1. Họ và tên: Lương Thanh Nhạn                                    2. Giới tính: Nữ

3. Ngày sinh: 04/7/1982                                                 4. Nơi sinh: Hải Phòng  

5. Quyết định công nhận nghiên cứu sinh số 985/QĐ-CTSV ngày 04 tháng 12 năm 2014 của Hiệu trưởng Trường Đại học Công nghệ.

6. Các thay đổi trong quá trình đào tạo:

- Gia hạn học tập thêm 02 năm học (2017 - 2018, 2018 - 2019) theo Quyết định số 1311/QĐ-ĐT của Hiệu trưởng trường Đại học Công nghệ ngày 28 tháng 12 năm 2017.

7. Tên đề tài luận án: Một số phương pháp kiểm chứng các chính sách điều khiển truy cập cho hệ thống phần mềm.

8. Chuyên ngành: Kỹ thuật Phần mềm                            9. Mã số: 9480103.01

10. Cán bộ hướng dẫn khoa học: PGS. TS. Trương Ninh Thuận

11. Tóm tắt các kết quả mới của luận án:

Các kết quả chính của luận án tập trung vào ba nội dung cụ thể như sau:

Đề xuất phương pháp kiểm chứng chính sách RBAC triển khai theo phương pháp an ninh lập trình. Các phương thức khai thác tài nguyên trong ứng dụng web được rút trích thành danh sách quyền truy cập tài nguyên. Sau đó kết hợp với thành phần Controller và View để xây dựng đồ thị khai thác tài nguyên. Các thông tin cốt lõi của chính sách điều khiển truy cập có trong đồ thị sẽ được rút trích thành ma trận kiểm soát truy cập theo vai trò. Tiếp theo, thuật toán kiểm chứng được giới thiệu nhằm phát hiện những quy tắc truy cập được triển khai không chính xác giữa ứng dụng và đặc tả. Một công cụ kiểm chứng tên là CheckingRBAC được xây dựng theo phương pháp đề xuất và tiến hành thực nghiệm với hệ thống quản lý hồ sơ y tế.

Đề xuất phương pháp kiểm chứng chính sách RBAC kết hợp ràng buộc cấp quyền triển khai theo phương pháp an ninh khai báo. Chính sách truy cập của các ứng dụng web được kiểm tra thông qua việc truy vấn cơ sở dữ liệu và phân tích các tệp cấu hình chính sách truy cập trong ứng dụng. Một cây phân tích truy cập theo vai trò được đề xuất để biểu diễn các quy tắc cấp quyền theo vai trò và các ràng buộc trong ứng dụng web. Hai thuật toán được đề xuất để phát hiện các phép gán đã triển khai không đúng với đặc tả. Phương pháp đề xuất đã được triển khai thành công cụ kiểm chứng VeRA để hỗ trợ quá trình kiểm chứng tự động các hệ thống web theo phương pháp đề xuất.

Đề xuất phương pháp kiểm chứng chính sách điều khiển truy cập theo thuộc tính. Các quy tắc truy cập của ứng dụng web được phân tích từ mã an ninh truy cập của dự án. Sự phù hợp của chính sách điều khiển truy cập theo thuộc tính được triển khai trong ứng web và đặc tả của nó được kiểm chứng thông qua các định nghĩa hình thức và các thuật toán kiểm tra tính bảo mật, tính toàn vẹn và tính sẵn sàng của chính sách truy cập. Sau đó, công cụ kiểm chứng APVer đã được phát triển từ phương pháp đã đề xuất và tiến hành thực nghiệm với các kịch bản triển khai chính sách truy cập trong hệ thống quản lý hồ sơ y tế.

12. Khả năng ứng dụng trong thực tiễn: Phát hiện một số sai sót tại giai đoạn lập trình khi triển khai chính sách RBAC và ABAC của các hệ thống web.

13. Những hướng nghiên cứu tiếp theo: 

Kiểm chứng đối với các hệ thống phần mềm có sự thừa kế vai trò trong mô hình chính sách RBAC hoặc tài nguyên của các tổ chức liên kết được chia sẻ qua các dịch vụ web trong mô hình ABAC.

Kiểm chứng các tính chất an ninh phần mềm khác như tính trách nhiệm, tính chống chối bỏ.

14. Các công trình đã công bố có liên quan đến luận án:

Thanh-Nhan Luong, Van-Khanh To, and Ninh-Thuan Truong, Checking Compliance of Program with SecureUML Model, Advanced Topics in Intelligent Information and Database Systems, Springer, pp. 489-498, (2017).

Thanh-Nhan Luong, Dinh-Hieu Vo, Van-Khanh To, and Ninh-Thuan Truong, On the Compliance of Access Control Policies in Web Applications, ICCASA 2018/ICTCC 2018, LNICST 266, pp. 58-69, (2018).

Thanh-Nhan Luong, Dinh-Hieu Vo, and Ninh-Thuan Truong, An approach to analyze software security requirements in ABAC model, 2019 6th NAFOSTED Conference on Information and Computer Science (NICS), IEEE, pp. 184-189, (2019).

Thanh-Nhan Luong, Thi-Dao Vu, Dinh-Hieu Vo, and Ninh-Thuan Truong, A Tool Support for Checking ABAC Policies in Web Applications, VNU Journal of Science: Computer Science and Communication Engineering (accepted).

Thanh-Nhan Luong, and Ninh-Thuan Truong, VeRA: Verifying RBAC and authorization constraints models of web applications, International Journal of Software Engineering and Knowledge Engineering (accepted), ISI index.