CN102457379B - 用户认证系统 - Google Patents
用户认证系统 Download PDFInfo
- Publication number
- CN102457379B CN102457379B CN201110330982.7A CN201110330982A CN102457379B CN 102457379 B CN102457379 B CN 102457379B CN 201110330982 A CN201110330982 A CN 201110330982A CN 102457379 B CN102457379 B CN 102457379B
- Authority
- CN
- China
- Prior art keywords
- user authentication
- operation monitoring
- monitoring terminal
- domain controller
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Abstract
本发明涉及一种用户认证系统,控制系统具有:操作监视终端,其具有本地用户认证单元;以及域控制器,其具有域用户认证单元,与所述操作监视终端进行通信,用户认证系统针对控制系统,对在所述操作监视终端登录的用户进行认证,所述操作监视终端具有用户认证警报单元,其在所述域控制器正常动作的状态时所述用户利用所述本地用户认证单元执行了用户认证的情况下,发出安全警报。
Description
技术领域
本发明涉及一种用户认证系统,控制系统具有:操作监视终端,其具有本地用户认证单元;域控制器,其具有域用户认证单元,与所述操作监视终端进行通信,该用户认证系统在控制系统中,对在所述操作监视终端中登录的用户进行认证。
本申请基于2010年10月27日申请的日本专利申请第2010-240572号,主张其优先权,其内容在这里进行引用。
背景技术
专利、专利申请、专利公报、科学文献等在以下进行引用而可明确,但为了更加充分地说明本发明的现有技术,上述内容在这里进行引用。
图4是表示现有技术所涉及的工厂控制系统中的用户认证系统的构成例的功能框图。工厂控制系统具有控制总线10、操作监视终端20、30、控制装置40、50、60。
操作监视终端20、30、控制装置40、50、60分别与控制总线10连接。控制装置40、50、60经由控制总线10与操作监视终端20、30进行通信,对工厂的现场设备进行控制。
一般地,使控制装置和控制总线冗余化,以高水平保证工厂作业的持续性。另外,操作监视终端可以彼此替代功能。因此,不会由于一台操作监视终端的故障而不能进行工厂的作业。
在操作监视终端中,出于安全上的目的,对登录用户进行认证。在图4的构成例中,在操作监视终端20以及30内分别具有与工厂控制系统独立安装的本地用户认证单元21以及31,本地用户确认单元21以及31对登录用户进行认证。通过由各个本地用户认证单元进行用户认证,从而对于每个操作监视终端,用户认证都是独立的。
图5是表示工厂控制系统中的现有技术所涉及的用户确认系统的其他构成例的功能框图。图5是一般的OS所具有的功能,例如是利用Windows(注册商标)的域管理机构的用户认证系统的例子。
工厂控制系统具有控制总线10、操作监视终端20、30、控制装置40、50、60、信息网络70、及域控制器80。操作监视终端20、30、控制装置40、50、60分别与控制总线10连接。操作监视终端20、30、域控制器80分别与信息网络70连接。
操作监视终端20、30经由信息网络70与域控制器80进行通信。域控制器80具有域用户认证单元81。域用户认证单元81对对应的域所属的全部用户的用户名·密码进行管理。
在操作监视终端20以及30内具有分别与工厂控制系统独立安装的本地用户认证单元21以及31,本地用户认证单元21以及31对登录的用户进行认证。如果由操作监视终端20以及30进行用户认证操作,则用户所输入的用户名·密码经由信息网络70向域控制器80传递。在域控制器80的域用户认证单元81中进行用户名·密码的认证,如果正确,则用户认证成功。
在利用域控制器80的用户认证系统中,用户的管理不是在各个操作监视终端20、30内进行,而是集中在域控制器80上。由此,具有以下4个优点。
1.可以防止用户名的重复。
2.可以将系统整体的用户的密码统一。
3.对于系统整体,用户登录·删除·密码变更·账号的关闭等可以迅速地传播。
4.域内的用户认证的权限,由1名域控制器的管理者限定。因此,由于无法仅由各个操作监视终端的管理者权限进行用户的管理,所以使安全等级提高。
在使用域控制器80的现有技术所涉及的用户认证系统中,一般地,可以将域控制器80以及信息网络70冗余化。但是,控制装置40、50、60和控制总线10不具有那么高的可靠性。因此,在使用户认证由域控制器80集中管理的情况下的系统整体的有效性,可能低于域控制器80和信息网络70的有效性的等级。
在用户认证由在各个操作监视终端内安装的本地用户认证单元管理的情况下,可以保持有效性的等级,但得不到上述的安全性上的优点。
发明内容
本发明实现一种可以保持系统的可用性的同时,提高安全性的用户认证系统。
对于本发明的用户认证系统,其对在操作监视终端向控制系统登录的用户进行认证,该控制系统具有:所述操作监视终端,其具有本地用户认证单元;以及域控制器,其具有域用户认证单元,与所述操作监视终端进行通信,其特征在于,所述操作监视终端具有用户认证警报单元,其在所述域控制器正常动作的状态时,所述用户利用所述本地用户认证单元执行了用户认证的情况下,发出安全警报。
所述操作监视终端,在所述用户利用所述本地用户认证单元执行了用户认证的情况下,如果所述域控制器不是正常动作中,则由所述本地用户认证单元进行用户认证。
在所述用户利用所述本地用户认证单元执行了用户认证的情况下,如果所述域控制器是正常动作中,则在由所述用户认证警报单元发出警报后,由所述本地用户认证单元进行用户认证。
在所述用户利用所述本地用户认证单元执行了用户认证的情况下,与所述域控制器的状态无关,在由所述用户认证警报单元发出警报后,由所述本地用户认证单元进行用户认证。
所述警报也可以向经由控制总线而连接的其他操作监视终端通知。
根据本发明,可以期待如下所述的效果。
(1)在域的用户认证正常动作的情况下,可以保证安全性的同时,进行操作。
(2)在域的用户认证没有正常动作的情况下,作为紧急措施,可以接受安全性的下降,同时由本地认证进行工厂操作。
(3)在与域的用户认证是否正常动作无关,使用了本地用户认证的情况下,由于具有侵犯安全的可能性,所以可以发出警告。
附图说明
本申请所附加而参照的附图,构成发明公开的一部分。
图1是表示本发明的第1实施方式所涉及的用户认证系统的例子的功能框图。
图2是表示本发明的第1实施方式所涉及的用户认证系统的信号处理流程的流程图。
图3是表示本发明的第1实施方式所涉及的用户认证系统的其他信号处理流程的流程图。
图4是表示现有技术所涉及的工厂控制系统中的用户认证系统的构成例的功能框图。
图5是表示工厂控制系统中的现有技术所涉及的用户认证系统的其他构成例的功能框图。
具体实施方式
参照附图,说明本发明所选择的实施方式。本发明的实施方式的以下的说明,仅是具体地说明由附加的权利要求所规定的发明及其均等物,不是以限定其为目的,这基于本公开内容而对于本领域技术人员来说是明确的。
图1是表示本发明的第1实施方式所涉及的用户认证系统的例子的功能框图。对于与在图5中说明的现有结构相同的要素,标注相同标号,省略说明。
本发明所使用的操作监视终端由模块100表示。在操作监视终端100的内部总线上连接操作监视单元101、控制总线接口单元102、信息网络接口单元103、用户认证单元104、作为该用户认证单元104的内部功能起作用的本地用户认证单元105以及域用户认证单元106、本地用户信息保存单元107、以及作为本发明的特征部的用户认证警报单元200。
操作监视单元101至本地用户信息保存单元107,是在一般的操作监视终端中标准安装的构成要素。操作监视单元101具有对来自控制装置40的数据进行显示,或者对控制装置40进行指示的用户接口以及内部的功能。
控制总线接口单元102具有经由控制总线10与控制装置40和其他操作监视终端30进行通信的功能。信息网络接口单元103具有经由信息网络70与域控制器80进行通信的功能。
用户认证单元104具有进行用户认证的功能,内部地使用本地用户认证单元105以及域用户认证单元106的功能。用户认证单元105具有对由该操作监视终端进行管理的本地用户信息保存单元107进行查询而进行用户认证的功能。域用户认证单元106具有对域控制器80进行查询而进行用户认证的功能。
本地用户信息保存单元107保存有在操作监视终端100内进行管理的用户信息,在信息网络接口单元103、域控制器80以及信息网络70中某一个或者多个没有正常动作的情况下,对所利用的用户的信息进行管理。
下面,利用<动作脚本1>至<动作脚本4>,说明本发明所涉及的用户认证的动作。
<动作脚本1>
在这里,说明在包含域控制器80、信息网络70在内,系统整体正常动作的情况下,利用域控制器的用户认证单元进行用户认证的情况下的动作。
(1-1)为了执行操作监视作业,由操作监视终端100进行域的用户认证操作。
(1-2)用户认证单元104利用域用户认证单元106,进行用户认证。
(1-3)域用户认证单元106利用信息网络接口单元103和信息网络70,对域控制器80进行查询。
(1-4)如果在域控制器80上用户信息的对照成功,则用户认证成功。
<动作脚本2>
在这里,说明域控制器80、信息网络70、信息网络接口单元103中某一个或者多个无法利用的情况下的动作。在该情况下,如果进行域用户认证,则由于无法由域控制器80进行用户信息的对照,因此用户认证不成功。其结果,无法利用操作监视终端,对工厂的作业产生影响。因此,在该状况下用户进行本地用户认证。
(2-1)为了利用操作监视终端,由操作监视终端100进行本地的用户认证操作。
(2-2)用户认证单元104利用信息网络接口单元103和信息网络70,对域控制器80是否正常动作进行确认。在正常动作的情况下,实施后述的<动作脚本4>,然后进入(2-3)。在没有正常动作的情况下,直接进入(2-3)。
作为该<动作脚本2>的前提,如上所述,由于是域控制器80、信息网络70、信息网络接口单元103中某一个或者多个无法利用的状态,因此认为域控制器80没有正常动作,直接进入(2-3)。
(2-3)用户认证单元104利用本地用户认证单元105进行与由本地用户信息保存单元107管理的用户信息之间的对照。如果对照成功,则用户认证成功。
<动作脚本3>
在这里,说明在包含域控制器80、信息网络70,系统整体正常动作的情况下,利用本地用户认证单元105进行了用户认证的情况下的动作。
(3-1)由于利用操作监视终端,因此由操作监视终端100的本地的用户认证单元105进行本地的用户认证操作。
(3-2)用户认证单元104利用信息网络接口单元103和信息网络70,对域控制器80是否正常动作进行确认。在本脚本的前提下认为正常动作,实施后述的<动作脚本4>,然后进入(3-3)。
(3-3)用户认证单元104利用本地用户认证单元105进行与由本地用户信息保存单元107管理的用户信息之间的对照。如果对照成功,则用户认证成功。
<动作脚本4>
在这里,说明与是否可以利用域控制器80无关,用户利用本地用户认证单元105进行了用户认证的情况下的部分动作。
(4-1)用户认证单元104利用信号AL,向用户认证警报单元200通知进行了本地用户认证的情况。
(4-2)用户认证警报单元200通过控制总线接口单元102以及控制总线10,向其他的操作监视终端30的警报管理功能通知。
(4-3)操作监视终端100显示由该操作监视终端进行了本地用户认证的情况。
图2是表示本发明的第1实施方式所涉及的用户认证系统的信号处理流程的流程图。图2是由流程图表示<动作脚本2>的(2-2)以及<动作脚本3>的(3-2)的动作的图。
如果在步骤S1中开始处理,则在步骤S2中对是否是本地用户认证进行检查,如果为域用户认证,则在包含信息网络在内的域控制器中的用户认证正常动作的情况下,经由操作监视终端,利用域控制器进行用户认证。在步骤S3中由域控制器进行认证处理,在步骤S4中结束。
在步骤S2的检查中是本地用户认证的情况下,在步骤S5中对域控制器是否正常动作进行检查。在域控制器中的用户认证没有正常动作的情况下,如果不等待域用户认证功能的正常恢复而必须进行操作监视,则作为紧急措施,在步骤S6中执行本地用户认证处理。
在步骤S5的检查中,域控制器中的用户认证正常动作的情况下,虽然不是紧急措施,但利用本地用户认证,该情况在安全性上不优选,因此在步骤S7中执行用户认证警报发生处理,将由该操作监视终端进行了本地用户认证的情况作为安全警告而报告。该警告向其他操作监视终端发送,向其他用户通知。然后,在步骤S6中执行本地用户认证处理。
安全警告的发送·通知的机构是利用控制总线10构成的,如果在至少可以操作的程度下控制总线正常动作,则发送·通知一定成功。
图3是表示本发明的第1实施方式所涉及的用户认证系统的其他信号处理流程的流程图。图3是将图2的步骤S5的检查省略的图。在图2中,与域控制器是否正常动作无关,针对进行了本地用户认证的情况,发出安全警告。这具有抑制工厂作业中的警告发生的次数的效果。
在图3的流程图中示出的处理,是即使在提高安全的等级等情况下,也认为针对本地用户认证的进行,是安全上的警告的情况下的处理。
在本说明书中,表示“前、后、上、下、垂直、水平、下、横、行以及列”等方向的词语,是针对本发明的装置中的上述方向而言的。因此,本发明的说明书中的上述词语,应在本发明的装置中相对地进行解释。
作为“构成”的词语,是用于执行本发明的功能而构成的,或者是用于表示包含被编程的硬件或者软件的装置的结构、要素、部分而使用的。
并且,在权利要求中作为“装置·插件·功能”而表现的词语,应包含用于实施本发明所包含的功能而可以利用的所谓的构造。
在本说明书中,表示“大体上”、“大约”、“大致”等程度的词语,表示在产生的结果没有大幅度地变化的程度下与标准值之间存在的合理量的差。例如可以构成为,至少包含正负5%程度的差。
用语“部(单元)”,是用于叙述装置的组成部分、部件以及零件而使用的,是包含为了执行期望的功能而构成或者编程的硬件和/或软件。作为该硬件的典型例子而包含设备以及电路,但并不限定于此。
以上,说明并举例证明了本发明的优选实施方式,但这些原则上为本发明的示例,不应限定地考虑,在不脱离本发明的精神或者范围的范围内可以进行追加、删除、置换以及其他的变更。即,本发明不由所述的实施方式限定,而由权利要求书进行限定。
Claims (4)
1.一种控制系统,所述控制系统包括用户认证系统,其对在操作监视终端向控制系统登录的用户进行认证,该控制系统具有:所述操作监视终端,其具有本地用户认证单元;以及域控制器,其具有域用户认证单元,所述域控制器与所述操作监视终端进行通信,所述用户认证系统的特征在于,
所述操作监视终端具有用户认证警报单元,其在所述域控制器正常动作的状态时,所述用户利用所述本地用户认证单元执行了用户认证的情况下,发出安全警报,
所述安全警报向经由控制总线与所述操作监视终端连接的其他操作监视终端通知,
在所述用户利用所述本地用户认证单元执行了用户认证的情况下,如果所述域控制器是正常动作中,则在尽管所述域控制器正常动作也由所述用户认证警报单元针对进行了本地用户认证的情况发出警报后,由所述本地用户认证单元进行用户认证。
2.根据权利要求1所述的控制系统,其特征在于,
所述操作监视终端,在所述用户利用所述本地用户认证单元执行了用户认证的情况下,如果所述域控制器不是正常动作中,则由所述本地用户认证单元进行用户认证。
3.一种控制系统,所述控制系统包括用户认证系统,其对在操作监视终端向控制系统登录的用户进行认证,该控制系统具有:所述操作监视终端,其具有本地用户认证单元;以及域控制器,其具有域用户认证单元,所述域控制器与所述操作监视终端进行通信,所述用户认证系统的特征在于,
所述操作监视终端具有用户认证警报单元,其在所述域控制器正常动作的状态时,所述用户利用所述本地用户认证单元执行了用户认证的情况下,发出安全警报,
所述安全警报向经由控制总线与所述操作监视终端连接的其他操作监视终端通知;
在所述用户利用所述本地用户认证单元执行了用户认证的情况下,与所述域控制器的状态无关,在由所述用户认证警报单元针对本地用户认证的进行发出警报后,由所述本地用户认证单元进行用户认证。
4.根据权利要求3所述的控制系统,其特征在于,
所述操作监视终端,在所述用户利用所述本地用户认证单元执行了用户认证的情况下,如果所述域控制器不是正常动作中,则由所述本地用户认证单元进行用户认证。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010240572A JP5152539B2 (ja) | 2010-10-27 | 2010-10-27 | ユーザ認証システム |
| JP2010-240572 | 2010-10-27 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102457379A CN102457379A (zh) | 2012-05-16 |
| CN102457379B true CN102457379B (zh) | 2016-06-01 |
Family
ID=45370410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110330982.7A Active CN102457379B (zh) | 2010-10-27 | 2011-10-25 | 用户认证系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8756662B2 (zh) |
| EP (1) | EP2450820B1 (zh) |
| JP (1) | JP5152539B2 (zh) |
| CN (1) | CN102457379B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102780787A (zh) * | 2012-08-17 | 2012-11-14 | 广东利为网络科技有限公司 | 一种远程控制登录的方法及系统 |
| DE102013105516A1 (de) * | 2013-05-29 | 2014-12-04 | Weidmüller Interface GmbH & Co. KG | Basismodul für ein elektronisches Gerät |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1783780A (zh) * | 2004-12-04 | 2006-06-07 | 华为技术有限公司 | 域认证和网络权限认证的实现方法及设备 |
| GB2452635A (en) * | 2007-09-10 | 2009-03-11 | Fisher Rosemount Systems Inc | Location dependent control access in a process control system |
| GB2464397A (en) * | 2008-10-17 | 2010-04-21 | Intuit Inc | Accessing dynamic content on a web server using a default anonymous user account and cached logons of the web site owner. |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6219439B1 (en) * | 1998-07-09 | 2001-04-17 | Paul M. Burger | Biometric authentication system |
| DE10025791A1 (de) | 2000-05-19 | 2001-11-22 | Mannesmann Ag | Smartcards zur Authentisierungsprüfung in Maschinensteuerungen |
| JP2004272486A (ja) * | 2003-03-06 | 2004-09-30 | Ricoh Co Ltd | ネットワーク通信システム及び通信端末 |
| JP4441238B2 (ja) * | 2003-11-18 | 2010-03-31 | 株式会社リコー | ネットワーク対応周辺装置およびその制御方法 |
| JP2005165704A (ja) * | 2003-12-03 | 2005-06-23 | Yokogawa Electric Corp | セキュリティチェックシステム |
| US7530113B2 (en) | 2004-07-29 | 2009-05-05 | Rockwell Automation Technologies, Inc. | Security system and method for an industrial automation system |
| JP2007148876A (ja) * | 2005-11-29 | 2007-06-14 | Shimadzu Corp | ネットワーク型分析システム |
| EP1933522B1 (en) * | 2006-12-11 | 2013-10-23 | Sap Ag | Method and system for authentication |
| JP4963225B2 (ja) * | 2006-12-12 | 2012-06-27 | 三菱電機株式会社 | 個人認証システム |
| JP4946564B2 (ja) | 2007-03-27 | 2012-06-06 | 富士通株式会社 | 認証処理方法及びシステム |
| JP2009258917A (ja) * | 2008-04-15 | 2009-11-05 | Mitsubishi Electric Corp | プロキシサーバ、認証サーバおよび通信システム |
| JP2010240572A (ja) | 2009-04-06 | 2010-10-28 | Seiko Epson Corp | 膜形成方法 |
| US9182755B2 (en) * | 2010-08-26 | 2015-11-10 | Rockwell Automation Technologies, Inc. | Automated operator interface generation in a control system |
-
2010
- 2010-10-27 JP JP2010240572A patent/JP5152539B2/ja active Active
-
2011
- 2011-10-25 CN CN201110330982.7A patent/CN102457379B/zh active Active
- 2011-10-25 US US13/280,863 patent/US8756662B2/en active Active
- 2011-10-26 EP EP11186638.0A patent/EP2450820B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1783780A (zh) * | 2004-12-04 | 2006-06-07 | 华为技术有限公司 | 域认证和网络权限认证的实现方法及设备 |
| GB2452635A (en) * | 2007-09-10 | 2009-03-11 | Fisher Rosemount Systems Inc | Location dependent control access in a process control system |
| GB2464397A (en) * | 2008-10-17 | 2010-04-21 | Intuit Inc | Accessing dynamic content on a web server using a default anonymous user account and cached logons of the web site owner. |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2450820B1 (en) | 2017-09-06 |
| EP2450820A1 (en) | 2012-05-09 |
| JP5152539B2 (ja) | 2013-02-27 |
| US20120110648A1 (en) | 2012-05-03 |
| JP2012093949A (ja) | 2012-05-17 |
| CN102457379A (zh) | 2012-05-16 |
| US8756662B2 (en) | 2014-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101674285B (zh) | 一种单点登录系统及其方法 | |
| CN101675640A (zh) | 认证网关的自发起端到端监控 | |
| CN111143167B (zh) | 用于多平台的告警归并方法及装置、设备、存储介质 | |
| CN110580034A (zh) | 车辆远程监控系统及其方法 | |
| CN102457379B (zh) | 用户认证系统 | |
| US8601376B2 (en) | Virtual wiring | |
| CN103905222A (zh) | 一种检测即时通信登录故障的方法和系统 | |
| CN105678171A (zh) | 一种处理数据的方法、装置及移终端 | |
| CN109613846A (zh) | 一种高安全的双余度过载表决启动方法 | |
| CN109445421B (zh) | 一种车用电子控制单元通用故障诊断方法 | |
| KR20080042630A (ko) | 모바일 단말기를 이용한 피에스디 제어 시스템 | |
| US20140237110A1 (en) | Server monitoring | |
| CN109709849A (zh) | 单片机安全运行控制方法与装置 | |
| CN105721237A (zh) | 使用安全系统的装备和网络健康监控 | |
| JP2011145861A (ja) | 災害時自動切換えシステムとその処理方法 | |
| CN204695092U (zh) | 一种硼加热系统的pcs系统 | |
| CN114676865A (zh) | 一种校园电动车充电系统 | |
| JP2017114645A (ja) | エレベーター保守管理システム | |
| CN108712304A (zh) | 企业服务器监控系统 | |
| KR101755871B1 (ko) | 실시간 음성경보 장치 및 실시간 음성경보 방법 | |
| CN110749032B (zh) | 运行控制方法、装置、空调器以及存储介质 | |
| CN106453292A (zh) | 一种电子签批用户管理方法及系统 | |
| JP2006036431A (ja) | エレベータの異常通報システム | |
| CN109842492A (zh) | 用于当在电气系统内安装时安全注册可移除电气设备的方法 | |
| CN108710807A (zh) | 基于地区电能系统越权管理方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |