專利名稱:Methods and systems for user authorization的制作方法
技術領域:
一般來說,本文所述的方法和系統(tǒng)涉及自動化和/或制造系統(tǒng)�,更具體來說,涉及 簡化用戶認證和授權的系統(tǒng)配置�。
背景技術:
至少某些已知分布式自動化和/或制造系統(tǒng)包括要求不同訪問和控制等級的大 量資源。系統(tǒng)管理員可能花費大量時間來配置和維護授權系統(tǒng)配置����,從而使管理員沒空從 事其它系統(tǒng)相關任務��。備選地����,管理員可簡單地完全禁用授權系統(tǒng)或者向廣泛的用戶集合 授予覆蓋范圍廣的權限,從而使系統(tǒng)不太安全�。至少某些已知授權系統(tǒng)使用用戶和角色的概念,其中向各用戶分配包括某種等級 的訪問和控制特權的角色����。在沒有為不同系統(tǒng)資源建立不同角色的機制的情況下,對這種 系統(tǒng)的配置可能迅速變得麻煩���。減小這個問題的一種方式是定義大量特定角色����,并且相應 地設置操作特權。但是���,所需角色的數(shù)量隨著新資源的添加而線性擴大���。
發(fā)明內容
一方面,提供一種用于控制對系統(tǒng)的訪問的方法��。該方法包括創(chuàng)建包含多個特權 的角色樹����,創(chuàng)建包含多個資源的資源樹,向用戶分配至少一個資源的至少一個角色��,以及根 據(jù)用戶角色分配�、用戶資源分配和用戶用于請求服務訪問的裝置的位置中至少之一來評估 用戶對所請求服務訪問的多個特權。另一方面���,提供一種用于授權對系統(tǒng)的用戶訪問的方法�����。該方法包括將用戶分配 到至少一個資源的至少一個角色����,所述至少一個角色從角色樹選取,并且所述至少一個資 源從資源樹選?��?����;確定用戶的角色分配�����、用戶的資源分配和用戶位置;以及針對所請求資 源的所請求服務的所需角色和所需特權中至少之一來評估用戶的角色分配�、用戶的資源分 配和用戶位置。另一方面���,一種基于角色與資源的授權和認證系統(tǒng)包括至少一個用戶裝置以及 通信上耦合到所述至少一個用戶裝置的至少一個服務器�。所述至少一個服務器包括角色樹 和資源樹���,并且配置成存儲用戶的特權集合�,該特權集合基于到至少一個資源的至少一個 角色的用戶分配�;將用戶的特權集合和用戶位置與訪問所請求資源的所請求服務所需的所 需特權集合和位置進行比較;以及根據(jù)比較來授予和拒絕對所請求資源的所請求服務的訪 問中擇一��。
圖1-5示出本文所述的系統(tǒng)和方法的示范實施例。圖1-5所示并且結合圖1-5所 述的系統(tǒng)和方法只是示范性的���。圖1是示范授權系統(tǒng)的示意圖�;圖2是可與圖1所示的授權系統(tǒng)配合使用的示范角色樹的簡圖3是可與圖1所示的授權系統(tǒng)配合使用的示范資源樹的簡圖����;圖4是示出圖1所示授權系統(tǒng)中的角色和資源之間的關系的簡圖;以及圖5是示出使用圖1所示的授權系統(tǒng)來控制訪問的示范方法的流程圖���。
具體實施例方式所述實施例的技術效果是提供用于控制對配置成執(zhí)行基本服務的自動化系統(tǒng)的 訪問的系統(tǒng)和方法���。在示范實施例中,該系統(tǒng)包括資源目錄�����。資源提供商包括自動化系統(tǒng) 中包含的機器以及用于支持機器的編程服務��。系統(tǒng)根據(jù)共同可編程性鏈接資源�����,并且集成 資源以執(zhí)行自動化系統(tǒng)的基本服務��。本文所使用的術語“角色”描述對所定義的對象集合執(zhí)行所定義的操作集合中任 一個的許可。角色可通過人的集合��、例如組(group)來假定����,以便允許他們對例如資源的對 象的集合進行操作。一般來說�,對象可通過一種以上方式進行分類,并且人可假定一個以上 角色�,并且可以是多于一組中的成員。本文所使用的術語“授權指定”是人�、對象和操作的三維矩陣。如果值{x����,y�,z}為 真,則人X可將操作Z應用于對象y��。類似地�,本文所使用的術語“授權矩陣”可表達為{X, Y��,Z}�,它包括組集合X�����、資源分類集合Y和角色集合Z���。在典型組織中4<<13<<7且 Z << ζ。圖1是示范授權系統(tǒng)100的示意圖���。系統(tǒng)可在許多不同平臺上實現(xiàn)�,并且可使用 許多不同的體系結構��。圖1所示的體系結構只是示范性的����。在示范實施例中,系統(tǒng)100包 括至少一個客戶端102��、至少一個服務器104和至少一個資源106����。系統(tǒng)100通過網絡108 互連。在一個實施例中��,網絡108是廣域網(WAN)�����,例如因特網。在備選實施例中�����,網絡108 是局域網(LAN)��,例如內聯(lián)網�。網絡108包括連接上述系統(tǒng)100中的要素的物理介質和中間 裝置(未示出)、如路由器和交換機���?�?蛻舳?02經由網絡接口 110在通信上連接到網絡108��。用戶訪問�����、例如撥號到或 者直接登錄到內聯(lián)網或因特網,以獲得對系統(tǒng)100的訪問�。客戶端102可通過許多接口連 接到網絡108����,所述接口包括不同的網絡(未示出)�,例如WAN或LAN���、撥號連接�、電纜調制 解調器�����、無線網絡和專用高速ISDN線�。客戶端102是能夠與網絡108互連的任何裝置���,包 括基于萬維網的電話或者其它基于萬維網的可連接設備��??蛻舳?02可以是僅運行操作系 統(tǒng)以及用于訪問系統(tǒng)100并且與其通信的應用的獨立客戶端����,例如瘦(thin)客戶端。備選 地����,客戶端102可作為安裝于個人計算機(PC)的應用進行操作��,并且可與其它程序類似地 和/或并發(fā)地運行��?����?蛻舳?02還包括電連接到系統(tǒng)總線(未示出)的系統(tǒng)存儲器112���, 并且在一個實施例中包括操作系統(tǒng)以及面向用戶的程序和數(shù)據(jù)。在示范實施例中�����,客戶端 102還包括用戶交互裝置�����,例如顯示器114���、鍵盤116和/或鼠標118�����。服務器104也經由網絡接口 120在通信上耦合到網絡108�。服務器104包括電連 接到系統(tǒng)總線(未示出)的系統(tǒng)存儲器122�,并且在一個實施例中包括操作系統(tǒng)。在示范實 施例中����,存儲器122包括含有授權矩陣和資源目錄的數(shù)據(jù)庫124。更具體來說�,數(shù)據(jù)庫124 包括系統(tǒng)100的所有人、對象和操作����。在示范實施例中,服務器104還包括至少一個處理 器126����。此外,在示范實施例中��,服務器104是輕型目錄訪問協(xié)議(Lighweight Directory Access Protocol :LDAP)月艮務器�。
圖2是可與系統(tǒng)100(圖1所示)配合使用的示范角色樹200的簡圖。在示范實 施例中�,將系統(tǒng)100的各用戶或用戶組分配到一個或多個角色202。備選地�,用戶由于屬于 組而可被分配到角色202��,并且可被分配到與同一組中其余用戶分離的不同角色202���。在一 個實施例中,用戶組使用Microsoft Windows域組來組織�����。備選地�,可使用使系統(tǒng)100能夠 按照本文所述起作用的任何適當?shù)挠脩艉徒M映射方法。各角色202包括指定特權204的集合��。在一個實施例中�,角色202通過將一個或 多個特權204編組來形成。例如����,設備配置者角色206包括例如訪問、讀���、寫�����、修改和打印的 特權����。在備選實施例中��,角色202包括一組角色202和特權204����。例如,工作流程配置者角 色208包括分配給其子(child)角色的所有特權和附加特權�����。如圖2所示��,因此工作流程 配置者角色208包括分配給設備配置者角色206的所有特權(訪問�����、讀����、寫、修改和打印)�����, 而且還包括沒有授予給設備配置者角色206的附加特權(創(chuàng)建和刪除)。在備選實施例中�, 角色202包括一組多個角色和關聯(lián)特權204。例如����,管理者角色210包括分配給所有子角色 的所有特權。如圖2所示����,因此管理者角色210包括分配給配置者角色、項目配置者角色��、 工作流程配置者角色208和設備配置者角色206的所有特權��。在示范實施例中�����,可向用戶分配沒有向用戶的組和/或角色中其余成員分配的單 個特權204�����。此外��,可根據(jù)單個特權204對用戶進行限制�,即使沒有對該用戶的組和/或角 色中其余成員進行限制�����。圖3是可與系統(tǒng)100(圖1所示)配合使用的示范資源樹300的簡圖��。在示范實 施例中���,資源樹300包括多個資源類型302和多個資源節(jié)點304���。各個資源節(jié)點304可包 括不同的授權要求����。更具體來說��,資源節(jié)點304可要求特定用戶角色202(圖2所示)和/ 或特定特權204 (圖2所示)�,以便訪問資源節(jié)點304。例如�����,單元C資源節(jié)點306要求向用 戶分配線操作員(Line Operator)角色���,以便訪問單元C資源節(jié)點306的開始和停止操作�。 在示范實施例中,資源樹300按照分級方式來組織�����。例如����,具有監(jiān)督員角色和具有訪問特權 的用戶將具有對作為線2資源節(jié)點308之子的任何資源節(jié)點的訪問特權。因此�����,在站點1 具有監(jiān)督員角色的用戶將具有對例如單元C資源節(jié)點306的訪問特權�����。此外���,由于具有監(jiān) 督員角色的用戶也將具有分配給線操作員角色的所有特權����,所以監(jiān)督員角色用戶將具有對 單元C資源節(jié)點306的開始和停止特權��。在示范實施例中,授權上下文表達為對資源節(jié)點304的操作的要求的列表��。例如�, 項目-線1-工作流程-工作流程1的分級結構的授權上下文表達如下。
權利要求
一種用于控制對系統(tǒng)的訪問的方法����,所述方法包括創(chuàng)建包括多個特權的角色樹;創(chuàng)建包括多個資源的資源樹�;向用戶分配至少一個資源的至少一個角色;以及根據(jù)用戶角色分配���、用戶資源分配和所述用戶用于請求服務訪問的裝置的位置中至少之一評估所述用戶對所請求服務訪問的所述多個特權。
2.如權利要求1所述的方法�����,其中���,創(chuàng)建角色樹還包括存儲特權的分級結構���;以及形成包括至少一個特權的角色。
3.如權利要求2所述的方法�,其中,形成角色還包括對所述角色樹中存儲的其它角色 中至少之一和角色與特權的組合進行編組����。
4.如權利要求1所述的方法�,其中�����,創(chuàng)建資源樹還包括存儲所述多個資源的分級結構和多個資源類型��;以及將資源操作分配給與所述操作相關的角色和特權中之一��。
5.如權利要求1所述的方法���,還包括根據(jù)所述用戶所使用的裝置的名稱和定位坐標 集合中至少之一確定所述用戶所使用的裝置的位置����。
6.如權利要求1所述的方法����,其中,評估所述用戶對所請求服務訪問的所述多個特權 還包括將所述用戶的所述多個特權加載到服務器存儲器中��;向服務器傳送訪問服務的安全密鑰和請求��;以及相對于所述所請求資源的所述所請求服務的所需角色和所需特權中至少之一來比較 用戶角色分配和用戶資源分配中至少之一。
7.如權利要求1所述的方法���,還包括將授權方法執(zhí)行路徑注入到所述所請求服務訪 問的方法執(zhí)行路徑���。
8.一種用于授權對系統(tǒng)的用戶訪問的方法,所述方法包括將所述用戶分配到至少一個資源的至少一個角色���,所述至少一個角色從角色樹選取���, 并且所述至少一個資源從資源樹選取��;確定用戶的角色分配���、用戶的資源分配和用戶位置;以及相對于所請求資源的所請求服務的所需角色和所需特權中至少之一來比較所述用戶 的角色分配�����、所述用戶的資源分配和所述用戶位置�。
9.如權利要求8所述的方法,其中����,將所述用戶分配到至少一個資源的至少一個角色 還包括存儲多個特權��;以及通過將至少一個特權編組以形成角色來創(chuàng)建角色樹�。
10.如權利要求9所述的方法�����,其中���,創(chuàng)建角色樹還包括通過對所述角色樹中存儲的其 它角色中至少之一和角色與特權的組合進行編組來創(chuàng)建角色樹���。
11.如權利要求8所述的方法,其中����,將所述用戶分配到至少一個資源的至少一個角色 還包括存儲多個資源和資源類型;以及創(chuàng)建資源樹����。
12.如權利要求8所述的方法,其中���,確定用戶的角色分配���、用戶的資源分配和用戶位 置還包括讀取所述用戶所使用的裝置的物理名稱以及讀取所述用戶所使用的裝置的定位 坐標集合中至少之一���。
13.如權利要求8所述的方法,還包括將授權方法執(zhí)行路徑注入到所述所請求服務的 方法執(zhí)行路徑��。
14.一種基于角色與資源的授權和認證系統(tǒng)��,包括至少一個用戶裝置�;以及通信上耦合到所述至少一個用戶裝置的至少一個服務器,所述至少一個服務器包括角 色樹和資源樹��,所述至少一個服務器配置成存儲用戶的特權集合����,所述特權集合基于到至少一個資源的至少一個角色的用戶分配;將所述用戶的特權集合和用戶位置與訪問所請求資源的所請求服務所需的所需特權 集合和位置進行比較�;以及根據(jù)所述比較授予和拒絕對所述所請求資源的所述所請求服務的訪問中擇一。
15.如權利要求14所述的基于角色與資源的授權和認證系統(tǒng)����,其中���,所述至少一個用 戶裝置還包括物理名稱��,所述至少一個用戶裝置配置成向所述至少一個服務器傳遞所述物 理名稱����。
16.如權利要求14所述的基于角色與資源的授權和認證系統(tǒng),其中����,所述至少一個用 戶裝置還包括GPS模塊,所述至少一個用戶裝置配置成向所述至少一個服務器傳遞GPS坐 標集合�����。
17.如權利要求14所述的基于角色與資源的授權和認證系統(tǒng)���,其中�,所述角色樹還包 括多個特權和多個角色���,所述多個角色的各角色由所述多個特權的特權集合以及所述多個 角色的至少一個其它角色中至少之一來形成����。
18.如權利要求14所述的基于角色與資源的授權和認證系統(tǒng)�,其中,所述資源樹還包 括多個資源和多個資源類型���。
19.如權利要求14所述的基于角色與資源的授權和認證系統(tǒng)��,其中�,所述至少一個服 務器還配置成將授權方法執(zhí)行路徑注入到所述所請求服務的方法執(zhí)行路徑。
20.如權利要求14所述的基于角色與資源的授權和認證系統(tǒng)�����,其中�����,所述至少一個用 戶裝置和所述至少一個服務器配置成使用令牌交換協(xié)議來安全地通信�����,并且其中所述用戶 的所述特權集合被加載到服務器存儲器����,便于減小所述至少一個用戶裝置與所述至少一個 服務器之間的網絡業(yè)務。
全文摘要
文檔編號G06F21/00GK101952830SQ20088011990
公開日2011年1月19日 申請日期2008年7月23日 優(yōu)先權日2007年10月5日
發(fā)明者Elumalai Chandran, Sage Peter, Gendron Robert 申請人:Ge Fanuc Automation Inc