◆張?jiān)?/p>

ABAC模型授權(quán)撤銷(xiāo)機(jī)制研究

◆張?jiān)?/p>

（解放軍信息工程大學(xué) 河南 450001）

云計(jì)算等新型計(jì)算模式的出現(xiàn)推動(dòng)了互聯(lián)網(wǎng)的進(jìn)步，也給訪問(wèn)控制模型的研究提出了新的挑戰(zhàn)。本文介紹了基于屬性的訪問(wèn)控制模型，并同RBAC模型進(jìn)行了比較。結(jié)合已有的相關(guān)研究，就基于屬性的訪問(wèn)控制中的授權(quán)撤銷(xiāo)問(wèn)題進(jìn)行分析。

訪問(wèn)控制；ABAC；屬性；授權(quán)；委托；撤銷(xiāo)

訪問(wèn)控制技術(shù)是確保計(jì)算系統(tǒng)安全的核心技術(shù)之一。現(xiàn)有自主訪問(wèn)控制模型（DAC）、強(qiáng)制訪問(wèn)控制模型（MAC）、基于角色的訪問(wèn)控制模型（RBAC）、基于任務(wù)的訪問(wèn)控制模型、與時(shí)空相關(guān)的訪問(wèn)控制模型、基于屬性的訪問(wèn)控制模型（ABAC）等訪問(wèn)控制模型。其中尤以RBAC在工業(yè)、學(xué)術(shù)界得到最廣泛的使用及研究。但RBAC在靈活性、細(xì)粒度、多因素、動(dòng)態(tài)變化和上下文敏感的環(huán)境、匿名授權(quán)方面存在局限，在新的復(fù)雜網(wǎng)絡(luò)環(huán)境和應(yīng)用需求下這種矛盾比較突出。針對(duì)這些局限，普遍的兩種方案就是通過(guò)擴(kuò)展的RBAC模型或ABAC模型來(lái)解決。這兩種方案各有其擁護(hù)者，有文獻(xiàn)也對(duì)這兩種方案進(jìn)行了比較研究。如何判定并授予權(quán)限是所有訪問(wèn)控制機(jī)制的核心問(wèn)題。隨著新的業(yè)務(wù)及管理需要的產(chǎn)生，主體的權(quán)限會(huì)發(fā)生變化，可能需要增加新的權(quán)限，已過(guò)時(shí)的權(quán)限也應(yīng)該被去除。而實(shí)際上對(duì)陳舊過(guò)時(shí)的權(quán)限進(jìn)行撤銷(xiāo)的工作往往容易被管理者忽視，從而導(dǎo)致潛在的安全隱患。本文以ABAC模型作為研究對(duì)象，并與RBAC模型進(jìn)行比較分析。首先對(duì)ABAC模型及相關(guān)概念做闡述，對(duì)ABAC模型的主要研究方向進(jìn)行簡(jiǎn)要說(shuō)明。接下來(lái)再對(duì)權(quán)限撤銷(xiāo)研究工作進(jìn)行總結(jié)分析的基礎(chǔ)上，研究分析ABAC中授權(quán)撤銷(xiāo)的特點(diǎn)和問(wèn)題，并以實(shí)例的形式進(jìn)行說(shuō)明。

1 ABAC模型概念及相關(guān)研究

ABAC使用實(shí)體屬性這個(gè)核心概念對(duì)主體、客體、權(quán)限及授權(quán)約束進(jìn)行統(tǒng)一描述，能夠靈活地表達(dá)細(xì)粒度、復(fù)雜的訪問(wèn)授權(quán)和訪問(wèn)控制策略，從而增強(qiáng)訪問(wèn)控制系統(tǒng)的靈活性和可擴(kuò)展性。在ABAC中，并不關(guān)心或必須知道訪問(wèn)者是誰(shuí)，只需知道訪問(wèn)者具有哪些屬性，這使得ABAC具有足夠的靈活性和可擴(kuò)展性，同時(shí)使得安全的匿名訪問(wèn)成為可能[1]。ABAC中的主體、客體、環(huán)境、權(quán)限都可以作為策略的核心因素，如果將傳統(tǒng)訪問(wèn)控制中的身份、角色以及資源安全等級(jí)等信息抽象化為實(shí)體屬性，ABAC則能夠?qū)崿F(xiàn)傳統(tǒng)訪問(wèn)控制模型的訪問(wèn)控制功能。同其他的訪問(wèn)控制模型一樣，ABAC也要考慮訪問(wèn)控制策略、描述語(yǔ)言、實(shí)現(xiàn)機(jī)制、一致性、安全性等問(wèn)題。

基于屬性的訪問(wèn)控制具有動(dòng)態(tài)性、粗細(xì)粒度可調(diào)節(jié)、靈活性等優(yōu)點(diǎn)，能夠很好適應(yīng)開(kāi)放式的網(wǎng)絡(luò)環(huán)境。ABAC能夠在主體請(qǐng)求訪問(wèn)時(shí)，根據(jù)請(qǐng)求者的屬性、對(duì)象屬性、環(huán)境以及用這些屬性和條件描述的策略集做出訪問(wèn)控制決策，使得訪問(wèn)控制可以十分精確。使用基于屬性的訪問(wèn)控制機(jī)制，通過(guò)簡(jiǎn)單地改變屬性值就可能改變?cè)L問(wèn)決策，而不需要改變規(guī)則中的主客體關(guān)系。這提供了更加動(dòng)態(tài)的訪問(wèn)控制管理能力。此外，與RBAC中在訪問(wèn)請(qǐng)求到來(lái)之前就必須提前設(shè)定好角色以及與角色關(guān)聯(lián)的權(quán)限不同，ABAC不需要在有訪問(wèn)請(qǐng)求之前就將對(duì)象和對(duì)象操作直接分配給請(qǐng)求主體或者是角色，對(duì)象所有者或者管理員不需要在應(yīng)用訪問(wèn)控制策略之前提前獲知可能發(fā)起訪問(wèn)請(qǐng)求的主體情況。當(dāng)有新的主體（用戶）加入組織時(shí)，規(guī)則和對(duì)象都不需要修改。只要給主體分配了必要的屬性，該主體就可以訪問(wèn)被請(qǐng)求的對(duì)象，不需要修改已有的規(guī)則及其對(duì)象屬性。這個(gè)優(yōu)點(diǎn)是使用ABAC的主要好處之一，使之非常適合在異構(gòu)網(wǎng)絡(luò)或不同系統(tǒng)之間存在交互需求的場(chǎng)景下使用。

與在構(gòu)建以角色為中心的RBAC模型時(shí)首先要進(jìn)行角色構(gòu)建相似，為了構(gòu)建安全的以屬性為中心的ABAC模型，首先需要從海量的類(lèi)型各異的主客體中挖掘出獨(dú)立、完備的主體屬性、客體屬性、權(quán)限屬性和環(huán)境屬性集合，并構(gòu)建這些屬性同相關(guān)實(shí)體之間的關(guān)聯(lián)關(guān)系[2]。當(dāng)獲得屬性集合后，需要對(duì)屬性與權(quán)限之間的對(duì)應(yīng)關(guān)系進(jìn)行分析。傳統(tǒng)的訪問(wèn)控制機(jī)制大多通過(guò)專(zhuān)家分析企業(yè)的業(yè)務(wù)流程，抽象并完成屬性-權(quán)限的分配關(guān)系。自動(dòng)化的屬性-權(quán)限關(guān)聯(lián)關(guān)系發(fā)現(xiàn)方法是需要研究解決的重要問(wèn)題。當(dāng)獲取獨(dú)立完備的屬性集合以及屬性-權(quán)限對(duì)應(yīng)關(guān)系后，需要利用這些信息對(duì)訪問(wèn)控制策略進(jìn)行形式化描述。設(shè)計(jì)復(fù)雜度較低且具有豐富表達(dá)能力的訪問(wèn)控制描述語(yǔ)言可以保證ABAC系統(tǒng)高效準(zhǔn)確運(yùn)行。此外，訪問(wèn)控制中的多域合作機(jī)制、身份認(rèn)證機(jī)制，權(quán)限實(shí)時(shí)更新機(jī)制等也是目前ABAC中較為重要的研究點(diǎn)。

2 權(quán)限撤銷(xiāo)研究及特點(diǎn)

在訪問(wèn)控制機(jī)制運(yùn)行中，當(dāng)安全策略發(fā)生變化時(shí)，需要撤銷(xiāo)與最新安全策略相沖突的已授出權(quán)限，即授權(quán)撤銷(xiāo)。系統(tǒng)安全策略的動(dòng)態(tài)性需要良好的授權(quán)撤銷(xiāo)機(jī)制的支持。授權(quán)撤銷(xiāo)的相關(guān)研究有兩個(gè)方向：授權(quán)撤銷(xiāo)的機(jī)制和具體撤銷(xiāo)算法。常見(jiàn)的撤銷(xiāo)機(jī)制有直接撤銷(xiāo)，完全撤銷(xiāo)和即時(shí)撤銷(xiāo)。直接撤銷(xiāo)通過(guò)修改主體、客體的安全屬性直接體現(xiàn)安全策略的變化。完全撤銷(xiāo)指當(dāng)某一主體所擁有的權(quán)限被撤銷(xiāo)時(shí)，從該主體轉(zhuǎn)授出去的所有權(quán)限都將被撤銷(xiāo)，而避免撤銷(xiāo)不夠徹底而導(dǎo)致的權(quán)限泄漏問(wèn)題。即時(shí)撤銷(xiāo)針對(duì)正在進(jìn)行的操作，當(dāng)安全策略發(fā)生變化時(shí)，如果對(duì)該操作授予的權(quán)限和當(dāng)前安全策略不一致，當(dāng)前的操作就要被終止，授權(quán)也被撤銷(xiāo)。

授權(quán)撤銷(xiāo)可以從四個(gè)維度上進(jìn)行分類(lèi)，即依賴(lài)性、傳播性、恢復(fù)彈性、統(tǒng)治力[3]。

依賴(lài)性：是否只有直接授權(quán)用戶才可以撤銷(xiāo)被授權(quán)用戶的相應(yīng)權(quán)限。

傳播性：這個(gè)維度上分為本地撤銷(xiāo)和全局撤銷(xiāo)。本地撤銷(xiāo)是指僅對(duì)直接委托關(guān)系適用，而全局撤銷(xiāo)不但對(duì)被撤銷(xiāo)的用戶（主體）生效還包括接受其授權(quán)的所有用戶（主體）。

恢復(fù)彈性：區(qū)分撤銷(xiāo)的效果，撤銷(xiāo)后是否容易恢復(fù)。有兩種撤銷(xiāo)行為，一是僅去除權(quán)限，其他主體還可以再為之進(jìn)行授權(quán)；二是給予否定授權(quán)。否定授權(quán)具有更高優(yōu)先級(jí)，除非否定授權(quán)被撤銷(xiāo)，否則不會(huì)再被授權(quán)。

統(tǒng)治力：除顯式撤銷(xiāo)外，是否撤銷(xiāo)隱式的權(quán)限。分別對(duì)應(yīng)弱撤銷(xiāo)和強(qiáng)撤銷(xiāo)。

文獻(xiàn)[4]提出了一種高效的權(quán)限撤銷(xiāo)機(jī)制，該機(jī)制的核心思想是：一方面通過(guò)對(duì)權(quán)限添加有效性、時(shí)效性域，并在系統(tǒng)調(diào)用之前對(duì)其進(jìn)行檢查，控制權(quán)限的遷移；另一方面通過(guò)鏈表的雙向檢索來(lái)提高即時(shí)撤銷(xiāo)的效率。文獻(xiàn)[5]在分析以往權(quán)限撤銷(xiāo)相關(guān)研究的基礎(chǔ)上，討論了安全操作系統(tǒng)中的安全屬性即時(shí)撤銷(xiāo)問(wèn)題，提出一種高效率的權(quán)限撤銷(xiāo)機(jī)制，解決進(jìn)程權(quán)限的即時(shí)撤銷(xiāo)問(wèn)題。文獻(xiàn)[6]用傳播樹(shù)和異常表的辦法處理權(quán)限的即時(shí)撤銷(xiāo)和完全撤銷(xiāo)問(wèn)題。文獻(xiàn)[7]根據(jù)同一任務(wù)的轉(zhuǎn)授關(guān)系構(gòu)建轉(zhuǎn)授權(quán)樹(shù)，通過(guò)限定授權(quán)步數(shù)和遍歷轉(zhuǎn)授權(quán)樹(shù)解決循環(huán)授權(quán)問(wèn)題，支持用戶撤銷(xiāo)和系統(tǒng)自動(dòng)撤銷(xiāo)。文獻(xiàn)[8，9]討論了基于角色的訪問(wèn)控制RBAC中的轉(zhuǎn)授權(quán)撤銷(xiāo)問(wèn)題，將其分為由系統(tǒng)條件自動(dòng)觸發(fā)的系統(tǒng)撤銷(xiāo)和用戶撤銷(xiāo)兩種。文獻(xiàn)[10]提出了基于角色的委托模型RDM2000。支持角色的層次關(guān)系與多步轉(zhuǎn)授權(quán)，并從角色授予依賴(lài)、角色層次和撤銷(xiāo)強(qiáng)度三個(gè)方面對(duì)轉(zhuǎn)授權(quán)撤銷(xiāo)方法進(jìn)行了探索。文獻(xiàn)[11]強(qiáng)調(diào)角色委托時(shí)的時(shí)限性，將轉(zhuǎn)授權(quán)撤銷(xiāo)分為基于時(shí)限限制的轉(zhuǎn)授權(quán)撤銷(xiāo)和用戶主動(dòng)地轉(zhuǎn)授權(quán)撤銷(xiāo)。文獻(xiàn)[12]提出了基于屬性的擴(kuò)展委托模型（ABDMA），定義了用戶委托撤銷(xiāo)類(lèi)型，讓委托者自己撤銷(xiāo)委托出去的角色，并在模型中引入了自動(dòng)撤銷(xiāo)機(jī)制，提出了由委托有效時(shí)間區(qū)間、用戶先決角色變化、用戶屬性表達(dá)式變化和委托角色屬性表達(dá)式變化引起的4種自動(dòng)委托撤銷(xiāo)，還討論了自動(dòng)撤銷(xiāo)的系統(tǒng)開(kāi)銷(xiāo)和自動(dòng)撤銷(xiāo)引起的多步委托安全性問(wèn)題。文獻(xiàn)[13]討論了重復(fù)角色轉(zhuǎn)授權(quán)和部分角色轉(zhuǎn)授權(quán)的問(wèn)題，并將轉(zhuǎn)授權(quán)角色撤銷(xiāo)分為四類(lèi)：由委托者發(fā)起的撤銷(xiāo)、由角色擁有者發(fā)起的撤銷(xiāo)、由撤銷(xiāo)觸發(fā)機(jī)制發(fā)起的系統(tǒng)自動(dòng)撤銷(xiāo)、系統(tǒng)管理員進(jìn)行的撤銷(xiāo)。文獻(xiàn)[14]提出了基于歐拉圖的授權(quán)路徑構(gòu)建算法與轉(zhuǎn)授權(quán)路徑遍歷回收方法，通過(guò)有目的的授權(quán)路徑構(gòu)建，簡(jiǎn)化轉(zhuǎn)授權(quán)路徑遍歷過(guò)程，解決轉(zhuǎn)授權(quán)路徑遍歷不完全導(dǎo)致的授權(quán)撤銷(xiāo)不完整問(wèn)題，防止權(quán)限擴(kuò)散并消除隱性授權(quán)沖突。已有研究對(duì)基于角色的授權(quán)撤銷(xiāo)研究的較多，針對(duì)基于屬性的訪問(wèn)控制權(quán)限撤銷(xiāo)研究的較少。下文對(duì)基于屬性的授權(quán)撤銷(xiāo)進(jìn)行分析，并給出權(quán)限撤銷(xiāo)的方法實(shí)例。

3 基于屬性的授權(quán)撤銷(xiāo)

在ABAC中如果要檢查用戶權(quán)限關(guān)系，需要全部列舉出用戶屬性及所有的相關(guān)屬性，使用用戶和對(duì)象屬性值等實(shí)例化所有的規(guī)則[15]。因此使用ABAC模型分析策略、審查或者更改用戶權(quán)限是非常麻煩的任務(wù)。同樣的，要撤銷(xiāo)實(shí)體屬性的權(quán)限也要比RBAC為代表的傳統(tǒng)訪問(wèn)模型復(fù)雜得多。

RBAC中復(fù)雜的角色繼承關(guān)系是造成權(quán)限撤銷(xiāo)難題的主要因素，在ABAC中同樣也存在由于屬性關(guān)系導(dǎo)致的復(fù)雜的權(quán)限撤銷(xiāo)問(wèn)題。ABAC中各種屬性及復(fù)雜的訪問(wèn)控制策略也給權(quán)限撤銷(xiāo)問(wèn)題帶來(lái)諸多挑戰(zhàn)。RBAC中角色是核心，所以無(wú)論是權(quán)限授予還是權(quán)限撤銷(xiāo)，重點(diǎn)是圍繞角色這一核心進(jìn)行分析處理。在基于屬性的訪問(wèn)控制中，由于屬性的多樣性，屬性變化引發(fā)的權(quán)限變動(dòng)問(wèn)題相比RBAC更加復(fù)雜。授權(quán)撤銷(xiāo)不夠徹底導(dǎo)致權(quán)限泄漏會(huì)威脅系統(tǒng)的安全性。此外，如果撤銷(xiāo)權(quán)限時(shí)有部分應(yīng)有的權(quán)限被不當(dāng)?shù)氖栈?，也?huì)對(duì)系統(tǒng)的使用和合理運(yùn)行造成影響。

基于屬性的訪問(wèn)控制中，從效果上來(lái)看，權(quán)限撤銷(xiāo)可以是由于屬性變化導(dǎo)致的系統(tǒng)自動(dòng)授權(quán)變更或強(qiáng)制授權(quán)撤銷(xiāo)。而強(qiáng)制撤銷(xiāo)可以通過(guò)修改屬性值或者添加否定授權(quán)策略的方法實(shí)現(xiàn)，把撤銷(xiāo)操作轉(zhuǎn)變?yōu)槭跈?quán)過(guò)程來(lái)實(shí)現(xiàn)權(quán)限撤銷(xiāo)的目的。借鑒文獻(xiàn)[16]對(duì)ABAC模型的形式化定義，下面用實(shí)例的形式對(duì)撤銷(xiāo)方法進(jìn)行說(shuō)明。

假設(shè)有用戶A=、B=、C=并采取以下訪問(wèn)控制策略：

策略1：

主體屬性sattr1=a1的用戶對(duì)客體屬性oattr1=c1的客體，在環(huán)境屬性eattr1=e1的條件下，具有操作pattr1權(quán)限。即<< sattr1=a1>，，< eattr1=e1>，< pattr1=1>>

策略2：

主體屬性sattr2=b2的用戶對(duì)客體屬性oattr1=c1的客體，在環(huán)境屬性eattr2= e2的條件下，具有操作pattr1權(quán)限。即<< sattr2=b2>，，< eattr2=e2>，< pattr1=1>>

（1）基于屬性的強(qiáng)制授權(quán)撤銷(xiāo)（不考慮委托授權(quán)的情況）

結(jié)合這兩個(gè)策略可以看到，兩個(gè)不同屬性的用戶在不同的環(huán)境屬性條件下都可能獲得相同的客體訪問(wèn)權(quán)限。假設(shè)當(dāng)前環(huán)境屬性eattr1=e1，eattr2= e2，則因?yàn)橛脩?A匹配策略1，用戶B匹配策略1和2，因此他們都獲得了對(duì)屬性oattr1=c1的客體的pattr1權(quán)限。如果這時(shí)要求強(qiáng)制撤銷(xiāo)所有用戶屬性sattr1值為a1的用戶權(quán)限，由于用戶A和B都匹配這個(gè)屬性值，所以他們的權(quán)限都要被撤銷(xiāo)。為實(shí)現(xiàn)這一點(diǎn)，可以采用兩種方式。一種是修改用戶的屬性值，比如將所有用戶屬性sattr1=a1的用戶的屬性sattr1修改成其他值。但在本實(shí)例中，用戶B的該權(quán)限除了由于屬性sattr1匹配策略1得到之外，也通過(guò)匹配策略2獲得了該權(quán)限。因此，通過(guò)這個(gè)方法不能完全覆蓋所有相關(guān)用戶。另一種方法是添加否定授權(quán)策略實(shí)現(xiàn)，即增加一條策略3<，，，< pattr1=-1>>，并賦予否定授權(quán)更高的優(yōu)先級(jí)。這樣通過(guò)策略判定可以完全撤銷(xiāo)所有要求撤銷(xiāo)的權(quán)限，不存在權(quán)限泄露的問(wèn)題。

如果通過(guò)屬性值變更的方式，將用戶屬性原來(lái)的a1改為a2，不再符合策略1的條件，由不匹配策略2，這時(shí)A的授權(quán)就發(fā)生了變化，用戶A在環(huán)境屬性eattr1=e1的條件下對(duì)屬性oattr1=c1的客體資源具有的pattr1權(quán)限被撤銷(xiāo)。用戶B的權(quán)限未未到影響。

（2）基于屬性的委托授權(quán)的權(quán)限撤銷(xiāo)

支持委托授權(quán)的訪問(wèn)控制模型允許主體將自己的全部或部分權(quán)限轉(zhuǎn)授給其他的主體，使得接受授權(quán)的主體也擁有了相應(yīng)權(quán)限。在之前的舉例中，用戶A的主體屬性sattr1= a1，符合策略1的條件，允許訪問(wèn)客體屬性oattr1=c1的資源?，F(xiàn)用戶A將其基于屬性sattr1的對(duì)該資源的訪問(wèn)權(quán)限轉(zhuǎn)授給了用戶C，則C也將被允許訪問(wèn)該資源，C=<（a1，a2），b2>。相當(dāng)于將用戶A的屬性sattr1投射到用戶C上，以后C的sattr1屬性將跟隨A的變化而變化（這里假設(shè)不存在策略沖突問(wèn)題）。當(dāng)用戶A的sattr1屬性值發(fā)生改變不能滿足授權(quán)策略1時(shí)，用戶C通過(guò)A獲得的對(duì)資源的訪問(wèn)權(quán)也要同時(shí)被撤銷(xiāo)。此時(shí)C恢復(fù)到接受委托之前的狀態(tài)C=。這種基于屬性的委托授權(quán)及授權(quán)撤銷(xiāo)問(wèn)題，可以借鑒使用歐拉圖的方法進(jìn)行授權(quán)路徑標(biāo)記和回收權(quán)限[17]。同樣是上面的情況，用戶A將相應(yīng)權(quán)限委托給用戶C，之后要撤銷(xiāo)掉A及A委托給C的相應(yīng)授權(quán)，由于用戶C之前通過(guò)匹配策略2已經(jīng)獨(dú)立獲得來(lái)了該權(quán)限，如果不采用基于屬性的授權(quán)及撤銷(xiāo)方法，可能會(huì)錯(cuò)誤地撤銷(xiāo)了C本應(yīng)擁有的權(quán)限，導(dǎo)致過(guò)度撤銷(xiāo)等問(wèn)題。

4 結(jié)論

基于屬性的委托授權(quán)具有細(xì)粒度、靈活性好等特點(diǎn)，授權(quán)過(guò)程比較復(fù)雜，在權(quán)限撤銷(xiāo)方面也有其特殊性。本文介紹了ABAC模型和授權(quán)撤銷(xiāo)機(jī)制，針對(duì)ABAC的特點(diǎn)對(duì)ABAC的授權(quán)撤銷(xiāo)問(wèn)題進(jìn)行了分析，并且進(jìn)行了實(shí)例說(shuō)明。

[1]李曉峰，馮登國(guó)，陳朝武，房子河.基于屬性的訪問(wèn)控制模型[J].通信學(xué)報(bào)，2008.

[2]房梁，殷麗華，郭云川，方濱興.基于屬性的訪問(wèn)控制關(guān)鍵技術(shù)研究綜述[J].計(jì)算機(jī)學(xué)報(bào)，2017.

[3]H Wang，J Cao，Y Zhang. Delegating revocations and authorizations in collaborative business environments[J].Information Systems Frontier，2009.

[4]王濤，曾慶凱.動(dòng)態(tài)安全策略的權(quán)限撤銷(xiāo)研究[J].計(jì)算機(jī)應(yīng)用，2009.

[5]單智勇，孫玉芳.安全操作系統(tǒng)安全屬性即時(shí)撤銷(xiāo)研究[J].計(jì)算機(jī)研究與發(fā)展，2002.

[6]Gong L．A secure identity based capability system[A]．Proceedings of the 1989 IEEE Symposium on Security and Privacy[C].Washington DC：IEEE Computer Society，1989.

[7]鐘衛(wèi)，舒堅(jiān)，楊豐玉，劉琳嵐.基于授權(quán)步數(shù)和角色差度的轉(zhuǎn)授權(quán)模型[J].計(jì)算機(jī)工程，2010.

[8]Sandhu R，Coyne E J，F(xiàn)einstein H L，Youman C E．Role based access control models[J].IEEE Computer，1996.

[9]Barka E S．Framework for role based delegation models[D].Virginia：George Mason University School of Information Technology and Engineering，2002.

[10]Zhang Long—hurt，Alan Gail—Joon，Chu Bei—tseng．A rule based framework for role based delegation and revocation[J].ACM Transactions on Infonmtion and System Security，2008.

[11]孫波，趙慶松，孫玉芳.TRDM——具有時(shí)限的基于角色的轉(zhuǎn)授權(quán)模型[J].計(jì)算機(jī)研究與發(fā)展，2004.

[12]葉春曉，符云清，李響.基于屬性委托模型中的自動(dòng)委托撤銷(xiāo)[J].同濟(jì)大學(xué)學(xué)報(bào)（自然科學(xué)版），2010.

[14]李赤松，李戰(zhàn)春，江敏.基于歐拉圖的授權(quán)擴(kuò)散拓?fù)錁?gòu)建與授權(quán)撤銷(xiāo)[J].小型微型計(jì)算機(jī)系統(tǒng)，2012.

[15]李赤松.訪問(wèn)控制中授權(quán)一致性問(wèn)題的研究[D].華中科技大學(xué)，2012.

[16]于芳芳.基于屬性的權(quán)限訪問(wèn)控制研究與應(yīng)用[D].河北工業(yè)大學(xué)，2014.

[17]李赤松，李戰(zhàn)春，江敏.基于歐拉圖的授權(quán)擴(kuò)散拓?fù)錁?gòu)建與授權(quán)撤銷(xiāo)[J].小型微型計(jì)算機(jī)系統(tǒng)，2012.