Luận án Tiến sĩ Công nghệ thông tin: Một số phương pháp kiểm chứng các chính sách điều khiển truy cập cho hệ thống phần mềm

Nội dung chính của luận án tập trung nghiên cứu các mô hình biểu diễn các chính sách điều khiển truy cập của hệ thống phần mềm: điều khiển truy cập theo vai trò, ngôn ngữ mô hình hóa chính sách an ninh thống nhất (SecureUML), điều khiển truy cập theo thuộc tính. Mời các bạn tham khảo!
Nội dung trích xuất từ tài liệu:
Luận án Tiến sĩ Công nghệ thông tin: Một số phương pháp kiểm chứng các chính sách điều khiển truy cập cho hệ thống phần mềm ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LƯƠNG THANH NHẠNMỘT SỐ PHƯƠNG PHÁP KIỂM CHỨNG CÁC CHÍNH SÁCH ĐIỀU KHIỂN TRUY CẬP CHO HỆ THỐNG PHẦN MỀM LUẬN ÁN TIẾN SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2021 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LƯƠNG THANH NHẠNMỘT SỐ PHƯƠNG PHÁP KIỂM CHỨNG CÁC CHÍNH SÁCH ĐIỀU KHIỂN TRUY CẬP CHO HỆ THỐNG PHẦN MỀM Chuyên ngành: Kỹ thuật phần mềm Mã số: 9480103.01 LUẬN ÁN TIẾN SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. Trương Ninh Thuận Hà Nội - 2021 Lời cam đoan Tôi xin cam đoan luận án “Một số phương pháp kiểm chứng cácchính sách điều khiển truy cập cho hệ thống phần mềm” là công trìnhnghiên cứu của riêng tôi. Các số liệu, kết quả được trình bày trong luận án làhoàn toàn trung thực và chưa từng được công bố trong bất kỳ một công trìnhnào khác. Tôi đã trích dẫn đầy đủ các tài liệu tham khảo, công trình nghiên cứu liên quan ở trong nước và quốc tế. Ngoại trừ các tài liệu tham khảo này, luận án hoàn toàn là công việc của riêng tôi. Trong các công trình khoa học được công bố trong luận án, tôi đã thể hiện rõ ràng và chính xác đóng góp của các đồng tác giả và những gì do tôi đã đóng góp. Luận án được hoàn thành trong thời gian tôi làm Nghiên cứu sinh tại Bộ môn Công nghệ phần mềm, Khoa Công nghệ Thông tin, Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội. Tác giả: Hà Nội: i Lời cảm ơn Trước hết, tôi muốn bày tỏ sự biết ơn đến PGS.TS. Trương Ninh Thuận, cánbộ hướng dẫn, người đã trực tiếp giảng dạy và định hướng tôi trong suốt thờigian học cao học, thực hiện luận văn thạc sĩ cũng như luận án này. Thầy đãhướng dẫn cho tôi nhiều kiến thức trong học thuật và nghiên cứu. Một vinh dựlớn cho tôi khi được học tập, nghiên cứu dưới sự hướng dẫn của Thầy. Tôi xin bày tỏ sự biết ơn sâu sắc đến các Thầy, Cô trong Bộ môn Công nghệphần mềm vì sự tận tâm, giúp đỡ của các Thầy Cô và các đóng góp rất hữu íchcho luận án. Tôi xin trân trọng cảm ơn Khoa Công nghệ thông tin, Phòng Đào tạo và BanGiám hiệu trường Đại học Công nghệ đã tạo điều kiện thuận lợi cho tôi trongsuốt quá trình học tập và nghiên cứu tại Trường. Tôi cũng bày tỏ sự biết ơn đến Ban Giám hiệu, các Phòng, Ban, Bộ môn liênquan trong Trường Đại học Y Dược Hải Phòng đã tạo điều kiện về thời gian vàtài chính cho tôi thực hiện luận án này. Tôi muốn cảm ơn đến các đồng nghiệptrong Bộ môn Tin học, Trường Đại học Y Dược Hải Phòng đã giúp đỡ, độngviên và sát cánh bên tôi trong suốt quá trình nghiên cứu. Tôi muốn cảm ơn đến tất cả những người bạn của tôi, các anh/chị/em nghiêncứu sinh - những người luôn chia sẻ, động viên tôi bất cứ khi nào tôi cần và tôiluôn ghi nhớ những điều đó. Cuối cùng, tôi xin bày tỏ lòng biết ơn vô hạn đối với cha, mẹ, chồng, con đãluôn ủng hộ và yêu thương tôi vô điều kiện. Nếu không có sự ủng hộ của giađình tôi không thể hoàn thành được luận án này. NCS. Lương Thanh Nhạn ii Tóm tắt Các hệ thống phần mềm hiện được sử dụng sâu rộng trong hầu hết mọi lĩnhvực. Bên cạnh những lợi ích mà phần mềm mang lại cho con người thì các vấnđề vi phạm an ninh phần mềm cũng xuất hiện ngày càng đa dạng và phức tạp,đặc biệt là với các hệ thống web. Trong thực tế, điều khiển truy cập là một trongnhững biện pháp hiệu quả để thực thi chính sách an ninh của các hệ thống phầnmềm nhằm ngăn chặn các vi phạm truy cập. Tuy nhiên, quá trình triển khaichính sách điều khiển truy cập của các hệ thống ứng dụng luôn tiềm ẩn cáclỗi, nhất là ở giai đoạn lập trình. Nếu những lỗi này được phát hiện càng muộnthì chi phí sửa chữa hệ thống càng lớn và hậu quả càng phức tạp. Đây cũng làvấn đề luôn được quan tâm bởi cả cộng đồng phát triển phần mềm. Chính vìthế, trong quá trình xây dựng và phát triển phần mềm, việc kiểm chứng từ mãnguồn của ứng dụng để đảm bảo chính sách điều khiển truy cập được triển khaichính xác ở giai đoạn lập trình sẽ mang lại hiệu quả kinh tế và gia tăng chấtlượng của phần mềm. Dựa trên nền tảng của kỹ thuật phân tích tĩnh, luận án đề xuất một sốphương pháp kiểm chứng chính sách điều khiển truy cập của các hệ thống web.Cụ thể, các hệ thống web mà luận án hướng đến phân tích đều được xây dựngbởi ngôn ngữ lập trình Java theo kiến trúc MVC (Model-View-Controller) và cóchính sách điều khiển truy cập theo vai trò hoặc chính sách điều khiển truy cậptheo thuộc tính được triển khai theo phương pháp an ninh lập trình, an ninhkhai báo. Các đóng góp chính của luận án bao gồm: (i) Đề xuất phương pháp kiểm chứng chính sách điều khiển truy cập theo vai trò triển khai theo phương pháp an ninh lập trình. Chính sách điều khiển truy cập theo vai trò của ứng dụng web được trích rút thông qua việc phân tích các phương thức khai thác tài nguyên, xây dựng danh sách các quyền và đồ thị khai thác tài nguyên. Một ma trận kiểm soát truy cập tài nguyên theo vai trò được giới thiệu để biểu diễn các quy tắc truy cập của hệ thống web. Từ đó, luận án đề xuất thuật toán kiểm tra sự phù hợp giữa ma trận kiểm soát truy cập theo vai trò và chính sách truy cập đã đặc tả. Bên cạnh đó, một công cụ tên là CheckingRBAC được xây dựng để hỗ trợ quá trình kiểm chứng theo phương pháp đã đề xuất. iii (ii) Đề xuất phương pháp kiểm chứng chính sách điều khiển truy cập theo vai trò kết hợp rà ...