本发明公开了处理访问权限的方法和设备。在联网设备的系统中配置访问权限的方法包括选择多个访问标识,获取每个所选访问标识对联网设备的可访问功能的访问权限的信息,针对每一个所述联网设备的每一项可访问功能,对所选访问标识的访问权限进行累加,在允许编辑所述累加访问权限的界面中呈现针对每一个所述联网设备的每一项可访问功能的所述累加访问权限,指示对特定联网设备中的特定功能的累加访问权限的改变,以及根据所指示的累加访问权限的改变配置特定联网设备的特定功能以允许由所选用户访问。在联网设备的系统中配置访问权限的装置是用于按照上述方法中的描述处理访问权限的访问服务器和客户端。
1.一种在联网设备(12,14,16)的系统中配置访问权限的方法,该方法包括:选择多个访问标识;
获取每个所选访问标识对联网设备(12,14,16)的可访问功能的访问权限的信息;
针对每一个所述联网设备(12,14,16)的每一项所述可访问功能,对所述所选访问标识的访问权限进行累加,其中所述对访问权限进行累加包括对具有对每一个所述联网设备(12,14,16)的每一项所述可访问功能的访问权限的所选访问标识的个数进行计数;
在允许编辑累加访问权限的界面中呈现针对每一个所述联网设备(12,14,16)的每一项可访问功能的所述累加访问权限;
指示对特定联网设备(12,14,16)的特定功能的累加访问权限的改变;以及根据所指示的累加访问权限的改变,配置所述特定联网设备(12,14,16)的特定功能,以允许由所选访问标识访问。
2.根据权利要求1所述的方法,其中所述对访问权限进行累加进一步包括:
如果所述计数指示全部所选访问标识均被允许访问联网设备(12,14,16)的特定功能,则将对该特定功能的累加访问权限设置为指示全部所选访问标识均被允许访问该特定功能的值;
如果所述计数指示没有所选访问标识被允许访问联网设备的特定功能,则将对该特定功能的累加访问权限设置为指示没有所选访问标识被允许访问该特定功能的值;以及如果所述计数指示一些所选访问标识被允许访问联网设备的特定功能,将对该特定功能的累加访问权限设置为指示一些所选访问标识被允许访问该特定功能的值。
3.根据权利要求1至2中任一项所述的方法,进一步包括:通过计算机网络(20)向执行所述呈现的客户端计算机(18)发送表示所述联网设备(12,14,16)的所述可访问功能的信息、表示与这些功能中的每一项相关联的累加访问权限的信息和使得能识别所述所选访问标识的信息。
4.根据权利要求3所述的方法,其中所述使得能识别所选访问标识的信息是包括所述所选访问标识的标识符的列表(90)。
5.根据权利要求3所述的方法,其中所述使得能识别所选访问标识的信息是对包括所选访问标识的标识符的列表的位置进行识别的标识符。
6.根据权利要求3所述的方法,进一步包括:通过计算机网络(20)返回表示每一个所述联网设备(12,14,16)的每一项可访问功能的信息、与这些功能中的每一项相关联的累加访问权限以及使得能识别所选访问标识的信息,其中与联网设备的至少一项功能相关联的累加访问权限相对于先前通过计算机网络(20)发送的相应信息而言已经被改变。
7.根据权利要求6所述的方法,其中所述累加访问权限已经被改变的联网设备(12,
14,16)的所述至少一项功能被标记,以指示对该具体功能的累加访问权限相对于先前通过计算机网络(20)发送的相应信息而言已经被改变。
8.根据权利要求1所述的方法,其中所述指示对特定联网设备(12,14,16)的特定功能的累加访问权限的改变的动作仅使得能将特定联网设备(12,14,16)的特定功能的访问权限改变为允许由所述所选访问标识识别的全部用户访问该特定功能或不允许任何所述所选用户访问该特定功能。
9.根据权利要求1所述的方法,其中所述选择多个访问标识包括从被注册为使用该系统的访问标识中选择多个访问标识。
10.根据权利要求1所述的方法,其中所述选择访问标识包括选择单独的用户。
11.根据权利要求1所述的方法,其中所述选择访问标识包括选择用户组。
12.一种用于在联网设备(12,14,16)的系统中处理访问权限的服务器,该服务器包括:用于管理访问标识的选择的装置(62),被布置为从客户端(18)接收选择的访问标识的指示;
访问权限管理器(68),被布置为获取单独选择的访问标识对与联网设备(12,14,16)相关联的可访问功能的访问权限的信息,并被布置为生成包括就所选访问标识而言对所述联网设备(12,14,16)的所述功能的累加访问权限的消息;
访问权限累加器(70),被布置为通过对具有对所述联网设备(12,14,16)的每一项可访问功能的访问权限的所选访问标识的个数进行计数,根据所获取的信息中,对所选访问标识对所述联网设备(12,14,16)的可访问功能的访问权限进行累加;以及访问权限配置器(66),被布置为根据所接收的包括指示符(98)的消息,为所选访问标识配置对联网设备(12,14,16)的可访问功能的访问权限,其中所述指示符(98)指示对所述联网设备(12,14,16)的所述功能的访问权限将被改变。
13.根据权利要求12所述的服务器,其中所述访问权限累加器进一步被布置为如果所述计数指示全部所选用户均被允许访问联网设备(12,14,16)的特定功能,则将对该特定功能的累加访问权限设置为指示全部所选访问标识均被允许访问该特定功能的值;
如果所述计数指示没有所选访问标识被允许访问联网设备(12,14,16)的特定功能,则将对该特定功能的累加访问权限设置为指示没有所选访问标识被允许访问该特定功能的值;以及如果所述计数指示一些所选访问标识被允许访问联网设备(12,14,16)的特定功能,则将对该功能的累加访问权限设置为指示一些所选访问标识被允许访问该功能的值。
14.根据权利要求12至13中任一项所述的服务器,其中所述访问权限管理器(68)被布置为在所生成的消息中包括表示所述联网设备(12,14,16)的可访问功能的信息、与每项所包括的功能相关联的累加访问权限以及使得能识别所选访问标识的信息。
15.根据权利要求12所述的服务器,其中所述系统是监控系统。
16.根据权利要求12所述的服务器,其中所述访问标识包括用户标识。
17.根据权利要求12所述的服务器,其中所述访问标识包括用户组标识。
18.一种用于改变对系统的联网设备(12,14,16)的功能的访问权限的客户端,该客户端包括:显示器(110);
用于选择访问标识的装置(112),该装置(112)被布置为访问访问服务器(10),并请求该访问服务器(10)提供该系统或网络用户的访问标识的信息,并且该装置(112)被布置为在所述显示器(110)上呈现访问标识,并允许该客户端的用户通过所述输入装置(108)选择访问标识;以及用于改变所选访问标识对联网设备(12,14,16)的可访问功能的访问权限的装置(114),该装置(114)被布置为在所述显示器(110)上呈现与所述联网设备(12,14,16)的所述可访问功能有关的累加访问权限,允许该客户端的用户选择和改变所呈现功能的累加访问权限,并且生成包括已改变的累加访问权限的信息的消息,其中对访问权限进行累加包括对具有对每个所述联网设备(12,14,16)的每项功能的访问权限的所选访问的访问权限进行计数。
19.根据权利要求18所述的客户端,其中所述用于改变访问权限的装置(114)被布置为通过网络接口(102)接收消息,该消息包括表示联网设备(12,14,16)的可访问功能的信息、表示与这些功能中的每一项相关联的累加访问权限的信息和使得能识别所选访问标识的信息。
20.根据权利要求18至19中任一项所述的客户端,其中所生成的消息包括表示联网设备(12,14,16)的可访问功能的信息、表示与这些功能中的每一项相关联的累加访问权限的信息、指示每个已改变的累加访问权限的指示符(98)和使得能识别所选访问标识的信息。
21.根据权利要求19所述的客户端,其中所述使得能识别所选访问标识的信息是包括所选访问标识的标识符的列表(90)。
22.根据权利要求19所述的客户端,其中所述使得能识别所选访问标识的信息是对包括所选用户的标识符的列表(90)的位置进行识别的标识符。
23.根据权利要求18所述的客户端,其中每个与对被注册为具有对每个联网设备(12,
14,16)的每项功能的访问权的所选访问标识的个数有关的项是指以下之一:全部所选访问标识被注册为具有对一联网设备(12,14,16)的特定功能的访问权;
没有所选访问标识被注册为具有对一联网设备(12,14,16)的特定功能的访问权;或一些所选访问标识被注册为具有对一联网设备(12,14,16)的特定功能的访问权。
处理访问权限的方法和设备
技术领域
[0001] 用于配置对网络系统中的联网设备的访问权限的方法和设备。
背景技术
[0002] 通过将各种类型的设备连接至计算机网络来使这些设备和它们的功能可被访问正变得越来越普遍。然而,在大多数情况下,设备或网络的所有者并不想让每个访问网络的人都有权访问这些设备和它们的功能。为了解决这个问题,可以将系统设置为向用户提供特定的访问权限。例如,这些访问权限可以是用户被允许访问来自监视摄像机A的视频,但不被允许访问用于控制同一摄像机的观察方向的摇摄倾斜控制。
[0003] 此外,访问权限方案还经常在例如监视系统、入室盗窃防护、访问控制系统、火警系统等安全系统中实施。当系统用于这类重要功能时,访问权限的方案就变得极其重要。
[0004] 实施用于处理访问权限的方案的大多数系统允许系统管理员单独针对每个摄像机设置每个用户的访问权限。然而,随着用户数目和设备数目的增加,这类系统的管理很快就变得复杂且难以管理。在一些系统中,为了便于管理,引入了访问级别组或用户组。在这些情况下,你仅需管理各个组的访问权限的事实使得管理方便。
[0005] Oya等人在US 6 208 379中描述了一些管理访问权限的方法。在US 6208 379中描述的一种便于管理访问权限的方法是将用户捆绑为如上所述的用户组。US 6 208 379总体上描述的是,通过从摄像机列表中选择摄像机,在选择摄像机后即被打开的对话框中指示请求访问权限设置,来为用户组设置访问权限。然后,显示该摄像机的访问控制面板或对话框。在该访问控制面板中可以选择预定义的访问模式。通过改变该摄像机的访问模式,在系统中设置所有用户组的预定义访问权限。为了将访问权限设置为更具体的级别,从访问控制面板中打开访问权限窗口。然后,访问权限窗口显示一矩阵,该矩阵表示各个用户组的与所选择的摄像机的各个功能有关的访问权限。
[0006] 在US 6 208 379中公开的方法处理起来很不方便,尤其是要对多个不同的摄像机设置访问权限时更是如此。此外,这些方法特别在要对不同的用户定制访问权限时,没有给予访问权限的管理者以多种备选方案。
发明内容
[0007] 本发明的一个目的在于便于为多个网络设备设置访问权限和便于定制访问权限。
[0008] 具体而言,根据本发明的一方面,一种用于配置联网设备的系统中的访问权限的方法包括选择多个访问标识;获取每个所选访问标识对联网设备的可访问功能的访问权限的信息;针对每一个所述联网设备的每一项所述可访问功能;对所述所选访问标识的访问权限进行累加;在允许编辑所述累加访问权限的界面中呈现针对每一个所述联网设备的每一项所述可访问功能的所述累加访问权限;指示对特定联网设备的特定功能的累加访问权限的改变,以及根据所指示的累加访问权限的改变配置所述特定联网设备的特定功能,以允许由所选用户访问。
[0009] 根据该方法,方便了访问权限的改变,具体而言,方便了在系统中用户的访问权限尚未彼此相关的情况下和要对多个设备改变访问权限的情况下对访问权限的改变。通过执行如上所述的对访问权限进行累加的动作,这样的改变访问权限的操作成为可能。
[0010] 根据一个实施例,所述对访问权限进行累加包括对具有对每一个所述联网设备(12,14,16)的每一项可访问功能的访问权限的所选访问标识的个数进行计数。这样做的优点在于其是一种不复杂的获得累加器值的方式,或者换句话说,是一种不复杂的获得表示不必具有同一访问权限的多个单独用户的访问权限的值的方式。
[0011] 根据进一步的实施例,先前提到的累加步骤可以通过以下步骤扩充:如果所述计数指示全部所选用户均被允许访问联网设备的特定功能,则将对该特定功能的累加访问权限设置为指示全部所选访问标识均被允许访问该特定功能的值;如果所述计数指示没有所选访问标识被允许访问联网设备的特定功能,则将对该特定功能的累加访问权限设置为指示没有所选访问标识被允许访问该特定功能的值;以及如果所述计数指示一些所选访问标识被允许访问联网设备的特定功能,则将对该特定功能的累加访问权限设置为指示一些所选访问标识被允许访问该特定功能的值。由于借助于这三种状态,当一个人通过改变访问权限来管理访问权限时,可以给予他当前状态的快速综览,从而方便了对所选用户的访问权限的管理。
[0012] 根据又一实施例,该方法进一步包括通过计算机网络向执行所述呈现的客户端计算机发送表示所述联网设备的所述可访问功能的信息、表示与这些功能中的每一项相关联的累加访问权限的信息和使得能识别所述所选访问标识的信息。这样做的优点在于与指示访问权限的改变有关的处理变得分散,即访问服务器没有必要“记住”或存储与来自客户端的请求有关的信息。因此,可以简化在访问服务器处的处理,并且需要更少的处理和存储能力。
[0013] 根据一个实施例,所述使得能识别所选访问标识的信息是包括所述所选访问标识的标识符的列表。
[0014] 根据另一实施例,所述使得能识别所选访问标识的信息是对包括所选访问标识的标识符的列表的位置进行识别的标识符。
[0015] 根据又一实施例,所述方法进一步包括通过计算机网络返回表示每一个所述联网设备的每一项可访问功能的信息、与这些功能中的每一项相关联的累加访问权限和使得能识别所选访问标识的信息,其中与联网设备的至少一项功能相关联的累加访问权限相对于先前通过计算机网络发送的相应信息而言已经被改变。
[0016] 根据一个实施例,所述累加访问权限已经改变的联网设备的所述至少一项功能被标记,以指示对该具体功能的累加访问权限相对于先前通过计算机网络发送的相应信息而言已经被改变。这样做的优点在于可以容易地从与未改变的访问权限有关的信息中提取出根据来自客户端的已改变的累加访问权限配置系统的访问权限的操作。因此,这种方案可以节省处理功率和时间。
[0017] 在另一实施例中,所述指示对特定联网设备中的特定功能的累加访问权限的改变的动作仅使得能将特定联网设备的特定功能的访问权限改变为允许由所述所选访问标识识别的全部用户访问该特定功能或不允许任何所述所选用户访问该特定功能。
[0018] 根据另一实施例,所述选择多个访问标识包括从被注册为使用该系统的访问标识中选择多个访问标识。
[0019] 在又一实施例中,所述选择访问标识包括选择单独的用户。
[0020] 在再一实施例中,所述选择访问标识包括选择用户组。
[0021] 根据本发明的另一方面,一种用于在联网设备的系统中处理访问权限的服务器包括:访问权限管理器,被布置为获取单独选择的访问标识对与联网设备相关联的可访问功能的访问权限的信息,并被布置为生成包括就所选访问标识而言对所述联网设备的所述功能的累加访问权限的消息;访问权限累加器,被布置为根据所获取的信息,对所选访问标识对所述联网设备的可访问功能的访问权限进行累加;以及访问权限配置器,被布置为根据所接收的包括指示符的消息,为所选访问标识配置对联网设备的可访问功能的访问权限,其中所述指示符指示对所述联网设备的所述功能的访问权限将被改变。
[0022] 具有这种配置的服务器可以对改变单独用户和多个网络设备的访问权限带来方便。这对于要改变不相关的用户对多个设备的访问权限的操作可能更是如此。通过按照如上所述的方式对访问权限进行累加,使得能进行这种改变访问权限的操作。
[0023] 根据一个实施例,所述访问权限累加器被布置为通过对具有对所述联网设备的每一项可访问功能的访问权限的所选访问标识的个数进行计数来对访问权限累加。
[0024] 这样的优点在于这是一种获得累加器值的不复杂的方式,或者换句话说,是一种获得表示多个不必具有同一访问权限的单独用户的访问权限的值的不复杂的方式。
[0025] 根据进一步的实施例,所述访问权限累加器进一步被布置为如果所述计数指示全部所选用户均被允许访问联网设备的特定功能,则将对该特定功能的累加访问权限设置为指示全部所选访问标识均被允许访问该特定功能的值;如果所述计数指示没有所选访问标识被允许访问联网设备的特定功能,则将对该特定功能的累加访问权限设置为指示没有所选访问标识被允许访问该特定功能的值;以及如果所述计数指示一些所选访问标识被允许访问联网设备的特定功能,则将对该功能的累加访问权限设置为指示一些所选访问标识被允许访问该功能的值。
[0026] 由于借助于这三种状态,当一个人通过改变访问权限来管理访问权限时,可以给予他当前状态的快速综览,因此,权限累加器方便了对所选用户的访问权限的管理。
[0027] 根据另一实施例,所述访问权限管理器被布置为在所生成的消息中包括表示所述联网设备的可访问功能的信息、与每项所包括的功能相关联的累加访问权限以及使得能识别所选访问标识的信息。
[0028] 根据再一实施例,所述系统是一种监控系统。
[0029] 在另一实施例中,所述访问标识包括用户标识,在再一实施例中,所述访问标识包括用户组标识。
[0030] 根据本发明的再一方面,一种用于改变对系统的联网设备的功能的访问权限的客户端包括:显示器;输入装置;用于选择访问标识的装置,该装置被布置为在所述显示器上呈现访问标识,并允许该客户端的用户通过该输入装置选择访问标识;以及用于改变所选访问标识对联网设备的可访问功能的访问权限的装置,该装置被布置为在所述显示器上呈现与所述联网设备的可访问功能有关的累加访问权限,允许该客户端的用户选择和改变所呈现功能的累加访问权限,并且生成包括已改变的累加访问权限的信息的消息。
[0031] 该客户端可以存在以下优点:便于改变对多个联网设备的访问权限并用于为用户定制访问权限。
[0032] 根据一个实施例,所述用于改变访问权限的装置被布置为通过网络接口接收消息,该消息包括表示联网设备的可访问功能的信息、表示与这些功能中的每一项相关联的累加访问权限的信息和使得能识别所选访问标识的信息。
[0033] 根据另一实施例,所生成的消息包括表示联网设备的可访问功能的信息、表示与这些功能中的每一项相关联的累加访问权限的信息、指示每个已改变的累加访问权限的指示符和使得能识别所选访问标识的信息。
[0034] 根据又一实施例,使得能识别所选访问标识的信息是包括所选访问标识的标识符的列表。
[0035] 根据再一实施例,使得能识别所选访问标识的信息是对包括所选用户的标识符的列表的位置进行识别的标识符。
[0036] 在本申请的上下文中,联网设备应当被理解为包括能够通过计算机网络发送和接收信号和/或消息的电路,并且其中该设备被布置为通过该计算机网络发送从该设备的功能得到的数据或信息。
[0037] 本申请进一步的应用范围将从以下给出的详细描述中变得显而易见。然而,应当理解,详细描述和特定示例虽然表示本发明的优选实施例,但是仅以说明的方式给出,因为,对本领域技术人员而言,本发明的精神和范围内的各种改变和修改将从该详细描述中变得显而易见。
附图说明
[0038] 本发明的其它特征和优点将从以下参考附图对当前优选实施例的详细描述中变得显而易见,在附图中
[0039] 图1是根据本发明的一个实施例的系统的示意性概略图;
[0040] 图2是根据本发明的一个实施例的访问服务器的框图;
[0041] 图3图示说明了与本发明有关且存储在根据本发明的一个实施例的访问服务器的数据库中的数据;
[0042] 图4图示说明了根据本发明的一个实施例的累加访问权限的矩阵;
[0043] 图5图示说明了根据本发明的一个实施例的从访问服务器向客户端发送的信息消息;
[0044] 图6图示说明了根据本发明的一个实施例待从客户端向服务器发送的累加访问权限的矩阵;
[0045] 图7是根据本发明的一个实施例的客户端的框图;
[0046] 图8图示说明了根据本发明的一个实施例的用于选择用户的图形用户界面(GUI);
[0047] 图9图示说明了根据本发明的一个实施例的用于改变所选用户对联网设备的功能的访问权限的GUI;
[0048] 图10是图示说明了用于改变与联网设备的功能相关联的访问权限的方法的流程图;
[0049] 图11是图示说明了根据本发明的一个实施例的访问服务器与客户端之间的信号之间的时间关系的图;以及
[0050] 图12是图示说明了根据本发明的一个实施例的访问服务器与客户端之间的信号之间的时间关系的图。
具体实施方式
[0051] 图1示意性地描绘出根据本发明的一个实施例的系统。该系统包括被布置为控制并管理联网设备12、14和16的访问权限的访问服务器10。该系统还包括可用来访问服务器10中的与系统的访问权限有关的信息的客户端18,以及连接服务器10、联网设备12、14和16以及客户端18的网络。
[0052] 访问服务器10是控制已注册用户对系统中的联网设备的访问权限的服务器。联网设备12、14和16可以是连接至网络并被布置为通过网络受到控制或提供数据的任何设备。客户端18可以是使管理员能登录服务器10并访问与已注册访问标识对联网设备12、14和16的功能的访问权限相关联的信息的计算机。根据一个实施例,访问标识可以是用户标识和/或用户组标识。
[0053] 如上所述,联网设备12、14和16可以是在网络上提供数据和/或可通过网络被控制的任何设备。例如,联网设备可以是摄影机12,该摄影机12能够通过网络通信以向视频服务器传递视频和/或接收例如控制摇摄、倾斜、光圈、帧率、图像分辨率等的任意一种或任意组合的控制信号。这样的联网摄像机12通常可为监控或监视的目的而工作。联网设备的另一示例是用于对关闭的机构或区域的访问进行控制的入口控制系统14。然而,本领域技术人员也可以设想到很多其它设备。
[0054] 根据本发明的一个实施例,访问服务器10包括被布置为处理数据、通过计算机网络发送和接收数据的普通服务器的全部部件和功能。因此,访问服务器10包括CPU 52,即用于处理与普通服务器的功能有关以及与本发明有关的功能有关的中央处理单元。此外,访问服务器还包括用于暂时存储与普通服务器的功能有关以及与本发明的功能有关的数据、信息、指令等的易失性存储器54。例如,易失性存储器54可以是RAM,即随机存取存储器。访问服务器还包括网络接口56,其使访问服务器能与连接至网络的其它设备例如联网设备通信。如何实现网络接口对于本领域技术人员来说是已知的。
[0055] 访问服务器10还包括非易失性存储器58,其可以是硬盘驱动器、固态驱动器或任何数据存储设备,即使在该设备的电源被中断时仍能够存储数据。就本发明而言,非易失性存储器被布置为存储已注册用户对系统中联网设备的功能的访问权限的信息。对存储容量进行相应地改变是必须的。另外,访问服务器还可以包括用于对向数据库输入数据和从数据库输出数据进行管理的数据库接口60。数据库可以被布置在非易失性存储器58中,但是也可以被布置在连接至网络的另一存储点处。
[0056] 除了全部普通功能,并且为了配置或重新配置访问权限,访问服务器10还可以包括用于管理访问标识的选择的装置62、用于管理访问权限的装置64和用于配置访问权限的装置66。
[0057] 用于管理访问标识的选择的装置62被布置为获取访问标识列表,并将其发送至客户端计算机,以供选择访问标识。访问标识列表可以从包括与已注册访问标识,例如已注册用户和/或已注册用户组,相关联的访问权限的数据库中获取,也可以从与网络相关联的用户管理服务器,即管理对登录网络进行鉴权所需的数据的服务器中获取。如果网络系统是基于Microsoft的网络,则这种服务器例如可以包括现用目录(Active Directory)。
[0058] 访问标识的选择可以基于这些列表中的任意一种。当新的即未注册为访问联网设备的访问标识将被给予对需要访问权限的联网设备的访问权时,使用与网络上的鉴权登录相关联的列表是有利的。已注册为访问联网设备的访问标识列表可有利地用于选择要对哪个访问标识进行访问权限的编辑或改变。此外,在本申请的上下文中,就选择访问标识以改变访问权限而言,词语访问权限可以包括用户标识和/或用户组标识。在已选择和注册用户组的情况下,用户组的标识被存储。用户组可以被布置为包括与用户组相关联的用户的用户标识符,这使得在需要时能够获取用户组中包括的用户。这使得针对访问权限的一次管理操作选择用户组和单个用户成为可能,而后即使用户组的用户改变,用户组的访问权限也保持不变,但离开该用户组或加入该用户组的用户的访问权限改变。
[0059] 参见图3,示出了根据一个实施例的访问标识列表90被存储在访问服务器的数据库或者与访问服务器相关联的数据库中。除了已注册为访问联网设备的所述访问标识列表90,访问服务器的数据库还存储联网设备和这些设备的可访问功能的列表92以及将访问权限与每个设备的每项功能和每个访问标识相关联的列表94。列表94可被存储为列表或矩阵的形式,然而,为了便于描述列表中包含的信息,我们将其描述为矩阵,在下文中,将列表94称为访问权限矩阵94。因此,访问权限矩阵94是已注册访问标识的列表90、联网设备的列表92和与联网设备的功能有关的那些访问标识的访问权限的组合。参见图3的示例,一种描述这种访问权限矩阵94的实施例的方式是用每行表示联网设备和访问标识的组合,例如矩阵的行1表示网络设备1和访问标识1,行2表示网络设备1和访问标识2,行
3表示网络设备1和访问标识3,行4表示网络设备2和访问标识1,行5表示网络设备2和访问标识2等,并且用每列表示设备的功能。
[0060] 现在返回图2,用于管理访问标识的选择的装置62被布置为从客户端接收所选访问标识的指示。访问权限矩阵管理器68被布置为如果所选访问标识是没有在访问权限矩阵中注册的访问标识,则添加所选访问标识。进一步,访问权限矩阵管理器可以被布置为从与所选访问标识相关联的访问权限矩阵向访问权限累加器(accumulator)70发送信息。
[0061] 访问权限累加器70被布置为在待发送至客户端计算机的信息结构中对所选访问标识的访问权限进行累加,以便能够在客户端计算机中进行访问权限的改变。访问权限累加器70对被注册为具有对每个联网设备的每项功能的访问权的所选访问标识的个数进行计数。如果全部所选访问标识具有对联网设备的特定功能的访问权,则将与该具体设备的该具体功能有关的项声明为全部所选访问标识均具有访问权。如果没有所选访问标识具有对联网设备的特定功能的访问权,则将与该具体设备中的该具体功能有关的项声明为没有所选访问标识具有访问权。在该系统中使用第三指示符。如果一些但非全部所选访问标识具有对联网设备的特定功能的访问权,则使用该第三指示符,并且而后将与该具体设备中的该具体功能有关的项声明为一些所选访问标识具有访问权。因此,累加列表或矩阵通过这三种状态识别所选访问标识对每个网络设备的每项功能的累加访问权限。图4中示出累加矩阵的一部分的示例。所述三种状态在数据传输中可以称为“全访问”指示符、“无访问”指示符和“一些访问”指示符,或由这三种指示符指示。在一个实施例中,“全访问”指示符由真(TRUE)值指示,“无访问”指示符由假(FALSE)值指示,“一些访问”指示符由空(NULL)指示符指示。
[0062] 返回图2,用于管理访问权限的装置64被布置为生成包括使得能够从客户端改变访问权限的信息的消息。该信息可以是累加访问权限和每个网络设备的每个相关联功能和所选访问标识的列表,例如累加矩阵和所选访问标识的列表。这种消息的内容的一个示例在图5中示出。所选访问标识的列表可以在包括访问权限配置信息的消息中表示为对存储在服务器或任何其它网络位置中的这种列表的链接或指针。事实上,所选访问标识的列表不一定要存在于客户端中,或者甚至不一定要在客户端中使用。
[0063] 此外,用于配置访问权限的装置66被布置为从客户端接收配置请求。所接收的请求包括针对每个网络设备的每项相关联功能而调整的累加访问权限和所选访问标识的列表。如果访问标识的列表没有如以上所述的被发送到客户端,则从访问服务器向客户端发送的链接或指针会被返回。用于配置访问权限的装置66还被布置为指令访问权限矩阵管理器68来根据访问权限配置请求在访问权限矩阵中设置访问权限。在一个实施例中,所接收的请求另外包括针对每个设备的每项功能的指示符,该指示符指示该设备的功能的访问权限是否已经针对与从访问服务器10发送的累加列表的访问权限有关的所选访问标识而改变。脏位(dirty bit)98可用于图6所示的返回累加列表的示例中所指示的已改变访问权限的指示符。在图6的示例中,脏位被设置为“1”指示访问权限已改变,脏位被设置为“0”指示访问权限未改变。脏位的位置也可以存在于从访问服务器向客户端发送的累加列表中。
[0064] 在图7中示出可在本发明中使用的客户端。该客户端包括网络接口102、CPU 104、存储器106、输入装置108和显示器110。网络接口102被布置为使客户端能与连接至网络的其它设备例如访问服务器通信。如何实现网络接口对本领域技术人员来说是已知的。CPU104被布置为处理客户端的功能,存储器用于存储信息,例如暂时存储被执行的指令等。客户端可以是任何普通的计算机,例如工作站、个人计算机、小型手持计算机、无线电话、个人数字助理等,或者,它也可以是被设计为作为仅针对访问服务器的客户端的专用计算机。
[0065] 客户端包括用于选择访问标识的装置112和用于改变访问权限的装置114。用于选择访问标识的装置112被布置为访问访问服务器并请求访问服务器提供系统或网络用户的访问标识的信息。根据该信息,客户端的操作员可选择所述所选访问标识并发回所选访问标识列表。
[0066] 在一个实施例中,用于选择用户的装置112被布置为显示界面,在该界面中,客户端的用户能够在添加新的访问标识或改变已注册访问标识的访问权限之间进行选择。进一步,它被布置为向访问服务器发送客户端的用户选择了哪个选项的指示。进一步,用于选择访问标识的装置112被布置为接收访问标识的列表,并通过使得能够从列表中选择访问标识的界面在显示器110上呈现列表的内容。图8中示出这种界面的一个示例。可以通过指示呈现感兴趣的访问标识的每行来标记用户,并且当感兴趣的用户被标记出来时,用选择按钮向访问服务器发送所选访问标识的列表。
[0067] 用于改变访问权限的装置114被布置为接收包含使得能够通过客户端改变访问权限的信息的信息消息。该信息可以是每个网络设备的累加访问权限和每项相关联的功能以及所选访问标识的列表,例如累加列表和所选访问标识的列表,如结合访问服务器所描述的。图5中示出信息消息的示例。用于改变访问权限的装置进一步包括用于在使客户端的用户能够改变访问权限的界面中呈现信息消息的信息的装置。图9中示出这种用于改变访问权限的界面的示例。在该界面的具体实施例中,以摄像机和I/O设备的形式呈现的联网设备在该界面的分离标签120、122中分类和排列。每个设备被呈现在分离的行上,功能被分列呈现,并且每个设备的每项功能的累加访问权限在联网设备与功能的交叉点处呈现。“x”指示全部所选访问标识均具有访问权,空框指示没有所选访问标识具有访问权,“o”指示一些但非全部访问标识具有访问权。该界面被布置为响应于用户对框的选择交替地从“x”改变为空以及从空改变为“x”。在当累加访问权限由“o”指示的情况下,它可以改变为“x”或空,但是空或“x”不能被改变为“o”。因此,唯一的可能是指示全部还是没有所选访问标识将具有访问权。当客户端的用户完成对访问权限的改变时,要选择确定按钮。用于改变访问权限的装置被布置为根据界面中指示的改变来改变累加列表,并利用指示全部所选用户对于联网设备的功能的访问权限的改变的指示符,来指示每个已改变的访问权限,即每个已改变的对联网设备的访问权限。该指示可以通过结合访问服务器设置如上所述的脏位来实现。
[0068] 用于改变访问权限的装置114还被布置为向访问服务器发送被客户端的用户改变的累加列表。
[0069] 根据本发明的另一方面,参见图10,用于配置联网设备的功能的访问权限的方法在系统中实现。该系统可以是能够管理访问权限的任何授权系统。该系统可以是实现只允许用户访问被注册为允许具体用户访问的设备的鉴别实现的系统。例如,系统可以是管理对安全系统、监视系统、监控系统等的设备和/或功能的访问的授权模块/系统,并且在这些系统中,不同的用户要具有对不同设备的访问权,并且或许甚至是对它们具有访问权的设备具有不同类型的访问权。
[0070] 在步骤602,客户端计算机的用户通过操作客户端来发送对访问标识列表的请求以启动对系统中联网设备的功能的访问权限的配置,该方法可以限于对网络和系统具有管理员权限的用户,或者限于仅对系统具有管理员权限的用户。在步骤604,响应于该请求,服务器向被注册为使用网络和/或使用系统的访问标识的列表提供访问权。而后在客户端处,例如通过结合图8所描述的界面来呈现该访问标识的列表。而后在步骤606,操作客户端的用户操作客户端,并选择待被管理的具有访问权限的访问标识。
[0071] 通过本发明,选择具有多个相同访问权限的访问标识是有利的,因为用于管理访问权限的界面被布置为以相同的方式处理所选访问标识。而后所选访问标识在访问服务器中用来仅为所选的访问标识准备累加访问权限矩阵。如果所选的访问标识是未在系统中注册的访问标识,则必须将所选的访问标识添加到系统的已注册访问标识中,例如访问标识可能是针对网络而注册的,例如针对网络被鉴权,而不是针对系统而注册的,例如针对系统被授权。
[0072] 因此,在步骤608,访问服务器获取与所选访问标识相关联的访问权限,而后在步骤610,对具有对每个设备的每项功能的访问权的访问标识的个数进行计数和累加。这可以通过以下方式来进行:使服务器对具有对每个网络设备的每项功能的访问权的所选访问标识的个数进行计数,并通过将对具有对每个网络设备的每项功能的访问权的所选访问标识的个数与所选访问标识的个数进行比较来生成累加访问权限。累加访问权限可以表示全部所选访问标识均具有访问权、没有所选访问标识具有访问权和一些所选访问标识具有访问权中的任意一种。根据一个实施例,在累加访问权限中,全部所选访问标识均具有访问权由“真(TRUE)”值表示,没有所选访问标识具有访问权由“假(FALSE)”值表示,一些所选访问标识具有访问权由“空(NULL)”值表示。
[0073] 根据得到的累加访问权限,在步骤612,服务器生成包括多个数据项的数据结构,每个数据项表示联网设备、与该联网设备相关联的功能和与所选访问标识有关的该具体设备的该具体功能的累加访问权限。数据结构包括这些数据结构中针对每个联网设备的每项功能的一种。而后所生成的数据结构与所选访问标识的列表一起被发送到客户端。在一个实施例中,发送到客户端的所选访问标识列表由对该列表的链接或指针代替,而后该列表可存储在服务器中。
[0074] 在步骤614,当在客户端处接收到与功能和联网设备相关联的累加访问权限的数据结构时,客户端的界面在连接至客户端的显示器上呈现信息。
[0075] 根据一个实施例,累加访问权限的数据结构的信息呈现于用于呈现和改变访问权限的界面中,例如结合图9所描述的界面中。而后使客户端的操作员能通过界面简单地选择特定访问权限来改变累加访问权限,其中在每次特定访问权限之后,在全部所选访问标识具有访问权和没有所选访问标识具有访问权之间交替。
[0076] 访问权限的每次改变都存储在数据结构中,并且可利用指示符例如脏位来指示。在步骤618,在客户端处的操作员决定与所选访问标识有关的访问权限的改变已完成时,指令客户端将已改变的数据结构与所选访问标识的列表一起返回访问服务器,并且累加访问权限的数据结构被返回访问服务器。
[0077] 在步骤620,在接收到已改变的数据结构后,服务器搜索指示已改变的访问权限的指示符,并为所选访问标识列表的全部所选用户重新配置与该指示符相关联的具体联网设备的具体功能。搜索和配置重复进行,直至找到所指示的已改变的全部项为止。而后运行系统的访问权限的新配置。
[0078] 图10的步骤602中,用户操作客户端来发送对访问标识的请求,该步骤可能导致两种不同的获取中的一种,即可能导致访问标识的获取或鉴定用户的获取中的一种。操作客户端的用户可以决定向系统添加另外的访问标识,并且在这种情况下,访问服务器从管理网络的访问和鉴权的服务器中获取用户或用户组的列表。而后所选用户也将成为在系统的注册器中注册过的用户。另一方面,操作客户端的用户可以决定改变已经在系统中具有访问权限的访问标识的访问权限。而后访问服务器获取访问服务器中的访问标识列表。
[0079] 图11中描述客户端与服务器之间的信令。图11中给出的示例涉及客户端的用户打算将新的用户添加到系统的情形。在702,用户指示他打算添加用户或用户组,则客户端向访问服务器发送对全部网络用户的列表的请求,用户可以在客户端处从所述全部网络用户的列表中进行选择。在704,访问服务器接触网络访问和鉴权服务器,获取用户信息,并将该数据发送到客户端。在706,在客户端处进行用户的选择,并发送对修改/设置所选用户的访问权限的请求。在708,响应于该请求,访问服务器返回包括所选用户就每个联网设备的每项功能而言的累加访问权限的信息结构。在710,在客户端处修改该数据结构,并将修改后的信息结构返回访问服务器。修改后的信息结构可以包括指示已修改的访问权限的指示符。
[0080] 在图12中,示出与图11的示意图类似的信令示意图。该示例涉及用户打算修改已注册访问标识的访问权限的情形。因此,在722,客户端发送请求已注册访问标识的消息,并且在724,接收标识已注册访问标识的数据。而后客户端处的用户从该数据中进行选择,并执行与图11中的相同的信令,即信号726-730对应于图11的信号706-710。
