CN107004094A - 信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序 - Google Patents
信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序 Download PDFInfo
- Publication number
- CN107004094A CN107004094A CN201480083972.XA CN201480083972A CN107004094A CN 107004094 A CN107004094 A CN 107004094A CN 201480083972 A CN201480083972 A CN 201480083972A CN 107004094 A CN107004094 A CN 107004094A
- Authority
- CN
- China
- Prior art keywords
- information
- access rights
- client
- server
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 24
- 238000004590 computer program Methods 0.000 title claims description 10
- 230000010365 information processing Effects 0.000 title claims description 10
- 238000004891 communication Methods 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims description 24
- 238000012508 change request Methods 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 abstract description 7
- 238000013475 authorization Methods 0.000 description 136
- 238000012545 processing Methods 0.000 description 37
- 230000009471 action Effects 0.000 description 33
- 230000000875 corresponding effect Effects 0.000 description 26
- 230000008859 change Effects 0.000 description 21
- 230000008569 process Effects 0.000 description 15
- 230000006870 function Effects 0.000 description 11
- 230000000694 effects Effects 0.000 description 5
- 238000000151 deposition Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000007792 addition Methods 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 3
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Abstract
本发明的目的是为包括包含存储服务器的多个服务器的系统中的客户端设定对存储服务器的适当的访问权限。本发明提供能够与客户端通信的信息处理装置。客户端访问存储服务器和与存储服务器不同的第一服务器。信息处理装置包括接收部件、生成部件和发送部件。接收部件从客户端接收关于第一访问权限的信息。关于第一访问权限的信息用于客户端访问第一服务器。生成部件基于关于第一访问权限的信息生成关于第二访问权限的信息。关于第二访问权限的信息用于客户端访问存储服务器。发送部件向客户端发送关于第二访问权限的信息。
Description
技术领域
本发明涉及能够与访问服务器的客户端通信的信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序。
背景技术
近来,提供在互联网上提供的服务的服务器需要以安全的方式存储以用户个人信息和内容(诸如由用户创建的照片和电影)为代表的私人信息。
为此,需要为每个用户(客户端装置)设定对提供服务的服务器的访问权限的限制。为了限制访问权限,通常引入访问权限发布服务器,该访问权限发布服务器发布为每个用户设定的访问权限。当客户端接收到服务的供给时,客户端从访问权限发布服务器装置被给予访问权限、访问提供服务的服务器装置、并且请求服务的供给。当访问权限有效时,服务器响应请求。用于从访问权限发布服务器获得访问权限的协议和访问权限的格式依赖于发布访问权限的方法。
发布访问权限的方法的标准规范的示例包括OAuth 2.0和作为OAuth 2.0的扩展的OpenID Connect。这些标准规范已经在互联网上的各种服务中采用。在OAuth 2.0协议中,要发布的访问权限通过使用被称为访问令牌的串(string)来表达。访问令牌与指示许可范围的、被称为作用域(scope)的串相关联。此外,访问令牌可以与除作用域之外的各种类型的信息相关联。与访问令牌相关联的信息的示例包括访问令牌的有效期限和发布访问令牌的发布者的ID。基于OAuth 2.0规范提供服务的服务器基于访问令牌的有效期限和作用域的值来检查接收到的访问令牌的有效性和许可范围,并且确定访问令牌是否有效。
不采用标准规范(诸如OAuth 2.0)的访问权限发布服务器通过使用原始规范发布访问权限。通过使用原始规范发布访问权限的服务器的示例是存储服务器。当要访问的服务器是存储服务器时,例如对操作(诸如读取和写入)施加限制以及指定储存器(storage)上允许被访问的特定文件路径的复杂处理需要通过使用原始规范来执行。
当在客户端和服务器之间传输相对大量的数据时,经常采用存储服务器。采用存储服务器的原因如下。因为除存储服务器之外的服务器不需要管理数据的传输,所以每个服务器所需的性能低,从而实现服务器操作成本的抑制。此外,可以直接访问存储服务器中的数据。因此,数据不通过除存储服务器之外的服务器,使得能够对数据执行复杂的处理。
在PTL 1中,公开了用于为每个用户操作的终端设定存储服务器访问许可的技术。具体地,为每个用户操作的终端ID设定了在存储服务器中许可的操作和可以对其执行操作的文件路径。
在PTL 2中,公开了经由中继服务器访问存储服务器的通信介质卡的技术。具体地,中继服务器为每个通信介质卡终端ID设定存储服务器的认证信息和允许被访问的目录的路径。
引用列表
专利文献
PTL1:日本专利特许公开No.2007034386
PTL 2:日本专利特许公开No.2012079267
发明内容
技术问题
如上所述,采用存储服务器具有许多优点。但是,存储服务器可以存储用户个人信息和私人信息。因此,必须对客户端适当地施加对存储服务器的访问的限制。
但是,在PTL 1中公开的技术设定了通过使用单个访问权限来控制整个系统的前提条件。因此,为终端设定了对存储服务器的某个访问许可。
在PTL 2中,公开了在用于web服务器的终端用户的认证信息与用于存储服务器的认证信息之间设定的关联。与PTL 1类似,设定了对存储服务器的某个访问许可。
在相关技术中,具有包括存储服务器的多个服务器的系统无法为客户端设定对存储服务器的适当的访问权限。因此,可能为客户端设定了过多的访问许可,导致无法对存储在存储服务器中的数据提供适当的保护。
本发明是鉴于上述相关技术的示例而做出的,并且其目的在于,在具有包括存储服务器的多个服务器的系统中为客户端设定对存储服务器的适当的访问权限。
问题的解决方案
为了达到上述目的,本发明提供能够与客户端进行通信的信息处理装置。客户端访问存储服务器和与存储服务器不同的第一服务器。信息处理装置包括接收部件、生成部件和发送部件。接收部件从客户端接收关于第一访问权限的信息。关于第一访问权限的信息用于客户端访问第一服务器。生成部件基于关于第一访问权限的信息生成关于第二访问权限的信息。关于第二访问权限的信息用于客户端访问存储服务器。发送部件向客户端发送关于第二访问权限的信息。
发明的有益效果
本发明使得能够在具有包括存储服务器的多个服务器的系统中为客户端设定对存储服务器的适当访问权限。
附图说明
图1是示出根据第一实施例的信息处理系统的配置的图。
图2是示出根据第一实施例的信息处理装置的硬件配置的图。
图3是示出整个系统的处理流程的图。
图4示出根据第一实施例的由认证授权服务器102保持的示例性管理表。
图5包括示出获取请求及其响应的具体示例的图。
图6是示出调解(mediate)访问权限的服务器的配置的图。
图7是示出存储访问范围管理表的图。
图8是示出请求获取存储访问权限的处理流程的图。
图9是示出示例性授权令牌信息的图。
图10是示出确定存储访问范围的处理流程的图。
图11是示出第二实施例中调解访问权限的服务器的配置的图。
图12是示出根据第二实施例的存储访问权限管理表的图。
图13示出根据第二实施例的请求获取存储访问权限的处理流程。
图14是示出根据第二实施例的调解访问权限的服务器的配置的图。
图15示出根据第三实施例的请求存储访问范围的设定的改变的处理流程。
图16是示出根据第三实施例的对存储访问范围的设定的改变的示例性请求的图。
具体实施方式
参考附图,将在下面详细描述实施例。下面描述的实施例中指示的配置仅仅是示例。本发明不限于所示的配置。
(第一实施例)
通过使用图1,将描述根据本实施例的信息处理系统的配置。
根据本实施例的信息处理系统包括客户端101、认证授权服务器102、访问权限中介服务器103、存储访问权限发布服务器104和存储服务器105。
客户端101能够经由网络106与认证授权服务器102、访问权限中介服务器103和存储服务器105进行通信。认证授权服务器102、访问权限中介服务器103和存储访问权限发布服务器104能够经由网络106彼此通信。
客户端101是在存储服务器105上执行文件操作(诸如上传和下载文件)的信息处理装置。当客户端101要在存储服务器105上执行操作时,客户端101首先从认证授权服务器102获得授权令牌。授权令牌指示对提供服务的服务器(诸如web服务器)的访问权限或访问范围。客户端101获得授权令牌,由此获得访问每个服务器的能力。在获得授权令牌之后,客户端101使用访问权限中介服务器103来获得与授权令牌对应的、对存储服务器105的访问权限。
认证授权服务器102是保持关于认证(诸如ID和密码)和授权的数据,并且向客户端101发布上述授权令牌的服务器。在本实施例中,假定认证授权服务器102符合OAuth 2.0的授权协议。但是,认证授权服务器102可以符合诸如OpenID Connet的另一授权协议。认证授权服务器102还包括提供用于上述web服务器的授权令牌的对应信息的功能。授权令牌的对应信息是指示授权令牌的有效期限和授权令牌的许可作用域的信息。为了检查由客户端101保持的授权令牌的有效性,web服务器可以从认证授权服务器102获得授权令牌的对应信息。
访问权限中介服务器103是基于发布的授权令牌从存储访问权限发布服务器104获得对存储服务器105的访问权限和访问范围的服务器。访问权限中介服务器103保持指示由认证授权服务器102发布的授权令牌与对存储服务器105的访问权限之间的对应关系的信息。
存储访问权限发布服务器104是发布和管理对存储服务器105的访问权限和访问范围(存储访问权限)的管理服务器。存储访问权限是基于从访问权限中介服务器103发送的获取请求发布的。操作(诸如读取或写入)、被许可操作的文件路径等在要发布的访问范围中设定。
存储服务器105是存储和管理诸如文件的数据的服务器。当从客户端101发送存储访问权限时,存储服务器105验证发送的存储访问权限。作为验证的结果,当存储访问权限有效时,存储服务器105响应于来自客户端101的请求许可访问存储的文件。
在本实施例中,假定HTTP(超文本传输协议)用作系统中的通信协议。但是,可以使用除HTTP之外的通信协议。此外,可以在系统中使用多种类型的通信协议。
在图1中,假定存在一个客户端101、一个认证授权服务器102、一个访问权限中介服务器103和一个存储访问权限发布服务器104。但是,装置的数量不需要是一个。此外,在图1中,认证授权服务器102、访问权限中介服务器103和存储访问权限发布服务器104是单独的服务器。但是,在这些服务器中包括的功能可以集成到一个服务器中。例如,可以采用其中认证授权服务器102和访问权限中介服务器103的功能被包括在相同服务器中的配置。
通过使用图2,将描述根据本实施例的信息处理装置的硬件配置。根据本实施例的信息处理装置是客户端101、认证授权服务器102、访问权限中介服务器103、存储访问权限发布服务器104等。如图所示,信息处理装置设置有作为硬件配置的CPU(中央处理单元)201、ROM(只读存储器)202、RAM(随机存取存储器)203等。此外,信息处理装置还设置有网络I/F(NET I/F)204、显示设备205、输入设备206、总线207等。
CPU 201是控制连接到总线207的设备的处理设备。CPU 201执行下面描述的、在客户端101、认证授权服务器102、访问权限中介服务器103和存储访问权限发布服务器104中的各种处理。ROM 202是存储执行计算机的基本控制的操作系统、操作程序等的存储介质。RAM 203是用作CPU 201的工作存储器并且存储操作程序本身和操作程序所需的数据的存储设备。CPU 201在RAM 203中存储被存储在ROM 202中的各种计算机程序,并且执行各种计算机程序。
网络I/F 204是用于控制从/向经由网络连接的外部设备传输信息的接口。客户端101、认证授权服务器102、访问权限中介服务器103和存储访问权限发布服务器104中的每个经由网络I/F 204接收/发送数据。显示设备205是用于显示CPU 201的处理结果的设备,并且由液晶显示器、有机EL显示器等构成。
输入设备206是用于物理地接收来自用户的输入的设备,并且由键盘和鼠标或者触摸面板构成。当使用具有触摸面板的显示器时,显示设备205和输入设备206被一体化到一个设备中。可以经由网络I/F 204使用作为外部设备的显示设备205和输入设备206。在这种情况下,采用其中不包括显示设备205和输入设备206的配置。
通过使用图3,将描述本实施例中当客户端101直接访问存储服务器105时执行的具体处理流程。图3中的处理流程描述了当访问存储服务器105时所执行的作为示例性处理的文件上传。甚至当执行诸如下载文件的另一操作时,也执行类似于图3的处理流程。
(步骤S301)
步骤S301是其中客户端101请求认证授权服务器102以获得授权令牌和从认证授权服务器102获得授权令牌的步骤。在发送获取请求时,认证信息被发送给认证授权服务器102,其根据认证信息供应授权令牌。
依赖于发布授权令牌的处理的类型,获取授权令牌的请求及其响应(授权令牌)具有不同的格式和不同的值。图5的(a)和图5的(b)是示出获取授权令牌的请求及其响应的示例的图。
图5的(a)基于在OAuth 2.0客户端证书授予(Client Credentials Grant)中发布授权令牌的处理示出获取授权令牌的示例性请求。在授权头中添加发布授权令牌所需的认证信息。在该图中的示例中,使用基本认证来传输客户端的客户端ID和客户端秘密(secret)。授权令牌的作用域被添加到请求的主体。此外,发布授权令牌的处理的类型的标识符作为grant_type被添加到请求的主体。
在图5的(a)中,发布授权令牌的处理的类型被设定为客户端证书授予。但是,可以使用除客户端证书授予之外的其它类型。
当使用除客户端证书授予之外的授权流程时,附加地需要例如当用户批准发布授权令牌时发布的、被称为授权代码的信息。
图5的(b)示出对图5的(a)中的获取授权令牌的请求的示例性响应(授权令牌)。响应主体中包括的数据access_token指示授权令牌的值。数据token_type指示授权令牌的类型,并且数据expires_in指示直到授权令牌变得无效为止的剩余时间。
在图5的(b)中,数据expires_in中的时间单位是秒。但是,可以使用除秒之外的单位。响应可以包括除上述那些之外的属性信息。
当要发布授权令牌时,认证授权服务器102使用图4所示的管理表。如图所示,在图4的(a)中的授权客户端管理表400中,作为用于认证客户端的信息的客户端ID 401和客户端秘密402以及作用域403被记录,以便与彼此相关联。因此,认证授权服务器102可以参考客户端管理表400以便检查获取授权令牌的请求是否有效。当在获取授权令牌的请求中的认证信息与在客户端管理表400中登记的认证信息匹配时,认证授权服务器102将获取请求视为有效。认证授权服务器102从与认证信息对应的作用域403中获得包含在获取授权令牌的请求中的作用域中的作用域,并且生成授权令牌。认证信息中的客户端秘密402可以被加密和存储,而不是纯文本。当认证信息由用户ID和密码构成时,认证授权服务器102参考其中记录了用户ID 501和密码502的用户管理表500以便彼此相关联。
管理表400包括默认作用域404。当获取授权令牌的请求不包括作用域时,使用默认作用域404。即,当在获取授权令牌的请求中不包括作用域时,通过使用默认作用域404而不是通过使用作用域403来生成授权令牌。可以在作用域403和默认作用域404中指定多条作用域信息。
当认证授权服务器102生成授权令牌时,关于所生成的授权令牌的信息被登记在授权令牌管理表600中。对于每个授权令牌601,在授权令牌管理表600中记录过期日期和时间602、作用域603以及已发布授权令牌601的授权客户端的客户端ID 604。其过期日期和时间602已到的授权令牌601可以从授权令牌管理表600中删除。当获取授权令牌的请求包括关于用户的用户ID 605的信息时,用户ID 605也被存储。
上述获取授权令牌的请求可以包括用户的认证信息和授权客户端的认证信息两者。可替代地,可以逐步发送授权客户端的认证信息和用户的认证信息。例如,首先发送用户的认证信息,并且只有当用户的认证信息有效时,才可以随后发送授权客户端的认证信息。
(步骤S302)
在步骤S302中,客户端101将在步骤S301中获得的授权令牌发送到访问权限中介服务器103,并且获得用于访问存储服务器105的访问权限。下面将描述在该步骤中由访问权限中介服务器103执行的处理流程。
(步骤S303)
在步骤S303中,访问权限中介服务器103根据由客户端101发送的授权令牌从存储访问权限发布服务器104获得对存储服务器105的访问权限。
图5的(c)和图5的(d)示出获取存储访问权限的请求及其响应的具体示例。图5的(c)示出由访问权限中介服务器103向存储访问权限发布服务器104发送的获取存储访问权限的示例性请求。被包括在授权头中的串与被包括在在步骤S301中获得的授权令牌中的串相同。
图5的(d)示出对图5的(c)中的获取存储访问权限的请求的示例性响应。存储访问权限作为数据storage_credential(存储证书)被包括在响应中。存储访问权限的格式依赖于存储服务器105的类型或规范而不同。因此,被包括在数据storage_credential中的属性需要根据存储服务器105的类型或规范而改变。例如,当存储服务器105的访问权限被设定为ID和密码的组合时,ID和密码被包括在数据storage_credential中。如在图5的(d)中的数据expiration(过期)中所登记的,可以设定存储访问权限的过期日期和时间。在上述图5的(c)和5的(d)中,以json格式描述了获取存储访问权限的请求及其响应,但是可以以诸如XML的其它格式来描述。
(步骤S304)
在步骤S304中,客户端101使用步骤S202中获得的存储访问权限来访问存储服务器105,并且执行各种文件操作。访问权限包括关于在存储服务器105的储存器中允许被访问的文件路径的信息。在图3中的示例中,文件被上传。当成功执行上传时,从存储服务器105向客户端101发送指示上传已被成功执行的响应。
通过使用图6,将描述根据本实施例的访问权限中介服务器103的功能的示例性配置。如上所述,访问权限中介服务器103向存储访问权限发布服务器104发送获取存储访问权限的请求,并将其响应发送给客户端101。
基于从客户端101发送的授权令牌,存储访问权限管理单元1101使用存储访问权限获取单元1102从存储访问权限发布服务器104获得存储访问权限。存储访问权限管理单元1101将从存储访问权限发布服务器104获得的存储访问权限发送到客户端101。存储访问权限管理单元1101通过使用授权令牌信息获取单元1103获得关于接收到的授权令牌的信息。存储访问权限管理单元1101使用存储访问范围确定单元1104来确定要发布的存储访问权限的许可范围。
存储访问范围存储单元1106存储存储访问范围的设定信息。图7示出根据本实施例的存储访问范围管理表1200。
存储访问范围管理表1200被存储在存储访问范围存储单元1106中,并且用于管理存储访问权限。如图所示,存储访问范围管理表1200描述与授权令牌中的作用域对应的存储许可的范围。存储访问范围管理表1200具有与对应于授权令牌的客户端ID 1201相关联的作用域1202。作为对与作用域1202对应的存储服务器105的访问范围,操作1203和文件路径1204相关联。操作1203指示对存储服务器105的操作。操作的名称由存储服务器105定义。例如,假定READ(读取)指示从存储服务器105读取,并且WRITE(写入)指示写入到存储服务器105。可以分别管理为操作1203设定的串与对存储服务器105的操作之间的关联,并且操作1203可以使用由访问权限中介服务器103定义的原始串。
在文件路径1204中,允许访问的存储服务器105的文件路径被写入。可以在文件路径1204中设定存储服务器105的目录和文件名。此外,在文件路径1204中,可以使用两种类型的变量(valuables)作为设定值。这两种类型的变量中的一个指示与授权令牌相关联的信息,并且以${token.attribute_name}的格式表示。这两种类型的变量中的另一个指示可以从被包括在发布存储访问权限的请求中的任何信息指定的信息,并且以${param.parameter_name}的格式表示。通过使用这两种类型的变量,可以通过使用以下内容来设定存储服务器105上的路径:关于由认证授权服务器102发布的授权令牌的信息以及可以使用在获取存储访问权限中获得的任何信息来设定的信息的组合。例如,与授权令牌相关联的信息可以在文件路径1204的上部中指定,并且可以从发布存储访问权限的请求中所包括的任何信息指定的信息可以在下部中指定。在该规范方法中,允许被访问的存储服务器105的上部路径基于由认证授权服务器102管理的信息来确定。因此,可以限制由获得存储访问权限的客户端访问的路径。因而,出现其中客户端仅访问特定路径下的路径的情况。因此,对存储服务器105的访问权限可以被限制为最小必需权限。此外,可以在请求的提交中指定的任何值被设定到存储服务器105的路径的下部,使得能够根据特定文件夹下的处理精细控制路径。
在作用域1202、操作1203和文件路径1204中,可以指定多个值。这两种类型的变量的格式仅仅是示例。只要变量彼此区分,就可以采用任何格式。存储访问范围管理表1200具有存储访问权限的有效期限1205。有效期限1205是其中从发布存储访问权限的时间点开始的、存储访问权限有效的时段以秒表示的数据。有效期限1205可以通过使用除秒之外的单位来指定,或者可以通过使用特定日期而不是使用时段来指定。可以进一步指定允许使用存储访问权限的客户端101的IP地址。可以通过使用包括子网信息的CIDR(无类域间路由)格式来指定IP地址。
具有客户端ID 1201的存储访问范围管理表1200可以单独管理每个授权客户端的设定信息。因而,可以为每个授权客户端设定虽然作用域1202值相同、但是彼此不同的对存储服务器105的许可。
通信单元1107经由网络106从客户端101接收发布存储访问权限的请求。当接收到发布存储访问权限的请求时,通信单元1107通知存储访问权限管理单元1101。通信单元1107向客户端101发送对接收到的发布存储访问权限的请求的响应。通信单元1107用于访问认证授权服务器102和存储访问权限发布服务器104。
通过使用图8,将描述当接收到获取存储访问权限的请求时由存储访问权限管理单元1101执行的处理流程。图8中的一系列处理是在图3的步骤S302中从客户端101发送获取存储访问权限的请求之后执行的处理。这些步骤由图6中所示的功能来执行。实际上,这些步骤以这样的方式实现:CPU 201将存储在ROM 202中的各种计算机程序存储在RAM 203中,并且执行各种计算机程序。
步骤S1301是其中存储访问权限管理单元1101接收从通信单元1107发送的获取存储访问权限的请求的步骤。获取存储访问权限的请求包括由认证授权服务器102发布的授权令牌。如上所述,图5的(c)中示出了获取存储访问权限的请求的示例。
步骤S1302是其中授权令牌信息获取单元1103获得被包括在获取存储访问权限的请求中的关于授权令牌的信息的步骤。授权令牌信息获取单元1103向认证授权服务器102发送获取授权令牌信息的请求,并且获得作为对请求的响应的授权令牌信息。授权令牌信息包括授权令牌的有效期限和授权令牌的许可范围。授权令牌信息包括已为其发布授权令牌的授权客户端的客户端ID以及已许可发布授权令牌的用户的用户ID。获取授权令牌信息的请求至少包括授权令牌的值。
当认证授权服务器102接收到获取授权令牌信息的请求时,认证授权服务器102参考授权令牌管理表600来检查被包括在获取授权令牌信息的请求中的授权令牌是否存在。当授权令牌管理表600中不存在目标授权令牌时,认证授权服务器102发送指示授权令牌不存在的响应。即使在授权令牌管理表600中存在目标授权令牌的情况下,当授权令牌的过期日期和时间602已到来时,认证授权服务器102也发送指示过期日期和时间已到来的响应。在授权令牌管理表600中存在目标授权令牌并且过期日期和时间602未到来的情况下,认证授权服务器102发送关于存储在授权令牌管理表600中的授权令牌601的信息。图9示出由认证授权服务器102提供的示例性授权令牌信息。在访问权限中介服务器103具有检查授权令牌的过期日期和时间的功能的情况下,即使当授权令牌的过期日期和时间602已到来,认证授权服务器102也可以发送关于授权令牌601的信息。
步骤S1303是其中确定由存储访问权限管理单元1101接收到的授权令牌是否有效的步骤。如果授权令牌信息获取单元1103从认证授权服务器102正常获得授权令牌信息,则确定授权令牌有效。如果授权令牌信息没有被正常获得,则确定授权令牌无效。其中授权令牌信息没有被正常获得的情况是其中授权令牌的过期日期和时间已到来的情况,或者是其中没有在授权令牌管理表600中登记的授权令牌已被发送的情况。
步骤S1304是其中处理基于关于授权令牌是否有效的确定而进行分支的步骤。如果在步骤S1303中确定授权令牌有效,则处理进行到步骤S1305。如果确定授权令牌无效,则处理进行到步骤S1310。
步骤S1305是其中存储访问范围确定单元1104确定要发布的存储访问权限的许可范围的步骤。下面将描述在该步骤中的处理的细节。
步骤S1306是其中存储访问范围确定单元1104确定在步骤S1305中确定的存储访问权限的许可范围是否有效的步骤。关于存储访问权限的许可范围是否有效的确定是基于许可范围策略(policy)做出的。许可范围策略的示例是其中当存储访问权限包含对特定文件路径的访问权限时确定存储访问权限无效的策略。另一示例是其中当在存储访问范围管理表1200中的文件路径1204中定义的变量(variable)尚未被转换时确定存储访问权限无效的策略。可以针对整个访问权限中介服务器103应用许可范围策略,或者可以在存储访问范围管理表1200中为每个客户端ID 1201确定是否应用许可范围策略。可以使用存储访问范围确定单元1104的设定来切换确定是否要做出关于存储访问权限的许可范围是否有效的确定的模式。
在该步骤中,如果确定由存储访问范围确定单元1104给出的存储访问权限有效,则处理进行到步骤S1307。如果确定由存储访问范围确定单元1104给出的存储访问权限无效,则处理进行到上述步骤S1310。
步骤S1307是其中存储访问权限获取单元1102从存储访问权限发布服务器104获得存储访问权限的步骤。存储访问权限获取单元1102通过使用为存储访问权限发布服务器104提供的发布存储访问权限的功能而获得存储访问权限。存储访问权限获取单元向存储访问权限管理单元1101通知获取存储访问权限的结果。
步骤S1308是其中确定存储访问权限是否被正常获得的步骤。如果存储访问权限被正常获得,则处理进行到步骤S1309。如果存储访问权限没有被正常获得,则处理进行到上述S1310。
步骤S1309是其中存储权限管理单元1101向客户端101发送在步骤S1307中获得的存储访问权限的步骤。
步骤S1310是其中存储访问权限管理单元1101向客户端101发送错误响应的步骤。在该步骤中发送的错误响应可以包括授权令牌无效的错误原因。错误响应可以包括存储访问权限的许可范围无效的错误原因,或者存储访问权限没有从存储访问权限发布服务器104获得的错误原因。在步骤S1309或步骤S1310中的处理之后,流程中的处理结束。
通过使用图10,将描述在上述步骤S1305中执行的确定存储访问权限的处理流程。实际上,这些步骤以这样的方式实现:CPU 201将存储在ROM 202中的各种计算机程序存储在RAM 203中,并且执行各种计算机程序。
步骤S1501是其中从存储访问范围管理表1200获得关于存储访问权限的信息的步骤。在该步骤中,基于被包括在步骤S1302中获得的授权令牌信息中的作用域和客户端ID,获得对应的操作1203、对应的文件路径1204和对应的有效期限1205。在获取中,参考了存储访问范围管理表1200。
在被包括在授权令牌中的各条作用域信息当中,其作用域是要为其获得存储访问权限的作用域可以在从客户端101发送的获取存储访问权限的请求中指定。在这种情况下,在被包括在授权令牌中的各条作用域信息之中,在获取存储访问权限的请求中指定的作用域可以在该步骤中使用以从存储访问范围管理表1200获得关于存储访问权限的信息。
步骤S1502是其中确定存储访问范围管理表1200中是否存在对应的客户端ID 401和对应的作用域403的步骤。如果确定存在对应的客户端ID 401和对应的作用域403,则处理进行到步骤S1503。如果确定对应的客户端ID 401和对应的作用域403不存在,则处理进行到步骤S1506。
步骤S1503是其中确定在步骤S1501中获得的文件路径1204中是否包括变量的步骤。如果变量被包括在在步骤S1501中所获得的文件路径1204中,则处理进行到步骤S1504。如果不包括变量,则处理进行到步骤S1505。
步骤S1504是其中基于在步骤S1302中获得的授权令牌信息来替换变量的步骤。在该步骤中,使用与被包括在文件路径1204中的变量对应的授权令牌信息来替换变量。将描述其中在图7中客户端ID 1201是Client001并且作用域1202是upload(上传)和其中获得图9中的授权令牌信息的情况的示例。在这种情况下,被包括在文件路径1204中的${token.client_id}被替换为client001。这是因为client001作为数据client_id被包括在图9中的授权令牌信息中。类似地,基于被包括在获取存储访问权限的请求中的值,文件路径1204中的${param.time}被替换为20140930。此外,${param.name}被替换为image001.jpg。因此,通过替换获得的文件路径1204是/client001/20140930/image001.jpg。
步骤S1505是其中确定存储访问权限的过期日期和时间的步骤。在该步骤中,基于在步骤S1501中获得的有效期限1205,当有效期限1205从当前时间起流逝的日期和时间被用作存储访问权限的过期日期和时间。
步骤S1506是其中向客户端101发送错误响应的步骤。在步骤S1506中发送的错误响应可以包括在存储访问范围管理表1200中不存在对应的客户端ID 401和对应的作用域403的错误原因。假定在该步骤中发送错误响应。可替代地,可以在存储访问范围管理表1200中登记当不存在必需的设定时使用的默认设定。默认设定可以用作存储访问权限。在步骤S1505或步骤S1506中的处理之后,整个处理结束。
如上所述,根据本实施例的访问权限中介服务器103可以基于由认证授权服务器102发布的授权令牌调解对存储服务器105的访问权限。通过调解,认证授权服务器102能够控制对存储服务器105的访问权限的许可范围,并且能够向存储服务器105发布适当的访问权限。此外,可以根据要由客户端101执行的处理发布对存储服务器105的访问权限。因此,向客户端101提供了最小必需访问权限,并且可以避免提供过多的许可。
(第二实施例)
在第一实施例中,指示了其中访问权限中介服务器103在每次访问权限中介服务器103接收到获取存储访问权限的请求时获得存储访问权限的示例。在本实施例中,访问权限中介服务器临时高速缓存存储访问权限。本实施例具有与第一实施例类似的配置。下面将描述本实施例与第一实施例之间的差异。
图11示出根据本实施例的访问权限中介服务器103的功能的示例性配置。根据本实施例的访问权限中介服务器103包括存储访问权限存储单元1601,并且临时存储从存储访问权限发布服务器104获得的存储访问权限。存储访问权限存储单元1601具有图12中所示的存储访问权限管理表1700,并且存储由授权客户端和作用域构成的并且用于获得存储访问权限的每个数据集的存储访问权限。
如图所示,存储访问权限管理表1700是用于管理所获得的存储访问权限的表。存储访问权限管理表1700具有与对应于授权令牌的客户端ID 1701相关联的作用域1702。作为对应于作用域1702的存储服务器105的访问范围,操作1703和文件路径1704被关联。此外,存储访问权限1705和用于存储访问权限1706的过期日期和时间1705被关联。过期日期和时间1705指示当存储访问权限1706变得无效时的日期和时间。存储访问权限1705可以被加密和存储,而不是纯文本。可以通过使用由访问权限中介服务器103或客户端101使用的时区中的日期和时间来存储过期日期和时间1705。
通过使用图13,将描述当接收到获取存储访问权限的请求时由存储访问权限管理单元1101执行的处理流程。图13中的处理与根据第一实施例的图8中的处理几乎相同。将仅仅描述差异。
实际上,这些步骤以这样的方式实现:CPU 201将存储在ROM202中的各种计算机程序存储在RAM 203中,并且执行各种计算机程序。
步骤S1801是其中关于对应于要获得的存储访问权限的存储访问权限是否已经被获得的查询被发送到存储访问权限存储单元1601的步骤。当查询被发送时,存储访问权限存储单元1601检查以下点。即,存储访问权限存储单元1601检查具有与要获得的存储访问权限的授权客户端的客户端ID、作用域、操作和文件路径匹配的客户端ID、作用域、操作和文件路径的存储访问权限是否在存储访问权限管理表1700中存在。如果这样的存储访问权限存在,则存储访问权限存储单元1601检查过期日期和时间。如果存储访问权限未过期,则存储访问权限被认为被获得,并且存储访问权限的值被返回到存储访问权限获取单元。即使在存储访问权限未过期的情况下,只有在直到过期日期和时间到来为止仍然具有一定时段或更长时段时,才可以确定已获得存储访问权限。在上述处理之后,如果已获得存储访问权限,则处理进行到步骤S1309。如果还没有获得存储访问权限,则处理进行到步骤S1307。
步骤S1802是其中存储访问权限存储单元1601存储所获得的存储访问权限的步骤。所获得的存储访问权限作为高速缓存被记录在存储访问权限管理表1700中。当获取相同存储访问权限的请求被发送时,可以通过参考存储访问权限管理表1700来获得存储访问权限。
如上所述,根据本实施例的访问权限中介服务器不需要每次从存储访问权限发布服务器104获得存储访问权限。因而,直到图13中的处理完成为止的时间减少,使得能够快速地向客户端101返回对获取存储访问权限的请求的响应。
(第三实施例)
本实施例描述当访问权限中介服务器103接收到改变存储访问范围的请求时执行的处理。
图14示出根据本实施例的访问权限中介服务器103的示例性功能配置。根据本实施例的访问权限中介服务器103包括存储访问范围管理单元1401。存储访问范围管理单元1401添加、删除和改变存储在存储访问范围设定信息1106中的信息。通信单元1107接收改变存储访问范围的请求,并且向存储访问范围管理单元1401通知接收到的改变存储访问范围的请求。存储访问范围管理单元1401基于改变存储访问范围的请求来改变存储在存储访问范围管理表1200中的信息。
图15示出根据本实施例的当接收到改变存储访问范围的请求时由存储访问范围管理单元1401执行的处理流程。
实际上,这些步骤以这样的方式实现:CPU 201将存储在ROM202中的各种计算机程序存储在RAM 203中,并且执行各种计算机程序。
步骤S1901是其中接收从通信单元1107发送的改变存储访问范围的请求的步骤。改变存储访问范围的请求包括由认证授权服务器102发布的授权令牌,以及关于改变存储访问范围的信息。
图16示出在要修改存储访问范围的情况下改变存储访问范围的示例性请求。改变存储访问范围的请求具有与存储在存储访问范围管理表1200中的信息对应的属性。改变存储访问范围的请求可以包括存储在存储访问范围管理表1200中的项目中的全部,或者可以仅包括必须要改变的属性。
步骤S1902是其中获得关于被包括在改变存储访问范围的请求中的授权令牌的信息的步骤。授权令牌信息获取单元1103向认证授权服务器102发送获取授权令牌信息的请求,并且获得授权令牌信息。获取授权令牌信息的请求包括授权令牌的值。
步骤S1903是其中验证在步骤S1902中获得的授权令牌是否有效的步骤。通过使用验证结果,在步骤S1904中,确定授权令牌是否有效。如果在步骤S1902中授权令牌信息没有被正常获得,则确定授权令牌无效。如果授权令牌信息被正常获得,则检查被包括在授权令牌信息中的授权客户端的客户端ID和作用域是否与改变存储访问范围的请求中包括的那些客户端ID和作用域相匹配。如果匹配被成功执行,则确定授权令牌有效。如果确定授权令牌有效,则处理进行到步骤S1905。如果匹配没有被成功执行,则可以认为做出了改变与已发送改变存储访问范围的请求的授权客户端不同的授权客户端的设定的尝试。因此,确定授权令牌无效。如果确定授权令牌无效,则处理进行到步骤S1906。
步骤S1905是其中使用关于接收到的改变存储访问范围的请求的信息来改变存储访问范围管理表1200中对应的授权客户端和对应的作用域的信息的步骤。在步骤S1906中,向客户端101返回错误响应。在步骤S1905或步骤S1906中的处理之后,整个处理结束。
在图15中的处理中,示出了改变现有设定的示例。此外,可以删除设定或者可以创建新的设定。例如,当要删除设定时,图16中的HTTP中的动词部分可以被改变为DELETE。当要创建新的设定时,HTTP中的动词部分可以被改变为POST。
改变存储访问范围的请求包括授权令牌。替代地,可以发送指示使用用户ID和密码的认证结果的信息。此外,改变存储访问范围的许可可以仅被给予用户所属的特定用户组。
如上所述,根据本实施例的访问权限中介服务器使得用户能够改变由存储访问范围管理表1200管理的存储访问范围的设定信息。因而,当必需时,对存储服务器105的访问权限的设定可以被改变。因此,可以在适当的范围内管理对存储服务器105的访问权限。
当要改变存储访问范围管理表1200中的设定时,检查用户是否被允许改变存储访问范围管理表1200中的设定。因此,无效的用户难以篡改存储访问范围管理表1200中的设定。
(其他实施例)
本发明可以通过以下处理来实现:其中实现上述实施例的一个或多个功能的程序经由网络或存储介质被供应给系统或装置,并且其中系统或装置的计算机中的一个或多个处理器读取并执行程序。此外,本发明可以通过实现一个或多个功能的电路(例如,ASIC)来实现。
本发明不限于上述实施例。在不违背本发明的精神和范围的情况下,可以做出各种改变和修改。因此,为了向公众通报本发明的范围,附加了以下权利要求。
附图标记列表
1102 存储访问权限获取单元
1103 授权令牌信息获取单元
1104 存储访问范围确定单元
1107 通信单元
Claims (9)
1.一种信息处理装置,能够与客户端通信,所述客户端访问存储服务器和与所述存储服务器不同的第一服务器,所述信息处理装置包括:
接收部件,用于从所述客户端接收关于第一访问权限的信息,关于第一访问权限的信息用于所述客户端访问第一服务器;
生成部件,用于基于关于第一访问权限的信息生成关于第二访问权限的信息,关于第二访问权限的信息用于所述客户端访问所述存储服务器;以及
发送部件,用于向所述客户端发送关于第二访问权限的信息。
2.如权利要求1所述的信息处理装置,
其中关于第一访问权限的信息包括指示客户端的客户端ID和访问权限的有效期限的信息。
3.如权利要求1或2所述的信息处理装置,
其中关于第二访问权限的信息包括关于在所述存储服务器的储存器中允许被访问的文件路径的信息。
4.如权利要求1至3中任何一项所述的信息处理装置,
其中所述生成部件基于关于第一访问权限的信息向管理对所述存储服务器的访问权限的管理服务器发送查询,并且基于对所述查询的响应生成关于第二访问权限的信息。
5.如权利要求1至4中任何一项所述的信息处理装置,还包括:
保持部件,用于保持关于第一访问权限的信息和关于第二访问权限的信息之间的对应信息,
其中所述生成部件参考所述对应信息,以便生成关于第二访问权限的信息。
6.如权利要求1至5中任何一项所述的信息处理装置,还包括:
第二接收部件,用于从所述客户端接收改变关于第二访问权限的信息的改变请求,
其中所述生成部件基于所述改变请求生成关于第二访问权限的信息,关于第二访问权限的信息用于所述客户端访问所述存储服务器。
7.一种信息处理系统,包括:
存储服务器;
第一服务器,与所述存储服务器不同;
客户端,访问所述存储服务器和第一服务器;以及
信息处理装置,能够与所述客户端通信,
其中所述信息处理装置包括
接收部件,用于从所述客户端接收关于第一访问权限的信息,关于第一访问权限的信息用于所述客户端访问第一服务器;
生成部件,用于基于关于第一访问权限的信息生成关于第二访问权限的信息,关于第二访问权限的信息用于所述客户端访问所述存储服务器;以及
发送部件,用于向所述客户端发送关于第二访问权限的信息。
8.一种用于能够与客户端通信的信息处理装置的控制方法,所述客户端访问存储服务器和与所述存储服务器不同的第一服务器,所述方法包括以下步骤:
通过使用接收部件,从所述客户端接收关于第一访问权限的信息,关于第一访问权限的信息用于所述客户端访问第一服务器;
通过使用生成部件,基于关于第一访问权限的信息生成关于第二访问权限的信息,关于第二访问权限的信息用于所述客户端访问所述存储服务器;以及
通过使用发送部件,向所述客户端发送关于第二访问权限的信息。
9.一种计算机程序,使得计算机用作能够与客户端通信的信息处理装置,所述客户端访问存储服务器和与所述存储服务器不同的第一服务器,所述信息处理装置包括:
接收部件,用于从所述客户端接收关于第一访问权限的信息,关于第一访问权限的信息用于所述客户端访问第一服务器;
生成部件,用于基于关于第一访问权限的信息生成关于第二访问权限的信息,关于第二访问权限的信息用于所述客户端访问所述存储服务器;以及
发送部件,用于向所述客户端发送关于第二访问权限的信息。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2014/082527 WO2016092630A1 (ja) | 2014-12-09 | 2014-12-09 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107004094A true CN107004094A (zh) | 2017-08-01 |
CN107004094B CN107004094B (zh) | 2021-01-15 |
Family
ID=56095362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480083972.XA Active CN107004094B (zh) | 2014-12-09 | 2014-12-09 | 信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序 |
Country Status (8)
Country | Link |
---|---|
US (1) | US20160164878A1 (zh) |
EP (1) | EP3232363A4 (zh) |
JP (1) | JP6425738B2 (zh) |
KR (1) | KR20170091138A (zh) |
CN (1) | CN107004094B (zh) |
BR (1) | BR112017011270A2 (zh) |
RU (1) | RU2678428C2 (zh) |
WO (1) | WO2016092630A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108616502A (zh) * | 2018-03-12 | 2018-10-02 | 广东睿江云计算股份有限公司 | 一种web安全存储的方法 |
CN108881218A (zh) * | 2018-06-14 | 2018-11-23 | 山东超越数控电子股份有限公司 | 一种基于云存储管理平台的数据安全增强方法及系统 |
CN110493186A (zh) * | 2019-07-10 | 2019-11-22 | 五八有限公司 | 一种功能状态的调整方法及装置 |
CN110741347A (zh) * | 2017-10-03 | 2020-01-31 | 谷歌有限责任公司 | 车辆环境中的多个数字助理协调 |
CN115277680A (zh) * | 2022-07-29 | 2022-11-01 | 山石网科通信技术股份有限公司 | 用于提高同步安全性的文件同步方法 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6677496B2 (ja) | 2015-12-08 | 2020-04-08 | キヤノン株式会社 | 認証連携システム及び認証連携方法、認可サーバー、アプリケーションサーバー及びプログラム |
JP6682254B2 (ja) * | 2015-12-08 | 2020-04-15 | キヤノン株式会社 | 認証連携システム及び認証連携方法、認可サーバー及びプログラム |
US10547622B2 (en) * | 2017-06-30 | 2020-01-28 | International Busines Machines Corporation | Extended OAuth architecture support in a scalable environment |
JP7059559B2 (ja) * | 2017-10-11 | 2022-04-26 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びプログラム |
JP6446119B2 (ja) * | 2017-12-25 | 2018-12-26 | 株式会社エヌ・ティ・ティ・データ | サーバおよびトークン発行方法 |
CN112055849B (zh) * | 2018-04-19 | 2024-01-16 | 村田机械株式会社 | 排他控制系统以及排他控制方法 |
US10911234B2 (en) * | 2018-06-22 | 2021-02-02 | Experian Information Solutions, Inc. | System and method for a token gateway environment |
JP7096736B2 (ja) * | 2018-08-28 | 2022-07-06 | キヤノン株式会社 | システム、及びデータ処理方法 |
US11818119B1 (en) | 2022-11-29 | 2023-11-14 | Cyberark Software Ltd. | Dynamic and monitored access to secure resources |
US11909731B1 (en) * | 2022-11-29 | 2024-02-20 | Cyberark Software Ltd | Dynamic and least-privilege access to secure network resources using ephemeral credentials |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040006693A1 (en) * | 2002-07-08 | 2004-01-08 | Vinod Vasnani | System and method for providing secure communication between computer systems |
JP2004110335A (ja) * | 2002-09-18 | 2004-04-08 | Fuji Electric Systems Co Ltd | アクセス制御システム |
JP2004303023A (ja) * | 2003-03-31 | 2004-10-28 | Fujitsu Social Science Laboratory Ltd | アクセス管理方法 |
US20040230831A1 (en) * | 2003-05-12 | 2004-11-18 | Microsoft Corporation | Passive client single sign-on for Web applications |
JP2007034386A (ja) * | 2005-07-22 | 2007-02-08 | Softbank Telecom Corp | ネットワークストレージアクセス用端末及びそれを用いた遠隔データ蓄積システム |
US20080294704A1 (en) * | 2007-05-25 | 2008-11-27 | Etsutaro Akagawa | Information processing apparatus and information processing method |
US20100106709A1 (en) * | 2008-10-29 | 2010-04-29 | Hitachi Software Engineering Co., Ltd. | File search system and file search server device |
US8042163B1 (en) * | 2004-05-20 | 2011-10-18 | Symatec Operating Corporation | Secure storage access using third party capability tokens |
JP2013182302A (ja) * | 2012-02-29 | 2013-09-12 | Nec System Technologies Ltd | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム |
JP2013182460A (ja) * | 2012-03-02 | 2013-09-12 | Fujitsu Ltd | サービス提供方法、プログラム、および情報処理装置 |
CN103701611A (zh) * | 2013-12-30 | 2014-04-02 | 天地融科技股份有限公司 | 数据存储系统中访问、上传数据的方法 |
US20140156960A1 (en) * | 2012-11-30 | 2014-06-05 | Red Hat Israel, Ltd. | Managing permissions for logical volume managers |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7533420B2 (en) * | 2004-12-09 | 2009-05-12 | Microsoft Corporation | System and method for restricting user access to a network document |
JP5129313B2 (ja) * | 2010-10-29 | 2013-01-30 | 株式会社東芝 | アクセス認可装置 |
US20150333909A1 (en) * | 2014-05-15 | 2015-11-19 | Ricoh Company, Ltd. | Information processing system and information processing method |
-
2014
- 2014-12-09 KR KR1020177018102A patent/KR20170091138A/ko active Search and Examination
- 2014-12-09 BR BR112017011270A patent/BR112017011270A2/pt not_active Application Discontinuation
- 2014-12-09 EP EP14907745.5A patent/EP3232363A4/en not_active Withdrawn
- 2014-12-09 WO PCT/JP2014/082527 patent/WO2016092630A1/ja active Application Filing
- 2014-12-09 CN CN201480083972.XA patent/CN107004094B/zh active Active
- 2014-12-09 RU RU2017124135A patent/RU2678428C2/ru active
- 2014-12-09 JP JP2016563322A patent/JP6425738B2/ja active Active
-
2015
- 2015-12-07 US US14/961,722 patent/US20160164878A1/en not_active Abandoned
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040006693A1 (en) * | 2002-07-08 | 2004-01-08 | Vinod Vasnani | System and method for providing secure communication between computer systems |
JP2004110335A (ja) * | 2002-09-18 | 2004-04-08 | Fuji Electric Systems Co Ltd | アクセス制御システム |
JP2004303023A (ja) * | 2003-03-31 | 2004-10-28 | Fujitsu Social Science Laboratory Ltd | アクセス管理方法 |
US20040230831A1 (en) * | 2003-05-12 | 2004-11-18 | Microsoft Corporation | Passive client single sign-on for Web applications |
US8042163B1 (en) * | 2004-05-20 | 2011-10-18 | Symatec Operating Corporation | Secure storage access using third party capability tokens |
JP2007034386A (ja) * | 2005-07-22 | 2007-02-08 | Softbank Telecom Corp | ネットワークストレージアクセス用端末及びそれを用いた遠隔データ蓄積システム |
US20080294704A1 (en) * | 2007-05-25 | 2008-11-27 | Etsutaro Akagawa | Information processing apparatus and information processing method |
US20100106709A1 (en) * | 2008-10-29 | 2010-04-29 | Hitachi Software Engineering Co., Ltd. | File search system and file search server device |
JP2013182302A (ja) * | 2012-02-29 | 2013-09-12 | Nec System Technologies Ltd | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム |
JP2013182460A (ja) * | 2012-03-02 | 2013-09-12 | Fujitsu Ltd | サービス提供方法、プログラム、および情報処理装置 |
US20140156960A1 (en) * | 2012-11-30 | 2014-06-05 | Red Hat Israel, Ltd. | Managing permissions for logical volume managers |
CN103701611A (zh) * | 2013-12-30 | 2014-04-02 | 天地融科技股份有限公司 | 数据存储系统中访问、上传数据的方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110741347A (zh) * | 2017-10-03 | 2020-01-31 | 谷歌有限责任公司 | 车辆环境中的多个数字助理协调 |
US11646029B2 (en) | 2017-10-03 | 2023-05-09 | Google Llc | Multiple digital assistant coordination in vehicular environments |
CN110741347B (zh) * | 2017-10-03 | 2023-08-01 | 谷歌有限责任公司 | 车辆环境中的多个数字助理协调 |
CN108616502A (zh) * | 2018-03-12 | 2018-10-02 | 广东睿江云计算股份有限公司 | 一种web安全存储的方法 |
CN108616502B (zh) * | 2018-03-12 | 2020-11-06 | 广东睿江云计算股份有限公司 | 一种web安全存储的方法 |
CN108881218A (zh) * | 2018-06-14 | 2018-11-23 | 山东超越数控电子股份有限公司 | 一种基于云存储管理平台的数据安全增强方法及系统 |
CN108881218B (zh) * | 2018-06-14 | 2021-07-06 | 超越科技股份有限公司 | 一种基于云存储管理平台的数据安全增强方法及系统 |
CN110493186A (zh) * | 2019-07-10 | 2019-11-22 | 五八有限公司 | 一种功能状态的调整方法及装置 |
CN115277680A (zh) * | 2022-07-29 | 2022-11-01 | 山石网科通信技术股份有限公司 | 用于提高同步安全性的文件同步方法 |
CN115277680B (zh) * | 2022-07-29 | 2024-04-19 | 山石网科通信技术股份有限公司 | 用于提高同步安全性的文件同步方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107004094B (zh) | 2021-01-15 |
KR20170091138A (ko) | 2017-08-08 |
EP3232363A4 (en) | 2018-07-18 |
RU2678428C2 (ru) | 2019-01-29 |
BR112017011270A2 (pt) | 2018-04-03 |
US20160164878A1 (en) | 2016-06-09 |
JPWO2016092630A1 (ja) | 2017-09-21 |
JP6425738B2 (ja) | 2018-11-21 |
RU2017124135A3 (zh) | 2019-01-11 |
WO2016092630A1 (ja) | 2016-06-16 |
RU2017124135A (ru) | 2019-01-11 |
EP3232363A1 (en) | 2017-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107004094A (zh) | 信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序 | |
US11868490B2 (en) | Device and methods for management and access of distributed data sources | |
US20200145223A1 (en) | System and method for blockchain-based notification | |
CN110019516B (zh) | 一种信息管理方法、装置及系统 | |
CN109522735B (zh) | 一种基于智能合约的数据权限验证方法及装置 | |
US10999063B2 (en) | Methods and apparatus for verifying a user transaction | |
CN105007280B (zh) | 一种应用登录方法和装置 | |
US10367796B2 (en) | Methods and apparatus for recording a change of authorization state of one or more authorization agents | |
EP2585970B1 (en) | Online service access controls using scale out directory features | |
CN102771102B (zh) | 分发数字内容的网络及管理方法 | |
CN108898389A (zh) | 基于区块链的内容验证方法及装置、电子设备 | |
JP2018163616A (ja) | 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム | |
US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
CN109683936A (zh) | 灰度发布方法及装置、存储介质及电子设备 | |
CN103262466A (zh) | 认证系统、认证服务器、服务提供服务器、认证方法和计算机可读记录介质 | |
Sghaier Omar et al. | Capability-based non-fungible tokens approach for a decentralized AAA framework in IoT | |
JPWO2014049709A1 (ja) | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 | |
JP2018092446A (ja) | 認証認可システム及び情報処理装置と認証認可方法とプログラム | |
JP2005209181A (ja) | ファイル管理システム及び管理方法 | |
CN102710621A (zh) | 一种用户认证方法和系统 | |
CN109981280A (zh) | 一种电子数据取证方法及系统 | |
JP6708719B2 (ja) | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム | |
CN109428725A (zh) | 信息处理设备、控制方法和存储介质 | |
Li et al. | System for Cross-domain Identity Management: Definitions, Overview, Concepts, and Requirements | |
JP5117177B2 (ja) | 属性情報流通制御システムおよび属性情報流通制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |