专利名称:一种工业控制系统中身份与权限的融合认证方法及系统的制作方法
技术领域:
本发明涉及一种身份和权限的认证技术
背景技术:
为了提供公用网络用户目录信息服务,国际电信联盟(International Telecommunications Union,简称“ITU”)于 1988年制定了 Χ. 500 目录访问协议(Directory Access Protocol,简称“DAP”)系列标准。其中Χ. 500和X. 509(公钥基础设施)是安全认证系统的核心,X. 500定义了一种区别命名规则,以命名树来确保用户名称的唯一性;X. 509 则为X. 500用户名称提供了通信实体鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口,X. 509称之为证书。X. 509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥一把是用户的专用密钥(私钥),另一把是其他用户都可得到和利用的公共密钥(公钥)。用户可用常规加密算法为信息加密,如数据加密标准算法(Data Encryption Standard,简称“DES”),然后再用接收者的公钥对DES算法进行加密并将之附于信息之上, 这样接收者可用对应的私钥打开DES密锁,并对信息解密。该鉴别框架允许用户将其公钥存放在证书认证中心(Certificate Authority,简称“CA”)的目录项中。一个用户如果想与另一个用户交换秘密信息,就可以直接从对方的目录项中获得相应的公钥,用于各种安全服务。本质上,X. 509证书由用户公共密钥与用户标识符组成,此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等。用户可通过安全可靠的方式向CA提供其公钥以获得证书,这样用户就可公开其证书,而任何需要此用户的公钥者都能得到此证书,并通过CA检验密钥是否正确。为了进行身份认证,X. 509标准及公共密钥加密系统提供了一个称作数字签名的方案。用户可生成一段信息及其摘要(亦称作信息“指纹”)。用户用专用密钥对摘要加密以形成签名,接收者用发送者的公共密钥对签名解密,并将之与收到的信息“指纹”进行比较,以确定其真实性。在过去的几年里,Internet上使用的一律是上述基于X. 509的身份证书(即公钥证书)。为了解决利用公钥证书实现权限认证时存在的不足,1997年,ISO在X. 509V3规范中引入了属性证书的概念,其定义为由属性权威(Attribute Authority,简称“AA”)签发的将实体与其共享有的权利属性绑定在一起的数据结构。该证书不含用户的公钥,只包含用户的一些基本性质,如所用户标示符、公钥证书序列号、权限信息等,可以有效地标识一个用户能够做什么,因此属性证书主要用于授权管理。属性证书是一种轻量级的数字证书,使用时必须和公钥证书结合使用。属性证书的有效期比较短,到了有效截止时间,证书将会失效。属性证书的使用方式主要有两种一是“推”模式,此方式是将属性证书发到用户手中,用户访问系统时将公钥证书和属性证书一起提交给系统,供系统认证;二是“拉”模式,此方式是将用户属性证书统一存放在系统服务器端,用户访问时只需要提交公钥证书, 服务器将根据用户公钥证书序列号查找对应的属性证书来认证。用户对应某一安全域的公钥证书只能有一个,由系统的证书权威CA下发,用户的属性证书可以有很多个,可以由不同的属性权威AA下发。属性证书颁发机构和数字证书颁发机构通常是两个分离的机构。属性信息在身份证书的生命周期内的任何时刻都可能被签名和撤销,但通常身份证书的存在时间较长,甚至可能几年,而属性证书的生命期相对较短。然而在工业领域中,用户对应的角色是有限的,而每个角色的用户所对应的权限也是相对固定的,如果权限变化了,通常其身份也要发生变化,因此并不适用现有的身份证书和属性证书,采用现有技术的身份证书和属性证书使得工业控制系统必须要同时支持两个可靠第三方(CA和AA),并需要管理多重证书,使用和管理更不方便。并且,工业领域中所涉及的设备品种多且数量大,用户的权限种类十分繁复,以操作员为例,不同的操作员可能对不同的设备有不同的操作权限,采用现有的属性证书的方式进行权限的认证,不能很好罗列所有权限,且在确认其权限时较为不便。
发明内容
本发明主要解决的技术问题是提供一种工业控制系统中身份与权限的融合认证方法及系统,使得工控系统只需支持一个可靠第三方,使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。为了解决上述技术问题,本发明提供了一种工业控制系统中身份与权限的融合认证方法,包含以下步骤将用户的角色信息存入用户的身份证书中,每个用户对应至少一个角色;将用户在对应角色下的权限保存在一权限数据库中;在用户获取资源前,对其身份证书进行认证,认证通过后,根据身份证书中的用户名信息和角色信息关联权限数据库,从中提取用户的权限信息;向所述用户提供其权限范围内的资源。作为上述技术方案的改进,在所述用户申请身份证书时,对其身份进行验证,在验证通过后,将其申请的角色信息存入该用户的身份证书中,将所述包含角色信息的身份证书颁发给该用户。作为上述技术方案的改进,所述身份证书为基于X. 509标准的数字证书;所述角色信息保存在该基于X. 509标准的数字证书的扩展字段中。作为上述技术方案的改进,该方法还可以包含以下步骤在用户申请身份证书过程中,通过身份验证后,为该用户设置其申请的角色对应的权限;或者在用户第一次使用所述身份证书时,根据该身份证书中的角色信息,为该用户设置该角色对应的权限;将用户名、角色和对应的权限保存到所述权限数据库。作为上述技术方案的改进,所述权限数据库中每个角色对应一个子库,所述将用户名、角色和对应的权限保存到权限数据库的步骤中,还包含以下子步骤
在该角色对应的子库中创建与该用户名对应的权限表,在该权限表中保存该用户在该角色下的具体权限信息。所述角色至少包括以下之一安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客。本发明还提供了一种工业控制系统中身份与权限的融合认证系统,系统中每个用户对应至少一个角色,所述用户的角色信息保存在用户的身份证书中,该系统包含权限数据库,用于保存不同角色的用户对应的权限信息;认证模块,用于对用户的身份证书进行身份认证;权限管理模块,用于在认证模块通过认证后,根据身份证书中的用户名信息和角色信息关联所述权限数据库,从中提取用户的权限信息;资源提供模块,用于向所述用户提供其权限范围内的资源。作为上述技术方案的改进,所述认证模块还可以用于在用户申请身份证书时,对其身份进行验证,验证通过后,将其申请的角色信息存入该用户的身份证书中,将所述包含角色信息的身份证书颁发给该用户。作为上述技术方案的改进,所述身份证书为基于X. 509标准的身份证书;所述角色信息保存在该基于X. 509标准的身份证书的扩展字段中。作为上述技术方案的改进,所述权限控制模块还可以用于在用户申请身份证书的过程中,所述认证模块通过对该用户的身份的验证后,为该用户设置其申请的角色对应的权限;或者,在所述身份证书第一次使用时,根据该身份证书中的角色信息,为该用户设置该角色对应的权限;并将用户名、角色和对应的权限保存到所述权限数据库。作为上述技术方案的改进,所述权限数据库中每个角色对应一个子库,所述权限控制模块通过以下方式将用户名、角色和对应的权限保存到权限数据库中在该角色对应的子库中创建与该用户名对应的权限表,在该权限表中保存该用户在该角色下的具体权限信息。作为上述技术方案的改进,所述角色至少包括以下之一安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客。本发明实施方式与现有技术相比,主要区别及其效果在于将属性证书与身份证书相融合,在身份证书中存入用户的角色信息,并设置一权限数据库,保存不同角色的用户对应的权限信息,在登录系统时,用户使用其身份证书进行身份认证,在认证通过后,根据身份证书中的用户名信息和角色信息关联权限数据库,从中提取用户的权限信息;系统向该用户提供与其权限相对应的资源。从而确保工控系统只需支持一个可靠第三方,使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。将两张证书合二为一, 管理更方便。在权限数据库中保存不同角色下用户的具体权限,权限信息存储空间更大、信息的保存更完整。
下面结合附图和具体实施方式
对本发明作进一步详细说明。图1是本发明第一实施方式中申请身份证书及设置权限的流程图2是X. 509身份证书结构示意图;图3是本发明第一实施方式工业控制系统中身份与权限的融合认证方法流程图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。本发明第一实施方式涉及一种工业控制系统中身份与权限的融合认证方法。本实施方式中,将CA与AA相融合构成一个认证中心,将密钥管理机构(PKI)和权限控制机构 (PMI)融合在一起,构成一密钥和权限控制机构,并在该机构中设置一权限数据库,保存不同角色的用户对应的权限信息。本实施方式中,用户向管理员发起申请身份证书的请求,由管理员通过客户端为该用户申请身份证书并设置相应权限。具体申请身份证书及设置权限的流程如图1所示, 管理员通过客户端向认证中心申请X. 509身份证书,其请求中包含所申请的角色信息和权限信息,认证中心按照现有技术对用户进行身份验证,在验证通过后将其申请的角色信息和权限信息发送到密钥和权限控制机构,由密钥和权限控制机构为该用户设置其角色所对应的权限,并将设置后的用户名、角色和对应的权限保存到权限数据库,之后认证中心为该用户分配身份证书,并将其角色信息写入X. 509身份证书中的扩展字段中,如图2所示。需要说明的是,用户的权限设置可以在为其申请身份证书时设置,也可以在用户初次使用该身份证书时,根据该身份证书中的角色信息,为其设置权限,所设置的权限为用户角色所对应范围内的权限,并将设置后的用户名、角色和对应的权限保存到权限数据库。本实施方式中,角色的类型为已定的,每个角色的权限范围也是既定的,一般情况下,角色分为安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客等,安全管理员角色的权限范围为创建用户和签发证书等相关权限,配置工程师的权限范围为配置工程相关权限,操作员的权限范围为操作控制等权限。用户的权限范围与其角色相关。假设该用户为操作员,则在操作员对应的权限范围内,为该用户设置其权限。之后将设置后的用户名、 角色和对应的权限保存到权限数据库。具体实施时,在该权限数据库中每个角色分别对应一个子库,如表1所示,在用户对应角色下权限确定后,在该角色对应的子库中创建与该用户名对应(可以是同名)的权限表,在该权限表中保存该用户在该角色下的具体权限信息。
安全管理员子库系统工程师子库权限数据库配置工程师子库操作员子库VIP用户子库访客子库 表 1
以操作员aaa为例,在操作员子库中创建名称为aaa的权限表,在表中设置该操作员的操作ID、可操作的设备ID和具体的操作权限,如表2所示。
权利要求
1.一种工业控制系统中身份与权限的融合认证方法,其特征在于,包含以下步骤将用户的角色信息存入用户的身份证书中,每个用户对应至少一个角色;将用户在对应角色下的权限保存在一权限数据库中;在用户获取资源前,对其身份证书进行认证,认证通过后,根据身份证书中的用户名信息和角色信息关联权限数据库,从中提取用户的权限信息;向所述用户提供其权限范围内的资源。
2.根据权利要求1所述的工业控制系统中身份与权限的融合认证方法,其特征在于, 在所述用户申请身份证书时,对其身份进行验证,在验证通过后,将其申请的角色信息存入该用户的身份证书中,将所述包含角色信息的身份证书颁发给该用户。
3.根据权利要求2所述的工业控制系统中身份与权限的融合认证方法,其特征在于, 所述身份证书为基于X. 509标准的数字证书;所述角色信息保存在该基于X. 509标准的数字证书的扩展字段中。
4.根据权利要求2所述的工业控制系统中身份与权限的融合认证方法,其特征在于, 还包含以下步骤在用户申请身份证书过程中,通过身份验证后,为该用户设置其申请的角色对应的权限;或者在用户第一次使用所述身份证书时,根据该身份证书中的角色信息,为该用户设置该角色对应的权限;将用户名、角色和对应的权限保存到所述权限数据库。
5.根据权利要求4所述的工业控制系统中身份与权限的融合认证方法,其特征在于, 所述权限数据库中每个角色对应一个子库,所述将用户名、角色和对应的权限保存到权限数据库的步骤中,还包含以下子步骤在该角色对应的子库中创建与该用户名对应的权限表,在该权限表中保存该用户在该角色下的具体权限信息。
6.根据权利要求5所述的工业控制系统中身份与权限的融合认证方法,其特征在于, 所述角色至少包括以下之一安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客。
7.—种工业控制系统中身份与权限的融合认证系统,其特征在于,每个用户对应至少一个角色,所述用户的角色信息保存在用户的身份证书中,该系统包含权限数据库,用于保存不同角色的用户对应的权限信息;认证模块,用于对用户的身份证书进行身份认证;权限管理模块,用于在认证模块通过认证后,根据身份证书中的用户名信息和角色信息关联所述权限数据库,从中提取用户的权限信息;资源提供模块,用于向所述用户提供其权限范围内的资源。
8.根据权利要求7所述的工业控制系统中身份与权限的融合认证系统,其特征在于, 所述认证模块还用于在用户申请身份证书时,对其身份进行验证,验证通过后,将其申请的角色信息存入该用户的身份证书中,将所述包含角色信息的身份证书颁发给该用户。
9.根据权利要求8所述的工业控制系统中身份与权限的融合认证系统,其特征在于, 所述身份证书为基于X. 509标准的身份证书;所述角色信息保存在该基于X. 509标准的身份证书的扩展字段中。
10.根据权利要求8所述的工业控制系统中身份与权限的融合认证系统,其特征在于, 所述权限控制模块还用于在用户申请身份证书的过程中,所述认证模块通过对该用户的身份的验证后,为该用户设置其申请的角色对应的权限;或者,在所述身份证书第一次使用时,根据该身份证书中的角色信息,为该用户设置该角色对应的权限;并将用户名、角色和对应的权限保存到所述权限数据库。
11.根据权利要求10所述的工业控制系统中身份与权限的融合认证系统,其特征在于,所述权限数据库中每个角色对应一个子库,所述权限控制模块通过以下方式将用户名、 角色和对应的权限保存到权限数据库中在该角色对应的子库中创建与该用户名对应的权限表,在该权限表中保存该用户在该角色下的具体权限信息。
12.根据权利要求11所述的工业控制系统中身份与权限的融合认证系统,其特征在于,所述角色至少包括以下之一安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客。
全文摘要
本发明公开了一种工业控制系统中身份与权限的融合认证方法及系统,通过将属性证书与身份证书相融合,在身份证书中存入用户的角色信息,并设置一权限数据库,保存不同角色的用户对应的权限信息,在用户登录系统时,先对其身份进行认证,在认证通过后,根据身份证书中的用户名信息和角色信息关联权限数据库,从中提取用户的权限信息;系统向该用户提供与其权限相对应的资源。从而在保障系统安全等级的情况下,使得工控系统只需支持一个可靠第三方,使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。将两张证书合二为一,管理更方便。在权限数据库中保存不同角色下用户的具体权限,其权限信息存储空间更大、信息的保存更完整。
文档编号H04L29/06GK102420690SQ201010295939
公开日2012年4月18日 申请日期2010年9月28日 优先权日2010年9月28日
发明者梁俊, 王磊 申请人:上海可鲁系统软件有限公司