Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 85 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
85
Dung lượng
3,08 MB
Nội dung
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN ĐỨC HIẾU NGHIÊN CỨU VÀ VẬN DỤNG KỸ THUẬT HƯỚNG MƠ HÌNH CHO ĐẶC TẢ VÀ KIỂM CHỨNG CHÍNH SÁCH BẢO MẬT LUẬN VĂN THẠC SĨ CƠNG NGHỆ THÔNG TIN Hà Nội, 2019 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN ĐỨC HIẾU NGHIÊN CỨU VÀ VẬN DỤNG KỸ THUẬT HƯỚNG MƠ HÌNH CHO ĐẶC TẢ VÀ KIỂM CHỨNG CHÍNH SÁCH BẢO MẬT Ngành: Kỹ thuật phần mềm Chuyên ngành: Kỹ thuật phần mềm Mã số: 8480103.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC TS ĐẶNG ĐỨC HẠNH Hà Nội, 2019 i LỜI CAM ĐOAN Tôi Nguyễn Đức Hiếu, học viên K23, ngành Công nghệ thông tin, chuyên ngành Kỹ thuật phần mềm Tôi xin cam đoan luận văn “Nghiên cứu vận dụng kỹ thuật hướng mơ hình cho đ ặc tả kiểm chứng sách bảo mật” tơi nghiên cứu, tìm hiểu xây dựng hướng dẫn giảng viên, TS Đ ặng Đ ức Hạnh Các kết đạt luận văn trung thực chưa công bố tài liệu, cơng trình nghiên cứu khác Nội dung luận văn có tham khảo từ nhiều nguồn tài liệu khác đư ợc ghi rõ danh mục tài liệu tham khảo Tôi xin chịu trách nhiệm lời cam đoan Học viên Nguyễn Đức Hiếu ii LỜI CẢM ƠN Luận văn đư ợc thực Trường Đại học Công nghệ, Đ ại học Quốc gia Hà Nội hướng dẫn khoa học TS Đặng Đức Hạnh Em xin bày tỏ lòng biết ơn sâu sắc đến Thầy, người tận tình hướng dẫn, định hướng khoa học, hỗ trợ tạo ều kiện tốt đ ể em hoàn thành luận văn Em xin đư ợc cảm ơn hỗ trợ đề tài nghiên cứu khoa học cấp Đại học Quốc gia Hà Nội, mã số QG.18.61 Em xin bày tỏ lòng biết ơn tới thầy cô Khoa Công nghệ thông tin, Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội Các thầy nhi ệt tình dạy, truyền đạt kiến thức quý báu giúp đỡ em trình học tập nghiên cứu Trường Tôi xin chân thành cảm ơn nhà khoa học, tác giả sách, báo mà tơi trích d ẫn luận văn cung cấp nguồn tư liệu quý báu kiến thức liên quan q trình tơi nghiên cứu thực luận văn Cuối cùng, xin gửi lời cảm ơn đ ến gia đình, bạn bè đồng nghiệp, người hỗ trợ động viên tơi suốt q trình học tập, nghiên cứu thực luận văn Học viên Nguyễn Đức Hiếu iii MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ Chương MỞ ĐẦU 1.1 Tính cấp thiết lý chọn đề tà 1.2 Đối tượng phạm vi nghiên cứu 1.3 Mục tiêu nghiên cứu 1.4 Cấu trúc luận văn Chương KIẾN THỨC NỀN TẢNG 2.1 Lược đồ hướng mơ hình 2.1.1 K 2.1.2 Ngơn ngữ ràng buộc đối tượng OCL 2.2 Mơ hình điều khiển truy cập dựa t 2.2.1 T 2.2.2 Mơ hình RBAC 2.2.3 Mơ hình RBAC phân cấp 2.2.4 Mơ hình RBAC ràng buộc 2.3 Mơ hình quy trình nghiệp vụ 2.3.1 Quản lý quy trình nghiệp vụ 2.3.2 T 2.4 Một số công cụ hỗ trợ 2.4.1 C 2.4.2 C 2.5 Tổng kết chương Chương TÍCH HỢP MƠ HÌNH RBAC VÀ MƠ HÌNH BPMN 3.1 Giới thiệu 3.2 Tổng quan phương pháp 3.3 Đặc tả thực thi quy trình nghiệ 3.3.1 Mơ hình hố quy trình nghiệp vụ 26 iv 3.3.2 Triển khai quy trình nghiệp vụ 3.4 Đặc tả sách RBAC 3.4.1 Xây dựng RBAC metamodel 3.4.2.Biểu diễn quy tắc nghiệ 3.4.3.Thiết kế sách truy cậ 3.5 Kiểm chứng môi trường đặc 3.5.1 Tạ 3.5.2 Kiểm tra tính quán sách RBAC 3.5.3 Kiểm chứng tính tuân thủ sách RBAC 3.6 Tổng kết chương Chương CÀI ĐẶT VÀ THỰC NGHIỆM 4.1 Giới thiệu 4.2 Bài toán thực nghiệm 4.2.1 Quy trình Nghiệm thu lý Hợp đồng mời giảng 4.2.2 Môi trường thực nghiệm 4.2.3 Mơ hình hố quy trình nghiệp vụ 4.2.4 Triển khai quy trình nghiệp vụ 4.2.5 Xây dựng RBAC metamodel 4.2.6 Biểu diễn quy tắc nghiệp vụ 4.2.7 Thiết kế sách truy cập RBAC 4.2.8 Tạ 4.2.9 Kiểm tra tính quán sách RBAC 4.2.10 Kiểm chứng tính tuân thủ sách RBAC 4.3 Kết thực nghiệm 4.4 Tổng kết chương KẾT LUẬN TÀI LIỆU THAM KHẢO v DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt Quản lý quy trình nghiệp vụ Môi trường đ ặc tả dựa UML Ngôn ngữ mơ hình hóa thống Ngơn ngữ ràng buộc đối tượng Ngơn ngữ lập trình mệnh lệnh đơn giản dựa OCL Điều khiển truy cập dựa vai trò Tách biệt nhiệm vụ Tách biệt nhiệm vụ tĩnh Tách biệt nhiệm vụ động Ký hiệu mơ hình hố quy trình nghiệp vụ vi DANH MỤC CÁC BẢNG Bảng 2.1: Một số cơng cụ OCL tính chúng hỗ trợ [11] Bảng 2.2: Một ví dụ khái niệm RBAC website Tin Tức .11 Bảng 2.3: Một ví dụ ràng buộc SSD 14 Bảng 3.1: Cấu hình sở liệu quan hệ activiti 28 Bảng 3.2: Một số bất biến OCL cho RBAC metamodel 29 Bảng 3.3: Một số ví dụ biểu diễn quy tắc nghiệp vụ dạng bất biến OCL 30 Bảng 3.4: Một ví dụ hai ràng buộc xung đột 32 Bảng 4.1: Đặc tả USE RBAC metamodel 49 Bảng 4.2: Mô tả quy tắc nghiệp vụ ngôn ngữ tự nhiên 53 Bảng 4.3: Đặc tả quy tắc nghiệp vụ dạng bất biến OCL 54 Bảng 4.4: Bổ sung mô tả UML vào đặc tả USE RBAC metamodel 58 vii DANH MỤC CÁC HÌNH VẼ Hình 2.1: Kiến trúc metamodeling tầng theo tiêu chuẩn OMG Hình 2.2: Dạng tóm lược siêu mơ hình UML Hình 2.3: Một ví dụ biểu đồ lớp UML Hình 2.4: RBAC 10 Hình 2.5: RBAC phân cấp 12 Hình 2.6: SSD mơ hình RBAC phân cấp 13 Hình 2.7: DSD mơ hình RBAC phân cấp 14 Hình 2.8: Vịng đời quản lý quy trình nghiệp vụ 17 Hình 2.9: Metamodel biểu đồ quy trình nghiệp vụ 19 Hình 2.10: Các mơ đun Activiti 20 Hình 2.11: Khung nhìn chung cách tiếp cận USE 21 Hình 3.1: Tổng quan phương pháp 24 Hình 3.2: Cài đặt Activiti Designer gói Eclipse Kepler 27 Hình 3.3: Một RBAC metamodel điển hình 29 Hình 3.4: Tổng quan cách tiếp cận thẩm định sách RBAC USE .32 Hình 3.5: Tổng quan cách tiếp cận tạo script 35 Hình 4.1: Khởi tạo StartEvent 40 Hình 4.2: Khởi tạo UserTask "Head of Department check" 41 Hình 4.3: Cấu hình người dùng ủy quyền thực thi UserTask "Head of Department check" 42 Hình 4.4: Cấu hình luồng nghiệp vụ chuyển tới UserTask “Assistant of Academic Affairs Office review” 42 Hình 4.5: Cấu hình ScriptTask "Notification1" 43 Hình 4.6: Khởi tạo Id Name cho SequenceFlow 43 Hình 4.7: Thêm thuộc tính reviewResult vào Form UserTask "Assistant of Academic Affairs Office review" 44 Hình 4.8: Mơ hình quy trình nghiệp vụ Nghiệm thu lý Hợp đồng mời giảng 44 viii Hình 4.9: Màn hình đăng nhập Activiti Explorer 45 Hình 4.10: Tải tập tin bpmn lên Activiti Explorer 47 Hình 4.11: Form nhập thông tin Hợp đồng mời giảng Giáo vụ Khoa 48 Hình 4.12: Màn hình thực thi tác vụ "Head of Department check" 48 Hình 4.13: Biểu đồ lớp RBAC metamodel USE 52 Hình 4.14: Chính sách quy trình nghiệp vụ 59 Hình 4.15: Biểu đồ lớp UML đặc tả sách RBAC thiết kế 61 Hình 4.16: Kết kiểm tra tính quán sách RBAC 62 Hình 4.17: TestCase1 kiểm chứng tính tuân thủ sách RBAC 63 Hình 4.18: TestCase2 kiểm chứng tính tuân thủ sách RBAC 64 > cludes('ContractChecking') implies i self.permission- n >includes('ContractReading') inv PrerequisitePermissionRR: Rule Rule 57 tePermissionSR: self.permission>includes('NotificationSending') self.per mission >includ es('Con tractRe view') implies self.per mission >includ es('Con tractRe ading') implies self.permission>includes('ContractReading') inv PrerequisitePermissionVRead: self.permission>includes('ContractValidation') implies self.permission>includes('ContractReading') inv PrerequisitePermissionARead: i n >includes('PaymentApproval') v implies self.permission- P e r q u i inv MaximumNumberOfSignedContractInCurrentSemester: self.numberOfSignedContract.isDefined implies self.numberOfSignedContract includes('ContractReading') context VisitingLecturer r i self.permission- context Contract inv LecturerVisitingCriteria: self.visitingLecturer->includes('Thac si') implies self.visitingLecturer.experience>=5 or self.visitingLecturer.hasPedagogicalTrainingCertificate = true 4.2.7 Thiết kế sách truy cập RBAC Thơng qua việc phân tách RBAC metamodel (mục 4.2.5) bổ sung thêm đặc tả quy tắc nghiệp vụ dạng bất biến OCL (mục 4.2.6), ta thu sách truy cập RBAC cụ thể cho quy trình nghiệp vụ 58 Mở rộng RBAC metamodel cách thêm vào tập tin RBACmetamodel.use mô tả UML Bảng 4.4 đây: Bảng 4.4: Bổ sung mô tả UML vào đặc tả USE RBAC metamodel model ConcretePolicy classes … class Contract < Resource attributes subjectName : String department : String class : String startTime : String endTime : String contractValue : Real end class VisitingLecturer attributes name : String degree : String experience : Integer hasPedagogicalTrainingCertificate : Boolean numberOfSignedContract : Integer end 59 Tích hợp mô tả UML bổ sung Bảng 4.4 mô tả quy tắc nghiệp vụ dạng bất biến OCL Bảng 4.3 ta thu đặc tả sách truy cập RBAC cụ thể cho quy trình nghiệp vụ “Nghiệm thu lý Hợp đ ồng mời giảng” Đặc tả sách truy cập cụ thể lưu trữ GitHub Chính sách quy trình nghiệp vụ chưa kích hoạt ràng buộc ủy quyền (mức sách bao gồm lớp Role, Permission, Operation Resource) thể thơng qua khung nhìn biểu đồ đối tượng UML USE Hình 4.14 Đầu vào để tạo khung nhìn tập tin Basic policy (without activated authorisation constraints).soil lưu trữ GitHub theo đường link cuối trang Hình 4.14: Chính sách quy trình nghiệp vụ https://github.com/Hieu247/Thesis 60 4.2.8 Tạo script Dựa vào cách tiếp cận trình bày mục 3.5.1, ta viết chương trình Java kết nối với sở liệu quan hệ activiti MySQL để lấy thể khác quy trình nghiệp vụ Các chương trình Java ghi tập lệnh điều khiển trạng thái khác quy trình nghiệp vụ vào tập tin soil dựa cấu trúc đặc tả sách truy cập RBAC cụ thể (mục 4.2.7) cú pháp ngơn ngữ lập trình SOIL Các tập tin soil lưu trữ script tạo 4.2.9 Kiểm tra tính quán sách RBAC Đọc tập tin soil cmd lệnh read (chạy script tập tin soil này) tự động tạo biểu đồ đối tượng UML (snapshot) USE chứa trạng thái khác quy trình nghiệp vụ (chuỗi cấu hình khác rỗng cho sách truy cập RBAC cụ thể này) Các bất biến OCL đặc tả sách truy cập RBAC cụ thể tự động kiểm tra xem snapshot có thoả mãn chúng hay khơng trợ giúp cơng cụ USE Nếu snapshot thoả mãn tất bất biến OCL đặc tả sách truy cập RBAC cụ thể này, ta đưa kết luận sách truy cập RBAC cụ thể có tính qn ngược lại Luận văn giả định bất biến OCL đặc tả sách truy cập RBAC cụ thể đầy đủ khơng xung đột với 4.2.10 Kiểm chứng tính tuân thủ sách RBAC Dựa vào cách tiếp cận trình bày mục 3.5.3, ta viết chương trình Java để tạo tập tin soil Các tập tin soil tạo snapshot USE, snapshot đóng vai trị ca kiểm thử để kiểm chứng tính tuân thủ sách RBAC cho thể khác quy trình nghiệp vụ “Nghiệm thu lý Hợp đồng mời giảng” 61 4.3 Kết thực nghiệm Đặc tả sách truy cập RBAC thiết kế có biểu đồ lớp UML tương ứng USE Hình 4.15 đây: Hình 4.15: Biểu đồ lớp UML đặc tả sách RBAC thiết kế Đọc tập tin SecurityPolicySpecificationConsistencyVerifyTC.soil tạo mục 4.2.9 cmd, ta thu kết Hình 4.16 đây: 62 Hình 4.16: Kết kiểm tra tính qn sách RBAC Biểu đồ đối tượng UML Hình 4.16 chứa trạng thái khác quy trình nghiệp vụ “Nghiệm thu lý Hợp đồng mời giảng” hay tồn chuỗi cấu hình khác rỗng sách truy cập RBAC thiết kế thoả mãn tất bất biến lớp OCL đặc tả sách truy cập RBAC Do đó, ta đưa kết luận sách truy cập RBAC thiết kế có tính qn 63 Đọc tập tin SecurityPolicyComplianceVerifyTC1.soil tạo mục 4.2.10 cmd, ta thu kết Hình 4.17 đây: Hình 4.17: TestCase1 kiểm chứng tính tuân thủ sách RBAC 64 Biểu đồ đối tượng UML Hình 4.17 chứa trạng thái khác quy trình nghiệp vụ “Nghiệm thu lý Hợp đ ồng mời giảng” không thoả mãn bất biến lớp MaximumNumberOfSignedContractInCurrentSemester (Rule 7) Giảng viên mời Hợp đồng mời giảng ký vượt Hợp đồng (vi phạm Rule 7) Do đó, ta đưa kết luận quy trình nghiệp vụ thực thi không hợp lệ Đọc tập tin SecurityPolicyComplianceVerifyTC2.soil tạo mục 4.2.10 cmd, ta thu kết Hình 4.18 đây: Hình 4.18: TestCase2 kiểm chứng tính tn thủ sách RBAC 65 Biểu đ đối tượng UML Hình 4.18 khơng thoả mãn bất biến lớp SSoDforHA (Rule 2) quy trình nghiệp vụ này, người dùng có tên Thuan có vai trị HeadOfDepartment AssistantOfAcademicAffairsOffice (vi phạm Rule 2) Do đó, ta đưa kết luận quy trình nghiệp vụ thực thi không hợp lệ Ba tập tin soil mục với chương trình Java tạo chúng lưu trữ GitHub4 4.4 Tổng kết chương Chương cung cấp tốn thực nghiệm tốt với mục đích vận dụng cách tiếp cận hướng mơ hình luận văn đưa để giải toán đặc tả kiểm chứng sách truy cập cho quy trình nghiệp vụ Nghiệm thu lý Hợp đ ồng mời giảng di ễn Học viện Kỹ thuật mật mã Chính sách truy cập RBAC cụ thể quy trình nghiệp vụ thiết kế dựa việc mở rộng RBAC metamodel bổ sung thêm quy tắc nghiệp vụ đặc tả dạng bất biến lớp OCL Việc kiểm tra tính quán sách truy cập RBAC thiết kế kiểm chứng tính tuân thủ sách truy cập RBAC cho thể khác quy trình nghiệp vụ Nghiệm thu lý Hợp đồng mời giảng dựa ý tưởng tạo snapshot chứa trạng thái khác quy trình nghiệp vụ Kết thực nghiệm chứng minh tính hữu ích cách tiếp cận luận văn đ ưa khả áp dụng vào thực tiễn https://github.com/Hieu247/Thesis 66 KẾT LUẬN Chính sách an ninh thành phần quan trọng cấu thành nên hạ tầng cốt lõi bảo vệ hệ thống thông tin ngày Việc đặc tả kiểm chứng sách an ninh đóng vai trị vơ quan trọng khơng thể thiếu trước sách an ninh triển khai để giảm thiểu thiệt hại tài tài nguyên hệ thống Trong trình thực thi quy trình nghiệp vụ, số quy tắc nghiệp vụ sách truy cập khơng kiểm tra Điều dẫn đến tính tuân thủ sách truy cập cho thể khác quy trình nghiệp vụ thực thi khơng đảm bảo Ngồi ra, số vấn đề xuất trình thiết kế sách truy cập cho quy trình nghiệp vụ, chẳng hạn thiếu quy tắc quy tắc xung đột sai sót thiết kế đặc tả không Điều dẫn đến tính quán sách truy cập không đảm bảo Theo cách tiếp cận hướng mô hình, mơ hình an ninh RBAC đư ợc sử dụng phổ biến cho việc thiết kế phân tích sách truy cập [9,10,15,17] Mơ hình an ninh RBAC cần chế kiểm chứng thẩm đ ịnh đ ể đảm bảo tính quán tính đắn đặc tả sách truy cập RBAC Hiện có nhiều phương pháp cách tiếp cận để giải toán đặc tả kiểm chứng sách truy cập RBAC Tuy nhiên, chưa có phương pháp cách tiếp cận hỗ trợ đầy đ ủ việc đặc tả sách truy cập RBAC, kiểm tra tính quán sách truy cập RBAC kiểm chứng tính tuân thủ sách truy cập RBAC cho thể khác quy trình nghiệp vụ thực thi Sau trình học tập nghiên cứu, luận văn thu đư ợc số kết sau (1) Luận văn tìm hiểu tổng quan kiến trúc metamodeling, tiêu chuẩn RBAC, tiêu chuẩn BPMN, ngôn ngữ ràng buộc đối tượng OCL, hai công cụ hỗ trợ Activiti USE (2) Luận văn đưa cách tiếp cận hướng mơ hình để giải toán đ ặc tả kiểm chứng sách truy cập cho thể khác quy trình nghiệp vụ thực thi Cụ thể, cách tiếp cận luận văn đưa bao gồm ba phần chính: Đặc tả thực thi quy trình nghiệp vụ; đặc tả sách truy cập RBAC; kiểm chứng mơi trường đặc tả OCL Trong đó, quy trình nghiệp vụ đặc tả thực thi khung cơng việc BPM theo mơ hình BPMN Chính sách truy cập RBAC đặc tả dựa metamodel, metamodel xây dựng dựa ngôn ngữ đặc tả RBAC UML OCL Thông qua việc phân tách metamodel bổ sung thêm ràng buộc uỷ quyền biểu diễn OCL tạo sách 67 truy cập RBAC cụ thể Hai tác vụ việc kiểm chứng sách truy cập RBAC bao gồm kiểm tra tính quán sách RBAC kiểm chứng tính tuân thủ sách RBAC cho thể khác quy trình nghiệp vụ BPMN thực thi Ý tư ởng tạo snapshot chứa trạng thái khác quy trình nghiệp vụ BPMN thực thi, snapshot tạo cách lấy trạng thái thời sở liệu quan hệ chứa thể khác quy trình nghiệp vụ BPMN thực thi dựa cấu trúc siêu mơ hình RBAC xây dựng Cơng cụ hỗ trợ dựa tích hợp Activiti USE (3) Luận văn cung cấp toán thực nghiệm tốt để chứng minh tính hữu ích cách tiếp cận luận văn đưa khả áp dụng vào thực tiễn Tuy nhiên, cách tiếp cận luận văn đưa số hạn chế chưa hỗ trợ kiểm tra giám sát quy trình nghiệp vụ run-time Ngoài ra, ý tưởng lấy trạng thái thời sở liệu quan hệ gặp trở ngại lớn liệu cần xử lý quy trình nghiệp vụ liệu lớn Do đó, hướng phát triển luận văn xây dựng plug-in cho Activiti hỗ trợ kiểm tra giám sát tự động quy trình nghiệp vụ run-time Thông qua việc nghiên cứu thực luận văn, thu nhiều kiến thức bổ ích tốn đặc tả kiểm chứng sách truy cập (một phần sách an ninh) cho quy trình nghiệp vụ thực thi theo cách tiếp cận hướng mơ hình Tuy nhiên, kiến thức tơi cịn nhiều hạn chế nên luận văn khơng thể tránh khỏi sai sót Tơi mong nhận góp ý q Thầy Cơ để luận văn tơi hồn thiện 68 TÀI LIỆU THAM KHẢO American National Standards Institute Inc Role Based Access Control ANSI-INCITS 359-2004, 2004 Alfonso Rodriguez, Eduardo Fernandez-Medina, and Mario Piattini A BPMN Extension for the Modeling of Security Requirements in Business Processes IEICE TRANS INF & SYST., E90-D(4), 2007 Antonio Cicchetti, Davide Di Ruscio, and Alfonso Pierantonio A Metamodel Independent Approach to Difference Representation Journal of Object Technology, 6(9):165-185, 2007 Cristina Pelayo García Bustelo B., Carlos Enrique Montenegro Marín, Edward Rolando Núñez Valdez, Jordán Pascual Espada, Juan Manuel Cueva Lovelle, and Vicente García Díaz A brief introduction to model-driven engineering Tecnura, 18(40):127-142, 2014 Database Systems Group USE A UML based Specification Environment Bremen University, 2007 Dr Zakir Laliwala, and Irshad Mansuri Activiti 5.x Business Process Management Packt Publishing Ltd, 2014 Dr Birgit Demuth OCL (Object Constraint Language) by Example Technische Universität Dresden, 2009 Jordi Cabot, and Martin Gogolla Object Constraint Language (OCL): A Definitive Guide SFM 2012 LNCS 7320, pages 58–90, 2012 Karsten Sohr, Michael Drouineaud, Gail-Joon Ahn, and Martin Gogolla Analyzing and Managing Role-Based Access Control Policies IEEE Transactions on Knowledge and Data Engineering, 20(7):924-939, 2008 10 Mirco Kuhlmann, Karsten Sohr, and Martin Gogolla Employing UML and OCL for designing and analysing role-based access control Mathematical Structures in Computer Science, 23(4):796-833, 2013 11 Mark Richters, and Martin Gogolla OCL: Syntax, Semantics, and Tools Object Modeling with the OCL LNCS 2263, pages 42-68, 2002 12 Object Management Group Inc Business Process Model and Notation (BPMN) OMG, 2011 13 Denisse Mu~nante Arzapalo, Vanea Chiprianov, Laurent Gallon, and Philippe A model-driven security requirements approach to deduce security policies based on OrBAC Springer International Publishing, 2014 14 Vincent C Hu, Rick Kuhn, and Dylan Yaga Verification and Test Methods for Access Control Policies/Models NIST.SP.800-192, 2017 69 15 Tanveer Mustafa, Karsten Sohr, Duc-Hanh Dang, and Michael Drouineaud Implementing Advanced RBAC Administration Functionality with USE Bremen University, 2008 16 Wissam Mallouli, Jean-Marie Orset, and Ana Cavalli A Formal Approach for Testing Security Rules Proceedings of the 12th ACM symposium on Access control models and technologies, pages 127-132, 2007 17 Basit Shafiq, Ammar Masood, James Joshi, and Arif Ghafoor A RoleBased Access Control Policy Verification Framework for Real-Time Systems 10th IEEE International Workshop on Object-Oriented Real-Time Dependable Systems, 2005 18 Fabian Büttner, and Martin Gogolla Modular Embedding of the Object Constraint Language into a Programming Language 14th Brazilian Symposium on Formal Methods (SBMF2011) LNCS 7021, 2011 19 Samir Ouchani, and Mourad Debbabi Specification, verification, and quantification of security in model-based systems Computing, 97(7):691-711, 2015 20 Tejeddine Mouelhi, Franck Fleurey, Benoit Baudry, and Yves Le Traon A model-based framework for security policy specification, deployment and testing International Conference on Model Driven Engineering Languages and Systems, 2008 21 Roger Berkley Master Thesis - Business Process Automation using BPMN 2.0: a focus on Enterprise Agility International Master in Service Engineering, 2014 ... ĐỨC HIẾU NGHIÊN CỨU VÀ VẬN DỤNG KỸ THUẬT HƯỚNG MƠ HÌNH CHO ĐẶC TẢ VÀ KIỂM CHỨNG CHÍNH SÁCH BẢO MẬT Ngành: Kỹ thuật phần mềm Chuyên ngành: Kỹ thuật phần mềm Mã số: 8480103.01 LUẬN VĂN THẠC SĨ CÔNG... chọn đề tài ? ?Nghiên cứu vận dụng kỹ thuật hướng mô hình cho đặc tả kiểm chứng sách bảo mật” 1.2 Đối tượng phạm vi nghiên cứu Mô hình điều khiển truy cập dựa vai trị RBAC ngày sử dụng phổ biến... luận văn ? ?Nghiên cứu vận dụng kỹ thuật hướng mơ hình cho đ ặc tả kiểm chứng sách bảo mật” tơi nghiên cứu, tìm hiểu xây dựng hướng dẫn giảng viên, TS Đ ặng Đ ức Hạnh Các kết đạt luận văn trung thực