JP2017111800A - Information processing device, approval system, information processing method, and program - Google Patents
Information processing device, approval system, information processing method, and program Download PDFInfo
- Publication number
- JP2017111800A JP2017111800A JP2016214604A JP2016214604A JP2017111800A JP 2017111800 A JP2017111800 A JP 2017111800A JP 2016214604 A JP2016214604 A JP 2016214604A JP 2016214604 A JP2016214604 A JP 2016214604A JP 2017111800 A JP2017111800 A JP 2017111800A
- Authority
- JP
- Japan
- Prior art keywords
- authorization
- server
- request
- storage
- authorization request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
本発明は、情報処理装置、認可システム、情報処理方法及びプログラムに関する。 The present invention relates to an information processing apparatus, an authorization system, an information processing method, and a program.
個人情報等の重要な電子データを扱うシステムでは、データに暗号化を施したとしても、暗号鍵の解読・漏洩による情報漏洩リスクを十分に低減できない。このような問題を解決するための技術として、秘密分散技術が知られている。秘密分散技術とは、重要データを、もとのデータとは直接結びつかない複数のデータ片に分割する技術で、一部のデータ片を第三者に取得された場合でも、重要データを復元できないという特徴がある。
特許文献1、特許文献2には、秘密分散技術を用いて、重要データから複数のデータ片を生成し、複数のデータセンター(以下では、DCという)上のサーバに分散保管するデータ分散保管システムが開示されている。
In a system that handles important electronic data such as personal information, even if the data is encrypted, the risk of information leakage due to decryption and leakage of the encryption key cannot be sufficiently reduced. A secret sharing technique is known as a technique for solving such a problem. Secret sharing technology is a technology that divides important data into multiple data pieces that are not directly linked to the original data. Even if some data pieces are obtained by a third party, important data cannot be restored. There is a feature.
Patent Documents 1 and 2 disclose a data distributed storage system that generates a plurality of data pieces from important data using a secret sharing technique, and distributes and stores them in servers on a plurality of data centers (hereinafter referred to as DC). Is disclosed.
オブジェクトを複数のオブジェクト片に分割して、複数DCのそれぞれに含まれる保管サーバに分散保管するオブジェクト管理システムにおいては、通常はユーザが各DC等に対して個別にユーザ認証を行う必要がある。この場合、認証処理が煩雑となるのを防ぐため、シングルサインオン技術が用いられることも多い。特許文献2には、各DCのサーバで異なるパスワード情報を保持し、個別に認証処理を行うようなシングルサインオン技術が開示されている。
しかし、パスワード情報を各サーバで保持するため、情報が更新される場合、各サーバでも更新処理が発生してしまう。また、各サーバの運用保守が煩雑になってしまう。認証認可サーバ等の特定のサーバで行った認証結果や認可結果の情報を、サーバ間で通信を行って引き継ぐ方法も考えられるが、DC間の通信速度が遅い場合には通信処理に時間がかかってしまうという問題がある。
そこで、本発明では、オブジェクトの操作に要する通信時間の増大を防ぐことを目的とする。
In an object management system in which an object is divided into a plurality of object pieces and distributedly stored in storage servers included in each of a plurality of DCs, it is usually necessary for a user to individually authenticate each DC or the like. In this case, a single sign-on technique is often used to prevent the authentication process from becoming complicated. Patent Document 2 discloses a single sign-on technique in which different password information is held in each DC server and authentication processing is performed individually.
However, since the password information is held in each server, when the information is updated, an update process occurs in each server. In addition, the operation and maintenance of each server becomes complicated. Although it is conceivable to communicate information between authentication results and authorization results performed on a specific server such as an authentication authorization server by communicating between servers, it takes time for communication processing when the communication speed between DCs is slow. There is a problem that it ends up.
Accordingly, an object of the present invention is to prevent an increase in communication time required for object operation.
そこで、本発明の情報処理装置は、オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する第1の取得手段と、前記第1の取得手段により取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定手段と、を有する。 Therefore, the information processing apparatus of the present invention uses the number of divisions based on the number of divisions indicating how many object pieces an object is divided into and the number of restorations that are the number of object pieces required for restoration of the objects. A first acquisition unit that acquires authorization omission information that is information indicating how many storage units out of a plurality of storage units in which each of the object pieces of the object divided into two pieces of information is not required; And determining means for determining a storage means that does not require an authorization process from among the plurality of storage means based on the authorization skip information acquired by the first acquisition means.
本発明によれば、オブジェクトの操作に要する通信時間の増大を防ぐことができる。 According to the present invention, it is possible to prevent an increase in communication time required for operating an object.
以下、本発明の実施形態について図面に基づいて説明する。
<実施形態1>
図1は、オブジェクト管理システムのシステム構成の一例を示す図である。本実施形態のオブジェクト管理システムは、A社内のユーザにより使用されるシステムであるとする。オブジェクト管理システムは、クライアントPC100、制御サーバ101、認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104、106、108、110、保管サーバ105、107、109、111を含む。オブジェクト管理システムは、認可システムの一例である。
クライアントPC100、制御サーバ101は、A社内に設置されている。クライアントPC100、制御サーバ101は、ネットワーク112を介することなくA社内のネットワークを介して、相互に通信できる。クライアントPC100は、コンピュータ等である。制御サーバ101は、制御装置の一例である。制御装置には、他には図3Bで後述する機能構成を有するPC等がある。
認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104、保管サーバ105は、DC1内に設置されている。認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104は、ネットワーク112を介することなくDC1内のネットワークを介して、相互に通信できる。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<Embodiment 1>
FIG. 1 is a diagram illustrating an example of a system configuration of an object management system. It is assumed that the object management system of this embodiment is a system used by users in company A. The object management system includes a client PC 100, a
The client PC 100 and the
The
認可要求サーバ106、保管サーバ107は、DC2内に設置されている。認可要求サーバ108、保管サーバ109は、DC3内に設置されている。認可要求サーバ110、保管サーバ111は、DC4内に設置されている。同じDC内に設置されている認可要求サーバ、保管サーバは、ネットワーク112を介することなく各DC内のネットワークを介して、相互に通信できる。
クライアントPC100、制御サーバ101、認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104、106、108、110は、ネットワーク112を介して相互に接続されているものとする。ネットワーク112は、インターネット、LAN、WAN等である。保管サーバ105、107、109、111は、それぞれ認可要求サーバ104、106、108、110と接続されており、ネットワーク112には直接接続されていない。
本実施形態では、オブジェクト管理システムに含まれるDCの数は、4であるとするが、3以下でもよいし、5以上であってもよい。また、本実施形態では、各DCは、それぞれ一つの認可要求サーバを含むものとするが、二以上の認可要求サーバを含むこととしてもよい。また、各DCは、認可要求サーバに接続される一つの保管サーバを含むものとするが、二以上の保管サーバを含むこととしてもよい。
The
Assume that the client PC 100, the
In the present embodiment, the number of DCs included in the object management system is 4. However, it may be 3 or less, or 5 or more. In the present embodiment, each DC includes one authorization request server, but may include two or more authorization request servers. Each DC includes one storage server connected to the authorization request server, but may include two or more storage servers.
クライアントPC100は、認証サーバ102に認証要求を行ったり、制御サーバ101にオブジェクトの保管要求、取得要求等のオブジェクトの操作要求を行ったりする。操作要求対象のオブジェクトは、電子ファイル、データ等である。オブジェクトの操作要求とは、オブジェクトの保管要求や取得要求等である。
制御サーバ101は、オブジェクトの分割/復元処理を行ったり、オブジェクトの保管先/取得元をメタデータ管理サーバ103に問い合わせたり、各保管サーバにオブジェクトの保管要求/取得要求を行ったりする。
本実施形態では、クライアントPCと制御サーバ101とは、別個のシステム構成要素であるが、双方の機能を持った単一の制御装置がクライアントPCと制御サーバ101との処理を行うこととしてもよい。
The
The
In the present embodiment, the client PC and the
認証サーバ102は、クライアントPC100から認証情報を受信し、ログインユーザの本人性をチェックする。また、認証サーバ102は、メタデータ管理サーバ103からロール及びセッションを受信し、ユーザのロールの妥当性を確認する。認証処理とは、ユーザの本人性を確認するための処理である。
メタデータ管理サーバ103は、制御サーバ101からの保管先問い合わせに対し、保管先を示す情報を返したり、各認可要求サーバからの認可要求を受信し、認可処理を行ったりする。認可処理とは、ユーザにオブジェクトの操作要求を行う権限があるか否かを確認する処理である。
本実施形態では、認証サーバ102とメタデータ管理サーバ103とは、別個の装置として構成されているが、単一の装置が認証サーバ102とメタデータ管理サーバ103との処理を行うこととすることもできる。しかし、もし単一の装置でメタデータ管理と認証認可を行うこととすると、その装置が害意のあるユーザに乗っ取られた場合、何のデータがどの保管サーバにあるかが分かり、認証認可も通ってしまうため、セキュリティが低下するおそれがある。そのため、メタデータ管理や認可処理を行う装置と認証処理を行う装置とは、別々の装置とし、異なる管理者により管理可能なように構成している。同様の理由で、一部のDCを他のDCとは異なる事業者により管理されるよう構成してもよい。
The
In response to a storage location inquiry from the
In this embodiment, the
認可要求サーバ104、106、108、110は、メタデータ管理サーバ103に対し、対応する保管サーバへの操作要求についての認可処理の要求を行う。
保管サーバ105、107、109、111は、オブジェクトのオブジェクト片等のデータの保管、読み出し等を行う。
制御サーバ101は、オブジェクトの操作要求を保管サーバに直接送信するのではなく、保管サーバと接続される認可要求サーバに送信する。認可要求サーバは、制御サーバ101からの操作要求を受信した場合、操作要求が適正な権限を有するユーザによりなされたか否かを確認するための認可処理をメタデータ管理サーバ103に要求する。認可要求サーバは、メタデータ管理サーバ103により操作要求について認可された場合、接続される保管サーバに対して、オブジェクトの操作要求を送信する。
本実施形態では、認可要求サーバと保管サーバとは、別個の装置であるとする。しかし、単一の装置が認可要求サーバと保管サーバとの処理を行うこととしてもよい。
The
The
The
In this embodiment, it is assumed that the authorization request server and the storage server are separate devices. However, a single device may perform processing between the authorization request server and the storage server.
図2は、メタデータ管理サーバ103のハードウェア構成の一例を示す図である。
メタデータ管理サーバ103は、CPU201、主記憶装置202、補助記憶装置203、ネットワークI/F204を含む。CPU201、主記憶装置202、補助記憶装置203、ネットワークI/F204は、システムバス205を介して相互に接続されている。
CPU201は、メタデータ管理サーバ103における処理を制御する中央演算装置である。CPU201は、補助記憶装置203等に記憶されているアプリケーションプログラムOSのプログラム、制御プログラム等を実行する。
FIG. 2 is a diagram illustrating an example of a hardware configuration of the
The
The
主記憶装置202は、CPU201の主メモリ、ワーク領域等として機能する記憶装置である。CPU201がプログラムに基づき処理を実行する際に利用する変数等のデータは、主記憶装置202に記憶されている。
補助記憶装置203は、アプリケーションプログラムOSのプログラム、制御プログラム、各種の設定データ等を記憶する。
ネットワークI/F204は、メタデータ管理サーバ103が外部の装置と通信を行う際に利用されるインターフェースである。
CPU201が、補助記憶装置203等に記憶されたプログラムに基づき処理を実行することによって、後述するメタデータ管理サーバ103の機能及び後述するフローチャートの処理が実現される。
The
The
The network I /
When the
クライアントPC100、制御サーバ101、認証サーバ102、認可要求サーバ104、保管サーバ105のハードウェア構成は、メタデータ管理サーバ103と同様である。
クライアントPC100のCPUが、クライアントPC100の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述するクライアントPC100の機能及び後述するフローチャートの処理が実現される。
制御サーバ101のCPUが、制御サーバ101の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する制御サーバ101の機能及び後述するフローチャートの処理が実現される。
認証サーバ102のCPUが、認証サーバ102の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する認証サーバ102の機能及び後述するフローチャートの処理が実現される。
The hardware configuration of the
When the CPU of the
When the CPU of the
The CPU of the
認可要求サーバ104のCPUが、認可要求サーバ104の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する認可要求サーバ104の機能及び後述するフローチャートの処理が実現される。
認可要求サーバ106、108、110のハードウェア構成は、認可要求サーバ104と同様である。
保管サーバ105のCPUが、保管サーバ105の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する保管サーバ105の機能及び後述するフローチャートの処理が実現される。
保管サーバ107、109、111のハードウェア構成は、保管サーバ105と同様である。
The CPU of the
The hardware configuration of the
The CPU of the
The hardware configuration of the
図3Aは、クライアントPC100の機能構成の一例を示す図である。クライアントPC100は、認証要求部401、保管/取得要求部402を含む。
認証要求部401は、認証サーバ102に認証情報(ユーザID、パスワード等)を送信し、ユーザの認証要求を行い、認証サーバ102により認証された場合、認証サーバ102からセッションID(以下では、SIDという)を取得する。
保管/取得要求部402は、制御サーバ101に対して、オブジェクトの操作要求を行う。
FIG. 3A is a diagram illustrating an example of a functional configuration of the
The
The storage /
図3Bは、制御サーバ101の機能構成の一例を示す図である。制御サーバ101は、制御部411、分割部412、復元部413を含む。
制御部411は、メタデータ管理サーバ103に対して、オブジェクト(オブジェクトが分割されたオブジェクト片のそれぞれ)の保管先又は取得元を問い合わせる。
分割部412は、オブジェクトの保管を認可要求サーバ104、106、108、110に要求する際に、オブジェクトを複数のオブジェクト片に分割する。
FIG. 3B is a diagram illustrating an example of a functional configuration of the
The
The dividing
復元部413は、保管サーバ105、107、109、111のそれぞれから、それぞれの保管サーバに接続された認可要求サーバを介して、取得したオブジェクトのオブジェクト片からオブジェクトを復元する。
また、制御部411は、認可要求サーバ104、106、108、110に対して、オブジェクト片の操作要求を送信する。例えば、オブジェクトの保管の際には、制御部411は、分割部412によって分割されたオブジェクトのオブジェクト片のデータを含むオブジェクト片の保管要求を、認可要求サーバ104、106、108、110に送信する。
The
Further, the
図3Cは、認証サーバ102の機能構成の一例を示す図である。認証サーバ102は、認証部421、ロール確認部422、認証情報記憶部423を含む。
認証部421は、クライアントPC100から認証情報を受信し、受信した認証情報に基づいて、ログインしたユーザの本人性をチェックし、ユーザの本人性が確認できたらSIDを発行し、SIDをクライアントPC100に送信する。
ロール確認部422は、メタデータ管理サーバ103からロールの内容を示す情報、セッションの内容を示す情報を受信し、受信したロールの内容を示す情報、セッションの内容を示す情報に基づいて、ユーザのロールが妥当か否か確認する。
認証情報記憶部423は、認証情報、ロール情報、セッション情報等を記憶し管理している。本実施形態では、認証情報は、ユーザIDとパスワードとの組み合わせであるとする。また、ロール情報は、ユーザIDとロールの内容を示す情報との組み合わせである。ロールの内容を示す情報は、「システム管理者」、「一般ユーザ」等のロールを判別できる情報であるならば、テキスト情報でもよいし、ID等の数字の情報でもよい。なお、一つのロールに複数のユーザを割り当ててもよいし、ロールとユーザとを一対一対応させてもよい。セッション情報は、ユーザIDとセッションの内容を示す情報との組み合わせである。セッションの内容を示す情報は、例えばセッション毎に割り当てられたID等である。
FIG. 3C is a diagram illustrating an example of a functional configuration of the
The
The
The authentication
図3Dは、メタデータ管理サーバ103の機能構成の一例を示す図である。メタデータ管理サーバ103は、分散先指定部431、認可部432、メタデータ記憶部433を含む。
分散先指定部431は、制御サーバ101からオブジェクトの操作要求先の問い合わせを受信し、認証サーバ102にユーザのロールが妥当か否か確認した上で、オブジェクトのオブジェクト片それぞれについての操作要求先の特定情報を制御サーバ101に送信する。オブジェクトを保管する際は、分散先指定部431は、制御サーバ101からオブジェクトのオブジェクト片それぞれの保管先の問い合わせを受信することとなり、応答として、それぞれのオブジェクト片の保管先の情報を制御サーバ101に送信する。
操作要求先の特定情報は、操作要求先を特定するための情報であり、例えば、オブジェクトのオブジェクト片のIDと操作要求先のサーバの情報とオブジェクト片の管理場所のパス情報との組み合わせ等である。操作要求先のサーバの情報は、例えば、サーバのID、サーバのIPアドレス等である。
認可部432は、各認可要求サーバからの認可要求を受信し、受信した認可要求に対応する操作要求の認可処理を行う。そして、認可部432は、認可できたか否かの認可処理の結果を各認可要求サーバに送信する。
FIG. 3D is a diagram illustrating an example of a functional configuration of the
The distribution
The operation request destination specifying information is information for specifying the operation request destination. For example, it is a combination of the object piece ID of the object, the server information of the operation request destination, and the path information of the management location of the object piece. is there. The information of the operation request destination server is, for example, a server ID, a server IP address, and the like.
The
メタデータ記憶部433は、操作要求先情報、権限情報等を記憶し、管理している。操作要求先情報は、操作要求先についての各種の属性情報であり、例えば、操作対象のオブジェクト名と、オブジェクトの操作要求先の仮想パスと、オブジェクトのオブジェクト片のIDと、オブジェクト片についての操作要求先のサーバを示す情報と、オブジェクト片についての操作要求先のパスを示す情報と、の組み合わせである。
オブジェクト片についての操作要求先のサーバを示す情報は、例えば、オブジェクト片についての操作要求先の認可要求サーバ又は保管サーバのID、IPアドレス等である。オブジェクト片についての操作要求先のパスを示す情報は、オブジェクトの保管処理の場合、オブジェクトのオブジェクト片の保管先を示すパスの情報となり、オブジェクトの取得処理の場合、オブジェクトのオブジェクト片が保管されているパスの情報となる。
The
The information indicating the operation request destination server for the object piece is, for example, the ID and IP address of the authorization request server or storage server of the operation request destination for the object piece. The information indicating the operation request destination path for the object piece is the path information indicating the storage destination of the object piece of the object in the case of the object storage process, and the object piece of the object is saved in the object acquisition process. It becomes the information of the existing path.
権限情報は、例えば、ユーザのロールIDと、オブジェクトの操作要求先の仮想パスの情報と、権限を示す情報との組み合わせ等である。仮想パスは、クライアントPC100から見える仮想のオブジェクトの操作要求先である。メタデータ管理サーバ103は、仮想パスの情報と実際のオブジェクトのオブジェクト片の操作要求先のパスの情報との対応関係を示す情報を管理することで、仮想パスと実際のパスとを対応付けている。権限を示す情報は、ユーザのロールにオブジェクトの操作要求を行う権限があるか否かを示す情報である。
本実施形態では、クライアントPCではなくメタデータ管理サーバ103がオブジェクトの管理場所の情報を管理するため、クライアントPC100以外のクライアントPCからも管理されているオブジェクトに対してアクセスすることが可能となる。
The authority information is, for example, a combination of the user role ID, information on the virtual path of the object operation request destination, and information indicating the authority. The virtual path is an operation request destination of a virtual object that can be seen from the
In this embodiment, since the
図3Eは、認可要求サーバ104の機能構成の一例を示す図である。認可要求サーバ104は、認可要求部441を含む。認可要求部441は、メタデータ管理サーバ103に対し、認可要求を行う。認可要求サーバ106、108、110の機能構成は、認可要求サーバ104と同様である。
図3Fは、保管サーバ105の機能構成の一例を示す図である。保管サーバ105は、記憶部451を含む。記憶部451は、オブジェクトのオブジェクト片を保管し、管理する。保管サーバ107、109、111の機能構成は、保管サーバ105と同様である。
本実施形態では、認可要求サーバと保管サーバとは、別個の装置であるとした。しかし、認可要求部と記憶部とを含む単一の装置が認可要求サーバと保管サーバとの処理を行うこととしてもよい。
FIG. 3E is a diagram illustrating an example of a functional configuration of the
FIG. 3F is a diagram illustrating an example of a functional configuration of the
In the present embodiment, the authorization request server and the storage server are separate devices. However, a single device including the authorization request unit and the storage unit may perform processing of the authorization request server and the storage server.
本実施形態では、オブジェクト管理システムの構成要素のそれぞれは、オブジェクトが分割される数nと、オブジェクトの復元に要するオブジェクトのオブジェクト片の数k(k≦n)と、の情報を管理するものとする。各構成要素は、保有する記憶装置等にn、kの情報を記憶することで、n、kの情報を管理する。しかし、メタデータ管理サーバ103や制御サーバ101等がn、kの情報を集中的に管理することとしてもよい。オブジェクトが分割される数nは、分割数の一例である。オブジェクトの復元に要するオブジェクトのオブジェクト片の数kは、復元数の一例である。
本実施形態では、オブジェクト管理システムに含まれる複数の保管サーバは、n個に分割されたオブジェクトのオブジェクト片のそれぞれを、分散して管理する。k個(k≦n)以上のオブジェクト片からオブジェクトが復元可能であるとする。n個に分割されたオブジェクトのオブジェクト片のうち、少なくともk個のオブジェクト片からオブジェクトが復元できるようにオブジェクトを分割する方法には、閾値秘密分散法等がある。
本実施形態では、オブジェクト管理システム内の複数の保管サーバは、それぞれ一つずつオブジェクトのオブジェクト片を管理するものとする。そのため、本実施形態では、オブジェクト片の総数であるnと保管サーバの総数とは、等しくなる。また、本実施形態では、一つのDCが一つの保管サーバを含むため、nとDCの総数とは、等しい値となる。即ち、一つのDCにつき一つのオブジェクト片が管理されることになる。しかし、保管サーバの数はnより大きい値であってもよいし、DCの数はnより小さい値でも大きい値でもよい。
In the present embodiment, each component of the object management system manages information on the number n of objects divided and the number k of object pieces of the object required for object restoration (k ≦ n). To do. Each component manages the information of n and k by storing the information of n and k in a storage device or the like possessed. However, the
In this embodiment, the plurality of storage servers included in the object management system manage each of the object pieces of the objects divided into n in a distributed manner. It is assumed that an object can be restored from k (k ≦ n) or more object pieces. As a method of dividing an object so that the object can be restored from at least k object pieces among the object pieces divided into n pieces, there is a threshold secret sharing method or the like.
In the present embodiment, it is assumed that a plurality of storage servers in the object management system manage object pieces of objects one by one. Therefore, in this embodiment, the total number of object pieces, n, is equal to the total number of storage servers. In this embodiment, since one DC includes one storage server, n and the total number of DCs are equal. That is, one object piece is managed for one DC. However, the number of storage servers may be larger than n, and the number of DCs may be smaller or larger than n.
本実施形態では、制御サーバ101は、例えば、オブジェクトの保管処理の場合、オブジェクトをn個に分割して、オブジェクト管理システムに含まれる複数の認可要求サーバに対して、各オブジェクト片の保管を指示する。また、制御サーバ101は、オブジェクトの取得を行う場合、オブジェクト片を保管している保管サーバに接続されている認可要求サーバにオブジェクト片の取得要求を行い、取得したオブジェクト片からオブジェクトを復元する。
本実施形態では、オブジェクト管理システムは、権限のないユーザによるオブジェクトの操作要求を制限しながら、それぞれのDCで行われる認可処理のいくつかを省略する。それにより、オブジェクト管理システムは、認可処理を要求するDCと、認可処理を行うメタデータ管理サーバ103と、の間で行われる通信を削減し、処理に要する時間を削減できる。
In the present embodiment, for example, in the case of object storage processing, the
In this embodiment, the object management system omits some of the authorization processes performed in each DC while restricting object operation requests by unauthorized users. Thereby, the object management system can reduce communication performed between the DC that requests the authorization process and the
図4は、認可処理を省略するデータセンターの決定処理の一例を示すフローチャートである。図4の処理は、メタデータ管理サーバ103により実行される。メタデータ管理サーバ103は、認可処理を省略するデータセンターの決定処理を行う情報処理装置の一例である。本実施形態では、n=4、k=3とし、DC1〜4のうちメタデータ管理サーバ103との通信に要する時間が最も大きいDCをDC4とする。
S501において、CPU201は、オブジェクトをいくつのオブジェクト片に分割するかを示す数nと、オブジェクトの復元に必要なオブジェクト片の数kと、に基づいて、権限のないユーザによるオブジェクトの操作要求を制限可能なように認可処理を省略可能なDCの数を決定する。本実施形態では、各DCに一つずつ認可要求サーバが含まれる。そのため、認可処理を省略可能なDCには、認可要求処理を省略可能な認可要求サーバが含まれることになる。認可処理を省略可能なDCの数と認可要求処理を省略可能な認可要求サーバの数とは、等しい値になる。認可要求処理を省略可能な認可要求サーバの数は、省略数の一例である。
FIG. 4 is a flowchart illustrating an example of a data center determination process that omits the authorization process. The process of FIG. 4 is executed by the
In step S <b> 501, the
k個のオブジェクト片があればオブジェクトの復元が可能なので、権限のないユーザがオブジェクトを取得できないようにするためには、認可処理を省略可能なDCの数は、k−1以下である必要がある。即ち、認可処理を要するDCの数は、n−(k−1)=n−k+1以上となる。
また、権限のないユーザが保管サーバに保管されているオブジェクトのオブジェクト片をk個、上書きできることとすると、元のオブジェクトが権限のないユーザによる操作により消失してしまうおそれがある。そのため、オブジェクト管理システムは、k個以上のDCにおいて認可処理を行う必要がある。即ち、認可処理を省略可能なDCの数は、n−k以下となる。
Since the object can be restored if there are k object pieces, the number of DCs for which the authorization process can be omitted needs to be equal to or less than k−1 in order to prevent an unauthorized user from acquiring the object. is there. That is, the number of DCs that require authorization processing is n− (k−1) = n−k + 1 or more.
Further, if an unauthorized user can overwrite k pieces of objects stored in the storage server, the original object may be lost by an operation by an unauthorized user. Therefore, the object management system needs to perform an authorization process on k or more DCs. That is, the number of DCs for which the authorization process can be omitted is nk or less.
以上より、CPU201は、認可処理を行うDCの数をmax(n−k+1、k)以上の値に決定し、決定した値をnから引いた値を、認可処理を省略するDCの数として決定する。そのため、決定された認可処理を省略するDCの数は、min(k−1、n−k)以下の値になる。即ち、決定された認可処理を省略するDCの数は、オブジェクトが分割される個数からオブジェクトの復元に必要なオブジェクト片の個数を引いた差分以下であり、且つ、オブジェクトの復元に必要なオブジェクト片の個数未満の値になる。
また、CPU201は、認可処理を省略するDCの数をmin(k−1、n−k)以下の値に決定し、決定した値をnから引いた値を、認可処理を行うDCの数として決定することとしてもよい。
CPU201は、このように認可処理を省略するDCの数を決定することで、セキュリティを保ちつつ、処理にかかる時間を軽減することができる。
本実施形態では、CPU201は、認可処理を要するDCの数をmax(n−k+1、k)=max(4−3+1、3)=max(2、3)=3に決定し、認可処理を省略するDCの数を4−3=1に決定するものとする。
認可処理を行うDCの数がnの場合、処理時間を削減する効果がないため、CPU201は、認可処理を行うDCの数をmax(n−k+1、k)以上でn未満の値に決定することとしてもよい。また、CPU201は、認可処理を省略するDCの数をmin(k−1、n−k)以下で1以上の値に決定することとしてもよい。
From the above, the
Further, the
The
In the present embodiment, the
When the number of DCs that perform the authorization process is n, there is no effect of reducing the processing time, so the
S502において、CPU201は、各DC内の認可要求サーバの通信時間を取得する。
本実施形態では、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれの認可要求サーバについて、以下の処理を行う。即ち、CPU201は、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間を、認可要求サーバの通信時間として取得することとする。この場合、取得される認可要求サーバの通信時間は、認可処理の省略により削減できる通信時間である。そして、CPU201は、S503で、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、認可処理の省略により削減できる通信時間が大きいものから順に、認可要求処理を省略する認可要求サーバを決定することとなる。それにより、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバが行う通信の通信時間の削減の量を最も大きくすることができる。
また、CPU201は、認可要求サーバと制御サーバ101との間の通信に要する時間と、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間と、の和を、認可要求サーバの通信時間として取得することとしてもよい。そして、CPU201は、S503で、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、通信時間が大きいものから順に、認可要求処理を省略する認可要求サーバとして決定することとなる。それにより、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、最も通信に時間を要する認可要求サーバの通信時間を削減できる。
In step S502, the
In the present embodiment, the
In addition, the
また、オブジェクト管理システムは、n個のオブジェクト片のうちk個のオブジェクト片についての操作を完了すれば、オブジェクトの操作は、完了することができる。そのため、オブジェクトの操作を最も早く完了させるためには、オブジェクト管理システムは、n個のオブジェクト片についての操作要求のうち、k個が最も早く完了するようにすればよい。
各オブジェクト片についての操作は、並列して行われる。そのため、k個のオブジェクト片についての操作の完了に要する時間は、k番目に完了するオブジェクト片についての操作の完了に要する時間と等しくなる。即ち、n個のオブジェクト片についての操作要求のうち、k番目に完了する操作要求に係る通信時間が最小となる場合、オブジェクトの操作を最も早く完了することになる。
また、オブジェクト片についての操作要求に係る処理のうち通信処理は、他の処理よりも、多くの時間を要する場合がある。そのため、オブジェクト片についての操作要求に係る通信処理に要する時間が小さいほど、オブジェクト片についての操作要求に係る処理は、早く完了する。本実施形態では、オブジェクト片についての操作要求に係る通信処理は、認可要求サーバを介して行われるため、認可要求サーバが行う通信処理と同視しうる。
Further, when the object management system completes the operation for k object pieces among the n object pieces, the object operation can be completed. Therefore, in order to complete the operation of the object earliest, the object management system may complete k earliest among the operation requests for n object pieces.
Operations on each object piece are performed in parallel. Therefore, the time required for completing the operation for the k object pieces is equal to the time required for completing the operation for the kth object piece. That is, of the operation requests for n object pieces, the object operation is completed earliest when the communication time related to the k-th operation request is minimized.
Of the processes related to the operation request for the object piece, the communication process may require more time than the other processes. Therefore, the smaller the time required for the communication process related to the operation request for the object piece, the earlier the process related to the operation request for the object piece is completed. In the present embodiment, since the communication process related to the operation request for the object piece is performed via the authorization request server, it can be regarded as the communication process performed by the authorization request server.
そこで、CPU201は、以下のような処理を行ってもよい。CPU201は、認可要求サーバと制御サーバ101との間の通信に要する時間と、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間と、の和を、認可要求処理を行う場合の認可要求サーバの通信時間として取得する。更に、CPU201は、認可要求サーバと制御サーバ101との間の通信に要する時間を、認可要求サーバの認可要求処理を省略する場合の認可要求サーバの通信時間として取得する。そして、S503で、CPU201は、取得した認可要求サーバの通信時間に基づいて、次のような処理を行う。即ち、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれの通信時間のうち、最小のものから数えてk番目の順位の値が最も小さくなるように、認可要求処理を省略する認可要求サーバを決定することとしてもよい。この処理については、図5で後述する。それにより、CPU201は、オブジェクトの操作完了に要する時間を最短にすることができる。
Therefore, the
本実施形態では、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれと通信を行い、通信に要する時間を測定することで、複数の認可要求サーバのそれぞれの通信時間を取得することとする。
また、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれを介して制御サーバ101と通信を行い、通信に要する時間を測定することもできる。その場合、CPU201は、複数の認可要求サーバのそれぞれと制御サーバ101との通信時間と、複数の認可要求サーバのそれぞれとメタデータ管理サーバ103との通信時間と、の和を取得することになる。
また、CPU201は、以下のようにして各認可要求サーバの通信時間を取得してもよい。複数の認可要求サーバのそれぞれは、メタデータ管理サーバ103と実際に通信し、通信に要する時間を測定することとしてもよい。そして、各認可要求サーバは、測定した通信に要する時間をメタデータ管理サーバ103に送信する。それにより、CPU201は、受信した各認可要求サーバの通信時間を、各認可要求サーバの通信時間として取得することとしてもよい。また、複数の認可要求サーバのそれぞれは、制御サーバ101と実際に通信し、通信に要する時間を測定し、メタデータ管理サーバ103に測定した時間の情報を送信することもできる。
In the present embodiment, the
The
Further, the
また、制御サーバ101が、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれを介してメタデータ管理サーバ103と実際に通信し通信に要する時間を測定することとしてもよい。その場合、制御サーバ101は、複数の認可要求サーバのそれぞれと制御サーバ101との通信時間と、複数の認可要求サーバのそれぞれとメタデータ管理サーバ103との通信時間と、の和を取得することになる。そして、制御サーバ101は、取得した時間の情報をメタデータ管理サーバ103に送信することとしてもよい。
また、予め補助記憶装置203等に記憶されている設定データ等に各認可要求サーバの通信時間が記録されていることとして、CPU201は、設定データを読み込むことで各認可要求サーバの通信時間を取得することとしてもよい。
本実施形態では、CPU201は、DC1〜4にそれぞれ対応する認可要求サーバ104、106、108、110の通信時間を取得することになる。本実施形態では、DC4内の認可要求サーバ110は、認可要求サーバ104、106、108、110のうちでメタデータ管理サーバ103との通信に最も時間を要する認可要求サーバであるとする。
Further, the
In addition, as the communication time of each authorization request server is recorded in the setting data stored in the
In the present embodiment, the
S503において、CPU201は、S501で決定した認可処理を省略可能なDCの数とS502で取得したオブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれの通信時間とに基づいて、認可処理を省略するDCを決定する。
より具体的には、CPU201は、オブジェクト管理システム内の複数の認可要求サーバのうち、S502で取得した通信時間の長さが最大のものからS501で決定した数の分を、認可要求処理を省略する認可要求サーバとして決定する。そして、CPU201は、決定した認可要求処理を省略する認可要求サーバに対応するDCを、認可処理を省略するDCとして決定する。
また、CPU201は、S502で、認可要求サーバと制御サーバ101との間の通信に要する時間と、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間と、の和を、認可要求サーバの通信時間として取得した場合も同様の処理を行う。
In S <b> 503, the
More specifically, the
In step S <b> 502, the
図5は、認可要求処理を省略する認可要求サーバの決定処理の一例を示すフローチャートである。図5は、S502で、認可要求処理を行う場合の認可要求サーバの通信時間と、認可要求処理を省略する場合の認可要求サーバの通信時間と、が取得された場合のS503の処理の一例を示す。認可要求処理を行う場合の認可要求サーバの通信時間の一例としては、認可要求サーバと制御サーバ101との間の通信に要する時間と、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間と、の和がある。認可要求処理を省略する場合の認可要求サーバの通信時間の一例としては、認可要求サーバと制御サーバ101との間の通信に要する時間がある。
S301において、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、S501で決定した認可処理を省略可能なDCの数だけ、認可要求処理を省略する認可要求サーバを選択する。
S302において、CPU201は、S301で決定した認可要求サーバについての認可要求処理を省略する場合の通信時間を、S502で取得した認可要求処理を省略する場合の認可要求サーバの通信時間から取得する。また、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、その他の認可要求サーバについての認可要求処理を行う場合の通信時間を、S502で取得した認可要求処理を行う場合の認可要求サーバの通信時間から取得する。
FIG. 5 is a flowchart illustrating an example of an authorization request server determination process that omits the authorization request process. FIG. 5 shows an example of the processing of S503 when the communication request server's communication time when the authorization request processing is performed and the communication request server's communication time when the authorization request processing is omitted are acquired in S502. Show. As an example of the communication time of the authorization request server when performing the authorization request process, the time required for the communication between the authorization request server and the
In step S <b> 301, the
In S302, the
S303において、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれについてS302で取得した通信時間のうち、k番目に小さい値を取得する。CPU201は、取得した値と紐付けて、S301で選択した認可要求サーバの情報を主記憶装置202等に記憶する。
S304において、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバからS501で決定された数の認可要求サーバを選択する場合の全ての組み合わせについて、S301〜S303の処理を行ったか否かを判定する。CPU201は、全ての組み合わせについてS301〜S303の処理を行ったと判定した場合、S305の処理に進む。CPU201は、全ての組み合わせについてS301〜S303の処理を行っていないと判定した場合、S301の処理に進む。
S305において、CPU201は、S303で取得した通信時間から最小の通信時間を特定し、特定した値に対応するS301で選択した認可要求処理を省略する認可要求サーバを特定する。より具体的には、CPU201は、特定した値と紐付けて主記憶装置202等に記憶した認可要求サーバの情報を取得することで、特定した値に対応するS301で選択した認可要求サーバを特定する。そして、CPU201は、特定した認可要求サーバを、認可要求処理を省略する認可要求サーバとして決定する。
以上、図5の処理により、CPU201は、オブジェクトの操作を最も早く完了させるように、認可要求処理を省略する認可要求サーバを決定することができる。
In S303, the
In S304, the
In S305, the
As described above, the
本実施形態では、S503で、CPU201は、DC1〜4のうち、対応する認可要求サーバの通信に要する時間が大きいものから1つを、認可処理を省略するDCに決定する。最も通信に要する時間が大きい認可要求サーバに対応するDCはDC4なので、CPU201は、S503で、DC4を、認可処理を省略するDCとして決定する。CPU201は、各DCについての認可処理の要否を、テーブル等のデータ形式で管理することとする。図6は、各DCについての認可処理の要否の管理に要されるテーブルの一例である。
S504において、CPU201は、オブジェクト管理システムの認可要求サーバのそれぞれに対して、それぞれの認可要求サーバが認可要求処理を省略する認可要求サーバであるか否かを示す情報である認可要否情報を送信する。これにより、各認可要求サーバは、送信された認可要否情報に基づいて、認可要求処理を実行するか否かを把握することができるようになる。
より具体的には、CPU201は、S503で認可処理を省略するDCとして決定されたDCに対応する認可要求サーバには、認可要求処理の実行を要しないことを示す情報を認可要否情報として送信する。そして、CPU201は、S503で認可処理を省略するDCとして決定されたDCに対応する認可要求サーバ以外の認可要求サーバには、認可要求処理の実行を要することを示す情報を認可要否情報として送信する。S504の処理は、要否情報送信処理の一例である。
また、CPU201は、全ての認可要求サーバのそれぞれに対して、全ての認可要求サーバのそれぞれが認可要求処理を省略するか否かを示す情報を、認可要否情報として、送信することとしてもよい。
In the present embodiment, in S503, the
In step S504, the
More specifically, the
Further, the
本実施形態では、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバそれぞれの通信時間に基づいて、認可処理を省略するDCを決定した。しかし、CPU201は、各認可要求サーバの通信速度に基づいて、認可処理を省略するDCを決定してもよい。その場合、CPU201は、S502において、各認可要求サーバから通信速度の情報を取得する。そして、CPU201は、S503において、オブジェクト管理システム内の認可要求サーバのうち、S502で取得した通信速度が小さいものからS501で決定した数の分を、認可要求処理を省略する認可要求サーバとして決定することになる。それにより、CPU201は、通信時間の情報を取得できず、通信速度の情報を取得できる場合に、適切に認可要求処理を省略する認可要求サーバを決定できる。
本実施形態では、図4の処理を行う主体は、メタデータ管理サーバ103であるとした。しかし、認可処理を省略するDCを決定する処理を行う主体は、メタデータ管理サーバ103に限られず、制御サーバ101でもよいし、他の外部装置であってもよい。
In the present embodiment, the
In this embodiment, it is assumed that the entity that performs the processing of FIG. 4 is the
本実施形態では、メタデータ管理サーバ103は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれに対して、それぞれの認可要求サーバが認可要求処理を省略する認可要求サーバであるか否かを示す情報を送信するものとする。しかし、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれは、S504で送信されるものと同様の情報を、予め補助記憶装置等に保管していることとしてもよい。
CPU201は、オブジェクトの操作が行われる前に、図4の処理を行っているものとする。また、CPU201は、月ごと、週ごと等の定期的に図4の処理を行うことで、オブジェクト管理システム内の複数の認可要求サーバのそれぞれに認可要求処理を省略するか否かを示す情報を送信することとしてもよい。
本実施形態では、オブジェクト管理システムは、制御サーバを一台含むこととするが、複数台含むこととしてもよい。本実施形態のオブジェクト管理システムを複数の会社で使用する場合には、会社毎に互いに異なる制御サーバを使用することが望ましい。複数の制御サーバを使用する場合、CPU201は、S502において、それぞれの制御サーバについての通信時間を取得することとし、S503において、それぞれの制御サーバ毎に認可処理を省くDCを決定することとしてもよい。
In this embodiment, the
It is assumed that the
In the present embodiment, the object management system includes one control server, but may include a plurality of control servers. When the object management system of this embodiment is used in a plurality of companies, it is desirable to use different control servers for each company. When using a plurality of control servers, the
図7は、オブジェクト管理システムによるオブジェクトの保管処理の一例を示すフローチャートである。
S701において、クライアントPC100の認証要求部401は、ユーザID及びパスワードを認証サーバ102に送信し、ユーザについての認証要求を送信する。S701におけるクライアントPC100の処理は、認証要求送信処理の一例である。
認証サーバ102の認証部421は、クライアントPC100により送信されたユーザID及びパスワードと、認証情報記憶部423に記憶された認証情報と、を比較することでユーザの認証を行う。
より具体的には、認証部421は、認証情報記憶部423に記憶された認証情報の中に、送信されたユーザIDとパスワードとの組み合わせが存在するか否かを判定することでユーザの認証処理を行う。認証部421は、認証情報記憶部423に記憶された認証情報の中に、送信されたユーザIDとパスワードとの組み合わせが存在すると判定した場合、ユーザの認証ができたものとする。認証部421は、認証情報記憶部423に記憶された認証情報の中に、送信されたユーザIDとパスワードとの組み合わせが存在しないと判定した場合、ユーザの認証ができなかったものとする。認証部421は、ユーザの認証ができた場合、SIDをクライアントPC100に送信する。
FIG. 7 is a flowchart illustrating an example of object storage processing by the object management system.
In step S <b> 701, the
The
More specifically, the
S702において、保管/取得要求部402は、保管対象のオブジェクトのデータとオブジェクト名とオブジェクトの保管先の仮想パスとS701で送信されたSIDとを含むオブジェクトの保管要求を、制御サーバ101に送信する。制御サーバ101の制御部411は、クライアントPC100からオブジェクトの保管要求を受信した場合、受信した保管要求に含まれる保管対象のオブジェクトのデータを解析し、オブジェクト情報(データサイズ、タイプ等)を取得する。
S703において、制御部411は、オブジェクト名とオブジェクトの保管先の仮想パスとSIDとS702で取得したオブジェクト情報とを含むオブジェクトの保管先問い合わせを、メタデータ管理サーバ103に送信する。
In step S <b> 702, the storage /
In step S <b> 703, the
S704において、メタデータ管理サーバ103の分散先指定部431は、S703でオブジェクトの保管先問い合わせを受信した場合、以下の処理を行う。即ち、分散先指定部431は、メタデータ記憶部433に記憶されている権限情報から、受信した保管先問い合わせに含まれる仮想パスに書き込み可能なロールIDを抽出する。そして、分散先指定部431は、抽出したロールIDと受信した保管先問い合わせに含まれるSIDとを含むロールの妥当性確認要求を、認証サーバ102に送信する。S704における分散先指定部431の処理は、確認要求送信処理の一例である。
認証サーバ102のロール確認部422は、ロールの妥当性確認要求を受信した場合、認証情報記憶部423に記憶されているセッション情報から、受信した妥当性確認要求に含まれるSIDに対応するユーザを特定する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に基づいて、特定したユーザが妥当性確認要求に含まれるロールIDに対応するロールを有しているか否かを確認する。
In S704, when the distribution
When the
より具体的には、ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在しているか否かを判定する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在していると判定した場合、ユーザのロールが妥当であると確認する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在していないと判定した場合、ユーザのロールが妥当ではないと確認する。
ロール確認部422は、ユーザのロールの妥当性確認の結果をメタデータ管理サーバ103に送信する。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当であることを示す結果である場合、S705の処理に進む。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当ではないことを示す結果である場合、図7の処理を終了する。
More specifically, the
The
S705において、分散先指定部431は、補助記憶装置203等に記憶されている設定ファイルから保管対象のオブジェクトが分割される数nを取得する。分散先指定部431は、n個に分割されるオブジェクトのオブジェクト片のそれぞれについて、オブジェクト片IDと保管要求先(認可要求サーバ、保管先のパス)とSSリクエストID(以下では、SSRIDという)とを決定する。そして、分散先指定部431は、S704において受信したオブジェクト名とオブジェクトの保管先の仮想パスと、決定したオブジェクト片IDと保管要求先とSSRIDとを保管要求先情報として、補助記憶装置203等に記憶する。本実施形態では、分散先指定部431は、4つの保管要求先情報を記憶することになる。
S706において、分散先指定部431は、オブジェクトのオブジェクト片それぞれについての保管要求先情報を、制御サーバ101に送信する。オブジェクト片の保管要求先情報は、例えば、オブジェクト片IDとオブジェクト片の保管要求先の認可要求サーバの情報と保管先パスの情報とSSRIDとの組み合わせである。本実施形態では、分散先指定部431は、4個のオブジェクト片の保管要求先情報を制御サーバ101に送信することになる。S706の処理は、要求先送信処理の一例である。
S707において、分割部412は、k(k≦n)個のオブジェクト片から元のオブジェクトが復元できるように、保管対象のオブジェクトをn個に分割する。本実施形態では、分割部412は、3個のオブジェクト片から元のオブジェクトが復元できるように、保管対象のオブジェクトを4個のオブジェクト片に分割する。
In step S <b> 705, the distribution
In step S <b> 706, the distribution
In step S <b> 707, the dividing
S708において、制御部411は、S707で分割された保管対象のオブジェクトのオブジェクト片のそれぞれについて、以下の処理を行う。即ち、制御部411は、S706で送信された保管要求先情報で指定された保管要求先である認可要求サーバに対して、オブジェクト片のデータとオブジェクト片IDとSSRIDと保管先パスの情報とを含むオブジェクト片の保管要求を送信する。本実施形態では、制御部411は、4つのオブジェクト片の保管要求を、それぞれ認可要求サーバ104、106、108、110に送信する。S708の処理は、オブジェクトの操作要求送信処理の一例である。
S709において、S708でオブジェクト片の保管要求を送信された認可要求サーバの認可要求部は、以下の処理を行う。即ち、認可要求部は、S504で送信された認可要求処理を省略する認可要求サーバであるか否かを示す情報に基づいて、送信された保管要求の認可要求をメタデータ管理サーバ103に送信するか否か(送信された保管要求の正当性をメタデータ管理サーバ103に確認する処理を実行するか否か)を判定する。また、認可要求部は、予め補助記憶装置等に保管された認可要求処理を行うか否かを示す情報に基づいて、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信するか否かを判定することとしてもよい。
In step S708, the
In S709, the authorization request unit of the authorization request server that has transmitted the object piece storage request in S708 performs the following processing. That is, the authorization request unit transmits an authorization request for the transmitted storage request to the
より具体的には、認可要求部は、S504で送信された情報が、認可要求処理を省略する認可要求サーバであることを示す情報である場合、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信しないと判定する。また、認可要求部は、S504で送信された情報が、認可要求処理を行う認可要求サーバであることを示す情報である場合、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信すると判定する。
そして、認可要求部は、S504で送信された情報に基づいて、送信された保管要求の認可要求をメタデータ管理サーバ103に送信すると判定した場合、S710の処理に進む。また、認可要求部は、S504で送信された情報に基づいて、オブジェクトのオブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信しないと判定した場合、S711の処理に進む。
本実施形態において、図6に示すように、認可処理を省略するDCは、DC4であり、その他のDCは、認可処理を行う認可要求サーバである。そのため、認可要求サーバ104、106、108は、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信すると判定することになる。また、認可要求サーバ110は、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信しないと判定することになる。
More specifically, when the information transmitted in S504 is information indicating that the authorization request server omits the authorization request processing, the authorization request unit manages the authorization request for the object piece storage request using metadata management. It determines with not transmitting to the
If the authorization request unit determines that the authorization request for the transmitted storage request is to be transmitted to the
In this embodiment, as shown in FIG. 6, the DC that omits the authorization process is DC4, and the other DCs are authorization request servers that perform the authorization process. Therefore, the
S710において、S709で認可要求処理を送信すると判定した認可要求部は、S708で受信した保管要求に含まれるオブジェクト片IDとSSRIDと保管先パスの情報とを含む保管要求についての認可要求を、メタデータ管理サーバ103に送信する。S710におけるS709で認可要求処理を送信すると判定した認可要求部の処理は、認可要求送信処理の一例である。
認可部432は、受信した認可要求に含まれるオブジェクト片ID及びSSRID、保管先パスの情報と、認可要求を送信した認可要求サーバの情報と、S705で保管要求先情報として保管された情報と、に基づいて、オブジェクト片の保管要求についての認可処理を行う。より具体的には、認可部432は、S705で保管要求先情報として保管された情報の中に、受信した認可要求に含まれるオブジェクト片ID及びSSRID、保管先パスの情報と、認可要求を送信した認可要求サーバの情報と、の組み合わせに合致するものがあるか否かを判定する。認可部432は、合致するものが存在すると判定した場合、受信した認可要求に対応する保存要求を認可できたものとし、合致するものが存在しないと判定した場合、受信した認可要求に対応する保存要求を認可できなかったものとする。
In S710, the authorization request unit that has determined that the authorization request process is transmitted in S709 transmits the authorization request for the storage request including the object piece ID, the SSRID, and the storage path information included in the storage request received in S708 to the meta request. Transmit to the
The
認可部432は、認可処理の結果を、認可要求を送信した認可要求サーバに送信する。
認可要求部は、メタデータ管理サーバ103から認可処理の結果、保管要求が認可できなかったことを示す情報を受信した場合、制御サーバ101からの保管要求についての認可が失敗したことを示す情報を制御サーバ101に送信する。制御部411は、n−k+1個以上の設定された数の保管要求についての認可が失敗したことを示す情報を受信した場合、オブジェクトの保管要求の正当性が確認できなかったものとして、図7の処理を終了する。
The
When the authorization request unit receives information indicating that the storage request cannot be authorized as a result of the authorization process from the
S711において、S709で認可要求を送信しないと判定された認可要求サーバは、保管先パスの情報に基づき、S708で受信した保管要求に含まれるオブジェクト片のデータの保管を、同一DC内の保管サーバに要求する。また、S710で認可できたことを示す情報を受信した認可要求サーバも、同様に、S708で受信した保管要求に含まれるオブジェクト片のデータの保管を、同一DC内の保管サーバに要求する。
オブジェクト片のデータの保管を要求された保管サーバは、記憶部にオブジェクト片のデータを保管する。そして、保管サーバは、オブジェクト片の保管を要求してきた認可要求サーバに対して、保管処理の完了報告を送信する。
In S711, the authorization request server determined not to transmit the authorization request in S709 stores the data of the object piece included in the storage request received in S708 on the basis of the storage destination path information. To request. Similarly, the authorization request server that has received the information indicating that the authorization has been completed in S710 similarly requests the storage server in the same DC to store the data of the object piece included in the storage request received in S708.
The storage server requested to store the object piece data stores the object piece data in the storage unit. Then, the storage server transmits a storage processing completion report to the authorization request server that has requested storage of the object piece.
S712において、S711で保管処理の完了報告を受信した認可要求サーバは、受信した保管処理の完了報告を、制御サーバ101に送信する。制御サーバ101は、受信した保管処理の完了報告を、メタデータ管理サーバ103に送信する。
メタデータ管理サーバ103は、制御サーバ101から受信した完了報告がk個以上の設定された数に達したら、オブジェクトの保管完了を示す情報を、制御サーバ101に送信する。メタデータ管理サーバ103は、オブジェクト片全てについての保管完了を待つ必要はない。
S713において、制御サーバ101は、クライアントPC100にオブジェクトの保管が完了したことを示す情報を送信する。
In S 712, the authorization request server that has received the storage process completion report in S 711 transmits the received storage process completion report to the
When the number of completion reports received from the
In step S713, the
図8は、オブジェクト管理システムによるオブジェクトの取得処理の一例を示すフローチャートである。
S801の処理は、S701と同様である。
S802において、保管/取得要求部402は、オブジェクト名とオブジェクトの取得元の仮想パスとS801で送信されたSIDとを含むオブジェクトの取得要求を、制御サーバ101に送信する。
S803において、制御部411は、オブジェクト名とオブジェクトの取得元の仮想パスとSIDとを含むオブジェクトの取得元問い合わせを、メタデータ管理サーバ103に送信する。
FIG. 8 is a flowchart illustrating an example of object acquisition processing by the object management system.
The process of S801 is the same as that of S701.
In step S <b> 802, the storage /
In step S <b> 803, the
S804において、分散先指定部431は、S803でオブジェクトの取得元問い合わせを受信した場合、以下の処理を行う。即ち、分散先指定部431は、メタデータ記憶部433に記憶されている権限情報から、受信した取得元問い合わせに含まれる仮想パスに読み出し可能なロールIDを抽出する。そして、分散先指定部431は、抽出したロールIDと受信した取得元問い合わせに含まれるSIDとを含むロールの妥当性確認要求を、認証サーバ102に送信する。
認証サーバ102のロール確認部422は、ロールの妥当性確認要求を受信した場合、認証情報記憶部423に記憶されているセッション情報から、受信した妥当性確認要求に含まれるSIDに対応するユーザを特定する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に基づいて、特定したユーザが妥当性確認要求に含まれるロールIDに対応するロールを有しているか否かを確認する。
In S804, the distribution
When the
より具体的には、ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在しているか否かを判定する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在していると判定した場合、ユーザのロールが妥当であると確認する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在していないと判定した場合、ユーザのロールが妥当ではないと確認する。
ロール確認部422は、ユーザのロールの妥当性確認の結果をメタデータ管理サーバ103に送信する。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当であることを示す結果である場合、S805の処理に進む。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当ではないことを示す結果である場合、図8の処理を終了する。
More specifically, the
The
S805において、分散先指定部431は、補助記憶装置203等に記憶されている設定ファイルから取得対象のオブジェクトがいくつのオブジェクト片に分割されて保管されているかを示す数nを取得する。分散先指定部431は、S705において補助記憶装置203等に記憶された保管要求先情報から、オブジェクト名及びオブジェクトの仮想パスを検索して、取得対象のオブジェクトのn個のオブジェクト片それぞれについて、オブジェクト片IDと取得要求先(認可要求サーバ、取得元のパス)を取得する。分散先指定部431は、オブジェクト片それぞれについて、SSリクエストIDを決定する。そして、分散先指定部431は、取得した情報と決定したSSRIDとを取得要求先情報として、補助記憶装置203等に記憶する。本実施形態では、分散先指定部431は、4つの取得要求先情報を記憶することになる。
S806において、分散先指定部431は、取得対象のオブジェクトのオブジェクト片IDとオブジェクト片の取得要求先の認可要求サーバの情報と取得元パスの情報とSSRIDとを含むオブジェクトのオブジェクト片の取得要求先情報を、制御サーバ101に送信する。本実施形態では、分散先指定部431は、4個のオブジェクト片の取得要求先情報を制御サーバ101に送信することになる。
In step S <b> 805, the distribution
In S806, the distribution
S807において、制御部411は、S806で受信した取得要求先情報で指定された取得元に対応する認可要求サーバに対して、オブジェクト片IDとSSRIDと取得元パスの情報とを含むオブジェクト片の取得要求を送信する。本実施形態では、制御部411は、4つのオブジェクト片の取得要求を、それぞれ認可要求サーバ104、106、108、110に送信する。
S808において、S807でオブジェクト片の取得要求を送信された認可要求サーバの認可要求部は、以下の処理を行う。即ち、認可要求部は、S504で送信された認可要求処理を省略する認可要求サーバであるか否かを示す情報に基づいて、送信された取得要求の認可要求をメタデータ管理サーバ103に送信するか否か(送信された取得要求の正当性をメタデータ管理サーバ103に確認する処理を実行するか否か)を判定する。また、認可要求部は、予め補助記憶装置等に保管された認可要求処理を行うか否かを示す情報に基づいて、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信するか否かを判定することとしてもよい。
In step S807, the
In S808, the authorization request unit of the authorization request server that has received the object piece acquisition request in S807 performs the following processing. That is, the authorization request unit transmits an authorization request for the acquired acquisition request to the
より具体的には、認可要求部は、S504で送信された情報が、認可要求処理を省略する認可要求サーバであることを示す情報である場合、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信しないと判定する。また、認可要求部は、S504で送信された情報が、認可要求処理を行う認可要求サーバであることを示す情報である場合、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信すると判定する。
そして、認可要求部は、送信されたオブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信すると判定した場合、S809の処理に進む。また、認可要求部は、オブジェクトのオブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信しないと判定した場合、S810の処理に進む。
本実施形態において、図6に示すように、認可処理を省略するDCは、DC4であり、その他のDCは、認可処理を行う認可要求サーバである。そのため、認可要求サーバ104、106、108は、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信すると判定することになる。また、認可要求サーバ110は、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信しないと判定することになる。
More specifically, when the information transmitted in S504 is information indicating that the authorization request server omits the authorization request processing, the authorization request unit manages the authorization request for the object piece acquisition request by metadata management. It determines with not transmitting to the
If the authorization request unit determines to send the authorization request for the acquired object piece acquisition request to the
In this embodiment, as shown in FIG. 6, the DC that omits the authorization process is DC4, and the other DCs are authorization request servers that perform the authorization process. Therefore, the
S809において、S808で認可要求処理を送信すると判定した認可要求部は、S807で受信した取得要求に含まれるオブジェクト片IDとSSRIDと取得元パスの情報とを含む取得要求についての認可要求を、メタデータ管理サーバ103に送信する。
認可部432は、受信した認可要求に含まれるオブジェクト片ID及びSSRID、取得元パスの情報と、認可要求を送信した認可要求サーバの情報と、S805で取得要求先情報として保管された情報と、に基づいて、オブジェクト片の取得要求についての認可処理を行う。より具体的には、認可部432は、S805で取得要求先情報として保管された情報の中に、受信した認可要求に含まれるオブジェクト片ID及びSSRID、取得元パスの情報と、認可要求を送信した認可要求サーバの情報と、の組み合わせに合致するものがあるか否かを判定する。認可部432は、合致するものが存在すると判定した場合、受信した認可要求に対応する取得要求を認可できたものとし、合致するものが存在しないと判定した場合、受信した認可要求に対応する取得要求を認可できなかったものとする。
In S809, the authorization request unit that has determined that the authorization request process is transmitted in S808 transmits an authorization request for the acquisition request including the object piece ID, the SSRID, and the acquisition source path information included in the acquisition request received in S807. Transmit to the
The
認可部432は、認可処理の結果を、認可要求を送信した認可要求サーバに送信する。
認可要求部は、メタデータ管理サーバ103から認可処理の結果、オブジェクト片の取得要求が認可できなかったことを示す情報を受信した場合、制御サーバ101からのオブジェクト片の取得要求についての認可が失敗したことを示す情報を送信する。制御部411は、n−k+1個以上の設定された数のオブジェクト片の取得要求についての認可が失敗したことを示す情報を受信した場合、オブジェクトの取得要求の正当性が確認できなかったものとして、図8の処理を終了する。
The
When the authorization request unit receives information indicating that the object piece acquisition request could not be authorized as a result of the authorization process from the
S810において、S808で認可要求を送信しないと判定された認可要求サーバは、取得元パスの情報に基づき、S807で受信した取得要求に含まれるオブジェクト片IDに対応するオブジェクト片のデータの取得を、同一DC内の保管サーバに要求する。また、及びS809で認可できたことを示す情報を受信した認可要求サーバも、同様に、S807で受信した取得要求に含まれるオブジェクト片IDに対応するオブジェクト片のデータの取得を、同一DC内の保管サーバに要求する。
オブジェクト片のデータの取得を要求された保管サーバは、記憶部から該当するオブジェクト片のデータを取得する。そして、保管サーバは、オブジェクト片の保管を要求してきた認可要求サーバに対して、取得したオブジェクト片のデータを送信する。
In S810, the authorization request server determined not to transmit the authorization request in S808 acquires the data of the object piece corresponding to the object piece ID included in the acquisition request received in S807 based on the acquisition source path information. Request to storage server in the same DC. Similarly, the authorization request server that has received the information indicating that the authorization has been performed in S809 can also acquire the data of the object piece corresponding to the object piece ID included in the acquisition request received in S807 in the same DC. Request the storage server.
The storage server requested to acquire the data of the object piece acquires the data of the corresponding object piece from the storage unit. Then, the storage server transmits the acquired object piece data to the authorization request server that has requested the storage of the object piece.
S811において、S810でオブジェクト片のデータを受信した認可要求サーバは、受信したオブジェクト片のデータを、制御サーバ101に送信する。制御サーバ101の復元部413は、受信したオブジェクト片のデータの個数がk個に達したら、オブジェクト片のデータから元のオブジェクトを復元する。
S812において、制御サーバ101は、S811で復元されたオブジェクトのデータを、クライアントPC100に送信し、メタデータ管理サーバ103にオブジェクトの取得完了を示す情報を送信する。
In S811, the authorization request server that has received the object piece data in S810 transmits the received object piece data to the
In step S812, the
以上、本実施形態の処理により、オブジェクト管理システムは、オブジェクトの操作に要する通信時間の増大を防ぐことができる。 As described above, according to the processing of this embodiment, the object management system can prevent an increase in communication time required for object operation.
<実施形態2>
実施形態1では、オブジェクト管理システムに含まれる各DCには、それぞれ1つ保管サーバが含まれることとした。即ち、各DCと実際のオブジェクト片の保管先である保管サーバとが1対1で対応している。そのため、認可処理を要しないDCを決定することは、認可処理を要しない保管サーバを決定することとみなすことができる。即ち、オブジェクト管理システムは、認可処理を省略するDCを決定することで、認可処理を要しない保管サーバを決定することができる。このように、オブジェクト管理システムは、適切に認可処理を要しない保管サーバを決定することで、認可処理に係る通信時間の増大を防ぐことができる。保管サーバは、オブジェクト又はオブジェクト片を保管する保管手段の一例である。
しかし、DCは、複数の保管サーバを含む場合がある。このような場合、オブジェクト管理システムは、認可処理を省略するDCを決定することで、認可処理を要しない保管サーバを決定することができない。
図9は、本実施形態のオブジェクト管理システムのシステム構成の一例を示す図である。図9のシステム構成は、図1のシステム構成と比べて、A社内に制御サーバ101の代わりに、メタデータ管理サーバ120が含まれる点、DC1内に認証サーバ102とメタデータ管理サーバ103とが含まれない点、DC2内に、認可要求サーバ106の他に認可要求サーバ121が含まれる点、DC2内に認可要求サーバ121に接続される保管サーバ122、123が含まれる点、及びDC3、4がない点で異なる。即ち、DC2には、認可要求サーバが複数存在する。また、DC2内の認可要求サーバ121には、複数の保管サーバが接続されている。
本実施形態のオブジェクト管理システムの各構成要素のうち、図1と同じ番号が付されている構成要素のハードウェア構成及び機能構成の詳細は、実施形態1と同様である。メタデータ管理サーバ120のハードウェア構成は、図2のメタデータ管理サーバ103のハードウェア構成と同様である。また、メタデータ管理サーバ120の機能構成は、図3B、3C、3Dの制御サーバ101、認証サーバ102、メタデータ管理サーバ103の機能構成要素を全て含む構成である。即ち、メタデータ管理サーバ120は、制御サーバ101、認証サーバ102、メタデータ管理サーバ103の役割を全て担うこととなる。認可要求サーバ121のハードウェア構成及び機能構成は、認可要求サーバ104、106と同様である。保管サーバ122、123のハードウェア構成及び機能構成は、保管サーバ105、107と同様である。
<Embodiment 2>
In the first embodiment, each DC included in the object management system includes one storage server. That is, there is a one-to-one correspondence between each DC and the storage server that is the actual storage location of the object piece. Therefore, determining a DC that does not require authorization processing can be regarded as determining a storage server that does not require authorization processing. That is, the object management system can determine a storage server that does not require an authorization process by determining a DC that omits the authorization process. Thus, the object management system can prevent an increase in communication time related to the authorization process by appropriately determining a storage server that does not require the authorization process. The storage server is an example of a storage unit that stores an object or an object piece.
However, the DC may include multiple storage servers. In such a case, the object management system cannot determine a storage server that does not require an authorization process by determining a DC that omits the authorization process.
FIG. 9 is a diagram illustrating an example of a system configuration of the object management system according to the present embodiment. The system configuration of FIG. 9 is different from the system configuration of FIG. 1 in that a
Among the components of the object management system of this embodiment, the details of the hardware configuration and functional configuration of the components to which the same numbers as those in FIG. 1 are assigned are the same as those of the first embodiment. The hardware configuration of the
本実施形態の処理を説明する。本実施形態では、オブジェクトをいくつのオブジェクト片に分割するかを示す数n=3、オブジェクトの復元に必要なオブジェクト片の数k=2とし、認可要求サーバ104、106、121のうちメタデータ管理サーバ120との通信に要する時間が最も大きい認可要求サーバを認可要求サーバ104とする。
まず、メタデータ管理サーバ120のCPUは、S501と同様の処理で、kとnとに基づいて、認可処理を要しない保管サーバの数を決定する。
メタデータ管理サーバ120のCPUは、実施形態1と同様に、認可処理を行う保管サーバの数をmax(n−k+1、k)以上の値に決定し、決定した値をnから引いた値を、認可処理を省略する保管サーバの数として決定する。メタデータ管理サーバ120のCPUは、認可処理を要する保管サーバの数をmax(3−2+1、2)=2以上の値に決定する。メタデータ管理サーバ120のCPUは、認可処理を要する保管サーバの数が3の場合、処理時間を削減する効果がないため、認可処理を要する保管サーバの数を2に決定する。そして、メタデータ管理サーバ120のCPUは、認可処理を要しない保管サーバの数を、n−2=3−2=1に決定する。
メタデータ管理サーバ120のCPUは、各DC内の認可要求サーバの通信時間を取得する。メタデータ管理サーバ120との通信に要する時間が最も大きい認可要求サーバは認可要求サーバ104であるため、メタデータ管理サーバ120のCPUは、認可処理を要しない保管サーバを、DC1にふくまれる保管サーバ105に決定する。
The processing of this embodiment will be described. In the present embodiment, the number n indicating how many object pieces are divided into n = 3, the number k of object pieces necessary for object restoration, k = 2, and metadata management among the
First, the CPU of the
As in the first embodiment, the CPU of the
The CPU of the
そして、メタデータ管理サーバ120のCPUは、DC2に3つの保管サーバ107、122、123が含まれているため、保管サーバ107、122、123のうち何れか2つを、認可処理を要する保管サーバに決定する。メタデータ管理サーバ120のCPUは、任意の決定方法で、保管サーバ107、122、123の何れか2つを、認可処理を要する保管サーバに決定してよい。メタデータ管理サーバ120のCPUは、例えば、保管サーバ107、122、123から2つをランダムに選択し、選択した保管サーバを、認可処理を要する保管サーバに決定してよいし、また、メタデータ管理サーバとの間の通信に要する時間が最小の認可要求サーバに対応する保管サーバを優先して2つ選択し、認可処理を要する保管サーバに決定してもよい。選択されなかった方の保管サーバは、オブジェクトの保管に利用されない保管サーバとなる。
CPU201は、オブジェクトのオブジェクト片を保管する保管サーバに対応する認可要求サーバそれぞれに対して、認可要求処理を要するか否かを示す認可要否情報を送信する。
Since the CPU of the
The
以上、本実施形態の処理により、オブジェクト管理システムは、DCに複数の認可要求サーバ、保管サーバが存在する場合でも、認可処理に係る通信時間や処理時間の増大を防ぐように、オブジェクト片の保管先を適切に決定することができる。
本実施形態では、オブジェクト管理システムは、2つの保管サーバに対応する認可要求サーバを含むとしたが、3つ以上の保管サーバに対応する認可要求サーバを含むこととしてもよい。また、本実施形態では、DC内に存在する2つの保管サーバが1つの認可要求サーバと接続されることとしたが、全ての保管サーバが1つの認可要求サーバと接続されることとしてもよいし、それぞれの保管サーバが1対1で別個の認可要求サーバと接続されることとしてもよい。また、本実施形態では、認可要求サーバと保管サーバとは、別個の装置であるとした。しかし、認可要求部と記憶部とを含む単一の装置が認可要求サーバと保管サーバとの処理を行うこととしてもよい。
As described above, according to the processing of this embodiment, the object management system stores object pieces so as to prevent an increase in communication time and processing time related to authorization processing even when there are a plurality of authorization request servers and storage servers in the DC. The destination can be determined appropriately.
In this embodiment, the object management system includes an authorization request server corresponding to two storage servers. However, the object management system may include an authorization request server corresponding to three or more storage servers. In the present embodiment, two storage servers existing in the DC are connected to one authorization request server, but all storage servers may be connected to one authorization request server. Each storage server may be connected to a separate authorization request server on a one-to-one basis. In the present embodiment, the authorization request server and the storage server are separate devices. However, a single device including the authorization request unit and the storage unit may perform processing of the authorization request server and the storage server.
<実施形態3>
実施形態1では、オブジェクト管理システムのDCは、認可要求サーバを1つ含むこととした。本実施形態では、オブジェクト管理システムが認可要求サーバを含まないDCを含む場合について説明する。
図10は、本実施形態のオブジェクト管理システムのシステム構成の一例を示す図である。図10のシステム構成は、図1のシステム構成と比べて、DC4に認可要求サーバ110が存在しない点で異なる。即ち、DC4には、保管サーバ111への操作要求についての認可処理を行う機能がない。
本実施形態のオブジェクト管理システムの各構成要素のハードウェア構成及び機能構成の詳細は、実施形態1と同様である。
<Embodiment 3>
In the first embodiment, the DC of the object management system includes one authorization request server. In the present embodiment, a case where the object management system includes a DC that does not include an authorization request server will be described.
FIG. 10 is a diagram illustrating an example of a system configuration of the object management system according to the present embodiment. The system configuration in FIG. 10 differs from the system configuration in FIG. 1 in that the
Details of the hardware configuration and functional configuration of each component of the object management system of this embodiment are the same as those of the first embodiment.
本実施形態の処理を説明する。本実施形態では、オブジェクトをいくつのオブジェクト片に分割するかを示す数n=4、オブジェクトの復元に必要なオブジェクト片の数k=3とし、DC1〜3のうちメタデータ管理サーバ103等との通信に要する時間が最も大きいDCをDC4とする。
まず、CPU201は、S501と同様の処理で、kとnとに基づいて、認可処理を要しない保管サーバの数を決定する。
CPU201は、実施形態1と同様に、認可処理を行う保管サーバの数をmax(n−k+1、k)以上の値に決定し、決定した値をnから引いた値を、認可処理を省略する保管サーバの数として決定する。CPU201は、認可処理を要する保管サーバの数をmax(4−3+1、3)=3以上の値に決定する。CPU201は、認可処理を要する保管サーバの数が4の場合、処理時間を削減する効果がないため、認可処理を要する保管サーバの数を3に決定する。そして、CPU201は、認可処理を要しない保管サーバの数を、n−3=4−3=1に決定する。
The processing of this embodiment will be described. In this embodiment, the number n indicating how many object pieces are divided into n = 4, the number k of object pieces necessary for object restoration is set to 3, and the
First, the
As in the first embodiment, the
CPU201は、認可処理を要しない保管サーバの数を決定したら、まず、認可機能を有しないDCに含まれる保管サーバ(認可要求サーバに接続されない保管サーバ)のうち、決定した数の保管サーバを、認可処理を要しない保管サーバとして決定する。本実施形態では、CPU201は、1つの保管サーバ111を、認可処理を要しない保管サーバとして決定する。そして、CPU201は、保管サーバ105、107、109を、認可処理を要する保管サーバとして決定する。
決定された認可処理を要しない保管サーバの数よりも、認可要求サーバに接続されていない保管サーバの数が少ない場合、CPU201は、まず、認可要求サーバに接続されていない保管サーバを、全て、認可処理を要しない保管サーバとして決定する。そして、CPU201は、実施形態1と同様に、各保管サーバと接続される認可要求サーバについての通信時間に基づいて、残りの認可処理を要しない保管サーバを決定する。
When the
When the number of storage servers that are not connected to the authorization request server is smaller than the number of storage servers that do not require the authorization process, the
以上、本実施形態の処理により、オブジェクト管理システムは、認可要求サーバを含まないDCを含む場合でも、認可処理に係る通信時間や処理時間の増大を防ぐように、オブジェクト片の保管先を適切に決定することができる。
また、本実施形態の処理により、オブジェクト管理システムは、一部に認可処理を要しない保管サーバを含んでいる場合であっても、オブジェクト管理システムのセキュリティを保つことができる。
As described above, according to the processing of this embodiment, the object management system appropriately sets the storage location of the object piece so as to prevent an increase in communication time and processing time related to the authorization processing even when the DC does not include the authorization request server. Can be determined.
Further, the object management system can maintain the security of the object management system even when the object management system includes a storage server that does not require an authorization process by the processing of this embodiment.
<その他の実施形態>
オブジェクト管理システムに管理されるオブジェクトには、例えば、オブジェクト管理システムにアクセスできる者なら誰でも取得することを許可されているが、オブジェクトの保管(上書・更新)については、設定された者しか許可されていないものがある。また、オブジェクト管理システムに管理されるオブジェクトには、例えば、設定された者だけが取得することを許可されているが、オブジェクト管理システムにアクセスできる者なら誰でもオブジェクトの保管を行うものもある。このような場合、オブジェクト管理システムは、オブジェクトの操作要求全てに対して、認可処理を行うこととすると、不要な認可処理を行うこととなり、不要な認可処理に係る通信時間や処理時間が増大することとなる。
そこで、CPU201は、例えば、実施形態1〜3において、各認可要求サーバに対して、オブジェクトの保管操作の要求に対してのみ適用される認可要否情報を送信することとしてもよい。また、CPU201は、逆に、各認可要求サーバに対して、オブジェクトの取得操作の要求に対してのみ適用される認可要否情報を送信することとしてもよい。そして、各認可要求サーバは、設定されたオブジェクトの操作要求がされた場合のみ、認可要否情報に基づいた認可要求処理を行うこととなる。
以上の処理により、オブジェクト管理システムは、不要な認可処理に係る通信時間、処理時間の増大を防ぐことができる。
<Other embodiments>
For the objects managed by the object management system, for example, anyone who can access the object management system is permitted to obtain the object. However, only the person who has set the object storage (overwrite / update) is allowed. Some are not allowed. In addition, for example, only a set person is permitted to acquire an object managed by the object management system, but there is also an object managed by any person who can access the object management system. In such a case, if the object management system performs authorization processing for all object operation requests, unnecessary authorization processing is performed, and communication time and processing time related to unnecessary authorization processing increase. It will be.
Therefore, for example, in the first to third embodiments, the
With the above processing, the object management system can prevent an increase in communication time and processing time related to unnecessary authorization processing.
実施形態1〜3では、オブジェクト管理システムは、オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて認可処理を要しない保管サーバの数を決定し、認可要求処理を省略する認可要求サーバを決定することで、認可処理を要しない保管サーバを決定することとした。
しかし、オブジェクト管理システムは、オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて認可処理を要する保管サーバの数を決定し、オブジェクトがいくつのオブジェクト片に分割されるかを示す数から決定した数を引いた値を、認可処理を要しない保管サーバの数としてもよい。
また、オブジェクト管理システムは、オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて認可処理を要する保管サーバの数を決定し、認可要求処理を行う認可要求サーバを決定し、オブジェクト片を保管する保管サーバのうち、決定した認可要求サーバに対応する保管サーバ以外の保管サーバから、認可処理を要しない保管サーバを選択することとしてもよい。
オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて決定される認可処理を要しない保管サーバの数や認可処理を要する保管サーバの数は、どれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報の一例である。
各実施形態における認可要求サーバは、オブジェクトの操作要求に対して認可処理の要求を行う認可要求手段の一例である。認可要求手段には、認可要求サーバの他に、例えば、認可処理を要求する機能を有するサーバ以外の情報処理装置や、認可処理を要求する機能を実現するアプリケーション等がある。
In the first to third embodiments, the object management system is a storage server that does not require an authorization process based on the number indicating how many object pieces the object is divided into and the number of object pieces required to restore the object. By determining the number and determining the authorization request server that omits the authorization request process, the storage server that does not require the authorization process is determined.
However, the object management system determines the number of storage servers that require authorization processing based on the number indicating how many objects the object is divided into and the number of object pieces required to restore the object. A value obtained by subtracting the determined number from the number indicating how many object pieces are divided may be used as the number of storage servers that do not require the authorization process.
The object management system also determines the number of storage servers that require authorization processing based on the number of object pieces into which the object is divided and the number of object pieces required to restore the object. It is also possible to determine an authorization request server that performs request processing and select a storage server that does not require authorization processing from storage servers other than the storage server corresponding to the determined authorization request server among storage servers that store object pieces. Good.
The number of storage servers that do not require authorization processing and the number of storage servers that require authorization processing, which are determined based on the number of object pieces divided into the number of object pieces and the number of object pieces required to restore the object The number is an example of authorization omission information that is information indicating how many storage means do not require authorization processing.
The authorization request server in each embodiment is an example of an authorization request unit that requests authorization processing for an object operation request. In addition to the authorization request server, the authorization request means includes, for example, an information processing apparatus other than a server having a function for requesting authorization processing, an application for realizing a function for requesting authorization processing, and the like.
上述した各実施形態の処理によれば、メタデータ管理サーバ103、120のCPUは、オブジェクト管理システム内の情報のやり取りの量を減らすことができるためネットワークの帯域の使用率を下げることができる。
以上、本発明の好ましい実施形態について詳述したが、本発明は係る特定の実施形態に限定されるものではない。
例えば、上述したオブジェクト管理システムの機能構成の一部又は全てをハードウェアとして制御サーバ101や認証サーバ102やメタデータ管理サーバ103に実装してもよい。
According to the processing of each embodiment described above, the CPUs of the
As mentioned above, although preferable embodiment of this invention was explained in full detail, this invention is not limited to the specific embodiment which concerns.
For example, a part or all of the functional configuration of the above-described object management system may be implemented in the
101 制御サーバ、102 認証サーバ、103 メタデータ管理サーバ 101 control server, 102 authentication server, 103 metadata management server
Claims (15)
前記第1の取得手段により取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定手段と、
を有する情報処理装置。 Based on the number of divisions indicating how many object pieces the object is divided into and the number of restorations that are the number of object pieces required to restore the object, the number of object pieces of the object divided into the number of divisions A first acquisition unit that acquires authorization omission information that is information indicating how many storage units of each of the plurality of storage units that are stored do not require an authorization process;
A determination unit that determines a storage unit that does not require an authorization process from the plurality of storage units based on the authorization skip information acquired by the first acquisition unit;
An information processing apparatus.
前記決定手段は、前記第2の取得手段により取得された前記通信時間と前記第1の取得手段により取得された前記認可省略情報とに基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する請求項4乃至6何れか1項記載の情報処理装置。 A second obtaining means for obtaining a communication time for an authorization request means corresponding to each of the plurality of storage means;
The determination unit performs an authorization process from the plurality of storage units based on the communication time acquired by the second acquisition unit and the authorization skip information acquired by the first acquisition unit. The information processing apparatus according to claim 4, wherein a storage unit that is not required is determined.
前記決定手段は、前記複数の保管手段に対応する認可要求手段のうち、前記第2の取得手段により取得された前記通信時間が最大のものから前記第1の取得手段により取得された前記省略数の認可要求手段を決定し、決定した認可要求手段に対応する保管手段を、認可処理を要しない保管手段として決定する請求項7記載の情報処理装置。 The second acquisition means acquires, as the communication time, a time required for communication performed when each of the authorization request means corresponding to each of the plurality of storage means performs an authorization process,
The determination means includes the abbreviated number acquired by the first acquisition means from the one having the maximum communication time acquired by the second acquisition means among the authorization request means corresponding to the plurality of storage means. 8. The information processing apparatus according to claim 7, wherein the authorization request means is determined, and the storage means corresponding to the determined authorization request means is determined as a storage means that does not require an authorization process.
前記制御装置は、
オブジェクトのオブジェクト片それぞれについての操作要求を、操作要求先である前記複数の保管手段のそれぞれに対応する前記複数の認可要求手段のそれぞれに送信する操作要求送信手段を有し、
前記複数の認可要求手段のそれぞれの認可要求手段は、
前記制御装置から前記オブジェクトのオブジェクト片の操作要求を受信した際、前記認可要求手段が認可処理の実行を要するか否かを示す認可要否情報に基づいて、前記認可要求手段が前記オブジェクト片の操作要求について認可処理を行うか否かを判定する判定手段と、
前記判定手段により前記オブジェクト片の操作要求について認可処理を行うと判定された場合、前記オブジェクト片の操作要求についての認可要求を前記管理サーバに送信する認可要求送信手段と、
を有し、
前記管理サーバは、
前記認可要求送信手段により送信された前記認可要求に応じた認可処理を行う認可手段を有する認可システム。 An authorization system including a control device, a plurality of authorization request means corresponding to each of a plurality of storage means, and a management server,
The controller is
An operation request transmitting means for transmitting an operation request for each object piece of the object to each of the plurality of authorization request means corresponding to each of the plurality of storage means being an operation request destination;
Each authorization request means of the plurality of authorization request means,
When the operation request for the object piece of the object is received from the control device, the authorization request unit determines whether the object piece is based on authorization necessity information indicating whether the authorization request unit needs to execute an authorization process. A determination means for determining whether or not to perform an authorization process for the operation request;
An authorization request transmitting means for transmitting an authorization request for the operation request for the object piece to the management server when it is determined by the judging means to perform an authorization process for the operation request for the object piece;
Have
The management server
An authorization system having an authorization unit that performs an authorization process according to the authorization request transmitted by the authorization request transmission unit.
前記オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される前記複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する取得手段と、
前記取得手段により取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定手段と、
前記決定手段により決定された前記認可処理を要しない保管手段に基づいて、前記複数の認可要求手段に、認可処理の実行を要するか否かを示す認可要否情報を送信する要否情報送信手段と、
を更に有し、
前記判定手段は、前記制御装置から前記オブジェクトのオブジェクト片の操作要求を受信した際、前記要否情報送信手段により送信された前記認可要否情報に基づいて、前記オブジェクト片の操作要求について認可処理を行うか否かを判定する請求項12記載の認可システム。 The management server
The object piece of the object divided into the division number based on the division number indicating how many object pieces the object is divided into and the restoration number that is the number of object pieces required for restoration of the object Acquisition means for acquiring authorization omission information that is information indicating how many of the storage means each of which is stored does not require authorization processing;
A determination unit that determines a storage unit that does not require an authorization process from the plurality of storage units based on the authorization skip information acquired by the acquisition unit;
Necessity information transmission means for transmitting authorization necessity information indicating whether or not the authorization process needs to be executed to the plurality of authorization request means based on the storage means that does not require the authorization process determined by the determination means. When,
Further comprising
When the determination unit receives an operation request for the object piece of the object from the control device, an authorization process is performed on the operation request for the object piece based on the authorization necessity information transmitted by the necessity information transmission unit. The authorization system according to claim 12, wherein it is determined whether or not to perform.
オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する取得ステップと、
前記取得ステップで取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定ステップと、
を含む情報処理方法。 An information processing method executed by an information processing apparatus,
Based on the number of divisions indicating how many object pieces the object is divided into and the number of restorations that are the number of object pieces required to restore the object, the number of object pieces of the object divided into the number of divisions An acquisition step of acquiring authorization omission information, which is information indicating how many of the storage means each of which is stored does not require authorization processing;
A determination step for determining a storage means that does not require an authorization process from among the plurality of storage means based on the authorization skip information acquired in the acquisition step;
An information processing method including:
オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する取得ステップと、
前記取得ステップで取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定ステップと、
を実行させるためのプログラム。 On the computer,
Based on the number of divisions indicating how many object pieces the object is divided into and the number of restorations that are the number of object pieces required to restore the object, the number of object pieces of the object divided into the number of divisions An acquisition step of acquiring authorization omission information, which is information indicating how many of the storage means each of which is stored does not require authorization processing;
A determination step for determining a storage means that does not require an authorization process from among the plurality of storage means based on the authorization skip information acquired in the acquisition step;
A program for running
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/373,251 US10348490B2 (en) | 2015-12-10 | 2016-12-08 | Information processing device, authorization system, information processing method, and recording medium |
CN201611132340.5A CN106878256B (en) | 2015-12-10 | 2016-12-09 | Information processing apparatus, approval system, and information processing method |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015241429 | 2015-12-10 | ||
JP2015241429 | 2015-12-10 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2017111800A true JP2017111800A (en) | 2017-06-22 |
JP2017111800A5 JP2017111800A5 (en) | 2018-12-27 |
JP6538019B2 JP6538019B2 (en) | 2019-07-03 |
Family
ID=59080249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016214604A Active JP6538019B2 (en) | 2015-12-10 | 2016-11-01 | Information processing apparatus, authorization system, information processing method and program |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6538019B2 (en) |
CN (1) | CN106878256B (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005099910A (en) * | 2003-09-22 | 2005-04-14 | Dainippon Printing Co Ltd | Supply method and supply system for digital contents |
JP2005209118A (en) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | Information distributed storage system, overall authentication server device used therefor, authentication server device, distributed storage server device, and information distributed storage method |
WO2013145222A1 (en) * | 2012-03-29 | 2013-10-03 | 富士通株式会社 | Information processing device and data storing processing program |
US20140181935A1 (en) * | 2012-12-21 | 2014-06-26 | Dropbox, Inc. | System and method for importing and merging content items from different sources |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2002357259A1 (en) * | 2001-12-13 | 2003-07-09 | Digimarc Corporation | Reversible watermarking |
JP4292835B2 (en) * | 2003-03-13 | 2009-07-08 | 沖電気工業株式会社 | Secret reconstruction method, distributed secret reconstruction device, and secret reconstruction system |
JP4778361B2 (en) * | 2006-05-19 | 2011-09-21 | 日立オムロンターミナルソリューションズ株式会社 | Authentication apparatus, authentication system, and apparatus confirmation method for authentication apparatus |
JP6312344B2 (en) * | 2014-02-18 | 2018-04-18 | 日本電信電話株式会社 | Security device, method thereof, and program |
-
2016
- 2016-11-01 JP JP2016214604A patent/JP6538019B2/en active Active
- 2016-12-09 CN CN201611132340.5A patent/CN106878256B/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005099910A (en) * | 2003-09-22 | 2005-04-14 | Dainippon Printing Co Ltd | Supply method and supply system for digital contents |
JP2005209118A (en) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | Information distributed storage system, overall authentication server device used therefor, authentication server device, distributed storage server device, and information distributed storage method |
WO2013145222A1 (en) * | 2012-03-29 | 2013-10-03 | 富士通株式会社 | Information processing device and data storing processing program |
US20140181935A1 (en) * | 2012-12-21 | 2014-06-26 | Dropbox, Inc. | System and method for importing and merging content items from different sources |
Also Published As
Publication number | Publication date |
---|---|
CN106878256B (en) | 2020-04-14 |
CN106878256A (en) | 2017-06-20 |
JP6538019B2 (en) | 2019-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11475137B2 (en) | Distributed data storage by means of authorisation token | |
CN111488598B (en) | Access control method, device, computer equipment and storage medium | |
US9088557B2 (en) | Encryption key management program, data management system | |
JP6499310B2 (en) | Key export technology | |
US11290435B2 (en) | Authenticated device-based storage operations | |
KR101966767B1 (en) | System for managing encryption keys for cloud services | |
EP3585032B1 (en) | Data security service | |
US8997198B1 (en) | Techniques for securing a centralized metadata distributed filesystem | |
US8572268B2 (en) | Managing secure sessions | |
Seiger et al. | SecCSIE: a secure cloud storage integrator for enterprises | |
US9009469B2 (en) | Systems and methods for securing data in a cloud computing environment using in-memory techniques and secret key encryption | |
CN107483495B (en) | Big data cluster host management method, management system and server | |
CN109450633B (en) | Information encryption transmission method and device, electronic equipment and storage medium | |
CN111783075A (en) | Authority management method, device and medium based on secret key and electronic equipment | |
CN109657492B (en) | Database management method, medium, and electronic device | |
WO2017033442A1 (en) | Information processing device, authentication system, authentication method, and recording medium for recording computer program | |
CN104104692A (en) | Virtual machine encryption method, decryption method and encryption-decryption control system | |
CN112861157A (en) | Data sharing method based on decentralized identity and proxy re-encryption | |
CN106992978A (en) | Network safety managing method and server | |
US20140007197A1 (en) | Delegation within a computing environment | |
CN111988262B (en) | Authentication method, authentication device, server and storage medium | |
Suthar et al. | EncryScation: A novel framework for cloud iaas, daas security using encryption and obfuscation techniques | |
US10348490B2 (en) | Information processing device, authorization system, information processing method, and recording medium | |
JP6538019B2 (en) | Information processing apparatus, authorization system, information processing method and program | |
CN108345801B (en) | Ciphertext database-oriented middleware dynamic user authentication method and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181113 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181113 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20181113 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190214 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190226 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190410 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190528 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190605 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6538019 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |