JP2012208681A - Information processing apparatus, access control method, and access control program - Google Patents
Information processing apparatus, access control method, and access control program Download PDFInfo
- Publication number
- JP2012208681A JP2012208681A JP2011073166A JP2011073166A JP2012208681A JP 2012208681 A JP2012208681 A JP 2012208681A JP 2011073166 A JP2011073166 A JP 2011073166A JP 2011073166 A JP2011073166 A JP 2011073166A JP 2012208681 A JP2012208681 A JP 2012208681A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- uri
- request
- filtering rule
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、ユーザによるウェブへのアクセスを制御する情報処理装置、アクセス制御方法、およびアクセス制御用プログラムに関する。 The present invention relates to an information processing apparatus that controls access to a web by a user, an access control method, and an access control program.
近年、誰もがコンピュータなどの情報処理装置を用いて、あらゆる情報をインターネットを通じて容易に取得したり送ったりすることができるようになっている。その一方で、企業内等での私的なインターネット利用、例えば業務中の私的なWebサイトの閲覧のほか、悪質なWebサイトの閲覧によるコンピュータウイルスの感染、それによる機密情報漏洩等が問題になっている。 In recent years, it has become possible for anyone to easily acquire and send all kinds of information through the Internet using an information processing apparatus such as a computer. On the other hand, in addition to private Internet use within the company, for example, browsing private websites during work, computer virus infections due to malicious website browsing, leaking confidential information, etc. It has become.
このような問題を解決するために、例えば次のような方法を用いることが考えられる。 In order to solve such a problem, for example, the following method may be used.
1つ目は、ユーザが使用するクライアント機器が接続するネットワーク上に、プロキシサーバ等のフィルタリングを行うサーバ機器(フィルタリングサーバ)を設置し、クライアント機器がこのフィルタリングサーバを介してインターネットへ通信するように構成することで、クライアント機器からインターネットへのアクセスを制限するという方法である。 First, a server device (filtering server) that performs filtering, such as a proxy server, is installed on a network to which a client device used by a user is connected, and the client device communicates with the Internet via this filtering server. By configuring, it is a method of restricting access from the client device to the Internet.
2つ目は、ユーザが使用するクライアント機器に、アクセス制限を行うアプリケーションを導入することで、クライアント機器からインターネットへのアクセスを制限するという方法である。 The second is a method of restricting access from the client device to the Internet by introducing an application for restricting access to the client device used by the user.
しかしながら、1つ目の方法では、アクセス制限を行うことができる範囲は、フィルタリングサーバ等が設置されている同一のネットワーク内に接続しているクライアント機器だけに限られ、別のネットワークに接続しているクライアント機器についてはアクセスを制限することができない。 However, in the first method, the range in which access can be restricted is limited to only client devices connected to the same network where the filtering server is installed, and can be connected to another network. Access cannot be restricted for existing client devices.
ここで言う同一のネットワークとは同一のサブネットマスク内のネットワークを指す。 Here, the same network refers to a network within the same subnet mask.
また、2つ目の方法では、アクセス制限を行うアプリケーションはクライアント機器のOS(オペレーティングシステム)上で動作するため、利用者自身がクライアント機器の故意にアプリケーションを停止させることが可能であり、必ずしもアクセス制限が行われるという保証はない。 In the second method, since the application for restricting access operates on the OS (operating system) of the client device, the user can intentionally stop the application on the client device, and the access is not necessarily performed. There is no guarantee that restrictions will be enforced.
本発明は上記実情に鑑みてなされたものであり、ネットワーク環境や、OS、アプリケーション等に依存しないアクセス制御を実現する情報処理装置、アクセス制御方法、およびアクセス制御用プログラムを提供することを目的とする。 The present invention has been made in view of the above circumstances, and an object thereof is to provide an information processing apparatus, an access control method, and an access control program that realize access control independent of a network environment, an OS, an application, and the like. To do.
本発明の一態様によるアクセス制御用プログラムは、コンピュータの仮想マシンモニタ(VMM:Virtual Machine Monitor)に組み込まれるアクセス制御用プログラムであって、前記コンピュータの起動時に、インターネットを経由して所定のサーバ機器にアクセスし、前記サーバ機器から、少なくともアクセス制限の対象となるHTTPパケット内にあるURIおよびリクエストメソッドを示すフィルタリングルールの情報を取得して前記コンピュータの中の所定の記憶媒体に記憶させるフィルタリングルール取得機能と、ゲストOSから発行されるパケットを監視し、当該パケットがHTTP要求パケットである場合に、そのパケットのHTTPコマンドが示すURIおよびリクエストメソッドが、前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドに該当するか否かを判別する判別機能と、前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドを有するパケットがある場合にそのパケットを破棄するパケット破棄機能とを前記VMMによりコンピュータに実現させるためのアクセス制御用プログラムである。 An access control program according to an aspect of the present invention is an access control program incorporated in a virtual machine monitor (VMM) of a computer, and at the time of startup of the computer, a predetermined server device via the Internet A filtering rule that accesses the server device, obtains at least filtering rule information indicating a URI and a request method in an HTTP packet subject to access restriction from the server device, and stores the filtering rule information in a predetermined storage medium in the computer The function and the packet issued from the guest OS are monitored. When the packet is an HTTP request packet, the URI and the request method indicated by the HTTP command of the packet are controlled by the filtering rule. If there is a packet having a URI and a request method that are subject to access restriction by the filtering rule, and discarding the packet An access control program for causing a computer to realize a packet discard function to be performed by the VMM.
本発明の他の態様による情報処理装置は仮想マシンモニタ(VMM)に所定のプログラムが組み込まれている情報処理装置であって、前記プログラムは、前記情報処理装置の起動時に、インターネットを経由して所定のサーバ機器にアクセスし、前記サーバ機器から、少なくともアクセス制限の対象となるHTTPパケット内にあるURIおよびリクエストメソッドを示すフィルタリングルールの情報を取得して前記コンピュータの中の所定の記憶媒体に記憶させるフィルタリングルール取得機能と、ゲストOSから発行されるパケットを監視し、当該パケットがHTTP要求パケットである場合に、そのパケットのHTTPコマンドが示すURIおよびリクエストメソッドが、前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドに該当するか否かを判別する判別機能と、前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドを有するパケットがある場合にそのパケットを破棄するパケット破棄機能とを有することを特徴とする情報処理装置。 An information processing apparatus according to another aspect of the present invention is an information processing apparatus in which a predetermined program is incorporated in a virtual machine monitor (VMM), and the program is transmitted via the Internet when the information processing apparatus is activated. Access to a predetermined server device, acquire information on filtering rules indicating a URI and a request method in at least an HTTP packet subject to access restriction from the server device, and store the information in a predetermined storage medium in the computer The filtering rule acquisition function to be performed and the packet issued from the guest OS are monitored. When the packet is an HTTP request packet, the URI and request method indicated by the HTTP command of the packet are subject to access restriction by the filtering rule. To be A discriminating function for discriminating whether or not a corresponding URI and request method are applicable, and a packet discarding function for discarding a packet having a URI and a request method subject to access restriction by the filtering rule; An information processing apparatus comprising:
本発明の更なる他の態様によるアクセス制御方法は、所定のサーバ機器に少なくともアクセス制限の対象となるHTTPパケット内にあるURIおよびリクエストメソッドを示すフィルタリングルールの情報を記憶しておき、クライアント機器の仮想マシンモニタ(VMM)に、所定のプログラムを組み込んでおき、前記プログラムが、前記クライアント機器の起動時に、インターネットを経由して前記サーバ機器にアクセスし、前記サーバ機器から、前記フィルタリングルールの情報を取得して前記クライアント機器の中の所定の記憶媒体に記憶し、ゲストOSから発行されるパケットを監視し、当該パケットがHTTP要求パケットである場合に、そのパケットのHTTPコマンドが示すURIおよびリクエストメソッドが、前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドに該当するか否かを判別し、前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドを有するパケットがある場合にそのパケットを破棄することを特徴とする。 According to still another aspect of the present invention, an access control method stores at least information on a filtering rule indicating a URI and a request method in an HTTP packet subject to access restriction in a predetermined server device. A predetermined program is incorporated into a virtual machine monitor (VMM), and when the client device is activated, the program accesses the server device via the Internet, and receives information on the filtering rule from the server device. Obtain and store in a predetermined storage medium in the client device, monitor a packet issued from the guest OS, and if the packet is an HTTP request packet, a URI and a request method indicated by the HTTP command of the packet But the fill It is determined whether or not the URI and request method subject to access restriction by the ring rule are satisfied, and if there is a packet having the URI and request method subject to access restriction by the filtering rule, the packet It is characterized by destroying.
本発明によれば、ネットワーク環境や、OS、アプリケーション等に依存しないアクセス制御を実現する情報処理装置、アクセス制御方法、およびアクセス制御用プログラムを提供することができる。 According to the present invention, it is possible to provide an information processing apparatus, an access control method, and an access control program that realize access control that does not depend on a network environment, an OS, an application, or the like.
以下、図面を参照して、本発明の実施の形態について説明する。 Embodiments of the present invention will be described below with reference to the drawings.
なお、本実施形態では、便宜上、サーバ機器を「サーバ」と呼び、クライアント機器を「クライアント」と呼ぶ。 In this embodiment, for convenience, the server device is referred to as a “server” and the client device is referred to as a “client”.
図1は、本発明の一実施形態に係るアクセス制御方法が適用される通信システムの一例を示す模式図である。 FIG. 1 is a schematic diagram illustrating an example of a communication system to which an access control method according to an embodiment of the present invention is applied.
図1に示される通信システムの中には、インターネットNを通じて接続可能な、フィルタリング管理サーバ(コンピュータ)1、クライアント(コンピュータ)10、アクセス制限対象のサーバ(コンピュータ)101、およびアクセス制限対象外のサーバ(コンピュータ)102が存在する。なお、図1においては、アクセス制限対象のサーバ101,アクセス制限対象外のサーバ102が1台ずつしか図示されていないが、実際にはそれぞれが複数台存在する。クライアント10についても、1台しか図示されていないが、実際には複数台存在する。
In the communication system shown in FIG. 1, a filtering management server (computer) 1, a client (computer) 10, a server (computer) 101 subject to access restriction, and a server not subject to access restriction, which can be connected through the Internet N. (Computer) 102 exists. In FIG. 1, only one
フィルタリング管理サーバ1は、クライアント10がWeb上のリソースである、Webサイトにアクセスする際のアクセス制限の対象となる、HTTP(Hypertext Transfer Protocol)パケット内にあるURI(Uniform Resource Identifier)およびリクエストメソッドを示すフィルタリングルールの情報(以下、「フィルタリングルールFR」と称す。)を記憶している。フィルタリングルールFRは、少なくともアクセス制限の対象となるURI、当該URIに対するGETリクエストの制限の有無、および当該URIに対するPOSTリクエストの制限の有無を示す。
The
より具体的には、フィルタリングルールFRは、図2に示されるような情報を有する。 More specifically, the filtering rule FR has information as shown in FIG.
すなわち、設定項目として、アクセス制限の対象となる「URI」があり、「URI」の設定内容として「http://・・・」などが登録される。ここには、例えば、アクセス制限対象のサーバ101のURIが登録され、一方、アクセス制限対象外のサーバ102のURIは登録されない。
That is, as a setting item, there is “URI” subject to access restriction, and “http: //...” Or the like is registered as the setting content of “URI”. Here, for example, the URI of the
また、このアクセス制限の対象となる「URI」に対し、リクエストメソッド毎にリクエストを許可すべきか禁止すべきかを設定できるように、設定項目として「GETリクエスト制限」および「POSTリクエスト制限」が用意されている。なお、ここでは2種類のリクエストメソッドについてのみ設定できる例を示しているが、リクエストメソッド以外に設定項目があってもよい。「GETリクエスト制限」の設定内容としては、リクエストメソッド「GET」の許可または禁止を指定するために、「True」(真)または「False」(偽)を示す真偽値が登録される。「POSTリクエスト制限」の設定内容も、同様に、リクエストメソッド「POST」の許可または禁止を指定するために、「True」(真)または「False」(偽)を示す真偽値が登録される。これにより、GETリクエストとPOSTリクエストの両方を禁止したり、GETリクエストとPOSTリクエストのいずれか一方のみを禁止したりすることが可能となる。 In addition, “GET request restriction” and “POST request restriction” are prepared as setting items so that it is possible to set whether to allow or prohibit a request for each request method for the “URI” subject to the access restriction. ing. Although an example in which only two types of request methods can be set is shown here, there may be setting items other than the request method. As a setting content of “GET request restriction”, a true / false value indicating “True” (true) or “False” (false) is registered in order to designate permission or prohibition of the request method “GET”. Similarly, in the setting contents of “POST request restriction”, a true / false value indicating “True” (true) or “False” (false) is registered in order to specify permission or prohibition of the request method “POST”. . This makes it possible to prohibit both GET requests and POST requests, or to prohibit only one of GET requests and POST requests.
クライアント10は、NIC(Network Interface Card)20、VMM(Virtual Machine Monitor)30、ゲストOS40、およびアプリケーション50を有する。
The
NIC20は、クライアント10がインターネットNに接続するための通信インタフェースを実現するカードである。
The NIC 20 is a card that implements a communication interface for the
VMM30は、仮想マシンモニタであり、コンピュータを仮想化し、複数の異なる仮想マシンを並列に実行できるようにするためのソフトウェアである。その動作は、クライアントのネットワーク環境や、OS、アプリケーション等に依存しない。このVMM30は、後で詳述する一時記憶部31、フィルタリングルール取得機能32、判別機能33、およびパケット破棄機能34を有する。
The VMM 30 is a virtual machine monitor, and is software for virtualizing a computer so that a plurality of different virtual machines can be executed in parallel. The operation does not depend on the network environment of the client, the OS, the application, or the like. The VMM 30 includes a
なお、フィルタリングルール取得機能32、判別機能33、およびパケット破棄機能34は、アクセス制御機能モジュール60を構成する。このアクセス制御機能モジュール60は、アクセス制御機能を実現するためにVMM30に組み込まれたプログラムである。すなわち、アクセス制御機能モジュール60は、フィルタリングルール取得機能32、判別機能33、およびパケット破棄機能34を、VMM30によりコンピュータに実現させるためのアクセス制御用プログラムである。
The filtering
一時記憶部31は、クライアント10の起動時に、インターネットN経由でフィルタリングルール管理サーバ1から取得されるフィルタリングルールFRを記憶するものであり、RAM等を用いて実現される。
The
ゲストOS40は、クライアント10の動作を統括して制御し、VMM30により監視され、VMM30に対し、Web上のリソースへのアクセス要求を含む各種の要求を行う。
The guest OS 40 controls the operation of the
アプリケーション50は、ユーザが使用するインターネット閲覧ソフトなどのソフトウェアである。
The
図3は、クライアント10の機能構成の一例を示すブロック図である。なお、図1と共通する要素には同一の符号を付している。
FIG. 3 is a block diagram illustrating an example of a functional configuration of the
クライアント10は、前述したように、NIC20、VMM30、およびゲストOS40を有し、VMM30は、一時記憶部31、フィルタリングルール取得機能32、判別機能33、およびパケット破棄機能34を有し、また、フィルタリングルール取得機能32、判別機能33、およびパケット破棄機能34は、アクセス制御機能モジュール60を構成している。
As described above, the
一時記憶部31は、クライアント10の起動時に、フィルタリングルール取得機能32によりNIC20を通じてインターネットN経由でフィルタリングルール管理サーバ1から取得されるフィルタリングルールFRを一時的に記憶するものであり、ここに記憶されたフィルタリングルールFRは、クライアント10の動作中、アクセス制御機能を実現するために使用される。このフィルタリングルールFRは、クライアント10がシャットダウンした際には消去される。
The
また、管理サーバのIPアドレスはクライアント10のフィルタリングルール取得機能32にあらかじめ設定しておく。
Further, the IP address of the management server is set in advance in the filtering
フィルタリングルール取得機能32は、クライアント10の起動時に、インターネットNを経由してフィルタリング管理サーバ1にアクセスし、このフィルタリング管理サーバ1から、アクセス制限の対象となるURIおよびリクエストメソッドを示すフィルタリングルールFRを取得して、クライアント10の中の一時記憶部31に記憶させる機能である。
When the
判別機能33は、ゲストOS40から発行されるパケットを監視し、当該パケットがHTTP要求パケットである場合に、そのパケットのHTTPコマンドが示すURIおよびリクエストメソッドが、一時記憶部31上のフィルタリングルールFRによりアクセス制限の対象とされているURIおよびリクエストメソッドに該当するか否かを判別する機能である。
The
より具体的には、判別機能33は、ゲストOSから発行されるパケットがHTTP要求パケットに該当するか否かを判別する第1の判別機能と、この第1の判別機能の判別結果が該当を示す場合に、そのHTTP要求パケットのHTTPコマンドからホスト名、リクエストURI、および当該URIに対するリクエストメソッドを取得し、取得したホスト名とリクエストURIとを結合した文字列が、フィルタリングルールFRによりアクセス制限の対象とされているURIに該当するか否かを判別する第2の判別機能と、この第2の判別機能の判別結果が該当を示す場合に、取得したリクエストメソッドが、フィルタリングルールFRが当該URIについてアクセス制限の対象としているリクエストメソッドに該当するか否かを判別する第3の判別機能とを有する。
More specifically, the
パケット破棄機能34は、一時記憶部31上のフィルタリングルールFRによりアクセス制限の対象とされているURIおよびリクエストメソッドを有するパケットが検出された場合に、そのパケットを破棄する機能である。
The packet discard
図4は、フィルタリングルール管理サーバ1の機能構成の一例を示すブロック図である。なお、図1と共通する要素には同一の符号を付している。
FIG. 4 is a block diagram illustrating an example of a functional configuration of the filtering
フィルタリングルール管理サーバ1は、NIC11、OS12、Webサーバ13、および記憶部14を有する。
The filtering
NIC11は、フィルタリングルール管理サーバ1がインターネットNに接続するための通信インタフェースを実現するカードである。
The
OS12は、フィルタリングルール管理サーバ1に搭載される通常のオペレーティングシステムである。
The
Webサーバ13は、記憶部14に記憶されているフィルタリングルールFRを管理し、OS12を介して、クライアント10からのフィルタリングルール取得要求を受け付け、記憶部14に記憶されているフィルタリングルールFRをクライアント10へ送信する。
The
記憶部14は、フィルタリングルールFRを記憶する。このフィルタリングルールFRは、特定の管理者のみが更新することができる。
The
次に、図5のフローチャートを参照して、アクセス制御機能モジュール60による動作の一例を説明する。
Next, an example of the operation by the access
クライアント10が起動すると、通信確立後に、フィルタリングルール取得機能32が、NIC20を通じて、インターネットNに接続し、フィルタリング管理サーバ1にアクセスし(ステップS11)、フィルタリング管理サーバ1から、フィルタリングルールFRを取得して、これを一時記憶部31に一時記憶させる(ステップS12)。
When the
次に、判別機能33が、ゲストOS40から発行されるパケットを監視し、ゲストOS40からパケットを受信するまで待機する(ステップS13)。
Next, the
判別機能33は、ゲストOS40からパケットを受信すると、そのパケットがHTTP要求パケットであるか否かを判定する(ステップS14)。そのパケットがHTTP要求パケットでない場合(ステップS14のNO)、パケット破棄機能34は、そのパケットを通過させる(ステップS21)。
When receiving a packet from the
一方、そのパケットがHTTP要求パケットである場合(ステップS14のYES)、判別機能33は、そのパケットのHTTPコマンドからホスト名、リクエストURI、およびリクエストメソッドを取得し(ステップS15)、取得したホスト名とリクエストURIを結合した文字列が、一時記憶部31上のフィルタリングルールFRに示されるいずれかのURIと一致するか否かを判定する(ステップS16)。その文字列がいずれのURIとも一致しない場合(ステップS16のNO)、パケット破棄機能34は、そのパケットを通過させる(ステップS21)。
On the other hand, if the packet is an HTTP request packet (YES in step S14), the
一方、その文字列が、フィルタリングルールFRに示されるいずれかのURIと一致する場合(ステップS16のYES)、判別機能33は、取得したリクエストメソッドが「GET」であるか、それとも「POST」であるかを判定する(ステップS17,S18)。リクエストメソッドが「GET」でも「POST」でもない場合(ステップのS17のNO、ステップS18のNO)、パケット破棄機能34は、そのパケットを通過させる(ステップS21)。
On the other hand, if the character string matches any URI indicated in the filtering rule FR (YES in step S16), the
一方、取得したリクエストメソッドが「GET」である場合(ステップS17のYES)、判別機能33は、フィルタリングルールFR上の当該URIに対応するGETリクエスト制限が「真」を示しているか否かを判定する(ステップS19)。ここで、「真」ではなく、「偽」を示している場合(ステップS19のNO)、パケット破棄機能34は、そのパケットを通過させる(ステップS21)。一方、「真」を示している場合(ステップS19のYES)、パケット破棄機能34は、そのパケットを破棄する(ステップS22)。以降は、ステップS14からの処理が繰り返される。
On the other hand, when the acquired request method is “GET” (YES in step S17), the
また、取得したリクエストメソッドが「POST」である場合(ステップS18のYES)、判別機能33は、フィルタリングルールFR上の当該URIに対応するPOSTリクエスト制限が「真」を示しているか否かを判定する(ステップS20)。ここで、「真」ではなく、「偽」を示している場合(ステップS20のNO)、パケット破棄機能34は、そのパケットを通過させる(ステップS21)。一方、「真」を示している場合(ステップS20のYES)、パケット破棄機能34は、そのパケットを破棄する(ステップS22)。以降は、ステップS14からの処理が繰り返される。
When the acquired request method is “POST” (YES in step S18), the
このように上記実施形態によれば、アクセス制御機能モジュールが組み込まれ、管理サーバのIPアドレスが設定された、VMMを各クライアント機器にインストールし、起動時にアクセス制御機能モジュールがフィルタリングルールを取得しこれを用いてアクセス制御を実施することにより、ネットワーク環境や、OS、アプリケーション等に依存しないセキュリティの高い頑強なアクセス制御機能を容易に実現することができ、ユーザによる不適切なリソースへのアクセスを防ぐことができる。また、これにより、企業内等での私的なインターネット利用、例えば私的なサイトの閲覧のほか、悪質なサイトの閲覧によるコンピュータウイルスの感染、それによる機密情報漏洩等を未然に防ぐことが可能となる。 As described above, according to the above-described embodiment, the VMM in which the access control function module is incorporated and the IP address of the management server is set is installed in each client device. By implementing access control using, you can easily realize a robust and robust access control function that does not depend on the network environment, OS, applications, etc., and prevent users from accessing inappropriate resources be able to. In addition to this, it is possible to prevent private use of the Internet within the company, such as browsing private sites, computer virus infections due to malicious site browsing, and leakage of confidential information. It becomes.
また、上記実施形態の効果を分類すると以下のようになる。 The effects of the above embodiment are classified as follows.
(1)管理者の負担を軽減できる
アクセス制御機能がクライアント機器のVMMの一機能(モジュール)として組み込まれているため、利用者はアプリケーションやシステムを意識することがなく、また、アクセス制限に必要なフィルタリングルールは、アクセス制御機能モジュールがフィルタリングルール管理サーバと通信を行って取得するため、クライアント毎の個別設定を行う必要がなく、管理者の負担を軽減させることができる。
(1) Reduces the burden on the administrator Since the access control function is incorporated as a function (module) of the VMM of the client device, the user is not aware of the application or system and is necessary for access restriction. Since the access control function module communicates with the filtering rule management server and acquires the filtering rules, it is not necessary to perform individual settings for each client, and the burden on the administrator can be reduced.
(2)ネットワークに依存しない
ネットワーク上にアクセス制限を行うフィルタリングサーバ等を設置する必要がなく、アクセス制御機能はクライアントの中のVMMの一機能(モジュール)として組み込まれているため、ネットワークに依存しないアクセス制限を実現することができる。
(2) Network-independent There is no need to install a filtering server that restricts access on the network, and the access control function is incorporated as a function (module) of the VMM in the client, so it does not depend on the network. Access restrictions can be realized.
(3)OSやアプリケーションに依存しない
アクセス制限を行うアプリケーション等を導入する必要がなく、アクセス制御機能はクライアントの中のVMMの一機能(モジュール)として組み込まれているため、OSやアプリケーションに依存しないアクセス制限を実現することができる。
(3) There is no need to introduce an application that restricts access and does not depend on the OS or application, and the access control function is incorporated as a function (module) of the VMM in the client, so it does not depend on the OS or application. Access restrictions can be realized.
(4)利用者によって操作されない
上記と同様、アクセス制限を行うアプリケーション等を導入する必要がなく、アクセス制御機能はクライアントの中のVMMの一機能(モジュール)として組み込まれているため、利用者によりアクセス制御機能を停止するなどの操作が行われることがなく、高いセキュリティを維持することができる。
(4) Not operated by the user As described above, it is not necessary to introduce an application or the like that restricts access, and the access control function is incorporated as a function (module) of the VMM in the client. Operation such as stopping the access control function is not performed, and high security can be maintained.
なお、上記実施形態では、フィルタリングルールFRが「アクセス制限」の対象となるURIおよびリクエストメソッドを示すものとして説明したが、代わりに、このフィルタリングルールFRを「アクセス許可」の対象となるURIおよびリクエストメソッドを示すものとして構成してもよい。 In the above embodiment, the filtering rule FR has been described as indicating the URI and request method subject to “access restriction”, but instead, this filtering rule FR is designated as the URI and request subject to “access permission”. It may be configured to indicate a method.
その場合、判別機能33は、ゲストOS40から発行されるパケットを監視し、当該パケットがHTTP要求パケットである場合に、そのパケットのHTTPコマンドが示すURIおよびリクエストメソッドが、一時記憶部31上のフィルタリングルールFRが「アクセス許可」の対象としているURIおよびリクエストメソッドに該当するか否かを判別するものとする。また、パケット破棄機能34は、一時記憶部31上のフィルタリングルールFRが「アクセス許可」の対象としているURIおよびリクエストメソッドを有するパケットが検出された場合に、そのパケットを通過させ、これ以外のパケットについては破棄するものとする。
In this case, the
本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。 The present invention is not limited to the above-described embodiments as they are, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of components disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.
1…フィルタリング管理サーバ、10…クライアント、11…NIC、12…OS、13…Webサーバ、14…記憶部、20…NIC、30…VMM、31…一時記憶部、32…フィルタリングルール取得機能、33…判別機能、34…パケット破棄機能、40…ゲストOS、50…アプリケーション、60…アクセス制御機能モジュール、101…アクセス制限対象のサーバ、102…アクセス制限対象外のサーバ、
FR…フィルタリングルール、N…インターネット。
DESCRIPTION OF
FR: Filtering rules, N: Internet.
Claims (5)
前記コンピュータの起動時に、インターネットを経由して所定のサーバ機器にアクセスし、前記サーバ機器から、少なくともアクセス制限の対象となるHTTPパケット内にあるURIおよびリクエストメソッドを示すフィルタリングルールの情報を取得して前記コンピュータの中の所定の記憶媒体に記憶させるフィルタリングルール取得機能と、
ゲストOSから発行されるパケットを監視し、当該パケットがHTTP要求パケットである場合に、そのパケットのHTTPコマンドが示すURIおよびリクエストメソッドが、前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドに該当するか否かを判別する判別機能と、
前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドを有するパケットがある場合にそのパケットを破棄するパケット破棄機能と
を前記VMMによりコンピュータに実現させるためのアクセス制御用プログラム。 An access control program incorporated in a virtual machine monitor (VMM) of a computer,
When the computer is started, a predetermined server device is accessed via the Internet, and at least information on a filtering rule indicating a URI and a request method in an HTTP packet subject to access restriction is acquired from the server device. A filtering rule acquisition function to be stored in a predetermined storage medium in the computer;
When a packet issued from the guest OS is monitored and the packet is an HTTP request packet, the URI and request method indicated by the HTTP command of the packet are the URI and request that are subject to access restriction by the filtering rule. A discriminating function for discriminating whether or not the method is applicable;
An access control program for causing a computer to realize a packet discard function for discarding a packet having a URI and a request method subject to access restriction by the filtering rule.
前記仮想マシンから発行されるパケットがHTTP要求パケットに該当するか否かを判別する第1の判別機能と、
前記第1の判別機能の判別結果が該当を示す場合に、そのHTTP要求パケットのHTTPコマンドからホスト名、リクエストURI、および当該URIに対するリクエストメソッドを取得し、取得したホスト名とリクエストURIとを結合した文字列が、前記フィルタリングルールによりアクセス制限の対象とされているURIに該当するか否かを判別する第2の判別機能と、
前記第2の判別機能の判別結果が該当を示す場合に、取得したリクエストメソッドが、前記フィルタリングルールが当該URIについてアクセス制限の対象としているリクエストメソッドに該当するか否かを判別する第3の判別機能とを具備し、
前記パケット破棄機能は、前記第3の判別機能の判別結果が該当を示す場合に、当該HTTP要求パケットを破棄することを特徴とするアクセス制御用プログラム。 The discrimination function is
A first determination function for determining whether or not a packet issued from the virtual machine corresponds to an HTTP request packet;
When the determination result of the first determination function indicates that the host name, the request URI, and the request method for the URI are acquired from the HTTP command of the HTTP request packet, the acquired host name and the request URI are combined. A second discriminating function for discriminating whether or not the character string corresponding to the URI subject to access restriction by the filtering rule;
Third determination for determining whether or not the acquired request method corresponds to a request method for which the filtering rule is an access restriction target for the URI when the determination result of the second determination function indicates the corresponding With functions,
The access control program, wherein the packet discard function discards the HTTP request packet when the determination result of the third determination function indicates appropriate.
前記プログラムは、
前記情報処理装置の起動時に、インターネットを経由して所定のサーバ機器にアクセスし、前記サーバ機器から、少なくともアクセス制限の対象となるHTTPパケット内にあるURIおよびリクエストメソッドを示すフィルタリングルールの情報を取得して前記コンピュータの中の所定の記憶媒体に記憶させるフィルタリングルール取得機能と、
ゲストOSから発行されるパケットを監視し、当該パケットがHTTP要求パケットである場合に、そのパケットのHTTPコマンドが示すURIおよびリクエストメソッドが、前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドに該当するか否かを判別する判別機能と、
前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドを有するパケットがある場合にそのパケットを破棄するパケット破棄機能と
を有することを特徴とする情報処理装置。 An information processing apparatus in which a predetermined program is incorporated in a virtual machine monitor (VMM),
The program is
When starting up the information processing apparatus, a predetermined server device is accessed via the Internet, and at least information on filtering rules indicating a URI and a request method in an HTTP packet subject to access restriction is obtained from the server device. Filtering rule acquisition function to be stored in a predetermined storage medium in the computer,
When a packet issued from the guest OS is monitored and the packet is an HTTP request packet, the URI and request method indicated by the HTTP command of the packet are the URI and request that are subject to access restriction by the filtering rule. A discriminating function for discriminating whether or not the method is applicable;
An information processing apparatus comprising: a packet discard function that discards a packet having a URI and a request method that are subject to access restriction according to the filtering rule.
クライアント機器の仮想マシンモニタ(VMM)に、所定のプログラムを組み込んでおき、
前記プログラムが、
前記クライアント機器の起動時に、インターネットを経由して前記サーバ機器にアクセスし、前記サーバ機器から、前記フィルタリングルールの情報を取得して前記クライアント機器の中の所定の記憶媒体に記憶し、
ゲストOSから発行されるパケットを監視し、当該パケットがHTTP要求パケットである場合に、そのパケットのHTTPコマンドが示すURIおよびリクエストメソッドが、前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドに該当するか否かを判別し、
前記フィルタリングルールによりアクセス制限の対象とされているURIおよびリクエストメソッドを有するパケットがある場合にそのパケットを破棄する
ことを特徴とするアクセス制御方法。 Store at least information on filtering rules indicating URIs and request methods in HTTP packets subject to access restriction in a predetermined server device,
A predetermined program is installed in the virtual machine monitor (VMM) of the client device,
The program is
When the client device is activated, the server device is accessed via the Internet, and the filtering rule information is acquired from the server device and stored in a predetermined storage medium in the client device,
When a packet issued from the guest OS is monitored and the packet is an HTTP request packet, the URI and request method indicated by the HTTP command of the packet are the URI and request that are subject to access restriction by the filtering rule. Determine if it falls under the method,
An access control method, comprising: discarding a packet having a URI and a request method subject to access restriction by the filtering rule.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011073166A JP5178871B2 (en) | 2011-03-29 | 2011-03-29 | Client equipment and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011073166A JP5178871B2 (en) | 2011-03-29 | 2011-03-29 | Client equipment and system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012208681A true JP2012208681A (en) | 2012-10-25 |
| JP5178871B2 JP5178871B2 (en) | 2013-04-10 |
Family
ID=47188359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011073166A Expired - Fee Related JP5178871B2 (en) | 2011-03-29 | 2011-03-29 | Client equipment and system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5178871B2 (en) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001318797A (en) * | 2000-05-10 | 2001-11-16 | Nec Corp | Automatic data processor |
| JP2002073548A (en) * | 2000-09-05 | 2002-03-12 | Maspro Denkoh Corp | Data access limiting device |
| JP2004110806A (en) * | 2002-08-30 | 2004-04-08 | Matsushita Electric Ind Co Ltd | Information filtering device, information filtering method, method execution program and program storage medium |
| JP2004145583A (en) * | 2002-10-24 | 2004-05-20 | Nippon Telegr & Teleph Corp <Ntt> | Filtering system |
| JP2004151886A (en) * | 2002-10-29 | 2004-05-27 | Toshiba Corp | Secure communication system and method and its program |
| JP2008165794A (en) * | 2006-12-29 | 2008-07-17 | Intel Corp | Embedded mechanism for platform vulnerability assessment |
-
2011
- 2011-03-29 JP JP2011073166A patent/JP5178871B2/en not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001318797A (en) * | 2000-05-10 | 2001-11-16 | Nec Corp | Automatic data processor |
| JP2002073548A (en) * | 2000-09-05 | 2002-03-12 | Maspro Denkoh Corp | Data access limiting device |
| JP2004110806A (en) * | 2002-08-30 | 2004-04-08 | Matsushita Electric Ind Co Ltd | Information filtering device, information filtering method, method execution program and program storage medium |
| JP2004145583A (en) * | 2002-10-24 | 2004-05-20 | Nippon Telegr & Teleph Corp <Ntt> | Filtering system |
| JP2004151886A (en) * | 2002-10-29 | 2004-05-27 | Toshiba Corp | Secure communication system and method and its program |
| JP2008165794A (en) * | 2006-12-29 | 2008-07-17 | Intel Corp | Embedded mechanism for platform vulnerability assessment |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5178871B2 (en) | 2013-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109196505B (en) | Hardware-based virtualized security isolation | |
| US11363067B2 (en) | Distribution and management of services in virtual environments | |
| CN109923522B (en) | Anonymous container | |
| US7836501B2 (en) | Client compliancy with self-policing clients | |
| JP6006788B2 (en) | Using DNS communication to filter domain names | |
| US20130254870A1 (en) | Detecting and Thwarting Browser-Based Network Intrusion Attacks By a Virtual Machine Monitoring System, Apparatus, and Method | |
| US20170250998A1 (en) | Systems and methods of preventing infection or data leakage from contact with a malicious host system | |
| JP2019097133A (en) | Communication monitoring system and communication monitoring method | |
| WO2016082756A1 (en) | Application access authority control | |
| WO2014127653A1 (en) | Method, device and system for visiting malicious website | |
| Benzidane et al. | Secured architecture for inter-VM traffic in a Cloud environment | |
| JP5743822B2 (en) | Information leakage prevention device and restriction information generation device | |
| US12015594B2 (en) | Policy integration for cloud-based explicit proxy | |
| JP5178871B2 (en) | Client equipment and system | |
| WO2019106938A1 (en) | Illegal access prevention function device, illegal access prevention function system, network security monitoring method, and illegal access prevention program | |
| JP2018163589A (en) | Communication system, server device, and gateway server | |
| O'Leary et al. | Attacking the Windows Domain | |
| JP2016201081A (en) | Communication apparatus and program | |
| Dam | Usable Privacy with ARP Spoofing | |
| JP2016181891A (en) | Communication system, communication device, and program | |
| JP2010271764A (en) | Method and system for restricting client computer accessible for existing file server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120911 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121031 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121211 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130108 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5178871 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |