I. Tổng Quan Nghiên Cứu Hệ Thống Thông Tin ĐH QGHN
Các hệ thống phần mềm thường có nhiều người sử dụng, mỗi người sử dụng lại có các vai trò khác nhau, hay nói cách khác họ có tập các đặc quyền khác nhau. Vì thế cần đảm bảo rằng mỗi người sử dụng chỉ có thể thực hiện được các tác vụ mà họ có đặc quyền. Do đó, vấn đề đảm bảo an ninh trong các ứng dụng là một trong các yêu cầu quan trọng, cần quan tâm xem xét. Truy cập là khái niệm để nói đến khả năng thực hiện một tác vụ nào đó (sử dụng, đọc, thay đổi…) của một chủ thể (subject/user) với một tài nguyên máy tính (resource). Kiểm soát truy cập là thuật ngữ dễ gây hiểu nhầm, trong một số trường hợp nó được hiểu như sự kiểm soát quyền truy cập vào hệ thống từ bên ngoài (ví dụ như kiểm soát quá trình đăng nhập, qua đó người dùng được truy cập vào vào máy chủ hay máy cá nhân). Trong thực tế, kiểm soát truy cập như vậy được gọi là xác thực (authenticate) người dùng.Trong khi, kiểm soát truy cập đề cập đến việc kiểm soát quyền truy cập vào tài nguyên hệ thống sau khi thông tin tài khoản của người dùng đã được xác thực.
1.1. Bài Toán Quản Lý Truy Cập Hệ Thống Thông Tin
Bài toán quản lý truy cập hệ thống thông tin đặt ra yêu cầu kiểm soát quyền hạn của người dùng đối với các tài nguyên. Ví dụ, một người dùng cụ thể, hoặc một nhóm người sử dụng, chỉ có thể được phép truy cập vào các tập tin nhất định sau khi đã đăng nhập hệ thống, trong khi đồng thời bị từ chối quyền truy cập vào tất cả các tài nguyên khác. Với điều khiển truy cập theo vai trò (Role Based Access Control – RBAC), mỗi người sử dụng sẽ được gán một hoặc nhiều vai trò, mỗi vai trò có một tập các quyền truy xuất. Quyền truy cập của mỗi người dùng là hợp các tập quyền truy xuất của tất cả các vai trò mà người sử dụng hiện đang thuộc về. RBAC là một phương pháp đơn giản, trực quan và hiệu quả, song nó vẫn còn những hạn chế, chẳng hạn như khi có hai người sử dụng có cùng một vai trò, nhưng quyền truy xuất khác nhau, do có các thông tin ngữ cảnh khác nhau.
1.2. Giải Pháp Mở Rộng RBAC Dựa Trên Ngữ Cảnh
Vì thế ta cần bổ sung thêm thông tin ngữ cảnh khi ra quyết định cho phép hay từ chối truy cập. .Net Framework đều hỗ trợ RBAC, tuy nhiên khi cần điều khiển truy cập theo vai trò kết hợp với các thông tin ngữ cảnh khác của người dùng thì mỗi ứng dụng phải tự xây dựng module điều khiển truy cập, việc này nghĩa là ngoài việc cài đặt nghiệp vụ của ứng dụng, họ còn lo phần bảo mật của ứng dụng. Việc tự cài đặt module điều khiển truy cập có thể bị sai sót, dẫn đến các kết quả đáng tiếc. Do vậy, tác giả đã đề xuất phương pháp mở rộng RBAC theo ngữ cảnh bằng phương sử dụng luật và triển khai đề xuất trên . Theo đó, các ứng dụng sẽ không cần phải xây dựng module điều khiển truy cập riêng, mà chỉ cần mô tả tài nguyên cần bảo vệ trong chương trình và định nghĩa các vai trò, các luật trong file điều khiển truy cập.
II. Điều Khiển Truy Cập Theo Vai Trò RBAC Chi Tiết
Điều khiển truy cập là một phương thức dùng để hạn chế hoặc cho phép người dùng thực hiện thao tác nào đó trên tài nguyên. Các tài nguyên ở đây được hiểu theo nghĩa rộng, nó có thể là các mục dữ liệu trong CSDL, tập tin, máy in v.v. Điều khiển quyền truy cập bao gồm các bước cơ bản: Định danh người dùng (Identification): bước này xác định người dùng hệ thống là ai thông qua việc đưa ra thông tin định danh như username, số chứng minh thư nhân dân… Xác thực người dùng (Authentication): bước này xác định xem người dùng có thực sự có định danh như bước trước hay không thông qua việc đưa ra thông tin xác thực như mật khẩu, vân tay mà chỉ người dùng đó biết hoặc sở hữu. Kiểm soát quyền truy cập (Authorization): bước này xác định xem người dùng được làm gì trong hệ thống.
2.1. Phân Loại Các Phương Pháp Điều Khiển Truy Cập
Có nhiều phương pháp điều khiển truy cập khác nhau, song chúng được chia thành hai loại cơ bản: điều khiển truy cập bắt buộc (Mandatory Access Control - MAC) và điều khiển truy cập tùy quyền (Discretionary Access Control - DAC). Điều khiển truy cập bắt buộc là khắt khe nhất trong tất cả các cấp kiểm soát. Ban đầu MAC được thiết kế để sử dụng bởi chính phủ. MAC có một cách tiếp cận phân cấp để kiểm soát truy cập vào các nguồn tài nguyên. Với MAC, việc điều khiển truy cập tới tất cả các tài nguyên hệ thống được thiết lập bởi người quản trị hệ thống, hay nói cách khác người dùng không có khả năng thay đổi quyền truy cập trên các tài nguyên hệ thống. Trong MAC, mỗi đối tượng trong hệ thống được gán một mức nhạy cảm.
2.2. Ưu Điểm Của Điều Khiển Truy Cập Tùy Quyền DAC
Với MAC, điều khiển truy cập được thiết lập bởi quản trị viên hệ thống (system administrator), thì với DAC, điều khiển truy cập trên một tài nguyên được thiết lập bởi người chủ của tài nguyên đó. DAC là cơ chế kiểm soát truy cập mặc định cho hầu hết các hệ điều hành máy tính cá nhân. Trong DAC, mỗi tài nguyên hệ thống có một danh sách truy cập (Access Control List-ACL). ACL chứa danh sách người dùng, nhóm và quyền truy xuất cho mỗi người dùng, nhóm đó. Ví dụ, người dùng A có quyền read-only, người dùng B có quyền read và write, nhóm quản trị có toàn quyền. Cơ chế của DAC linh hoạt hơn nhiều so với MAC, nhưng cũng làm tăng nguy cơ mất an toàn do không được quản lý tập trung bởi quản trị viên hệ thống.
2.3. Điều Khiển Truy Cập Theo Vai Trò RBAC Hoạt Động Ra Sao
Với điều khiển truy cập theo vai trò, các quyết định truy cập dựa trên vai trò (role) mà người dùng thuộc về. Ví dụ, một kế toán trong một công ty sẽ được giao cho vai trò kế toán, được phép thực hiện các công việc liên quan đến kế toán. Tương tự như vậy, một kỹ sư phần mềm có thể được giao cho các vai trò nhà phát triển. Khái niệm vai trò ở đây có điểm tương đồng với khái niệm nhóm. Nhóm người dùng thường được xem như một tập hợp người dùng chứ không phải là một tập hợp các quyền hạn, trong khi một vai trò một mặt vừa là một tập hợp người dùng mặt khác lại là một tập hợp các quyền hạn. Trong RBAC mỗi người dùng được gắn với các vai trò, các vai trò được gán một tập quyền. Do người dùng không được cấp phép quyền một cách trực tiếp, chỉ nhận được những quyền hạn thông qua vai trò (hoặc các vai trò) của họ, việc quản lý quyền hạn của người dùng trở thành một việc đơn giản, và người ta chỉ cần chỉ định những vai trò thích hợp cho người dùng mà thôi.
III. Các Mô Hình Tham Chiếu RBAC Phổ Biến Hiện Nay
Các mô hình tham chiếu RBAC bao gồm các phần tử cơ bản: User (người dùng), Role (vai trò), Objects (các đối tượng): Là những đối tượng mà người dùng muốn truy xuất, ta còn gọi Object là những tài nguyên hệ thống (system resource). Ví dụ, như tập tin, máy in, bản ghi trong cơ sở dữ liệu… Operations (thao tác): Là các thao tác mà người dùng thực hiện trên Object. Ví dụ như read, write, print… Permissions (quyền hạn): Quyền thực thi Operation của chủ thể trên Object. Có bốn mô hình tham chiếu RBAC: RBAC cơ sở (core RBAC), RBAC phân cấp (hierarchical RBAC), RBAC ràng buộc tĩnh (Static Separation of Duty Relations), RBAC ràng buộc động (Dynamic Separation of Duty Relations).
3.1. Mô Hình RBAC Cơ Sở Core RBAC Chi Tiết
Mô hình này bao gồm các phần tử cơ bản: người dùng (USERS), vai trò (ROLES), các đối tượng (OBS), các thao tác (OPS), các quyền hạn (PRMS) và mỗi quan hệ giữa chúng. Ngoài ra, mô hình RBAC cơ sở còn bao gồm một tập các phiên làm việc (SESSIONS), mỗi phiên làm việc là một ánh xạ giữa một người dùng và một tập con các vai trò được phân công cho người dùng. Một user được hiểu là một người dùng. Tuy nhiên khái niệm người dùng cần được hiểu theo nghĩa rộng, vì nó có thể là máy tính, tác nhân (agent) hay một hệ thống khác. Để đơn giản ta gọi chung là người dùng. Một role là một chức năng công việc trong ngữ cảnh của một tổ chức với một số ngữ nghĩa có liên quan về quyền hạn và trách nhiệm.
3.2. Mô Hình RBAC Phân Cấp Hierarchical RBAC
Thêm khái niệm về phân cấp vai trò vào RBAC cơ sở. Đó là những vai trò có quyền thừa kế từ các vai trò khác.Ví dụ, nếu vai trò r2 được thừa kế từ r1, và r1 có quyền thiết lập p1 khi đó r2 cũng sẽ có quyền thiết lập p1. Điểm mấu chốt của mô hình này là giữa các vai trò có thể có quan hệ kế thừa, nó cho phép một role con kế thừa tất cả các quyền hạn của role cha.Có hai kiểu kế thừa đó là: Mô hình phân cấp vai trò tổng quát (General Role hierarchies) và Mô hình phân cấp vai trò hạn chế (Limited Role hierarchies). Mô hình phân cấp vai trò tổng quát hỗ trợ đa kế thừa (multiple inheritance). Điều này có nghĩa là một role có thể kế thừa từ nhiều role khác.
3.3. RBAC Ràng Buộc Constrained RBAC Hoạt Động Như Thế Nào
RBAC cho phép một người sử dụng có thể có nhiều vai trò khác nhau, các vai trò này có thể có các quyền hạn xung đột nhau. Chẳng hạn như trong hệ thống ngân hàng, các giao dịch được thực hiện bởi giao dịch viên, nhưng các giao dịch đó chỉ được thực hiện khi đã được phê duyệt bởi kiểm soát viên. Rõ ràng, trong ví dụ này, giao dịch viên và kiểm soát viên là hai vai trò xung đột nhau và trong thực tế không thể có chuyện một người vừa là giao dịch viên vừa là kiểm soát viên. Vì thế, cần bổ sung thêm các ràng buộc để tránh xung đột. Thêm các quan hệ phân chia trách nhiệm (Separation of Duty - SOD) vào mô hình RBAC cơ sở. SOD được sử dụng để tránh xung đột về quyền hạn khi một người thuộc về các vai trò khác nhau.
IV. Ứng Dụng Thực Tiễn và Triển Vọng Hệ Thống Thông Tin
RBAC cho phép một người sử dụng có thể có nhiều vai trò khác nhau, các vai trò này có thể có các quyền hạn xung đột nhau. Chẳng hạn như trong hệ thống ngân hàng, các giao dịch được thực hiện bởi giao dịch viên, nhưng các giao dịch đó chỉ được thực hiện khi đã được phê duyệt bởi kiểm soát viên. Rõ ràng, trong ví dụ này, giao dịch viên và kiểm soát viên là hai vai trò xung đột nhau và trong thực tế không thể có chuyện một người vừa là giao dịch viên vừa là kiểm soát viên. Vì thế, cần bổ sung thêm các ràng buộc để tránh xung đột. Thêm các quan hệ phân chia trách nhiệm (Separation of Duty - SOD) vào mô hình RBAC cơ sở. SOD được sử dụng để tránh xung đột về quyền hạn khi một người thuộc về các vai trò khác nhau.
4.1. Ưu Điểm Của RBAC Trong Quản Lý Hệ Thống
Phù hợp với hầu hết các ứng dụng trong thực tế. Mô hình đơn giản, hiệu quả. Đơn giản trong việc quản trị quyền truy cập, thay vì quản lý quyền truy cập trên từng user ta sẽ quản lý quyền truy cập trên mỗi nhóm. Việc này giúp giảm công sức, thời gian cũng như giảm rủi ro do nhầm lẫn. Mô hình RBAC phân cấp hỗ trợ sự phân cấp vai trò (Role hierarchies) với mối quan hệ cha-con, theo đó tất cả quyền hạn của vai trò cha được kế thừa bởi vai trò con. Điều này ngăn cản sự bùng nổ vai trò và tăng khả năng sử dụng lại trong mô hình RBAC.
4.2. Hạn Chế Của RBAC Cần Lưu Ý
Hầu hết các ứng dụng trong thực tế đều có thể điều khiển truy cập theo vai trò, vì thế RBAC có tính phổ dụng cao. Tuy nhiên, nó cũng có một vài hạn chế: Không phù hợp với các ứng dụng có tài nguyên cần bảo vệ là chưa biết trước. Không phù hợp khi quy tắc điều khiển truy cập phức tạp, việc điều khiển truy cập không chỉ dựa vào thông tin về vai trò, mà còn phụ thuộc vào các thông tin ngữ cảnh khác. Không phù hợp với các ứng dụng mà một người dùng có thể mang nhiều vai trò mâu thuẩn nhau. Điều này phần nào được giải quyết với mô hình RBAC ràng buộc tĩnh hay động. Tuy nhiên, khi các quy tắc đảm bảo tính loại trừ là phức tạp và chưa biết trước thì RBAC ràng buộc không đáp ứng được hoặc khó cài đặt.
4.3. Định Danh Dựa Trên Tuyên Bố Claims Based Identity
Claims-based identity là một cách phổ biến cho các ứng dụng khi cần thông tin nhận diện về người dùng trong tổ chức của họ hoặc trong tổ chức khác hoặc trên môi trường Internet. Nó cung cấp một cách tiếp cận thống nhất cho các ứng dụng. Một claim là một phát biểu (Statement) về một thực thể (con người, tổ chức) được thực hiện bởi chính nó hoặc một người khác. Chủ thể cung cấp claim được gọi là provider hay issuer. Ví dụ: Bob là một administrator, Bob có địa chỉ email là bob@foo.
