KR20170091138A - 정보 처리 장치, 정보 처리 장치의 제어 방법, 정보 처리 시스템, 및 저장 매체 - Google Patents

정보 처리 장치, 정보 처리 장치의 제어 방법, 정보 처리 시스템, 및 저장 매체 Download PDF

Info

Publication number
KR20170091138A
KR20170091138A KR1020177018102A KR20177018102A KR20170091138A KR 20170091138 A KR20170091138 A KR 20170091138A KR 1020177018102 A KR1020177018102 A KR 1020177018102A KR 20177018102 A KR20177018102 A KR 20177018102A KR 20170091138 A KR20170091138 A KR 20170091138A
Authority
KR
South Korea
Prior art keywords
information
access right
server
client
storage
Prior art date
Application number
KR1020177018102A
Other languages
English (en)
Inventor
유우 나카노
Original Assignee
캐논 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 캐논 가부시끼가이샤 filed Critical 캐논 가부시끼가이샤
Publication of KR20170091138A publication Critical patent/KR20170091138A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 스토리지 서버를 포함하는 복수의 서버를 갖는 시스템에 있어서, 클라이언트에 대하여 스토리지 서버에 대한 적절한 액세스권을 설정하는 것을 목적으로 한다. 본 발명은 스토리지 서버와 당해 스토리지 서버와 상이한 제1 서버에 액세스하는 클라이언트와 통신 가능한 정보 처리 장치이며, 상기 클라이언트로부터, 상기 클라이언트가 상기 제1 서버에 액세스하기 위해 사용되는 제1 액세스권의 정보를 수신하는 수신 수단과, 상기 제1 액세스권의 정보에 기초하여, 상기 클라이언트가 상기 스토리지 서버에 액세스하기 위해 사용되는 제2 액세스권의 정보를 생성하는 생성 수단과, 상기 제2 액세스권의 정보를 상기 클라이언트에 송신하는 송신 수단을 갖는 것을 특징으로 한다.

Description

정보 처리 장치, 정보 처리 장치의 제어 방법, 정보 처리 시스템 및 컴퓨터 프로그램 {INFORMATION PROCESSING DEVICE, METHOD FOR CONTROLLING INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING SYSTEM, AND COMPUTER PROGRAM}
본 발명은 서버에 액세스하는 클라이언트와 통신 가능한 정보 처리 장치, 정보 처리 장치의 제어 방법, 정보 처리 시스템 및 컴퓨터 프로그램에 관한 것이다.
최근, 인터넷 상 등에서 전개하는 서비스를 제공하는 서버에 있어서는, 유저의 개인 정보나 유저가 작성한 사진이나 동화상 등의 콘텐츠로 대표되는 사적인 정보를 안전하게 보관하는 것이 필요 불가결하다.
그를 위해, 서비스를 제공하는 서버에 대한 액세스권의 제한을, 유저(클라이언트 장치)마다 설정할 필요가 있다. 액세스권의 제한을 행하기 위해서는, 유저마다 설정된 액세스권을 발행하는 액세스권 발행 서버를 도입하는 것이 일반적이다. 클라이언트는, 서비스의 제공을 받는 경우에는, 액세스권 발행 서버 장치로부터 액세스권을 부여받고, 서비스를 제공하는 서버 장치에 대하여 액세스하여, 서비스의 제공을 리퀘스트한다. 서버는, 액세스권이 정당한 경우, 리퀘스트에 대하여 응답한다. 액세스권 발행 서버로부터 액세스권을 취득하기 위한 프로토콜이나 액세스권의 형식은 액세스권 발행 방식에 따라 다양하다.
액세스권 발행 방식의 표준 사양으로서, OAuth2.0이나 OAuth2.0의 확장인 OpenID Connect 등을 들 수 있다. 이들 표준 사양은, 인터넷 상에 있어서의 다종다양한 서비스에 있어서 이미 채용되고 있다. OAuth2.0의 프로토콜에 있어서는, 발행되는 액세스권은 액세스 토큰이라고 불리는 문자열로 표현된다. 또한, 액세스 토큰에는 권한의 범위를 나타내는 스코프라고 불리는 문자열이 관련지어진다. 또한, 액세스 토큰에는, 스코프 이외의 여러 가지 정보를 관련짓는 것이 가능하다. 액세스 토큰에 관련지어지는 정보로서는, 액세스 토큰의 유효 기한이나 액세스 토큰을 발행한 발행자의 ID 등이 있다. OAuth2.0의 사양에 기초하여 서비스를 제공하는 서버는, 수신한 액세스 토큰의 유효 기한이나 스코프의 값에 기초하여 액세스 토큰의 유효성이나 권한의 범위를 확인하고, 액세스 토큰이 정당한지 여부를 판단한다.
한편, OAuth2.0 등의 표준 사양을 채용하지 않은 액세스권 발행 서버에서는, 독자적인 사양으로 액세스권을 발행하게 된다. 독자적인 사양으로 액세스권을 발행하게 되는 서버로서는, 스토리지 서버가 있다. 액세스처 서버가 스토리지 서버인 경우, 읽어들이기나 기입 등의 조작에 대한 제한이나, 액세스 가능한 스토리지 상의 특정한 파일 패스를 지정하는 등의 복잡한 처리를 독자적인 사양으로 행할 필요가 있다.
스토리지 서버는, 클라이언트와 서버의 사이에서 비교적 용량이 큰 데이터의 송수신을 행하는 경우에 채용되는 경우가 많다. 채용의 이유로서는, 스토리지 서버 이외의 서버가 데이터의 송수신의 관리를 행할 필요가 없기 때문에, 각 서버에 요구되는 성능이 낮아지고, 서버 운용의 비용을 억제할 수 있는 것을 들 수 있다. 또한, 스토리지 서버 내의 데이터에 대하여 직접 액세스할 수 있으므로, 데이터가 스토리지 서버 이외의 다른 서버를 경유하지 않고, 데이터에 대하여 복잡한 처리가 가능하게 된다.
특허문헌 1에는, 유저가 조작하는 단말기마다 스토리지 서버에 대한 액세스 권한을 설정하기 위한 기술이 개시되어 있다. 구체적으로는, 유저가 조작하는 단말기의 ID마다, 허가하는 조작이나, 조작할 수 있는 스토리지 서버 내의 파일 패스를 설정하는 것이다.
또한, 특허문헌 2에는, 통신 미디어 카드가 중계 서버를 통하여 스토리지 서버로의 액세스를 행하는 기술이 개시되어 있다. 구체적으로는, 중계 서버가, 통신 미디어 카드의 단말기 ID마다, 스토리지 서버의 인증 정보 및 액세스 가능한 디렉토리의 패스를 설정하는 것이다.
일본 특허 공개 제2007-034386호 공보 일본 특허 공개 제2012-079267호 공보
상기한 바와 같이, 스토리지 서버의 채용에는 많은 이점이 있지만, 스토리지 서버에는 유저의 개인 정보나 사적인 정보가 보존되는 경우도 있기 때문에, 스토리지 서버에 대한 액세스 제한을 클라이언트에 대하여 적절하게 행할 필요가 있다.
그러나, 특허문헌 1에 개시되어 있는 기술에서는, 시스템 전체가 단일의 액세스권으로 제어되는 것을 전제로 하고 있고, 단말기의 스토리지 서버에 대한 액세스 권한은 일정하게 되어 있다.
한편, 특허문헌 2에 있어서는, 단말기 유저의 웹 서버에 대한 인증 정보와 스토리지 서버에 대한 인증 정보의 관련지음에 대하여 개시되어 있지만, 특허문헌 1과 마찬가지로, 스토리지 서버에 대한 액세스 권한은 일정하게 되어 있다.
따라서, 종래의 기술에 있어서는, 스토리지 서버를 포함하는 복수의 서버를 갖는 시스템에 있어서, 스토리지 서버에 대한 적절한 액세스권을 클라이언트에 설정하는 것이 불가능하였다. 따라서, 클라이언트에 대하여 과잉의 액세스 권한이 설정되어 버릴 가능성이 있고, 스토리지 서버 내에 저장된 데이터를 적절하게 보호할 수 없었다.
본 발명은 상기 종례 예에 비추어 이루어진 것이며, 스토리지 서버를 포함하는 복수의 서버를 갖는 시스템에 있어서, 클라이언트에 대하여 스토리지 서버에 대한 적절한 액세스권을 설정하는 것을 목적으로 한다.
상기 목적을 달성하기 위해, 본 발명은 스토리지 서버와 당해 스토리지 서버와 상이한 제1 서버에 액세스하는 클라이언트와 통신 가능한 정보 처리 장치이며, 상기 클라이언트로부터, 상기 클라이언트가 상기 제1 서버에 액세스하기 위해 사용되는 제1 액세스권의 정보를 수신하는 수신 수단과, 상기 제1 액세스권의 정보에 기초하여, 상기 클라이언트가 상기 스토리지 서버에 액세스하기 위해 사용되는 제2 액세스권의 정보를 생성하는 생성 수단과, 상기 제2 액세스권의 정보를 상기 클라이언트에 송신하는 송신 수단을 갖는 것을 특징으로 한다.
본 발명에 따르면, 스토리지 서버를 포함하는 복수의 서버를 갖는 시스템에 있어서, 클라이언트에 대하여 스토리지 서버에 대한 적절한 액세스권을 설정할 수 있다.
도 1은 제1 실시 형태에 있어서의 정보 처리 시스템의 구성을 도시하는 도면이다.
도 2는 제1 실시 형태에 있어서의 정보 처리 장치의 하드웨어 구성을 도시하는 도면이다.
도 3은 시스템 전체의 처리 플로우를 도시하는 도면이다.
도 4는 제1 실시 형태에 있어서의 인증 인가 서버(102)가 유지하는 관리 테이블의 예이다.
도 5는 취득 요구 및 응답의 구체적인 예를 도시하는 도면이다.
도 6은 액세스권을 중개하는 서버의 구성을 도시하는 도면이다.
도 7은 스토리지 액세스 범위 관리 테이블을 도시하는 도면이다.
도 8은 스토리지 액세스권 취득의 요구의 처리 플로우를 도시하는 도면이다.
도 9는 인가 토큰의 정보의 예를 도시하는 도면이다.
도 10은 스토리지 액세스 범위 결정의 처리 플로우를 도시하는 도면이다.
도 11은 제2 실시 형태에 있어서의 액세스권을 중개하는 서버의 구성을 도시하는 도면이다.
도 12는 제2 실시 형태에 있어서의 스토리지 액세스권의 관리 테이블을 도시하는 도면이다.
도 13은 제2 실시 형태에 있어서의 스토리지 액세스권의 취득 요구의 처리 플로우이다.
도 14는 제2 실시 형태에 있어서의 액세스권의 중개 서버의 구성을 도시하는 도면이다.
도 15는 제3 실시 형태에 있어서의 스토리지 액세스 범위의 설정 변경 요구의 처리 플로우이다.
도 16은 제3 실시 형태에 있어서의 스토리지 액세스 범위의 설정의 변경 요구의 예를 도시하는 도면이다.
이하, 첨부의 도면을 참조하여, 본 실시 형태에 대하여 상세하게 설명한다. 또한, 이하의 실시 형태에 있어서 나타내는 구성은 일례에 지나지 않으며, 본 발명은 도시된 구성에 한정되는 것은 아니다.
(제1 실시 형태)
도 1을 사용하여, 본 실시 형태에 있어서의 정보 처리 시스템의 구성에 대하여 설명한다.
본 실시 형태에 있어서의 정보 처리 시스템은, 클라이언트(101), 인증 인가 서버(102), 액세스권 중개 서버(103), 스토리지 액세스권 발행 서버(104), 스토리지 서버(105)로 구성된다.
클라이언트(101)는, 네트워크(106)를 통하여, 인증 인가 서버(102), 액세스권 중개 서버(103) 및 스토리지 서버(105)와의 통신이 가능하게 되어 있다. 또한, 인증 인가 서버(102), 액세스권 중개 서버(103), 스토리지 액세스권 발행 서버(104)끼리도, 네트워크(106)를 통하여 서로 통신 가능하게 되어 있다.
클라이언트(101)는, 스토리지 서버(105)에 대하여, 파일의 업로드나 다운로드 등의 파일에 관한 조작을 행하는 정보 처리 장치이다. 스토리지 서버(105)에 대하여 조작을 행할 때에는, 우선, 클라이언트(101)는, 인증 인가 서버(102)로부터 인가 토큰을 취득한다. 인가 토큰이란, 웹 서버 등의 서비스를 제공하는 서버에 대한 액세스권이나 액세스 범위를 나타내는 것이다. 클라이언트(101)는, 인가 토큰을 취득함으로써, 각 서버에 액세스하는 것이 가능하게 된다. 인가 토큰 취득 후, 클라이언트(101)는, 액세스권 중개 서버(103)를 이용하여, 인가 토큰에 대응한 스토리지 서버(105)에 대한 액세스권을 취득한다.
인증 인가 서버(102)는, ID나 패스워드 등의 인증 및 인가에 관한 데이터를 유지하고, 클라이언트(101)에 대하여 전술한 인가 토큰을 발행하는 서버이다. 본 실시 형태에서는, 인증 인가 서버(102)는 OAuth2.0의 인가 프로토콜에 준거한 것을 상정하고 있지만, OpenID Connet와 같은 다른 인가 프로토콜에 준거한 것이어도 된다. 인증 인가 서버(102)는, 전술한 웹 서버에 대하여 인가 토큰의 대응 정보를 제공하는 기능도 갖는다. 인가 토큰의 대응 정보란, 인가 토큰의 유효 기한이나 인가 토큰의 권한의 범위를 나타내는 정보이다. 웹 서버는, 클라이언트(101)가 갖는 인가 토큰의 정당성을 확인하기 위해, 인증 인가 서버(102)로부터 인가 토큰의 대응 정보를 취득하는 경우가 있다.
액세스권 중개 서버(103)는, 발행된 인가 토큰에 기초하여, 스토리지 서버(105)에 대한 액세스권 및 액세스 범위를 스토리지 액세스권 발행 서버(104)로부터 취득하는 서버이다. 액세스권 중개 서버(103)는, 인증 인가 서버(102)가 발행한 인가 토큰과 스토리지 서버(105)에 대한 액세스권의 권한의 대응 관계를 나타내는 정보를 유지한다.
스토리지 액세스권 발행 서버(104)는, 스토리지 서버(105)에 대한 액세스권 및 액세스 범위(스토리지 액세스권)를 발행ㆍ관리하는 관리 서버이다. 스토리지 액세스권의 발행은, 액세스권 중개 서버(103)로부터의 취득 요구에 기초하여 행해진다. 발행되는 액세스 범위로서는, 판독이나 기입 등의 조작이나, 조작을 허가하는 파일 패스 등이 설정된다.
스토리지 서버(105)는, 파일 등의 데이터의 보관 및 관리를 행하는 서버이다. 스토리지 서버(105)는, 클라이언트(101)로부터 스토리지 액세스권이 송신되면, 송신된 스토리지 액세스권의 검증을 행한다. 검증 결과, 스토리지 액세스권이 정당한 경우, 클라이언트(101)로부터의 요구에 응답하여, 보관하고 있는 파일로의 액세스를 허가한다.
또한, 본 실시 형태에서는, 시스템 내의 통신 프로토콜로서, HTTP(Hypertext Transfer Protocol)를 상정하고 있지만, HTTP 이외의 통신 프로토콜을 사용해도 된다. 또한, 시스템 내에 있어서 복수 종류의 통신 프로토콜을 사용해도 된다.
또한, 도 1에서는, 클라이언트(101), 인증 인가 서버(102), 액세스권 중개 서버(103), 스토리지 액세스권 발행 서버(104)는 각각 1대씩으로 하고 있다. 그러나, 각각의 대수를 1대에 한정할 필요는 없다. 또한, 도 1에서는, 인증 인가 서버(102), 액세스권 중개 서버(103), 스토리지 액세스권 발행 서버(104)는 각각 별도의 서버로 하고 있다. 그러나, 이들 서버가 갖는 기능을 하나의 서버에 통일해도 된다. 일례로서, 인증 인가 서버(102)와 액세스권 중개 서버(103)의 기능을 동일한 서버에 갖게 하는 구성으로 해도 된다.
이어서, 도 2를 사용하여, 본 실시 형태에 있어서의 정보 처리 장치의 하드웨어 구성을 설명한다. 본 실시 형태에 있어서의 정보 처리 장치란, 클라이언트(101), 인증 인가 서버(102), 액세스권 중개 서버(103), 스토리지 액세스권 발행 서버(104) 등이다. 도시하는 바와 같이, CPU(Central Processing Unit)(201), ROM(Read Only Memory)(202), RAM(Random Access Memory)(203) 등을 하드웨어 구성으로서 구비하고 있다. 또한, NET I/F(Netowork Interface)(204), 표시 장치(205), 입력 장치(206), 버스(207) 등도 구비하고 있다.
CPU(201)는, 버스(207)에 접속된 각 장치의 제어를 행하는 처리 장치이다. CPU(201)는, 클라이언트(101), 인증 인가 서버(102), 액세스권 중개 서버(103), 스토리지 액세스권 발행 서버(104)에 있어서 후술의 각종 처리를 실행한다. ROM(202)은, 컴퓨터의 기본 제어를 행하는 오퍼레이팅 시스템이나 동작 프로그램 등이 저장되는 기억 매체이다. RAM(203)은, CPU(201)의 워크 메모리로서, 동작 프로그램 자체나 동작 프로그램에 필요한 데이터가 저장되는 기억 매체이다. CPU(201)는, ROM(202)에 저장되어 있는 각종 컴퓨터 프로그램을 RAM(203)에 저장하고, 각종 컴퓨터 프로그램을 실행한다.
NET I/F(204)는, 네트워크를 통하여 접속되는 외부 장치와의 정보의 교환을 제어하기 위한 인터페이스이다. NET I/F(204)를 통하여, 클라이언트(101), 인증 인가 서버(102), 액세스권 중개 서버(103), 스토리지 액세스권 발행 서버(104) 각각은 데이터의 송수신을 행한다. 표시 장치(205)는, CPU(201)의 처리 결과를 표시하기 위한 장치이며, 액정 디스플레이나 유기 EL 디스플레이 등에 의해 구성된다.
입력 장치(206)는, 유저로부터의 입력을 물리적으로 접수하기 위한 장치이며, 키보드나 마우스 또는 터치 패널에 의해 구성된다. 또한, 터치 패널 탑재의 디스플레이인 경우에는, 표시 장치(205)와 입력 장치(206)는 일체의 구성으로 된다. 또한, NET I/F(204)를 통하여 외부 장치의 표시 장치(205) 및 입력 장치(206)를 이용하는 것이 가능하며, 그 경우에는 표시 장치(205) 및 입력 장치(206)를 갖지 않는 구성으로 된다.
이어서, 도 3을 사용하여, 본 실시 형태에 있어서 클라이언트(101)가 스토리지 서버(105)에 직접 액세스할 때의 구체적인 처리 플로우를 설명한다. 도 3의 처리 플로우는, 스토리지 서버(105)에 액세스할 때의 처리의 일례로서, 파일의 업로드를 예시한 것이다. 파일의 다운로드 등의 다른 조작을 행하는 경우라도, 도 3과 마찬가지의 처리 플로우로 된다.
(스텝 S301)
스텝 S301은, 클라이언트(101)가 인증 인가 서버(102)에 대하여 인가 토큰 취득의 요구를 행하고, 인증 인가 서버(102)로부터 인가 토큰을 취득하는 스텝이다. 취득의 요구 시에는, 인증 인가 서버(102)에 대하여 인증 정보가 송부되고, 인증 인가 서버(102)는, 인증 정보에 따른 인가 토큰을 부여한다.
인가 토큰의 취득 요구 및 그의 응답(인가 토큰)은, 인가 토큰 발행 처리의 종류마다 상이한 형식이나 값으로 된다. 도 5의 (a) 및 (b)는, 인가 토큰 취득 요구 및 그의 응답의 구체적인 예를 도시하는 도면이다.
도 5의 (a)는, OAuth2.0에 있어서의 Client Credentials Grant의 인가 토큰 발행 처리에 따른 인가 토큰 취득 요구의 예가 된다. Authorization 헤더에는, 인가 토큰의 발행에 필요한 인증 정보가 부가되어 있다. 도면의 예에서는, Basic 인증에 의해, 클라이언트의 클라이언트 ID와 클라이언트 시크릿이 송신되도록 되어 있다. 또한, 인가 토큰의 스코프가 리퀘스트의 바디에 부가되어 있다. 또한, 인가 토큰 발행 처리의 종류의 식별자가, grant_type로서 리퀘스트의 바디에 부가되어 있다.
또한, 도 5의 (a)에서 인가 토큰 발행 처리의 종류는, Client Credentials Grant로 되어 있지만, Client Credentials Grant 이외를 사용해도 된다.
Client Credentials Grant 이외의 인가 플로우를 사용하는 경우에는, 인가 토큰의 발행이 유저에 의해 승인되었을 때 발행되는 인가 코드라고 불리는 정보 등이 추가로 필요하게 된다.
도 5의 (b)는, 도 5의 (a)의 인가 토큰의 취득 요구에 대한 응답(인가 토큰)의 예이다. 리스펀스 바디에 포함되는 access_token이 인가 토큰의 값을 나타내고 있다. 또한, token_type은 인가 토큰의 종류를 가리키고, expires_in은 인가 토큰이 무효로 될 때까지의 남은 시간을 가리킨다.
도 5의 (b)에서는, expires_in의 시간 단위는 초로 되어 있지만, 초 이외의 단위를 사용해도 된다. 또한, 응답에는, 상술한 것 이외의 속성 정보를 포함시켜도 된다.
인가 토큰의 발행 시에는, 인증 인가 서버(102)는 도 4에 도시하는 관리 테이블을 이용한다. 도시하는 바와 같이, 도 4의 (a)의 인가 클라이언트 관리 테이블(400)에는, 클라이언트를 인증하기 위한 정보인 클라이언트 ID(401) 및 클라이언트 시크릿(402)과, 스코프(403)가 관련지어져 기록되어 있다. 따라서, 인증 인가 서버(102)는, 클라이언트 관리 테이블(400)을 참조함으로써, 인가 토큰의 취득 요구가 정당한 것인지 여부를 확인할 수 있다. 인증 인가 서버(102)는, 인가 토큰의 취득 요구의 인증 정보와 클라이언트 관리 테이블(400)에 등록되어 있는 인증 정보가 일치한 경우, 취득 요구가 정당한 것이라고 간주한다. 그리고, 인증 정보에 기초하는 스코프(403) 중에서 인가 토큰의 취득 요구에 포함되는 스코프를 취득하고, 인가 토큰을 생성한다. 또한, 인증 정보의 클라이언트 시크릿(402)은 평문이 아니라 암호화하여 보존해도 된다. 또한, 인증 정보가 유저 ID 및 패스워드인 경우에는, 유저 ID(501)와 패스워드(502)가 관련지어져 기록되어 있는 유저 관리 테이블(500)을 참조한다.
한편, 관리 테이블(400)에는, 디폴트 스코프(404)가 포함되어 있다. 디폴트 스코프(404)는, 인가 토큰 취득의 요구에 스코프가 포함되지 않은 경우에 이용한다. 즉, 인가 토큰 취득의 요구에 스코프가 포함되지 않은 경우, 스코프(403)가 아니라, 디폴트 스코프(404)를 사용한 인가 토큰을 생성한다. 스코프(403) 및 디폴트 스코프(404)는 복수 지정하는 것이 가능하다.
인증 인가 서버(102)에 의해 인가 토큰이 생성되면, 생성된 인가 토큰의 정보가 인가 토큰 관리 테이블(600)에 등록된다. 인가 토큰 관리 테이블(600)에는, 인가 토큰(601)마다 유효 기한(602), 스코프(603), 인가 토큰(601)을 발행한 인가 클라이언트의 클라이언트 ID(604)가 기록되어 있다. 또한, 유효 기한(602)을 초과한 인가 토큰(601)은 인가 토큰 관리 테이블(600)로부터 삭제해도 된다. 또한, 인가 토큰 취득 요구에 유저의 유저 ID(605)의 정보가 포함되어 있는 경우에는, 유저 ID(605)를 합쳐 보관한다.
상술한 인가 토큰 취득 요구는 유저의 인증 정보와 인가 클라이언트의 인증 정보의 양쪽을 포함해도 된다. 또한, 인가 클라이언트의 인증 정보와 유저의 인증 정보를 단계적으로 송신해도 된다. 예를 들어, 유저의 인증 정보를 처음에 송신하고, 유저의 인증 정보가 정당한 경우에만 인가 클라이언트의 인증 정보를 계속해서 송신해도 된다.
(스텝 S302)
스텝 S302에서는, 클라이언트(101)는 스텝 S301에서 취득한 인가 토큰을 액세스권 중개 서버(103)에 송신하고, 스토리지 서버(105)에 액세스하기 위한 액세스권을 취득한다. 또한, 본 스텝에 있어서의 액세스권 중개 서버(103)의 처리 플로우에 대해서는 후술한다.
(스텝 S303)
스텝 S303에서는, 액세스권 중개 서버(103)는 클라이언트(101)가 송신한 인가 토큰에 따른 스토리지 서버(105)의 액세스권을 스토리지 액세스권 발행 서버(104)로부터 취득한다.
도 5의 (c) 및 (d)는, 스토리지 액세스권 취득의 요구와 그의 응답의 구체적인 예를 도시한 것이다. 도 5의 (c)는, 액세스권 중개 서버(103)가 스토리지 액세스권 발행 서버(104)에 송신하는 스토리지 액세스권 취득의 요구의 예이다. Authorization 헤더에 포함되는 문자열은, 스텝 S301에서 취득된 인가 토큰에 포함되는 문자열과 동일한 것이다.
도 5의 (d)는, 도 5의 (c)의 스토리지 액세스권 취득의 요구에 대한 응답의 예이다. 스토리지 액세스권은, storage_credential로서 응답에 포함된다. 또한, 스토리지 서버(105)의 종류나 규격에 따라 스토리지 액세스권의 형식은 상이하기 때문에, storage_credential에 포함되는 속성은 스토리지 서버(105)의 종류나 규격에 맞추어 변경할 필요가 있다. 예를 들어, 스토리지 서버(105)에 대한 액세스권이 ID와 패스워드의 조합으로 설정되는 경우에는, storage_credential에는 ID와 패스워드가 포함된다. 또한, 도 5의 (d)의 expiration에 등록되어 있는 바와 같이, 스토리지 액세스권의 유효 기한을 설정해도 된다. 또한, 상기 도 5의 (c) 및 (d)에서는, 스토리지 액세스권 취득의 요구 및 그의 응답은 json 형식으로 기술되어 있지만, XML과 같은 다른 형식으로 기술되어도 된다.
(스텝 S304)
스텝 S304에서는, 클라이언트(101)는 스텝 S302에서 취득한 스토리지 액세스권을 사용하여 스토리지 서버(105)에 액세스하고, 각종 파일 조작을 행한다. 당해 액세스권에는, 스토리지 서버(105)의 스토리지 내의 액세스 가능한 파일 패스 정보 등이 포함되어 있다. 도 3의 예에서는, 파일의 업로드가 실행되고 있다. 업로드가 성공한 경우에는, 업로드가 성공하였음을 나타내는 리스펀스가 스토리지 서버(105)로부터 클라이언트(101)에 송신된다.
이어서, 도 6을 사용하여, 본 실시 형태에 있어서의 액세스권 중개 서버(103)의 기능의 구성예에 대하여 설명한다. 액세스권 중개 서버(103)는, 전술한 바와 같이, 스토리지 액세스권 발행 서버(104)에 스토리지 액세스권 취득의 요구를 행하고, 그의 응답을 클라이언트(101)에 송신한다.
스토리지 액세스권 관리부(1101)는, 클라이언트(101)로부터 송신된 인가 토큰을 기초로, 스토리지 액세스권 취득부(1102)를 사용하여 스토리지 액세스권을 스토리지 액세스권 발행 서버(104)로부터 취득한다. 그리고, 스토리지 액세스권 발행 서버(104)로부터 취득한 스토리지 액세스권을 클라이언트(101)에 송신한다. 스토리지 액세스권 관리부(1101)는, 수신한 인가 토큰의 정보를 인가 토큰 정보 취득부(1103)에 의해 취득한다. 또한, 스토리지 액세스권 관리부(1101)는, 스토리지 액세스 범위 결정부(1104)를 사용하여, 발행할 스토리지 액세스권의 권한의 범위를 결정한다.
스토리지 액세스 범위 보관부(1106)는, 스토리지 액세스 범위의 설정 정보를 보관한다. 도 7은, 본 실시 형태에 있어서의 스토리지 액세스 범위 관리 테이블(1200)이다.
스토리지 액세스 범위 관리 테이블(1200)은, 스토리지 액세스 범위 보관부(1106)가 유지하고, 스토리지 액세스권의 관리를 행한다. 도시하는 바와 같이, 스토리지 액세스 범위 관리 테이블(1200)은, 인가 토큰의 스코프에 대응한 스토리지의 권한의 범위를 기술한 것이다. 스토리지 액세스 범위 관리 테이블(1200)은, 인가 토큰에 대응하는 클라이언트 ID(1201)에 관련지어진 스코프(1202)를 갖는다. 또한, 스코프(1202)에 대응한 스토리지 서버(105)의 액세스 범위로서 조작(1203)과 파일 패스(1204)가 관련지어져 있다. 조작(1203)은 스토리지 서버(105)에 대한 조작을 나타낸 것이다. 조작의 명칭은, 스토리지 서버(105)에 의해 정의되어 있다. 예를 들어, READ는 스토리지 서버(105)에 대한 읽어들이기, WRITE는 스토리지 서버(105)에 대한 기입을 나타내는 것으로 한다. 또한, 조작(1203)에 설정하는 문자열과 스토리지 서버(105)에 대한 조작의 대응짓기를 별도로 관리하고, 조작(1203)을 액세스권 중개 서버(103)가 정의하는 독자적인 문자열로 해도 된다.
파일 패스(1204)에는, 액세스를 허가하는 스토리지 서버(105)의 파일 패스가 기입되어 있다. 또한, 파일 패스(1204)에는, 스토리지 서버(105)의 디렉토리나 파일명을 설정하는 것이 가능하다. 또한, 파일 패스(1204)에는 설정값으로서 2종류의 변수를 사용할 수 있다. 2종류의 변수의 첫 번째는, 인가 토큰에 관련지어진 정보를 나타내는 것이며, ${token. 속성명}의 형식으로 표현된다. 그리고, 2종류의 변수의 두 번째는, 스토리지 액세스권 발행 요구에 포함되는 임의로 지정 가능한 정보를 나타내는 것이며, ${param. 파라미터명}의 형식으로 표현된다. 이 2종류의 변수를 사용함으로써, 인증 인가 서버(102)가 발행한 인가 토큰의 정보와 스토리지 액세스권 취득 시에 임의로 지정 가능한 정보를 조합하여 스토리지 서버(105) 상의 패스를 설정할 수 있다. 예를 들어, 파일 패스(1204)의 상위부에 인가 토큰에 관련지어진 정보를 지정하고, 하위부에 스토리지 액세스권 발행 요구에 포함되는 임의로 지정 가능한 정보를 지정하는 것이 가능하다. 이 지정 방법에서는, 액세스할 수 있는 스토리지 서버(105)의 상위의 패스가 인증 인가 서버(102)에 의해 관리되는 정보에 기초하여 결정되기 때문에, 스토리지 액세스권을 취득하는 클라이언트가 액세스할 패스를 한정할 수 있다. 이에 의해, 클라이언트가 특정한 패스 이하만 액세스할 수 있는 상황이 되기 때문에, 스토리지 서버(105)에 대한 액세스권을 최저한 필요한 것으로 제한할 수 있다. 또한, 스토리지 서버(105)의 패스의 하위부는 리퀘스트 시에 지정 가능한 임의의 값이기 때문에, 특정한 폴더 내에서 처리에 따른 미세한 패스의 제어가 가능하게 된다.
또한, 스코프(1202) 및 조작(1203) 및 파일 패스(1204)는 복수의 값을 지정 가능하다. 또한, 2종류의 변수의 형식은 어디까지나 일례이며, 각각의 변수를 구별할 수 있는 형식이면 된다. 또한, 스토리지 액세스 범위 관리 테이블(1200)은 스토리지 액세스권의 유효 기한(1205)을 갖는다. 유효 기한(1205)은 스토리지 액세스권을 발행한 시점에서부터의 스토리지 액세스권이 유효한 기간을 초의 단위로 나타낸 것이다. 또한, 유효 기한(1205)은 초 이외의 단위여도 되고, 기간이 아니라 특정한 일자를 지정해도 된다. 또한, 스토리지 액세스권을 이용할 수 있는 클라이언트(101)의 IP 어드레스를 추가로 지정해도 된다. 또한, IP 어드레스는 서브네트의 정보를 포함하는 CIDR(Classless Inter-Domain Routing) 형식으로 지정해도 된다.
또한, 스토리지 액세스 범위 관리 테이블(1200)은 클라이언트 ID(1201)를 가지며, 인가 클라이언트마다 설정 정보를 나누어 관리하는 것이 가능하다. 이에 의해, 스코프(1202)값이 동일해도 상이한 스토리지 서버(105)의 권한을 인가 클라이언트마다 설정하는 것이 가능하다.
통신부(1107)는, 클라이언트(101)로부터 네트워크(106)를 통한 스토리지 액세스권 발행 요구를 수신한다. 스토리지 액세스권 발행 요구를 수신한 경우에는 스토리지 액세스권 관리부(1101)에 통지한다. 또한, 통신부(1107)는, 수신한 스토리지 액세스권 발행 요구에 대한 응답을 클라이언트(101)에 송신한다. 또한, 통신부(1107)를 사용하여 인증 인가 서버(102)나 스토리지 액세스권 발행 서버(104)에 액세스한다.
도 8을 사용하여, 스토리지 액세스권 취득의 요구를 수신하였을 때의 스토리지 액세스권 관리부(1101)에 의해 행해지는 처리의 플로우에 대하여 설명한다. 도 8의 일련의 처리는, 도 3의 스텝 S302에서, 클라이언트(101)로부터 스토리지 액세스권 취득의 요구가 행해진 후의 처리로 된다. 각 스텝은, 도 6에 의해 도시된 각 기능으로 행해지지만, 실체로서는, CPU(201)가, ROM(202)에 저장되어 있는 각종 컴퓨터 프로그램을 RAM(203)에 저장하고, 각종 컴퓨터 프로그램을 실행함으로써 실현된다.
스텝 S1301은, 통신부(1107)로부터 송신된 스토리지 액세스권 취득의 요구를 스토리지 액세스권 관리부(1101)가 수신하는 스텝이다. 스토리지 액세스권 취득의 요구에는, 인증 인가 서버(102)가 발행한 인가 토큰이 포함되어 있다. 스토리지 액세스권 취득의 요구는, 전술한 바와 같이, 도 5의 (c)와 같이 된다.
스텝 S1302는, 인가 토큰 정보 취득부(1103)가 스토리지 액세스권 취득의 요구에 포함되는 인가 토큰의 정보를 취득하는 스텝이다. 인가 토큰 정보 취득부(1103)는, 인증 인가 서버(102)에 인가 토큰의 정보의 취득 요구를 송신하고, 그의 회신으로서 인가 토큰의 정보를 취득한다. 인가 토큰의 정보에는, 인가 토큰의 유효 기한이나 인가 토큰의 권한의 범위가 포함된다. 또한, 인가 토큰의 정보에는, 인가 토큰을 발행한 인가 클라이언트의 클라이언트 ID나 인가 토큰의 발행을 허가한 유저의 유저 ID가 포함된다. 또한, 인가 토큰의 정보의 취득 요구에는 인가 토큰의 값이 적어도 포함된다.
인증 인가 서버(102)는, 인가 토큰의 정보의 취득 요구를 수신한 경우, 인가 토큰 관리 테이블(600)을 참조하여, 인가 토큰의 정보의 취득 요구에 포함되는 인가 토큰이 존재하는지 여부를 확인한다. 인가 토큰 관리 테이블(600)에 대상의 인가 토큰이 존재하지 않은 경우에는, 인가 토큰이 존재하지 않는다는 취지의 응답을 송신한다. 또한, 인가 토큰 관리 테이블(600)에 대상의 인가 토큰이 존재한 경우라도, 인가 토큰의 유효 기한(602)이 초과한 경우에는, 유효 기한 지남을 나타내는 응답을 송신한다. 인가 토큰 관리 테이블(600)에 대상의 인가 토큰이 존재하고, 또한 유효 기한(602) 내인 경우에는, 인가 토큰 관리 테이블(600)에 보관되어 있는 인가 토큰(601)의 정보를 송신한다. 도 9는, 인증 인가 서버(102)가 제공하는 인가 토큰의 정보의 예를 도시한 것이다. 또한, 액세스권 중개 서버(103)가 인가 토큰의 유효 기한의 체크를 행하는 기능을 갖고 있는 경우, 인가 토큰의 유효 기한(602)이 초과한 경우라도, 인증 인가 서버(102)는 인가 토큰(601)의 정보를 송신하도록 해도 된다.
스텝 S1303은, 스토리지 액세스권 관리부(1101)가 수신한 인가 토큰이 정당한지 여부의 판정을 행하는 스텝이다. 인가 토큰 정보 취득부(1103)가 인증 인가 서버(102)로부터 인가 토큰 정보를 정상적으로 취득할 수 있는 경우에는 인가 토큰이 정당하다고 판정한다. 한편, 인가 토큰 정보를 정상적으로 취득할 수 없는 경우에는 인가 토큰이 정당하지 않다고 판정한다. 인가 토큰 정보를 정상적으로 취득할 수 없는 경우란, 인가 토큰의 유효 기한이 지난 경우나 인가 토큰 관리 테이블(600)에 등록되지 않은 인가 토큰이 송신된 경우이다.
스텝 S1304는, 인가 토큰이 정당한지 여부의 판정에 기초하여 처리를 분기시키는 스텝이다. 스텝 S1303에서 인가 토큰이 정당하다고 판정된 경우에는, 스텝 S1305로 처리를 진행한다. 인가 토큰이 정당하지 않다고 판정된 경우, 스텝 S1310으로 처리를 진행한다.
스텝 S1305는, 발행할 스토리지 액세스권의 권한의 범위를 스토리지 액세스 범위 결정부(1104)가 결정하는 스텝이다. 또한, 본 스텝의 처리 내용의 상세에 대해서는 후술한다.
스텝 S1306은, 스토리지 액세스 범위 결정부(1104)가, 스텝 S1305에서 결정한 스토리지 액세스권의 권한의 범위가 정당한지 여부의 판정을 행하는 스텝이다. 스토리지 액세스권의 권한의 범위가 정당한지 여부의 판정은 권한 범위 폴리시에 기초하여 행해진다. 권한 범위 폴리시의 예로서, 특정한 파일 패스에 대한 액세스권을 갖고 있는 경우에 스토리지 액세스권으로서 정당하지 않다고 판단시키는 것이 있다. 또한, 스토리지 액세스 범위 관리 테이블(1200)의 파일 패스(1204)에 정의된 변수가 치환되지 않은 경우에, 스토리지 액세스권으로서 정당하지 않다고 판단시키는 것도 있다. 또한, 권한 범위 폴리시는, 액세스권 중개 서버(103) 전체에 적용하는 것으로 해도 되고, 스토리지 액세스 범위 관리 테이블(1200)에 있어서의 클라이언트 ID(1201)마다 적용하는 것으로 해도 된다. 또한, 스토리지 액세스권의 권한의 범위가 정당한지 여부의 판정을 행할지 여부를, 스토리지 액세스 범위 결정부(1104)에 대한 설정에 의해 전환되는 것으로 해도 된다.
본 스텝에 있어서, 스토리지 액세스 범위 결정부(1104)가 발행하는 스토리지 액세스권의 권한이 정당하다고 판정된 경우, 스텝 S1307로 처리를 진행한다. 한편, 스토리지 액세스 범위 결정부(1104)가 발행하는 스토리지 액세스권의 권한이 정당하지 않다고 판정된 경우, 전술한 스텝 S1310으로 처리를 진행한다.
스텝 S1307은, 스토리지 액세스권 취득부(1102)가, 스토리지 액세스권 발행 서버(104)로부터 스토리지 액세스권을 취득하는 스텝이다. 스토리지 액세스권 취득부(1102)는, 스토리지 액세스권 발행 서버(104)가 구비하는 스토리지 액세스권의 발행 기능에 의해, 스토리지 액세스권을 취득한다. 스토리지 액세스권 취득부는 스토리지 액세스권의 취득 결과를 스토리지 액세스권 관리부(1101)에 통지한다.
스텝 S1308은, 스토리지 액세스권이 정상적으로 취득되었는지 여부를 판정하는 스텝이다. 스토리지 액세스권이 정상적으로 취득된 경우, 스텝 S1309로 처리를 진행한다. 한편, 스토리지 액세스권이 정상적으로 취득되지 못한 경우, 전술한 S1310으로 처리를 진행한다.
스텝 S1309는, 스토리지 액세스권 관리부(1101)가 클라이언트(101)에 대하여, 스텝 S1307에서 취득된 스토리지 액세스권을 송신하는 스텝이다.
스텝 S1310은, 스토리지 액세스권 관리부(1101)가 클라이언트(101)에 에러 응답을 송신하는 스텝이다. 본 스텝에서 송신하는 에러 응답에는, 에러의 원인으로서 인가 토큰이 정당하지 않다는 것을 포함시켜도 된다. 또한, 에러의 원인으로서 스토리지 액세스권의 권한의 범위가 옳지 않다는 것이나, 에러의 원인으로서 스토리지 액세스권 발행 서버(104)로부터 스토리지 액세스권이 취득되지 못했다는 것을 포함시켜도 된다. 스텝 S1309 혹은 스텝 S1310의 처리 후, 본 플로우에 있어서의 처리는 종료된다.
이어서, 도 10을 사용하여, 상술한 스텝 S1305에서 행해지는 스토리지 액세스권의 권한 결정의 처리 플로우에 대하여 설명한다. 각 스텝은, 실체로서는, CPU(201)가, ROM(202)에 저장되어 있는 각종 컴퓨터 프로그램을 RAM(203)에 저장하고, 각종 컴퓨터 프로그램을 실행함으로써 실현된다.
스텝 S1501은, 스토리지 액세스 범위 관리 테이블(1200)로부터, 스토리지 액세스권의 권한에 관한 정보를 취득하는 스텝이다. 본 스텝에서는, 스텝 S1302에서 취득한 인가 토큰 정보에 포함되는 클라이언트 ID와 스코프를 기초로 대응하는 조작(1203) 및 파일 패스(1204) 및 유효 기한(1205)을 취득한다. 취득 시에는, 스토리지 액세스 범위 관리 테이블(1200)이 참조된다.
또한, 클라이언트(101)로부터 송신되는 스토리지 액세스권의 취득의 요구에 있어서, 인가 토큰에 포함되는 스코프 중, 어느 스코프에 대하여 스토리지 액세스권을 취득할지를 지정해도 된다. 그 경우, 본 스텝에 있어서, 인가 토큰에 포함되는 스코프 중에서, 스토리지 액세스권의 취득의 요구에서 지정된 스코프를 사용하여 스토리지 액세스 범위 관리 테이블(1200)로부터 스토리지 액세스권의 권한에 관한 정보를 취득해도 된다.
스텝 S1502는, 스토리지 액세스 범위 관리 테이블(1200)에 해당하는 클라이언트 ID(401) 및 스코프(403)가 존재하는지 여부를 판정하는 스텝이다. 해당되는 클라이언트 ID(401) 및 스코프(403)가 존재한다고 판정된 경우, 스텝 S1503으로 처리를 진행한다. 한편, 존재하지 않는다고 판정된 경우, 스텝 S1506으로 처리를 진행한다.
스텝 S1503은, 스텝 S1501에서 취득한 파일 패스(1204)에 변수가 포함되어 있는지 여부를 판정하는 스텝이다. 스텝 S1501에서 취득한 파일 패스(1204)가 변수를 포함하는 경우에는, 스텝 S1504로 처리를 진행한다. 한편, 변수를 포함하지 않는다고 판정된 경우에는, 스텝 S1505로 처리를 진행한다.
스텝 S1504는, 스텝 S1302에서 취득한 인가 토큰 정보에 기초하여 변수를 치환하는 스텝이다. 본 스텝에서는, 파일 패스(1204)에 포함되는 변수에 대응하는 인가 토큰 정보를 사용하여 변수를 치환한다. 도 7의 클라이언트 ID(1201)가 Client001이고 스코프(1202)가 upload인 경우, 또한 도 9의 인가 토큰 정보가 취득된 경우를 예로 든다. 이 경우, 파일 패스(1204)에 포함되는 ${token.client_id}는 client001로 치환되게 된다. 이것은, 도 9의 인가 토큰 정보에 client_id로서 client001이 포함되어 있기 때문이다. 마찬가지로, 스토리지 액세스권 취득의 요구에 포함되는 값에 기초하여, 파일 패스(1204)의 ${param.time}은 20140930으로 치환된다. 그리고, ${param.name}은 image001.jpg로 치환되게 된다. 따라서, 치환 결과의 파일 패스(1204)는, /client001/20140930/image001.jpg로 된다.
스텝 S1505는, 스토리지 액세스권의 유효 기한을 결정하는 스텝이다. 본 스텝에서는, 스텝 S1501에서 취득한 유효 기한(1205)에 기초하여, 현재 시각으로부터 유효 기한(1205)만큼 경과한 일시를 스토리지 액세스권의 유효 기한으로 한다.
스텝 S1506은, 클라이언트(101)에 에러의 응답을 송신하는 스텝이다. 스텝 S1506에서 송신하는 에러 응답에는, 에러의 원인으로서 스토리지 액세스 범위 관리 테이블(1200)에 해당하는 클라이언트 ID(401) 및 스코프(403)가 존재하지 않았음을 포함시켜도 된다. 또한, 본 스텝에서는 에러 응답을 하는 것으로 하였지만, 필요한 설정이 존재하지 않은 경우에 사용하는 디폴트의 설정을 스토리지 액세스 범위 관리 테이블(1200)에 등록해 두고, 디폴트의 설정을 사용하여 스토리지 액세스권의 권한으로 해도 된다. 스텝 S1505 혹은 스텝 S1506의 처리 종료 후, 전체 처리를 종료시킨다.
이상과 같이, 본 실시 형태의 액세스권 중개 서버(103)에 따르면, 인증 인가 서버(102)가 발행한 인가 토큰에 기초한 스토리지 서버(105)의 액세스권의 중개를 행할 수 있다. 중개를 행함으로써, 인증 인가 서버(102)는, 스토리지 서버(105)에 대한 액세스권의 권한의 범위를 제어할 수 있고, 적절한 권한을 가진 스토리지 서버(105)의 액세스권의 발행을 행할 수 있다. 또한, 클라이언트(101)의 처리에 따른 스토리지 서버(105)의 액세스권을 발행하는 것도 가능하기 때문에, 클라이언트(101)에 필요 최저한의 액세스권이 부여되고, 과잉의 권한을 주는 것을 피할 수 있다.
(제2 실시 형태)
제1 실시 형태에서는, 액세스권 중개 서버(103)가, 스토리지 액세스권 취득의 요구를 수신하였을 때 스토리지 액세스권을 매회 취득하는 예를 나타내었다. 본 실시 형태에서는, 액세스권 중개 서버가 스토리지 액세스권을 일시적으로 캐시한다. 또한, 본 실시 형태는, 제1 실시 형태와 마찬가지의 구성을 포함하기 때문에, 이하에서는 제1 실시 형태와의 차분에 대하여 설명한다.
도 11은, 본 실시 형태에 있어서의 액세스권 중개 서버(103)의 기능의 구성예를 도시한 것이다. 본 실시 형태에 있어서의 액세스권 중개 서버(103)는, 스토리지 액세스권 보관 수단(1601)을 갖고, 스토리지 액세스권 발행 서버(104)로부터 취득한 스토리지 액세스권을 일시적으로 보관한다. 스토리지 액세스권 보관 수단(1601)은, 도 12에 도시하는 스토리지 액세스권 관리 테이블(1700)을 갖고, 스토리지 액세스권을 취득한 인가 클라이언트나 스코프마다 스토리지 액세스권을 보관한다.
도시하는 바와 같이, 스토리지 액세스권 관리 테이블(1700)은, 취득한 스토리지 액세스권의 관리를 행하기 위한 것이다. 스토리지 액세스권 관리 테이블(1700)은, 인가 토큰에 대응하는 클라이언트 ID(1701)에 관련지어진 스코프(1702)를 갖는다. 또한, 스코프(1702)에 대응한 스토리지 서버(105)의 액세스 범위로서 조작(1703)과 파일 패스(1704)가 관련지어져 있다. 또한, 스토리지 액세스권(1705)과 그의 유효 기한(1705)이 관련지어져 있다. 유효 기한(1705)은 스토리지 액세스권(1706)이 무효로 되는 일시를 나타낸 것이다. 또한, 스토리지 액세스권(1705)은 평문이 아니라 암호화하여 보존해도 된다. 또한, 유효 기한(1705)은 액세스권 중개 서버(103)나 클라이언트(101)가 사용하는 타임 존에 맞춘 일시로 보존해도 된다.
도 13을 사용하여, 스토리지 액세스권 취득의 요구를 수신하였을 때의 스토리지 액세스권 관리부(1101)에 의해 행해지는 처리의 플로우에 대하여 설명한다. 도 13의 처리는, 각 처리는 제1 실시 형태의 도 8의 처리와 거의 동일하기 때문에, 상이한 점만 설명한다.
또한, 각 스텝은, 실체로서는, CPU(201)가, ROM(202)에 저장되어 있는 각종 컴퓨터 프로그램을 RAM(203)에 저장하고, 각종 컴퓨터 프로그램을 실행함으로써 실현된다.
스텝 S1801은, 취득 대상의 스토리지 액세스권에 상당하는 스토리지 액세스권이 이미 취득되었는지 여부를 스토리지 액세스권 보관 수단(1601)에 문의하는 스텝이다. 문의 시에는, 스토리지 액세스권 보관 수단(1601)은, 이하의 확인을 행한다. 즉, 취득 대상의 스토리지 액세스권의 인가 클라이언트의 클라이언트 ID와 스코프와 조작과 파일 패스가 일치하는 스토리지 액세스권이 스토리지 액세스권 관리 테이블(1700)에 존재하는지 여부이다. 그리고, 해당 스토리지 액세스권이 존재하는 경우에는, 유효 기한의 확인을 행한다. 스토리지 액세스권이 유효 기한 내라면, 스토리지 액세스권은 취득 완료로 하고, 스토리지 액세스권의 값을 스토리지 액세스권 취득부에 반환한다. 또한, 해당 스토리지 액세스권이 유효 기한 내라도, 유효 기한이 지나기까지 일정 이상의 기간이 있는 경우만 취득 완료로 판단해도 된다. 상기 처리 후, 이미 취득된 경우, 스텝 S1309로 처리를 진행한다. 한편, 이미 취득되지 않은 경우, 스텝 S1307로 처리를 진행한다.
스텝 S1802는, 취득된 스토리지 액세스권을 스토리지 액세스권 보관 수단(1601)에서 보존하는 스텝이다. 취득된 스토리지 액세스권은, 스토리지 액세스권 관리 테이블(1700)에 캐시로서 기록되고, 동일한 스토리지 액세스권의 취득 요구가 있는 경우, 스토리지 액세스권 관리 테이블(1700)을 참조하여 취득하는 것이 가능하게 된다.
이상과 같이, 본 실시 형태의 액세스권 중개 서버에 따르면, 스토리지 액세스권 발행 서버(104)로부터 스토리지 액세스권을 매회 취득할 필요가 없어진다. 이에 의해, 도 13의 처리 완료까지의 시간을 단축할 수 있기 때문에, 클라이언트(101)에 스토리지 액세스권 취득의 요구에 대한 응답을 고속으로 반환할 수 있다.
(제3 실시 형태)
본 실시 형태에서는, 액세스권 중개 서버(103)가 스토리지 액세스 범위 변경 요구를 접수하였을 때의 처리를 나타내는 것이다.
도 14는, 본 실시 형태에 있어서의 액세스권 중개 서버(103)의 기능 구성의 예이다. 본 실시 형태에 있어서의 액세스권 중개 서버(103)는, 스토리지 액세스 범위 관리부(1401)를 갖는다. 스토리지 액세스 범위 관리부(1401)는, 스토리지 액세스 범위 설정 정보(1106)에 저장되는 정보의 추가, 삭제, 갱신의 처리를 행한다. 통신부(1107)는, 스토리지 액세스 범위 변경 요구를 수신하고, 수신한 스토리지 액세스 범위 변경 요구를 스토리지 액세스 범위 관리부(1401)에 통지한다. 스토리지 액세스 범위 관리부(1401)는, 스토리지 액세스 범위 변경 요구에 기초하여 스토리지 액세스 범위 관리 테이블(1200)이 갖는 정보를 변경한다.
도 15는, 본 실시 형태에 있어서의 스토리지 액세스 범위 변경 요구를 수신하였을 때의 스토리지 액세스 범위 관리부(1401)에 의해 행해지는 처리의 플로우이다.
각 스텝은, 실체로서는, CPU(201)가, ROM(202)에 저장되어 있는 각종 컴퓨터 프로그램을 RAM(203)에 저장하고, 각종 컴퓨터 프로그램을 실행함으로써 실현된다.
스텝 S1901은, 통신부(1107)로부터 송신된 스토리지 액세스 범위의 변경 요구를 수신하는 스텝이다. 스토리지 액세스 범위의 변경 요구에는, 인증 인가 서버(102)가 발행한 인가 토큰 및 스토리지 액세스 범위의 변경 내용이 포함되어 있다.
도 16은, 스토리지 액세스 범위의 수정을 행하는 경우의 스토리지 액세스 범위의 변경 요구의 예이다. 스토리지 액세스 범위의 변경 요구는, 스토리지 액세스 범위 관리 테이블(1200)이 갖는 정보에 대응한 속성을 갖고 있다. 또한, 스토리지 액세스 범위의 변경 요구는 스토리지 액세스 범위 관리 테이블(1200)이 갖는 항목 모두를 포함하고 있어도 되고, 변경이 필요한 속성만을 포함하고 있어도 된다.
스텝 S1902는, 스토리지 액세스 범위 변경 요구에 포함되는 인가 토큰의 정보를 취득하는 스텝이다. 인가 토큰 정보 취득부(1103)는, 인증 인가 서버(102)에 인가 토큰 정보 취득 요구를 송신하고, 인가 토큰의 정보를 취득한다. 인가 토큰 정보 취득 요구에는 인가 토큰의 값을 포함한다.
스텝 S1903은, 스텝 S1902에서 취득된 인가 토큰이 정당한지 여부의 검증을 행하는 스텝이다. 검증 결과를 받아, 스텝 S1904에서는, 인가 토큰은 정당한지 여부를 판정한다. 스텝 S1902에 있어서 인가 토큰 정보를 정상적으로 취득하지 못한 경우, 인가 토큰은 정당하지 않다고 판정한다. 또한, 인가 토큰 정보가 정상적으로 취득된 경우에, 인가 토큰 정보가 포함하는 인가 클라이언트의 클라이언트 ID 및 스코프와, 스토리지 액세스 범위 변경 요구에 포함되는 클라이언트 ID 및 스코프가 일치하는지 확인을 행한다. 일치하는 경우에는, 인가 토큰이 정당하다고 판단한다. 정당하다고 판정된 경우에는, 스텝 S1905로 처리를 진행한다. 한편, 일치하지 않는 경우에는, 스토리지 액세스 범위 변경 요구를 송신한 인가 클라이언트와는 상이한 인가 클라이언트의 설정을 변경하려고 하고 있다고 간주할 수 있기 때문에, 인가 토큰은 정당하지 않다고 판정한다. 인가 토큰이 정당하지 않다고 판정된 경우에는, 스텝 S1906으로 처리를 진행한다.
스텝 S1905는, 수신한 스토리지 액세스 범위 변경 요구의 정보를 사용하여, 스토리지 액세스 범위 관리 테이블(1200)의 해당 인가 클라이언트 또한 스코프의 정보를 변경하는 스텝이다. 스텝 S1906은, 클라이언트(101)에 에러의 응답을 반환하는 것이다. 스텝 S1905 혹은 스텝 S1906의 처리 후, 전체 처리를 종료시킨다.
또한, 도 15의 처리에서는 기존의 설정을 갱신하는 예를 도시하였지만, 설정의 삭제나 신규 작성도 가능하다. 설정의 삭제를 행하는 경우에는, 예를 들어 도 16의 HTTP의 동사 부분을 DELETE로 하면 되고, 신규 작성의 경우에는, HTTP의 동사 부분을 POST로 하면 된다.
또한, 스토리지 액세스 범위의 변경 요구에는 인가 토큰이 포함되는 것으로 하였지만, 대체로서 유저 ID와 패스워드에서의 인증 결과를 나타내는 정보를 송신해도 된다. 또한, 유저가 속하는 특정의 유저 그룹에만 스토리지 액세스 범위의 변경이 가능한 권한을 부여해도 된다.
이상과 같이, 본 실시 형태의 액세스권 중개 서버에 따르면, 유저가 스토리지 액세스 범위 관리 테이블(1200)에서 관리되는 스토리지 액세스 범위의 설정 정보를 변경할 수 있다. 이에 의해, 스토리지 서버(105)에 대한 액세스권의 권한의 설정을 필요에 따라 변경할 수 있기 때문에, 스토리지 서버(105)에 대한 액세스권의 권한을 적절한 범위에서 운용할 수 있다.
또한, 스토리지 액세스 범위 관리 테이블(1200)의 설정의 변경 시에는, 스토리지 액세스 범위 관리 테이블(1200)의 설정을 변경할 수 있는 유저인지 여부의 체크를 행한다. 따라서, 정당하지 않은 유저에 의한 스토리지 액세스 범위 관리 테이블(1200)의 설정 개찬은 곤란하게 된다.
(그 밖의 실시예)
본 발명은 상술한 실시 형태의 하나 이상의 기능을 실현하는 프로그램을, 네트워크 또는 기억 매체를 통하여 시스템 또는 장치에 공급하고, 그 시스템 또는 장치의 컴퓨터에 있어서의 하나 이상의 프로세서가 프로그램을 판독하여 실행하는 처리로도 실현 가능하다. 또한, 하나 이상의 기능을 실현하는 회로(예를 들어, ASIC)에 의해서도 실현 가능하다.
본 발명은 상기 실시 형태에 제한되는 것은 아니며, 본 발명의 정신 및 범위로부터 이탈하지 않고, 여러 가지 변경 및 변형이 가능하다. 따라서, 본 발명의 범위를 공개하기 위해 이하의 청구항을 첨부한다.
1102: 스토리지 액세스권 취득부
1103: 인가 토큰 정보 취득부
1104: 스토리지 액세스 범위 결정부
1107: 통신부

Claims (9)

  1. 스토리지 서버와 상기 스토리지 서버와 상이한 제1 서버에 액세스하는 클라이언트와 통신 가능한 정보 처리 장치이며,
    상기 클라이언트로부터, 상기 클라이언트가 상기 제1 서버에 액세스하기 위해 사용되는 제1 액세스권의 정보를 수신하는 수신 수단과,
    상기 제1 액세스권의 정보에 기초하여, 상기 클라이언트가 상기 스토리지 서버에 액세스하기 위해 사용되는 제2 액세스권의 정보를 생성하는 생성 수단과,
    상기 제2 액세스권의 정보를 상기 클라이언트에 송신하는 송신 수단을 갖는 것을 특징으로 하는 정보 처리 장치.
  2. 제1항에 있어서, 상기 제1 액세스권의 정보에는, 상기 클라이언트의 클라이언트 ID, 액세스권의 유효 기한을 나타내는 정보가 포함되어 있는 것을 특징으로 하는 정보 처리 장치.
  3. 제1항 또는 제2항에 있어서, 상기 제2 액세스권의 정보에는, 상기 스토리지 서버의 스토리지 내에서 액세스 가능한 파일 패스의 정보가 포함되어 있는 것을 특징으로 하는 정보 처리 장치.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 생성 수단은, 상기 스토리지 서버에 대한 액세스권을 관리하는 관리 서버에 상기 제1 액세스권의 정보에 기초하는 문의를 행하고, 상기 문의에 대한 응답에 기초하여 상기 제2 액세스권의 정보를 생성하는 것을 특징으로 하는 정보 처리 장치.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서, 상기 제1 액세스권의 정보와 상기 제2 액세스권의 정보의 대응 정보를 유지하는 유지 수단을 더 갖고,
    상기 생성 수단은, 상기 대응 정보를 참조함으로써, 상기 제2 액세스권의 정보를 생성하는 것을 특징으로 하는 정보 처리 장치.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서, 상기 클라이언트로부터 상기 제2 액세스권의 정보를 변경하는 변경 요구를 받는 제2 수신 수단을 더 갖고,
    상기 생성 수단은, 상기 변경 요구에 기초하여, 상기 클라이언트가 상기 스토리지 서버에 액세스하기 위해 사용되는 제2 액세스권의 정보를 생성하는 것을 특징으로 하는 정보 처리 장치.
  7. 스토리지 서버와,
    상기 스토리지 서버와 상이한 제1 서버와,
    상기 스토리지 서버와 상기 제1 서버에 액세스하는 클라이언트와,
    상기 클라이언트와 통신 가능한 정보 처리 장치로 구성되는 정보 처리 시스템이며,
    상기 정보 처리 장치는,
    상기 클라이언트로부터, 상기 클라이언트가 상기 제1 서버에 액세스하기 위해 사용되는 제1 액세스권의 정보를 수신하는 수신 수단과,
    상기 제1 액세스권의 정보에 기초하여, 상기 클라이언트가 상기 스토리지 서버에 액세스하기 위해 사용되는 제2 액세스권의 정보를 생성하는 생성 수단과,
    상기 제2 액세스권의 정보를 상기 클라이언트에 송신하는 송신 수단을 갖는 것을 특징으로 하는 정보 처리 시스템.
  8. 스토리지 서버와 상기 스토리지 서버와 상이한 제1 서버에 액세스하는 클라이언트와 통신 가능한 정보 처리 장치의 제어 방법이며,
    수신 수단이, 상기 클라이언트로부터, 상기 클라이언트가 상기 제1 서버에 액세스하기 위해 사용되는 제1 액세스권의 정보를 수신하는 수신 공정과,
    생성 수단이, 상기 제1 액세스권의 정보에 기초하여, 상기 클라이언트가 상기 스토리지 서버에 액세스하기 위해 사용되는 제2 액세스권의 정보를 생성하는 생성 공정과,
    송신 수단이, 상기 제2 액세스권의 정보를 상기 클라이언트에 송신하는 송신 공정을 갖는 것을 특징으로 하는 제어 방법.
  9. 컴퓨터를,
    스토리지 서버와 상기 스토리지 서버와 상이한 제1 서버에 액세스하는 클라이언트와 통신 가능한 정보 처리 장치이며,
    상기 클라이언트로부터, 상기 클라이언트가 상기 제1 서버에 액세스하기 위해 사용되는 제1 액세스권의 정보를 수신하는 수신 수단과,
    상기 제1 액세스권의 정보에 기초하여, 상기 클라이언트가 상기 스토리지 서버에 액세스하기 위해 사용되는 제2 액세스권의 정보를 생성하는 생성 수단과,
    상기 제2 액세스권의 정보를 상기 클라이언트에 송신하는 송신 수단을 갖는 것을 특징으로 하는 정보 처리 장치로서 기능시키기 위한, 컴퓨터 프로그램.
KR1020177018102A 2014-12-09 2014-12-09 정보 처리 장치, 정보 처리 장치의 제어 방법, 정보 처리 시스템, 및 저장 매체 KR20170091138A (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/082527 WO2016092630A1 (ja) 2014-12-09 2014-12-09 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム

Publications (1)

Publication Number Publication Date
KR20170091138A true KR20170091138A (ko) 2017-08-08

Family

ID=56095362

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177018102A KR20170091138A (ko) 2014-12-09 2014-12-09 정보 처리 장치, 정보 처리 장치의 제어 방법, 정보 처리 시스템, 및 저장 매체

Country Status (8)

Country Link
US (1) US20160164878A1 (ko)
EP (1) EP3232363A4 (ko)
JP (1) JP6425738B2 (ko)
KR (1) KR20170091138A (ko)
CN (1) CN107004094B (ko)
BR (1) BR112017011270A2 (ko)
RU (1) RU2678428C2 (ko)
WO (1) WO2016092630A1 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6677496B2 (ja) 2015-12-08 2020-04-08 キヤノン株式会社 認証連携システム及び認証連携方法、認可サーバー、アプリケーションサーバー及びプログラム
JP6682254B2 (ja) * 2015-12-08 2020-04-15 キヤノン株式会社 認証連携システム及び認証連携方法、認可サーバー及びプログラム
US10547622B2 (en) * 2017-06-30 2020-01-28 International Busines Machines Corporation Extended OAuth architecture support in a scalable environment
WO2019070230A1 (en) * 2017-10-03 2019-04-11 Google Llc COORDINATION OF MULTIPLE DIGITAL ASSISTANT IN VEHICULAR ENVIRONMENTS
JP7059559B2 (ja) * 2017-10-11 2022-04-26 富士フイルムビジネスイノベーション株式会社 情報処理装置及びプログラム
JP6446119B2 (ja) * 2017-12-25 2018-12-26 株式会社エヌ・ティ・ティ・データ サーバおよびトークン発行方法
CN108616502B (zh) * 2018-03-12 2020-11-06 广东睿江云计算股份有限公司 一种web安全存储的方法
WO2019202888A1 (ja) * 2018-04-19 2019-10-24 村田機械株式会社 排他制御システム及び排他制御方法
CN108881218B (zh) * 2018-06-14 2021-07-06 超越科技股份有限公司 一种基于云存储管理平台的数据安全增强方法及系统
JP7096736B2 (ja) * 2018-08-28 2022-07-06 キヤノン株式会社 システム、及びデータ処理方法
CN110493186B (zh) * 2019-07-10 2023-05-26 五八有限公司 一种功能状态的调整方法及装置
CN115277680B (zh) * 2022-07-29 2024-04-19 山石网科通信技术股份有限公司 用于提高同步安全性的文件同步方法
US11909731B1 (en) * 2022-11-29 2024-02-20 Cyberark Software Ltd Dynamic and least-privilege access to secure network resources using ephemeral credentials
US11818119B1 (en) 2022-11-29 2023-11-14 Cyberark Software Ltd. Dynamic and monitored access to secure resources

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7640578B2 (en) * 2002-07-08 2009-12-29 Accellion Inc. System and method for providing secure communication between computer systems
JP2004110335A (ja) * 2002-09-18 2004-04-08 Fuji Electric Systems Co Ltd アクセス制御システム
JP4361752B2 (ja) * 2003-03-31 2009-11-11 株式会社富士通ソーシアルサイエンスラボラトリ アクセス管理方法
US8108920B2 (en) * 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
US8042163B1 (en) * 2004-05-20 2011-10-18 Symatec Operating Corporation Secure storage access using third party capability tokens
US7533420B2 (en) * 2004-12-09 2009-05-12 Microsoft Corporation System and method for restricting user access to a network document
JP4792251B2 (ja) * 2005-07-22 2011-10-12 ソフトバンクテレコム株式会社 ネットワークストレージアクセス用端末及びそれを用いた遠隔データ蓄積システム
US8141138B2 (en) * 2005-10-17 2012-03-20 Oracle International Corporation Auditing correlated events using a secure web single sign-on login
JP5232406B2 (ja) * 2007-05-25 2013-07-10 株式会社日立製作所 情報処理装置及び方法
JP5346549B2 (ja) * 2008-10-29 2013-11-20 株式会社日立ソリューションズ ファイル検索システム、及びファイル検索サーバ装置
JP5129313B2 (ja) * 2010-10-29 2013-01-30 株式会社東芝 アクセス認可装置
JP5626919B2 (ja) * 2012-02-29 2014-11-19 Necソリューションイノベータ株式会社 ネットワークシステム、認証連携装置、認証連携方法、及びプログラム
JP5799855B2 (ja) * 2012-03-02 2015-10-28 富士通株式会社 サービス提供方法、プログラム、および情報処理装置
US9342703B2 (en) * 2012-11-30 2016-05-17 Red Hat Israel, Ltd. Managing storage permissions for logical volume managers
CN103701611B (zh) * 2013-12-30 2017-01-18 天地融科技股份有限公司 数据存储系统中访问、上传数据的方法
US20150333909A1 (en) * 2014-05-15 2015-11-19 Ricoh Company, Ltd. Information processing system and information processing method

Also Published As

Publication number Publication date
WO2016092630A1 (ja) 2016-06-16
RU2017124135A (ru) 2019-01-11
EP3232363A4 (en) 2018-07-18
BR112017011270A2 (pt) 2018-04-03
CN107004094B (zh) 2021-01-15
JP6425738B2 (ja) 2018-11-21
JPWO2016092630A1 (ja) 2017-09-21
EP3232363A1 (en) 2017-10-18
CN107004094A (zh) 2017-08-01
RU2017124135A3 (ko) 2019-01-11
US20160164878A1 (en) 2016-06-09
RU2678428C2 (ru) 2019-01-29

Similar Documents

Publication Publication Date Title
KR20170091138A (ko) 정보 처리 장치, 정보 처리 장치의 제어 방법, 정보 처리 시스템, 및 저장 매체
US11475137B2 (en) Distributed data storage by means of authorisation token
KR102219008B1 (ko) 데이터 공유 방법, 클라이언트, 서버, 컴퓨팅 장치 및 저장 매체
US20210073806A1 (en) Data processing system utilising distributed ledger technology
JP6066647B2 (ja) デバイス装置、その制御方法、およびそのプログラム
CN110138718B (zh) 信息处理系统及其控制方法
US10565402B2 (en) System and method for serving online synchronized content from a sandbox domain via a temporary address
JP4838610B2 (ja) 文書管理装置、文書管理方法、プログラム
US8086698B2 (en) Synchronizing configuration information among multiple clients
US9311469B2 (en) Authorization server system, control method thereof, and non-transitory computer-readable medium
US8627409B2 (en) Framework for automated dissemination of security metadata for distributed trust establishment
JP6675163B2 (ja) 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム
JP6061633B2 (ja) デバイス装置、制御方法、およびそのプログラム。
US20070283049A1 (en) Resolving Conflicts While Synchronizing Configuration Information Among Multiple Clients
US9871778B1 (en) Secure authentication to provide mobile access to shared network resources
CN111316267A (zh) 使用委托身份的认证
JP7096736B2 (ja) システム、及びデータ処理方法
JP2018092446A (ja) 認証認可システム及び情報処理装置と認証認可方法とプログラム
US8296826B1 (en) Secure transfer of files
US8321915B1 (en) Control of access to mass storage system
JP6708719B2 (ja) 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム
JP2014142732A (ja) 権限委譲システム
JP6128958B2 (ja) 情報処理サーバーシステム、制御方法、およびプログラム
RU2718970C1 (ru) Устройство обработки информации, способ управления для устройства обработки информации, система обработки информации и компьютерная программа
JP2019200515A (ja) 情報処理装置、情報処理方法、およびコンピュータプログラム

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment