用于数控系统的操作权限识别方法及装置

技术领域

本公开的实施例一般涉及权限识别领域，并且更具体地，涉及用于数控系统的操作权限识别方法、装置、设备和计算机可读存储介质。

背景技术

目前，在数控系统中，存在着操作人员身份识别问题以及越权访问问题。通常采用的解决方式为通过预置几个不同的密码以区分不同的权限，但是预置密码方式很容易泄露，从而使得数控系统很容易被非法访问或者非法越权访问，并且数控系统也不知道具体是谁进行的操作，无法进行回溯。

发明内容

根据本公开的实施例，提供了一种操作权限识别方案。

在本公开的第一方面，提供了一种用于数控系统的操作权限识别方法。该方法包括：

当检测到第一USB Key的接入时，获取所述第一USB Key中存储的用户身份信息；

对所述用户身份信息进行有效性验证；

若通过有效性验证，则在所述数控系统本地根据预存的目标权限描述文件对用户进行操作权限识别。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述目标权限描述文件通过以下步骤预存：

根据初始化指令，检测接入所述数控系统的第二USB Key；

当检测到第二USB Key的接入时，获取所述第二USB Key中存储的目标权限描述文件，完成初始化操作；其中，所述目标权限描述文件包括：

身份信息以及与所述身份信息关联的权限描述信息。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述第二USBKey中还存储有管理员身份信息；

在完成初始化操作之前，所述方法还包括：

对所述管理员身份信息进行验证；

若验证失败，则提示初始化失败；若验证成功，则提示初始化操作成功。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述对所述用户身份信息进行有效性验证，包括：

判断所述目标权限描述文件中是否存在与所述用户身份信息相匹配的身份信息；

若存在，则通过有效性验证。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述权限描述信息用于描述各用户分组分别对应的操作权限；

所述在所述数控系统本地根据预存的目标权限描述文件对所述用户进行操作权限识别，包括：

确定所述用户身份信息所属的用户分组；

根据所述权限描述信息以及所述用户身份信息所属的用户分组，确定所述用户的操作权限。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述权限描述信息用于描述所述各身份信息分别对应的操作权限；

所述在所述数控系统本地根据预存的目标权限描述文件对所述用户进行操作权限识别，包括：

根据所述权限描述信息以及所述用户身份信息，在所述数控系统本地确定所述用户的操作权限。

在本公开的第二方面，提供了一种用于数控系统的操作权限识别装置。该装置包括：

获取模块，用于当检测到第一USB Key的接入时，获取所述第一USB Key中存储的用户身份信息；

验证模块，用于对所述用户身份信息进行有效性验证；

识别模块，用于若通过有效性验证，则在所述数控系统本地根据预存的目标权限描述文件对用户进行操作权限识别。

在本公开的第三方面，提供了一种电子设备。该电子设备包括：存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。

在本公开的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如根据本公开的第一方面和/或第二发面的方法。

应当理解，发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征，亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。

附图说明

结合附图并参考以下详细说明，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中，相同或相似的附图标记表示相同或相似的元素，其中：

图1示出了根据本公开的实施例的用于数控系统的操作权限识别方法的流程图；

图2示出了根据本公开的实施例的用于数控系统的操作权限识别装置的方框图；

图3示出了能够实施本公开的实施例的示例性电子设备的方框图。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本公开保护的范围。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本公开中，可在数控系统本地根据预存的目标权限描述文件对用户进行操作权限识别，以便使用户按照其操作权限对数控系统进行操作，从而避免越权访问以及非法访问，而这种操作权限识别方式也解决了预置密码方式下的各种安全问题。

图1示出了根据本公开实施例的用于数控系统的操作权限识别方法100的流程图。如图1所示，所述用于数控系统的操作权限识别方法100包括：

步骤110，当检测到第一USB Key的接入时，获取所述第一USB Key中存储的用户身份信息；USB Key是一种USB接口的硬件设备。

用户身份信息可以存储在第一USB Key的安全存储区域中。

获取的方式包括但不限于：定期扫描是否有操作员USB Key(即第一USB Key)接入，如果检测到有第一USB Key接入，则通过SDK(Software Development Kit，软件开发工具包)软件读取第一USB Key中的用户身份信息。

步骤120，对所述用户身份信息进行有效性验证；

步骤130，若通过有效性验证，则在所述数控系统本地根据预存的目标权限描述文件对用户进行操作权限识别。

在检测到第一USB Key接入时，通过获取用户身份信息，可对该用户身份信息进行有效性验证，然后在有效性验证通过后，说明该用户身份信息不是无效的，是合法的，因而，可在数控系统的本地根据目标权限描述文件对用户进行操作权限的自动识别，以便使合法用户可按照其操作权限对数控系统进行操作，从而避免越权访问以及非法访问，而这种操作权限识别方式也解决了预置密码方式下的各种安全问题。

另外，数控系统还可对该用户的操作进行记录，从而便于之后对其操作进行审计、对生产过程进行回溯。且在数控系统的本地对操作权限进行识别，可避免需要外置认证服务器才能完成操作权限的识别，能够在单机场景下实现基于数字证书的身份认证以及访问控制。

在一个实施例中，所述目标权限描述文件通过以下步骤预存：

根据初始化指令，检测接入所述数控系统的第二USB Key；

第二USB Key为数控系统的操作员的USB Key。

当检测到第二USB Key的接入时，获取所述第二USB Key中存储的目标权限描述文件，完成初始化操作；其中，所述目标权限描述文件包括：

身份信息(该身份信息为该数控系统的各合法操作员的身份信息)以及与所述身份信息关联的权限描述信息(权限描述信息用于描述各合法操作员的对该数控系统可执行哪些操作以及权限等级等)。

在检测到第二USB Key的接入时，可根据初始化指令，获取该第二USB Key中存储的目标权限描述文件，从而自动完成初始化操作。

另外，目标权限描述文件存储在数控系统的哪个位置，本公开不做限制。

在一个实施例中，所述第二USB Key中还存储有管理员身份信息；

在完成初始化操作之前，所述方法还包括：

对所述管理员身份信息进行验证；

管理员身份信息的验证即利用该第二USB Key内置的公钥算法对该管理员身份信息中的私钥进行验证，如果验证通过就是验证成功，否则，即为验证失败。

若验证失败，则提示初始化失败；若验证成功，则提示初始化操作成功。

第二USB Key中还存储有管理员身份信息，在完成初始化操作之时，还需要对管理员身份信息进行验证，只有管理员身份信息一并通过验证，说明才会提示初始化操作成功，否则，就提示初始化失败。

目标权限描述文件可以存储在第二USB Key中的安全数据存储区域中，而管理员身份信息可以存储在第二USB Key中的证书密钥管理区内。

在一个实施例中，所述对所述用户身份信息进行有效性验证，包括：

判断所述目标权限描述文件中是否存在与所述用户身份信息相匹配的身份信息；

若存在，则通过有效性验证。

可通过判断目标权限描述文件中是否存在与所述用户身份信息相匹配的身份信息来进行有效性验证，如果存在，说明该用户身份信息对应的用户有权操作该数控系统，并非非法用户，属于合法用户，因而，有效性验证通过。

在一个实施例中，所述权限描述信息用于描述各用户分组分别对应的操作权限；

所述在所述数控系统本地根据预存的目标权限描述文件对所述用户进行操作权限识别，包括：

确定所述用户身份信息所属的用户分组；

根据所述权限描述信息以及所述用户身份信息所属的用户分组，确定所述用户的操作权限。

由于数控系统的操作员可以按照组别的不同划分操作权限，因而，在确定用户的操作权限时，可确定该用户身份信息所属的用户分组，进而根据权限描述信息以及该用户身份信息所属的用户分组，在所述数控系统本地自动确定该用户的具体操作权限。

在一个实施例中，所述权限描述信息用于描述所述各身份信息分别对应的操作权限；

所述在所述数控系统本地根据预存的目标权限描述文件对所述用户进行操作权限识别，包括：

根据所述权限描述信息以及所述用户身份信息，在所述数控系统本地确定所述用户的操作权限。

由于数控系统的每个操作员的操作权限均可以不同，因而，在确定用户的操作权限时候，可根据权限描述信息以及所述用户身份信息，在所述数控系统本地自动确定该用户的具体操作权限，如此，既克服了预置密码方式下的各种安全问题，又避免了需要外置服务器进行操作权限的远程识别。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本公开并不受所描述的动作顺序的限制，因为依据本公开，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本公开所必须的。

以上是关于方法实施例的介绍，以下通过装置实施例，对本公开所述方案进行进一步说明。

图2示出了根据本公开的实施例的用于数控系统的操作权限识别装置200的方框图。装置200可以包括：

获取模块210，用于当检测到第一USB Key的接入时，获取所述第一USB Key中存储的用户身份信息；

验证模块220，用于对所述用户身份信息进行有效性验证；

识别模块230，用于若通过有效性验证，则在所述数控系统本地根据预存的目标权限描述文件对用户进行操作权限识别。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

图3示出了可以用来实施本公开的实施例的电子设备300的示意性框图。设备300可以用于实现图2的用于数控系统的操作权限识别装置200。如图所示，设备300包括CPU301，其可以根据存储在ROM302中的计算机程序指令或者从存储单元308加载到RAM303中的计算机程序指令，来执行各种适当的动作和处理。在RAM 303中，还可以存储设备300操作所需的各种程序和数据。CPU 301、ROM 302以及RAM 303通过总线304彼此相连。I/O接口305也连接至总线304。

设备300中的多个部件连接至I/O接口305，包括：输入单元306，例如键盘、鼠标等；输出单元307，例如各种类型的显示器、扬声器等；存储单元308，例如磁盘、光盘等；以及通信单元309，例如网卡、调制解调器、无线通信收发机等。通信单元309允许设备300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理单元301执行上文所描述的各个方法和处理，例如方法100。例如，在一些实施例中，方法100可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元308。在一些实施例中，计算机程序的部分或者全部可以经由ROM 302和/或通信单元309而被载入和/或安装到设备300上。当计算机程序加载到RAM 303并由CPU 301执行时，可以执行上文描述的方法100的一个或多个步骤。备选地，在其他实施例中，CPU 301可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行方法100。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)等等。

用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、RAM、ROM、EPROM、光纤、CD-ROM、光学储存设备、磁储存设备、或上述内容的任何合适组合。

此外，虽然采用特定次序描绘了各操作，但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行，或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地，在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。

尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。