处理访问权限的方法和设备的制作方法

文档序号:6480079阅读:179来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
专利名称:处理访问权限的方法和设备的制作方法
技术领域
用于配置对网络系统中的联网设备的访问权限的方法和设备。
背景技术
通过将各种类型的设备连接至计算机网络来使这些设备和它们的功能 可被访问正变得越来越普遍。然而,在大多数情况下,设备或网络的所有者 并不想让每个访问网络的人都有权访问这些设备和它们的功能。为了解决这 个问题,可以将系统设置为向用户提供特定的访问权限。例如,这些访问权
限可以是用户被允许访问来自监视摄像机A的^L频,但不^皮允许访问用于 控制同 一摄像机的观察方向的摇摄倾斜控制。
此外,访问权限方案还经常在例如监视系统、入室盗窃防护、访问控制 系统、火警系统等安全系统中实施。当系统用于这类重要功能时,访问权限 的方案就变得极其重要。
实施用于处理访问权限的方案的大多数系统允许系统管理员单独针对 每个摄像机设置每个用户的访问权限。然而,随着用户数目和设备数目的增 加,这类系统的管理很快就变得复杂且难以管理。在一些系统中,为了便于 管理,引入了访问级别组或用户组。在这些情况下,你仅需管理各个组的访 问权限的事实使得管理方便。
Oya等人在US 6 208 379中描述了 一些管理访问权限的方法。在US 6 208 379中描述的一种便于管理访问权限的方法是将用户捆绑为如上所述的 用户组。US 6 208 379总体上描述的是,通过从摄像机列表中选择摄像机, 在选择摄像机后即被打开的对话框中指示请求访问权限设置,来为用户组设 置访问权限。然后,显示该摄像机的访问控制面板或对话框。在该访问控制
7面板中可以选择预定义的访问模式。通过改变该摄像机的访问模式,在系统 中设置所有用户组的预定义访问权限。为了将访问权限设置为更具体的级 另'J,从访问控制面板中打开访问权限窗口 。然后,访问权限窗口显示一矩阵, 该矩阵表示各个用户组的与所选择的摄像机的各个功能有关的访问权限。
在US 6 208 379中公开的方法处理起来很不方便,尤其是要对多个不同 的摄像机设置访问权限时更是如此。此外,这些方法特别在要对不同的用户 定制访问权限时,没有给予访问权限的管理者以多种备选方案。

发明内容
本发明的 一个目的在于便于为多个网络设备设置访问权限和便于定制
访问权限。
具体而言,根据本发明的一方面, 一种用于配置联网设备的系统中的访 问权限的方法包括选择多个访问标识;获取每个所选访问标识对联网设备的 可访问功能的访问权限的信息;针对每一个所述联网设备的每一项所述可访 问功能;对所述所选访问标识的访问权限进行累加;在允许编辑所述累加访 问权限的界面中呈现针对每 一 个所述联网设备的每 一 项所述可访问功能的 所述累加访问权限;指示对特定联网设备的特定功能的累加访问权限的改 变,以及根据所指示的累加访问权限的改变配置所述特定联网设备的特定功 能,以允许由所选用户访问。
才艮据该方法,方便了访问权限的改变,具体而言,方便了在系统中用户 的访问权限尚未彼此相关的情况下和要对多个设备改变访问权限的情况下 对访问权限的改变。通过执行如上所述的对访问权限进行累加的动作,这样 的改变访问权限的操作成为可能。
根据 一 个实施例,所述对访问权限进行累加包括对具有对每一 个所述联 网设备(12, 14, 16)的每一项可访问功能的访问权限的所选访问标识的个数 进行计数。这样做的优点在于其是一种不复杂的获得累加器值的方式,或者 换句话说,是一种不复杂的获得表示不必具有同一访问权限的多个单独用户的访问权限的值的方式。
根据进一步的实施例,先前提到的累加步骤可以通过以下步骤扩充如
果所述计数指示全部所选用户均被允许访问联网设备的特定功能,则将对该 特定功能的累加访问权限设置为指示全部所选访问标识均被允许访问该特
定功能的值;如果所述计数指示没有所选访问标识被允许访问联网设备的特 定功能,则将对该特定功能的累加访问权限设置为指示没有所选访问标识被 允许访问该特定功能的值;以及如果所述计数指示一些所选访问标识被允许 访问联网设备的特定功能,则将对该特定功能的累加访问权限设置为指示一 些所选访问标识被允许访问该特定功能的值。由于借助于这三种状态,当一 个人通过改变访问权限来管理访问权限时,可以给予他当前状态的快速综 览,从而方便了对所选用户的访问权限的管理。
根据又一实施例,该方法进一步包括通过计算机网络向执行所述呈现的 客户端计算机发送表示所述联网设备的所述可访问功能的信息、表示与这些 功能中的每 一 项相关联的累加访问权限的信息和使得能识别所述所选访问 标识的信息。这样做的优点在于与指示访问权限的改变有关的处理变得分 散,即访问服务器没有必要"记住"或存储与来自客户端的请求有关的信息。 因此,可以简化在访问服务器处的处理,并且需要更少的处理和存储能力。
根据一个实施例,所述使得能识别所选访问标识的信息是包括所述所选 访问标识的标识符的列表。
根据另 一实施例,所述使得能识别所选访问标识的信息是对包括所选访 问标识的标识符的列表的位置进行识别的标识符。
根据又一实施例,所述方法进一步包括通过计算机网络返回表示每一个 所述联网设备的每一项可访问功能的信息、与这些功能中的每一项相关联的 累加访问权限和使得能识别所选访问标识的信息,其中与联网设备的至少一 项功能相关联的累加访问权限相对于先前通过计算机网络发送的相应信息 而言已经纟皮改变。
根据一个实施例,所述累加访问权限已经改变的联网设备的所述至少一项功能被标记,以指示对该具体功能的累加访问权限相对于先前通过计算枳j 网络发送的相应信息而言已经被改变。这样做的优点在于可以容易地从与未 改变的访问权限有关的信息中提取出根据来自客户端的已改变的累加访问 权限配置系统的访问权限的操作。因此,这种方案可以节省处理功率和时间。
在另 一 实施例中,所述指示对特定联网设备中的特定功能的累加访问权 限的改变的动作仅使得能将特定联网设备的特定功能的访问权限改变为允 许由所述所选访问标识识别的全部用户访问该特定功能或不允许任何所述 所选用户访问该特定功能。
根据另 一实施例,所述选择多个访问标识包括从被注册为使用该系统的 访问标识中选#^多个访问标识。
在又一实施例中,所述选择访问标识包括选择单独的用户。
在再一实施例中,所述选择访问标识包括选择用户组。
根据本发明的另 一方面, 一种用于在联网设备的系统中处理访问权限的
服务器包括访问权限管理器,被布置为获取单独选择的访问标识对与联网 设备相关联的可访问功能的访问权限的信息,并被布置为生成包括就所选访 问标识而言对所述联网设备的所述功能的累加访问权限的消息;访问权限累 加器,被布置为根据所获取的信息,对所选访问标识对所述联网设备的可访 问功能的访问权限进行累加;以及访问权限配置器,被布置为根据所接收的 包括指示符的消息,为所选访问标识配置对联网设备的可访问功能的访问权 限,其中所述指示符指示对所述联网设备的所述功能的访问权限将被改变。
具有这种配置的服务器可以对改变单独用户和多个网络设备的访问权 限带来方便。这对于要改变不相关的用户对多个设备的访问权限的操作可能 更是如此。通过按照如上所述的方式对访问权限进行累加,使得能进行这种 改变访问权限的操作。
根据 一 个实施例,所述访问权限累加器被布置为通过对具有对所述联网 设备的每一项可访问功能的访问权限的所选访问标识的个数进行计数来对 访问权限累加。这样的优点在于这是一种获得累加器值的不复杂的方式,或者换句话 说,是一种获得表示多个不必具有同 一访问权限的单独用户的访问权限的值 的不复杂的方式。
根据进一 步的实施例,所述访问权限累加器进一步被布置为如果所述计 数指示全部所选用户均被允许访问联网设备的特定功能,则将对该特定功能 的累加访问权限设置为指示全部所选访问标识均被允许访问该特定功能的
值;如果所述计数指示没有所选访问标识被允许访问联网设备的特定功能, 则将对该特定功能的累加访问权限设置为指示没有所选访问标识被允许访 问该特定功能的值;以及如果所述计数指示一些所选访问标识被允许访问联 网设备的特定功能,则将对该功能的累加访问权限设置为指示 一 些所选访问 标识:故允i午访问该功能的值。
由于借助于这三种状态,当一个人通过改变访问权限来管理访问权限 时,可以给予他当前状态的快速综览,因此,权限累加器方便了对所选用户 的访问权限的管理。
根据另 一 实施例,所述访问权限管理器被布置为在所生成的消息中包括 表示所述联网设备的可访问功能的信息、与每项所包括的功能相关联的累加 访问权限以及使得能识别所选访问标识的信息。
根据再一实施例,所述系统是一种监控系统。
在另一实施例中,所述访问标识包括用户标识,在再一实施例中,所述 访问标识包括用户组标识。
根据本发明的再一方面, 一种用于改变对系统的联网设备的功能的访问
权限的客户端包括显示器;输入装置;用于选择访问标识的装置,该装置
被布置为在所述显示器上呈现访问标识,并允许该客户端的用户通过该输入
装置选择访问标识;以及用于改变所选访问标识对联网设备的可访问功能的
访问权限的装置,该装置被布置为在所述显示器上呈现与所述联网设备的可
访问功能有关的累加访问权限,允许该客户端的用户选择和改变所呈现功能
的累加访问权限,并且生成包括已改变的累加访问权限的信息的消息。该客户端可以存在以下优点便于改变对多个联网设备的访问权限并用
于为用户定制访问权限。
根据一个实施例,所述用于改变访问权限的装置被布置为通过网络接口 接收消息,该消息包括表示联网设备的可访问功能的信息、表示与这些功能 中的每 一 项相关联的累加访问权限的信息和使得能识别所选访问标识的信
自、
'"、o
根据另 一 实施例,所生成的消息包括表示联网设备的可访问功能的信 息、表示与这些功能中的每一项相关联的累加访问权限的信息、指示每个已 改变的累加访问权限的指示符和使得能识别所选访问标识的信息。
根据又 一 实施例,使得能识别所选访问标识的信息是包括所选访问标识 的标识符的列表。
根据再一实施例,使得能识别所选访问标识的信息是对包括所选用户的 标识符的列表的位置进行识别的标识符。
在本申请的上下文中,联网设备应当被理解为包括能够通过计算机网络
发送和接收信号和/或消息的电路,并且其中该设备被布置为通过该计算机 网络发送从该设备的功能得到的数据或信息。
本申请进一步的应用范围将从以下给出的详细描述中变得显而易见。然 而,应当理解,详细描述和特定示例虽然表示本发明的优选实施例,但是仅 以说明的方式给出,因为,对本领域技术人员而言,本发明的精神和范围内 的各种改变和修改将从该详细描述中变得显而易见。


本发明的其它特征和优点将从以下参考附图对当前优选实施例的详细 描述中变得显而易见,在附图中
图1是根据本发明的一个实施例的系统的示意性概略图2是根据本发明的 一 个实施例的访问服务器的框图3图示说明了与本发明有关且存储在根据本发明的一个实施例的访问服务器的数据库中的数据;
图4图示说明了根据本发明的一个实施例的累加访问权限的矩阵;
图5图示说明了根据本发明的一个实施例的从访问服务器向客户端发
送的信息消息;
图6图示说明了根据本发明的一个实施例待从客户端向服务器发送的 累加访问权限的矩阵;
图7是根据本发明的一个实施例的客户端的框图8图示说明了根据本发明的一个实施例的用于选择用户的图形用户 界面(GUI);
图9图示说明了根据本发明的一个实施例的用于改变所选用户对联网 设备的功能的访问权限的GUI;
图10是图示说明了用于改变与联网设备的功能相关联的访问权限的方 法的流程图11是图示说明了根据本发明的一个实施例的访问服务器与客户端之 间的信号之间的时间关系的图;以及
图12是图示说明了根据本发明的 一 个实施例的访问服务器与客户端之 间的信号之间的时间关系的图。
具体实施例方式
图1示意性地描绘出根据本发明的一个实施例的系统。该系统包括被布 置为控制并管理联网设备12、 14和16的访问权限的访问服务器10。该系 统还包括可用来访问服务器10中的与系统的访问权限有关的信息的客户端 18,以及连接服务器10、联网设备12、 14和16以及客户端18的网络。
访问服务器10是控制已注册用户对系统中的联网设备的访问权限的服 务器。联网设备12、 14和16可以是连接至网络并被布置为通过网络受到控 制或提供数据的任何设备。客户端18可以是使管理员能登录服务器10并访 问与已注册访问标识对联网设备12、 14和16的功能的访问权限相关联的信息的计算机。根据一个实施例,访问标识可以是用户标识和/或用户组标识。
如上所述,联网设备12、 14和16可以是在网络上提供数据和/或可通 过网络被控制的任何设备。例如,联网设备可以是摄影机12,该摄影机12 能够通过网络通信以向视频服务器传递视频和/或接收例如控制摇摄、倾斜、 光圈、帧率、图像分辨率等的任意一种或任意组合的控制信号。这样的联网 摄像机12通常可为监控或监视的目的而工作。联网设备的另一示例是用于 对关闭的机构或区域的访问进行控制的入口控制系统14。然而,本领域才支 术人员也可以设想到很多其它设备。
根据本发明的一个实施例,访问服务器10包括被布置为处理数据、通 过计算机网络发送和接收数据的普通服务器的全部部件和功能。因此,访问 服务器10包括CPU52,即用于处理与普通服务器的功能有关以及与本发明 有关的功能有关的中央处理单元。此外,访问服务器还包括用于暂时存储与 普通服务器的功能有关以及与本发明的功能有关的数据、信息、指令等的易 失性存储器54。例如,易失性存储器54可以是RAM,即随机存取存储器。 访问服务器还包括网络接口 56,其使访问服务器能与连接至网络的其它设 备例如联网设备通信。如何实现网络接口对于本领域4支术人员来+兌是已知 的。
访问服务器IO还包括非易失性存储器58,其可以是硬盘驱动器、固态 驱动器或任何数据存储设备,即使在该设备的电源被中断时仍能够存储数 据。就本发明而言,非易失性存储器被布置为存储已注册用户对系统中联网 设备的功能的访问权限的信息。对存储容量进行相应地改变是必须的。另夕卜, 访问服务器还可以包括用于对向数据库输入数据和从数据库输出数据进行 管理的数据库接口 60。数据库可以被布置在非易失性存储器58中,但是也 可以被布置在连接至网络的另一存储点处。
除了全部普通功能,并且为了配置或重新配置访问权限,访问服务器 10还可以包括用于管理访问标识的选择的装置62、用于管理访问权限的装 置64和用于配置访问权限的装置66。
14用于管理访问标识的选择的装置62被布置为获取访问标识列表,并将
其发送至客户端计算才几,以供选择访问标识。访问标识列表可以从包括与已
注册访问标识,例如已注册用户和/或已注册用户组,相关^:的访问;〖又限的 数据库中获取,也可以从与网络相关联的用户管理服务器,即管理对登录网
络进行鉴权所需的数据的服务器中获取。如果网络系统是基于Microsoft的 网络,则这种服务器例如可以包括现用目录(Active Directory )。
访问标识的选择可以基于这些列表中的任意一种。当新的即未注册为访 问联网设备的访问标识将被给予对需要访问权限的联网设备的访问权时,使 用与网络上的鉴权登录相关联的列表是有利的。已注册为访问联网设备的访 问标识列表可有利地用于选择要对哪个访问标识进行访问权限的编辑或改 变。此外,在本申请的上下文中,就选才奪访问标识以改变访问权限而言,词 语访问权限可以包括用户标识和/或用户组标识。在已选择和注册用户组的 情况下,用户组的标识被存储。用户组可以被布置为包括与用户组相关联的 用户的用户标识符,这使得在需要时能够获取用户组中包括的用户。这使得 针对访问权限的一次管理操作选择用户组和单个用户成为可能,而后即使用 户组的用户改变,用户组的访问4又限也保持不变,^f旦离开该用户组或加入该 用户组的用户的访问权限改变。
参见图3,示出了根据一个实施例的访问标识列表90被存储在访问服 务器的数据库或者与访问服务器相关联的数据库中。除了已注册为访问联网 设备的所述访问标识列表卯,访问服务器的数据库还存储联网设备和这些 设备的可访问功能的列表92以及将访问权限与每个设备的每项功能和每个 访问标识相关联的列表94。列表94可被存储为列表或矩阵的形式,然而, 为了便于描述列表中包含的信息,我们将其描述为矩阵,在下文中,将列表 94称为访问权限矩阵94。因此,访问权限矩阵94是已注册访问标识的列表 90、联网设备的列表92和与联网设备的功能有关的那些访问标识的访问权 限的组合。参见图3的示例, 一种描述这种访问权限矩阵94的实施例的方 式是用每行表示联网设备和访问标识的组合,例如矩阵的行1表示网络设备备1和访问标识2,行3表示网络设备1 和访问标识3,行4表示网络设备2和访问标识1,行5表示网络设备2和 访问标识2等,并且用每列表示设备的功能。
现在返回图2,用于管理访问标识的选^^的装置62被布置为从客户端 接收所选访问标识的指示。访问权限矩阵管理器68被布置为如果所选访问 标识是没有在访问权限矩阵中注册的访问标识,则添加所选访问标识。进一 步,访问权限矩阵管理器可以被布置为从与所选访问标识相关联的访问权限 矩阵向访问权限累加器(accumulator) 70发送信息。
访问权限累加器70被布置为在待发送至客户端计算机的信息结构中对 所选访问标识的访问权限进行累加,以便能够在客户端计算机中进行访问权 限的改变。访问权限累加器70对被注册为具有对每个联网设备的每项功能 的访问权的所选访问标识的个数进行计数。如果全部所选访问标识具有对4关 网设备的特定功能的访问权,则将与该具体设备的该具体功能有关的项声明 为全部所选访问标识均具有访问权。如果没有所选访问标识具有对4关网设备 的特定功能的访问权,则将与该具体设备中的该具体功能有关的项声明为没 有所选访问标识具有访问权。在该系统中使用第三指示符。如果一些但非全 部所选访问标识具有对联网设备的特定功能的访问权,则使用该第三指示 符,并且而后将与该具体设备中的该具体功能有关的项声明为 一些所选访问 标识具有访问权。因此,累加列表或矩阵通过这三种状态识别所选访问标识 对每个网络设备的每项功能的累加访问权限。图4中示出累加矩阵的一部分 的示例。所述三种状态在数据传输中可以称为"全访问"指示符、"无访问" 指示符和"一些访问"指示符,或由这三种指示符指示。在一个实施例中, "全访问"指示符由真(TRUE)值指示,"无访问"指示符由假(FALSE) 值指示,"一些访问"指示符由空(NULL)指示符指示。
返回图2,用于管理访问权限的装置64被布置为生成包括使得能够从 客户端改变访问权限的信,包、的消息。该信息可以是累加访问权限和每个网络 设备的每个相关联功能和所选访问标识的列表,例如累加矩阵和所选访问标
16识的列表。这种消息的内容的一个示例在图5中示出。所选访问标识的列表 可以在包括访问权限配置信息的消息中表示为对存储在服务器或任何其它 网络位置中的这种列表的链接或指针。事实上,所选访问标识的列表不一定 要存在于客户端中,或者甚至不一定要在客户端中使用。
此外,用于配置访问权限的装置66被布置为从客户端接收配置请求。 所接收的请求包括针对每个网络设备的每项相关联功能而调整的累加访问 权限和所选访问标识的列表。如果访问标识的列表没有如以上所述的被发送 到客户端,则从访问服务器向客户端发送的链接或指针会被返回。用于配置 访问权限的装置66还被布置为指令访问权限矩阵管理器68来根据访问权限 配置请求在访问权限矩阵中设置访问权限。在一个实施例中,所接收的请求 另外包括针对每个设备的每项功能的指示符,该指示符指示该设备的功能的 访问权限是否已经针对与从访问服务器10发送的累加列表的访问权限有关 的所选访问标识而改变。脏位(dirty bit) 98可用于图6所示的返回累加列 表的示例中所指示的已改变访问权限的指示符。在图6的示例中,脏位被设 置为'T'指示访问权限已改变,脏位被设置为"0"指示访问权限未改变。 脏位的位置也可以存在于从访问服务器向客户端发送的累加列表中。
在图7中示出可在本发明中使用的客户端。该客户端包括网络接口 102、 CPU 104、存储器106、输入装置108和显示器110。网络接口 102被布置为 使客户端能与连接至网络的其它设备例如访问服务器通信。如何实现网络接 口对本领域技术人员来说是已知的。CPU 104被布置为处理客户端的功能, 存储器用于存储信息,例如暂时存储被执行的指令等。客户端可以是任何普 通的计算机,例如工作站、个人计算机、小型手持计算机、无线电话、个人
数字助理等,或者,它也可以是被设计为作为仅针对访问服务器的客户端的
专用计算机。
客户端包括用于选择访问标识的装置112和用于改变访问权限的装置 114。用于选择访问标识的装置112被布置为访问访问服务器并请求访问服 务器提供系统或网络用户的访问标识的信息。根据该信息,客户端的操作员可选择所述所选访问标识并发回所选访问标识列表。
在一个实施例中,用于选择用户的装置112被布置为显示界面,在该界 面中,客户端的用户能够在添加新的访问标识或改变已注册访问标识的访问 权限之间进行选择。进一步,它被布置为向访问服务器发送客户端的用户选 择了哪个选项的指示。进一步,用于选择访问标识的装置112被布置为接收 访问标识的列表,并通过使得能够从列表中选4奪访问标识的界面在显示器
110上呈现列表的内容。图8中示出这种界面的一个示例。可以通过指示呈
现感兴趣的访问标识的每行来标记用户,并且当感兴趣的用户被标记出来 时,用选择按钮向访问服务器发送所选访问标识的列表。
用于改变访问权限的装置114被布置为接收包含使得能够通过客户端 改变访问权限的信息的信息消息。该信息可以是每个网络设备的累加访问权 限和每项相关联的功能以及所选访问标识的列表,例如累加列表和所选访问
标识的列表,如结合访问服务器所描述的。图5中示出信息消息的示例。用 于改变访问权限的装置进一步包括用于在使客户端的用户能够改变访问权 限的界面中呈现信息消息的信息的装置。图9中示出这种用于改变访问权限 的界面的示例。在该界面的具体实施例中,以摄像机和1/0设备的形式呈现 的联网设备在该界面的分离标签120、 122中分类和排列。每个设备被呈现 在分离的行上,功能被分列呈现,并且每个设备的每项功能的累加访问权限 在联网设备与功能的交叉点处呈现。"x"指示全部所选访问标识均具有访 问权,空框指示没有所选访问标识具有访问权,"o"指示一些但非全部访 问标识具有访问权。该界面被布置为响应于用户对框的选择交替地从"x" 改变为空以及从空改变为"x,,。在当累加访问权限由"o"指示的情况下, 它可以改变为"x"或空,但是空或"x"不能被改变为"o"。因此,唯一 的可能是指示全部还是没有所选访问标识将具有访问权。当客户端的用户完 成对访问权限的改变时,要选择确定按钮。用于改变访问权限的装置被布置 为根据界面中指示的改变来改变累加列表,并利用指示全部所选用户对于联 网设备的功能的访问权限的改变的指示符,来指示每个已改变的访问权限,即每个已改变的对联网设备的访问权限。该指示可以通过结合访问服务器设 置如上所述的脏位来实现。
用于改变访问权限的装置114还被布置为向访问服务器发送被客户端 的用户改变的累加列表。
根据本发明的另一方面,参见图10,用于配置联网设备的功能的访问权
限的方法在系统中实现。该系统可以是能够管理访问权限的任何授权系统。该 系统可以是实现只允许用户访问被注册为允许具体用户访问的设备的鉴别实现 的系统。例如,系统可以是管理对安全系统、监视系统、监控系统等的设备和/ 或功能的访问的授权模块/系统,并且在这些系统中,不同的用户要具有对不同 设备的访问权,并且或许甚至是对它们具有访问权的设备具有不同类型的访问 权。
在步骤602,客户端计算机的用户通过操作客户端来发送对访问标识列表 的请求以启动对系统中联网设备的功能的访问权限的配置,该方法可以限于对 网络和系统具有管理员权限的用户,或者限于仅对系统具有管理员权限的用户。 在步骤604,响应于该请求,服务器向被注册为使用网络和/或使用系统的访 问标识的列表提供访问权。而后在客户端处,例如通过结合图8所描述的界面 来呈现该访问标识的列表。而后在步骤606,操作客户端的用户操作客户端,并 选择待被管理的具有访问权限的访问标识。
通过本发明,选择具有多个相同访问权限的访问标识是有利的,因为用 于管理访问权限的界面被布置为以相同的方式处理所选访问标识。而后所选 访问标识在访问服务器中用来仅为所选的访问标识准备累加访问权限矩阵。 如果所选的访问标识是未在系统中注册的访问标识,则必须将所选的访问标 识添加到系统的已注册访问标识中,例如访问标识可能是针对网络而注册 的,例如针对网络被鉴权,而不是针对系统而注册的,例如针对系统被授权。
因此,在步骤608,访问服务器获取与所选访问标识相关联的访问权限, 而后在步骤610 ,对具有对每个设备的每项功能的访问权的访问标识的个数 进行计数和累加。这可以通过以下方式来进行使服务器对具有对每个网络设
19备的每项功能的访问权的所选访问标识的个数进行计数,并通过将对具有对每 个网络设备的每项功能的访问权的所选访问标识的个数与所选访问标识的个数 进行比较来生成累加访问权限。累加访问权限可以表示全部所选访问标识均 具有访问权、没有所选访问标识具有访问权和一些所选访问标识具有访问权 中的任意一种。根据一个实施例,在累加访问权限中,全部所选访问标识均
具有访问权由"真(TRUE)"值表示,没有所选访问标识具有访问权由"假 (FALSE)"值表示, 一些所选访问标识具有访问权由"空(NULL)"值 表示。
根据得到的累加访问权限,在步骤612,服务器生成包括多个数据项的 数据结构,每个数据项表示联网设备、与该联网设备相关联的功能和与所选 访问标识有关的该具体设备的该具体功能的累加访问权限。数据结构包括这 些数据结构中针对每个联网设备的每项功能的一种。而后所生成的数据结构 与所选访问标识的列表一起被发送到客户端。在一个实施例中,发送到客户 端的所选访问标识列表由对该列表的链接或指针代替,而后该列表可存储在 服务器中。
在步骤614,当在客户端处接收到与功能和联网设备相关联的累加访问权限 的数据结构时,客户端的界面在连接至客户端的显示器上呈现信息。
根据一个实施例,累加访问权限的数据结构的信息呈现于用于呈现和改变 访问权限的界面中,例如结合图9所描述的界面中。而后使客户端的操作员能 通过界面简单地选择特定访问权限来改变累加访问权限,其中在每次特定访问 权限之后,在全部所选访问标识具有访问权和没有所选访问标识具有访问权之 间交替。
访问权限的每次改变都存储在数据结构中,并且可利用指示符例如脏位来 指示。在步骤618,在客户端处的操作员决定与所选访问标识有关的访问权限的 改变已完成时,指令客户端将已改变的数据结构与所选访问标识的列表一起返 回访问服务器,并且累加访问权限的数据结构被返回访问服务器。
在步骤620,在接收到已改变的数据结构后,服务器搜索指示已改变的访问权限的指示符,并为所选访问标识列表的全部所选用户重新配置与该指示符 相关联的具体联网设备的具体功能。搜索和配置重复进行,直至找到所指示的 已改变的全部项为止。而后运行系统的访问权限的新配置。
图10的步骤602中,用户搡作客户端来发送对访问标识的请求,该步 骤可能导致两种不同的获取中的 一种,即可能导致访问标识的获取或鉴定用 户的获取中的 一种。操作客户端的用户可以决定向系统添加另外的访问标 识,并且在这种情况下,访问服务器从管理网络的访问和鉴权的服务器中荻 取用户或用户组的列表。而后所选用户也将成为在系统的注册器中注册过的用 户。另一方面,操作客户端的用户可以决定改变已经在系统中具有访问权限的访 问标识的访问权限。而后访问服务器获取访问服务器中的访问标识列表。
图11中描述客户端与服务器之间的信令。图11中给出的示例涉及客户 端的用户打算将新的用户添加到系统的情形。在702,用户指示他打算添加 用户或用户组,则客户端向访问服务器发送对全部网络用户的列表的请求,
服务器接触网络访问和鉴权服务器,获取用户信息,并将该数据发送到客户 端。在706,在客户端处进行用户的选择,并发送对修改/设置所选用户的访 问权限的请求。在708,响应于该请求,访问服务器返回包括所选用户就每 个联网设备的每项功能而言的累加访问权限的信息结构。在710,在客户端 处修改该数据结构,并将修改后的信息结构返回访问服务器。修改后的信息结 构可以包括指示已修改的访问权限的指示符。
在图12中,示出与图11的示意图类似的信令示意图。该示例涉及用户 打算修改已注册访问标识的访问权限的情形。因此,在722,客户端发送请 求已注册访问标识的消息,并且在724 ,接收标识已注册访问标识的数据。 而后客户端处的用户从该数据中进行选择,并执行与图11中的相同的信令, 即信号726-730对应于图11的信号706-710。
权利要求
1、一种在联网设备(12,14,16)的系统中配置访问权限的方法,该方法包括选择多个访问标识;获取每个所选访问标识对联网设备(12,14,16)的可访问功能的访问权限的信息;针对每一个所述联网设备(12,14,16)的每一项所述可访问功能,对所述所选访问标识的访问权限进行累加,其中所述对访问权限进行累加包括对具有对每一个所述联网设备(12,14,16)的每一项所述可访问功能的访问权限的所选访问标识的个数进行计数;在允许编辑所述累加访问权限的界面中呈现针对每一个所述联网设备(12,14,16)的每一项可访问功能的所述累加访问权限;指示对特定联网设备(12,14,16)的特定功能的累加访问权限的改变;以及根据所指示的累加访问权限的改变,配置所述特定联网设备(12,14,16)的特定功能,以允许由所选访问标识访问。
2、 根据权利要求1所述的方法,其中所述对访问权限进行累加进一步 包括如果所述计数指示全部所选访问标识均被允许访问联网设备(12, 14, 16)的特定功能,则将对该特定功能的累加访问权限设置为指示全部所选访 问标识均被允"^午访问该特定功能的值;如果所述计数指示没有所选访问标识被允许访问联网设备的特定功能, 则将对该特定功能的累加访问权限设置为指示没有所选访问标识被允许访 问该特定功能的值;以及如果所述计数指示一些所选访问标识被允许访问联网设备的特定功能, 将对该特定功能的累加访问权限设置为指示一些所选访问标识被允许访问该特定功能的值。
3、根据权利要求1至2中任一项所述的方法,进一步包括通过计算 机网络(20)向执行所述呈现的客户端计算机(18)发送表示所述联网设备 (12, 14, 16)的所述可访问功能的信息、表示与这些功能中的每一项相关联 的累加访问权限的信息和使得能识别所述所选访问标识的信息。
4、 根据权利要求3所述的方法,其中所述使得能识别所选访问标识的 信息是包括所述所选访问标识的标识符的列表(90)。
5、 根据权利要求3所述的方法,其中所述使得能识别所选访问标识的 信息是对包括所选访问标识的标识符的列表的位置进行识别的标识符。
6、 根据权利要求3至5中任一项所述的方法,进一步包括通过计算 机网络(20)返回表示每一个所述4关网设备(12, 14, 16)的每一项可访问功 能的信息、与这些功能中的每 一 项相关联的累加访问权限以及使得能识别所 选访问标识的信息,其中与联网设备的至少 一 项功能相关联的累加访问权卩艮 相对于先前通过计算机网络(20)发送的相应信息而言已经被改变。
7、 根据权利要求6所述的方法,其中所述累加访问权限已经被改变的 联网设备(12, 14, 16)的所述至少一项功能被标记,以指示对该具体功能的 累加访问权限相对于先前通过计算机网络(20)发送的相应信息而言已经被 改变。
8、 根据权利要求1至7中任一项所述的方法,其中所述指示对特定联 网设备(12, 14, 16)的特定功能的累加访问权限的改变的动作仅使得能将特 定联网设备(12, 14, 16)的特定功能的访问权限改变为允许由所述所选访问 标识识别的全部用户访问该特定功能或不允许任何所述所选用户访问该特定功能。
9、 根据权利要求1至8中任一项所述的方法,其中所述选择多个访问 标识包括从被注册为使用该系统的访问标识中选4奪多个访问标识。
10、 根据权利要求1至9中任一项所述的方法,其中所述选择访问标识 包括选择单独的用户。
11、 根据权利要求1至10中任一项所述的方法,其中所述选择访问标 识包括选择用户组。
12、 一种用于在^:网设备(12, 14, 16)的系统中处理访问权限的服务器, 该服务器包括用于管理访问标识的选择的装置(62),被布置为从客户端U8)接收 选择的访问标识的指示;访问权限管理器(68),被布置为获取单独选择的访问标识对与联网设 备(12, 14, 16)相关联的可访问功能的访问权限的信息,并被布置为生成包 括就所选访问标识而言对所述联网设备(12, 14, 16)的所述功能的累加访问 权限的消息;访问权限累加器(70),被布置为通过对具有对所述联网设备(12,14, 16)的每一项可访问功能的访问权限的所选访问标识的个数进行计数,根据 所获取的信息中,对所选访问标识对所述耳关网设备(12, 14, 16)的可访问功 能的访问权限进行累加;以及访问权限配置器(66),被布置为根据所接收的包括指示符(98)的消 息,为所选访问标识配置对联网设备(12, 14, 16)的可访问功能的访问权限, 其中所述指示符(98)指示对所述联网设备(12, 14, 16)的所述功能的访问 权限将被改变。
13、 根据权利要求12所述的服务器,其中所述访问权限累加器进一步 —皮布置为如果所述计数指示全部所选用户均被允许访问联网设备(12, 14, 16)的 特定功能,则将对该特定功能的累加访问权限设置为指示全部所选访问标识 均被允许访问该特定功能的值;如果所述计数指示没有所选访问标识被允许访问联网设备(12, 14, 16) 的特定功能,则将对该特定功能的累加访问权限设置为指示没有所选访问标 识被允许访问该特定功能的值;以及如果所述计数指示一些所选访问标识被允许访问联网设备(12, 14, 16)的特定功能,则将对该功能的累加访问权限设置为指示 一 些所选访问标识被 允许访问该功能的值。
14、 根据权利要求12至13中任一项所述的服务器,其中所述访问权限 管理器(68)被布置为在所生成的消息中包括表示所述联网设备(12, 14, 16) 的可访问功能的信息、与每项所包括的功能相关联的累加访问权限以及使得 能识别所选访问标识的信息。
15、 根据权利要求12至14中任一项所述的服务器,其中所述系统是监 控系统。
16、 根据权利要求12至15中任一项所述的服务器,其中所述访问标识 包括用户标识。
17、 根据权利要求12至16中任一项所述的服务器,其中所述访问标识 包4舌用户组标识。
18、 一种用于改变对系统的if关网i史备(12, 14, 16)的功能的访问权限的 客户端,该客户端包括显示器(110); 输入装置(108);用于选择访问标识的装置(112),该装置(112)被布置为访问访问服 务器(10),并请求该访问服务器(10)提供该系统或网络用户的访问标识 的信息,并且该装置(112)被布置为在所述显示器(110)上呈现访问标识, 并允许该客户端的用户通过所述输入装置(108)选择访问标识;以及用于改变所选访问标识对联网设备(12, 14, 16)的可访问功能的访问权 限的装置(114),该装置(114)被布置为在所述显示器(110)上呈现与所述 联网设备(12, 14, 16)的所述可访问功能有关的累加访问权限,允许该客户 端的用户选择和改变所呈现功能的累加访问权限,并且生成包括已改变的累 加访问权限的信息的消息,其中对访问权限进行累加包括对具有对每一个所 述联网设备(12, 14, 16)的每一项功能的访问权限的所选访问标识的个数进 行计数。
19、 根据权利要求18所述的客户端,其中所述用于改变访问权限的装置(114)被布置为通过网络接口 (102)接收消息,该消息包括表示联网设备(12, 14, 16)的可访问功能的信息、表示与这些功能中的每一项相关联的累加访问权限的信息和使得能识别所选访问标识的信息。
20、 根据权利要求18至19中任一项所述的客户端,其中所生成的消息包括表示联网设备(12, 14, 16)的可访问功能的信息、表示与这些功能中的每一项相关联的累加访问权限的信息、指示每个已改变的累加访问权限的指示符(98)和使得能识别所选访问标识的信息。
21、 根据权利要求19和20中任一项所述的客户端,其中所述使得能识別所选访问标识的信息是包括所选访问标识的标识符的列表(90)。
22、 根据权利要求19和20中任一项所述的客户端,其中所述使得能识别所选访问标识的信息是对包括所选用户的标识符的列表(90 )的位置进行识别的标识符。
全文摘要
本发明公开了处理访问权限的方法和设备。在联网设备的系统中配置访问权限的方法包括选择多个访问标识,获取每个所选访问标识对联网设备的可访问功能的访问权限的信息,针对每一个所述联网设备的每一项可访问功能,对所选访问标识的访问权限进行累加,在允许编辑所述累加访问权限的界面中呈现针对每一个所述联网设备的每一项可访问功能的所述累加访问权限,指示对特定联网设备中的特定功能的累加访问权限的改变,以及根据所指示的累加访问权限的改变配置特定联网设备的特定功能以允许由所选用户访问。在联网设备的系统中配置访问权限的装置是用于按照上述方法中的描述处理访问权限的访问服务器和客户端。
文档编号G06F21/62GK101488955SQ200910000290
公开日2009年7月22日 申请日期2009年1月9日 优先权日2008年1月15日
发明者塞巴斯蒂安·胡尔特奎斯特, 约翰·雷恩, 马丁·拉斯穆松, 马蒂亚斯·金德贝格 申请人:安讯士有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:马丁.拉斯穆松;约翰.雷恩;马蒂亚斯.金德贝格;塞巴斯蒂安.胡尔特奎斯特
  • 技术所有人:安讯士有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
qq访问权限破解方法相关技术
报废设备处理方法相关技术
通信设备故障处理方法相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2