應用智慧卡實現RBAC執行權管制

Abstract

本論文的主要目標是為了提供一個較安全的憑證儲存及存取管制媒介，希望籍由智慧卡的高安全性能來提升整個以職務為基礎的執行權管制環境（Role-Based Access Control,簡稱RBAC）的安全性，加強前端的使用者身份鑑別，進而維護後端的執行權管制。 為了加強使用者身份鑑別，本論文利用ITU-T X.509公開金鑰憑證的觀念來做為使用者身份鑑別機制的依據。並藉由智慧卡的高安全存取控制功能，將「員工電子識別證書」和「員工電子職務證書」儲存於智慧卡中，以加強這兩種證書的存取控制。 本論文將從「員工電子識別證書獲得程序」、「員工電子職務證書獲得程序」二方面來說明將智慧卡應用於RBAC環境的設計理念，實地了解如何應用智慧卡來加強RBAC環境的使用者身份鑑別。緊結著，論文中也將進一步探討如何於Windows 2000系統架構中加入智慧卡及RBAC的執行權管制政策，以達到高安全性能的執行權管制環境。最後，本論文也以請假流程為例說明如何經由存取儲存於智慧卡內的「員工電子識別證書」及「員工電子職務證書」來達成以職務為基礎的執行權管制。

The objective of this thesis is to design a vehicle for conveying authentication and access control information. Smart cards are the vehicle that stores credentials of their owners in the format defined in the X.509 certificate. Two types of certificates are defined. One is used to store individual information for the authentication purpose; the other is used to convey role assignments. The author designs procedures for the enrollment of these certificates and then implements these procedures in the platform of Windows 2000. Finally, a case study is conducted, showing how the certificates are used in a process of requesting for leave in organizations.