技術領域

本發明涉及一種身份和權限的認證技術

背景技術

為了提供公用網絡用戶目錄信息服務，國際電信聯盟(International?Telecommunications?Union，簡稱“ITU”)于1988年制定了X.500目錄訪問協議(Directory?Access?Protocol，簡稱“DAP”)系列標準。其中X.500和X.509(公鑰基礎設施)是安全認證系統的核心，X.500定義了一種區別命名規則，以命名樹來確保用戶名稱的唯一性；X.509則為X.500用戶名稱提供了通信實體鑒別機制，并規定了實體鑒別過程中廣泛適用的證書語法和數據接口，X.509稱之為證書。

X.509給出的鑒別框架是一種基于公開密鑰體制的鑒別業務密鑰管理。一個用戶有兩把密鑰：一把是用戶的專用密鑰(私鑰)，另一把是其他用戶都可得到和利用的公共密鑰(公鑰)。用戶可用常規加密算法為信息加密，如數據加密標準算法(Data?Encryption?Standard，簡稱“DES”)，然后再用接收者的公鑰對DES算法進行加密并將之附于信息之上，這樣接收者可用對應的私鑰打開DES密鎖，并對信息解密。該鑒別框架允許用戶將其公鑰存放在證書認證中心(Certificate?Authority，簡稱“CA”)的目錄項中。一個用戶如果想與另一個用戶交換秘密信息，就可以直接從對方的目錄項中獲得相應的公鑰，用于各種安全服務。

本質上，X.509證書由用戶公共密鑰與用戶標識符組成，此外還包括版本號、證書序列號、CA標識符、簽名算法標識、簽發者名稱、證書有效期等。用戶可通過安全可靠的方式向CA提供其公鑰以獲得證書，這樣用戶就可公開其證書，而任何需要此用戶的公鑰者都能得到此證書，并通過CA檢驗密鑰是否正確。

為了進行身份認證，X.509標準及公共密鑰加密系統提供了一個稱作數字簽名的方案。用戶可生成一段信息及其摘要(亦稱作信息“指紋”)。用戶用專用密鑰對摘要加密以形成簽名，接收者用發送者的公共密鑰對簽名解密，并將之與收到的信息“指紋”進行比較，以確定其真實性。

在過去的幾年里，Internet上使用的一律是上述基于X.509的身份證書(即公鑰證書)。為了解決利用公鑰證書實現權限認證時存在的不足，1997年，ISO在X.509V3規范中引入了屬性證書的概念，其定義為：由屬性權威(Attribute?Authority，簡稱“AA”)簽發的將實體與其共享有的權利屬性綁定在一起的數據結構。該證書不含用戶的公鑰，只包含用戶的一些基本性質，如所用戶標示符、公鑰證書序列號、權限信息等，可以有效地標識一個用戶能夠做什么，因此屬性證書主要用于授權管理。

屬性證書是一種輕量級的數字證書，使用時必須和公鑰證書結合使用。屬性證書的有效期比較短，到了有效截止時間，證書將會失效。

屬性證書的使用方式主要有兩種：一是“推”模式，此方式是將屬性證書發到用戶手中，用戶訪問系統時將公鑰證書和屬性證書一起提交給系統，供系統認證；二是“拉”模式，此方式是將用戶屬性證書統一存放在系統服務器端，用戶訪問時只需要提交公鑰證書，服務器將根據用戶公鑰證書序列號查找對應的屬性證書來認證。

用戶對應某一安全域的公鑰證書只能有一個，由系統的證書權威CA下發，用戶的屬性證書可以有很多個，可以由不同的屬性權威AA下發。屬性證書頒發機構和數字證書頒發機構通常是兩個分離的機構。屬性信息在身份證書的生命周期內的任何時刻都可能被簽名和撤銷，但通常身份證書的存在時間較長，甚至可能幾年，而屬性證書的生命期相對較短。

然而在工業領域中，用戶對應的角色是有限的，而每個角色的用戶所對應的權限也是相對固定的，如果權限變化了，通常其身份也要發生變化，因此并不適用現有的身份證書和屬性證書，采用現有技術的身份證書和屬性證書使得工業控制系統必須要同時支持兩個可靠第三方(CA和AA)，并需要管理多重證書，使用和管理更不方便。

并且，工業領域中所涉及的設備品種多且數量大，用戶的權限種類十分繁復，以操作員為例，不同的操作員可能對不同的設備有不同的操作權限，采用現有的屬性證書的方式進行權限的認證，不能很好羅列所有權限，且在確認其權限時較為不便。

發明內容

本發明主要解決的技術問題是提供一種工業控制系統中身份與權限的融合認證方法及系統，使得工控系統只需支持一個可靠第三方，使用一張證書即能完成用戶的身份認證和工業領域中繁復的權限的認證。

為了解決上述技術問題，本發明提供了一種工業控制系統中身份與權限的融合認證方法，包含以下步驟：