JP6538019B2 - 情報処理装置、認可システム、情報処理方法及びプログラム - Google Patents
情報処理装置、認可システム、情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP6538019B2 JP6538019B2 JP2016214604A JP2016214604A JP6538019B2 JP 6538019 B2 JP6538019 B2 JP 6538019B2 JP 2016214604 A JP2016214604 A JP 2016214604A JP 2016214604 A JP2016214604 A JP 2016214604A JP 6538019 B2 JP6538019 B2 JP 6538019B2
- Authority
- JP
- Japan
- Prior art keywords
- authorization
- request
- server
- storage
- authorization request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims description 494
- 230000010365 information processing Effects 0.000 title claims description 23
- 238000003672 processing method Methods 0.000 title claims description 4
- 238000003860 storage Methods 0.000 claims description 317
- 238000000034 method Methods 0.000 claims description 170
- 238000012545 processing Methods 0.000 claims description 138
- 230000006854 communication Effects 0.000 claims description 101
- 238000004891 communication Methods 0.000 claims description 97
- 239000012634 fragment Substances 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 claims description 13
- 230000014759 maintenance of location Effects 0.000 claims 1
- 238000007726 management method Methods 0.000 description 178
- 238000010586 diagram Methods 0.000 description 21
- 238000010200 validation analysis Methods 0.000 description 20
- 238000012790 confirmation Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 12
- 101000892301 Phomopsis amygdali Geranylgeranyl diphosphate synthase Proteins 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 101100386719 Caenorhabditis elegans dcs-1 gene Proteins 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
特許文献1、特許文献2には、秘密分散技術を用いて、重要データから複数のデータ片を生成し、複数のデータセンター(以下では、DCという)上のサーバに分散保管するデータ分散保管システムが開示されている。
しかし、パスワード情報を各サーバで保持するため、情報が更新される場合、各サーバでも更新処理が発生してしまう。また、各サーバの運用保守が煩雑になってしまう。認証認可サーバ等の特定のサーバで行った認証結果や認可結果の情報を、サーバ間で通信を行って引き継ぐ方法も考えられるが、DC間の通信速度が遅い場合には通信処理に時間がかかってしまうという問題がある。
そこで、本発明では、オブジェクトの操作に要する通信時間の増大を防ぐことを目的とする。
<実施形態1>
図1は、オブジェクト管理システムのシステム構成の一例を示す図である。本実施形態のオブジェクト管理システムは、A社内のユーザにより使用されるシステムであるとする。オブジェクト管理システムは、クライアントPC100、制御サーバ101、認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104、106、108、110、保管サーバ105、107、109、111を含む。オブジェクト管理システムは、認可システムの一例である。
クライアントPC100、制御サーバ101は、A社内に設置されている。クライアントPC100、制御サーバ101は、ネットワーク112を介することなくA社内のネットワークを介して、相互に通信できる。クライアントPC100は、コンピュータ等である。制御サーバ101は、制御装置の一例である。制御装置には、他には図3Bで後述する機能構成を有するPC等がある。
認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104、保管サーバ105は、DC1内に設置されている。認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104は、ネットワーク112を介することなくDC1内のネットワークを介して、相互に通信できる。
クライアントPC100、制御サーバ101、認証サーバ102、メタデータ管理サーバ103、認可要求サーバ104、106、108、110は、ネットワーク112を介して相互に接続されているものとする。ネットワーク112は、インターネット、LAN、WAN等である。保管サーバ105、107、109、111は、それぞれ認可要求サーバ104、106、108、110と接続されており、ネットワーク112には直接接続されていない。
本実施形態では、オブジェクト管理システムに含まれるDCの数は、4であるとするが、3以下でもよいし、5以上であってもよい。また、本実施形態では、各DCは、それぞれ一つの認可要求サーバを含むものとするが、二以上の認可要求サーバを含むこととしてもよい。また、各DCは、認可要求サーバに接続される一つの保管サーバを含むものとするが、二以上の保管サーバを含むこととしてもよい。
制御サーバ101は、オブジェクトの分割/復元処理を行ったり、オブジェクトの保管先/取得元をメタデータ管理サーバ103に問い合わせたり、各保管サーバにオブジェクトの保管要求/取得要求を行ったりする。
本実施形態では、クライアントPCと制御サーバ101とは、別個のシステム構成要素であるが、双方の機能を持った単一の制御装置がクライアントPCと制御サーバ101との処理を行うこととしてもよい。
メタデータ管理サーバ103は、制御サーバ101からの保管先問い合わせに対し、保管先を示す情報を返したり、各認可要求サーバからの認可要求を受信し、認可処理を行ったりする。認可処理とは、ユーザにオブジェクトの操作要求を行う権限があるか否かを確認する処理である。
本実施形態では、認証サーバ102とメタデータ管理サーバ103とは、別個の装置として構成されているが、単一の装置が認証サーバ102とメタデータ管理サーバ103との処理を行うこととすることもできる。しかし、もし単一の装置でメタデータ管理と認証認可を行うこととすると、その装置が害意のあるユーザに乗っ取られた場合、何のデータがどの保管サーバにあるかが分かり、認証認可も通ってしまうため、セキュリティが低下するおそれがある。そのため、メタデータ管理や認可処理を行う装置と認証処理を行う装置とは、別々の装置とし、異なる管理者により管理可能なように構成している。同様の理由で、一部のDCを他のDCとは異なる事業者により管理されるよう構成してもよい。
保管サーバ105、107、109、111は、オブジェクトのオブジェクト片等のデータの保管、読み出し等を行う。
制御サーバ101は、オブジェクトの操作要求を保管サーバに直接送信するのではなく、保管サーバと接続される認可要求サーバに送信する。認可要求サーバは、制御サーバ101からの操作要求を受信した場合、操作要求が適正な権限を有するユーザによりなされたか否かを確認するための認可処理をメタデータ管理サーバ103に要求する。認可要求サーバは、メタデータ管理サーバ103により操作要求について認可された場合、接続される保管サーバに対して、オブジェクトの操作要求を送信する。
本実施形態では、認可要求サーバと保管サーバとは、別個の装置であるとする。しかし、単一の装置が認可要求サーバと保管サーバとの処理を行うこととしてもよい。
メタデータ管理サーバ103は、CPU201、主記憶装置202、補助記憶装置203、ネットワークI/F204を含む。CPU201、主記憶装置202、補助記憶装置203、ネットワークI/F204は、システムバス205を介して相互に接続されている。
CPU201は、メタデータ管理サーバ103における処理を制御する中央演算装置である。CPU201は、補助記憶装置203等に記憶されているアプリケーションプログラムOSのプログラム、制御プログラム等を実行する。
補助記憶装置203は、アプリケーションプログラムOSのプログラム、制御プログラム、各種の設定データ等を記憶する。
ネットワークI/F204は、メタデータ管理サーバ103が外部の装置と通信を行う際に利用されるインターフェースである。
CPU201が、補助記憶装置203等に記憶されたプログラムに基づき処理を実行することによって、後述するメタデータ管理サーバ103の機能及び後述するフローチャートの処理が実現される。
クライアントPC100のCPUが、クライアントPC100の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述するクライアントPC100の機能及び後述するフローチャートの処理が実現される。
制御サーバ101のCPUが、制御サーバ101の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する制御サーバ101の機能及び後述するフローチャートの処理が実現される。
認証サーバ102のCPUが、認証サーバ102の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する認証サーバ102の機能及び後述するフローチャートの処理が実現される。
認可要求サーバ106、108、110のハードウェア構成は、認可要求サーバ104と同様である。
保管サーバ105のCPUが、保管サーバ105の補助記憶装置等に記憶されたプログラムに基づき処理を実行することによって、後述する保管サーバ105の機能及び後述するフローチャートの処理が実現される。
保管サーバ107、109、111のハードウェア構成は、保管サーバ105と同様である。
認証要求部401は、認証サーバ102に認証情報(ユーザID、パスワード等)を送信し、ユーザの認証要求を行い、認証サーバ102により認証された場合、認証サーバ102からセッションID(以下では、SIDという)を取得する。
保管/取得要求部402は、制御サーバ101に対して、オブジェクトの操作要求を行う。
制御部411は、メタデータ管理サーバ103に対して、オブジェクト(オブジェクトが分割されたオブジェクト片のそれぞれ)の保管先又は取得元を問い合わせる。
分割部412は、オブジェクトの保管を認可要求サーバ104、106、108、110に要求する際に、オブジェクトを複数のオブジェクト片に分割する。
また、制御部411は、認可要求サーバ104、106、108、110に対して、オブジェクト片の操作要求を送信する。例えば、オブジェクトの保管の際には、制御部411は、分割部412によって分割されたオブジェクトのオブジェクト片のデータを含むオブジェクト片の保管要求を、認可要求サーバ104、106、108、110に送信する。
認証部421は、クライアントPC100から認証情報を受信し、受信した認証情報に基づいて、ログインしたユーザの本人性をチェックし、ユーザの本人性が確認できたらSIDを発行し、SIDをクライアントPC100に送信する。
ロール確認部422は、メタデータ管理サーバ103からロールの内容を示す情報、セッションの内容を示す情報を受信し、受信したロールの内容を示す情報、セッションの内容を示す情報に基づいて、ユーザのロールが妥当か否か確認する。
認証情報記憶部423は、認証情報、ロール情報、セッション情報等を記憶し管理している。本実施形態では、認証情報は、ユーザIDとパスワードとの組み合わせであるとする。また、ロール情報は、ユーザIDとロールの内容を示す情報との組み合わせである。ロールの内容を示す情報は、「システム管理者」、「一般ユーザ」等のロールを判別できる情報であるならば、テキスト情報でもよいし、ID等の数字の情報でもよい。なお、一つのロールに複数のユーザを割り当ててもよいし、ロールとユーザとを一対一対応させてもよい。セッション情報は、ユーザIDとセッションの内容を示す情報との組み合わせである。セッションの内容を示す情報は、例えばセッション毎に割り当てられたID等である。
分散先指定部431は、制御サーバ101からオブジェクトの操作要求先の問い合わせを受信し、認証サーバ102にユーザのロールが妥当か否か確認した上で、オブジェクトのオブジェクト片それぞれについての操作要求先の特定情報を制御サーバ101に送信する。オブジェクトを保管する際は、分散先指定部431は、制御サーバ101からオブジェクトのオブジェクト片それぞれの保管先の問い合わせを受信することとなり、応答として、それぞれのオブジェクト片の保管先の情報を制御サーバ101に送信する。
操作要求先の特定情報は、操作要求先を特定するための情報であり、例えば、オブジェクトのオブジェクト片のIDと操作要求先のサーバの情報とオブジェクト片の管理場所のパス情報との組み合わせ等である。操作要求先のサーバの情報は、例えば、サーバのID、サーバのIPアドレス等である。
認可部432は、各認可要求サーバからの認可要求を受信し、受信した認可要求に対応する操作要求の認可処理を行う。そして、認可部432は、認可できたか否かの認可処理の結果を各認可要求サーバに送信する。
オブジェクト片についての操作要求先のサーバを示す情報は、例えば、オブジェクト片についての操作要求先の認可要求サーバ又は保管サーバのID、IPアドレス等である。オブジェクト片についての操作要求先のパスを示す情報は、オブジェクトの保管処理の場合、オブジェクトのオブジェクト片の保管先を示すパスの情報となり、オブジェクトの取得処理の場合、オブジェクトのオブジェクト片が保管されているパスの情報となる。
本実施形態では、クライアントPCではなくメタデータ管理サーバ103がオブジェクトの管理場所の情報を管理するため、クライアントPC100以外のクライアントPCからも管理されているオブジェクトに対してアクセスすることが可能となる。
図3Fは、保管サーバ105の機能構成の一例を示す図である。保管サーバ105は、記憶部451を含む。記憶部451は、オブジェクトのオブジェクト片を保管し、管理する。保管サーバ107、109、111の機能構成は、保管サーバ105と同様である。
本実施形態では、認可要求サーバと保管サーバとは、別個の装置であるとした。しかし、認可要求部と記憶部とを含む単一の装置が認可要求サーバと保管サーバとの処理を行うこととしてもよい。
本実施形態では、オブジェクト管理システムに含まれる複数の保管サーバは、n個に分割されたオブジェクトのオブジェクト片のそれぞれを、分散して管理する。k個(k≦n)以上のオブジェクト片からオブジェクトが復元可能であるとする。n個に分割されたオブジェクトのオブジェクト片のうち、少なくともk個のオブジェクト片からオブジェクトが復元できるようにオブジェクトを分割する方法には、閾値秘密分散法等がある。
本実施形態では、オブジェクト管理システム内の複数の保管サーバは、それぞれ一つずつオブジェクトのオブジェクト片を管理するものとする。そのため、本実施形態では、オブジェクト片の総数であるnと保管サーバの総数とは、等しくなる。また、本実施形態では、一つのDCが一つの保管サーバを含むため、nとDCの総数とは、等しい値となる。即ち、一つのDCにつき一つのオブジェクト片が管理されることになる。しかし、保管サーバの数はnより大きい値であってもよいし、DCの数はnより小さい値でも大きい値でもよい。
本実施形態では、オブジェクト管理システムは、権限のないユーザによるオブジェクトの操作要求を制限しながら、それぞれのDCで行われる認可処理のいくつかを省略する。それにより、オブジェクト管理システムは、認可処理を要求するDCと、認可処理を行うメタデータ管理サーバ103と、の間で行われる通信を削減し、処理に要する時間を削減できる。
S501において、CPU201は、オブジェクトをいくつのオブジェクト片に分割するかを示す数nと、オブジェクトの復元に必要なオブジェクト片の数kと、に基づいて、権限のないユーザによるオブジェクトの操作要求を制限可能なように認可処理を省略可能なDCの数を決定する。本実施形態では、各DCに一つずつ認可要求サーバが含まれる。そのため、認可処理を省略可能なDCには、認可要求処理を省略可能な認可要求サーバが含まれることになる。認可処理を省略可能なDCの数と認可要求処理を省略可能な認可要求サーバの数とは、等しい値になる。認可要求処理を省略可能な認可要求サーバの数は、省略数の一例である。
また、権限のないユーザが保管サーバに保管されているオブジェクトのオブジェクト片をk個、上書きできることとすると、元のオブジェクトが権限のないユーザによる操作により消失してしまうおそれがある。そのため、オブジェクト管理システムは、k個以上のDCにおいて認可処理を行う必要がある。即ち、認可処理を省略可能なDCの数は、n−k以下となる。
また、CPU201は、認可処理を省略するDCの数をmin(k−1、n−k)以下の値に決定し、決定した値をnから引いた値を、認可処理を行うDCの数として決定することとしてもよい。
CPU201は、このように認可処理を省略するDCの数を決定することで、セキュリティを保ちつつ、処理にかかる時間を軽減することができる。
本実施形態では、CPU201は、認可処理を要するDCの数をmax(n−k+1、k)=max(4−3+1、3)=max(2、3)=3に決定し、認可処理を省略するDCの数を4−3=1に決定するものとする。
認可処理を行うDCの数がnの場合、処理時間を削減する効果がないため、CPU201は、認可処理を行うDCの数をmax(n−k+1、k)以上でn未満の値に決定することとしてもよい。また、CPU201は、認可処理を省略するDCの数をmin(k−1、n−k)以下で1以上の値に決定することとしてもよい。
本実施形態では、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれの認可要求サーバについて、以下の処理を行う。即ち、CPU201は、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間を、認可要求サーバの通信時間として取得することとする。この場合、取得される認可要求サーバの通信時間は、認可処理の省略により削減できる通信時間である。そして、CPU201は、S503で、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、認可処理の省略により削減できる通信時間が大きいものから順に、認可要求処理を省略する認可要求サーバを決定することとなる。それにより、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバが行う通信の通信時間の削減の量を最も大きくすることができる。
また、CPU201は、認可要求サーバと制御サーバ101との間の通信に要する時間と、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間と、の和を、認可要求サーバの通信時間として取得することとしてもよい。そして、CPU201は、S503で、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、通信時間が大きいものから順に、認可要求処理を省略する認可要求サーバとして決定することとなる。それにより、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、最も通信に時間を要する認可要求サーバの通信時間を削減できる。
各オブジェクト片についての操作は、並列して行われる。そのため、k個のオブジェクト片についての操作の完了に要する時間は、k番目に完了するオブジェクト片についての操作の完了に要する時間と等しくなる。即ち、n個のオブジェクト片についての操作要求のうち、k番目に完了する操作要求に係る通信時間が最小となる場合、オブジェクトの操作を最も早く完了することになる。
また、オブジェクト片についての操作要求に係る処理のうち通信処理は、他の処理よりも、多くの時間を要する場合がある。そのため、オブジェクト片についての操作要求に係る通信処理に要する時間が小さいほど、オブジェクト片についての操作要求に係る処理は、早く完了する。本実施形態では、オブジェクト片についての操作要求に係る通信処理は、認可要求サーバを介して行われるため、認可要求サーバが行う通信処理と同視しうる。
また、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのそれぞれを介して制御サーバ101と通信を行い、通信に要する時間を測定することもできる。その場合、CPU201は、複数の認可要求サーバのそれぞれと制御サーバ101との通信時間と、複数の認可要求サーバのそれぞれとメタデータ管理サーバ103との通信時間と、の和を取得することになる。
また、CPU201は、以下のようにして各認可要求サーバの通信時間を取得してもよい。複数の認可要求サーバのそれぞれは、メタデータ管理サーバ103と実際に通信し、通信に要する時間を測定することとしてもよい。そして、各認可要求サーバは、測定した通信に要する時間をメタデータ管理サーバ103に送信する。それにより、CPU201は、受信した各認可要求サーバの通信時間を、各認可要求サーバの通信時間として取得することとしてもよい。また、複数の認可要求サーバのそれぞれは、制御サーバ101と実際に通信し、通信に要する時間を測定し、メタデータ管理サーバ103に測定した時間の情報を送信することもできる。
また、予め補助記憶装置203等に記憶されている設定データ等に各認可要求サーバの通信時間が記録されていることとして、CPU201は、設定データを読み込むことで各認可要求サーバの通信時間を取得することとしてもよい。
本実施形態では、CPU201は、DC1〜4にそれぞれ対応する認可要求サーバ104、106、108、110の通信時間を取得することになる。本実施形態では、DC4内の認可要求サーバ110は、認可要求サーバ104、106、108、110のうちでメタデータ管理サーバ103との通信に最も時間を要する認可要求サーバであるとする。
より具体的には、CPU201は、オブジェクト管理システム内の複数の認可要求サーバのうち、S502で取得した通信時間の長さが最大のものからS501で決定した数の分を、認可要求処理を省略する認可要求サーバとして決定する。そして、CPU201は、決定した認可要求処理を省略する認可要求サーバに対応するDCを、認可処理を省略するDCとして決定する。
また、CPU201は、S502で、認可要求サーバと制御サーバ101との間の通信に要する時間と、認可要求サーバとメタデータ管理サーバ103との間の通信に要する時間と、の和を、認可要求サーバの通信時間として取得した場合も同様の処理を行う。
S301において、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、S501で決定した認可処理を省略可能なDCの数だけ、認可要求処理を省略する認可要求サーバを選択する。
S302において、CPU201は、S301で決定した認可要求サーバについての認可要求処理を省略する場合の通信時間を、S502で取得した認可要求処理を省略する場合の認可要求サーバの通信時間から取得する。また、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバのうち、その他の認可要求サーバについての認可要求処理を行う場合の通信時間を、S502で取得した認可要求処理を行う場合の認可要求サーバの通信時間から取得する。
S304において、CPU201は、オブジェクト管理システムに含まれる複数の認可要求サーバからS501で決定された数の認可要求サーバを選択する場合の全ての組み合わせについて、S301〜S303の処理を行ったか否かを判定する。CPU201は、全ての組み合わせについてS301〜S303の処理を行ったと判定した場合、S305の処理に進む。CPU201は、全ての組み合わせについてS301〜S303の処理を行っていないと判定した場合、S301の処理に進む。
S305において、CPU201は、S303で取得した通信時間から最小の通信時間を特定し、特定した値に対応するS301で選択した認可要求処理を省略する認可要求サーバを特定する。より具体的には、CPU201は、特定した値と紐付けて主記憶装置202等に記憶した認可要求サーバの情報を取得することで、特定した値に対応するS301で選択した認可要求サーバを特定する。そして、CPU201は、特定した認可要求サーバを、認可要求処理を省略する認可要求サーバとして決定する。
以上、図5の処理により、CPU201は、オブジェクトの操作を最も早く完了させるように、認可要求処理を省略する認可要求サーバを決定することができる。
S504において、CPU201は、オブジェクト管理システムの認可要求サーバのそれぞれに対して、それぞれの認可要求サーバが認可要求処理を省略する認可要求サーバであるか否かを示す情報である認可要否情報を送信する。これにより、各認可要求サーバは、送信された認可要否情報に基づいて、認可要求処理を実行するか否かを把握することができるようになる。
より具体的には、CPU201は、S503で認可処理を省略するDCとして決定されたDCに対応する認可要求サーバには、認可要求処理の実行を要しないことを示す情報を認可要否情報として送信する。そして、CPU201は、S503で認可処理を省略するDCとして決定されたDCに対応する認可要求サーバ以外の認可要求サーバには、認可要求処理の実行を要することを示す情報を認可要否情報として送信する。S504の処理は、要否情報送信処理の一例である。
また、CPU201は、全ての認可要求サーバのそれぞれに対して、全ての認可要求サーバのそれぞれが認可要求処理を省略するか否かを示す情報を、認可要否情報として、送信することとしてもよい。
本実施形態では、図4の処理を行う主体は、メタデータ管理サーバ103であるとした。しかし、認可処理を省略するDCを決定する処理を行う主体は、メタデータ管理サーバ103に限られず、制御サーバ101でもよいし、他の外部装置であってもよい。
CPU201は、オブジェクトの操作が行われる前に、図4の処理を行っているものとする。また、CPU201は、月ごと、週ごと等の定期的に図4の処理を行うことで、オブジェクト管理システム内の複数の認可要求サーバのそれぞれに認可要求処理を省略するか否かを示す情報を送信することとしてもよい。
本実施形態では、オブジェクト管理システムは、制御サーバを一台含むこととするが、複数台含むこととしてもよい。本実施形態のオブジェクト管理システムを複数の会社で使用する場合には、会社毎に互いに異なる制御サーバを使用することが望ましい。複数の制御サーバを使用する場合、CPU201は、S502において、それぞれの制御サーバについての通信時間を取得することとし、S503において、それぞれの制御サーバ毎に認可処理を省くDCを決定することとしてもよい。
S701において、クライアントPC100の認証要求部401は、ユーザID及びパスワードを認証サーバ102に送信し、ユーザについての認証要求を送信する。S701におけるクライアントPC100の処理は、認証要求送信処理の一例である。
認証サーバ102の認証部421は、クライアントPC100により送信されたユーザID及びパスワードと、認証情報記憶部423に記憶された認証情報と、を比較することでユーザの認証を行う。
より具体的には、認証部421は、認証情報記憶部423に記憶された認証情報の中に、送信されたユーザIDとパスワードとの組み合わせが存在するか否かを判定することでユーザの認証処理を行う。認証部421は、認証情報記憶部423に記憶された認証情報の中に、送信されたユーザIDとパスワードとの組み合わせが存在すると判定した場合、ユーザの認証ができたものとする。認証部421は、認証情報記憶部423に記憶された認証情報の中に、送信されたユーザIDとパスワードとの組み合わせが存在しないと判定した場合、ユーザの認証ができなかったものとする。認証部421は、ユーザの認証ができた場合、SIDをクライアントPC100に送信する。
S703において、制御部411は、オブジェクト名とオブジェクトの保管先の仮想パスとSIDとS702で取得したオブジェクト情報とを含むオブジェクトの保管先問い合わせを、メタデータ管理サーバ103に送信する。
認証サーバ102のロール確認部422は、ロールの妥当性確認要求を受信した場合、認証情報記憶部423に記憶されているセッション情報から、受信した妥当性確認要求に含まれるSIDに対応するユーザを特定する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に基づいて、特定したユーザが妥当性確認要求に含まれるロールIDに対応するロールを有しているか否かを確認する。
ロール確認部422は、ユーザのロールの妥当性確認の結果をメタデータ管理サーバ103に送信する。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当であることを示す結果である場合、S705の処理に進む。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当ではないことを示す結果である場合、図7の処理を終了する。
S706において、分散先指定部431は、オブジェクトのオブジェクト片それぞれについての保管要求先情報を、制御サーバ101に送信する。オブジェクト片の保管要求先情報は、例えば、オブジェクト片IDとオブジェクト片の保管要求先の認可要求サーバの情報と保管先パスの情報とSSRIDとの組み合わせである。本実施形態では、分散先指定部431は、4個のオブジェクト片の保管要求先情報を制御サーバ101に送信することになる。S706の処理は、要求先送信処理の一例である。
S707において、分割部412は、k(k≦n)個のオブジェクト片から元のオブジェクトが復元できるように、保管対象のオブジェクトをn個に分割する。本実施形態では、分割部412は、3個のオブジェクト片から元のオブジェクトが復元できるように、保管対象のオブジェクトを4個のオブジェクト片に分割する。
S709において、S708でオブジェクト片の保管要求を送信された認可要求サーバの認可要求部は、以下の処理を行う。即ち、認可要求部は、S504で送信された認可要求処理を省略する認可要求サーバであるか否かを示す情報に基づいて、送信された保管要求の認可要求をメタデータ管理サーバ103に送信するか否か(送信された保管要求の正当性をメタデータ管理サーバ103に確認する処理を実行するか否か)を判定する。また、認可要求部は、予め補助記憶装置等に保管された認可要求処理を行うか否かを示す情報に基づいて、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信するか否かを判定することとしてもよい。
そして、認可要求部は、S504で送信された情報に基づいて、送信された保管要求の認可要求をメタデータ管理サーバ103に送信すると判定した場合、S710の処理に進む。また、認可要求部は、S504で送信された情報に基づいて、オブジェクトのオブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信しないと判定した場合、S711の処理に進む。
本実施形態において、図6に示すように、認可処理を省略するDCは、DC4であり、その他のDCは、認可処理を行う認可要求サーバである。そのため、認可要求サーバ104、106、108は、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信すると判定することになる。また、認可要求サーバ110は、オブジェクト片の保管要求の認可要求をメタデータ管理サーバ103に送信しないと判定することになる。
認可部432は、受信した認可要求に含まれるオブジェクト片ID及びSSRID、保管先パスの情報と、認可要求を送信した認可要求サーバの情報と、S705で保管要求先情報として保管された情報と、に基づいて、オブジェクト片の保管要求についての認可処理を行う。より具体的には、認可部432は、S705で保管要求先情報として保管された情報の中に、受信した認可要求に含まれるオブジェクト片ID及びSSRID、保管先パスの情報と、認可要求を送信した認可要求サーバの情報と、の組み合わせに合致するものがあるか否かを判定する。認可部432は、合致するものが存在すると判定した場合、受信した認可要求に対応する保管要求を認可できたものとし、合致するものが存在しないと判定した場合、受信した認可要求に対応する保管要求を認可できなかったものとする。
認可要求部は、メタデータ管理サーバ103から認可処理の結果、保管要求が認可できなかったことを示す情報を受信した場合、制御サーバ101からの保管要求についての認可が失敗したことを示す情報を制御サーバ101に送信する。制御部411は、n−k+1個以上の設定された数の保管要求についての認可が失敗したことを示す情報を受信した場合、オブジェクトの保管要求の正当性が確認できなかったものとして、図7の処理を終了する。
オブジェクト片のデータの保管を要求された保管サーバは、記憶部にオブジェクト片のデータを保管する。そして、保管サーバは、オブジェクト片の保管を要求してきた認可要求サーバに対して、保管処理の完了報告を送信する。
メタデータ管理サーバ103は、制御サーバ101から受信した完了報告がk個以上の設定された数に達したら、オブジェクトの保管完了を示す情報を、制御サーバ101に送信する。メタデータ管理サーバ103は、オブジェクト片全てについての保管完了を待つ必要はない。
S713において、制御サーバ101は、クライアントPC100にオブジェクトの保管が完了したことを示す情報を送信する。
S801の処理は、S701と同様である。
S802において、保管/取得要求部402は、オブジェクト名とオブジェクトの取得元の仮想パスとS801で送信されたSIDとを含むオブジェクトの取得要求を、制御サーバ101に送信する。
S803において、制御部411は、オブジェクト名とオブジェクトの取得元の仮想パスとSIDとを含むオブジェクトの取得元問い合わせを、メタデータ管理サーバ103に送信する。
認証サーバ102のロール確認部422は、ロールの妥当性確認要求を受信した場合、認証情報記憶部423に記憶されているセッション情報から、受信した妥当性確認要求に含まれるSIDに対応するユーザを特定する。ロール確認部422は、認証情報記憶部423に記憶されているロール情報に基づいて、特定したユーザが妥当性確認要求に含まれるロールIDに対応するロールを有しているか否かを確認する。
ロール確認部422は、ユーザのロールの妥当性確認の結果をメタデータ管理サーバ103に送信する。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当であることを示す結果である場合、S805の処理に進む。分散先指定部431は、認証サーバ102から受信したロール妥当性確認の結果がユーザのロールが妥当ではないことを示す結果である場合、図8の処理を終了する。
S806において、分散先指定部431は、取得対象のオブジェクトのオブジェクト片IDとオブジェクト片の取得要求先の認可要求サーバの情報と取得元パスの情報とSSRIDとを含むオブジェクトのオブジェクト片の取得要求先情報を、制御サーバ101に送信する。本実施形態では、分散先指定部431は、4個のオブジェクト片の取得要求先情報を制御サーバ101に送信することになる。
S808において、S807でオブジェクト片の取得要求を送信された認可要求サーバの認可要求部は、以下の処理を行う。即ち、認可要求部は、S504で送信された認可要求処理を省略する認可要求サーバであるか否かを示す情報に基づいて、送信された取得要求の認可要求をメタデータ管理サーバ103に送信するか否か(送信された取得要求の正当性をメタデータ管理サーバ103に確認する処理を実行するか否か)を判定する。また、認可要求部は、予め補助記憶装置等に保管された認可要求処理を行うか否かを示す情報に基づいて、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信するか否かを判定することとしてもよい。
そして、認可要求部は、送信されたオブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信すると判定した場合、S809の処理に進む。また、認可要求部は、オブジェクトのオブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信しないと判定した場合、S810の処理に進む。
本実施形態において、図6に示すように、認可処理を省略するDCは、DC4であり、その他のDCは、認可処理を行う認可要求サーバである。そのため、認可要求サーバ104、106、108は、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信すると判定することになる。また、認可要求サーバ110は、オブジェクト片の取得要求の認可要求をメタデータ管理サーバ103に送信しないと判定することになる。
認可部432は、受信した認可要求に含まれるオブジェクト片ID及びSSRID、取得元パスの情報と、認可要求を送信した認可要求サーバの情報と、S805で取得要求先情報として保管された情報と、に基づいて、オブジェクト片の取得要求についての認可処理を行う。より具体的には、認可部432は、S805で取得要求先情報として保管された情報の中に、受信した認可要求に含まれるオブジェクト片ID及びSSRID、取得元パスの情報と、認可要求を送信した認可要求サーバの情報と、の組み合わせに合致するものがあるか否かを判定する。認可部432は、合致するものが存在すると判定した場合、受信した認可要求に対応する取得要求を認可できたものとし、合致するものが存在しないと判定した場合、受信した認可要求に対応する取得要求を認可できなかったものとする。
認可要求部は、メタデータ管理サーバ103から認可処理の結果、オブジェクト片の取得要求が認可できなかったことを示す情報を受信した場合、制御サーバ101からのオブジェクト片の取得要求についての認可が失敗したことを示す情報を送信する。制御部411は、n−k+1個以上の設定された数のオブジェクト片の取得要求についての認可が失敗したことを示す情報を受信した場合、オブジェクトの取得要求の正当性が確認できなかったものとして、図8の処理を終了する。
オブジェクト片のデータの取得を要求された保管サーバは、記憶部から該当するオブジェクト片のデータを取得する。そして、保管サーバは、オブジェクト片の保管を要求してきた認可要求サーバに対して、取得したオブジェクト片のデータを送信する。
S812において、制御サーバ101は、S811で復元されたオブジェクトのデータを、クライアントPC100に送信し、メタデータ管理サーバ103にオブジェクトの取得完了を示す情報を送信する。
実施形態1では、オブジェクト管理システムに含まれる各DCには、それぞれ1つ保管サーバが含まれることとした。即ち、各DCと実際のオブジェクト片の保管先である保管サーバとが1対1で対応している。そのため、認可処理を要しないDCを決定することは、認可処理を要しない保管サーバを決定することとみなすことができる。即ち、オブジェクト管理システムは、認可処理を省略するDCを決定することで、認可処理を要しない保管サーバを決定することができる。このように、オブジェクト管理システムは、適切に認可処理を要しない保管サーバを決定することで、認可処理に係る通信時間の増大を防ぐことができる。保管サーバは、オブジェクト又はオブジェクト片を保管する保管手段の一例である。
しかし、DCは、複数の保管サーバを含む場合がある。このような場合、オブジェクト管理システムは、認可処理を省略するDCを決定することで、認可処理を要しない保管サーバを決定することができない。
図9は、本実施形態のオブジェクト管理システムのシステム構成の一例を示す図である。図9のシステム構成は、図1のシステム構成と比べて、A社内に制御サーバ101の代わりに、メタデータ管理サーバ120が含まれる点、DC1内に認証サーバ102とメタデータ管理サーバ103とが含まれない点、DC2内に、認可要求サーバ106の他に認可要求サーバ121が含まれる点、DC2内に認可要求サーバ121に接続される保管サーバ122、123が含まれる点、及びDC3、4がない点で異なる。即ち、DC2には、認可要求サーバが複数存在する。また、DC2内の認可要求サーバ121には、複数の保管サーバが接続されている。
本実施形態のオブジェクト管理システムの各構成要素のうち、図1と同じ番号が付されている構成要素のハードウェア構成及び機能構成の詳細は、実施形態1と同様である。メタデータ管理サーバ120のハードウェア構成は、図2のメタデータ管理サーバ103のハードウェア構成と同様である。また、メタデータ管理サーバ120の機能構成は、図3B、3C、3Dの制御サーバ101、認証サーバ102、メタデータ管理サーバ103の機能構成要素を全て含む構成である。即ち、メタデータ管理サーバ120は、制御サーバ101、認証サーバ102、メタデータ管理サーバ103の役割を全て担うこととなる。認可要求サーバ121のハードウェア構成及び機能構成は、認可要求サーバ104、106と同様である。保管サーバ122、123のハードウェア構成及び機能構成は、保管サーバ105、107と同様である。
まず、メタデータ管理サーバ120のCPUは、S501と同様の処理で、kとnとに基づいて、認可処理を要しない保管サーバの数を決定する。
メタデータ管理サーバ120のCPUは、実施形態1と同様に、認可処理を行う保管サーバの数をmax(n−k+1、k)以上の値に決定し、決定した値をnから引いた値を、認可処理を省略する保管サーバの数として決定する。メタデータ管理サーバ120のCPUは、認可処理を要する保管サーバの数をmax(3−2+1、2)=2以上の値に決定する。メタデータ管理サーバ120のCPUは、認可処理を要する保管サーバの数が3の場合、処理時間を削減する効果がないため、認可処理を要する保管サーバの数を2に決定する。そして、メタデータ管理サーバ120のCPUは、認可処理を要しない保管サーバの数を、n−2=3−2=1に決定する。
メタデータ管理サーバ120のCPUは、各DC内の認可要求サーバの通信時間を取得する。メタデータ管理サーバ120との通信に要する時間が最も大きい認可要求サーバは認可要求サーバ104であるため、メタデータ管理サーバ120のCPUは、認可処理を要しない保管サーバを、DC1にふくまれる保管サーバ105に決定する。
CPU201は、オブジェクトのオブジェクト片を保管する保管サーバに対応する認可要求サーバそれぞれに対して、認可要求処理を要するか否かを示す認可要否情報を送信する。
本実施形態では、オブジェクト管理システムは、2つの保管サーバに対応する認可要求サーバを含むとしたが、3つ以上の保管サーバに対応する認可要求サーバを含むこととしてもよい。また、本実施形態では、DC内に存在する2つの保管サーバが1つの認可要求サーバと接続されることとしたが、全ての保管サーバが1つの認可要求サーバと接続されることとしてもよいし、それぞれの保管サーバが1対1で別個の認可要求サーバと接続されることとしてもよい。また、本実施形態では、認可要求サーバと保管サーバとは、別個の装置であるとした。しかし、認可要求部と記憶部とを含む単一の装置が認可要求サーバと保管サーバとの処理を行うこととしてもよい。
実施形態1では、オブジェクト管理システムのDCは、認可要求サーバを1つ含むこととした。本実施形態では、オブジェクト管理システムが認可要求サーバを含まないDCを含む場合について説明する。
図10は、本実施形態のオブジェクト管理システムのシステム構成の一例を示す図である。図10のシステム構成は、図1のシステム構成と比べて、DC4に認可要求サーバ110が存在しない点で異なる。即ち、DC4には、保管サーバ111への操作要求についての認可処理を行う機能がない。
本実施形態のオブジェクト管理システムの各構成要素のハードウェア構成及び機能構成の詳細は、実施形態1と同様である。
まず、CPU201は、S501と同様の処理で、kとnとに基づいて、認可処理を要しない保管サーバの数を決定する。
CPU201は、実施形態1と同様に、認可処理を行う保管サーバの数をmax(n−k+1、k)以上の値に決定し、決定した値をnから引いた値を、認可処理を省略する保管サーバの数として決定する。CPU201は、認可処理を要する保管サーバの数をmax(4−3+1、3)=3以上の値に決定する。CPU201は、認可処理を要する保管サーバの数が4の場合、処理時間を削減する効果がないため、認可処理を要する保管サーバの数を3に決定する。そして、CPU201は、認可処理を要しない保管サーバの数を、n−3=4−3=1に決定する。
決定された認可処理を要しない保管サーバの数よりも、認可要求サーバに接続されていない保管サーバの数が少ない場合、CPU201は、まず、認可要求サーバに接続されていない保管サーバを、全て、認可処理を要しない保管サーバとして決定する。そして、CPU201は、実施形態1と同様に、各保管サーバと接続される認可要求サーバについての通信時間に基づいて、残りの認可処理を要しない保管サーバを決定する。
また、本実施形態の処理により、オブジェクト管理システムは、一部に認可処理を要しない保管サーバを含んでいる場合であっても、オブジェクト管理システムのセキュリティを保つことができる。
オブジェクト管理システムに管理されるオブジェクトには、例えば、オブジェクト管理システムにアクセスできる者なら誰でも取得することを許可されているが、オブジェクトの保管(上書・更新)については、設定された者しか許可されていないものがある。また、オブジェクト管理システムに管理されるオブジェクトには、例えば、設定された者だけが取得することを許可されているが、オブジェクト管理システムにアクセスできる者なら誰でもオブジェクトの保管を行うものもある。このような場合、オブジェクト管理システムは、オブジェクトの操作要求全てに対して、認可処理を行うこととすると、不要な認可処理を行うこととなり、不要な認可処理に係る通信時間や処理時間が増大することとなる。
そこで、CPU201は、例えば、実施形態1〜3において、各認可要求サーバに対して、オブジェクトの保管操作の要求に対してのみ適用される認可要否情報を送信することとしてもよい。また、CPU201は、逆に、各認可要求サーバに対して、オブジェクトの取得操作の要求に対してのみ適用される認可要否情報を送信することとしてもよい。そして、各認可要求サーバは、設定されたオブジェクトの操作要求がされた場合のみ、認可要否情報に基づいた認可要求処理を行うこととなる。
以上の処理により、オブジェクト管理システムは、不要な認可処理に係る通信時間、処理時間の増大を防ぐことができる。
しかし、オブジェクト管理システムは、オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて認可処理を要する保管サーバの数を決定し、オブジェクトがいくつのオブジェクト片に分割されるかを示す数から決定した数を引いた値を、認可処理を要しない保管サーバの数としてもよい。
また、オブジェクト管理システムは、オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて認可処理を要する保管サーバの数を決定し、認可要求処理を行う認可要求サーバを決定し、オブジェクト片を保管する保管サーバのうち、決定した認可要求サーバに対応する保管サーバ以外の保管サーバから、認可処理を要しない保管サーバを選択することとしてもよい。
オブジェクトがいくつのオブジェクト片に分割されるかを示す数と、オブジェクトの復元に要するオブジェクト片の数と、に基づいて決定される認可処理を要しない保管サーバの数や認可処理を要する保管サーバの数は、どれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報の一例である。
各実施形態における認可要求サーバは、オブジェクトの操作要求に対して認可処理の要求を行う認可要求手段の一例である。認可要求手段には、認可要求サーバの他に、例えば、認可処理を要求する機能を有するサーバ以外の情報処理装置や、認可処理を要求する機能を実現するアプリケーション等がある。
以上、本発明の好ましい実施形態について詳述したが、本発明は係る特定の実施形態に限定されるものではない。
例えば、上述したオブジェクト管理システムの機能構成の一部又は全てをハードウェアとして制御サーバ101や認証サーバ102やメタデータ管理サーバ103に実装してもよい。
Claims (14)
- オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する第1の取得手段と、
前記第1の取得手段により取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定手段と、
を有する情報処理装置。 - 前記複数の保管手段のそれぞれが前記決定手段により前記認可処理を要しない保管手段に決定されたか否かに基づいて、前記複数の保管手段のそれぞれに対応する認可要求手段に、認可処理の実行を要するか否かを示す認可要否情報を送信する送信手段を更に有する請求項1記載の情報処理装置。
- 前記送信手段は、前記決定手段により決定された前記認可処理を要しない保管手段に対応する認可要求手段に、認可処理の実行を要しないことを示す認可要否情報を送信し、前記複数の保管手段に含まれる前記認可処理を要しない保管手段以外の保管手段に対応する認可要求手段に、認可処理の実行を要することを示す認可要否情報を送信する請求項2記載の情報処理装置。
- 前記第1の取得手段は、前記分割数と、前記復元数と、に基づいて、認可処理を要しない保管手段の数である省略数を、前記認可省略情報として取得する請求項1乃至3何れか1項記載の情報処理装置。
- 前記第1の取得手段は、前記分割数から前記復元数を引いた差分以下である値を、前記省略数として取得する請求項4記載の情報処理装置。
- 前記第1の取得手段は、前記復元数よりも小さい値を、前記省略数として取得する請求項5記載の情報処理装置。
- 前記複数の保管手段のそれぞれに対応する認可要求手段についての通信時間を取得する第2の取得手段を更に有し、
前記決定手段は、前記第2の取得手段により取得された前記通信時間と前記第1の取得手段により取得された前記認可省略情報とに基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する請求項4乃至6何れか1項記載の情報処理装置。 - 前記第2の取得手段は、前記複数の保管手段のそれぞれに対応する認可要求手段のそれぞれが認可処理を行う場合に行う通信に要する時間を、前記通信時間として取得し、
前記決定手段は、前記複数の保管手段に対応する認可要求手段のうち、前記第2の取得手段により取得された前記通信時間が最大のものから前記第1の取得手段により取得された前記省略数の認可要求手段を決定し、決定した認可要求手段に対応する保管手段を、認可処理を要しない保管手段として決定する請求項7記載の情報処理装置。 - 前記第2の取得手段は、前記複数の保管手段のそれぞれに対応する認可要求手段のそれぞれと前記情報処理装置との間の通信に要する時間を前記通信時間として取得する請求項8記載の情報処理装置。
- 前記第2の取得手段は、前記複数の保管手段のそれぞれに対応する認可要求手段のそれぞれと前記情報処理装置との間の通信に要する時間と、前記複数の保管手段のそれぞれに対応する認可要求手段のそれぞれと制御装置の間の通信に要する時間と、の和を前記通信時間として取得する請求項8記載の情報処理装置。
- 前記決定手段は、前記複数の保管手段のそれぞれに対応する認可要求手段のうち前記省略数の認可要求手段を、認可処理を要しない保管手段に対応する認可要求手段とする全ての組み合わせの中から、その組み合わせの中の認可要求手段の通信時間のうち最小ものから数えて前記復元数の値の順位の値が最小となる組み合わせを特定し、特定した前記組み合わせに対応する認可要求手段に対応する保管手段を、認可処理を要しない保管手段として決定する請求項7記載の情報処理装置。
- 制御装置と、複数の保管手段のそれぞれに対応する複数の認可要求手段と、管理サーバと、を含む認可システムであって、
前記制御装置は、
オブジェクトのオブジェクト片それぞれについての操作要求を、操作要求先である前記複数の保管手段のそれぞれに対応する前記複数の認可要求手段のそれぞれに送信する操作要求送信手段を有し、
前記複数の認可要求手段のそれぞれの認可要求手段は、
前記制御装置から前記オブジェクトのオブジェクト片の操作要求を受信した際、前記認可要求手段が認可処理の実行を要するか否かを示す認可要否情報に基づいて、前記認可要求手段が前記オブジェクト片の操作要求について認可処理を行うか否かを判定する判定手段と、
前記判定手段により前記オブジェクト片の操作要求について認可処理を行うと判定された場合、前記オブジェクト片の操作要求についての認可要求を前記管理サーバに送信する認可要求送信手段と、
を有し、
前記管理サーバは、
前記認可要求送信手段により送信された前記認可要求に応じた認可処理を行う認可手段と、
前記オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される前記複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する取得手段と、
前記取得手段により取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定手段と、
前記決定手段により決定された前記認可処理を要しない保管手段に基づいて、前記複数の認可要求手段に、認可処理の実行を要するか否かを示す認可要否情報を送信する要否情報送信手段と、
を有し、
前記判定手段は、前記制御装置から前記オブジェクトのオブジェクト片の操作要求を受信した際、前記要否情報送信手段により送信された前記認可要否情報に基づいて、前記オブジェクト片の操作要求について認可処理を行うか否かを判定する認可システム。 - 情報処理装置が実行する情報処理方法であって、
オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する取得ステップと、
前記取得ステップで取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定ステップと、
を含む情報処理方法。 - コンピュータに、
オブジェクトがいくつのオブジェクト片に分割されるかを示す分割数と、前記オブジェクトの復元に要するオブジェクト片の数である復元数と、に基づいて、前記分割数に分割された前記オブジェクトのオブジェクト片のそれぞれが保管される複数の保管手段のうちどれだけの保管手段が認可処理を要しないかを示す情報である認可省略情報を取得する取得ステップと、
前記取得ステップで取得された前記認可省略情報に基づいて、前記複数の保管手段の中から、認可処理を要しない保管手段を決定する決定ステップと、
を実行させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/373,251 US10348490B2 (en) | 2015-12-10 | 2016-12-08 | Information processing device, authorization system, information processing method, and recording medium |
CN201611132340.5A CN106878256B (zh) | 2015-12-10 | 2016-12-09 | 信息处理装置、认可系统以及信息处理方法 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015241429 | 2015-12-10 | ||
JP2015241429 | 2015-12-10 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2017111800A JP2017111800A (ja) | 2017-06-22 |
JP2017111800A5 JP2017111800A5 (ja) | 2018-12-27 |
JP6538019B2 true JP6538019B2 (ja) | 2019-07-03 |
Family
ID=59080249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016214604A Active JP6538019B2 (ja) | 2015-12-10 | 2016-11-01 | 情報処理装置、認可システム、情報処理方法及びプログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6538019B2 (ja) |
CN (1) | CN106878256B (ja) |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7561714B2 (en) * | 2001-12-13 | 2009-07-14 | Digimarc Corporation | Reversible watermarking |
JP4292835B2 (ja) * | 2003-03-13 | 2009-07-08 | 沖電気工業株式会社 | 秘密再構成方法、分散秘密再構成装置、及び秘密再構成システム |
JP4402411B2 (ja) * | 2003-09-22 | 2010-01-20 | 大日本印刷株式会社 | デジタルコンテンツの提供方法および提供装置 |
JP2005209118A (ja) * | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 情報分散ストレージシステムとこのシステムに用いられる全体認証サーバ装置、認証サーバ装置及び分散ストレージサーバ装置及び情報分散ストレージ方法 |
JP4778361B2 (ja) * | 2006-05-19 | 2011-09-21 | 日立オムロンターミナルソリューションズ株式会社 | 認証装置及び認証システム及び認証装置の装置確認方法 |
WO2013145222A1 (ja) * | 2012-03-29 | 2013-10-03 | 富士通株式会社 | 情報処理装置およびデータ保存処理プログラム |
US9325709B2 (en) * | 2012-12-21 | 2016-04-26 | Dropbox, Inc. | System and method for importing and merging content items from different sources |
WO2015125765A1 (ja) * | 2014-02-18 | 2015-08-27 | 日本電信電話株式会社 | セキュリティ装置、その方法、およびプログラム |
-
2016
- 2016-11-01 JP JP2016214604A patent/JP6538019B2/ja active Active
- 2016-12-09 CN CN201611132340.5A patent/CN106878256B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017111800A (ja) | 2017-06-22 |
CN106878256B (zh) | 2020-04-14 |
CN106878256A (zh) | 2017-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11475137B2 (en) | Distributed data storage by means of authorisation token | |
JP6499310B2 (ja) | キーエクスポート技術 | |
US8490165B2 (en) | Restoring secure sessions | |
US9088557B2 (en) | Encryption key management program, data management system | |
US8572268B2 (en) | Managing secure sessions | |
US8341249B2 (en) | Synchronizing configuration information among multiple clients | |
US8997198B1 (en) | Techniques for securing a centralized metadata distributed filesystem | |
KR101966767B1 (ko) | 클라우드 서비스를 위한 암호화 키 관리 시스템 | |
US11436345B2 (en) | Protection of secret client data in a multiple client data deduplication environment | |
US9749130B2 (en) | Distributing keys for decrypting client data | |
CN107483495B (zh) | 一种大数据集群主机管理方法、管理系统及服务端 | |
US9942050B2 (en) | Method and apparatus for bulk authentication and load balancing of networked devices | |
WO2017033442A1 (ja) | 情報処理装置、認証システム、認証方法、並びにコンピュータ・プログラムを記録する記録媒体 | |
CN109190341B (zh) | 一种登录管理系统和方法 | |
EP3697053B1 (en) | Accessing encrypted user data at a multi-tenant hosted cloud service | |
US11394698B2 (en) | Multi-party computation (MPC) based authorization | |
CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
US20140007197A1 (en) | Delegation within a computing environment | |
Suthar et al. | EncryScation: A novel framework for cloud iaas, daas security using encryption and obfuscation techniques | |
US10348490B2 (en) | Information processing device, authorization system, information processing method, and recording medium | |
JP6538019B2 (ja) | 情報処理装置、認可システム、情報処理方法及びプログラム | |
KR20200059908A (ko) | 사용자 개인정보 관리 장치 및 방법 | |
WO2015162688A1 (ja) | データ処理システム、データ処理方法 | |
Samuel et al. | Enhanced security and authentication mechanism in cloud transactions using HMAC | |
JP6810614B2 (ja) | 作業環境統制方法、作業環境統制システム及びサーバ装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181113 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181113 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20181113 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190214 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190226 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190410 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190528 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190605 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6538019 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |