Nghiên cứu kiểm soát truy cập dựa trên phân vai và ứng dụng vào hệ thống quản lý nhân hộ khẩu việt nam luận văn ths công nghệ thông tin 60 48 01 04 pdf

An ninh hệ thống với RBAC bao gồm xác định các hoạt động phải được thực hiện bởi người dùng trong công việc cụ thể, và nhân viên với vai trò thích hợp, phức tạp được giới thiệu bởi hai b

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN ĐÌNH TUẤN

NGHIÊN CỨU KIỂM SOÁT TRUY CẬP DỰA TRÊN PHÂN VAI VÀ ỨNG DỤNG VÀO HỆ THỐNG

QUẢN LÝ NHÂN HỘ KHẨU VIỆT NAM

Chuyên ngành : Hệ thống thông tin

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu độc lập của riêng tôi, không sao chép ở bất kỳ một công trình hoặc một luận văn, luận án của các tác giả khác Các số liệu, kết quả nêu trong luận văn này là trung thực và chưa được công bố trong bất kỳ công trình nào khác Các trích dẫn, các số liệu và kết quả tham khảo dùng để so sánh đều có nguồn trích dẫn rõ ràng

Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của mình

Hà Nội, tháng 5 năm 2015

Tác giả luận văn

Nguyễn Đình Tuấn

LỜI CẢM ƠN

Em xin cảm ơn bộ môn Hệ thống thông tin - Khoa công nghệ thông tin- Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội đã cho phép và giúp đỡ em thực hiện luận văn này Xin cảm ơn quý thầy cô trong khoa Công nghệ thông tin đã tận tình chỉ bảo, rèn luyện, truyền đạt những tri thức, kỹ năng, kinh nghiệm quý báu cho em trong suốt những năm ở giảng đường đại học

Luận văn này sẽ không thể hoàn thành nếu như không có sự giúp đỡ, hướng dẫn và tận tình chỉ bảo của TS Lương Thế Dũng và TS Lê Phê Đô, các thầy đã đi cùng em trong suốt thời gian em nghiên cứu và thực hiện luận văn này Em xin chân thành biết ơn về những chỉ bảo, định hướng nghiên cứu và tạo điều kiện tốt nhất cho em

Mặc dù đã hết sức nỗ lực và cố gắng, nhưng chắc chắn khóa luận sẽ không tránh khỏi những khuyến khuyết Em kính mong nhận được sự cảm thông và tận tình chỉ bảo của quý thầy cô và các bạn

Hà Nội, tháng 5 năm 2015

Tác giả luận văn

Nguyễn Đình Tuấn

TÓM TẮT LUẬN VĂN

Kiểm soát truy cập dựa trên vai trò - Role-Based Access Control (RBAC còn gọi là bảo mật dựa trên phân vai), chính thức hóa vào năm 1992 bởi David Ferraiolo và Richard Kuhn, đã trở thành mô hình chủ yếu để kiểm soát truy cập tiên tiến, vì nó làm giảm chi phí quản trị Ngày nay, hầu hết các nhà cung cấp công nghệ thông tin đã kết hợp RBAC vào dòng sản phẩm của

họ, và công nghệ đang tìm kiếm các ứng dụng trong các lĩnh vực khác nhau,

từ chăm sóc y tế, quốc phòng, ngoài các hệ thống thương mại chính thống mà

nó được hiết kế Đến năm 2010, đa số các doanh nghiệp có số lượng người dùng từ 500 hoặc nhiều hơn đều sử dụng RBAC Với RBAC, an ninh được quản lý ở một mức độ tương ứng chặt chẽ với cấu trúc của tổ chức Mỗi người

sử dụng được chỉ định một hoặc nhiều quyền hạn, và mỗi quyền được phân công một hoặc nhiều đặc quyền cho phép người sử dụng trong quyền đó An ninh hệ thống với RBAC bao gồm xác định các hoạt động phải được thực hiện bởi người dùng trong công việc cụ thể, và nhân viên với vai trò thích hợp, phức tạp được giới thiệu bởi hai bên vai trò độc quyền hoặc phân cấp vai trò được xử lý bởi các phần mềm RBAC, an ninh quản lý dễ dàng hơn

Nội dung luận văn đưa ra một cái nhìn tổng quát về các mô hình kiểm soát truy cập phổ biến đặc biệt chú trọng là mô hình kiểm soát truy cập trên

cơ sở vai trò - RBAC Từ những kiến thức cơ bản đó luận văn tiến tới việc đặc tả các chức năng quản trị cơ bản trong một hệ thống cài đặt mô hình RBAC

Sau khi đưa những kiến thức lý thuyết một cách chi tiết và dễ hiểu vể RBAC, luận văn tiến hành phân tích, thiết kế và hoàn thành việc cài đặt công

cụ hỗ trợ bằng ngôn ngữ lập trình Net trên nền hệ điều hành Window và hệ quản trị cơ sở dữ liệu Oracle 11g

MỤC LỤC

MỞ ĐẦU 1

CHƯƠNG 1 TỔNG QUAN VỀ BÀI TOÁN KIỂM SOÁT TRUY CẬP 5

1.1 Kiểm soát truy cập và bài toán 5

1.1.1 Khái niệm 5

1.1.2 Ý nghĩa của kiểm soát truy cập 9

1.2Các giải pháp kiểm soát truy cập 9

1.2.1 Kiểm soát truy cập tùy quyền 9

1.2.2 Kiểm soát truy cập bắt buộc 10

1.2.3 Kiểm soát truy cập dựa trên trên vai trò 12

1.3So sánh RBAC với DAC và MAC 13

1.4Thực tế chính sách, mô hình và cơ chế kiểm soát truy cập tại các doanh nghiệp, tổ chức, cơ quan 15

CHƯƠNG 2 KIỂM SOÁT TRUY CẬP DỰA TRÊN PHÂN VAI 17

2.1 Giới thiệu tổng quan, khái niệm kiểm soát truy cập dựa trên phân vai 17

2.2 Các tiêu chuẩn về RBAC do NIST đề xuất 19

2.3 Core RBAC 20

2.3.1 Hỗ trợ điều hành 20

2.3.2 Quyền hạn 21

2.3.3 Vai trò 22

2.3.4 Mô hình core RBAC được định nghĩa như sau: 24

2.4 Role hierarchy 25

2.4.1 Xây dựng phân cấp vai trò từ vai trò phẳng 25

2.4.2 Phân cấp vai trò tổng quát và hạn chế 27

2.5 Constrained RBAC 30

2.5.1 Các quan hệ Static SoD 30

2.5.2 Các Quan hệ Dynamic SoD 33

2.6 Quản lý truy cập phân vai trong RBAC 36

2.7 Mô hình use case 37

2.7.1 Danh sách tác nhân 37

2.7.2 Sơ đồ use case 37

2.7.3 Giải thích các use case quan trọng 38

CHƯƠNG 3 ỨNG DỤNG RBAC VÀO QUẢN LÝ NHÂNHỘ KHẨU VIỆT NAM 41

3.1 Đặc điểm các phân hệ dữ liệu trong hệ thống quản lý nhân hộ khẩu 42

3.2 Đánh giá chung về kiểm soát truy cập bằng cơ chế phân quyền trong phân hệ dữ liệu nhân hộ khẩu hiện nay 42

3.3 Thiết kế cơ sở dữ liệu 42

3.3.1 Một số khái niệm cơ bản 43

3.3.2 Mô hình tổng quát 44

3.3.3 Các bảng dữ liệu 45

3.4 Cài đặt chương trình và thực nghiệm 51

3.4.1 Môi trường và công cụ cần thiết 51

3.4.2 Tổ chức khai thác chương trình 51

3.4.3 Mô hình triển khai hệ thống 52

3.5 Kết quả của ứng dụng 53

3.5.1 Giới thiệu các chức năng quản trị 53

3.5.2 Các bước tạo tài khoản mới và phân quyền cho người dùng 59

3.5.3 Quản trị nhóm chức năng hệ thống 64

3.5.4 Quản trị danh mục 68

KẾT LUẬN 72

TÀI LIỆU THAM KHẢO 74

DANH SÁCH CÁC HÌNH VẼ

Hình 1.1 Điểm khác biệt giữa RBAC và DAC, MAC 15

Hình 2.1 Quan hệ user, role, permission 20

Hình 2.2 Ví dụ về chức năng phân cấp vai trò 27

Hình 2.3 Hệ thống phân cấp vai trò chung với chưc năng và tổ chức 30

Hình 2.4 Phân cấp static SOD 31

Hình 2.5 Mô hình Static SOD 33

Hình 2.6 Mô hình DSD 34

Hình 2.7 Mô hình Use case 38

Hình 3.1 Mô hình tổng quát hệ thống quản lý nhân hộ khẩu 44

Hình 3.2 Mô hình ba lớp 52

Hình 3.3 Mô hình triển khai hệ thống 52

Hình 3.4 Chức năng cơ bản của hệ thống 53

Hình 3.5 Các chức năng quản trị người dùng 54

Hình 3.6 Các chưc năng quản trị danh mục 56

Hình 3.7 Kết quả của quá trình phân quyền 63

DANH SÁCH CÁC THUẬT NGỮ VÀ KHÁI NIỆM

THUẬT NGỮ KHÁI NIỆM

MAC Mandatory access control - điều khiển truy cập bắt buộc

ACL Access control list - Danh sách điều khiển truy cập

Least privilege Đặc quyền tối thiểu

Separation of

duties Phân chia trách nhiệm

SSD Static separation of duties - phân chia trách nhiệm tĩnh

DSD Dynamic separation of duties - phân chia trách nhiệm động

Data abstraction Trừu tượng hóa dữ liệu

Role hierarchy Cấp bậc trong vai trò

Core RBAC Mô hình RBAC cơ sở

Constrained

ROLE data set Tập hợpc các vai trò

SSD role set Tập hợp các vai trò có thêm ràng buộc SSD

USER data set Tập hợp người sử dụng

OBJS data set Tập hợp các đối tượng

OPS Tập hợp các hành động trên một đối tượng cụ thể

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Cùng với sự phổ cập Internet ngày càng rộng rãi, vấn đề bảo đảm an toàn, an ninh thông tin trên môi trường mạng cũng ngày càng trở nên cấp thiết Các nguy cơ mất an toàn thông tin đang gia tăng cả về số lượng và mức

độ nghiêm trọng Trước các hiểm họa và gánh nặng tuân thủ các quy định bảo mật mới, các phương thức và hệ thống bảo mật truyền thống đã không còn hiệu quả để đảm bảo an toàn thông tin và dữ liệu cho các tổ chức, cần có những công cụ và kỹ thuật tiên tiến hơn để bảo vệ lợi ích của tổ chức, đảm bảo an toàn, duy trì kiểm soát các ứng dụng và dữ liệu, bao gồm các thông tin nhạy cảm và tài sản trí tuệ, trong khi vẫn duy trì môi trường làm việc linh hoạt; nâng cao hiệu quả kinh doanh, khả năng ứng biến và tốc độ tăng trưởng

Các vấn bảo mật thông tin đã và đang trở thành một trong những vấn

đề quan trọng và nhạy cảm nhất trong bối cảnh chúng ta ngày càng hội nhập sâu rộng ra thế giới Việc ứng dụng công nghệ cao trong ngành này cũng luôn được ưu tiên hàng đầu nhằm phục vụ các nội dung hoạt động của ngành Cơ

sở dữ liệu nhân hộ khẩu mang tính riêng tư cao, do đó nhu cầu được bảo vệ hay vấn đề bảo mật được quan tâm số một Mặt khác, là ngành mang tích chất quốc gia nên việc truy cập và làm việc với các cơ sở dữ liệu tại nhân hộ khẩu đồng thời phải đảm bảo tính đơn giản, dễ sử dụng nhằm tăng năng suất lao động,… Kiểm soát truy cập đối với các phân hệ dữ liệu trong nhân hộ khẩu

do đó càng đóng vai trò quan trọng với nhiệm vụ phải đáp ứng ngày tốt hơn hai yêu cầu tưởng chừng mâu thuẫn lại là hai mặt của một vấn đề là tính bảo mật cao và dễ sử dụng

Kiểm soát truy cập bằng cơ chế phân quyền theo vai trò người sử dụng trong thực tiễn đang là giải pháp tối ưu, được lựa chọn phổ biến nhất đối với các phân hệ dữ liệu tại các quốc gia trên thế giới nói chung và Việt Nam nói

riêng Tuy nhiên việc phân quyền trong thực tế ngày càng trở nên phức tạp do vai trò của các chủ thể ngày càng đa dạng Cũng như yêu cầu bảo mật đồng thời phải tăng tính cạnh tranh ngày càng cao khiến nhu cầu nâng cao hiệu quả của cơ chế phân quyền trong kiểm soát truy cập là vấn đề luôn đặt ra song song với quá trình vận hành và phát triển các cơ sở dữ liệu tại các phân hệ nhân hộ khâu

Đề tài “Nghiên cứu kiểm soát truy cập dựa trên phân vai và ứng dụng vào hệ thống quản lý nhân hộ khẩu Việt nam” được nghiên cứu nhằm phân tích ưu điểm cũng như những khó khăn đang gặp phải của ứng dụng cơ chế phân quyền vào kiểm soát truy cập tại các phân hệ dữ liệu của nhân hộ khâu tại Việt Nam hiện nay

2 Mục đích nghiên cứu

Kiểm soát truy cập chỉ là một khía cạnh của giải pháp bảo mật toàn diện máy tính Mỗi khi người dùng đăng nhập vào một hệ thống máy tính có nhiều nguời dùng, kiểm soát truy cập sẽ được thi hành Để đạt được sự hiểu biết tốt hơn về mục đích kiểm soát truy cập, thì nó chính là xem xét an ninh thông tin đối với hệ thống thông tin An ninh thông tin được phân thành ba

loại, tính bảo mật, tính toàn vẹn, tính sẵn sàng

Tính bảo mật: Là cần thiết phải dữ thông tin an toàn và riêng tư Điều

này có thể bao gồm bất cứ điều gì từ bí mật nhà nước, thông tin tài chính, và thông tin bảo mật chẳng hạn như là mật khẩu

Tính toàn vẹn: Đề cập đến khái niệm về bảo vệ thông tin không bị thay

đổi hoặc sửa đổi bởi người dùng trái phép Ví dụ như hầu hết người dùng đều muốn dảm bảo rằng tài khoản ngân hàng được sử dụng bởi phần mềm tài chính không được thay đổi bởi bất cứ ai khác và chỉ có người dùng và quản trị

an ninh được ủy quyền có thể thay đổi đươc mật khẩu

Tính sẵn sàng: Đề cập đến quan điểm cho rằng thông tin có sẵn cho sử

dụng khi cần thiết và được đưa đến người dùng kịp thời không bị gián đoạn

Mọi hành vi tấn công làm gián đoạn quá trình truyền thông tin, khiến thông tin không đến được với người dùng chính là đang tấn công vào tính sẵn sàng của hệ thống đó

Kiểm soát truy cập là rất quan trọng để giữ gìn bí mật và tính toàn vẹn của thông tin Các điều kiện bảo mật yêu cầu chỉ người dùng được ủy quyền

có thể thay đổi thông tin theo cách có thẩm quyền Kiểm soát truy cập rõ ràng

ít là trung tâm để bảo tồn tính sẵn có, nhưng rõ ràng có một vai trò quan trọng: Một kẻ tấn công có quyền truy cập trái phép vào một hệ thống sẽ mang rắc rối tới hệ thống đó

Với kiểm soát truy cập dựa trên phân vai, quyết định truy cập dựa trên phân vai mà người dùng cá nhân như là một phần của một tổ chức Người có vai trò được giao chẳng hạn như y tá, bác sĩ, nhân viên giao dịch, quản lý Quá trình xác định vai trò cần phải được dựa trên một phân tích toàn diện của một tổ chức hoạt động như thế nào và nên bao gồm đầu vào từ một phổ rộng

của người sử dụng trong một tổ chức

Kiểm soát truy cập dựa trên phân vai là một tính năng bảo mật cho người dùng truy cập kiểm soát với nhiệm vụ mà thông thường sẽ được hạn chế quyền đến thư mục gốc Bằng cách áp dụng các thuộc tính bảo mật cho các quy trình và cho người dùng, RBAC có thể phân chia khả năng siêu người dùng nhiều trong số các quản trị viên Quy trình quản lý quyền được thực hiện thông qua các đặc quyền

Vì thế, việc sử dụng vai trò kiểm soát truy cập sẽ là một phương tiện hiệu quả để phát triển và thực thi các chính sách bảo mật doanh nghiệp cụ thể,

và tinh giản quá trình quản lý hệ thống

3 Đối tượng và phạm vi nghiên cứu

Tập trung nghiên cứu và đánh giá các kỹ thuật RBAC trong các hệ thống mạng của nghành công an ở phạm vi một tỉnh, sử dụng các hệ thống Server trên nền tảng hệ điều hành Windows hoặc linux

4 Phương pháp nghiên cứu

Kết hợp các nghiên cứu trước đây về kỹ thuật RBAC trong các tài liệu chuyên ngành và các phương pháp sử dụng RBAC trong các hệ thống mạng của Bộ công an để kiểm nghiệm và ứng dụng trên nền tảng hệ điều hành Windows Server hoặc Linux

CHƯƠNG 1 TỔNG QUAN VỀ BÀI TOÁN KIỂM SOÁT TRUY CẬP

1.1 Kiểm soát truy cập và bài toán

1.1.1 Khái niệm

Truy cập được biết đến như việc truy cập các tài nguyên của một chủ thể tới một đối tượng

Kiểm soát truy cập là việc chính thức hóa các quy tắc cho phép hoặc

từ chối truy cập Kiểm soát truy cập xác định chính xác những người có thể tương tác, những gì chủ thể có thể làm trong tương tác đó Nó căn cứ vào cấp quyền hoặc quyền ưu đãi, đến một chủ thể liên quan đến một đối tượng

Ví dụ, hãy xem xét một nhà quản lý bận rộn với một trợ lý hành chính

là những người phục vụ như một người gác cổng, quyết định ai sẽ được phép tương tác cá nhân với giám đốc điều hành và phải để lại thông điệp với các trợ lý hành chính Trong tình huống này vị khách này là chủ thể và giám đốc điều hành là đối tương Trợ lý hành chính là hệ thống kiểm soát truy cập quyết định ai được phép truy cập đến điều hành

Có 3 thành phần chính của bất kỳ kịch bản kiểm soát truy cập:

 Chính sách : Các quy tắc chi phối người được tiếp cận với nguồn tài nguyên

 Chủ thể: Người sử dụng, mạng, quá trình hoặc ứng dụng yêu cầu truy cập đến tài nguyên

 Đối tượng: Các nguồn tài nguyên mà các chủ thể mong muốn được truy cập Bất cứ lúc nào bạn phải quyết định cho phép hoặc từ chối truy cập bởi một chủ thể tới tài nguyên của bạn là bạn đã bước vào vấn đề kiểm soát truy cập

Hệ thống kiểm soát truy cập bao gồm 3 yếu tố:

 Chính sách: Các quy định được phát triển bởi một người có kiến thức vững chắc của tổ chức, nó là tài sản, mục tiêu và những thách thức

 Thủ tục: Phương thức không kỹ thuật được sử dụng để thực thi chính sách

 Các công cụ: Các Phương pháp kỹ thuật được sử dụng để thực thi chính sách

Các tổ chức thường sử dụng các thủ tục và các công cụ với nhau để thực thi chính sách Ví dụ, hầu hết các công ty đều có các chính sách nghiêm ngặt để xác định ai được phép truy cập vào hồ sơ cán bộ Những hồ sơ này chứa thông tin nhạy cảm và bí mật mà có thể được sử dụng để gây ra thiệt hai nghiêm trọng cho cán bộ, công ty cũng như toàn bộ, nếu các hồ sơ bị xâm hại Chính sách này có thể nói rằng chỉ nhân viên trong bộ phận nguồn nhân lực, với nhu cầu cụ thể đối với thông tin chứa trong bản ghi nào đó mới có thể truy cập nó

Để thực thi chính sách này các công ty có các thủ tục mà tình trạng của các bản ghi(hồ sơ) chỉ có thể được cung cấp cho nhân viên với các thông tin thích hợp(quá trình xác thực), họ điền vào một mẫu nêu rõ nhu cầu cụ thể của

họ cho các thông tin có trong hồ sơ mà họ yêu cầu Khi yêu cầu được chấp thuận, các nhân viên có thể được cung cấp định danh người dùng và mật khẩu

để truy cập hồ sơ nhân viên trong mạng nội bộ(quá trình ủy quyền) Các trang web trong mạng nội bộ, cùng định danh người dùng và mật khẩu, là những công cụ cần thiết để cấp quyền truy cập vào hồ sơ nhân viên

Chủ thể kiểm soát truy cập: Các chủ thể trong kịch bản kiểm soát truy cập là ứng dụng cá nhân yêu cầu truy cập vào tài nguyên như mạng, hệ thống tập tin, hoặc máy in

Có 3 loại chủ thể khi nói đến kiểm soát truy cập cho một nguồn tài nguyên cụ thể:

 Ủy quyền: Những người đã trình ủy nhiệm và được phê duyệt để truy cập vào các nguồn tài nguyên

 Không được ủy quyền: Những người không có các thông tin thích hợp hoặc không có các đặc quyền thích hợp để truy cập tài nguyên

 Không biết: Những nguời đã không trình bày bất kỳ thông tin hay sự

ủy nhiệm nào cả Không rõ họ có truy cập hoặc không

Sự khác biệt giữa một người không biết và không được ủy quyền là sự điều chỉnh Một không biết nặc danh, họ đã không cố gắng đăng nhập hoặc hạn chế truy cập vào nguồn tài nguyên nào Ngay sau khi một người không biết cố gắng truy cập vào một nguồn tài nguyên hạn chế, họ phải rơi vào một trong hai loại khác là có ủy quyền và không được ủy quyền

Có 4 loại của công nghệ có thể là chủ thể cho mục đích kiểm soát truy cập:

 Mạng: Mạng là chủ thể khi nguồn tài nguyên trên một mạng yêu cầu truy cập vào nguồn tài nguyên trên mạng khác Một quy tắc tường lửa cho phép truy cập internet có thể sử dụng mạng nội bộ như một chủ thể, với internet và đối tượng

 Các Hệ thống: Hệ thống là chủ thể khi một hệ thống yêu cầu truy cập vào nguồn tài nguyên trên hệ thống khác hay trên mạng Điều này thường xảy

ra khi PC nỗ lực truy cập vào một máy in trên mạng

 Quá trình: Quá trình là chủ thể phổ biến nhất khi quá trình một ứng dụng yêu cầu truy cập mức độ thấp tới tập tin hệ thống

 Các ứng dụng: Ứng dụng là chủ thể khi nó cần phải truy cập vào nguồn tài nguyên bên ngoài như máy in hay mạng

Chủ thể công nghệ không có định danh người dùng và mật khẩu cách

mà chủ thể con người có thể, nhưng nó có cùng thẩm quyền hay tình trạng không rõ

Đối tượng kiểm soát truy cập: Có 3 loại đối tượng được bảo vệ bằng cách kiểm soát truy cập:

 Thông tin: Bất kỳ loại tài sản dư liệu nào

 Công nghê: Ứng dụng, hệ thống, mạng

 Vị trí vật lý: Vị trí vật lý như các tòa nhà, văn phòng

Thông tin là tài sản chung nhất của IT kiểm soát truy cập Bạn đặt mật khẩu trên cơ sở dữ liệu và các ứng dụng để đảm bảo rằng chỉ có người được

ủy quyền có thể truy cập chúng Đối tượng công nghệ cũng quan trọng, bởi vì một người sử dụng độc hại có thể dễ dàng thỏa hiệp sự toàn vẹn dữ liệu bằng cách tấn công các công nghệ lưu trữ và sử dụng nó Nếu người dùng không đươc ủy quyền truy cập trái phép vào máy chủ tập tin, người dùng loại này sẽ

dễ dàng ăn cắp, xóa, hoặc thay đổi dữ liệu được lưu trữ trên máy chủ

Bảo mật vật lý là quá trình đảm bảo rằng không ai không có sự ủy nhiệm có thể truy cập tài nguyên vật lý, bao gồm cả phần cứng và vị trí vật lý Nếu tất cả các máy chủ một mật khẩu để đăng nhập vào, tại sao lại hạn chế những người có thể xâm nhập vào phòng máy chủ? Câu trả lời rất đơn giản: Nếu mục tiêu người sử dụng độc hại là hạ xuống một máy chủ, họ không cần phải đăng nhập Tất cả họ phải làm là ăn cắp nó hoặc phá hủy nó

Quá trình kiểm soát truy cập: Có 3 bước để tiến hành kiểm soát truy cập:

 Xác định: Quá trình mà một chủ thể xác định chính nó để truy cập vào hệ thống điều khiển

 Xác thực: Xác nhân danh tính của đối tượng

 Ủy quyền: Quyết định cho phép hoặc từ chối truy cập đến một đối tượng

Ba thành phần kiểm soát truy cập thường làm việc cùng nhau trong một mối quan hệ hiệp lực và có thể được tìm thấy trong các ứng dụng, hệ điều hành, tường lửa, router, cơ sở dữ liệu, bộ điều khiển tên miền, và nhiều hơn nữa

1.1.2 Ý nghĩa của kiểm soát truy cập

Kiểm soát truy cập là một giải pháp của bảo mật hệ thống, nhằm:

- Đảm bảo khả năng truy cập của người sử dụng

- Ngăn chặn sự truy cập bất hợp pháp

- Đảm bảo tính an toàn, sẵn sàng của hệ thống

- Hạn chế rủi ro

- Truy tìm các hoạt động có nghi vấn

- Căn cứ pháp lý để bảo vệ tổ chức khi bị xâm hại hoặc xảy ra tranh chấp 1.2 Các giải pháp kiểm soát truy cập

Mô hình kiểm soát truy cập được tạo ra để thực thi các quy tắc và mục tiêu của chính sách bảo mật và ra lệnh như thế nào để chủ thể có thể truy cập đối tượng Có 3 mô hình sẽ được đề cập trong phần này: Kiểm soát truy cập tùy ý, kiểm soát truy cập bắt buộc, kiếm soát truy cập dựa trên phân vai

1.2.1 Kiểm soát truy cập tùy quyền[6]

Được chỉ định cho một chủ thể hoặc một đối tượng Danh sách điều khiển Kiểm soát truy cập tùy quyền là một chính sách truy cập mà chủ nhân của tập tin hay người chủ của một tài nguyên nào đấy tự định đoạt Chủ nhân của nó quyết định ai là người được phép truy cập tập tin và những đặc quyền nào là những đặc quyền người đó được phép thi hành

Hai quan niệm quan trọng trong truy cập tùy quyền là:

 Quyền sở hữu tập tin và dữ liệu: Bất cứ một đối tượng nào trong một

hệ thống cũng phải có một chủ nhân là người sở hữu nó Chính sách truy cập các đối tượng là do chủ nhân tài nguyên quyết định - những tài nguyên bao gồm: các tập tin, các thư mục, dữ liệu, các tài nguyên của hệ thống, và các thiết bị Theo lý thuyết, đối tượng nào không có chủ sở hữu thì đối tượng đó

bị bỏ lơ, không được bảo vệ Thông thường thì chủ nhân của tài nguyên chính

là người đã kiến tạo nên tài nguyên (như tập tin hoặc thư mục)

 Các quyền và phép truy cập: Đây là những quyền khống chế những thực thể tài nguyên mà chủ nhân của tài nguyên chỉ định cho mỗi một người hoặc mỗi một nhóm người dùng

Kiểm soát truy cập tùy quyền có thể được áp dụng thông qua nhiều kỹ thuật khác nhau:

 Danh sách kiểm soát truy cập (Access control list - ACL) định danh

các quyền và phép truy cập cho ta một phương pháp linh hoạt để áp dụng quy chế điều khiển truy cập tùy quyền

 Kiểm tra truy cập trên cơ sở vai trò chỉ định tư cách nhóm hội viên dựa trên vai trò của tổ chức hoặc chức năng của các vai trò Chiến lược này giúp tối giảm việc điều hành quản lý quyền và phép truy cập

Những quyền và phép để truy cập các đối tượng được chỉ định cho từng nhóm, hay hơn nữa, tới từng cá nhân một Các cá nhân có thể trực thuộc một hoặc nhiều nhóm khác nhau Mỗi cá nhân có thể được bố trí để họ tự đạt được nhiều hình thức phép truy cập hay phép sửa đổi dưới dạng tích lũy (do mỗi nhóm mà họ là hội viên ban cho và cộng lại), song cũng có thể bị loại khỏi những phép truy cập, là những phép mà tất cả các nhóm họ là hội viên không thể cùng có được

1.2.2 Kiểm soát truy cập bắt buộc[6]

Kiểm soát truy cập bắt buộc là một chính sách truy cập không do cá nhân sở hữu tài nguyên quyết định, song do hệ thống quyết định MAC được dùng trong các hệ thống đa tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm, như các thông tin được phân hạng về mức độ bảo mật trong chính phủ và trong quân đội Một hệ thống đa tầng cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng

Nhãn hiệu nhạy cảm: Trong hệ thống dùng kiểm soát truy cập bắt buộc,

hệ thống chỉ định một nhãn hiệu cho mỗi chủ thể và mỗi đối tượng trong hệ thống Nhãn hiệu nhạy cảm của một chủ thể xác định mức tin cẩn cần thiết để truy cập Để truy cập một đối tượng nào đấy, chủ thể phải có một mức độ

nhạy cảm (tin cẩn) tương đồng hoặc cao hơn mức độ của đối tượng yêu cầu

Xuất ngoại và nhập nội dữ liệu Kiểm soát việc nhập nội thông tin từ một hệ thống khác và xuất ngoại thông tin sang các hệ thống khác (bao gồm

cả các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng điều khiển truy cập bắt buộc Nhiệm vụ của việc xuất nhập thông tin là phải đảm bảo các nhãn hiệu nhạy cảm được giữ gìn một cách đúng đắn và nhiệm vụ này phải được thực hiện sao cho các thông tin nhạy cảm phải được bảo vệ trong bất kỳ tình huống nào

Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc kiểm soát truy cập bắt buộc:

Kiểm soát truy cập dùng chính sách: Việc kiểm soát thuộc loại này định nghĩa thêm những điều kiện cụ thể đối với việc truy cập một đối tượng mà chúng ta yêu cầu Tất cả các hệ thống dùng kiểm soát truy cập bắt buộc đều thực hiện một hình thức đã được đơn giản hóa của thể loại điều khiển truy cập dùng chính sách, nhằm quyết định cho phép hay từ chối yêu cầu truy cập, bằng cách đối chiếu:

 Nhãn hiệu nhạy cảm của đối tượng

 Nhãn hiệu nhạy cảm của chủ thể

Kiểm soát truy cập dùng bố trí mắt lưới: Đây là phương pháp người ta

sử dụng đối với những quyết định phức tạp trong điều kiểm soát truy cập với

sự liên quan bội số các đối tượng và/hay các chủ thể Mô hình mắt lưới là một cấu trúc toán học, nó định nghĩa các giá trị cận dưới lớn nhất và cận trên nhỏ

nhất cho những cặp nguyên tố, chẳng hạn như cặp nguyên tố bao gồm một chủ thể và một đối tượng

1.2.3 Kiểm soát truy cập dựa trên trên vai trò[4]

Trong vấn đề an ninh đối với các hệ thống máy tính, kiểm soát truy cập dựa trên vai trò là một tiếp cận (phương pháp) để hạn chế người dùng hợp pháp truy cập hệ thống Nó là một phương pháp tiếp cận mới, có thể dùng để thay thế phương pháp kiểm soát truy cập tùy quyền và kiểm soát truy cập bắt buộc

Cơ chế:

Là một giải pháp kiểm soát truy cập logic

Khái niệm kiểm soát truy cập dựa trên phân vai bắt đầu với hệ thống đa

người sử dụng và đa ứng dụng trực tuyến được đưa ra lần đầu vào những năm

70 Ý tưởng trọng tâm của RBAC là permission được kết hợp với role và user được phân chia dựa theo các role thích hợp Điều này làm đơn giản phần lớn việc quản lý những permission Tạo ra các role cho các chức năng công việc khác nhau trong một tổ chức và user cũng được phân các role dựa vào trách nhiệm và trình độ của họ Phân lại cho user từ chức năng này sang chức năng khác Những role được cấp các permission mới vì các ứng dụng gắn kết chặt chẽ với các hệ thống và các permission được hủy khỏi các role khi cần thiết

Một role được xem như một kết cấu ngữ nghĩa mà cơ chế kiểm soát truy cập đều hình thành xung quanh Một tập hợp riêng biệt những user và các permission được lập ra bởi các role chỉ là tạm thời Role ổn định hơn bởi vì hoạt động hay chức năng của một tổ chức thường ít thay đổi hơn

Một role tương ứng với một năng lực để làm một nhiệm vụ cụ thể, ví

dụ một bác sỹ nội khoa hay một dựợc sỹ Một role cũng là hiện thân của một thẩm quyền và một bổn phận như một giám sát dự án

Một thẩm quyền hay một trách nhiệm khác với một năng lực Ví dụ: tôi

có năng lực để điều hành một số bộ phận nhưng chỉ được phân công điều

hành một bộ phận Các role phản ánh cho các nhiệm vụ được phân công cụ thể được luân phiên giữa nhiều user, ví dụ công việc của một bác sỹ nội khoa hay một quản lí ca Các mô hình RBAC và sự cài đặt nên có khả năng cải thiện cung cấp tất cả các biểu hiện của khái niệm role

Nhu cầu kiểm soát truy cập bị chi phối bởi nhiều mối quan tâm khác nhau gồm cả người tiêu dùng, cổ đông và sự tin cậy của các công ty bảo hiểm,

sự riêng tư của thông tin cá nhân, việc ngăn chặn sự phân bố tài sản tài chính trái phép, ngăn chặn sử dụng không phép các đường dây điện thoại đường dài

và sự giữ vững các tiêu chuẩn nghề nghiệp Nhiều tổ chức đưa ra các quyết định kiểm soát truy cập dựa trên role mà user là cá nhân đảm nhận như một

bộ phận của tổ chức Nhiều tổ chức thích kiểm soát tập trung và duy trì quyền truy cập, không theo ý muốn cá nhân của người quản lí hệ thống lắm mà theo các chỉ dẫn bảo vệ của tổ chức

Các role được xem như một phần của tiêu chuẩn SQL3 nổi bật cho hệ thống quản lí dữ liệu, dựa vào sự thực hiện của chúng trong Oracle 7 Các role được kết nối chặt chẽ trong hiện trạng an ninh thương mại RBAC cũng phù hợp với công nghệ đang thịnh hành và các xu hướng kinh doanh Một loạt sản phẩm cung cấp trực tiếp một dạng RBAC, các sản phẩm khác hỗ trợ những tính năng có liên quan chặt chẽ, ví dụ nhóm user, những tính năng này được

sử dụng để thực hiện các role

1.3 So sánh RBAC với DAC và MAC

Lâu nay vẫn tồn tại sự khác biệt giữa các giải pháp kiểm soát truy cập được biết đến lần lượt là RBAC, DAC và MAC Sự khác biệt này xuất hiện khi người ta nghiên cứu bảo mật trong ngành quốc phòng MAC cho phép việc kiểm soát truy cập dựa vào nhãn bảo mật gửi kèm tới các chủ thể và khách thể DAC cho phép kiểm soát truy cập thực hiên được đối với khách thể dựa trên cơ sở permission hoặc từ chối hoặc cả hai do một chủ thể riêng

biệt, thường là người sở hữu khách thể đó định dạng RBAC có thể được xem như một thành tố kiểm soát truy cập độc lập, cùng tồn tại với MAC và DAC lúc thích hợp Trong trường hợp này việc truy cập sẽ được phép nếu RBAC, MAC và DAC cho phép

Như một vấn đề liên quan, RBAC bản thân nó là một cơ chế tùy ý hay bắt buộc? Câu trả lời phụ thuộc vào định nghĩa chính xác của cái quan niệm

“tùy ý” và “bắt buộc” cũng như là bản chất thực và sự định hình các permission, role và user trong một hệ thống RBAC Việc hiểu bắt buộc có nghĩa là các user cá nhân không có sự lựa chọn nào đối với việc permission hoặc user nào được giao đến một role nào, trong khi tùy ý có nghĩa là user được tự đưa ra các quyết định này Như đã nói ở trên, RBAC bản thân nó là một chính sách trung tính Các dạng nhất định nào đó của RBAC có thể là bắt buộc, trong khi các dạng khác có thể lại là tùy ý

Hình 1.1 Điểm khác biệt giữa RBAC và DAC, MAC [5]

1.4 Thực tế chính sách, mô hình và cơ chế kiểm soát truy cập tại các doanh nghiệp, tổ chức, cơ quan

Phần lớn các cổng thông tin, trang thông tin điện tử, hệ thống mạng được xây dựng không theo chuẩn thống nhất về an ninh thông tin; phần mềm

và thiết bị phần cứng không được nâng cấp; cập nhật vá lỗ hổng bảo mật chưa được chú trọng gây nhiều lỗi bảo mật ở mức nguy hiểm nhưng không được phát hiện, khắc phục kịp thời Chính sách phân quyền người dùng chưa được

thiết lập, cho phép truy cập tự do, không mật khẩu, mở nhiều cổng dịch vụ không cần thiết

Đáng chú ý, nhiều hệ thống máy chủ không có tường lửa bảo vệ, không

có hệ thống phòng chống mã độc, hệ thống dự phòng, hệ thống cảnh báo, phát hiện và ngăn chặn xâm nhập; máy tính phần lớn không cài đặt phần mềm diệt virus (hoặc không đủ mạnh)

Ý thức bảo vệ an ninh, an toàn thông tin khi sử dụng máy tính của người dùng còn nhiều hạn chế Mật khẩu truy cập máy tính, email, thậm chí

cả mật khẩu tài khoản quản trị hệ thống còn đặt đơn giản và không thường xuyên thay đổi Đặc biệt, khi triển khai hệ thống thông tin, các thiết bị phần cứng chưa đảm bảo an toàn, không được kiểm tra an ninh trước khi lắp đặt và

sử dụng

Trong môi trường kinh tế, chính trị, và xã hội ngày nay, giải quyết vấn

đề an ninh đang trở thành một điều cần thiết cốt lõi cho hầu hết, nếu không phải tất cả, các tổ chức khách hàng đang đòi hỏi nó như là mối quan tâm về sự riêng tư và sự gia tăng hành vi trộm cắp danh tính Đối tác kinh doanh, nhà cung cấp, và các nhà cung cấp đang đòi hỏi từ những người khác, đặc biệt là khi cung cấp lẫn nhau mạng và truy cập thông tin Gián điệp thông qua việc

sử dụng mạng để đạt được cạnh tranh trí tuệ và tống tiền các tổ chức đang trở nên phổ biến hơn Quốc gia và các quy định quốc tế đang kêu gọi các tổ chức (và các nhà lãnh đạo của họ) để chứng minh việc chăm sóc do liên quan đến

an ninh

CHƯƠNG 2 KIỂM SOÁT TRUY CẬP DỰA TRÊN PHÂN VAI

2.1 Giới thiệu tổng quan, khái niệm kiểm soát truy cập dựa trên phân vai

Mục đích chính của RBAC là làm thuận tiện cho quá trình quản trị bảo mật và kiểm duyệt Rất nhiều các hệ thống điều khiển truy cập tốt trong thương mại dành cho các máy tính lớn hiện nay đã cài đặt các vai trò để quản trị bảo mật

Trong quá khứ và cho đến ngày nay, nhiều ứng dụng đã được xây dựng với RBAC được mã hóa bên trong bản thân ứng dụng đó Các hệ điều hành và các môi trường hiện tại cũng đã cung cấp một vài sự hỗ trợ RBAC ở mức độ ứng dụng Tuy nhiên một nhiệm vụ khó khăn đặt ra là làm thế nào để nhận biết các điều kiện ứng dụng thực sự độc lập, thực sự linh hoạt, thực sự đơn giản để cài đặt và sử dụng, để hỗ trợ rộng rãi cho các ứng dụng với một sự tùy chỉnh nhỏ nhất

Những sự biến đổi phức tạp của RBAC bao gồm khả năng thiết lập mối quan hệ giữa các vai trò, giữa các quyền với các vai trò và giữa những người

sử dụng và các vai trò Lấy ví dụ, hai quyền có thể được thiết lập để triệt tiêu lẫn nhau, do đó cùng là một người sử dụng thì không thể cùng ở trong hai vai trò này được

Các vai trò cũng có thể đảm nhiệm các quan hệ kế thừa, nhờ vào đó mà một vai trò có thể kế thừa toàn bộ các quyền của một vai trò khác Các mối quan hệ vai trò - vai trò này có thể được sử dụng để đảm bảo các chính sách bảo mật, các chính sách này bao gồm sự phân biệt giữa các trách nhiệm và sự

ủy thác của thẩm quyền Cho đến nay, các quan hệ này đã được mã hóa bên trong các phần mềm ứng dụng; cùng với RBAC, chúng có thể được chỉ định cho một trong các miền bảo mật

Với RBAC, có thể định nghĩa lại các quan hệ quyền-vai trò, tạo nên sự đơn giản trong việc gán người sử dụng vào trong các vai trò được định nghĩa lại đó Chính sách kiểm soát truy cập là hiện thân trong các thành phần khác nhau của RBAC giống như các mối quan hệ vai trò - quyền, người sử dụng - vai trò, vai trò- vai trò Các thành phần này sẽ quyết định xem một người sử dụng có được phép truy cập đến một khối dữ liệu riêng trong hệ thống hay không Các thành phần RBAC có thể được cấu hình trực tiếp bởi các chủ nhân của hệ thống hoặc gián tiếp thông qua các vai trò xấp xỉ được ủy thác bởi các chủ nhân của hệ thống Hơn thế nữa, chính sách kiểm soát truy cập có thể làm tăng thêm vòng đời của hệ thống Khả năng thay đổi chính sách khi cần thiết của một tổ chức là một lợi thế của RBAC

Mặc dầu vậy RBAC là một chính sách tự nhiên, nó hỗ trợ chính xác ba nguyên lý bảo mật nổi tiếng: đặc quyền tối thiểu, phân chia trách nhiệm, và trừu tượng hóa dữ liệu Đặc quyền tối thiểu được hỗ trợ vì RBAC có thể được cấu hình sao cho chỉ có các quyền cho các nhiệm vụ được chỉ đạo bởi các thành viên của vai trò mới được gán vào vai trò đó Sự phân chia trách nhiệm được hỗ trợ để chắc chắn rằng các vai trò loại bỏ lần nhau có thể được gọi để hoàn thành các nhiệm vụ nhạy cảm, giống như sự cần thiết một tài khoản thư ký và một tài khoản quản lý để tham gia vào việc kiểm tra Trừu tượng hóa dữ liệu được hỗ trợ bởi tính chất của các quyền trừu tượng giống như

credit (cho vay) và debit (ghi nợ) của một đối tượng account (tài khoản),

đúng hơn là đọc, ghi, và thực thi các quyền đặc trưng được cung cấp bởi hệ điều hành Tuy nhiên, RBAC không thể ép buộc ứng dụng của các nguyên

lý đó phải tuân theo Một nhân viên bảo mật không thể cấu hình RBAC để

nó vi phạm các nguyên lý đó Ngoài ra mức độ của sự trừu tượng hóa dữ liệu

có thể được xác định bởi sự cài đặt chi tiết

RBAC không phải là giải pháp cho toàn bộ các kiểm soát truy cập được đưa ra RBAC không cố gắng kiểm soát trực tiếp các quyền như một chuỗi các sự kiện Các dạng khác của kiểm soát truy cập có thể được đặt ở tầng trên của RBAC cũng chính vì mục đích này

Một cách tổng quát nhất, RBAC có thể được định nghĩa như sau:

 U, R, PRMS và S trình bày theo thứ tự tập hợp Users - những người

sử dụng, Roles - các vai trò, Permisstions - các quyền, và Sessions - các

phiên

 RH R X R là một phần t rên các vai trò, được gọi là mối quan hệ

ưu thế, được viết tắt là , và định nghĩa một thứ tự các vai trò, đó là r1 r2, với (r1, r2) R

 UA U X R là mối quan hệ gán những người sử dụng với các vai trò

 assign_roles(u:U) , là ánh xạ của một người sử dụng lên trên một tập các vai trò mà cô ta/anh ta được gán Chính xác hơn: assign_roles(u)

= {r R | (u, r) UA}

2.2 Các tiêu chuẩn về RBAC do NIST đề xuất

Tiêu chuẩn này mô tả các tính năng RBAC đã được chấp nhận trong thị trường thương mại Nó bao gồm một mô hình tham chiếu và các chi tiết kỹ thuật đặc tả chức năng cho RBAC được xác định trong mô hình tham chiếu Tiêu chuẩn này bao gồm hai phần chính - mô hình tham chiếu RBAC và hệ thống RBAC với đặc tả chức năng quản trị

Mô hình tham chiếu RBAC định nghĩa tập hợp các yếu tố cơ bản RBAC (tức là, users, roles, permissions, operations, and objects) và các loại quan hệ, các chức năng được bao gồm trong tiêu chuẩn này Mô hình tham chiếu RBAC phục vụ hai mục đích Đầu tiên, mô hình tham chiếu xác định phạm vi của tính năng RBAC được bao gồm trong tiêu chuẩn Xác định các thiết lập tối thiểu các tính năng bao gồm trong tất cả các hệ thống RBAC, các

khía cạnh của hệ thống phân cấp vai trò, các khía cạnh của mối quan hệ ràng buộc tĩnh, và các khía cạnh của mối quan hệ ràng buộc năng động Thứ hai,

mô hình tham chiếu cung cấp một ngôn ngữ chính xác và nhất quán, trong điều khoản của bộ phần tử và các chức năng để sử dụng trong việc xác định các đặc tả chức năng

2.3 Core RBAC

Core RBAC bao gồm 5 yếu tố chính: Users, role, permissisons, operations, objects Trung tâm của RBAC là role nơi role là một cấu trúc xung quanh ngữ nghĩa mà chinh sách truy cập được xây dựng Cơ bản nhất chính là quan hệ giữa user và permission Trong RBAC permission có liên quan đến role, và user được làm thành viên của các role và qua đó có quyền truy cập trên vai trò của mình Hình 2.1 mô tả mối quan hệ giữa users, roles, permission Trong hình sử dụng mũi tên 2 chiều chỉ mối quan hệ nhiều - nhiều Ví

dụ, một người dùng duy nhất có thể được kết hợp với một hoặc nhiều vai trò, và một vai trò duy nhất có thể có một hoặcnhiều thành viên sử dụng

Hình 2.1 Quan hệ user, role, permission [2]

Sự sắp xếp này có tính linh hoạt và độ chi tiết của giao các quyền hạn cho vai trò và người sử dụng vai trò Việc tăng tính linh hoạt trong việc kiểm soát truy cập vào các nguồn tài nguyên cũng tăng cường việc áp dụng các nguyên tắc đặc quyền tối thiểu

2.3.1 Hỗ trợ điều hành

Một trong những tính hay nhất của RBAC là khả năng quản trị mà nó

hỗ trợ Việc quản lý dữ liệu ủy quyền được thừa nhận rộng rãi như là một quá

trình lựa chọn hợp lý với một chi phí lớn và định kỳ Dưới lõi mô hình RBAC, người dùng được gán cho vai trò dựa trên năng lực của họ, quyền hạn

và trách nhiệm Quyền sử dụng có thể dễ dàng bị thu hồi, và nhiệm vụ mới thành lập như là ra lệnh phân công công việc Với RBAC, người sử dụng không được cấp quyền để thực hiện các hoạt động trên cơ sở cá nhân; thay vào đó, quyền hạn được giao cho vai trò của họ Vai trò các người dùng với các quyền hạn mới có thể được thành lập, trong khi quyền hạn cũ có thể bị xóa Khái niệm cơ bản này có lợi thế của việc đơn giản hóa sự hiểu biết và quản lý các quyền hạn: Quản trị hệ thống có thể cập nhật những vai trò mà không cần cập nhật các quyền hạn cho mọi người dùng trên cơ sở cá nhân

Một ưu điểm khác của RBAC là quản trị hệ thống chỉ định yêu cầu truy cập các tài nguyên tại cùng một mức độ trừu tượng như tiến trình kinh doanh thông thường trong một doanh nghiệp Theo mô hình RBAC, hệ thống quản

lý điều hành tạo vai trò cho các vị trí công việc khác nhau trong tổ chức Ví

dụ, một vai trò có thể bao gồm các nhân viên giao dịch hoặc viên chức cho vay tại một ngân hàng, y tá hoặc bác sĩ tại một bệnh viện Các quyền được giao một vai trò hạn chế các thành viên của role để một tập hợp cụ thể của hành động Ví dụ như, trong một hệ thống bệnh viện, vai trò của một bác sĩ có thể bao gồm quyền để thực hiện chẩn đoán, kê toa thuốc và phòng thí nghiệm nhằm kiểm tra; Vai trò của nhà nghiên cứu có thể được hạn chế để thu thập thông tin lâm sàng cho nghiên cứu; Vai trò của nhân viên xã hội có thể được xem xét hồ sơ của bệnh nhân

2.3.2 Quyền hạn

Trong mô hình hóa một hệ thống kiểm soát truy cập, quản trị hệ thống

có thể cho phép quản trị như là một khái niệm trừu tượng mà đề cập đến ràng buộc tùy ý của hoạt động máy tính và các đối tượng tài nguyên, và trong trường hợp của một giao dịch dựa trên hệ thống, quản trị hệ thống có thể mất

các quá trình và các giá trị xem xét Do hoạt động này, người ta có thể xem xét cho phép để đại diện cho một đơn vị hạt nhân của công việc thực hiện trong một môi trường máy tính Tập các quyền được gán cho một vai trò trao quyền tiềm năng để thực hiện nhiệm vụ, chức năng, hoặc bất kỳ một công việc trừu tượng khác liên quan đến hoạt động Phân công một người dùng đến một vai trò cung cấp cho người dùng khả năng để thực hiện các hoạt động này

Quyền được giao cho vai trò phản ánh các quyết định chính sách của tổ chức chủ Những quyền hạn cho phép có thể được chi tiết cả về độ chi tiết của phương pháp và độ chi tiết truy cập Để hiểu được tầm quan trọng của độ chi tiết của phương pháp, ta xem xét sự khác biệt giữa nhu cầu truy cập của một nhân viên và một giám sát viên kế toán trong một ngân hàng Tính năng xác định một vai trò rút tiền là có khả năng để thực hiện một quyền hoạt động gửi tiền tiết kiệm Điều này đòi hỏi phải truy cập đọc và ghi vào các lĩnh vực cụ thể trong một tập tin tiết kiệm Doanh nghiệp cũng có thể xác định một người giám sát vai trò kế toán đó được phép thực hiện các hoạt động điều chỉnh Những hoạt động truy cập yêu cầu đọc và ghi vào các lĩnh vực tương tự của các khoản gửi tiết kiệm là nhu cầu rút tiền Tuy nhiên, các giám sát viên kế toán có thể không được phép để bắt đầu gửi tiền hoặc rút tiền nhưng chỉ thực hiện điều chỉnh sau khi thực hiện Tương tự như vậy, các nhân viên giao dịch không được phép thực hiện bất kỳ điều chỉnh một lần giao dịch đã được hoàn thành Hai vai trò được phân biệt bởi các hoạt động mà có thể được thực thi

và các giá trị được ghi vào giao dịch tập tin đăng nhập

2.3.3 Vai trò

Vai trò là một tập các quyền nhất định, nhiệm vụ và vị trí mô tả tình trạng trong tổ chức, các nhà phát triển tạo ra các vai trò theo các chức năng công việc được thực hiện trong công ty hay tổ chức, cấp các quyền cho các

vai trò này và sau cùng là gán những người sử dụng vào các vai trò này dựa trên cơ sở trách nhiệm và năng lực của công việc đặc thù đó

Một vai trò có thể trình bày một nhiệm vụ cụ thể như là một vai trò bác

sĩ hay vai trò một nhà điều hành kinh doanh Một vai trò bao gồm quyền và trách nhiệm trong đó quyền và trách nhiệm được phân biệt rất rõ ràng Một người có thể có quyền quản lý nhiều phòng ban nhưng anh ta chỉ có trách nhiệm đối với phòng ban cụ thể được quản lý Các vai trò cũng có thể phản ánh trách nhiệm cụ thể được gán vòng quanh qua nhiều người sử dụng, ví dụ như trách nhiệm của một bác sĩ hay một nhân viên làm ca

Các vai trò định nghĩa cả sự cho phép riêng biệt cụ thể để truy cập các tài nguyên và quy mô của các tài nguyên được truy cập Lấy ví dụ một vai trò người điều hành có thể truy cập tất cả các tài nguyên máy tính nhưng không thể thay đổi các quyền truy cập của mình, hay một kiểm toán viên chỉ có thể truy cập vào máy tính để kiểm tra sổ sách Các vai trò được sử dụng để quản trị hệ thống trong nhiều hệ điều hành mạng như NetWare của Novell hay WindowNT của Microsoft

Một câu hỏi thường được hỏi là “sự khác nhau giữa các role và các

group là gì?” Các nhóm user như một đơn vị kiểm soát truy cập thường được

nhiều hệ thống kiểm soát truy cập cung cấp Điểm khác biệt chính giữa hầu hết các group và khái niệm role là group thường đựợc đối xử như một tập hợp những user chứ không phải là một tập hợp các permission Một role một mặt vừa là một tập hợp các user mặt khác lại là một tập hợp các permission Role đóng vai trò trung gian để kết nối hai tập hợp này lại với nhau

Để minh họa bản chất sự khác biệt của group và role, hãy xem xét hệ thống mang tính giả thuyết mà cần gấp đôi thời gian để xác định thành viên nhóm so với xác định permission của nhóm Hãy cho rằng permission của nhóm và thành viên nhóm chỉ có thể được nhân viên bảo mật hệ thống thay

đổi Trong trường hợp này, cơ chế nhóm sẽ trở nên rất gần với khái niệm role của chúng tôi

Một vấn đề được quan tâm nữa là mối quan hệ giữa role và bộ phận Bộ phận là một phần của cấu trúc nhãn bảo mật được sử dụng trong quốc phòng hay các cơ quan nhà nước Bộ phận dựa vào quan điểm cần là biết có nghĩa rộng đối với thông tin có sẵn ở một nhãn bộ phận tương tự nghĩa ngữ nghĩa của role Tuy nhiên, người ta sử dụng bộ phận cho một chính sách sở hữu thông tin một chiều riêng biệt trong hàng rào các nhãn Role không thực hiện chính sách nào thuộc loại này cả

2.3.4 Mô hình core RBAC được định nghĩa như sau:

◗ USERS, Roles, OPS, and OBS (users, roles, operations, and objects, repectively)

◗ UA⊆USERS × ROLES, một ánh xạ nhiều-nhiều giữa người sử dụng

và vai trò(thiết lập quan hệ người dùng và vai trò)

◗ assigned_users: (r: ROLES) → 2USERS

, ánh xạ từ tập roles r vào tập users assigned_users (r) = {u ∈ USERS | (u, r) ∈ UA}

◗ SUBJECTS, tập hợp các chủ thể

◗ subject_user (s: SUBJECTS) → USERS, ánh xạ của đối tượng s lên người dùng liên quan của chủ thể

◗ subject_roles (s: SUBJECTS) → 2ROLES

, các bản đồ của đối tượng s vào một tập hợp các vai trò subject_roles (si) ⊆ {r ∈ ROLES |

(subject_user (si), r) ∈ UA}

2.4 Role hierarchy

Là một thành phần chính của một hệ thống RBAC, phân cấp vai trò đi

xa hơn các cấu trúc core RBAC mô tả ở phần trên, trong khả năng của mình

để miêu tả và quản lý đặc quyền người dùng Những khả năng nâng cao là kết quả của sự kế thừa hoặc các mối quan hệ ngăn chặn được sử dụng để xác định phân cấp vai trò Đơn giản chỉ bằng ưu điểm của vị trí tương đối của một vai trò trong một hệ thống phân cấp vai trò, quyền hạn được giao cho vai diễn được biết đến có chứa, hoặc là có theo vai trò khác trong hệ thống phân cấp

Ngoài ra cho người sử dụng và vai trò của quyền hạn là đặc trưng của cấu trúc vai trò phẳng, vai trò thừa kế mối quan hệ tạo ra một loại thứ ba được

ủy quyền ngoài sử dụng vai trò và phân quyền Nếu một vai trò A kế thừa vai trò B, nó có nghĩa là tất cả các quyền có sẵn của B cũng thông qua vai trò A Nói cách khác, quyền của B là một tập con các quyền của A Hệ thống, tổ chức, phân cấp vai trò được tạo ra thông qua việc thành lập vai trò chiến lược của mối quan hệ thừa kế có giữa các vai trò Thông qua việc tạo ra các mối quan hệ, quản trị tốt hơn có thể xây dựng các chính sách truy cập về tổ chức

cụ thể chức năng và cơ cấu kinh doanh Ví dụ các quyền được ủy quyền cho một vai trò có thể được phân tách ra thành vai trò cấp dưới đại diện cho các chức năng, nhiệm vụ Một khi những vai trò cấp dưới được tạo ra, họ có thể được tái sử dụng trong việc tạo ra các vai trò cấp cao hơn

2.4.1 Xây dựng phân cấp vai trò từ vai trò phẳng

Yếu tố chính của phân cấp vai trò cho thấy rằng vai trò cá nhân trong một tổ chức thường có chức năng chồng chéo; Người sử dụng thuộc về những vai trò khác nhau có thể được ủy quyền cho quyền hạn chung Trong tình huống xấu, có chức năng chung được thực hiện bởi tất cả hoặc hầu hết người

sử dụng trong một bộ phận Ví dụ, các quyền chung có thể liên quan đến khả

năng tải về e-mail, truy cập vào một trang web nội bộ, hoặc điền và nộp chứng từ đi lại Trong trường hợp không phân cấp vai trò, điều đó sẽ không hiệu quả và rất khó khăn để xác định các quyền chung nhiều lần cho một số lượng lớn các vai trò, hoặc gán số lượng lớn người sử dụng với vai trò chung Trong sự hiện diện của một hệ thống phân cấp vai trò, tập các quyền mà bao gồm một chức năng công việc có thể được xác định bởi nhiều vai trò cấp dưới, mỗi trong số đó có thể được tái sử dụng trong việc chia sẻ quyền truy cập thông thường và xây dựng các vai trò khác

Để minh họa cho khả năng chồng chéo của các quyền và chức năng, chúng ta xem xét năm vai trò đặc trưng trong một bệnh viện gồm bệnh nhân, bác sĩ, bác sỹ tim mạch, bác sỹ chuyên khoa, thư ký Bởi vì các bác sĩ tim mạch và bác sĩ chuyên khoa là bác sĩ, nó là thích hợp để giả định rằng tất cả các quyền đã được giao cho các bác sĩ cũng sẽ được giao cho vai trò bác sĩ tim mạch và vai trò của bác sĩ chuyên khoa Từ góc độ quản lý ủy quyền, mỗi khi giao vai trò cho bác sĩ cũng sẽ phải được giao vai trò cho các bác sĩ tim mạch và bác sĩ chuyên khoa Ngoài ra, do bệnh nhân thực thi các nhiệm vụ của một bác sĩ, các quyền giao cho vai trò bệnh nhân cũng sẽ cần phải được giao cho các vai trò bác sĩ, trong khi vai trò bác sĩ không thể giao cho vai trò bệnh nhân Mặc dù các bác sĩ tim mạch và vai trò bác sĩ ung thư có thể được chỉ định một tập hợp chung các quyền, mỗi người trong các vai trò cũng sẽ bao gồm một bộ duy nhất và tách rời các quyền cho các vai trò tương ứng Cuối cùng, vì các nhiệm vụ có liên quan đến thư ký, sẽ hoàn toàn rời rạc từ bất kỳ vai trò khác, đó là lý do để cho rằng sẽ không cho phép chồng chéo đối với các quyền được giao cho thư ký với vai trò tài khoản nhận và các quyền được giao cho bất kỳ bốn vai trò khác của ví dụ này

Bây giờ xem xét vai trò của đồ thị hình 2.2, nó minh họa năm vai trò và các mối quan hệ chồng chéo cho phép mô tả ở trên Trong ví dụ này, vai trò

bác sĩ tim mạch(cardiologist) và ung bướu(oncologist) kế thừa vai trò bác sĩ(physician) và dân cư(resident) Kể từ khi kế thừa quyền và các thành viên đóng vai trò là phản xạ và bắc cầu, cho ví dụ trong hình 2.2, bất kỳ người dùng được gán cho vai trò các bác sĩ tim mạch là ủy quyền cho các quyền được giao cho vai trò bác sĩ tim mạch và ủy quyền cho các quyền được giao cho vai trò bác sĩ và dân cư Không phải tất cả các vai trò có thể liên quan đến

hệ thống dọc Các vai trò bác sĩ tim mạch, ung bướu, và các tài khoản thư ký nhận(accounts receivable clerk) không có thứ bậc liên quan, nhưng họ có thể

kế thừa một số hoặc tất cả các vai trò tương tự, như là trường hợp của bác sĩ tim mạch và ung bướu

Hình 2.2 Ví dụ về chức năng phân cấp vai trò [2]

2.4.2 Phân cấp vai trò tổng quát và hạn chế

Định nghĩa

a Phân cấp vai trò tổng quát(RH)

Phân cấp vai trò chung hỗ trợ định nghĩa đa kế thừa Điều này có nghĩa rằng nó cung cấp khả năng kế thừa quyền cũng như việc đa kế thừa từ hai hay nhiều vai trò nguồn

 RH ROLES × ROLES được gọi là quan hệ kế thừa, viết tắt là , r1 r2 chỉ khi tất cả các quyền của r2 cũng là các quyền của r1 và tất cả người sử dụng của r1 cũng là những người sử dụng của r2 r1 r2 authorized_permissions(r2)  authorized_permissions(r1)

 authorized_users(r: ROLES) → 2^USERS, ánh xạ vai trò r lên trên một tập hợp người sử dụng trong sự hiện diện của một RH, authorized_users(r) = {u USERS | r’ r , (u, r’) UA}

authorized_permissions(r: ROLES) → 2^PRMS, ánh xạ vai trò r lên trên một tập hợp các quyền trong sự hiện diện của một RH

authorized_permissions(r) = {p PRMS | r’ r, (p, r’) PA}

b> Phân cấp vai trò hạn chế (RH)

Phân cấp vai trò hạn chế không hỗ trợ định nghĩa đa kế thừa

Định nghĩa giống như RH tổng quát nhưng có thêm giới hạn sau đây:

Trong thực tế, hệ thống phân cấp vai trò là của hai hệ thống phân cấp vai trò, phân cấp vai trò chung(general role hierarchies) và phân cấp vai trò hạn chế (limited role hierarchies) Phân cấp vai trò chung cung cấp hỗ trợ cho một phần tùy ý để phục vụ như hệ thống phân cấp vai trò bao gồm các khái niệm đa thừa kế các quyền truy cập và thành viên sử dụng trong vai trò Phân cấp vai trò chung cho phép một vai trò có nhiều hơn một kế thừa và đồng thời

có một hoặc hơn một hậu duệ trực tiếp Phân cấp vai trò áp đặt hạn chế các kết quả trong một cấu trúc cây đơn giản (ví dụ, một vai trò có thể có một hoặc nhiều hơn một kế thừa nhưng được giới hạn là một hậu duệ, hoặc ngược lại)

Vai trò trong một hệ thống phân cấp vai trò hạn chế được giới hạn ngay lập tức trong một hậu duệ duy nhất Mặc dù hệ thống phân cấp vai trò hạn chế

không hỗ đa thừa kế, họ vẫn cung cấp những lợi thế quản trị rõ ràng trên vai trò cấu trúc phẳng

Như vậy đến nay trong phần này ví dụ của chúng tôi và đồ thị vai trò

đã được hạn chế tới các cấu trúc cây đơn giản Các chức năng, tổ chức, và đồ thị mô tả như là thừa kế phân cấp vai trò hạn chế Mỗi đồ thị bao gồm một nút gốc chung với hai hoặc nhiều hơn các nốt con miêu tả chính xác các công đoạn của người dùng thành viên

Cho đến nay, việc thực hiện phân cấp vai trò hạn chế vẫn là định mức trong hầu hết các sản phẩm ủy quyền quản lý thương mại phổ biến, mặc dù hệ thống phân cấp vai trò chung cung cấp sự linh hoạt hơn trong việc xác định các cấu trúc vai trò phức tạp là chung cho nhiều người sử dụng

Hình 2.3 kết hợp vai trò tổ chức và chức năng vào một vai trò đồ thị kế thừa Phân cấp vai trò hỗ trợ các khái niệm chung của đa kế thừa, cung cấp khả năng để thừa kế cho phép từ hai hay nhiều vai trò nguồn hơn và để thừa

kế sử dụng thành phần từ hai hoặc nhiều vai trò nguồn Đa kế thừa cung cấp khả năng để xây dựng một vai trò từ nhiều vai trò cấp dưới (với các điều khoản ít hơn) trong việc xác định vai trò và mối quan hệ đó là đặc điểm của các cơ cấu tổ chức và doanh nghiệp, mà những vai trò này được dự định để đại diện Bởi vì hệ thống phân cấp chung đặt không hạn chế về số lượng vai trò thừa kế, vai trò bác sĩ tim mạch có thể thừa kế từ chức năng vai trò chuyên gia và vai trò bộ phận tim mạch của tổ chức Trưởng khoa tim Tiến sĩ McCarthy được gán cho vai trò bác sĩ tim mạch và do đó được ủy quyền cho những đặc quyền mà được gán cho vai trò các bác sĩ tim mạch Hình 2.2 cũng cho phép TS McCarthy được giao cho bất kỳ vai trò mà được thừa kế bởi vai trò bác sĩ tim mạch Bởi vì đồ thị được mô tả trong Hình 2.3 thể hiện một vai trò chung hệ thống cấp bậc, bất kỳ nút trong biểu đồ có thể thừa kế từ nhiều nguồn vai trò Như vậy, vai trò bác sĩ tim mạch có thể thừa kế từ nhiều

nguồn vai trò Vai trò bác sĩ tim mạch có thể thừa kế từ cả hai vai trò chuyên gia và vai trò bộ phận tim mạch, và bởi tính bắc cầu, các quyền được giao cho vai trò các bác sĩ và y học Như vậy, vai trò bác sĩ tim mạch không phải là một chức năng hay một tổ chức vai trò, mà là một sự kết hợp Tương tự như vậy, bác sĩ tim mạch NP cũng là một vai trò kết hợp, và nhờ vai trò thừa kế, như là y tá chuyên khoa tim Các vai trò bác sĩ tim mạch được gọi là một vai trò kết hợp, vì nó kết hợp quyền được ủy quyền của vai trò mà nó được thừa kế

Hình 2.3 Hệ thống phân cấp vai trò chung với chưc năng và tổ chức [2]

2.5 Constrained RBAC[8]

2.5.1 Các quan hệ Static SoD

Quan hệ SOD thường được sử dụng để thực thi các chính sách xung đột

về lợi ích, trong đó phải được phân tích tổ chức rộng, trên toàn hệ thống phân phối[9] Cuộc xung đột quan tâm trong một hệ thống dựa trên vai trò có thể phát sinh như là kết quả của một người sử dụng đạt được ủy quyền cho phép liên kết với các vai trò trái ngược nhau Một phương pháp ngăn chặn hình thức xung đột lợi ích là dùng static SOD - đó là, thực thi các hạn chế về việc