JP4929294B2 - アクセス特権を取り扱うための方法およびデバイス - Google Patents
アクセス特権を取り扱うための方法およびデバイス Download PDFInfo
- Publication number
- JP4929294B2 JP4929294B2 JP2009005281A JP2009005281A JP4929294B2 JP 4929294 B2 JP4929294 B2 JP 4929294B2 JP 2009005281 A JP2009005281 A JP 2009005281A JP 2009005281 A JP2009005281 A JP 2009005281A JP 4929294 B2 JP4929294 B2 JP 4929294B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- identity
- privileges
- accumulated
- identities
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000006870 function Effects 0.000 claims abstract description 158
- 230000008859 change Effects 0.000 claims abstract description 26
- 230000001186 cumulative effect Effects 0.000 claims description 7
- 239000011159 matrix material Substances 0.000 description 20
- 238000007726 management method Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013479 data entry Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 241000283690 Bos taurus Species 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004091 panning Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Description
本発明は、ネットワークシステムにおけるネットワーク接続されたデバイスへのアクセス特権を作成するための方法およびデバイスに関する。
種々のタイプのデバイスをコンピュータネットワークに接続することにより、これら種々のタイプのデバイスおよびそれらの機能をアクセス可能にすることは、次第に一般的なことになりつつある。しかしながら、ほとんどの場合、デバイスまたはネットワークのオーナーは、ネットワークにアクセスするどの人にもこれらデバイスおよび機能にアクセスさせようとは思わない。この問題を解決するために、システムが特定のアクセス特権をユーザーに与えるようにできる。これらアクセス特権は、例えば監視カメラAからのビデオ画像にユーザーがアクセスすることを認めるが、この同じカメラのビュー方向を制御するためのパン・ティルト制御装置にはアクセスできないようにすることができる。
更に、セキュリティシステム、例えば監視システム、侵入者からの保護システム、アクセス制御システム、火災アラームシステムなどでは、アクセス特権スキームが実装されていることが多い。かかる重要な機能に対してシステムが使用されているとき、アクセス特権のためのスキームは極めて重要となる。
アクセス特権を取り扱うためのスキームを実装しているほとんどのシステムは、システムアドミニストレータが各カメラに対し、各ユーザーのアクセス特権を別々に設定できるようにしている。しかしながら、かかるシステムの管理は、ユーザーおよびデバイスの数が増すにつれ、短時間で複雑となり、かつ管理の負担が増す。一部のシステムでは、管理を容易にするために、アクセスレベルのグループまたはユーザーグループが導入されている。これらケースでは各グループのアクセス特権だけを管理すればよいということにより、管理が容易となっている。
オオヤ他に付与された米国特許第6,208,379号では、アクセス特権を管理するための一部の方法が記載されている。アクセス特権の管理を容易にするための、この米国特許第6,208,379号に記載されている1つの方法は、上記のようにユーザーをユーザーグループにまとめることである。一般的に上記米国特許第6,208,379号は、アクセス特権の設定が求められているカメラの選択時に、オープンになっているダイアログボックス内に表示されているカメラリストから1つのカメラを選択することによって、ユーザーグループに対するアクセス特権を設定することについて述べている。次にカメラのアクセス制御パネルまたはダイアログボックスが示される。アクセス制御パネルでは、所定のアクセスモードを選択することが可能である。カメラのアクセスモードを変更することにより、システム内ですべてのユーザーグループに対する所定のアクセス特権が設定される。より詳細なレベルでアクセス特権を設定するには、アクセス制御パネルからアクセス特権ウィンドーをオープンにする。次に、このアクセス特権ウィンドーは、選択されたカメラの各機能に関連する各ユーザーグループのアクセス特権を表示するマトリックスを示す。
上記米国特許第6,208,379号に開示されている方法は、特に複数の異なるカメラに対するアクセス特権を設定しなければならないときに、処理が扱いにくい。更にこれら方法は、異なるユーザーのためのアクセス特権をカスタム化する際に、特に多数の代替特権をアクセス特権のアドミニストレータに与えるものではない。
本発明の1つの目的は、複数のネットワークデバイスに対するアクセス特権の設定を容易にすると共に、アクセス特権のカスタム化を容易にすることにある。
特に本発明の1つの様相によれば、ネットワーク化されたデバイスのシステム内で、アクセス特権を作成するための方法は、複数のアクセスアイデンティティを選択するステップと、前記ネットワーク化されたデバイスのアクセス可能な機能に対する、前記選択されたアクセスアイデンティティの各々のアクセス特権の情報を検索するステップと、前記ネットワーク化されたデバイスのうちの各1つの前記アクセス可能な機能のうちの各1つに対する、前記選択されたアクセスアイデンティティのアクセス特権を累積するステップとを備え、アクセス特権を累積する前記ステップは、前記ネットワーク化されたデバイスのうちの各1つの前記機能の各1つに対するアクセス特権を有する、前記選択されたアクセスアイデンティティの数をカウントすることを含み、前記累積されたアクセス特権の編集を可能にするインターフェースにおいて、前記ネットワーク化されたデバイスのうちの各1つの前記アクセス可能な機能のうちの各1つに対し、前記累積されたアクセス特権を提示するステップと、特定のネットワーク化されたデバイスにおける特定機能への、前記累積されたアクセス特権の変更を表示するステップと、前記累積されたアクセス特権の表示された変更に従い、前記選択されたアクセスアイデンティティによるアクセスを可能にするよう、前記特定のネットワーク化されたデバイスの前記特定の機能を作成するステップとを備える。
この方法によれば、すでにシステム内でユーザーのアクセス特権が互いに関係していない場合、および複数のデバイスに関するアクセス特権を変更すべきである場合に、特にアクセス特権の変更に関して、アクセス特権を変更することが容易となる。上記のように、アクセス特権を累積する行為を実行することにより、アクセス特権を変更する作動が可能となる。
一実施形態によれば、前記アクセス特権を累積する前記ステップは、前記ネットワーク化されたデバイスの各1つの、前記機能の各機能に対しアクセス特権を有する選択されたアクセスアイデンティティの数をカウントすることを含む。この利点は、アキュムレータの値を得ることが複雑でないことであり、換言すれば、同じアクセス特権を有しなくてもよい、複数の個々のユーザーのアクセス特権を表示する値を得る方法が複雑でないことである。
別の実施形態によれば、前記アクセス特権を累積する前記ステップは、選択されたすべてのアクセスアイデンティティが、特定の機能にアクセスすることを認めることを前記カウントが示す場合、選択されたすべてのアクセスアイデンティティが前記特定の機能にアクセスすることを認めることを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定するステップと、選択されたアクセスアイデンティティのどれも、特定の機能にアクセスすることを認めないことを前記カウントが示す場合、選択されたアクセスアイデンティティのどれも、前記特定の機能にアクセスすることを認めないことを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定するステップと、選択されたアクセスアイデンティティのうちの一部が、特定の機能にアクセスすることを認めることを前記カウントが示す場合、選択されたアクセスアイデンティティの一部が前記特定の機能にアクセスすることを認めることを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定するステップとを備える。よってアクセス特権を変更することにより、アクセス特権を管理する個人として、選択されたユーザーのアクセス特権の管理を容易にすることは、これら3つのステートにより、現在のステータスの迅速な概観を与えることができる。
更に別の実施形態によれば、本方法は、前記ネットワーク化されたデバイスの前記アクセス可能な機能を表示する情報、これら機能のうちの各1つに関連する累積されたアクセス特権を表示する情報、および前記選択されたアクセスアイデンティティの識別を可能にする情報を、コンピュータネットワークを介して、クライアントコンピュータに送り、前記表示を実行するステップを更に含む。このことは、アクセス特権の変更を表示することに関連する処理が集中しなくなるという点で有利である。すなわちクライアントからのリクエストに関する情報をアクセスサーバーが記憶する必要がないという点で有利である。従って、アクセスサーバーによる処理を簡略化でき、少ない処理およびメモリ容量で済む。
一実施形態によれば、前記選択されたアクセスアイデンティティの識別を可能にする情報は、前記選択されたアクセスアイデンティティの識別子を含むリストである。
別の実施形態によれば、前記選択されたアクセスアイデンティティの識別を可能にする情報は、前記選択されたアクセスアイデンティティの識別子を含むリストのロケーションを識別する識別子である。
更に別の実施形態では、この方法は、前記ネットワーク化されたデバイスのうちの各1つの前記アクセス可能な機能の各1つを表示する情報、これら機能の各々に関連する累積されたアクセス特権、および前記選択されたアクセスアイデンティティの識別を可能にする情報を、前記コンピュータネットワークを介して戻すステップを更に備え、ネットワーク化されたデバイスの少なくとも1つの機能に関連する、前記累積されたアクセス特権は、前記コンピュータネットワークを介して以前送られた対応する情報に関連して既に変更されている。
一実施形態によれば、前記コンピュータネットワークを介して以前送られた対応する情報に関連して、特定機能に対する前記累積されたアクセス特権が既に変更されていることを示すよう、前記累積されたアクセス特権が変更されているネットワーク化されたデバイスの前記少なくとも1つの機能にタグを付ける。この方法の利点は、クライアントからの、累積され、変更されたアクセス特権に従って、システムのアクセス特権を作成する動作を、変更されていないアクセス特権に関連する情報から容易に抽出できることである。
別の実施形態によれば、特定のネットワークデバイスにおける特定の機能への累積されたアクセス特権の変更を示す前記行為は、前記選択されたアクセスアイデンティティによって識別されたすべてのユーザーが前記特定の機能へアクセスすることを認めるか、または前記選択されたユーザーのどれもが前記特定の機能へアクセスすることを認めないよう、特定のネットワークデバイスの特定の機能のアクセス特権を変更することしか可能にしない。
別の実施形態によれば、複数のアクセスアイデンティティを選択する前記ステップは、前記システムを使用するように登録されたアクセスアイデンティティから複数のアクセスアイデンティティを選択することを含む。
別の実施形態では、アクセスアイデンティティを選択する前記ステップは、個々のユーザーを選択することを含む。
更に別の実施形態では、アクセスアイデンティティを選択する前記ステップは、ユーザーグループを選択することを含む。
本発明の別の様相によれば、ネットワーク化されたデバイスのシステム内でアクセス特権を取り扱うためのサーバーは、クライアントから選択されたアクセスアイデンティティの表示を受信するようになっているアクセスアイデンティティを選択することを管理するための手段と、ネットワーク化されたデバイスに関連するアクセス可能な機能に対する、個々に選択されたアクセスアイデンティティのアクセス特権の情報を検索すると共に、前記ネットワーク化されたデバイスの前記機能に対する前記選択されたアクセスアイデンティティに鑑み、累積されたアクセス特権を含むメッセージを発生するようになっているアクセス特権マネージャーと、前記ネットワーク化されたデバイスの前記アクセス可能な機能のうちの各1つに対するアクセス特権を有する選択されたアクセスアイデンティティの数をカウントすることにより、前記検索された情報から、前記ネットワーク化されたデバイスの前記アクセス可能な機能に対する前記選択されたアクセスアイデンティティの前記アクセス特権を累積するようになっているアクセス特権アキュムレータと、前記ネットワーク化されたデバイスの前記機能の前記アクセス特権を変更すべきことを表示するインジケータを含む、受信されたメッセージに従い、前記選択されたアクセスアイデンティティに対する前記ネットワーク化されたデバイスのアクセス可能な機能のアクセス特権を作成するようになっている、アクセス特権コンフィギュレータとを備える。
このアクセス特権作成機能を有するサーバーは、個々のユーザーおよび複数のネットワークデバイスのためのアクセス特権を変更する作動を容易にできる。このことは特に、複数のデバイスに対する関連していないユーザーのアクセス特権を変更すべき場合の作動に当てはまる。上記のように、アクセス特権を累積することにより、かかるアクセス特権を変更する作動が可能となる。
一実施形態によれば、ネットワーク化されたデバイスの前記アクセス可能な機能の各1つに対するアクセス特権を有する選択されたアクセスアイデンティティの数をカウントすることにより、前記アクセス特権アキュムレータはアクセス特権を累積するようになっている。
この利点は、アキュムレータの値を得る方法が複雑でないこと、すなわち換言すれば、同じアクセス特権を有する必要のない複数の個々のユーザーのアクセス特権を表示する値を得る方法が複雑でないということである。
別の実施形態によれば、前記アクセス特権アキュムレータは、更に、選択されたすべてのアクセスアイデンティティが、特定の機能にアクセスすることを認めることを前記カウントが示す場合、選択されたすべてのアクセスアイデンティティが前記特定の機能にアクセスすることを認めることを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定し、選択されたアクセスアイデンティティのどれも、特定の機能にアクセスすることを認めないことを前記カウントが示す場合、選択されたアクセスアイデンティティのどれも、前記特定の機能にアクセスすることを認めないことを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定し、選択されたアクセスアイデンティティのうちの一部が、特定の機能にアクセスすることを認めることを前記カウントが示す場合、選択されたアクセスアイデンティティの一部が前記特定の機能にアクセスすることを認めることを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定するようになっている。
このアクセス特権アキュムレータは、アクセス特権を変更することにより、アクセス特権を管理する個人に対し、これら3つのステータスによって現在のステータスの概観を迅速に与えることができるので、選択されたユーザーのアクセス特権の管理を容易にする。
別の実施形態によれば、前記アクセス特権マネージャーは、前記ネットワーク化されたデバイスの前記アクセス可能な機能を表示する情報、これら機能のうちの各1つに関連する累積されたアクセス特権を表示する情報、および前記選択されたアクセスアイデンティティの識別を可能にする情報を、前記発生されたメッセージ内に含むようになっている。
更に別の実施形態によれば、前記システムは、モニタシステムである。
別の実施形態では、前記アクセスアイデンティティは、ユーザーアイデンティティを含み、更に別の実施形態では、前記アクセスアイデンティティは、ユーザーグループアイデンティティを含む。
本発明の更に別の様相によれば、システムのネットワーク化されたデバイスの機能に対するアクセス特権を変更するためのクライアントは、ディスプレイと、入力手段と、アクセスサーバーにアクセスし、システムまたはネットワークのユーザーのアクセスアイデンティティの情報を提供することを前記アクセスサーバーにリクエストするようになっている、アクセスアイデンティティを選択するための手段とを備え、前記選択手段は、前記ディスプレイに前記アクセスアイデンティティを表示すると共に、前記入力手段により前記クライアントのユーザーがアクセスアイデンティティを選択することを可能にするようになっており、更に、ネットワーク化されたデバイスのアクセス可能な機能に対する前記選択されたアクセスアイデンティティに対するアクセス特権を変更するための手段を備え、前記手段は、前記ディスプレイ上に前記ネットワーク化されたデバイスの前記アクセス可能な機能に関する累積されたアクセス特権を示し、前記クライアントのユーザーが、表示された機能に対する累積されたアクセス特権を選択し、変更できるようにすると共に、前記累積され、変更されたアクセス特権の情報を含むメッセージを生成するようになっており、前記アクセス特権を累積する前記ステップは、前記ネットワーク化されたデバイスの各1つの前記機能の各1つに対するアクセス特権を有する選択されたアクセスアイデンティティの数をカウントすることを含む。
このクライアントは、複数のネットワーク化されたデバイスに対するアクセス特権の変更を容易にし、ユーザーに対するアクセス特権をカスタム化できるという利点を与えることができる。
一実施形態によれば、前記アクセス特権を変更するための手段は、ネットワークインターフェースを介してメッセージを受信するようになっており、前記メッセージは、前記ネットワーク化されたデバイスのアクセス可能な機能を表示する情報、これら機能の各々に関連する前記累積されたアクセス特権を表示する情報、および前記選択されたアクセスアイデンティティの識別を可能にする情報を含む。
別の実施形態によれば、前記生成されたメッセージは、前記ネットワーク化されたデバイスのアクセス可能な機能を表示する情報と、これら機能の各々に関連する、前記累積されたアクセス特権を表示する情報と、既に変更された累積された各アクセス特権を示すインジケータと、前記選択されたアクセスアイデンティティの識別を可能にする情報とを含む。
更に別の実施形態によれば、前記選択されたアクセスアイデンティティの識別を可能にする情報は、前記選択されたアクセスアイデンティティの識別子を含むリストである。
別の実施形態によれば、前記選択されたアクセスアイデンティティの識別を可能にする情報は、前記選択されたアクセスアイデンティティの識別子を含むリストのロケーションを識別する識別子である。
本願に関連し、ネットワーク化されたデバイスとは、コンピュータネットワークを通して信号および/またはメッセージの送受信を可能にするための回路を含むデバイスとして理解すべきであり、このデバイスは、デバイスが機能した結果生じたデータまたは情報をコンピュータネットワークを通して送るようになっている。
次の詳細な説明から、本発明を実施できる別の範囲が明らかとなろう。しかしながら、次の詳細な説明から、当業者には本発明の要旨内で種々の変更および変形をすることが明らかであるので、本発明の好ましい実施形態を示す次の詳細な説明および特定の例は、単なる例として示されたに過ぎないと理解すべきである。
添付図面を参照し、現時点で好ましい実施形態の次の詳細な説明から、本発明の上記以外の特徴および利点が明らかとなろう。
図1には、本発明の一実施形態に係わるシステムが略図で示されている。このシステムは、ネットワーク化されたデバイス12、14および16のアクセス特権を制御し、管理するようになっているアクセスサーバー10を含む。更にこのシステムは、システムおよびサーバー10を接続するネットワークのアクセス特権に関連する、アクセスサーバー10内の情報にアクセスするのに使用できるクライアント18と、サーバー10、ネットワーク化されたデバイス12、14および16、およびクライアント18を接続するネットワークとを備える。
アクセスサーバー10はシステム内のネットワーク化されたデバイスへの登録されたユーザーのアクセス特権を制御するサーバーである。ネットワーク化されたデバイス12、14および16は、ネットワークに接続され、ネットワークを介して制御され、またはデータを提供するようになっている任意のデバイスでよい。クライアント18は、アドミニストレータがサーバー10にログインし、更にネットワーク化されたデバイス12、14および16の機能への、登録されたアクセスアイデンティティによるアクセス特権に関連する情報にアクセスすることをイネーブルするコンピュータでよい。一実施形態によれば、アクセスアイデンティティは、ユーザーアイデンティティおよび/またはユーザーグループのアイデンティティでよい。
ネットワーク化されたデバイス12、14および16は、上記のようにネットワークを通してデータを提供する任意のデバイス、および/またはネットワークを介して制御可能な任意のデバイスとすることができる。例えばネットワーク化されたデバイスは、ビデオカメラ12でよく、このビデオカメラは、ビデオサーバーにビデオ画像を送るため、および/または制御信号を受信するため、例えばパニング、ティルト、絞り、フレームレート、解像度などの任意の組み合わせのうちの任意の1つを制御するために、ネットワークを介して通信することが可能である。かかるネットワーク化されたカメラ12は、一般にモニタ目的または監視目的のために操作できる。ネットワーク化された別の例として、閉じられた設備またはエリアに対するアクセスを制御するために使用されるエントリー制御システム14がある。しかしながら、当業者には他の多くのデバイスを想到することができよう。
本発明の一実施形態によれば、アクセスサーバー10は、コンピュータネットワークを介してデータを取り扱い、送受信するようになっている通常のサーバーのすべてのコンポーネントおよび機能を含む。従って、アクセスサーバー10は、通常のサーバーの機能の処理だけでなく、本発明に関連する機能を処理するためのCPU52、すなわち中央処理ユニットを含む。更に、アクセスサーバーは、通常のサーバーの機能だけでなく、本発明に関連する機能にも関連するデータ、情報、命令などを一時的に記憶するための揮発性メモリ54を含む。この揮発性メモリ54は、例えばRAM(ランダムアクセスメモリ)でよい。更に、アクセスサーバーは、ネットワークに接続された他のデバイス、例えばネットワーク化されたデバイスとの通信をイネーブルするためのネットワークインターフェース56を含む。当業者は、ネットワークインターフェースをどのように実装するかは知っていよう。
アクセスサーバー10は、不揮発性メモリ58も含み、この不揮発性メモリは、ハードドライブ、ソリッドステートドライブ、またはデバイスへの給電が遮断されたときでもデータを記憶できる任意のデータ記憶デバイスとすることができる。本発明を検討すれば、不揮発性メモリはシステム内のネットワーク化されたデバイスの機能への登録されたユーザーへのアクセス特権の情報を記憶するようになっている。従って、この記憶容量を適合しなければならない。更に、アクセスサーバーは、データベースとの間でのデータの入出力を管理するためのデータベースインターフェース60も含むことができる。このデータベースは、不揮発性メモリ58内に配置できるが、ネットワークに接続された別の記憶ポイントにも配置できる。
通常のすべての機能の他に、更にアクセス特権を作成したり、または再構成するために、アクセスサーバー10はアクセスアイデンティティの選択を管理するための手段62と、アクセス特権を管理するための手段64と、アクセス特権を作成するための手段66とを含むことができる。
アクセス識別の選択を管理するための手段62は、アクセスアイデンティティのリストを検索し、アクセスアイデンティティの選択をするためにクライアントにこのアクセスアイデンティティのリストを送るようになっている。登録されたアクセスアイデンティティ、例えば登録されたユーザーおよび/または登録されたユーザーグループに関連するアクセス特権を含むデータベースから、このアクセスアイデンティティのリストを検索してもよいし、またはネットワークに関連するユーザー管理サーバー、すなわちネットワークへのログインを認証するのに必要なデータを管理するサーバーからこのリストを検索してもよい。例えば、ネットワークシステムがマイクロソフト社に基づくネットワークである場合、かかるサーバーは、アクティブディレクトリを含むことができる。
アクセスアイデンティティの選択は、これらリストのうちのいずれか1つに基づいて行うことができる。新しいアクセスアイデンティティ、すなわちネットワーク化されたデバイスにアクセスできるようには登録されていないアイデンティティに、アクセス特権を必要とするネットワーク化されたデバイスへのアクセス権を与えられるべきであるときに、ネットワークでの認証されたログインに関連するリストを、使用することが好ましい。アクセス特権の編集または変更を実行すべきであるアクセスアイデンティティを選択する際にネットワーク化されたデバイスにアクセスできるように登録されているアクセスアイデンティティのリストを、使用できることが好ましい。更に、本願に関連し、アクセス特権を変更するためにアクセスアイデンティティを選択することに鑑みれば、アクセスアイデンティティなる用語は、ユーザーアイデンティティおよび/またはユーザーグループアイデンティティを含むことができる。ユーザーグループを選択し、登録する場合、ユーザーグループのアイデンティティを記憶する。このユーザーグループは、ユーザーグループに関連するユーザーのユーザー識別子を含むようにでき、これによって必要なときにユーザーグループ内に含まれるユーザーの検索が可能となっている。このことは、アクセス特権での管理作動のためにユーザーグループおよび単一ユーザーを選択することが可能となり、ユーザーグループのうちの複数のユーザーが変わった場合、ユーザーグループのアクセス特権はそのままであるが、ユーザーグループから出たか、または加わったユーザーのアクセス特権は変化する。
一実施形態に係わるアクセスサーバーのデータベース内、またはアクセスサーバーに関係するデータベースには、アクセスアイデンティティのリスト90(図3参照)が使用されている。ネットワーク化されたデバイスにアクセスできるように登録されたアクセスアイデンティティの前記リスト90の他に、アクセスサーバーのデータベースはネットワーク化されたデバイスおよびこれらデバイスのアクセス可能な機能のリスト92および各アクセスアイデンティティのために各デバイスの各機能に1つのアクセス特権が関連付けられているリスト94を記憶している。このリスト94は、リストまたはマトリックスとして記憶できるが、リストに含まれる情報の記述を容易にするために、これをマトリックスとして説明し、以下、リスト94をアクセス特権マトリックス94と称す。従って、アクセス特権のマトリックス94は、登録されたアクセスアイデンティティ90のリストと、ネットワーク化されたデバイス92のリストと、ネットワーク化されたデバイスの機能に関連するこれらアクセスアイデンティティのアクセス特権との組み合わせとなっている。かかるアクセス特権マトリックス94の一実施形態を説明する1つの方法(図3の例を参照)は、どのラインも、ネットワーク化されたデバイスとアクセスアイデンティティとの組み合わせを示すようにすることである。すなわちマトリックスのライン1は、ネットワークデバイス1とアクセスアイデンティティ1を示し、ライン2は、ネットワークデバイス1とアクセスアイデンティティ2とを示し、ライン3は、ネットワークデバイス1とアクセスアイデンティティ3とを示し、ライン4は、ネットワークデバイス2とアクセスアイデンティティ1とを示し、ライン5は、ネットワークデバイス2とアクセスアイデンティティ2とを示すようにし、各コラムがデバイスの機能を示すようにすることである。
次に、再び図2を参照する。アクセスアイデンティティの選択を管理するための手段62は、選択されたアクセスアイデンティティの表示をクライアントから受信するようになっている。アクセス特権マトリックスマネージャー68は、選択されたアクセスアイデンティティがアクセス特権マトリックス内に登録されていないアクセスアイデンティティである場合に、この選択されたアクセスアイデンティティを追加するようになっている。更にこのアクセス特権マトリックスマネージャーは、選択されたアクセスアイデンティティに関連するアクセス特権マトリックスからアクセス特権アキュムレータ70へ情報を送るようにできる。
アクセス特権アキュムレータ70は、クライアントコンピュータでアクセス特権の変更を実行できるように、クライアントコンピュータに送るべき情報構造内の選択されたアクセスアイデンティティのアクセス特権を累積するようになっている。このアクセス特権アキュムレータ70は、登録されている選択されたアクセスアイデンティティのうちのどれだけ多くが、ネットワーク化されたデバイスの各々の機能の各々にアクセスしたかをカウントする。選択されたアイデンティティのうちのすべてがネットワーク化されたデバイスの特定の機能にアクセスしている場合、選択されたすべてのアクセスアイデンティティがアクセスしたことを記述する、この特定のデバイスにおけるこの特定の機能に関連する入力が行われる。選択されたアクセスアイデンティティのどれもが、ネットワーク化されたデバイスの特定の機能にアクセスしていない場合、選択されたアクセスアイデンティティのどれもがアクセスしていない旨を記述する、この特定のデバイスにおける特定機能に関する入力がなされる。このシステムでは、第3の表示が使用される。選択されたアクセスのアイデンティティの一部しかネットワーク化されたデバイスの特定の機能にアクセスしていない場合、この第3の表示が使用され、選択されたアクセスアイデンティティのうちの一部しかアクセスしていない旨を記述する、この特定のデバイスにおけるこの特定機能に関連する入力がなされる。従って、累積されたリスト、すなわちマトリックスは、これら3つのステートにより、各ネットワークデバイスの各機能に対する選択されたアクセスアイデンティティの累積されたアクセス特権を識別する。図4には、累積したマトリックスの一部の例が示されている。上記3つのステートは、データ送信において「すべてアクセス」インジケータ、「アクセスなし」インジケータおよび「一部アクセス」インジケータとして表示できる。一実施形態では、「すべてアクセス」インジケータはTRUE(真)値として表示され、「アクセスなし」インジケータはFALSE(偽)値として表示され、「一部アクセス」インジケータはNULL(ヌル)値として表示される。
次に図2に戻る。アクセス特権を管理するための手段64は、クライアントからのアクセス特権の変更を可能にする情報を含むメッセージを生成するようになっている。この情報は、累積したアクセス特権および各ネットワークデバイスの関連する各機能および選択されたアクセスアイデンティティのリスト、例えば累積されたマトリックスおよび選択されたアクセスアイデンティティのリストでよい。図5には、かかるメッセージのコンテントの一例が示されている。選択されたアクセスアイデンティティのリストは、メッセージ内に表示でき、このメッセージはサーバーまたは他の任意のネットワーク場所に記憶された、かかるリストへのリンクまたはポインタとして、アクセス特権のコンフィギュレーション情報を含む。実際には、選択されたアクセスアイデンティティのリンクは必ずしもクライアント内に与えられるわけではないし、また、クライアント内で使用されないこともある。
更に、アクセス特権を作成するための手段66は、クライアントからのコンフィギュレーションリクエストを受信するようになっている。前記受信された機能は、各ネットワークデバイスの関連する各機能に対する累積され、調節されたアクセス特権および選択されたアクセスアイデンティティのリストを含む。アクセスアイデンティティのリストが上記のようにクライアントに送られない場合、アクセスサーバーからクライアントへ送られたリンクまたはポインタが戻される。アクセス特権を作成するための手段66は、アクセス特権コンフィギュレーションリクエストに従い、アクセス特権マトリックス内にアクセス特権を設定するよう、アクセス特権マトリックスマネージャー68を命令するようにもなっている。一実施形態では、受信されたリクエストは、各デバイスの各機能のインジケータを更に含み、このインジケータは、アクセスサーバー10から送られた累積したリストのアクセス特権に関連し、選択されたアクセスアイデンティティのためにデバイスの機能のアクセス特権が変更されたかどうかを示す。図6に示されている累積され、戻されたリストの例に示されるように、変更されたアクセス特権のインジケータに対しては、ダーティビット98を使用することができる。図6の例では、1にセットされたダーティビットは、変更されたアクセス特権を示し、0にセットされたダーティビットは、アクセス特権に変更がないことを示す。アクセスサーバーからクライアントに送られる累積されたリストには、ダーティビットのための位置を示すこともできる。
図7には、本発明で使用できるクライアントが示されている。このクライアントは、ネットワークインターフェース102と、CPU104と、メモリ106と、入力手段108と、ディスプレイ110とを含む。ネットワークインターフェース102は、ネットワークに接続された他のデバイス、例えばアクセスサーバーとの通信を可能にできるようになっている。当業者は、ネットワークインターフェースをどのように実装するかは知っているであろう。CPU104は、クライアントの機能を処理するようになっており、情報を記憶するために、例えば実行された命令などの一時的記憶をするために、メモリが使用されている。クライアントは任意の汎用コンピュータ、例えばワークステーション、パソコン、小型携帯型コンピュータ、携帯電話、パーソナルデジタルアシスタントなどでよいし、またはアクセスサーバーに対するクライアント専用に設計された特殊コンピュータでもよい。
クライアントはアクセスアイデンティティを選択するための手段112と、アクセス特権を変更するための手段114とを含む。アクセスアイデンティティを選択するための手段112は、アクセスサーバーにアクセスし、システムのアクセスアイデンティティまたはネットワークのユーザーの情報を提供するように、アクセスサーバーにリクエストするようになっている。クライアントのオペレータは、この情報から、前記選択されたアクセスアイデンティティを選択し、選択されたアクセスアイデンティティのリストを送り戻すことができる。
一実施形態では、ユーザーを選択するための手段112は、クライアントのユーザーが既に登録されたアクセスアイデンティティのために新しいアクセスアイデンティティを追加するか、またはアクセス特権を変更するかを選択できるインターフェースをディスプレイするようになっている。更に、この手段は、クライアントのユーザーが選択した選択案のうちのどれであるかの表示をアクセスサーバーに送るようになっている。更にアクセスアイデンティティ112を選択するための手段は、アクセスアイデンティティのリストを受信し、リストからアクセスアイデンティティの選択を可能にするインターフェースを介し、ディスプレイ110にリストのコンテントを示すようになっている。図8には、かかるインターフェースの一例が示されている。当該アクセスアイデンティティを示す各ラインを示すことにより、ユーザーをマークでき、当該ユーザーをマークするときには、選択ボタンを使って選択されたアクセスアイデンティティのリストをアクセスサーバーへ送る。
アクセス特権を変更するための手段114は、クライアントによるアクセス特権の変更を可能にする情報を含む情報メッセージを受信するようになっている。この情報は、累積したアクセス特権および各ネットワークデバイスの関連する各機能、および選択されたアクセスアイデンティティのリストでよい。例えばアクセスサーバーに関連して説明したように、累積したリストおよび選択されたアクセスアイデンティティのリストでよい。図5には、情報メッセージの一例が示されている。アクセス特権を変更するための手段は、更にクライアントのユーザーがアクセス特権を変更できるようにするインターフェース内に、情報メッセージのうちの情報を表示するための手段も含む。図9には、アクセス特権を変更するためのかかるインターフェースの一例が示されている。インターフェースのこの特定の実施形態では、インターフェースの別個のタブ120、122の下にカメラおよびI/Oデバイスとして示されるネットワーク化されたデバイスが、分類され、配置されている。各デバイスは、別個のラインで示され、機能はコラムに示され、各デバイスの各機能に対する累積したアクセス特権は、ネットワーク化されたデバイスと機能との交点に示されている。xは、選択されたすべてのアクセスアイデンティティがアクセスしたことを示し、空のボックスは、選択されたアクセスアイデンティティのどれもがアクセスしていないことを示し、oは、一部のアイデンティティがアクセスしているが、すべてのアイデンティティがアクセスしているわけではないことを示す。このインターフェースは、ユーザーのボックスの選択に応答し、xから空に、かつ空からxに交互に変化するようになっている。累積されたアクセス特権がoで示されているケースでは、この特権は、xまたは空に変化できるが、空またはxはoに変化できない。従って、選択されたアクセスアイデンティティのすべてがアクセスしたか、またはいずれもアクセスしていないかしか表示できない。アクセス特権を変更することにより、クライアントのユーザーを終了するときには、okボタンを選択すべきである。アクセス特権を変更するための手段は、インターフェースに示された変更に従って、累積されたリストを変更するようになっている。すなわち、ネットワーク化されたデバイスの機能に関連し、選択されたすべてのユーザーに対するアクセス特権の変更を表示するインジケータにより、ネットワーク化されたデバイスの機能に対する変更されたどのアクセス特権も表示するようになっている。
アクセス特権を変更するための手段114は、クライアントのユーザーが変更したアキュムレートされたリストをアクセスサーバーに送るようにもなっている。
本発明の別の態様によれば、ネットワーク化されたデバイスの機能に対し、アクセス特権を作成するための方法は、システム内で実施される(図10参照)。このシステムは、アクセス特権の管理を可能にする認証システムとすることができ、このシステムは、特定のユーザーがアクセスすることが許可されるように登録されたユーザーアクセスデバイスしか許可しないように、弁別方法を実行するシステムとすることができる。例えばこのシステムは、セキュリティシステムのデバイスおよび/または機能へのアクセスを管理する認証モジュール/システム、監視システム、モニタシステムなどとすることができ、このシステムでは、異なるユーザーは異なるデバイスにアクセスすべきであり、異なるユーザーがアクセスしたデバイスには異なるタイプのアクセスさえもすべきである。
クライアントコンピュータのユーザー(本方法は、ネットワークとシステムのためのアドミニストレータの特権を有するこのユーザー、またはシステムのみのためのアドミニストレータの特権を有するこのユーザーに対して制限されている)は、アクセスアイデンティティのリストに対するリクエストを送るようにクライアントを作動させることにより、システム内のネットワーク化されたデバイスの機能に対するアクセス特権の作成を開始する(ステップ602)。このリクエストに応答し、サーバーは、ネットワークを利用するため、および/またはシステムを利用するために登録されたアクセスアイデンティティのリストに対してアクセスする(ステップ604)。次に、例えば図8を参照して説明したインターフェースにより、クライアント側において、アクセスアイデンティティのリストが提示される。次にクライアントを作動中のユーザーは、クライアントを作動させ、管理すべきアクセス特権を有するアクセスアイデンティティを選択する(ステップ606)。
本発明によれば、アクセス特権を管理するためのインターフェースは、選択されたアクセスアイデンティティを同じ方法で処理するようになっているので、複数の同一のアクセス特権を有すべきアクセスアイデンティティを選択することが好ましい。次に、選択されたアクセスアイデンティティだけのための累積されたアクセス特権マトリックスを作成するために、アクセスサーバー内で、選択されたアクセスアイデンティティを使用する。選択されたアクセスアイデンティティがシステム内で登録されていないアクセスアイデンティティである場合、システムの登録されたアクセスアイデンティティに、選択されたアクセスアイデンティティを追加しなければならない。例えばアクセスアイデンティティをシステムに対してではなく、ネットワークに対して登録、例えば認証してもよいし、例えばシステムに対しては許可してもよい。
従って、アクセスサーバーは、選択されたアクセスアイデンティティに関連するアクセス特権を検索し(ステップ608)、次にデバイスの各々の各機能へアクセスしたアクセスアイデンティティの数をカウントし、累積する(ステップ610)。このステップは各ネットワークデバイスの各機能にアクセスした、選択されたアクセスアイデンティティの数をサーバーにカウントさせ、ネットワーク化された各デバイスの各機能へアクセスした選択されたアクセスアイデンティティの数と選択されたアクセスアイデンティティの数とを比較することにより、累積されたアクセス特権を生成することによって実行できる。この累積されたアクセス特権は、選択されたアクセスアイデンティティのすべてがアクセスしたこと、選択されたアクセスアイデンティティのどれもアクセスしなかったこと、または選択されたアクセスアイデンティティの一部がアクセスしたことのいずれかを表示できる。一実施形態によれば、選択されたすべてのアクセスアイデンティティがアクセスしたことを示す、累積されたアクセス特権は、「TRUE(真)」の値で示され、選択されたアクセスアイデンティティのどれもアクセスしなかったことを示す累積されたアクセス特権は、「FAULSE(偽)」の値で示され、選択されたアクセスアイデンティティの一部がアクセスしたことを示す累積されたアクセス特権は、「NULL(ヌル)」の値で示される。
この結果生じる累積されたアクセス特権から、サーバーは複数のデータエントリーを含むデータ構造を生成する(ステップ612)。これらデータエントリーの各々は、ネットワーク化されたデバイス、このネットワーク化されたデバイスに関連する機能、および選択されたアクセスアイデンティティに関するこの特定のデバイスのこの特定の機能に対する累積されたアクセス特権を示す。データ構造は、ネットワーク化された各デバイスの各機能に対するこれらデータ構造のうちの1つを含む。生成されたデータ構造は、次に、選択されたアクセスアイデンティティのリストと共にクライアントへ送られる。一実施形態では、クライアントに送られる選択されたアクセスアイデンティティのリストは、リストに対するリンクまたはポインタに置換され、このリンクはサーバーに記憶することができる。
機能およびネットワーク化されたデバイスに関連する累積されたアクセス特権のデータ構造が、クライアント側で受信されると、このクライアントのインターフェースは、クライアントに接続されたディスプレイに情報を示す(ステップ614)。
一実施形態によれば、累積されたアクセス特権のデータ構造の情報は、アクセス特権を示し、これを変更するためのインターフェース、例えば図9を参照して説明したようなインターフェースにおいて示される。次に、クライアントのオペレータは、選択ごとに、選択されたすべてのアクセスアイデンティティがアクセスするか、または選択されたアクセスアイデンティティのどれもアクセスしないかを交互に定める特定のアクセス特権を選択するだけで、インターフェースを介して、累積されたアクセス特権を変更することができる。
アクセス特権の各変更は、データ構造内に記憶され、インジケータ、例えばダーティビットと共に表示できる。選択されたアクセスアイデンティティに関するアクセス特権の変更が、この時間の間に終了したとクライアント側のオペレータが判断した瞬間に、選択されたアクセスアイデンティティのリストと共に、アクセスサーバーへ、変更されたデータ構造を戻すことがクライアントに命令され、累積されたアクセス特権のデータ構造がアクセスサーバーに戻される(ステップ618)。
変更されたデータ構造を受信すると、サーバーは、変更されたアクセス特権を示すインジケータをサーチし、選択されたアクセスアイデンティティのリストの選択されたすべてのユーザーに対し、このインジケータに関連する特定のネットワーク化されたデバイスの特定の機能を再構成する(ステップ620)。変更されたと表示されたすべてのエントリーが見つかるまで、このサーチと構成を繰り返す。次にシステムのアクセス特権の新しい作成機能が作動する。
アクセス特権のリストに対するリクエストを送るようにユーザーがクライアントを作動させる、図10のステップ602の結果、アクセスアイデンティティまたは認証されたユーザーの2つの異なる検索のうちの1つを行うことができる。クライアントを作動させるユーザーは、システムにアクセスアイデンティティを更に追加すると判断でき、この場合、アクセスサーバーはアクセスおよびネットワークの認証を管理するサーバーから、ユーザーまたはユーザーグループのリストを検索する。次に、選択されたユーザーは、同じようにシステムのレジスタに登録された応対となる。他方、クライアントを作動しているユーザーは、システム内に既にアクセス特権を有するアクセスアイデンティティのアクセス特権を変更すると判断できる。この場合、アクセスサーバーはアクセスサーバー内のアクセスアイデンティティのリストを検索する。
図11には、クライアントとサーバーとの間の信号のやりとりが示されている。図11に示された例は、クライアントのユーザーがシステムに新しいユーザーを追加しようとしている状況に関係している。次にユーザーは、ユーザーまたはユーザーグループを追加したい旨を表示し、クライアントはすべてのネットワークユーザーのリストのためのリクエストをアクセスサーバーに送る(ステップ702)。クライアント側では、このステップから選択を行うことができる。アクセスサーバーは、ネットワークアクセスおよび認証サーバーにコンタクトし、ユーザー情報を検索し、データをクライアントに送る(ステップ704)。クライアント側では、ユーザーの選択を実行し、選択されたユーザーのアクセス特権を訂正/設定するためのリクエストを送る(ステップ706)。このリクエストに応答し、アクセスサーバーは各ネットワーク化されたデバイスの各機能に鑑み、選択されたユーザーの累積されたアクセス特権を含む情報構造を戻す(ステップ708)。次にクライアント側でデータ構造が訂正され、訂正された情報構造が、アクセスサーバーへ戻される(ステップ710)。訂正された情報構造は、既に訂正されているアクセス特権を示すインジケータを含むことができる。
図12には、図1のスキームに類似する信号送信スキームが示されている。この例は、ユーザーが既に登録されたアクセスアイデンティティのアクセス特権を訂正しようとしている状況に関連している。従って、クライアントは登録されたアクセスアイデンティティをリクエストするメッセージを送り(ステップ722)、登録されたアクセスアイデンティティを識別するデータを受信する(ステップ724)。次にクライアント側のユーザーは、このデータから選択を行い、図11に示されているものと同じ信号送信を実行する。すなわち信号726〜730は図11の信号706〜710に対応している。
56 ネットワークインターフェース
60 データベースインターフェース
62 アクセスアイデンティティの選択を管理するための手段
64 アクセス特権を管理するための手段
66 アクセス特権を作成するための手段
68 アクセス特権マトリックスマネージャー
70 アクセス特権アキュムレータ
54 揮発性メモリ
60 データベースインターフェース
62 アクセスアイデンティティの選択を管理するための手段
64 アクセス特権を管理するための手段
66 アクセス特権を作成するための手段
68 アクセス特権マトリックスマネージャー
70 アクセス特権アキュムレータ
54 揮発性メモリ
Claims (23)
- ネットワーク化されたデバイスのシステム内で、アクセス特権を作成するための方法であって、
選択する手段が、複数のアクセスアイデンティティを選択し、
アクセス特権マネージャーが、前記ネットワーク化されたデバイスのアクセス可能な機能に対する、前記選択されたアクセスアイデンティティの各々のアクセス特権の情報を検索し、
アクセス特権アキュムレータが、前記ネットワーク化されたデバイスのうちの各1つの前記機能の各1つに対するアクセス特権を有する、前記選択されたアクセスアイデンティティの数をカウントすることによって、前記ネットワーク化されたデバイスのうちの各1つの前記アクセス可能な機能のうちの各1つに対する、前記選択されたアクセスアイデンティティの前記アクセス特権を累積し、
インターフェースが、前記ネットワーク化されたデバイスのうちの各1つの前記アクセス可能な機能のうちの各1つに対し、前記累積されたアクセス特権を提示し、当該インターフェースは前記累積されたアクセス特権の編集を許容し、
特定のネットワーク化されたデバイスにおける特定機能への、前記累積されたアクセス特権の変更を表示するステップと、
アクセス特権構成器が、前記累積されたアクセス特権の表示された変更に従い、前記選択されたアクセスアイデンティティによるアクセスを可能にするよう、前記特定のネットワーク化されたデバイスの前記特定の機能を作成し、ネットワーク化されたデバイスのネットワークにおいてアクセス特権を作成するための方法。 - 前記アクセス特権アキュムレータはさらに、
選択されたすべてのアクセスアイデンティティが、特定の機能にアクセスすることを認めることを前記カウントが示す場合、選択されたすべてのアクセスアイデンティティが前記特定の機能にアクセスすることを認めることを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定し、
選択されたアクセスアイデンティティのどれも、特定の機能にアクセスすることを認めないことを前記カウントが示す場合、選択されたアクセスアイデンティティのどれも、前記特定の機能にアクセスすることを認めないことを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定し、
選択されたアクセスアイデンティティのうちの一部が、特定の機能にアクセスすることを認めることを前記カウントが示す場合、選択されたアクセスアイデンティティの一部が前記特定の機能にアクセスすることを認めることを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定する、請求項1に記載の方法。 - 前記ネットワーク化されたデバイスの前記アクセス可能な機能を表示する情報、これら機能のうちの各1つに関連する累積されたアクセス特権を表示する情報、および前記選択されたアクセスアイデンティティの識別を可能にする情報を、コンピュータネットワークを介して、クライアントコンピュータに送り、前記表示を実行するステップを更に含む、請求項1〜2のうちのいずれか1項に記載の方法。
- 前記選択されたアクセスアイデンティティの識別を可能にする情報は、前記選択されたアクセスアイデンティティの識別子を含むリストである、請求項3に記載の方法。
- 前記選択されたアクセスアイデンティティの識別を可能にする情報は、前記選択されたアクセスアイデンティティの識別子を含むリストのロケーションを識別する識別子である、請求項3に記載の方法。
- 前記ネットワーク化されたデバイスのうちの各1つの前記アクセス可能な機能の各1つを表示する情報、これら機能の各々に関連する累積されたアクセス特権、および前記選択されたアクセスアイデンティティの識別を可能にする情報を、前記コンピュータネットワークを介して戻すステップを更に備え、前記ネットワーク化されたデバイスの少なくとも1つの機能に関連する、前記累積されたアクセス特権は、前記コンピュータネットワークを介して以前送られた対応する情報に関連して既に変更されている、請求項3〜5のうちのいずれか1項に記載の方法。
- 前記コンピュータネットワークを介して以前送られた対応する情報に関連して、特定機能に対する前記累積されたアクセス特権が既に変更されていることを示すよう、前記累積されたアクセス特権が変更されているネットワーク化されたデバイスの前記少なくとも1つの機能にタグを付ける、請求項6に記載の方法。
- 特定のネットワークデバイスにおける特定の機能への累積されたアクセス特権の変更を表示する前記ステップは、前記選択されたアクセスアイデンティティによって識別されたすべてのユーザーが前記特定の機能へアクセスすることを認めるか、または前記選択されたユーザーのどれも前記特定の機能へアクセスすることを認めないよう、特定のネットワークデバイスの特定の機能のアクセス特権を変更することしか可能にしない、請求項1〜7のうちのいずれか1項に記載の方法。
- 複数のアクセスアイデンティティを選択する前記ステップは、前記システムを使用するように登録されたアクセスアイデンティティから複数のアクセスアイデンティティを選択することを含む、請求項1〜8のうちのいずれか1項に記載の方法。
- アクセスアイデンティティを選択する前記ステップは、個々のユーザーを選択することを含む、請求項1〜9のうちのいずれか1項に記載の方法。
- アクセスアイデンティティを選択する前記ステップは、ユーザーグループを選択することを含む、請求項1〜10のうちのいずれか1項に記載の方法。
- ネットワーク化されたデバイスのシステム内でアクセス特権を取り扱うためのサーバーであって、
クライアントから選択されたアクセスアイデンティティの表示を受信するようになっているアクセスアイデンティティを選択することを管理するための手段と、
ネットワーク化されたデバイスに関連するアクセス可能な機能に対する、個々に選択されたアクセスアイデンティティのアクセス特権の情報を検索すると共に、前記ネットワーク化されたデバイスの前記機能に対する前記選択されたアクセスアイデンティティに鑑み、累積されたアクセス特権を含むメッセージを発生するようになっているアクセス特権マネージャーと、
前記ネットワーク化されたデバイスの前記アクセス可能な機能のうちの各1つに対するアクセス特権を有する選択されたアクセスアイデンティティの数をカウントすることにより、前記検索された情報から、前記ネットワーク化されたデバイスの前記アクセス可能な機能に対する前記選択されたアクセスアイデンティティの前記アクセス特権を累積するようになっているアクセス特権アキュムレータと、
前記ネットワーク化されたデバイスの前記機能の前記アクセス特権を変更すべきことを表示するインジケータを含む、受信されたメッセージに従い、前記選択されたアクセスアイデンティティに対する前記ネットワーク化されたデバイスのアクセス可能な機能のアクセス特権を作成するようになっている、アクセス特権コンフィギュレータとを備えるサーバー。 - 前記アクセス特権アキュムレータは、更に、
選択されたすべてのアクセスアイデンティティが、特定の機能にアクセスすることを認めることを前記カウントが示す場合、選択されたすべてのアクセスアイデンティティが前記特定の機能にアクセスすることを認めることを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定し、
選択されたアクセスアイデンティティのどれも、特定の機能にアクセスすることを認めないことを前記カウントが示す場合、選択されたアクセスアイデンティティのどれも、前記特定の機能にアクセスすることを認めないことを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定し、
選択されたアクセスアイデンティティのうちの一部が、特定の機能にアクセスすることを認めることを前記カウントが示す場合、選択されたアクセスアイデンティティの一部が前記特定の機能にアクセスすることを認めることを示す値となるように、ネットワーク化されたデバイスの特定の機能のための前記累積されたアクセス特権を設定するようになっている、請求項12に記載のサーバー。 - 前記アクセス特権マネージャーは、前記ネットワーク化されたデバイスの前記アクセス可能な機能を表示する情報、これら機能のうちの各1つに関連する累積されたアクセス特権を表示する情報、および前記選択されたアクセスアイデンティティの識別を可能にする情報を、前記発生されたメッセージ内に含むようになっている、請求項12または13のうちのいずれか1項に記載のサーバー。
- 前記システムは、モニタシステムである、請求項12〜14のうちのいずれか1項に記載のサーバー。
- 前記アクセスアイデンティティは、ユーザーアイデンティティを含む、請求項12〜15のうちのいずれか1項に記載のサーバー。
- 前記アクセスアイデンティティは、ユーザーグループアイデンティティを含む、請求項12〜16のうちのいずれか1項に記載のサーバー。
- システムのネットワーク化されたデバイスの機能に対するアクセス特権を変更するためのクライアントであって、前記クライアントは、
ディスプレイと、
入力手段と、
アクセスサーバーにアクセスし、システムまたはネットワークのユーザーのアクセスアイデンティティの情報を提供することを前記アクセスサーバーにリクエストするようになっている、アクセスアイデンティティを選択するための手段とを備え、前記選択手段は、前記ディスプレイに前記アクセスアイデンティティを表示すると共に、前記入力手段により前記クライアントのユーザーがアクセスアイデンティティを選択することを可能にするようになっており、
更に、ネットワーク化されたデバイスのアクセス可能な機能に対する前記選択されたアクセスアイデンティティに対するアクセス特権を変更するための手段を備え、前記アクセス特権を変更するための手段は、前記ディスプレイ上に前記ネットワーク化されたデバイスの前記アクセス可能な機能に関する累積されたアクセス特権を示し、前記クライアントのユーザーが、表示された機能に対する累積されたアクセス特権を選択し、変更できるようにすると共に、前記累積され、変更されたアクセス特権の情報を含むメッセージを生成するようになっており、
前記累積されたアクセス特権は、前記ネットワーク化されたそれぞれのデバイスの各々の機能に対するアクセスを有するとして登録されている、選択されたアクセスアイデンティティがいくつあるかに係るエントリを含む、アクセス特権を変更するためのクライアント。 - 前記アクセス特権を変更するための手段は、ネットワークインターフェースを介してメッセージを受信するようになっており、前記メッセージは、前記ネットワーク化されたデバイスのアクセス可能な機能を表示する情報、これら機能の各々に関連する前記累積されたアクセス特権を表示する情報、および前記選択されたアクセスアイデンティティの識別を可能にする情報を含む、請求項18に記載のクライアント。
- 前記生成されたメッセージは、前記ネットワーク化されたデバイスのアクセス可能な機能を表示する情報と、これら機能の各々に関連する、前記累積されたアクセス特権を表示する情報と、既に変更された累積された各アクセス特権を示すインジケータと、前記選択されたアクセスアイデンティティの識別を可能にする情報とを含む、請求項18〜19のうちのいずれか1項に記載のクライアント。
- 前記選択されたアクセスアイデンティティの識別を可能にする情報は、前記選択されたアクセスアイデンティティの識別子を含むリストである、請求項19または20のうちのいずれか1項に記載のクライアント。
- 前記選択されたアクセスアイデンティティの識別を可能にする情報は、前記選択されたアクセスアイデンティティの識別子を含むリストのロケーションを識別する識別子である、請求項19または20のうちのいずれか1項に記載のクライアント。
- 前記ネットワーク化されたそれぞれのデバイスの各々の機能に対するアクセスを有するとして登録されている、選択されたアクセスアイデンティティがいくつあるかに係る各エントリは、
ネットワークデバイスの特定の機能にアクセスを有するとして、全てのアクセスアイデンティティが登録されているか、
ネットワークデバイスの特定の機能にアクセスを有するとして登録されているアクセスアイデンティティが全くないか、
いくつかのアクセスアイデンティティが、ネットワークデバイスの特定の機能にアクセスを有するとして登録されているか
のいずれかを示す、請求項18〜22のうちのいずれか1項に記載のクライアント。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08150277A EP2081354B1 (en) | 2008-01-15 | 2008-01-15 | Method and devices for handling access privileges |
| EP08150277.5 | 2008-01-15 | ||
| US2192708P | 2008-01-18 | 2008-01-18 | |
| US61/021,927 | 2008-01-18 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009169954A JP2009169954A (ja) | 2009-07-30 |
| JP4929294B2 true JP4929294B2 (ja) | 2012-05-09 |
Family
ID=39591502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009005281A Active JP4929294B2 (ja) | 2008-01-15 | 2009-01-14 | アクセス特権を取り扱うための方法およびデバイス |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8713643B2 (ja) |
| EP (1) | EP2081354B1 (ja) |
| JP (1) | JP4929294B2 (ja) |
| KR (1) | KR101235408B1 (ja) |
| CN (1) | CN101488955B (ja) |
| AT (1) | ATE521182T1 (ja) |
| ES (1) | ES2370558T3 (ja) |
| TW (1) | TWI461924B (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140223348A1 (en) * | 2013-01-10 | 2014-08-07 | Tyco Safety Products Canada, Ltd. | Security system and method with information display in flip window |
| CN103036912A (zh) * | 2013-01-14 | 2013-04-10 | 深圳市瑞彩电子技术有限公司 | 基于HTTP的IP Camera访问方法、服务及系统 |
| US9276958B2 (en) * | 2013-02-04 | 2016-03-01 | Ricoh Company, Ltd. | Customizing security role in device management system, apparatus and method |
| CN105446906A (zh) * | 2014-09-12 | 2016-03-30 | 海能达通信股份有限公司 | 权限数据动态配置系统、方法及终端设备 |
| FR3031272A1 (fr) * | 2014-12-24 | 2016-07-01 | Orange | Procede d'obtention de droits mis en oeuvre par un objet communicant |
| CN105490855B (zh) * | 2015-12-11 | 2019-07-26 | 北京元心科技有限公司 | 移动终端及其配置方法 |
| WO2023177399A1 (en) * | 2022-03-17 | 2023-09-21 | Rakuten Symphony Singapore Pte. Ltd | Privileged access request system |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08237532A (ja) * | 1995-02-27 | 1996-09-13 | Canon Inc | カメラの遠隔制御システム |
| US7079177B2 (en) * | 1995-02-27 | 2006-07-18 | Canon Kabushiki Kaisha | Remote control system and access control method for information input apparatus with limitation by user for image access and camemremote control |
| US6208379B1 (en) | 1996-02-20 | 2001-03-27 | Canon Kabushiki Kaisha | Camera display control and monitoring system |
| JPH1042278A (ja) | 1996-07-22 | 1998-02-13 | Canon Inc | 映像入力システム及び映像入力制御装置及びその方法 |
| JP3634528B2 (ja) | 1996-11-29 | 2005-03-30 | キヤノン株式会社 | カメラサーバ及びカメラクライアント及び制御方法及びシステム及び記憶媒体 |
| US6449643B1 (en) | 1998-05-14 | 2002-09-10 | Nortel Networks Limited | Access control with just-in-time resource discovery |
| EP1260906A1 (en) * | 2000-04-24 | 2002-11-27 | Matsushita Electric Industrial Co., Ltd | Access right setting device and manager terminal |
| US20030093430A1 (en) | 2000-07-26 | 2003-05-15 | Mottur Peter A. | Methods and systems to control access to network devices |
| US20040059704A1 (en) * | 2002-09-20 | 2004-03-25 | International Business Machines Corporation | Self-managing computing system |
| US7636853B2 (en) * | 2003-01-30 | 2009-12-22 | Microsoft Corporation | Authentication surety and decay system and method |
| US20040167989A1 (en) * | 2003-02-25 | 2004-08-26 | Jeff Kline | Method and system for creating and managing a website |
| CN1998013A (zh) * | 2003-06-09 | 2007-07-11 | 格林莱恩系统公司 | 用于风险检测、汇报和基础设施的系统和方法 |
| US20050097353A1 (en) * | 2003-10-10 | 2005-05-05 | Bea Systems, Inc. | Policy analysis tool |
| TWI268082B (en) * | 2004-10-01 | 2006-12-01 | Grand Advance Corp | Identification system and method for web camera |
| US20060130150A1 (en) * | 2004-12-09 | 2006-06-15 | Garza-Gonzalez Daniel C | Context-sensitive authorization |
| US7761905B2 (en) * | 2004-12-17 | 2010-07-20 | International Business Machines Corporation | Method and system for assigning access rights in a computer system |
| US7617530B2 (en) * | 2005-04-22 | 2009-11-10 | Microsoft Corporation | Rights elevator |
| US20060259980A1 (en) * | 2005-05-16 | 2006-11-16 | Microsoft Corporation | Method and system for limiting rights of services |
| WO2007069207A2 (en) * | 2005-12-16 | 2007-06-21 | Koninklijke Philips Electronics N.V. | Access control in a network |
| US7706397B2 (en) * | 2006-03-31 | 2010-04-27 | Intel Corporation | Apparatus and method of controlling transmission in reverse direction |
| KR100750827B1 (ko) * | 2006-04-19 | 2007-08-23 | (주)아이디스 | 사용자별 권한 설정이 가능한 디지털 비디오 레코더 |
| US20080072292A1 (en) * | 2006-09-01 | 2008-03-20 | Narjala Ranjit S | Secure device introduction with capabilities assessment |
| US20080083040A1 (en) * | 2006-09-29 | 2008-04-03 | Microsoft Corporation | Aggregated resource license |
-
2008
- 2008-01-15 EP EP08150277A patent/EP2081354B1/en active Active
- 2008-01-15 ES ES08150277T patent/ES2370558T3/es active Active
- 2008-01-15 AT AT08150277T patent/ATE521182T1/de not_active IP Right Cessation
- 2008-12-30 TW TW097151492A patent/TWI461924B/zh active
-
2009
- 2009-01-09 CN CN200910000290.9A patent/CN101488955B/zh active Active
- 2009-01-13 US US12/353,036 patent/US8713643B2/en active Active
- 2009-01-14 KR KR1020090002865A patent/KR101235408B1/ko active IP Right Grant
- 2009-01-14 JP JP2009005281A patent/JP4929294B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2081354A1 (en) | 2009-07-22 |
| KR101235408B1 (ko) | 2013-02-20 |
| ATE521182T1 (de) | 2011-09-15 |
| CN101488955B (zh) | 2014-01-01 |
| EP2081354B1 (en) | 2011-08-17 |
| KR20090078751A (ko) | 2009-07-20 |
| TW200943076A (en) | 2009-10-16 |
| TWI461924B (zh) | 2014-11-21 |
| JP2009169954A (ja) | 2009-07-30 |
| ES2370558T3 (es) | 2011-12-20 |
| US8713643B2 (en) | 2014-04-29 |
| US20090183238A1 (en) | 2009-07-16 |
| CN101488955A (zh) | 2009-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4929294B2 (ja) | アクセス特権を取り扱うための方法およびデバイス | |
| KR101120704B1 (ko) | 정보 피커 | |
| US20090037520A1 (en) | System and method for secure file transfer | |
| US20120072848A1 (en) | System and method for social collection | |
| JP2001243413A (ja) | 名刺管理システム、方法、そのサーバ装置及びクライアント装置、携帯端末装置、並びに記録媒体 | |
| JP2004501462A (ja) | スマート電子機器のトークンに基づくパーソナル化 | |
| EP2120458A1 (en) | Monitoring unit control system | |
| US20090295925A1 (en) | Network camera management system and network camera management method | |
| US20060015410A1 (en) | Information registering method, information managing apparatus and advertisement displaying system | |
| EP2154819A1 (en) | Content sharing method, server and system | |
| EP4124940A1 (en) | Digital photo frame, a system thereof, and a method thereof | |
| JP2001111704A (ja) | ビル群管理システム | |
| JPH0997156A (ja) | ネットワーク環境下でのメニュー情報作成装置 | |
| JP4642725B2 (ja) | 判定装置、判定方法およびプログラム | |
| EP0661626A2 (en) | Method and system for launching application programs on an application server system | |
| EP1814042A1 (en) | Apparatus and method of searching hierarchical directory structure for desired address information using user entered keyword | |
| US20230044090A1 (en) | Digital photo frame, a system thereof, and a method thereof | |
| US20230112437A1 (en) | System and Method for Secure Data Exchange and Management | |
| JPH1011256A (ja) | ネットワーク管理システム | |
| JPH10187605A (ja) | 情報提供システム | |
| JP2006146537A (ja) | 仮想オフィス空間提供プログラム、仮想オフィス空間提供装置、仮想オフィス空間提供方法、仮想オフィス空間提供システム、及び仮想オフィス空間提供プログラムを記憶する記憶媒体 | |
| JP2024060071A (ja) | デバイス管理装置の制御方法及びプログラム | |
| JP2006154994A (ja) | データ設定装置およびデータ設定方法 | |
| KR100329222B1 (ko) | 비디오신호 저장시스템 및 그 제어방법 | |
| JP2002288416A (ja) | 資産管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110805 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111014 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111101 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111228 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120120 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120213 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150217 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4929294 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |