WO2014068632A1

WO2014068632A1 - 設備管理装置、設備管理システム及びプログラム

Info

Publication number: WO2014068632A1
Application number: PCT/JP2012/077840
Authority: WO
Inventors: 太一石阪; 繁樹鈴木; 紀之小宮; 丈瑠黒岩
Original assignee: 三菱電機株式会社; 伊藤山彦
Priority date: 2012-10-29
Filing date: 2012-10-29
Publication date: 2014-05-08
Also published as: EP2913776B1; CN104756126A; JP6016936B2; JPWO2014068632A1; US9544145B2; US20150270969A1; EP2913776A4; CN104756126B; EP2913776A1

Abstract

　設備機器管理部（３１）は、設備機器の運転状態を管理する。ユーザ認証処理部（３２）は、監視端末からの要求に従ってユーザ認証を行い、ユーザ認証が成功した場合に、自装置の秘密鍵（１１１）でディジタル署名を付加した認証データを各設備管理装置（３）の公開鍵を用いて暗号化した認証コードを設備管理装置（３）ごとに生成し、監視端末に送信する。認証コード解析部（３３）は、自装置の設備管理装置（３）用に生成された認証コードを監視端末から受信すると、受信した認証コードを、自装置の秘密鍵（１１１）で復号し、代表の設備管理装置（３）の公開鍵でディジタル署名を検証することにより、認証を行う。Ｗｅｂサーバ部（３４）は、ユーザ認証処理部（３２）又は認証コード解析部（３３）で認証に成功すると、設備機器管理部（３１）で管理される各設備機器の運転状態を示すデータの監視、操作を可能とする。

Description

設備管理装置、設備管理システム及びプログラム

　この発明は、設備管理装置、設備管理システム及びプログラムに関する。

　ビル等の家屋には、空調機器、照明機器などの設備機器を管理する設備管理装置が設置されているのが一般的になってきている。このような設備管理装置の中には、ビル管理者のパソコン（ユーザ端末）のＷｅｂブラウザからアクセスすれば、ビル内のＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）やインターネットを介して設備機器の運転状態を監視できるものがある。

　この種の設備管理装置では、不正アクセスを防ぐため、ユーザ認証が行われる。設備管理装置にアクセスすると、ユーザ端末のＷｅｂブラウザ上にログイン画面が表示される。ログイン画面は、ユーザＩＤ及びパスワードの入力画面である。ユーザＩＤ及びパスワードが入力されると、ユーザＩＤ及びパスワードを用いて設備管理装置でユーザ認証が行われる。ユーザ認証が正常に完了すると、設備管理装置から送信された設備機器の監視用のＷｅｂページの内容がＷｅｂブラウザ上に表示され、設備機器の状態の監視が可能になる。

　ここで、ビル内の各フロアの入り口や、ビルごとにそれぞれ設備管理装置が設置される（すなわち、複数の設備管理装置が設置される）場合について考える。この場合、複数の設備管理機器によってそれぞれ管理される複数の設備機器の状態を同時に監視するには、各設備管理装置にそれぞれ対応する複数のログイン画面を個別にＷｅｂブラウザ上に表示し、全てのログイン画面にユーザＩＤ及びパスワードを逐一入力する必要がある。すなわち、複数の設備管理機器に跨って管理される複数の設備機器の状態を同時に監視するには、対象となる設備管理装置の台数分のログインを行う必要がある。したがって、設備管理装置が増えれば増えるほど、ログインの回数が増えて、管理に手間がかかるようになる。

　１回の認証のみで複数のＷｅｂサーバにアクセス可能とする技術として、ＳＡＭＬ（Ｓｅｃｕｒｉｔｙ　Ａｓｓｅｒｔｉｏｎ　Ｍａｒｋｕｐ　Ｌａｎｇｕａｇｅ）方式を用いたシングルサインオン技術が一般に利用されている。ＳＡＭＬ方式では、まず、ユーザ端末のＷｅｂブラウザから認証サーバにアクセスすると、認証サーバがユーザ認証を行う。すると、認証サーバから認証情報がユーザ端末に発行される。発行された認証情報を付加してユーザ端末から目的のＷｅｂサイトに接続すると、Ｗｅｂサイトが認証サーバに認証情報の問い合わせを行う。認証情報が正しく発行されたものであれば、Ｗｅｂサイトのコンテンツは、ユーザ端末に送信される。

　また、ＳＡＭＬ方式を用いずにシングルサインオン機能を実現する認証代行装置が開示されている（例えば、特許文献１参照）。この認証代行装置は、各事業者別の登録情報を埋め込んだＣｏｏｋｉｅをユーザ装置に対して発行する。ユーザ装置が、取得したＣｏｏｋｉｅを各事業者の資源管理装置に送信すると、各資源管理装置は、Ｃｏｏｋｉｅ内の登録情報が事業者の保持する登録情報と一致した場合にのみ、ユーザ装置からのアクセスを許可する。

特開２００２－２６９２７２号公報

　インターネットを介して遠隔地から設備機器の状態を監視するシステムでは、不特定多数の端末から設備機器に不正アクセスできないようにする必要がある。このため、このようなシステムには、ＶＰＮ（Ｖｉｒｔｕａｌ　Ｐｒｉｖａｔｅ　Ｎｅｔｗｏｒｋ）技術が利用されることが多い。ＶＰＮ技術では、各拠点にＶＰＮ接続が可能なＶＰＮルータが設置される。インターネットに接続した監視端末（パソコン）は、各拠点のＶＰＮルータに接続し、ＶＰＮルータを介してのみ、各拠点内に設置された設備管理装置との間で通信が可能となる。

　このようなシステムでは、ＶＰＮ機器に必要なコストを低減するため、複数の拠点間で自由に通信可能なメッシュ型のＶＰＮ接続は採用しないことが多い。この場合、監視端末（パソコン）と拠点に設置されたＶＰＮルータとの間は、１対１の接続となる。このような接続方式では、ある拠点の設備管理装置から別の拠点の設備管理装置に対して通信を行うことができない。そのため、１台の設備管理装置を認証サーバ機能も保有する親機とし、他の設備管理装置を子機とした場合に、ＳＡＭＬ方式では設備管理装置（親機）と設備管理装置（子機）との間で通信を行うことができない。この結果、認証情報を設備管理装置間で共有することが困難になる。このような背景から、ＳＡＭＬ方式ではＶＰＮルータを介してそれぞれアクセス可能な各拠点に設置された複数の設備管理装置に対して１回のログインでアクセスを可能とするシングルサインオンを実現することは、極めて困難であった。

　また、上記特許文献１の認証代行装置は、各事業者の識別情報が埋め込まれたＣｏｏｋｉｅをユーザ装置に発行する。資源管理装置は、ユーザ装置から送信されるＣｏｏｋｉｅに埋め込まれた識別情報と、自装置の識別情報とを比較することで認証を行う。これにより、認証代行装置と資源管理装置との間で直接通信を行うことなく、複数の資源管理装置にアクセスする際の認証を１回で済ませることができる。しかしながら、この技術では、ユーザ装置から資源管理装置に送信されたＣｏｏｋｉｅが、本当に認証代行装置から発行されたものかどうかを確認する手段がない。例えば、ユーザが事業者に登録した識別子（例えばメールアドレス）さえ分かれば、ユーザＩＤ、パスワードを知らなくても不正に認証用のＣｏｏｋｉｅを作成することができるので、認証代行装置への認証を行うことなく、なりすましによる不正アクセスが可能となってしまう。そのため、上記特許文献１の認証代行装置を用いても、認証システムを安全に運用することが困難であった。

　この発明は、上記課題を解決するためになされたもので、複数の設備管理装置を低コストで安全に監視することができる設備管理装置、設備管理システム及びプログラムを提供することを目的とする。

　上記目的を達成するため、この発明の設備管理装置は、
　設備機器を管理する設備管理装置であって、
　前記設備機器の運転状態を管理する設備機器管理部と、
　自装置が複数の設備管理装置のうちの代表の設備管理装置である場合に、監視端末からの要求に従ってユーザ認証を行い、ユーザ認証が成功した場合に、自装置の秘密鍵でディジタル署名を付加した認証データを前記各設備管理装置の公開鍵を用いて暗号化した認証コードを前記設備管理装置ごとに生成し、前記監視端末に送信するユーザ認証処理部と、
　自装置の設備管理装置用に生成された認証コードを前記監視端末から受信すると、受信した認証コードを、自装置の秘密鍵で復号し、前記代表の設備管理装置の公開鍵でディジタル署名を検証することにより、認証を行う認証コード解析部と、
　前記ユーザ認証処理部又は前記認証コード解析部で認証に成功すると、前記設備機器管理部で管理される前記各設備機器の運転状態を示すデータの監視、操作を可能とするＷｅｂサーバ部と、
　を備える。

　この発明によれば、監視端末からのユーザ認証に成功した場合に、代表の設備管理装置の秘密鍵でディジタル署名を付加した認証データを各設備管理装置の公開鍵を用いて暗号化した認証コードを設備管理装置ごとに生成し、監視端末に送信する。この認証コードは、代表の設備管理装置の秘密鍵を用いてディジタル署名を行っているので、悪意のあるユーザが、偽造した認証データのディジタル署名を生成することは出来ない。また、この認証コードは、特定の設備管理装置の公開鍵を用いて暗号化しているので、その設備管理装置が有する秘密鍵でしか復号化できない。すなわち、この認証コードは、ユーザ認証を行った代表の設備管理装置以外では生成できず、かつ、特定の設備管理装置でしか復号化できないコードである。したがって、この認証コードを用いれば、代表の設備管理装置で認証されたことを各設備管理装置で安全に検証することが可能となり、複数の設備管理装置へのアクセスが１回のユーザ認証で済むとともに、認証コードの偽造やなりすましなどの不正アクセスを防止することができる。この結果、複数の設備管理装置を低コストで安全に監視することができる。

この発明の実施の形態に係る設備管理システムの構成を示すブロック図である。この発明の実施の形態に係る設備管理装置の構成を示すブロック図である。この発明の実施の形態に係る監視端末の構成を示すブロック図である。設備管理装置によって実行されるユーザ認証処理のフローチャートである。認証コードの形式を示す模式図である。設備管理装置によって実行される認証コード検証処理のフローチャートである。監視画面表示処理のフローチャートである。監視端末と設備管理機器との間の通信シーケンスを示す図である。監視端末で表示するフロア監視画面の一例を示す図である。監視端末で表示する異常発生中ユニット画面の一例を示す図である。設備機器の状態に変化があった場合に設備管理装置で実行される処理のフローチャートである。設備管理装置から状態変化情報を受信したときに実行される監視端末の処理のフローチャートである。

　以下、この発明の実施の形態について図面を参照して詳細に説明する。

　図１には、この発明の実施の形態に係る設備管理システム１の構成が示されている。図１に示すように、この実施の形態に係る設備管理システム１は、設備機器２、設備管理装置３及び監視端末４を備えている。設備機器２及び設備管理装置３は複数設けられている。

　設備機器２と設備管理装置３との間は、専用通信線５を介して通信可能に接続されている。また、設備管理装置３と監視端末４との間は、通信線６を介して通信可能に接続されている。通信線６については、同一拠点内で接続されたＬＡＮとすることができる。また、通信線６を、ＶＰＮルータを介して監視端末４と設備管理装置３を接続するようなインターネット回線等とすることもできる。

　また、設備機器２としては、ビル内に設置される様々な設備機器が想定される。このような設備機器２には、例えば、空調機器、照明機器又は給湯機器などがある。

　複数の設備機器２は、ビル内の指定場所にそれぞれ設置されている。各設備機器２は、設備管理装置３の管理の下で動作する。設備機器２の運転状態は、専用通信線５を介して設備管理装置３に通知される。同じ設備管理装置３に接続される複数の設備機器２を、以下では設備機器群７とも呼ぶ。

　設備管理装置３は、複数の設備機器２を含む設備機器群７を統括的に管理する。図２に示すように、設備管理装置３は、表示部１０、入力部２０、制御部３０、データ管理部４０、設備機器通信管理部５０及び監視端末通信管理部６０を備えている。

　表示部１０は、制御部３０の制御の下、設備機器群７の管理（監視、制御）を行うための各種画面を表示する。

　入力部２０は、マウス、キーボード、タッチパネル等の入力用デバイスである。入力部２０がタッチパネルである場合には、入力部２０は、表示部１０上に設置される。管理者が入力部２０を操作すると、操作内容に応じて、画面の切り換えや、設備機器の操作等を行うことができる。

　制御部３０は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）およびメモリ等を備えるコンピュータである。ＣＰＵがメモリに格納されたプログラムを実行することにより、制御部３０の機能が実現される。

　制御部３０は、設備機器２の運転状態を保持（管理）し、監視端末４に表示する監視画面に必要なデータを送受信する処理を行っている。

　制御部３０には、設備機器管理部３１、ユーザ認証処理部３２、認証コード解析部３３及びＷｅｂサーバ部３４が含まれている。

　設備機器管理部３１は、設備機器２の運転状態を管理（監視、制御）する。

　ユーザ認証処理部３２は、ユーザ認証および認証コードの生成を行う。具体的には、ユーザ認証処理部３２は、自装置が複数の設備管理装置３のうちの代表の設備管理装置３である場合に、監視端末４からの要求に従ってユーザ認証を行う。ユーザ認証処理部３２は、ユーザ認証が成功した場合に、自装置の秘密鍵で認証データにディジタル署名を付加し、さらに各設備管理装置３の公開鍵を用いて暗号化した認証コードをデータ内容としたＣｏｏｋｉｅを生成し、全設備管理装置３分のＣｏｏｋｉｅを監視端末４に発行する。

　ユーザ認証処理部３２には、ユーザ認証部３５及び認証コード生成部３６が含まれている。ユーザ認証部３５は、ユーザＩＤ、パスワード等を用いてユーザとの認証を行う。認証コード生成部３６は、認証成功時に監視端末４に発行する認証コードを生成する。

　認証コード解析部３３は、監視端末４からのアクセス時に付与されるＣｏｏｋｉｅ内に含まれる認証コードの解析を行う。認証コード解析部３３は、監視端末４から送信されたＣｏｏｋｉｅを受信すると、Ｃｏｏｋｉｅ内の認証コードを、自装置の秘密鍵で復号し、さらに代表の設備管理装置（親機）３の公開鍵でディジタル署名を検証することにより、認証を行う。

　Ｗｅｂサーバ部３４は、Ｗｅｂコンテンツ８０又はモニタ指令、操作指令等の送受信を行う。Ｗｅｂサーバ部３４は、ユーザ認証処理部３２又は認証コード解析部３３で認証に成功すると、各設備機器２の運転状態を示すデータの監視、操作を可能とするために、監視端末４から指定されたモニタ指令、設定指令の処理を実行し、監視端末４に処理結果を応答する。

　Ｗｅｂサーバ部３４には、設備機器データ通信部３７及びシステム接続データ通信部３８が含まれている。設備機器データ通信部３７は、監視端末４から指定されたモニタ指令、操作指令に従い、設備機器２の運転状態モニタ応答、および操作処理を行う。システム接続データ通信部３８は、接続されている設備管理装置３のアドレス情報が保持されている設備管理装置アドレスリスト９１の設定、モニタを行う。

　データ管理部４０は、制御部３０が設備機器群７の監視を行うために必要となる各種データ、複数の設備管理装置３用の認証コードを生成するために必要な各種データ、および監視端末４で監視画面を表示するための各種データを管理する。

　データ管理部４０で管理されるデータには、大別して、設備機器データ７０、Ｗｅｂコンテンツ８０、システム構成データ９０、ユーザ登録情報１００、暗号処理用データ１１０がある。

　設備機器データ７０には、各設備機器２の接続情報７１、運転状態データ７２、設備管理装置３及び設備機器２等のアイコンの平面図上での表示位置データ７３が含まれる。

　接続情報７１は、設備管理装置３によって管理される各設備機器２のアドレス番号、操作グループ番号、機種識別情報など、設備機器群７を制御するために必要なデータである。

　運転状態データ７２は、各設備機器２の現在の運転状態（例えば空調機器の場合は運転・停止状態や、冷房や暖房などの運転モード、設定温度、室内温度など）を示すデータである。運転状態データ７２は、各設備機器２とのデータ送受信により、最新の状態に随時更新されている。

　表示位置データ７３は、設備管理装置３が管理するビルの緯度、経度などの位置情報、及びビル内の各設備機器２が設置されたフロア番号および平面図上のＸ座標、Ｙ座標を示すデータである。表示位置データ７３は、監視端末４の監視画面上に設備管理装置３のアイコン又は設備機器２のアイコンを配置する際に用いられる。

　なお、設備機器アイコンの表示位置となるＸ座標、Ｙ座標は、絶対値で指定することができる。また、アイコンの表示位置は、平面図の縦横サイズに対する割合（０～１００％）で示すようにしてもよい。この場合、設備機器２のアイコンの表示位置は、平面図の拡大、縮小に追随して変化するようになる。

　Ｗｅｂコンテンツ８０には、画面構成ファイル８１、監視プログラム８２及び平面図データ８３が含まれる。画面構成ファイル８１は、監視端末４に表示する画面のレイアウト構成が記述されたファイルである。監視プログラム８２は、Ｗｅｂブラウザ上で実行され、各種通信処理、画面表示処理を行うプログラムである。平面図データ８３は、監視画面の背景となるフロア等の平面図のデータである。

　画面構成ファイル８１、監視プログラム８２及び平面図データ８３についてさらに詳細に説明する。

　画面構成ファイル８１は、監視端末４に表示する画面のレイアウト構成ファイルおよび各種画像ファイルである。画面構成ファイル８１は、フレーム構成を記述するＨＴＭＬ（ＨｙｐｅｒＴｅｘｔ　Ｍａｒｋｕｐ　Ｌａｎｇｕａｇｅ）ファイルを含む。画面構成ファイル８１は、ＧＩＦ（Ｇｒａｐｈｉｃｓ　Ｉｎｔｅｒｃｈａｎｇｅ　Ｆｏｒｍａｔ）形式やＪＰＥＧ（Ｊｏｉｎｔ　Ｐｈｏｔｏｇｒａｐｈｉｃ　Ｅｘｐｅｒｔｓ　Ｇｒｏｕｐ）形式、ＢＭＰ（Ｂｉｔｍａｐ）形式などで記述された各種画像ファイルも含む。

　監視プログラム８２は、Ｗｅｂサーバ部３４によって監視端末４に送られ、監視端末４のＷｅｂブラウザで実行されるプログラムである。監視プログラム８２は、各設備管理装置３と通信を行って監視画面を表示するプログラムである。監視プログラム８２は、ＪａｖａＳｃｒｉｐｔ（登録商標）などの言語で記述されたプログラムである。

　監視プログラム８２は、設備機器管理部３１から複数の設備管理装置３各々の運転状態データを取得し、複数の設備管理装置３が管理する設備機器２の運転状態を混在して監視端末４のＷｅｂブラウザ上に表示するプログラムである。

　平面図データ８３は、ビルの位置やビル内の設備機器２の設置位置が明確になるように、監視画面の背景として表示するための画像である。平面図データ８３には、地図や航空写真、ビル内のフロア単位の平面図画像などが格納されている。

　この実施の形態では、データ管理部４０が、複数の設備機器２が設置されたフロアの平面図画像を保持する平面図保持部に対応する。また、データ管理部４０が、平面図上の複数の設備機器２の表示位置を示す表示位置データを保持する表示位置データ保持部に対応する。監視プログラム８２は、Ｗｅｂブラウザで実行され、各設備管理装置３からデータ管理部４０で保持された平面図画像と、データ管理部４０で保持された表示位置データと、を取得するプログラムである。さらに、監視プログラム８２は、平面図画像上に表示位置データ７３が示す位置に、複数の設備機器２の運転状態を示すアイコンを重ね合わせて、監視端末４のＷｅｂブラウザ上に表示するプログラムである。

　システム構成データ９０は、代表となる設備管理装置（親機）３内に保持されている。システム構成データ９０には、複数の設備管理装置３のＩＰアドレス又はドメイン名、ホスト名など、ネットワーク上の接続先が特定できる内容が記述された設備管理装置アドレスリスト９１が含まれる。

　ユーザ登録情報１００は、ユーザ認証を行う際に利用される。ユーザ登録情報１００は、代表となる設備管理装置（親機）３内に接続を許可する複数のユーザＩＤ、パスワードの一覧として格納されている。なお、ユーザ登録情報１００は、ユーザＩＤ、パスワードに限定されるものではなく、指紋認証用のデータやディジタル証明書など、ユーザを一意に特定できる他の手段を用いるためのデータとしてもよい。

　暗号処理用データ１１０には、認証シーケンスで用いられる自装置の秘密鍵１１１と、設備管理装置アドレスリスト９１に対応した設備管理装置公開鍵リスト１１２とが含まれている。

　自装置の秘密鍵１１１は、公開鍵暗号方式の仕組みで生成される鍵ペア（公開鍵、秘密鍵）のうちの１つである。自装置の公開鍵を用いて暗号化されたデータは、自装置の秘密鍵１１１でのみ復号化することが可能である。

　設備管理装置公開鍵リスト１１２には、複数の設備管理装置３の公開鍵が格納されている。代表の設備管理装置（親機）３は、自装置の公開鍵および設備管理装置アドレスリスト９１に対応した複数の設備管理装置３の公開鍵を保持している。また、その他の設備管理装置（子機）３は、代表の設備管理装置（親機）３の公開鍵を保持している。以上のように、データ管理部４０が、自装置と他の設備管理装置３とを含む複数の設備管理装置３各々の公開鍵のリストを保持する公開鍵リスト保持部に対応する。

　なお、通常の公開鍵は、数値を羅列しただけのデータである。しかしながら、ＩＤベース暗号技術を用いると、公開鍵を製造番号などの特定の文字列とすることが可能である。この実施の形態では、自装置と他の設備管理装置３とを含む各設備管理装置３のその装置固有の製造番号を公開鍵として用いるものとする。

　設備機器通信管理部５０は、専用通信線５のインターフェイスである。この設備機器通信管理部５０を介して設備機器２とのデータの送受信が行われる。なお、専用通信線５は必ずしも専用の通信線である必要はなく、汎用的な通信線であるＬＡＮやＲＳ－４８５インターフェイスなどを用いてもよい。

　監視端末通信管理部６０は、通信線６のインターフェイスである。この監視端末通信管理部６０を介して監視端末４とのデータの送受信が行われる。通信線６はＬＡＮや無線ＬＡＮとすることができる。また、通信線６として、ＶＰＮルータを介して監視端末４と設備管理装置３を接続するようなインターネット回線等を利用することも可能である。

　監視端末４は、Ｗｅｂブラウザが動作可能な汎用的なコンピュータである。監視端末４は、設備管理装置３から受信したＷｅｂコンテンツ８０に従って監視画面を表示する。より具体的には、監視端末４は、Ｗｅｂブラウザを用いて各設備管理装置３にアクセスして、複数の設備機器２を管理する各設備管理装置３から、各設備機器２の運転状態を取得して表示する。図３に示すように、監視端末４は、表示装置１２０、入力装置１３０、Ｗｅｂコンテンツ表示制御部１４０、データベース部１５０及び通信管理部１６０を備えている。

　表示装置１２０は、Ｗｅｂコンテンツ表示制御部１４０の制御の下、設備管理装置３から取得したＷｅｂコンテンツ８０を表示する。

　入力装置１３０は、マウス、キーボード、タッチパネル等の入力用デバイスである。入力装置１３０がタッチパネルである場合には、入力装置１３０は、表示装置１２０上に設置される。管理者がマウス等の入力装置１３０を操作すると、その操作内容に応じて、画面の切り換えや、設備機器２の操作等が行われる。

　Ｗｅｂコンテンツ表示制御部１４０は、入力装置１３０から入力された接続先の設備管理装置３と通信を行ってＷｅｂコンテンツ８０を取得し、設備機器群７の監視画面を表示装置１２０に表示するための処理を行う。Ｗｅｂコンテンツ表示制御部１４０には、画面構成ファイル解析部１４１及び監視プログラム実行部１４２が含まれている。

　画面構成ファイル解析部１４１は、取得した画面構成ファイル８１を解析する。監視プログラム実行部１４２は、設備管理装置３からダウンロードされた監視プログラムを実行する。監視プログラム実行部１４２には、データ通信管理部１４３及び設備機器データ管理部１４４が含まれる。データ通信管理部１４３は、設備管理装置３との通信処理を行う。設備機器データ管理部１４４は、設備機器データ７０の管理を行う。

　データベース部１５０は、監視プログラム実行部１４２が利用する各種データを管理する。データベース部１５０には、システム構成データ１５１及び設備機器データ１５４が含まれる。

　システム構成データ１５１には、設備管理装置アドレスリスト１５２が含まれる。設備管理装置アドレスリスト１５２は、通信先の設備管理装置３の特定情報となるＩＰアドレスやドメイン名、ホスト名などを含む。

　設備機器データ１５４には、設備機器の接続情報１５５、運転状態データ１５６及び表示位置データ１５７が含まれている。設備機器データ１５３は、設備機器データ管理部１４４によって最新に保たれている。

　通信管理部１６０は、通信線６のインターフェイスである。この通信管理部１６０を介して設備管理装置３とのデータの送受信が行われる。

　次に、ユーザ認証時における設備管理装置３及び監視端末４の動作について、図４、図５を参照して、説明する。

　図４には、設備管理装置３によって実行されるユーザ認証処理が示されている。

　監視端末４のＷｅｂブラウザに、代表となる設備管理装置（親機）３のＵＲＬを入力すると、Ｗｅｂコンテンツ表示制御部１４０は、通信管理部１６０を介して設備管理装置３に対してＨＴＴＰプロトコル（Ｈｙｐｅｒｔｅｘｔ　Ｔｒａｎｓｆｅｒ　Ｐｒｏｔｏｃｏｌ）に従って接続を開始する。設備管理装置３の制御部３０（Ｗｅｂサーバ部３４）は、監視端末通信管理部６０を介してログイン画面表示用のＷｅｂコンテンツ８０（ログイン画面情報）を、監視端末４に送信する（ステップＳ１ａ）。これにより、監視端末４の表示装置１２０には、ログイン画面が表示される。

　ユーザがログイン画面において、監視端末４の入力装置１３０を操作してユーザＩＤ、パスワードを入力すると、監視端末４（Ｗｅｂコンテンツ表示制御部１４０）は、通信管理部１６０を介して、設備管理装置３に、ユーザＩＤ、パスワードを送信する。設備管理装置３の制御部３０（Ｗｅｂサーバ部３４）は、ユーザＩＤ、パスワードを受信する（ステップＳ１ｂ）。

　設備管理装置３のユーザ認証部３５は、受信したユーザＩＤ、パスワードを、ユーザ登録情報１００内のデータと比較し、認証が成功したか否かを判定する（ステップＳ１ｃ）。ここで認証に失敗すれば（ステップＳ１ｃ；Ｎｏ）、設備管理装置３（ユーザ認証部３５）は、監視端末４に認証エラーを返信し（ステップＳ１ｄ）、処理を終了する。一方、一致するデータがあり、認証に成功すると（ステップＳ１ｃ；Ｙｅｓ）、設備管理装置３（制御部３０）は、認証完了として以下の手順を実行する。

　まず、設備管理装置３（制御部３０）は、全設備管理装置３の認証コードの生成が完了したか否かを判定する（ステップＳ１ｅ）。ここでは、まだ、１台目なので、判定は否定され（ステップＳ１ｅ；Ｎｏ）、設備管理装置３（制御部３０）は、ステップＳ１ｆに進む。

　続いて、ステップＳ１ｆ、Ｓ１ｇにおいて、認証コード生成部３６は、暗号処理用データ１１０内の自装置の秘密鍵１１１、設備管理装置公開鍵リスト１１２を用いて認証コードを生成する。

　まず、認証コード生成部３６は、自装置のユーザ認証に成功したことを示すデータとしての認証データに、自装置の秘密鍵１１１を用いてディジタル署名を付加する（ステップＳ１ｆ）。この認証データには、認証コードの発行日時と、接続元のＩＰアドレスが含まれる。さらに、認証コード生成部３６は、ディジタル署名を付加したデータを各設備管理装置３の公開鍵（製造番号）で暗号化する（ステップＳ１ｇ）。この場合、認証コードは、例えば、図５に示す形式となる。

　認証コード生成部３６は、全ての設備管理装置３に対する認証コードの生成が完了するまで、ステップＳ１ｆ、ステップＳ１ｇを繰り返す。

　設備管理装置公開鍵リスト１１２に登録されている全ての設備管理装置（親機及び子機）３の認証コードの生成が完了したら（ステップＳ１ｅ；Ｙｅｓ）、設備管理装置３（制御部３０）は、生成した認証コードを含む、システム構成データ９０内の設備管理装置アドレスリスト９１内のＩＰアドレス用のＣｏｏｋｉｅを全設備管理装置３分生成し、監視端末４に返信する（ステップＳ１ｈ）。

　このように、ユーザ認証処理部３２は、認証データを自装置の秘密鍵１１１を用いてディジタル署名を行って認証データの改ざんを防止し、さらに、ユーザ認証処理部３２は、ディジタル署名を付加した認証データを各設備管理装置３の公開鍵（製造番号）で暗号化し、指定の設備管理装置３以外に復号できない認証コードを生成する。

　以上で、監視端末４と設備管理装置（親機）３との間のユーザ認証処理が終了する。この結果、監視端末４は、各設備管理装置３にアクセス可能な認証コードを、各設備管理装置３用のＣｏｏｋｉｅとして取得する。

　監視端末４は、取得したアドレスを、設備管理装置アドレスリスト１５２として、システム構成データ１５１内に保持する。また、設備管理装置３が発行した認証コードを含むＣｏｏｋｉｅは監視端末４で実行されるＷｅｂブラウザによって保持される。以降、各設備管理装置３にアクセスする場合、監視端末４のＷｅｂブラウザは接続先の設備管理装置３のＩＰアドレス（またはドメイン名）によって付加するＣｏｏｋｉｅを判断し、接続対象のＣｏｏｋｉｅをＨＴＴＰヘッダに付加して、モニタまたは設定コマンドを設備管理装置３に送信する。

　Ｃｏｏｋｉｅ内に含まれる認証コードは、設備管理装置（親機）３の秘密鍵を用いてディジタル署名を行うため、悪意のあるユーザが認証データの改ざんや認証コードの偽造を行おうとしても設備管理装置（親機）３の秘密鍵が分からないので、正しい署名を付加することができない。そのため、発行された認証コード内のデータは改ざんされておらず、間違いなく設備管理装置（親機）３によって発行されたことが保証される。

　また、さらに設備管理装置（親機または子機）３の公開鍵（製造番号）で暗号化を行うので、認証コードは、対象の設備管理装置３の秘密鍵でしか復号できなくなり、盗聴などで認証コードを取得したとしても内容が読み出されることはない。また、内容を解析して認証コードを偽造することもできない。この結果、不正アクセスを防止することが可能となる。

　なお、上述の認証コードの形式は一例である。自装置の秘密鍵１１１を用いてデータのディジタル署名を行い、さらに対象の設備管理装置３の公開鍵で暗号化する方式であれば、認証コード内のデータ要素に対してさらに変更、追加、削除を行った認証コードを用いてもよい。

　次に、ユーザ認証完了後に監視端末４から各設備管理装置３にアクセスする際に、各設備管理装置３で実行される認証コードの検証処理について、図６を参照して説明する。

　図６には、認証完了後に監視端末４のＷｅｂブラウザから各設備管理装置３に接続するときの、設備管理装置３で実行される認証コード検証処理が示されている。

　ユーザ認証が成功した後、監視端末４から設備管理装置３へモニタまたは設定コマンドを送信する際に、監視端末４は、要求コマンドのＨＴＴＰヘッダに認証コードを含むＣｏｏｋｉｅを付加して設備管理装置３へ送信する。

　設備管理装置３は、受信したコマンドに認証コードが付加されているか否かを判定する（ステップＳ２ａ）。付加されていない場合（ステップＳ２ａ；Ｎｏ）、設備管理装置３は、認証エラーを監視端末４に返信するとともに、接続を切断する（ステップＳ２ｈ）。一方、コマンドに認証コードが付加されていると判定すると（ステップＳ２ａ；Ｙｅｓ）、認証コードの検証が開始される。

　まず、設備管理装置３の認証コード解析部３３は、認証コードを自装置の秘密鍵１１１で復号する（ステップＳ２ｂ）。続いて、認証コード解析部３３は、正常に復号したか否かを判定する（ステップＳ２ｃ）。正常に復号せず、異常が発生した場合は（ステップＳ２ｃ；Ｎｏ）、設備管理装置３は、認証エラーを監視端末４に返信するとともに、接続を切断する（ステップＳ２ｈ）。正常に復号した場合は（ステップＳ２ｃ；Ｙｅｓ）、以下のディジタル署名の検証処理を続行する。

　まず、認証コード解析部３３は、ステップＳ２ｂで復号化した認証コード内のディジタル署名が正しいか否かを、代表の設備管理装置（親機）３の公開鍵（製造番号）を用いて検証する（ステップＳ２ｄ）。ディジタル署名が正常である場合は（ステップＳ２ｅ；Ｎｏ）、認証コード解析部３３は、認証エラーを監視端末４に返信するとともに、接続を切断する（ステップＳ２ｈ）。ディジタル署名が正しい場合は（ステップＳ２ｅ；Ｙｅｓ）、認証コード解析部３３は、認証コードの検証処理を続行する。

　次に、ステップＳ２ｂで復号化した認証コードの発行日時、接続元のＩＰアドレスが正常であるか否かを判定する（ステップＳ２ｆ）。ここで発行日時の判定については、発行から一定時間以上経過していないかを確認するものとする。この判定により、過去に利用した認証コードを不正に再利用できないようにする（リプレイ攻撃対策）。また、接続元のＩＰアドレスの判定については、現在接続されている監視端末４が認証コード内に記載されたＩＰアドレスと同一であるか否かを確認するものとする。この判定により、盗聴した認証コードを他端末で不正に利用されないようにする（なりすまし攻撃対策）。

　発行日時、または接続元のＩＰアドレスが正常でなく、異常であれば（ステップＳ２ｆ；Ｎｏ）、認証コード解析部３３は、認証エラーとして監視端末４に返信するとともに、接続を切断する（ステップＳ２ｈ）。すなわち、認証コード解析部３３は、認証の度に更新される発行日時、および接続元のＩＰアドレスに基づいて、認証を行う。発行日時、および接続元のＩＰアドレスが正常であった場合（ステップＳ２ｆ；Ｙｅｓ）、認証コード解析部３３は、認証コードが正しいものとして正常応答を返信する（ステップＳ２ｇ）。

　以上で、監視端末４から受信した要求コマンドの認証コード検証処理が終了し、監視端末４は、代表の設備管理装置（親機）３に１回ログインするのみで、他の設備管理装置３へもアクセス可能となる。

　次に、上述した手順を用いて、ログイン認証を行った後、Ｗｅｂ画面上に各設備機器２のアイコンを表示する手順について、図７を参照して説明する。

　前述した手順にて設備管理装置（親機）３でログイン認証を行った後、監視端末４は、設備管理装置（親機）３から取得したＷｅｂコンテンツ８０を取得する（ステップＳ３ａ）。続いて、監視端末４（画面構成ファイル解析部１４１）は、Ｗｅｂコンテンツ８０を解析し、取得したＨＴＭＬファイルに従って画面を表示し（ステップＳ３ｂ）、ＨＴＭＬファイル内に埋め込まれている監視プログラム（ＪａｖａＳｃｒｉｐｔ（登録商標））を実行する（ステップＳ３ｃ）。

　監視プログラム実行部１４２（データ通信管理部１４３）は、Ｗｅｂコンテンツ８０を取得した設備管理装置３に対して認証コードを付加してＷｅｂＳｏｃｋｅｔ方式で接続する（ステップＳ３ｄ）。ここで、ＷｅｂＳｏｃｋｅｔ方式とは、ＷｅｂサーバとＷｅｂクライアントとの双方向通信用の技術規格である。ＷｅｂＳｏｃｋｅｔ方式で接続すれば、ＨＴＴＰプロトコルとは異なり、常時接続しておくことが可能である。そのため、通信が必要なときにＷｅｂサーバ、Ｗｅｂクライアントのどちらからでも送信を開始することが可能となる。これにより、操作や状態の変化など、機器に何らかの変化があった時のみ情報を送信することができる。

　接続完了後、データ通信管理部１４３は、設備管理システム１内に接続されている設備管理装置３のＩＰアドレス、ホスト名などのアドレス情報が入力されている設備管理装置アドレスリスト９１を含むシステム構成データ９０を取得する（ステップＳ３ｅ）。

　続いて、データ通信管理部１４３は、取得したシステム構成データ９０を、データベース部１５０内にシステム構成データ１５１として保持する（ステップＳ３ｆ）。

　まず、設備管理装置３（制御部３０）は、全設備管理装置３が完了したか否かを判定する（ステップＳ３ｇ）。ここでは、まだ、１台目なので、判定は否定され（ステップＳ３ｇ；Ｎｏ）、設備管理装置３（制御部３０）は、ステップＳ３ｈに進む。

　続いて、設備機器データ管理部１４４は、データベース部１５０内のシステム構成データ１５１に含まれる設備管理装置３のそれぞれのＩＰアドレスまたはホスト名に対してＷｅｂＳｏｃｋｅｔ方式で設備管理装置３に接続する（ステップＳ３ｈ）。続いて、設備機器データ管理部１４４は、設備機器２の接続情報１５５の取得、保持を行う（ステップＳ３ｉ）。設備機器データ管理部１４４は、設備機器２の運転状態データ１５６の取得、保持を行う（ステップＳ３ｊ）。設備機器データ管理部１４４は、表示位置データ１５７の取得、保持を行う（ステップＳ３ｋ）。このようにして、設備機器データ管理部１４４は、データベース部１５０内に設備機器データ１５４として保持する。

　認証コード生成部３６は、全ての設備管理装置３からの設備機器データ１５４の取得が完了するまで、ステップＳ３ｇ乃至ステップＳ３ｋを繰り返す。

　全ての設備管理装置（親機及び子機）３の設備機器データ１５４の取得が完了したら（ステップＳ３ｇ；Ｙｅｓ）、監視プログラム実行部１４２内の設備機器データ管理部１４４は、Ｗｅｂ画面上の平面図上に、各設備機器２の表示位置データ１５６に従って、運転状態を示す設備機器アイコンを表示する（ステップＳ３ｍ）。

　以降、設備機器２の運転状態が変化した場合、設備管理装置３は、状態の変化を示すデータを監視端末４に送信する。送信を受けた監視端末４は、そのデータを設備機器データ１５４として保持する。運転状態データ１５６または表示位置データ１５７などの設備機器データ１５４が更新された場合、設備機器データ管理部１４４は、設備機器アイコンの表示状態を変更する。

　以上で、監視端末４で、監視画面表示処理が終了する。これにより、複数の設備管理装置３が管理する設備機器群７の運転状態を同一のＷｅｂページ上で監視することが可能となる。

　図８には、図４、図６、図７で示す処理により行われる通信シーケンスが示されている。図８に示すように、ログイン認証（Ｓ１）後に各設備管理装置３のアドレス、認証コードのリストを取得し（Ｓ２）、画面表示のＷｅｂコンテンツ要求及び取得（Ｓ３）を経て、ＷｅｂＳｏｃｋｅｔ接続（認証コード付加）（Ｓ４、Ｓ６、Ｓ８）、設備機器データ１５４を、各設備管理装置３から直接取得する（Ｓ５、Ｓ７、Ｓ９）。このようにして、認証コードによる安全性を確保しつつ、処理の分散化を図っている。

　図９には、監視端末４で表示されるフロア監視画面の一例が示されている。図９に示すように、この監視画面は、複数の設備管理装置３（３ａ、３ｂ、３ｃとする）が同一フロア内の設備機器群７（図１参照）の監視図面となっている。監視端末４（図３参照）では、各設備管理装置３から取得した表示位置データ１５７（図３参照）に従って、Ｗｅｂブラウザ上に表示された１つのＷｅｂページの平面図上に、複数の設備管理装置３から取得された各設備機器２の運転状態データ１５６（図３参照）に従ったアイコンが配置されている。

　なお、ここでは、同一フロア内に複数の設備管理装置３ａ、３ｂ、３ｃを設置した例が示されているが、フロア単位で設備管理装置３を設置した場合は、同様に、複数フロアの設備機器２の運転状態を１枚のＷｅｂページ上に表示するようにしてもよい。

　図１０には、監視端末４（図３参照）で表示される、異常発生中のユニットを表示する画面の一例が示されている。図１０に示すように、この画面では、設備管理装置３ａ、３ｂ、３ｃから取得した各設備機器２（図１参照）の運転状態データ１５５（図３参照）に従って、異常発生中の設備機器２が、発生日時順に１つのＷｅｂページ内に表示されている。

　次に、図１１及び図１２を参照して、設備機器２の運転状態が変化した場合に行う処理について説明する。

　図１１には、設備機器２の運転状態が変化した際の設備管理装置３の処理が示されている。

　設備管理装置３は、設備機器２から情報を受信するまで待つ（ステップＳ４ａ；Ｎｏ）。受信すると（ステップＳ４ａ；Ｙｅｓ）、設備管理装置３は、設備機器２の運転状態が、設備機器２に接続されたリモコン（図示せず）または設備管理装置３によって操作された場合、設備機器２からの送信により設備管理装置３内の設備機器管理部３１が状態変化を検知し、運転状態データ７２を更新する（ステップＳ４ｂ）。

　続いて、設備管理装置３は、監視端末４との接続があるか否か（ＷｅｂＳｏｃｋｅｔ接続があるか否か）を判定し（ステップＳ４ｃ）、接続中の場合（ステップＳ４ｃ；Ｙｅｓ）、設備管理装置３は、ＷｅｂＳｏｃｋｅｔの接続先の監視端末４に対して、設備機器２の運転状態の変化情報を送信する（ステップＳ４ｄ）。

　図１２には、設備管理装置３からの設備機器２の運転状態データ７２の変化情報の送信を受けたときに実行される監視端末４の処理が示されている。

　監視端末４は、設備管理装置３から設備機器２の運転状態の変化情報を受信するまで待つ（ステップＳ５ａ；Ｎｏ）、受信すると（ステップＳ５ａ；Ｙｅｓ）、監視端末４（設備機器データ管理部１４４）は、設備機器データ１５４内の運転状態データ１５６を更新する（ステップ５ｂ）。

　続いて、監視端末４（設備機器データ管理部１４４）は、現在表示されている監視画面上の設備機器運転状態を最新状態に更新する（ステップＳ５ｃ）。

　以上で、設備機器２の運転状態が変化した際の処理が終了し、複数の設備管理装置３が管理する設備機器群７の最新の運転状態データを常時監視することが可能となる。

　すなわち、設備機器データ管理部１４４は、設備機器管理部３１で管理される設備機器２の運転状態が更新された場合に、更新された運転状態を示すデータを、監視端末４に送信する。

　なお、この実施の形態では特に明記していないが、設備管理装置３が保持しているＷｅｂコンテンツ８０、システム構成データ９０、ユーザ登録情報１００、暗号処理用データ１１０は予め設備管理装置３に設定しておくものとする。このような設定は、設備管理装置３の入力部２０から行えるようにしてもよいし、監視端末４のＷｅｂブラウザから行えるようにしてもよい。

　また、各設備機器２の表示位置データ７３も、設備管理装置３の入力部２０から設定できるようにしてもよいし、監視端末４のＷｅｂブラウザで表示位置を確認しながら設定できるようにしてもよい。

　また、この実施の形態では、設備管理装置３が、表示部１０および入力部２０を備えるものとしたが、必ずしも表示部１０及び入力部２０が必要という訳ではない。例えば、表示部１０、入力部２０を備えずに、通信線６を介して各種設定、操作等が行えるようにしてもよい。

　また、この実施の形態では、監視端末４はパソコン上のＷｅｂブラウザを利用するようにしたが、設備管理装置３上でＷｅｂブラウザを起動してＷｅｂコンテンツ８０を読み込み、図４と同様の処理手順にて自装置の表示部１０で他の設備管理装置３に接続された設備機器群７も併せて監視できるような端末を監視端末４としてもよい。

　また、この実施の形態では、監視端末４をパソコンとしたが、必ずしもパソコンを利用する必要はない。監視プログラム８２を実行可能な専用端末やタブレット端末などを利用してもよい。

　また、この実施の形態では、認証後は、全てのコマンドを通信可能としているが、認証コード内に権限レベルやユーザ名を示す情報を付加し、ログインしたユーザによってアクセス可能なコマンドを制限してもよい。

　また、この実施の形態では、認証コード内に記載された発行日時、接続元のＩＰアドレスを検証することによってリプレイ攻撃を防止しているが、必ずしもこれらのデータでリプレイ攻撃を防止する必要はなく、カウンタ値などを認証コード内に記述し、リプレイ攻撃を防止する仕組みとしても良い。

　また、この実施の形態では、認証データを代表の設備管理装置３の秘密鍵を用いてディジタル署名を行うこととしているが、ディジタル署名の代わりに代表の設備管理装置３の秘密鍵で認証データの一部を暗号化する方式を用いても良い。

　また、この実施の形態では、公開鍵として設備管理装置３の製造番号を用いることとしたが、製造番号以外の設備管理装置３固有の番号を用いても良いし、通常用いられるランダムな値の公開鍵を用いても良い。

　監視端末４と設備管理装置３との間の通信フォーマットは、ＸＭＬ（Ｅｘｔｅｎｓｉｂｌｅ　Ｍａｒｋｕｐ　Ｌａｎｇｕａｇｅ）等を用いたテキスト形式を利用してもよいし、通信サイズを低減するためにバイナリ形式など他の形式を用いてもよい。また、通信する情報を秘匿できるように、通信の暗号化を行ってもよい。

　また、この実施の形態では、通信方式に常時接続が可能なＷｅｂＳｏｃｋｅｔを用いるものとしているが、必ずしもＷｅｂＳｏｃｋｅｔを用いる必要はなく、ＨＴＴＰプロトコルや独自プロトコルなどを用いて通信してもよい。

　また、この実施の形態では、例えば、ビル内に複数の設備管理装置３が設置されている場合について述べた。しかしながら、設備管理装置３がそれぞれ地理的に離れた各拠点に存在し、監視端末４からインターネットを介してＶＰＮ接続を行うシステムにも本発明を適用できる。この場合には、各拠点間で認証情報を共有できるような仕組みとし、Ｗｅｂ画面で例えば、複数の拠点に跨る地図上に設備管理装置３を示すアイコンを表示することができる。

　以上詳細に説明したように、この実施の形態に係る設備管理装置３および監視端末４によれば、監視端末４が代表の設備管理装置（親機）３にログインすることで認証コードが発行され、その認証コードを付加して監視端末４が他の設備管理装置３に接続を試みる。このようにすることで、複数の設備管理装置に１回のログイン認証でアクセス可能となるとともに、認証サーバ（親機）と目的サイト（子機）間の通信をなくすことができ、監視端末４と各設備管理装置３がそれぞれ１対１でＶＰＮ接続されている場合であっても、１回のログインで他の設備管理装置３にアクセスすることが可能となる。

　また、この実施の形態に係る設備管理装置３及び監視端末４によれば、認証コード内に設備管理装置（親機）３しか保持していない秘密鍵を用いてディジタル署名を行っているため、悪意のあるユーザによる認証コードの改ざん、偽造を防止することができる。

　また、この実施の形態によれば、認証コード内に接続元のＩＰアドレスを入れ、実際に接続された端末が認証コード内のＩＰアドレスと一致していることを検証することにより、認証コードを不正に複製し、他の端末から不正アクセスを行うことを防止することができる。

　また、この実施の形態によれば、認証コードは、接続対象の設備管理装置３の（製造番号）で暗号化し、対象となる設備管理装置３でしか保持されていない秘密鍵でしか認証コードを復号できない。このため、たとえ認証コードを盗聴して不正に入手したとしても認証コードの内容を解析することはできず、認証コードの偽造を防止することができる。

　また、この実施の形態によれば、認証コード内に発行日時を入れることにより、認証コードを盗聴して同一の認証コードを付加して不正アクセスを行おうとするリプレイアタックを防止することができる。

　また、この実施の形態によれば、ＩＤベース暗号技術を用いて各設備管理装置３の公開鍵を、製造番号等の人が見て分かりやすいものとすることにより、代表の設備管理装置３に事前に登録しておく設備管理装置公開鍵リスト１１２の設定が容易となる。

　また、この実施の形態によれば、ＴＣＰ接続を長時間維持可能なＷｅｂＳｏｃｋｅｔを用いることで、複数の通信を行う場合でも認証コードを用いた検証が１回ですむため、１回のみ有効な使い捨ての認証コードとして利用可能であり、より安全な仕組みとなる。

　また、この実施の形態によれば、Ｗｅｂページ内で実行された監視プログラム（監視プログラム実行部１４２）が、複数の設備管理装置３と接続し、運転状態データ７２を取得する。このようにすれば、同一のＷｅｂページ内に複数の設備管理装置３が管理する設備機器２の状態を混在して表示することが可能となる。このようにすれば、従来、設備管理装置３ごとのＷｅｂページでしか運転状態や異常状態が確認できなかったために発生していた、異常機器の見落とし、照明の消し忘れや、全設備管理装置３分の接続先（ＵＲＬ）を切り替えなければ全ての設備機器２を管理できないといった管理の煩雑性を解消することができる。

　なお、上記実施の形態において、実行されるプログラムは、フレキシブルディスク、ＣＤ－ＲＯＭ（Compact Disc Read-Only Memory）、ＤＶＤ（Digital Versatile Disc）、ＭＯ（Magneto-Optical Disc）等のコンピュータ読み取り可能な記録媒体に格納して配布し、そのプログラムをインストールすることにより、上述のプログラムを実行するシステムを構成することとしてもよい。

　また、プログラムをインターネット等の通信ネットワーク上の所定のサーバ装置が有するディスク装置等に格納しておき、例えば、搬送波に重畳させて、ダウンロード等するようにしてもよい。

　また、上述の機能を、ＯＳ（Operating System）が分担して実現する場合又はＯＳとアプリケーションとの協働により実現する場合等には、ＯＳ以外の部分のみを媒体に格納して配布してもよく、また、ダウンロード等してもよい。

　この発明は、この発明の広義の精神と範囲を逸脱することなく、様々な実施の形態及び変形が可能とされるものである。また、上述した実施の形態は、この発明を説明するためのものであり、この発明の範囲を限定するものではない。すなわち、この発明の範囲は、実施の形態ではなく、特許請求の範囲によって示される。そして、特許請求の範囲内及びそれと同等の発明の意義の範囲内で施される様々な変形が、この発明の範囲内とみなされる。

　この発明は、ビル等の家屋に設置された複数の設備管理装置が管理する設備機器を、１台の監視端末で管理する場合に好適である。

　１　設備管理システム、２　設備機器、３　設備管理装置、４　監視端末、５　専用通信線、６　通信線、７　設備機器群、１０　表示部、２０　入力部、３０　制御部、３１　設備機器管理部、３２　ユーザ認証処理部、３３　認証コード解析部、３４　Ｗｅｂサーバ部、３５　ユーザ認証部、３６　認証コード生成部、３７　設備機器データ通信部、３８　システム接続データ通信部、４０　データ管理部、５０　設備機器通信管理部、６０　監視端末通信管理部、７０　設備機器データ、７１　接続情報、７２　運転状態データ、７３　表示位置データ、８０　Ｗｅｂコンテンツ、８１　画面構成ファイル、８２　監視プログラム、８３　平面図データ、９０　システム構成データ、９１　設備管理装置アドレスリスト、１００　ユーザ登録情報、１１０　暗号処理用データ、１１１　自装置の秘密鍵、１１２　設備管理装置公開鍵リスト、１２０　表示装置、１３０　入力装置、１４０　Ｗｅｂコンテンツ表示制御部、１４１　画面構成ファイル解析部、１４２　監視プログラム実行部、１４３　データ通信管理部、１４４　設備機器データ管理部、１５０　データベース部、１５１　システム構成データ、１５２　設備管理装置アドレスリスト、１５３　設備管理装置認証コードリスト、１５４　設備機器データ、１５５　接続情報、１５６　運転状態データ、１５７　表示位置データ、１６０　通信管理部

Claims

　設備機器を管理する設備管理装置であって、
　前記設備機器の運転状態を管理する設備機器管理部と、
　自装置が複数の設備管理装置のうちの代表の設備管理装置である場合に、監視端末からの要求に従ってユーザ認証を行い、ユーザ認証が成功した場合に、自装置の秘密鍵でディジタル署名を付加した認証データを前記各設備管理装置の公開鍵を用いて暗号化した認証コードを前記設備管理装置ごとに生成し、前記監視端末に送信するユーザ認証処理部と、
　自装置の設備管理装置用に生成された認証コードを前記監視端末から受信すると、受信した認証コードを、自装置の秘密鍵で復号し、前記代表の設備管理装置の公開鍵でディジタル署名を検証することにより、認証を行う認証コード解析部と、
　前記ユーザ認証処理部又は前記認証コード解析部で認証に成功すると、前記設備機器管理部で管理される前記各設備機器の運転状態を示すデータの監視、操作を可能とするＷｅｂサーバ部と、
　を備える設備管理装置。
　自装置と他の設備管理装置とを含む前記複数の設備管理装置各々の公開鍵のリストを保持する公開鍵リスト保持部をさらに備え、
　前記ユーザ認証処理部は、
　自装置のユーザ認証に成功したことを示すデータとしての前記認証データに、自装置の秘密鍵を用いてディジタル署名を付加し、
　ディジタル署名を付加したデータを前記各設備管理装置の公開鍵で暗号化したデータを、前記各設備管理装置の認証コードとして生成する、
　請求項１に記載の設備管理装置。
　前記ユーザ認証処理部は、
　前記認証コード内に、認証の度に更新される発行日時を付加し、
　前記認証コード解析部は、
　前記発行日時に基づいて、認証を行う、
　請求項１又は２に記載の設備管理装置。
　前記ユーザ認証処理部は、
　前記認証コード内に、ユーザ認証を行った端末のＩＰアドレスを付加し、
　前記認証コード解析部は、
　前記ＩＰアドレスに基づいて、認証を行う、
　請求項１乃至３のいずれか一項に記載の設備管理装置。
　前記各設備管理装置の公開鍵を、前記各設備管理装置固有の製造番号とする、
　請求項１乃至４のいずれか一項に記載の設備管理装置。
　前記Ｗｅｂサーバ部は、
　前記監視端末と常時接続可能である、
　請求項１乃至５のいずれか一項に記載の設備管理装置。
　前記Ｗｅｂサーバ部は、
　前記監視端末のＷｅｂブラウザ上で実行される監視プログラムを前記監視端末に送信し、
　前記監視プログラムは、
　前記設備機器管理部から複数の設備管理装置各々の運転状態データを取得し、前記複数の設備管理装置が管理する設備機器の運転状態を混在して前記監視端末のＷｅｂブラウザ上に表示するプログラムである、
　請求項１乃至６のいずれか一項に記載の設備管理装置。
　複数の設備機器が設置されたフロアの平面図画像を保持する平面図保持部と、
　平面図上の前記複数の設備機器の表示位置を示す表示位置データを保持する表示位置データ保持部と、
　を備え、
　前記監視プログラムは、
　前記各設備管理装置から前記平面図保持部で保持された平面図画像と、前記表示位置データ保持部で保持された表示位置データと、を取得し、
　前記平面図画像上に前記表示位置データが示す位置に、前記複数の設備機器の運転状態を示すアイコンを重ね合わせて、前記監視端末のＷｅｂブラウザ上に表示する、
　請求項７に記載の設備管理装置。
　前記設備機器管理部で管理される前記設備機器の運転状態が更新された場合に、更新された運転状態を示すデータを、前記監視端末に送信する設備機器データ管理部をさらに備える、
　請求項６に記載の設備管理装置。
　請求項１乃至９のいずれか一項に記載の複数の設備管理装置と、
　Ｗｅｂブラウザを用いて前記各設備管理装置にアクセスして、複数の設備機器を管理する前記各設備管理装置から、前記各設備機器の運転状態を取得して表示する監視端末と、
　を備える設備管理システム。
　設備機器を管理する設備管理装置を制御するコンピュータを、
　前記設備機器の運転状態を管理する設備機器管理部、
　自装置が複数の設備管理装置のうちの代表の設備管理装置である場合に、監視端末からの要求に従ってユーザ認証を行い、ユーザ認証が成功した場合に、自装置の秘密鍵でディジタル署名を付加した認証データを前記各設備管理装置の公開鍵を用いて暗号化した認証コードを前記設備管理装置ごとに生成し、前記監視端末に送信するユーザ認証処理部、
　自装置の設備管理装置用に生成された認証コードを前記監視端末から受信すると、受信した認証コードを、自装置の秘密鍵で復号し、前記代表の設備管理装置の公開鍵でディジタル署名を検証することにより、認証を行う認証コード解析部、
　前記ユーザ認証処理部又は前記認証コード解析部で認証に成功すると、前記設備機器管理部で管理される前記各設備機器の運転状態を示すデータの監視、操作を可能とするＷｅｂサーバ部、
　として機能させるプログラム。