CN102457521A - 访问权管理装置、访问权管理系统、访问权管理法及程序 - Google Patents
访问权管理装置、访问权管理系统、访问权管理法及程序 Download PDFInfo
- Publication number
- CN102457521A CN102457521A CN2011103384118A CN201110338411A CN102457521A CN 102457521 A CN102457521 A CN 102457521A CN 2011103384118 A CN2011103384118 A CN 2011103384118A CN 201110338411 A CN201110338411 A CN 201110338411A CN 102457521 A CN102457521 A CN 102457521A
- Authority
- CN
- China
- Prior art keywords
- machinery equipment
- access right
- access
- information
- right management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种访问权管理装置、访问权管理系统、访问权管理法及程序。本发明的访问权管理装置(1)具有:存储部分(14),其用于存储通过使由各个用户ID和服务ID组成的组分别与可访问的机器设备相对应而得到的访问权限信息(401);以及访问控制部分(10),其根据从与用户之间进行信息交换的客户设备(2)输入而获得的用户ID以及服务ID,使用访问权限信息(401),获取该用户在该服务中能够访问的机器设备的信息即可访问机器设备信息,并要求控制机器设备(41~47)的控制设备对可访问机器设备信息中所记载的机器设备进行控制,同时使客户设备(2)显示从控制设备获得的对机器设备的控制结果。由此,可以实现能够减轻系统负荷的访问权的赋予。
Description
技术领域
本发明涉及一种在确保安全性的情况下对设置在大楼、办公室和工厂等内的机器设备进行访问的访问权管理装置等的技术。
背景技术
一直以来,机器设备的管理通常在局部网络(local network)内部进行。在通过因特网进行管理时,通常使用特定顾客专用的服务器和网络等来组建专用的系统。可是,近年来出现了由多个顾客共同使用一个系统的所谓SaaS云(SaaS/cloud)方式的服务。
作为通过因特网来管理机器设备的方式,具有BACnet/WS规格,该规格对使用树形结构访问机器设备的方法作出了规定。此外,为了安全地访问机器设备,有必要向机器设备赋予访问权,使得只有权利拥有者才能访问机器设备。
作为向各个组件(机器设备和文件等)赋予访问权的方法,例如在专利文献1中公开了一种方法,其在文件的访问权管理方面,采用了以文件夹为单位对访问权进行集中管理,并将该等访问权赋予各个文件的方法。
【在先技术文献】
【专利文献】
专利文献1日本国专利特开2008-305221号公报
可是,通过对每个机器设备、文件和文件夹编制可使用该等机器设备、文件和文件夹的用户一览表来进行访问权的管理时,由于一个系统具有大量的机器设备,并且因用户和用户所利用的服务的不同,其要访问的机器也不同,所以,如果通过对每个机器设备编制可使用该等机器设备的用户一览表来进行访问权的设定时,设定方法会变得非常复杂,并且存在会导致机器设备的负荷和网络通信量大幅度增加的问题。
发明内容
本发明是鉴于上述问题而作出的,本发明所要解决的课题是提供一种访问权管理装置、访问权管理系统、访问权管理方法以及访问权管理程序,以此实现能够减轻系统负荷的访问权赋予方法。
为了解决上述课题,本发明提供一种访问权管理装置,其用于对用户访问利用服务时要访问的机器设备的权利即访问权限进行管理,所述访问权管理装置的特征在于具有:访问权限信息存储部分,其用于存储访问权限信息,该访问权限信息通过使各个由用于确定所述用户的用户ID和用于确定所述服务的服务ID组成的组分别与可访问的所述机器设备相对应而得到;以及访问控制部分,其根据从与所述用户之间进行信息交换的客户设备输入而获得的所述用户ID以及所述服务ID,使用所述访问权限信息来获取该用户在该服务中能够访问的所述机器设备的一览表即可访问机器设备一览表(可访问机器设备信息),并要求控制所述机器设备的控制设备对所述可访问机器设备一览表(可访问机器设备信息)中所记载的机器设备进行控制,且使所述客户设备显示从所述控制设备获得的对所述机器设备的控制结果。
(发明效果)
根据本发明,可以实现能够减轻系统负荷的访问权赋予方法。
附图说明
图1是表示本发明的第一实施方式所涉及的访问权管理装置和访问权管理系统的结构的图。
图2是表示本发明的访问权管理装置中的存储部分的结构的图。
图3是表示本发明的访问权管理装置中的用户认证信息表的示例的图。
图4是表示本发明的访问权管理装置中的服务信息表的示例的图。
图5是表示本发明的访问权管理装置中的服务许可表(利用权限信息)的示例的图。
图6是表示本发明的访问权管理装置中的节点许可表(访问权限信息)的示例的图。
图7是表示本发明的访问权管理装置中的节点对应表(路径对应信息)的示例的图。
图8是表示本发明的访问权管理装置中的器件节点信息表(节点类别信息)的示例的图。
图9是表示本发明的访问权管理装置中的器件节点状态履历表(机器设备状态履历信息)的示例的图。
图10是表示机器设备的系统结构方面的管理状态的树形结构的示例图。
图11是表示机器设备的服务结构方面的管理状态的树形结构的示例图。
图12是表示本发明的访问权管理装置的登录(log-in)处理动作的流程图。
图13是表示本发明的访问权管理装置的服务访问处理动作的流程图。
图14是表示本发明的访问权管理装置的数据获取处理动作的流程图。
图15是表示本发明的访问权管理装置的数据登录处理动作的流程图。
图16是表示本发明的第二实施方式所涉及的访问权管理装置和访问权管理系统的结构的图。
图中:1-服务器设备(访问权管理装置),2-客户设备,3-网关(GW)设备,4-全局网络,5-局部网络,10-访问控制部分,11-服务访问控制部分,12-数据访问控制部分,13-器件访问控制部分,14-存储部分,15-服务管理数据,16-器件管理数据,17-器件状态数据,31~33-控制设备,41~47-机器设备,100-访问权管理系统,100A-访问权管理系统,201-用户认证信息表,301-服务信息表,401-服务许可表(利用权限信息),501-节点许可表(访问权限信息),601-节点对应表(路径对应信息),610-服务节点通路(第一路径),620-器件节点通路(第二路径),701-器件节点信息表(节点类别信息),720-节点类别,730-节点信息,801-器件节点状态履历表(机器设备状态履历信息),820-日期时间,830-内容,901-器件节点树,1001-服务节点树。
具体实施方式
第一实施方式
以下参照图1至图15对本发明的第一实施方式进行说明。
访问权管理系统100的结构
如图1所示,访问权管理系统100具有服务器设备(访问权管理装置)1、客户设备2、网关(GW)设备3、全局网络4(global network)、局部网络5、控制设备31~33以及机器设备41~47。在以下的说明中,以将本发明应用于大楼内的办公室的示例为例进行说明。
访问权管理系统100是用户利用服务时用于访问机器设备的系统。在此,服务指的是锁门等的出入室管理、空调的控制等能源管理以及其它的机器设备管理等。
服务器设备(访问权管理装置)1是根据来自客户设备2的请求来提供服务的机器。服务器设备(访问权管理装置)1与全局网络4连接,并经由网关(GW)设备3或控制设备33等对机器设备41~47进行控制。在此,控制指的是获取机器设备的状态数据,变更存储在机器设备中的数据,或者向机器设备发出动作指示等。服务器设备(访问权管理装置)1的内部结构后述。
客户设备2用于接受由服务器设备(访问权管理装置)1提供的服务。客户设备2与全局网络4连接,受理来自用户的输入,或者显示提供来自服务器设备(访问权管理装置)1的服务用的数据。此外,客户设备2具有通用浏览器等的GUI(Graphical User Interface,图形用户界面)。
网关(GW)设备3是根据来自服务器设备(访问权管理装置)1的请求,经由控制设备31、32,对机器设备41~46进行控制的通信装置。网关(GW)设备3与全局网络4以及局部网络5连接。
全局网络4是因特网等的公众网络,用于使服务器设备(访问权管理装置)1、客户设备2、网关(GW)设备3以及控制设备33相互连接。
局部网络5是设置在大楼等内的LAN(Local Area Network,局域网)等网络,用于使网关(GW)设备3和控制设备31、33相互连接。
控制设备31与局部网络5连接,用于对机器设备41~44进行控制。控制设备31将机器设备41~44的状态变化通知网关(GW)设备3。或者,控制设备31根据来自网关(GW)设备3的用于获取针对机器设备41~44的动作指示或状态数据等的请求,获取针对机器设备41~44的动作指示或状态数据等。
控制设备32同样用于对机器设备45、46进行控制。
控制设备33与全局网络4连接,对机器设备47进行控制。该控制设备33与控制设备31、32不同,不是根据来自网关(GW)设备3而是根据来自服务器设备(访问权管理装置)1的用于获取针对机器设备47的动作指示或状态数据等的请求,获取针对机器设备47的动作指示或状态数据等。
机器设备41~47除了包括在大楼、办公室和工厂等中使用的一般的机器设备外,还包括所谓的器件等(device),并且表示程序中的对象(object)等。例如,机器设备41~47是电动锁、读卡器、组合式空调器(packageair-conditioner)、相机以及程序中的计算式等。机器设备41~47按照其类别,根据各自的规格如上所述地与控制设备31~33连接。规格例如是DI/DO、RS-485、RS-232C和HTTP等。
以下对服务器设备(访问权管理装置)1进行说明。
服务器设备(访问权管理装置)1的结构
服务器设备(访问权管理装置)1具有进行数据处理的访问控制部分10和存储数据处理用的表格的存储部分14。
访问控制部分10具有服务访问控制部分11、数据访问控制部分12以及器件访问控制部分13。
服务访问控制部分11从客户设备2接收利用服务的请求,并且通过对服务的利用者即用户和用户要利用的服务进行组合,而从存储部分14获得用户可利用的机器设备的一览表(后记的可访问机器设备一览表(可访问机器设备信息))。在此,可访问机器设备一览表(可访问机器设备信息)表示用户利用服务时能够获取机器设备的状态数据,变更存储在机器设备中的数据,或者向机器设备发出动作指示等的机器设备的一览。
此外,服务访问控制部分11从后述的数据访问控制部分12获取对机器设备41~47的控制结果,并对所获得的控制结果进行编辑来生成画面数据。画面数据例如采用HTML(Hyper Text Markup Language,超文本标记语言)制式。该画面数据发送到客户设备2并在客户设备2上进行显示。在此,控制结果是指机器设备41~47的状态数据的获取结果、存储在机器设备41~47中的数据的变更结果和机器设备41~47的动作指示结果等。
此外,服务访问控制部分11同时还进行用户的登录处理。
数据访问控制部分12接收来自服务访问控制部分11的与可访问机器设备一览表(可访问机器设备信息)相对应的机器设备的控制请求,从后述的器件访问控制部分13或者存储部分14获取该机器设备的控制结果。该控制结果被发送到服务访问控制部分11。
器件访问控制部分13接收来自数据访问控制部分12的与可访问机器设备一览表(可访问机器设备信息)相对应的机器设备的控制请求,通过全局网络4建立通信线路。在此,建立通信线路是指利用SSL(Secure SocketLayer)进行相互认证等来建立安全的通信线路。
此外,器件访问控制部分13用于从网关(GW)设备3或者控制设备33获取该机器设备的控制结果。该控制结果被返送到数据访问控制部分12。
存储部分14具有用于提供与用户的认证和服务的利用有关的数据的服务管理数据15、用于提供与器件的访问有关的数据的器件管理数据16以及用于提供与器件的状态及其履历有关的数据的器件状态数据17。在本实施方式中,存储部分14是数据库。
如图2所示,服务管理数据15具有用户认证信息表201、服务信息表301、服务许可表(利用权限信息)401、节点许可表(访问权限信息)501、节点对应表(路径对应信息)601以及服务节点树1001。
器件管理数据16具有器件节点信息表(节点类别信息)701和器件节点树901。
器件状态数据17具有器件节点状态履历表(机器设备状态履历信息)801。
以下参照图3至图11对上述各种表格的一例以及树形结构进行说明。
如图3所示,用户认证信息表201是用于管理用户及其认证信息的表格。该用户认证信息表201具有用户ID210和用户认证信息220。
用户ID210是用于唯一性地确定用户的ID,是用户利用服务时用户需要提示的信息。用户认证信息220是确认提示了用户ID210的用户是否为其本人所需的数据,记录有密码的散列值和生物体认证信息等。
如图4所示,服务信息表301是用于管理服务以及提供该服务所需的信息的表格。该服务信息表301具有服务ID310和服务信息320。
服务ID310是从多个服务中唯一性地确定所要利用的服务的ID。服务信息320是提供由服务ID310指定的服务所需的信息,在本实施方式中,服务信息320中记录有服务的URL(Uniform Resource Locator,统一资源定位符)。
如图5所示,服务许可表(利用权限信息)401是根据由用户和服务组成的组来管理服务的利用权限的表格。该服务许可表(利用权限信息)401具有用户ID410、服务ID420以及服务许可(访问权类别)430。
用户ID410与记录在用户认证信息表201中的用户ID210相同。服务ID420与记录在服务信息表301中的服务ID310相同。服务许可(访问权类别)430是用于判断由用户ID表示的用户是否能够利用由服务ID表示的服务的信息。
服务许可(访问权类别)430例如是“read”、“write”或者“read,write”。“read”表示能够利用由服务ID表示的服务来阅览机器设备的信息的权限,“write”表示能够利用由服务ID表示的服务对机器设备发出动作指示的权限,“read,write”表示能够利用由服务ID表示的服务来阅览机器设备的信息以及向机器设备发出动作指示的权限。
例如,在服务许可(访问权类别)430为“read”时,能够了解空调器现在处于什么状态。在服务许可(访问权类别)430为“write”时,能够接通空调器。此外,在服务许可(访问权类别)430为“write”时,还能够在服务器设备(访问权管理装置)1上变更用于处理机器设备的状态数据的计算式和参数等。并且,在服务许可(访问权类别)430为“write”时,还可以在机器设备41~47上变更机器设备41~47的动作参数,例如使得门的开放状态持续了10秒钟时发出警报。
如图6所示,节点许可表(访问权限信息)501是根据由用户和服务组成的组来管理机器设备的访问权限的表格。该节点许可表(访问权限信息)501具有用户ID510、服务ID520以及服务节点通路(第一路径)530。
用户ID510与记录在用户认证信息表201中的用户ID210相同。服务ID520与记录在服务信息表301中的服务ID310相同。服务节点通路(第一路径)530中记录有由用户ID表示的用户在利用由服务ID表示的服务时可以访问的机器设备。
服务节点通路(第一路径)530中记录有通往服务节点树1001的各个节点的通路的字符串表达式。此外,能够在字符串表达式中标注符号“*”,可以将标注有符号“*”的场所的节点以下的所有节点示出。
此外,从该节点许可表(访问权限信息)501确定用户和服务而得到的信息是可访问机器设备一览表(可访问机器设备信息)。
如图7所示,节点对应表(路径对应信息)601是通过使服务节点通路(第一路径)610和器件节点通路(第二路径)620相对应而得到的表格。
服务节点通路(第一路径)610中记录有通往服务节点树1001的各个节点的通路的字符串表达式。器件节点通路(第二路径)620中记录有通往器件节点树901的各个节点的通路的字符串表达式。针对与服务节点树1001的节点相对应的机器设备的控制请求被变换为针对与通过节点对应表(路径对应信息)601而彼此对应的器件节点树901的节点对应的机器设备的控制请求。
如图8所示,器件节点信息表(节点类别信息)701是用于管理对机器设备41~47进行访问时所需的信息的表格。该器件节点信息表(节点类别信息)701具有器件节点通路(第二路径)710和节点类别720以及节点信息730。
器件节点通路(第二路径)710中记录有通往器件节点树901的各个节点的通路的字符串表达式。
节点类别720表示机器设备41~47的控制结果的获取方法的类别。将节点类别720设定为“0”、“1”、“2”。“0”表示不断地访问机器设备41~47以获取数据,其在希望获得机器设备41~47的当前状态等场合使用。“1”表示只在器件状态数据17中没有登录机器设备41~47的最近的状态数据时才访问机器设备41~47以获取数据,其在考虑到通信负荷等因素,在即使器件状态数据17中没有当前的状态数据,但只要有比较新的状态数据即可的场合等使用。“2”表示不断地从器件状态数据17获取数据,其在希望获取机器设备41~47的状态的统计数据等场合使用。
节点信息730是访问由器件节点通路(第二路径)710表示的机器设备41~47时所需的信息。节点信息730中例如记录有由IP(Internet Protocol,网际协议)地址和端口编号组成的组。
如图9所示,器件节点状态履历表(机器设备状态履历信息)801是用于管理机器设备41~47的状态及其履历的表格。该器件节点状态履历表(机器设备状态履历信息)801具有器件节点通路(第二路径)810、日期时间820以及内容830。
器件节点通路(第二路径)810中记录有通往器件节点树901的各个节点的通路的字符串表达式。日期时间820中记录有由器件节点通路(第二路径)810表示的机器设备的状态发生了变化的日期时间(年-月-日,时:分:秒.毫秒)。内容830中记录有由器件节点通路(第二路径)810表示的机器设备的状态变化的内容。内容830中例如记录有门的开闭状态和组合式空调器的一天的合计消耗电量等。
如图10所示,器件节点树901是表示机器设备41~47的系统结构方面的管理状态的树。其中,“server1”与服务器设备(访问权管理装置)1相对应,“gw1”与网关(GW)设备3相对应,“cont1”与控制设备31相对应,“cont2”与控制设备32相对应,“cont3”与控制设备33相对应。此外,“dev1”至“dev7”分别与机器设备41~47相对应。
该器件节点树901是由数据访问控制部分12和器件访问控制部分13以容易进行管理的方式构成的树。在本实施方式中,器件节点树901是模仿网络结构的树。通过以容易进行管理的方式由数据访问控制部分12和器件访问控制部分13构成树,能够方便地从机器设备41~47获得数据。
如图11所示,服务节点树1001表示机器设备41~47的服务结构方面的管理状态的树。其中,“buil1”与大楼相对应,“1f”与大楼的一层相对应,“2f”与大楼的二层相对应,“room1”至“room3”分别与1号室至3号室相对应。此外,“pac1”、“door1”和“door2”分别与1号室内的组合式空调室1、门1和门2相对应。“pac2”和“door3”分别与2号室内的组合式空调室2和门3相对应,“pac3”和“door4”分别与3号室内的组合式空调室3和门4相对应。
该服务节点树1001是与器件节点树901分开构成的树,以各个服务和各个用户为单位分开生成。此时,服务节点树1001是由服务访问控制部分11以容易进行管理的方式构成的树。在本实施方式中,服务节点树1001是模仿建筑物结构的树。通过以方便视觉理解和容易进行管理的方式由服务访问控制部分11构成服务节点树1001,能够在提供服务时方便地进行服务内容的显示。
服务节点树1001的节点通过节点对应表(路径对应信息)601与器件节点树901的节点相连接,在控制机器设备41~47时,在系统结构方面被变换成容易访问的形式。
服务器设备(访问权管理装置)1能够通过未图示的搭载有CPU和存储器的普通的计算机来实现。此时,服务器设备(访问权管理装置)1通过访问权管理程序使计算机作为上述各种机构发挥功能。
访问权管理系统100的动作
以下参照图12至图16对访问权管理系统100的动作进行说明(在结构方面适当参照图1的内容)。
登录处理
图12的流程图表示登录处理的动作。在步骤S11以前的步骤中,用户从客户设备2在由HTML构成的登录画面的输入栏中输入用户ID和密码或者操作进行生物体认证的器件输入生物体认证信息。
在步骤S11中,服务访问控制部分11获取从客户设备2发送来的用户ID和用户认证信息,并将其存储在未图示的存储部分中。
在步骤S12中,服务访问控制部分11确认由所获得的用户ID和密码所组成的组或者由所获得的用户ID和生物体认证信息所组成的组是否正确。服务访问控制部分11从用户认证信息表201获取与从客户设备2发送来的用户ID相对应的用户认证信息,并确认该用户认证信息与从客户设备2发送来的密码或生物体认证信息是否相同。
在步骤S13中,服务访问控制部分11判断是否成功地进行了用户的认证。在用户的认证失败了时(步骤S13为“否”(No)时),登录失败,登录处理结束。
另一方面,在成功地进行了用户的认证时(步骤S13为“是”(Yes)时),服务访问控制部分11在步骤S14中从服务信息表301中获取服务ID和服务信息,并获取向用户提供的服务的一览。
在步骤S15中,服务访问控制部分11通过HTML分别以链接的方式建立服务信息的一览,并且在客户设备2中显示服务信息的一览。
在步骤S16中,服务访问控制部分11将用户通过点击链接而指示的服务的服务ID存储在未图示的存储部分中。用户能够通过点击来开始服务的利用。
服务访问管理
图13的流程图表示在利用服务时访问获得许可的机器设备的动作。
在步骤S21中,服务访问控制部分11获取在步骤S11中存储的用户ID、在步骤S16中存储的服务ID、由用户指定的访问权类别即“read”或“write”的信息以及由用户指定的数据的变更内容等。
在步骤S22中,服务访问控制部分11从服务许可表(利用权限信息)401中获取包括由该用户ID和该服务ID组成的组的行的服务许可(访问权类别)。
在步骤S23中,服务访问控制部分11判断该用户是否具有利用该服务的权限。在无法获取服务许可(访问权类别)时,也就是在服务许可表(利用权限信息)401中不存在符合由该用户ID和该服务ID组成的组的行时(步骤S23为“否”时),判断为该用户不可利用服务,并结束服务访问处理。
另一方面,在获取了服务许可(访问权类别)时(步骤S23为“是”时),在步骤S24中,服务访问控制部分11从节点许可表(访问权限信息)501获取包括由该用户ID和该服务ID组成的组的行的服务节点路径(第一路径)。在此获得的服务节点路径(第一路径)的一览表是可访问机器设备一览表(可访问机器设备信息)。
在步骤S25中,服务访问控制部分11针对记载在可访问机器设备一览表(可访问机器设备信息)中的机器设备进行循环处理。此外,作为循环处理的对象的机器设备由用户选择。
在步骤S26中,服务访问控制部分11判断在步骤21中获得的访问权类别。在访问权类别为“read”时(步骤S26为“read”时),在步骤S27中,服务访问控制部分11将服务节点路径(第一路径)转发给数据访问控制部分12,由数据访问控制部分12进行数据获取处理。该数据获取处理的详细情况在后述部分说明。
另一方面,在访问权类别为“write”时(步骤S26为“write”时),在步骤S28中,服务访问控制部分11将服务节点路径(第一路径)转发给数据访问控制部分12,由数据访问控制部分12进行数据登录处理。该数据登录处理的详细情况在后述部分说明。
在步骤S29中,服务访问控制部分11对从数据访问控制部分12获得的控制结果进行编辑,并建立HTML制式的画面数据。在此,所谓控制结果是包括在步骤S27中获得的机器设备的状态数据的获取结果、在步骤S28中获得的存储在机器设备中的数据的变更结果或者机器设备的动作指示结果等的概念。
此外,画面数据采用与服务节点树1001相对应的结构,所以能够通过视觉方便地理解显示内容。
在步骤S30中,服务访问控制部分11向客户设备2发送画面数据,客户设备2显示所获得的画面数据即控制结果,访问权管理系统结束服务访问处理。
数据获取处理
图14的流程图表示机器设备的状态数据的获取处理的动作。
在步骤S271中,数据访问控制部分12从节点对应表(路径对应信息)601获取包括从服务访问控制部分11转发来的服务节点路径(第一路径)的行的器件节点通路(第二路径)。
在步骤S272中,数据访问控制部分12从器件节点信息表(节点类别信息)701获取包括所取得的器件节点通路(第二路径)的行的节点类别。
在步骤S273中,数据访问控制部分12根据所获得的节点类别分别进行处理。也就是说,在节点类别为“0”时,数据访问控制部分12判断为有必要访问机器设备41~47(步骤S273为“是”)。而在节点类别为“1”时,数据访问控制部分12从器件节点状态履历表(机器设备状态履历信息)801获取包括在步骤S271中获得的器件节点通路(第二路径)的行的日期时间,在从最新的日期时间起算经过了一定时间时,数据访问控制部分12判断为有必要访问机器设备41~47(步骤S273为“是”)。
另一方面,当最新的日期时间在一定的时间以内时,数据访问控制部分12判断为有必要从存储部分14获取数据(步骤S273为“否”)。此外,在节点类别为“2”时,数据访问控制部分12判断为有必要从存储部分14获取数据(步骤S273为“否”)。
在判断为有必要访问机器设备41~47时(步骤S273为“是”时),在步骤S274中,数据访问控制部分12将在步骤S271中获得的器件节点通路(第二路径)转发给器件访问控制部分13,以请求获取机器设备41~47的状态数据。器件访问控制部分13从器件节点信息表(节点类别信息)701获取包括从数据访问控制部分12转发来的器件节点通路(第二路径)的行的节点信息。
在步骤S275中,器件访问控制部分13进行用于获取机器设备的状态数据的处理。具体来说是,器件访问控制部分13相对于所获得的节点信息中所包含的IP地址和端口编号来建立通信线路。此外,本实施方式中的IP地址为网关(GW)设备3和控制设备33等的IP地址。
相对于所建立的通信线路,器件访问控制部分13将在步骤S271中获得的器件节点通路(第二路径)发送给网关(GW)设备3和控制设备33等,以请求其发送机器设备的状态数据。接收到器件节点通路(第二路径)的网关(GW)设备3和控制设备33等将与器件节点通路(第二路径)相对应的机器设备的状态数据返送到器件访问控制部分13中。
在步骤S276中,器件访问控制部分13将所接收到的状态数据返送到数据访问控制部分12,并且将其登录在器件节点状态履历表(机器设备状态履历信息)801中。
另一方面,在判断为有必要从存储部分14获取数据时(步骤S273为“否”时),在步骤S277中,数据访问控制部分12从器件节点状态履历表(机器设备状态履历信息)801获取包括在步骤S271中获得的器件节点通路(第二路径)的行的日期时间和内容。
在步骤S276或步骤S277之后,数据访问控制部分12将机器设备的状态数据的获取结果返送到服务访问控制部分11。
数据登录处理
图15的流程图表示机器设备的数据的登录处理的动作。
在此,机器设备的数据登录处理包括机器设备的数据变更处理和向机器设备发送动作指示的处理等。
由于步骤S281和步骤S282分别与步骤S271和步骤S272相同,所以在此省略其说明。
在步骤S283中,数据访问控制部分12根据所获得的节点类别分别进行处理。也就是说,在节点类别为“0”或“1”时,数据访问控制部分12判断为有必要访问机器设备41~47(步骤S283为“是”)。
另一方面,在节点类别为“2”时,数据访问控制部分12判断为有必要将数据登录在存储部分14中(步骤S283为“否”)。
在判断为有必要访问机器设备41~47时(步骤S283为“是”时),在步骤S284中,数据访问控制部分12将在步骤S281中获得的器件节点通路(第二路径)转发给器件访问控制部分13,以请求其进行机器设备41~47的数据登录。器件访问控制部分13从器件节点信息表(节点类别信息)701获取包括从数据访问控制部分12转发来的器件节点通路(第二路径)的行的节点信息。在此,数据登录是包括将存储在机器设备41~47的存储区域中的数据变更为指定的数据以及向机器设备41~47发送动作指示等的概念。
在步骤S285中,器件访问控制部分13相对于所获得的节点信息中所包含的IP地址和端口编号建立通信线路。此外,本实施方式中的IP地址,与步骤S275一样,为网关(GW)设备3和控制设备33等的IP地址。
相对于所建立的通信线路,器件访问控制部分13将在步骤S281中获得的器件节点通路(第二路径)发送给网关(GW)设备3和控制设备33等,以请求其进行机器设备的数据登录。由此,例如可以进行空调器的温度设定等的设定参数的变更以及发出门开闭等的机器设备的动作指示。接收到器件节点通路(第二路径)的网关(GW)设备3和控制设备33等将与器件节点通路(第二路径)相对应的机器设备的数据的登录结果返送到器件访问控制部分13中。器件访问控制部分13将接收到的登录结果返送到数据访问控制部分12。在此,登录结果是包括机器设备41~47的数据的变更结果以及对机器设备41~47的动作指示结果的概念。
在步骤S286中,器件访问控制部分13将接收到的状态数据登录在器件节点状态履历表(机器设备状态履历信息)801中后返送到数据访问控制部分12。
另一方面,在判断为有必要将数据登录在存储部分14中时(步骤S283为“否”时),在步骤S287中,数据访问控制部分12将在步骤S281中获得的器件节点通路(第二路径)、日期时间以及用户在步骤S21中指定的数据的变更内容登录在器件节点状态履历表(机器设备状态履历信息)801中。由此,例如能够对数据库的记录内容进行变更,或者例如对用于计算能源消耗量的计算式和变换系数等的参数进行改写。
在步骤S286或者步骤S287之后,数据访问控制部分12将机器设备的登录结果返送到服务访问控制部分11。
通过以上的动作,能够使用通过使各个由用于确定用户的用户ID和用于确定服务的服务ID组成的组分别与可访问的机器设备相对应而得到的访问权限信息对访问权进行管理,从而不需要像现有技术那样针对每个机器设备编制可利用该机器设备的用户表格来设定访问权,所以,相对于数量巨大的机器设备和众多的用户和服务的组合,能够灵活地赋予访问权,能够降低机器设备的负荷,能够降低网络的通信量,从而能够方便用户对服务的利用。
第二实施方式
以下参照图16对本发明的第二实施方式进行说明。
访问权管理系统100A的结构
第二实施方式的访问权管理系统100A的结构与第一实施方式的访问权管理系统100A的结构相比,少了网关(GW)设备3。此外,控制设备31和控制设备32通过全局网络4而与服务器设备(访问权管理装置)1相互连接。
节点对应表(路径对应信息)601、器件节点信息表(节点类别信息)701以及器件节点树901的结构如下所述。
本实施方式的节点对应表(路径对应信息)601采用从节点对应表(路径对应信息)601的各行的器件节点通路删除“/gw1”后的结构,器件节点信息表(节点类别信息)701采用从器件节点信息表(节点类别信息)701的各行的器件节点通路删除“/gw1”后的结构,器件节点树901采用删除器件节点树901的“gw1”的节点,并使“cont1”和“cont2”的节点分别与“server1”连接的结构。
其它部分与第一实施方式相同,与第一实施方式相同的结构采用相同的符号表示,在此省略其重复说明。
变形例
以上对本发明的一实施方式进行了说明,但本发明并不仅限于上述实施方式,本发明可以在不脱离本发明的宗旨的范围内进行变更,该变更例如可以是以下所述的变更。
在步骤S275中,网关(GW)设备3或者控制设备33可以将控制设备31、32或者机器设备47所通知的机器设备的各自的状态数据作为履历保持。
此外,由网关(GW)设备3或者控制设备33返送的机器设备的状态数据可以是在接收到机器设备的状态数据的请求后重新向控制设备31、32或者机器设备47提出状态数据的获取请求而获得的状态数据,也可以是已经由控制设备31,32或者机器设备47通知的并且作为履历保持的状态数据。
另外,网关(GW)设备3或者控制设备33可以在接收到状态数据的获取请求时,将其所保持的所有的状态数据的履历全部返送。
不过,在上述场合,在器件访问控制部分13向数据访问控制部分12返送状态数据时,网关(GW)设备3或者控制设备33只返送由数据访问控制部分12提出了请求的与器件节点通路(第二路径)相对应的机器设备的状态数据。
此时,网关(GW)设备3或者控制设备33可以预先将由器件访问控制部分13提出了请求的与器件节点通路(第二路径)相对应的机器设备的状态数据设置在返送到器件访问控制部分13的数据的头部。并且,器件访问控制部分13可以设置成只将从网关(GW)设备3或者控制设备33返送来的机器设备的状态数据的头部的状态数据立刻返送到数据访问控制部分12,而在此后将从网关(GW)设备3或者控制设备33返送来的所有的机器设备的状态数据登录在器件节点状态履历表(机器设备状态履历信息)801中。
此外,在第二实施方式中,由于采用了没有网关(GW)设备3的结构,所以控制设备31、32承担与上述控制设备33相同的功能。
同样,也可以设置成在步骤S285中,网关(GW)设备3或者控制设备33在接收到数据登录的请求时,将登录结果及其保持的机器设备的状态数据的履历全部返送。
不过,在上述场合,在器件访问控制部分13向数据访问控制部分12返送状态数据时,网关(GW)设备3或者控制设备33只返送由数据访问控制部分12提出了请求的与器件节点通路(第二路径)相对应的机器设备的登录结果。
此时,网关(GW)设备3或者控制设备33可以预先将由器件访问控制部分13提出了请求的与器件节点通路(第二路径)相对应的机器设备的状登录结果设置在返送到器件访问控制部分13的数据的头部。并且,器件访问控制部分13可以设置成只将从网关(GW)设备3或者控制设备33返送来的机器设备的状态数据和登录结果等中的位于头部的登录结果立刻返送到数据访问控制部分12,而在此后将从网关(GW)设备3或者控制设备33返送来的所有的机器设备的状态数据和登录结果等登录在器件节点状态履历表(机器设备状态履历信息)801中。
此外,在第二实施方式中,由于采用了没有网关(GW)设备3的结构,所以控制设备31、32承担与上述控制设备33相同的功能。
Claims (10)
1.一种访问权管理装置,用于对用户访问利用服务时要访问的机器设备的权利即访问权限进行管理,所述访问权管理装置的特征在于,具有:
访问权限信息存储部分,其用于存储访问权限信息,该访问权限信息通过使由用于确定所述用户的用户ID和用于确定所述服务的服务ID组成的每个组分别与可访问的所述机器设备相对应而得到;以及
访问控制部分,其根据从与所述用户之间进行信息交换的客户设备输入而获得的所述用户ID以及所述服务ID,使用所述访问权限信息,获取该用户在该服务中能够访问的所述机器设备的信息即可访问机器设备信息,并请求控制所述机器设备的控制设备对存在于所述可访问机器设备信息中的机器设备进行控制,且使所述客户设备显示从所述控制设备获得的对所述机器设备的控制结果。
2.如权利要求1所述的访问权管理装置,其特征在于,具有:
机器设备状态履历信息存储部分,其用于存储机器设备状态履历信息,该机器设备状态履历信息通过使所述机器设备、该机器设备的状态以及该状态的履历相对应而得到;以及
节点类别信息存储部分,其用于存储通过使节点类别与所述机器设备相对应而得到的节点类别信息,其中,所述节点类别是表示通过网络访问所述机器设备、还是通过网络访问记录有所述机器设备的状态的所述机器设备状态履历信息的信息,
所述访问控制部分具有数据访问控制部分,该数据访问控制部分针对所述可访问机器设备信息中所记载的每台机器设备,使用所述节点类别信息来获取所述节点类别,并选择要访问的场所。
3.如权利要求1所述的访问权管理装置,其特征在于,具有:
路径对应信息存储部分,其用于存储路径对应信息,该路径对应信息用于表示通往所述机器设备的路径,通过使第一路径和第二路径分别与每个所述机器设备相对应而获得,其中,所述第一路径基于表示所述机器设备的服务结构方面的管理状态的树形结构,所述第二路径基于表示所述机器设备的系统结构方面的管理状态的树形结构,
针对所述客户设备,所述访问控制部分使用所述第一路径表示所述机器设备,针对所述控制设备,所述访问控制部分根据所述路径对应信息将所述第一路径置换为所述第二路径来表示该机器设备。
4.如权利要求1至3中的任一项所述的访问权管理装置,其特征在于,具有:
利用权限信息存储部分,其用于存储利用权限信息,该利用权限信息通过使由所述用户ID和所述服务ID组成的每个组分别与访问权类别相对应而得到,其中,所述访问权类别是表示该用户利用该服务时能允许的利用形态的信息,
所述访问控制部分使用所述利用权限信息来判断该用户是否具有利用该服务的权限。
5.一种访问权管理系统,该访问权管理系统由访问权管理装置、客户设备以及控制设备通过网络相互连接而成,其中,该访问权管理装置用于对用户访问利用服务时要访问的机器设备的权利即访问权限进行管理,所述客户设备与所述用户进行信息的交换,所述控制设备根据来自所述访问权管理装置的请求控制所述机器设备,所述访问权管理系统的特征在于,
所述访问权管理装置具有:
访问权限信息存储部分,其用于存储访问权限信息,该访问权限信息通过使由用于确定所述用户的用户ID和用于确定所述服务的服务ID组成的每个组分别与通往可访问的所述机器设备的路径的信息即第一路径信息相对应而得到;以及
访问控制部分,其根据从所述客户设备获得的所述用户ID以及所述服务ID,使用所述访问权限信息来获取该用户在该服务中能够访问的所述机器设备的信息即可访问机器设备信息,并请求所述控制设备对所述可访问机器设备信息中所记载的机器设备进行控制,且使所述客户设备显示从所述控制设备获得的对所述机器设备的控制结果,
所述控制设备对所述机器设备进行由所述访问权管理装置请求的控制,并将该控制的结果返送到所述访问权管理装置。
6.如权利要求5所述的访问权管理系统,其特征在于,所述控制设备保持所控制的所述机器设备的状态数据的履历,在由所述访问权管理装置提出了对所述机器设备进行控制的请求的情况下,所述控制设备将所述机器设备的控制结果及所保持的所述状态数据的履历返送到所述访问权管理装置。
7.如权利要求5或者6所述的访问权管理系统,其特征在于,具有作为通信设备的网关设备,该网关设备用于对通过所述网络连接的所述访问权管理装置和所述控制设备进行链接。
8.如权利要求7所述的访问权管理系统,其特征在于,所述网关设备保持由所述控制设备所保持的所述机器设备的状态数据的履历,在由所述访问权管理装置提出了对所述机器设备进行控制的请求的情况下,所述网关设备将所述机器设备的控制结果及所保持的所述状态数据的履历返送到所述访问权管理装置。
9.一种访问权管理方法,是用于对用户访问利用服务时要访问的机器设备的权利即访问权限进行管理的访问权管理装置中的访问权管理方法,所述访问权管理方法的特征在于具有:
访问控制步骤,根据从与所述用户之间进行信息交换的客户设备输入而获得的所述用户ID以及所述服务ID,使用通过使由用于确定所述用户的用户ID和用于确定所述服务的服务ID组成的每个组分别与可访问的所述机器设备相对应而得到的访问权限信息,获取该用户在该服务中能够访问的所述机器设备的信息即可访问机器设备信息,并请求控制所述机器设备的控制设备对所述可访问机器设备信息中所记载的机器设备进行控制,且使所述客户设备显示从所述控制设备获得的对所述机器设备的控制结果。
10.一种访问权管理程序,其使计算机执行权利要求9所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010246355A JP5503500B2 (ja) | 2010-11-02 | 2010-11-02 | アクセス権管理装置、アクセス権管理システム、アクセス権管理方法およびアクセス権管理プログラム |
| JP2010-246355 | 2010-11-02 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102457521A true CN102457521A (zh) | 2012-05-16 |
| CN102457521B CN102457521B (zh) | 2015-05-27 |
Family
ID=46040179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110338411.8A Active CN102457521B (zh) | 2010-11-02 | 2011-10-31 | 访问权管理装置、访问权管理系统及访问权管理方法 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP5503500B2 (zh) |
| CN (1) | CN102457521B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789984A (zh) * | 2016-12-08 | 2017-05-31 | 浙江齐治科技股份有限公司 | 一种访问权限规范和可视化的方法及系统 |
| CN108009408A (zh) * | 2017-12-04 | 2018-05-08 | 山东浪潮通软信息科技有限公司 | 一种权限管理方法、装置、可读介质及存储控制器 |
| CN108052526A (zh) * | 2017-11-07 | 2018-05-18 | 深圳云天励飞技术有限公司 | 监控区域权限管理方法、装置及存储介质 |
| CN108154046A (zh) * | 2016-12-05 | 2018-06-12 | 富士施乐株式会社 | 文件管理设备和文件管理方法 |
| CN109462571A (zh) * | 2017-09-06 | 2019-03-12 | 发那科株式会社 | 边缘服务器以及管理服务器 |
| CN109525547A (zh) * | 2017-09-20 | 2019-03-26 | 发那科株式会社 | 应用安全管理系统以及边缘服务器 |
| CN109697212A (zh) * | 2018-12-27 | 2019-04-30 | 北京天融信网络安全技术有限公司 | 一种数据处理方法和数据处理装置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5893730B2 (ja) * | 2012-05-29 | 2016-03-23 | 株式会社日立システムズ | クラウドセキュリティ管理システム |
| JP6330298B2 (ja) * | 2013-02-06 | 2018-05-30 | 株式会社リコー | 情報処理システム、情報処理方法およびプログラム |
| CN112910906B (zh) * | 2021-02-08 | 2022-10-14 | 北京小米移动软件有限公司 | 数据访问方法及装置、移动终端及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1581777A (zh) * | 2003-08-05 | 2005-02-16 | 三洋电机株式会社 | 网络系统、室内设备控制服务器和中间服务器 |
| CN1881964A (zh) * | 2005-06-14 | 2006-12-20 | 株式会社日立制作所 | 家庭网关装置、及对家庭网络的访问控制系统 |
| CN101443777A (zh) * | 2006-05-11 | 2009-05-27 | 松下电工株式会社 | 网络系统 |
| JP2010041605A (ja) * | 2008-08-07 | 2010-02-18 | Fujitsu Ltd | 宅内機器外部接続管理装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0789351B2 (ja) * | 1988-02-17 | 1995-09-27 | 富士通株式会社 | セキュリティ管理処理方式 |
| JP2002084326A (ja) * | 2001-06-11 | 2002-03-22 | Fujitsu Ltd | 被サービス装置、センタ装置、及びサービス装置 |
| JP4647440B2 (ja) * | 2005-09-08 | 2011-03-09 | 東日本電信電話株式会社 | ネットワークサービスセキュリティシステムおよびネットワークサービスセキュリティ方法 |
| JP2006286025A (ja) * | 2006-07-28 | 2006-10-19 | Fujitsu Ltd | データアクセスシステム |
| DE102007005638B4 (de) * | 2007-02-05 | 2014-10-09 | Siemens Aktiengesellschaft | Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskompente einer technischen Anlage |
-
2010
- 2010-11-02 JP JP2010246355A patent/JP5503500B2/ja active Active
-
2011
- 2011-10-31 CN CN201110338411.8A patent/CN102457521B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1581777A (zh) * | 2003-08-05 | 2005-02-16 | 三洋电机株式会社 | 网络系统、室内设备控制服务器和中间服务器 |
| CN1881964A (zh) * | 2005-06-14 | 2006-12-20 | 株式会社日立制作所 | 家庭网关装置、及对家庭网络的访问控制系统 |
| CN101443777A (zh) * | 2006-05-11 | 2009-05-27 | 松下电工株式会社 | 网络系统 |
| JP2010041605A (ja) * | 2008-08-07 | 2010-02-18 | Fujitsu Ltd | 宅内機器外部接続管理装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108154046A (zh) * | 2016-12-05 | 2018-06-12 | 富士施乐株式会社 | 文件管理设备和文件管理方法 |
| CN108154046B (zh) * | 2016-12-05 | 2023-05-12 | 富士胶片商业创新有限公司 | 文件管理设备和文件管理方法 |
| CN106789984A (zh) * | 2016-12-08 | 2017-05-31 | 浙江齐治科技股份有限公司 | 一种访问权限规范和可视化的方法及系统 |
| CN109462571A (zh) * | 2017-09-06 | 2019-03-12 | 发那科株式会社 | 边缘服务器以及管理服务器 |
| US10805304B2 (en) | 2017-09-06 | 2020-10-13 | Fanuc Corporation | Edge server and management server |
| CN109525547A (zh) * | 2017-09-20 | 2019-03-26 | 发那科株式会社 | 应用安全管理系统以及边缘服务器 |
| CN109525547B (zh) * | 2017-09-20 | 2020-12-15 | 发那科株式会社 | 应用安全管理系统以及边缘服务器 |
| CN108052526A (zh) * | 2017-11-07 | 2018-05-18 | 深圳云天励飞技术有限公司 | 监控区域权限管理方法、装置及存储介质 |
| CN108052526B (zh) * | 2017-11-07 | 2020-06-16 | 深圳云天励飞技术有限公司 | 监控区域权限管理方法、装置及存储介质 |
| CN108009408A (zh) * | 2017-12-04 | 2018-05-08 | 山东浪潮通软信息科技有限公司 | 一种权限管理方法、装置、可读介质及存储控制器 |
| CN109697212A (zh) * | 2018-12-27 | 2019-04-30 | 北京天融信网络安全技术有限公司 | 一种数据处理方法和数据处理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5503500B2 (ja) | 2014-05-28 |
| JP2012098924A (ja) | 2012-05-24 |
| CN102457521B (zh) | 2015-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102457521A (zh) | 访问权管理装置、访问权管理系统、访问权管理法及程序 | |
| CN105373091B (zh) | 用于在过程控制系统中使用的方法和装置 | |
| CN104950836B (zh) | 使用工业云代理的预置型数据收集和摄取 | |
| CN105210327B (zh) | 提供设备即服务 | |
| CN1855817B (zh) | 网络服务基础设施系统和方法 | |
| EP2359203B1 (en) | A method for providing control and automation services | |
| CN101502067B (zh) | 一种家庭网关网络存储系统及其网络访问方法 | |
| US20080126352A1 (en) | Client side state cache for industrial control systems | |
| CN110140096A (zh) | 用于分布式边缘装置的在线、离线和混合许可的建筑物自动化系统 | |
| EP2846208A2 (en) | Remote asset management services for industrial assets | |
| CN109154802A (zh) | 分布式建筑物管理系统中的hvac装置注册 | |
| CN107077128B (zh) | 控制工业设施中的现实世界对象 | |
| Vermesan et al. | Next generation Internet of Things: Distributed intelligence at the edge and human machine-to-machine cooperation | |
| CN102045337A (zh) | 用于管理网络资源的装置和方法 | |
| Huang et al. | Development of an intelligent energy management network for building automation | |
| CN207053552U (zh) | 一种基于混合云和异构物联网的数字家庭装置 | |
| US20030041107A1 (en) | Method and apparatus for community network communication | |
| CN108076133A (zh) | 数联网 | |
| Dongo et al. | Distributed edge solution for iot based building management system with ndn | |
| CN207117673U (zh) | 一种基于混合云的物联网系统 | |
| CN103713583B (zh) | 一种自动采集并配置授权信息的方法及装置 | |
| Wang | Planning towards enhanced adaptability in digital manufacturing | |
| Nechibvute et al. | Integration of scada and industrial iot: Opportunities and challenges | |
| Dakhnovich et al. | A technique for safely transforming the infrastructure of industrial control systems to the industrial internet of things | |
| US20160142515A1 (en) | Network system and control device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |