Ngôn ngữ đặc tả đã nêu trong Mục 3.2.1 có thể đợc sử dụng để tạo ra các
tài liệu chính sách. Do khuôn khổ luận án, không đa ra các tài liệu chính sách XML ở đây. Việc đặc tả chính sách sau đó đợc tải vào trong hệ thống kiểm soát truy nhập thông tin để thực thi. Để cung cấp thông tin cần thiết cho việc thực thi một chính sách kiểm soát truy nhập, nhân viên quản trị an toàn mạng của hệ thống sẽ nạp các định nghĩa chính sách cơ bản liên quan tới các tiêu chuẩn ngời dùng, các ràng buộc phân ly trách nhiệm, các ràng buộc thời gian. Tiếp theo, nhân viên quản trị an toàn mạng sẽ tạo ra các tài liệu chính sách liên quan tới các ngời dùng, các vai, các giấy phép, các phép gán ngời dùng vào vai và các phép gán giấy phép cho vai. Các tài liệu chính sách này tham chiếu tới thông tin bổ sung đợc các tài liệu định nghĩa chính sách cung cấp để đặc tả một tập chi tiết tỉ mỉ các ràng buộc thời gian dựa trên ngữ cảnh đối với chính sách kiểm soát truy nhập hệ thống thông tin tuyển sinh.
Bảng 3.6 – Một tập con vai và các giấy phép đ ợc gán cho vai trong hệ thống tuyển sinh
STT Định danh vai đ ợc gán cho vai Các giấy phép thời gian đ ợc gán Ràng buộc
1 vaiTBTK PhânCôngCoiThi1 Ngay7 7Ngay9- -7 PhânCôngChấmNK1 Ngay8-7Ngay12-7 2 vaiUVTK QuyTrìnhCoiThiTN
QuyTrìnhChấmNK QuyChếThi
3 vaiPTMT XửLýDữ ệuTS Li Ngay1-5Ngay20-8 ChiaNhómThiNK Ngay8-7Ngay12-7 DồnTú àiB iThi Ngay15-7Ngay20-7 ĐốiChiếuSBDPhá ch Ngay15-7Ngay20-7 4 vaiNVMT CậpNh tD Liậ ữ ệuTS Ngay1-5Ngay20-8 5 vaiTBDT Gi iMả ãĐềThi Ngay6 7Ngay7- -7 6 vaiCBDT InĐềThi Ngay6 7Ngay7- -7 QuyTrìnhBảoMậtĐT Ngay6 7Ngay7- -7 DanhSáchPhòngThi
7 vaiTRDT PhânCôngCoiThi2 Ngay8 7Ngay9- -7 8 vaiCBCT QuyTrìnhCoiThiTN
QuyChếThi
9 vaiTBCNK PhânCôngChấmNK2 Ngay9-7Ngay12-7 10 vaiGKNK QuyTrìnhChấmNK
QuyChếThi
Thông tin từ hai tập hợp tài liệu chính sách đợc đọc vào trong một mô-đun con ATRBAC của ATRBAC-XML, tạo ra sự biểu diễn cơ sở chính sách XML. Quá trình quản trị chính sách tạo ra sự biểu diễn bên trong đầy đủ của chính sách kiểm soát truy nhập thông tin tuyển sinh đợc đặc tả (xem Hình 3.4, Hình 3.5).
Giai đoạn thực thi chính sách sử dụng thông tin này để cho phép ngời dùng tạo các phiên và truy nhập các tài nguyên đợc phép. Các điều kiện ngữ cảnh đợc cung cấp bên trong các ràng buộc kích hoạt sẽ đợc đánh giá để tạo ra các quyết định kiểm soát truy nhập.
Hình 3.4 – g ời dùng với tiêu chuẩn và gán ng ời dùng vào vai N
ở đây áp dụng cơ chế an toàn ba mức để thực thi hiệu quả chính sách kiểm soát truy nhập. Trớc tiên ở mức 1, ngời dùng chỉ có thể kích hoạt một vai nếu họ , có các tiêu chuẩn thoả mãn điều kiện gán vào vai này và sự hạn chế đợc áp đặt thông qua giao diện đồ hoạ ngời dùng của ATRBAC-XML bằng cách chỉ cho phép các vai đã đợc gán xuất hiện trong danh sách đổ xuống để chọn. Tiếp theo, ở mức 2, sự kích hoạt vai chỉ thành công nếu vai đợc kích hoạt đó có khả năng tại thời điểm này. Cuối cùng, ở mức 3, khi một vai đã đợc kích hoạt, ngời dùng bị hạn chế yêu cầu truy nhập chỉ vào những tài nguyên mà vai này có giấy phép sử dụng các tài nguyên đó. Sự hạn chế cũng đợc áp đặt bằng cách cho phép lựa chọn từ danh sách đổ xuống các tài nguyên có thể truy nhập ứng với các giấy phép đợc gán cho vai đã đợc kích hoạt này (xem Hình 3.6).
Hình 3.6 – Kiểm soát truy nhập của ng ời dùng tới tài nguyên hệ thống
Trong công tác th ký xác định một quan hệ phân cấp kế thừa giấy phép hạn chế yếu vaiCTHD là cấp trên của vaiTBTK, vaiTBTK lại là cấp trên của vaiUVTK. : Do tính bắc cầu của quan hệ này, nên vaiCTHD là cấp trên của vaiUVTK. Trong thời gian Ngay1-7Ngay7-7, vaiCTHD có khả năng, còn vaiUVTK không có khả năng. Nhng vaiCTHD là cấp trên của vaiUVTK trong quan hệ phân cấp kế thừa giấy phép hạn chế yếu, nên nó có đợc các giấy phép của vaiUVTK trong thời gian này.
Trong công tác hấm thi năng khiếu xác định c một quan hệ phân cấp kế thừa kích hoạt hạn chế yếu vaiTBCNK là cấp trên của vaiTTGK, vaiTTGK là cấp trên : của vaiGKNK. Do tính bắc cầu của quan hệ này, nên vaiTBCNK là cấp trên của vaiGKNK. Ngời dùng pxthanhđợc gán vào vaiTBCNK và có thể kích hoạt đợc
vai này thì cũng có thể kích hoạt đợc vaiGKNK. Trong thời gian Ngay1-7Ngay8- 7, vaiTBCNK không có khả năng, vaiGKNK có khả năng. Nhng vaiTBCNK là cấp trên của vaiGKNK trong quan hệ phân cấp kế thừa kích hoạt hạn chế yếu, nên trong thời gian này ngời dùng pxthanhkích hoạt đợc vaiGKNK.
Minh chứng cho ràng buộc hạn chế ngời dùng kích hoạt vai Một ngời :
dùng không thể kích hoạt đồng thời đợc 2 vai trong một tập vai phân ly trách nhiệm động trong cùng một phiên của mình. Ví dụ Ngời dùng : thanhbinh trong thời gian Ngay6-7Ngay7-7 đợc gán vào vaiNVMT và vaiCBDT thuộc một tập vai phân ly trách nhiệm động, nên thanhbinh chỉ có thể kích hoạt đợc một vai trong phiên của mình. Chỉ có một ngờ dùng đợc gán vào vaiPTMT. Vai này đợc cấp i các giấy phép: Hớng dẫn dồn túi bài thi, Bảng đối chiếu SBD-Phách. Đây là những thông tin mật trong tuyển sinh, chỉ đợc phép in ra sau khi thi môn thi tự luận và sử dụng theo yêu cầu của Chủ tịch HĐTS trong khoảng thời gian Ngay15-7Ngay20-7. Vì vậy vaiPTMT cần có ràng buộc kích hoạt: chỉ có thể đợc kích hoạt khi vaiCTHD đã đợc kích hoạt.
Cơ chế an toàn ba mức đảm bảo sự thực thi chính sách kiểm soát truy nhập bằng cách hạn chế ngời dùng chỉ truy nhập vào tập tài nguyên sẵn dùng cho họ và ngăn chặn những yêu cầu truy nhập vào các tài nguyên không đợc cấp quyền.