Luận văn đã đề xuất được một phương pháp theo cách tiếp cận hướng mô hình đểgiải quyết bài toán đặc tả và kiểm chứng chính sách an ninh cho các thể hiện khác nhau của quy trình nghiệp vụ đang được thực thi
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN ĐỨC HIẾU NGHIÊN CỨU VÀ VẬN DỤNG KỸ THUẬT HƯỚNG MƠ HÌNH CHO ĐẶC TẢ VÀ KIỂM CHỨNG CHÍNH SÁCH BẢO MẬT LUẬN VĂN THẠC SĨ CƠNG NGHỆ THÔNG TIN Hà Nội, 2019 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN ĐỨC HIẾU NGHIÊN CỨU VÀ VẬN DỤNG KỸ THUẬT HƯỚNG MƠ HÌNH CHO ĐẶC TẢ VÀ KIỂM CHỨNG CHÍNH SÁCH BẢO MẬT Ngành: Kỹ thuật phần mềm Chuyên ngành: Kỹ thuật phần mềm Mã số: 8480103.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC TS ĐẶNG ĐỨC HẠNH Hà Nội, 2019 i LỜI CAM ĐOAN Tôi Nguyễn Đức Hiếu, học viên K23, ngành Công nghệ thông tin, chuyên ngành Kỹ thuật phần mềm Tôi xin cam đoan luận văn “Nghiên cứu vận dụng kỹ thuật hướng mơ hình cho đặc tả kiểm chứng sách bảo mật” tơi nghiên cứu, tìm hiểu xây dựng hướng dẫn giảng viên, TS Đặng Đức Hạnh Các kết đạt luận văn trung thực chưa cơng bố tài liệu, cơng trình nghiên cứu khác Nội dung luận văn có tham khảo từ nhiều nguồn tài liệu khác ghi rõ danh mục tài liệu tham khảo Tôi xin chịu trách nhiệm lời cam đoan Học viên Nguyễn Đức Hiếu ii LỜI CẢM ƠN Luận văn thực Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội hướng dẫn khoa học TS Đặng Đức Hạnh Em xin bày tỏ lòng biết ơn sâu sắc đến Thầy, người tận tình hướng dẫn, định hướng khoa học, hỗ trợ tạo điều kiện tốt để em hoàn thành luận văn Em xin cảm ơn hỗ trợ đề tài nghiên cứu khoa học cấp Đại học Quốc gia Hà Nội, mã số QG.18.61 Em xin bày tỏ lòng biết ơn tới thầy cô Khoa Công nghệ thông tin, Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội Các thầy nhiệt tình dạy, truyền đạt kiến thức quý báu giúp đỡ em trình học tập nghiên cứu Trường Tôi xin chân thành cảm ơn nhà khoa học, tác giả sách, báo mà tơi trích dẫn luận văn cung cấp nguồn tư liệu quý báu kiến thức liên quan q trình tơi nghiên cứu thực luận văn Cuối cùng, xin gửi lời cảm ơn đến gia đình, bạn bè đồng nghiệp, người hỗ trợ động viên suốt trình học tập, nghiên cứu thực luận văn Học viên Nguyễn Đức Hiếu iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT v DANH MỤC CÁC BẢNG vi DANH MỤC CÁC HÌNH VẼ vii Chương MỞ ĐẦU 1.1 Tính cấp thiết lý chọn đề tài .1 1.2 Đối tượng phạm vi nghiên cứu .3 1.3 Mục tiêu nghiên cứu 1.4 Cấu trúc luận văn Chương KIẾN THỨC NỀN TẢNG 2.1 Lược đồ hướng mơ hình 2.1.1 Kiến trúc metamodeling 2.1.2 Ngôn ngữ ràng buộc đối tượng OCL 2.2 Mơ hình điều khiển truy cập dựa vai trò RBAC 2.2.1 Tiêu chuẩn RBAC 2.2.2 Mơ hình RBAC 10 2.2.3 Mơ hình RBAC phân cấp 12 2.2.4 Mơ hình RBAC ràng buộc 13 2.3 Mơ hình quy trình nghiệp vụ 16 2.3.1 Quản lý quy trình nghiệp vụ 16 2.3.2 Tiêu chuẩn BPMN 18 2.4 Một số công cụ hỗ trợ .19 2.4.1 Công cụ Activiti 20 2.4.2 Công cụ USE 20 2.5 Tổng kết chương .21 Chương TÍCH HỢP MƠ HÌNH RBAC VÀ MƠ HÌNH BPMN 22 3.1 Giới thiệu 22 3.2 Tổng quan phương pháp .24 3.3 Đặc tả thực thi quy trình nghiệp vụ 26 3.3.1 Mơ hình hố quy trình nghiệp vụ 26 iv 3.3.2 3.4 Triển khai quy trình nghiệp vụ 27 Đặc tả sách RBAC 28 3.4.1 Xây dựng RBAC metamodel 28 3.4.2 Biểu diễn quy tắc nghiệp vụ 30 3.4.3 Thiết kế sách truy cập RBAC 31 3.5 Kiểm chứng môi trường đặc tả OCL 33 3.5.1 Tạo script 33 3.5.2 Kiểm tra tính quán sách RBAC 35 3.5.3 Kiểm chứng tính tuân thủ sách RBAC 36 3.6 Tổng kết chương .37 Chương CÀI ĐẶT VÀ THỰC NGHIỆM 38 4.1 Giới thiệu 38 4.2 Bài toán thực nghiệm 38 4.2.1 Quy trình Nghiệm thu lý Hợp đồng mời giảng 38 4.2.2 Môi trường thực nghiệm 39 4.2.3 Mơ hình hố quy trình nghiệp vụ 40 4.2.4 Triển khai quy trình nghiệp vụ 45 4.2.5 Xây dựng RBAC metamodel 49 4.2.6 Biểu diễn quy tắc nghiệp vụ 52 4.2.7 Thiết kế sách truy cập RBAC 57 4.2.8 Tạo script 60 4.2.9 Kiểm tra tính quán sách RBAC 60 4.2.10 Kiểm chứng tính tuân thủ sách RBAC 60 4.3 Kết thực nghiệm .61 4.4 Tổng kết chương .65 KẾT LUẬN 66 TÀI LIỆU THAM KHẢO 68 v DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt BPM Business Process Management Quản lý quy trình nghiệp vụ USE UML-based Specification Environment Môi trường đặc tả dựa UML UML Unified Modeling Language Ngơn ngữ mơ hình hóa thống OCL Object Constraint Language Ngôn ngữ ràng buộc đối tượng Simple OCL-based Imperative Ngơn ngữ lập trình mệnh lệnh đơn giản dựa OCL SOIL Programming Language Role Based Access Control Điều khiển truy cập dựa vai trò SoD Separation of Duty Tách biệt nhiệm vụ SSD Static Separation of Duty Tách biệt nhiệm vụ tĩnh DSD Dynamic Separation of Duty Tách biệt nhiệm vụ động Business Process Model and Notation Ký hiệu mơ hình hố quy trình nghiệp vụ RBAC BPMN vi DANH MỤC CÁC BẢNG Bảng 2.1: Một số công cụ OCL tính chúng hỗ trợ [11] Bảng 2.2: Một ví dụ khái niệm RBAC website Tin Tức 11 Bảng 2.3: Một ví dụ ràng buộc SSD 14 Bảng 3.1: Cấu hình sở liệu quan hệ activiti 28 Bảng 3.2: Một số bất biến OCL cho RBAC metamodel 29 Bảng 3.3: Một số ví dụ biểu diễn quy tắc nghiệp vụ dạng bất biến OCL 30 Bảng 3.4: Một ví dụ hai ràng buộc xung đột 32 Bảng 4.1: Đặc tả USE RBAC metamodel 49 Bảng 4.2: Mô tả quy tắc nghiệp vụ ngôn ngữ tự nhiên 53 Bảng 4.3: Đặc tả quy tắc nghiệp vụ dạng bất biến OCL 54 Bảng 4.4: Bổ sung mô tả UML vào đặc tả USE RBAC metamodel 58 vii DANH MỤC CÁC HÌNH VẼ Hình 2.1: Kiến trúc metamodeling tầng theo tiêu chuẩn OMG Hình 2.2: Dạng tóm lược siêu mơ hình UML .7 Hình 2.3: Một ví dụ biểu đồ lớp UML Hình 2.4: RBAC 10 Hình 2.5: RBAC phân cấp 12 Hình 2.6: SSD mơ hình RBAC phân cấp 13 Hình 2.7: DSD mơ hình RBAC phân cấp 14 Hình 2.8: Vịng đời quản lý quy trình nghiệp vụ 17 Hình 2.9: Metamodel biểu đồ quy trình nghiệp vụ 19 Hình 2.10: Các mơ đun Activiti 20 Hình 2.11: Khung nhìn chung cách tiếp cận USE 21 Hình 3.1: Tổng quan phương pháp 24 Hình 3.2: Cài đặt Activiti Designer gói Eclipse Kepler 27 Hình 3.3: Một RBAC metamodel điển hình 29 Hình 3.4: Tổng quan cách tiếp cận thẩm định sách RBAC USE 32 Hình 3.5: Tổng quan cách tiếp cận tạo script 35 Hình 4.1: Khởi tạo StartEvent 40 Hình 4.2: Khởi tạo UserTask "Head of Department check" 41 Hình 4.3: Cấu hình người dùng ủy quyền thực thi UserTask "Head of Department check" 42 Hình 4.4: Cấu hình luồng nghiệp vụ chuyển tới UserTask “Assistant of Academic Affairs Office review” 42 Hình 4.5: Cấu hình ScriptTask "Notification1" 43 Hình 4.6: Khởi tạo Id Name cho SequenceFlow 43 Hình 4.7: Thêm thuộc tính reviewResult vào Form UserTask "Assistant of Academic Affairs Office review" 44 Hình 4.8: Mơ hình quy trình nghiệp vụ Nghiệm thu lý Hợp đồng mời giảng 44 viii Hình 4.9: Màn hình đăng nhập Activiti Explorer 45 Hình 4.10: Tải tập tin bpmn lên Activiti Explorer 47 Hình 4.11: Form nhập thông tin Hợp đồng mời giảng Giáo vụ Khoa 48 Hình 4.12: Màn hình thực thi tác vụ "Head of Department check" 48 Hình 4.13: Biểu đồ lớp RBAC metamodel USE 52 Hình 4.14: Chính sách quy trình nghiệp vụ 59 Hình 4.15: Biểu đồ lớp UML đặc tả sách RBAC thiết kế 61 Hình 4.16: Kết kiểm tra tính quán sách RBAC 62 Hình 4.17: TestCase1 kiểm chứng tính tuân thủ sách RBAC 63 Hình 4.18: TestCase2 kiểm chứng tính tn thủ sách RBAC 64 55 self.role_->intersection(CR)->size() < CR->size() inv SSoDforRD: let Registrar:Role=Role.allInstances->any(name='Registrar'), Director:Role=Role.allInstances->any(name='Director'), CR:Set(Role)=Set{Registrar, Director} in self.role_->intersection(CR)->size() < CR->size() context User inv SSoDforHA: let HeadOfDepartment:Role=Role.allInstances->any(name='HeadOfDepartment'), AssistantOfAcademicAffairsOffice:Role=Role.allInstances>any(name='AssistantOfAcademicAffairsOffice'), CR:Set(Role)=Set{HeadOfDepartment, AssistantOfAcademicAffairsOffice} in Rule self.role_->intersection(CR)->size() < CR->size() inv SSoDforHS: let HeadOfDepartment:Role=Role.allInstances->any(name='HeadOfDepartment'), StaffOfPlanningFinanceOffice:Role=Role.allInstances>any(name='StaffOfPlanningFinanceOffice'), CR:Set(Role)=Set{HeadOfDepartment, StaffOfPlanningFinanceOffice} in self.role_->intersection(CR)->size() < CR->size() 56 inv SSoDforHD: let HeadOfDepartment:Role=Role.allInstances->any(name='HeadOfDepartment'), Director:Role=Role.allInstances->any(name='Director'), CR:Set(Role)=Set{HeadOfDepartment, Director} in self.role_->intersection(CR)->size() < CR->size() context User inv PrerequisiteRoleDS: self.role_->includes('Director') Rule implies self.role_->includes('StaffOfPlanningFinanceOffice') inv PrerequisiteRoleDA: self.role_->includes('Director') implies self.role_->includes('AssistantOfAcademicAffairsOffice') context User Rule inv PrerequisiteRoleSA: self.role_->includes('StaffOfPlanningFinanceOffice') implies self.role_->includes('AssistantOfAcademicAffairsOffice') context Role inv PrerequisitePermissionCR: Rule self.permission->includes('ContractChecking') implies self.permission->includes('ContractReading') inv PrerequisitePermissionRR: 57 self.permission->includes('ContractReview') implies self.permission->includes('ContractReading') inv PrerequisitePermissionSR: self.permission->includes('NotificationSending') implies self.permission->includes('ContractReading') inv PrerequisitePermissionVRead: self.permission->includes('ContractValidation') implies self.permission->includes('ContractReading') inv PrerequisitePermissionARead: self.permission->includes('PaymentApproval') implies self.permission->includes('ContractReading') context VisitingLecturer Rule inv MaximumNumberOfSignedContractInCurrentSemester: self.numberOfSignedContract.isDefined implies self.numberOfSignedContract includes('Thac si') implies self.visitingLecturer.experience>=5 or self.visitingLecturer.hasPedagogicalTrainingCertificate = true 4.2.7 Thiết kế sách truy cập RBAC Thơng qua việc phân tách RBAC metamodel (mục 4.2.5) bổ sung thêm đặc tả quy tắc nghiệp vụ dạng bất biến OCL (mục 4.2.6), ta thu sách truy cập RBAC cụ thể cho quy trình nghiệp vụ 58 Mở rộng RBAC metamodel cách thêm vào tập tin RBACmetamodel.use mô tả UML Bảng 4.4 đây: Bảng 4.4: Bổ sung mô tả UML vào đặc tả USE RBAC metamodel model ConcretePolicy associations … classes association Performs between … Operation[1 *] role operation class Contract < Resource Contract[1 *] role contract attributes subjectName : String end association AccessContract between department : String Access[*] role access class : String Contract[1] role contract startTime : String end endTime : String aggregation ContractVisitingLecturer between contractValue : Real end class VisitingLecturer attributes name : String degree : String experience : Integer hasPedagogicalTrainingCertificate : Boolean numberOfSignedContract : Integer end Contract[*] role contract VisitingLecturer[1] role visitingLecturer end 59 Tích hợp mơ tả UML bổ sung Bảng 4.4 mô tả quy tắc nghiệp vụ dạng bất biến OCL Bảng 4.3 ta thu đặc tả sách truy cập RBAC cụ thể cho quy trình nghiệp vụ “Nghiệm thu lý Hợp đồng mời giảng” Đặc tả sách truy cập cụ thể lưu trữ GitHub3 Chính sách quy trình nghiệp vụ chưa kích hoạt ràng buộc ủy quyền (mức sách bao gồm lớp Role, Permission, Operation Resource) thể thơng qua khung nhìn biểu đồ đối tượng UML USE Hình 4.14 Đầu vào để tạo khung nhìn tập tin Basic policy (without activated authorisation constraints).soil lưu trữ GitHub theo đường link cuối trang Hình 4.14: Chính sách quy trình nghiệp vụ https://github.com/Hieu247/Thesis 60 4.2.8 Tạo script Dựa vào cách tiếp cận trình bày mục 3.5.1, ta viết chương trình Java kết nối với sở liệu quan hệ activiti MySQL để lấy thể khác quy trình nghiệp vụ Các chương trình Java ghi tập lệnh điều khiển trạng thái khác quy trình nghiệp vụ vào tập tin soil dựa cấu trúc đặc tả sách truy cập RBAC cụ thể (mục 4.2.7) cú pháp ngơn ngữ lập trình SOIL Các tập tin soil lưu trữ script tạo 4.2.9 Kiểm tra tính quán sách RBAC Đọc tập tin soil cmd lệnh read (chạy script tập tin soil này) tự động tạo biểu đồ đối tượng UML (snapshot) USE chứa trạng thái khác quy trình nghiệp vụ (chuỗi cấu hình khác rỗng cho sách truy cập RBAC cụ thể này) Các bất biến OCL đặc tả sách truy cập RBAC cụ thể tự động kiểm tra xem snapshot có thoả mãn chúng hay không trợ giúp công cụ USE Nếu snapshot thoả mãn tất bất biến OCL đặc tả sách truy cập RBAC cụ thể này, ta đưa kết luận sách truy cập RBAC cụ thể có tính qn ngược lại Luận văn giả định bất biến OCL đặc tả sách truy cập RBAC cụ thể đầy đủ không xung đột với 4.2.10 Kiểm chứng tính tuân thủ sách RBAC Dựa vào cách tiếp cận trình bày mục 3.5.3, ta viết chương trình Java để tạo tập tin soil Các tập tin soil tạo snapshot USE, snapshot đóng vai trị ca kiểm thử để kiểm chứng tính tuân thủ sách RBAC cho thể khác quy trình nghiệp vụ “Nghiệm thu lý Hợp đồng mời giảng” 61 4.3 Kết thực nghiệm Đặc tả sách truy cập RBAC thiết kế có biểu đồ lớp UML tương ứng USE Hình 4.15 đây: Hình 4.15: Biểu đồ lớp UML đặc tả sách RBAC thiết kế Đọc tập tin SecurityPolicySpecificationConsistencyVerifyTC.soil tạo mục 4.2.9 cmd, ta thu kết Hình 4.16 đây: 62 Hình 4.16: Kết kiểm tra tính quán sách RBAC Biểu đồ đối tượng UML Hình 4.16 chứa trạng thái khác quy trình nghiệp vụ “Nghiệm thu lý Hợp đồng mời giảng” hay tồn chuỗi cấu hình khác rỗng sách truy cập RBAC thiết kế thoả mãn tất bất biến lớp OCL đặc tả sách truy cập RBAC Do đó, ta đưa kết luận sách truy cập RBAC thiết kế có tính qn 63 Đọc tập tin SecurityPolicyComplianceVerifyTC1.soil tạo mục 4.2.10 cmd, ta thu kết Hình 4.17 đây: Hình 4.17: TestCase1 kiểm chứng tính tuân thủ sách RBAC 64 Biểu đồ đối tượng UML Hình 4.17 chứa trạng thái khác quy trình nghiệp vụ “Nghiệm thu lý Hợp đồng mời giảng” không thoả mãn bất biến lớp MaximumNumberOfSignedContractInCurrentSemester (Rule 7) Giảng viên mời Hợp đồng mời giảng ký vượt Hợp đồng (vi phạm Rule 7) Do đó, ta đưa kết luận quy trình nghiệp vụ thực thi khơng hợp lệ Đọc tập tin SecurityPolicyComplianceVerifyTC2.soil tạo mục 4.2.10 cmd, ta thu kết Hình 4.18 đây: Hình 4.18: TestCase2 kiểm chứng tính tuân thủ sách RBAC 65 Biểu đồ đối tượng UML Hình 4.18 khơng thoả mãn bất biến lớp SSoDforHA (Rule 2) quy trình nghiệp vụ này, người dùng có tên Thuan có vai trò HeadOfDepartment AssistantOfAcademicAffairsOffice (vi phạm Rule 2) Do đó, ta đưa kết luận quy trình nghiệp vụ thực thi khơng hợp lệ Ba tập tin soil mục với chương trình Java tạo chúng lưu trữ GitHub4 4.4 Tổng kết chương Chương cung cấp toán thực nghiệm tốt với mục đích vận dụng cách tiếp cận hướng mơ hình luận văn đưa để giải toán đặc tả kiểm chứng sách truy cập cho quy trình nghiệp vụ Nghiệm thu lý Hợp đồng mời giảng diễn Học viện Kỹ thuật mật mã Chính sách truy cập RBAC cụ thể quy trình nghiệp vụ thiết kế dựa việc mở rộng RBAC metamodel bổ sung thêm quy tắc nghiệp vụ đặc tả dạng bất biến lớp OCL Việc kiểm tra tính quán sách truy cập RBAC thiết kế kiểm chứng tính tuân thủ sách truy cập RBAC cho thể khác quy trình nghiệp vụ Nghiệm thu lý Hợp đồng mời giảng dựa ý tưởng tạo snapshot chứa trạng thái khác quy trình nghiệp vụ Kết thực nghiệm chứng minh tính hữu ích cách tiếp cận luận văn đưa khả áp dụng vào thực tiễn https://github.com/Hieu247/Thesis 66 KẾT LUẬN Chính sách an ninh thành phần quan trọng cấu thành nên hạ tầng cốt lõi bảo vệ hệ thống thông tin ngày Việc đặc tả kiểm chứng sách an ninh đóng vai trị vơ quan trọng khơng thể thiếu trước sách an ninh triển khai để giảm thiểu thiệt hại tài tài nguyên hệ thống Trong trình thực thi quy trình nghiệp vụ, số quy tắc nghiệp vụ sách truy cập khơng kiểm tra Điều dẫn đến tính tuân thủ sách truy cập cho thể khác quy trình nghiệp vụ thực thi khơng đảm bảo Ngồi ra, số vấn đề xuất trình thiết kế sách truy cập cho quy trình nghiệp vụ, chẳng hạn thiếu quy tắc quy tắc xung đột sai sót thiết kế đặc tả không Điều dẫn đến tính quán sách truy cập không đảm bảo Theo cách tiếp cận hướng mô hình, mơ hình an ninh RBAC sử dụng phổ biến cho việc thiết kế phân tích sách truy cập [9,10,15,17] Mơ hình an ninh RBAC cần chế kiểm chứng thẩm định để đảm bảo tính quán tính đắn đặc tả sách truy cập RBAC Hiện có nhiều phương pháp cách tiếp cận để giải toán đặc tả kiểm chứng sách truy cập RBAC Tuy nhiên, chưa có phương pháp cách tiếp cận hỗ trợ đầy đủ việc đặc tả sách truy cập RBAC, kiểm tra tính quán sách truy cập RBAC kiểm chứng tính tuân thủ sách truy cập RBAC cho thể khác quy trình nghiệp vụ thực thi Sau trình học tập nghiên cứu, luận văn thu số kết sau (1) Luận văn tìm hiểu tổng quan kiến trúc metamodeling, tiêu chuẩn RBAC, tiêu chuẩn BPMN, ngôn ngữ ràng buộc đối tượng OCL, hai công cụ hỗ trợ Activiti USE (2) Luận văn đưa cách tiếp cận hướng mơ hình để giải tốn đặc tả kiểm chứng sách truy cập cho thể khác quy trình nghiệp vụ thực thi Cụ thể, cách tiếp cận luận văn đưa bao gồm ba phần chính: Đặc tả thực thi quy trình nghiệp vụ; đặc tả sách truy cập RBAC; kiểm chứng môi trường đặc tả OCL Trong đó, quy trình nghiệp vụ đặc tả thực thi khung công việc BPM theo mơ hình BPMN Chính sách truy cập RBAC đặc tả dựa metamodel, metamodel xây dựng dựa ngôn ngữ đặc tả RBAC UML OCL Thông qua việc phân tách metamodel bổ sung thêm ràng buộc uỷ quyền biểu diễn OCL tạo sách 67 truy cập RBAC cụ thể Hai tác vụ việc kiểm chứng sách truy cập RBAC bao gồm kiểm tra tính quán sách RBAC kiểm chứng tính tuân thủ sách RBAC cho thể khác quy trình nghiệp vụ BPMN thực thi Ý tưởng tạo snapshot chứa trạng thái khác quy trình nghiệp vụ BPMN thực thi, snapshot tạo cách lấy trạng thái thời sở liệu quan hệ chứa thể khác quy trình nghiệp vụ BPMN thực thi dựa cấu trúc siêu mơ hình RBAC xây dựng Cơng cụ hỗ trợ dựa tích hợp Activiti USE (3) Luận văn cung cấp tốn thực nghiệm tốt để chứng minh tính hữu ích cách tiếp cận luận văn đưa khả áp dụng vào thực tiễn Tuy nhiên, cách tiếp cận luận văn đưa số hạn chế chưa hỗ trợ kiểm tra giám sát quy trình nghiệp vụ run-time Ngồi ra, ý tưởng lấy trạng thái thời sở liệu quan hệ gặp trở ngại lớn liệu cần xử lý quy trình nghiệp vụ liệu lớn Do đó, hướng phát triển luận văn xây dựng plug-in cho Activiti hỗ trợ kiểm tra giám sát tự động quy trình nghiệp vụ run-time Thơng qua việc nghiên cứu thực luận văn, thu nhiều kiến thức bổ ích tốn đặc tả kiểm chứng sách truy cập (một phần sách an ninh) cho quy trình nghiệp vụ thực thi theo cách tiếp cận hướng mô hình Tuy nhiên, kiến thức tơi cịn nhiều hạn chế nên luận văn tránh khỏi sai sót Tơi mong nhận góp ý quý Thầy Cô để luận văn hoàn thiện 68 TÀI LIỆU THAM KHẢO American National Standards Institute Inc Role Based Access Control ANSIINCITS 359-2004, 2004 Alfonso Rodriguez, Eduardo Fernandez-Medina, and Mario Piattini A BPMN Extension for the Modeling of Security Requirements in Business Processes IEICE TRANS INF & SYST., E90-D(4), 2007 Antonio Cicchetti, Davide Di Ruscio, and Alfonso Pierantonio A Metamodel Independent Approach to Difference Representation Journal of Object Technology, 6(9):165-185, 2007 Cristina Pelayo García Bustelo B., Carlos Enrique Montenegro Marín, Edward Rolando Núđez Valdez, Jordán Pascual Espada, Juan Manuel Cueva Lovelle, and Vicente García Díaz A brief introduction to model-driven engineering Tecnura, 18(40):127-142, 2014 Database Systems Group USE A UML based Specification Environment Bremen University, 2007 Dr Zakir Laliwala, and Irshad Mansuri Activiti 5.x Business Process Management Packt Publishing Ltd, 2014 Dr Birgit Demuth OCL (Object Constraint Language) by Example Technische Universität Dresden, 2009 Jordi Cabot, and Martin Gogolla Object Constraint Language (OCL): A Definitive Guide SFM 2012 LNCS 7320, pages 58–90, 2012 Karsten Sohr, Michael Drouineaud, Gail-Joon Ahn, and Martin Gogolla Analyzing and Managing Role-Based Access Control Policies IEEE Transactions on Knowledge and Data Engineering, 20(7):924-939, 2008 10 Mirco Kuhlmann, Karsten Sohr, and Martin Gogolla Employing UML and OCL for designing and analysing role-based access control Mathematical Structures in Computer Science, 23(4):796-833, 2013 11 Mark Richters, and Martin Gogolla OCL: Syntax, Semantics, and Tools Object Modeling with the OCL LNCS 2263, pages 42-68, 2002 12 Object Management Group Inc Business Process Model and Notation (BPMN) OMG, 2011 13 Denisse Mu~nante Arzapalo, Vanea Chiprianov, Laurent Gallon, and Philippe A model-driven security requirements approach to deduce security policies based on OrBAC Springer International Publishing, 2014 14 Vincent C Hu, Rick Kuhn, and Dylan Yaga Verification and Test Methods for Access Control Policies/Models NIST.SP.800-192, 2017 69 15 Tanveer Mustafa, Karsten Sohr, Duc-Hanh Dang, and Michael Drouineaud Implementing Advanced RBAC Administration Functionality with USE Bremen University, 2008 16 Wissam Mallouli, Jean-Marie Orset, and Ana Cavalli A Formal Approach for Testing Security Rules Proceedings of the 12th ACM symposium on Access control models and technologies, pages 127-132, 2007 17 Basit Shafiq, Ammar Masood, James Joshi, and Arif Ghafoor A Role-Based Access Control Policy Verification Framework for Real-Time Systems 10th IEEE International Workshop on Object-Oriented Real-Time Dependable Systems, 2005 18 Fabian Büttner, and Martin Gogolla Modular Embedding of the Object Constraint Language into a Programming Language 14th Brazilian Symposium on Formal Methods (SBMF2011) LNCS 7021, 2011 19 Samir Ouchani, and Mourad Debbabi Specification, verification, and quantification of security in model-based systems Computing, 97(7):691-711, 2015 20 Tejeddine Mouelhi, Franck Fleurey, Benoit Baudry, and Yves Le Traon A model-based framework for security policy specification, deployment and testing International Conference on Model Driven Engineering Languages and Systems, 2008 21 Roger Berkley Master Thesis - Business Process Automation using BPMN 2.0: a focus on Enterprise Agility International Master in Service Engineering, 2014 ... HỌC CÔNG NGHỆ NGUYỄN ĐỨC HIẾU NGHIÊN CỨU VÀ VẬN DỤNG KỸ THUẬT HƯỚNG MƠ HÌNH CHO ĐẶC TẢ VÀ KIỂM CHỨNG CHÍNH SÁCH BẢO MẬT Ngành: Kỹ thuật phần mềm Chuyên ngành: Kỹ thuật phần mềm Mã số: 8480103.01... ? ?Nghiên cứu vận dụng kỹ thuật hướng mơ hình cho đặc tả kiểm chứng sách bảo mật? ?? 1.2 Đối tượng phạm vi nghiên cứu Mơ hình điều khiển truy cập dựa vai trò RBAC ngày sử dụng phổ biến dần thay mô. .. phần mềm Tôi xin cam đoan luận văn ? ?Nghiên cứu vận dụng kỹ thuật hướng mơ hình cho đặc tả kiểm chứng sách bảo mật? ?? tơi nghiên cứu, tìm hiểu xây dựng hướng dẫn giảng viên, TS Đặng Đức Hạnh Các