专利名称:基于互联网的访问和共享远程设备的系统和方法
技术领域:
本发明涉及一种基于互联网的访问和共享远程设备的系统和方法,属于互联网的应用技术领域。
背景技术:
随着互联网技术的迅速发展,许多传统工作被移植到互联网上,大大提高了效率,促进了生产和科研的发展。很多传统领域的科学实验也普遍采用各种信息技术,以便能够更便利地控制实验过程,获取更加精确的实验数据。
众所周知,很多行业的实验环境非常恶劣或复杂,有的需要常年累月地对特定实验环境下的实验情况进行观察、记录。例如,土壤学中为了观察CO2对于植物生长的影响,需要长时期地在农田采集气温、风向和CO2的浓度等多方面因素影响农作物生长的实验数据。在这种情况下,科研人员为了及时控制实验现场的各种设备和调整各种实验参数,就需要长期驻扎在野外或农田里进行观察。从某种意义上讲,这种实验方式是对人力资源的一种极大浪费,因为实验现场的各种实验参数具有相对的时间稳定性,可能只需要每天、每周、甚至每月才改变一次,此时,科研人员完全没有必要一直坚守在实验现场第一线。
此外,科学实验中的很多精密仪器价格昂贵,为了完成某个实验,科研人员经常需要长途跋涉到拥有这种仪器设备的单位进行实验,如果让科研人员能够通过网络共享其它单位的实验设备,或者充分利用网络资源,让科研人员即使不去实验现场,也能随时掌握实验现场的各种情况和数据,进行各种实验,这样不仅能够大大提高科研效率,也有助于降低科研的人力、物力和财力。
远程设备的访问技术为科学实验和工业技术试验的数据采集等工作提供了一种全新的工作方式。设备使用人员可以自身不直接处于设备现场的情况下,远程操作设备的运行,从而节省大量时间和费用。并且,在访问远程设备的基础上,通过对这些设备的集中管理,还可以将一些贵重、稀少的设备给予多个用户共享使用,这样不仅提高了设备的使用率和工作效率,又大大降低了许多单位的设备投资费用。因此,现在很多高校、科研、企业等学术机构都在对这个课题进行深入研究,并取得了一定的成果。
目前,远程访问技术主要用于远程教学、远程演示和远程计算机管理等场合,利用远程访问技术对接入互联网的远程计算机进行实时控制,能够对远程计算机的运行状况进行实时观看和操作。现在已经有很多相关技术的软件产品,其中较为成熟的远程访问软件大都将其重点集中于如何提高远程计算机屏幕信息的传输效率,例如,开源软件VNC中使用的RFB协议研究对象是如何减少远程传输中的带宽,以及在传输过程中如何根据网络状况自动调整传输质量。
但是,目前的远程访问技术主要采用点对点的通信模式,也就是在被访问的计算机上安装远程访问的服务器端程序,在自己的计算机上安装客户端程序,当服务器端的计算机接入互联网,且用户详细了解服务器端的相关信息后,才能定位服务器和发出访问请求。这种模式的缺陷是无法直接移植到对远程设备的访问。其原因是首先不是控制设备的所有计算机都能够连接互联网,并始终保持在线连接状态;再者,设备数量众多,分布广泛,出于安全因素的考虑,采用端对端的计算机通信方式无法对系统内的各种设备实行统一、集中的管理,容易导致数据泄漏的安全问题。此外,设备资源通常还存在有一些与传统计算机领域被访问对象的不同特性,这些特性还有可能随着新设备的出现而不断扩展。而传统的远程访问技术控制模型(包括自主访问控制模型DAC、强制访问控制模型MAC和基于角色的访问控制模型RBAC等)都无法适应这些特性。
因此,如何构建新的设备远程使用方式、如何对设备资源进行访问控制、如何有效地共享远程设备已经成为一个新的研究课题,受到业内人士的关注。
发明内容
有鉴于此,本发明的目的是提供一种基于互联网的访问和共享远程设备的系统和方法,该系统基于互联网技术,为用户提供一种简单、方便的远程设备的访问和共享方式,设备拥有者可以在该系统中注册其设备,以便将该设备提供给设定的远端用户共享。该系统的扩展性能很好,需要添加、删除、修改共享的远程设备时,只要进行动态配置即可,可以大大节省用户的投资。
为了达到上述目的,本发明提供了一种基于互联网的访问和共享远程设备的系统,该系统包括互联网,通过互联网连接的设备使用者终端和设备拥有者终端;其特征在于该系统还包括远程设备访问控制服务器、多个设备控制单元服务器、多个分别位于不同局域网内的设备控制计算机组,每个设备控制计算机组内设有一个或多个设备控制计算机,每个设备控制计算机直接与共享设备相连接,并安装有管理和控制该共享设备运行、操作的计算机应用程序;其中每个设备控制单元服务器分别藉由局域网与位于该局域网内、所有的设备控制计算机相连接,为该局域网内的各个设备控制计算机的应用程序提供一个统一的互联网出口,也为来自互联网的设备访问请求提供同一个访问入口,用于管理、控制该局域网内的所有设备控制计算机的共享设备的应用程序,实现对远程设备的访问和共享。
所述设备使用者终端内安装有远程设备访问客户端软件,用于设备使用者经过远程设备访问控制服务器的验证、授权后,能够访问、共享远程设备控制计算机上的设备应用程序;所述设备所有者终端是拥有设备并希望通过该系统将其设备供他人访问和共享使用的计算机,该终端内安装有远程设备访问客户端软件,用于通过身份认证后,在远程设备访问控制服务器的数据库内设置其共享设备的各种相关信息在设备当前状态库中设置需要实时记录的各种设备属性,在设备使用策略库中定义共享设备的使用策略,在设备注册信息库中设置共享设备的基本信息,在设备使用历史信息库中定义需要保存的使用历史信息的属性,以便将其设备提供给他人访问和共享;所述远程设备访问控制服务器内的控制软件和数据库包括身份验证模块,用于保存注册用户终端的身份信息,并在用户终端接入系统提出访问请求时,验证其输入信息,通过验证后,赋予该用户终端一个角色;
访问授权模块,根据用户终端从身份验证模块获取的角色及其当前请求信息,执行相应的不同操作如果用户终端为设备拥有者,则赋予该用户读、写各个设备数据库的权限,使其能够进行设备注册操作;如果用户终端为设备使用者,则根据用户角色及其访问请求信息从与其相连接的设备当前状态库、设备使用策略库、设备注册信息库和设备使用历史信息库中读取相应信息,为其动态产生一个临时访问设备的令牌,以便终端与设备控制单元服务器进行交互;设备当前状态库,用于实时记录各共享设备的当前状态信息,包括但不限于该设备当前是否启动、操作人数、观看设备运行的人数、还可接纳的人数、有否排队用户;不同设备在该当前状态库的存储内容各不相同,取决于设备拥有者的预先设定,即设备拥有者在注册设备时预先设定其设备需要记录的属性;设备使用策略库,用于存储预定的四种设备使用策略时间策略、权限策略、容量策略和内部逻辑关系策略,以及每个共享设备所采用的各种策略组合;并预留有策略扩展接口,以便今后加入影响远程访问设备的新策略;设备注册信息库,用于保存设备拥有者注册共享设备时填写的与该设备相关的各种信息,包括但不限于设备名称、简介、使用注意事项、收费标准、共享时间、权限差异、容量限制、使用策略的简单描述;设备使用历史信息库,用于保存各个共享设备的使用状况历史记录,其中所记录的属性由设备拥有者在注册共享设备时确定;权限验证模块,用于对与设备控制单元服务器返回的用户终端权限验证请求进行验证,即通过该模块与各个数据库的交互,对该请求中的权限信息是否真实、合法,是否符合系统规定,时效是否在权限信息规定内进行验证,并向验证请求者返回验证结果。
为了达到上述目的,本发明还提供了一种基于互联网的访问和共享远程设备的方法,其特征在于包括下列操作步骤(1)用户终端登录系统,从远程设备访问控制服务器获取本次访问远程设备所需的临时权限令牌;(2)用户终端将访问权限令牌发送到设备控制单元服务器,由设备控制单元服务器验证该权限令牌和请求的合法性和时效;(3)如果设备控制单元服务器接收到远程设备访问控制服务器返回的权限验证的确认信息,则建立用户终端-设备控制单元服务器-控制设备的计算机程序三者之间的持续连接,使该用户终端能够访问和操控远程设备;否则,设备控制单元服务器拒绝访问请求;(4)用户终端结束其与远程设备的访问连接后,远程设备访问控制服务器记载本次访问的各种信息,撤销临时权限令牌,用户终端退出系统。
所述方法还包括设备拥有者在系统内注册其共享设备的初始化准备操作步骤(A)设备拥有者终端登陆系统,获取个人角色信息后,在远程访问控制服务器中登记注册其所提供的共享设备;(B)远程访问控制服务器根据设备拥有者终端注册登记的各项设备信息,将该设备纳入系统的管理和控制范围内,使得该设备注册成功后,能够根据设备拥有者预先设定的条件,将该设备提供给其它用户访问、共享。
所述步骤(A)进一步包括下列操作步骤(A1)设备拥有者终端登陆系统,向远程访问控制服务器提交个人身份的认证信息;(A2)远程访问控制服务器中的身份验证模块验证其输入信息后,将验证结果转交访问授权模块,对其身份和权限信息进行认证,并返回认证结果;(A3)如果通过认证,则该终端可打开设备注册页面,填写该共享设备的各项信息后,发送给远程访问控制服务器,将各种信息分别载入相应的各个设备数据库中;如果没有通过认证,则结束操作。
所述步骤(B)进一步包括下列操作步骤(B1)远程访问控制服务器根据注册设备的基本信息,首先确定该设备是否可以纳入目前现有的设备控制单元服务器的管理范围;(B2)如果注册设备可以纳入到现有的某个设备控制单元服务器所管理和控制的局域网内,则对该设备控制单元服务器进行配置,添加该注册设备的各项信息,将其纳入该设备控制单元服务器的管理范围后,跳转执行步骤(B4);(B3)如果注册设备不能归纳到现有的某个设备控制单元服务器所管理和控制的局域网内,则新建一个设备控制单元服务器,并将该注册设备的各项信息配置到该新建的设备控制单元服务器,以便将其纳入该服务器的管理范围;(B4)设备拥有者终端向远程访问控制服务器提出测试连接请求;(B5)远程访问控制服务器分别测试该终端与设备控制单元服务器、设备控制单元服务器和控制设备计算机之间的连接状态,如果连接成功,向终端返回注册设备成功信息;(B6)设备拥有者终端访问远程访问控制服务器,将访问、共享其注册设备的各种相关权限存储于访问授权模块,以供他人访问、共享该设备。
所述步骤(1)进一步包括下述操作内容(11)设备使用者终端登陆系统,向远程访问控制服务器中的身份验证模块提交个人身份的认证信息;(12)远程访问控制服务器中的身份验证模块将该终端的身份认证结果提交给访问授权模块,由访问授权模块对该终端的身份和权限进行认证,并向终端返回认证结果;(13)如果通过认证,则远程访问控制服务器向该终端发回其权限许可范围内的可访问设备列表,供终端搜索、选择是否有需要访问的设备,再执行后续操作;如果没有通过认证,则向终端发回拒绝访问的响应,结束操作;(14)如果可访问设备列表中包括所需访问的设备,则选中该设备后,向远程访问控制服务器发出访问请求,执行后续操作;否则,向远程访问控制服务器发送指令,结束操作;(15)远程访问控制服务器接收到访问请求后,将该终端的设备访问请求与用户的身份信息一起转发给访问授权模块进行处理,访问授权模块根据用户的身份角色,以及分别存储在设备当前状态库和设备使用策略库中的设备当前状态和设备访问策略,为该终端动态生成一个带有时间戳的访问该特定共享设备的临时权限令牌,用于该用户访问共享设备。
所述步骤(15)中存储在设备使用策略库中的设备访问策略至少包括时间策略,即时间依赖性-控制设备的计算机程序对外开放、供他人访问的时间范围,其余时间处于对外关闭阶段,不能访问之;例如某台设备对外开放的时间为每天的10:00至16:00,其余时间处于维护阶段;权限策略,即权限差异性-每个设备对外开放时,赋予访问主体的访问权限,包括读、写、拥有或其它不同等级;容量策略,即访问主体数量差异性-共享设备的不同操作对外开放、供人访问的主体数量有所区别控制设备操作的计算机程序在同一时间内只准一个用户访问,而对设备运行情况或结果进行观察的进程可允许多人同时访问;内部逻辑关系策略,即资源内部关系特性-每个设备所对应的一个或一组计算机程序彼此之间的关联关系;例如对某台设备进行控制的两个计算机程序A和B,其中执行A的前提是B在运行,则称为A依赖于B,如果A和B不能同时执行,则称为A和B互斥。
所述步骤(2)进一步包括下述操作内容(21)设备使用者终端将临时权限令牌和访问设备的请求信息一起发送给设备控制单元服务器;(22)设备控制单元服务器将其接收到的访问请求和权限令牌一起转发给远程设备访问控制服务器进行权限验证;(23)远程设备访问控制服务器接收到访问请求和权限令牌后,由权限验证模块从令牌中抽取相关信息,并与各个设备信息数据库中存储的信息进行核对,验证该令牌的合法性和时效;(24)如果通过验证,远程设备访问控制服务器向设备控制单元服务器返回验证核对结果;否则,结束操作流程。
所述步骤(3)进一步包括下述操作内容(31)设备控制单元服务器向其连接的位于同一个局域网内的设备控制计算机发出连接其中被选择的控制某个共享设备的计算机应用程序的请求信号;(32)该设备控制计算机接到请求信号后,返回该请求的响应如果设备控制计算机能够与设备控制单元服务器建立通信连接,并且该设备控制计算机处于正常工作状态,则设备控制计算机向设备控制单元服务器发回接受访问请求的握手信息,执行后续操作;否则,返回拒绝访问的响应,接束流程;(33)设备控制单元服务器接收到设备控制计算机发送过来的握手信息后,转发给设备使用请求者终端,告知访问请求被接纳;(34)设备使用者终端开始对其终端安装的远程访问客户端程序进行初始化,并将初始化完成信息发送到设备控制单元服务器;(35)设备控制单元服务器向设备控制计算机转发设备使用者终端的初始化完成信息;(36)设备控制计算机向设备控制单元服务器发送该共享设备的计算机应用程序图像信息,然后,开始向其发送该计算机应用程序的增量运行界面;(37)设备控制单元服务器将其接收到的计算机应用程序图像信息和及其增量运行界面数据都转发给设备使用者终端(38)设备使用者终端的屏幕展示该被访问设备的运行状况,需要时,用户可通过输入装置发送控制信息,对该共享设备的运行进行操作控制。
本发明是一种基于互联网的访问和共享远程设备的系统和方法,该系统是基于目前成熟的互联网技术、增量传输技术和访问控制技术组合构建而成,不同于传统的远程设备共享系统,受当前已经完成的各种硬件基础设施的限制非常小,因此,应用范围比较广泛,应用前景看好。
本发明的技术特点之一是采取巧妙方式将对远程设备的访问转化为对控制该远程设备的计算机程序的访问,并且在对计算机程序的访问过程中添加了该设备的特点,使之区别于一般的计算机程序。远程设备访问中的主体是访问远程设备的终端及其操控人员,客体是设备。通常,设备可分为两类一类是接受计算机程序控制的设备,这类设备的参数配置、启动和参数调整都是通过运行在与设备连接的计算机上的设备控制程序来实现的,另一类设备是不接受计算机程序控制的设备。其中接受计算机程序控制的设备是本发明的研究对象和客体。对于这种设备而言,如果能够远程访问用于操控设备的计算机应用程序,实际上就是对该设备实现了参数配置、启动运行和参数调整等操作;此外,再通过设备所在地的现场人员的配合,就能够实现对该设备的远程访问。因此,本发明对远程设备的访问实际上转化为对控制设备的计算机应用程序的远程访问,也就是说,远程设备访问中的客体是控制该远程设备的计算机应用程序。但是,这种代表设备的计算机应用程序是一种特殊资源,作为设备的一种具体表现形式,除了具备与传统的计算机系统中的相同保护对象(如数据、文件等)以外,还包含有设备资源的其它各种特点时间依赖性、权限差异性、访问主体容量差异性和各程序进程间的逻辑关系特性。由于设备资源至少具有上述四种特性,本发明在为用户生成临时访问权限令牌的过程中,必须考虑三类参数设备状态、用户的角色信息和设备使用策略(即上述四个特性时间策略、权限策略、容量策略和逻辑策略等),才能生成针对特定设备的临时权限令牌,实现用户对某个设备的访问(参见图2所示)。并且,随着新设备、新技术、新需求的出现,可能需要更多维度的访问策略来描述共享设备资源。
本发明的技术特点之二是在对设备控制程序进行访问控制的过程中,考虑到科学实验的过程延续性,因此对设备控制程序是实时观测和控制,即访问过程中由设备控制软件所显示的各种性能曲线或数据的变化都会实时传输到远端客户机终端。实际处理过程是将远程计算机上运行的控制设备的计算机应用程序的界面被看成一个图形,先将该程序运行界面或图形划分为一个个设有固定坐标的传输单元,接着在开始的传输过程中,将该整个程序运行界面分解为各个传输单元全部传输到客户端,客户端则将接受到的图形界面信息进行还原恢复,并向用户显示。然后,在程序运行界面(图形)发生变化时,只需将界面发生变化的区域的图像数据及其坐标值传输到设备使用者终端,即在后期传输过程中,采用增量传输方式来降低网络带宽占用率。客户端接收到变化区域的图像数据及其坐标值就会在其显示屏上的程序运行界面或图形中反映相应的变化情况。如果设备使用者希望对传输过来的程序界面进行某种操控,可以在本地显示的实时图片上点击鼠标、敲打键盘,客户端计算机会将其输入操作数据及其所对应区域的坐标值作为控制信号实时发送到远端设备正在运行的计算机应用程序,该远端设备的应用程序解析客户端的输入操作内容,并在相应的坐标位置还原设备使用者的操作数据。这种方式既节省了传输带宽,又实现了对设备的远程访问。
本发明的技术特点之三是实现了对设备的共享,通过设备拥有者终端在系统中注册登记其所提供共享的设备,将该设备的控制程序授权给设定用户,当被授权的用户请求访问这些授权设备时,系统会自动根据用户权限、设备状态和设备使用策略赋予用户当前的各种访问权限。
总之,本发明基于传统、成熟且广泛使用的技术,结构简单,灵活,易扩展,能够极大提高科研效率和仪器使用效率,具有很好的应用前景。
图1是本发明基于互联网的访问和共享远程设备的系统结构组成示意图。
图2是本发明方法生成临时访问权限令牌时需要考虑的各种因素示意图。
图3是本发明基于互联网的访问和共享远程设备的方法流程方框图。
图4是本发明基于互联网的访问和共享远程设备的方法操作步骤时序图。
图5是应用本发明方法的一个实施例系统结构组成示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图1,介绍本发明系统的组成结构,该系统包括互联网,多个局域网,以及通过互联网或局域网连接的下述设备多个设备使用者终端1,即安装有远程设备访问客户端软件的设备使用者计算机,用于设备使用者经过远程设备访问控制服务器的验证、授权后,能够访问、共享远程设备控制计算机上的设备应用程序。
多个设备拥有者终端2,即拥有设备并希望通过该系统将其设备供他人访问和共享使用的设备拥有者的计算机,该终端内安装有远程设备访问客户端软件,用于通过身份认证后,在远程设备访问控制服务器的数据库内设置其共享设备的各种相关信息,以便将其设备提供给他人访问和共享。
远程设备访问控制服务器3,其内部安装的控制软件和数据库包括身份验证模块31,用于保存注册用户终端的身份信息,并在用户终端接入系统提出访问请求时,验证其输入信息,通过验证后,赋予该用户终端一个角色;访问授权模块32,根据用户终端从身份验证模块获取的角色及其当前请求信息,执行相应的不同操作如果用户终端角色为设备拥有者,则赋予该用户读、写各个设备数据库的权限,使其能够进行设备注册操作;如果用户终端角色为设备使用者,则根据用户角色及其访问请求信息从与其相连接的设备的当前状态库、使用策略库、注册信息库和使用历史信息库中读取相应信息,为其动态产生一个临时访问设备的令牌,以便终端与设备控制单元服务器进行交互;设备当前状态库34,用于实时记录各共享设备的当前状态信息,例如,该设备当前是否启动、操作人数、观看设备运行的人数、还可接纳的人数、有否排队用户;不同设备在该当前状态库的存储内容各不相同,取决于设备拥有者的预先设定,即设备拥有者在注册设备时预先设定其设备需要记录的属性;设备使用策略库35,用于存储预定的四种设备使用策略时间策略、权限策略、容量策略和内部逻辑关系策略,以及每个共享设备所采用的各种策略组合;并预留有策略扩展接口,当有新的因素影响设备的远程访问时,可以制定新策略并将其加入其中;设备注册信息库36,用于保存设备拥有者注册共享设备时填写的与该设备相关的各种信息,例如,设备名称、简介、使用注意事项、收费标准、共享时间、权限差异、容量限制、使用策略的简单描述等信息;设备使用历史信息库37,用于保存各个共享设备的使用状况历史记录,其中所记录的属性由设备拥有者在注册共享设备时确定;权限验证模块33,用于对与设备控制单元服务器返回的用户终端权限验证请求进行验证,即通过该模块与各个数据库的交互,对该请求中的权限信息是否真实、合法,是否符合系统规定,时效是否在权限信息规定内进行验证,并向验证请求者返回验证结果。
多个设备控制单元服务器41、42、…、4N,每个设备控制单元服务器分别藉由局域网与位于该局域网内、所有的设备控制计算机相连接,为该局域网内的各个设备控制计算机的应用程序提供一个统一的互联网出口,也为来自互联网的设备访问请求提供同一个访问入口,用于管理、控制该局域网内的所有设备控制计算机的共享设备的应用程序,实现对远程设备的访问和共享。
多个分别位于不同局域网内的设备控制计算机组411、412…、41K,421、422,4N1,每个设备控制计算机组内设有一个或多个设备控制计算机,每个设备控制计算机直接与共享设备相连接,并安装有管理和控制该共享设备运行、操作的计算机应用程序。
参见图3,介绍本发明基于互联网的访问和共享远程设备的方法,包括下列操作步骤(其中前两个用虚线框出的是初始化准备的操作步骤)(1)设备拥有者终端登陆系统,获取个人角色信息后,在远程访问控制服务器中登记注册其所提供的共享设备;(2)远程访问控制服务器根据设备拥有者终端注册登记的各项设备信息,将该设备纳入系统的管理和控制范围内,使得该设备注册成功后,能够根据设备拥有者预先设定的条件,将该设备提供给其它用户访问、共享;(3)用户终端登录系统,从远程设备访问控制服务器获取本次访问远程设备所需的临时权限令牌;(4)用户终端将访问权限令牌发送到设备控制单元服务器,由设备控制单元服务器验证该权限令牌和请求的合法性和时效;(5)如果设备控制单元服务器接收到远程设备访问控制服务器返回的权限验证的确认信息,则建立用户终端-设备控制单元服务器-控制设备的计算机程序三者之间的持续连接,使该用户终端能够访问和操控远程设备;否则,设备控制单元服务器拒绝访问请求;(6)用户终端结束其与远程设备的访问连接后,远程设备访问控制服务器记载本次访问的各种信息,撤销临时权限令牌,用户终端退出系统。
参见图4,该时序图展示了本发明方法的主要操作步骤的时序,即上述步骤(3)~(6)的主要操作内容。
参见图5,介绍利用本发明方法分别访问、共享位于某野外观测站和某大型仪器设备中心两地的远程仪器设备的实施试验情况。图5展示了对该两个科研机构内部仪器设备进行远程访问的工作原理和系统结构组成。
位于图中下面的虚线框是某大型仪器设备中心中子散射实验的设备结构原理图。这个实验中,首先由核反应堆发射出大量的中子束,这些中子束快速穿过放置了实验样品的样品旋转仪,因为中子束的方向不变,实验样品在样品旋转仪中不断快速变化位置,中子束穿出样品旋转仪后,射入谱仪,谱仪会记录下不同时刻射出的中子束的形状。谱仪与计算机相连接,通过该计算机上运行的应用程序可以控制谱仪,设置其运行参数,采集各项数据并进行数据分析。为了能够远程使用这套实验设备,并将实验设备共享给其它用户,关键点在于让用户能够通过互联网访问控制谱仪的计算机程序,间接实现对谱仪的实时操控。
中子散射实验设备监控机上安装有对谱仪收集数据和进行分析的应用程序,设备拥有者注册设备时,将该收集和分析数据的应用程序所安装的台式计算机纳入某大型仪器设备中心设备监控服务器的管理和控制范围之内。用户想要远程完成中子散射实验时,首先要通过互联网向远程访问控制服务器发出请求,通过身份认证后获取临时访问权限令牌,然后将远程访问请求随同临时访问权限令牌一同发给大型仪器设备中心设备监控服务器。由设备监控服务器将收到的访问权限令牌发送到访问控制服务器进行身份认证,如果认证通过,则建立中子散射实验设备监控机——设备监控服务器——用户之间的持续连接,允许用户远程访问控制谱仪的计算机应用程序。
位于图中上面的虚线框是某野外观测站某个科研项目中监控空气中CO2气体对农作物生长影响实验的设备组成结构原理图。图中右上角的仪器中装有化学药品,它接受计算机的控制,以程序预先设定速度生成CO2气体,并通过与之相连的管道释放到试验田的农作物根部。试验田设有仪器不间断地监控农作物的生长状况。其中试验田设备控制计算机上分别安装有CO2生成装置的控制程序和农作物监控仪器的控制程序。
为了能够使该项目组的科研人员能够远程访问CO2生成仪器和田间农作物监控仪器,设备拥有者注册设备时,将控制该两个仪器的应用程序所安装的计算机纳入野外观测站设备控制服务器的管理和控制范围内。当有用户需要访问CO2生成仪器或试验田农作物监控仪器时,首先要通过互联网向远程访问控制服务器发出请求,通过身份认证后,获取临时访问权限令牌,然后将远程访问请求(包括所要访问的应用程序名称)随同临时访问权限令牌一同发向野外观测站设备控制服务器。设备控制服务器将收到的访问权限令牌发送到远程访问控制服务器进行认证,如果认证通过,则建立试验田设备监控机——设备控制服务器——用户之间的持续连接,允许用户远程访问CO2生成设备或田间农作物监控设备。
试验应用本发明方法后,上述两个科研机构的工作效率大大提高。以野外观测站为例,据统计,该所科研人员每周平均需要三次对试验田设备的运行参数进行观测、记录和调整,每次调整参数都需要驾车从市区到试验田,除去对田间设备进行观测、记录和调整的有效工作时间外,每次往返时间需要花费约7个小时。
下表是采用本发明方法进行科研试验实施与原来工作方式的工作效率的比较,可以发现工作效率明显提高,显著节省时间。
因此,本发明的实施试验是成功的,实现了发明目的。
权利要求
1.一种基于互联网的访问和共享远程设备的系统,该系统包括互联网,通过互联网连接的设备使用者终端和设备拥有者终端;其特征在于该系统还包括远程设备访问控制服务器、多个设备控制单元服务器、多个分别位于不同局域网内的设备控制计算机组,每个设备控制计算机组内设有一个或多个设备控制计算机,每个设备控制计算机直接与共享设备相连接,并安装有管理和控制该共享设备运行、操作的计算机应用程序;其中每个设备控制单元服务器分别藉由局域网与位于该局域网内、所有的设备控制计算机相连接,为该局域网内的各个设备控制计算机的应用程序提供一个统一的互联网出口,也为来自互联网的设备访问请求提供同一个访问入口,用于管理、控制该局域网内的所有设备控制计算机的共享设备的应用程序,实现对远程设备的访问和共享。
2.根据权利要求1所述的访问和共享远程设备的系统,其特征在于所述设备使用者终端内安装有远程设备访问客户端软件,用于设备使用者经过远程设备访问控制服务器的验证、授权后,能够访问、共享远程设备控制计算机上的设备应用程序;所述设备所有者终端是拥有设备并希望通过该系统将其设备供他人访问和共享使用的计算机,该终端内安装有远程设备访问客户端软件,用于通过身份认证后,在远程设备访问控制服务器的数据库内设置其共享设备的各种相关信息在设备当前状态库中设置需要实时记录的各种设备属性,在设备使用策略库中定义共享设备的使用策略,在设备注册信息库中设置共享设备的基本信息,在设备使用历史信息库中定义需要保存的使用历史信息的属性,以便将其设备提供给他人访问和共享。
3.根据权利要求1所述的访问和共享远程设备的系统,其特征在于所述远程设备访问控制服务器内的控制软件和数据库包括身份验证模块,用于保存注册用户终端的身份信息,并在用户终端接入系统提出访问请求时,验证其输入信息,通过验证后,赋予该用户终端一个角色;访问授权模块,根据用户终端从身份验证模块获取的角色及其当前请求信息,执行相应的不同操作如果用户终端为设备拥有者,则赋予该用户读、写各个设备数据库的权限,使其能够进行设备注册操作;如果用户终端为设备使用者,则根据用户角色及其访问请求信息从与其相连接的设备当前状态库、设备使用策略库、设备注册信息库和设备使用历史信息库中读取相应信息,为其动态产生一个临时访问设备的令牌,以便终端与设备控制单元服务器进行交互;设备当前状态库,用于实时记录各共享设备的当前状态信息,包括但不限于该设备当前是否启动、操作人数、观看设备运行的人数、还可接纳的人数、有否排队用户;不同设备在该当前状态库的存储内容各不相同,取决于设备拥有者的预先设定,即设备拥有者在注册设备时预先设定其设备需要记录的属性;设备使用策略库,用于存储预定的四种设备使用策略时间策略、权限策略、容量策略和内部逻辑关系策略,以及每个共享设备所采用的各种策略组合;并预留有策略扩展接口,以便今后加入影响远程访问设备的新策略;设备注册信息库,用于保存设备拥有者注册共享设备时填写的与该设备相关的各种信息,包括但不限于设备名称、简介、使用注意事项、收费标准、共享时间、权限差异、容量限制、使用策略的简单描述;设备使用历史信息库,用于保存各个共享设备的使用状况历史记录,其中所记录的属性由设备拥有者在注册共享设备时确定;权限验证模块,用于对与设备控制单元服务器返回的用户终端权限验证请求进行验证,即通过该模块与各个数据库的交互,对该请求中的权限信息是否真实、合法,是否符合系统规定,时效是否在权限信息规定内进行验证,并向验证请求者返回验证结果。
4.一种基于互联网的访问和共享远程设备的方法,其特征在于包括下列操作步骤(1)用户终端登录系统,从远程设备访问控制服务器获取本次访问远程设备所需的临时权限令牌;(2)用户终端将访问权限令牌发送到设备控制单元服务器,由设备控制单元服务器验证该权限令牌和请求的合法性和时效;(3)如果设备控制单元服务器接收到远程设备访问控制服务器返回的权限验证的确认信息,则建立用户终端-设备控制单元服务器-控制设备的计算机程序三者之间的持续连接,使该用户终端能够访问和操控远程设备;否则,设备控制单元服务器拒绝访问请求;(4)用户终端结束其与远程设备的访问连接后,远程设备访问控制服务器记载本次访问的各种信息,撤销临时权限令牌,用户终端退出系统。
5.根据权利要求4所述的访问和共享远程设备的方法,其特征在于所述方法还包括设备拥有者在系统内注册其共享设备的初始化准备操作步骤(A)设备拥有者终端登陆系统,获取个人角色信息后,在远程访问控制服务器中登记注册其所提供的共享设备;(B)远程访问控制服务器根据设备拥有者终端注册登记的各项设备信息,将该设备纳入系统的管理和控制范围内,使得该设备注册成功后,能够根据设备拥有者预先设定的条件,将该设备提供给其它用户访问、共享。
6.根据权利要求5所述的访问和共享远程设备的方法,其特征在于所述步骤(A)进一步包括下列操作步骤(A1)设备拥有者终端登陆系统,向远程访问控制服务器提交个人身份的认证信息;(A2)远程访问控制服务器中的身份验证模块验证其输入信息后,将验证结果转交访问授权模块,对其身份和权限信息进行认证,并返回认证结果;(A3)如果通过认证,则该终端可打开设备注册页面,填写该共享设备的各项信息后,发送给远程访问控制服务器,将各种信息分别载入相应的各个设备数据库中;如果没有通过认证,则结束操作。
7.根据权利要求5所述的访问和共享远程设备的方法,其特征在于所述步骤(B)进一步包括下列操作步骤(B1)远程访问控制服务器根据注册设备的基本信息,首先确定该设备是否可以纳入目前现有的设备控制单元服务器的管理范围;(B2)如果注册设备可以纳入到现有的某个设备控制单元服务器所管理和控制的局域网内,则对该设备控制单元服务器进行配置,添加该注册设备的各项信息,将其纳入该设备控制单元服务器的管理范围后,跳转执行步骤(B4);(B3)如果注册设备不能归纳到现有的某个设备控制单元服务器所管理和控制的局域网内,则新建一个设备控制单元服务器,并将该注册设备的各项信息配置到该新建的设备控制单元服务器,以便将其纳入该服务器的管理范围;(B4)设备拥有者终端向远程访问控制服务器提出测试连接请求;(B5)远程访问控制服务器分别测试该终端与设备控制单元服务器、设备控制单元服务器和控制设备计算机之间的连接状态,如果连接成功,向终端返回注册设备成功信息;(B6)设备拥有者终端访问远程访问控制服务器,将访问、共享其注册设备的各种相关权限存储于访问授权模块,以供他人访问、共享该设备。
8.根据权利要求4所述的访问和共享远程设备的方法,其特征在于所述步骤(1)进一步包括下述操作内容(11)设备使用者终端登陆系统,向远程访问控制服务器中的身份验证模块提交个人身份的认证信息;(12)远程访问控制服务器中的身份验证模块将该终端的身份认证结果提交给访问授权模块,由访问授权模块对该终端的身份和权限进行认证,并向终端返回认证结果;(13)如果通过认证,则远程访问控制服务器向该终端发回其权限许可范围内的可访问设备列表,供终端搜索、选择是否有需要访问的设备,再执行后续操作;如果没有通过认证,则向终端发回拒绝访问的响应,结束操作;(14)如果可访问设备列表中包括所需访问的设备,则选中该设备后,向远程访问控制服务器发出访问请求,执行后续操作;否则,向远程访问控制服务器发送指令,结束操作;(15)远程访问控制服务器接收到访问请求后,将该终端的设备访问请求与用户的身份信息一起转发给访问授权模块进行处理,访问授权模块根据用户的身份角色,以及分别存储在设备当前状态库和设备使用策略库中的设备当前状态和设备访问策略,为该终端动态生成一个带有时间戳的访问该特定共享设备的临时权限令牌,用于该用户访问共享设备。
9.根据权利要求8所述的访问和共享远程设备的方法,其特征在于所述步骤(15)中存储在设备使用策略库中的设备访问策略至少包括时间策略,即时间依赖性-控制设备的计算机程序对外开放、供他人访问的时间范围,其余时间处于对外关闭阶段,不能访问之;权限策略,即权限差异性-每个设备对外开放时,赋予访问主体的访问权限,包括读、写、拥有或其它不同等级;容量策略,即访问主体数量差异性-共享设备的不同操作对外开放、供人访问的主体数量有所区别控制设备操作的计算机程序在同一时间内只准一个用户访问,而对设备运行情况或结果进行观察的进程可允许多人同时访问;内部逻辑关系策略,即资源内部关系特性-每个设备所对应的一个或一组计算机程序彼此之间的关联关系。
10.根据权利要求4所述的访问和共享远程设备的方法,其特征在于所述步骤(2)进一步包括下述操作内容(21)设备使用者终端将临时权限令牌和访问设备的请求信息一起发送给设备控制单元服务器;(22)设备控制单元服务器将其接收到的访问请求和权限令牌一起转发给远程设备访问控制服务器进行权限验证;(23)远程设备访问控制服务器接收到访问请求和权限令牌后,由权限验证模块从令牌中抽取相关信息,并与各个设备信息数据库中存储的信息进行核对,验证该令牌的合法性和时效;(24)如果通过验证,远程设备访问控制服务器向设备控制单元服务器返回验证核对结果;否则,结束操作流程。
11.根据权利要求4所述的访问和共享远程设备的方法,其特征在于所述步骤(3)进一步包括下述操作内容(31)设备控制单元服务器向其连接的位于同一个局域网内的设备控制计算机发出连接其中被选择的控制某个共享设备的计算机应用程序的请求信号;(32)该设备控制计算机接到请求信号后,返回该请求的响应如果设备控制计算机能够与设备控制单元服务器建立通信连接,并且该设备控制计算机处于正常工作状态,则设备控制计算机向设备控制单元服务器发回接受访问请求的握手信息,执行后续操作;否则,返回拒绝访问的响应,接束流程;(33)设备控制单元服务器接收到设备控制计算机发送过来的握手信息后,转发给设备使用请求者终端,告知访问请求被接纳;(34)设备使用者终端开始对其终端安装的远程访问客户端程序进行初始化,并将初始化完成信息发送到设备控制单元服务器;(35)设备控制单元服务器向设备控制计算机转发设备使用者终端的初始化完成信息;(36)设备控制计算机向设备控制单元服务器发送该共享设备的计算机应用程序图像信息,然后,开始向其发送该计算机应用程序的增量运行界面;(37)设备控制单元服务器将其接收到的计算机应用程序图像信息和及其增量运行界面数据都转发给设备使用者终端(38)设备使用者终端的屏幕展示该被访问设备的运行状况,需要时,用户可通过输入装置发送控制信息,对该共享设备的运行进行操作控制。
全文摘要
一种基于互联网的访问和共享远程设备的系统,包括互联网,通过互联网连接的设备使用者终端、设备拥有者终端、远程设备访问控制服务器、多个设备控制单元服务器,以及多个位于不同局域网内的一个或多个设备控制计算机;每个设备控制计算机直接连接共享设备,并安装有管理和控制该共享设备运行、操作的应用程序,每个设备控制单元服务器分别藉由局域网与该局域网内的所有设备控制计算机相连接,为这些计算机应用程序提供统一的I/O接口,以便实现对远程设备的访问和共享。该系统为用户提供一种简单方便的访问、共享远程设备的方法将访问远程设备转化为对控制远程设备的计算机应用程序的访问,系统扩展性能好,可大大提高工作效率和节省投资费用。
文档编号H04L9/32GK1825826SQ20061006639
公开日2006年8月30日 申请日期2006年4月5日 优先权日2006年4月5日
发明者罗铁坚, 李国辉, 杜澄 申请人:中国科学院研究生院