摘要：传统的授权与认证主要解决了用户的身份信任问题，但并没有解决用户行为的信任问题。基于此，从解决系统安全需求的角度出发，提出了一种基于用户行为的可信模型。该模型将网络服务的用户看作主体，计算机系统中的文件和数据看作客体，对不同的主体和客体分别赋予不同的机密性级别和完整性级别；同时，将用户对系统的服务请求映射为主体对客体的访问，通过定义模型的安全属性、安全策略以及用于约束用户行为的规则，构造了一个安全、可信的系统。

关键词：用户行为 信任 安全属性 安全策略 规则 

单位：国防科学技术大学计算机学院 湖南长沙410073 信息工程大学信息工程学院 河南郑州450002