一种工业控制系统中身份与权限的融合认证方法及系统.pdf

上传人：e1

文档编号：4319609

上传时间：2018-09-13

格式：PDF

页数：12

大小：430.65KB

《一种工业控制系统中身份与权限的融合认证方法及系统.pdf》由会员分享，可在线阅读，更多相关《一种工业控制系统中身份与权限的融合认证方法及系统.pdf（12页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102420690 A (43)申请公布日 2012.04.18 C N 1 0 2 4 2 0 6 9 0 A *CN102420690A* (21)申请号 201010295939.7 (22)申请日 2010.09.28 H04L 9/32(2006.01) H04L 29/06(2006.01) (71)申请人上海可鲁系统软件有限公司地址 201204 上海市张江高科技园区毕升路 299弄9号 (72)发明人王磊梁俊 (54) 发明名称一种工业控制系统中身份与权限的融合认证方法及系统 (57) 摘要本发明公开了一种工业控制系统中身份与权限的融合认证。

2、方法及系统，通过将属性证书与身份证书相融合，在身份证书中存入用户的角色信息，并设置一权限数据库，保存不同角色的用户对应的权限信息，在用户登录系统时，先对其身份进行认证，在认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；系统向该用户提供与其权限相对应的资源。从而在保障系统安全等级的情况下，使得工控系统只需支持一个可靠第三方，使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。将两张证书合二为一，管理更方便。在权限数据库中保存不同角色下用户的具体权限，其权限信息存储空间更大、信息的保存更完整。 (51)Int.Cl. (。

3、19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 6 页附图 3 页 CN 102420702 A 1/2页 2 1.一种工业控制系统中身份与权限的融合认证方法，其特征在于，包含以下步骤：将用户的角色信息存入用户的身份证书中，每个用户对应至少一个角色；将用户在对应角色下的权限保存在一权限数据库中；在用户获取资源前，对其身份证书进行认证，认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；向所述用户提供其权限范围内的资源。 2.根据权利要求1所述的工业控制系统中身份与权限的融合认证方法，其特征在于，在所述用户申。

4、请身份证书时，对其身份进行验证，在验证通过后，将其申请的角色信息存入该用户的身份证书中，将所述包含角色信息的身份证书颁发给该用户。 3.根据权利要求2所述的工业控制系统中身份与权限的融合认证方法，其特征在于，所述身份证书为基于X.509标准的数字证书；所述角色信息保存在该基于X.509标准的数字证书的扩展字段中。 4.根据权利要求2所述的工业控制系统中身份与权限的融合认证方法，其特征在于，还包含以下步骤：在用户申请身份证书过程中，通过身份验证后，为该用户设置其申请的角色对应的权限；或者在用户第一次使用所述身份证书时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限；将。

5、用户名、角色和对应的权限保存到所述权限数据库。 5.根据权利要求4所述的工业控制系统中身份与权限的融合认证方法，其特征在于，所述权限数据库中每个角色对应一个子库，所述将用户名、角色和对应的权限保存到权限数据库的步骤中，还包含以下子步骤：在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。 6.根据权利要求5所述的工业控制系统中身份与权限的融合认证方法，其特征在于，所述角色至少包括以下之一：安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客。 7.一种工业控制系统中身份与权限的融合认证系统，其特征在于，每个用户对应至少一个角色，。

6、所述用户的角色信息保存在用户的身份证书中，该系统包含：权限数据库，用于保存不同角色的用户对应的权限信息；认证模块，用于对用户的身份证书进行身份认证；权限管理模块，用于在认证模块通过认证后，根据身份证书中的用户名信息和角色信息关联所述权限数据库，从中提取用户的权限信息；资源提供模块，用于向所述用户提供其权限范围内的资源。 8.根据权利要求7所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述认证模块还用于在用户申请身份证书时，对其身份进行验证，验证通过后，将其申请的角色信息存入该用户的身份证书中，将所述包含角色信息的身份证书颁发给该用户。 9.根据权利要求8所述的工业控制。

7、系统中身份与权限的融合认证系统，其特征在于，所述身份证书为基于X.509标准的身份证书；权利要求书CN 102420690 A CN 102420702 A 2/2页 3 所述角色信息保存在该基于X.509标准的身份证书的扩展字段中。 10.根据权利要求8所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述权限控制模块还用于：在用户申请身份证书的过程中，所述认证模块通过对该用户的身份的验证后，为该用户设置其申请的角色对应的权限；或者，在所述身份证书第一次使用时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限；并将用户名、角色和对应的权限保存到所述权限数据。

8、库。 11.根据权利要求10所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述权限数据库中每个角色对应一个子库，所述权限控制模块通过以下方式将用户名、角色和对应的权限保存到权限数据库中：在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。 12.根据权利要求11所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述角色至少包括以下之一：安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客。权利要求书CN 102420690 A CN 102420702 A 1/6页 4 一种工业控制系统中身份与权限的。

9、融合认证方法及系统技术领域 0001 本发明涉及一种身份和权限的认证技术背景技术 0002 为了提供公用网络用户目录信息服务，国际电信联盟(International Telecommunications Union，简称“ITU”)于1988年制定了X.500目录访问协议(Directory Access Protocol，简称“DAP”)系列标准。其中X.500和X.509(公钥基础设施)是安全认证系统的核心，X.500定义了一种区别命名规则，以命名树来确保用户名称的唯一性；X.509 则为X.500用户名称提供了通信实体鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口。

10、，X.509称之为证书。 0003 X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥：一把是用户的专用密钥(私钥)，另一把是其他用户都可得到和利用的公共密钥(公钥)。用户可用常规加密算法为信息加密，如数据加密标准算法(Data Encryption Standard，简称“DES”)，然后再用接收者的公钥对DES算法进行加密并将之附于信息之上，这样接收者可用对应的私钥打开DES密锁，并对信息解密。该鉴别框架允许用户将其公钥存放在证书认证中心(Certificate Authority，简称“CA”)的目录项中。一个用户如果想与另一个用户交换秘密信息。

11、，就可以直接从对方的目录项中获得相应的公钥，用于各种安全服务。 0004 本质上，X.509证书由用户公共密钥与用户标识符组成，此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等。用户可通过安全可靠的方式向CA提供其公钥以获得证书，这样用户就可公开其证书，而任何需要此用户的公钥者都能得到此证书，并通过CA检验密钥是否正确。 0005 为了进行身份认证，X.509标准及公共密钥加密系统提供了一个称作数字签名的方案。用户可生成一段信息及其摘要(亦称作信息“指纹”)。用户用专用密钥对摘要加密以形成签名，接收者用发送者的公共密钥对签名解密，并将之与收到的信息“。

12、指纹”进行比较，以确定其真实性。 0006 在过去的几年里，Internet上使用的一律是上述基于X.509的身份证书(即公钥证书)。为了解决利用公钥证书实现权限认证时存在的不足，1997年，ISO在X.509V3规范中引入了属性证书的概念，其定义为：由属性权威(Attribute Authority，简称“AA”)签发的将实体与其共享有的权利属性绑定在一起的数据结构。该证书不含用户的公钥，只包含用户的一些基本性质，如所用户标示符、公钥证书序列号、权限信息等，可以有效地标识一个用户能够做什么，因此属性证书主要用于授权管理。 0007 属性证书是一种轻量级的数字证书，使用时必须和公钥。

13、证书结合使用。属性证书的有效期比较短，到了有效截止时间，证书将会失效。 0008 属性证书的使用方式主要有两种：一是“推”模式，此方式是将属性证书发到用户手中，用户访问系统时将公钥证书和属性证书一起提交给系统，供系统认证；二是“拉”模说明书CN 102420690 A CN 102420702 A 2/6页 5 式，此方式是将用户属性证书统一存放在系统服务器端，用户访问时只需要提交公钥证书，服务器将根据用户公钥证书序列号查找对应的属性证书来认证。 0009 用户对应某一安全域的公钥证书只能有一个，由系统的证书权威CA下发，用户的属性证书可以有很多个，可以由不同的属性权威AA下发。。

14、属性证书颁发机构和数字证书颁发机构通常是两个分离的机构。属性信息在身份证书的生命周期内的任何时刻都可能被签名和撤销，但通常身份证书的存在时间较长，甚至可能几年，而属性证书的生命期相对较短。 0010 然而在工业领域中，用户对应的角色是有限的，而每个角色的用户所对应的权限也是相对固定的，如果权限变化了，通常其身份也要发生变化，因此并不适用现有的身份证书和属性证书，采用现有技术的身份证书和属性证书使得工业控制系统必须要同时支持两个可靠第三方(CA和AA)，并需要管理多重证书，使用和管理更不方便。 0011 并且，工业领域中所涉及的设备品种多且数量大，用户的权限种类十分繁复，以操作员为。

15、例，不同的操作员可能对不同的设备有不同的操作权限，采用现有的属性证书的方式进行权限的认证，不能很好罗列所有权限，且在确认其权限时较为不便。发明内容 0012 本发明主要解决的技术问题是提供一种工业控制系统中身份与权限的融合认证方法及系统，使得工控系统只需支持一个可靠第三方，使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。 0013 为了解决上述技术问题，本发明提供了一种工业控制系统中身份与权限的融合认证方法，包含以下步骤： 0014 将用户的角色信息存入用户的身份证书中，每个用户对应至少一个角色； 0015 将用户在对应角色下的权限保存在一权限数据库中； 0016 在。

16、用户获取资源前，对其身份证书进行认证，认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息； 0017 向所述用户提供其权限范围内的资源。 0018 作为上述技术方案的改进，在所述用户申请身份证书时，对其身份进行验证，在验证通过后，将其申请的角色信息存入该用户的身份证书中，将所述包含角色信息的身份证书颁发给该用户。 0019 作为上述技术方案的改进，所述身份证书为基于X.509标准的数字证书； 0020 所述角色信息保存在该基于X.509标准的数字证书的扩展字段中。 0021 作为上述技术方案的改进，该方法还可以包含以下步骤： 0022 在用户申请身份证。

17、书过程中，通过身份验证后，为该用户设置其申请的角色对应的权限；或者 0023 在用户第一次使用所述身份证书时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限； 0024 将用户名、角色和对应的权限保存到所述权限数据库。 0025 作为上述技术方案的改进，所述权限数据库中每个角色对应一个子库，所述将用户名、角色和对应的权限保存到权限数据库的步骤中，还包含以下子步骤：说明书CN 102420690 A CN 102420702 A 3/6页 6 0026 在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。 0027 所述角色至少。

18、包括以下之一： 0028 安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客。 0029 本发明还提供了一种工业控制系统中身份与权限的融合认证系统，系统中每个用户对应至少一个角色，所述用户的角色信息保存在用户的身份证书中，该系统包含： 0030 权限数据库，用于保存不同角色的用户对应的权限信息； 0031 认证模块，用于对用户的身份证书进行身份认证； 0032 权限管理模块，用于在认证模块通过认证后，根据身份证书中的用户名信息和角色信息关联所述权限数据库，从中提取用户的权限信息； 0033 资源提供模块，用于向所述用户提供其权限范围内的资源。 0034 作为上述技术方案的改进，所。

19、述认证模块还可以用于在用户申请身份证书时，对其身份进行验证，验证通过后，将其申请的角色信息存入该用户的身份证书中，将所述包含角色信息的身份证书颁发给该用户。 0035 作为上述技术方案的改进，所述身份证书为基于X.509标准的身份证书； 0036 所述角色信息保存在该基于X.509标准的身份证书的扩展字段中。 0037 作为上述技术方案的改进，所述权限控制模块还可以用于：在用户申请身份证书的过程中，所述认证模块通过对该用户的身份的验证后，为该用户设置其申请的角色对应的权限；或者，在所述身份证书第一次使用时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限； 0038 并将用户。

20、名、角色和对应的权限保存到所述权限数据库。 0039 作为上述技术方案的改进，所述权限数据库中每个角色对应一个子库，所述权限控制模块通过以下方式将用户名、角色和对应的权限保存到权限数据库中： 0040 在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。 0041 作为上述技术方案的改进，所述角色至少包括以下之一： 0042 安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客。 0043 本发明实施方式与现有技术相比，主要区别及其效果在于：将属性证书与身份证书相融合，在身份证书中存入用户的角色信息，并设置一权限数据库，保存不同角色的用。

21、户对应的权限信息，在登录系统时，用户使用其身份证书进行身份认证，在认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；系统向该用户提供与其权限相对应的资源。从而确保工控系统只需支持一个可靠第三方，使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。将两张证书合二为一，管理更方便。在权限数据库中保存不同角色下用户的具体权限，权限信息存储空间更大、信息的保存更完整。附图说明 0044 下面结合附图和具体实施方式对本发明作进一步详细说明。 0045 图1是本发明第一实施方式中申请身份证书及设置权限的流程图；说明书CN 102420。

22、690 A CN 102420702 A 4/6页 7 0046 图2是X.509身份证书结构示意图； 0047 图3是本发明第一实施方式工业控制系统中身份与权限的融合认证方法流程图。具体实施方式 0048 为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施方式作进一步地详细描述。 0049 本发明第一实施方式涉及一种工业控制系统中身份与权限的融合认证方法。本实施方式中，将CA与AA相融合构成一个认证中心，将密钥管理机构(PKI)和权限控制机构 (PMI)融合在一起，构成一密钥和权限控制机构，并在该机构中设置一权限数据库，保存不同角色的用户对应的权限信息。 0050。

23、本实施方式中，用户向管理员发起申请身份证书的请求，由管理员通过客户端为该用户申请身份证书并设置相应权限。具体申请身份证书及设置权限的流程如图1所示，管理员通过客户端向认证中心申请X.509身份证书，其请求中包含所申请的角色信息和权限信息，认证中心按照现有技术对用户进行身份验证，在验证通过后将其申请的角色信息和权限信息发送到密钥和权限控制机构，由密钥和权限控制机构为该用户设置其角色所对应的权限，并将设置后的用户名、角色和对应的权限保存到权限数据库，之后认证中心为该用户分配身份证书，并将其角色信息写入X.509身份证书中的扩展字段中，如图2所示。 0051 需要说明的是，用户的权限设。

24、置可以在为其申请身份证书时设置，也可以在用户初次使用该身份证书时，根据该身份证书中的角色信息，为其设置权限，所设置的权限为用户角色所对应范围内的权限，并将设置后的用户名、角色和对应的权限保存到权限数据库。 0052 本实施方式中，角色的类型为已定的，每个角色的权限范围也是既定的，一般情况下，角色分为安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客等，安全管理员角色的权限范围为创建用户和签发证书等相关权限，配置工程师的权限范围为配置工程相关权限，操作员的权限范围为操作控制等权限。用户的权限范围与其角色相关。假设该用户为操作员，则在操作员对应的权限范围内，为该用户设置其权限。

25、。之后将设置后的用户名、角色和对应的权限保存到权限数据库。 0053 具体实施时，在该权限数据库中每个角色分别对应一个子库，如表1所示，在用户对应角色下权限确定后，在该角色对应的子库中创建与该用户名对应(可以是同名)的权限表，在该权限表中保存该用户在该角色下的具体权限信息。 0054 0055 表1 说明书CN 102420690 A CN 102420702 A 5/6页 8 0056 以操作员aaa为例，在操作员子库中创建名称为aaa的权限表，在表中设置该操作员的操作ID、可操作的设备ID和具体的操作权限，如表2所示。 0057 操作ID 设备ID 操作权限ID 2541 78。

26、59 255 1479 7125 255 2563 5842 255 0058 表2 0059 具体的认证流程如图3所示，在步骤301中，用户使用其身份证书在客户端进行登录，客户端将用户的用户名、密码以及身份证书相关信息发送到密钥和权限控制机构。 0060 步骤302中，密钥和权限控制机构将认证信息发送到认证中心。 0061 步骤303中，认证中心按照现有技术对其身份证书进行认证，并向密钥和权限控制机构返回认证结果。如果认证未通过，则进入步骤304，密钥和权限控制机构向客户端反馈认证失败，拒绝登陆的信息；如果步骤303中认证通过，则进入步骤305。 0062 步骤305中，密钥和权限控制。

27、机构关联权限数据库，根据用户登录的角色信息找到对应的子库，在该子库中找到对应该用户名的权限表，从中读取用户的权限信息。 0063 步骤306中，应用服务器向该用户提供与其权限相对应的资源和服务。 0064 综上所述，通过将属性证书与身份证书相融合，在身份证书中存入用户的角色信息，并设置一权限数据库，保存不同角色的用户对应的权限信息，在登录系统时，用户使用其身份证书进行身份认证，在认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；系统向该用户提供与其权限相对应的资源和服务。使得在保障系统安全性的前提下，工控系统只需支持一个可靠第三方，使用一张证书即。

28、能完成用户的身份认证和工业领域中繁复的权限的认证。将两张证书合二为一，管理更方便。在权限数据库中保存不同角色下用户的具体权限，其权限信息存储空间更大、信息的保存更完整。 0065 本发明第二实施方式涉及一种工业控制系统中身份与权限的融合认证系统，该系统中每个用户对应至少一个角色，用户的角色信息保存在用户的身份证书中，该系统包含： 0066 权限数据库，用于保存不同角色的用户对应的权限信息；认证模块，用于对用户的身份证书进行身份认证；权限管理模块，用于在认证模块通过认证后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；资源提供模块，用于向用户提供其权。

29、限范围内的资源。 0067 作为上述技术方案的改进，认证模块还可以用于在用户申请身份证书时，对其身份进行验证，验证通过后，将其申请的角色信息存入该用户的身份证书中，将包含角色信息的身份证书颁发给该用户。这里的身份证书为基于X.509标准的身份证书；角色信息保存在该基于X.509标准的身份证书的扩展字段中。 0068 作为上述技术方案的改进，权限控制模块还可以用于：在用户申请身份证书的过说明书CN 102420690 A CN 102420702 A 6/6页 9 程中，认证模块通过对该用户的身份的验证后，为该用户设置其申请的角色对应的权限；或者，在身份证书第一次使用时，根据该身份。

30、证书中的角色信息，为该用户设置该角色对应的权限；并且，将用户名、角色和对应的权限保存到权限数据库。上述角色可以包括：安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客等。 0069 作为上述技术方案的改进，权限数据库中每个角色可以对应一个子库，权限控制模块通过以下方式将用户名、角色和对应的权限保存到权限数据库中：在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。 0070 虽然通过参照本发明的某些优选实施方式，已经对本发明进行了图示和描述，但本领域的普通技术人员应该明白，可以在形式上和细节上对其作各种改变，而不偏离本发明的精神和范围。说明书CN 102420690 A CN 102420702 A 1/3页 10 图1 说明书附图CN 102420690 A CN 102420702 A 2/3页 11 图2 说明书附图CN 102420690 A CN 102420702 A 3/3页 12 图3 说明书附图CN 102420690 A 。

摘要
申请专利号：	CN201010295939.7	申请日：	2010.09.28
公开号：	CN102420690A	公开日：	2012.04.18
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 9/32申请日:20100928\|\|\|公开
IPC分类号：	H04L9/32; H04L29/06	主分类号：	H04L9/32
申请人：	上海可鲁系统软件有限公司
发明人：	王磊; 梁俊
地址：	201204 上海市张江高科技园区毕升路299弄9号
优先权：
专利代理机构：		代理人：
PDF完整版下载：	PDF下载

内容摘要

本发明公开了一种工业控制系统中身份与权限的融合认证方法及系统，通过将属性证书与身份证书相融合，在身份证书中存入用户的角色信息，并设置一权限数据库，保存不同角色的用户对应的权限信息，在用户登录系统时，先对其身份进行认证，在认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；系统向该用户提供与其权限相对应的资源。从而在保障系统安全等级的情况下，使得工控系统只需支持一个可靠第三方，使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。将两张证书合二为一，管理更方便。在权限数据库中保存不同角色下用户的具体权限，其权限信息存储空间更大、信息的保存更完整。

权利要求书

1：一种工业控制系统中身份与权限的融合认证方法，其特征在于，包含以下步骤：将用户的角色信息存入用户的身份证书中，每个用户对应至少一个角色；将用户在对应角色下的权限保存在一权限数据库中；在用户获取资源前，对其身份证书进行认证，认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；向所述用户提供其权限范围内的资源。2：根据权利要求 1 所述的工业控制系统中身份与权限的融合认证方法，其特征在于，在所述用户申请身份证书时，对其身份进行验证，在验证通过后，将其申请的角色信息存入该用户的身份证书中，将所述包含角色信息的身份证书颁发给该用户。3：根据权利要求 2 所述的工业控制系统中身份与权限的融合认证方法，其特征在于，所述身份证书为基于 X.509 标准的数字证书；所述角色信息保存在该基于 X.509 标准的数字证书的扩展字段中。4：根据权利要求 2 所述的工业控制系统中身份与权限的融合认证方法，其特征在于，还包含以下步骤：在用户申请身份证书过程中，通过身份验证后，为该用户设置其申请的角色对应的权限；或者在用户第一次使用所述身份证书时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限；将用户名、角色和对应的权限保存到所述权限数据库。5：根据权利要求 4 所述的工业控制系统中身份与权限的融合认证方法，其特征在于，所述权限数据库中每个角色对应一个子库，所述将用户名、角色和对应的权限保存到权限数据库的步骤中，还包含以下子步骤：在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。6：根据权利要求 5 所述的工业控制系统中身份与权限的融合认证方法，其特征在于，所述角色至少包括以下之一：安全管理员、系统工程师、配置工程师、操作员、 VIP 用户、访客。7：一种工业控制系统中身份与权限的融合认证系统，其特征在于，每个用户对应至少一个角色，所述用户的角色信息保存在用户的身份证书中，该系统包含：权限数据库，用于保存不同角色的用户对应的权限信息；认证模块，用于对用户的身份证书进行身份认证；权限管理模块，用于在认证模块通过认证后，根据身份证书中的用户名信息和角色信息关联所述权限数据库，从中提取用户的权限信息；资源提供模块，用于向所述用户提供其权限范围内的资源。8：根据权利要求 7 所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述认证模块还用于在用户申请身份证书时，对其身份进行验证，验证通过后，将其申请的角色信息存入该用户的身份证书中，将所述包含角色信息的身份证书颁发给该用户。9：根据权利要求 8 所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述身份证书为基于 X.509 标准的身份证书； 2 所述角色信息保存在该基于 X.509 标准的身份证书的扩展字段中。10：根据权利要求 8 所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述权限控制模块还用于：在用户申请身份证书的过程中，所述认证模块通过对该用户的身份的验证后，为该用户设置其申请的角色对应的权限；或者，在所述身份证书第一次使用时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限；并将用户名、角色和对应的权限保存到所述权限数据库。11：根据权利要求 10 所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述权限数据库中每个角色对应一个子库，所述权限控制模块通过以下方式将用户名、角色和对应的权限保存到权限数据库中：在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。12：根据权利要求 11 所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述角色至少包括以下之一：安全管理员、系统工程师、配置工程师、操作员、 VIP 用户、访客。

说明书

一种工业控制系统中身份与权限的融合认证方法及系统
    【技术领域】
     本发明涉及一种身份和权限的认证技术背景技术为了提供公用网络用户目录信息服务，国际电信联盟 (International Telecommunications Union，简称 “ITU” ) 于 1988 年制定了 X.500 目录访问协议 (Directory Access Protocol，简称 “DAP” ) 系列标准。其中 X.500 和 X.509( 公钥基础设施 ) 是安全认证系统的核心， X.500 定义了一种区别命名规则，以命名树来确保用户名称的唯一性； X.509 则为 X.500 用户名称提供了通信实体鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口， X.509 称之为证书。
     X.509 给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥：一把是用户的专用密钥 ( 私钥 )，另一把是其他用户都可得到和利用的公共密钥 ( 公钥 )。用户可用常规加密算法为信息加密，如数据加密标准算法 (Data Encryption Standard，简称 “DES” )，然后再用接收者的公钥对 DES 算法进行加密并将之附于信息之上，这样接收者可用对应的私钥打开 DES 密锁，并对信息解密。该鉴别框架允许用户将其公钥存放在证书认证中心 (Certificate Authority，简称 “CA” ) 的目录项中。一个用户如果想与另一个用户交换秘密信息，就可以直接从对方的目录项中获得相应的公钥，用于各种安全服务。
     本质上， X.509 证书由用户公共密钥与用户标识符组成，此外还包括版本号、证书序列号、 CA 标识符、签名算法标识、签发者名称、证书有效期等。用户可通过安全可靠的方式向 CA 提供其公钥以获得证书，这样用户就可公开其证书，而任何需要此用户的公钥者都能得到此证书，并通过 CA 检验密钥是否正确。
     为了进行身份认证， X.509 标准及公共密钥加密系统提供了一个称作数字签名的方案。用户可生成一段信息及其摘要 ( 亦称作信息 “指纹” )。用户用专用密钥对摘要加密以形成签名，接收者用发送者的公共密钥对签名解密，并将之与收到的信息 “指纹” 进行比较，以确定其真实性。
     在过去的几年里， Internet 上使用的一律是上述基于 X.509 的身份证书 ( 即公钥证书 )。为了解决利用公钥证书实现权限认证时存在的不足， 1997 年， ISO 在 X.509V3 规范中引入了属性证书的概念，其定义为：由属性权威 (Attribute Authority，简称 “AA” ) 签发的将实体与其共享有的权利属性绑定在一起的数据结构。该证书不含用户的公钥，只包含用户的一些基本性质，如所用户标示符、公钥证书序列号、权限信息等，可以有效地标识一个用户能够做什么，因此属性证书主要用于授权管理。
     属性证书是一种轻量级的数字证书，使用时必须和公钥证书结合使用。属性证书的有效期比较短，到了有效截止时间，证书将会失效。
     属性证书的使用方式主要有两种：一是 “推” 模式，此方式是将属性证书发到用户手中，用户访问系统时将公钥证书和属性证书一起提交给系统，供系统认证；二是 “拉” 模
     式，此方式是将用户属性证书统一存放在系统服务器端，用户访问时只需要提交公钥证书，服务器将根据用户公钥证书序列号查找对应的属性证书来认证。
     用户对应某一安全域的公钥证书只能有一个，由系统的证书权威 CA 下发，用户的属性证书可以有很多个，可以由不同的属性权威 AA 下发。属性证书颁发机构和数字证书颁发机构通常是两个分离的机构。属性信息在身份证书的生命周期内的任何时刻都可能被签名和撤销，但通常身份证书的存在时间较长，甚至可能几年，而属性证书的生命期相对较短。
     然而在工业领域中，用户对应的角色是有限的，而每个角色的用户所对应的权限也是相对固定的，如果权限变化了，通常其身份也要发生变化，因此并不适用现有的身份证书和属性证书，采用现有技术的身份证书和属性证书使得工业控制系统必须要同时支持两个可靠第三方 (CA 和 AA)，并需要管理多重证书，使用和管理更不方便。
     并且，工业领域中所涉及的设备品种多且数量大，用户的权限种类十分繁复，以操作员为例，不同的操作员可能对不同的设备有不同的操作权限，采用现有的属性证书的方式进行权限的认证，不能很好罗列所有权限，且在确认其权限时较为不便。发明内容
     本发明主要解决的技术问题是提供一种工业控制系统中身份与权限的融合认证方法及系统，使得工控系统只需支持一个可靠第三方，使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。
     为了解决上述技术问题，本发明提供了一种工业控制系统中身份与权限的融合认证方法，包含以下步骤：
     将用户的角色信息存入用户的身份证书中，每个用户对应至少一个角色；
     将用户在对应角色下的权限保存在一权限数据库中；
     在用户获取资源前，对其身份证书进行认证，认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；
     向所述用户提供其权限范围内的资源。
     作为上述技术方案的改进，在所述用户申请身份证书时，对其身份进行验证，在验证通过后，将其申请的角色信息存入该用户的身份证书中，将所述包含角色信息的身份证书颁发给该用户。
     作为上述技术方案的改进，所述身份证书为基于 X.509 标准的数字证书；
     所述角色信息保存在该基于 X.509 标准的数字证书的扩展字段中。
     作为上述技术方案的改进，该方法还可以包含以下步骤：
     在用户申请身份证书过程中，通过身份验证后，为该用户设置其申请的角色对应的权限；或者
     在用户第一次使用所述身份证书时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限；
     将用户名、角色和对应的权限保存到所述权限数据库。
     作为上述技术方案的改进，所述权限数据库中每个角色对应一个子库，所述将用户名、角色和对应的权限保存到权限数据库的步骤中，还包含以下子步骤：在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。
     所述角色至少包括以下之一：
     安全管理员、系统工程师、配置工程师、操作员、 VIP 用户、访客。
     本发明还提供了一种工业控制系统中身份与权限的融合认证系统，系统中每个用户对应至少一个角色，所述用户的角色信息保存在用户的身份证书中，该系统包含：
     权限数据库，用于保存不同角色的用户对应的权限信息；
     认证模块，用于对用户的身份证书进行身份认证；
     权限管理模块，用于在认证模块通过认证后，根据身份证书中的用户名信息和角色信息关联所述权限数据库，从中提取用户的权限信息；
     资源提供模块，用于向所述用户提供其权限范围内的资源。
     作为上述技术方案的改进，所述认证模块还可以用于在用户申请身份证书时，对其身份进行验证，验证通过后，将其申请的角色信息存入该用户的身份证书中，将所述包含角色信息的身份证书颁发给该用户。
     作为上述技术方案的改进，所述身份证书为基于 X.509 标准的身份证书；所述角色信息保存在该基于 X.509 标准的身份证书的扩展字段中。
     作为上述技术方案的改进，所述权限控制模块还可以用于：在用户申请身份证书的过程中，所述认证模块通过对该用户的身份的验证后，为该用户设置其申请的角色对应的权限；或者，在所述身份证书第一次使用时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限；
     并将用户名、角色和对应的权限保存到所述权限数据库。
     作为上述技术方案的改进，所述权限数据库中每个角色对应一个子库，所述权限控制模块通过以下方式将用户名、角色和对应的权限保存到权限数据库中：
     在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。
     作为上述技术方案的改进，所述角色至少包括以下之一：
     安全管理员、系统工程师、配置工程师、操作员、 VIP 用户、访客。
     本发明实施方式与现有技术相比，主要区别及其效果在于：将属性证书与身份证书相融合，在身份证书中存入用户的角色信息，并设置一权限数据库，保存不同角色的用户对应的权限信息，在登录系统时，用户使用其身份证书进行身份认证，在认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；系统向该用户提供与其权限相对应的资源。从而确保工控系统只需支持一个可靠第三方，使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。将两张证书合二为一，管理更方便。在权限数据库中保存不同角色下用户的具体权限，权限信息存储空间更大、信息的保存更完整。
     附图说明
     下面结合附图和具体实施方式对本发明作进一步详细说明。图 1 是本发明第一实施方式中申请身份证书及设置权限的流程图；图 2 是 X.509 身份证书结构示意图；图 3 是本发明第一实施方式工业控制系统中身份与权限的融合认证方法流程图。具体实施方式
     为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施方式作进一步地详细描述。
     本发明第一实施方式涉及一种工业控制系统中身份与权限的融合认证方法。本实施方式中，将 CA 与 AA 相融合构成一个认证中心，将密钥管理机构 (PKI) 和权限控制机构 (PMI) 融合在一起，构成一密钥和权限控制机构，并在该机构中设置一权限数据库，保存不同角色的用户对应的权限信息。
     本实施方式中，用户向管理员发起申请身份证书的请求，由管理员通过客户端为该用户申请身份证书并设置相应权限。具体申请身份证书及设置权限的流程如图 1 所示，管理员通过客户端向认证中心申请 X.509 身份证书，其请求中包含所申请的角色信息和权限信息，认证中心按照现有技术对用户进行身份验证，在验证通过后将其申请的角色信息和权限信息发送到密钥和权限控制机构，由密钥和权限控制机构为该用户设置其角色所对应的权限，并将设置后的用户名、角色和对应的权限保存到权限数据库，之后认证中心为该用户分配身份证书，并将其角色信息写入 X.509 身份证书中的扩展字段中，如图 2 所示。需要说明的是，用户的权限设置可以在为其申请身份证书时设置，也可以在用户初次使用该身份证书时，根据该身份证书中的角色信息，为其设置权限，所设置的权限为用户角色所对应范围内的权限，并将设置后的用户名、角色和对应的权限保存到权限数据库。
     本实施方式中，角色的类型为已定的，每个角色的权限范围也是既定的，一般情况下，角色分为安全管理员、系统工程师、配置工程师、操作员、 VIP 用户、访客等，安全管理员角色的权限范围为创建用户和签发证书等相关权限，配置工程师的权限范围为配置工程相关权限，操作员的权限范围为操作控制等权限。用户的权限范围与其角色相关。假设该用户为操作员，则在操作员对应的权限范围内，为该用户设置其权限。之后将设置后的用户名、角色和对应的权限保存到权限数据库。
     具体实施时，在该权限数据库中每个角色分别对应一个子库，如表 1 所示，在用户对应角色下权限确定后，在该角色对应的子库中创建与该用户名对应 ( 可以是同名 ) 的权限表，在该权限表中保存该用户在该角色下的具体权限信息。
     表1以操作员 aaa 为例，在操作员子库中创建名称为 aaa 的权限表，在表中设置该操作员的操作 ID、可操作的设备 ID 和具体的操作权限，如表 2 所示。设备 ID 7859 7125 5842 操作权限 ID 255 255 255表2
     具体的认证流程如图 3 所示，在步骤 301 中，用户使用其身份证书在客户端进行登录，客户端将用户的用户名、密码以及身份证书相关信息发送到密钥和权限控制机构。
     步骤 302 中，密钥和权限控制机构将认证信息发送到认证中心。
     步骤 303 中，认证中心按照现有技术对其身份证书进行认证，并向密钥和权限控制机构返回认证结果。如果认证未通过，则进入步骤 304，密钥和权限控制机构向客户端反馈认证失败，拒绝登陆的信息；如果步骤 303 中认证通过，则进入步骤 305。
     步骤 305 中，密钥和权限控制机构关联权限数据库，根据用户登录的角色信息找到对应的子库，在该子库中找到对应该用户名的权限表，从中读取用户的权限信息。
     步骤 306 中，应用服务器向该用户提供与其权限相对应的资源和服务。
     综上所述，通过将属性证书与身份证书相融合，在身份证书中存入用户的角色信息，并设置一权限数据库，保存不同角色的用户对应的权限信息，在登录系统时，用户使用其身份证书进行身份认证，在认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；系统向该用户提供与其权限相对应的资源和服务。使得在保障系统安全性的前提下，工控系统只需支持一个可靠第三方，使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。将两张证书合二为一，管理更方便。在权限数据库中保存不同角色下用户的具体权限，其权限信息存储空间更大、信息的保存更完整。
     本发明第二实施方式涉及一种工业控制系统中身份与权限的融合认证系统，该系统中每个用户对应至少一个角色，用户的角色信息保存在用户的身份证书中，该系统包含：
     权限数据库，用于保存不同角色的用户对应的权限信息；认证模块，用于对用户的身份证书进行身份认证；权限管理模块，用于在认证模块通过认证后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；资源提供模块，用于向用户提供其权限范围内的资源。
     作为上述技术方案的改进，认证模块还可以用于在用户申请身份证书时，对其身份进行验证，验证通过后，将其申请的角色信息存入该用户的身份证书中，将包含角色信息的身份证书颁发给该用户。这里的身份证书为基于 X.509 标准的身份证书；角色信息保存在该基于 X.509 标准的身份证书的扩展字段中。
     作为上述技术方案的改进，权限控制模块还可以用于：在用户申请身份证书的过程中，认证模块通过对该用户的身份的验证后，为该用户设置其申请的角色对应的权限；或者，在身份证书第一次使用时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限；并且，将用户名、角色和对应的权限保存到权限数据库。上述角色可以包括：安全管理员、系统工程师、配置工程师、操作员、 VIP 用户、访客等。
     作为上述技术方案的改进，权限数据库中每个角色可以对应一个子库，权限控制模块通过以下方式将用户名、角色和对应的权限保存到权限数据库中：在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。
     虽然通过参照本发明的某些优选实施方式，已经对本发明进行了图示和描述，但本领域的普通技术人员应该明白，可以在形式上和细节上对其作各种改变，而不偏离本发明的精神和范围。