[发明专利]一种工业控制系统中身份与权限的融合认证方法及系统

说明书

技术领域

本发明涉及一种身份和权限的认证技术

背景技术

为了提供公用网络用户目录信息服务，国际电信联盟(International Telecommunications Union，简称“ITU”)于1988年制定了X.500目录访问协议(Directory Access Protocol，简称“DAP”)系列标准。其中X.500和X.509(公钥基础设施)是安全认证系统的核心，X.500定义了一种区别命名规则，以命名树来确保用户名称的唯一性；X.509则为X.500用户名称提供了通信实体鉴别机制，并规定了实体鉴别过程中广泛适用的证书语法和数据接口，X.509称之为证书。

X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥：一把是用户的专用密钥(私钥)，另一把是其他用户都可得到和利用的公共密钥(公钥)。用户可用常规加密算法为信息加密，如数据加密标准算法(Data Encryption Standard，简称“DES”)，然后再用接收者的公钥对DES算法进行加密并将之附于信息之上，这样接收者可用对应的私钥打开DES密锁，并对信息解密。该鉴别框架允许用户将其公钥存放在证书认证中心(Certificate Authority，简称“CA”)的目录项中。一个用户如果想与另一个用户交换秘密信息，就可以直接从对方的目录项中获得相应的公钥，用于各种安全服务。

本质上，X.509证书由用户公共密钥与用户标识符组成，此外还包括版本号、证书序列号、CA标识符、签名算法标识、签发者名称、证书有效期等。用户可通过安全可靠的方式向CA提供其公钥以获得证书，这样用户就可公开其证书，而任何需要此用户的公钥者都能得到此证书，并通过CA检验密钥是否正确。

为了进行身份认证，X.509标准及公共密钥加密系统提供了一个称作数字签名的方案。用户可生成一段信息及其摘要(亦称作信息“指纹”)。用户用专用密钥对摘要加密以形成签名，接收者用发送者的公共密钥对签名解密，并将之与收到的信息“指纹”进行比较，以确定其真实性。

在过去的几年里，Internet上使用的一律是上述基于X.509的身份证书(即公钥证书)。为了解决利用公钥证书实现权限认证时存在的不足，1997年，ISO在X.509V3规范中引入了属性证书的概念，其定义为：由属性权威(Attribute Authority，简称“AA”)签发的将实体与其共享有的权利属性绑定在一起的数据结构。该证书不含用户的公钥，只包含用户的一些基本性质，如所用户标示符、公钥证书序列号、权限信息等，可以有效地标识一个用户能够做什么，因此属性证书主要用于授权管理。

属性证书是一种轻量级的数字证书，使用时必须和公钥证书结合使用。属性证书的有效期比较短，到了有效截止时间，证书将会失效。

属性证书的使用方式主要有两种：一是“推”模式，此方式是将属性证书发到用户手中，用户访问系统时将公钥证书和属性证书一起提交给系统，供系统认证；二是“拉”模式，此方式是将用户属性证书统一存放在系统服务器端，用户访问时只需要提交公钥证书，服务器将根据用户公钥证书序列号查找对应的属性证书来认证。

用户对应某一安全域的公钥证书只能有一个，由系统的证书权威CA下发，用户的属性证书可以有很多个，可以由不同的属性权威AA下发。属性证书颁发机构和数字证书颁发机构通常是两个分离的机构。属性信息在身份证书的生命周期内的任何时刻都可能被签名和撤销，但通常身份证书的存在时间较长，甚至可能几年，而属性证书的生命期相对较短。

然而在工业领域中，用户对应的角色是有限的，而每个角色的用户所对应的权限也是相对固定的，如果权限变化了，通常其身份也要发生变化，因此并不适用现有的身份证书和属性证书，采用现有技术的身份证书和属性证书使得工业控制系统必须要同时支持两个可靠第三方(CA和AA)，并需要管理多重证书，使用和管理更不方便。

并且，工业领域中所涉及的设备品种多且数量大，用户的权限种类十分繁复，以操作员为例，不同的操作员可能对不同的设备有不同的操作权限，采用现有的属性证书的方式进行权限的认证，不能很好罗列所有权限，且在确认其权限时较为不便。

发明内容

本发明主要解决的技术问题是提供一种工业控制系统中身份与权限的融合认证方法及系统，使得工控系统只需支持一个可靠第三方，使用一张证书即能完成用户的身份认证和工业领域中繁复的权限的认证。

为了解决上述技术问题，本发明提供了一种工业控制系统中身份与权限的融合认证方法，包含以下步骤：