计算机系统、计算机装置以及授权管理方法与流程

本申请要求2019年2月22日在日本提出的日本专利申请2019－029946的优先权，为了参照而将该在先申请全部公开内容引入于此。

本公开涉及计算机系统、计算机装置以及授权(license，许可)管理方法。

背景技术：

多个计算机装置进行协作动作而构成一个系统的计算机系统被用于过程控制等。在这样的计算机系统中，需要适当地管理用于多个计算机装置进行协作动作的软件的授权。

作为软件的授权管理方法，有基于硬件id的方法。该方法是基于在计算机装置中所搭载的硬件的硬件id，对每个计算机装置赋予授权的方法(例如，参照专利文献1)。另外，作为其他方法，有基于软件的授权数的方法。该方法是对计算机装置赋予预先决定的规定的授权数的授权的方法(例如，参照专利文献2)。

现有技术文献

专利文献

专利文献1：日本特开平7－325712号公报

专利文献2：日本特开2006－059163号公报

技术实现要素：

发明要解决的课题

在以往的基于硬件id的授权管理方法以及基于授权数的授权管理方法中，难以实现兼顾软件的非法利用的防止和系统的高可用性的确保。

鉴于上述那样的问题而完成的本公开的目的在于，提供能够实现兼顾软件的非法利用的防止和系统的高可用性的确保的计算机系统、计算机装置以及授权管理方法。

用于解决课题的手段

几个实施方式的计算机系统，是多个计算机装置进行协作动作的计算机系统，作为所述多个计算机装置内的其中一个的第1计算机装置，在包含被赋予用于进行所述协作动作的软件的授权的多个计算机装置的标识符的授权文件中，包含有所述第1计算机装置的标识符的情况下，即使在进行所述协作动作的多个计算机装置内、所述第1计算机装置以外的第2计算机装置的标识符未包含在所述授权文件中，也许可使用了所述软件的所述第2计算机装置进行的协作动作。

根据具有这样的结构的计算机系统，在第2计算机装置发生故障等的情况下，能够不等待第2计算机装置的授权的获取等，就进行协作动作，因此能够确保计算机系统的高可用性。另外，授权的合法性由于基于计算机装置的标识符而判定，因此能够防止非法利用。因此，根据具有上述结构的计算机系统，能够实现兼顾软件的非法利用的防止和系统的高可用性的确保。

在一实施方式中，在即使所述第2计算机装置的标识符未包含在所述授权文件中，也被许可了所述第2计算机装置进行的协作动作的状态下，在所述第1计算机装置停止的情况下，所述第2计算机装置停止协作动作。

根据这样的结构，能够防止使用相同的授权文件，使多个计算机系统进行动作这样的非法利用。

在一实施方式中，在即使所述第2计算机装置的标识符未包含在所述授权文件中，也许可了所述第2计算机装置进行的协作动作的状态持续了规定时间以上的情况下，所述第1计算机装置使所述第2计算机装置进行的协作动作停止。

根据这样的结构，能够防止在未受到合法的授权的情况下利用软件继续进行协作动作这样的非法利用。

在一实施方式中，在即使所述第2计算机装置的标识符未包含在所述授权文件中，也许可了所述第2计算机装置进行的协作动作的次数超过了规定次数的情况下，所述第1计算机装置不许可所述第2计算机装置进行的协作动作。

根据这样的结构，能够防止在未受到合法的授权的情况下利用软件反复继续进行协作动作这样的非法利用。

在一实施方式中，所述第1计算机装置是运行侧计算机装置，所述第2计算机装置是在所述运行侧计算机装置发生了故障的情况下运行的待机侧计算机装置。

根据这样的结构，在包含运行侧计算机装置、和待机侧计算机装置的冗余化系统中，能够实现兼顾软件的非法利用的防止和系统的高可用性的确保。

几个实施方式的计算机装置，是多个计算机装置进行协作动作的计算机系统中包含的计算机装置，具有：授权检查部，判定在包含被赋予用于进行所述协作动作的软件的授权的多个计算机装置的标识符的授权文件中，是否包含本装置的标识符；以及等值化部，在通过所述授权检查部判定为在所述授权文件中包含有本装置的标识符的情况下，即使进行所述协作动作的其他计算机装置的标识符未包含在所述授权文件中，也许可使用了所述软件的所述其他计算机装置进行的协作动作。

根据具有这样的结构的计算机装置，在其他计算机装置发生故障等的情况下，由于能够不等待其他计算机装置的授权的获取等就进行协作动作，因此能够确保计算机系统的高可用性。另外，授权的合法性基于计算机装置的标识符来判定，因此能够防止非法利用。因此，根据具有上述结构的计算机装置，能够实现兼顾软件的非法利用的防止和系统的高可用性的确保。

几个实施方式的授权管理方法，是多个计算机装置进行协作动作的计算机系统中的、管理用于进行所述协作动作的软件的授权的授权管理方法，包括：判定在包含被赋予所述软件的授权的多个计算机装置的标识符的授权文件中，是否包含作为所述多个计算机装置内的其中一个的第1计算机装置的标识符的步骤；以及在所述第1计算机装置的标识符包含在所述授权文件中的情况下，即使在进行所述协作动作的多个计算机装置内、所述第1计算机装置以外的第2计算机装置的标识符未包含在所述授权文件中，也许可使用了所述软件的所述第2计算机装置进行的协作动作的步骤。

根据具有这样的结构的授权管理方法，在第2计算机装置发生故障等的情况下，能够不等待第2计算机装置的授权的获取等，就进行协作动作，因此能够确保计算机系统的高可用性。另外，授权的合法性基于计算机装置的标识符判定，因此能够防止非法利用。因此，根据具有上述结构的授权管理方法，能够实现兼顾软件的非法利用的防止和系统的高可用性的确保。

发明的效果

根据本公开的计算机系统、计算机装置以及授权管理方法，能够实现兼顾软件的非法利用的防止和系统的高可用性的确保。

附图说明

图1是表示本公开的一实施方式的计算机系统的结构例的图。

图2是用于说明在图1所示的计算机系统中管理授权的软件的图。

图3是用于说明图1所示的计算机系统中的授权文件的图。

图4是表示图1所示的计算机装置的硬件结构的一例的图。

图5是用于说明图1所示的计算机系统中的授权的认证状态的图。

图6是用于说明图1所示的计算机系统中的授权的认证状态的迁移的图。

图7是用于说明图1所示的计算机系统中的授权管理方法的流程图。

图8是用于说明比较例1的授权管理方法中的授权文件的图。

图9是表示应用了比较例1的授权管理方法计算机系统的结构例的图。

图10是表示应用了比较例2的授权管理方法的计算机系统的结构例的图。

具体实施方式

以下参照附图说明用于实施本公开的方式。在各图中，同一标号表示同一或者同等的结构要素。

首先，为了比较，说明比较例1的授权管理方法。比较例1的授权管理方法是基于硬件id的方法，是以防止软件的非法利用为主要目的的方法。具体地说，比较例1的授权管理方法是仅在指定的计算机装置中将软件设为可动作，即使将软件复制到其他计算机装置也无法使其动作的方法。

图8是用于说明比较例1的授权管理方法中的授权文件的图。另外，图9是表示应用了比较例1的授权管理方法的计算机系统100a的结构例的图。在图8、9中，假设计算机系统100a包含进行协作动作的2台计算机装置110a、110b。另外，计算机装置110a、110b，作为协作动作，假设进行其中一个计算机装置110成为对经由网络1连接的客户端2提供服务的运行侧计算机装置、另一个计算机装置110成为在运行侧计算机装置发生了故障的情况下运行的待机侧计算机装置的双重化动作。另外，假设预先进行设定，使得计算机装置110a作为运行侧计算机装置进行动作，计算机装置110b作为待机侧计算机装置进行动作。另外，在不区别计算机装置110a、110b的情况下，称为计算机装置110。

如图8所示，系统用户获取进行双重化动作的计算机装置110a、110b各自中所安装的硬件的id(硬件id)。硬件id例如是计算机装置110本体的序列号、计算机装置110中所搭载的硬盘的序列号、或者计算机装置110中装载的ethernet(注册商标)卡的mac(介质访问控制(mediaaccesscontrol))地址等可用于识别计算机装置110的标识符。以下，假设计算机装置110a的硬件id为“aaaa”，计算机装置110b的硬件id为“bbbb”。

系统用户将请求获取计算机装置110a以及计算机装置110b用于进行双重化动作的软件(以下称为“双重化控制软件”。)的授权的授权获取请求，发送到管理双重化控制软件的授权的授权管理装置3。在授权获取请求中包含计算机装置110a的硬件id“aaaa”以及计算机装置110b的硬件id“bbbb”。授权管理装置3例如通过提供双重化控制软件的软件供应商来管理。

授权管理装置3若接收授权获取请求，则对系统用户发行用于赋予双重化控制软件的授权的授权文件。在图8的例子中，授权管理装置3发行计算机装置110a用的授权文件(以下，称为“pc－a用授权文件”。)和计算机装置110b用的授权文件(以下，称为“pc－b用授权文件”)。即，授权管理装置3对各计算机装置110发行单独的授权文件。pc－a用授权文件中包含计算机装置110a的硬件id“aaaa”。在pc－b用授权文件中包含计算机装置110b的硬件id“bbbb”。

对各计算机装置110所发行的授权文件被安装在对应的计算机装置110中。即，如图9所示，pc－a用授权文件被安装在计算机装置110a中。pc－b用授权文件被安装在计算机装置110b。

计算机装置110具有授权检查部111。授权检查部111判定在本装置中安装的授权文件中包含的硬件id和本装置的硬件id是否一致。授权文件中包含的硬件id和本装置的硬件id一致的情况下，授权检查部111许可在本装置中搭载的双重化控制软件的启动。另外，在授权文件中包含的硬件id和本装置的硬件id不一致的情况下，授权检查部111指示停止本装置中搭载的双重化控制软件。

即，计算机装置110a的授权检查部111a在pc－a用授权文件中包含的硬件id和计算机装置110a的硬件id“aaaa”一致的情况下，许可计算机装置110a中搭载的双重化控制软件112a的启动。另外，在pc－a用授权文件中包含的硬件id和计算机装置110a的硬件id“aaaa”不一致的情况下，授权检查部111a指示停止双重化控制软件112a。

双重化控制软件112a若被授权检查部111a许可启动，则对作为待机侧计算机装置的计算机装置110b中搭载的双重化控制软件112b指示开始双重化动作。

计算机装置110b的授权检查部111b在pc－b用授权文件中包含的硬件id和计算机装置110b的硬件id“bbbb”一致的情况下，许可在本装置中搭载的双重化控制软件112b的启动。另外，授权检查部111b在pc－b用授权文件中包含的硬件id和计算机装置110b的硬件id“bbbb”不一致的情况下，指示停止双重化控制软件112b。

若双重化控制软件112b从授权检查部111b被许可启动，并从双重化控制软件112a被指示开始双重化动作，则计算机装置110a和计算机装置110b开始用于进行双重化动作的处理。即，只要计算机装置110a的授权以及计算机装置110b的授权有效，就在计算机装置110a和计算机装置110b之间进行双重化动作。若双重化动作开始，则例如在作为运行侧计算机装置的计算机装置110a中发生异常，且计算机装置110a停止了动作的情况下，则作为待机侧计算机装置的计算机装置110b进行动作，能够继续对客户端2提供服务。

在图9所示的计算机系统100a中，例如在一个计算机装置110的硬件发生了故障的情况下，需要更换发生了故障的硬件，使发生了故障的计算机装置110恢复为双重化动作。在该情况下，由于硬件被更换，硬件id发生变化，因此需要新的硬件用的授权的获取和授权文件的安装。

通常，授权的获取上花费时间。因此，直至授权的获取完成为止，无法使更换了硬件的计算机装置110恢复为双重化动作。因此，计算机系统100a成为仅未发生故障的计算机装置110运行的单运转状态。在该状态下，在运行中的计算机装置110中发生了异常的情况下，变得难以提供服务，有产生极大的影响的顾虑。

接着，说明比较例2的授权管理方法。比较例2的授权管理方法是基于授权数的方法，是能够根据硬件的更换等使授权灵活地移动的、重视可用性的方法。

图10是表示应用了比较例2的授权管理方法的计算机系统100b的结构例的图。

在图10所示的计算机系统100b中，授权管理装置3管理授权。授权管理装置3中设定可授权双重化控制软件的数(授权数(例如为2台))。授权管理装置3对经由网络1连接的计算机装置110a、110b发布授权。授权管理装置3若对计算机装置110发布授权，则将所设定的授权数相应减少发布了授权的数。若授权数成为零，则授权管理装置3不发布进一步的授权。即，授权管理装置3能够发布与设定的授权数相应的授权。

在比较例2的授权管理方法中，与比较例1的授权管理方法不同，没有授权和硬件的关联，对哪个硬件(计算机装置110)都能进行授权的发布。另外，在比较例2的授权管理方法中，能够防止设定的授权数以上的授权的发布，并防止双重化控制软件的非法利用。

在计算机装置110中，进行授权检查部111的授权的合法性的检查。若在计算机装置110a以及计算机装置110b各自中判定为授权合法，则计算机装置110a和计算机装置110b进行双重化动作。

在一个计算机装置110的硬件发生了故障的情况下，需要更换发生了故障的硬件，使发生了故障的计算机装置110恢复为双重化动作。在该情况下，比较例2的授权管理方法中由于不进行授权和硬件的关联，因此通过从授权管理装置3删除发生了故障的计算机装置110的授权(增加授权数)，能够对新的计算机装置110发布授权。

在比较例1的授权管理方法以及比较例2的授权管理方法分别有以下的优点和缺点。

作为比较例1的授权管理方法的优点在于，仅在指定的硬件被许可软件的动作，因此能够防止软件的非法利用。作为比较例1的授权管理方法的缺点在于，在更换硬件的情况下，直至新的硬件的授权的获取完成为止，需要使系统在单运转状态下运行，因此可用性降低。

作为比较例2的授权管理方法的优点在于，由于能够灵活地移动授权，因此可维护性高，即使是需要硬件的更换的情况下，也能够确保高可用性。作为比较例2的授权管理方法的缺点在于，例如如果以其他网络构建由参照图10说明的授权管理装置3以及计算机装置110构成的环境，则可能进行软件的非法利用。

这样，在比较例1的授权管理方法以及比较例2的授权管理方法中，难以实现兼顾软件的非法利用的防止和系统的高可用性的确保。

接着，说明本公开的一实施方式的计算机系统10的结构。

图1是表示本实施方式的计算机系统10的结构例的图。

图1所示的计算机系统10具有进行协作动作的多个计算机装置11(在图1中，为计算机装置11a、11b)，管理用于多个计算机装置11进行协作动作的软件的授权。本实施方式中，通过授权而管理的软件是用于多个计算机装置11a、11b进行协作动作的软件。以下，计算机装置11a、11b作为协作动作，假设进行其中一个计算机装置11成为对经由网络1所连接的客户端2提供服务的运行侧计算机装置、另一个计算机装置成为在运行侧计算机装置发生了故障的情况下进行动作的待机侧计算机装置的、冗余化(双重化)动作。另外，假设预先进行设定，使得计算机装置11a作为运行侧计算机装置进行动作，计算机装置11b作为待机侧计算机装置进行动作。在不区别计算机装置11a、11b的情况下，称为计算机装置11。

首先，在本实施方式的计算机系统10中，参照图2说明通过授权而被管理的软件。

如图2所示，计算机装置11a和计算机装置11b经由网络1连接。另外，计算机装置11a和计算机装置11b不经由网络1而直接通过线缆等连接。计算机装置11例如由服务器pc(personalcomputer)等构成。计算机装置11a作为运行侧计算机装置进行动作，经由网络1而对客户端2提供服务。计算机装置11b作为待机侧计算机装置进行动作，在计算机装置11a发生了故障时进行动作，对客户端2提供服务。

计算机装置11的软件结构如图2所示，例如包含冗余化平台软件、客户os(operatingsystem，操作系统)以及应用软件。冗余化平台软件是用于计算机装置11a和计算机装置11b进行冗余化动作(双重化动作)的软件。为了计算机装置11a和计算机装置11b进行冗余化动作，例如需要计算机装置11a和计算机装置11b的内部状态的等值化、相互的计算机装置11的故障探测等的处理。冗余化平台软件是用于计算机装置11a以及计算机装置11b进行上述那样的冗余化动作的软件。

客户os(guestos)是在服务器pc上构建的虚拟机器中进行动作的操作系统。另外，应用软件是在客户os上进行动作，例如对客户端2提供规定的服务的应用的软件。

在本实施方式中，通过授权而管理的软件是如上述的冗余化平台软件那样的、用于多个计算机装置11进行协作动作的软件。如上述，计算机装置11a以及计算机装置11b进行双重化动作，即：一个作为运行侧计算机装置进行动作、另一个作为待机侧计算机装置进行动作。以下，使用用于多个计算机装置11进行协作动作的软件是用于计算机装置11a以及计算机装置11b进行双重化动作的软件(双重化控制软件)的例子来进行说明。客户os以及应用软件的授权的管理，例如由提供各软件的软件供应商等进行，但是由于与本公开无直接关系，因此，省略说明。

再次参照图1，赋予双重化控制软件的授权的授权文件被从授权管理装置3发行，并被输入到预先设定作为运行侧计算机装置的计算机装置11a。

参照图3说明本实施方式的授权文件。

如图3所示，系统用户获取在进行双重化动作的计算机装置11a、11b各自中搭载的硬件的id(硬件id)。以下，假设计算机装置11a的硬件id为“aaaa”，计算机装置11b的硬件id为“bbbb”。

系统用户将请求获取用于计算机装置11a以及计算机装置11b进行双重化动作的软件(双重化控制软件)的授权的授权获取请求，发送到授权管理装置3。授权获取请求中包含计算机装置11a的硬件id“aaaa”以及计算机装置11b的硬件id“bbbb”。

授权管理装置3若接收授权获取请求，则对系统用户发行赋予双重化控制软件的授权的授权文件。在本实施方式中，授权管理装置3发行使通过授权获取请求而被请求了授权的计算机装置11a以及计算机装置11b成对的授权文件(以下，称为“pc－a/b对用授权文件”。)。具体地说，授权管理装置3发行包含计算机装置11a的硬件id“aaaa”和计算机装置11b的硬件id“bbbb”的授权文件。这样，授权管理装置3发行包含被赋予用于进行协作动作的软件的授权的多个计算机装置11的标识符的授权文件。授权管理装置3也可以将通过计算机装置11a、11b可解读的加密方式加密的硬件id包含在授权文件中。这样，能够防止第三者进行的授权文件的非法篡改、授权文件中包含的硬件id的泄漏等。

从授权管理装置3发行的pc－a/b对用授权文件，被输入(下载)到预先设定作为运行侧计算机装置的计算机装置11a。

接着，参照图1说明计算机装置11的结构。计算机装置11a的结构以及计算机装置11b的结构由于是相同的，因此以下说明计算机装置11a的结构，省略说明计算机装置11b的结构。

如图1所示，计算机装置11a具有控制权管理部12a、ap执行部13a、授权检查部14a、等值化部15a。

控制权管理部12a与进行协作动作的其他计算机装置11的控制权管理部12(图1中为计算机装置11b的控制权管理部12b)交换信息，决定各计算机装置11作为运行侧计算机装置进行动作，还是作为待机侧计算机装置进行动作。在计算机系统10的启动时等，预先设定作为运行侧计算机装置的计算机装置11作为运行侧计算机装置进行动作，其他计算机装置11作为待机侧计算机装置进行动作。

控制权管理部12a在决定为计算机装置11a作为运行侧计算机装置进行动作的情况下，对ap执行部13a发出启动指示，以使作为运行侧进行启动。另外，控制权管理部12a在决定为计算机装置11a作为待机侧计算机装置进行动作的情况下，对ap执行部13a发出启动指示，以使作为待机侧进行启动。在计算机装置11a作为待机侧计算机装置进行动作的情况下，控制权管理部12a对作为运行侧计算机装置进行动作的计算机装置11移交控制权。

ap执行部13a在被从控制权管理部12a发出启动指示以使作为运行侧启动的情况下，启动用于对客户端2提供规定的服务的应用等的执行环境。ap执行部13a在被从控制权管理部12a发出启动指示以使作为待机侧启动的情况下，将应用的执行进行待机，直到探测到作为运行侧计算机装置进行动作的其他计算机装置11的故障、且控制权转移至计算机装置11a为止。

授权检查部14a基于输入的授权文件，检查对于计算机装置11a以及与计算机装置11a进行协作动作的其他计算机装置11(图1中为计算机装置11b)的授权的合法性。

等值化部15a进行将计算机装置11a的内部状态、和与计算机装置11a进行协作动作的其他计算机装置11(图1中为计算机装置11b)的内部状态进行等值化的等值化处理。

控制权管理部12a、ap执行部13a、授权检查部14a以及等值化部15a的各功能例如能够通过由处理器等执行在计算机装置11a中搭载的双重化控制软件16a来实现。

图4是表示计算机装置11的硬件结构的一例的图。

如图4所示，计算机装置11具有通信部17、存储部18、控制部19。

通信部17包含连接到网络1的通信模块。另外，通信部17包含不经由网络1而用于与其他计算机装置11进行通信的通信模块。

存储部18包含1个以上的存储器。在本实施方式中，“存储器”例如为半导体存储器、磁存储器或者光存储器等，但不限于这些。在存储部18中包含的各存储器例如也可以作为主存储装置、辅助存储装置或者高速缓冲存储器而发挥作用。存储部18例如存储用于计算机装置11的动作的任意的软件(例如，参照图2说明的各种软件)。

控制部19具有1个以上的处理器。本实施方式中，“处理器”为通用的处理器、专用于特定的处理的处理器等，但不限于这些。控制部19执行在存储部18中存储的软件，控制计算机装置11整体的动作。

接着，说明本实施方式的计算机系统10的动作。

在本实施方式中，作为授权的认证状态，准备三个状态。

第一状态是授权有效状态。所谓授权有效状态，是运行侧计算机装置的硬件id以及待机侧计算机装置的硬件id的双方与授权文件中包含的硬件id一致的状态。在该情况下，由于是被正规授权认证的状态，因此设为能够进行多个计算机装置11进行的协作动作(图1中为计算机装置11a、11b进行的双重化动作)。

第二状态是授权暂定状态。所谓授权暂定状态，是运行侧计算机装置的硬件id与授权文件中包含的硬件id一致，待机侧计算机装置的硬件id与授权文件中包含的硬件id不一致的状态。在该情况下，在本实施方式中，为了不损害可用性，设为暂定地能够进行计算机装置11a、11b进行的双重化动作。

授权暂定状态例如是计算机系统10的一个计算机装置11发生故障，更换为新的计算机装置11的状态。在该情况下，通过设置授权暂定状态，能够将更换后的计算机装置11作为待机侧计算机装置，使其恢复为双重化动作。

在比较例1的授权管理方法中，直至更换后的计算机装置11的授权的获取完成为止，成为仅没有故障的1台计算机装置进行动作的单运转状态。因此，比较例1的授权管理方法导致了系统的可用性的降低。

另一方面，在本实施方式中，通过设为即使是在待机侧计算机装置的硬件id与授权文件中包含的硬件id不一致的情况下，也能够进行双重化动作，从而直至更换后的计算机装置11的授权的获取完成为止的期间也能够进行双重化动作。因此，能够确保系统的高可用性。

但是，为了防止非法利用，授权暂定状态以运行侧计算机装置的硬件id与授权文件中包含的硬件id一致、待机侧计算机装置的硬件id与授权文件中包含的硬件id不一致为条件。因此，在运行侧计算机装置的硬件id与授权文件中包含的硬件id不一致、待机侧计算机装置的硬件id与授权文件中包含的硬件id一致的状态下，不许可双重化动作。即，在授权暂定状态下运行侧计算机装置已变为不进行动作的情况下，不被许可双重化动作，而成为待机侧计算机装置进行的单运转状态。在该情况下，只要授权文件未被更新，计算机装置11a、11b就不能恢复为双重化动作。

第三状态是授权无效状态。所谓授权无效状态，是运行侧计算机装置的硬件id以及待机侧计算机装置的硬件id的双方与授权文件中包含的硬件id不一致的状态。在该情况下，为了防止非法利用，设为仅能够进行单运转，不允许双重化动作。

图5表示运行侧计算机装置以及待机侧计算机装置的硬件id和授权文件中包含的硬件id的一致/不一致、和上述的三个认证状态的关系。另外，图6表示授权有效状态、授权暂定状态以及授权无效状态的迁移。

以下，参照图1、图6说明本实施方式的计算机系统10中的授权的认证状态的迁移。

若从计算机系统10停止的初始状态，在计算机装置11a的硬件id以及计算机装置11b的硬件id与授权文件中包含的硬件id一致的状态下启动系统，则如图6所示，授权的认证状态从初始状态迁移至授权有效状态(步骤s11)。

更具体地说，在预先设定作为运行侧计算机装置的计算机装置11a中下载授权文件。

若计算机装置11a以及计算机装置11b启动，则控制权管理部12a和控制权管理部12b进行信息的交换，决定为计算机装置11a作为运行侧计算机装置进行动作，计算机装置11b作为待机侧计算机装置进行动作。

控制权管理部12a若决定为计算机装置11a作为运行侧计算机装置进行动作，则对ap执行部13a发出启动指示，以使作为运行侧启动。ap执行部13a若被发出启动指示以使作为运行侧启动，则作为运行侧启动用于对客户端2提供服务的应用等的执行环境。

授权检查部14a参照授权文件，进行授权的检查。具体地说，授权检查部14a判定计算机装置11a的硬件id“aaaa”是否与授权文件中包含的硬件id一致。在计算机装置11a的硬件id“aaaa”与授权文件中包含的硬件id一致的情况下，授权检查部14a判定为对于计算机装置11a的授权合法。

控制权管理部12b若决定为计算机装置11b作为待机侧计算机装置进行动作，则对ap执行部13b发出启动指示，以使作为待机侧启动。另外，控制权管理部12b对等值化部15b发出等值化指示，以使进行与计算机装置11a的等值化处理。

等值化部15b若从控制权管理部12b被发出等值化指示，则为了使计算机装置11b的内部状态与计算机装置11a的内部状态一致，将请求等值化处理的开始的等值化开始请求发送到计算机装置11a的等值化部15a。等值化部15b将计算机装置11b的硬件id“bbbb”包含在等值化开始请求中。

等值化部15a若从等值化部15b接收到等值化开始请求，则将在等值化开始请求中包含的计算机装置11b的硬件id输出到授权检查部14a。授权检查部14a判定从等值化部15a输出的计算机装置11b的硬件id是否与授权文件中包含的硬件id一致。

在计算机装置11b的硬件id与授权文件中包含的硬件id一致的情况下，授权检查部14a判定为对于计算机装置11b的授权合法。若通过授权检查部14a判定为对于计算机装置11b的授权合法，则等值化部15a将许可等值化处理的开始的等值化响应发送到等值化部15b。这里，等值化部15a将授权文件包含在等值化响应内进行发送。等值化部15b若接收到等值化响应，则将该等值化响应中包含的授权文件存储在存储部18中，并且进行等值化处理。在计算机装置11a以及计算机装置11b的硬件id包含在授权文件的情况下，授权的认证状态迁移到授权有效状态。因此，计算机装置11a和计算机装置11b能够进行双重化动作。

在授权有效状态下，例如在计算机装置11a中发生故障而停止了动作的情况下，临时性地，作为待机侧计算机装置的计算机装置11b作为运行侧计算机装置进行动作(发生failover(失效转移))。这里，在计算机装置11a的故障是一时性的故障、且计算机装置11a不进行硬件的更换等就恢复到正常动作的情况下，由于计算机装置11a的硬件id也不变化，因此通过上述的步骤，授权的认证状态能够恢复为授权有效状态(步骤s12)。

在授权有效状态下，假设计算机装置11a以及计算机装置11b的其中一个发生永久性故障而停止动作，需要硬件的更换。这里，在作为运行侧计算机装置的计算机装置11a的动作停止了的情况下，发生failover(失效转移)，作为待机侧计算机装置的计算机装置11b进行动作。另外，在作为待机侧计算机装置的计算机装置11b停止了动作的情况下，作为运行侧计算机装置的计算机装置11a断开计算机装置1b，进行单动作。

这里，以作为待机侧计算机装置的计算机装置11b发生了故障的情况为例进行说明。在计算机装置11b发生了故障的硬件的更换后，若计算机装置11b启动，则通过上述的步骤，等值化部15b将等值化开始请求发送到等值化部15a。这里，由于计算机装置11b的硬件被更换，硬件id也发生了变化，因此计算机装置11b的硬件id与授权文件中包含的硬件id不一致。在该情况下，授权的认证状态从授权有效状态迁移到授权暂定状态(步骤s13)。在授权暂定状态下，即使计算机装置11b的硬件id与授权文件中包含的硬件id不一致，等值化部15a也将许可等值化处理的开始的等值化响应发送到等值化部15b。

这样，在本实施方式中，在通过授权检查部14a判定为在授权文件中包含了本装置(计算机装置11a)的标识符(硬件id)的情况下，即使进行协作动作的其他计算机装置(计算机装置11b)的标识符未包含在授权文件中，等值化部15a也许可使用了双重化控制软件的计算机装置11b进行的协作动作。即，作为进行协作动作的多个计算机装置11内的其中一个的计算机装置11a(第1计算机装置)，在包含被赋予用于进行协作动作的软件的授权的多个计算机装置11的标识符的授权文件中包含了计算机装置11a的标识符的情况下，即使在进行协作动作的多个计算机装置的内、计算机装置11a以外的计算机装置11b(第2计算机装置)的标识符未包含在授权文件中，也许可使用了双重化控制软件的计算机装置11b进行的协作动作。

在重新获取更换了硬件的计算机装置11b的授权的情况下，通常授权的发行花费时间。因此，在直至授权的获取完成为止的期间，计算机系统10需要进行计算机装置11a进行的单运转动作，可用性降低。另外，在作为运行侧计算机装置的计算机装置11a发生了故障的情况下，在运行侧计算机装置切换为计算机装置11b后，如上述那样，在计算机装置11b、和作为计算机装置11a的代替品的新的计算机装置11之间，即使该新的计算机装置11的标识符未包含在授权文件中，也暂定地许可使用了双重化控制软件的计算机装置11b进行的协作动作。

在本实施方式中，如果运行侧计算机装置的硬件id与授权文件中包含的硬件id一致，则即使待机侧计算机装置的硬件id与授权文件中包含的硬件id不一致，也暂定性地许可双重化动作。因此，能够不等待待机侧计算机装置的授权的获取等就进行双重化动作，因此能够确保计算机系统10的高可用性。另外，授权的合法性由于基于计算机装置11的硬件id来判定，因此也能够防止非法利用。

在授权暂定状态下，在通过授权文件的更新，使得计算机装置11a的硬件id以及计算机装置11b的硬件id包含在更新后的授权文件中的情况下，授权的认证状态从授权暂定状态迁移到授权有效状态(步骤s14)。

在授权暂定状态下，在作为运行侧计算机装置的计算机装置11a中发生故障而停止的情况下，发生failover(失效转移)，作为待机侧计算机装置的计算机装置11b运行。在该情况下，授权的认证状态从授权暂定状态迁移到授权无效状态(步骤s15)，进行待机侧计算机装置的单动作。在授权暂定状态下运行侧计算机装置停止了的情况下若允许双重化动作，则能够进行如使用相同的授权文件而使两个双重化系统进行动作这样的非法利用。为了防止这样的非法利用，在授权暂定状态下，在运行侧计算机装置停止了的情况下，硬件id不包含在授权文件中，重新作为运行侧计算机装置进行动作的计算机装置11停止双重化动作(协作动作)。

若从初始状态，在计算机装置11a的硬件id以及计算机装置11b的硬件id与授权文件中包含的硬件id不一致的状态下启动系统，授权的认证状态从初始状态迁移到授权无效状态(步骤s16)。在该情况下，进行1台的计算机装置11(例如，计算机装置11a)的单动作。

在授权无效状态下，若动作中的1台计算机装置11因故障停止动作，则计算机系统10返回到初始状态(步骤s17)。

在授权无效状态下，若授权文件被更新，且计算机装置11a的硬件id以及计算机装置11b的硬件id成为与授权文件中包含的硬件id一致，则授权的认证状态迁移到授权有效状态(步骤s18)。

图7是用于说明本实施方式的计算机系统10中执行的授权管理方法的流程图。

作为运行侧计算机装置的计算机装置11a的授权检查部14a判定计算机装置11a的硬件id是否与授权文件中包含的硬件id一致(步骤s21)。即，本实施方式的授权管理方法包含判定作为进行协作动作的多个计算机装置11内的其中一个的计算机装置11a(第1计算机装置)的标识符是否包含在授权文件中的步骤。

在判定为计算机装置11a的硬件id与授权文件中包含的硬件id不一致的情况下(步骤s21：“否”)，授权的认证状态迁移到授权无效状态(步骤s22)。在授权无效状态下，不进行计算机装置11a和计算机装置11b的协作动作，而是进行作为运行侧计算机装置的计算机装置11a进行的单动作。

在判定为作为运行侧计算机装置的计算机装置11a的硬件id与授权文件中包含的硬件id一致的情况下(步骤s21：“是”)，授权检查部14a判定作为待机侧计算机装置的计算机装置11b的硬件id是否与授权文件中包含的硬件id一致(步骤s23)。

在判定为计算机装置11b的硬件id与授权文件中包含的硬件id不一致的情况下(步骤s23：“否”)，授权的认证状态迁移到授权暂定状态(步骤s24)。在授权暂定状态下，进行计算机装置11a和计算机装置11b进行的双重化动作。即，本实施方式的授权管理方法，包含如下步骤：在计算机装置11a的标识符包含在授权文件的情况下，即使在进行协作动作的多个计算机装置内、计算机装置11a以外的计算机装置11b(第2的计算机装置)的标识符不包含在授权文件中，也许可使用了双重化控制软件的计算机装置11b进行的协作动作。

在授权暂定状态下，如上述那样，在作为运行侧计算机装置的计算机装置11a因故障停止了动作的情况下，即使更换发生了故障的计算机装置11a的硬件等，启动计算机装置11a，也无法恢复为双重化动作。为了恢复为双重化动作，需要授权文件的更新。

在判定为计算机装置11b的硬件id与授权文件中包含的硬件id一致的情况下(步骤s23：“是”)，授权的认证状态迁移到授权有效状态(步骤s25)。在授权有效状态下，进行计算机装置11a和计算机装置11b进行的双重化动作。在授权有效状态下，如上述那样，在计算机装置11a、11b的其中一个发生了故障的情况下，若更换发生故障的计算机装置11的硬件等使其启动，则授权的认证状态迁移到授权暂定状态，计算机装置11a以及计算机装置11b能够进行双重化动作。

另外，在对授权暂定状态设置有效期限，在有效期限内未迁移到授权有效状态的情况下，也可以停止协作动作。即，作为运行侧计算机装置的计算机装置11(第1计算机装置)，在即使进行协作动作的其他计算机装置11(第2计算机装置)的标识符未包含在授权文件中，也许可了其他计算机装置11进行的协作动作的状态(授权暂定状态)持续了规定时间以上的情况下，也可以停止其他计算机装置11进行的协作动作。由此，变得无法在未受到合法的授权的情况下利用双重化控制软件继续进行双重化动作。

另外，在对授权暂定状态的迁移中设置限制次数，超过了限制次数的情况下，也可以不许可协作动作。即，作为运行侧计算机装置的计算机装置11(第1计算机装置)，在即使进行协作动作的其他计算机装置11(第2计算机装置)的标识符未包含在授权文件中，也许可其他计算机装置11进行的协作动作的次数超过了规定次数的情况下，也可以不许可其他计算机装置11进行的协作动作。由此，变得无法在未受到合法的授权的情况下利用双重化控制软件继续反复进行双重化动作。

另外，在本实施方式中，使用计算机系统10是2台计算机装置11(计算机装置11a、11b)进行双重化动作的系统(双重化系统)的例子进行了说明，但是本公开并不限于此。本公开也可以适用于多个的计算机装置11进行协作动作的冗余化结构(例如，集群服务器、ha(高可用性(highavailability))集群、ft(容错(faulttolerant))服务器、多服务器等)的各种系统。

本公开例如可适用于进行工厂(plant(大型设备))中的过程控制的过程控制系统、例如scada(监控与数据采集(supervisorycontrolanddataacquisition))系统、工厂信息管理系统、通信网关系统或者运转效率提高辅助系统等，但并不限于此。本公开可适用于it系统以及医疗系统等要求高可靠性和高可用性的各种系统。

这样，在本实施方式中，只要作为进行协作动作的多个计算机装置11内的其中一个的第1计算机装置的硬件id包含在授权文件中，即使多个计算机装置11内、第1计算机装置以外的第2计算机装置的硬件id未包含在授权文件中，也许可使用了软件的第2计算机装置进行的协作动作。

因此，在第2计算机装置发生故障等的情况下，不等待第2计算机装置的授权的获取等，就能够进行协作动作，因此能够确保计算机系统10的高可用性。另外，授权的合法性由于基于计算机装置11的标识符来判定，因此能够防止非法利用。因此，根据本公开，能够实现兼顾软件的非法利用的防止和系统的高可用性的确保。

上述的实施方式作为代表性的例子进行了说明，但是本领域技术人员应该明白在本公开的宗旨以及范围内，能够进行多种变更以及置换。因此，本公开不应解释为通过上述实施方式而限制，而是不脱离权利要求书就能够进行各种变形以及变更。例如，能够将实施方式的结构图中记载的多个结构块组合为1个，或者将1个结构块进行分割。

标号说明

1网络

2客户

3授权管理装置

10，100a，100b计算机系统

11a，11b，110a、110b计算机装置

12a，12b控制权管理部

13a，13bap执行部

14a，14b，111a，111b授权检查部

15a，15b等值化部

16a，16b，112a，112b双重化控制软件

17通信部

18存储部

19控制部