魯劍鋒，劉華文，王多強(qiáng)

(1.浙江師范大學(xué)數(shù)理與信息工程學(xué)院，浙江 金華 321004;2.華中科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，湖北 武漢 430074)

訪問(wèn)控制是保證網(wǎng)絡(luò)安全的核心技術(shù)之一，它允許被授權(quán)的主體對(duì)某些客體進(jìn)行訪問(wèn)，同時(shí)拒絕向非授權(quán)的主體提供服務(wù)［1］。根據(jù)應(yīng)用背景的不同，訪問(wèn)控制可以有不同的實(shí)現(xiàn)策略，如自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制策略等。隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益凸顯，訪問(wèn)控制策略的思想和方法迅速擴(kuò)散到各個(gè)信息系統(tǒng)領(lǐng)域，新的訪問(wèn)控制策略不斷涌現(xiàn)出來(lái)，傳統(tǒng)的分類方法已經(jīng)不能體現(xiàn)出最新的研究成果。筆者首先從訪問(wèn)控制策略研究的發(fā)展進(jìn)程出發(fā)，回顧幾種傳統(tǒng)的分類方法，指出其不足之處，并引出一種新的分類方法。隨后，按照該分類方法，介紹幾種具有代表性的訪問(wèn)控制策略，分析各自的優(yōu)缺點(diǎn)和適應(yīng)環(huán)境。

1 訪問(wèn)控制策略的分類方法

由于訪問(wèn)控制類型與訪問(wèn)控制目的和應(yīng)用范圍密切相關(guān)，合理的分類將有助于訪問(wèn)控制策略的研究。研究人員在早期通常采用ISO標(biāo)準(zhǔn)制定訪問(wèn)控制分類方法，將訪問(wèn)控制策略分為:①自主訪問(wèn)控制(DAC)。主體可以自主地將擁有的對(duì)客體的訪問(wèn)權(quán)限授予其他主體。②強(qiáng)制訪問(wèn)控制(MAC)。依據(jù)主體和客體的安全等級(jí)來(lái)決定主體是否擁有對(duì)客體的訪問(wèn)權(quán)限。主體和客體都具有固定的安全等級(jí)，這些安全等級(jí)只能由策略管理員或系統(tǒng)設(shè)定。

隨著訪問(wèn)控制系統(tǒng)規(guī)模的擴(kuò)大以及復(fù)雜程度的提高，傳統(tǒng)的將權(quán)限直接指派給主體的方法效率低下，越來(lái)越多的策略通過(guò)中間實(shí)體間接實(shí)現(xiàn)主體與權(quán)限之間的指派關(guān)系。因而，可以依據(jù)主體與權(quán)限之間的指派關(guān)系，將訪問(wèn)控制策略分為:①直接訪問(wèn)控制。通過(guò)主體與權(quán)限的直接關(guān)聯(lián)實(shí)現(xiàn)訪問(wèn)控制;②間接訪問(wèn)控制。主體與客體并不直接關(guān)聯(lián)，而是通過(guò)中間實(shí)體來(lái)間接實(shí)現(xiàn)主體與客體之間的關(guān)聯(lián)。直接訪問(wèn)控制策略適用于主體和客體規(guī)模較小的應(yīng)用環(huán)境，DAC和MAC都屬于直接訪問(wèn)控制策略。間接訪問(wèn)控制策略則具有一定的彈性，能夠適應(yīng)主體和客體規(guī)模較大的應(yīng)用環(huán)境，如基于角色的訪問(wèn)控制(RBAC)。

隨著分布式應(yīng)用技術(shù)的廣泛使用，分布式系統(tǒng)的規(guī)模呈幾何級(jí)數(shù)增長(zhǎng)。在分布式環(huán)境中，訪問(wèn)控制是保證分布式系統(tǒng)之間進(jìn)行安全互操作的關(guān)鍵問(wèn)題之一。早期的訪問(wèn)控制策略無(wú)法滿足互操作需求，這時(shí)涌現(xiàn)出一批適應(yīng)于分布式環(huán)境下的訪問(wèn)控制策略。依據(jù)訪問(wèn)控制策略對(duì)分布式管理的支持程度，可將訪問(wèn)控制策略分為:①集中式訪問(wèn)控制。該策略的授權(quán)與權(quán)限管理都集中在一個(gè)控制中心上完成，不支持分布式授權(quán);②分布式訪問(wèn)控制。它主要指能夠支持分布式授權(quán)以及權(quán)限管理的訪問(wèn)控制策略，如基于角色映射的多域互操作策略。

訪問(wèn)控制技術(shù)經(jīng)過(guò)近40年的蓬勃發(fā)展，不斷涌現(xiàn)出新的訪問(wèn)控制策略，傳統(tǒng)的分類方法早已不能體現(xiàn)出其研究現(xiàn)狀和最新研究成果。在傳統(tǒng)的訪問(wèn)控制系統(tǒng)中，主體的權(quán)限往往一經(jīng)授權(quán)便可無(wú)限次使用，難以適應(yīng)網(wǎng)絡(luò)環(huán)境的動(dòng)態(tài)變化。而網(wǎng)絡(luò)環(huán)境的一個(gè)顯著特點(diǎn)就是動(dòng)態(tài)性和不確定性，因而在訪問(wèn)控制系統(tǒng)中能夠根據(jù)上下文環(huán)境的動(dòng)態(tài)變化進(jìn)行動(dòng)態(tài)授權(quán)就顯得格外重要。依據(jù)訪問(wèn)控制過(guò)程中，主體權(quán)限是否能夠發(fā)生動(dòng)態(tài)更新，可將訪問(wèn)控制策略分為:①被動(dòng)訪問(wèn)控制。主體權(quán)限在訪問(wèn)控制過(guò)程中不能發(fā)生動(dòng)態(tài)更新;②主動(dòng)訪問(wèn)控制?？紤]到操作的上下文，根據(jù)訪問(wèn)控制上下文環(huán)境的動(dòng)態(tài)變化采用動(dòng)態(tài)授權(quán)。如UCON(Usage Control)策略，在整個(gè)訪問(wèn)控制過(guò)程中，主體的權(quán)限根據(jù)主體、客體，以及系統(tǒng)屬性的更新而發(fā)生動(dòng)態(tài)變化。

2 被動(dòng)訪問(wèn)控制策略

2.1 自主訪問(wèn)控制策略

DAC是根據(jù)自主訪問(wèn)控制思想建立的一種策略，允許合法用戶以用戶或用戶組的身份訪問(wèn)策略規(guī)定的客體，同時(shí)阻止非授權(quán)用戶或用戶組的訪問(wèn)，某些用戶甚至還可以自主地把自己所擁有的對(duì)某客體的操作權(quán)限授予其他用戶。DAC最早出現(xiàn)在20世紀(jì)70年代初期的分時(shí)系統(tǒng)中，由LAMPSON針對(duì)當(dāng)時(shí)多用戶計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)保護(hù)而提出［2］，是多用戶環(huán)境中的一種訪問(wèn)控制方式。1972年，GRAHAM和DENNING建立了大量的規(guī)則使得自主控制中對(duì)象所有者可以對(duì)其他主體進(jìn)行授權(quán)［3］。

DAC策略對(duì)用戶提供了靈活的數(shù)據(jù)訪問(wèn)方式，使得DAC廣泛應(yīng)用在商業(yè)和工業(yè)環(huán)境中。Linux、Unix和WindowsNT等操作系統(tǒng)都提供了自主訪問(wèn)控制的功能。然而DAC根據(jù)主體的身份和授權(quán)來(lái)決定訪問(wèn)模式，信息在移動(dòng)過(guò)程中主體可能會(huì)將訪問(wèn)權(quán)限傳遞給其他主體，使訪問(wèn)權(quán)限關(guān)系發(fā)生改變。由于權(quán)限可以任意傳遞，一旦訪問(wèn)權(quán)限被傳遞出去將難以控制，無(wú)法阻擋特洛伊木馬的攻擊，給系統(tǒng)帶來(lái)嚴(yán)重的安全問(wèn)題。另外，如果主、客體數(shù)量過(guò)于龐大，采用DAC策略將帶來(lái)極大的系統(tǒng)開(kāi)銷，因此其很少被應(yīng)用到當(dāng)今大型訪問(wèn)控制系統(tǒng)中。

2.2 強(qiáng)制訪問(wèn)控制策略

MAC是一種基于格的訪問(wèn)控制(LBAC)或多級(jí)安全策略［4］。MAC的本質(zhì)是通過(guò)無(wú)法回避的存取限制來(lái)阻止直接或間接的非法入侵。它的兩個(gè)關(guān)鍵規(guī)則是:不向上讀和不向下寫，即信息流只能從低安全級(jí)流向高安全級(jí)，任何違反非循環(huán)信息流的行為都是被禁止的。MAC系統(tǒng)中的主、客體都被分配了一個(gè)固定的安全屬性。安全屬性由策略管理員強(qiáng)制分配，主體不能改變自身或其他主、客體的安全屬性。在實(shí)施訪問(wèn)控制時(shí)，系統(tǒng)通過(guò)對(duì)訪問(wèn)主體和受控對(duì)象的安全屬性的級(jí)別進(jìn)行比較，從而決定訪問(wèn)主體能否訪問(wèn)該受控對(duì)象。MAC保障了信息的機(jī)密性，卻對(duì)完整性有所忽視。然而網(wǎng)絡(luò)環(huán)境對(duì)信息完整性需求較高，使得MAC難以被較好地應(yīng)用到當(dāng)今網(wǎng)絡(luò)中。此外，MAC對(duì)系統(tǒng)的授權(quán)管理比較僵硬，缺乏靈活性，應(yīng)用領(lǐng)域較狹窄，通常只應(yīng)用于對(duì)安全性需求非常高的領(lǐng)域，如軍方信息系統(tǒng)。

2.3 基于角色的訪問(wèn)控制策略

基于角色的訪問(wèn)控制這一概念最早由FERRAIOLO等于1992年提出［5］。1996年，SANDHU等按照策略的復(fù)雜程度，將RBAC策略分為4類，即基于角色的訪問(wèn)控制策略(RBAC0)、具有角色層次的訪問(wèn)控制策略(RBAC1)、具有約束的RBAC策略(RBAC2)和統(tǒng)一角色層次和約束的訪問(wèn)控制策略(RBAC3)，統(tǒng)稱為RBAC的參考策略［6］。2001年FERRAIOLO等對(duì)RBAC策略的各種描述方法進(jìn)行了總結(jié)，并結(jié)合RBAC的管理策略，提出了NIST RBAC的標(biāo)準(zhǔn)草案［7］。該標(biāo)準(zhǔn)綜合了該領(lǐng)域眾多研究者的研究成果，描述了RBAC系統(tǒng)最基本的特征，旨在提供一個(gè)權(quán)威可用的RBAC參考規(guī)范，為RBAC的進(jìn)一步研究指明了方向。2004年，ANSI提出的RBAC標(biāo)準(zhǔn)對(duì)RBAC策略及其管理策略中的函數(shù)等進(jìn)行了規(guī)范說(shuō)明［8］。

RBAC策略的基本思想是通過(guò)引入角色這一中介，將權(quán)限直接指派給角色而不是用戶，用戶通過(guò)角色指派獲取對(duì)客體的操作權(quán)限，實(shí)現(xiàn)用戶與權(quán)限的邏輯分離。推動(dòng)RBAC發(fā)展的動(dòng)力是在簡(jiǎn)化安全策略管理的同時(shí)，允許靈活地定義安全策略。這一點(diǎn)使得在過(guò)去的幾年中，無(wú)論是對(duì)RBAC理論研究還是實(shí)際應(yīng)用都有了很大的發(fā)展。目前，RBAC已被廣泛應(yīng)用到各個(gè)領(lǐng)域，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、PKI(public key infrastructure)、工作流管理系統(tǒng)和Web服務(wù)等。

3 主動(dòng)訪問(wèn)控制策略

3.1 基于任務(wù)的訪問(wèn)控制策略

為了解決隨著任務(wù)的執(zhí)行而進(jìn)行動(dòng)態(tài)授權(quán)的安全保護(hù)問(wèn)題，THOMAS等在1993年首次提出了基于任務(wù)的訪問(wèn)控制(TBAC)思想［9］，并于1994年給出了TBAC策略的概念基礎(chǔ)［10］，最后在1997年明確提出了TBAC策略［11］。TBAC策略是從應(yīng)用和企業(yè)層角度來(lái)解決安全問(wèn)題，以面向任務(wù)的觀點(diǎn)，從任務(wù)(活動(dòng))的角度來(lái)建立安全策略和實(shí)現(xiàn)安全機(jī)制，在任務(wù)處理的過(guò)程中提供動(dòng)態(tài)實(shí)時(shí)的安全管理。TBAC首先要考慮的是如何在工作流環(huán)境中對(duì)信息進(jìn)行保護(hù)。在工作流環(huán)境中，數(shù)據(jù)的處理與上一執(zhí)行步驟的處理緊密相關(guān)，相應(yīng)的訪問(wèn)控制也應(yīng)如此，因而TBAC是一種基于上下文的訪問(wèn)控制策略，同時(shí)也是一種基于實(shí)例的訪問(wèn)控制策略。COULOURIS等結(jié)合 RBAC和TBAC策略，提出了基于角色和任務(wù)的訪問(wèn)控制策略(T-RBAC)［12］。隨后，OH 等對(duì) T-RBAC策略逐步完善，并進(jìn)行了深入研究［13］。陳偉鶴等在T-RBAC策略的基礎(chǔ)上，提出了一種Web環(huán)境中基于角色和任務(wù)的雙重訪問(wèn)控制策略，該策略能夠滿足大規(guī)模Web應(yīng)用環(huán)境中的訪問(wèn)控制需求［14］。尹建偉等提出了一個(gè)能夠支持安全約束的 TBAC 策略［15］。

3.2 基于時(shí)間的訪問(wèn)控制策略

BERTINO等于2000年提出基于時(shí)間的角色訪問(wèn)控制(TRBAC)［16］。該策略支持角色的周期使能和角色激活的時(shí)序依賴關(guān)系，策略中的沖突依靠定義行為的優(yōu)先級(jí)得以解決。TRBAC策略是RBAC策略在時(shí)間上較為系統(tǒng)的擴(kuò)展，具有形式化的語(yǔ)義等特點(diǎn)，但對(duì)于時(shí)間的支持上還存在著許多不足之處。因此，JOSHI等提出了通用的基于時(shí)間的角色訪問(wèn)控制(GTRBAC)策略［17］。較之TRBAC，GTRBAC策略支持更加廣泛的時(shí)間約束，能夠表達(dá)角色之間、用戶-角色關(guān)系和角色-權(quán)限關(guān)系上周期性、持續(xù)性的關(guān)系。此外，GTRBAC具有表達(dá)角色層次和職責(zé)分離在時(shí)間上的細(xì)粒度約束。隨后 JOSHI等［18］就GTRBAC策略中的時(shí)間角色層次、權(quán)限繼承的語(yǔ)義和GTRBAC的表達(dá)能力進(jìn)一步深入研究，分析了GTRBAC的應(yīng)用背景以及設(shè)計(jì)理念。X-GTRBAC基于GTRBAC策略［19］，并利用XML對(duì)其進(jìn)行擴(kuò)展，用一種獨(dú)立于上下文的語(yǔ)法(X-Grammar)表達(dá)該策略，提出了實(shí)現(xiàn)GTRBAC策略中的臨時(shí)約束的語(yǔ)法、語(yǔ)義結(jié)構(gòu)，使該策略框架可以應(yīng)用于分布式異構(gòu)環(huán)境［20］。

3.3 基于空間的訪問(wèn)控制策略

基于空間的訪問(wèn)控制策略(LBAC)與其他訪問(wèn)控制策略的本質(zhì)區(qū)別是:主體對(duì)客體的訪問(wèn)權(quán)取決于客體所處的空間位置以及主體能否通過(guò)某種路徑進(jìn)入到客體所處的空間位置，即為空間方法?；诳臻g的訪問(wèn)控制策略由兩個(gè)關(guān)鍵部件組成:邊界和訪問(wèn)圖［21］。邊界是基于空間的訪問(wèn)控制策略的最基本部件，它提供了一種將虛擬空間分割成互不相同區(qū)域的方式［22］。訪問(wèn)圖提供了一個(gè)區(qū)域互聯(lián)的概要視圖，被用于推導(dǎo)處于一個(gè)區(qū)域中的用戶是否可以訪問(wèn)處于另一區(qū)域中的對(duì)象。該策略的基本思想是:為了穿越邊界，從一個(gè)區(qū)域進(jìn)入到另一個(gè)區(qū)域，用戶必須擁有適當(dāng)?shù)男湃螤睿@些信任狀將被提交給邊界，用于決定是否可以穿越該邊界?；诳臻g的訪問(wèn)控制策略為組訪問(wèn)提供支持，提供常見(jiàn)的集合、最大、最小和組結(jié)構(gòu)等組訪問(wèn)。基于空間的訪問(wèn)控制策略存在的主要缺陷是難以提供細(xì)粒度的訪問(wèn)控制。通常的訪問(wèn)控制粒度過(guò)于粗糙，處在同一個(gè)區(qū)域中的用戶具有的訪問(wèn)權(quán)限相同。并且當(dāng)某個(gè)邊界發(fā)生變化時(shí)，有可能對(duì)多個(gè)區(qū)域中的用戶對(duì)其他多個(gè)區(qū)域中對(duì)象的訪問(wèn)造成影響，這種影響通常是難以評(píng)估的。

3.4 使用控制策略

使用控制(UCON)策略的概念［23］在2002年首次被提出。該策略引入了可變屬性，實(shí)現(xiàn)了連續(xù)性控制，這是UCON區(qū)別于傳統(tǒng)訪問(wèn)控制策略的典型特征。UCON定義了授權(quán)、義務(wù)和條件3個(gè)決定性因素，同時(shí)提出了存取控制的連續(xù)性和可變性兩個(gè)重要屬性。UCON策略不僅包含了RBAC等傳統(tǒng)訪問(wèn)控制策略，而且還包含了數(shù)字版權(quán)管理、信任管理等，涵蓋了現(xiàn)代商務(wù)和信息系統(tǒng)需求中的安全和隱私這兩個(gè)重要的問(wèn)題。UCON策略為研究下一代訪問(wèn)控制提供了一種新方法，因而被稱作下一代訪問(wèn)控制策略。根據(jù)UCON策略的核心思想，SANDHU等提出UCONABC核心策略［24-25］。隨后又以集合謂詞論為主要的描述工具，通過(guò)謂詞考察策略的內(nèi)部結(jié)構(gòu)和邏輯關(guān)系，進(jìn)而對(duì)策略進(jìn)行全面、準(zhǔn)確地了解，為策略的進(jìn)一步完善與實(shí)現(xiàn)奠定了良好的理論基礎(chǔ)。然而UCONABC核心策略是一個(gè)高度抽象的策略，僅僅提出了一些核心概念，需要進(jìn)一步完善。研究人員分別從授權(quán)語(yǔ)言［26-27］、時(shí)態(tài)性［28］、安全性分析［29］和互操作［30］等方面對(duì) UCONABC核心策略進(jìn)行了拓展研究。

4 結(jié)論

20世紀(jì)70年代以來(lái)，各種訪問(wèn)控制策略被依次提出，這些策略都為網(wǎng)絡(luò)安全的實(shí)現(xiàn)提供了較好的解決途徑。筆者提出了一種新的訪問(wèn)控制策略分類方法，并分別介紹了幾種有代表性的訪問(wèn)控制策略。新的分類方法能夠體現(xiàn)出訪問(wèn)控制策略的研究現(xiàn)狀和最新研究成果。

［1］林莉，懷進(jìn)鵬，李先賢.基于屬性的訪問(wèn)控制策略合成代數(shù)［J］.軟件學(xué)報(bào)，2009，20(2):403-414.

［2］LAMPSON B W.Protection［J］.ACM Operating Systems Reviews，1974，8(l):18-24.

［3］GRAHAM G S，DENNING P J.Protection-principles and practice［J］.AFIPS Spring Joint Computer Conferenee，1972(40):417-429.

［4］吳新松，周洲儀，賀也平.基于靜態(tài)分析的強(qiáng)制訪問(wèn)控制框架的正確性驗(yàn)證［J］.計(jì)算機(jī)學(xué)報(bào)，2009，32(4):730-739.

［5］FERRAIOLO D，KUHN D R.Role-based access control［C］//15th National Computer Security Conf.Baltimore:［s.n.］，1992:554-563.

［6］SANDHU R S，COYNE E J，F(xiàn)EINSTEIN H L，et al.Role-based access control models［J］.IEEE Computer，1996，29(2):38-47.

［7］FERRAIOLO D F，SANDHU R S，GAVRILA S.Proposed NIST standard for role-based access control［J］.ACM Transaction on Information and Systems Security，2001，4(3):224-274.

［8］ANSI.American national standard for information technology-role based access control［C］//ANSI INCITS 359-2004.［S.l.］:［s.n.］，2004:3-11.

［9］THOMAS R K，SANDHU R S.Towards a task-based paradigm for flexible and adaptable access control in distributed applications［C］//Proceedings on the 1992-1993 Workshop on New SecurityParadigms.［S.l.］:［s.n.］，1993:138-142.

［10］THOMAS R K，SANDHU R S.Conceptual foundations for a model of task-based authorizations［C］//7th IEEE ComputerSecurityFoundationsWorkshop.［S.l.］:［s.n.］，1994:66-79.

［11］THOMAS R K，SANDHU R S.Task-based authentication controls(TBAC):a family of models for active and enterprise-oriented authentication management［C］//Proceedings of the IFIP WG11.3 Workshop on Database Security.［S.l.］:［s.n.］，1997:166-181.

［12］COULOURIS G，DOLLIMORE J，ROBERTS M.Role and task-based access control in the perdis groupware platform［J］.ACM Workshop on Role-based Access Control，1998(1):115-121.

［13］OH S，PARK S.Task-role based access control model［J］.Journal of Information Systems，2003，28(6):533-562.

［14］陳偉鶴，殷新春，茅兵，等.基于任務(wù)和角色的雙重Web訪問(wèn)控制模型［J］.計(jì)算機(jī)研究與發(fā)展，2004，41(9):1466-1473.

［15］尹建偉，徐爭(zhēng)前，馮志林，等.增強(qiáng)權(quán)限約束支持的基于任務(wù)訪問(wèn)控制模型［J］.計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào)，2006，18(1):143-149.

［16］BERTINO E，BONATTI P A，F(xiàn)ERRARI E.TRBAC:a temporal role-based access control model［J］.ACM Transactions on Information and System Security，2000，3(3):191-233.

［17］JOSHI J B D.A generalized temporal role-based access control model［J］.IEEE Transactions on Knowledge and Data Engineering，2005，17(1):4-23.

［18］JOSHI J B D，BERTINO E，GHAFOOR A.An analysis of expressiveness and design issues for the generalized temporal role-based access control model［J］.IEEE Transactions on Dependable and Secure Computing，2005，2(2):157-175.

［19］BHATTI R，JOSHI J B D，BERTINO E，et al.XGTRBAC admin:a decentralized administration model for enterprise wide access control［C］//9th ACM Symposium on Access Control Models and Technologies.New York:［s.n.］，2004:78-86.

［20］KERN A.Advanced features for enterprise-wide role-based access control［C］//18th Annual Computer Security Applications Conference.［S.l.］:［s.n.］，2002:333-341.

［21］張宏，賀也平，石志國(guó).一個(gè)支持空間上下文的訪問(wèn)控制形式模型［J］.中國(guó)科學(xué)(E輯:信息科學(xué)):2007，32(2):254-271.

［22］郭淵博，王超，王良民.UC安全的空間網(wǎng)絡(luò)雙向認(rèn)證與密鑰協(xié)商協(xié)議［J］.電子學(xué)報(bào)，2010，38(10):2358-2364.

［23］PARK J，SANDHU R.Towards usage control models:beyond traditional access control［C］//7th ACM Symposium on Access Control Models and Technologies.［S.l.］:［s.n.］，2002:21-30.

［24］PARK J，SANDHU R.The UCONABC usage control model［J］.ACM Transactions on Information and Systems Security，2004，7(1):128-174.

［25］ZHANG X，PARISI-PRESICCE F，SANDHU R，et al.Formal model and policy specification of usage control［J］.ACM Transactions on Information and Systems Security，2005，8(4):325-354.

［26］TEIGAO R，MAZIERO C，SANTIN A.A grammar for specifying usage control policies［C］//ICC 2007 Proceedings.［S.l.］:［s.n.］，2007:251-274.

［27］鐘勇，秦小麟，鄭吉平，等.一種靈活的使用控制授權(quán)語(yǔ)言框架研究［J］.計(jì)算機(jī)學(xué)報(bào)，2006，29(8):1407-1418.

［28］ZHAO B X，SANDHU R，ZHANG X W，et al.Towards a times-based usage control model［C］//LNCS 4602.［S.l.］:［s.n.］，2007:227-242.

［29］ZHANG X，SANDHU R.Safety analysis of usage control authorization models［C］//1st ACM Symposium on Information，Computer and Communication Security.Taipei:［s.n.］，2006:21-24.

［30］初曉博，秦宇.一種基于可信計(jì)算的分布式使用控制系統(tǒng)［J］.計(jì)算機(jī)學(xué)報(bào)，2010，33(3):93-102.