[发明专利]用于用户授权的方法和系统

说明书

技术领域

一般来说，本文所述的方法和系统涉及自动化和/或制造系统，更具体来说，涉及简化用户认证和授权的系统配置。

背景技术

至少某些已知分布式自动化和/或制造系统包括要求不同访问和控制等级的大量资源。系统管理员可能花费大量时间来配置和维护授权系统配置，从而使管理员没空从事其它系统相关任务。备选地，管理员可简单地完全禁用授权系统或者向广泛的用户集合授予覆盖范围广的权限，从而使系统不太安全。

至少某些已知授权系统使用用户和角色的概念，其中向各用户分配包括某种等级的访问和控制特权的角色。在没有为不同系统资源建立不同角色的机制的情况下，对这种系统的配置可能迅速变得麻烦。减小这个问题的一种方式是定义大量特定角色，并且相应地设置操作特权。但是，所需角色的数量随着新资源的添加而线性扩大。

发明内容

一方面，提供一种用于控制对系统的访问的方法。该方法包括：创建包含多个特权的角色树，创建包含多个资源的资源树，向用户分配至少一个资源的至少一个角色，以及根据用户角色分配、用户资源分配和用户用于请求服务访问的装置的位置中至少之一来评估用户对所请求服务访问的多个特权。

另一方面，提供一种用于授权对系统的用户访问的方法。该方法包括：将用户分配到至少一个资源的至少一个角色，所述至少一个角色从角色树选取，并且所述至少一个资源从资源树选取；确定用户的角色分配、用户的资源分配和用户位置；以及针对所请求资源的所请求服务的所需角色和所需特权中至少之一来评估用户的角色分配、用户的资源分配和用户位置。

另一方面，一种基于角色与资源的授权和认证系统包括：至少一个用户装置以及通信上耦合到所述至少一个用户装置的至少一个服务器。所述至少一个服务器包括角色树和资源树，并且配置成：存储用户的特权集合，该特权集合基于到至少一个资源的至少一个角色的用户分配；将用户的特权集合和用户位置与访问所请求资源的所请求服务所需的所需特权集合和位置进行比较；以及根据比较来授予和拒绝对所请求资源的所请求服务的访问中择一。

附图说明

图1-5示出本文所述的系统和方法的示范实施例。图1-5所示并且结合图1-5所述的系统和方法只是示范性的。

图1是示范授权系统的示意图；

图2是可与图1所示的授权系统配合使用的示范角色树的简图；

图3是可与图1所示的授权系统配合使用的示范资源树的简图；

图4是示出图1所示授权系统中的角色和资源之间的关系的简图；以及

图5是示出使用图1所示的授权系统来控制访问的示范方法的流程图。

具体实施方式

所述实施例的技术效果是提供用于控制对配置成执行基本服务的自动化系统的访问的系统和方法。在示范实施例中，该系统包括资源目录。资源提供商包括自动化系统中包含的机器以及用于支持机器的编程服务。系统根据共同可编程性链接资源，并且集成资源以执行自动化系统的基本服务。

本文所使用的术语“角色”描述对所定义的对象集合执行所定义的操作集合中任一个的许可。角色可通过人的集合、例如组(group)来假定，以便允许他们对例如资源的对象的集合进行操作。一般来说，对象可通过一种以上方式进行分类，并且人可假定一个以上角色，并且可以是多于一组中的成员。

本文所使用的术语“授权指定”是人、对象和操作的三维矩阵。如果值{x，y，z}为真，则人x可将操作z应用于对象y。类似地，本文所使用的术语“授权矩阵”可表达为{X，Y，Z}，它包括组集合X、资源分类集合Y和角色集合Z。在典型组织中，X＜＜x、Y＜＜y且Z＜＜z。

图1是示范授权系统100的示意图。系统可在许多不同平台上实现，并且可使用许多不同的体系结构。图1所示的体系结构只是示范性的。在示范实施例中，系统100包括至少一个客户端102、至少一个服务器104和至少一个资源106。系统100通过网络108互连。在一个实施例中，网络108是广域网(WAN)，例如因特网。在备选实施例中，网络108是局域网(LAN)，例如内联网。网络108包括连接上述系统100中的要素的物理介质和中间装置(未示出)、如路由器和交换机。