Nghiên cứu điều khiển truy cập sử dụng mô hình RBAC mở rộng Nguyễn Ánh Nguyệt Trường Đại Học Công Nghệ, Đại Học Quốc Gia Hà Nội Luận văn Ths Hệ thống thông tin; Mã Số: 60 48 05 Nghd: PGS.TS Nguyễn Việt Hà Năm bảo vệ: 2013 Abstract: Nghiên cứu phương pháp điều khiển truy cập theo vai trò, mơ hình điều khiển truy cập RBAC Phân tích ưu, nhược điểm RBAC Giới thiệu điều khiển truy cập Net Framework, hạn chế điều khiển truy cập Net Framework Đề xuất đặc tả truy cập dựa tệpmô tả, đặc tả truy cập dựa luật, đề xuất đặc tả cho phép mở rộng RBAC theo ngữ cảnh cách kết hợp đặc tả truy cập RBAC với luật Đề xuất giải pháp triển khai đặc tả RBAC mở rộng với luật Đề xuất ứng dụng thực tế sử dụng RBAC mở rộng demo cho phần triển khai RBAC mở rộng Keywords: Phần mềm ; Hệ thống thơng tin ; Mơ hình RBAC ; Điều khiển truy cập Contents: Mở đầu Các hệ thống phần mềm thường có nhiều người sử dụng, người sử dụng lại có vai trò khác nhau, hay nói cách khác họ có tập đặc quyền khác Vì cần đảm bảo người sử dụng thực tác vụ mà họ có đặc quyền.Do đó, vấn đề đảm bảo an ninh ứng dụng yêu cầu quan trọng, cần quan tâm xem xét Truy cập khái niệm để nói đến khả thực tác vụ (sử dụng, đọc, thay đổi…) chủ thể (subject/user) với tài nguyên máy tính (resource).Điều khiển truy cập (access control) khái niệm để cho phép hay hạn chế truy cập chủ thể với tài nguyên máy tính cách thức đó[6] Kiểm sốt truy cập thuật ngữ dễ gây hiểu nhầm, số trường hợp hiểu kiểm soát quyền truy cập vào hệ thống từ bên ngồi (ví dụ kiểm sốt q trình đăng nhập, qua người dùng truy cập vào vào máy chủ hay máy cá nhân).Trong thực tế, kiểm soát truy cập gọi xác thực (authenticate) người dùng.Trong khi, kiểm soát truy cập đề cập đến việc kiểm soát quyền truy cập vào tài nguyên hệ thống sau thông tin tài khoản người dùng xác thực Ví dụ, người dùng cụ thể, nhóm người sử dụng, phép truy cập vào tập tin định sau đăng nhập hệ thống, đồng thời bị từ chối quyền truy cập vào tất tài nguyên khác Với điều khiển truy cập theovai trò (Role Based Access Control – RBAC)[4], người sử dụng gán nhiều vai trò, vai trò có tập quyền truy xuất Quyền truy cập người dùng hợp tập quyền truy xuất tất vai trò mà người sử dụng thuộc RBAC phương pháp đơn giản, trực quan hiệu quả, song hạn chế, chẳng hạn có hai người sử dụng có vai trò, quyền truy xuất khác nhau, có thơng tin ngữ cảnh khác Vì ta cần bổ sung thêm thông tin ngữ cảnh định cho phép hay từ chối truy cập.Trên Framework EJB hay Net Framework hỗ trợ RBAC, nhiên cần điều khiển truy cập theo vai trò kết hợp với thơng tin ngữ cảnh khác người dùng ứng dụng phải tự xây dựng module điều khiển truy cập, việc nghĩa việc cài đặt nghiệp vụ ứng dụng, họ phải lo phần bảo mật ứng dụng Việc tự cài đặt module điều khiển truy cập bị sai sót, dẫn đến kết đáng tiếc.Do vậy, tác giả đề xuất phương pháp mở rộng RBAC theo ngữ cảnh phương sử dụng luật triển khai đề xuất Net Framework Theo đó, ứng dụng không cần phải xây dựng module điều khiển truy cập riêng, mà cần mô tả tài nguyên cần bảo vệ chương trình định nghĩa vai trò, luật file điều khiển truy cập Bố cục luận văn sau: Chương 1, luận văn nghiên cứu phương pháp điều khiển truy cập theovai trò, mơ hình điều khiển truy cập RBAC Phân tích ưu, nhược điểm RBAC Chương 2, luận văn giới thiệu điều khiển truy cập Net Framework, hạn chế điều khiển truy cập Net Framework Chương 3, luận văn đề xuất đặc tả truy cập dựa tệpmô tả, đặc tả truy cập dựa luật, đề xuất đặc tả cho phép mở rộng RBAC theo ngữ cảnh cách kết hợp đặc tả truy cập RBAC với luật.Cũng chương luận văn đề xuất giải pháp triển khai đặc tả RBAC mở rộng với luật Chương 4, luận văn đề xuất ứng dụng thực tế sử dụng RBAC mở rộng demo cho phần triển khai RBAC mở rộng TÀI LIỆU THAM KHẢO [1] Dominick Baier (2010), “A Guide to Claims-based Identity” Microsoft Publishing [2] Rick G Garibay (2012), “Microsoft Windows Identity Foundation Cookbook” Packt Publishing [3] Vittorio Bertocci (2010) “Programming Windows Identity Foundation” Microsoft Publishing [4] Ninghui Li (2004), “A Critique of the ANSI Standard on Role Based Access Control”, CERIAS and Department of Computer Science Purdue University [5] Jason Bock (2002), “.NET Security” ApressPublishing [6] Neil Smyth (2009),“Security+ Essentials” Payload MediaPublishing [7] Jeffrey Palermo (2012) “ASP.NET MVC in Action” Manning Publications [8] DOD (1985), Trusted Computer System Evaluation Criteria (TCSEC) Department of DefenseStandard 5200.28-STD (OrangeBook) [9] David F Ferraioloand R Kuhn (1992), “Role-Based Access Control”, In Proceedings of 15th NIST-NCSC National Computer Security Conference, pp 554-563 [10] David F Ferraiolo, Ravi Sandhu, SerbanGavrila, D Richard Kuhn, and RamaswamyChandramouli (2001), “Proposed NIST Standard for Role-Based Access Control”, ACM Transactions on Information and System Security, Vol 4, No 3, pp 224– 274 [11] U Lindqvistand E Jonsson (1998), “A Map of Security Risks Associated with Using COTS”, Computer, vol 31, no 6, pp 60–66 IEEE Computer Society [12] N R Mead (2004), “Who Is Liable for Insecure Systems”, Computer, vol.37, no.7, pp.2734, IEEE Computer Society [13] Ravi S Sandhu, Edward J Coynek, Hal L Feinsteink and Charles E Youmank (1996), “Role-Based Access Control Models”, IEEE Computer, vol.29, no.2, pp.38-47 [14] Jonathan D Moffett Control principles and role hierarchies In Proceedings of the Third ACM Workshop on Role-Based Access Control (RBAC 1998), October 1998 [15] Trent Jaeger and Jonathon E Tidswell Practical safety in flexible access control models ACM Transactions on Information and System Security, 4(2):158–190, May 2001 ... Chương 1, luận văn nghiên cứu phương pháp điều khiển truy cập theovai trò, mơ hình điều khiển truy cập RBAC Phân tích ưu, nhược điểm RBAC Chương 2, luận văn giới thiệu điều khiển truy cập Net Framework,... chế điều khiển truy cập Net Framework Chương 3, luận văn đề xuất đặc tả truy cập dựa tệpmô tả, đặc tả truy cập dựa luật, đề xuất đặc tả cho phép mở rộng RBAC theo ngữ cảnh cách kết hợp đặc tả truy. .. truy cập RBAC với luật.Cũng chương luận văn đề xuất giải pháp triển khai đặc tả RBAC mở rộng với luật Chương 4, luận văn đề xuất ứng dụng thực tế sử dụng RBAC mở rộng demo cho phần triển khai RBAC