一個安全的基于任務描述的移動代理系統

摘 要：為解決移動代理技術中的安全問題提出了一種全新的基于任務描述的移動代理定義和實現方法，據此設計并實現了一個安全的移動代理系統。該系統通過中介/管理Agency統一派發代理，借鑒Java 2安全模型進行本地資源保護，利用信任模型管理并調整系統中平臺之間的信任關系。它可以保證平臺的安全，也可以利用事后的檢測手段發現對代理的攻擊，同時利用信任模型調整對惡意平臺的信任度來維護整個系統的安全運行。

關鍵詞：移動代理；安全；任務描述；中介/管理Agency；信任模型

中圖分類號：TP311文獻標志碼：A

文章編號：1001—3695(2007)03—0152—05

移動代理是指一種能在異構計算機網絡中自主遷移并能夠代表其所有者完成一定任務的程序。它與傳統客戶/服務器模式和其他移動代碼技術相比，具有自治性、主動性、移動性和適應性等優良性質，且具有廣泛的應用領域。但是困擾移動代理技術的一個主要問題是安全問題，即保護平臺不會遭到來自代理的攻擊、保護代理在平臺上運行時不會遭到來自平臺的攻擊。安全問題不解決必將阻礙移動代理技術快速、廣泛地發展和應用，因此研究移動代理技術的安全問題具有極其重要的意義和價值。

目前對于移動代理的安全問題已經有了一些相應的解決措施，如保護平臺的安全可以采用錯誤域隔離、安全的代碼解釋和使用帶有證明的代碼等；對于保護代理可以采用執行跟蹤和使用加密函數進行計算等方法。雖然上述方法在一定程度上均分別保護了平臺和代理，但是它們仍存在不足，如不夠靈活、有太強的應用限制等。本文的工作就是針對目前移動代理技術中安全問題難以解決的現狀，提出了基于任務描述的移動代理概念，并在此基礎上構建了一個安全的移動代理系統——基于任務描述的移動代理（Task Description—Based Mobile Agents， TDBMA）系統。在TDBMA系統中，移動代理實現為對代理要在各平臺上執行任務進行描述的XML形式的數據包，使用特殊的代理平臺——中介/管理Agency統一派發代理。代理平臺使用Java 2的安全模型進行本地資源保護，并且使用信任模型來管理并調整系統中平臺間的信任關系。本文分析了使用基于任務描述的移動代理的可行性，并論證了TDBMA系統的安全性。為便于區分，本文稱人們目前普遍認可的、經典的移動代理為主流的移動代理，而對于本文新提出的移動代理稱為基于任務描述的移動代理。

1 主流移動代理技術中的安全解決方案

在移動代理系統中，安全問題主要分為對代理和對代理平臺的保護。目前保護代理平臺的技術有：①沙箱方法（Sandbox）[1]，它限制到來的移動代理的訪問，但訪問限制過于嚴格。②安全的代碼解釋（Safe Code Interpretation），它使用解釋性的腳本或程序設計語言來開發系統，如SafeTcl[2]，從而可以分析代理指令的安全性，但要分析多條指令組合的安全性比較困難。③使用帶有證據的代碼（Proof—Carrying Code，PCC）[3]，它允許平臺有效地證明到來的移動代理不會危害平臺。目前已經有了一些PCC的實現，如Touchstone系統[4]能夠自動生成安全證據并且適用于大型程序，但是它的驗證器代碼非常難以理解和信任；Foundational Proof—Carrying Code(FPCC)[5]試圖通過去掉證明條件生成器來把需要信任的計算庫減到最小并且提高靈活性，但是FPCC的實現是非常困難的；G.C. Necula提出可配置的帶有證據的代碼框架（Configurable Proof—Carrying Code，CPCC）[6]，試圖同時具有Touchstone的有效性、可擴展性、易開發性和FPCC增強的可信性和靈活性，但目前還沒有該系統的具體實現。④路徑歷史（Path Histories）[7]，它代理維護一個對以前訪問過的平臺的可驗證記錄，使得新訪問的平臺可以根據該記錄來決定是否要處理該代理以及要使用什么樣的資源限制；其缺點是路徑驗證工作的開銷大并且該技術要依賴于平臺能夠正確判斷是否信任代理訪問過的平臺的能力。

保護代理的技術有：①加密蹤跡（Cryptographic Traces）[8]，它通過對代理在遷移過程中收集的數據的事后分析來檢測對代理的非法修改，但它無法準確定位攻擊者；②狀態評價（State Apprai￣sal）[9]，它可以保護代理的動態組件尤其是執行狀態，但該方法無法檢測出攻擊者；③使用抗干預設備（Tamper—Proof—Devices）[10]，它是基于硬件的方法，不適用于開放環境；④使用加密函數進行計算（Computation with Encrypted Functions）[11]，該方法經過不斷發展已經能夠有效地計算所有多項式時間函數，但其主要問題是禁止把關于加密計算的任何信息透露給平臺且只有代理發起者能夠接收任何輸出，這樣就限制了主動移動代理在平臺上執行任何即時動作。為此一系列基于早期Oblivious Transfer的方法被提出：OT[12]、DOT[13]和VDOT[14]可以保證主動移動代理的私有性和完整性，但是VDOT方法目前還沒有自動電路生成器；代碼混淆（Code Scrambling）[15]通過重新組織代理的代碼來隱藏代理功能，該方法要求代理每次移動都要與一個信任方進行數次交互。文獻[16]提出了一種優化的第三方協議方法，可以準確定位對代理的二進制代碼進行功能修改攻擊的單一攻擊者。但是該方法無法檢測各種主動攻擊的發起者，也無法檢測一個平臺是否真正啟動了一個代理，即是否使用正確的輸入運行代理、代理是否按照正確的程序路徑完全運行及平臺的輸出是否就是代理的運行結果。在文獻[17]中作者提出一種新穎的遠程分布式方案（Remote Distributed Scheme）。該方法通過派發一組代理副本并利用Shamir[18]提出的密鑰共享技術和概率技術可以在任何環境下對移動計算實現在任何需要的保密級別上的保護，是一種純軟件方法。但是該方法要求滿足一些前提假設和條件。

上面各種安全措施均有其自身的缺點和不足：或者限制得過于嚴格，或者必須滿足一定的應用條件及環境，或者使用起來開銷很大，或者還沒有得到很好的解決。可見對平臺和移動代理的保護目前還沒有很完備的解決方案，其根本原因在于這種主流的移動代理的概念和實現方法。

2 一種解決安全問題的新思路

2.1 產生安全問題的原因分析

移動代碼系統產生新安全問題的主要原因有：①代碼來源無法確定。移動代碼系統中很多實體均可派發自己的代碼，而這些代碼又是可以自由遷移的，因此平臺常接收到一段代碼但無法知道其所有者是誰；即使知道也很可能對該所有者一無所知從而無法對該代碼賦予一定的信任度。②代碼具有到達便執行的功能。代碼可以到達一個系統并且開始執行，甚至系統的所有者都沒有意識到一個新程序正在運行，這就要求保護系統的自動機制是可靠的。最可靠的方法就是要讓平臺精確掌握到來的代碼的行為，為此需要對代碼的構成進行分析；但是代碼所有者往往又會采取各種措施將其目的隱藏起來。這就增加了平臺分析代碼的難度。

移動代理系統中之所以會產生新的安全問題而且這些安全問題難以解決的根本原因在于移動代理的定義和實現方法。主流移動代理技術中移動代理被定義為可以在異構計算機網絡中遷移并代表其所有者執行一定任務的程序，實現為用某種編程語言編寫的程序代碼。本文嘗試轉換看問題的角度，讓移動代理不再是可執行的程序代碼，而是對為完成用戶請求而需要執行的任務的描述，即代理到達一個平臺后呈現給平臺的是對希望在該平臺執行的任務（或對希望該平臺為其提供的服務）的刻畫，而這些任務具體應該如何完成則完全由平臺來決定。

2.2 解決安全問題的新思路

2.2.1 定義并使用基于任務描述的移動代理

將移動代理定義并實現為一種特殊形式的數據包。其中包含為完成用戶請求而需要在各代理平臺上執行的任務描述。而對于這些任務具體應該如何執行則沒有給出定義，完全由代理平臺來決定是否要為該代理提供相應的服務以及怎樣提供這些服務。

基于任務描述的移動代理具有以下特點：

（1）具有主流移動代理技術中移動代理的四個特性：①移動性。只要相應的代理平臺能夠發送和接收這種基于任務描述的移動代理。②自治性。在基于任務描述的移動代理數據包中包含了與完成用戶要求有關的所有信息，代理可以根據這些信息決定自己的遷移路徑、遷移時機、遷移目標和其他相關操作。③主動性。基于任務描述移動代理一旦被發送到網絡中是獨立于其發起者的，不再需要與其發起者進行任何交互，而且只要有相應的代理平臺支持這種移動代理是可以獨立運行的。④適應性。通過在代理內部定義出在各種情況下該如何調整路由行為，以及應該請求什么樣的任務來適應自身任務的執行狀態和網絡環境的改變。

（2）能夠完成主流移動代理技術中的移動代理所能完成的任務。基于任務描述的移動代理中包含用戶請求。其中可以很詳細地描述出代理在各網絡節點的遷移過程中，在每一個代理平臺上需要請求完成什么任務。只要代理平臺能夠接收這樣的代理，具有解析這種任務描述的解析器并且能夠為其提供相應的服務，這種基于任務描述的移動代理同樣可以代表用戶完成一定的任務。本文所需要做的就是根據這種新的移動代理定義方式構建與之配合的移動代理平臺。

（3）符合主流移動代理技術中移動代理的最終發展方向。主流移動代理技術中的移動代理以某種程序的形式存在，要實現保護平臺的目的就必須對到來的代理所要執行的各種操作進行嚴格、細致的分析。為了能夠很好地進行這種分析需要將定義代理的程序形式化，即用某種統一的形式化表示方式來描述代理的功能。現在所做的正是用一種簡單、適當的任務描述形式來把代理所期望完成的任務表示出來。

（4）可以很好地解決主流移動代理技術難以解決的安全問題。使用基于任務描述的移動代理從根本上消除了代理對平臺的攻擊問題和代理—代理間的攻擊問題。對代理的保護也就是對分布式網絡中傳遞的數據包的保護，可以使用數字簽名與加密等方法來實現對內容的保護和對惡意行為的檢測。

綜上可見，基于任務描述的移動代理仍然具有主流移動代理的基本特性，能夠完成主流移動代理可以完成的功能。因此并不違背移動代理的本質含義，而且可以很好地解決移動代理系統中的安全問題。與主流移動代理系統的做法相比其具有實現簡單、安全問題易于解決的優點。

2.2.2 中介/管理Agency統一派發代理

為了解決移動代理系統中代理來歷不明的問題，本文提出使用中介/管理Agency來向系統中其他代理平臺統一派發代理。中介/管理Agency是一類具有特殊功能的代理平臺，為其他代理平臺所知。它能根據用戶的請求生成代理并向系統中的其他代理平臺派發，并且還要對系統用戶、代理和各個代理平臺的相關信息進行管理。這樣有利于系統中其他代理平臺對接收到的代理進行身份驗證和授權。

2.2.3 借鑒Java 2的安全模型

使用基于任務描述的移動代理從根本上消除了代理對代理平臺的攻擊能力。平臺唯一需要謹慎行事的就是保證不向代理提供會對自身造成破壞的服務。為此系統中的代理平臺可以借鑒Java 2的安全模型，定義許可（Permission）來規定對本地各種資源可以進行的操作；定義安全策略文件（Security Policy）來為到來的代理分配許可，以此限制平臺為代理提供的服務，從而保證本地資源的安全。

2.2.4 使用信任模型

移動代理系統中安全問題并不能單純地依靠技術手段來解決。例如，可以采用加密技術手段來防止他人竊取移動代理中攜帶的保密信息，但是仍然無法阻止其使用各種破解手段來對保密信息進行解密。因此需要用其他方法來對這種惡意行為進行懲戒。而在基于Internet的分布式安全系統中，信任和信任關系扮演了重要的角色。因此可以構造一個基于信任關系的信任模型，通過維護和調整系統中實體間的信任度來從一個非技術角度解決僅依靠技術手段所無法解決的安全問題。

3 TDBMA系統

根據以上思路本文構造了基于任務描述的移動代理系統，該系統主要對各個代理平臺維護的資源進行操作，總體架構如圖1所示。TDBMA系統中代理平臺分為兩類，即中介/管理Agency和MAOS（Mobile Agent Oriented Servers）。中介/管理Agency管理系統中所有實體的相關信息，可以根據用戶請求構造代理并向系統中的MAOS派發，能夠從返回的代理中提取結果信息回送給用戶。其中代理是基于任務描述的移動代理，包含為完成用戶請求而需要執行的任務描述，它可以在構成系統的各個代理平臺上移動以完成用戶請求。MAOS是一般意義上的代理平臺，可以接收代理為其提供服務并繼續發送代理，一般是資源的擁有者。

圖1 TDBMA系統總體架構圖

3.1 基于任務描述的移動代理定義

TDBMA系統中基于任務描述的移動代理實現為一個XML文件。其中包含為完成用戶請求所需要的一切信息，具體包括代理的身份信息、用戶請求任務的信息、任務執行的結果信息和為了保證代理數據包安全而使用數字簽名和加密技術所需要的一切相關信息。參照Ajanta系統[19]中代理的安全模型，對代理中包含的信息進行分類劃分和保護。

（1）ReadOnly部分包括代理的身份信息、用戶請求的任務信息和代理的路由信息。這些信息在代理的整個生命期間內是不可變的，系統中其他實體只能讀取這些信息而不能進行修改。為此中介/管理Agency在構造一個代理時要對Read￣Only部分進行數字簽名，以后各代理平臺在接收到一個代理后首先要對 ReadOnly部分的數字簽名進行驗證。如果驗證通過，則認為該ReadOnly部分沒有被惡意平臺修改，可以繼續進行后續工作；否則認為該代理已經遭到了破壞將不被信任，平臺不為這樣的代理提供任何服務并且要調整對惡意平臺的信任度。

（2）AppendOnly部分保存代理在遷移途中執行任務的結果。允許代理平臺向這部分添加內容，但是一旦添加將不允許再進行修改或刪除，即這部分數據具有Write—Once的性質。為此構造一個AppendOnly容器，中介/管理Agency在創建一個代理時要對這一部分進行初始化，以后代理經過的各MAOS要更新該部分內容，如添加任務執行的結果、自身標志和更新檢查等；最后中介/管理Agency要分析返回代理的AppendOnly部分，從中提取出任務運行結果并檢測是否有惡意平臺。

（3）簽名信息。為了對代理的ReadOnly部分進行簽名，使用了IBM的安全套件[20]。為此需要遵照W3C推薦的XML簽名規范[21]構造必要的字段。

3.2 中介/管理Agency的邏輯結構 

TDBMA系統中的中介/管理Agency邏輯結構如圖2所示，其中關鍵部分在于代理管理模塊和結果處理模塊。代理管理模塊可以創建代理并調用安全模塊對代理的ReadOnly部分進行數字簽名并且初始化其AppendOnly部分；結果處理模塊調用安全模塊分析返回代理攜帶的結果以判斷是否有惡意MAOS對代理的數據進行修改；此外安全模塊還要管理中介/管理Agency自身的公鑰/私鑰對和系統中其他各MAOS的公鑰證書；XML處理模塊的主要功能是解析基于任務描述的移動代理，主要利用了XML的數據綁定功能在XML數據與Java對象之間進行轉換，它具體使用了由ExoLab Group提供的XML數據綁定工具Castor[22]。

圖2 中介/管理Agency的邏輯結構圖

3.3 MAOS的邏輯結構

MAOS是TDBMA系統中的另一類代理平臺，擁有一定的資源，其邏輯結構如圖3所示。其代理管理模塊沒有創建代理功能。安全模塊除了能夠驗證代理的ReadOnly部分的數字簽名和對代理在本地的操作結果進行加密簽名外，主要是根據本地定義的安全策略文件對系統中各個模塊的操作進行安全檢查以維護本地資源的安全。MAOS具有請求處理模塊，能夠解釋代理攜帶的用戶任務描述并為其提供一定的服務。請求處理模塊和資源服務器的邏輯結構如圖4所示。

圖3 MAOS的邏輯結構圖

圖4 請求處理模塊和資源服務器的邏輯結構圖

圖4中請求解析部分將代理攜帶的任務描述信息解析成請求接口層所能識別的形式，由其向下發送給特定的邏輯模塊；邏輯模塊和協議模塊是配對使用的，分別針對當前服務器對外提供資源所使用的協議而構建。其中邏輯模塊負責處理業務邏輯，根據請求接口層的任務請求及相關參數執行操作（利用與之配對的協議模塊）；協議模塊根據邏輯模塊的要求與底層資源服務器進行交互以獲得所需的資源信息，由邏輯模塊返回給請求接口層，最后由結果處理部分將執行結果封裝成代理攜帶的結果形式。

可見請求處理模塊中的請求接口層屏蔽了下層不同類型的資源服務器的不同行為，以一種統一的方式提交任務請求并返回結果。也就是說對于要加入該系統的各個主機，它們對外提供資源的方式可以是多種多樣的，只要配置好了適當的邏輯模塊和協議模塊對，就可以用一種統一的方式對外提供服務。

3.4 信任模型

TDBMA系統中的信任模型是根據文獻[23，24]構造的。所有代理平臺均維護一張信任值表，其中包含當前時刻平臺自身對系統中其他平臺的信任度和已經檢測到的相應平臺的惡意行為次數。平臺可以根據該表來指導自己與其他平臺的協作，并且根據檢測到的惡意行為來動態調整對相應平臺的信任度。

4 TDBMA系統安全性分析

4.1 平臺的安全性

TDBMA系統中平臺的安全性是可以得到保證的。由于該系統中的代理不再是一個可以自主運行的程序，而是一個靜態的基于任務描述的數據包，從根本上消除了惡意代理攻擊平臺的問題。平臺借鑒Java 2安全模型，通過定義許可規定對本地資源可以進行的操作，制定安全策略來為不同身份的代理分配不同的許可以保護本地資源。這樣平臺就能夠在保證自身安全的前提下根據到來的代理中攜帶的任務描述為其提供必要的服務。

來自其他代理平臺的攻擊。在TDBMA系統中，惡意平臺可以利用重發（Replay）攻擊其他平臺，如不斷向其他平臺發送同一個代理的多個副本以干擾其他平臺的正常運作。可以通過在TDBMA系統中的代理平臺處保存接收過的代理的相關信息記錄（如代理的標志信息和在本地執行情況的有關信息）的方法來進行判斷，一旦發現重發攻擊就要降低對惡意平臺的信任度。當該信任度值低于信任度閾值時，將不再接收來自對方的任何代理，或者經由有關方面相互交涉、協商，解決存在的問題后再恢復一定程度的信任。

4.2 代理的安全性

TDBMA系統中的代理是一個描述用戶任務的XML數據包，它可能會遭受到來自惡意平臺的攻擊，主要有以下幾種：①修改代理的ReadOnly部分；②竄改代理的AppendOnly部分；③對代理的干預，如無緣無故地將到來的代理廢棄掉，不為代理執行任何操作。對于前兩種攻擊可以通過驗證數字簽名與檢查和的方法進行檢查，一旦發現惡意平臺將降低對該平臺的信任度；第三種情況的結果是該代理永遠不會返回到中介/管理Agency處。中介/管理Agency發現有代理在過了生命期還沒有返回時，就要對該代理的路由信息中記錄的所有MAOS的信任度進行調整。

可見，TDBMA系統中對代理的保護只能采取一種事后檢測的技術，系統中的信任模型起到了一個懲罰惡意平臺的作用，用非技術手段解決了技術手段所無法解決的安全問題。

綜上所述，從平臺安全性和代理安全性兩個角度分析了TDBMA系統的安全性，既可以采取事前的抵御措施來保證平臺的安全性，也可以利用事后檢測手段來發現對代理的攻擊。同時利用信任模型調整對惡意平臺的信任度來維護整個系統的安全運行。

5 一個具體的實現

為了驗證使用基于任務描述的移動代理和據此構造的TDBMA系統的可行性，用Java語言實現了一個能夠根據用戶請求對系統中各個MAOS處維護的文件資源進行操作的TDBMA系統。其中基于任務描述的移動代理的具體定義如下：

（1）ReadOnly：代理整個生命周期中不可改變的部分。

①AgentID：代理的標志符，包括中介/管理Agency的身份信息和創建時間信息。

②DeadLine：代理的生存期。

③UserRequest： 用戶請求部分。

④Action：用戶請求的操作類型，在本系統中可以是Search和Delete。

⑤FileName：用戶請求操作的文件名字。

⑥MatchLevel：對于文件名字的匹配程度，可以是精確匹配或模糊匹配。

⑦ReturnCondition： 代理的返回條件，至少滿足下面三個條件中的一個。

ResultEntryNumber：用戶請求任務的結果數目。

VisitedServerNumber：代理已經成功訪問過的服務器個數。

ExpireDate：該代理的有效期。

⑧HostList：代理平臺列表，是中介/管理Agency在構建代理時為其指定的路由。

(2)AppendOnly：保存代理在遷移途中執行任務的結果。

①ResultEntryList：MAOS為代理執行任務得到的結果項列表。

②Signs：MAOS對得到的結果項進行簽名的簽名值列表。

③Signers：MAOS的名字列表。

④EncryptedSymkeyBytes：MAOS在向AppendOnly部分添加結果項時更新CheckSum所使用的對稱加密密鑰列表，并且該列表中保存的是用中介/管理Agency的公鑰對對稱加密密鑰加密后的值。

⑤CheckSum：檢查和，每次MAOS向ResultEntryList中添加新的結果項后要更新檢查和，可以用來檢測是否有惡意主機對AppendOnly部分中已經添加的內容進行了修改。

(3)Signature：以下各個元素都是遵循W3C關于XML Signature規范而構造的，即SignedInfo、SignatureValue、KeyInfo。

使用IBM的XML安全套件對代理的ReadOnly部分進行自動數字簽名和驗證，利用Exolab.org提供的Castor工具實現了在代理的XML數據表示與代理的Java實例間的轉換。

實現了中介/管理Agency和MAOS功能、MAOS請求處理模塊中的FTP邏輯模塊和FTP協議模塊對。為保護本地資源安全，定義了新的安全管理員AgentSecurityManager和一些新的許可，如對本地信任值表的操作許可等。

信任關系的調整算法。當平臺A發現平臺B的惡意行為時，更新B的惡意行為次數并且計算A對B的信任度T（A，B）=t×ap。其中T(A，B)表示A對B的信任度；a為（0，1）區間一個實數；p是非負整數，是A記錄的B的惡意行為次數；t為[0，1] 區間一個實數，可以根據具體情況進行選擇。在明確判斷出惡意平臺的情況下選擇較小的t；知道有惡意行為發生，但是無法準確判斷是哪一個平臺的情況下選擇較大的t，調整對所有可疑平臺的信任值；當有較嚴重的惡意行為發生時選擇較小的t；當惡意行為不太嚴重時選擇較大的t。可見t的選擇可以解決無法對惡意平臺進行準確定位的問題。

6 總結

針對移動代理系統中安全問題難以解決的現狀提出了對于移動代理新的理解，賦予了移動代理一種新的定義：一個針對用戶請求進行功能描述的數據包。本文根據這種特殊的基于任務描述的移動代理設計了一個安全的移動代理系統——TDBMA。在TDBMA系統中，使用基于任務描述的移動代理為用戶完成一定的功能。由中介/管理Agency負責向系統中派發代理以避免個人派發代理；借鑒Java 2的安全模型為系統中各個平臺提供對本地資源的保護；并且利用信任模型從系統的角度用非技術手段來維護整個系統安全。以上措施較好地解決了移動代理系統中的安全問題。最后，用Java語言實現了一個能夠針對FTP服務器進行文件查詢的TDBMA系統，驗證了使用基于任務描述的移動代理和據此構造的TDBMA系統的可行性。TDBMA系統與以前的移動代理系統相比，最顯著的特點就是給出了移動代理的一種新的定義和實現方法。由此帶來的好處是系統實現簡單、安全問題容易解決，既可以保證平臺的安全性，又可以利用事后的檢測手段發現對代理的攻擊；同時利用信任模型調整對惡意平臺的信任度來維護整個系統的安全運行。

基于任務描述的移動代理的定義和實現是一種新的做法。雖然與主流的移動代理相比具有簡單、安全的優點，但是其主要缺點是不夠靈活，無法像一段代碼那樣靈活而方便地將一個代理所需要執行的任務表示出來。其主要原因在于代理是面向資源請求服務的，而目前還沒有對各種資源進行定義、描述和劃分的很好的方式，所以無法用簡單的數據描述語言來把一個代理要執行的復雜任務很好地表示出來。因此尋找合適的資源表示方法和靈活的任務描述方式是下一步的工作重點。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。