説明

オンラインストレージシステム及びオンラインストレージを利用する利用者端末

【課題】複数の利用者端末からパブリックドメイン上のオンラインストレージをセキュア、かつ、NASライクに利用可能とする。
【解決手段】オンラインストレージシステムを、(1) パブリックドメイン上に存在する各企業のデータファイルを保存する複数のオンラインストレージであって、少なくとも一部のオンラインストレージは異なるファイル管理構造を有する複数のオンラインストレージと、(2) 複数のオンラインストレージ上に存在する各企業のデータファイルを、企業毎に一元的なファイル構造により仮想的に管理するファイル管理サービスサーバとで構成する。

【発明の詳細な説明】
【技術分野】
【0001】
本特許は、パブリックドメイン上に存在するオンラインストレージを企業が利用するための仕組みに関する。具体的には、オンラインストレージシステムを構成するファイル管理システム、ファイル認証システム及び利用者端末に関する。
【背景技術】
【0002】
近年、クラウドコンピューティングに注目が集まっている。クラウドコンピューティングの特長は、インターネットを利用する環境があれば、高価なソフトウェアやサーバを導入することなく、ユーザが利用したい時に、利用したいサービスやコンピュータリソースを利用できることである。
【0003】
しかし、「クラウド」という言葉が台頭する以前より、ASP(Application Service Provider)サービス、グリッド・コンピューティング、オンラインストレージ等の類似の概念は既に存在し、潜在的なニーズは存在していた。
【0004】
特に、オンラインストレージは、個人ユーザがファイルを一時的に保存したり、少人数でファイル共有する用途で広く普及し、現在でも多くのサービスプロバイダが存在する。その一方で、オンラインストレージは、現状において、企業による大規模な利用はされていない。オンラインストレージは、社内で作成した機密データを社外へ出すことになるため、情報漏洩の原因になりかねないとの懸念を企業サイドが有するためである。
【0005】
このため、企業では、依然として、高価なストレージ機器を導入し、その運用・保守を行い、さらに、定期的なリプレースも行っている。
【0006】
一方、ネットワークストレージの管理・拡張方法に関しては、多くの方法が考案されており、その利便性も機能も進歩している。例えば特許文献1には、企業内に複数のネットワークストレージが存在する場合に、それらのディレクトリツリーに基づいて仮想的な単一のディレクトリツリーを構成し、複数のネットワークストレージを連携させる技術が開示されている。さらに、同文献には、既存ネットワークストレージが仮想ディレクトリの機能を使用していない場合において、新規ネットワークストレージが増設されたとき、既存ネットワークストレージのディレクトリツリー構造を継承しつつ、容量の拡張が可能な仮想一元化方法を開示する。
【0007】
このように、企業は、現在も企業内にストレージを導入し、ファイル管理を行っているが、クラウドコンピューティングを利用して、企業内から出来るだけサーバを無くし、運用・保守を簡易化したいとの願望が根強く存在する。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2004−46661号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
現在のIT情勢を考慮すると、企業におけるデータの増加量は、もはや各企業が個別にストレージサーバを導入して管理できる限界に達しつつある。勿論、特許文献1のような機能を用いれば、ネットワークストレージの単純な容量の拡張は可能である。しかし、ストレージサーバを企業内に設置することが前提であるため、企業内からできるだけサーバリソースを無くし、コストを削減したというニーズには答えることができない。
【0010】
一方、オンラインストレージを単純に利用しようとした場合、企業内に設置されたストレージサーバのように複数ユーザによる透過的なファイル管理、アクセス制御、セキュリティ機能を実現する手段は提供されていない。
【課題を解決するための手段】
【0011】
そこで、一つの発明においては、パブリックドメインに存在する複数のオンラインストレージに各企業のデータファイルを保存する場合に、各企業のデータファイルを一元的なファイル構造により管理可能とするファイル管理システムを提供する。
【0012】
また、一つの発明においては、パブリックドメインに存在する複数のオンラインストレージに各企業のデータファイルを保存する場合に、利用者端末上にオンラインストレージをデータ保存領域とする仮想的な論理ボリュームを作成し、かつ、論理ボリュームへのファイルI/Oをオンラインストレージに自動的にリダイレクトするファイル制御モジュールをインストールした利用者端末を提供する。
【0013】
また、一つの発明においては、パブリックドメインに存在する複数のオンラインストレージに各企業のデータファイルを保存する場合に、特定の企業のデータファイルにアクセスして操作するユーザと利用者端末を紐付けて管理する認証システムを提供する。なお、当該認証システムにおいては、特定の企業のデータファイルにアクセスできるユーザのIDに利用者端末を紐付けるプロセスが一度だけ与えられるようにする。
【発明の効果】
【0014】
一つの発明によれば、パブリックドメインに存在する複数のオンラインストレージ上においても、各企業のデータファイルを各企業の複数のユーザが透過的に管理することが可能となる。この結果、企業内にNAS(Network Attached Storage)サーバを設置することなく、かつ、NASサーバを企業内に設置したのと同等の作業性を、パブリックドメイン上のオンラインストレージ上で実現できる。
【0015】
また、一つの発明によれば、ユーザは、オンラインストレージを意識することなく、NASやローカルディスクを利用している感覚でオンラインストレージを利用することが可能となる。
【0016】
また、一つの発明によれば、パブリックドメイン上に存在するオンラインストレージを利用できるユーザと利用者端末を紐付けることにより、不正な利用者端末からオンラインストレージへ直接のアクセスを禁止することができる。
【0017】
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【0018】
【図1】本発明の実施形態に係るオンラインシステムの概念構成を示す図。
【図2】端末管理テーブルのデータ構造を説明する図。
【図3】利用者管理テーブルのデータ構造を説明する図。
【図4】ファイル管理テーブルのデータ構造を説明する図。
【図5】ユーザ登録処理を説明するフローチャート。
【図6】利用者端末上での初期化処理を説明するフローチャート。
【図7】利用者端末上でのオンラインストレージの利用処理を説明するフローチャート。
【図8】ファイル管理サービスプログラムにおけるファイルの作成又は削除を説明するフローチャート。
【図9】ファイル管理サービスプログラムにおけるファイルのオープン、リード/ライト又はクローズを説明するフローチャート。
【発明を実施するための形態】
【0019】
以下、図面に基づいて、本発明の実施の形態を説明する。なお、本発明の実施態様は、後述する形態例に限定されるものではなく、その技術思想の範囲において、種々の変形が可能である。
【0020】
<システム全体の構成>
図1に、パブリックドメイン上に構築されるオンラインストレージシステムの概略構成を示す。図1においては、説明を簡単にするために1つの企業100のみを表しているが、実際には多数の企業100の利用が想定される。
【0021】
本システムは、企業100、利用者端末101、認証管理サービスサーバ102、ファイル管理サービスサーバ103、オンラインストレージ104及びネットワーク105により構成されている。1つの企業内では、複数台の利用者端末101が動作しているものとする。もっとも、1つの企業内に利用者端末101が1台しか存在しない場合を排除するものではない。
【0022】
1つの企業には、1つのファイル管理サービスサーバ102と、認証管理サービスサーバ103と、複数台のオンラインストレージ104とが割り当てられているものとする。ここで、各オンラインストレージ104のファイル管理構造は、企業単位の意味でもストレージシステム全体の意味でも同じである必要はない。本実施例の場合、少なくとも1台のオンラインストレージ104におけるファイル管理構造は、他のオンラインストレージ104のファイル管理構造と異なっているものとする。
【0023】
異なる企業100が、本システムを利用する場合には、企業別にファイル管理サービスと認証サービスが提供され、複数のオンラインストレージ104は複数の企業100により共用される。なお、ファイル管理サービスはファイル管理サービスサーバ102を通じて提供され、認証サービスは認証サービスサーバ103を通じて提供される。これらのサービスは、サーバ上で実行されるプログラムを通じて提供される。ファイル管理サービスサーバ102や認証サービスサーバ103は、企業別に各サービスを提供する。
【0024】
なお、ネットワーク105は、WANやインターネット等、現在普及している一般的なネットワークを想定する。
【0025】
<利用者端末の構成>
利用者端末101は、コンピュータを基本構成とし、CPU106、RAM107、ネットワークデバイス108、入出力装置109(キーボード、ディスプレイ、スピーカ等)、二次記憶装置110を有している。なお、利用者端末101は、据置型の装置でも可搬型の装置でも良い。
【0026】
また、利用者端末101が提供する各種の機能は、オペレーションシステム(OS)111上で動作するアプリケーションプログラムを通じて提供される。本形態例に関連するアプリケーションプログラムは、文書作成、帳票作成、ブラウザ等の機能を提供するアプリケーション112、ファイル制御モジュール113、持出し制御モジュール114、認証モジュール115、端末管理テーブル116により構成される。これらのアプリケーションプログラムは、二次記憶装置110に記憶されており、起動時にRAM107に読み出されて実行される。
【0027】
ファイル制御モジュール113は、オンラインストレージ104をデータ保存領域とする仮想的な論理ボリュームを提供し、ローカル保存されたファイルをネットワーク105経由でオンラインストレージ104へ転送・保存する機能と、仮想的な論理ボリュームに対するファイルI/Oリクエストをファイル管理サービスサーバ103のファイル管理サービスプログラムにリダイレクトする機能を備える。
【0028】
実際のファイル制御モジュール113は、仮想的な論理ボリュームを新規に作成した後、そのボリュームに任意のファイルシステムをマウントして上位のアプリケーションレイヤからアクセス可能なストレージ領域を提供する。例えば、Microsoft Windows(登録商標)の場合、OS111がインストールされるボリュームをCドライブとすると、ファイル制御モジュール113は、新規にNTFSファイルシステムをマウントしたDドライブを作成して上位レイヤへ提供する。その後、ユーザがアプリケーション112を操作してDドライブへデータを保存した場合、ファイル制御モジュール113は、自動的にオンラインストレージ104へ対象ファイルを転送し保存する。
【0029】
ファイル制御モジュール113は、ファイルを転送する際に暗号化によるセキュリティの確保と、キャッシュによるユーザビリティ向上の機能を提供する。ファイル制御モジュール113により、利用者は、オンラインストレージ104を意識することなく、ローカルストレージである二次記憶装置110やNAS(Network Attached Storage)の共有フォルダにデータを保存する感覚で、オンラインストレージ104を利用することができる。
【0030】
持出し制御モジュール114は、利用者端末101に接続されたUSB(Universal Serial Bus)等の外部記憶媒体を検知して、外部記憶媒体への書き出しを制御する機能を提供する。外部記憶媒体の検知には、OS111の機能を使用する。OS111が外部デバイスを検知すると、持出し制御モジュール114が検知された外部デバイスへのアクセスを禁止する。また、持出し制御モジュール114は、HTTP(HyperText Transfer Protocol)・FTP(File Transfer Protocol)を利用したファイル転送もフィルタリングにより禁止し、外部への情報漏洩を防止する。これらの機能により、利用者端末101上で作成した機密データが外部へ流出することを防止する。
【0031】
認証モジュール115は、認証管理サービスサーバ102の認証管理サービスプログラムと連携し、利用者端末101がファイル管理サービスサーバ103とオンラインストレージ104を利用するための認証を行うモジュールである。認証モジュール115は、利用者端末101内の端末管理テーブル116に端末の認証情報を格納し、正当な利用者が正当な利用者端末101からオンラインストレージ104へアクセスを行うことを保障する。
【0032】
図2に、端末管理テーブル116のデータ構造例を示す。端末管理テーブル116は、ユーザID(201)を主キーとし、利用者端末101を識別する端末ID(202)と、認証と通信データを暗号化するために利用されるアクセス鍵(203)とを管理するテーブルである。
【0033】
認証モジュール115により、利用者は、出張などで利用者端末101を社外へ持出してオンラインストレージ104を利用することが可能になる。このモジュールにより、オンラインストレージ104が本来有する利便性の有効活用が可能になる。なお、持出し制御モジュール114により、ファイルが利用者端末101の外へ転送されることは禁止されるため、情報漏洩を防止することができる。
【0034】
<認証管理サービスサーバの構成>
認証管理サービスサーバ102では、前述の通り、企業毎に認証管理サービスが提供される。認証管理サービスプログラムは、パブリッククラウド上で提供されるサービスプログラムである。認証管理サービスプログラムは、ファイル管理サービスサーバ103のファイル管理サービスプログラム及びオンラインストレージ104を、利用者端末101の側から利用する場合の認証を実行する。
【0035】
従前のシステムであれば、パブリックドメイン上のオンラインストレージ104であっても、当該ストレージに対してアクセス可能な人物(例えばアクセスするための鍵情報やパスワードを知る人物)であれば、利用者端末101に関しては、特に限定されることはない。例えば企業100内の利用者端末101からオンラインストレージ104を利用することも、公共の利用者端末を利用してもオンラインストレージ104を利用することもできる。
【0036】
しかし、パスワードを知る人物が、必ず正当にデータを利用するとは限らない。例えば、企業100内の利用者端末101からオンラインストレージ104を利用できる人物であっても、自宅の利用者端末から直接オンラインストレージ104にアクセスして社内の機密データを社外へ流出させることが考えられる。このアクセスを防止するため、認証管理サービスサーバ102の認証管理サービスプログラムは、アクセスできるユーザと利用者端末101を紐付けて固定する仕組みを提供する。固定の仕組みに関しては後述する。
【0037】
認証管理サービスサーバ102における認証管理サービスを利用するユーザは、管理者と一般ユーザに分けることができる。管理者には、管理者用ログインIDとパスワードが事前に設定され、管理者用画面から各種の設定ができる。一方、一般ユーザには、一般ユーザIDとパスワードが設定される。当該ユーザIDとパスワードは、利用者端末101の初期化の際に利用される。一般ユーザに関しては、初回のアクセス以降は、利用者端末101にインストールされた認証モジュール115が自動的に認証を行い、ユーザが認証管理サービスプログラムへ直接アクセスすることはできなくなる。
【0038】
認証管理サービスサーバ102には、利用者管理テーブル117が用意される。利用者管理テーブル117は、認証管理サービスプログラムにより利用されるテーブルであり、ファイル管理サービスを利用できる利用者端末101とユーザとを紐付けて管理するために利用される。
【0039】
図3に、利用者管理テーブル117のデータ構造例を示す。利用者管理テーブル117は、ユーザID301を主キーとし、ユーザ名302、メールアドレス303、ログインパスワード304、利用期間305、端末ID306、アクセス鍵307、鍵配布フラグ308を属性として有している。このテーブルには、管理者が管理者用ログインIDとパスワードを利用して認証管理サービスプログラムの管理者画面からログインする。ログインした管理者は、このテーブルを使用してエントリの追加を行う。管理者が、管理者画面から本システムのサービスを利用するユーザ名302とメールアドレス303、利用期間305を設定すると、エントリが作成される。なお、ユーザID301、ログインパスワード304、端末ID306、アクセス鍵307、鍵配布フラグ308等は、一意の値が認証管理サービスサーバ102より自動的に設定される。
【0040】
<ファイル管理サービスサーバ>
ファイル管理サービスサーバ103は、前述の通り、企業毎にファイル管理サービスが提供される。ファイル管理サービスプログラムは、パブリッククラウド上で提供されるサービスプログラムである。ファイル管理サービスプログラムは、オンラインストレージ104上のファイルを管理する。
【0041】
ファイル管理サービスサーバ103は、ファイル管理テーブル118を有し、当該テーブルに従ってオンラインストレージ104上のファイルを管理する。このサービスプログラムは、ローカルファイルシステムへのリクエストと同じ処理が可能であり、利用者端末101上のファイル制御モジュール113からのリクエストを受けてファイル処理を行う。すなわち、ファイルの作成、削除、オープン、クローズ、リード、ライト等のリクエスト処理に対し、ファイル管理テーブル118の操作を行う。
【0042】
ファイル管理テーブル118は、ファイル管理サービスプログラムにより利用されるファイル管理情報が格納されたテーブルである。図4に、ファイル管理テーブル118のデータ構造例を示す。ファイル管理テーブル118は、ファイルID401を主キーとし、仮想ファイルパス402、実ファイルパス403、オンラインサービス名404、ファイルメタ情報405の属性を有している。
【0043】
ファイルメタ情報405は、単一の属性ではなく、ファイルパーミッション、オーナー、サイズ、作成日時、更新日時、アクセス日時のエントリを持つ。ファイルメタ情報405に関しては、ファイル管理サービスプログラムでファイルオペレーションが実施された場合に適宜書き換えられる。
【0044】
ファイルID401に関しては、利用者端末101からファイル制御モジュール113に新規ファイルの作成要求が到達した場合にファイルに与えられる一意の数字である。
【0045】
仮想ファイルパス402は、ファイル管理サービスプログラムが提供する仮想的なフォルダツリーの構成要素となるファイルパスである。すなわち、利用者端末101上から見えるオンラインストレージ上のフォルダ構成は、この仮想ファイルパスからなるフォルダツリーである。この仮想ファイルパスからなるフォルダツリーを、複数の利用者端末101から利用することにより、オンラインストレージ上のファイルを一元的なフォルダツリーで管理することが可能となる。
【0046】
実ファイルパス403は、種々のオンラインストレージ毎に異なる、オンラインストレージに固有のファイルパス、又は、インターネット上のそのファイルを示すURI(Uniform Resource Identifier)である。ファイル管理サービスプログラムは、仮想ファイルパス402を実ファイルパス403に変換し、当該実ファイルパス403をファイル制御モジュール113に提示する。これにより、利用者端末101上からオンラインストレージ104上へのファイルのアップロード/ダウンロードが実現される。
【0047】
<オンラインストレージの構成>
オンラインストレージ104は、パブリッククラウド上において、サービスプロバイダが貸し出すインターネット上のストレージ領域である。この種のサービスプロバイダは、一般に、REST(Representational State Transfer)やSOAP(Simple Object Access Protocol)で動作するWebAPI(application programming interface)を公開している場合がほとんどである。本実施例の場合にも、オンラインストレージ104へのアクセスは、WebAPIを利用して行うものとする。
【0048】
なお、オンラインストレージ104を利用する場合には、個々のオンラインストレージサービスが、複数の利用者によるオンラインストレージ104のシェア設定やアクセス権の設定を行える場合がある。ただし、複数のオンラインストレージにまたがって、一元的なフォルダツリーやアクセス権を提供することはできない。このため、ファイルシェア設定やアクセス権に関する機能は、本システムが提供する機能を利用する。
【0049】
また、オンラインストレージ104が提供するアクセスのための認証鍵や暗号鍵は、通信の際に適宜使用されるものとする。本システムでは、インターネットを介する各種サービスプログラム、及び、利用者端末上のモジュール間の通信はWebAPIを使って通信しつつ、ファイル管理モジュール113により一元的なフォルダツリーやアクセス権をユーザに提供する。
【0050】
<ユーザをシステムに登録するための処理>
図5に、ファイル管理サービスを利用できるユーザを登録する際に実行される処理手順を示す。この処理では、認証管理サービス、ファイル管理サービス、オンラインストレージ104を利用できる利用者端末101とユーザとを紐付ける処理が行われる。なお、なりすましを防止するため、利用者端末101には、CA(Certificate Authority)により発行された各種サービスのディジタル証明書が予め取得されているものとする。ディジタル証明書により、各種サービス間の通信の正当性が証明される。
【0051】
(ステップS501)
管理者は、管理者用ログインIDとパスワードを利用して、認証管理サービスプログラムの管理者画面にログインする。この際、利用者端末101から認証管理サービスサーバ102には、管理者用ログインIDとパスワードが送信される。認証管理サービスサーバ102の認証管理サービスプログラムは、受信した管理者用ログインIDとパスワードによるログインの可否を判定する。ログインを許可する場合、認証管理サービスプログラムは、管理者画面を認証管理サービスサーバ102から利用者端末101に送信する。利用者端末101は、受信した管理者画面をディスプレイに表示する。
【0052】
(ステップS502)
管理者は、管理者画面上で、認証管理サービス、ファイル管理サービス、オンラインストレージ104を利用するユーザを登録する。この際、管理者は、ユーザ名、メールアドレス、利用期間を入力する。この登録操作では、複数のユーザを一度に登録できるものとする。この際、利用者端末101から認証管理サービスサーバ102の認証管理サービスプログラムには、管理者により入力されたユーザ名、メールアドレス、利用期間が送信される。
【0053】
(ステップS503)
ユーザ名、メールアドレス、利用期間を受信した認証管理サービスプログラムは、一意の新規ユーザIDを生成し、利用者管理テーブル117上に、ユーザID301を主キーとするユーザ毎のエントリ(ユーザ名302、メールアドレス303、利用期間305)を作成する。
【0054】
(ステップS504)
認証管理サービスプログラムは、利用者端末101の初期化時に利用されるログインパスワード304を生成し登録する。
【0055】
(ステップS505)
認証管理サービスプログラムは、利用者端末101を識別するための識別子となる端末ID306を生成し登録する。
【0056】
(ステップS506)
認証管理サービスプログラムは、利用者端末毎に配布される認証・暗号化用のアクセス鍵307を生成し登録する。このアクセス鍵307は、利用者端末上にも保存される。アクセス鍵307は、利用者端末と各種サービス間での通信時に、通信データを暗号化するために利用される共通鍵である。
【0057】
(ステップS507)
認証管理サービスプログラムは、鍵配布フラグ308を”FALSE”に設定する。
【0058】
(ステップS508)
以上の利用者管理テーブルの初期化が終了すると、認証管理サービスプログラムは、ユーザエントリに登録されているメールアドレス303を使用してユーザID301とログインパスワード304を記述したメール文をユーザへ送信する。
【0059】
<利用者端末の初期化処理>
図6に、利用者端末の初期化時に実行される処理手順を示す。
【0060】
(ステップS601)
利用者は、認証管理サービスプログラムから送信されてくるメール文から自分のユーザIDとログインパスワードを取得する。この際、メール文の送受信は、利用者端末101と認証管理サービスサーバ102との間で実行される。
【0061】
(ステップS602)
メール文が受信されると、利用者端末101のディスプレイには初期化画面が表示される。初期化画面は、利用者端末101上の認証モジュール115が提供する。利用者は、初期化画面に、ユーザIDとパスワードを入力する。入力されたユーザIDとパスワードは、認証モジュール115に与えられる。
【0062】
(ステップS603)
認証モジュール115は、入力されたユーザIDとログインパスワードを、認証管理サービスプログラムに問合せる。この通信には、HTTPS等のプロトコルが使用され、通信の安全性を確保する。
【0063】
(ステップS604)
認証管理サービスプログラムは、利用者管理テーブル117の対応するユーザIDからログインパスワードを取得し、利用者端末101から受信したログインパスワードを認証する。
【0064】
(ステップS605)
認証管理サービスプログラムは、ユーザIDとログインパスワードによる認証が成功したか否かを判断する。認証が成功した場合、認証管理サービスプログラムは、ステップS606の処理に進む。一方、認証が失敗した場合、認証管理サービスプログラムは、ステップS609に進む。
【0065】
(ステップS606)
認証管理サービスプログラムは、利用者端末101の認証モジュール115に対し、端末ID306とアクセス鍵307とを配布する。
【0066】
(ステップS607)
この後、認証管理サービスプログラムは、利用者管理テーブル117の鍵配布フラグ308を”TRUE”に設定する。なお、鍵配布フラグが一度”TRUE”に設定されると、その後、同じユーザIDによるアクセス鍵の取得リクエストが再び受信されたとしても、認証管理サービスプログラムは、そのリクエストを拒否する。これにより、不正な利用者端末101が登録されることが防止され、サービスの不正利用が回避される。
【0067】
(ステップS608)
利用者端末101上の認証モジュール115は、認証が成功したことを受けて、利用者端末101上の端末管理テーブル116に、ユーザID201、端末ID202、アクセス鍵203を登録する。ステップS605で認証が成功した場合、この登録により、初期化処理は終了する。
【0068】
(ステップS609)
一方、ステップS605で認証が失敗した場合、利用者端末101の認証モジュール115は、認証失敗のポップアップメッセージをディスプレイに表示し、利用者にアクセス権がないことを提示する。ステップS605で認証が失敗した場合、この提示により、初期化処理は終了する。
【0069】
<オンラインストレージを利用するための処理>
図7に、利用者端末101からオンラインストレージ104を利用する際に実行される処理手順を示す。なお、利用者端末101によるオンラインストレージ104の利用時には、ユーザのシステムへの登録(図5)と利用者端末の初期化(図6)が既に終了していることが前提となる。
【0070】
(ステップS701)
利用者は、利用者端末101を起動する。このとき、主電源が利用者端末101の各部に供給され、OS111の起動処理が実行される。
【0071】
(ステップS702)
利用者は、OS111にログインする。利用者端末101の認証モジュール115は、入出力装置109から入力されたパスワードの認証処理を実行し、パスワードの認証後、ログインを認める。
【0072】
(ステップS703)
ログイン後、認証モジュール115は、端末管理テーブル116に保存されている(1)ユーザID201、(2)端末ID202、及び(3)アクセス鍵203で暗号化した任意の認証メッセージを、認証管理サービスサーバ102の認証管理サービスプログラムへ送信する。
【0073】
(ステップS704)
認証管理サービスプログラムは、受信したユーザIDに基づいて利用者管理テーブル117のエントリを取得し、端末ID306とアクセス鍵307を取得する。
【0074】
(ステップS705)
認証管理サービスプログラムは、受信した端末IDが利用者管理テーブル117の登録内容と一致し、かつ、認証メッセージをアクセス鍵307で復号できるか否かを判定する。当該認証が成功した場合、認証管理サービスプログラムはステップS706の処理に進む。一方、認証が失敗した場合、認証管理サービスプログラムはステップS707に進む。
【0075】
(ステップS706)
認証管理サービスプログラムは、認証の成功を利用者端末101のファイル制御モジュール113とファイル管理サービスサーバ103のファイル管理サービスプログラムに通知する。認証の成功の通知を受けたファイル制御モジュール113は、ファイル管理サービスプログラムとの間でオンラインストレージ104のマウント処理を実行する。
【0076】
例えば、利用者端末101のOS111がWindows(登録商標)の場合、ファイル管理サービスプログラムが管理している仮想ファイルパス”/”(ルートフォルダ)を、ローカルドライブ”D:\”にマウントする処理が実行される。
【0077】
マウント処理の完了後、利用者がDドライブにファイルを保存すると、ファイルのデータがオンラインストレージ104に自動的に保存される。例えば、D:\share\kimitu.txtファイルを作成した場合、ファイル管理サービスプログラムが管理する仮想ファイルパスには、/share/kimitu.txtファイルエントリが作成される。なお、対応する実ファイルパスが、例えばAmazonS3の場合、/バケット名/share/kimitu.txtが作成される。ステップS705で認証が成功した場合、このマウントにより処理を終了する。
【0078】
(ステップS707)
ステップS705で認証が失敗した場合、認証管理サービスプログラムは、利用者端末101にエラーを送信する。
【0079】
(ステップS708)
認証のエラーを受信した認証モジュール115は、認証失敗のメッセージをユーザに提示する。ステップS705で認証が失敗した場合、このメッセージの提示により処理を終了する。
【0080】
なお、利用者がOS111をログアウトすると、ファイル制御モジュール113は、オンラインストレージ104をローカルフォルダからアンマウントする。
【0081】
<ファイルを作成・削除するための処理>
図8に、ファイル管理サービスサーバ103のファイル管理サービスプログラムによるファイルの作成又は削除手順を示す。勿論、利用者端末101がファイル管理サービスを利用するためには、ユーザのシステムへの登録(図5)と利用者端末の初期化(図6)が既に終了していることが前提となる。
【0082】
(ステップS801)
ユーザ操作による指示入力を受けたアプリケーション112は、利用者端末101上のオンラインストレージ104がマウントされたフォルダ/ドライブのファイルにリクエストを出す。
【0083】
(ステップS802)
ファイル制御モジュール113は、ファイルオペレーション(リクエストの種類)を判定する。ここで、リクエストがファイルの作成である場合、ファイル制御モジュール113は、ステップS803の処理に進む。一方、リクエストがファイルの削除である場合、ファイル制御モジュール113は、ステップS810の処理に進む。
【0084】
(ステップS803)
リクエストがファイルの作成であった場合、ファイル制御モジュール113は、ファイル管理サービスサーバ103のファイル管理サービスプログラムに対し、ファイル作成のリクエストを送信する。
【0085】
(ステップS804)
ファイル管理サービスプログラムは、作成要求のあったファイルパスに対して一意のファイルIDを発行し、ファイル管理テーブル118にファイルID401を主キーとするエントリを追加する。
【0086】
(ステップS805)
ファイル管理サービスプログラムは、ユーザから作成要求のあったファイルパスをファイル管理テーブル118の仮想ファイルパス402に格納する。
【0087】
(ステップS806)
ファイル管理サービスプログラムは、オンラインストレージ名404をファイル管理テーブル118に格納する。この後、ファイル管理サービスプログラムは、オンラインストレージ名からオンラインストレージ104にファイルを保存するための実ファイルパスを生成し、ファイル管理テーブル118の実ファイルパス403に格納する。
【0088】
(ステップS807)
ファイル管理サービスプログラムは、生成された実ファイルパスを、利用者端末101のファイル制御モジュール113に返信する。
【0089】
(ステップS808)
この後、ファイル管理サービスプログラムは、ファイルメタ情報405を更新する。
【0090】
(ステップS809)
利用者端末101のファイル制御モジュール113は、返信された実ファイルパスに基づいて、オンラインストレージ104にファイルの作成をリクエストする。この後、ファイル制御モジュール113が、オンラインストレージ104からのレスポンスを確認すると、オンラインストレージ104へのファイルの作成が完了する。
【0091】
(ステップS810)
ステップS802の判定の結果、リクエストがファイルの削除であった場合、ファイル制御モジュール113は、ファイル管理サービスサーバ103のファイル管理サービスプログラムに対し、ファイル削除リクエストを送信する。
【0092】
(ステップS811)
ファイル管理サービスプログラムは、削除要求のあったファイルパスに基づいてファイルIDを取得する。
【0093】
(ステップS812)
ファイル管理サービスプログラムは、ファイルIDから実ファイルパスを取得する。
【0094】
(ステップS813)
ファイル管理サービスプログラムは、実ファイルパスを利用者端末101のファイル制御モジュール113へ返信する。
【0095】
(ステップS814)
ファイル管理サービスプログラムは、ファイル管理テーブル118からファイルIDに対応するエントリを削除する。
【0096】
(ステップS815)
ファイル制御モジュール113は、返信された実ファイルパスに基づいて、オンラインストレージ104にファイルの削除をリクエストする。この後、ファイル制御モジュール113が、オンラインストレージ104からのレスポンスを確認すると、オンラインストレージ104からファイルの削除が完了する。
【0097】
<ファイルをオープン・リード/ライト・クローズするための処理>
図9に、ファイル管理サービスサーバ103のファイル管理サービスプログラムによるファイルのオープン・リード/ライト・クローズ手順を示す。勿論、利用者端末101がファイル管理サービスを利用するためには、ユーザのシステムへの登録(図5)と利用者端末の初期化(図6)が既に終了していることが前提となる。
【0098】
(ステップS901)
ユーザ操作による指示入力を受けたアプリケーション112は、利用者端末101上のオンラインストレージ104がマウントされたフォルダ/ドライブのファイルにリクエストを出す。
【0099】
(ステップS902)
ファイル制御モジュール113は、ファイルオペレーション(リクエストの種類)を判定する。ここで、リクエストがファイルのファイルオープンである場合、ファイル制御モジュール113は、ステップS903の処理に進む。一方、リクエストがファイルのリード・ライトである場合、ファイル制御モジュール113は、ステップS909の処理に進む。また、リクエストがファイルクローズである場合、ファイル制御モジュール113は、ステップS910の処理に進む。
【0100】
(ステップS903)
リクエストがファイルのオープンであった場合、ファイル制御モジュール113は、ファイル管理サービスサーバ103のファイル管理サービスプログラムに対し、ファイルオープンのリクエストを送信する。
【0101】
(ステップS904)
ファイル管理サービスプログラムは、オープン要求のあったファイルパスのファイルIDをファイル管理テーブル118から取得する。
【0102】
(ステップS905)
次に、ファイル管理サービスプログラムは、リード/ライトオープンアクセス権等のアクセス権限をチェックする。アクセス権限がある場合、ファイル管理サービスプログラムはステップS906に進む。アクセス権限がない場合、ファイル管理サービスプログラムはステップS908に進む。
【0103】
(ステップS906)
ステップS905でアクセス権限があると判定された場合、ファイル管理サービスプログラムは、ファイルの排他制御を実行する。
【0104】
(ステップS907)
次に、ファイル管理サービスプログラムは、ファイルID401に対応するエントリの実ファイルパス403を、利用者端末101のファイル制御モジュール113に返信する。なお、利用者端末101から既にオープンされているファイルに対して、他の利用者端末101からオープン要求があった場合、ファイル管理サービスプログラムは排他的処理を実行する。例えば、アクセス権としてシェアリードが可能な権限がある場合は、リードオープンに関しては、オープン可能だが、ライトオープンに関しては拒否される。
【0105】
(ステップS908)
ファイル管理サービスプログラムは、ファイルメタ情報405を更新し、ファイルオープン処理を完了する。
【0106】
(ステップS909)
ステップS902の判定の結果、リクエストがファイルリード/ライトであった場合、ファイル制御モジュール113は、ファイルオープン時に取得した実ファイルパスに基づいて、オンラインストレージ104にファイルデータをリード/ライトする。この後、ファイル管理サービスプログラムは、ステップS908に移行し、ファイルメタ情報を更新する。
【0107】
(ステップS910)
ステップS902の判定の結果、リクエストがファイルクローズであった場合、ファイル制御モジュール113は、ファイル管理サービスサーバ103のファイル管理サービスプログラムに対し、ファイルクローズのリクエストを送信する。
【0108】
(ステップS911)
ファイル管理サービスプログラムは、クローズ要求のあったファイルパスに基づいてファイルIDを取得し、排他制御を解除する。その後、ファイル管理サービスプログラムは、ステップS908に移行し、ファイルメタ情報を更新する。
【0109】
<まとめ>
以上説明したように、本形態例に係るオンラインストレージシステムの採用により、パブリックドメインに存在する複数のオンラインストレージ104であっても、各企業100内のNASサーバと同様に、該当企業の複数の利用者端末101から透過的に管理することができる。この結果、企業内にNASサーバを設置することなく、かつ、NASサーバを企業内に設置したのと同等の作業性を、パブリックドメイン上のオンラインストレージにて実現できる。
【0110】
また、ローカルドライブに対するファイルI/Oは、オンラインストレージ104に自動的にリダイレクトされるため、利用者は、オンラインストレージ104を意識することなく、NASやローカルディスクを利用している感覚でオンラインストレージ104を利用することが可能となる。
【0111】
また、予め、パブリックドメイン上に存在するオンラインストレージ104を利用できるユーザと利用者端末を紐付けることにより、不正な利用者端末からオンラインストレージ104へ直接のアクセスを禁止することができる。この結果、企業は、社内のネットワークストレージをパブリックドメイン上のオンラインストレージ104に安心して移行することができる。
【0112】
<他の形態例>
本発明は、上述した形態例に限定されるものでなく、様々な変形例を含んでいる。例えば、上述した形態例は、本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある形態例の一部を他の形態例の構成に置き換えることが可能であり、また、ある形態例の構成に他の形態例の構成を加えることも可能である。また、各形態例の構成の一部について、他の構成を追加、削除又は置換することも可能である。
【0113】
また、上述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路その他のハードウェアとして実現しても良い。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することにより実現しても良い。すなわち、ソフトウェアとして実現しても良い。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記憶装置、ICカード、SDカード、DVD等の記憶媒体に格納することができる。
【0114】
また、制御線や情報線は、説明上必要と考えられるものを示すものであり、製品上必要な全ての制御線や情報線を表すものでない。実際にはほとんど全ての構成が相互に接続されていると考えて良い。
【符号の説明】
【0115】
100…企業、101…利用者端末、102…認証管理サービスサーバ、103…ファイル管理サービスサーバ、104…オンラインストレージ、105…ネットワーク、106…CPU、107…RAM、108…ネットワークデバイス、109…入出力装置、110…二次記憶装置、111…OS、112…アプリケーション、113…ファイル制御モジュール、114…持出し制御モジュール、115…認証モジュール、116…端末管理テーブル、117…利用者管理テーブル、118…ファイル管理テーブル

【特許請求の範囲】
【請求項1】
パブリックドメイン上において各企業のデータファイルを保存する複数のオンラインストレージであって、少なくとも一部のオンラインストレージは異なるファイル構造により管理される複数のオンラインストレージと、
前記複数のオンラインストレージ上に存在する各企業のデータファイルを、企業毎に一元的なファイル構造により仮想的に管理するファイル管理サービスサーバと
を有することを特徴とするオンラインストレージシステム。
【請求項2】
パブリックドメイン上における各企業のデータファイルを保存する複数のオンラインストレージであって、少なくとも一部のオンラインストレージは異なるファイル構造により管理される複数のオンラインストレージと、
前記オンラインストレージを利用するユーザと利用者端末とを紐付けて管理し、前記オンラインストレージ上の特定の企業のデータファイルを利用できるユーザと利用者端末を限定する認証管理サービスサーバと
を有することを特徴とするオンラインストレージシステム。
【請求項3】
請求項2に記載のオンラインストレージシステムにおいて、
前記認証管理サービスサーバは、ユーザと利用者端末を紐付けるために登録されたユーザIDに対して、アクセスに使用できる利用者端末を固定するプロセスを一度だけ与える
ことを特徴とするオンラインストレージシステム。
【請求項4】
パブリックドメイン上における各企業のデータファイルを保存する複数のオンラインストレージであって、少なくとも一部のオンラインストレージは異なるファイル構造により管理される複数のオンラインストレージへのアクセスに使用される利用者端末であって、
前記オンラインストレージを利用する場合には、ローカルドライブへのファイルI/Oをパブリックドメイン上のファイル管理サービスサーバに自動的にリダイレクトするファイル制御モジュール
を有することを特徴とする利用者端末。
【請求項5】
請求項4に記載の利用者端末において、
前記ファイル管理サービスサーバは、前記複数のオンラインストレージ上に存在する各企業のデータファイルを、企業毎に一元的なファイル構造により仮想的に管理するサーバである
ことを特徴とする利用者端末。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate


【公開番号】特開2013−37626(P2013−37626A)
【公開日】平成25年2月21日(2013.2.21)
【国際特許分類】
【出願番号】特願2011−175168(P2011−175168)
【出願日】平成23年8月10日(2011.8.10)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)