執行權管制系統的理論性架構設計

Abstract

網際網路的快速發展之下，企業目前面臨的挑戰，是在龐大而複雜的網路下應用新的資訊科技來建立商業行為模式。如何於此環境下提高企業整體的競爭力，確保資訊網路的安全性無疑是重要的考慮因素，而資訊系統中的執行權管制(Access Control)便提供了防護資訊安全的功能。又，網際世界(Internet/Intranet)下資訊系統所屬的資訊資源在執行權的管制與防護上，必須從一新的角度來思考。根據這個前提，我們提出於企業資訊網路下發展執行權管制系統的設計構想﹔系統的發展目標，是希望能夠讓企業經營者本身根據組織的安全政策，來制定資訊資源的執行權管制政策與機制，並實際地運作於系統的流程之中。我們的設計也涵蓋了執行權管制使用資訊的防護機制。 國際標準組織所制定的ISO/IEC 10181-3文件，提供了執行權管制系統的設計藍本。本研究在設計資訊系統內部的執行權管制上，包括了﹕執行權管制模組的功能元件、各功能模組之間訊息互換的協定、核判管制權限的種類與來源、以及執行權管制機制本身安全的防護，均遵守此一標準的規範。 本文以「RBAC(Role-Based Access Control)理論模式」作為設計執行權管制系統的理論核心。在這個理論的規範下，企業的內部控制與部分的稽核程序可以得到事前的防範。做法上，本研究設置了職務屬性憑證簽證機構與RBAC授權管制中心作為分散網路環境下的兩個授權管制伺服器。其中，職務屬性憑證簽證機構負責核發員工的職務屬性憑證，作為使用者工作執行權管制與身份確認的證明﹔RBAC授權管制中心是一個集中式的授權管制資料庫，負責儲存事先所規劃的授權管制資訊，而這些資訊是經由企業的經營者或其指定的安全管理者透過設計的介面所提供的功能，將企業內部的安全政策轉換為可查核驗證的授權管制資訊。我們做這樣的設計，是要強調在企業資訊網路下執行權管制系統的設計觀念，應該將資訊資源的授權管制資訊採用「分權」的概念來設定，以達到相互制衡的目的﹔而授權查核的實施則採「集權」式的概念加以管制，以確保企業所屬資訊資源的安全。 本文所提出執行權管制政策的防護機制設計，是以DAC與RBAC兩個執行權管制政策作為系統設計的範例，我們以單向函數的特性來保護執行權管制機制本身的安全性，使得系統的授權管制資訊無法被任意的竄改。我們的設計理念，是在企業資訊網路環境下，提供現代企業的經營者管制資訊資源的一個新典範。

Access control is essential for the security of information systems in the Internet/Intranet environment. Most research in this area is engineering-oriented in nature, proposing solutions to part of the whole system. In this dissertation, the author intends to adopt a broader and systematic view, introducing a theoretical design. A framework for access control systems has, indeed, defined in the ISO/IEC 10181-3 document. Following this standard, the theoretical design in this dissertation includes these: (1) functional descriptions of access control modules, (2) protocols for information exchange between communicating modules, (3) classification of access privileges, (4) verification of authorization, and (5) mechanisms for protecting access control information. Role-based Access Control (RBAC) is the kernel theory of this design. Based upon this theory, security policies defined for internal control and auditing procedures can be implemented. In addition, the author adds into systems two trusted third parties—Role Attribute Certification Authority (RACA) and RBAC Authorization Controller. RACA, which is optional for real systems implementation, issues role attribute certificates to convey role information of users. And the RBAC Authorization Controller is responsible for a centralized database which stores information, either about rule-based policies or about identity-based policies. As a result of the design, authorization of operations is based on security policies and well-managed access control information. The author further presents a mechanism for protecting access control information demanded by DAC (Discretionary Access Control) or RBAC security policies. This mechanism uses encryption/decryption and Morton sequences to keep access control information confidential.