2. Tầng Điều Phối Tài nguyên (Resource Coordination Layer): nhiệm vụ chính của
4.3.2.1 Các mô hình điều khiển truy nhập liên quan
Các chính sách điều khiển truy nhập (ĐKTN) có thể rơi vào một trong hai loại [104]: - Điều khiển truy nhập tùy ý (Discretionary Access Control (DAC)): là cách hạn chế
truy nhập đến các tài nguyên dựa trên định danh và nhu cầu cần biết của người dùng, tiến trình ứng dụng hoặc nhóm người dùng có sở hữu tài nguyên đó. Sự điều khiển được gọi là tùy ý (discretion) theo nghĩa là một chủ thể đã có một số quyền truy nhập nào đó thì có thể chuyển quyền đó (một cách trực tiếp hay gián tiếp) cho bất kỳ chủ thể khác.
- Điều khiển truy nhập bắt buộc (Mandatory Access Control (MAC)): là cách hạn chế truy nhập đến các tài nguyên dựa trên các thuộc tính hay nhãn an ninh cố định, được gán cho người dùng cũng như cho các tài nguyên. Sự điều khiển được gọi là bắt
buộc (mandatory) với nghĩa là các quyền truy nhập đã bị quy định cứng bởi hệ thống
và nó không thể bị thay đổi bởi người dùng hoặc bởi chương trình của người dùng. Các mô hình an ninh tiêu biểu được dùng để cài đặt cho các chính sách DAC và MAC ở trên sẽ được giới thiệu ngay sau đây.
- Mô hình ĐKTN dựa trên định danh (Identity Based Access Control (IBAC)): Trong
mô hình này, quyền truy nhập vào tài nguyên liên kết trực tiếp với định dạng của chủ thể (ví dụ như định danh tên người dùng). Việc truy nhập vào một tài nguyên chỉ được cho phép khi tồn tại liên kết đó. Một ví dụ về mô hình IBAC là việc sử dụng Access Control Lists (ACL - Danh sách điều khiển truy nhập). Một ACL chứa một danh sách những người dùng và các quyền truy nhập của họ như đọc, ghi, chạy, v.v. Mặc dù, có ưu điểm là tương đối dễ cài đặt, nhưng mô hình IBAC sử dụng ACL có nhược điểm: khi số lượng định danh trong ACL tăng lên sẽ dẫn đến việc duy trì và xử lý các yêu cầu truy nhập khó khăn và kém hiệu quả hơn. Điều này làm cho khả năng mở rộng (scale up) của cách tiếp cận này rất hạn chế. Hơn nữa, các quyết định truy nhập lại chỉ dựa trên định danh của người dùng, chứ không dựa trên vai trò, vị trí công việc và các đặc tính của họ. Cách tiếp cận này không phù hợp lắm trong các môi trường doanh nghiệp. Mô hình ĐKTN dựa trên vai trò (RBAC) được trình bày sau đây chính là nhằm khắc phục hạn chế của mô hình này.
- Mô hình ĐKTN dựa trên vai trò (Role Based Access Control (RBAC)): Mô hình
này quy định quyền truy nhập vào tài nguyên dựa trên chức năng nghiệp vụ hay vai trò được chủ thể đang thực hiện. Quyền truy nhập được gán cho các vai trò thích hợp, thay vì gán trực tiếp cho định danh như trong mô hình IBAC. So với mô hình IBAC, mô hình RBAC thêm một mức gián tiếp giữa các định danh và các tài nguyên cần truy nhập. Do quyền truy nhập không còn được gán trùng lặp cho từng cá nhân người dùng, mô hình RBAC có khả năng mở rộng tốt hơn và các chi phí quản trị giảm đáng kể. Hơn nữa, mô hình RBAC cũng ánh xạ đến chức năng nghiệp vụ và trách nhiệm của người dùng một cách trực quan hơn là mô hình IBAC, nên nó cũng giúp người dùng dễ hiểu và dễ sử dụng hơn.
- Mô hình ĐKTN dựa trên thuộc tính (Attribute Based Access Control (ABAC)): là
một mô hình ĐKTN tổng quát hơn mô hình RBAC, mô hình ABAC này có thể định nghĩa các quyền truy nhập dựa trên các đặc tính liên quan đến an ninh, hay còn được gọi là các thuộc tính mà có thể được phân chia thành ba nhóm:
• Các thuộc tính của chủ thể (Subject Attributes): một chủ thể là một đối
tượng thực hiện một hành động trên một tài nguyên nào đó. Mỗi chủ thể sẽ có các thuộc tính liên quan giúp xác định định danh và các đặc tính của chủ thể, ví như: mã số cá nhân, họ tên, nơi công tác, ví trị công tác, v.v. Do vậy, vai trò của một chủ thể cũng có thể được coi như một thuộc tính của chủ thể đó.
• Các thuộc tính của tài nguyên (Resource Attributes): một tài nguyên là một
thực thể (ví dụ như một web service, một cấu trúc dữ liệu, một cơ sở dữ liệu,v.v) được sử dụng bởi một chủ thể. Tương tự như một chủ thể, một tài nguyên cũng có các thuộc tính nhằm bổ sung thêm thông tin cần thiết cho quá trình kiểm tra và đưa ra các quyết định về truy nhập.
• Các thuộc tính của môi trường (Environment Attributes): giúp mô tả các
yêu cầu truy nhập xuất hiện. Các khía cạnh này có thể rất đa dạng như: vận hành, kỹ thuật, thời gian, địa điểm, v.v.
- Attribute Based Multipolicy Access Control: Mô hình ABMAC [55] là sự mở rộng
của mô hình ABAC, nhằm đề xuất một mô hình điều khiển truy nhập có khả năng mở rộng để có thể dễ dàng hỗ trợ nhiều chính sách an ninh không đồng nhất. Mô hình này định nghĩa một số thực thể điều khiển truy nhập mới như sau:
• Requestor: Thực thể sẽ gửi yêu cầu truy nhập đến các dịch vụ lưới và gọi
các thao tác (operations) trong các dịch vụ đó. Thực thể này có vai trò tương tự như thực thể Subject trong mô hình ABAC.
• Service: Dịch vụ lưới được các Requestor yêu cầu. Nó tương tự như thực
thể Resource trong ABAC.
• Resource: Thực thể cung cấp tài nguyên cho các hoạt động của các dịch vụ
lưới. Một điểm thú vị của thực thể này trong môi trường lưới là nó có lưu tồn trạng thái (statefulness); có nghĩa là mỗi Resource có một tập các dữ liệu trạng thái được biểu diễn bằng một tài liệu XML và có chu kỳ sống xác định.
• Action: Thao tác của dịch vụ lưới, có thể được gọi bởi các Requestor.
• Environment: Các thông tin ngữ cảnh liên quan đến việc gọi dịch vụ lưới.
Hiện nay, vẫn còn một hạn chế trong đa số các mô hình điều khiển truy nhập ABAC và dựa trên ABAC. Đó là chỉ coi các thuộc tính của các thực thể như các giá trị đơn (atomic value). Điều này có nghĩa là một thuộc tính không thể chứa các thuộc tính khác. Tuy nhiên, trong thực tế, nhiều khi các thuộc tính của các thực thể lại có tính phức hợp (compound), tức là chúng lại chứa các thuộc tính khác (xem ví dụ 4-1). Hạn chế này không những làm giảm khả năng biểu diễn của mô hình, mà còn gây ra nhiều khó khăn trong việc biểu diễn các quy tắc và chính sách an ninh. Mô hình được đề xuất trong luận án khắc phục hạn chế đó bằng khả năng hỗ trợ thuộc tính phức hợp.
Ví dụ 4-2: Mỗi thực thể người dùng trong môi trường lưới thường có các thuộc tính như: name, certificates, roles. Thuộc tính certificates, nếu theo chuẩn X.509, lại có các thuộc tính như: subject-name, (distinguished name), issuer-name.