ネットワークシステム
【課題】機器データに係るアクセスレベルの設定が自動的に得られるようにしたネットワークシステムを提供すること。
【解決手段】内部ネットワーク1000を、外部から見て段階的に順次接続した情報系ネットワーク1100と制御系ネットワーク1200の複数のネットワークで形成して階層化させ、システム内にあるコントローラ1300やサーバ1320など、外部ユーザに公開するデータを有する装置を、当該機器のデータの重要度レベルに応じて、情報系ネットワーク1100と制御系ネットワーク1200の何れかに分けて接続させ、データを送信した際、各階層を接続する内部ゲートウェイ装置1400を経由し、更に外部に接続する外部ゲートウェイ1500を経由した場合と、外部ゲートウェイ1500だけを経由した場合に応じて、当該機器のデータのアクセスレベルが自動的に演算できるようにしたもの。
【解決手段】内部ネットワーク1000を、外部から見て段階的に順次接続した情報系ネットワーク1100と制御系ネットワーク1200の複数のネットワークで形成して階層化させ、システム内にあるコントローラ1300やサーバ1320など、外部ユーザに公開するデータを有する装置を、当該機器のデータの重要度レベルに応じて、情報系ネットワーク1100と制御系ネットワーク1200の何れかに分けて接続させ、データを送信した際、各階層を接続する内部ゲートウェイ装置1400を経由し、更に外部に接続する外部ゲートウェイ1500を経由した場合と、外部ゲートウェイ1500だけを経由した場合に応じて、当該機器のデータのアクセスレベルが自動的に演算できるようにしたもの。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、外部のユーザが外部ネットワークを介して接続されたネットワークシステムに係り、特に、ネットワークシステム内にある機器のデータを外部のユーザが取得する際のアクセスレベル制御に関する。
【背景技術】
【0002】
各種の機器をネットワーク内に備えた、例えばプロセス制御ラインなどのシステムにおいては、外部からネットワークの中にある機器のデータにユーザがアクセスしてシステムの監視や管理ができるようにしたネットワークシステムが従来から用いられている。
【0003】
そして、このようなシステムの場合、機器を備えたネットワークのことを内部ネットワークというが、ここで、このようなシステムにおいて、内部ネットワーク内にある機器のデータにユーザがアクセスする方法については、従来から種々の提案がなされている。
【0004】
例えば或る従来技術では、外部ネットワークと内部ネットワークの境界にネットワーク接続装置を設け、このネットワーク接続装置上に機器テーブルを置き、これに内部ネットワーク内の機器に関するデータ(以下、機器データという)を登録しておくようにした方法について提案している(例えば、特許文献1参照。)。
【0005】
そして、この従来技術では、機器テーブルに登録された機器データには、外部に公開するか否かを表わす属性が付けられ、ネットワーク接続装置によりユーザ名とパスワードにより、外部ネットワークからアクセスしたユーザの認証を行い、機器テーブルに登録された機器データへのアクセス可否が制御できるようになっている。
【0006】
また、このとき、他の従来技術では、アクセスレベルをチェックすべき点について提案している(例えば、特許文献2参照。)。
【特許文献1】特開2001−60972号公報
【特許文献2】特開2002−91515号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記従来技術は、内部ネットワーク内の機器のデータに関するアクセスレベルの設定について配慮がされておらず、外部に公開すべき機器データについては個々にアクセスレベルを設定しておく必要があり、レベル設定が煩雑であるという問題があった。
【0008】
本発明の目的は、機器データに係るアクセスレベルの設定が自動的に得られるようにしたネットワークシステムを提供することにある。
【課題を解決するための手段】
【0009】
上記目的は、複数の内部装置の各々に対する外部装置からのアクセスを、外部ネットワークにより可能にしたネットワークシステムにおいて、前記複数の内部装置が接続された内部ネットワークを階層化された複数のネットワークで構成し、前記内部装置の夫々が有するデータのアクセスレベルが、前記階層化された複数のネットワークの中で当該内部装置が接続されているネットワークの階層に応じて自動的に設定されるようにして達成される。
【0010】
このとき、前記内部ネットワークが外部ゲートウエイと内部ゲートウエイを備え、前記外部ゲートウエイは、前記階層化された複数のネットワークの中の下位の階層に属するネットワークと前記外部ネットワークの間に接続され、前記内部ゲートウエイは、前記下位の階層に属するネットワークと前記階層化された複数のネットワークの中の上位の階層に属するネットワークの間に接続され、前記データのアクセスレベルが、これら外部ゲートウエイと内部ゲートウエイによって演算されるようにしても上記目的が達成される。
【0011】
また、このとき、前記データのアクセスレベルに初期値設定が可能になっているようにしても上記目的が達成され、同じく、このとき、前記下位の階層に属するネットワークと前記階層化された複数のネットワークの中の上位の階層に属するネットワークの間に接続されたルータを備え、当該ルータは、前記内部ゲートウェイの機能の少なくとも一部の機能を備えているようにしても、上記目的が達成される。
【発明の効果】
【0012】
本発明によれば、外部に公開するデータのアクセスレベルをネットワークの階層化に関連付けさせたので、機器データのアクセスレベルが一括して設定でき、従って、個々のデータにアクセスレベルを設定しなくとも、アクセスレベルのチェックが可能になり、且つ、データのアクセスレベルの高低が、より直感的に把握できるようになる。
【発明を実施するための最良の形態】
【0013】
以下、本発明によるネットワークシステムについて、図示の実施の形態により詳細に説明する。ここで、図1が、本発明の第1の実施形態で、これは、内部装置としてサーバ1320とコントローラ1300を備えた内部ネットワーク1000に、インターネット1600などの外部ネットワークを介して、外部装置1700が接続されている場合の一実施形態である。
【0014】
このとき内部ネットワーク1000は、外部から見て段階的に順次接続した複数のネットワーク、例えば情報系ネットワーク1100と制御系ネットワーク1200で形成され、これにより複数のネットワーク、すなわち制御系ネットワーク1200と情報系ネットワーク1100が階層分けされ、階層化されている。
【0015】
そこで、これら情報系ネットワーク1100と制御系ネットワーク1200の何れにネットワーク内の機器が接続されているかによって、各々の機器が階層化され、後述するように、機器データのアクセスレベルが各々の機器毎に演算されることになる。
【0016】
ここで、図示の場合、外部のインターネット1600に近い方から順に階層レベルが上がるものとする。従って、この場合、情報系ネットワーク1100が下位の階層(この場合は最下位)レベルになり、制御系ネットワーク1200は、更に情報系ネットワーク1100の後に接続されているので、上位の階層(この場合は最上位)レベルになる。
【0017】
この結果、サーバ1320は情報系ネットワーク1100に接続されているので、アクセスレベルは下位になり、コントローラ1300は制御系ネットワーク1200に接続されているので、アクセスレベルは上位になり、従って、この場合、コントローラ1300の機器データにユーザがアクセスするためには、サーバ1320の機器データにアクセスする場合よりも高いアクセスレベルを要することになる。
【0018】
なお、ここでは物理的に分けられた2階層のネットワーク、すなわち情報系ネットワーク1100と制御系ネットワーク1200を備えた場合を対象としたが、階層化は物理的ネットワークによるものには限らず、また、2階層以上に分けることも可能である。
【0019】
次に、内部ネットワーク1000には、上記した情報系ネットワーク1100とサーバ1320、制御系ネットワーク1200、それにコントローラ1300のほか、更に情報系ネットワーク1100と制御系ネットワーク1200を接続する内部ゲートウェイ1400と、情報系ネットワーク1100に接続された外部ゲートウェイ1500が備えられている。
【0020】
そして、まず、外部ゲートウェイ1500は、インターネット1600に接続され、このインターネット1600を介して、図示のように、外部装置1700に接続されている。なお、このとき、内部ネットワーク1000と接続させる外部ネットワークはインターネットに限定されるものではない。
【0021】
このとき、コントローラ1300とサーバ1320は、それぞれ外部に公開することができる機器データを持ち、これらのデータは、それぞれ情報公開リスト1301及び情報公開リスト1321として定義され、それぞれの内容は図2と図3に示すようになっている。
【0022】
そこで、まず、図2の情報公開リスト1301について説明すると、これはデータ名2001と、このデータ名2001に対応する値2002、同じくデータ名2001にアクセスするのに必要なアクセスレベル2003とで構成される。このとき、レベル2003の値は0とする。
【0023】
次に、図3の情報公開リスト1321も同様で、データ名3001と、このデータ名3001に対応する値3002、それにデータ名3001にアクセスするのに必要なアクセスレベル3003とで構成され、このときレベル3003の値は、同じく0とする。
【0024】
次に、コントローラ1300とサーバ1320について説明すると、これらも各々情報公開リスト送信機構1302、1322を内部に有し、これらにより、例えばシステム立ち上げ時、上位のゲートウェイに情報公開リストを転送する。
【0025】
このとき情報公開リスト送信機構1302は、情報公開リスト1301を内部ゲートウェイ1400に転送し、情報公開リスト送信機構1322は、情報公開リスト1321を外部ゲートウェイ1500に転送する。
【0026】
ここでまず、内部ゲートウェイ1400は、図4に示すように、情報公開リスト受信機構1401と情報公開リスト処理機構1402、それに情報公開リスト送信機構1403を内部に備えている。
【0027】
そして、情報公開リスト受信機構1401は、下位ネットワークに属するコントローラ1300から送信された情報公開リスト1301を受信し、これを情報公開リスト処理機構1402に送信する。
【0028】
そこで、情報公開リスト処理機構1402は、図2に示した情報公開リスト1301の中のレベル2003に1を加算し、図5に示すように、レベルが1になっている情報公開リストに演算した上で、このリストを情報公開リスト送信機構1403に送信する。
【0029】
そして、情報公開リスト送信機構1403は、より上位のゲートウェイ、つまり外部ゲートウェイ1500に、この情報公開リスト1301を送信するのである。
【0030】
次に、図6は、外部ゲートウェイ1500の構成を示したもので、この外部ゲートウェイ1500は、図示のように、情報公開リスト受信機構1501と情報公開リスト処理機構1502、情報公開リスト公開機構1503、ユーザ認証機構1504、それにユーザテーブル1505を内部に有している。
【0031】
そして、情報公開リスト受信機構1501は、上位のネットワークに属しアクセスレベルでは下位になっているサーバ1320から送信された図3の情報公開リスト1321と、内部ゲートウェイ1400から送信された図5の情報公開リスト1301の双方を受信し、これらを情報公開リスト処理機構1502に送る。
【0032】
そこで、情報公開リスト処理機構1502は、この情報公開リスト受信機構1501からの情報公開リストの受信に応じて情報公開リストの中のレベルに1を加算し、図7に示すように、アクセスレベル7000がデータAとデータB、それにデータCではレベル2になり、データDとデータEではレベルが1になっている情報公開リストに演算した上で、このリストを情報公開リスト公開機構1503に送る。
【0033】
一方、ユーザ認証機構1504は、このとき機器データにアクセスしようとしたユーザについて、その適合性を、各ユーザから入力されたユーザ名とパスワードによりチェックし、そのユーザがアクセス可能なデータのレベルを送り返す。このときのユーザテーブル1505の内容は、例えば各ユーザをA、B、Cとし、予め各ユーザA、B、Cについて、各々のアクセスレベルが、例えば図8に示すように設定されているものとする。
【0034】
なお、この実施形態では、認証方式としてユーザ名とパスワードを入力する方式の場合について説明しているが、本発明は認証方式について特に限定されるものではない。
【0035】
図1に戻り、ここでいま、或る外部ユーザが或る機器データにアクセスを望んだとする。そうすると、この場合、まず当該ユーザは、外部装置1700からインターネット1600を経由して、外部ゲートウェイ1500により公開される公開リスト(図7)上のデータ7000にアクセスする。
【0036】
この場合、各ユーザは、ユーザ名とパスワードを外部ゲートウェイ1500のユーザ認証機構1504に送信する。そこでユーザ認証機構1504はユーザの認証を実行し、当該ユーザがアクセス可能なデータのレベルを情報公開リスト公開機構1503に送り返す。
【0037】
これにより情報公開リスト公開機構1503は、ユーザがアクセスしようとするデータのレベルと、ユーザ認証機構1504から送り返されたアクセス可能レベルとを比較し、レベルが同等以上ならユーザにデータを送信し、レベルが低いときは、アクセス不可であることをステータスとしてユーザに送り返すのである。
【0038】
このように、以上の実施形態では、外部に公開するデータのアクセスレベルをネットワークの階層化に関連付けさせ、システム立ち上げ時などに機器データのアクセスレベルが一括して自動的に設定されるようになっている。
【0039】
従って、この実施形態によれば、個々のデータにアクセスレベルを設定しなくとも、アクセスレベルのチェックが可能になり、且つ、より直感的にデータのアクセスレベルの高低が把握できるようになる。
【0040】
次に、このときのアクセスの可否処理について、一例として、外部ユーザのレベルが図7と図8に示すようになっていた場合を想定して具体的に説明すると、この場合、ユーザAとユーザBは、データAからデータEの全てのデータにアクセスできるが、ユーザCは、データDとデータEにだけアクセス可能になることが判る。
【0041】
以上、本発明の第1の実施形態について説明したが、次に本発明の第2の実施形態として、図1のコントローラ1300が有する情報公開リスト1301とサーバ1320が有する情報公開リスト1321に、予めデータアクセスに必要なレベルの初期値を設定するようにしてもよい。このとき各装置の構成と動作は、第1の実施形態の場合と同様である。
【0042】
ここで、図9は、この第2の実施形態における情報公開リスト1301の構成例を実施例2として示したもので、図10は、同じく第2の実施形態(実施例2)における情報公開リスト1321の構成例を実施例2として示したものであり、この場合、情報公開リスト公開機構1503により公開される情報公開リストの構成は図11に示すようになる。
【0043】
次に、この場合のアクセス状態について、図8のユーザを例にして説明すると、まず、ユーザAは、そのレベルが3であることから、データAからデータEの何れにもアクセス可能であり、レベル2のユーザBは、データBからデータEの何れにもアクセス可能となる。一方、ユーザCは、そのレベルが1なので、データEにのみアクセス可能となり、従って、この第2の実施形態によれば、ユーザのアクセスレベル分けを、上記したネットワークの階層分け数よりも多くすることができる。
【0044】
次に、図12は、本発明の第3の実施形態を示す概念図で、この実施形態では、階層化されたネットワーク、すなわち情報系ネットワーク1100と制御系ネットワーク1200を内部ゲートウェイ1400だけで接続するのではなく、ルータ1800など、ネットワーク間でデータの中継が行える接続装置により接続したものである。
【0045】
この場合、内部ゲートウェイ1400は、情報系ネットワーク1100と制御系ネットワーク1200の何れか一方に接続されるが、このとき下位ネットワークに接続されたコントローラ1300が内部ゲートウェイ1400に情報公開リストを送信するという動作には変りがないものとする。
【0046】
ここで、まず内部ゲートウェイ1400を情報系ネットワーク1100に接続させた場合は、コントローラ1300から送信された情報公開リストはルータ1800を経由して内部ゲートウェイ1400に伝達される。
【0047】
一方、内部ゲートウェイ1400を制御系ネットワーク1200に接続させた場合は、コントローラ1300から送信される情報公開リストは内部ゲートウェイ1400に送信され、内部ゲートウェイ1400から送信された情報公開リストは、ルータ1800と情報系ネットワーク1100をそれぞれ経由して外部ゲートウェイ1500に到達することになる。
【0048】
このような内部ネットワークを備えたシステムでは、内部にルータなどのネットワーク間でデータの中継が行える接続装置を備えている場合が想定されるが、この場合、この第3の実施形態のように、ルータ1800に加えて内部ゲートウェイ1400を併設してやれば、内部ゲートウェイ1400の機能の一部がルータ1800がもつ機能で補えるようにすることができ、結果として、コストの低減を得ることができる。
【図面の簡単な説明】
【0049】
【図1】本発明によるネットワークシステムの第1の実施形態を示すブロック構成図である。
【図2】本発明の第1の実施形態における情報公開リスト1301の説明図である。
【図3】本発明の第1の実施形態における情報公開リスト1321の説明図である。
【図4】本発明の第1の実施形態における内部ゲートウェイのブロック構成図である。
【図5】本発明の第1の実施形態における内部ゲートウェイ処理後の情報公開リスト1301の説明図である。
【図6】本発明の第1の実施形態における外部ゲートウェイのブロック構成図である。
【図7】本発明の第1の実施形態における情報公開リスト公開機構により公開される情報公開リストの説明図である。
【図8】本発明の第1の実施形態におけるユーザテーブルの内容を示す説明図である。
【図9】本発明の第2の実施形態における情報公開リスト1301の説明図である。
【図10】本発明の第2の実施形態における情報公開リスト1321の説明図である。
【図11】本発明の第2の実施形態における情報公開リスト公開機構により公開される情報公開リストの説明図である。
【図12】本発明によるネットワークシステムの第3の実施形態を示すブロック構成図である。
【符号の説明】
【0050】
1000:内部ネットワーク
1100:情報系ネットワーク
1200:制御系ネットワーク
1300:コントローラ
1301:情報公開リスト
1302:情報公開リスト送信機構
1320:サーバ
1321:情報公開リスト
1322:情報公開リスト送信機構
1400:内部ゲートウェイ
1401:情報公開リスト受信機構
1402:情報公開リスト処理機構
1403:情報公開リスト送信機構
1500:外部ゲートウェイ
1501:情報公開リスト受信機構
1502:情報公開リスト処理機構
1503:情報公開リスト公開機構
1504:ユーザ認証機構
1505:ユーザテーブル
1600:インターネット
1700:外部装置
1800:ルータ
【技術分野】
【0001】
本発明は、外部のユーザが外部ネットワークを介して接続されたネットワークシステムに係り、特に、ネットワークシステム内にある機器のデータを外部のユーザが取得する際のアクセスレベル制御に関する。
【背景技術】
【0002】
各種の機器をネットワーク内に備えた、例えばプロセス制御ラインなどのシステムにおいては、外部からネットワークの中にある機器のデータにユーザがアクセスしてシステムの監視や管理ができるようにしたネットワークシステムが従来から用いられている。
【0003】
そして、このようなシステムの場合、機器を備えたネットワークのことを内部ネットワークというが、ここで、このようなシステムにおいて、内部ネットワーク内にある機器のデータにユーザがアクセスする方法については、従来から種々の提案がなされている。
【0004】
例えば或る従来技術では、外部ネットワークと内部ネットワークの境界にネットワーク接続装置を設け、このネットワーク接続装置上に機器テーブルを置き、これに内部ネットワーク内の機器に関するデータ(以下、機器データという)を登録しておくようにした方法について提案している(例えば、特許文献1参照。)。
【0005】
そして、この従来技術では、機器テーブルに登録された機器データには、外部に公開するか否かを表わす属性が付けられ、ネットワーク接続装置によりユーザ名とパスワードにより、外部ネットワークからアクセスしたユーザの認証を行い、機器テーブルに登録された機器データへのアクセス可否が制御できるようになっている。
【0006】
また、このとき、他の従来技術では、アクセスレベルをチェックすべき点について提案している(例えば、特許文献2参照。)。
【特許文献1】特開2001−60972号公報
【特許文献2】特開2002−91515号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記従来技術は、内部ネットワーク内の機器のデータに関するアクセスレベルの設定について配慮がされておらず、外部に公開すべき機器データについては個々にアクセスレベルを設定しておく必要があり、レベル設定が煩雑であるという問題があった。
【0008】
本発明の目的は、機器データに係るアクセスレベルの設定が自動的に得られるようにしたネットワークシステムを提供することにある。
【課題を解決するための手段】
【0009】
上記目的は、複数の内部装置の各々に対する外部装置からのアクセスを、外部ネットワークにより可能にしたネットワークシステムにおいて、前記複数の内部装置が接続された内部ネットワークを階層化された複数のネットワークで構成し、前記内部装置の夫々が有するデータのアクセスレベルが、前記階層化された複数のネットワークの中で当該内部装置が接続されているネットワークの階層に応じて自動的に設定されるようにして達成される。
【0010】
このとき、前記内部ネットワークが外部ゲートウエイと内部ゲートウエイを備え、前記外部ゲートウエイは、前記階層化された複数のネットワークの中の下位の階層に属するネットワークと前記外部ネットワークの間に接続され、前記内部ゲートウエイは、前記下位の階層に属するネットワークと前記階層化された複数のネットワークの中の上位の階層に属するネットワークの間に接続され、前記データのアクセスレベルが、これら外部ゲートウエイと内部ゲートウエイによって演算されるようにしても上記目的が達成される。
【0011】
また、このとき、前記データのアクセスレベルに初期値設定が可能になっているようにしても上記目的が達成され、同じく、このとき、前記下位の階層に属するネットワークと前記階層化された複数のネットワークの中の上位の階層に属するネットワークの間に接続されたルータを備え、当該ルータは、前記内部ゲートウェイの機能の少なくとも一部の機能を備えているようにしても、上記目的が達成される。
【発明の効果】
【0012】
本発明によれば、外部に公開するデータのアクセスレベルをネットワークの階層化に関連付けさせたので、機器データのアクセスレベルが一括して設定でき、従って、個々のデータにアクセスレベルを設定しなくとも、アクセスレベルのチェックが可能になり、且つ、データのアクセスレベルの高低が、より直感的に把握できるようになる。
【発明を実施するための最良の形態】
【0013】
以下、本発明によるネットワークシステムについて、図示の実施の形態により詳細に説明する。ここで、図1が、本発明の第1の実施形態で、これは、内部装置としてサーバ1320とコントローラ1300を備えた内部ネットワーク1000に、インターネット1600などの外部ネットワークを介して、外部装置1700が接続されている場合の一実施形態である。
【0014】
このとき内部ネットワーク1000は、外部から見て段階的に順次接続した複数のネットワーク、例えば情報系ネットワーク1100と制御系ネットワーク1200で形成され、これにより複数のネットワーク、すなわち制御系ネットワーク1200と情報系ネットワーク1100が階層分けされ、階層化されている。
【0015】
そこで、これら情報系ネットワーク1100と制御系ネットワーク1200の何れにネットワーク内の機器が接続されているかによって、各々の機器が階層化され、後述するように、機器データのアクセスレベルが各々の機器毎に演算されることになる。
【0016】
ここで、図示の場合、外部のインターネット1600に近い方から順に階層レベルが上がるものとする。従って、この場合、情報系ネットワーク1100が下位の階層(この場合は最下位)レベルになり、制御系ネットワーク1200は、更に情報系ネットワーク1100の後に接続されているので、上位の階層(この場合は最上位)レベルになる。
【0017】
この結果、サーバ1320は情報系ネットワーク1100に接続されているので、アクセスレベルは下位になり、コントローラ1300は制御系ネットワーク1200に接続されているので、アクセスレベルは上位になり、従って、この場合、コントローラ1300の機器データにユーザがアクセスするためには、サーバ1320の機器データにアクセスする場合よりも高いアクセスレベルを要することになる。
【0018】
なお、ここでは物理的に分けられた2階層のネットワーク、すなわち情報系ネットワーク1100と制御系ネットワーク1200を備えた場合を対象としたが、階層化は物理的ネットワークによるものには限らず、また、2階層以上に分けることも可能である。
【0019】
次に、内部ネットワーク1000には、上記した情報系ネットワーク1100とサーバ1320、制御系ネットワーク1200、それにコントローラ1300のほか、更に情報系ネットワーク1100と制御系ネットワーク1200を接続する内部ゲートウェイ1400と、情報系ネットワーク1100に接続された外部ゲートウェイ1500が備えられている。
【0020】
そして、まず、外部ゲートウェイ1500は、インターネット1600に接続され、このインターネット1600を介して、図示のように、外部装置1700に接続されている。なお、このとき、内部ネットワーク1000と接続させる外部ネットワークはインターネットに限定されるものではない。
【0021】
このとき、コントローラ1300とサーバ1320は、それぞれ外部に公開することができる機器データを持ち、これらのデータは、それぞれ情報公開リスト1301及び情報公開リスト1321として定義され、それぞれの内容は図2と図3に示すようになっている。
【0022】
そこで、まず、図2の情報公開リスト1301について説明すると、これはデータ名2001と、このデータ名2001に対応する値2002、同じくデータ名2001にアクセスするのに必要なアクセスレベル2003とで構成される。このとき、レベル2003の値は0とする。
【0023】
次に、図3の情報公開リスト1321も同様で、データ名3001と、このデータ名3001に対応する値3002、それにデータ名3001にアクセスするのに必要なアクセスレベル3003とで構成され、このときレベル3003の値は、同じく0とする。
【0024】
次に、コントローラ1300とサーバ1320について説明すると、これらも各々情報公開リスト送信機構1302、1322を内部に有し、これらにより、例えばシステム立ち上げ時、上位のゲートウェイに情報公開リストを転送する。
【0025】
このとき情報公開リスト送信機構1302は、情報公開リスト1301を内部ゲートウェイ1400に転送し、情報公開リスト送信機構1322は、情報公開リスト1321を外部ゲートウェイ1500に転送する。
【0026】
ここでまず、内部ゲートウェイ1400は、図4に示すように、情報公開リスト受信機構1401と情報公開リスト処理機構1402、それに情報公開リスト送信機構1403を内部に備えている。
【0027】
そして、情報公開リスト受信機構1401は、下位ネットワークに属するコントローラ1300から送信された情報公開リスト1301を受信し、これを情報公開リスト処理機構1402に送信する。
【0028】
そこで、情報公開リスト処理機構1402は、図2に示した情報公開リスト1301の中のレベル2003に1を加算し、図5に示すように、レベルが1になっている情報公開リストに演算した上で、このリストを情報公開リスト送信機構1403に送信する。
【0029】
そして、情報公開リスト送信機構1403は、より上位のゲートウェイ、つまり外部ゲートウェイ1500に、この情報公開リスト1301を送信するのである。
【0030】
次に、図6は、外部ゲートウェイ1500の構成を示したもので、この外部ゲートウェイ1500は、図示のように、情報公開リスト受信機構1501と情報公開リスト処理機構1502、情報公開リスト公開機構1503、ユーザ認証機構1504、それにユーザテーブル1505を内部に有している。
【0031】
そして、情報公開リスト受信機構1501は、上位のネットワークに属しアクセスレベルでは下位になっているサーバ1320から送信された図3の情報公開リスト1321と、内部ゲートウェイ1400から送信された図5の情報公開リスト1301の双方を受信し、これらを情報公開リスト処理機構1502に送る。
【0032】
そこで、情報公開リスト処理機構1502は、この情報公開リスト受信機構1501からの情報公開リストの受信に応じて情報公開リストの中のレベルに1を加算し、図7に示すように、アクセスレベル7000がデータAとデータB、それにデータCではレベル2になり、データDとデータEではレベルが1になっている情報公開リストに演算した上で、このリストを情報公開リスト公開機構1503に送る。
【0033】
一方、ユーザ認証機構1504は、このとき機器データにアクセスしようとしたユーザについて、その適合性を、各ユーザから入力されたユーザ名とパスワードによりチェックし、そのユーザがアクセス可能なデータのレベルを送り返す。このときのユーザテーブル1505の内容は、例えば各ユーザをA、B、Cとし、予め各ユーザA、B、Cについて、各々のアクセスレベルが、例えば図8に示すように設定されているものとする。
【0034】
なお、この実施形態では、認証方式としてユーザ名とパスワードを入力する方式の場合について説明しているが、本発明は認証方式について特に限定されるものではない。
【0035】
図1に戻り、ここでいま、或る外部ユーザが或る機器データにアクセスを望んだとする。そうすると、この場合、まず当該ユーザは、外部装置1700からインターネット1600を経由して、外部ゲートウェイ1500により公開される公開リスト(図7)上のデータ7000にアクセスする。
【0036】
この場合、各ユーザは、ユーザ名とパスワードを外部ゲートウェイ1500のユーザ認証機構1504に送信する。そこでユーザ認証機構1504はユーザの認証を実行し、当該ユーザがアクセス可能なデータのレベルを情報公開リスト公開機構1503に送り返す。
【0037】
これにより情報公開リスト公開機構1503は、ユーザがアクセスしようとするデータのレベルと、ユーザ認証機構1504から送り返されたアクセス可能レベルとを比較し、レベルが同等以上ならユーザにデータを送信し、レベルが低いときは、アクセス不可であることをステータスとしてユーザに送り返すのである。
【0038】
このように、以上の実施形態では、外部に公開するデータのアクセスレベルをネットワークの階層化に関連付けさせ、システム立ち上げ時などに機器データのアクセスレベルが一括して自動的に設定されるようになっている。
【0039】
従って、この実施形態によれば、個々のデータにアクセスレベルを設定しなくとも、アクセスレベルのチェックが可能になり、且つ、より直感的にデータのアクセスレベルの高低が把握できるようになる。
【0040】
次に、このときのアクセスの可否処理について、一例として、外部ユーザのレベルが図7と図8に示すようになっていた場合を想定して具体的に説明すると、この場合、ユーザAとユーザBは、データAからデータEの全てのデータにアクセスできるが、ユーザCは、データDとデータEにだけアクセス可能になることが判る。
【0041】
以上、本発明の第1の実施形態について説明したが、次に本発明の第2の実施形態として、図1のコントローラ1300が有する情報公開リスト1301とサーバ1320が有する情報公開リスト1321に、予めデータアクセスに必要なレベルの初期値を設定するようにしてもよい。このとき各装置の構成と動作は、第1の実施形態の場合と同様である。
【0042】
ここで、図9は、この第2の実施形態における情報公開リスト1301の構成例を実施例2として示したもので、図10は、同じく第2の実施形態(実施例2)における情報公開リスト1321の構成例を実施例2として示したものであり、この場合、情報公開リスト公開機構1503により公開される情報公開リストの構成は図11に示すようになる。
【0043】
次に、この場合のアクセス状態について、図8のユーザを例にして説明すると、まず、ユーザAは、そのレベルが3であることから、データAからデータEの何れにもアクセス可能であり、レベル2のユーザBは、データBからデータEの何れにもアクセス可能となる。一方、ユーザCは、そのレベルが1なので、データEにのみアクセス可能となり、従って、この第2の実施形態によれば、ユーザのアクセスレベル分けを、上記したネットワークの階層分け数よりも多くすることができる。
【0044】
次に、図12は、本発明の第3の実施形態を示す概念図で、この実施形態では、階層化されたネットワーク、すなわち情報系ネットワーク1100と制御系ネットワーク1200を内部ゲートウェイ1400だけで接続するのではなく、ルータ1800など、ネットワーク間でデータの中継が行える接続装置により接続したものである。
【0045】
この場合、内部ゲートウェイ1400は、情報系ネットワーク1100と制御系ネットワーク1200の何れか一方に接続されるが、このとき下位ネットワークに接続されたコントローラ1300が内部ゲートウェイ1400に情報公開リストを送信するという動作には変りがないものとする。
【0046】
ここで、まず内部ゲートウェイ1400を情報系ネットワーク1100に接続させた場合は、コントローラ1300から送信された情報公開リストはルータ1800を経由して内部ゲートウェイ1400に伝達される。
【0047】
一方、内部ゲートウェイ1400を制御系ネットワーク1200に接続させた場合は、コントローラ1300から送信される情報公開リストは内部ゲートウェイ1400に送信され、内部ゲートウェイ1400から送信された情報公開リストは、ルータ1800と情報系ネットワーク1100をそれぞれ経由して外部ゲートウェイ1500に到達することになる。
【0048】
このような内部ネットワークを備えたシステムでは、内部にルータなどのネットワーク間でデータの中継が行える接続装置を備えている場合が想定されるが、この場合、この第3の実施形態のように、ルータ1800に加えて内部ゲートウェイ1400を併設してやれば、内部ゲートウェイ1400の機能の一部がルータ1800がもつ機能で補えるようにすることができ、結果として、コストの低減を得ることができる。
【図面の簡単な説明】
【0049】
【図1】本発明によるネットワークシステムの第1の実施形態を示すブロック構成図である。
【図2】本発明の第1の実施形態における情報公開リスト1301の説明図である。
【図3】本発明の第1の実施形態における情報公開リスト1321の説明図である。
【図4】本発明の第1の実施形態における内部ゲートウェイのブロック構成図である。
【図5】本発明の第1の実施形態における内部ゲートウェイ処理後の情報公開リスト1301の説明図である。
【図6】本発明の第1の実施形態における外部ゲートウェイのブロック構成図である。
【図7】本発明の第1の実施形態における情報公開リスト公開機構により公開される情報公開リストの説明図である。
【図8】本発明の第1の実施形態におけるユーザテーブルの内容を示す説明図である。
【図9】本発明の第2の実施形態における情報公開リスト1301の説明図である。
【図10】本発明の第2の実施形態における情報公開リスト1321の説明図である。
【図11】本発明の第2の実施形態における情報公開リスト公開機構により公開される情報公開リストの説明図である。
【図12】本発明によるネットワークシステムの第3の実施形態を示すブロック構成図である。
【符号の説明】
【0050】
1000:内部ネットワーク
1100:情報系ネットワーク
1200:制御系ネットワーク
1300:コントローラ
1301:情報公開リスト
1302:情報公開リスト送信機構
1320:サーバ
1321:情報公開リスト
1322:情報公開リスト送信機構
1400:内部ゲートウェイ
1401:情報公開リスト受信機構
1402:情報公開リスト処理機構
1403:情報公開リスト送信機構
1500:外部ゲートウェイ
1501:情報公開リスト受信機構
1502:情報公開リスト処理機構
1503:情報公開リスト公開機構
1504:ユーザ認証機構
1505:ユーザテーブル
1600:インターネット
1700:外部装置
1800:ルータ
【特許請求の範囲】
【請求項1】
複数の内部装置の各々に対する外部装置からのアクセスを、外部ネットワークにより可能にしたネットワークシステムにおいて、
前記複数の内部装置が接続された内部ネットワークを階層化された複数のネットワークで構成し、
前記内部装置の夫々が有するデータのアクセスレベルが、前記階層化された複数のネットワークの中で当該内部装置が接続されているネットワークの階層に応じて自動的に設定されることを特徴とするネットワークシステム。
【請求項2】
請求項1に記載のネットワークシステムにおいて、
前記内部ネットワークが外部ゲートウエイと内部ゲートウエイを備え、
前記外部ゲートウエイは、前記階層化された複数のネットワークの中の下位の階層に属するネットワークと前記外部ネットワークの間に接続され、
前記内部ゲートウエイは、前記下位の階層に属するネットワークと前記階層化された複数のネットワークの中の上位の階層に属するネットワークの間に接続され、
前記データのアクセスレベルが、これら外部ゲートウエイと内部ゲートウエイによって演算されることを特徴とするネットワークシステム。
【請求項3】
請求項1に記載のネットワークシステムにおいて、
前記データのアクセスレベルに初期値設定が可能になっていることを特徴とするネットワークシステム。
【請求項4】
請求項2に記載のネットワークシステムにおいて、
前記下位の階層に属するネットワークと前記階層化された複数のネットワークの中の上位の階層に属するネットワークの間に接続されたルータを備え、
当該ルータは、前記内部ゲートウェイの機能の少なくとも一部の機能を備えていることを特徴とするネットワークシステム。
【請求項1】
複数の内部装置の各々に対する外部装置からのアクセスを、外部ネットワークにより可能にしたネットワークシステムにおいて、
前記複数の内部装置が接続された内部ネットワークを階層化された複数のネットワークで構成し、
前記内部装置の夫々が有するデータのアクセスレベルが、前記階層化された複数のネットワークの中で当該内部装置が接続されているネットワークの階層に応じて自動的に設定されることを特徴とするネットワークシステム。
【請求項2】
請求項1に記載のネットワークシステムにおいて、
前記内部ネットワークが外部ゲートウエイと内部ゲートウエイを備え、
前記外部ゲートウエイは、前記階層化された複数のネットワークの中の下位の階層に属するネットワークと前記外部ネットワークの間に接続され、
前記内部ゲートウエイは、前記下位の階層に属するネットワークと前記階層化された複数のネットワークの中の上位の階層に属するネットワークの間に接続され、
前記データのアクセスレベルが、これら外部ゲートウエイと内部ゲートウエイによって演算されることを特徴とするネットワークシステム。
【請求項3】
請求項1に記載のネットワークシステムにおいて、
前記データのアクセスレベルに初期値設定が可能になっていることを特徴とするネットワークシステム。
【請求項4】
請求項2に記載のネットワークシステムにおいて、
前記下位の階層に属するネットワークと前記階層化された複数のネットワークの中の上位の階層に属するネットワークの間に接続されたルータを備え、
当該ルータは、前記内部ゲートウェイの機能の少なくとも一部の機能を備えていることを特徴とするネットワークシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2007−207088(P2007−207088A)
【公開日】平成19年8月16日(2007.8.16)
【国際特許分類】
【出願番号】特願2006−27065(P2006−27065)
【出願日】平成18年2月3日(2006.2.3)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成19年8月16日(2007.8.16)
【国際特許分類】
【出願日】平成18年2月3日(2006.2.3)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]