CN101763575A - 许可管理设备、许可管理方法以及计算机可读介质 - Google Patents
许可管理设备、许可管理方法以及计算机可读介质 Download PDFInfo
- Publication number
- CN101763575A CN101763575A CN200910137596A CN200910137596A CN101763575A CN 101763575 A CN101763575 A CN 101763575A CN 200910137596 A CN200910137596 A CN 200910137596A CN 200910137596 A CN200910137596 A CN 200910137596A CN 101763575 A CN101763575 A CN 101763575A
- Authority
- CN
- China
- Prior art keywords
- user profile
- permission
- user
- information
- changing content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims description 74
- 238000012545 processing Methods 0.000 claims description 11
- 230000000052 comparative effect Effects 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 6
- 230000000875 corresponding effect Effects 0.000 description 29
- 238000000034 method Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 7
- 238000012217 deletion Methods 0.000 description 6
- 230000037430 deletion Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000002354 daily effect Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007634 remodeling Methods 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/105—Arrangements for software license management or administration, e.g. for managing licenses at corporate level
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q2220/00—Business processing using cryptography
- G06Q2220/10—Usage protection of distributed data files
- G06Q2220/18—Licensing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了许可管理设备、许可管理方法以及计算机可读介质。该许可管理设备包括:许可信息存储器、副本用户信息存储器、无效信息存储器、比较单元、更新单元、以及设置单元。
Description
技术领域
本发明涉及许可管理设备、许可管理方法以及计算机可读介质。
背景技术
在安全策略中,存在赋予用户或组的一些规定权利。因此,提出了一种基于安全策略来发放许可的技术,例如,JP-A-10-93550(“JP-A”在此被用来表示“未审查的已公开日本专利申请”)以及JP-A-2002-342518。在该传统技术中,在改变安全策略时,与所改变的安全策略相对应的发放出去的所有许可均变得无效,随后重新发放许可,由此应对安全策略的改变。
当用户信息的设置由于组织变化、员工改组等而发生改变时,其结果就是,所发放的许可与安全策略的规定项目不对应。但是,在这种情况下,在未改变安全策略本身时,所发放的许可的无效将不会实施。因此,可能会给安全性带来不便。
发明内容
本发明的一个目的是提供一种许可管理设备以及一种许可管理程序,其灵活地应对了用户信息设置的变化。
(1)根据本发明的第一方面,一种许可管理设备,其包括:许可信息存储器,其存储了针对发放给用户的每个许可而产生的许可信息;副本用户信息存储器,其存储了用户管理设备所管理的用户信息,或者存储了副本用户信息,所述副本用户信息包括所述用户信息的一部分的副本,从而使得用于指定对所述用户信息所执行的变化内容的变化内容信息对应于所述用户信息;无效信息存储器,其将每段变化内容信息与由于对所述用户信息进行变化而产生的许可无效规则相关联,并且将每段与所述许可无效规则相关联的变化内容信息存储起来;比较单元,其从用户管理设备获取与存储在所述副本用户信息存储器中的所述副本用户信息相对应的用户信息,并且将所获取的用户信息与所述副本用户信息进行比较;更新单元,当所述比较单元所得到的比较结果显示所述用户信息与所述副本用户信息彼此不一致时,所述更新单元指定对所述用户信息所做出的变化的内容,并且不仅根据与所指定的变化内容相对应的变化内容信息,而且还根据所述用户信息来更新所述变化内容信息以及存储在副本用户信息存储器中的所述副本用户信息;以及设置单元,其针对存储在许可信息存储器中的每段许可信息,根据与参考所述无效信息存储器而被所述更新单元更新的所述变化内容信息相对应的无效规则,来设置许可信息无效。
(2)如项目(1)所述的许可管理设备,其进一步包括:策略存储器,其存储了用户所设置的策略;接受单元,其接受许可验证请求,所述许可验证请求至少包含用户识别信息和许可识别信息;检查单元,其根据包含在所述许可验证请求中的所述用户识别信息和所述许可识别信息,通过搜索所述许可信息存储器来检查许可是否有效;获取单元,当许可被所述设置单元设置成无效时,所述获取单元通过根据包含在所述许可验证请求中的用户识别信息来搜索所述策略存储器,从而获取用户所设置的策略;确定单元,其根据所述获取单元所获取的策略来确定是否可以发放许可;发放单元,其在所述确定单元确定可以发放许可时发放许可;以及登记单元,其将与所述发放单元所发放的许可相关的许可信息登记在所述许可信息存储器中。
(3)如项目(1)所述的许可管理设备,其中所述许可信息存储器以有效性设置信息与许可相对应的方式针对每个许可来存储表示该许可的有效性的有效性设置信息,以及所述设置单元通过在有效性设置信息中设置表示无效的信息来使相应的许可信息变得无效。
(4)根据本发明的第二方面,一种许可管理方法,其包括:存储针对发放给用户的每个许可而产生的许可信息;存储用户管理设备所管理的用户信息,或者存储副本用户信息,所述副本用户信息包括所述用户信息的一部分的副本,从而使得用于指定对所述用户信息所执行的变化内容的变化内容信息对应于所述用户信息;将每段变化内容信息与由于对所述用户信息进行变化而产生的许可无效规则相关联,并且将每段与所述许可无效规则相关联的变化内容信息存储起来;从用户管理设备获取与所述副本用户信息相对应的用户信息,并且将所获取的用户信息与所述副本用户信息进行比较;当比较结果显示所述用户信息与所述副本用户信息彼此不一致时,指定对所述用户信息所做出的变化的内容,并且不仅根据与所指定的变化内容相对应的变化内容信息,而且还根据所述用户信息来更新所述变化内容信息以及所述副本用户信息;以及针对每段许可信息,根据与所述变化内容信息相对应的无效规则来设置许可信息无效。
(5)根据本发明的第三方面,一种计算机可读介质,其存储了一个使计算机执行用于管理许可信息的处理的程序,所述处理包括:存储针对发放给用户的每个许可而产生的许可信息;存储用户管理设备所管理的用户信息,或者存储副本用户信息,所述副本用户信息包括所述用户信息的一部分的副本,从而使得用于指定对所述用户信息所执行的变化内容的变化内容信息对应于所述用户信息;将每段变化内容信息与由于对所述用户信息进行变化而产生的许可无效规则相关联,并且将每段与所述许可无效规则相关联的变化内容信息存储起来;从用户管理设备获取与所述副本用户信息相对应的用户信息,并且将所获取的用户信息与所述副本用户信息进行比较;当比较结果显示所述用户信息与所述副本用户信息彼此不一致时,指定对所述用户信息所做出的变化的内容,并且不仅根据与所指定的变化内容相对应的变化内容信息,而且还根据所述用户信息来更新所述变化内容信息以及所述副本用户信息;以及针对每段许可信息,根据与所述变化内容信息相对应的无效规则来设置许可信息无效。
根据项目(1)、(3)、(4)和(5)中所描述的本发明,当将被用户管理设备所管理的用户信息发生变化时,发放给当前用户的许可可被自动地变为无效。
根据项目(2)中所描述的本发明,即使在发放给其信息被用户管理设备所管理的用户的许可是无效的时候,只要该许可与策略相符从而是一个正确的许可,那么就可以再次自动地发放许可。
附图说明
将根据附图来详细描述本发明的示例实施例,附图中:
图1是包括根据本发明的许可管理设备的一个实施例的许可管理系统的块结构示图;
图2是形成根据本实施例的许可服务器的服务器计算机的硬件结构示图;
图3是根据本实施例的用户管理服务器的用户信息数据库中所存储的用户信息的数据结构示例的示图;
图4是根据本实施例的许可服务器的用户信息数据库中所存储的用户信息的数据结构示例的示图;
图5是根据本实施例的用户信息变化日志数据库中所存储的变化日志的数据结构示例的示图;
图6是根据本实施例的策略信息数据库中所存储的策略信息的数据结构示例的示图;
图7是根据本实施例的无效条件列表存储部分中所存储的无效条件的数据设置示例的示图;
图8是根据本实施例的许可数据库中所存储的许可信息的数据结构示例的示图;
图9是根据本实施例的许可发放处理的流程图;
图10是根据本实施例的无效处理的流程图;以及
图11是根据本实施例的许可认证处理的流程图。
具体实施方式
现在,以下将参考附图给出对本发明优选实施例的描述。
图1是包括根据本发明的许可管理设备的一个实施例的许可管理系统的框图。在图1中,示出了用户管理服务器20,其作为用于管理与使用许可管理内容的用户相关的信息的用户管理设备,将被用户使用的客户终端30,以及许可服务器40,其作为用于对许可进行管理的许可管理设备。
图2是构成根据本实施例的许可服务器40的服务器计算机的硬件结构示图。构成本实施例中的许可服务器40的服务器计算机可由传统上已经公知的通用硬件结构来实现。即,如图2所示,该计算机包括:CPU 1、ROM 2、RAM 3、与硬盘驱动器(HDD)4相连接的HDD控制器5、输入/输出控制器9(其连接着作为输入单元的鼠标6和键盘7,并且连接着作为显示装置的显示器8)、以及与网络控制器10相连接的内部总线11,并且网络控制器10还作为通信单元。在此,由于用户管理服务器20和客户终端30也分别由计算机制成,所以可以以与图2相同的方式图示说明它们的硬件结构。
再次参见图1,用户管理服务器20包括用于存储用户信息的用户信息数据库(DB)22以及用于执行与用户信息相关的信息管理的用户信息管理部分21,该信息管理例如是,用户信息管理部分21对存储在用户信息数据库中的用户信息进行添加或者删除,以及将用户信息提供给其他装置。用户信息管理部分21还可被实现为将由构成用户管理服务器20的计算机与并入该计算机中的CPU 1所要运行的程序一起执行的协同操作。并且,可以通过并入用户管理服务器20的HDD 4来实现用户信息数据库22。
客户终端30包括:用于存储与许可服务器40所发放的许可有关的信息的许可数据库(DB)35、用于向许可服务器40发送许可发放请求的许可发放请求部分31、用于将所发放的许可存储在许可数据库35中并且用于对存储在许可数据库35中的许可进行搜索的许可搜索/更新部分32、用于向许可服务器40发送对所发放许可的验证请求的许可验证请求部分33、以及许可处理部分34,其中,当在客户终端30中使用内容时,许可处理部分34与其它结构部件一起在客户终端30中执行许可管理处理。通过构成客户终端30的计算机与并入该计算机中的CPU 1所运行的程序之间的协同操作,可以实现客户终端30的各个结构部件31至34。并且,可利用并入客户终端30中的外部存储装置来实现许可数据库35。
许可服务器40包括:许可管理部分41、策略管理部分42、用户信息管理部分43、许可数据库(DB)44、策略数据库(DB)45、无效条件列表存储部分46、用户信息数据库(DB)47、以及用户信息变化日志数据库(DB)48。
许可管理部分41是一种用来管理发放给用户的许可的单元。具体地说,其包括:许可发放部分51、许可搜索/更新部分52、许可验证部分53、以及许可无效部分54。许可发放部分51不仅作为用于根据所获取的策略来检查是否发放许可的检查单元,而且作为用于在允许发放许可时发放许可的许可发放单元。许可搜索/更新部分52访问存储在许可数据库44中的许可信息;例如,许可搜索/更新部分52作为一种存储器将与所发放的许可相关的许可信息存储至许可数据库44中。许可验证部分53不仅作为用于接受许可验证请求(许可验证请求至少包括作为用户识别信息的用户ID以及作为许可识别信息的许可ID)的接受单元,而且作为根据包含在许可验证请求中的用户ID和许可ID而与许可搜索/更新部分52协作来搜索许可数据库44从而确定当前许可是否有效的确定单元。许可无效部分54作为设置单元,其与许可搜索/更新部分52协作来将许可信息设置为无效。
策略管理部分42是一种用于管理分别设置在策略数据库45中的策略的单元;并且,具体地说,其包括:无效条件检查部分55、策略搜索部分56、以及许可无效指示部分57。无效条件检查部分55参照无效条件列表存储部分46来指定许可的无效条件,并根据由此指定的无效条件来产生与当前用户相关的策略的搜索条件。策略搜索部分56作为策略获取单元,其根据从无效条件检查部分55接收到的策略来搜索策略数据库45,从而获取当前用户相关的策略。许可无效指示部分57向许可无效部分54输出包括策略、用户信息、和变化日志的无效指示,同时该无效指示还是用来指定应该使哪个许可变得无效的信息。
用户信息管理部分43是一种对从用户管理服务器20获得的用户信息或该用户信息的一部分的副本进行管理的单元。具体地说,其包括:用户信息询问部分58、用户信息搜索/更新部分59、以及用户信息通知部分60。用户信息询问部分58将包含所指定的用户ID的用户信息获取请求发送给用户管理服务器20,从而获取由该用户ID所指定的用户信息。这样获得的用户信息对应于根据本发明的副本用户信息。用户信息搜索/更新部分59将用户信息询问部分58所获取的用户信息与存储在用户信息数据库47中的相应用户信息进行比较。用户信息搜索/更新部分59与用户信息询问部分58协作,从而构成了一个比较单元。此外,用户信息搜索/更新部分59在对这两段用户信息进行比较并且发现它们相互不一致的时候,则作为更新单元来指定对用户信息所做的变化的内容,并且不仅利用与所指定的变化内容相对应的变化内容信息,而且还利用前面获取的用户信息,从而来更新相应的变化内容信息和存储在用户信息数据库47中的用户信息。用户信息通知部分60将变化后的用户信息和所记录的变化日志传递给无效条件部分55。
可通过构成许可服务器40的计算机与并入该计算机中的CPU 1所要运行的程序一起执行的协同操作来实现许可服务器40的各个组成部件41至43。并且,可通过并入许可服务器40中的HDD 4来实现各个存储器44至48。
并且,当然,可由通信单元来提供将被用于本实施例中的程序,并且也可以通过将该程序存储在诸如CD-ROM或DVD-ROM之类的计算机可读记录介质中的方式来提供该程序。通信单元或存储介质所提供的程序可被安装至计算机中,并且当计算机的CPU依次运行所安装的这些程序时,可以实现各种处理。
图3是用于本实施例中的用户管理服务器20的用户信息数据库22中所存储的用户信息的数据结构的示例的示图。用户信息包括与使用内容的各个用户相关的用户信息(个人信息)以及与用户所属的组相关的组信息。用户信息(个人信息)被构造成:针对每个用户,作为用于识别用户的用户ID、用户所属组的组ID、以及其它信息是彼此对应的。在此,其它信息包括用户的名字等。组信息被构造成:针对每组,用于识别组的组ID、组名、以及成为组成员的用户的用户ID彼此对应。
图4是存储在许可服务器40的用户信息数据库47中的用户信息的数据结构的示例的示图。将被存储在用户信息数据库47中的用户信息是将被用户管理服务器20所管理的用户信息、或者是在对该用户信息的一部分进行复制时所产生的副本用户信息。用户信息被构造成:针对每个用户,当前用户的用户ID、用户所属组的组ID、以及变化内容信息是彼此对应的。在变化内容信息中存在用于对强加给由用户管理服务器20所管理的用户信息的变化内容进行指定的设置信息。后面将与无效条件(图7)一起描述变化内容信息。在此,除非另外特别指出,否则将由许可服务器40操纵的用户信息指的是用户信息数据库22中所存储的用户信息的用户信息(个人信息)。
图5是存储在根据本实施例的用户信息变化日志数据库48中的变化日志的数据结构的示例的示图。在用户信息变化日志数据库48中,当用户信息变化日志数据库48被更新时,更新后的用户信息的内容被存储为变化日志。每个变化日志包括:由一组变化内容信息和变化后的数据或变化前的数据所组成的变化存储信息、以及用户信息发生了变化的用户的用户ID,同时用户ID与变化存储信息相关联。在此,由于变化日志仅仅使得捕获变化之前或变化之后所设置的诸如组ID之类的数据项的内容变得可能,所以变化日志的结构并不限于本示例。
图6是存储在根据本实施例的策略数据库45中的策略信息的数据结构的示图。策略信息被用户所设置,并且也可由安全管理人员预先设置并存储。在策略信息中存在:策略ID、策略设置者、权限以及有效期。策略ID是用来识别策略的信息。在策略设置者中,设置了对策略进行设置的用户的ID或组的ID。在权限中设置了向策略设置者赋予权限的操作。在有效期中设置了赋予给策略设置者的权限的有效期。
图7是存储在根据本实施例的无效条件列表存储部分46中的无效条件的数据设置的示例的示图。安全管理人员预先设置并存储无效条件。在无效条件中设置了以下组合:用于对已经强加给用户信息的变化的内容进行识别的变化内容信息、以及用于根据对用户信息进行的所述变化而进行无效的规则,同时规则与变化内容信息相关联。在根据本实施例的变化内容信息中,设置了如下条件来作为使许可变得无效的条件:即,[删除用户]条件所表示的变化为与特定用户相关的用户信息已经从用户信息数据库22中删除;[删除组成员]条件所表示的变化为已经从特定组中删除特定成员,由此已经从用户信息(个人信息)所属的组中删除了当前组的组ID;[添加组成员]条件所表示的变化为已经在特定组中加入特定成员,由此已经在用户信息(个人信息)所属的组中新存储了当前组的组ID;以及[删除组]条件所表示的变化为已经删除了特定组,从而已经从组信息中删除了该组,并且已经从用户信息的所属组中删除了该组的组ID。当然,还可以将变化内容信息制备成使之对应于其他变化。在此,在图7中,无效条件被示出了利用字符串来帮助理解用户信息和规则的变化内容;但是,实际上是利用计算机可以处理的代码数据等来存储无效条件的。示出了其它数据库的其它示图也是类似的情况。
图8是存储在根据本实施例的许可数据库44中的许可信息的数据结构的示图。每次将许可新发放给用户时,就对许可信息进行存储。并且,针对每个许可,许可信息包括:作为用于识别当前许可的信息的许可ID;作为许可所发放的对象的用户的用户ID;设置给当前用户的策略ID;以及用于确定当前许可是否有效的有效性设置信息,上述元素相互对应。
接下来将描述在本实施例中执行的处理。根据本实施例的处理被粗略地分成:许可发放处理、用于使所发放的许可变得无效的无效处理、以及许可验证处理。首先,将参照图9所示的流程图来描述根据本实施例的许可发放处理。
许可发放请求部分31将许可发放请求发送给许可服务器40的许可发放部分51。许可发放请求至少包括:与将发放许可的内容相关的识别信息(内容ID)、与申请许可发放的用户相关的识别信息(用户ID)、以及请求许可发放时的时间和日期的信息。当许可发放部分51接受许可发放请求时(步骤101),其向用户信息搜索/更新部分59输出用户信息获取请求。用户信息搜索/更新部分59根据包含在用户信息获取请求中的用户ID来搜索用户信息数据库47,从而取出所请求的用户信息(步骤102)。在由于未存储用户信息而无法获取用户信息时(步骤103的判定为否),用户信息搜索/更新部分59指示用户信息询问部分58获取用户信息。根据该指示,用户信息询问部分58将包括了当前用户ID的用户信息获取请求发送给用户管理服务器20的用户信息管理部分21。
用户信息管理部分21从用户信息数据库22中取出与当前用户相关的用户信息,并返回该用户信息。在将被返回的用户信息中,应该至少包含了用户ID和用户所属组的组ID,以便作为与策略设置相关的信息。当用户信息询问部分58从用户信息管理部分21获取用户信息时(步骤104),其将该用户信息传递给用户信息搜索/更新部分59。
这样,当用户信息搜索/更新部分59通过用户信息数据库47或者用户信息询问部分58而从用户管理服务器20获取用户信息的副本时,用户信息搜索/更新部分59将该用户信息存入用户信息数据库47(步骤105),并且将该用户信息传递给许可发放部分51。在许可发放部分51将如此接收到的用户信息传递给策略搜索部分56时,策略搜索部分56根据包含在用户信息中的用户ID来搜索策略数据库45,从而获取与当前用户相对应的策略(步骤106)。策略搜索部分56将如此获取的策略作为当前用户的权限信息传递给许可发放部分51。作为与当前用户的策略相对应的策略,可用的是为当前用户而设置的策略以及还有为当前用户所属组而设置的策略。许可发放部分51根据发送来的权限信息确定是否发放许可(步骤107)。当确定可以发放许可时(步骤108的判定为是),许可发放部分51根据策略的设置内容产生许可,并且将所产生的许可返回给作为许可发放的请求者的客户终端30(步骤109)。许可发放部分51进一步将与所发放的许可相关的信息传递给许可搜索/更新部分52。许可搜索/更新部分52将该信息存入许可数据库44中(步骤110)。当确定不可以发放许可时(步骤108的判定为否),许可发放部分51不发放许可,而是通知不予发放许可的消息(步骤111)。
接下来,下面将描述无效处理,其中由于用户信息发生了变化,所以发放给当前用户的许可被无效。
根据本实施例,采用了一种信息管理方法,其中,用户管理服务器20所管理的用户信息或其一部分的副本被存入许可服务器40中。每次接收到许可发放请求时,可向用户管理服务器20询问用户信息。不过,用户信息具有不被经常更新的特质,并且对用户信息的询问需要较高的处理负担。考虑到这些原因而采用了上面提到的信息方法。另一方面,虽然用户信息的更新频率较低,但是在删除用户账户时或者在改变用户所属组时,当然会改变用户信息。在改变了正被用户管理服务器20所管理的用户信息之后,当许可服务器40继续使用原来的用户信息时,根据变化之前的用户信息而设置的策略(假设该策略仍有效),那么很难说还能正确地执行许可管理。因此,下面将要描述的无效处理是一种能解决上述问题的处理。在无效处理中,用户管理服务器20和许可服务器40被控制成这两个服务器所分别持有的用户信息的设置内容彼此一致;并且,在确认这些设置内容彼此不一致时,发放给当前用户的许可被无效。无效处理以适当的时间间隔周期执行,例如每天执行一次。该周期处理中的时间间隔并不限于此,而是可以设置成一个适当的时间间隔。或者,可由管理人员进行手工设置。接下来,将参考图10的流程图来描述根据本实施例的无效处理。在此,虽然图10示出了将注意力放在一个用户信息上的流程,但是可以对存储在用户信息数据库47中的所有用户信息重复执行图10所示的流程。
用户信息搜索/更新部分59从用户信息数据库47中取出用户信息(步骤121),并且指示用户信息询问部分58去获取能够由包含在当前用户信息中的用户ID所指定的用户的用户信息。用户信息询问部分58根据该指令将包含当前用户ID的用户信息获取请求发送给用户管理服务器20的用户信息管理部分21。当用户信息管理部分21从用户信息数据库22取出关于当前用户的用户信息并且将其发回给用户信息询问部分58时,用户信息询问部分58得到了发送过来的用户信息(步骤122),并且将其传递给用户信息搜索/更新部分59。
在此,用户信息搜索/更新部分59对从用户管理服务器20获取的用户信息和从用户信息数据库47取出的用户信息进行比较(步骤123)。当它们彼此一致时(步骤124的判定为是),可以确定用户信息未变化,从而结束对当前用户的无效处理。另一方面,当对两段用户信息相互比较并且发现它们彼此不一致时(步骤124的判定为否),可以确定用户信息已经发生了变化,从而执行后续处理。
即,当确定了用户信息的变化时,用户信息搜索/更新部分59首先根据从用户管理服务器20获取的用户信息来更新用户信息数据库47中所存储的用户信息(步骤125)。在随后的时间里,用户信息搜索/更新部分59将变化内容信息加入用户信息,该变化内容信息能够指定对用户信息所做出的变化的内容。该变化内容信息与存储在图7所示的无效条件列表中的变化内容信息相同。此外,为了存储变化后的内容,用户信息搜索/更新部分59将包含在根据变化内容信息而变化的变化后的用户信息中的用户ID与在内容变化涉及组的变化等的情况下的变化前的数据结合起来,从而产生变化存储信息;并且将该变化存储信息写入用户信息变化日志数据库48,同时使之与包含在变化后的用户信息中的用户ID关联起来,从而存储变化日志(步骤126)。用户信息搜索/更新部分59还将变化之后的用户信息和所存储的变化日志传递给用户信息通知部分60。用户信息通知部分60将变化之后的用户信息和所存储的变化日志传递给无效条件检查部分55。无效条件检查部分55利用包含在用户信息中的变化内容信息作为关键词来搜索无效条件列表存储部分46,从而指定用于使许可无效的规则,并且根据这样指定的规则来创建与当前用户相关的策略搜索条件,并且将由此创建的策略搜索条件与用户信息一起传递给策略搜索部分56。作为可用作由于用户信息变化而产生的策略无效信息的信息,搜索条件包括用户ID以及用户信息变化之前及变化之后当前用户所属组的组ID。当策略搜索部分56根据由此接收到的信息来搜索策略数据库45以便获取与当前用户相关的策略时(步骤127),策略搜索部分56将由此获得的用户相关策略与分别从无效条件检查部分55传递过来的用户信息和变化日志都传递给许可无效指示部分57。在此,与当前用户相关的策略对应于为当前用户而设置的策略以及与当前用户所属组相对应的策略,之前已经描述了这两个策略。许可无效指示部分57将由此获得的策略、用户信息和变化日志传递给许可无效部分54。许可无效部分54从许可搜索/更新部分52中指定一个许可(步骤128),该许可对应于许可搜索/更新部分52的策略中所包含的策略ID以及用户信息中所包含的用户ID。具体地说,许可无效部分54将当前许可的有效性设置信息设置为“无效”,从而更新设置在许可数据库44中的许可设置(步骤129)。对于哪个许可被设置成无效,可根据与包含在用户信息中的用户ID相关联的变化内容信息来搜索无效条件,从而能够制定一个规则。因此,许可无效部分54根据所制定的规则的描述内容来无效相应的许可。
例如,当从用户信息数据库22中删除“用户A”时,即,当存储在许可数据库44中的许可的变化内容信息根据为无效条件所设置的规则而为“1”时,与发放给“用户A”的所有许可相关的有效性设置信息都被设置成“无效”。并且,当从“组A”中删除“用户A”时,即,当存储在许可数据库44中的许可的变化内容信息根据为无效条件所设置的规则而为“2”时,与这样的许可相关的有效性设置信息被设置成“无效”:在该许可中,其策略ID中设置了针对“组A”所设置的策略的策略ID,而其用户ID中设置了“用户A”。并且,当属于“组A”的组被新近添加至属于“组B”的组下面时,即,当存储在许可数据库44中的许可的变化内容信息根据为无效条件所设置的规则而为“3”时,与这样的许可相关的有效性设置信息被设置成“无效”:在该许可中,其策略ID中设置了针对“组A”所设置的策略的策略ID。即,属于“组A”的所有许可都是无效的。并且,当从用户信息数据库22中删除“组A”时,即,当存储在许可数据库44中的许可的变化内容信息根据为无效条件所设置的规则而为“4”时,与这样的许可相关的有效性设置信息被设置为“无效”:在该许可中,其策略ID中设置了针对“组A”所设置的策略的策略ID。在这种情况下,属于“组A”的所有许可都变成无效的。
在本实施例中,以上面提到的方式结合用户信息的变化来执行对相关许可的无效处理。
下面将描述与根据本发明的许可验证处理相关的图11的流程图。
当客户终端30的许可验证请求部分33根据来自用户的验证请求指令来将许可验证请求发送给许可服务器40时,许可服务器40的许可验证部分53接受许可验证请求(步骤131)。许可验证请求至少包括做出该验证请求的用户的用户ID以及该用户的许可ID。并且,当许可验证部分53将由此接受的用户ID和许可ID传递给许可搜索/更新部分52时,许可搜索/更新部分52利用所接受的用户ID和许可ID作为关键词来搜索许可数据库44,从而获取当前许可的有效性设置信息(步骤132),并随后将其返回给许可验证部分53。在此,当根据所接受的有效性设置信息而确定当前许可是有效的时(步骤133中的判定为是),许可验证部分53向作为请求发送方的客户终端30返回关于许可有效的验证结果(步骤134)。另一方面,当发现该许可无效时(步骤133中为否),执行上述许可发放处理(步骤134)。在此,在该许可验证处理的情况下,在步骤S101中发送许可发放请求给许可发放部分51的发送方不是客户终端30而是许可验证部分53。而且,在步骤109中,许可发放部分51发送指令以便使将被无效的许可和将被发放的许可都变得无效。
在本实施例中,在给出了一个许可验证请求时,则给出指令以便使将被无效的许可变得无效,并且,如果存在由于策略设置而有效的许可,则将发放新许可。
在此,根据本实施例,许可服务器40管理策略和许可。但是,这些结构也可实现成将它们分散在多个计算机中的方式。并且,当可以从许可服务器40访问存储器44至48中的至少一个时,这种管理可能并非总是由许可服务器40的HDD所实现。
并且,在本实施例中,可对将被存入许可数据库44中的许可进行检查以确定其是否有效,从而使得有效性设置信息对应于该许可的许可信息。但是,也可以将有效性设置信息构造成使其具有其它结构。
为了说明和解释的目的提供了本发明实施例的前述描述。其并不旨在穷尽本发明或者将本发明限制为所公开的具体形式。显然地,对本领域技术人员而言,可以做出多种修改和变化。选择这些实施例并对其进行描述的目的在于解释本发明的原理及其实际应用,从而使得本领域技术人员可以理解,适合各种实施例并且具有各种改型的本发明适合于预期的具体应用。本发明的范围由所附权利要求及其等价形式所限定。
Claims (5)
1.一种许可管理设备,其包括:
许可信息存储器,其存储了针对发放给用户的每个许可而产生的许可信息;
副本用户信息存储器,其存储了用户管理设备所管理的用户信息,或者存储了副本用户信息,所述副本用户信息包括所述用户信息的一部分的副本,从而使得用于指定对所述用户信息所执行的变化内容的变化内容信息对应于所述用户信息;
无效信息存储器,其将每段变化内容信息与由于对所述用户信息进行变化而产生的许可无效规则相关联,并且将每段与所述许可无效规则相关联的变化内容信息存储起来;
比较单元,其从用户管理设备获取与存储在所述副本用户信息存储器中的所述副本用户信息相对应的用户信息,并且将所获取的用户信息与所述副本用户信息进行比较;
更新单元,当所述比较单元所得到的比较结果显示所述用户信息与所述副本用户信息彼此不一致时,所述更新单元指定对所述用户信息所做出的变化的内容,并且不仅根据与所指定的变化内容相对应的变化内容信息、而且还根据所述用户信息来更新所述变化内容信息以及存储在副本用户信息存储器中的所述副本用户信息;以及
设置单元,其针对存储在许可信息存储器中的每段许可信息,根据与参考所述无效信息存储器而被所述更新单元更新的所述变化内容信息相对应的无效规则,来设置许可信息无效。
2.如权利要求1所述的许可管理设备,其进一步包括:
策略存储器,其存储了用户所设置的策略;
接受单元,其接受许可验证请求,所述许可验证请求至少包含用户识别信息和许可识别信息;
检查单元,其根据包含在所述许可验证请求中的所述用户识别信息和所述许可识别信息,通过搜索所述许可信息存储器来检查许可是否有效;
获取单元,当许可被所述设置单元设置成无效时,所述获取单元通过根据包含在所述许可验证请求中的用户识别信息来搜索所述策略存储器,从而获取用户所设置的策略;
确定单元,其根据所述获取单元所获取的策略来确定是否发放许可;
发放单元,其在所述确定单元确定可以发放许可时发放许可;
以及
登记单元,其将与所述发放单元所发放的许可相关的许可信息登记在所述许可信息存储器中。
3.如权利要求1所述的许可管理设备,其中
所述许可信息存储器以有效性设置信息与许可相对应的方式针对每个许可来存储表示该许可的有效性的有效性设置信息,以及
所述设置单元通过在有效性设置信息中设置表示无效的信息来使相应的许可信息变得无效。
4.一种许可管理方法,其包括:
存储针对发放给用户的每个许可而产生的许可信息;
存储用户管理设备所管理的用户信息,或者存储副本用户信息,所述副本用户信息包括所述用户信息的一部分的副本,从而使得用于指定对所述用户信息所执行的变化内容的变化内容信息对应于所述用户信息;
将每段变化内容信息与由于对所述用户信息进行变化而产生的许可无效规则相关联,并且将每段与所述许可无效规则相关联的变化内容信息存储起来;
从用户管理设备获取与所述副本用户信息相对应的用户信息,
并且将所获取的用户信息与所述副本用户信息进行比较;
当比较结果显示所述用户信息与所述副本用户信息彼此不一致时,指定对所述用户信息所做出的变化的内容,并且不仅根据与所指定的变化内容相对应的变化内容信息、而且还根据所述用户信息来更新所述变化内容信息以及所述副本用户信息;以及
针对每段许可信息,根据与所述变化内容信息相对应的无效规则来设置许可信息无效。
5.一种计算机可读介质,其存储了一个使计算机执行用于管理许可信息的处理的程序,所述处理包括:
存储针对发放给用户的每个许可而产生的许可信息;
存储用户管理设备所管理的用户信息,或者存储副本用户信息,所述副本用户信息包括所述用户信息的一部分的副本,从而使得用于指定对所述用户信息所执行的变化内容的变化内容信息对应于所述用户信息;
将每段变化内容信息与由于对所述用户信息进行变化而产生的许可无效规则相关联,并且将每段与所述许可无效规则相关联的变化内容信息存储起来;
从用户管理设备获取与所述副本用户信息相对应的用户信息,并且将所获取的用户信息与所述副本用户信息进行比较;
当比较结果显示所述用户信息与所述副本用户信息彼此不一致时,指定对所述用户信息所做出的变化的内容,并且不仅根据与所指定的变化内容相对应的变化内容信息、而且还根据所述用户信息来更新所述变化内容信息以及所述副本用户信息;以及
针对每段许可信息,根据与所述变化内容信息相对应的无效规则来设置许可信息无效。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008-331238 | 2008-12-25 | ||
JP2008331238A JP4631969B2 (ja) | 2008-12-25 | 2008-12-25 | ライセンス管理装置及びライセンス管理プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101763575A true CN101763575A (zh) | 2010-06-30 |
Family
ID=42286563
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910137596A Pending CN101763575A (zh) | 2008-12-25 | 2009-05-18 | 许可管理设备、许可管理方法以及计算机可读介质 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8799321B2 (zh) |
JP (1) | JP4631969B2 (zh) |
CN (1) | CN101763575A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113424204A (zh) * | 2018-11-08 | 2021-09-21 | 索尼互动娱乐有限责任公司 | 用于执行数字内容的法律许可审查的方法 |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5308794B2 (ja) | 2007-12-11 | 2013-10-09 | 住友化学株式会社 | 噴流層装置を用いたポリオレフィン製造方法 |
JP2012043124A (ja) * | 2010-08-18 | 2012-03-01 | Mitsubishi Electric Corp | アクセス権管理方法、情報管理システムおよび情報管理装置 |
JP5703649B2 (ja) * | 2010-09-14 | 2015-04-22 | 株式会社リコー | 画像形成装置、情報管理方法およびプログラム |
US8813252B2 (en) * | 2010-09-29 | 2014-08-19 | Microsoft Corporation | Request based license mode selection |
US8826430B2 (en) * | 2012-11-13 | 2014-09-02 | Palo Alto Research Center Incorporated | Method and system for tracing information leaks in organizations through syntactic and linguistic signatures |
US20150142679A1 (en) * | 2013-11-15 | 2015-05-21 | Adobe Systems Incorporated | Provisioning rules to manage user entitlements |
US10289854B1 (en) * | 2016-09-23 | 2019-05-14 | Amdocs Development Limited | Apparatus, computer program, and method for generating an intermediate entitlement specification for controlling access to service or content |
KR101951118B1 (ko) * | 2017-09-12 | 2019-05-08 | 두산중공업 주식회사 | 설계 소프트웨어 네트워크 라이선스 모니터링 시스템 및 그 방법 |
JP7155766B2 (ja) * | 2018-09-05 | 2022-10-19 | 富士フイルムビジネスイノベーション株式会社 | 管理装置及びプログラム |
Family Cites Families (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5905860A (en) * | 1996-03-15 | 1999-05-18 | Novell, Inc. | Fault tolerant electronic licensing system |
JP3954692B2 (ja) | 1996-07-22 | 2007-08-08 | 富士ゼロックス株式会社 | 認証装置および方法 |
US6735701B1 (en) * | 1998-06-25 | 2004-05-11 | Macarthur Investments, Llc | Network policy management and effectiveness system |
US6510513B1 (en) * | 1999-01-13 | 2003-01-21 | Microsoft Corporation | Security services and policy enforcement for electronic data |
US7669238B2 (en) * | 2000-06-21 | 2010-02-23 | Microsoft Corporation | Evidence-based application security |
US7085834B2 (en) * | 2000-12-22 | 2006-08-01 | Oracle International Corporation | Determining a user's groups |
SG99387A1 (en) | 2001-02-02 | 2003-10-27 | Matsushita Electric Ind Co Ltd | Content usage management system and content usage management method |
JP2002342518A (ja) | 2001-02-02 | 2002-11-29 | Matsushita Electric Ind Co Ltd | コンテンツ利用管理システム及びコンテンツ利用管理方法 |
US7308717B2 (en) * | 2001-02-23 | 2007-12-11 | International Business Machines Corporation | System and method for supporting digital rights management in an enhanced Java™ 2 runtime environment |
US7185364B2 (en) * | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
JP2002279165A (ja) * | 2001-03-22 | 2002-09-27 | Hitachi Information Systems Ltd | ライセンス管理システム |
EP1303097A3 (en) * | 2001-10-16 | 2005-11-30 | Microsoft Corporation | Virtual distributed security system |
US7406537B2 (en) * | 2002-11-26 | 2008-07-29 | Progress Software Corporation | Dynamic subscription and message routing on a topic between publishing nodes and subscribing nodes |
US20040039594A1 (en) * | 2002-01-09 | 2004-02-26 | Innerpresence Networks, Inc. | Systems and methods for dynamically generating licenses in a rights management system |
US7205883B2 (en) * | 2002-10-07 | 2007-04-17 | Safenet, Inc. | Tamper detection and secure power failure recovery circuit |
EP1507402A3 (en) * | 2003-06-23 | 2005-07-20 | Ricoh Company, Ltd. | Access control decision system, access control enforcing system, and security policy |
US7748030B1 (en) * | 2003-06-27 | 2010-06-29 | Realnetworks, Inc. | Licensing digital content use |
US20070180490A1 (en) * | 2004-05-20 | 2007-08-02 | Renzi Silvio J | System and method for policy management |
US20060294580A1 (en) * | 2005-06-28 | 2006-12-28 | Yeh Frank Jr | Administration of access to computer resources on a network |
WO2007016436A2 (en) * | 2005-07-29 | 2007-02-08 | Identity Engines, Inc. | Segmented network identity management |
US20070043679A1 (en) * | 2005-08-22 | 2007-02-22 | Safenet, Inc. | N-tier license distribution |
EA200901153A1 (ru) * | 2005-10-18 | 2010-04-30 | Интертраст Текнолоджиз Корпорейшн | Системы и способы на основе механизма управления цифровыми правами |
US9626667B2 (en) * | 2005-10-18 | 2017-04-18 | Intertrust Technologies Corporation | Digital rights management engine systems and methods |
US20070143827A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
JP2007172280A (ja) * | 2005-12-21 | 2007-07-05 | Fuji Xerox Co Ltd | アクセス権管理方法、装置及びプログラム |
US20070150299A1 (en) * | 2005-12-22 | 2007-06-28 | Flory Clive F | Method, system, and apparatus for the management of the electronic files |
JP2007172379A (ja) * | 2005-12-22 | 2007-07-05 | Hitachi Information Systems Ltd | ユーザid自動管理システム |
JP2007310439A (ja) * | 2006-05-16 | 2007-11-29 | Ricoh Co Ltd | アクセス権管理システム |
US20080134308A1 (en) * | 2006-12-05 | 2008-06-05 | Ramachandra Yalakanti | Network login security |
US8307404B2 (en) * | 2007-04-16 | 2012-11-06 | Microsoft Corporation | Policy-management infrastructure |
JP2008276376A (ja) * | 2007-04-26 | 2008-11-13 | Hitachi Software Eng Co Ltd | 文書ファイル保護方法 |
US8132247B2 (en) * | 2007-08-03 | 2012-03-06 | Citrix Systems, Inc. | Systems and methods for authorizing a client in an SSL VPN session failover environment |
US8688845B2 (en) * | 2008-06-27 | 2014-04-01 | Microsoft Corporation | Remote computing session feature differentiation |
-
2008
- 2008-12-25 JP JP2008331238A patent/JP4631969B2/ja active Active
-
2009
- 2009-04-16 US US12/425,203 patent/US8799321B2/en not_active Expired - Fee Related
- 2009-05-18 CN CN200910137596A patent/CN101763575A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113424204A (zh) * | 2018-11-08 | 2021-09-21 | 索尼互动娱乐有限责任公司 | 用于执行数字内容的法律许可审查的方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4631969B2 (ja) | 2011-02-16 |
JP2010152734A (ja) | 2010-07-08 |
US20100169982A1 (en) | 2010-07-01 |
US8799321B2 (en) | 2014-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101763575A (zh) | 许可管理设备、许可管理方法以及计算机可读介质 | |
CN101663671B (zh) | 对web服务资源的访问的授权 | |
CN101677352B (zh) | 文档管理系统、文档制作设备、文档使用管理设备、以及文档管理方法 | |
US7730092B2 (en) | System and method for managing user profiles | |
CN112559627B (zh) | 一种基于联盟链的链上-链下协同电子病历数据共享方法 | |
CA2407628C (en) | System and method for determining user identity fraud using similarity searching | |
CN100462957C (zh) | 基于隐私策略的消息路由方法和系统 | |
JP2002196965A (ja) | アクセス権限レベル制御装置及び方法 | |
EP2659412B1 (en) | A system and method for using partial evaluation for efficient remote attribute retrieval | |
JP2009054086A (ja) | 情報提供装置 | |
JP4240929B2 (ja) | ファイル管理システムにおけるアクセス制御方式 | |
JP2002222168A (ja) | 個人認証システム、個人認証方法、及びプログラム | |
JP2007011844A (ja) | ファイル共有システム、ファイル共有方法ならびにファイル共有プログラム | |
JP2002202956A (ja) | セキュリティ管理システム、セキュリティ管理方法及びセキュリティ管理プログラム | |
CN113239255B (zh) | 异构数据资源的共享方法、装置、计算机设备及介质 | |
JPH07244639A (ja) | アクセス権管理装置 | |
JP7023993B2 (ja) | 情報管理システム、及び情報管理方法 | |
JP2002324053A (ja) | 利用権限管理システム、利用権限管理方法および利用権限管理プログラム | |
JP5129946B2 (ja) | 認証処理装置 | |
JP6852752B2 (ja) | セキュリティ管理システムおよびセキュリティ管理方法 | |
JP4016017B2 (ja) | データバックアップ方法及びコンピュータシステム | |
JP5316015B2 (ja) | 情報処理装置及びプログラム | |
JP2016177632A (ja) | セキュリティ管理システムおよびセキュリティ管理方法 | |
JP2003186728A (ja) | 分散管理データの共有方法 | |
JP2004021530A (ja) | ドキュメント管理装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100630 |