Nghiên Cứu Điều Kiện Tổ Chức Hệ Thống Thông Tin Tại Đại Học Quốc Gia Hà Nội

Bài toán quản lý truy cập hệ thống thông tin đặt ra yêu cầu kiểm soát quyền hạn của người dùng đối với các tài nguyên. Ví dụ, một người dùng cụ thể, hoặc một nhóm người sử dụng, chỉ có thể được phép truy cập vào các tập tin nhất định sau khi đã đăng nhập hệ thống, trong khi đồng thời bị từ chối quyền truy cập vào tất cả các tài nguyên khác. Với điều khiển truy cập theo vai trò (Role Based Access Control – RBAC), mỗi người sử dụng sẽ được gán một hoặc nhiều vai trò, mỗi vai trò có một tập các quyền truy xuất. Quyền truy cập của mỗi người dùng là hợp các tập quyền truy xuất của tất cả các vai trò mà người sử dụng hiện đang thuộc về. RBAC là một phương pháp đơn giản, trực quan và hiệu quả, song nó vẫn còn những hạn chế, chẳng hạn như khi có hai người sử dụng có cùng một vai trò, nhưng quyền truy xuất khác nhau, do có các thông tin ngữ cảnh khác nhau.

Vì thế ta cần bổ sung thêm thông tin ngữ cảnh khi ra quyết định cho phép hay từ chối truy cập. .Net Framework đều hỗ trợ RBAC, tuy nhiên khi cần điều khiển truy cập theo vai trò kết hợp với các thông tin ngữ cảnh khác của người dùng thì mỗi ứng dụng phải tự xây dựng module điều khiển truy cập, việc này nghĩa là ngoài việc cài đặt nghiệp vụ của ứng dụng, họ còn lo phần bảo mật của ứng dụng. Việc tự cài đặt module điều khiển truy cập có thể bị sai sót, dẫn đến các kết quả đáng tiếc. Do vậy, tác giả đã đề xuất phương pháp mở rộng RBAC theo ngữ cảnh bằng phương sử dụng luật và triển khai đề xuất trên . Theo đó, các ứng dụng sẽ không cần phải xây dựng module điều khiển truy cập riêng, mà chỉ cần mô tả tài nguyên cần bảo vệ trong chương trình và định nghĩa các vai trò, các luật trong file điều khiển truy cập.

Có nhiều phương pháp điều khiển truy cập khác nhau, song chúng được chia thành hai loại cơ bản: điều khiển truy cập bắt buộc (Mandatory Access Control - MAC) và điều khiển truy cập tùy quyền (Discretionary Access Control - DAC). Điều khiển truy cập bắt buộc là khắt khe nhất trong tất cả các cấp kiểm soát. Ban đầu MAC được thiết kế để sử dụng bởi chính phủ. MAC có một cách tiếp cận phân cấp để kiểm soát truy cập vào các nguồn tài nguyên. Với MAC, việc điều khiển truy cập tới tất cả các tài nguyên hệ thống được thiết lập bởi người quản trị hệ thống, hay nói cách khác người dùng không có khả năng thay đổi quyền truy cập trên các tài nguyên hệ thống. Trong MAC, mỗi đối tượng trong hệ thống được gán một mức nhạy cảm.

Với MAC, điều khiển truy cập được thiết lập bởi quản trị viên hệ thống (system administrator), thì với DAC, điều khiển truy cập trên một tài nguyên được thiết lập bởi người chủ của tài nguyên đó. DAC là cơ chế kiểm soát truy cập mặc định cho hầu hết các hệ điều hành máy tính cá nhân. Trong DAC, mỗi tài nguyên hệ thống có một danh sách truy cập (Access Control List-ACL). ACL chứa danh sách người dùng, nhóm và quyền truy xuất cho mỗi người dùng, nhóm đó. Ví dụ, người dùng A có quyền read-only, người dùng B có quyền read và write, nhóm quản trị có toàn quyền. Cơ chế của DAC linh hoạt hơn nhiều so với MAC, nhưng cũng làm tăng nguy cơ mất an toàn do không được quản lý tập trung bởi quản trị viên hệ thống.

Với điều khiển truy cập theo vai trò, các quyết định truy cập dựa trên vai trò (role) mà người dùng thuộc về. Ví dụ, một kế toán trong một công ty sẽ được giao cho vai trò kế toán, được phép thực hiện các công việc liên quan đến kế toán. Tương tự như vậy, một kỹ sư phần mềm có thể được giao cho các vai trò nhà phát triển. Khái niệm vai trò ở đây có điểm tương đồng với khái niệm nhóm. Nhóm người dùng thường được xem như một tập hợp người dùng chứ không phải là một tập hợp các quyền hạn, trong khi một vai trò một mặt vừa là một tập hợp người dùng mặt khác lại là một tập hợp các quyền hạn. Trong RBAC mỗi người dùng được gắn với các vai trò, các vai trò được gán một tập quyền. Do người dùng không được cấp phép quyền một cách trực tiếp, chỉ nhận được những quyền hạn thông qua vai trò (hoặc các vai trò) của họ, việc quản lý quyền hạn của người dùng trở thành một việc đơn giản, và người ta chỉ cần chỉ định những vai trò thích hợp cho người dùng mà thôi.

Mô hình này bao gồm các phần tử cơ bản: người dùng (USERS), vai trò (ROLES), các đối tượng (OBS), các thao tác (OPS), các quyền hạn (PRMS) và mỗi quan hệ giữa chúng. Ngoài ra, mô hình RBAC cơ sở còn bao gồm một tập các phiên làm việc (SESSIONS), mỗi phiên làm việc là một ánh xạ giữa một người dùng và một tập con các vai trò được phân công cho người dùng. Một user được hiểu là một người dùng. Tuy nhiên khái niệm người dùng cần được hiểu theo nghĩa rộng, vì nó có thể là máy tính, tác nhân (agent) hay một hệ thống khác. Để đơn giản ta gọi chung là người dùng. Một role là một chức năng công việc trong ngữ cảnh của một tổ chức với một số ngữ nghĩa có liên quan về quyền hạn và trách nhiệm.

Thêm khái niệm về phân cấp vai trò vào RBAC cơ sở. Đó là những vai trò có quyền thừa kế từ các vai trò khác.Ví dụ, nếu vai trò r2 được thừa kế từ r1, và r1 có quyền thiết lập p1 khi đó r2 cũng sẽ có quyền thiết lập p1. Điểm mấu chốt của mô hình này là giữa các vai trò có thể có quan hệ kế thừa, nó cho phép một role con kế thừa tất cả các quyền hạn của role cha.Có hai kiểu kế thừa đó là: Mô hình phân cấp vai trò tổng quát (General Role hierarchies) và Mô hình phân cấp vai trò hạn chế (Limited Role hierarchies). Mô hình phân cấp vai trò tổng quát hỗ trợ đa kế thừa (multiple inheritance). Điều này có nghĩa là một role có thể kế thừa từ nhiều role khác.

RBAC cho phép một người sử dụng có thể có nhiều vai trò khác nhau, các vai trò này có thể có các quyền hạn xung đột nhau. Chẳng hạn như trong hệ thống ngân hàng, các giao dịch được thực hiện bởi giao dịch viên, nhưng các giao dịch đó chỉ được thực hiện khi đã được phê duyệt bởi kiểm soát viên. Rõ ràng, trong ví dụ này, giao dịch viên và kiểm soát viên là hai vai trò xung đột nhau và trong thực tế không thể có chuyện một người vừa là giao dịch viên vừa là kiểm soát viên. Vì thế, cần bổ sung thêm các ràng buộc để tránh xung đột. Thêm các quan hệ phân chia trách nhiệm (Separation of Duty - SOD) vào mô hình RBAC cơ sở. SOD được sử dụng để tránh xung đột về quyền hạn khi một người thuộc về các vai trò khác nhau.

Phù hợp với hầu hết các ứng dụng trong thực tế. Mô hình đơn giản, hiệu quả. Đơn giản trong việc quản trị quyền truy cập, thay vì quản lý quyền truy cập trên từng user ta sẽ quản lý quyền truy cập trên mỗi nhóm. Việc này giúp giảm công sức, thời gian cũng như giảm rủi ro do nhầm lẫn. Mô hình RBAC phân cấp hỗ trợ sự phân cấp vai trò (Role hierarchies) với mối quan hệ cha-con, theo đó tất cả quyền hạn của vai trò cha được kế thừa bởi vai trò con. Điều này ngăn cản sự bùng nổ vai trò và tăng khả năng sử dụng lại trong mô hình RBAC.

Hầu hết các ứng dụng trong thực tế đều có thể điều khiển truy cập theo vai trò, vì thế RBAC có tính phổ dụng cao. Tuy nhiên, nó cũng có một vài hạn chế: Không phù hợp với các ứng dụng có tài nguyên cần bảo vệ là chưa biết trước. Không phù hợp khi quy tắc điều khiển truy cập phức tạp, việc điều khiển truy cập không chỉ dựa vào thông tin về vai trò, mà còn phụ thuộc vào các thông tin ngữ cảnh khác. Không phù hợp với các ứng dụng mà một người dùng có thể mang nhiều vai trò mâu thuẩn nhau. Điều này phần nào được giải quyết với mô hình RBAC ràng buộc tĩnh hay động. Tuy nhiên, khi các quy tắc đảm bảo tính loại trừ là phức tạp và chưa biết trước thì RBAC ràng buộc không đáp ứng được hoặc khó cài đặt.

Claims-based identity là một cách phổ biến cho các ứng dụng khi cần thông tin nhận diện về người dùng trong tổ chức của họ hoặc trong tổ chức khác hoặc trên môi trường Internet. Nó cung cấp một cách tiếp cận thống nhất cho các ứng dụng. Một claim là một phát biểu (Statement) về một thực thể (con người, tổ chức) được thực hiện bởi chính nó hoặc một người khác. Chủ thể cung cấp claim được gọi là provider hay issuer. Ví dụ: Bob là một administrator, Bob có địa chỉ email là bob@foo.