Luận Văn Thạc Sĩ Khoa Học Máy Tính: Nghiên Cứu Phát Triển Cơ Chế Đặc Tả Thực Thi Chính Sách Cho Mô Hình Điều Khiển Truy Xuất Thuộc Tính

Tổng quan nghiên cứu

Sự phát triển nhanh chóng của các dịch vụ trực tuyến và công nghệ di động đã thúc đẩy nhu cầu lưu trữ, quản lý và chia sẻ thông tin với khối lượng dữ liệu ngày càng lớn, đa dạng về loại hình và tốc độ xử lý cao, gọi chung là dữ liệu lớn (big data). Theo ước tính, việc bảo mật và bảo vệ tính riêng tư trong dữ liệu lớn là một trong mười thách thức hàng đầu của nghiên cứu công nghệ hiện đại. Trong bối cảnh đó, mô hình điều khiển truy xuất (access control) đóng vai trò then chốt trong việc kiểm soát quyền truy cập dữ liệu, đặc biệt trong các lĩnh vực như giao thông, giáo dục, y tế và giải trí.

Tuy nhiên, các mô hình điều khiển truy xuất truyền thống như DAC (Discretionary Access Control), MAC (Mandatory Access Control) và RBAC (Role-Based Access Control) đang bộc lộ nhiều hạn chế khi áp dụng cho dữ liệu lớn, do tính phức tạp, đa dạng và sự phát triển liên tục của dữ liệu. Mô hình điều khiển truy xuất dựa trên thuộc tính (Attribute-Based Access Control - ABAC) được xem là giải pháp tiềm năng với khả năng hỗ trợ các chính sách linh hoạt, mịn màng dựa trên thuộc tính của người dùng, dữ liệu và ngữ cảnh truy cập.

Mục tiêu nghiên cứu của luận văn là phát triển cơ chế đặc tả và thực thi chính sách cho mô hình ABAC trên hệ thống dữ liệu lớn, cụ thể là dữ liệu NoSQL sử dụng MongoDB. Nghiên cứu tập trung xây dựng khối đặc tả, thực thi và đánh giá chính sách bảo mật nhằm nâng cao hiệu quả quản lý truy cập trong môi trường dữ liệu lớn. Phạm vi nghiên cứu bao gồm việc phát triển mô hình ABAC theo chuẩn NIST, sử dụng JSON để lưu trữ chính sách và thử nghiệm trên mô hình document store MongoDB trong khoảng thời gian từ tháng 01 đến tháng 12 năm 2016 tại Trường Đại học Bách Khoa, Đại học Quốc gia TP. HCM.

Việc nghiên cứu này có ý nghĩa khoa học trong việc tạo nền tảng cho các ứng dụng bảo mật dữ liệu lớn, đồng thời có giá trị thực tiễn trong việc nâng cao bảo mật và quản lý truy cập hiệu quả cho các hệ thống dữ liệu lớn hiện nay.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên các lý thuyết và mô hình điều khiển truy xuất sau:

• Mô hình điều khiển truy xuất truyền thống: DAC, MAC và RBAC. DAC cho phép chủ sở hữu dữ liệu tự do phân quyền nhưng không kiểm soát được việc sao chép dữ liệu; MAC áp dụng nhãn bảo mật để kiểm soát truy cập nhưng thiếu linh hoạt; RBAC sử dụng vai trò để quản lý quyền truy cập, giảm thiểu sự phức tạp nhưng gặp vấn đề bùng nổ vai trò và hạn chế trong việc áp dụng các chính sách dựa trên ngữ cảnh.

• Mô hình điều khiển truy xuất dựa trên thuộc tính (ABAC): ABAC mở rộng khả năng kiểm soát truy cập bằng cách sử dụng các thuộc tính của chủ thể, đối tượng và môi trường để quyết định quyền truy cập. Mô hình này cho phép xây dựng các chính sách linh hoạt, mịn màng và thích ứng với các điều kiện ngữ cảnh đa dạng.

• Chuẩn NIST cho ABAC: Mô hình ABAC theo chuẩn NIST bao gồm các thành phần chính như Subject (chủ thể), Object (đối tượng), Subject Attributes, Object Attributes, Environment Conditions và Access Control Policy. Quy trình đánh giá yêu cầu truy cập dựa trên các luật chính sách và thuộc tính liên quan.

• Mô hình XACML (eXtensible Access Control Markup Language): Là chuẩn công nghiệp của OASIS cho việc biểu diễn và thực thi chính sách phân quyền dựa trên thuộc tính, sử dụng XML để mô tả các chính sách và quyết định truy cập. Luận văn đề xuất sử dụng JSON thay cho XML để phù hợp hơn với môi trường dữ liệu lớn và ứng dụng Web 2.0.

Các khái niệm chuyên ngành quan trọng bao gồm: Access Control, Subject, Object, Permission, Policy, Attribute, Environment Condition, Policy Enforcement Point (PEP), Policy Decision Point (PDP), Policy Information Point (PIP), và Policy Administration Point (PAP).

Phương pháp nghiên cứu

• Nguồn dữ liệu: Nghiên cứu sử dụng dữ liệu thử nghiệm sinh ra từ mô hình document store MongoDB, một trong những hệ quản trị cơ sở dữ liệu NoSQL phổ biến, phù hợp với đặc điểm dữ liệu lớn về tính đa dạng và khả năng mở rộng.

• Phương pháp phân tích: Luận văn áp dụng phương pháp nghiên cứu phát triển (R&D) để xây dựng và hiện thực mô hình ABAC, bao gồm các bước: phân tích yêu cầu, thiết kế kiến trúc hệ thống, xây dựng khối đặc tả và thực thi chính sách, phát triển các giải thuật kết hợp chính sách, và đánh giá hiệu năng hệ thống.

• Cỡ mẫu và chọn mẫu: Dữ liệu thử nghiệm được sinh tự động với các thuộc tính và chính sách có độ phức tạp thay đổi nhằm đánh giá khả năng mở rộng và hiệu quả của mô hình. Cỡ mẫu cụ thể được điều chỉnh để phản ánh các mức độ phức tạp khác nhau của thuộc tính và chính sách.

• Timeline nghiên cứu: Nghiên cứu được thực hiện trong vòng 12 tháng, từ tháng 01 đến tháng 12 năm 2016, bao gồm các giai đoạn: khảo sát lý thuyết và mô hình (tháng 1-3), thiết kế và phát triển hệ thống (tháng 4-8), thử nghiệm và đánh giá (tháng 9-11), tổng kết và hoàn thiện luận văn (tháng 12).

• Công nghệ sử dụng: MongoDB làm nền tảng lưu trữ dữ liệu, JSON dùng để lưu trữ chính sách phân quyền, các thuật toán kết hợp chính sách được phát triển để xử lý các yêu cầu truy cập phức tạp.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

1. Hiệu quả của mô hình ABAC trên dữ liệu NoSQL: Kết quả thử nghiệm cho thấy mô hình ABAC có khả năng xử lý các yêu cầu truy cập với độ phức tạp thuộc tính tăng lên đến khoảng 50 thuộc tính mà vẫn duy trì hiệu suất chấp nhận được. So với các mô hình truyền thống, ABAC thể hiện sự linh hoạt và khả năng mở rộng vượt trội.

2. Ảnh hưởng của độ phức tạp chính sách đến hiệu năng: Khi độ phức tạp của chính sách tăng từ 10 đến 100 luật, thời gian đánh giá yêu cầu truy cập tăng trung bình khoảng 30%, tuy nhiên hệ thống vẫn đáp ứng được yêu cầu thời gian thực trong các ứng dụng dữ liệu lớn.

3. Tính linh hoạt trong đặc tả chính sách: Việc sử dụng JSON để lưu trữ chính sách giúp giảm thiểu độ phức tạp so với XML trong XACML, đồng thời dễ dàng tích hợp với các ứng dụng Web và IoT. Điều này hỗ trợ việc xây dựng các chính sách mịn màng dựa trên thuộc tính người dùng, dữ liệu và ngữ cảnh.

4. Khả năng kết hợp các chính sách và luật: Các giải thuật kết hợp chính sách như Deny-overrides, Permit-overrides, First-applicable và Only-one-applicable được phát triển và thử nghiệm thành công, đảm bảo tính nhất quán và chính xác trong quyết định truy cập.

Thảo luận kết quả

Nguyên nhân của hiệu quả trên là do mô hình ABAC tận dụng được các thuộc tính đa dạng để xây dựng chính sách linh hoạt, phù hợp với đặc điểm phức tạp và đa dạng của dữ liệu lớn. So với mô hình RBAC truyền thống, ABAC giảm thiểu vấn đề bùng nổ vai trò và tăng khả năng thích ứng với các điều kiện ngữ cảnh như thời gian, vị trí và trạng thái hệ thống.

Kết quả thử nghiệm cũng cho thấy việc sử dụng JSON thay cho XML trong lưu trữ chính sách giúp giảm thiểu chi phí xử lý và tăng tính tương thích với các ứng dụng hiện đại, nhất là trong môi trường IoT và Web 2.0. Các giải thuật kết hợp chính sách được phát triển đảm bảo việc xử lý các yêu cầu truy cập phức tạp một cách hiệu quả, đồng thời hỗ trợ các chính sách đa chiều.

So sánh với các nghiên cứu trước đây, luận văn đã mở rộng ứng dụng mô hình ABAC vào môi trường dữ liệu lớn NoSQL, một lĩnh vực còn ít được khai thác sâu. Việc thử nghiệm trên MongoDB cũng chứng minh tính khả thi và hiệu quả của mô hình trong thực tế.

Dữ liệu có thể được trình bày qua các biểu đồ thể hiện mối quan hệ giữa độ phức tạp thuộc tính/chính sách và thời gian xử lý, cũng như bảng so sánh hiệu năng giữa các mô hình điều khiển truy cập truyền thống và ABAC.

Đề xuất và khuyến nghị

1. Triển khai mô hình ABAC trong các hệ thống dữ liệu lớn thực tế: Khuyến nghị các tổ chức và doanh nghiệp áp dụng mô hình ABAC để nâng cao bảo mật và quản lý truy cập linh hoạt, đặc biệt trong các hệ thống sử dụng cơ sở dữ liệu NoSQL như MongoDB. Thời gian triển khai dự kiến trong vòng 6-12 tháng, do bộ phận an ninh và phát triển phần mềm phối hợp thực hiện.

2. Phát triển công cụ quản lý và đặc tả chính sách dựa trên JSON: Đề xuất xây dựng các công cụ hỗ trợ tạo, chỉnh sửa và kiểm thử chính sách phân quyền dưới dạng JSON nhằm đơn giản hóa quá trình quản lý và tăng tính tương tác với người dùng. Chủ thể thực hiện là nhóm phát triển phần mềm bảo mật, thời gian 3-6 tháng.

3. Tích hợp các giải thuật kết hợp chính sách nâng cao: Khuyến nghị nghiên cứu và áp dụng các giải thuật kết hợp chính sách đa chiều để xử lý các tình huống truy cập phức tạp, đảm bảo tính nhất quán và an toàn. Thời gian nghiên cứu và triển khai khoảng 6 tháng, do nhóm nghiên cứu bảo mật thực hiện.

4. Đào tạo và nâng cao nhận thức về mô hình ABAC: Tổ chức các khóa đào tạo cho cán bộ quản trị hệ thống và phát triển phần mềm về mô hình ABAC và các kỹ thuật bảo mật dữ liệu lớn nhằm tăng cường năng lực vận hành và bảo mật. Thời gian đào tạo định kỳ hàng năm, do phòng nhân sự và đào tạo phối hợp tổ chức.

Đối tượng nên tham khảo luận văn

1. Nhà nghiên cứu và sinh viên ngành Khoa học máy tính, An toàn thông tin: Luận văn cung cấp cơ sở lý thuyết và phương pháp thực nghiệm về mô hình ABAC, giúp mở rộng kiến thức và phát triển các đề tài nghiên cứu liên quan đến bảo mật dữ liệu lớn.

2. Chuyên gia phát triển hệ thống quản lý dữ liệu lớn: Các kỹ sư và nhà phát triển phần mềm có thể áp dụng mô hình và giải thuật trong luận văn để xây dựng hệ thống bảo mật truy cập hiệu quả, đặc biệt trong môi trường NoSQL.

3. Quản trị viên hệ thống và an ninh mạng: Luận văn cung cấp các kiến thức về đặc tả và thực thi chính sách bảo mật, giúp quản trị viên thiết kế và vận hành các chính sách truy cập phù hợp với yêu cầu bảo mật hiện đại.

4. Doanh nghiệp và tổ chức sử dụng dữ liệu lớn: Các tổ chức trong lĩnh vực y tế, giáo dục, giao thông, giải trí có thể tham khảo để nâng cao bảo mật dữ liệu, đảm bảo quyền riêng tư và tuân thủ các quy định pháp luật liên quan.

Câu hỏi thường gặp

1. Mô hình ABAC khác gì so với RBAC truyền thống?
   ABAC sử dụng thuộc tính của người dùng, dữ liệu và ngữ cảnh để quyết định truy cập, trong khi RBAC dựa trên vai trò cố định. ABAC linh hoạt hơn, phù hợp với môi trường dữ liệu lớn và đa dạng.

2. Tại sao chọn MongoDB làm nền tảng thử nghiệm?
   MongoDB là hệ quản trị cơ sở dữ liệu NoSQL phổ biến, hỗ trợ dữ liệu bán cấu trúc và phi cấu trúc, phù hợp với đặc điểm dữ liệu lớn và yêu cầu mở rộng của nghiên cứu.

3. Việc sử dụng JSON thay cho XML có lợi ích gì?
   JSON nhẹ hơn, dễ đọc, dễ tích hợp với các ứng dụng Web và IoT, giúp giảm chi phí xử lý và tăng hiệu quả lưu trữ chính sách so với XML trong XACML.

4. Các giải thuật kết hợp chính sách hoạt động như thế nào?
   Các giải thuật như Deny-overrides, Permit-overrides giúp tổng hợp nhiều quyết định truy cập thành một quyết định duy nhất, đảm bảo tính nhất quán và chính xác trong môi trường có nhiều chính sách chồng chéo.

5. Mô hình ABAC có thể áp dụng cho những lĩnh vực nào?
   ABAC phù hợp với các lĩnh vực có dữ liệu lớn và yêu cầu bảo mật cao như y tế, giáo dục, giao thông, tài chính, và các hệ thống đám mây, IoT, nơi cần kiểm soát truy cập linh hoạt theo nhiều thuộc tính và ngữ cảnh.

Kết luận

• Luận văn đã nghiên cứu và phát triển thành công cơ chế đặc tả và thực thi chính sách cho mô hình điều khiển truy xuất dựa trên thuộc tính (ABAC) trên nền tảng dữ liệu lớn NoSQL MongoDB.
• Mô hình ABAC thể hiện ưu điểm vượt trội về tính linh hoạt, khả năng mở rộng và thích ứng với các điều kiện ngữ cảnh so với các mô hình truyền thống như DAC, MAC và RBAC.
• Việc sử dụng JSON để lưu trữ chính sách giúp đơn giản hóa quá trình quản lý và tăng tính tương thích với các ứng dụng hiện đại.
• Các giải thuật kết hợp chính sách được phát triển đảm bảo tính nhất quán và hiệu quả trong xử lý các yêu cầu truy cập phức tạp.
• Hướng phát triển tiếp theo bao gồm mở rộng mô hình cho các hệ thống dữ liệu lớn đa dạng hơn, phát triển công cụ quản lý chính sách và tích hợp với các nền tảng đám mây.

Để tiếp tục nâng cao bảo mật dữ liệu lớn, các nhà nghiên cứu và chuyên gia công nghệ được khuyến khích áp dụng và phát triển mô hình ABAC trong các hệ thống thực tế, đồng thời tham khảo luận văn để có cái nhìn toàn diện và sâu sắc về cơ chế điều khiển truy xuất hiện đại.