[发明专利]访问管理装置及访问管理方法

说明书

根据本发明，提供一种访问管理装置，其能够基于不依赖于多个处理系统的协议而设定的访问管理策略实现统一的访问管理。本发明的访问管理装置具有网关(11)，该网关(11)连接于访问源(AS)与多个处理系统(PS)之间并且具有访问管理功能部(22)，该访问管理功能部(22)接收来自访问源(AS)的访问请求，基于设定的访问管理策略进行访问请求的控制。

技术领域

本发明涉及访问管理装置及访问管理方法。

背景技术

能够容易地构建IoT(Internet of Things)服务的基盘(IoT基盘)受到关注。假设在IoT基盘中，为了实现多种服务而具有不同种类的处理系统(数据管理、数据分发等)，另外，与适于这些处理系统的不同种类的协议(Hypertext Transfer Protocol(HTTP)、Message Queueing Telemetry Transport(MQTT)等)对应。

因此，存在对相对于这些处理系统输入输出的数据进行管理的需求。这里，“管理”包含访问控制、同时访问限制、优先控制等。另外，在相对于处理系统输入输出的数据可能包含机密数据。作为机密数据，例如是与制造业中的生产工序相关的数据、个人的重要数据等。

当前，在IoT基盘上，各处理系统分别具有与应用程序(下面，称为“应用”)、设备对应的接口。因此，通过针对这些接口的每个单独地安装访问管理机构(＝单独对应)，从而能够实现访问管理。图7是表示现有的IoT基盘S的访问管理装置的概要的图。如图7所示，与访问源AS-1～AS-N对应的IoT基盘S的各处理系统PS-1～PS-N具有访问管理机构。

图5是表示作为访问源的应用AP-1～AP-3以及设备DB-1～DB-5与各处理系统PS-1～PS-4之间的关系的图。

在图5中，作为访问源的应用AP-1～AP-3以及设备DB-1～DB-5能够访问IoT基盘S的数据处理系统PS-1～PS-4。各数据处理系统PS-1～PS-4具有与作为访问源的应用AP-1～AP-3以及设备DB-1～DB-5对应的接口，针对每个接口安装有访问管理机构。

这里，数据处理系统PS-1进行与数据管理相关的处理，数据处理系统PS-2进行与数据分发相关的处理，数据处理系统PS-3进行与数据分析相关的处理，数据处理系统PS-4进行与设备控制相关的处理。另外，设备DB-1表示车，设备DB-2、设备DB-3表示智能电话，设备DB-4表示示波器，设备DB-5表示致动器。

作为针对协议与处理系统的每种组合准备访问管理机构的技术，例如，在非专利文献1中公开了与REST API相关的市场的访问控制技术，在非专利文献2中公开了与MQTT代理相关的市场的访问控制技术。

非专利文献1：What is Kong、[online]、Kong-Open-source API Mnagementand Microservice Management、[平成29年5月1日检索]、因特网URL：https：//getkong.org/about/

非专利文献2：mosquitto.conf-the configuration file for mosquitto，[平成29年5月1日检索]，因特网URL：http://mosquitto.org/man/mosquitto-conf-5.html

发明内容

然而，在现有的访问管理机构中，需要针对每个访问管理机构进行设定管理，存在运行成本增加的问题。另外，在应用侧需要针对每个访问管理机构的对应，应用开发的负担较大。并且，访问管理机构之间的管理策略(访问控制规则等)不一致等的风险也增大。

并且，如上所述，访问管理机构为了处理机密的数据，针对从应用、设备向各处理系统的访问，需要基于导入IoT基盘的用户(例如，在制造业中是工厂管理者)的安全策略对可否访问等进行控制。