中山管理評論  1997/12
第5卷第4期 p.779-796
National Chiao Tung University
本研究的目的是針對現代企業資訊網路資源使用管理的問題,設計一個使用者身份識別與存取授權的管理機制,此機制不僅能配合現代企業組織彈性變化的特性,也能滿足Internet/lntranet整合的企業資訊網路環境中資源使用的安全管理需求。在本研究所提出的適合現代企業網路的安全管理架構中,我們結合了ITU-T Rec. X.509公開金鑰證書和角色扮演存取授權(RBAC)的觀念,形成一個使用者身份識別和存取授權整合的設計。本方法的優點: (1)將身份誠別和存取授權結合為單一模組,可以提供更高的安全性;(2)以角色扮演作為存取授權之基礎,較傳統的方法更適用於現代組織;(3)延伸X.509公開金鑰證蓄的設計,並配合智慧卡的使用,可以達成以個人自行負責為基礎的身份識別管理。
(633513700401718750.pdf 35KB)網際網路,企業網路,身份識別,存取授權,角色扮演
This paper addresses the issue of security management in the Internet/Intranet environment. A system is ·designed which combines both functions of user authentication and access authorization. The design utilizes CCITT X.509 public-key certificates in a model of Role-Based Access Control (RBAC). The design offers three major benefits: (I) Less security flaws in the system, due to implementing two major functions into a single module; (2) Making the system adaptable to organizational changes, given the RBAC model; (3) Achieving greater security through the utilization of the public-key certificate, which can be saved in a smart card and is under the control of its owner.
(633513700401718750.pdf 35KB)Internet, Intranet, authentication, authorization, RBAC
電腦網路對於現代企業的意義不再只是工作效率的提升而已,利用企業內部資訊網路措施,配合業務流程的改變,可以形成高效率的團隊,並間接造成組織結構與產業合作關係的改變。 企業資訊網路的發展,目前最熱門的可說是Internet。在一個Internet和Intranet完善整合的資訊流世界,組織內的員工可以很方便地在系統中完成資訊的交換,組織外部的使用者,也可以被允許進入組織的Intranet系統獲得需要的資訊。在這樣的資訊流世界中,特別是一個牽涉商業利益或軍事機密的組織,安全得管理顯得尤其重要。 企業網路環境資訊安全的討論可歸納包括下列的議題:安全政策的制定、資訊內容的保護、資訊網路整合的考量,以及資源使用的管理等。其中,資源使用的管理和前三項議題有著緊密的關係。 資源使用管理的主要目的是使得軟、硬體等資訊設備的使用,與資訊內容的取得,既能滿足企業組織內部使用者的需求,又能符合安全管理政策的規範。基本上,對於企業運作及商業交易資料等資產的保護,只要著重於內部人員的身分識別與存取授權即可。但是因為Intranet的伺服器(Service Server)及使用者(Client)可能遍佈在企業各處,其身分識別及存取控制必然就傳統企業的封閉網路複雜。此外,當Intranet和Internet整合後,雖然可擴展業務往來的對象,使資訊流通更方便,但因為使用者的身分與數目變多,更增加了安全性的風險,因此,需要一個新的使用者身分識別及存取授權控制的方法。 本研究的目的是針對現代企業資訊網路資源使用管理的問題,設計一個使用者身分識別與存取授權的管理機制,此機制不僅能配合現代企業組織彈性變化的特性,也能滿足Internet/Intranet整合的資訊網路環境中,資源使用的安全管理需求。 在本篇文章中,我們提出了一個可以施行於企業內部及企業交易往來對象的資源存取控制方法。這方法可以適用於有既定的職務指派安全管理政策的組織中,解決使用管理的問題。因為是以角色扮演為基礎,所以較傳統的矩陣式存取控制室用於現代組 Internet/Intranet的安全管理。此外,我們將使用者個人角色扮演的資訊和X.509公開金鑰證書結合,並搭配智慧卡的使用,可以有效地整合身分識別與物件存取授權。 本方法優點是:(1)以角色扮演為存取控制的基礎,使用者僅需計一組個人識別碼和通行密碼,而伺服器均以一致的方法來檢查使用者的存取要求,因此,可以簡化組織資源存取管理;(2)擴充X.509公開金鑰證書以包含使用者個人角色扮演的資訊,並將之儲存在智慧卡上,可以提供較佳的身分識別管理;(3)整合身分識別與存取授權的安全管理方法,相較於分開獨立的功能模組,對於資源存取的保護,可以提供更多的安全性。