郭德彪，陳衛(wèi)兵，王金燕，周 穎，彭志香

（湖南工業(yè)大學(xué) 計(jì)算機(jī)與通信學(xué)院，湖南 株洲 412007）

1 背景知識(shí)

開放環(huán)境下，智能終端系統(tǒng)用戶變動(dòng)頻繁、無法事先獲得用戶的身份，給用戶身份安全管理及隱私保護(hù)帶來巨大挑戰(zhàn)。在系統(tǒng)資源緊張的智能終端中（例如分布嵌入式系統(tǒng)），復(fù)雜的安全策略及可信度量方法限制了這些系統(tǒng)的應(yīng)用范圍。針對(duì)這些問題，國(guó)內(nèi)外諸多學(xué)者使用不同方法擴(kuò)展了基于角色的訪問控制（role-based access control，RBAC）模型[1-6]，以增強(qiáng)開放式環(huán)境下基于傳統(tǒng)RBAC模型[7-8]的平臺(tái)安全性。

一些學(xué)者提出使用基于證書的訪問控制模型增強(qiáng)平臺(tái)的安全管理[9-12]，但基于證書的機(jī)制不保證在證書發(fā)布期間載體行為和功用的一致性，也無法保障證書本身的獲得途徑合法；同時(shí)，基于訪問控制的證書機(jī)制不記錄用戶行為，它根據(jù)證書呈遞的一個(gè)特殊會(huì)話給予相應(yīng)權(quán)限，具有二值性的缺陷。因此，有學(xué)者提出基于可信的訪問控制模型，此模型通過信任度量動(dòng)態(tài)升降用戶權(quán)限克服了基于證書的訪問控制模型的上述缺點(diǎn)，信任度量值的計(jì)算根據(jù)終端對(duì)自身度量及第三方聲譽(yù)[13]。

J.W.Woo 等人[14]提出了一個(gè)擴(kuò)展的RBAC模型，通過判斷用戶可信值是否大于預(yù)先設(shè)定的閾值來決定是否授予權(quán)限。H.Takabi等人[15]定義了用戶可信度及角色需求可信度，并定義只有當(dāng)用戶可信度大于或等于角色需求可信度時(shí)才能分配角色。Qureshi Basit等人[16]給出了一種可信度量機(jī)制，該機(jī)制避免了因網(wǎng)絡(luò)中節(jié)點(diǎn)間的第三方信譽(yù)造假而模型容易被攻陷的現(xiàn)象。SudipChakraborty等人[17]將可信關(guān)系集成在RBAC中，并提出了TrustBAC模型，該模型先給用戶分配可信級(jí)，然后根據(jù)可信級(jí)與角色映射并分配權(quán)限，用戶只有通過提升可信值才能提升角色集權(quán)限。TrustBAC模型能夠動(dòng)態(tài)地對(duì)角色進(jìn)行分配，克服了RBAC模型的動(dòng)態(tài)性及監(jiān)管性不足的缺陷。LiLei等人[18]提出用一種模糊回歸可信度量方法預(yù)測(cè)用戶的可信性關(guān)系，該方法可以避免基于可信分級(jí)的環(huán)境適應(yīng)性帶來的誤導(dǎo)問題。CarlesMartinez-García等人[19]基于一種類似角色扮演的訪問控制機(jī)制提出了FRBAC模型，模型內(nèi)部角色是可進(jìn)化的，因而增強(qiáng)了模型的安全性。A.ElHusseini等人[23]結(jié)合EC-SAKA協(xié)議提出一種適用于智能環(huán)境下低資源系統(tǒng)使用的可信度量機(jī)制，具有信任度量簡(jiǎn)單的優(yōu)點(diǎn)。

上述模型及所用度量機(jī)制，或用戶角色不可進(jìn)化，動(dòng)態(tài)性差[13-15,23]，或未考慮用戶信任需求[17,19]，或度量機(jī)制復(fù)雜[16,18,20-22]，均不適合在資源緊張的智能終端上使用。因此，為解決上述問題，本文提出一種基于輕量級(jí)可信度量機(jī)制的智能終端安全模型stTLM，該模型通過對(duì)任務(wù)安全分級(jí)及集成獎(jiǎng)懲機(jī)制，可提供細(xì)粒度的安全訪問授權(quán)性能，具有優(yōu)異的環(huán)境適應(yīng)性及動(dòng)態(tài)性能。

2 stTLM安全模型

2.1 形式化說明

stTLM安全模型如圖1所示。

圖1 stTLM模型Fig.1Model of stTLM

stTLM模型定義了元素集及元素集之間的關(guān)系。元素包括下列類型：用戶、可信級(jí)、角色、會(huì)話、操作、客體、權(quán)限及約束。

定義1stTLM模型元素的形式化定義如下：

1）用戶 USERS ={user1, user2, …, usern}，用戶的概念是指具有自主能力的實(shí)體，包括其它系統(tǒng)、有自主能力的程序及自然人。

用戶集U指正獲取系統(tǒng)服務(wù)的用戶集合。集成在模型中的管理員Admin是一個(gè)特殊的用戶，擁有所有權(quán)限。

2）可信級(jí) TRUST_LEVELS={TL|TL[0,1]}，是[0,1]之間的一個(gè)動(dòng)態(tài)可變的實(shí)數(shù)。一個(gè)用戶在特定時(shí)刻根據(jù)會(huì)話擁有一個(gè)可信級(jí)。

3）角色 ROLES = {role1, role2, …, rolen}，系統(tǒng)根據(jù)用戶的可信級(jí)賦予角色集，角色R是指相同語義職責(zé)關(guān)聯(lián)的工作職能。

4）會(huì)話 SESSIONS = {session1, session2, …,sessionn}，會(huì)話S對(duì)應(yīng)于一個(gè)用戶和一組可信級(jí)，表示用戶獲取可信級(jí)的過程。

一個(gè)用戶可進(jìn)行多次會(huì)話，在每次會(huì)話中獲得不同可信級(jí)。擁有不同的可信級(jí)意味著擁有不同的訪問權(quán)限。

5）客體 O = {object1, object2, …, objectn}，客體是一個(gè)可操作的數(shù)據(jù)集合，是系統(tǒng)可支配資源的一部分。

6）操作 A = {read, write, execute, …}，是程序操作的一個(gè)鏡像。

7）約束 C定義為施用于模型元素之間的斷言，返回一個(gè)接受與否的量。可將其視為施用元素關(guān)系或元素分配的條件。

8）權(quán)限 P=2(O×A)，在系統(tǒng)中執(zhí)行特定任務(wù)的授權(quán)。權(quán)限總是和角色聯(lián)系在一塊，即權(quán)限賦予角色特定的權(quán)利。權(quán)限類型取決于應(yīng)用系統(tǒng)，模型本身并不作任何假設(shè)。

定義2stTLM模型元素之間的關(guān)系定義如下。

1）sua 定義了根據(jù)一個(gè)用戶u屬性P分配會(huì)話s的關(guān)系，sua(u, P, s)=sP。在一次訪問過程中，用戶u可能會(huì)發(fā)起多次會(huì)話s。

6）RD=ROLES×ROLES為角色的支配關(guān)系，表示為≤。對(duì)任何(r1,r2)RD，僅當(dāng)Assigned_Permissions(r1)Assigned_Permissions(r2)時(shí)，稱為 r2≤ r1。

7）PD=PERMISSION×PERMISSION，為權(quán)限的支配關(guān)系，表示為≤。對(duì)于任何(p1,p2) PD，Assigned_TrustLevels(p1)Assigned_TrustLevels (p2)時(shí)，稱為p2≤p1。

8）Assigned_Roles函數(shù) TRUST_LEVELS→2ROLES指定可信級(jí)與角色之間的映射關(guān)系。形式表示為Assigned_Roles(TL)={rROLES｜(r, TL)RTA}。

9）Assigned_Permission函數(shù) ROLES→ 2PERMISSIONS指定角色與權(quán)限之間的映射關(guān)系。形式表示為Assigned_Permission(r) ={pPERMISSIONS｜(p, r)PA}。

約束constraints除了對(duì)分配函數(shù)進(jìn)行限制外，也對(duì)訪問控制策略及可信度量策略進(jìn)行限制，系統(tǒng)可以根據(jù)具體需求對(duì)模型約束進(jìn)行適當(dāng)擴(kuò)展及細(xì)化。本文提出的輕量級(jí)可信度量機(jī)制中，可以對(duì)任務(wù)安全因子及獎(jiǎng)懲因子進(jìn)行約束。這樣做的目的是，既保證了任務(wù)安全的細(xì)粒度，同時(shí)增強(qiáng)了度量機(jī)制的動(dòng)態(tài)性。

2.2 訪問控制管理

stTLM模型綜合授權(quán)函數(shù)、訪問控制策略以及可信度量策略，決策一個(gè)訪問用戶是否被允許訪問相關(guān)客體。

當(dāng)訪問發(fā)生時(shí)，模型會(huì)根據(jù)被嚴(yán)密保護(hù)的訪問歷史記錄和推薦，計(jì)算出訪問用戶的可信值。用戶的可信值將傳遞給訪問控制管理，以作為決策的依據(jù)。訪問控制管理根據(jù)訪問控制策略及約束服務(wù)，使用授權(quán)函數(shù)為用戶分配角色和權(quán)限。用戶在系統(tǒng)中的行為會(huì)被記錄，非法行為會(huì)使用戶的可信級(jí)降低。根據(jù)訪問控制策略，當(dāng)更新后的用戶可信級(jí)很低而無法獲得訪問權(quán)限時(shí)，將導(dǎo)致用戶正在進(jìn)行的或后續(xù)的訪問請(qǐng)求被拒絕。因此，模型的安全性均及動(dòng)態(tài)性可以得到保障。模型訪問控制管理框架如圖2所示。

訪問控制機(jī)制的本質(zhì)是通過限制用戶動(dòng)作以保護(hù)系統(tǒng)資源，即只允許用戶在限定的訪問控制策略下實(shí)施特定任務(wù)。使用stTLM安全模型用作訪問控制時(shí)，用戶每次訪問被允許前會(huì)先進(jìn)行授權(quán)，授權(quán)依據(jù)是用戶可信級(jí)值是否大于規(guī)定值?？尚偶?jí)值只有大于規(guī)定值，訪問才被允許。同樣，在會(huì)話過程中訪問控制策略會(huì)動(dòng)態(tài)驗(yàn)證授權(quán)及存取函數(shù)是否滿足條件。若不滿足這些條件，訪問將被立刻禁止。用戶被允許訪問后，系統(tǒng)將為一個(gè)用戶立即激活一個(gè)會(huì)話。在會(huì)話期間，用戶擁有一個(gè)動(dòng)態(tài)可信級(jí)，能夠使用與之關(guān)聯(lián)的角色。一個(gè)角色可以被多個(gè)用戶使用，這些用戶的權(quán)限相同。因此，用戶可以通過可信級(jí)度量獲得一個(gè)角色，執(zhí)行該角色限定權(quán)限內(nèi)的操作。

圖2 模型訪問控制管理過程Fig.2Management process of access control in stTLM

從用戶角度分析，stTLM模型工作流圖的基本過程如圖3所示。

圖3 stTLM模型工作流圖Fig.3Workflow diagram of stTLM model

用戶（user）第一次接入系統(tǒng)（system）時(shí)，系統(tǒng)注冊(cè)用戶并生成會(huì)話實(shí)例（session）。系統(tǒng)根據(jù)用戶提供的公開屬性P，使用sua函數(shù)啟用會(huì)話sP并激活對(duì)用戶u可信關(guān)系度量。系統(tǒng)根據(jù)計(jì)算的可信級(jí)值T(system→user)=tl，使用函數(shù)Assigned_Roles確定用戶user可以使用的角色role。role可以有多個(gè)，對(duì)任意一個(gè)角色rolei，user都有一個(gè)對(duì)應(yīng)的權(quán)限集pj，即j,( pj, ri)PA。因此，在會(huì)話session中，用戶user擁有權(quán)限集∪iAssigned_Permissions(rolei)=∪1≤i≤n｛pij｜( pi, rolei)PA｝。用戶user被限定只能在權(quán)限滿足條件下才能對(duì)客體O執(zhí)行操作A，即(o,a)O×A，(o,a)pij。用戶user對(duì)被允許的客體上動(dòng)作會(huì)被記錄在會(huì)話session中。對(duì)可信級(jí)重新評(píng)估時(shí)，動(dòng)作歷史會(huì)作為評(píng)估信息來源，更新的可信級(jí)值tl′會(huì)重新保存在session中。模型集成一個(gè)超級(jí)管理員system_admin，它能根據(jù)預(yù)定義的訪問控制策略及可信度量策略對(duì)模型進(jìn)行管理，可禁止類似拒絕服務(wù)攻擊（DoS）的訪問請(qǐng)求。

3 可信級(jí)度量

由圖2可知，在stTLM模型中，可信級(jí)的度量是一個(gè)核心機(jī)制。為適應(yīng)在資源緊缺的智能終端中使用模型，提出了一個(gè)具有細(xì)粒度安全特性的輕量級(jí)度量機(jī)制——sTrust。該機(jī)制度量組件構(gòu)成如表1所示，可信級(jí)TL的度量包括直接可信DT及間接可信IT兩部分。與其它度量機(jī)制[20-23]不同的是，直接知識(shí)和間接知識(shí)組件允許擴(kuò)展。直接知識(shí)是節(jié)點(diǎn)根據(jù)歷史對(duì)自身的直接推測(cè)，不僅包括信譽(yù)組件RE還包括直接不確定性組件DU。同理，間接知識(shí)是節(jié)點(diǎn)對(duì)歷史和推薦的間接推測(cè)，包括趨勢(shì)組件TR和間接不確定性組件IU。

表1 可信度量機(jī)制組件sTrustTable1Component of sTrust scheme

使用sTrust評(píng)估實(shí)體間的可信關(guān)系過程中始終遵循準(zhǔn)則1和定義3，可信（不可信）的概念與SudipChakraborty等[17]給出的定義相同。

準(zhǔn)則1 與可信關(guān)系度量時(shí)刻間隔越小，對(duì)可信關(guān)系度量值的權(quán)重影響越大。

定義3 可信（不可信）定義為在特定上下文中實(shí)體安全可靠動(dòng)作的（不）勝任能力。

在特定的上下文c中，實(shí)體A對(duì)B的信任度量用T(A→B)=DT(A→B), IT(A→B)表示，其中，DT(A→B)為直接可信度量值，IT(A→B)為間接可信度量值。可信度量值可用式（1）表示

T(A→B)[0,1]∪{⊥}，0表示完全不可信，1表示完全可信，⊥表示無定義。無定義意味著在度量時(shí)間間隔內(nèi)，系統(tǒng)沒有可度量的事件發(fā)生。

權(quán)值向量W元素分別為直接可信和間接可信權(quán)重?？尚哦攘康幕A(chǔ)是對(duì)事件性質(zhì)的判定, 事件性質(zhì)由定義4確定。令表示在第i個(gè)時(shí)間間隔內(nèi)第k個(gè)事件，若LT,則=0；若HT，則=1。表示在第i個(gè)時(shí)間間隔內(nèi)的所有的事件和值，令ni，lai，hai分別表示在第i個(gè)時(shí)間間隔內(nèi)度量事件總數(shù)（一般可信事件不參與度量）、低可信事件個(gè)數(shù)及高可信時(shí)間個(gè)數(shù)，顯然ni=lai+hai。特別地，當(dāng)ni=0時(shí)，T{⊥}。

定義4T(A→B)(0, 0.5) 表示低可信級(jí)LT(A→B)；T(A→B)=0.5表示一般可信級(jí)MT(A→B)；T(A→B)(0.5,1)表示高可信級(jí) HT(A→B)。

為表述方便，除特殊說明外，下文中對(duì)度量關(guān)系的表述均指實(shí)體A對(duì)實(shí)體B的度量關(guān)系，例如T(A→B)將簡(jiǎn)化描述為T。直接可信是實(shí)體根據(jù)經(jīng)驗(yàn)E和直接知識(shí)DK對(duì)自己的度量。在本文中，直接知識(shí)主要指信譽(yù)RE。

權(quán)值wE, wDK滿足關(guān)系wE+wDK=1。經(jīng)驗(yàn)的度量值由式（3）確定：

直接知識(shí)包括信譽(yù)及直接不確定兩部分

信譽(yù)是對(duì)客體以往訪問的一個(gè)記錄評(píng)價(jià)，當(dāng)對(duì)任務(wù)的安全需求較高時(shí)對(duì)信譽(yù)評(píng)估更加嚴(yán)格。信譽(yù)值的評(píng)估定義為式（4）：

sl為對(duì)任務(wù)分配的安全因子，這樣做是為了滿足不同任務(wù)的細(xì)粒度安全需求。當(dāng)sl=1時(shí)，不考慮安全特性。此處限制sl[1,100]且滿足slZ+。顯然，sl越大，任務(wù)對(duì)安全的需求越高。DU難以進(jìn)行量化，應(yīng)根據(jù)實(shí)際應(yīng)用擴(kuò)展。

間接可信部分包括推薦（RC）和間接知識(shí)（IK）兩部分，推薦來自直接關(guān)聯(lián)實(shí)體（推薦者）。間接可信值的度量方法用式（5）表示：

設(shè)直接關(guān)聯(lián)的節(jié)點(diǎn)個(gè)數(shù)m，每個(gè)關(guān)聯(lián)節(jié)點(diǎn)都作為一個(gè)推薦者給出一個(gè)推薦值DTi（相關(guān)推薦者的可信級(jí)值），則度量推薦值RC是所有這m個(gè)推薦者的推薦值的平均值，用式（6）式表示：

間接知識(shí)包括獎(jiǎng)懲及間接不確定兩部分

獎(jiǎng)懲機(jī)制基于近期歷史事件性質(zhì)判定是否獎(jiǎng)懲，并對(duì)后續(xù)事件進(jìn)行直觀預(yù)測(cè)。用式（7）表示：

對(duì)趨勢(shì)的度量?jī)H在策略間隔時(shí)間到時(shí)更新，采用類似式（3）的計(jì)算方法。IU難以進(jìn)行量化，應(yīng)根據(jù)實(shí)際應(yīng)用擴(kuò)展。對(duì)歷史可信級(jí)，采用式（8）的計(jì)算方法[23]。顯然，它們均遵循規(guī)則1。

4 模型評(píng)估及分析

在編寫的模擬器上驗(yàn)證stTLM模型的有效性，模擬器遵循sTrust機(jī)制的度量規(guī)則。為方便驗(yàn)證，仿真要素設(shè)置如表2所示。為user1、user2及user3分配的可信級(jí)初始值為0.20, 0.50及0.80；令D={D1, D2, D3,D4}為實(shí)驗(yàn)數(shù)據(jù)集，實(shí)驗(yàn)數(shù)據(jù)的0代表違規(guī)事件，1代表合法事件，空格代表一個(gè)時(shí)間間隔；假設(shè)與終端直接關(guān)聯(lián)的終端有3個(gè)，它們的推薦值集為R={R1, R2,R3, R4}；規(guī)則部分為用戶可信級(jí)與用戶權(quán)限之間的映射關(guān)系，仿真時(shí)參考，此處不對(duì)權(quán)限P作具體定義。

仿真結(jié)果如圖4所示，分別為stTLM模型在不同仿真數(shù)據(jù)下可信級(jí)的度量結(jié)果。由圖4可知，違規(guī)事件拉低了關(guān)聯(lián)用戶的可信級(jí)，合法事件提升了相關(guān)用戶的可信級(jí)值。對(duì)于擁有不同初始可信級(jí)的用戶，相同的事件將使用戶可信級(jí)趨于一致。

表2 仿真設(shè)置Tabel2 Simulation settings

由圖4a可知，在第1個(gè)和第7個(gè)時(shí)間間隔，少數(shù)合法事件減慢了用戶的可信級(jí)的下降趨勢(shì)。但大量的違規(guī)事件最終致使TLuser<0.2，根據(jù)規(guī)則用戶將不能獲得系統(tǒng)任何權(quán)限；由圖4d可知，在第1個(gè)和第7個(gè)時(shí)間間隔，違法事件立即拉低了可信級(jí)。但通過大量合法事件積累，最終TLuser>0.8，根據(jù)規(guī)則用戶將獲得系統(tǒng)所有必要權(quán)限；由圖4b，4c的度量結(jié)果可知，在各個(gè)時(shí)間間隔用戶可信級(jí)可快速動(dòng)態(tài)地反應(yīng)事件性質(zhì)。綜上所述，stTLM模型有效，且具有優(yōu)異的動(dòng)態(tài)性及細(xì)粒度安全特性。

圖4 stTLM模型有效性仿真結(jié)果Fig.4The simulation result for the effectiveness of stTLM model

5 結(jié)語

本文提出了一種基于可信級(jí)度量的智能終端安全模型stTLM。模型集成了一種輕量級(jí)可信度量機(jī)制，通過任務(wù)安全分級(jí)策略和獎(jiǎng)懲機(jī)制提供更細(xì)粒度的訪問授權(quán)。模型有效性分析結(jié)果表明，本文所給出的模型具有優(yōu)異的環(huán)境適應(yīng)性及動(dòng)態(tài)性能，且容易實(shí)施。

[1]Chen Liang，Jason Crampton.Risk-Aware Role-Based Access Control[C]//7th International Workshop on Security and Trust Management.Berlin：Springer，2012：140-156.

[2]Subhendu Aich，Shamik Sural，Majumdar A K.STARBAC:Spatiotemporal Role Based Access Control[C]//International Conference on OTM Part II.Berlin：Springer ，2007：1567-1582.

[3]Tang Zhuo，Wei Juan，Salam Ahmed，et al.A New RBAC Based Access Control Model for Cloud Computing[C]//7th International Conference on Advances in Grid and Pervasive Computing.Berlin：Springer，2012：279-288.

[4]Huang Yong.Reputation and Role Based Access Control Model for Multi-Domain Environments[C]//International Symposium on Intelligence Information Processing and Trust Computing.Huanggang：[s.n.]，2010：597-600.

[5]Covington M J，Moyer M J，Ahamad M.Generalized Role-Based Access Control for Securing Future Applications[C/OL].[2012-04-12].http://hdl.handle.net/1853/6580.

[6]Aljnidi Mohamad ，Leneutre Jean.ASRBAC: A Security Administration Model for Mobile Autonomic Networks(MAutoNets)[C]//4th International Workshop on Data Privacy Management and Autonomous Spontaneous Security.Berlin：Springer，2010：163-177.

[7]Sandhu R S，Coyne E J，F(xiàn)einstein H L，et al.Role-Based Access Control Models[J].IEEE Computer，1996，29(2)：38-47.

[8]Ferraiolo D F，Sandhu R S，Gavrila S I，et al.Proposed NIST Standard for Role-Based Access Control[J].ACM Transactions on Information Systems Security，2001，4(3)：224-274.

[9]Chadwick D，Otenko A，Ball E.Role-Based Access Control with X.509 Attribute Certificates[J].IEEE Internet Computing，2003，7(2)：62-69.

[10]Blaze M，F(xiàn)eigenbaum J，Lacy J.RFC 2704：The KeyNote Trust Management System Version 2[S].Internet Society：Network Working Group，1999：1-37.

[11]Liang Jianmao，Shun Zhenyao，Kai Zhang，et al.Design and Implementation of Document Access Control Model Based on Role and Security Policy[C]//Second International Conference on Trusted Systems.Berlin：Springer，2011：26-36.

[12]Li N H，Winsborough W H，Mitchell J C.Beyond Proofof-Compliance: Safety and Availability Analysis in Trust Management[C]// IEEE Symposium on Security and Privacy.Oakland：IEEE Computer Society Press，2003：123-139.

[13]Bonatti P，Duma C，Olmedilla D，et al.An Integration of Reputation-Based and Policy-Based Trust Management[C/OL].[2012-04-15]//http://rewerse.net/publications/download/REWERSE-RP-2005-116.pdf.

[14]Woo J W，Hwang M J，Lee M J，et al.Dynamic Role-Based Access Control with Trust-Satisfaction and Reputation for Multi-Agent System[C]//24th International Conference on Advanced Information Networking and Applications Workshops.Perth：Conference Publishing Services，2010：1121-1126.

[15]Takabi H，Amini M，Jalili R.Trusted-Based User-Role Assignment in Role-Based Access Control[C]//International Conference on Computer Systems and Applications.Amman：[s.n.]，2007：807-814.

[16]Qureshi Basit，Min Geyong，Kouvatsos Demetres.Countering the Collusion Attack with a Multidimensional Decentralized Trust and Reputation Model in Disconnected MANETS[J].Multimed Tools Application.2011，doi：10.1007/sl 1042-011-0780-7.

[17]Sudip Chakraborty，Indrajit Ray.TrustBAC-Intergrating Trust Relationships into the RBAC Model for Access Control in Open Systems[C]//International Symposium on Access Control Models and Technologoes.NewYork：Association for Coputeing Machinery，2006：49-59.

[18]Li Lei，Wang Yan，Varadharajan Vijay.Fuzzy Regression Based Trust Prediction in Service-Oriented Applications[C]//6th International Conference on Autonomic and Trusted Computing.Berlin：Springer，2009：221-235.

[19]Carles Martinez-García，Guillermo Navarro-Arribas，Joan Borrell.Intra-Role Progression in RBAC: An RPC-Like Access Control Scheme[C]//6th International Workshop on Data Privacy Management and Autonomous Spontaneus Security.Berlin：Springer，2012：221-234.

[20]Li Lei，Wang Yan.The Study of Trust Vector Based Trust Rating Aggregation in Service-Oriented Environments[J].World Wide Web，2012，15(5/6)：547-549.

[21]Ray Indrajit，Chakraborty Sudip.A Vector Model of Trust for Developing Trustworthy Systems[C]//9th European Symposium on Research in Computer Security.Berlin：Springer，2004：260-275.

[22]Zhou R，Hwang K.Vectortrust: The Trust Vector Aggregation Scheme for Trust Management in Peer-to-Peer Networks and Networks[C]//18th International Conference on Computer Communications and Networks.San Francisco：CA USA，2009：1-6.

[23]Husseini A El，Abdallah M'Hamed，Bachar EL Hassan，et al.A Noval Trust-Based Authentication Scheme for Low-Resource Devices in Smart Environments[J].Procedia Computer Science, 2011，5：362-369.