Luận văn thạc sĩ Khoa học máy tính: Hỗ trợ suy luận trong điều khiển truy xuất dữ liệu GIS

Van dé điều khiến truy xuất đối với dữ liệu GIS rấtphức tạp vì cần phải xem xét tới thuộc tính hình học của dữ liệu GIS, nên cầncó giải pháp phù hop đáp ứng các yêu cầu truy xuất vao dữ

VĂN ĐỨC SƠN HÀ

HỖ TRỢ SUY LUẬNTRONG DIEU KHIEN TRUY XUẤT DU LIEU GIS

Chuyên ngành: Khoa học May tínhMã số: 604801

LUẬN VÁN THẠC SĨ

TP HO CHÍ MINH, tháng 11 năm 2013

TRUONG ĐẠI HOC BACH KHOA —DHQG -HCMCán bộ hướng dẫn khoa hoc: PGS TS BANG TRAN KHANH

CHỦ TỊCH HỘI ĐÔNG TRƯỞNG KHOA KH&KTMT

NHIỆM VỤ LUẬN VĂN THẠC SĨHọ tên học viên: VĂN ĐỨC SƠN HA - - 5-5 MSHV: 11070447 Ngày, tháng, nam sinh: 06/09/1986 cu con keo cnse Nơi sinh: Đắc Lắc Chuyên ngành: Khoa học Máy tính - << 5S sex Mã số : 604801 I TÊN DE TÀI: HỖ TRỢ SUY LUẬN TRONG DIEU KHIEN TRUY XUẤT DU LIEU

Tp HCM, ngay tháng nam 2013

CAN BO HUONG DAN CHU NHIEM BO MON DAO TAO(Họ tên và chữ ky) (Họ tên và chữ ký)

PGS TS BANG TRAN KHANH PGS.TS DANG TRAN KHANH

TRUONG KHOA KHOA HOC VA KY THUAT MAY TINH

(Họ tên và chữ ky)

PGS.TS THOẠI NAM

Lời cam ơn

Luận văn là kết quả nghiên cứu trong suốt quá trình làm việc của tôi tạikhoa Khoa học và Kỹ thuật Máy tính, trường Đại học Bách Khoa Tp Hồ ChíMinh.

Tôi xin gửi lời cảm ơn sâu sắc đến PGS.TS Đặng Trần Khánh đã nhiệttình quan tâm, giúp đỡ và hướng dẫn tôi trong suốt thời gian tôi thực hiện dé taicũng như tạo điều kiện cho tôi được làm việc và học hỏi kinh nghiệm của cácthành viên D-STAR Lab.

Tôi xin cảm ơn các thành viên của D-STAR Lab đã tận tình giúp đỡ và hỗ

trợ trong quá trình làm luận văn cũng như nghiên cứu tại phòng thí nghiệm.

Cuối cùng, tôi xin chân thành cảm ơn đến gia đình, ban bè vi sự giúp đỡ,

ủng hộ và khuyến khích tôi hoàn thành dé tài luận văn

Tom tat luan van

Trong điều khiến truy xuất, định nghĩa cũng như duy tri các chính sáchbảo mật một cách day đủ là một công việc phức tap, mất nhiều thời gian vacông sức Vi vậy xây dựng một mô hình điều khiến truy xuất có thé suy luậnđược là rất cần thiết Trong luận văn này, tôi sẽ giới thiệu một mô hình mởrộng kết hợp các chính sách XACML và OWL ontology để hỗ trợ suy luậnquyền dựa trên cây phân cấp role và cây phân cap resource Ý tưởng cơ bản làtr dung OWL để định nghĩa các cây phân cấp role và resource, va sử dungXACML dé định nghĩa các chính sách phân quyên Các hàm XACML mở rộngsẽ được định nghĩa để hỗ trợ việc suy luận Bên cạnh đó kiến trúc của XACMLcũng như dataflow cũng có phan thay đổi dé hỗ trợ những chức năng mở rộngcân thiết.

In access control, defining and maintaining security policies correctly andcompletely are complicated tasks which might cost much time and effort.Therefore, it is necessary and useful to build an access control model withreasoning ability In this thesis, I introduce an extended model that integratesXACML policies and OWL ontologies to support authorization reasoningbased on role and permission hierarchies The basic idea is to use OWL todefine role and permission hierarchies, and use XACML to define authorizationpolicies I also define new functions that extend policies with reasoningservices based on the OWL ontology In addition I will extend the referencearchitecture of XACML and the XACML data flow to support new features.

Lời cam đoanTôi xin cam đoan đây là công trình nghiên cứu của bản thân Các kết quảtrình bày trong luận van là trung thực và chưa từng được ai công bố trong batkỳ công trình nào trước đây.

Mục Lục

Tóm tắt luận văn - G5 12010 21181511151 1511111111 15111111 1111111111 1111111 1111115110111 E11 1111 1e il

Mục LUC 0 eee eecc ccc esscccceeeeeccecnseeeceueeeceesseeeeeeenseeeeeeseeeeeesseeeesesuaeeeseeuensceeauaecseeuaeeeeeeaes VMục lục hình - - - 2222222202121 1111111111111 k vn ng ng nu VilMục lục bảng —ÔÔÔÔỒ Vill

00019)I900 i059 10005 A ÔỎ |1.1 Giới thiệu để tài tt tt 22 H2 HH2 reo |

1.2 Mute dich nghién Cu cece 2

1.3 Y nghĩa khoa hoc và thực tiễn ¿5-52 E+EE x2 9E 2121511112111 11111 e6 31.3.1 Ý nghĩa khoa học - 5222 2 E9 1215121211121 1121271 0121101111111 re 31.3.2 Ý nghĩa thực tiỄn 5-6 22112 E911 15112121111215 112127101211 11 1111k 3CHƯƠNG 2 CƠ SỞ LÝ THUYT 55:22 2E 4

"P0 ¡i06 5 42.2 Bao mat dit LGU 86051 <5 6

CHƯƠNG 3 CÁC CONG TRINH NGHIÊN CỨU LIEN QUAN - 83.1 Các mô hình điều khiển truy xuất cơ bản - - ¿52522 +E+E+zcczzxzree 83.1.1 Mô hình điều khiển truy xuất kinh điển - - 22s 22s+E+£c£czxzze 83.1.2 Khung điều khiển truy xuất tong quát ¿5 es cseseseeesseseeeeeees 103.1.3 Điều khiến truy xuất dựa trên SDE (Spatial Data Engine) 123.1.4 Cơ chế điều khiển truy xuất dựa trên View - -c-ccccccccccssecsree 143.1.5 Điều khiến truy xuất dựa trên vai trò (RBAC) -c25ccccccsccee l6

3.1.6 XACMML, SG n1 1S 1119119 1111111111111 TH HH HE kg v TH 18

3.2 Các mô hình điều khiển truy xuất nâng cao - ¿5 + z+s+x+zzzzzxcce 19

3.2.1 Geospatial Role Based Access Control — GŒeoRBAC - 203.2.2 Spatial — Temporal — RBAC (STRBAC) HS 233.2.3 Geospatial eXtensible Access Control Markup Language - GeoXACML273.3 Các mô hình điều khiển truy xuất hỗ trợ cây phan Cap cece cece 313.3.1 ,00iii0469À.0.7 1007 31

3.3.2 Hỗ trợ RBAC với XACML+OWLL 5c nththhhreHeeeg 34

CHƯƠNG 4 MÔ HINH DIEU KHIEN TRUY XUẤT HO TRỢ SUY LUẬNQUYEN _— — 37

4.1 CÁCH BIEU DIÊN CAY PHAN CAP QUYEN VÀ CAY PHAN CAP TAI)'690245ã0 o ,Ô 37

4.1.1 Cây phân cấp quyn - ¿+ 52222129 EE2215E5E1 21211211 21112121 21121 Xe 37

4.1.2 Cây phân cấp resource —ÔÔồ 394.2 MÔ HINH XACM MỞ RỘNG HO TRỢ KHẢ NĂNG SUY LUẬN 4I4.3 HO TRO CHUAN NIST CHO ROLE BASED ACCESS CONTROL 45

A3.1 Core 9790 Ö 454.3.2 Hierarchical RBAÁC - - Q11 1 111112 22 11111 111g 11 ng 1 kh 454.3.3 Static Separation Of [Duy ch HH ng ng 454.3.4 Rang buộc phân biệt nhiệm vụ động (DSOI) ccc cà cSse+ 46

i91 /:160905 46

4.4.1 Kiến trúc ứng dụng - - 2S S21 1 121212111 21215111 01111111111 erre 47

4.4.2 Chương trình thử nghiệm 5c 5c 2S St St sehhreee 48

CHƯƠNG 5 DANH GIÁ VÀ KẾT LUẬN - s55 St ttertiirrirrrirrrirrrree 54

5.2.1 So sánh với mô hình không có hỗ trợ suy luận - 55:5: 56

5.2.2 So sánh với mô hình có hỗ trợ cây phân cấp role - 5-2-5 + 56

5.3 Kết Wan eee cecccccccscscscsssecscscscscsvscsvsssecscscsvscsvsnsesscscavsvevsvsssesscsnscevavsvsssseseesness 57

Tài liệu tham khảo: - - 55c - << 22 22 2222021111111 11 1111115315313 1 1111111 vu 58PHU LUCoicececccccsccscsssssscscsecsesvsscucsvsvsucsvscsusecsvsvsucevavsvsssevavsusacevasesacsvsusavavevsusavevsvsasavevenees i

CONG TRINH KHOA HOC 0 sssessesssseessseesseeeesseesseeessecssnecsseessveessneesaeessneessneesenes iPHAN LY LICH TRÍCH NGANGw.w.o.cccccccscscscsesssssesescssseeeesvsssesesssssestsvsseaeeeaees xlvQUA TRINH DAO TAO uuu occeeccccssseesescssecstscsscsvscsusecavsvsssscavsvsssstavsvsasevsvsesasevaneeeees xlvQUA TRINH CONG TÁCC 5+ St 12 1121515111111 1111111111121 1111 1e xlv

Muc luc hinh

Hình 1: Các thành phan hệ thống GIS oo ccecccccscsesesscscsessesescssssesescsseessseseeseseaees 4Hình 2: Phân tích dữ liệu trong hệ thống GIS 2-5-5 25+ £+£E£E+E£EczEzErrrsrxee 5

Hình 3: Hệ thong điều khiển truy xuất đóng 2 2 2S 2 SE2E£ESEE 2xx Ekrxerrrec, 9

Hình 4: Mô hình điều khién truy xuất dOng oi ccc ccc ceseescscseeesescsteseseeeseseseees 9

Hình 5: Kiến trúc co bản của điều khiển truy xuất 00.0 ccc cece cseeseeeeseseeen 10Hình 6: Khung điều khiển truy xuất tổng quát 5-5255 +22 2+*+E+£c£xzxcce I1Hình 7: Cơ chế điều khiến dựa trên SIDE -5: 5: ct2Ettvrerrsrrrrrrrrrrsrrrrree 13Hình 8: Cơ chế điều khiến dựa trên View ccccctithrrerrirrrrrrrrrrree 15

Hình 9: Mô hình RBAC cơ bản - G1111 HS TH HH KH khu 17

Hình 10: Câu trúc thành phan chính sách XACMIL 25 +52 222£+£££zscz 19Hình 11: Phân cấp vai trò (a) và vai trò mở rộng oe eeeeees ee cseeseseeesseseseeeeseseeee 21Hình 12: Các cấp độ ràng buộc xung đột vai trò 5-5255 +2 2xx 23

Hình 13: VỊ trí luận lý trong mô hình STRBAC - S112 sgk 24Hình 14: Thời gian trong mô hình STRBACC - c1 11322 11333 1x ra 26Hình 15: Ví dụ GEOXACML CĐ 1111 E111111111113353 51111111 Hn ng vớ 27

Hình 17: XACML+OWL frameWOrĂK - c1 11313111111 11119 5111111151111 1E 811 xe 35Hình 18: Mô hình XACML mở rộng với OWL, .- ST gu 36

Hình 19: Cây phân cấp vai trÒ 5c S213 2121513 21215111 2111111101111 0111 e6 38Hình 20: Cây phân cấp tài nguyên - 5c 1S S21 1 1212111211 211111 1101011111 e6 40Hình 21: Kién trúc ứng dung +: ¿5222 EE2E2E#EEEE2EEEEE5 1215211121121 21 xe 47

Hình 22: Trang chủ ứng dụng - - - c1 111111 vn ng ng KH khu 48Hình 23: Trang đăng nhập ứng dụng - - - - + - 113211 9 1v 9 gu 49

Hình 24: Ban đồ bệnh viện khi được xem bởi một bệnh nhân 5252 50

Hình 25: Y tá được phép xem thêm thông tin vi trí của các bệnh nhân 51

Hình 26: Bac sĩ được phép xem thông tin bản đồ bệnh viện và vị trí của các bệnh nhân

¬ 51

Hình 27: Admin được phép xem tat cả các thông tin trên bản đồ - 52

Hinh 28: Danh sach nhain Vién 77 52Hình 29: Danh sách bệnh nhân SE 2E 2122222222123 EEEEEEesessxs 53

Hình 30: Bác sĩ truy xuất Private Note của một bác sĩ khác - 2 5-2555 53Hình 31: Trường hợp chỉ sử dụng một cây phân cấp - - + 2+sc+ccxzxce 54

Hình 32: Có hỗ trợ suy luận và không hỗ trợ suy luận - - - 55555 cc2£ec+ezs2 56

Hình 33: Thời gian đánh giá yêu câu truy Xuất ¿2 5c Sz 2c E22 ren 57

Muc luc bang

Bang 1: Các kiểu dữ liệu khơng gian trong GEOXACML - 55-55 c+sccce 28

Bảng 2: Các ham khơng gian trong GeoXACML, c S52 s+ssssssks 28Bang 3: Dinh nghĩa các thuộc tính của rỌ€ - - - c2 11192 11333 11111 re 38

Bang 4: Định nghĩa role băng 'WLL, ¿2E 2 2212393 1215115 212152111 2111.121 e6 39

Bảng 5: Dinh nghĩa các thuộc tính của tài nguyên 55552252 40Bang 6: Dinh nghĩa các lớp tài ngUyÊn - - c1 11123111 9 1v 9v ng ngu 40

CHUONG 1 MO DAU1.1 Giới thiệu dé tài

Hiện nay, các hệ thống GIS đang phát triển không ngừng về cả số lượngva chất lượng khi xuất hiện ngày càng nhiều ứng dụng trong các lĩnh vực như:nghiên cứu quản lý tài nguyên thiên nhiên và môi trường (quản lý rừng, phântích các tác động môi trường, quản lý chất lượng nước, đánh giá hiện trạng sửdụng đất dai, ), nghiên cứu điều kiện kinh tế - xã hội (quản lý dân số, quản lýmạng lưới giao thông, quản lý mạng lưới y tế giáo dục, điều tra và quản lý hệthống cơ sở hạ tang ), nghiên cứu hỗ trợ các chương trình qui hoạch phattriển, Một trong những yếu tố quan trọng nhất quyết định đến kết quả củacác ứng dụng này là dữ liệu GIS, mà cụ thể là các bản đồ số Thông thường, chiphí xây dựng dữ liệu GIS chiếm khoảng 80% chi phí của một dự án GIS [1].Do đó van dé bảo mật cơ sở dữ liệu GIS là một van dé vô cùng cấp thiết

Hơn nữa, sự phát triển ngày cảng mạnh mẽ của công nghệ GIS dẫn đếntình trạng:

> Dữ liệu không gian địa lý có chứa các thông tin nhạy cảm (chính

tri, quan sự ) nên các dữ liệu này cần được bảo mật tuyệt đối.> Các đối tượng khách hàng của các hệ thống thông tin địa lý rất là đa

dạng, từ chính phủ, các nhà quy hoạch đô thị, các điều tra vién,tiéuthương Do khác nhau vẻ vai trò và chuyên môn của họ nên cânphải có sự cấp phát quyền khác nhau trên các hệ thống thông tin địalý.

> Cân kiểm soát các truy cập vào dữ liệu của các công ty tập doan vàchính phủ, đồng thời phải kiểm soát sự phát triển của các SDI.> Các nhà cung cấp các dữ liệu thông tin địa lý cần có giẫy phép va

được bảo vệ tài nguyên mà họ công bô trên Web.Bảo mật cơ sở dữ liệu GIS bao gồm 3 vẫn đề chính: tính bí mật(confidentiality), tính toàn ven (integrity) và điều khiến truy xuất (accesscontrol) [2] Tính bí mật đảm bảo rang chỉ những người dùng hợp lệ mới có thétruy xuất và hiểu được dữ liệu GIS Tính toàn vẹn đảm bảo dữ liệu không bịsửa đối bởi những người dùng bat hợp pháp Cơ chế điều khiến truy xuất bao

gồm hai phan chính là xác thực (authentication) và kiểm tra quyển truy cập(authorization) Khi người dùng truy xuất vào cơ sở dữ liệu GIS cần phải đảmbảo rằng người dùng đăng nhập thành công và chỉ hiện những thao tác đượcphép trên những đối tượng dữ liệu nhất định Tính bi mật và tính toan vẹn đốivới dữ liệu GIS đã được giải quyết thỏa đáng bằng các giải pháp trong lĩnh vựccông nghệ thông tin như [3]: mã hóa (cryptography), chữ ký số (digitalsignature), digital digest Van dé điều khiến truy xuất đối với dữ liệu GIS rấtphức tạp vì cần phải xem xét tới thuộc tính hình học của dữ liệu GIS, nên cầncó giải pháp phù hop đáp ứng các yêu cầu truy xuất vao dữ liệu GIS.

Trong điều khiến truy xuất, định nghĩa cũng như duy trì các chính sáchbảo mật một cách day đủ là một công việc phức tap, mất nhiều thời gian vacông sức Vi vậy xây dựng một mô hình điều khiến truy xuất có thé suy luậnđược là rất cần thiết Đề tài này sẽ nghiên cứu và đề xuất một mô hình điềukhiến truy xuất có thé hỗ trợ các suy luận chính sách, các ràng buộc SoD Điềunày sẽ làm cho mô hình của chúng ta sẽ thông minh hơn trong quá trình raquyết định cho phép hoặc từ chối truy xuất Một lợi ích khác là làm giảm khảnăng xung đột quyền khi giảm số lượng các chính sách xuống mức ít nhất cóthể

1.2 Mục đích nghiên cứuGIS là lĩnh vực thu hút nhiều nhà nghiên cứu bởi khả năng ứng dụng rộngrãi của nó.

Tại Việt Nam, GIS phát triển mạnh mẽ va được sử dụng trong nhiều lĩnhvực như: môi trường, quản lý đất đai, quy hoạch tổng thể [2]; nhưng các hệthống GIS hiện có hầu hết dừng lại ở mức xây dựng dữ liệu GIS, lựa chọn côngnghệ và phát triển ứng dụng dựa trên công nghệ đã lựa chọn, việc nghiên cứucó chiều sâu về van dé điều khiến truy xuất dữ liệu GIS vẫn chưa được chútrọng và đầu tư đúng mức Các mô hình điều khiên truy xuất áp dụng cho dữliệu GIS (nếu có) thường chỉ dừng lại ở mức RBAC cơ bản Mục đích của đềtài này sẽ nghiên cứu một mô hình điều khiến truy xuất thông minh, có khảnăng suy luận quyên Một số van đề có thé kế đến như sau:

> Để xuất mô hình điều khiển truy xuất dữ liệu GIS hỗ trợ khả năngsuy luận.

> Mo rộng khả năng đặc tả chính sách bao mật hiện tại để hỗ trợ môhình vừa đề xuất.

> Dé xuất cách đặc tả các cây phân cấp một cách hiệu quả dành choviệc suy luận quyên

1.3 Y nghĩa khoa học và thực tiễn1.3.1 Y nghĩa khoa học

Trong lĩnh vực bảo mật dữ liệu GIS, đề tài này có các ý nghĩa khoa học

1.3.2 Ý nghĩa thực tiễn

Như đã dé cập các ứng dụng dữ liệu GIS ngày cảng phát triển cả về sốlượng lẫn chất lượng, nhu cầu về bảo mật dữ liệu GIS do đó cũng tăng lên.Đề tài này có những ý nghĩa thực tiễn sau:

> Công việc của người tạo và sửa chữa chính sách bảo mật nhẹnhàng hơn, dễ dàng hơn

> Chính sách bảo mật của các hệ thống thông tin sẽ uyén chuyểnhơn, thông minh hơn.

CHUONG 2 CO SO LY THUYET2.1 Dir ligu GIS

Hệ thống thông tin địa lý GIS là một công cụ tập hợp những quy trình dựatrên máy tính để lập bản đồ, lưu trữ và thao tác dữ liệu địa lý, phân tích các sựvật hiện tượng thực trên trái đất, dự đoán tác động và hoạch định chiến lược [1][3] GIS là một tập hợp có t6 chức gôm phan cứng, phần mềm, dữ liệu, conngười và các kỹ thuật thao tác để thu nhận, lưu trữ, cập nhật, phân tích và hiển

software———.-.Ö = ^

SSS

GIS được ứng dụng rộng rãi trong các lĩnh vực khác nhau của cuộc sống[1] [3] [2] Vi GIS được thiết kế như một hệ thống chung để quản lý dữ liệukhông gian, nó có rất nhiều ứng dụng trong việc phát triển đô thị và môi trườngtự nhiên như là: quy hoạch d6 thị, quan ly nhân lực, nông nghiệp, điều hành hệthống công ich, lộ trình, nhân khẩu, ban đỏ, giám sat vùng biển, cứu hoa, quảnlý và dự báo các vùng thiên tai và bệnh tật Trong phần lớn lĩnh vực này, GIS

đóng vai trò như là một công cụ hỗ trợ quyết định cho việc lập kế hoạch hoạt

động GIS cũng có thể được áp dụng trong các hệ thống tài chính và bán lẻ vớivai trò như quản lý tai sản, tìm vị trí để thiết lập chi nhánh mới, tìm lộ trình tốiưu để phân phối hàng hóa, v.v

GIS sẽ làm thay đôi đáng kể tốc độ thông tin địa lý được sản xuất, cập nhật

và phân phối GIS cũng làm thay đổi phương pháp phân tích dữ liệu dia lý Haiưu điểm quan trọng của GIS so với bản đồ giấy là: dễ dàng cập nhật thông tin

không gian va tong hop hiệu quả nhiều tập hop dữ liệu thành một co sở dữ liệukết hợp.

GIS lưu giữ thông tin về thế giới thực dưới dạng tập hợp các lớp chuyênđề có thể liên kết với nhau nhờ các đặc điểm địa lý Điều này đơn giản nhưngvô cùng quan trọng vả là một công cụ đa năng đã được chứng minh là rất có giátrị trong việc giải quyết nhiều vấn đề thực tế, từ thiết lập tuyến đường, phânphối của các chuyến xe đến lập báo cáo chi tiết cho các ứng dụng quy hoạchhay mô phỏng sự lưu thông khí quyền toàn cầu [Hình 2]

Ci

Dili¢u |

Plotter 4 4

Cơ sử |_ Tri thức J

Các quyết định

H nh 2: Phân tích dit liệu trong hệ thong GISVề việc lưu trữ dữ liệu, GIS có 2 loại đữ liệu là raster và vector [3].Mô hình vector biểu thị dữ liệu không gian bởi 2 thành phan là các thuộctính không gian và các thuộc tính phi không gian Các thuộc tính không gian sẽdiễn tả các hình dạng hình học như các điểm, đường thắng và các đa giác.Điểm (point) bao gồm một cặp tọa độ kinh độ và vĩ độ Đường thăng biểu diễnlà một đường nối 2 điểm tọa độ Các đa giác bao gồm các đường thăng lậpthành những vùng khép kín Các thuộc tính phi không gian thể hiện những

thông tin mô tả cho dữ liệu không gian như loại đất, lượng mưa, tiểu bang,

nhiệt độ trung bình, v.v Các đối tượng đữ liệu có cùng một tập các thuộc tínhsẽ được biểu thị bởi 1 lớp dữ liệu Ví dụ lớp trường học sẽ bao gồm các vùngkhông gian (tập các thuộc tính không gian) thể hiện vị trí và hình học cho cácđối tượng trường và các thông tin về từng đối tượng (trường gi, xây dựng nămnao, v.V)

Trong mô hình raster, dữ liệu không gian bao gồm tập các file ảnh chụp từvệ tinh, các bản đô sô hóa, v.v sẽ được biêu dién trên một lưới gdm các cột va

hàng như một ma trận Trong đó một điểm sẽ được biểu thị bởi một pIxel haymột ô lưới, một đường thang được biểu diễn bởi một chuỗi các pixel liên tục vàmột vùng được biéu diễn bởi một tập các pixel Mỗi cell sẽ chứa một giá trịđơn Dữ liệu raster có thể là những hình ảnh với mỗi pixel chứa một giá trịmau Các cell có cùng một giá trị sẽ mô tả cùng một đối tượng Ung với giá trịnay sẽ có 1 bảng thuộc tinh chứa các dữ liệu phi không gian cung cấp thông tinthêm cho đối tượng đó như nhiệt độ, lượng mưa, v.v

Tương ứng với từng loại dữ liệu mà có những phương pháp điều khiếntruy xuất khác nhau Tuy nhiên, do tính biểu thị chỉ tiết, đặc điểm hướng đốitượng và chi phí của việc xây dựng dữ liệu GIS vector, mà dữ liệu dạng vectorđược sử dụng phố biến hơn Do đó, dé tài nghiên cứu này cũng tập trung xâydựng một mô hình điều khiến truy xuất cho dữ liệu vector

2.2 Bảo mật dữ liệu GISBảo mật dữ liệu không gian thường bao gồm ba khía cạnh chính:tính bí mật (confidentiality), tính toàn ven (integrity) và điều khiến truy xuất(access control) [6].

Tính bi mật: khi di liệu được truyền tải trên mạng, chi những người dùnghợp pháp mới có thể hiểu được nội dung truyền tải, với người dùng bất hợppháp sẽ không hiểu được nội dung này ngay cả khi họ bắt được các gói tintrên mạng Thông thường, để đảm bảo tính bí mật, các gói tin sẽ được mã hóatrước khi đưa lên đường truyền

Tính toàn vẹn: dữ liệu không gian không được phép bị giả mạo (thêm, xóahay thay đổi) bởi người dùng bat hợp pháp Dé dam bảo tính toàn ven, ta có thédùng kỹ thuật chữ ký số hoặc chữ ký điện tử

Điều khiến truy xuất: bao gồm hai ý chính (1) xác thực (authentication) và(2) ủy quyền (authorization) Xác thực là việc đảm bảo người dùng đăng nhậplà người dùng hợp pháp của hệ thống Có nhiều cách để xác thực người dùngcủa hệ thống chăng hạn như: dựa trên những gì họ biết (tên, mật khẩutruy cập), dựa trên những gì họ có (thẻ xác nhận) hoặc dựa trên bản thânngười dùng (dau vân tay) Sau khi người dùng đăng nhập thành công vàohệ thống, họ sẽ được phân các quyền tương ứng với các đối tượng không

gian mà ho cần truy cap, đây được gọi là giai đoạn ủy quyền Xác thực là điềukiện tiên quyết của ủy quyên.

Tính bí mật và tính toàn vẹn cho dữ liệu không gian đã được đảm bảobăng các giải pháp hiện có trong lĩnh vực công nghệ thông tin Tuy nhiên, điềukhiển truy xuất cho dữ liệu không gian vẫn chưa có những giải pháp thực sựthỏa đáng Do đó, dé tài này sẽ tập trung vào nghiên cứu van đề điều khiến truyxuất cho dữ liệu không gian

CHUONG 3 CAC CONG TRINH NGHIEN CUU LIEN QUANTrước khi đưa ra một mô hình điêu khiên truy xuât cho dữ liệu GIS có hotrợ khả năng suy luận, các cách tiêp cận của các công trình nghiên cứu thê giớicũng đã được khảo sát và đánh giá.

3.1 Các mô hình điều khiến truy xuất co bản3.1.1 Mô hình điều khiến truy xuất kinh điển

Trong các hệ thông máy tính, người dùng có nhu cầu đọc hoặc ghi các đốitượng dữ liệu như file, hay các bảng dữ liệu, các thư mục, các kho dữ liệu haycác chương trình thực thi Trong một hệ thống đa người dùng, những ngườidùng khác nhau sẽ được phép phân quyển truy xuất đến các tài nguyên khácnhau Một cách khác, chúng ta phải có những chính sách bảo mật quy địnhnhững tài nguyên nào sẽ được phép hoặc không được phép cho mỗi người dùngtruy xuất Một cơ chế điều khiến truy xuất (hay còn gọi là dịch vụ cấp phépquyền hoặc tổ chức thâm quyên) là một hệ thong dé thực thi các chính sáchđiều khiến truy xuất

Một cách tiếp cận phố thông [4] được hiện thực trong hầu hết các chínhsách điều khiến truy xuất là bat cứ yêu cầu truy xuất (request) nào không đượccấp quyền bởi chính sách điều khiến truy xuất sẽ bị từ chối Cách tiếp cận nàyngười ta gọi là chính sách đóng và hệ thống hiện thực cơ chế điều khiến truyxuất theo cách này gọi là hệ thống đóng (closed sytems) [Hình 3] Ngược lạitrong các hệ thống mở (open systems) [Hình 4], chính sách điều khiển truy xuấtsẽ quy định những truy xuất nào bị từ chối Vì vậy, những yêu câu truy xuất màkhông được quy định trong chính sách điều khiến truy xuất sẽ được phép truyxuât.

Access requestJWw

Does there exist a ruleauthorizing the access?

IN Jn.

Access permitted Access denied

H nh 3: Hệ thong diéu khiển truy xuất đóng

Access requestJIDoes there exist a rule: Rules:

denying the access? denied accaeese

^^ A>\

ay

-—Access permitted Access denied

H nh 4: Mô h nh điều khiển truy xuất đóngHình 5 minh họa một kiến trúc luận lý cơ bản [4| cho cơ chế điều khiếntruy xuất Một tô chức thâm quyên có nhiệm vu cho phép hoặc từ chối truyxuất từ yêu câu của chủ thé Bộ phận này tham khảo các chính sách điều khiếntruy xuất đã được đặc tả và các thông tin về chủ thể cũng như các đối tượng đểthực hiện một quyết định Các chủ thể bao gồm không những người dùng màcòn các chương trình ứng dụng, các tiến trình đang chạy, v.v Các thông tinđiển hình được sử dụng của chủ thé và đối tượng như thông tin về định danh vàđối tượng dữ liệu cụ thể (như thuộc bảng dữ liệu nào, giá trị dữ liệu, v.v) Mộtmô hình điều khiến truy xuất tiên tiễn sẽ mở rộng những thông tin cơ bản nàyvới da dạng các loại thông tin khác nhau vé chủ thé va đặc điểm dữ liệu cùngvới những thông tin về ngữ cảnh như đặc điểm không gian và thời gian của dữliệu, vi trí và thời gian truy xuât của người dùng Tóm lại, một hệ thông điều

khién truy xuất kinh điển được xem như là một hệ thống bao gom bộ phanthâm quyên và tat cả thông tin được yêu cau dé ra quyết định được phép hay từchoi truy xuat.

—— <a_= =

© Object

| Object Information

a — Access R⁄ : ` eferenceSubject > ; :

~~ 7 request monitor

Subject Information

Hhnh 5: Kiên trúc cơ ban của điêu khiên truy xuất

Access Control DecisiorPermit/Deny

Một hệ thống truy xuất có thé là một phan của những hệ thống khác như

DBMS hoặc hệ điều hành Quyết định điều khiến truy xuất sẽ được trả về cho

hệ thống chứa nó và hệ thống này sẽ trả về cho người dùng hoặc ứng dụng.Một hệ thống điều khiến truy xuất phải cung cấp phương thức cho việc mã hóacác chính sách điều khiến truy xuất và xác định những điều kiện đi kèm để yêucầu truy xuất được cấp phép hoặc bị từ chối Các chính sách này sẽ được biểudiễn hay đặc tả bởi nhiều cách khác nhau Một cách tiếp cận kinh điển là dựatrên bộ 3 <S,O,A> quy định một trạng thái cho phép như trong mô hình DAC

[5] hoặc cho phép tạo mối quan hệ giữa chủ thể và đối tượng cụ thé dựa trên

mức độ nhạy cảm của dữ liệu và tin cậy của chủ thé như các chính sách trong

mô hình MAC [5] Tuy nhiên, mô hình DAC và MAC không hỗ trợ linh động

các chính sách bảo mật có chứa thông tin liên quan đến ngữ cảnh, cũng nhưviệc đặc tả các chính sách cho các dữ liệu không và thời gian phải phụ thuộckhá nhiều vào sự hỗ trợ của hệ quản trị CSDL lưu trữ chúng cùng với nhiều chỉphí khác Các mô hình giới thiệu trong phan sau là những mô hình được déxuất liên quan mật thiết tới sự phát triển một mô hình truy xuất tổng quát vàkhả mở cho hệ thông dữ liệu GIS gan đây

3.1.2 Khung điều khiến truy xuất tổng quátTheo Sandhu R.S [6], một khung điều khiến truy xuất tông quát bao gồmcác thành phần như hình vẽ bên dưới:

:

vt

Á«|ÿ

a) m v

| ——>| Authentication Reources

See eee eee ee eee eee ee eee ee eee eee eee ee eee eee ee eee eee ee eee ee eee eee eee eee eee eee eee

H nh 6: Khung điều khién truy xuất tong quát

Trong đó:

Authentication: mô hình xác thực người dùng.Authorization rules: tập các luật phân quyên được định nghĩa dựa theomô hình <5, O, P> (hoặc <S, O, P, C>) Với S (Subject) là đại diện chongười dùng hoặc quá trình muốn truy xuất vào dữ liệu, O (Object) là đốitượng dữ liệu mà S muốn truy xuất, P (Privilege hay Permission) daidiện cho các tác vụ xác định mà S có thể thực hiện trên O, và C(Constraint) là những ràng buộc không gian có thé có

Resources: là dữ liệu đích mà người dùng dự định truy xuất vao.PIP: Policy Information Point, có nhiệm vụ tạo mới và chỉnh sửa cácluật phân quyên nam trong Authorization rules dé phù hợp với nhu cầunghiệp vụ.

PEP: Policy Enforcement Point, chuyển đối các yêu cầu nhận được từphía người dùng sang dạng tương thích với các luật phân quyền đượcchứa trong Authorization rules, hoặc chuyển đổi các quyết định từ PDPsang dạng người dùng có thé hiểu được

PDP: Policy Decision Point, tìm các luật phân quyền có liên quan, sosánh với yêu cầu của người dùng (được chuyên từ PEP) va đưa ra quyếtđịnh, chuyển quyết định này cho PEP

Cơ chế hoạt động của khung điều khiến có thể tóm lược như sau: trướchết, người dùng phải là người dùng hợp lệ của hệ thông, PEP nhận yêu cau từphía người dùng và chuyển sang dạng tương thích với các luật phân quyềnđược đã được định nghĩa từ PIP; sau đó, PEP sẽ chuyển các yêu cầu này cho

các yêu cầu của người dùng, từ đó đưa ra quyết định (cho phép hoặc từ chối),đồng thời, PDP cũng chuyển quyết định ngược lại cho PEP Dé kết thúc quátrình, PEP tiếp tục chuyển các quyết định sang định dạng mà người dùng có thểhiệu được và trả két quả vê cho người dùng.

Các cơ chê điêu khiên truy xuât sẽ giới thiệu tiêp theo đêu được mở rộngtừ khung điều khiến này

3.1.3 Điều khiến truy xuất dựa trên SDE (Spatial Data Engine)Tuy dữ liệu không gian trong các hệ thống GIS chủ yếu được lưu trữ vàquản lý bằng cơ sở dữ liệu, nhưng do đặc điểm phức tạp và không có cấu trúccô định nên dữ liệu không gian không thể lưu trữ trực tiếp trong hệ quản trị cosở dữ liệu quan hệ (RDBMS) Do đó, SDE là công nghệ được phát triển déquản lý các đặc tính không gian và phi không gian của dữ liệu không gian trongRDBMS, cũng như điều khiến truy xuất các dữ liệu này [7]

Chức năng chính của SDE là quản lý các dữ liệu không gian phi cấu trúcsang cấu trúc của RDBMS, vì vậy, đây được xem là nơi lý tưởng để đưa raquyết định lưu trữ dữ liệu không gian trong cơ sở dữ liệu khi xét đến khía cạnhngữ nghĩa không gian.

Xét về mặt lưu trữ, hầu hết các đối tượng không gian trong cùng một lớpban đồ sẽ được lưu trong cùng một bang (table), mỗi đối tượng không gianđược đại diện là một dòng (record) của bảng, các thuộc tính không gian của đốitượng được lưu thành từng trường (field) trong dòng và thường được lưu ởdạng BLOB Ta có thể xem SDE như thành phần trung gian có nhiệm vụchuyển đối dữ liệu không gian nhị phân sang ý nghĩa hình học và ngược lại.Bên cạnh đó, SDE còn cung cấp những ham Boolean dé đánh giá mối quan hệkhông gian giữa các đối tượng, chăng hạn như hàm năm trong (within), chứa(contains) và các ham phân tích không gian như bao phủ (overlay), đệm(buffer) dé tạo dữ liệu không gian mới Hình 7 cho thay kiến trúc tong quát củacơ chế điều khiến truy xuất dựa trên SDE

=*ZEZEEZEEEEEEEEEEEEEE:::=:=zZ-H nh7: Cơ chế điều khién dua trên SDE

Cu thé, nguồn tài nguyên được bảo vệ là các bang, trong đó mỗi dòng củabảng sẽ đại diện cho một đối tượng không gian; các chức năng của PEP, PDPvà PIP trong khung điều khiến truy xuất tổng quát sẽ được SDE đảm nhận.Ngoài ra, các thông tin phân quyền cũng được chứa trong cùng co sở dit liệuvới dữ liệu không gian Cấu trúc của SDE có thé được chia làm 3 lớp như trênhình:

> Lớp giao tiếp với ứng dụng: cung cấp các giao tiếp để ứng dụngkhông gian có thể gọi thực thi các chức năng của SDE

> Lớp cốt lõi: là lớp quan trọng của SDE Các kiểu dữ liệu khônggian, tác vụ, hàm, câu truy vấn không gian, Index được lưu tronglớp này để hỗ trợ việc xử lý các truy xuất đến dữ liệu không gian

> Lớp giao tiêp với cơ sở dữ liệu: cung cap giao tiép đê các ham, tác

vụ trong lớp phía trên có thể tương tác với cơ sở dữ liệu.SDE không có chức năng xác thực người dùng riêng mà hoàn toàn dựavào cơ chế do cơ sở dữ liệu cung cấp, nó được ví như thành phần trung gianphía server cung cấp các API tương tác với người dùng và RDBMS Ngườidùng sẽ gửi các yêu cầu truy cập dữ liệu không gian đến SDE (thông qua cácAPI); tùy thuộc vào yêu cầu nhận từ phía người dùng, SDE sẽ dich các yêu cầunày sang chuẩn SQL và truy xuất RDBMS (thông qua API) để lấy dữ liệu

BLOB Cuối cung, SDE lai chuyén các dữ liệu nhị phan BLOB sang dang dữliệu không gian ngữ nghĩa và trả về cho người dùng.

Thêm vào đó, vì SDE không có cơ chế xác thực riêng mà hoàn toàn phụthuộc vào RDBMS nên thông tin xác thực của người dùng sẽ được lưu trực tiếptrong cơ sở dữ liệu Do đó, các lược đồ liên quan đến các bảng chứa thông tinxác thực sẽ được thay đối để chứa các thông tin như người dùng hợp lệ và cácquyền tương ứng Với bản đồ dạng phân lớp (layer), lược đồ của mỗi lớp đượcthêm vao trường người dùng và trường quyên hạn, các trường này sẽ có giá trịkhi lớp được tạo và tương ứng với từng yêu cầu phân quyền cụ thé Với cácthuộc tính, việc thay đôi lược dé cũng được thực hiện tương tự

Với những đặc điểm trên, việc hiện thực theo cơ chế dựa trên SDE đượcđánh giá là khá phức tạp và tốn nhiều chỉ phí [7]:

> Việc duy trì các thông tin phân quyên tốn nhiều chi phí và chínhsách phân quyên được đánh giá là thiếu tính linh hoạt Các lược déphải mở rộng dé lưu thông tin phân quyên, càng nhiều lược dé phảithay đối thi chi phí bỏ ra càng lớn

> Hiện tại, hầu hết các sản phẩm SDE hiện nay không cung cấp cơchế điều khiển không gian Ngoài ra, để thêm chức năng phânquyền thì mã nguồn của SDE phải được thay đổi phù hợp vớiquyết định phân quyên Hon nữa, các sản phẩm SDE đều có banquyên nên không thích hợp cho các công ty vừa và nhỏ

Vì các ly do trên, để giảm chi phí hiện thực, hệ quản trị cơ sở dữ liệu quanhệ đối tượng (ORDBMS) ra đời giúp các đối tượng không gian có thé được lưutrữ và quản lý mà không cần thông qua SDE Cơ chế điều khiến truy xuất dựatrên view cung cấp bởi hệ quản trị ORDBMS dữ liệu không gian sẽ được giớithiệu ở phần tiếp theo

3.1.4 Cơ chế điều khiến truy xuất dựa trên viewCơ chế dựa trên view [7] bao gồm bốn thành phan cơ bản sau: tai khoảncơ sở dữ liệu, đăng nhập cơ sở dữ liệu (xác thực), đặc quyền và views [Hình 8]

lệ của hệ thống Các view này được xem như là một tập con của toàn bộ tập dữ

liệu.Các view có thé được tạo thành từ một hoặc nhiều bảng, hay thậm chí làtừ những view khác, vì vậy, cơ chế điều khiến truy xuất dựa trên view đượcđánh giá khá uyén chuyển và có khả năng mở rộng [7] Hình 8 cho thấy cácthành phần va dòng điều khiến của cơ chế điều khiến truy xuất dựa trên viewđơn giản hơn rất nhiều so với cơ chế điều khiến truy xuất chung đã được giớithiệu ở phần [3.1.1B] Chức năng của PEP trong cơ chế này có chút thay đối,trong khi các thành phần còn lại như xác thực người dùng, PDP, tập các luậtphân quyên và PIP thì được tích hợp sẵn trong cơ sở dữ liệu không gian và cơsở dữ liệu sẽ thực hiện các chức năng này một cách tự động.

Ngoài ra, để hiện thực cơ chế điều khiển truy xuất dự trên view, ta có thểsử dụng các lệnh cơ bản như CREATE VIEW, GRANT, REVOKE Khi sosánh với cơ chế điều khiển truy xuất dựa trên SDE, cơ chế dựa trên view sẽ cónhững ưu điêm sau:

> Việc tao các view sẽ tiết kiệm một lượng lớn không gian lưu trữ,đặc biệt trong trường hợp khối lượng dữ liệu lớn như dữ liệu khônggian.

> Các bảng được tham khảo bởi view có thé năm trong cơ sở dữ liệucục bộ hoặc từ xa.

> Việc giới hạn truy xuất cho dữ liệu không gian va phi không giancó thê được định nghĩa trên cùng một view.

> Hiện thực theo cơ chế dựa trên view không đòi hỏi việc mở rộngcác lược đồ dé lưu thêm các thông tin phân quyền Do đó, ngườidùng cá nhân và các công ty quy mô nhỏ có thể dễ dàng áp dụngcơ chế nay trong việc điều khiến truy xuất dữ liệu không gian.Tuy nhiên, cơ chế dựa trên view vẫn có những hạn chế nhất định như: vẫnđề điều khiến đồng thời (đã được giải quyết tương đối bang các cơ chế bêntrong cơ sở dữ liệu), việc tạo ra các view dư thừa có thé dẫn đến tốn chi phí choviệc điều khiến truy xuất Ngoài ra, thông tin có thể bị rò rỉ thông qua các ngoạilệ và lỗi từ các hàm do người dùng định nghĩa

3.1.5 Điều khiến truy xuất dựa trên vai trò (RBAC)Một yêu cầu nữa cho các mô hình điều khiển truy xuất đó là sự hỗ trợviệc đặc tả các chính sách truy xuất dựa trên vai trò người dùng Mô hìnhRBAC (Role —based access control) được công nhận thành chuan NIST [8] [9]ra đời nhằm đáp ứng được tính nhất quán của tập hợp các quyền điều khiếntruy xuất Việc hiện thực thành phan thi hành chính sách sử dụng tài nguyêndựa trên danh sách điều khiến truy xuất yêu cầu phải cập nhật danh sách khichủ thé thay đối Việc cập nhật này có thé gây ra việc thiếu nhất quán trong tậpcác chính sách Vì vậy cần phải tách chủ thé ra khỏi danh sách điều khiến truyxuất Việc này có thé được thực hiện bang cách sử dụng cau trúc vai trò (role).Role được sử dụng gián tiếp giữa tài nguyên dữ liệu và chủ thể Role sẽ thaythé cho chủ thé trong danh sách điều khiến truy xuất

Một role sẽ định nghĩa một tập phân biệt các quyên truy xuất (biểu diễncho những nhiệm vụ cụ thể) Chủ thể sẽ được gán các role tương ứng Việc gán

các quyên truy xuất cho role thường ít thay đổi trong khi đó việc thay đốiquyên truy xuất người dùng sẽ thường xuyên hon Vì vậy, việc sử dung rolelàm cho danh sách điều khiển truy xuất 6n định, ít bi thay đối Khi đó, một chủthé muốn truy xuất được dữ liệu phải được gan cho một role để có quyên truyxuât vào resource của hệ thông.

aaa ` fo \ PA ⁄Z SNU nã ey ee ®—— Fem issions)

oy|

\ˆ

Hnh9: Mô h nh RBAC cơ bản

Một mô hình RBAC cơ bản Hình 9 sẽ bao gom tap cac chu thé hoặcngười dùng (user), tập các vai trò (role), tập các quyền han (permission) (mộtpermission sẽ định nghĩa loại hành động trên một tài nguyên cụ thể) và cácphiên làm việc (session) Người quản tri sẽ định nghĩa trước các permissionđược phép trong toàn bộ hệ thống như “đọc bảng Nhân Viên”, định nghĩa cónhững role nảo trong hệ thống và tương ứng với mỗi role, sẽ gán nhữngpermission cho role đó (PA — Permission Assignment) Tương tự, người quan

trị cũng sẽ định nghĩa cho mỗi user sẽ được phép sử dụng những role nào Tuy

nhiên, khi một user truy xuất thực sự vào hệ thống, user đó sẽ tạo ra một

session (US- User Session) Cơ chế điều khiến truy xuất sẽ kiểm tra ngữ cảnhcủa user và xem xét user tại thời điểm trong session đó sẽ được sử dụng nhữngrole nào từ tập các role được gan cho user (RSA — Role Session Assignment).Mô hình này còn có nhiều mức độ khác nhau như việc định nghĩa các role phảihỗ trợ phân cấp (mức độ 2), hỗ trợ các ràng buộc tĩnh và động khi gán user vàorole cũng như khi gán permission cho role (mức độ 3) Ví dụ, chỉ được phépgan tối da 2 user cho role Quan Ly, một user chỉ được phép su dung tối đa mộtrole trong một session, hoặc quyền cập nhật tới bảng Lương chỉ được phép gáncho một role duy nhất

Mô hình được dé xuất sẽ hỗ trợ mô hình ly thuyết RBAC mức độ 3 theochuẩn NIST.

3.1.6 XACMLXACML là một chuan công nghiệp quốc tế được định nghĩa bởi OASIS,2003 [10] [11], thiết kế để biểu diễn các loại chính sách bảo mật khác nhau, cácquyên truy xuất cũng như yêu cau và kết quả kiểm soát quyền dưới dạng XML.XACML cung cấp một mô hình tong quát và linh động dé diễn tả cách đánh giáyêu câu truy xuất XACML còn cho phép một kha năng kết hợp nhiều luật vachính sách dé quyết định dưa trên các giải thuật kết hợp và đặc biệt là khả năngcho phép xác định thêm các điều kiện bao gồm các điều kiện chứa thông tinngữ cảnh vào các chính sách.

XACML hỗ trợ khai báo và thực thi các giới hạn truy xuất thông qua cácchính sách va dựa trên ba loại định nghĩa sau [4] [10] [11]:

> Cú pháp chính sách (policy syntax): một chính sách sẽ được định

nghĩa bằng cú pháp lược đồ XML (eXtensible Markup Language).XACML còn hỗ trợ nhiều tính năng chuyên dụng như cho phépmở rộng các kiểu dữ liệu, thuộc tính mới, cho phép đặc tả thêm cáchàm tính toán mới trong việc đặc tả chính sách Điều này cho phépXACML có thé biểu diễn hầu hết các chính sách giới hạn truyxuât.

> Xử lý chính sách (policy processing): XACML định nghĩa ngữ

nghĩa cho việc xử lý các quyên truy xuất hiện có để từ đó đưa raquyết định phân quyên, ngoai ra nó cũng định nghĩa việc xử lý cácnghĩa vụ chính sách trong PEP Nghĩa vụ (obligation) là nhữnghành động xác định mà PEP phải thực hiện sau khi nhận kết quảtrả về từ PDP

> Định dạng của yêu cầu và đáp ứng (request/response format):XACML định nghĩa cấu trúc thông điệp được dùng dé giao tiếpgiữa PEP và PDP

Hình bên dưới là một vi du đơn giản về thành phan chính sách trong mộtfile XACML

<Policy><Target>

<Resources><Subjects><Actions><RuleSet ruleCombiningAlgld = “DenyOverrides”>

<Rule ruleld=“R1”> ——*| <Rule Ruleld="R2"”

<Rule ruleld=“R2"> a Effect="Deny”>

H nh 10: Cấu trúc thành phan chính sách XACMLNhư ví dụ trong Hình 10 được đặc tả theo chuẩn XACML 2.0, một tag<Policy> sẽ bao gồm các thành phan co bản như <Target> va <RuleSet>;<Target> bao gồm <Resources> là nguồn tài nguyên sẽ được truy xuất,<Subjects> là đối tượng sẽ nhận quyết định phân quyên và <Actions> là nhữnghành động được thực thi trên <Resources>; <RuleSet> bao gồm một tập các<Rule> Để xác định <Subjects> có được thực thi các <Actions> trên<Resources> hay không ta sẽ dựa vào thuộc tính Effect trong tag <Rule> (trongví dụ trên là Permit), các giá trị ma Effect có thé có là Permit va Deny

XACML sẽ được chọn dé mở rộng cho việc đặc tả các chính sách bảo mậtcho dữ liệu không gian bang cách mở rộng các ham và kiểu dữ liệu không gianmới Chi tiết về cách đánh giá yêu cầu truy xuất của mô hình này sẽ được nhắclại trong một mô hình khác được kế thừa từ XACML nhưng hỗ trợ dữ liệukhông gian — mô hình GeoXACML,

3.2 Các mô hình điều khiến truy xuất nâng caoTrong phan nay, các mô hình điều khiến truy xuất hỗ trợ việc đặc ta cácchính sách bảo mật cho dữ liệu không gian và thời gian ở những mức độ khácnhau sẽ được trình bảy Trong các nhóm mô hình này, một số mô hình là lýthuyết, việc đặc tả các chính sách có thé dùng các phương pháp khác nhau như

thông qua ngôn ngữ hình thức, các logic vị từ, ngôn ngữ biểu thi quyền (RightExpression Language — REL), v.v Một số mô hình còn lại là sự mở rộng từ môhình XACML, việc đặc tả các chính sách sẽ theo cấu trúc của XACML quyđịnh, đây cũng là cách tiếp cận chính của dự án.

3.2.1 Geospatial Role Based Access Control — GeoRBACGeoRBAC là cơ chế điều khiến truy xuất dựa trên vai trò dành cho diliệu không gian dựa trên RBAC với các thông tin về không gian và địa điểm[19] các thực thể không gian được sử dụng trong GeoRBAC bao gồm mô hìnhđôi tượng, vi trí người dùng và giới hạn không gian của vai tro.

Trong mô hình này, vai tro (role) sẽ được kích hoạt (activate) dựa trên vitri của người dùng: tuy nhiên, bên cạnh vi trí vật lý (có thể được lây từ thiết bị

di động đầu cuối), người dùng còn được gan một vi trí luận ly độc lập với thiết

bị, vị trí này đại diện cho các đối tượng không gian tại vị trí đang đứng củangười dùng, vị trí luận lý có thể được tính từ vị trí vật lý (hay còn gọi là vị tríthật) băng cách sử dụng các hàm chuyển đồi thích hợp

GeoRBAC đưa ra một khái niệm mới đó là lược đồ vai trò (role schema),dùng dé quản lý các role Một role schema là một sự trừu tượng hay tổng quáthóa, cụ thể như <Doctor, Hospital> là một role schema có thể được dùng như làdạng mẫu (templete) cho các thực thé role (role instance) khác Một roleinstance được tạo ra từ role schema băng cách sử dụng dữ liệu cụ thể Ví dụ,<Chief of Surgery, St Vincent> là một role instance được tạo ra từ role schema< Doctor, Hospital>, trong đó Chief of Surgery là một thực thé của Doctor vaSt Vincent là một thực thé của Hospital Quyền han (permission) có thé đượcgan cho ca role schema va role instance.

So với mô hình RBAC kinh điển, GeoRBAC chia vai trò người dùngthành 2 trạng thái, vai trò được kích hoạt (activated role) và vai trò được phép(enabled role) Khi người dùng đăng nhập thành công vào hệ thống, vai tròtương ứng của ho sẽ được chuyển thành activated role trong suốt phiên làmviệc (session); khi người dùng nam trong giới hạn không gian của một vai tròđang được kích hoạt (activate) thì vai trò của người dùng sẽ chuyển thànhenabled role.

Mô hình ràng buộc quyên hạn của người dung thông qua mở rộng vai tro(role extent), một vai trò ở môi vung không gian mở rộng sẽ tương ứng cácquyền hạn khác nhau Hình 11 minh họa cho loại ràng buộc quyền hạn này:

b

|

SDB Dis i6) “ &

„e@

H nh 11: Phân cap vai trò (a) và vai tro mo rỘng

Vùng không gian tương ứng với A là vùng mở rộng cua A, tương tự choB, C, D, E, F Khi người dùng được gan một vai trò và di chuyển qua các vùngkhông gian trên thì ứng với mỗi vùng người dùng sẽ các các quyền hạn tươngứng vùng đó Trong mô hình nay thì quyền hạn người dùng thay đối theo vị tríkhông gian của họ cho dù là vai trò gán cho họ không đổi Các vùng khônggian mở rộng của vai trò có thé chồng lắp nhau (như vùng không gian mở rộngcủa vai trò D và C), do đó khi một người dùng có vị trí nam trong vùng khônggian trùng lắp của các vai trò này (giả sử vị trí p) thì các vai trò này sẽ đượckích hoạt (vai trò D, C).

Trong mô hình GEO-RBAC, việc ngăn chặn xung đột vai trò xảy ra được

giải quyết băng cách ràng buộc các vai trò được định nghĩa là xung đột nhau ở

nhiều cấp độ: định nghĩa các vai trò xung đột nhau khi gán vai trò cho mộtngười dùng, các vai trò xung đột nhau trong một giao dịch, các vai trò xung độtnhau trong một vùng không gian Do đó các vai trò xung đột này sẽ khôngđược tổn tại cùng lúc trong ngữ cảnh được cho là xung đột đó, giải pháp nàygiúp cho ngăn chặn xung đột vai trò trên mô hình Hình 12 minh họa cho việcràng buộc các vai trò xung đột có thê xảy ra ở nhiêu mức độ khác nhau.

Việc đặc ta ràng buộc chia lam nhiêu cap: ràng buộc tinh, ràng buộc động,ràng buộc mức thực thé (chỉ có hiệu lực trên thực thể xác định), ràng buộc mứclược đồ (có hiệu lực trên tât cả các thực thê thuộc về lược đồ), ràng buộc có yêutố không gian và phi không gian.

SI (Static Instance): y nghĩa của loại ràng buộc nay là ngăn chặn mộtngười dùng nao đó sở hữu nhiều hơn một số lượng vai trò thực thé (giảsử là n) trong cùng một loại vai trò lược đồ Ví dụ: một cá nhân cụ thé Akhông thể đóng vai trò bác sỹ trong cả hai bệnh viện B và C

SSNS (Static Schema Non-Spatial): ngăn chan một người dùng đóngnhiều hơn hoặc băng n loại vai trò thực thể trong n loại vai trò lược đồ.Ví dụ: một cá nhân cụ thể A không được vừa là bác sỹ vừa là bệnh nhân.SSS (Static Schema Spatial): ngăn chặn một người đóng nhiều hơn haybăng n loại vai trò thực thể trong n loại vai trò lược đồ thỏa mãn mộtquan hệ không gian xác định Ví dụ: ngăn cam một cá nhân vừa là bácsỹ vừa là quản lý trong cùng một bệnh viện.

DIA-DIE (Dynamic Instance Active-Dynamic Instance Enable): ngănchặn người dùng kích hoạt/thực thi trong một giao dich nhiều hơn hoặcbăng n vai trò thực thé thuộc cùng một loại vai trò lược đồ Ví dụ: vaitrò là y tá không được phép kích hoạtthực thi cùng lúc trong cả haiphòng ban 1 và phòng ban 2 trong suốt thời gian làm việc

DSNSA-DSNSE (Dynamic Schema Non-Spatial Active-Dynamic SchemaNon-Spatial Enable): ngăn chặn một người dùng kích hoạtthực thitrong một giao dịch n vai trò thực thể của n loại vai trò lược đồ Ví dụ:vai trò y tá có thể được gán vào 2 phòng ban khác nhau nhưng không thểkích hoạt cùng lúc tại một thời điểm trong giao dịch (DSNSA)

DSSA-DSSE (Dynamic Schema Spatial Active-Dynamic Schema SpatialEnable): ngăn chan người dùng kích hoat/thuc thi trong một giao dịch n vai tròthuc thé trong n loại vai trò lược đồ khi vai trò mở rộng thỏa mãn một quan hệkhông gian xác định Ví dụ: trong một giao dịch, một bác sỹ không thể đồngthời là bệnh nhân.

Activation time Enabling time/

Activation time — Enabling time

DSNSA DSNSE

H nh 12: Các cap độ ràng buộc xung đội vai trò

GeoRBAC là mô hình lý thuyết được đánh giá cao trong việc hỗ trợ điềukhiến truy xuất cho dữ liệu không gian Tuy nhiên, mô hình này chưa tích hợpđược cách đặc tả chính sách XACML theo chuẩn công nghiệp OASIS, mộtchuẩn pho biến quốc tế sử dụng XML cho việc thi hành các luật và chính sáchbảo mật đặc biệt là trong các môi trường phân tán và có nhiêu nhu câu chia sẻ,tích hợp hay trao đôi dữ liệu giữa các tổ chức khác nhau

3.2.2 Spatial —- Temporal — RBAC (STRBAC)Các co chế hay mô hình điều khiến truy xuất trên đây đều tập trung vào tinhkhông gian của dữ liệu, tuy nhiên, với các ứng dụng hiện tại, tính thời giancũng là một yếu tố quan trọng không kém Xem xét một ví dụ cụ thể: một bệnhviện cân hiện thực những chính sách điêu khiên truy xuât như sau:

e Bac sỹ của bệnh viện chỉ được xem các thông tin nội bộ của bệnh viện(tin tức, các buôi hội thảo, chân đoán ) khi vi tri của người bác sỹ nàyđược xác định là năm trong khu vực bệnh viện.

e Bác sỹ có vi trí năm trong khu vực bệnh viện chỉ có thê xem hồ sơ bệnhán của bệnh nhân do chính bác sỹ điều trị trong khoảng thời gian từ 8:00đến 21:00

e Y tá chỉ được phép xem tên các bệnh nhân do bác sỹ (mà mình dang trợgiúp) điều tri, va cũng phải thỏa điều kiện có vị trí năm trong khu bệnhviện, thời gian xem thông tin từ 8:00 đến 21:00

e Các nhân viên khác chi được xem thông tin của phòng ban liên quan,thời gian xem thông tin từ 8:00 đến 21:00.

Với tình huống trên, các cơ chế điều khiển truy xuất đã giới thiệu chi có thé taora chính sách giới hạn truy xuất dựa vị trí của người dùng (ở đây là vị trí ngườidùng phải năm trong khu vực bệnh viện), việc giới hạn truy xuất dựa trên thờigian cần truy xuất dữ liệu vẫn chưa được hỗ trợ ở các cơ chế trên Do đó,STRBAC ra đời nhằm đáp ứng nhu cầu nay

STRBAC là mô hình mở rộng của RBAC nhằm hỗ trợ các ràng buộc về khônggian và thời gian [19], vi trí người dùng sé được xác định bang hệ thống định vitoàn cầu (GPS) hoặc thông qua các hệ thống cảm biến dé cho độ chính xác caohơn.

¢¢ Mô hình không gian của STRBAC

Tương tự như RBAC, vi trí trong mô hình STRBAC cũng được chia làm hailoại: vi trí tho (raw location) và vi trí luận ly (logical location) VỊ trí nhận đượctừ thiết bi đầu cuối của người dùng là vị trí thô, khi vị trí này được hién thị chongười dùng thì vị trí thô sẽ được chuyến sang vị trí luận lý và được so sánh vớicác ràng buộc không gian, các ràng buộc không gian này luôn được định nghĩaở dạng vị trí luận lý Hình 13 thé hiện cách phân loại và sử dụng vi trí luận lýcủa mô hình STRBAC:

Logical Location

Location by-Address TocationbyUse Locatiofe y—Organization am Defined Location

Univ Of Florida Univ Of Florida Univ Of Florida Univ Of Flonda—CISE Buildine Computer Sc —College of Engg —Research Groups

: ¬ —Database Mining Grou

—1st Floor —Lecture Rooms —CISE š 10p

Room 118 Room 114 Civil Engg Room 112

Room 22 _ _ Room 345

Room 114 Office Electncal Engg — Wireless Comm Research

Mechanical Engg — Pervasive Research—Weil Hall Computer Labs =

Conference Rooms (College of Medical Sc Security Research [Civil Engg ‘ancer Research Center |— Grad Student Meet PlacePsychology Building 1" "

¬ —Electrical Engg —Demnatology — Office Lounge

eurologyCollege of Business

H nh 13: Vi trí luận lý trong mô h nh STRBAC

Vi tri luan ly duoc chia thanh bốn thành phan khac nhau: (1) vi tri theo dia chi,(2) vi trí theo cách sử dung, (3) vi trí theo cách tổ chức va (4) vị trí do ngườidùng định nghĩa.

e Vi tri theo địa chi (location — by — address): vi tri sẽ được phân loại dựatrên vi trí vật ly (vi trí thực) Ví dụ một tập các vi trí thô có thé đại diệncho vị trí của một tòa nhà hoặc một phòng cụ thé trong tòa nha

e Vi tri theo cách su dung (location — by — use): VỊ tri sẽ được phân loạitheo mục đích sử dụng Ví dụ nhóm các phòng trong một tòa nhà thànhcác phòng họp, khi đó ta chỉ cần định nghĩa chính sách trên tập vị trí nàymà không cần phải chọn từng phòng riêng lẻ

© Vị tri theo cách tô chức (location — by - organization): cach phan loạinày thích hợp với trường hợp định nghĩa vị trí dựa vào những mức tổchức khác nhau Vi dụ, hai công ty AIT và VN-Direct cùng tọa lạc tạitòa nhà Fideco, tầng lầu đầu tiên sẽ được sắp xếp cho công ty VN-Directtrong khi tầng 15 được sắp cho công ty AIT Các vị trí thô sẽ được phânloại dựa trên cách tô chức này để xác định được vị trí của hai công tytrên.

e Vi tri do người dùng định nghĩa (user — defined location): các vi tri sẽđược phan loại tùy vào người quan tri.

¢¢ MO hình thời øian của STRBAC

Thời gian trong STRBAC sẽ được chia làm hai loại: thời khoảng có lặp va thờikhoảng không lặp (như hình bên dưới), thời gian này được giả sử đồng bộ vớigiờ quôc tê và độc lập với vi trí địa ly của đôi tượng.

Time potervat

Recurring Interval None Ps Interval

Ex: 4th Feb, 2006 to 15th Feb, 2006

Daily eekly Monthly YearlyDaily Periodicity in Week

F—Datly Periodicity in Month — Daily Peripdicity in Year

Ex: Monday of every week ° :

Ex: First and last day of every month Ex: 100th day of every year

— Weekly Periodicity in YearEx: 5th week of every year

Ex: 08:00:00 hrs to 16:00:00 hrs \—Weekly Pepiodicity in Month L_ Monthly †enodiety in Year

Ex: Third week of every month Ex: 3rd month of every year

H nh 14: Thời gian trong mô h nh STRBAC

Thời khoảng lặp lại được tiếp tục chia ra bốn loại gồm: lặp theo từng ngày

(khoảng thời gian xác định trong ngày) từng tuần (những ngày xác định trongmột tuân), từng tháng (những ngày xác định trong một tuần hoặc tuần xác địnhtrong một tháng) va từng năm (những ngày xác định trong một tuần, nhữngtuần xác định trong một tháng hoặc tháng xác định của một năm)

Tuy hỗ trợ cho việc điều khiến truy xuất dữ liệu cả về rang buộc không gian vàthời gian nhưng mô hình STRBAC van có những hạn chế [12]:

e M6 hình chỉ ở mức ý tưởng, chưa được hiện thực.e_ Chưa cung cấp những hạn chế về không — thời gian của việc liên kết vai

trò người dùng.e Khi người dùng di chuyển qua những vùng không gian khác nhau,

quyền han của người dùng phải được tự động cập nhật Van dé này cóthể được giải quyết bằng cách viết các trigger tự cập nhật quyền hạnngười dùng khi có sự thay đổi vị trí Tuy nhiên, nếu số người dùng lớnthì lượng trigger sẽ nhiều và việc quản lý hệ thông trở nên khá tốn kém.Mô hình sau khi mở rộng từ RBAC bang cách ràng buộc thêm các yếu tốkhông gian và thời gian thì chưa giải quyết việc phát sinh xung đột vai trò trongtừng vùng không gian hoặc thời gian Ví dụ: một người có thể đóng 2 vai tròvừa là giảng viên vừa là sinh viên nhưng trong thời gian đang đi học thì khôngđược có vai trò là giảng viên Hoặc, trong một bệnh viện cụ thể, một ngườikhông được phép vừa là người quản lý vừa là bác sỹ.

3.2.3 Geospatial eXtensible Access Control Markup Language —GeoXACML

Trở lai với khung điều khiến truy xuất tong quát va mô hình XACML đãđược giới thiệu ở phần 3.1, các yêu cầu truy xuất của người dùng sẽ đượcchuyển sang dạng tương thích với các luật phân quyền để PDP có thể tiễn hànhthao tác so sánh Thông thường, các luật phân quyển sẽ được biểu diễn theochuẩn XACML (eXtensible Access Control Markup Language), tuy nhiên,

XACML không hỗ trợ cho dữ liệu không gian Do đó, GeoXACML ra đời vớimục đích hỗ trợ đặc tả chính sách bảo mật cho dữ liệu không gian, từ đó hỗ trợ

việc điều khiến truy xuất dữ liệu không gian.GeoXACML mở rộng từ XACML băng cách định nghĩa các kiểu dữ liệukhông gian va các cách mã hóa không gian có thé có; ngoải ra, GeoXACMLcòn định nghĩa các hàm không gian dựa trên những đặc tả đặc tính đơn giảntrên OGC, các ham chuyền đổi và sử dụng lược đồ XACML để định nghĩa cácyêu cầu/đáp ứng cũng như các chính sách phân quyền [23][24]

-74.28798767828596, 40-74.28798767828596, 40

~74.28798767828596, 40 Spatial

</AttributeValueAttributeSelector DataType="httt opengis.net/gml#box"MustBePresent="false" RequestContextPath="//oge:BBOX/gml:Box"/>

ndition>

H nh 15: Vi đụ GeoXACML

Hình 15 là một vi dụ về một phần trong file GeoXACML Các thành phầnđược thêm vào so với XACML như kiểu dữ liệu đa giác (polygon) và hàm

không gian chứa trong (within) Ngoài ra, tác gia cũng đã dé xuất các kiểu dữliệu và ham không gian cho GằGeoXACML như Bảng Iva Bang 2.

Bang 1: Các kiểu dit liệu không gian trong GeoXACML

Geometry type |XACML URNGML 2.1 element

Point http: //www-.opengis.net /gml+point gmil:Point

LineString http: / /www.opengis.net /gml+linestring gml:LineString

LinearRing http://www.opengis.net/gml+linearring | gml:LinearRing

Polygon http: //www.opengis.net /gml+polygon gml:Polygon

Box http: / /www.opengis.net /gml+box gml:Box

Spatial relation | URI

Disjoint http: / /www.andreas-matheus.de/geoxacm!/1.0/function#disjointTouches http: / /www.andreas-matheus.de/geoxacm!/1.0/functiontouches

Crosses http: / /www.andreas-matheus.de/geoxacm!/1.0/function#crosses

Within http: / /www.andreas-matheus.de/geoxacm!/1.0/function#withinOverlaps http: / /www.andreas-matheus.de/geoxacm!/1.0/function#overlapsIntersects http: / /www.andreas-matheus.de/geoxacm!/1.0/function#intersectsEquals http: / /www.andreas-matheus.de/geoxacm!/1.0/function#equals

GeoXACML thừa kế lai XACML các thành phan trong kiến trúc ngoạitrừ hỗ trợ thêm các kiểu dữ liệu và hàm không gian Do đó quy trình đánh giámột yêu câu truy xuất dữ liệu cũng tương tự như XACML [Hình 16]

Hình 26 mô tả các tiến trình xử lý một yêu cầu truy xuất theo các bướcsau (lưu ý, bước | là bước được thực hiện trước):

1 PAP (Policy Access Point) là thành phần hỗ trợ viết các chính sách vàtập các chính sách đồng thời bảo đảm chúng được sẵn sàng cho PDP déđánh giá Cau trúc chính sách sẽ được trình bay chỉ tiết trong chương 4.Một yêu cầu truy xuất được gửi đến PEP

3 PEP (Policy Enforcement Point) gửi một request để truy xuất tớiContext Handler dưới định dạng nguyên gốc có thể bao gồm các thuộctính của chủ thể, tài nguyên, hành động, môi trường và các loại siêu dữliệu khác

9.Context Handler là một thành phan trung gian giao tiếp giữa các khối vacó nhiệm vụ chuyển các định dạng của yêu cầu sang định dạng màXACML có thể hiểu được Cau trúc request và các chính sách KACMLsẽ được trình bày chi tiết trong chương 4 Context Handler sau khi xâydựng một context truy xuất dưới dang XACML sẽ gửi tới PDP

PDP (Policy Decision Point) sẽ yêu cầu thêm các thuộc tinh về chủ thé,tài nguyên, hành động truy xuất và môi trường từ context handler nếucần thiết

Context Handler sẽ yêu cầu những thuộc tinh này từ thành phan PIPPIP (Policy Information Point) có nhiệm vụ lấy các giá trị cho các thuộctính được yêu cầu và gửi trả về cho Context Handler Context Handlercó thé năm giữ tai nguyên trong file context

Context Handler sẽ gửi các thuộc tính được yêu cầu và dữ liệu (khôngbắt buộc) tới PDP PDP sau khi có day đủ các thông tin sé thực hiện việcđánh giá

PDP trả kết quả về cho Context Handler dưới dạng một context response10.Context Handler sẽ chuyển context response sang định dang response

nguyên gốc của PEP và trả về cho PEP.11.Trong nội dung trả về từ Context Handler, néu có quy định các nhiệm vụ

phải thực hiện Obligation, PEP sẽ thực hiện các nhiệm vụ này và nếutruy xuất là được phép, PEP sẽ cho phép truy xuất tới tài nguyên và gọicác dịch vụ web dé lay dữ liệu trả về, ngược lại PEP sẽ từ chối truy xuất