JP2017111800A - Information processing device, approval system, information processing method, and program - Google Patents

Information processing device, approval system, information processing method, and program Download PDF

Info

Publication number
JP2017111800A
JP2017111800A JP2016214604A JP2016214604A JP2017111800A JP 2017111800 A JP2017111800 A JP 2017111800A JP 2016214604 A JP2016214604 A JP 2016214604A JP 2016214604 A JP2016214604 A JP 2016214604A JP 2017111800 A JP2017111800 A JP 2017111800A
Authority
JP
Japan
Prior art keywords
authorization
server
request
storage
authorization request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016214604A
Other languages
Japanese (ja)
Other versions
JP2017111800A5 (en
JP6538019B2 (en
Inventor
正彬 ▲高▼田
正彬 ▲高▼田
Masaaki Takada
古川 浩
Hiroshi Furukawa
浩 古川
河野 秀樹
Hideki Kono
秀樹 河野
龍一郎 甲斐
Ryuichiro Kai
龍一郎 甲斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NS Solutions Corp
Original Assignee
NS Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NS Solutions Corp filed Critical NS Solutions Corp
Priority to US15/373,251 priority Critical patent/US10348490B2/en
Priority to CN201611132340.5A priority patent/CN106878256B/en
Publication of JP2017111800A publication Critical patent/JP2017111800A/en
Publication of JP2017111800A5 publication Critical patent/JP2017111800A5/ja
Application granted granted Critical
Publication of JP6538019B2 publication Critical patent/JP6538019B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

PROBLEM TO BE SOLVED: To prevent increase in a communication time required for operation of an object.SOLUTION: An information processing device includes: first acquisition means for acquiring, on the basis of a division number indicating how many object pieces an object is divided into and a restoration number which is the number of object pieces necessary to restore the object, approval omission information, i.e. information indicating that how many storage means do not need approval processing among a plurality of storage means storing the respective object pieces, the number of which is the division number, of the object; and determination means for determining storage means not requiring approval processing among the plurality of storage means on the basis of the approval omission information acquired by the first acquisition means.SELECTED DRAWING: Figure 4

Description

本発明は、情報処理装置、認可システム、情報処理方法及びプログラムに関する。   The present invention relates to an information processing apparatus, an authorization system, an information processing method, and a program.

個人情報等の重要な電子データを扱うシステムでは、データに暗号化を施したとしても、暗号鍵の解読・漏洩による情報漏洩リスクを十分に低減できない。このような問題を解決するための技術として、秘密分散技術が知られている。秘密分散技術とは、重要データを、もとのデータとは直接結びつかない複数のデータ片に分割する技術で、一部のデータ片を第三者に取得された場合でも、重要データを復元できないという特徴がある。
特許文献1、特許文献2には、秘密分散技術を用いて、重要データから複数のデータ片を生成し、複数のデータセンター(以下では、DCという)上のサーバに分散保管するデータ分散保管システムが開示されている。 In a system that handles important electronic data such as personal information, even if the data is encrypted, the risk of information leakage due to decryption and leakage of the encryption key cannot be sufficiently reduced. A secret sharing technique is known as a technique for solving such a problem. Secret sharing technology is a technology that divides important data into multiple data pieces that are not directly linked to the original data. Even if some data pieces are obtained by a third party, important data cannot be restored. There is a feature.
Patent Documents 1 and 2 disclose a data distributed storage system that generates a plurality of data pieces from important data using a secret sharing technique, and distributes and stores them in servers on a plurality of data centers (hereinafter referred to as DC). Is disclosed.

特開2013−120515号公報JP 2013-120515 A 特許第4860779号公報Japanese Patent No. 4,860,779

オブジェクトを複数のオブジェクト片に分割して、複数DCのそれぞれに含まれる保管サーバに分散保管するオブジェクト管理システムにおいては、通常はユーザが各DC等に対して個別にユーザ認証を行う必要がある。この場合、認証処理が煩雑となるのを防ぐため、シングルサインオン技術が用いられることも多い。特許文献2には、各DCのサーバで異なるパスワード情報を保持し、個別に認証処理を行うようなシングルサインオン技術が開示されている。
しかし、パスワード情報を各サーバで保持するため、情報が更新される場合、各サーバでも更新処理が発生してしまう。また、各サーバの運用保守が煩雑になってしまう。認証認可サーバ等の特定のサーバで行った認証結果や認可結果の情報を、サーバ間で通信を行って引き継ぐ方法も考えられるが、DC間の通信速度が遅い場合には通信処理に時間がかかってしまうという問題がある。
そこで、本発明では、オブジェクトの操作に要する通信時間の増大を防ぐことを目的とする。 In an object management system in which an object is divided into a plurality of object pieces and distributedly stored in storage servers included in each of a plurality of DCs, it is usually necessary for a user to individually authenticate each DC or the like. In this case, a single sign-on technique is often used to prevent the authentication process from becoming complicated. Patent Document 2 discloses a single sign-on technique in which different password information is held in each DC server and authentication processing is performed individually.
However, since the password information is held in each server, when the information is updated, an update process occurs in each server. In addition, the operation and maintenance of each server becomes complicated. Although it is conceivable to communicate information between authentication results and authorization results performed on a specific server such as an authentication authorization server by communicating between servers, it takes time for communication processing when the communication speed between DCs is slow. There is a problem that it ends up.
Accordingly, an object of the present invention is to prevent an increase in communication time required for object operation.

そこで、本発明の情報処理装置は、オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する第1の取得手段と、前記第1の取得手段により取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定手段と、を有する。   Therefore, the information processing apparatus of the present invention uses the number of divisions based on the number of divisions indicating how many object pieces an object is divided into and the number of restorations that are the number of object pieces required for restoration of the objects. A first acquisition unit that acquires authorization omission information that is information indicating how many storage units out of a plurality of storage units in which each of the object pieces of the object divided into two pieces of information is not required; And determining means for determining a storage means that does not require an authorization process from among the plurality of storage means based on the authorization skip information acquired by the first acquisition means.

本発明によれば、オブジェクトの操作に要する通信時間の増大を防ぐことができる。   According to the present invention, it is possible to prevent an increase in communication time required for operating an object.

図1は、オブジェクト管理システムのシステム構成の一例を示す図である。FIG. 1 is a diagram illustrating an example of a system configuration of an object management system. 図2は、メタデータ管理サーバのハードウェア構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a hardware configuration of the metadata management server. 図3Aは、クライアントPCの機能構成の一例を示す図である。FIG. 3A is a diagram illustrating an example of a functional configuration of the client PC. 図3Bは、制御サーバの機能構成の一例を示す図である。FIG. 3B is a diagram illustrating an example of a functional configuration of the control server. 図3Cは、認証サーバの機能構成の一例を示す図である。FIG. 3C is a diagram illustrating an example of a functional configuration of the authentication server. 図3Dは、メタデータ管理サーバの機能構成の一例を示す図である。FIG. 3D is a diagram illustrating an example of a functional configuration of the metadata management server. 図3Eは、認可要求サーバの機能構成の一例を示す図である。FIG. 3E is a diagram illustrating an example of a functional configuration of the authorization request server. 図3Fは、保管サーバの機能構成の一例を示す図である。FIG. 3F is a diagram illustrating an example of a functional configuration of the storage server. 図4は、認可処理を省略するデータセンターの決定処理の一例を示すフローチャートである。FIG. 4 is a flowchart illustrating an example of a data center determination process that omits the authorization process. 図5は、認可要求処理を省略する認可要求サーバの決定処理の一例を示すフローチャートである。FIG. 5 is a flowchart illustrating an example of an authorization request server determination process that omits the authorization request process. 図6は、認可要求の要否の管理に利用される情報の一例を示す図である。FIG. 6 is a diagram illustrating an example of information used for managing the necessity of an authorization request. 図7は、オブジェクト管理システムによるオブジェクトの保管処理の一例を示すフローチャートである。FIG. 7 is a flowchart illustrating an example of object storage processing by the object management system. 図8は、オブジェクト管理システムによるオブジェクトの取得処理の一例を示すフローチャートである。FIG. 8 is a flowchart illustrating an example of object acquisition processing by the object management system. 図9は、オブジェクト管理システムのシステム構成の一例を示す図である。FIG. 9 is a diagram illustrating an example of a system configuration of the object management system. 図10は、オブジェクト管理システムのシステム構成の一例を示す図である。FIG. 10 is a diagram illustrating an example of a system configuration of the object management system.

以下、本発明の実施形態について図面に基づいて説明する。
<実施形態1>
図1は、オブジェクト管理システムのシステム構成の一例を示す図である。本実施形態のオブジェクト管理システムは、A社内のユーザにより使用されるシステムであるとする。オブジェクト管理システムは、クライアントPC100、制御サーバ101、認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104、106、108、110、保管サーバ105、107、109、111を含む。オブジェクト管理システムは、認可システムの一例である。
クライアントPC100、制御サーバ101は、A社内に設置されている。クライアントPC100、制御サーバ101は、ネットワーク112を介することなくA社内のネットワークを介して、相互に通信できる。クライアントPC100は、コンピュータ等である。制御サーバ101は、制御装置の一例である。制御装置には、他には図3Bで後述する機能構成を有するPC等がある。
認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104、保管サーバ105は、DC1内に設置されている。認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104は、ネットワーク112を介することなくDC1内のネットワークを介して、相互に通信できる。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<Embodiment 1>
FIG. 1 is a diagram illustrating an example of a system configuration of an object management system. It is assumed that the object management system of this embodiment is a system used by users in company A. The object management system includes a client PC 100, a control server 101, an authentication server 102, a metadata management server 103, authorization request servers 104, 106, 108, 110, and storage servers 105, 107, 109, 111. The object management system is an example of an authorization system.
The client PC 100 and the control server 101 are installed in A company. The client PC 100 and the control server 101 can communicate with each other via the network in company A without via the network 112. The client PC 100 is a computer or the like. The control server 101 is an example of a control device. Other examples of the control device include a PC having a functional configuration described later with reference to FIG. 3B.
The authentication server 102, metadata management server 103, authorization request server 104, and storage server 105 are installed in the DC1. The authentication server 102, the metadata management server 103, and the authorization request server 104 can communicate with each other via the network in the DC 1 without via the network 112.

認可要求サーバ106、保管サーバ107は、DC2内に設置されている。認可要求サーバ108、保管サーバ109は、DC3内に設置されている。認可要求サーバ110、保管サーバ111は、DC4内に設置されている。同じDC内に設置されている認可要求サーバ、保管サーバは、ネットワーク112を介することなく各DC内のネットワークを介して、相互に通信できる。
クライアントPC100、制御サーバ101、認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104、106、108、110は、ネットワーク112を介して相互に接続されているものとする。ネットワーク112は、インターネット、LAN、WAN等である。保管サーバ105、107、109、111は、それぞれ認可要求サーバ104、106、108、110と接続されており、ネットワーク112には直接接続されていない。
本実施形態では、オブジェクト管理システムに含まれるDCの数は、4であるとするが、3以下でもよいし、5以上であってもよい。また、本実施形態では、各DCは、それぞれ一つの認可要求サーバを含むものとするが、二以上の認可要求サーバを含むこととしてもよい。また、各DCは、認可要求サーバに接続される一つの保管サーバを含むものとするが、二以上の保管サーバを含むこととしてもよい。 The authorization request server 106 and the storage server 107 are installed in the DC2. The authorization request server 108 and the storage server 109 are installed in the DC 3. The authorization request server 110 and the storage server 111 are installed in the DC 4. The authorization request server and the storage server installed in the same DC can communicate with each other through the network in each DC without going through the network 112.
Assume that the client PC 100, the control server 101, the authentication server 102, the metadata management server 103, and the authorization request servers 104, 106, 108, and 110 are connected to each other via the network 112. The network 112 is the Internet, LAN, WAN, or the like. The storage servers 105, 107, 109, and 111 are connected to the authorization request servers 104, 106, 108, and 110, respectively, and are not directly connected to the network 112.
In the present embodiment, the number of DCs included in the object management system is 4. However, it may be 3 or less, or 5 or more. In the present embodiment, each DC includes one authorization request server, but may include two or more authorization request servers. Each DC includes one storage server connected to the authorization request server, but may include two or more storage servers.

クライアントPC100は、認証サーバ102に認証要求を行ったり、制御サーバ101にオブジェクトの保管要求、取得要求等のオブジェクトの操作要求を行ったりする。操作要求対象のオブジェクトは、電子ファイル、データ等である。オブジェクトの操作要求とは、オブジェクトの保管要求や取得要求等である。
制御サーバ101は、オブジェクトの分割/復元処理を行ったり、オブジェクトの保管先/取得元をメタデータ管理サーバ103に問い合わせたり、各保管サーバにオブジェクトの保管要求/取得要求を行ったりする。
本実施形態では、クライアントPCと制御サーバ101とは、別個のシステム構成要素であるが、双方の機能を持った単一の制御装置がクライアントPCと制御サーバ101との処理を行うこととしてもよい。 The client PC 100 makes an authentication request to the authentication server 102 and makes an operation request for an object such as an object storage request or an acquisition request to the control server 101. The operation request target object is an electronic file, data, or the like. An object operation request is an object storage request or an acquisition request.
The control server 101 performs object division / restoration processing, inquires the metadata management server 103 about the storage destination / acquisition source of the object, and makes an object storage request / acquisition request to each storage server.
In the present embodiment, the client PC and the control server 101 are separate system components, but a single control device having both functions may perform processing between the client PC and the control server 101. .

認証サーバ102は、クライアントPC100から認証情報を受信し、ログインユーザの本人性をチェックする。また、認証サーバ102は、メタデータ管理サーバ103からロール及びセッションを受信し、ユーザのロールの妥当性を確認する。認証処理とは、ユーザの本人性を確認するための処理である。
メタデータ管理サーバ103は、制御サーバ101からの保管先問い合わせに対し、保管先を示す情報を返したり、各認可要求サーバからの認可要求を受信し、認可処理を行ったりする。認可処理とは、ユーザにオブジェクトの操作要求を行う権限があるか否かを確認する処理である。
本実施形態では、認証サーバ102とメタデータ管理サーバ103とは、別個の装置として構成されているが、単一の装置が認証サーバ102とメタデータ管理サーバ103との処理を行うこととすることもできる。しかし、もし単一の装置でメタデータ管理と認証認可を行うこととすると、その装置が害意のあるユーザに乗っ取られた場合、何のデータがどの保管サーバにあるかが分かり、認証認可も通ってしまうため、セキュリティが低下するおそれがある。そのため、メタデータ管理や認可処理を行う装置と認証処理を行う装置とは、別々の装置とし、異なる管理者により管理可能なように構成している。同様の理由で、一部のDCを他のDCとは異なる事業者により管理されるよう構成してもよい。 The authentication server 102 receives the authentication information from the client PC 100 and checks the identity of the login user. The authentication server 102 receives the role and session from the metadata management server 103 and confirms the validity of the user role. The authentication process is a process for confirming the identity of the user.
In response to a storage location inquiry from the control server 101, the metadata management server 103 returns information indicating the storage location, receives an authorization request from each authorization request server, and performs an authorization process. The authorization process is a process for confirming whether the user has authority to make an operation request for an object.
In this embodiment, the authentication server 102 and the metadata management server 103 are configured as separate devices. However, a single device performs processing between the authentication server 102 and the metadata management server 103. You can also. However, if metadata management and authentication authorization are performed on a single device, if that device is hijacked by a malicious user, what data is stored on which storage server and authentication authorization is Since it passes, there is a risk that security may be lowered. For this reason, the device that performs metadata management and authorization processing and the device that performs authentication processing are configured as separate devices so that they can be managed by different administrators. For the same reason, some DCs may be managed by different operators from other DCs.

認可要求サーバ104、106、108、110は、メタデータ管理サーバ103に対し、対応する保管サーバへの操作要求についての認可処理の要求を行う。
保管サーバ105、107、109、111は、オブジェクトのオブジェクト片等のデータの保管、読み出し等を行う。
制御サーバ101は、オブジェクトの操作要求を保管サーバに直接送信するのではなく、保管サーバと接続される認可要求サーバに送信する。認可要求サーバは、制御サーバ101からの操作要求を受信した場合、操作要求が適正な権限を有するユーザによりなされたか否かを確認するための認可処理をメタデータ管理サーバ103に要求する。認可要求サーバは、メタデータ管理サーバ103により操作要求について認可された場合、接続される保管サーバに対して、オブジェクトの操作要求を送信する。
本実施形態では、認可要求サーバと保管サーバとは、別個の装置であるとする。しかし、単一の装置が認可要求サーバと保管サーバとの処理を行うこととしてもよい。 The authorization request servers 104, 106, 108, and 110 request the metadata management server 103 for authorization processing for an operation request to the corresponding storage server.
The storage servers 105, 107, 109, and 111 store and read data such as object pieces of objects.
The control server 101 does not directly transmit the object operation request to the storage server, but transmits it to the authorization request server connected to the storage server. When receiving an operation request from the control server 101, the authorization request server requests the metadata management server 103 to perform an authorization process for confirming whether the operation request has been made by a user having an appropriate authority. When the metadata management server 103 authorizes the operation request, the authorization request server transmits an object operation request to the connected storage server.
In this embodiment, it is assumed that the authorization request server and the storage server are separate devices. However, a single device may perform processing between the authorization request server and the storage server.

図2は、メタデータ管理サーバ103のハードウェア構成の一例を示す図である。
メタデータ管理サーバ103は、CPU201、主記憶装置202、補助記憶装置203、ネットワークI/F204を含む。CPU201、主記憶装置202、補助記憶装置203、ネットワークI/F204は、システムバス205を介して相互に接続されている。
CPU201は、メタデータ管理サーバ103における処理を制御する中央演算装置である。CPU201は、補助記憶装置203等に記憶されているアプリケーションプログラムOSのプログラム、制御プログラム等を実行する。 FIG. 2 is a diagram illustrating an example of a hardware configuration of the metadata management server 103.
The metadata management server 103 includes a CPU 201, a main storage device 202, an auxiliary storage device 203, and a network I / F 204. The CPU 201, main storage device 202, auxiliary storage device 203, and network I / F 204 are connected to each other via a system bus 205.
The CPU 201 is a central processing unit that controls processing in the metadata management server 103. The CPU 201 executes an application program OS program, a control program, and the like stored in the auxiliary storage device 203 and the like.

主記憶装置202は、CPU201の主メモリ、ワーク領域等として機能する記憶装置である。CPU201がプログラムに基づき処理を実行する際に利用する変数等のデータは、主記憶装置202に記憶されている。
補助記憶装置203は、アプリケーションプログラムOSのプログラム、制御プログラム、各種の設定データ等を記憶する。
ネットワークI/F204は、メタデータ管理サーバ103が外部の装置と通信を行う際に利用されるインターフェースである。
CPU201が、補助記憶装置203等に記憶されたプログラムに基づき処理を実行することによって、後述するメタデータ管理サーバ103の機能及び後述するフローチャートの処理が実現される。 The main storage device 202 is a storage device that functions as a main memory, work area, and the like for the CPU 201. Data such as variables used when the CPU 201 executes processing based on a program is stored in the main storage device 202.
The auxiliary storage device 203 stores an application program OS program, a control program, various setting data, and the like.
The network I / F 204 is an interface used when the metadata management server 103 communicates with an external device.
When the CPU 201 executes processing based on a program stored in the auxiliary storage device 203 or the like, the function of the metadata management server 103 described later and the processing of a flowchart described later are realized.

クライアントPC100、制御サーバ101、認証サーバ102、認可要求サーバ104、保管サーバ105のハードウェア構成は、メタデータ管理サーバ103と同様である。
クライアントPC100のCPUが、クライアントPC100の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述するクライアントPC100の機能及び後述するフローチャートの処理が実現される。
制御サーバ101のCPUが、制御サーバ101の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する制御サーバ101の機能及び後述するフローチャートの処理が実現される。
認証サーバ102のCPUが、認証サーバ102の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する認証サーバ102の機能及び後述するフローチャートの処理が実現される。 The hardware configuration of the client PC 100, control server 101, authentication server 102, authorization request server 104, and storage server 105 is the same as that of the metadata management server 103.
When the CPU of the client PC 100 executes processing based on a program stored in the auxiliary storage device or the like of the client PC 100, functions of the client PC 100 described later and processing of flowcharts described later are realized.
When the CPU of the control server 101 executes processing based on a program stored in the auxiliary storage device or the like of the control server 101, functions of the control server 101 described later and processing of flowcharts described later are realized.
The CPU of the authentication server 102 executes processing based on a program stored in the auxiliary storage device or the like of the authentication server 102, thereby realizing the function of the authentication server 102 described later and the processing of the flowchart described later.

認可要求サーバ104のCPUが、認可要求サーバ104の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する認可要求サーバ104の機能及び後述するフローチャートの処理が実現される。
認可要求サーバ106、108、110のハードウェア構成は、認可要求サーバ104と同様である。
保管サーバ105のCPUが、保管サーバ105の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する保管サーバ105の機能及び後述するフローチャートの処理が実現される。
保管サーバ107、109、111のハードウェア構成は、保管サーバ105と同様である。 The CPU of the authorization request server 104 executes processing based on a program stored in the auxiliary storage device or the like of the authorization request server 104, thereby realizing the function of the authorization request server 104 described later and the processing of the flowchart described later.
The hardware configuration of the authorization request servers 106, 108, 110 is the same as that of the authorization request server 104.
The CPU of the storage server 105 executes processing based on a program stored in the auxiliary storage device or the like of the storage server 105, thereby realizing the function of the storage server 105 described later and the processing of the flowchart described later.
The hardware configuration of the storage servers 107, 109, and 111 is the same as that of the storage server 105.

図3Aは、クライアントPC100の機能構成の一例を示す図である。クライアントPC100は、認証要求部401、保管/取得要求部402を含む。
認証要求部401は、認証サーバ102に認証情報(ユーザID、パスワード等)を送信し、ユーザの認証要求を行い、認証サーバ102により認証された場合、認証サーバ102からセッションID(以下では、SIDという)を取得する。
保管/取得要求部402は、制御サーバ101に対して、オブジェクトの操作要求を行う。 FIG. 3A is a diagram illustrating an example of a functional configuration of the client PC 100. The client PC 100 includes an authentication request unit 401 and a storage / acquisition request unit 402.
The authentication request unit 401 transmits authentication information (user ID, password, etc.) to the authentication server 102, makes a user authentication request, and when authenticated by the authentication server 102, the authentication server 102 sends a session ID (hereinafter, SID). Get).
The storage / acquisition request unit 402 makes an object operation request to the control server 101.

図3Bは、制御サーバ101の機能構成の一例を示す図である。制御サーバ101は、制御部411、分割部412、復元部413を含む。
制御部411は、メタデータ管理サーバ103に対して、オブジェクト(オブジェクトが分割されたオブジェクト片のそれぞれ)の保管先又は取得元を問い合わせる。
分割部412は、オブジェクトの保管を認可要求サーバ104、106、108、110に要求する際に、オブジェクトを複数のオブジェクト片に分割する。 FIG. 3B is a diagram illustrating an example of a functional configuration of the control server 101. The control server 101 includes a control unit 411, a division unit 412, and a restoration unit 413.
The control unit 411 inquires of the metadata management server 103 about the storage destination or acquisition source of the object (each of the object pieces into which the object is divided).
The dividing unit 412 divides the object into a plurality of object pieces when requesting the storage of the object from the authorization request servers 104, 106, 108, 110.

復元部413は、保管サーバ105、107、109、111のそれぞれから、それぞれの保管サーバに接続された認可要求サーバを介して、取得したオブジェクトのオブジェクト片からオブジェクトを復元する。
また、制御部411は、認可要求サーバ104、106、108、110に対して、オブジェクト片の操作要求を送信する。例えば、オブジェクトの保管の際には、制御部411は、分割部412によって分割されたオブジェクトのオブジェクト片のデータを含むオブジェクト片の保管要求を、認可要求サーバ104、106、108、110に送信する。 The restoration unit 413 restores an object from each of the storage servers 105, 107, 109, and 111 from the object pieces of the acquired object via the authorization request server connected to the respective storage server.
Further, the control unit 411 transmits an operation request for an object piece to the authorization request servers 104, 106, 108, 110. For example, when storing an object, the control unit 411 transmits an object fragment storage request including the data of the object fragment of the object divided by the dividing unit 412 to the authorization request servers 104, 106, 108, 110. .

図3Cは、認証サーバ102の機能構成の一例を示す図である。認証サーバ102は、認証部421、ロール確認部422、認証情報記憶部423を含む。
認証部421は、クライアントPC100から認証情報を受信し、受信した認証情報に基づいて、ログインしたユーザの本人性をチェックし、ユーザの本人性が確認できたらSIDを発行し、SIDをクライアントPC100に送信する。
ロール確認部422は、メタデータ管理サーバ103からロールの内容を示す情報、セッションの内容を示す情報を受信し、受信したロールの内容を示す情報、セッションの内容を示す情報に基づいて、ユーザのロールが妥当か否か確認する。
認証情報記憶部423は、認証情報、ロール情報、セッション情報等を記憶し管理している。本実施形態では、認証情報は、ユーザIDとパスワードとの組み合わせであるとする。また、ロール情報は、ユーザIDとロールの内容を示す情報との組み合わせである。ロールの内容を示す情報は、「システム管理者」、「一般ユーザ」等のロールを判別できる情報であるならば、テキスト情報でもよいし、ID等の数字の情報でもよい。なお、一つのロールに複数のユーザを割り当ててもよいし、ロールとユーザとを一対一対応させてもよい。セッション情報は、ユーザIDとセッションの内容を示す情報との組み合わせである。セッションの内容を示す情報は、例えばセッション毎に割り当てられたID等である。 FIG. 3C is a diagram illustrating an example of a functional configuration of the authentication server 102. The authentication server 102 includes an authentication unit 421, a role confirmation unit 422, and an authentication information storage unit 423.
The authentication unit 421 receives authentication information from the client PC 100, checks the identity of the logged-in user based on the received authentication information, issues an SID when the user identity is confirmed, and sends the SID to the client PC 100. Send.
The role confirmation unit 422 receives information indicating the content of the role and information indicating the content of the session from the metadata management server 103, and based on the received information indicating the content of the role and information indicating the content of the session, Check if the role is valid.
The authentication information storage unit 423 stores and manages authentication information, role information, session information, and the like. In this embodiment, it is assumed that the authentication information is a combination of a user ID and a password. The role information is a combination of user ID and information indicating the content of the role. The information indicating the contents of the role may be text information or numerical information such as an ID as long as the information can identify the role such as “system administrator” and “general user”. A plurality of users may be assigned to one role, or a role and a user may be associated one to one. The session information is a combination of user ID and information indicating the content of the session. The information indicating the content of the session is, for example, an ID assigned for each session.

図3Dは、メタデータ管理サーバ103の機能構成の一例を示す図である。メタデータ管理サーバ103は、分散先指定部431、認可部432、メタデータ記憶部433を含む。
分散先指定部431は、制御サーバ101からオブジェクトの操作要求先の問い合わせを受信し、認証サーバ102にユーザのロールが妥当か否か確認した上で、オブジェクトのオブジェクト片それぞれについての操作要求先の特定情報を制御サーバ101に送信する。オブジェクトを保管する際は、分散先指定部431は、制御サーバ101からオブジェクトのオブジェクト片それぞれの保管先の問い合わせを受信することとなり、応答として、それぞれのオブジェクト片の保管先の情報を制御サーバ101に送信する。
操作要求先の特定情報は、操作要求先を特定するための情報であり、例えば、オブジェクトのオブジェクト片のIDと操作要求先のサーバの情報とオブジェクト片の管理場所のパス情報との組み合わせ等である。操作要求先のサーバの情報は、例えば、サーバのID、サーバのIPアドレス等である。
認可部432は、各認可要求サーバからの認可要求を受信し、受信した認可要求に対応する操作要求の認可処理を行う。そして、認可部432は、認可できたか否かの認可処理の結果を各認可要求サーバに送信する。 FIG. 3D is a diagram illustrating an example of a functional configuration of the metadata management server 103. The metadata management server 103 includes a distribution destination designation unit 431, an authorization unit 432, and a metadata storage unit 433.
The distribution destination designation unit 431 receives an object operation request destination inquiry from the control server 101, and checks whether the user role is valid with the authentication server 102, and then determines the operation request destination for each object piece of the object. The specific information is transmitted to the control server 101. When storing an object, the distribution destination designation unit 431 receives an inquiry about the storage destination of each object piece of the object from the control server 101, and in response, the control server 101 sends information about the storage destination of each object piece as a response. Send to.
The operation request destination specifying information is information for specifying the operation request destination. For example, it is a combination of the object piece ID of the object, the server information of the operation request destination, and the path information of the management location of the object piece. is there. The information of the operation request destination server is, for example, a server ID, a server IP address, and the like.
The authorization unit 432 receives an authorization request from each authorization request server, and performs an authorization process for an operation request corresponding to the received authorization request. And the authorization part 432 transmits the result of the authorization process of whether authorization was possible to each authorization request | requirement server.

メタデータ記憶部433は、操作要求先情報、権限情報等を記憶し、管理している。操作要求先情報は、操作要求先についての各種の属性情報であり、例えば、操作対象のオブジェクト名と、オブジェクトの操作要求先の仮想パスと、オブジェクトのオブジェクト片のIDと、オブジェクト片についての操作要求先のサーバを示す情報と、オブジェクト片についての操作要求先のパスを示す情報と、の組み合わせである。
オブジェクト片についての操作要求先のサーバを示す情報は、例えば、オブジェクト片についての操作要求先の認可要求サーバ又は保管サーバのID、IPアドレス等である。オブジェクト片についての操作要求先のパスを示す情報は、オブジェクトの保管処理の場合、オブジェクトのオブジェクト片の保管先を示すパスの情報となり、オブジェクトの取得処理の場合、オブジェクトのオブジェクト片が保管されているパスの情報となる。 The metadata storage unit 433 stores and manages operation request destination information, authority information, and the like. The operation request destination information is various attribute information about the operation request destination. For example, the operation target object name, the virtual request destination of the object, the object piece ID of the object, and the operation on the object piece This is a combination of information indicating a request destination server and information indicating an operation request destination path for an object piece.
The information indicating the operation request destination server for the object piece is, for example, the ID and IP address of the authorization request server or storage server of the operation request destination for the object piece. The information indicating the operation request destination path for the object piece is the path information indicating the storage destination of the object piece of the object in the case of the object storage process, and the object piece of the object is saved in the object acquisition process. It becomes the information of the existing path.

権限情報は、例えば、ユーザのロールIDと、オブジェクトの操作要求先の仮想パスの情報と、権限を示す情報との組み合わせ等である。仮想パスは、クライアントPC100から見える仮想のオブジェクトの操作要求先である。メタデータ管理サーバ103は、仮想パスの情報と実際のオブジェクトのオブジェクト片の操作要求先のパスの情報との対応関係を示す情報を管理することで、仮想パスと実際のパスとを対応付けている。権限を示す情報は、ユーザのロールにオブジェクトの操作要求を行う権限があるか否かを示す情報である。
本実施形態では、クライアントPCではなくメタデータ管理サーバ103がオブジェクトの管理場所の情報を管理するため、クライアントPC100以外のクライアントPCからも管理されているオブジェクトに対してアクセスすることが可能となる。 The authority information is, for example, a combination of the user role ID, information on the virtual path of the object operation request destination, and information indicating the authority. The virtual path is an operation request destination of a virtual object that can be seen from the client PC 100. The metadata management server 103 associates the virtual path with the actual path by managing the information indicating the correspondence between the virtual path information and the operation request destination path information of the actual object. Yes. The information indicating the authority is information indicating whether or not the user's role has an authority to make an operation request for the object.
In this embodiment, since the metadata management server 103 manages the information on the management location of the object, not the client PC, it is possible to access the managed object from a client PC other than the client PC 100.

図3Eは、認可要求サーバ104の機能構成の一例を示す図である。認可要求サーバ104は、認可要求部441を含む。認可要求部441は、メタデータ管理サーバ103に対し、認可要求を行う。認可要求サーバ106、108、110の機能構成は、認可要求サーバ104と同様である。
図3Fは、保管サーバ105の機能構成の一例を示す図である。保管サーバ105は、記憶部451を含む。記憶部451は、オブジェクトのオブジェクト片を保管し、管理する。保管サーバ107、109、111の機能構成は、保管サーバ105と同様である。
本実施形態では、認可要求サーバと保管サーバとは、別個の装置であるとした。しかし、認可要求部と記憶部とを含む単一の装置が認可要求サーバと保管サーバとの処理を行うこととしてもよい。 FIG. 3E is a diagram illustrating an example of a functional configuration of the authorization request server 104. The authorization request server 104 includes an authorization request unit 441. The authorization request unit 441 makes an authorization request to the metadata management server 103. The functional configuration of the authorization request servers 106, 108, 110 is the same as that of the authorization request server 104.
FIG. 3F is a diagram illustrating an example of a functional configuration of the storage server 105. The storage server 105 includes a storage unit 451. The storage unit 451 stores and manages object pieces of objects. The functional configuration of the storage servers 107, 109, and 111 is the same as that of the storage server 105.
In the present embodiment, the authorization request server and the storage server are separate devices. However, a single device including the authorization request unit and the storage unit may perform processing of the authorization request server and the storage server.

本実施形態では、オブジェクト管理システムの構成要素のそれぞれは、オブジェクトが分割される数nと、オブジェクトの復元に要するオブジェクトのオブジェクト片の数k(k≦n)と、の情報を管理するものとする。各構成要素は、保有する記憶装置等にn、kの情報を記憶することで、n、kの情報を管理する。しかし、メタデータ管理サーバ103や制御サーバ101等がn、kの情報を集中的に管理することとしてもよい。オブジェクトが分割される数nは、分割数の一例である。オブジェクトの復元に要するオブジェクトのオブジェクト片の数kは、復元数の一例である。
本実施形態では、オブジェクト管理システムに含まれる複数の保管サーバは、n個に分割されたオブジェクトのオブジェクト片のそれぞれを、分散して管理する。k個(k≦n)以上のオブジェクト片からオブジェクトが復元可能であるとする。n個に分割されたオブジェクトのオブジェクト片のうち、少なくともk個のオブジェクト片からオブジェクトが復元できるようにオブジェクトを分割する方法には、閾値秘密分散法等がある。
本実施形態では、オブジェクト管理システム内の複数の保管サーバは、それぞれ一つずつオブジェクトのオブジェクト片を管理するものとする。そのため、本実施形態では、オブジェクト片の総数であるnと保管サーバの総数とは、等しくなる。また、本実施形態では、一つのDCが一つの保管サーバを含むため、nとDCの総数とは、等しい値となる。即ち、一つのDCにつき一つのオブジェクト片が管理されることになる。しかし、保管サーバの数はnより大きい値であってもよいし、DCの数はnより小さい値でも大きい値でもよい。 In the present embodiment, each component of the object management system manages information on the number n of objects divided and the number k of object pieces of the object required for object restoration (k ≦ n). To do. Each component manages the information of n and k by storing the information of n and k in a storage device or the like possessed. However, the metadata management server 103, the control server 101, etc. may centrally manage the n and k information. The number n by which the object is divided is an example of the number of divisions. The number k of object pieces required for object restoration is an example of the number of restorations.
In this embodiment, the plurality of storage servers included in the object management system manage each of the object pieces of the objects divided into n in a distributed manner. It is assumed that an object can be restored from k (k ≦ n) or more object pieces. As a method of dividing an object so that the object can be restored from at least k object pieces among the object pieces divided into n pieces, there is a threshold secret sharing method or the like.
In the present embodiment, it is assumed that a plurality of storage servers in the object management system manage object pieces of objects one by one. Therefore, in this embodiment, the total number of object pieces, n, is equal to the total number of storage servers. In this embodiment, since one DC includes one storage server, n and the total number of DCs are equal. That is, one object piece is managed for one DC. However, the number of storage servers may be larger than n, and the number of DCs may be smaller or larger than n.

本実施形態では、制御サーバ101は、例えば、オブジェクトの保管処理の場合、オブジェクトをn個に分割して、オブジェクト管理システムに含まれる複数の認可要求サーバに対して、各オブジェクト片の保管を指示する。また、制御サーバ101は、オブジェクトの取得を行う場合、オブジェクト片を保管している保管サーバに接続されている認可要求サーバにオブジェクト片の取得要求を行い、取得したオブジェクト片からオブジェクトを復元する。
本実施形態では、オブジェクト管理システムは、権限のないユーザによるオブジェクトの操作要求を制限しながら、それぞれのDCで行われる認可処理のいくつかを省略する。それにより、オブジェクト管理システムは、認可処理を要求するDCと、認可処理を行うメタデータ管理サーバ103と、の間で行われる通信を削減し、処理に要する時間を削減できる。 In the present embodiment, for example, in the case of object storage processing, the control server 101 divides an object into n, and instructs a plurality of authorization request servers included in the object management system to store each object piece. To do. Further, when acquiring the object, the control server 101 makes an object piece acquisition request to the authorization request server connected to the storage server that stores the object piece, and restores the object from the acquired object piece.
In this embodiment, the object management system omits some of the authorization processes performed in each DC while restricting object operation requests by unauthorized users. Thereby, the object management system can reduce communication performed between the DC that requests the authorization process and the metadata management server 103 that performs the authorization process, thereby reducing the time required for the process.

図4は、認可処理を省略するデータセンターの決定処理の一例を示すフローチャートである。図4の処理は、メタデータ管理サーバ103により実行される。メタデータ管理サーバ103は、認可処理を省略するデータセンターの決定処理を行う情報処理装置の一例である。本実施形態では、n=4、k=3とし、DC1〜4のうちメタデータ管理サーバ103との通信に要する時間が最も大きいDCをDC4とする。
S501において、CPU201は、オブジェクトをいくつのオブジェクト片に分割するかを示す数nと、オブジェクトの復元に必要なオブジェクト片の数kと、に基づいて、権限のないユーザによるオブジェクトの操作要求を制限可能なように認可処理を省略可能なDCの数を決定する。本実施形態では、各DCに一つずつ認可要求サーバが含まれる。そのため、認可処理を省略可能なDCには、認可要求処理を省略可能な認可要求サーバが含まれることになる。認可処理を省略可能なDCの数と認可要求処理を省略可能な認可要求サーバの数とは、等しい値になる。認可要求処理を省略可能な認可要求サーバの数は、省略数の一例である。 FIG. 4 is a flowchart illustrating an example of a data center determination process that omits the authorization process. The process of FIG. 4 is executed by the metadata management server 103. The metadata management server 103 is an example of an information processing apparatus that performs a data center determination process that omits the authorization process. In this embodiment, n = 4 and k = 3, and the DC that takes the longest time for communication with the metadata management server 103 among DC1 to DC4 is DC4.
In step S <b> 501, the CPU 201 limits object operation requests by an unauthorized user based on the number n indicating how many object pieces the object is divided into and the number k of object pieces necessary for object restoration. The number of DCs that can omit the authorization process as much as possible is determined. In this embodiment, one authorization request server is included in each DC. For this reason, the DC that can omit the authorization process includes an authorization request server that can omit the authorization request process. The number of DCs that can omit the authorization process is equal to the number of authorization request servers that can omit the authorization request process. The number of authorization request servers that can omit the authorization request processing is an example of the omitted number.

k個のオブジェクト片があればオブジェクトの復元が可能なので、権限のないユーザがオブジェクトを取得できないようにするためには、認可処理を省略可能なDCの数は、k−1以下である必要がある。即ち、認可処理を要するDCの数は、n−(k−1)=n−k+1以上となる。
また、権限のないユーザが保管サーバに保管されているオブジェクトのオブジェクト片をk個、上書きできることとすると、元のオブジェクトが権限のないユーザによる操作により消失してしまうおそれがある。そのため、オブジェクト管理システムは、k個以上のDCにおいて認可処理を行う必要がある。即ち、認可処理を省略可能なDCの数は、n−k以下となる。 Since the object can be restored if there are k object pieces, the number of DCs for which the authorization process can be omitted needs to be equal to or less than k−1 in order to prevent an unauthorized user from acquiring the object. is there. That is, the number of DCs that require authorization processing is n− (k−1) = n−k + 1 or more.
Further, if an unauthorized user can overwrite k pieces of objects stored in the storage server, the original object may be lost by an operation by an unauthorized user. Therefore, the object management system needs to perform an authorization process on k or more DCs. That is, the number of DCs for which the authorization process can be omitted is nk or less.

以上より、CPU201は、認可処理を行うDCの数をmax(n−k+1、k)以上の値に決定し、決定した値をnから引いた値を、認可処理を省略するDCの数として決定する。そのため、決定された認可処理を省略するDCの数は、min(k−1、n−k)以下の値になる。即ち、決定された認可処理を省略するDCの数は、オブジェクトが分割される個数からオブジェクトの復元に必要なオブジェクト片の個数を引いた差分以下であり、且つ、オブジェクトの復元に必要なオブジェクト片の個数未満の値になる。
また、CPU201は、認可処理を省略するDCの数をmin(k−1、n−k)以下の値に決定し、決定した値をnから引いた値を、認可処理を行うDCの数として決定することとしてもよい。
CPU201は、このように認可処理を省略するDCの数を決定することで、セキュリティを保ちつつ、処理にかかる時間を軽減することができる。
本実施形態では、CPU201は、認可処理を要するDCの数をmax(n−k+1、k)=max(4−3+1、3)=max(2、3)=3に決定し、認可処理を省略するDCの数を4−3=1に決定するものとする。
認可処理を行うDCの数がnの場合、処理時間を削減する効果がないため、CPU201は、認可処理を行うDCの数をmax(n−k+1、k)以上でn未満の値に決定することとしてもよい。また、CPU201は、認可処理を省略するDCの数をmin(k−1、n−k)以下で1以上の値に決定することとしてもよい。 From the above, the CPU 201 determines the number of DCs to be subjected to the authorization process to a value equal to or greater than max (n−k + 1, k), and determines the value obtained by subtracting the determined value from n as the number of DCs for which the authorization process is omitted. To do. Therefore, the number of DCs for which the determined authorization process is omitted is a value equal to or less than min (k−1, nk). That is, the number of DCs that omit the determined authorization process is equal to or less than the difference obtained by subtracting the number of object pieces necessary for object restoration from the number of divided objects, and the object pieces necessary for object restoration. The value is less than the number of.
Further, the CPU 201 determines the number of DCs for which the authorization process is omitted as a value equal to or less than min (k−1, nk), and subtracts the determined value from n as the number of DCs for which the authorization process is performed. It may be determined.
The CPU 201 can reduce the time required for processing while maintaining security by determining the number of DCs that omit the authorization processing in this way.
In the present embodiment, the CPU 201 determines the number of DCs that require authorization processing as max (n−k + 1, k) = max (4−3 + 1, 3) = max (2, 3) = 3, and omits the authorization processing. Assume that the number of DCs to be determined is 4-3 = 1.
When the number of DCs that perform the authorization process is n, there is no effect of reducing the processing time, so the CPU 201 determines the number of DCs that perform the authorization process to a value that is greater than or equal to max (n−k + 1, k) and less than n. It is good as well. In addition, the CPU 201 may determine the number of DCs for which the authorization process is omitted to a value of 1 or more with min (k−1, nk) or less.

S502において、CPU201は、各DC内の認可要求サーバの通信時間を取得する。
本実施形態では、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれの認可要求サーバについて、以下の処理を行う。即ち、CPU201は、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間を、認可要求サーバの通信時間として取得することとする。この場合、取得される認可要求サーバの通信時間は、認可処理の省略により削減できる通信時間である。そして、CPU201は、S503で、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、認可処理の省略により削減できる通信時間が大きいものから順に、認可要求処理を省略する認可要求サーバを決定することとなる。それにより、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバが行う通信の通信時間の削減の量を最も大きくすることができる。
また、CPU201は、認可要求サーバと制御サーバ101との間の通信に要する時間と、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間と、の和を、認可要求サーバの通信時間として取得することとしてもよい。そして、CPU201は、S503で、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、通信時間が大きいものから順に、認可要求処理を省略する認可要求サーバとして決定することとなる。それにより、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、最も通信に時間を要する認可要求サーバの通信時間を削減できる。 In step S502, the CPU 201 acquires the communication time of the authorization request server in each DC.
In the present embodiment, the CPU 201 performs the following processing for each authorization request server of the plurality of authorization request servers included in the object management system. That is, the CPU 201 acquires the time required for communication between the authorization request server and the metadata management server 103 as the communication time of the authorization request server. In this case, the communication time of the acquired authorization request server is a communication time that can be reduced by omitting the authorization process. In step S <b> 503, the CPU 201 determines an authorization request server that omits the authorization request process from the plurality of authorization request servers included in the object management system in descending order of communication time that can be reduced by omitting the authorization process. It becomes. Thereby, the CPU 201 can maximize the amount of reduction in communication time of communication performed by a plurality of authorization request servers included in the object management system.
In addition, the CPU 201 determines the sum of the time required for communication between the authorization request server and the control server 101 and the time required for communication between the authorization request server and the metadata management server 103 as the communication of the authorization request server. It is good also as acquiring as time. In step S <b> 503, the CPU 201 determines the authorization request servers that omit the authorization request processing in order from the one having the largest communication time among the plurality of authorization request servers included in the object management system. Thereby, the CPU 201 can reduce the communication time of the authorization request server that requires the most communication time among the plurality of authorization request servers included in the object management system.

また、オブジェクト管理システムは、n個のオブジェクト片のうちk個のオブジェクト片についての操作を完了すれば、オブジェクトの操作は、完了することができる。そのため、オブジェクトの操作を最も早く完了させるためには、オブジェクト管理システムは、n個のオブジェクト片についての操作要求のうち、k個が最も早く完了するようにすればよい。
各オブジェクト片についての操作は、並列して行われる。そのため、k個のオブジェクト片についての操作の完了に要する時間は、k番目に完了するオブジェクト片についての操作の完了に要する時間と等しくなる。即ち、n個のオブジェクト片についての操作要求のうち、k番目に完了する操作要求に係る通信時間が最小となる場合、オブジェクトの操作を最も早く完了することになる。
また、オブジェクト片についての操作要求に係る処理のうち通信処理は、他の処理よりも、多くの時間を要する場合がある。そのため、オブジェクト片についての操作要求に係る通信処理に要する時間が小さいほど、オブジェクト片についての操作要求に係る処理は、早く完了する。本実施形態では、オブジェクト片についての操作要求に係る通信処理は、認可要求サーバを介して行われるため、認可要求サーバが行う通信処理と同視しうる。 Further, when the object management system completes the operation for k object pieces among the n object pieces, the object operation can be completed. Therefore, in order to complete the operation of the object earliest, the object management system may complete k earliest among the operation requests for n object pieces.
Operations on each object piece are performed in parallel. Therefore, the time required for completing the operation for the k object pieces is equal to the time required for completing the operation for the kth object piece. That is, of the operation requests for n object pieces, the object operation is completed earliest when the communication time related to the k-th operation request is minimized.
Of the processes related to the operation request for the object piece, the communication process may require more time than the other processes. Therefore, the smaller the time required for the communication process related to the operation request for the object piece, the earlier the process related to the operation request for the object piece is completed. In the present embodiment, since the communication process related to the operation request for the object piece is performed via the authorization request server, it can be regarded as the communication process performed by the authorization request server.

そこで、CPU201は、以下のような処理を行ってもよい。CPU201は、認可要求サーバと制御サーバ101との間の通信に要する時間と、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間と、の和を、認可要求処理を行う場合の認可要求サーバの通信時間として取得する。更に、CPU201は、認可要求サーバと制御サーバ101との間の通信に要する時間を、認可要求サーバの認可要求処理を省略する場合の認可要求サーバの通信時間として取得する。そして、S503で、CPU201は、取得した認可要求サーバの通信時間に基づいて、次のような処理を行う。即ち、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれの通信時間のうち、最小のものから数えてk番目の順位の値が最も小さくなるように、認可要求処理を省略する認可要求サーバを決定することとしてもよい。この処理については、図5で後述する。それにより、CPU201は、オブジェクトの操作完了に要する時間を最短にすることができる。   Therefore, the CPU 201 may perform the following processing. When the CPU 201 performs the authorization request processing, the sum of the time required for communication between the authorization request server and the control server 101 and the time required for communication between the authorization request server and the metadata management server 103 is calculated. Acquired as the communication time of the authorization request server. Further, the CPU 201 acquires the time required for communication between the authorization request server and the control server 101 as the communication time of the authorization request server when the authorization request processing of the authorization request server is omitted. In step S503, the CPU 201 performs the following process based on the acquired communication time of the authorization request server. That is, the CPU 201 omits the authorization request processing so that the k-th order value counted from the smallest communication time among the plurality of authorization request servers included in the object management system is minimized. The request server may be determined. This process will be described later with reference to FIG. Thereby, the CPU 201 can minimize the time required to complete the operation of the object.

本実施形態では、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれと通信を行い、通信に要する時間を測定することで、複数の認可要求サーバのそれぞれの通信時間を取得することとする。
また、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれを介して制御サーバ101と通信を行い、通信に要する時間を測定することもできる。その場合、CPU201は、複数の認可要求サーバのそれぞれと制御サーバ101との通信時間と、複数の認可要求サーバのそれぞれとメタデータ管理サーバ103との通信時間と、の和を取得することになる。
また、CPU201は、以下のようにして各認可要求サーバの通信時間を取得してもよい。複数の認可要求サーバのそれぞれは、メタデータ管理サーバ103と実際に通信し、通信に要する時間を測定することとしてもよい。そして、各認可要求サーバは、測定した通信に要する時間をメタデータ管理サーバ103に送信する。それにより、CPU201は、受信した各認可要求サーバの通信時間を、各認可要求サーバの通信時間として取得することとしてもよい。また、複数の認可要求サーバのそれぞれは、制御サーバ101と実際に通信し、通信に要する時間を測定し、メタデータ管理サーバ103に測定した時間の情報を送信することもできる。 In the present embodiment, the CPU 201 communicates with each of the plurality of authorization request servers included in the object management system, and acquires the respective communication times of the plurality of authorization request servers by measuring the time required for communication. And
The CPU 201 can also communicate with the control server 101 via each of a plurality of authorization request servers included in the object management system, and measure the time required for communication. In this case, the CPU 201 acquires the sum of the communication time between each of the plurality of authorization request servers and the control server 101 and the communication time between each of the plurality of authorization request servers and the metadata management server 103. .
Further, the CPU 201 may acquire the communication time of each authorization request server as follows. Each of the plurality of authorization request servers may actually communicate with the metadata management server 103 and measure the time required for communication. Each authorization request server transmits the measured time required for communication to the metadata management server 103. Thereby, the CPU 201 may acquire the received communication time of each authorization request server as the communication time of each authorization request server. Each of the plurality of authorization request servers can also actually communicate with the control server 101, measure the time required for communication, and transmit the measured time information to the metadata management server 103.

また、制御サーバ101が、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれを介してメタデータ管理サーバ103と実際に通信し通信に要する時間を測定することとしてもよい。その場合、制御サーバ101は、複数の認可要求サーバのそれぞれと制御サーバ101との通信時間と、複数の認可要求サーバのそれぞれとメタデータ管理サーバ103との通信時間と、の和を取得することになる。そして、制御サーバ101は、取得した時間の情報をメタデータ管理サーバ103に送信することとしてもよい。
また、予め補助記憶装置203等に記憶されている設定データ等に各認可要求サーバの通信時間が記録されていることとして、CPU201は、設定データを読み込むことで各認可要求サーバの通信時間を取得することとしてもよい。
本実施形態では、CPU201は、DC1〜4にそれぞれ対応する認可要求サーバ104、106、108、110の通信時間を取得することになる。本実施形態では、DC4内の認可要求サーバ110は、認可要求サーバ104、106、108、110のうちでメタデータ管理サーバ103との通信に最も時間を要する認可要求サーバであるとする。 Further, the control server 101 may actually communicate with the metadata management server 103 via each of a plurality of authorization request servers included in the object management system and measure the time required for communication. In that case, the control server 101 obtains the sum of the communication time between each of the plurality of authorization request servers and the control server 101 and the communication time between each of the plurality of authorization request servers and the metadata management server 103. become. Then, the control server 101 may transmit the acquired time information to the metadata management server 103.
In addition, as the communication time of each authorization request server is recorded in the setting data stored in the auxiliary storage device 203 or the like in advance, the CPU 201 acquires the communication time of each authorization request server by reading the setting data. It is good to do.
In the present embodiment, the CPU 201 acquires the communication times of the authorization request servers 104, 106, 108, and 110 corresponding to DC1 to DC4, respectively. In the present embodiment, it is assumed that the authorization request server 110 in the DC 4 is the authorization request server that requires the most time for communication with the metadata management server 103 among the authorization request servers 104, 106, 108, 110.

S503において、CPU201は、S501で決定した認可処理を省略可能なDCの数とS502で取得したオブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれの通信時間とに基づいて、認可処理を省略するDCを決定する。
より具体的には、CPU201は、オブジェクト管理システム内の複数の認可要求サーバのうち、S502で取得した通信時間の長さが最大のものからS501で決定した数の分を、認可要求処理を省略する認可要求サーバとして決定する。そして、CPU201は、決定した認可要求処理を省略する認可要求サーバに対応するDCを、認可処理を省略するDCとして決定する。
また、CPU201は、S502で、認可要求サーバと制御サーバ101との間の通信に要する時間と、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間と、の和を、認可要求サーバの通信時間として取得した場合も同様の処理を行う。 In S <b> 503, the CPU 201 omits the authorization process based on the number of DCs that can omit the authorization process determined in S <b> 501 and the communication times of the plurality of authorization request servers included in the object management system acquired in S <b> 502. Determine DC.
More specifically, the CPU 201 omits the authorization request processing from the plurality of authorization request servers in the object management system for the number determined in S501 from the one with the longest communication time acquired in S502. It is determined as an authorization request server. Then, the CPU 201 determines the DC corresponding to the authorization request server that omits the determined authorization request process as the DC that omits the authorization process.
In step S <b> 502, the CPU 201 determines the sum of the time required for communication between the authorization request server and the control server 101 and the time required for communication between the authorization request server and the metadata management server 103. The same processing is performed when it is acquired as the server communication time.

図5は、認可要求処理を省略する認可要求サーバの決定処理の一例を示すフローチャートである。図5は、S502で、認可要求処理を行う場合の認可要求サーバの通信時間と、認可要求処理を省略する場合の認可要求サーバの通信時間と、が取得された場合のS503の処理の一例を示す。認可要求処理を行う場合の認可要求サーバの通信時間の一例としては、認可要求サーバと制御サーバ101との間の通信に要する時間と、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間と、の和がある。認可要求処理を省略する場合の認可要求サーバの通信時間の一例としては、認可要求サーバと制御サーバ101との間の通信に要する時間がある。
S301において、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、S501で決定した認可処理を省略可能なDCの数だけ、認可要求処理を省略する認可要求サーバを選択する。
S302において、CPU201は、S301で決定した認可要求サーバについての認可要求処理を省略する場合の通信時間を、S502で取得した認可要求処理を省略する場合の認可要求サーバの通信時間から取得する。また、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、その他の認可要求サーバについての認可要求処理を行う場合の通信時間を、S502で取得した認可要求処理を行う場合の認可要求サーバの通信時間から取得する。 FIG. 5 is a flowchart illustrating an example of an authorization request server determination process that omits the authorization request process. FIG. 5 shows an example of the processing of S503 when the communication request server's communication time when the authorization request processing is performed and the communication request server's communication time when the authorization request processing is omitted are acquired in S502. Show. As an example of the communication time of the authorization request server when performing the authorization request process, the time required for the communication between the authorization request server and the control server 101 and the communication between the authorization request server and the metadata management server 103 are described. There is a sum of the time required. An example of the communication time of the authorization request server when the authorization request processing is omitted is the time required for communication between the authorization request server and the control server 101.
In step S <b> 301, the CPU 201 selects an authorization request server that omits the authorization request process from the plurality of authorization request servers included in the object management system, by the number of DCs that can omit the authorization process determined in step S <b> 501.
In S302, the CPU 201 acquires the communication time when the authorization request processing for the authorization request server determined in S301 is omitted from the communication time of the authorization request server when the authorization request processing acquired in S502 is omitted. In addition, the CPU 201 indicates the communication time when performing the authorization request processing for the other authorization request servers among the plurality of authorization request servers included in the object management system, and the authorization request when performing the authorization request processing acquired in S502. Obtained from server communication time.

S303において、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれについてS302で取得した通信時間のうち、k番目に小さい値を取得する。CPU201は、取得した値と紐付けて、S301で選択した認可要求サーバの情報を主記憶装置202等に記憶する。
S304において、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバからS501で決定された数の認可要求サーバを選択する場合の全ての組み合わせについて、S301〜S303の処理を行ったか否かを判定する。CPU201は、全ての組み合わせについてS301〜S303の処理を行ったと判定した場合、S305の処理に進む。CPU201は、全ての組み合わせについてS301〜S303の処理を行っていないと判定した場合、S301の処理に進む。
S305において、CPU201は、S303で取得した通信時間から最小の通信時間を特定し、特定した値に対応するS301で選択した認可要求処理を省略する認可要求サーバを特定する。より具体的には、CPU201は、特定した値と紐付けて主記憶装置202等に記憶した認可要求サーバの情報を取得することで、特定した値に対応するS301で選択した認可要求サーバを特定する。そして、CPU201は、特定した認可要求サーバを、認可要求処理を省略する認可要求サーバとして決定する。
以上、図5の処理により、CPU201は、オブジェクトの操作を最も早く完了させるように、認可要求処理を省略する認可要求サーバを決定することができる。 In S303, the CPU 201 acquires the kth smallest value of the communication time acquired in S302 for each of the plurality of authorization request servers included in the object management system. The CPU 201 stores the information of the authorization request server selected in S301 in the main storage device 202 or the like in association with the acquired value.
In S304, the CPU 201 determines whether or not the processing of S301 to S303 has been performed for all combinations in the case where the number of authorization request servers determined in S501 is selected from a plurality of authorization request servers included in the object management system. To do. If the CPU 201 determines that the processes of S301 to S303 have been performed for all combinations, the CPU 201 proceeds to the process of S305. When the CPU 201 determines that the processing of S301 to S303 is not performed for all combinations, the CPU 201 proceeds to the processing of S301.
In S305, the CPU 201 specifies the minimum communication time from the communication time acquired in S303, and specifies an authorization request server that omits the authorization request processing selected in S301 corresponding to the specified value. More specifically, the CPU 201 identifies the authorization request server selected in S301 corresponding to the identified value by acquiring the authorization request server information associated with the identified value and stored in the main storage device 202 or the like. To do. Then, the CPU 201 determines the specified authorization request server as an authorization request server that omits the authorization request processing.
As described above, the CPU 201 can determine the authorization request server that omits the authorization request process so that the operation of the object is completed earliest by the process of FIG.

本実施形態では、S503で、CPU201は、DC1〜4のうち、対応する認可要求サーバの通信に要する時間が大きいものから1つを、認可処理を省略するDCに決定する。最も通信に要する時間が大きい認可要求サーバに対応するDCはDC4なので、CPU201は、S503で、DC4を、認可処理を省略するDCとして決定する。CPU201は、各DCについての認可処理の要否を、テーブル等のデータ形式で管理することとする。図6は、各DCについての認可処理の要否の管理に要されるテーブルの一例である。
S504において、CPU201は、オブジェクト管理システムの認可要求サーバのそれぞれに対して、それぞれの認可要求サーバが認可要求処理を省略する認可要求サーバであるか否かを示す情報である認可要否情報を送信する。これにより、各認可要求サーバは、送信された認可要否情報に基づいて、認可要求処理を実行するか否かを把握することができるようになる。
より具体的には、CPU201は、S503で認可処理を省略するDCとして決定されたDCに対応する認可要求サーバには、認可要求処理の実行を要しないことを示す情報を認可要否情報として送信する。そして、CPU201は、S503で認可処理を省略するDCとして決定されたDCに対応する認可要求サーバ以外の認可要求サーバには、認可要求処理の実行を要することを示す情報を認可要否情報として送信する。S504の処理は、要否情報送信処理の一例である。
また、CPU201は、全ての認可要求サーバのそれぞれに対して、全ての認可要求サーバのそれぞれが認可要求処理を省略するか否かを示す情報を、認可要否情報として、送信することとしてもよい。 In the present embodiment, in S503, the CPU 201 determines one of the DC1 to DC4 from which the time required for the communication of the corresponding authorization request server is large as a DC that omits the authorization process. Since the DC corresponding to the authorization request server with the longest communication time is DC4, the CPU 201 determines DC4 as a DC for which the authorization process is omitted in S503. The CPU 201 manages whether or not authorization processing is required for each DC in a data format such as a table. FIG. 6 is an example of a table required for managing the necessity of authorization processing for each DC.
In step S504, the CPU 201 transmits, to each authorization request server of the object management system, authorization necessity information that is information indicating whether each authorization request server is an authorization request server that omits authorization request processing. To do. Accordingly, each authorization request server can grasp whether or not to execute the authorization request process based on the transmitted authorization necessity information.
More specifically, the CPU 201 transmits information indicating that execution of the authorization request process is not required to the authorization request server corresponding to the DC determined as the DC for which the authorization process is omitted in S503 as authorization necessity information. To do. Then, the CPU 201 transmits information indicating that it is necessary to execute the authorization request process to the authorization request server other than the authorization request server corresponding to the DC that is determined as the DC for which the authorization process is omitted in S503 as authorization necessity information. To do. The processing in S504 is an example of necessity information transmission processing.
Further, the CPU 201 may transmit information indicating whether or not each of the authorization request servers omits the authorization request processing to each of all the authorization request servers as authorization necessity information. .

本実施形態では、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバそれぞれの通信時間に基づいて、認可処理を省略するDCを決定した。しかし、CPU201は、各認可要求サーバの通信速度に基づいて、認可処理を省略するDCを決定してもよい。その場合、CPU201は、S502において、各認可要求サーバから通信速度の情報を取得する。そして、CPU201は、S503において、オブジェクト管理システム内の認可要求サーバのうち、S502で取得した通信速度が小さいものからS501で決定した数の分を、認可要求処理を省略する認可要求サーバとして決定することになる。それにより、CPU201は、通信時間の情報を取得できず、通信速度の情報を取得できる場合に、適切に認可要求処理を省略する認可要求サーバを決定できる。
本実施形態では、図4の処理を行う主体は、メタデータ管理サーバ103であるとした。しかし、認可処理を省略するDCを決定する処理を行う主体は、メタデータ管理サーバ103に限られず、制御サーバ101でもよいし、他の外部装置であってもよい。 In the present embodiment, the CPU 201 determines a DC that omits the authorization process based on the communication time of each of the plurality of authorization request servers included in the object management system. However, the CPU 201 may determine a DC for which the authorization process is omitted based on the communication speed of each authorization request server. In this case, the CPU 201 acquires communication speed information from each authorization request server in S502. In step S503, the CPU 201 determines, as authorization request servers that omit the authorization request processing, the number of authorization request servers in the object management system that have been determined in step S501 from those having the low communication speed acquired in step S502. It will be. As a result, the CPU 201 can appropriately determine an authorization request server that omits the authorization request process when the communication time information cannot be acquired and the communication speed information can be acquired.
In this embodiment, it is assumed that the entity that performs the processing of FIG. 4 is the metadata management server 103. However, the entity that performs the process of determining the DC that omits the authorization process is not limited to the metadata management server 103, and may be the control server 101 or another external device.

本実施形態では、メタデータ管理サーバ103は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれに対して、それぞれの認可要求サーバが認可要求処理を省略する認可要求サーバであるか否かを示す情報を送信するものとする。しかし、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれは、S504で送信されるものと同様の情報を、予め補助記憶装置等に保管していることとしてもよい。
CPU201は、オブジェクトの操作が行われる前に、図4の処理を行っているものとする。また、CPU201は、月ごと、週ごと等の定期的に図4の処理を行うことで、オブジェクト管理システム内の複数の認可要求サーバのそれぞれに認可要求処理を省略するか否かを示す情報を送信することとしてもよい。
本実施形態では、オブジェクト管理システムは、制御サーバを一台含むこととするが、複数台含むこととしてもよい。本実施形態のオブジェクト管理システムを複数の会社で使用する場合には、会社毎に互いに異なる制御サーバを使用することが望ましい。複数の制御サーバを使用する場合、CPU201は、S502において、それぞれの制御サーバについての通信時間を取得することとし、S503において、それぞれの制御サーバ毎に認可処理を省くDCを決定することとしてもよい。 In this embodiment, the metadata management server 103 determines whether or not each authorization request server is an authorization request server that omits authorization request processing for each of a plurality of authorization request servers included in the object management system. Information to be transmitted shall be transmitted. However, each of the plurality of authorization request servers included in the object management system may store information similar to that transmitted in S504 in advance in an auxiliary storage device or the like.
It is assumed that the CPU 201 performs the process of FIG. 4 before the object operation is performed. Further, the CPU 201 periodically performs the processing of FIG. 4 on a monthly basis, a weekly basis, and the like, thereby indicating information indicating whether or not the authorization request processing is to be omitted for each of a plurality of authorization request servers in the object management system. It is good also as transmitting.
In the present embodiment, the object management system includes one control server, but may include a plurality of control servers. When the object management system of this embodiment is used in a plurality of companies, it is desirable to use different control servers for each company. When using a plurality of control servers, the CPU 201 may acquire the communication time for each control server in S502, and may determine a DC that omits the authorization process for each control server in S503. .

図7は、オブジェクト管理システムによるオブジェクトの保管処理の一例を示すフローチャートである。
S701において、クライアントPC100の認証要求部401は、ユーザID及びパスワードを認証サーバ102に送信し、ユーザについての認証要求を送信する。S701におけるクライアントPC100の処理は、認証要求送信処理の一例である。
認証サーバ102の認証部421は、クライアントPC100により送信されたユーザID及びパスワードと、認証情報記憶部423に記憶された認証情報と、を比較することでユーザの認証を行う。
より具体的には、認証部421は、認証情報記憶部423に記憶された認証情報の中に、送信されたユーザIDとパスワードとの組み合わせが存在するか否かを判定することでユーザの認証処理を行う。認証部421は、認証情報記憶部423に記憶された認証情報の中に、送信されたユーザIDとパスワードとの組み合わせが存在すると判定した場合、ユーザの認証ができたものとする。認証部421は、認証情報記憶部423に記憶された認証情報の中に、送信されたユーザIDとパスワードとの組み合わせが存在しないと判定した場合、ユーザの認証ができなかったものとする。認証部421は、ユーザの認証ができた場合、SIDをクライアントPC100に送信する。 FIG. 7 is a flowchart illustrating an example of object storage processing by the object management system.
In step S <b> 701, the authentication request unit 401 of the client PC 100 transmits the user ID and password to the authentication server 102 and transmits an authentication request for the user. The processing of the client PC 100 in S701 is an example of authentication request transmission processing.
The authentication unit 421 of the authentication server 102 authenticates the user by comparing the user ID and password transmitted by the client PC 100 with the authentication information stored in the authentication information storage unit 423.
More specifically, the authentication unit 421 determines whether the combination of the transmitted user ID and password exists in the authentication information stored in the authentication information storage unit 423, thereby authenticating the user. Process. When the authentication unit 421 determines that the combination of the transmitted user ID and password exists in the authentication information stored in the authentication information storage unit 423, the authentication unit 421 is assumed to be able to authenticate the user. When the authentication unit 421 determines that the combination of the transmitted user ID and password does not exist in the authentication information stored in the authentication information storage unit 423, it is assumed that the user cannot be authenticated. The authentication unit 421 transmits the SID to the client PC 100 when the user can be authenticated.

S702において、保管/取得要求部402は、保管対象のオブジェクトのデータとオブジェクト名とオブジェクトの保管先の仮想パスとS701で送信されたSIDとを含むオブジェクトの保管要求を、制御サーバ101に送信する。制御サーバ101の制御部411は、クライアントPC100からオブジェクトの保管要求を受信した場合、受信した保管要求に含まれる保管対象のオブジェクトのデータを解析し、オブジェクト情報(データサイズ、タイプ等)を取得する。
S703において、制御部411は、オブジェクト名とオブジェクトの保管先の仮想パスとSIDとS702で取得したオブジェクト情報とを含むオブジェクトの保管先問い合わせを、メタデータ管理サーバ103に送信する。 In step S <b> 702, the storage / acquisition request unit 402 transmits, to the control server 101, an object storage request including the data of the object to be stored, the object name, the virtual path of the object storage destination, and the SID transmitted in step S <b> 701. . When receiving the object storage request from the client PC 100, the control unit 411 of the control server 101 analyzes the data of the object to be stored included in the received storage request, and acquires object information (data size, type, etc.). .
In step S <b> 703, the control unit 411 transmits an object storage destination query including the object name, the virtual path of the object storage destination, the SID, and the object information acquired in step S <b> 702 to the metadata management server 103.

S704において、メタデータ管理サーバ103の分散先指定部431は、S703でオブジェクトの保管先問い合わせを受信した場合、以下の処理を行う。即ち、分散先指定部431は、メタデータ記憶部433に記憶されている権限情報から、受信した保管先問い合わせに含まれる仮想パスに書き込み可能なロールIDを抽出する。そして、分散先指定部431は、抽出したロールIDと受信した保管先問い合わせに含まれるSIDとを含むロールの妥当性確認要求を、認証サーバ102に送信する。S704における分散先指定部431の処理は、確認要求送信処理の一例である。
認証サーバ102のロール確認部422は、ロールの妥当性確認要求を受信した場合、認証情報記憶部423に記憶されているセッション情報から、受信した妥当性確認要求に含まれるSIDに対応するユーザを特定する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に基づいて、特定したユーザが妥当性確認要求に含まれるロールIDに対応するロールを有しているか否かを確認する。 In S704, when the distribution destination designation unit 431 of the metadata management server 103 receives an object storage destination query in S703, the following processing is performed. That is, the distribution destination designation unit 431 extracts a role ID that can be written to the virtual path included in the received storage location query from the authority information stored in the metadata storage unit 433. Then, the distribution destination designation unit 431 transmits a role validation check request including the extracted role ID and the SID included in the received storage location query to the authentication server 102. The process of the distribution destination designation unit 431 in S704 is an example of a confirmation request transmission process.
When the role confirmation unit 422 of the authentication server 102 receives a role validity confirmation request, the role confirmation unit 422 selects a user corresponding to the SID included in the received validity confirmation request from the session information stored in the authentication information storage unit 423. Identify. The role confirmation unit 422 confirms whether or not the identified user has a role corresponding to the role ID included in the validity confirmation request, based on the role information stored in the authentication information storage unit 423.

より具体的には、ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在しているか否かを判定する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在していると判定した場合、ユーザのロールが妥当であると確認する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在していないと判定した場合、ユーザのロールが妥当ではないと確認する。
ロール確認部422は、ユーザのロールの妥当性確認の結果をメタデータ管理サーバ103に送信する。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当であることを示す結果である場合、S705の処理に進む。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当ではないことを示す結果である場合、図7の処理を終了する。 More specifically, the role confirmation unit 422 determines whether or not the combination of the identified user and the role with the role ID included in the validity confirmation request exists in the role information stored in the authentication information storage unit 423. Determine whether. When the role confirmation unit 422 determines that the combination of the specified user and the role with the role ID included in the validity confirmation request exists in the role information stored in the authentication information storage unit 423, Confirm that the role is valid. When the role confirmation unit 422 determines that the combination of the identified user and the role with the role ID included in the validity confirmation request does not exist in the role information stored in the authentication information storage unit 423, Check that the role is not valid.
The role confirmation unit 422 transmits the result of the validity confirmation of the user role to the metadata management server 103. If the result of the role validation received from the authentication server 102 is a result indicating that the user role is valid, the distribution destination designation unit 431 proceeds to the process of S705. If the result of the role validation received from the authentication server 102 is a result indicating that the user's role is not valid, the distribution destination designation unit 431 ends the processing in FIG.

S705において、分散先指定部431は、補助記憶装置203等に記憶されている設定ファイルから保管対象のオブジェクトが分割される数nを取得する。分散先指定部431は、n個に分割されるオブジェクトのオブジェクト片のそれぞれについて、オブジェクト片IDと保管要求先(認可要求サーバ、保管先のパス)とSSリクエストID(以下では、SSRIDという)とを決定する。そして、分散先指定部431は、S704において受信したオブジェクト名とオブジェクトの保管先の仮想パスと、決定したオブジェクト片IDと保管要求先とSSRIDとを保管要求先情報として、補助記憶装置203等に記憶する。本実施形態では、分散先指定部431は、4つの保管要求先情報を記憶することになる。
S706において、分散先指定部431は、オブジェクトのオブジェクト片それぞれについての保管要求先情報を、制御サーバ101に送信する。オブジェクト片の保管要求先情報は、例えば、オブジェクト片IDとオブジェクト片の保管要求先の認可要求サーバの情報と保管先パスの情報とSSRIDとの組み合わせである。本実施形態では、分散先指定部431は、4個のオブジェクト片の保管要求先情報を制御サーバ101に送信することになる。S706の処理は、要求先送信処理の一例である。
S707において、分割部412は、k(k≦n)個のオブジェクト片から元のオブジェクトが復元できるように、保管対象のオブジェクトをn個に分割する。本実施形態では、分割部412は、3個のオブジェクト片から元のオブジェクトが復元できるように、保管対象のオブジェクトを4個のオブジェクト片に分割する。 In step S <b> 705, the distribution destination designation unit 431 acquires the number n by which the object to be stored is divided from the setting file stored in the auxiliary storage device 203 or the like. The distribution destination designation unit 431 has an object piece ID, a storage request destination (authorization request server, storage destination path), and an SS request ID (hereinafter referred to as SSRID) for each of the object pieces of the object divided into n pieces. To decide. Then, the distribution destination designation unit 431 stores the object name received in S704, the virtual path of the object storage destination, the determined object piece ID, the storage request destination, and the SSRID as storage request destination information in the auxiliary storage device 203 or the like. Remember. In this embodiment, the distribution destination designation unit 431 stores four pieces of storage request destination information.
In step S <b> 706, the distribution destination designation unit 431 transmits storage request destination information for each object piece of the object to the control server 101. The object piece storage request destination information is, for example, a combination of the object piece ID, the information of the authorization request server of the object piece storage request destination, the information of the storage destination path, and the SSRID. In the present embodiment, the distribution destination designation unit 431 transmits the storage request destination information of the four object pieces to the control server 101. The process of S706 is an example of a request destination transmission process.
In step S <b> 707, the dividing unit 412 divides the object to be stored into n so that the original object can be restored from the k (k ≦ n) object pieces. In the present embodiment, the dividing unit 412 divides the object to be stored into four object pieces so that the original object can be restored from the three object pieces.

S708において、制御部411は、S707で分割された保管対象のオブジェクトのオブジェクト片のそれぞれについて、以下の処理を行う。即ち、制御部411は、S706で送信された保管要求先情報で指定された保管要求先である認可要求サーバに対して、オブジェクト片のデータとオブジェクト片IDとSSRIDと保管先パスの情報とを含むオブジェクト片の保管要求を送信する。本実施形態では、制御部411は、4つのオブジェクト片の保管要求を、それぞれ認可要求サーバ104、106、108、110に送信する。S708の処理は、オブジェクトの操作要求送信処理の一例である。
S709において、S708でオブジェクト片の保管要求を送信された認可要求サーバの認可要求部は、以下の処理を行う。即ち、認可要求部は、S504で送信された認可要求処理を省略する認可要求サーバであるか否かを示す情報に基づいて、送信された保管要求の認可要求をメタデータ管理サーバ103に送信するか否か(送信された保管要求の正当性をメタデータ管理サーバ103に確認する処理を実行するか否か)を判定する。また、認可要求部は、予め補助記憶装置等に保管された認可要求処理を行うか否かを示す情報に基づいて、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信するか否かを判定することとしてもよい。 In step S708, the control unit 411 performs the following process for each object piece of the storage target object divided in step S707. That is, the control unit 411 sends object piece data, object piece ID, SSRID, and storage destination path information to the authorization request server that is the storage request destination specified in the storage request destination information transmitted in S706. Send a request to save the containing object piece. In the present embodiment, the control unit 411 transmits storage requests for four object pieces to the authorization request servers 104, 106, 108, and 110, respectively. The process of S708 is an example of an object operation request transmission process.
In S709, the authorization request unit of the authorization request server that has transmitted the object piece storage request in S708 performs the following processing. That is, the authorization request unit transmits an authorization request for the transmitted storage request to the metadata management server 103 based on the information indicating whether or not the authorization request server omits the authorization request processing transmitted in S504. (Whether or not to execute processing for confirming the validity of the transmitted storage request with the metadata management server 103). Whether the authorization request unit transmits an authorization request for the object piece storage request to the metadata management server 103 based on information indicating whether to perform authorization request processing stored in advance in an auxiliary storage device or the like. It is good also as determining.

より具体的には、認可要求部は、S504で送信された情報が、認可要求処理を省略する認可要求サーバであることを示す情報である場合、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信しないと判定する。また、認可要求部は、S504で送信された情報が、認可要求処理を行う認可要求サーバであることを示す情報である場合、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信すると判定する。
そして、認可要求部は、S504で送信された情報に基づいて、送信された保管要求の認可要求をメタデータ管理サーバ103に送信すると判定した場合、S710の処理に進む。また、認可要求部は、S504で送信された情報に基づいて、オブジェクトのオブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信しないと判定した場合、S711の処理に進む。
本実施形態において、図6に示すように、認可処理を省略するDCは、DC4であり、その他のDCは、認可処理を行う認可要求サーバである。そのため、認可要求サーバ104、106、108は、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信すると判定することになる。また、認可要求サーバ110は、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信しないと判定することになる。 More specifically, when the information transmitted in S504 is information indicating that the authorization request server omits the authorization request processing, the authorization request unit manages the authorization request for the object piece storage request using metadata management. It determines with not transmitting to the server 103. Further, when the information transmitted in S504 is information indicating that it is an authorization request server that performs an authorization request process, the authorization request unit transmits an authorization request for an object piece storage request to the metadata management server 103. judge.
If the authorization request unit determines that the authorization request for the transmitted storage request is to be transmitted to the metadata management server 103 based on the information transmitted in S504, the process proceeds to S710. If the authorization request unit determines that the authorization request for the storage request for the object piece of the object is not transmitted to the metadata management server 103 based on the information transmitted in S504, the process proceeds to S711.
In this embodiment, as shown in FIG. 6, the DC that omits the authorization process is DC4, and the other DCs are authorization request servers that perform the authorization process. Therefore, the authorization request servers 104, 106, and 108 determine that the authorization request for the object piece storage request is transmitted to the metadata management server 103. Also, the authorization request server 110 determines not to send an authorization request for the object piece storage request to the metadata management server 103.

S710において、S709で認可要求処理を送信すると判定した認可要求部は、S708で受信した保管要求に含まれるオブジェクト片IDとSSRIDと保管先パスの情報とを含む保管要求についての認可要求を、メタデータ管理サーバ103に送信する。S710におけるS709で認可要求処理を送信すると判定した認可要求部の処理は、認可要求送信処理の一例である。
認可部432は、受信した認可要求に含まれるオブジェクト片ID及びSSRID、保管先パスの情報と、認可要求を送信した認可要求サーバの情報と、S705で保管要求先情報として保管された情報と、に基づいて、オブジェクト片の保管要求についての認可処理を行う。より具体的には、認可部432は、S705で保管要求先情報として保管された情報の中に、受信した認可要求に含まれるオブジェクト片ID及びSSRID、保管先パスの情報と、認可要求を送信した認可要求サーバの情報と、の組み合わせに合致するものがあるか否かを判定する。認可部432は、合致するものが存在すると判定した場合、受信した認可要求に対応する保存要求を認可できたものとし、合致するものが存在しないと判定した場合、受信した認可要求に対応する保存要求を認可できなかったものとする。 In S710, the authorization request unit that has determined that the authorization request process is transmitted in S709 transmits the authorization request for the storage request including the object piece ID, the SSRID, and the storage path information included in the storage request received in S708 to the meta request. Transmit to the data management server 103. The process of the authorization request unit determined to transmit the authorization request process in S709 in S710 is an example of the authorization request transmission process.
The authorization unit 432 includes the object piece ID and SSRID included in the received authorization request, information on the storage destination path, information on the authorization request server that transmitted the authorization request, information stored as storage request destination information in S705, Based on the above, the authorization process for the object piece storage request is performed. More specifically, the authorization unit 432 transmits the object piece ID and SSRID included in the received authorization request, information on the storage destination path, and the authorization request in the information stored as the storage request destination information in S705. It is determined whether or not there is a match with the combination of the authorization request server information that has been obtained. If the authorization unit 432 determines that there is a match, the authorization unit 432 determines that the storage request corresponding to the received authorization request has been authorized, and if it determines that there is no match, the storage corresponding to the received authorization request. Assume that the request could not be authorized.

認可部432は、認可処理の結果を、認可要求を送信した認可要求サーバに送信する。
認可要求部は、メタデータ管理サーバ103から認可処理の結果、保管要求が認可できなかったことを示す情報を受信した場合、制御サーバ101からの保管要求についての認可が失敗したことを示す情報を制御サーバ101に送信する。制御部411は、n−k+1個以上の設定された数の保管要求についての認可が失敗したことを示す情報を受信した場合、オブジェクトの保管要求の正当性が確認できなかったものとして、図7の処理を終了する。 The authorization unit 432 transmits the result of the authorization process to the authorization request server that has transmitted the authorization request.
When the authorization request unit receives information indicating that the storage request cannot be authorized as a result of the authorization process from the metadata management server 103, the authorization request unit displays information indicating that the authorization for the storage request from the control server 101 has failed. Transmit to the control server 101. When the control unit 411 receives information indicating that the authorization for the set number of storage requests of n−k + 1 or more has failed, it is assumed that the validity of the object storage request cannot be confirmed. Terminate the process.

S711において、S709で認可要求を送信しないと判定された認可要求サーバは、保管先パスの情報に基づき、S708で受信した保管要求に含まれるオブジェクト片のデータの保管を、同一DC内の保管サーバに要求する。また、S710で認可できたことを示す情報を受信した認可要求サーバも、同様に、S708で受信した保管要求に含まれるオブジェクト片のデータの保管を、同一DC内の保管サーバに要求する。
オブジェクト片のデータの保管を要求された保管サーバは、記憶部にオブジェクト片のデータを保管する。そして、保管サーバは、オブジェクト片の保管を要求してきた認可要求サーバに対して、保管処理の完了報告を送信する。 In S711, the authorization request server determined not to transmit the authorization request in S709 stores the data of the object piece included in the storage request received in S708 on the basis of the storage destination path information. To request. Similarly, the authorization request server that has received the information indicating that the authorization has been completed in S710 similarly requests the storage server in the same DC to store the data of the object piece included in the storage request received in S708.
The storage server requested to store the object piece data stores the object piece data in the storage unit. Then, the storage server transmits a storage processing completion report to the authorization request server that has requested storage of the object piece.

S712において、S711で保管処理の完了報告を受信した認可要求サーバは、受信した保管処理の完了報告を、制御サーバ101に送信する。制御サーバ101は、受信した保管処理の完了報告を、メタデータ管理サーバ103に送信する。
メタデータ管理サーバ103は、制御サーバ101から受信した完了報告がk個以上の設定された数に達したら、オブジェクトの保管完了を示す情報を、制御サーバ101に送信する。メタデータ管理サーバ103は、オブジェクト片全てについての保管完了を待つ必要はない。
S713において、制御サーバ101は、クライアントPC100にオブジェクトの保管が完了したことを示す情報を送信する。 In S 712, the authorization request server that has received the storage process completion report in S 711 transmits the received storage process completion report to the control server 101. The control server 101 transmits the received storage process completion report to the metadata management server 103.
When the number of completion reports received from the control server 101 reaches a set number of k or more, the metadata management server 103 transmits information indicating the completion of object storage to the control server 101. The metadata management server 103 does not have to wait for storage completion for all object pieces.
In step S713, the control server 101 transmits information indicating that the storage of the object is completed to the client PC 100.

図8は、オブジェクト管理システムによるオブジェクトの取得処理の一例を示すフローチャートである。
S801の処理は、S701と同様である。
S802において、保管/取得要求部402は、オブジェクト名とオブジェクトの取得元の仮想パスとS801で送信されたSIDとを含むオブジェクトの取得要求を、制御サーバ101に送信する。
S803において、制御部411は、オブジェクト名とオブジェクトの取得元の仮想パスとSIDとを含むオブジェクトの取得元問い合わせを、メタデータ管理サーバ103に送信する。 FIG. 8 is a flowchart illustrating an example of object acquisition processing by the object management system.
The process of S801 is the same as that of S701.
In step S <b> 802, the storage / acquisition request unit 402 transmits an object acquisition request including the object name, the virtual path from which the object is acquired, and the SID transmitted in step S <b> 801 to the control server 101.
In step S <b> 803, the control unit 411 transmits an object acquisition source query including the object name, the object acquisition virtual path, and the SID to the metadata management server 103.

S804において、分散先指定部431は、S803でオブジェクトの取得元問い合わせを受信した場合、以下の処理を行う。即ち、分散先指定部431は、メタデータ記憶部433に記憶されている権限情報から、受信した取得元問い合わせに含まれる仮想パスに読み出し可能なロールIDを抽出する。そして、分散先指定部431は、抽出したロールIDと受信した取得元問い合わせに含まれるSIDとを含むロールの妥当性確認要求を、認証サーバ102に送信する。
認証サーバ102のロール確認部422は、ロールの妥当性確認要求を受信した場合、認証情報記憶部423に記憶されているセッション情報から、受信した妥当性確認要求に含まれるSIDに対応するユーザを特定する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に基づいて、特定したユーザが妥当性確認要求に含まれるロールIDに対応するロールを有しているか否かを確認する。 In S804, the distribution destination designation unit 431 performs the following processing when receiving the object acquisition source query in S803. In other words, the distribution destination designation unit 431 extracts a role ID that can be read in the virtual path included in the received acquisition source query from the authority information stored in the metadata storage unit 433. Then, the distribution destination designation unit 431 transmits a role validation request including the extracted role ID and the SID included in the received acquisition source query to the authentication server 102.
When the role confirmation unit 422 of the authentication server 102 receives a role validity confirmation request, the role confirmation unit 422 selects a user corresponding to the SID included in the received validity confirmation request from the session information stored in the authentication information storage unit 423. Identify. The role confirmation unit 422 confirms whether or not the identified user has a role corresponding to the role ID included in the validity confirmation request, based on the role information stored in the authentication information storage unit 423.

より具体的には、ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在しているか否かを判定する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在していると判定した場合、ユーザのロールが妥当であると確認する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に、特定したユーザと妥当性確認要求に含まれるロールIDのロールとの組み合わせが存在していないと判定した場合、ユーザのロールが妥当ではないと確認する。
ロール確認部422は、ユーザのロールの妥当性確認の結果をメタデータ管理サーバ103に送信する。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当であることを示す結果である場合、S805の処理に進む。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当ではないことを示す結果である場合、図8の処理を終了する。 More specifically, the role confirmation unit 422 determines whether or not the combination of the identified user and the role with the role ID included in the validity confirmation request exists in the role information stored in the authentication information storage unit 423. Determine whether. When the role confirmation unit 422 determines that the combination of the specified user and the role with the role ID included in the validity confirmation request exists in the role information stored in the authentication information storage unit 423, Confirm that the role is valid. When the role confirmation unit 422 determines that the combination of the identified user and the role with the role ID included in the validity confirmation request does not exist in the role information stored in the authentication information storage unit 423, Check that the role is not valid.
The role confirmation unit 422 transmits the result of the validity confirmation of the user role to the metadata management server 103. If the result of the role validation received from the authentication server 102 is a result indicating that the user role is valid, the distribution destination designation unit 431 proceeds to the process of S805. When the result of the role validation received from the authentication server 102 is a result indicating that the user role is not valid, the distribution destination designation unit 431 ends the process of FIG.

S805において、分散先指定部431は、補助記憶装置203等に記憶されている設定ファイルから取得対象のオブジェクトがいくつのオブジェクト片に分割されて保管されているかを示す数nを取得する。分散先指定部431は、S705において補助記憶装置203等に記憶された保管要求先情報から、オブジェクト名及びオブジェクトの仮想パスを検索して、取得対象のオブジェクトのn個のオブジェクト片それぞれについて、オブジェクト片IDと取得要求先(認可要求サーバ、取得元のパス)を取得する。分散先指定部431は、オブジェクト片それぞれについて、SSリクエストIDを決定する。そして、分散先指定部431は、取得した情報と決定したSSRIDとを取得要求先情報として、補助記憶装置203等に記憶する。本実施形態では、分散先指定部431は、4つの取得要求先情報を記憶することになる。
S806において、分散先指定部431は、取得対象のオブジェクトのオブジェクト片IDとオブジェクト片の取得要求先の認可要求サーバの情報と取得元パスの情報とSSRIDとを含むオブジェクトのオブジェクト片の取得要求先情報を、制御サーバ101に送信する。本実施形態では、分散先指定部431は、4個のオブジェクト片の取得要求先情報を制御サーバ101に送信することになる。 In step S <b> 805, the distribution destination designation unit 431 acquires a number n indicating how many object pieces the object to be acquired is divided and stored from the setting file stored in the auxiliary storage device 203 or the like. The distribution destination designation unit 431 searches the object name and the virtual path of the object from the storage request destination information stored in the auxiliary storage device 203 or the like in S705, and for each of the n object pieces of the acquisition target object, The piece ID and the acquisition request destination (authorization request server, acquisition source path) are acquired. The distribution destination designation unit 431 determines the SS request ID for each object piece. Then, the distribution destination designation unit 431 stores the acquired information and the determined SSRID as acquisition request destination information in the auxiliary storage device 203 or the like. In the present embodiment, the distribution destination designation unit 431 stores four pieces of acquisition request destination information.
In S806, the distribution destination designation unit 431 obtains the object piece acquisition request destination of the object piece including the object piece ID of the acquisition target object, the information of the authorization request server of the acquisition request destination of the object piece, the information of the acquisition source path, and the SSRID. Information is transmitted to the control server 101. In the present embodiment, the distribution destination designation unit 431 transmits the acquisition request destination information of four object pieces to the control server 101.

S807において、制御部411は、S806で受信した取得要求先情報で指定された取得元に対応する認可要求サーバに対して、オブジェクト片IDとSSRIDと取得元パスの情報とを含むオブジェクト片の取得要求を送信する。本実施形態では、制御部411は、4つのオブジェクト片の取得要求を、それぞれ認可要求サーバ104、106、108、110に送信する。
S808において、S807でオブジェクト片の取得要求を送信された認可要求サーバの認可要求部は、以下の処理を行う。即ち、認可要求部は、S504で送信された認可要求処理を省略する認可要求サーバであるか否かを示す情報に基づいて、送信された取得要求の認可要求をメタデータ管理サーバ103に送信するか否か(送信された取得要求の正当性をメタデータ管理サーバ103に確認する処理を実行するか否か)を判定する。また、認可要求部は、予め補助記憶装置等に保管された認可要求処理を行うか否かを示す情報に基づいて、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信するか否かを判定することとしてもよい。 In step S807, the control unit 411 acquires an object fragment including the object fragment ID, the SSRID, and the acquisition source path information from the authorization request server corresponding to the acquisition source specified in the acquisition request destination information received in step S806. Send a request. In the present embodiment, the control unit 411 transmits acquisition requests for four object pieces to the authorization request servers 104, 106, 108, and 110, respectively.
In S808, the authorization request unit of the authorization request server that has received the object piece acquisition request in S807 performs the following processing. That is, the authorization request unit transmits an authorization request for the acquired acquisition request to the metadata management server 103 based on the information indicating whether or not the authorization request server omits the authorization request processing transmitted in S504. (Whether or not to execute processing for confirming the validity of the transmitted acquisition request with the metadata management server 103). Whether the authorization request unit transmits an authorization request for an object fragment acquisition request to the metadata management server 103 based on information indicating whether to perform authorization request processing stored in advance in an auxiliary storage device or the like. It is good also as determining.

より具体的には、認可要求部は、S504で送信された情報が、認可要求処理を省略する認可要求サーバであることを示す情報である場合、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信しないと判定する。また、認可要求部は、S504で送信された情報が、認可要求処理を行う認可要求サーバであることを示す情報である場合、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信すると判定する。
そして、認可要求部は、送信されたオブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信すると判定した場合、S809の処理に進む。また、認可要求部は、オブジェクトのオブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信しないと判定した場合、S810の処理に進む。
本実施形態において、図6に示すように、認可処理を省略するDCは、DC4であり、その他のDCは、認可処理を行う認可要求サーバである。そのため、認可要求サーバ104、106、108は、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信すると判定することになる。また、認可要求サーバ110は、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信しないと判定することになる。 More specifically, when the information transmitted in S504 is information indicating that the authorization request server omits the authorization request processing, the authorization request unit manages the authorization request for the object piece acquisition request by metadata management. It determines with not transmitting to the server 103. In addition, when the information transmitted in S504 is information indicating that it is an authorization request server that performs an authorization request process, the authorization request unit transmits an authorization request for an object fragment acquisition request to the metadata management server 103. judge.
If the authorization request unit determines to send the authorization request for the acquired object piece acquisition request to the metadata management server 103, the authorization request unit proceeds to the processing of S809. If the authorization request unit determines that the authorization request for the acquisition request for the object piece of the object is not transmitted to the metadata management server 103, the authorization request unit proceeds to the process of S810.
In this embodiment, as shown in FIG. 6, the DC that omits the authorization process is DC4, and the other DCs are authorization request servers that perform the authorization process. Therefore, the authorization request servers 104, 106, and 108 determine to send an authorization request for an object piece acquisition request to the metadata management server 103. Also, the authorization request server 110 determines not to send an authorization request for an object piece acquisition request to the metadata management server 103.

S809において、S808で認可要求処理を送信すると判定した認可要求部は、S807で受信した取得要求に含まれるオブジェクト片IDとSSRIDと取得元パスの情報とを含む取得要求についての認可要求を、メタデータ管理サーバ103に送信する。
認可部432は、受信した認可要求に含まれるオブジェクト片ID及びSSRID、取得元パスの情報と、認可要求を送信した認可要求サーバの情報と、S805で取得要求先情報として保管された情報と、に基づいて、オブジェクト片の取得要求についての認可処理を行う。より具体的には、認可部432は、S805で取得要求先情報として保管された情報の中に、受信した認可要求に含まれるオブジェクト片ID及びSSRID、取得元パスの情報と、認可要求を送信した認可要求サーバの情報と、の組み合わせに合致するものがあるか否かを判定する。認可部432は、合致するものが存在すると判定した場合、受信した認可要求に対応する取得要求を認可できたものとし、合致するものが存在しないと判定した場合、受信した認可要求に対応する取得要求を認可できなかったものとする。 In S809, the authorization request unit that has determined that the authorization request process is transmitted in S808 transmits an authorization request for the acquisition request including the object piece ID, the SSRID, and the acquisition source path information included in the acquisition request received in S807. Transmit to the data management server 103.
The authorization unit 432 includes the object piece ID and SSRID included in the received authorization request, information on the acquisition source path, information on the authorization request server that transmitted the authorization request, and information stored as the acquisition request destination information in S805, Based on the above, the authorization process for the object piece acquisition request is performed. More specifically, the authorization unit 432 transmits the object piece ID and SSRID included in the received authorization request, the information on the acquisition source path, and the authorization request in the information stored as the acquisition request destination information in S805. It is determined whether or not there is a match with the combination of the authorization request server information that has been obtained. If the authorization unit 432 determines that there is a match, the authorization unit 432 can authorize the acquisition request corresponding to the received authorization request. If the authorization unit 432 determines that there is no match, the acquisition unit 432 obtains the acquisition request corresponding to the received authorization request. Assume that the request could not be authorized.

認可部432は、認可処理の結果を、認可要求を送信した認可要求サーバに送信する。
認可要求部は、メタデータ管理サーバ103から認可処理の結果、オブジェクト片の取得要求が認可できなかったことを示す情報を受信した場合、制御サーバ101からのオブジェクト片の取得要求についての認可が失敗したことを示す情報を送信する。制御部411は、n−k+1個以上の設定された数のオブジェクト片の取得要求についての認可が失敗したことを示す情報を受信した場合、オブジェクトの取得要求の正当性が確認できなかったものとして、図8の処理を終了する。 The authorization unit 432 transmits the result of the authorization process to the authorization request server that has transmitted the authorization request.
When the authorization request unit receives information indicating that the object piece acquisition request could not be authorized as a result of the authorization process from the metadata management server 103, the authorization request unit failed to authorize the object piece acquisition request from the control server 101. Sends information indicating that this has occurred. When the control unit 411 receives information indicating that the authorization for the acquisition request for the set number of object pieces of n−k + 1 or more has failed, it is assumed that the validity of the object acquisition request cannot be confirmed. Then, the process of FIG.

S810において、S808で認可要求を送信しないと判定された認可要求サーバは、取得元パスの情報に基づき、S807で受信した取得要求に含まれるオブジェクト片IDに対応するオブジェクト片のデータの取得を、同一DC内の保管サーバに要求する。また、及びS809で認可できたことを示す情報を受信した認可要求サーバも、同様に、S807で受信した取得要求に含まれるオブジェクト片IDに対応するオブジェクト片のデータの取得を、同一DC内の保管サーバに要求する。
オブジェクト片のデータの取得を要求された保管サーバは、記憶部から該当するオブジェクト片のデータを取得する。そして、保管サーバは、オブジェクト片の保管を要求してきた認可要求サーバに対して、取得したオブジェクト片のデータを送信する。 In S810, the authorization request server determined not to transmit the authorization request in S808 acquires the data of the object piece corresponding to the object piece ID included in the acquisition request received in S807 based on the acquisition source path information. Request to storage server in the same DC. Similarly, the authorization request server that has received the information indicating that the authorization has been performed in S809 can also acquire the data of the object piece corresponding to the object piece ID included in the acquisition request received in S807 in the same DC. Request the storage server.
The storage server requested to acquire the data of the object piece acquires the data of the corresponding object piece from the storage unit. Then, the storage server transmits the acquired object piece data to the authorization request server that has requested the storage of the object piece.

S811において、S810でオブジェクト片のデータを受信した認可要求サーバは、受信したオブジェクト片のデータを、制御サーバ101に送信する。制御サーバ101の復元部413は、受信したオブジェクト片のデータの個数がk個に達したら、オブジェクト片のデータから元のオブジェクトを復元する。
S812において、制御サーバ101は、S811で復元されたオブジェクトのデータを、クライアントPC100に送信し、メタデータ管理サーバ103にオブジェクトの取得完了を示す情報を送信する。 In S811, the authorization request server that has received the object piece data in S810 transmits the received object piece data to the control server 101. When the number of pieces of received object piece data reaches k, the restoration unit 413 of the control server 101 restores the original object from the object piece data.
In step S812, the control server 101 transmits the object data restored in step S811 to the client PC 100, and transmits information indicating completion of object acquisition to the metadata management server 103.

以上、本実施形態の処理により、オブジェクト管理システムは、オブジェクトの操作に要する通信時間の増大を防ぐことができる。   As described above, according to the processing of this embodiment, the object management system can prevent an increase in communication time required for object operation.

<実施形態2>
実施形態1では、オブジェクト管理システムに含まれる各DCには、それぞれ1つ保管サーバが含まれることとした。即ち、各DCと実際のオブジェクト片の保管先である保管サーバとが1対1で対応している。そのため、認可処理を要しないDCを決定することは、認可処理を要しない保管サーバを決定することとみなすことができる。即ち、オブジェクト管理システムは、認可処理を省略するDCを決定することで、認可処理を要しない保管サーバを決定することができる。このように、オブジェクト管理システムは、適切に認可処理を要しない保管サーバを決定することで、認可処理に係る通信時間の増大を防ぐことができる。保管サーバは、オブジェクト又はオブジェクト片を保管する保管手段の一例である。
しかし、DCは、複数の保管サーバを含む場合がある。このような場合、オブジェクト管理システムは、認可処理を省略するDCを決定することで、認可処理を要しない保管サーバを決定することができない。
図9は、本実施形態のオブジェクト管理システムのシステム構成の一例を示す図である。図9のシステム構成は、図1のシステム構成と比べて、A社内に制御サーバ101の代わりに、メタデータ管理サーバ120が含まれる点、DC1内に認証サーバ102とメタデータ管理サーバ103とが含まれない点、DC2内に、認可要求サーバ106の他に認可要求サーバ121が含まれる点、DC2内に認可要求サーバ121に接続される保管サーバ122、123が含まれる点、及びDC3、4がない点で異なる。即ち、DC2には、認可要求サーバが複数存在する。また、DC2内の認可要求サーバ121には、複数の保管サーバが接続されている。
本実施形態のオブジェクト管理システムの各構成要素のうち、図1と同じ番号が付されている構成要素のハードウェア構成及び機能構成の詳細は、実施形態1と同様である。メタデータ管理サーバ120のハードウェア構成は、図2のメタデータ管理サーバ103のハードウェア構成と同様である。また、メタデータ管理サーバ120の機能構成は、図3B、3C、3Dの制御サーバ101、認証サーバ102、メタデータ管理サーバ103の機能構成要素を全て含む構成である。即ち、メタデータ管理サーバ120は、制御サーバ101、認証サーバ102、メタデータ管理サーバ103の役割を全て担うこととなる。認可要求サーバ121のハードウェア構成及び機能構成は、認可要求サーバ104、106と同様である。保管サーバ122、123のハードウェア構成及び機能構成は、保管サーバ105、107と同様である。 <Embodiment 2>
In the first embodiment, each DC included in the object management system includes one storage server. That is, there is a one-to-one correspondence between each DC and the storage server that is the actual storage location of the object piece. Therefore, determining a DC that does not require authorization processing can be regarded as determining a storage server that does not require authorization processing. That is, the object management system can determine a storage server that does not require an authorization process by determining a DC that omits the authorization process. Thus, the object management system can prevent an increase in communication time related to the authorization process by appropriately determining a storage server that does not require the authorization process. The storage server is an example of a storage unit that stores an object or an object piece.
However, the DC may include multiple storage servers. In such a case, the object management system cannot determine a storage server that does not require an authorization process by determining a DC that omits the authorization process.
FIG. 9 is a diagram illustrating an example of a system configuration of the object management system according to the present embodiment. The system configuration of FIG. 9 is different from the system configuration of FIG. 1 in that a metadata management server 120 is included in company A instead of the control server 101, and the authentication server 102 and the metadata management server 103 are included in DC1. Not included, DC2 includes an authorization request server 121 in addition to the authorization request server 106, DC2 includes storage servers 122 and 123 connected to the authorization request server 121, and DC3, 4 It is different in that there is no. That is, there are a plurality of authorization request servers in DC2. A plurality of storage servers are connected to the authorization request server 121 in the DC2.
Among the components of the object management system of this embodiment, the details of the hardware configuration and functional configuration of the components to which the same numbers as those in FIG. 1 are assigned are the same as those of the first embodiment. The hardware configuration of the metadata management server 120 is the same as the hardware configuration of the metadata management server 103 in FIG. The functional configuration of the metadata management server 120 includes all the functional components of the control server 101, the authentication server 102, and the metadata management server 103 in FIGS. 3B, 3C, and 3D. That is, the metadata management server 120 plays all the roles of the control server 101, the authentication server 102, and the metadata management server 103. The hardware configuration and functional configuration of the authorization request server 121 are the same as those of the authorization request servers 104 and 106. The hardware configuration and functional configuration of the storage servers 122 and 123 are the same as those of the storage servers 105 and 107.

本実施形態の処理を説明する。本実施形態では、オブジェクトをいくつのオブジェクト片に分割するかを示す数n=3、オブジェクトの復元に必要なオブジェクト片の数k=2とし、認可要求サーバ104、106、121のうちメタデータ管理サーバ120との通信に要する時間が最も大きい認可要求サーバを認可要求サーバ104とする。
まず、メタデータ管理サーバ120のCPUは、S501と同様の処理で、kとnとに基づいて、認可処理を要しない保管サーバの数を決定する。
メタデータ管理サーバ120のCPUは、実施形態1と同様に、認可処理を行う保管サーバの数をmax(n−k+1、k)以上の値に決定し、決定した値をnから引いた値を、認可処理を省略する保管サーバの数として決定する。メタデータ管理サーバ120のCPUは、認可処理を要する保管サーバの数をmax(3−2+1、2)=2以上の値に決定する。メタデータ管理サーバ120のCPUは、認可処理を要する保管サーバの数が3の場合、処理時間を削減する効果がないため、認可処理を要する保管サーバの数を2に決定する。そして、メタデータ管理サーバ120のCPUは、認可処理を要しない保管サーバの数を、n−2=3−2=1に決定する。
メタデータ管理サーバ120のCPUは、各DC内の認可要求サーバの通信時間を取得する。メタデータ管理サーバ120との通信に要する時間が最も大きい認可要求サーバは認可要求サーバ104であるため、メタデータ管理サーバ120のCPUは、認可処理を要しない保管サーバを、DC1にふくまれる保管サーバ105に決定する。 The processing of this embodiment will be described. In the present embodiment, the number n indicating how many object pieces are divided into n = 3, the number k of object pieces necessary for object restoration, k = 2, and metadata management among the authorization request servers 104, 106, 121. Let the authorization request server 104 be the authorization request server 104 that takes the longest time to communicate with the server 120.
First, the CPU of the metadata management server 120 determines the number of storage servers that do not require authorization processing based on k and n in the same processing as S501.
As in the first embodiment, the CPU of the metadata management server 120 determines the number of storage servers that perform the authorization process to a value equal to or greater than max (n−k + 1, k), and subtracts the determined value from n. Determine the number of storage servers that omit the authorization process. The CPU of the metadata management server 120 determines the number of storage servers that require authorization processing to a value equal to or greater than max (3−2 ++ 1) = 2. The CPU of the metadata management server 120 determines that the number of storage servers that require authorization processing is 2 because there is no effect of reducing the processing time when the number of storage servers that require authorization processing is three. Then, the CPU of the metadata management server 120 determines the number of storage servers that do not require authorization processing as n−2 = 3−2 = 1.
The CPU of the metadata management server 120 acquires the communication time of the authorization request server in each DC. Since the authorization request server 104 that takes the longest time to communicate with the metadata management server 120 is the authorization request server 104, the CPU of the metadata management server 120 defines a storage server that does not require an authorization process as a storage server included in the DC1. Determine to 105.

そして、メタデータ管理サーバ120のCPUは、DC2に3つの保管サーバ107、122、123が含まれているため、保管サーバ107、122、123のうち何れか2つを、認可処理を要する保管サーバに決定する。メタデータ管理サーバ120のCPUは、任意の決定方法で、保管サーバ107、122、123の何れか2つを、認可処理を要する保管サーバに決定してよい。メタデータ管理サーバ120のCPUは、例えば、保管サーバ107、122、123から2つをランダムに選択し、選択した保管サーバを、認可処理を要する保管サーバに決定してよいし、また、メタデータ管理サーバとの間の通信に要する時間が最小の認可要求サーバに対応する保管サーバを優先して2つ選択し、認可処理を要する保管サーバに決定してもよい。選択されなかった方の保管サーバは、オブジェクトの保管に利用されない保管サーバとなる。
CPU201は、オブジェクトのオブジェクト片を保管する保管サーバに対応する認可要求サーバそれぞれに対して、認可要求処理を要するか否かを示す認可要否情報を送信する。 Since the CPU of the metadata management server 120 includes three storage servers 107, 122, and 123 in DC2, any two of the storage servers 107, 122, and 123 are stored as storage servers that require authorization processing. To decide. The CPU of the metadata management server 120 may determine any two of the storage servers 107, 122, and 123 as storage servers that require an authorization process by an arbitrary determination method. For example, the CPU of the metadata management server 120 may randomly select two of the storage servers 107, 122, and 123, and determine the selected storage server as a storage server that requires an authorization process. Two storage servers corresponding to the authorization request server with the minimum time required for communication with the management server may be preferentially selected and determined as a storage server that requires an authorization process. The storage server that has not been selected is a storage server that is not used for storing objects.
The CPU 201 transmits authorization necessity information indicating whether or not authorization request processing is required to each authorization request server corresponding to the storage server that stores the object pieces of the object.

以上、本実施形態の処理により、オブジェクト管理システムは、DCに複数の認可要求サーバ、保管サーバが存在する場合でも、認可処理に係る通信時間や処理時間の増大を防ぐように、オブジェクト片の保管先を適切に決定することができる。
本実施形態では、オブジェクト管理システムは、2つの保管サーバに対応する認可要求サーバを含むとしたが、3つ以上の保管サーバに対応する認可要求サーバを含むこととしてもよい。また、本実施形態では、DC内に存在する2つの保管サーバが1つの認可要求サーバと接続されることとしたが、全ての保管サーバが1つの認可要求サーバと接続されることとしてもよいし、それぞれの保管サーバが1対1で別個の認可要求サーバと接続されることとしてもよい。また、本実施形態では、認可要求サーバと保管サーバとは、別個の装置であるとした。しかし、認可要求部と記憶部とを含む単一の装置が認可要求サーバと保管サーバとの処理を行うこととしてもよい。 As described above, according to the processing of this embodiment, the object management system stores object pieces so as to prevent an increase in communication time and processing time related to authorization processing even when there are a plurality of authorization request servers and storage servers in the DC. The destination can be determined appropriately.
In this embodiment, the object management system includes an authorization request server corresponding to two storage servers. However, the object management system may include an authorization request server corresponding to three or more storage servers. In the present embodiment, two storage servers existing in the DC are connected to one authorization request server, but all storage servers may be connected to one authorization request server. Each storage server may be connected to a separate authorization request server on a one-to-one basis. In the present embodiment, the authorization request server and the storage server are separate devices. However, a single device including the authorization request unit and the storage unit may perform processing of the authorization request server and the storage server.

<実施形態3>
実施形態1では、オブジェクト管理システムのDCは、認可要求サーバを1つ含むこととした。本実施形態では、オブジェクト管理システムが認可要求サーバを含まないDCを含む場合について説明する。
図10は、本実施形態のオブジェクト管理システムのシステム構成の一例を示す図である。図10のシステム構成は、図1のシステム構成と比べて、DC4に認可要求サーバ110が存在しない点で異なる。即ち、DC4には、保管サーバ111への操作要求についての認可処理を行う機能がない。
本実施形態のオブジェクト管理システムの各構成要素のハードウェア構成及び機能構成の詳細は、実施形態1と同様である。 <Embodiment 3>
In the first embodiment, the DC of the object management system includes one authorization request server. In the present embodiment, a case where the object management system includes a DC that does not include an authorization request server will be described.
FIG. 10 is a diagram illustrating an example of a system configuration of the object management system according to the present embodiment. The system configuration in FIG. 10 differs from the system configuration in FIG. 1 in that the authorization request server 110 does not exist in DC4. That is, the DC 4 does not have a function for performing an authorization process for an operation request to the storage server 111.
Details of the hardware configuration and functional configuration of each component of the object management system of this embodiment are the same as those of the first embodiment.

本実施形態の処理を説明する。本実施形態では、オブジェクトをいくつのオブジェクト片に分割するかを示す数n=4、オブジェクトの復元に必要なオブジェクト片の数k=3とし、DC1〜3のうちメタデータ管理サーバ103等との通信に要する時間が最も大きいDCをDC4とする。
まず、CPU201は、S501と同様の処理で、kとnとに基づいて、認可処理を要しない保管サーバの数を決定する。
CPU201は、実施形態1と同様に、認可処理を行う保管サーバの数をmax(n−k+1、k)以上の値に決定し、決定した値をnから引いた値を、認可処理を省略する保管サーバの数として決定する。CPU201は、認可処理を要する保管サーバの数をmax(4−3+1、3)=3以上の値に決定する。CPU201は、認可処理を要する保管サーバの数が4の場合、処理時間を削減する効果がないため、認可処理を要する保管サーバの数を3に決定する。そして、CPU201は、認可処理を要しない保管サーバの数を、n−3=4−3=1に決定する。 The processing of this embodiment will be described. In this embodiment, the number n indicating how many object pieces are divided into n = 4, the number k of object pieces necessary for object restoration is set to 3, and the metadata management server 103 or the like among DC1 to DC3. The DC that takes the longest time for communication is defined as DC4.
First, the CPU 201 determines the number of storage servers that do not require an authorization process based on k and n in the same process as S501.
As in the first embodiment, the CPU 201 determines the number of storage servers that perform the authorization process to a value equal to or greater than max (n−k + 1, k), and omits the authorization process by subtracting the determined value from n. Determine as the number of storage servers. The CPU 201 determines the number of storage servers that require authorization processing to a value equal to or greater than max (4-3 + 1, 3) = 3. When the number of storage servers that require authorization processing is four, the CPU 201 determines that the number of storage servers that require authorization processing is three because there is no effect of reducing the processing time. Then, the CPU 201 determines the number of storage servers that do not require authorization processing as n−3 = 4−3 = 1.

CPU201は、認可処理を要しない保管サーバの数を決定したら、まず、認可機能を有しないDCに含まれる保管サーバ(認可要求サーバに接続されない保管サーバ)のうち、決定した数の保管サーバを、認可処理を要しない保管サーバとして決定する。本実施形態では、CPU201は、1つの保管サーバ111を、認可処理を要しない保管サーバとして決定する。そして、CPU201は、保管サーバ105、107、109を、認可処理を要する保管サーバとして決定する。
決定された認可処理を要しない保管サーバの数よりも、認可要求サーバに接続されていない保管サーバの数が少ない場合、CPU201は、まず、認可要求サーバに接続されていない保管サーバを、全て、認可処理を要しない保管サーバとして決定する。そして、CPU201は、実施形態1と同様に、各保管サーバと接続される認可要求サーバについての通信時間に基づいて、残りの認可処理を要しない保管サーバを決定する。 When the CPU 201 determines the number of storage servers that do not require authorization processing, first, the CPU 201 determines the determined number of storage servers among the storage servers included in the DC that does not have the authorization function (storage servers that are not connected to the authorization request server). It is determined as a storage server that does not require authorization processing. In the present embodiment, the CPU 201 determines one storage server 111 as a storage server that does not require authorization processing. Then, the CPU 201 determines the storage servers 105, 107, and 109 as storage servers that require authorization processing.
When the number of storage servers that are not connected to the authorization request server is smaller than the number of storage servers that do not require the authorization process, the CPU 201 first selects all storage servers that are not connected to the authorization request server, It is determined as a storage server that does not require authorization processing. And CPU201 determines the storage server which does not require the remaining authorization processing based on the communication time about the authorization request | requirement server connected with each storage server similarly to Embodiment 1. FIG.

以上、本実施形態の処理により、オブジェクト管理システムは、認可要求サーバを含まないDCを含む場合でも、認可処理に係る通信時間や処理時間の増大を防ぐように、オブジェクト片の保管先を適切に決定することができる。
また、本実施形態の処理により、オブジェクト管理システムは、一部に認可処理を要しない保管サーバを含んでいる場合であっても、オブジェクト管理システムのセキュリティを保つことができる。 As described above, according to the processing of this embodiment, the object management system appropriately sets the storage location of the object piece so as to prevent an increase in communication time and processing time related to the authorization processing even when the DC does not include the authorization request server. Can be determined.
Further, the object management system can maintain the security of the object management system even when the object management system includes a storage server that does not require an authorization process by the processing of this embodiment.

<その他の実施形態>
オブジェクト管理システムに管理されるオブジェクトには、例えば、オブジェクト管理システムにアクセスできる者なら誰でも取得することを許可されているが、オブジェクトの保管(上書・更新)については、設定された者しか許可されていないものがある。また、オブジェクト管理システムに管理されるオブジェクトには、例えば、設定された者だけが取得することを許可されているが、オブジェクト管理システムにアクセスできる者なら誰でもオブジェクトの保管を行うものもある。このような場合、オブジェクト管理システムは、オブジェクトの操作要求全てに対して、認可処理を行うこととすると、不要な認可処理を行うこととなり、不要な認可処理に係る通信時間や処理時間が増大することとなる。
そこで、CPU201は、例えば、実施形態1〜3において、各認可要求サーバに対して、オブジェクトの保管操作の要求に対してのみ適用される認可要否情報を送信することとしてもよい。また、CPU201は、逆に、各認可要求サーバに対して、オブジェクトの取得操作の要求に対してのみ適用される認可要否情報を送信することとしてもよい。そして、各認可要求サーバは、設定されたオブジェクトの操作要求がされた場合のみ、認可要否情報に基づいた認可要求処理を行うこととなる。
以上の処理により、オブジェクト管理システムは、不要な認可処理に係る通信時間、処理時間の増大を防ぐことができる。 <Other embodiments>
For the objects managed by the object management system, for example, anyone who can access the object management system is permitted to obtain the object. However, only the person who has set the object storage (overwrite / update) is allowed. Some are not allowed. In addition, for example, only a set person is permitted to acquire an object managed by the object management system, but there is also an object managed by any person who can access the object management system. In such a case, if the object management system performs authorization processing for all object operation requests, unnecessary authorization processing is performed, and communication time and processing time related to unnecessary authorization processing increase. It will be.
Therefore, for example, in the first to third embodiments, the CPU 201 may transmit, to each authorization request server, authorization necessity information that is applied only to a request for an object storage operation. Conversely, the CPU 201 may transmit authorization necessity information that is applied only to a request for an object acquisition operation to each authorization request server. Each authorization request server performs an authorization request process based on authorization necessity information only when an operation request for the set object is made.
With the above processing, the object management system can prevent an increase in communication time and processing time related to unnecessary authorization processing.

実施形態1〜3では、オブジェクト管理システムは、オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて認可処理を要しない保管サーバの数を決定し、認可要求処理を省略する認可要求サーバを決定することで、認可処理を要しない保管サーバを決定することとした。
しかし、オブジェクト管理システムは、オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて認可処理を要する保管サーバの数を決定し、オブジェクトがいくつのオブジェクト片に分割されるかを示す数から決定した数を引いた値を、認可処理を要しない保管サーバの数としてもよい。
また、オブジェクト管理システムは、オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて認可処理を要する保管サーバの数を決定し、認可要求処理を行う認可要求サーバを決定し、オブジェクト片を保管する保管サーバのうち、決定した認可要求サーバに対応する保管サーバ以外の保管サーバから、認可処理を要しない保管サーバを選択することとしてもよい。
オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて決定される認可処理を要しない保管サーバの数や認可処理を要する保管サーバの数は、どれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報の一例である。
各実施形態における認可要求サーバは、オブジェクトの操作要求に対して認可処理の要求を行う認可要求手段の一例である。認可要求手段には、認可要求サーバの他に、例えば、認可処理を要求する機能を有するサーバ以外の情報処理装置や、認可処理を要求する機能を実現するアプリケーション等がある。 In the first to third embodiments, the object management system is a storage server that does not require an authorization process based on the number indicating how many object pieces the object is divided into and the number of object pieces required to restore the object. By determining the number and determining the authorization request server that omits the authorization request process, the storage server that does not require the authorization process is determined.
However, the object management system determines the number of storage servers that require authorization processing based on the number indicating how many objects the object is divided into and the number of object pieces required to restore the object. A value obtained by subtracting the determined number from the number indicating how many object pieces are divided may be used as the number of storage servers that do not require the authorization process.
The object management system also determines the number of storage servers that require authorization processing based on the number of object pieces into which the object is divided and the number of object pieces required to restore the object. It is also possible to determine an authorization request server that performs request processing and select a storage server that does not require authorization processing from storage servers other than the storage server corresponding to the determined authorization request server among storage servers that store object pieces. Good.
The number of storage servers that do not require authorization processing and the number of storage servers that require authorization processing, which are determined based on the number of object pieces divided into the number of object pieces and the number of object pieces required to restore the object The number is an example of authorization omission information that is information indicating how many storage means do not require authorization processing.
The authorization request server in each embodiment is an example of an authorization request unit that requests authorization processing for an object operation request. In addition to the authorization request server, the authorization request means includes, for example, an information processing apparatus other than a server having a function for requesting authorization processing, an application for realizing a function for requesting authorization processing, and the like.

上述した各実施形態の処理によれば、メタデータ管理サーバ103、120のCPUは、オブジェクト管理システム内の情報のやり取りの量を減らすことができるためネットワークの帯域の使用率を下げることができる。
以上、本発明の好ましい実施形態について詳述したが、本発明は係る特定の実施形態に限定されるものではない。
例えば、上述したオブジェクト管理システムの機能構成の一部又は全てをハードウェアとして制御サーバ101や認証サーバ102やメタデータ管理サーバ103に実装してもよい。 According to the processing of each embodiment described above, the CPUs of the metadata management servers 103 and 120 can reduce the amount of information exchange in the object management system, thereby reducing the network bandwidth usage rate.
As mentioned above, although preferable embodiment of this invention was explained in full detail, this invention is not limited to the specific embodiment which concerns.
For example, a part or all of the functional configuration of the above-described object management system may be implemented in the control server 101, the authentication server 102, and the metadata management server 103 as hardware.

101 制御サーバ、102 認証サーバ、103 メタデータ管理サーバ 101 control server, 102 authentication server, 103 metadata management server

Claims (15)

オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する第1の取得手段と、
前記第1の取得手段により取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定手段と、
を有する情報処理装置。 Based on the number of divisions indicating how many object pieces the object is divided into and the number of restorations that are the number of object pieces required to restore the object, the number of object pieces of the object divided into the number of divisions A first acquisition unit that acquires authorization omission information that is information indicating how many storage units of each of the plurality of storage units that are stored do not require an authorization process;
A determination unit that determines a storage unit that does not require an authorization process from the plurality of storage units based on the authorization skip information acquired by the first acquisition unit;
An information processing apparatus. 前記複数の保管手段のそれぞれが前記決定手段により前記認可処理を要しない保管手段に決定されたか否かに基づいて、前記複数の保管手段のそれぞれに対応する認可要求手段に、認可処理の実行を要するか否かを示す認可要否情報を送信する送信手段を更に有する請求項1記載の情報処理装置。   Based on whether or not each of the plurality of storage means is determined as a storage means that does not require the authorization process by the determination means, the authorization request means corresponding to each of the plurality of storage means executes the authorization process. The information processing apparatus according to claim 1, further comprising transmission means for transmitting authorization necessity information indicating whether or not the authorization is required. 前記送信手段は、前記決定手段により決定された前記認可処理を要しない保管手段に対応する認可要求手段に、認可処理の実行を要しないことを示す認可要否情報を送信し、前記複数の保管手段に含まれる前記認可処理を要しない保管手段以外の保管手段に対応する認可要求手段に、認可処理の実行を要することを示す認可要否情報を送信する請求項2記載の情報処理装置。   The transmission means transmits approval necessity information indicating that the execution of the authorization process is not required to the authorization request means corresponding to the storage means that does not require the authorization process determined by the determination means, and the plurality of storages The information processing apparatus according to claim 2, wherein authorization necessity information indicating that it is necessary to execute the authorization process is transmitted to an authorization request unit corresponding to a storage unit other than the storage unit that does not require the authorization process included in the unit. 前記第1の取得手段は、前記分割数と、前記復元数と、に基づいて、認可処理を要しない保管手段の数である省略数を、前記認可省略情報として取得する請求項1乃至3何れか1項記載の情報処理装置。   The first acquisition unit acquires, as the authorization omission information, an abbreviation number that is the number of storage units that do not require an authorization process based on the division number and the restoration number. The information processing apparatus according to claim 1. 前記第1の取得手段は、前記分割数から前記復元数を引いた差分以下である値を、前記省略数として取得する請求項4記載の情報処理装置。   The information processing apparatus according to claim 4, wherein the first acquisition unit acquires, as the omitted number, a value that is equal to or less than a difference obtained by subtracting the restoration number from the division number. 前記第1の取得手段は、前記復元数よりも小さい値を、前記省略数として取得する請求項5記載の情報処理装置。   The information processing apparatus according to claim 5, wherein the first acquisition unit acquires a value smaller than the restoration number as the omitted number. 前記複数の保管手段のそれぞれに対応する認可要求手段についての通信時間を取得する第2の取得手段を更に有し、
前記決定手段は、前記第2の取得手段により取得された前記通信時間と前記第1の取得手段により取得された前記認可省略情報とに基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する請求項4乃至6何れか1項記載の情報処理装置。 A second obtaining means for obtaining a communication time for an authorization request means corresponding to each of the plurality of storage means;
The determination unit performs an authorization process from the plurality of storage units based on the communication time acquired by the second acquisition unit and the authorization skip information acquired by the first acquisition unit. The information processing apparatus according to claim 4, wherein a storage unit that is not required is determined. 前記第2の取得手段は、前記複数の保管手段のそれぞれに対応する認可要求手段のそれぞれが認可処理を行う場合に行う通信に要する時間を、前記通信時間として取得し、
前記決定手段は、前記複数の保管手段に対応する認可要求手段のうち、前記第2の取得手段により取得された前記通信時間が最大のものから前記第1の取得手段により取得された前記省略数の認可要求手段を決定し、決定した認可要求手段に対応する保管手段を、認可処理を要しない保管手段として決定する請求項7記載の情報処理装置。 The second acquisition means acquires, as the communication time, a time required for communication performed when each of the authorization request means corresponding to each of the plurality of storage means performs an authorization process,
The determination means includes the abbreviated number acquired by the first acquisition means from the one having the maximum communication time acquired by the second acquisition means among the authorization request means corresponding to the plurality of storage means. 8. The information processing apparatus according to claim 7, wherein the authorization request means is determined, and the storage means corresponding to the determined authorization request means is determined as a storage means that does not require an authorization process. 前記第2の取得手段は、前記複数の保管手段のそれぞれに対応する認可要求手段のそれぞれと前記情報処理装置との間の通信に要する時間を前記通信時間として取得する請求項8記載の情報処理装置。   9. The information processing according to claim 8, wherein the second acquisition unit acquires a time required for communication between each of the authorization request unit corresponding to each of the plurality of storage units and the information processing apparatus as the communication time. apparatus. 前記第2の取得手段は、前記複数の保管手段のそれぞれに対応する認可要求手段のそれぞれと前記情報処理装置との間の通信に要する時間と、前記複数の保管手段のそれぞれに対応する認可要求手段のそれぞれと制御装置の間の通信に要する時間と、の和を前記通信時間として取得する請求項8記載の情報処理装置。   The second acquisition means includes a time required for communication between each of the authorization request means corresponding to each of the plurality of storage means and the information processing apparatus, and an authorization request corresponding to each of the plurality of storage means. The information processing apparatus according to claim 8, wherein a sum of time required for communication between each of the means and the control apparatus is acquired as the communication time. 前記決定手段は、前記複数の保管手段のそれぞれに対応する認可要求手段のうち前記省略数の認可要求手段を、認可処理を要しない保管手段に対応する認可要求手段とする全ての組み合わせの中から、その組み合わせの中の認可要求手段の通信時間のうち最小ものから数えて前記復元数の値の順位の値が最小となる組み合わせを特定し、特定した前記組み合わせに対応する認可要求手段に対応する保管手段を、認可処理を要しない保管手段として決定する請求項7記載の情報処理装置。   The determining means includes all the combinations of the authorization request means corresponding to each of the plurality of storage means as the authorization request means corresponding to the storage means that does not require an authorization process. , Identify the combination that minimizes the rank of the restoration number value counted from the minimum communication time of the authorization request means in the combination, and corresponds to the authorization request means corresponding to the identified combination The information processing apparatus according to claim 7, wherein the storage unit is determined as a storage unit that does not require an authorization process. 制御装置と、複数の保管手段のそれぞれに対応する複数の認可要求手段と、管理サーバと、を含む認可システムであって、
前記制御装置は、
オブジェクトのオブジェクト片それぞれについての操作要求を、操作要求先である前記複数の保管手段のそれぞれに対応する前記複数の認可要求手段のそれぞれに送信する操作要求送信手段を有し、
前記複数の認可要求手段のそれぞれの認可要求手段は、
前記制御装置から前記オブジェクトのオブジェクト片の操作要求を受信した際、前記認可要求手段が認可処理の実行を要するか否かを示す認可要否情報に基づいて、前記認可要求手段が前記オブジェクト片の操作要求について認可処理を行うか否かを判定する判定手段と、
前記判定手段により前記オブジェクト片の操作要求について認可処理を行うと判定された場合、前記オブジェクト片の操作要求についての認可要求を前記管理サーバに送信する認可要求送信手段と、
を有し、
前記管理サーバは、
前記認可要求送信手段により送信された前記認可要求に応じた認可処理を行う認可手段を有する認可システム。 An authorization system including a control device, a plurality of authorization request means corresponding to each of a plurality of storage means, and a management server,
The controller is
An operation request transmitting means for transmitting an operation request for each object piece of the object to each of the plurality of authorization request means corresponding to each of the plurality of storage means being an operation request destination;
Each authorization request means of the plurality of authorization request means,
When the operation request for the object piece of the object is received from the control device, the authorization request unit determines whether the object piece is based on authorization necessity information indicating whether the authorization request unit needs to execute an authorization process. A determination means for determining whether or not to perform an authorization process for the operation request;
An authorization request transmitting means for transmitting an authorization request for the operation request for the object piece to the management server when it is determined by the judging means to perform an authorization process for the operation request for the object piece;
Have
The management server
An authorization system having an authorization unit that performs an authorization process according to the authorization request transmitted by the authorization request transmission unit. 前記管理サーバは、
前記オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される前記複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する取得手段と、
前記取得手段により取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定手段と、
前記決定手段により決定された前記認可処理を要しない保管手段に基づいて、前記複数の認可要求手段に、認可処理の実行を要するか否かを示す認可要否情報を送信する要否情報送信手段と、
を更に有し、
前記判定手段は、前記制御装置から前記オブジェクトのオブジェクト片の操作要求を受信した際、前記要否情報送信手段により送信された前記認可要否情報に基づいて、前記オブジェクト片の操作要求について認可処理を行うか否かを判定する請求項12記載の認可システム。 The management server
The object piece of the object divided into the division number based on the division number indicating how many object pieces the object is divided into and the restoration number that is the number of object pieces required for restoration of the object Acquisition means for acquiring authorization omission information that is information indicating how many of the storage means each of which is stored does not require authorization processing;
A determination unit that determines a storage unit that does not require an authorization process from the plurality of storage units based on the authorization skip information acquired by the acquisition unit;
Necessity information transmission means for transmitting authorization necessity information indicating whether or not the authorization process needs to be executed to the plurality of authorization request means based on the storage means that does not require the authorization process determined by the determination means. When,
Further comprising
When the determination unit receives an operation request for the object piece of the object from the control device, an authorization process is performed on the operation request for the object piece based on the authorization necessity information transmitted by the necessity information transmission unit. The authorization system according to claim 12, wherein it is determined whether or not to perform. 情報処理装置が実行する情報処理方法であって、
オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する取得ステップと、
前記取得ステップで取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定ステップと、
を含む情報処理方法。 An information processing method executed by an information processing apparatus,
Based on the number of divisions indicating how many object pieces the object is divided into and the number of restorations that are the number of object pieces required to restore the object, the number of object pieces of the object divided into the number of divisions An acquisition step of acquiring authorization omission information, which is information indicating how many of the storage means each of which is stored does not require authorization processing;
A determination step for determining a storage means that does not require an authorization process from among the plurality of storage means based on the authorization skip information acquired in the acquisition step;
An information processing method including: コンピュータに、
オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する取得ステップと、
前記取得ステップで取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定ステップと、
を実行させるためのプログラム。 On the computer,
Based on the number of divisions indicating how many object pieces the object is divided into and the number of restorations that are the number of object pieces required to restore the object, the number of object pieces of the object divided into the number of divisions An acquisition step of acquiring authorization omission information, which is information indicating how many of the storage means each of which is stored does not require authorization processing;
A determination step for determining a storage means that does not require an authorization process from among the plurality of storage means based on the authorization skip information acquired in the acquisition step;
A program for running
JP2016214604A 2015-12-10 2016-11-01 Information processing apparatus, authorization system, information processing method and program Active JP6538019B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US15/373,251 US10348490B2 (en) 2015-12-10 2016-12-08 Information processing device, authorization system, information processing method, and recording medium
CN201611132340.5A CN106878256B (en) 2015-12-10 2016-12-09 Information processing apparatus, approval system, and information processing method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015241429 2015-12-10
JP2015241429 2015-12-10

Publications (3)

Publication Number Publication Date
JP2017111800A true JP2017111800A (en) 2017-06-22
JP2017111800A5 JP2017111800A5 (en) 2018-12-27
JP6538019B2 JP6538019B2 (en) 2019-07-03

Family

ID=59080249

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016214604A Active JP6538019B2 (en) 2015-12-10 2016-11-01 Information processing apparatus, authorization system, information processing method and program

Country Status (2)

Country Link
JP (1) JP6538019B2 (en)
CN (1) CN106878256B (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005099910A (en) * 2003-09-22 2005-04-14 Dainippon Printing Co Ltd Supply method and supply system for digital contents
JP2005209118A (en) * 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> Information distributed storage system, overall authentication server device used therefor, authentication server device, distributed storage server device, and information distributed storage method
WO2013145222A1 (en) * 2012-03-29 2013-10-03 富士通株式会社 Information processing device and data storing processing program
US20140181935A1 (en) * 2012-12-21 2014-06-26 Dropbox, Inc. System and method for importing and merging content items from different sources

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2002357259A1 (en) * 2001-12-13 2003-07-09 Digimarc Corporation Reversible watermarking
JP4292835B2 (en) * 2003-03-13 2009-07-08 沖電気工業株式会社 Secret reconstruction method, distributed secret reconstruction device, and secret reconstruction system
JP4778361B2 (en) * 2006-05-19 2011-09-21 日立オムロンターミナルソリューションズ株式会社 Authentication apparatus, authentication system, and apparatus confirmation method for authentication apparatus
JP6312344B2 (en) * 2014-02-18 2018-04-18 日本電信電話株式会社 Security device, method thereof, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005099910A (en) * 2003-09-22 2005-04-14 Dainippon Printing Co Ltd Supply method and supply system for digital contents
JP2005209118A (en) * 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> Information distributed storage system, overall authentication server device used therefor, authentication server device, distributed storage server device, and information distributed storage method
WO2013145222A1 (en) * 2012-03-29 2013-10-03 富士通株式会社 Information processing device and data storing processing program
US20140181935A1 (en) * 2012-12-21 2014-06-26 Dropbox, Inc. System and method for importing and merging content items from different sources

Also Published As

Publication number Publication date
CN106878256B (en) 2020-04-14
CN106878256A (en) 2017-06-20
JP6538019B2 (en) 2019-07-03

Similar Documents

Publication Publication Date Title
US11475137B2 (en) Distributed data storage by means of authorisation token
CN111488598B (en) Access control method, device, computer equipment and storage medium
US9088557B2 (en) Encryption key management program, data management system
JP6499310B2 (en) Key export technology
US11290435B2 (en) Authenticated device-based storage operations
KR101966767B1 (en) System for managing encryption keys for cloud services
EP3585032B1 (en) Data security service
US8997198B1 (en) Techniques for securing a centralized metadata distributed filesystem
US8572268B2 (en) Managing secure sessions
Seiger et al. SecCSIE: a secure cloud storage integrator for enterprises
US9009469B2 (en) Systems and methods for securing data in a cloud computing environment using in-memory techniques and secret key encryption
CN107483495B (en) Big data cluster host management method, management system and server
CN109450633B (en) Information encryption transmission method and device, electronic equipment and storage medium
CN111783075A (en) Authority management method, device and medium based on secret key and electronic equipment
CN109657492B (en) Database management method, medium, and electronic device
WO2017033442A1 (en) Information processing device, authentication system, authentication method, and recording medium for recording computer program
CN104104692A (en) Virtual machine encryption method, decryption method and encryption-decryption control system
CN112861157A (en) Data sharing method based on decentralized identity and proxy re-encryption
CN106992978A (en) Network safety managing method and server
US20140007197A1 (en) Delegation within a computing environment
CN111988262B (en) Authentication method, authentication device, server and storage medium
Suthar et al. EncryScation: A novel framework for cloud iaas, daas security using encryption and obfuscation techniques
US10348490B2 (en) Information processing device, authorization system, information processing method, and recording medium
JP6538019B2 (en) Information processing apparatus, authorization system, information processing method and program
CN108345801B (en) Ciphertext database-oriented middleware dynamic user authentication method and system

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181113

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181113

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20181113

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20190214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190226

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190410

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190528

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190605

R150 Certificate of patent or registration of utility model

Ref document number: 6538019

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250