支持中國墻策略的云組合服務信息流控制模型

劉明聰，王　娜

(1.信息工程大學，鄭州 450001；　2.數學工程與先進計算國家重點實驗室，鄭州 450001)(*通信作者電子郵箱twftina_w@126.com)

0　引言

云服務以其高可靠性與低成本的優勢逐漸被廣泛應用到電子政務、電子商務、協作醫療及網絡購物等各個領域。隨著商業過程漸漸復雜，單一的云服務已經無法滿足用戶需求，云服務被組合起來形成組合服務為用戶提供更加豐富的功能。但是服務提供商間可能存在商業上的競爭關系，從而導致各云服務間的利益沖突(Conflict of Interest， COI)。云服務間利益沖突的存在要求云組合服務必須對組件服務間的信息流動進行控制，以防止敏感數據隨著服務間的消息傳遞在存在利益沖突的服務間流動，給相關服務提供商造成一定的損失。

中國墻模型[1-2]可解決利益沖突問題。近年來，學者們紛紛提出面向云計算與云服務的中國墻策略模型或基于中國墻策略的信息流控制方法。2010年，Wu等[3]提出了面向基礎設施即服務(Infrastructure as a Service, IaaS)云的基于中國墻策略的信息流控制方法，該方法將虛擬機視為客體并在此基礎上定義了安全組與利益沖突類的概念，依據BN中國墻模型[1]控制用戶對虛擬機的訪問，以防止有沖突關系的虛擬機之間的信息流動。2013年，Alqahtani等[4]針對服務鏈中如何避免COI的問題，基于BN模型提出了一種防止COI的服務鏈組合方法，并使用安全監控數據庫對COI類進行集中式的審計與監控。但是，該文采用的BN模型的沖突關系劃分是不客觀的[2]，且僅研究了服務鏈的利益沖突問題，沒有考慮更復雜的組合結構。2015年，Fehis等[5-6]提出了一種面向分布式系統(如云計算、社交網絡)的新型中國墻策略模型，該模型針對分布式系統中主、客體間讀、寫操作引起的信息流動，分別從主體與客體兩個方面建立“墻”，以解決一般分布式系統訪問過程中的利益沖突問題。

針對組合服務的信息流控制問題，國內外學者進行了一系列的研究。Hutter等[7]提出了一種基于類型演算的信息流控制方法以安全、動態地組合服務，保護數據在動態服務組合的計算與傳播過程中的安全。She等[8]在2009年提出了一種面向服務鏈的信息流控制(Service Chain Information Flow Control， SCIFC)方法。該方法為服務鏈中的信息流建立了一種安全增強模型，并且提出了請求流和響應流中的控制協議，以防止服務鏈中敏感信息泄漏給不被信任的服務。2011年，She等[9]進一步提出了面向運行中服務鏈的信息流控制方法。該方法在分析服務鏈運行過程中本地訪問數據與動態產生數據間依賴關系的基礎上，給出了服務鏈中服務如何釋放敏感數據與接收何種類型數據的策略。在She等工作的基礎上，Yu等[10]提出了組合服務中一種新的面向服務鏈的基于標簽的分布式信息流控制(Label-Based Information Flow Control， LBIFC)方法，以解決SCIFC中數據對象的利益相關者的計算過于低效的問題。Xi等[11]提出了一種面向云計算環境的基于信息流控制的分布式服務組合方法。該方法首先定義了面向組合服務的多級安全模型，在組合過程中先驗證每個組件服務是否滿足該模型，然后再進行服務組合，以確保所構建組合服務的信息流安全。Solanki等[12]針對面向服務的系統提出了一種訪問與信息流控制方法。該方法為每個數據對象附上數據依賴列表，在服務主體訪問數據對象時不僅進行傳統的訪問控制，而且檢查是否滿足數據依賴表中的相關域的信息流策略，以保護多域環境下服務組合時的信息流安全。需要指出的是，上述面向組合服務的信息流控制模型與方法都只是單一地解決了數據的機密性(或完整性)問題，防止信息的非授權泄露與篡改，并沒有解決云組合服務中的利益沖突問題。

基于此，本文通過構建云組合服務的加權有向圖模型，形式地描述了具有復雜組合結構的云組合服務中的信息流；提出了云服務間聯盟關系與數據依賴關系的概念，將云服務間的沖突關系擴展為組合沖突關系，以準確表述云組合服務面臨的利益沖突問題；引入中國墻策略，提出了一種支持中國墻策略的云組合服務信息流控制(Chinese Wall-based Cloud Composite Service Information Flow Control， CW-CCSIFC)模型，以解決云組合服務面臨的組合沖突問題，并給出了模型的形式化定義及相關定理證明。定理的證明與分析說明了CW-CCSIFC模型可以有效保證云組合服務中信息流動滿足中國墻策略，阻止了有沖突關系的云服務間的非法信息流動。最后，舉例說明了模型的實用性。

1　云組合服務模型

云組合服務是一個由云服務及云服務之間的組合關系定義的信息系統。云服務提供商開發出各種各樣功能的服務部署在云平臺上，供服務消費者與其他提供商使用。

定義1云服務s是一個三元組(s.F,s.In,s.Out)。其中:s.In表示云服務s的所有輸入數據的集合；s.Out表示云服務s的所有輸出數據的集合；s.F表示云服務s的計算過程，且s.Out=s.F(s.In)。

圖1　云組合服務中的四種基本結構Fig. 1　Four basic structures of cloud composite service

從圖1可以看出，順序與分支結構中云服務之間的組合關系是確定的，而選擇與循環結構中的云服務間的組合關系與執行條件有關。為了描述云組合服務中服務間的組合關系與其條件執行的概念，引入條件函數φ。

定義2云組合服務中云服務si、sj間的組合關系(如果是分支或循環結構則存在執行條件condi, j)由抽象條件函數φi, j決定，且：

φi, j(si.OutC)=

其中:si.OutC是si.Out中決定執行條件condi, j是否成立的輸出數據集合，且si.OutC?si.Out；函數值為1表示執行組合關系，否則不執行。由函數定義可知，順序與分支結構的組合關系對應值恒為1的常函數。下面給出云組合服務的定義。

定義3云組合服務可表示為加權有向圖(S,R,Γ,I)。其中：S是頂點集，表示所有組件服務的集合{s0,s1,…,sn}；R是邊集，表示所有存在組合關系的組件服務的有序對的集合，如圖1(a)中si和si+1可表示為有序對〈si,si+1〉；Γ是權值集合，表示組合服務的條件函數集{φ0,φ1,φ2,…}；I是邊與權值的映射函數，I:R→Γ。

圖2(a)是某云組合服務示例，圖2(b)是該云組合服務的加權有向圖表示，其中φ0是常函數，其值恒為1。

圖2　云組合服務及其加權有向圖示例Fig. 2　Example for cloud composite service and its weighted directed graphs

定義4在某云組合服務加權有向圖中，如果節點si和sj間存在一條邊的權值均為1的路徑，那么稱從si到sj是可達的。

2　支持中國墻策略的信息流模型

2.1　信息流

云組合服務中形成信息流動的是所有云服務輸入輸出的數據，用O表示考察的所有數據的集合。

定義5O是云組合服務中所有云服務輸入輸出的數據集合，?o∈O? ?s∈S,o∈s.In∪s.Out。

云組合服務中數據可分為兩類：①清潔數據，指不含有任何云服務敏感信息的數據，用O0表示所有清潔數據的集合；②敏感數據，指含有某些服務敏感信息的數據，用Om表示所有敏感數據的集合。顯然，O=O0∪Om。

云服務的數據處理與服務間的組合導致了云組合服務中信息的流動。云組合服務信息流分為兩類：①直接信息流，指發生在一次服務計算中或者發生在一次相鄰服務交互過程中的信息流動；②組合信息流，指由多個連續的直接信息流產生的信息流動。

直接信息流又存在兩種類型。

1)隱式信息流。由條件函數計算產生的信息流，這種信息流動發生在選擇或循環結構中。

2)顯式信息流。由云服務的計算操作或相鄰服務間的消息傳遞引起的信息流，這種信息流動發生在任意的組合結構中。

定義7?o∈O,o′∈O且o∈si.In∪si.Out,o′∈sj.In∪sj.Out，其中si,sj∈S：

1)當si=sj時，若o∈si.In,o′∈si.Out則存在顯式信息流o→o′；

定義7中定義了兩種顯式信息流，條件1)指o與o′分別是同一個服務的輸入與輸出；條件2)中sj是si的直接后繼，并且si輸出的數據o就是后繼服務sj的輸入數據o′。

顯式信息流會直接導致數據內容由一個云服務流向下一個云服務，而隱式信息流是產生顯式信息流并進一步產生組合信息流的必要條件，但本身并不直接導致數據內容的流動，不會直接產生利益沖突問題，所以接下來僅考慮由多次顯式信息流引起的組合信息流。

定義8?o∈O,o′∈O，si,sj∈S，且o∈si.In∪si.Out，o′∈sj.In∪sj.Out，若?o″∈O，且o″∈sk.In∪sk.Out，若sk∈Suc(si)∪{si}且sk∈Pre(sj)∪{sj}，并且滿足o→o″,o″→o′，則存在組合信息流o→o′。

在下面的部分，我們將顯式信息流以及組合信息流統稱為信息流，不再考慮隱式信息流。

2.2　組合沖突關系

云服務由眾多的服務提供商部署運營，這些提供商之間由于商業上的競爭關系會導致其所屬的云服務之間存在沖突關系(Conflict of Interest Relation， CIR)。

定義9?s,s′∈S，若s與s′的提供商間存在商業上的競爭關系，則認為s與s′之間存在沖突關系，記為(s,s′)，系統中所有存在沖突關系的云服務對集合記為CIR，CIR?S×S，沖突關系具有以下性質：

1)反自反性：(s,s)?CIR；

2)對稱性：(s,s′)∈CIR? (s′,s)∈CIR。

定義10?s∈S，s有聯盟關系IAR(s)?S，若s′滿足以下條件之一，則s′∈IAR(s)。

1)s′=s；

定義11?om∈Om，om有依賴關系DDR(om)?S，若?s′∈S,om∈s′.Out且s∈IAR(s′)，則s∈DDR(om)。

根據云服務的聯盟關系與數據的依賴關系，可以定義云服務與數據的組合沖突關系(Composite Service-Conflict of Interest Relation， CS-CIR)來表示云組合服務中信息流動引起的沖突問題。

定義12?s∈S，s有組合沖突關系CS-CIR(s)?S，若?s′∈IAR(s)，存在(s′,s″)∈CIR，則s″∈CS-CIR(s)。

定義13?om∈Om，om有組合沖突關系CS-CIR(om)?S，?s∈DDR(om)，存在(s,s′)∈CIR，則s′∈CS-CIR(om)。

本文提出CW-CSIFC模型的目的就是為了解決云組合服務中的組合沖突問題。

2.3　模型描述

CW-CCSIFC模型可以用三條規則與兩個公理描述。在云組合服務的執行過程中，云服務的聯盟關系與組合沖突關系和數據的依賴關系與組合沖突關系會隨著服務過程中云服務的輸入輸出而動態變化。下面給出云服務的聯盟關系與組合沖突關系和數據的依賴關系與組合沖突關系的計算規則。

規則1初始狀態下，?s∈S，IAR(s)={s}，CS-CIR(s)={s′|?s′∈S,(s,s′)∈CIR}；?om∈Om，DDR(om)=?，CS-CIR(om)=?。

規則2如果敏感數據om輸入云服務s(om∈Om,s∈S)，則更新云服務的聯盟關系與組合沖突關系，即CS-CIR(s)=CS-CIR(s)∪CS-CIR(om),IAR(s)=IAR(s)∪DDR(om)。

規則3如果云服務s輸出敏感數據om(om∈Om,s∈S)，則更新數據的依賴關系與組合沖突關系，即CS-CIR(om)=CS-CIR(om)∪CS-CIR(s)，DDR(om)=DDR(om)∪IAR(s)。

下面給出云組合服務中云服務輸入輸出控制應遵循的公理，以防止發生非法的信息流動。

公理1簡單安全性。云服務s允許敏感數據om輸入(om∈Om,s∈S)，當且僅當CS-CIR(s)∩DDR(om)=?或CS-CIR(om)∩IAR(s)=?。

公理2*-屬性。云服務s允許輸出敏感數據om(om∈Om,s∈S)，當且僅當CS-CIR(om)∩IAR(s)=?或CS-CIR(s)∩DDR(om)=?。

2.4　模型性質

定理1一致性定理。

1)?s,s′,s″∈S，s′∈IAR(s)∧(s′,s″)∈CIR?s″?IAR(s)；

2)?om∈Om,s′,s″∈S，s′∈DDR(om)∧(s′,s″)∈CIR?s″?DDR(om)。

證明定義某時刻云組合服務系統的安全狀態q是由所有組件服務的聯盟關系和敏感數據依賴關系的狀態構成的集合，并且本定理所描述的安全狀態稱為非沖突狀態，反之則稱為沖突狀態。假設Q是系統所有可能的安全狀態的集合，QN是系統所有非沖突狀態的集合，QY是系統所有沖突狀態的集合。

模型規則2與規則3(分別用r2,r3表示)使系統安全狀態發生改變，用狀態轉移函數δ:Q×{r2,r3}→Q表示。假設L是在狀態轉移函數作用下生成的一個安全狀態序列，L=〈q0,q1,q2,…,qn〉，且?qk∈L(1≤k≤n)，qk=δ(qk-1,r2)或qk=δ(qk-1,r3)，初始狀態q0由模型規則1定義。

定理1可以重新描述為：對于任意安全狀態序列中的任一狀態q，都有q∈QN。下面采用數學歸納法證明。

1)對初始狀態q0， 根據規則1定義， ?om∈Om，DDR(om)=?，?s∈S，IAR(s)={s}，顯然，q0∈QN。

2)假設序列中第k-1個狀態qk-1∈QN:

(1)若qk=δ(qk-1,r2)，用反證法可證明qk∈QN。

假設qk∈QY，那么?s,s′,s″∈S，s′,s″∈IAR(s)且(s′,s″)∈CIR。s′,s″存在以下兩種可能方式加入至IAR(s)：①s′,s″分兩次加入IAR(s)。假設s′先被加入，即在qk-1時s′∈IAR(s)，那么s″加入IAR(s)需要通過規則2，即?om∈Om,s∈S，om∈s.In，且s″∈DDR(om)，但是與公理1(簡單安全性)矛盾。由于沖突關系的對稱性，s″先被加入時也會產生矛盾，所以這種情況不成立。②s′,s″同時通過規則2被加入IAR(s)，即?om∈Om,s∈S，om∈s.In，s′,s″∈DDR(om)并且(s′,s″)∈CIR，但是由假設可知，qk-1∈QN，所以不存在這樣的數據o，與假設矛盾。可見，當qk=δ(qk-1,r2)時，qk∈QN。

(2)若qk=δ(qk-1,r3)，用反證法可證明qk∈QN。

假設qk∈QY，那么?om∈Om,s′,s″∈S，s′,s″∈DDR(om)且 (s′,s″)∈CIR。s′,s″存在以下兩種可能方式加入至DDR(om)：①s′,s″分兩次加入DDR(om)。假設s′先被加入，即在qk-1時s′∈DDR(om),那么s″加入DDR(om)需要通過規則3，即?om∈Om,s,s″∈S，om∈s.Out，且s″∈IAR(s)，但是與公理2(*-屬性)矛盾。由于沖突關系的對稱性，s″先被加入時也會產生矛盾，所以這種情況不成立。②s′,s″同時通過規則2加入DDR(om)，即?s,s′,s″∈S，s′,s″∈IAR(s)∧(s′,s″)∈CIR。但是由假設可知qk-1∈QN，所以不存在這樣的云服務s，與假設矛盾。可見，當qk=δ(qk-1,r3)時，qk∈QN。

綜上1)、2)所述，對于任意安全狀態序列中的任一狀態q，都有q∈QN。定理成立。

證明下面針對不同類型的信息流，分別進行證明。

綜上所述，定理成立。

3　模型分析與應用

3.1　模型分析

定理1保證了模型中任意云服務的聯盟關系或數據的依賴關系中不存在有沖突關系的數據集，說明模型不會產生矛盾，而定理2說明模型準確地表達了由信息流動導致的組合沖突問題。下面的定理將證明本文模型可以有效保證云組合服務中信息流動滿足中國墻策略。

定理1、2、3的證明顯示，CW-CCSIFC模型能夠正確地表達云組合服務信息流動過程中的利益沖突問題，并且可以有效地阻止非法的信息流動。

3.2　與傳統中國墻模型的比較

CW-CCSIFC模型是針對云組合服務中的信息流安全問題提出的中國墻模型的改進模型，與傳統的中國墻模型相比最大的區別在于它的分布式特性。在實際應用中，傳統的中國墻模型(如BN模型[1])需要集中地維護一個訪問矩陣以記錄主體對客體的訪問歷史，主體不攜帶歷史信息也沒有安全標簽，當主體訪問客體時，需要系統檢查訪問矩陣判斷是否違反安全策略。而在CW-CCSIFC模型中主體與客體均有安全標簽，訪問歷史信息被記錄在云服務的聯盟關系(IAR)與數據的依賴關系(DDR)以及它們的組合沖突關系(CS-CIR)中，檢查信息流時僅依據訪問主客體攜帶的信息即可以作出判斷。例如，有主體s，敏感數據o1、o2，且o1、o2之間有利益沖突。傳統模型中可以用-1表示未訪問，0表示拒絕訪問，1表示曾經訪問，s對o1、o2的訪問矩陣可記為M，M=[-1,-1]表示o1、o2均未被訪問過的狀態。當s訪問o1時，先檢查訪問矩陣中的信息以及系統對數據的沖突關系的設置是否允許訪問。而在CW-CCSIFC模型中則可表示為DDR(o1)={o1},CS-CIR(o1)={o2},DDR(o2)={o2},CS-CIR(o2)={o1},IAR(s)=?,CS-CIR(s)=?，當s訪問o1時，直接根據s與o1攜帶的信息即可判斷是否允許訪問。

傳統的中國墻模型對于寫操作的強約束限制了某些正常的信息流動[14]。例如，現有3個敏感數據oA、oB、oC分別屬于石油公司A與石油公司B，銀行C(A與B有利益沖突)，兩個程序f1、f2對這3個數據進行讀、寫操作。在BN模型中，若f1讀過oA后就不允許對oC進行寫操作(實際上是對A公司以外的任何數據都不允許進行寫操作)，雖然這兩者并沒有沖突關系。這是因為如果允許f1對oC進行寫操作，那么oC就可能含有oA的信息，而BN模型中f2讀過oB以后，再讀取oC是被允許的，這會導致oA與oB的信息同時流向了f2，違反信息流安全策略。而CW-CCSIFC模型對寫操作的約束較弱，現將數據的輸入看作讀操作，輸出看作寫操作，并定義系統初始狀態：DDR(oA)={A},CS-CIR(oA)={B},DDR(oB)={B},CS-CIR(oB)={A},DDR(oC)={C},CS-CIR(oC)=?,IAR(f1)=?,CS-CIR(f1)=?,IAR(f2)=?,CS-CIR(f2)=?。在使用CW-CCSIFC模型進行控制時，允許f1讀取oA再對oC進行寫操作，這之后CS-CIR(oC)={B}，如果f2讀過oB后IAR(f2)={B}，再讀取oC則會因違反簡單安全性被拒絕，從而避免了非法的信息流動。

3.3　模型應用

本節將用一個實例說明模型是怎樣發揮作用的。考慮一個如圖3所示的復雜的云組合服務，其中s0是組合服務的發起者，它將根據φ1與φ3選擇執行云服務s1或s3。當它選擇s1后，將根據φ2與φ4選擇執行云服務s2或s4；而選擇s3后，將根據φ5與φ6選擇執行云服務s4或s5。最后執行云服務s6(φ0為常函數其值為1)。

圖3　信息流模型應用示例Fig. 3　An example of information flow model

在這7個服務中，在考慮到利益沖突問題以后，給出沖突關系集合CIR={(s1,s3),(s2,s4),(s4,s5)}。為了避免發生利益沖突，應用CW-CCSIFC模型對該組合服務的信息流動進行控制。為了體現模型的效果，默認服務在輸出時一定含有敏感數據。

假設當該組合服務第一次運行時，φ1=1,φ2=1,φ3=0,φ4=0，組合服務的執行路徑為s0→s1→s2→s6，各服務的聯盟關系與組合沖突關系更新如表1所示。

表1　云服務狀態1Tab. 1　The first cloud service state

假設當該云組合服務第二次運行時φ1=0,φ3=1,φ5=1,φ6=0，那么組合服務的執行路徑將是s0→s3→s5→s6。但是，當執行到服務s5時，各服務的聯盟關系與組合沖突關系更新如表2所示。云服務s5輸出的任意敏感數據om，都有{s1,s4}?CS-CIR(o)，而IAR(s6)={s0,s1,s2,s6}，由公理2可知，s5輸出的敏感數據將被s6拒絕，阻斷了具有組合沖突關系的s5和s6間的敏感信息流動。

表2　云服務狀態2Tab. 2　The second cloud service state

4　結語

本文將中國墻策略引入到云組合服務的信息流模型中，以解決云組合服務中的利益沖突問題。通過定義云服務的聯盟關系與數據的依賴關系，將云服務間的沖突關系擴展為云服務與數據的組合沖突關系，提出了一種面向云組合服務的支持中國墻策略的信息流控制模型——CW-CCSIFC。分析表明，CW-CCSIFC模型可以有效地阻止具有組合沖突關系的云服務間的敏感信息流動，保護云組合服務的信息流安全。

CW-CCSIFC模型的沖突擴散特點(見定理2)將導致云組合服務中出現越來越多的組合沖突關系，這會使系統中的信息流限制不斷增加，影響系統的可用性。如何精確地標記沖突關系以實現細粒度的信息流控制，以及如何安全地進行組合沖突關系的清理，將是我們下一步研究的重點。

參考文獻:

[1]BREWER D F C, NASH M J. The Chinese Wall security policy [C]// Proceedings of the 1989 IEEE Symposium on Security and Privacy. Washington, DC: IEEE Computer Society, 1989: 206-214.

[2]LIN T Y. Chinese Wall security policy — an aggressive model [C]// Proceedings of the 1989 Fifth Annual Computer Security Applications Conference. Piscataway, NJ: IEEE, 1990: 286-293.

[3]WU R, AHN G-J, HU H, et al. Information flow control in cloud computing [C]// Proceedings of the 2010 6th International Conference on Collaborative Computing: Networking, Applications and Worksharing. Piscataway, NJ: IEEE, 2010: 1-7.

[4]ALQAHTANI S M, GAMBLE R, RAY I. Auditing requirements for implementing the Chinese Wall model in the service cloud [C]// SERVICES ’13: Proceedings of the 2013 IEEE Ninth World Congress on Services. Washington, DC: IEEE Computer Society, 2013: 298-305.

[5]FEHIS S, NOUALI O, KECHADI T. A new Chinese Wall security policy model based on the subject’s wall and object’s wall [C]// ICACC 2015: Proceedings of the 2015 International Conference on Anti-Cybercrime. Piscataway, NJ: IEEE, 2015: 1-6.

[6]FEHIS S, NOUALI O, KECHADI M-T. A new distributed Chinese Wall security policy model [J]. Journal of Digital Forensics, Security and Law, 2016, 11(4): Article 11.

[7]HUTTER D, VOLKAMER M. Information flow control to secure dynamic Web service composition [C]// SPC 2006: Proceedings of the 2006 International Conference on Security in Pervasive Computing, LNCS 3934. Berlin: Springer, 2006: 196-210.

[8]SHE W, YEN I-L, THURAISINGHAM B, et al. The SCIFC model for information flow control in Web service composition [C]// ICWS ’09: Proceedings of the 2009 IEEE International Conference on Web Services. Piscataway, NJ: IEEE, 2009: 1-8.

[9]SHE W, YEN I-L, THURAISINGHAM B, et al. Rule-based run-time information flow control in service cloud [C]// ICWS 2011: Proceedings of the 2011 20th IEEE International Conference on Web Services. Washington, DC: IEEE Computer Society, 2011: 524-531.

[10]YU B, YANG L, CHEN S, et al. An information flow control approach in composite services [C]// IETICT 2013: Proceedings of the 2013 IET International Conference on Information and Communications Technologies. [S.l.]: IET, 2013: 263-269.

[11]XI N, SUN C, MA J, et al. Secure service composition with information flow control in service clouds [J]. Future Generation Computer Systems, 2015, 49: 142-148.

[12]SOLANKI N, HOFFMAN T, YEN I-L, et al. An access and information flow control paradigm for secure information sharing in service-based systems [C]// COMPSAC 2015: Proceedings of the 2015 IEEE 39th Computer Software and Applications Conference. Washington, DC: IEEE Computer Society, 2015: 60-67.

[13]XI N, SUN C, MA J, et al. Distributed information flow verification for secure service composition in smart sensor network [J]. China Communications, 2016, 13(4): 119-130.

[14]馬俊,王志英,任江春,等. 一種實現數據主動泄漏防護的擴展中國墻模型[J].軟件學報,2012, 23(3):677-687. (MA J, WANG Z Y, REN J C, et al. Extended Chinese Wall model for aggressive data leakage prevention [J]. Journal of Software, 2012, 23(3): 677-687.)