Tải bản đầy đủ (.pdf) (27 trang)

Nghiên cứu phát triển các giải pháp kiểm soát truy nhập đảm bảo an toàn an ninh cho mạng máy tính

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (338.74 KB, 27 trang )

Bộ giáo dục v đo tạo
Trờng đại học Bách khoa h nội


lê thanh




Nghiên cứu phát triển các giải pháp
KIểM SOáT TRUY NHậP đảm bảo
an ton an ninh cho mạng máy tính

Chuyên ngành: bảo Đảm toán học cho máy tính và hệ thống tính toán
M số : 62.46.35.01



Tóm tắt luận án tiến sĩ toán học







H Nội 2009

Công trình đợc hoàn thành tại:
Trờng đại học Bách khoa h nội


Ngời hớng dẫn khoa học:
GS.TS. Nguyễn Thúc Hải, TS. Nguyễn Văn Ngọc





Phản biện 1: PGS. TS. Nguyễn Văn Tam,
Viện Công nghệ Thông tin, Viện KH&CN Việt Nam.
Phản biện 2: PGS. TS. Nguyễn Quang Hoan,
Học viện Công nghệ Bu chính Viễn thông.
Phản biện 3: PGS. TS. Nguyễn Văn Xuất,
Học viện Kỹ thuật Quân sự.



Luận án đã đợc bảo vệ trớc Hội đồng Chấm Luận án Tiến sỹ cấp Nhà nớc
họp tại : Trờng Đại học Bách khoa Hà Nội.
Vào hồi 11 giờ 00 ngày 10 tháng 11 năm 2009




Có thể tìm hiểu luận án tại:
Th viện Quốc gia, Th viện Trờng Đại học Bách khoa Hà Nội.
các công trình Đ CÔNG Bố liên quan đến luận án

[1] Lê Thanh, Nguyễn Thúc Hải (2004), Phát triển giao thức xác
thực kiểu Kerberos kết hợp kiểm soát truy nhập dựa trên vai
cho hệ thống quản lý tài nguyên, Tạp chí Tin học và Điều

khiển học, 20(4), tr. 305-318.
[2] Lê Thanh, Nguyễn Văn Ngọc, Nguyễn Thúc Hải (2005), Phân
cấp vai trong mô hình kiểm soát truy nhập dựa trên vai với ràng
buộc thời gian, Tạp chí Tin học và Điều khiển học, 21(3), tr.
230-243.
[3] Lê Thanh, Nguyễn Văn Ngọc, Nguyễn Thúc Hải (2006), Sự
phân ly trách nhiệm trong mô hình kiểm soát truy nhập dựa
trên vai với ràng buộc thời gian, Tạp chí Tin học và Điều
khiển học, 22(2), tr. 164-179.
[4] Lê Thanh, Nguyễn Văn Ngọc, Nguyễn Thúc Hải (2006), Ràng
buộc số lợng và phân ly trách nhiệm trong mô hình kiểm soát
truy nhập dựa trên vai với ràng buộc thời gian, Kỷ yếu Hội
thảo khoa học quốc gia lần thứ ba về Nghiên cứu, phát triển và
ứng dụng Công nghệ thông tin và Truyền thông, Hà Nội, 20-
21/5/2006 (ICT.rda 06), tr. 367-378.
[5] Lê Thanh, Nguyễn Văn Ngọc, Nguyễn Thúc Hải (2008), Xây
dựng khung làm việc cho hệ thống kiểm soát truy nhập theo mô
hình GTRBAC, Kỷ yếu Hội thảo khoa học quốc gia lần thứ t
về Nghiên cứu, phát triển và ứng dụng Công nghệ thông tin và
Truyền thông, Hà Nội, 8-9/8/2008 (ICT.rda 08), tr. 353-362.





1
Phần mở đầu
1. Tính cấp thiết của đề tài luận án
Cùng với sự bùng nổ của công nghệ thông tin và viễn thông, các dịch
vụ và giao dịch trên mạng ngày càng phát triển nhanh chóng với qui mô

rộng khắp, nhu cầu đảm bảo an toàn an ninh thông tin trở nên cấp thiết.
Trong bối cảnh mạng Internet phát triển mạnh mẽ và tình hình xâm phạm
an ninh mạng ngày càng nhiều thì yêu cầu về bảo vệ an toàn truy nhập
mạng trở nên cấp bách và việc nghiên cứu phát triển các giải pháp kiểm
soát truy nhập mạng đang thu hút sự quan tâm của nhiều nhà khoa học
trên thế giới. Một mô hình kiểm soát truy nhập xuất hiện trong những
năm gần đây là mô hình kiểm soát truy nhập dựa trên vai RBAC (Role-
Based Access Control), là một lựa chọn tốt thay thế các mô hình kiểm
soát truyền thống : kiểm soát truy nhập tuỳ ý DAC (Discretionary Access
Control), kiểm soát truy nhập bắt buộc MAC (Mandatory Access
Control). Trong kiểm soát truy nhập, kiểm soát các ràng buộc về thời gian
truy nhập để kiểm soát việc sử dụng tài nguyên là một yêu cầu bắt buộc.
Đề cập về các yêu cầu kiểm soát truy nhập theo thời gian, Bertino và cộng
sự đề xuất (1999) một mô hình kiểm soát truy nhập dựa trên vai ràng
buộc thời gian TRBAC (Temporal Role-Based Access Control), mà mới
đây đã đợc Joshi và cộng sự tổng quát hoá (2001), phát triển (2005)
trong mô hình kiểm soát truy nhập dựa trên vai ràng buộc thời gian tổng
quát GTRBAC (Generalized Temporal Role-Based Access Control).
Mặt khác, trong mọi hệ thống kiểm soát truy nhập mạng, xác thực là
điều kiện bắt buộc. Vấn đề tích hợp xác thực với kiểm soát truy nhập dựa
trên vai đã đợc Yong Yan và cộng sự (2002) mô tả kết quả cài đặt thực
nghiệm một giao thức xác thực kiểu Kerberos, tích hợp thông tin vai
(role) của các định danh hệ thống vào vé dịch vụ nhằm thực hiện xác thực
kết hợp với kiểm soát truy nhập dựa trên vai theo mô hình RBAC, đợc
chúng tôi gọi là Kerberos-role. Tuy nhiên, Yong Yan và cộng sự dùng
thực nghiệm để xây dựng Kerberos-role, không chứng minh hình thức
tính đúng đắn của giao thức này.




2
Với các phân tích trên, chúng tôi thực hiện đề tài luận án: Nghiên cứu
phát triển các giải pháp kiểm soát truy nhập đảm bảo an toàn an ninh
cho mạng máy tính.
2. Mục đích và đối tợng nghiên cứu
Phát triển mô hình GTRBAC theo các hớng: các quan hệ phân cấp
vai; ràng buộc số lợng và phân ly trách nhiệm; phát triển khung làm việc
của mô hình GTRBAC: đề xuất khung làm việc ATRBAC-XML thực thi
kiểm soát truy nhập dựa trên vai căn cứ theo nội dung thông tin và thông
tin ngữ cảnh. Sử dụng phơng pháp giải tích chứng minh tính đúng đắn,
tính hội tụ của giao thức xác thực Kerberos-role. Kiểm nghiệm các kết
quả nghiên cứu lý thuyết về các quan hệ phân cấp vai, các ràng buộc số
lợng, phân ly trách nhiệm SoD (Separation of duty) trong khung làm việc
ATRBAC-XML thông qua cài đặt thử nghiệm.
3. Phơng pháp nghiên cứu
Phơng pháp giải tích: phân tích và chứng minh tính đúng đắn của
giao thức Kerberos-role (áp dụng logic BAN); chứng minh tính bắc cầu
của các loại phân cấp vai, tính đúng đắn của tập luật suy diễn đối với các
quan hệ phân cấp vai theo thời gian, mối quan hệ tơng đơng giữa một
số ràng buộc phân ly trách nhiệm.
Phơng pháp thực nghiệm: Kiểm nghiệm các kết quả nghiên cứu lý
thuyết thông qua cài đặt thử nghiệm hệ thống kiểm soát truy nhập thông
tin tuyển sinh của một trờng đại học ở Việt Nam có thi môn năng khiếu.
4. ý nghĩa khoa học và ý nghĩa thực tiễn của đề tài luận án
ý nghĩa khoa học của đề tài: Nghiên cứu phát triển mô hình GTRBAC
về các mặt: Các quan hệ phân cấp vai trong khoảng thời gian chu kỳ. Các
ràng buộc số lợng chủ yếu, đặc biệt là ràng buộc phân ly trách nhiệm.
Phát triển khung làm việc của mô hình GTRBAC: đề xuất khung làm việc
ATRBAC-XML thực thi kiểm soát truy nhập dựa trên vai căn cứ theo nội
dung thông tin và thông tin ngữ cảnh dùng cho mạng nội bộ của một tổ

chức. Sử dụng phơng pháp giải tích chứng minh hình thức tính đúng đắn
của giao thức Kerberos-role (giải pháp tích hợp xác thực và kiểm soát truy
nhập dựa trên vai).



3
ý nghĩa thực tiễn của đề tài: Khung làm việc ATRBAC-XML bớc
đầu đợc thử nghiệm trong hệ thống kiểm soát truy nhập thông tin tuyển
sinh của một trờng đại học ở Việt Nam có thi môn năng khiếu.
5. Cấu trúc của luận án
Gồm phần mở đầu, ba chơng nội dung, kết luận, tài liệu tham khảo,
phụ lục. Trong đó: Chơng 1- Các phơng pháp kiểm soát truy nhập áp
dụng cho mạng máy tính. Chơng 2 - Xác thực, kiểm soát truy nhập dựa
trên vai ràng buộc thời gian. Chơng 3 - Xây dựng khung làm việc cho hệ
thống kiểm soát truy nhập theo mô hình GTRBAC trong mạng nội bộ.
Chơng 1 Các phơng pháp kiểm soát truy nhập
áp dụng cho mạng máy tính
1.1. Mối quan hệ giữa các dịch vụ an toàn an ninh mạng máy tính
Trình bày các dịch vụ an toàn an ninh mạng chủ yếu: xác thực, kiểm
soát truy nhập, kiểm toán (đặc biệt là phát hiện xâm nhập) và mối quan hệ
mật thiết giữa chúng.
1.2. Phát hiện xâm nhập
Phân tích và đánh giá u nhợc điểm của các loại hệ thống phát hiện
xâm nhập theo chức năng ở mức mạng, mức máy. Minh hoạ mô hình an
toàn an ninh mạng nội bộ (Intranet) với nhiều lớp bảo vệ.
1.3. Xác thực và logic xác thực
So sánh các phơng pháp xác thực dựa trên mật mã khoá công khai và
mật mã khoá bí mật. Giới thiệu logic BAN (logic xác thực do Michael
Burrows, Martin Abadi và Roger Needham đề xuất năm 1989), giao thức

xác thực Kerberos dùng khoá bí mật.
1.4. Kiểm soát truy nhập
Trình bày nguyên lý, quản trị cấp quyền của các mô hình kiểm soát
truy nhập truyền thống (kiểm soát truy nhập tuỳ ý, kiểm soát truy nhập
bắt buộc) và các mô hình kiểm soát truy nhập dựa trên vai RBAC96,
TRBAC, GTRBAC. Phân tích u, nhợc điểm của chúng.




4
Chơng 2 Xác thực, kiểm soát truy nhập dựa
trên vai rng buộc thời gian
2.1. Hệ thống xác thực Kerberos-role: [1]











Minh hoạ giao thức Kerberos-role theo thời gian
Giao thức Kerberos-role: Máy khách truy nhập máy chủ dịch vụ:
Bớc 1
: Lấy khoá phiên và vé giao tiếp với dịch vụ S
(1) C PKDC : (C, addr, S, n)

(thực hiện trên lớp cổng bảo mật SSL - Secure Socket Layer)
(4) PKDC C : {K
C
,
S

, n, {ticket(C, S)}K
S
}K
C

Bớc 2
: Truy nhập dịch vụ S
(5) C S : ({auth(C)}K
C
,
S

,{ticket(C, S)}K
S
, {n, M
1
}K
C
,
S
)
(6) S C : ({n}K
C
,

S

, M
2
). M
1

là yêu cầu dịch vụ của C, M
2

là đáp ứng yêu cầu
dịch vụ của S cho C, role (C) là vai của định danh C trong hệ thống.
auth(C)

= (C, addr, t), ticket(C, S) = (C, addr, role(C), S, t
1

, t
2

, t
f

, t
n

, K
C
,
S

)
Các giao thức con của Kerberos-role:
Giao thức đăng ký định danh
(1) C PKDC : (C, p, n) (thực hiện trên SSL)
(2) PKDC KDC : ({auth(PKDC)}K
PKDC
,
KDC

,
{ticket(PKDC, KDC)}K
KDC

,{C, p, role(C), n}K
PKDC
,
KDC

)
Máy
khách
C
Máy
uỷ nhiệm
PKDC
Máy chủ
cấp phát vé
KDC
Máy chủ
dịch vụ

S
1
4
5
6
2
3



5
(*)

(3) KDC PKDC : {{n}K
C
}K
PKDC

(4) PKDC C : {n}K
C

Giao thức lấy vé dịch vụ
(1) C PKDC : (C, addr, S, n) (thực hiện trên SSL)
(2) PKDC KDC : ({auth(PKDC)}K
PKDC
,
KDC

,
{ticket(PKDC, KDC)}K

KDC

,{C, addr, role(C), S, n}K
PKDC
,
KDC

)
(3) KDC PKDC :

{{K
C
,
S

, n, {ticket(C, S)}K
S

}K
C

}K
PKDC

(4) PKDC C : {K
C
,
S

, n, {ticket(C, S)}K

S

}K
C

Giao thức yêu cầu dịch vụ
(5) C S : ({auth(C)}K
C
,
S

, {ticket(C, S)}K
S

, {n, M
1
}K
C
,
S
)
(6) S C : ({n}K
C
,
S

, M
2
)
Giao thức cập nhật định danh (C là định danh mới của C)

(1) C PKDC : (C, {C, C, p}K
C

, n) (thực hiện trên SSL)
(2) PKDC KDC : ({auth(PKDC)}K
PKDC
,
KDC

,
{ticket(PKDC, KDC)}K
KDC
,{C, {C, C, p}K
C

, role(C), n}K
PKDC
,
KDC
)
(3) KDC PKDC :

{{n}K
C
}K
PKDC

(4) PKDC C : {n}K
C


Giao thức làm mới vé: là chức năng riêng của KDC, làm mới các vé
hết hạn và các vé cũ không hợp lệ trong cơ sở dữ liệu vé.
2.1.3. áp dụng logic BAN phân tích giao thức Kerberos-role: [1]
2.1.3.1. Phân tích giao thức Kerberos-role trờng hợp tổng quát:
Từ mục này ký hiệu KDC là S, PKDC là P, auth(A) = (T
A
, A) và
ticket(A,B) = (A, B, role(A), T
AB

, K
AB
). Với T
A

là thời gian phát hành bộ
xác thực auth(A), T
AB

= (t
1
, t
2

, t
f

, t
n
) trong vé ticket(A, B), K

AB

là khoá
phiên giữa A và B, địa chỉ addr của thành phần máy khách đợc hiểu là
gộp vào định danh thành phần máy khách. Trong hệ thống, vì S cấp phát
tất cả các khoá phiên giao tiếp và các khoá riêng cho các thành phần trong
hệ thống nên các giả thiết sau đợc thừa nhận:
P
|

P
K
PS
S , A
|

A
K
A
S , B
|

B
K
B
S , S
|

A
K

A
B
B ,
S
|

P
K
PS
S , S
|

A
K
A
S , S
|

B
K
B
S , S
|

#(A
K
A
B
B),
P

|

P
K
P
S , S
|

S
K
S
S , A
|

K.(S
|


A
K
B) ,
S
|

P
K
P
S , B
|


S
|


role(A), B
|

K.(S
|


A
K
B) ,
A
|

#(T
A
) , S
|

#(T
P
) , A
|

K.(S
|



#(A
K
B)) ,
B
|

#(T
A
) , B
|

#(T
AB
) , B
|

K.(S
|


#(A
K
B)) .



6
Giao thức Kerberos-role trờng hợp tổng quát:
(1) A P : (A, B, n) (thực hiện trên SSL)

(2) P S : ({T
P

, P}K
PS

,{P, S, role(P), T
PS

, K
PS
}K
S
,{A, B, role(A), n}K
PS
)
(3) S P :

{{K
AB

, {A, B, role(A), T
AB

, K
AB
}K
B

, n}K

A
}K
P

(4) P A : {K
AB

, {A, B, role(A), T
AB

, K
AB
}K
B

, n}K
A

(5) A B : ({T
A
, A}K
AB

,{A, B, role(A), T
AB

, K
AB
}K
B


,{M
1

, n}K
AB
)
(6) B A : ({n}K
AB

, M
2
). M
1
là thông báo hoặc yêu cầu của A gửi cho B, M
2

là đáp ứng của B. Dạng hình thức của các thông báo trong giao thức:
(1) A P : (A, B, n)
(không thuộc đặc tính logic của giao thức)
(2) P S : ({T
P
, P
K
PS
S}K
PS
,{T
PS
, P

K
PS
S, role(P)}K
S
,{A, B, role(A), n}K
PS
)
(3) S P : {{A
K
AB
B, {T
AB

, A
K
AB
B, role(A)}K
B

, n}K
A
}K
P

(4) P A : { A
K
AB
B, {T
AB


, A
K
AB
B, role(A)}K
B

, n}K
A

(5) A B : ({T
A

, A
K
AB
B}K
AB

, {T
AB

, A
K
AB
B, role(A)}K
B

, {M
1


, n}K
AB

)
(6) B A : ({A
K
AB
B, #(A
K
AB
B), n}K
AB

, M
2
)


Chúng tôi đa ra và chứng minh các bổ đề, định lý, hệ quả sau:
Bổ đề 2.1: Với giả thiết (*), khi B nhận đợc từ A thông báo :
({T
A

, A
K
AB
B}K
AB

,{T

AB

, A
K
AB
B, role(A)}K
B

,{M, n}K
AB
) (2.1)
thì : B
|

A
K
AB
B , B
|

A
|

A
K
AB
B, B
|

role(A), B

|

A
|


.
M
Định lý 2.1: Với giả thiết (*), giao thức Kerberos-role trờng hợp tổng
quát hợp logic và đạt đợc các mục tiêu xác nhận sau :
A
|

A
K
AB
B , A
|

B
|

A
K
AB
B, B
|

A
|



.
M
1
,
B
|

A
K
AB
B , B
|

A
|

A
K
AB
B, B
|

role(A) .
2.1.3.2. Phân tích các giao thức con của Kerberos-role:
Giao thức lấy vé dịch vụ
(1) A P : (A, B, n) (thực hiện trên SSL)
(2) P S : ({T
P


, P}K
PS

,{P, S, role(P),T
PS

, K
PS
}K
S

,{A, B, role(A), n}K
PS
)
(3) S P :

{{K
AB

, {A, B, role(A), T
AB

, K
AB
}K
B

, n}K
A

}K
P

(4) P A : {K
AB

, {A, B, role(A), T
AB

, K
AB
}K
B

, n}K
A

Dạng hình thức của các thông báo trong giao thức nh sau:
(1) A P : (A, B, n)
(không thuộc đặc tính logic của giao thức)
(2) P S : ({T
P
, P
K
PS
S}K
PS

,{T
PS


, P
K
PS
S, role(P)}K
S

,{A, B, role(A), n}K
PS
)



7
(3) S P :

{{A
K
AB
B, {T
AB

, A
K
AB
B, role(A)}K
B

, n}K
A

}K
P

(4) P A : {A
K
AB
B, {T
AB

, A
K
AB
B, role(A)}K
B

, n}K
A

Hệ quả 2.1: Với giả thiết (*) thì giao thức lấy vé dịch vụ hợp logic và đạt
đợc các mục tiêu xác nhận :
A
|

A
K
AB
B, A {T
AB

, A

K
AB
B, role(A)}K
B

và A n.
Giao thức yêu cầu dịch vụ
(1) A B : ({T
A

, A}K
AB

, {A, B, role(A), T
AB

, K
AB
}K
B

, { M
1
, n}K
AB
)
(2) B A : ({n}K
AB

, M

2
) . M
1

là yêu cầu dịch vụ do A gửi cho B.
M
2
là đáp ứng của B gửi cho A. Dạng hình thức của các thông báo là:
(1) A B : ({T
A

, A
K
AB
B}K
AB

, T
AB

, A
K
AB
B, role(A)}K
B

,{M
1
, n}K
AB

)
(2) B A : ({A
K
AB
B, #(A
K
AB
B), n}K
AB

, M
2
)


Hệ quả 2.2: Với giả thiết (*) thì giao thức yêu cầu dịch vụ hợp logic và
đạt đợc các mục tiêu xác nhận :
B
|

A
K
AB
B, B
|

A
|

A

K
AB
B, B
|

role(A), B
|

A
|

.
M.
Giao thức đăng ký định danh
(1) A P : (A, p, n) (thực hiện trên SSL)
(2) P S : ({T
P

, P}K
PS

,{P, S, role(P),T
PS

, K
PS
}K
S

,{A, p, role(A), n}K

PS
)
(3) S P :

{{n}K
A
}K
P

(4) P A : {n}K
A

n là mã hiệu do A tạo ra ban đầu, p là mật khẩu của thành phần máy khách
A. Dạng hình thức của các thông báo: (1) A P : (A, p, n)
(2) P S : ({T
P

, P
K
PS
S}K
PS

,{T
PS

, P
K
PS
S, role(P)}K

S

, {A, p, role(A), n}K
PS
)
(3) S P : {{A
K
A
S, n}K
A
}K
P
(4) P A : {A
K
A
S, n}K
A

Bổ đề 2.2: Với giả thiết (*), khi A nhận đợc thông báo : {A
K
A
S, n}K
A
thì
A
|

S
|


A
K
A
S và A n (n là mã hiệu A đã gửi đi trớc đó).
Định lý 2.2: Với giả thiết (*) thì giao thức đăng ký định danh hợp logic và
đạt đợc các mục tiêu xác nhận : A
|

S
|

A
K
A
S và A n.
Giao thức cập nhật định danh
(1) A P : (A,{A, A, p}K
A

, n) (thực hiện trên SSL)
(2) P S : ({T
P

, P}K
PS

,{P, S, role(P), T
PS

, K

PS
}K
S
,
{A, {A, A, p}K
A

, role(A), n}K
PS

)
(3) S P :

{{n}K
A
}K
P

(4) P A: {n}K
A




8
n là mã hiệu do A tạo ra ban đầu, p là mật khẩu của thành phần máy
khách A. Dạng hình thức của các thông báo trong giao thức:
(1) A P : (A,{A, A, p}K
A


, n) (không thuộc đặc tính logic của giao thức)
(2) P S : ({T
P

, P
K
PS
S}K
PS

,{T
PS

, P
K
PS
S, role(P)}K
S

,
{A,{A, A, p}K
A

, role(A), n}K
PS
)
(3) S P : {{A
K
A
S, n}K

A
}K
P
(4) P A: {A
K
A
S, n}K
A

Định lý 2.3: Với giả thiết (*) thì giao thức cập nhật định danh hợp logic
và đạt đợc các mục tiêu xác nhận: A
|

S
|

A
K
A
S và A n.
2.2. Phân cấp vai trong mô hình GTRBAC: [2]
2.2.1. Các vị từ trạng thái: Joshi và cộng sự đã định nghĩa ba loại phân
cấp vai, đa ra một số vị từ trạng thái, hệ tiên đề nêu lên các quan hệ chủ
yếu giữa các vị từ trạng thái này, cơ sở để nhận biết sự có đợc giấy phép
và sự kích hoạt vai đang xảy ra trong một hệ thống RBAC (hoặc có khả
năng xảy ra). U, R, P, S tơng ứng biểu diễn tập ngời dùng, tập các vai,
tập giấy phép, tập các phiên ở mô hình RBAC96. T là tập các thời điểm
(0, ); u U, r R, p P, s S, t T.
enabled(r, t) : r có khả năng tại thời điểm t
disabled(r, t) : r không có khả năng tại thời điểm t

u_assigned(u, r, t) : u đợc gán vào r tại thời điểm t
p_assigned(p, r, t) : p đợc gán cho r tại thời điểm t
active(u, r, t) : r ở trạng thái kích hoạt trong phiên của u tại t
s_active(u, r, s, t) : r ở trạng thái kích hoạt trong phiên
s của u tại t
can_activate(u, r, t) : u có khả năng kích hoạt r tại thời điểm t
s_can_activate(u, r, s, t) : u có khả năng kích hoạt r trong phiên s tại t
acquires(u, p, t) : u có đợc p tại thời điểm t
can_acquire(u, p, t) : u có khả năng có đợc p tại thời điểm t
can_be_acquired(p, r, t) : p có thể có đợc thông qua r tại t
r_acquires(u, p, r, t) : u có đợc p thông qua r tại thời điểm t
s_acquires(u, p, s, t) : u có đợc p trong phiên s tại thời điểm t
r_can_acquire(u, p, r, t) : u có khả năng có p thông qua r tại t
rs_acquires(u, p, r, s, t) : u có p thông qua r trong phiên s tại t



9
Hệ tiên đề 2.1: Với

r R,

u U,

p P,

s S và

t T, các
phép kéo theo sau là đúng :

1. p_assigned(p, r, t) can_be_acquired(p, r, t)
2. u_assigned(u, r, t) can_activate (u, r, t)
3. can_activate(u, r, t) can_be_acquired(p, r, t) can_acquire(u, p, t)
4. s_active(u, r, s, t) can_be_acquired(p, r, t) s_acquires(u, p, s, t)
2.2.2. Sự phân cấp vai theo thời gian dạng không hạn chế:
Với x, y R, T, <f> là một quan hệ phân cấp vai, nếu xảy ra x<f>y
trong khoảng thời gian thì x đợc gọi là vai cấp trên của y và y đợc gọi
là vai cấp dới của x đối với quan hệ <f> trong khoảng thời gian . Các
định nghĩa do Joshi đa ra về sự phân cấp vai theo thời gian xét tại từng
thời điểm t T, đợc chúng tôi phát biểu lại trong khoảng thời gian
T. Đó là phân cấp kế thừa giấy phép


, kế thừa kích hoạt
>


, kế thừa
tổng quát



dạng không hạn chế trong khoảng thời gian . Về tính nhất
quán của các kiểu phân cấp vai trong một tập vai R, nếu tồn tại đồng thời
phân cấp kế thừa giấy phép và phân cấp kế thừa kích hoạt dạng không hạn
chế thì đòi hỏi các điều kiện sau phải thoả mãn:
x, y R, (x


y)ơ(y

>


x) và (x
>


y)ơ(y


x) đều đúng (2.3)
Joshi và cộng sự nêu ra tính bắc cầu của các quan hệ phân cấp dạng
không hạn chế và đợc chúng tôi chứng minh trong Định lý 2.4.
Tính chất 2.1: Trên tập vai R có các kiểu phân cấp {


,
>


,



} thoả
mãn điều kiện (2.3). Xét <f>,<f> {


,
>



,



} mà <f>

<f>. Cho x, y
R sao cho x<f>y. Thế thì điều kiện ơ(y<f>x) là đúng.
Định lý 2.4: Các quan hệ phân cấp dạng không hạn chế kế thừa giấy
phép và kế thừa kích hoạt đều có tính bắc cầu.
Hệ quả 2.3: Quan hệ phân cấp kế thừa tổng quát dạng không hạn chế có
tính bắc cầu.
2.2.3. Sự phân cấp vai theo thời gian dạng hạn chế: Khi xét thời gian
có khả năng của các vai, các định nghĩa về phân cấp vai ở các dạng hạn
chế yếu, hạn chế mạnh ràng buộc thời gian do Joshi đa ra xét tại một
thời điểm t T, đợc chúng tôi phát biểu lại trong khoảng thời gian T
và chứng minh tính bắc cầu của chúng (Định lý 2.5).



10
Định lý 2.5: Các quan hệ phân cấp kế thừa giấy phép và kế thừa kích
hoạt ở các dạng hạn chế yếu và hạn chế mạnh đều có tính bắc cầu.
Hệ quả 2.4: Các quan hệ phân cấp kế thừa tổng quát ở các dạng hạn chế
yếu và hạn chế mạnh đều có tính bắc cầu.
2.2.4. Các luật suy diễn trong phân cấp vai với ràng buộc thời gian:
Quan hệ suy diễn có điều kiện, viết là x[S]<f>y, trong đó [S] là một tập
vai. Kí hiệu R(H) là tập vai chứa trong phân cấp H.

Định nghĩa 2.10: Cho H

là một phân cấp vai trong khoảng thời gian
T, xét <f>{

,
>


,



}. Cho x, z R(H

), [Y] ={y
1
, y
2
,, y
n
} R(H

),
với n là một số nguyên dơng. Thế thì x[Y]<f>z đợc gọi là quan hệ suy
diễn có điều kiện của x trên z với các điều kiện trên các vai của [Y] trong
khoảng thời gian , nếu thoả mãn:

y [Y], (x
>



y)

(y<f>z).
Joshi và cộng sự đa ra nhng không chứng minh một tập luật suy
diễn trong phân cấp vai với ràng buộc thời gian xét tại một thời điểm tT.
Chúng tôi góp phần củng cố các lập luận của Joshi bằng việc chứng minh
tính đúng đắn của tập luật này thông qua các Định lý 2.6, 2.7, 2.8 dới
đây, với các quan hệ phân cấp vai xét trong khoảng thời gian T. Mục
đích của các luật suy diễn là để có đợc tất cả các quan hệ suy diễn trong
một tập hợp vai. Từ đó xác định đợc tập tối thiểu các quan hệ phân cấp
vai trong một tập vai dùng cho mục đích cài đặt thực tế.
Định lý 2.6: Cho H

là một phân cấp vai trong khoảng thời gian

T và
x, y, z R(H

). Thế thì các luật suy diễn sau là đúng:
1) <f>{

,
>


,




} thì: (x<f>y)(y<f>z) (x<f>z)
2) <f
1
>,<f
2
>{

,



},<f
1
><f
2
> thì: (x<f
1
>y)(y<f
2
>z) (x

z)
3) <f
1
>,<f
2
>{
>



,



},<f
1
><f
2
> thì: (x<f
1
>y)(y<f
2
>z) (x
>


z)
4) <f>{

,
>


,



} thì: (x
>



y)(y <f>z) (x{y}<f>z)
Định lý 2.7: Cho H

là phân cấp vai trong khoảng thời gian T. Xét x,
y, z R(H

) và [S] R(H

). Thế thì các luật suy diễn sau là đúng:
1) <f>{

,



} ta có: (x[S]


y)(y <f> z) (x[S]


z)
2) <f>{

,
>



,



} ta có: (x[S]



y)(y <f>z) (x[S]<f>z)
3) (x[S]



y)(y
>


z) (x
>


z)



11
Định lý 2.8: Cho H

là một phân cấp vai trong khoảng thời gian T và
[S], [S

1
], [S
2
] R(H

). Kí hiệu (x<f>y)
i
là quan hệ phân cấp x<f>y theo
đờng dẫn i (i=1, 2, ). Ta có [S
1
S
2
] = [S
1
][S
2
]. Thế thì các luật suy
diễn sau đây là đúng:
1) <f>{

,
>


,



} ta có: (x<f>y)
1

(y<f>z)
2
(x<f>z)
2) <f
1
>,<f
2
>{

,
>


,



} sao cho <f
1
><f
2
> thì:
(x<f
1
>y)
1
(x<f
2
>y)
2

(x



y)
3) Ta có:
a.<f>{

,
>


,



} thì: (x[S]<f>y)
1
(y<f>z)
2
(x[S]<f>z)
b.<f>{
>


,



} thì: (x[S]<f>y)

1
(y
>


z)
2
(x[S]
>


z)
c.<f
1
>,<f
2
>{

,



} sao cho <f
1
><f
2
> thì:
(x[S]<f
1
>y)

1
(x<f
2
>y)
2
(x



y)
4) <f>{

,
>


,



}, ta có:
(x[S
1
]<f>y)
1
(x[S
2
]<f>y)
2
(x[S

1
S
2
]<f>y)
5) <f
1
>,<f
2
>{

,



} sao cho <f
1
><f
2
>, ta có:
(x[S
1
]<f
1
>y)
1
(x[S
2
]<f
2
>y)

2
(x[S
1
S
2
]

y)
2.3. Ràng buộc số lợng và phân ly trách nhiệm trong mô hình
GTRBAC: [3, 4]
Trình bày các khái niệm: biểu thức thời gian chu kỳ, hàm ( ), hàm
Sol( ), toán tử chiếu trên miền trị của vị từ trạng thái.
Định nghĩa 2.14: Cho status(a
1
, ,a
n
) là một vị từ trạng thái, trong đó
(a
1
, ,a
n
) là một danh sách đối số tơng ứng có miền trị D
1
, ,D
n
, với
D
k
{U, R, P, S, T}, k{1, ,n}. Nếu DOM là miền trị của vị từ trạng
thái status(a

1
, ,a
n
) thì hàm liệt kê miền trị list và toán tử chiếu

k1,k2, ,km
đợc định nghĩa nh sau:
list(status(a
1
, ,a
n
)) = {(x
1
, ,x
n
)|((x
1
, ,x
n
)DOM)status(x
1
, ,x
n
)}

k1
,
k2
,


,
km
list(status(a
1
, ,a
n
)) = {(x
k1
,x
k2
, ,x
km
)| (x
1
,x
2
, ,x
n
)
list(status(a
1
, ,a
n
)), x
ki
{x
1
, x
2
, ,x

n
},i{1,2, ,m};với (x
1
,x
2
, ,x
n
),
(y
1
,y
2
, ,y
n
)list(status(a
1
, ,a
n
)) thì x
j
=y
j
,j{1,2, ,n}\{k
1
,k
2
, ,k
m
}}.
Biểu diễn các ràng buộc số lợng trong GTRBAC: C = (fcop n),

trong đóflà số phần tử của tập hợp f, cop {=, , <, >, , } là một
toán tử so sánh và n là một số nguyên dơng. Các ràng buộc thời gian trên



12
một ràng buộc số lợng C = (f
cop n) đợc xác định khi dùng khung
làm việc thời gian của GTRBAC. (I, P, C) chỉ ra rằng ràng buộc số lợng
C là đúng đối với mỗi thời điểm trong các khoảng thời gian xác định bởi
(I, P); còn ([(I, P)], D
x , C) và ([D], Dx , C) với Dx là độ dài thời gian
trong đó ràng buộc số lợng C là đúng. Dới đây chúng tôi biểu diễn,
phân loại các ràng buộc số lợng, phân ly trách nhiệm SoD trong mô hình
GTRBAC. Khác với Joshi và cộng sự, các ràng buộc này đợc biểu diễn
dới dạng biểu thức toán học so sánh số phần tử của tập hợp với một số
nguyên dơng n (khi n = 1 đợc các ràng buộc SoD). Hơn nữa, chúng tôi
chứng minh mối quan hệ tơng đơng giữa một số ràng buộc SoD.
Kí hiệu ::= định nghĩa một biểu thức ràng buộc. Xét u U, r R,
p P, s S, t Sol(I, P).
Các ràng buộc trong việc tạo khả năng của vai:
1) Biểu thức: EN-num = (I, P, EN-n , R).
Trong đó EN-n ::=
1
list(enabled(r, t)) n.
EN-SoD = (I, P, EN , R), EN ::=
1
list(enabled(r, t)) 1.
2) Biểu thức: DIS-num = (I, P, DIS-n , R).
Trong đó DIS-n ::=

1
list(disabled(r, t)) n.
DIS-SoD = (I, P, DIS , R), DIS ::=
1
list(disabled(r, t)) 1.
Các ràng buộc trong các phép gán ngời dùng vào vai:
1) Biểu thức: UAS
1
-num = (I, P, UAS
1
-n , U, R)
Trong đó UAS
1
-n ::=
2
list(u_assigned(u, r, t)) n.
UAS
1
-SoD=(I, P, UAS
1
, U, R), UAS
1
::=
2
list(u_assigned(u, r, t)) 1
2) Biểu thức: UAS
2
-num = (I, P, UAS
2
-n , U, R)

Trong đó UAS
2
-n ::=
1
list(u_assigned(u, r, t)) n.
UAS
2
-SoD=(I, P, UAS
2
, U, R), UAS
2
::=
1
list(u_assigned(u, r, t)) 1
Một số ràng buộc SoD khác:
1) Biểu thức: UAS
3
-SoD = (I, P, UAS
3
, U, R). Trong đó: UAS
3
::=
((
1
list(u_assigned(u, r, t)) 1)(
2
list(u_assigned(u, r, t))= 1))
((
2
list(u_assigned(u, r, t)) 1)(

1
list(u_assigned(u, r, t))= 1))
2) Biểu thức: UAS
4
-SoD = (I, P, UAS
4
, U, R). Trong đó: UAS
4
::=
(
2
list(u_assigned(u, r, t)) 1)(
1
list(u_assigned(u, r, t))= 1)



13
3) Biểu thức: UAS
5
-SoD = (I, P, UAS
5
, U, R). Trong đó: UAS
5
::=
(
1
list(u_assigned(u, r, t)) 1)(
2
list(u_assigned(u, r, t))= 1)

4) Biểu thức: UAS
6
-SoD = (I, P, UAS
6
, U, R). Trong đó: UAS
6
::=
(
2
list(u_assigned(u, r, t)) 1) (
1
list(u_assigned(u, r, t)) 1)
Định lý 2.9: Các ràng buộc SoD thời gian gán ngời dùng vào vai sau là
tơng đơng:
1) UAS
4
-SoD

UAS
2
-SoD

UAS
3
-SoD
2) UAS
5
-SoD

UAS

1
-SoD

UAS
3
-SoD
3) UAS
6
-SoD

UAS
1
-SoD

UAS
2
-SoD
Các ràng buộc trong các phép gán giấy phép cho vai:
Vì việc gán ngời dùng vào vai đối ngẫu với việc gán giấy phép cho vai,
nên ta cũng có các ràng buộc trong các phép gán giấy phép cho vai tơng
tự các ràng buộc trong các phép gán ngời dùng vào vai.
1) PAS
1
-SoD = (I, P, PAS
1
, P, R), PAS
1
::=
2
list(p_assigned(p, r, t)) 1

2) PAS
2
-SoD = (I, P, PAS
2
, P, R), PAS
2
::=
1
list(p_assigned(p, r, t)) 1
3) PAS
3
-SoD = (I, P, PAS
3
, P, R). Trong đó:
PAS
3
::=((
1
list(p_assigned(p, r, t)) 1)(
2
list(p_assigned(p, r, t))= 1))
((
2
list(p_assigned(p, r, t)) 1)(
1
list(p_assigned(p, r, t))= 1))
4) PAS
4
-SoD = (I, P, PAS
4

, P, R). Trong đó:
PAS
4
::=(
2
list(p_assigned(p, r, t)) 1)(
1
list(p_assigned(p, r, t))= 1)
5) PAS
5
-SoD = (I, P, PAS
5

, P, R). Trong đó:
PAS
5
::=(
1
list(p_assigned(p, r, t)) 1)(
2
list(p_assigned(p, r, t))= 1)
6) PAS
6
-SoD = (I, P, PAS
6
, P, R). Trong đó:
PAS
6
::=(
2

list(p_assigned(p, r, t)) 1)(
1
list(p_assigned(p, r, t)) 1)
Định lý 2.10: Các ràng buộc SoD thời gian gán giấy phép cho vai sau là
tơng đơng:
1) PAS
4
-SoD

PAS
2
-SoD

PAS
3
-SoD
2) PAS
5
-SoD

PAS
1
-SoD

PAS
3
-SoD
3) PAS
6
-SoD


PAS
1
-SoD

PAS
2
-SoD
Tiếp theo chúng tôi phân loại và biểu diễn các ràng buộc hạn chế kích
hoạt vai, hạn chế khả năng kích hoạt vai, hạn chế khả năng có đợc giấy
phép cho ngời, đa ra và chứng minh các định lý sau:



14
Định lý 2.11: Các ràng buộc SoD thời gian trong việc kích hoạt vai sau
là tơng đơng:
1) ACT
4
-SoD

ACT
2
-SoD

ACT
3
-SoD
2) ACT
5

-SoD

ACT
1
-SoD

ACT
3
-SoD
3) ACT
6
-SoD

ACT
1
-SoD

ACT
2
-SoD
4) ACT
10
-SoD

ACT
8
-SoD

ACT
9

-SoD
5) ACT
11
-SoD

ACT
7
-SoD

ACT
9
-SoD
Định lý 2.12: Các ràng buộc SoD thời gian có khả năng kích hoạt vai sau
là tơng đơng:
1) CACT
4
-SoD

CACT
2
-SoD

CACT
3
-SoD
2) CACT
5
-SoD

CACT

1
-SoD

CACT
3
-SoD
3) CACT
6
-SoD

CACT
1
-SoD

CACT
2
-SoD
4) CACT
10
-SoD

CACT
8
-SoD

CACT
9
-SoD
5) CACT
11

-SoD

CACT
7
-SoD

CACT
9
-SoD

Chơng 3 Xây dựng khung lm việc cho hệ thống
kiểm soát truy nhập theo mô hình
GTRBAC trong mạng nội bộ
Nhiều nhà nghiên cứu sử dụng các phơng pháp tiếp cận dựa trên vai
để kiểm soát truy nhập các cơ sở dữ liệu XML dùng trong một tổ chức.
Việc phân vai theo các chức năng, cấu trúc của một tổ chức đã đợc
Sejong Oh và cộng sự sử dụng rất hiệu quả trong quản trị vai ở mô hình
ARBAC02 và có thể coi là giải pháp chung áp dụng cho các mô hình
kiểm soát truy nhập dựa trên vai. R. Bhatti và cộng sự cũng đã xây dựng
một khung làm việc X-GTRBAC thực thi kiểm soát truy nhập theo mô
hình GTRBAC, sử dụng ngôn ngữ định dạng mở rộng XML để đặc tả các
thành phần của RBAC và các mối quan hệ giữa chúng. Kế thừa ý tởng
của R. Bhatti và cộng sự, khi sử dụng các kết quả lý thuyết ở Chơng 2,
chúng tôi đề xuất khung làm việc ATRBAC-XML (Authentication-
GTRBAC-XML hàm ý chứa thông tin xác thực ngời dùng) thực thi kiểm
soát truy nhập theo mô hình GTRBAC.



15

3.1. Phân cấp vai và ràng buộc số lợng trong mô hình
GTRBAC: [5]

Hình 3.1 Các thành phần RBAC và các mối quan hệ của chúng
3.2. Xây dựng khung làm việc ATRBAC-XML: [5]
3.2.1. Ngữ pháp X-BNF dùng cho ngôn ngữ đặc tả khung làm việc
ATRBAC-XML:
Luận án đa ra ngữ pháp X-BNF thuộc kiểu BNF (ngữ pháp do John
Backus và Peter Naur đề xuất) dùng cho ngôn ngữ đặc tả các thành phần
của RBAC và các quan hệ của chúng trong cú pháp XML, theo mô hình
GTRBAC, bổ sung khái niệm tiêu chuẩn ngời dùng, khung làm việc đặc
tả ràng buộc để giải quyết vấn đề kiểm soát truy nhập căn cứ theo nội
dung thông tin, thông tin ngữ cảnh; xây dựng các lợc đồ XML cho các
tập Ngời dùng, Vai, Giấy phép (bao hàm lợc đồ đối với Thao tác truy
nhập và Đối tợng). Thông tin về tiêu chuẩn ngời dùng, ngời dùng,
giấy phép, vai, các ràng buộc phân ly trách nhiệm, ràng buộc thời gian
nằm trong các tài liệu XML. Các tài liệu XML này để đặc tả cơ sở chính
sách: tạo ra các tài liệu XML gán ngời dùng vào vai, gán giấy phép cho
vai. Việc lu giữ đặc tả ngời dùng, vai, giấy phép tách biệt với các phép
gán chúng, cho phép độc lập giữa thiết kế và quản trị chính sách, trợ giúp
cài đặt modul hệ thống ATRBAC-XML.
Phân cấp vai
Gán


giấy
phép
Gán



ngời
dùng






Tập giấy phép
Tập
ngời
dùng
Tập
vai

T
ập

p
hiên
Thao tác
Phân ly trách
nhiệm tĩnh
Phân ly trách
nhiệm động
Đối tợng



16


(1) X-BNF dùng cho NhomTieuChuan.xml
<! Nhom tieu chuan > ::=
<NhomTieuChuan [id_NhomTC=(id)]>
{<! Tieu chuan >}+
</NhomTieuChuan>
<! Tieu chuan > ::=
<TieuChuan id_TC=(id) ten_TC=(ten)>
<CacTieuChi>
{<TieuChi ten=(ten) kieu=(kieu)/>}+
</CacTieuChi>
</TieuChuan>
(2) X-BNF dùng cho NhomNguoiDung.xml
<! Nhom nguoi dung > ::=
<NhomNguoiDung [id_NhomND=(id)]>
{<! Nguoi dung >}+
</NhomNguoiDung>
<! Nguoi dung > ::=
<NguoiDung id_ND=(id)>
<TenNguoiDung>(ten)</TenNguoiDung>
{<! Tieu chuan nguoi dung >}+
<SoToiDaVai>(so)</SoToiDaVai>
</NguoiDung>
<! Tieu chuan nguoi dung > ::=
<TieuChuan id_TC=(id) ten_TC=(ten)>
{<! Bieu thuc tieu chuan >}+
</TieuChuan>
(3) X-BNF dùng cho NhomVai.xml
<! Nhom Vai > ::=
<NhomVai [id_NhomVai=(id)]>

{<! Vai >}+ </NhomVai>
<! Vai > ::=
<Vai id_vai=(id) ten_vai=(ten)>
[<VaiCapTren>(ten)</VaiCapTren>]
[<VaiCapDuoi>(ten)</VaiCapDuoi>]
[<SoToiDaND>(so)</SoToiDaND>]
{<IdTapVaiSSD>(id)</IdTapVaiSSD>}*
{<IdTapVaiDSD>(id)</IdTapVaiDSD>}*
[<! Rang buoc tao kha nang cho vai >]
(4) X-BNF dùng cho NhomGiayPhep.xml
<! Nhom giay phep > ::=
<NhomGiayPhep [id_NhomGP=(id)]>
<CacGiayPhep>{<! Giay phep >}+
</CacGiayPhep>
</NhomGiayPhep>
<! Giay phep > ::=
<GiayPhep id_GP=(id)>
<DoiTuong id_DT=(id) kieu_DT=(kieu)/>
<ThaoTac ngu_canh>(thao tac truy nhap)
</ThaoTac>
</GiayPhep>
(5) X-BNF cho GanNguoiDungVai.xml
<! Gan nguoi dung vao cac vai > ::=
<GanNguoiDungCacVai
[id_GanNDCacVai=(id)]>
{<! Gan nguoi dung vao mot vai >}+
</GanNguoiDungCacVai>
<! Gan nguoi dung vao mot vai > ::=
<GanNguoiDungVai id_GanNDVai=(id)
ten_vai=(ten)>

<GanCacNguoiDung>
{<! Gan nguoi dung >}+
</GanCacNguoiDung>
</GanNguoiDungVai>
<! Gan nguoi dung > ::=
<GanNguoiDung id_ND=(id)>
<! Rang buoc gan nguoi dung >
</GanNguoiDung>
<! Rang buoc gan nguoi dung > ::=
<RangBuocGan>
{<! Dieu kien gan nguoi dung >}+
</RangBuocGan>
<! Dieu kien gan nguoi dung > ::=
<DieuKienGan ten_TC=(ten)
[{id_ChuKyTG=(id) | id_DoDaiTG=(id)}]>
[<! Bieu thuc logic >]
</DieuKienGan>

Hình 3.2 Một phần của ngữ pháp X-BNF dùng cho ngôn ngữ đặc tả
ATRBAC-XML
Thông tin từ cơ sở chính sách dùng để thực thi các ràng buộc cấp quyền:
ngời dùng đợc phép truy nhập tài nguyên căn cứ các vai đợc gán cho
họ và các giấy phép kết hợp với vai này, với các ràng buộc về thời gian.



17
3.2.2. Đặc tả chính sách của khung làm việc ATRBAC-XML cho hệ
thống tuyển sinh: Đặc tả chính sách của khung làm việc ATRBAC-XML
cho hệ thống tuyển sinh của một trờng đại học ở Việt Nam có thi môn

năng khiếu với 13 vai nằm trong 5 mảng việc: công tác th ký, công tác
máy tính, công tác đề thi, công tác coi thi, công tác chấm thi năng khiếu.

Hình 3.3 Phân cấp vai chức năng trong hệ thống tuyển sinh
3.2.2.1. Đặc tả các tài liệu chính sách: Chính sách kiểm soát truy nhập
đối với ATRBAC-XML là hợp thành của các chính sách con đợc mô tả
cho từng mảng công việc trong hệ thống tuyển sinh, gồm các đặc tả về
vai, ngời dùng, giấy phép và các phép gán liên quan đối với mảng công
việc tơng ứng.
Các vai chức năng và các phân cấp vai: Các vai đợc biểu diễn bằng
một sự phân cấp vai theo chức năng mà ở mỗi mức của hệ thống sẽ gán
một vai cần thiết để thực hiện chức năng kết hợp với vai đó.
Các tập vai phân ly trách nhiệm tĩnh SSD (Static Separation of Duty):
SSD_TBTK_PTMT_TRDT = {vaiTBTK, vaiPTMT, vaiTRDT}
SSD_UVTK_TTGK = {vaiUVTK, vaiTTGK}
SSD_TBDT_TBCT = {vaiTBDT, vaiTBCT}

CÔNG TáC
CHấM THI
QUảN Lý TUYểN SINH
CÔNG TáC
THƯ Ký
CôNG TáC
COI THI

CôNG TáC
Máy TíNH
CÔNG TáC
Đề THI


TRƯởNG BA
N
Đề THI
PHụ TRáCH
MáY TíNH
CáN Bộ
Đề THI
NHâN Viê
N

Máy TíNH
CHủ TịCH
HĐTS
TRƯởNG BAN
THƯ Ký
Uỷ VIÊN
THƯ Ký
TRƯởNG BA
N
C
HấM THI N
K
Tổ TRƯởNG
GIáM KHảO
TRƯởNG
ĐIểM THI
CáN Bộ
COI THI
GIáM KHảO
năng khiếu

1
1
8
1
1
6
1
8
TRƯởNG BAN
COI THI
1
4
1
8 1



18
Các tập vai phân ly trách nhiệm động DSD (Dynamic Separation of Duty):
DSD_UVTK_PTMT = {vaiUVTK, vaiPTMT}
DSD_UVTK_TRDT = {vaiUVTK, vaiTRDT}
DSD_NVMT_CBDT = {vaiNVMT, vaiCBDT}
Để dễ đọc, luận án dùng tiếng Việt có dấu trong tên tiêu chuẩn, giá trị
tiêu chí, tên vai, định danh giấy phép, định danh đối tợng (thực tế cài đặt
sử dụng tiếng Việt không dấu).
Ngời dùng và các tiêu chuẩn ngời dùng:
Bảng 3.1 Các tiêu chuẩn ngời dùng trong hệ thống tuyển sinh
TT
Tên tiêu
chuẩn

Định danh
tiêu chuẩn
Các tiêu chí của tiêu chuẩn
1 Lãnh đạo tcLD (quyet_dinh, don_vi, chuc_vu)
2 Nhân viên tcNV (quyet_dinh, don_vi, linh_vuc)
3 Giảng viên tcGV (quyet_dinh, trinh_do, chuyen_mon)
4 Chuyên viên tcCV (quyet_dinh, trinh_do, linh_vuc)
5 Coi thi tcCT (quyet_dinh, trinh_do)
Bảng 3.2 Một tập con ngời dùng với tiêu chuẩn ngời dùng
STT
Định danh
ngời dùng
Tiêu chuẩn ngời dùng
và giá trị các tiêu chí
1
pxthanh
tcLD(YES, Ban Giám hiệu, Hiệu trởng)
2
ndquyet
tcLD(YES, Phòng Đào tạo, Phó Trởng
phòng); tcGV(YES, Thạc sỹ, Thể thao)
3
lethanh
tcLD(YES, Bộ môn Toán-Tin, Trởng Bộ
môn); tcGV(YES, Thạc sỹ, Toán-Tin)
4
buithanh
tcLD(YES, Phòng Đào tạo, Phó Trởng
phòng); tcGV(YES, Thạc sỹ, Thể thao)
Gán ngời dùng vào vai: Việc gán ngời dùng vào một vai không thể dựa

trên định danh ngời dùng, vì ngời dùng đảm nhiệm các vai chức năng có
thể thay đổi theo thời gian. Nó phải dựa trên cơ sở ngời dùng này có đủ
tiêu chuẩn đảm nhiệm vai chức năng đó với các tiêu chí thoả mãn điều kiện
gán. Các phép gán nh vậy có thể bị các điều kiện ngữ cảnh thời gian hoặc
phi thời gian ràng buộc. Ràng buộc phân ly trách nhiệm: một ngời dùng



19
không thể đợc gán vào 2 vai trong một tập vai phân ly trách nhiệm tĩnh.
Bảng 3.3 đa ra một tập vai và yêu cầu tiêu chuẩn ngời dùng để đợc gán
vào vai. Bảng 3.4 đa ra một tập con ngời dùng và các vai đợc gán trong
tuyển sinh.
Bảng 3.3 Một tập con tập vai và yêu cầu tiêu chuẩn ngời dùng
trong phép gán ngời dùng vào vai trong hệ thống tuyển sinh
Định
danh vai
Ràng buộc thời
gian có khả năng
Yêu cầu về tiêu chuẩn ngời dùng trong gán
ngời dùng vào vai
vaiCTHD
Ngay1-7Ngay20-8 tcLD(YES, Ban Giám hiệu, {Hiệu trởng;
Phó Hiệu trởng})

vaiTBTK
Ngay1-7Ngay20-8 tcLD(YES, Phòng Đào tạo, {Trởng phòng;
Phó Trởng phòng})

vaiPTMT

Ngay1-5Ngay20-8 tcLD(YES, {Phòng Đào tạo; Bộ môn Toán-Tin},
{Phó Trởng phòng; Trởng Bộ môn})

vaiNVMT
Ngay1-5Ngay20-8 tcNV(YES, {Phòng Đào tạo; Phòng khác}, Tin
học); tcGV(YES,{Thạc sỹ;Cử nhân},Toán-Tin)

vaiTBDT
Ngay6-7Ngay7-7 tcLD(YES, Ban Giám hiệu, {Hiệu trởng;
Phó Hiệu trởng})

vaiTBCT
Ngay8-7Ngay9-7 tcLD(YES, Ban Giám hiệu, {Hiệu trởng;
Phó Hiệu trởng})

vaiCBCT
Ngay1-7Ngay9-7 tcCT(YES, Cử nhân)
vaiTBCNK
Ngay9-7Ngay12-7 tcLD(YES, Ban Giám hiệu, {Hiệu trởng;
Phó Hiệu trởng})

vaiTTGK
Ngay9-7Ngay12-7 tcLD(YES, Bộ môn khác, Trởng Bộ môn)
và tcGV(YES, {Tiến sỹ; Thạc sỹ}, Thể thao)

vaiGKNK
Ngay1-7Ngay12-7 tcGV(YES,{Tiến sỹ;Thạc sỹ;Cử nhân},Thể thao)
Bảng 3.4 Một tập con ngời dùng và các vai đợc gán cho ngời dùng
trong hệ thống tuyển sinh
Định danh

ngời dùng
Các vai đợc gán cho
ngời dùng
Ràng buộc SSD, DSD,
thời gian đợc gán
pxthanh
vaiCTHD, vaiTBCT,
vaiTBDT, vaiTBCNK
Vi phạm ràng buộc SSD
ndquyet
vaiTBTK
lethanh
vaiPTMT, vaiUVTK Yêu cầu ràng buộc DSD
buithanh
vaiUVTK, vaiPTMT,
vaiTRDT
Vi phạm ràng buộc số
lợng
laithehoa
vaiNVMT Ngay15-7Ngay20-7
cbcoithi
vaiCBCT



20
Các giấy phép: Các giấy phép trong hệ thống tuyển sinh biểu diễn một
tập các thao tác có thể đợc các vai đủ t cách thực thi trên các tài nguyên
của hệ thống. Việc đặc tả các giấy phép này thì phụ thuộc vào hệ thống
của từng trờng đại học. Bảng 3.5 đa ra một tập con giấy phép tiêu biểu

trong tuyển sinh.
Bảng 3.5 Một tập con giấy phép tiêu biểu trong hệ thống tuyển sinh
Định danh
giấy phép
Định danh đối tợng
Kiểu
đối tợng
Thao tác
đợc phép
PhânCôngCoiThi1 DanhSáchPhânCôngCoiThi tai_lieu toan_quyen
PhânCôngChấmNK1 DanhSáchChấmNăngKhiếu tai_lieu toan_quyen
XửLýDữLiệuTS XửLýDữLiệuTuyểnSinh chuong_trinh xu_ly_du_lieu
ChiaNhómThiNK ChiaNhómThiNăngKhiếu chuong_trinh xu_ly_du_lieu
DồnTúiBàiThi BiênBảnDồnTúiBàiThi chuong_trinh xu_ly_du_lieu
ĐốiChiếuSBDPhách BảngĐốiChiếuSBDPhách chuong_trinh xu_ly_du_lieu
CậpNhậtDữLiệuTS CậpNhậtDữLiệuTuyểnSinh chuong_trinh cap_nhat_dulieu
GiảiMãĐềThi FileMãHoáĐềThi file_ma_hoa giai_ma_file
PhânCôngCoiThi2 DanhSáchPhânCôngCoiThi tai_lieu xem_in
Gán giấy phép cho vai: Một vai có thể có nhiều giấy phép và cùng một
giấy phép có thể đợc kết hợp với nhiều vai. Việc gán giấy phép xác định
phạm vi truy nhập của các vai khác nhau bên trong hệ thống. Các vai
đợc gán các giấy phép phù hợp với trách nhiệm của chúng bên trong hệ
thống. Các giấy phép nh thế có thể bị các điều kiện ngữ cảnh thời gian
hoặc phi thời gian ràng buộc. Bảng 3.6 đa ra một tập con vai và các giấy
phép đợc gán trong tuyển sinh.
Bảng 3.6 Một tập con vai và các giấy phép đợc gán cho vai
trong hệ thống tuyển sinh
Định danh vai
Các giấy phép
đợc gán cho vai

Ràng buộc
thời gian đợc gán
PhâncôngCoiThi1 Ngay7-7Ngay9-7 vaiTBTK
PhâncôngChấmNK1 Ngay8-7Ngay12-7
XửLýDữLiệuTS Ngay1-5Ngay20-8 vaiPTMT
ChiaNhómThiNK Ngay8-7Ngay12-7
vaiNVMT CậpNhậtDữLiệuTS Ngay1-5Ngay20-8
vaiTBDT GiảiMãĐềThi Ngay6-7Ngay7-7
vaiTRDT PhânCôngCoiThi2 Ngay8-7Ngay9-7
vaiTBCNK PhânCôngChấmNK2 Ngay9-7Ngay12-7



21
3.2.2.2. Chính sách tuyển sinh trong ATRBAC-XML:
Sử dụng ngôn ngữ đặc tả ở Mục 3.2.1 để tạo ra các tài liệu chính sách.
Việc đặc tả chính sách sau đó đợc tải vào trong hệ thống kiểm soát truy
nhập thông tin để thực thi. Để cung cấp thông tin cần thiết thực thi chính
sách kiểm soát truy nhập, nhân viên quản trị an toàn nạp các định nghĩa
chính sách cơ bản liên quan tới các tiêu chuẩn, các ràng buộc phân ly
trách nhiệm, ràng buộc thời gian, rồi tạo ra các tài liệu chính sách liên
quan tới các ngời dùng, các vai, các giấy phép, các phép gán ngời dùng
vào vai và các phép gán giấy phép cho vai. Các tài liệu chính sách này
tham chiếu tới thông tin bổ sung đợc các tài liệu định nghĩa chính sách
cung cấp để đặc tả một tập chi tiết tỉ mỉ các ràng buộc thời gian và phi
thời gian dựa trên ngữ cảnh đối với chính sách kiểm soát truy nhập hệ
thống thông tin tuyển sinh. Thông tin từ hai tập hợp tài liệu chính sách
đợc đọc vào trong một modul con ATRBAC của ATRBAC-XML, tạo ra
sự biểu diễn cơ sở chính sách XML. Quản trị chính sách tạo ra sự biểu
diễn bên trong đầy đủ của chính sách kiểm soát truy nhập thông tin tuyển

sinh đợc đặc tả.

Hình 3.4 Ngời dùng với tiêu chuẩn và gán ngời dùng vào vai

Hình 3.5 Thông tin vai và gán giấy phép cho vai



22
Giai đoạn thực thi chính sách sử dụng thông tin này để cho phép ngời
dùng tạo các phiên và truy nhập các tài nguyên đợc phép. Các điều kiện
ngữ cảnh đợc cung cấp bên trong các ràng buộc kích hoạt sẽ đợc đánh
giá để tạo ra các quyết định kiểm soát truy nhập. Trong công tác th ký
và công tác chấm thi năng khiếu, xác định quan hệ phân cấp kế thừa giấy
phép và kế thừa kích hoạt hạn chế yếu. Cơ chế an toàn ba mức thực thi
chính sách kiểm soát truy nhập với các ràng buộc chi tiết về thời gian, hạn
chế ngời dùng chỉ truy nhập vào tập tài nguyên sẵn dùng cho họ với thao
tác nhất định, vào thời gian nhất định.

Hình 3.6 Kiểm soát truy nhập ngời dùng tới tài nguyên hệ thống
3.2.3. Đánh giá hệ thống tuyển sinh trong ATRBAC-XML:
Hệ thống tuyển sinh của trờng đại học ở Việt Nam với sự trợ giúp của
ATRBAC-XML chỉ cho phép ngời dùng hợp pháp truy nhập các thông
tin vào thời gian khi vai đợc gán cho họ có khả năng, đợc phép kích
hoạt và có giấy phép truy nhập các thông tin đó với kiểu thao tác nhất
định. Cơ chế an toàn ba mức chỉ cho phép ngời dùng hợp pháp truy nhập
các thông tin tuyển sinh vào giai đoạn nhất định của công tác tuyển sinh,
với các ràng buộc chi tiết về thời gian trong việc tạo khả năng cho vai,
kích hoạt vai, gán ngời dùng cho vai, gán giấy phép cho vai, phù hợp với
quy định bảo mật thông tin theo giai đoạn trong tuyển sinh đại học ở Việt

Nam (thực tế hiện nay hệ thống tuyển sinh của nhiều trờng đại học ở
Việt Nam bảo mật văn bản bằng thủ công).
So với phơng pháp cấp quyền trong các mô hình kiểm soát truy nhập
truyền thống DAC, MAC, thì cần xác định hàng ngàn phép gán giấy phép
cho ngời dùng, hoặc ít nhất cũng cần xác định hàng trăm phép gán giấy
phép cho nhóm ngời dùng. Điều này gây khó khăn trong việc quản lý
truy nhập hệ thống thông tin cần bảo vệ. Hơn nữa, vì không có các khái

×