I H C QU C GIA TP H CHệ MINH TR NG I H C B́CH KHOA ———— * ———— CHU XUÂN TÌNH I U KHI N TRUY XU T D A TRểN THU C TệNH Chuyên ngành: Khoaăh căMáyătính Mưăs :ă8480101 LU N V N TH C S TP H ăCHệăMINH,ăthángă07 n m 2022 CƠNGăTRÌNHă CăHOĨNăTHĨNHăT I TR NGă IăH CăBÁCHăKHOA - HQGăHCM Cánăb ăh ngăd năkhoaăh c: PGS.TS ngăTr năKhánh Cánăb ăch m nh năxétă1: PGS.TS.ăNguy năTu nă Cánăb ăch mănh năxétă2: TS.ă ng ngăTr năTrí Lu năv năth căs ăđ căb oăv ăt iăTr HCM ngàyă21ăthángă07ăn mă2022 ng i h c Bách Khoa, HQG Tp Thành ph n H i đ ng đánh giá lu n v n th c s g m: Ch ăt ch:ăPGS.TS.ăTr năMinhăQuang Ph năbi nă1:ăPGS.TS.ăNguy năTu nă ng Ph năbi nă2: TS.ă ngăTr năTrí yăviên:ăPGS.ăTS.ăLêăH ngăTrang Th ăkỦ:ăTS.ăPhanăTr ngăNhân Xác nh n c a Ch t ch H i đ ng đánh giá LV Tr ngăKhoaăqu n lý chuyên ngành sau lu n v n đ c s a ch a (n u có) CH T CH H I NG TR NG KHOA KHOA KHOA H C VÀ K THU T MÁY TÍNH TR IăH CăQU CăGIAăTP.HCM NG I H C B́CH KHOA C NG HÒA Xà H I CH NGH A VI T NAM c l p - T - H nh phúc NHI MăV ăLU NăV NăTH CăS H ătênăh căviên:ăChu Xuân Tình MSHV:1870583 Ngày,ătháng,ăn măsinh:ă10/07/1984 N iăsinh:ăThanh Hóa Chun ngành: Khoaăh căMáyătính Mưăs : 8480101 I TểN TÀI: I UăKHI NăTRUYăXU TăD AăTRểNăTHU CăTệNH Tênăđ ătàiăti ngăAnh : Attribute-Based Access Control……………………………… II NHI M V VÀ N I DUNG: Tìm hi uăchu năNISTăliênăquanăABAC,ăthamăkh oăcácăcơngătrìnhănghiênăc uăliênă quan ABACăvàăcácăgi iăphápăb oăm tăd ăli uăliênăquanătínhăriêngăt ,ăhi năth că ABAC,ăki măth ăABACăv iăd ăli uăm u,ănh năd ngăconflictătrongăABAC………… III NGÀY GIAO NHI M V : 06/09/2021 IV NGÀY HOÀN THÀNH NHI M V : 06/06/2022 V ĆN B H NG D N : PGS.TS.ă ngăTr năKhánh Tp HCM, ngày 21 tháng 07 n m 2022 ĆN B H NG D N (H ătênăvàăch ăkỦ) PGS.TS TR CH NHI M B MÔN ÀO T O (H ătênăvàăch ăkỦ) ng Tr n Khánh NG KHOA ậ KHOA KHOA H C VÀ K THU T ḾY TệNH (H ătênăvàăch ăkỦ) Ghi chú: H c viên ph i đóng t nhi m v vào trang đ u tiên c a t p thuy t minh LV L IC M N ă hoànă thànhă lu nă v nă th că s ă này,ă tôiă chână thànhă bàyă t ă s ă c mă nă sâuă s că t iă Th yă PGS.TS.ă ngă Tr nă Khánh.ă Ng iă đưă gi ngă d y,ă đ nhă h ki năth căquỦăgiáăchoătơiătrongăsu tăqătrìnhătheoăh căt iăTr ngă vàă truy nă đ tă ng Tôiă c ngă xină c mă nă cácă Th y/Cơă trongă khoaă Khoaă h că Máyă tínhătr ngă iăh că BáchăKhoaăTP.HCMăđưătruy năđ tăchoătôiănh ngăki năth căchuyênăsâuăv ăchuyênă ngànhătrongăsu tăth iăgianăh căt păc aă mình,ăc mă năs ăt nătìnhăc aăcácăTh y/Cơă P àoăt o Cu iăcùng,ă tơiăxină g iă l iă c mă nă đ nă giaă đìnhă vàă đ ngă nghi pă đưă luônă h ă tr ă tôiă trongăsu tăth iăgianăqua Xinăchânăthànhăc mă n! i TịM T T Ngàyă nayă v iă s ă phátă tri nă c aă khoaă h că vàă s ă giaă t ngă d ă li u,ă nhuăc uă thuă th pă phânătíchăthơngătinăd ăli uăngàyăcàngăt ngătrongăcácăt ăch c.ăDoăđó,ăki măsốtătruyă c păvàăb oăv ăquy năriêngăt ăđ căxemălàăm tătrongănh ngăm iăquanătâmăhàngăđ uă trongăh ăth ngăthơngătin Doanhănghi păc năcóăc ăch ăki măsốtătruyăc păm nhăm ă linhăho tăđ ăđ măb oăr ngăcácătàiănguyênă(víă d :ă ngăd ng,ăm ng,ăh ăth ngă vàăd ă li u)ăkhôngăb ăl ăchoăb tăk ăaiăkhácăngồiăng iădùngăđ căc păquy n Ki măsốtătruyăc păd aătrênăthu cătínhăABAC (Attribute-Based Access Control) s ă d ngă cácă thu că tínhă trênă ch ă th , tài nguyên vàă cóă th ă c ă th că th ă khácă (víă d :ăng ăc nhă/ mơiătr ng) vàăch ăđ nhăcácăquyăt căs ăd ngăcácăthu cătínhănàyăđ ă xácă nh nă ch ă th cóă quy nă th că thiă (víă d :ă đ c/ghi/s a/xóa) lênă cácă đ iă t ng,ă tàiă ngun Ki măsốtătruyăc păd aătrênăthu cătínhăABACămangăl iăs ălinhăho tăphùăh păv iă cácăh ăth ngăngàyănayăv iăm tăs ă uăđi măn iătr i:ăABAC m t ph ng pháp m i đ qu n lý quy n truy c p d a thu c tính, mang l i hi u qu , tính linh ho t, chi ti t, kh n ng m r ng b o m t cao h n Qu n lý truy c p đ n gi n, Chính sách truy c p ki m sốt t p trung M cădùăcácăkháiăni măABACăđưăđ ABACăchínhăth c.ă tr ăh cănghiênăc uănh ngăv năcịnăthi uăcácămơăhìnhă ngăt iăvi cămơăhìnhăABACăh ătr ăt tăh nătrongăcácămơiă ngăphânătánăho căkhiăcácăt ăch căcóăs ăchiaăs ătàiăngunăd ăli uăh ăth ngăv iă Lu năv năt pătrungăvàoăxâyăd ngăh ăth ngăABACăt ămơăhìnhăki nătrúc,ăhi nă th c,ă tri nă khaiă nh mă b ă sungă gi iă phápă ki mă soátă truyă xu tă linhă ho tă choă cácă h ă th ngă ngăd ng.ăCungăc păph ngăphápăphátăhi năxungăđ tăvàăthu tătốnăgi iăquy tă xungă đ tă trongă qă trìnhă thi tă k ă chínhă sách.ă ph ngă th iă đ ă xu tă ápă d ngă m tă s ă ngăphápăđ ăb oăv ăquy năriêngăt ăc aăd ăli uăd aătrênăthu cătínhătheoăc păđ ă mongămu n.ăH ăth ngăcóăkh ăn ngăđápă ngăđ ăs ăd ngăchoăxácăth căvàăc păquy nă truyăxu tă ngăd ngătrênăcácăn năt ngăkhácănhauăthôngăquaăs ăd ngăcácăAPIăServiceă ho căCoreăEngine ii ABSTRACT Nowadays, with the development of science and the increase in data, the need to collect data information analysis is increasing in organizations Therefore, access control and privacy protection are considered as one the top concerns in information systems Enterprises need robust, flexible access control mechanisms to ensure that resources (e.g applications, networks, systems, and data) are not exposed to anyone other than authorized users Attribute-Based Access Control (ABAC) uses attributes on subjects, resources, and possibly other entities (e.g context/environment) and specifies rules Rules use these attributes to confirm that the subject has executed (e.g read/write/delete/modify) permissions on objects and resources Attribute-Based Access Control ABAC offers the flexibility to suit today's systems with several outstanding advantages: ABAC is a new approach to property-based access management that delivers efficiency More efficiency, flexibility, granularity, scalability, and security Simple Access Management, Centralized Control, and Access Policy Although ABAC concepts have been studied, there is still a lack of formal ABAC models Towards the ABAC model to better support in distributed environments or when organizations share system data resources The thesis focuses on building an ABAC system from the architectural model, implementation, and deployment to add flexible access control solutions for application systems Provides conflict detection methods and conflict resolution algorithms in the policy design process Several methods are also proposed to protect the privacy of attribute-based data to the desired extent The system is responsive to use for authentication and application access authorization on different platforms through the use of Service APIs or Core Engine iii L I CAM OAN Tôi xinăcamăđoanăLu năv năth căs ă“Ki măsốtătruyăxu tăd aătrênăthu cătính”ălàăđ ă tàiă nghiênă c uă khoaă h că đ că l pă c aă tôi,ă đ că d nă d tă h ngă d nă b iă PGS.TS ngăTr năKhánh Các n iădungătrìnhăbày,ăk tăqu ănghiênăc uăc aălu năv nălàătrungă th căvàătàiăli uăthamăkh oăđưăđ căghiărõăngu nătríchăd n Tơi xinăhồnătồnăch uătráchănhi mătr cănhàătr ngăvàăh iăđ ngă v ăl iăcamăđoană Tp.ăH ăChíăMinh,ă07/2022 H c viên Chu Xuân Tình iv M CL C DANH M C HÌNH vii DANH M C B NG viii CH NG GI I THI U 1.1 M c tiêu ph măviăđ tài 1.2 C u trúc lu năv n 1.3 Nh ng nghiên c u liên quan CH NG C S LÝ THUY T 2.1 Các mơ hình ki m sốt truy c p 2.2 eXtensible Access Control Markup Language (XACML) 12 CH NG KI N TRÚC T NG TH C A MƠ HÌNH ABAC 15 3.1 Ki n trúc t ng quan mơ hình ABAC 15 3.2 ABAC Policy language 18 3.3 ABAC Request/Response 22 3.4 Policy evaluation 23 3.5 Rule evaluation 25 3.6 Function expressions 26 3.7 MongoDB 29 CH NG V N CONFLICT RULE TRONG ABAC 31 4.1 Nh n d ng v năđ conflict 31 4.2 Ph CH NG ngăphápăx lý conflict 34 HI N TH C CORE ABAC 46 5.1 Xây d ng l p (class) ngơn ng sách 46 5.2 Xây d ngăl 5.3 Tri n khai module PDP, PIP, PAP, PEP 52 5.4 Hi n th căl uătr d li u MongoDB 59 5.5 Demo & UI 62 5.6 ánhăgiá 71 CH NG căđ tri n khai database 49 K T LU N 74 v DANH M C CÁC CƠNG TRÌNH KHOA H C 75 TÀI LI U THAM KH O 95 LÝ L CH TRÍCH NGANG 97 vi DANH M C HÌNH Hình 2.1: Các mơăhìnhăki măsốtătruyăc pă Hình 2.2: Cácănhómăch ngăAPIăđ căth căthiăbênătrongă ngăd ng Hình 2.3: Attribute-Based Access Control Model 10 Hình 2.4: Ki nătrúcă ngăd ngăwebăservices 12 Hình 2.5: Cácăthànhăph năchínhăXACML 12 Hình 3.1: Ki nătrúcăt ngăquanăABAC 16 Hình 3.2: Minhăh aăcácăthànhăph năc aăngơnăng ăchínhăsách 18 Hình 3.3: C uătrúcăABACăpolicyălanguage 19 Hình 3.4: C uătrúcăd ăli uăJSON 26 Hình 3.5: Chínhăsáchăl uătr ătrênăMongoDB 30 Hình 4.1: ModuleăPAPăh ătr ădesignăvàăphátăhi năconflict 40 Hình 4.2: Giaoădi năki mătraăđ ngăđ ăgi aăcácăpolicy 45 Hình 5.1: C uătrúcăt ngăquanăConceptualăDataăModel 46 Hình 5.2: Access request process 53 Hình 5.3: T ăch căl uătr ăcollectionădataăpolicyătrong MongoDB 60 Hình 5.4: T ăch căl uătr ăcollectionăcácăth căth ătrongăMongoDB 61 Hình 5.5: Core Back-end ABAC 62 Hình 5.6: Giaoădi năPAP 63 Hình 5.7: Giaoădi năki mătraăđánhăgiáăquy nătruyăxu tă 64 Hình 5.8: D ăli uătr ăv ăsauăth căthiăaccessăcontrol 64 Hình 5.9: Hi năth ăthơngătinăuserăkhơngăcóăquy nătruyăxu t 65 Hình 5.10: Giaoădi năthi tăk ăpolicy 65 Hình 5.11: Giaoădi nădesignăpolicy 66 Hình 5.12: K tăqu ăđánhăgiáăquy nătruyăc păuser 67 Hình 5.13: Giaoădi nădesignăpolicyăvàăki mătraăconflict 70 Hình 5.14: Giaoădi năqu nălỦăAPIăServices 71 Hình 5.15: K tăqu ăresponseătime 71 Hình 5.16: Ki nătrúcăv ăs ăd ngăn năt ngăd ăli uăm 73 vii ... aănóălàăphânăvùngăd ăli uăd a? ?trên? ?tính? ?tốn,ăkhơngă cungăc p gi iăphápăcho quy năriêngăt Gi iăphápăki măsốt? ?truy? ?xu t d a? ?trên? ?thu c? ?tính? ?(ABAC)ăk tăh păv iăvi căb oă v tính? ?riêngăt ăc aăcácăthu c? ?tính? ?d ăli u... ng pháp m i đ qu n lý quy n truy c p d a thu c tính, mang l i hi u qu , tính linh ho t, chi ti t, kh n ng m r ng b o m t cao h n Qu n lý truy c p đ n gi n, Chính sách truy c p ki m soát t p trung... măsốt? ?truy? ?c păd a? ?trên? ?thu c? ?tính? ?ABACămangăl iăs ălinhăho tăphùăh păv iă cácăh ăth ngăngàyănayăv iăm tăs ă uăđi măn iătr i:ăABAC m t ph ng pháp m i đ qu n lý quy n truy c p d a thu c tính,