Phát triển cơ chế phân tích chính sách bảo mật trong mô hình điều khiển truy xuất GeoXACML
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (11.07 MB, 114 trang )
I H C QU C GIA TP.HCM
I H C BÁCH KHOA
NG TU N ANH
TÀI LU
PHÁT TRI
PHÂN TÍCH
CHÍNH SÁCH B O M T TRONG MƠ HÌNH
U KHI N TRUY XU T GEOXACML
Chuyên ngành
Mã s
: Khoa h c máy tính
: 604801
LU
TP. H Chí Minh
Tháng 12
13
C HOÀN THÀNH T I
I H C BÁCH KHOA
Cán b
ng d n khoa h c: PGS.
ng Tr n Khánh
Cán b ch m nh n xét 1
: TS. Nguy n Chánh Thành
Cán b ch m nh n xét 2
:
Lu
25 tháng
cb ov t
HCM
ih
Thành ph n h
m:
1.
2.
3.
4.
Xác nh n c a ch t ch h
LV và
sau khi lu
c s a ch a (n u có).
CH T CH H
NG
ng khoa qu n lý chuyên ngành
NG KHOA KH&KT MÁY TÍNH
PGS.TS. THO I NAM
I H C QU C GIA TP.HCM
I H C BÁCH KHOA
C NG HÒA XÃ H I CH
c l p - T do - H nh phúc
T NAM
NHI M V LU
H tên h c viên:
NG TU N ANH...................................... MSHV: 11076001 ...........
25/03/1988 ...........................................
Qu ng Bình ....
Chun ngành: Khoa h c máy tính ......................................... Mã s : 604801...............
I.
M
TÀI: PHÁT TRI
PHÂN TÍCH CHÍNH SÁCH B O
U KHI N TRUY XU T GEOXACML .....................
II. NHI M V VÀ N I DUNG:
Tìm hi u và phân lo i các b
ng trong t p chính sách.
Tìm hi u nh
xu
phát hi n b
ng c a t p
chính sách và tìm nh
my
m m nh c a t
Phân tích nh
a t p chính sách trong mơ hình
GeoXACML so v i nh ng mơ hình khác. T
i ti n nh
u, ho
i.
ánh giá
m
xu t trong lu
III. NGÀY GIAO NHI M V : 02/07/2012 ..................................................................
IV. NGÀY HOÀN THÀNH NHI M V : 22/11/2013 ..................................................
V. CÁN B
NG D N:
NG TR N KHÁNH ....................................
13
CÁN B
NG D N
CH NHI M B
NG TR N KHÁNH
NG TR N KHÁNH
NG KHOA KH&KT MÁY TÍNH
PGS.TS. THO I NAM
O
L
và h
Em xin g i l i c
n th y ng Tr
ng d n em trong su t th i gian em th c hi
tài.
Em xin g i l i c
Nguyên v nh ng l i khuyên b
Em
su t th i gian em th c hi
t n tình
i th y Nguy n Chánh Thành và th
em hoàn thi n lu
c khi ra b o v .
và h tr c a các anh ch D-STAR lab trong
tài.
Cu i cùng, tôi xin chân thành c
h và khuy
tài lu
b n bè vì s
, ng
NG TR N KHÁNH
H th
a lý (GIS)
n m nh m c v s
ng và ch
c áp d ng trong nhi
c. D li u trong các h
th ng này có th ch a nh ng thông tin nh y c m, bí m t, vì v y vi
u khi n truy
xu t trên nh ng d li u này là r t quan tr
i nh m h tr cho
vi c gi i quy t nh ng yêu c
u khi n truy xu t này. Nó là ngơn ng d a trên
u khi n truy xu
t bi t là
nh ng chính sách có các y u t v khơng gian. Trong t
c mơ t b i
ngơn ng GeoXACML, có ch a nhi u lu t, nh ng lu t này có th
t ho
th a l n nhau
c g i chung là b
ng. GeoXACML khơng có b t k
nào giúp phát hi n nh ng b
ng này. Hi
ã có nhi u cơng trình nghiên c u
v vi c phát hi n b
ng trong ngôn ng XACML, m t ph n c a ngôn ng
GeoXACML. Tuy nhiên, nh ng nghiên c u này ch gi i quy t bài toán phát hi n b t
i v i các ràng bu c trên ki u d li
nguyên, s th c, chu i,
Hi n nay,
t kì nghiên c u nào nh
n ki u d li u khơng
gian, và các ràng bu c v khơng gian. Vì v y trong lu
p trung vào
vi c phát tri
phát hi n b
ng trên các ràng bu c v không gian trong
t p chính sách GeoXACML.
NG TU N ANH
i
NG TR N KHÁNH
Abstract
Geographic information system (GIS) is more and more developed incessantly
in both quantity and quality, and is applied in many fields. Data in these systems
maybe contain sensitive and/or confidential information, so ensuring access
restrictions to these data is very important. GeoXACML is used for that purpose. It is
an XML based policy language to express spatial access rights. In policy repository
which is expressed by GeoXACML, there are many rules. These rules can be
conflicting or redundant each other, called anomalies. GeoXACML does not have any
system mechanism to detect anomalies in polices. Currently, there is a lot of
researches focusing on anomaly detection in XACML from which GeoXACML is
extended. However, these researches just solve anomaly detection with basic data
o research directly solves anomaly
detection problem in the spatial aspect with spatial data types and functions.
Therefore, in this thesis, I will focus on building a mechanism to detect anomalies in
spatial constraints of GeoXACML policies.
NG TU N ANH
ii
NG TR N KHÁNH
u c a b n thân.
Các s li u, k t qu trình bày trong lu
cơng b trong b t k
c ai
H c viên
NG TU N ANH
NG TU N ANH
iii
NG TR N KHÁNH
M
Tóm t t lu
............................................................................................................ i
Abstract ......................................................................................................................... ii
L
................................................................................................................iii
M c l c ......................................................................................................................... iv
M c l c hình................................................................................................................. vi
u ....................................................................................................... 1
1.1 Gi i thi
tài .................................................................................................... 1
1.2 M
1.3 Gi i h
u ............................................................................................ 2
tài ....................................................................................................... 2
1.4
c và th c ti n .............................................................................. 3
1.4.1
c............................................................................................. 3
1.4.2
c ti n ............................................................................................. 3
lý thuy t ........................................................................................... 4
2.1 H th
a lý ...................................................................................... 4
2.2 B o m t d li u không gian .................................................................................. 5
2.3 Ngôn ng XACML ............................................................................................... 5
2.4 Ngôn ng GeoXACML ........................................................................................ 8
2.5
u khi n truy xu t GeoXACML ....................................................... 10
2.6 Phân lo i b
ng trong t p chính sách .......................................................... 11
2.7 Gi i quy
t quy n trong GeoXACML .................................................. 12
u liên quan..................................................... 18
3.1
c ........................................................................................ 19
3.1.1 Vi c chuy
i XACML Target vào không gian n chi u ........................... 20
3.1.2 Các ki u d li
c chuy n thành Integer ................................................ 20
3.1.3 Các ki u d li
c chuy
i thành ki u Double .................................. 21
3.1.4 Các ki u d li
c chuy
i thành ki u String .................................... 21
3.1.5 Các ki u d li
c chuy
i thành máy tr ng thái h u h n ................. 21
3.1.6 Thu
3.1.7
NG TU N ANH
t ........................................................................ 22
ph c t p tính tốn ..................................................................... 23
iv
NG TR N KHÁNH
3.2
d ng Binary Decision Diagram (BDD) ................................... 25
3.2.1 Bi u di n chính sách
d
BDD ...................................................... 25
3.2.2 Thu
t ........................................................................ 26
ng ti p c n và thu t toán ................................................................. 29
4.1
phát hi n b
4.2 Thu
nh b
ng ti p c n ........................................... 29
ng cho các ràng bu c không gian ......................... 30
4.2.1 RCC8 và suy lu n hình h c ........................................................................... 30
4.2.2 Consistency và path-consistency................................................................... 32
4.2.3 Thu
nh b
4.3
n và hi
ng ..................................................................... 33
................................................................. 35
c nghi m ............................................................................................ 37
5.1 Case study ........................................................................................................... 37
5.2 Hi n th c ............................................................................................................. 38
5.3
c nghi m ......................................................................................... 40
ng k t .................................................................................................... 43
6.1 T ng k t .............................................................................................................. 43
6.2
ng phát tri n ................................................................................................. 44
Tài li u tham kh o ...................................................................................................... 45
Ph l c ......................................................................................................................... 47
[1] Dang Tuan Anh, Dang Tran Khanh: A Path-Consystency Based Algorithm For
Anomaly Detection of Spatial Constraints in GeoXACML Policie. Journal of Science
and Technology, Vietnamese Academy of Science and Technology, ISSN 0866708X, Vol. 51, No. 4B, 2013, pp. 143-152 (a Special Issue on ACOMP2013)
[2] Nguyen Ngoc Tuan, Le Thi Kim Tuyen, Dang Tuan Anh, Van Duc Son Ha,
Dang Tran Khanh: Towards a Flexible Framework to Support a Generalized
Extension of XACML for Spatio-Temporal RBAC Model with Reasoning Ability. In
Proceedings of the International Conference on Computational Science and Its
Applications (ICCSA2013), Part V, LNCS 7975, Springer Verlag, 24-27 June, 2013,
Ho Chi Minh City, Vietnam, pp. 437-451
[3] Van Duc Son Ha, Dang Tuan Anh, Dang Tran Khanh: Supporting Authorization
Reasoning Based on Role and Resource Hierarchies in an Ontology-enriched XACML
Model. International Journal of Computer and Communication Engineering (IJCCE),
IACSIT Press, ISSN: 2010-3743, 2014 (to be accepted)
NG TU N ANH
v
NG TR N KHÁNH
[4] Dang Tran Khanh, Le Thi Kim Tuyen, Dang Tuan Anh, Van Duc Son Ha:
Towards a Flexible Framework to Support a Generalized Extension of XACML for
Spatio-Temporal RBAC Model with Reasoning Ability, International Journal of Web
Information Systems (IJWIS), ISSN: 1744-0084, 2014 (to be accepted)
M
Hình 1: Các thành ph n c a GIS ........................................................................ 4
Hình 2: Cú pháp c a Subject trong chính sách .................................................. 6
Hình 3: Cú pháp c a Target trong chính sách .................................................... 6
Hình 4: Cú pháp c a Rule trong chính sách ....................................................... 6
Hình 5: Cú pháp c a Policy trong chính sách .................................................... 7
Hình 6: Cú pháp c a PolicySet trong chính sách ............................................... 7
Hình 7: Các ki u d li u hình h c trong GeoXACML ...................................... 8
Hình 8: Các hàm khơng gian trong GeoXACML .............................................. 9
Hình 9: Tr c quan các hàm khơng gian trong GeoXACML .............................. 9
Hình 10: M t ví d v thành ph n GeoXACML <Condition> ........................ 10
Hình 11: Mơ hình GeoXACML - XACML ..................................................... 10
Hình 12: M t chính sách GeoXACML ............................................................ 12
Hình 13: Các gi i thu t k t h p chính sách, lu t............................................. 13
Hình 14: B ng s th
................................................................. 14
Hình 15: B ng s th
............................................................. 15
Hình 16: B ng s th
........................................................ 15
Hình 17: Ví d v
t trong chính sách XACML ................................... 20
Hình 18: Các bi u th c logic nguyên t ........................................................... 26
BDD c a 2 lu t R1 và R2 ....................................................... 26
Hình 20: Thu
t ............................................................ 27
Hình 21: Quan h
..... 30
Hình 22: B ng quan h k t h p ........................................................................ 32
Hình 23: B ng quan h
c ................................................................... 32
Hình 24: Thu t tốn Path-Consistency ............................................................. 33
Hình 25: Ma tr n m ng ràng bu c R ................................................................ 38
Hình 26: Ki n trúc chung c a ng d ng demo ................................................ 39
Hình 27: Cách s d
n JTS Topology Suite ...................................... 39
Hình 28: Cách s d
n PyRCC8........................................................ 40
Hình 29: Bi
th i gian th c thi khi s
i ............. 41
Hình 30: Bi
th i gian th c thi khi s
............................... 42
NG TU N ANH
vi
NG TR N KHÁNH
M
1.1
Hi n nay, các h th
n r t m nh và ng d ng trong nhi u
u qu
ng, nghiên c u
u ki n kinh t - xã h i, nghiên c u h tr
ch phát
tri n,...Trong các h th ng này, d li u là y u t quan tr ng nh t, và t n nhi u chi phí
xây d ng nh
ng chi m kho ng 80% chi phí c a m t d án GIS [1].
Nh ng d li u này
c dùng chung b i nhi u ng d ng khác nhau. Trong
m i ng d
c chia làm nhi u nhóm khác nhau và m i nhóm s có
nh
c quy n riêng trong vi c truy xu t d li u GIS. Vì v y c n có nh ng mơ hình
u khi n truy xu t nh
m b o d li u GIS ch
c cung c p cho nh
i
dùng có quy n s d ng nó.Và GeoXACML là m t mơ
u khi n truy xu t cho
d li
c ch p nh n r
thành chu n công nghi p [2].
c m r ng t
u khi n truy xu t XACML [3].
Trong mơ hình này, các lu
u khi n truy xu
c bi u di n trong ngôn ng
XML theo m
nh rõ. D a vào t p lu t này, các yêu c u truy xu t
d li u s
v m t k t qu thích h p. Trong m t h th ng, có th
ch a r t nhi u lu t, và khi m t yêu c u truy xu
c g i lên h th ng, có th có
nhi u lu
c áp d ng cho yêu c
ng lu t này có th tr v nh ng k t
qu
c nhau. Vì v
d ng các thu t toán k t h
k t qu cu i cùng t nh ng lu
c áp d ng cho m t yêu c
mà GeoXACML gi i quy
t gi a các lu t. M t lo i b
ng khác trong t p
lu
a. Hai lu
cg
a, khi chúng có th cùng
áp d ng chung cho m t yêu c u truy xu
v cùng k t qu . B i vì th i
gian
m t yêu c u truy xu t ph thu c l n vào s
ng lu t trong kho
chính sách, vì v y s
a có th
ng t i hi u su t c
c
c xem
t lo i b
ng và c n
c gi i quy
t i
c, GeoXACML khơng có b
phát hi n b
ng
trong chính sách.
gi i quy t
t
i thi t k chính sách ph i l a
ch n các thu t toán k t h p. Vi c l a ch n thu t toán k t h p ph thu c ch y u vào
ki n th c và kinh nghi m c
i thi t k chính sách và khơng có b t kì s h tr
nào t h th ng. D
, n u không có b t k thơng tin nào v s
t thì s hi u
qu c a vi c l a ch n thu t toán k t h p này s
m b o.
NG TU N ANH
1
NG TR N KHÁNH
y, vi c phát hi n b
ng trong chính sách GeoXACML là r t
c n thi t. Nó h tr
i thi t k chính sách trong vi
n lý các
gi m công s c, t i thi u l
u su
1.2
Nh ng b
ng trong t p chính sách có th
n nh ng k t qu khơng
chính
u c u truy xu t, và d
n nh ng v
nghiêm tr ng v b o m
i v i h th ng. M t khác, nh ng b
gi m hi u su
c u truy xu t. Vì v y, m
a lu
này là xây d ng m
t
ng phát hi n ra nh ng b
ng trong t p
chính sách, t
ng c nh báo thích h
i thi t k chính sách,
giúp gi m cơng s c, h n ch t
ng b
ng có th sinh ra trong quá trình
n lý các chính sách.
ng th i, lu
nh ng
v
hi u su t c a
xu t.
1.3
Vi c phát hi n b
ng trong t p chính sách b o m t có hai chi n thu t
c phân chia d a vào th i gian mà quá trình phát hi
c áp d
phát hi n t nh và
phát hi n ng. M
u có nh
m riêng (s
c phân tích ph n 4.1) và m t h th
u khi n truy xu t
c n ph i s d ng c
c hi u qu t t nh t. Tuy nhiên,
tài
này ch t p trung vào
phát hi n t nh
c phát hi n b
ng này
c th c hi n ngay
n thi t k
i qu n lý chính sách
thêm m i m t chính sách ho c ch nh s a m
n t i trong h th ng.
Hi n nay, vi c phát hi n b
ng trong t
u khi n truy xu t,
c bi t là các t p chính sách d a trên chu n ngơn ng
c nhi u
nhà nghiên c u quan tâm. Tuy nhiên, trong nh ng nghiên c u này, khơng có nghiên
c u nào tr c ti p gi i quy t bài toán phát hi n b
i v i các lo i d li u
c d a trên các hàm không gian trong ngơn ng
GeoXACML. Vì v y,
tài này s t p trung vào vi c phát hi n b
ng trên
các ràng bu c không gian trong ngôn ng GeoXACML.
NG TU N ANH
2
NG TR N KHÁNH
1.4
1.4.1
Nh ng b
ng trong t p chính sách có th gây ra nh ng v
v b om t
a h th ng. Cho t i th
m hi
u công trình
nghiên c
nv
phát hi n b
ng. Tuy nhiên, các nghiên c u này
ch y u là th c hi n cho các t p chính sách b o m
ng l a, và g
là
XACML.
u tiên nghiên c u v
phát hi n b t
ng trong t p chính sách cho ngơn ng GeoXACML. Vì v
c
b o m t d li u khơng gian cho các h th
tài này có nh
h c sau:
Nghiên c u và t ng k
sách b o m t hi n có.
phát hi n b
xu
phát hi n b
gian c a ngơn ng
c
xu t.
ng trong t p chính
c khơng
hi u qu
Phân tích nh
ng phát tri n ti
gi i quy t bài tốn phát hi n
b
i v i ngơn ng GeoXACML m t cách t ng quát.
1.4.2
T nh ng l i ích to l n mà GIS mang l i mà các h th
u
nc v s
ng và ch
vi c b o m t d li u không gian
cho các ng d ng này trong khi v
m b o ng d ng ho
ng hi u qu là v
quan tr ng c
c gi i quy
ng yêu c
nh vi c xây d ng các
h th
u khi n truy xu t, thì vi c phát hi n b
ng trong các t p chính sách
u khi n truy xu t c
c quan tâm. Nó giúp gi m thi u chi phí xây d ng, b o trí
t p chính sách, h n ch l i x y ra trong h th
ng th i nâng cao hi u qu ho t
ng c a h th ng.
tài mang nh
V
gi m th
c ti
i dùng: v
cb ov t
ng, vì gi
:
phát hi n b
c th
ng, giúp cho d li u c a
t mát d li
u truy xu t.
V phía
i qu n tr
i qu n tr có th d
c xây
d ng và qu
u khi n truy xu t. H n ch nh ng sai sót
trong vi c mơ t nh ng chính sách b o m t cho h th ng.
NG TU N ANH
3
NG TR N KHÁNH
C
2.1
H th
a lý (Geographical Information System - GIS): là h
th ng s d
l pb
và phân tích các s v t hi
t.
M
ch c t ng th c
n: ph n c ng, ph n m m,
d li
pháp phân tích nh m ti p nh
,
u khi n, phân tích, hi n th tồn b các d li
a lý.
Hình 1:
Ngày nay, GIS là công c tr giúp quy
nh trong nhi u ho
ng kinh t xã h i, qu c phòng c a nhi u qu c gia trên th gi i [4][5]. GIS có kh
giúp
, các nhà qu n lý, các doanh nghi
c hi n tr ng c a các quá trình, các th c th t nhiên, kinh t - xã h i thông qua các
ch
p, qu n lý, truy v n, phân tích và tích h
cg n
v i m t n n hình h c (b
) nh
to
c a các d li
u vào.
Ph
d li
a lý (Data) có th
c coi thành ph n quan tr ng nh t
trong m t h GIS. Các d li
a lý và d li u thu c tính liên quan có th
i
s d ng t t p h p ho
c mua t nhà cung c p d li
i. H GIS s k t
h p d li u không gian v i các ngu n d li u khác, th m chí có th s d ng h qu n
tr
d li u (Database Management System t ch
và qu n
lý d li u.
Hi n nay công ngh
c s d ng r ng rãi, Vi
m khá s
c ng d ng trong khá nhi
ho ch nông lâm nghi p, qu n lý r
a ch
cb
chính, qu
... Tuy nhiên các ng d ng có hi u qu nh t m i gi i h n
NG TU N ANH
a
các
4
NG TR N KHÁNH
, in
thu
c qu
nghi m còn c n th
ub
b ng công ngh GIS. Các ng d ng GIS
u hành, tr giúp quy
nh h u nh
i d ng m c th
i có th
ng d ng chính th c.
2.2
B o m t d li
(confidentiality), tính tồn v
ng bao g m ba khía c nh chính: tính bí m t
u khi n truy xu t (access control) [6]
Tính bí m t: khi d li
c truy n t i, ch nh
m i có th hi
c n i dung truy n t
bí m t, các gói tin s
Tính tồn v n: d li
i) b
i dùng b t h
th dùng k thu t ch ký s , ho c ch
i dùng h p phát
m b o tính
ng truy n.
c phép b gi m o (thêm, xóa
m b o tính tồn v n, ta có
nt .
u khi n truy xu t: bao g m hai thành ph n chính (1) xác th c
(authentication) và (2) phân quy n (authorization). Xác th c là vi
m
b
i dùng h p pháp c a h th ng. Có nhi u
xác th
i dùng c a h th ng ch ng h
a trên nh ng
gì h bi t (tên, m t kh u truy c p), d a trên nh ng gì h có (th xác th c)
ho c d a vào b
i dùng (d u vân tay, gi
i
p thành công vào h th ng, h s
c phân quy n và xác
th
u ki n tiên quy t c a phân quy n.
Trong lu
quan tâm t i v
mơ hình XACML và GeoXACML là s
2.3
u khi n truy xu
tài này.
XACML
XACML vi t t t c a eXtensible Access Control Markup Language là m t tiêu chu n
nh b i t ch c OASIS (Organization for the Advancement of Structured
Information Standards). XACML là m t ngơn ng
nh chính sách b o m t, cho
i qu n tr
ng lu
u khi n truy xu t (cho phép ho c t ch i
truy xu t c a m
[7].
Subject, Resource, Action và Environment Các thành ph n Subject, Resource,
Action, Environment là danh sách các Subject th c hi n truy xu
c yêu
c u và Action mà Subject mu n th c hi
u ki n
ng khi truy xu t. Cú pháp c
NG TU N ANH
5
NG TR N KHÁNH
<Subjects>
<Subject>
<SubjectMatch MatchId="...tên hàm...">
...nh ng thu c tính c n dùng...
</SubjectMatch>
</Subject>
...
<Subject>
<SubjectMatch MatchId="...tên hàm...">
...nh ng thu c tính c
</SubjectMatch>
</Subject>
</Subjects>
Hình 2:
Các thành ph n cịn l
Target
.
cs d
nhóm các Subject, Resource, Action
nh t là trong m t Policy.Target này áp d ng
chung cho toàn b policy. Th hai là trong m t Rule (Rule n m trong Policy). Target
này ch áp d ng t i Rule ch a nó. Cú pháp c
<Target>
<Subjects>...cú pháp cho Subject
<Resources>...</Resources>
<Actions>... </Actions>
</Target>
Hình 3: C
trên...</Subjects>
Rule M t Rule mơ t m t lu t truy xu t. Nó quy
nh Effect (cho phép hay t ch i)
ng lên m t Request n
a Rule phù h p v i Request và Condition
c th a mãn. Condition cho phép các hàm không liên quan tr c ti p t i Subject,
Resource, Action hay Environment. Thành ph n Condition có th có ho c không.Cú
pháp c
<Rule RuleId="...Rule name..." Effect="Permit/Deny">
<Target>
...cú pháp Target trên...
<Target/>
<Condition FunctionId="...tên hàm...">
...nh ng thu c tính cho Condition...
</Condition>
</Rule>
Hình 4:
Policy Policy có m t Target chung và m t danh sách các Rule bên trong. Cú pháp c a
NG TU N ANH
6
NG TR N KHÁNH
<Policy PolicyId="...tên policy..." RuleCombiningAlgId="...thu t toán...">
<Target>
</Target>
<Rule RuleId="...Rule name..." Effect="...Permit/Deny...">
...cú pháp Rule trên..
</Rule>
...
<Rule RuleId="...Rule name..." Effect="...Permit/Deny...">
...cú pháp trên...
</Rule>
</Policy>
Hình 5:
PolicySet PolicySet có m t Target chung và m t danh sách các Policy ho c PolicySet
bên trong. Cú pháp c
<PolicySet PolicySetId="...tên PolicySet..." PolicyCombiningAlgId="... ">
<Target>
</Target>
<Policy PolicyId="...tên policy..." RuleCombiningAlgId="...">
...cú pháp c a Policy trên...
</Policy>
<Policy PolicyId="...tên policy..." RuleCombiningAlgId="...">
...cú pháp c a Policy trên...
</Policy>
</PolicySet>
Hình 6:
So sánh v i nh ng ngơn ng
c t khác, XACML có nh ng l i th khi n ngơn ng
này tr nên ph bi n [7]:
Tính tiêu chu n (standard): XACML là chu
ng l
c n ph
t t c các v
ngôn ng m i.
d
i các
d ng cùng m t ngôn ng ti u chu n.
c xem xét b i m t c ng
i dùng không
n vi c thi t k m t
c tri n khai r
ng d ng khác b ng cách s
Tính t ng qt (generic): XACML có th
c s d ng trong b t k môi
ng nào. M t chính sách b o m t có th
c s d ng b i nhi u ng d ng
khác nhau và khi dùng chung m t ngôn ng , vi c qu n lý chính sách s tr nên d
NG TU N ANH
7
NG TR N KHÁNH
Tính phân b (distributed): m t chính sách b o m t có th tham kh
n
nh ng chính sách khác; vì v y, nh
i dùng ho c các nhóm khác nhau có
th qu n lý nh ng ph n nh
ng c a chính sách.
Tính m nh m (powerful): XACML h tr r t nhi u lo i d li u và hàm khác
nhau
nh v cách k t h p k t qu
a các chính sách
khác nhau. Bên c
ng nhóm tiêu chu n liên k t v i XACML t o
thành các tiêu chu n khác (nh SAML và LDAP), t
d ng cho XACML.
2.4
Ngôn
GeoXACML
GeoXACML
xu t b i Andreas Matheus [8], là ph n m r ng c a XACML
và hi n t
thành m t chu n c a Open Geospatial Consortium (OGC). Phiên
b
u tiên c a GeoXACML cung c p m
ngh v cách khai báo và th c thi các
quy n truy c p hi u qu và linh ho t tùy thu c vào nhu c u b o m t cho các h thông
GIS. D
m m r ng c
c s
d
thêm các d li u m
Gán giá tr
B
ng vào thu c tính DataType, và
ms
nv
M t s ki u d li u hình h c c a GML s
a GML phiên b n 2.1.2
c thêm vào GeoXACML:
Geometry type
URN
GML 2.1 element
Point
/>
gml:Point
LineString
gml:LineString
LinearRing
gml:LinearRing
Polygon
/>
gml:Polygon
Box
/>
gml:Box
Hình 7:
Bên c nh nh ng d
li
mơ t các gi i h n không gian, ta c n ph i
ki m tra m i quan h hình h c gi a hai th c th
không gian, m i hàm u c u hai thơng s (có th là b t k ki u d li u không gian
nào) và tr v k t qu là True ho c False. M
nh b ng
m t URN duy nh t và URI
có cùng ti n t
Hình 3.14 bi u di n m
ng c a chúng trong GeoXACML.
NG TU N ANH
8
NG TR N KHÁNH
Spatial
Function
URN
Disjoint
/>
Touches
/>
Crosses
/>
Within
/>
Overlaps
/>
Intersects
/>
Equals
/>Hình 8: Các hàm khơng gian trong GeoXACML
i th hi
t cách tr c quan c a các hàm khơng gian trong
GeoXACML.
contains crosses
disjoint equals intersect overlaps touches
within
Hình 9:
Ví d , v
ng
không gian c a l p Intersection n u v trí c a Bob n m trong vùng gi i h n {foo, 3 0,
, thành ph n <Condition> c a chính sách này s dùng các
hàm khơng
bi u di
u ki
9]. Thành ph n
<Condition> s tr v true n u có b t k v trí nào c
nh n m
<Condition FunctionId="urn:oasis:names:tc:xacml:1.0:function:any-of">
<AttributeValue DataType=" /><Polygon gid="P2" srsName="foo">
<outerBoundaryIs>
<LinearRing>
<coordinates>3 0,6 1,6 5,1 5,0 2,3 0</coordinates>
</LinearRing>
</outerBoundaryIs>
</Polygon>
</AttributeValue>
NG TU N ANH
9
NG TR N KHÁNH
DataType=" /></Condition>
Hình 10:
<Condition>
Hình bên trên là ví d v m t ph n trong file GeoXACML. Ta có th th y các thành
ph
c thêm vào so v i
ch a trong (within).
2.5
Hình 11 cho th y các kh i ch
c a XACML và GeoXACML bao g m các thành ph n sau:
u truy xu t
Hình 11: Mơ hình GeoXACML - XACML
Context Handler: chuy n yêu c u truy xu
GeoXACML có th hi
c
Policy Decision Point (PDP)
sách b o m
nh d ng mà XACML và
u truy xu t d a trên nh ng chính
trong h th ng,
Policy Repository: ch a các Rule, Policy, PolicySet trong m i quan h phân
c
i thành ph
c
Context Handler truy xu
l y thông tin c n cho vi
a PDP.
NG TU N ANH
10
NG TR N KHÁNH
Policy Access Point (PAP): là thành ph n h tr vi t các chính sách và t p các
ng th i b
cs
u
trúc chính sách
c trình bày chi ti t trong 2.3 và 2.4.
Policy Information Point (PIP): có nhi m v l y các giá tr cho các thu c
c yêu c u và g i tr v cho Context Handler. Context Handler có th
n m gi tài nguyên trong file context
2.6
P
Trong t p chính sách GeoXACML, b
ng có th chia làm 2 lo
t (Conflicting):m
ch ng l p v i nh
t v i nh ng Rule khác n
a (Redundant): m
ch ng l p v i nh
t v i nh ng Rule khác n
gi ng nhau.
ys b
ng x y ra khi có s ch ng l p c a các Rule.
Ví d : Gi s ta có m t t p chính sách sau:
<PolicySet PolicySetId="PS1" PolicyCombiningAlgId="First-Applicable">
<Target/>
<Policy PolicyId="P1" RuleCombiningAlgId="Deny-Overrides">
<Target/>
<Target>
<Subjects>
<Subject> Designer </Subject>
<Subjects>
<Resources>
<Resource> Codes </Resource>
</Resources>
<Actions>
<Action> Change </Action>
</Actions>
</Target>
</Rule>
<Target>
<Subjects>
<Subject> Designer </Subject>
<Subjects>
<Resources>
<Resource> Codes </Resource>
</Resources>
NG TU N ANH
11
NG TR N KHÁNH
<Actions>
<Action> Change </Action>
</Actions>
</Target>
</Rule>
<Target>
<Subjects>
<Subject> Designer </Subject>
<Subjects>
<Resources>
<Resource> Codes </Resource>
</Resources>
<Actions>
<Action> Change </Action>
</Actions>
</Target>
</Rule>
</Poicy>
</PolicySet>
Hình 12:
t v i Rule 2 b i vì Rule 2 cho phép m
i thi t k (designer) thay
i (change) mã ngu n (code) trong kho ng th i gian [8:00, 17:00] trong khi Rule 1
thì ln ln t ch i.
ab
i thi t k
(change) mã ngu n (code) trong kho ng th i gian [12:00, 13:00].
2.7
i
trong GeoXACML
t quy
nh c
u khi n truy xu t
d a trên rule ph thu c vào hai y u t : k t qu
a m t rule và gi i thu t k t
h p. Các k t qu
giá c a các rule liên quan s
c k t h p l i thành m t quy t
nh c p phép duy nh t và vi c k t h p này s d a trên các gi i thu t k t h
gi i
quy
ng h
t gi a các quy n n u có. Ph thu c vào tính ch t c a
gi i thu t k t h p mà m t hay nhi u rule s
quy
nh kh
ng (matching) gi
t qu . M t vài gi i thu t k t
h p tr v k t qu c p phép là k t qu c
u tiên. M t s gi i thu t
k t h p khác s ph thu c vào th t
t qu quy
nh c p
phép t ng quát s ph thu c ba y u t : gi i thu t k t h p, th t
NG TU N ANH
12
NG TR N KHÁNH
k t qu
a các rule. M t s các gi i thu t k t h p ph bi
t qu c p phép cu i
c li t kê trong hình 13 [3]:
Gi i thu t k t h p
deny-overrides
Gi i thu t k t h p này tr v Deny (t ch i) trong
t m t rule có k t qu là Deny.
Gi i thu t s
n q trình x lý sau khi
m t rule có k t qu
u tiên.
permit-overrides
Gi i thu t k t h p này tr v
c phép)
t m t rule có k t qu là
Permit. Gi i thu t s
n quá trình x lý
sau khi m t rule có k t qu
u tiên.
first-applicable
Gi i thu t k t h p này tr v k t qu c
u tiên
n các quá trình
x lý các rule còn l i.
only-one-applicable
Gi i thu t này x lý t t c các rule trong m t chính
sách. N u có nhi
t rule có kh
ng
thì gi i thu t k t h p s tr v l i x lý.
ordered-deny-overrides
v i deny-overrides ngo i tr vi c x lý các
rule d a vào th t c a chúng
ordered-permit-overrides
v i permit-overrides ngo i tr vi c x lý
các rule d a vào th t c a chúng
specific-general
Gi i thu t k t h p có cùng tính ch t v i gi i thu t
firstc k t h p b i gi i thu t có liên quan v i nhau và
c khai báo trong m i quan h t ng quát / ngo i l .
Hình 13:
xu
c d a trên Geo
c t các
chính sách truy xu
i tr q trình k t h p rule, cịn có q trình k t h p
các chính sách. So v i các ngơn ng
policy, GeoXACML cho phép cách ti p c n x
n m t cách
linh ho t nh t v i 6 chi n thu t: deny-overrides, permit-overrides, ordered-denyoverrides, ordered-permit-overrides, first-applicable, và only-onec
ng Hình 13.
M t file chính sách GeoXACML bao g m 3 ph n t : rule, policy, và policy
set. M t rule là m t thành ph
n nh t, g m 3 thành ph n chính là
nh m t t p các ch th (subject), tài nguyên
c áp d ng
nh các
ràng bu c trên thu c tính trong target và gi i h n l i ph m vi áp d ng rule. Effect xác
nh n u request th
u ki n áp d ng trong Target và Condition thì k t
NG TU N ANH
13
NG TR N KHÁNH
qu là Permit hay Deny. N
c l
request không th
u ki
áp d
n request và k t qu
i
c phép (hay
m truy xu t (hay negative rule). N u
là NotApplicable.
M t chính sách bao g m 4 thành ph n chính: target, gi i thu t k t h p rule, t p
các rule và các obligation. Target c a chính sách quy
nh xem m t request có th
áp d
n chính sách hay khơng. Thành ph
target c a rule.
Gi i thu t k t h
nh cho chính sách t các rule
c k t h p v i nhau trong chính sách. Obligation th hi n ch
c th c
thi cùng v i vi c thi hành quy
nh c p phép.
M t policyn: target, gi i thu t k t h p chính sách, t p
các chính sách con và obligation. M t chính sách con có th là m t policy ho c m t
policy-set. Gi i thu t k t h p chính sách s
nh cách k t h p các k t qu
giá c a các chính sách con thành k t qu cu i cùng.
Trong GeoXACML, m t rule, m t policy ho c m t policy-set s tr v m t
trong 4 quy
Indeterminate. Giá tr Indeterminate x
l i. Ví
d n u gi i thu t k t h p chính sách là only-one-applicable mà trong policy set có
nhi
t policy có kh
ng thì k t qu k t h p các policy trong policyVi
nh c p phép cu i
cùng d a trên các giá tr
ng thành ph n và gi i thu t k t h
c di n t
chi ti t trong các b ng s th t (Hình 14).
GeoXACML s
c. K t qu
m t rule s d a trên vi
u các thành
ph
ng v i thành ph n trong Target thì vi
t
qu g
áp d
u th c
Condition s tr v True n
u ki n ki m tra,
c l i là
false. N u vi c ki
u ki n không th
u thơng tin, q trình
l i, v.v k t qu tr v là Indeterminate. C th b
Target
Condition
Match
True
Match
False
Indeterminat
Match
e
Khơng
quan
No-match
tâm quan
Indeterminat
Khơng
e
Hình 14:tâm
NG TU N ANH
Giá tr rule
Tùy giá tr Effect (Permit hay
Deny)
NotApplicable
Indeterminate
NotApplicable
Indeterminate
14
NG TR N KHÁNH
t qu
Rule), k t qu
vi
thu t k t h p rule. C th
Match
Targe
t
t policy s d a trên
i
Giá tr các rule
Giá tr policy
nh b i gi i thu t k t
Có ít nh t m t rule giá tr là Effect
h p rule
Match
T tc
NotApplicable
Có ít nh t m t rule có giá tr là
nh b i gi i thu t k t
Match
Indeterminate
h p rule
No-match
Không quan tâm
NotApplicable
Indeterminate Không quan tâm
Indeterminate
Hình 15:
t m t rule có giá tr
c ph n t Rule b v ng
m t trong Policy ho c có m t ho c nhi
t rule ch a trong policy là kh áp
d ng cho request. Lúc này, các rule s tr v các giá tr Permit ho c Deny. K t qu k t
h p s ph thu c vào gi i thu t k t h p rule.
quy
nh kh
d ng c a PolicySet. Vi
thu c vào ph n t Target, các policy và
PolicySet ch a bên trong và gi i thu t k t h p chính sách. C th
ng sau:
Target
Match
T t
Match
Match
No-match
Indeterminate
Giá tr các policy
Giá tr policy set
Có ít nh t m t policy giá
nh b i gi i thu t
tr là Decision
k t h p policy
c
các
policy
là
NotApplicable
Có ít nh t m t policy có
nh b i gi i thu t
giá tr là Indeterminate
k t h p policy
Khơng quan tâm
NotApplicable
Khơng quan tâm
Indeterminate
Hình 16:
t m t policy giá tr
u khơng có policy hay
policyc ch a ho c tham kh
n; ho c n u có m t ho c nhi
t
policy hay policyc ch a ho c tham kh o trong policyánh giá là kh
áp d
n request thì k t qu s tr v
c quy
nh b i gi i thu t k t h p.
Các ph n sau s mô t chi ti
ng h p trên.
các gi i thu t k t h p s
c quy
nh
Deny-overrides
NG TU N ANH
15
