Sau đó nó có thể được áp dụng trên các hệ thống phức tạp, nơi đó các quyết định cấp quyền truy xuất có thể phụ thuộc vào thuộc tính properties-attributes của người yêu cầu hơn là nhận dạ
Trang 1Trường Đại Học Khoa Học Tự Nhiên
Tp Hồ Chí Minh
GVHD: TS Đặng Trần Khánh
SV Thực Hiện: Nhóm 2, Lớp K17 HTTT KHTN
Trang 2Recent Advances in Access Control
Summary
Access Control (AC) là tiến trình điều phối mỗi yêu cầu đến tài nguyên và
dữ liệu lưu trên một hệ thống và xác định liệu yêu cầu đó được chấp nhận hoặc từ chối
Mô hình quản lý truy xuất truyền thống và ngôn ngữ giới hạn khả năng AC
và cần một phương pháp mới để nâng cao quản lý truy xuất Sau đó nó có thể được
áp dụng trên các hệ thống phức tạp, nơi đó các quyết định cấp quyền truy xuất có thể phụ thuộc vào thuộc tính (properties-attributes) của người yêu cầu hơn là nhận dạng hoặc nơi mà giới hạn truy xuất phải tuân theo có thể đến từ một sự ủy quyền khác Vấn đề này đặt ra nhiều thách thức để thiết kế và thực thi trong các hệ thống quản lý truy xuất
1 Introduction
Thông tin đóng một vai trò quan trọng trong bất kì một tổ chức nào và việc bảo vệ nó chống lại các truy xuất ko được phép (secrecy-sự bí mật) và việc chỉnh sửa không được phép, trong khi vấn đề đảm bảo là một user của hệ thống trở thành một vấn đề tối quan trọng Một dịch vụ quan trọng trong việc đảm bảo thông tin được bảo vệ là một dịch vụ quản lý truy xuất
Quản lý truy xuất là tiến trình (abstract), một hệ thống điều khiển truy xuất
có thể xét ở ba mức trừu tượng khác nhau: Chính sách quản lý truy xuất (access control policy), mô hình quản lý truy xuất (AC model) và cơ chế quản lý truy xuất (AC mechanism)
- Policy xác định các luật để thẩm tra liệu yêu cầu được chấp nhận hay từ
chối Policy sau đó được hình thức hóa thông qua mô hình bảo mật (security model) và được làm cho hiệu lực qua cơ chế quản lý truy xuất Sự tách biệt
Trang 3của Policy và mechanism có một số ưu điểm Thứ nhất, có thể bàn các yêu cầu bảo vệ độc lập với việc thực thi của nó Thứ hai, có thể so sánh sự khác biệt cùng một chính sách trên các cơ cấu khác nhau Thứ ba, thiết kế cơ cấu
có nhiều chính sách khác nhau.Với cách này, một sự thay đổi trên các chính sách điều khiển việc truy cập không đòi hỏi phải có bất cứ sự thay đổi trên
cơ cấu Sự tách biệt giữa mô hình và cơ cấu tạo khả năng chứng minh một cách hình thức các thuộc tính bảo mật trên mô hình; mà bất cứ hệ thống nào
áp dụng đúng mô hình đó thì có cùng kết quả
- Sự đa dạng và phức tạp yêu cầu bảo vệ trong các hệ thống ngày nay có thể
xác định các chính sách điểu khiển truy xuất từ rất sớm thông qua các tiến trình bình thường Hệ thống điều khiển truy suất nên đơn giản và có nghĩa
để dễ dàng quản lý các task và duy trì bảo mật nhất định Có ý nghĩa để đáp ứng nhu cầu trên các tài nguyên và dữ liệu khác nhau Hơn nữa một hệ thống điểu khiển truy xuất nên có các đặc tính sau:
o Kết hợp chính sách: Thông tin không quản lý với ủy quyền đơn, các
chính sách quản lý truy xuất thông tin có thể thay đổi nhưng đòi hỏi của owner, cũng như của collector và phần còn lại Kịch bản đa ủy quyền nên được hỗ trợ từ quan điểm quản trị cung cấp giải pháp mang tính modun, quy mô lớn, tính co giãn trong việc ghép và tích hợp chính sách
o Tính ẩn: Đa số dịch vụ không cần biết nhận diện thực sự người dùng,
sau đó nếu cần thiết sẽ ra quyết định AC phụ thuộc vào đặc tính của yêu cầu, thường được cấp thông qua chứng nhận số
o Data outsourcing: Khuynh hướng hiện nay trong IT là thể hiện thông
qua outsourcing, qua đó các công ty sẽ chuyển từ quản lý cục bộ sang quản lý outsourcing thông qua các nhà cung cấp Vấn đề thách thức là phát triển hệ thống lưa chọn cách truy xuất dữ liệu từ xa hiệu quả
Trang 42 Classical Access Control Models
2.1 Điều khiển truy cập tùy quyền (Discretionary Access Control - DAC)
Điều khiển truy cập tùy quyền (Discretionary Access Control - DAC) là một chính sách truy cập mà chủ nhân của tập tin hay người chủ của một tài nguyên nào
đó tự định đoạt Chủ nhân của nó quyết định ai là người được phép truy cập tập tin
và những đặc quyền (privilege) nào là những đặc quyền người đó được phép thi
hành
Hai quan niệm quan trọng trong truy cập tùy quyền là:
- Quyền sở hữu tập tin và dữ liệu (File and data ownership): Bất cứ một
đối tượng nào trong một hệ thống cũng phải có một chủ nhân là người sở hữu nó Chính sách truy cập các đối tượng là do chủ nhân tài nguyên quyết định, những tài nguyên bao gồm: các tập tin, các thư mục, dữ liệu, các tài
nguyên của hệ thống, và các thiết bị (devices) Theo lý thuyết, đối tượng nào
không có chủ sở hữu thì đối tượng đó bị bỏ lơ, không được bảo vệ Thông thường thì chủ nhân của tài nguyên chính là người đã kiến tạo nên tài nguyên (như tập tin hoặc thư mục)
- Các quyền và phép truy cập: Đây là những quyền khống chế những thực
thể tài nguyên mà chủ nhân của tài nguyên chỉ định cho mỗi một người hoặc mỗi một nhóm người dùng
Điều khiển truy cập tùy quyền có thể được áp dụng thông qua nhiều kỹ thuật khác nhau:
- Danh sách điều khiển truy cập (Access Control List - ACL): Định danh
các quyền và phép được chỉ định cho một chủ thể hoặc một đối tượng Danh sách điều khiển truy cập cho ta một phương pháp linh hoạt để áp dụng quy chế điều khiển truy cập tùy quyền
- Kiểm tra truy cập trên cơ sở vai trò (Role-Based Access Control): Chỉ
định tư cách nhóm hội viên dựa trên vai trò của tổ chức hoặc chức năng của
Trang 5các vai trò Chiến lược này giúp tối giảm việc điều hành quản lý quyền và phép truy cập
Những quyền và phép để truy cập các đối tượng được chỉ định cho từng nhóm, hay hơn nữa, tới từng cá nhân một Các cá nhân có thể trực thuộc một hoặc nhiều nhóm khác nhau Mỗi cá nhân có thể được bố trí để họ tự đạt được nhiều hình thức phép truy cập hay phép sửa đổi dưới dạng tích lũy (do mỗi nhóm mà họ
là hội viên ban cho và cộng lại), song cũng có thể bị loại khỏi những phép truy cập,
là những phép mà tất cả các nhóm họ là hội viên không thể cùng có được
2.2 Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC)
Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC) được
dùng để bảo vệ và ngăn chặn các quy trình máy tính, dữ liệu, và các thiết bị hệ thống khỏi sự lạm dụng Kỹ thuật này có thể mở rộng và thay thế kỹ thuật điều khiển truy cập tùy quyền đối với các phép truy cập và sử dụng hệ thống thông tin
(file-system permissions) cùng những khái niệm về người dùng và nhóm người
dùng
Đặc trưng quan trọng nhất của MAC bao hàm việc từ chối người dùng toàn quyền truy cập, sử dụng tài nguyên do chính họ kiến tạo Chính sách an ninh của
hệ thống được administrator quy dịnh hoàn toàn quyết định các quyền truy cập
được công nhận, và người dùng không thể tự hạn chế quyền truy cập vào các tài
nguyên của họ hơn những gì mà administrator chỉ định Các hệ thống dùng DAC
cho phép người dùng toàn quyền quyết định quyền truy cập được công nhận cho các tài nguyên của họ, có nghĩa là họ có thể (do tình cờ hay ác ý) ban quyền truy cập cho những người dùng bất hợp pháp
Mục đích của MAC là định nghĩa một kiến trúc mà trong đó nó đòi hỏi sự
đánh giá tất cả các nhãn hiệu có liên quan đến an ninh (security-related labels) và
đưa ra những quyết định dựa trên cơ sở ngữ cảnh của các thao tác cùng các nhãn
hiệu dữ liệu (data labels) tương đồng Kiến trúc Cơ cấu tổ chức tổng quát đối với
Trang 6với MAC, trở thành kỹ thuật khả thi cho những hệ thống an ninh đa tầng cấp
(multilevel security systems)
Một kiến trúc như vậy sẽ ngăn chặn một người dùng đã được xác thực, hoặc
một quy trình tại một phân hạng cụ thể nào đấy (classification), hoặc có một mức
độ tin cẩn (trust-level) nhất định nào đấy, không cho họ truy cập thông tin, truy cập các quy trình (processes) hoặc truy cập các thiết bị (devices) ở một tầng cấp khác
Kết quả của việc này là nó cung cấp cho chúng ta một cơ chế chính sách ngăn chặn đối với người dùng và các quy trình, hoặc biết, hoặc chưa biết
Ví dụ: một chương trình ứng dụng lạ, chưa từng thấy (unknown program) có thể bao hàm một chương trình ứng dụng không đáng tin (untrusted application) và
hệ thống phải theo dõi, giám sát và/hay khống chế những truy cập của nó vào các thiết bị và các tập tin
Những yêu cầu của một kiến trúc trong đó đòi hỏi sự phân tách giữa dữ liệu
và các thao tác bên trong một máy tính bao gồm:
- Không tránh né hoặc qua mắt được (non-bypassable)
- Có thể đánh giá và so sánh được (evaluatable) để xác định tính hữu dụng
và tính có hiệu lực của một chính sách
- Luôn luôn được khởi động do yêu cầu - không tự động (always-invoked)
để ngăn ngừa việc tránh né những kiểm duyệt của hệ thống
- Chống can thiệp bên ngoài - như xáo trộn, giả mạo, quấy nhiễu v.v
(tamper-proof)
MAC là một chính sách truy cập không do cá nhân sở hữu tài nguyên quyết định, song do hệ thống quyết định MAC được dùng trong các hệ thống đa tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm, như các thông tin được phân hạng về mức độ bảo mật trong chính phủ và trong quân đội Một hệ thống đa tầng cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng
Trang 7- Nhãn hiệu nhạy cảm (sensitivity label): Trong hệ thống dùng điều khiển
truy cập bắt buộc, hệ thống chỉ định một nhãn hiệu cho mỗi chủ thể và mỗi đối tượng trong hệ thống Nhãn hiệu nhạy cảm của một chủ thể xác định mức tin cẩn cần thiết để truy cập Để truy cập một đối tượng nào đấy, chủ
thể phải có một mức độ nhạy cảm (tin cẩn) tương đồng hoặc cao hơn mức
độ của đối tượng yêu cầu
khác và xuất ngoại thông tin sang các hệ thống khác (bao gồm cả các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng điều khiển truy cập bắt buộc Nhiệm vụ của việc xuất nhập thông tin là phải đảm bảo các nhãn hiệu nhạy cảm được giữ gìn một cách đúng đắn và nhiệm vụ này phải được thực hiện sao cho các thông tin nhạy cảm phải được bảo vệ trong bất
kỳ tình huống nào
Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc điều khiển truy cập bắt buộc:
- Điều khiển truy cập dùng chính sách (rule-based access control): Việc
điều khiển thuộc loại này định nghĩa thêm những điều kiện cụ thể đối với việc truy cập một đối tượng mà chúng ta yêu cầu Tất cả các hệ thống dùng điều khiển truy cập bắt buộc đều thực hiện một hình thức đã được đơn giản hóa của thể loại điều khiển truy cập dùng chính sách, nhằm quyết định cho phép hay từ chối yêu cầu truy cập, bằng cách đối chiếu:
o Nhãn hiệu nhạy cảm của đối tượng
o Nhãn hiệu nhạy cảm của chủ thể
- Điều khiển truy cập dùng bố trí mắt lưới (lattice-based access control):
Đây là phương pháp người ta sử dụng đối với những quyết định phức tạp trong điều khiển truy cập với sự liên quan bội số các đối tượng và/hay các chủ thể Mô hình mắt lưới là một cấu trúc toán học, nó định nghĩa các giá trị
cận dưới lớn nhất (greatest lower-bound) và cận trên nhỏ nhất (least
Trang 8upper-bound) cho những cặp nguyên tố, chẳng hạn như cặp nguyên tố bao gồm
một chủ thể và một đối tượng
2.3 Điều khiển truy cập trên cơ sở vai trò (Role-Based Access Control - RBAC)
Trong an ninh đối với các hệ thống máy tính, điều khiển truy cập trên cơ sở
vai trò (Role-Based Access Control - RBAC) là một trong số các phương pháp điều
khiển và đảm bảo quyền sử dụng cho người dùng Đây là một phương pháp có thể
thay thế Discretionary Access Control (DAC) và Mandatory Access Control
(MAC)
Điều khiển truy cập trên cơ sở vai trò (RBAC) khác với hình thức MAC và DAC truyền thống MAC và DAC trước đây là hai mô hình duy nhất được phổ biến trong điều khiển truy cập Nếu một hệ thống không dùng MAC thì người ta chỉ có thể cho rằng hệ thống đó dùng DAC, hoặc ngược lại Song cuộc nghiên cứu trong những năm 1990 đã chứng minh rằng RBAC không phải là MAC hoặc DAC
Trong nội bộ một tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các
chức năng công việc khác nhau Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao tác một số hoạt động cụ thể ('permissions') Các thành viên trong lực lượng cán bộ công nhân viên (hoặc những người dùng trong hệ thống) được phân phối một vai trò riêng, và thông qua việc phân phối vai trò này mà họ tiếp thu được một số những quyền hạn cho phép họ thi hành những chức năng cụ thể trong
hệ thống
Vì người dùng không được cấp phép một cách trực tiếp, song chỉ tiếp thu được những quyền hạn thông qua vai trò của họ (hoặc các vai trò), việc quản lý quyền hạn của người dùng trở thành một việc đơn giản, và người ta chỉ cần chỉ định những vai trò thích hợp cho người dùng mà thôi Việc chỉ định vai trò này đơn giản hóa những công việc thông thường như việc cho thêm một người dùng
vào trong hệ thống, hay đổi ban công tác (department) của người dùng
Trang 9RBAC khác với các danh sách điều khiển truy cập (access control list -
ACL) được dùng trong hệ thống điều khiển truy cập tùy quyền, ở chỗ, nó chỉ định
các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vì tới các đối tượng dữ liệu hạ tầng
Ví dụ: Một danh sách điều khiển truy cập có thể được dùng để cho phép
hoặc từ chối quyền truy cập viết một tập tin hệ thống (system file), song nó không
nói cho ta biết phương cách cụ thể để thay đổi tập tin đó Trong một hệ thống dùng RBAC, một thao tác có thể là việc một chương trình ứng dụng tài chính kiến tạo
một giao dịch trong 'tài khoản tín dụng' (credit account transaction), hay là việc
một chương trình ứng dụng y học khởi thủy một bản ghi 'thử nghiệm nồng độ
đường trong máu' (blood sugar level test) Việc chỉ định quyền hạn cho phép thi
hành một thao tác nhất định là một việc làm đầy ý nghĩa, vì các thao tác đã được phân định tinh tế và mỗi cá nhân thao tác có một ý nghĩa riêng trong chương trình ứng dụng
Với khái niệm về hệ thống cấp bậc trong vai trò (role hierarchy) và khái niệm về các hạn chế (constraints), ta có thể điều khiển RBAC để kiến tạo hoặc mô phỏng điều khiển truy cập bố trí mắt lưới (Lattice-Based Access Control - LBAC)
Vì thế RBAC có thể được coi như là một siêu tập (superset) của LBAC
Khi định nghĩa một mô hình RBAC, những quy ước sau đây là những quy ước hữu dụng và cần phải cân nhắc:
U = Người dùng = Một người hoặc một tác nhân tự động
R = Vai trò = Chức năng công việc/ Danh hiệu dùng định nghĩa một cấp bậc quyền thế
P = Phép được cấp = Sự phê chuẩn một hình thức truy cập tài nguyên
S = Phiên giao dịch = Một xếp đặt liên kết giữa U,R và P
UA = Chỉ định người dùng
PA = Cấp phép
Trang 10RH = Sắp xếp trật tự một phần nào theo thứ tự cấp bậc của vai trò RH còn
có thể được viết là >
- Một người dùng có thể có nhiều vai trò
- Một vai trò có thể có thể có nhiều người dùng
- Một vai trò có thể có nhiều phép được cấp cho nó
- Một phép được cấp có thể được chỉ định cho nhiều vai trò
Phép được cấp cho các vai trò đối lập có thể sẽ bị hạn chế khả năng thừa kế
của chúng, nếu một hạn chế (constraint) nào đấy đặt một điều luật giới hạn nó
Chẳng hạn, một cá nhân không thể vừa được phép kiến tạo một trương mục đăng nhập cho một người nào đấy, vừa được phép ủy quyền thủ tục
Chính vì vậy, bằng việc sử dụng ký hiệu của lý thuyết tập hợp (set theory),
chúng ta có thể viết:
- PA là một tiểu tập của (hoặc bằng) P x R và là một phép cấp có mối quan hệ
nhiều đối nhiều (many to many) với chỉ định vai trò
- UA là một tiểu tập của (hoặc bằng) U x R và có mối quan hệ nhiều đối nhiều
(many to many) với chỉ định vai trò
- RH là một tiểu tập của (hoặc bằng) R x R
Ký hiệu: x > y có nghĩa là x thừa kế các phép cấp của y
Một người dùng có thể cùng một lúc có một bội số các phiên giao dịch với
nhiều phép được cấp khác nhau (multiple simultaneous sessions with different
permissions)
Việc sử dụng RBAC để quản lý các đặc quyền của người dùng trong một hệ thống duy nhất hay trong một chương trình ứng dụng là một thực hành tốt nhất
được rộng rãi chấp thuận Các hệ thống bao gồm Active Directory của Microsoft,
SELinux, Oracle DBMS, PostgreSQL 8.1, SAP R/3 và nhiều cái khác đều hầu như thực thi một trong những hình thức của RBAC
Trang 11Tuy nhiên, việc sử dụng RBAC để quản lý quyền lợi của người dùng, trên toàn thể các chương trình ứng dụng, là một việc làm còn nhiều tranh luận Sở dĩ
như vậy là vì người dùng thường là một đơn vị đặc hữu (unique), cho nên nhiệm
vụ định nghĩa các vai trò tương ứng (defining sufficient roles) và chỉ định các tư
cách hội viên cho các vai trò một cách phù hợp, trong một tổ chức với hạ tầng cơ
sở kỹ thuật thông tin (IT) không đồng nhất, hòng nắm bắt các nhu cầu về quyền
lợi, trong khi các nhu cầu này có tầm trải rộng trên hàng chục, hằng trăm hệ thống
và trên các chương trình ứng dụng, là một việc hết sức phức tạp
3 Credential-Based Access Control
Trong một ngữ cảnh mở và động, các bên có lẽ không biết nhau và việc
phân chia cổ điển giữa xác thực và điều khiển truy cập không thể được áp dụng
nữa Các bên như trên có thể đóng vai trò khách (client) khi yêu cầu truy cập đến một tài nguyên nào đó, và đóng vai trò là chủ (server) khi cung cấp tài nguyên cho những người dùng khác trong hệ thống Những phương pháp giải quyết việc điều khiển truy cập tiên tiến nên cho phép quyết định những yêu cầu nào, client nào cần được gán quyền truy cập đến tài nguyên và server nào là đủ điều kiện cho việc cung cấp tài nguyên
Công việc quản lý tin cậy đã được phát triển như một giải pháp cho việc hỗ
trợ điều khiển truy cập trong những môi trường mở Hướng tiếp cận đầu tiên đề nghị một giải pháp cho quản lý tin cậy đối với điều khiển truy cập là
PolicyMarker và KeyNote Ý tưởng chính của đề xuất này là gắn khóa công khai vào việc xác thực và dùng credentials để mô tả việc ủy thác độ tin cậy cụ thể giữa
các khóa Sự bất lợi lớn nhất của cách giải quyết này là việc xác thực được gán trực tiếp đến các khóa của những người dùng Do vậy, chi tiết kỹ thuật của việc xác thực này rất khó quản lý và hơn nữa, khóa công khai của một người dùng có lẽ hành động như một bút danh của họ Vì vậy, giảm đi sự thuận lợi của việc quản lý tin cậy mà ở đó việc nhận diện người dùng không nên xem xét
Trang 12Vấn đề của việc gán xác thực trực tiếp đến những khóa đã được giải quyết bằng chứng nhận số Một chứng nhận số là tương tự như những bằng cấp, giấy chứng nhận bằng giấy (như là bằng lái xe) Một giấy chứng nhận số là một báo cáo, được chứng nhận bởi một thực thể tin cậy (người có thẩm quyền xác nhận), công bố một tập hợp những đặc tính của người giữ giấy chứng nhận (ví dụ: số ID, việc cấp phép,…) Mô hình điều khiển truy cập, bằng cách khai thác chứng nhận số
để cấp quyền hay từ chối quyền truy cập đối với các tài nguyên, tạo ra những quyết
định truy cập trên cơ sở của những tập hợp của những đặc tính mà requester/client
nên có Người dùng sau cùng có thể chứng minh để có những đặc tính như vậy bằng cách cung cấp một hay nhiều chứng nhận số
Sự phát triển và việc sử dụng hiệu quả mô hình điều khiển truy cập dựa trên
creditial yêu cầu khắc phục một vài vấn đề liên quan đến quản lý credential và
những chiến lược cung cấp, ủy thác và thu hồi credential và hình thành chuỗi credential Tóm lại, khi phát triển một hệ thống điều khiển truy cập dựa trên credentials, những vấn đề bên dưới cần được xem xét cẩn thận
- Ontologies (Cách thức biểu diễn một cách hình thức các khái niệm
nhằm mục đích tạo ngữ nghĩa): Vì có một số khác những thuộc tính bảo
mật và những yêu cầu cần được xem xét, thật quan trọng để bảo đảm rằng các bên khác nhau sẽ có thể hiểu nhau, bằng cách định nghĩa một tập những ngôn ngữ, tự điển và ontologies thông thường
- Sự hạn chế quyền ở phía client và server: Bởi vì các phía có lẽ là client
hoặc server, quy luật điều khiển truy cập cần được định nghĩa cả client và server
- Những quy luật điều khiển truy cập dựa trên credential: Ngôn ngữ điều
khiển truy cập mới cần được phát triển Những ngôn ngữ này cần có thể biểu
lộ được ý nghĩa (để định nghĩa những loại khác nhau của chính sách) và đơn giản (để dễ dàng định nghĩa chính sách)
- Kết quả ước lượng điều khiển truy cập: Những yêu cầu để truy cập tài
nguyên có lẽ không hiểu rõ về những đặc tính họ cần để đạt được sự truy cập
Trang 13đến tài nguyên đó Do vậy, cơ chế điều khiển truy cập không nên một cách đơn giản trả về một câu trả lời là cho phép hay từ chối, mà nên hỏi người dùng về những sự ủy thác cần thiết để truy cập vào tài nguyên
- Chiến lược thỏa thuận tin cậy: Bởi vì số lượng lớn những credentials khác
nhau làm một yêu cầu truy cập có hiệu lực, một server không thể nào tạo ra một công thức chung đối với một yêu cầu theo tất cả những credentials này, bởi vì client có lẽ không sẵn sàng phát hành toàn bộ tập những credentials của họ Mặt khác, server không nên phơi bày ra quá nhiều chính sách bảo mật bên dưới bởi vì có thể có chứa đựng thông tin nhạy cảm
Bên dưới mô tả một vài đề xuất đã được phát triển đối với việc thỏa thuận tin cậy và đối với việc quy định truy cập dịch vụ trong môi trường mở
3.1 Tổng quan về chiến lược thỏa thuận tin cậy
Như phần trên đã chú thích, vì các bên tương tác có lẽ không biết nhau, client có lẽ không hiểu rõ về sự cần thiết về những credentials cho việc lấy quyền truy cập Do đó, trong suốt quá trình điều khiển truy cập, hai bên trao đổi thông tin
về credentials cần thiết cho việc truy cập
Quyết định điều khiển truy cập đến sau một quá trình phức tạp, nơi đó các bên trao đổi thông tin không chỉ liên quan đến sự truy cập đó mà còn đến các giới hạn thêm vào được áp đặt bởi bên đối tác Quá trình này, được gọi là thỏa thuận tin cậy, có mục tiêu chính về việc hình thành sự tin cậy giữa các bên tương tác trong một cách tự động Một số lớn các chiến lược thỏa thuận tin cậy đã được để xuất trong tài liệu được mô tả theo các bước dưới:
- Trước tiên client yêu cầu truy cập một tài nguyên
- Server sau đó kiểm tra có phải client cung cấp những credentials cần thiết
Trong trường hợp các câu trả lời chính xác, server gán quyền truy cập đến tài nguyên, ngược lại nó giao tiếp với client về các chính sách mà họ cần phải thỏa