[发明专利]在自动化系统中同意对基于计算机的对象的访问权限的方法、计算机程序和自动化系统

说明书

技术领域

本发明涉及用于在自动化系统中同意对基于计算机的对象的访问权限的方法、计算机程序和自动化系统。

背景技术

由于自动化系统的信息技术的不断上升的重要性，用于相对于无权限的访问保护诸如监控、控制和调节设备、传感器和执行元件的联网系统组件的方法增强地获得重要性。与信息技术的另外的应用领域相比，自动化技术中的数据完整性得到特别高的重要性。尤其是在检测、分析和传送测量和控制数据时，可确保存在完整的和未改变的数据。可避免有意的、无意的或由技术故障决定的改变。此外，从具有较多的、但是相对短的报文（Nachricht）的消息通信业务中产生在自动化技术中对于安全技术方法的特别的要求。除此之外，还可考虑自动化系统及其系统组件的实时能力。

尤其是在基于面向业务的体系结构的自动化系统中，对于那里所提供的业务可应用常常很不同的安全和访问准则。在此可应用不仅关于用户、而且关于动用另外业务的业务的安全和访问准则。因此在这样的应用领域中软件鉴权获得重大的意义。尤其是在此在大量软件模块的快速和有效的识别和访问授权方面存在要求。迄今的解决方案目的在于软件鉴权方法的明确的实现。这具有以下的缺点，可将相应的鉴权方法固定地集成于要么要求访问要保护的资源、要么提供这些要保护的资源的软件模块中。替代的迄今的解决方案规定，将实现鉴权方法的软件模块静态或动态地与要求或提供要保护的资源的软件模块相捆绑（binden）。如果动态地进行捆绑，则存在至少一种通过配置来控制这点的可能性。

发明内容

本发明所基于的任务因此在于，创造一种用于在自动化系统中同意（Einr?umung）对基于计算机的对象的访问权限的快速和有效的方法以及说明一种该方法的合适的技术实现。

根据本发明通过具有权利要求1中所说明的特征的方法、通过具有权利要求13中所说明的特征的计算机程序以及通过具有权利要求14中所说明的特征的自动化系统来解决该任务。在从属权利要求中说明本发明的有利的改进方案。

根据本发明，为了在自动化系统中同意对基于计算机的对象的访问权限，首先对于控制程序确定标识符，并借助分配给自动化系统的控制和监控单元的私人数字密钥对该标识符加密。这可以对于控制程序一次性地进行，并且不需要被重复。优选在面向业务的体系结构之内根据基于计算机的对象来提供第一业务，和根据控制程序提供自动化系统的第二业务。面向业务的或面向服务的体系结构（SOA）目的在于将复杂组识单元中的业务结构化和使之对多个用户可用。在此例如如此来协调数据处理系统的存在的组件、诸如程序、数据库、服务器、或网页，使得将由组件所提供的性能联合成业务和提供给经授权的用户。面向服务的体系结构能够实现应用集成，其方式是将数据处理系统的各个子组件的复杂性藏匿在标准化接口后面。由此又可以简化访问权限调节。

基于计算机的对象例如在不限制该概念的一般性的情况下是操作系统、控制或应用程序，由操作系统、控制或应用程序所提供的业务、性能特征、功能或流程、对外围设备以及位于存储介质上的数据的访问权。功能或流程在此尤其是也包括在自动化系统中访问权限的释放。可将计算机例如理解为PC、笔记本电脑、服务器、PDA、移动电话以及控制和调节模块、在自动化、车辆、通信或医疗技术中的传感器或执行元件（通常地计算机程序运行于其中的设备）。

此外，按照本发明的解决方案，将加密的标识符在向鉴权业务传送时解密，并由鉴权业务验证。鉴权业务在成功的验证时向第二业务传送至少定期有效的令牌。在请求对基于计算机的对象的访问时，通过控制程序向第一业务传送令牌用于检验。在肯定的检验结果时，优选由授权业务对于控制程序同意对基于计算机的对象的访问。可以在由第二业务所发动的业务调用的范围内向鉴权业务传送加密的标识符。以相应的方式可以在由第二业务所发动的业务调用的范围内向第一业务传送令牌。

本发明解决方案提供以下的优点，即可以配置要求或提供资源的软件鉴权方法的软件模块，并且不必固定地集成到相应的软件模块中。因此这样的功能性可以以业务组件的形式来使用，并且能够实现快速、灵活和高效的使用。按照本发明的优选的实施形式，第二业务为此对于每一个由第二业务所包括的控制程序模块分别具有特有的业务组件用于请求模块标识符、用于管理由控制和监控单元所加密的模块标识符或用于管理由鉴权业务从模块标识符中所确定的模块令牌。