HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Bùi Văn Tâm NGHIÊN CỨU KIỂM SOÁT TRUY CẬP DỰA TRÊN PHÂN VAI VÀ ỨNG DỤNG Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2012 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: PGS.TS Nguyễn Linh Giang Phản biện 1: TS Nguyễn Phương Thái Phản biện 2: PGS TS Đặng Văn Chuyết Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: 11 10, ngày 20 tháng 01 năm 2013 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng I MỞ ĐẦU Lý chọn đề tài Ngày nay, với phát triển không ngừng, vượt bậc khoa học máy tính nói riêng cơng nghệ thơng tin nói chung đặc biệt hệ thống mạng tồn cầu, dịch vụ truy cập tài nguyện, quản trị từ xa dễ dàng phong phú sử dụng cách nhanh chóng tin cậy Tuy nhiên, việc truy cập mạng sử dụng tài nguyên nói chung từ mạng nhỏ LAN, MAN mạng lớn WAN, Internet đòi hỏi người quản trị phải có phân định rõ ràng quyền hạn sử dụng người dùng phép truy cập hệ thống tài nguyên mạng Vấn đề đơn giản hệ thống mạng vừa nhỏ, việc quản trị dễ dàng quản trị viên tạo cấp quyền người dùng cách cụ thể với số lượng ít, vấn đề thách thức việc quản lý mạng lớn phức tạp an ninh việc truy cập hệ thống tài nguyên chia sẻ Như bện cạnh phát triển hệ thống mạng lớn với dồi tài nguyên chia sẻ truy cập hệ thống lúc, nơi ln ln gặp phải khó khăn mà mang lại khơng kiểm sốt người dùng truy cập hệ thống mạng, An ninh hệ thống tốn dễ bị lỗi quản trị viên thường định danh sách kiểm soát truy cập cho người dùng hệ thống cá nhân, vơ hình chung tạo điều kiện cho Hacker cơng phá hoại mạng Kiểm sốt truy cập dựa vai trò – Role-Based Access Control (RBAC gọi bảo mật dựa phan vai), thức hóa vào năm 1992 David Ferraiolo Rick Kuhn, trở thành mơ hình chủ yếu để kiểm sốt truy cập tiên tiến, làm giảm chi phí quản trị Ngày nay, hầu hết nhà cung cấp công nghệ thơng tin kết hợp RBAC vào dịng sản phẩm họ, cơng nghệ tìm kiếm ứng dụng lĩnh vực khác nhau, từ chăm sóc y tế, quốc phịng, ngồi hệ thống thương mại thống mà thiết kế Đến năm 2010, đa số doanh nghiệp có số lượng người dùng từ 500 nhiều sử dụng RBAC Với RBAC, an ninh quản lý mức độ tương ứng chặt chẽ với cấu trúc tổ chức Mỗi người sử dụng định nhiều quyền hạn, quyền phân công nhiều đặc quyền cho phép người sử dụng quyền An ninh hệ thống với RBAC bao gồm xác định hoạt động phải thực người dùng công việc cụ thể, nhân viên với vai trị thích hợp Phức tạp giới thiệu hai bên vai trò độc quyền phân cấp vai trò xử lý phần mềm RBAC, an ninh quản lý dễ dàng Mục đích nghiên cứu Truy cập khả làm với nguồn tài ngun máy tính (ví dụ, sử dụng, thay đổi, xem) Kiểm soát truy cập phương tiện có khả rõ ràng cho phép hạn chế cách (thường thông qua điều khiển vật lý dựa hệ thống) Kiểm sốt truy cập dựa máy tính quy định khơng người q trình có quyền truy cập vào tài nguyên hệ thống cụ thể, mà truy cập phép Những điều khiển thực hệ thống máy tính thiết bị bên ngồi Với kiểm sốt truy cập dựa vai trò, định truy cập dựa vai trò mà người dùng cá nhân phần tổ chức Người dùng có vai trị giao (chẳng hạn y tá, bác sĩ, nhân viên giao dịch, quản lý) Q trình xác định vai trị cần phải dựa phân tích tồn diện tổ chức hoạt động nên bao gồm đầu vào từ phổ rộng người sử dụng tổ chức Quyền truy cập nhóm lại theo tên vai trò, việc sử dụng nguồn lực bị hạn chế cho cá nhân có thẩm quyền đảm nhận vai trị liên quan Ví dụ, hệ thống bệnh viện vai trò bác sĩ bao gồm hoạt động để thực chẩn đốn, kê toa thuốc, phịng thí nghiệm để kiểm tra vai trò nhà nghiên cứu giới hạn để thu thập thơng tin lâm sàng cho nghiên cứu Kiểm sốt truy cập dựa vai trị (RBAC) tính bảo mật cho người dùng truy cập kiểm soát với nhiệm vụ mà thông thường hạn chế quyền đến thư mục gốc Bằng cách áp dụng thuộc tính bảo mật cho quy trình cho người dùng, RBAC phân chia khả siêu người dùng nhiều số quản trị viên Quy trình quản lý quyền thực thơng qua đặc quyền Vì thế, việc sử dụng vai trị kiểm soát truy cập phương tiện hiệu để phát triển thực thi sách bảo mật doanh nghiệp cụ thể, tinh giản trình quản lý hệ thống Đối tượng phạm vi nghiên cứu Tập trung nghiên cứu đánh giá kỹ thuật RBAC hệ thống mạng doanh nghiệp vừa nhỏ (số lượng người dùng từ 500 trở lên) sử dụng hệ thống Server tảng hệ điều hành Windows Server Linux Phương pháp nghiên cứu Kết hợp nghiên cứu trước kỹ thuật RBAC tài liệu chuyên ngành phương pháp sử dụng RBAC hệ thống mạng lớn để kiểm nghiệm ứng dụng tảng hệ điều hành Windows Server Linux II NỘI DUNG CHƯƠNG TỔNG QUAN VỀ BÀI TOÁN KIỂM SOÁT TRUY CẬP 1.1 Các khái niệm toán kiểm soát truy cập Access Control hay kiểm soát truy cập, chia thành thành phần Access Control Access biết đến việc truy cập tài nguyên chủ thể (Subject) tới đối tượng (Object), Control biết đến hành động cho phép không cho phép truy cập, phương thức áp dụng cho Access Control Một chủ thể (Subject) Users, Program, Service…và đối tượng (Object) File, Database, hay Service đó; việc xác định chủ thể để cấp cho quyền hạn truy cập vào đối tượng công việc chủ yếu Access Control Áp dụng Access Control vào sống nhiều, có nhiều mơ hình dựng nên cho Access Control Xem xét số ví dụ Access Control, khóa cửa cách thức áp dụng Access Control có người có chìa khóa (Subject) mở khóa sử dụng phịng (Object) Ở ví dụ này, người chủ thể, khóa chìa khóa phương thức áp dụng, phòng đối tượng Việc xác định chủ thể (Subject) thường biết đến với tên Identify, có nhiều cách để định danh, nhận diện, chương trình với sử dụng PID (Process ID), dựa Username, Biometric giọng nói, vân tay … Việc khơng khó, dĩ nhiên để đảm bảo xác người cần phải kiểm chứng thơng qua vài điều bí mật mà có người biết, chẳng hạn Password, PIN, Token, Biometric (Fingerprint), lần dùng thông tin với thuật tốn, cách thức xử lý để đối chiếu thơng tin ‘thẩm định’ có người hay khơng Q trình gọi Authentication, tức chứng thực; chứng thực sử dụng lần nhiều lần tùy thuộc sách có nhiều phương pháp, cách thức khác 6 Nói chung có nhiều thủ thuật, từ việc trực tiếp sử dụng kỹ thuật không cần đế kỹ thuật Social Engineering cách thức không cần nhiều đến kỹ thuật, khống chế người thân để có thơng tin cần (nghe bạo lực q) cài key-logger cho nhẹ nhàng liên quan tới kỹ thuật tí Đó lý mà việc kiểm soát truy cập đời kiểm soát liền với giám sát (bao gồm Monitoring Recording, tức Prevention lẫn Detection) 1.2 Thực tế sách, mơ hình chế kiểm soát truy cập doanh nghiệp Khi doanh nghiệp ngày coi việc truy cập mạng khắp nơi yếu tố quan trọng thành cơng mình, họ nhanh chóng nhận kiểm soát, bao quát quản lý truy cập ứng dụng người dùng công cụ hữu hiệu để loại bỏ nguy rủi ro trước cơng bên lẫn ngồi mạng Tương tự, kiểm soát truy cập mạng ngày nâng cấp từ việc thiết lập kiểm soát việc lúc đăng nhập, cho phép người dùng Guest truy cập đánh giá sách điểm cuối, tới thực thi cách linh hoạt sách kiểm soát sau đăng nhập, quản lý truy cập ứng dụng theo quyền bao quát kiếm soát ứng dụng mạng Giải pháp Kiểm soát truy cập hợp - United Access Control (UAC) phiên 2.1 cải tiến khả giải pháp để đáp ứng yêu cầu bảo mật kiểm soát truy cập ngày tăng doanh nghiệp kinh doanh mạng hiệu suất cao Giải pháp Kiểm soát truy cập hợp giải vấn đề: Cung cấp khả kiểm soát, báo cáo, quản lý truy cập ứng dụng người dung; giải triệt để vấn đề tuân thủ quy định cách hiệu loại bỏ rủi ro nguy tiềm ẩn trước hình thái đe dọa ngày tăng mơi trường mạng Với việc tăng cường khả kiểm soát truy cập lưu lượng mạng cách thực thi sách bảo mật rộng sâu lõi mạng mạng vùng biên, UAC 2.1 loại bỏ rủi ro liên quan đến nguy an tồn thơng tin - nguồn tài nguyên trọng yếu doanh nghiệp mơi trường kinh tế mạng ngày 1.3 Chính sách bảo mật tổ chức, quan Trong mơi trường kinh tế, trị, xã hội ngày nay, giải vấn đề an ninh trở thành điều cần thiết cốt lõi cho hầu hết, tất cả, tổ chức khách hàng địi hỏi mối quan tâm riêng tư gia tăng hành vi trộm cắp danh tính Đối tác kinh doanh, nhà cung cấp, nhà cung cấp đòi hỏi từ người khác, đặc biệt cung cấp lẫn mạng truy cập thông tin Gián điệp thông qua việc sử dụng mạng để đạt cạnh tranh trí tuệ tống tiền tổ chức trở nên phổ biến Quốc gia quy định quốc tế kêu gọi tổ chức (và nhà lãnh đạo họ) để chứng minh việc chăm sóc liên quan đến an ninh CHƯƠNG KIỂM SOÁT TRUY CẬP DỰA TRÊN PHÂN VAI - RBAC 2.1 Giới thiệu tổng quan, khái niệm RBAC 2.1.1 Vai trò khái niệm liên quan Vai trò sưu tập quyền định, nhiệm vụ vị trí mơ tả tình trạng tổ chức, nhà phát triển tạo vai trò theo chức công việc thực công ty hay tổ chức, cấp quyền cho vai trò sau gán người sử dụng vào vai trò dựa sở trách nhiệm lực cơng việc đặc thù Một vai trị trình bày nhiệm vụ cụ thể vai trò bác sĩ hay vai trò nhà điều hành kinh doanh Một vai trò bao gồm quyền trách nhiệm quyền trách nhiệm phân biệt rõ ràng Một người có quyền quản lý nhiều phịng ban có trách nhiệm phịng ban cụ thể quản lý Các vai trị phản ánh trách nhiệm cụ thể gán vòng quanh qua nhiều người sử dụng, ví dụ trách nhiệm bác sĩ hay nhân viên làm ca 8 Các vai trò định nghĩa cho phép riêng biệt cụ thể để truy cập tài nguyên quy mô tài nguyên truy cập Lấy ví dụ vai trị người điều hành truy cập tất tài nguyên máy tính khơng thể thay đổi quyền truy cập mình, hay kiểm tốn viên truy cập vào máy tính để kiểm tra sổ sách Các vai trò sử dụng để quản trị hệ thống nhiều hệ điều hành mạng NetWare Novell hay WindowNT Microsoft 2.1.2 Các loại kiểm soát truy cập 2.1.2.1 Kiểm soát truy cập bắt buộc - Mandatory Access Control (MAC) 2.1.2.2 Kiểm soát truy cập tùy quyền - Discretionary access control (DAC) 2.1.2.3 Kiểm soát truy cập dựa phân vai (vai trò) – RoleBased Access Control (RBAC) 2.2 Sự khác RBAC, MAC DAC Những động lực đằng sau RBAC khả xác định thực thi sách kiểm sốt truy cập doanh nghiệp cách cụ thể đơn giản hóa q trình quản lý chun mơn người đứng đầu RBAC đại diện cho tiến lớn linh hoạt chi tiết kiểm soát từ tiêu chuẩn có DAC MAC  MAC (Mandatory Access Control)  DAC (Discretionary access control)  RBAC (Role-Based Access Control) 2.3 Các tiêu chuẩn RBAC NIST đề xuất Tiêu chuẩn mô tả tính RBAC chấp nhận thị trường thương mại Nó bao gồm mơ hình tham chiếu chi tiết kỹ thuật đặc tả chức cho RBAC xác định mơ hình tham chiếu Tiêu chuẩn bao gồm hai phần - mơ hình tham chiếu RBAC hệ thống RBAC với đặc tả chức quản trị 9 Mơ hình tham chiếu RBAC định nghĩa tập hợp yếu tố RBAC (tức là, users, roles, permissions, operations, and objects) loại quan hệ, chức bao gồm tiêu chuẩn Mơ hình tham chiếu RBAC phục vụ hai mục đích Đầu tiên, mơ hình tham chiếu xác định phạm vi tính RBAC bao gồm tiêu chuẩn Xác định thiết lập tối thiểu tính bao gồm tất hệ thống RBAC, khía cạnh hệ thống phân cấp vai trị, khía cạnh mối quan hệ ràng buộc tĩnh, khía cạnh mối quan hệ ràng buộc động Thứ hai, mô hình tham chiếu cung cấp ngơn ngữ xác quán, điều khoản phần tử chức để sử dụng việc xác định đặc tả chức 2.3.1 Core RBAC (RBAC 0) Hình Mơ hình tổng qt Core RBAC 10 2.3.2 Role hierarchy Hình Mơ hình tổng qt Role hierarchy (RBAC 1) 2.3.2.1 General Role Hierarchies 2.3.2.2 Limited Role Hierarchies 2.3.3 Constrained RBAC 2.3.3.1 Các quan hệ Static SoD (SSD) 2.3.3.2 Các quan hệ Dynamic SoD (DSD) 2.3.4 RBAC 2.4 Quản lý truy cập phân vai RBAC Trong an ninh hệ thống máy tính, điều khiển truy cập sở vai trò (RBAC) số phương pháp điều khiển đảm bảo quyền sử dụng cho người dùng Đây phương pháp thay điều khiển truy cập tùy quyền (discretionary access control - DAC) điều khiển truy cập bắt buộc (mandatory access control - MAC) Điều khiển truy cập dựa sở vai trò (RBAC) khác với hình thức điều khiển truy cập tùy quyền – DAC điều khiển truy cập bắt buộc – MAC DAC MAC trước hai mơ hình phổ biến điều khiển truy cập Nếu hệ thống khơng dùng DAC người ta cho hệ thống dùng MAC mà khơng có lựa chọn thứ ba Song sau nghiên cứu vào năm 90 cho thấy RBAC DAC hay MAC 11 Trong nội tổ chức, vai trò (role) kiến tạo để đảm nhận chức công việc khác Mỗi vai trò gắn liền với số quyền hạn (permissions) cho phép thao tác số hoạt động cụ thể Các thành viên lực lượng cán công nhân viên (hoặc người dùng hệ thống) phân phối vai trò riêng, thong qua việc phân phối vai trò mà họ tiếp thu số quyền hạn cho phép họ thi hành chức cụ thể hệ thống Vì người dùng khơng cấp phép trực tiếp, mà tiếp thu quyền hạn thông qua vai trò họ (hoặc vai trò), việc quản lý quyền hạn người dùng trở thành việc đơn giản, người ta cần định vai trị thích hợp cho người dùng mà thơi Việc định vai trị đơn giản hóa công việc thông thường việc cho thêm người dùng vào hệ thống, hay đổi phịng cơng tác (department) người dùng Hình Điểm khác biệt RBAC mơ hình truyền thống 12 CHƯƠNG MƠ HÌNH RBAC TRONG HỆ THỐNG INTRANET CỦA CÁC TỔ CHỨC, DOANH NGHIỆP 3.1 3.1.1 Công nghệ RBAC XML Giới thiệu Extensible Markup Language (XML) [8] có nguồn gốc tài liệu ngôn ngữ đánh dấu, công cụ tiêu chuẩn API xác định xung quanh tăng cường nhiều tiềm cho ứng dụng khác Như ngôn ngữ đánh dấu tài liệu, XML phân biệt với HTML (ngôn ngữ đánh dấu sử dụng rộng rãi cho ứng dụng web) thiết lập tùy biến thẻ cung cấp (có thể truyền đạt ngữ nghĩa liệu đại diện) so với từ khóa cố định thiết lập HTML Do tài liệu XML cung cấp đại diện hợp lý nội dung liệu Tổ chức hợp lý thân thẻ, sử dụng tài liệu XML, cung cấp tài liệu riêng biệt gọi Document Type Definition DTD Các công cụ phần mềm thương mại gọi vi xử lý XML xây dựng để phân tích tài liệu XML tạo cấu trúc liệu có nội dung sau truy cập chương trình ứng dụng viết ngơn ngữ C + + Java Khả xử lý nội dung tài liệu XML chương trình ứng dụng với giúp đỡ API tiêu chuẩn hóa mở khả XML sử dụng cho nhiều ứng dụng bên cạnh việc đánh dấu tài liệu Một số ứng dụng là:  Sử dụng XML để mô tả metacontent tài liệu tài nguyên mạng để họ sử dụng cơng cụ tìm kiếm  Sử dụng XML để xuất trao đổi nội dung sở liệu,  Sử dụng XML định dạng tin nhắn để giao tiếp chương trình ứng dụng Cụ thể, XML xem xét thay công 13 nghệ EDI công nghệ hỗ trợ cho việc cung cấp linh hoạt hệ thống truyền thông tin dựa EDI 3.1.2 So sánh với công việc liên quan Cơng việc mà so sánh với kỹ thuật thực dựa XML nêu báo dự án MIX [4] Dự án MIX tập trung vào việc lập đồ DTD XML để lược đồ quan hệ phát sinh DTD ứng cử viên cho lược đồ quan hệ Các công việc nêu liên quan đến yêu cầu chế biến phức tạp nhiều (bằng cách sử dụng DOM API số phương pháp độc quyền) so với kỹ thuật giản đồ đồ đơn giản nêu MIX Điều lý nêu - RBAC dựa liệu điều khiển truy cập ứng dụng liệu nằm mối quan hệ định phân phối số bảng hệ thống DBMS mà trực tiếp cập nhật 3.2 Tích hợp RBAC với sở hạ tầng IT Phần thảo luận khái niệm nguyên mẫu nghiên cứu có liên quan phát triển để tích hợp khái niệm mơ hình RBAC vào doanh nghiệp có sở hạ tầng CNTT Sự lựa chọn công nghệ quản lý doanh nghiệp sở hạ tầng CNTT thúc đẩy thành công đạt hội nhập RBAC vào khối xây dựng công nghệ Các công nghệ xem xét bao gồm WFMSs, ứng dụng web, hệ điều hành UNIX, hệ thống tập tin phân phối hệ thống tập tin mạng (NFSs), Java, hệ thống sở liệu liên (FDBS) Do điều kiện có hạn luận văn, xin trình bày RBAC Workflow Manager Systen để minh họa việc ứng dụng RBAC với sở hạ tầng doanh nghiệp WFMSs (Workflow Management System) hệ thống quản lý sử dụng để hỗ trợ (phối hợp xử lý) quy trình quản lý, phân công nhiệm vụ, công việc lĩnh vực ứng dụng khác như: giáo dục, tài chính, ngân hàng, y tế, viễn thông, sản xuất 14 WFMSs bao gồm tập hợp hoạt động thực theo thứ tự xác định trước.Như vậy, kiểm sốt truy cập trở thành phần khơng thể thiếu việc ban hành quy trình làm việc Mỗi hoạt động đòi hỏi hoạt động đặc quyền truy cập mà giới hạn người dùng ủy quyền người tham gia vào hoạt động Hơn nữa, hoạt động đặc quyền phép cho người sử dụng thay đổi quy trình làm việc xử lý Yêu cầu để quản lý truy cập tiến công việc cho thấy việc sử dụng chế kiểm sốt truy cập RBAC sử dụng phương tiện nhằm bảo đảm hoạt động tạo nên công việc thực theo trình tự Sau trình bày trình cho việc ban hành WFMSs cách sử dụng RBAC Q trình cung cấp kiểm sốt truy cập không cho hoạt động WFMSs mà cịn trình tự thích hợp hoạt động theo quy định trình định nghĩa cho trình kinh doanh, quy trình làm việc tự động hóa 3.2.1 Về RBAC  Access Control: Kiểm sốt truy cập - Quá trình truy cập hạn chế nguồn tài nguyên hệ thống có thẩm quyền, chương trình, quy trình hệ thống khác mạng  Objects: Đối tượng - Một thực thể thụ động có chứa nhận thơng tin  Permissions: Quyền - Một mô tả loại tương tác ủy quyền chủ đề có với object  Resource: Tài nguyên - Bất điều sử dụng tiêu thụ thực chức Các loại tài nguyên thời gian, thông tin, đối tượng, vi xử lý  Role: Vai trò - Một chức công việc tổ chức mô tả quyền hạn trách nhiệm trao cho người sử dụng giao vai trò Ở đây, vai trò hạn đề cập đến trừu tượng mà tạo để xác định chức hoạt động vịng q trình kinh doanh 15  Session: Phiên - Một ánh xạ người dùng tập hợp kích hoạt thiết lập vai trò mà người dùng gán  Subject: Tiêu đề - Một thực thể hoạt động, thường dạng người, quy trình, thiết bị, gây thông tin chảy đối tượng thay đổi hệ thống nhà nước  User: Người sử dụng - Bất kỳ người tương tác trực tiếp với hệ thống máy tính Ở đây, thuật ngữ người sử dụng đề cập đến trình máy tính mà khơng đại diện cho người 3.2.2 Về WFMSs  Activity - Hoạt động: mơ tả phần cơng việc hình thành bước hợp lý trình Một hoạt động thường đơn vị nhỏ công việc lên kế hoạch quy trình cơng việc trình ban hành  AND-Split: Một điểm quy trình làm việc, nơi kiểm sốt chia tách chủ đề thành hai nhiều hoạt động song song  AND-Join: Một điểm quy trình làm việc, hai nhiều hoạt động thực song song hội tụ vào kiểm soát chủ đề chung  Buisiness Process: Một tập hợp hay nhiều thủ tục liên kết, hoạt động chung nhận mục tiêu kinh doanh, mục tiêu sách, thường bối cảnh cấu tổ chức xác định vai trò, chức mối quan hệ  Invoked Application: Một ứng dụng gọi ứng dụng công việc gọi hệ thống quản lý cơng việc để tự động hóa hoạt động, toàn phần, để hỗ trợ người tham gia công việc thiết kê mục công việc  Parallel Routing: Một phân đoạn trường hợp trình ban hành hệ thống quản lý cơng việc, hai nhiều trường hợp hoạt động thực song song quy trình làm việc, tạo nhiều đề kiểm soát 16  Process Definition: Sự diện trình kinh doanh hình thức hỗ trợ thao tác tự động, chẳng hạn mơ hình, ban hành hệ thống quản lý công việc Định nghĩa trình bao gồm mạng lưới hoạt động mối quan hệ họ, tiêu chuẩn để bắt đầu chấm dứt q trình, thơng tin hoạt động cá nhân, người tham gia, liên quan đến ứng dụng liệu  Siquential Routing Một phân đoạn trường hợp trình ban hành hệ thống quản lý cơng việc, số hoạt động thực theo thứ tự theo chủ đề  Workflow: Việc tự động hóa q trình kinh doanh, tồn phần, tài liệu, thơng tin nhiệm vụ thông qua từ người tham gia khác để hành động, theo tập hợp quy tắc tố kiểm tra  Workflow Managerment System: Một hệ thống định nghĩa, tạo quản lý việc thực quy trình cơng việc thông qua việc sử dụng phần mềm, chạy nhiều quy trình cơng việc, có khả để giải thích q trình định nghĩa, tương tác với người tham gia công việc cần, gọi việc sử dụng công cụ CNTTvà ứng dụng 3.2.3 Mơ tả quy trình Trong hệ thống hỗ trợ RBAC, vai trò phương tiện mà truy cập vào tài nguyên xác định RBAC, truy cập vào nguồn tài nguyên người dùng phép khi:  Sự cho phép cần thiết để truy cập vào nguồn tài nguyên giao cho vai trò  Vai trò gán cho người dùng yêu cầu truy cập vào nguồn tài nguyên:  Vai trị kích hoạt phiên làm việc người sử dụng Ngồi vai trị sử dụng để kiểm sốt truy cập, vai trị dùng để tập hợp hoạt động phép kết hợp với vai trị cấp truy cập Một 17 số triển khai RBAC làm cho việc sử dụng khái niệm cách trình bày vai trò lựa chọn menu cho người sử dụng Vai trị sử dụng theo cách khác Bởi vai trị phương tiện mà truy cập vào nguồn tài nguyên thi hành, chuyển nhượng cho phép để thực hoạt động loại bỏ chuyển nhượng sử dụng phương tiện để chuỗi tập hợp hoạt động Trình tự hoạt động hành vi cần thiết để hỗ trợ công việc Như vậy, chế RBAC sử dụng phương tiện để thực công việc 3.3 Trung tâm quản lý bảo mật sử dụng RBAC Nhiều tổ chức phụ thuộc vào cá nhân, dựa sử dụng chế quản lý danh tính xây dựng vào hệ thống điều hành ứng dụng phần mềm riêng Tuy nhiên, số lượng người sử dụng gia tăng ứng dụng, hỗ trợ hệ thống trở nên tốn thời gian, khó sử dụng tốn Người dùng nhanh chóng trở thành thất vọng cần thiết phải nhớ nhiều mật Điều cần thiết thấp bảo trì hệ thống mà tự động hóa quản lý thường xuyên kiểm soát truy cập mạng để bảo mật liệu đảm bảo Một lựa chọn kiểm soát truy cập dựa vai trị (RBAC) Trong RBAC thử thách để thiết kế thực hiện, thiết kế theo mơ hình kinh doanh cơng ty chấp nhận rủi ro an ninh Sau thực hiện, quy mơ cho tăng trưởng địi hỏi bảo trì tối thiểu, mà chặng đường dài hướng tới việc ngăn chặn sóng chi phí CNTT.: an ninh, kinh doanh, giá trị cao chi phí bảo dưỡng thấp hiệu tăng lên lợi ích RBAC chiến lược an ninh cho tổ chức vừa lớn Dưới cách hoạt động: Khi tất vai trò nhân viên phân bổ vào sở liệu, quy tắc xây dựng dựa vai trị mơ-đun động cơng việc thực Qua yếu tố, đặc quyền dựa vai trị nhập vào cập nhật cách nhanh chóng nhiều hệ thống, tảng, ứng dụng vị trí địa lý - từ nhân quản lý máy tính để bàn 18 Bằng cách kiểm soát truy cập người sử dụng theo vai trị họ thuộc tính gắn liền với vai trị, mơ hình RBAC cung cấp q trình kiểm sốt tồn cơng ty để quản lý tài sản CNTT trì mức độ mong muốn an ninh Tuy nhiên, hệ thống RBAC thiết kế để tối đa hóa hiệu suất hoạt động giá trị chiến lược kinh doanh Họ xếp tự động hóa giao dịch quy trình kinh doanh cung cấp cho người dùng với nguồn lực để thực công việc họ tốt hơn, nhanh có trách nhiệm cá nhân lớn Với hệ thống RBAC chỗ, tổ chức vị trí tốt để đáp ứng yêu cầu riêng họ theo quy định bảo mật thông tin bảo mật, quan trọng cho tổ chức chăm sóc sức khỏe tổ chức tài chính, yêu cầu áp đặt đối tác kinh doanh bên ngồi quan phủ Giám đốc, nhà quản lý nhân viên IT có khả tốt để giám sát cách liệu sử dụng truy cập, với mục đích chuẩn bị lập kế hoạch xác mơ hình ngân sách dựa nhu cầu thực RBAC làm giảm dịch vụ chi phí hành nội bên ngồi, tổ chức lựa chọn để cấp quyền truy cập dựa vai trị để chọn cử tri bên ngồi tư vấn, đối tác kinh doanh, nhà cung cấp khách hàng Nhập nhân viên trở nên nhanh dễ dàng hơn, "khoá cứng" tài khoản nhân viên khỏi nơi làm việc Và nhân viên thường tìm thấy việc xây dựng tự động hóa q trình hệ thống RBAC làm tăng hiệu suất họ cách loại bỏ hầu hết tính dự phịng cơng việc hành mindless cần thiết theo yêu cầu hệ thống an ninh trước "bị bưng bít" 19 CHƯƠNG ỨNG DỤNG RBAC TẠI TRƯỜNG CAO ĐẲNG NGHỀ GTVT TW Trong chương tập trung vào việc thiết kế ứng dụng minh họa việc triển khai mơ hình RBAC vào cài đặt thực tế để quản lý điều khiển truy cập Ứng dụng tập trung vào việc mô tả cài đặt chức mà hệ thống RBAC phải có Các chức bao gồm : chức quản lý vai trò, quản lý người sử dụng, quản lý đối tượng quyền thực thi đối tượng này, quản lý đặc quyền vai trò Trong hệ thống mạng trường Cao Đẳng Nghề GTVT TW II, với mơ hình quản lý mạng - Domain sử dụng Windows Server 2008, công cụ Active Directory đem tới phương tiện quản lý thông tin nhận dạng mối quan hệ cấu thành nên hệ thống mạng tổ chức Active Directory cung cấp tính sẵn có cần thiết để cấu hình quản trị hệ thống, người dùng thiết lập ứng dụng cách tập trung Với Active Directory, ta đơn giản hóa việc quản lý người dùng máy tính, cho phép truy cập SSO (Single sign-on) tới tài nguyên mạng, giúp cải thiện tính riêng tư mức độ bảo mật thông tin lưu q trình truyền thơng cho phép quản trị viên để quản lý quyền truy cập vào tất đối tượng, tài nguyên mạng Bên cạnh Active Directory cịn cung cấp cơng cụ Authorization Manager (AzMan) nhằm kiểm sốt việc truy cập ứng dụng mạng, giúp quản trị viên quản lý dễ dàng trực quan ứng dụng hệ thống AzMan kiểm soát truy cập dựa vai trò (RBAC), cung cấp cơng cụ quản trị để quản lý sách cấp phép thời gian chạy, cho phép truy cập ứng dụng để thực kiểm tra truy cập trái phép AzMan công cụ quản trị (AzMan.msc) cung cấp Microsoft Management Console (MMC) snap-in Việc cài đặt mơ hình RBAC cho đảm bảo yêu cầu như: xử lý ràng buộc, xung đột quyền lợi, kiểm tra hiệu năng… mà lý thuyết việc không đơn giản, địi hỏi nhiều thời gian cơng sức kinh 20 nghiệm Trong khuôn khổ luận văn cố gắng làm sáng tỏ khái niệm vai trò (role), quyền (permission), hay phiên làm việc (session).thông qua hai ứng dụng thực tế trường Cao đẳng nghề GTVT TW II 4.1 Phân tích tác nhân RBAC đến hạ tầng IT 4.1.1 Ứng dụng RBAC Active Directory Phương pháp tiếp cận: có ba cách tiếp cận là: từ lên, từ xuống, kết hợp  Các bước kịch Bước 1: Xác định sử dụng mơ hình kịch Bước 2: Rút quyền truy cập theo kịch Bước 3: Xác định hạn chế Bước 4: Tinh chỉnh kịch Bước 5: Xác định nhiệm vụ hồ sơ công việc Bước 6: Xác định sơ vai trò hệ thống phân cấp Bước 7: Xác định mơ hình RBAC 4.1.2 Ứng dụng Web services 4.2 Xây dựng mô hình RBAC trường Cao đẳng nghề GTVT TW 4.2.1 Ứng dụng với Active Directory Kịch quản trị vai trò: Di chuyển sinh viên vào vai trò hạn chế 4.2.2 Ứng dụng Web services 4.2.2.1 Cài đặt thử nghiệm Các chức chương trình  Quản lý vai trị người sử dụng  Chức quản lý đặc quyền  Chức quản lý miền đối tượng 4.2.2.2 Kiểm thử 4.2.2.3 Kết đạt hoàn thành chương trình 4.2.2.4 Những hạn chế chương trình 4.2.2.5 Hướng phát triển chương trình tương lai 21 KẾT LUẬN VÀ KIẾN NGHỊ Điều khiển truy cập (access control) khái niệm khơng mẻ, khái niệm hình thành từ thuở sơ khai ngành cơng nghiệp máy tính Tuy nhiên thách thức gây nhiều tranh cãi giới chuyên môn Một vấn đề mà tất nhà phát triển quan tâm tìm mơ hình điều khiển truy cập tối ưu nhất, quản lý người dùng truy cập họ cách khoa học nhằm hạn chế tối đa xâm phạm bất hợp pháp vào tài nguyên hệ thống Hai mơ hình tiền nhiệm RBAC MAC DAC phần giải vấn đề trên, nhiên giải chưa tồn diện cịn nhiều khiếm khuyết Cho đến mơ hình RBAC đời, giới chun mơn thực bị thuyết phục ưu điểm mơ hình RBAC gắn liền với khái niệm vai trò (role) ngày RBAC mơ hình áp dụng rộng rãi khơng ứng dụng mà hệ thống điều hành lớn hệ điều hành mạng Windowns NT Microsoft, NetWare Novell, hay hệ điều hành Sun Solaris Sun micro system Sau thời gian nỗ lực nghiên cứu học hỏi, đến tơi hồn thành khóa luận đạt kết sau đây: Đã tìm hiểu cách khái qt mơ hình điều khiển truy cập, đánh giá điểm mạnh điểm hạn chế mơ hình Đã tìm hiểu mức độ họ mơ hình điều khiển truy cập sở vai trị RBAC Đã phân tích thiết kế hồn thiện cơng cụ hỗ trợ ngơn ngữ mơ hình hóa UML Hồn thành việc cài đặt công cụ hỗ trợ ngôn ngữ lập trình PHP hệ điều hành nguồn mở Ubuntu sử dụng Apache webserver sở liệu MySql 22 Tuy nhiên hạn chế mặt thời gian nghiên cứu, luận văn khó tránh khỏi khiếm khuyết kể mặt lý thuyết lẫn việc phân tích thiết kế công cụ hỗ trợ Những mặt hạn chế bao gồm: Mới tìm hiểu mức độ họ mơ hình RBAC Trong q trình phân tích, thiết kế cài đặt công cụ hỗ trợ, chưa đặc tả chức quản trị cao cấp RBAC như: kế thừa vai trò, xung đột lợi ích người sử dụng họ hai vai trò đối lập nhau, ràng buộc SSD, DSD, phiên làm việc Trong tương lai, tiếp tục mở rộng đề tài theo hướng nghiên cứu chun sâu họ mơ hình RBAC, xung đột quyền hạn Phân tích, thiết kế cài đặt thêm chức cao cấp RBAC vào cơng cụ hỗ trợ cách tích hợp mơ hình điều khiển truy cập RBAC hệ thống thông tin đại  ... loại kiểm soát truy cập 2.1.2.1 Kiểm soát truy cập bắt buộc - Mandatory Access Control (MAC) 2.1.2.2 Kiểm soát truy cập tùy quyền - Discretionary access control (DAC) 2.1.2.3 Kiểm soát truy cập dựa. .. phịng thí nghiệm để kiểm tra vai trị nhà nghiên cứu giới hạn để thu thập thông tin lâm sàng cho nghiên cứu Kiểm sốt truy cập dựa vai trị (RBAC) tính bảo mật cho người dùng truy cập kiểm sốt với nhiệm... nghiệm ứng dụng tảng hệ điều hành Windows Server Linux II NỘI DUNG CHƯƠNG TỔNG QUAN VỀ BÀI TOÁN KIỂM SOÁT TRUY CẬP 1.1 Các khái niệm toán kiểm soát truy cập Access Control hay kiểm soát truy cập,