熊光輝 白尚旺 黨偉超 潘理虎 張 睿(太原科技大學計算機科學與技術學院 山西 太原 030024)

0 引 言

SaaS多租戶系統(tǒng)軟件允許客戶根據自己的實際需求訂購相應的服務和服務時間，運營商提供全權管理和軟件維護?？蛻粼谙硎芊盏臅r候不需要組織相應的部門維護系統(tǒng)的運行，正是這種先進的理念使得SaaS多租戶系統(tǒng)軟件得到了廣泛的使用。隨著SaaS多租戶應用的廣泛使用，未來系統(tǒng)服務商需要滿足租戶之間提供高效便捷的協同辦公的服務需求。傳統(tǒng)針對SaaS多租戶訪問控制模型只是解決了每個租戶內的數據訪問安全，并不適合直接應用于多租戶間互訪問的安全需求。

在SaaS多租戶系統(tǒng)中數據存儲模型主要有以下三種[1]：獨立數據庫、共享數據庫單獨模式和共享數據庫共享模式。在設計SaaS多租戶軟件系統(tǒng)時，為了降低硬件和使用成本而更加高效地存儲多租戶數據，運營商通常會使用共享數據庫共享模式：所有租戶使用一個數據庫同一套數據表。由于租戶們使用的是同一套數據表，在設計軟件時就需要一個安全的系統(tǒng)訪問控制模型來保證數據的安全性。

正是SaaS多租戶安全訪問控制方式多采用基于RBAC模型及其改進模型，在不完全改變原有系統(tǒng)訪問控制模型的情況下，充分利用RBAC模型角色繼承的特點，本文在共享數據庫共享模式下，基于RBAC模型中角色樹而提出一種針對SaaS多租戶系統(tǒng)模型租戶間互操作安全訪問控制模型。這個模型能夠充分利用多租戶數據存儲模式優(yōu)點，在確保租戶們數據安全的情況下使得他們可以實現安全互操作。

1 相關工作和存在的問題

SaaS多租戶系統(tǒng)需要運營商為租戶提供足夠的安全保障，例如Li等[2]提出將傳統(tǒng)訪問控制分為系統(tǒng)層訪問控制和租戶層訪問控制來解決異構租戶訪問控制、多層管理等問題。朱養(yǎng)鵬等[3]通過分析用戶訪問SaaS平臺流程對RBAC模型加以改進，從而使得模型更加適合SaaS平臺系統(tǒng)。這些針對SaaS平臺的研究主要基于RBAC模型加以改進，這些訪問控制模型實現了SaaS多租戶系統(tǒng)中每個租戶域內安全操作。

為了實現多域之間安全互操作，主要訪問控制模型分為以下三類：基于角色訪問控制模型、基于信任度訪問控制模型、基于屬性訪問控制模型。

基于角色訪問控制模型：在RBAC模型基礎上發(fā)展而來的IRBAC2000模型[4]通過建立多域之間角色映射關系，使得一個域中角色可以對應到另外域中的角色，從而獲得訪問該域相關權限。王福等[5]通過用去掉多域映射角色繼承采用矩陣記錄多域之間角色映射關系，從而解決了由繼承不完善所導致沖突問題。這種解決方法在多域映射關系簡單時比較適用，當多域中角色間建立映射關系時授權過程就會變得繁瑣。彭友等[6]基于系統(tǒng)工程的思想，從組織的整體角度出發(fā)，加入了“崗位”層從而得到用戶—崗位—角色—權限四層結構。這種方法通過“崗位”這一層不具備權限的繼承和傳遞關系，從而能夠解決多域環(huán)境下多域訪問過程中權限循環(huán)繼承沖突、異構沖突等安全問題。曹進等[7]在RBAC模型基礎上引入安全標簽強制訪問的特性實現了多域互操作時對數據庫中數據行級列級的訪問控制，但是給所有數據加安全標簽使得此過程繁瑣復雜。Ma 等[8]提出用人工神經網絡方法獲取所需權限而不是傳統(tǒng)直接搜索角色權限，這種方法在復雜云平臺上有一定優(yōu)勢，但是在角色權限不是復雜的系統(tǒng)中尋找權限的效率較低。基于信任度訪問控制模型：Xiong 等[9-13]提出基于信任度動態(tài)實時角色映射模型，通過計算系統(tǒng)對外域訪問者的信任度然后建立映射關系，這種模型信任度的計算比較復雜?；趯傩栽L問控制模型：云計算平臺訪問控制模型還有基于屬性的訪問控制模型[14-18]，這種模型易于適應動態(tài)性、可擴展的網絡環(huán)境。

在SaaS多租戶模式中，系統(tǒng)由于通常采用同一套數據表，租戶們使用同一應用實例。兩個租戶之間實現相互數據訪問時，此時租戶多域訪問不需要通過中間系統(tǒng)實現系統(tǒng)之間會話的切換，在SaaS多租戶模式中只要一個用戶分配有目標租戶訪問數據的權限時則可以直接訪問該數據。在多域訪問中，雖然基于屬性訪問控制模型和基于信任度訪問控制模型相對于基于角色控制模型在云計算領域中更加靈活、異構環(huán)境中適應性更強，但是SaaS多租戶環(huán)境中租戶域安全訪問方式通常為同構，采用基于角色控制模型更為簡單高效?，F有在SaaS多租戶模式中加入強制訪問控制方式的基于標簽方式存在數據標簽授予過程復雜的問題。

本文針對SaaS多租戶模型提出基于角色訪問控制模型，在利用角色等級樹和角色映射沖突檢測與消除策略對IRBAC2000模型進行改進。改進后模型能夠保證SaaS多租戶系統(tǒng)中租戶之間安全訪問，同時也方便于將傳統(tǒng)基于RBAC模型多租戶系統(tǒng)單域訪問模式升級到多域訪問模式。

2 基于角色映射模型的安全問題

在SaaS多租戶系統(tǒng)中傳統(tǒng)角色的訪問控制策略主要基于ARBAC97模型。該模型將RBAC模型的管理員劃分為租戶管理員和系統(tǒng)管理員從而實現了租戶管理員根據自身實際情況設置相應的角色來獲取系統(tǒng)管理權限。

在角色映射過程中由于角色關系傳遞性及多個域間角色互相映射所產生的域穿越可能會造成下列問題：

1) 角色繼承沖突 在圖1中，左右兩邊分別是兩個安全域中角色樹。其中帶標號的多域連線表示多域角色映射關系，箭頭指角色為映射目標角色。標號1的關聯是從D1域中角色R3到D2域中r2的映射關聯，標號2表示從D2域中角色r4到D1域中角色R3的映射。根據角色的繼承性可以看出角色r4通過標號2和標號1獲得了D2域中角色r2所擁有的權限，這樣就使得角色r4的權限得到提升從而發(fā)生角色繼承沖突。

圖1 多域角色映射

2) 角色非關聯沖突 在圖1中，標號1中D1域中角色R3映射到D2域中角色r2，標號3中D2域中角色r2映射到D1域中角色R2。此時就有D1域中角色R3通過標記1和標記3映射到D1域中角色R2。由于角色R2和R3職責權限并不相同，這種情況稱為角色非關聯沖突。

3) 角色關聯沖突 在圖1中，標記4由角色R2映射到角色r4，通過標記5由角色R5映射到r5。根據角色的繼承性可以知道角色R4通過由于擁有角色R5的權限，而角色R5映射到角色r5，所以角色R4擁有角色r5的權限。如果此時增加標記6角色映射關系即：D1域中角色R4映射到D2域中角色r4。在這種情況下，原本D1域中角色R4在D2域中只能擁有角色r5的權限，通過標記6使得角色R4在D2域中擁有了角色r4的權限。這種沖突稱為角色關聯沖突。

4) 角色職責分離沖突 在圖1中，標記1和標記7這兩個角色映射關系。如果在D2域中，一個用戶能夠擁有角色r2和角色r3，但是由于這兩個角色由于職責分工要求而不能同時被同一個用戶所激活，即角色r2和角色r3互斥。此時D1域中角色R3由于映射關系就發(fā)生職責分離沖突。

3 基于角色等級樹的映射

3.1 模型策略

本文給出的基于角色等級樹改進的訪問控制模型主要有兩個部分：角色樹映射和角色映射沖突檢測與消除。

1) 角色樹映射 基于RBAC訪問控制模型中角色具有層次性和繼承性，在一個SaaS多租戶系統(tǒng)中可以把全部角色集合看成一個角色森林，其結構如圖2所示。當一個域中角色想要與其他域中角色生成映射關系時，首先查找出請求域角色所有的父角色以及所有子角色，將這些角色按照自頂至下的順序保存到請求者角色樹集合中，目標者角色也執(zhí)行相同的操作。然后再到數據庫中查找出從請求租戶域到目標租戶域中所有已經建立的角色映射關系，通過這種成對映射關系把原來請求者角色樹集合和目標者角色樹集合分成若干成對的“塊集合”。最后檢測原來請求映射關系的角色對是否在“塊集合”中，若在則請求映射關系成立并保存起來，反之則不成立。

圖2 SaaS多租戶角色森林

2) 角色映射沖突檢測與消除 由于本文所給出的角色映射的映射關系具有傳遞性，即當角色A映射到角色B，角色B映射到角色C，則角色A也傳遞性的映射到角色C。所以就存在一個域中角色通過映射到其他域中的某個角色后又經歷傳遞映射最終映射回到本域中的其他角色，這種傳遞性的映射回請求角色所在域的路徑稱為角色映射回路。除了角色映射回路需要檢測外，還需要檢測一個角色映射多個角色時是否產生職責分離沖突。通過檢測角色映射回路，采用合適的方法消除這些沖突從而保證系統(tǒng)安全。

3.2 模型具體算法流程

3.2.1 角色樹映射流程

在一個SaaS多租戶系統(tǒng)中，假設存在租戶域D1和租戶域D2，在租戶D1域中角色集合記作D1Roles，租戶D2域中角色集記為D2Roles。每個域中角色集均為一棵角色樹，租戶管理員為該域中最高權限角色。對于一次角色映射D1Rm→D2Rn，其角色樹映射流程如下：

1) 得到映射請求角色和目標角色樹集合 系統(tǒng)查找出D1Rm角色及其子角色直到租戶管理員角色D1R0，然后從租戶管理員角色D1R0到D1Rm排序加入到有序角色樹集合中：D1TreeRm={D1R0,D1R1,…,D1Rm}，接著查找出角色所有的父角色，按照廣度優(yōu)先算法分別將這些父角色加入到角色樹集合中，最終得到角色D1Rm完整角色樹集合D1TreeRm={D1R0,D1R1,…,D1Rm,D1R(m+1),…}。同理可以得到角色D2Rn的角色樹集合D2TreeRn={D2R0,D2R1,…,D2Rn,D2R(n+1),…}，其中D2R0為D2域租戶管理員角色。

2) 將角色樹集合分塊 從數據庫中查找已經保存的租戶域D1到租戶域D2全部角色映射。遍歷這些映射，對于每一個映射D1Rx→D2Ry，如果角色D1Rx在集合D1TreeRm中且角色D2Ry在集合D2TreeRn中，則標記出這個映射關系，最終得到一個標記集合Mark={D1Rx→D2Ry|D1Rx∈D1TreeRm∧D2Ry∈D2TreeRn}。集合Mark中元素均是角色映射對D1Rx→D2Ry，這些元素按照角色D1Rx在D1TreeRm中先后順序而排序。取出集合Mark中第一個元素D1Rx→D2Ry，集合D1TreeRm以元素Rx為界限將原集合拆分為集合D1TreeRm1={D1R0,D1R1,…,D1R(x-1)}以及集合D1TreeRm2={D1R(x+1)，…}。以元素Ry為界限將集合D2TreeRn原集合拆分為D2TreeRn1={D2R0,D2R1,…,D2R(y-1)}和D2TreeRn2={D2R(y+1),…}。用集合MapSet保存劃分后集合之間映射關系，此時MapSet={D1TreeRm1→D2TreeRn1,…}。

在遍歷集合過程中可能以某個請求角色(目標角色)對集合進行拆分后得到一個空集和另一個集合，此時目標角色(請求角色)拆分成兩個集合，與請求角色(目標角色)空集和相對應的目標角色(請求角色)拆分的那個集合所構成的D1{φ}→D2TreeRmj關系不加入到集合MapSet中。

3) 判斷映射請求是否在分塊中 順序遍歷集合Mark剩余元素，對拆分后的沒有加入到集合的集合繼續(xù)拆分直到遍歷完集合Mark中全部元素，最終得到MapSet={D1TreeRm1→D2TreeRn1,…,D1TreeRmk→D2TreeRnk}。

最后判斷D1Rm→D2Rn是否屬于集合MapSet中的對應關系元素的一個元素，如果是，則映射成立并保存，反之映射不成立。

3.2.2 角色映射沖突檢測消除

由前面提到的角色樹映射算法能夠很好地解決由于角色繼承關系中多域角色層次所產生的沖突，例如角色關聯沖突等。角色映射沖突檢測消除過程核心是分兩個部分：映射回路檢測消除策略和動態(tài)職責分離檢測消除策略。通過角色映射沖突檢測可以有效避免由角色通過映射的傳遞性而最終映射到本域中其他角色所造成沖突。動態(tài)職責分離檢測消除策略可以檢測角色映射到目標域中是否與該域中職責分離的多個角色有映射關系，若檢測存在沖突，則讓用戶選擇發(fā)生沖突的角色進行激活使用。

1) 映射回路檢測消除策略 例如在D1域中有用戶D1User，該用戶擁有角色D1R1。則此時D1User擁有的角色集為Set(D1User)={D1R1}。檢查該角色是否映射其他域中，如果映射到角色D2R1，則將該角色加入到角色集Set(D1User)中即有Set(D1User)={D1R1,D2R1}。在映射過程中，如果有指向初始映射角色所在域的其他角色D1Rx，則角色D1Rx不加入到集合Set(D1User)中。繼續(xù)檢查D1Rx有沒有映射關系，重復上面過程直到最終沒有映射的角色為止。

2) 動態(tài)職責分離檢測消除策略 假設在租戶D2域中有職責分離沖突集合SepSet={(D2R1,D2R2),(D2R3,D2R4),…}，依次取出其中元素(D2R1,D2R2)∈SepSet。對于D2R1查出其所有子角色直到租戶管理員角色得到集合TreeD2R1，同理得到集合TreeD2R2。如果一個角色多域映射到該域所對應的角色集同時擁有集合TreeD2R1和集合TreeD2R2中元素，則此時發(fā)生職責分離沖突，提示用戶只能激活其中一個角色使用。

3.3 角色等級樹映射完整性與正確性控制

在SaaS多租戶環(huán)境下每個租戶域中角色均可以看作一個樹狀角色集合。角色繼承沖突、角色關聯沖突和角色非關聯沖突產生的根本原因：出現本域和外域的角色層次相關沖突以及存在映射回路。角色職責分離沖突產生的原因是角色映射到其他域中的角色在沖突集中。角色樹能夠描述角色層次關系，利用這種特性實現角色層次隔離解決角色層次引發(fā)的沖突。在此基礎上應用角色映射回路檢測算法與職責分離沖突檢測算法實現安全多域訪問。

為了便于描述沖突，這里給出沖突的形式化定義。

定義1DARm>DARx，表示角色DARm為角色DARx祖先角色。同理DARm

定義2在任意關聯的域DA和DB中，假設存在關聯映射DARm→DBRn和DARx→DBRy，如果滿足DARm>DARx并且DBRnDBRy，那么映射關系DARm→DBRn和DARx→DBRy就存在角色層次關系的沖突。

定義3在任意關聯的域DA和DB中，假設存在關聯映射DARm→DBRn和DBRy→DARx，如果DBRn和DBRy在角色樹中為父子關系，那么此時在DA域中存在映射回路沖突。

定義4在任意關聯的域DA和DB中，DB中存在職責分離沖突集合Set，如果DA中有角色集RoleSet={DARm→DBRn|DARm∈DA∧DBRn∈Set}，則此時映射DA域中RoleSet存在映射職責分離沖突。

假設新建映射DARm→DBRn，這兩個域已經存在映射DARx→DBRy。此時根據前文角色樹映射算法可以得到角色DARm的樹集合DARmTree，同理有DBRnTree。如果DARx?DARmTree或者DBRy?DBRnTree，則此時不會發(fā)生層次沖突。如果存在DARx∈DARmTree并且DBRy∈DBRnTree，根據算法可以得到DARmTree=DATree1∪DARx∪DATree2，其中DATree1={DARi|DARiDARx}，同理得到同樣規(guī)律的DBRnTree=DBTree1∪DBRy∪DBTree2，以及映射集合MapSet={DATree1→DBTree1,DATree2→DBTree2}。根據算法映射規(guī)則，如果DARm∈DATree1，則DBRn∈DBTree1。即若DARm>DARx，則DBRn>DBRy；或者若DARm

映射回路檢測消除策略和動態(tài)職責分離檢測消除策略結合定義3和定義4顯然能夠避免映射回路沖突和動態(tài)職責分離沖突。再結合角色樹映射算法能夠保證任意兩個租戶域建立角色映射時能夠解決前文中的沖突問題。

4 基于角色等級樹的原型系統(tǒng)

4.1 原型系統(tǒng)體系結構

原型系統(tǒng)中定義了兩個核心模塊：角色映射模塊、訪問控制模塊，該系統(tǒng)架構圖如圖3所示。

圖3 原型系統(tǒng)架構設計圖

角色映射模塊：該模塊由系統(tǒng)管理員負責維護，其作用就是建立從一個租戶域到另外一個租戶域的角色之間映射關系。系統(tǒng)根據前面所描述的角色映射中利用角色樹建立合適的角色映射。

訪問控制模塊：該模塊主要是在用戶登錄時獲取該用戶在本域中的角色及其權限。同時搜索保存的多域角色映射記錄從而獲取在其他域中對應的角色和權限，在此過程中運用角色映射沖突檢測消除策略以避免產生沖突。

4.2 系統(tǒng)主要數據表設計

在模型中，核心的數據庫表有租戶表、角色表、權限表、多域角色映射表、用戶表、職責分離表。同時為了處理數據表中多對多關系也設計了一些中間表如租戶權限表、角色權限表，如圖4所示。在模型中角色繼承關系為倒樹結構——角色從上到下權限變小，下層角色為上層角色的祖先角色。在原型系統(tǒng)中為了方便理解則采用了正樹結構，即上層角色為下層角色祖先角色。

圖4 原型系統(tǒng)核心表

4.3 系統(tǒng)角色映射模塊

系統(tǒng)角色映射模塊主要就是由系統(tǒng)管理員負責建立租戶域角色與目標租戶域角色之間的映射關系，根據前面介紹的角色樹映射流程算法對每一個角色關聯映射請求進行處理。

在原型系統(tǒng)中，當系統(tǒng)管理員建立一對角色映射時具體步驟如下：

1) 從前臺得到映射請求角色及店號和目標角色及店號。

2) 通過查詢角色表分別得到請求角色樹集合和目標角色樹集合。

3) 按照角色樹映射流程算法進行判斷是否能夠建立映射。如果滿足條件能夠映射，則將映射角色和店號以及目標角色和店號存儲到角色映射表中，并向前臺返回保存成功標記；反之，則映射不能保存并向前臺返回映射不能建立的信息。

4.4 訪問控制模塊

用戶(系統(tǒng)管理員、租戶管理員和普通用戶三個類型)登錄系統(tǒng)時，由系統(tǒng)中Login方法根據用戶類型去查找User表或者Tenant表，查找成功則說明登錄成功。

當用戶登錄成功后則獲取在當前店內角色以及權限存儲到LocalList中，查找Mapped表來確定該用戶是否擁有其他店角色及權限，若有則將查找出的信息存儲到OutList中，最后把這些信息存儲到Web系統(tǒng)的Session中。Session中保存用戶當前狀態(tài)信息：所在店鋪、角色以及權限集合。

當用戶訪問功能模塊時，根據用戶當前所在店鋪、角色、權限集合，通過Web系統(tǒng)攔截器來判斷該功能模塊是否在當前權限集合中，若在則可以正常訪問，反之，則提示用戶無法訪問。

系統(tǒng)中提供角色切換功能使得用戶可以在建立角色映射的基礎上切換到相應的店鋪角色，此時將該用戶在切換后店鋪中的店鋪、角色以及權限集合信息替換掉Session中保存的當前狀態(tài)信息。

4.5 實例說明

為了方便說明模型實際應用場景，假設在原型系統(tǒng)中有3個租戶域D1、D2、D3，這三個域角色關系如圖5所示。圖中帶箭頭實線表示租戶域內角色繼承關系，帶箭頭虛線表示由原型系統(tǒng)角色映射模塊成功建立的角色映射關系。D3域中角色R2和R3屬于職責分離沖突。

圖5 原型系統(tǒng)租戶角色圖

角色D1R2映射到的角色D3R2，而角色D3R2映射到角色D1R3。當某個用戶成功激活了角色D1R2時，角色訪問控制模塊映射回路檢測模塊檢測到存在映射回路，所以該用戶不會通過映射的傳遞性擁有角色D1R3相關權限。角色D2r2映射到D3R2，D2r3映射到D3R3，由于在D3域中存在職責分離沖突集合Set={D3R2,D3R3}，當租戶D2域中有用戶激活角色D2r1，根據角色繼承性和保存的映射關系，角色D2r1在多域訪問D3域時，角色訪問控制模塊檢測到存在映射存在職責分離沖突，所以會提醒該用戶在訪問D3域時只能激活角色D3R2和D3R3中的一個角色訪問D3域系統(tǒng)功能。

4.6 實驗分析

實驗結果表明，設計的原型系統(tǒng)滿足以下安全目標：

? 租戶內部安全訪問由于每次訪問都需要驗證用戶是否是租戶域內用戶，驗證通過后通過判斷其在系統(tǒng)中角色以及對應擁有權限，系統(tǒng)比較用戶所有的權限可以杜絕用戶對本租戶域以及其他租戶域的非法訪問。

? 租戶之間安全訪問系統(tǒng)管理員負責維護租戶之間的角色映射關系，系統(tǒng)在用戶登錄后獲取該用戶在其他租戶域內相應角色以及權限。通過系統(tǒng)角色映射沖突檢測算法能夠有效解決角色映射后所產生的沖突。

5 結 語

本文給出了一種基于RBAC模型角色等級樹的多域安全訪問控制模型，該模型在常見SaaS多租戶模式應用所采用RBAC模型基礎上加以改進。既減小了將普通SaaS多租戶單域訪問模式改造為多域訪問模式的復雜度，也充分利用了RBAC模型的簡單易管理優(yōu)點，使得SaaS多租戶系統(tǒng)的多租戶間可以實現安全互操作。目前，模型已經完成理論研究，通過設計實現原型系統(tǒng)實驗結果驗證了該模型在SaaS多租戶模式中多域安全訪問時的有效性。接下來的工作是繼續(xù)研究多租戶多域映射后對角色的約束問題，使得約束既能夠適應于私有域內角色，又對外域映射到私有域中角色能產生約束作用。

[1] Ju J, Wang Y, Fu J, et al. Research on Key Technology in SaaS[C]//International Conference on Intelligent Computing and Cognitive Informatics. IEEE, 2010:384- 387.

[2] Li D, Liu C, Liu B. H-RBAC: A Hierarchical Access Control Model for SaaS Systems[J]. International Journal of Modern Education & Computer Science, 2011, 3(5).

[3] 朱養(yǎng)鵬, 張璟. SaaS平臺訪問控制研究[J]. 計算機工程與應用, 2011, 47(24):12- 16.

[4] Al-Muhtadi J, Kapadia A, Campbell R, et al. The A-IRBAC 2000 Model: Administrative Interoperable Role-Based Access Control[R].University of Illinois at Urbana-Champaign Champaign, IL, USA.2000.

[5] 王福, 沈寒輝, 鄒翔. 基于IRBAC的多域角色映射方法[J]. 計算機應用, 2010, 30(S1):106- 108.

[6] 彭友, 宋艷, 鞠航,等. 基于組織的四層訪問控制模型多域訪問過程中虛擬崗位構建方法[J]. 計算機應用, 2014, 34(8):2345- 2349.

[7] 曹進, 李培峰, 朱巧明,等. 基于安全標簽的多域安全訪問控制模型[J]. 計算機應用與軟件, 2015, 32(1):297- 302.

[8] Ma X, Cheng N, Zhao L, et al. An efficient Role-Based Access Control approach in IRBAC 2000[J]. Icic Express Letters, 2014, 8(6):1593- 1598.

[9] Xiong D, Chen L. T-RBAC based Multi-domain Access Control Method in Cloud[J]. Network Protocols and Algorithms,2017, 8(4):29.

[10] 朱一群. 基于用戶信任的多域訪問控制模型[J]. 計算機應用與軟件, 2015, 32(7):35- 38.

[11] 李由由, 郭海儒, 彭維平,等. 基于信任度屬性的訪問控制策略合成[J]. 計算機應用研究, 2016, 33(7):2175- 2180.

[12] 彭維平, 劉雪貞, 郭海儒,等. 基于信任度的多域安全訪問控制模型研究[J]. 計算機應用研究, 2016, 33(6):1791- 1796.

[13] 葉重陽, 莊毅. 一種基于多維信任度的動態(tài)RBAC模型[J]. 計算機與現代化, 2015(6):7- 11.

[14] Hu V C, Kuhn D R, Ferraiolo D F. Attribute-Based Access Control[J]. Computer, 2015, 48(2):85- 88.

[15] Zhang X, Li Y, Nalla D. An attribute-based access matrix model[C]//ACM Symposium on Applied Computing. DBLP, 2005:359- 363.

[16] 毋濤, 張帆. 云計算下基于屬性的訪問控制方法[J]. 計算機系統(tǒng)應用, 2016, 25(2):231- 234.

[17] Kuhn D R, Coyne E J, Weil T R. Adding Attributes to Role-Based Access Control[J]. Computer, 2010, 43(6):79- 81.

[18] 李冬輝, 張斌, 費曉飛. 基于OSBE的屬性訪問控制模型[J]. 計算機工程與應用, 2015, 51(7):84- 87.