[发明专利]一种工业控制系统中身份与权限的融合认证方法及系统

权利要求书

1.一种工业控制系统中身份与权限的融合认证方法，其特征在于，包含以下步骤：

将用户的角色信息存入用户的身份证书中，每个用户对应至少一个角色；

将用户在对应角色下的权限保存在一权限数据库中；

在用户获取资源前，对其身份证书进行认证，认证通过后，根据身份证书中的用户名信息和角色信息关联权限数据库，从中提取用户的权限信息；

向所述用户提供其权限范围内的资源。

2.根据权利要求1所述的工业控制系统中身份与权限的融合认证方法，其特征在于，在所述用户申请身份证书时，对其身份进行验证，在验证通过后，将其申请的角色信息存入该用户的身份证书中，将所述包含角色信息的身份证书颁发给该用户。

3.根据权利要求2所述的工业控制系统中身份与权限的融合认证方法，其特征在于，所述身份证书为基于X.509标准的数字证书；

所述角色信息保存在该基于X.509标准的数字证书的扩展字段中。

4.根据权利要求2所述的工业控制系统中身份与权限的融合认证方法，其特征在于，还包含以下步骤：

在用户申请身份证书过程中，通过身份验证后，为该用户设置其申请的角色对应的权限；或者

在用户第一次使用所述身份证书时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限；

将用户名、角色和对应的权限保存到所述权限数据库。

5.根据权利要求4所述的工业控制系统中身份与权限的融合认证方法，其特征在于，所述权限数据库中每个角色对应一个子库，所述将用户名、角色和对应的权限保存到权限数据库的步骤中，还包含以下子步骤：

在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。

6.根据权利要求5所述的工业控制系统中身份与权限的融合认证方法，其特征在于，所述角色至少包括以下之一：

安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客。

7.一种工业控制系统中身份与权限的融合认证系统，其特征在于，每个用户对应至少一个角色，所述用户的角色信息保存在用户的身份证书中，该系统包含：

权限数据库，用于保存不同角色的用户对应的权限信息；

认证模块，用于对用户的身份证书进行身份认证；

权限管理模块，用于在认证模块通过认证后，根据身份证书中的用户名信息和角色信息关联所述权限数据库，从中提取用户的权限信息；

资源提供模块，用于向所述用户提供其权限范围内的资源。

8.根据权利要求7所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述认证模块还用于在用户申请身份证书时，对其身份进行验证，验证通过后，将其申请的角色信息存入该用户的身份证书中，将所述包含角色信息的身份证书颁发给该用户。

9.根据权利要求8所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述身份证书为基于X.509标准的身份证书；

所述角色信息保存在该基于X.509标准的身份证书的扩展字段中。

10.根据权利要求8所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述权限控制模块还用于：在用户申请身份证书的过程中，所述认证模块通过对该用户的身份的验证后，为该用户设置其申请的角色对应的权限；或者，在所述身份证书第一次使用时，根据该身份证书中的角色信息，为该用户设置该角色对应的权限；

并将用户名、角色和对应的权限保存到所述权限数据库。

11.根据权利要求10所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述权限数据库中每个角色对应一个子库，所述权限控制模块通过以下方式将用户名、角色和对应的权限保存到权限数据库中：

在该角色对应的子库中创建与该用户名对应的权限表，在该权限表中保存该用户在该角色下的具体权限信息。

12.根据权利要求11所述的工业控制系统中身份与权限的融合认证系统，其特征在于，所述角色至少包括以下之一：

安全管理员、系统工程师、配置工程师、操作员、VIP用户、访客。