JP5503500B2 - Access right management device, access right management system, access right management method, and access right management program - Google Patents

Access right management device, access right management system, access right management method, and access right management program Download PDF

Info

Publication number
JP5503500B2
JP5503500B2 JP2010246355A JP2010246355A JP5503500B2 JP 5503500 B2 JP5503500 B2 JP 5503500B2 JP 2010246355 A JP2010246355 A JP 2010246355A JP 2010246355 A JP2010246355 A JP 2010246355A JP 5503500 B2 JP5503500 B2 JP 5503500B2
Authority
JP
Japan
Prior art keywords
equipment
access
information
service
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010246355A
Other languages
Japanese (ja)
Other versions
JP2012098924A (en
Inventor
喜宣 牧元
伸一 澤村
晋平 大山
信夫 佐伯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2010246355A priority Critical patent/JP5503500B2/en
Priority to CN201110338411.8A priority patent/CN102457521B/en
Publication of JP2012098924A publication Critical patent/JP2012098924A/en
Application granted granted Critical
Publication of JP5503500B2 publication Critical patent/JP5503500B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ビル、オフィスおよび工場などに設置された設備機器にセキュリティを保ちつつアクセスするアクセス権管理装置などの技術に関する。   The present invention relates to a technology such as an access right management device for accessing equipment installed in a building, office, factory, etc. while maintaining security.

従来、設備機器の管理はローカルネットワーク内で行われてきた。インターネットを介して管理する場合でも、特定の顧客の専用サーバやネットワークが用いられてきており、専用のシステムが構築されてきた。近年は、一つのシステムが多数の顧客に利用される、SaaS・クラウド型でのサービスが出現してきている。   Conventionally, management of equipment has been performed within a local network. Even when managing via the Internet, dedicated servers and networks of specific customers have been used, and dedicated systems have been constructed. In recent years, SaaS / cloud services have emerged in which one system is used by many customers.

インターネットを介して設備機器を管理する方式としては、BACnet/WS規格があり、ツリー構造を用いて設備機器にアクセスする方法が規定されている。また、設備機器に安全にアクセスするためには、設備機器へアクセス権を付加して権利保持者のみがアクセスできる必要がある。
個々の要素(設備機器、ファイルなど)へアクセス権を付加する方式としては、ファイルのアクセス権管理に関し、フォルダごとのアクセス権を集中管理し、それらを各ファイルに付与する方式が知られている(例えば、特許文献1参照)。 As a method for managing equipment via the Internet, there is a BACnet / WS standard, and a method for accessing equipment using a tree structure is defined. Further, in order to access the facility equipment safely, it is necessary that an access right is added to the facility equipment and only the right holder can access it.
As a method of adding access rights to individual elements (equipment, files, etc.), with respect to file access rights management, a method of centrally managing access rights for each folder and assigning them to each file is known. (For example, refer to Patent Document 1).

特開2008−305221号公報JP 2008-305221 A

しかしながら、上記のように、設備機器、ファイル、フォルダ毎に、それを利用可能なユーザのリストを作成することでアクセス権を管理しようとした場合、一つのシステムに膨大な数の設備機器があり、ユーザやユーザの利用するサービスによりアクセスする機器が異なるため、それぞれの設備機器に対してそれを利用可能なユーザのリストを作成することでアクセス権を設定しようとすると、設定が複雑になり、設備機器への負荷やネットワーク通信量が増大してしまうという問題がある。   However, as mentioned above, when trying to manage access rights by creating a list of users who can use each equipment, file, and folder, there is a huge number of equipment in one system. Since the devices to be accessed differ depending on the user and the service used by the user, setting the access right by creating a list of users who can use it for each equipment device becomes complicated, There is a problem that the load on the equipment and the amount of network communication increase.

そこで、本発明は、前記問題に鑑みてなされたものであり、システムへの負荷を軽減するアクセス権の付与を実現するアクセス権管理装置、アクセス権管理システム、アクセス権管理方法およびアクセス権管理プログラムを提供することを課題とする。   Accordingly, the present invention has been made in view of the above problems, and an access right management device, an access right management system, an access right management method, and an access right management program that realize the granting of an access right that reduces the load on the system. It is an issue to provide.

前記課題を解決するために、本発明のアクセス権管理装置は、ユーザがサービスを利用する際の設備機器にアクセスする権利であるアクセス権限を管理するアクセス権管理装置であって、前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、アクセス可能な前記設備機器を対応づけたアクセス権限情報と、前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器のリストであるアクセス可能設備機器リスト(アクセス可能設備機器情報)を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器リスト(アクセス可能設備機器情報)に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御部と、前記設備機器と当該設備機器の状態とその状態の履歴とを対応づけた設備機器状態履歴情報を記憶している記憶部と、ネットワークを介して前記設備機器へアクセスするのか、または、前記設備機器の状態が記録された前記設備機器状態履歴情報へアクセスするのかを示す情報であるノード種別と、前記設備機器とを対応づけたノード種別情報を記憶している記憶部と、を備え、前記アクセス制御部は、前記アクセス可能設備機器情報に存在する設備機器ごとに、前記ノード種別情報を用いて、前記ノード種別を取得し、アクセスする場所を選択するデータアクセス制御部を備えることを特徴とする。
または、本発明のアクセス権管理装置は、ユーザがサービスを利用する際の設備機器にアクセスする権利であるアクセス権限を管理するアクセス権管理装置であって、前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、アクセス可能な前記設備機器を対応づけたアクセス権限情報を記憶している記憶部と、前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御部と、前記設備機器への経路を示すために、前記設備機器のサービス構成上の管理状態を示す木構造に基づく第1の経路および前記設備機器のシステム構成上の管理状態を示す木構造に基づく第2の経路があり、前記第1の経路と前記第2の経路とを、前記設備機器ごとに対応づけた経路対応情報を記憶している記憶部と、を備え、前記アクセス制御部は、前記クライアント機器に対しては、前記第1の経路を用いて前記設備機器を示し、前記制御機器に対しては、前記経路対応情報に基づいて、前記第1の経路を前記第2の経路に置き換えて当該設備機器を示すことを特徴とする。 In order to solve the above problems, an access right management apparatus according to the present invention is an access right management apparatus that manages an access right that is a right to access a facility device when a user uses a service, and identifies the user. For each set of a user ID to be performed and a service ID for specifying the service, the access authority information associated with the accessible equipment and the input from a client device that exchanges information with the user Based on the user ID and the service ID, the access authority information is used to obtain an accessible equipment list (accessible equipment information) that is a list of the equipment that the user can access in the service. , For the control equipment that controls the equipment, the accessible equipment list (A Requesting control of the equipment present in processes available equipment information), to the client device, an access control unit for displaying the control result of the equipment acquired from the control apparatus, the equipment and the equipment A storage unit storing facility device state history information that associates the state of the device with a history of the state, and the facility device is accessed via a network, or the state of the facility device is recorded A node that is information indicating whether to access the equipment status history information, and a storage unit that stores node type information that associates the equipment with the access control unit. For each piece of equipment that exists in the available equipment information, the node type information is used to acquire the node type and select a location to access. Characterized in that it comprises a Seth controller.
Alternatively, the access right management apparatus according to the present invention is an access right management apparatus that manages an access right that is a right to access a facility device when a user uses a service, and the user ID that identifies the user and the service For each set of service IDs that identify the device, the information is acquired from the storage unit storing the access authority information that associates the accessible equipment and the input from the client device that exchanges information with the user. Based on the user ID and the service ID, the access authority information is used to obtain accessible equipment information that is information on the equipment that the user can access in the service, and the equipment is controlled. Requesting the control equipment to control the equipment existing in the accessible equipment information. An access control unit that displays a control result of the facility device acquired from the control device to a client device, and a tree that indicates a management state in the service configuration of the facility device in order to indicate a route to the facility device There is a first path based on a structure and a second path based on a tree structure indicating a management state of the system configuration of the equipment, and the first path and the second path are classified for each equipment. A storage unit that stores associated route correspondence information, and the access control unit indicates the facility device to the client device using the first route, and On the other hand, the equipment is indicated by replacing the first route with the second route based on the route correspondence information.

本発明によれば、システムへの負荷を軽減するアクセス権の付与を実現することができる。   According to the present invention, it is possible to realize an access right that reduces the load on the system.

本発明の第1実施形態に係るアクセス権管理装置およびアクセス権管理システムの構成を示す図である。It is a figure which shows the structure of the access right management apparatus and access right management system which concern on 1st Embodiment of this invention. 本発明のアクセス権管理装置の記憶部の構成を示す図である。It is a figure which shows the structure of the memory | storage part of the access right management apparatus of this invention. 本発明のアクセス権管理装置におけるユーザ認証情報テーブルの一例を示す図である。It is a figure which shows an example of the user authentication information table in the access right management apparatus of this invention. 本発明のアクセス権管理装置におけるサービス情報テーブルの一例を示す図である。It is a figure which shows an example of the service information table in the access right management apparatus of this invention. 本発明のアクセス権管理装置におけるサービスパーミッションテーブル(利用権限情報)の一例を示す図である。It is a figure which shows an example of the service permission table (use authority information) in the access right management apparatus of this invention. 本発明のアクセス権管理装置におけるノードパーミッションテーブル(アクセス権限情報)の一例を示す図である。It is a figure which shows an example of the node permission table (access authority information) in the access right management apparatus of this invention. 本発明のアクセス権管理装置におけるノード対応付けテーブル(経路対応情報)の一例を示す図である。It is a figure which shows an example of the node matching table (path | route correspondence information) in the access right management apparatus of this invention. 本発明のアクセス権管理装置におけるデバイスノード情報テーブル(ノード種別情報)の一例を示す図である。It is a figure which shows an example of the device node information table (node classification information) in the access right management apparatus of this invention. 本発明のアクセス権管理装置におけるデバイスノード状態履歴テーブル(設備機器状態履歴情報)の一例を示す図である。It is a figure which shows an example of the device node state history table (facility apparatus state history information) in the access right management apparatus of this invention. 設備機器のシステム構成上の管理状態を示す木構造の一例を示す図である。It is a figure which shows an example of the tree structure which shows the management state on the system configuration of equipment. 設備機器のサービス構成上の管理状態を示す木構造の一例を示す図である。It is a figure which shows an example of the tree structure which shows the management state on the service structure of an installation apparatus. 本発明のアクセス権管理装置のログイン処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the login process of the access right management apparatus of this invention. 本発明のアクセス権管理装置のサービスアクセス処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the service access process of the access right management apparatus of this invention. 本発明のアクセス権管理装置のデータ取得処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the data acquisition process of the access right management apparatus of this invention. 本発明のアクセス権管理装置のデータ登録処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the data registration process of the access right management apparatus of this invention. 本発明の第2実施形態に係るアクセス権管理装置およびアクセス権管理システムの構成を示す図である。It is a figure which shows the structure of the access right management apparatus and access right management system which concern on 2nd Embodiment of this invention.

<第1実施形態>
以下、本発明の第1実施形態について、図1〜図15を参照して説明する。
[アクセス権管理システム100の構成]
図1に示すように、アクセス権管理システム100は、サーバ機器(アクセス権管理装置)1と、クライアント機器2と、ゲートウェイ(GW)機器3と、グローバルネットワーク4と、ローカルネットワーク5と、制御機器31〜33と、設備機器41〜47とを備える。なお、以下では、本発明をビル内のオフィスに適用した例において説明する。
アクセス権管理システム100は、ユーザがサービス利用時に設備機器へアクセスするためのシステムである。ここで、サービスとは、ドアの施錠などの入退室管理、エアコンの制御などのエネルギー管理その他の設備機器管理等をいう。 <First Embodiment>
Hereinafter, a first embodiment of the present invention will be described with reference to FIGS.
[Configuration of Access Rights Management System 100]
As shown in FIG. 1, an access right management system 100 includes a server device (access right management device) 1, a client device 2, a gateway (GW) device 3, a global network 4, a local network 5, and a control device. 31-33 and equipment 41-47 are provided. Hereinafter, an example in which the present invention is applied to an office in a building will be described.
The access right management system 100 is a system for a user to access equipment when using a service. Here, the service refers to entrance / exit management such as door locking, energy management such as air conditioner control, and other equipment management.

サーバ機器(アクセス権管理装置)1は、クライアント機器2からの要求に応じてサービスを提供するものである。サーバ機器(アクセス権管理装置)1は、グローバルネットワーク4に接続され、ゲートウェイ(GW)機器3や制御機器33を介して設備機器41〜47の制御を行う。ここで、制御とは、設備機器の状態データを取得すること、設備機器に記憶されたデータを変更すること、あるいは、設備機器に動作指示を出すことなどをいう。なお、サーバ機器(アクセス権管理装置)1の内部構成については、後記する。   The server device (access right management device) 1 provides a service in response to a request from the client device 2. The server device (access right management device) 1 is connected to the global network 4 and controls the facility devices 41 to 47 via the gateway (GW) device 3 and the control device 33. Here, “control” refers to obtaining state data of the equipment, changing data stored in the equipment, or issuing an operation instruction to the equipment. The internal configuration of the server device (access right management device) 1 will be described later.

クライアント機器2は、サーバ機器(アクセス権管理装置)1からサービスの提供を受けるものである。クライアント機器2は、グローバルネットワーク4に接続され、ユーザからの入力を受け付けたり、サーバ機器(アクセス権管理装置)1からのサービスを提供するためのデータを表示したりするものである。また、クライアント機器2は、汎用ブラウザ等のGUI(Graphical User Interface)を持つ。
ゲートウェイ(GW)機器3は、サーバ機器(アクセス権管理装置)1からの要求に応じて、制御機器31,32を介して、設備機器41〜46の制御を行う通信機器である。ゲートウェイ(GW)機器3は、グローバルネットワーク4およびローカルネットワーク5に接続されている。 The client device 2 receives service from the server device (access right management device) 1. The client device 2 is connected to the global network 4 and receives input from a user or displays data for providing a service from the server device (access right management device) 1. The client device 2 has a GUI (Graphical User Interface) such as a general-purpose browser.
The gateway (GW) device 3 is a communication device that controls the facility devices 41 to 46 via the control devices 31 and 32 in response to a request from the server device (access right management device) 1. A gateway (GW) device 3 is connected to the global network 4 and the local network 5.

グローバルネットワーク4は、インターネット等の公衆ネットワークであり、サーバ機器(アクセス権管理装置)1、クライアント機器2、ゲートウェイ(GW)機器3、制御機器33を相互に接続するものである。
ローカルネットワーク5は、ビル内等に配線されたLAN(Local Area Network)等のネットワークであり、ゲートウェイ(GW)機器3と、制御機器31,32とを相互に接続するものである。 The global network 4 is a public network such as the Internet, and connects the server device (access right management device) 1, client device 2, gateway (GW) device 3, and control device 33 to each other.
The local network 5 is a network such as a LAN (Local Area Network) wired in a building or the like, and connects the gateway (GW) device 3 and the control devices 31 and 32 to each other.

制御機器31は、ローカルネットワーク5に接続され、設備機器41〜44の制御を行うものである。制御機器31は、ゲートウェイ(GW)機器3に対して、設備機器41〜44の状態変化の通知をする。あるいは、制御機器31は、ゲートウェイ(GW)機器3からの、設備機器41〜44への動作指示や状態データの取得などの要求に応じて、設備機器41〜44への動作指示や状態データの取得などを行う。
制御機器32は、同様に、設備機器45,46の制御を行うものである。
制御機器33は、グローバルネットワーク4に接続され、設備機器47の制御を行うものである。この制御機器33は、制御機器31,32と異なり、ゲートウェイ(GW)機器3ではなく、サーバ機器(アクセス権管理装置)1からの、設備機器47への動作指示や状態データの取得などの要求に応じて、設備機器47への動作指示や状態データの取得などを行う。 The control device 31 is connected to the local network 5 and controls the facility devices 41 to 44. The control device 31 notifies the gateway (GW) device 3 of the state change of the facility devices 41 to 44. Alternatively, in response to a request from the gateway (GW) device 3 such as an operation instruction to the equipment devices 41 to 44 or acquisition of state data, the control device 31 sends an operation instruction or state data to the equipment devices 41 to 44. Acquire.
Similarly, the control device 32 controls the equipment devices 45 and 46.
The control device 33 is connected to the global network 4 and controls the equipment device 47. Unlike the control devices 31 and 32, the control device 33 is a request for operation instructions and status data acquisition from the server device (access right management device) 1, not the gateway (GW) device 3, to the facility device 47. In response to this, an operation instruction to the equipment device 47, acquisition of state data, and the like are performed.

設備機器41〜47は、ビル、オフィスおよび工場などの一般にいう設備機器の他、いわゆるデバイス等を含み、また、プログラム中のオブジェクト等を意味するものである。例えば、設備機器41〜47は、電気錠、カードリーダ、パッケージエアコン、カメラ、およびプログラム中の計算式などである。設備機器41〜47は、その種別に応じて、それぞれの規格で、上述したように、制御機器31〜33に接続される。規格は、例えば、DI/DO、RS−485、RS−232C、HTTP等である。   The facility equipments 41 to 47 include so-called devices and the like in addition to general equipment equipment such as buildings, offices, and factories, and mean objects in the program. For example, the equipment devices 41 to 47 are an electric lock, a card reader, a packaged air conditioner, a camera, and a calculation formula in a program. As described above, the facility devices 41 to 47 are connected to the control devices 31 to 33 according to their standards according to their types. The standard is, for example, DI / DO, RS-485, RS-232C, HTTP, or the like.

次に、サーバ機器(アクセス権管理装置)1について説明する。
[サーバ機器(アクセス権管理装置)1の構成]
サーバ機器(アクセス権管理装置)1は、データ処理を行うアクセス制御部10と、データ処理のためのテーブルを記憶する記憶部14とを備える。
アクセス制御部10は、サービスアクセス制御部11と、データアクセス制御部12と、デバイスアクセス制御部13とを備える。 Next, the server device (access right management device) 1 will be described.
[Configuration of Server Device (Access Right Management Device) 1]
The server device (access right management device) 1 includes an access control unit 10 that performs data processing, and a storage unit 14 that stores a table for data processing.
The access control unit 10 includes a service access control unit 11, a data access control unit 12, and a device access control unit 13.

サービスアクセス制御部11は、クライアント機器2からのサービス利用の要求を受け、サービスの利用者であるユーザと利用するサービスとの組み合わせにより、記憶部14からユーザが利用可能な設備機器の一覧(後記するアクセス可能設備機器リスト(アクセス可能設備機器情報))を取得するものである。ここで、アクセス可能設備機器リスト(アクセス可能設備機器情報)とは、ユーザがサービスを利用する際に、設備機器の状態データを取得すること、設備機器に記憶されたデータを変更すること、あるいは、設備機器に動作指示を出すことなどが可能な設備機器の一覧を示すものである。
また、サービスアクセス制御部11は、設備機器41〜47の制御結果を後記するデータアクセス制御部12から取得し、取得した制御結果を編集して画面データを構築する。画面データは、例えば、HTML(Hyper Text Markup Language)形式とする。この画面データは、クライアント機器2へ送信され、表示される。ここで、制御結果とは、設備機器41〜47の状態データの取得結果、設備機器41〜47に記憶されたデータの変更結果、あるいは、設備機器41〜47の動作指示結果などをいう。
また、サービスアクセス制御部11は、ユーザのログイン処理も行う。 The service access control unit 11 receives a service use request from the client device 2 and, according to the combination of the user who is the user of the service and the service to be used, a list of equipment devices that can be used by the user from the storage unit 14 (described later). To obtain an accessible equipment list (accessible equipment information). Here, the accessible equipment list (accessible equipment information) means that when the user uses the service, the status data of the equipment is acquired, the data stored in the equipment is changed, or This is a list of equipment that can issue operation instructions to the equipment.
Further, the service access control unit 11 acquires the control results of the equipment devices 41 to 47 from the data access control unit 12 to be described later, and edits the acquired control results to construct screen data. The screen data is, for example, in HTML (Hyper Text Markup Language) format. This screen data is transmitted to the client device 2 and displayed. Here, the control result refers to an acquisition result of state data of the equipment devices 41 to 47, a change result of data stored in the equipment devices 41 to 47, or an operation instruction result of the equipment devices 41 to 47.
The service access control unit 11 also performs user login processing.

データアクセス制御部12は、サービスアクセス制御部11からのアクセス可能設備機器リスト(アクセス可能設備機器情報)に応じた設備機器の制御要求を受け、後記するデバイスアクセス制御部13または記憶部14から当該設備機器の制御結果を取得するものである。この制御結果は、サービスアクセス制御部11へ送信される。
デバイスアクセス制御部13は、データアクセス制御部12からのアクセス可能設備機器リスト(アクセス可能設備機器情報)に応じた設備機器の制御要求を受け、グローバルネットワーク4を介して、通信路を確立するものである。ここで、通信路の確立には、SSL(Secure Socket Layer)を利用した相互認証を行う等し、セキュアな通信路の確立を行う。
また、デバイスアクセス制御部13は、当該設備機器の制御結果を、ゲートウェイ(GW)機器3または制御機器33から取得するものである。この制御結果は、データアクセス制御部12へ返される。 The data access control unit 12 receives a control request for equipment according to the accessible equipment list (accessible equipment information) from the service access control unit 11, and receives the request from the device access control unit 13 or the storage unit 14 described later. The control result of equipment is acquired. This control result is transmitted to the service access control unit 11.
The device access control unit 13 establishes a communication path via the global network 4 in response to a control request for the equipment according to the accessible equipment list (accessible equipment information) from the data access control unit 12 It is. Here, for establishing the communication path, mutual authentication using SSL (Secure Socket Layer) is performed to establish a secure communication path.
The device access control unit 13 acquires a control result of the facility device from the gateway (GW) device 3 or the control device 33. This control result is returned to the data access control unit 12.

記憶部14は、ユーザの認証やサービスの利用に関するデータを提供するサービス管理データ15と、デバイスのアクセスに関するデータを提供するデバイス管理データ16と、デバイスの状態とその履歴に関するデータを提供するデバイス状態データ17とを備える。本実施形態では、記憶部14は、データベースである。
図2に示すように、サービス管理データ15は、ユーザ認証情報テーブル201と、サービス情報テーブル301と、サービスパーミッションテーブル(利用権限情報)401と、ノードパーミッションテーブル(アクセス権限情報)501と、ノード対応付けテーブル(経路対応情報)601と、サービスノードツリー1001とを備える。 The storage unit 14 includes service management data 15 that provides data related to user authentication and service use, device management data 16 that provides data related to device access, and device status that provides data related to device status and history. Data 17. In the present embodiment, the storage unit 14 is a database.
As shown in FIG. 2, the service management data 15 includes a user authentication information table 201, a service information table 301, a service permission table (use authority information) 401, a node permission table (access authority information) 501, and node correspondences. An attachment table (route correspondence information) 601 and a service node tree 1001.

デバイス管理データ16は、デバイスノード情報テーブル(ノード種別情報)701と、デバイスノードツリー901とを備える。
デバイス状態データ17は、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801を備える。 The device management data 16 includes a device node information table (node type information) 701 and a device node tree 901.
The device state data 17 includes a device node state history table (facility equipment state history information) 801.

次に、前記した各種テーブルの一例およびツリー構造について、図3〜図11を用いて説明する。
ユーザ認証情報テーブル201は、図3に示すように、ユーザとその認証情報を管理するテーブルである。このユーザ認証情報テーブル201は、ユーザID210と、ユーザ認証情報220とを備える。
ユーザID210は、ユーザを一意に特定するためのIDであり、ユーザがサービスを利用するときに、ユーザが提示する情報である。ユーザ認証情報220は、ユーザID210を提示したユーザの本人確認のために必要なデータであり、パスワードのハッシュ値や生体認証情報が記録される。 Next, an example of the various tables described above and a tree structure will be described with reference to FIGS.
As shown in FIG. 3, the user authentication information table 201 is a table for managing users and their authentication information. This user authentication information table 201 includes a user ID 210 and user authentication information 220.
The user ID 210 is an ID for uniquely identifying the user, and is information presented by the user when the user uses the service. The user authentication information 220 is data necessary for the identity verification of the user presenting the user ID 210, and a password hash value and biometric authentication information are recorded.

サービス情報テーブル301は、図4に示すように、サービスとそのサービスの提供に必要な情報を管理するテーブルである。このサービス情報テーブル301は、サービスID310と、サービス情報320とを備える。
サービスID310は、多数あるサービスから利用されるサービスを一意に特定するためのIDである。サービス情報320は、サービスID310で指定されるサービスを提供するために必要な情報であり、本実施形態ではサービスのURL(Uniform Resource Locator)が記録される。 As shown in FIG. 4, the service information table 301 is a table for managing services and information necessary for providing the services. The service information table 301 includes a service ID 310 and service information 320.
The service ID 310 is an ID for uniquely identifying a service used from a number of services. The service information 320 is information necessary for providing the service specified by the service ID 310, and in this embodiment, the service URL (Uniform Resource Locator) is recorded.

サービスパーミッションテーブル(利用権限情報)401は、図5に示すように、ユーザとサービスの組に応じてサービスの利用権限を管理するテーブルである。このサービスパーミッションテーブル(利用権限情報)401は、ユーザID410と、サービスID420と、サービスパーミッション(アクセス権種別)430とを備える。
ユーザID410は、ユーザ認証情報テーブル201に記録されるユーザID210と同一である。サービスID420は、サービス情報テーブル301に記録されるサービスID310と同一である。サービスパーミッション(アクセス権種別)430は、ユーザIDに示されるユーザが、サービスIDで示されるサービスを利用可能か否か判定するための情報である。 The service permission table (use authority information) 401 is a table for managing the use authority of a service in accordance with a user / service pair, as shown in FIG. The service permission table (use authority information) 401 includes a user ID 410, a service ID 420, and a service permission (access right type) 430.
The user ID 410 is the same as the user ID 210 recorded in the user authentication information table 201. The service ID 420 is the same as the service ID 310 recorded in the service information table 301. The service permission (access right type) 430 is information for determining whether or not the user indicated by the user ID can use the service indicated by the service ID.

このサービスパーミッション(アクセス権種別)430は、例えば、「read」、「write」もしくは「read, write」である。「read」はサービスIDで示されるサービスを利用して設備機器の情報を閲覧できる権限、「write」はサービスIDで示されるサービスを利用して設備機器に動作指示を与える権限、「read, write」はサービスIDで示されるサービスを利用して設備機器の情報の閲覧と動作指示を行える権限を示す。
例えば、「read」では、エアコンが今どのような状態にあるのかを知るというようなことができる。「write」では、エアコンをONにするというようなことができる。また、「write」では、サーバ機器(アクセス権管理装置)1上において、設備機器の状態データを処理するための計算式やパラメータを変更するというようなことができる。さらに、「write」では、設備機器41〜47上において、例えばドアが10秒間開いた状態が続くと警報を鳴らすというように、設備機器41〜47の動作のパラメータを変更することもできる。 The service permission (access right type) 430 is, for example, “read”, “write”, or “read, write”. “Read” is an authority to view information on the equipment using the service indicated by the service ID, “write” is an authority to give an operation instruction to the equipment using the service indicated by the service ID, and “read, write "Indicates the authority to browse the information on the equipment and to perform an operation instruction using the service indicated by the service ID.
For example, “read” can be used to know what state the air conditioner is currently in. “Write” can turn on the air conditioner. In “write”, the calculation formula and parameters for processing the status data of the equipment device can be changed on the server device (access right management device) 1. Further, in “write”, the operation parameters of the equipment devices 41 to 47 can be changed such that, for example, an alarm is sounded when the door is open for 10 seconds on the equipment devices 41 to 47.

ノードパーミッションテーブル(アクセス権限情報)501は、図6に示すように、ユーザとサービスの組に応じて設備機器のアクセス権限を管理するテーブルである。このノードパーミッションテーブル(アクセス権限情報)501は、ユーザID510と、サービスID520と、サービスノードパス(第1の経路)530とを備える。
ユーザID510は、ユーザ認証情報テーブル201に記録されるユーザID210と同一である。サービスID520は、サービス情報テーブル301に記録されるサービスID310と同一である。サービスノードパス(第1の経路)530は、ユーザIDに示されるユーザが、サービスIDで示されるサービスの利用に際して、アクセス可能な設備機器が記録されている。 As shown in FIG. 6, the node permission table (access authority information) 501 is a table that manages the access authority of the equipment according to the combination of the user and the service. The node permission table (access authority information) 501 includes a user ID 510, a service ID 520, and a service node path (first route) 530.
The user ID 510 is the same as the user ID 210 recorded in the user authentication information table 201. Service ID 520 is the same as service ID 310 recorded in service information table 301. The service node path (first route) 530 records facility devices that can be accessed by the user indicated by the user ID when using the service indicated by the service ID.

サービスノードパス(第1の経路)530は、サービスノードツリー1001の各ノードへのパスの文字列表現を記録する。また、文字列表現中には、「*」を記載し、「*」が記載されている場所のノード以下の全ノードを示すことができる。
また、このノードパーミッションテーブル(アクセス権限情報)501から、ユーザとサービスを特定したものが、アクセス可能設備機器リスト(アクセス可能設備機器情報)である。 The service node path (first route) 530 records a character string representation of the path to each node of the service node tree 1001. In the character string expression, “*” can be written, and all nodes below the node where “*” is written can be shown.
Further, a list of users and services specified from the node permission table (access authority information) 501 is an accessible equipment list (accessible equipment information).

ノード対応付けテーブル(経路対応情報)601は、図7に示すように、サービスノードパス(第1の経路)610とデバイスノードパス(第2の経路)620の対応付けを行うテーブルである。
サービスノードパス(第1の経路)610は、サービスノードツリー1001の各ノードへのパスの文字列表現を記録する。デバイスノードパス(第2の経路)620は、デバイスノードツリー901の各ノードへのパスの文字列表現を記録する。サービスノードツリー1001のノードに対応する設備機器に対する制御要求は、ノード対応付けテーブル(経路対応情報)601により対応付けられるデバイスノードツリー901のノードに対応する設備機器への制御要求へと変換される。 The node association table (route correspondence information) 601 is a table that associates a service node path (first route) 610 and a device node path (second route) 620 as shown in FIG.
A service node path (first route) 610 records a character string representation of a path to each node of the service node tree 1001. A device node path (second route) 620 records a character string representation of a path to each node in the device node tree 901. The control request for the equipment corresponding to the node of the service node tree 1001 is converted into a control request for the equipment corresponding to the node of the device node tree 901 associated with the node correspondence table (route correspondence information) 601. .

デバイスノード情報テーブル(ノード種別情報)701は、図8に示すように、設備機器41〜47へのアクセスに必要な情報を管理するテーブルである。このデバイスノード情報テーブル(ノード種別情報)701は、デバイスノードパス(第2の経路)710と、ノード種別720と、ノード情報730とを備える。
デバイスノードパス(第2の経路)710は、デバイスノードツリー901の各ノードへのパスの文字列表現を記録する。 The device node information table (node type information) 701 is a table for managing information necessary for accessing the equipment devices 41 to 47 as shown in FIG. The device node information table (node type information) 701 includes a device node path (second route) 710, a node type 720, and node information 730.
A device node path (second route) 710 records a character string representation of a path to each node in the device node tree 901.

ノード種別720は、設備機器41〜47の制御結果の取得方法の種別を示す。ノード種別720は、「0」、「1」、「2」とする。「0」は、常に設備機器41〜47へアクセスしてデータを取得することを示す。これは設備機器41〜47の現在の状態を取得したい場合等に用いられる。「1」は、デバイス状態データ17に設備機器41〜47の直近の状態データが登録されていない場合にのみ、設備機器41〜47へアクセスしてデータを取得することを示す。これは、通信の負荷等を考慮に入れ、現在の状態データでなくても比較的新しい状態データがあれば許容される場合等に用いられる。「2」は、常にデバイス状態データ17からデータを取得することを示す。これは、設備機器41〜47の状態の統計データを取得したい場合等に用いられる。
ノード情報730は、デバイスノードパス(第2の経路)710で示す設備機器41〜47にアクセスするために必要な情報である。ノード情報730は、例えば、IP(Internet Protocol)アドレスとポート番号の組が記録される。 The node type 720 indicates the type of acquisition method of the control results of the equipment devices 41 to 47. The node type 720 is “0”, “1”, and “2”. “0” indicates that the equipment devices 41 to 47 are always accessed to acquire data. This is used, for example, when it is desired to acquire the current state of the equipment devices 41 to 47. “1” indicates that data is acquired by accessing the equipment devices 41 to 47 only when the latest status data of the equipment devices 41 to 47 is not registered in the device status data 17. This is used in consideration of communication load and the like, and if relatively new status data is allowed even if it is not current status data, it is used. “2” indicates that data is always acquired from the device status data 17. This is used when it is desired to obtain statistical data of the state of the equipment devices 41 to 47.
The node information 730 is information necessary for accessing the equipment devices 41 to 47 indicated by the device node path (second route) 710. In the node information 730, for example, a set of an IP (Internet Protocol) address and a port number is recorded.

デバイスノード状態履歴テーブル(設備機器状態履歴情報)801は、図9に示すように、設備機器41〜47の状態とその履歴を管理するテーブルである。このデバイスノード状態履歴テーブル(設備機器状態履歴情報)801は、デバイスノードパス(第2の経路)810と、日時820と、内容830とを備える。
デバイスノードパス(第2の経路)810は、デバイスノードツリー901の各ノードへのパスの文字列表現を記録する。日時820は、デバイスノードパス(第2の経路)810で示される設備機器において、状態の変化があった日時(「年-月-日 時:分:秒.ミリ秒」)を記録する。内容830は、デバイスノードパス(第2の経路)810で示される設備機器における状態の変化の内容を記録する。内容830は、例えば、ドアの開閉状態やパッケージエアコンの一日の総消費電力量等を記録する。 The device node state history table (facility device state history information) 801 is a table for managing the states of the facility devices 41 to 47 and the history thereof, as shown in FIG. The device node state history table (facility equipment state history information) 801 includes a device node path (second route) 810, a date and time 820, and contents 830.
A device node path (second route) 810 records a character string representation of a path to each node in the device node tree 901. The date and time 820 records the date and time (“year-month-day hour: minute: second.millisecond”) when the state of the equipment indicated by the device node path (second route) 810 was changed. The content 830 records the content of the state change in the equipment indicated by the device node path (second route) 810. The content 830 records, for example, the open / closed state of the door, the total daily power consumption of the packaged air conditioner, and the like.

デバイスノードツリー901は、図10に示すように、設備機器41〜47のシステム構成上の管理状態を示すツリーである。すなわち、「server1」は、サーバ機器(アクセス権管理装置)1に、「gw1」は、ゲートウェイ(GW)機器3に、「cont1」は、制御機器31に、「cont2」は、制御機器32に、「cont3」は、制御機器33に、それぞれ対応する。また、「dev1」〜「dev7」は、それぞれ、設備機器41〜47に対応する。
このデバイスノードツリー901は、データアクセス制御部12、デバイスアクセス制御部13で管理しやすいように構成されたツリーである。本実施形態では、ネットワーク構成を模したツリーとする。データアクセス制御部12、デバイスアクセス制御部13で管理しやすいようにツリーを構成することで、設備機器41〜47からのデータ取得が容易になる。 As shown in FIG. 10, the device node tree 901 is a tree showing the management state of the equipment devices 41 to 47 in the system configuration. That is, “server1” is the server device (access right management device) 1, “gw1” is the gateway (GW) device 3, “cont1” is the control device 31, and “cont2” is the control device 32. , “Cont3” corresponds to the control device 33, respectively. “Dev1” to “dev7” correspond to the equipment devices 41 to 47, respectively.
The device node tree 901 is a tree configured to be easily managed by the data access control unit 12 and the device access control unit 13. In the present embodiment, the tree is a model of the network configuration. By configuring the tree so as to be easily managed by the data access control unit 12 and the device access control unit 13, data acquisition from the equipment devices 41 to 47 is facilitated.

サービスノードツリー1001は、図11に示すように、設備機器41〜47のサービス構成上の管理状態を示すツリーである。すなわち、「buil1」は、「ビル」に、「1f」は、「ビルの1階」に、「2f」は、「ビルの2階」に、「room1」〜「room3」は、それぞれ「部屋1」〜「部屋3」に、対応する。また、「pac1」、「door1」、「door2」は、それぞれ部屋1の「パッケージエアコン1」、「ドア1」、「ドア2」に対応する。「pac2」、「door3」は、それぞれ部屋2の「パッケージエアコン2」、「ドア3」に対応する。「pac3」、「door4」は、それぞれ部屋3の「パッケージエアコン3」、「ドア4」に対応する。
このサービスノードツリー1001は、デバイスノードツリー901とは別に、サービスごと、ユーザごとに別個に作成されるツリーである。また、サービスノードツリー1001は、サービスアクセス制御部11で管理しやすいように構成されたツリーである。本実施形態では、建物の構造を模したツリーとする。人の目で見て分かりやすく、サービスアクセス制御部11で管理しやすいようにツリーを構成することで、サービス提供時のサービス内容表示が容易になる。
サービスノードツリー1001のノードは、ノード対応付けテーブル(経路対応情報)601により、デバイスノードツリー901のノードと結び付けられ、設備機器41〜47の制御の際は、システム構成上でアクセスしやすい形式に変換される。 As shown in FIG. 11, the service node tree 1001 is a tree that shows the management status of the equipment devices 41 to 47 in the service configuration. That is, “buil1” is “building”, “1f” is “first floor of building”, “2f” is “second floor of building”, “room1” to “room3” are “room” 1 "to" Room 3 ". “Pac1”, “door1”, and “door2” correspond to “package air conditioner 1”, “door 1”, and “door 2” in room 1, respectively. “Pac2” and “door3” correspond to “package air conditioner 2” and “door 3” in room 2, respectively. “Pac3” and “door4” correspond to “package air conditioner 3” and “door 4” in room 3, respectively.
This service node tree 1001 is a tree created separately for each service and for each user, separately from the device node tree 901. The service node tree 1001 is a tree configured to be easily managed by the service access control unit 11. In this embodiment, it is a tree that imitates the structure of a building. By configuring the tree so that it can be easily understood by the human eye and easily managed by the service access control unit 11, it becomes easy to display the service contents when providing the service.
The nodes of the service node tree 1001 are linked to the nodes of the device node tree 901 by the node association table (route correspondence information) 601. When the equipment devices 41 to 47 are controlled, they are in a format that is easy to access in the system configuration. Converted.

なお、サーバ機器(アクセス権管理装置)1は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、サーバ機器(アクセス権管理装置)1は、コンピュータを、前記した各手段として機能させるアクセス権管理プログラムによって動作する。   The server device (access right management apparatus) 1 can be realized by a general computer having a CPU and a memory (not shown). At this time, the server device (access right management apparatus) 1 is operated by an access right management program that causes the computer to function as each of the means described above.

[アクセス権管理システム100の動作]
次に、アクセス権管理システム100の動作について図12〜図16(構成は適宜図1)を参照して説明する。 [Operation of Access Rights Management System 100]
Next, the operation of the access right management system 100 will be described with reference to FIGS. 12 to 16 (the configuration is appropriately shown in FIG. 1).

(ログイン処理)
図12のフローチャートは、ログイン処理の動作を示すものである。ステップS11より前に、ユーザは、HTMLで構築されたログイン画面において、フォームにユーザIDと、パスワード、または、生体認証のデバイスを操作して生体認証情報とをクライアント機器2から入力する。
ステップS11において、サービスアクセス制御部11は、クライアント機器2から送信されたユーザIDとユーザ認証情報を取得し、図示しない記憶部に記憶する。 (Login process)
The flowchart in FIG. 12 shows the operation of the login process. Prior to step S <b> 11, the user inputs the biometric information from the client device 2 by operating the user ID and password or the biometric device on the form on the login screen constructed with HTML.
In step S11, the service access control unit 11 acquires the user ID and user authentication information transmitted from the client device 2, and stores them in a storage unit (not shown).

ステップS12において、サービスアクセス制御部11は、取得したユーザIDとパスワードもしくは生体認証情報の組が正しいか否かの確認を行う。サービスアクセス制御部11は、クライアント機器2から送信されたユーザIDに対応するユーザ認証情報を、ユーザ認証情報テーブル201から取得し、このユーザ認証情報が、クライアント機器2から送信されたパスワードや生体認証情報と等しいか否かで確認する。   In step S12, the service access control unit 11 checks whether or not the set of the acquired user ID and password or biometric authentication information is correct. The service access control unit 11 acquires user authentication information corresponding to the user ID transmitted from the client device 2 from the user authentication information table 201, and this user authentication information is obtained from the password or biometric authentication transmitted from the client device 2. Check if it is equal to the information.

ステップS13において、サービスアクセス制御部11は、ユーザの認証が成功したか否かを判定する。ユーザの認証が失敗した場合は(ステップS13・No)、ログイン失敗となり、ログイン処理を終了する。
一方、ユーザの認証が成功した場合は(ステップS13・Yes)、ステップS14において、サービスアクセス制御部11は、サービス情報テーブル301から、サービスIDとサービス情報を取得し、ユーザに提供するサービスの一覧を取得する。 In step S <b> 13, the service access control unit 11 determines whether the user authentication is successful. If the user authentication has failed (No in step S13), the login has failed and the login process is terminated.
On the other hand, when the user authentication is successful (step S13 / Yes), in step S14, the service access control unit 11 acquires a service ID and service information from the service information table 301, and lists services to be provided to the user. To get.

ステップS15において、サービスアクセス制御部11は、サービス情報の一覧を、HTMLにより、それぞれリンク形式で構築し、クライアント機器2は、サービス情報の一覧を表示する。
ステップS16において、サービスアクセス制御部11は、ユーザがリンクをクリックすることで指示したサービスのサービスIDを図示しない記憶部に記憶する。ユーザは、このクリックにより、サービスの利用を開始することができる。 In step S15, the service access control unit 11 constructs a list of service information in a link format using HTML, and the client device 2 displays a list of service information.
In step S16, the service access control unit 11 stores the service ID of the service instructed by the user clicking on the link in a storage unit (not shown). The user can start using the service by this click.

(サービスアクセス処理)
図13のフローチャートは、サービス利用時に許可された設備機器にアクセスする動作を示すものである。
ステップS21において、サービスアクセス制御部11は、ステップS11において記憶したユーザIDと、ステップS16において記憶したサービスIDと、ユーザが指定したアクセス権種別である「read」または「write」の情報と、ユーザが指定したデータの変更内容などを取得する。
ステップS22において、サービスアクセス制御部11は、サービスパーミッションテーブル(利用権限情報)401から、当該ユーザIDと当該サービスIDとの組を含む行のサービスパーミッション(アクセス権種別)を取得する。 (Service access processing)
The flowchart of FIG. 13 shows an operation of accessing the equipment that is permitted when the service is used.
In step S21, the service access control unit 11 stores the user ID stored in step S11, the service ID stored in step S16, the information “read” or “write” that is the access right type specified by the user, and the user Acquires the contents of data change specified by.
In step S <b> 22, the service access control unit 11 acquires the service permission (access right type) of the row including the set of the user ID and the service ID from the service permission table (use authority information) 401.

ステップS23において、サービスアクセス制御部11は、当該ユーザが当該サービスを利用する権限が有るか否か、を判定する。サービスパーミッション(アクセス権種別)が取得できない場合、すなわち、サービスパーミッションテーブル(利用権限情報)401に、当該ユーザIDと当該サービスIDとの組に該当する行がない場合は(ステップS23・No)、サービス利用不可として、サービスアクセス処理を終了する。
一方、サービスパーミッション(アクセス権種別)が取得できた場合(ステップS23・Yes)、ステップS24において、サービスアクセス制御部11は、ノードパーミッションテーブル(アクセス権限情報)501から、当該ユーザIDと当該サービスIDとの組を含む行のサービスノードパス(第1の経路)を取得する。なお、ここで取得したサービスノードパス(第1の経路)のリストが、アクセス可能設備機器リスト(アクセス可能設備機器情報)である。 In step S23, the service access control unit 11 determines whether or not the user is authorized to use the service. When the service permission (access right type) cannot be acquired, that is, when the service permission table (usage authority information) 401 does not include a row corresponding to the set of the user ID and the service ID (No in step S23), The service access process is terminated because the service cannot be used.
On the other hand, when the service permission (access right type) can be acquired (step S23 / Yes), in step S24, the service access control unit 11 reads the user ID and the service ID from the node permission table (access authority information) 501. The service node path (first route) of the row including the pair is acquired. The list of service node paths (first route) acquired here is an accessible equipment list (accessible equipment information).

ステップS25において、サービスアクセス制御部11は、アクセス可能設備機器リスト(アクセス可能設備機器情報)にある設備機器に対してループ処理を行う。なお、ループ処理の対象となる設備機器は、ユーザが選択する。
ステップS26において、サービスアクセス制御部11は、ステップS21において取得したアクセス権種別を判定する。アクセス権種別が「read」の場合は(ステップS26・read)、ステップS27において、サービスアクセス制御部11は、サービスノードパス(第1の経路)をデータアクセス制御部12に渡し、データアクセス制御部12は、データ取得処理を行う。データ取得処理については、後に詳述する。
一方、アクセス権種別が「write」の場合は(ステップS26・write)、ステップS28において、サービスアクセス制御部11は、サービスノードパス(第1の経路)をデータアクセス制御部12に渡し、データアクセス制御部12は、データ登録処理を行う。データ登録処理については、後に詳述する。 In step S25, the service access control unit 11 performs a loop process on the equipment in the accessible equipment list (accessible equipment information). Note that the user selects the equipment that is the target of the loop processing.
In step S26, the service access control unit 11 determines the access right type acquired in step S21. When the access right type is “read” (step S26 / read), in step S27, the service access control unit 11 passes the service node path (first route) to the data access control unit 12, and the data access control unit 12 performs a data acquisition process. The data acquisition process will be described in detail later.
On the other hand, when the access right type is “write” (step S26 / write), in step S28, the service access control unit 11 passes the service node path (first route) to the data access control unit 12 to perform data access. The control unit 12 performs data registration processing. The data registration process will be described in detail later.

ステップS29において、サービスアクセス制御部11は、データアクセス制御部12から取得した制御結果を編集し、HTML形式の画面データとして構築する。ここで、制御結果とは、ステップS27において取得する設備機器の状態データの取得結果、ステップS28において取得する設備機器に記憶されたデータの変更結果、あるいは、設備機器の動作指示結果などを含む概念である。
なお、画面データは、サービスノードツリー1001に対応した構成とすることで、人の目で見て分かりやすい表示とする。 In step S29, the service access control unit 11 edits the control result acquired from the data access control unit 12 and constructs it as HTML format screen data. Here, the control result is a concept including the acquisition result of the state data of the equipment acquired in step S27, the change result of the data stored in the equipment acquired in step S28, or the operation instruction result of the equipment. It is.
Note that the screen data has a configuration corresponding to the service node tree 1001 so that it can be easily understood by human eyes.

ステップS30において、サービスアクセス制御部11は、画面データをクライアント機器2に送信し、クライアント機器2は、取得した画面データである制御結果を表示し、アクセス権管理システムは、サービスアクセス処理を終了する。   In step S30, the service access control unit 11 transmits the screen data to the client device 2, the client device 2 displays the control result that is the acquired screen data, and the access right management system ends the service access process. .

(データ取得処理)
図14のフローチャートは、設備機器の状態データを取得する処理の動作を示すものである。
ステップS271において、データアクセス制御部12は、サービスアクセス制御部11から渡されたサービスノードパス(第1の経路)を含む行のデバイスノードパス(第2の経路)を、ノード対応付けテーブル(経路対応情報)601から取得する。
ステップS272において、データアクセス制御部12は、取得したデバイスノードパス(第2の経路)を含む行のノード種別を、デバイスノード情報テーブル(ノード種別情報)701から取得する。 (Data acquisition process)
The flowchart of FIG. 14 shows the operation of the process for acquiring the status data of the equipment.
In step S271, the data access control unit 12 sets the device node path (second route) including the service node path (first route) passed from the service access control unit 11 to the node association table (route). Correspondence information) 601.
In step S272, the data access control unit 12 acquires the node type of the row including the acquired device node path (second route) from the device node information table (node type information) 701.

ステップS273において、データアクセス制御部12は、取得したノード種別に応じて、処理を分岐する。すなわち、ノード種別が「0」の場合は、データアクセス制御部12は、設備機器41〜47へアクセスが必要と判定する(ステップS273・Yes)。また、ノード種別が「1」の場合は、データアクセス制御部12は、ステップS271において取得したデバイスノードパス(第2の経路)を含む行の日時を、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801から取得し、最新の日時から一定時間経過している場合には、設備機器41〜47へアクセスが必要と判定する(ステップS273・Yes)。
一方、最新の日時が一定時間内である場合には、データアクセス制御部12は、記憶部14からのデータ取得が必要と判定する(ステップS273・No)。また、ノード種別が「2」の場合は、データアクセス制御部12は、記憶部14からのデータ取得が必要と判定する(ステップS273・No)。 In step S273, the data access control unit 12 branches the process according to the acquired node type. That is, when the node type is “0”, the data access control unit 12 determines that access to the equipment devices 41 to 47 is necessary (Yes in step S273). When the node type is “1”, the data access control unit 12 displays the date and time of the row including the device node path (second route) acquired in step S271 in the device node state history table (facility equipment state history). Information) If acquired from 801 and a certain time has elapsed from the latest date and time, it is determined that access to the equipment 41 to 47 is necessary (Yes in step S273).
On the other hand, when the latest date and time is within a predetermined time, the data access control unit 12 determines that data acquisition from the storage unit 14 is necessary (No in step S273). When the node type is “2”, the data access control unit 12 determines that data acquisition from the storage unit 14 is necessary (No in step S273).

設備機器41〜47へアクセスが必要と判定した場合は(ステップS273・Yes)、ステップS274において、データアクセス制御部12は、ステップS271において取得したデバイスノードパス(第2の経路)を、デバイスアクセス制御部13に渡し、設備機器41〜47の状態データの取得を要求する。デバイスアクセス制御部13は、渡されたデバイスノードパス(第2の経路)を含む行のノード情報を、デバイスノード情報テーブル(ノード種別情報)701から取得する。
ステップS275において、デバイスアクセス制御部13は、設備機器の状態データを取得する処理を行う。すなわち、デバイスアクセス制御部13は、取得したノード情報に含まれるIPアドレスとポート番号に対して、通信路を確立する。なお、本実施形態でのIPアドレスは、ゲートウェイ(GW)機器3や制御機器33のIPアドレスとなる。 If it is determined that access to the equipment 41 to 47 is necessary (step S273 / Yes), in step S274, the data access control unit 12 uses the device node path (second route) acquired in step S271 as the device access. It passes to the control part 13 and requests | requires acquisition of the status data of the equipment 41-47. The device access control unit 13 acquires from the device node information table (node type information) 701 the node information of the row including the passed device node path (second route).
In step S275, the device access control unit 13 performs a process of acquiring the state data of the equipment device. That is, the device access control unit 13 establishes a communication path for the IP address and port number included in the acquired node information. Note that the IP address in the present embodiment is the IP address of the gateway (GW) device 3 or the control device 33.

デバイスアクセス制御部13は、確立された通信路に対し、ステップS271において取得したデバイスノードパス(第2の経路)を、ゲートウェイ(GW)機器3や制御機器33に送信し、設備機器の状態データの要求を行う。デバイスノードパス(第2の経路)を受信したゲートウェイ(GW)機器3や制御機器33は、デバイスノードパス(第2の経路)に対応する設備機器の状態データを、デバイスアクセス制御部13に返信する。   The device access control unit 13 transmits the device node path (second route) acquired in step S271 to the gateway (GW) device 3 and the control device 33 with respect to the established communication path, and the state data of the equipment device Make a request. The gateway (GW) device 3 or the control device 33 that has received the device node path (second route) returns the status data of the facility device corresponding to the device node path (second route) to the device access control unit 13. To do.

ステップS276において、デバイスアクセス制御部13は、受信した状態データを、データアクセス制御部12に返すとともに、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801に登録する。   In step S276, the device access control unit 13 returns the received state data to the data access control unit 12 and registers it in the device node state history table (facility equipment state history information) 801.

一方、記憶部14からのデータ取得が必要と判定した場合は(ステップS273・No)、ステップS277において、データアクセス制御部12は、ステップS271において取得したデバイスノードパス(第2の経路)を含む行の日時と内容を、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801から取得する。   On the other hand, when it is determined that data acquisition from the storage unit 14 is necessary (No in step S273), in step S277, the data access control unit 12 includes the device node path (second route) acquired in step S271. The date / time and contents of the row are acquired from the device node state history table (facility device state history information) 801.

ステップS276またはステップS277の後、データアクセス制御部12は、設備機器の状態データの取得結果を、サービスアクセス制御部11に返す。   After step S276 or step S277, the data access control unit 12 returns the acquisition result of the equipment device state data to the service access control unit 11.

(データ登録処理)
図15のフローチャートは、設備機器のデータを登録する処理の動作を示すものである。
ここで、設備機器のデータを登録する処理とは、設備機器のデータを変更する処理、設備機器へ動作指示を与える処理などを含むものである。 (Data registration process)
The flowchart of FIG. 15 shows the operation of a process for registering data of equipment.
Here, the process of registering equipment device data includes a process of changing the equipment device data, a process of giving an operation instruction to the equipment device, and the like.

ステップS281およびステップS282は、ステップS271およびステップS272と同様であるため、説明を省略する。
ステップS283において、データアクセス制御部12は、取得したノード種別に応じて、処理を分岐する。すなわち、ノード種別が「0」または「1」の場合は、データアクセス制御部12は、設備機器41〜47へアクセスが必要と判定する(ステップS283・Yes)。
一方、ノード種別が「2」の場合は、データアクセス制御部12は、記憶部14へのデータ登録が必要と判定する(ステップS283・No)。 Steps S281 and S282 are the same as steps S271 and S272, and thus the description thereof is omitted.
In step S283, the data access control unit 12 branches the process according to the acquired node type. That is, when the node type is “0” or “1”, the data access control unit 12 determines that access to the equipment devices 41 to 47 is necessary (Yes in step S283).
On the other hand, when the node type is “2”, the data access control unit 12 determines that data registration in the storage unit 14 is necessary (No in step S283).

設備機器41〜47へアクセスが必要と判定した場合は(ステップS283・Yes)、ステップS284において、データアクセス制御部12は、ステップS281において取得したデバイスノードパス(第2の経路)を、デバイスアクセス制御部13に渡し、設備機器41〜47のデータ登録を要求する。デバイスアクセス制御部13は、渡されたデバイスノードパス(第2の経路)を含む行のノード情報を、デバイスノード情報テーブル(ノード種別情報)701から取得する。ここで、データ登録とは、設備機器41〜47の記憶領域に記憶されたデータを指定されたデータに変更すること、および、設備機器41〜47へ動作指示を与えることなどを含む概念である。   If it is determined that access to the equipment 41 to 47 is necessary (step S283 / Yes), in step S284, the data access control unit 12 uses the device node path (second route) acquired in step S281 as the device access. It passes to the control part 13 and requests | requires the data registration of the equipment 41-47. The device access control unit 13 acquires from the device node information table (node type information) 701 the node information of the row including the passed device node path (second route). Here, the data registration is a concept including changing the data stored in the storage areas of the equipment devices 41 to 47 to designated data and giving an operation instruction to the equipment devices 41 to 47. .

ステップS285において、デバイスアクセス制御部13は、取得したノード情報に含まれるIPアドレスとポート番号に対して、通信路を確立する。なお、本実施形態でのIPアドレスは、ステップS275と同様、ゲートウェイ(GW)機器3や制御機器33のIPアドレスとなる。
デバイスアクセス制御部13は、確立された通信路に対し、ステップS281において取得したデバイスノードパス(第2の経路)を、ゲートウェイ(GW)機器3や制御機器33に送信し、設備機器のデータ登録の要求を行う。これによって、例えばエアコンの温度設定などの設定パラメータの変更や、ドア開閉などの設備機器の動作指示を行うことが可能になる。デバイスノードパス(第2の経路)を受信したゲートウェイ(GW)機器3や制御機器33は、デバイスノードパス(第2の経路)に対応する設備機器のデータの登録結果を、デバイスアクセス制御部13に返信する。デバイスアクセス制御部13は、受信した登録結果を、データアクセス制御部12に返す。ここで、登録結果とは、設備機器41〜47のデータの変更結果および設備機器41〜47への動作指示結果を含む概念である。 In step S285, the device access control unit 13 establishes a communication path for the IP address and port number included in the acquired node information. Note that the IP address in the present embodiment is the IP address of the gateway (GW) device 3 or the control device 33 as in step S275.
The device access control unit 13 transmits the device node path (second route) acquired in step S281 to the gateway (GW) device 3 and the control device 33 for the established communication path, and registers the data of the facility device. Make a request. As a result, for example, it is possible to change setting parameters such as the temperature setting of an air conditioner and to instruct operation of equipment such as door opening and closing. The gateway (GW) device 3 or the control device 33 that has received the device node path (second route) sends the registration result of the data of the equipment corresponding to the device node path (second route) to the device access control unit 13. Reply to The device access control unit 13 returns the received registration result to the data access control unit 12. Here, the registration result is a concept including a data change result of the equipment devices 41 to 47 and an operation instruction result to the equipment devices 41 to 47.

ステップS286において、デバイスアクセス制御部13は、受信した状態データを、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801に登録した後、データアクセス制御部12に返す。   In step S286, the device access control unit 13 registers the received state data in the device node state history table (facility device state history information) 801, and then returns the data to the data access control unit 12.

一方、記憶部14へのデータ登録が必要と判定した場合は(ステップS283・No)、ステップS287において、データアクセス制御部12は、ステップS281において取得したデバイスノードパス(第2の経路)と、日時と、ユーザがステップS21において指定したデータの変更内容を、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801へ登録する。これによって、例えばデータベースの記録内容を変更したり、例えばエネルギー消費量を計算するための計算式や変換係数などのパラメータを書き換えたりすることなどが可能となる。   On the other hand, if it is determined that data registration in the storage unit 14 is necessary (No in step S283), in step S287, the data access control unit 12 includes the device node path (second route) acquired in step S281, and The date and time and the change contents of the data designated by the user in step S21 are registered in the device node state history table (facility device state history information) 801. As a result, for example, it is possible to change the contents recorded in the database, or to rewrite parameters such as calculation formulas and conversion coefficients for calculating energy consumption, for example.

ステップS286またはステップS287の後、データアクセス制御部12は、設備機器の登録結果を、サービスアクセス制御部11に返す。   After step S286 or step S287, the data access control unit 12 returns the registration result of the equipment to the service access control unit 11.

以上の動作によって、ユーザを特定するユーザIDとサービスを特定するサービスIDとの組ごとに、アクセス可能な設備機器を対応づけたアクセス権限情報を用いてアクセス権を管理することができ、従来のように設備機器ごとにそれを利用可能なユーザのリストを作成することでアクセス権を設定する必要がなくなるため、膨大な数の設備機器と多数のユーザやサービスの組み合わせに対して、柔軟なアクセス権の付与、設備機器への負荷の軽減、ネットワーク通信量の軽減を行う事が可能となり、ユーザのサービスの可用性が向上する。   With the above operation, the access right can be managed using the access right information associated with the accessible equipment for each set of the user ID for specifying the user and the service ID for specifying the service. In this way, it is not necessary to set access rights by creating a list of users who can use it for each piece of equipment, so flexible access to a large number of pieces of equipment and combinations of many users and services It is possible to grant rights, reduce the load on equipment, and reduce network traffic, improving the availability of user services.

<第2実施形態>
次に、本発明の第2実施形態について、図16を参照して説明する。
[アクセス権管理システム100Aの構成]
アクセス権管理システム100Aの構成は、第1実施形態から、ゲートウェイ(GW)機器3が取り除かれた構成であり、制御機器31、制御機器32がグローバルネットワーク4を介して、サーバ機器(アクセス権管理装置)1と相互に接続される。 Second Embodiment
Next, a second embodiment of the present invention will be described with reference to FIG.
[Configuration of Access Rights Management System 100A]
The configuration of the access right management system 100A is a configuration in which the gateway (GW) device 3 is removed from the first embodiment, and the control device 31 and the control device 32 are connected via the global network 4 to the server device (access right management). Device 1) is mutually connected.

また、ノード対応付けテーブル(経路対応情報)601、デバイスノード情報テーブル(ノード種別情報)701、および、デバイスノードツリー901を次に示す構成とする。
ノード対応付けテーブル(経路対応情報)601の各行のデバイスノードパスから「/gw1」を削除した構成とする。デバイスノード情報テーブル(ノード種別情報)701の各行のデバイスノードパスから「/gw1」を削除した構成とする。デバイスノードツリー901の「gw1」のノードを削除し、「cont1」と「cont2」のノードがそれぞれ、「server1」につながる構成とする。 Further, the node association table (path correspondence information) 601, the device node information table (node type information) 701, and the device node tree 901 are configured as follows.
A configuration in which “/ gw1” is deleted from the device node path in each row of the node association table (route correspondence information) 601 is adopted. It is assumed that “/ gw1” is deleted from the device node path in each row of the device node information table (node type information) 701. The “gw1” node in the device node tree 901 is deleted, and the “cont1” and “cont2” nodes are connected to “server1”.

その他は、第1実施形態と同様であり、第1実施形態の構成と同一の構成には同一の符号を付して、説明は省略する。   Others are the same as those in the first embodiment, and the same components as those in the first embodiment are denoted by the same reference numerals and the description thereof is omitted.

<変形例>
以上、本発明の一実施形態について説明したが、本発明はこれに限定されず、本発明の趣旨を逸脱しない範囲で、例えば次のように変更することができる。 <Modification>
As mentioned above, although one Embodiment of this invention was described, this invention is not limited to this, For example, it can change as follows in the range which does not deviate from the meaning of this invention.

ステップS275において、ゲートウェイ(GW)機器3または制御機器33は、制御機器31,32または設備機器47から通知されていた設備機器それぞれの状態データを履歴として保持しておくことができる。
そして、ゲートウェイ(GW)機器3または制御機器33が返信する設備機器の状態データは、設備機器の状態データの要求を受けてから改めて制御機器31,32または設備機器47へ状態データの取得要求を出して得られた状態データでもよいし、制御機器31,32または設備機器47から既に通知され履歴として保持していた状態データでもよい。 In step S275, the gateway (GW) device 3 or the control device 33 can hold the state data of each facility device notified from the control devices 31, 32 or the facility device 47 as a history.
Then, the equipment device status data returned from the gateway (GW) equipment 3 or the control equipment 33 is sent to the control equipment 31, 32 or equipment equipment 47 again after receiving the equipment data status data request. It may be the status data obtained by the control, or may be status data that is already notified from the control devices 31 and 32 or the equipment device 47 and held as a history.

また、ゲートウェイ(GW)機器3または制御機器33は、状態データの取得要求を受けた時に、保持していた状態データの履歴を全て返信してもよい。
ただし、この場合は、ゲートウェイ(GW)機器3または制御機器33は、デバイスアクセス制御部13がデータアクセス制御部12に状態データを返すときには、データアクセス制御部12から要求されていたデバイスノードパス(第2の経路)に対応する設備機器の状態データのみを返すこととする。
この際、ゲートウェイ(GW)機器3または制御機器33は、デバイスアクセス制御部13から要求されていたデバイスノードパス(第2の経路)に対応する設備機器の状態データを、デバイスアクセス制御部13に返信するデータの先頭にしておくことができる。そして、デバイスアクセス制御部13は、ゲートウェイ(GW)機器3または制御機器33から返信された設備機器の状態データの先頭の状態データのみをデータアクセス制御部12に即座に返した後、ゲートウェイ(GW)機器3または制御機器33から返信されたすべての設備機器の状態データを、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801に登録してもよい。 Further, the gateway (GW) device 3 or the control device 33 may return all of the stored state data history when receiving the acquisition request for the state data.
However, in this case, when the device access control unit 13 returns the status data to the data access control unit 12, the gateway (GW) device 3 or the control device 33 returns the device node path (requested from the data access control unit 12 ( Only the status data of the equipment corresponding to the second route) is returned.
At this time, the gateway (GW) device 3 or the control device 33 sends the state data of the facility device corresponding to the device node path (second route) requested from the device access control unit 13 to the device access control unit 13. It can be placed at the beginning of the data to be returned. Then, the device access control unit 13 immediately returns only the top state data of the state data of the facility device returned from the gateway (GW) device 3 or the control device 33 to the data access control unit 12, and then the gateway (GW) ) The state data of all the equipment devices returned from the device 3 or the control device 33 may be registered in the device node state history table (facility device state history information) 801.

なお、第2実施形態の場合は、ゲートウェイ(GW)機器3がない構成のため、制御機器31,32は、上述した制御機器33と同様の機能を担うこととなる。   In the case of the second embodiment, since there is no gateway (GW) device 3, the control devices 31 and 32 have the same functions as the control device 33 described above.

同様に、ステップS285において、ゲートウェイ(GW)機器3または制御機器33は、データ登録の要求を受けた時に、登録結果とともに保持していた設備機器の状態データの履歴を全て返信してもよい。
ただし、この場合は、ゲートウェイ(GW)機器3または制御機器33は、デバイスアクセス制御部13がデータアクセス制御部12に状態データを返すときには、データアクセス制御部12から要求されていたデバイスノードパス(第2の経路)に対応する設備機器の登録結果のみを返すこととする。
この際、ゲートウェイ(GW)機器3または制御機器33は、デバイスアクセス制御部13から要求されていたデバイスノードパス(第2の経路)に対応する設備機器の登録結果を、デバイスアクセス制御部13に返信するデータの先頭にしておくことができる。そして、デバイスアクセス制御部13は、ゲートウェイ(GW)機器3または制御機器33から返信された設備機器の状態データや登録結果のうち、先頭の登録結果のみをデータアクセス制御部12に即座に返した後、ゲートウェイ(GW)機器3または制御機器33から返信されたすべての設備機器の状態データや登録結果を、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801に登録してもよい。 Similarly, in step S285, when receiving the data registration request, the gateway (GW) device 3 or the control device 33 may return all the history data of the facility devices held together with the registration result.
However, in this case, when the device access control unit 13 returns the status data to the data access control unit 12, the gateway (GW) device 3 or the control device 33 returns the device node path (requested from the data access control unit 12 ( Only the registration result of the equipment corresponding to the second route) is returned.
At this time, the gateway (GW) device 3 or the control device 33 sends the registration result of the facility device corresponding to the device node path (second route) requested from the device access control unit 13 to the device access control unit 13. It can be placed at the beginning of the data to be returned. The device access control unit 13 immediately returns only the top registration result to the data access control unit 12 among the state data and the registration result of the equipment device returned from the gateway (GW) device 3 or the control device 33. Thereafter, the state data and registration results of all the equipment devices returned from the gateway (GW) device 3 or the control device 33 may be registered in the device node state history table (facility device state history information) 801.

なお、第2実施形態の場合は、ゲートウェイ(GW)機器3がない構成のため、制御機器31,32は、上述した制御機器33と同様の機能を担うこととなる。   In the case of the second embodiment, since there is no gateway (GW) device 3, the control devices 31 and 32 have the same functions as the control device 33 described above.

1 サーバ機器(アクセス権管理装置)
2 クライアント機器
3 ゲートウェイ(GW)機器
4 グローバルネットワーク
5 ローカルネットワーク
10 アクセス制御部
11 サービスアクセス制御部
12 データアクセス制御部
13 デバイスアクセス制御部
14 記憶部
15 サービス管理データ
16 デバイス管理データ
17 デバイス状態データ
31〜33 制御機器
41〜47 設備機器
100 アクセス権管理システム
100A アクセス権管理システム
201 ユーザ認証情報テーブル
301 サービス情報テーブル
401 サービスパーミッションテーブル(利用権限情報)
501 ノードパーミッションテーブル(アクセス権限情報)
601 ノード対応付けテーブル(経路対応情報)
610 サービスノードパス(第1の経路)
620 デバイスノードパス(第2の経路)
701 デバイスノード情報テーブル(ノード種別情報)
720 ノード種別
730 ノード情報
801 デバイスノード状態履歴テーブル(設備機器状態履歴情報)
820 日時
830 内容
901 デバイスノードツリー
1001 サービスノードツリー 1 Server device (access right management device)
2 Client device 3 Gateway (GW) device 4 Global network 5 Local network 10 Access control unit 11 Service access control unit 12 Data access control unit 13 Device access control unit 14 Storage unit 15 Service management data 16 Device management data 17 Device status data 31 33 Control equipment 41-47 Equipment 100 Access right management system 100A Access right management system 201 User authentication information table 301 Service information table 401 Service permission table (use authority information)
501 Node permission table (access authority information)
601 Node association table (route correspondence information)
610 service node path (first route)
620 Device node path (second route)
701 Device node information table (node type information)
720 Node type 730 Node information 801 Device node state history table (facility equipment state history information)
820 Date and time 830 Contents 901 Device node tree 1001 Service node tree

Claims (11)

ユーザがサービスを利用する際の設備機器にアクセスする権利であるアクセス権限を管理するアクセス権管理装置であって、
前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、
アクセス可能な前記設備機器を対応づけたアクセス権限情報を記憶している記憶部と、
前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御部と、
前記設備機器と当該設備機器の状態とその状態の履歴とを対応づけた設備機器状態履歴情報を記憶している記憶部と、
ネットワークを介して前記設備機器へアクセスするのか、または、前記設備機器の状態が記録された前記設備機器状態履歴情報へアクセスするのかを示す情報であるノード種別と、前記設備機器とを対応づけたノード種別情報を記憶している記憶部と、を備え、
前記アクセス制御部は、前記アクセス可能設備機器情報に存在する設備機器ごとに、前記ノード種別情報を用いて、前記ノード種別を取得し、アクセスする場所を選択するデータアクセス制御部を備える
ことを特徴とするアクセス権管理装置。 An access right management device that manages an access right that is a right to access a facility device when a user uses a service,
For each set of a user ID that identifies the user and a service ID that identifies the service,
A storage unit storing access authority information in association with the accessible equipment;
Based on the user ID and the service ID acquired by the input from the client device that exchanges information with the user, the access authority information is used to access the facility device that the user can access in the service. Obtains accessible equipment information that is information, requests the control equipment that controls the equipment to request control of the equipment present in the accessible equipment information, and sends the control to the client equipment An access control unit for displaying a control result of the facility device acquired from the device;
A storage unit storing facility device state history information that associates the state of the facility device with the state of the facility device and a history of the state;
A node type that is information indicating whether to access the facility equipment state history information in which the equipment device is accessed or the equipment device state is recorded is associated with the equipment device. A storage unit storing node type information,
The access control unit includes a data access control unit that acquires the node type using the node type information and selects a location to access, for each equipment device existing in the accessible equipment information. Access right management device. ユーザがサービスを利用する際の設備機器にアクセスする権利であるアクセス権限を管理するアクセス権管理装置であって、  An access right management device that manages an access right that is a right to access a facility device when a user uses a service,
前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、  For each set of a user ID that identifies the user and a service ID that identifies the service,
アクセス可能な前記設備機器を対応づけたアクセス権限情報を記憶している記憶部と、A storage unit storing access authority information in association with the accessible equipment;
前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御部と、  Based on the user ID and the service ID acquired by the input from the client device that exchanges information with the user, the access authority information is used to access the facility device that the user can access in the service. Obtains accessible equipment information that is information, requests the control equipment that controls the equipment to request control of the equipment present in the accessible equipment information, and sends the control to the client equipment An access control unit for displaying a control result of the facility device acquired from the device;
前記設備機器への経路を示すために、前記設備機器のサービス構成上の管理状態を示す木構造に基づく第1の経路および前記設備機器のシステム構成上の管理状態を示す木構造に基づく第2の経路があり、前記第1の経路と前記第2の経路とを、前記設備機器ごとに対応づけた経路対応情報を記憶している記憶部と、を備え、  In order to show the route to the equipment, a first route based on a tree structure indicating a management state of the equipment in service configuration and a second structure based on a tree structure showing a management state of the equipment in system configuration A storage unit storing route correspondence information in which the first route and the second route are associated with each facility device, and
前記アクセス制御部は、前記クライアント機器に対しては、前記第1の経路を用いて前記設備機器を示し、前記制御機器に対しては、前記経路対応情報に基づいて、前記第1の経路を前記第2の経路に置き換えて当該設備機器を示す  The access control unit indicates the equipment device using the first route for the client device, and indicates the first route based on the route correspondence information for the control device. Replace the second route to indicate the equipment
ことを特徴とするアクセス権管理装置。  An access right management device. ユーザがサービスを利用する際の設備機器にアクセスする権利であるアクセス権限を管理するアクセス権管理装置であって、  An access right management device that manages an access right that is a right to access a facility device when a user uses a service,
前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、  For each set of a user ID that identifies the user and a service ID that identifies the service,
アクセス可能な前記設備機器を対応づけたアクセス権限情報を記憶している記憶部と、A storage unit storing access authority information in association with the accessible equipment;
前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御部と、  Based on the user ID and the service ID acquired by the input from the client device that exchanges information with the user, the access authority information is used to access the facility device that the user can access in the service. Obtains accessible equipment information that is information, requests the control equipment that controls the equipment to request control of the equipment present in the accessible equipment information, and sends the control to the client equipment An access control unit for displaying a control result of the facility device acquired from the device;
前記設備機器と当該設備機器の状態とその状態の履歴とを対応づけた設備機器状態履歴情報を記憶している記憶部と、  A storage unit storing facility device state history information that associates the state of the facility device with the state of the facility device and a history of the state;
ネットワークを介して前記設備機器へアクセスするのか、または、前記設備機器の状態が記録された前記設備機器状態履歴情報へアクセスするのかを示す情報であるノード種別と、前記設備機器とを対応づけたノード種別情報を記憶している記憶部と、  A node type that is information indicating whether to access the facility equipment state history information in which the equipment device is accessed or the equipment device state is recorded is associated with the equipment device. A storage unit storing node type information;
前記設備機器への経路を示すために、前記設備機器のサービス構成上の管理状態を示す木構造に基づく第1の経路および前記設備機器のシステム構成上の管理状態を示す木構造に基づく第2の経路があり、前記第1の経路と前記第2の経路とを、前記設備機器ごとに対応づけた経路対応情報を記憶している記憶部と、を備え、  In order to show the route to the equipment, a first route based on a tree structure indicating a management state of the equipment in service configuration and a second structure based on a tree structure showing a management state of the equipment in system configuration A storage unit storing route correspondence information in which the first route and the second route are associated with each facility device, and
前記アクセス制御部は、前記アクセス可能設備機器情報に存在する設備機器ごとに、前記ノード種別情報を用いて、前記ノード種別を取得し、アクセスする場所を選択するデータアクセス制御部を備えるとともに、  The access control unit includes a data access control unit that acquires the node type using the node type information and selects a location to access, for each equipment device present in the accessible equipment information.
前記アクセス制御部は、前記クライアント機器に対しては、前記第1の経路を用いて前記設備機器を示し、前記制御機器に対しては、前記経路対応情報に基づいて、前記第1の経路を前記第2の経路に置き換えて当該設備機器を示す  The access control unit indicates the equipment device using the first route for the client device, and indicates the first route based on the route correspondence information for the control device. Replace the second route to indicate the equipment
ことを特徴とするアクセス権管理装置。  An access right management device. 前記ユーザIDと前記サービスIDとの組ごとに、当該ユーザに対する当該サービスの利用可能な形態を示す情報であるアクセス権種別を対応づけた利用権限情報を記憶している記憶部と、を備え、
前記アクセス制御部は、当該ユーザが当該サービスの利用権限を有するか否かを、前記利用権限情報を用いて判定する
ことを特徴とする請求項1から請求項3のいずれか一項に記載のアクセス権管理装置。 A storage unit that stores use authority information in association with an access right type, which is information indicating a usable form of the service for the user, for each set of the user ID and the service ID;
The said access control part determines whether the said user has the use authority of the said service using the said use authority information. The Claim 1 characterized by the above-mentioned. Access right management device. ユーザがサービスを利用する際の設備機器にアクセスする権利であるアクセス権限を管理するアクセス権管理装置と、前記ユーザと情報を授受するクライアント機器と、前記アクセス権管理装置からの要求に応じて前記設備機器を制御する制御機器とがネットワークを介して相互に接続されるアクセス権管理システムであって、
前記アクセス権管理装置は、
前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、
アクセス可能な前記設備機器へのサービス構成上の管理状態を示す木構造の経路情報である第1の経路情報を対応づけたアクセス権限情報を記憶している記憶部と、
前記設備機器への経路を示すために、前記第1の経路情報と前記設備機器のシステム構成上の管理状態を示す木構造に基づく経路情報である第2の経路情報とを、前記設備機器ごとに対応づけた経路対応情報を記憶している記憶部と、
前記クライアント機器から取得した前記ユーザIDおよび前記サービスIDに基づいて、
前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報である第1の経路情報を取得し、前記経路対応情報に基づいて第1の経路情報を第2の経路情報に置き換え、前記制御機器に対して、前記第2の経路情報で示される設備機器の制御を要求し、前記制御機器から取得した前記設備機器の制御結果を前記クライアント機器に表示させるアクセス制御部と、を備え、
前記制御機器は、前記アクセス権管理装置から要求された前記設備機器の制御をし、その制御結果を前記アクセス権管理装置に返信する
ことを特徴とするアクセス権管理システム。 In response to a request from the access right management device, an access right management device that manages an access right that is a right to access the equipment when the user uses the service, a client device that exchanges information with the user, and the access right management device An access right management system in which a control device for controlling equipment is mutually connected via a network,
The access right management device includes:
For each set of a user ID that identifies the user and a service ID that identifies the service,
A storage unit that stores access authority information associated with first path information that is path information in a tree structure that indicates a management state on a service configuration to the equipment that can be accessed;
In order to indicate a route to the facility device, the first route information and second route information that is route information based on a tree structure indicating a management state in the system configuration of the facility device are provided for each facility device. A storage unit that stores route correspondence information associated with
Based on the user ID and the service ID acquired from the client device,
Using the access authority information, the user acquires first route information that is information on the equipment that can be accessed in the service, and based on the route correspondence information, the first route information is obtained as a second route. An access control unit that replaces the information, requests the control device to control the facility device indicated by the second route information, and causes the client device to display the control result of the facility device acquired from the control device And comprising
The access right management system, wherein the control device controls the equipment requested by the access right management device and returns a control result to the access right management device. 前記制御機器は、制御する前記設備機器の状態データの履歴を保持し、前記アクセス権管理装置から前記設備機器の制御が要求された場合に、前記設備機器の制御結果とともに保持している前記状態データの履歴を前記アクセス権管理装置に返信する
ことを特徴とする請求項5に記載のアクセス権管理システム。 The control device holds a history of state data of the equipment to be controlled, and when the control of the equipment is requested from the access right management device, the state held with the control result of the equipment 6. The access right management system according to claim 5, wherein a history of data is returned to the access right management apparatus. 前記ネットワークを介して接続される、前記アクセス権管理装置と前記制御機器を仲介する通信機器であるゲートウェイ機器を備えることを特徴とする請求項5または請求項6に記載のアクセス権管理システム。   7. The access right management system according to claim 5, further comprising a gateway device that is a communication device that mediates between the access right management device and the control device, connected via the network. 前記ゲートウェイ機器は、前記制御機器が保持する前記設備機器の状態データの履歴を保持し、前記アクセス権管理装置から前記設備機器の制御が要求された場合に、前記設備機器の制御結果とともに保持している前記状態データの履歴を前記アクセス権管理装置に返信する
ことを特徴とする請求項7に記載のアクセス権管理システム。 The gateway device holds a history of the state data of the facility device held by the control device, and when the control of the facility device is requested from the access right management device, retains the history of the state of the facility device. The access right management system according to claim 7, wherein a history of the status data is returned to the access right management device. ユーザがサービスを利用する際の設備機器にアクセスする権利であるアクセス権限を管理するアクセス権管理装置におけるアクセス権管理方法であって、
前記ユーザとの間で情報を授受するクライアント機器からの入力により取得したユーザIDおよびサービスIDに基づいて、前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとにアクセス可能な前記設備機器を対応づけたアクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御ステップと、
前記設備機器に対応づけて記憶され、ネットワークを介して前記設備機器へアクセスするのか、または、前記設備機器と当該設備機器の状態とその状態の履歴とを対応づけて記憶した設備機器状態履歴情報へアクセスするのかを示す情報であるノード種別を取得し、前記アクセス可能設備機器情報に存在する設備機器ごとに、前記ノード種別情報を用いて、前記ノード種別を取得し、アクセスする場所を選択するステップと、
を含むことを特徴とするアクセス権管理方法。 An access right management method in an access right management device for managing access authority, which is a right to access equipment when a user uses a service,
Access is possible for each set of a user ID that identifies the user and a service ID that identifies the service based on a user ID and a service ID acquired by input from a client device that exchanges information with the user Using the access authority information associated with the equipment, the user obtains accessible equipment information that is information on the equipment that can be accessed in the service, and the control equipment that controls the equipment An access control step for requesting control of the equipment present in the accessible equipment information, and displaying the control result of the equipment acquired from the control equipment on the client equipment ;
The equipment status history information stored in association with the equipment and accessing the equipment via the network, or storing the equipment and the state of the equipment and the history of the state in association with each other. Node type, which is information indicating whether to access the device, and for each equipment device existing in the accessible equipment information, obtain the node type using the node type information and select a location to access Steps,
An access right management method comprising: ユーザがサービスを利用する際の設備機器にアクセスする権利であるアクセス権限を管理するアクセス権管理装置におけるアクセス権管理方法であって、  An access right management method in an access right management device for managing access authority, which is a right to access equipment when a user uses a service,
前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、アクセス可能な前記設備機器を対応づけたアクセス権限情報を記憶し、  For each set of a user ID that identifies the user and a service ID that identifies the service, access authority information that associates the accessible equipment is stored,
前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御ステップと、  Based on the user ID and the service ID acquired by the input from the client device that exchanges information with the user, the access authority information is used to access the facility device that the user can access in the service. Obtains accessible equipment information that is information, requests the control equipment that controls the equipment to request control of the equipment present in the accessible equipment information, and sends the control to the client equipment An access control step for displaying a control result of the facility device acquired from the device;
前記設備機器への経路を示すために、前記設備機器のサービス構成上の管理状態を示す木構造に基づく第1の経路および前記設備機器のシステム構成上の管理状態を示す木構造に基づく第2の経路があり、前記第1の経路と前記第2の経路とを、前記設備機器ごとに対応づけた経路対応情報を記憶し、  In order to show the route to the equipment, a first route based on a tree structure indicating a management state of the equipment in service configuration and a second structure based on a tree structure showing a management state of the equipment in system configuration Storing route correspondence information in which the first route and the second route are associated with each facility device,
前記アクセス制御部が、前記クライアント機器に対しては、前記第1の経路を用いて前記設備機器を示し、前記制御機器に対しては、前記経路対応情報に基づいて、前記第1の経路を前記第2の経路に置き換えて当該設備機器を示すステップと、  The access control unit indicates the equipment device using the first route for the client device, and indicates the first route for the control device based on the route correspondence information. Replacing the second route with the facility equipment;
を含むことを特徴とするアクセス権管理方法。  An access right management method comprising: 請求項9または請求項10に記載の方法をコンピュータに実行させるためのアクセス権管理プログラム。 An access right management program for causing a computer to execute the method according to claim 9 or 10 .
JP2010246355A 2010-11-02 2010-11-02 Access right management device, access right management system, access right management method, and access right management program Active JP5503500B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010246355A JP5503500B2 (en) 2010-11-02 2010-11-02 Access right management device, access right management system, access right management method, and access right management program
CN201110338411.8A CN102457521B (en) 2010-11-02 2011-10-31 Access right management device, access right management system, access right management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010246355A JP5503500B2 (en) 2010-11-02 2010-11-02 Access right management device, access right management system, access right management method, and access right management program

Publications (2)

Publication Number Publication Date
JP2012098924A JP2012098924A (en) 2012-05-24
JP5503500B2 true JP5503500B2 (en) 2014-05-28

Family

ID=46040179

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010246355A Active JP5503500B2 (en) 2010-11-02 2010-11-02 Access right management device, access right management system, access right management method, and access right management program

Country Status (2)

Country Link
JP (1) JP5503500B2 (en)
CN (1) CN102457521B (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013179383A1 (en) * 2012-05-29 2013-12-05 株式会社日立システムズ Cloud security management system
JP6330298B2 (en) * 2013-02-06 2018-05-30 株式会社リコー Information processing system, information processing method, and program
JP6880684B2 (en) * 2016-12-05 2021-06-02 富士フイルムビジネスイノベーション株式会社 File management device and program
CN106789984A (en) * 2016-12-08 2017-05-31 浙江齐治科技股份有限公司 A kind of access rights specification and visualization method and system
JP6640802B2 (en) 2017-09-06 2020-02-05 ファナック株式会社 Edge server and application security management system
JP6691085B2 (en) * 2017-09-20 2020-04-28 ファナック株式会社 Application security management system and edge server
CN108052526B (en) * 2017-11-07 2020-06-16 深圳云天励飞技术有限公司 Monitoring area authority management method and device and storage medium
CN108009408A (en) * 2017-12-04 2018-05-08 山东浪潮通软信息科技有限公司 A kind of right management method, device, computer-readable recording medium and storage control
CN109697212B (en) * 2018-12-27 2021-11-16 北京天融信网络安全技术有限公司 Data processing method and data processing device
CN112910906B (en) * 2021-02-08 2022-10-14 北京小米移动软件有限公司 Data access method and device, mobile terminal and storage medium

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0789351B2 (en) * 1988-02-17 1995-09-27 富士通株式会社 Security management processing method
JP2002084326A (en) * 2001-06-11 2002-03-22 Fujitsu Ltd Device to be serviced, central unit and servicing device
JP2005056207A (en) * 2003-08-05 2005-03-03 Sanyo Electric Co Ltd Network system, home equipment control server and intermediation server
JP4513658B2 (en) * 2005-06-14 2010-07-28 株式会社日立製作所 Home gateway apparatus and home network access control system
JP4647440B2 (en) * 2005-09-08 2011-03-09 東日本電信電話株式会社 Network service security system and network service security method
JP3992067B1 (en) * 2006-05-11 2007-10-17 松下電工株式会社 Network system
JP2006286025A (en) * 2006-07-28 2006-10-19 Fujitsu Ltd Data access system
DE102007005638B4 (en) * 2007-02-05 2014-10-09 Siemens Aktiengesellschaft Method for authorizing access to at least one automation component of a technical installation
JP2010041605A (en) * 2008-08-07 2010-02-18 Fujitsu Ltd Device for controlling external connection of indoor apparatus

Also Published As

Publication number Publication date
JP2012098924A (en) 2012-05-24
CN102457521A (en) 2012-05-16
CN102457521B (en) 2015-05-27

Similar Documents

Publication Publication Date Title
JP5503500B2 (en) Access right management device, access right management system, access right management method, and access right management program
US11361123B2 (en) Building data platform with event enrichment with contextual information
CN105830389B (en) For accessing the single group certificate of multiple computing resource services
CN111667384B (en) Building automation management apparatus and method
JP5072666B2 (en) Facility equipment cooperation system, equipment control method, and agent device
CN110140096A (en) Online, offline and mixing license building automation system for distributed edge device
US7840658B2 (en) Employing job code attributes in provisioning
Hemdi et al. Using REST based protocol to enable ABAC within IoT systems
CN109154802A (en) HVAC device registration in distributed building management system
JP5702900B1 (en) System and method for access assessment evaluation of building automation and control systems
CN108702360A (en) Use the digital asset Preservation tactics of dynamic network attribute
US8516031B2 (en) Network-based system for social interactions between users
CN107408188B (en) Demand response provider controlled system for network connected devices
JP5342020B2 (en) Group definition management system
Bindra et al. Decentralized access control for smart buildings using metadata and smart contracts
US20210257085A1 (en) Connected facility systems
US11070538B1 (en) Technical layer for portable electronic assistant
KR100685254B1 (en) Home network gateway for assigning authority and administering connection classfied by user and control method thereof
Bindra et al. Flexible, decentralised access control for smart buildings with smart contracts
WO2014191180A1 (en) Method of changing password in an industrial automation and control system
Werner et al. Designing suitable access control for web-connected smart home platforms
Teriús-Padrón et al. Autonomus air quality management system based on web of things standard architecture
US20190058610A1 (en) Method for configuring, controlling or monitoring home automation equipment
JP2004078352A (en) Web page display screen sharing system, proxy web server for the same and proxy web server program for the same
Bindra Smart Contracts for Building Access Control

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121129

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131015

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131029

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140314

R150 Certificate of patent or registration of utility model

Ref document number: 5503500

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150