Область техники, к которой относится изобретение
[0001] Настоящее изобретение относится к устройству обработки информации, которое выполнено с возможностью осуществления связи с клиентом, осуществляющим доступ к серверу, способу управления для устройства обработки информации, системе обработки информации, и компьютерной программе.
Предшествующий уровень техники
[0002] В последнее время, серверу, предоставляющему услугу, предлагаемую в Интернет, требуется хранить безопасным образом частную информацию, типичными представителями которой является персональная информация и контент пользователя, такой как фотографии и видеофильмы, которые созданы пользователем.
[0003] Для исполнения этого требуется установка ограничения права доступа к серверу, предоставляющему услугу, для каждого пользователя (клиентского устройства). Чтобы ограничить права доступа, как правило вводится сервер выдачи права доступа, выдающий право доступа, которое установлено для каждого пользователя. Когда клиент принимает предоставление услуги, клиенту дается право доступа от устройства сервера выдачи права доступа, он осуществляет доступ к устройству сервера, которое предоставляет услугу, и запрашивает предоставление услуги. Когда право доступа является действительным, сервер отвечает на запрос. Протокол для получения права доступа от сервера выдачи права доступа и формат права доступа зависят от способа выдачи права доступа.
[0004] Примеры стандартной спецификации способа выдачи права доступа включают в себя OAuth 2.0 и OpenID Connect, которое является расширением OAuth 2.0. Эти стандартные спецификации уже используются в разнообразных услугах в Интернет. В протоколе OAuth 2.0, право доступа, которое должно быть выдано, выражается посредством использования строки, именуемой маркером доступа. Маркер доступа ассоциирован со строкой, именуемой область действия, указывающей диапазон разрешения. Кроме того, маркер доступа может быть ассоциирован с разнообразными типами информации, отличной от области действия. Примеры информации, ассоциированной с маркером доступа, включают в себя срок действия маркера доступа и ID издателя (issuer), который выдал маркер доступа. Сервер, который предоставляет услугу на основе спецификации OAuth 2.0, проверяет действительность и диапазон разрешения принятого маркера доступа на основании значений срока действия и области действия маркера доступа, и определяет, является или нет маркер доступа действительным.
[0005] Сервер выдачи права доступа, который не использует стандартную спецификацию, такую как OAuth 2.0, выдает право доступа посредством использования исходной спецификации. Примером сервера, который выдает право доступа посредством использования исходной спецификации является сервер хранения. Когда сервером, к которому должен быть осуществлен доступ, является сервер хранения, сложные процессы, например, в виде наложения ограничения на операции, такие как чтения и записи, и в виде указания конкретного пути к файлу, к которому разрешается осуществить доступ в хранилище, требуется выполнять посредством использования исходной спецификации.
[0006] Сервер хранения часто используется, когда относительно большой объем данных передается между клиентами и серверами. Причиной использования сервера хранения является следующее. Поскольку серверам, отличным от сервера хранения, не требуется осуществлять администрирование передач данных, быстродействие, требуемое для каждого сервера, является низким, достигая сдерживания затрат на работу сервера. Кроме того, может быть осуществлен непосредственный доступ к данным в сервере хранения. Вследствие этого, данные не проходят через серверы отличные от сервера хранения, обеспечивая возможность выполнения сложной обработки над данными.
[0007] В PTL 1, раскрывается методика для установки разрешения доступа к серверу хранения для каждого управляемого пользователем терминала. В частности, разрешенная операция и путь к файлу, для которого может быть выполнена операция, в сервере хранения устанавливаются для каждого ID управляемого пользователем терминала.
[0008] В PTL 2, раскрывается методика карты средства связи, осуществляющей доступ к серверу хранения через сервер ретрансляции. В частности, сервер ретрансляции устанавливает информацию аутентификации сервера хранения и путь директории, к которой разрешен доступ, для каждого ID терминала карты средства связи.
Список цитирования
Патентная литература
[0009] PTL 1: Выложенный Японский Патент № 2007-034386
PTL 2: Выложенный Японский Патент № 2012-079267
Сущность изобретения
Техническая задача
[0010] Как описано выше, использование сервера хранения имеет много преимуществ. Тем не менее, сервер хранения может хранить персональную информацию пользователя и частную информацию. Вследствие этого, необходимо в достаточной мере накладывать на клиента ограничение доступа к серверу хранения.
[0011] Тем не менее, методика, раскрываемая в PTL 1, устанавливает предварительное условие, на котором осуществляется управление всей системой, посредством использования одного права доступа. Вследствие этого, устанавливается определенное разрешение доступа для сервера хранения для терминалов.
[0012] В PTL 2, раскрывается ассоциация, которая устанавливается между информацией аутентификации пользователя терминала для web-сервера и что для сервера хранения. Сходно с PTL 1, устанавливается определенное разрешение доступа для сервера хранения.
[0013] В известном уровне техники, система с несколькими серверами, включая сервер хранения, не в состоянии устанавливать адекватное право доступа к серверу хранения для клиента. Вследствие этого, для клиента может быть установлено чрезмерное разрешение доступа, которое приводит к неспособности обеспечения адекватной защиты данных, хранящихся на сервере хранения.
[0014] Настоящее изобретения было выполнено с учетом примеров известного уровня техники, которые описаны выше, и его цель состоит в установке адекватного права доступа к серверу хранения для клиента в системе с несколькими серверами, включая сервер хранения.
Решение задачи
[0015] Для достижения описанной выше цели, настоящее изобретение предоставляет устройство обработки информации, которое выполнено с возможностью осуществления связи с клиентом. Клиент осуществляет доступ к серверу хранения и первому серверу, который отличается от сервера хранения. Устройство обработки информации включает в себя средство приема, средство генерирования, и средство передачи. Средство приема принимает информацию касательно первого права доступа от клиента. Информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу. Средство генерирования генерирует информацию касательно второго права доступа на основе информации касательно первого права доступа. Информация касательно второго права доступа используется клиентом, чтобы осуществлять доступ к серверу хранения. Средство передачи передает информацию касательно второго права доступа к клиенту.
Преимущественные результаты изобретения
[0016] Настоящее изобретения обеспечивает повышение эффективности ограничения прав доступа к серверу хранения для клиента в системе с несколькими серверами, включая сервер хранения.
Краткое описание чертежей
[0017] [Фиг. 1] Фиг. 1 является схемой, иллюстрирующей конфигурацию системы обработки информации в соответствии с первым вариантом осуществления.
[Фиг. 2] Фиг. 2 является схемой, иллюстрирующей конфигурацию аппаратного обеспечения устройства обработки информации в соответствии с первым вариантом осуществления.
[Фиг. 3] Фиг. 3 является схемой, иллюстрирующей последовательность операций всей системы.
[Фиг. 4] Фиг. 4 иллюстрирует примерные таблицы администрирования, удерживаемые сервером 102 аутентификации и авторизации в соответствии с первым вариантом осуществления.
[Фиг. 5] Фиг. 5 включает в себя схемы, иллюстрирующие конкретный пример запросов получения и их ответов.
[Фиг. 6] Фиг. 6 является схемой, иллюстрирующей конфигурацию сервера, который выступает посредником права доступа.
[Фиг. 7] Фиг. 7 является схемой, иллюстрирующей таблицу администрирования диапазона доступа к хранилищу.
[Фиг. 8] Фиг. 8 является схемой, иллюстрирующей последовательность операций запроса получения права доступа к хранилищу.
[Фиг. 9] Фиг. 9 является схемой, иллюстрирующей примерную информацию маркера авторизации.
[Фиг. 10] Фиг. 10 является схемой, иллюстрирующей последовательность операций определения диапазона доступа к хранилищу.
[Фиг. 11] Фиг. 11 является схемой, иллюстрирующей конфигурацию сервера, который выступает посредником права доступа во втором варианте осуществления.
[Фиг. 12] Фиг. 12 является схемой, иллюстрирующей таблицу администрирования права доступа к хранилищу в соответствии со вторым вариантом осуществления.
[Фиг. 13] Фиг. 13 иллюстрирует последовательность операций запроса получения права доступа к хранилищу в соответствии со вторым вариантом осуществления.
[Фиг. 14] Фиг. 14 является схемой, иллюстрирующей конфигурацию сервера, который выступает посредником права доступа в соответствии со вторым вариантом осуществления.
[Фиг. 15] Фиг. 15 иллюстрирует последовательность операций запроса изменения в установках диапазона доступа к хранилищу в соответствии с третьим вариантом осуществления.
[Фиг. 16] Фиг. 16 является схемой, иллюстрирующей примерный запрос на изменение в установке диапазона доступа к хранилищу в соответствии с третьим вариантом осуществления.
Описание вариантов осуществления
[0018] Обращаясь к приложенным чертежам, ниже будут подробно описаны варианты осуществления. Конфигурации, указываемые в вариантах осуществления, описываемых ниже, являются лишь примерами. Настоящее изобретение не ограничивается иллюстрируемыми конфигурациями.
[0019] (ПЕРВЫЙ ВАРИАНТ ОСУЩЕСТВЛЕНИЯ)
Посредством использования Фиг. 1, будет описана конфигурация системы обработки информации в соответствии с настоящим вариантом осуществления.
[0020] Система обработки информации в соответствии с настоящим вариантом осуществления включает в себя клиента 101, сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, сервер 104 выдачи права доступа к хранилищу, и сервер 105 хранения.
[0021] Клиент 101 выполнен с возможностью осуществления связи с сервером 102 аутентификации и авторизации, посредническим сервером 103 права доступа, и сервером 105 хранения через сеть 106. Сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, и сервер 104 выдачи права доступа к хранилищу выполнены с возможностью осуществления связи друг с другом через сеть 106.
[0022] Клиент 101 является устройством обработки информации, которое выполняет файловые операции, такие как выгрузку (upload) и загрузку (download) файлов, на сервер 105 хранения. Когда клиент 101 должен выполнить операцию на сервере 105 хранения, клиент 101 сначала получает маркер авторизации от сервера 102 аутентификации и авторизации. Маркер авторизации указывает право доступа или диапазон доступа для сервера, предоставляющего услугу, такого как web-сервер. Клиент 101 получает маркер авторизации, тем самым получая возможность доступа к каждому серверу. После получения маркера авторизации, клиент 101 использует посреднический сервер 103 права доступа, чтобы получить право доступа, которое соответствует маркеру авторизации, к серверу 105 хранения.
[0023] Сервер 102 аутентификации и авторизации является сервером, который удерживает данные касательно аутентификации, такие как ID и пароль, и авторизации, и который выдает описанный выше маркер авторизации клиенту 101. В настоящем варианте осуществления, предполагается, что сервер 102 аутентификации и авторизации соответствует протоколу авторизации у OAuth 2.0. Тем не менее, сервер 102 аутентификации и авторизации может соответствовать другому протоколу авторизации, такому как OpenID Connect. Сервер 102 аутентификации и авторизации также включает в себя функцию предоставления информации соответствия маркера авторизации для описанного выше web-сервера. Информация соответствия маркера авторизации является информацией, указывающей срок действия маркера авторизации и область действия разрешения маркера авторизации. Чтобы проверить действительность маркера авторизации, удерживаемого клиентом 101, web-сервер может получить информацию соответствия маркера авторизации от сервера 102 аутентификации и авторизации.
[0024] Посреднический сервер 103 права доступа является сервером, который получает право доступа и диапазон доступа для сервера 105 хранения от сервера 104 выдачи права доступа к хранилищу на основе выданного маркера авторизации. Посреднический сервер 103 права доступа удерживает информацию, указывающую зависимость соответствия между маркером авторизации, выданным сервером 102 аутентификации и авторизации, и правом доступа к серверу 105 хранения.
[0025] Сервер 104 выдачи права доступа к хранилищу является сервером администрирования, который выдает и осуществляет администрирование права доступа и диапазона доступа (права доступа к хранилищу) для сервера 105 хранения. Право доступа к хранилищу выдается на основании запроса получения, переданного от посреднического сервера 103 права доступа. Операция, такая как чтение или запись, путь к файлу, для которого разрешена операция, и подобное устанавливаются в диапазоне доступа, который должен быть выдан.
[0026] Сервер 105 хранения является сервером, который хранит и осуществляет администрирование данных, таких как файлы. Когда право доступа к хранилищу передается от клиента 101, сервер 105 хранения верифицирует переданное право доступа к хранилищу. В результате верификации, когда право доступа к хранилищу является действительным, сервер 105 хранения разрешает доступ к сохраненному файлу в ответ на запрос от клиента 101.
[0027] В настоящем варианте осуществления, предполагается, что HTTP (Протокол Передачи Гипертекста) используется в качестве протокола связи в системе. Тем не менее, может быть использован протокол связи отличный от HTTP. Кроме того, в системе может быть использовано несколько типов протоколов связи.
[0028] На Фиг. 1, предполагается, что присутствует один клиент 101, один сервер 102 аутентификации и авторизации, один посреднический сервер 103 права доступа, и один сервер 104 выдачи права доступа к хранилищу. Тем не менее, количество устройств не обязательно должно быть равно одному. В дополнение, на Фиг. 1, сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, и сервер 104 выдачи права доступа к хранилищу являются отдельными серверами. Тем не менее, функции, включенные в эти серверы, могут быть интегрированы в оном сервере. Например, может быть использована конфигурация, в которой функции сервера 102 аутентификации и авторизации и посреднического сервера 103 права доступа включены в один и тот же сервер.
[0029] Посредством использования Фиг. 2, будет описана конфигурация аппаратного обеспечения устройства обработки информации в соответствии с настоящим вариантом осуществления. Устройство обработки информации в соответствии с настоящим вариантом осуществления является клиентом 101, сервером 102 аутентификации и авторизации, посредническим сервером 103 права доступа, сервером 104 выдачи права доступа к хранилищу, или подобным. Как иллюстрируется, устройство обработки информации предусмотрено с CPU 201 (Центральный Блок Обработки), ROM 202 (Постоянная Память), RAM 203 (Память с Произвольным Доступом), и подобным в качестве конфигурации аппаратного обеспечения. Кроме того, устройство обработки информации также предусмотрено с NET I/F 204 (Сетевой Интерфейс), устройством 205 отображения, устройством 206 ввода, шиной 207, и подобным.
[0030] CPU 201 является устройством обработки, которое управляет устройствами, соединенными с шиной 207. CPU 201 выполняет разнообразные процессы, описываемые ниже в клиенте 101, сервер 102 аутентификации и авторизации, посредническом сервер 103 права доступа, и сервере 104 выдачи права доступа к хранилищу. ROM 202 является запоминающим носителем информации, который хранит операционную систему, с помощью которой осуществляется базовое управление компьютером, рабочие программы, и подобное. RAM 203 является запоминающим устройством, которое служит в качестве рабочей памяти у CPU 201 и которое хранит сами рабочие программы и данные, необходимые для рабочих программ. CPU 201 сохраняет в RAM 201, разнообразные рабочие программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.
[0031] NET I/F 204 является интерфейсом для управления передачей информации от/к внешнему устройству, соединенному через сеть. Каждый клиент 101, сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, и сервер 104 выдачи права доступа к хранилищу принимает/передает данные через NET I/F 204. Устройство 205 отображения является устройством для отображения результата обработки CPU 201, и состоит из жидкокристаллического дисплея, дисплея на органической EL, или подобного.
[0032] Устройство 206 ввода является устройством для приема ввода от пользователя физически, и состоит из клавиатуры и мыши, или сенсорной панели. Когда используется дисплей с сенсорной панелью, устройство 205 отображения и устройство 206 ввода являются интегрированными в одном устройстве. Устройство 205 отображения и устройство 206 ввода, которые являются внешними устройствами, могут быть использованы через NET I/F 204. В данном случае, используется конфигурация, в которой устройство 205 отображения и устройство 206 ввода не включены.
[0033] Посредством использования Фиг. 3, будет описана конкретная последовательность операций, когда клиент 101 непосредственно осуществляет доступ к серверу 105 хранения в настоящем варианте осуществления. Последовательность операций на Фиг. 3 описывает выгрузку файла в качестве примерного процесса, выполняемого, когда осуществляется доступ к серверу 105 хранения. Даже когда выполняется другая операция, такая как загрузка файла, выполняется последовательность операций сходная с той, что на Фиг. 3.
[0034] (ЭТАП S301)
Этап S301 является этапом, на котором клиент 101 запрашивает сервер 102 аутентификации и авторизации, чтобы получить маркер авторизации и получает маркер авторизации от сервера 102 аутентификации и авторизации. При передаче запроса на получение, информация аутентификации передается к серверу 102 аутентификации и авторизации, который поставляет маркер авторизации в соответствии с информацией аутентификации.
[0035] Запрос на получение маркера авторизации и его ответ (маркер авторизации) имеют разный формат и разное значение в зависимости от типа процесса выдачи маркера авторизации. Фиг. 5(a) и 5(b) являются схемами, иллюстрирующими пример запроса на получение маркера авторизации и его ответа.
[0036] Фиг. 5(a) иллюстрирует примерный запрос на получение маркера авторизации, основанный на процессе выдачи маркера авторизации в OAuth 2.0 Client Credentials Grant (Предоставление Мандата Клиента). Информация аутентификации, необходимая для выдачи маркера авторизации, добавляется в заголовок Авторизации. В примере на фигуре, Базовая аутентификация используется, чтобы передавать ID клиента и секрет клиента у клиента. Область действия маркера авторизации добавляется в тело запроса. Кроме того, идентификатор типа процесса выдачи маркера авторизации добавляется в качестве grant_type в тело запроса.
[0037] На Фиг. 5(a), тип процесса выдачи маркера запроса установлен как Client Credentials Grant. Тем не менее, может быть использован другой тип, отличный от Client Credentials Grant.
[0038] Когда используется поток авторизации отличный от Client Credentials Grant, например, дополнительно требуется информация, которая именуется кодом авторизации, выдаваемым, когда пользователь одобряет выдачу.
[0039] Фиг. 5(b) иллюстрирует примерный ответ (маркер авторизации) на запрос на получение маркера авторизации на Фиг. 5(a). Данные access_token (маркер доступа), включенные в тело ответа указывают значение маркера авторизации. Данные token_type (тип маркера), указывают тип маркера авторизации, а данные expires_in (истекает в), указывают оставшееся время до того момента, когда маркер авторизации станет недействительным.
[0040] На Фиг. 5(b), единицей времени в данных expires_in является секунда. Тем не менее, может быть использована единица отличная от секунды. Ответ может включать в себя информацию атрибута отличную от той, что описана выше.
[0041] Когда должен быть выдан маркер авторизации, сервер 102 аутентификации и авторизации использует таблицы администрирования, иллюстрируемые на Фиг. 4. Как иллюстрируется, в таблице 400 администрирования авторизованного клиента на Фиг. 4(a), ID 401 клиента и секрет 402 клиента, которые являются информацией для аутентификации клиента, и область 403 действия записаны так, чтобы быть ассоциированными друг с другом. Вследствие этого, сервер 102 аутентификации и авторизации может обращаться к таблице 400 администрирования клиента с тем, чтобы проверять, является или нет действительным запрос на получение маркера авторизации. Когда информация аутентификации в запросе на получение маркера авторизации совпадает с информацией аутентификации, зарегистрированной в таблице 400 администрирования клиента, сервер 102 аутентификации и авторизации расценивает запрос получения как действительный. Сервер 102 аутентификации и авторизации получает область действия, которая заключается в области действия в запросе на получение маркера авторизации, из области 403 действия, соответствующей информации аутентификации, и генерирует маркер авторизации. Секрет 402 клиента в информации аутентификации может быть зашифрован и сохранен, не в открытом тексте. Когда информация аутентификации состоит из ID пользователя и пароля, сервер 102 аутентификации и авторизации обращается к таблице 500 администрирования пользователя, в которой ID 501 пользователя и пароль 502 записаны таким образом, чтобы быть ассоциированными друг с другом.
[0042] Таблица 400 администрирования включает в себя область 404 действия по умолчанию. Область 404 действия по умолчанию используется, когда запрос на получение маркера авторизации не включает в себя область действия. Т.е., когда область действия не включается в запрос на получение маркера авторизации, маркер авторизации генерируется посредством использования области 404 действия по умолчанию, а не посредством использования области 403 действия. Несколько фрагментов информации области действия может быть указано в области 403 действия и области 404 действия по умолчанию.
[0043] Когда сервер 102 аутентификации и авторизации генерирует маркер авторизации, информация касательно сгенерированного маркера авторизации регистрируется в таблице 600 администрирования маркера авторизации. Для каждого маркера 601 авторизации, дата 602 и время истечения, область 603 действия, и ID 604 клиента у авторизованного клиента, который выдал маркер 601 авторизации, записываются в таблицу 600 администрирования маркера авторизации. Маркер 601 авторизации, дата 602 и время истечения которого наступили, может быть удален из таблицы 600 администрирования маркера авторизации. Когда запрос на получение маркера авторизации включает в себя информацию касательно ID 605 пользователя у пользователя, ID 605 пользователя также сохраняется.
[0044] Запрос на получение маркера авторизации, который описан выше, может включать в себя как информацию аутентификации пользователя, так и информацию аутентификации авторизованного клиента. В качестве альтернативы, информация аутентификации авторизованного клиента и информация аутентификации пользователя могут быть переданы поэтапно. Например, информация аутентификации пользователя передается первой, и, только когда информация аутентификации пользователя является действительной, впоследствии может быть передана информация аутентификации авторизованного клиента.
[0045] (ЭТАП S302)
На этапе S302, клиент 101 передает маркер авторизации, полученный на этапе S301, к посредническому серверу 103 права доступа, и получает право доступа для осуществления доступа к серверу 105 хранения. Последовательность операций, выполняемая посредством посреднического сервера 103 права доступа на данном этапе будет описана ниже.
[0046] (ЭТАП S303)
На этапе S303, посреднический сервер 103 права доступа получает право доступа к серверу 105 хранения в соответствии с маркером авторизации, переданным посредством клиента 101, от сервера 104 выдачи права доступа к хранилищу.
[0047] Фиг. 5(c) и 5(d) иллюстрируют конкретный пример запроса на получение права доступа к хранилищу и его ответа. Фиг. 5(c) иллюстрирует примерный запрос на получение права доступа к хранилищу, который передается посредническим сервером 103 права доступа к серверу 104 выдачи права доступа к хранилищу. Строка, включенная в заголовок Authorization (Авторизация) является точно такой же, как та, что включена в маркер авторизации, полученный на этапе S301.
[0048] Фиг. 5(d) иллюстрирует примерный ответ на запрос получения права доступа к хранилищу на Фиг. 5(c). Право доступа к хранилищу включается в качестве данных storage_credential (мандат хранилища) в ответе. Формат права доступа к хранилищу отличается в зависимости от типа или спецификации сервера 105 хранения. Вследствие этого, атрибут, включенный в данные storage_credential должен быть изменен в соответствии с типом или спецификацией сервера 105 хранения. Например, когда право доступа к серверу 105 хранения устанавливается в качестве сочетания ID и пароля, то ID и пароль включаются в данные storage_credential. Как зарегистрировано в данных истечения на Фиг. 5(d), могут быть установлены дата и время истечения права доступа к хранилищу. На Фиг. 5(c) и 5(d), описанных выше, запрос на получение права доступа к хранилищу и его ответ описываются в формате json, но могут быть описаны в другом формате, таком как XML.
[0049] (ЭТАП S304)
На этапе S304, клиент 101 использует право доступа к хранилищу, полученное на этапе S202, чтобы осуществлять доступ к серверу 105 хранения, и выполнять разнообразные файловые операции. Право доступа включает в себя информацию касательно пути файла, в отношении которого разрешен доступ в хранилище сервера 105 хранения. В примере на Фиг. 3, файл выгружается. Когда выгрузка выполняется успешно, ответ, указывающий на то, что выгрузка была выполнена успешно, передается от сервера 105 хранения клиенту 101.
[0050] Посредством использования Фиг. 6, будет описана примерная конфигурация функций посреднического сервера 103 права доступа в соответствии с настоящим вариантом осуществления. Как описано выше, посреднический сервер 103 права доступа передает запрос на получение права доступа к хранилищу серверу 104 выдачи права доступа к хранилищу, и передает его ответ клиенту 101.
[0051] Блок 1101 администрирования права доступа к хранилищу использует блок 1102 получения права доступа к хранилищу, чтобы получать право доступа к хранилищу от сервера 104 выдачи права доступа к хранилищу, на основании маркера авторизации, переданного от клиента 101. Блок 1101 администрирования права доступа к хранилищу, передает право доступа к хранилищу, полученное от сервера 104 выдачи права доступа к хранилищу, к клиенту 101. Блок 1101 администрирования права доступа к хранилищу получает информацию касательно принятого маркера авторизации посредством использования блока 1103 получения информации маркера авторизации. Блок 1101 администрирования права доступа к хранилищу использует блок 1104 определения диапазона доступа к хранилищу, чтобы определять диапазон разрешения права доступа к хранилищу, которое должно быть выдано.
[0052] Блок 1106 хранения диапазона доступа к хранилищу хранит информацию установки диапазона доступа к хранилищу. Фиг. 7 иллюстрирует таблицу 1200 администрирования диапазона доступа к хранилищу в соответствии с настоящим вариантом осуществления.
[0053] Таблица 1200 администрирования диапазона доступа к хранилищу хранится в блоке 1106 хранения диапазона доступа к хранилищу, и используется, чтобы осуществлять администрирование прав доступа к хранилищу. Как иллюстрируется на фигуре, таблица 1200 администрирования диапазона доступа к хранилищу описывает диапазон разрешения хранения, который соответствует области действия в маркере авторизации. Таблица 1200 администрирования диапазона доступа к хранилищу имеет область 1202 действия ассоциированную с ID 1201 клиента, соответствующим маркеру авторизации. В качестве диапазона доступа к серверу 105 хранения, который соответствует области 1202 действия, ассоциируются операция 1203 и путь 1204 к файлу. Операция 1203 указывает операции для сервера 105 хранения. Имя операции определяется посредством сервера 105 хранения. Например, предполагается что READ (чтение) указывает чтение с сервера 105 хранения, и что WRITE (запись) указывает запись на сервер 105 хранения. Администрирование ассоциация между строкой, которая устанавливается для операции 1203, и операцией для сервера 105 хранения может осуществляться раздельно, и операция 1203 может использовать исходную строку, определенную посредническим сервером 103 права доступа.
[0054] В пути 1204 к файлу, записывается путь к файлу сервера 105 хранения, к которому разрешается доступ. Имя директории и файла сервера 105 хранения могут быть установлены в пути 1204 к файлу. Кроме того, в пути 1204 к файлу, два типа переменных могут быть использованы в качестве значений установки. Один из двух типов переменных указывает информацию, ассоциированную с маркером авторизации, и выражается в формате ${token.attribute_name}. Другой из двух типов переменных указывает информацию, которая может быть указана из любой информации, включенной в запрос на выдачу права доступа к хранилищу, и выражается в формате ${param.parameter_name}. Посредством использования двух типов переменных, путь в сервере 105 хранения может быть установлен посредством использования сочетания информации касательно маркера авторизации, выданного сервером 102 аутентификации и авторизации, и информации, которая может быть установлена, используя любую информацию, полученную в получении права доступа к хранилищу. Например, информация, ассоциированная с маркером авторизации, может быть указана в верхнем фрагменте пути 1204 к файлу, а информация, которая может быть указана из любой информации, включенной в запрос на выдачу права доступа к хранилищу, может быть указана в нижнем фрагменте. В данном способе спецификации, верхний путь сервера 105 хранения, в отношении которого разрешается доступ, определяется на основе информации, администрирование которой осуществляется сервером 102 аутентификации и авторизации. Вследствие этого, пути, доступ к которым осуществляется клиентом, который получает право доступа к хранилищу, могут быть ограничены. Таким образом, возникает ситуация, при которой клиент осуществляет доступ только к путям по конкретному пути. Вследствие этого, право доступа к серверу 105 хранения может быть ограничено минимальным необходимым правом. Кроме того, любое значение, которое может быть указано в подаче запроса, устанавливается в нижний фрагмент пути сервера 105 хранения, обеспечивая тонкое управление путем в соответствии с процессом над конкретной папкой.
[0055] В области 1202 действия, операции 1203, и пути 1204 к файлу, могут быть указаны несколько значений. Форматы двух типов переменных являются лишь примерами. Любой формат может быть использован при условии, что переменные отличаются друг от друга. Таблица 1200 администрирования диапазона доступа к хранилищу имеет срок 1205 действия права доступа к хранилищу. Срок 1205 действия является данными, в которых в секундах выражается период, в течение которого право доступа к хранилищу является действительным, начиная с момента времени, когда выдается право доступа к хранилищу. Срок 1205 действия может быть указан посредством использования единицы отличной от секунды, или может быть указан посредством использования конкретной даты, а не посредством использования периода. Дополнительно может быть указан IP-адрес клиента 101, которому разрешено использовать право доступа к хранилищу. IP-адрес может быть указан посредством формата CIDR (Бесклассовая Меж-доменная Маршрутизация), включая информацию подсети.
[0056] Таблица 1200 администрирования диапазона доступа к хранилищу с ID 1201 клиента может отдельно осуществлять администрирование информации установки для каждого авторизованного клиента. Таким образом, разрешения для сервера 105 хранения, которые отличаются друг от друга, несмотря на то, что значения области 1202 действия являются одинаковыми, могут быть установлен для каждого авторизованного клиента.
[0057] Блок 1107 связи принимает запрос на выдачу права доступа к хранилищу через сеть 106 от клиента 101. Когда принимается запрос на выдачу права доступа к хранилищу, блок 1107 связи уведомляет блок 1101 администрирования права доступа к хранилищу. Блок 1107 связи передает ответ на принятый запрос на выдачу права доступа к хранилищу клиенту 101. Блок 1107 связи используется, чтобы осуществлять доступ к серверу 102 аутентификации и авторизации и серверу 104 выдачи права доступа к хранилищу.
[0058] Посредством использования Фиг. 8, будет описана последовательность операций, выполняемая блоком 1101 администрирования права доступа к хранилищу, когда принимается запрос на получение права доступа к хранилищу. Ряд процессов на Фиг. 8 являются процессами, которые выполняются после того, как запрос на получение права доступа к хранилищу передается от клиента 101 на этапе S302 на Фиг. 3. Этапы выполняются посредством функций, иллюстрируемых на Фиг. 6. Фактически, этапы достигаются таким образом, что CPU 201 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.
[0059] Этап S1301 является этапом, на котором блок 1101 администрирования права доступа к хранилищу принимает запрос на получение права доступа к хранилищу, который передается от блока 1107 связи. Запрос на получение права доступа к хранилищу включает в себя маркер авторизации, выданный сервером 102 аутентификации и авторизации. Пример запроса на получение права доступа к хранилищу иллюстрируется на Фиг. 5(c), как описано выше.
[0060] Этап S1302 является этапом, на котором блок 1103 получения информации маркера авторизации получает информацию касательно маркера авторизации, включенного в запрос на получение права доступа к хранилищу. Блок 1103 получения информации маркера авторизации передает запрос на получение информации маркера авторизации к серверу 102 аутентификации и авторизации, и получает информацию маркера авторизации в качестве ответа на запрос. Информация маркера авторизации включает в себя срок действия маркера авторизации и диапазон разрешения маркера авторизации. Информация маркера авторизации включает в себя ID клиента у авторизованного клиента, для которого был выдан маркер авторизации, и ID пользователя у пользователя, который имеет разрешенную выдачу маркера авторизации. Запрос на получение информации маркера авторизации включает в себя, по меньшей мере, значение маркера авторизации.
[0061] Когда сервер 102 аутентификации и авторизации принимает запрос на получение информации маркера авторизации, сервер 102 аутентификации и авторизации обращается к таблице 600 администрирования маркера авторизации, чтобы проверить, присутствует или нет маркер авторизации, включенный в запрос на получение информации маркера авторизации. Когда целевой маркер авторизации не присутствует в таблице 600 администрирования маркера авторизации, сервер 102 аутентификации и авторизации передает ответ, указывающий на то, что маркер авторизации не присутствует. Даже в случае, когда целевой маркер авторизации присутствует в таблице 600 администрирования маркера авторизации, когда дата 602 и время истечения маркера авторизации подошли, сервер 102 аутентификации и авторизации передает ответ, указывающий на то, что дата и время истечения подошли. В случае, когда целевой маркер авторизации присутствует в таблице 600 администрирования маркера авторизации и когда дата 602 и время истечения не подошли, сервер 102 аутентификации и авторизации передает информацию касательно маркера 601 авторизации, сохраненного в таблице 600 администрирования маркера авторизации. Фиг. 9 иллюстрирует примерную информацию маркера авторизации, предоставляемую посредством сервера 102 аутентификации и авторизации. В случае, где посреднический сервер 103 права доступа имеет функцию проверки даты и времени истечения маркера авторизации, даже когда дата 601 и время истечения маркера авторизации подошли, сервер 102 аутентификации и авторизации может передавать информацию касательно маркера 601 авторизации.
[0062] Этап S1303 является этапом, на котором определяется, является или нет действительным маркер авторизации, принятый блоком 1101 администрирования права доступа к хранилищу. Если блок 1103 получения информации маркера авторизации нормально получает информацию маркера авторизации от сервера 102 аутентификации и авторизации, определяется, что маркер авторизации является действительным. Если информация маркера авторизации нормально не получается, определяется, что маркер авторизации является недействительным. Случай, при котором информация маркера авторизации не получается нормально является случаем, при котором дата и время истечения маркера авторизации подошли, или случаем, при котором был передан маркер авторизации, который не зарегистрирован, в таблице 600 администрирования маркера авторизации.
[0063] Этап S1304 является этапом, на котором процесс ветвится на основе определения того, является или нет действительным маркер авторизации. Если на этапе S1303 определяется, что маркер авторизации является действительным, процесс переходит к этапу S1305. Если определяется, что маркер авторизации является недействительным, процесс переходит к этапу S1310.
[0064] Этап S1305 является этапом, на котором блок 1104 определения диапазона доступа к хранилищу определяет диапазон разрешения права доступа к хранилищу, которое должно быть выдано. Подробности процесса на данном этапе будут описаны ниже.
[0065] Этап S1306 является этапом, на котором блок 1104 определения диапазона доступа к хранилищу определяет, является или нет действительным диапазон разрешения права доступа к хранилищу, который определяется на этапе S1305. Определение, является или нет действительным диапазон разрешения права доступа к хранилищу, выполняется на основании политики диапазона разрешения. Примером политики диапазона разрешения является политика, при которой определяется, что право доступа к хранилищу является недействительным, когда право доступа к хранилищу заключает право доступа к конкретному пути к файлу. Другим является политика, при которой определяется, что право доступа к хранилищу является недействительным, когда переменные, определенные в пути 1204 к файлу в таблице 1200 администрирования диапазона доступа к хранилищу, не были преобразованы. Применение политики диапазона разрешения может быть выполнено для всего посреднического сервера 103 права доступа, или то, должна или нет быть применена политика диапазона разрешения, может быть определено для каждого ID 1201 клиента в таблице 1200 администрирования диапазона доступа к хранилищу. Установка для блока 1104 определения диапазона доступа к хранилищу может быть использована, чтобы переключать режим определения в отношении того, выполняется или нет определение в зависимости от того, является или нет действительным диапазон разрешения права доступа к хранилищу.
[0066] На данном этапе, если определяется, что право доступа к хранилищу, данное блоком 1104 определения диапазона доступа к хранилищу, является действительным, процесс переходит к этапу S1307. Если определяется, что право доступа к хранилищу, данное блоком 1194 определения диапазона доступа к хранилищу, является недействительным, процесс переходит к этапу S1310, описанному выше.
[0067] Этап S1307 является этапом, на котором блок 1102 получения права доступа к хранилищу получает право доступа к хранилищу от сервера 104 выдачи права доступа к хранилищу. Блок 1102 получения права доступа к хранилищу получает право доступа к хранилищу посредством использования функции выдачи права доступа к хранилищу, которая предоставляется для сервера 104 выдачи права доступа к хранилищу. Блок получения права доступа к хранилищу уведомляет блок 1101 администрирования права доступа к хранилищу результатом получения права доступа к хранилищу.
[0068] Этап S1308 является этапом, на котором определяется, является или нет право доступа к хранилищу полученным нормально. Если право доступа к хранилищу является полученным нормально, процесс переходит к этапу S1309. Если право доступа к хранилищу является полученным не нормально, процесс переходит к этапу S1310, описанному выше.
[0069] Этап S1309 является этапом, на котором блок 1101 администрирования права доступа к хранилищу передает право доступа к хранилищу, полученное на этапе S1307, клиенту 101.
[0070] Этап S1310 является этапом, на котором блок 1101 администрирования права доступа к хранилищу передает ответ ошибки клиенту 101. Ответ ошибки, передаваемый на данном этапе, может включать в себя причину ошибки в том, что маркер авторизации является недействительным. Ответ ошибки может включать в себя причину ошибки в том, что диапазон разрешения права доступа к хранилищу является недействительным, или причину ошибки в том, что право доступа к хранилищу не получено от сервера 104 выдачи права доступа к хранилищу. После процесса на этапе S1309 или этапе S1310, процесс в потоке заканчивается.
[0071] Посредством использования Фиг. 10, будет описана последовательность операций определения права доступа к хранилищу, которая выполняется на этапе S1305, описанном выше. Фактически, этапы достигаются таким образом, что CPU 301 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.
[0072] Этап S1501 является этапом, на котором информация касательно права доступа к хранилищу получается из таблицы 1200 администрирования диапазона доступа к хранилищу. На данном этапе, на основании ID клиента и области действия, включенных в информацию маркера авторизации, полученную на этапе S1302, получается соответствующая операция 1203, соответствующий путь 1204 к файлу, и соответствующий срок 1205 действия. При получении, обращаются к таблице 1200 администрирования диапазона доступа к хранилищу.
[0073] Среди фрагментов информации области действия, включенной в маркер авторизации, какая область действия является областью действия, для которой должно быть получено право доступа к хранилищу, может быть указано в запросе на получение права доступа к хранилищу, который передается от клиента 101. В данном случае, среди фрагментов информации области действия, включенной в маркер авторизации, область действия, указанная в запросе на получение права доступа к хранилищу, может быть использована на данном этапе, чтобы получать информацию касательно права доступа к хранилищу из таблицы 1200 администрирования диапазона доступа к хранилищу.
[0074] Этап S1502 является этапом, на котором определяется, присутствуют или нет соответствующий ID 401 клиента и соответствующая область 403 действия в таблице 1200 администрирования диапазона доступа к хранилищу. Если определяется, что соответствующий ID 401 клиента и соответствующая область 403 действия присутствуют, процесс переходит к этапу S1503. Если определяется, что соответствующий ID 401 клиента и соответствующая область 403 действия не присутствуют, процесс переходит к этапу S1506.
[0075] Этап S1503 является этапом, на котором определяется, включены или нет переменные в путь 1204 к файлу, полученный на этапе S1501. Если переменные включены в путь 1204 к файлу, полученный на этапе S1501, процесс переходит к этапу S1504. Если переменные не включены, процесс переходит к этапу S1505.
[0076] Этап S1504 является этапом, на котором переменные замещаются на основании информации маркера авторизации, полученной на этапе S1302. На данном этапе, информация маркера авторизации, соответствующая переменным, включенным в путь 1204 к файлу, используется, чтобы замещать переменные. Будет описан пример в случае, где ID 1201 клиента является Client001 и область 1202 действия является выгрузкой на Фиг. 7, и где получается информация маркера авторизации на Фиг. 9. В данном случае, ${token.client_id}, включенная в путь 1204 к файлу, замещается client001. Это происходит потому, что client001 включено в качестве данных client_id в информацию маркера авторизации на Фиг. 9. Сходным образом, на основании значений, включенных в запрос на получение права доступа к хранилищу, ${param.time} в пути 1204 к файлу замещается 20140930. В дополнение, ${param.name} замещается image001.jpg. Вследствие этого, путь 1204 к файлу, полученный через замещение, соответствует /client001/20140930/image001.jpg.
[0077] Этап S1505 является этапом, на котором определяется дата и время истечения права доступа к хранилищу. На данном этапе, на основании срока 1205 действия, полученного на этапе S1501, дата и время, когда срок 1205 действия истекает от текущего времени, используются в качестве даты и времени истечения права доступа к хранилищу.
[0078] Этап S1506 является этапом, на котором ответ ошибки передается клиенту 101. Ответ ошибки, передаваемый на этапе S1506, может включать в себя причину ошибки в том, что соответствующий ID 401 клиента и соответствующая область 403 действия не присутствуют в таблице 1200 администрирования диапазона доступа к хранилищу. Предполагается, что причина ошибки передается на данном этапе. В качестве альтернативы, установка по умолчанию, которая используется, когда необходимая установка не присутствует, может быть зарегистрирована в таблице 1200 администрирования диапазона доступа к хранилищу. Установка по умолчанию может быть использована в качестве права доступа к хранилищу. После процесса на этапе S1505 или этапе S1506, весь процесс заканчивается.
[0079] Как описано выше, посреднический сервер 103 права доступа в соответствии с настоящим вариантом осуществления может выступать посредником права доступа к серверу 105 хранения на основании маркера авторизации, выданного сервером 102 аутентификации и авторизации. Через посредничество, сервер 102 аутентификации и авторизации способен управлять диапазоном разрешения права доступа к серверу 105 хранения, выдавать адекватное право доступа к серверу 105 хранения. Кроме того, можно выдавать право доступа к серверу 105 хранения в соответствии с процессом, который должен быть выполнен клиентом 101. Вследствие этого, клиенту 101 предоставляются минимальное необходимое право доступа, и можно избежать предоставления чрезмерного разрешения.
[0080] (ВТОРОЙ ВАРИАНТ ОСУЩЕСТВЛЕНИЯ)
В первом варианте осуществления, указывается пример, в котором посреднический сервер 103 права доступа получает право доступа к хранилищу всякий раз, когда посреднический сервер 103 права доступа принимает запрос на получение права доступа к хранилищу. В настоящем варианте осуществления, посреднический сервер права доступа временно кэширует право доступа к хранилищу. Настоящий вариант осуществления имеет конфигурацию сходную с той, что у первого варианта осуществления. Отличие между настоящим вариантом осуществления и первым вариантом осуществления будет описано ниже.
[0081] Фиг. 11 иллюстрирует примерную конфигурацию функций посреднического сервера 103 права доступа в соответствии с настоящим вариантом осуществления. Посреднический сервер 103 права доступа в соответствии с настоящим вариантом осуществления включает в себя блок 1601 хранения права доступа к хранилищу, и временно хранит право доступа к хранилищу, полученное от сервера 104 выдачи права доступа к хранилищу. Блок 1601 хранения права доступа к хранилищу имеет таблицу 1700 администрирования права доступа к хранилищу, иллюстрируемую на Фиг. 12, и хранит право доступа к хранилищу для каждого набора данных, который состоит из авторизованного клиента и области действия, и который используется для полученного права доступа к хранилищу.
[0082] Как иллюстрируется, таблица 1700 администрирования права доступа к хранилищу является таблицей для администрирования полученных прав доступа к хранилищу. Таблица 1700 администрирования права доступа к хранилищу имеет область 1702 действия, ассоциированную с ID 1701 клиента, соответствующим маркеру авторизации. В качестве диапазона доступа сервера 105 хранения, который соответствует области 1702 действия, ассоциированы операция 1703 и путь 1704 к файлу. Кроме того, ассоциированы право 1705 доступа к хранилищу и дата 1705 и время истечения для права 1706 доступа к хранилищу. Дата 1705 и время истечения указывают дату и время, когда право 1706 доступа к хранилищу становится недействительным. Право 1705 доступа к хранилищу может быть зашифровано и сохранено, не в открытом тексте. Дата 1705 и время истечения могут быть сохранены посредством использования даты и времени во временной зоне, используемой посредническим сервером 103 права доступа или клиентом 101.
[0083] Посредством использования Фиг. 13, будет описана последовательность операций, выполняемая посредством блока 1101 администрирования права доступа к хранилищу, когда принимается запрос на получение права доступа к хранилищу. Процессы на Фиг. 13 большей частью точно такие же, как те, что на Фиг. 8 в соответствии с первым вариантом осуществления. Будут описаны только отличия.
[0084] Фактически, этапы достигаются таким образом, что CPU 201 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.
[0085] Этап S1801 является этапом, на котором запрос касательно того, было или нет уже получено право доступа к хранилищу, соответствующее праву доступа к хранилищу, которое должно быть получено, передается блоку 1601 хранения права доступа к хранилищу. Когда передается запрос, блок 1601 хранения права доступа к хранилищу проверяет следующий пункт. Т.е., блок 1601 хранения права доступа к хранилищу проверяет, присутствует или нет право доступа к хранилищу с ID клиента, областью действия, операцией, и путем к файлу, которые совпадают с теми, что у авторизованного клиента права доступа к хранилищу, которое должно быть получено, в таблице 1700 администрирования права доступа к хранилищу. Если такое право доступа присутствует, блок 1601 хранения права доступа к хранилищу проверяет дату и время истечения. Если право доступа к хранилищу не истекло, право доступа к хранилищу расценивается как полученное, и значение права доступа к хранилищу возвращается блоку получения права доступа к хранилищу. Даже в случае, когда право доступа к хранилищу не истекло, только когда определенный период или более остается до того, как настает истечение даты и времени, может быть определено, что право доступа к хранилищу было получено. После описанного выше процесса, если право доступа к хранилищу было получено, процесс переходит к этапу S1309. Если право доступа к хранилищу не было получено, процесс переходит к этапу S1307.
[0086] Этап S1802 является этапом, на котором блок 1601 хранения права доступа к хранилищу сохраняет полученное право доступа к хранилищу. Полученное право доступа к хранилищу записывается как кэш в таблицу 1700 администрирования права доступа к хранилищу. Когда передается запрос на получение точно такого же права доступа к хранилищу, право доступа к хранилищу может быть получено посредством обращения к таблице 1700 администрирования права доступа к хранилищу.
[0087] Как описано выше, посредническому серверу права доступа в соответствии с настоящим вариантом осуществления не требуется всякий раз получать право доступа к хранилищу от сервера 104 выдачи права доступа к хранилищу. Следовательно, уменьшается время выполнения процесса на Фиг. 13, позволяя быстро возвращать клиенту ответ на запрос на получение права доступа к хранилищу.
[0088] (ТРЕТИЙ ВАРИАНТ ОСУЩЕСТВЛЕНИЯ)
Настоящий вариант осуществления описывает процесс, выполняемый, когда посреднический сервер 103 права доступа принимает запрос на изменение в диапазоне доступа к хранилищу.
[0089] Фиг. 14 иллюстрирует примерную функциональную конфигурацию посреднического сервера 103 права доступа в соответствии с настоящим вариантом осуществления. Посреднический сервер 103 права доступа в соответствии с настоящим вариантом осуществления включает в себя блок 1401 администрирования диапазона доступа к хранилищу. Блок 1401 администрирования диапазона доступа к хранилищу добавляет, удаляет, и меняет информацию, хранящуюся в информации 1106 установки диапазона доступа к хранилищу. Блок 1107 связи принимает запрос на изменение в диапазоне доступа к хранилищу, и уведомляет блок 1401 администрирования диапазона доступа к хранилищу о принятом запросе на изменение в диапазоне доступа к хранилищу. Блок 1401 администрирования диапазона доступа к хранилищу меняет информацию, хранящуюся в таблице 1200 администрирования диапазона доступа к хранилищу на основании запроса на изменение в диапазоне доступа к хранилищу.
[0090] Фиг. 15 иллюстрирует последовательность операций, выполняемую посредством блока 1401 администрирования диапазона доступа к хранилищу, когда принимается запрос на изменение в диапазоне доступа к хранилищу, в соответствии с настоящим вариантом осуществления.
[0091] Фактически, этапы достигаются таким образом, что CPU 201 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.
[0092] Этап S1901 является этапом, на котором принимается запрос на изменение в диапазоне доступа к хранилищу, который передается от блока 1107 связи. Запрос на изменение в диапазоне доступа к хранилищу включает в себя маркер авторизации, выданный сервером 102 аутентификации и авторизации, и информацию касательно изменения в диапазоне доступа к хранилищу.
[0093] Фиг. 16 иллюстрирует примерный запрос на изменение в диапазоне доступа к хранилищу в случае, когда должен быть модифицирован диапазон доступа к хранилищу. Запрос на изменение в диапазоне доступа к хранилищу имеет атрибуты, соответствующие информации, хранящейся в таблице 1200 администрирования диапазона доступа к хранилищу. Запрос на изменение в диапазоне доступа к хранилищу может включать в себя все элементы, хранящиеся в таблице 1200 администрирования диапазона доступа к хранилищу, или может включать в себя только атрибуты, которые необходимо изменить.
[0094] Этап S1902 является этапом, на котором получается информация касательно маркера авторизации, включенного в запрос на изменение в диапазоне доступа к хранилищу. Блок 1103 получения информации маркера авторизации передает запрос на получение информации маркера авторизации, к серверу 102 аутентификации и авторизации, и получает информацию маркера авторизации. Запрос на получение информации маркера авторизации включает в себя значение маркера авторизации.
[0095] Этап S1903 является этапом, на котором верифицируется является или нет действительным маркер авторизации, полученный на этапе S1902. Посредством использования результата верификации, на этапе S1904, определяется, является или нет действительным маркер авторизации. Если информация маркера авторизации является не нормально полученной на этапе S1902, определяется, что маркер авторизации является недействительным. Если информация маркера авторизации является нормально полученной, проверяется, совпадает ли ID клиента и область действия авторизованного клиента, включенные в информацию маркера авторизации, с теми, что включены в запрос на изменение в диапазоне доступа к хранилищу. Если сравнение выполняется успешно, определяется, что маркер авторизации является действительным. Если определяется, что маркер авторизации является действительным, процесс переходит к этапу S1905. Если сравнение не выполняется успешно, можно считать, что предпринимается попытка изменения установок авторизованного клиента отличного от авторизованного клиента, который передал запрос на изменение в диапазоне доступа к хранилищу. Вследствие этого, определяется, что маркер авторизации является недействительным. Если определяется, что маркер авторизации является недействительным, процесс переходит к этапу S1906.
[0096] Этап S1905 является этапом, на котором информация касательно принятого запроса на изменение в диапазоне доступа к хранилищу используется, чтобы менять информацию для соответствующего авторизованного клиента и соответствующей области действия в таблице 1200 администрирования диапазона доступа к хранилищу. На этапе S1906, ответ ошибки возвращается клиенту 101. После процесса на этапе S1905 или этапе S1906, весь процесс заканчивается.
[0097] В процессе на Фиг. 15, иллюстрируется пример изменения существующих установок. В дополнение, установка может быть удалена или может быть создана новая установка. Когда установка должна быть удалена, например, глагольная часть в HTTP на Фиг. 16 может быть изменена на DELETE (Удалить). Когда создается новая установка, глагольная часть в HTTP может быть изменена на POST.
Запрос на изменение в диапазоне доступа к хранилищу включает в себя маркер авторизации. Вместо этого, может быть передана информация, указывающая результат аутентификации, используя ID пользователя и пароль. Кроме того, разрешение на изменение диапазона доступа к хранилищу может быть дано только конкретной группе пользователей, к которой принадлежит пользователь.
[0098] Как описано выше, посреднический сервер права доступа в соответствии с настоящим вариантом осуществления позволяет пользователю менять информацию установки диапазона доступа к хранилищу, администрирование которой осуществляется посредством таблицы 1200 администрирования диапазона доступа к хранилищу. Таким образом, установки для права доступа к серверу 105 хранения могут быть изменены при необходимости. Вследствие этого, администрирование права доступа к серверу 105 хранения может быть осуществлено в соответствующем диапазоне.
[0099] Когда должна быть изменена установка в таблице 1200 администрирования диапазона доступа к хранилищу, проверяется, разрешено ли пользователю менять установку в таблице 1200 администрирования диапазона доступа к хранилищу. Вследствие этого, недействительному пользователю сложно подделать установку в таблице 1200 администрирования диапазона доступа к хранилищу.
[0100] (ДРУГИЕ ВАРИАНТЫ ОСУЩЕСТВЛЕНИЯ)
Настоящее изобретение может быть достигнуто посредством процесса, при котором программа, достигающая одну или более функции описанных выше вариантов осуществления, подается системе или устройству через сеть или запоминающий носитель информации и при котором один или более процессоры в компьютере системы или устройства считывает и исполняет программу. В дополнение, настоящее изобретение может быть достигнуто посредством схемы (например, ASIC), достигающей одну или более функции.
[0101] Настоящее изобретение не ограничивается описанными выше вариантами осуществления. Не отступая от сущности и объема настоящего изобретения, могут быть выполнены разнообразные изменения и модификации. Вследствие этого, чтобы проинформировать общественность об объеме настоящего изобретения, прилагается нижеследующая формула изобретения.
Список ссылочных обозначений
[0102] 1102 блок получения права доступа к хранилищу
1103 блок получения информации маркера авторизации
1104 блок определения диапазона доступа к хранилищу
1107 блок связи
Изобретение относится к обработке информации. Технический результат - повышение эффективности ограничения прав доступа к серверу хранения для клиента в системе с несколькими серверами. Устройство обработки информации, которое выполнено с возможностью осуществления связи с клиентом, причем клиентом, осуществляющим доступ к серверу хранения и первому серверу, который отличается от сервера хранения, при этом устройство обработки информации содержит средство приема для приема информации касательно первого права доступа от клиента, средство генерирования для генерирования информации касательно второго права доступа на основе информации касательно первого права доступа, причем информация касательно второго права доступа используется клиентом, чтобы осуществлять доступ к серверу хранения, при этом информация касательно второго права доступа включает в себя информацию касательно пути к файлу, подлежащему доступу в сервере хранения, и управление которым клиент может выполнять для сервера хранения, и средство передачи для передачи информации касательно второго права доступа к клиенту. 4 н. и 5 з.п. ф-лы, 16 ил.
1. Устройство обработки информации, которое выполнено с возможностью осуществления связи с клиентом, причем клиентом, осуществляющим доступ к серверу хранения и первому серверу, который отличается от сервера хранения, при этом устройство обработки информации, содержащее:
средство приема для приема информации касательно первого права доступа от клиента, причем информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу;
средство генерирования для генерирования информации касательно второго права доступа на основе информации касательно первого права доступа, причем информация касательно второго права доступа используется клиентом, чтобы осуществлять доступ к серверу хранения, при этом информация касательно второго права доступа включает в себя информацию касательно пути к файлу, подлежащему доступу в сервере хранения, и управление которым клиент может выполнять для сервера хранения; и
средство передачи для передачи информации касательно второго права доступа к клиенту.
2. Устройство обработки информации по п. 1,
в котором информация касательно первого права доступа включает в себя информацию, указывающую ID клиента у клиента и срок действия права доступа.
3. Устройство обработки информации по п. 1,
в котором информация касательно второго права доступа включает в себя информацию касательно пути к файлу, к которому разрешен доступ в хранилище сервера хранения.
4. Устройство обработки информации по п. 1,
в котором средство генерирования передает запрос, основанный на информации касательно первого права доступа, к серверу администрирования, который осуществляет администрирование права доступа к серверу хранения, и генерирует информацию касательно второго права доступа на основании ответа на запрос.
5. Устройство обработки информации по п. 1, дополнительно содержащее:
средство удержания для удержания информации соответствия между информацией касательно первого права доступа и информацией касательно второго права доступа,
при этом средство генерирования обращается к информации соответствия с тем, чтобы сгенерировать информацию касательно второго права доступа.
6. Устройство обработки информации по п. 1, дополнительно содержащее:
второе средство приема для приема запроса изменения на изменение информации касательно второго права доступа от клиента,
при этом средство генерирования генерирует информацию касательно второго права доступа на основании запроса изменения, причем информация касательно второго права доступа используется клиентом, чтобы осуществлять доступ к серверу хранения.
7. Система обработки информации, содержащая:
сервер хранения;
первый сервер, отличный от сервера хранения;
клиента, который осуществляет доступ к серверу хранения и первому серверу; и
устройство обработки информации, которое выполнено с возможностью осуществления связи с клиентом,
при этом устройство обработки информации включает в себя
средство приема для приема информации касательно первого права доступа от клиента, причем информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу;
средство генерирования для генерирования информации касательно второго права доступа на основе информации касательно первого права доступа, причем информация касательно второго права доступа используется клиентом, чтобы осуществлять доступ к серверу хранения, при этом информация касательно второго права доступа включает в себя информацию касательно пути к файлу, подлежащему доступу в сервере хранения, и управление которым клиент может выполнять для сервера хранения; и
средство передачи для передачи информации касательно второго права доступа к клиенту.
8. Способ управления для устройства обработки информации, которое выполнено с возможностью осуществления связи с клиентом, причем клиентом, осуществляющим доступ к серверу хранения и первому серверу, отличному от сервера хранения, при этом способ, содержащий этапы, на которых:
посредством использования средства приема, принимают информацию касательно первого права доступа от клиента, причем информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу;
посредством использования средства генерирования, генерируют информацию касательно второго права доступа на основе информации касательно первого права доступа, причем информация касательно второго права доступа используется клиентом, чтобы осуществлять доступ к серверу хранения, при этом информация касательно второго права доступа включает в себя информацию касательно пути к файлу, подлежащему доступу в сервере хранения, и управление которым клиент может выполнять для сервера хранения; и
посредством использования средства передачи, передают информацию касательно второго права доступа к клиенту.
9. Долговременный запоминающий носитель информации, который хранит компьютерную программу, которая предписывает компьютеру функционировать в качестве устройства обработки информации, которое выполнено с возможностью осуществления связи с клиентом, причем клиентом, осуществляющим доступ к серверу хранения и первому серверу, который отличается от сервера хранения, при этом устройство обработки информации содержит:
средство приема для приема информации касательно первого права доступа от клиента, причем информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу;
средство генерирования для генерирования информации касательно второго права доступа на основе информации касательно первого права доступа, причем информация касательно второго права доступа используется клиентом, чтобы осуществлять доступ к серверу хранения, при этом информация касательно второго права доступа включает в себя информацию касательно пути к файлу, подлежащему доступу в сервере хранения, и управление которым клиент может выполнять для сервера хранения; и
средство передачи для передачи информации касательно второго права доступа к клиенту.
Способ приготовления мыла | 1923 |
|
SU2004A1 |
JP 2013182302 A, 12.09.2013 | |||
Изложница с суживающимся книзу сечением и с вертикально перемещающимся днищем | 1924 |
|
SU2012A1 |
СИСТЕМА И СПОСОБ ДЛЯ ОГРАНИЧЕННОГО ДОСТУПА ПОЛЬЗОВАТЕЛЯ К СЕТЕВОМУ ДОКУМЕНТУ | 2005 |
|
RU2400811C2 |
Авторы
Даты
2019-01-29—Публикация
2014-12-09—Подача