈T｜（t，a）∈ATR｝，a∈A。表示返回的是关联属性所有信任的集合。

（4）权限与信任的关系：是多对多的关系，表示为PTR⊆P×A，权限许可可以对应不同的信任组合。形式化表示为：

①PTR＿Perm（t）＝｛p∈P｜（t，a）∈PTR｝，t∈T。表示返回的是与信任相关联的所有权限许可的集合。

②PTR＿Trust（p）＝｛t∈T｜（t，a）∈PTR｝，p∈P。表示返回的是与权限许可相关联的所有信任的集合。

（5）主体、权限、客体间的关系：是由主体、客体、属性和信任决定，表示为SPOR⊆S×P×O×A×T。形式化表示为：∪｛p∈P｜s∈S，o∈O，t∈T，（（s，a）∧（o，a）∈EAR）∧（（p，a）∈PAR）∧（（a，t）∈ATR）∧（（p，t）∈PTR）｝

2.2.3 约束与规则

约束是授权的前提条件，在客体对主体授权过程中有着重要的先决作用。主要用于防止恶意实体节点的不诚信访问行为（实体间的联合欺诈、越权访问等）造成的不当授权。同样，在一个访问控制系统中，权限、实体等之间存在发生冲突的可能性。RMAM－KD 模型涉及到的约束主要有：预先授权约束、属性约束、信任约束、时间约束、一致性约束、静态职责分离约束、动态职责分离约束等。在RMAM－KD 模型中加入这些约束条件对实施安全有效的访问控制起决定作用，因此在RMAMKD 模型需要加入相关的约束条件来提高系统的安全性。

规则是约束的抽象表示和描述。冲突的类型有如下分类：

（1）实体冲突。若两个实体拥有相冲突的权限许可，则称为两个实体冲突；若实体间存在不诚信的访问行为影响信任的评估的真实性，则称为该实体冲突，由发生冲突的实体组成的集合是冲突实体集CES。

（2）信任冲突。若一次有效交互中，同一属性存在不同的信任，称为信任冲突；若两个冲突属性在交互环境下所评估出的两个信任，由于信任与属性的直接依赖关系而造成信任之间间接的依赖关系，导致信任冲突。信任冲突构成的相应集合称为冲突信任集CTS。

（3）权限冲突。若同一个实体执行两个权限操作存在风险（如联合欺诈等）或许可冲突，则称为权限冲突。由冲突权限组成的集合是冲突权限集合CPS。

（4）属性冲突。若同一实体的两个属性会造成该实体获得相冲突的权限许可，则称为这两个属性冲突。若两个属性有冲突的信任，也称为两个属性冲突；由冲突属性组成的集合是冲突属性集合CAS。

下面给出KAAM－RS模型中与授权相关的约束规则的定义。

定义1 实体间关系：

实体相容：如果entity1，entity2∈Entity，p∈P，若实体entity1和entity2在交互中可以同时拥有p权限许可，则称实体entity1和entity2相容；

实体相斥：如果entity1，entity2∈Entity，p∈P，若实体entity1和entity2在交互中不能同时拥有p权限许可，则称实体entity1和entity2相斥。

定义2 属性间关系：

属性相容：如果a1，a2∈A，p∈P，若属性a1和a2在交互中可以能够同时与权限许可p关联，则称a1和a2相容；

属性相斥：如果a1，a2∈A，p∈P，若属性a1和a2在交互中不能够同时与权限许可p关联，则称a1和a2相斥。

定义3 权限间关系：

权限相容：如果p1，p2∈P，entity∈Entity，若许可p1和p2在交互中可以能够同时被实体entity拥有，则称p1和p2相容；

权限相斥：如果p1，p2∈P，entity∈Entity，若许可p1和p2在交互中不能够同时被实体entity拥有，则称p1和p2相斥。

根据上述定义对KAAM－RS模型中需要的约束进行形式化描述如下：

（1）预先授权约束规则。

在交互过程中，当所有属性a及其信任t满足授权条件为true时，客体o赋予主体s访问预先权限P。描述如下：

Pro＿assigned＿Perm（s，o，P）＝true∧（∀p1∈P，p2∈P，﹁（p1∈CPS∧p2∈CPS））

（2）属性约束规则。

在交互过程中，当所有授权相关的条件为true时，假设属性a1和a2是授权决策相关联的两个属性，则属性a1和a2不能属于同一冲突属性集合。描述如下：

Assigned＿Attr（s，o，A）＝true∧（∀a1∈A，a2∈A，﹁（a1∈CAS∧a2∈CAS））

（3）信任约束规则。

在交互过程中，在所有授权相关的条件为true的情况下，客体在对主体进行信任量化和评估时，所涉及到的实体不能是冲突实体集中的实体，同一个属性不能同时拥有不同的信任。描述如下：

Assigned＿Eval（s，o，T，Entity）＝true∧（∀t1∈T，t2∈T，﹁（t1∈CTS∧t2∈CTS））∧（∀entity1∈Entity，entity2∈Entity，﹁（entity1∈CES∧entity2∈CES））

（4）时间约束规则。

在交互过程中，在所有授权相关的条件为true的情况下，当客体对主体进行信任量化与评估涉及到的实体的最近最久访问时间窗口wtime不能超过系统设置值Wtime，主体对客体授权的拥有时间OwnTime（P）不能超过系统设定的最大时间周期PTime。描述如下：

Assigned＿TimeCons（s，o，wtime，ptime，P）＝ture∧（∀wtime∈Wtime）∧∀ptime∈PTime，ptime⊆PTime

（5）一致性约束规则。

一致性约束是指保证在一次有效的交互监控周期内，属性、信任和授权的一致性。即每隔一定的时间间隔或一次新交互开始时，客体根据主体访问请求进行一次对主体的重新评估，这样即有效控制了授权的风险，又实现了动态合理的授权。ai→t表示属性ai对应的信任t。描述如下：

∀i，j，i≠j，p＿i≠p＿j；∀i，j，i＝j，p＿i＝p＿j；

∀i，j，i≠j，a＿i≠a＿j；∀i，j，i＝j，a＿i＝a＿j；

∀i，j，i＝j，a＿i→t＝a＿j→t

（6）静态职责分离约束规则。

静态职责分离是在建模时就确定的约束（预先授权约束），静态职责分离是在时间上对最小特权原则的扩展，强化对主体权限许可的限制，一个主体不能分配二个互斥的权限，在为实体静态关联相关的属性及其信任时，不能够将冲突的属性关联。

（7）动态职责分离约束规则。

动态职责分离在交互周期内用于限制实体属性，冲突的属性在同一交互中不能同时被关联，实体及其属性信任的量化和评估在有效的时间约束内进行。动态职责分离是在交互进行时，根据交互环境实时判断实体权限许可的合法性。

2.2.4 授权策略

访问控制中授权策略是准确授权决策的基本依据，访问控制策略是授权的重要依据。在实体交互过程中，在遵守各种约束和规则的前提下，客体通过各种策略的优化匹配、评估和选择，给予主体准确授权。从授权策略的实施过程可以分为权限－属性策略、信任－权限策略和风险最小化下映射的优化策略三个阶段。权限－属性策略和信任－权限策略作为访问控制策略的基本策略，在访问控制过程中起到了决定作用，风险最小化下映射的优化策略通过对授权的风险评估，将客体对主体的授权风险降到最低。

（1）权限－属性策略。

权限－属性策略是定义从主体的访问请求中解析出权限许可与决策属性之间的映射关系。在实体交互过程中，权限－属性策略是客体对主体进行权限许可的前提条件。

Γ（pi｜pi∈P）→Γ′（ai｜ai∈A）；

consi＝true；

p1∪p2∪…∪pj∈P；

a1∪a2∪…∪aj∈A

pi作为原子权限或组合权限，且∀i，j，i≠j，pi≠pj；ai作为原子权限或组合权限在权限－属性映射表中对应的属性及属性组合；consi表示该映射对应的相关权限、属性等约束和规则。

当实体发生交互时，客体通过解析主体的访问请求信息获取与授权相关的主体属性、环境属性以及客体属性等决策信息，经过信任的量化与评估机制对主体及其相关属性进行量化，最终客体对主体授权的所依据的信任关系都必须是以上信息相关信任关系的子集。

（2）信任－权限策略。

信任－权限策略是客体依据主体及其属性的信任对主体进行预授权的条件。在实体交互过程中或交互过程后，信任－权限策略是客体对主体权限许可更细粒度控制的基本依据。

客体在获得授权相关信任信息后，通过信任－权限的信任条件满足情况判断是否对主体进行预授权；当主体及其相关属性的信任不足以满足授权的信任条件时，拒绝预授权，当主体及其相关属性的信任可以满足授权的信任条件时，进行预授权操作。

（3）风险最小化下映射的优化策略。

在实体交互过程中，我们如果将信任作为客体对主体授权的第一道过滤机制，那么，可以将风险最小化下映射的优化策略作为客体对主体进行的第二道过滤机制。风险最小化下映射的优化策略为每个满足信任－权限的授权映射策略提供一个风险函数。风险函数的作用：一是选择成功通过信任－权限的授权映射作为最终的授权许可映射；二是如果成功通过信任－权限的授权映射均低于设定的风险阈值，则主体将不能获得资源客体的最终权限许可。

MiniRisk（）表示最小化的风险函数，是指发现具有风险最小化的授权决策行为；作为原子权限或组合权限对应的属性信任的量化和评估结果；pi作为原子权限或组合权限，且∀i，j，i≠j，pi≠pj；consi表示该映射对应的相关权限、属性、信任等授权约束和规则。

3 应用实例和安全性分析

3.1 授权策略的应用实例

在一个开放性的社交网络中，存在三个网络用户实体E1、E2、E3，假设实体间所有的交互行为都发生在有效的时间窗口内，实体E1和E2作为访问主体，同时发出对实体E3交互请求p1和p2，实体E3作为访问客体，对实体E1和E2提交的访问请求p1和p2进行判断，作出授权决策。系统风险阈值ε＝0.7，实体在交互期间满足约束条件的情况下无冲突发生。

访问授权规则如表1所示，通过基于粗糙集的授权规则的知识发现算法得到的预授权规则为表2所示，依据最小风险贝叶斯决策理论，实体E3对访问实体E1和E2的访问请求p1和p2通过进行风险函数的计算，分别得到风险值为（1.1，0.82）、（0.68，1.88），因此，实体E3对实体E2访问请求进行授权许可。因此可见，通过约束策略将风险最小化下映射的优化策略分析应用于信任到权限的映射问题，可以有效提高授权的安全性。

Table 1 Access permission decision（decision attribute－access permission）表1 访问许可决策（决策属性－权限许可）表

Table 2 Knowledge rules of authorization based on rough sets表2 基于粗糙集方法提取的授权知识规则

表1中，U＝3表示信任未知，T＝4表示信任，GT＝5 表示比较信任，BT＝6 表示非常信任，FT＝7表示完全信任；Si表示对DA的访问控制策略规则。Y代表赋权，N代表拒绝。

3.2 RMAM－KD特点及安全性分析

（1）最小特权原则。

RMAM－KD 模型支持最小特权原则，在RMAM－KD 模型中，实体与属性相对应，当实体及其属性的信任符合授权策略时，主体才拥有对客体的访问许可。所以，最小特权原则就细化到属性信任一级。由于主体对客体的访问许可是按最小特权原则来指定的，所以，客体只要赋予主体执行的权限许可，主体就应该拥有权限所需要属性信任，否则，就不能保证主体对客体资源的正常访问，主体的访问权限就会被撤消。

（2）职责分离原则。

职责分离原则沿用NIST RBAC 模型中的定义［19］，静态职责分离是在建模时就确定的约束（预先授权约束），动态职责分离是在交互进行时，根据交互环境实时判断实体权限许可的合法性。在职责分离原则的应用中，静态职责分离不如动态职责分离灵活，动态职责分离增加了系统开销（实现的复杂度、支行负载等），但二者的共同协作达到了RMAM－KD 模型中的安全授权目的。

（3）安全性分析。

在RMAM－KD 模型中，引入属性－信任对权限进行细粒度划分，提高了授权的精度和安全性；同时引入授权的风险函数为客体对主体的授权又添加了一层安全保护，有效地保证对客体资源的安全访问，加入访问时间约束限制能够更好地支持动态的授权机制。RMAM－KD 模型的安全性是保证安全有效实施访问控制授权的前提，为保证实体间正确授权的实施，对RMAM－KD 模型的安全性进行理论分析。

借助于有限状态机FSM（Finite State Machine）［20］模拟该系统，将RMAM－KD 模型系统定义为九元组RMAM－KD（S，O，P，A，Poli，C，Risk，V，F）。其中，V为模型系统的有限状态集，F为状态转换函数，其余状态变量定义同上。

（1）定义安全状态v。系统状态的安全性取决于当前状态下访问控制中的授权策略Poli和约束规则C是否得到满足。如果，∃v∈V是安全的，则模型系统是安全的。

（2）定义状态转换函数F。状态转换函数F的转换是由当前执行的操作和授权约束决定的，如果，∃v∈V是安全的，在此状态的授权约束下的一系列操作也是安全的，则状态转换函数决定进入系统的下一个状态F′也是安全的。

因此，当且仅当∀v∈V是安全的，则F→F′也是安全的；如果F→F′是安全的，当前授权操作的约束规则得到满足，则进入的下一个系统状态也是安全的。所以，RMAM－KD 模型系统是安全的。

最后，将提出的RMAM－KD 授权模型从功能特点和安全机制等方面与传统、典型的访问控制授权策略进行比对分析，如表3所示。

传统、典型的访问控制授权多数选择静态、粗粒度的授权策略，缺少对实体和网络属性的分析与评价，无法满足开放式网络环境下随着网络环境的变化对实体动态授权的安全需求。RMAM－KD 授权模型考虑了现有授权模型的不足，引入信任和风险的概念，基于粗糙集理论和最小风险贝叶斯决策理论构建了一个动态的、自适的、细粒度的访问控制授权模型，消除各种冲突的情况下，有效保证了授权的安全性。

4 结束语

访问控制问题是网络安全研究中需要解决的一个重要问题，作为网络安全的一个重要研究内容，网络中对用户的合理授权管理在保证网络资源合法使用方面起重要作用，是网络安全研究的关键问题之一。

Table 3 Authorization policy comparison of the RMAM－KD and the typical and traditional access control model表3 RMAM－KD与传统、典型的访问控制授权策略进行比对分析

访问控制授权策略包含三个基本要素：访问主体、客体和访问权限。本文提出在基于信任的访问控制中基于知识发现的最小风险授权模型，给出了授权映射模型的组成元素概念、关系、授权约束及其规则、相关操作及模型的安全性分析。该模型在基于信任的访问控制实体交互过程中涉及到访问控制授权策略中的客体属性和其它相关属性及其关系的描述，依据属性及其信任决定访问主体的访问权限。属性描述及属性信任值是基于信任的访问控制中表达和实施访问控制策略的必要依据，授权策略基于主、客体的属性，同时还受到信任和最小风险等条件的约束。引入属性－信任对权限进行细粒度划分，提高了授权的精度和安全性；同时引入授权的风险函数为客体对主体的授权又添加了一层安全保护，有效地保证对客体资源的安全访问，加入访问时间约束限制能够更好地支持动态的授权机制。

信任作为对实体进行可信程度评价的标准，将信任引入授权管理，根据信任的动态变化而动态地（自适应）调整其访问权限，对于确保网络安全具有重要现实意义。

［1］ Wang Yu－ding，Yang Jia－hai，Xu Cong，et al.Survey on access control technologies for cloud computing［J］.Journal of Software，2015，26（5）：1129－1150.（in Chinese）

［2］ Wang Ting，Chen Xing－yuan，Zhang Bin，et al.Research of resource management in authorization and access control technology［J］.Journal of Chinese Computer Systems，2011，32（4）：619－625.（in Chinese）

［3］ Zhang Lei，Zhang Hong－li，Han Dao－jun，et al.Theory and algorithm for roles minimization problem in RBAC based on concept lattice［J］.Acta Electronica Sinica，2014，42（12）：2371－2378.（in Chinese）

［4］ Tang Jie，Liang Bang－yong，Li Juan－zi，et al.Automatic ontology mapping in semantic web［J］.Chinese Journal of Computers，2006，29（11）：1956－1976.（in Chinese）

［5］ Thomas R，Sandhu R.Task－based authorization controls（TBAC）：A Family of models for active and enterprise oriented authorization management［C］∥Proc of the 11th IFIP WG11.3Conference on Database Security，1997：166－181.

［6］ Ardagna C，Cremonini M，Damiani E，et al.Supporting location－based conditions in access control policies［C］∥Proc of the 2006ACM Symposium on Information，Computer and Communications Security（ASIACCS’06），2006：212－222.

［7］ Deng Wen－yang，Zhou Zhou－yi，Lin Si－ming，et al.An RBAC model based on trust degree in open environment［J］.Computer Engineering，2013，39（2）：112－118.（in Chinese）

［8］ Li Wei－guan，Zhao Feng－yu.RABC permission access control model with attribute policy［J］.Journal of Chinese Computer Systems，2013，34（2）：328－331.（in Chinese）

［9］ Bao Yi－ping，Zhang Wei－ming，Yao Li.Model for processing recommendatory trust information based on ontology mapping［J］.Computer Science，2009，36（6）：185－187.（in Chinese）

［10］ Wan Ming，Liu Ying，Zhang Hong－ke.New mapping approach based on reputation model underlocator/ID separation protocol［J］.Journal on Communications，2011，32（7）：133－145.（in Chinese）

［11］ Chen Qing－li，Zhang Zhi－yong，Xiang Fei，et al.Research on the access control model for multimedia social networks［J］.Journal of Xidian University，2014，41（6）：181－187.（in Chinese）

［12］ Zhang Zhu，Zhang Bo－feng，Zheng Jian－xing.Access control model RDRBAC based on dynamic policy［J］.Computer Engineering and Applications，2015，51（9）：103－106.（in Chinese）

［13］ Zhang Li－chen，Wang Xiao－ming，Dou Wen－yang，et al.Access control method based on fuzzy ECA rules for pervasive computing environments［J］.Computer Science，2013，40（2）：78－83.（in Chinese）

［14］ Shen Hai－bo，Hong Fan.Research on attribute－based authorization and access control［J］.Computer Applications，2007，27（1）：114－117.（in Chinese）

［15］ Li Xiao－feng，Feng Deng－guo，Chen Zhao－wu，et al.Model for attribute based access control［J］.Journal on Communications，2008，29（4）：90－98.（in Chinese）

［16］ Bhatele A.Automating topology aware mapping for supercomputers［D］.Illinois：Deparment of Computer Science，University of Illinois，2010.

［17］ Bhatele A，KaléL V.An evaluative study on the effect of contention on message latencies in large supercomputers［C］∥Proc of the 23th IEEE International Parallel ＆Distributed Processing Symposium（IPDPS），2009：1－8.

［18］ Zhao Bin，He Jing－sha，Zhang Yi－xuan，et al.Scheme for dynamic access control based on trust［J］.Journal of Beijing University of Technology，2014，40（9）：1422－1427.（in Chinese）

［19］ Ravi S，David F，Richard K.The NIST model for rolebased access control towards a unified standard［C］∥Proc of the 5th ACM Workshop on Role－based Access Control，2000：47－63.

［20］ Klimowicz A S，Solov’ev V V.Structural models of finitestate machines for their implementation on programmable logic devices and systems on chip［J］.Journal of Computer and Systems Sciences International，2015，54（2）：230－242.

附中文参考文献：

［1］王于丁，杨家海，徐聪，等.云计算访问控制技术研究综述［J］.软件学报，2015，26（5）：1129－1150.

［2］王婷，陈性元，张斌，等.授权与访问控制中的资源管理技术研究综述［J］.小型微型计算机系统，2011，32（4）：619－625.

［3］张磊，张宏莉，韩道军，等.基于概念格的RBAC 模型中角色最小化问题的理论与算法［J］.电子学报，2014，42（12）：2371－2378.

［4］唐杰，梁邦勇，李涓子，等.语义Web中的本体自动映射［J］.计算机学报，2006，29（11）：1956－1976.

［7］邓文洋，周洲仪，林思明，等.开放式环境下一种基于信任度的RBAC模型［J］.计算机工程，2013，39（2）：112－118.

［8］李唯冠，赵逢禹.带属性策略的RBAC 权限访问控制模型［J］.小型微型计算机系统，2013，34（2）：328－331.

［9］鲍翊平，张维明，姚莉.一种基于本体映射处理推荐信任信息的模型［J］.计算机科学，2009，36（6）：185－187.

［10］万明，刘颖，张宏科.位置与身份分离协议下一种基于信任度模型的新型映射机制［J］.通信学报，2011，32（7）：133－145.

［11］陈庆丽，张志勇，向菲，等.面向多媒体社交网络的访问控制模型［J］.西安电子科技大学学报（自然科学版），2014，41（6）：181－187.

［12］张柱，张博锋，郑建兴.基于动态策略的RDRBAC权限访问控制模型［J］.计算机工程与应用，2015，51（9）：103－106.

［13］张立臣，王小明，窦文阳，等.普适计算环境下基于模糊ECA 规则的访问控制方法［J］.计算机科学，2013，40（2）：78－83.