Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5948263B2 - Management system, security information management device, configuration information management device, security information management method and program - Google Patents
[go: Go Back, main page]

JP5948263B2 - Management system, security information management device, configuration information management device, security information management method and program - Google Patents

Management system, security information management device, configuration information management device, security information management method and program Download PDF

Info

Publication number
JP5948263B2
JP5948263B2 JP2013015996A JP2013015996A JP5948263B2 JP 5948263 B2 JP5948263 B2 JP 5948263B2 JP 2013015996 A JP2013015996 A JP 2013015996A JP 2013015996 A JP2013015996 A JP 2013015996A JP 5948263 B2 JP5948263 B2 JP 5948263B2
Authority
JP
Japan
Prior art keywords
node
information
access authority
data
component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013015996A
Other languages
Japanese (ja)
Other versions
JP2014146286A (en
Inventor
和幸 赤井
和幸 赤井
福田 富美男
富美男 福田
美濃越 亮太
亮太 美濃越
古川 嘉識
嘉識 古川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Comware Corp
Original Assignee
NTT Comware Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Comware Corp filed Critical NTT Comware Corp
Priority to JP2013015996A priority Critical patent/JP5948263B2/en
Publication of JP2014146286A publication Critical patent/JP2014146286A/en
Application granted granted Critical
Publication of JP5948263B2 publication Critical patent/JP5948263B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、管理システム、セキュリティ情報管理装置、構成情報管理装置、セキュリティ情報管理方法およびプログラムに関する。   The present invention relates to a management system, a security information management device, a configuration information management device, a security information management method, and a program.

電力の見える化や、省エネ制御や、生活利便性向上などを実現するために、各種センサやアクチュエータとデータ蓄積機能(ストレージ)やアプリケーション等とが相互に連携するシステムや、連携を行うための通信プロトコルが普及しつつある。このようなシステムが大規模化すると、機器ないし機能や、そこで生成されるデータと当該データへのアクセス先との関係が複雑化する。アクセス関係が複雑化することで、システム構成情報やアクセス権限情報の容量が大きくなる。   Systems that link various sensors and actuators with data storage functions (storage), applications, etc., and communications for linkage to realize visualization of power, energy saving control, and improvement of daily life Protocols are becoming popular. When such a system becomes large-scale, devices and functions, and the relationship between data generated there and the access destination to the data become complicated. The complexity of access relations increases the capacity of system configuration information and access authority information.

そこで、システム構成情報とアクセス権限情報とを別々に管理することが考えられる。例えば、非特許文献1に記載のIEEE1888プロトコルでは、システム構成情報を管理するレジストリ機能が規定されている。また、IEEE1888.3プロトコルでは、アクセス権限を管理するアクセスコントロールマネージャ(Access Control Manager;ACM)機能の規定が検討されている。
システム構成情報とアクセス権限情報とを別々に管理することで、各々の管理機能を比較的簡単にすることができ、開発負担を軽減することができる。また、システム構成情報の管理機能(レジストリ機能)を提供する機器と、アクセス権限情報の管理機能(アクセスコントロールマネージャ機能)を提供する機器とを離れた場所に配置することができる。また、レジストリ機能を階層化し易くなる。また、各情報に必要な記憶容量を小さくすることができ、検索等の処理負荷を低減させることができる。
Therefore, it is conceivable to separately manage system configuration information and access authority information. For example, the IEEE 1888 protocol described in Non-Patent Document 1 defines a registry function for managing system configuration information. In the IEEE1888.3 protocol, the definition of an access control manager (Access Control Manager; ACM) function for managing access authority is being studied.
By managing system configuration information and access authority information separately, each management function can be made relatively simple, and the development burden can be reduced. In addition, a device that provides a system configuration information management function (registry function) and a device that provides an access authority information management function (access control manager function) can be arranged at remote locations. In addition, the registry function can be easily hierarchized. In addition, the storage capacity required for each information can be reduced, and the processing load such as search can be reduced.

「スマートコミュニティを支える基盤技術―大量センシングポイント・コンポーネントの管理,アドレス解決技術IEEE1888レジストリの概要」、NTT技術ジャーナル、2012年11月、pp.38−41"Basic technology that supports smart communities-Management of mass sensing points and components, Address resolution technology IEEE1888 registry overview", NTT Technology Journal, November 2012, pp. 199 38-41

システム構成情報とアクセス権限情報とを別々に管理する場合、システム構成情報の検索には制限を加えず、他の機器へのアクセスの段階でアクセス制限することが考えられる。例えば、IEEE1888では、レジストリにシステム構成を問い合わせるLOOKUP手順の使用や、かかる問い合わせに対する応答は制限されていない。
これに対して、システム構成情報の検索に制限することで、セキュリティを向上させ得る。例えば、機器に関する情報を秘匿することで、当該機器に対する不正アクセスのおそれを低減させ得る。また、機器の存在自体を秘匿することで、当該機器に対する攻撃のおそれを低減させ得る。
When managing the system configuration information and the access authority information separately, it is conceivable to restrict access at the stage of access to other devices without limiting the search of the system configuration information. For example, IEEE 1888 does not restrict the use of the LOOKUP procedure for inquiring the system configuration to the registry and the response to such an inquiry.
On the other hand, security can be improved by limiting the search to the system configuration information. For example, by concealing information about a device, the risk of unauthorized access to the device can be reduced. Further, by concealing the presence of the device itself, the risk of an attack on the device can be reduced.

本発明は、このような事情に鑑みてなされたもので、その目的は、システム構成情報とアクセス権限情報とを別々に管理するシステムにおいて、システム構成情報の検索を制限することのできる管理システム、セキュリティ情報管理装置、構成情報管理装置、セキュリティ情報管理方法およびプログラムを提供することにある。   The present invention has been made in view of such circumstances, and the purpose thereof is a management system capable of restricting retrieval of system configuration information in a system that separately manages system configuration information and access authority information, A security information management device, a configuration information management device, a security information management method, and a program are provided.

この発明は上述した課題を解決するためになされたもので、本発明の一態様による管理システムは、通信ネットワークの複数のノードがデータ通信を行うデータ通信システムを管理する管理システムであって、前記データ通信システムの構成情報を管理する構成情報管理装置と、前記通信ネットワークのノード毎に当該ノードがアクセス可能な範囲を示すセキュリティ情報を管理するセキュリティ情報管理装置とを具備し、前記セキュリティ情報管理装置は、前記データ通信システムの構成情報からの検索結果のうちノードに対して提示可能な情報についての、前記構成情報管理装置からの問い合わせに対して、当該ノードがアクセス可能な範囲を応答することを特徴とする。 The present invention has been made to solve the above-described problem, and a management system according to an aspect of the present invention is a management system for managing a data communication system in which a plurality of nodes of a communication network perform data communication, a configuration information management device for managing the configuration information of the data communication system, the relevant node for each node of the communication network comprises a security information management device for managing security information indicating the accessible range, the security information management device In response to an inquiry from the configuration information management apparatus regarding information that can be presented to a node among the search results from the configuration information of the data communication system, responding to the range accessible by the node Features.

また、本発明の他の一態様による管理システムは、上述の管理システムであって、前記セキュリティ情報管理装置は、ノード毎に当該ノードが有するデータおよび当該ノードへアクセス可能なノードを示すノードアクセス権限情報を記憶するノードアクセス権限情報記憶部と、データ毎に当該データへアクセス可能なノードを示すデータアクセス権限情報を記憶するデータアクセス権限情報記憶部と、ノードが有するデータの変更情報を受け付ける変更情報取得部と、前記変更情報取得部が、前記変更情報を取得すると、当該変更情報と、前記データアクセス権限情報とに基づいて、前記ノードアクセス権限情報を更新するノードアクセス権限情報管理部と、を具備することを特徴とする。   A management system according to another aspect of the present invention is the management system described above, wherein the security information management device has a node access authority indicating, for each node, data held by the node and a node accessible to the node. A node access authority information storage unit for storing information, a data access authority information storage unit for storing data access authority information indicating a node capable of accessing the data for each data, and change information for receiving change information of data held by the node An acquisition unit; and a node access authority information management unit that updates the node access authority information based on the change information and the data access authority information when the change information acquisition unit acquires the change information. It is characterized by comprising.

また、本発明の他の一態様によるセキュリティ情報管理装置は、通信ネットワークのノード毎に当該ノードが有するデータおよび当該ノードへアクセス可能なノードを示すノードアクセス権限情報を記憶するノードアクセス権限情報記憶部と、データ毎に当該データへアクセス可能なノードを示すデータアクセス権限情報を記憶するデータアクセス権限情報記憶部と、ノードが有するデータの変更情報を受け付ける変更情報取得部と、前記変更情報取得部が、前記変更情報を取得すると、当該変更情報と、前記データアクセス権限情報とに基づいて、前記ノードアクセス権限情報を更新するノードアクセス権限情報管理部と、を具備し、前記ノードが通信を行うデータ通信システムの構成情報を管理する構成情報管理装置からの、ノードに対して提示可能な情報の問い合わせに対して、当該ノードがアクセス可能な範囲を応答することを特徴とする。 Further, a security information management device according to another aspect of the present invention includes a node access authority information storage unit that stores, for each node of a communication network, data held by the node and node access authority information indicating a node accessible to the node A data access authority information storage unit that stores data access authority information indicating a node that can access the data for each data, a change information acquisition unit that receives data change information of the node, and the change information acquisition unit A node access authority information management unit that updates the node access authority information based on the change information and the data access authority information when the change information is acquired, and the data that the node communicates with Nodes from a configuration information management device that manages communication system configuration information Against presentable information query Te, the node is characterized in that it responds accessible range.

また、本発明の他の一態様による構成情報管理装置は、通信ネットワークの複数のノードがデータ通信を行うデータ通信システムにおいて、前記データ通信システムの構成を示す構成情報を記憶する構成情報記憶部と、前記通信ネットワークのノードからの、前記データ通信システムの構成についての問い合わせを取得する問い合わせ取得部と、前記問い合わせに応じた情報を前記構成情報から検索する検索部と、前記問い合わせの送信元のノードがアクセス可能な範囲を示す情報を取得するアクセス可能範囲検出部と、前記問い合わせに対する応答として、検索結果のうち前記問い合わせの送信元のノードがアクセス可能な範囲の情報を応答する応答部と、を具備することを特徴とする。   A configuration information management apparatus according to another aspect of the present invention is a data communication system in which a plurality of nodes of a communication network perform data communication. A configuration information storage unit that stores configuration information indicating the configuration of the data communication system; A query acquisition unit that acquires a query about the configuration of the data communication system from a node of the communication network, a search unit that searches the configuration information for information corresponding to the query, and a node that is the source of the query An accessible range detection unit that acquires information indicating a range that can be accessed, and a response unit that responds with information on a range that can be accessed by a source node of the query as a response to the query. It is characterized by comprising.

また、本発明の他の一態様によるセキュリティ情報管理方法は、通信ネットワークのノード毎に当該ノードが有するデータおよび当該ノードへアクセス可能なノードを示すノードアクセス権限情報を記憶するノードアクセス権限情報記憶部と、データ毎に当該データへアクセス可能なノードを示すデータアクセス権限情報を記憶するデータアクセス権限情報記憶部と、を具備するセキュリティ情報管理装置のセキュリティ情報管理方法であって、ノードが有するデータの変更情報を受け付ける変更情報取得ステップと、前記変更情報取得ステップにて、前記変更情報を取得すると、当該変更情報と、前記データアクセス権限情報とに基づいて、前記ノードアクセス権限情報を更新するノードアクセス権限情報管理ステップと、前記ノードが通信を行うデータ通信システムの構成情報を管理する構成情報管理装置からの、ノードに対して提示可能な情報の問い合わせに対して、当該ノードがアクセス可能な範囲を応答するステップと、を具備することを特徴とする。 Also, a security information management method according to another aspect of the present invention includes a node access authority information storage unit that stores, for each node of a communication network, data held by the node and node access authority information indicating a node accessible to the node And a data access authority information storage unit that stores data access authority information indicating a node that can access the data for each data, and a security information management method for a security information management apparatus comprising: Node information for updating the node access authority information based on the change information and the data access authority information when the change information is acquired in the change information acquisition step for receiving the change information and the change information acquisition step and authority information management step, the node through From configuration information management device for managing the configuration information of the data communication system performing, against presentable information query to the node, the method comprising the node responds an accessible range, by including the Features.

また、本発明の他の一態様によるプログラムは、通信ネットワークのノード毎に当該ノードが有するデータおよび当該ノードへアクセス可能なノードを示すノードアクセス権限情報を記憶するノードアクセス権限情報記憶部と、データ毎に当該データへアクセス可能なノードを示すデータアクセス権限情報を記憶するデータアクセス権限情報記憶部と、を具備するセキュリティ情報管理装置としてのコンピュータに、ノードが有するデータの変更情報を受け付ける変更情報取得ステップと、前記変更情報取得ステップにて、前記変更情報を取得すると、当該変更情報と、前記データアクセス権限情報とに基づいて、前記ノードアクセス権限情報を更新するノードアクセス権限情報管理ステップと、前記ノードが通信を行うデータ通信システムの構成情報を管理する構成情報管理装置からの、ノードに対して提示可能な情報の問い合わせに対して、当該ノードがアクセス可能な範囲を応答するステップと、を実行させるためのプログラムである。 In addition, a program according to another aspect of the present invention includes a node access authority information storage unit that stores, for each node of a communication network, data included in the node and node access authority information indicating a node accessible to the node, and data A data access authority information storage unit that stores data access authority information indicating a node that can access the data every time, and a change information acquisition that receives data change information of a node in a computer as a security information management device a step at the change information acquiring step acquires the change information, and the change information, on the basis of said data access authority information, and node access right information managing step of updating the node access authority information, the Data communication system in which nodes communicate From configuration information management apparatus for managing configuration information for presentable information query to the node, a program for the node to execute the steps of responding accessible range.

本発明によれば、システム構成情報とアクセス権限情報とを別々に管理するシステムにおいて、システム構成情報の検索を制限することができる。   ADVANTAGE OF THE INVENTION According to this invention, the search of system configuration information can be restrict | limited in the system which manages system configuration information and access authority information separately.

本発明の一実施形態におけるデータ通信システムの構成を示す概略ブロック図である。It is a schematic block diagram which shows the structure of the data communication system in one Embodiment of this invention. 同実施形態におけるレジストリ装置の機能構成を示す概略ブロック図である。It is a schematic block diagram which shows the function structure of the registry apparatus in the embodiment. 同実施形態において構成情報記憶部が記憶するコンポーネント表の例を示す説明図である。It is explanatory drawing which shows the example of the component table which a structure information storage part memorize | stores in the same embodiment. 同実施形態におけるアクセスコントロールマネージャ装置の機能構成を示す概略ブロック図である。It is a schematic block diagram which shows the function structure of the access control manager apparatus in the embodiment. 同実施形態においてコンポーネントアクセス権限情報記憶部が記憶するコンポーネントアクセス権限表の例を示す説明図である。It is explanatory drawing which shows the example of the component access authority table which the component access authority information storage part memorize | stores in the same embodiment. 同実施形態においてポイントアクセス権限情報記憶部が記憶するポイントアクセス権限表の例を示す説明図である。It is explanatory drawing which shows the example of the point access authority table which the point access authority information storage part memorize | stores in the same embodiment. 同実施形態におけるコンポーネント表の更新例を示す説明図である。It is explanatory drawing which shows the example of an update of the component table | surface in the same embodiment. 同実施形態におけるコンポーネントアクセス権限表の更新例を示す説明図である。It is explanatory drawing which shows the example of an update of the component access authority table | surface in the embodiment. 同実施形態においてデータ通信システムが行う処理の例を示すシーケンス図である。It is a sequence diagram which shows the example of the process which a data communication system performs in the embodiment.

以下、図面を参照して、本発明の実施の形態について説明する。なお、以下では、IEEE1888プロトコルに基づく構成のデータ通信システムに本発明を適用する場合を例に説明するが、本発明の適用範囲はこれに限らない。データのメタデータおよびデータの所在情報などの属性を記憶しデータ検索機構を有する様々なシステムに本発明を適用可能である。   Embodiments of the present invention will be described below with reference to the drawings. In the following, a case where the present invention is applied to a data communication system having a configuration based on the IEEE 1888 protocol will be described as an example, but the scope of the present invention is not limited to this. The present invention can be applied to various systems that store attributes such as data metadata and data location information and have a data search mechanism.

図1は、本発明の一実施形態におけるデータ通信システムの構成を示す概略ブロック図である。同図において、データ通信システム1は、レジストリ(Registry)装置11と、アクセスコントロールマネージャ(Access Control Manager;ACM)装置12と、ゲートウェイ(Gateway;GW)装置21と、ストレージ(Storage)装置22と、アプリケーション(Application;APP)23と、センサ機器31と、アクチュエータ機器32と、測定データ33と、加工データ34とを具備する。
また、レジストリ装置11と、アクセスコントロールマネージャ装置12と、ゲートウェイ装置21と、ストレージ装置22と、アプリケーション23とは、通信ネットワーク90を介して通信を行う。センサ機器31やアクチュエータ機器32は、ゲートウェイ装置21に接続している。また、測定データ33や加工データ34は、ストレージ装置22が記憶しているデータである。
FIG. 1 is a schematic block diagram showing a configuration of a data communication system according to an embodiment of the present invention. In FIG. 1, a data communication system 1 includes a registry device 11, an access control manager (ACM) device 12, a gateway (GW) device 21, a storage device 22, An application (APP) 23, a sensor device 31, an actuator device 32, measurement data 33, and processing data 34 are provided.
In addition, the registry device 11, the access control manager device 12, the gateway device 21, the storage device 22, and the application 23 communicate via the communication network 90. The sensor device 31 and the actuator device 32 are connected to the gateway device 21. In addition, the measurement data 33 and the processing data 34 are data stored in the storage device 22.

なお、図1に示す構成は一例であり、本発明の適用範囲はこれに限らない。特に、後述するように、データ通信システム1は、ゲートウェイ装置21、ストレージ装置22、アプリケーション23のいずれか1つ以上を具備していればよい。また、データ通信システム1が具備する、センサ機器31、アクチュエータ機器32、測定データ33、加工データ34の個数は、いずれも任意の個数であってよい。   The configuration shown in FIG. 1 is an example, and the scope of application of the present invention is not limited to this. In particular, as will be described later, the data communication system 1 only needs to include one or more of the gateway device 21, the storage device 22, and the application 23. In addition, the number of the sensor device 31, the actuator device 32, the measurement data 33, and the processed data 34 included in the data communication system 1 may be any number.

通信ネットワーク90は、レジストリ装置11と、アクセスコントロールマネージャ装置12と、ゲートウェイ装置21と、ストレージ装置22と、アプリケーション23との通信を媒介する。通信ネットワーク90として様々な通信ネットワークを用いることができる。例えば、通信ネットワーク90は、インターネット(Internet)であってもよいし、LAN(Local Area Network)であってもよいし、データ通信システム1専用のネットワークであってもよい。   The communication network 90 mediates communication between the registry device 11, the access control manager device 12, the gateway device 21, the storage device 22, and the application 23. Various communication networks can be used as the communication network 90. For example, the communication network 90 may be the Internet, a LAN (Local Area Network), or a network dedicated to the data communication system 1.

ゲートウェイ装置21は、通信ネットワーク90と、センサ機器31やアクチュエータ機器32や他の通信ネットワークとの接続を仲介して、ゲートウェイ機能を提供する装置である。ここでいうゲートウェイ機能は、通信プロトコルの差異を解消する機能である。具体的には、ゲートウェイ装置21は、センサ機器31の測定データを通信ネットワーク90で使用可能なデータに変換する。また、ゲートウェイ装置21は、アクチュエータ機器32に対する動作指令を、アクチュエータ機器32が実行可能なデータに変換する。また、ゲートウェイ装置21は、通信ネットワーク90の通信プロトコルと他のネットワークの通信プロトコルとのプロトコル変換を行う。
ゲートウェイ装置21は、例えばサーバ装置にて構成される。
The gateway device 21 is a device that provides a gateway function through a connection between the communication network 90 and the sensor device 31, the actuator device 32, or another communication network. The gateway function here is a function for eliminating a difference in communication protocols. Specifically, the gateway device 21 converts the measurement data of the sensor device 31 into data that can be used in the communication network 90. Further, the gateway device 21 converts an operation command for the actuator device 32 into data executable by the actuator device 32. Further, the gateway device 21 performs protocol conversion between the communication protocol of the communication network 90 and the communication protocol of another network.
The gateway device 21 is configured by a server device, for example.

ストレージ装置22は、ストレージ機能を提供する。ここでいうストレージ機能は、センサ機器31の測定データや、当該測定データを加工したデータ(加工データ)など、各種データを記憶(蓄積)する機能である。ストレージ装置22は、例えばデータベース機能を有するサーバ装置を用いて構成される。   The storage device 22 provides a storage function. The storage function here is a function for storing (accumulating) various data such as measurement data of the sensor device 31 and data obtained by processing the measurement data (processing data). The storage device 22 is configured using a server device having a database function, for example.

アプリケーション23は、アプリケーション機能を提供する。ここでいうアプリケーション機能は、コンピュータがアプリケーションプログラムを実行することで得られる機能である。特に、アプリケーション23は、例えばセンサ機器31の測定データの見える化(視覚的表示)など、データ通信を伴うアプリケーション機能を提供する。   The application 23 provides an application function. The application function here is a function obtained when the computer executes the application program. In particular, the application 23 provides an application function involving data communication such as visualization (visual display) of measurement data of the sensor device 31.

センサ機器31は、測定を行って測定データを出力する。ここで、測定を行う様々な機器をセンサ機器31として用いることができる。例えば、センサ機器31は、温度センサや電力センサやなどのデジタルセンサまたはアナログセンサであってもよいし、人感センサなどのON/OFFセンサであってもよい。   The sensor device 31 performs measurement and outputs measurement data. Here, various devices that perform measurement can be used as the sensor device 31. For example, the sensor device 31 may be a digital sensor or an analog sensor such as a temperature sensor or a power sensor, or may be an ON / OFF sensor such as a human sensor.

アクチュエータ機器32は、動作指令を受けて動作する。ここで、制御対象となる様々な機器をアクチュエータ機器32として用いることができる。例えば、アクチュエータ機器32は、電源スイッチのようにON/OFF動作を行う機器であってもよいし、空調機器における温度調整機能のように数値制御される機器であってもよい。   The actuator device 32 operates in response to an operation command. Here, various devices to be controlled can be used as the actuator device 32. For example, the actuator device 32 may be a device that performs an ON / OFF operation such as a power switch, or may be a device that is numerically controlled such as a temperature adjustment function in an air conditioning device.

測定データ33は、ストレージ装置22が記憶しているセンサ機器31の測定データである。加工データ34は、ストレージ装置22が記憶している加工データ(センサ機器31の測定データを加工したデータ)である。測定データ33や加工データ34は、ストレージ装置22が記憶するデータの例に該当する。但し、ストレージ装置22が記憶するデータはこれに限らず、例えば、ユーザ入力にて得られたデータや、当該データの加工データをストレージ装置22が記憶するようにしてもよい。   The measurement data 33 is measurement data of the sensor device 31 stored in the storage device 22. The processed data 34 is processed data (data obtained by processing the measurement data of the sensor device 31) stored in the storage device 22. The measurement data 33 and the processing data 34 correspond to examples of data stored in the storage device 22. However, the data stored in the storage device 22 is not limited to this. For example, the storage device 22 may store data obtained by user input or processed data of the data.

以下では、ゲートウェイ機能と、ストレージ機能と、アプリケーション機能とを総称して「コンポーネント」または「コンポーネント20」と表記する。また、「コンポーネント」の表記において、ゲートウェイ機能とゲートウェイ装置と、および、ストレージ機能とストレージ装置とを同視する。従って、ゲートウェイ装置やストレージ装置をコンポーネントとも称する。コンポーネントは、通信ネットワーク90のノードに該当する。
データ通信システム1が具備するコンポーネントの個数は、図1に示す6つに限らず、1つ以上であればよい。
Hereinafter, the gateway function, the storage function, and the application function are collectively referred to as “component” or “component 20”. In the notation of “component”, the gateway function and the gateway device, and the storage function and the storage device are regarded as the same. Accordingly, the gateway device and the storage device are also referred to as components. The component corresponds to a node of the communication network 90.
The number of components included in the data communication system 1 is not limited to six shown in FIG. 1 and may be one or more.

また、以下では、センサ機器の測定データと、アクチュエータ機器への指令としてのデータと、ストレージ装置が記憶しているデータとを総称して「ポイント」または「ポイント30」と表記する。また、「ポイント」の表記において、センサ機器の測定データとセンサ機器と、および、アクチュエータ機器への指令とアクチュエータ機器とを同視する。従って、センサ機器やアクチュエータ機器をポイントとも称する。   In the following, the measurement data of the sensor device, the data as a command to the actuator device, and the data stored in the storage device are collectively referred to as “point” or “point 30”. In the notation of “point”, the measurement data of the sensor device and the sensor device, and the command to the actuator device and the actuator device are identified. Therefore, sensor devices and actuator devices are also referred to as points.

なお、「ポイント」の表記において、同一のソース(源)から得られるデータを同視する。例えば、センサ機器31の測定データと、ストレージ装置22が記憶しているセンサ機器31の過去の測定データなど、1つのセンサ機器から得られる一連の時系列データを同一のポイントと見做す。
データ通信システム1が具備するポイントの個数は、図1に示す7つに限らず任意の個数であってよい。
In addition, in the notation of “point”, data obtained from the same source is identified. For example, a series of time-series data obtained from one sensor device such as measurement data of the sensor device 31 and past measurement data of the sensor device 31 stored in the storage device 22 is regarded as the same point.
The number of points included in the data communication system 1 is not limited to seven shown in FIG. 1 and may be an arbitrary number.

レジストリ装置11は、レジストリ機能を提供する。ここでいうレジストリ機能は、データ通信システム1の構成要素としてのコンポーネントやポイントに関する情報を管理し、コンポーネントに提供する機能である。レジストリ装置11は、例えばサーバ装置にて構成される。
レジストリ装置11は、構成情報管理装置の一例に該当する。
The registry device 11 provides a registry function. The registry function here is a function that manages information about components and points as components of the data communication system 1 and provides the information to the components. The registry device 11 is configured by a server device, for example.
The registry device 11 corresponds to an example of a configuration information management device.

図2は、レジストリ装置11の機能構成を示す概略ブロック図である。同図において、レジストリ装置11は、通信部110と、記憶部120と、制御部130とを具備する。記憶部120は、構成情報記憶部121を具備する。制御部130は、構成情報管理部131と、アクセス可能範囲検出部132と、応答生成部133とを具備する。
通信部110は、通信ネットワーク90に接続して通信を行う。特に、通信部110は、コンポーネントからの、通信ネットワーク90の構成についての問い合わせを取得(受信)する。
FIG. 2 is a schematic block diagram showing a functional configuration of the registry device 11. In the figure, the registry device 11 includes a communication unit 110, a storage unit 120, and a control unit 130. The storage unit 120 includes a configuration information storage unit 121. The control unit 130 includes a configuration information management unit 131, an accessible range detection unit 132, and a response generation unit 133.
The communication unit 110 communicates by connecting to the communication network 90. In particular, the communication unit 110 acquires (receives) an inquiry about the configuration of the communication network 90 from the component.

記憶部120は、レジストリ装置11が具備する記憶デバイスにて構成され、各種データを記憶する。
構成情報記憶部121は、データ通信システム1の構成を示すコンポーネント表を記憶する。構成情報記憶部121は構成情報記憶部の一例に該当し、コンポーネント表は構成情報の一例に該当する。
The storage unit 120 is configured by a storage device provided in the registry device 11 and stores various data.
The configuration information storage unit 121 stores a component table indicating the configuration of the data communication system 1. The configuration information storage unit 121 corresponds to an example of a configuration information storage unit, and the component table corresponds to an example of configuration information.

図3は、構成情報記憶部121が記憶するコンポーネント表の例を示す説明図である。同図に示すコンポーネント表は、コンポーネント表本体T11と、配下ポイント表T12とを有する。コンポーネント表本体T11は、「コンポーネント名」欄と、「リンク」欄とを有している。また、コンポーネント表本体T11の1行が、1つのコンポーネントに対応する。   FIG. 3 is an explanatory diagram illustrating an example of a component table stored in the configuration information storage unit 121. The component table shown in the figure has a component table body T11 and a subordinate point table T12. The component table body T11 has a “component name” column and a “link” column. One row of the component table main body T11 corresponds to one component.

「コンポーネント名」欄は、コンポーネント毎に付されているコンポーネント名を格納する。コンポーネント名は、コンポーネントの識別情報の一例に該当する。「リンク」欄は、コンポーネント表本体の行から配下ポイント表へのリンクを示す欄である。当該リンクは、コンポーネント表本体の行から高々1つの配下ポイント表へ辿れるものであればよく、様々な実装方法を用いることができる。例えば、配下ポイント表にコンポーネント名を付して、コンポーネント名の一致にてコンポーネント表本体の行と配下ポイント表との対応関係を示すようにしてもよい。この場合、コンポーネント表本体に「リンク」欄を設けなくてもよい。
なお、コンポーネント表本体T11は、コンポーネントの属性情報などコンポーネントに関連する情報をさらに格納する。
The “component name” column stores the component name assigned to each component. The component name corresponds to an example of component identification information. The “link” column is a column indicating a link from the row of the component table body to the subordinate point table. The link need only be traced from the row of the component table main body to at most one subordinate point table, and various mounting methods can be used. For example, a component name may be assigned to the subordinate point table, and the correspondence between the row of the component table main body and the subordinate point table may be indicated by matching the component name. In this case, it is not necessary to provide a “link” column in the component table main body.
The component table body T11 further stores information related to the component such as component attribute information.

配下ポイント表T12は、コンポーネントの配下にあるポイントに関する情報を示す。ここで、データがノードの配下にあるとは、当該ノードが当該データを出力(提供)すること、または、当該ノードが当該データを制御指令のデータとして受け付けることである。従って、ポイントがコンポーネントの配下にあるとは、当該コンポーネントがデータとしての当該ポイントを出力すること、または、当該コンポーネントが、制御指令のデータとしての当該ポイントを受け付けることである。   The subordinate point table T12 indicates information regarding points under the component. Here, the data being under the node means that the node outputs (provides) the data, or the node accepts the data as control command data. Therefore, the point being under the component means that the component outputs the point as data, or the component receives the point as data of a control command.

配下ポイント表T12は、「KEY」欄と、「TIME」欄とを有している。
「KEY」欄は、コンポーネントの配下にあるポイントの識別情報を格納する。図3の例では、ゲートウェイ1の配下には、ポイントaとポイントbとがある。また、ストレージ2の配下には、ポイントbがある。
The subordinate point table T12 has a “KEY” column and a “TIME” column.
The “KEY” column stores identification information of points under the component. In the example of FIG. 3, there are a point a and a point b under the gateway 1. Further, there is a point b under the storage 2.

「TIME」欄は、ポイントにおけるデータが得られた時刻を示す。例えば、欄C11の値「11:00〜」は、ストレージ1がポイントaにおける11時以降のデータを格納していることを示す。
「TIME」欄は、ポイントに関する情報の一例である。構成情報記憶部121が、配下ポイント表T12において、「TIME」欄に加えて、あるいは「TIME」欄に代えて、ポイントに関する他の情報を記憶するようにしてもよい。
なお、コンポーネントが配下ポイントを有していない場合や、配下のポイントを登録していない場合は、当該コンポーネントに対応する配下ポイント表は設けられない。
The “TIME” column indicates the time when the data at the point is obtained. For example, the value “11:00” in the column C11 indicates that the storage 1 stores data after 11:00 at the point a.
The “TIME” column is an example of information regarding points. In the subordinate point table T12, the configuration information storage unit 121 may store other information related to points in addition to the “TIME” column or instead of the “TIME” column.
If a component does not have subordinate points or if no subordinate points are registered, a subordinate point table corresponding to the component is not provided.

制御部130は、レジストリ装置11の各部を制御して各種機能を実行する。制御部130は、例えば、レジストリ装置11の具備するCPU(Central Processing Unit;中央処理装置)が記憶部120からプログラムを読み出して実行することで構成される。
構成情報管理部131は、記憶部120の記憶するコンポーネント表を管理する。特に、構成情報管理部131は、データ通信システム1の構成についての問い合わせを通信部110が受信すると、問い合わせに応じた情報をコンポーネント表から検索する。
The control unit 130 controls each unit of the registry device 11 and executes various functions. For example, the control unit 130 is configured by a CPU (Central Processing Unit) included in the registry device 11 reading out a program from the storage unit 120 and executing the program.
The configuration information management unit 131 manages the component table stored in the storage unit 120. In particular, when the communication unit 110 receives an inquiry about the configuration of the data communication system 1, the configuration information management unit 131 searches the component table for information corresponding to the inquiry.

また、構成情報管理部131は、コンポーネント表を更新すると更新情報を生成し、通信部110を介してアクセスコントロールマネージャ装置12へ送信する。例えば、構成情報管理部131は、配下ポイント表を更新すると、コンポーネントが有するポイントの変更情報を生成し、通信部110を介してアクセスコントロールマネージャ装置12へ送信する。
構成情報管理部131は、検索部の一例に該当する。
Further, when the component table is updated, the configuration information management unit 131 generates update information and transmits the update information to the access control manager device 12 via the communication unit 110. For example, when the subordinate point table is updated, the configuration information management unit 131 generates point change information included in the component and transmits it to the access control manager device 12 via the communication unit 110.
The configuration information management unit 131 corresponds to an example of a search unit.

アクセス可能範囲検出部132は、データ通信システム1の構成についての問い合わせを通信部110が受信すると、問い合わせの送信元のコンポーネントがアクセス可能な範囲を示す情報を取得する。具体的には、アクセス可能範囲検出部132は、当該コンポーネントがアクセス可能な範囲をアクセスコントロールマネージャ装置12に問い合わせる。   When the communication unit 110 receives an inquiry about the configuration of the data communication system 1, the accessible range detection unit 132 acquires information indicating a range that can be accessed by the component that transmitted the inquiry. Specifically, the accessible range detection unit 132 inquires of the access control manager device 12 about the accessible range of the component.

応答生成部133は、データ通信システム1の構成についてのコンポーネントからの問い合わせに対する応答として、構成情報管理部131の検索結果のうち、問い合わせの送信元のノードがアクセス可能な範囲で応答を生成し、通信部110を介して応答(送信)する。
応答生成部133は、応答部の一例に該当する。
The response generation unit 133 generates a response as a response to the inquiry from the component regarding the configuration of the data communication system 1 within a range that the inquiry transmission source node can access among the search results of the configuration information management unit 131. A response (transmission) is made via the communication unit 110.
The response generation unit 133 corresponds to an example of a response unit.

アクセスコントロールマネージャ装置12は、コンポーネント毎に当該コンポーネントがアクセス可能な範囲を示すセキュリティ情報を管理する。特に、アクセスコントロールマネージャ装置12は、コンポーネントに対して提示可能な情報の問い合わせレジストリ装置11から受けると、当該コンポーネントがアクセス可能な範囲を応答する。
アクセスコントロールマネージャ装置12は、セキュリティ情報管理装置の一例に該当する。
The access control manager device 12 manages security information indicating the accessible range for each component. In particular, when the access control manager device 12 receives from the inquiry registry device 11 for information that can be presented to a component, the access control manager device 12 responds with a range accessible by the component.
The access control manager device 12 corresponds to an example of a security information management device.

図4は、アクセスコントロールマネージャ装置12の機能構成を示す概略ブロック図である。同図において、アクセスコントロールマネージャ装置12は、通信部210と、記憶部220と、制御部230とを具備する。記憶部220は、コンポーネントアクセス権限情報記憶部221と、ポイントアクセス権限情報記憶部222とを具備する。制御部230は、コンポーネントアクセス権限情報管理部231と、ポイントアクセス権限情報管理部232とを具備する。   FIG. 4 is a schematic block diagram showing a functional configuration of the access control manager device 12. In FIG. 2, the access control manager device 12 includes a communication unit 210, a storage unit 220, and a control unit 230. The storage unit 220 includes a component access authority information storage unit 221 and a point access authority information storage unit 222. The control unit 230 includes a component access authority information management unit 231 and a point access authority information management unit 232.

通信部210は、通信ネットワーク90に接続して通信を行う。特に、通信部210は、レジストリ装置11がコンポーネント表を更新した際に生成して送信する更新情報を受信する。例えば、通信部210は、レジストリ装置11が配下ポイント表を更新した際に送信する、コンポーネントが有するポイントの変更情報を受け付ける。通信部210は、変更情報取得部の一例に該当する。   The communication unit 210 performs communication by connecting to the communication network 90. In particular, the communication unit 210 receives update information that is generated and transmitted when the registry device 11 updates the component table. For example, the communication unit 210 receives point change information of a component that is transmitted when the registry device 11 updates the subordinate point table. The communication unit 210 corresponds to an example of a change information acquisition unit.

記憶部220は、アクセスコントロールマネージャ装置12が具備する記憶デバイスにて構成され、各種データを記憶する。
コンポーネントアクセス権限情報記憶部221は、コンポーネント毎に当該コンポーネントが有するポイントおよび当該コンポーネントへアクセス可能なコンポーネントを示すコンポーネントアクセス権限表を記憶する。コンポーネントアクセス権限情報記憶部221はノードアクセス権限情報記憶部の一例に該当し、コンポーネントアクセス権限表は、ノードアクセス権限情報の一例に該当する。
The storage unit 220 is configured by a storage device included in the access control manager apparatus 12 and stores various data.
The component access authority information storage unit 221 stores, for each component, a component access authority table indicating points of the component and components that can access the component. The component access authority information storage unit 221 corresponds to an example of a node access authority information storage unit, and the component access authority table corresponds to an example of node access authority information.

図5は、コンポーネントアクセス権限情報記憶部221が記憶するコンポーネントアクセス権限表の例を示す説明図である。同図に示すコンポーネントアクセス権限表は、コンポーネントアクセス権限表本体T21と、配下ポイントアクセス権限表T22とを有する。コンポーネントアクセス権限表本体T21は、「コンポーネント名」欄と、「REGISTRATION」欄と、「リンク」欄とを有している。また、コンポーネントアクセス権限表本体T21の1行が、1つのコンポーネントに対応する。   FIG. 5 is an explanatory diagram illustrating an example of a component access authority table stored in the component access authority information storage unit 221. The component access authority table shown in the figure has a component access authority table body T21 and a subordinate point access authority table T22. The component access authority table main body T21 has a “component name” column, a “REGISTRATION” column, and a “link” column. Further, one row of the component access authority table main body T21 corresponds to one component.

「コンポーネント名」欄は、コンポーネント毎に付されているコンポーネント名を格納する。コンポーネント名は、コンポーネントの識別情報の一例に該当する。
「REGISTRATION」欄は、コンポーネント名の示すコンポーネントについてREGISTRATION手順を実行可能なコンポーネントを示す。ここで、REGISTRATION手順とは、レジストリ装置11が有している通信ネットワーク90の構成情報(例えばコンポーネント表)を更新する手順である。
The “component name” column stores the component name assigned to each component. The component name corresponds to an example of component identification information.
The “REGISTRATION” column indicates components that can execute the REGISRATION procedure for the component indicated by the component name. Here, the REGISTRATION procedure is a procedure for updating configuration information (for example, a component table) of the communication network 90 included in the registry device 11.

「リンク」欄は、コンポーネントアクセス権限表本体の行から配下ポイントアクセス権限表へのリンクを示す欄である。当該リンクは、コンポーネントアクセス権限表本体の行から高々1つの配下ポイントアクセス権限表へ辿れるものであればよく、様々な実装方法を用いることができる。例えば、配下ポイントアクセス権限表にコンポーネント名を付して、コンポーネント名の一致にてコンポーネントアクセス権限表本体の行と配下ポイントアクセス権限表との対応関係を示すようにしてもよい。この場合、コンポーネントアクセス権限表本体に「リンク」欄を設けなくてもよい。   The “link” column is a column indicating a link from the row of the component access authority table main body to the subordinate point access authority table. The link only needs to be traced from the row of the component access authority table main body to at most one subordinate point access authority table, and various mounting methods can be used. For example, a component name may be assigned to the subordinate point access authority table, and the correspondence between the row of the component access authority table main body and the subordinate point access authority table may be indicated by matching the component name. In this case, it is not necessary to provide a “link” column in the component access authority table main body.

配下ポイントアクセス権限表T22は、コンポーネントの配下にあるポイントへのアクセス権限を有するコンポーネントを示す(ホワイトリスト)。あるいは、配下ポイントアクセス権限表T22が、コンポーネントの配下にあるポイントへのアクセス権限を有していないコンポーネントを示す(ブラックリスト)ようにしてもよい。   The subordinate point access authority table T22 shows components having the authority to access points under the component (white list). Alternatively, the subordinate point access authority table T22 may indicate a component that does not have the access authority to the points under the component (black list).

配下ポイントアクセス権限表T22は、「KEY」欄と、「FETCH」欄と、「WRITE」欄と、「TRAP」欄とを有している。
「KEY」欄は、コンポーネントの配下にあるポイントの識別情報を格納する。
The subordinate point access authority table T22 has a “KEY” column, a “FETCH” column, a “WRITE” column, and a “TRAP” column.
The “KEY” column stores identification information of points under the component.

「FETCH」欄は、コンポーネントに対してFETCH手順を実行可能なコンポーネントを示す。ここで、FETCH手順は、あるコンポーネントが別のコンポーネントに存在するデータを取得する手順である。
「WRITE」欄は、コンポーネントに対してWRITE手順を実行可能なコンポーネントを示す。ここで、WRITE手順は、あるコンポーネントから別のコンポーネントに対して、能動的にデータを送りつける手順である。
「TRAP」欄は、コンポーネントに対してTRAP手順を実行可能なコンポーネントを示す。ここで、TRAP手順は、値やタイムスタンプの変化を、事前にリクエストのあった他のコンポーネントに通知する手順である。
「FETCH」欄と「WRITE」欄と「TRAP」欄とは、コンポーネント間の通信手順に応じてアクセス権限を示す欄の一例である。コンポーネントアクセス権限情報記憶部221が、「FETCH」欄や「WRITE」欄や「TRAP」欄に加えて、あるいは代えて、他のアクセス方法についてのアクセス権限を示す情報を記憶するようにしてもよい。
The “FETCH” column indicates a component capable of executing the FETCH procedure for the component. Here, the FETCH procedure is a procedure for acquiring data in which a certain component exists in another component.
The “WRITE” column indicates a component that can execute the WRITE procedure for the component. Here, the WRITE procedure is a procedure for actively sending data from one component to another component.
The “TRAP” column indicates a component that can execute the TRAP procedure for the component. Here, the TRAP procedure is a procedure for notifying other components requested in advance of changes in values and time stamps.
The “FETCH” column, the “WRITE” column, and the “TRAP” column are examples of columns indicating access authority according to the communication procedure between components. The component access authority information storage unit 221 may store information indicating access authority for other access methods in addition to or instead of the “FETCH” field, the “WRITE” field, and the “TRAP” field. .

なお、コンポーネントが配下ポイントを有していない場合や、配下のポイントを登録していない場合は、当該コンポーネントに対応する配下ポイントアクセス権限表は設けられない。
なお、コンポーネントアクセス権限情報記憶部221が、コンポーネントの有するポイントや当該コンポーネントへのアクセス権限を示す情報を記憶する形式として、コンポーネントアクセス権限表のような表形式に限らず、様々な形式を用いることができる。
When a component does not have a subordinate point or when a subordinate point is not registered, a subordinate point access authority table corresponding to the component is not provided.
It should be noted that the component access authority information storage unit 221 uses various formats, not limited to the table format such as the component access authority table, as the format for storing the points of the component and the information indicating the access authority to the component. Can do.

ポイントアクセス権限情報記憶部222は、ポイント毎に当該ポイントへアクセス可能なコンポーネントを示すポイントアクセス権限表を記憶する。ポイントアクセス権限情報記憶部222は、データアクセス権限情報記憶部の一例に該当し、ポイントアクセス権限表は、データアクセス権限情報の一例に該当する。   The point access authority information storage unit 222 stores a point access authority table indicating components that can access the point for each point. The point access authority information storage unit 222 corresponds to an example of a data access authority information storage unit, and the point access authority table corresponds to an example of data access authority information.

図6は、ポイントアクセス権限情報記憶部222が記憶するポイントアクセス権限表の例を示す説明図である。同図のポイントアクセス権限表は、「ポイントID」欄と、「REGISTRATION」欄と、「LOOKUP」欄とを有する。また、ポイントアクセス権限表の1行が、1つのポイントに対応する。   FIG. 6 is an explanatory diagram showing an example of a point access authority table stored in the point access authority information storage unit 222. The point access authority table shown in the figure has a “point ID” column, a “REGISTRATION” column, and a “LOOKUP” column. One row of the point access authority table corresponds to one point.

「ポイントID」欄は、ポイント毎に付される識別情報であるポイントIDを格納する。
「REGISTRATION」欄は、レジストリ装置11が有しているポイントに関する情報(ポイントのメタ情報)を登録したコンポーネントを示す情報である。例えば、レジストリ装置11は、ポイントに関する情報を、IEEE1888におけるポイント表の形式で有しており、「REGISTRATION」欄には、ポイント表の該当行を登録したコンポーネントが示される。
「LOOKUP」欄は、ポイントのLOOKUP手順を実行可能なコンポーネントを示す。ここで、ポイントのLOOKUP手順は、レジストリ装置11が有しているポイントに関する情報(例えばポイント表)の検索を行う手順である。
The “point ID” column stores a point ID that is identification information attached to each point.
The “REGISTRATION” column is information indicating a component in which information about points (meta information of points) possessed by the registry device 11 is registered. For example, the registry device 11 has information on points in the form of a point table in IEEE 1888, and the “REGISTRATION” column indicates the component in which the corresponding row of the point table is registered.
The “LOOKUP” column indicates a component that can execute the point LOOKUP procedure. Here, the point LOOKUP procedure is a procedure for searching for information (for example, a point table) relating to points that the registry device 11 has.

制御部230は、アクセスコントロールマネージャ装置12の各部を制御して各種機能を実行する。制御部230は、例えば、アクセスコントロールマネージャ装置12の具備するCPUが記憶部220からプログラムを読み出して実行することで構成される。
コンポーネントアクセス権限情報管理部231は、コンポーネントアクセス権限情報記憶部221の記憶するコンポーネントアクセス権限表を管理する。例えば、コンポーネントアクセス権限情報管理部231は、コンポーネントアクセス権限表の更新や、コンポーネントアクセス権限表におけるデータの検索を行う。特に、通信部210が、コンポーネントが有するポイントの変更情報をレジストリ装置11から受信すると、コンポーネントアクセス権限情報管理部231は、当該変更情報と、ポイントアクセス権限表とに基づいて、コンポーネントアクセス権限表を更新する。
コンポーネントアクセス権限情報管理部231は、ノードアクセス権限情報管理部の一例に該当する。
The control unit 230 controls each unit of the access control manager device 12 to execute various functions. The control unit 230 is configured by, for example, the CPU included in the access control manager device 12 reading a program from the storage unit 220 and executing it.
The component access authority information management unit 231 manages the component access authority table stored in the component access authority information storage unit 221. For example, the component access authority information management unit 231 updates the component access authority table and searches for data in the component access authority table. In particular, when the communication unit 210 receives point change information of a component from the registry device 11, the component access authority information management unit 231 generates a component access authority table based on the change information and the point access authority table. Update.
The component access authority information management unit 231 corresponds to an example of a node access authority information management unit.

ポイントアクセス権限情報管理部232は、ポイントアクセス権限情報記憶部222の記憶するポイントアクセス権限表を管理する。例えば、ポイントアクセス権限情報管理部232は、ポイントアクセス権限表の更新や、ポイントアクセス権限表におけるデータの検索を行う。
なお、レジストリ装置11とアクセスコントロールマネージャ装置12とで、通信ネットワーク90の複数のコンポーネントがデータ通信を行うデータ通信システム1を管理する管理システムを構成する。
The point access authority information management unit 232 manages the point access authority table stored in the point access authority information storage unit 222. For example, the point access authority information management unit 232 updates the point access authority table and searches for data in the point access authority table.
The registry device 11 and the access control manager device 12 constitute a management system that manages the data communication system 1 in which a plurality of components of the communication network 90 perform data communication.

次に、図7および図8を参照して、コンポーネントアクセス権限情報管理部231が行うコンポーネントアクセス権限表の更新について説明する。
図7は、コンポーネント表の更新例を示す説明図である。図7のコンポーネント表では、図3のコンポーネント表から配下ポイント表T32が追加されている。
Next, update of the component access authority table performed by the component access authority information management unit 231 will be described with reference to FIGS. 7 and 8.
FIG. 7 is an explanatory diagram of an example of updating the component table. In the component table of FIG. 7, a subordinate point table T32 is added from the component table of FIG.

ポイントbが新たにストレージ2の配下になった際、コンポーネントのREGISTRATION手続にて通知を受けたレジストリ装置11の構成情報管理部131は、図7のように配下ポイント表を追加することで、ストレージ2の配下のポイントbを登録する。
さらに、構成情報管理部131は、ポイントbがストレージ2の配下になったことを示す更新情報を生成し、通信部110を介してアクセスコントロールマネージャ装置12へ送信する。
アクセスコントロールマネージャ装置12では、通信部210が更新情報を受信すると、コンポーネントアクセス権限情報管理部231が、コンポーネントアクセス権限表を更新する。
When the point b is newly subordinated to the storage 2, the configuration information management unit 131 of the registry device 11 that is notified in the component REGISTERATION procedure adds the subordinate point table as shown in FIG. The point b under 2 is registered.
Furthermore, the configuration information management unit 131 generates update information indicating that the point b is under the storage 2 and transmits the update information to the access control manager device 12 via the communication unit 110.
In the access control manager device 12, when the communication unit 210 receives the update information, the component access authority information management unit 231 updates the component access authority table.

図8は、コンポーネントアクセス権限表の更新例を示す説明図である。図8のコンポーネントアクセス権限表では、図5のコンポーネントアクセス権限表から、配下ポイントアクセス権限表T42が追加されている。
ポイントbがストレージ2の配下になったことが更新情報にて示されるので、コンポーネントアクセス権限情報管理部231は、まず、ストレージ2の配下ポイントアクセス権限表に、ポイントbの行を追加する。図5の例ではストレージ2の配下ポイントアクセス権限表が無かったため、図8の例において、コンポーネントアクセス権限情報管理部231は、新たにストレージ2の配下ポイントアクセス権限表を生成し、ポイントbの行を設けている。
FIG. 8 is an explanatory diagram of an example of updating the component access authority table. In the component access authority table of FIG. 8, a subordinate point access authority table T42 is added to the component access authority table of FIG.
Since the update information indicates that the point b has been subordinated to the storage 2, the component access authority information management unit 231 first adds the row of the point b to the subordinate point access authority table of the storage 2. In the example of FIG. 5, since there is no subordinate point access authority table of the storage 2, in the example of FIG. 8, the component access authority information management unit 231 newly generates a subordinate point access authority table of the storage 2, and the row of the point b Is provided.

次に、コンポーネントアクセス権限情報管理部231は、ポイントアクセス権限表を参照して、「FETCH」欄、「WRITE」欄、「TRAP」欄といった、コンポーネント間通信で使用される手順におけるアクセス権限を示す欄にコンポーネント名を書き込む。図6のポイントアクセス権限表を参照すると、ポイントbの行の「LOOKUP」欄に、ゲートウェイ1が示されている。そこで、コンポーネントアクセス権限情報管理部231は、配下ポイントアクセス権限表の新たに生成した行の「FETCH」欄や「WRITE」欄や「TRAP」欄に、ゲートウェイ1を書き込んでいる。   Next, the component access authority information management unit 231 refers to the point access authority table and indicates the access authority in the procedure used in the inter-component communication such as the “FETCH” field, the “WRITE” field, and the “TRAP” field. Write the component name in the field. Referring to the point access authority table of FIG. 6, the gateway 1 is shown in the “LOOKUP” column in the row of point b. Therefore, the component access authority information management unit 231 writes the gateway 1 in the “FETCH” field, “WRITE” field, and “TRAP” field of the newly generated row of the subordinate point access authority table.

ここで、LOOKUP手順による検索権限を与えられているコンポーネントには、FETCHやWRITEにてデータをやり取りする権限を与えてもよいと考えられる。そこで、コンポーネントアクセス権限情報管理部231は、ポイントアクセス権限表の「LOOKUP」欄に示されているコンポーネント名を、配下ポイントアクセス権限表の新たに生成した行の「FETCH」欄や「WRITE」欄や「TRAP」欄に書き込む。   Here, it is considered that a component to which search authority by the LOOKUP procedure is given may be given authority to exchange data by FETCH or WRITE. Therefore, the component access authority information management unit 231 uses the component name shown in the “LOOKUP” field of the point access authority table as the “FETCH” field or “WRITE” field in the newly generated row of the subordinate point access authority table. Write in the “TRAP” field.

次に、図9を参照して、データ通信システム1の動作について説明する。
図9は、データ通信システム1が行う処理の例を示すシーケンス図である。同図のシーケンスS111〜S117は、レジストリの有するコンポーネント表を更新する処理手順の例を示している。
シーケンスS111において、コンポーネントBは、レジストリに対してREGISTRATION手順にて、レジストリの有するコンポーネント表の更新を要求している。
Next, the operation of the data communication system 1 will be described with reference to FIG.
FIG. 9 is a sequence diagram illustrating an example of processing performed by the data communication system 1. Sequences S111 to S117 in the figure show examples of processing procedures for updating the component table of the registry.
In sequence S <b> 111, the component B requests the registry to update the component table in the registry using the REGISTERATION procedure.

要求を受けたレジストリは、シーケンスS112において、更新要求箇所へのコンポーネントBのアクセス可否を、アクセスコントロールマネージャに問い合わせている。
そして、シーケンスS113において、アクセスコントロールマネージャは、アクセス可否を応答している。図9の例では、アクセスコントロールマネージャは、アクセス可能と応答している。
In step S112, the registry that has received the request inquires of the access control manager whether or not the component B can access the update request location.
In sequence S113, the access control manager responds whether access is possible. In the example of FIG. 9, the access control manager responds that access is possible.

応答を受けたレジストリは、シーケンスS114において、REGISTRATIONに従って、コンポーネント表を更新している。
また、レジストリは、シーケンスS115において、REGISTRATION手続の結果をコンポーネントBに通知している。図9の例では、REGISTRATIONに成功したことを通知している。また、レジストリは、シーケンスS116において、コンポーネント表への変更内容を、アクセスコントロールマネージャへ通知している。
通知を受けたアクセスコントロールマネージャはシーケンスS117において、コンポーネントアクセス権限表を更新している。
The registry that has received the response updates the component table in accordance with REGISTRATION in sequence S114.
Further, the registry notifies the component B of the result of the REGISTRATION procedure in sequence S115. In the example of FIG. 9, it is notified that the REGISTERATION is successful. Further, the registry notifies the access control manager of the change contents to the component table in sequence S116.
The access control manager that has received the notification updates the component access authority table in sequence S117.

シーケンスS121〜S124は、コンポーネントまたはポイントの情報の問い合わせに対する処理手順の例を示している。
シーケンスS121において、コンポーネントAは、LOOKUP手順にて、コンポーネントまたはポイントの情報をレジストリに問い合わせている。
問い合わせを受けたレジストリは、シーケンスS122において、コンポーネントAがアクセス可能な範囲をアクセスコントロールマネージャに問い合わせている。
そして、アクセスコントロールマネージャは、シーケンスS123において、コンポーネントAがアクセス可能な範囲を応答している。
シーケンスS124では、レジストリは、コンポーネントAが参照可能な範囲でLOOKUP手順による問い合わせに応答している。
Sequences S <b> 121 to S <b> 124 show an example of a processing procedure for an inquiry about component or point information.
In sequence S121, the component A inquires of the registry about the component or point information in the LOOKUP procedure.
In step S122, the registry that has received the inquiry inquires the access control manager about the accessible range of the component A.
In step S123, the access control manager responds with a range accessible by the component A.
In sequence S124, the registry responds to the inquiry by the LOOKUP procedure within a range in which the component A can be referred to.

シーケンスS131〜S134は、FETCHやWRITEやTRAPなど、コンポーネント間の通信の処理手順の例を示している。
シーケンスS131において、コンポーネントAは、コンポーネントBに対して、FETCHやWRITEやTRAPなど、コンポーネントBにアクセスしている。
アクセスを受けたコンポーネントBは、シーケンスS132において、コンポーネントAがコンポーネントBへのアクセス権限を有するか否かを、アクセスコントロールマネージャに問い合わせている。
Sequences S131 to S134 show examples of processing procedures for communication between components such as FETCH, WRITE, and TRAP.
In sequence S131, component A accesses component B such as FETCH, WRITE, and TRAP with respect to component B.
In step S132, the component B that has received access makes an inquiry to the access control manager as to whether or not the component A has the authority to access the component B.

問い合わせを受けたアクセスコントロールマネージャは、シーケンスS133において、アクセスの可否を応答している。
その際、アクセスコントロールマネージャは、自らの有する情報の構成を維持した情報をレジストリに返す。例えば、アクセスコントロールマネージャは、図5の配下ポイントアクセス権限表T22のように、表形式を維持した情報をレジストリに返す。
The access control manager that has received the inquiry responds whether or not access is possible in sequence S133.
At this time, the access control manager returns information maintaining the configuration of the information it has to the registry. For example, the access control manager returns information maintaining the table format to the registry as in the subordinate point access authority table T22 of FIG.

これは、同一のポイントが複数存在する場合に、レジストリに問い合わせを行ったコンポーネントに対して、当該コンポーネントがアクセス可能なポイントのみを応答するためである。
例えば、同一のポイントXの情報がコンポーネントBとコンポーネントCとで管理されており、コンポーネントAはコンポーネントBの情報のみアクセス可能である場合、レジストリは、コンポーネントAに対して、コンポーネントBがポイントXを持っていることは通知するが、コンポーネントCがポイントXを持っていることは通知しない。
かかる区別を可能にするために、アクセスコントロールマネージャはレジストリからの問い合わせに対し、アクセス可能なコンポーネント情報と配下のポイント情報の組み合わせを通知する。
This is because, when there are a plurality of the same points, only the points that can be accessed by the component are returned to the component that inquired the registry.
For example, when the information of the same point X is managed by the component B and the component C, and the component A can access only the information of the component B, the registry indicates that the component B has the point X for the component A. Notify that it has, but not notify that component C has point X.
In order to enable such distinction, the access control manager notifies the inquiry from the registry of a combination of accessible component information and subordinate point information.

シーケンスS134において、コンポーネントBは、アクセスコントロールマネージャからの応答に従ってコンポーネントAに応答する。アクセスコントロールマネージャがアクセス権限なしと応答した場合は、コンポーネントBは、コンポーネントAに対してアクセスできない旨を応答する。   In sequence S134, the component B responds to the component A according to the response from the access control manager. If the access control manager responds that there is no access authority, component B responds that component A cannot be accessed.

以上のように、アクセスコントロールマネージャ装置12は、レジストリ装置11からの、コンポーネントに対して提示可能な情報の問い合わせに対して、当該コンポーネントがアクセス可能な範囲を応答する。
これにより、レジストリ装置11は、コンポーネントからのシステム構成情報の検索を、問い合わせ元のコンポーネントのアクセス権限に応じて制限することができ、セキュリティを向上させることができる。例えば、機器に関する情報を秘匿することで、当該機器に対する不正アクセスのおそれを低減させ得る。また、機器の存在自体を秘匿することで、当該機器に対する攻撃のおそれを低減させ得る。
As described above, the access control manager device 12 responds to the inquiry about the information that can be presented to the component from the registry device 11, and returns a range in which the component can be accessed.
Thereby, the registry device 11 can restrict the search of the system configuration information from the component according to the access authority of the inquiry source component, and can improve the security. For example, by concealing information about a device, the risk of unauthorized access to the device can be reduced. Further, by concealing the presence of the device itself, the risk of an attack on the device can be reduced.

また、アクセスコントロールマネージャ装置12において、通信部210が、コンポーネントの配下のポイントの変更情報を受け付けると、コンポーネントアクセス権限情報管理部231は、当該変更情報と、ポイントアクセス権限表とに基づいて、コンポーネントアクセス権限表の配下ポイントアクセス権限表を更新する。
このように、アクセスコントロールマネージャ装置12は、ポイントに関するアクセス権限の情報を、コンポーネントの配下のポイントに関するアクセス権限の情報の更新に用いることで、コンポーネントの配下のポイントに関するアクセス権限の情報を自動的に更新することができる。
Further, in the access control manager device 12, when the communication unit 210 receives the change information of the points under the component, the component access authority information management unit 231 uses the component access authority table based on the change information and the point access authority table. Update the subordinate point access authority table in the access authority table.
In this way, the access control manager device 12 automatically uses the access authority information about the points under the component by using the access authority information about the points to update the access authority information about the points under the component. Can be updated.

また、レジストリ装置11がコンポーネント表を更新した際に、アクセスコントロールマネージャ装置12に更新情報を送信することで、レジストリ装置11とアクセスコントロールマネージャ装置12とが連携して情報の更新を行うことができる。これにより、レジストリ装置11が有する通信ネットワーク90の構成の情報と、アクセスコントロールマネージャ装置12が有するアクセス権限の情報との不整合を回避することができる。   Further, when the registry device 11 updates the component table, the update information is transmitted to the access control manager device 12, so that the registry device 11 and the access control manager device 12 can update the information in cooperation. . Accordingly, inconsistency between the configuration information of the communication network 90 included in the registry device 11 and the access authority information included in the access control manager device 12 can be avoided.

また、アクセスコントロールマネージャ装置12は、レジストリ装置11が使用するコンポーネント表やポイント表に属性(アクセス権限情報を示す欄)を追加した、アクセス権限情報を用いるので、アクセス権限情報を生成する者は、既存の情報を用いて容易に生成することができる。
なお、以上では、ポイントへのアクセス権限の情報に基づいて、コンポーネントへのアクセス権限の情報を更新する場合を例に説明したが、コンポーネントへのアクセス権限の情報に基づいて、ポイントへのアクセス権限の情報を更新することも可能である。
In addition, since the access control manager device 12 uses access authority information in which an attribute (a column indicating access authority information) is added to the component table or point table used by the registry device 11, the person who generates the access authority information It can be easily generated using existing information.
In the above description, the case of updating the access authority information to the component based on the access authority information to the point has been described as an example. However, the access authority to the point based on the access authority information to the component has been described. It is also possible to update the information.

なお、レジストリ装置11やアクセスコントロールマネージャ装置12の全部または一部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することで各部の処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
A program for realizing all or part of the functions of the registry device 11 and the access control manager device 12 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into a computer system. The processing of each unit may be performed by executing. Here, the “computer system” includes an OS and hardware such as peripheral devices.
Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW system is used.
The “computer-readable recording medium” refers to a storage device such as a flexible medium, a magneto-optical disk, a portable medium such as a ROM and a CD-ROM, and a hard disk incorporated in a computer system. Furthermore, the “computer-readable recording medium” dynamically holds a program for a short time like a communication line when transmitting a program via a network such as the Internet or a communication line such as a telephone line. In this case, a volatile memory in a computer system serving as a server or a client in that case, and a program that holds a program for a certain period of time are also included. The program may be a program for realizing a part of the functions described above, and may be a program capable of realizing the functions described above in combination with a program already recorded in a computer system.

以上、本発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design changes and the like without departing from the gist of the present invention.

1 データ通信システム
11 レジストリ装置
12 アクセスコントロールマネージャ装置
21 ゲートウェイ装置
22 ストレージ装置
23 アプリケーション
31 センサ機器
32 アクチュエータ機器
33 測定データ
34 加工データ
90 通信ネットワーク
110、210 通信部
120、220 記憶部
121 構成情報記憶部
130、230 制御部
131 構成情報管理部
132 アクセス可能範囲検出部
133 応答生成部
221 コンポーネントアクセス権限情報記憶部
222 ポイントアクセス権限情報記憶部
231 コンポーネントアクセス権限情報管理部
232 ポイントアクセス権限情報管理部
DESCRIPTION OF SYMBOLS 1 Data communication system 11 Registry apparatus 12 Access control manager apparatus 21 Gateway apparatus 22 Storage apparatus 23 Application 31 Sensor apparatus 32 Actuator apparatus 33 Measurement data 34 Processed data 90 Communication network 110, 210 Communication part 120, 220 Storage part 121 Configuration information storage part 130, 230 Control unit 131 Configuration information management unit 132 Accessible range detection unit 133 Response generation unit 221 Component access authority information storage unit 222 Point access authority information storage unit 231 Component access authority information management unit 232 Point access authority information management unit

Claims (6)

通信ネットワークの複数のノードがデータ通信を行うデータ通信システムを管理する管理システムであって、
前記データ通信システムの構成情報を管理する構成情報管理装置と、
前記通信ネットワークのノード毎に当該ノードがアクセス可能な範囲を示すセキュリティ情報を管理するセキュリティ情報管理装置とを具備し、
前記セキュリティ情報管理装置は、前記データ通信システムの構成情報からの検索結果のうちノードに対して提示可能な情報についての、前記構成情報管理装置からの問い合わせに対して、当該ノードがアクセス可能な範囲を応答することを特徴とする管理システム。
A management system for managing a data communication system in which a plurality of nodes of a communication network perform data communication,
A configuration information management device for managing configuration information of the data communication system;
Security information management device for managing security information indicating a range accessible by the node for each node of the communication network,
The security information management device has a range that the node can access to an inquiry from the configuration information management device regarding information that can be presented to the node among the search results from the configuration information of the data communication system. Management system characterized by responding.
前記セキュリティ情報管理装置は、
ノード毎に当該ノードが有するデータおよび当該ノードへアクセス可能なノードを示すノードアクセス権限情報を記憶するノードアクセス権限情報記憶部と、
データ毎に当該データへアクセス可能なノードを示すデータアクセス権限情報を記憶するデータアクセス権限情報記憶部と、
ノードが有するデータの変更情報を受け付ける変更情報取得部と、
前記変更情報取得部が、前記変更情報を取得すると、当該変更情報と、前記データアクセス権限情報とに基づいて、前記ノードアクセス権限情報を更新するノードアクセス権限情報管理部と、
を具備することを特徴とする請求項1に記載の管理システム。
The security information management device includes:
A node access authority information storage unit for storing data of the node for each node and node access authority information indicating a node accessible to the node;
A data access authority information storage unit for storing data access authority information indicating a node that can access the data for each data;
A change information acquisition unit for receiving data change information of the node;
When the change information acquisition unit acquires the change information, a node access authority information management unit that updates the node access authority information based on the change information and the data access authority information;
The management system according to claim 1, further comprising:
通信ネットワークのノード毎に当該ノードが有するデータおよび当該ノードへアクセス可能なノードを示すノードアクセス権限情報を記憶するノードアクセス権限情報記憶部と、
データ毎に当該データへアクセス可能なノードを示すデータアクセス権限情報を記憶するデータアクセス権限情報記憶部と、
ノードが有するデータの変更情報を受け付ける変更情報取得部と、
前記変更情報取得部が、前記変更情報を取得すると、当該変更情報と、前記データアクセス権限情報とに基づいて、前記ノードアクセス権限情報を更新するノードアクセス権限情報管理部と、
を具備し、
前記ノードが通信を行うデータ通信システムの構成情報を管理する構成情報管理装置からの、ノードに対して提示可能な情報の問い合わせに対して、当該ノードがアクセス可能な範囲を応答することを特徴とするセキュリティ情報管理装置。
A node access authority information storage unit that stores data of the node for each node of the communication network and node access authority information indicating a node accessible to the node;
A data access authority information storage unit for storing data access authority information indicating a node that can access the data for each data;
A change information acquisition unit for receiving data change information of the node;
When the change information acquisition unit acquires the change information, a node access authority information management unit that updates the node access authority information based on the change information and the data access authority information;
Equipped with,
In response to an inquiry about information that can be presented to a node from a configuration information management apparatus that manages configuration information of a data communication system with which the node communicates, a response range of the node is returned. Security information management device.
通信ネットワークの複数のノードがデータ通信を行うデータ通信システムにおいて、
前記データ通信システムの構成を示す構成情報を記憶する構成情報記憶部と、
前記通信ネットワークのノードからの、前記データ通信システムの構成についての問い合わせを取得する問い合わせ取得部と、
前記問い合わせに応じた情報を前記構成情報から検索する検索部と、
前記問い合わせの送信元のノードがアクセス可能な範囲を示す情報を取得するアクセス可能範囲検出部と、
前記問い合わせに対する応答として、検索結果のうち前記問い合わせの送信元のノードがアクセス可能な範囲の情報を応答する応答部と、
を具備することを特徴とする構成情報管理装置。
In a data communication system in which a plurality of nodes of a communication network perform data communication,
A configuration information storage unit for storing configuration information indicating the configuration of the data communication system;
An inquiry acquisition unit for acquiring an inquiry about a configuration of the data communication system from a node of the communication network;
A search unit for searching for information corresponding to the inquiry from the configuration information;
An accessible range detection unit for acquiring information indicating a range accessible by a node that is a source of the inquiry;
As a response to the inquiry, a response unit that responds with information in a range that can be accessed by the node that transmitted the inquiry in the search result;
A configuration information management apparatus comprising:
通信ネットワークのノード毎に当該ノードが有するデータおよび当該ノードへアクセス可能なノードを示すノードアクセス権限情報を記憶するノードアクセス権限情報記憶部と、
データ毎に当該データへアクセス可能なノードを示すデータアクセス権限情報を記憶するデータアクセス権限情報記憶部と、
を具備するセキュリティ情報管理装置のセキュリティ情報管理方法であって、
ノードが有するデータの変更情報を受け付ける変更情報取得ステップと、
前記変更情報取得ステップにて、前記変更情報を取得すると、当該変更情報と、前記データアクセス権限情報とに基づいて、前記ノードアクセス権限情報を更新するノードアクセス権限情報管理ステップと、
前記ノードが通信を行うデータ通信システムの構成情報を管理する構成情報管理装置からの、ノードに対して提示可能な情報の問い合わせに対して、当該ノードがアクセス可能な範囲を応答するステップと、
を具備することを特徴とするセキュリティ情報管理方法。
A node access authority information storage unit that stores data of the node for each node of the communication network and node access authority information indicating a node accessible to the node;
A data access authority information storage unit for storing data access authority information indicating a node that can access the data for each data;
A security information management method for a security information management device comprising:
A change information acquisition step for receiving change information of data held by the node;
When the change information is acquired in the change information acquisition step, a node access authority information management step for updating the node access authority information based on the change information and the data access authority information;
Responding to an inquiry about information that can be presented to a node from a configuration information management apparatus that manages configuration information of a data communication system in which the node communicates, and a response range of the node to be accessible;
A security information management method comprising:
通信ネットワークのノード毎に当該ノードが有するデータおよび当該ノードへアクセス可能なノードを示すノードアクセス権限情報を記憶するノードアクセス権限情報記憶部と、
データ毎に当該データへアクセス可能なノードを示すデータアクセス権限情報を記憶するデータアクセス権限情報記憶部と、
を具備するセキュリティ情報管理装置としてのコンピュータに、
ノードが有するデータの変更情報を受け付ける変更情報取得ステップと、
前記変更情報取得ステップにて、前記変更情報を取得すると、当該変更情報と、前記データアクセス権限情報とに基づいて、前記ノードアクセス権限情報を更新するノードアクセス権限情報管理ステップと、
前記ノードが通信を行うデータ通信システムの構成情報を管理する構成情報管理装置からの、ノードに対して提示可能な情報の問い合わせに対して、当該ノードがアクセス可能な範囲を応答するステップと、
を実行させるためのプログラム。
A node access authority information storage unit that stores data of the node for each node of the communication network and node access authority information indicating a node accessible to the node;
A data access authority information storage unit for storing data access authority information indicating a node that can access the data for each data;
In a computer as a security information management device comprising
A change information acquisition step for receiving change information of data held by the node;
When the change information is acquired in the change information acquisition step, a node access authority information management step for updating the node access authority information based on the change information and the data access authority information;
Responding to an inquiry about information that can be presented to a node from a configuration information management apparatus that manages configuration information of a data communication system in which the node communicates, and a response range of the node to be accessible;
A program for running
JP2013015996A 2013-01-30 2013-01-30 Management system, security information management device, configuration information management device, security information management method and program Expired - Fee Related JP5948263B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013015996A JP5948263B2 (en) 2013-01-30 2013-01-30 Management system, security information management device, configuration information management device, security information management method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013015996A JP5948263B2 (en) 2013-01-30 2013-01-30 Management system, security information management device, configuration information management device, security information management method and program

Publications (2)

Publication Number Publication Date
JP2014146286A JP2014146286A (en) 2014-08-14
JP5948263B2 true JP5948263B2 (en) 2016-07-06

Family

ID=51426468

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013015996A Expired - Fee Related JP5948263B2 (en) 2013-01-30 2013-01-30 Management system, security information management device, configuration information management device, security information management method and program

Country Status (1)

Country Link
JP (1) JP5948263B2 (en)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4650607B2 (en) * 2004-01-14 2011-03-16 日本電気株式会社 Network management system, network management method, and network management program

Also Published As

Publication number Publication date
JP2014146286A (en) 2014-08-14

Similar Documents

Publication Publication Date Title
JP5370478B2 (en) Name identification device, name identification method and name identification program
US8988712B2 (en) Setting value management system, setting value management method, setting value management service apparatus, image forming apparatus, and computer-readable medium
JP2009151560A (en) Resource management method, information processing system, information processing apparatus, and program
JP5449462B2 (en) Distributed database system and program
JP5948263B2 (en) Management system, security information management device, configuration information management device, security information management method and program
KR100912373B1 (en) Device and method for operating context aware framework for resource sharing
JP2010044519A (en) User information management program, information management program, information management device, user information management device, and information management system
JP5911378B2 (en) Document management server, computer program, and document management method
Tila et al. Semantic IoT System for Indoor Environment Control—A Sparql and SQL based hybrid model
JP4689635B2 (en) Metadata management method, metadata management system, and metadata management program
JP5555052B2 (en) Information processing apparatus and information processing method
US20120150924A1 (en) Apparatus for supporting continuous read/write in asymmetric storage system and method thereof
JP5879279B2 (en) Data related information management apparatus, data communication system, data related information management method and program
JP5641797B2 (en) Document management system, document management server apparatus, and document management method
KR101966548B1 (en) Sensor meta data generating system for multi heterogeneous sensor network platform
JP5316015B2 (en) Information processing apparatus and program
JP2016157315A (en) Data distribution control system, method and program
JP4287409B2 (en) Domain information storage device, domain information storage method, domain information storage program, and domain information storage system
JP4492569B2 (en) File operation control device, file operation control system, file operation control method, and file operation control program
JP2012098862A (en) Content transmission method, connection destination storage and content transmission program
JP2010198200A (en) Device and method for profile information management, and program
KR100898342B1 (en) A system and method for deferring elimination of shaerd file in object-based storage system
JP2009140097A (en) Access control method, apparatus and program
JP2008204140A (en) Sensing data integrated management system and method
JP5602474B2 (en) Information control method, program, and information control system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150303

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160606

R150 Certificate of patent or registration of utility model

Ref document number: 5948263

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees