本发明专利技术涉及一种对保护数据的用户、尤其是自动化系统的保护数据的用户进行识别、认证和授权的方法,其中:通过用户在注册区域的输入字段中输入的用户标识(NAME=“姓名1”;“姓名2”;“姓名G”;…)识别该用户;将输入的用户标识(NAME)和由该用户输入的密码(PW=“pw1”;“pw2”;“pwG”;…)组合,并用单向加密函数转换为认证该用户的系统标识(token1,token2,token3…);至少将系统标识(token1,token2,token3…)以访问标记的形式从注册区域发送到保护区域;通过该发送的访问标记授权该用户访问保护区域内的保护数据(函数A,函数B,函数C)。
【技术实现步骤摘要】
本专利技术涉及一种,尤其是对自动化系统中保护数据的用户。
技术介绍
在很多
,尤其是在自动化系统中,只能由事先经过识别、认证和授权的用户访问存放在保护区域内的数据(例如系统数据、程序数据、系统函数或其它受保护的信息)变得越来越重要。用于对用户进行认证的方法现在已广泛使用。例如借助由用户在注册区域的输入字段中输入的用户密码来进行认证。如果用户输入了有效密码,则其得到认证,并可以访问存放在保护区域内的信息。为了将密码从注册区域发送到保护区域,借助相应的算法、例如作为MD5公知的加密算法将密码加密,并作为所谓的访问标记发送到保护区域。但借助这种在访问标记中发送和加密的密码不能或很难识别用户,并在必要时记录该用户的访问。因此,通常在保护区域很难知道究竟是谁访问了存放在保护区域内的信息和数据。为了也能在保护区域中确定谁以及必要时某个用户何时访问了所保护的数据,必须有相应的识别该用户的方法。这样,例如用户除了密码之外还必须在注册区域的输入字段内输入属于他的用户标识。然后,将该用户标识和密码与用户管理数据库中存储的用户标识和密码的允许组合进行比较。如果输入的用户标识与存储的用户标识一致,则该用户得到识别。如果此外输入的密码也和一个存储的组合一致,则该用户还得到认证。接着将用户标识以及必要时的加密密码作为访问标记发送到保护区域。在保护区域的数据库中,为允许的用户标识和密码存储了对应的访问权限。如果对发送的密码和发送的用户标识在数据库中查找到对应的访问权限,则用户可以访问相应的保护数据和信息。同时还借助发送的用户标识在保护区域中记录所发生的访问。如果保护的是自动化系统中的现有数据,如系统数据、系统函数或其他重要信息,则在此还必须有相应的能够对用户识别和授权的方法。如果在自动化系统中采用前面所描述的只借助加密的密码进行认证的方法,则不能在保护区域中记录谁访问了该保护区域。如果采用上述借助密码和用户标记进行识别的方法,则由于为此所需的用户管理数据库而在注册区域和保护区域中引起较高的管理费用。如果正好要从多个用户区域访问自动化系统的一个或多个保护区域,则该方法需要较高的花费,以利用包含在用户管理数据库中的用户标识、密码以及这两者的组合来管理用户区域和不同的保护区域中的现有用户管理数据库。如果除了识别和认证自动化系统的用户之外还需要对该用户进行授权,则必须在保护区域中相应地扩展用户管理数据库。这样,在用户管理数据库中另外存储哪个用户具有哪个用户标识和哪个密码可以访问哪些保护信息或数据的关系。尤其是,如果在自动化系统中具有多个不同的保护区域,则必须相应费事地为不同区域的所有用户管理数据库管理这些访问权限,这意味着较多的附加费用。
技术实现思路
因此,本专利技术要解决的技术问题在于提供一种,该方法尤其是为自动化系统避免了上述高管理费用的缺点。该技术问题是通过具有下述特征的方法解决的,为了对保护数据的用户、尤其是自动化系统中的保护数据的用户进行识别、认证和授权,-通过用户在注册区域的输入字段中输入的用户标识来识别用户,-将输入的用户标识和由该用户输入的密码进行组合,并用单向加密函数转换为认证该用户的系统标识,-至少将该系统标识以访问标记的形式从注册区域传输到保护区域,和-通过该传输的访问标记授权该用户访问保护区域内的保护数据。由于根据本专利技术用单向加密函数将密码和用户标识一起转换为一个共同的系统标识,因此基于在该系统标识中包含的密码和用户标识为每个用户只分配了一个系统标识。因此,该系统标识可以在注册区域中用于唯一地识别和认证该用户。此外,还可以在保护区域中,借助以访问标记形式发送的系统标识授权用户访问特定的保护数据和保护信息。由于该访问权限同时还反映了先前认证的用户的身份,因此在根据本专利技术的方法中,无需很多的管理费用就能识别、认证和授权用户。尤其是在具有不同保护区域的自动化系统中,例如不同的控制器;或者还具有多个注册区域,例如不同的人机界面,不再需要费事地管理用户数据,如密码、用户标识以及这两者的关系。由此,尤其是在自动化系统中,可以避免为实现这种用于识别、认证和授权的安全功能而需要的规划费用。虽然本专利技术限制为单向加密函数,但本专利技术还包括其它各种能唯一和不反向计算地将用户标识和密码转换为系统标识的函数。附图说明下面借助附图详细描述本专利技术的方法。图1示意性示出本专利技术所需的注册区域和保护区域之间的区分。具体实施例方式图1具有两个区域,即注册区域和保护区域。注册区域应当包括尤其是输入密码和用户标识的所有必要措施和步骤。通常,该注册区域捆绑在所谓的人机界面中,在该人机界面中例如显示自动化系统的用户区域。相反,保护区域应当包括所有尤其是在自动化系统中以特殊方式保护的数据和函数。这样,在保护区域中尤其是有自动化系统中要保护的数据,如系统数据、程序数据、对象、系统函数或其它重要信息。图1在此只示意性地示出本专利技术所需的注册区域和保护区域之间的区分。但尤其是在自动化系统中,这种区分并不总是可唯一识别的。这样,保护区域可以例如包括一个或多个以硬件方式存在的自动化系统组件,例如一个或多个控制器。另一方面,保护区域还可以包括一个可从维护计算机上下载的软件模决,该软件模块包含要保护的信息,例如自动化系统的控制数据。在这种情况下,在维护计算机上同时具有注册区域和保护区域。另一方面,还可以由多个来自注册区域的不同人机界面进行调用。图1所示的注册区域包括输入字段10,用户必须在其中输入密码PW和用户标识NAME。密码PW和用户标识NAME都已经事先为一个或多个用户、或者整个用户组a确定了。这样,每个可以访问保护区域的用户都对应一个自己的密码,例如PW=“pw1”;“pw2”;…,以及一个自己的用户标识,例如NAME=“姓名1”;“姓名2”;…。另一方面,还可以为一个用户组分配一个共同的密码,例如PW=“pwG”或一个共同的用户标识,如NAME=“姓名G”。如果如图1所示由用户例如在输入字段10中输入用户标识NAME=“姓名1”和密码PW=“pw1”,则借助输入“姓名1”识别该用户。根据本专利技术,也可以借助公知的单向加密函数20将输入的用户标识“姓名1”和输入的密码“pw1”一起转换为系统标识token1。用于本专利技术的将密码和用户标识转换为相应系统标识的单向加密函数例如是公知的密码学MD5或HMAC函数。MD5和HMAC函数在此都以所谓的RFC(提请评论,Request for Comments)来定义。尤其是用于MD5(消息摘要)算法的RFC1321和用于HMAC(消息认证的键入杂凑)算法的RFC2104。这样,在本例中,借助MD5算法将用户标识“姓名1”和密码“pw1”转换为系统标识token1。在能阅读的文本中,借助MD5算法产生的系统标识的外观例如是token1=7071587f93a00d4b50f724ff683d1fd7。这样产生的系统标识token1唯一地标识一个用户,这意味着,借助该系统标识token1可以唯一地识别和认证具有姓名“姓名1”和密码“pw1”的用户。相应的可以借助其它系统标识token2、token3、…等识别和认证其它用户以及整个用户组。如果借助输入的用户标识识别用户或用户组并且其身份得到认证,则为了授权至少将系统标识tok本文档来自技高网...
【技术保护点】
一种用于对保护数据的用户、尤其是自动化系统中的保护数据的用户进行识别、认证和授权的方法,其中:-通过用户在注册区域的输入字段(10)中输入的用户标识(NAME=“姓名1”;“姓名2”;“姓名G”;…)识别该用户,-将输入的用 户标识(NAME)和由该用户输入的密码(PW=“pw1”;“pw2”;“pwG”;…)进行组合,并用单向加密函数(20)转换为认证该用户的系统标识(token1,token2,token3…),-至少将该系统标识(token1,to ken2,token3…)以访问标记(30)的形式从注册区域传输到保护区域,和-通过该传输的访问标记(30)授权该用户访问保护区域内的保护数据(函数A,函数B,函数C)。
【技术特征摘要】
EP 2003-10-27 03024561.71.一种用于对保护数据的用户、尤其是自动化系统中的保护数据的用户进行识别、认证和授权的方法,其中-通过用户在注册区域的输入字段(10)中输入的用户标识(NAME=“姓名1”;“姓名2”;“姓名G”;...)识别该用户,-将输入的用户标识(NAME)和由该用户输入的密码(PW=“pw1”;“pw2”;“pwG”;...)进行组合,并用单向加密函数(20)转换为认证该用户的系统标识(token1,token2,token3...),-至少将该系统标识(token1,token2,token3...)以访问标记(30)的形式从注册区域传输到保护区域,和-通过该传输的访问标记(...
【专利技术属性】
技术研发人员:哈拉尔德赫伯思,
申请(专利权)人:西门子公司,
类型:发明
国别省市:DE[德国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。