臺灣博碩士論文加值系統

可延伸執行權控管標記語言（eXtensible Access Control Markup Language, XACML）是OASIS於2002年12月所提出的XML執行權政策描述語言。XACML基於物件導向的根本精神，藉著完整描述「執行權管制（access control）」問題領域（problem domain），以解決Subject—Object—Access right—Condition自由度的問題。XML文件具備靈活定義屬性（attribute）與下屬元素（element）的特性，XACML標準正適合解決XML文件所帶來的細粒度執行權管制（Fine-grained access control）問題。
現階段探討執行權管制的文獻，多著重於執行權管制政策的改進與應用，缺乏由軟體元件（component）與架構（architecture）等工程面切入的研究觀點。本研究運用物件導向分析與設計（Object-Oriented Analysis and Design, OOA/D）方法針對XACML規格進行分析及設計，以產出具備XACML解譯機能的「政策決策點元件（Policy decision point, PDP）」，進而建構XACML規格中所提出的「決策執行點—內涵處理器—決策點（PEP—context handler—PDP）」軟體架構。運用該架構建立XML文件細粒度執行權管制系統，並同時運行「強制性執行權管制（Mandatory Access Control, MAC）」及「以角色為基礎的執行權管制（Role-Based Access Control, RBAC）」兩種政策，以驗證XACML語言具備足以支援多種執行權政策並行的彈性，並解決XML文件細粒度執行權管制問題。

The eXtensible Access Control markup Language (XACML) is an XML access policy descriptive language proposed by OASIS in Dec. 2002.
XACML, based on the Object-Oriented concept, can provide a solution in degree of freedom on Subject—Access right—Condition by completely describing the problem domain of access control.
XML document prosses the property of attribute and element.Furthermore, the standard of XACML is just suitable for solving the problem of Fine-grained access control coming along with XML document.
Studies concerning the access control mostly focus on the improvement and application of access control policy, however, most of these studies lack of researches of component and architecture.
This study uses the method of Object-Oriected Analysis and Design (OOA/D) and XACML standard to analyze and design, so as to produce function, and to establish the software structure constructed in the XACML standard.
This study, by applying the two policies of Mandatory Access Control (MAC) and Role-Based Access Control (RBAC), and taking advantage of that software structure to build the Fine-grained access control of XML document, can test if the XACML language carries the flexibility of supporting multi-access control policy, and verify if it is able to resolve the problem of Fine-grained access control in XML document.

摘要 I
Abstract II
誌謝 III
目錄 V
圖目錄 VIII
表目錄 X
第一章 緒論 1
1.1研究背景與動機 1
1.2 研究目的 2
1.3研究範圍 2
1.4論文架構 4
第二章 相關技術與文獻探討 5
2.1執行權管制 5
2.1.1執行權管制定義及目的 5
2.1.2授權模型 6
2.1.3執行權管制政策介紹 6
2.2 XML執行權管制描述語言 11
第三章 XACML規格內容及軟體架構 13
3.1 XACML制訂背景及需求 13
3.2 XACML規格內容 15
3.2.1 XACML軟體架構及大部元件說明 16
3.2.2 XACML概念模型 18
3.2.3 XACML語意自由度及評估邏輯 21
3.2.4 存取控制策略語法定義 24
3.2.5 內涵語法定義 29
第四章 系統分析與設計 34
4.1問題說明 34
4.2塑造XACML類別庫靜態結構 35
4.3描述XACML類別庫動態行為 38
4.4驗證系統主架構 40
4.5驗證系統使用案例分析 42
4.5.1 大部元件使用案例分析 43
4.5.2前端驗證網站使用案例分析 45
第五章 執行權管制系統實作驗證 48
5.1 系統開發及部署環境 48
5.2 系統基本預設條件及專利權XML文件說明 49
5.3 強制性執行權管制（MAC）實作驗證 51
5.3.1 MAC驗證系統假設限制條件 51
5.3.2 網站驗證資料庫綱要 52
5.3.3 策略樹（Policy tree）設計 52
5.3.4驗證成果 54
5.4以角色為基礎的執行權管制（RBAC）實作驗證 60
5.4.1 RBAC驗證系統假設限制 60
5.4.2 網站驗證資料庫綱要 62
5.3.3 策略樹（Policy tree）設計 63
5.4.4 前端網站驗證成果 66
5.5 合成驗證系統總策略樹 80
5.6 驗證結果檢討 81
第六章 結論與未來發展方向 83
6.1結論 83
6.2 未來發展方向 84
參考文獻 85
附錄A 87
附錄B 91
B.1根策略 92
B.2 MAC策略 92
B.3 RDBC策略 99
附錄C 117
C.1 MAC驗證請求／回應訊息 118
C.1.1 Anonymous機密等級 118
C.1.2 Member機密等級 119
C.1.3 VIP機密等級 120
C.1.4 例外限制 121
C.2 RBAC驗證請求／回應訊息 122
C.2.1 讀取專利權資訊基本權限驗證 123
C.2.2 發明者讀取專利權基本權限驗證 126
C.2.3 啟用角色弱互斥驗證 128
C.2.4 角色指派權限驗證 130
C.2.5 角色指派強互斥驗證 131
C.2.6 角色指派先決角色限制驗證 133
C.2.7 角色指派人數限制驗證 134
C.2.8 專利權日期限制驗證 135
作者簡介 137

英文部分:
1. Simon Godik, Tim Moses, ”OASIS eXtensible Access Control Markup Language（XACML）”, OASIS, December 2002
2. ”Information technology – Open Systems Interconnection – Security Framework for Open Sytem: Access Control Framework”, ISOI/IEC 10181-3（1996）, 1996
3. Ravi Sandhu, Edward J. Coyne, Hal L. Feinstein, and Charles E. Youman. ”Role-Based Access Control Model”, IEEE Computer, 29(2):38-47, February 1996.
4. Michiharu Kudo, ” XACML Use Case for XML Fine-grained Access Control”, OASIS, March 2002
5. Rebecca Wirfs-Brock, Alan McKean, ”Object Design Roles, Responsibilities, and Collaborations”, Addison Wesley, November 2002
6. Craig Larman, ”Applying UML and Patterns”, PHPTR, 2002
7. George T. Heineman, William T. Councill, ”Component-Based Software Engineering” , Addison Wesley, May 2001
8. Mohamed E. Fayad, Douglas C. Schmidt, Ralph E. Johnson, ”Building Application Frameworks” , John Wiley & Sons, 1999
9. Ernesto Damiani, Sabrina De Capitani Di Vimecati, Stefano Paraboshi, Pierangela Samarati, “A Fine-Grained Access Control System for XML Documents”, ACM Transactions on Information and System Security, Vol.5, No. 2,Page 169-202, May 2002
10. Carlisle Adams, Zahid Ahmed , etc., ”OASIS Security Services TC：Glossary”, OASIS, 30 Mar 2002
11. Satoshi Hada, Michiharu Kudo,”XML Access Control Language:Provisional Authorization for XML Documents”, Tokyo Research Laboratory, IBM Research, 16 October 2000
12. Ernesto Daminani, Sabrina De Capitani Di Vimercti, etc., “XML Access Control : A Fine-Grained Access Control System”, http://seclab.dti.unimi.it/~xml-sec/Dr PhillipM. Hallam-Baker, “Web Services Security Standards Forum”, VeriSign Inc.
14. G.S.Grabam and P.J.Denning. “Protection – principlesand practice.”, Proc.Spring Jt. Computer Conf., 40:417-429, 1972.
15. Ravi Sandhu, David Ferraiolo and Richard Kuhn, “The NIST Model for Role-Based Access Control : Towards A Unified Standard”, In Proceedings of the fifth ACM Workshop on Role-Based Access Control, Berlin Germany, pages 47-63, July 26-28 2000. ACM
中文部分
16. 劉興華、黃景彰，”執行權管制系統的設計標準 – ISO/IEC 10181-3”，中華民國資訊學會通訊，pp.13-20，民八十八年九月
17. 樊國楨、陳祥輝、蔡敦仁，”資料庫濫用軌跡塑模”，電腦與通訊，pp.62-69，民八十九年十二月
18. 施淵仁，”具流程管理機制之工作存取權限控制模型之研究”，私立元智大學電機暨資訊工程研究所碩士論文， 民八十九年六月
19. 張淑惠，”職位基礎執行權管制模式之系統設計及實作研究 – 以銀行放款業務為例”，國立交通大學資訊管理研究所碩士論文，民九十年七月
20. 洪敏翔，”使用XML設計執行權管制資訊流”，國立交通大學資訊管理研究所碩士論文，民九十年七月
21. 俞正宏，”應用XML/XACML於工作流程管理系統之授權管制研究”，國立中央大學資訊管理研究所碩士論文，民九十一年六月
22. 張裕益譯，”UML使用手冊”，博碩文化，民九十年十一月
23. 巫坤品、曾志光譯，”密碼學與網路安全-原理與實務”，碁峰，民九十年九月
24. 侯捷、王建興譯，”Thinking in Java 中文版”，碁峰，民九十一年七月
25. 高煥堂、王克明，“跨Subsystem的大型系統開發實務”，MISOO物件導向雜誌，pp.115-149，民九十一年七月
26. 葉秉哲譯，”物件導向設計模式”，培生，民九十年二月