Kiểm chứng sự tuân thủ giữa đặc tả điều khiển truy cập và cài đặt

Hình 2.1 Mô hình tham chiếu của hệ thống điều khiển truy cập 25 Hình 3.1 Mối quan hệ giữa người dùng, vai trò và quyền 29 Hình 3.2 Các thành phần tĩnh trong mô hình RBAC 31 Hình 3.3 Tập

ĐẠI HỌC QUỐC GIA HÀ NỘI

ĐẠI HỌC QUỐC GIA HÀ NỘI

HÀ NỘI - 2011

MỤC LỤC

BẢNG CÁC CHỮ VIẾT TẮT 6

DANH MỤC HÌNH VẼ 7

MỞ ĐẦU 8

Chương 1 GIỚI THIỆU VỀ ĐIỀU KHIỂN TRUY CẬP 9

1.1 Giới thiệu 9

1.2 Mục đích và các thành phần cơ bản của điều khiển truy cập 10

1.3 Lịch sử của điều khiển truy cập 12

Chương 2 MÔ HÌNH ĐIỀU KHIỂN TRUY CẬP TRỪU TƯỢNG 22

2.1 Các thành phần của hệ thống điều khiển truy cập 22

2.2 Các thực thể cơ sở và nguyên tắc thiết kế an toàn 23

2.3 Mô hình điều khiển truy cập trừu tượng 26

Chương 3 CÁC CHỨC NĂNG CHÍNH CỦA RBAC 29

3.1 Phân biệt vai trò và nhóm ACL 29

3.2 RBAC cơ sở 30

Chương 4 KIỂM CHỨNG TÍNH ĐÚNG ĐẮN TRONG ĐIỀU KHIỂN TRUY CẬP 37

4.1 Bài toán kiểm chứng tính đúng đắn giữa thiết kế và cài đặt chính sách RBAC 37

4.2 Định nghĩa ngôn ngữ trừu tượng LRBAC mức đơn giản 40

4.3 Thuật toán để kiểm chứng tính đúng đắn 43

Chương 5 CHƯƠNG TRÌNH CÀI ĐẶT KIỂM CHỨNG THUẬT TOÁN 47

5.1 Cài đặt thuật toán dựa trên thành phần Eclipse 47

5.2 Kết quả chạy một số ví dụ 56

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 64

TÀI LIỆU THAM KHẢO 66

BẢNG CÁC CHỮ VIẾT TẮT

XACML eXtensible Access Control Markup Language

Hình 2.1 Mô hình tham chiếu của hệ thống điều khiển truy cập 25 Hình 3.1 Mối quan hệ giữa người dùng, vai trò và quyền 29 Hình 3.2 Các thành phần tĩnh trong mô hình RBAC 31

Hình 3.3 Tập các ánh xạ động và mối quan hệ tĩnh cần thiết để người dùng

MỞ ĐẦU

Điều khiển truy cập là yếu tố an ninh cơ bản, đóng vai trò cốt yếu trong việc đảm bảo an ninh trong các hệ thống máy tính hiện nay Bất cứ khi nào chúng ta sử dụng máy tính đều tuân theo sự điều phối của các hệ thống điều khiển truy cập

Trong quá trình hình thành và phát triển, có rất nhiều nghiên cứu về điều khiển truy cập Từ các khái niệm ban đầu như : ma trận điều khiển truy cập, danh sách điều khiển truy cập…, sau đó điều khiển truy cập đã được khái quát thành các mô hình DAC, MAC, RBAC RBAC là mô hình điều khiển truy cập tiến bộ nhất tại thời điểm hiện tại

Mô hình đã giải quyết được rất nhiều vấn đề mà các mô hình trước đó gặp phải như : hỗ trợ đặc quyền tối thiểu, dễ dàng quản lý, giảm giá thành vận hành… Rất nhiều tổ chức và các chương trình quản lý đang sử dụng mô hình RBAC như mô hình tham chiếu cho các chính sách an ninh

Quá trình thiết kế và cài đặt các luật của điều khiển truy cập theo mô hình RBAC thường được tiến hành bởi rất nhiều người trong tổ chức, cũng như diễn ra trong một khoảng thời gian dài Ngoài ra, các luật điều khiển truy cập còn thường xuyên được thay đổi và cập nhật Vì vậy, kiểm chứng sự phù hợp giữa việc mô tả các luật RBAC và việc cài đặt các luật này trong ngôn ngữ lập trình cụ thể là yêu cầu mang tính thực tiễn và có tính ứng dụng cao

Đề tài "Kiểm chứng sự tuân thủ giữa đặc tả điều khiển truy cập và cài đặt" nhằm mục đích tìm hiểu thuật toán kiểm chứng sự phù hợp giữa đặc tả các chính sách điều khiển truy cập và việc cài đặt các chính sách này trong ngôn ngữ lập trình cụ thể, được

mô tả trong công trình nghiên cứu của các tác giả Trương Ninh Thuận, Nguyễn Việt Hà

và Phạm Tuấn Hưng Sau đó tiến hành cài đặt thuật toán này trên ngôn ngữ lập trình cụ thể để kiểm chứng tính đúng đắn và phù hợp với thực tế của phương pháp trên

Nội dung chính của luận văn gồm 5 chương

Chương 1 : Giới thiệu chung về điều khiển truy cập Mục đích, các thành phần cơ bản và quá trình hình thành và phát triển của điều khiển truy cập

Chương 2 : Khái quát về mô hình điều khiển truy cập trừu tượng Các thành phần

cơ bản của một mô hình điều khiển truy cập trừu tượng, các nguyên tắc cần tuân theo khi thiết kế an toàn

Chương 3 : Mô tả cấu trúc của mô hình điều khiển truy cập RBAC Các thành phần của mô hình, các ưu điểm của mô hình RBAC so với các mô hình trước đó Hình thức hóa bằng toán học các tính chất của mô hình RBAC

Chương 1 GIỚI THIỆU VỀ ĐIỀU KHIỂN TRUY CẬP

1.1 Giới thiệu

Điều khiển truy cập (Access control) xuất hiện cùng lúc với việc con người cần bảo vệ tài sản Nhân viên gác cửa, cổng và khóa được người xưa sử dụng để giới hạn cá nhân được phép truy cập đến các đồ vật có giá trị Việc cần thiết phải điều khiển truy cập được nhắc lại khi đề cập đến vấn đề an toàn trong hệ thống máy tính

Vào năm 1879, một người giữ cửa phòng khách tên là James Ritty đã phát minh ra

“Thủ quĩ không thể bị mua chuộc” – “incorruptible cashier”, sau đó được biết đến rộng rãi với thuật ngữ đăng ký tiền mặt (cash register) Phát minh của Ritty đã làm giảm vấn đề phổ biến khi nhân viên ăn cắp tiền, phát minh chỉ cho phép nhân viên truy cập đến ngăn kéo đựng tiền khi giao dịch được bắt đầu, và phải nhập số tiền của giao dịch trong khung nhìn khách hàng Bằng cách ghi lại lượng tiền của mỗi giao dịch và theo dõi tổng số tiền, việc đăng ký sẽ giúp cho người chủ biết được lượng tiền trong ngăn kéo đúng bằng tổng

số tiền được giao dịch trong ngày

Trong thế giới công nghệ thông tin ngày nay, quyền truy cập được hiểu theo cách người dùng có thể được truy cập đến tài nguyên trong hệ thống máy tính, theo cách nói thông thường là “Ai được quyền làm gì” Điều khiển truy cập được cho là yếu tố cơ bản nhất và là kĩ thuật an ninh được sử dụng rộng rãi trong thực tế hiện nay Điều khiển truy cập có mặt trong gần như tất cả các hệ thống, giữ vai trò kiến trúc tổng quát và là thách thức trong việc quản trị tại tất cả các mức trong công ty máy tính Từ khía cạnh thương mại, điều khiển truy cập có một vai trò vô cùng quan trọng để để thúc đẩy việc tối ưu hóa chia sẻ và trao đổi tài nguyên, nhưng nó cũng đóng vai trò quan trọng để vô hiệu hóa người dùng, chịu giá thành quản trị lớn, và làm lộ hoặc làm sai lệch các thông tin có giá trị một cách không được phép [27]

Điều khiển truy cập có thể có rất nhiều dạng khác nhau Thêm vào đó, để xác định người dùng nào có quyền sử dụng tài nguyên, hệ thống điều khiển truy cập có thể có các ràng buộc các tài nguyên được sử dụng khi nào Ví dụ, một người dùng có thể có quyền truy cập mạng chỉ trong giờ làm việc Một số tổ chức có thể thiết lập các điều khiển phức tạp hơn, ví dụ như yêu cầu hai đội nhân viên thử các thao tác với độ rủi ro cao như mở cửa hầm hoặc phóng tên lửa Định nghĩa và mô hình về điều khiển truy cập được khởi đầu vào những năm đầu 1970, chuẩn hóa đầu tiên có hiệu lực vào những năm 1980, và RBAC xuất hiện vào những năm đầu 1990, và đang tiếp tục phát triển cho đến nay Trong

chương này sẽ giới thiệu về nguồn gốc, lịch sử và các khái niệm trung tâm của điều khiển truy cập, xem xét các dạng điều khiển truy cập được sử dụng ngày nay, và giới thiệu những khái niệm cơ bản của RBAC và những tiến bộ của nó đối với an ninh trong các hệ thống, ứng dụng và mạng máy tính

1.2 Mục đích và các thành phần cơ bản của điều khiển truy cập

Điều khiển truy cập là khía cạnh dễ nhận thấy nhất của toàn bộ giải pháp an ninh máy tính Mỗi khi người dùng đăng nhập vào hệ thống máy tính nhiều người dùng, họ sẽ phải buộc phải tuân theo điều khiển truy cập Để hiểu rõ hơn về mục đích của điều khiển truy cập, chúng ta sẽ xem lại các rủi ro đối với hệ thống thông tin

Các nguy cơ về an ninh thông tin có thể được nhóm thành ba nhóm lớn như sau: tính bảo mật, tính toàn vẹn và tính sẵn sàng Các nhóm này được mô tả như sau:

- Tính bảo mật được biết đến như việc lưu giữ các thông tin an toàn và mang tính cá nhân Nhóm này có thể bao gồm bất cứ điều gì, từ an ninh quốc gia đến các điều khoản mật, thông tin tài chính và các thông tin an ninh như mật khẩu

- Tính toàn vẹn được biết đến như khái niệm về bảo vệ thông tin từ việc thay đổi không đúng cách hoặc chỉnh sửa bởi những người không được phép Ví dụ, tất cả người dùng muốn đảm bảo số tài khoản ngân hàng được sử dụng bởi các phần mềm tài chính không được thay đổi bởi bất kì ai, và chỉ người dùng hoặc người quản lý an ninh được cho phép mới có thể thay đổi mật khẩu

- Tính sẵn sàng được biết đến với khái niệm thông tin luôn sẵn sàng để sử dụng khi cần đến Các vụ tấn công để làm quá tải hệ thống máy chủ web hiện nay chính là các vụ tấn công vào tính sẵn sàng của thông tin

Điều khiển truy cập là vấn đề cốt yếu để đảm bảo tính bảo mật và toàn vẹn của thông tin Điều kiện của việc bảo mật yêu cầu rằng chỉ những người được phép mới có thể đọc thông tin, và điều kiện của tính toàn vẹn là chỉ những người được cấp phép mới

có thể thay đổi thông tin theo cách được ủy quyền Điều khiển truy cập không tập trung vào việc duy trì tính sẵn sàng, nhưng nó đưa ra một qui tắc quan trọng: Một kẻ tấn công

có thể truy cập không được phép đến hệ thống cũng tương tự như làm cho hệ thống giảm

đi tính sẵn sàng

1.2.1 Người dùng (Users), chủ thể (Subjects), đối tượng (Objects), thao tác

(Operations) và quyền truy cập (Permissions)

Các thuật ngữ phù hợp đã được phát triển trong suốt ba thập kỷ để mô tả mô hình

và hệ thống điều khiển truy cập Hầu hết các mô hình điều khiển truy cập có thể được mô

tả một cách hình thức bằng cách sử dụng các khái niệm người dùng, chủ thể, đối tượng, thao tác và quyền truy cập cùng mối quan hệ giữa các thực thể này Việc hiểu những thuật ngữ này rất quan trọng vì nó được sử dụng xuyên suốt trong các tài liệu mô tả về điều khiển truy cập và an ninh máy tính

Thuật ngữ người dùng (User) được dùng để nói về những người dùng có tương tác với hệ thống máy tính Trong nhiều thiết kế, đó có thể là một người dùng đơn có nhiều tài khoản để đăng nhập, những tài khoản này có thể hoạt động đồng thời Kỹ thuật cấp phép

có thể xác định được nhiều tài khoản đối với một người dùng

Một thể hiện của hội thoại giữa người dùng và hệ thống được gọi là phiên làm việc (session)

Một tiến trình máy tính hoạt động thay mặt cho người dùng được gọi là chủ thể (subject) Trong thực tế, tất cả các hành động của người dùng trên một hệ thống máy tính đều được thực hiện thông qua một vài chương trình chạy trên máy tính Một người dùng

có thể có nhiều chủ thể trong một thao tác, mặc dù người dùng chỉ có một tài khoản đăng nhập và một phiên làm việc Ví dụ, hệ thống thư điện tử có thể thao tác trong tiến trình nền, nạp thư điện tử từ máy chủ theo chu kỳ, trong khi người dùng thao tác với trình duyệt web Mỗi chương trình của người dùng là một chủ thể, mỗi truy cập của chương trình sẽ được kiểm tra để đảm bảo chúng được cho phép cho người dùng đã gọi chương trình

Một đối tượng (object) có thể là bất kỳ tài nguyên nào có thể truy cập được trên hệ thống máy tính, bao gồm tệp tin, thiết bị ngoại vi như máy in, cơ sở dữ liệu và các thực thể nhỏ hơn như các trường riêng biệt trong bản ghi cơ sở dữ liệu Đối tượng được xem như các thực thể bị động, đó là các thực thể bao gồm hoặc nhận thông tin, mặc dù các mô hình điều khiển truy cập trước đây xem thực thể bao gồm cả các chương trình, máy in hay các thực thể hoạt động khác [1]

Một thao tác là một tiến trình hoạt động được gọi bởi một chủ thể Trong các mô hình điều khiển truy cập trước đây, các mô hình này liên quan chặt chẽ đến luồng thông tin (ví dụ như: truy cập đọc - ghi), áp dụng thuật ngữ chủ thể đến tất cả các tiến trình chủ động, nhưng trong mô hình RBAC yêu cầu phân biệt giữ chủ thể và phép toán Ví dụ, khi một người dùng máy ATM đưa thẻ và nhập đúng mã PIN, chương trình điều khiển xử lý xem người dùng như một chủ thể, nhưng chủ thể có thể tạo ra nhiều hơn một phép toán – gửi tiền, rút tiền, truy vấn số dư, hay các thao tác khác

Quyền truy cập (Permissions hay còn gọi là đặc quyền) là sự cho phép để thực hiện một số thao tác trên hệ thống Trong hầu hết các tài liệu về an ninh máy tính, thuật ngữ

quyền truy cập được xem như sự kết hợp giữa đối tượng và phép toán Một thao tác xác định sử dụng trên hai đối tượng khác nhau biểu diễn hai quyền truy cập khác nhau, tương

tự như vậy, hai thao tác khác nhau áp dụng cho cùng một đối tượng biểu diễn hai quyền truy cập khác nhau Ví dụ, thủ quỹ ngân hàng có thể có quyền ghi nợ và ghi có trên bản ghi của khách hàng, thông qua các giao dịch, trong khi đó kế toán có quyền ghi nợ và ghi

có trên sổ kế toán, điều này củng cố dữ liệu kế toán của ngân hàng

1.2.2 Đặc quyền tối thiểu

Đặc quyền tối thiểu là bài toán thực tế có từ lâu đời của việc lựa chọn cách gán các quyền cho người dùng sao cho người dùng không được có nhiều hơn các quyền cần thiết

để thực hiện công việc Nguyên tắc của đặc quyền tối thiểu sẽ ngăn ngừa vấn đề một cá nhân có khả năng thực hiện các hành động không cần thiết và tiềm ẩn nguy hại cũng như những hiệu ứng phụ khi được gán các quyền để thực hiện các công việc cần thiết Câu hỏi đặt ra là làm sao để gắn các quyền của hệ thống đến tập hợp các công việc hay nhiệm vụ phù hợp với qui tắc của người dùng hoặc chủ thể đại diện cho người dùng Đặc quyền tối thiểu là mục đích căn bản cho bất kì nơi nào cài đặt giới hạn chia sẻ mà có thể được cung cấp bởi kĩ thuật điều khiển truy cập Việc đảm bảo tuân theo các nguyên tắc trong đặc quyền tối thiểu đưa đến một thách thức lớn trong việc quản lý, điều này yêu cầu phải xác định các chức năng công việc, đặc tả tập các quyền cần thiết để thực hiện mỗi chức năng công việc, và giới hạn người dùng đến các miền của những đặc quyền này

Việc tôn trọng triệt để nguyên tắc đặc quyền tối thiểu yêu cầu mỗi cá nhân phải có các mức quyền khác nhau tại các thời điểm khác nhau, phụ thuộc vào công việc hay tác

vụ đang được thực thi Trong thực tế, ở một số môi trường và một số quyền, giới hạn nghiêm ngặt các quyền sẽ dẫn đến những bất tiện không cần thiết đối với người dùng hay nơi làm việc và cần tốn thêm gánh nặng trong việc quản lý Tuy nhiên, việc gán dư thừa đặc quyền sẽ dẫn đến nguy cơ bị lợi dụng để phá vỡ việc bảo vệ, cả tính toàn vẹn hay tính bảo mật của thông tin Vì vậy cần ngăn chặn việc gán dư thừa các quyền bất cứ khi nào có thể Có một điều cũng rất quan trọng là các quyền không nhất quán về thời gian cũng sẽ được yêu cầu đối với hiệu năng của công việc

1.3 Lịch sử của điều khiển truy cập

Mặc dù vấn đề an ninh đã được đề cập đến trong các hệ thống máy tính từ những năm 1960, tuy nhiên an ninh máy tính chỉ thực sự phát triển nhanh từ những năm đầu của thập niên 1970 Vào thời điểm này tại Mỹ, có rất nhiều hệ thống chia sẻ tài nguyên được đặt ở những nơi dùng chung trong khu vực chính phủ, quân đội và trong các tổ chức thương mại lớn Vấn đề này được phát triển trong các hệ thống của chính phủ, quân sự, và trong khu vực thương mại (ví dụ như các ứng dụng ATM yêu cầu an ninh cao)

1.3.1 Điều khiển truy cập trong máy tính có nhiều người truy cập

Số lượng máy tính nhiều người truy cập đã phát triển nhanh chóng, vì vậy vào những năm cuối thập niên 1960 chính phủ Mỹ đã thành lập ban khoa học nghiên cứu về việc bảo vệ để đánh giá những lỗ hổng trong hệ thống chính phủ Các viện nghiên cứu trong các trường đại học cũng bắt tay vào nghiên cứu vấn đề an ninh Một số nghiên cứu đầu tiên của Lampson [2] định nghĩa một cách hình thức và toán học để mô tả điều khiển truy cập Ông đã đưa ra các kí hiệu hình thức của chủ thể (subject) và đối tượng (object)

và ma trận xác định việc truy cập của chủ thể đến đối tượng Một ma trận truy cập là khái niệm đơn giản để biểu diễn truy cập, trong đó phần tử (i, j) trong ma trận xác định chủ thể i có quyền truy cập đến đối tượng j Chủ thể (tiến trình do người dùng gọi) được phép truy cập đến đối tượng ví dụ như tệp tin hay các thiết bị ngoại vi theo các quyền được chỉ

Bell và Lapadula [5] đã hình thức hóa các luật điều khiển truy cập trong quốc phòng thành mô hình toán học để có thể định nghĩa và đánh giá an ninh của hệ thống máy tính Trong mô hình này, hệ thống an ninh nhiều mức được cài đặt giống như phân loại tài liệu trong chính phủ, tuân theo các luật sau: Người dùng chỉ được phép truy cập đến thông tin ở cùng bậc hoặc bậc thấp hơn của người đó Về lý thuyết, đây là luật đơn giản

và thường được mọi người tuân theo Tuy nhiên điều này khác nhiều trong công nghệ

thông tin, cài đặt chính sách đơn giản này trong hệ thống máy tính rất phức tạp Các vòng lặp và tương tác giữa các thành phần khác nhau của hệ thống máy tính có thể dẫn đến lỗ hổng an ninh của toàn hệ thống Mô hình Bell-LaPadula là một bước tiến lớn vì nó tạo ra một mô hình hình thức của chính sách an ninh nhiều mức, giúp có thể phân tích tính chất của mô hình một cách chi tiết

Vào năm 1976, một bài báo của Harrison, Ruzzo và Ullman đã chỉ ra rằng tính an toàn không thể được xác định trong ma trận truy cập [6] Nói cách khác, không thể xác định được một cấu hình là an toàn nếu như một số yêu cầu an ninh vẫn đảm bảo an toàn Trong một hệ thống được bắt đầu bằng tập các quyền truy cập đến đối tượng, chúng ta không có khả năng hiểu hệ thống đó có gán quyền truy cập đối với các quyền không có trong ma trận ban đầu hay không Mặc dù chứng minh kết quả này chỉ dựa trên khía cạnh

kĩ thuật, nguyên nhân chỉ ra việc không thể xác định được người dùng có thể lấy được các quyền truy cập Nếu hệ thống không có khả năng điều khiển các quyền có thể được chuyển từ người này sang người khác, sẽ không có cách nào để đảm bảo người dùng không được phép sẽ không thể nhận được các quyền không thích hợp thông qua một chuỗi các chuyển giao quyền

1.3.2 Các chuẩn điều khiển truy cập

Vào năm 1983, mô hình điều khiển truy cập có một bước phát triển mới khi Ủy ban bảo vệ Mỹ (U.S Department of Defense - DoD) đưa ra các chuẩn trong điều khiển truy cập trong tài liệu "Trusted Computer System Evaluation Criteria - TCSEC" Tài liệu này định nghĩa chi tiết hai mô hình điều khiển truy cập quan trọng trong quân đội là: Điều khiển truy cập tùy ý (Discretionary access control - DAC) và điều khiển truy cập ủy thác (Mandatory access control - MAC) Giống như tên gọi, điều khiển truy cập DAC là mô hình mà người tạo hoặc người sở hữu tập tin có thể gán các quyền truy cập, chủ thể có quyền truy cập tùy ý đến thông tin có thể chuyển thông tin đó đến các chủ thể khác

Chuẩn DAC không hiệu quả trong quản lý các tài liệu phân cấp trong quốc phòng

Vì người dùng trong mô hình DAC có thể có các quyền thao tác tới các đối tượng một cách dễ dàng Các kết quả nghiên cứu của Harrison, Ruzzo và Ullman về tính không thể quyết định được đều áp dụng cho mô hình DAC Lược đồ thực sự an toàn, đảm bảo hệ thống giữ được an ninh là mô hình MAC

Mô hình MAC cung cấp một chính sách an ninh nhiều mức được hình thức hóa như mô hình Bell-LaPadula đã được giới thiệu trong phần trước Đặc điểm chính của mô hình MAC như đã được bao hàm trong chính tên của mô hình, đó chính là cần phải có sự dàn xếp tất cả các truy cập đến đối tượng trong hệ thống Khi đó hệ thống điều khiển truy cập sẽ dàn xếp tất cả các truy cập đến đối tượng bằng cách sử dụng các luật chặt chẽ,

người dùng không thể dễ dàng truy cập đến các đối tượng Do người dùng bị giới hạn các hoạt động trên đối tượng, điều khiển truy cập sẽ đảm bảo hệ thống vẫn giữ được trạng thái

an toàn khi người dùng truy cập

Hầu hết các công ty thương mại đều nhận ra mô hình DAC và MAC đều không thỏa mãn những gì họ cần Các hệ thống tuân theo TCSEC đều chỉ tập chung vào luồng thông tin và bảo mật thông tin Trong bài báo năm 1987, Clark và Wilson [7] đã đưa ra ý kiến: tính bảo mật là rất quan trọng đối với người dùng, nhưng có một khía cạnh cũng không kém phần quan trọng đó là tính toàn vẹn (ví dụ : đảm bảo thông tin chỉ được chỉnh sửa theo cách thích hợp bởi người dùng được phép)

Khi Clark và Wilson hình thức hóa các yêu cầu thực tế về an ninh thành một mô hình an ninh, kết quả lại tương đối khác so với mô hình của Bell và LaPadula Hai khái niệm trung tâm trong mô hình Clark – Wilson là giao dịch đúng đắn và tách biệt các nhiệm vụ (SoD – Separation of duty) Giao dịch đúng đắn ràng buộc người dùng chỉ được phép thay đổi dữ liệu theo cách được phép Ví dụ, thủ quĩ ngân hàng không được chỉnh sửa tùy ý một phần bản ghi khách hàng, chỉ những trường dữ liệu được sử dụng trong giao dịch xác định mới được phép thay đổi, ví dụ như lưu tiền gửi hay rút tiền gửi việc tuân theo giao dịch đúng đắn là nguyên tắc gốc cho SoD, đảm bảo tính nhất quán của dữ liệu tương tranh Ví dụ, một người quản lý chi nhánh có thể yêu cầu một khoản tiền, nhưng một người khác phải cho phép khoản tiền này, và người kiểm toán thứ ba sẽ xem lại giao dịch đã thành công để đảm bảo rằng không có sai sót xảy ra Việc cài đặt các qui tắc này trong hệ thống máy tính là một thách thức đối với cài đặt các chính sách luồng thông tin

1.3.3 Mô hình RBAC ban đầu

Giống như chính sách an ninh nhiều lớp được hình thức hóa bởi Bell và LaPadula,

mô hình RBAC cũng có lịch sử phát triển mô hình hình thức, ngoài ra các đặc trưng chính của mô hình được xuất phát từ thế giới thương mại Cũng giống như an ninh nhiều mức, RBAC có khái niệm đơn giản: Truy cập đến các đối tượng trong hệ thống máy tính dựa trên vai trò của người dùng trong tổ chức Vai trò khác nhau với các đặc quyền và trách nhiệm khác nhau đã được nhận ra trong các tổ chức thương mại, và các ứng dụng thương mại trong máy tính cũng bắt đầu cài đặt các cách thức giới hạn ràng buộc truy cập dựa trên vai trò của người dùng trong tổ chức từ những năm 1970 Ví dụ, trong ứng dụng ngân hàng trực tuyến, thủ quĩ và người giám sát thủ quĩ có thể thực thi các giao dịch khác nhau, trong khi đó người dùng tại các máy ATM cũng có thể thực hiện tập các giao dịch trên cùng một cơ sở dữ liệu

Trong những năm cuối của thập kỉ 1980 và những năm đầu của thập kỉ 1990, các nhà nghiên cứu đã bắt đầu nhận ra tác dụng của vai trò giống như là sự trừu tượng hóa của việc quản lý các đặc quyền trong hệ thống quản lý ứng dụng và cơ sở dữ liệu Một vai trò được xem như một tác vụ hoặc một vị trí trong tổ chức Một vai trò tồn tại như một cấu trúc riêng biệt so với người dùng Dobson và McDermid [8] sử dụng thuật ngữ vai trò chức năng (Functional roles) Baldwin [9] gọi những cấu trúc này là miền được bảo vệ, và phát biểu rằng chúng có thể được liên quan và tổ chức thành các thứ bậc dựa trên tập con các quyền Và ông cũng nhận ra rằng việc sử dụng vai trò sẽ hỗ trợ nguyên tắc đặc quyền tối thiểu, trong đó các vai trò được tạo ra với sự cho phép tối thiểu như đặc tả của tác vụ [10] Nash và Poland [12] cũng đưa ra nghiên cứu về ứng dụng của an ninh dựa trên vai trò trong thiết bị xác thực bằng mật mã được dùng trong ngân hàng

Các hệ thống dựa trên vai trò này tương đối đơn giản và chỉ nhằm mục đích ứng dụng mà chưa nói lên được mục đích chung của mô hình: làm sao để định nghĩa điều khiển truy cập dựa trên các vai trò, và rất ít phân tích hình thức về an ninh của những hệ thống này Những hệ thống này được phát triển bởi các tổ chức khác nhau, không có sự thống nhất chung về chuẩn hình thức

Vào năm 1992, NIST đã bắt đầu nghiên cứu các tổ chức thương mại và chính phủ [13], và phát hiện ra rằng điều khiển truy cập đã không được cài đặt trong các sản phẩm thương mại tại thời điểm này Tại rất nhiều công ty trong các ngành công nghiệp và chính phủ, người dùng không sở hữu thông tin mà họ được phép truy cập giống như trong mô hình DAC Các qui ước của mô hình MAC chỉ tập trung vào việc nâng cao tính bảo mật, nên không phù hợp với các tổ chức này Có một số qui tắc chung để hỗ trợ các chính sách

an ninh dựa trên chủ thể như: truy cập dựa trên thẩm quyền, các qui tắc để giải quyết xung đột, hay truy cập dựa trên khái niệm đặc quyền tối thiểu Để hỗ trợ các qui tắc này, cần phải giới hạn truy cập dựa trên chức năng hoặc vai trò của người dùng bên trong tổ chức

Năm 1992, Ferraiolo và Kuhn đã đưa ra giải pháp đáp ứng được các yêu cầu này [14] Hai tác giả đã định nghĩa khái niệm vai trò : là một chức năng công việc bên trong tổ chức, vai trò có những trách nhiệm và quyền hạn riêng Người dùng được gán các vai trò

sẽ có trách nhiệm và quyền hạn của vai trò đó Giải pháp này tính hợp các đặc điểm của các ứng dụng riêng thành một mô hình RBAC chung Bài báo này đã mô tả một mô hình hình thức đơn giản bao gồm các tập hợp, mối quan hệ và ánh xạ để định nghĩa vai trò và phân cấp các vai trò, hoạt động của chủ thể - vai trò, và sự dàn xếp giữa chủ thể - đối tượng, cũng như các ràng buộc trong các thành phần người dùng – vai trò và vai trò – tập các hoạt động Ba qui tắc cơ bản là:

1 Gán các vai trò: Một chủ thể có thể thực thi một giao dịch chỉ khi chủ thể đó được chọn hoặc được gán cho một vai trò Tiến trình định danh và xác thực không được xem là một giao dịch Tất cả các hoạt động khác của người dùng trong hệ thống đều được quản lý thông qua các giao dịch Vì vậy tất cả các hoạt động của người dùng đều yêu cầu một số vai trò hoạt động

2 Xác thực vai trò: Vai trò hoạt động của một chủ thể phải được xác thực đối với chủ thể đó Cùng với qui tắc 1, qui tắc này đảm bảo rằng người dùng chỉ có thể sử dụng các vai trò mà họ được phép sử dụng

3 Xác thực giao dịch: Một chủ thể có thể thực thi một giao dịch chỉ khi giao dịch

đó được xác thực đối với vai trò hoạt động của chủ thể Phối hợp với qui tắc 1 và 2, qui tắc này đảm bảo rằng người dùng chỉ có thể thực thi các giao dịch mà họ được phép

Mô tả hình thức ban đầu của RBAC

Với mỗi chủ thể, vai trò hoạt động là vai trò mà chủ thể đó đang sử dụng:

AR(s : chủ thể) = {vai trò hoạt động đối với chủ thể s}

Mỗi chủ thể có thể dược xác thực để thực hiện một hay nhiều vai trò:

RA(s : chủ thể) = {xác thực vai trò cho chủ thể s}

Mỗi vai trò có thể được xác thực để thực thi một hay nhiều giao dịch:

TA(r : vai trò) = {các giao dịch được xác thực cho vai trò r}

Chủ thể có thể thực hiện các giao dịch Khẳng định exec(s,t) nhận giá trị đúng khi và chỉ khi chủ thể s có thể thực thi giao dịch t tại thời điểm hiện tại, nếu không sẽ trả về giá trị sai

Exec (s: chủ thể, t: giao dịch) = {true nếu chủ thể s có thể thực thi giao dịch t}

1 Gán vai trò: Một chủ thể có thể thực thi một giao dịch nếu chủ thể đó được chọn hoặc được gán cho một vai trò:

2 Xác thực vai trò: Một vai trò hoạt động của chủ thể phải được xác thực đối với chủ thể đó:

3 Xác thực giao dịch: Một chủ thể có thể thực thi một giao dịch nếu giao dịch

đó được xác thức cho vai trò hoạt động của chủ thể đó:

Chú ý rằng, vì điều kiện trong luật số 3 là “nếu”, qui tắc này cho phép các giới hạn thêm có thể được đặt ra khi thực thi giao dịch Điều này có nghĩa là, qui tắc không đảm bảo một giao dịch có thể được thực thi vì nó nằm trong TA[AR(s)] Tập các giao dịch có thể thực thi bởi vai trò hoạt động của đối tượng Ví dụ, một thực tập sinh về vai trò giám sát có thể được gán vai trò của người giám sát nhưng có thể bị giới hạn việc áp dụng vai trò của họ trong tập con các giao dịch mà một vai trò giám sát bình thường có thể có

Hình 1.2 Mô tả hình thức ban đầu của RBAC theo Ferraiolo và Kuhn [14]

Mô tả hình thức về mô hình RBAC được thể hiện trong hình 1.2 Đặc điểm chính của mô hình này là tất cả các truy cập đều tuân theo các vai trò Vai trò là tập hợp các quyền, và tất cả người dùng nhận được quyền chỉ thông qua các vai trò mà người đó được gán Điều này được chỉ ra trong hình 1.3 Trong một tổ chức, vai trò thường tương đối ổn định, trong khi đó người dùng và quyền có thể thay đổi nhanh chóng Điều khiển tất cả các truy cập thông qua vai trò sẽ làm đơn giản hóa việc quản lý và duyệt lại các điều khiển truy cập

Hình 1.3 Các mối quan hệ trong RBAC Phương pháp thông thường nhất để cài đặt điều khiển truy cập trong hệ thống máy tính là thông qua danh sách điều khiển truy cập (Access control list - ACL) Tất cả các tài nguyên hệ thống, ví dụ như tệp tin, máy in, các trạm đầu cuối vó một danh sách người dùng được phép truy cập Điều này sẽ giúp nhanh chóng và dễ dàng trả lời câu hỏi

“Người dùng nào có thể truy cập đến đối tượng X?” Nhưng sẽ khó khăn hơn khi trả lời câu hỏi “ Người dùng X có thể truy cập đến những đối tượng nào?” Câu trả lời cho câu hỏi này yêu cầu phải quét tất cả các đối tượng trong hệ thống máy tính (có thể lên đến hàng triệu), sau đó báo cáo cho người dùng X Trong một hệ thống thật, điều này có thể mất hàng ngày Việc sử dụng ACL giúp dễ dàng thêm các cho phép đến một đối tượng nhưng cũng gây ra hiệu ứng phụ là rất khó để gọi được tất cả các cho phép của một người dùng cụ thể Trong nhiều hệ thống, người dùng được kết hợp thành từng nhóm, sau đó được sử dụng như một bản ghi trong ACL

Có sự tương tự về mặt bề ngoài giữa RBAC và cấu trúc nhóm Một nhóm là một tập hợp các người dùng, hơn là một tập hợp các sự cho phép, và sự cho phép có thể được kết hợp với cả người dùng và nhóm sở hữu nó, điều này được chỉ ra trong hình 1.4 Vì người dùng có thể truy cập đến đối tượng dựa trên ID người dùng hoặc ID của nhóm, vì vậy người dùng vẫn có thể duy trì sự cho phép truy cập khi nhóm sự cho phép đã được gỡ khỏi đối tượng Sự cho phép dựa trên từng ID của người dùng sẽ tạo ra một lỗ hổng trong các chính sách an ninh RBAC yêu cầu tất cả các truy cập thông qua các vai trò tạo ra một mức an ninh mạnh mẽ trong các ứng dụng thực tế bằng cách loại trừ bỏ các lỗ hổng này

Đặc điểm quan trọng thứ hai của mô hình Ferraiolo-Kuhn là các vai trò được phân cấp – Vai trò có thể kế thừa sự cho phép từ các vai trò khác (Hình 1.5) – trong khi đó nhóm thường chỉ là một tập hợp người dùng không phân cấp Trong mô hình này cũng đưa ra các ràng buộc trên các vai trò thành viên, mặc dù các loại ràng buộc riêng không được đề xuất

Hình 1.4 Mối quan hệ giữa các nhóm điều khiển truy cập

Hình 1.5 Ví dụ về các vai trò phân cấp

Năm 1996, Sandhu và đồng nghiệp [19] đã đưa ra khung của mô hình RBAC, được kí hiệu là RBAC96, phân chia RBAC thành 4 mô hình khái niệm Khung của mô hình chỉ ra mô hình cơ bản đó là RBAC0, mô hình này bao gồm các tính chất cơ bản của

hệ thống cài đặt RBAC (Hình 1.6) Hai mô hình tiến bộ hơn là RBAC1 và RBAC2 đều bao gồm RBAC0, nhưng hỗ trợ phân cấp và ràng buộc được biết đến như SoD Thành phần thứ 4 là RBAC3 bao gồm bất cả các khía cạnh của các mô hình cấp thấp Khung RBAC96 của Sandhu đã thiết lập một cấu trúc của hệ thống RBAC, cung cấp cài đặt cơ bản RBAC0 cho các sản phẩm thương mại, hoặc các đặc trưng tiến bộ hơn mà khách hàng yêu cầu

Hình 1.6 Khung RBAC96 của Sandhu [27]

Sau đó một loạt các hội thảo được hỗ trợ bởi Hiệp hội tính toán máy (ACM), cộng đồng nghiên cứu RBAC được sáng lập bởi giáo sư Sandhu và David Ferraiolo từ NIST đã phát triển Ngày nay, có rất nhiều phần mềm thương mại đang cung cấp hệ thống RBAC phức tạp hơn RBAC bắt đầu được áp dụng rộng rãi trong nhiều lĩnh vực như chăm sóc sức khỏe RBAC đã chứng minh được sự phù hợp không chỉ trong vấn đề an ninh mà còn trong các vấn đề khác như quản lý luồng công việc [22]

Năm 2000, trong hội thảo về RBAC của ACM, NIST đưa ra chuẩn chung cho RBAC Chuẩn chung này tuân theo kiến trúc của RBAC96 và tích hợp các đặc điểm được phát triển theo nghiên cứu mang tính học thuật và trong thực tế Năm 2004, chuẩn này được chấp nhận là INCITS 359-2004 bởi Hội đồng tiêu chuẩn công nghệ thông tin quốc

tế Theo chuẩn INCITS 359-2004, có một số chuẩn RBAC khác đã ra đời, trong đó có chuẩn OASIS XACML được áp dụng cho các Webservices

RBAC đã ra đời và phát triển từ các khái niệm ban đầu và sau đó được cài đặt trong các ứng dụng thương mại Sự thành công của RBAC được khẳng định bởi những tiến bộ trong các chính sách và sản phẩm Ngày nay, các ứng dụng RBAC đã được sử dụng rộng rãi trong công nghệ thông tin Các đặc điểm của RBAC đã có trong tất cả các mức của tính toán doanh nghiệp, bao gồm hệ điều hành, quản lý cơ sở dữ liệu, mạng và quản lý doanh nghiệp RBAC được kết hợp chặt chẽ và được tích hợp trong tất cả các công nghệ hạ tầng như mã hóa công khai (PKI), hệ thống quản lý luồng công việc, cấu trúc thư mục và Web service Ngoài ra, RBAC đang được đề xuất trở thành công nghệ để

mô hình chính sách trừu tượng trong hệ thống hợp tác và doanh nghiệp ảo

Chương 2

MÔ HÌNH ĐIỀU KHIỂN TRUY CẬP TRỪU TƯỢNG

Chương này giới thiệu về các thành phần của hệ thống điều khiển truy cập và mô hình điều khiển truy cập trừu tượng tham chiếu cũng như các nguyên tắc khi thiết kế mô hình điều khiển truy cập

2.1 Các thành phần của hệ thống điều khiển truy cập

Khi xem xét bất kì hệ thống điều khiển truy cập nào, chúng ta cần xem xét ba khái niệm trừu tượng của điều khiển: Chính sách điều khiển truy cập, mô hình điều khiển truy cập và kĩ thuật điều khiển truy cập

Chính sách là yêu cầu ở mức cao chỉ rõ cách quản lý truy cập, ai được phép truy cập thông tin gì Chính sách điều khiển truy cập có thể liên quan đến các ứng dụng xác định và vì vậy cần sự cân nhắc từ các nhà phát triển Các chính sách liên quan đến hành động của người dùng bên trong tổ chức hoặc thông qua giới hạn của tổ chức Ví dụ, chính sách có thể liên quan đến việc truy cập tài nguyên từ văn phòng đại diện hay từ các đối tác của công ty Những chính sách này có thể mở rộng trên nhiều loại hệ điều hành và ứng dụng Mặc dù có nhiều loại chính sách điều khiển truy cập được biết đến như : danh sách giới hạn, dựa trên mục tiêu kinh doanh, chịu đựng rủi ro, văn hóa doanh nghiệp, trách nhiệm thay đổi, tuy nhiên việc áp dụng các chính sách này khác nhau ở mỗi doanh nghiệp thậm chí ở từng đơn vị hành chính Hơn nữa, các chính sách điều khiển truy cập đều mang tính động Các chính sách này thường xuyên được thay đổi theo thời gian do ảnh hưởng của điều kiện môi trường, chính sách kinh doanh hay sự điều tiết của chính phủ Tuy nhiên các chính sách này lại hiếm khi được xác định đầy đủ, vì vậy hệ thống điều khiển truy cập cần được thiết kế một cách mềm dẻo để đáp ứng sự thay đổi liên tục của các chính sách này

Các chính sách điều khiển truy cập được thi hành thông qua kỹ thuật điều khiển truy cập Kỹ thuật này sẽ chuyển yêu cầu truy cập của người dùng vào một bảng tìm kiếm đơn giản, trả về kết quả cho phép truy cập hoặc không cho phép truy cập Kỹ thuật điều khiển truy cập có rất nhiều dạng, mỗi chính sách đều có những ưu điểm và nhược điểm riêng Mặc dù không có chuẩn chung để hỗ trợ xác định điều khiển truy cập, nhưng kỹ thuật điều khiển truy cập có thể được đặc trưng theo một số cách, dựa trên việc bao hàm các chính sách Các kỹ thuật điều khiển truy cập đều có một yêu cầu chung nhất là đảm bảo các thuộc tính an ninh được giữ giữa người dùng và tài nguyên Các thuộc tính an

ninh người dùng bao gồm các vấn đề như định danh người dùng, nhóm và các vai trò mà người dùng phụ thuộc, hoặc có thể bao gồm các nhãn an ninh được đặt cho các mức tin tưởng của người dùng Để xác định khả năng thực hiện thao tác của người dùng trên tài nguyên, kỹ thuật điều khiển truy cập so sánh thuộc tính an ninh của người dùng và các thuộc tính này của tài nguyên Bộ kiểm tra điều khiển truy cập có thể xác định dựa trên tập các qui tắc đã được định nghĩa trước đây Ví dụ, nhãn mức an ninh của người dùng phải lớn hơn hoặc bằng nhãn mức an ninh của tài nguyên mà người đó định đọc nội dung

Bộ kiểm tra điều khiển truy cập cũng có thể xác định dựa trên thuật toán so khớp thuộc tính Người dùng có thể thực hiện phép toán đọc trên tài nguyên, nếu bộ định danh của người dùng và phép toán đọc có trong danh sách điều khiển của tài nguyên Các đặc trưng khác của kỹ thuật điều khiển truy cập bao gồm xem xét lại thuộc tính và khả năng quản

lý Ví dụ, hệ thống điều khiển truy cập có thể xác định tất cả các quyền của người dùng, hay chỉ xác định người dùng có thể truy cập đến tài nguyên, hay có cả hai khả năng này

Mô hình an ninh thường được viết để mô tả tính chất an ninh của hệ thống điều khiển truy cập, điều này tốt hơn là thử đánh giá và phân tích hệ thống điều khiển truy cập

ở mức kỹ thuật điều khiển Mô hình điều khiển truy cập được viết ở mức trừu tượng để phù hợp với miền rộng lớn các môi trường máy tính và lựa chọn cài đặt, và cung cấp bộ khung ở mức khái niệm cho các suy luận về các chính sách mà nó trợ giúp Mô hình điều khiển truy cập thường được quan tâm của cả nhà phát triển phần mềm và người dùng Đây là chiếc cầu nối bắc qua khoảng cách lớn giữa chính sách và kỹ thuật điều khiển truy cập Mô hình có thể được thúc đẩy vì hỗ trợ chính sách, và kỹ thuật có thể được thiết kế phù hợp với tính chất của mô hình Người dùng nhận thấy mô hình điều khiển truy cập rõ ràng và có thể diễn tả chính xác các yêu cầu Nhà phát triển và nhà phân phối thấy mô hình điều khiển truy cập như các yêu cầu thiết kế và cài đặt

2.2 Các thực thể cơ sở và nguyên tắc thiết kế an toàn

2.2.1 Đối tượng và chủ thể

Có rất nhiều mô hình và kĩ thuật của điều khiển truy cập, hầu hều các mô hình và

kĩ thuật này đều được định nghĩa dựa trên thuật ngữ chủ thể (subject) và đối tượng (object) Một chủ thể là một thực thể hệ thống máy tính có thể bắt đầu yêu cầu thực thi một phép toán hoặc một chuỗi các phép toán trên một đối tượng Chủ thể có thể là người dùng, tiến trình hoặc một miền – là một môi trường được bảo vệ, trong đó các tiến trình thực thi Trong hầu hết các lĩnh vực thảo luận, chủ thể được xem như một tiến trình hoặc tác vụ được thực thi bời người dùng trong môi trường máy tính Đối tượng là một thực thể

hệ thống mà phép toán thực thi trên đó Trong ngữ cảnh hệ điều hành, một đối tượng có thể biểu diễn cho tệp tin, trong ngữ cảnh của hệ quản trị cơ sở dữ liệu, một đối tượng có

thể biểu diễn bảng hoặc khung nhìn Một hình ảnh được lưu trữ trong bộ nhớ của chương trình có thể được xem là một đối tượng, nhưng khi chương trình được thực thi, nó lại trở thành tiến trình, và có thể được xem như một chủ thể Truy cập đến đối tượng thường nhằm mục đích lấy các thông tin chứa trong đối tượng, hoặc sử dụng tài nguyên của đối tượng như thiết bị, hay các chức năng vật lý Tiến trình thường được mô hình hóa như chủ thể vì tiến trình là các thực thể tính toán Tuy nhiên tiến trình cần phải được bảo vệ khỏi các truy cập không được phép Dưới góc độ này, tiến trình và chủ thể được xem như các đối tượng

Đối tượng là khái niệm trừu tượng rất hữu ích cho mục đích mô hình hóa điều khiển truy cập nói chung và mô tả kĩ thuật điều khiển truy cập Tuy nhiên, từ khía cạnh doanh nghiệp, có hai loại đối tượng là: đối tượng tài nguyên và đối tượng hệ thống Đối tượng tài nguyên là những đối tượng nhằm mục đích chung cho những người dùng hệ thống và thỏa mãn sự tồn tại của hệ thống Đối tượng hệ thống là những đối tượng phục

vụ cho hệ thống và hiếm khi cần thiết cho phép toán Đối tượng tài nguyên và đối tượng

hệ thống đều cần phải được bảo vệ

Một chủ thể thường được xem là một người dùng, nhưng trong hệ thống máy tính, một chủ thể được định nghĩa chính xác là tiến trình hoặc tập hợp các tiến trình thực thi hành động của người dùng Người dùng thường được xem xét như tác nhân con người, tuy nhiên trong nhiều trường hợp, người dùng có thể biểu diễn cho các thực thể yêu cầu khác như máy móc hoặc thiết bị Mỗi một chủ thể đều có một định danh duy nhất Ví dụ, một chủ thể hoạt động như hành vi của con người có thể có sử dụng định danh của người dùng thông qua các tiến trình xác thực và nhận dạng Tuy nhiên, một người dùng có thể đăng nhập vào hệ thống như các chủ thể khác nhau phụ thuộc vào tài nguyên và ứng dụng

mà người dùng muốn truy cập Ví dụ, người dùng có thể cần gọi nhiều ứng dụng Dưới ngữ cảnh này, hai hay nhiều chủ thể có thể tương ứng với cùng một người dùng Bởi vì một chủ thể có thể gọi hoặc tạo ra các chủ thể khác, chủ thể có thể biểu diễn như một đối tượng ở những nơi các chủ thể con có thể thực thi qua các ứng dụng

Các tính chất quan trọng của chủ thể: Chủ thể có thể truy cập riêng đến bộ nhớ của

nó và không thể truy cập đến bộ nhớ của các chủ thể khác, các chủ thể có khả năng truy cập khác nhau đến các đối tượng, các chủ thể là bán tự trị Hai tính chất đầu rất quan trọng đối với việc cô lập các chủ thể, và sau đó tìm ra lỗ hổng an ninh

2.2.2 Nguyên tắc thiết kế an toàn

Salzer và Schoroeder đã đưa ra một số nguyên tắc thiết kế gắn liền với kĩ thuật bảo

vệ [18] Mặc dù các nguyên tắc này được đưa ra vào năm 1975, trước khi có sự bùng nổ

về mạng máy tính và Internet, tuy nhiên các nguyên tắc này vẫn giữ nguyên giá trị cho

đến ngày nay Chúng dựa trên các tính chất đơn giản, cô lập, hạn chế, giảm khả năng sử dụng:

1 Đặc quyền tối thiểu: Mỗi người dùng và tiến trình chỉ nên có một tập hợp tối thiểu các quyền hoặc đặc quyền cần thiết trong khi thực thi các tác vụ Việc cài đặt nguyên tắc này sẽ giúp giới hạn thiệt hại có thể có từ lỗi hệ thống hay các hành vi phá hoại Khi xem xét dưới góc độ người dùng, các đặc quyền nên được gán một cách cẩn thận và cần xem xét lại định kì để đảm bảo phù hợp nhất với những chức năng mà người dùng cần đến Khi xem xét dưới góc độ tiến trình, chỉ một tập nhỏ nhất các thuộc tính an ninh của người dùng kết hợp với các quyền được phép hoạt động trong một phiên làm việc

2 Tính kinh tế của kĩ thuật: Thiết kế nên nhỏ và đơn giản để dễ dàng đánh giá và chứng minh tính đúng đắn Đơn giản nghĩa là sẽ ít khả năng xảy ra lỗi, và khi xảy ra lỗi cũng sẽ dễ dàng tìm ra và sửa lỗi Ứng dụng của nguyên tắc này thường được cài đặt trong kĩ thuật bảo vệ ở mức thấp nhất và các mức có thể bảo vệ trong hệ thống, trong đó các mức cao hơn được điều khiển bởi các mức thấp hơn

3 An toàn khi xảy ra lỗi: Quyết định truy cập nên dựa trên kết luận chứ không nên dựa trên việc loại trừ Giá trị mặc định trong quyết định truy cập là không cho truy cập Nếu kĩ thuật bảo vệ bị lỗi, truy cập hợp pháp hay không hợp pháp đều bị cấm Qui tắc này cũng cần phải được xem xét trong sự so sánh giữa việc

sử dụng qui tắc này và tính sẵn sàng của hệ thống

4 Kiểm tra toàn bộ: Mỗi yêu cầu truy cập của chủ thể đều cần được kiểm tra quyền truy cập Nếu quyền truy cập thay đổi, các kết quả khác nhau sẽ được tính toán lại Bất kì kết quả nào được lưu vào bộ nhớ đệm trước đó đều không được phép

5 Thiết kế mở (Luật Kerckhoff): Vấn đề an toàn của hệ thống không nên bị phụ thuộc vào việc thiết kế bí mật Nếu thiết kế đúng đắn, hệ thống sẽ trở nên an toàn hơn Càng nhiều người tham gia góp ý thì khả năng thành công càng cao Nguyên tắc truyền thống này đã được ứng dụng trong các hệ thống mã hóa, ở

đó thuật toán đã được công bố và rà soát kỹ lưỡng

6 Phân tách các đặc quyền: Bất kỳ đâu có thể, một kỹ thuật bảo vệ nên phụ thuộc vào nhiều điều kiện cùng được thỏa mãn, ví dụ như kết hợp từ hai thực thể độc lập, hoặc yêu cầu cùng ký kết

7 Dùng chung ít nhất: Giảm tối đa sự chia sẻ giữa những người dùng Việc cài đặt nguyên tắc này bao gồm cô lập vật lý thông qua chia sẻ hệ thống hoặc thông qua chia sẻ lô gic nhờ máy ảo

8 Đơn giản đối với người dùng: Giao diện hệ thống bảo vệ cần dễ sử dụng đối với người dùng cuối, vì vậy họ sẽ dễ dàng chấp nhận kỹ thuật bảo vệ Mọi sự phức tạp của hệ thống bảo vệ cần được ẩn đi dưới khía cạnh người dùng

2.3 Mô hình điều khiển truy cập trừu tượng

Kể từ khi được giới thiệu trong báo cáo của Anderson [17], mô hình trừu tượng đã đóng góp vào cộng đồng an ninh chung theo hai hướng Thứ nhất, mô hình này cung cấp các tính chất cần thiết được tổng kết trong kỹ thuật điều khiển truy cập được đảm bảo tính tin cậy cao Thứ hai, mô hình này cung cấp một hướng dẫn trong việc thiết kế, phát triển, cài đặt và phân tích mức độ an ninh của các hệ thống thông tin

Trong mô hình trừu tượng trong hình 2.1, tất cả các truy cập từ chủ thể đến đối tượng đều được kiểm soát dựa trên các thông tin được lưu trong cơ sở dữ liệu điều khiển truy cập Nói cách khác, mô hình tham khảo biểu diễn các thành phần của phần cứng và phần mềm của hệ điều hành chịu trách nhiệm đảm bảo các chính sách an ninh của hệ thống Cơ sở dữ liệu điều khiển truy cập là biểu diễn của chính sách an ninh, được diễn tả theo thuật ngữ của chủ thể, các thuộc tính của đối tượng và quyền truy cập Khi chủ thể thử thực hiện thao tác (ví dụ như đọc, ghi) trên một đối tượng, mô hình điều khiển truy cập sẽ phải thực hiện: kiểm tra, so sánh các thuộc tính của chủ thể và đối tượng Thêm vào đó, mô hình sẽ phải kiểm tra và đánh giá tất cả các sửa đổi đối với cơ sở dữ liệu điều khiển truy cập

Hình 2.1 Mô hình tham chiếu

Hình 2.1 Mô hình tham chiếu: Tất cả các truy cập của chủ thể đến một đối tượng đều được điều khiển bởi mô hình tham chiếu, thông qua các chính sách an ninh được lưu trong cơ sở dữ liệu điều khiển truy cập Các sự kiện liên quan đến an ninh được lưu lại trong tệp tin nhật ký

Các yêu cầu tổng quát của mô hình tham chiếu được gói gọn trong các nguyên tắc cài đặt cơ bản như sau:

Tính đầy đủ: Mô hình phải luôn được sử dụng và không thể bỏ qua Điều này có nghĩa là một chủ thể chỉ có thể tác động được đến đối tượng bằng cách gọi mô hình điều khiển tham chiếu

Tính cô lập: Nguyên tắc này đòi hỏi mô hình phải đảm bảo không có sự tấn công nào đến được kỹ thuật điều khiển truy cập theo cách làm ảnh hưởng đến hiệu năng của việc kiểm tra truy cập Mặc dù hầu hết các hệ thống quản lý tài nguyên đều được thiết kế

để tự bảo vệ chúng khỏi các tai nạn hoặc việc tấn công, việc tuân thủ nguyên tắc này thường yêu cầu một kiến trúc an ninh bao gồm cả phần cứng và phần mềm

Có thể kiểm tra được: Có thể chỉ ra các tính chất đã được cài đặt Nguyên tắc này phù hợp với nguyên tắc trong thiết kế và cài đặt của công nghệ phần mềm Ý tưởng của nguyên tắc này là nhân an ninh của mô hình được thiết kế càng nhỏ và đơn giản càng tốt, bằng cách giảm bớt các chức năng an ninh hệ thống không thuộc phạm vi và làm giảm kích thước của nhân đến một tập rõ ràng các giao diện lõi

Những nguyên tắc này cung cấp một định hướng về kiến trúc đối với việc thiết kế

và phát triển hệ thống điều khiển truy cập Mức độ phù hợp của hệ thống đối với những nguyên tắc này sẽ tạo thành các độ đo mức độ an toàn đối với hệ thống điều khiển truy cập

Mô hình tham chiếu không áp dụng được đối với từng trường hợp chính sách điều khiển truy cập cụ thể Công việc này được thực hiện ở mức doanh nghiệp, doanh nghiệp cần chuyển các yêu cầu vào trong hệ thống máy tính Mặc dù các nhà phát triển phần mềm đều tuân theo các nguyên tắc thiết kế này, tuy nhiên các doanh nghiệp lại rất ít quan tâm đến các chính sách được hỗ trợ bởi các sản phẩm mà họ mua Quan trọng hơn, khách hàng thường tuân theo các chính sách và quyết định của điều khiển truy cập do nhà phát triển định nghĩa Vì vậy ba nguyên tắc trên chưa đầy đủ, ta cần các nguyên tắc bổ sung sau:

Tính khả chuyển: Hệ thống cần dễ dàng thay đổi chính sách truy cập theo doanh nghiệp dùng nó

Khả năng quản lý: Hệ thống cần trực quan và dễ quản lý

Khả năng mở rộng: Việc quản lý hệ thống và các chức năng cần thiết có thể mở rộng theo số lượng người dùng và số lượng tài nguyên của doanh nghiệp sử dụng

Chương 3 CÁC CHỨC NĂNG CHÍNH CỦA RBAC

RBAC là mô hình an ninh tổng quát và trừu tượng RBAC trừu tượng vì RBAC không quan tâm đến các thuộc tính không thuộc phạm vi an ninh, và RBAC mang tính tổng quát vì có rất nhiều thiết kế có thể xem như xuất phát từ mô hình này Vì vậy RBAC được xem là nền tảng thiết kế của rất nhiều hệ thống thông tin Các kỹ thuật bảo vệ và quản lý của RBAC hỗ trợ cài đặt các miền riêng rẽ theo nguyên tắc đặc quyền tối thiểu

Mục đích chính của RBAC là làm thuận tiện cho việc quản lý và xem xét lại Chức năng quản trị của RBAC có thể thay đổi từ đơn giản đến phức tạp Miền ứng dụng của RBAC rất phong phú, các chức năng khác nhau của RBAC sẽ tùy thuộc vào từng môi trường và các rủi ro trong môi trường đó, vì vậy giới hạn của RBAC vẫn còn nhiều tranh cãi Các nghiên cứu gần đây tiếp tục mở rộng RBAC theo hướng tăng các chức năng để

hỗ trợ các chính sách và tích hợp RBAC vào cơ sở hạ tầng hay các tiến trình doanh nghiệp lớn hơn Tuy nhiên có một số thành phần của RBAC được cài đặt như các thành phần chính trong nhiều kiến trúc thông tin và trong chính phủ Mô hình này gồm bốn mô hình: RBAC cơ sở, RBAC phân cấp, RBAC ràng buộc tĩnh và RBAC ràng buộc động Trong phần này sẽ giới thiệu về mô hình RBAC cơ sở, những đặc trưng chính để phân biệt RBAC với các hệ quản lý truy nhập khác

3.1 Phân biệt vai trò và nhóm ACL

ACL là kỹ thuật ở mức thấp bao gồm tên của các chủ thể được phép truy cập đến đối tượng mà nó tham chiếu, và các quyền được gán cho mỗi chủ thể Vì vậy, khi một chủ thể muốn truy cập đến đối tượng, hệ thống tìm kiếm bản ghi trong ACL Nếu có một bản ghi, và nếu thao tác được yêu cầu là một phần của bản ghi này, hệ thống sẽ cho phép truy cập Đặc quyền tạo và chỉnh sửa ACL được giới hạn cho người sở hữu đối tượng Để có thể chỉnh sửa tùy ý các chính sách, người sở hữu hoặc người điều khiển thường là người tạo ra đối tượng Để thuận lợi cho việc quản lý, nhóm thường được sử dụng như một thực thể trên ACL, đây là ký hiệu để mô tả tập hợp các chủ thể Khi xem xét sự truy cập, định danh của chủ thể sẽ được tìm kiếm trong nhóm Nếu tìm thấy, chủ thể sẽ được phép thực thi thao tác phù hợp với nhóm

Vai trò trong RBAC có thể được xem xét tương đương với nhóm trong ACL Một vai trò có thể biểu diễn tập hợp người dùng, và một người dùng có thể là thành viên của nhiều vai trò Tương tự, một đặc quyền có thể được gán cho một hay nhiều nhóm hoặc vai trò; một nhóm hoặc vai trò có thể có một hay nhiều đặc quyền Vì vậy, việc gán người dùng vào nhóm hay vai trò sẽ giúp người dùng có khả năng thực thi đặc quyền của nhóm hay vai trò đó Tại mức này, vai trò đã có sự khác biệt với nhóm trong ACL Tuy nhiên,

vai trò trong RBAC và nhóm trong ACL có sự khác nhau về mặt ngữ nghĩa trong mô hình điều khiển truy cập và có sự khác nhau trong cài đặt

Là thành phần trung tâm của mô hình RBAC, vai trò được định nghĩa như một tập hợp các tính chất Không phụ thuộc vào cách cài đặt, vai trò luôn biểu diễn tính chất cho

mô hình RBAC Một nhóm có thể có hoặc không biểu diễn các tính chất này Ví dụ, tính chất của vai trò RBAC cho phép mối quan hệ nhiều - nhiều giữa người dùng và quyền truy cập Để đáp ứng yêu cầu này, mỗi nhóm khi cài đặt phải không bỏ qua bất kỳ tính chất nào trong số các tính chất sau:

- Nhóm có thể được tạo;

- Người dùng có thể trở thành thành viên của bất kỳ nhóm nào;

- Người dùng có thể là thành viên của đồng thời nhiều nhóm;

- Một nhóm có thể ở trong thực thể của một danh sách điều khiển truy cập

Đa số các ứng dụng và hệ điều hành theo kỹ thuật ACL đều đáp ứng tính chất này

và vì vậy có thể xem như tương đương với mô hình RBAC Tuy nhiên mô hình RBAC tiến bộ hơn bởi cung cấp khả năng quản lý đối với vai trò RBAC

Do RBAC chỉ là mô hình mà không phải là kỹ thuật, vì vậy RBAC có thể được cài đặt trong nhiều loại hệ thống, bao gồm mạng máy tính và hệ quản lý doanh nghiệp, lớn hơn rất nhiều so với hệ điều hành hay ứng dụng riêng lẻ Với cách định nghĩa này, người dùng và vai trò được xem như các thực thể chung trong mô hình RBAC Trong hệ quản lý doanh nghiệp, hệ thống quản trị xem xét và quản lý người dùng và vai trò như các thực thể trừu tượng của hệ thống, có những quyền xác định đối với ứng dụng và hệ thống Ví

dụ, khi gán người dùng một vai trò tức là có thể gán người dùng một tập hợp quyền trong

hệ thống nhiều hệ điều hành và ứng dụng Dưới khía cạnh doanh nghiệp, điều này có thể tạo ra hiệu quả tốt khi quản lý người dùng thông qua các vai trò chung, hơn là thông qua các nhóm riêng của từng hệ điều hành và ứng dụng

3.2 RBAC cơ sở

Mô hình RBAC cơ sở bao gồm 5 thành phần chính: (1) người dùng, (2) vai trò, (3) quyền, trong đó quyền truy cập là sự kết hợp của (4) thao tác thực hiện trên (5) đối tượng Trung tâm của RBAC là khái niệm về vai trò, vai trò là cấu trúc ngữ nghĩa mà xung quanh nó các chính sách truy cập đã được xác định Mối quan hệ cơ bản nhất giữa mối quan hệ này là người dùng và việc gán quyền Trong RBAC, quyền được kết hợp với vai trò, người dùng trở thành thành viên của vai trò, vì vậy họ có các quyền của vai trò đó Hình 3.1 chỉ ra mối quan hệ giữa người dùng, vai trò và quyền Trong hình 3.1 mũi tên hai chiều chỉ ra mối quan hệ nhiều – nhiều Ví dụ, một người dùng có thể kết hợp với một hay nhiều vai trò, và một vai trò có thể có một hay nhiều thành viên

Việc sắp xếp này cung cấp tính linh động và chi tiết cho việc gán quyền đến vai trò

và người dùng đến vai trò Việc tăng bất kì tính linh động trong điều khiển truy cập đến tài nguyên nào cũng ảnh hưởng mạnh dến ứng dụng theo nguyên tắc đặc quyền tối thiểu

Hình 3.1 Mối quan hệ giữa người dùng, vai trò và quyền

3.2.1 Hỗ trợ quản lý

Một trong những ưu điểm lớn nhất của RBAC là khả năng hỗ trợ quản lý Việc quản lý dữ liệu kiểm soát truy cập được biết đến rộng rãi như là một quy trình nặng nề và tiêu tốn chi phí lặp đi lặp lại Dưới mô hình RBAC cơ sở, người dùng được gán đến những vai trò dựa trên thẩm quyền và trách nhiệm Việc gán người dùng có thể dễ dàng được gỡ bỏ và việc gán vai trò mới trở thành yêu cầu cần thiết cho công việc Với RBAC, người dùng không được gán quyền để thực thi thao tác theo từng các nhân; thay vào đó, quyền được gán cho vai trò của họ Vai trò có thể kết hợp với các quyền mới, trong khi các quyền cũ có thể bị xóa khi chức năng của tổ chức được thay đổi và tiến hóa Ưu điểm của khái niệm cơ bản này là làm đơn giản hóa việc hiểu và quản lý quyền: người quản trị

hệ thống có thể cập nhật vai trò mà không cần cập nhật quyền cho mỗi người dùng theo

cá nhân

Sự thuận tiện như vậy được dựa trên quá trình thực tế là việc gán quyền người dùng dựa trên khái niệm sao chép Sao chép việc gán quyền đến người dùng dựa trên việc lặp lại quyền của người thứ hai từ người thứ nhất, nếu người thứ hai có chức năng tương

tự trong tổ chức Việc sao chép này được tiến hành mà không cần biết quá chi tiết về các quyền đã được gán cho người dùng Mặc dù việc sao chép này là phương thức nhanh và hiệu quả để thiết lập quyền, nhưng có thể tạo ra những nguy hiểm tiềm tàng

Một ưu điểm khác của RBAC là người quản trị hệ thống có thể xác định yêu cầu truy cập đến tài nguyên tại cùng một mức trừu tượng trong quy trình công việc bên trong doanh nghiệp Dưới mô hình RBAC, người quản trị hệ thống tạo ra các vai trò cho nhiều

vị trí khác nhau bên trong tổ chức Ví dụ, một vai trò có thể bao gồm người thủ quĩ hoặc người kiểm soát công nợ trong ngân hàng, hoặc bác sĩ, y tá trong bệnh viện Các quyền được gán cho một vai trò dựa trên sự ràng buộc thành viên của vai trò đến tập các hoạt động cụ thể Ví dụ, bên trong bệnh viện, vai trò của bác sĩ có thể bao gồm các quyền để

chẩn đoán, kê đơn thuốc; trong phòng thí nghiệm, vai trò của nhà nghiên cứu có thể giới hạn trong việc truy cập đến các thông tin nặc danh về bệnh án của hồ sơ nghiên cứu

3.2.2 Quyền truy cập

Trong mô hình hệ thống điều khiển truy cập, người quản trị hệ thống có thể xem xét các quyền truy cập như một khái niệm trừu tượng liên quan đến việc gán tùy ý các thao tác của máy tính và đối tượng tài nguyên, trong hệ thống dựa trên giao dịch, người quản lý có thể có các qui trình và giá trị để xem xét Do tính chất này của hành động, có thể xem xét quyền để biểu diễn một đơn vị nhỏ nhất của công việc trong một môi trường máy tính Tập hợp các quyền được gán cho một vai trò tạo thành khả năng để thực hiện trách nhiệm, nhiệm vụ, chức năng, hoặc bất kỳ hoạt động nào liên quan đến công việc Việc gán người dùng vào vai trò giúp cho người dùng có khả năng thực hiện những hành động này

Việc gán các quyền đến vai trò dựa trên chính sách của tổ chức Việc gán các quyền được dựa trên các giới hạn chi tiết về phương thức và truy cập Để hiểu về sự giới hạn trong phương thức, chúng ta sẽ xem xét sự khác nhau trong việc truy cập của thủ quĩ

và kế toán trong một ngân hàng Doanh nghiệp định nghĩa vai trò của thủ quĩ có thể thực hiện thao tác lưu tiền gửi Để thực hiện công việc này, thủ quĩ cần có quyền truy cập đến các trường xác định trong tệp tin lưu Doanh nghiệp cũng có thể định nghĩa vai trò kế toán cho phép thực hiện các thao tác chỉnh sửa Những thao tác này cần phải đọc và ghi vào các trường của tệp tên lưu mà thủ quĩ thực hiện trên đó Tuy nhiên, kế toán phải không được phép khởi tạo khoản tiền mà chỉ được phép chỉnh sửa lại sau khi khoản tiền được tạo ra Tương tự như vậy, người thủ quĩ không được phép chỉnh sửa lại giao dịch đã hoàn thành Hai vai trò này được phân biệt với nhau bởi các thao tác được thực thi và giá trị ghi trên tệp tin nhật ký giao dịch

Để hiểu về tầm quan trọng của giới hạn trong truy cập, chúng ta sẽ xem xét sự cần thiết của dược sĩ khi truy cập đến hồ sơ bệnh nhân để kiểm tra khả năng tương tác giữa các loại thuốc và cần thêm ghi chú vào phần đơn thuốc trong hồ sơ bệnh nhân Mặc dù các thao tác này là cần thiết, nhưng dược sĩ sẽ không được phép đọc hoặc chỉnh sửa các phần khác trong hồ sơ

Việc gán các quyền đến vai trò cần tuân theo các qui tắc vốn có Ví dụ, một đơn vị cung cấp dịch vụ chăm sóc sức khỏe sẽ quyết định ràng bộc vai trò của bác sĩ lâm sàng chỉ được phép thông báo kết quả của các xét nghiệm chắc chắn, không được phép thông báo rộng rãi vì vi phạm quyền riêng tư của bệnh nhân Việc gán các quyền có thể liên quan đến các qui định pháp luật hoặc sự điều tiết Ví dụ, một hệ thống có thể ràng buộc y

tá khi thêm bản ghi mới vào lịch sử điều trị của bệnh nhân, mà không được phép chỉnh sửa chung vào bệnh án Một dược sĩ có thể phân phát thuốc mà không được kê đơn thuốc

Có những loại thao tác và đối tượng, điều khiển RBAC cần phải phụ thuộc vào loại

hệ thống mà chúng được cài đặt Ví dụ, trong hệ điều hành, các thao tác có thể là đọc, ghi, hay thực thi; trong hệ quản trị cơ sở dữ liệu, thao tác có thể là thêm mới, xóa, bổ sung và cập nhật bản ghi; trong hệ thống quản lý giao dịch, thao tác có thể dựa trên biểu mẫu và các tính chất của giao dịch Tập các đối tượng trong hệ thống RBAC bao gồm tất cả các đối tượng có thể truy cập bởi các thao tác RBAC Tuy nhiên, đối tượng hệ thống có thể không bao gồm trong lược đồ RBAC Ví dụ, truy cập đến đối tượng mức hệ thống như đối tượng đồng bộ hóa (ví dụ: xê-ma-pho, luồng hay thông điệp thành phần) và các đối tượng tạm (ví dụ: các tệp tin tạm hay bộ nhớ đệm) có thể không cần thiết phải được điều khiển trong tập bảo vệ của RBAC Những đối tượng này đã được hệ thống quản lý tài nguyên của hệ điều hành bảo vệ để đảm bảo các tiến trình được cô lập và ngăn chặn các tấn công an ninh Các đối tượng RBAC không cần giới hạn về việc chứa thông tin Các đối tượng RBAC có thể là mọi mặt trong tài nguyên hệ thống, như máy in, đĩa trống hay chu kì của bộ vi xử lý

Hình 3.2 minh họa cho mối quan hệ đã được nói đến - cặp quan hệ hai chiều: một

là quan hệ giữa thao tác và đối tượng, tham chiếu như quyền truy cập, và mối quan hệ giữa vai trò và quyền truy cập

Hình 3.2 Các thành phần tĩnh của mô hình RBAC

3.2.3 Vai trò hoạt động

Để nhất quán với rất nhiều loại mô hình, RBAC bao gồm các khái niệm về chủ thể

và đối tượng Một cách tổng quát, tính chất và ánh xạ được định nghĩa trong mô hình RBAC có thể được chia thành hai phần nhưng phụ thuộc vào các thành phần động và tĩnh Thành phần tĩnh là được định nghĩa trong RBAC là các mối quan hệ không liên quan đến

ký hiệu của chủ thể (trong thực tế, thường gọi là phiên làm việc) Để áp dụng chính sách

an ninh động vào hệ thống máy tính, chúng ta ký hiệu chủ thể là các thực thể động có thể truy cập được đến vai trò, thao tác và đối tượng Một chủ thể hoạt động như một tác nhân đại diện cho người dùng thực thi tất cả các yêu cầu của người dùng Mỗi chủ thể có một

định danh duy nhất, định danh này để xác định chủ thể đó được xác thực cho một vai trò

và có thể hoạt động dưới vai trò đó Người dùng có thể có nhiều chủ thể hoạt động trong cùng một thời điểm Đặc điểm này hỗ trợ nguyên tắc đặc quyền tối thiểu, khi người dùng được gán cho nhiều vai trò, người dùng đó có thể hoạt động chỉ với tập con các vai trò phù hợp với yêu cầu công việc của họ Việc giới hạn vai trò có thể hoạt động của chủ thể tức là giới hạn chủ thể đến không gian truy cập được định nghĩa bởi quyền được gán cho vai trò

Thành phần động của RBAC bao gồm vai trò hoạt động và các chủ thể truy cập Tính chất của RBAC đảm bảo rằng các vai trò động của một chủ thể là tập con của vai trò được gán cho chủ thể của người dùng và các vai trò động của một chủ thể được áp dụng trong việc kiểm tra truy cập đối tượng Bổ sung cho những tính chất này, thành phần động của mô hình RBAC cơ sở định nghĩa hai loại ánh xạ chức năng Thứ nhất là ánh xạ một chủ thể đến người dùng xác định, và thứ hai là ánh xạ mỗi chủ thể đến một tập các vai trò hoạt động Sau đây là định nghĩa hình thức của mô hình RBAC cơ sở

Định nghĩa 3.1 Mô hình RBAC cơ sở có thể được định nghĩa như sau:

- USERS, ROLES, OPS và OBS (kí hiệu cho tập người dùng, vai trò, thao tác và đối

tượng)

- , là ánh xạ nhiều – nhiều giữa người dùng và vai trò

- , ánh xạ của vai trò r đến tập người dùng Hình thức hóa:

- , ánh xạ từ chủ thể s đến tập các vai trò Hình thức:

Tính chất 3.1 Ủy quyền vai trò: Một chủ thể không bao giờ có một vai trò hoạt động

nếu không được ủy quyền vai trò đó từ người dùng

-

-

- nếu chủ thể s có thể truy cập đến đối tượng o sử dụng phép toán op, bằng 0 trong trường hợp ngược lại

Tính chất 3.2 Truy cập ủy quyền đối tượng: Một chủ thể s có thể thực hiện thao

tác op trên đối tượng o nếu có một vai trò r trong tập vai trò hoạt động của chủ thể và tồn tại một quyền truy cập được gán cho r cho phép thực thi thao tác op trên o

-

-