未來研究

在未來研究上，建議可以從下列幾個方向思考。

1. 工作流程

在本研究提出之以屬性為基礎的工作-角色指派模型，主要是針對單一工作 做自動指派，而本研究尚未考慮到工作先後順序所造成的指派影響，因此未來希 望能考量工作流程中工作執行先後順序以及工作相依性，以期望本模型會使工作 指派更符合現實企業的工作環境。而所謂工作相依是指若一工作之執行是與另一 工作之執行相關，有可能導致影響工作自動化指派結果。因此未來針對工作流程 的研究需要加以探討。

2. 結合以規則為基礎的存取控制

以規則為基礎的存取控制的針對使用者及角色方面做自動化指派，而本研究 提出的自動化指派模型是在角色與工作方面。因此希望能結合此二種自動化指派 模型，使企業在使用者、角色以及工作之間達到完全自動化指派。

3. 指派平衡

雖然透過本研究的模型，工作能分配給角色執行。但是工作是否能經由角色 關係指派至使用者執行，而且要能達到指派平衡。所謂指派平衡是工作分派至某 一角色之後，企業要能選擇出擔任此角色的其中一位企業員工來執行工作。而選 擇使用者的方式要平衡，不能所有工作都由一位員工來執行，而使得其他員工閒 置，會造成企業營運效率降低，並且對於執行工作的員工而言，也是不公平的。

因此要達成使用者的指派平衡也是一項重要的議題。

59

參考文獻

[1] 余俊德、黃士殷，以工作權責為基礎之存取控制模式之研究 ，National Computer Symposium(NCS)，第 242-247 頁，1999 年。

[2] 呂宗憲，以屬性為基礎的使用者角色分配之研究與實作，中原大學資訊工程 研究所碩士論文，2005 年。

[3] 李俊傑，整合角色和工作為基礎的動態存取控制架構研究，南華大學資訊管 理學系碩士論文，2002 年。

[4] 李勁，JSP 動態網頁入門實務，文魁資訊股份有限公司，2004 年。

[5] 邱啟弘，RBAC 權限控管系統中靜態責任分離機制之研究，中原大學資訊工 程研究所碩士論文，2003 年。

[6] 施淵仁，具流程管理機制之工作存取權限控制模型之研究，元智大學電機暨 資訊工程研究所碩士論文，2000 年。

[7] 夏雲浩、林清烈譯，JSP 教學手冊，碁峰資訊股份有限公司，2003 年。

[8] 陳哲閎， Internet 上一般化工作流程管理系統的設計與實做，台灣大學資訊 管理研究所碩士論文，1997 年。

[9] 劉敦仁、吳美玉、黃景彰，以工作為基礎的存取控制之權責區分授權準則設 計，資訊管理學報，第八卷，第一期， 第 61-80 頁，2001 年。

[10] 蔡昌學，RBAC 權限控管系統中動態責任分離機制之研究，中原大學資訊工 程研究所碩士論文，2003 年。

[11] Mohammad A. Al-Kahtani and Ravi Sandhu, “A Model for Attribute-Based User-Role Assignment”, Proceedings of the 18th Annual Computer Security Applications Conference, pp.353-362, 2002.

60

[12] Mohammad A. Al-Kahtani and Ravi Sandhu, “Induced Role Hierarchies with Attribute-Based RBAC”, Proceedings of the 8th ACM symposium on Access control models and technologies table of contents, pp.142-148, 2003.

[13] Elisa Bertino, Elena Ferrari and Vijayalakshmi Atluri, “A Flexible Model Supporting the Specification and Enforcemant of Role-based Authorization in Workflow Management Systems”, In 2nd ACM Workshop on Role-Based Access Control, pp.1-12, 1997.

[14] Fang Chen and Ravi Sandhu, “Constraints for Role-Based Access Control”, In 1st ACM Workshop on Role-Based Access Control, pp.39-46, 1996.

[15] David F. Ferraiolo and D. Richard Kuhn, “Role-Based Access Control”, 15th Na-tional Computer Security Conference, pp.554-563, 1992.

[16] David F. Ferraiolo, J. Cugini and D. Richard Kuhn, “Role Based Access Control:

Features and Motivations”, In 11th Annual Computer Security Applications Conference, pp.241-248, 1995.

[17] David F. Ferraiolo, John F. Barkley and D. Richard Kuhn, “A Role Based Access Control Model and Reference Implementation within a Coporate Intranet”, ACM Transactions on Information and System Security, Volume 1, Number 2, pp.34-64, 1999.

[18] David F. Ferraiolo, Ravi Sandhu, Serban Gavrila, D. Richard Kuhn and Ramaswamy Chandramouli, “Proposed NIST Standard for Role-Based Access Control”, ACM Transactions on Information and System Security, Volume 4, Number 3, pp.224–274, 2001.

[19] Axel Kern and Claudia Walhorn, “Rule support for role-based access control”,

61

Proceedings of the 10th ACM symposium on Access control models and technologies, pp.130 - 138, 2005.

[20] Sejong Oh and Seog Park, “Task-Role-based access control model”, Information Systems, Volume 28, Number 6, pp.533-562, 2003.

[21] Dirk Schwartmann, “An Attributable Role- Based Access Control for Health-care”, Proceedings of International Conference on Computational Science, LNCS 3039, pp.1148-1155, 2004.

[22] Ravi Sandhu, Edward J. Coyne, Hal L. Feinstein and Charles E. Youman,

“Role-based access control: A multi-dimensional view”, In Proceedings of 10th Annual Computer Security Application Conference, pp.54-62, 1994.

[23] Ravi Sandhu, Edward J. Coyne, Hal L. Feinstein and Charles E. Youman,

“Role-Based Access Control Models”, IEEE Computer, Volume 29, Number 2, February, pp.38-47, 1996.

[24] Michael E. Shin and Gail-Joon Ahn, “UML-Based Representation of Role-Based Access Control”, Proceedings IEEE 9th International Workshops, pp.195-200, 2000.

[25] kathrin schier, “Multifunctional Smartcards for Electronic Commerce - Application of the Role and Task Based Security Model”, 14th Annual Computer Security Applications Conference, pp.147-154, 1998.

[26] Richard T. Simon and Mary Ellen Zurko, “Separation of Duty in Role-Based Environments”, 10th Computer Security Foundations Workshop, pp.183-194, 1997.

[27] Ravi Sandhu and Pierangela Samarati, “Access Control: Principles and Practice”,

62

IEEE Communication Magazine, pp.40-48, 1994.

[28] Ravi Sandhu, David F. Ferraiolo and D. Richard Kuhn, “The NIST Model for Role-Based Access Control: Towards a Unified Standard”, In Proceedings of the 5th ACM workshop on Role-based access control, pp.47-63, 2000.

[29] R. K. Thomas and Ravi Sandhu, “Task-based Authorization Controls (TBAC): A Family of Models for Active and Enterprise-oriented Authorization Management”, Proceesings of the IFIP Workshop on Database Security, pp.166-181, 1997.

[30] R. K. Thomas and Ravi Sandhu, “Conceptual Foundations for a Model of Task-based Authorizations”, Proceedings of the 7th IEEE Computer Security Foundations Workshop, pp.66-79, 1994.

[31] Baoyi Wang and Shaomin Zhang, “The Research on Role-Based Access Control Mechanism for Workflow Management System”, Proceedings of Grid and Cooperative Computing, LNCS 3251, pp.729-736, 2004.

[32] Feng Xu, Guoyuan Lin and Hao Huang, Li Xie, “Role-based Access Control System for Web Services”, Proceedings of The 4th International Conference on Computer and Information Technology, pp.357-362, 2004.

[33] IBM HTTP Server InfoCenter, http://www.cmo.com.tw/manual/ibm/

[34] Core J2EE Patterns - Front Controller,

http://java.sun.com/blueprints/corej2eepatterns/Patterns/FrontController.html

[35] E. Friedman-Hill, “JESS in Action: Rule - Based Systems in Java”, Manning Publications, ISBN 1930110898, 2003.

[36] Workflow Management Coalition, “The Workflow Reference Model”, Technical