JP5503500B2 - Access right management device, access right management system, access right management method, and access right management program - Google Patents
Access right management device, access right management system, access right management method, and access right management program Download PDFInfo
- Publication number
- JP5503500B2 JP5503500B2 JP2010246355A JP2010246355A JP5503500B2 JP 5503500 B2 JP5503500 B2 JP 5503500B2 JP 2010246355 A JP2010246355 A JP 2010246355A JP 2010246355 A JP2010246355 A JP 2010246355A JP 5503500 B2 JP5503500 B2 JP 5503500B2
- Authority
- JP
- Japan
- Prior art keywords
- equipment
- access
- information
- service
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、ビル、オフィスおよび工場などに設置された設備機器にセキュリティを保ちつつアクセスするアクセス権管理装置などの技術に関する。 The present invention relates to a technology such as an access right management device for accessing equipment installed in a building, office, factory, etc. while maintaining security.
従来、設備機器の管理はローカルネットワーク内で行われてきた。インターネットを介して管理する場合でも、特定の顧客の専用サーバやネットワークが用いられてきており、専用のシステムが構築されてきた。近年は、一つのシステムが多数の顧客に利用される、SaaS・クラウド型でのサービスが出現してきている。 Conventionally, management of equipment has been performed within a local network. Even when managing via the Internet, dedicated servers and networks of specific customers have been used, and dedicated systems have been constructed. In recent years, SaaS / cloud services have emerged in which one system is used by many customers.
インターネットを介して設備機器を管理する方式としては、BACnet/WS規格があり、ツリー構造を用いて設備機器にアクセスする方法が規定されている。また、設備機器に安全にアクセスするためには、設備機器へアクセス権を付加して権利保持者のみがアクセスできる必要がある。
個々の要素(設備機器、ファイルなど)へアクセス権を付加する方式としては、ファイルのアクセス権管理に関し、フォルダごとのアクセス権を集中管理し、それらを各ファイルに付与する方式が知られている(例えば、特許文献1参照)。
As a method for managing equipment via the Internet, there is a BACnet / WS standard, and a method for accessing equipment using a tree structure is defined. Further, in order to access the facility equipment safely, it is necessary that an access right is added to the facility equipment and only the right holder can access it.
As a method of adding access rights to individual elements (equipment, files, etc.), with respect to file access rights management, a method of centrally managing access rights for each folder and assigning them to each file is known. (For example, refer to Patent Document 1).
しかしながら、上記のように、設備機器、ファイル、フォルダ毎に、それを利用可能なユーザのリストを作成することでアクセス権を管理しようとした場合、一つのシステムに膨大な数の設備機器があり、ユーザやユーザの利用するサービスによりアクセスする機器が異なるため、それぞれの設備機器に対してそれを利用可能なユーザのリストを作成することでアクセス権を設定しようとすると、設定が複雑になり、設備機器への負荷やネットワーク通信量が増大してしまうという問題がある。 However, as mentioned above, when trying to manage access rights by creating a list of users who can use each equipment, file, and folder, there is a huge number of equipment in one system. Since the devices to be accessed differ depending on the user and the service used by the user, setting the access right by creating a list of users who can use it for each equipment device becomes complicated, There is a problem that the load on the equipment and the amount of network communication increase.
そこで、本発明は、前記問題に鑑みてなされたものであり、システムへの負荷を軽減するアクセス権の付与を実現するアクセス権管理装置、アクセス権管理システム、アクセス権管理方法およびアクセス権管理プログラムを提供することを課題とする。 Accordingly, the present invention has been made in view of the above problems, and an access right management device, an access right management system, an access right management method, and an access right management program that realize the granting of an access right that reduces the load on the system. It is an issue to provide.
前記課題を解決するために、本発明のアクセス権管理装置は、ユーザがサービスを利用する際の設備機器にアクセスする権利であるアクセス権限を管理するアクセス権管理装置であって、前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、アクセス可能な前記設備機器を対応づけたアクセス権限情報と、前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器のリストであるアクセス可能設備機器リスト(アクセス可能設備機器情報)を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器リスト(アクセス可能設備機器情報)に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御部と、前記設備機器と当該設備機器の状態とその状態の履歴とを対応づけた設備機器状態履歴情報を記憶している記憶部と、ネットワークを介して前記設備機器へアクセスするのか、または、前記設備機器の状態が記録された前記設備機器状態履歴情報へアクセスするのかを示す情報であるノード種別と、前記設備機器とを対応づけたノード種別情報を記憶している記憶部と、を備え、前記アクセス制御部は、前記アクセス可能設備機器情報に存在する設備機器ごとに、前記ノード種別情報を用いて、前記ノード種別を取得し、アクセスする場所を選択するデータアクセス制御部を備えることを特徴とする。
または、本発明のアクセス権管理装置は、ユーザがサービスを利用する際の設備機器にアクセスする権利であるアクセス権限を管理するアクセス権管理装置であって、前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、アクセス可能な前記設備機器を対応づけたアクセス権限情報を記憶している記憶部と、前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御部と、前記設備機器への経路を示すために、前記設備機器のサービス構成上の管理状態を示す木構造に基づく第1の経路および前記設備機器のシステム構成上の管理状態を示す木構造に基づく第2の経路があり、前記第1の経路と前記第2の経路とを、前記設備機器ごとに対応づけた経路対応情報を記憶している記憶部と、を備え、前記アクセス制御部は、前記クライアント機器に対しては、前記第1の経路を用いて前記設備機器を示し、前記制御機器に対しては、前記経路対応情報に基づいて、前記第1の経路を前記第2の経路に置き換えて当該設備機器を示すことを特徴とする。
In order to solve the above problems, an access right management apparatus according to the present invention is an access right management apparatus that manages an access right that is a right to access a facility device when a user uses a service, and identifies the user. For each set of a user ID to be performed and a service ID for specifying the service, the access authority information associated with the accessible equipment and the input from a client device that exchanges information with the user Based on the user ID and the service ID, the access authority information is used to obtain an accessible equipment list (accessible equipment information) that is a list of the equipment that the user can access in the service. , For the control equipment that controls the equipment, the accessible equipment list (A Requesting control of the equipment present in processes available equipment information), to the client device, an access control unit for displaying the control result of the equipment acquired from the control apparatus, the equipment and the equipment A storage unit storing facility device state history information that associates the state of the device with a history of the state, and the facility device is accessed via a network, or the state of the facility device is recorded A node that is information indicating whether to access the equipment status history information, and a storage unit that stores node type information that associates the equipment with the access control unit. For each piece of equipment that exists in the available equipment information, the node type information is used to acquire the node type and select a location to access. Characterized in that it comprises a Seth controller.
Alternatively, the access right management apparatus according to the present invention is an access right management apparatus that manages an access right that is a right to access a facility device when a user uses a service, and the user ID that identifies the user and the service For each set of service IDs that identify the device, the information is acquired from the storage unit storing the access authority information that associates the accessible equipment and the input from the client device that exchanges information with the user. Based on the user ID and the service ID, the access authority information is used to obtain accessible equipment information that is information on the equipment that the user can access in the service, and the equipment is controlled. Requesting the control equipment to control the equipment existing in the accessible equipment information. An access control unit that displays a control result of the facility device acquired from the control device to a client device, and a tree that indicates a management state in the service configuration of the facility device in order to indicate a route to the facility device There is a first path based on a structure and a second path based on a tree structure indicating a management state of the system configuration of the equipment, and the first path and the second path are classified for each equipment. A storage unit that stores associated route correspondence information, and the access control unit indicates the facility device to the client device using the first route, and On the other hand, the equipment is indicated by replacing the first route with the second route based on the route correspondence information.
本発明によれば、システムへの負荷を軽減するアクセス権の付与を実現することができる。 According to the present invention, it is possible to realize an access right that reduces the load on the system.
<第1実施形態>
以下、本発明の第1実施形態について、図1〜図15を参照して説明する。
[アクセス権管理システム100の構成]
図1に示すように、アクセス権管理システム100は、サーバ機器(アクセス権管理装置)1と、クライアント機器2と、ゲートウェイ(GW)機器3と、グローバルネットワーク4と、ローカルネットワーク5と、制御機器31〜33と、設備機器41〜47とを備える。なお、以下では、本発明をビル内のオフィスに適用した例において説明する。
アクセス権管理システム100は、ユーザがサービス利用時に設備機器へアクセスするためのシステムである。ここで、サービスとは、ドアの施錠などの入退室管理、エアコンの制御などのエネルギー管理その他の設備機器管理等をいう。
<First Embodiment>
Hereinafter, a first embodiment of the present invention will be described with reference to FIGS.
[Configuration of Access Rights Management System 100]
As shown in FIG. 1, an access
The access
サーバ機器(アクセス権管理装置)1は、クライアント機器2からの要求に応じてサービスを提供するものである。サーバ機器(アクセス権管理装置)1は、グローバルネットワーク4に接続され、ゲートウェイ(GW)機器3や制御機器33を介して設備機器41〜47の制御を行う。ここで、制御とは、設備機器の状態データを取得すること、設備機器に記憶されたデータを変更すること、あるいは、設備機器に動作指示を出すことなどをいう。なお、サーバ機器(アクセス権管理装置)1の内部構成については、後記する。
The server device (access right management device) 1 provides a service in response to a request from the
クライアント機器2は、サーバ機器(アクセス権管理装置)1からサービスの提供を受けるものである。クライアント機器2は、グローバルネットワーク4に接続され、ユーザからの入力を受け付けたり、サーバ機器(アクセス権管理装置)1からのサービスを提供するためのデータを表示したりするものである。また、クライアント機器2は、汎用ブラウザ等のGUI(Graphical User Interface)を持つ。
ゲートウェイ(GW)機器3は、サーバ機器(アクセス権管理装置)1からの要求に応じて、制御機器31,32を介して、設備機器41〜46の制御を行う通信機器である。ゲートウェイ(GW)機器3は、グローバルネットワーク4およびローカルネットワーク5に接続されている。
The
The gateway (GW)
グローバルネットワーク4は、インターネット等の公衆ネットワークであり、サーバ機器(アクセス権管理装置)1、クライアント機器2、ゲートウェイ(GW)機器3、制御機器33を相互に接続するものである。
ローカルネットワーク5は、ビル内等に配線されたLAN(Local Area Network)等のネットワークであり、ゲートウェイ(GW)機器3と、制御機器31,32とを相互に接続するものである。
The
The
制御機器31は、ローカルネットワーク5に接続され、設備機器41〜44の制御を行うものである。制御機器31は、ゲートウェイ(GW)機器3に対して、設備機器41〜44の状態変化の通知をする。あるいは、制御機器31は、ゲートウェイ(GW)機器3からの、設備機器41〜44への動作指示や状態データの取得などの要求に応じて、設備機器41〜44への動作指示や状態データの取得などを行う。
制御機器32は、同様に、設備機器45,46の制御を行うものである。
制御機器33は、グローバルネットワーク4に接続され、設備機器47の制御を行うものである。この制御機器33は、制御機器31,32と異なり、ゲートウェイ(GW)機器3ではなく、サーバ機器(アクセス権管理装置)1からの、設備機器47への動作指示や状態データの取得などの要求に応じて、設備機器47への動作指示や状態データの取得などを行う。
The
Similarly, the
The
設備機器41〜47は、ビル、オフィスおよび工場などの一般にいう設備機器の他、いわゆるデバイス等を含み、また、プログラム中のオブジェクト等を意味するものである。例えば、設備機器41〜47は、電気錠、カードリーダ、パッケージエアコン、カメラ、およびプログラム中の計算式などである。設備機器41〜47は、その種別に応じて、それぞれの規格で、上述したように、制御機器31〜33に接続される。規格は、例えば、DI/DO、RS−485、RS−232C、HTTP等である。
The
次に、サーバ機器(アクセス権管理装置)1について説明する。
[サーバ機器(アクセス権管理装置)1の構成]
サーバ機器(アクセス権管理装置)1は、データ処理を行うアクセス制御部10と、データ処理のためのテーブルを記憶する記憶部14とを備える。
アクセス制御部10は、サービスアクセス制御部11と、データアクセス制御部12と、デバイスアクセス制御部13とを備える。
Next, the server device (access right management device) 1 will be described.
[Configuration of Server Device (Access Right Management Device) 1]
The server device (access right management device) 1 includes an
The
サービスアクセス制御部11は、クライアント機器2からのサービス利用の要求を受け、サービスの利用者であるユーザと利用するサービスとの組み合わせにより、記憶部14からユーザが利用可能な設備機器の一覧(後記するアクセス可能設備機器リスト(アクセス可能設備機器情報))を取得するものである。ここで、アクセス可能設備機器リスト(アクセス可能設備機器情報)とは、ユーザがサービスを利用する際に、設備機器の状態データを取得すること、設備機器に記憶されたデータを変更すること、あるいは、設備機器に動作指示を出すことなどが可能な設備機器の一覧を示すものである。
また、サービスアクセス制御部11は、設備機器41〜47の制御結果を後記するデータアクセス制御部12から取得し、取得した制御結果を編集して画面データを構築する。画面データは、例えば、HTML(Hyper Text Markup Language)形式とする。この画面データは、クライアント機器2へ送信され、表示される。ここで、制御結果とは、設備機器41〜47の状態データの取得結果、設備機器41〜47に記憶されたデータの変更結果、あるいは、設備機器41〜47の動作指示結果などをいう。
また、サービスアクセス制御部11は、ユーザのログイン処理も行う。
The service
Further, the service
The service
データアクセス制御部12は、サービスアクセス制御部11からのアクセス可能設備機器リスト(アクセス可能設備機器情報)に応じた設備機器の制御要求を受け、後記するデバイスアクセス制御部13または記憶部14から当該設備機器の制御結果を取得するものである。この制御結果は、サービスアクセス制御部11へ送信される。
デバイスアクセス制御部13は、データアクセス制御部12からのアクセス可能設備機器リスト(アクセス可能設備機器情報)に応じた設備機器の制御要求を受け、グローバルネットワーク4を介して、通信路を確立するものである。ここで、通信路の確立には、SSL(Secure Socket Layer)を利用した相互認証を行う等し、セキュアな通信路の確立を行う。
また、デバイスアクセス制御部13は、当該設備機器の制御結果を、ゲートウェイ(GW)機器3または制御機器33から取得するものである。この制御結果は、データアクセス制御部12へ返される。
The data
The device
The device
記憶部14は、ユーザの認証やサービスの利用に関するデータを提供するサービス管理データ15と、デバイスのアクセスに関するデータを提供するデバイス管理データ16と、デバイスの状態とその履歴に関するデータを提供するデバイス状態データ17とを備える。本実施形態では、記憶部14は、データベースである。
図2に示すように、サービス管理データ15は、ユーザ認証情報テーブル201と、サービス情報テーブル301と、サービスパーミッションテーブル(利用権限情報)401と、ノードパーミッションテーブル(アクセス権限情報)501と、ノード対応付けテーブル(経路対応情報)601と、サービスノードツリー1001とを備える。
The
As shown in FIG. 2, the
デバイス管理データ16は、デバイスノード情報テーブル(ノード種別情報)701と、デバイスノードツリー901とを備える。
デバイス状態データ17は、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801を備える。
The
The
次に、前記した各種テーブルの一例およびツリー構造について、図3〜図11を用いて説明する。
ユーザ認証情報テーブル201は、図3に示すように、ユーザとその認証情報を管理するテーブルである。このユーザ認証情報テーブル201は、ユーザID210と、ユーザ認証情報220とを備える。
ユーザID210は、ユーザを一意に特定するためのIDであり、ユーザがサービスを利用するときに、ユーザが提示する情報である。ユーザ認証情報220は、ユーザID210を提示したユーザの本人確認のために必要なデータであり、パスワードのハッシュ値や生体認証情報が記録される。
Next, an example of the various tables described above and a tree structure will be described with reference to FIGS.
As shown in FIG. 3, the user authentication information table 201 is a table for managing users and their authentication information. This user authentication information table 201 includes a
The
サービス情報テーブル301は、図4に示すように、サービスとそのサービスの提供に必要な情報を管理するテーブルである。このサービス情報テーブル301は、サービスID310と、サービス情報320とを備える。
サービスID310は、多数あるサービスから利用されるサービスを一意に特定するためのIDである。サービス情報320は、サービスID310で指定されるサービスを提供するために必要な情報であり、本実施形態ではサービスのURL(Uniform Resource Locator)が記録される。
As shown in FIG. 4, the service information table 301 is a table for managing services and information necessary for providing the services. The service information table 301 includes a
The
サービスパーミッションテーブル(利用権限情報)401は、図5に示すように、ユーザとサービスの組に応じてサービスの利用権限を管理するテーブルである。このサービスパーミッションテーブル(利用権限情報)401は、ユーザID410と、サービスID420と、サービスパーミッション(アクセス権種別)430とを備える。
ユーザID410は、ユーザ認証情報テーブル201に記録されるユーザID210と同一である。サービスID420は、サービス情報テーブル301に記録されるサービスID310と同一である。サービスパーミッション(アクセス権種別)430は、ユーザIDに示されるユーザが、サービスIDで示されるサービスを利用可能か否か判定するための情報である。
The service permission table (use authority information) 401 is a table for managing the use authority of a service in accordance with a user / service pair, as shown in FIG. The service permission table (use authority information) 401 includes a
The
このサービスパーミッション(アクセス権種別)430は、例えば、「read」、「write」もしくは「read, write」である。「read」はサービスIDで示されるサービスを利用して設備機器の情報を閲覧できる権限、「write」はサービスIDで示されるサービスを利用して設備機器に動作指示を与える権限、「read, write」はサービスIDで示されるサービスを利用して設備機器の情報の閲覧と動作指示を行える権限を示す。
例えば、「read」では、エアコンが今どのような状態にあるのかを知るというようなことができる。「write」では、エアコンをONにするというようなことができる。また、「write」では、サーバ機器(アクセス権管理装置)1上において、設備機器の状態データを処理するための計算式やパラメータを変更するというようなことができる。さらに、「write」では、設備機器41〜47上において、例えばドアが10秒間開いた状態が続くと警報を鳴らすというように、設備機器41〜47の動作のパラメータを変更することもできる。
The service permission (access right type) 430 is, for example, “read”, “write”, or “read, write”. “Read” is an authority to view information on the equipment using the service indicated by the service ID, “write” is an authority to give an operation instruction to the equipment using the service indicated by the service ID, and “read, write "Indicates the authority to browse the information on the equipment and to perform an operation instruction using the service indicated by the service ID.
For example, “read” can be used to know what state the air conditioner is currently in. “Write” can turn on the air conditioner. In “write”, the calculation formula and parameters for processing the status data of the equipment device can be changed on the server device (access right management device) 1. Further, in “write”, the operation parameters of the
ノードパーミッションテーブル(アクセス権限情報)501は、図6に示すように、ユーザとサービスの組に応じて設備機器のアクセス権限を管理するテーブルである。このノードパーミッションテーブル(アクセス権限情報)501は、ユーザID510と、サービスID520と、サービスノードパス(第1の経路)530とを備える。
ユーザID510は、ユーザ認証情報テーブル201に記録されるユーザID210と同一である。サービスID520は、サービス情報テーブル301に記録されるサービスID310と同一である。サービスノードパス(第1の経路)530は、ユーザIDに示されるユーザが、サービスIDで示されるサービスの利用に際して、アクセス可能な設備機器が記録されている。
As shown in FIG. 6, the node permission table (access authority information) 501 is a table that manages the access authority of the equipment according to the combination of the user and the service. The node permission table (access authority information) 501 includes a
The
サービスノードパス(第1の経路)530は、サービスノードツリー1001の各ノードへのパスの文字列表現を記録する。また、文字列表現中には、「*」を記載し、「*」が記載されている場所のノード以下の全ノードを示すことができる。
また、このノードパーミッションテーブル(アクセス権限情報)501から、ユーザとサービスを特定したものが、アクセス可能設備機器リスト(アクセス可能設備機器情報)である。
The service node path (first route) 530 records a character string representation of the path to each node of the
Further, a list of users and services specified from the node permission table (access authority information) 501 is an accessible equipment list (accessible equipment information).
ノード対応付けテーブル(経路対応情報)601は、図7に示すように、サービスノードパス(第1の経路)610とデバイスノードパス(第2の経路)620の対応付けを行うテーブルである。
サービスノードパス(第1の経路)610は、サービスノードツリー1001の各ノードへのパスの文字列表現を記録する。デバイスノードパス(第2の経路)620は、デバイスノードツリー901の各ノードへのパスの文字列表現を記録する。サービスノードツリー1001のノードに対応する設備機器に対する制御要求は、ノード対応付けテーブル(経路対応情報)601により対応付けられるデバイスノードツリー901のノードに対応する設備機器への制御要求へと変換される。
The node association table (route correspondence information) 601 is a table that associates a service node path (first route) 610 and a device node path (second route) 620 as shown in FIG.
A service node path (first route) 610 records a character string representation of a path to each node of the
デバイスノード情報テーブル(ノード種別情報)701は、図8に示すように、設備機器41〜47へのアクセスに必要な情報を管理するテーブルである。このデバイスノード情報テーブル(ノード種別情報)701は、デバイスノードパス(第2の経路)710と、ノード種別720と、ノード情報730とを備える。
デバイスノードパス(第2の経路)710は、デバイスノードツリー901の各ノードへのパスの文字列表現を記録する。
The device node information table (node type information) 701 is a table for managing information necessary for accessing the
A device node path (second route) 710 records a character string representation of a path to each node in the
ノード種別720は、設備機器41〜47の制御結果の取得方法の種別を示す。ノード種別720は、「0」、「1」、「2」とする。「0」は、常に設備機器41〜47へアクセスしてデータを取得することを示す。これは設備機器41〜47の現在の状態を取得したい場合等に用いられる。「1」は、デバイス状態データ17に設備機器41〜47の直近の状態データが登録されていない場合にのみ、設備機器41〜47へアクセスしてデータを取得することを示す。これは、通信の負荷等を考慮に入れ、現在の状態データでなくても比較的新しい状態データがあれば許容される場合等に用いられる。「2」は、常にデバイス状態データ17からデータを取得することを示す。これは、設備機器41〜47の状態の統計データを取得したい場合等に用いられる。
ノード情報730は、デバイスノードパス(第2の経路)710で示す設備機器41〜47にアクセスするために必要な情報である。ノード情報730は、例えば、IP(Internet Protocol)アドレスとポート番号の組が記録される。
The
The
デバイスノード状態履歴テーブル(設備機器状態履歴情報)801は、図9に示すように、設備機器41〜47の状態とその履歴を管理するテーブルである。このデバイスノード状態履歴テーブル(設備機器状態履歴情報)801は、デバイスノードパス(第2の経路)810と、日時820と、内容830とを備える。
デバイスノードパス(第2の経路)810は、デバイスノードツリー901の各ノードへのパスの文字列表現を記録する。日時820は、デバイスノードパス(第2の経路)810で示される設備機器において、状態の変化があった日時(「年-月-日 時:分:秒.ミリ秒」)を記録する。内容830は、デバイスノードパス(第2の経路)810で示される設備機器における状態の変化の内容を記録する。内容830は、例えば、ドアの開閉状態やパッケージエアコンの一日の総消費電力量等を記録する。
The device node state history table (facility device state history information) 801 is a table for managing the states of the
A device node path (second route) 810 records a character string representation of a path to each node in the
デバイスノードツリー901は、図10に示すように、設備機器41〜47のシステム構成上の管理状態を示すツリーである。すなわち、「server1」は、サーバ機器(アクセス権管理装置)1に、「gw1」は、ゲートウェイ(GW)機器3に、「cont1」は、制御機器31に、「cont2」は、制御機器32に、「cont3」は、制御機器33に、それぞれ対応する。また、「dev1」〜「dev7」は、それぞれ、設備機器41〜47に対応する。
このデバイスノードツリー901は、データアクセス制御部12、デバイスアクセス制御部13で管理しやすいように構成されたツリーである。本実施形態では、ネットワーク構成を模したツリーとする。データアクセス制御部12、デバイスアクセス制御部13で管理しやすいようにツリーを構成することで、設備機器41〜47からのデータ取得が容易になる。
As shown in FIG. 10, the
The
サービスノードツリー1001は、図11に示すように、設備機器41〜47のサービス構成上の管理状態を示すツリーである。すなわち、「buil1」は、「ビル」に、「1f」は、「ビルの1階」に、「2f」は、「ビルの2階」に、「room1」〜「room3」は、それぞれ「部屋1」〜「部屋3」に、対応する。また、「pac1」、「door1」、「door2」は、それぞれ部屋1の「パッケージエアコン1」、「ドア1」、「ドア2」に対応する。「pac2」、「door3」は、それぞれ部屋2の「パッケージエアコン2」、「ドア3」に対応する。「pac3」、「door4」は、それぞれ部屋3の「パッケージエアコン3」、「ドア4」に対応する。
このサービスノードツリー1001は、デバイスノードツリー901とは別に、サービスごと、ユーザごとに別個に作成されるツリーである。また、サービスノードツリー1001は、サービスアクセス制御部11で管理しやすいように構成されたツリーである。本実施形態では、建物の構造を模したツリーとする。人の目で見て分かりやすく、サービスアクセス制御部11で管理しやすいようにツリーを構成することで、サービス提供時のサービス内容表示が容易になる。
サービスノードツリー1001のノードは、ノード対応付けテーブル(経路対応情報)601により、デバイスノードツリー901のノードと結び付けられ、設備機器41〜47の制御の際は、システム構成上でアクセスしやすい形式に変換される。
As shown in FIG. 11, the
This
The nodes of the
なお、サーバ機器(アクセス権管理装置)1は、図示を省略したCPUやメモリを搭載した一般的なコンピュータで実現することができる。このとき、サーバ機器(アクセス権管理装置)1は、コンピュータを、前記した各手段として機能させるアクセス権管理プログラムによって動作する。 The server device (access right management apparatus) 1 can be realized by a general computer having a CPU and a memory (not shown). At this time, the server device (access right management apparatus) 1 is operated by an access right management program that causes the computer to function as each of the means described above.
[アクセス権管理システム100の動作]
次に、アクセス権管理システム100の動作について図12〜図16(構成は適宜図1)を参照して説明する。
[Operation of Access Rights Management System 100]
Next, the operation of the access
(ログイン処理)
図12のフローチャートは、ログイン処理の動作を示すものである。ステップS11より前に、ユーザは、HTMLで構築されたログイン画面において、フォームにユーザIDと、パスワード、または、生体認証のデバイスを操作して生体認証情報とをクライアント機器2から入力する。
ステップS11において、サービスアクセス制御部11は、クライアント機器2から送信されたユーザIDとユーザ認証情報を取得し、図示しない記憶部に記憶する。
(Login process)
The flowchart in FIG. 12 shows the operation of the login process. Prior to step S <b> 11, the user inputs the biometric information from the
In step S11, the service
ステップS12において、サービスアクセス制御部11は、取得したユーザIDとパスワードもしくは生体認証情報の組が正しいか否かの確認を行う。サービスアクセス制御部11は、クライアント機器2から送信されたユーザIDに対応するユーザ認証情報を、ユーザ認証情報テーブル201から取得し、このユーザ認証情報が、クライアント機器2から送信されたパスワードや生体認証情報と等しいか否かで確認する。
In step S12, the service
ステップS13において、サービスアクセス制御部11は、ユーザの認証が成功したか否かを判定する。ユーザの認証が失敗した場合は(ステップS13・No)、ログイン失敗となり、ログイン処理を終了する。
一方、ユーザの認証が成功した場合は(ステップS13・Yes)、ステップS14において、サービスアクセス制御部11は、サービス情報テーブル301から、サービスIDとサービス情報を取得し、ユーザに提供するサービスの一覧を取得する。
In step S <b> 13, the service
On the other hand, when the user authentication is successful (step S13 / Yes), in step S14, the service
ステップS15において、サービスアクセス制御部11は、サービス情報の一覧を、HTMLにより、それぞれリンク形式で構築し、クライアント機器2は、サービス情報の一覧を表示する。
ステップS16において、サービスアクセス制御部11は、ユーザがリンクをクリックすることで指示したサービスのサービスIDを図示しない記憶部に記憶する。ユーザは、このクリックにより、サービスの利用を開始することができる。
In step S15, the service
In step S16, the service
(サービスアクセス処理)
図13のフローチャートは、サービス利用時に許可された設備機器にアクセスする動作を示すものである。
ステップS21において、サービスアクセス制御部11は、ステップS11において記憶したユーザIDと、ステップS16において記憶したサービスIDと、ユーザが指定したアクセス権種別である「read」または「write」の情報と、ユーザが指定したデータの変更内容などを取得する。
ステップS22において、サービスアクセス制御部11は、サービスパーミッションテーブル(利用権限情報)401から、当該ユーザIDと当該サービスIDとの組を含む行のサービスパーミッション(アクセス権種別)を取得する。
(Service access processing)
The flowchart of FIG. 13 shows an operation of accessing the equipment that is permitted when the service is used.
In step S21, the service
In step S <b> 22, the service
ステップS23において、サービスアクセス制御部11は、当該ユーザが当該サービスを利用する権限が有るか否か、を判定する。サービスパーミッション(アクセス権種別)が取得できない場合、すなわち、サービスパーミッションテーブル(利用権限情報)401に、当該ユーザIDと当該サービスIDとの組に該当する行がない場合は(ステップS23・No)、サービス利用不可として、サービスアクセス処理を終了する。
一方、サービスパーミッション(アクセス権種別)が取得できた場合(ステップS23・Yes)、ステップS24において、サービスアクセス制御部11は、ノードパーミッションテーブル(アクセス権限情報)501から、当該ユーザIDと当該サービスIDとの組を含む行のサービスノードパス(第1の経路)を取得する。なお、ここで取得したサービスノードパス(第1の経路)のリストが、アクセス可能設備機器リスト(アクセス可能設備機器情報)である。
In step S23, the service
On the other hand, when the service permission (access right type) can be acquired (step S23 / Yes), in step S24, the service
ステップS25において、サービスアクセス制御部11は、アクセス可能設備機器リスト(アクセス可能設備機器情報)にある設備機器に対してループ処理を行う。なお、ループ処理の対象となる設備機器は、ユーザが選択する。
ステップS26において、サービスアクセス制御部11は、ステップS21において取得したアクセス権種別を判定する。アクセス権種別が「read」の場合は(ステップS26・read)、ステップS27において、サービスアクセス制御部11は、サービスノードパス(第1の経路)をデータアクセス制御部12に渡し、データアクセス制御部12は、データ取得処理を行う。データ取得処理については、後に詳述する。
一方、アクセス権種別が「write」の場合は(ステップS26・write)、ステップS28において、サービスアクセス制御部11は、サービスノードパス(第1の経路)をデータアクセス制御部12に渡し、データアクセス制御部12は、データ登録処理を行う。データ登録処理については、後に詳述する。
In step S25, the service
In step S26, the service
On the other hand, when the access right type is “write” (step S26 / write), in step S28, the service
ステップS29において、サービスアクセス制御部11は、データアクセス制御部12から取得した制御結果を編集し、HTML形式の画面データとして構築する。ここで、制御結果とは、ステップS27において取得する設備機器の状態データの取得結果、ステップS28において取得する設備機器に記憶されたデータの変更結果、あるいは、設備機器の動作指示結果などを含む概念である。
なお、画面データは、サービスノードツリー1001に対応した構成とすることで、人の目で見て分かりやすい表示とする。
In step S29, the service
Note that the screen data has a configuration corresponding to the
ステップS30において、サービスアクセス制御部11は、画面データをクライアント機器2に送信し、クライアント機器2は、取得した画面データである制御結果を表示し、アクセス権管理システムは、サービスアクセス処理を終了する。
In step S30, the service
(データ取得処理)
図14のフローチャートは、設備機器の状態データを取得する処理の動作を示すものである。
ステップS271において、データアクセス制御部12は、サービスアクセス制御部11から渡されたサービスノードパス(第1の経路)を含む行のデバイスノードパス(第2の経路)を、ノード対応付けテーブル(経路対応情報)601から取得する。
ステップS272において、データアクセス制御部12は、取得したデバイスノードパス(第2の経路)を含む行のノード種別を、デバイスノード情報テーブル(ノード種別情報)701から取得する。
(Data acquisition process)
The flowchart of FIG. 14 shows the operation of the process for acquiring the status data of the equipment.
In step S271, the data
In step S272, the data
ステップS273において、データアクセス制御部12は、取得したノード種別に応じて、処理を分岐する。すなわち、ノード種別が「0」の場合は、データアクセス制御部12は、設備機器41〜47へアクセスが必要と判定する(ステップS273・Yes)。また、ノード種別が「1」の場合は、データアクセス制御部12は、ステップS271において取得したデバイスノードパス(第2の経路)を含む行の日時を、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801から取得し、最新の日時から一定時間経過している場合には、設備機器41〜47へアクセスが必要と判定する(ステップS273・Yes)。
一方、最新の日時が一定時間内である場合には、データアクセス制御部12は、記憶部14からのデータ取得が必要と判定する(ステップS273・No)。また、ノード種別が「2」の場合は、データアクセス制御部12は、記憶部14からのデータ取得が必要と判定する(ステップS273・No)。
In step S273, the data
On the other hand, when the latest date and time is within a predetermined time, the data
設備機器41〜47へアクセスが必要と判定した場合は(ステップS273・Yes)、ステップS274において、データアクセス制御部12は、ステップS271において取得したデバイスノードパス(第2の経路)を、デバイスアクセス制御部13に渡し、設備機器41〜47の状態データの取得を要求する。デバイスアクセス制御部13は、渡されたデバイスノードパス(第2の経路)を含む行のノード情報を、デバイスノード情報テーブル(ノード種別情報)701から取得する。
ステップS275において、デバイスアクセス制御部13は、設備機器の状態データを取得する処理を行う。すなわち、デバイスアクセス制御部13は、取得したノード情報に含まれるIPアドレスとポート番号に対して、通信路を確立する。なお、本実施形態でのIPアドレスは、ゲートウェイ(GW)機器3や制御機器33のIPアドレスとなる。
If it is determined that access to the
In step S275, the device
デバイスアクセス制御部13は、確立された通信路に対し、ステップS271において取得したデバイスノードパス(第2の経路)を、ゲートウェイ(GW)機器3や制御機器33に送信し、設備機器の状態データの要求を行う。デバイスノードパス(第2の経路)を受信したゲートウェイ(GW)機器3や制御機器33は、デバイスノードパス(第2の経路)に対応する設備機器の状態データを、デバイスアクセス制御部13に返信する。
The device
ステップS276において、デバイスアクセス制御部13は、受信した状態データを、データアクセス制御部12に返すとともに、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801に登録する。
In step S276, the device
一方、記憶部14からのデータ取得が必要と判定した場合は(ステップS273・No)、ステップS277において、データアクセス制御部12は、ステップS271において取得したデバイスノードパス(第2の経路)を含む行の日時と内容を、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801から取得する。
On the other hand, when it is determined that data acquisition from the
ステップS276またはステップS277の後、データアクセス制御部12は、設備機器の状態データの取得結果を、サービスアクセス制御部11に返す。
After step S276 or step S277, the data
(データ登録処理)
図15のフローチャートは、設備機器のデータを登録する処理の動作を示すものである。
ここで、設備機器のデータを登録する処理とは、設備機器のデータを変更する処理、設備機器へ動作指示を与える処理などを含むものである。
(Data registration process)
The flowchart of FIG. 15 shows the operation of a process for registering data of equipment.
Here, the process of registering equipment device data includes a process of changing the equipment device data, a process of giving an operation instruction to the equipment device, and the like.
ステップS281およびステップS282は、ステップS271およびステップS272と同様であるため、説明を省略する。
ステップS283において、データアクセス制御部12は、取得したノード種別に応じて、処理を分岐する。すなわち、ノード種別が「0」または「1」の場合は、データアクセス制御部12は、設備機器41〜47へアクセスが必要と判定する(ステップS283・Yes)。
一方、ノード種別が「2」の場合は、データアクセス制御部12は、記憶部14へのデータ登録が必要と判定する(ステップS283・No)。
Steps S281 and S282 are the same as steps S271 and S272, and thus the description thereof is omitted.
In step S283, the data
On the other hand, when the node type is “2”, the data
設備機器41〜47へアクセスが必要と判定した場合は(ステップS283・Yes)、ステップS284において、データアクセス制御部12は、ステップS281において取得したデバイスノードパス(第2の経路)を、デバイスアクセス制御部13に渡し、設備機器41〜47のデータ登録を要求する。デバイスアクセス制御部13は、渡されたデバイスノードパス(第2の経路)を含む行のノード情報を、デバイスノード情報テーブル(ノード種別情報)701から取得する。ここで、データ登録とは、設備機器41〜47の記憶領域に記憶されたデータを指定されたデータに変更すること、および、設備機器41〜47へ動作指示を与えることなどを含む概念である。
If it is determined that access to the
ステップS285において、デバイスアクセス制御部13は、取得したノード情報に含まれるIPアドレスとポート番号に対して、通信路を確立する。なお、本実施形態でのIPアドレスは、ステップS275と同様、ゲートウェイ(GW)機器3や制御機器33のIPアドレスとなる。
デバイスアクセス制御部13は、確立された通信路に対し、ステップS281において取得したデバイスノードパス(第2の経路)を、ゲートウェイ(GW)機器3や制御機器33に送信し、設備機器のデータ登録の要求を行う。これによって、例えばエアコンの温度設定などの設定パラメータの変更や、ドア開閉などの設備機器の動作指示を行うことが可能になる。デバイスノードパス(第2の経路)を受信したゲートウェイ(GW)機器3や制御機器33は、デバイスノードパス(第2の経路)に対応する設備機器のデータの登録結果を、デバイスアクセス制御部13に返信する。デバイスアクセス制御部13は、受信した登録結果を、データアクセス制御部12に返す。ここで、登録結果とは、設備機器41〜47のデータの変更結果および設備機器41〜47への動作指示結果を含む概念である。
In step S285, the device
The device
ステップS286において、デバイスアクセス制御部13は、受信した状態データを、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801に登録した後、データアクセス制御部12に返す。
In step S286, the device
一方、記憶部14へのデータ登録が必要と判定した場合は(ステップS283・No)、ステップS287において、データアクセス制御部12は、ステップS281において取得したデバイスノードパス(第2の経路)と、日時と、ユーザがステップS21において指定したデータの変更内容を、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801へ登録する。これによって、例えばデータベースの記録内容を変更したり、例えばエネルギー消費量を計算するための計算式や変換係数などのパラメータを書き換えたりすることなどが可能となる。
On the other hand, if it is determined that data registration in the
ステップS286またはステップS287の後、データアクセス制御部12は、設備機器の登録結果を、サービスアクセス制御部11に返す。
After step S286 or step S287, the data
以上の動作によって、ユーザを特定するユーザIDとサービスを特定するサービスIDとの組ごとに、アクセス可能な設備機器を対応づけたアクセス権限情報を用いてアクセス権を管理することができ、従来のように設備機器ごとにそれを利用可能なユーザのリストを作成することでアクセス権を設定する必要がなくなるため、膨大な数の設備機器と多数のユーザやサービスの組み合わせに対して、柔軟なアクセス権の付与、設備機器への負荷の軽減、ネットワーク通信量の軽減を行う事が可能となり、ユーザのサービスの可用性が向上する。 With the above operation, the access right can be managed using the access right information associated with the accessible equipment for each set of the user ID for specifying the user and the service ID for specifying the service. In this way, it is not necessary to set access rights by creating a list of users who can use it for each piece of equipment, so flexible access to a large number of pieces of equipment and combinations of many users and services It is possible to grant rights, reduce the load on equipment, and reduce network traffic, improving the availability of user services.
<第2実施形態>
次に、本発明の第2実施形態について、図16を参照して説明する。
[アクセス権管理システム100Aの構成]
アクセス権管理システム100Aの構成は、第1実施形態から、ゲートウェイ(GW)機器3が取り除かれた構成であり、制御機器31、制御機器32がグローバルネットワーク4を介して、サーバ機器(アクセス権管理装置)1と相互に接続される。
Second Embodiment
Next, a second embodiment of the present invention will be described with reference to FIG.
[Configuration of Access
The configuration of the access
また、ノード対応付けテーブル(経路対応情報)601、デバイスノード情報テーブル(ノード種別情報)701、および、デバイスノードツリー901を次に示す構成とする。
ノード対応付けテーブル(経路対応情報)601の各行のデバイスノードパスから「/gw1」を削除した構成とする。デバイスノード情報テーブル(ノード種別情報)701の各行のデバイスノードパスから「/gw1」を削除した構成とする。デバイスノードツリー901の「gw1」のノードを削除し、「cont1」と「cont2」のノードがそれぞれ、「server1」につながる構成とする。
Further, the node association table (path correspondence information) 601, the device node information table (node type information) 701, and the
A configuration in which “/ gw1” is deleted from the device node path in each row of the node association table (route correspondence information) 601 is adopted. It is assumed that “/ gw1” is deleted from the device node path in each row of the device node information table (node type information) 701. The “gw1” node in the
その他は、第1実施形態と同様であり、第1実施形態の構成と同一の構成には同一の符号を付して、説明は省略する。 Others are the same as those in the first embodiment, and the same components as those in the first embodiment are denoted by the same reference numerals and the description thereof is omitted.
<変形例>
以上、本発明の一実施形態について説明したが、本発明はこれに限定されず、本発明の趣旨を逸脱しない範囲で、例えば次のように変更することができる。
<Modification>
As mentioned above, although one Embodiment of this invention was described, this invention is not limited to this, For example, it can change as follows in the range which does not deviate from the meaning of this invention.
ステップS275において、ゲートウェイ(GW)機器3または制御機器33は、制御機器31,32または設備機器47から通知されていた設備機器それぞれの状態データを履歴として保持しておくことができる。
そして、ゲートウェイ(GW)機器3または制御機器33が返信する設備機器の状態データは、設備機器の状態データの要求を受けてから改めて制御機器31,32または設備機器47へ状態データの取得要求を出して得られた状態データでもよいし、制御機器31,32または設備機器47から既に通知され履歴として保持していた状態データでもよい。
In step S275, the gateway (GW)
Then, the equipment device status data returned from the gateway (GW)
また、ゲートウェイ(GW)機器3または制御機器33は、状態データの取得要求を受けた時に、保持していた状態データの履歴を全て返信してもよい。
ただし、この場合は、ゲートウェイ(GW)機器3または制御機器33は、デバイスアクセス制御部13がデータアクセス制御部12に状態データを返すときには、データアクセス制御部12から要求されていたデバイスノードパス(第2の経路)に対応する設備機器の状態データのみを返すこととする。
この際、ゲートウェイ(GW)機器3または制御機器33は、デバイスアクセス制御部13から要求されていたデバイスノードパス(第2の経路)に対応する設備機器の状態データを、デバイスアクセス制御部13に返信するデータの先頭にしておくことができる。そして、デバイスアクセス制御部13は、ゲートウェイ(GW)機器3または制御機器33から返信された設備機器の状態データの先頭の状態データのみをデータアクセス制御部12に即座に返した後、ゲートウェイ(GW)機器3または制御機器33から返信されたすべての設備機器の状態データを、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801に登録してもよい。
Further, the gateway (GW)
However, in this case, when the device
At this time, the gateway (GW)
なお、第2実施形態の場合は、ゲートウェイ(GW)機器3がない構成のため、制御機器31,32は、上述した制御機器33と同様の機能を担うこととなる。
In the case of the second embodiment, since there is no gateway (GW)
同様に、ステップS285において、ゲートウェイ(GW)機器3または制御機器33は、データ登録の要求を受けた時に、登録結果とともに保持していた設備機器の状態データの履歴を全て返信してもよい。
ただし、この場合は、ゲートウェイ(GW)機器3または制御機器33は、デバイスアクセス制御部13がデータアクセス制御部12に状態データを返すときには、データアクセス制御部12から要求されていたデバイスノードパス(第2の経路)に対応する設備機器の登録結果のみを返すこととする。
この際、ゲートウェイ(GW)機器3または制御機器33は、デバイスアクセス制御部13から要求されていたデバイスノードパス(第2の経路)に対応する設備機器の登録結果を、デバイスアクセス制御部13に返信するデータの先頭にしておくことができる。そして、デバイスアクセス制御部13は、ゲートウェイ(GW)機器3または制御機器33から返信された設備機器の状態データや登録結果のうち、先頭の登録結果のみをデータアクセス制御部12に即座に返した後、ゲートウェイ(GW)機器3または制御機器33から返信されたすべての設備機器の状態データや登録結果を、デバイスノード状態履歴テーブル(設備機器状態履歴情報)801に登録してもよい。
Similarly, in step S285, when receiving the data registration request, the gateway (GW)
However, in this case, when the device
At this time, the gateway (GW)
なお、第2実施形態の場合は、ゲートウェイ(GW)機器3がない構成のため、制御機器31,32は、上述した制御機器33と同様の機能を担うこととなる。
In the case of the second embodiment, since there is no gateway (GW)
1 サーバ機器(アクセス権管理装置)
2 クライアント機器
3 ゲートウェイ(GW)機器
4 グローバルネットワーク
5 ローカルネットワーク
10 アクセス制御部
11 サービスアクセス制御部
12 データアクセス制御部
13 デバイスアクセス制御部
14 記憶部
15 サービス管理データ
16 デバイス管理データ
17 デバイス状態データ
31〜33 制御機器
41〜47 設備機器
100 アクセス権管理システム
100A アクセス権管理システム
201 ユーザ認証情報テーブル
301 サービス情報テーブル
401 サービスパーミッションテーブル(利用権限情報)
501 ノードパーミッションテーブル(アクセス権限情報)
601 ノード対応付けテーブル(経路対応情報)
610 サービスノードパス(第1の経路)
620 デバイスノードパス(第2の経路)
701 デバイスノード情報テーブル(ノード種別情報)
720 ノード種別
730 ノード情報
801 デバイスノード状態履歴テーブル(設備機器状態履歴情報)
820 日時
830 内容
901 デバイスノードツリー
1001 サービスノードツリー
1 Server device (access right management device)
2
501 Node permission table (access authority information)
601 Node association table (route correspondence information)
610 service node path (first route)
620 Device node path (second route)
701 Device node information table (node type information)
720
820 Date and
Claims (11)
前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、
アクセス可能な前記設備機器を対応づけたアクセス権限情報を記憶している記憶部と、
前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御部と、
前記設備機器と当該設備機器の状態とその状態の履歴とを対応づけた設備機器状態履歴情報を記憶している記憶部と、
ネットワークを介して前記設備機器へアクセスするのか、または、前記設備機器の状態が記録された前記設備機器状態履歴情報へアクセスするのかを示す情報であるノード種別と、前記設備機器とを対応づけたノード種別情報を記憶している記憶部と、を備え、
前記アクセス制御部は、前記アクセス可能設備機器情報に存在する設備機器ごとに、前記ノード種別情報を用いて、前記ノード種別を取得し、アクセスする場所を選択するデータアクセス制御部を備える
ことを特徴とするアクセス権管理装置。 An access right management device that manages an access right that is a right to access a facility device when a user uses a service,
For each set of a user ID that identifies the user and a service ID that identifies the service,
A storage unit storing access authority information in association with the accessible equipment;
Based on the user ID and the service ID acquired by the input from the client device that exchanges information with the user, the access authority information is used to access the facility device that the user can access in the service. Obtains accessible equipment information that is information, requests the control equipment that controls the equipment to request control of the equipment present in the accessible equipment information, and sends the control to the client equipment An access control unit for displaying a control result of the facility device acquired from the device;
A storage unit storing facility device state history information that associates the state of the facility device with the state of the facility device and a history of the state;
A node type that is information indicating whether to access the facility equipment state history information in which the equipment device is accessed or the equipment device state is recorded is associated with the equipment device. A storage unit storing node type information,
The access control unit includes a data access control unit that acquires the node type using the node type information and selects a location to access, for each equipment device existing in the accessible equipment information. Access right management device.
前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、 For each set of a user ID that identifies the user and a service ID that identifies the service,
アクセス可能な前記設備機器を対応づけたアクセス権限情報を記憶している記憶部と、A storage unit storing access authority information in association with the accessible equipment;
前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御部と、 Based on the user ID and the service ID acquired by the input from the client device that exchanges information with the user, the access authority information is used to access the facility device that the user can access in the service. Obtains accessible equipment information that is information, requests the control equipment that controls the equipment to request control of the equipment present in the accessible equipment information, and sends the control to the client equipment An access control unit for displaying a control result of the facility device acquired from the device;
前記設備機器への経路を示すために、前記設備機器のサービス構成上の管理状態を示す木構造に基づく第1の経路および前記設備機器のシステム構成上の管理状態を示す木構造に基づく第2の経路があり、前記第1の経路と前記第2の経路とを、前記設備機器ごとに対応づけた経路対応情報を記憶している記憶部と、を備え、 In order to show the route to the equipment, a first route based on a tree structure indicating a management state of the equipment in service configuration and a second structure based on a tree structure showing a management state of the equipment in system configuration A storage unit storing route correspondence information in which the first route and the second route are associated with each facility device, and
前記アクセス制御部は、前記クライアント機器に対しては、前記第1の経路を用いて前記設備機器を示し、前記制御機器に対しては、前記経路対応情報に基づいて、前記第1の経路を前記第2の経路に置き換えて当該設備機器を示す The access control unit indicates the equipment device using the first route for the client device, and indicates the first route based on the route correspondence information for the control device. Replace the second route to indicate the equipment
ことを特徴とするアクセス権管理装置。 An access right management device.
前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、 For each set of a user ID that identifies the user and a service ID that identifies the service,
アクセス可能な前記設備機器を対応づけたアクセス権限情報を記憶している記憶部と、A storage unit storing access authority information in association with the accessible equipment;
前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御部と、 Based on the user ID and the service ID acquired by the input from the client device that exchanges information with the user, the access authority information is used to access the facility device that the user can access in the service. Obtains accessible equipment information that is information, requests the control equipment that controls the equipment to request control of the equipment present in the accessible equipment information, and sends the control to the client equipment An access control unit for displaying a control result of the facility device acquired from the device;
前記設備機器と当該設備機器の状態とその状態の履歴とを対応づけた設備機器状態履歴情報を記憶している記憶部と、 A storage unit storing facility device state history information that associates the state of the facility device with the state of the facility device and a history of the state;
ネットワークを介して前記設備機器へアクセスするのか、または、前記設備機器の状態が記録された前記設備機器状態履歴情報へアクセスするのかを示す情報であるノード種別と、前記設備機器とを対応づけたノード種別情報を記憶している記憶部と、 A node type that is information indicating whether to access the facility equipment state history information in which the equipment device is accessed or the equipment device state is recorded is associated with the equipment device. A storage unit storing node type information;
前記設備機器への経路を示すために、前記設備機器のサービス構成上の管理状態を示す木構造に基づく第1の経路および前記設備機器のシステム構成上の管理状態を示す木構造に基づく第2の経路があり、前記第1の経路と前記第2の経路とを、前記設備機器ごとに対応づけた経路対応情報を記憶している記憶部と、を備え、 In order to show the route to the equipment, a first route based on a tree structure indicating a management state of the equipment in service configuration and a second structure based on a tree structure showing a management state of the equipment in system configuration A storage unit storing route correspondence information in which the first route and the second route are associated with each facility device, and
前記アクセス制御部は、前記アクセス可能設備機器情報に存在する設備機器ごとに、前記ノード種別情報を用いて、前記ノード種別を取得し、アクセスする場所を選択するデータアクセス制御部を備えるとともに、 The access control unit includes a data access control unit that acquires the node type using the node type information and selects a location to access, for each equipment device present in the accessible equipment information.
前記アクセス制御部は、前記クライアント機器に対しては、前記第1の経路を用いて前記設備機器を示し、前記制御機器に対しては、前記経路対応情報に基づいて、前記第1の経路を前記第2の経路に置き換えて当該設備機器を示す The access control unit indicates the equipment device using the first route for the client device, and indicates the first route based on the route correspondence information for the control device. Replace the second route to indicate the equipment
ことを特徴とするアクセス権管理装置。 An access right management device.
前記アクセス制御部は、当該ユーザが当該サービスの利用権限を有するか否かを、前記利用権限情報を用いて判定する
ことを特徴とする請求項1から請求項3のいずれか一項に記載のアクセス権管理装置。 A storage unit that stores use authority information in association with an access right type, which is information indicating a usable form of the service for the user, for each set of the user ID and the service ID;
The said access control part determines whether the said user has the use authority of the said service using the said use authority information. The Claim 1 characterized by the above-mentioned. Access right management device.
前記アクセス権管理装置は、
前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、
アクセス可能な前記設備機器へのサービス構成上の管理状態を示す木構造の経路情報である第1の経路情報を対応づけたアクセス権限情報を記憶している記憶部と、
前記設備機器への経路を示すために、前記第1の経路情報と前記設備機器のシステム構成上の管理状態を示す木構造に基づく経路情報である第2の経路情報とを、前記設備機器ごとに対応づけた経路対応情報を記憶している記憶部と、
前記クライアント機器から取得した前記ユーザIDおよび前記サービスIDに基づいて、
前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報である第1の経路情報を取得し、前記経路対応情報に基づいて第1の経路情報を第2の経路情報に置き換え、前記制御機器に対して、前記第2の経路情報で示される設備機器の制御を要求し、前記制御機器から取得した前記設備機器の制御結果を前記クライアント機器に表示させるアクセス制御部と、を備え、
前記制御機器は、前記アクセス権管理装置から要求された前記設備機器の制御をし、その制御結果を前記アクセス権管理装置に返信する
ことを特徴とするアクセス権管理システム。 In response to a request from the access right management device, an access right management device that manages an access right that is a right to access the equipment when the user uses the service, a client device that exchanges information with the user, and the access right management device An access right management system in which a control device for controlling equipment is mutually connected via a network,
The access right management device includes:
For each set of a user ID that identifies the user and a service ID that identifies the service,
A storage unit that stores access authority information associated with first path information that is path information in a tree structure that indicates a management state on a service configuration to the equipment that can be accessed;
In order to indicate a route to the facility device, the first route information and second route information that is route information based on a tree structure indicating a management state in the system configuration of the facility device are provided for each facility device. A storage unit that stores route correspondence information associated with
Based on the user ID and the service ID acquired from the client device,
Using the access authority information, the user acquires first route information that is information on the equipment that can be accessed in the service, and based on the route correspondence information, the first route information is obtained as a second route. An access control unit that replaces the information, requests the control device to control the facility device indicated by the second route information, and causes the client device to display the control result of the facility device acquired from the control device And comprising
The access right management system, wherein the control device controls the equipment requested by the access right management device and returns a control result to the access right management device.
ことを特徴とする請求項5に記載のアクセス権管理システム。 The control device holds a history of state data of the equipment to be controlled, and when the control of the equipment is requested from the access right management device, the state held with the control result of the equipment 6. The access right management system according to claim 5, wherein a history of data is returned to the access right management apparatus.
ことを特徴とする請求項7に記載のアクセス権管理システム。 The gateway device holds a history of the state data of the facility device held by the control device, and when the control of the facility device is requested from the access right management device, retains the history of the state of the facility device. The access right management system according to claim 7, wherein a history of the status data is returned to the access right management device.
前記ユーザとの間で情報を授受するクライアント機器からの入力により取得したユーザIDおよびサービスIDに基づいて、前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとにアクセス可能な前記設備機器を対応づけたアクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御ステップと、
前記設備機器に対応づけて記憶され、ネットワークを介して前記設備機器へアクセスするのか、または、前記設備機器と当該設備機器の状態とその状態の履歴とを対応づけて記憶した設備機器状態履歴情報へアクセスするのかを示す情報であるノード種別を取得し、前記アクセス可能設備機器情報に存在する設備機器ごとに、前記ノード種別情報を用いて、前記ノード種別を取得し、アクセスする場所を選択するステップと、
を含むことを特徴とするアクセス権管理方法。 An access right management method in an access right management device for managing access authority, which is a right to access equipment when a user uses a service,
Access is possible for each set of a user ID that identifies the user and a service ID that identifies the service based on a user ID and a service ID acquired by input from a client device that exchanges information with the user Using the access authority information associated with the equipment, the user obtains accessible equipment information that is information on the equipment that can be accessed in the service, and the control equipment that controls the equipment An access control step for requesting control of the equipment present in the accessible equipment information, and displaying the control result of the equipment acquired from the control equipment on the client equipment ;
The equipment status history information stored in association with the equipment and accessing the equipment via the network, or storing the equipment and the state of the equipment and the history of the state in association with each other. Node type, which is information indicating whether to access the device, and for each equipment device existing in the accessible equipment information, obtain the node type using the node type information and select a location to access Steps,
An access right management method comprising:
前記ユーザを特定するユーザIDと前記サービスを特定するサービスIDとの組ごとに、アクセス可能な前記設備機器を対応づけたアクセス権限情報を記憶し、 For each set of a user ID that identifies the user and a service ID that identifies the service, access authority information that associates the accessible equipment is stored,
前記ユーザとの間で情報を授受するクライアント機器からの入力により取得した前記ユーザIDおよび前記サービスIDに基づいて、前記アクセス権限情報を用いて、当該ユーザが当該サービスにおいてアクセス可能な前記設備機器の情報であるアクセス可能設備機器情報を取得し、前記設備機器を制御する制御機器に対して、前記アクセス可能設備機器情報に存在する設備機器の制御を要求し、前記クライアント機器に対して、前記制御機器から取得した前記設備機器の制御結果を表示させるアクセス制御ステップと、 Based on the user ID and the service ID acquired by the input from the client device that exchanges information with the user, the access authority information is used to access the facility device that the user can access in the service. Obtains accessible equipment information that is information, requests the control equipment that controls the equipment to request control of the equipment present in the accessible equipment information, and sends the control to the client equipment An access control step for displaying a control result of the facility device acquired from the device;
前記設備機器への経路を示すために、前記設備機器のサービス構成上の管理状態を示す木構造に基づく第1の経路および前記設備機器のシステム構成上の管理状態を示す木構造に基づく第2の経路があり、前記第1の経路と前記第2の経路とを、前記設備機器ごとに対応づけた経路対応情報を記憶し、 In order to show the route to the equipment, a first route based on a tree structure indicating a management state of the equipment in service configuration and a second structure based on a tree structure showing a management state of the equipment in system configuration Storing route correspondence information in which the first route and the second route are associated with each facility device,
前記アクセス制御部が、前記クライアント機器に対しては、前記第1の経路を用いて前記設備機器を示し、前記制御機器に対しては、前記経路対応情報に基づいて、前記第1の経路を前記第2の経路に置き換えて当該設備機器を示すステップと、 The access control unit indicates the equipment device using the first route for the client device, and indicates the first route for the control device based on the route correspondence information. Replacing the second route with the facility equipment;
を含むことを特徴とするアクセス権管理方法。 An access right management method comprising:
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010246355A JP5503500B2 (en) | 2010-11-02 | 2010-11-02 | Access right management device, access right management system, access right management method, and access right management program |
CN201110338411.8A CN102457521B (en) | 2010-11-02 | 2011-10-31 | Access right management device, access right management system, access right management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010246355A JP5503500B2 (en) | 2010-11-02 | 2010-11-02 | Access right management device, access right management system, access right management method, and access right management program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012098924A JP2012098924A (en) | 2012-05-24 |
JP5503500B2 true JP5503500B2 (en) | 2014-05-28 |
Family
ID=46040179
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010246355A Active JP5503500B2 (en) | 2010-11-02 | 2010-11-02 | Access right management device, access right management system, access right management method, and access right management program |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP5503500B2 (en) |
CN (1) | CN102457521B (en) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013179383A1 (en) * | 2012-05-29 | 2013-12-05 | 株式会社日立システムズ | Cloud security management system |
JP6330298B2 (en) * | 2013-02-06 | 2018-05-30 | 株式会社リコー | Information processing system, information processing method, and program |
JP6880684B2 (en) * | 2016-12-05 | 2021-06-02 | 富士フイルムビジネスイノベーション株式会社 | File management device and program |
CN106789984A (en) * | 2016-12-08 | 2017-05-31 | 浙江齐治科技股份有限公司 | A kind of access rights specification and visualization method and system |
JP6640802B2 (en) | 2017-09-06 | 2020-02-05 | ファナック株式会社 | Edge server and application security management system |
JP6691085B2 (en) * | 2017-09-20 | 2020-04-28 | ファナック株式会社 | Application security management system and edge server |
CN108052526B (en) * | 2017-11-07 | 2020-06-16 | 深圳云天励飞技术有限公司 | Monitoring area authority management method and device and storage medium |
CN108009408A (en) * | 2017-12-04 | 2018-05-08 | 山东浪潮通软信息科技有限公司 | A kind of right management method, device, computer-readable recording medium and storage control |
CN109697212B (en) * | 2018-12-27 | 2021-11-16 | 北京天融信网络安全技术有限公司 | Data processing method and data processing device |
CN112910906B (en) * | 2021-02-08 | 2022-10-14 | 北京小米移动软件有限公司 | Data access method and device, mobile terminal and storage medium |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0789351B2 (en) * | 1988-02-17 | 1995-09-27 | 富士通株式会社 | Security management processing method |
JP2002084326A (en) * | 2001-06-11 | 2002-03-22 | Fujitsu Ltd | Device to be serviced, central unit and servicing device |
JP2005056207A (en) * | 2003-08-05 | 2005-03-03 | Sanyo Electric Co Ltd | Network system, home equipment control server and intermediation server |
JP4513658B2 (en) * | 2005-06-14 | 2010-07-28 | 株式会社日立製作所 | Home gateway apparatus and home network access control system |
JP4647440B2 (en) * | 2005-09-08 | 2011-03-09 | 東日本電信電話株式会社 | Network service security system and network service security method |
JP3992067B1 (en) * | 2006-05-11 | 2007-10-17 | 松下電工株式会社 | Network system |
JP2006286025A (en) * | 2006-07-28 | 2006-10-19 | Fujitsu Ltd | Data access system |
DE102007005638B4 (en) * | 2007-02-05 | 2014-10-09 | Siemens Aktiengesellschaft | Method for authorizing access to at least one automation component of a technical installation |
JP2010041605A (en) * | 2008-08-07 | 2010-02-18 | Fujitsu Ltd | Device for controlling external connection of indoor apparatus |
-
2010
- 2010-11-02 JP JP2010246355A patent/JP5503500B2/en active Active
-
2011
- 2011-10-31 CN CN201110338411.8A patent/CN102457521B/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012098924A (en) | 2012-05-24 |
CN102457521A (en) | 2012-05-16 |
CN102457521B (en) | 2015-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5503500B2 (en) | Access right management device, access right management system, access right management method, and access right management program | |
US11361123B2 (en) | Building data platform with event enrichment with contextual information | |
CN105830389B (en) | For accessing the single group certificate of multiple computing resource services | |
CN111667384B (en) | Building automation management apparatus and method | |
JP5072666B2 (en) | Facility equipment cooperation system, equipment control method, and agent device | |
CN110140096A (en) | Online, offline and mixing license building automation system for distributed edge device | |
US7840658B2 (en) | Employing job code attributes in provisioning | |
Hemdi et al. | Using REST based protocol to enable ABAC within IoT systems | |
CN109154802A (en) | HVAC device registration in distributed building management system | |
JP5702900B1 (en) | System and method for access assessment evaluation of building automation and control systems | |
CN108702360A (en) | Use the digital asset Preservation tactics of dynamic network attribute | |
US8516031B2 (en) | Network-based system for social interactions between users | |
CN107408188B (en) | Demand response provider controlled system for network connected devices | |
JP5342020B2 (en) | Group definition management system | |
Bindra et al. | Decentralized access control for smart buildings using metadata and smart contracts | |
US20210257085A1 (en) | Connected facility systems | |
US11070538B1 (en) | Technical layer for portable electronic assistant | |
KR100685254B1 (en) | Home network gateway for assigning authority and administering connection classfied by user and control method thereof | |
Bindra et al. | Flexible, decentralised access control for smart buildings with smart contracts | |
WO2014191180A1 (en) | Method of changing password in an industrial automation and control system | |
Werner et al. | Designing suitable access control for web-connected smart home platforms | |
Teriús-Padrón et al. | Autonomus air quality management system based on web of things standard architecture | |
US20190058610A1 (en) | Method for configuring, controlling or monitoring home automation equipment | |
JP2004078352A (en) | Web page display screen sharing system, proxy web server for the same and proxy web server program for the same | |
Bindra | Smart Contracts for Building Access Control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121129 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131015 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131029 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131226 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140225 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140314 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5503500 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |