RU2718970C1 - Information processing device, control method for information processing device, information processing system and computer program - Google Patents

Information processing device, control method for information processing device, information processing system and computer program Download PDF

Info

Publication number
RU2718970C1
RU2718970C1 RU2019100022A RU2019100022A RU2718970C1 RU 2718970 C1 RU2718970 C1 RU 2718970C1 RU 2019100022 A RU2019100022 A RU 2019100022A RU 2019100022 A RU2019100022 A RU 2019100022A RU 2718970 C1 RU2718970 C1 RU 2718970C1
Authority
RU
Russia
Prior art keywords
client
access
server
storage
access right
Prior art date
Application number
RU2019100022A
Other languages
Russian (ru)
Inventor
Ю Накано
Original Assignee
Кэнон Кабусики Кайся
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Кэнон Кабусики Кайся filed Critical Кэнон Кабусики Кайся
Priority to RU2019100022A priority Critical patent/RU2718970C1/en
Application granted granted Critical
Publication of RU2718970C1 publication Critical patent/RU2718970C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Abstract

FIELD: physics.
SUBSTANCE: invention relates to a device, method, system and storage medium for information processing. Device is configured to communicate with a client, wherein the client performing access to the storage server and the first server, which is different from the storage server, wherein the information processing device comprises: receiving means for receiving information regarding the first access right from the client, wherein the information relating to the first access right is used by the client to access the first server; generating means for generating a path to a file through which access to a storage server is to be made and which is used by a client to access a storage server established after information is received regarding the first access right; and a transmission means for transmitting a path to the file to the client.
EFFECT: technical result consists in establishment of access right to storage server for client in system with several servers, including storage server.
8 cl, 16 dwg

Description

Область техники, к которой относится изобретениеFIELD OF THE INVENTION

[0001] Настоящее изобретение относится к устройству обработки информации, которое выполнено с возможностью осуществления связи с клиентом, осуществляющим доступ к серверу, способу управления для устройства обработки информации, системе обработки информации, и компьютерной программе.[0001] The present invention relates to an information processing device that is configured to communicate with a client accessing a server, a control method for an information processing device, an information processing system, and a computer program.

Предшествующий уровень техникиState of the art

[0002] В последнее время, серверу, предоставляющему услугу, предлагаемую в Интернет, требуется хранить безопасным образом частную информацию, типичными представителями которой является персональная информация и контент пользователя, такой как фотографии и видеофильмы, которые созданы пользователем.[0002] Recently, a server providing a service offered on the Internet needs to securely store private information, the typical representatives of which are personal information and user content, such as photographs and videos created by the user.

[0003] Для исполнения этого требуется установка ограничения права доступа к серверу, предоставляющему услугу, для каждого пользователя (клиентского устройства). Чтобы ограничить права доступа, как правило вводится сервер выдачи права доступа, выдающий право доступа, которое установлено для каждого пользователя. Когда клиент принимает предоставление услуги, клиенту дается право доступа от устройства сервера выдачи права доступа, он осуществляет доступ к устройству сервера, которое предоставляет услугу, и запрашивает предоставление услуги. Когда право доступа является действительным, сервер отвечает на запрос. Протокол для получения права доступа от сервера выдачи права доступа и формат права доступа зависят от способа выдачи права доступа.[0003] To accomplish this, a restriction of access rights to the server providing the service for each user (client device) is required. In order to limit access rights, as a rule, a server for issuing an access right issuing an access right that is set for each user is introduced. When the client accepts the provision of the service, the client is given access rights from the access server issuing server device, it accesses the server device that provides the service, and requests the provision of the service. When the access right is valid, the server responds to the request. The protocol for obtaining access rights from the server issuing access rights and the format of the access rights depend on the method of issuing access rights.

[0004] Примеры стандартной спецификации способа выдачи права доступа включают в себя OAuth 2.0 и OpenID Connect, которое является расширением OAuth 2.0. Эти стандартные спецификации уже используются в разнообразных услугах в Интернет. В протоколе OAuth 2.0, право доступа, которое должно быть выдано, выражается посредством использования строки, именуемой маркером доступа. Маркер доступа ассоциирован со строкой, именуемой область действия, указывающей диапазон разрешения. Кроме того, маркер доступа может быть ассоциирован с разнообразными типами информации, отличной от области действия. Примеры информации, ассоциированной с маркером доступа, включают в себя срок действия маркера доступа и ID издателя (issuer), который выдал маркер доступа. Сервер, который предоставляет услугу на основе спецификации OAuth 2.0, проверяет действительность и диапазон разрешения принятого маркера доступа на основании значений срока действия и области действия маркера доступа, и определяет, является или нет маркер доступа действительным.[0004] Examples of a standard specification of an authorization method include OAuth 2.0 and OpenID Connect, which is an extension of OAuth 2.0. These standard specifications are already used in a variety of Internet services. In OAuth 2.0, the access right to be granted is expressed by using a string called an access token. An access token is associated with a string called a scope indicating a resolution range. In addition, an access token may be associated with various types of information other than the scope. Examples of information associated with an access token include the validity of the access token and the publisher ID (issuer) that issued the access token. A server that provides a service based on the OAuth 2.0 specification verifies the validity and resolution range of the received access token based on the validity period and scope of the access token, and determines whether or not the access token is valid.

[0005] Сервер выдачи права доступа, который не использует стандартную спецификацию, такую как OAuth 2.0, выдает право доступа посредством использования исходной спецификации. Примером сервера, который выдает право доступа посредством использования исходной спецификации является сервер хранения. Когда сервером, к которому должен быть осуществлен доступ, является сервер хранения, сложные процессы, например, в виде наложения ограничения на операции, такие как чтения и записи, и в виде указания конкретного пути к файлу, к которому разрешается осуществить доступ в хранилище, требуется выполнять посредством использования исходной спецификации.[0005] An authorization issuing server that does not use a standard specification, such as OAuth 2.0, issues an authorization by using the original specification. An example of a server that grants access by using the original specification is a storage server. When the server to be accessed is a storage server, complex processes, for example, in the form of imposing restrictions on operations such as read and write, and in the form of specifying a specific path to a file to which access to the storage is allowed, is required perform by using the original specification.

[0006] Сервер хранения часто используется, когда относительно большой объем данных передается между клиентами и серверами. Причиной использования сервера хранения является следующее. Поскольку серверам, отличным от сервера хранения, не требуется осуществлять администрирование передач данных, быстродействие, требуемое для каждого сервера, является низким, достигая сдерживания затрат на работу сервера. Кроме того, может быть осуществлен непосредственный доступ к данным в сервере хранения. Вследствие этого, данные не проходят через серверы отличные от сервера хранения, обеспечивая возможность выполнения сложной обработки над данными.[0006] A storage server is often used when a relatively large amount of data is transferred between clients and servers. The reason for using the storage server is as follows. Since servers other than the storage server do not need to administer data transfers, the speed required for each server is low, achieving cost containment for the server. In addition, data can be directly accessed on the storage server. As a result, data does not pass through servers other than the storage server, providing the ability to perform complex processing on the data.

[0007] В PTL 1, раскрывается методика для установки разрешения доступа к серверу хранения для каждого управляемого пользователем терминала. В частности, разрешенная операция и путь к файлу, для которого может быть выполнена операция, в сервере хранения устанавливаются для каждого ID управляемого пользователем терминала.[0007] In PTL 1, a technique for setting access permission to a storage server for each user-managed terminal is disclosed. In particular, the permitted operation and the path to the file for which the operation can be performed are set for each user-managed terminal ID in the storage server.

[0008] В PTL 2, раскрывается методика карты средства связи, осуществляющей доступ к серверу хранения через сервер ретрансляции. В частности, сервер ретрансляции устанавливает информацию аутентификации сервера хранения и путь директории, к которой разрешен доступ, для каждого ID терминала карты средства связи.[0008] In PTL 2, a communication card technique is disclosed for accessing a storage server through a relay server. In particular, the relay server sets the authentication information of the storage server and the path of the directory to which access is allowed for each communication terminal card ID.

Список цитированияCitation list

Патентная литератураPatent Literature

[0009] PTL 1: Выложенный Японский Патент № 2007-034386[0009] PTL 1: Japanese Patent Laid-Open No. 2007-034386

PTL 2: Выложенный Японский Патент № 2012-079267PTL 2: Japanese Patent Laid-Open No. 2012-079267

Сущность изобретенияSUMMARY OF THE INVENTION

Техническая задачаTechnical challenge

[0010] Как описано выше, использование сервера хранения имеет много преимуществ. Тем не менее, сервер хранения может хранить персональную информацию пользователя и частную информацию. Вследствие этого, необходимо в достаточной мере накладывать на клиента ограничение доступа к серверу хранения.[0010] As described above, using a storage server has many advantages. However, the storage server can store user personal information and private information. As a result of this, it is necessary to impose a restriction on access to the storage server on the client.

[0011] Тем не менее, методика, раскрываемая в PTL 1, устанавливает предварительное условие, на котором осуществляется управление всей системой, посредством использования одного права доступа. Вследствие этого, устанавливается определенное разрешение доступа для сервера хранения для терминалов.[0011] However, the technique disclosed in PTL 1 establishes a precondition on which the entire system is managed by using one access right. As a result, a specific access permission is set for the storage server for the terminals.

[0012] В PTL 2, раскрывается ассоциация, которая устанавливается между информацией аутентификации пользователя терминала для web-сервера и что для сервера хранения. Сходно с PTL 1, устанавливается определенное разрешение доступа для сервера хранения.[0012] In PTL 2, an association is disclosed that is established between terminal user authentication information for a web server and that for a storage server. Similar to PTL 1, a specific access permission is set for the storage server.

[0013] В известном уровне техники, система с несколькими серверами, включая сервер хранения, не в состоянии устанавливать адекватное право доступа к серверу хранения для клиента. Вследствие этого, для клиента может быть установлено чрезмерное разрешение доступа, которое приводит к неспособности обеспечения адекватной защиты данных, хранящихся на сервере хранения.[0013] In the prior art, a system with multiple servers, including a storage server, is not able to establish an adequate access right to a storage server for a client. As a result, excessive access permissions can be set for the client, which leads to the inability to provide adequate protection for the data stored on the storage server.

[0014] Настоящее изобретения было выполнено с учетом примеров известного уровня техники, которые описаны выше, и его цель состоит в установке адекватного права доступа к серверу хранения для клиента в системе с несколькими серверами, включая сервер хранения.[0014] The present invention has been made taking into account the examples of the prior art that are described above, and its purpose is to establish an adequate access right to a storage server for a client in a system with multiple servers, including a storage server.

Решение задачиThe solution of the problem

[0015] Для достижения описанной выше цели, настоящее изобретение предоставляет устройство обработки информации, которое выполнено с возможностью осуществления связи с клиентом. Клиент осуществляет доступ к серверу хранения и первому серверу, который отличается от сервера хранения. Устройство обработки информации включает в себя средство приема, средство генерирования, и средство передачи. Средство приема принимает информацию касательно первого права доступа от клиента. Информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу. Средство генерирования генерирует информацию касательно второго права доступа на основе информации касательно первого права доступа. Информация касательно второго права доступа используется клиентом, чтобы осуществлять доступ к серверу хранения. Средство передачи передает информацию касательно второго права доступа к клиенту.[0015] In order to achieve the above objective, the present invention provides an information processing apparatus that is configured to communicate with a client. The client accesses the storage server and the first server, which is different from the storage server. The information processing device includes receiving means, generating means, and transmission means. The reception means receives information regarding the first access right from the client. Information regarding the first access right is used by the client to access the first server. The generating means generates information regarding the second access right based on information regarding the first access right. The information regarding the second access right is used by the client to access the storage server. The transmission medium transmits information regarding the second right of access to the client.

Преимущественные результаты изобретенияAdvantageous Results of the Invention

[0016] Настоящее изобретения обеспечивает установку адекватного права доступа к серверу хранения для клиента в системе с несколькими серверами, включая сервер хранения.[0016] The present invention provides for the establishment of an adequate access right to a storage server for a client in a multi-server system, including a storage server.

Краткое описание чертежейBrief Description of the Drawings

[0017] [Фиг. 1] Фиг. 1 является схемой, иллюстрирующей конфигурацию системы обработки информации в соответствии с первым вариантом осуществления.[0017] [FIG. 1] FIG. 1 is a diagram illustrating a configuration of an information processing system in accordance with a first embodiment.

[Фиг. 2] Фиг. 2 является схемой, иллюстрирующей конфигурацию аппаратного обеспечения устройства обработки информации в соответствии с первым вариантом осуществления.[FIG. 2] FIG. 2 is a diagram illustrating a hardware configuration of an information processing apparatus according to a first embodiment.

[Фиг. 3] Фиг. 3 является схемой, иллюстрирующей последовательность операций всей системы.[FIG. 3] FIG. 3 is a diagram illustrating a flowchart of an entire system.

[Фиг. 4] Фиг. 4(a)-(c) иллюстрирует примерные таблицы[FIG. 4] FIG. 4 (a) - (c) illustrates example tables

администрирования, удерживаемые сервером 102 аутентификации и авторизации в соответствии с первым вариантом осуществления. administrations held by the authentication and authorization server 102 in accordance with the first embodiment.

[Фиг. 5] Фиг. 5 включает в себя схемы, иллюстрирующие конкретный пример запросов получения и их ответов.[FIG. 5] FIG. 5 includes diagrams illustrating a specific example of receiving requests and their responses.

[Фиг. 6] Фиг. 6 является схемой, иллюстрирующей конфигурацию сервера, который выступает посредником права доступа.[FIG. 6] FIG. 6 is a diagram illustrating a configuration of a server that mediates access rights.

[Фиг. 7] Фиг. 7 является схемой, иллюстрирующей таблицу администрирования диапазона доступа к хранилищу.[FIG. 7] FIG. 7 is a diagram illustrating a storage access range administration table.

[Фиг. 8] Фиг. 8 является схемой, иллюстрирующей последовательность операций запроса получения права доступа к хранилищу.[FIG. 8] FIG. 8 is a diagram illustrating a flow of a request for obtaining access to a storage.

[Фиг. 9] Фиг. 9 является схемой, иллюстрирующей примерную информацию маркера авторизации.[FIG. 9] FIG. 9 is a diagram illustrating exemplary authorization token information.

[Фиг. 10] Фиг. 10 является схемой, иллюстрирующей последовательность операций определения диапазона доступа к хранилищу.[FIG. 10] FIG. 10 is a diagram illustrating a flowchart for determining a storage access range.

[Фиг. 11] Фиг. 11 является схемой, иллюстрирующей конфигурацию сервера, который выступает посредником права доступа во втором варианте осуществления.[FIG. 11] FIG. 11 is a diagram illustrating a configuration of a server that mediates access rights in the second embodiment.

[Фиг. 12] Фиг. 12 является схемой, иллюстрирующей таблицу администрирования права доступа к хранилищу в соответствии со вторым вариантом осуществления.[FIG. 12] FIG. 12 is a diagram illustrating a storage access right administration table in accordance with a second embodiment.

[Фиг. 13] Фиг. 13 иллюстрирует последовательность операций запроса получения права доступа к хранилищу в соответствии со вторым вариантом осуществления.[FIG. 13] FIG. 13 illustrates a flowchart of a request for access to a storage in accordance with a second embodiment.

[Фиг. 14] Фиг. 14 является схемой, иллюстрирующей конфигурацию сервера, который выступает посредником права доступа в соответствии со вторым вариантом осуществления.[FIG. 14] FIG. 14 is a diagram illustrating a configuration of a server that mediates access rights in accordance with a second embodiment.

[Фиг. 15] Фиг. 15 иллюстрирует последовательность операций запроса изменения в установках диапазона доступа к хранилищу в соответствии с третьим вариантом осуществления.[FIG. 15] FIG. 15 illustrates a change request flowchart in a storage access range setting in accordance with a third embodiment.

[Фиг. 16] Фиг. 16 является схемой, иллюстрирующей примерный запрос на изменение в установке диапазона доступа к хранилищу в соответствии с третьим вариантом осуществления.[FIG. 16] FIG. 16 is a diagram illustrating an example change request in setting a storage access range in accordance with a third embodiment.

Описание вариантов осуществленияDescription of Embodiments

[0018] Обращаясь к приложенным чертежам, ниже будут подробно описаны варианты осуществления. Конфигурации, указываемые в вариантах осуществления, описываемых ниже, являются лишь примерами. Настоящее изобретение не ограничивается иллюстрируемыми конфигурациями.[0018] Turning to the attached drawings, embodiments will be described in detail below. The configurations indicated in the embodiments described below are merely examples. The present invention is not limited to the illustrated configurations.

[0019] (ПЕРВЫЙ ВАРИАНТ ОСУЩЕСТВЛЕНИЯ)[0019] (FIRST EMBODIMENT)

Посредством использования Фиг. 1, будет описана конфигурация системы обработки информации в соответствии с настоящим вариантом осуществления.By using FIG. 1, a configuration of an information processing system in accordance with the present embodiment will be described.

[0020] Система обработки информации в соответствии с настоящим вариантом осуществления включает в себя клиента 101, сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, сервер 104 выдачи права доступа к хранилищу, и сервер 105 хранения.[0020] The information processing system in accordance with the present embodiment includes a client 101, an authentication and authorization server 102, an intermediary access server 103, a server for issuing storage access rights, and a storage server 105.

[0021] Клиент 101 выполнен с возможностью осуществления связи с сервером 102 аутентификации и авторизации, посредническим сервером 103 права доступа, и сервером 105 хранения через сеть 106. Сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, и сервер 104 выдачи права доступа к хранилищу выполнены с возможностью осуществления связи друг с другом через сеть 106.[0021] The client 101 is configured to communicate with the authentication and authorization server 102, the mediation server 103, and the storage server 105 through the network 106. The authentication and authorization server 102, the mediation server 103, and the server 104 for issuing access rights the storage is configured to communicate with each other through the network 106.

[0022] Клиент 101 является устройством обработки информации, которое выполняет файловые операции, такие как выгрузку (upload) и загрузку (download) файлов, на сервер 105 хранения. Когда клиент 101 должен выполнить операцию на сервере 105 хранения, клиент 101 сначала получает маркер авторизации от сервера 102 аутентификации и авторизации. Маркер авторизации указывает право доступа или диапазон доступа для сервера, предоставляющего услугу, такого как web-сервер. Клиент 101 получает маркер авторизации, тем самым получая возможность доступа к каждому серверу. После получения маркера авторизации, клиент 101 использует посреднический сервер 103 права доступа, чтобы получить право доступа, которое соответствует маркеру авторизации, к серверу 105 хранения.[0022] The client 101 is an information processing device that performs file operations, such as uploading and downloading files to a storage server 105. When client 101 needs to perform an operation on storage server 105, client 101 first receives an authorization token from authentication and authorization server 102. An authorization token indicates the access right or access range for the server providing the service, such as a web server. Client 101 receives an authorization token, thereby gaining access to each server. After receiving the authorization token, the client 101 uses the intermediary server 103 access rights to obtain the access right, which corresponds to the authorization token, to the server 105 storage.

[0023] Сервер 102 аутентификации и авторизации является сервером, который удерживает данные касательно аутентификации, такие как ID и пароль, и авторизации, и который выдает описанный выше маркер авторизации клиенту 101. В настоящем варианте осуществления, предполагается, что сервер 102 аутентификации и авторизации соответствует протоколу авторизации у OAuth 2.0. Тем не менее, сервер 102 аутентификации и авторизации может соответствовать другому протоколу авторизации, такому как OpenID Connect. Сервер 102 аутентификации и авторизации также включает в себя функцию предоставления информации соответствия маркера авторизации для описанного выше web-сервера. Информация соответствия маркера авторизации является информацией, указывающей срок действия маркера авторизации и область действия разрешения маркера авторизации. Чтобы проверить действительность маркера авторизации, удерживаемого клиентом 101, web-сервер может получить информацию соответствия маркера авторизации от сервера 102 аутентификации и авторизации.[0023] The authentication and authorization server 102 is a server that holds authentication data, such as an ID and password, and authorization, and which issues the authorization token described above to the client 101. In the present embodiment, it is assumed that the authentication and authorization server 102 corresponds to OAuth 2.0 authorization protocol. However, the authentication and authorization server 102 may conform to another authorization protocol, such as OpenID Connect. The authentication and authorization server 102 also includes a function for providing authorization token matching information for the web server described above. The authorization token compliance information is information indicating the validity period of the authorization token and the scope of authorization token authorization. In order to verify the validity of the authorization token held by the client 101, the web server may obtain authorization token matching information from the authentication and authorization server 102.

[0024] Посреднический сервер 103 права доступа является сервером, который получает право доступа и диапазон доступа для сервера 105 хранения от сервера 104 выдачи права доступа к хранилищу на основе выданного маркера авторизации. Посреднический сервер 103 права доступа удерживает информацию, указывающую зависимость соответствия между маркером авторизации, выданным сервером 102 аутентификации и авторизации, и правом доступа к серверу 105 хранения.[0024] The mediation server 103 access rights is a server that obtains the access right and access range for the server 105 storage from the server 104 issuing access rights to the store based on the issued authorization token. The mediation server 103 of the access right holds information indicating the correspondence between the authorization token issued by the authentication and authorization server 102 and the access right to the storage server 105.

[0025] Сервер 104 выдачи права доступа к хранилищу является сервером администрирования, который выдает и осуществляет администрирование права доступа и диапазона доступа (права доступа к хранилищу) для сервера 105 хранения. Право доступа к хранилищу выдается на основании запроса получения, переданного от посреднического сервера 103 права доступа. Операция, такая как чтение или запись, путь к файлу, для которого разрешена операция, и подобное устанавливаются в диапазоне доступа, который должен быть выдан.[0025] The storage access rights issuing server 104 is an administration server that issues and administers the access rights and the access range (storage permissions) for the storage server 105. The access right to the repository is issued on the basis of a receipt request transmitted from the intermediary server 103 of the access right. The operation, such as reading or writing, the path to the file for which the operation is allowed, and the like, are set in the access range to be issued.

[0026] Сервер 105 хранения является сервером, который хранит и осуществляет администрирование данных, таких как файлы. Когда право доступа к хранилищу передается от клиента 101, сервер 105 хранения верифицирует переданное право доступа к хранилищу. В результате верификации, когда право доступа к хранилищу является действительным, сервер 105 хранения разрешает доступ к сохраненному файлу в ответ на запрос от клиента 101.[0026] The storage server 105 is a server that stores and administers data, such as files. When the storage access right is transferred from the client 101, the storage server 105 verifies the transferred storage access right. As a result of verification, when the access right to the storage is valid, the storage server 105 allows access to the stored file in response to a request from the client 101.

[0027] В настоящем варианте осуществления, предполагается, что HTTP (Протокол Передачи Гипертекста) используется в качестве протокола связи в системе. Тем не менее, может быть использован протокол связи отличный от HTTP. Кроме того, в системе может быть использовано несколько типов протоколов связи.[0027] In the present embodiment, it is assumed that HTTP (Hypertext Transfer Protocol) is used as a communication protocol in the system. However, a communication protocol other than HTTP may be used. In addition, several types of communication protocols can be used in the system.

[0028] На Фиг. 1, предполагается, что присутствует один клиент 101, один сервер 102 аутентификации и авторизации, один посреднический сервер 103 права доступа, и один сервер 104 выдачи права доступа к хранилищу. Тем не менее, количество устройств не обязательно должно быть равно одному. В дополнение, на Фиг. 1, сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, и сервер 104 выдачи права доступа к хранилищу являются отдельными серверами. Тем не менее, функции, включенные в эти серверы, могут быть интегрированы в оном сервере. Например, может быть использована конфигурация, в которой функции сервера 102 аутентификации и авторизации и посреднического сервера 103 права доступа включены в один и тот же сервер.[0028] In FIG. 1, it is assumed that there is one client 101, one authentication and authorization server 102, one intermediary access server 103 and one storage access server 104. However, the number of devices does not have to be equal to one. In addition, in FIG. 1, the authentication and authorization server 102, the mediation server 103 of the access right, and the server 104 for issuing access rights to the storage are separate servers. However, the functions included in these servers can be integrated in this server. For example, a configuration may be used in which the functions of the authentication and authorization server 102 and the mediation server 103 are included in the same server.

[0029] Посредством использования Фиг. 2, будет описана конфигурация аппаратного обеспечения устройства обработки информации в соответствии с настоящим вариантом осуществления. Устройство обработки информации в соответствии с настоящим вариантом осуществления является клиентом 101, сервером 102 аутентификации и авторизации, посредническим сервером 103 права доступа, сервером 104 выдачи права доступа к хранилищу, или подобным. Как иллюстрируется, устройство обработки информации предусмотрено с CPU 201 (Центральный Блок Обработки), ROM 202 (Постоянная Память), RAM 203 (Память с Произвольным Доступом), и подобным в качестве конфигурации аппаратного обеспечения. Кроме того, устройство обработки информации также предусмотрено с NET I/F 204 (Сетевой Интерфейс), устройством 205 отображения, устройством 206 ввода, шиной 207, и подобным.[0029] By using FIG. 2, the hardware configuration of the information processing apparatus according to the present embodiment will be described. The information processing device in accordance with the present embodiment is a client 101, an authentication and authorization server 102, an intermediary access right server 103, a storage access right issuing server 104, or the like. As illustrated, an information processing device is provided with a CPU 201 (Central Processing Unit), ROM 202 (Read Only Memory), RAM 203 (Random Access Memory), and the like as a hardware configuration. In addition, an information processing device is also provided with NET I / F 204 (Network Interface), a display device 205, an input device 206, a bus 207, and the like.

[0030] CPU 201 является устройством обработки, которое управляет устройствами, соединенными с шиной 207. CPU 201 выполняет разнообразные процессы, описываемые ниже в клиенте 101, сервер 102 аутентификации и авторизации, посредническом сервер 103 права доступа, и сервере 104 выдачи права доступа к хранилищу. ROM 202 является запоминающим носителем информации, который хранит операционную систему, с помощью которой осуществляется базовое управление компьютером, рабочие программы, и подобное. RAM 203 является запоминающим устройством, которое служит в качестве рабочей памяти у CPU 201 и которое хранит сами рабочие программы и данные, необходимые для рабочих программ. CPU 201 сохраняет в RAM 201, разнообразные рабочие программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.[0030] The CPU 201 is a processing device that controls devices connected to the bus 207. The CPU 201 performs various processes described below in the client 101, the authentication and authorization server 102, the mediation server 103, and the server 104 for issuing access rights to the store . ROM 202 is a storage medium that stores an operating system with which basic computer control, work programs, and the like are performed. RAM 203 is a storage device that serves as the working memory of the CPU 201 and which stores the work programs themselves and the data necessary for the work programs. The CPU 201 stores in RAM 201 various operating programs stored in the ROM 202 and executes various computer programs.

[0031] NET I/F 204 является интерфейсом для управления передачей информации от/к внешнему устройству, соединенному через сеть. Каждый клиент 101, сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, и сервер 104 выдачи права доступа к хранилищу принимает/передает данные через NET I/F 204. Устройство 205 отображения является устройством для отображения результата обработки CPU 201, и состоит из жидкокристаллического дисплея, дисплея на органической EL, или подобного.[0031] NET I / F 204 is an interface for controlling the transfer of information from / to an external device connected via a network. Each client 101, the authentication and authorization server 102, the mediation server 103 of the access right, and the server 104 for issuing access rights to the store accepts / transmits data via NET I / F 204. The display device 205 is a device for displaying the result of processing of the CPU 201, and consists of a liquid crystal display, an organic EL display, or the like.

[0032] Устройство 206 ввода является устройством для приема ввода от пользователя физически, и состоит из клавиатуры и мыши, или сенсорной панели. Когда используется дисплей с сенсорной панелью, устройство 205 отображения и устройство 206 ввода являются интегрированными в одном устройстве. Устройство 205 отображения и устройство 206 ввода, которые являются внешними устройствами, могут быть использованы через NET I/F 204. В данном случае, используется конфигурация, в которой устройство 205 отображения и устройство 206 ввода не включены.[0032] The input device 206 is a device for receiving input from a user physically, and consists of a keyboard and mouse, or touch panel. When a touch panel display is used, the display device 205 and the input device 206 are integrated in one device. The display device 205 and the input device 206, which are external devices, can be used via NET I / F 204. In this case, a configuration is used in which the display device 205 and the input device 206 are not turned on.

[0033] Посредством использования Фиг. 3, будет описана конкретная последовательность операций, когда клиент 101 непосредственно осуществляет доступ к серверу 105 хранения в настоящем варианте осуществления. Последовательность операций на Фиг. 3 описывает выгрузку файла в качестве примерного процесса, выполняемого, когда осуществляется доступ к серверу 105 хранения. Даже когда выполняется другая операция, такая как загрузка файла, выполняется последовательность операций сходная с той, что на Фиг. 3.[0033] By using FIG. 3, a specific process will be described when the client 101 directly accesses the storage server 105 in the present embodiment. The flowchart of FIG. 3 describes uploading a file as an example process performed when access to the storage server 105 is performed. Even when another operation is performed, such as downloading a file, a sequence of operations similar to that in FIG. 3.

[0034] (ЭТАП S301)[0034] (STEP S301)

Этап S301 является этапом, на котором клиент 101 запрашивает сервер 102 аутентификации и авторизации, чтобы получить маркер авторизации и получает маркер авторизации от сервера 102 аутентификации и авторизации. При передаче запроса на получение, информация аутентификации передается к серверу 102 аутентификации и авторизации, который поставляет маркер авторизации в соответствии с информацией аутентификации.Step S301 is a step in which the client 101 requests the authentication and authorization server 102 to obtain an authorization token and receives an authorization token from the authentication and authorization server 102. When the transfer request is transmitted, the authentication information is transmitted to the authentication and authorization server 102, which supplies the authorization token in accordance with the authentication information.

[0035] Запрос на получение маркера авторизации и его ответ (маркер авторизации) имеют разный формат и разное значение в зависимости от типа процесса выдачи маркера авторизации. Фиг. 5(a) и 5(b) являются схемами, иллюстрирующими пример запроса на получение маркера авторизации и его ответа.[0035] The request for an authorization token and its response (authorization token) have a different format and different meanings depending on the type of authorization token issuing process. FIG. 5 (a) and 5 (b) are diagrams illustrating an example of a request for an authorization token and its response.

[0036] Фиг. 5(a) иллюстрирует примерный запрос на получение маркера авторизации, основанный на процессе выдачи маркера авторизации в OAuth 2.0 Client Credentials Grant (Предоставление Мандата Клиента). Информация аутентификации, необходимая для выдачи маркера авторизации, добавляется в заголовок Авторизации. В примере на фигуре, Базовая аутентификация используется, чтобы передавать ID клиента и секрет клиента у клиента. Область действия маркера авторизации добавляется в тело запроса. Кроме того, идентификатор типа процесса выдачи маркера авторизации добавляется в качестве grant_type в тело запроса.[0036] FIG. 5 (a) illustrates an exemplary request for an authorization token based on the process of issuing an authorization token in the OAuth 2.0 Client Credentials Grant. The authentication information required to issue an authorization token is added to the Authorization header. In the example in the figure, Basic Authentication is used to convey the client ID and client secret from the client. The scope of the authorization token is added to the request body. In addition, the type identifier of the authorization token issuing process is added as grant_type to the request body.

[0037] На Фиг. 5(a), тип процесса выдачи маркера запроса установлен как Client Credentials Grant. Тем не менее, может быть использован другой тип, отличный от Client Credentials Grant.[0037] In FIG. 5 (a), the type of request token issuing process is set to Client Credentials Grant. However, a different type can be used than the Client Credentials Grant.

[0038] Когда используется поток авторизации отличный от Client Credentials Grant, например, дополнительно требуется информация, которая именуется кодом авторизации, выдаваемым, когда пользователь одобряет выдачу.[0038] When an authorization flow other than the Client Credentials Grant is used, for example, information is additionally required, which is referred to as an authorization code issued when the user approves the issuance.

[0039] Фиг. 5(b) иллюстрирует примерный ответ (маркер авторизации) на запрос на получение маркера авторизации на Фиг. 5(a). Данные access_token (маркер доступа), включенные в тело ответа указывают значение маркера авторизации. Данные token_type (тип маркера), указывают тип маркера авторизации, а данные expires_in (истекает в), указывают оставшееся время до того момента, когда маркер авторизации станет недействительным.[0039] FIG. 5 (b) illustrates an exemplary response (authorization token) to a request for an authorization token in FIG. 5 (a). The access_token data (access token) included in the response body indicates the value of the authorization token. The token_type data (token type) indicates the type of authorization token, and the expires_in data (expires in) indicates the time remaining until the authorization token becomes invalid.

[0040] На Фиг. 5(b), единицей времени в данных expires_in является секунда. Тем не менее, может быть использована единица отличная от секунды. Ответ может включать в себя информацию атрибута отличную от той, что описана выше.[0040] FIG. 5 (b), the unit of time in the expires_in data is the second. However, a unit other than a second may be used. The response may include attribute information other than that described above.

[0041] Когда должен быть выдан маркер авторизации, сервер 102 аутентификации и авторизации использует таблицы администрирования, иллюстрируемые на Фиг. 4(a)-(c). Как иллюстрируется, в таблице 400 администрирования авторизованного клиента на Фиг. 4(a), ID 401 клиента и секрет 402 клиента, которые являются информацией для аутентификации клиента, и область 403 действия записаны так, чтобы быть ассоциированными друг с другом. Вследствие этого, сервер 102 аутентификации и авторизации может обращаться к таблице 400 администрирования клиента с тем, чтобы проверять, является или нет действительным запрос на получение маркера авторизации. Когда информация аутентификации в запросе на получение маркера авторизации совпадает с информацией аутентификации, зарегистрированной в таблице 400 администрирования клиента, сервер 102 аутентификации и авторизации расценивает запрос получения как действительный. Сервер 102 аутентификации и авторизации получает область действия, которая заключается в области действия в запросе на получение маркера авторизации, из области 403 действия, соответствующей информации аутентификации, и генерирует маркер авторизации. Секрет 402 клиента в информации аутентификации может быть зашифрован и сохранен, не в открытом тексте. Когда информация аутентификации состоит из ID пользователя и пароля, сервер 102 аутентификации и авторизации обращается к таблице 500 администрирования пользователя, в которой ID 501 пользователя и пароль 502 записаны таким образом, чтобы быть ассоциированными друг с другом.[0041] When an authorization token is to be issued, the authentication and authorization server 102 uses the administration tables illustrated in FIG. 4 (a) - (c). As illustrated, in the authorized client administration table 400 in FIG. 4 (a), the client ID 401 and the client secret 402, which are client authentication information, and the action area 403 are recorded to be associated with each other. As a result, the authentication and authorization server 102 may access the client administration table 400 in order to verify whether or not the request for the authorization token is valid. When the authentication information in the request for an authorization token matches the authentication information registered in the client administration table 400, the authentication and authorization server 102 considers the request to be valid. The authentication and authorization server 102 obtains a scope, which is the scope in the request for an authorization token, from the scope 403 corresponding to the authentication information, and generates an authorization token. The client secret 402 in the authentication information may be encrypted and stored, not in plain text. When the authentication information consists of a user ID and password, the authentication and authorization server 102 refers to the user administration table 500, in which the user ID 501 and password 502 are recorded so as to be associated with each other.

[0042] Таблица 400 администрирования включает в себя область 404 действия по умолчанию. Область 404 действия по умолчанию используется, когда запрос на получение маркера авторизации не включает в себя область действия. Т.е., когда область действия не включается в запрос на получение маркера авторизации, маркер авторизации генерируется посредством использования области 404 действия по умолчанию, а не посредством использования области 403 действия. Несколько фрагментов информации области действия может быть указано в области 403 действия и области 404 действия по умолчанию.[0042] The administration table 400 includes a default action area 404. A default scope 404 is used when a request for an authorization token does not include a scope. That is, when the scope is not included in the request for an authorization token, the authorization token is generated by using the default scope 404, and not by using the scope 403. Several pieces of scope information may be indicated in the scope 403 and the default scope 404.

[0043] Когда сервер 102 аутентификации и авторизации генерирует маркер авторизации, информация касательно сгенерированного маркера авторизации регистрируется в таблице 600 администрирования маркера авторизации. Для каждого маркера 601 авторизации, дата 602 и время истечения, область 603 действия, и ID 604 клиента у авторизованного клиента, который выдал маркер 601 авторизации, записываются в таблицу 600 администрирования маркера авторизации. Маркер 601 авторизации, дата 602 и время истечения которого наступили, может быть удален из таблицы 600 администрирования маркера авторизации. Когда запрос на получение маркера авторизации включает в себя информацию касательно ID 605 пользователя у пользователя, ID 605 пользователя также сохраняется.[0043] When the authentication and authorization server 102 generates an authorization token, information regarding the generated authorization token is recorded in the authorization token administration table 600. For each authorization token 601, the date 602 and expiration time, validity area 603, and the client ID 604 of the authorized client that issued the authorization token 601 are recorded in the authorization token administration table 600. The authorization token 601, the date 602 and the expiration of which has come, may be deleted from the authorization token administration table 600. When the request for an authorization token includes information regarding the user ID 605 of the user, the user ID 605 is also stored.

[0044] Запрос на получение маркера авторизации, который описан выше, может включать в себя как информацию аутентификации пользователя, так и информацию аутентификации авторизованного клиента. В качестве альтернативы, информация аутентификации авторизованного клиента и информация аутентификации пользователя могут быть переданы поэтапно. Например, информация аутентификации пользователя передается первой, и, только когда информация аутентификации пользователя является действительной, впоследствии может быть передана информация аутентификации авторизованного клиента.[0044] A request for an authorization token, as described above, may include both user authentication information and authentication information of an authorized client. Alternatively, the authentication information of the authorized client and the authentication information of the user can be transmitted in stages. For example, user authentication information is transmitted first, and only when the user authentication information is valid can authentication information of the authorized client be subsequently transmitted.

[0045] (ЭТАП S302)[0045] (STEP S302)

На этапе S302, клиент 101 передает маркер авторизации, полученный на этапе S301, к посредническому серверу 103 права доступа, и получает право доступа для осуществления доступа к серверу 105 хранения. Последовательность операций, выполняемая посредством посреднического сервера 103 права доступа на данном этапе будет описана ниже.In step S302, the client 101 transmits the authorization token obtained in step S301 to the mediation server 103 of the access right, and obtains the right to access the storage server 105. The sequence of operations performed by the mediation server 103 access rights at this stage will be described below.

[0046] (ЭТАП S303)[0046] (STEP S303)

На этапе S303, посреднический сервер 103 права доступа получает право доступа к серверу 105 хранения в соответствии с маркером авторизации, переданным посредством клиента 101, от сервера 104 выдачи права доступа к хранилищу.In step S303, the mediation server 103 access rights obtains access to the server 105 storage in accordance with the authorization token transmitted by the client 101, from the server 104 issuing access rights to the store.

[0047] Фиг. 5(c) и 5(d) иллюстрируют конкретный пример запроса на получение права доступа к хранилищу и его ответа. Фиг. 5(c) иллюстрирует примерный запрос на получение права доступа к хранилищу, который передается посредническим сервером 103 права доступа к серверу 104 выдачи права доступа к хранилищу. Строка, включенная в заголовок Authorization (Авторизация) является точно такой же, как та, что включена в маркер авторизации, полученный на этапе S301.[0047] FIG. 5 (c) and 5 (d) illustrate a specific example of a request for access to a repository and its response. FIG. 5 (c) illustrates an exemplary request for access to a repository that is transmitted by an intermediary server 103 of an access right to a server 104 for issuing access to a repository. The line included in the Authorization header is exactly the same as that included in the authorization token obtained in step S301.

[0048] Фиг. 5(d) иллюстрирует примерный ответ на запрос получения права доступа к хранилищу на Фиг. 5(c). Право доступа к хранилищу включается в качестве данных storage_credential (мандат хранилища) в ответе. Формат права доступа к хранилищу отличается в зависимости от типа или спецификации сервера 105 хранения. Вследствие этого, атрибут, включенный в данные storage_credential должен быть изменен в соответствии с типом или спецификацией сервера 105 хранения. Например, когда право доступа к серверу 105 хранения устанавливается в качестве сочетания ID и пароля, то ID и пароль включаются в данные storage_credential. Как зарегистрировано в данных истечения на Фиг. 5(d), могут быть установлены дата и время истечения права доступа к хранилищу. На Фиг. 5(c) и 5(d), описанных выше, запрос на получение права доступа к хранилищу и его ответ описываются в формате json, но могут быть описаны в другом формате, таком как XML.[0048] FIG. 5 (d) illustrates an exemplary response to a request for access to storage in FIG. 5 (c). The storage access right is included as storage_credential data (storage credential) in the response. The format of the storage access right differs depending on the type or specification of the storage server 105. Because of this, the attribute included in the storage_credential data must be changed in accordance with the type or specification of the storage server 105. For example, when the access right to the storage server 105 is set as a combination of an ID and a password, the ID and password are included in the storage_credential data. As recorded in the expiration data in FIG. 5 (d), the expiration date and time of the access right to the repository may be set. In FIG. 5 (c) and 5 (d) described above, the request for access to the repository and its response are described in json format, but can be described in another format, such as XML.

[0049] (ЭТАП S304)[0049] (STEP S304)

На этапе S304, клиент 101 использует право доступа к хранилищу, полученное на этапе S202, чтобы осуществлять доступ к серверу 105 хранения, и выполнять разнообразные файловые операции. Право доступа включает в себя информацию касательно пути файла, в отношении которого разрешен доступ в хранилище сервера 105 хранения. В примере на Фиг. 3, файл выгружается. Когда выгрузка выполняется успешно, ответ, указывающий на то, что выгрузка была выполнена успешно, передается от сервера 105 хранения клиенту 101.In step S304, the client 101 uses the storage access right obtained in step S202 to access the storage server 105 and perform various file operations. The access right includes information regarding the path of the file with respect to which access to the storage of the storage server 105 is permitted. In the example of FIG. 3, the file is uploaded. When the upload is successful, a response indicating that the upload was successful is transmitted from the storage server 105 to the client 101.

[0050] Посредством использования Фиг. 6, будет описана примерная конфигурация функций посреднического сервера 103 права доступа в соответствии с настоящим вариантом осуществления. Как описано выше, посреднический сервер 103 права доступа передает запрос на получение права доступа к хранилищу серверу 104 выдачи права доступа к хранилищу, и передает его ответ клиенту 101.[0050] By using FIG. 6, an exemplary configuration of the functions of the mediation server 103 of the access right in accordance with the present embodiment will be described. As described above, the mediation server 103 access rights transmits a request for access rights to the storage server 104 issuing access rights to the storage, and transmits its response to the client 101.

[0051] Блок 1101 администрирования права доступа к хранилищу использует блок 1102 получения права доступа к хранилищу, чтобы получать право доступа к хранилищу от сервера 104 выдачи права доступа к хранилищу, на основании маркера авторизации, переданного от клиента 101. Блок 1101 администрирования права доступа к хранилищу, передает право доступа к хранилищу, полученное от сервера 104 выдачи права доступа к хранилищу, к клиенту 101. Блок 1101 администрирования права доступа к хранилищу получает информацию касательно принятого маркера авторизации посредством использования блока 1103 получения информации маркера авторизации. Блок 1101 администрирования права доступа к хранилищу использует блок 1104 определения диапазона доступа к хранилищу, чтобы определять диапазон разрешения права доступа к хранилищу, которое должно быть выдано.[0051] The storage access right administration unit 1101 uses the storage access right obtaining unit 1102 to obtain the right to access the storage from the storage access right issuing server 104 based on the authorization token transmitted from the client 101. The access right administration block 1101 to the storage, transfers the storage access right received from the server 104 for issuing access rights to the storage to client 101. The storage access right administration unit 1101 receives information regarding the received authorization token in the middle 1103 Twomey use authorization token information block. The storage access control unit 1101 uses the storage access range determination unit 1104 to determine the storage permission range of the storage access to be issued.

[0052] Блок 1106 хранения диапазона доступа к хранилищу хранит информацию установки диапазона доступа к хранилищу. Фиг. 7 иллюстрирует таблицу 1200 администрирования диапазона доступа к хранилищу в соответствии с настоящим вариантом осуществления.[0052] A storage access range storage unit 1106 stores storage access range setting information. FIG. 7 illustrates a storage access range administration table 1200 in accordance with the present embodiment.

[0053] Таблица 1200 администрирования диапазона доступа к хранилищу хранится в блоке 1106 хранения диапазона доступа к хранилищу, и используется, чтобы осуществлять администрирование прав доступа к хранилищу. Как иллюстрируется на фигуре, таблица 1200 администрирования диапазона доступа к хранилищу описывает диапазон разрешения хранения, который соответствует области действия в маркере авторизации. Таблица 1200 администрирования диапазона доступа к хранилищу имеет область 1202 действия ассоциированную с ID 1201 клиента, соответствующим маркеру авторизации. В качестве диапазона доступа к серверу 105 хранения, который соответствует области 1202 действия, ассоциируются операция 1203 и путь 1204 к файлу. Операция 1203 указывает операции для сервера 105 хранения. Имя операции определяется посредством сервера 105 хранения. Например, предполагается что READ (чтение) указывает чтение с сервера 105 хранения, и что WRITE (запись) указывает запись на сервер 105 хранения. Администрирование ассоциация между строкой, которая устанавливается для операции 1203, и операцией для сервера 105 хранения может осуществляться раздельно, и операция 1203 может использовать исходную строку, определенную посредническим сервером 103 права доступа.[0053] A storage access range administration table 1200 is stored in a storage access range storage unit 1106, and is used to administer storage access rights. As illustrated in the figure, the storage access range administration table 1200 describes a storage permission range that corresponds to the scope in the authorization token. The storage access range administration table 1200 has an action area 1202 associated with the client ID 1201 corresponding to the authorization token. As an access range to the storage server 105, which corresponds to the action area 1202, an operation 1203 and a file path 1204 are associated. Operation 1203 indicates operations for storage server 105. The name of the operation is determined by the storage server 105. For example, it is assumed that READ (read) indicates read from storage server 105, and that WRITE (write) indicates write to storage server 105. The administration association between the line that is set for operation 1203 and the operation for storage server 105 can be done separately, and operation 1203 can use the source line defined by mediation server 103 access rights.

[0054] В пути 1204 к файлу, записывается путь к файлу сервера 105 хранения, к которому разрешается доступ. Имя директории и файла сервера 105 хранения могут быть установлены в пути 1204 к файлу. Кроме того, в пути 1204 к файлу, два типа переменных могут быть использованы в качестве значений установки. Один из двух типов переменных указывает информацию, ассоциированную с маркером авторизации, и выражается в формате ${token.attribute_name}. Другой из двух типов переменных указывает информацию, которая может быть указана из любой информации, включенной в запрос на выдачу права доступа к хранилищу, и выражается в формате ${param.parameter_name}. Посредством использования двух типов переменных, путь в сервере 105 хранения может быть установлен посредством использования сочетания информации касательно маркера авторизации, выданного сервером 102 аутентификации и авторизации, и информации, которая может быть установлена, используя любую информацию, полученную в получении права доступа к хранилищу. Например, информация, ассоциированная с маркером авторизации, может быть указана в верхнем фрагменте пути 1204 к файлу, а информация, которая может быть указана из любой информации, включенной в запрос на выдачу права доступа к хранилищу, может быть указана в нижнем фрагменте. В данном способе спецификации, верхний путь сервера 105 хранения, в отношении которого разрешается доступ, определяется на основе информации, администрирование которой осуществляется сервером 102 аутентификации и авторизации. Вследствие этого, пути, доступ к которым осуществляется клиентом, который получает право доступа к хранилищу, могут быть ограничены. Таким образом, возникает ситуация, при которой клиент осуществляет доступ только к путям по конкретному пути. Вследствие этого, право доступа к серверу 105 хранения может быть ограничено минимальным необходимым правом. Кроме того, любое значение, которое может быть указано в подаче запроса, устанавливается в нижний фрагмент пути сервера 105 хранения, обеспечивая тонкое управление путем в соответствии с процессом над конкретной папкой.[0054] At a file path 1204, the file path of the storage server 105 to which access is allowed is recorded. The name of the directory and file of the server 105 storage can be set in the path 1204 to the file. In addition, in path 1204 to the file, two types of variables can be used as setting values. One of the two types of variables indicates the information associated with the authorization token, and is expressed in the format $ {token.attribute_name}. The other of the two types of variables indicates information that can be specified from any information included in the request for issuing access rights to the repository, and is expressed in the format $ {param.parameter_name}. By using two types of variables, the path in the storage server 105 can be set by using a combination of information regarding the authorization token issued by the authentication and authorization server 102 and information that can be set using any information obtained in obtaining access to the store. For example, the information associated with the authorization token may be indicated in the upper fragment of the path 1204 to the file, and information that may be indicated from any information included in the request for issuing access rights to the repository may be indicated in the lower fragment. In this specification method, the upper path of the storage server 105 for which access is allowed is determined based on information administered by the authentication and authorization server 102. As a result, the paths accessed by a client who gains access to the repository may be limited. Thus, a situation arises in which the client only accesses paths on a particular path. As a result, the right of access to the storage server 105 may be limited by the minimum necessary right. In addition, any value that may be indicated in the submission of the request is set in the lower part of the path of the storage server 105, providing fine control of the path in accordance with the process of a specific folder.

[0055] В области 1202 действия, операции 1203, и пути 1204 к файлу, могут быть указаны несколько значений. Форматы двух типов переменных являются лишь примерами. Любой формат может быть использован при условии, что переменные отличаются друг от друга. Таблица 1200 администрирования диапазона доступа к хранилищу имеет срок 1205 действия права доступа к хранилищу. Срок 1205 действия является данными, в которых в секундах выражается период, в течение которого право доступа к хранилищу является действительным, начиная с момента времени, когда выдается право доступа к хранилищу. Срок 1205 действия может быть указан посредством использования единицы отличной от секунды, или может быть указан посредством использования конкретной даты, а не посредством использования периода. Дополнительно может быть указан IP-адрес клиента 101, которому разрешено использовать право доступа к хранилищу. IP-адрес может быть указан посредством формата CIDR (Бесклассовая Меж-доменная Маршрутизация), включая информацию подсети.[0055] In the action area 1202, operation 1203, and file path 1204, several values may be indicated. The formats of the two types of variables are just examples. Any format can be used provided that the variables are different from each other. The storage access range administration table 1200 has a validity period of 1205 for the storage access right. A validity period of 1205 is data in which the period is expressed in seconds during which the access right to the repository is valid, starting from the point in time when the access right to the repository is issued. The validity period 1205 may be indicated by using a unit other than a second, or may be indicated by using a specific date, and not by using a period. Additionally, the IP address of the client 101, which is allowed to use the access right to the store, can be specified. The IP address can be specified using the CIDR (Classless Inter-Domain Routing) format, including subnet information.

[0056] Таблица 1200 администрирования диапазона доступа к хранилищу с ID 1201 клиента может отдельно осуществлять администрирование информации установки для каждого авторизованного клиента. Таким образом, разрешения для сервера 105 хранения, которые отличаются друг от друга, несмотря на то, что значения области 1202 действия являются одинаковыми, могут быть установлен для каждого авторизованного клиента.[0056] A storage access range administration table 1200 with client ID 1201 may separately administer installation information for each authorized client. Thus, permissions for the storage server 105, which are different from each other, although the values of the action area 1202 are the same, can be set for each authorized client.

[0057] Блок 1107 связи принимает запрос на выдачу права доступа к хранилищу через сеть 106 от клиента 101. Когда принимается запрос на выдачу права доступа к хранилищу, блок 1107 связи уведомляет блок 1101 администрирования права доступа к хранилищу. Блок 1107 связи передает ответ на принятый запрос на выдачу права доступа к хранилищу клиенту 101. Блок 1107 связи используется, чтобы осуществлять доступ к серверу 102 аутентификации и авторизации и серверу 104 выдачи права доступа к хранилищу.[0057] The communication unit 1107 receives a request for issuing a storage access right through a network 106 from a client 101. When a request for issuing a storage access right is received, the communication unit 1107 notifies the storage access administration unit 1101. The communication unit 1107 transmits a response to the received request for issuing a storage access right to the client 101. The communication unit 1107 is used to access the authentication and authorization server 102 and the storage access issuing server 104.

[0058] Посредством использования Фиг. 8, будет описана последовательность операций, выполняемая блоком 1101 администрирования права доступа к хранилищу, когда принимается запрос на получение права доступа к хранилищу. Ряд процессов на Фиг. 8 являются процессами, которые выполняются после того, как запрос на получение права доступа к хранилищу передается от клиента 101 на этапе S302 на Фиг. 3. Этапы выполняются посредством функций, иллюстрируемых на Фиг. 6. Фактически, этапы достигаются таким образом, что CPU 201 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.[0058] By using FIG. 8, a flowchart performed by the storage access right administration unit 1101 when a request for obtaining storage access rights is received will be described. A series of processes in FIG. 8 are processes that are executed after the request for access to the storage is transmitted from the client 101 in step S302 of FIG. 3. The steps are performed by the functions illustrated in FIG. 6. In fact, the steps are achieved in such a way that the CPU 201 stores, in RAM 203, various computer programs stored in ROM 202, and executes various computer programs.

[0059] Этап S1301 является этапом, на котором блок 1101 администрирования права доступа к хранилищу принимает запрос на получение права доступа к хранилищу, который передается от блока 1107 связи. Запрос на получение права доступа к хранилищу включает в себя маркер авторизации, выданный сервером 102 аутентификации и авторизации. Пример запроса на получение права доступа к хранилищу иллюстрируется на Фиг. 5(c), как описано выше.[0059] Step S1301 is a step in which a storage access right administration unit 1101 receives a request for obtaining a storage access right, which is transmitted from the communication unit 1107. The request for access to the storage includes an authorization token issued by the authentication and authorization server 102. An example of a request for access to the storage is illustrated in FIG. 5 (c) as described above.

[0060] Этап S1302 является этапом, на котором блок 1103 получения информации маркера авторизации получает информацию касательно маркера авторизации, включенного в запрос на получение права доступа к хранилищу. Блок 1103 получения информации маркера авторизации передает запрос на получение информации маркера авторизации к серверу 102 аутентификации и авторизации, и получает информацию маркера авторизации в качестве ответа на запрос. Информация маркера авторизации включает в себя срок действия маркера авторизации и диапазон разрешения маркера авторизации. Информация маркера авторизации включает в себя ID клиента у авторизованного клиента, для которого был выдан маркер авторизации, и ID пользователя у пользователя, который имеет разрешенную выдачу маркера авторизации. Запрос на получение информации маркера авторизации включает в себя, по меньшей мере, значение маркера авторизации.[0060] Step S1302 is a step in which the authorization token information obtaining unit 1103 obtains information regarding the authorization token included in the request for access to the storage. An authorization token information obtaining unit 1103 transmits a request for obtaining authorization token information to the authentication and authorization server 102, and receives authorization token information as a response to the request. The authorization token information includes the validity of the authorization token and the resolution range of the authorization token. The authorization token information includes the client ID of the authorized client for whom the authorization token was issued, and the user ID of the user who has the authorized issuance of the authorization token. The request for authorization token information includes at least the value of the authorization token.

[0061] Когда сервер 102 аутентификации и авторизации принимает запрос на получение информации маркера авторизации, сервер 102 аутентификации и авторизации обращается к таблице 600 администрирования маркера авторизации, чтобы проверить, присутствует или нет маркер авторизации, включенный в запрос на получение информации маркера авторизации. Когда целевой маркер авторизации не присутствует в таблице 600 администрирования маркера авторизации, сервер 102 аутентификации и авторизации передает ответ, указывающий на то, что маркер авторизации не присутствует. Даже в случае, когда целевой маркер авторизации присутствует в таблице 600 администрирования маркера авторизации, когда дата 602 и время истечения маркера авторизации подошли, сервер 102 аутентификации и авторизации передает ответ, указывающий на то, что дата и время истечения подошли. В случае, когда целевой маркер авторизации присутствует в таблице 600 администрирования маркера авторизации и когда дата 602 и время истечения не подошли, сервер 102 аутентификации и авторизации передает информацию касательно маркера 601 авторизации, сохраненного в таблице 600 администрирования маркера авторизации. Фиг. 9 иллюстрирует примерную информацию маркера авторизации, предоставляемую посредством сервера 102 аутентификации и авторизации. В случае, где посреднический сервер 103 права доступа имеет функцию проверки даты и времени истечения маркера авторизации, даже когда дата 601 и время истечения маркера авторизации подошли, сервер 102 аутентификации и авторизации может передавать информацию касательно маркера 601 авторизации.[0061] When the authentication and authorization server 102 receives a request for authorization token information, the authentication and authorization server 102 consults the authorization token administration table 600 to check whether or not an authorization token is included in the request for authorization token information. When the target authorization token is not present in the authorization token administration table 600, the authentication and authorization server 102 transmits a response indicating that the authorization token is not present. Even in the case where the target authorization token is present in the authorization token administration table 600, when the date and expiration time of the authorization token has approached, the authentication and authorization server 102 transmits a response indicating that the expiration date and time have approached. In the case where the target authorization token is present in the authorization token administration table 600 and when the date 602 and the expiration time have not come up, the authentication and authorization server 102 transmits information regarding the authorization token 601 stored in the authorization token administration table 600. FIG. 9 illustrates exemplary authorization token information provided by the authentication and authorization server 102. In the case where the mediation server 103 permissions has the function of checking the date and time of the expiration of the authorization token, even when the date 601 and the expiration of the authorization token have approached, the authentication and authorization server 102 may transmit information regarding the authorization token 601.

[0062] Этап S1303 является этапом, на котором определяется, является или нет действительным маркер авторизации, принятый блоком 1101 администрирования права доступа к хранилищу. Если блок 1103 получения информации маркера авторизации нормально получает информацию маркера авторизации от сервера 102 аутентификации и авторизации, определяется, что маркер авторизации является действительным. Если информация маркера авторизации нормально не получается, определяется, что маркер авторизации является недействительным. Случай, при котором информация маркера авторизации не получается нормально является случаем, при котором дата и время истечения маркера авторизации подошли, или случаем, при котором был передан маркер авторизации, который не зарегистрирован, в таблице 600 администрирования маркера авторизации.[0062] Step S1303 is a step in which it is determined whether or not the authorization token received by the storage access control unit 1101 is valid. If the authorization token information obtaining unit 1103 normally receives the authorization token information from the authentication and authorization server 102, it is determined that the authorization token is valid. If the authorization token information is not normally obtained, it is determined that the authorization token is invalid. The case in which the authorization token information is not obtained normally is the case in which the date and time the expiration of the authorization token came up, or the case in which the authorization token that was not registered was transmitted in the authorization token administration table 600.

[0063] Этап S1304 является этапом, на котором процесс ветвится на основе определения того, является или нет действительным маркер авторизации. Если на этапе S1303 определяется, что маркер авторизации является действительным, процесс переходит к этапу S1305. Если определяется, что маркер авторизации является недействительным, процесс переходит к этапу S1310.[0063] Step S1304 is a step in which the process branches based on determining whether or not the authorization token is valid. If it is determined in step S1303 that the authorization token is valid, the process proceeds to step S1305. If it is determined that the authorization token is invalid, the process proceeds to step S1310.

[0064] Этап S1305 является этапом, на котором блок 1104 определения диапазона доступа к хранилищу определяет диапазон разрешения права доступа к хранилищу, которое должно быть выдано. Подробности процесса на данном этапе будут описаны ниже.[0064] Step S1305 is a step in which the storage access range determination unit 1104 determines a permission range of the storage access right to be issued. Details of the process at this stage will be described below.

[0065] Этап S1306 является этапом, на котором блок 1104 определения диапазона доступа к хранилищу определяет, является или нет действительным диапазон разрешения права доступа к хранилищу, который определяется на этапе S1305. Определение, является или нет действительным диапазон разрешения права доступа к хранилищу, выполняется на основании политики диапазона разрешения. Примером политики диапазона разрешения является политика, при которой определяется, что право доступа к хранилищу является недействительным, когда право доступа к хранилищу заключает право доступа к конкретному пути к файлу. Другим является политика, при которой определяется, что право доступа к хранилищу является недействительным, когда переменные, определенные в пути 1204 к файлу в таблице 1200 администрирования диапазона доступа к хранилищу, не были преобразованы. Применение политики диапазона разрешения может быть выполнено для всего посреднического сервера 103 права доступа, или то, должна или нет быть применена политика диапазона разрешения, может быть определено для каждого ID 1201 клиента в таблице 1200 администрирования диапазона доступа к хранилищу. Установка для блока 1104 определения диапазона доступа к хранилищу может быть использована, чтобы переключать режим определения в отношении того, выполняется или нет определение в зависимости от того, является или нет действительным диапазон разрешения права доступа к хранилищу.[0065] Step S1306 is a step in which the storage access range determination unit 1104 determines whether or not the storage access permission range that is determined in step S1305 is valid. Determining whether or not a valid storage access permission range is valid is performed based on the permission range policy. An example of a permission range policy is a policy in which it is determined that the access right to the repository is invalid when the access right to the repository enters the access right to a specific file path. Another is a policy in which it is determined that the access right to the repository is invalid when the variables defined in the path 1204 to the file in the table 1200 to administer the range of access to the repository were not converted. The application of the permission range policy can be performed for the entire mediation server 103 of the access right, or whether or not the permission range policy should be applied can be defined for each client ID 1201 in the table 1200 of the storage access range administration. The setting for the storage access range determination unit 1104 can be used to switch the determination mode as to whether or not the determination is performed depending on whether or not the valid storage permission range is valid.

[0066] На данном этапе, если определяется, что право доступа к хранилищу, данное блоком 1104 определения диапазона доступа к хранилищу, является действительным, процесс переходит к этапу S1307. Если определяется, что право доступа к хранилищу, данное блоком 1194 определения диапазона доступа к хранилищу, является недействительным, процесс переходит к этапу S1310, описанному выше.[0066] At this stage, if it is determined that the storage access right given by the storage access range determination unit 1104 is valid, the process proceeds to step S1307. If it is determined that the storage access right given by the storage access range determining section 1194 is invalid, the process proceeds to step S1310 described above.

[0067] Этап S1307 является этапом, на котором блок 1102 получения права доступа к хранилищу получает право доступа к хранилищу от сервера 104 выдачи права доступа к хранилищу. Блок 1102 получения права доступа к хранилищу получает право доступа к хранилищу посредством использования функции выдачи права доступа к хранилищу, которая предоставляется для сервера 104 выдачи права доступа к хранилищу. Блок получения права доступа к хранилищу уведомляет блок 1101 администрирования права доступа к хранилищу результатом получения права доступа к хранилищу.[0067] Step S1307 is a step in which a storage access right obtaining unit 1102 obtains a storage access right from the storage access issuing server 104. The storage access right obtaining unit 1102 obtains the right to access the storage by using the function of issuing the right to access the storage, which is provided to the server 104 to issue the right to access the storage. The storage access right obtaining unit notifies the storage access right administration unit 1101 of the result of obtaining the storage access right.

[0068] Этап S1308 является этапом, на котором определяется, является или нет право доступа к хранилищу полученным нормально. Если право доступа к хранилищу является полученным нормально, процесс переходит к этапу S1309. Если право доступа к хранилищу является полученным не нормально, процесс переходит к этапу S1310, описанному выше.[0068] Step S1308 is a step in which it is determined whether or not the storage access right is obtained normally. If the storage access right is obtained normally, the process proceeds to step S1309. If the storage access right is not obtained normally, the process proceeds to step S1310 described above.

[0069] Этап S1309 является этапом, на котором блок 1101 администрирования права доступа к хранилищу передает право доступа к хранилищу, полученное на этапе S1307, клиенту 101.[0069] Step S1309 is a step in which the storage access right administration unit 1101 transfers the storage access right obtained in step S1307 to the client 101.

[0070] Этап S1310 является этапом, на котором блок 1101 администрирования права доступа к хранилищу передает ответ ошибки клиенту 101. Ответ ошибки, передаваемый на данном этапе, может включать в себя причину ошибки в том, что маркер авторизации является недействительным. Ответ ошибки может включать в себя причину ошибки в том, что диапазон разрешения права доступа к хранилищу является недействительным, или причину ошибки в том, что право доступа к хранилищу не получено от сервера 104 выдачи права доступа к хранилищу. После процесса на этапе S1309 или этапе S1310, процесс в потоке заканчивается.[0070] Step S1310 is a step in which the storage access right administration unit 1101 transmits an error response to the client 101. The error response transmitted at this step may include the cause of the error that the authorization token is invalid. The error response may include the reason for the error that the permission range for the storage access permission is invalid, or the reason for the error that the storage access permission was not received from the server 104 for access to the storage. After the process in step S1309 or step S1310, the process in the stream ends.

[0071] Посредством использования Фиг. 10, будет описана последовательность операций определения права доступа к хранилищу, которая выполняется на этапе S1305, описанном выше. Фактически, этапы достигаются таким образом, что CPU 301 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.[0071] By using FIG. 10, a flowchart for determining a storage access right that is performed in step S1305 described above will be described. In fact, the steps are achieved in such a way that the CPU 301 stores, in RAM 203, a variety of computer programs stored in ROM 202, and executes a variety of computer programs.

[0072] Этап S1501 является этапом, на котором информация касательно права доступа к хранилищу получается из таблицы 1200 администрирования диапазона доступа к хранилищу. На данном этапе, на основании ID клиента и области действия, включенных в информацию маркера авторизации, полученную на этапе S1302, получается соответствующая операция 1203, соответствующий путь 1204 к файлу, и соответствующий срок 1205 действия. При получении, обращаются к таблице 1200 администрирования диапазона доступа к хранилищу.[0072] Step S1501 is a step in which information regarding a storage access right is obtained from the storage access range administration table 1200. At this stage, based on the client ID and scope included in the authorization token information obtained in step S1302, the corresponding operation 1203 is obtained, the corresponding file path 1204, and the corresponding validity period 1205. Upon receipt, refer to the table 1200 administration range of access to the store.

[0073] Среди фрагментов информации области действия, включенной в маркер авторизации, какая область действия является областью действия, для которой должно быть получено право доступа к хранилищу, может быть указано в запросе на получение права доступа к хранилищу, который передается от клиента 101. В данном случае, среди фрагментов информации области действия, включенной в маркер авторизации, область действия, указанная в запросе на получение права доступа к хранилищу, может быть использована на данном этапе, чтобы получать информацию касательно права доступа к хранилищу из таблицы 1200 администрирования диапазона доступа к хранилищу.[0073] Among the pieces of information of the scope included in the authorization token, which scope is the scope for which the storage access right should be obtained, may be indicated in the request for access to the storage, which is transmitted from client 101. B in this case, among the pieces of information of the scope included in the authorization token, the scope indicated in the request for access to the store can be used at this stage to receive information about specifically, the access rights to the storage from the table 1200 for administering the range of access to the storage.

[0074] Этап S1502 является этапом, на котором определяется, присутствуют или нет соответствующий ID 401 клиента и соответствующая область 403 действия в таблице 1200 администрирования диапазона доступа к хранилищу. Если определяется, что соответствующий ID 401 клиента и соответствующая область 403 действия присутствуют, процесс переходит к этапу S1503. Если определяется, что соответствующий ID 401 клиента и соответствующая область 403 действия не присутствуют, процесс переходит к этапу S1506.[0074] Step S1502 is a step in which it is determined whether or not the corresponding client ID 401 and the corresponding action area 403 are present in the storage access range administration table 1200. If it is determined that the corresponding client ID 401 and the corresponding action area 403 are present, the process proceeds to step S1503. If it is determined that the corresponding client ID 401 and the corresponding action area 403 are not present, the process proceeds to step S1506.

[0075] Этап S1503 является этапом, на котором определяется, включены или нет переменные в путь 1204 к файлу, полученный на этапе S1501. Если переменные включены в путь 1204 к файлу, полученный на этапе S1501, процесс переходит к этапу S1504. Если переменные не включены, процесс переходит к этапу S1505.[0075] Step S1503 is a step in which it is determined whether or not the variables are included in the file path 1204 obtained in step S1501. If the variables are included in the file path 1204 obtained in step S1501, the process proceeds to step S1504. If the variables are not included, the process advances to step S1505.

[0076] Этап S1504 является этапом, на котором переменные замещаются на основании информации маркера авторизации, полученной на этапе S1302. На данном этапе, информация маркера авторизации, соответствующая переменным, включенным в путь 1204 к файлу, используется, чтобы замещать переменные. Будет описан пример в случае, где ID 1201 клиента является Client001 и область 1202 действия является выгрузкой на Фиг. 7, и где получается информация маркера авторизации на Фиг. 9. В данном случае, ${token.client_id}, включенная в путь 1204 к файлу, замещается client001. Это происходит потому, что client001 включено в качестве данных client_id в информацию маркера авторизации на Фиг. 9. Сходным образом, на основании значений, включенных в запрос на получение права доступа к хранилищу, ${param.time} в пути 1204 к файлу замещается 20140930. В дополнение, ${param.name} замещается image001.jpg. Вследствие этого, путь 1204 к файлу, полученный через замещение, соответствует /client001/20140930/image001.jpg.[0076] Step S1504 is a step in which the variables are replaced based on the authorization token information obtained in step S1302. At this stage, the authorization token information corresponding to the variables included in the file path 1204 is used to replace the variables. An example will be described in the case where the client ID 1201 is Client001 and the action area 1202 is the upload in FIG. 7, and where the authorization token information in FIG. 9. In this case, $ {token.client_id}, included in path 1204 to the file, is replaced by client001. This is because client001 is included as client_id data in the authorization token information in FIG. 9. Similarly, based on the values included in the request for access to the repository, $ {param.time} is replaced with 20140930 in the path 1204 to the file. In addition, $ {param.name} is replaced with image001.jpg. As a result, the path 1204 to the file obtained through the substitution corresponds to /client001/20140930/image001.jpg.

[0077] Этап S1505 является этапом, на котором определяется дата и время истечения права доступа к хранилищу. На данном этапе, на основании срока 1205 действия, полученного на этапе S1501, дата и время, когда срок 1205 действия истекает от текущего времени, используются в качестве даты и времени истечения права доступа к хранилищу.[0077] Step S1505 is a step in which the date and time of expiration of the storage access right is determined. At this stage, based on the validity period 1205 obtained in step S1501, the date and time when the validity period 1205 expires from the current time is used as the date and time of expiration of the storage access right.

[0078] Этап S1506 является этапом, на котором ответ ошибки передается клиенту 101. Ответ ошибки, передаваемый на этапе S1506, может включать в себя причину ошибки в том, что соответствующий ID 401 клиента и соответствующая область 403 действия не присутствуют в таблице 1200 администрирования диапазона доступа к хранилищу. Предполагается, что причина ошибки передается на данном этапе. В качестве альтернативы, установка по умолчанию, которая используется, когда необходимая установка не присутствует, может быть зарегистрирована в таблице 1200 администрирования диапазона доступа к хранилищу. Установка по умолчанию может быть использована в качестве права доступа к хранилищу. После процесса на этапе S1505 или этапе S1506, весь процесс заканчивается.[0078] Step S1506 is a step in which an error response is transmitted to the client 101. The error response transmitted in step S1506 may include the cause of the error that the corresponding client ID 401 and the corresponding action area 403 are not present in the range administration table 1200 access to the repository. It is assumed that the cause of the error is transmitted at this stage. Alternatively, the default installation, which is used when the required installation is not present, may be registered in the storage access range administration table 1200. The default setting can be used as a storage access right. After the process in step S1505 or step S1506, the whole process ends.

[0079] Как описано выше, посреднический сервер 103 права доступа в соответствии с настоящим вариантом осуществления может выступать посредником права доступа к серверу 105 хранения на основании маркера авторизации, выданного сервером 102 аутентификации и авторизации. Через посредничество, сервер 102 аутентификации и авторизации способен управлять диапазоном разрешения права доступа к серверу 105 хранения, выдавать адекватное право доступа к серверу 105 хранения. Кроме того, можно выдавать право доступа к серверу 105 хранения в соответствии с процессом, который должен быть выполнен клиентом 101. Вследствие этого, клиенту 101 предоставляются минимальное необходимое право доступа, и можно избежать предоставления чрезмерного разрешения.[0079] As described above, the mediation server 103 of the access right in accordance with the present embodiment may act as an intermediary of the right to access the server 105 storage based on the authorization token issued by the server 102 authentication and authorization. Through mediation, the authentication and authorization server 102 is able to control the permission range of the access right to the storage server 105, to issue an adequate access right to the storage server 105. In addition, access rights to the storage server 105 may be granted in accordance with the process to be performed by the client 101. As a result, the client 101 is granted the minimum necessary access right, and excessive permissions can be avoided.

[0080] (ВТОРОЙ ВАРИАНТ ОСУЩЕСТВЛЕНИЯ)[0080] (SECOND EMBODIMENT)

В первом варианте осуществления, указывается пример, в котором посреднический сервер 103 права доступа получает право доступа к хранилищу всякий раз, когда посреднический сервер 103 права доступа принимает запрос на получение права доступа к хранилищу. В настоящем варианте осуществления, посреднический сервер права доступа временно кэширует право доступа к хранилищу. Настоящий вариант осуществления имеет конфигурацию сходную с той, что у первого варианта осуществления. Отличие между настоящим вариантом осуществления и первым вариантом осуществления будет описано ниже.In the first embodiment, an example is indicated in which the mediation server 103 of the access right obtains the right of access to the repository whenever the mediation server 103 of the right of access receives a request for access to the storage. In the present embodiment, the proxy access server temporarily caches the repository access right. The present embodiment has a configuration similar to that of the first embodiment. The difference between the present embodiment and the first embodiment will be described below.

[0081] Фиг. 11 иллюстрирует примерную конфигурацию функций посреднического сервера 103 права доступа в соответствии с настоящим вариантом осуществления. Посреднический сервер 103 права доступа в соответствии с настоящим вариантом осуществления включает в себя блок 1601 хранения права доступа к хранилищу, и временно хранит право доступа к хранилищу, полученное от сервера 104 выдачи права доступа к хранилищу. Блок 1601 хранения права доступа к хранилищу имеет таблицу 1700 администрирования права доступа к хранилищу, иллюстрируемую на Фиг. 12, и хранит право доступа к хранилищу для каждого набора данных, который состоит из авторизованного клиента и области действия, и который используется для полученного права доступа к хранилищу.[0081] FIG. 11 illustrates an exemplary configuration of the functions of an intermediary access server 103 in accordance with the present embodiment. The access right mediation server 103 in accordance with the present embodiment includes a storage access right storage unit 1601, and temporarily stores a storage access right received from the storage access right issuing server 104. The storage access right storage unit 1601 has a storage access right administration table 1700 illustrated in FIG. 12, and stores the storage access right for each data set, which consists of an authorized client and scope, and which is used for the obtained access right to the storage.

[0082] Как иллюстрируется, таблица 1700 администрирования права доступа к хранилищу является таблицей для администрирования полученных прав доступа к хранилищу. Таблица 1700 администрирования права доступа к хранилищу имеет область 1702 действия, ассоциированную с ID 1701 клиента, соответствующим маркеру авторизации. В качестве диапазона доступа сервера 105 хранения, который соответствует области 1702 действия, ассоциированы операция 1703 и путь 1704 к файлу. Кроме того, ассоциированы право 1705 доступа к хранилищу и дата 1705 и время истечения для права 1706 доступа к хранилищу. Дата 1705 и время истечения указывают дату и время, когда право 1706 доступа к хранилищу становится недействительным. Право 1705 доступа к хранилищу может быть зашифровано и сохранено, не в открытом тексте. Дата 1705 и время истечения могут быть сохранены посредством использования даты и времени во временной зоне, используемой посредническим сервером 103 права доступа или клиентом 101.[0082] As illustrated, the storage access right administration table 1700 is a table for administering the received storage access rights. The storage access right administration table 1700 has an action area 1702 associated with the client ID 1701 corresponding to the authorization token. As the access range of the storage server 105, which corresponds to the action area 1702, an operation 1703 and a file path 1704 are associated. In addition, the storage access right 1705 and the date 1705 and the expiration time for the storage access right 1706 are associated. The date 1705 and the expiration time indicate the date and time when the storage access right 1706 becomes invalid. Storage access right 1705 may be encrypted and stored, not in plain text. The date 1705 and the expiration time can be stored by using the date and time in the time zone used by the intermediary server 103 access rights or client 101.

[0083] Посредством использования Фиг. 13, будет описана последовательность операций, выполняемая посредством блока 1101 администрирования права доступа к хранилищу, когда принимается запрос на получение права доступа к хранилищу. Процессы на Фиг. 13 большей частью точно такие же, как те, что на Фиг. 8 в соответствии с первым вариантом осуществления. Будут описаны только отличия.[0083] By using FIG. 13, a flowchart performed by the storage access right administration unit 1101 when a request for obtaining storage access rights is received will be described. The processes of FIG. 13 are for the most part exactly the same as those in FIG. 8 in accordance with the first embodiment. Only differences will be described.

[0084] Фактически, этапы достигаются таким образом, что CPU 201 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.[0084] In fact, the steps are achieved so that the CPU 201 stores, in RAM 203, a variety of computer programs stored in ROM 202, and executes a variety of computer programs.

[0085] Этап S1801 является этапом, на котором запрос касательно того, было или нет уже получено право доступа к хранилищу, соответствующее праву доступа к хранилищу, которое должно быть получено, передается блоку 1601 хранения права доступа к хранилищу. Когда передается запрос, блок 1601 хранения права доступа к хранилищу проверяет следующий пункт. Т.е., блок 1601 хранения права доступа к хранилищу проверяет, присутствует или нет право доступа к хранилищу с ID клиента, областью действия, операцией, и путем к файлу, которые совпадают с теми, что у авторизованного клиента права доступа к хранилищу, которое должно быть получено, в таблице 1700 администрирования права доступа к хранилищу. Если такое право доступа присутствует, блок 1601 хранения права доступа к хранилищу проверяет дату и время истечения. Если право доступа к хранилищу не истекло, право доступа к хранилищу расценивается как полученное, и значение права доступа к хранилищу возвращается блоку получения права доступа к хранилищу. Даже в случае, когда право доступа к хранилищу не истекло, только когда определенный период или более остается до того, как настает истечение даты и времени, может быть определено, что право доступа к хранилищу было получено. После описанного выше процесса, если право доступа к хранилищу было получено, процесс переходит к этапу S1309. Если право доступа к хранилищу не было получено, процесс переходит к этапу S1307.[0085] Step S1801 is a step in which a request regarding whether or not a storage access right corresponding to a storage access right to be obtained has already been received is transmitted to the storage access right storage unit 1601. When the request is transmitted, the storage access storage unit 1601 checks the next item. That is, the storage access right storage unit 1601 checks whether or not the access right to the storage is present with the client ID, scope, operation, and file path that match those of the authorized client that have access to the storage, which must be obtained, in table 1700 administration access rights to the repository. If such an access right is present, the storage access storage unit 1601 checks the expiration date and time. If the access right to the repository has not expired, the access right to the repository is regarded as received, and the value of the access right to the repository is returned to the unit for obtaining access to the repository. Even if the right of access to the repository has not expired, only when a certain period or more remains before the expiration of the date and time, it can be determined that the right of access to the repository has been obtained. After the above process, if the storage access right has been obtained, the process proceeds to step S1309. If the access right to the storage has not been obtained, the process proceeds to step S1307.

[0086] Этап S1802 является этапом, на котором блок 1601 хранения права доступа к хранилищу сохраняет полученное право доступа к хранилищу. Полученное право доступа к хранилищу записывается как кэш в таблицу 1700 администрирования права доступа к хранилищу. Когда передается запрос на получение точно такого же права доступа к хранилищу, право доступа к хранилищу может быть получено посредством обращения к таблице 1700 администрирования права доступа к хранилищу.[0086] Step S1802 is a step in which the storage access right storage unit 1601 stores the acquired access right to the storage. The obtained storage access right is written as a cache to the storage access right administration table 1700. When a request is transmitted to obtain the exact same access right to the repository, the access right to the repository can be obtained by referring to the storage access right administration table 1700.

[0087] Как описано выше, посредническому серверу права доступа в соответствии с настоящим вариантом осуществления не требуется всякий раз получать право доступа к хранилищу от сервера 104 выдачи права доступа к хранилищу. Следовательно, уменьшается время выполнения процесса на Фиг. 13, позволяя быстро возвращать клиенту ответ на запрос на получение права доступа к хранилищу.[0087] As described above, the proxy server in accordance with the present embodiment is not required to obtain a storage access right from the storage access issuing server 104 each time. Therefore, the execution time of the process of FIG. 13, allowing you to quickly return to the client a response to a request for access to the storage.

[0088] (ТРЕТИЙ ВАРИАНТ ОСУЩЕСТВЛЕНИЯ)[0088] (THIRD EMBODIMENT)

Настоящий вариант осуществления описывает процесс, выполняемый, когда посреднический сервер 103 права доступа принимает запрос на изменение в диапазоне доступа к хранилищу.The present embodiment describes a process performed when a mediation server 103 of an access right receives a change request in a range of storage access.

[0089] Фиг. 14 иллюстрирует примерную функциональную конфигурацию посреднического сервера 103 права доступа в соответствии с настоящим вариантом осуществления. Посреднический сервер 103 права доступа в соответствии с настоящим вариантом осуществления включает в себя блок 1401 администрирования диапазона доступа к хранилищу. Блок 1401 администрирования диапазона доступа к хранилищу добавляет, удаляет, и меняет информацию, хранящуюся в информации 1106 установки диапазона доступа к хранилищу. Блок 1107 связи принимает запрос на изменение в диапазоне доступа к хранилищу, и уведомляет блок 1401 администрирования диапазона доступа к хранилищу о принятом запросе на изменение в диапазоне доступа к хранилищу. Блок 1401 администрирования диапазона доступа к хранилищу меняет информацию, хранящуюся в таблице 1200 администрирования диапазона доступа к хранилищу на основании запроса на изменение в диапазоне доступа к хранилищу.[0089] FIG. 14 illustrates an exemplary functional configuration of an intermediary access server 103 in accordance with the present embodiment. The access right mediation server 103 in accordance with the present embodiment includes a storage access range administration unit 1401. The storage access range administration unit 1401 adds, deletes, and changes the information stored in the storage access range setting information 1106. The communication unit 1107 receives the change request in the storage access range, and notifies the storage access range administration unit 1401 of the received change request in the storage access range. The storage access range administration unit 1401 changes the information stored in the storage access range administration table 1200 based on a change request in the storage access range.

[0090] Фиг. 15 иллюстрирует последовательность операций, выполняемую посредством блока 1401 администрирования диапазона доступа к хранилищу, когда принимается запрос на изменение в диапазоне доступа к хранилищу, в соответствии с настоящим вариантом осуществления.[0090] FIG. 15 illustrates a flowchart performed by the storage access range administration unit 1401 when a change request in the storage access range is received in accordance with the present embodiment.

[0091] Фактически, этапы достигаются таким образом, что CPU 201 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.[0091] In fact, the steps are achieved so that the CPU 201 stores, in RAM 203, a variety of computer programs stored in ROM 202, and executes a variety of computer programs.

[0092] Этап S1901 является этапом, на котором принимается запрос на изменение в диапазоне доступа к хранилищу, который передается от блока 1107 связи. Запрос на изменение в диапазоне доступа к хранилищу включает в себя маркер авторизации, выданный сервером 102 аутентификации и авторизации, и информацию касательно изменения в диапазоне доступа к хранилищу.[0092] Step S1901 is the step of receiving a change request in a storage access range that is transmitted from the communication unit 1107. The request for a change in the range of access to the repository includes an authorization token issued by the authentication and authorization server 102 and information regarding a change in the range of access to the repository.

[0093] Фиг. 16 иллюстрирует примерный запрос на изменение в диапазоне доступа к хранилищу в случае, когда должен быть модифицирован диапазон доступа к хранилищу. Запрос на изменение в диапазоне доступа к хранилищу имеет атрибуты, соответствующие информации, хранящейся в таблице 1200 администрирования диапазона доступа к хранилищу. Запрос на изменение в диапазоне доступа к хранилищу может включать в себя все элементы, хранящиеся в таблице 1200 администрирования диапазона доступа к хранилищу, или может включать в себя только атрибуты, которые необходимо изменить.[0093] FIG. 16 illustrates an example change request in a storage access range in a case where a storage access range is to be modified. The change request in the storage access range has attributes corresponding to the information stored in the storage access range administration table 1200. The change request in the storage access range may include all the items stored in the storage access range administration table 1200, or may include only the attributes that need to be changed.

[0094] Этап S1902 является этапом, на котором получается информация касательно маркера авторизации, включенного в запрос на изменение в диапазоне доступа к хранилищу. Блок 1103 получения информации маркера авторизации передает запрос на получение информации маркера авторизации, к серверу 102 аутентификации и авторизации, и получает информацию маркера авторизации. Запрос на получение информации маркера авторизации включает в себя значение маркера авторизации.[0094] Step S1902 is a step in which information is obtained regarding the authorization token included in the change request in the storage access range. An authorization token information obtaining unit 1103 transmits a request for obtaining authorization token information to the authentication and authorization server 102, and receives authorization token information. The request for authorization token information includes the value of the authorization token.

[0095] Этап S1903 является этапом, на котором верифицируется является или нет действительным маркер авторизации, полученный на этапе S1902. Посредством использования результата верификации, на этапе S1904, определяется, является или нет действительным маркер авторизации. Если информация маркера авторизации является не нормально полученной на этапе S1902, определяется, что маркер авторизации является недействительным. Если информация маркера авторизации является нормально полученной, проверяется, совпадает ли ID клиента и область действия авторизованного клиента, включенные в информацию маркера авторизации, с теми, что включены в запрос на изменение в диапазоне доступа к хранилищу. Если сравнение выполняется успешно, определяется, что маркер авторизации является действительным. Если определяется, что маркер авторизации является действительным, процесс переходит к этапу S1905. Если сравнение не выполняется успешно, можно считать, что предпринимается попытка изменения установок авторизованного клиента отличного от авторизованного клиента, который передал запрос на изменение в диапазоне доступа к хранилищу. Вследствие этого, определяется, что маркер авторизации является недействительным. Если определяется, что маркер авторизации является недействительным, процесс переходит к этапу S1906.[0095] Step S1903 is a step in which the authorization token obtained in step S1902 is valid or not valid. By using the verification result, in step S1904, it is determined whether or not the authorization token is valid. If the authorization token information is not normally obtained in step S1902, it is determined that the authorization token is invalid. If the authorization token information is normally received, it is checked whether the client ID and the scope of the authorized client included in the authorization token information coincide with those included in the change request in the range of access to the store. If the comparison is successful, it is determined that the authorization token is valid. If it is determined that the authorization token is valid, the process proceeds to step S1905. If the comparison is not successful, we can assume that an attempt is made to change the settings of the authorized client other than the authorized client, which transmitted the request for change in the range of access to the repository. As a result, it is determined that the authorization token is invalid. If it is determined that the authorization token is invalid, the process proceeds to step S1906.

[0096] Этап S1905 является этапом, на котором информация касательно принятого запроса на изменение в диапазоне доступа к хранилищу используется, чтобы менять информацию для соответствующего авторизованного клиента и соответствующей области действия в таблице 1200 администрирования диапазона доступа к хранилищу. На этапе S1906, ответ ошибки возвращается клиенту 101. После процесса на этапе S1905 или этапе S1906, весь процесс заканчивается.[0096] Step S1905 is a step in which information regarding a received change request in a storage access range is used to change information for a corresponding authorized client and a corresponding scope in the storage access range administration table 1200. In step S1906, the error response is returned to the client 101. After the process in step S1905 or step S1906, the whole process ends.

[0097] В процессе на Фиг. 15, иллюстрируется пример изменения существующих установок. В дополнение, установка может быть удалена или может быть создана новая установка. Когда установка должна быть удалена, например, глагольная часть в HTTP на Фиг. 16 может быть изменена на DELETE (Удалить). Когда создается новая установка, глагольная часть в HTTP может быть изменена на POST.[0097] In the process of FIG. 15, an example of modifying existing installations is illustrated. In addition, the installation may be deleted or a new installation may be created. When the installation is to be removed, for example, the verb part in HTTP in FIG. 16 can be changed to DELETE. When a new installation is created, the verb part in HTTP can be changed to POST.

Запрос на изменение в диапазоне доступа к хранилищу включает в себя маркер авторизации. Вместо этого, может быть передана информация, указывающая результат аутентификации, используя ID пользователя и пароль. Кроме того, разрешение на изменение диапазона доступа к хранилищу может быть дано только конкретной группе пользователей, к которой принадлежит пользователь.A request for a change in the storage access range includes an authorization token. Instead, information indicating an authentication result may be transmitted using the user ID and password. In addition, permission to change the range of access to the repository can be given only to a specific group of users to which the user belongs.

[0098] Как описано выше, посреднический сервер права доступа в соответствии с настоящим вариантом осуществления позволяет пользователю менять информацию установки диапазона доступа к хранилищу, администрирование которой осуществляется посредством таблицы 1200 администрирования диапазона доступа к хранилищу. Таким образом, установки для права доступа к серверу 105 хранения могут быть изменены при необходимости. Вследствие этого, администрирование права доступа к серверу 105 хранения может быть осуществлено в соответствующем диапазоне.[0098] As described above, the proxy access server in accordance with the present embodiment allows the user to change the storage access range setting information administered by the storage access range administration table 1200. Thus, the settings for access rights to the storage server 105 can be changed if necessary. Because of this, the administration of access rights to the storage server 105 can be carried out in an appropriate range.

[0099] Когда должна быть изменена установка в таблице 1200 администрирования диапазона доступа к хранилищу, проверяется, разрешено ли пользователю менять установку в таблице 1200 администрирования диапазона доступа к хранилищу. Вследствие этого, недействительному пользователю сложно подделать установку в таблице 1200 администрирования диапазона доступа к хранилищу.[0099] When the setting in the storage access range administration table 1200 is to be changed, it is checked whether the user is allowed to change the setting in the storage access range administration table 1200. As a result of this, it is difficult for an invalid user to fake the installation in the table 1200 for administering the range of access to the store.

[0100] (ДРУГИЕ ВАРИАНТЫ ОСУЩЕСТВЛЕНИЯ)[0100] (OTHER EMBODIMENTS)

Настоящее изобретение может быть достигнуто посредством процесса, при котором программа, достигающая одну или более функции описанных выше вариантов осуществления, подается системе или устройству через сеть или запоминающий носитель информации и при котором один или более процессоры в компьютере системы или устройства считывает и исполняет программу. В дополнение, настоящее изобретение может быть достигнуто посредством схемы (например, ASIC), достигающей одну или более функции.The present invention can be achieved by a process in which a program achieving one or more functions of the above embodiments is supplied to a system or device via a network or storage medium and in which one or more processors in a computer of a system or device reads and executes the program. In addition, the present invention can be achieved by a circuit (e.g., ASIC) achieving one or more functions.

[0101] Настоящее изобретение не ограничивается описанными выше вариантами осуществления. Не отступая от сущности и объема настоящего изобретения, могут быть выполнены разнообразные изменения и модификации. Вследствие этого, чтобы проинформировать общественность об объеме настоящего изобретения, прилагается нижеследующая формула изобретения.[0101] The present invention is not limited to the above-described embodiments. Without departing from the essence and scope of the present invention, various changes and modifications can be made. Therefore, in order to inform the public about the scope of the present invention, the following claims are appended.

Список ссылочных обозначенийReference List

[0102] 1102 блок получения права доступа к хранилищу[0102] 1102 block obtaining access rights to the store

1103 блок получения информации маркера авторизации1103 block authorization token information

1104 блок определения диапазона доступа к хранилищу1104 storage access range determination unit

1107 блок связи1107 communication unit

Claims (32)

1. Устройство обработки информации, которое выполнено с возможностью осуществления связи с клиентом, причем клиентом, осуществляющим доступ к серверу хранения и первому серверу, который отличается от сервера хранения, при этом устройство обработки информации содержит:1. An information processing device that is configured to communicate with a client, the client accessing the storage server and the first server, which is different from the storage server, wherein the information processing device comprises: средство приема для приема информации касательно первого права доступа от клиента, причем информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу;reception means for receiving information regarding a first access right from a client, wherein information regarding a first access right is used by the client to access the first server; средство генерирования для генерирования пути к файлу, по которому должен быть осуществлен доступ в сервер хранения и который используется клиентом, чтобы осуществлять доступ к серверу хранения, установленный после того, как получена информация касательно первого права доступа; иgenerating means for generating a path to a file that must be accessed by the storage server and which is used by the client to access the storage server installed after the information regarding the first access right has been obtained; and средство передачи для передачи пути к файлу к клиенту.transmission medium for transmitting the file path to the client. 2. Устройство обработки информации по п. 1,2. The information processing device according to claim 1, в котором информация касательно первого права доступа включает в себя информацию, указывающую ID клиента у клиента и срок действия права доступа.in which the information regarding the first access right includes information indicating the client ID of the client and the expiration date of the access right. 3. Устройство обработки информации по п. 1,3. The information processing device according to claim 1, в котором средство генерирования передает запрос, основанный на информации касательно первого права доступа, к серверу администрирования, который осуществляет администрирование права доступа к серверу хранения, и генерирует путь к файлу на основании ответа на запрос.wherein the generating means transmits a request based on information regarding the first access right to an administration server that administers access rights to the storage server and generates a file path based on the response to the request. 4. Устройство обработки информации по п. 1, содержащее также:4. The information processing device according to claim 1, further comprising: средство удержания для удержания информации соответствия между информацией касательно первого права доступа и информацией касательно второго права доступа,retention means for retaining correspondence information between information regarding a first access right and information regarding a second access right, при этом средство генерирования обращается к информации соответствия с тем, чтобы сгенерировать путь к файлу.wherein the generating means accesses the correspondence information in order to generate a file path. 5. Система обработки информации, содержащая:5. An information processing system comprising: сервер хранения;storage server первый сервер, отличный от сервера хранения;The first server other than the storage server клиента, который осуществляет доступ к серверу хранения и первому серверу; иa client that accesses the storage server and the first server; and устройство обработки информации, которое выполнено с возможностью осуществления связи с клиентом,an information processing device that is configured to communicate with a client, при этом устройство обработки информации включает в себяwherein the information processing device includes средство приема для приема информации касательно первого права доступа от клиента, причем информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу;reception means for receiving information regarding a first access right from a client, wherein information regarding a first access right is used by the client to access the first server; средство генерирования для генерирования пути к файлу, по которому должен быть осуществлен доступ в сервер хранения и который используется клиентом, чтобы осуществлять доступ к серверу хранения, установленный после того, как получена информация касательно первого права доступа; иgenerating means for generating a path to a file that must be accessed by the storage server and which is used by the client to access the storage server installed after the information regarding the first access right has been obtained; and средство передачи для передачи пути к файлу к клиенту.transmission medium for transmitting the file path to the client. 6. Способ управления для устройства обработки информации, которое выполнено с возможностью осуществления связи с клиентом, причем клиентом, осуществляющим доступ к серверу хранения и первому серверу, отличному от сервера хранения, при этом способ, содержащий этапы, на которых:6. A control method for an information processing device that is configured to communicate with a client, the client accessing the storage server and a first server other than the storage server, the method comprising the steps of: посредством использования средства приема принимают информацию касательно первого права доступа от клиента, причем информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу;by using the reception means, information regarding the first access right is received from the client, wherein information about the first access right is used by the client to access the first server; посредством использования средства генерирования генерируют путь к файлу, по которому должен быть осуществлен доступ в сервер хранения и который используется клиентом, чтобы осуществлять доступ к серверу хранения, установленный после того, как получена информации касательно первого права доступа; иby using the generating means, a path to a file is accessed, which must be accessed by the storage server and which is used by the client to access the storage server established after the information regarding the first access right has been received; and посредством использования средства передачи передают путь к файлу к клиенту.by using the transmission medium, the file path to the client is transmitted. 7. Запоминающий носитель информации, хранящий компьютерную программу, которая предписывает компьютеру функционировать в качестве устройства обработки информации, которое выполнено с возможностью осуществления связи с клиентом, причем клиентом, осуществляющим доступ к серверу хранения и первому серверу, который отличается от сервера хранения, при этом устройство обработки информации содержит:7. A storage medium that stores a computer program that directs the computer to function as an information processing device that is configured to communicate with a client, the client accessing a storage server and a first server that is different from the storage server, wherein information processing contains: средство приема для приема информации касательно первого права доступа от клиента, причем информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу;reception means for receiving information regarding a first access right from a client, wherein information regarding a first access right is used by the client to access the first server; средство генерирования для генерирования пути к файлу, по которому должен быть осуществлен доступ в сервер хранения и который используется клиентом, чтобы осуществлять доступ к серверу хранения, установленный после того, как получена информации касательно первого права доступа; иgenerating means for generating a path to a file on which access to the storage server is to be made and which is used by the client to access the storage server installed after information regarding the first access right has been obtained; and средство передачи для передачи пути к файлу к клиенту.transmission medium for transmitting the file path to the client. 8. Устройство обработки информации, которое выполнено с возможностью осуществления связи с клиентом, причем клиентом, осуществляющим доступ к серверу хранения и первому серверу, который отличается от сервера хранения, при этом устройство обработки информации содержит:8. An information processing device that is configured to communicate with a client, the client accessing the storage server and the first server, which is different from the storage server, the information processing device comprising: средство приема для приема информации касательно первого права доступа от клиента, причем информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу;reception means for receiving information regarding a first access right from a client, wherein information regarding a first access right is used by the client to access the first server; средство генерирования для генерирования пути к файлу, по которому должен быть осуществлен доступ в сервер хранения, установленный после того, как получена информация касательно первого права доступа; иgenerating means for generating a path to a file by which access to the storage server established after the information regarding the first access right is obtained is obtained; and средство передачи для передачи пути к файлу к клиенту.transmission medium for transmitting the file path to the client.
RU2019100022A 2019-01-09 2019-01-09 Information processing device, control method for information processing device, information processing system and computer program RU2718970C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019100022A RU2718970C1 (en) 2019-01-09 2019-01-09 Information processing device, control method for information processing device, information processing system and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019100022A RU2718970C1 (en) 2019-01-09 2019-01-09 Information processing device, control method for information processing device, information processing system and computer program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
RU2017124135A Division RU2678428C2 (en) 2014-12-09 2014-12-09 Information processing device, management method for information processing device, information processing system and computer program

Publications (1)

Publication Number Publication Date
RU2718970C1 true RU2718970C1 (en) 2020-04-15

Family

ID=70277860

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019100022A RU2718970C1 (en) 2019-01-09 2019-01-09 Information processing device, control method for information processing device, information processing system and computer program

Country Status (1)

Country Link
RU (1) RU2718970C1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040006693A1 (en) * 2002-07-08 2004-01-08 Vinod Vasnani System and method for providing secure communication between computer systems
RU2400811C2 (en) * 2004-12-09 2010-09-27 Майкрософт Корпорейшн System and method for limited user access to network document
US20120110646A1 (en) * 2010-10-29 2012-05-03 Kabushiki Kaisha Toshiba Access authorizing apparatus
JP2013182302A (en) * 2012-02-29 2013-09-12 Nec System Technologies Ltd Network system, authentication cooperation device, authentication cooperation method, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040006693A1 (en) * 2002-07-08 2004-01-08 Vinod Vasnani System and method for providing secure communication between computer systems
RU2400811C2 (en) * 2004-12-09 2010-09-27 Майкрософт Корпорейшн System and method for limited user access to network document
US20120110646A1 (en) * 2010-10-29 2012-05-03 Kabushiki Kaisha Toshiba Access authorizing apparatus
JP2013182302A (en) * 2012-02-29 2013-09-12 Nec System Technologies Ltd Network system, authentication cooperation device, authentication cooperation method, and program

Similar Documents

Publication Publication Date Title
RU2678428C2 (en) Information processing device, management method for information processing device, information processing system and computer program
US9571494B2 (en) Authorization server and client apparatus, server cooperative system, and token management method
CN106856475B (en) Authorization server and authentication collaboration system
US8341249B2 (en) Synchronizing configuration information among multiple clients
US8627409B2 (en) Framework for automated dissemination of security metadata for distributed trust establishment
US10565402B2 (en) System and method for serving online synchronized content from a sandbox domain via a temporary address
JP6066647B2 (en) Device apparatus, control method thereof, and program thereof
US8082316B2 (en) Resolving conflicts while synchronizing configuration information among multiple clients
CN110138718B (en) Information processing system and control method thereof
US9626137B2 (en) Image forming apparatus, server device, information processing method, and computer-readable storage medium
KR20040049272A (en) Methods and systems for authentication of a user for sub-locations of a network location
US9916308B2 (en) Information processing system, document managing server, document managing method, and storage medium
US20140304324A1 (en) Content management apparatus, content management method, and program
US9027107B2 (en) Information processing system, control method thereof, and storage medium thereof
US20140007197A1 (en) Delegation within a computing environment
Chadwick et al. The trusted attribute aggregation service (TAAS)-providing an attribute aggregation layer for federated identity management
RU2718970C1 (en) Information processing device, control method for information processing device, information processing system and computer program
JP6708719B2 (en) Information processing apparatus, information processing apparatus control method, information processing system, and computer program
JP2016085638A (en) Server device, terminal device, system, information processing method, and program
Hoellrigl et al. User-controlled automated identity delegation
JP2018037025A (en) Program, authentication system, and authentication cooperative system
Baker OAuth2
JP6128958B2 (en) Information processing server system, control method, and program
WO2023160632A1 (en) Method for setting cloud service access permissions of enclave instance, and cloud management platform
CN112738112B (en) Access method, device and medium for third-party component based on Ambari