為了驗證本系統所提架構之可行性與執行效能,我們使用以下環境進行存取控制之模擬比 較。
測試環境 z 硬體項目
CPU:Intel Xeon 2.0GHz 雙 CPU RAM:2048Mbytes
硬碟:160GBytes
表 6 本方法與現有機制比較分析
比較項目 分散式存取控制 集中式存取控制 .NET Passport 本方法
管理者負擔 僅網域內站台 多網域站台 多網域站台 僅網域內站台
跨網域存取能力 可 可 可 可
使用者於跨網域 服務需求時,在 不同站台所擁有
的權限
均為相同權限 可為不同權限 可為不同權限 可為不同權限
綜合評比 未考慮到跨網域 時的存取控制需 求
可執行跨網域存取控 制,但須增加管理者 負擔
亦為集中式管理,身 份 授 權 依 帳 號 密 碼 辨識,安全性較差
兼 顧 管 理 者 與 使 用 者 便 利 性 與 安 全性之存取控制
z 軟體項目
作業系統:Microsoft Windows 2003 Enterprise 應用程式:以 Microsoft VS .NET 開發
瀏覽器:Microsoft Internet Explorer 6.0 中文版,需支援 Java Applet,以提供密碼系統之 相關運算
z 模擬情境
本論文之模擬設計,主要由 50 位使用者,平均分成甲、乙兩組並且各自在不同的網 路服務站台 A、B 進行註冊,然後針對身份驗證與跨網域存取兩大功能進行分析比較。
模擬結果 z 身份驗證
隨機抽樣 15 位使用者在所註冊的站台進行身份驗證時,站台成功驗證已註冊使用者 身份的辨識率為 100%。而在跨網域直接進行身份驗證時,當乙組使用者要求在站台 A 進 行身份驗證時,由於站台 A 無法使用本身的公鑰去計算出使用者的私鑰,因此無法通過 身份驗證;反之,甲組使用者亦無法通過站台 B 的身份驗證。其模擬結果如表 7 所示。
z 存取權限辨識
隨機抽樣 15 位通過身份驗證的使用者,分別測試其在註冊站台的內部存取與跨網域 站台的外部存取權限辨識。在內部存取上,系統會依照使用者身份,判斷所擁有的角色權 限;而在外部存取權限辨識上,當外部使用者提出存取需求時,必須提供原站台所簽核的 跨網域角色值、服務請求與身份資料供系統進行身份驗證與角色轉換的動作。在本項模擬 實驗中,當使用者針對所註冊站台進行資料存取時,其存取權限辨識率為 100%,而在跨 網域存取權限辨識上,其辨識率也高達 100%,相關模擬結果如表 8 所示。
表 7 站台進行身份驗證之辨識率
使用者 站台 A 站台 B 甲組 100% 0%
乙組 0% 100%
表 8 存取權限辨識率
使用者 站台 A 站台 B 甲組 100% 100%
乙組 100% 100%
z 允許使用站台服務
在通過存取權限辨識的 15 位使用者中,能使用其註冊站台所提供服務項目的百分比 為 100%,但在跨網域服務項目存取上,則平均 81.5%,其主要原因是因為部份使用者要 求存取大於本身權限的資料,因而遭到站台拒絕提供服務所致。其模擬結果如表 9 所示。
6. 結論
使用者認證 (Authentication) 與授權 (Authorization) 一直是電子商務與網路服務的重要課 題,然而,隨著網路服務範圍的不斷擴大,上述兩者在管理上的複雜性,將成為系統管理者的 重大負擔。因此,本論文提出一個整合『植基於 ECC 自我認證公開金鑰密碼系統』及『以角色 為基礎的存取控制』的解決方案,做為在網路服務環境下的存取控制機制。本論文貢獻可分成 兩個部份來說明:(1)可轉換權限的存取控制;(2)角色與身份的有效識別。茲說明如下:
(1) 可轉換權限的存取控制
透過角色轉換的過程,可以在不增加管理者負擔的情況下,解決網路服務環境中交易雙方 使用權限不一的情形,同時提供服務需求者取得適當的存取控制權限。
(2) 角色與身份的有效識別
本系統中將採用『植基於 ECC 自我認證公開金鑰密碼系統』執行身份識別,不僅其運算量 較小,而且可以在不使用數位憑證的情況下達到與使用憑證相同的安全等級,同時本系統在執 行效率上能較憑證為基礎的識別方式來的更有效率。
本論文提出一個在網路服務環境下,可有效減輕內部管理的負擔同時又兼具安全考量的存 取控制系統。使得在企業實際運作上,除了能夠考量其安全性與便利性外,更趨近於實際企業 所需。
表 9 各站台服務之允許使用的比率
使用者 站台 A 站台 B 甲組 100% 88%
乙組 75% 100%