設計概念

校園內資訊系統發展蓬勃，隨著應用服務增加而日益複雜的網站結構，造 成各個服務網站間的資訊無法有效率相互交換，致使這些服務系統必須一再地建 置基本功能，諸如帳號、密碼驗證及服務權限控管等系統功能。

植基於 SOA 機制的校務資訊系統，如圖 3-1 所示，將各系統的授權認證功能，

以服務需求的角度彙整成基礎服務需求，服務供應端相對提供帳密認證、角色授 權等基礎服務。

Service provider 服務供應

Consumer request 服務需求 Bind

圖 3-1 植基於 SOA 機制的校務資訊系統示意圖

3.2 系統架構簡介

一般系統建置，對使用者帳號及權限模組，每開發一套系統就需將使用者帳 號建立一次，隨校務系統應用服務增加，對系統開發者、管理者、使用者的負擔

都是與時漸進，有鑑於此本研究所提出的服務架構，所要加強的地方就在於：

1. 建立認證標程序

當系統建置者採用本認證服務來建構其系統服務時，必須依循資訊交換 標準，由服務主機向認證主機建立註冊，繼而使用認證服務。

2. RBAC 的權限控管機制

在服務架構中，依循以角色為基礎的存取控制(RBAC) 作為權限控管機 制，在 RBAC 的制度之下，一個使用者可能同時屬於多個角色，一個角 色則對各項服務皆有不同的使用權限。

3.採用 Web Services

透過 URL 指定存取 internet 上任何一台電腦提供的應用程式服務，由於它不 受作業平台的限制，適合用於本研究所提出的服務架構。在 Web Services 的開 放架構之下，本服務架構將能夠脫出平台的限制來提供各項訊息交換服務。任何 使用本服務架構的服務網站建置者都能夠自由選擇他/她所喜歡的開發作業平 台。本服務架構有五個主要的參與者，針對各個成員和運作分別作深入的說明，

請參考圖 3-2：

圖 3.2 系統架構和運作說明

1. Host Administrator (主機的管理者)

3. Authorization Module(認證模組)

Authorization Module 負責透過 web services 提供認證服務。它的工 作內容包括：對有註冊的服務主機依其網路位置等資訊提供認證服務，

Host 將使用者登入帳號/密碼提交驗證，Authorization Module 將驗證 結果回覆。

3.3 運作方式

圖 3-3 系統運作 Sequence Diagram

第四章 模擬系統建置

4.1 系統描述

本研究機制主要包含四個主要成員，分別包括使用者 (User)、服務伺服器 (Service Host)和在驗證伺服器之內驗證模組(Authentication Module)及授權 模組(Authorization Module)。本研究機制將驗證伺服器資料庫分成兩部份，一 為驗證模組所屬之帳號資料庫，此資料庫僅放置使用者 ID、密碼、姓名、職生 屬性等資料；另一為授權模組所屬之角色資料庫，此資料庫放置角色、權限與功 能之對應資料。

本研究機制運作情境假設為使用者向服務伺服器(Host A)登入，服務伺服器 (Host A)將帳號密碼向驗證伺服器之驗證模組驗證進行身分驗證。驗證伺服器確 認使用者身分，若身分驗證成功，即再進行至授權模組所屬角色資料庫取得該使 用者之角色集合並回傳至服務伺服器(Host A)，透過此角色集合至進行存取控 制。本研究機制架構與流程如圖 4-1 所示：

圖 4-1 本研究架構流程圖

4.2 系統運作階段

使用者向服務伺服器(Host A)提出服務請求，服務伺服器(Host A)將使用者 的帳密作一次單向雜湊函數後，向驗證伺服器提出服務需求，以進行身分驗證及

4.3.1

資料庫規劃

本研究機制將授權資料庫分成授權中心所屬之角色資料庫 (Role based DB on Authorization Center) 與 服 務 伺 服 器 所 屬 之 角 色 資 料 庫 (Role based DB on Service Server) 。授權中心所屬之角色資料庫將存放使用者、單位、角色資料；

服務伺服器所屬之角色資料庫將存放角色、權限與功能資料。本研究機制之

has has

1 面」、「Host 帳號管理」、「Host 功能管理」、「Host 角色管理」、「角色功能

管理」、「使用者基本資料」、「Host 使用者範圍」與「使用者角色資料管理」之 畫面，並以情境模擬說明:

假設理工學院要辦理產學講座，對象為院內教職員生，希望能透過院內首頁，

進行報名以做統計，長遠更希望建置参與講座履歷，以往建置流程首要就須建立教 職員帳號密碼，讓各使用者逕自報名，並於與會當日現場簽到，在進行人工彙整，

成效往往不彰，且對院內教職員生多了一組帳號密碼的管理負擔，若開發管理人員 稍有不慎，將易使個資洩漏，註冊加入本架構服務，將可省卻此建置步驟及降低資 安風險。

首先，院內首頁主機(服務伺服器 Service Host) 向驗證伺服器之授權管理系 統申請註冊得到一組密碼，繼而登入系統如下

1. 登入畫面：

提供給各系統管理者進行登入 RBAC 授權管理系統，如圖 4-3 所示：

IP 須與該服務伺服器相吻合，輸入密碼即可登入。

圖 4-3 登入畫面

2. Host 帳號管理

授權管理系統管理者在此建立各服務伺服器(Service Host)資料，包括 IP、密 碼等，如圖 4-4。每個服務伺服器登入時，將只編修自己資料，院內首頁主機名 稱為理工學院 WEB 主機。

圖 4-4 Host 帳號管理

3. Host 功能管理

理工學院 WEB 主機將訂定幾個子系統及其功能，如公告發行、讀取、刪除等功能，

如圖 4-5。

圖 4-5 Host 功能管理

4. Host 角色管理

理工學院 WEB 主機將訂定幾個子系統管理角色，如圖 4-6，以為授權管理。

圖 4-6 Host 帳號管理 5. Host 角色功能管理

理工學院 WEB 主機角色功能管理由角色面來看，分別將先前所建立的角色，逐一賦 予其功能，如圖 4-7。

圖 4-7 Host 角色功能管理(角色)

反之由功能面來看，具有刪除公告權限者，將只有公告管理者及系統管理者，如圖 4-8。

圖 4-8 Host 角色功能管理(功能)

6. 使用者基本資料

RBAC 管理者使用，其內資料含括所有系統之帳號、密碼、姓名及學生或教職員 屬性，各服務伺服器(Service Host)無法進入，如圖 4-9。

7. Host 使用者範圍

RBAC 管理者使用，其內資料為定義各服務伺服器(Service Host)之教職員生使 用者。理工學院 WEB 主機當選取院內教師及學生為基本使用者，，如圖 4-10。

圖 4-9 使用者基本資料

圖 4-10 Host 使用者範圍

8. 使用者角色資料管理

理工學院 WEB 主機以不同面向，分別將前述角色、功能，指派於教職員及學生，如 圖 4-11，將管理公告內容之權，附予兩位代表學生。

圖 4-11 使用者角色資料管理

4.4 服務請求雛型

在開發系統過程中，透過服務所在 URL 位置，直接引用該服務之 WSDL，即 可直接呼叫系統所提供之驗證、授權服務

第五章 研究結論與未來展望

時候，只需變更賦予給使用者的角色，就可以改變此使用者所可以執行的權限，

讓權限的管理更為的簡單，另外，角色可以對應到組織的職務，讓權限的控管可 以更接近實際企業運作的安全需求。

5.2 未來研究方向

未來方向，建議可朝向下列方向進行：

(1) 由於單一帳密若不慎遭偽騙竊取，損失風險將提高，建議考量結合實體 自然人憑證之輔證擴及使用端，以確保使用者身分。

(2) Web Services 跨平台技術未來將可應用在更多領域，以及提供更多元 的服務項目，將是另一項值得更深入探討的主題。

參考文獻

„ 中文部分

[1]比爾‧蓋茲(1999)。數位神經系統。(樂為良譯，1999)。台北市，商周出版。

[2]王昭嵐、朱斌妤，“大學校務行政電腦化

推行概況與問題實證研究：行政人員電腦知能與態度分析＂，中華管理評論，

Vol.3, No.2, pp.135?150，2000。

[3]許建隆、楊松諺，「密碼學實務」，初版，台北，碁峰資訊股份有限公司，

2005 年。

[4]簡西村,"MSDN 服務導向架構(Service Oriented Architecture)應用專欄

",http://www.microsoft.com/taiwan/msdn/columns/soa/SOA_overview_20 04112901.htm，2004

[5] 戚玉樑、彭淑芸、張琪瑩與賴德優，Web Services 探索與應用，台 灣台北，全華科技，民國九十二年五月

[6]謝文全(2002)。學校行政(八版一刷)。台北市，五南。

„ 英文部分

[1] Ben Margolis ,"SOA for the Business Developer: Concepts, BPEL , and SCA","Texas : MC Press Online LP",2007.

[2] David Ferraiolo, Ravi Sandhu, Serban Gavrila, D. Richard Kuhn and Ramaswamy Chandramouli, “Proposed NIST Standard for Role-BasedAccess Control＂, ACM Transactions on Information and System Security, Vol.

4, No. 3, August 2001, 224–274

[3] D. F. Ferraiolo, R. Sandhu, S. Gavrila, D. R. Kuhn and R.

Chandramouli,“Proposed NIST Standard for Role-Based Access

Control,＂ ACM Transactionson Information and System Security, vol.

4, no. 3, pp. 224-274, 2001.

[4] MacKenzie, C. Matthew., et al.(2006),“Reference Model for Service

Oriented Architecture 1.0＂, OASIS Public Documents

[5] Mary Kirtland , “A Platform for Web Services＂,(Microsoft Developer Network), January 2001

[6] Michael Huhns,and Munindar P. Singh,"Service-Oriented Computing:Key Concepts and Principles",IEEE Internet Computing,Vol. 9, No. 1,JAN/FEB 2005

[7] Nicolai Josuttis,"SOA in Practice",O'Reilly, 2007

[8] Norbert Bieberstein and Sanjay Bose and Marc Fiammante and Keith Jones and Rawn Shah, "Service-Oriented Architecture (SOA) Compass: Business Value, Planning, and Enterprise Roadmap",(Hardcover - Nov 4, 2005) [9]R. S. Sandhu, E. J. Coyne and C. E. Youman, “Role-Based Access Control

Models,＂ IEEE Computer , pp. 38-47, 1996.

[10] Thomas Erl. "Service-Oriented Architecture: Concepts, Technology, and Design. ", "Prentice Hall PTR", 2005.