具体实施方式

以下，参照附图来说明根据本发明的各实施方式。在以下的说明中，对同一零件和构成要素标注同一符号。它们的名称及功能也相同。因此，不再重复对它们的详细说明。

＜A.应用例＞

参照图1来说明本发明的应用例。图1是表示根据实施方式的信息处理系统1的结构例的图。

信息处理系统1包括一个以上的控制系统2、以及一个以上的外部设备500。控制系统2是用于使生产工序自动化的FA系统。控制系统2包括控制单元100、功能单元200(第一单元)、以及功能单元300(第二单元)。

功能单元200和外部设备500与外部网络NW1连接。功能单元200和外部设备500之间的通信通过以太网(Ethernet)(注册商标)实现。即，各功能单元200和外部设备500中分配有在外部网络NW1中有效的互联网协议(Internet Protocol，IP)地址，功能单元200和外部设备500基于所述IP地址相互进行通信。

控制单元100、功能单元200和功能单元300与内部网络NW2连接。这些单元之间的通信例如通过以太网来实现单元之间的通信。即，构成控制系统2的各单元被分配了在内部网络NW2中有效的IP地址，各单元基于所述IP地址相互进行通信。

控制单元100例如为PLC。控制单元100根据预先设计的用户程序控制驱动设备(未图示)。驱动设备包括用于使生产工序自动化的各种产业用设备。作为一例，驱动设备包括机器人控制器、服务驱动器、由机器人控制器控制的臂机器人、由服务驱动器控制的服务电动机等。另外，驱动设备也可包括用于拍摄工件的视觉传感器、在生产工序中利用的其他设备等。

功能单元200与控制单元100连接，作为中继单元而发挥功能。即，功能单元200在构成控制系统2的各单元与外部设备500之间中继通信。关于功能单元200提供的通信功能的详细情况，将在后文叙述。另外，功能单元200提供用于实现控制单元100对各种控制对象的控制的各种功能。功能单元200包括网站(Web)服务器SV1与应用程序AP1。应用程序AP1是用于提供控制系统2相关的各种服务的程序。

功能单元300是用于集中管理关于构成控制系统2的各种单元的用户账户的单元。功能单元300例如是安全保护单元(Security Guard Unit，SGU)。功能单元300保持注册信息330。注册信息330中规定了所注册的账户信息。作为一例，各帐户信息包括用户身份证明(Identification，ID)和密码。再者，注册信息330不一定需要保持在功能单元300中，也可保持在外部服务器等其他设备中。

外部设备500例如是笔记本型或桌上型的个人计算机(Personal Computer，PC)、平板终端、智能手机、人机接口(Human Machine Interface，HMI)或其他信息处理终端。

在外部设备500访问功能单元200内的信息的情况下，作为SGU的功能单元300进行访问的认证处理。更具体而言，首先，外部设备500基于从用户接收到对功能单元200的访问要求，将对功能单元200的访问要求发送给功能单元200(步骤S1)。功能单元200基于从外部设备500接收到访问要求，向外部设备500要求输入用户账户(步骤S2)。外部设备500基于从功能单元200接收到账户的输入要求，显示用户账户的输入画面。外部设备500基于从用户接收到用户账户的输入，将所输入的用户账户发送给功能单元200(步骤S3)。

其次，功能单元200基于从外部设备500接收到用户账户，将所述用户账户发送给功能单元300(步骤S4)。功能单元300参照注册信息330，判断从功能单元200接收到的用户账户是否已注册(步骤S5)。

功能单元300在判断为步骤S4中接收到的用户账户已注册在注册信息330中的情况下，将表示访问的许可的令牌发送给功能单元200(步骤S6)。然后，功能单元200将从功能单元300接收到的令牌发送给外部设备500(步骤S7)。外部设备500可基于由功能单元300发行的令牌来访问功能单元200内的信息(例如应用程序AP1)。

如上所述，控制系统2具有集中承担用户账户的认证处理的功能单元300。由此，用户不需要对构成控制系统2的每个单元进行登录处理。另外，由于用户可减少应管理的用户账户的数量，因此可消除用户账户管理中的复杂性。其结果，用户账户泄露到外部的可能性变低，改善了控制系统2的安全级别。

＜B.控制系统2＞

参照图2，说明图1所示的控制系统2。图2是表示控制系统2的结构例的外观图。

参照图2，控制系统2包括一个或多个控制单元100、一个或多个功能单元200、一个或多个功能单元300、一个或多个功能单元400、以及电源单元450。

控制单元100与功能单元200之间经由任意的数据传输路径连接。控制单元100、功能单元200与一个或多个功能单元300、功能单元400之间经由后述的内部总线10(参照图7)而连接。

控制单元100在控制系统2中执行中心处理。控制单元100根据任意设计的要求规格，执行用于控制控制对象的控制运算。在图2所示的结构例中，控制单元100具有一个或多个通信端口。控制单元100相当于根据标准控制程序执行标准控制的处理执行部。

功能单元200与控制单元100连接，负责与其他装置之间的通信功能。在图2所示的结构例中，功能单元200具有一个或多个通信端口。关于功能单元200提供的通信功能的详细情况，将在后文叙述。

功能单元300是可选单元，根据需要与控制单元100连接。功能单元300典型而言可包括SGU(Security Guard Unit)、具有基于用于过程控制的对象链接与嵌入统一体系结构(Object Linking and Embedding for Process Control Unified Architecture，OPCUA)的数据交换功能的通信单元、具有基于人工智能(Artificial Intelligence，AI)的预防保全功能的AI单元等。

功能单元400提供用于实现控制系统2对各种控制对象的控制的各种功能。功能单元400典型而言可包括输入/输出(Input/Output，I/O)单元、安全I/O单元、通信单元、运动控制器单元、温度调整单元、脉冲计数器单元等。作为I/O单元，例如可列举数字输入(Digital Input，DI)单元、数字输出(Digital Output，DO)单元、模拟输出(Analog Input，AI)单元、模拟输出(Analog Output，AO)单元、脉冲捕获(pulse catch)输入单元、及使多个种类混合而成的复合单元等。安全I/O单元负责安全控制相关的I/O处理。

电源单元450向构成控制系统2的各单元供给规定电压的电源。

＜C.各单元的硬件结构例＞

其次，说明构成根据本实施方式的控制系统2的各单元的硬件结构例。

(c1：控制单元100)

图3是表示构成根据本实施方式的控制系统2的控制单元100的硬件结构例的示意图。参照图3，控制单元100包括中央处理器(Central Processing Unit，CPU)或图形处理器(Graphical Processing Unit，GPU)等处理器102、芯片组104、主存储装置106、二次存储装置108、通信控制器110、通用串行总线(Universal Serial Bus，USB)控制器112、存储卡接口114、网络控制器116、网络控制器118、网络控制器120、内部总线控制器122、以及指示器124作为主要的部件。

处理器102通过读取保存在二次存储装置108中的各种程序并在主存储装置106中展开执行，来实现标准控制相关的控制运算和后述的各种处理。芯片组104通过对处理器102与各部件之间的数据交换进行中介，来实现作为控制单元100整体的处理。

在二次存储装置108中，除了系统程序以外，还保存有系统程序提供的在执行环境上运行的控制程序。

通信控制器110负责与功能单元300之间的数据的交换。作为通信控制器110，例如可采用与内部总线或以太网等对应的通信芯片。

USB控制器112负责经由USB连接而与任意的信息处理装置之间的数据的交换。

存储卡接口114构成为能够装卸存储卡115，能够向存储卡115写入控制程序或各种设定等数据，或者从存储卡115读取控制程序或各种设定等数据。

网络控制器116、网络控制器118、网络控制器120分别负责经由网络的与任意的器件之间的数据的交换。网络控制器116、网络控制器118、网络控制器120可采用以太网(EtherCAT)(注册商标)、以太网/IP(EtherNet/IP)(注册商标)、器件网(DeviceNet)(注册商标)、康博网络协议(CompoNet)(注册商标)等产业用网络协议。

内部总线控制器122负责与构成控制系统2的功能单元200、一个或多个功能单元300、一个或多个功能单元400之间的数据的交换。在内部总线中可使用制造商固有的通信协议，也可使用与任意的产业用网络协议相同或者相符的通信协议。

指示器124通知控制单元100的动作状态等，包含配置在单元表面的一个或多个发光二极管(Light Emitting Diode，LED)等。

图3中表示通过处理器102执行程序来提供必要功能的结构例，针对这些提供的功能的一部分或者全部，可使用并安装专用的硬件电路(例如专用集成电路(ApplicationSpecific Integrated Circuit，ASIC)或现场可编程门阵列(Field-Programmable GateArray，FPGA)等)。或者，可使用根据通用的体系结构的硬件(例如，以通用计算机为基础的产业用计算机)来实现控制单元100的主要部分。在所述情况下，可使用虚拟化技术来并行地执行用途不同的多个操作系统(Operating System，OS)，并且在各OS上执行必要的应用程序。

(c2：功能单元200)

图4是表示构成根据本实施方式的控制系统2的功能单元200的硬件结构例的示意图。参照图4，功能单元200包括CPU或GPU等处理器202、芯片组204、主存储装置206、二级存储装置208、通信控制器210、通信接口212、存储卡接口214、网络控制器216、网络控制器218、以及指示器224作为主要的部件。

处理器202通过读取保存在二次存储装置208中的各种程序并在主存储装置206中展开执行，来实现后述的各种通信功能。芯片组204通过对处理器202与各部件之间的数据交换进行中介，来实现作为功能单元200整体的处理。

在二次存储装置208中，除了系统程序之外，还保存有后述的通信设定信息230、系统程序提供的在执行环境上运行的通信控制程序232、后述的账户信息234、后述的URL转换规则236等各种数据。

通信控制器210负责与控制单元100或功能单元300之间的数据的交换。作为通信控制器210，例如可采用与内部总线或以太网等对应的通信芯片。

通信接口212负责经由USB连接而与任意的信息处理装置之间的数据的交换。

存储卡接口214构成为能够装卸存储卡215，能够向存储卡215写入控制程序或各种设定等数据，或者从存储卡215读取控制程序或各种设定等数据。

网络控制器216、网络控制器218分别负责经由网络的与任意的器件之间的数据的交换。网络控制器216、网络控制器218也可采用以太网等通用的网络协议。作为一例，功能单元200经由网络控制器216或网络控制器218来与外部设备500通信。

指示器224通知功能单元200的动作状态等，包含配置在单元表面的一个或多个LED等。

图4中表示通过处理器202执行程序来提供必要功能的结构例，针对这些提供的功能的一部分或者全部，可使用并安装专用的硬件电路(例如ASIC或FPGA等)。或者，可使用根据通用的体系结构的硬件(例如，以通用计算机为基础的产业用计算机)来实现功能单元200的主要部分。在所述情况下，可使用虚拟化技术来并行地执行用途不同的多个OS，并且在各OS上执行必要的应用程序。

(c3：功能单元300)

图5是表示构成根据本实施方式的控制系统2的功能单元300的硬件结构例的示意图。参照图5，功能单元300包括CPU或GPU等处理器302、芯片组304、主存储装置306、二级存储装置308、存储卡接口314、内部总线控制器322、以及指示器324作为主要的部件。

处理器302通过读取保存在二次存储装置308中的各种应用程序并在主存储装置306中展开执行，来实现服务器功能和各种功能。芯片组304通过对处理器302与各部件之间的数据交换进行中介，来实现作为功能单元300整体的处理。

在二次存储装置308中，除了系统程序以外，还保存有系统程序提供的在执行环境上运行的应用程序或所述注册信息330(参照图1)。

存储卡接口314构成为能够装卸存储卡315，能够向存储卡315写入应用程序或各种设定等数据，或者从存储卡315读取应用程序或各种设定等数据。

内部总线控制器322负责经由内部总线的与控制单元100或功能单元200之间的数据的交换。

指示器324通知功能单元300的动作状态等，包含配置在单元表面的一个或多个LED等。

图5中表示通过处理器302执行程序来提供必要功能的结构例，针对这些提供的功能的一部分或者全部，可使用并安装专用的硬件电路(例如ASIC或FPGA等)。或者，可使用根据通用的体系结构的硬件(例如，以通用计算机为基础的产业用计算机)来实现功能单元300的主要部分。在所述情况下，可使用虚拟化技术来并行地执行用途不同的多个OS，并且在各OS上执行必要的应用程序。

＜D.外部设备500的硬件结构例＞

其次，参照图6，依次说明外部设备500的硬件结构。图6是表示构成根据实施方式的信息处理系统1的外部设备500的硬件结构例的示意图。

作为一例，外部设备500包含依据通用的计算机体系结构而构成的计算机。外部设备500包括CPU或微处理器(Microprocessor Unit，MPU)等处理器502、主存储装置504、二次存储装置510、通信接口511、I/O(输入/输出)接口514、以及显示接口520。这些组件能够经由内部总线525彼此通信地连接。

处理器502通过执行开发支援程序510A或浏览器应用程序(未图示)等各种控制程序，控制外部设备500的动作。开发支援程序510A是提供用于开发控制系统2的控制程序(用户程序)的环境的程序。处理器502基于接收到开发支援程序510A或浏览器应用程序等各种控制程序的执行命令，将作为执行对象的控制程序从二次存储装置510读取到主存储装置504。

通信接口511在与其他通信设备之间经由网络来交换数据。所述其他通信设备包括例如功能单元200、服务器等。外部设备500也可构成为能够经由通信接口511从所述其他通信设备下载开发支援程序510A等各种控制程序。

I/O接口514与输入器件515连接，导入表示来自输入器件515的用户操作的信号。典型而言，输入器件515包含键盘、鼠标、触摸屏、触摸板等，受理来自用户的操作。再者，在图6的例子中，外部设备500和输入器件515分开表示，但外部设备500和输入器件515可一体地构成。

显示接口520与显示器521连接，根据来自处理器502等的命令，对显示器521送出用于显示图像的图像信号。显示器521例如是液晶显示器(Liquid Crystal Display，LCD)或有机电致发光(Electro Luminescence，EL)，并向用户提示各种信息。显示器521可显示由开发支援程序510A提供的各种画面。再者，在图6的例子中，外部设备500和显示器521分开表示，但外部设备500和显示器521可一体地构成。

＜E.信息处理系统1的单元结构例＞

图7是表示信息处理系统1的单元结构的一例的图。参照图7来说明信息处理系统1的单元结构的具体例。

如图7所示，信息处理系统1包括控制系统2、以及外部设备500。控制系统2包括控制单元100、功能单元200、以及功能单元300。控制单元100、功能单元200与功能单元300经由内部总线10而连接。这些单元可经由内部总线10彼此通信。所述通信例如通过虚拟以太网来实现。

功能单元200和外部设备500与外部网络NW1连接。向外部设备500分配IP地址“192.168.250.3”。功能单元200和外部设备500分别具有物理通信端口，经由所述通信端口来与外部网络NW1连接。

控制单元100、功能单元200和功能单元300与内部网络NW2连接。向控制单元100分配虚拟IP地址“192.168.250.1”。另外，向控制单元100分配单元名“Unit#0”。

向功能单元200分配IP地址“192.168.250.2”。另外，向功能单元200分配单元名“Unit#1”。功能单元200作为网站服务器“Web1(网站1)”发挥功能。在功能单元200中安装有应用程序“App11”、“App12”。从网站服务器“Web1”访问应用程序“App11”、“App12”。

在图7的例子中，功能单元300包含两个功能单元U2、功能单元U3。向功能单元U2分配虚拟IP地址“192.168.251.100”。另外，向功能单元U2分配单元名“Unit#2”。功能单元U2作为网站服务器“Web2(网站2)”发挥功能。在功能单元U2中安装有应用程序“App21”、“App22”。从网站服务器“Web2”访问应用程序“App21”、“App22”。

向功能单元U3分配虚拟IP地址“192.168.251.101”。另外，向功能单元U3分配单元名“Unit#3”。功能单元U3作为网站服务器“Web3(网站3)”发挥功能。在功能单元U3中安装有应用程序“App31”、“App32”。从网站服务器“Web3”访问应用程序“App31”、“App32”。另外，功能单元U3具有单点登录(Single Sign On，SSO)功能，作为认证服务器(主节点服务器(master))发挥功能。

功能单元200具有反向代理功能。更具体而言，功能单元200在从外部设备500接收到访问要求时，作为网站服务器发挥功能。而且，功能单元200改写从外部设备500接收到的访问要求，将改写后的访问要求发送给作为访问目标的功能单元300。此时，功能单元200作为客户端发挥功能，作为访问目标的功能单元300会作为网站服务器发挥功能。如此，功能单元200作为网站服务器和客户端此两者发挥功能。

＜F.通信设定信息230的生成方法＞

为了在外部设备500与功能单元U2、功能单元U3之间中继通信，功能单元200需要路由来自外部设备500的访问要求。为了实现此种中继功能，功能单元200预先生成用于路由的通信设定信息230(参照图4)。

以下，参照图8～图10来说明通信设定信息230的生成方法。图8是表示在生成通信设定信息230时功能单元200和功能单元300之间的数据流的图。图8中所示的处理例如在控制单元100的启动时执行。

在步骤S10中，功能单元200将有关功能单元U2的信息(以下，也称为“代理信息”)的获取要求发送给功能单元U2。功能单元U2接收所述获取要求，并将自身的代理信息发送给功能单元200。

图9是表示代理信息的一例的图。代理信息包括例如域名、单元名、主机名。在图9的例子中，域名显示为“AI”，单元名显示为“#2”，主机名显示为“Unit_2”。

在步骤S12中，功能单元200基于从功能单元U2接收到的代理信息来更新通信设定信息230。图10是表示通信设定信息230的一例的图。在步骤S12中，虚线230A所示的信息被追加到通信设定信息230中。由此，功能单元U2的地址信息(在图10的例子中为主机名“Unit_2”)与标识符“u2”相关联。

与主机名“Unit_2”相关联的标识符“u2”根据由功能单元200预定的规则而生成。优选为功能单元200生成用户容易识别功能单元U2的字符串作为标识符。作为一例，基于功能单元U2的域名、功能单元U2的单元名或功能单元U2的主机名来生成所述标识符。

与标识符“u2”相关联的地址信息只要能够确定内部网络NW2内的功能单元U2的IP地址即可，不一定需要为主机名。作为一例，与标识符“u2”相关联的地址信息可为内部网络NW2中的功能单元U2的IP地址自身，也可为功能单元U2的域名。

在步骤S20中，功能单元200向功能单元U3发送代理信息的获取要求。功能单元U3接收到所述获取要求，并将自身的代理信息发送给功能单元200。

在步骤S22中，功能单元200基于从功能单元U3接收到的代理信息来更新通信设定信息230。在步骤S22中，图10的虚线230B所示的信息被追加到通信设定信息230中。由此，功能单元U3的地址信息(在图10的例子中为主机名“Unit_3”)与标识符“u3”相关联。标识符“u3”由功能单元200根据与标识符“u2”相同的规则生成。

与标识符“u3”相关联的地址信息只要能够确定内部网络NW2内的功能单元U3的IP地址即可，不一定需要为主机名。作为一例，与标识符“u3”相关联的地址信息可为内部网络NW2中的功能单元U3的IP地址自身，也可为功能单元U3的域名。

＜G.用户认证处理＞

作为SGU的功能单元U3集中管理关于构成控制系统2的各种单元的用户账户。即，在从外部设备500访问控制系统2的各单元的情况下，功能单元U3进行用户认证处理。

以下，参照图11～图16来说明功能单元U3进行的用户认证处理。图11是表示在用户认证处理时功能单元200、功能单元300的一例即功能单元U3、与外部设备500之间的数据流的图。图11中所示的处理例如在控制单元100的启动后执行。

在步骤S30中，外部设备500从用户接收到对功能单元200的访问要求。在本步骤中，例如外部设备500接收到用于访问各功能单元的应用程序的门户网站的显示要求。

外部设备500基于从用户接收到门户网站的显示要求，将对门户网站的访问要求发送给功能单元200。在步骤S30的时间点，未发行表示访问许可的令牌，因此外部设备500将访问要求在不具有令牌的情况下发送给功能单元200。功能单元200基于从外部设备500接收到访问要求，将登录页面的URL发送给外部设备500，并重定向到登录页面。

在步骤S32中，外部设备500基于从功能单元200接收到的URL，将对登录页面的访问要求发送给功能单元200。功能单元200获取从外部设备500接收到的访问要求中包含的URL，并改写所述URL。即，在步骤S32中，功能单元200作为反向代理服务器发挥功能。图12是概略性地表示URL的改写处理的图。

图12中，将来自外部设备500的访问要求40A显示为URL“http://192.168.250.2/u3/login.php”。在访问要求40A中显示的“192.168.250.2”表示功能单元200的IP地址。在访问要求40A中显示的“u3”表示作为访问目标的单元的标识符。

功能单元200的通信部150基于从外部设备500接收到访问要求40A，获取访问要求40A中包含的标识符“u3”。其次，通信部150参照所述图10中说明的通信设定信息230，获取与标识符“u3”对应的地址信息。其结果，确定在内部网络NW2中有效的地址信息“unit_3”。然后，通信部150改写访问要求40A，生成包含地址信息“unit_3”的访问要求40B。

更具体而言，通信部150通过将访问要求40A中包含的标识符“u3”替换为与所述标识符“u3”对应的地址信息“unit_3”，而生成访问要求40B。此时，删除访问要求40A中包含的域“192.168.250.2”(即目的地信息)。由此，将访问要求40A“http://192.168.250.2/u3/App31/index.php”改写为访问要求40B“http://unit_3/login.php”，将目的地从功能单元200变为功能单元U3。通信部150将改写后的访问要求40B发送给功能单元U3。

再次参照图11，在步骤S33中，功能单元U3以超文本置标语言(HyperTextMarkupLanguage，HTML)文档将登录页面发送给功能单元200。功能单元200基于从功能单元U3接收到登录页面，将所述登录页面发送给外部设备500。

在步骤S34中，外部设备500在显示器521显示从功能单元200接收到的登录页面(参照图6)。图13是表示外部设备500显示的画面的一例的图。图13中，作为外部设备500显示的画面的一例，示出了登录页面700。登录页面700接收用户ID或密码等登录信息(账户信息)的输入。在按下登录页面700的登录按钮的情况下，将输入的登录信息发送给功能单元200。在按下登录页面700的取消按钮的情况下，放弃所输入的登录信息，关闭登录页面700。

在步骤S36中，按下登录页面700的登录按钮。由此，外部设备500将输入到登录页面700中的登录信息发送给功能单元200。然后，功能单元200与步骤S32同样地作为反向代理服务器发挥功能，将从外部设备500接收到的登录信息发送给功能单元U3。

外部设备500基于从功能单元200接收到登录信息，参照所述注册信息330(参照图1)，执行所述登录信息的认证处理。图14是表示注册信息330的数据结构的一例的图。如图14所示，在注册信息330中，针对不同的用户ID，将用户名、访问权和密码相关联。功能单元U3将从功能单元200接收到的登录信息中包含的用户ID作为密钥，从注册信息330中获取与所述用户ID对应的密码。其次，功能单元U3将从注册信息330获取的密码与从功能单元200接收到的注册信息中包含的密码进行比较。在这些密码一致的情况下，功能单元U3判断为从功能单元200接收到的登录信息被注册在注册信息330中。

再次参照图11，在步骤S37中，功能单元U3判断为从功能单元200接收到的登录信息被注册在注册信息330中。在所述情况下，功能单元U3发行用于允许访问的令牌。在图11的例子中，发行了“token1(令牌1)”。此时，功能单元U3将发行的“token1”与用户ID或访问权等账户信息相关联地存储在注册信息330中。“token1”例如是随机数，仅在一定期间有效。外部设备500将发行的“token1”发送给功能单元200。功能单元200将从外部设备500接收到的“token1”发送给外部设备500。

在步骤S38中，外部设备500向功能单元200再次发送包含对各功能单元(或各应用程序)的链接目标的门户网站的显示要求。此时，外部设备500也将从功能单元200接收到的“token1”发送给功能单元200。

在步骤S40中，功能单元200将从外部设备500接收到的“token1”和账户信息的获取要求发送给功能单元U3。由此，功能单元U3判断“token1”是否不正确、“token1”是否过期等“token1”的有效性。功能单元U3在判断为“token1”有效的情况下，参照注册信息330，获取与从功能单元200接收到的“token1”对应的账户信息，并将所述账户信息发送给功能单元200。

在步骤S50中，功能单元200将在步骤S40中从功能单元U3接收到的账户信息与“token1”相关联地存储。

图15是表示在步骤S50中存储的账户信息234的图。如图15所示，账户信息234包括用户的账户名、用户名和赋予给所述用户的访问权。这些信息与“token1”相关联。

在步骤S52中，功能单元200生成对步骤S38中的访问要求的响应。图16是表示作为生成的响应的一例的链接信息30的图。链接信息30是规定门户网站的HTML文档。

链接信息30基于所述通信设定信息230(参照图10)而生成。更具体而言，功能单元200基于自身的IP地址与由通信设定信息230规定的各单元的标识符来生成链接信息30。在图12的例子中，基于功能单元200的IP地址“192.168.250.2”与由通信设定信息230规定的功能单元U3的标识符“u3”，生成外部网络NW1中有效的URL“http://192.168.250.2/u3/App31/index.php”。所述URL中显示的“App31”是功能单元U3内的应用程序的标识符。功能单元200针对控制系统2的各单元内的各应用程序生成此种URL，并写入到链接信息30中。

在步骤S52中，功能单元200将生成的链接信息30发送给外部设备500。

在步骤S54中，外部设备500基于接收到的链接信息30构成门户网站，并将所述门户网站显示在显示器521(参照图6)。图13中表示外部设备500所显示的门户网站710的例子。

在门户网站710，利用超链接显示对各单元的链接。在图13的例子中，将对作为功能单元300的一例的功能单元U2的链接显示为超链接710A，对功能单元200的应用程序的链接显示为超链接710B。

在步骤S60中，选择门户网站710的超链接710B。由此，外部设备500向功能单元200发送与所选择的超链接710B对应的访问要求。此时，外部设备500也将已经发行的“token1”发送给功能单元200。

从外部设备500接收到的“token1”在步骤S50中已经注册在功能单元200的账户信息234中，因此功能单元200不执行所述步骤S40中的账户获取处理，而向外部设备500发送与步骤S60中的访问要求对应的响应。

在步骤S62中，外部设备500基于从功能单元200接收到的响应，显示与超链接710B对应的网站(主页)。在图13中示出步骤S62中表示的网站720的例子。

再者，对某个功能单元(例如，功能单元200)发行的“token1”在其他功能单元(例如，功能单元U2、功能单元U3)中也有效。作为一例，在访问功能单元200时发行了“token1”，外部设备500从用户接收到了对功能单元U2的访问要求。

在所述情况下，首先，外部设备500向作为中继单元的功能单元200(第一功能单元)发送对功能单元U2(第三功能单元)的访问要求。此时，外部设备500也将已经发行的“token1”发送给中继单元。中继单元在从外部设备500接收到访问要求和“token1”的情况下，判断“token1”是否已经注册在账户信息234中。中继单元在判断为“token1”已经注册在账户信息234中的情况下，不进行用户认证，允许访问功能单元U2。然后，功能单元U2获取功能单元U2内的访问目标的信息，并将所述获取的信息经由中继单元发送给外部设备500。如此，若访问某个功能单元时发行的“token1”在访问其他功能单元时也被沿用，则用户无需每次都进行登录处理。

＜H.信息处理系统1的控制流程的变形例1＞

在所述图11的例子中，不取决于赋予给登录用户的访问权，而在步骤S54中显示了相同的门户网站710。与此相对，在本变形例中，外部设备500根据登录用户的访问权来改变门户网站710的显示内容。

以下，参照图17～图19说明门户网站710的显示内容在登录外部设备500A的用户和登录外部设备500B的用户之间不同的例子。

图17是表示在利用功能单元U3进行认证处理时功能单元200、功能单元300的一例即功能单元U3、与外部设备500A、外部设备500B之间的数据流的图。

在步骤S70中，进行针对外部设备500A的用户认证处理和针对外部设备500B的用户认证处理。关于用户认证处理，如所述图11的步骤S30、步骤S32、步骤S33、步骤S34、步骤S36、步骤S37、步骤S38中所说明那样。即，在步骤S70中，对外部设备500A和外部设备500B分别执行所述图11的步骤S30、步骤S32、步骤S33、步骤S34、步骤S36、步骤S37、步骤S38的处理。其结果，功能单元U3向外部设备500A发行“token1”，向外部设备500B发行“token2”。

在步骤S80中，功能单元200将从外部设备500A接收到的“token1”和账户信息的获取要求发送给功能单元U3。功能单元U3基于接收到这些信息，参照所述注册信息330(参照图14)，获取与“token1”对应的账户信息。然后，功能单元U3将所获取的账户信息发送给功能单元200。

在步骤S82中，功能单元200将从功能单元U3接收到的账户信息与“token1”相关联地存储。图18是表示在功能单元200中存储的账户信息234的一例的图。在步骤S82中，虚线234A所示的信息被追加到账户信息234中。追加到账户信息234中的信息例如包括用户的账户名、用户名和赋予给所述用户的访问权。这些账户信息与“token1”相关联。

在步骤S90中，功能单元200将从外部设备500B接收到的“token2”和账户信息的获取要求发送给功能单元U3。功能单元U3基于接收到这些信息，参照所述注册信息330(参照图14)，获取与“token2”对应的账户信息。然后，功能单元U3将所获取的账户信息发送给功能单元200。

在步骤S92中，功能单元200将从功能单元U3接收到的账户信息与“token2”相关联地存储。在步骤S92中，图18的虚线234B所示的信息被追加到账户信息234中。追加到账户信息234中的信息例如包括用户的账户名、用户名和赋予给所述用户的访问权。这些账户信息与“token2”相关联。

在步骤S100中，外部设备500A将门户网站710的URL作为访问要求发送给功能单元200。此时，外部设备500A也将针对外部设备500A发行的“token1”发送给功能单元200。

功能单元200基于从外部设备500A接收门户网站710的URL和“token1”，生成对所述URL的响应。此时，功能单元200根据外部设备500A的用户的访问权，对从外部设备500A接收到的URL进行转换。

URL的转换例如基于图19所示的URL转换规则236进行。图19是表示URL转换规则236的一例的图。URL转换规则236中，根据访问权不同来规定HTML的显示文件名。显示文件与访问权的对应关系可预先规定，也可由用户任意变更。

更具体而言，首先，功能单元200参照所述账户信息234(参照图18)，获取与“token1”对应的访问权。在图18的例子中，获取访问权“Admin”。其次，功能单元200参照URL转换规则236，获取与访问权“Admin”对应的显示文件名。在图19的例子中，获取“AdminTop.html”。然后，功能单元200将从外部设备500A接收到的URL的显示文件名转换为“AdminTop.html”。而且，功能单元200访问转换后的URL，将对应的HTML文件发送给外部设备500A。由此，访问目标根据向外部设备500A的登录用户赋予的访问权而变更。

在步骤S102中，外部设备500A基于从功能单元200接收到的HTML文件，显示访问权“Admin”用的门户网站710。

在步骤S110中，外部设备500B将门户网站710的URL作为访问要求发送给功能单元200。此时，外部设备500B也将针对外部设备500B发行的“token2”发送给功能单元200。

功能单元200基于从外部设备500B接收到门户网站710的URL和“token2”，生成对所述URL的响应。此时，功能单元200根据外部设备500B的用户的访问权，对从外部设备500B接收到的URL进行转换。

URL的转换例如基于图19所示的URL转换规则236进行。更具体而言，首先，功能单元200参照账户信息234(参照图18)，获取与“token2”对应的访问权。在图18的例子中，获取访问权“Operator”。其次，功能单元200参照URL转换规则236，获取与访问权“Operator”对应的显示文件名。在图19的例子中，获取“OperatorTop.html”。然后，功能单元200将从外部设备500B接收到的URL的显示文件名转换为“OperatorTop.html”。而且，功能单元200访问转换后的URL，将对应的HTML文件发送给外部设备500B。由此，访问目标根据向外部设备500B的登录用户赋予的访问权而变更。

在步骤S112中，外部设备500B基于从功能单元200接收到的HTML文件，显示访问权“Operator”用的门户网站710。

如上所述，功能单元U3基于从外部设备500接收用户账户，参照账户信息234，确定与所述用户账户相关联的访问权，在将令牌发送给功能单元200时，将所述确定的访问权进一步发送给功能单元200。功能单元200在从外部设备500接收到访问要求的情况下，将与外部设备500的登录用户的访问权对应的信息发送给外部设备500。由此，功能单元200能够根据向用户赋予的访问权来改变提供的信息。

＜I.信息处理系统1的控制流程的变形例2＞

在所述图17的例子中，根据向登录的用户赋予的访问权，改变门户网站710的显示内容。与此相对，在本变形例中，门户网站710的显示内容也根据控制系统2的当前的动作模式而改变。

控制系统2的动作模式除了通常模式以外还包括表示控制系统2正在维护的维护模式。关于控制系统2的动作模式，在满足了表示控制系统2的维护开始的预定条件的情况下，使动作模式向维护模式过渡。所述预定的条件例如在物理密钥被插入控制系统2的情况下、维护用密码被输入到控制系统2的情况下、进行了向维护模式的转移操作的情况下得到满足。

以下，参照图20～图24说明门户网站710的显示内容在维护模式中发生改变的例子。

图20是表示在维护模式时功能单元200、功能单元300的一例即功能单元U3、与外部设备500A、外部设备500B之间的数据流的图。再者，图20所示的步骤S110A、步骤S112A以外的处理如图17中所说明那样，因此不再重复这些说明。

在控制系统2的动作模式为维护模式的情况下，预定种类的访问权被改写为预定的其他种类的访问权。改写所述访问权的主体可为功能单元200，也可为功能单元U3。

图21是用于说明功能单元U3改写访问权的例子的图。图21是表示访问权被改写的注册信息330的图。注册信息330例如保存在功能单元U3的二次存储装置308中。如图21所示，在维护模式中，功能单元U3例如将注册信息330中规定的预定种类的访问权“Operator”改写为“Maintainer”。

由此，在图20的步骤S90中，在功能单元U3从注册信息330获取与“token2”对应的账户信息时，获取“Maintainer”作为访问权。由此，在步骤S110A中，功能单元200将与访问权“Maintainer”对应的信息发送给外部设备500B。

更具体而言，在步骤S110A中，外部设备500B将门户网站710的URL作为访问要求发送给功能单元200。此时，外部设备500B也将针对外部设备500B发行的“token2”发送给功能单元200。功能单元200基于从外部设备500B接收到门户网站710的URL和“token2”，生成对所述URL的响应。此时，功能单元200根据外部设备500B的用户的访问权，对从外部设备500B接收到的URL进行转换。

URL的转换例如基于图22所示的URL转换规则236进行。图22是表示维护模式中的URL转换规则236的图。

功能单元200参照URL转换规则236，获取与访问权“Maintainer”对应的显示文件名。在图22的例子中，获取“MaintainerTop.html”。然后，功能单元200将从外部设备500B接收到的URL的显示文件名转换为“MaintainerTop.html”。由此，关于规定种类的访问权，在维护模式时，访问目标发生变更。而且，功能单元200访问转换后的URL，将对应的HTML文件发送给外部设备500B。

在步骤S112A中，外部设备500B基于从功能单元200接收到的HTML文件，显示访问权“Maintainer”用的门户网站710。

再者，所述中，针对功能单元U3将注册信息330中规定的访问权改写为“Maintainer”的例子进行了说明，但改写访问权的主体也可并非为功能单元U3。作为一例，访问权的改写可由功能单元200进行。在所述情况下，功能单元200将所述账户信息234中规定的访问权改写为“Maintainer”。

图23是表示维护模式中的账户信息234的图。账户信息234例如保存在功能单元200的二次存储装置208中。如图23所示，功能单元200在维护模式中将账户信息234中规定的规定种类的访问权“Operator”改写为“Maintainer”。另外，功能单元200将访问权“Maintainer”的有效期限写入到账户信息234中。

然后，在步骤S110A中，功能单元200参照账户信息234，将与访问权“Maintainer”对应的信息发送给外部设备500B。

如上所述，在控制系统2的动作模式为维护模式的情况下，注册信息330中规定的规定种类的访问权被改写为“Maintainer”，或者账户信息234中规定的规定种类的访问权被改写为“Maintainer”。被改写为“Maintainer”的访问权在满足表示控制系统2的维护结束的预定的结束条件的情况下，自动恢复为改写前的访问权。使访问权复原的主体可为功能单元200，也可为功能单元U3。

通过各种方法判断是否满足维护模式的结束条件。作为一例，基于针对访问权“Maintainer”设定的有效期限届满，判断为满足了维护模式的结束条件。或者，基于插入到控制系统2的物理密钥被抽出，判断为满足了维护模式的结束条件。或者，基于用户进行了维护的结束操作，判断为满足了维护模式的结束条件。

＜J.信息处理系统1的装置结构的变形例1＞

图24是表示根据变形例的信息处理系统1A的单元结构的图。参照图24来说明根据变形例的信息处理系统1A的单元结构。

在所述图7中，构成信息处理系统1的各单元经由内部总线10连接。与此相对，在根据本变形例的信息处理系统1A中，各单元经由通信端口与内部网络NW2连接。即，在本变形例中，各单元被设置在物理上分离的部位。即使为此种单元结构，也不脱离本发明的主旨。

＜K.信息处理系统1的装置结构的变形例2＞

图25是表示根据变形例的信息处理系统1B的单元结构的图。参照图25来说明根据变形例的信息处理系统1B的单元结构。

在所述图7所示的信息处理系统1中，仅功能单元200与外部网络NW1连接。与此相对，在根据本变形例的信息处理系统1B中，不仅功能单元200与外部网络NW1连接，其他单元也与外部网络NW1连接。即，在本变形例中，不仅功能单元200能够直接与外部设备500通信，其他功能单元也能够直接与外部设备500通信。即使为此种单元结构，也不脱离本发明的主旨。

在图25的例子中，不仅功能单元200与外部设备500直接连接，而且功能单元U3也与外部设备500直接连接。即，从外部设备500向功能单元U3的通信路径存在经由功能单元200的通信路径R1和不经由功能单元200的通信路径R2。

通过存在此种多个通信路径，可根据通信路径来切换对各应用程序的访问的允许/禁止。作为一例，关于功能单元U3的应用程序“App31”，在通信路径R2的通信被禁止，仅在通信路径R1的通信得到允许。另一方面，关于功能单元U3的应用程序“App32”，在通信路径R1的通信被禁止，仅在通信路径R2的通信得到允许。

更具体而言，针对每个通信路径且根据每个应用程序预先规定了访问的允许/禁止的规定，作为允许/禁止规定保持在各功能单元300中。功能单元300在从功能单元200或外部设备500接收到访问要求的情况下，根据所述访问要求中包含的URL确定访问源，并基于所述访问源确定通信路径。然后，功能单元300参照允许/禁止规定，来对确定的通信路径判断向访问目标的应用程序的访问是否得到允许。

＜L.附记＞

如上所述，本实施方式包括以下公开。

[结构1]

一种控制系统，是包含多个单元的控制系统(2)，

所述多个单元包括：

第一单元(200)、以及

能够与所述第一单元(200)通信的第二单元(300、U3)，

所述第一单元(200)基于从构成为能够与所述第一单元(200)通信的外部设备(500)接收到对所述第一单元(200)的访问要求，向所述外部设备(500)要求输入用户账户，并基于从所述外部设备(500)接收到用户账户，将所述用户账户发送给所述第二单元(300、U3)，

所述第二单元(300、U3)参照规定已注册的用户的账户信息的注册信息(330)，判断从所述第二单元(300、U3)接收的用户账户是否已注册，在判断为从所述第二单元(300、U3)接收的用户账户已注册的情况下，将表示访问许可的令牌发送给所述第一单元(200)，

所述第一单元(200)将从所述第二单元(300、U3)接收到的所述令牌发送给所述外部设备(500)。

[结构2]

根据结构1所述的控制系统，其中所述多个单元还包括第三单元(300、U2)，

在所述第三单元(300、U2)从所述外部设备(500)接收到对所述第三单元(300、U2)的访问要求和所述令牌的情况下，允许对所述第三单元(300、U2)的访问。

[结构3]

根据结构2所述的控制系统，其中所述第三单元(300、U2)构成为能够与所述第一单元(200)通信，

所述第一单元(200)中继所述第二单元(300、U3)与所述外部设备(500)之间的通信，并且中继所述第三单元(300、U2)与所述外部设备(500)之间的通信之间的通信。

[结构4]

根据结构1至3中任一项所述的控制系统，其中使访问权与所述账户信息中规定的各用户账户相关联，

所述第二单元(300、U3)基于从所述外部设备(500)接收用户账户，参照所述账户信息，确定与所述用户账户相关联的访问权，在将所述令牌发送给所述第一单元(200)时，将所述确定的访问权进一步发送给所述第一单元(200)，

所述第一单元(200)将与从所述第二单元(300、U3)接收到的访问权对应的信息发送给所述外部设备(500)。

[结构5]

根据结构4所述的控制系统，其中所述控制系统(2)的动作模式包含表示所述控制系统(2)正在维护的维护模式，

所述第一单元(200)或所述第二单元(300、U3)在所述控制系统(2)的动作模式为所述维护模式的情况下，将预定种类的访问权改写为预定的其他种类的访问权。

[结构6]

根据结构5所述的控制系统，其中所述第一单元(200)或所述第二单元(300、U3)在满足了表示所述控制系统(2)的维护结束的预定条件的情况下，将改写为所述预定的其他种类的访问权的访问权恢复到改写前的访问权。

[结构7]

一种控制方法，是包含多个单元的控制系统(2)的控制方法，

所述多个单元包括：

第一单元(200)、以及

能够与所述第一单元(200)通信的第二单元(300、U3)，

所述控制方法包括：

所述第一单元(200)基于从构成为能够与所述第一单元(200)通信的外部设备(500)接收到对所述第一单元(200)的访问要求，向所述外部设备(500)要求输入用户账户，并基于从所述外部设备(500)接收到用户账户，将所述用户账户发送给所述第二单元(300、U3)的步骤(S36)；

所述第二单元(300、U3)参照规定已注册的用户的账户信息的注册信息(330)，判断从所述第二单元(300、U3)接收的用户账户是否已注册，在判断为从所述第二单元(300、U3)接收的用户账户已注册的情况下，将表示访问许可的令牌发送给所述第一单元(200)的步骤(S37)；以及

所述第一单元(200)将从所述第二单元(300、U3)接收到的所述令牌发送给所述外部设备(500)的步骤(S37)。

应认为，此次公开的实施方式在所有方面为例示而不进行限制。应意识到，本发明的范围是由权利要求而非所述说明所示，且包含与权利要求均等的含义和范围内的所有变更。

符号的说明

1、1A、1B：信息处理系统

2：控制系统

10、525：内部总线

30：链接信息

40A、40B：访问要求

100：控制单元

102、202、302、502：处理器

104、204、304：芯片组

106、206、306、504：主存储装置

108、208、308、510：二次存储装置

110、210：通信控制器

112：USB控制器

114、214、314：存储卡接口

115、215、315：存储卡

116、118、120、216、218：网络控制器

122、322：内部总线控制器

124、224、324：指示器

150：通信部

200、300、400：功能单元

212、511：通信接口

230：通信设定信息

230A、230B、234A、234B：虚线

232：通信控制程序

234：账户信息

236：URL转换规则

330：注册信息

450：电源单元

500、500A、500B：外部设备

510A：开发支援程序

514：I/O接口

515：输入器件

520：显示接口

521：显示器

700：登录页面

710：门户网站

710A、710B：超链接

720：网站