利用許可装置、利用権管理システム、利用許可装置の利用許可方法および利用許可プログラム
【課題】マスタサーバ障害時の可用性を実現しつつ、ネットワーク障害時のセキュリティ違反を防止することを目的とする。
【解決手段】マスタサーバ100は利用権限情報のマスタを管理し、キャッシュサーバ300は利用権限情報の複製をキャッシュとして管理している。利用権限情報が更新された場合、マスタサーバ100はキャッシュサーバ300に更新後の利用権限情報を通知する。キャッシュサーバ300は、利用者端末400からライセンス要求を受けた場合、マスタサーバ100と監視応答装置200とに監視要求する。マスタサーバ100と監視応答装置200との少なくともいずれかから応答が有った場合、キャッシュサーバ300は、利用権限情報のキャッシュを用いてライセンスを発行する。マスタサーバ100と監視応答装置200とのいずれからも応答が無かった場合、キャッシュサーバ300は、ライセンスの発行を拒否する。
【解決手段】マスタサーバ100は利用権限情報のマスタを管理し、キャッシュサーバ300は利用権限情報の複製をキャッシュとして管理している。利用権限情報が更新された場合、マスタサーバ100はキャッシュサーバ300に更新後の利用権限情報を通知する。キャッシュサーバ300は、利用者端末400からライセンス要求を受けた場合、マスタサーバ100と監視応答装置200とに監視要求する。マスタサーバ100と監視応答装置200との少なくともいずれかから応答が有った場合、キャッシュサーバ300は、利用権限情報のキャッシュを用いてライセンスを発行する。マスタサーバ100と監視応答装置200とのいずれからも応答が無かった場合、キャッシュサーバ300は、ライセンスの発行を拒否する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、例えば、企業機密情報の漏洩対策に用いられ、システムの可用性向上および負荷分散を実現させる利用許可装置、利用権管理システム、利用許可装置の利用許可方法および利用許可プログラムに関するものである。
【背景技術】
【0002】
企業機密情報の漏洩対策として、機密電子データを暗号化し、その利用可否を制御する利用権管理システムの適用が進みつつある。その適用範囲は、個人情報等の重要機密から企業機密全般に拡がりつつある。これに伴って、システムの可用性向上・負荷分散の実現が要求されている。
【0003】
これに対して、キャッシュサーバを用いて負荷分散および可用性向上を実現する技術(特許文献1)やキャッシュの最新性を維持する技術(特許文献2)などが開示されている。これらのキャッシュ技術は、利用権管理システムにより制御されるコンテンツ鍵(暗号鍵)及び利用権に対しても適用可能である。
【特許文献1】特開2002−132568号公報
【特許文献2】特開2002−215445号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、従来技術では、可用性とセキュリティを両立できないという課題があった。
【0005】
従来のキャッシュサーバは、ユーザからのデータ要求時にマスタサーバへ利用権の更新有無の確認を行う。マスタサーバ障害またはネットワーク障害により更新確認に失敗した場合の対応方法として、データ要求を拒否する方法とキャッシュデータを応答する方法との2通りの方法がある。
前者の方法は、マスタサーバ障害時にデータ要求を拒否するため、マスタサーバ障害時の可用性を実現することができない。
後者の方法は、マスタサーバ障害時にキャッシュデータを応答するため、マスタサーバ障害時の可用性を実現できる。しかし、ネットワーク障害時にマスタサーバが管理しているマスタデータとキャッシュサーバが応答するキャッシュデータとの間で利用権の不一致が生じ、セキュリティ違反につながる可能性がある。
【0006】
この発明は、例えば、上記のような課題を解決するためになされたもので、マスタサーバ障害時の可用性を実現しつつ、ネットワーク障害時のセキュリティ違反を防止することを目的とする。
【課題を解決するための手段】
【0007】
本発明の利用許可装置は、利用者端末装置で利用される利用データの利用権限を示す利用権限情報を管理する利用権限情報管理元装置からネットワークを介して前記利用権限情報を通信装置を用いて取得する利用権限情報取得部と、前記利用権限情報取得部により取得された利用権限情報を記憶媒体を用いて記憶する利用権限取得情報記憶部と、前記利用権限情報を含んで前記利用データの利用許可を示す利用許可データを要求する利用許可要求が前記利用者端末装置から有る場合、前記利用権限情報管理元装置との通信可否をCPU(Central Proccessing Unit)を用いて判定すると共に前記利用権限情報管理元装置と通信不可である場合に通信不可の原因が前記ネットワークの障害と前記利用権限情報管理元装置の障害とのいずれであるかCPUを用いて判定する障害監視判定部と、前記障害監視判定部により前記利用権限情報管理元装置と通信可であると判定された場合および前記障害監視判定部により通信不可の原因が前記利用権限情報管理元装置の障害であると判定された場合、前記利用権限取得情報記憶部に記憶されている利用権限情報を含めて前記利用許可データを前記利用者端末装置に通信装置を用いて応答し、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記利用データの利用不許可を前記利用者端末装置に通信装置を用いて応答する利用許可応答部とを備える。
【発明の効果】
【0008】
本発明によれば、例えば、マスタサーバ(利用権限情報管理元装置)障害時の可用性を実現しつつ、ネットワーク障害時のセキュリティ違反を防止することができる。
【発明を実施するための最良の形態】
【0009】
実施の形態1.
利用者端末装置で利用されるコンテンツ(利用データ)の利用権限をマスタサーバ装置(利用権限情報管理元装置)とキャッシュサーバ装置(利用許可装置)とで分散管理する分散型の利用権管理システムについて説明する。
【0010】
図1は、実施の形態1における分散型利用権管理システム900の装置構成図である。
実施の形態1における分散型利用権管理システム900の装置構成について、図1に基づいて以下に説明する。
【0011】
分散型利用権管理システム900は、マスタサーバ装置(以下、「マスタサーバ100」という)、監視応答装置200、キャッシュサーバ装置(以下、「キャッシュサーバ300」という)、利用者端末装置(以下、「利用者端末400」という)および管理者端末装置(以下、「管理者端末410」という)を備える。
【0012】
マスタサーバ100、監視応答装置200、キャッシュサーバ300、利用者端末400および管理者端末410はそれぞれ、ネットワークを介して通信接続している。以下、マスタサーバ100および監視応答装置200がキャッシュサーバ300、利用者端末400および管理者端末410との通信接続に用いるネットワークを「ネットワーク420」と記す。また、マスタサーバ100と監視応答装置200とは、互いに近いネットワークに接続している。近いネットワークとは特定の装置(または、特定のネットワーク)までの通信ルート(経由するルータ)が一致または類似するネットワークを意味し、マスタサーバ100と監視応答装置200とはネットワーク420までの通信ルートが一致または類似する。ネットワークは、インターネット、LAN(ローカルエリアネットワーク)またはその他の通信網のいずれでも構わない。
例えば、マスタサーバ100、監視応答装置200、キャッシュサーバ300、利用者端末400および管理者端末410はインターネットに接続し、マスタサーバ100および監視応答装置200はLANa(ローカルエリアネットワーク)(図示省略)に接続し、キャッシュサーバ300および利用者端末400はLANb(図示省略)に接続している。
【0013】
マスタサーバ100(利用権限情報管理元装置)は、利用者端末400で利用される利用データの利用権限を示す利用権限情報のマスタ(原本データ、複製元データ)を管理し、利用権限情報を含んで利用データの利用許可を示す利用許可データを利用者端末400からの要求に応じて提供する。
また、マスタサーバ100は、キャッシュサーバ300から通信障害の有無を監視するための監視要求(応答要求)を受けた場合、キャッシュサーバ300に応答する。
以下、利用データを「コンテンツ」といい、利用許可データを「ライセンス」という。
【0014】
キャッシュサーバ300(利用許可装置)は、マスタサーバ100により管理されるマスタから複製された利用権限情報をキャッシュ(複製データ)として管理し、利用者端末400からの要求に応じてライセンスを発行する。キャッシュサーバ300は、ライセンスを発行する前にマスタサーバ100と監視応答装置200とに監視要求し、応答結果に基づいてライセンスの発行可否を決定する。
【0015】
利用者端末400は、利用者に操作され、利用者からコンテンツの利用を指定された場合にキャッシュサーバ300またはマスタサーバ100にライセンスの発行を要求する。ライセンスが発行された場合、利用者端末400は、発行されたライセンスに示される利用権限の範囲内で利用者にコンテンツを利用させる。
【0016】
監視応答装置200(通信端末装置)は、キャッシュサーバ300から監視要求を受けた場合、キャッシュサーバ300に応答する。
【0017】
管理者端末410は、管理者に操作され、管理者の命令に応じてマスタサーバ100にアクセスすると共にマスタサーバ100により管理されている利用権限情報のマスタを更新する。
【0018】
図2は、実施の形態1におけるハードウェア資源の一例を示す図である。
図1において、マスタサーバ100、監視応答装置200、キャッシュサーバ300、利用者端末400および管理者端末410は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、FDD904(Flexible・Disk・Drive)、CDD905(コンパクトディスク装置)、プリンタ906、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
RAM914は、揮発性メモリの一例である。ROM913、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶機器、記憶装置あるいは記憶部の一例である。また、入力データが記憶されている記憶機器は入力機器、入力装置あるいは入力部の一例であり、出力データが記憶される記憶機器は出力機器、出力装置あるいは出力部の一例である。
通信ボード915は、入出力機器、入出力装置あるいは入出力部の一例である。
【0019】
通信ボード915は、有線または無線で、LAN、インターネット、ISDN等のWAN(ワイドエリアネットワーク)、電話回線などの通信網に接続されている。
【0020】
磁気ディスク装置920には、OS921(オペレーティングシステム)、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、OS921により実行される。
【0021】
上記プログラム群923には、実施の形態において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
【0022】
ファイル群924には、実施の形態において、「〜部」の機能を実行した際の「〜の判定結果」、「〜の計算結果」、「〜の処理結果」などの結果データ、「〜部」の機能を実行するプログラム間で受け渡しするデータ、その他の情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。これらのCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、実施の形態において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、磁気ディスク装置920の磁気ディスク、その他の記録媒体に記録される。また、データや信号値は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0023】
また、実施の形態において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスクやその他の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、「〜部」としてコンピュータを機能させるものである。あるいは、「〜部」の手順や方法をコンピュータに実行させるものである。
【0024】
図3は、実施の形態1における分散型利用権管理システム900のコンテンツ利用方法および利用権管理方法を示すフローチャートである。
実施の形態1における分散型利用権管理システム900のコンテンツ利用方法および利用権管理方法について、図3に基づいて以下に説明する。
【0025】
まず、概要を説明する。
利用者端末400はキャッシュサーバ300にコンテンツのライセンス(利用権[利用権限情報]およびコンテンツ鍵を含む利用許可データ)を要求する(S110)。
利用者端末400とキャッシュサーバ300との間で通信が可能な状態である場合(S111)、キャッシュサーバ300はキャッシュの有無およびマスタサーバ100との通信可否に応じて、利用者端末400に応答(ライセンス発行orライセンス無発行)する(S112)。
利用者端末400とキャッシュサーバ300との間で通信が可能な状態でない場合(S111)、利用者端末400はマスタサーバ100にコンテンツのライセンスを要求する(S120)。
利用者端末400とマスタサーバ100との間で通信が可能な状態である場合(S121)、マスタサーバ100は利用者端末400に応答(ライセンス発行)する(S122)。
ライセンスが発行された場合(S130)、利用者端末400はライセンスに基づいてコンテンツを操作する(S131)。
また、管理者端末410がマスタサーバ100で管理されている利用権を更新した場合(S140)、マスタサーバ100は利用権の更新をキャッシュサーバ300に通知し(S141)、キャッシュサーバ300は更新後の利用権を取得して記憶する(S142)。
【0026】
次に、各処理(S110〜S142)の詳細を説明する。
【0027】
<S110>
利用者端末400は、利用者からコンテンツの利用を指定された場合、キャッシュサーバ300にコンテンツのライセンスを要求するライセンス要求を送信する。
コンテンツは、許可無く利用できないように暗号化されており、コンテンツ鍵を用いて復号される。コンテンツは、利用者端末400の記憶装置(図示省略)に予め記憶されているものとする。
コンテンツ鍵は、コンテンツの復号に用いられるデータである。
ライセンスには、利用権(利用権限情報)およびコンテンツ鍵が含まれる。
【0028】
<S111>
S110の後、利用者端末400とキャッシュサーバ300との間で通信が可能な状態か否かに応じて、以後の動作は異なる。
利用者端末400とキャッシュサーバ300との間で通信が可能な状態とは、キャッシュサーバ300に障害が発生してなく、且つ利用者端末400とキャッシュサーバ300とを接続するネットワークに障害が発生してない状態である。
利用者端末400とキャッシュサーバ300との間で通信が可能な状態である場合(YES)、処理はS112に進み、利用者端末400とキャッシュサーバ300との間で通信が可能な状態でない場合(NO)、処理はS120に進む。
【0029】
<S112:ライセンス発行処理>
S111において利用者端末400とキャッシュサーバ300との間で通信が可能な状態である場合(YES)、キャッシュサーバ300は、キャッシュの有無およびマスタサーバ100との通信可否に応じて、利用者端末400のライセンス要求に応答する。
応答の種類には、「ライセンス発行」と「ライセンス無発行」とがある。「ライセンス発行」はコンテンツを使用可能にするためのライセンスの提供(送信)を意味し、「ライセンス無発行」はコンテンツの使用の不許可を意味する。
ライセンス発行処理(S112)の詳細について後述する。
S112の後、処理はS130に進む。
【0030】
<S120>
S111において利用者端末400とキャッシュサーバ300との間で通信が可能な状態でない場合(NO)、利用者端末400は、マスタサーバ100にコンテンツのライセンスを要求するライセンス要求を送信する。
【0031】
<S121>
S120の後、利用者端末400とマスタサーバ100との間で通信が可能な状態か否かに応じて、以後の動作は異なる。
利用者端末400とマスタサーバ100との間で通信が可能な状態とは、マスタサーバ100に障害が発生してなく、且つ利用者端末400とマスタサーバ100とを接続するネットワーク420に障害が発生してない状態である。
利用者端末400とマスタサーバ100との間で通信が可能な状態である場合(YES)、処理はS122に進む。
利用者端末400とマスタサーバ100との間で通信が可能な状態でない場合(NO)、処理は終了する。この場合、利用者端末400は、ライセンスを取得しておらず、コンテンツを復号して使用することができない。利用者端末400は、コンテンツを利用できないことを表示装置901に表示して利用者に通知する。
【0032】
<S122>
S121において利用者端末400とマスタサーバ100との間で通信が可能な状態である場合(YES)、マスタサーバ100は、ライセンスを発行して利用者端末400のライセンス要求に応答する。
S122の後、処理はS130に進む。
【0033】
<S130>
S112においてキャッシュサーバ300が利用者端末400のライセンス要求に応答した後およびS122においてマスタサーバ100が利用者端末400のライセンス要求に応答した後、応答結果に応じて、以後の動作が異なる。
応答結果としてライセンスが発行された場合(YES)、処理はS131に進む。
応答結果としてライセンスが発行されなかった場合(NO)、処理は終了する。この場合、利用者端末400は、ライセンスを取得しておらず、コンテンツを復号して使用することができない。利用者端末400は、コンテンツを利用できないことを表示装置901に表示して利用者に通知する。
【0034】
<S131>
S130においてライセンスが発行された場合(YES)、利用者端末400は、ライセンスに含まれるコンテンツ鍵でコンテンツを復号し、ライセンスに示される利用権限の範囲内で利用者にコンテンツを利用させる。
例えば、コンテンツの利用とは、閲覧、編集(変更、追加、削除)、印刷、複製である。
【0035】
<S140>
管理者端末410は、管理者から利用権の更新を命令された場合、マスタサーバ100に利用権の更新を要求する。要求を受けたマスタサーバ100は、管理している利用権(利用権限情報)のマスタを更新する。
S140の後、処理はS141に進む。
【0036】
<S141>
S140において利用権のマスタを更新した後、マスタサーバ100は、利用権のマスタを更新したことを通知する利用権更新通知をキャッシュサーバ300に送信する。
S141の後、処理はS142に進む。
【0037】
<S142:キャッシュ更新処理>
S141において利用権更新通知を受けた後、キャッシュサーバ300は、マスタサーバ100から更新後の利用権(最新の利用権)を取得し、管理している利用権のキャッシュをマスタサーバ100から取得した更新後の利用権に更新する。更新された利用権のキャッシュは最新の利用権を示し、マスタサーバ100で管理される利用権のマスタとキャッシュサーバ300で管理される利用権のキャッシュとは一致する。
但し、ネットワーク420に障害が発生している場合、キャッシュサーバ300は、マスタサーバ100から通知を受けることができず、利用権のキャッシュを最新の状態にすることができない。
キャッシュ更新処理(S142)の詳細について後述する。
S142の後、処理は終了する。
【0038】
S111において利用者端末400とキャッシュサーバ300との間で通信ができない状態であっても利用者端末400がライセンスの要求先をマスタサーバ100に切り替えることにより、分散型利用権管理システム900は、コンテンツ利用の可用性を向上させる。
【0039】
ネットワーク420に障害が発生していない場合、S140〜S142においてマスタサーバ100で管理される利用権のマスタとキャッシュサーバ300で管理される利用権のキャッシュとが一致することにより、分散型利用権管理システム900は、マスタとキャッシュとの整合性を確保し、セキュリティを守る。例えば、マスタの更新により利用する権限を失った利用者にコンテンツが利用される、ということを防ぐことができる。また、マスタサーバ100に障害が発生している場合、マスタサーバ100で管理される利用権のマスタは更新されないため、マスタとキャッシュとの整合性は確保される。
【0040】
S112においてマスタサーバ100との通信可否に応じてキャッシュサーバ300がライセンスの発行を決定することにより、分散型利用権管理システム900は、マスタサーバ100に障害が発生している場合のコンテンツ利用の可用性とネットワーク420に障害が発生している場合のセキュリティ性を向上させる。詳細については後述する。
【0041】
図4は、実施の形態1における分散型利用権管理システム900の機能構成図である。
実施の形態1におけるマスタサーバ100、監視応答装置200、キャッシュサーバ300および利用者端末400の機能構成について、図4に基づいて以下に説明する。
【0042】
キャッシュサーバ300は、ライセンス代理発行部310、キャッシュ取得部320、キャッシュ更新部330、障害監視判定部340、利用権キャッシュ格納部390およびコンテンツ鍵キャッシュ格納部391を備える。
【0043】
キャッシュ取得部320(利用権限情報取得部)は、利用者端末400で利用されるコンテンツの利用権限を示す利用権限情報を管理するマスタサーバ100からネットワーク420を介して利用権限情報を通信装置を用いて取得する。キャッシュ取得部320は、利用権限情報と共にコンテンツ鍵をマスタサーバ100から取得する。
【0044】
利用権キャッシュ格納部390(利用権限取得情報記憶部)は、キャッシュ取得部320により取得された利用権限情報を記憶媒体を用いて記憶する。
【0045】
障害監視判定部340(障害監視判定部)は、利用権限情報を含んでコンテンツの利用許可を示すライセンスを要求するライセンス要求が利用者端末400から有る場合、マスタサーバ100との通信可否をCPUを用いて判定する。さらに、障害監視判定部340は、マスタサーバ100と通信不可である場合、通信不可の原因がネットワーク420の障害とマスタサーバ100の障害とのいずれであるかCPUを用いて判定する。
具体的に、障害監視判定部340は、ネットワーク420に接続するマスタサーバ100とネットワーク420に接続する監視応答装置200とにネットワーク420を介して監視要求を送信して上記の判定を行う。障害監視判定部340は、マスタサーバ100から応答が有る場合にマスタサーバ100と通信可であると判定し、マスタサーバ100から応答が無くて監視応答装置200から応答が有る場合に通信不可の原因がマスタサーバ100の障害であると判定し、マスタサーバ100と監視応答装置200との両方から応答が無い場合に通信不可の原因がネットワーク420の障害であると判定する。
障害監視判定部340は、ライセンス要求が有って利用権キャッシュ格納部390に利用権限情報が記憶されている場合に上記の判定を行う。
【0046】
ライセンス代理発行部310(利用許可応答部)は、障害監視判定部340によりマスタサーバ100と通信可であると判定された場合および障害監視判定部340により通信不可の原因がマスタサーバ100の障害であると判定された場合、利用権キャッシュ格納部390に記憶されている利用権限情報を含めてライセンスを利用者端末400に通信装置を用いて応答する。さらに、ライセンス代理発行部310は、障害監視判定部340により通信不可の原因がネットワーク420の障害であると判定された場合、コンテンツの利用不許可を利用者端末400に通信装置を用いて応答する。
【0047】
キャッシュ更新部330は、マスタサーバ100から利用権限情報の更新通知がある場合、キャッシュ取得部320にマスタサーバ100から更新後の利用権限情報を取得させる。
【0048】
コンテンツ鍵キャッシュ格納部391は、キャッシュ取得部320により取得されたコンテンツ鍵を記憶媒体を用いて記憶する。
【0049】
マスタサーバ100は、ライセンス発行部110、ライセンス情報複製部120、利用権更新部130、監視応答部140、利用権マスタ格納部190およびコンテンツ鍵マスタ格納部191を備える。
【0050】
利用権マスタ格納部190は、利用権限情報を記憶媒体を用いて記憶する。
【0051】
コンテンツ鍵マスタ格納部191は、コンテンツ鍵を記憶媒体を用いて記憶する。
【0052】
ライセンス発行部110は、ライセンス要求が利用者端末400から有る場合、利用権マスタ格納部190に記憶されている利用権限情報を含めてライセンスを利用者端末400に通信装置を用いて応答する。
【0053】
ライセンス情報複製部120は、利用権マスタ格納部190に記憶されている利用権限情報を複製してキャッシュサーバ300に通信装置を用いて送信する。ライセンス情報複製部120は、利用権限情報と共にコンテンツ鍵マスタ格納部191に記憶されているコンテンツ鍵を複製してキャッシュサーバ300に送信する。
【0054】
利用権更新部130は、利用権限情報の更新を要求する利用権更新要求が管理者端末410から有る場合、利用権マスタ格納部190に記憶されている利用権限情報を利用権更新要求に基づいて更新する。
【0055】
監視応答部140は、通信の応答を要求する監視要求がキャッシュサーバ300から有る場合、通信装置を用いてキャッシュサーバ300に通信の応答をする。
【0056】
監視応答装置200は、監視応答部210を備える。
【0057】
監視応答部210は、監視要求がキャッシュサーバ300から有る場合、通信装置を用いてキャッシュサーバ300に通信の応答をする。
【0058】
利用者端末400は、コンテンツ操作部401および利用者端末記憶部409を備える。
【0059】
コンテンツ操作部401は、マスタサーバ100またはキャッシュサーバ300から応答されたライセンスに示される利用権限の範囲内で、利用者の指定に従ってコンテンツをCPUを用いて操作する。
【0060】
利用者端末記憶部409は、コンテンツを記憶媒体を用いて記憶する。
【0061】
図5は、実施の形態1における利用権マスタテーブル190aおよび利用権キャッシュテーブル390aを示す図である。
利用権マスタ格納部190および利用権キャッシュ格納部390に記憶される利用権限情報について、図5に基づいて以下に説明する。
【0062】
マスタサーバ100の利用権マスタ格納部190には利用権マスタテーブル190aが記憶され、利用権マスタテーブル190aの各レコード(1行)には「コンテンツID」「ユーザID」および「利用権限(利用権限情報)」が互いに対応付けられて設定される。
キャッシュサーバ300の利用権キャッシュ格納部390には利用権マスタテーブル190aの複製が記憶される。
【0063】
「コンテンツID」には、コンテンツを識別する情報(以下、「コンテンツID」という)が設定される。
「ユーザID」には、利用者を識別する情報(以下、「ユーザID」という)が設定される。
「利用権限」には、コンテンツIDで識別されるコンテンツを利用する権限であり、ユーザIDで識別される利用者に与えられる利用権限が設定される。
【0064】
例えば、先頭のレコードは、「UID−A」で識別される利用者に「CID0001」で識別されるコンテンツを「閲覧」「印刷」「編集」する権限が与えられることを示している。
【0065】
図6は、実施の形態1におけるコンテンツ鍵マスタテーブル191aおよびコンテンツ鍵キャッシュテーブル391aを示す図である。
コンテンツ鍵マスタ格納部191およびコンテンツ鍵キャッシュ格納部391に記憶されるコンテンツ鍵について、図6に基づいて以下に説明する。
【0066】
マスタサーバ100のコンテンツ鍵マスタ格納部191にはコンテンツ鍵マスタテーブル191aが記憶され、コンテンツ鍵マスタテーブル191aの各レコードには「コンテンツID」および「コンテンツ鍵」が対応付けられて設定される。
キャッシュサーバ300のコンテンツ鍵キャッシュ格納部391にはコンテンツ鍵マスタテーブル191aの複製が記憶される。
【0067】
「コンテンツID」には、コンテンツを識別する情報であるコンテンツIDが設定される。
「コンテンツ鍵」には、暗号化されたコンテンツを復号するための情報であるコンテンツ鍵または別途記憶されているコンテンツ鍵との対応情報(例えば、コンテンツ鍵の記憶先のアドレス)が設定される。
【0068】
例えば、先頭のレコードは、「CID−0001」で識別されるコンテンツが「KEY−0001」で識別されるコンテンツ鍵で復号されることを示している。
【0069】
図7は、実施の形態1におけるライセンス発行処理(S112)のフローチャートである。
利用権管理方法(図3参照)のライセンス発行処理(利用権許可方法)(S112)について、図7に基づいて以下に説明する。
キャッシュサーバ300の各「〜部」は、以下に説明する処理をCPUを用いて実行する。
【0070】
まず、ライセンス発行処理(S112)の概要について説明する。
ライセンス代理発行部310は、利用者端末400からライセンス要求を受信した場合(S210)、キャッシュが有るか確認する(S211)。キャッシュが無い場合、キャッシュ取得部320によりキャッシュ取得処理が行われ(S220)、キャッシュが有る場合、障害監視判定部340により障害判定処理が行われる(S230)。
キャッシュの取得が成功した場合(S240)、ライセンス代理発行部310はキャッシュを取り出し(S250)、利用者端末400にライセンスを発行する(S251)。キャッシュの取得が失敗した場合(S240)、ライセンス代理発行部310はライセンス発行失敗を利用者端末400に応答する(S260)。
障害判定結果が「障害無し(S)」または「マスタサーバ障害(F1)」の場合(S241)、ライセンス代理発行部310はキャッシュを取り出し(S250)、利用者端末400にライセンスを発行する(S251)。障害判定結果が「ネットワーク障害(F2)」の場合(S241)、ライセンス代理発行部310はライセンス発行拒否を利用者端末400に応答する(S270)。
【0071】
次に、各処理(S210〜S252)の詳細について説明する。
【0072】
<S210>
利用者端末400がキャッシュサーバ300へライセンス要求を送信した場合、キャッシュサーバ300のライセンス代理発行部310は、利用者端末400から送信されたライセンス要求を受信する。
ライセンス要求には、利用者端末400を利用している利用者のユーザIDと利用者に指定されたコンテンツのコンテンツIDとが含まれる。
S210の後、処理はS211に進む。
【0073】
<S211>
S210においてライセンス要求を受信した後、ライセンス代理発行部310は、ライセンス要求に対応する利用権限情報のキャッシュおよびコンテンツ鍵のキャッシュが有るか判定する。
ライセンス代理発行部310は、ライセンス要求に示されるコンテンツIDおよびユーザIDと一致するレコードが利用権キャッシュテーブル390aに含まれている場合、利用権限情報のキャッシュが有ると判定する。また、ライセンス代理発行部310は、ライセンス要求に含まれるコンテンツIDと一致するレコードがコンテンツ鍵キャッシュテーブル391aに含まれている場合、コンテンツ鍵のキャッシュが有ると判定する。
利用権限情報のキャッシュとコンテンツ鍵のキャッシュとが有る場合(YES)、処理はS230に進み、利用権限情報のキャッシュとコンテンツ鍵のキャッシュとの少なくともいずれかが無い場合(NO)、処理はS220に進む。
【0074】
<S220:キャッシュ取得処理>
S211において利用権限情報のキャッシュとコンテンツ鍵のキャッシュとの少なくともいずれかが無い場合(NO)、ライセンス代理発行部310はキャッシュ取得指示をキャッシュ取得部320に出力し、キャッシュ取得指示を受けたキャッシュ取得部320はキャッシュ取得処理を実行する。
キャッシュ取得処理において、キャッシュ取得部320は、マスタサーバ100への要求により、キャッシュが無い利用権限情報およびコンテンツ鍵の取得を試み、取得した利用権限情報を設定したレコードを利用権キャッシュテーブル390aに追加し、取得したコンテンツ鍵を設定したレコードをコンテンツ鍵キャッシュテーブル391aに追加する。そして、キャッシュ取得部320は、取得結果をライセンス代理発行部310に出力する。キャッシュ取得処理の詳細について後述する。
S220の後、処理はS240に進む。
【0075】
<S240>
S220におけるキャッシュ取得処理の後、ライセンス代理発行部310は、取得結果が「取得成功」「取得失敗」のいずれを示すか判定する。
「取得成功」の場合(YES)、処理はS250に進み、「取得失敗」の場合(NO)、処理はS260に進む。
【0076】
<S250>
S240において「取得成功」の場合(YES)、ライセンス代理発行部310は、ライセンス要求に対応する利用権限情報のキャッシュを利用権キャッシュテーブル390aから取得し、ライセンス要求に対応するコンテンツ鍵のキャッシュをコンテンツ鍵キャッシュテーブル391aから取得する。
S250の後、処理はS251に進む。
【0077】
<S251>
S250において利用権限情報およびコンテンツ鍵のキャッシュを取得した後、ライセンス代理発行部310は、取得した利用権限情報と取得したコンテンツ鍵とを含むデータをライセンスとして生成し、生成したライセンスを利用者端末400に送信する。ライセンスの送信は、ライセンスの発行・応答を意味する。
S251の後、処理は終了する。
【0078】
<S260>
S240において「取得失敗」の場合(NO)、ライセンス代理発行部310は、ライセンスの発行を失敗したことを示す応答データを生成し、生成した応答データを利用者端末400に送信する。
S260の後、処理は終了する。
【0079】
<S230:障害判定処理>
S211において利用権限情報のキャッシュとコンテンツ鍵のキャッシュとが有る場合(YES)、ライセンス代理発行部310は障害判定指示を障害監視判定部340に出力し、障害判定指示を受けた障害監視判定部340は障害判定処理を実行する。
障害判定処理において、障害監視判定部340は、マスタサーバ100および監視応答装置200へ監視要求を送信し、応答結果に基づいて「障害無し(S)」「マスタサーバ障害(F1)」「ネットワーク障害(F2)」のいずれの状態であるか判定し、判定結果をライセンス代理発行部310に出力する。障害判定処理の詳細について後述する。
S230の後、処理はS241に進む。
【0080】
<S241>
S230における障害判定処理の後、ライセンス代理発行部310は、判定結果が「障害無し(S)」「マスタサーバ障害(F1)」「ネットワーク障害(F2)」のいずれを示すか判定する。
「障害無し(S)」または「マスタサーバ障害(F1)」の場合、処理はS250に進む。S250に処理が進むと、前述の通り、ライセンス要求に対応する利用権情報のキャッシュおよびコンテンツ鍵のキャッシュが取得され(S250)、ライセンスが生成されて利用者端末400に発行される(S251)。S251の後、処理は終了する。
【0081】
「障害無し(S)」の場合、マスタサーバ100で管理されている利用権限情報のマスタが更新されれば、マスタサーバ100からキャッシュサーバ300への通知があり、キャッシュサーバ300で管理されている利用権限情報のキャッシュが更新される(図3のS140〜S142参照)。
このため、マスタとキャッシュとの整合性は保たれ、キャッシュを用いてライセンスが発行さてもセキュリティは守られる。
例えば、マスタが「利用権限有り」から「利用権限無し」に更新され、キャッシュが「利用権限有り」のまま更新されず、キャッシュに基づいて「利用権限有り」のライセンスが発行され、マスタの更新により利用権限を失ったはずの利用者がコンテンツを利用できる、というセキュリティ違反は起こらない。
また、「マスタサーバ障害(F1)」の場合、マスタサーバ100で管理されている利用権限情報のマスタが更新されることは無いため、マスタとキャッシュとの整合性は保たれ、キャッシュを用いてライセンスが発行されてもセキュリティは守られる。そして、「マスタサーバ障害(F1)」の場合でも、キャッシュを用いてライセンスが発行されることにより、コンテンツ利用の可用性が向上する。
【0082】
S241において「ネットワーク障害(F2)」の場合、処理はS270に進む。
【0083】
<S270>
S241において「ネットワーク障害(F2)」の場合、ライセンス代理発行部310は、ライセンスの発行を拒否することを示す応答データを生成し、生成した応答データを利用者端末400に送信する。
【0084】
「ネットワーク障害(F2)」の場合、マスタサーバ100で管理されている利用権限情報のマスタが更新されても、マスタサーバ100からキャッシュサーバ300へ通知が届かず、キャッシュサーバ300で管理されている利用権限情報のキャッシュが更新されない。つまり、「ネットワーク障害(F2)」の場合、マスタとキャッシュとの整合が取れていない可能性がある。
そこで、「ネットワーク障害F2」の場合にライセンスの発行を拒否することにより、セキュリティ違反を防ぐことができる。
【0085】
S270の後、処理は終了する。
【0086】
図8は、実施の形態1におけるキャッシュ取得部320によるキャッシュ取得処理(S220)のフローチャートである。
ライセンス発行処理(図7参照)においてキャッシュ取得部320により実行されるキャッシュ取得処理(S220)について、図8に基づいて以下に説明する。
キャッシュ取得部320は、以下に説明する処理をCPUを用いて実行する。
【0087】
<S221>
キャッシュ取得部320は、ライセンス代理発行部310からのキャッシュ取得指示を入力する。
キャッシュ取得指示には、利用者端末400からのライセンス要求に示されるコンテンツIDおよびユーザIDが含まれる。
S221の後、処理はS222に進む。
【0088】
<S222>
S221においてキャッシュ取得指示を入力した後、キャッシュ取得部320は、ライセンス情報複製要求をマスタサーバ100へ送信し、マスタサーバ100からの応答を所定時間待つ。
ライセンス情報複製要求には、キャッシュ取得指示に示されるコンテンツIDおよびユーザIDが含まれる。
【0089】
マスタサーバ100のライセンス情報複製部120は、キャッシュ取得部320から送信されたライセンス情報複製要求を受信した場合、ライセンス情報複製要求に基づいて利用権情報とコンテンツ鍵とを複製し、複製した利用権情報およびコンテンツ鍵をキャッシュ取得部320に送信して応答する。
具体的に、ライセンス情報複製部120は、ライセンス情報複製要求に示されるコンテンツIDおよびユーザIDと一致するレコードを利用権マスタテーブル190aから取得し、取得したレコードに設定されている利用権限情報を複製する。また、ライセンス情報複製部120は、ライセンス情報複製要求に示されるコンテンツIDと一致するレコードをコンテンツ鍵マスタテーブル191aから取得し、取得したレコードに設定されているコンテンツ鍵を複製する。そして、ライセンス情報複製部120は、複製した利用権限情報およびコンテンツIDをキャッシュ取得部320に送信する。
マスタサーバ100やネットワーク420に障害が発生している場合、ライセンス情報複製部120はライセンス情報複製要求を受信できず、マスタサーバ100からキャッシュ取得部320への応答は無い。
【0090】
S222の後、処理はS223に進む。
【0091】
<S223>
S222においてマスタサーバ100にライセンス情報複製要求を送信した後、キャッシュ取得部320は、ライセンス情報複製要求を送信してから所定時間内にマスタサーバ100からの応答が有ったか判定する。
マスタサーバ100からの応答が有った場合(YES)、処理はS224に進み、マスタサーバ100からの応答が無かった場合(NO)、処理はS226に進む。
【0092】
<S224>
S223においてマスタサーバ100からの応答が有った場合(YES)、キャッシュ取得部320は、キャッシュ取得要求に示されるコンテンツIDおよびユーザIDと共にマスタサーバ100から応答された利用権限情報を設定したレコードを生成し、生成したレコードを利用権キャッシュテーブル390aに追加して利用権限情報を格納する。さらに、キャッシュ取得部320は、キャッシュ取得要求に示されるコンテンツIDと共にマスタサーバ100から応答されたコンテンツ鍵を設定したレコードを生成し、生成したレコードをコンテンツ鍵キャッシュテーブル391aに追加してコンテンツ鍵を格納する。
S224の後、処理はS225に進む。
【0093】
<S225>
S224において利用権限情報とコンテンツIDとを格納した後、キャッシュ取得部320は、キャッシュ取得結果「取得成功」をライセンス代理発行部310に出力する。
S225の後、処理は終了する。
【0094】
<S226>
S223においてマスタサーバ100からの応答が無かった場合(NO)、キャッシュ取得部320は、キャッシュ取得結果「取得失敗」をライセンス代理発行部310に出力する。
S226の後、処理は終了する。
【0095】
図9は、実施の形態1における障害監視判定部340による障害判定処理(S230)のフローチャートである。
ライセンス発行処理(図7参照)において障害監視判定部340により実行される障害判定処理(S230)について、図9に基づいて以下に説明する。
障害監視判定部340は、以下に説明する処理をCPUを用いて実行する。
【0096】
<S231>
障害監視判定部340は、ライセンス代理発行部310からの障害判定指示を入力する。
S231の後、処理はS232に進む。
【0097】
<S232>
S231において障害判定指示を入力した後、障害監視判定部340は、通信の応答を要求する監視要求をマスタサーバ100(「MS」と記す)および監視応答装置200(「RU」と記す)に送信し、マスタサーバ100および監視応答装置200からの応答を所定時間待つ。
障害監視判定部340から監視要求を受信した場合、マスタサーバ100および監視応答装置200は、障害監視判定部340に通信応答する。
障害監視判定部340により送信された監視要求は、ネットワーク420を介してマスタサーバ100および監視応答装置200に到達する。ネットワーク420に障害が発生している場合、監視要求はマスタサーバ100と監視応答装置200とのどちらにも到達せず、障害監視判定部340はマスタサーバ100と監視応答装置200とのどちらからも応答を受けない。ネットワーク420には障害が発生していないがマスタサーバ100に障害が発生している場合、監視要求は監視応答装置200にのみ到達し、障害監視判定部340は監視応答装置200からのみ応答を受ける。
S232の後、処理はS233に進む。
【0098】
<S233>
S232においてマスタサーバ100と監視応答装置200とに監視要求を送信した後、障害監視判定部340は、監視要求を送信してから所定時間内にマスタサーバ100からの応答が有ったか判定する。
マスタサーバ100からの応答が有った場合(YES)、処理はS235に進み、マスタサーバ100からの応答が無かった場合(NO)、処理はS234に進む。
【0099】
<S234>
S233においてマスタサーバ100からの応答が無い場合(NO)、障害監視判定部340は、監視要求を送信してから所定時間内に監視応答装置200からの応答が有ったか判定する。
監視応答装置200からの応答が有った場合(YES)、処理はS236に進み、監視応答装置200からの応答が無かった場合(NO)、処理はS237に進む。
【0100】
<S235>
S233においてマスタサーバ100からの応答が有った場合(YES)、障害監視判定部340は、マスタサーバ100とネットワーク420とのどちらにも障害が発生していないと判定し、障害判定結果「障害無し(S)」をライセンス代理発行部310に出力する。
S235の後、処理は終了する。
【0101】
<S236>
S234において監視応答装置200からの応答が有った場合(YES)、障害監視判定部340は、マスタサーバ100に障害が発生しているがネットワーク420には障害が発生していないと判定し、障害判定結果「マスタサーバ障害(F1)」をライセンス代理発行部310に出力する。
S236の後、処理は終了する。
【0102】
<S237>
S234において監視応答装置200からの応答が無かった場合(NO)、障害監視判定部340は、ネットワーク420に障害が発生していると判定し、障害判定結果「ネットワーク障害(F2)」をライセンス代理発行部310に出力する。
例外的に、マスタサーバ100と監視応答装置200との両方に障害が発生している場合、ネットワーク420に障害が発生していなくても「ネットワーク障害」と誤判定される。そこで、分散型利用権管理システム900は複数台の監視応答装置200を有し、障害監視判定部340はマスタサーバ100からの応答およびいずれの監視応答装置200からの応答も無かった場合に「ネットワーク障害」と判定することで誤判定を抑止してもよい。
S237の後、処理は終了する。
【0103】
図10は、実施の形態1におけるキャッシュ更新処理(S142)のフローチャートである。
利用権管理方法(図3参照)のキャッシュ更新処理(S142)について、図10に基づいて以下に説明する。
【0104】
<S310>
マスタサーバ100がキャッシュサーバ300へ利用権更新通知を送信した場合、キャッシュサーバ300のキャッシュ更新部330は、マスタサーバ100から送信された利用権更新通知を受信する。
利用権更新通知には、利用権限が更新された利用権マスタテーブル190aのレコードに設定されているコンテンツIDおよびユーザIDが含まれる。
S310の後、処理はS320に進む。
【0105】
<S320>
S310において利用権更新通知を受信した後、キャッシュ更新部330は、利用権更新通知に対応する利用権限情報のキャッシュが有るか判定する。
キャッシュ更新部330は、利用権更新通知に示されるコンテンツIDおよびユーザIDと一致するレコードが利用権キャッシュテーブル390aに含まれている場合、利用権更新通知に対応する利用権限情報のキャッシュが有ると判定する。
利用権限情報のキャッシュが有る場合(YES)、処理はS330に進み、利用権限情報のキャッシュが無い場合(NO)、処理は終了する。
【0106】
<S330>
S320において利用権限情報のキャッシュが有る場合(YES)、キャッシュ更新部330は、利用権限情報のキャッシュを削除する。
具体的に、キャッシュ更新部330は、利用権更新通知に示されるコンテンツIDおよびユーザIDと一致するレコードを利用権キャッシュテーブル390aから削除する。
S320の後、処理はS340に進む。
【0107】
<S340>
S330において利用権限情報のキャッシュを削除した後、キャッシュ更新部330はキャッシュ取得指示をキャッシュ取得部320に出力し、キャッシュ取得指示を受けたキャッシュ取得部320はキャッシュ取得処理を実行する。キャッシュ取得指示には、利用権更新通知に示されるコンテンツIDおよびユーザIDが含まれる。キャッシュ取得処理は、図8で説明した処理と同様である。
キャッシュ取得処理において、キャッシュ取得部320は、マスタサーバ100への要求により、更新された利用権限情報の取得を試み、取得した利用権限情報を設定したレコードを利用権キャッシュテーブル390aに追加する。
S340の後、処理は終了する。
【0108】
キャッシュが有る場合にのみ更新後の利用権限情報を設定したレコードを利用権キャッシュテーブル390aに追加することにより、利用権キャッシュテーブル390aには不要なレコードが追加されない。これにより、利用権キャッシュテーブル390aの検索に要する時間が短縮されるため、ライセンス発行に要する時間を短縮できる。また、利用権キャッシュ格納部390に容量不足が発生することを抑止できる。
【0109】
実施の形態1において以下のような分散型利用権管理システム900について説明した。
分散型利用権管理システム900は、マスタサーバ100と、監視応答装置200と、マスタサーバ100及び監視応答装置200にネットワーク420で接続されたキャッシュサーバ300と、マスタサーバ100及びキャッシュサーバ300にネットワーク420で接続された利用者端末400を有する。
マスタサーバ100は、利用権マスタ格納部190、コンテンツ鍵マスタ格納部191、ライセンス発行部110、ライセンス情報複製部120、利用権更新部130および監視応答部140を備える。
利用権マスタ格納部190は、コンテンツの利用権限を格納する。
コンテンツ鍵マスタ格納部191は、コンテンツを復号するコンテンツ鍵を格納する。
ライセンス発行部110は、利用者端末400からライセンス要求を受信すると、利用権マスタ格納部190から取り出した利用権限と、コンテンツ鍵マスタ格納部191から取り出したコンテンツ鍵とを用いて、ライセンスを生成・応答する。
ライセンス情報複製部120は、キャッシュサーバ300からライセンス情報複製要求を受信すると、利用権マスタ格納部190から取り出した利用権限と、コンテンツ鍵マスタ格納部191から取り出したコンテンツ鍵とからなるライセンス情報を応答する。
利用権更新部130は、管理者端末410から利用権更新要求を受信すると、利用権マスタ格納部190の利用権限を更新するとともに、キャッシュサーバ300に対して、利用権更新通知を送信する。
監視応答装置200は、監視応答部140を備える。
監視応答部140は、キャッシュサーバ300からの監視要求を受信すると、生存応答(通信応答)を返す。
キャッシュサーバ300は、障害監視判定部340、利用権キャッシュ格納部390、コンテンツ鍵キャッシュ格納部391、障害監視判定部340、キャッシュ取得部320、キャッシュ更新部330およびライセンス代理発行部310を備える。
障害監視判定部340は、キャッシュサーバ300からの監視要求を受信すると、生存応答を返す。
利用権キャッシュ格納部390は、利用権マスタ格納部190に含まれる利用権限の複製を格納する。
コンテンツ鍵キャッシュ格納部391は、コンテンツ鍵マスタ格納部191に含まれるコンテンツ鍵の複製を格納する。
障害監視判定部340は、障害判定指示を受けると、マスタサーバ100及び監視応答装置200へ監視要求を送信してマスタサーバ100との通信障害の有無を判定し、障害が発生していると判定した場合はさらに、ネットワーク障害の可能性有無を判定する。
キャッシュ取得部320は、キャッシュ取得指示を受けると、マスタサーバ100へライセンス情報複製要求を送信し、受信した利用権を利用権キャッシュ格納部390に格納し、コンテンツ鍵をコンテンツ鍵キャッシュ格納部391に格納する。
キャッシュ更新部330は、マスタサーバ100から利用権更新通知を受信すると、利用権キャッシュ格納部390の利用権限を削除し、キャッシュ取得部320にキャッシュ取得を指示する。
ライセンス代理発行部310は、利用者端末400からライセンス要求を受信すると、障害監視判定部340に障害判定を指示し、利用権キャッシュ格納部390及びコンテンツ鍵キャッシュ格納部391に利用権及びコンテンツ鍵が格納されていない場合はキャッシュ取得部320にキャッシュ取得を指示する。ライセンス代理発行部310は、利用権キャッシュ格納部390から取り出した利用権と、コンテンツ鍵キャッシュ格納部391から取り出したコンテンツ鍵とを用いて、ライセンスを生成・応答する。ライセンス代理発行部310は、障害監視判定部340がネットワーク障害の可能性ありと判定した場合に、ライセンス発行を拒否する。
【0110】
分散型利用権管理システム900は、以下のような効果を奏する。
利用者端末400がライセンス要求先を切り替えることによりコンテンツ利用の可用性が向上するとともに、複数のキャッシュサーバ300を設けることによりライセンス発行に関わるサーバ負荷を分散する。さらに、利用権更新時に利用権キャッシュの即時更新を行うとともに、ライセンス発行時にはキャッシュサーバ300がマスタサーバ障害及びネットワーク障害の有無を判定し、ネットワーク障害の可能性がある場合にライセンス発行を拒否する。これにより、マスタサーバ100とキャッシュサーバ300とのサーバ間での利用権限の不一致によるセキュリティ違反を防止する。
なお上記では、監視応答装置200を専用の装置として設けたが、マスタサーバ100に接続されるルータなどのネットワーク機器に、監視応答装置200の機能を設けてもよい。
【0111】
実施の形態2.
マスタサーバ100と接続するネットワーク420に障害が発生している場合、キャッシュサーバ300が、限定した利用権限を利用者に与える形態について説明する。
以下、実施の形態1と異なる事項について主に説明し、説明を省略する事項は実施の形態1と同様であるものとする。
【0112】
分散型利用権管理システム900の構成、コンテンツ利用方法および利用権管理方法は、実施の形態1と同じである(図1〜6参照)。
【0113】
但し、キャッシュサーバ300のライセンス代理発行部310は、障害監視判定部340によりマスタサーバ100との通信不可の原因がネットワーク420の障害であると判定された場合、複数の利用権限から少なくともいずれかの利用権限を除いた利用権限情報を含めてライセンスを利用者端末400に応答する。
【0114】
図11は、実施の形態2におけるライセンス発行処理(S112)のフローチャートである。
実施の形態2におけるライセンス発行処理(S112)について、図11に基づいて以下に説明する。
【0115】
図11は、実施の形態1におけるライセンス発行処理(図7参照)のS270をS271〜S273に変更したフローチャートである。
以下、S271〜S273について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0116】
<S271>
S241において「ネットワーク障害(F2)」の場合、ライセンス代理発行部310は、ライセンス要求に対応する利用権限情報のキャッシュを利用権キャッシュテーブル390aから取得し、ライセンス要求に対応するコンテンツ鍵のキャッシュをコンテンツ鍵キャッシュテーブル391aから取得する。
S271の後、処理はS272に進む。
【0117】
<S272>
S271において利用権限情報およびコンテンツ鍵のキャッシュを取得した後、ライセンス代理発行部310は、取得した利用権限情報に示される複数の利用権限(利用可能な権限)から所定の利用権限を除くことにより、利用権限を制限した利用権限情報を生成する。
例えば、ネットワーク障害(F2)時に制限する利用権限として「印刷」および「編集」が予め定義されているものとする。取得した利用権限情報に示される利用権限が「閲覧可」「印刷可」「編集可」である場合、ライセンス代理発行部310は、「閲覧可」「印刷『不可』」「編集『不可』」を示す利用権限情報を生成する。
S272の後、処理はS273に進む。
【0118】
<S273>
S271においてコンテンツ鍵のキャッシュを取得し、S272において利用権限を制限した利用権限情報を生成した後、ライセンス代理発行部310は、生成した利用権限情報と取得したコンテンツ鍵とを含むデータをライセンスとして生成し、生成したライセンスを利用者端末400に送信する。
S273の後、処理は終了する。
【0119】
実施の形態2では以下のような分散型利用権管理システム900について説明した。
障害監視判定部340がネットワーク障害の可能性ありと判定した場合に、ライセンス代理発行部310が、利用権限を制限したライセンスを発行する。
【0120】
分散型利用権管理システム900は、ネットワーク障害の可能性がある場合に制限した利用権限(例えば、「閲覧」)内でコンテンツ利用を継続させることによって、コンテンツ利用の可用性をさらに向上させることができる。利用権限を制限する際、閲覧のみを許可したり、印刷など機密漏洩につながる可能性のある権限を選択的に無効化したりするとよい。
【0121】
実施の形態3.
マスタサーバ100と接続するネットワーク420に障害が発生している場合、キャッシュサーバ300が、予め定められたネットワーク障害時用の利用権限を利用者に与える形態について説明する。
以下、実施の形態1と異なる事項について主に説明し、説明を省略する事項は実施の形態1と同様であるものとする。
【0122】
分散型利用権管理システム900の構成、コンテンツ利用方法および利用権管理方法は、実施の形態1と同じである(図1〜6参照)。
【0123】
但し、利用権マスタテーブル190aおよび利用権キャッシュテーブル390aは、ネットワーク障害時用の利用権限と非ネットワーク障害時用の利用権限とを示す。
また、キャッシュサーバ300のライセンス代理発行部310は、障害監視判定部340によりマスタサーバ100と通信可であると判定された場合および障害監視判定部340により通信不可の原因がマスタサーバ100の障害であると判定された場合、非ネットワーク障害時用の利用権限を示す利用権限情報を含めてライセンスを応答する。また、ライセンス代理発行部310は、障害監視判定部340により通信不可の原因がネットワーク420の障害であると判定された場合、ネットワーク障害時用の利用権限を示す利用権限情報を含めてライセンスを応答する。
【0124】
図12は、実施の形態3における利用権マスタテーブル190aおよび利用権キャッシュテーブル390aを示す図である。
図12に示すように、利用権マスタテーブル190aおよび利用権キャッシュテーブル390aには、「利用権限(非ネットワーク障害時用の利用権限)」の他に、「第2利用権限(ネットワーク障害時用の利用権限)」が設定される。
【0125】
図13は、実施の形態3におけるライセンス発行処理(S112)のフローチャートである。
実施の形態3におけるライセンス発行処理(S112)について、図13に基づいて以下に説明する。
【0126】
図13は、実施の形態1におけるライセンス発行処理(図7参照)のS270をS274およびS275に変更したフローチャートである。
以下、S274およびS275について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0127】
<S274>
S241において「ネットワーク障害(F2)」の場合、ライセンス代理発行部310は、ライセンス要求に対応するネットワーク障害時用の利用権限情報(第2利用権限)のキャッシュを利用権キャッシュテーブル390aから取得し、ライセンス要求に対応するコンテンツ鍵のキャッシュをコンテンツ鍵キャッシュテーブル391aから取得する。
S274の後、処理はS275に進む。
【0128】
<S275>
S274において利用権限情報およびコンテンツ鍵のキャッシュを取得した後、ライセンス代理発行部310は、取得したネットワーク障害時用の利用権限情報と取得したコンテンツ鍵とを含むデータをライセンスとして生成し、生成したライセンスを利用者端末400に送信する。
S275の後、処理は終了する。
【0129】
実施の形態3では、以下のような分散型利用権管理システム900について説明した。
利用権マスタ格納部190及び利用権キャッシュ格納部390に、障害中に使用する第2利用権限を新たに含む。
障害監視判定部340がネットワーク障害の可能性ありと判定した場合に、ライセンス代理発行部310は、第2利用権限を含むライセンスを発行する。
【0130】
分散型利用権管理システム900は、ネットワーク障害時に使用する利用権限をあらかじめ設定可能とすることで、障害中の権限制御を確実に行うことができる。
【0131】
実施の形態4.
マスタサーバ100と接続するネットワーク420に障害が発生している場合、キャッシュサーバ300が、利用権限を利用者に与えると共に操作履歴を利用者端末400から収集する形態について説明する。
以下、実施の形態1と異なる事項について主に説明し、説明を省略する事項は実施の形態1と同様であるものとする。
【0132】
図14は、実施の形態4における分散型利用権管理システム900の機能構成図である。
実施の形態4におけるマスタサーバ100、監視応答装置200、キャッシュサーバ300および利用者端末400の機能構成について、図14に基づいて以下に説明する。
【0133】
キャッシュサーバ300は、実施の形態1で説明した構成(図4参照)に加えて、操作履歴管理部350および操作履歴格納部392を備える。
【0134】
ライセンス代理発行部310は、障害監視判定部340により通信不可の原因がネットワーク420の障害であると判定された場合、ライセンスを利用者端末400に応答すると共に利用者端末400にコンテンツの操作履歴を要求する。
操作履歴管理部350は、利用者端末400からコンテンツの操作履歴を通信装置を用いて取得し、取得した操作履歴をマスタサーバ100(特定の装置の一例)に出力する。
操作履歴格納部392は、操作履歴管理部350により取得された操作履歴を記憶媒体を用いて記憶する。
【0135】
利用者端末400は、実施の形態1で説明した構成(図4参照)に加えて、操作履歴送信部402を備える。
【0136】
操作履歴送信部402は、操作履歴要求がキャッシュサーバ300から有る場合、コンテンツ操作部401の操作履歴を記憶媒体を用いて記憶し、記憶した操作履歴をキャッシュサーバ300に通信装置を用いて送信する。
【0137】
マスタサーバ100は、実施の形態1で説明した構成(図4参照)に加えて、操作履歴検査部150および違反履歴格納部192を備える。
【0138】
操作履歴検査部150は、コンテンツの操作履歴をキャッシュサーバ300から取得し、取得した操作履歴に基づいて利用権限に違反する操作が行われたかCPUを用いて判定し、判定結果を特定の装置に出力する。
違反履歴格納部192は、操作履歴検査部150により取得されたコンテンツの操作履歴および操作履歴検査部150の判定結果を記憶媒体を用いて記憶する。
【0139】
図15は、実施の形態4における利用権マスタテーブル190aを示す図である。
図15に示すように、利用権マスタテーブル190aには、レコードの最新の「更新日時」が設定される。
図15に示す利用権マスタテーブル190aは、コンテンツIDが「CID−0001」であり、ユーザIDが「UID−A」であるレコードの「利用権限」が2008年9月17日の11時30分に更新されたことを示している。
【0140】
図16は、実施の形態4における操作履歴ファイル392aを示す図である。
操作履歴格納部392に記憶される操作履歴について、図16に基づいて以下に説明する。
【0141】
キャッシュサーバ300の操作履歴格納部392には操作履歴ファイル392aが記憶され、操作履歴ファイル392aにはコンテンツの操作履歴を示す項目として「コンテンツID」「ユーザID」「操作」および「操作日時」がコンテンツの操作毎に設定される。
例えば、図16の操作履歴ファイル392aは、2008年9月17日の12時に「UID−A」で識別される利用者により「CID−0001」で識別されるコンテンツが「閲覧」されたことを示している。
【0142】
図17は、実施の形態4におけるライセンス発行処理(S112)のフローチャートである。
実施の形態4におけるライセンス発行処理(S112)について、図17に基づいて以下に説明する。
【0143】
図17は、実施の形態1におけるライセンス発行処理(図7参照)のS270をS276およびS277に変更したフローチャートである。
以下、S276およびS277について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0144】
<S276>
S241において「ネットワーク障害(F2)」の場合、ライセンス代理発行部310は、ライセンス要求に対応する利用権限情報のキャッシュを利用権キャッシュテーブル390aから取得し、ライセンス要求に対応するコンテンツ鍵のキャッシュをコンテンツ鍵キャッシュテーブル391aから取得する。
S276の後、処理はS277に進む。
【0145】
<S277>
S276において利用権限情報およびコンテンツ鍵のキャッシュを取得した後、ライセンス代理発行部310は、取得した利用権限情報と取得したコンテンツ鍵とを含むデータをライセンスとして生成し、生成したライセンスを利用者端末400に送信する。
ライセンス代理発行部310は、ライセンスと共に、コンテンツの操作履歴を要求する操作履歴送信要求を利用者端末400に送信する。
S277の後、処理は終了する。
【0146】
利用者端末400のコンテンツ操作部401は、キャッシュサーバ300のライセンス代理発行部310から送信されたライセンスおよび操作履歴送信要求を受信し、受信したライセンスに示される利用権限の範囲内で利用者の指定に従ってコンテンツを操作する。
操作履歴送信部402は、コンテンツ操作部401により行われた操作の内容を示す情報(コンテンツID、ユーザID、操作種別、操作日時)を操作履歴としてキャッシュサーバ300に送信する。例えば、操作履歴送信部402は、1つの操作が行われる度、所定の回数の操作が行われる度または所定時間毎に操作履歴をキャッシュサーバ300に送信する。
キャッシュサーバ300の操作履歴管理部350は、利用者端末400から操作履歴を受信し、受信した操作履歴を操作履歴ファイル392aに追加して設定する。
【0147】
そして、キャッシュサーバ300とマスタサーバ100との間で通信が可能になった場合、操作履歴管理部350は、操作履歴ファイル392aをマスタサーバ100に送信する。
以下に、操作履歴管理部350によるマスタサーバ100への操作履歴ファイル392aの送信契機について説明する。
【0148】
図18は、実施の形態4におけるキャッシュ取得部320によるキャッシュ取得処理(S220)のフローチャートである。
実施の形態4におけるキャッシュ取得部320によるキャッシュ取得処理(S220)について、図18に基づいて以下に説明する。
【0149】
図18は、実施の形態1におけるキャッシュ取得処理(図8参照)にS227が加わったフローチャートである。
以下、S227について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0150】
<S227>
S223においてマスタサーバ100からの応答が有った場合(YES)、キャッシュ取得部320は、操作履歴送信指示を操作履歴管理部350に出力する。
操作履歴送信指示を受けた操作履歴管理部350は、操作履歴格納部392から操作履歴ファイル392aを取得し、取得した操作履歴ファイル392aをマスタサーバ100に送信し、操作履歴格納部392から操作履歴ファイル392aを削除する。
S227の後、処理はS224に進む。
【0151】
図19は、実施の形態4における障害監視判定部340による障害判定処理(S230)のフローチャートである。
実施の形態4における障害監視判定部340による障害判定処理(S230)について、図19に基づいて以下に説明する。
【0152】
図19は、実施の形態1における障害判定処理(図9参照)にS238が加わったフローチャートである。
以下、S238について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0153】
<S238>
S233においてマスタサーバ100からの応答が有った場合(YES)、障害監視判定部340は、操作履歴送信指示を操作履歴管理部350に出力する。
操作履歴送信指示を受けた操作履歴管理部350は、操作履歴格納部392から操作履歴ファイル392aを取得し、取得した操作履歴ファイル392aをマスタサーバ100に送信し、操作履歴格納部392から操作履歴ファイル392aを削除する。
S238の後、処理はS235に進む。
【0154】
図20は、実施の形態4におけるキャッシュ更新処理(S142)のフローチャートである。
実施の形態4におけるキャッシュ更新処理(S142)について、図20に基づいて以下に説明する。
【0155】
図20は、実施の形態1におけるキャッシュ更新処理(図10参照)にS350が加わったフローチャートである。
以下、S350について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0156】
<S350>
S310において利用権更新通知を受信した後、キャッシュ更新部330は、操作履歴送信指示を操作履歴管理部350に出力する。
操作履歴送信指示を受けた操作履歴管理部350は、操作履歴格納部392から操作履歴ファイル392aを取得し、取得した操作履歴ファイル392aをマスタサーバ100に送信し、操作履歴格納部392から操作履歴ファイル392aを削除する。
S350の後、処理はS320に進む。
【0157】
図21は、実施の形態4における操作履歴検査方法を示すフローチャートである。
実施の形態4における操作履歴検査方法について、図21に基づいて以下に説明する。
マスタサーバ100の操作履歴検査部150は、以下に説明する処理をCPUを用いて実行する。
【0158】
<S410>
操作履歴検査部150は、キャッシュサーバ300から送信された操作履歴ファイル392aを受信し、受信した操作履歴ファイル392aを違反履歴格納部192に記憶する。
操作履歴ファイル392aには、利用者端末400によりコンテンツに対して行われた操作の内容を示す情報が操作履歴として操作毎に含まれる。操作履歴ファイル392aに含まれる各操作履歴は、コンテンツID、ユーザID、操作種別および操作日時を示す。
S410の後、処理はS420に進む。
【0159】
<S420>
S410において操作履歴ファイル392aを受信した後、操作履歴検査部150は、以下で説明する各処理(S422〜S425)が実行されていない操作履歴(以下、「未検査履歴」という)が操作履歴ファイル392aに残っているか判定する。
未検査履歴が有る場合(YES)、処理はS421に進み、未検査履歴が無い場合(NO)、処理はS430に進む。
【0160】
<S421>
S420において未検査履歴が有る場合(YES)、操作履歴検査部150は、操作履歴ファイル392aから未検査履歴を1件選択して取り出す。
S421の後、処理はS422に進む。
【0161】
<S422>
S421において未検査履歴を取り出した後、操作履歴検査部150は、取り出した未検査履歴(以下、「検査対象履歴」という)に対応するレコードを利用権マスタテーブル190aから取得する。
具体的に、操作履歴検査部150は、検査対象履歴に示されるコンテンツIDおよびユーザIDと一致するレコードを利用権マスタテーブル190aから取得する。
S422の後、処理はS423に進む。
【0162】
<S423>
S422において検査対象履歴に対応するレコードを利用権マスタテーブル190aから取得した後、操作履歴検査部150は、検査対象履歴の操作日時と取得した利用権マスタテーブル190aのレコード(以下、「対応レコード」という)の更新日時とを比較する。
検査対象履歴の操作日時が対応レコードの更新日時以降の日時である場合(YES)、操作履歴検査部150はセキュリティ違反の可能性があると判定し、処理はS424に進む。
検査対象履歴の操作日時が対応レコードの更新日時以前の日時である場合(NO)、操作履歴検査部150はセキュリティ違反でないと判定し、処理はS420に戻る。
【0163】
<S424>
S423において検査対象履歴の操作日時が対応レコードの更新日時以降の日時である場合(YES)、操作履歴検査部150は、検査対象履歴の操作と対応レコードの利用権限とを比較する。
検査対象履歴の操作が対応レコードの利用権限に利用可能な操作として設定されている操作である場合(YES)、操作履歴検査部150はセキュリティ違反でないと判定し、処理はS420に戻る。
検査対象履歴の操作が対応レコードの利用権限に利用可能な操作として設定されていない操作である場合(NO)、操作履歴検査部150はこの操作をセキュリティ違反と判定し、処理はS425に進む。
例えば、対応レコードの利用権限が「閲覧可」「印刷可」「編集不可」であり、検査対象履歴の操作が「編集」である場合、操作履歴検査部150は、この操作をセキュリティ違反と判定する。
【0164】
<S425>
S424において検査対象履歴の操作が対応レコードの利用権限に利用可能な操作として設定されていない操作である場合(NO)、操作履歴検査部150は、検査対象履歴を違反履歴ファイル192aに追加して設定する。
S425の後、処理はS420に戻る。
【0165】
<S430>
S420において未検査履歴が無い場合(NO)、操作履歴検査部150は、違反履歴格納部192から違反履歴ファイル192aを取得し、取得した違反履歴ファイル192aを管理者端末410に送信する。違反履歴ファイル192aを受信した管理者端末410は、違反履歴ファイル192aを表示装置901に表示してセキュリティ違反があったことを管理者に知らせる。
S430の後、処理は終了する。
【0166】
実施の形態4では、以下のような分散型利用権管理システム900について説明した。
利用者端末400は、コンテンツに対する操作履歴を取得し、キャッシュサーバ300へ送信する操作履歴送信部402を備える。
キャッシュサーバ300は、操作履歴格納部392および操作履歴管理部350を備える。
操作履歴格納部392は、操作履歴を格納する。
操作履歴管理部350は、利用者端末400から操作履歴を受信すると操作履歴格納部392に格納するとともに、操作履歴送信指示を受けると操作履歴格納部392の内容(操作履歴ファイル392a)をマスタサーバ100へ送信する。
マスタサーバは、キャッシュサーバ300の操作履歴管理部350から操作履歴を受信すると、利用権マスタ格納部190に含まれる最新の利用権と比較してセキュリティ違反を検査する操作履歴検査部150を備える。
ネットワーク障害の可能性ありと判定された場合に、ライセンス代理発行部310は利用者端末400に対して操作履歴送信を指示し、操作履歴管理部350は操作履歴の収集・蓄積を行うとともに、障害復旧時に蓄積した操作履歴を操作履歴検査部150へ送信し、操作履歴検査部150が障害中のセキュリティ違反を検出する。
【0167】
分散型利用権管理システム900は、ネットワーク障害中もキャッシュを用いたライセンス発行を行うことでコンテンツ利用の可用性を向上させるとともに、障害中のセキュリティ違反を検出することができる。
【図面の簡単な説明】
【0168】
【図1】図1は、実施の形態1における分散型利用権管理システム900の装置構成図。
【図2】実施の形態1におけるハードウェア資源の一例を示す図。
【図3】実施の形態1における分散型利用権管理システム900のコンテンツ利用方法および利用権管理方法を示すフローチャート。
【図4】実施の形態1における分散型利用権管理システム900の機能構成図。
【図5】実施の形態1における利用権マスタテーブル190aおよび利用権キャッシュテーブル390aを示す図。
【図6】実施の形態1におけるコンテンツ鍵マスタテーブル191aおよびコンテンツ鍵キャッシュテーブル391aを示す図。
【図7】実施の形態1におけるライセンス発行処理(S112)のフローチャート。
【図8】実施の形態1におけるキャッシュ取得部320によるキャッシュ取得処理(S220)のフローチャート。
【図9】実施の形態1における障害監視判定部340による障害判定処理(S230)のフローチャート。
【図10】実施の形態1におけるキャッシュ更新処理(S142)のフローチャート。
【図11】実施の形態2におけるライセンス発行処理(S112)のフローチャート。
【図12】実施の形態3における利用権マスタテーブル190aおよび利用権キャッシュテーブル390aを示す図。
【図13】実施の形態3におけるライセンス発行処理(S112)のフローチャート。
【図14】実施の形態4における分散型利用権管理システム900の機能構成図。
【図15】実施の形態4における利用権マスタテーブル190aを示す図。
【図16】実施の形態4における操作履歴ファイル392aを示す図。
【図17】実施の形態4におけるライセンス発行処理(S112)のフローチャート。
【図18】実施の形態4におけるキャッシュ取得部320によるキャッシュ取得処理(S220)のフローチャート。
【図19】実施の形態1における障害監視判定部340による障害判定処理(S230)のフローチャート、
【図20】実施の形態1におけるキャッシュ更新処理(S142)のフローチャート。
【図21】実施の形態4における操作履歴検査方法を示すフローチャート。
【符号の説明】
【0169】
100 マスタサーバ、110 ライセンス発行部、120 ライセンス情報複製部、130 利用権更新部、140 監視応答部、150 操作履歴検査部、190 利用権マスタ格納部、190a 利用権マスタテーブル、191 コンテンツ鍵マスタ格納部、191a コンテンツ鍵マスタテーブル、192 違反履歴格納部、192a 違反履歴ファイル、200 監視応答装置、210 監視応答部、300 キャッシュサーバ、310 ライセンス代理発行部、320 キャッシュ取得部、330 キャッシュ更新部、340 障害監視判定部、350 操作履歴管理部、390 利用権キャッシュ格納部、390a 利用権キャッシュテーブル、391 コンテンツ鍵キャッシュ格納部、391a コンテンツ鍵キャッシュテーブル、392 操作履歴格納部、392a 操作履歴ファイル、400 利用者端末、401 コンテンツ操作部、402 操作履歴送信部、409 利用者端末記憶部、410 管理者端末、420 ネットワーク、900 分散型利用権管理システム、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群。
【技術分野】
【0001】
本発明は、例えば、企業機密情報の漏洩対策に用いられ、システムの可用性向上および負荷分散を実現させる利用許可装置、利用権管理システム、利用許可装置の利用許可方法および利用許可プログラムに関するものである。
【背景技術】
【0002】
企業機密情報の漏洩対策として、機密電子データを暗号化し、その利用可否を制御する利用権管理システムの適用が進みつつある。その適用範囲は、個人情報等の重要機密から企業機密全般に拡がりつつある。これに伴って、システムの可用性向上・負荷分散の実現が要求されている。
【0003】
これに対して、キャッシュサーバを用いて負荷分散および可用性向上を実現する技術(特許文献1)やキャッシュの最新性を維持する技術(特許文献2)などが開示されている。これらのキャッシュ技術は、利用権管理システムにより制御されるコンテンツ鍵(暗号鍵)及び利用権に対しても適用可能である。
【特許文献1】特開2002−132568号公報
【特許文献2】特開2002−215445号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、従来技術では、可用性とセキュリティを両立できないという課題があった。
【0005】
従来のキャッシュサーバは、ユーザからのデータ要求時にマスタサーバへ利用権の更新有無の確認を行う。マスタサーバ障害またはネットワーク障害により更新確認に失敗した場合の対応方法として、データ要求を拒否する方法とキャッシュデータを応答する方法との2通りの方法がある。
前者の方法は、マスタサーバ障害時にデータ要求を拒否するため、マスタサーバ障害時の可用性を実現することができない。
後者の方法は、マスタサーバ障害時にキャッシュデータを応答するため、マスタサーバ障害時の可用性を実現できる。しかし、ネットワーク障害時にマスタサーバが管理しているマスタデータとキャッシュサーバが応答するキャッシュデータとの間で利用権の不一致が生じ、セキュリティ違反につながる可能性がある。
【0006】
この発明は、例えば、上記のような課題を解決するためになされたもので、マスタサーバ障害時の可用性を実現しつつ、ネットワーク障害時のセキュリティ違反を防止することを目的とする。
【課題を解決するための手段】
【0007】
本発明の利用許可装置は、利用者端末装置で利用される利用データの利用権限を示す利用権限情報を管理する利用権限情報管理元装置からネットワークを介して前記利用権限情報を通信装置を用いて取得する利用権限情報取得部と、前記利用権限情報取得部により取得された利用権限情報を記憶媒体を用いて記憶する利用権限取得情報記憶部と、前記利用権限情報を含んで前記利用データの利用許可を示す利用許可データを要求する利用許可要求が前記利用者端末装置から有る場合、前記利用権限情報管理元装置との通信可否をCPU(Central Proccessing Unit)を用いて判定すると共に前記利用権限情報管理元装置と通信不可である場合に通信不可の原因が前記ネットワークの障害と前記利用権限情報管理元装置の障害とのいずれであるかCPUを用いて判定する障害監視判定部と、前記障害監視判定部により前記利用権限情報管理元装置と通信可であると判定された場合および前記障害監視判定部により通信不可の原因が前記利用権限情報管理元装置の障害であると判定された場合、前記利用権限取得情報記憶部に記憶されている利用権限情報を含めて前記利用許可データを前記利用者端末装置に通信装置を用いて応答し、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記利用データの利用不許可を前記利用者端末装置に通信装置を用いて応答する利用許可応答部とを備える。
【発明の効果】
【0008】
本発明によれば、例えば、マスタサーバ(利用権限情報管理元装置)障害時の可用性を実現しつつ、ネットワーク障害時のセキュリティ違反を防止することができる。
【発明を実施するための最良の形態】
【0009】
実施の形態1.
利用者端末装置で利用されるコンテンツ(利用データ)の利用権限をマスタサーバ装置(利用権限情報管理元装置)とキャッシュサーバ装置(利用許可装置)とで分散管理する分散型の利用権管理システムについて説明する。
【0010】
図1は、実施の形態1における分散型利用権管理システム900の装置構成図である。
実施の形態1における分散型利用権管理システム900の装置構成について、図1に基づいて以下に説明する。
【0011】
分散型利用権管理システム900は、マスタサーバ装置(以下、「マスタサーバ100」という)、監視応答装置200、キャッシュサーバ装置(以下、「キャッシュサーバ300」という)、利用者端末装置(以下、「利用者端末400」という)および管理者端末装置(以下、「管理者端末410」という)を備える。
【0012】
マスタサーバ100、監視応答装置200、キャッシュサーバ300、利用者端末400および管理者端末410はそれぞれ、ネットワークを介して通信接続している。以下、マスタサーバ100および監視応答装置200がキャッシュサーバ300、利用者端末400および管理者端末410との通信接続に用いるネットワークを「ネットワーク420」と記す。また、マスタサーバ100と監視応答装置200とは、互いに近いネットワークに接続している。近いネットワークとは特定の装置(または、特定のネットワーク)までの通信ルート(経由するルータ)が一致または類似するネットワークを意味し、マスタサーバ100と監視応答装置200とはネットワーク420までの通信ルートが一致または類似する。ネットワークは、インターネット、LAN(ローカルエリアネットワーク)またはその他の通信網のいずれでも構わない。
例えば、マスタサーバ100、監視応答装置200、キャッシュサーバ300、利用者端末400および管理者端末410はインターネットに接続し、マスタサーバ100および監視応答装置200はLANa(ローカルエリアネットワーク)(図示省略)に接続し、キャッシュサーバ300および利用者端末400はLANb(図示省略)に接続している。
【0013】
マスタサーバ100(利用権限情報管理元装置)は、利用者端末400で利用される利用データの利用権限を示す利用権限情報のマスタ(原本データ、複製元データ)を管理し、利用権限情報を含んで利用データの利用許可を示す利用許可データを利用者端末400からの要求に応じて提供する。
また、マスタサーバ100は、キャッシュサーバ300から通信障害の有無を監視するための監視要求(応答要求)を受けた場合、キャッシュサーバ300に応答する。
以下、利用データを「コンテンツ」といい、利用許可データを「ライセンス」という。
【0014】
キャッシュサーバ300(利用許可装置)は、マスタサーバ100により管理されるマスタから複製された利用権限情報をキャッシュ(複製データ)として管理し、利用者端末400からの要求に応じてライセンスを発行する。キャッシュサーバ300は、ライセンスを発行する前にマスタサーバ100と監視応答装置200とに監視要求し、応答結果に基づいてライセンスの発行可否を決定する。
【0015】
利用者端末400は、利用者に操作され、利用者からコンテンツの利用を指定された場合にキャッシュサーバ300またはマスタサーバ100にライセンスの発行を要求する。ライセンスが発行された場合、利用者端末400は、発行されたライセンスに示される利用権限の範囲内で利用者にコンテンツを利用させる。
【0016】
監視応答装置200(通信端末装置)は、キャッシュサーバ300から監視要求を受けた場合、キャッシュサーバ300に応答する。
【0017】
管理者端末410は、管理者に操作され、管理者の命令に応じてマスタサーバ100にアクセスすると共にマスタサーバ100により管理されている利用権限情報のマスタを更新する。
【0018】
図2は、実施の形態1におけるハードウェア資源の一例を示す図である。
図1において、マスタサーバ100、監視応答装置200、キャッシュサーバ300、利用者端末400および管理者端末410は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、FDD904(Flexible・Disk・Drive)、CDD905(コンパクトディスク装置)、プリンタ906、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
RAM914は、揮発性メモリの一例である。ROM913、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶機器、記憶装置あるいは記憶部の一例である。また、入力データが記憶されている記憶機器は入力機器、入力装置あるいは入力部の一例であり、出力データが記憶される記憶機器は出力機器、出力装置あるいは出力部の一例である。
通信ボード915は、入出力機器、入出力装置あるいは入出力部の一例である。
【0019】
通信ボード915は、有線または無線で、LAN、インターネット、ISDN等のWAN(ワイドエリアネットワーク)、電話回線などの通信網に接続されている。
【0020】
磁気ディスク装置920には、OS921(オペレーティングシステム)、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、OS921により実行される。
【0021】
上記プログラム群923には、実施の形態において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
【0022】
ファイル群924には、実施の形態において、「〜部」の機能を実行した際の「〜の判定結果」、「〜の計算結果」、「〜の処理結果」などの結果データ、「〜部」の機能を実行するプログラム間で受け渡しするデータ、その他の情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。これらのCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、実施の形態において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、磁気ディスク装置920の磁気ディスク、その他の記録媒体に記録される。また、データや信号値は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0023】
また、実施の形態において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスクやその他の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、「〜部」としてコンピュータを機能させるものである。あるいは、「〜部」の手順や方法をコンピュータに実行させるものである。
【0024】
図3は、実施の形態1における分散型利用権管理システム900のコンテンツ利用方法および利用権管理方法を示すフローチャートである。
実施の形態1における分散型利用権管理システム900のコンテンツ利用方法および利用権管理方法について、図3に基づいて以下に説明する。
【0025】
まず、概要を説明する。
利用者端末400はキャッシュサーバ300にコンテンツのライセンス(利用権[利用権限情報]およびコンテンツ鍵を含む利用許可データ)を要求する(S110)。
利用者端末400とキャッシュサーバ300との間で通信が可能な状態である場合(S111)、キャッシュサーバ300はキャッシュの有無およびマスタサーバ100との通信可否に応じて、利用者端末400に応答(ライセンス発行orライセンス無発行)する(S112)。
利用者端末400とキャッシュサーバ300との間で通信が可能な状態でない場合(S111)、利用者端末400はマスタサーバ100にコンテンツのライセンスを要求する(S120)。
利用者端末400とマスタサーバ100との間で通信が可能な状態である場合(S121)、マスタサーバ100は利用者端末400に応答(ライセンス発行)する(S122)。
ライセンスが発行された場合(S130)、利用者端末400はライセンスに基づいてコンテンツを操作する(S131)。
また、管理者端末410がマスタサーバ100で管理されている利用権を更新した場合(S140)、マスタサーバ100は利用権の更新をキャッシュサーバ300に通知し(S141)、キャッシュサーバ300は更新後の利用権を取得して記憶する(S142)。
【0026】
次に、各処理(S110〜S142)の詳細を説明する。
【0027】
<S110>
利用者端末400は、利用者からコンテンツの利用を指定された場合、キャッシュサーバ300にコンテンツのライセンスを要求するライセンス要求を送信する。
コンテンツは、許可無く利用できないように暗号化されており、コンテンツ鍵を用いて復号される。コンテンツは、利用者端末400の記憶装置(図示省略)に予め記憶されているものとする。
コンテンツ鍵は、コンテンツの復号に用いられるデータである。
ライセンスには、利用権(利用権限情報)およびコンテンツ鍵が含まれる。
【0028】
<S111>
S110の後、利用者端末400とキャッシュサーバ300との間で通信が可能な状態か否かに応じて、以後の動作は異なる。
利用者端末400とキャッシュサーバ300との間で通信が可能な状態とは、キャッシュサーバ300に障害が発生してなく、且つ利用者端末400とキャッシュサーバ300とを接続するネットワークに障害が発生してない状態である。
利用者端末400とキャッシュサーバ300との間で通信が可能な状態である場合(YES)、処理はS112に進み、利用者端末400とキャッシュサーバ300との間で通信が可能な状態でない場合(NO)、処理はS120に進む。
【0029】
<S112:ライセンス発行処理>
S111において利用者端末400とキャッシュサーバ300との間で通信が可能な状態である場合(YES)、キャッシュサーバ300は、キャッシュの有無およびマスタサーバ100との通信可否に応じて、利用者端末400のライセンス要求に応答する。
応答の種類には、「ライセンス発行」と「ライセンス無発行」とがある。「ライセンス発行」はコンテンツを使用可能にするためのライセンスの提供(送信)を意味し、「ライセンス無発行」はコンテンツの使用の不許可を意味する。
ライセンス発行処理(S112)の詳細について後述する。
S112の後、処理はS130に進む。
【0030】
<S120>
S111において利用者端末400とキャッシュサーバ300との間で通信が可能な状態でない場合(NO)、利用者端末400は、マスタサーバ100にコンテンツのライセンスを要求するライセンス要求を送信する。
【0031】
<S121>
S120の後、利用者端末400とマスタサーバ100との間で通信が可能な状態か否かに応じて、以後の動作は異なる。
利用者端末400とマスタサーバ100との間で通信が可能な状態とは、マスタサーバ100に障害が発生してなく、且つ利用者端末400とマスタサーバ100とを接続するネットワーク420に障害が発生してない状態である。
利用者端末400とマスタサーバ100との間で通信が可能な状態である場合(YES)、処理はS122に進む。
利用者端末400とマスタサーバ100との間で通信が可能な状態でない場合(NO)、処理は終了する。この場合、利用者端末400は、ライセンスを取得しておらず、コンテンツを復号して使用することができない。利用者端末400は、コンテンツを利用できないことを表示装置901に表示して利用者に通知する。
【0032】
<S122>
S121において利用者端末400とマスタサーバ100との間で通信が可能な状態である場合(YES)、マスタサーバ100は、ライセンスを発行して利用者端末400のライセンス要求に応答する。
S122の後、処理はS130に進む。
【0033】
<S130>
S112においてキャッシュサーバ300が利用者端末400のライセンス要求に応答した後およびS122においてマスタサーバ100が利用者端末400のライセンス要求に応答した後、応答結果に応じて、以後の動作が異なる。
応答結果としてライセンスが発行された場合(YES)、処理はS131に進む。
応答結果としてライセンスが発行されなかった場合(NO)、処理は終了する。この場合、利用者端末400は、ライセンスを取得しておらず、コンテンツを復号して使用することができない。利用者端末400は、コンテンツを利用できないことを表示装置901に表示して利用者に通知する。
【0034】
<S131>
S130においてライセンスが発行された場合(YES)、利用者端末400は、ライセンスに含まれるコンテンツ鍵でコンテンツを復号し、ライセンスに示される利用権限の範囲内で利用者にコンテンツを利用させる。
例えば、コンテンツの利用とは、閲覧、編集(変更、追加、削除)、印刷、複製である。
【0035】
<S140>
管理者端末410は、管理者から利用権の更新を命令された場合、マスタサーバ100に利用権の更新を要求する。要求を受けたマスタサーバ100は、管理している利用権(利用権限情報)のマスタを更新する。
S140の後、処理はS141に進む。
【0036】
<S141>
S140において利用権のマスタを更新した後、マスタサーバ100は、利用権のマスタを更新したことを通知する利用権更新通知をキャッシュサーバ300に送信する。
S141の後、処理はS142に進む。
【0037】
<S142:キャッシュ更新処理>
S141において利用権更新通知を受けた後、キャッシュサーバ300は、マスタサーバ100から更新後の利用権(最新の利用権)を取得し、管理している利用権のキャッシュをマスタサーバ100から取得した更新後の利用権に更新する。更新された利用権のキャッシュは最新の利用権を示し、マスタサーバ100で管理される利用権のマスタとキャッシュサーバ300で管理される利用権のキャッシュとは一致する。
但し、ネットワーク420に障害が発生している場合、キャッシュサーバ300は、マスタサーバ100から通知を受けることができず、利用権のキャッシュを最新の状態にすることができない。
キャッシュ更新処理(S142)の詳細について後述する。
S142の後、処理は終了する。
【0038】
S111において利用者端末400とキャッシュサーバ300との間で通信ができない状態であっても利用者端末400がライセンスの要求先をマスタサーバ100に切り替えることにより、分散型利用権管理システム900は、コンテンツ利用の可用性を向上させる。
【0039】
ネットワーク420に障害が発生していない場合、S140〜S142においてマスタサーバ100で管理される利用権のマスタとキャッシュサーバ300で管理される利用権のキャッシュとが一致することにより、分散型利用権管理システム900は、マスタとキャッシュとの整合性を確保し、セキュリティを守る。例えば、マスタの更新により利用する権限を失った利用者にコンテンツが利用される、ということを防ぐことができる。また、マスタサーバ100に障害が発生している場合、マスタサーバ100で管理される利用権のマスタは更新されないため、マスタとキャッシュとの整合性は確保される。
【0040】
S112においてマスタサーバ100との通信可否に応じてキャッシュサーバ300がライセンスの発行を決定することにより、分散型利用権管理システム900は、マスタサーバ100に障害が発生している場合のコンテンツ利用の可用性とネットワーク420に障害が発生している場合のセキュリティ性を向上させる。詳細については後述する。
【0041】
図4は、実施の形態1における分散型利用権管理システム900の機能構成図である。
実施の形態1におけるマスタサーバ100、監視応答装置200、キャッシュサーバ300および利用者端末400の機能構成について、図4に基づいて以下に説明する。
【0042】
キャッシュサーバ300は、ライセンス代理発行部310、キャッシュ取得部320、キャッシュ更新部330、障害監視判定部340、利用権キャッシュ格納部390およびコンテンツ鍵キャッシュ格納部391を備える。
【0043】
キャッシュ取得部320(利用権限情報取得部)は、利用者端末400で利用されるコンテンツの利用権限を示す利用権限情報を管理するマスタサーバ100からネットワーク420を介して利用権限情報を通信装置を用いて取得する。キャッシュ取得部320は、利用権限情報と共にコンテンツ鍵をマスタサーバ100から取得する。
【0044】
利用権キャッシュ格納部390(利用権限取得情報記憶部)は、キャッシュ取得部320により取得された利用権限情報を記憶媒体を用いて記憶する。
【0045】
障害監視判定部340(障害監視判定部)は、利用権限情報を含んでコンテンツの利用許可を示すライセンスを要求するライセンス要求が利用者端末400から有る場合、マスタサーバ100との通信可否をCPUを用いて判定する。さらに、障害監視判定部340は、マスタサーバ100と通信不可である場合、通信不可の原因がネットワーク420の障害とマスタサーバ100の障害とのいずれであるかCPUを用いて判定する。
具体的に、障害監視判定部340は、ネットワーク420に接続するマスタサーバ100とネットワーク420に接続する監視応答装置200とにネットワーク420を介して監視要求を送信して上記の判定を行う。障害監視判定部340は、マスタサーバ100から応答が有る場合にマスタサーバ100と通信可であると判定し、マスタサーバ100から応答が無くて監視応答装置200から応答が有る場合に通信不可の原因がマスタサーバ100の障害であると判定し、マスタサーバ100と監視応答装置200との両方から応答が無い場合に通信不可の原因がネットワーク420の障害であると判定する。
障害監視判定部340は、ライセンス要求が有って利用権キャッシュ格納部390に利用権限情報が記憶されている場合に上記の判定を行う。
【0046】
ライセンス代理発行部310(利用許可応答部)は、障害監視判定部340によりマスタサーバ100と通信可であると判定された場合および障害監視判定部340により通信不可の原因がマスタサーバ100の障害であると判定された場合、利用権キャッシュ格納部390に記憶されている利用権限情報を含めてライセンスを利用者端末400に通信装置を用いて応答する。さらに、ライセンス代理発行部310は、障害監視判定部340により通信不可の原因がネットワーク420の障害であると判定された場合、コンテンツの利用不許可を利用者端末400に通信装置を用いて応答する。
【0047】
キャッシュ更新部330は、マスタサーバ100から利用権限情報の更新通知がある場合、キャッシュ取得部320にマスタサーバ100から更新後の利用権限情報を取得させる。
【0048】
コンテンツ鍵キャッシュ格納部391は、キャッシュ取得部320により取得されたコンテンツ鍵を記憶媒体を用いて記憶する。
【0049】
マスタサーバ100は、ライセンス発行部110、ライセンス情報複製部120、利用権更新部130、監視応答部140、利用権マスタ格納部190およびコンテンツ鍵マスタ格納部191を備える。
【0050】
利用権マスタ格納部190は、利用権限情報を記憶媒体を用いて記憶する。
【0051】
コンテンツ鍵マスタ格納部191は、コンテンツ鍵を記憶媒体を用いて記憶する。
【0052】
ライセンス発行部110は、ライセンス要求が利用者端末400から有る場合、利用権マスタ格納部190に記憶されている利用権限情報を含めてライセンスを利用者端末400に通信装置を用いて応答する。
【0053】
ライセンス情報複製部120は、利用権マスタ格納部190に記憶されている利用権限情報を複製してキャッシュサーバ300に通信装置を用いて送信する。ライセンス情報複製部120は、利用権限情報と共にコンテンツ鍵マスタ格納部191に記憶されているコンテンツ鍵を複製してキャッシュサーバ300に送信する。
【0054】
利用権更新部130は、利用権限情報の更新を要求する利用権更新要求が管理者端末410から有る場合、利用権マスタ格納部190に記憶されている利用権限情報を利用権更新要求に基づいて更新する。
【0055】
監視応答部140は、通信の応答を要求する監視要求がキャッシュサーバ300から有る場合、通信装置を用いてキャッシュサーバ300に通信の応答をする。
【0056】
監視応答装置200は、監視応答部210を備える。
【0057】
監視応答部210は、監視要求がキャッシュサーバ300から有る場合、通信装置を用いてキャッシュサーバ300に通信の応答をする。
【0058】
利用者端末400は、コンテンツ操作部401および利用者端末記憶部409を備える。
【0059】
コンテンツ操作部401は、マスタサーバ100またはキャッシュサーバ300から応答されたライセンスに示される利用権限の範囲内で、利用者の指定に従ってコンテンツをCPUを用いて操作する。
【0060】
利用者端末記憶部409は、コンテンツを記憶媒体を用いて記憶する。
【0061】
図5は、実施の形態1における利用権マスタテーブル190aおよび利用権キャッシュテーブル390aを示す図である。
利用権マスタ格納部190および利用権キャッシュ格納部390に記憶される利用権限情報について、図5に基づいて以下に説明する。
【0062】
マスタサーバ100の利用権マスタ格納部190には利用権マスタテーブル190aが記憶され、利用権マスタテーブル190aの各レコード(1行)には「コンテンツID」「ユーザID」および「利用権限(利用権限情報)」が互いに対応付けられて設定される。
キャッシュサーバ300の利用権キャッシュ格納部390には利用権マスタテーブル190aの複製が記憶される。
【0063】
「コンテンツID」には、コンテンツを識別する情報(以下、「コンテンツID」という)が設定される。
「ユーザID」には、利用者を識別する情報(以下、「ユーザID」という)が設定される。
「利用権限」には、コンテンツIDで識別されるコンテンツを利用する権限であり、ユーザIDで識別される利用者に与えられる利用権限が設定される。
【0064】
例えば、先頭のレコードは、「UID−A」で識別される利用者に「CID0001」で識別されるコンテンツを「閲覧」「印刷」「編集」する権限が与えられることを示している。
【0065】
図6は、実施の形態1におけるコンテンツ鍵マスタテーブル191aおよびコンテンツ鍵キャッシュテーブル391aを示す図である。
コンテンツ鍵マスタ格納部191およびコンテンツ鍵キャッシュ格納部391に記憶されるコンテンツ鍵について、図6に基づいて以下に説明する。
【0066】
マスタサーバ100のコンテンツ鍵マスタ格納部191にはコンテンツ鍵マスタテーブル191aが記憶され、コンテンツ鍵マスタテーブル191aの各レコードには「コンテンツID」および「コンテンツ鍵」が対応付けられて設定される。
キャッシュサーバ300のコンテンツ鍵キャッシュ格納部391にはコンテンツ鍵マスタテーブル191aの複製が記憶される。
【0067】
「コンテンツID」には、コンテンツを識別する情報であるコンテンツIDが設定される。
「コンテンツ鍵」には、暗号化されたコンテンツを復号するための情報であるコンテンツ鍵または別途記憶されているコンテンツ鍵との対応情報(例えば、コンテンツ鍵の記憶先のアドレス)が設定される。
【0068】
例えば、先頭のレコードは、「CID−0001」で識別されるコンテンツが「KEY−0001」で識別されるコンテンツ鍵で復号されることを示している。
【0069】
図7は、実施の形態1におけるライセンス発行処理(S112)のフローチャートである。
利用権管理方法(図3参照)のライセンス発行処理(利用権許可方法)(S112)について、図7に基づいて以下に説明する。
キャッシュサーバ300の各「〜部」は、以下に説明する処理をCPUを用いて実行する。
【0070】
まず、ライセンス発行処理(S112)の概要について説明する。
ライセンス代理発行部310は、利用者端末400からライセンス要求を受信した場合(S210)、キャッシュが有るか確認する(S211)。キャッシュが無い場合、キャッシュ取得部320によりキャッシュ取得処理が行われ(S220)、キャッシュが有る場合、障害監視判定部340により障害判定処理が行われる(S230)。
キャッシュの取得が成功した場合(S240)、ライセンス代理発行部310はキャッシュを取り出し(S250)、利用者端末400にライセンスを発行する(S251)。キャッシュの取得が失敗した場合(S240)、ライセンス代理発行部310はライセンス発行失敗を利用者端末400に応答する(S260)。
障害判定結果が「障害無し(S)」または「マスタサーバ障害(F1)」の場合(S241)、ライセンス代理発行部310はキャッシュを取り出し(S250)、利用者端末400にライセンスを発行する(S251)。障害判定結果が「ネットワーク障害(F2)」の場合(S241)、ライセンス代理発行部310はライセンス発行拒否を利用者端末400に応答する(S270)。
【0071】
次に、各処理(S210〜S252)の詳細について説明する。
【0072】
<S210>
利用者端末400がキャッシュサーバ300へライセンス要求を送信した場合、キャッシュサーバ300のライセンス代理発行部310は、利用者端末400から送信されたライセンス要求を受信する。
ライセンス要求には、利用者端末400を利用している利用者のユーザIDと利用者に指定されたコンテンツのコンテンツIDとが含まれる。
S210の後、処理はS211に進む。
【0073】
<S211>
S210においてライセンス要求を受信した後、ライセンス代理発行部310は、ライセンス要求に対応する利用権限情報のキャッシュおよびコンテンツ鍵のキャッシュが有るか判定する。
ライセンス代理発行部310は、ライセンス要求に示されるコンテンツIDおよびユーザIDと一致するレコードが利用権キャッシュテーブル390aに含まれている場合、利用権限情報のキャッシュが有ると判定する。また、ライセンス代理発行部310は、ライセンス要求に含まれるコンテンツIDと一致するレコードがコンテンツ鍵キャッシュテーブル391aに含まれている場合、コンテンツ鍵のキャッシュが有ると判定する。
利用権限情報のキャッシュとコンテンツ鍵のキャッシュとが有る場合(YES)、処理はS230に進み、利用権限情報のキャッシュとコンテンツ鍵のキャッシュとの少なくともいずれかが無い場合(NO)、処理はS220に進む。
【0074】
<S220:キャッシュ取得処理>
S211において利用権限情報のキャッシュとコンテンツ鍵のキャッシュとの少なくともいずれかが無い場合(NO)、ライセンス代理発行部310はキャッシュ取得指示をキャッシュ取得部320に出力し、キャッシュ取得指示を受けたキャッシュ取得部320はキャッシュ取得処理を実行する。
キャッシュ取得処理において、キャッシュ取得部320は、マスタサーバ100への要求により、キャッシュが無い利用権限情報およびコンテンツ鍵の取得を試み、取得した利用権限情報を設定したレコードを利用権キャッシュテーブル390aに追加し、取得したコンテンツ鍵を設定したレコードをコンテンツ鍵キャッシュテーブル391aに追加する。そして、キャッシュ取得部320は、取得結果をライセンス代理発行部310に出力する。キャッシュ取得処理の詳細について後述する。
S220の後、処理はS240に進む。
【0075】
<S240>
S220におけるキャッシュ取得処理の後、ライセンス代理発行部310は、取得結果が「取得成功」「取得失敗」のいずれを示すか判定する。
「取得成功」の場合(YES)、処理はS250に進み、「取得失敗」の場合(NO)、処理はS260に進む。
【0076】
<S250>
S240において「取得成功」の場合(YES)、ライセンス代理発行部310は、ライセンス要求に対応する利用権限情報のキャッシュを利用権キャッシュテーブル390aから取得し、ライセンス要求に対応するコンテンツ鍵のキャッシュをコンテンツ鍵キャッシュテーブル391aから取得する。
S250の後、処理はS251に進む。
【0077】
<S251>
S250において利用権限情報およびコンテンツ鍵のキャッシュを取得した後、ライセンス代理発行部310は、取得した利用権限情報と取得したコンテンツ鍵とを含むデータをライセンスとして生成し、生成したライセンスを利用者端末400に送信する。ライセンスの送信は、ライセンスの発行・応答を意味する。
S251の後、処理は終了する。
【0078】
<S260>
S240において「取得失敗」の場合(NO)、ライセンス代理発行部310は、ライセンスの発行を失敗したことを示す応答データを生成し、生成した応答データを利用者端末400に送信する。
S260の後、処理は終了する。
【0079】
<S230:障害判定処理>
S211において利用権限情報のキャッシュとコンテンツ鍵のキャッシュとが有る場合(YES)、ライセンス代理発行部310は障害判定指示を障害監視判定部340に出力し、障害判定指示を受けた障害監視判定部340は障害判定処理を実行する。
障害判定処理において、障害監視判定部340は、マスタサーバ100および監視応答装置200へ監視要求を送信し、応答結果に基づいて「障害無し(S)」「マスタサーバ障害(F1)」「ネットワーク障害(F2)」のいずれの状態であるか判定し、判定結果をライセンス代理発行部310に出力する。障害判定処理の詳細について後述する。
S230の後、処理はS241に進む。
【0080】
<S241>
S230における障害判定処理の後、ライセンス代理発行部310は、判定結果が「障害無し(S)」「マスタサーバ障害(F1)」「ネットワーク障害(F2)」のいずれを示すか判定する。
「障害無し(S)」または「マスタサーバ障害(F1)」の場合、処理はS250に進む。S250に処理が進むと、前述の通り、ライセンス要求に対応する利用権情報のキャッシュおよびコンテンツ鍵のキャッシュが取得され(S250)、ライセンスが生成されて利用者端末400に発行される(S251)。S251の後、処理は終了する。
【0081】
「障害無し(S)」の場合、マスタサーバ100で管理されている利用権限情報のマスタが更新されれば、マスタサーバ100からキャッシュサーバ300への通知があり、キャッシュサーバ300で管理されている利用権限情報のキャッシュが更新される(図3のS140〜S142参照)。
このため、マスタとキャッシュとの整合性は保たれ、キャッシュを用いてライセンスが発行さてもセキュリティは守られる。
例えば、マスタが「利用権限有り」から「利用権限無し」に更新され、キャッシュが「利用権限有り」のまま更新されず、キャッシュに基づいて「利用権限有り」のライセンスが発行され、マスタの更新により利用権限を失ったはずの利用者がコンテンツを利用できる、というセキュリティ違反は起こらない。
また、「マスタサーバ障害(F1)」の場合、マスタサーバ100で管理されている利用権限情報のマスタが更新されることは無いため、マスタとキャッシュとの整合性は保たれ、キャッシュを用いてライセンスが発行されてもセキュリティは守られる。そして、「マスタサーバ障害(F1)」の場合でも、キャッシュを用いてライセンスが発行されることにより、コンテンツ利用の可用性が向上する。
【0082】
S241において「ネットワーク障害(F2)」の場合、処理はS270に進む。
【0083】
<S270>
S241において「ネットワーク障害(F2)」の場合、ライセンス代理発行部310は、ライセンスの発行を拒否することを示す応答データを生成し、生成した応答データを利用者端末400に送信する。
【0084】
「ネットワーク障害(F2)」の場合、マスタサーバ100で管理されている利用権限情報のマスタが更新されても、マスタサーバ100からキャッシュサーバ300へ通知が届かず、キャッシュサーバ300で管理されている利用権限情報のキャッシュが更新されない。つまり、「ネットワーク障害(F2)」の場合、マスタとキャッシュとの整合が取れていない可能性がある。
そこで、「ネットワーク障害F2」の場合にライセンスの発行を拒否することにより、セキュリティ違反を防ぐことができる。
【0085】
S270の後、処理は終了する。
【0086】
図8は、実施の形態1におけるキャッシュ取得部320によるキャッシュ取得処理(S220)のフローチャートである。
ライセンス発行処理(図7参照)においてキャッシュ取得部320により実行されるキャッシュ取得処理(S220)について、図8に基づいて以下に説明する。
キャッシュ取得部320は、以下に説明する処理をCPUを用いて実行する。
【0087】
<S221>
キャッシュ取得部320は、ライセンス代理発行部310からのキャッシュ取得指示を入力する。
キャッシュ取得指示には、利用者端末400からのライセンス要求に示されるコンテンツIDおよびユーザIDが含まれる。
S221の後、処理はS222に進む。
【0088】
<S222>
S221においてキャッシュ取得指示を入力した後、キャッシュ取得部320は、ライセンス情報複製要求をマスタサーバ100へ送信し、マスタサーバ100からの応答を所定時間待つ。
ライセンス情報複製要求には、キャッシュ取得指示に示されるコンテンツIDおよびユーザIDが含まれる。
【0089】
マスタサーバ100のライセンス情報複製部120は、キャッシュ取得部320から送信されたライセンス情報複製要求を受信した場合、ライセンス情報複製要求に基づいて利用権情報とコンテンツ鍵とを複製し、複製した利用権情報およびコンテンツ鍵をキャッシュ取得部320に送信して応答する。
具体的に、ライセンス情報複製部120は、ライセンス情報複製要求に示されるコンテンツIDおよびユーザIDと一致するレコードを利用権マスタテーブル190aから取得し、取得したレコードに設定されている利用権限情報を複製する。また、ライセンス情報複製部120は、ライセンス情報複製要求に示されるコンテンツIDと一致するレコードをコンテンツ鍵マスタテーブル191aから取得し、取得したレコードに設定されているコンテンツ鍵を複製する。そして、ライセンス情報複製部120は、複製した利用権限情報およびコンテンツIDをキャッシュ取得部320に送信する。
マスタサーバ100やネットワーク420に障害が発生している場合、ライセンス情報複製部120はライセンス情報複製要求を受信できず、マスタサーバ100からキャッシュ取得部320への応答は無い。
【0090】
S222の後、処理はS223に進む。
【0091】
<S223>
S222においてマスタサーバ100にライセンス情報複製要求を送信した後、キャッシュ取得部320は、ライセンス情報複製要求を送信してから所定時間内にマスタサーバ100からの応答が有ったか判定する。
マスタサーバ100からの応答が有った場合(YES)、処理はS224に進み、マスタサーバ100からの応答が無かった場合(NO)、処理はS226に進む。
【0092】
<S224>
S223においてマスタサーバ100からの応答が有った場合(YES)、キャッシュ取得部320は、キャッシュ取得要求に示されるコンテンツIDおよびユーザIDと共にマスタサーバ100から応答された利用権限情報を設定したレコードを生成し、生成したレコードを利用権キャッシュテーブル390aに追加して利用権限情報を格納する。さらに、キャッシュ取得部320は、キャッシュ取得要求に示されるコンテンツIDと共にマスタサーバ100から応答されたコンテンツ鍵を設定したレコードを生成し、生成したレコードをコンテンツ鍵キャッシュテーブル391aに追加してコンテンツ鍵を格納する。
S224の後、処理はS225に進む。
【0093】
<S225>
S224において利用権限情報とコンテンツIDとを格納した後、キャッシュ取得部320は、キャッシュ取得結果「取得成功」をライセンス代理発行部310に出力する。
S225の後、処理は終了する。
【0094】
<S226>
S223においてマスタサーバ100からの応答が無かった場合(NO)、キャッシュ取得部320は、キャッシュ取得結果「取得失敗」をライセンス代理発行部310に出力する。
S226の後、処理は終了する。
【0095】
図9は、実施の形態1における障害監視判定部340による障害判定処理(S230)のフローチャートである。
ライセンス発行処理(図7参照)において障害監視判定部340により実行される障害判定処理(S230)について、図9に基づいて以下に説明する。
障害監視判定部340は、以下に説明する処理をCPUを用いて実行する。
【0096】
<S231>
障害監視判定部340は、ライセンス代理発行部310からの障害判定指示を入力する。
S231の後、処理はS232に進む。
【0097】
<S232>
S231において障害判定指示を入力した後、障害監視判定部340は、通信の応答を要求する監視要求をマスタサーバ100(「MS」と記す)および監視応答装置200(「RU」と記す)に送信し、マスタサーバ100および監視応答装置200からの応答を所定時間待つ。
障害監視判定部340から監視要求を受信した場合、マスタサーバ100および監視応答装置200は、障害監視判定部340に通信応答する。
障害監視判定部340により送信された監視要求は、ネットワーク420を介してマスタサーバ100および監視応答装置200に到達する。ネットワーク420に障害が発生している場合、監視要求はマスタサーバ100と監視応答装置200とのどちらにも到達せず、障害監視判定部340はマスタサーバ100と監視応答装置200とのどちらからも応答を受けない。ネットワーク420には障害が発生していないがマスタサーバ100に障害が発生している場合、監視要求は監視応答装置200にのみ到達し、障害監視判定部340は監視応答装置200からのみ応答を受ける。
S232の後、処理はS233に進む。
【0098】
<S233>
S232においてマスタサーバ100と監視応答装置200とに監視要求を送信した後、障害監視判定部340は、監視要求を送信してから所定時間内にマスタサーバ100からの応答が有ったか判定する。
マスタサーバ100からの応答が有った場合(YES)、処理はS235に進み、マスタサーバ100からの応答が無かった場合(NO)、処理はS234に進む。
【0099】
<S234>
S233においてマスタサーバ100からの応答が無い場合(NO)、障害監視判定部340は、監視要求を送信してから所定時間内に監視応答装置200からの応答が有ったか判定する。
監視応答装置200からの応答が有った場合(YES)、処理はS236に進み、監視応答装置200からの応答が無かった場合(NO)、処理はS237に進む。
【0100】
<S235>
S233においてマスタサーバ100からの応答が有った場合(YES)、障害監視判定部340は、マスタサーバ100とネットワーク420とのどちらにも障害が発生していないと判定し、障害判定結果「障害無し(S)」をライセンス代理発行部310に出力する。
S235の後、処理は終了する。
【0101】
<S236>
S234において監視応答装置200からの応答が有った場合(YES)、障害監視判定部340は、マスタサーバ100に障害が発生しているがネットワーク420には障害が発生していないと判定し、障害判定結果「マスタサーバ障害(F1)」をライセンス代理発行部310に出力する。
S236の後、処理は終了する。
【0102】
<S237>
S234において監視応答装置200からの応答が無かった場合(NO)、障害監視判定部340は、ネットワーク420に障害が発生していると判定し、障害判定結果「ネットワーク障害(F2)」をライセンス代理発行部310に出力する。
例外的に、マスタサーバ100と監視応答装置200との両方に障害が発生している場合、ネットワーク420に障害が発生していなくても「ネットワーク障害」と誤判定される。そこで、分散型利用権管理システム900は複数台の監視応答装置200を有し、障害監視判定部340はマスタサーバ100からの応答およびいずれの監視応答装置200からの応答も無かった場合に「ネットワーク障害」と判定することで誤判定を抑止してもよい。
S237の後、処理は終了する。
【0103】
図10は、実施の形態1におけるキャッシュ更新処理(S142)のフローチャートである。
利用権管理方法(図3参照)のキャッシュ更新処理(S142)について、図10に基づいて以下に説明する。
【0104】
<S310>
マスタサーバ100がキャッシュサーバ300へ利用権更新通知を送信した場合、キャッシュサーバ300のキャッシュ更新部330は、マスタサーバ100から送信された利用権更新通知を受信する。
利用権更新通知には、利用権限が更新された利用権マスタテーブル190aのレコードに設定されているコンテンツIDおよびユーザIDが含まれる。
S310の後、処理はS320に進む。
【0105】
<S320>
S310において利用権更新通知を受信した後、キャッシュ更新部330は、利用権更新通知に対応する利用権限情報のキャッシュが有るか判定する。
キャッシュ更新部330は、利用権更新通知に示されるコンテンツIDおよびユーザIDと一致するレコードが利用権キャッシュテーブル390aに含まれている場合、利用権更新通知に対応する利用権限情報のキャッシュが有ると判定する。
利用権限情報のキャッシュが有る場合(YES)、処理はS330に進み、利用権限情報のキャッシュが無い場合(NO)、処理は終了する。
【0106】
<S330>
S320において利用権限情報のキャッシュが有る場合(YES)、キャッシュ更新部330は、利用権限情報のキャッシュを削除する。
具体的に、キャッシュ更新部330は、利用権更新通知に示されるコンテンツIDおよびユーザIDと一致するレコードを利用権キャッシュテーブル390aから削除する。
S320の後、処理はS340に進む。
【0107】
<S340>
S330において利用権限情報のキャッシュを削除した後、キャッシュ更新部330はキャッシュ取得指示をキャッシュ取得部320に出力し、キャッシュ取得指示を受けたキャッシュ取得部320はキャッシュ取得処理を実行する。キャッシュ取得指示には、利用権更新通知に示されるコンテンツIDおよびユーザIDが含まれる。キャッシュ取得処理は、図8で説明した処理と同様である。
キャッシュ取得処理において、キャッシュ取得部320は、マスタサーバ100への要求により、更新された利用権限情報の取得を試み、取得した利用権限情報を設定したレコードを利用権キャッシュテーブル390aに追加する。
S340の後、処理は終了する。
【0108】
キャッシュが有る場合にのみ更新後の利用権限情報を設定したレコードを利用権キャッシュテーブル390aに追加することにより、利用権キャッシュテーブル390aには不要なレコードが追加されない。これにより、利用権キャッシュテーブル390aの検索に要する時間が短縮されるため、ライセンス発行に要する時間を短縮できる。また、利用権キャッシュ格納部390に容量不足が発生することを抑止できる。
【0109】
実施の形態1において以下のような分散型利用権管理システム900について説明した。
分散型利用権管理システム900は、マスタサーバ100と、監視応答装置200と、マスタサーバ100及び監視応答装置200にネットワーク420で接続されたキャッシュサーバ300と、マスタサーバ100及びキャッシュサーバ300にネットワーク420で接続された利用者端末400を有する。
マスタサーバ100は、利用権マスタ格納部190、コンテンツ鍵マスタ格納部191、ライセンス発行部110、ライセンス情報複製部120、利用権更新部130および監視応答部140を備える。
利用権マスタ格納部190は、コンテンツの利用権限を格納する。
コンテンツ鍵マスタ格納部191は、コンテンツを復号するコンテンツ鍵を格納する。
ライセンス発行部110は、利用者端末400からライセンス要求を受信すると、利用権マスタ格納部190から取り出した利用権限と、コンテンツ鍵マスタ格納部191から取り出したコンテンツ鍵とを用いて、ライセンスを生成・応答する。
ライセンス情報複製部120は、キャッシュサーバ300からライセンス情報複製要求を受信すると、利用権マスタ格納部190から取り出した利用権限と、コンテンツ鍵マスタ格納部191から取り出したコンテンツ鍵とからなるライセンス情報を応答する。
利用権更新部130は、管理者端末410から利用権更新要求を受信すると、利用権マスタ格納部190の利用権限を更新するとともに、キャッシュサーバ300に対して、利用権更新通知を送信する。
監視応答装置200は、監視応答部140を備える。
監視応答部140は、キャッシュサーバ300からの監視要求を受信すると、生存応答(通信応答)を返す。
キャッシュサーバ300は、障害監視判定部340、利用権キャッシュ格納部390、コンテンツ鍵キャッシュ格納部391、障害監視判定部340、キャッシュ取得部320、キャッシュ更新部330およびライセンス代理発行部310を備える。
障害監視判定部340は、キャッシュサーバ300からの監視要求を受信すると、生存応答を返す。
利用権キャッシュ格納部390は、利用権マスタ格納部190に含まれる利用権限の複製を格納する。
コンテンツ鍵キャッシュ格納部391は、コンテンツ鍵マスタ格納部191に含まれるコンテンツ鍵の複製を格納する。
障害監視判定部340は、障害判定指示を受けると、マスタサーバ100及び監視応答装置200へ監視要求を送信してマスタサーバ100との通信障害の有無を判定し、障害が発生していると判定した場合はさらに、ネットワーク障害の可能性有無を判定する。
キャッシュ取得部320は、キャッシュ取得指示を受けると、マスタサーバ100へライセンス情報複製要求を送信し、受信した利用権を利用権キャッシュ格納部390に格納し、コンテンツ鍵をコンテンツ鍵キャッシュ格納部391に格納する。
キャッシュ更新部330は、マスタサーバ100から利用権更新通知を受信すると、利用権キャッシュ格納部390の利用権限を削除し、キャッシュ取得部320にキャッシュ取得を指示する。
ライセンス代理発行部310は、利用者端末400からライセンス要求を受信すると、障害監視判定部340に障害判定を指示し、利用権キャッシュ格納部390及びコンテンツ鍵キャッシュ格納部391に利用権及びコンテンツ鍵が格納されていない場合はキャッシュ取得部320にキャッシュ取得を指示する。ライセンス代理発行部310は、利用権キャッシュ格納部390から取り出した利用権と、コンテンツ鍵キャッシュ格納部391から取り出したコンテンツ鍵とを用いて、ライセンスを生成・応答する。ライセンス代理発行部310は、障害監視判定部340がネットワーク障害の可能性ありと判定した場合に、ライセンス発行を拒否する。
【0110】
分散型利用権管理システム900は、以下のような効果を奏する。
利用者端末400がライセンス要求先を切り替えることによりコンテンツ利用の可用性が向上するとともに、複数のキャッシュサーバ300を設けることによりライセンス発行に関わるサーバ負荷を分散する。さらに、利用権更新時に利用権キャッシュの即時更新を行うとともに、ライセンス発行時にはキャッシュサーバ300がマスタサーバ障害及びネットワーク障害の有無を判定し、ネットワーク障害の可能性がある場合にライセンス発行を拒否する。これにより、マスタサーバ100とキャッシュサーバ300とのサーバ間での利用権限の不一致によるセキュリティ違反を防止する。
なお上記では、監視応答装置200を専用の装置として設けたが、マスタサーバ100に接続されるルータなどのネットワーク機器に、監視応答装置200の機能を設けてもよい。
【0111】
実施の形態2.
マスタサーバ100と接続するネットワーク420に障害が発生している場合、キャッシュサーバ300が、限定した利用権限を利用者に与える形態について説明する。
以下、実施の形態1と異なる事項について主に説明し、説明を省略する事項は実施の形態1と同様であるものとする。
【0112】
分散型利用権管理システム900の構成、コンテンツ利用方法および利用権管理方法は、実施の形態1と同じである(図1〜6参照)。
【0113】
但し、キャッシュサーバ300のライセンス代理発行部310は、障害監視判定部340によりマスタサーバ100との通信不可の原因がネットワーク420の障害であると判定された場合、複数の利用権限から少なくともいずれかの利用権限を除いた利用権限情報を含めてライセンスを利用者端末400に応答する。
【0114】
図11は、実施の形態2におけるライセンス発行処理(S112)のフローチャートである。
実施の形態2におけるライセンス発行処理(S112)について、図11に基づいて以下に説明する。
【0115】
図11は、実施の形態1におけるライセンス発行処理(図7参照)のS270をS271〜S273に変更したフローチャートである。
以下、S271〜S273について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0116】
<S271>
S241において「ネットワーク障害(F2)」の場合、ライセンス代理発行部310は、ライセンス要求に対応する利用権限情報のキャッシュを利用権キャッシュテーブル390aから取得し、ライセンス要求に対応するコンテンツ鍵のキャッシュをコンテンツ鍵キャッシュテーブル391aから取得する。
S271の後、処理はS272に進む。
【0117】
<S272>
S271において利用権限情報およびコンテンツ鍵のキャッシュを取得した後、ライセンス代理発行部310は、取得した利用権限情報に示される複数の利用権限(利用可能な権限)から所定の利用権限を除くことにより、利用権限を制限した利用権限情報を生成する。
例えば、ネットワーク障害(F2)時に制限する利用権限として「印刷」および「編集」が予め定義されているものとする。取得した利用権限情報に示される利用権限が「閲覧可」「印刷可」「編集可」である場合、ライセンス代理発行部310は、「閲覧可」「印刷『不可』」「編集『不可』」を示す利用権限情報を生成する。
S272の後、処理はS273に進む。
【0118】
<S273>
S271においてコンテンツ鍵のキャッシュを取得し、S272において利用権限を制限した利用権限情報を生成した後、ライセンス代理発行部310は、生成した利用権限情報と取得したコンテンツ鍵とを含むデータをライセンスとして生成し、生成したライセンスを利用者端末400に送信する。
S273の後、処理は終了する。
【0119】
実施の形態2では以下のような分散型利用権管理システム900について説明した。
障害監視判定部340がネットワーク障害の可能性ありと判定した場合に、ライセンス代理発行部310が、利用権限を制限したライセンスを発行する。
【0120】
分散型利用権管理システム900は、ネットワーク障害の可能性がある場合に制限した利用権限(例えば、「閲覧」)内でコンテンツ利用を継続させることによって、コンテンツ利用の可用性をさらに向上させることができる。利用権限を制限する際、閲覧のみを許可したり、印刷など機密漏洩につながる可能性のある権限を選択的に無効化したりするとよい。
【0121】
実施の形態3.
マスタサーバ100と接続するネットワーク420に障害が発生している場合、キャッシュサーバ300が、予め定められたネットワーク障害時用の利用権限を利用者に与える形態について説明する。
以下、実施の形態1と異なる事項について主に説明し、説明を省略する事項は実施の形態1と同様であるものとする。
【0122】
分散型利用権管理システム900の構成、コンテンツ利用方法および利用権管理方法は、実施の形態1と同じである(図1〜6参照)。
【0123】
但し、利用権マスタテーブル190aおよび利用権キャッシュテーブル390aは、ネットワーク障害時用の利用権限と非ネットワーク障害時用の利用権限とを示す。
また、キャッシュサーバ300のライセンス代理発行部310は、障害監視判定部340によりマスタサーバ100と通信可であると判定された場合および障害監視判定部340により通信不可の原因がマスタサーバ100の障害であると判定された場合、非ネットワーク障害時用の利用権限を示す利用権限情報を含めてライセンスを応答する。また、ライセンス代理発行部310は、障害監視判定部340により通信不可の原因がネットワーク420の障害であると判定された場合、ネットワーク障害時用の利用権限を示す利用権限情報を含めてライセンスを応答する。
【0124】
図12は、実施の形態3における利用権マスタテーブル190aおよび利用権キャッシュテーブル390aを示す図である。
図12に示すように、利用権マスタテーブル190aおよび利用権キャッシュテーブル390aには、「利用権限(非ネットワーク障害時用の利用権限)」の他に、「第2利用権限(ネットワーク障害時用の利用権限)」が設定される。
【0125】
図13は、実施の形態3におけるライセンス発行処理(S112)のフローチャートである。
実施の形態3におけるライセンス発行処理(S112)について、図13に基づいて以下に説明する。
【0126】
図13は、実施の形態1におけるライセンス発行処理(図7参照)のS270をS274およびS275に変更したフローチャートである。
以下、S274およびS275について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0127】
<S274>
S241において「ネットワーク障害(F2)」の場合、ライセンス代理発行部310は、ライセンス要求に対応するネットワーク障害時用の利用権限情報(第2利用権限)のキャッシュを利用権キャッシュテーブル390aから取得し、ライセンス要求に対応するコンテンツ鍵のキャッシュをコンテンツ鍵キャッシュテーブル391aから取得する。
S274の後、処理はS275に進む。
【0128】
<S275>
S274において利用権限情報およびコンテンツ鍵のキャッシュを取得した後、ライセンス代理発行部310は、取得したネットワーク障害時用の利用権限情報と取得したコンテンツ鍵とを含むデータをライセンスとして生成し、生成したライセンスを利用者端末400に送信する。
S275の後、処理は終了する。
【0129】
実施の形態3では、以下のような分散型利用権管理システム900について説明した。
利用権マスタ格納部190及び利用権キャッシュ格納部390に、障害中に使用する第2利用権限を新たに含む。
障害監視判定部340がネットワーク障害の可能性ありと判定した場合に、ライセンス代理発行部310は、第2利用権限を含むライセンスを発行する。
【0130】
分散型利用権管理システム900は、ネットワーク障害時に使用する利用権限をあらかじめ設定可能とすることで、障害中の権限制御を確実に行うことができる。
【0131】
実施の形態4.
マスタサーバ100と接続するネットワーク420に障害が発生している場合、キャッシュサーバ300が、利用権限を利用者に与えると共に操作履歴を利用者端末400から収集する形態について説明する。
以下、実施の形態1と異なる事項について主に説明し、説明を省略する事項は実施の形態1と同様であるものとする。
【0132】
図14は、実施の形態4における分散型利用権管理システム900の機能構成図である。
実施の形態4におけるマスタサーバ100、監視応答装置200、キャッシュサーバ300および利用者端末400の機能構成について、図14に基づいて以下に説明する。
【0133】
キャッシュサーバ300は、実施の形態1で説明した構成(図4参照)に加えて、操作履歴管理部350および操作履歴格納部392を備える。
【0134】
ライセンス代理発行部310は、障害監視判定部340により通信不可の原因がネットワーク420の障害であると判定された場合、ライセンスを利用者端末400に応答すると共に利用者端末400にコンテンツの操作履歴を要求する。
操作履歴管理部350は、利用者端末400からコンテンツの操作履歴を通信装置を用いて取得し、取得した操作履歴をマスタサーバ100(特定の装置の一例)に出力する。
操作履歴格納部392は、操作履歴管理部350により取得された操作履歴を記憶媒体を用いて記憶する。
【0135】
利用者端末400は、実施の形態1で説明した構成(図4参照)に加えて、操作履歴送信部402を備える。
【0136】
操作履歴送信部402は、操作履歴要求がキャッシュサーバ300から有る場合、コンテンツ操作部401の操作履歴を記憶媒体を用いて記憶し、記憶した操作履歴をキャッシュサーバ300に通信装置を用いて送信する。
【0137】
マスタサーバ100は、実施の形態1で説明した構成(図4参照)に加えて、操作履歴検査部150および違反履歴格納部192を備える。
【0138】
操作履歴検査部150は、コンテンツの操作履歴をキャッシュサーバ300から取得し、取得した操作履歴に基づいて利用権限に違反する操作が行われたかCPUを用いて判定し、判定結果を特定の装置に出力する。
違反履歴格納部192は、操作履歴検査部150により取得されたコンテンツの操作履歴および操作履歴検査部150の判定結果を記憶媒体を用いて記憶する。
【0139】
図15は、実施の形態4における利用権マスタテーブル190aを示す図である。
図15に示すように、利用権マスタテーブル190aには、レコードの最新の「更新日時」が設定される。
図15に示す利用権マスタテーブル190aは、コンテンツIDが「CID−0001」であり、ユーザIDが「UID−A」であるレコードの「利用権限」が2008年9月17日の11時30分に更新されたことを示している。
【0140】
図16は、実施の形態4における操作履歴ファイル392aを示す図である。
操作履歴格納部392に記憶される操作履歴について、図16に基づいて以下に説明する。
【0141】
キャッシュサーバ300の操作履歴格納部392には操作履歴ファイル392aが記憶され、操作履歴ファイル392aにはコンテンツの操作履歴を示す項目として「コンテンツID」「ユーザID」「操作」および「操作日時」がコンテンツの操作毎に設定される。
例えば、図16の操作履歴ファイル392aは、2008年9月17日の12時に「UID−A」で識別される利用者により「CID−0001」で識別されるコンテンツが「閲覧」されたことを示している。
【0142】
図17は、実施の形態4におけるライセンス発行処理(S112)のフローチャートである。
実施の形態4におけるライセンス発行処理(S112)について、図17に基づいて以下に説明する。
【0143】
図17は、実施の形態1におけるライセンス発行処理(図7参照)のS270をS276およびS277に変更したフローチャートである。
以下、S276およびS277について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0144】
<S276>
S241において「ネットワーク障害(F2)」の場合、ライセンス代理発行部310は、ライセンス要求に対応する利用権限情報のキャッシュを利用権キャッシュテーブル390aから取得し、ライセンス要求に対応するコンテンツ鍵のキャッシュをコンテンツ鍵キャッシュテーブル391aから取得する。
S276の後、処理はS277に進む。
【0145】
<S277>
S276において利用権限情報およびコンテンツ鍵のキャッシュを取得した後、ライセンス代理発行部310は、取得した利用権限情報と取得したコンテンツ鍵とを含むデータをライセンスとして生成し、生成したライセンスを利用者端末400に送信する。
ライセンス代理発行部310は、ライセンスと共に、コンテンツの操作履歴を要求する操作履歴送信要求を利用者端末400に送信する。
S277の後、処理は終了する。
【0146】
利用者端末400のコンテンツ操作部401は、キャッシュサーバ300のライセンス代理発行部310から送信されたライセンスおよび操作履歴送信要求を受信し、受信したライセンスに示される利用権限の範囲内で利用者の指定に従ってコンテンツを操作する。
操作履歴送信部402は、コンテンツ操作部401により行われた操作の内容を示す情報(コンテンツID、ユーザID、操作種別、操作日時)を操作履歴としてキャッシュサーバ300に送信する。例えば、操作履歴送信部402は、1つの操作が行われる度、所定の回数の操作が行われる度または所定時間毎に操作履歴をキャッシュサーバ300に送信する。
キャッシュサーバ300の操作履歴管理部350は、利用者端末400から操作履歴を受信し、受信した操作履歴を操作履歴ファイル392aに追加して設定する。
【0147】
そして、キャッシュサーバ300とマスタサーバ100との間で通信が可能になった場合、操作履歴管理部350は、操作履歴ファイル392aをマスタサーバ100に送信する。
以下に、操作履歴管理部350によるマスタサーバ100への操作履歴ファイル392aの送信契機について説明する。
【0148】
図18は、実施の形態4におけるキャッシュ取得部320によるキャッシュ取得処理(S220)のフローチャートである。
実施の形態4におけるキャッシュ取得部320によるキャッシュ取得処理(S220)について、図18に基づいて以下に説明する。
【0149】
図18は、実施の形態1におけるキャッシュ取得処理(図8参照)にS227が加わったフローチャートである。
以下、S227について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0150】
<S227>
S223においてマスタサーバ100からの応答が有った場合(YES)、キャッシュ取得部320は、操作履歴送信指示を操作履歴管理部350に出力する。
操作履歴送信指示を受けた操作履歴管理部350は、操作履歴格納部392から操作履歴ファイル392aを取得し、取得した操作履歴ファイル392aをマスタサーバ100に送信し、操作履歴格納部392から操作履歴ファイル392aを削除する。
S227の後、処理はS224に進む。
【0151】
図19は、実施の形態4における障害監視判定部340による障害判定処理(S230)のフローチャートである。
実施の形態4における障害監視判定部340による障害判定処理(S230)について、図19に基づいて以下に説明する。
【0152】
図19は、実施の形態1における障害判定処理(図9参照)にS238が加わったフローチャートである。
以下、S238について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0153】
<S238>
S233においてマスタサーバ100からの応答が有った場合(YES)、障害監視判定部340は、操作履歴送信指示を操作履歴管理部350に出力する。
操作履歴送信指示を受けた操作履歴管理部350は、操作履歴格納部392から操作履歴ファイル392aを取得し、取得した操作履歴ファイル392aをマスタサーバ100に送信し、操作履歴格納部392から操作履歴ファイル392aを削除する。
S238の後、処理はS235に進む。
【0154】
図20は、実施の形態4におけるキャッシュ更新処理(S142)のフローチャートである。
実施の形態4におけるキャッシュ更新処理(S142)について、図20に基づいて以下に説明する。
【0155】
図20は、実施の形態1におけるキャッシュ更新処理(図10参照)にS350が加わったフローチャートである。
以下、S350について説明する。他の処理の説明は実施の形態1と同じであるため省略する。
【0156】
<S350>
S310において利用権更新通知を受信した後、キャッシュ更新部330は、操作履歴送信指示を操作履歴管理部350に出力する。
操作履歴送信指示を受けた操作履歴管理部350は、操作履歴格納部392から操作履歴ファイル392aを取得し、取得した操作履歴ファイル392aをマスタサーバ100に送信し、操作履歴格納部392から操作履歴ファイル392aを削除する。
S350の後、処理はS320に進む。
【0157】
図21は、実施の形態4における操作履歴検査方法を示すフローチャートである。
実施の形態4における操作履歴検査方法について、図21に基づいて以下に説明する。
マスタサーバ100の操作履歴検査部150は、以下に説明する処理をCPUを用いて実行する。
【0158】
<S410>
操作履歴検査部150は、キャッシュサーバ300から送信された操作履歴ファイル392aを受信し、受信した操作履歴ファイル392aを違反履歴格納部192に記憶する。
操作履歴ファイル392aには、利用者端末400によりコンテンツに対して行われた操作の内容を示す情報が操作履歴として操作毎に含まれる。操作履歴ファイル392aに含まれる各操作履歴は、コンテンツID、ユーザID、操作種別および操作日時を示す。
S410の後、処理はS420に進む。
【0159】
<S420>
S410において操作履歴ファイル392aを受信した後、操作履歴検査部150は、以下で説明する各処理(S422〜S425)が実行されていない操作履歴(以下、「未検査履歴」という)が操作履歴ファイル392aに残っているか判定する。
未検査履歴が有る場合(YES)、処理はS421に進み、未検査履歴が無い場合(NO)、処理はS430に進む。
【0160】
<S421>
S420において未検査履歴が有る場合(YES)、操作履歴検査部150は、操作履歴ファイル392aから未検査履歴を1件選択して取り出す。
S421の後、処理はS422に進む。
【0161】
<S422>
S421において未検査履歴を取り出した後、操作履歴検査部150は、取り出した未検査履歴(以下、「検査対象履歴」という)に対応するレコードを利用権マスタテーブル190aから取得する。
具体的に、操作履歴検査部150は、検査対象履歴に示されるコンテンツIDおよびユーザIDと一致するレコードを利用権マスタテーブル190aから取得する。
S422の後、処理はS423に進む。
【0162】
<S423>
S422において検査対象履歴に対応するレコードを利用権マスタテーブル190aから取得した後、操作履歴検査部150は、検査対象履歴の操作日時と取得した利用権マスタテーブル190aのレコード(以下、「対応レコード」という)の更新日時とを比較する。
検査対象履歴の操作日時が対応レコードの更新日時以降の日時である場合(YES)、操作履歴検査部150はセキュリティ違反の可能性があると判定し、処理はS424に進む。
検査対象履歴の操作日時が対応レコードの更新日時以前の日時である場合(NO)、操作履歴検査部150はセキュリティ違反でないと判定し、処理はS420に戻る。
【0163】
<S424>
S423において検査対象履歴の操作日時が対応レコードの更新日時以降の日時である場合(YES)、操作履歴検査部150は、検査対象履歴の操作と対応レコードの利用権限とを比較する。
検査対象履歴の操作が対応レコードの利用権限に利用可能な操作として設定されている操作である場合(YES)、操作履歴検査部150はセキュリティ違反でないと判定し、処理はS420に戻る。
検査対象履歴の操作が対応レコードの利用権限に利用可能な操作として設定されていない操作である場合(NO)、操作履歴検査部150はこの操作をセキュリティ違反と判定し、処理はS425に進む。
例えば、対応レコードの利用権限が「閲覧可」「印刷可」「編集不可」であり、検査対象履歴の操作が「編集」である場合、操作履歴検査部150は、この操作をセキュリティ違反と判定する。
【0164】
<S425>
S424において検査対象履歴の操作が対応レコードの利用権限に利用可能な操作として設定されていない操作である場合(NO)、操作履歴検査部150は、検査対象履歴を違反履歴ファイル192aに追加して設定する。
S425の後、処理はS420に戻る。
【0165】
<S430>
S420において未検査履歴が無い場合(NO)、操作履歴検査部150は、違反履歴格納部192から違反履歴ファイル192aを取得し、取得した違反履歴ファイル192aを管理者端末410に送信する。違反履歴ファイル192aを受信した管理者端末410は、違反履歴ファイル192aを表示装置901に表示してセキュリティ違反があったことを管理者に知らせる。
S430の後、処理は終了する。
【0166】
実施の形態4では、以下のような分散型利用権管理システム900について説明した。
利用者端末400は、コンテンツに対する操作履歴を取得し、キャッシュサーバ300へ送信する操作履歴送信部402を備える。
キャッシュサーバ300は、操作履歴格納部392および操作履歴管理部350を備える。
操作履歴格納部392は、操作履歴を格納する。
操作履歴管理部350は、利用者端末400から操作履歴を受信すると操作履歴格納部392に格納するとともに、操作履歴送信指示を受けると操作履歴格納部392の内容(操作履歴ファイル392a)をマスタサーバ100へ送信する。
マスタサーバは、キャッシュサーバ300の操作履歴管理部350から操作履歴を受信すると、利用権マスタ格納部190に含まれる最新の利用権と比較してセキュリティ違反を検査する操作履歴検査部150を備える。
ネットワーク障害の可能性ありと判定された場合に、ライセンス代理発行部310は利用者端末400に対して操作履歴送信を指示し、操作履歴管理部350は操作履歴の収集・蓄積を行うとともに、障害復旧時に蓄積した操作履歴を操作履歴検査部150へ送信し、操作履歴検査部150が障害中のセキュリティ違反を検出する。
【0167】
分散型利用権管理システム900は、ネットワーク障害中もキャッシュを用いたライセンス発行を行うことでコンテンツ利用の可用性を向上させるとともに、障害中のセキュリティ違反を検出することができる。
【図面の簡単な説明】
【0168】
【図1】図1は、実施の形態1における分散型利用権管理システム900の装置構成図。
【図2】実施の形態1におけるハードウェア資源の一例を示す図。
【図3】実施の形態1における分散型利用権管理システム900のコンテンツ利用方法および利用権管理方法を示すフローチャート。
【図4】実施の形態1における分散型利用権管理システム900の機能構成図。
【図5】実施の形態1における利用権マスタテーブル190aおよび利用権キャッシュテーブル390aを示す図。
【図6】実施の形態1におけるコンテンツ鍵マスタテーブル191aおよびコンテンツ鍵キャッシュテーブル391aを示す図。
【図7】実施の形態1におけるライセンス発行処理(S112)のフローチャート。
【図8】実施の形態1におけるキャッシュ取得部320によるキャッシュ取得処理(S220)のフローチャート。
【図9】実施の形態1における障害監視判定部340による障害判定処理(S230)のフローチャート。
【図10】実施の形態1におけるキャッシュ更新処理(S142)のフローチャート。
【図11】実施の形態2におけるライセンス発行処理(S112)のフローチャート。
【図12】実施の形態3における利用権マスタテーブル190aおよび利用権キャッシュテーブル390aを示す図。
【図13】実施の形態3におけるライセンス発行処理(S112)のフローチャート。
【図14】実施の形態4における分散型利用権管理システム900の機能構成図。
【図15】実施の形態4における利用権マスタテーブル190aを示す図。
【図16】実施の形態4における操作履歴ファイル392aを示す図。
【図17】実施の形態4におけるライセンス発行処理(S112)のフローチャート。
【図18】実施の形態4におけるキャッシュ取得部320によるキャッシュ取得処理(S220)のフローチャート。
【図19】実施の形態1における障害監視判定部340による障害判定処理(S230)のフローチャート、
【図20】実施の形態1におけるキャッシュ更新処理(S142)のフローチャート。
【図21】実施の形態4における操作履歴検査方法を示すフローチャート。
【符号の説明】
【0169】
100 マスタサーバ、110 ライセンス発行部、120 ライセンス情報複製部、130 利用権更新部、140 監視応答部、150 操作履歴検査部、190 利用権マスタ格納部、190a 利用権マスタテーブル、191 コンテンツ鍵マスタ格納部、191a コンテンツ鍵マスタテーブル、192 違反履歴格納部、192a 違反履歴ファイル、200 監視応答装置、210 監視応答部、300 キャッシュサーバ、310 ライセンス代理発行部、320 キャッシュ取得部、330 キャッシュ更新部、340 障害監視判定部、350 操作履歴管理部、390 利用権キャッシュ格納部、390a 利用権キャッシュテーブル、391 コンテンツ鍵キャッシュ格納部、391a コンテンツ鍵キャッシュテーブル、392 操作履歴格納部、392a 操作履歴ファイル、400 利用者端末、401 コンテンツ操作部、402 操作履歴送信部、409 利用者端末記憶部、410 管理者端末、420 ネットワーク、900 分散型利用権管理システム、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群。
【特許請求の範囲】
【請求項1】
利用者端末装置で利用される利用データの利用権限を示す利用権限情報を管理する利用権限情報管理元装置からネットワークを介して前記利用権限情報を通信装置を用いて取得する利用権限情報取得部と、
前記利用権限情報取得部により取得された利用権限情報を記憶媒体を用いて記憶する利用権限取得情報記憶部と、
前記利用権限情報を含んで前記利用データの利用許可を示す利用許可データを要求する利用許可要求が前記利用者端末装置から有る場合、前記利用権限情報管理元装置との通信可否をCPU(Central Proccessing Unit)を用いて判定すると共に前記利用権限情報管理元装置と通信不可である場合に通信不可の原因が前記ネットワークの障害と前記利用権限情報管理元装置の障害とのいずれであるかCPUを用いて判定する障害監視判定部と、
前記障害監視判定部により前記利用権限情報管理元装置と通信可であると判定された場合および前記障害監視判定部により通信不可の原因が前記利用権限情報管理元装置の障害であると判定された場合、前記利用権限取得情報記憶部に記憶されている利用権限情報を含めて前記利用許可データを前記利用者端末装置に通信装置を用いて応答し、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記利用データの利用不許可を前記利用者端末装置に通信装置を用いて応答する利用許可応答部と
を備えたことを特徴とする利用許可装置。
【請求項2】
前記障害監視判定部は、前記ネットワークに接続する前記利用権限情報管理元装置と前記ネットワークに接続する通信端末装置とに前記ネットワークを介して応答要求を送信し、前記利用権限情報管理元装置から応答が有る場合に前記利用権限情報管理元装置と通信可であると判定し、前記利用権限情報管理元装置から応答が無くて前記通信端末装置から応答が有る場合に通信不可の原因が前記利用権限情報管理元装置の障害であると判定し、前記利用権限情報管理元装置と前記通信端末装置との両方から応答が無い場合に通信負荷の原因が前記ネットワークの障害であると判定する
ことを特徴とする請求項1記載の利用許可装置。
【請求項3】
前記障害監視判定部は、前記利用許可要求が有って前記利用権限取得情報記憶部に前記利用権限情報が記憶されている場合に前記判定を行う
ことを特徴とする請求項1〜請求項2いずれかに記載の利用許可装置。
【請求項4】
前記利用権限情報取得部は、前記利用許可要求が有って前記利用権限取得情報記憶部に前記利用権限情報が記憶されていない場合、前記利用権限情報管理元装置からの前記利用権限情報の取得を行い、
前記利用許可応答部は、前記利用権限情報取得部が前記利用権限情報を取得できた場合、前記利用権限情報取得部により取得された前記利用権限情報を含めて前記利用許可データを応答し、前記利用権限情報取得部が前記利用権限情報を取得できなかった場合、前記利用データの利用不許可を応答する
ことを特徴とする請求項3記載の利用許可装置。
【請求項5】
前記利用権限情報は、複数の利用権限を示し、
前記利用許可応答部は、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記複数の利用権限から少なくともいずれかの利用権限を除いた利用権限情報を含めて前記利用許可データを応答する
ことを特徴とする請求項1〜請求項4いずれかに記載の利用許可装置。
【請求項6】
前記利用権限情報は、ネットワーク障害時用の利用権限と非ネットワーク障害時用の利用権限とを示し、
前記利用許可応答部は、前記障害監視判定部により前記利用権限情報管理元装置と通信可であると判定された場合および前記障害監視判定部により通信不可の原因が前記利用権限情報管理元装置の障害であると判定された場合、前記非ネットワーク障害時用の利用権限を示す利用権限情報を含めて前記利用許可データを応答し、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記ネットワーク障害時用の利用権限を示す利用権限情報を含めて前記利用許可データを応答する
ことを特徴とする請求項1〜請求項4いずれかに記載の利用許可装置。
【請求項7】
前記利用許可応答部は、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記利用許可データを前記利用者端末装置に応答すると共に前記利用者端末装置に前記利用データの操作履歴を要求する
ことを特徴とする請求項1〜請求項6いずれかに記載の利用許可装置。
【請求項8】
前記利用許可装置は、
前記利用者端末装置から前記利用データの操作履歴を通信装置を用いて取得し、取得した操作履歴を特定の装置に出力する操作履歴管理部
を備えたことを特徴とする請求項7記載の利用許可装置。
【請求項9】
請求項1〜請求項8いずれかに記載の利用許可装置と、
前記利用権限情報管理元装置と
を有することを特徴とする利用権管理システム。
【請求項10】
利用権限情報取得部が、利用者端末装置で利用される利用データの利用権限を示す利用権限情報を管理する利用権限情報管理元装置からネットワークを介して前記利用権限情報を通信装置を用いて取得する利用権限情報取得処理を行い、
利用権限取得情報記憶部が、前記利用権限情報取得部により取得された利用権限情報を記憶媒体を用いて記憶する利用権限取得情報記憶処理を行い、
障害監視判定部が、前記利用権限情報を含んで前記利用データの利用許可を示す利用許可データを要求する利用許可要求が前記利用者端末装置から有る場合、前記利用権限情報管理元装置との通信可否をCPU(Central Proccessing Unit)を用いて判定すると共に前記利用権限情報管理元装置と通信不可である場合に通信不可の原因が前記ネットワークの障害と前記利用権限情報管理元装置の障害とのいずれであるかCPUを用いて判定する障害監視判定処理を行い、
利用許可応答部が、前記障害監視判定部により前記利用権限情報管理元装置と通信可であると判定された場合および前記障害監視判定部により通信不可の原因が前記利用権限情報管理元装置の障害であると判定された場合、前記利用権限取得情報記憶部に記憶されている利用権限情報を含めて前記利用許可データを前記利用者端末装置に通信装置を用いて応答し、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記利用データの利用不許可を前記利用者端末装置に通信装置を用いて応答する利用許可応答処理を行う
ことを特徴とする利用許可装置の利用許可方法。
【請求項11】
請求項10記載の利用許可方法をコンピュータに実行させる利用許可プログラム。
【請求項1】
利用者端末装置で利用される利用データの利用権限を示す利用権限情報を管理する利用権限情報管理元装置からネットワークを介して前記利用権限情報を通信装置を用いて取得する利用権限情報取得部と、
前記利用権限情報取得部により取得された利用権限情報を記憶媒体を用いて記憶する利用権限取得情報記憶部と、
前記利用権限情報を含んで前記利用データの利用許可を示す利用許可データを要求する利用許可要求が前記利用者端末装置から有る場合、前記利用権限情報管理元装置との通信可否をCPU(Central Proccessing Unit)を用いて判定すると共に前記利用権限情報管理元装置と通信不可である場合に通信不可の原因が前記ネットワークの障害と前記利用権限情報管理元装置の障害とのいずれであるかCPUを用いて判定する障害監視判定部と、
前記障害監視判定部により前記利用権限情報管理元装置と通信可であると判定された場合および前記障害監視判定部により通信不可の原因が前記利用権限情報管理元装置の障害であると判定された場合、前記利用権限取得情報記憶部に記憶されている利用権限情報を含めて前記利用許可データを前記利用者端末装置に通信装置を用いて応答し、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記利用データの利用不許可を前記利用者端末装置に通信装置を用いて応答する利用許可応答部と
を備えたことを特徴とする利用許可装置。
【請求項2】
前記障害監視判定部は、前記ネットワークに接続する前記利用権限情報管理元装置と前記ネットワークに接続する通信端末装置とに前記ネットワークを介して応答要求を送信し、前記利用権限情報管理元装置から応答が有る場合に前記利用権限情報管理元装置と通信可であると判定し、前記利用権限情報管理元装置から応答が無くて前記通信端末装置から応答が有る場合に通信不可の原因が前記利用権限情報管理元装置の障害であると判定し、前記利用権限情報管理元装置と前記通信端末装置との両方から応答が無い場合に通信負荷の原因が前記ネットワークの障害であると判定する
ことを特徴とする請求項1記載の利用許可装置。
【請求項3】
前記障害監視判定部は、前記利用許可要求が有って前記利用権限取得情報記憶部に前記利用権限情報が記憶されている場合に前記判定を行う
ことを特徴とする請求項1〜請求項2いずれかに記載の利用許可装置。
【請求項4】
前記利用権限情報取得部は、前記利用許可要求が有って前記利用権限取得情報記憶部に前記利用権限情報が記憶されていない場合、前記利用権限情報管理元装置からの前記利用権限情報の取得を行い、
前記利用許可応答部は、前記利用権限情報取得部が前記利用権限情報を取得できた場合、前記利用権限情報取得部により取得された前記利用権限情報を含めて前記利用許可データを応答し、前記利用権限情報取得部が前記利用権限情報を取得できなかった場合、前記利用データの利用不許可を応答する
ことを特徴とする請求項3記載の利用許可装置。
【請求項5】
前記利用権限情報は、複数の利用権限を示し、
前記利用許可応答部は、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記複数の利用権限から少なくともいずれかの利用権限を除いた利用権限情報を含めて前記利用許可データを応答する
ことを特徴とする請求項1〜請求項4いずれかに記載の利用許可装置。
【請求項6】
前記利用権限情報は、ネットワーク障害時用の利用権限と非ネットワーク障害時用の利用権限とを示し、
前記利用許可応答部は、前記障害監視判定部により前記利用権限情報管理元装置と通信可であると判定された場合および前記障害監視判定部により通信不可の原因が前記利用権限情報管理元装置の障害であると判定された場合、前記非ネットワーク障害時用の利用権限を示す利用権限情報を含めて前記利用許可データを応答し、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記ネットワーク障害時用の利用権限を示す利用権限情報を含めて前記利用許可データを応答する
ことを特徴とする請求項1〜請求項4いずれかに記載の利用許可装置。
【請求項7】
前記利用許可応答部は、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記利用許可データを前記利用者端末装置に応答すると共に前記利用者端末装置に前記利用データの操作履歴を要求する
ことを特徴とする請求項1〜請求項6いずれかに記載の利用許可装置。
【請求項8】
前記利用許可装置は、
前記利用者端末装置から前記利用データの操作履歴を通信装置を用いて取得し、取得した操作履歴を特定の装置に出力する操作履歴管理部
を備えたことを特徴とする請求項7記載の利用許可装置。
【請求項9】
請求項1〜請求項8いずれかに記載の利用許可装置と、
前記利用権限情報管理元装置と
を有することを特徴とする利用権管理システム。
【請求項10】
利用権限情報取得部が、利用者端末装置で利用される利用データの利用権限を示す利用権限情報を管理する利用権限情報管理元装置からネットワークを介して前記利用権限情報を通信装置を用いて取得する利用権限情報取得処理を行い、
利用権限取得情報記憶部が、前記利用権限情報取得部により取得された利用権限情報を記憶媒体を用いて記憶する利用権限取得情報記憶処理を行い、
障害監視判定部が、前記利用権限情報を含んで前記利用データの利用許可を示す利用許可データを要求する利用許可要求が前記利用者端末装置から有る場合、前記利用権限情報管理元装置との通信可否をCPU(Central Proccessing Unit)を用いて判定すると共に前記利用権限情報管理元装置と通信不可である場合に通信不可の原因が前記ネットワークの障害と前記利用権限情報管理元装置の障害とのいずれであるかCPUを用いて判定する障害監視判定処理を行い、
利用許可応答部が、前記障害監視判定部により前記利用権限情報管理元装置と通信可であると判定された場合および前記障害監視判定部により通信不可の原因が前記利用権限情報管理元装置の障害であると判定された場合、前記利用権限取得情報記憶部に記憶されている利用権限情報を含めて前記利用許可データを前記利用者端末装置に通信装置を用いて応答し、前記障害監視判定部により通信不可の原因が前記ネットワークの障害であると判定された場合、前記利用データの利用不許可を前記利用者端末装置に通信装置を用いて応答する利用許可応答処理を行う
ことを特徴とする利用許可装置の利用許可方法。
【請求項11】
請求項10記載の利用許可方法をコンピュータに実行させる利用許可プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2010−129036(P2010−129036A)
【公開日】平成22年6月10日(2010.6.10)
【国際特許分類】
【出願番号】特願2008−306141(P2008−306141)
【出願日】平成20年12月1日(2008.12.1)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成22年6月10日(2010.6.10)
【国際特許分類】
【出願日】平成20年12月1日(2008.12.1)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]