JP5702900B1 - ビルオートメーション及び制御システムのアクセス判定評価のためのシステム及び方法 - Google Patents
ビルオートメーション及び制御システムのアクセス判定評価のためのシステム及び方法 Download PDFInfo
- Publication number
- JP5702900B1 JP5702900B1 JP2014559323A JP2014559323A JP5702900B1 JP 5702900 B1 JP5702900 B1 JP 5702900B1 JP 2014559323 A JP2014559323 A JP 2014559323A JP 2014559323 A JP2014559323 A JP 2014559323A JP 5702900 B1 JP5702900 B1 JP 5702900B1
- Authority
- JP
- Japan
- Prior art keywords
- access
- policy
- central
- evaluation
- accessed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 119
- 238000000034 method Methods 0.000 title claims description 40
- 238000009795 derivation Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 description 22
- 238000013459 approach Methods 0.000 description 12
- 238000009423 ventilation Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000013475 authorization Methods 0.000 description 4
- 230000007613 environmental effect Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000004378 air conditioning Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000003306 harvesting Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- QVGXLLKOCUKJST-UHFFFAOYSA-N atomic oxygen Chemical compound [O] QVGXLLKOCUKJST-UHFFFAOYSA-N 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 229910052760 oxygen Inorganic materials 0.000 description 1
- 239000001301 oxygen Substances 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B15/00—Systems controlled by a computer
- G05B15/02—Systems controlled by a computer electric
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2816—Controlling appliance services of a home automation network by calling their functionalities
- H04L12/282—Controlling appliance services of a home automation network by calling their functionalities based on user interaction within the home
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2642—Domotique, domestic, home control, automation, smart house
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本発明は、ビルオートメーション及び制御システムにおけるアクセス判定評価方法に関し、この方法は、アクセス側装置10から被アクセス装置20にアクセス要求を送るステップと、被アクセス装置20から中央判定評価機器30に、そのアクセス要求が許可されるか拒否されるかを尋ねる評価要求を送るステップと、アクセス要求が許可されるか拒否されるかの判定を下すために、1つ又は複数の中央アクセス制御ポリシを使用してその評価要求を中央判定評価機器30において評価するステップと、中央判定評価機器30において、評価に使用された1つ又は複数の中央アクセス制御ポリシを装置固有のアクセスポリシ内に導出するステップと、中央判定評価機器30から被アクセス装置20に判定及び装置固有のアクセスポリシを送るステップと、被アクセス装置20においてその装置固有のアクセスポリシを記憶するステップとを含む。
Description
本発明は、ビルオートメーション及び制御システムにおけるアクセス判定評価方法に関する。本発明は更に、ビル制御システムにおけるアクセス判定評価システム、アクセス判定評価システムにおける中央判定評価機器、及びアクセス判定評価システムにおける被アクセス装置に関する。
HVAC(暖房・換気及び空調)、安全、アクセス、照明システム等、ビル内の様々なインテリジェントシステムの監視及び制御を可能にするために、ビルオートメーション及び制御システム(BACS:Building Automation and Control System)が商業ビル内に導入されている。BACSは、ビル内のエネルギ、安全、及び利用者ニーズに基づき、様々なシステムの統合制御を行う。この制御は、(実時間ステータスを提供する)インテリジェントセンサ網に接続される様々なコントローラ及び(実時間制御を行う)アクチュエータを使用して実現される。利用者はディスプレイからステータスを読み、スイッチを使用して自身の好みに応じて設定を変えることができる。BACSは、ビルネットワークに付加されるスーパーバイザから構成及び管理され、スーパーバイザは様々な状況下でのシステムの挙動を正確に定めることを可能にする。更に、BACSは、バックエンド管理サーバから、又はウェブブラウザ等のリモートインターフェイスによって動作中に制御され得る。
従来より、BACS内の様々なシステムは、システムの運営及び保守の責任を負う異なる従業員の手元で独立していた。しかし、ビル制御ネットワークにおける無線メッシュオープンスタンダード(ZigBee、Bluetooth(登録商標)、NFS等)及びIPベース通信の出現により、様々なシステム間の垣根が大幅に除去され、このことはより密に統合されたシステムを作り出す。その結果、新たな機能性をもたらす機能レベルでの統合がはるかに簡単になった。しかし、これは様々なシステムのセキュリティ及びアクセスが、その運営及び保守オーナーに保証され得ることを必要とする。
BACS分野の現在の流行は、十分な情報セキュリティの需要を考慮に入れながら、BACSを設計するために不十分な作業が行われていることを明らかにする。現在、BACSのセキュリティは、不正アクセスを防ぐためにシステムを互いに物理的に隔離することによって機能する。しかし、統合され、オープンスタンダードに基づくBACSでは、このことは様々なインテリジェントビルシステムによって提供され、消費される全てのサービスに対する(認証及び承認を含む)アクセス制御について新たな要件を生じさせる。
セキュリティ攻撃が不所望の結果を引き起こす可能性がある場合、BACS内の適切な情報フローが懸念事項になる。これらの不所望の結果は、単純なプライバシの侵害(例えば特定の事務室の動向にスパイ行為を働くこと)から命を脅かす状況(例えば障害が起きた換気システム)まで多岐にわたる。
アクセス制御メカニズムは良く研究され、コンピュータネットワークに適用されている。しかし、かかるアクセス制御メカニズムは、様々な制約、例えば利用者が感知する動作遅延(例えば照明を動作させるときのスイッチによる)、メモリ及び計算的に制限された装置、システム内にある潜在的に多数の装置、共用される低スループットの通信リンク、起こり得る緊急状況(火災等)により、BACSに直接適用することができない。
このことは、BACS向けのアクセス制御システムが以下の要件を有することを必要とし、その要件とはつまり、低レイテンシ動作(利用者が感知する動作遅延を最小限にするため)、資源効率の良い実装形態(メモリ及び計算量的に制限された装置のため)、スケーラブルな設計(多数の装置のため)、通信効率が良いこと(共用される低スループットの通信リンクのため)、及び耐故障性(起こり得る緊急状況のため)である。
BACSが一例である分散型システムの承認の分野における研究の現状は、アクセス制御システムに関する集中型の手法と分散型の手法とに分けられ得る。集中型の手法及び分散型の手法が以下で簡潔に解説され、集中型の手法及び分散型の手法についてのより詳細な解説は、更に以下の詳細な説明を参照されたい。
集中型の手法では、中央判定ポイントがネットワーク内の別個のエンティティである。2つの装置間のアクセス制御要求ごとに、コンテキスト情報に基づき、この中央判定ポイントによって判定が行われなければならない。ここでは、コンテキストは、位置、時間、状況(緊急、通常等)、室内の人数、環境の状況(温度、換気水準等)、及び特定のアクセス制御判定を行うことに関係する他の情報を含意する。集中型の手法は、ネットワークに追加可能な装置の数についてスケーラビリティをもたらすが、特に単純なアクセス要求に関し、低スループットリンク上の通信オーバヘッドにより効率を著しく妨げる。
分散型の手法では、ポリシの評価及び記憶が、分散型の手法を使用するシステム内に存在しない集中型判定ポイントの関与なしに様々な装置内でローカルに行われる。分散型の手法は、通信オーバヘッド及びレイテンシを減らす。しかし、この種の承認の問題点は、異なるコンテキストの下で必要とされる様々なアクセス制御ポリシを複製する必要があるのでスケーラブルではないことである。現在、BACS内で使用されるセンサやアクチュエータ等の装置は、ネットワーク内の全ての関連装置及びユーザの規則を記憶するのに十分なメモリ資源を有さない。
本発明の目的は、上記の問題点を集中型の手法及び分散型の手法のそれぞれを用いて克服することである。
本明細書では、アクセス制御システムに関する以下の用語が使用される。
認証:多くの場合、情報システム内の資源へのアクセスを許可する前提条件として、利用者、プロセス、又は装置の同一性を検証すること。
承認:利用者、プログラム、又はプロセスに付与されるアクセス特権、又はそれらの特権を付与する行為。
アクセス:システム資源を使用して情報を処理し、システムが含む情報の知識を取得し、又はシステムの構成要素及び機能を制御するために、システムと通信し又は他の方法で対話する能力及び手段。
アクセス制御:情報を取得し、関連する情報処理サービスを使用するための特定のアクセス要求を許可し又は拒否するプロセス。
アクセス制御システム:情報システムへの不正アクセスを検出及び拒否し、許可されたアクセスを認めるように設計されたセキュリティセーフガード(即ちハードウェア及びソフトウェアの機能、物理的制御、操作手順、管理手順、並びにこれらの様々な組合せ)。
アクセス制御ポリシ(本明細書ではポリシとも呼ばれる):資源へのアクセスを与えるための1組の基準。
コンテキスト源とは、コンテキスト情報、例えば位置、時間、状況(緊急、通常等)、室内の人数、環境の状況(温度、換気水準等)、及び特定のアクセス制御判定を行うことに関係する他の情報を与えるように構成される情報源である。コンテキスト源の幾つかの非限定的な例は、カレンダサービス、人数計数器、温度計、光強度測定装置、酸素濃度測定装置、風量計、圧力センサ、及び湿度センサである。
アクセス側装置とは、ビルオートメーション及び制御システムにおける装置の機能を制御するために、ビルオートメーション及び制御システム内の或る装置にアクセスするように構成される装置である。アクセス側装置は、例えば携帯型計算装置(例えばスマートフォン、PDA、又はタブレットコンピュータ)、RFIDチップを含む装置、スイッチ、運動センサ、(或るシーンを作り出すために他の点灯装置を制御する)点灯装置等とすることができる。
被アクセス装置とは、アクセス側装置によってアクセスされる、又はアクセス可能な装置である。被アクセス装置は、ビルオートメーション及び制御システムの機能を実行するビルオートメーション及び制御システム内の装置である。被アクセス装置の幾つかの非限定的な例は、照明装置、空調、ブラインド、電子ロック、及び加湿器である。
本発明の第1の態様によれば、上記の目的が、ビルオートメーション及び制御システムにおけるアクセス判定評価方法によって実現される。この方法は、アクセス側装置から被アクセス装置にアクセス要求を送るステップと、被アクセス装置から中央判定評価機器に、そのアクセス要求が許可されるか拒否されるかを尋ねる評価要求を送るステップと、アクセス要求が許可されるか拒否されるかの判定を下すために、1つ又は複数の中央アクセス制御ポリシを使用してその評価要求を中央判定評価機器において評価するステップと、中央判定評価機器において、評価に使用された1つ又は複数の中央アクセス制御ポリシから装置固有のアクセスポリシを導出するステップと、中央判定評価機器から被アクセス装置に判定及び装置固有のアクセスポリシを送るステップと、被アクセス装置においてその装置固有のアクセスポリシを記憶するステップとを含む。
この方法によれば、BACSのためのスケーラブルな、即ちネットワークに追加可能な装置の数の点でスケーラブルなアクセス制御システムが提供される。更に、要求を受けてアクセス制御ポリシを被アクセス装置に導入できるようにすることにより、アクセス側装置が被アクセス装置への後続のアクセス要求で被アクセス装置の資源にアクセスしたいとき、通信オーバヘッド及びレイテンシが最小限にされる。
この方法は、アクセス側装置から被アクセス装置に後続のアクセス要求を送り、後続のアクセス要求が被アクセス装置内に記憶される装置固有のアクセスポリシとマッチするかどうかを被アクセス装置において評価し、マッチする場合、装置固有のアクセスポリシに基づき、後続のアクセス要求が許可されるか拒否されるかを被アクセス装置において判定するステップを更に含み得る。
装置固有のアクセスポリシを導出するステップは、様々なコンテキストの下、アクセス側装置からの後続のアクセス要求を被アクセス装置が評価できるようにするための変数としてコンテキスト属性を持つ装置固有のアクセスポリシを導出するステップを更に含み得る。このことは、コンテキストが変わったときの新たなアクセス要求に対する判定に関し、中央判定評価機器との通信を最小限にする。
後続のアクセス要求が許可されるか拒否されるかを判定するステップは、コンテキスト源からのコンテキスト情報を要求するステップを更に含み得る。
この方法は、装置固有のアクセスポリシを中央判定評価機器において符号化するステップを更に含み得る。装置固有のアクセスポリシを符号化することにより、そのサイズを小さくすることができ、その結果ビルオートメーション及び制御システム内で伝送されるデータの量が減らされ、被アクセス装置上に記憶される必要があるポリシデータの量も減らす。
装置固有のアクセスポリシは、被アクセス装置のローカルメモリ内に記憶されても良く、ローカルメモリは一定量の装置固有のアクセスポリシしか記憶できないサイズ制限ローカルメモリである。
ローカルメモリ内に記憶される装置固有のアクセスポリシは優先順位付けされても良く、装置固有のアクセスポリシは、被アクセス装置によってローカルに又は中央判定評価機器によって中央で優先順位付けされる。装置固有のアクセスポリシを優先順位付けすることにより、被アクセス装置のメモリが限られていても、最も重要な装置固有のアクセスポリシが依然として被アクセス装置上に記憶されることが保証され得る。更に、最も重要な装置固有のアクセスポリシが高い優先順位を有する場合、かかるアクセスポリシが被アクセス装置上で直ぐ見つかることも保証され得る。
被アクセス装置において記憶される装置固有のアクセスポリシは、中央判定評価機器における1つ又は複数の中央アクセス制御ポリシと同期することによって更新されても良く、装置固有のアクセスポリシの更新は、中央判定評価機器での導出中に装置固有のアクセスポリシに加えられる追加の属性によって制御される。従って、装置固有のアクセスポリシが中央判定評価ポイントにおける現在のアクセス制御ポリシを表すことを保証することができ、これは中央アクセス制御ポリシが中央判定評価機器において時間と共に変化し得るからである。従って、装置固有のアクセスポリシを中央アクセス制御ポリシと同期させることにより、装置固有のアクセスポリシが現在の中央アクセスポリシを反映するように更新される。
この方法は、アクセス側装置と被アクセス装置との間に、及び被アクセス装置と中央判定評価機器との間に認証済みチャネルを作り出すステップを更に含むことができる。ビルオートメーション及び制御システム内の装置間の通信を認証することにより、不正アクセスが回避されることが確実にされる。従って、ビルオートメーション及び制御システムの要素であることが意図される装置だけが互いにアクセスすることができる。
本発明の第2の態様によれば、上記の目的が、ビル制御システムにおけるアクセス判定評価システムによって実現される。アクセス判定評価システムは、アクセス側装置と、1つ又は複数の装置固有のアクセスポリシを記憶するローカルメモリ、マッチングポイント、及びポリシ判定ポイントを含む被アクセス装置と、1つ又は複数の中央アクセス制御ポリシのデータベース、アクセスポリシ判定ポイント、及びアクセスポリシ導出部を含む中央判定評価機器とを含み、アクセス側装置は被アクセス装置にアクセス要求を送るように構成され、被アクセス装置のマッチングポイントは、アクセス要求を評価し、アクセス要求がローカルメモリ内に記憶される装置固有のアクセスポリシにマッチするかどうかを確かめるように構成され、マッチする場合、マッチした装置固有のアクセスポリシに基づきアクセス要求が許可されるか拒否されるかを判定するように被アクセス装置のポリシ判定ポイントが構成され、マッチしない場合、アクセス要求が許可されるか拒否されるかを尋ねる評価要求を中央判定評価機器に送るように被アクセス装置が構成され、中央判定評価機器のアクセスポリシ判定ポイントは、アクセス要求が許可されるか拒否されるかの判定を下すために、1つ又は複数の中央アクセス制御ポリシを用いて評価要求を評価するように構成され、中央判定評価機器のアクセスポリシ導出部は、評価に使用された1つ又は複数の中央アクセス制御ポリシから導出済みの装置固有のアクセスポリシを導出するように構成され、中央判定評価機器は、判定及び導出された装置固有のアクセスポリシを被アクセス装置に送るように構成される。
アクセスポリシ導出部は、様々なコンテキストの下、アクセス側装置からの後続のアクセス要求を被アクセス装置が評価できるようにするための変数としてコンテキスト属性を持つ装置固有のアクセスポリシを導出するように更に構成されても良く、被アクセス装置のポリシ判定ポイントは、アクセス判定評価システム内に含まれるコンテキスト源からのコンテキスト情報を要求することにより、後続のアクセス要求が許可されるか拒否されるかを判定するように構成される。
本発明の第3の態様によれば、上記の目的が、アクセス側装置、被アクセス装置、及び中央判定評価機器を含むアクセス判定評価システムにおける中央判定評価機器によって実現される。中央判定評価機器は、1つ又は複数の中央アクセス制御ポリシのデータベースと、アクセス側装置から被アクセス装置に送られるアクセス要求が許可されるか拒否されるかの判定を下すために、データベース内に記憶される1つ又は複数の中央アクセス制御ポリシを用いて被アクセス装置からの評価要求を評価するように構成されるアクセスポリシ判定ポイントと、評価に使用された1つ又は複数の中央アクセス制御ポリシから装置固有のアクセスポリシを導出するように構成されるアクセスポリシ導出部とを含み、中央判定評価機器は判定及び装置固有のアクセスポリシを被アクセス装置に送るように構成される。
アクセスポリシ導出部は、様々なコンテキストの下、アクセス側装置からの後続のアクセス要求を被アクセス装置が評価できるようにするための変数としてコンテキスト属性を持つ装置固有のアクセスポリシを導出するように更に構成され得る。
本発明の第4の態様によれば、上記の目的が、アクセス側装置、被アクセス装置、及び中央判定評価機器を含むアクセス判定評価システムにおける被アクセス装置によって実現される。被アクセス装置は、1つ又は複数の装置固有のアクセスポリシを記憶するローカルメモリ、マッチングポイント、及びポリシ判定ポイントを含み、マッチングポイントはアクセス側装置からのアクセス要求を評価し、アクセス要求がローカルメモリ内に記憶される装置固有のアクセスポリシにマッチするかどうかを確かめるように構成され、マッチする場合、マッチした装置固有のアクセスポリシに基づきアクセス要求が許可されるか拒否されるかを判定するようにポリシ判定ポイントが構成され、マッチしない場合、アクセス要求が許可されるか拒否されるかを尋ねる評価要求を中央判定評価機器に送るように被アクセス装置が構成される。
ローカルメモリは、一定量の装置固有のアクセスポリシしか記憶できないサイズ制限ローカルメモリであり得る。
本発明は、特許請求の範囲の中で列挙される特徴の全ての可能な組合せに関することを指摘しておく。
次に、本発明の実施形態を示す添付図面を参照して、本発明のこの態様及び他の態様がより詳細に説明される。
図1及び図2を参照して、上述の分散型の手法が説明される。アクセス側装置10は、被アクセス装置20を発見でき、従って被アクセス装置20のアドレス及びサービスを知ると仮定される。認証は、アクセス制御手続きにおける最初のステップ、ステップ70である。アクセス側装置10及び被アクセス装置20は限られた資源を有するので、難読化のために対称鍵暗号化及び/又は効率的なハッシュ関数が使用されると仮定する。当業者によって知られる幾つかの方法の1つを使用し、相互認証が行われる。相互認証が確立されると、アクセス側装置10が、被アクセス装置20にアクセス要求を送ることにより(ステップ72)、被アクセス装置20によって提供される幾つかのサービスにアクセスしようと試みる。その後、被アクセス装置20が、被アクセス装置20内に記憶されるアクセス制御ポリシAPを用いてアクセス要求を評価し、アクセス側装置10が自らが要求する動作を行うことを許可されるかどうかを判定する。従って、ポリシ判定ポイントDPは被アクセス装置20自体の中にある。判定の後に実施が続く。判定結果がアクセス側装置10に送り返される(ステップ74)。ポリシ判定ポイントDPは、ポリシ実施ポイントEPを使用して実施を行いたい同一装置内にあるので、実施はむしろ取るに足りないことである。ポリシ判定ポイントDPとして装置を実行するプロセスは、ポリシ実施ポイントEPを使用してサービスプロバイダとして実行されるプロセスにアクセス判定を知らせる。
装置を監視し管理するために、同じ方式が繰り返される。装置は、ドメインモニタ、オートメータ、メインテナ等のための適切なアクセス制御規則を含む。ドメインモニタ、オートメータ、又はメインテナが装置上で何らかの動作を実行したい場合、判定及び実施のための上記の方式が適用される。
図3及び図4に示されている集中型の手法では、中央判定評価機器30がネットワーク内の別個のエンティティである。アクセス側装置10と被アクセス装置20との間のアクセス要求ごとに、コンテキスト源40によって提供されるコンテキスト情報に基づき、中央判定評価機器30によって判定が行われなければならない。ここでは、コンテキストは、位置、時間、状況(緊急、通常等)、室内の人数、環境の状況(温度、換気水準等)、及び特定のアクセス制御判定を行うことに関係する他の情報を含意する。これによれば、アクセス側装置10が被アクセス装置20と通信したいとき、アクセス側装置10及び被アクセス装置20内に鍵が依然としてあるので、認証段階は分散型の手法における認証段階と同じになる。アクセス側装置10と被アクセス装置20との間の相互認証後、被アクセス装置20と中央判定評価機器30との間でも相互認証が必要である。アクセス側装置10と被アクセス装置20との間の相互認証、及び被アクセス装置20と中央判定評価機器30との間の相互認証が、図4のステップ80として示されている。相互認証が確立されると、アクセス側装置10が、被アクセス装置20にアクセス要求を送ることにより(ステップ82)、被アクセス装置20によって提供される幾つかのサービスにアクセスしようと試みる。次いで被アクセス装置20が、評価要求を中央判定装置30に送る(ステップ84)。中央判定評価機器30は、アクセス側装置10からのアクセス要求が許可されるか拒否されるかの判定を下すために、中央判定評価機器30内に記憶されるアクセス制御ポリシAPを用いて評価要求を評価する。従って、集中型の手法によれば、ポリシ判定ポイントDPが中央判定評価機器30内で中央に位置する。被アクセス装置20に判定が送られ(ステップ86)、分散型の手法と同じ方法で実施が行われ、判定結果がアクセス側装置10に送り返される(ステップ88)。
上記の方式の単純な修正形態も可能である。かかる修正形態は、中央判定評価機器30に対するアクセス側装置10によるアクセス要求を可能にするためである。そうすることにより、アクセス側装置と被アクセス装置20との間の相互認証ステップが必要ない。この背後にある論理は単純であり、アクセス側装置10が被アクセス装置20上で特定の動作を実行できないことを既に知っている場合、アクセス側装置10はそもそも自らを被アクセス装置20に対して認証しない。
ここで、本発明が添付図面を参照してて以下でより完全に説明され、添付図面では本発明の現在好ましい実施形態が示されている。但し、本発明は多くの異なる形態で実施されても良く、本明細書に記載の実施形態に限定されるものと解釈されるべきでなく、むしろこれらの実施形態は徹底性及び完全性を得るために、及び本発明の範囲を当業者に完全に伝えるために提供される。
本発明は、ハイブリッドアクセス判定評価(HADE)として示され、集中型の手法及び分散型の手法の両方を活用するが、それらの不利点を克服する新規のアクセス制御手法を提案する。このHADE技法は、(中央で定められたアクセス制御ポリシから)特定の装置に関連するアクセス制御ポリシを導出し符号化するために、集中型判定ポイントに依拠し、かかるアクセス制御ポリシは装置上にローカルにキャッシュされても良く、今後は装置固有のアクセスポリシと呼ぶ。これらの装置固有のアクセスポリシは、位置、時間、状況(緊急、通常等)、室内の人数、環境の状況(温度、換気水準等)等の様々なコンテキストの下で、その評価を可能にするように生成される。こうすることは、様々なコンテキストの下、新たなアクセス要求に対する判定について、中央判定ポイントとの通信を最小限にする。
図5及び図6を参照して、ハイブリッドアクセス判定評価(HADE)の手法が解説される。ビル制御システムは、信頼できる機関によってシステム内にコミッショニングされる様々な装置(例えばセンサ、アクチュエータ、及びユーザインターフェイス)からなる。従って、コミッショニング後、安全な認証を可能にするためにそれらの装置が単一の信頼ポイントに結合される。信頼ポイントは、ドメイン内の信頼できるノードとして認証するために使用される認証トークン又は予め設定された秘密鍵を作成できる物理サーバとすることができる。
本発明による、HADEを使用するビルオートメーション及び制御システムにおけるアクセス判定評価システム60の主な要素が図5に示されている。
アクセス判定評価システム60は、アクセス側装置10、被アクセス装置20、及び中央判定評価機器30を含む。
図5に開示されているアクセス判定評価システム60は、1つのアクセス側装置10と1つの被アクセス装置20しか含まないが、アクセス判定評価システム60の設計に応じて複数のアクセス側装置10及び被アクセス装置20があっても良いことを理解すべきである。更に、アクセス判定評価システム60は、1つ又は複数の集中型判定評価装置30も含むことができる。
集中型判定評価機器30は、ポリシ管理者32、アクセス制御ポリシデータベース33、アクセスポリシ判定ポイント34、アクセスポリシ導出部36、及びアクセスポリシ符号器38を含む。
ポリシ管理者32は、管理インターフェイス55からの入力に基づき、アクセス制御ポリシデータベース33内に記憶される中央アクセス制御ポリシを管理するようになされる。この管理は、従業員を適切に認証した後、ビルの運営管理者又は保守管理者に限られず、役割を有する任意の従業員により、中央評価機器30に物理的に取り付けられる端末を介して、又は中央評価機器30へのネットワーク接続を有する任意の端末から遠隔的に行われる。従業員にはポリシ管理インターフェイスが提示され、このインターフェイスで既存のポリシが編集又は削除されても良く、従業員に適用される認証規則に基づき新たなポリシが追加され得る。ポリシ管理インターフェイスでの変更及び従業員の認証規則に基づき、ポリシ管理者32がアクセスポリシデータベース33内の適切な変更を行う。
アクセス制御ポリシデータベース33は、中央アクセス制御ポリシを含む。各中央アクセス制御ポリシは、BACS内の被アクセス装置の資源へのアクセスを提供するための1組の基準である。
アクセスポリシ判定ポイント34は、アクセス側装置10からのアクセス要求が許可されるか拒否されるかの判定を下すために、アクセス制御ポリシデータベース33の中央アクセス制御ポリシの1つ又は複数を使用し、被アクセス装置20から生じる評価要求を評価するように構成される。更に、中央判定評価機器30は、アクセス判定評価システム60内に位置するコンテキスト源40と通信するように構成される。下される判定がコンテキスト状況に基づくように、アクセスポリシ判定ポイント34は、評価要求を評価するときコンテキスト源40にコンテキスト情報を要求するように更に構成される。
アクセスポリシ導出部36は、評価要求を評価するために使用されたポリシを装置固有のアクセスポリシに導出するように構成される。更に、アクセスポリシ導出部36は、様々なコンテキストの下、アクセス側装置10からの後続のアクセス要求を被アクセス装置20が評価できるようにするための変数としてコンテキスト属性を持つ装置固有のアクセスポリシを導出するように更に構成される。
アクセスポリシ符号器38は、被アクセス装置20に送られる前に装置固有のアクセスポリシを符号化するように構成される。そうすることにより、通信オーバヘッドが減らされる。
従って、アクセスポリシ符号器38と共にアクセスポリシ導出部36は、アクセス制御ポリシデータベース33内に記憶される中央で定められたアクセスポリシから、装置固有のアクセスポリシを導出し、符号化するように構成される。装置固有のアクセスポリシは、被アクセス装置20に有効な関連規則しか含まない。従って、装置固有のアクセスポリシはサイズが小さい場合がある。更に、装置固有のアクセスポリシは、被アクセス装置20に伝送し、被アクセス装置20上に記憶するために圧縮され得るように符号化される。例えばこの圧縮は、JSON(JavaScript(登録商標) Object Notation)に基づくポリシ又はバイナリTLV(Type-Length-Value)に基づくポリシを小さくするために、拡張マークアップ言語(XML)に基づくポリシを符号化することであり得る。
従って、中央判定評価機器30は、分散型のアクセス判定を可能にして、アクセス側装置10がその後の要求で被アクセス装置20の資源にアクセスしたいときに通信オーバヘッド及びレイテンシを最小限にするように被アクセス装置20に固有のアクセスポリシを導出し、符号化するように構成される。
従って、集中型判定評価装置30は、被アクセス装置20に固有のアクセスポリシを導出し、符号化し、導出され、符号化された被アクセス装置20に固有のアクセスポリシを被アクセス装置20に配るように構成される。そうすることにより、分散型のアクセス判定が可能にされる。分散型のアクセス判定は、アクセス側装置10が被アクセス装置20への後続のアクセス要求で被アクセス装置20の資源にアクセスしたいとき、通信オーバヘッド及びレイテンシを最小限にする。
更に、中央判定評価機器30内で導出される装置固有のアクセスポリシは、柔軟性を保つために、評価される必要があるコンテキスト変数を保持する。コンテキスト変数を保持することは、コンテキストが変わったときの、被アクセス装置20と中央判定評価機器30との間の後続のアクセス要求の通信オーバヘッドを減らす。
被アクセス装置20は、装置固有のアクセスポリシのデータベース22、マッチングポイント24、ポリシ判定ポイント26、及びポリシ実施ポイント28を含む。
装置固有のアクセスポリシのデータベース22は、中央判定評価機器30において導出される装置固有のアクセスポリシを含む。装置固有のアクセスポリシのデータベース22は、ローカルメモリである。通常そのローカルメモリは、一定量の装置固有のアクセスポリシしか記憶できないサイズ制限ローカルメモリである。非限定的な一例として、かかる装置用のSRAMメモリサイズを512バイトとすることができ、そのうちの100バイト等の一部分しか、装置固有のアクセスポリシ用のローカルメモリとして使用することができない。但し、他のメモリサイズが使用されても良いことが理解される。
装置固有のアクセスポリシは、被アクセス装置20のローカルメモリ22内に記憶される。装置固有のアクセスポリシをサイズ制限装置上にキャッシュする手法は、頻繁に使用されるポリシ及び重要な(緊急時関連の)ポリシがより高い優先順位で保持されることを確実にする、多重キャッシング技法に基づき得る。制限なしに、かかる技法の幾つかの例は以下の通りである。
使用頻度が最も低いポリシを置換すること、
キャッシュ以来最も長期間使用されていないポリシを置換すること、
物理的に固定されたアクセス側装置に関連するポリシを置換する前に、移動式のアクセス側装置に関連するポリシを置換すること。
使用頻度が最も低いポリシを置換すること、
キャッシュ以来最も長期間使用されていないポリシを置換すること、
物理的に固定されたアクセス側装置に関連するポリシを置換する前に、移動式のアクセス側装置に関連するポリシを置換すること。
装置固有のアクセスポリシをローカルメモリ22内に保持する判定は、或る重要な装置固有のアクセスポリシ(緊急時関連等)が置換されるのを防ぐ、被アクセス装置20上でローカルに定められる優先順位を用いて実施され得る。これは、廊下灯、換気システム等の緊急時に極めて重要な被アクセス装置に関連し得る。被アクセス装置が、緊急アクセス要求に直ぐ応答できることが重要である。従って、かかる装置には、衝突する如何なる集中型キャッシュ優先順位付け規則も覆すことができる、ローカルに実施される優先順位規則が与えられ得る。
中央判定評価機器30は、被アクセス装置20が自らのローカルメモリ22内に保持されることになる装置固有のアクセスポリシを優先順位付けするのを助ける「キャッシュ優先順位」属性等の追加の属性を、装置固有のアクセスポリシの導出中に加えることができる。
装置固有のアクセスポリシをキャッシュする判定は、装置の製造業者又は運転者によって装置上で定められるローカルポリシに基づいて行われても良い。かかるポリシは、どの種類の要求が滅多に起こらないにせよ最小限のレイテンシを必要とするのかを運営管理者が知る、運営環境についての既有知識に基づいて決定される。他の側面はポリシの種類とすることができ、例えば(火災等の)緊急時の判定は、危機的な時期の間のネットワークのボトルネックを防ぎ、耐故障性であるように常にキャッシュされ得る。
従って、装置固有のアクセスポリシを装置のローカルメモリ内にキャッシュする判定は、複数の側面又は複数の側面の組合せに基づいて下され得る。
装置固有のアクセスポリシは、中央判定評価機器30における現在のアクセス制御ポリシしか表さないが、このアクセス制御ポリシは中央判定評価機器30において時間と共に変化し得る。従って、装置固有のアクセスポリシは、中央判定評価機器30における中央アクセス制御ポリシと同期されるように定期的に更新される必要がある。被アクセス装置20は、例えば「生存時間」属性の導出中に中央判定評価機器30によって加えられる追加の属性に基づいて更新され得る。パブリッシュ−サブスクライブモデル又は更新済みポリシを求める明確な要求により、被アクセス装置20の更新がどのように行われるのかを指定する「更新通信」等の追加の属性が加えられても良い。
マッチングポイント24は、アクセス側装置10からの新たなアクセス要求を、被アクセス装置20のローカルメモリ22内の装置固有のアクセスポリシの何れかとマッチさせるように構成される。マッチが見出されない場合、被アクセス装置20は、中央判定評価機器30に評価要求を送るように構成される。マッチが見出される場合、被アクセス装置20のポリシ判定ポイント26が、アクセス側装置10からのアクセス要求を許可し又は拒否する判定を下すように構成される。
ポリシ実施ポイント28は、アクセス側装置10からのアクセス要求を許可し又は拒否する判定を実施するように構成される。要求を許可し又は拒否する判定は、集中型判定評価装置30において又は被アクセス装置20自体において行われても良い。
更に、装置固有のアクセスポリシは、現在のコンテキスト情報に基づいて被アクセス装置20上で評価される。従って被アクセス装置20は、認証済みチャネルを介してコンテキスト情報を受け取るために、コンテキスト源40と通信するように構成される。コンテキスト通信は、コンテキスト情報のパブリッシュ及びサブスクライブや、明確なコンテキスト情報の要求等の様々なモデルの下でも行われ得る。更に、コンテキスト源40は、被アクセス装置20のローカルメモリ22内への特定の装置固有のアクセスポリシの保持を優先順位付けするための追加情報(コンテキスト情報の種類(例えば緊急火災))を被アクセス装置20に与える。
図6には、アクセス側装置10が被アクセス装置20上の特定の資源を求めるアクセス要求を送るときの通信ステップが示されている。最初のステップ100は、アクセス側装置10と被アクセス装置20との間に認証済みチャネルを作り出すことであり、これは事前に共有された秘密によって、Kerberos鍵配布(例えばNeuman, B., and Ts’o, T. Kerberos: An authentication service for computer networks. Communications Magazine, IEEE 32, 9 (1994), 33-38を参照されたい)等の他の鍵配布メカニズムによって、又は装置間の認証済みチャネルを作り出すための他の任意の適切な方法によって行われる。こうして、アクセス側装置10と被アクセス装置20との間の認証済みチャネル、及び被アクセス装置20と中央判定評価機器30との間の認証済みチャネルが作り出される。その後、以下のステップが実行される。
アクセス側装置10が、認証済みのアクセス要求を被アクセス装置20上の実施ポイントに送る(ステップ102)。
被アクセス装置20が、新たなアクセス要求が自らのローカルメモリ内の装置固有のアクセスポリシの何れかとマッチするかどうかを確認する。マッチが見出されない場合、被アクセス装置20は中央判定評価機器30に評価要求を送る(ステップ106)。
中央判定評価機器30は評価要求を評価するだけでなく、評価に使用された1つ又は複数の中央アクセス制御ポリシを、装置固有のアクセスポリシ内に導出し符号化することも行う。これらが被アクセス装置20に送り返される(ステップ110)。
装置固有のアクセスポリシを受け取ると、被アクセス装置20はそれを装置固有のアクセスポリシの自らのデータベース22内に記憶する。データベース22が既に満杯の場合、被アクセス装置20は(上記の)複数の技法の何れか1つを使用し、既存の装置固有のアクセスポリシが新たなポリシで置換され得るかどうかを判定する。
被アクセス装置20の資源へのアクセスを許可する判定が、被アクセス装置20のポリシ実施ポイント28によって実施され、アクセス側装置10にフィードバックが送り返される(ステップ118)。
キャッシュされた装置固有のアクセスポリシに基づいて判定され得る、アクセス側装置10からの後続のアクセス要求(ステップ120)で、被アクセス装置20においてローカルに記憶された装置固有のアクセスポリシに基づき、その判定が被アクセス装置20自体によって実行され、分散型の制御を可能にする。この評価中、被アクセス装置20は認証済みのコンテキスト源40にコンテキスト情報を要求することができる。アクセス側装置10にフィードバックが送り返される(ステップ126)。
以下、本発明に関する例示的応用シナリオが短く解説される。或る例示的応用シナリオは、オフィスビル内の照明をブラインド及びHVACと統合することである。デイライトハーヴェスティングは、照明のエネルギ効率を改善できることが良く知られている。デイライトハーヴェスティングは、十分な昼光がある場合、ブラインドが開くことができ、更に照明を薄暗くすることを必要とする。但し、ブラインドが開いていると空調の無駄なエネルギの原因になり得るため、これは部屋に人がいるときにだけ行われるべきである。この動作は、相互制御を可能にする、局所的な(部屋)レベルでの両システムの密な相互作用を必要とする。この制御は、変更を無効にしたい利用者又は照明水準について特定の好みを有する利用者の影響を付加的に受ける場合がある。利用者は、室内に設置されたユーザインターフェイスから、又はより柔軟に自身のスマートフォンを使用して制御を行うことができる。この構造は、動作面での通信のボトルネック及びレイテンシを作り出すことなしに、システム間の適切な認証及び承認要件が必要であることを示す。従って、装置の部屋レベルの制御及び利用者のスマートフォン装置を許容するようにシステムを作動させるポリシを作り出すために、中央判定ポイントが使用される。部屋、照明、ブラインド等の中で制御される装置のそれぞれは、実施エンジン、及び装置固有のアクセスポリシをキャッシュするためのローカルメモリを有する。これにより、バックエンド管理システムによって使用可能にされた装置固有のアクセスポリシを装置が知ると、装置間の低レイテンシの直接制御要求が可能になる。勤務時間中及び週末の間の装置の異なる挙動を可能にする追加のコンテキストが、例えば時間及びカレンダサービスについて入手可能にされ得る。
本発明は、上記の好ましい実施形態に決して限定されないことを当業者なら理解する。逆に、添付の特許請求の範囲の中で多くの修正形態及び改変形態が可能である。
例えば図5に示されているように、中央判定評価機器30のポリシ管理者32、アクセス制御ポリシデータベース33、アクセスポリシ判定ポイント34、アクセスポリシ導出部36、及びアクセスポリシ符号器38は、単一の装置の要素とすることができる。しかし、中央判定評価機器30のポリシ管理者32、アクセス制御ポリシデータベース33、アクセスポリシ判定ポイント34、アクセスポリシ導出部36、及びアクセスポリシ符号器38の1つ又は複数が中央判定評価機器30を構成する特定装置として構成されても良い。
更に、ビル制御システムにおけるアクセス判定評価システムは1つ又は複数のコンテキスト源を含むことができ、異なるコンテキスト源は異なるコンテキストに関するフィードバックを与える。
更に、被アクセス装置20及び/又は中央判定装置30の機能は、ハードウェア、ソフトウェア、又はその組合せによって実装され得る。
更に、開示された実施形態の改変形態が、特許請求の範囲に記載の本発明を実施する際に、図面、本開示、及び添付の特許請求の範囲を検討することにより、当業者によって理解され果たされ得る。特許請求の範囲では、「含む」という語は他の要素又はステップを排除せず、不定冠詞「a」又は「an」は複数形を排除しない。或る手段が互いに異なる従属請求項の中で列挙されているという単なる事実は、これらの手段の組合せが有利に使用されてはならないことを示すものではない。
Claims (15)
- ビルオートメーション及び制御システムにおけるアクセス判定評価方法であって、
アクセス側装置から被アクセス装置にアクセス要求を送るステップと、
前記被アクセス装置から中央判定評価機器に、前記アクセス要求が許可されるか拒否されるかを尋ねる評価要求を送るステップと、
前記アクセス要求が許可されるか拒否されるかの判定を下すために、1つ又は複数の中央アクセス制御ポリシを使用して前記評価要求を前記中央判定評価機器において評価するステップと、
前記中央判定評価機器において、評価に使用された1つ又は複数の中央アクセス制御ポリシから装置固有のアクセスポリシを導出するステップと、
前記中央判定評価機器から前記被アクセス装置に前記判定及び前記装置固有のアクセスポリシを送るステップと、
前記被アクセス装置において前記装置固有のアクセスポリシを記憶するステップと、
前記装置固有のアクセスポリシに基づき、後続のアクセス要求が許可されるか拒否されるかを前記被アクセス装置において判定するステップと
を含む、方法。 - 前記アクセス側装置から前記被アクセス装置に後続のアクセス要求を送るステップと、
前記後続のアクセス要求が前記被アクセス装置内に記憶される前記装置固有のアクセスポリシとマッチするかどうかを前記被アクセス装置において評価し、マッチする場合、前記装置固有のアクセスポリシに基づき、前記後続のアクセス要求が許可されるか拒否されるかを前記被アクセス装置において判定するステップと
を更に含む、請求項1に記載の方法。 - 前記装置固有のアクセスポリシを導出する前記ステップが、様々なコンテキストの下、前記アクセス側装置からの後続のアクセス要求を前記被アクセス装置が評価できるようにするための変数としてコンテキスト属性を持つ前記装置固有のアクセスポリシを導出するステップを更に含む、請求項1又は2に記載の方法。
- 前記後続のアクセス要求が許可されるか拒否されるかを判定する前記ステップが、コンテキスト源からのコンテキスト情報を要求するステップを更に含む、請求項2又は3に記載の方法。
- 前記装置固有のアクセスポリシを前記中央判定評価機器において符号化するステップを更に含む、請求項1乃至4の何れか一項に記載の方法。
- 前記装置固有のアクセスポリシが、前記被アクセス装置のローカルメモリ内に記憶され、前記ローカルメモリは一定量の装置固有のアクセスポリシしか記憶できないサイズ制限ローカルメモリである、請求項1乃至5の何れか一項に記載の方法。
- 前記ローカルメモリ内に記憶される前記装置固有のアクセスポリシが優先順位付けされ、前記装置固有のアクセスポリシは、前記被アクセス装置によってローカルに又は前記中央判定評価機器によって中央で優先順位付けされる、請求項6に記載の方法。
- 前記被アクセス装置において記憶される前記装置固有のアクセスポリシが、前記中央判定評価機器における1つ又は複数の中央アクセス制御ポリシと同期することによって更新され、前記装置固有のアクセスポリシの前記更新は、前記中央判定評価機器での導出中に前記装置固有のアクセスポリシに加えられる追加の属性によって制御される、請求項1乃至7の何れか一項に記載の方法。
- 前記アクセス側装置と前記被アクセス装置との間に、及び前記被アクセス装置と前記中央判定評価機器との間に認証済みチャネルを作り出すステップを更に含む、請求項1乃至8の何れか一項に記載の方法。
- ビル制御システムにおけるアクセス判定評価システムであって、
アクセス側装置と、
1つ又は複数の装置固有のアクセスポリシを記憶するローカルメモリ、マッチングポイント、及びポリシ判定ポイントを含む被アクセス装置と、
1つ又は複数の中央アクセス制御ポリシのデータベース、アクセスポリシ判定ポイント、及びアクセスポリシ導出部を含む中央判定評価機器と
を含み、
前記アクセス側装置は前記被アクセス装置にアクセス要求を送り、
前記被アクセス装置のマッチングポイントは、前記アクセス要求を評価し、前記アクセス要求が前記ローカルメモリ内に記憶される前記1つ又は複数の装置固有のアクセスポリシの一つにマッチするかどうかを確かめ、マッチする場合、前記マッチした装置固有のアクセスポリシに基づき前記アクセス要求が許可されるか拒否されるかを前記被アクセス装置の前記ポリシ判定ポイントが判定し、マッチしない場合、前記アクセス要求が許可されるか拒否されるかを尋ねる評価要求を前記被アクセス装置が前記中央判定評価機器に送り、
前記中央判定評価機器の前記アクセスポリシ判定ポイントは、前記アクセス要求が許可されるか拒否されるかの判定を下すために、1つ又は複数の中央アクセス制御ポリシを用いて前記評価要求を評価し、前記中央判定評価機器の前記アクセスポリシ導出部は、前記評価に使用された前記1つ又は複数の中央アクセス制御ポリシから導出済みの装置固有のアクセスポリシを導出し、
前記中央判定評価機器は、前記判定及び前記導出された装置固有のアクセスポリシを前記被アクセス装置に送る、
アクセス判定評価システム。 - 前記アクセスポリシ導出部は、様々なコンテキストの下、前記アクセス側装置からの後続のアクセス要求を前記被アクセス装置が評価できるようにするための変数としてコンテキスト属性を持つ前記導出済みの装置固有のアクセスポリシを更に導出し、前記被アクセス装置の前記ポリシ判定ポイントは、前記アクセス判定評価システム内に含まれるコンテキスト源からのコンテキスト情報を要求することにより、後続のアクセス要求が許可されるか拒否されるかを判定する、請求項10に記載のアクセス判定評価システム。
- アクセス側装置、被アクセス装置、及び中央判定評価機器を含むアクセス判定評価システムにおける中央判定評価機器であって、
1つ又は複数の中央アクセス制御ポリシのデータベースと、
前記アクセス側装置から前記被アクセス装置に送られるアクセス要求が許可されるか拒否されるかの判定を下すために、前記データベース内に記憶される1つ又は複数の中央アクセス制御ポリシを用いて前記被アクセス装置からの評価要求を評価するアクセスポリシ判定ポイントと、
前記評価に使用された前記1つ又は複数の中央アクセス制御ポリシから装置固有のアクセスポリシを導出するアクセスポリシ導出部と
を含み、前記中央判定評価機器は前記判定及び前記装置固有のアクセスポリシを前記被アクセス装置に送り、前記被アクセス装置が前記装置固有のアクセスポリシに基づき、後続のアクセス要求が許可されるか拒否されるかを判定する、中央判定評価機器。 - 前記アクセスポリシ導出部が、様々なコンテキストの下、前記アクセス側装置からの後続のアクセス要求を前記被アクセス装置が評価できるようにするための変数としてコンテキスト属性を持つ前記装置固有のアクセスポリシを更に導出する、請求項12に記載の中央判定評価機器。
- アクセス側装置、被アクセス装置、及び中央判定評価機器を含むアクセス判定評価システムにおける被アクセス装置であって、
1つ又は複数の装置固有のアクセスポリシを記憶するローカルメモリと、
マッチングポイントと、
ポリシ判定ポイントと
を含み、前記マッチングポイントは前記アクセス側装置からのアクセス要求を評価し、前記アクセス要求が前記ローカルメモリ内に記憶される前記1つ又は複数の装置固有のアクセスポリシの一つにマッチするかどうかを確かめ、マッチする場合、マッチした装置固有のアクセスポリシに基づき前記アクセス要求が許可されるか拒否されるかを前記ポリシ判定ポイントが判定し、マッチしない場合、前記アクセス要求が許可されるか拒否されるかを尋ねる評価要求を前記中央判定評価機器に前記被アクセス装置が送る、被アクセス装置。 - 前記ローカルメモリが一定量の装置固有のアクセスポリシしか記憶できないサイズ制限ローカルメモリである、請求項14に記載の被アクセス装置。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261605879P | 2012-03-02 | 2012-03-02 | |
| US61/605,879 | 2012-03-02 | ||
| US201261680307P | 2012-08-07 | 2012-08-07 | |
| US61/680,307 | 2012-08-07 | ||
| PCT/IB2013/051365 WO2013128338A1 (en) | 2012-03-02 | 2013-02-20 | System and method for access decision evaluation for building automation and control systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5702900B1 true JP5702900B1 (ja) | 2015-04-15 |
| JP2015516610A JP2015516610A (ja) | 2015-06-11 |
Family
ID=48087650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014559323A Active JP5702900B1 (ja) | 2012-03-02 | 2013-02-20 | ビルオートメーション及び制御システムのアクセス判定評価のためのシステム及び方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10139789B2 (ja) |
| EP (1) | EP2820584B1 (ja) |
| JP (1) | JP5702900B1 (ja) |
| CN (1) | CN104137007B (ja) |
| WO (1) | WO2013128338A1 (ja) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2527079A (en) * | 2014-06-10 | 2015-12-16 | Paxton Access Ltd | Control system |
| EP3059920B1 (en) * | 2015-02-20 | 2020-02-12 | Siemens Aktiengesellschaft | Method and apparatus for providing a safe operation of a subsystem within a safety critical system |
| US9912704B2 (en) * | 2015-06-09 | 2018-03-06 | Intel Corporation | System, apparatus and method for access control list processing in a constrained environment |
| US20180262502A1 (en) * | 2015-09-08 | 2018-09-13 | Siemens Aktiengesellschaft | Method for operating an industrial network and industrial network |
| IT201600074818A1 (it) * | 2016-07-18 | 2018-01-18 | Cefla Soc Cooperativa | Metodo ed apparato per il settaggio delle condizioni ambientali di ambienti |
| US12095725B2 (en) * | 2017-03-22 | 2024-09-17 | Amazon Technologies, Inc. | Device credentials management |
| US10872142B1 (en) * | 2018-03-02 | 2020-12-22 | Amazon Technologies, Inc. | Localized identity management in limited communication networks |
| US10979439B1 (en) | 2018-03-02 | 2021-04-13 | Amazon Technologies, Inc. | Identity management for coordinated devices in a networked environment |
| US11263711B2 (en) * | 2018-03-22 | 2022-03-01 | Honeywell International Inc. | Revocable certificates for guestroom access and guestroom controls by mobile devices |
| US11030412B2 (en) * | 2018-04-10 | 2021-06-08 | Verizon Patent And Licensing Inc. | System and method for chatbot conversation construction and management |
| US11057434B2 (en) | 2018-12-05 | 2021-07-06 | International Business Machines Corporation | High performance access control |
| US11206262B2 (en) * | 2019-06-12 | 2021-12-21 | International Business Machines Corporation | Policy-based triggering of revision of access control information |
| US11546336B1 (en) * | 2019-10-22 | 2023-01-03 | Amazon Technologies, Inc. | Independently configurable access device stages for processing interconnect access requests |
| US20220408263A1 (en) * | 2019-11-28 | 2022-12-22 | Paxton Access Limited | Access control system and method |
| US11902327B2 (en) * | 2020-01-06 | 2024-02-13 | Microsoft Technology Licensing, Llc | Evaluating a result of enforcement of access control policies instead of enforcing the access control policies |
| US12107900B2 (en) | 2021-03-16 | 2024-10-01 | International Business Machines Corporation | Revision of access control system triggered by policies based on risks and/or countermeasures thereof |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050120204A1 (en) * | 2003-12-01 | 2005-06-02 | Gary Kiwimagi | Secure network connection |
| JP2005252947A (ja) * | 2004-03-08 | 2005-09-15 | Mitsubishi Electric Corp | 遠隔保守アクセス制御システム |
| JP2006107182A (ja) * | 2004-10-06 | 2006-04-20 | Ntt Data Corp | アクセス制御システム及びプログラム |
| JP2007048241A (ja) * | 2005-08-12 | 2007-02-22 | Nomura Research Institute Ltd | アクセス制御システム、アクセス制御方法およびアクセス制御プログラム |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6720861B1 (en) * | 1999-03-12 | 2004-04-13 | Best Access Systems | Wireless security control system |
| US7587467B2 (en) | 1999-12-02 | 2009-09-08 | Western Digital Technologies, Inc. | Managed peer-to-peer applications, systems and methods for distributed data access and storage |
| US6664893B1 (en) | 2001-04-23 | 2003-12-16 | Cardionet, Inc. | Method for controlling access to medical monitoring device service |
| EP1388126B1 (en) | 2001-05-17 | 2013-03-27 | Nokia Corporation | Remotely granting access to a smart environment |
| US20040177072A1 (en) | 2001-05-17 | 2004-09-09 | Ilkka Salminen | Smart environment |
| US7146499B2 (en) * | 2002-09-30 | 2006-12-05 | International Business Machines Corporation | Security system for replicated storage devices on computer networks |
| US20050005170A1 (en) * | 2003-06-26 | 2005-01-06 | International Business Machines Corporation | Minimizing information gathered by access decision engines in access control systems |
| US7827595B2 (en) * | 2003-08-28 | 2010-11-02 | Microsoft Corporation | Delegated administration of a hosted resource |
| JP4014165B2 (ja) * | 2003-10-29 | 2007-11-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス管理システム、アクセス執行装置、アクセス執行プログラム、アクセス執行方法、及び記録媒体 |
| US20050229004A1 (en) * | 2004-03-31 | 2005-10-13 | Callaghan David M | Digital rights management system and method |
| US7716489B1 (en) * | 2004-09-29 | 2010-05-11 | Rockwell Automation Technologies, Inc. | Access control method for disconnected automation systems |
| US8074271B2 (en) * | 2006-08-09 | 2011-12-06 | Assa Abloy Ab | Method and apparatus for making a decision on a card |
| US9111088B2 (en) | 2006-08-14 | 2015-08-18 | Quantum Security, Inc. | Policy-based physical security system for restricting access to computer resources and data flow through network equipment |
| CN100563160C (zh) * | 2006-08-15 | 2009-11-25 | 杭州华三通信技术有限公司 | 客户端安全检测方法和权限控制系统 |
| WO2010060466A1 (en) | 2008-11-26 | 2010-06-03 | Nokia Siemens Networks Oy | Method and device for the processing of policy rule data |
| US8621557B2 (en) * | 2009-02-17 | 2013-12-31 | Nec Corporation | Information processing system judging whether manipulation is possible or not based on access control policy and method of operation thereof |
| US20100280636A1 (en) | 2009-05-01 | 2010-11-04 | Johnson Controls Technology Company | Building automation system controller including network management features |
| US8731724B2 (en) | 2009-06-22 | 2014-05-20 | Johnson Controls Technology Company | Automated fault detection and diagnostics in a building management system |
| NZ601156A (en) * | 2010-01-19 | 2014-09-26 | Synaptic Wireless Llc | Electronic locking system with wireless update and cascade lock control |
| US9256757B2 (en) * | 2010-06-17 | 2016-02-09 | Sap Se | Prefetch of attributes in evaluating access control requests |
| CN101888341B (zh) * | 2010-07-20 | 2013-02-27 | 上海交通大学 | 在分布式多信任域环境下基于可计算信誉度的访问控制方法 |
-
2013
- 2013-02-20 US US14/381,632 patent/US10139789B2/en active Active
- 2013-02-20 CN CN201380012165.4A patent/CN104137007B/zh active Active
- 2013-02-20 JP JP2014559323A patent/JP5702900B1/ja active Active
- 2013-02-20 EP EP13715758.2A patent/EP2820584B1/en active Active
- 2013-02-20 WO PCT/IB2013/051365 patent/WO2013128338A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050120204A1 (en) * | 2003-12-01 | 2005-06-02 | Gary Kiwimagi | Secure network connection |
| JP2005252947A (ja) * | 2004-03-08 | 2005-09-15 | Mitsubishi Electric Corp | 遠隔保守アクセス制御システム |
| JP2006107182A (ja) * | 2004-10-06 | 2006-04-20 | Ntt Data Corp | アクセス制御システム及びプログラム |
| JP2007048241A (ja) * | 2005-08-12 | 2007-02-22 | Nomura Research Institute Ltd | アクセス制御システム、アクセス制御方法およびアクセス制御プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013128338A1 (en) | 2013-09-06 |
| CN104137007B (zh) | 2017-01-18 |
| US10139789B2 (en) | 2018-11-27 |
| CN104137007A (zh) | 2014-11-05 |
| JP2015516610A (ja) | 2015-06-11 |
| US20160139573A1 (en) | 2016-05-19 |
| EP2820584B1 (en) | 2019-04-10 |
| EP2820584A1 (en) | 2015-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5702900B1 (ja) | ビルオートメーション及び制御システムのアクセス判定評価のためのシステム及び方法 | |
| Ravidas et al. | Access control in Internet-of-Things: A survey | |
| US8378779B2 (en) | Facility equipment cooperation system, equipment control method, and agent apparatus | |
| JP6265733B2 (ja) | 権限管理サーバー及び権限管理方法 | |
| CN107835195B (zh) | 一种分布式网络应用节点集成管理方法 | |
| US9386040B2 (en) | Policy-based service management system | |
| CN109905476B (zh) | 用于使数据同步的方法、计算机系统和介质 | |
| CN107637043B (zh) | 用于约束环境中资源管理的业务提供方法、系统和装置 | |
| WO2019075156A1 (en) | SYSTEMS AND METHODS FOR MANAGING RELATIONS BETWEEN DIGITAL IDENTITIES | |
| KR20190136011A (ko) | 코어 네트워크 액세스 제공자 | |
| US11722483B2 (en) | Structure-based access control | |
| CN111177695A (zh) | 一种基于区块链的智能家居设备访问控制方法 | |
| CN107408188B (zh) | 网络连接设备的需求响应提供方控制的系统 | |
| KR20130046155A (ko) | 클라우드 컴퓨팅 서비스에서의 접근제어 시스템 | |
| US11611873B2 (en) | Method for monitoring access to a user service intended for monitoring of a home-automation installation | |
| EP4044552A1 (en) | System and method for authorizing access to smart devices in a local environment | |
| JP2012098924A (ja) | アクセス権管理装置、アクセス権管理システム、アクセス権管理方法およびアクセス権管理プログラム | |
| CA3142806A1 (en) | Secure building services network | |
| KR100685254B1 (ko) | 사용자별 권한 할당 및 접속을 관리하는 홈네트워크게이트웨이 및 그 제어방법 | |
| US20200112563A1 (en) | System and method for secure onboarding of network devices | |
| US11263711B2 (en) | Revocable certificates for guestroom access and guestroom controls by mobile devices | |
| KR101535746B1 (ko) | 보안 감시 네트워크의 접근 제어 시스템 및 방법 | |
| KR20130125055A (ko) | 아이피(IP)주소와 맥(Mac)주소를 사용한 네트워크 정보 제어시스템 및 방법 | |
| WO2023131552A1 (en) | A lighting device access and control system | |
| Treado et al. | Authentication and Authorization of Building Information Users in BACnet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20150119 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5702900 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |