Chương 1. GIỚI THIỆU trình bày tổng quan về đề tài, mục tiêu của đề tài, ý nghĩa khoa học và thực tiễn của vấn đề được nêu ra, giới hạn của đề tài. ĐIỀU KHIỂN TRUY XUẤT trình bày cơ sở lý thuyết về điều khiển truy xuất, các mô hình điều khiển truyền thống và mô hình điều khiển dựa trên thuộc tính ABAC sẽ được áp dụng trong đề tài này. Chương 3: PHƯƠNG PHÁP ĐẶC TẢ CHÍNH SÁCH trình bày tổng quan về việc đặc tả và thực thi chính sách của các mô hình điều khiển truy xuất.
KIẾN TRÚC HỆ THỐNG trình bày kiến trúc tổng quan mô hình của hệ thống đề xuất. 2 Nghiên cứu phát triển cơ chế đặc tả, thực thi chính sách cho mô hình điều khiển truy xuất trên thuộc tính Chương 5. HIỆN THỰC HỆ THỐNG trình bày kiến trúc hiện thực của hệ thống. ĐÁNH GIÁ HỆ THỐNG trình bày kết quả đánh giá hệ thống.
KẾT LUẬN trình bày tổng kết báo cáo và hướng phát triển của đề tài. 3 Nghiên cứu phát triển cơ chế đặc tả, thực thi chính sách cho mô hình điều khiển truy xuất trên thuộc tính Chương 2 ĐIỀU KHIỂN TRUY XUẤT 2.1 Khái niệm về điều khiển truy xuất Điều khiển truy xuất (access control) là quá trình trung gian xử lý nằm giữa câu lệnh truy xuất và nguồn tài nguyên hoặc dữ liệu. Quá trình này được quản lý bởi hệ thống và có nhiệm vụ xác định yêu cầu truy xuất là được phép hay không [30]. Theo một cách khác, điều khiển truy xuất được định nghĩa bao gồm xác thực (authentication) và phân quyền (authorization) [30].
Trong đó, các chính sách định nghĩa các luật cho phép xác định một yêu cầu truy xuất là được phép hay không. Các chính sách sau đó được cụ thể hóa (formalize) trong mô hình truy xuất và sau cùng được thực thi bởi cơ chế điều khiển truy xuất. Ngoài ra, một hệ thống điều khiển truy xuất phải thỏa mãn các tính chất quan trọng sau [30]: - Simple (tính đơn giản): hệ thống phải hỗ trợ cho người quản lý dễ dàng trong việc tạo và chỉnh sửa các đặc tả kỹ thuật về yêu cầu bảo mật. - Expressive: hệ thống phải cung cấp khả năng mô tả các yêu cầu uyển chuyển, có khả năng áp dụng cho nhiều nguồn tài nguyên và loại dữ liệu khác nhau.
- Policy combination: khi có nhiều quyết định nhận được cho một yêu cầu truy xuất, hệ thống phải hỗ trợ việc kết hợp các quyết định này thành một quyết định đơn duy nhất. - Anonymity: có rất nhiều dịch vụ không yêu cầu định danh thực sự của người dùng; do đó, hệ thống cũng cần hỗ trợ điều khiển truy xuất dựa trên đặc tính của người dùng (các định danh kỹ thuật số). - Data outsourcing: xu hướng hiện nay của các doanh nghiệp và thuê nguồn tài nguyên từ bên ngoài; vì vậy, hệ thống được áp dụng phải được đảm bảo điều này. Các mô hình điều khiển truy xuất hiện nay đều dựa trên ba mô hình kinh điển có thể được kể đến là: DAC, MAC và RBAC [26].
Gần đây, mô hình ABAC, là một mô hình mới được giới thiệu, vừa bao gồm ưu điểm của các mô hình truyền thống, vừa rất linh động cho phép biểu diễn các chính sách phân quyền linh động, hiệu quả. 4 Nghiên cứu phát triển cơ chế đặc tả, thực thi chính sách cho mô hình điều khiển truy xuất trên thuộc tính 2.2 Khung điều khiển truy xuất tổng quát Theo Sandhu R. [30], một khung điều khiển truy xuất tổng quát bao gồm các thành phần như hình bên dưới: Hình 2.1: Khung điều khiển truy xuất tổng quát Trong đó: - Authentication: mô hình xác thực người dùng. - Authorization rules: tập các luật phân quyền được định nghĩa dựa theo mô hình <S, O, P> (hoặc <S, O, P, C>).
Với S (Subject) là đại diện cho người dùng hoặc quá trình muốn truy xuất vào dữ liệu, O (Object) là đối tượng dữ liệu mà S muốn truy xuất, P (Privilege hay Permission) đại diện cho các tác vụ xác định mà S có thể thực hiện trên O, và C (Constraint) là những ràng buộc không gian có thể có. - Resources: là dữ liệu đích mà người dùng dự định truy xuất vào. - PIP: Policy Information Point, có nhiệm vụ tạo mới và chỉnh sửa các luật phân quyền nằm trong Authorization rules để phù hợp với nhu cầu nghiệp vụ. - PEP: Policy Enforcement Point, chuyển đổi các yêu cầu nhận được từ phía người dùng sang dạng tương thích với các luật phân quyền được chứa trong Authorization rules, hoặc chuyển đổi các quyết định từ PDP sang dạng người dùng có thể hiểu được.
- PDP: Policy Decision Point, tìm các luật phân quyền có liên quan, so sánh với yêu cầu của người dùng (được chuyển từ PEP) và đưa ra quyết định, chuyển quyết định này cho PEP. Cơ chế hoạt động của khung điều khiển có thể tóm lược như sau: trước hết, người dùng phải là người dùng hợp lệ của hệ thống, PEP nhận yêu cầu từ phía người dùng và chuyển sang dạng tương thích với các luật phân quyền được đã được định nghĩa từ 5 Nghiên cứu phát triển cơ chế đặc tả, thực thi chính sách cho mô hình điều khiển truy xuất trên thuộc tính PIP; sau đó, PEP sẽ chuyển các yêu cầu này cho PDP. Nhiệm vụ của PDP là tìm các luật phân quyền có liên quan, so sánh với các yêu cầu của người dùng, từ đó đưa ra quyết định (cho phép hoặc từ chối), đồng thời, PDP cũng chuyển quyết định ngược lại cho PEP. Để kết thúc quá trình, PEP tiếp tục chuyển các quyết định sang định dạng mà người dùng có thể hiểu được và trả kết quả về cho người dùng.3 Mô hình truyền thống 2.1 Mô hình điều khiển truy cập tùy quyền (DAC) Mô hình điều khiển truy cập tùy quyền (Discretionary Access Control - DAC), quản lý và điều khiển các truy cập của người dùng đến các thông tin dựa vào định danh của người dùng và tập các luật điều khiển truy cập.
Luật điều khiển truy cập định nghĩa với mỗi người dùng và đối tượng (object), sẽ có quy định các loại truy cập mà người dùng được phép làm trên đối tượng đó. Khi người dùng yêu cầu truy cập đến một đối tượng, một bộ phận định quyền (authorization module) sẽ kiểm tra xem người dùng đó có được phép truy cập không. Nếu có thì cho phép, còn không thì từ chối. Trong mô hình điều khiển truy cập tùy quyền thì: - Người dùng có thể bảo vệ những gì thuộc về mình - Chủ của dữ liệu sẽ có toàn quyền trên dữ liệu đó - Chủ của dữ liệu có quyền định nghĩa các loại truy cập đọc/ghi/thực thi (read/write/execute/…) và gán những quyền đó cho những người dùng khác.
Mô hình điều khiển truy cập tùy quyền có thể được thực hiện với nhiều cơ chế khác nhau : - Bảng phân quyền: mỗi phần tử được lưu trong bảng sẽ gồm có 3 thành phần : người dùng (user), hành động (action), thực thể (object) với ý nghĩa là người dùng U có quyền A trên thực thể O.2a là một ví dụ về bảng phân quyền, trong đó người dùng Ann có quyền read trên Document1 - Danh sách điều khiển (Access control list ACL): trong cách thực hiện này mỗi thực thể sẽ được gắn với một danh các người dùng cùng với quyền mà người đó được phép thực hiện.2b là một ví dụ về danh sách điều khiển, trong ví dụ này trên tài liệu Document1 thì Ann có quyền Read, Write và Bob có quyền Read - Danh sách quyền (Capability): trong danh sách này mỗi một người dùng được gắn với một danh sách các thực thể cùng với các hành động được phép thực thi trên thực thể đó.2b là một ví dụ về danh sách quyền, trong đó Ann được quyền 6 Nghiên cứu phát triển cơ chế đặc tả, thực thi chính sách cho mô hình điều khiển truy xuất trên thuộc tính Read/Write trên Document1 , quyền Read trên Document2, quyền execute trên Program1 Hình 2.2: Mô hình điều khiển truy xuất tùy quyền Mô hình này đơn giản nhưng rất hiệu quả và linh động trong việc thể hiện các chính sách điều khiển truy cập. Tuy nhiên, mô hình này lại vướng phải nhược điểm, nó không thể điều khiển thông 7 Nghiên cứu phát triển cơ chế đặc tả, thực thi chính sách cho mô hình điều khiển truy xuất trên thuộc tính tin được truyền và sử dụng như thế nào khi nó được một chủ thể đã được gán quyền truy cập vào. Chính vì thế mà mô hình này có thể bị tấn công bởi Trojan Horse. Từ đây nó sẽ khai thác vào các tài nguyên bí mật, kích hoạt các truy cập trái phép vào dữ liệu.
Điểm yếu này của mô hình DAC được mô tả trong Hình 2. Ngoài ra, mô hình DAC không đủ mạnh để có thể biểu diễn các chính sách mà điều kiện truy cập phụ thuộc vào yếu tố ngoại cảnh.2 Mô hình điểu khiển truy cập bắt buộc (MAC) Không như DAC, MAC không cho phép sự tùy ý điều khiển quyền truy cập dữ liệu cho các chủ thể sở hữu. Việc thực thi các chính sách sẽ phụ thuộc vào sự phân loại các nhãn bảo mật trên các chủ thể và đối tượng. Trong mô hình này, người dùng và dữ liệu được phân loại dựa theo các lớp bảo mật (security classes).
- Phân loại người dùng dựa theo mức độ tin cậy và lĩnh vực hoạt động của người dùng. - Phân loại dữ liệu dựa theo mức độ nhạy cảm và lĩnh vực của dữ liệu. Một mô hình MAC phổ biến là bảo mật đa cấp, còn gọi là Bell-Lapadula yêu cầu quá trình phân quyền phải thỏa mãn 2 nguyên lý là no read up (không được đọc các đối tượng có nhãn bảo mật cao hơn nhãn bảo mật của chủ thể truy cập) và no write down (không được ghi dữ liệu trên các đối tượng có nhãn bảo mật thấp hơn nhãn bảo mật của chủ thể truy cập). Với những nguyên lý này, cơ chế MAC cho phép ngăn chặn dòng chảy thông tin từ các đối tượng có mức bảo mật cao xuống các thông tin có mức bảo mật thấp hơn, do đó ngăn chặn được trojan horse, vấn đề mà DAC không thể giải quyết được.
Mô hình chỉ cung cấp cho các chủ sở hữu giám sát quản lý điều khiển truy cập trên những chủ thể và dữ liệu đã được phân loại cơ bản trước (những dữ liệu được đóng nhãn bảo mật), người tạo ra dữ liệu không có khả năng gán quyền tự do cho bất kì chủ thể nào. Do đó, mô hình này chủ yếu phát triển cho các ứng dụng quân sự cần vững chắc, phù hợp và để đảm bảo dễ dàng điều khiển hơn.