技術領域

本發明涉及一種用戶認證系統，控制系統具有：操作監視終端，其具有本地用戶認證單元；域控制器，其具有域用戶認證單元，與所述操作監視終端進行通信，該用戶認證系統在控制系統中，對在所述操作監視終端中登錄的用戶進行認證。

本申請基于2010年10月27日申請的日本專利申請第2010-240572號，主張其優先權，其內容在這里進行引用。

背景技術

專利、專利申請、專利公報、科學文獻等在以下進行引用而可明確，但為了更加充分地說明本發明的現有技術，上述內容在這里進行引用。

圖4是表示現有技術所涉及的工廠控制系統中的用戶認證系統的構成例的功能框圖。工廠控制系統具有控制總線10、操作監視終端20、30、控制裝置40、50、60。

操作監視終端20、30、控制裝置40、50、60分別與控制總線10連接。控制裝置40、50、60經由控制總線10與操作監視終端20、30進行通信，對工廠的現場設備進行控制。

一般地，使控制裝置和控制總線冗余化，以高水平保證工廠作業的持續性。另外，操作監視終端可以彼此替代功能。因此，不會由于一臺操作監視終端的故障而不能進行工廠的作業。

在操作監視終端中，出于安全上的目的，對登錄用戶進行認證。在圖4的構成例中，在操作監視終端20以及30內分別具有與工廠控制系統獨立安裝的本地用戶認證單元21以及31，本地用戶確認單元21以及31對登錄用戶進行認證。通過由各個本地用戶認證單元進行用戶認證，從而對于每個操作監視終端，用戶認證都是獨立的。

圖5是表示工廠控制系統中的現有技術所涉及的用戶確認系統的其他構成例的功能框圖。圖5是一般的OS所具有的功能，例如是利用Windows(注冊商標)的域管理機構的用戶認證系統的例子。

工廠控制系統具有控制總線10、操作監視終端20、30、控制裝置40、50、60、信息網絡70、及域控制器80。操作監視終端20、30、控制裝置40、50、60分別與控制總線10連接。操作監視終端20、30、域控制器80分別與信息網絡70連接。

操作監視終端20、30經由信息網絡70與域控制器80進行通信。域控制器80具有域用戶認證單元81。域用戶認證單元81對對應的域所屬的全部用戶的用戶名·密碼進行管理。

在操作監視終端20以及30內具有分別與工廠控制系統獨立安裝的本地用戶認證單元21以及31，本地用戶認證單元21以及31對登錄的用戶進行認證。如果由操作監視終端20以及30進行用戶認證操作，則用戶所輸入的用戶名·密碼經由信息網絡70向域控制器80傳遞。在域控制器80的域用戶認證單元81中進行用戶名·密碼的認證，如果正確，則用戶認證成功。

在利用域控制器80的用戶認證系統中，用戶的管理不是在各個操作監視終端20、30內進行，而是集中在域控制器80上。由此，具有以下4個優點。

1.可以防止用戶名的重復。

2.可以將系統整體的用戶的密碼統一。

3.對于系統整體，用戶登錄·刪除·密碼變更·賬號的關閉等可以迅速地傳播。

4.域內的用戶認證的權限，由1名域控制器的管理者限定。因此，由于無法僅由各個操作監視終端的管理者權限進行用戶的管理，所以使安全等級提高。

在使用域控制器80的現有技術所涉及的用戶認證系統中，一般地，可以將域控制器80以及信息網絡70冗余化。但是，控制裝置40、50、60和控制總線10不具有那么高的可靠性。因此，在使用戶認證由域控制器80集中管理的情況下的系統整體的有效性，可能低于域控制器80和信息網絡70的有效性的等級。

在用戶認證由在各個操作監視終端內安裝的本地用戶認證單元管理的情況下，可以保持有效性的等級，但得不到上述的安全性上的優點。

發明內容

本發明實現一種可以保持系統的可用性的同時，提高安全性的用戶認證系統。

對于本發明的用戶認證系統，其對在操作監視終端向控制系統登錄的用戶進行認證，該控制系統具有：所述操作監視終端，其具有本地用戶認證單元；以及域控制器，其具有域用戶認證單元，與所述操作監視終端進行通信，其特征在于，所述操作監視終端具有用戶認證警報單元，其在所述域控制器正常動作的狀態時，所述用戶利用所述本地用戶認證單元執行了用戶認證的情況下，發出安全警報。

所述操作監視終端，在所述用戶利用所述本地用戶認證單元執行了用戶認證的情況下，如果所述域控制器不是正常動作中，則由所述本地用戶認證單元進行用戶認證。