ỦY BAN NHÂN DÂN TP.HCM ĐẠI HỌC QUỐC GIA TP.HCM SỞ KHOA HỌC VÀ CÔNG NGHỆ TRƢỜNG ĐẠI HỌC BÁCH KHOA BÁO CÁO NGHIỆM THU CẤP THÀNH PHỐ PHÁT TRIỂN MƠ HÌNH ĐIỀU KHIỂN TRUY XUẤT CHO DỮ LIỆU GIS PGS.TS ĐẶNG TRẦN KHÁNH THÀNH PHỐ HỒ CHÍ MINH THÁNG 08/ 2013 ỦY BAN NHÂN DÂN TP.HCM SỞ KHOA HỌC VÀ CÔNG NGHỆ BÁO CÁO NGHIỆM THU (Đã chỉnh sửa theo góp ý Hội đồng nghiệm thu) PHÁT TRIỂN MƠ HÌNH ĐIỀU KHIỂN TRUY XUẤT CHO DỮ LIỆU GIS CHỦ NHIỆM ĐỀ TÀI (Ký tên) PGS.TS ĐẶNG TRẦN KHÁNH CƠ QUAN QUẢN LÝ (Ký tên/đóng dấu xác nhận) CƠ QUAN CHỦ TRÌ (Ký tên/đóng dấu xác nhận) THÀNH PHỐ HỒ CHÍ MINH THÁNG 11/2013 TĨM TẮT NỘI DUNG NGHIÊN CỨU Sự phát triển dịch vụ dựa địa lý, dịch vụ dựa vị trí hay hệ thống thông tin lớn ngày nhanh tạo nên nhu cầu cấp thiết cho toán bảo mật liệu địa lý Các công nghệ đại giúp cho việc trao đổi liệu, tích hợp hay chia sẻ liệu làm cho việc liên thông hệ thống nguồn tài nguyên ngày dễ dàng Do đó, vấn đề bảo mật liệu quan trọng cốt lỗi điều khiển truy xuất liệu Các mơ hình điều khiển truy xuất kinh điển cho ứng dụng hệ quản trị sở liệu không đủ đáp ứng để giới hạn loại truy xuất hệ thống liệu lớn đặc biệt hệ thống thơng tin địa lý Một sách điều khiển truy xuất liệu địa lý mang nhiều thông tin đặc thù việc giới hạn phụ thuộc vào thông tin địa lý liệu, thông tin chủ thể truy xuất thông tin ngữ cảnh gồm yếu tố khơng thời gian vị trí chủ thể thời gian truy xuất, kiện xảy môi trường truy xuất, v.v Kế thừa tính mềm dẻo dễ dàng tích hợp với loại ứng dụng hệ thống XML, ngôn ngữ XACML chuẩn công nghiệp OASIS sử dụng để mơ tả sách giới hạn truy xuất, yêu cầu truy xuất định truy xuất cú pháp XML Đề tài phát triển mơ hình truy xuất mở rộng từ XACML, cụ thể từ GeoXACML (một mơ hình phát triển từ XACML hỗ trợ thêm số thư viện hàm kiểu liệu địa lý) gọi X-STROWL (eXtended XACML for Spatial Temporal Role based access control model with OWL) Mơ hình X-STROWL khơng hỗ trợ chuẩn OASIS XACML mà hỗ trợ điều khiển truy xuất dựa vai trò (role based access control) đáp ứng yêu cầu giới hạn truy xuất cho hệ thống thơng tin nói chung cho hệ thống thơng tin địa lý nói riêng bao gồm yếu tố khơng thời gian Mơ hình cịn tích hợp OWL (Web Ontology Language) để hỗ trợ phân cấp vai trò giảm bớt chi phí đặc tả sách truy xuất cho vai trị tăng tính thông minh cho máy định truy xuất Phần cịn lại báo cáo trình bày nội dung sau: Chương giới thiệu tổng quan dự án; Các vấn đề nghiên cứu kế hoạch nghiên cứu trình bày chương 2; Chương trình bày chi tiết mơ hình điều khiển truy xuất kinh điển, mơ hình phát triển gần có liên quan mơ hình điều khiển truy xuất đề xuất vấn đề liên quan đến tốn điều khiển truy xuất Từ mơ hình đề xuất chương 3, chương trình bày phương pháp đặc tả quy tắc phân quyền sách bảo mật Trong chương 5, kiến trúc luận lý chức trình bày Các mã nguồn mở liên quan để thực kiến trúc theo mơ hình đề xuất giới thiệu chương Chương trình bày ứng dụng thử nghiệm để kiểm chứng đánh giá kết nghiên cứu đề tài Cuối cùng, chương tổng kết lại công việc hoàn thành đánh giá kiến nghị cho hướng phát triển đề tài I SUMMARY OF RESEARCH CONTENTS The development of geography-based services, location-based services, and largescale information systems has created the demands for geospatial data security The high technology has made the interoperable use of distributed and heterogeneous data such as data sharing, data integration or data exchanging between different organizations easily Therefore, one of the imperative problems of data security is access control However, traditional and existing access control models for applications and database management systems cannot fully satisfy the requirements of data access restriction in the large-scale information systems, especially geographic information systems (GIS) Security policies in an access control model for geographical data expect many specific characteristics For example, the constraints of data access are specified on conditions of spatial characteristics of data, subject’s information, and contexts including spatio-temporal information such as subject’s position, accessed date, and events around the environment of request, etc Inherited from the flexibility and easy integration with a variety of applications and systems of XML, XACML is the OASIS standard and used to describe access control policies, authorization decision request, and response by the XML syntax The project has developed an access control model extended from XACML, namely from GeoXACML (an extension of XACML with the support of spatial data types and functions), called X-STROWL (eXtended XACML for Spatial Temporal Role based access control model with OWL) The X-STROWL model supports not only XACML of the OASIS standard but also role based access control according to the NIST standard, and meets with the requirements of access restrictions including spatiotemporal conditions for information systems in general and GIS in particular Besides, the model also integrates the OWL (Web Ontology Language) ontology for semantic reasoning on hierarchical roles to simplify the specification of access control policies and increase the intelligence of the authorization decision engine The research contents presented in this report are organized as follows A general view of the project is introduced in Chapter Chapter presents the statement of research problems, and proposes the research plan of the project Chapter describes traditional and recent access control models, and proposes the access control model, X-STROWL, of the project as well as related problems From this model suggested in Chapter 3, methods for security authorization policy and rule specification are presented in Chapter Chapter proposes the functional architecture for our XSTROWL model Potential open source softwares that can be used to implement the model are analyzed in Chapter Chapter presents a demo to verify and evaluate the research’s result Finally, summary and future works are given in Chapter II MỤC LỤC TÓM TẮT NỘI DUNG NGHIÊN CỨU I SUMMARY OF RESEARCH CONTENTS II MỤC LỤC III DANH SÁCH BẢNG VIII DANH SÁCH HÌNH IX PHẦN MỞ ĐẦU CHƢƠNG – TỔNG QUAN ĐỀ TÀI 10 1.1 Tính cấp thiết đề tài 10 1.2 Phương pháp nghiên cứu 11 1.2.1 Cách tiếp cận 11 1.2.2 Phương pháp nghiên cứu 11 1.3 Ý nghĩa khoa học khả áp dụng thực tiễn 12 CHƢƠNG – PHÁT BIỂU ĐỀ TÀI 13 2.1 Giới thiệu GIS ứng dụng GIS 13 2.2 Kiến trúc SDI (Spatial Data Infrastructure) 15 2.2.1 Các thành phần SDI 15 2.2.2 Phần mềm để xây dựng SDI 16 2.3 Vấn đề chia sẻ bảo vệ liệu địa lý 20 2.4 Các yêu cầu giới hạn truy xuất 21 2.4.1 Hướng người dùng vai trò người dùng 22 2.4.2 Hướng liệu 22 2.4.3 Hướng ngữ cảnh 23 2.5 Các vấn đề cần giải 24 2.6 Kế hoạch nghiên cứu 25 CHƢƠNG – PHÁT TRIỂN MƠ HÌNH ĐIỀU KHIỂN TRUY XUẤT CHO DỮ LIỆU GIS 28 3.1 Các cơng trình nghiên cứu liên quan 28 3.1.1 Các mơ hình điều khiển truy xuất 28 III 3.1.2 Các mơ hình điều khiển truy xuất nâng cao 37 3.1.3 Tổng kết đánh giá 56 3.2 Mơ hình đề xuất 57 3.2.1 Các loại sách 58 3.2.2 Mơ hình X-STROWL 60 3.2.3 Sự hỗ trợ không thời gian 64 3.3 Vấn đề xung đột quyền 65 3.3.1 Deny-overrides 68 3.3.2 Orderred-deny-overrides 69 3.3.3 Permit-overrides 69 3.3.4 Orderred-permit-overrides 69 3.3.5 First-applicable 69 3.3.6 Only-one-applicable 70 3.3.7 Phát giải xung đột 71 3.4 Vấn đề điều khiển truy xuất hướng người dùng kiện 74 3.5 Vấn đề quản lý role người dùng 77 3.5.1 Định nghĩa role 78 3.5.2 Phân cấp role 79 3.5.3 Phân biệt nhiệm vụ 81 3.6 Vấn đề quản lý giao dịch người dùng 82 CHƢƠNG – PHƢƠNG PHÁP ĐẶC TẢ QUY TẮC PHÂN QUYỀN VÀ CHÍNH SÁCH BẢO MẬT 85 4.1 Phương pháp đặc tả quy tắc phân quyền chinh sách bảo mật GeoXACML 85 4.1.1 Sự mở rộng XACML 85 4.1.2 Cấu trúc ngôn ngữ GeoXACML 86 4.1.3 Các loại sách GeoXACML hỗ trợ 93 4.2 Phương pháp đặc tả quy tắc phân quyền sách bảo mật mở rộng 98 4.2.1 Cấu trúc sách RoleAssignment 98 4.2.2 Cấu trúc sách Permission 99 4.2.3 Cấu trúc sách PermissionAssignment 100 IV 4.2.4 Cấu trúc sách Context 101 4.2.5 Cấu trúc sách SeparateOfDuty 102 4.2.6 Đặc tả phân cấp role resource với OWL 103 4.3 Case study 108 4.3.1 Cấu trúc sách RoleAssignment 108 4.3.2 Cấu trúc sách Permission 110 4.3.3 Cấu trúc sách PermissionAssignment 113 4.3.4 Cấu trúc sách Context 116 4.3.5 Cấu trúc sách SeparateOfDuty 117 4.3.6 Phân cấp role với OWL 119 CHƢƠNG – KIẾN TRÚC CHỨC NĂNG CỦA MƠ HÌNH ĐIỀU KHIỂN TRUY XUẤT ĐỀ XUẤT 121 5.1 Kiến trúc tổng quan 121 5.2 Chuẩn giao tiếp layers 122 5.3 Kiến trúc chức 122 5.3 Khối dịch vụ thi hành sách (Enforcement Service) 124 5.3.2 Khối dịch vụ đánh giá sách (Evaluation Service) 124 5.3.3 Khối tiện ích (Utilities) 125 5.3.4 Khối dịch vụ hàm hỗ trợ (Supporting Functions/Services) 125 5.3.5 Kho lưu trữ liệu 126 CHƢƠNG – PHÁT TRIỂN BỘ CƠNG CỤ DỰA TRÊN MƠ HÌNH ĐIỀU KHIỂN TRUY XUẤT 127 6.1 Sơ lược mã nguồn mở thực XACML 127 6.2 HERASAF 128 6.2.1 Cách thức hoạt động 128 6.2.2 Cách tổ chức mã nguồn 129 6.2.3 Các gói liệu HERAS-AF Core 130 6.2.4 Tạo đánh giá yêu cầu truy xuất với HERAS-AF 131 6.2.5 HERAS-AF ưu – nhược điểm khả mở rộng 134 6.3 Mở rộng HERAS-AF hỗ trợ X-STROWL 135 6.3.1 Kiến trúc HERAS-AF+ 135 V 6.3.2 Mở rộng HERAS-AF+ Core 138 6.3.3 HERAS-AF+ Context Handler 139 6.3.4 HERAS-AF+ PDP 142 6.3.5 HERAS-AF+ PEP 142 6.3.6 HERAS-AF+ PIP 145 6.3.7 HERAS-AF+ S/DSOD 146 6.3.8 HERAS-AF+ OWL 147 6.3.9 Giải thuật kết hợp 148 6.4 Mở rộng UMU hỗ trợ việc tạo quản lý sách bảo mật 149 6.4.1 UMU-XACML-Editor 149 6.4.2 Mở rộng UMU hỗ trợ thực khối PAP 150 CHƢƠNG – PHÁT TRIỂN ỨNG DỤNG THỬ NGHIỆM ĐỂ ĐÁNH GIÁ VÀ KIỂM CHỨNG KẾT QUẢ NGHIÊN CỨU 152 7.1 Phát triển ứng dụng thử nghiệm 152 7.1.1 Kiến trúc ứng dụng 152 7.1.2 Phía người dùng 153 7.1.3 Phía máy chủ 158 7.1.4 Áp dụng công cụ điều khiển truy xuất 159 7.1.5 Cơ sở liệu 162 7.2 Triển khai thử nghiệm 162 7.2.1 Kịch 163 7.2.2 Kịch 165 7.2.3 Kịch 166 7.3 Đánh giá kết 167 CHƢƠNG – TỔNG KẾT VÀ ĐÁNH GIÁ 171 8.1 Đánh giá kết nghiên cứu 171 8.1.1 Đánh giá mơ hình 171 8.1.2 Đánh giá công cụ phát triển 172 8.2 Tổng kết 173 8.3 Đề nghị 174 VI TÀI LIỆU THAM KHẢO 176 PHỤ LỤC i Các báo đăng/được chấp nhận đăng i Hướng dẫn sử dụng ứng dụng thử nghiệm i 2.1 Cách cài đặt website i 2.2 Cách cài dặt server v 2.3 Access Control vi 2.4 Cách tạo sách bảo mật vi VII DANH SÁCH BẢNG ảng 1: Kế hoạch làm việc 26 ảng 2: Các kiểu liệu không gian GeoXACML 50 ảng 3: Các hàm không gian GeoXACML 50 ảng 4: ảng so sánh đánh giá cách tiếp cận 56 ảng 5: Kiểu liệu không thời gian X-STROWL 64 ảng 6: Các hàm liệu không thời gian X-STROWL 64 ảng 7: Các giải thuật kết hợp sách, luật 65 ảng 8: ảng thật đánh giá rule 67 ảng 9: ảng thật đánh giá policy 67 ảng 10: ảng thật đánh giá PolicySet 68 ảng 11: Các hàm không gian GeoXACML 86 ảng 12: Định nghĩa role OWL 104 ảng 13: Các hàm ngữ nghĩa OWL hỗ trợ role resource phân cấp 106 ảng 14: Tổng quát mã nguồn mở thực XACML 127 ảng 15: Dữ liệu sử dụng cho thử nghiệm 163 VIII - Cải tiến ứng dụng thử nghiệm để áp dụng vào ứng dụng thực tế phức tạp hơn, Cải tiến tốc độ xử lý yêu cầu truy xuất, ví dụ đánh mục Policy sở liệu Như trình bày phần tổng quan (chương 1), kết đề tài áp dụng vào ứng dụng GIS có u cầu tích hợp bảo mật cao ngồi thực tế Điển ứng dụng giao thơng, y tế, quản lý sử dụng đất, quy hoạch đô thị… Ngồi ra, kết đề tài áp dụng cho liệu không gian phi khơng gian nên đề tài cịn áp dụng cho ứng dụng khơng liên quan đến đặc tính khơng gian Ví dụ ứng dụng quản lý thông tin hệ thống công ty, nơi mà yêu cầu truy xuất thông tin người dùng phải đánh giá cách linh hoạt dựa nhiều ràng buộc 175 TÀI LIỆU THAM KHẢO [1] Definition of GIS, Wikipedia, the free http://en.wikipedia.org/wiki/Geographic_information_system, 2011 encyclopedia: December 24, [2] S Sophat Fundamentals of Geographic Information Systems Royal University of Phnom Penh, December 2007 [3] S.A Chun and V Atluri Geospatial Database Security Hand book of Database Security Applications and Trends, Springer, pp 247-248, 2007 [4] J Lin, Y Fang, and W Zhang: Fundamental Aspects of Access Control for Geospatial Data In International Journal of Digital Earth, ISSN 1753-8955, 2009 [5] Ứng Dụng GIS-Hệ Thống Thông Tin Địa Lý cho Ngành: http://diatinhoc.com.vn/he-thong-thong-tin-dia-li/66-ng-dng-ca-gis-trong-cacnganh, December 24, 2011 [6] T.T Đức GIS Nhà xuất Đại học Quốc Gia Tp Hồ Chí Minh, 2002 [7] Definition of SDI, from Wikipedia, the free encyclopedia: http://en.wikipedia.org/wiki/Spatial_data_infrastructure, December 27, 2011 [8] S Steiniger and A.J.S Hunter Free and Open Source GIS Software for Building a Spatial Data Infrastructure Lecture Notes in Geoinformation and Cartography, 2012, Part 5, 247-261 [9] S McClure Oracle’s Solution for Heterogeneous Data Integration White Paper, August 2003: http://www.oracle.com/technology/products/dataint/pdf/idc integration wp.pdf [10] E Bertino, G Ghinita and A Kamra Access Control for Databases: Concepts and Systems Foundations and Trends in Databases, vol 3, nos 1–2 (2010) 1– 148 [11] S Castano, M Fugini, G Martella, and P Samarati (1995) Database Security ACM Press & Addison-Wesley, ISBN 0-201-59375-0 [12] R Sandhu Access Control: Principles and Practice IEEE Communications Magazine, 1994, (9), pp 40-48, 1994 [13] J Lin; Y Fang, B Chen, and P Wu: Analysis of Access Control Mechanisms for Spatial Database In the International Archives of the Photogrammetry, Remote Sensing and Spatial Information Sciences Vol.XXXVII Part B8, pp 14431448, 2008 [14] R Sandhu, E.J Coyne, H.L Feinstein, C.E.Youman Role-based access control models IEEE Computer 29(2), pages 38-47, 1996 [15] D Ferraiolo, R Sandhu, S Gavrila, D Kuhn, R Chandramouli Proposed NIST standard for role-based access control ACM Transactions on Information and System Security (TISSEC) 4(3), pages 224 – 274, 2001 176 [16] T Moses Extensible access control markup language (XACML) version 2.0, 2005 OASIS Standard [17] B Parducci, H Lockhart, E Rissanen Extensible access control markup language (XACML) version 3.0, 2010 OASIS Standard [18] M L Damiani, E Bertino, Ba Catania, P Perlasca GEO-RBAC: A Spatially Aware RBAC In Journal of ACM Transactions on Information and System Security, Vol 10 (1), pp 29-37, 2007 [19] M Kumar and R E Newman STRBAC - An approach towards spatio-temporal role-based access control In Communication, Network and Information Security, pp 150-155, 2006 [20] F Cuppens, A Miege Modelling contexts in the Or-BAC model In Proceedings of the 19th Annual Computer Security Applications Conference, pp 416 – 427, 2003 [21] G Antoniou1 and F V Harmelen Web Ontology Language: OWL In International Handbooks on Information Systems, 2009, Part 1, 91-110 [22] T Finin, A Joshi, L Kagal, J Niu, R Sandhu, W H Winsborough, and B Thuraisingham ROWLBAC - Representing Role Based Access Control in OWL In Proceedings of the 13th Symposium on Access Control Models and Technologies ACM Press, pp 73 – 82, June 2008 [23] A Matheus Declaration and enforcement of fine-grained access restrictions for a service-based geospatial data infrastructure In Proceedings of the 10th ACM symposium on Access control models and technologies (SACMAT), ISBN:159593-045-0, pages 21 – 28, 2005 [24] A Matheus Declaration and Enforcement of Access Restrictions for Distributed Geospatial Information Objects Thesis (Master), Fakultät für Informatik Technische Universität München, 2005 [25] A Anderson XACML v2.0 Core and Hierarchical Role Based Access Control (RBAC) Profile, 2005 [26] B Parducci, H Lockhart, E Rissanen XACML v3.0 Core and Hierarchical Role Based Access Control (RBAC) Profile, 2010 [27] D A Haidar, N.C Boulahia, F Cuppens, H Debar An extended RBAC profile of XACML In Proceedings of the 3rd ACM workshop on Secure web services, pp 13 -22, 2006 [28] N.Helil, K.Rahman RBAC Constraints Specification and Enforcement in Extended XACML Proceedings of International Conference on Multimedia Information Networking and Security (MINES), pp 546-550, 2010 [29] R Ferrini, E Bertino Supporting RBAC with XACML+OWL In Proceedings of the 14th ACM symposium on Access control models and technologies, pp 145154, 2009 [30] N.Helil, K.Rahman Extending XACML Profile 177 for RBAC with Semantic Concepts In Proceedings of International Conference on Computer Application and System Modeling (ICCASM 2010), pp.v10.69 – v10.74, 2010 [31] Ninghui Li, Q Wang, W.Qardaji, E Bertino, etc Access control policy combining: theory meets practice In Proceedings of the 14th ACM symposium on Access control models and technologies, pages 135-144, 2009 [32] S Hada and M Kudo XML access control language: Provisional authorization for XML documents: http://www.trl.ibm.com/projects/xml/xacl/xacl-spec.html, December 27, 2011 [33] P Ashley, S Hada, G Karjoth, C Powers, and M Schunter The enterprise privacy authorization language (EPAL), http://www.w3.org/2003/p3pws/pp/ibm3.html, December 27, 2011 [34] C Ribeiro, A Zuquete, P Ferreira, and P Guedes SPL: An access control language for security policies with complex constraints In NDSS ’01: Network and Distributed System Security Symposium, 2001 [35] OASIS XACML: http://www.oasis-open.org/committees/tc_home.php? wg_abbrev =xacml #CURRENT, April 27, 2012 [36] HERAS-AF, http://www.herasaf.org/, June 12, 2012 [37] HERAS-AF Developer’s Guide: http://www.herasaf.org/uploads/theses/2007/2007_fall_DiplomaThesis_XacmlI mpl_DevelopersGuide.pdf, June 12, 2012 [38] OASIS, XACML 2.0 Core specification: http://docs.oasis-open.org/xacml/2.0/ access_control-xacml-2.0-core-spec-os.pdf, April 02, 2012 [39] OGC GeoXACML1.0.1: http://portal.opengeospatial.org/files/?artifact_id=42734, June 26, 2012 [40] Trong Nhan Phan, Tran Khanh Dang: A Novel Trajectory Privacy-Preserving Future Time Index Structure in Moving Object Databases In Proceedings of the 4th InternationalConference on Computational Collective Intelligence Technologies and Applications, LNAI, Springer-Verlag, 28-30 November 2012, Vietnam, pp 124-134 [41] Que Nguyet Tran Thi, Tran Khanh Dang: X-STROWL: A Generalized Extension of XACML for Context-aware Spatio-Temporal RBAC Model with OWL.In Proceedings of the 7th International Conference on Digital Information Management (ICDIM), IEEE Computer Society, 22-24 August 2012, Macau, pp 253-258 [42] Kim Tuyen Le Thi, Tran Khanh Dang, Kounen Pierre, HOUDA Chabbi Drissi: STRoBAC–Spatial Temporal Role Based Access Control In Proceedings of the 4th International Conference on Computational Collective Intelligence Technologies and Applications (ICCCI), LNAI, Springer-Verlag, 28-30 November 2012, Vietnam, pp 201-211 178 [43] Kim Tuyen Le Thi, Que Nguyet Tran Thi, Tran Khanh Dang: An Enhanced Access Control Model for GIS Database In Proceedings of the 4th Regional Conference on ICT Applications for Industries and Small Companies in ASEAN countries (RCICT2011), Vietnam, October 18-19, 2011, pp 129-136 [44] UMU-XACML-Editor: http://umu-xacmleditor.sourceforge.net/, August 22, 2013 [45] Nam Phuong Le, Tri Quoc Dang: Develop tool to specify access control policies of Geo-RBAC model with Geo-XACML Bachelor Thesis, HCMC University of Techonology, Vietnam, 2011 [46] Java Topology Suite: http://www.vividsolutions.com/jts/jtshome.htm, August 24, 2013 [47] T G Tran., M G Tran., M T Huynh., GeoPDP version 1, Thesis project Internet: http://code.google.com/p/geopdp-v1/, August 24, 2013 [48] Tuan Ngoc Nguyen, Kim Tuyen Le Thi, Anh Tuan Dang, Ha Duc Son Van, Tran Khanh Dang: Towards a Flexible Framework to Support a Generalized Extension of XACML for Spatio-Temporal RBAC Model with Reasoning Ability In Proceedings of the International Conference on Computational Science and Its Applications (ICCSA2013), Part V, LNCS 7975, Springer Verlag, 24-27 June, 2013, Ho Chi Minh City, Vietnam, pp 437-451 [49] Govorov, M., Khmelevsky, Y., Ustimenko, V., Khorev, A.: Security for GIS Ntier Architecture In: Developments in Spatial Data Handling, 2005, pp 71–83 [50] Florian Hounder: Conflict detection and resolution of XACML policies Master’s thesis, University of Applied Sciences Rapperswil, July 2010 [51] Le Thi Bao Thu, Dang Tran Khanh: Semantic-aware Obfuscation for Location Privacy at Database Level In Proceedings of Information & Communication Technology-EurAsia Conference 2013, LNCS, Springer-Verlag, 25-29 March, 2013, Yogyakarta, Indonesia, pp 111-120 [52] Ngo Chan Nam, Dang Tran Khanh: On Efficient Processing of Complicated Cloaked Regions for Location Privacy Aware Nearest-Neighbor Queries In Proceedings of Information & Communication Technology-EurAsia Conference 2013, LNCS, Springer-Verlag, 25-29 March, 2013, Yogyakarta, Indonesia, pp 101-110 [53] Wu, M., Ke, C., & Liu, J.: Active Role-based Access Control Model with EventCondition-Action Rule and Case-Based Reasoning Journal of Convergence Information Technology, 6(4), 2011, pp 328-339 179 [54] GeoServer: http://geoserver.org/, August 25, 2013 [55] PostgreSQL: http://www.postgresql.org/, August 25, 2013 [56] PostGIS: http://postgis.net/, August 25, 2013 [57] Dang Tuan Anh, Dang Tran Khanh: A Path-Consistency Based Algorithm For Anomaly Detection Of Spatial Constraints in GeoXACML Policies In Journal of Science and Technology, Vietnamese Academy of Science and Technology, ISSN 0866-708X, Vol 51, No 4B, 2013, pp 143-152 180 PHỤ LỤC Các báo đƣợc đăng/đƣợc chấp nhận đăng (Xem phụ lục đính kèm) Hƣớng dẫn sử dụng ứng dụng thử nghiệm 2.1 Cách cài đặt website Chuẩn bị file cần thiết - Sửa cấu hình webservice: Project Dstar.ServiceAgents project chuyên để gọi web service Sau deploy service server, có thơng tin cụ thể địa IP URL, điều chỉnh lại cấu hình website cho phù hợp Để đơn giản, cần chỉnh thuộc tính Web Reference URL HospitalServiceReference đến địa mô tả web service service server hình 91 H nh 91: Thiết lập thuộc tính Web Reference URL i - Dùng tiện ích publish web Visual Studio để pulish website (GISSec) hình bên H nh 92: Publish website Visual Studio - Khi publish chọn chế độ File System chọn đường dẫn đến thư mục máy tính (hình 93) Tất file, folder thư mục dùng để deploy lên IIS bước H nh 93: Thiết lập publish website Sau đó, ta tiến hành deploy trang web lên IIS ii - Khởi động IIS Run>>inetmgr vào giao diện IIS, hình 94 H nh 94: Giao diện IIS - Bên phân cấp bên trái cửa sổ IIS, chọn Sites, click chuột phải chọn Add a website, hình 95 H nh 95: Add website IIS - Trong hộp thoại xuất hiện, điền thông tin cho website này, hình 96 • Site Name: Tên gợi nhớ website Tên thường có nghĩa nội máy chủ, giúp dễ quản lý có nhiều website máy chủ • Application Pool: Chọn application Pool phù hợp Trong trường hợp chọn ASP.NET v4.0 iii • Physical Path: Chọn đường dẫn đến thư mục mà web publish bước • IP Address: IP Address máy chủ • Port: port dùng để kết nối web với máy chủ, mặc định 80 • Host name: Trong trường hợp muốn website truy cập từ bên ngồi thơng qua domain điền tên domain vào H nh 96: Cấu hình add website IIS • Sau điền hồn tất nhấn OK hồn tất cơng việc cài đặt website Để kiểm tra việc cài đặt chưa duyệt web thơng qua URL sau (cụ thể với cấu trên): o Nếu local: http://localhost:80 (Sitename:port) o Nếu mơi trường internet dùng domain name định phần host name, http://IP-Address:port iv 2.2 Cách cài dặt server Cài đặt sở liệu Cơ sở liệu không gian Chúng sử dụng sở liệu PostGIS Việc cài đặt gồm bước sau: Cài đặt sở liệu PostgresSQL http://www.postgresql.org/ Cài đặt plugin PostGIS http://postgis.net/install Download liệu đồ Việt Nam (file vietnam-latest.osm.bz2) http://download.geofabrik.de/asia/vietnam.html - Sử dụng công cụ import liệu osm2pgsql Tạo sở liệu CREATE DATABASE hospitalsystem WITH OWNER = postgres ENCODING = 'UTF8' TABLESPACE = pg_default LC_COLLATE = 'English_United States.1252' LC_CTYPE = 'English_United States.1252' CONNECTION LIMIT = -1; Mở command line, chuyển đến thư mục osm2pgsql/x64 (cho môi trường 64 bit) osm2pgsql/Win32 (cho môi trường 32 bit), sử dụng lệnh command sau để import liệu: - - Set password user vào biến môi trường: set pgpassword=xxx (xxx password) osm2pgsql -d -U -P 5432 –S default.style /vietnam-lastest.osm Cơ sở liệu bệnh viện - Trong thư mục HospitalServices/Database có chứa file backup database có tên hospital_service.backup - Sau cài đặt PostgreSQL plugin PostGIS, tạo database có tên hospitalsystem sau sử dụng cơng cụ pgAdmin PostgreSQL để phục hồi databaser từ file hospital_service.backup GeoServer Phiên GeoServer mà nhóm sử dụng để mở rộng phiên 2.2.2 Trong folder geoserver-2.2.2/web/app/target có deploy geoServer (đã tích hợp GeoXACML) Có thể deploy lên web server hỗ trợ Servlet (ví dụ Apache Tomcat) v Cách cài đặt Server cho dịch vụ khác Trong thư mục HospitalServices/build có gói war HospitalService có tích hợp sẵn GeoXACML Có thể dùng gói để triển khai lên web server có hỗ trợ Servlet (Tomcat, J OSS…) 2.3 Access Control Cơ chế access control tích hợp sẵn vào server Do đó, khơng cần thêm thiết lập 2.4 Cách tạo sách bảo mật Để tạo sách bảo mật, ta dùng phần mềm mở rộng từ UMU-XACMLEditor Để tạo sách mới, ta chọn File New hình 97 H nh 97: Tạo sách Tiếp theo, click phải vào “Policy Document”, chọn add PolicySet để bắt đầu sách PolicySet add Policy để bắt đầu Policy, hình 98 H nh 98: Thêm Policy vào file sách Điền thông tin cần thiết Policy hình 99 vi H nh 99: Điền thơng tin Policy Thành phần không bắt buộc nên ta bỏ qua thành phần Tương tự, ta thêm Rule vào Policy hình 100 H nh 100: Thêm Rule vào Policy Hoàn toàn tương tự, ta thêm vào tag Rule hình 101 vii H nh 101: Thêm tag vào Rule Ngồi ra, ta thêm vào thuộc tính khơng gian hình 102 H nh 102: Thêm thuộc tính khơng gian vào sách Việc cịn lại xác định kiểu khơng gian mà sách cần quy định (hình 103) hồn thành phần khác sách theo cách tương tự viii H nh 103: Lựa chọn kiểu liệu không gian ix