JP2016157210A - Access control apparatus, access control method, and access control program - Google Patents

Access control apparatus, access control method, and access control program Download PDF

Info

Publication number
JP2016157210A
JP2016157210A JP2015033498A JP2015033498A JP2016157210A JP 2016157210 A JP2016157210 A JP 2016157210A JP 2015033498 A JP2015033498 A JP 2015033498A JP 2015033498 A JP2015033498 A JP 2015033498A JP 2016157210 A JP2016157210 A JP 2016157210A
Authority
JP
Japan
Prior art keywords
information
server
licenses
license
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015033498A
Other languages
Japanese (ja)
Inventor
翔平 鈴木
Shohei Suzuki
翔平 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Industry and Control Solutions Co Ltd
Original Assignee
Hitachi Industry and Control Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Industry and Control Solutions Co Ltd filed Critical Hitachi Industry and Control Solutions Co Ltd
Priority to JP2015033498A priority Critical patent/JP2016157210A/en
Publication of JP2016157210A publication Critical patent/JP2016157210A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To control access in accordance with the number of licenses.SOLUTION: This invention is configured: to register a license key generated by converting information specific to a server and information on the number of licenses to hash values, on a server; to execute consistency check on the license key to be registered, to record a correct license key; to have a table for managing the number of client terminals that simultaneously access to the server, and an access state table that records access time or the like, to manage the number of accessing client terminals so as not to exceed the number of licenses; to check whether the information on the number of licenses registered on the server is correct or not; to have a management table for registering server information in the server, to register the server information by means of a dedicated tool; and to check whether the server information registered on the management table is correct or not when a system is started in the server, to start the system only when the information is correct.SELECTED DRAWING: Figure 1

Description

本発明は、アクセス制御装置、アクセス制御方法及びアクセス制御プログラムに係り、特に、アクセス数の制御に好適なアクセス制御装置、アクセス制御方法及びアクセス制御プログラムに関する。   The present invention relates to an access control device, an access control method, and an access control program, and more particularly to an access control device, an access control method, and an access control program suitable for controlling the number of accesses.

近年のネットワークを介したシステムでは、一方にサーバ端末を配して、他方にクライアント端末を配して、クライアント端末からサーバ端末にアクセスすることによってシステムを構築することが多い。すなわち、多くの情報はサーバ端末に集中して管理し、その情報について、クライアント端末がアクセスすることでシステムが構成されることが多い。   In a system via a network in recent years, a system is often constructed by arranging a server terminal on one side and a client terminal on the other side and accessing the server terminal from the client terminal. That is, in many cases, a large amount of information is centrally managed on the server terminal, and the system is configured by accessing the information by the client terminal.

このようなシステムにおいて、サーバ端末にアクセスするクライアント端末を制限することが必要な場合がある。具体的にはライセンスを受けた端末のみがサーバ端末にアクセスが許可される。しかしながら、許可された数のクライアント端末を超えてアクセスできるように改ざんする使用者が存在する。そのため、システムの不正利用防止の技術が考えられた。   In such a system, it may be necessary to limit the client terminals that access the server terminal. Specifically, only the licensed terminal is allowed to access the server terminal. However, there are users who tamper so that access can be made beyond the permitted number of client terminals. Therefore, a technology for preventing unauthorized use of the system was considered.

例えば、このような技術として、サーバ装置内部で特定のソフトウェアに対する使用ライセンス数を監視しており、クライアント端末からアクセスが発生した際に、サーバからクライアント端末に対してソフトウェア認証用番号が送信されることにより、ソフトウェア使用ライセンスを各クライアント端末に割当てるというシステムである。また、サーバはライセンス数のみを認知しておくだけで、クライアント端末上で動作するソフトウェアの同時使用数を監視することができると記載されている。   For example, as such a technique, the number of licenses used for specific software is monitored inside the server device, and when access from the client terminal occurs, a software authentication number is transmitted from the server to the client terminal. Thus, this is a system in which a software use license is assigned to each client terminal. Further, it is described that the server can monitor the number of simultaneous use of software running on the client terminal only by recognizing only the number of licenses.

このような技術は例えば特開2002−6972号公報に記載されている。   Such a technique is described in, for example, Japanese Patent Application Laid-Open No. 2002-6972.

特開2002−6972号公報JP 2002-6972 A

上記の従来技術のシステムでは、クライアント端末にてサーバから送信されたソフトウェア認証用番号を記録しておく必要があり、認証用番号をクライアント端末とサーバそれぞれにて管理する必要がある。   In the above prior art system, it is necessary to record the software authentication number transmitted from the server at the client terminal, and it is necessary to manage the authentication number at each of the client terminal and the server.

また、サーバで管理するライセンス情報がライセンス数のみであり、ライセンス数のデータを変更された場合、ライセンス数に応じたアクセス制御を行うことができないことや、ライセンス情報を別のサーバにコピーした場合、ライセンスの不正利用ができてしまう問題があった。   In addition, if the license information managed by the server is only the number of licenses and the license number data is changed, access control according to the number of licenses cannot be performed, or the license information is copied to another server There was a problem that the license could be illegally used.

また、サーバ内のアプリケーションプログラムを別サーバへ不正にコピーすることで、アプリケーションプログラムの不正利用がされてしまう問題がある。   In addition, there is a problem that the application program is illegally used by illegally copying the application program in the server to another server.

本発明の目的は、少なくとも上記の問題点のうちの1つを解決可能なアクセス制御装置、アクセス制御方法及びアクセス制御プログラムを提供することにある。   An object of the present invention is to provide an access control device, an access control method, and an access control program that can solve at least one of the above-described problems.

上記目的を達成するために、本発明では、入力されたライセンス情報がサーバ端末に固有な固有情報と整合するかをチェックし、前記ライセンス情報からライセンス数を得るライセンス数取得し、前記ライセンス情報が前記固有情報と整合する場合、クライアント端末からアクセスがあったときに、前記ライセンス情報に含まれるライセンス数を超えるクライアント端末のアクセスを抑えるように動作するように構成した。   In order to achieve the above object, in the present invention, it is checked whether the input license information is consistent with the unique information unique to the server terminal, the number of licenses for obtaining the number of licenses is obtained from the license information, and the license information When matching with the unique information, the client terminal is configured to operate so as to suppress access of the client terminal exceeding the number of licenses included in the license information when accessed from the client terminal.

より具体的には、サーバ固有の情報とライセンス数の情報を暗号化及び、ハッシュ値化して生成したライセンスキーを、サーバに登録する。サーバでは登録しようとしているライセンスキーの整合性チェックを実施し、正しいライセンスキーのみを記録する。   More specifically, the license key generated by encrypting the server-specific information and the license number information and converting it into a hash value is registered in the server. The server checks the consistency of the license key to be registered and records only the correct license key.

サーバ内部に同時アクセスしているクライアント端末数を管理するテーブルと、アクセスしてきた時間などを記録するアクセス状態テーブルを持ち、アクセスしてきたクライアント端末台数がライセンス数以上にならないように管理し、所定のライセンス数以上になった場合にはクライアント端末側にエラーを返す仕掛けを設ける。また、サーバに登録しているライセンス数の情報が正しいかチェックする仕掛けを設ける。   It has a table that manages the number of client terminals that are accessing the server at the same time and an access status table that records the access time, etc., and manages so that the number of client terminals that have accessed does not exceed the number of licenses. A mechanism is provided to return an error to the client terminal when the number of licenses is exceeded. Also, a mechanism is provided for checking whether the information on the number of licenses registered in the server is correct.

サーバ内部に、サーバ情報を登録する管理テーブルを持ち、専用のツールを使用してサーバ情報を登録する。サーバにてシステムを起動する際に、前述の管理テーブルに登録されているサーバ情報が正しいかチェックし、正しかった場合のみシステムが起動する仕掛けを設ける。   The server has a management table for registering server information and registers server information using a dedicated tool. When starting the system on the server, it is checked whether the server information registered in the management table is correct, and a mechanism for starting the system is provided only when it is correct.

本発明によれば、不正なサーバ端末へのアクセスを抑えつつも、且つ、サーバ端末とクライアント端末間の通信量を多くすることなる適切な速度の通信の実現が可能となる。   ADVANTAGE OF THE INVENTION According to this invention, it becomes possible to implement | achieve communication of the appropriate speed which increases the communication amount between a server terminal and a client terminal, suppressing the access to an unauthorized server terminal.

本発明の実施システム構成例である。It is an implementation system structural example of this invention. ライセンスキー整合性チェックフロー例である。It is an example of a license key consistency check flow. クライアント端末のアクセス管理例である。It is an example of access management of a client terminal. アクセス管理テーブル登録処理前チェック処理フロー例である。It is an example of a check processing flow before access management table registration processing. システム起動時のチェック処理フロー例である。It is an example of the check processing flow at the time of system starting. ライセンスキー生成に関する例である。It is an example regarding license key generation. ライセンス管理テーブル例である。It is an example of a license management table.

本発明の実施形態について図面を用いて説明する。以下、図1〜7を用いて説明する。   Embodiments of the present invention will be described with reference to the drawings. Hereinafter, description will be given with reference to FIGS.

[全体システム]
図1に、本発明のシステム構成例を示す。 [Whole system]
FIG. 1 shows a system configuration example of the present invention.

サーバ端末101とクライアント端末103、104、105がネットワークで接続される。サーバ端末101は必要な情報をデータベース102に記録する。また、サーバ端末101はデータベース102から必要な情報を取得して業務を遂行する。なお、データベース102には、「データベース情報」(データベース毎に異なる識別情報)が記憶されている。   Server terminal 101 and client terminals 103, 104, and 105 are connected via a network. The server terminal 101 records necessary information in the database 102. In addition, the server terminal 101 acquires necessary information from the database 102 and performs work. The database 102 stores “database information” (identification information that differs for each database).

サーバ端末101とクライアント端末103、104、105で構成されるシステムは、例えば、製造管理システムとして製造プロセスのシステム化を実現するものである。この場合、サーバ端末101には製造指図と標準作業手順書が記憶されている。クライアント端末103、104、105はサーバ端末101にアクセスすることで、サーバ端末101に記憶されている製造指図と標準作業手順書の情報を得てディスプレイに表示する。また、クライアント端末103、104、105はサーバ端末101にアクセスすることで、標準作業手順書の登録・変更として運用手順 (作業手順) を変更することができる。   A system including the server terminal 101 and the client terminals 103, 104, and 105 realizes systematization of a manufacturing process as a manufacturing management system, for example. In this case, the server terminal 101 stores a manufacturing instruction and a standard work procedure manual. By accessing the server terminal 101, the client terminals 103, 104, and 105 obtain information on manufacturing instructions and standard work procedure manuals stored in the server terminal 101 and display them on the display. Further, the client terminal 103, 104, 105 can access the server terminal 101 to change the operation procedure (work procedure) as registration / change of the standard work procedure manual.

あるいは、サーバ端末101に各工程の作業の進捗が記憶されている。クライアント端末103、104、105はサーバ端末101にアクセスすることでサーバ端末101から各工程の作業の進捗の情報を得てディスプレイに表示する。クライアント端末103、104、105はサーバ端末101にアクセスすることで作業の確認および承認等の品質管理を登録・変更することができる。   Alternatively, the work progress of each process is stored in the server terminal 101. The client terminals 103, 104, and 105 access the server terminal 101 to obtain information on the progress of work in each process from the server terminal 101 and display it on the display. The client terminals 103, 104, and 105 can register / change quality management such as confirmation and approval of work by accessing the server terminal 101.

このサーバ端末101とクライアント端末103、104、105のアクセス権限はライセンスキーを介してなされる。   Access authority between the server terminal 101 and the client terminals 103, 104, and 105 is made through a license key.

このライセンスキーの発行について、ライセンスキー発行端末106は別ネットワークまたはスタンドアローンで構成されている。   Regarding the issuance of the license key, the license key issuing terminal 106 is configured as a separate network or a stand-alone.

ライセンスキー発行ツール107にて、サーバ情報登録ツール108に事前登録されているサーバ端末固有の情報及びライセンス数などのライセンスキー生成に必要な複数の情報から、ライセンスキーを生成する。ライセンスキーは、暗号化及びハッシュ値化を行った文字列で生成する。   The license key issuance tool 107 generates a license key from a plurality of pieces of information necessary for generating a license key such as information specific to the server terminal pre-registered in the server information registration tool 108 and the number of licenses. The license key is generated as a character string that has been encrypted and hashed.

ここでライセンスキー発行について図6を用いて、例えば、ライセンスキーの元情報として、符号601のような「管理番号」(図7に示されるライセンスキー管理テーブル701のようにサーバ毎に異なる番号)、「サーバ固有情報1」「サーバ固有情報2」(ネットワークのおけるアドレス等のサーバ固有な情報)、「ライセンス数情報」(例えばライセンス数は20等)を使用した場合について説明する。ここで挙げられている情報は、あくまで説明する為の例である。   Here, with reference to FIG. 6 for license key issuance, for example, as a license key source information, a “management number” such as reference numeral 601 (a number different for each server as in the license key management table 701 shown in FIG. 7) A case where “server unique information 1”, “server unique information 2” (information unique to a server such as an address in a network) and “license number information” (for example, the number of licenses is 20) will be described. The information given here is merely an example for explanation.

ライセンスキー発行ツール107では、「管理番号」、「サーバ固有情報1」、「サーバ固有情報2」、「データベース情報」、「ライセンス数情報」601の各情報を入力し、ライセンスキーを生成する。ライセンスキー生成は次の順番で行われる。   The license key issuing tool 107 inputs each information of “management number”, “server unique information 1”, “server unique information 2”, “database information”, and “license number information” 601, and generates a license key. License key generation is performed in the following order.

先ず、入力された情報である「管理番号」、「サーバ固有情報1」、「サーバ固有情報2」を合わせて暗号化(602)することにより「暗号化された情報(604)」を生成する。暗号化は、例えば、ブロック暗号、ストリーム暗号などの暗号化・復号で同じ鍵を使う共通鍵暗号、 暗号化・復号で異なる鍵を使う公開鍵暗号等の既知の暗号化を用いることができる。   First, the input information “management number”, “server unique information 1”, and “server unique information 2” are encrypted together (602) to generate “encrypted information (604)”. . For encryption, for example, known encryption such as common key cryptography using the same key for encryption / decryption such as block cipher and stream cipher, and public key cryptography using different keys for encryption / decryption can be used.

次に、入力された情報である「データベース情報」、「ライセンス数情報」をハッシュ値化(603)することにより「ハッシュ値化された情報(605)」を生成する。ここで、ハッシュ化ではハッシュ関数と呼ばれる特殊な計算手順により、任意長の長さのデータから固定長の一見ランダムに見えるハッシュ値を得る。同じデータからは常に同じハッシュ値が得られるが、少しでもデータが異なるとまったく類似しない別のハッシュ値が生成される。   Next, the input information “database information” and “license number information” are hashed (603) to generate “hashed information (605)”. Here, in hashing, a hash value that looks seemingly random at a fixed length is obtained from data of an arbitrary length by a special calculation procedure called a hash function. The same hash value can always be obtained from the same data, but if the data is slightly different, another hash value that is not similar at all is generated.

そして、暗号化された情報604とハッシュ値化された情報605を組み合わせることにより(606)、ライセンスキー(607)を生成し、発行する。   Then, by combining the encrypted information 604 and the hashed information 605 (606), a license key (607) is generated and issued.

暗号化(602)のみならずハッシュ値化(603)の両方を使用している理由は、全てのライセンスキー元情報(601)について暗号化のみを使用してライセンスキーを生成した場合、暗号化方式を解読されると、ライセンスキーが複製されてしまうからである。   The reason for using both hashing (603) as well as encryption (602) is that when all license key source information (601) is generated using only encryption, encryption is performed. This is because the license key is copied when the method is decrypted.

さらに、その理由としては、ハッシュ値化のみを使用した場合、ライセンスキーをシステムに登録する際に、ライセンスキーが正しいか整合性チェックを行う処理に時間が掛かってしまうためである。すなわち、ライセンスキー整合性チェック処理では、ライセンスキー情報をサーバ内部にて生成し、登録しようとしているライセンスキーと一致するかを確認している。そのため、ライセンスキーが一致するまで、若しくは、各情報の最大数までハッシュ値生成を行うことになる。そうすると、例で挙げている「管理番号」、「ライセンス数情報」が一致するまでハッシュ値生成し続けることにより、ライセンスキー整合性チェック処理に時間が掛かってしまうというわけである。   Furthermore, the reason is that when only hash value conversion is used, it takes time to perform a consistency check to check whether the license key is correct when the license key is registered in the system. That is, in the license key consistency check process, license key information is generated inside the server, and it is confirmed whether it matches the license key to be registered. Therefore, hash values are generated until the license keys match or up to the maximum number of pieces of information. Then, since the hash value is continuously generated until the “management number” and “license number information” mentioned in the example match, the license key consistency check process takes time.

以上により、ライセンスキー情報の秘匿性を維持しつつ、整合性チェックの高速化を実現するために暗号化とハッシュ値化を使用してライセンスキーを生成している。   As described above, the license key is generated using encryption and hash value conversion in order to increase the speed of the consistency check while maintaining the confidentiality of the license key information.

このライセンスキーは、紙に書かれた状態でライセンシーに渡され、或いは、USBメモリーに書込まれた状態でライセンシーに渡される。   This license key is handed over to the licensee in a state of being written on paper, or is handed over to the licensee in a state of being written in a USB memory.

[ライセンスキー607をサーバ端末101のデータベース102に登録する処理]
次に、この発行されたライセンスキー607をサーバ端末101のデータベース102に登録する動作を図2のフローを用いて説明する。ライセンスキー607がサーバ端末101のデータベース102に登録されると、後述するように、サーバ端末101とクライアント端末103、104、105で構成されるシステムの起動が可能な状態となり、さらに、クライアント端末103、104、105がサーバ端末101にアクセスすることが可能な状態となる。 [Process of registering license key 607 in database 102 of server terminal 101]
Next, an operation of registering the issued license key 607 in the database 102 of the server terminal 101 will be described with reference to the flow of FIG. When the license key 607 is registered in the database 102 of the server terminal 101, the system configured by the server terminal 101 and the client terminals 103, 104, and 105 can be activated as described later. , 104, and 105 can access the server terminal 101.

ライセンスキー607の登録時に行うには、初めに、上記ライセンスキー607をサーバ101の要求に応じて作業者が打込む、あるいは、ライセンスキー607の情報を記憶したUSBメモリーをI/Oを介して接続するなどの作業がなされる。   To register the license key 607, first, the operator inputs the license key 607 in response to a request from the server 101, or a USB memory storing the license key 607 information via the I / O. Work such as connecting.

このような作業をトリガとして始まるライセンスキー607整合性チェックフロー例を図2に示す。   FIG. 2 shows an example of a license key 607 consistency check flow starting with such an operation as a trigger.

ライセンスキー607を、サーバ端末101の画面から登録するSTART(201)より、登録しようとしているライセンスキー(キーボートを介して入力/USBから入力)が未登録のものであるかのチェックを行う(202)。すなわち、登録しようとしているライセンスキーが既にデータベース102に登録されているかのチェックを行う。既に同じライセンスキーが登録されていた場合、ライセンスキーの登録を中止し、エラーを表示する(208)。   Registering the license key 607 from the screen of the server terminal 101 From START (201), it is checked whether the license key to be registered (input via keyboard / input from USB) is unregistered (202 ). That is, it is checked whether the license key to be registered is already registered in the database 102. If the same license key has already been registered, registration of the license key is canceled and an error is displayed (208).

未登録のライセンスキーであれば、登録しようとしているライセンスキー607から暗号化された情報604を抽出し、複合化処理を行う(203)。すなわち、ライセンスキー607のうちの「管理番号」「サーバ固有情報1」「サーバ固有情報2」を取り出し複合化する。
そして、複合化した値のうちの「サーバ固有情報1」「サーバ固有情報2」が、現に操作しているサーバ端末101の固有の情報と等しいかチェックを行う(204)。 If it is an unregistered license key, the encrypted information 604 is extracted from the license key 607 to be registered, and decryption is performed (203). That is, “management number” “server unique information 1” “server unique information 2” in the license key 607 is extracted and combined.
Then, it is checked whether “server unique information 1” and “server unique information 2” of the combined values are the same as the unique information of the server terminal 101 currently operated (204).

ここで比較している対象は、「ライセンスキー607から複合化した情報」とサーバ端末101が固有に持っている情報(例えば固有のネットワークアドレスなど)である。本処理の意味合いとしては、正しいライセンスキーを登録しようとしているかのチェックができ、不正なライセンスキーを登録できないようにしている。   The objects being compared here are “information combined from the license key 607” and information inherent to the server terminal 101 (for example, a unique network address). The implication of this process is that it is possible to check whether a correct license key is to be registered, and an unauthorized license key cannot be registered.

チェック結果が等しくなかった場合は、ライセンスキー607の登録処理を中断し、エラーを表示する(208)。   If the check results are not equal, the license key 607 registration process is interrupted and an error is displayed (208).

チェック結果が等しい場合は、まず、ライセンス数を1と仮定して、「データベース情報」からハッシュ値を生成する(205)。ライセンスキー607のハッシュ値化された情報(605)(「データベース情報」と「ライセンス数」に基づいてハッシュ値が生成された部分)と比較を行いチェックする(206)。次に、ライセンス数を1増加させて同様な比較繰り返す。例えば、ライセンス数をNと仮定したときに等しくなれば、ライセンス数が特定できる(ハッシュ値が等しくなる)。例えばライセンス数が100等まで大きく仮定しても等しくならない場合はハッシュ値が等しくないと判断する。   If the check results are equal, first, assuming that the number of licenses is 1, a hash value is generated from “database information” (205). A check is made by comparing with the hashed information (605) of the license key 607 (the portion where the hash value is generated based on “database information” and “number of licenses”) (206). Next, the number of licenses is increased by 1 and the same comparison is repeated. For example, if the number of licenses is equal to N, the number of licenses can be specified (hash values are equal). For example, if the number of licenses is not equal even if it is assumed to be as large as 100, it is determined that the hash values are not equal.

比較したハッシュ値が等しくない場合は、ライセンスキーの登録処理を中断し、エラーを表示する(208)。   If the compared hash values are not equal, the license key registration process is interrupted and an error is displayed (208).

ハッシュ値が等しい場合は、データベース102にライセンス管理テーブル701の領域が確保されているところ、ライセンスキー607の情報をライセンス管理テーブル(管理テーブル)701に記録する。(207)。このライセンス管理テーブル(管理テーブル)701に記録されるライセンスキー607の情報としては、本件フローで得られた管理番号及びライセンス数が含まれる。 [システムの起動制御の処理]
ライセンスキー607が管理テーブル701に記録されると、サーバ端末101とクライアント端末103、104、105で構成されるシステムが起動可能となる。サーバ端末101にてシステムを起動する際、図5のチェック処理をサーバ端末101が実施する。 When the hash values are equal, the information of the license key 607 is recorded in the license management table (management table) 701 when the area of the license management table 701 is secured in the database 102. (207). Information on the license key 607 recorded in the license management table (management table) 701 includes the management number and the number of licenses obtained in this flow. [System startup control processing]
When the license key 607 is recorded in the management table 701, a system including the server terminal 101 and the client terminals 103, 104, and 105 can be activated. When the system is started on the server terminal 101, the server terminal 101 performs the check process of FIG.

先ず、管理テーブル701にサーバ固有情報1及びサーバ固有情報2が登録されているかチェックを行う(502)。なお、サーバ固有情報1及びサーバ固有情報2は各々のアプリケーションプログラムに固有で且つアプリケーションプログラムの一部をなすように構成されており、アプリケーションプログラムがサーバ端末101にプログラムとして設定されたときに、このアプリケーションプログラム上で固有に保持されたサーバ固有情報1及びサーバ固有情報2が管理テーブル701に転記されるようになっている。   First, it is checked whether the server specific information 1 and the server specific information 2 are registered in the management table 701 (502). The server-specific information 1 and the server-specific information 2 are configured to be unique to each application program and form a part of the application program. When the application program is set as a program in the server terminal 101, the server-specific information 1 and the server-specific information 2 The server unique information 1 and the server unique information 2 that are uniquely held in the application program are transferred to the management table 701.

未登録だった場合、エラーを表示しシステムを起動せず終了する(507)。   If not registered, an error is displayed and the system is terminated without starting (507).

登録されている場合、登録されているサーバ固有情報1及びサーバ固有情報2を取得する(503)。   If registered, the server-specific information 1 and server-specific information 2 registered are acquired (503).

次に、ライセンス管理テーブル701からライセンスキー607を取得して、さらに、該ライセンスキー607のうちの暗号化された情報604を複合化して、それによって、ライセンスキー607に記録されたサーバ固有情報1及びサーバ固有情報2を取得する。 504にて生成した複合値と、503で取得したサーバ固有情報1及びサーバ固有情報2が等しいか比較する(505)。   Next, the license key 607 is obtained from the license management table 701, and the encrypted information 604 in the license key 607 is further decrypted, whereby the server-specific information 1 recorded in the license key 607 is obtained. And server specific information 2 is acquired. The composite value generated in 504 is compared with the server unique information 1 and server unique information 2 acquired in 503 for equality (505).

505にて比較している対象は、「データベースに格納されているサーバ情報」と「ライセンスキー607の情報から生成した複合値」である。本処理の意味合いとしては、システムを起動しようとしているサーバが正しいサーバ端末であるかのチェックを行っている。サーバプログラムを不正にコピーしたとしても、システムを起動できないようにしている。   The objects to be compared in 505 are “server information stored in the database” and “composite value generated from information of license key 607”. The implication of this processing is checking whether the server that is trying to start the system is the correct server terminal. Even if the server program is copied illegally, the system cannot be started.

比較した値が異なる場合、エラーメッセージを表示しシステムを起動せず終了する(507)。   If the compared values are different, an error message is displayed and the system is terminated without starting (507).

等しい場合、システムを起動する(506)。   If they are equal, the system is started (506).

上記により、他のサーバ端末から不正にアプリケーションプログラムをコピーした場合や、管理テーブルのデータをコピーされた場合にエラー処理となり、システムの不正利用を防ぐことができる。   As described above, when an application program is illegally copied from another server terminal or when data in the management table is copied, error processing is performed, and unauthorized use of the system can be prevented.

[クライアント端末103、104、105からサーバ端末101へのアクセス管理]
システム(サーバ端末101とクライアント端末103、104、105で構成されるシステム)が起動されると、クライアント端末103、104、105からサーバ端末101にアクセスが可能な状態となる。ここで、サーバ端末101は、ライセンスキー607が登録されている場合のみ、クライアント端末からの接続を許可し、ライセンスキー607が未登録の場合は、クライアント端末からの接続を許可しない。 [Access management from the client terminals 103, 104, and 105 to the server terminal 101]
When the system (system including the server terminal 101 and the client terminals 103, 104, and 105) is activated, the client terminal 103, 104, and 105 can access the server terminal 101. Here, the server terminal 101 permits the connection from the client terminal only when the license key 607 is registered, and does not permit the connection from the client terminal when the license key 607 is not registered.

図3を使用し、クライアント端末103、104、105がどのようにアクセス管理されるかを説明する。このアクセス管理はアクセス管理テーブル301を介してなされ、アクセス管理テーブル301が、物理的には同じ管理テーブルであるが、記憶状態が遷移した状態をアクセス管理テーブル302及びアクセス管理テーブル304と記する。   How the client terminals 103, 104, and 105 are accessed and managed will be described with reference to FIG. This access management is performed via the access management table 301. The access management table 301 is physically the same management table, but the state in which the storage state has transitioned is referred to as an access management table 302 and an access management table 304.

サーバ端末101は、アクセスしているクライアント端末103、104、105を管理するアクセス管理テーブル301を持ち、アクセスしてきた端末の情報を登録する(301)。   The server terminal 101 has an access management table 301 for managing the accessing client terminals 103, 104, and 105, and registers information on the accessed terminal (301).

クライアント端末103、104、105がシステムを終了する場合、サーバ端末101はアクセス管理テーブル301から、該当するクライアント端末情報を削除する(302)。クライアント端末のアクセス数は、アクセス管理テーブル301に登録されているクライアント端末情報(103、104、105のいずれか)の数をカウントして管理する。   When the client terminals 103, 104, and 105 end the system, the server terminal 101 deletes the corresponding client terminal information from the access management table 301 (302). The number of client terminal accesses is managed by counting the number of client terminal information (any one of 103, 104, and 105) registered in the access management table 301.

例えば、サーバ端末にクライアント端末A(103)とクライアント端末B(104)がアクセスした場合、アクセス管理テーブル301に各クライアント端末情報が登録される(304)。このとき、アクセス管理テーブル301には2レコードあり、このレコード数が現在アクセスしているクライアント端末台数となり、アクセス管理テーブル304についてはアクセス数2台となる。   For example, when the client terminal A (103) and the client terminal B (104) access the server terminal, each client terminal information is registered in the access management table 301 (304). At this time, there are two records in the access management table 301, and the number of records is the number of client terminals that are currently accessed, and the number of accesses is two in the access management table 304.

サーバ端末101にアクセスしたクライアント端末情報を、アクセス管理テーブル301に登録する前に、サーバ端末101が実施するチェック処理フローを図4に示す。   FIG. 4 shows a check processing flow performed by the server terminal 101 before registering the client terminal information accessed to the server terminal 101 in the access management table 301.

まず、サーバ端末101にアクセスしてきたクライアント端末103、104、105のいずれかが、アクセス管理テーブル301に未登録であるかチェックする(402)。   First, it is checked whether any of the client terminals 103, 104, and 105 that have accessed the server terminal 101 is unregistered in the access management table 301 (402).

既に登録されていた場合、アクセス状態テーブル301に登録されている、該当するクライアント端末のアクセス日時情報を更新する。   If it has already been registered, the access date / time information of the corresponding client terminal registered in the access status table 301 is updated.

未登録の場合、データベース102のライセンス管理テーブル701に登録されているライセンス情報(管理番号、ライセンスキー607、ライセンス数)を取得する(403)。   If not registered, the license information (management number, license key 607, number of licenses) registered in the license management table 701 of the database 102 is acquired (403).

次に、403で取得したライセンス情報のうちのライセンス数を、データベース情報を考慮してハッシュ化する(404)。   Next, the number of licenses in the license information acquired in 403 is hashed in consideration of the database information (404).

そして、得られたライセンス数に基づきハッシュ化した値と、403で取得したライセンスキー607のハッシュ値化された情報606とを比較して等しいか比較を行う(405)。   Then, the hashed value based on the obtained number of licenses is compared with the hashed information 606 of the license key 607 acquired in 403 to compare them for equality (405).

405にて実質的に比較している対象は、「データベース102に格納されているライセンス数」と「ライセンスキー607のライセンス数部分」である。本処理の意味合いとしては、登録したライセンスキー607情報をユーザが不正に変更していないかのチェックをしている。   The objects substantially compared at 405 are “the number of licenses stored in the database 102” and “the number of licenses in the license key 607”. The implication of this processing is checking whether the user has illegally changed the registered license key 607 information.

生成したハッシュ値が、ライセンスキー607のハッシュ値部分と等しくなかった場合、「ライセンス数チェックエラーです。」などのエラーを表示し、サーバへの接続処理を中断する。   If the generated hash value is not equal to the hash value portion of the license key 607, an error message such as “License number check error” is displayed, and the process of connecting to the server is interrupted.

生成したハッシュ値が、ライセンスキー607のハッシュ値部分と等しい場合、現在のアクセス数確認処理を実行する(406)。   When the generated hash value is equal to the hash value portion of the license key 607, the current access number confirmation process is executed (406).

現在のアクセス数確認は、アクセス管理テーブルに登録されているクライアント端末数をカウントして確認する。   The current number of accesses is confirmed by counting the number of client terminals registered in the access management table.

そして、現在のアクセス数がライセンス数より少ないかチェックする(407)。
アクセス数がライセンス数以上の場合は、「ライセンス数を超えています。」などのエラーを表示し、サーバ端末へのアクセス処理を中断する。 Then, it is checked whether the current number of accesses is less than the number of licenses (407).
If the number of accesses is greater than or equal to the number of licenses, an error message such as “The number of licenses has been exceeded.” Is displayed, and the access processing to the server terminal is interrupted.

アクセス数がライセンス数未満の場合、アクセス管理テーブルにクライアント端末の情報を登録し(408)、アクセス状態テーブル内の該当する端末のアクセス日時を更新する。
上記により、ライセンス管理テーブルに登録しているライセンスキー607情報のデータを変更された場合、サーバ端末へのアクセスを防ぐことができる。さらに、好ましくは、サーバへの誤ったライセンスキー607登録を防ぐことができ、サーバに登録されているライセンス情報の改ざんを行った場合の不正利用を防ぐことができる。されには、サーバのアプリケーションプログラムを別のサーバにコピーされた場合のシステム不正利用を防ぐことができる。また、ライセンスに基づくクライアント端末台数の制限をかけることにより、ユーザとしては、バリデーションで管理されていない、端末の追加を行うことができなくなる為、その点において関連法令を守ることができる。ライセンスキー607の発行方法を工夫したことにより、ライセンスキー607情報の秘匿性を維持しつつ、整合性チェックの高速化をできる。 If the access count is less than the license count, the client terminal information is registered in the access management table (408), and the access date and time of the corresponding terminal in the access status table is updated.
As described above, when the data of the license key 607 information registered in the license management table is changed, access to the server terminal can be prevented. Furthermore, it is possible to prevent erroneous registration of the license key 607 in the server, and it is possible to prevent unauthorized use when the license information registered in the server is falsified. Thus, unauthorized use of the system can be prevented when the server application program is copied to another server. In addition, by restricting the number of client terminals based on the license, it becomes impossible for a user to add a terminal that is not managed by validation, and related laws can be observed in that respect. By devising the method of issuing the license key 607, it is possible to speed up the consistency check while maintaining the confidentiality of the license key 607 information.

101 コンピュータシステム(サーバ端末)
102 データベース
103 コンピュータシステム(クライアント端末)
104 コンピュータシステム(クライアント端末)
105 コンピュータシステム(クライアント端末)
106 コンピュータシステム(クライアント端末)
107 アプリケーション(ライセンスキー発行ツール)
108 アプリケーション(サーバ情報登録ツール)
301 データベース
302 データベース
701 データベース(ライセンス管理テーブル) 101 Computer system (server terminal)
102 database 103 computer system (client terminal)
104 Computer system (client terminal)
105 Computer system (client terminal)
106 Computer system (client terminal)
107 Application (License key issuing tool)
108 Application (Server Information Registration Tool)
301 Database 302 Database 701 Database (License Management Table)

Claims (8)

入力されたライセンス情報がサーバ端末に固有な固有情報と整合するかをチェックするチェック部と、前記ライセンス情報からライセンス数を得るライセンス数取得部を有し、前記ライセンス情報が前記固有情報と整合する場合、クライアント端末からアクセスがあったときに、前記ライセンス情報に含まれるライセンス数を超えるクライアント端末のアクセスを抑えるように動作することを特徴とするアクセス制御装置。   A check unit that checks whether the input license information matches the unique information unique to the server terminal; and a license number acquisition unit that obtains the number of licenses from the license information, and the license information matches the unique information. In this case, the access control device operates to suppress access of the client terminal exceeding the number of licenses included in the license information when accessed from the client terminal. 請求項1において、前記ライセンス情報は、前記サーバ端末がアクセス可能なデータベースに登録されることを特徴とするアクセス制御装置。   2. The access control apparatus according to claim 1, wherein the license information is registered in a database accessible by the server terminal. 請求項2において、前記ライセンス情報に含まれる固有情報は暗号化されていることを特徴とするアクセス制御装置。   3. The access control apparatus according to claim 2, wherein the unique information included in the license information is encrypted. 請求項2において、前記ライセンス情報に含まれるライセンス数の情報はハッシュ化されていることを特徴とするアクセス制御装置。   3. The access control apparatus according to claim 2, wherein the information on the number of licenses included in the license information is hashed. 請求項1において、クライアント端末をアクセス許可した場合は、前記許可したアクセス端末の情報をデータベースに登録することを特徴とするアクセス制御装置。   2. The access control apparatus according to claim 1, wherein when access to a client terminal is permitted, information on the permitted access terminal is registered in a database. 請求項1において、入力されたライセンス情報がサーバ端末に固有情報と整合している場合に前記ライセンス情報をデータベースに記憶しておき、前記サーバ端末の起動のときに、前記サーバ端末の固有情報と前記記憶されたライセンス情報が整合するかチェックし、前記チェックの結果が整合性を示している場合に、前記サーバ端末の起動を許可することを特徴とするアクセス制御装置。   In Claim 1, when the input license information is consistent with the unique information in the server terminal, the license information is stored in a database, and when the server terminal is activated, the unique information of the server terminal An access control apparatus that checks whether the stored license information matches, and permits the activation of the server terminal if the result of the check indicates consistency. 入力されたライセンス情報がサーバ端末に固有な固有情報と整合するかをチェックするチェックステップと、前記ライセンス情報からライセンス数を得るライセンス数取得する取得ステップと、前記ライセンス情報が前記固有情報と整合する場合、クライアント端末からアクセスがあったときに、前記ライセンス情報に含まれるライセンス数を超えるクライアント端末のアクセスを抑えるように動作する抑制ステップを有するアクセス制御方法。   A check step for checking whether the input license information matches unique information unique to the server terminal, an acquisition step for obtaining the number of licenses for obtaining the number of licenses from the license information, and the license information matches the unique information In this case, the access control method includes a suppression step that operates to suppress access of the client terminal exceeding the number of licenses included in the license information when accessed from the client terminal. 入力されたライセンス情報がサーバ端末に固有な固有情報と整合するかをチェックするステップと、前記ライセンス情報からライセンス数を得るライセンス数取得するステップと、前記ライセンス情報が前記固有情報と整合する場合、クライアント端末からアクセスがあったときに、前記ライセンス情報に含まれるライセンス数を超えるクライアント端末のアクセスを抑えるように動作するステップとを実行させるアクセス制御プログラム。   A step of checking whether the input license information is consistent with the unique information unique to the server terminal; a step of obtaining the number of licenses to obtain the number of licenses from the license information; and the license information is consistent with the unique information, An access control program that executes a step of suppressing access of a client terminal exceeding the number of licenses included in the license information when accessed from the client terminal.
JP2015033498A 2015-02-24 2015-02-24 Access control apparatus, access control method, and access control program Pending JP2016157210A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015033498A JP2016157210A (en) 2015-02-24 2015-02-24 Access control apparatus, access control method, and access control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015033498A JP2016157210A (en) 2015-02-24 2015-02-24 Access control apparatus, access control method, and access control program

Publications (1)

Publication Number Publication Date
JP2016157210A true JP2016157210A (en) 2016-09-01

Family

ID=56826192

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015033498A Pending JP2016157210A (en) 2015-02-24 2015-02-24 Access control apparatus, access control method, and access control program

Country Status (1)

Country Link
JP (1) JP2016157210A (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000056967A (en) * 1998-08-17 2000-02-25 Nec Corp Managing method and its device for client license and recording medium storing managing program of client license
US20060031172A1 (en) * 2004-08-06 2006-02-09 Takeshi Otsuka License management system, license management method, license management server, and license management software
JP2006127197A (en) * 2004-10-29 2006-05-18 Fujitsu Ltd Application program, server computer, license key issuance program, license key issuance device and license key issuance system
JP2006163896A (en) * 2004-12-08 2006-06-22 Fuji Xerox Co Ltd License key data, software package control program, license confirmation program, computer and software package control method
JP2007087275A (en) * 2005-09-26 2007-04-05 Matsushita Electric Ind Co Ltd License management device
WO2007077615A1 (en) * 2005-12-28 2007-07-12 Fujitsu Limited Software execution management device and method thereof

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000056967A (en) * 1998-08-17 2000-02-25 Nec Corp Managing method and its device for client license and recording medium storing managing program of client license
US20060031172A1 (en) * 2004-08-06 2006-02-09 Takeshi Otsuka License management system, license management method, license management server, and license management software
JP2006048527A (en) * 2004-08-06 2006-02-16 Olympus Corp System, method, server, and software for license management
JP2006127197A (en) * 2004-10-29 2006-05-18 Fujitsu Ltd Application program, server computer, license key issuance program, license key issuance device and license key issuance system
JP2006163896A (en) * 2004-12-08 2006-06-22 Fuji Xerox Co Ltd License key data, software package control program, license confirmation program, computer and software package control method
JP2007087275A (en) * 2005-09-26 2007-04-05 Matsushita Electric Ind Co Ltd License management device
WO2007077615A1 (en) * 2005-12-28 2007-07-12 Fujitsu Limited Software execution management device and method thereof
US20080271162A1 (en) * 2005-12-28 2008-10-30 Fujitsu Limited Software execution management apparatus, method, and computer-readable medium thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"日立ライセンス管理システム 使用の手引", HITACHI HI−UX/WE2 日立ライセンス管理システム 使用の手引, vol. 第1版, JPN6017049320, 6 February 1998 (1998-02-06), JP, pages 2 - 74, ISSN: 0003821621 *

Similar Documents

Publication Publication Date Title
CN111488598B (en) Access control method, device, computer equipment and storage medium
CN105103488B (en) By the policy Enforcement of associated data
EP2956852B1 (en) Data security service
WO2021073170A1 (en) Method and apparatus for data provision and fusion
KR101371608B1 (en) Database Management System and Encrypting Method thereof
CN111737366B (en) Private data processing method, device, equipment and storage medium of block chain
JP2019522412A (en) Registration / authorization method, apparatus and system
JP2006080636A (en) Information processing apparatus
US11729175B2 (en) Blockchain folding
CN107409129B (en) Use the authorization in accesses control list and the distributed system of group
CN101641702A (en) Secure data storage and retrieval incorporating human participation
CN103746801A (en) Method for protecting dynamic password seed key on smart phone or tablet personal computer
WO2019082442A1 (en) Data registration method, data decoding method, data structure, computer, and program
CN110990863B (en) Method for realizing file access control through timestamp and encryption algorithm
JP5443236B2 (en) Distributed database system
CN111737747B (en) Database confidentiality method, device, equipment and computer storage medium
JP6729013B2 (en) Information processing system, information processing apparatus, and program
JP6711042B2 (en) Decryption program, encryption program, decryption device, encryption device, decryption method, and encryption method
GB2608570A (en) Secure private key distribution between endpoint instances
JP6199506B2 (en) Server system and method for controlling a plurality of service systems
CN110602121B (en) Network key obtaining method and device and computer readable storage medium
CN101729508B (en) Method and device for managing contents
Voitovych et al. Multilayer Access for Database Protection
CN108345801B (en) Ciphertext database-oriented middleware dynamic user authentication method and system
JP2016157210A (en) Access control apparatus, access control method, and access control program

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170117

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170124

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170220

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171226

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180626