JP2006253769A - Information processing system and method - Google Patents
Information processing system and method Download PDFInfo
- Publication number
- JP2006253769A JP2006253769A JP2005063572A JP2005063572A JP2006253769A JP 2006253769 A JP2006253769 A JP 2006253769A JP 2005063572 A JP2005063572 A JP 2005063572A JP 2005063572 A JP2005063572 A JP 2005063572A JP 2006253769 A JP2006253769 A JP 2006253769A
- Authority
- JP
- Japan
- Prior art keywords
- provider system
- unit
- user
- resource
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、情報処理システムおよび方法に関し、特に、リソースプロバイダシステム、サービスプロバイダシステム、およびアプリケーションプロバイダシステムの3つにシステムを分離しつつ、グリッドコンピューティングを用いて、これらの3つのシステムを連携して稼働する情報処理システムおよび方法、並びに、リソースプロバイダシステム、サービスプロバイダシステム、アプリケーションプロバイダシステム、および端末装置に関する。 The present invention relates to an information processing system and method, and in particular, separates the system into three, ie, a resource provider system, a service provider system, and an application provider system, and uses grid computing to coordinate these three systems. The present invention relates to an information processing system and method, and a resource provider system, a service provider system, an application provider system, and a terminal device.
近年、コンピュータの高性能化や高速通信ネットワーク環境が整備されたことに伴い、グリッドコンピューティングシステムの各種技術分野への適用の実用化が実現可能な範囲に迫ってきている。この種の技術として、特許文献1に記載されたものがある。同文献に記載されたシステムは、演算処理を行う演算処理業者が、演算処理を必要とするユーザからデータを受け取り、主処理装置が膨大な量の演算データをリソース提供端末でも処理可能な単位に分割し、その分割された演算データを監視装置経由でリソース提供端末に分配し、リソース提供端末が、演算処理を行った後にその処理結果を監視装置経由で主処理装置に送信し、主処理装置が演算結果を収集し、その結果をユーザに返すグリッドコンピューティング技術を用いている。
In recent years, with the development of high-performance computers and high-speed communication network environments, the scope of practical application of grid computing systems to various technical fields is approaching. As this type of technology, there is one described in
また、近年、通信業者がインターネットなどを介して業務ソフトなどのビジネス用のアプリケーションソフトウェアを提供するアプリケーションサービスプロバイダ(Application Service Provider:ASP)サービスが普及してきている。この種の技術として、特許文献2に記載されたものがある。同文献に記載されたシステムは、多数のユーザに一定の品質および性能で安価なASPサービスを提供する。
ところで、高度かつ高負荷な演算処理を必要とする特定のアプリケーションプログラムは、料金が高額であることから、アプリケーションサービスプロバイダ(以下、「ASP」と示す)などによるソフトウェア利用のサービス提供が受けられることが望まれていた。しかしながら、このようなアプリケーションプログラムは、アプリケーションプログラム毎に特定ユーザが利用することが多く、その利用頻度のばらつきや、多様な利用形態のために、このようなソフトウェア利用のサービス提供などをビジネス化するのが困難であった。現在のところ、ASPの多くは、このような高度な演算処理を必要とするアプリケーションプログラムの提供にはほとんど対応されておらず、一般的なメールサービスやサイボウズ(登録商標)などのグループウェアが主流である。 By the way, a specific application program that requires high-level and high-load calculation processing is expensive, so that a service using software by an application service provider (hereinafter referred to as “ASP”) can be received. Was desired. However, such an application program is often used by a specific user for each application program, and commercialization of such software usage service provision is made possible due to variations in usage frequency and various usage forms. It was difficult. At present, most ASPs do not support the provision of application programs that require such high-level arithmetic processing, and general mail services and groupware such as Cybozu (registered trademark) are the mainstream. It is.
また、従来のASPシステムでは、アプリケーションプログラム毎に使用するリソースを固定的に特定して割り当てることが一般的であった。そのため、そのアプリケーションプログラムがユーザから利用されない時には、対応するリソースは利用されずに利用効率が低下する。また、ユーザが別のアプリケーションプログラムを利用しようとした場合、別途、別のASPシステムにアクセスし直す必要があり、利便性に欠けていた。さらに、ASPシステムのサービスを実行するには、窓口業務、計算機資源の運用など、様々な業務能力が必要であり、ASPシステム一つでこれらを実現するには、高度な技術や設備、豊富な人材、膨大な費用が必要となり、ビジネスとして成立させるのに支障が多かった。 Further, in the conventional ASP system, it is general to fixedly specify and allocate resources to be used for each application program. Therefore, when the application program is not used by the user, the corresponding resource is not used and the use efficiency is lowered. Further, when the user tries to use another application program, it is necessary to separately access another ASP system, which is not convenient. Furthermore, in order to execute ASP system services, various business capabilities such as window operations and computer resource operations are required. To achieve these with a single ASP system, advanced technologies and facilities, abundant Human resources and enormous expenses were required, and there were many obstacles to establishing a business.
さらに、従来のグリッドコンピューティング技術を用いたシステムにおいては、リソース提供端末の登録や配備、ユーザからのリソース利用依頼の受け付けを演算処理業者がまとめて行っていた。利用形態や技術分野が多様なユーザに対応するためには、専門技術分野にそれぞれ精通した複数のASPを統合して管理するユーザ窓口用のプロバイダを別途設けることが望ましく、複数のリソース提供端末への各分野のアプリケーションプログラムの配備やそれらのサービスの利用を総合的に管理可能なシステムが要求される。そのためには、アプリケーションプログラムを管理するプロバイダと、リソースを管理するプロバイダと、これらを利用してユーザのリクエストに応じたサービスを提供するプロバイダと、にシステムを分離しつつ、これらの複数のプロバイダが連携して多様なサービスの提供を可能とする仕組みが望まれる。また、リソースを利用するユーザが提出するデータは、機密性の高いものが多いため、複数のプロバイダ間におけるセキュリティの確保は必須である。 Furthermore, in a system using a conventional grid computing technology, a processing processor collectively performs registration and deployment of resource providing terminals and reception of resource use requests from users. In order to deal with users with various usage forms and technical fields, it is desirable to separately provide a provider for a user window that integrates and manages a plurality of ASPs familiar with specialized technical fields. A system capable of comprehensively managing the deployment of application programs in these fields and the use of these services is required. For that purpose, these multiple providers are separated while separating the system into a provider that manages application programs, a provider that manages resources, and a provider that uses these to provide services according to user requests. A mechanism that can provide various services in cooperation is desired. In addition, since data submitted by users who use resources is often highly confidential, it is essential to ensure security among a plurality of providers.
本発明は上記事情に鑑みてなされたものであり、その目的とするところは、多様なサービスを提供可能なシステムにおいて、機能を分散して各々が専門業に専念できる環境を提供し、リソースの利用効率を上げ、種々のアプリケーションプログラムを集約して利用可能とする利便性の良い情報処理システムを提供することにある。また、本発明の別の目的は、ユーザがサービスを利用する時の個人認証情報や機密情報の流通を最低限に抑えることができる高信頼な情報処理システムを提供することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide an environment in which functions can be distributed and dedicated to a specialized industry in a system capable of providing various services. An object of the present invention is to provide a convenient information processing system that improves the utilization efficiency and allows various application programs to be used together. Another object of the present invention is to provide a highly reliable information processing system capable of minimizing the distribution of personal authentication information and confidential information when a user uses a service.
本発明によれば、ユーザのサービス利用のリクエストを受け付ける端末装置と、
リソースを提供するリソースプロバイダシステムと、
前記リソースを利用するアプリケーションプログラムを提供するアプリケーションプロバイダシステムと、
前記ユーザからの前記リクエストに応じて前記リソースプロバイダシステムに前記リソースを利用して前記アプリケーションプログラムを実行させ、前記ユーザに前記サービスを提供するサービスプロバイダシステムと、を備えた情報処理システムであって、
前記サービスプロバイダシステムは、
前記ユーザからのログインおよび第1の認証情報を受け付ける第1の受付部と、
前記アプリケーションプログラムの実行のリクエストを受け付ける第2の受付部と、
前記ログインに呼応して前記第1の認証情報に基づいて前記ユーザの認証を行う第1の認証部と、
前記第1の認証部が前記ユーザを認証した場合、前記ユーザからの前記リクエストに呼応して、前記第1の認証情報とは異なる第2の認証情報を生成する認証情報生成部と、
前記リクエストに呼応して、前記第2の認証情報を使用して前記リソースプロバイダシステムに認証要求する認証要求部と、
前記リソースプロバイダシステムから前記リソースを利用した前記アプリケーションプログラムの実行結果を受信し、前記端末装置に転送する転送部と、を含み、
前記アプリケーションプロバイダシステムは、
前記アプリケーションプログラムを前記リソースプロバイダシステムに提供する提供部を含み、
前記リソースプロバイダシステムは、
前記サービスプロバイダシステムから前記リクエストおよび前記第2の認証情報を含む前記ユーザの前記認証要求を受け付ける第3の受付部と、
前記認証要求に呼応して、前記第2の認証情報にしたがって前記ユーザを認証する第2の認証部と、
前記第2の認証部が前記ユーザを認証したとき、前記リクエストに呼応して前記リソースを利用して前記アプリケーションプログラムを実行する実行部と、
を含むことを特徴とする情報処理システムが提供される。
According to the present invention, a terminal device that accepts a user service request,
A resource provider system that provides resources;
An application provider system that provides an application program that uses the resource;
A service provider system that provides the service to the user by causing the resource provider system to execute the application program using the resource in response to the request from the user;
The service provider system is:
A first accepting unit for accepting login and first authentication information from the user;
A second reception unit that receives a request to execute the application program;
A first authenticator for authenticating the user based on the first authentication information in response to the login;
An authentication information generation unit configured to generate second authentication information different from the first authentication information in response to the request from the user when the first authentication unit authenticates the user;
In response to the request, an authentication request unit that requests authentication to the resource provider system using the second authentication information;
A transfer unit that receives an execution result of the application program using the resource from the resource provider system and transfers the execution result to the terminal device;
The application provider system is:
A providing unit for providing the application program to the resource provider system;
The resource provider system is:
A third accepting unit for accepting the authentication request of the user including the request and the second authentication information from the service provider system;
In response to the authentication request, a second authenticating unit authenticating the user according to the second authentication information;
An execution unit that executes the application program using the resource in response to the request when the second authentication unit authenticates the user;
An information processing system including the above is provided.
ここで、リソースとは、たとえば、アプリケーションプロバイダシステムから提供されたアプリケーションプログラムを起動するCPUと、アプリケーションプログラムが使用するデータや情報、およびストレージを含む。また、リソースプロバイダシステムは、複数のリソースを含み、ユーザからのリクエストや必要に応じて各リソースに処理を分散させて実行させ、その結果をユーザの端末に提供するシステムである。 Here, the resource includes, for example, a CPU that starts an application program provided from an application provider system, data and information used by the application program, and storage. The resource provider system is a system that includes a plurality of resources, distributes processing to each resource according to a request from a user or as necessary, and executes the processing, and provides the result to the user terminal.
アプリケーションプログラムは、たとえば、科学技術やエンジニアリング、例として、自動車設計分野におけるCAE(Computer Aided Engineering)や衝突解析、製薬企業におけるドラッグスクリーニング解析、航空機設計分野における流体解析や構造解析、金融業におけるクレジットリスク分析、材料開発分野における分子・原子のシミュレーションなどに関する設計・計算・解析プログラムなどが該当する。また、アプリケーションプログラムは、設計・計算・解析プログラムとは異なる電子メールソフト、グループウェアなど、一般業務で用いられるようなアプリケーションプログラムの場合もある。アプリケーションプロバイダから提供されるアプリケーションプログラムには、これらのアプリケーションプログラムに加えて、アプリケーションプログラムに関連するミドルウェアと、アプリケーションプログラムの使用方法や運用方法などを記載したマニュアルなどのノウハウ情報と、を含むことができる。リソースプロバイダシステムへは、これらのプログラムの配備方法や実行方法などの情報がアプリケーションプログラムと共に提供され、リソースプロバイダシステムでは、これらの情報に基づいてアプリケーションプログラムのインストールや実行などを行う。 Application programs include, for example, CAE (Computer Aided Engineering) and collision analysis in the automotive design field, drug screening analysis in the pharmaceutical company, fluid and structural analysis in the aircraft design field, and credit risk in the financial industry. This includes design, calculation, and analysis programs related to molecular and atomic simulations in the field of analysis and material development. In addition, the application program may be an application program that is used in general business such as e-mail software or groupware different from the design / calculation / analysis program. In addition to these application programs, application programs provided by application providers may include middleware related to application programs and know-how information such as manuals that describe how to use and operate application programs. it can. Information such as how to deploy and execute these programs is provided to the resource provider system together with the application program, and the resource provider system installs and executes the application program based on these information.
この発明によれば、ユーザの個人認証情報については、アプリケーションプロバイダシステムやリソースプロバイダシステムには知らせることなくサービスプロバイダシステムのみが管理をすれば良く、また、ユーザからのサービスプロバイダシステムへのログイン認証に基づいて、リソースプロバイダシステムへの認証は機密性を保持しつつ自動的に行われるので、複数のプロバイダシステムに各機能を分散して各々が専門業に専念できる環境を提供し、リソースの利用効率を上げ、種々のアプリケーションプログラムを集約して利用可能とする利便性のよい情報処理システムが提供される。さらに、この発明によれば、ユーザがサービスを利用する時の個人認証情報や機密情報の流通を最低限に抑えることができる高信頼な情報処理システムが提供される。 According to the present invention, the user authentication information only needs to be managed by the service provider system without informing the application provider system or the resource provider system, and the user can log in to the service provider system. Based on this, authentication to the resource provider system is performed automatically while maintaining confidentiality, so that each function can be distributed to multiple provider systems and each can be dedicated to a specialized industry, and resource utilization efficiency An information processing system that is convenient and enables various application programs to be aggregated and used. Furthermore, according to the present invention, a highly reliable information processing system capable of minimizing the distribution of personal authentication information and confidential information when a user uses a service is provided.
すなわち、ユーザの個人情報については、サービスプロバイダシステムのみが管理を行い、他のプロバイダシステムには通知されない。また、ユーザからのリクエスト内容や、実行されたアプリケーションプログラムによって得られた実行結果は、リソースプロバイダシステムのみが知り得る情報であり、他のプロバイダシステムからは秘匿することができる。ユーザは、サービスプロバイダシステムに1度ログインすれば、その後は、ジョブ毎にログインをする必要なく、リソースプロバイダシステムでの認証は自動的に行われるので、利便性が良い。 That is, the user's personal information is managed only by the service provider system and is not notified to other provider systems. Further, the request content from the user and the execution result obtained by the executed application program are information that only the resource provider system can know, and can be kept secret from other provider systems. If the user logs in to the service provider system once, after that, it is not necessary to log in for each job, and authentication in the resource provider system is automatically performed, which is convenient.
また、リソースプロバイダシステム、サービスプロバイダシステム、アプリケーションプログラムの3つにシステムを分離したことで、各プロバイダは、専門の作業に専念することが可能となり、経営効率も大幅に向上する。また、サービスプロバイダシステムは、ユーザの好みに合わせて、付加価値の高いサービスを一つのポータルサイトから提供可能となる。さらに、サービスプロバイダシステムにより、多種多様なサービスをユーザが少なくとも一つのポータルサイトを入り口として利用することも可能となり、利便性が飛躍的に向上する。 In addition, by separating the system into the resource provider system, the service provider system, and the application program, each provider can concentrate on specialized work, and management efficiency is greatly improved. Also, the service provider system can provide a high value-added service from a single portal site according to user preferences. Furthermore, the service provider system allows the user to use a wide variety of services using at least one portal site as an entrance, which greatly improves convenience.
上記情報処理システムにおいて、前記リソースプロバイダシステムは、前記実行部の前記実行結果を暗号化する暗号化部と、前記暗号化部により暗号化された暗号化実行結果を前記サービスプロバイダシステムを経由して前記端末装置に送信する結果送信部と、を含むことができ、前記端末装置は、前記サービスプロバイダシステムから転送された前記暗号化実行結果を受信する受信部と、前記暗号化実行結果を復号する復号部と、を含むことができる。 In the information processing system, the resource provider system includes an encryption unit that encrypts the execution result of the execution unit, and an encryption execution result encrypted by the encryption unit via the service provider system. A result transmitting unit that transmits to the terminal device, wherein the terminal device receives the encryption execution result transferred from the service provider system, and decrypts the encryption execution result And a decoding unit.
この構成によれば、リソースプロバイダシステムから端末装置への実行結果の送信時に、その間に介在するサービスプロバイダシステムに対して、情報の機密性を保つことができる。 According to this configuration, when the execution result is transmitted from the resource provider system to the terminal device, the confidentiality of the information can be maintained with respect to the service provider system interposed therebetween.
上記情報処理システムにおいて、前記サービスプロバイダシステムの前記転送部は、前記端末装置から、前記リソースプロバイダシステムの前記実行部が前記アプリケーションプログラムを実行するとき使用する元データを受信し、前記端末装置に転送し、前記端末装置は、前記元データを暗号化する暗号化部と、前記暗号化部が暗号化した暗号化元データを、前記サービスプロバイダを経由して前記リソースプロバイダシステムに送信するデータ送信部と、を含むことができ、前記リソースプロバイダシステムは、前記サービスプロバイダシステムから転送された前記暗号化元データを受信するデータ受信部と、前記暗号化元データを復号する復号部と、を含むことができる。 In the information processing system, the transfer unit of the service provider system receives, from the terminal device, original data used when the execution unit of the resource provider system executes the application program, and transfers the original data to the terminal device The terminal device includes: an encryption unit that encrypts the original data; and a data transmission unit that transmits the encrypted original data encrypted by the encryption unit to the resource provider system via the service provider. The resource provider system includes a data receiving unit that receives the encrypted original data transferred from the service provider system, and a decrypting unit that decrypts the encrypted original data. Can do.
この構成によれば、端末装置からリソースプロバイダシステムへの元データの送信時に、その間に介在するサービスプロバイダシステムに対して、情報の機密性を保つことができる。 According to this configuration, when transmitting the original data from the terminal device to the resource provider system, the confidentiality of the information can be maintained with respect to the service provider system interposed therebetween.
上記情報処理システムにおいて、前記ユーザの証明書を発行する認証局を含み、前記サービスプロバイダシステムは、前記ユーザからの前記リクエスト毎に匿名ユーザ識別情報を生成する生成部と、前記生成部が生成した前記匿名ユーザ識別情報を前記ユーザと関連付けて記憶する匿名ユーザ識別情報記憶部と、前記リクエスト毎に、前記匿名ユーザ識別情報を使用して匿名プロキシ証明書の発行を前記認証局に要求する証明書発行部と、前記匿名プロキシ証明書を管理する管理テーブルを記憶する管理テーブル記憶部と、前記ユーザからの前記リクエストを、前記匿名プロキシ証明書を用いて、前記リソースプロバイダシステムに通知する通知部と、を含むことができる。 In the information processing system, including a certificate authority that issues the user certificate, the service provider system generates an anonymous user identification information for each request from the user, and the generation unit generates An anonymous user identification information storage unit that stores the anonymous user identification information in association with the user, and a certificate that requests the certificate authority to issue an anonymous proxy certificate using the anonymous user identification information for each request. An issuing unit, a management table storage unit that stores a management table that manages the anonymous proxy certificate, and a notification unit that notifies the resource provider system of the request from the user using the anonymous proxy certificate; , Can be included.
ここで、匿名プロキシ証明書は、リクエスト毎、すなわちジョブ毎に発行され、その証明書の有効期限は比較的短く設定される。 Here, the anonymous proxy certificate is issued for each request, that is, for each job, and the expiration date of the certificate is set to be relatively short.
この構成によれば、サービスプロバイダシステムとリソースプロバイダシステム間では、匿名にてユーザを指定して認証を行うので、ユーザの個人認証情報は、サービスプロバイダシステムのみが知り得る情報として秘匿され、リソースプロバイダシステムに知らせることがないので、システムの信頼性が向上する。 According to this configuration, since authentication is performed by specifying the user anonymously between the service provider system and the resource provider system, the personal authentication information of the user is concealed as information that only the service provider system can know, and the resource provider Since the system is not notified, the reliability of the system is improved.
上記情報処理システムにおいて、前記サービスプロバイダシステムは、前記アプリケーションプログラムを登録するプログラム登録部と、前記リソースを登録するリソース登録部と、前記プログラム登録部に登録された前記アプリケーションプログラムおよび前記リソース登録部に登録された前記リソースを前記ユーザの前記端末装置に提示する提示部と、を含むことができる。 In the information processing system, the service provider system includes a program registration unit for registering the application program, a resource registration unit for registering the resource, the application program registered in the program registration unit, and the resource registration unit. A presentation unit that presents the registered resource to the terminal device of the user.
ここで、提示部とは、たとえば、一般的なブラウザを用いてログイン後に参照可能なポータルサイトとすることができる。 Here, the presentation unit may be a portal site that can be referred to after login using a general browser, for example.
この構成によれば、サービスプロバイダシステムに登録されたプログラムおよびリソースをユーザの端末からブラウザなどを用いて情報を参照して、サービスの利用をリクエストすれば、アプリケーションプロバイダシステムやリソースプロバイダシステムのサービスを利用することができるので、操作性および利便性が良い。 According to this configuration, if a program and a resource registered in the service provider system are referred to from a user terminal using a browser or the like to request the use of the service, the service of the application provider system or the resource provider system can be obtained. Since it can be used, operability and convenience are good.
上記情報処理システムにおいて、前記リソースプロバイダシステムが前記アプリケーションプロバイダシステムを含むことができる。 In the information processing system, the resource provider system may include the application provider system.
本発明によれば、サービスプロバイダシステム経由でユーザからのリクエストに応じてリソースを提供するリソースプロバイダシステムであって、
前記サービスプロバイダシステムから前記ユーザの前記リクエストおよび認証情報を含む前記ユーザの認証要求を受け付ける受付部と、
前記認証要求に呼応して、前記認証情報にしたがって前記ユーザを認証する認証部と、
前記認証部が前記ユーザを認証したとき、前記リクエストに呼応して前記リソースを利用してアプリケーションプログラムを実行する実行部と、
を備えたことを特徴とするリソースプロバイダシステムが提供される。
According to the present invention, a resource provider system that provides resources in response to a request from a user via a service provider system,
A receiving unit that receives the user authentication request including the request and authentication information of the user from the service provider system;
An authentication unit for authenticating the user according to the authentication information in response to the authentication request;
When the authentication unit authenticates the user, an execution unit that executes an application program using the resource in response to the request;
A resource provider system characterized by comprising:
本発明によれば、ユーザからのリクエストに応じてリソースプロバイダシステムが提供するリソースを利用してアプリケーションプロバイダシステムが提供するアプリケーションプログラムを実行させ、前記ユーザにサービスを提供するサービスプロバイダシステムであって、
前記ユーザからのログインおよび第1の認証情報を受け付ける第1の受付部と、
前記アプリケーションプログラムの実行のリクエストを受け付ける第2の受付部と、
前記ログインに呼応して前記第1の認証情報に基づいて前記ユーザの認証を行う認証部と、
前記認証部が前記ユーザを認証した場合、前記ユーザからの前記リクエストに呼応して、前記第1の認証情報とは異なる第2の認証情報を生成する認証情報生成部と、
前記リクエストに呼応して、前記第2の認証情報を使用して前記リソースプロバイダシステムに認証要求する認証要求部と、
前記リソースプロバイダシステムから前記リソースを利用した前記アプリケーションプログラムの実行結果を受信し、前記端末装置に転送する転送部と、を備えたことを特徴とするサービスプロバイダシステムが提供される。
According to the present invention, a service provider system that provides a service to the user by executing an application program provided by the application provider system using a resource provided by the resource provider system in response to a request from the user,
A first accepting unit for accepting login and first authentication information from the user;
A second reception unit that receives a request to execute the application program;
An authentication unit for authenticating the user based on the first authentication information in response to the login;
When the authentication unit authenticates the user, an authentication information generation unit that generates second authentication information different from the first authentication information in response to the request from the user;
In response to the request, an authentication request unit that requests authentication to the resource provider system using the second authentication information;
A service provider system comprising: a transfer unit that receives an execution result of the application program using the resource from the resource provider system and transfers the result to the terminal device.
本発明によれば、リソースプロバイダシステムのリソースを利用するアプリケーションプログラムを前記リソースプロバイダシステムに提供する提供部と、
端末装置に前記アプリケーションプログラムを使用して前記リソースを利用するサービスを提供するサービスプロバイダシステムに、前記アプリケーションプログラムを登録する登録部と、
を備えたことを特徴とするアプリケーションプロバイダシステムが提供される。
According to the present invention, a providing unit that provides the resource provider system with an application program that uses resources of the resource provider system;
A registration unit that registers the application program in a service provider system that provides a service that uses the application program to the terminal device and uses the resource;
An application provider system characterized by comprising:
上記アプリケーションプロバイダシステムにおいて、前記提供部が提供した前記アプリケーションプログラムのライセンスの管理を行うライセンス部を含むことができる。 The application provider system may include a license unit that manages licenses of the application program provided by the providing unit.
本発明によれば、端末装置がユーザからのサービス利用のリクエストを受け付け、
リソースプロバイダシステムがリソースを提供し、
アプリケーションプロバイダシステムが前記リソースを利用するアプリケーションプログラムを提供し、
サービスプロバイダシステムが前記ユーザからの前記リクエストに応じて前記リソースプロバイダシステムに前記リソースを利用して前記アプリケーションプログラムを実行させ、前記ユーザに前記サービスを提供する情報処理方法であって、
前記サービスプロバイダシステムは、
前記ユーザからのログインおよび第1の認証情報を受け付け、
前記アプリケーションプログラムの実行のリクエストを受け付け、
前記ログインに呼応して前記第1の認証情報に基づいて前記ユーザの認証を行い、
前記ユーザを認証した場合、前記ユーザからの前記リクエストに呼応して、前記第1の認証情報とは異なる第2の認証情報を生成し、
前記リクエストに呼応して、前記第2の認証情報を使用して前記リソースプロバイダシステムに認証要求し、
前記リソースプロバイダシステムから前記リソースを利用した前記アプリケーションプログラムの実行結果を受信し、
前記実行結果を前記端末装置に転送し、
前記アプリケーションプロバイダシステムは、
前記アプリケーションプログラムを前記リソースプロバイダシステムに提供し、
前記リソースプロバイダシステムは、
前記サービスプロバイダシステムから前記リクエストおよび前記第2の認証情報を含む前記ユーザの前記認証要求を受け付け、
前記認証要求に呼応して、前記第2の認証情報にしたがって前記ユーザを認証し、
前記ユーザを認証したとき、前記リクエストに呼応して前記リソースを利用して前記アプリケーションプログラムを実行することを特徴とする情報処理方法が提供される。
According to the present invention, the terminal device accepts a service use request from a user,
The resource provider system provides resources,
An application provider system provides an application program that uses the resource,
An information processing method in which a service provider system causes the resource provider system to execute the application program using the resource in response to the request from the user, and provides the user with the service,
The service provider system is:
Accepting login and first authentication information from the user,
Receiving a request to execute the application program;
In response to the login, authenticating the user based on the first authentication information;
When authenticating the user, in response to the request from the user, generating second authentication information different from the first authentication information;
In response to the request, request authentication from the resource provider system using the second authentication information;
Receiving an execution result of the application program using the resource from the resource provider system;
Transferring the execution result to the terminal device;
The application provider system is:
Providing the application program to the resource provider system;
The resource provider system is:
Accepting the authentication request of the user including the request and the second authentication information from the service provider system;
In response to the authentication request, authenticate the user according to the second authentication information;
An information processing method is provided, wherein when the user is authenticated, the application program is executed using the resource in response to the request.
本発明によれば、認証局から証明書を受け付ける証明書受付部と、
前記証明書を用いて、ネットワークを介してサービスプロバイダシステムに認証要求を行う認証要求部と、
前記ネットワークを介して提供されるアプリケーションプログラムを参照する参照部と、
利用するアプリケーションプログラムおよびリソースの指定を受け付ける指定受付部と、
前記指定受付部が受け付けた前記アプリケーションプログラムおよび前記リソースを前記サービスプロバイダシステムに通知する通知部と、
前記アプリケーションプログラムを実行するときに使用する元データを、前記サービスプロバイダシステムを経由してリソースプロバイダシステムに送信するデータ送信部と、
前記サービスプロバイダシステムを経由して前記リソースプロバイダシステムから送信された前記アプリケーションプログラムの実行結果を受信する結果受信部と、
を備えたことを特徴とする端末装置が提供される。
According to the present invention, a certificate acceptance unit that accepts a certificate from a certificate authority,
An authentication request unit that makes an authentication request to the service provider system via the network using the certificate;
A reference unit that references an application program provided via the network;
A designation receiving unit that accepts designation of application programs and resources to be used;
A notification unit for notifying the service provider system of the application program and the resource received by the designation receiving unit;
A data transmission unit for transmitting original data used when executing the application program to the resource provider system via the service provider system;
A result receiving unit that receives an execution result of the application program transmitted from the resource provider system via the service provider system;
A terminal device characterized by comprising:
なお、以上の構成要素の任意の組合せ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。 It should be noted that any combination of the above-described constituent elements and a conversion of the expression of the present invention between a method, an apparatus, a system, a recording medium, a computer program, etc. are also effective as an aspect of the present invention.
本発明によれば、多様なサービスを提供可能なシステムにおいて、機能を分散して各々が専門業に専念できる環境を提供し、リソースの利用効率を上げ、種々のアプリケーションプログラムを集約して利用可能とする利便性の良い情報処理システムが提供される。さらに、本発明によれば、ユーザがサービスを利用する時の個人認証情報や機密情報の流通を最低限に抑えることができる高信頼な情報処理システムが提供される。 According to the present invention, in a system capable of providing various services, it provides an environment in which functions can be distributed and each can concentrate on a specialized industry, resource utilization efficiency can be improved, and various application programs can be aggregated and used. A convenient information processing system is provided. Furthermore, according to the present invention, a highly reliable information processing system capable of minimizing the distribution of personal authentication information and confidential information when a user uses a service is provided.
以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In all the drawings, the same reference numerals are given to the same components, and the description will be omitted as appropriate.
図1は、本発明の実施の形態に係る情報処理システムの構成を示すシステム構成ブロック図である。本実施形態の情報処理システムは、ユーザ(ユーザ10)のサービス利用のリクエストを受け付ける端末装置(ユーザ端末600)と、リソース(リソース100)を提供するリソースプロバイダシステム(リソースプロバイダシステム200)と、リソースを利用するアプリケーションプログラム(アプリケーションプログラム300)を提供するアプリケーションプロバイダシステム(アプリケーションプロバイダシステム400)と、ユーザからのリクエストに応じてリソースプロバイダシステムにリソースを利用してアプリケーションプログラムを実行させ、ユーザにサービスを提供するサービスプロバイダシステム(サービスプロバイダシステム500)と、を備えた情報処理システムであって、サービスプロバイダシステムは、ユーザからのログインおよび第1の認証情報を受け付ける第1の受付部(ポータル提供部510および第1の認証部520)と、アプリケーションプログラムの実行のリクエストを受け付ける第2の受付部(ポータル提供部510)と、ログインに呼応して第1の認証情報に基づいてユーザの認証を行う第1の認証部(第1の認証部520)と、第1の認証部がユーザを認証した場合、ユーザからのリクエストに呼応して、第1の認証情報とは異なる第2の認証情報を生成する認証情報生成部(再認証要求部530)と、リクエストに呼応して、第2の認証情報を使用してリソースプロバイダシステムに認証要求する認証要求部(再認証要求部530)と、リソースプロバイダシステムからリソースを利用したアプリケーションプログラムの実行結果を受信し、端末装置に転送する転送部(転送部540)と、を含み、アプリケーションプロバイダシステムは、アプリケーションプログラムをリソースプロバイダシステムに提供する提供部(アプリケーション提供部420)を含み、リソースプロバイダシステムは、サービスプロバイダシステムからリクエストおよび第2の認証情報を含むユーザの認証要求を受け付ける第3の受付部(第2の認証部220)と、認証要求に呼応して、第2の認証情報にしたがってユーザを認証する第2の認証部と、第2の認証部(第2の認証部220)がユーザを認証したとき、リクエストに呼応してリソースを利用してアプリケーションプログラムを実行する実行部(実行制御部240)と、を含む。
FIG. 1 is a system configuration block diagram showing the configuration of the information processing system according to the embodiment of the present invention. The information processing system according to the present embodiment includes a terminal device (user terminal 600) that receives a service use request from a user (user 10), a resource provider system (resource provider system 200) that provides a resource (resource 100), a resource An application provider system (application provider system 400) that provides an application program (application program 300) that uses a resource, causes the resource provider system to execute the application program using resources in response to a request from the user, and provides services to the user An information processing system including a service provider system (service provider system 500) to be provided, A first accepting unit (portal providing
なお、図1において、本発明の本質に関わらない部分の構成については省略してある。 In FIG. 1, the configuration of parts not related to the essence of the present invention is omitted.
また、情報処理システムの各構成要素は、任意のコンピュータのCPU、メモリ、メモリにロードされた本図の構成要素を実現するプログラム、そのプログラムを格納するハードディスクなどの記憶ユニット、ネットワーク接続用インタフェースを中心にハードウエアとソフトウェアの任意の組合せによって実現される。そして、その実現方法、装置にはいろいろな変形例があることは、当業者には理解されるところである。以下説明する各図は、ハードウエア単位の構成ではなく、機能単位のブロックを示している。 Each component of the information processing system includes a CPU of any computer, a memory, a program for realizing the components shown in the figure loaded in the memory, a storage unit such as a hard disk for storing the program, and a network connection interface. It is realized by any combination of hardware and software. It will be understood by those skilled in the art that there are various modifications to the implementation method and apparatus. Each drawing described below shows a functional unit block, not a hardware unit configuration.
本実施形態の情報処理システムは、リソース100(図中、「リソースA」、「リソースB」、「リソースC」と示す)を提供するリソースプロバイダシステム200(図中、「RP」と示す)と、リソース100を利用するアプリケーションプログラム300(図中、「アプリケーションプログラムA」、「アプリケーションプログラムB」、「アプリケーションプログラムC」と示す)を提供するアプリケーションプロバイダシステム400(図中、「AP」と示す)と、ユーザ10からのリクエストに応じてリソースプロバイダシステム200にリソース100を利用してアプリケーションプログラム300を実行させ、ユーザ10にサービスを提供するサービスプロバイダシステム500(図中、「SP」と示す)と、を備える。
The information processing system according to the present embodiment includes a resource provider system 200 (shown as “RP” in the figure) that provides a resource 100 (shown as “resource A”, “resource B”, and “resource C” in the figure). , An application provider system 400 (shown as “AP” in the figure) that provides an application program 300 (shown as “application program A”, “application program B”, and “application program C” in the figure) that uses the
ここで、リソースプロバイダシステム200、アプリケーションプロバイダシステム400、およびサービスプロバイダシステム500の3つのプロバイダシステムの連携について、簡単に説明する。まず、アプリケーションプロバイダシステム400にソフトウェア開発者からアプリケーションプログラム300が登録される。リソースプロバイダシステム200は、サービスプロバイダシステム500に対してリソースプロバイダシステム200のシステム情報を予め提供し、登録する(不図示)。
Here, the cooperation of the three provider systems of the
そして、アプリケーションプロバイダシステム400からの問い合わせに応じてサービスプロバイダシステム500は、リソースプロバイダシステム200のシステム情報をアプリケーションプロバイダシステム400に提供する。そして、アプリケーションプロバイダシステム400からリソースプロバイダシステム200に対してアプリケーションプログラム300が転送され、リソースプロバイダシステム200にて展開され、アプリケーションプログラム212(図中、「アプリケーション」と示す)が自動的にインストールされる。さらに、アプリケーションプロバイダシステム400はリソースプロバイダシステム200に対してアプリケーションプログラム300に関するアプリケーション情報を登録する。
In response to the inquiry from the
このようにして、様々な分野のアプリケーションプログラムの登録状態がサービスプロバイダシステム500を介してユーザ10に提示され、ユーザ10は、適切なリソース100を利用したサービスの提供が受けられることとなる。
In this way, registration states of application programs in various fields are presented to the
リソースプロバイダシステム200は、複数のリソース100を含み、サービスプロバイダシステム500を介してユーザ10からのリクエストを受け付け、各リソース100に処理を分散させてアプリケーションプログラム212を実行させてその実行結果をユーザ10のユーザ端末600に提供する。リソース100とは、たとえば、アプリケーションプロバイダシステム400から提供されたアプリケーションプログラム212を起動するCPU(不図示)と、アプリケーションプログラム300が使用するデータや情報、およびストレージ(不図示)を含む。
The
アプリケーションプロバイダシステム400は、たとえば、高度かつ高負荷な演算処理が必要となる特殊科学技術分野、たとえば、バイオ、ケミカル、物理、設計、流通、金融などの分野に関する演算処理や解析プログラムなどを含むアプリケーションプログラム300を提供する。さらに、アプリケーションプログラム300は、たとえば、電子メールソフト、グループウェアなどや、アプリケーションプログラムに関連するミドルウェア、アプリケーションプログラムの配備の仕方や取扱説明、運用方法などを記載したマニュアルなどのノウハウ情報などを含む。リソースプロバイダシステム200へは、これらのプログラムに関する情報がアプリケーションプログラム300と共に提供され、リソースプロバイダシステム200では、これらの情報に基づいてアプリケーションプログラム212のインストールやバージョンアップなどを行う。
The
具体的には、アプリケーションプロバイダシステム400は、複数のアプリケーションプログラム300と、管理部410と、アプリケーション提供部420と、ライセンス部430と、を含む。なお、アプリケーションプログラム300は、アプリケーションプロバイダシステム400が有する必要はなく、他のシステムが保有し、アプリケーションプロバイダシステム400が管理するようにしてもよい。
Specifically, the
管理部410は、アプリケーションプログラム300およびそのアプリケーション情報を管理する。アプリケーション提供部420は、サービスプロバイダシステム500にアプリケーションプログラム300を登録し、アプリケーションプログラム300の各種情報を提供し、その利用をユーザに促すものである。また、アプリケーション提供部420は、リソースプロバイダシステム200にアプリケーションプログラム300を配備させる。すなわち、各リソース100がアプリケーションプログラム300を実行可能なようにインストールする。
The
ライセンス部430は、アプリケーションプログラム300を利用するリソースプロバイダシステム200へのライセンスの発行を行う。また、ライセンス部430は、リソースプロバイダシステム200への課金などの処理や、インストール先のリソース100の登録や管理などの処理を行うこともできる。
The
なお、アプリケーションプロバイダシステム400のこれらの構成については、本発明の本質とは関係ないので、詳細な説明は省略する。
Note that these configurations of the
サービスプロバイダシステム500は、上述のリソースおよびアプリケーションプログラムを利用した多種多様なサービスをユーザに提供するために、各種情報を提供するポータルとして機能する。サービスプロバイダシステム500は、ポータル提供部510と、第1の認証部520(図中、「認証部」と示す)と、再認証要求部530と、転送部540と、を含む。
The
ポータル提供部510は、ユーザ端末600にポータルサイトを提供し、ログインおよび第1認証情報を受け付けるとともに、アプリケーションプログラム300の実行のリクエストを受け付ける。第1の認証部520は、ユーザ10からのログインに呼応して第1の認証情報に基づいてユーザ10の認証を行う。再認証要求部530は、第1の認証部520がユーザ10を認証したとき、ユーザ10からのリクエストに呼応して、第1認証情報とは異なる第2の認証情報を生成するとともに、リクエストに呼応して、第2の認証情報を使用してリソースプロバイダシステム200に認証を要求する。第2の認証情報は、第2の認証局710(図中、「CA局2」と示す)により発行された匿名証明書712を含む。
The
ここで、ユーザ10がユーザ端末600から実名ID12でサービスプロバイダシステム500にログインしたとき、第1の認証部520における認証は、第1の認証局700(図中、「CA局1」と示す)が発行した証明書702に基づいて行われる。さらに、ユーザ10からのリクエスト毎に実名ID12とは別に匿名ID14が生成され、再認証要求部530において、第2の認証局710により発行された匿名証明書712を用いて、ユーザ10からのアプリケーションプログラムの実行要求などのリクエスト毎にリソースプロバイダシステム200に対して認証要求を行う。
Here, when the
ここで、第1の認証局700および第2の認証局710は、異なる認証局としたが、これに限定されない。同じ認証局であってもよいし、また、サービスプロバイダシステム500に含まれてもよい。
Here, although the first certificate authority 700 and the
転送部540は、ユーザ端末600からアプリケーションプログラム212を実行するとき使用する生データ632を暗号化した暗号化データ634を受信して、リソースプロバイダシステム200に転送するとともに、リソースプロバイダシステム200からアプリケーションプログラム212の暗号化されている実行結果を受信し、ユーザ端末600に転送する。
The
リソースプロバイダシステム200は、アプリケーション登録部210と、第2の認証部220(図中、「認証部」と示す)と、復号部230と、実行制御部240と、暗号化部250と、を含む。
The
アプリケーション登録部210は、アプリケーションプロバイダシステム400が提供するアプリケーションプログラム212を実行可能に配備する。リソースプロバイダシステム200へは、これらのプログラムに関する情報がアプリケーションプログラム212と共に提供され、リソースプロバイダシステム200では、これらの情報に基づいてアプリケーションプログラム212のインストールやバージョンアップなどを行う。また、アプリケーション登録部210は、アプリケーションプロバイダシステム400に対してアプリケーションプログラム212のライセンス登録を行う。
The
第2の認証部220は、サービスプロバイダシステム500からリクエストおよび第2の認証情報を含むユーザ10の認証要求を受け付け、認証要求に呼応して、第2の認証情報にしたがってユーザ10を認証する。
The
復号部230は、ユーザ端末600からサービスプロバイダシステム500を介して送信された暗号化データ634を受信し、復号する。ここでは、鍵作成センタ(図1には図示なし)から発行された鍵714を用いて復号される。実行制御部240は、第2の認証部220がユーザ10を認証したとき、リクエストに呼応して、リソース100にアプリケーションプログラム212を実行させる。暗号化部250は、実行制御部240の実行結果を、鍵714を用いて暗号化し、サービスプロバイダシステム500を介してユーザ端末600に送信する。なお、鍵作成センタ750は、リソースプロバイダシステム200またはアプリケーションプログラム300内に設けることもできる。また、リソースプロバイダシステム200の公開鍵はサービスプロバイダシステム500に保管することができる。
The
ユーザ端末600は、ブラウザ610と、ログイン受付部620と、暗号化部630と、復号部640と、を含む。ブラウザ610は、一般的なウェブブラウザであり、インターネットまたはLANなどのネットワーク(不図示)を介してサービスプロバイダシステム500が提供するポータルサイトにアクセスする。ユーザ10は、ブラウザ610を用いて、サービスプロバイダシステム500が提供する様々なサービスを参照したり、利用したりすることが可能となる。たとえば、ユーザ10は、ブラウザ610を介してネットワークを介して提供されるアプリケーションプログラム300およびリソース100を参照することができる。そして、ブラウザ610は、ユーザ10が指定した利用するアプリケーションプログラム300およびリソース100を受け付ける。受け付けたアプリケーションプログラム300およびリソース100をブラウザ610は、サービスプロバイダシステム500に通知される。
ログイン受付部620は、第1の認証局700が発行した証明書702を受け付けるとともに、ブラウザ610を用いてユーザ10のログイン要求と、実名ID12およびパスワードなどの入力を受け付ける。さらに、ログイン受付部620は、受け付けた証明書702を用いて、ネットワークを介してサービスプロバイダシステム500に認証要求を行う。
暗号化部630は、アプリケーションプログラム300を実行するときに使用する生データ632を暗号化し、得られた暗号化データ634を、サービスプロバイダシステム500を介してリソースプロバイダシステム200に送信する。復号部640は、リソースプロバイダシステム200から暗号化されたアプリケーションプログラム212の実行結果である結果データ242をサービスプロバイダシステム500を介して受信し、復号し、結果データ642を生成する。
The
このように構成された情報処理システムにおいて、サービスプロバイダシステム500は、ユーザ10のサービス利用リクエスト毎に異なる匿名ID14を用いて、サービスプロバイダシステム500自身が署名する匿名証明書712を発行することで、実際のユーザ名を隠蔽する。
In the information processing system configured as described above, the
ここで、匿名証明書712は、プロキシ証明書であり、比較的短期間、たとえば24時間などの有効期限が設定されている。有効期限を比較的短期間に設定することにより証明書の信頼性を向上させる。
Here, the
図2は、本実施形態の情報処理システムのセキュリティ機能におけるシステム構成を示すブロック図である。 FIG. 2 is a block diagram showing a system configuration in the security function of the information processing system of the present embodiment.
本実施形態において、リソースプロバイダシステム200は、Globus Toolkitなどのグリッド構築ミドルウェア270(図中、「Globus Toolkit」と示す)上に構築され、セキュリティ管理部260を備える。アプリケーションプロバイダシステム400は、Globus Toolkitなどのグリッド構築ミドルウェア450(図中、「Globus Toolkit」と示す)上に構築され、APL(Advanced Product Line)サーバ440を含む。サービスプロバイダシステム500は、Globus Toolkitなどのグリッド構築ミドルウェア570(図中、「Globus Toolkit」と示す)上に構築され、Webサーバ542を含む。サービスプロバイダシステム500において、第1の認証部520は、ユーザ管理部522を含み、再認証要求部530は、ジョブ管理部550と、セキュリティ管理部560と、を含む。
In the present embodiment, the
ユーザ管理部522は、サービスプロバイダシステム500にログインするユーザ10の管理を行う。ジョブ管理部550は、ユーザがリクエストしたジョブ、たとえば、暗号化データのアップロード要求や、結果データのダウンロード要求などを受け付け、管理する。
The
さらに、セキュリティ管理部560は、ユーザ認証時匿名性確保部562と、データ利用時データ隠蔽部564と、データ利用時匿名性確保部566と、を含む。ユーザ端末600は、ブラウザ610と、セキュリティ管理部660と、を備える。
Furthermore, the security management unit 560 includes an anonymity ensuring unit 562 at the time of user authentication, a data concealment unit 564 at the time of data use, and an anonymity ensuring unit 566 at the time of data use. The
ユーザ認証時匿名性確保部562は、ユーザ認証時の匿名性を確保するために、ユーザのサービス利用リクエスト毎に異なる匿名IDを用いて、サービスプロバイダシステム500自身が署名する匿名証明書を発行することで、実ユーザ名を隠蔽する。具体的には、ユーザ認証時匿名性確保部562は、匿名証明書を第2の認証局710に発行させ、匿名IDおよび匿名証明書を管理し、匿名証明書の有効性を確認し、匿名IDと実名IDのマッピング管理を行う。マッピング管理では、マッピングした期日、利用期間も合わせて管理する。
The user authentication anonymity securing unit 562 issues an anonymous certificate signed by the
データ利用時データ隠蔽部564は、データ利用時のデータの隠蔽を行う。ここで、データ利用とは、たとえば、ユーザ端末600から暗号化データをリソースプロバイダシステム200に送信し、演算を実行させ、その結果を暗号化してリソースプロバイダシステム200からユーザ端末600に転送する一連の処理を指す。データ利用時にそのデータに対して、ユーザ端末600とリソースプロバイダシステム200間で、暗号化および復号を行い、ユーザ端末600とリソースプロバイダシステム200以外でのデータの隠蔽を行う。これらの一連の処理は、ユーザ端末600のセキュリティ管理部660、サービスプロバイダシステム500のセキュリティ管理部560、およびリソースプロバイダシステム200のセキュリティ管理部260が行う。
The data concealment unit 564 when using data conceals data when using data. Here, the data utilization is a series of processes in which, for example, encrypted data is transmitted from the
データ利用時匿名性確保部566は、データ利用時の匿名性を確保する。すなわち、データを所有するユーザを部外者から類推できない形で保存し、かつデータの属性に応じた管理を行う。たとえば、データ利用時匿名性確保部566は、匿名IDとデータのマッピング管理およびデータのアクセス管理を行う。 The data use anonymity securing unit 566 ensures anonymity during data use. That is, the user who owns the data is stored in a form that cannot be inferred from outsiders, and management according to the data attributes is performed. For example, the data use anonymity securing unit 566 performs anonymous ID / data mapping management and data access management.
サービスプロバイダシステム500は、ユーザ端末600とリソースプロバイダシステム200間におけるデータの転送時に、データを隠蔽して転送する。また、ユーザ10の認証確認は、サービスプロバイダシステム500に対してユーザ10毎にログイン時に1度のみとし、その後は、ジョブ毎にユーザの実際の個人情報を含まないユーザの属性のみを記載した匿名属性証明書を発行することで、実際のユーザの隠蔽を行う。このように構成された本実施形態の情報処理システムによれば、ユーザがサービスを利用する時の個人認証情報や機密情報の流通を最低限に抑えることができる。
The
図3は、本実施形態のサービスプロバイダシステム500の再認証要求部530のジョブ管理部550の詳細を示す機能ブロック図である。
FIG. 3 is a functional block diagram illustrating details of the
再認証要求部530は、匿名管理データベース800にアクセスし、匿名ユーザ管理テーブル584を参照して、匿名IDをラウンドロビン方式で決定する。再認証要求部530は、匿名性管理部580と、匿名ファイル管理部590と、ジョブ実行部810と、データベース情報取得部820と、を備える。
The
匿名性管理部580は、匿名プロキシ証明書発行部582と、匿名プロキシ証明書再発行部586と、匿名プロキシ証明書削除部588と、を含む。匿名プロキシ証明書発行部582は、ラウンドロビン方式を用いて、対象となるリソースプロバイダシステム200で使用可能となる匿名IDを匿名ユーザ管理テーブル584より取得し、匿名プロキシ証明書の発行を行う。匿名プロキシ証明書再発行部586は、指定された匿名IDに対応する匿名プロキシ証明書の発行を行う。匿名プロキシ証明書削除部588は、指定された匿名IDに対応する匿名プロキシ証明書の削除を行う。匿名プロキシ証明書は、図示されない記憶部に記憶される。匿名ファイル管理部590については、後述する。
ジョブ実行部810は、ジョブ投入部812と、実行中ジョブステータス照会部814と、実行中ジョブキャンセル部816と、ジョブ結果取得部818と、を含む。ジョブ投入部812は、リソースプロバイダシステム200に対してユーザ10からリクエストされたジョブの投入を行う。ジョブ投入の動作については、後述する。
The
実行中ジョブステータス照会部814は、指定されたジョブの識別情報に従ってジョブのステータスを照会する。具体的には各種識別情報、たとえば、ユーザID、シナリオID、サブシナリオIDなどをキーとして実行ジョブIDをデータベースより検索し、ステータス照会の対象を決定する。実行中ジョブキャンセル部816は、指定されたジョブの識別情報に従ってジョブのキャンセルを行う。具体的には各種識別情報、たとえば、ユーザID、シナリオID、サブシナリオIDなどをキーとして実行ジョブIDをデータベースより検索し、キャンセル対象を決定する。
The in-execution job
ジョブ結果取得部818は、指定されたジョブの識別情報に従ってジョブの結果取得を行う。リソースプロバイダシステム200側から出力されたファイルは、匿名ファイル管理部590と連携して、匿名領域を経由して実名領域に取り出される。識別情報、たとえば、ユーザID、シナリオID、サブシナリオIDをキーとして実行ジョブIDをデータベースより検索し、結果取得の対象を決定する。
The job result
データベース情報取得部820は、匿名ユーザ管理テーブル584からリソースプロバイダシステム名、ユーザ名、パスワードなどを取得する。
The database
なお、匿名管理データベース800の匿名ユーザ管理テーブル584は、図4に示す匿名ID管理テーブル830および匿名IDユーザ対応テーブル832を含むことができる。図4(a)に示すように、匿名ID管理テーブル830には、匿名ID毎に、パスワード、リソースプロバイダシステム名、および使用可能フラグなどが対応付けて記憶される。また、図4(b)に示すように、匿名IDユーザ対応テーブル832には、ユーザID毎に、匿名ID、リソースプロバイダシステム名、使用回数などが対応付けて記憶される。なお、匿名ID管理テーブル830および匿名IDユーザ対応テーブル832におけるリソースプロバイダシステム名は、リソースプロバイダシステム200のエンティティ名称や、リソースプロバイダシステム200のURLでもよい。
The anonymous user management table 584 of the
図5は、本実施形態の匿名ファイル管理部590の機能を説明するための図である。匿名ファイル管理部590は、変換部592と、コピー部594と、を含む。ここでは、特に、データ利用時の匿名性の確保を目的とした機能構成の一例について説明する。また、図1におけるサービスプロバイダシステム500の転送部540は、ユーザ端末600とのデータ転送を行う第1の転送部544と、サービスプロバイダシステム500とのデータ転送を行う転送部546と、を含む。ユーザ端末600は、図1で説明した生データ632や結果データ642を暗号化して実ファイル682をユーザ端末600およびサービスプロバイダシステム500間で転送する転送部680を含む。また、リソースプロバイダシステム200は、生データ232や結果データ242を暗号化した匿名ファイル282をリソースプロバイダシステム200およびサービスプロバイダシステム500間で転送する転送部280を含む。
FIG. 5 is a diagram for explaining the function of the anonymous
変換部592は、データ利用時の匿名性確保において、ジョブ管理部550から渡された実ファイル593の情報を基に、匿名領域用の匿名ファイル595の情報を作成する。ここで、実ファイル593は、ユーザ端末600から転送部680を介して転送された実ファイル682をサービスプロバイダシステム500の第1の転送部544が受信したものである。ユーザ10から送信された実ファイル593について、ユーザ情報と関係ないディレクトリ名およびファイル名の作成を行う。これらのファイル情報を書き込んだ第1のRSL(Resource Specification Language)ファイル(不図示)を、匿名ファイル595のファイル情報に変換し、別ファイルとして第2のRSLファイルに保存する。
The conversion unit 592 creates the information of the
詳細には、実ファイル593の情報とは、たとえば、実名ID12、依頼シナリオ番号、依頼サブシナリオ番号、匿名ID14、リソースプロバイダシステム200のファクトリ、第1のRSLファイルのURLを含む。変換部592は、これらの情報を実名領域のディレクトリから匿名領域に書き換え、その書き換え後の第2のRSLファイルのURLをジョブ管理部550に返す。変換部592は、実名ID12、シナリオおよびサブシナリオにおける実ファイル593と匿名ファイル595のマッピング情報の登録を行う。
Specifically, the information of the
コピー部594は、ジョブと投入時に匿名管理データベース800から実ファイル593を検索し、匿名領域に該当ファイルのコピーを行う。ジョブの結果取得時には、匿名管理データベース800から匿名領域に保存された結果ファイルを検索し、実名領域に該当ファイルのコピーを行う。
The
詳細には、実名領域から匿名領域へのコピー時には、ジョブ管理部550から実名ID12と、依頼シナリオ番号と、依頼サブシナリオ番号と、が渡され、匿名管理データベース800からファイル検索を行い、実名領域から実ファイル593を匿名領域にコピーし、匿名ファイル595として保存する。
More specifically, when copying from the real name area to the anonymous area, the real name ID 12, the request scenario number, and the request sub-scenario number are passed from the
このようにして匿名領域に保存された匿名ファイル595を、第2の転送部546がサービスプロバイダシステム500からリソースプロバイダシステム200に転送し、リソースプロバイダシステム200の転送部280が匿名領域の匿名ファイル282をサービスプロバイダシステム500の匿名領域の匿名ファイル595に転送する。
In this way, the
一方、匿名領域から実名領域へのコピー時には、ジョブ管理部550から実名ID12と、依頼シナリオ番号と、依頼サブシナリオ番号と、が渡され、匿名管理データベース800からファイル検索を行い、匿名領域から匿名ファイル595を実名領域にコピーし、実ファイル593として保存する。
On the other hand, when copying from the anonymous area to the real name area, the real name ID 12, the request scenario number, and the request sub-scenario number are passed from the
このようにして実名領域にコピーされた実ファイル593は、第1の転送部544がサービスプロバイダシステム500からユーザ端末600に転送する。
The
このように構成された、本実施形態の情報処理システムの動作について、以下に説明する。はじめに、ユーザ端末600からのデータアップロード時の動作について説明する。図6は、本実施形態の情報処理システムのデータアップロード時の動作の一例を示すフローチャートである。以下、図1および図6を用いて説明する。
The operation of the information processing system of this embodiment configured as described above will be described below. First, the operation at the time of data upload from the
まず、ユーザ10がRUNボタン(不図示)を押下したことを、ブラウザ610が受け付けると(ステップS11)、ジョブ実行オブジェクトを作成する(ステップS13)。つづいて、ユーザID、シナリオID、およびサブシナリオIDなどを含む暗号化アプレットが作成される(ステップS15)。つづいて、サービスプロバイダシステム500から暗号化対応オブジェクトの作成の依頼を受け付け(ステップS17)、暗号化対応オブジェクトを作成する(ステップS19)。
First, when the
サービスプロバイダシステム500から公開鍵およびファイル情報の提供を要求され(ステップS21)、ユーザ端末600から公開鍵およびファイル情報をサービスプロバイダシステム500に送信する(ステップS23)。
The
サービスプロバイダシステム500を介して鍵作成センタ750において、セッション鍵が作成され(ステップS25)、セッション鍵が暗号化される(ステップS27)。サービスプロバイダシステム500において、暗号化されたセッション鍵を用いて、データおよび鍵情報が更新される(ステップS29)。サービスプロバイダシステム500からユーザ端末600にセッション鍵が送信され(ステップS31)、ユーザ端末600において、セッション鍵が復号され(ステップS33)、セッション鍵を用いて、送信すべきデータを暗号化する(ステップS35)。
A session key is created in the key creation center 750 via the service provider system 500 (step S25), and the session key is encrypted (step S27). In the
暗号化されたデータがユーザ端末600からサービスプロバイダシステム500にアップロードされ(ステップS37)、アップロード終了時に、サービスプロバイダシステム500からユーザ端末600にデータアップロード完了が通知される(ステップS39)。
The encrypted data is uploaded from the
なお、図6では、データ送信時に暗号化が必要な場合について説明したが、暗号化が不要な場合には、上記ステップS15〜ステップS35は、省略することができる。 In FIG. 6, the case where encryption is necessary at the time of data transmission has been described. However, when encryption is not necessary, steps S <b> 15 to S <b> 35 can be omitted.
次に、ユーザ端末600におけるジョブ実行時の動作について説明する。図7および図8は、本実施形態の情報処理システムのジョブ実行時の動作の一例を示すフローチャートである。以下の説明では、図1、図2、図7、および図8を用いて説明する。
Next, an operation at the time of job execution in the
まず、図2のサービスプロバイダシステム500において、ポータル提供部510がユーザ端末600からのジョブリクエストを受け付ける(ステップS51)。ジョブリクエストに呼応して、ジョブ管理部550が、ファイル鍵管理データベース(不図示)にアクセスし、セッション鍵を検索し(ステップS53)、取得する。つづいて、ジョブ管理部550が、リソースプロバイダシステム200の公開鍵を検索し(ステップS55)、取得する。
First, in the
鍵作成センタ750が、取得したセッション鍵を復号し(ステップS57)、再び、セッション鍵を暗号化する(ステップS59)。 The key creation center 750 decrypts the acquired session key (step S57) and encrypts the session key again (step S59).
つづいて、サービスプロバイダシステム500において、ジョブ管理部550が、プレジョブ実行(図中、「Preジョブ」と示す)をリソースプロバイダシステム200にリクエストする(ステップS61)。ここで、プレジョブとは、本ジョブを実行する前に、サービスプロバイダシステム500およびリソースプロバイダシステム200間でのセッション鍵の受け渡しを行う処理である。
Subsequently, in the
リソースプロバイダシステム200において、プレジョブの実行を受け付け、開始する(ステップS71)。つづいて、セッション鍵を復号し(ステップS73)、データファイルが復号される(ステップS75)。つづいて、サービスプロバイダシステム500から本ジョブ実行がリソースプロバイダシステム200にリクエストされる(ステップS81)。リソースプロバイダシステム200が、本ジョブの実行を受け付け、開始する(ステップS91)。
In the
つづいて、アプリケーションプログラム212を実行制御部240がリソース100を利用して実行し、結果ファイルを出力する(ステップS93)。つづいて、図8に進み、サービスプロバイダシステム500において、ファイル鍵管理データベースにアクセスし、セッション鍵を検索し(ステップS103)、取得する。つづいて、図2の鍵作成センタ750が、セッション鍵を復号し(ステップS105)、再び、セッション鍵を暗号化する(ステップS107)。
Subsequently, the
つづいて、サービスプロバイダシステム500が、ポストジョブ実行(図中、「Postジョブ」と示す)をリソースプロバイダシステム200にリクエストする(ステップS109)。ここで、ポストジョブとは、本ジョブ実行後、サービスプロバイダシステム500およびリソースプロバイダシステム200間でのセッション鍵の受け渡しを行う処理である。
Subsequently, the
リソースプロバイダシステム200は、ポストジョブの実行を受け付け、開始する(ステップS111)。つづいて、セッション鍵を復号し(ステップS113)、データファイルを暗号化する(ステップS115)。暗号化されたデータファイルをリソースプロバイダシステム200からサービスプロバイダシステム500に送出し、サービスプロバイダシステム500がファイルを受信する(ステップS121)。
The
次に、ユーザ端末600へのデータダウンロード時の動作について説明する。図9は、本実施形態の情報処理システムのデータダウンロード時の動作の一例を示すフローチャートである。以下、図1および図9を用いて説明する。
Next, an operation when data is downloaded to the
まず、ユーザ10がDLボタン(不図示)を押下したことを、ブラウザ610が受け付けると(ステップS131)、ユーザID、シナリオID、およびサブシナリオIDなどを含む暗号化アプレットを作成する(ステップS133)。つづいて、サービスプロバイダシステム500から暗号化対応オブジェクトの作成の依頼を受け付け(ステップS135)、暗号化対応オブジェクトを作成する(ステップS137)。
First, when the
ユーザ端末600は、サービスプロバイダシステム500にシナリオ情報を要求し(ステップS139)、ユーザ端末600からサービスプロバイダシステム500にユーザID、シナリオID、およびサブシナリオIDを含むシナリオ情報が送信される(ステップS141)。サービスプロバイダシステム500は、ファイル鍵管理データベースにアクセスし、ファイル情報およびセッション鍵を検索し(ステップS143)、取得する(ステップS145)。
The
つづいて、取得したセッション鍵でダウンロードデータを暗号化し、データとセッション鍵をサービスプロバイダシステム500からユーザ端末600に送信する(ステップS147)。つづいて、ユーザ端末600がセッション鍵を復号し(ステップS149)、受信したデータをセッション鍵を用いて復号する(ステップS151)。そして復号されたデータを保存する(ステップS153)。
Subsequently, the download data is encrypted with the acquired session key, and the data and the session key are transmitted from the
以上説明したように、本実施の形態に係る情報処理システムによれば、ユーザ端末600の個人認証情報については、アプリケーションプロバイダシステム400やリソースプロバイダシステム200には知らせることなくサービスプロバイダシステム500のみが管理をすれば良く、また、ユーザ端末600からサービスプロバイダシステム500へのログイン認証に基づいて、リソースプロバイダシステム200への認証は機密性を保持しつつ自動的に行われるので、複数のプロバイダシステムに各機能を分散して各々が専門業に専念できる環境を提供し、リソースの利用効率を上げ、種々のアプリケーションプログラムを集約して利用可能となり、利便性が向上する。さらに、ユーザがサービスを利用する時の個人認証情報や機密情報の流通を最低限に抑えることができる。
As described above, according to the information processing system according to the present embodiment, only the
また、サービスプロバイダシステム500に登録されたプログラム300およびリソース100をユーザ端末600からブラウザ610などを用いて情報を参照して、サービスの利用をリクエストすれば、アプリケーションプロバイダシステム400やリソースプロバイダシステム200のサービスを利用することができるので、操作性および利便性が良い。
In addition, if the
以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。 As mentioned above, although embodiment of this invention was described with reference to drawings, these are the illustrations of this invention, Various structures other than the above are also employable.
10 ユーザ
12 実名ID
14 匿名ID
100 リソース
200 リソースプロバイダシステム
210 アプリケーション登録部
220 第2の認証部
230 復号部
240 実行制御部
250 暗号化部
260 セキュリティ管理部
270 グリッド構築ミドルウェア
280 転送部
282 匿名ファイル
300 アプリケーションプログラム
400 アプリケーションプロバイダシステム
410 管理部
420 アプリケーション提供部
430 ライセンス部
440 APLサーバ
450 グリッド構築ミドルウェア
500 サービスプロバイダシステム
510 ポータル提供部
520 第1の認証部
522 ユーザ管理部
530 再認証要求部
540 転送部
542 Webサーバ
544 第1の転送部
546 第2の転送部
550 ジョブ管理部
560 セキュリティ管理部
562 ユーザ認証時匿名性確保部
564 データ利用時データ隠蔽部
566 データ利用時匿名性確保部
570 グリッド構築ミドルウェア
580 匿名性管理部
582 匿名プロキシ証明書発行部
584 匿名ユーザ管理テーブル
586 匿名プロキシ証明書再発行部
588 匿名プロキシ証明書削除部
590 匿名ファイル管理部
592 変換部
593 実ファイル
594 コピー部
595 匿名ファイル
600 ユーザ端末
610 ブラウザ
620 ログイン受付部
630 暗号化部
640 復号部
660 セキュリティ管理部
680 転送部
682 実ファイル
700 第1の認証局
702 証明書
710 第2の認証局
712 匿名証明書
750 鍵作成センタ
800 匿名管理データベース
810 ジョブ実行部
812 ジョブ投入部
814 実行中ジョブステータス照会部
816 実行中ジョブキャンセル部
818 ジョブ結果取得部
820 データベース情報取得部
830 匿名ID管理テーブル
832 匿名IDユーザ対応テーブル
10 User 12 Real name ID
14 Anonymous ID
DESCRIPTION OF SYMBOLS 100 Resource 200 Resource provider system 210 Application registration part 220 2nd authentication part 230 Decryption part 240 Execution control part 250 Encryption part 260 Security management part 270 Grid construction middleware 280 Transfer part 282 Anonymous file 300 Application program 400 Application provider system 410 Management Unit 420 Application providing unit 430 License unit 440 APL server 450 Grid construction middleware 500 Service provider system 510 Portal providing unit 520 First authentication unit 522 User management unit 530 Re-authentication request unit 540 Transfer unit 542 Web server 544 First transfer unit 546 Second transfer unit 550 Job management unit 560 Security management unit 562 User authentication Anonymity ensuring unit 564 Data concealment unit when using data 566 Anonymity ensuring unit when using data 570 Grid construction middleware 580 Anonymity management unit 582 Anonymous proxy certificate issuing unit 584 Anonymous user management table 586 Anonymous proxy certificate reissuing unit 588 Anonymous Proxy certificate deletion unit 590 Anonymous file management unit 592 Conversion unit 593 Real file 594 Copy unit 595 Anonymous file 600 User terminal 610 Browser 620 Login reception unit 630 Encryption unit 640 Decryption unit 660 Security management unit 680 Transfer unit 682 Real file 700 1 Certificate Authority 702 Certificate 710 2nd Certificate Authority 712 Anonymous Certificate 750 Key Creation Center 800 Anonymous Management Database 810 Job Execution Unit 812 Job Input Unit 814 Executing Job Status Meeting part 816 Execution job cancellation part 818 Job result acquisition part 820 Database information acquisition part 830 Anonymous ID management table 832 Anonymous ID user correspondence table
Claims (12)
リソースを提供するリソースプロバイダシステムと、
前記リソースを利用するアプリケーションプログラムを提供するアプリケーションプロバイダシステムと、
前記ユーザからの前記リクエストに応じて前記リソースプロバイダシステムに前記リソースを利用して前記アプリケーションプログラムを実行させ、前記ユーザに前記サービスを提供するサービスプロバイダシステムと、を備えた情報処理システムであって、
前記サービスプロバイダシステムは、
前記ユーザからのログインおよび第1の認証情報を受け付ける第1の受付部と、
前記アプリケーションプログラムの実行のリクエストを受け付ける第2の受付部と、
前記ログインに呼応して前記第1の認証情報に基づいて前記ユーザの認証を行う第1の認証部と、
前記第1の認証部が前記ユーザを認証した場合、前記ユーザからの前記リクエストに呼応して、前記第1の認証情報とは異なる第2の認証情報を生成する認証情報生成部と、
前記リクエストに呼応して、前記第2の認証情報を使用して前記リソースプロバイダシステムに認証要求する認証要求部と、
前記リソースプロバイダシステムから前記リソースを利用した前記アプリケーションプログラムの実行結果を受信し、前記端末装置に転送する転送部と、を含み、
前記アプリケーションプロバイダシステムは、
前記アプリケーションプログラムを前記リソースプロバイダシステムに提供する提供部を含み、
前記リソースプロバイダシステムは、
前記サービスプロバイダシステムから前記リクエストおよび前記第2の認証情報を含む前記ユーザの前記認証要求を受け付ける第3の受付部と、
前記認証要求に呼応して、前記第2の認証情報にしたがって前記ユーザを認証する第2の認証部と、
前記第2の認証部が前記ユーザを認証したとき、前記リクエストに呼応して前記リソースを利用して前記アプリケーションプログラムを実行する実行部と、
を含むことを特徴とする情報処理システム。 A terminal device that accepts a user service request;
A resource provider system that provides resources;
An application provider system that provides an application program that uses the resource;
A service provider system that provides the service to the user by causing the resource provider system to execute the application program using the resource in response to the request from the user;
The service provider system is:
A first accepting unit for accepting login and first authentication information from the user;
A second reception unit that receives a request to execute the application program;
A first authenticator for authenticating the user based on the first authentication information in response to the login;
An authentication information generation unit configured to generate second authentication information different from the first authentication information in response to the request from the user when the first authentication unit authenticates the user;
In response to the request, an authentication request unit that requests authentication to the resource provider system using the second authentication information;
A transfer unit that receives an execution result of the application program using the resource from the resource provider system and transfers the execution result to the terminal device;
The application provider system is:
A providing unit for providing the application program to the resource provider system;
The resource provider system is:
A third accepting unit for accepting the authentication request of the user including the request and the second authentication information from the service provider system;
In response to the authentication request, a second authenticating unit authenticating the user according to the second authentication information;
An execution unit that executes the application program using the resource in response to the request when the second authentication unit authenticates the user;
An information processing system comprising:
前記リソースプロバイダシステムは、
前記実行部の前記実行結果を暗号化する暗号化部と、
前記暗号化部により暗号化された暗号化実行結果を前記サービスプロバイダシステムを経由して前記端末装置に送信する結果送信部と、を含み、
前記端末装置は、
前記サービスプロバイダシステムから転送された前記暗号化実行結果を受信する受信部と、
前記暗号化実行結果を復号する復号部と、を含むことを特徴とする情報処理システム。 The information processing system according to claim 1,
The resource provider system is:
An encryption unit for encrypting the execution result of the execution unit;
A result transmission unit that transmits the encryption execution result encrypted by the encryption unit to the terminal device via the service provider system, and
The terminal device
A receiving unit for receiving the encryption execution result transferred from the service provider system;
An information processing system comprising: a decrypting unit configured to decrypt the encryption execution result.
前記サービスプロバイダシステムの前記転送部は、前記端末装置から、前記リソースプロバイダシステムの前記実行部が前記アプリケーションプログラムを実行するとき使用する元データを受信し、前記端末装置に転送し、
前記端末装置は、
前記元データを暗号化する暗号化部と、
前記暗号化部が暗号化した暗号化元データを、前記サービスプロバイダを経由して前記リソースプロバイダシステムに送信するデータ送信部と、
を含み、
前記リソースプロバイダシステムは、
前記サービスプロバイダシステムから転送された前記暗号化元データを受信するデータ受信部と、
前記暗号化元データを復号する復号部と、を含むことを特徴する情報処理システム。 The information processing system according to claim 1 or 2,
The transfer unit of the service provider system receives, from the terminal device, original data used when the execution unit of the resource provider system executes the application program, transfers the original data to the terminal device,
The terminal device
An encryption unit for encrypting the original data;
A data transmission unit that transmits the original data encrypted by the encryption unit to the resource provider system via the service provider;
Including
The resource provider system is:
A data receiving unit for receiving the encryption source data transferred from the service provider system;
An information processing system comprising: a decrypting unit configured to decrypt the encrypted original data.
前記ユーザの証明書を発行する認証局を含み、
前記サービスプロバイダシステムは、
前記ユーザからの前記リクエスト毎に匿名ユーザ識別情報を生成する生成部と、
前記生成部が生成した前記匿名ユーザ識別情報を前記ユーザと関連付けて記憶する匿名ユーザ識別情報記憶部と、
前記リクエスト毎に、前記匿名ユーザ識別情報を使用して匿名プロキシ証明書の発行を前記認証局に要求する証明書発行部と、
前記匿名プロキシ証明書を管理する管理テーブルを記憶する管理テーブル記憶部と、
前記ユーザからの前記リクエストを、前記匿名プロキシ証明書を用いて、前記リソースプロバイダシステムに通知する通知部と、を含むことを特徴とする情報処理システム。 The information processing system according to any one of claims 1 to 3,
Including a certificate authority that issues the user's certificate;
The service provider system is:
A generating unit that generates anonymous user identification information for each request from the user;
Anonymous user identification information storage unit that stores the anonymous user identification information generated by the generation unit in association with the user;
For each request, a certificate issuing unit that requests the certificate authority to issue an anonymous proxy certificate using the anonymous user identification information;
A management table storage unit for storing a management table for managing the anonymous proxy certificate;
A notification unit that notifies the resource provider system of the request from the user using the anonymous proxy certificate.
前記サービスプロバイダシステムは、
前記アプリケーションプログラムを登録するプログラム登録部と、
前記リソースを登録するリソース登録部と、
前記プログラム登録部に登録された前記アプリケーションプログラムおよび前記リソース登録部に登録された前記リソースを前記ユーザの前記端末装置に提示する提示部と、
を含むことを特徴とする情報処理システム。 The information processing system according to any one of claims 1 to 4,
The service provider system is:
A program registration unit for registering the application program;
A resource registration unit for registering the resource;
A presentation unit that presents the application program registered in the program registration unit and the resource registered in the resource registration unit to the terminal device of the user;
An information processing system comprising:
前記リソースプロバイダシステムが前記アプリケーションプロバイダシステムを含むことを特徴とする情報処理システム。 The information processing system according to any one of claims 1 to 5,
The information processing system, wherein the resource provider system includes the application provider system.
前記サービスプロバイダシステムから前記ユーザの前記リクエストおよび認証情報を含む前記ユーザの認証要求を受け付ける受付部と、
前記認証要求に呼応して、前記認証情報にしたがって前記ユーザを認証する認証部と、
前記認証部が前記ユーザを認証したとき、前記リクエストに呼応して前記リソースを利用してアプリケーションプログラムを実行する実行部と、
を備えたことを特徴とするリソースプロバイダシステム。 A resource provider system that provides resources in response to a request from a user via a service provider system,
A receiving unit that receives the user authentication request including the request and authentication information of the user from the service provider system;
An authentication unit for authenticating the user according to the authentication information in response to the authentication request;
When the authentication unit authenticates the user, an execution unit that executes an application program using the resource in response to the request;
A resource provider system comprising:
前記ユーザからのログインおよび第1の認証情報を受け付ける第1の受付部と、
前記アプリケーションプログラムの実行のリクエストを受け付ける第2の受付部と、
前記ログインに呼応して前記第1の認証情報に基づいて前記ユーザの認証を行う認証部と、
前記認証部が前記ユーザを認証した場合、前記ユーザからの前記リクエストに呼応して、前記第1の認証情報とは異なる第2の認証情報を生成する認証情報生成部と、
前記リクエストに呼応して、前記第2の認証情報を使用して前記リソースプロバイダシステムに認証要求する認証要求部と、
前記リソースプロバイダシステムから前記リソースを利用した前記アプリケーションプログラムの実行結果を受信し、前記端末装置に転送する転送部と、を備えたことを特徴とするサービスプロバイダシステム。 A service provider system that provides a service to the user by executing an application program provided by the application provider system using a resource provided by the resource provider system in response to a request from the user,
A first accepting unit for accepting login and first authentication information from the user;
A second reception unit that receives a request to execute the application program;
An authentication unit for authenticating the user based on the first authentication information in response to the login;
When the authentication unit authenticates the user, an authentication information generation unit that generates second authentication information different from the first authentication information in response to the request from the user;
In response to the request, an authentication request unit that requests authentication to the resource provider system using the second authentication information;
A service provider system comprising: a transfer unit that receives an execution result of the application program using the resource from the resource provider system and transfers the result to the terminal device.
端末装置に前記アプリケーションプログラムを使用して前記リソースを利用するサービスを提供するサービスプロバイダシステムに、前記アプリケーションプログラムを登録する登録部と、
を備えたことを特徴とするアプリケーションプロバイダシステム。 A providing unit that provides the resource provider system with an application program that uses resources of the resource provider system;
A registration unit that registers the application program in a service provider system that provides a service that uses the application program to the terminal device and uses the resource;
An application provider system comprising:
前記提供部が提供した前記アプリケーションプログラムのライセンスの管理を行うライセンス部を含むことを特徴とするアプリケーションプロバイダシステム。 The application provider system according to claim 9,
An application provider system comprising: a license unit that manages a license of the application program provided by the providing unit.
リソースプロバイダシステムがリソースを提供し、
アプリケーションプロバイダシステムが前記リソースを利用するアプリケーションプログラムを提供し、
サービスプロバイダシステムが前記ユーザからの前記リクエストに応じて前記リソースプロバイダシステムに前記リソースを利用して前記アプリケーションプログラムを実行させ、前記ユーザに前記サービスを提供する情報処理方法であって、
前記サービスプロバイダシステムは、
前記ユーザからのログインおよび第1の認証情報を受け付け、
前記アプリケーションプログラムの実行のリクエストを受け付け、
前記ログインに呼応して前記第1の認証情報に基づいて前記ユーザの認証を行い、
前記ユーザを認証した場合、前記ユーザからの前記リクエストに呼応して、前記第1の認証情報とは異なる第2の認証情報を生成し、
前記リクエストに呼応して、前記第2の認証情報を使用して前記リソースプロバイダシステムに認証要求し、
前記リソースプロバイダシステムから前記リソースを利用した前記アプリケーションプログラムの実行結果を受信し、
前記実行結果を前記端末装置に転送し、
前記アプリケーションプロバイダシステムは、
前記アプリケーションプログラムを前記リソースプロバイダシステムに提供し、
前記リソースプロバイダシステムは、
前記サービスプロバイダシステムから前記リクエストおよび前記第2の認証情報を含む前記ユーザの前記認証要求を受け付け、
前記認証要求に呼応して、前記第2の認証情報にしたがって前記ユーザを認証し、
前記ユーザを認証したとき、前記リクエストに呼応して前記リソースを利用して前記アプリケーションプログラムを実行することを特徴とする情報処理方法。 The terminal device accepts a service use request from the user,
The resource provider system provides resources,
An application provider system provides an application program that uses the resource,
An information processing method in which a service provider system causes the resource provider system to execute the application program using the resource in response to the request from the user, and provides the user with the service,
The service provider system is:
Accepting login and first authentication information from the user,
Receiving a request to execute the application program;
In response to the login, authenticating the user based on the first authentication information;
When authenticating the user, in response to the request from the user, generating second authentication information different from the first authentication information;
In response to the request, request authentication from the resource provider system using the second authentication information;
Receiving an execution result of the application program using the resource from the resource provider system;
Transferring the execution result to the terminal device;
The application provider system is:
Providing the application program to the resource provider system;
The resource provider system is:
Accepting the authentication request of the user including the request and the second authentication information from the service provider system;
In response to the authentication request, authenticate the user according to the second authentication information;
When the user is authenticated, the application program is executed using the resource in response to the request.
前記証明書を用いて、ネットワークを介してサービスプロバイダシステムに認証要求を行う認証要求部と、
前記ネットワークを介して提供されるアプリケーションプログラムを参照する参照部と、
利用するアプリケーションプログラムおよびリソースの指定を受け付ける指定受付部と、
前記指定受付部が受け付けた前記アプリケーションプログラムおよび前記リソースを前記サービスプロバイダシステムに通知する通知部と、
前記アプリケーションプログラムを実行するときに使用する元データを、前記サービスプロバイダシステムを経由してリソースプロバイダシステムに送信するデータ送信部と、
前記サービスプロバイダシステムを経由して前記リソースプロバイダシステムから送信された前記アプリケーションプログラムの実行結果を受信する結果受信部と、
を備えたことを特徴とする端末装置。 A certificate acceptance unit that accepts a certificate from a certificate authority;
An authentication request unit that makes an authentication request to the service provider system via the network using the certificate;
A reference unit that references an application program provided via the network;
A designation receiving unit that accepts designation of application programs and resources to be used;
A notification unit for notifying the service provider system of the application program and the resource received by the designation receiving unit;
A data transmission unit for transmitting original data used when executing the application program to the resource provider system via the service provider system;
A result receiving unit that receives an execution result of the application program transmitted from the resource provider system via the service provider system;
A terminal device comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005063572A JP2006253769A (en) | 2005-03-08 | 2005-03-08 | Information processing system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005063572A JP2006253769A (en) | 2005-03-08 | 2005-03-08 | Information processing system and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006253769A true JP2006253769A (en) | 2006-09-21 |
Family
ID=37093824
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005063572A Pending JP2006253769A (en) | 2005-03-08 | 2005-03-08 | Information processing system and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006253769A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008276756A (en) * | 2007-03-26 | 2008-11-13 | Symantec Corp | Web services intermediary |
JP2018074478A (en) * | 2016-11-01 | 2018-05-10 | 株式会社リコー | Data processing system, data processing device, data processing method, and program |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10254807A (en) * | 1997-01-22 | 1998-09-25 | Lucent Technol Inc | Method for reading server site anonymously |
JP2002140532A (en) * | 2000-10-31 | 2002-05-17 | Toshiba Eng Co Ltd | System and method for selling software, and recording medium stored with program for selling software |
JP2004519488A (en) * | 2001-03-08 | 2004-07-02 | ユニバーシティー オブ ケンタッキー リサーチ ファウンデイション | Method for increasing leptin levels using nicotinic acid compounds |
JP2005503596A (en) * | 2001-01-29 | 2005-02-03 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Resource sharing system and method |
-
2005
- 2005-03-08 JP JP2005063572A patent/JP2006253769A/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10254807A (en) * | 1997-01-22 | 1998-09-25 | Lucent Technol Inc | Method for reading server site anonymously |
JP2002140532A (en) * | 2000-10-31 | 2002-05-17 | Toshiba Eng Co Ltd | System and method for selling software, and recording medium stored with program for selling software |
JP2005503596A (en) * | 2001-01-29 | 2005-02-03 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Resource sharing system and method |
JP2004519488A (en) * | 2001-03-08 | 2004-07-02 | ユニバーシティー オブ ケンタッキー リサーチ ファウンデイション | Method for increasing leptin levels using nicotinic acid compounds |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008276756A (en) * | 2007-03-26 | 2008-11-13 | Symantec Corp | Web services intermediary |
JP2018074478A (en) * | 2016-11-01 | 2018-05-10 | 株式会社リコー | Data processing system, data processing device, data processing method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111295869B (en) | System and method for authenticating decentralized identity | |
CN111373400B (en) | System and method for implementing a resolver service for decentralizing identity | |
US6782379B2 (en) | Preparing output XML based on selected programs and XML templates | |
US7349912B2 (en) | Runtime modification of entries in an identity system | |
JP4252620B1 (en) | Server certificate issuing system | |
US7711818B2 (en) | Support for multiple data stores | |
JP4838610B2 (en) | Document management apparatus, document management method, and program | |
US7213249B2 (en) | Blocking cache flush requests until completing current pending requests in a local server and remote server | |
US9235649B2 (en) | Domain based workflows | |
US7415607B2 (en) | Obtaining and maintaining real time certificate status | |
EP1573520B1 (en) | Method and system for simplifying distributed server management | |
US7937655B2 (en) | Workflows with associated processes | |
US6816871B2 (en) | Delivering output XML with dynamically selectable processing | |
US8015600B2 (en) | Employing electronic certificate workflows | |
US7475151B2 (en) | Policies for modifying group membership | |
US7363339B2 (en) | Determining group membership | |
US6944857B1 (en) | Method, system, computer program product, and article of manufacture for updating a computer program according to a stored configuration | |
US7089553B1 (en) | Method, system, computer program product, and article of manufacture for downloading a remote computer program according to a stored configuration | |
US20020152254A1 (en) | Template based workflow definition | |
US20020184444A1 (en) | Request based caching of data store data | |
JP2003022253A (en) | Server, information processor, its access control system and method | |
WO2010135883A1 (en) | File uploading realization method and system for web application | |
US8321925B1 (en) | Distributed encryption key management | |
JP2018022295A (en) | Information processing apparatus and application management method, and program | |
US7703092B1 (en) | Method, system, computer program product, and article of manufacture for installation and configuration of a computer program according to a stored configuration |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100706 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101109 |