專利名稱：Methods and systems for user authorization的制作方法
技術(shù)領(lǐng)域：
一般來說，本文所述的方法和系統(tǒng)涉及自動化和/或制造系統(tǒng)，更具體來說，涉及 簡化用戶認(rèn)證和授權(quán)的系統(tǒng)配置。
背景技術(shù)：
至少某些已知分布式自動化和/或制造系統(tǒng)包括要求不同訪問和控制等級的大 量資源。系統(tǒng)管理員可能花費(fèi)大量時間來配置和維護(hù)授權(quán)系統(tǒng)配置，從而使管理員沒空從 事其它系統(tǒng)相關(guān)任務(wù)。備選地，管理員可簡單地完全禁用授權(quán)系統(tǒng)或者向廣泛的用戶集合 授予覆蓋范圍廣的權(quán)限，從而使系統(tǒng)不太安全。至少某些已知授權(quán)系統(tǒng)使用用戶和角色的概念，其中向各用戶分配包括某種等級 的訪問和控制特權(quán)的角色。在沒有為不同系統(tǒng)資源建立不同角色的機(jī)制的情況下，對這種 系統(tǒng)的配置可能迅速變得麻煩。減小這個問題的一種方式是定義大量特定角色，并且相應(yīng) 地設(shè)置操作特權(quán)。但是，所需角色的數(shù)量隨著新資源的添加而線性擴(kuò)大。

發(fā)明內(nèi)容
一方面，提供一種用于控制對系統(tǒng)的訪問的方法。該方法包括創(chuàng)建包含多個特權(quán) 的角色樹，創(chuàng)建包含多個資源的資源樹，向用戶分配至少一個資源的至少一個角色，以及根 據(jù)用戶角色分配、用戶資源分配和用戶用于請求服務(wù)訪問的裝置的位置中至少之一來評估 用戶對所請求服務(wù)訪問的多個特權(quán)。另一方面，提供一種用于授權(quán)對系統(tǒng)的用戶訪問的方法。該方法包括將用戶分配 到至少一個資源的至少一個角色，所述至少一個角色從角色樹選取，并且所述至少一個資 源從資源樹選取；確定用戶的角色分配、用戶的資源分配和用戶位置；以及針對所請求資 源的所請求服務(wù)的所需角色和所需特權(quán)中至少之一來評估用戶的角色分配、用戶的資源分 配和用戶位置。另一方面，一種基于角色與資源的授權(quán)和認(rèn)證系統(tǒng)包括至少一個用戶裝置以及 通信上耦合到所述至少一個用戶裝置的至少一個服務(wù)器。所述至少一個服務(wù)器包括角色樹 和資源樹，并且配置成存儲用戶的特權(quán)集合，該特權(quán)集合基于到至少一個資源的至少一個 角色的用戶分配；將用戶的特權(quán)集合和用戶位置與訪問所請求資源的所請求服務(wù)所需的所 需特權(quán)集合和位置進(jìn)行比較；以及根據(jù)比較來授予和拒絕對所請求資源的所請求服務(wù)的訪 問中擇一。


圖1-5示出本文所述的系統(tǒng)和方法的示范實(shí)施例。圖1-5所示并且結(jié)合圖1-5所 述的系統(tǒng)和方法只是示范性的。圖1是示范授權(quán)系統(tǒng)的示意圖；圖2是可與圖1所示的授權(quán)系統(tǒng)配合使用的示范角色樹的簡圖3是可與圖1所示的授權(quán)系統(tǒng)配合使用的示范資源樹的簡圖；圖4是示出圖1所示授權(quán)系統(tǒng)中的角色和資源之間的關(guān)系的簡圖；以及圖5是示出使用圖1所示的授權(quán)系統(tǒng)來控制訪問的示范方法的流程圖。
具體實(shí)施例方式所述實(shí)施例的技術(shù)效果是提供用于控制對配置成執(zhí)行基本服務(wù)的自動化系統(tǒng)的 訪問的系統(tǒng)和方法。在示范實(shí)施例中，該系統(tǒng)包括資源目錄。資源提供商包括自動化系統(tǒng) 中包含的機(jī)器以及用于支持機(jī)器的編程服務(wù)。系統(tǒng)根據(jù)共同可編程性鏈接資源，并且集成 資源以執(zhí)行自動化系統(tǒng)的基本服務(wù)。本文所使用的術(shù)語“角色”描述對所定義的對象集合執(zhí)行所定義的操作集合中任 一個的許可。角色可通過人的集合、例如組(group)來假定，以便允許他們對例如資源的對 象的集合進(jìn)行操作。一般來說，對象可通過一種以上方式進(jìn)行分類，并且人可假定一個以上 角色，并且可以是多于一組中的成員。本文所使用的術(shù)語“授權(quán)指定”是人、對象和操作的三維矩陣。如果值{x，y，z}為 真，則人X可將操作Z應(yīng)用于對象y。類似地，本文所使用的術(shù)語“授權(quán)矩陣”可表達(dá)為{X， Y，Z}，它包括組集合X、資源分類集合Y和角色集合Z。在典型組織中4<<13<<7且 Z << ζ。圖1是示范授權(quán)系統(tǒng)100的示意圖。系統(tǒng)可在許多不同平臺上實(shí)現(xiàn)，并且可使用 許多不同的體系結(jié)構(gòu)。圖1所示的體系結(jié)構(gòu)只是示范性的。在示范實(shí)施例中，系統(tǒng)100包 括至少一個客戶端102、至少一個服務(wù)器104和至少一個資源106。系統(tǒng)100通過網(wǎng)絡(luò)108 互連。在一個實(shí)施例中，網(wǎng)絡(luò)108是廣域網(wǎng)(WAN)，例如因特網(wǎng)。在備選實(shí)施例中，網(wǎng)絡(luò)108 是局域網(wǎng)(LAN)，例如內(nèi)聯(lián)網(wǎng)。網(wǎng)絡(luò)108包括連接上述系統(tǒng)100中的要素的物理介質(zhì)和中間 裝置(未示出)、如路由器和交換機(jī)。客戶端102經(jīng)由網(wǎng)絡(luò)接口 110在通信上連接到網(wǎng)絡(luò)108。用戶訪問、例如撥號到或 者直接登錄到內(nèi)聯(lián)網(wǎng)或因特網(wǎng)，以獲得對系統(tǒng)100的訪問?？蛻舳?02可通過許多接口連 接到網(wǎng)絡(luò)108，所述接口包括不同的網(wǎng)絡(luò)(未示出)，例如WAN或LAN、撥號連接、電纜調(diào)制 解調(diào)器、無線網(wǎng)絡(luò)和專用高速ISDN線?？蛻舳?02是能夠與網(wǎng)絡(luò)108互連的任何裝置，包 括基于萬維網(wǎng)的電話或者其它基于萬維網(wǎng)的可連接設(shè)備?？蛻舳?02可以是僅運(yùn)行操作系 統(tǒng)以及用于訪問系統(tǒng)100并且與其通信的應(yīng)用的獨(dú)立客戶端，例如瘦(thin)客戶端。備選 地，客戶端102可作為安裝于個人計算機(jī)(PC)的應(yīng)用進(jìn)行操作，并且可與其它程序類似地 和/或并發(fā)地運(yùn)行?？蛻舳?02還包括電連接到系統(tǒng)總線(未示出)的系統(tǒng)存儲器112， 并且在一個實(shí)施例中包括操作系統(tǒng)以及面向用戶的程序和數(shù)據(jù)。在示范實(shí)施例中，客戶端 102還包括用戶交互裝置，例如顯示器114、鍵盤116和/或鼠標(biāo)118。服務(wù)器104也經(jīng)由網(wǎng)絡(luò)接口 120在通信上耦合到網(wǎng)絡(luò)108。服務(wù)器104包括電連 接到系統(tǒng)總線(未示出)的系統(tǒng)存儲器122，并且在一個實(shí)施例中包括操作系統(tǒng)。在示范實(shí) 施例中，存儲器122包括含有授權(quán)矩陣和資源目錄的數(shù)據(jù)庫124。更具體來說，數(shù)據(jù)庫124 包括系統(tǒng)100的所有人、對象和操作。在示范實(shí)施例中，服務(wù)器104還包括至少一個處理 器126。此外，在示范實(shí)施例中，服務(wù)器104是輕型目錄訪問協(xié)議(Lighweight Directory Access Protocol :LDAP)月艮務(wù)器。
圖2是可與系統(tǒng)100(圖1所示)配合使用的示范角色樹200的簡圖。在示范實(shí) 施例中，將系統(tǒng)100的各用戶或用戶組分配到一個或多個角色202。備選地，用戶由于屬于 組而可被分配到角色202，并且可被分配到與同一組中其余用戶分離的不同角色202。在一 個實(shí)施例中，用戶組使用Microsoft Windows域組來組織。備選地，可使用使系統(tǒng)100能夠 按照本文所述起作用的任何適當(dāng)?shù)挠脩艉徒M映射方法。各角色202包括指定特權(quán)204的集合。在一個實(shí)施例中，角色202通過將一個或 多個特權(quán)204編組來形成。例如，設(shè)備配置者角色206包括例如訪問、讀、寫、修改和打印的 特權(quán)。在備選實(shí)施例中，角色202包括一組角色202和特權(quán)204。例如，工作流程配置者角 色208包括分配給其子(child)角色的所有特權(quán)和附加特權(quán)。如圖2所示，因此工作流程 配置者角色208包括分配給設(shè)備配置者角色206的所有特權(quán)(訪問、讀、寫、修改和打印)， 而且還包括沒有授予給設(shè)備配置者角色206的附加特權(quán)(創(chuàng)建和刪除)。在備選實(shí)施例中， 角色202包括一組多個角色和關(guān)聯(lián)特權(quán)204。例如，管理者角色210包括分配給所有子角色 的所有特權(quán)。如圖2所示，因此管理者角色210包括分配給配置者角色、項目配置者角色、 工作流程配置者角色208和設(shè)備配置者角色206的所有特權(quán)。在示范實(shí)施例中，可向用戶分配沒有向用戶的組和/或角色中其余成員分配的單 個特權(quán)204。此外，可根據(jù)單個特權(quán)204對用戶進(jìn)行限制，即使沒有對該用戶的組和/或角 色中其余成員進(jìn)行限制。圖3是可與系統(tǒng)100(圖1所示)配合使用的示范資源樹300的簡圖。在示范實(shí) 施例中，資源樹300包括多個資源類型302和多個資源節(jié)點(diǎn)304。各個資源節(jié)點(diǎn)304可包 括不同的授權(quán)要求。更具體來說，資源節(jié)點(diǎn)304可要求特定用戶角色202(圖2所示)和/ 或特定特權(quán)204 (圖2所示)，以便訪問資源節(jié)點(diǎn)304。例如，單元C資源節(jié)點(diǎn)306要求向用 戶分配線操作員(Line Operator)角色，以便訪問單元C資源節(jié)點(diǎn)306的開始和停止操作。 在示范實(shí)施例中，資源樹300按照分級方式來組織。例如，具有監(jiān)督員角色和具有訪問特權(quán) 的用戶將具有對作為線2資源節(jié)點(diǎn)308之子的任何資源節(jié)點(diǎn)的訪問特權(quán)。因此，在站點(diǎn)1 具有監(jiān)督員角色的用戶將具有對例如單元C資源節(jié)點(diǎn)306的訪問特權(quán)。此外，由于具有監(jiān) 督員角色的用戶也將具有分配給線操作員角色的所有特權(quán)，所以監(jiān)督員角色用戶將具有對 單元C資源節(jié)點(diǎn)306的開始和停止特權(quán)。在示范實(shí)施例中，授權(quán)上下文表達(dá)為對資源節(jié)點(diǎn)304的操作的要求的列表。例如， 項目-線1-工作流程-工作流程1的分級結(jié)構(gòu)的授權(quán)上下文表達(dá)如下。
權(quán)利要求
一種用于控制對系統(tǒng)的訪問的方法，所述方法包括創(chuàng)建包括多個特權(quán)的角色樹；創(chuàng)建包括多個資源的資源樹；向用戶分配至少一個資源的至少一個角色；以及根據(jù)用戶角色分配、用戶資源分配和所述用戶用于請求服務(wù)訪問的裝置的位置中至少之一評估所述用戶對所請求服務(wù)訪問的所述多個特權(quán)。
2.如權(quán)利要求1所述的方法，其中，創(chuàng)建角色樹還包括存儲特權(quán)的分級結(jié)構(gòu)；以及形成包括至少一個特權(quán)的角色。
3.如權(quán)利要求2所述的方法，其中，形成角色還包括對所述角色樹中存儲的其它角色 中至少之一和角色與特權(quán)的組合進(jìn)行編組。
4.如權(quán)利要求1所述的方法，其中，創(chuàng)建資源樹還包括存儲所述多個資源的分級結(jié)構(gòu)和多個資源類型；以及將資源操作分配給與所述操作相關(guān)的角色和特權(quán)中之一。
5.如權(quán)利要求1所述的方法，還包括根據(jù)所述用戶所使用的裝置的名稱和定位坐標(biāo) 集合中至少之一確定所述用戶所使用的裝置的位置。
6.如權(quán)利要求1所述的方法，其中，評估所述用戶對所請求服務(wù)訪問的所述多個特權(quán) 還包括將所述用戶的所述多個特權(quán)加載到服務(wù)器存儲器中；向服務(wù)器傳送訪問服務(wù)的安全密鑰和請求；以及相對于所述所請求資源的所述所請求服務(wù)的所需角色和所需特權(quán)中至少之一來比較 用戶角色分配和用戶資源分配中至少之一。
7.如權(quán)利要求1所述的方法，還包括將授權(quán)方法執(zhí)行路徑注入到所述所請求服務(wù)訪 問的方法執(zhí)行路徑。
8.一種用于授權(quán)對系統(tǒng)的用戶訪問的方法，所述方法包括將所述用戶分配到至少一個資源的至少一個角色，所述至少一個角色從角色樹選取， 并且所述至少一個資源從資源樹選?。淮_定用戶的角色分配、用戶的資源分配和用戶位置；以及相對于所請求資源的所請求服務(wù)的所需角色和所需特權(quán)中至少之一來比較所述用戶 的角色分配、所述用戶的資源分配和所述用戶位置。
9.如權(quán)利要求8所述的方法，其中，將所述用戶分配到至少一個資源的至少一個角色 還包括存儲多個特權(quán)；以及通過將至少一個特權(quán)編組以形成角色來創(chuàng)建角色樹。
10.如權(quán)利要求9所述的方法，其中，創(chuàng)建角色樹還包括通過對所述角色樹中存儲的其 它角色中至少之一和角色與特權(quán)的組合進(jìn)行編組來創(chuàng)建角色樹。
11.如權(quán)利要求8所述的方法，其中，將所述用戶分配到至少一個資源的至少一個角色 還包括存儲多個資源和資源類型；以及創(chuàng)建資源樹。
12.如權(quán)利要求8所述的方法，其中，確定用戶的角色分配、用戶的資源分配和用戶位 置還包括讀取所述用戶所使用的裝置的物理名稱以及讀取所述用戶所使用的裝置的定位 坐標(biāo)集合中至少之一。
13.如權(quán)利要求8所述的方法，還包括將授權(quán)方法執(zhí)行路徑注入到所述所請求服務(wù)的 方法執(zhí)行路徑。
14.一種基于角色與資源的授權(quán)和認(rèn)證系統(tǒng)，包括至少一個用戶裝置；以及通信上耦合到所述至少一個用戶裝置的至少一個服務(wù)器，所述至少一個服務(wù)器包括角 色樹和資源樹，所述至少一個服務(wù)器配置成存儲用戶的特權(quán)集合，所述特權(quán)集合基于到至少一個資源的至少一個角色的用戶分配；將所述用戶的特權(quán)集合和用戶位置與訪問所請求資源的所請求服務(wù)所需的所需特權(quán) 集合和位置進(jìn)行比較；以及根據(jù)所述比較授予和拒絕對所述所請求資源的所述所請求服務(wù)的訪問中擇一。
15.如權(quán)利要求14所述的基于角色與資源的授權(quán)和認(rèn)證系統(tǒng)，其中，所述至少一個用 戶裝置還包括物理名稱，所述至少一個用戶裝置配置成向所述至少一個服務(wù)器傳遞所述物 理名稱。
16.如權(quán)利要求14所述的基于角色與資源的授權(quán)和認(rèn)證系統(tǒng)，其中，所述至少一個用 戶裝置還包括GPS模塊，所述至少一個用戶裝置配置成向所述至少一個服務(wù)器傳遞GPS坐 標(biāo)集合。
17.如權(quán)利要求14所述的基于角色與資源的授權(quán)和認(rèn)證系統(tǒng)，其中，所述角色樹還包 括多個特權(quán)和多個角色，所述多個角色的各角色由所述多個特權(quán)的特權(quán)集合以及所述多個 角色的至少一個其它角色中至少之一來形成。
18.如權(quán)利要求14所述的基于角色與資源的授權(quán)和認(rèn)證系統(tǒng)，其中，所述資源樹還包 括多個資源和多個資源類型。
19.如權(quán)利要求14所述的基于角色與資源的授權(quán)和認(rèn)證系統(tǒng)，其中，所述至少一個服 務(wù)器還配置成將授權(quán)方法執(zhí)行路徑注入到所述所請求服務(wù)的方法執(zhí)行路徑。
20.如權(quán)利要求14所述的基于角色與資源的授權(quán)和認(rèn)證系統(tǒng)，其中，所述至少一個用 戶裝置和所述至少一個服務(wù)器配置成使用令牌交換協(xié)議來安全地通信，并且其中所述用戶 的所述特權(quán)集合被加載到服務(wù)器存儲器，便于減小所述至少一個用戶裝置與所述至少一個 服務(wù)器之間的網(wǎng)絡(luò)業(yè)務(wù)。
全文摘要
文檔編號G06F21/00GK101952830SQ20088011990
公開日2011年1月19日 申請日期2008年7月23日 優(yōu)先權(quán)日2007年10月5日
發(fā)明者Elumalai Chandran, Sage Peter, Gendron Robert 申請人:Ge Fanuc Automation Inc