摘  要： 設(shè)計(jì)了一種專門應(yīng)用于企業(yè)級(jí)系統(tǒng)移動(dòng)智能終端訪問控制框架，拓展DTE安全機(jī)制，彈性動(dòng)態(tài)地對(duì)重要應(yīng)用進(jìn)程進(jìn)行預(yù)留系統(tǒng)資源且對(duì)其進(jìn)行統(tǒng)一分配與管理，能夠有效預(yù)防系統(tǒng)資源競(jìng)爭(zhēng)而發(fā)生的沖突問題。相比傳統(tǒng)的訪問控制框架而言，該移動(dòng)智能終端訪問控制框架不僅保證了企業(yè)級(jí)系統(tǒng)敏感數(shù)據(jù)信息的機(jī)密性和完整性，同時(shí)也滿足了可用性要求。
關(guān)鍵詞： 移動(dòng)智能終端；訪問控制框架；預(yù)留系統(tǒng)資源；可用性

    隨著現(xiàn)代信息科技的不斷進(jìn)步，移動(dòng)智能領(lǐng)域獲得了前所未有的發(fā)展，移動(dòng)智能終端逐漸成為人們生活中不可缺少的日常工具，如移動(dòng)智能手機(jī)、商務(wù)掌中寶、個(gè)人數(shù)字助理等。由于在便攜性與智能計(jì)算能力等方面得到了廣泛提高，移動(dòng)智能終端已開始應(yīng)用于各大行業(yè)領(lǐng)域。與此同時(shí)，移動(dòng)智能終端的安全問題也愈來愈突出，如病毒感染、惡意代碼攻擊、數(shù)據(jù)信息泄露、系統(tǒng)資源浪費(fèi)、應(yīng)用進(jìn)程無法響應(yīng)以至于死機(jī)等。企業(yè)級(jí)系統(tǒng)是一個(gè)國(guó)家賴以生存的支柱型行業(yè)領(lǐng)域，對(duì)移動(dòng)智能計(jì)算的需求也逐漸提升。因此，如何保證企業(yè)級(jí)系統(tǒng)移動(dòng)智能終端的安全性，已成為備受關(guān)注的焦點(diǎn)。
    機(jī)密性、數(shù)據(jù)完整性以及可用性是用戶對(duì)移動(dòng)智能終端的基本安全需求。傳統(tǒng)的訪問控制技術(shù)只能有效地保證數(shù)據(jù)信息的機(jī)密性與完整性，對(duì)可用性并沒有進(jìn)行充分的考慮與完善。傳統(tǒng)訪問控制技術(shù)的應(yīng)用場(chǎng)合一般針對(duì)于個(gè)人PC。盡管移動(dòng)智能終端的軟硬件配置都在不斷提高，但與個(gè)人PC相比還是顯得不足。不良攻擊型的代碼應(yīng)用程序更容易導(dǎo)致系統(tǒng)資源的浪費(fèi)，致使企業(yè)級(jí)系統(tǒng)中的重要應(yīng)用進(jìn)程得不到及時(shí)響應(yīng)，從而形成分布式拒絕服務(wù)（DDos）攻擊，所以若將傳統(tǒng)訪問控制技術(shù)直接應(yīng)用于移動(dòng)智能終端中，移動(dòng)智能終端的安全性將得不到保障。相比于個(gè)人PC、工作服務(wù)器等平臺(tái)，企業(yè)級(jí)系統(tǒng)移動(dòng)智能終端主要包括以下幾個(gè)特點(diǎn)：(1)移動(dòng)智能計(jì)算能力與系統(tǒng)資源有限；(2)通信交互依賴于無線網(wǎng)絡(luò)等公共媒介；(3)單一型用戶系統(tǒng)；(4)易丟失、盜竊等。
    企業(yè)級(jí)系統(tǒng)移動(dòng)智能終端的各個(gè)特點(diǎn)對(duì)訪問控制技術(shù)提出了更高標(biāo)準(zhǔn)，如可用性、實(shí)時(shí)性等?？捎眯允侵敢苿?dòng)智能終端[1]必須對(duì)重要的、關(guān)鍵的企業(yè)級(jí)系統(tǒng)應(yīng)用進(jìn)程進(jìn)行及時(shí)響應(yīng)；實(shí)時(shí)性是指移動(dòng)智能終端應(yīng)該與企業(yè)級(jí)系統(tǒng)進(jìn)行實(shí)時(shí)交互，實(shí)現(xiàn)一體化操作等。
1 相關(guān)研究
    迄今為止，已有一些研究學(xué)者與單位鉆研于如何提高移動(dòng)智能終端的安全性，也提出了眾多相對(duì)應(yīng)的安全解決方案與安全結(jié)構(gòu)。例如可信計(jì)算組織(Trusted Computing Group)設(shè)計(jì)出一種統(tǒng)一的TCG移動(dòng)智能終端安全系統(tǒng)結(jié)構(gòu)[2]，且應(yīng)用平臺(tái)不限于移動(dòng)智能終端，也可以是個(gè)人PC與工作服務(wù)器。在TCG安全系統(tǒng)結(jié)構(gòu)中，主要包括以下幾種特點(diǎn)：(1)系統(tǒng)安全保護(hù)能力；(2)移動(dòng)智能終端數(shù)據(jù)信息完整性比較；(3)一份通過完整性比較之后得到的系統(tǒng)安全完整性報(bào)告。在系統(tǒng)安全保護(hù)能力這個(gè)特點(diǎn)中，可信計(jì)算組織定義了一個(gè)移動(dòng)智能終端訪問控制機(jī)制，主要是保護(hù)那些涉及敏感數(shù)據(jù)訪問的應(yīng)用進(jìn)程?？尚乓苿?dòng)平臺(tái)（Trusted Mobile Platform）是針對(duì)移動(dòng)無線平臺(tái)提出的一種TMP移動(dòng)智能終端安全系統(tǒng)結(jié)構(gòu)，這個(gè)安全系統(tǒng)結(jié)構(gòu)主要包括硬軟件安全結(jié)構(gòu)[3]以及相關(guān)規(guī)范。TMP安全系統(tǒng)結(jié)構(gòu)中的軟件結(jié)構(gòu)通過硬件特點(diǎn)來提升整個(gè)移動(dòng)智能平臺(tái)的安全性能。一般基于可信條件下的移動(dòng)智能終端支持兩種不同的訪問控制模型，分別為自主動(dòng)態(tài)模型與強(qiáng)制命令模型。這兩個(gè)訪問控制模型都建立在硬件的域分欄機(jī)制之上，以確保對(duì)數(shù)據(jù)信息與系統(tǒng)資源的訪問都是通過合法授權(quán)的。
    通過上述歸納分析，雖然已有多種移動(dòng)智能終端安全解決方案與安全結(jié)構(gòu)，但始終未從移動(dòng)終端的硬件條件與水平以及企業(yè)級(jí)系統(tǒng)的角度出發(fā)，致使在基于有限的系統(tǒng)資源的條件下無法確保企業(yè)級(jí)系統(tǒng)重要的應(yīng)用進(jìn)程及時(shí)得到響應(yīng)與交互。本文設(shè)計(jì)的基于企業(yè)級(jí)系統(tǒng)移動(dòng)智能終端的訪問控制框架，不僅能夠保證數(shù)據(jù)信息的機(jī)密性與完整性，同時(shí)也滿足了可用性要求。
2 系統(tǒng)訪問控制框架
    企業(yè)級(jí)系統(tǒng)的移動(dòng)智能終端是單一型用戶系統(tǒng)，系統(tǒng)中主動(dòng)操作訪問控制的主體是應(yīng)用進(jìn)程。受到保護(hù)的客體主要分為以下幾種：(1)動(dòng)態(tài)系統(tǒng)資源：移動(dòng)智能系統(tǒng)中動(dòng)態(tài)調(diào)度與管理的資源，如物理內(nèi)存頁面、時(shí)間消耗量以及CPU處理時(shí)間等。(2)靜態(tài)系統(tǒng)資源：移動(dòng)智能系統(tǒng)中靜態(tài)或固定存在的資源，如敏感數(shù)據(jù)信息、軟硬件接口等。
    關(guān)于靜態(tài)系統(tǒng)資源的訪問控制機(jī)制已有較為成熟的訪問控制框架模型，其中DTE安全機(jī)制[4]由于各種優(yōu)于其他訪問控制機(jī)制的特點(diǎn)而受到關(guān)注，如簡(jiǎn)單靈活多變、結(jié)構(gòu)功能強(qiáng)大等，且多用于Linux、Unix等操作系統(tǒng)中。因此選擇DTE安全機(jī)制作為企業(yè)級(jí)系統(tǒng)的移動(dòng)智能終端訪問控制框架的雛形模型，用于控制對(duì)靜態(tài)系統(tǒng)資源的訪問與應(yīng)用，且依據(jù)企業(yè)級(jí)系統(tǒng)的不同安全需求對(duì)DTE安全機(jī)制進(jìn)行配置與完善。在企業(yè)級(jí)系統(tǒng)數(shù)據(jù)信息的機(jī)密性與完整性得到保證的條件下，彈性地對(duì)DTE安全機(jī)制進(jìn)行拓展，提高其移動(dòng)智能終端的可用性。此外，提出一種系統(tǒng)資源預(yù)留的相關(guān)概念，在其訪問控制框架中引入了動(dòng)態(tài)系統(tǒng)資源控制功能，為企業(yè)級(jí)系統(tǒng)實(shí)時(shí)交互的重要應(yīng)用進(jìn)程預(yù)留系統(tǒng)資源，防止與其他應(yīng)用進(jìn)程產(chǎn)生資源競(jìng)爭(zhēng)與沖突，從而確保系統(tǒng)及時(shí)響應(yīng)關(guān)鍵應(yīng)用進(jìn)程。
    如圖1所示，在企業(yè)級(jí)系統(tǒng)的移動(dòng)智能終端訪問控制框架中，在基于可信[5]的整體系統(tǒng)環(huán)境下，主體（主動(dòng)進(jìn)程）向安全服務(wù)器提交對(duì)客體（被保護(hù)）的訪問請(qǐng)求，訪問代理機(jī)制在安全服務(wù)器中截取到相關(guān)訪問請(qǐng)求，以安全標(biāo)準(zhǔn)策略庫為依據(jù)，從中獲取對(duì)應(yīng)的安全標(biāo)準(zhǔn)策略信息，按照被保護(hù)客體的類型將訪問請(qǐng)求與對(duì)應(yīng)的安全標(biāo)準(zhǔn)策略一同提交到預(yù)留控制器（動(dòng)態(tài)預(yù)留系統(tǒng)資源）以及訪問控制器（靜態(tài)訪問系統(tǒng)資源）中，然后通過它們得到相關(guān)的訪問決策信息，最后將一系列的最終結(jié)果回饋給訪問代理機(jī)制，且將訪問決策信息通知主體。

3 功能實(shí)現(xiàn)與詳細(xì)設(shè)計(jì)
3.1 訪問代理機(jī)制
    主動(dòng)進(jìn)程向安全服務(wù)器發(fā)出相關(guān)的訪問請(qǐng)求，然后由訪問代理機(jī)制獲取其訪問請(qǐng)求信息，且從安全標(biāo)準(zhǔn)策略庫中取得相對(duì)應(yīng)的安全標(biāo)準(zhǔn)策略信息。依據(jù)不同類型的訪問請(qǐng)求信息，訪問代理機(jī)制將其訪問請(qǐng)求以及其對(duì)應(yīng)的安全標(biāo)準(zhǔn)策略一同發(fā)給預(yù)留控制器與訪問控制器，通過它們的結(jié)果回饋給訪問代理機(jī)制，最終由其訪問代理機(jī)制將結(jié)果回復(fù)給主動(dòng)進(jìn)程。具體操作流程信息如下：(1)訪問代理機(jī)制，獲取相關(guān)的訪問請(qǐng)求信息；(2)從移動(dòng)智能終端系統(tǒng)中得到相對(duì)應(yīng)的安全標(biāo)準(zhǔn)策略信息；(3)安全標(biāo)準(zhǔn)策略信息可以區(qū)別為預(yù)留策略信息與訪問策略信息；(4)依據(jù)訪問請(qǐng)求的不同類型，將其各個(gè)策略信息相對(duì)應(yīng)地交付給預(yù)留控制器與訪問控制器；(5)從預(yù)留控制器與訪問控制器中讀取相關(guān)裁定信息；(6)訪問代理機(jī)制，對(duì)裁定信息進(jìn)行處理，并將相關(guān)結(jié)果通知主動(dòng)進(jìn)程。
3.2 訪問控制器
    在企業(yè)級(jí)系統(tǒng)的移動(dòng)智能終端中，訪問協(xié)調(diào)控制不僅需要考慮安全性，而且也需要顧及到易用性，從而便于用戶進(jìn)行相關(guān)管理與配置。訪問控制器采取了一些策略機(jī)制(如DTE安全策略)，如圖2所示。主要包括如下一些關(guān)聯(lián)對(duì)信息：

    (1)客體/型關(guān)聯(lián)對(duì)
    企業(yè)級(jí)系統(tǒng)移動(dòng)智能終端中的客體依據(jù)不同需求信息可以分為4種不同級(jí)別的型，分別是與硬件接口相同級(jí)別的X_Interface型、與企業(yè)級(jí)系統(tǒng)敏感信息相關(guān)的X_Sensitive型、與企業(yè)級(jí)系統(tǒng)中的文件與操作數(shù)據(jù)相關(guān)聯(lián)的X_System型和與其他客體信息對(duì)應(yīng)的X_Other型。
    (2)主動(dòng)進(jìn)程/域關(guān)聯(lián)對(duì)
    企業(yè)級(jí)系統(tǒng)移動(dòng)智能終端中的主體(主動(dòng)進(jìn)程)一般分為Y_Trusted、Y_UnTrusted、Y_Certified 3個(gè)域。出廠就內(nèi)嵌在移動(dòng)智能終端中的固定應(yīng)用進(jìn)程與基本功能，一般屬于Y_Trusted域，此域中的主動(dòng)進(jìn)程權(quán)限最大，可以訪問移動(dòng)智能終端中所有客體信息與系統(tǒng)資源。經(jīng)過第三方驗(yàn)證才能使用的應(yīng)用進(jìn)程與功能程序?qū)儆赮_Certified域，此域中的主動(dòng)進(jìn)程權(quán)限中等，可以訪問X_Interface、X_Sensitive、X_Other等型中的客體信息。未經(jīng)過第三方驗(yàn)證的應(yīng)用進(jìn)程與功能程序都屬于Y_UnTrusted域，此域中的主動(dòng)進(jìn)程權(quán)限最低，僅能夠訪問X_Other型中的客體信息。
3.3 預(yù)留控制器
    (1)預(yù)留分類
    ①電池使用量預(yù)留：依據(jù)不同的應(yīng)用進(jìn)程與功能程序，采用不同的電池使用量模式，如省電模式[6]、標(biāo)準(zhǔn)模式等。
    ②CPU處理器時(shí)間預(yù)留：CPU處理器時(shí)間預(yù)留指的是主動(dòng)進(jìn)程所花費(fèi)在移動(dòng)智能處理器中的固定預(yù)留時(shí)間。移動(dòng)智能終端為每一個(gè)主動(dòng)進(jìn)程在某個(gè)階段都預(yù)留有一定數(shù)量的CPU時(shí)間段。對(duì)于預(yù)留請(qǐng)求信息主要包括計(jì)算時(shí)間量與周期數(shù)量。計(jì)算時(shí)間量表明預(yù)留階段內(nèi)的持續(xù)時(shí)間是多少；周期數(shù)量則表明某一次預(yù)留理論上能夠持續(xù)多少個(gè)階段。
    ③網(wǎng)絡(luò)通信帶寬預(yù)留：網(wǎng)絡(luò)通信帶寬預(yù)留表明在某些應(yīng)用設(shè)備與網(wǎng)絡(luò)程序上所預(yù)留的執(zhí)行時(shí)間，單位為固定網(wǎng)絡(luò)發(fā)送接收包傳送個(gè)數(shù)。
    ④物理內(nèi)存預(yù)留：此類型代表了一些物理內(nèi)存頁面，主要是一些閑散系統(tǒng)資源，因此需要預(yù)留控制器滿足一些閑散資源的預(yù)留功能。
    ⑤資源預(yù)留庫：預(yù)留資源庫指的是幾種管理與調(diào)度主動(dòng)進(jìn)程中的某些類型的系統(tǒng)資源，可以包括至少一種已定義的不同類型預(yù)留。如資源預(yù)留庫SETi可以表示為：SETi={Power_Li，CPU_Time_Li}。
    (2)預(yù)留管理
    預(yù)留管理機(jī)制主要包括準(zhǔn)入裁定、預(yù)留調(diào)度、預(yù)留執(zhí)行3個(gè)不同的環(huán)節(jié)。準(zhǔn)入裁定環(huán)節(jié)是對(duì)預(yù)留請(qǐng)求信息是否被允許進(jìn)行裁定；預(yù)留調(diào)度是基于不同的預(yù)留調(diào)度模式對(duì)移動(dòng)智能終端的系統(tǒng)資源進(jìn)行最大限度的使用；預(yù)留執(zhí)行是指確保主動(dòng)進(jìn)程可以使用其預(yù)留的系統(tǒng)資源。這3個(gè)環(huán)節(jié)都是互相關(guān)聯(lián)的，如使用不同的準(zhǔn)入裁定，都會(huì)對(duì)預(yù)留調(diào)度的安全策略與預(yù)留執(zhí)行流程產(chǎn)生影響。
    ①準(zhǔn)入裁定環(huán)節(jié)：對(duì)于企業(yè)級(jí)系統(tǒng)移動(dòng)智能終端的每個(gè)不同類型的主動(dòng)進(jìn)程域中，只有屬于Y_Trusted域的主動(dòng)進(jìn)程才能預(yù)留系統(tǒng)資源，其余主體域提交的預(yù)留請(qǐng)求信息將會(huì)被作廢或者拒絕。
    ②預(yù)留執(zhí)行環(huán)節(jié)：預(yù)留控制器必須保證主動(dòng)進(jìn)程可以使用移動(dòng)智能終端為其預(yù)留的系統(tǒng)資源，然而主動(dòng)進(jìn)程則可能耗盡其預(yù)留系統(tǒng)資源之后繼續(xù)執(zhí)行下去。依據(jù)不同預(yù)留系統(tǒng)資源的不同類型分析，預(yù)留執(zhí)行環(huán)節(jié)主要是把主動(dòng)進(jìn)程正在使用的預(yù)留系統(tǒng)資源的相關(guān)情況告知預(yù)留調(diào)度器，然后通過預(yù)留調(diào)度器中的安全策略對(duì)主動(dòng)進(jìn)程是否繼續(xù)執(zhí)行做出指示。下面以一個(gè)預(yù)留執(zhí)行示例(CPU處理器時(shí)間預(yù)留)進(jìn)行詳細(xì)分析。如圖3所示。

    在CPU處理器時(shí)間預(yù)留的一個(gè)周期過程中，主動(dòng)進(jìn)程使用本身預(yù)留的系統(tǒng)資源階段稱之為強(qiáng)預(yù)留。在強(qiáng)預(yù)留階段中，某個(gè)主動(dòng)進(jìn)程僅僅允許優(yōu)先級(jí)比自身高的主動(dòng)進(jìn)程搶奪一定的預(yù)留系統(tǒng)資源，計(jì)時(shí)器A告知預(yù)留調(diào)度與處理階段結(jié)束。若移動(dòng)智能終端的預(yù)留系統(tǒng)資源已經(jīng)耗盡，通過使用其他主動(dòng)進(jìn)程預(yù)留的系統(tǒng)資源，某個(gè)主動(dòng)進(jìn)程繼續(xù)執(zhí)行下去，這個(gè)階段稱之為弱預(yù)留，此時(shí)某個(gè)主動(dòng)進(jìn)程可以被預(yù)留系統(tǒng)資源的主動(dòng)進(jìn)程或優(yōu)先級(jí)比自身高的主動(dòng)進(jìn)程搶奪其預(yù)留系統(tǒng)資源，計(jì)時(shí)器B告知預(yù)留調(diào)度與處理階段結(jié)束，若無法使用預(yù)留系統(tǒng)資源，將會(huì)同一般的主動(dòng)進(jìn)程一樣加入調(diào)度庫中進(jìn)行處理。
    ③預(yù)留調(diào)度環(huán)節(jié)：在一般的系統(tǒng)資源預(yù)留模型中，主動(dòng)進(jìn)程與預(yù)留系統(tǒng)資源進(jìn)行綁定，確保某個(gè)主動(dòng)進(jìn)程需要預(yù)留的系統(tǒng)資源時(shí)不會(huì)因?yàn)橛衅渌鲃?dòng)進(jìn)程相互競(jìng)爭(zhēng)其系統(tǒng)資源而發(fā)生沖突。然而由于移動(dòng)智能終端的現(xiàn)實(shí)情況，即系統(tǒng)資源限制性等原因，使用主動(dòng)進(jìn)程與預(yù)留系統(tǒng)資源綁定的形式將會(huì)致使過于剩余的預(yù)留系統(tǒng)資源，從而影響其終端系統(tǒng)的整體性能。企業(yè)級(jí)系統(tǒng)的移動(dòng)智能終端是一個(gè)單一型用戶系統(tǒng)，在固定的時(shí)間節(jié)點(diǎn)只能有一個(gè)主動(dòng)進(jìn)程與用戶進(jìn)行數(shù)據(jù)信息交互。由于預(yù)留的系統(tǒng)資源可以由多個(gè)主動(dòng)進(jìn)程進(jìn)行共享獲取，所以可能存在并發(fā)訪問。系統(tǒng)需要對(duì)不同的主動(dòng)進(jìn)程進(jìn)行不同類型安全策略地調(diào)度與處理。預(yù)留控制器一般是使用基于優(yōu)先級(jí)的安全調(diào)度策略，高優(yōu)先級(jí)的主動(dòng)進(jìn)程具有搶奪預(yù)留系統(tǒng)資源的高權(quán)限，低優(yōu)先權(quán)的主動(dòng)進(jìn)程只能排列在等待隊(duì)列之中，等待高優(yōu)先級(jí)的主動(dòng)進(jìn)程使用完成為止。
3.4 安全標(biāo)準(zhǔn)策略語言
    DTE安全策略機(jī)制主要是由描述性的策略語言進(jìn)行定制使用，用戶可以很靈活、便攜地管理和配置其策略。在企業(yè)級(jí)系統(tǒng)的移動(dòng)智能終端中，安全策略文件與數(shù)據(jù)信息一般將其編譯成二進(jìn)制類型，然后在終端系統(tǒng)開啟時(shí)加載到其安全標(biāo)準(zhǔn)策略庫中，從而確保安全服務(wù)器使用正常。
    安全標(biāo)準(zhǔn)策略語言示例描述如下：
    #Domain Definitions
    / bin/ phone = Y_Trusted
    / usr/ bin/ mpIayer = Y_Certified
    #Type Definitions
    / ect/ network = X_System
    / usr/ IocaI/ abc. mpe = X_Sensitive
    #Access ControI Materix
    （Y_Trusted，X_System，all）
    （Y_Certified，X_Sensitive，rw）
    #Constraints
    （Y_Certified，X_Sensitive，
    TimeintervaI！4：00！19：00）
    #Reservation Definitions
    CPU_Time_L1=10ms，＊＊＊
    Memory_L1=50
    Power_L1= strict
    Set1 =｛CPU_Time_L1，Memory_L1｝
    Set2 =｛Power_L1｝
    / bin/ phone 70
    本文提出了一種基于企業(yè)級(jí)系統(tǒng)的移動(dòng)智能終端訪問控制框架，通過拓展DTE安全機(jī)制，彈性動(dòng)態(tài)地為重要應(yīng)用進(jìn)程預(yù)留系統(tǒng)資源且對(duì)其進(jìn)行統(tǒng)一分配與管理，有效預(yù)防系統(tǒng)資源競(jìng)爭(zhēng)而發(fā)生沖突的問題。相比傳統(tǒng)的訪問控制框架而言，基于企業(yè)級(jí)系統(tǒng)的移動(dòng)智能終端訪問控制框架不僅保證了企業(yè)級(jí)系統(tǒng)敏感數(shù)據(jù)信息的機(jī)密性、完整性，同時(shí)也滿足了其可用性要求。
參考文獻(xiàn)
[1] 辛陽，楊義先.移動(dòng)終端安全模塊技術(shù)研究[J].通訊與電視，2005，31（11）：23-27.
[2] LAMPSON B W.Protection[J].Operating System Rev，1974，8(1)：18-24.
[3] SANDHU R，COYNE E J，F(xiàn)EINSTEIN H L，et al.Rolebased access control madels[J].IEEE Computer，1996，29(2)：38-47.
[4] Badger L，STERNE D F,SHERMAN D L，et al.Practical domain and type enforcement for UNIX[C].In：IEEE Symposium on Security and Privacy，OakIand，1995.
[5] 李濤，胡愛群.可信模塊與強(qiáng)制訪問控制結(jié)合的安全防護(hù)方案[J].東南大學(xué)學(xué)報(bào)（自然科學(xué)版），2011，41（3）：234-238.
[6] SCORDINO C，LIPARI G.Using resource reservation techniques for power-aware scheduling[C].In：Proc.of the 4th  ACM Intl.Conf.on Embedded Software，Pisa，2004.
[7] 劉偉，梁洪亮.移動(dòng)終端系統(tǒng)的訪問控制框架[J].計(jì)算機(jī)科學(xué)，2006，33（6）：299-304.