Tải bản đầy đủ (.pdf) (169 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

Mở rộng geoxacml hỗ trợ mô hình điều khiển truy xuất dữ liệu không thời gian

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (11.38 MB, 169 trang )

ĐẠI HỌC QUỐC GIA TP. HCM
TRƢỜNG ĐẠI HỌC BÁCH KHOA
----------------

LÊ THỊ KIM TUYẾN

MỞ RỘNG GEOXACML
HỖ TRỢ MƠ HÌNH ĐIỀU KHIỂN TRUY XUẤT DỮ LIỆU
KHÔNG – THỜI GIAN

Chuyên ngành: Khoa Học Máy Tính
Mã số:

604801

LUẬN VĂN THẠC SĨ

TP. HỒ CHÍ MINH, tháng 12 năm 2012


CƠNG TRÌNH ĐƢỢC HỒN THÀNH TẠI
TRƢỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG -HCM
Cán bộ hƣớng dẫn khoa học: PGS. TS. ĐẶNG TRẦN KHÁNH .................
(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Cán bộ chấm nhận xét 1:

TS. NGUYỄN CHÁNH THÀNH .................

(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Cán bộ chấm nhận xét 2:


TS. HUỲNH TƯỜNG NGUYÊN .................

(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Luận văn thạc sĩ đƣợc bảo vệ tại Trƣờng Đại học Bách Khoa, ĐHQG Tp. HCM
ngày . . 24. . . tháng . . 12. . năm . .2012 . . .
Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm:
(Ghi rõ họ, tên, học hàm, học vị của Hội đồng chấm bảo vệ luận văn thạc sĩ)
1. PGS. TS. VŨ THANH NGUYÊN, CT ....................................................
2. TS. NGUYỄN CHÁNH THÀNH, PB1 ...................................................
3. TS. HUỲNH TƯỜNG NGUYÊN, PB2 ...................................................
4. PGS. TS. ĐẶNG TRẦN KHÁNH, UV ....................................................
5. TS. TRẦN VĂN HOÀI, TK .....................................................................
Xác nhận của Chủ tịch Hội đồng đánh giá LV và Trƣởng Khoa quản lý chuyên
ngành sau khi luận văn đã đƣợc sửa chữa (nếu có).
CHỦ TỊCH HỘI ĐỒNG

PGS.TS. VŨ THANH NGUYÊN

TRƢỞNG KHOA KH & KT MÁY TÍNH

PGS.TS. THOẠI NAM


ĐẠI HỌC QUỐC GIA TP.HCM
TRƢỜNG ĐẠI HỌC BÁCH KHOA

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc

___________________


___________________

NHIỆM VỤ LUẬN VĂN THẠC SĨ
Họ tên học viên: LÊ THỊ KIM TUYẾN ................................... MSHV: 10071064 ...........
Ngày, tháng, năm sinh: 28/10/1987 ........................................... Nơi sinh: Bến Tre ...........
Chuyên ngành: Khoa học máy tính .......................................... Mã số: 604801.................
I. TÊN ĐỀ TÀI: MỞ RỘNG GEOXACML HỖ TRỢ MƠ HÌNH ĐIỀU KHIỂN TRUY
XUẤT DỮ LIỆU KHÔNG – THỜI GIAN ..........................................................................
II. NHIỆM VỤ VÀ NỘI DUNG: .......................................................................................
Nhiệm vụ: ...............................................................................................................................



Đề xuất mơ hình điều khiểu truy xuất dữ liệu khơng – thời gian có hỗ trợ các ràng
buộc ngữ cảnh
Mở rộng ngôn ngữ đặc tả chính sách bảo mật hiện có để hỗ trợ mơ hình vừa đề xuất

Nội dung: ...............................................................................................................................






Tìm hiểu kiến thức cơ bản về hệ thống thông tin địa lý (GIS) và dữ liệu khơng gian
Tìm hiểu các mơ hình điều khiển truy xuất dữ liệu không – thời gian hiện có
Tìm hiểu những ngơn ngữ đặc tả chính sách bảo mật hiện có
Đề xuất mơ hình (STRoBAC) bằng cách mở rộng và kết hợp các mơ hình hiện có
Mở rộng ngơn ngữ đặc tả chính sách bảo mật (GeoXACML) để hỗ trợ mơ hình trên


III. NGÀY GIAO NHIỆM VỤ: 04/07/2011.......................................................................
IV. NGÀY HOÀN THÀNH NHIỆM VỤ: 23/11/2012 ......................................................
V. CÁN BỘ HƢỚNG DẪN: PGS. TS. ĐẶNG TRẦN KHÁNH........................................
Tp. HCM, ngày . . . . tháng .. . . năm 20....
CÁN BỘ HƢỚNG DẪN
(Họ tên và chữ ký)

PGS.TS. ĐẶNG TRẦN KHÁNH

CHỦ NHIỆM BỘ MÔN ĐÀO TẠO
(Họ tên và chữ ký)

PGS.TS. ĐẶNG TRẦN KHÁNH

TRƢỞNG KHOA KH & KT MÁY TÍNH
(Họ tên và chữ ký)

PGS.TS. THOẠI NAM


i

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Lời cám ơn
Luận văn là kết quả nghiên cứu trong suốt quá trình làm việc của tơi tại trƣờng Đại
học Bách Khoa, thành phố Hồ Chí Minh, khoa Khoa học và Kỹ thuật máy tính, và quá
trình thực tập tại trƣờng Cao Đẳng Kỹ Thuật và Kiến Trúc Fribourg, Thụy Sĩ.
Đầu tiên, tôi xin gửi lời cảm ơn sâu sắc đến PGS.TS. Đặng Trần Khánh đã nhiệt tình

quan tâm, giúp đỡ và hƣớng dẫn tơi trong suốt thời gian tôi thực hiện đề tài, cũng nhƣ đã
tạo cơ hội cho tôi học hỏi thêm khi làm việc tại Fribourg, Thụy Sĩ. Tiếp theo, tôi xin gửi
lời cảm ơn đến GS. Pierre Kuonen và GS. Houda Chabbi Drissi đã hƣớng dẫn và cho tôi
những lời khuyên hữu ích trong thời gian tôi thực tập tại Fribourg.
Tôi xin gửi lời cảm ơn đến TS. Nguyễn Chánh Thành và TS. Huỳnh Tƣờng Ngun
đã tận tình nhận xét và góp ý giúp tơi hồn thiện luận văn.
Tơi cũng xin cảm ơn sự giúp đỡ và hỗ trợ của các thành viên D-Star lab trong suốt
thời gian tôi thực hiện đề tài.
Ngồi ra, tơi xin cảm ơn Sở Khoa học và Cơng nghệ, Trƣờng Đại học Bách Khoa,
thành phố Hồ Chí Minh, đã tạo điều kiện cho tôi tham gia dự án nghiên cứu khoa học cấp
Sở “Phát triển mơ hình điều khiển truy xuất cho dữ liệu GIS” và đề tài nghiên cứu khoa
học cấp Trƣờng “Nghiên cứu và xây dựng mơ hình điều khiển truy xuất cho dữ liệu không
gian (Geographic Information Systems data)”, đồng thời hỗ trợ kinh phí đi dự hội nghị
trong q trình tơi thực hiện luận văn.
Cuối cùng, tôi xin chân thành cảm ơn đến gia đình, bạn bè vì sự giúp đỡ, ủng hộ và
khuyến khích tơi hồn thành đề tài luận văn.

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


ii

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Tóm tắt luận văn
Sự phát triển nhanh chóng của các hệ thống và dịch vụ dựa trên địa lý đã tạo ra một
nhu cầu cấp thiết cho bài tốn bảo mật dữ liệu khơng gian địa lý, trong đó, điều khiển truy
xuất là nội dung chính cần đƣợc giải quyết. Mặc dù một số mơ hình quản lý truy xuất dữ

liệu địa lý đã đƣợc đề xuất, nhƣng khơng có mơ hình nào cung cấp cơ chế hoàn chỉnh
thỏa mãn các yêu cầu điều khiển truy xuất một cách tồn diện. Vì vậy mục tiêu của đề tài
là đề xuất một mơ hình điều khiển truy xuất mở rộng hỗ trợ khía cạnh khơng – thời gian
và những điều kiện ngữ cảnh khác, cũng nhƣ có khả năng điều khiển truy xuất dựa trên
role (vai trò) của ngƣời dùng. Chúng tơi gọi mơ hình này là STRoBAC, Spatial Temporal
Role Based Access Control. Ngồi ra, chúng tơi cũng đề xuất phƣơng án hiện thực mơ
hình này bằng cách mở rộng GeoXACML framework, một ngơn ngữ có khả năng mở
rộng cao và hỗ trợ việc khai báo và thực thi các chính sách bảo mật. Đây đƣợc xem là
đóng góp quan trọng trong nghiên cứu của chúng tơi so với những phƣơng pháp tiếp cận
và mơ hình hiện có.

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


iii

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Abstract
The development of geography-based services and systems has created the demands
in which access control is the primary concern for geospatial data security. Although there
are a variety of models to manage geospatial data access, none of them can fulfil the
access control requirements. The objective of this research is to propose a model that can
support spatio-temporal aspects and other contextual conditions as well as access control
based on the role of subject. We call this model Spatial Temporal Role Based Access
Control (STRoBAC). In addition, we propose an extension of GeoXACML framework,
which is highly scalable and can help in declaring and enforcing various types of rules, to
support the proposed model. This is the crucial contribution of our research compared to

the existing approaches and models.

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


iv

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Lời cam đoan
Tôi xin cam đoan đây là cơng trình nghiên cứu của bản thân. Các kết quả trình bày
trong luận văn là trung thực và chƣa từng đƣợc ai công bố trong bất kỳ công trình nào
trƣớc đây.
Ngày… tháng… năm 2012
Ký tên

LÊ THỊ KIM TUYẾN

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


v

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Mục lục

Lời cám ơn ............................................................................................................................. i
Tóm tắt luận văn ...................................................................................................................ii
Abstract ............................................................................................................................... iii
Lời cam đoan ....................................................................................................................... iv
Mục lục ................................................................................................................................. v
Mục lục hình ..................................................................................................................... viii
Mục lục bảng ......................................................................................................................xii
CHƢƠNG 1

MỞ ĐẦU ................................................................................................... 1

1.1.

Giới thiệu đề tài....................................................................................................... 1

1.2.

Mục đích nghiên cứu............................................................................................... 4

1.3.

Ý nghĩa khoa học và thực tiễn ................................................................................ 4

1.3.1.

Ý nghĩa khoa học .............................................................................................. 4

1.3.2.

Ý nghĩa thực tiễn .............................................................................................. 5


CHƢƠNG 2
2.1.

CƠ SỞ LÝ THUYẾT ................................................................................ 6

Dữ liệu không gian là gì? ........................................................................................ 6

2.1.1.

Định nghĩa ........................................................................................................ 6

2.1.2.

Phân loại .......................................................................................................... 6

2.2.

Bảo mật dữ liệu khơng gian .................................................................................... 9

CHƢƠNG 3
3.1.

CÁC CƠNG TRÌNH NGHIÊN CỨU LIÊN QUAN .............................. 11

Một số mơ hình điều khiển truy xuất cho dữ liệu GIS ......................................... 11

3.1.1.

Khung điều khiển truy xuất tổng quát ............................................................ 11


3.1.2.

Cơ chế điều khiển truy xuất dựa trên SDE (Spatial Data Engine) ................ 12

3.1.3.

Cơ chế điều khiển truy xuất dựa trên view .................................................... 15

3.1.4.

Geospatial Role Based Access Control – GeoRBAC ..................................... 16

3.1.5.

Spatial – Temporal Role Based Access Control – STRBAC .......................... 17

3.1.6.

Spatio Temporal Emergency Role Based Access Control – STEM-RBAC .... 21

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


vi

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH


3.1.7.

Organization Based Access Control – OrBAC .............................................. 22

3.1.8.

Context-Dependent Authentication and Access Control – CDAC ................. 26

3.1.9.

Tóm tắt............................................................................................................ 28

3.2.

XACML và GeoXACML ..................................................................................... 30

3.2.1.

Sự khác biệt giữa XACML 2.0 và 3.0 ............................................................. 33

3.2.2.

GeoXACML .................................................................................................... 36

3.2.3.

Quy trình đánh giá yêu cầu truy xuất ............................................................ 41

3.2.4.


XACML 3.0 Core và RBAC ............................................................................ 43

3.3.

Kết luận ................................................................................................................. 48

CHƢƠNG 4

STRoBAC MODEL ................................................................................ 50

4.1.

Các khái niệm cơ bản ............................................................................................ 50

4.2.

Cách thức tổ chức các thành phần ........................................................................ 50

4.3.

Định nghĩa role, activity và view .......................................................................... 51

4.4.

Định nghĩa context ................................................................................................ 52

4.5.

Định nghĩa policy .................................................................................................. 52


4.6.

Định nghĩa khía cạnh không – thời gian ............................................................... 53

4.7.

Mở rộng GeoXACML để hỗ trợ STRoBAC ........................................................ 54

CHƢƠNG 5

HIỆN THỰC MƠ HÌNH STRoBAC ...................................................... 57

5.1.

Sơ lƣợc các mã nguồn mở hỗ trợ hiện thực XACML .......................................... 57

5.2.

HERAS-AF ........................................................................................................... 59

5.2.1.

Cách thức hoạt động ...................................................................................... 59

5.2.2.

Cách thức tổ chức mã nguồn ......................................................................... 60

5.2.3.


Các gói dữ liệu cơ bản trong HERAS-AF Core ............................................. 61

5.2.4.

Tạo và đánh giá yêu cầu truy xuất với HERAS-AF ....................................... 63

5.2.5.

HERAS-AF ưu – nhược điểm và khả năng mở rộng ...................................... 65

5.3.

Mở rộng HERAS-AF để hỗ trợ STRoBAC .......................................................... 67

5.3.1.

Cấu trúc thành phần....................................................................................... 67

5.3.2.

Kiểu dữ liệu .................................................................................................... 67

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


vii

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH


5.3.3.

Hàm ................................................................................................................ 68

5.3.4.

Giải thuật kết hợp ........................................................................................... 69

5.4.

Hiện thực ............................................................................................................... 70

5.4.1.

Type ................................................................................................................ 71

5.4.2.

Data Type Attribute ........................................................................................ 74

5.4.3.

Function ......................................................................................................... 75

5.4.4.

Policy .............................................................................................................. 76

5.4.5.


SimpleCEA ..................................................................................................... 79

5.4.6.

Combining Algorithm ..................................................................................... 81

5.4.7.

Target Matcher ............................................................................................... 82

5.4.8.

SimpleREA ...................................................................................................... 83

5.4.9.

SimplePEA ...................................................................................................... 86

CHƢƠNG 6

ĐÁNH GIÁ VÀ KẾT LUẬN .................................................................. 89

6.1.

Đánh giá ................................................................................................................ 89

6.2.

Kết luận ................................................................................................................. 90


Danh mục các cơng trình khoa học .................................................................................... 92
Tài liệu tham khảo .............................................................................................................. 93
Phụ lục .............................................................................................................................. xiii

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


viii

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Mục lục hình
Hình 1.1. Truy xuất dữ liệu ở những vị trí đặc biệt khác nhau ............................................ 2
Hình 1.2. Truy xuất dữ liệu ở những mức độ chi tiết khác nhau ......................................... 2
Hình 1.3. Truy xuất dữ liệu ở những mức độ chính xác khác nhau ..................................... 3
Hình 2.1. Ví dụ đơn giản về bản đồ vector........................................................................... 7
Hình 2.2. Ví dụ về dữ liệu raster .......................................................................................... 8
Hình 3.1. Khung điều khiển truy xuất tổng quát ................................................................ 11
Hình 3.2. Cơ chế điều khiển truy xuất dựa trên SDE ........................................................ 13
Hình 3.3. Cơ chế điều khiển truy xuất dựa trên view ......................................................... 15
Hình 3.4. Vị trí luận lý trong mơ hình STRBAC ............................................................... 19
Hình 3.5. Thời gian trong mơ hình STRBAC .................................................................... 20
Hình 3.6. Kiến trúc mức cao của mơ hình .......................................................................... 21
Hình 3.7. Các loại ngữ cảnh khác nhau và dữ liệu yêu cầu ............................................... 26
Hình 3.8. Thành phần Target trong XACML 2.0 ............................................................... 34
Hình 3.9. Thành phần target trong XACML 3.0 ................................................................ 34
Hình 3.10. Thành phần Obligation trong XACML 3.0 ...................................................... 35

Hình 3.11. Thành phần Obligation trong XACML 3.0 ...................................................... 35
Hình 3.12. Các loại dữ liệu hình học GML cho GeoXACML <AttributeValue> ............. 37
Hình 3.13. GeoXACML Polygon <AttributeValue> ......................................................... 37
Hình 3.14. Một vài hàm khơng gian trong GeoXACML ................................................... 37
Hình 3.15. Một ví dụ của thành phần GeoXACML <Condition> ..................................... 38
Hình 3.16. Ví dụ về giới hạn truy xuất dựa trên lớp của GeoXACML .............................. 38
Hình 3.17. Ví dụ về giới hạn truy xuất dựa trên đối tƣợng của GeoXACML ................... 39
Hình 3.18. Ví dụ về giới hạn truy xuất dựa trên không gian của GeoXACML ................. 39
Hình 3.19. Một vài hàm khơng gian của GeoXACML 1.0 ................................................ 40
Hình 3.20. Lƣợc đồ dịng dữ liệu của quy trình đánh giá yêu cầu truy xuất ...................... 42
Hình 3.21. Một ví dụ về Role<PolicySet> ......................................................................... 44

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


ix

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Hình 3.22. Một ví dụ về Permission<PolicySet> ............................................................... 45
Hình 3.23. Một ví dụ về HasPrivilegesOfRole<Policy> .................................................... 46
Hình 4.1. Sơ đồ dịng dữ liệu cho mơ hình STRoBAC ...................................................... 55
Hình 5.1. Kiến trúc của HERAS-AF .................................................................................. 59
Hình 5.2. Lƣợc đồ thành phần của HERAS-AF ................................................................. 60
Hình 5.3. Lƣợc đồ gói dữ liệu của HERAS-AF Core ........................................................ 61
Hình 5.4. Tạo chính sách trong HERAS-AF ...................................................................... 63
Hình 5.5. Triển khai chính sách với HERAS-AF ............................................................... 63
Hình 5.6. Tạo u cầu truy xuất với HERAS-AF .............................................................. 64

Hình 5.7. Đánh giá yêu cầu truy xuất với HERAS-AF ...................................................... 64
Hình 5.8. Lƣợc đồ tuần tự đánh giá yêu cầu truy xuất của HERAS-AF ............................ 65
Hình 5.9. Hiện thực kiểu dữ liệu DateTime trong HERAS-AF ......................................... 68
Hình 5.10. Định nghĩa hàm StringEqualFunction trong HERAS-AF ................................ 69
Hình 5.11. Cấu hình phụ thuộc cho dự án Maven .............................................................. 71
Hình 5.12. Sử dụng JTS cho dữ liệu khơng gian................................................................ 72
Hình 5.13. Hàm khởi tạo từ String cho kiểu Polygon ........................................................ 72
Hình 5.14. Hàm khởi tạo từ JDOM cho kiểu Polygon ....................................................... 73
Hình 5.15. Hàm khởi tạo cho kiểu Geometry .................................................................... 74
Hình 5.16. Phƣơng thức within cho kiểu Geometry........................................................... 74
Hình 5.17. Phƣơng thức convertTo của lớp GeometryDataTypeAttribute ........................ 75
Hình 5.18. Phƣơng thức handle của lớp within .................................................................. 76
Hình 5.19. Hiện thực của lớp AnyOfType ......................................................................... 76
Hình 5.20. Hiện thực của lớp MatchType .......................................................................... 76
Hình 5.21. Hiện thực của lớp ObligationExpressionsType ................................................ 77
Hình 5.22. Hiện thực của lớp AdviceExpressionType ....................................................... 77
Hình 5.23. Hiện thực của lớp AttributeDesignatorType .................................................... 78
Hình 5.24. Hiện thực của phƣơng thức REAHandle .......................................................... 79
Hình 5.25. Hàm khởi tạo của EvaluationContext............................................................... 80

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


x

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Hình 5.26. Hiện thực của lớp RequestType ....................................................................... 80

Hình 5.27. Hiện thực của lớp RequestType ....................................................................... 80
Hình 5.28. PolicyDenyOverrides – thêm giá trị obligation và advice từ evaluatable ........ 81
Hình 5.29. PolicyDenyOverrides – trả kết quả đánh giá .................................................... 81
Hình 5.30. TargetMatcher – phƣơng thức match ............................................................... 82
Hình 5.31. TargetMatcher – so sánh các giá trị thuộc tính ................................................ 83
Hình 5.32. SimpleREA – phƣơng thức listOfSelectedRoles.............................................. 84
Hình 5.33. SimpleREA – phƣơng thức handle ................................................................... 85
Hình 5.34. SimpleREA – phƣơng thức lấy role từ Rule .................................................... 85
Hình 5.35. SimplePEA – phƣơng thức findPEA ................................................................ 88
Hình 1. Lƣợc đồ gói dữ liệu của HERAS-AF Core ......................................................... xiii
Hình 2. Mở rộng HERAS-AF, lƣợc đồ lớp Types ............................................................ xiv
Hình 3. Mở rộng HERAS-AF, lƣợc đồ lớp DataTypeAttribute ......................................... xv
Hình 4. Mở rộng HERAS-AF, lƣợc đồ gói dữ liệu Function ............................................ xvi
Hình 5. Mở rộng HERAS-AF Function, lƣợc đồ lớp EqualityPredicates ........................xvii
Hình 6. Mở rộng HERAS-AF Function, lƣợc đồ lớp StringFunctions .......................... xviii
Hình 7. Mở rộng HERAS-AF Function, lƣợc đồ lớp BagFunctions.............................. xviii
Hình 8. Mở rộng HERAS-AF Function, lƣợc đồ lớp SetFunctions .................................. xix
Hình 9. Mở rộng HERAS-AF Function, lƣợc đồ lớp TopologicalFunctions ..................... xx
Hình 10. Mở rộng HERAS-AF, lƣợc đồ lớp CombiningAlgorithm ................................. xxi
Hình 11. Mở rộng HERAS-AF, lƣợc đồ lớp TargetMatcher ...........................................xxii
Hình 12. Mở rộng HERAS-AF, lƣợc đồ lớp Policy .........................................................xxii
Hình 13. Mở rộng HERAS-AF Policy, lƣợc đồ lớp Policy.impl ................................... xxiii
Hình 14. Mở rộng HERAS-AF, lƣợc đồ lớp SimpleCEA ...............................................xxiv
Hình 15. Mở rộng HERAS-AF, lƣợc đồ lớp SimplePEA ................................................ xxv
Hình 16. Mở rộng HERAS-AF, lƣợc đồ lớp SimpleREA ...............................................xxvi
Hình 17. Mở rộng HERAS-AF, lƣợc đồ tuần tự đánh giá yêu cầu truy xuất .................xxvii
Hình 18. Mở rộng HERAS-AF, lƣợc đồ tuần tự so trùng Target....................................xxix

Luận văn Thạc Sĩ


HV: LÊ THỊ KIM TUYẾN - 10071064


xi

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Hình 19. Mở rộng HERAS-AF, lƣợc đồ tuần tự tìm permission hợp lệ .......................... xxx
Hình 20. Mở rộng HERAS-AF, lƣợc đồ tuần tự tìm role đƣợc lựa chọn........................ xxxi
Hình 21. Tạo test case cho unit test ................................................................................xxxii
Hình 22. Phƣơng thức kiểm tra DataProvider ................................................................xxxii
Hình 23. File XML mơ tả dữ liệu kiểu LineString .........................................................xxxii
Hình 24. Chuyển từ file XML sang JDOM .................................................................. xxxiii
Hình 25. DataProvider để kiểm tra tạo Point từ JDOM ............................................... xxxiii

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


xii

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Mục lục bảng
Bảng 2.1. Ƣu - khuyết điểm của mơ hình dữ liệu vector và raster....................................... 8
Bảng 3.1. Các loại điều kiện ngữ cảnh khác nhau.............................................................. 29
Bảng 3.2. Các mơ hình điều khiển truy xuất với các loại điều kiện ngữ cảnh khác nhau . 29
Bảng 3.3. Khả năng biểu diễn của <Target> trong XACML 2.0 và 3.0 ............................ 33
Bảng 3.4. Mơ hình đề xuất với các loại điều kiện ngữ cảnh khác nhau ............................. 48

Bảng 5.1. Tổng quan về các mã nguồn mở hiện thực XACML ......................................... 58
Bảng 1. Một vài ví dụ cho HERAS-AF+ .......................................................................xxxiv

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


1

CHƢƠNG 1
1.1.

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

MỞ ĐẦU

Giới thiệu đề tài
Hệ thống thông tin địa lý (GIS - Geographical Information Systems hay Geospatial

Information Systems) là hệ thống đƣợc thiết kế để làm việc với dữ liệu không gian hoặc
dữ liệu liên quan đến tọa độ địa lý. Nói cách khác, GIS là cả một hệ thống cơ sở dữ liệu
có khả năng lƣu trữ, phân tích, quản lý và hiển thị dữ liệu không gian địa lý cùng một tập
các tác vụ để làm việc với các dữ liệu này [1].
Hiện nay, các hệ thống GIS đang phát triển không ngừng về cả số lƣợng và chất
lƣợng khi xuất hiện ngày càng nhiều ứng dụng trong các lĩnh vực nhƣ: nghiên cứu quản lý
tài nguyên thiên nhiên và môi trƣờng (quản lý rừng, phân tích các tác động mơi trƣờng,
quản lý chất lƣợng nƣớc, đánh giá hiện trạng sử dụng đất đai,…), nghiên cứu điều kiện
kinh tế - xã hội (quản lý dân số, quản lý mạng lƣới giao thông, quản lý mạng lƣới y tế
giáo dục, điều tra và quản lý hệ thống cơ sở hạ tầng...), nghiên cứu hỗ trợ các chƣơng

trình qui hoạch phát triển,… Trong đó, dữ liệu GIS là một trong những yếu tố quan trọng
nhất để đánh giá các ứng dụng này, cụ thể là các bản đồ số [2]. Thơng thƣờng, chi phí xây
dựng dữ liệu GIS chiếm khoảng 80% chi phí của một dự án GIS [2].
Dữ liệu GIS (đặc biệt là dữ liệu nền) thƣờng đƣợc dùng chung bởi nhiều ứng dụng và
nhiều ngƣời dùng khác nhau. Trong mỗi ứng dụng GIS, ngƣời dùng đƣợc chia làm nhiều
nhóm khác nhau và mỗi nhóm sẽ có đặc quyền riêng trong việc truy xuất dữ liệu GIS. Để
hiểu rõ vấn đề này, ta sẽ xem xét ví dụ truy xuất dữ liệu trong ứng dụng quản lý quy
hoạch đất; giả sử trong ứng dụng này, ngƣời dùng đƣợc chia làm ba nhóm: dân thƣờng,
quân đội và nhóm quản lý thành phố; tùy thuộc vào mỗi nhóm, khi ngƣời dùng truy xuất
dữ liệu sẽ đƣợc thấy những vị trí đặc biệt khác nhau, mức độ chính xác cũng nhƣ độ chi
tiết khác nhau. Cụ thể nhƣ sau:
 Vị trí đặc biệt: nhóm dân thƣờng sẽ thấy những thơng tin cơ bản về tình trạng sử
dụng đất; nhóm qn đội sẽ thấy tất cả những thơng tin mà nhóm dân thƣờng thấy

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


2

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

và những vị trí đặc biệt liên quan đến an ninh quốc gia (vị trí màu đỏ trong hình);
nhóm quản lý thành phố cũng sẽ thấy tất cả thơng tin mà nhóm dân thƣờng thấy
và những vị trí trong kế hoạch quy hoạch chƣa đƣợc cơng khai (vị trí màu xanh
trong hình)
Users

Civilian


Militar

City’s leaders

Hình 1.1. Truy xuất dữ liệu ở những vị trí đặc biệt khác nhau

 Mức độ chi tiết: với một số vùng trên bản đồ, nhóm dân thƣờng sẽ đƣợc xem ở
mức độ chi tiết thấp hơn so với nhóm quân sự và nhóm quản lý thành phố.
Users

Civilians

Military

City’s leaders

Hình 1.2. Truy xuất dữ liệu ở những mức độ chi tiết khác nhau

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


3

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

 Mức độ chính xác: nhóm dân thƣờng sẽ đƣợc xem bản đồ ở mức độ chính xác
thấp (ví dụ ± 5m), nhóm quản lý thành phố sẽ xem ở mức độ chính xác cao hơn

(ví dụ ± 1m), và nhóm quân sự sẽ đƣợc xem ở mức độ chính xác cao nhất (ví dụ ±
0.1m).

Users

Civilians

(Accuracy ± 5m)

Military

(Accuracy ± 0.1m)

City’s leaders

(Accuracy ± 1m)

Hình 1.3. Truy xuất dữ liệu ở những mức độ chính xác khác nhau

Về mặt lƣu trữ, dữ liệu không gian thƣờng bao gồm nhiều lớp dữ liệu khác nhau, mỗi
lớp cần lƣu trữ lại những phiên bản khác nhau để đảm bảo rằng với mỗi nhóm ngƣời dùng
sẽ truy xuất đƣợc dữ liệu ở mức độ chi tiết và độ chính xác khác nhau. Tuy nhiên, nếu
mỗi nhóm ngƣời dùng đều đƣợc miêu tả cấp độ bảo mật trên mỗi lớp, thì dung lƣợng của
siêu dữ liệu sẽ rất lớn và tốc độ truy vấn sẽ hạn chế, cũng nhƣ bộ truy vấn cũ (hiện có) sẽ
khơng hoạt động đối với các thơng tin bảo mật này. Để tối ƣu việc lƣu trữ các siêu dữ liệu
và truy xuất các thông tin một cách an tồn và chính xác, nhu cầu phát triển một mơ hình
điều khiển truy xuất hỗ trợ điều khiển truy xuất tới từng đối tƣợng trong các lớp dữ liệu
GIS là thực sự cần thiết.

Luận văn Thạc Sĩ


HV: LÊ THỊ KIM TUYẾN - 10071064


4

1.2.

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

Mục đích nghiên cứu
GIS là lĩnh vực thu hút nhiều nhà nghiên cứu bởi khả năng ứng dụng rộng rãi của nó.

Tại Việt Nam, GIS phát triển mạnh mẽ và đƣợc sử dụng trong nhiều lĩnh vực nhƣ: môi
trƣờng, quản lý đất đai, quy hoạch tổng thể… [2]; nhƣng các hệ thống GIS hiện có hầu
hết dừng lại ở mức xây dựng dữ liệu GIS, lựa chọn công nghệ và phát triển ứng dụng dựa
trên công nghệ đã lựa chọn, việc nghiên cứu có chiều sâu về vấn đề điều khiển truy xuất
dữ liệu GIS vẫn chƣa đƣợc chú trọng và đầu tƣ đúng mức. Đây là bài tốn lớn bao gồm
nhiều vấn đề có thể kể đến nhƣ sau:
 Đề xuất mơ hình điều khiểu truy xuất dữ liệu không – thời gian dựa trên việc mở
rộng các mơ hình điều khiển truy xuất hiện có
 Mở rộng ngơn ngữ đặc tả chính sách bảo mật hiện có để hỗ trợ mơ hình vừa đề
xuất
 Phát triển mơ hình và ngơn ngữ vừa mở rộng thành một framework chung
 Tích hợp framework này vào các ứng dụng GIS hiện có
 Tối ƣu hóa việc xử lý các câu truy vấn liên quan đến dữ liệu không gian
Hai vấn đề đầu tiên sẽ đƣợc làm rõ trong quá trình nghiên cứu và thực hiện đề tài.
1.3.

Ý nghĩa khoa học và thực tiễn


1.3.1. Ý nghĩa khoa học
Trong lĩnh vực bảo mật dữ liệu không gian cho các hệ thống GIS, đề tài này có các ý
nghĩa khoa học sau:
 Nghiên cứu và tổng kết các mơ hình điều khiển truy xuất dữ liệu không – thời
gian hiện có.
 Đề xuất mở rộng ngơn ngữ đặc tả chính sách bảo mật GeoXACML để hỗ trợ đặc
tả các chính sách có liên quan đến dữ liệu khơng – thời gian
 Hỗ trợ xây dựng mơ hình điều khiển truy xuất chung có thể áp dụng cho nhiều
ứng dụng GIS

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


5

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

1.3.2. Ý nghĩa thực tiễn
Nhƣ đã đề cập, các ứng dụng GIS đang phát triển không ngừng cả về số lƣợng lẫn
chất lƣợng. Do đó, việc bảo mật dữ liệu không gian cho các ứng dụng trong khi vẫn đảm
bảo các ứng dụng hoạt động hiệu quả là vấn đề quan trọng cần đƣợc giải quyết.
Đề tài mang những ý nghĩa thực tiễn sau:
 Về phía ngƣời dùng: việc bảo mật dữ liệu không gian sẽ không làm ảnh hƣởng
đến các chức năng mà các ứng dụng đem lại cho ngƣời dùng.
 Về phía ngƣời quản lý ứng dụng: ngƣời quản lý ứng dụng có thể dễ dàng điều
khiển việc truy xuất dữ liệu của những ngƣời dùng trong hệ thống, đồng thời dễ
dàng định nghĩa những chính sách bảo mật mới khi yêu cầu nghiệp vụ thay đổi.

 Góp phần thúc đẩy các ứng dụng GIS phát triển hơn nữa: giải pháp của đề tài nếu
đƣợc áp dụng vào thực tiễn sẽ hỗ trợ cho việc xây dựng mơ hình điều khiển truy
xuất chung cho nhiều ứng dụng GIS, từ đó tạo sự an tâm cho ngƣời sử dụng.

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


6

CHƢƠNG 2
2.1.

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

CƠ SỞ LÝ THUYẾT

Dữ liệu khơng gian là gì?

2.1.1. Định nghĩa
Soon Ae Chun và Vijayalakshmi Atluri [3] đã đƣa ra định nghĩa cho dữ liệu không
gian nhƣ sau:
“Dữ liệu không gian (geospatial data) thường bao gồm bản đồ, hình ảnh trên khơng
và vệ tinh, được kết hợp với những thơng tin vị trí và đại diện bởi kinh độ, vĩ độ”
Theo Andreas Matheus [4]:
“Dữ liệu không gian (hay dữ liệu địa lý) là thông tin địa lý về các đối tượng và các
hiện tượng với một vị trí tương đối so với bề mặt Trái Đất”
Các đối tƣợng đƣợc nhắc đến ở đây có thể là: đƣờng đi, mảnh đất, độ cao, cây, tòa
nhà, con sông… Dữ liệu không gian đƣợc dùng để thể hiện các đối tƣợng bên ngồi thế

giới thực; do đó, việc phân loại dữ liệu không gian cũng dựa vào đặc tính của các đối
tƣợng ngồi thực tế.
2.1.2. Phân loại
Những đặc tính của thế giới thực có thể chia làm hai loại cơ bản: đối tƣợng và hiện
tƣợng [1]
 Đối tượng: rời rạc và xác định, ví dụ nhƣ tịa nhà, đƣờng cao tốc, thành phố, hay
công viên…
 Hiện tượng: đƣợc phân bố liên tục trên một diện tích lớn, chẳng hạn nhƣ địa hình,
nhiệt độ, lƣợng mƣa, cƣờng độ âm thanh và các chỉ số môi trƣờng khác.
Tƣơng ứng với hai hình thức cơ bản này sẽ có hai cách tiếp cận để biểu diễn thế giới
thực trong cơ sở dữ liệu khơng gian: mơ hình dựa trên đối tƣợng (object – based model)
và mơ hình dựa trên vùng (field – based model) [1].
 Cách tiếp cận dựa trên đối tượng: thế giới thực sẽ đƣợc biểu diễn thông qua mơ
hình dữ liệu vector (vector data model). Các đối tƣợng không gian đƣợc xác định
độc lập và biểu diễn thông qua tọa độ tốn học. Có nhiều biến thể của mơ hình dữ

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


7

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

liệu vector, tuy nhiên, các phƣơng pháp và giải thuật sử dụng đều đƣợc xây dựng
dựa trên hai khái niệm phổ biến và có quan hệ với nhau: (1) phân rã các đối tƣợng
không gian thành những thành phần đồ họa cơ bản (điểm, đƣờng, đa giác) và (2)
sử dụng các cấu trúc liên kết (topology) hay cịn gọi là các mối quan hệ khơng
gian để biểu diễn các đối tƣợng khơng gian ngồi việc sử dụng tọa độ hình học.

Ta sẽ xem xét một vài thành phần đồ họa cơ bản đƣợc sử dụng trong mơ hình dữ
liệu vector:

Hình 2.1. Ví dụ đơn giản về bản đồ vector

o Điểm: đƣợc biểu diễn bằng một cặp tọa độ, là kiểu đơn giản nhất của dữ liệu
vector. Điểm thƣờng đƣợc dùng để biểu diễn những vị trí đơn, ví dụ nhƣ
giếng, đỉnh núi. Ngồi ra, điểm cũng có thể đƣợc dùng để đại diện cho khu
vực khi hiển thị ở quy mô nhỏ, chẳng hạn nhƣ thành phố trên bản đồ thế giới
nên đƣợc biển diễn bằng điểm thay vì đa giác.
o Đường hoặc cung: bao gồm một chuỗi các điểm, thƣờng đƣợc dùng để biểu
diễn con sơng, đƣờng bộ, đƣờng sắt, đƣờng mịn và đƣờng địa hình…
o Đa giác: đƣợc sử dụng để biếu diễn các đối tƣợng không gian bao phủ trên
một vùng xác định của bề mặt Trái Đất. Ta có thể sử dụng đa giác để biểu
diễn hồ, ranh giới các công viên, tòa nhà, ranh giới thành phố...
 Cách tiếp cận dựa trên vùng: thế giới thực sẽ đƣợc biểu diễn thông qua mơ hình
dữ liệu raster (raster data model), mơ hình đƣợc dùng để biểu diễn các hiện tƣợng
không gian trên một diện tích lớn. Kiểu dữ liệu raster bao gồm dòng và cột của

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


8

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

các ô, mỗi ô sẽ chứa một giá trị đơn. Dữ liệu raster có thể là ảnh hoặc từng pixel
chứa giá trị màu. Các giá trị đƣợc lƣu trữ trong mỗi ơ có thể là giá trị rời rạc (ví

dụ nhƣ đất sử dụng) hoặc giá trị liên tục (chẳng hạn nhƣ nhiệt độ). Về mặt lƣu
trữ, dữ liệu raster có thể đƣợc lƣu dƣới nhiều dạng, từ các tập tin cấu trúc chuẩn
nhƣ TIF, JPEG… đến đối tƣợng dữ liệu nhị phân (BLOB) đƣợc lƣu trực tiếp
trong hệ quản trị cơ sở dữ liệu quan hệ (RDBMS). Hình bên dƣới là một ví dụ về
việc sử dụng mơ hình dữ liệu raster để biểu diễn các đối tƣợng khơng gian.

Hình 2.2. Ví dụ về dữ liệu raster

Cả hai mơ hình biểu diễn dữ liệu khơng gian bên trên đều có những ƣu và khuyết
điểm riêng [1]
Bảng 2.1. Ƣu - khuyết điểm của mơ hình dữ liệu vector và raster

Mơ hình dữ liệu vector
 Ưu điểm:

Mơ hình dữ liệu raster
 Ưu điểm:

o Dữ liệu có thể đƣợc biểu diễn ở độ
phân giải và dạng gốc mà khơng cần
phải qua thao tác tổng qt hóa.

o Vị trí khơng gian của mỗi cell thì
đƣợc ngầm định là vị trí của nó trong
ma trận.

o Dữ liệu khi trình bày ở dạng đồ họa
thì thƣờng đƣợc đánh giá là đáp ứng
yêu cầu về thẩm mỹ.


o Dễ dàng hiện thực các tác vụ che
phủ.

o Vị trí khơng gian chính xác của dữ
liệu sẽ đƣợc duy trì, khơng thay đổi.

o Các thiết bị đầu ra dựa trên chuẩn
raster rất thích hợp với những hệ
thống lƣới.

o Cho phép mã hóa hiệu quả các quan

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064


9

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

hệ khơng gian.
o Kích thƣớc file thƣờng nhỏ hơn so
với dạng raster.
 Khuyết điểm:

 Khuyết điểm:

o Vị trí của mỗi cạnh cần đƣợc lƣu trữ
rõ ràng.


o Kích thƣớc của ơ sẽ quyết định độ
phân giải của dữ liệu đƣợc biểu diễn.

o Để phân tích hiệu quả, dữ liệu vector
phải đƣợc chuyển đổi sang dạng cấu
trúc liên kết (tức là các mối quan hệ
không gian). Điều này địi hỏi dữ
liệu phải phong phú. Bên cạnh đó,
các cấu trúc liên kết là tĩnh, do đó
bất kỳ sự thay đổi nào trên dữ liệu
vector đều phải xây dựng lại các cấu
trúc liên kết này.

o Việc xử lý các thuộc tính dữ liệu liên
quan có thể trở nên cồng kềnh nếu
lƣợng dữ liệu lớn. Bản đồ raster chỉ
phản ánh thuộc tính hoặc đặc trƣng
của một khu vực xác định.

o Các giải thuật để xử lý và phân tích
dữ liệu rất phức tạp, địi hỏi phải có
sự chun sâu.
o Các dữ liệu liên tục, nhƣ dữ liệu về
độ cao thì khơng thể đƣợc biểu diễn
dƣới dạng vector.
o Các thao tác phân tích khơng gian và
lọc trong đa giác khơng thể thực hiện
đƣợc.


o Đa số dữ liệu đầu vào đều ở dạng
vector, do đó dữ liệu phải trải qua
q trình chuyển đổi vector – to –
raster. Bên cạnh đó, việc tổng quát
hóa dữ liệu và lựa chọn kích thƣớc ơ
khơng phù hợp có thể dẫn đến việc
mất tính tồn vẹn của dữ liệu.
o Khi biểu diễn dữ liệu cho một vùng,
dữ liệu raster địi hỏi khơng gian lƣu
trữ nhiều hơn dạng vector (chỉ lƣu ở
những điểm cần thiết).
o Hầu hết các bản đồ đầu ra của hệ
thống lƣới thì khơng đáp ứng đƣợc
nhu cầu về chất lƣợng.

Ngồi mơ hình dữ liệu vector và raster, để biểu diễn dữ liệu không gian, ta cịn có thể
dùng mơ hình dữ liệu CAD và TINs (Triangulated Irregular Networks) [5]; tuy nhiên, đề
tài sẽ không đề cập đến các mơ hình này và chỉ xét đến mơ hình dữ liệu vector.
2.2.

Bảo mật dữ liệu khơng gian
Bảo mật dữ liệu khơng gian thƣờng bao gồm ba khía cạnh chính: tính bí mật

(confidentiality), tính tồn vẹn (integrity) và điều khiển truy xuất (access control) [6].

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064



10

GVHD: PGS.TS. ĐẶNG TRẦN KHÁNH

 Tính bí mật: khi dữ liệu đƣợc truyền tải trên mạng, chỉ những ngƣời dùng hợp
pháp mới có thể hiểu đƣợc nội dung truyền tải, với ngƣời dùng bất hợp pháp sẽ
không hiểu đƣợc nội dung này ngay cả khi họ bắt đƣợc các gói tin trên mạng.
Thơng thƣờng, để đảm bảo tính bí mật, các gói tin sẽ đƣợc mã hóa trƣớc khi đƣa
lên đƣờng truyền.
 Tính tồn vẹn: dữ liệu khơng gian khơng đƣợc phép bị giả mạo (thêm, xóa hay
thay đổi) bởi ngƣời dùng bất hợp pháp. Để đảm bảo tính tồn vẹn, ta có thể dùng
kỹ thuật chữ ký số hoặc chữ ký điện tử.
 Điều khiển truy xuất: bao gồm hai ý chính (1) xác thực (authentication) và (2) ủy
quyền (authorization). Xác thực là việc đảm bảo ngƣời dùng đăng nhập là ngƣời
dùng hợp pháp của hệ thống. Có nhiều cách để xác thực ngƣời dùng của hệ thống
chẳng hạn nhƣ: dựa trên những gì họ biết (tên, mật khẩu truy cập), dựa trên
những gì họ có (thẻ xác nhận) hoặc dựa trên bản thân ngƣời dùng (dấu vân tay).
Sau khi ngƣời dùng đăng nhập thành công vào hệ thống, họ sẽ đƣợc phân các
quyền tƣơng ứng với các đối tƣợng không gian mà họ cần truy cập, đây đƣợc gọi
là giai đoạn ủy quyền. Xác thực là điều kiện tiên quyết của ủy quyền.
Tính bí mật và tính tồn vẹn cho dữ liệu không gian đã đƣợc đảm bảo bằng các giải
pháp hiện có trong lĩnh vực cơng nghệ thông tin. Tuy nhiên, điều khiển truy xuất cho dữ
liệu khơng gian vẫn chƣa có những giải pháp thực sự thỏa đáng. Do đó, đề tài này sẽ tập
trung vào nghiên cứu vấn đề điều khiển truy xuất cho dữ liệu không gian.

Luận văn Thạc Sĩ

HV: LÊ THỊ KIM TUYẾN - 10071064



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×