臺灣博碩士論文加值系統

在現今網際網路蓬勃發展的時代，人們愈來愈倚重網際網路，有關於網際網路之交易也跟民眾息息相關，例如：電子拍賣、電子現金、電子付款、電子競標等，藉由網際網路讓使用者的交易愈多元化及便利性。在個人交易方面，由用戶臨櫃至銀行端交易的傳統方式，逐漸演變為在用戶端使用網路銀行，即能從事餘額查詢、線上繳款、線上申請、線上投資等各類型的交易應用功能，可大幅省去等候及交通往返時間。然而，由於僅限該行所屬客戶能使用網路銀行交易，又為達交易之安全性，往往需耗用額外成本（如：申請憑證）。此外，政府為因應近年來詐騙集團橫行所生相關的交易問題，故於去年大力推行晶片金融卡，藉以改善磁條卡易遭非法複製之缺失，以能有效提升網路交易之安全性。有鑑於此，WebATM--基於晶片金融卡這樣的平台便孕育而生。
這個機制與實體ATM之間差異性僅無法提領現鈔，而其他於實體ATM的交易功能皆可執行，而其衍生的應用功能更甚於此。鑒於該系統的日趨成熟，及其系統上的應用與日俱增。故在重視交易安全性的同時，除了驗證使用者的合法性及確保交易的安全性之外，在未來應用面愈來愈複雜的情況之下，針對未來的趨勢，以及於現行AAA（Authentication、Authorization、Administration）之觀念下，授權（Authorization）觀念更顯重要。本研究係以智慧卡之授權機制為基礎，並應用於現行WebATM（Web Automatic Teller Machine）系統架構下，提出一個能同持滿足客戶、銀行及商家三種角色之多元化交易機制。

With the vigorous development of Internet nowadays, people increasingly rely on it and have various Internet-based transactions at their convenience, for example, electronic auction, electronic cash, electronic payment and electronic bid. As regards personal transaction, people now can utilize the on-line bank to check the balance of their account, to settle payments and to do investments. Those on-line functions save the user’s transportation cost & waiting time at the back counters. To provide those on-line services, however, the banks have plenty of cost to cover because every on-line user needs to be authenticated as that bank’s customer and get the security certificate. In the past few years, the fraud group has run amuck to cheat many people financially. The government then implement the usage of IC card in 2005 to replace the easily duplicated bar magnet card. The rollout of the IC card has enhanced the transactions security greatly and provides the platform for WebATM.
Comparing to a physical ATM, the only function that the WebATM does not support is to withdraw really cash from it. Except for it, people can operate much more transactions on WebATM with the punishment of various functions provided by the bank. The concept of authorization has become very important due to the trend of increasingly on-line transactions and the idea of AAA. This research is based on the how the authorization mechanism of the Smart card can be utilized on the current WebATM system in order to meet the needs of the customers, the bank and the merchants in the future to perform diversified transactions.

誌謝 I
中文摘要 II
Abstract III
目錄 IV
圖目錄 VI
表目錄 VII
第一章　緒　論 1
1.1 研究動機 1
1.2 研究目的 2
1.3 研究範圍 2
1.4 論文限制 2
1.5 研究方法 2
1.6 論文架構 3
第二章　文獻探討 5
2.1 存取控制方法 5
2.1.1 存取控制矩陣 5
2.1.2 存取控制串列 6
2.1.3 權利串列 7
2.2 存取控制政策 8
2.2.1 自由裁量性存取控制政策 9
2.2.2 強制性存取控制政策 9
2.2.3 以角色為基礎的存取控制政策 10
2.3 以角色為主之權限控管系統 14
2.3.1 RBAC權限控管系統中動態責任分離機制之研究 14
2.3.2 以角色為主之權限控管系統中使用控制模組之研究 16
2.4 自動櫃員機 17
2.4.1 金融卡 18
2.4.2 晶片金融卡 18
2.4.3 自動櫃員機之發展與應用 20
2.5 網路自動櫃員機 22
2.5.1 WebATM硬體架構 22
2.5.2 WebATM軟體架構 23
2.5.3 WebATM功能 26
第三章　相關理論與技術 29
3.1 單項雜湊函數 29
3.2 互斥或 29
3.3 智慧卡 30
3.3.1 智慧卡的種類 32
3.3.2 智慧卡的硬體 33
3.3.3 智慧卡的記憶系統 34
3.4 訊息驗證碼 35
第四章　結合智慧卡之RBAC授權機制 36
4.1 授權架構 36
4.2 符號定義 38
4.3 授權機制流程 39
4.3.1 申請認證授權階段 40
4.3.2 依角色授權階段—查詢餘額 41
4.3.3 依角色授權階段—購物付款 43
4.3.4 依角色授權階段—購買基金 45
4.3.5 更改角色階段 46
4.3.6 代理人階段 48
4.3.7 註銷授權階段 50
4.3.8 卸載授權階段 51
4.4 WebATM授權模組 53
4.4.1 授權狀態元件 53
4.4.2 管理維護元件 54
4.4.3 授權維護元件 54
4.4.4授權監聽元件 55
4.4.5電文轉換元件 55
4.5 WebATM之RBAC設計 55
第五章　安全性及效率性分析 59
5.1 安全性及功能性分析 59
5.2 效率性分析 61
第六章　結論及未來研究 62
6.1 結論 62
6.2 未來研究 64
參考文獻 66

[1]方俊富，以LDAP提昇協同合作平台的安全控管措施之案例研究，台灣科技大學自動化及控制學系碩士學位論文，2003年。
[2]王采瑜，兼具安全與效率之適用於資訊商品數位權利機制，世新大學資訊管理學系碩士學位論文，2004年。
[3]朱天元，新電子付款機制及其安全性之研究，長庚大學企業管理學系碩士學位論文，2003年。
[4]呂忠憲，以屬性為基礎的使用者角色分配之研究與實作，中原大學資訊工程學系碩士學位論文，2003年。
[5]余彥宏，智慧卡離線交易認證機制之研究，義守大學資訊工程學系碩士學位論文，2004年。
[6]李政雄，電子現金延伸應用之研究，朝陽科技大學資訊管理學系碩士學位論文，2004年。
[7]林千代，可攜性RBAC 資訊系統架構之研究，朝陽科技大學資訊管理學系碩士學位論文，2003年。
[8]邱啟弘，RBAC權限控管系統中靜態責任分離機制之研究，中原大學資訊工程學系碩士學位論文，2003年。
[9]周伯錕，利用智慧卡之遠端身份認證之研究，中興大學資訊科學系碩士學位論文，2002年。
[10]施淵仁，具流程管理機制之工作存取權限控制模型之研究，元智大學電機暨資訊工程研究所碩士學位論文，1999年。
[11]許沁如，動態會議金鑰分配機制之研究，世新大學資訊管理學系碩士學位論文，2004年。
[12]郭素馨，應用智慧卡實現RBAC執行權管制，交通大學資訊管理學研究所碩士學位論文，1999年。
[13]曾瑋展，以角色為主之權限控管系統中使用控制模組之研究與實作，中原大學資訊工程學系碩士學位論文，2004年。
[14]蔡昌學，RBAC權限控管系統中動態責任分離機制之研究，中原大學資訊工程學系碩士學位論文，2003年。
[15]謝懷德，台灣地區自動櫃員機區位選擇因素之研究，交通大學科技管理研究所碩士學位論文，2002年。
[16]異康資訊股份有限公司，“華泰銀行網路 ATM解決方案建議書“，2004年7月。
[17]賴溪松、韓亮、張真誠，“近代密碼學及其應用”，台北：旗標出版股份有限公司，2003年8月。
[18]財金資訊股份有限公司，“晶片金融卡於銀行ATM上的應用”，財金資訊股份有限公司新種業務介紹 > 業務介紹> 晶片金融卡業務，http://www2.fisc.com.tw/dev_biz/combocard-4.asp。
[19]財金資訊股份有限公司，“晶片金融卡規格書” 及 “晶片金融卡端末設備介面規格書”，3.0 版。
[20]財金資訊股份有限公司，“晶片金融卡業務說明課程”，2003年7月。
[21]國泰世華銀行，“國泰世華銀行「網路提款機MyATM」說明”，https://www.cathaybk.com.tw/cathaybk/event/2004myatm/index.htm。
[22]樊國楨、陳祥輝、蔡敦仁，“資料庫濫用軌跡塑模”，http://www.ascc.net/nl/90/1711/02.txt。
[23]YAHOO！奇摩網站，“YAHOO！奇摩網路ATM/使用教學”，http://tw.money.yahoo.com/atm/teach.
[24]Antony Edwards, Trent Jaeger, and Xiaolan Zhang, “Analysis and Verification: Runtime Verification of Authorization Hook Placement for the Linux Security Modules Framework”, Proceedings of the 9th ACM conference on Computer and communications security, pp. 225-234, November 2002.
[25]A. Schaad, J. Moffett, and J. Jacob, “The Role-Based Access Control System of a European Bank: A Case Study and Discussion,” Proceedings of the 6th ACMSymposium on Access control models and technologies, pp. 3-9, 2001.
[26]C. Joncheng Kuo and Polar Humenn, “Session 4: Web Service Applications: Dynamically Authorized Role-based Access Control for Secure Distributed Computation”, Proceedings of the 2002 ACM workshop on XML security, pp. 97-103, November 2002.
[27]David Ferraiolo and Richard Kuhn., “Role-Based Access Control, In Proceedings of 15th NIST-NCSC National Computer Security Conference, pp. 554-563, October 1992.
[28]David F. Ferraiolo, Ravi Sandhu, Serban Gavrila,D. Richard Kuhn, and Ramaswamy Chandramouli, “Proposed NIST Standard for Role-Based Access Control”, ACM Transactions on Information and System Security, pp. 224-274, Auguest 2001.
[29]Duminda Wijesekera, Sushil Jajodia, Francesco Parisi-Presicce, and Asa Hagstrom, “Removing Permissions in the Flexible Authorization Framework”, ACM Transactions on Database Systems (TODS), Vol. 28, Issue 3, pp. 209-229, September 2003.
[30]Elisa Bertino, Elena Ferrari, and Vijay Atluri, “The Specification and Enforcement of Authorization Constraints in Workflow Management Systems”, ACM Transactions on Information and System Security (TISSEC), Vol. 2, Issue 1, pp. 65-104, February 1999.
[31]Elisa Bertino, Sushil Jajodia, and Pierangela Samarati, “A Flexible Authorization Mechanism for Relational Data Management Systems”, ACM Transactions on Information Systems (TOIS), Vol. 17, Issue 2, pp. 101-140, April 1999.
[32]Elisa Bertino, Sushil Jajodia, and Pierangela Samarati, “A Non-timestamped Authorization Model for Data Management Systems”, Proceedings of the 3rd ACM conference on Computer and communications security, pp. 169-178, January 1996.
[33]Gail-Joon Ahn, and Ravi Sandhu, “Role-based Authorization Constraints Specification”, ACM Transactions on Information and System Security (TISSEC), Vol. 3, Issue 4, pp. 207-226, November 2000.
[34]Horst F. Wedde, and Mario Lischka, “Modular Authorization and Administration”, ACM Transactions on Information and System Security (TISSEC), Vol. 7, Issue 3, pp. 363-391, August 2004.
[35]Longhua Zhang, Gail-Joon Ahn, and Bei-Tseng Chu, “A Rule-based Framework for Role-based Delegation and Revocation”, ACM Transactions on Information and System Security (TISSEC), Vol. 6, Issue 3, pp. 404 – 441, August 2003.
[36]Mary R. Thompson, Abdelilah Essiari, and Srilekha Mudumbai, “Certificate-based Authorization Policy in a PKI Environment”, ACM Transactions on Information and System Security (TISSEC), Vol. 6, Issue 4, pp. 566–588, November 2003.
[37]Mark Strembeck, and Gustaf Neumann, “An Integrated Approach to Engineer and Enforce Context Constraints in RBAC Environments”, ACM Transactions on Information and System Security, Vol. 7, Issue 3, pp. 392–427, August 2004.
[38]Mary R. Thompson, Abdelilah Essiari, and Srilekha Mudumbai, “Authorization Translation for XML Document Transformation”, World Wide Web, Vol. 7, No. 1, pp. 111-138, March 2004.
[39]Patricia P. Griffiths, and Bradford W. Wade, “An Authorization Mechanism for a Relational Database System”, ACM Transactions on Database Systems (TODS), Vol. 1, Issue 3, p. 51, September 1976.
[40]Pierangela Samarati, Michael K. Reiter, and Sushil Jajodia, “An Authorization Model for a Public Key Management Service”, ACM Transactions on Information and System Security (TISSEC), Vol. 4, Issue 4, pp. 453-482, November 2001.
[41]P.B. Schneck, “Persistent Access Control to Prevent Piracy of Digital Information,” Proceedings of the IEEE, Vol. 87, No. 7, pp. 1239-1250, 1999.
[42]R.S. Sandhu, E.J. Coyne, H.L. Feinstein, and C.E. Youman, “Role Based Access Control Models”, IEEE Computer, Vol. 29, No. 2, pp. 38-47, February 1996.
[43]Ramaswamy Chandramouli, “Application of XML Tools for Enterprise-wide RBAC Implementation Tasks”, Proceedings of the fifth ACM workshop on Role-based access control, pp. 11-18, July 2000.
[44]R. S. Sandhu and P. Samarati, “Access Control: Principles and Practice,” IEEE Communications Magazine, pp. 40-48, 1994.
[45]Rivest R. L., “The MD5 Message-digest Algorithm”, RFC 1231, April 1992.