JP5178871B2 - Client equipment and system - Google Patents
Client equipment and system Download PDFInfo
- Publication number
- JP5178871B2 JP5178871B2 JP2011073166A JP2011073166A JP5178871B2 JP 5178871 B2 JP5178871 B2 JP 5178871B2 JP 2011073166 A JP2011073166 A JP 2011073166A JP 2011073166 A JP2011073166 A JP 2011073166A JP 5178871 B2 JP5178871 B2 JP 5178871B2
- Authority
- JP
- Japan
- Prior art keywords
- uri
- request
- packet
- filtering rule
- function unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ユーザによるウェブへのアクセスを制御するクライアント機器およびシステムに関する。 The present invention relates to a client device and a system for controlling access to the web by a user.
近年、誰もがコンピュータなどの情報処理装置を用いて、あらゆる情報をインターネットを通じて容易に取得したり送ったりすることができるようになっている。その一方で、企業内等での私的なインターネット利用、例えば業務中の私的なWebサイトの閲覧のほか、悪質なWebサイトの閲覧によるコンピュータウイルスの感染、それによる機密情報漏洩等が問題になっている。 In recent years, it has become possible for anyone to easily acquire and send all kinds of information through the Internet using an information processing apparatus such as a computer. On the other hand, in addition to private Internet use within the company, for example, browsing private websites during work, computer virus infections due to malicious website browsing, leaking confidential information, etc. It has become.
このような問題を解決するために、例えば次のような方法を用いることが考えられる。 In order to solve such a problem, for example, the following method may be used.
1つ目は、ユーザが使用するクライアント機器が接続するネットワーク上に、プロキシサーバ等のフィルタリングを行うサーバ機器(フィルタリングサーバ)を設置し、クライアント機器がこのフィルタリングサーバを介してインターネットへ通信するように構成することで、クライアント機器からインターネットへのアクセスを制限するという方法である。 First, a server device (filtering server) that performs filtering, such as a proxy server, is installed on a network to which a client device used by a user is connected, and the client device communicates with the Internet via this filtering server. By configuring, it is a method of restricting access from the client device to the Internet.
2つ目は、ユーザが使用するクライアント機器に、アクセス制限を行うアプリケーションを導入することで、クライアント機器からインターネットへのアクセスを制限するという方法である。 The second is a method of restricting access from the client device to the Internet by introducing an application for restricting access to the client device used by the user.
しかしながら、1つ目の方法では、アクセス制限を行うことができる範囲は、フィルタリングサーバ等が設置されている同一のネットワーク内に接続しているクライアント機器だけに限られ、別のネットワークに接続しているクライアント機器についてはアクセスを制限することができない。 However, in the first method, the range in which access can be restricted is limited to only client devices connected to the same network where the filtering server is installed, and can be connected to another network. Access cannot be restricted for existing client devices.
ここで言う同一のネットワークとは同一のサブネットマスク内のネットワークを指す。 Here, the same network refers to a network within the same subnet mask.
また、2つ目の方法では、アクセス制限を行うアプリケーションはクライアント機器のOS(オペレーティングシステム)上で動作するため、利用者自身がクライアント機器のアプリケーションを故意に停止させることが可能であり、必ずしもアクセス制限が行われるという保証はない。 In the second method, since the application for restricting access operates on the OS (operating system) of the client device, the user himself can intentionally stop the application of the client device, and the access is not always necessary. There is no guarantee that restrictions will be enforced.
本発明は上記実情に鑑みてなされたものであり、ネットワーク環境や、OS、アプリケーション等に依存しないアクセス制御を実現するクライアント機器およびシステムを提供することを目的とする。 The present invention has been made in view of the above circumstances, and an object thereof is to provide a client device and a system that realizes access control independent of a network environment, an OS, an application, and the like.
本発明の一態様によるクライアント機器は、仮想マシンモニタ(VMM)が搭載されたクライアント機器であって、仮想マシンモニタには、該仮想マシンモニタの起動後、通信確立時に、インターネットを経由して所定のサーバ機器にアクセスするためのIPアドレスを記憶すると共に、前記サーバ機器から、少なくともアクセス制限若しくはアクセス許可の対象となるHTTPパケット内にあるURIおよび当該URIに対するGETリクエストの制限の有無、および当該URIに対するPOSTリクエストの制限の有無を示すフィルタリングルールの情報を取得して前記仮想マシンモニタの中の所定の記憶媒体に記憶させるフィルタリングルール取得機能部と、取得したフィルタリングルールを一時記憶する一時記憶部と、前記クライアントの仮想マシンから発行されるパケットがHTTP要求パケットに該当するか否かを判別する第1の判別機能部と、該第1の判別機能部の判別結果が該当を示す場合に、そのHTTP要求パケットのHTTPコマンドからホスト名、リクエストURI、および当該URIに対するリクエストメソッドを取得し、取得したホスト名とリクエストURIとを結合した文字列が、前記フィルタリングルールによりアクセス制限若しくはアクセス許可の対象とされているURIに該当するか否かを判別する第2の判別機能部と、該第2の判別機能部の判別結果が該当を示す場合に、取得したリクエストメソッドが、前記フィルタリングルールが当該URIについてアクセス制限の対象としているリクエストメソッドに該当するか否かを判別する第3の判別機能部とを備えた判別機能部と、前記フィルタリングルールがアクセス制限を設定している場合は前記第3の判別機能部の判別結果が該当を示す場合に、当該HTTP要求パケットを破棄し、前記フィルタリングルールがアクセス許可を設定している場合は前記第3の判別機能部の判別結果が非該当を示す場合に、当該HTTP要求パケットを破棄するパケット破棄機能部とを有することを特徴とする。 A client device according to an aspect of the present invention is a client device on which a virtual machine monitor (VMM) is mounted. The virtual machine monitor includes a predetermined value via the Internet when communication is established after the virtual machine monitor is activated. An IP address for accessing the server device, and at least a URI in the HTTP packet subject to access restriction or access permission from the server device, whether or not there is a GET request restriction on the URI, and the URI A filtering rule acquisition function unit that acquires information on a filtering rule indicating whether or not there is a restriction on a POST request for the virtual machine monitor, and stores the information in a predetermined storage medium in the virtual machine monitor; and a temporary storage unit that temporarily stores the acquired filtering rule; , Said Claire A first discrimination function unit for discriminating whether or not a packet issued from a virtual machine of the second node corresponds to an HTTP request packet, and the HTTP request when the discrimination result of the first discrimination function unit indicates A host name, a request URI, and a request method for the URI are acquired from the HTTP command of the packet, and a character string obtained by combining the acquired host name and the request URI is subject to access restriction or access permission according to the filtering rule. A second determination function unit for determining whether or not the corresponding URI is present, and when the determination result of the second determination function unit indicates that the acquired request method indicates that the filtering rule accesses the URI Third to determine whether the request method is subject to restriction A discrimination function unit including a discrimination function unit; and if the filtering rule sets an access restriction, discarding the HTTP request packet when the discrimination result of the third discrimination function unit indicates appropriate; A packet discard function unit that discards the HTTP request packet when the determination result of the third determination function unit indicates non-applicability when the filtering rule sets access permission; .
本発明の他の態様によるシステムは、フィルタリングルールを管理するフィルタリングルール管理サーバと仮想マシンモニタが組み込まれたクライアント機器とを備えたシステムであって、前記フィルタリング管理サーバはクライアント機器によるアクセス制限若しくはアクセス許可の対象となるHTTP上のURIおよび当該URIに対するGETリクエストの制限の有無、および当該URIに対するPOSTリクエストの制限の有無を示すフィルタリングルールの情報が記憶され、前記クライアント機器の仮想マシンモニタは、その起動後、通信確立時に、インターネットを経由して前記フィルタリング管理サーバにアクセスするためのIPアドレスを記憶すると共に、前記フィルタリング管理サーバに記憶されたフィルタリングルールの情報を取得するフィルタリングルール取得機能部と、前記取得したフィルタリングルールを前記仮想マシンモニタ内の記憶媒体に一時記憶する一時記憶部と、前記クライアント機器の仮想マシンから発行されるパケットがHTTP要求パケットに該当するか否かを判別する第1の判別機能部と、該第1の判別機能部の判別結果が該当を示す場合に、そのHTTP要求パケットのHTTPコマンドからホスト名、リクエストURI、および当該URIに対するリクエストメソッドを取得し、取得したホスト名とリクエストURIとを結合した文字列が、前記フィルタリングルールによりアクセス制限若しくはアクセス許可の対象とされているURIに該当するか否かを判別する第2の判別機能部と、該第2の判別機能部の判別結果が該当を示す場合に、取得したリクエストメソッドが、前記フィルタリングルールが当該URIについてアクセス制限若しくはアクセス許可の対象としているリクエストメソッドに該当するか否かを判別する第3の判別機能部とを備えた判別機能部と、前記第3の判別機能部の判別結果が該当を示す場合に、当該HTTP要求パケットを破棄するパケット破棄機能部とを備えたことを特徴とする。 A system according to another aspect of the present invention includes a filtering rule management server for managing filtering rules and a client device incorporating a virtual machine monitor, wherein the filtering management server is configured to restrict access or access by the client device. Information on the HTTP URI to be permitted, whether there is a restriction on the GET request for the URI, and filtering rule information indicating whether there is a restriction on the POST request for the URI are stored, and the virtual machine monitor of the client device After starting, when establishing communication, the IP address for accessing the filtering management server via the Internet is stored, and the filtering rule stored in the filtering management server A filtering rule acquisition function unit that acquires information, a temporary storage unit that temporarily stores the acquired filtering rule in a storage medium in the virtual machine monitor, and a packet issued from the virtual machine of the client device is an HTTP request packet A first discriminating function unit for discriminating whether or not it corresponds, and when the discrimination result of the first discriminating function unit indicates that the host name, the request URI, and the URI from the HTTP command of the HTTP request packet A second method for determining whether or not a character string obtained by combining the acquired host name and request URI corresponds to a URI that is subject to access restriction or access permission according to the filtering rule. The discrimination function unit and the discrimination result of the second discrimination function unit indicate that A determination function unit including a third determination function unit that determines whether the acquired request method corresponds to a request method for which the filtering rule is subject to access restriction or access permission for the URI; And a packet discard function unit for discarding the HTTP request packet when the determination result of the third determination function unit indicates that it corresponds .
本発明によれば、ネットワーク環境や、OS、アプリケーション等に依存しないアクセス制御を実現するクライアント機器およびシステムを提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the client apparatus and system which implement | achieve access control independent of a network environment, OS, an application, etc. can be provided.
以下、図面を参照して、本発明の実施の形態について説明する。 Embodiments of the present invention will be described below with reference to the drawings.
なお、本実施形態では、便宜上、サーバ機器を「サーバ」と呼び、クライアント機器を「クライアント」と呼ぶ。 In this embodiment, for convenience, the server device is referred to as a “server” and the client device is referred to as a “client”.
図1は、本発明の一実施形態に係るアクセス制御方法が適用される通信システムの一例を示す模式図である。 FIG. 1 is a schematic diagram illustrating an example of a communication system to which an access control method according to an embodiment of the present invention is applied.
図1に示される通信システムの中には、インターネットNを通じて接続可能な、フィルタリング管理サーバ(コンピュータ)1、クライアント(コンピュータ)10、アクセス制限対象のサーバ(コンピュータ)101、およびアクセス制限対象外のサーバ(コンピュータ)102が存在する。なお、図1においては、アクセス制限対象のサーバ101,アクセス制限対象外のサーバ102が1台ずつしか図示されていないが、実際にはそれぞれが複数台存在する。クライアント10についても、1台しか図示されていないが、実際には複数台存在する。
In the communication system shown in FIG. 1, a filtering management server (computer) 1, a client (computer) 10, a server (computer) 101 subject to access restriction, and a server not subject to access restriction, which can be connected through the Internet N. (Computer) 102 exists. In FIG. 1, only one
フィルタリング管理サーバ1は、クライアント10がWeb上のリソースである、Webサイトにアクセスする際のアクセス制限の対象となる、HTTP(Hypertext Transfer Protocol)パケット内にあるURI(Uniform Resource Identifier)およびリクエストメソッドを示すフィルタリングルールの情報(以下、「フィルタリングルールFR」と称す。)を記憶している。フィルタリングルールFRは、少なくともアクセス制限の対象となるURI、当該URIに対するGETリクエストの制限の有無、および当該URIに対するPOSTリクエストの制限の有無を示す。
The filtering management server 1 stores a URI (Uniform Resource Identifier) and a request method in an HTTP (Hypertext Transfer Protocol) packet, which is an access restriction target when the
より具体的には、フィルタリングルールFRは、図2に示されるような情報を有する。 More specifically, the filtering rule FR has information as shown in FIG.
すなわち、設定項目として、アクセス制限の対象となる「URI」があり、「URI」の設定内容として「http://・・・」などが登録される。ここには、例えば、アクセス制限対象のサーバ101のURIが登録され、一方、アクセス制限対象外のサーバ102のURIは登録されない。
That is, as a setting item, there is “URI” subject to access restriction, and “http: //...” Or the like is registered as the setting content of “URI”. Here, for example, the URI of the
また、このアクセス制限の対象となる「URI」に対し、リクエストメソッド毎にリクエストを許可すべきか禁止すべきかを設定できるように、設定項目として「GETリクエスト制限」および「POSTリクエスト制限」が用意されている。なお、ここでは2種類のリクエストメソッドについてのみ設定できる例を示しているが、リクエストメソッド以外に設定項目があってもよい。「GETリクエスト制限」の設定内容としては、リクエストメソッド「GET」の許可または禁止を指定するために、「True」(真)または「False」(偽)を示す真偽値が登録される。「POSTリクエスト制限」の設定内容も、同様に、リクエストメソッド「POST」の許可または禁止を指定するために、「True」(真)または「False」(偽)を示す真偽値が登録される。これにより、GETリクエストとPOSTリクエストの両方を禁止したり、GETリクエストとPOSTリクエストのいずれか一方のみを禁止したりすることが可能となる。 In addition, “GET request restriction” and “POST request restriction” are prepared as setting items so that it is possible to set whether to allow or prohibit a request for each request method for the “URI” subject to the access restriction. ing. Although an example in which only two types of request methods can be set is shown here, there may be setting items other than the request method. As a setting content of “GET request restriction”, a true / false value indicating “True” (true) or “False” (false) is registered in order to designate permission or prohibition of the request method “GET”. Similarly, in the setting contents of “POST request restriction”, a true / false value indicating “True” (true) or “False” (false) is registered in order to specify permission or prohibition of the request method “POST”. . This makes it possible to prohibit both GET requests and POST requests, or to prohibit only one of GET requests and POST requests.
クライアント10は、NIC(Network Interface Card)20、VMM(Virtual Machine Monitor)30、ゲストOS40、およびアプリケーション50を有する。
The
NIC20は、クライアント10がインターネットNに接続するための通信インタフェースを実現するカードである。
The NIC 20 is a card that implements a communication interface for the
VMM30は、仮想マシンモニタであり、コンピュータを仮想化し、複数の異なる仮想マシンを並列に実行できるようにするためのソフトウェアである。その動作は、クライアントのネットワーク環境や、OS、アプリケーション等に依存しない。このVMM30は、後で詳述する一時記憶部31、フィルタリングルール取得機能32、判別機能33、およびパケット破棄機能34を有する。
The VMM 30 is a virtual machine monitor, and is software for virtualizing a computer so that a plurality of different virtual machines can be executed in parallel. The operation does not depend on the network environment of the client, the OS, the application, or the like. The VMM 30 includes a
なお、フィルタリングルール取得機能32、判別機能33、およびパケット破棄機能34は、アクセス制御機能モジュール60を構成する。このアクセス制御機能モジュール60は、アクセス制御機能を実現するためにVMM30に組み込まれたプログラムである。すなわち、アクセス制御機能モジュール60は、フィルタリングルール取得機能32、判別機能33、およびパケット破棄機能34を、VMM30によりコンピュータに実現させるためのアクセス制御用プログラムである。
The filtering
一時記憶部31は、クライアント10の起動時に、インターネットN経由でフィルタリングルール管理サーバ1から取得されるフィルタリングルールFRを記憶するものであり、RAM等を用いて実現される。
The
ゲストOS40は、クライアント10の動作を統括して制御し、VMM30により監視され、VMM30に対し、Web上のリソースへのアクセス要求を含む各種の要求を行う。
The guest OS 40 controls the operation of the
アプリケーション50は、ユーザが使用するインターネット閲覧ソフトなどのソフトウェアである。
The
図3は、クライアント10の機能構成の一例を示すブロック図である。なお、図1と共通する要素には同一の符号を付している。
FIG. 3 is a block diagram illustrating an example of a functional configuration of the
クライアント10は、前述したように、NIC20、VMM30、およびゲストOS40を有し、VMM30は、一時記憶部31、フィルタリングルール取得機能32、判別機能33、およびパケット破棄機能34を有し、また、フィルタリングルール取得機能32、判別機能33、およびパケット破棄機能34は、アクセス制御機能モジュール60を構成している。
As described above, the
一時記憶部31は、クライアント10の起動時に、フィルタリングルール取得機能32によりNIC20を通じてインターネットN経由でフィルタリングルール管理サーバ1から取得されるフィルタリングルールFRを一時的に記憶するものであり、ここに記憶されたフィルタリングルールFRは、クライアント10の動作中、アクセス制御機能を実現するために使用される。このフィルタリングルールFRは、クライアント10がシャットダウンした際には消去される。
The
また、管理サーバのIPアドレスはクライアント10のフィルタリングルール取得機能32にあらかじめ設定しておく。
Further, the IP address of the management server is set in advance in the filtering
フィルタリングルール取得機能32は、クライアント10の起動時に、インターネットNを経由してフィルタリング管理サーバ1にアクセスし、このフィルタリング管理サーバ1から、アクセス制限の対象となるURIおよびリクエストメソッドを示すフィルタリングルールFRを取得して、クライアント10の中の一時記憶部31に記憶させる機能である。
When the
判別機能33は、ゲストOS40から発行されるパケットを監視し、当該パケットがHTTP要求パケットである場合に、そのパケットのHTTPコマンドが示すURIおよびリクエストメソッドが、一時記憶部31上のフィルタリングルールFRによりアクセス制限の対象とされているURIおよびリクエストメソッドに該当するか否かを判別する機能である。
The
より具体的には、判別機能33は、ゲストOSから発行されるパケットがHTTP要求パケットに該当するか否かを判別する第1の判別機能と、この第1の判別機能の判別結果が該当を示す場合に、そのHTTP要求パケットのHTTPコマンドからホスト名、リクエストURI、および当該URIに対するリクエストメソッドを取得し、取得したホスト名とリクエストURIとを結合した文字列が、フィルタリングルールFRによりアクセス制限の対象とされているURIに該当するか否かを判別する第2の判別機能と、この第2の判別機能の判別結果が該当を示す場合に、取得したリクエストメソッドが、フィルタリングルールFRが当該URIについてアクセス制限の対象としているリクエストメソッドに該当するか否かを判別する第3の判別機能とを有する。
More specifically, the
パケット破棄機能34は、一時記憶部31上のフィルタリングルールFRによりアクセス制限の対象とされているURIおよびリクエストメソッドを有するパケットが検出された場合に、そのパケットを破棄する機能である。
The packet discard
図4は、フィルタリングルール管理サーバ1の機能構成の一例を示すブロック図である。なお、図1と共通する要素には同一の符号を付している。 FIG. 4 is a block diagram illustrating an example of a functional configuration of the filtering rule management server 1. In addition, the same code | symbol is attached | subjected to the element which is common in FIG.
フィルタリングルール管理サーバ1は、NIC11、OS12、Webサーバ13、および記憶部14を有する。
The filtering rule management server 1 includes a
NIC11は、フィルタリングルール管理サーバ1がインターネットNに接続するための通信インタフェースを実現するカードである。
The
OS12は、フィルタリングルール管理サーバ1に搭載される通常のオペレーティングシステムである。
The
Webサーバ13は、記憶部14に記憶されているフィルタリングルールFRを管理し、OS12を介して、クライアント10からのフィルタリングルール取得要求を受け付け、記憶部14に記憶されているフィルタリングルールFRをクライアント10へ送信する。
The
記憶部14は、フィルタリングルールFRを記憶する。このフィルタリングルールFRは、特定の管理者のみが更新することができる。
The
次に、図5のフローチャートを参照して、アクセス制御機能モジュール60による動作の一例を説明する。
Next, an example of the operation by the access
クライアント10が起動すると、通信確立後に、フィルタリングルール取得機能32が、NIC20を通じて、インターネットNに接続し、フィルタリング管理サーバ1にアクセスし(ステップS11)、フィルタリング管理サーバ1から、フィルタリングルールFRを取得して、これを一時記憶部31に一時記憶させる(ステップS12)。
When the
次に、判別機能33が、ゲストOS40から発行されるパケットを監視し、ゲストOS40からパケットを受信するまで待機する(ステップS13)。
Next, the
判別機能33は、ゲストOS40からパケットを受信すると、そのパケットがHTTP要求パケットであるか否かを判定する(ステップS14)。そのパケットがHTTP要求パケットでない場合(ステップS14のNO)、パケット破棄機能34は、そのパケットを通過させる(ステップS21)。
When receiving a packet from the
一方、そのパケットがHTTP要求パケットである場合(ステップS14のYES)、判別機能33は、そのパケットのHTTPコマンドからホスト名、リクエストURI、およびリクエストメソッドを取得し(ステップS15)、取得したホスト名とリクエストURIを結合した文字列が、一時記憶部31上のフィルタリングルールFRに示されるいずれかのURIと一致するか否かを判定する(ステップS16)。その文字列がいずれのURIとも一致しない場合(ステップS16のNO)、パケット破棄機能34は、そのパケットを通過させる(ステップS21)。
On the other hand, if the packet is an HTTP request packet (YES in step S14), the
一方、その文字列が、フィルタリングルールFRに示されるいずれかのURIと一致する場合(ステップS16のYES)、判別機能33は、取得したリクエストメソッドが「GET」であるか、それとも「POST」であるかを判定する(ステップS17,S18)。リクエストメソッドが「GET」でも「POST」でもない場合(ステップのS17のNO、ステップS18のNO)、パケット破棄機能34は、そのパケットを通過させる(ステップS21)。
On the other hand, if the character string matches any URI indicated in the filtering rule FR (YES in step S16), the
一方、取得したリクエストメソッドが「GET」である場合(ステップS17のYES)、判別機能33は、フィルタリングルールFR上の当該URIに対応するGETリクエスト制限が「真」を示しているか否かを判定する(ステップS19)。ここで、「真」ではなく、「偽」を示している場合(ステップS19のNO)、パケット破棄機能34は、そのパケットを通過させる(ステップS21)。一方、「真」を示している場合(ステップS19のYES)、パケット破棄機能34は、そのパケットを破棄する(ステップS22)。以降は、ステップS14からの処理が繰り返される。
On the other hand, when the acquired request method is “GET” (YES in step S17), the
また、取得したリクエストメソッドが「POST」である場合(ステップS18のYES)、判別機能33は、フィルタリングルールFR上の当該URIに対応するPOSTリクエスト制限が「真」を示しているか否かを判定する(ステップS20)。ここで、「真」ではなく、「偽」を示している場合(ステップS20のNO)、パケット破棄機能34は、そのパケットを通過させる(ステップS21)。一方、「真」を示している場合(ステップS20のYES)、パケット破棄機能34は、そのパケットを破棄する(ステップS22)。以降は、ステップS14からの処理が繰り返される。
When the acquired request method is “POST” (YES in step S18), the
このように上記実施形態によれば、アクセス制御機能モジュールが組み込まれ、管理サーバのIPアドレスが設定された、VMMを各クライアント機器にインストールし、起動時にアクセス制御機能モジュールがフィルタリングルールを取得しこれを用いてアクセス制御を実施することにより、ネットワーク環境や、OS、アプリケーション等に依存しないセキュリティの高い頑強なアクセス制御機能を容易に実現することができ、ユーザによる不適切なリソースへのアクセスを防ぐことができる。また、これにより、企業内等での私的なインターネット利用、例えば私的なサイトの閲覧のほか、悪質なサイトの閲覧によるコンピュータウイルスの感染、それによる機密情報漏洩等を未然に防ぐことが可能となる。 As described above, according to the above-described embodiment, the VMM in which the access control function module is incorporated and the IP address of the management server is set is installed in each client device. By implementing access control using, you can easily realize a robust and robust access control function that does not depend on the network environment, OS, applications, etc., and prevent users from accessing inappropriate resources be able to. In addition to this, it is possible to prevent private use of the Internet within the company, such as browsing private sites, computer virus infections due to malicious site browsing, and leakage of confidential information. It becomes.
また、上記実施形態の効果を分類すると以下のようになる。 The effects of the above embodiment are classified as follows.
(1)管理者の負担を軽減できる
アクセス制御機能がクライアント機器のVMMの一機能(モジュール)として組み込まれているため、利用者はアプリケーションやシステムを意識することがなく、また、アクセス制限に必要なフィルタリングルールは、アクセス制御機能モジュールがフィルタリングルール管理サーバと通信を行って取得するため、クライアント毎の個別設定を行う必要がなく、管理者の負担を軽減させることができる。
(1) Reduces the burden on the administrator Since the access control function is incorporated as a function (module) of the VMM of the client device, the user is not aware of the application or system and is necessary for access restriction. Since the access control function module communicates with the filtering rule management server and acquires the filtering rules, it is not necessary to perform individual settings for each client, and the burden on the administrator can be reduced.
(2)ネットワークに依存しない
ネットワーク上にアクセス制限を行うフィルタリングサーバ等を設置する必要がなく、アクセス制御機能はクライアントの中のVMMの一機能(モジュール)として組み込まれているため、ネットワークに依存しないアクセス制限を実現することができる。
(2) Network-independent There is no need to install a filtering server that restricts access on the network, and the access control function is incorporated as a function (module) of the VMM in the client, so it does not depend on the network. Access restrictions can be realized.
(3)OSやアプリケーションに依存しない
アクセス制限を行うアプリケーション等を導入する必要がなく、アクセス制御機能はクライアントの中のVMMの一機能(モジュール)として組み込まれているため、OSやアプリケーションに依存しないアクセス制限を実現することができる。
(3) There is no need to introduce an application that restricts access and does not depend on the OS or application, and the access control function is incorporated as a function (module) of the VMM in the client, so it does not depend on the OS or application. Access restrictions can be realized.
(4)利用者によって操作されない
上記と同様、アクセス制限を行うアプリケーション等を導入する必要がなく、アクセス制御機能はクライアントの中のVMMの一機能(モジュール)として組み込まれているため、利用者によりアクセス制御機能を停止するなどの操作が行われることがなく、高いセキュリティを維持することができる。
(4) Not operated by the user As described above, it is not necessary to introduce an application or the like that restricts access, and the access control function is incorporated as a function (module) of the VMM in the client. Operation such as stopping the access control function is not performed, and high security can be maintained.
なお、上記実施形態では、フィルタリングルールFRが「アクセス制限」の対象となるURIおよびリクエストメソッドを示すものとして説明したが、代わりに、このフィルタリングルールFRを「アクセス許可」の対象となるURIおよびリクエストメソッドを示すものとして構成してもよい。 In the above embodiment, the filtering rule FR has been described as indicating the URI and request method subject to “access restriction”, but instead, this filtering rule FR is designated as the URI and request subject to “access permission”. It may be configured to indicate a method.
その場合、判別機能33は、ゲストOS40から発行されるパケットを監視し、当該パケットがHTTP要求パケットである場合に、そのパケットのHTTPコマンドが示すURIおよびリクエストメソッドが、一時記憶部31上のフィルタリングルールFRが「アクセス許可」の対象としているURIおよびリクエストメソッドに該当するか否かを判別するものとする。また、パケット破棄機能34は、一時記憶部31上のフィルタリングルールFRが「アクセス許可」の対象としているURIおよびリクエストメソッドを有するパケットが検出された場合に、そのパケットを通過させ、これ以外のパケットについては破棄するものとする。
In this case, the
本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。 The present invention is not limited to the above-described embodiments as they are, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of components disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.
1…フィルタリング管理サーバ、10…クライアント、11…NIC、12…OS、13…Webサーバ、14…記憶部、20…NIC、30…VMM、31…一時記憶部、32…フィルタリングルール取得機能、33…判別機能、34…パケット破棄機能、40…ゲストOS、50…アプリケーション、60…アクセス制御機能モジュール、101…アクセス制限対象のサーバ、102…アクセス制限対象外のサーバ、
FR…フィルタリングルール、N…インターネット。
DESCRIPTION OF SYMBOLS 1 ... Filtering management server, 10 ... Client, 11 ... NIC, 12 ... OS, 13 ... Web server, 14 ... Storage part, 20 ... NIC, 30 ... VMM, 31 ... Temporary storage part, 32 ... Filtering rule acquisition function, 33 ...
FR: Filtering rules, N: Internet.
Claims (2)
仮想マシンモニタには、該仮想マシンモニタの起動後、通信確立時に、インターネットを経由して所定のサーバ機器にアクセスするためのIPアドレスを記憶すると共に、前記サーバ機器から、少なくともアクセス制限若しくはアクセス許可の対象となるHTTPパケット内にあるURIおよび当該URIに対するGETリクエストの制限の有無、および当該URIに対するPOSTリクエストの制限の有無を示すフィルタリングルールの情報を取得して前記仮想マシンモニタの中の所定の記憶媒体に記憶させるフィルタリングルール取得機能部と、
取得したフィルタリングルールを一時記憶する一時記憶部と、
前記クライアントの仮想マシンから発行されるパケットがHTTP要求パケットに該当するか否かを判別する第1の判別機能部と、該第1の判別機能部の判別結果が該当を示す場合に、そのHTTP要求パケットのHTTPコマンドからホスト名、リクエストURI、および当該URIに対するリクエストメソッドを取得し、取得したホスト名とリクエストURIとを結合した文字列が、前記フィルタリングルールによりアクセス制限若しくはアクセス許可の対象とされているURIに該当するか否かを判別する第2の判別機能部と、該第2の判別機能部の判別結果が該当を示す場合に、取得したリクエストメソッドが、前記フィルタリングルールが当該URIについてアクセス制限の対象としているリクエストメソッドに該当するか否かを判別する第3の判別機能部とを備えた判別機能部と、
前記フィルタリングルールがアクセス制限を設定している場合は前記第3の判別機能部の判別結果が該当を示す場合に、当該HTTP要求パケットを破棄し、前記フィルタリングルールがアクセス許可を設定している場合は前記第3の判別機能部の判別結果が非該当を示す場合に、当該HTTP要求パケットを破棄するパケット破棄機能部と
を有することを特徴とするクライアント機器。 A client device equipped with a virtual machine monitor (VMM) ,
The virtual machine monitor stores an IP address for accessing a predetermined server device via the Internet when communication is established after the virtual machine monitor is started , and at least access restriction or access permission from the server device. of the gET request to URI and the URI in the subject to the HTTP packet limits presence, and the URI of filtering rules indicating the presence or absence of restriction of the POST request for information to the virtual machine monitor of a given in obtaining A filtering rule acquisition function unit to be stored in a storage medium;
A temporary storage unit for temporarily storing the acquired filtering rules;
A first determination function unit for determining whether or not a packet issued from the virtual machine of the client corresponds to an HTTP request packet; and when the determination result of the first determination function unit indicates corresponding, the HTTP The host name, request URI, and request method for the URI are acquired from the HTTP command of the request packet, and the character string obtained by combining the acquired host name and request URI is subject to access restriction or access permission according to the filtering rule. A second discriminating function unit that discriminates whether or not the corresponding URI is applicable, and the determination result of the second discriminating function unit indicates that the acquired request method indicates that the filtering rule is related to the URI whether or not corresponding to the request method that is the subject of access restrictions A discrimination unit that includes a third discrimination unit to another,
When the filtering rule sets access restriction, when the determination result of the third determination function unit indicates that it is applicable, the HTTP request packet is discarded, and the filtering rule sets access permission client device, wherein the determination result of the third discrimination unit is to indicate not applicable, and a packet discarding function unit that discards the HTTP request packet.
前記フィルタリング管理サーバはクライアント機器によるアクセス制限若しくはアクセス許可の対象となるHTTP上のURIおよび当該URIに対するGETリクエストの制限の有無、および当該URIに対するPOSTリクエストの制限の有無を示すフィルタリングルールの情報が記憶され、The filtering management server stores the URI on the HTTP subject to the access restriction or access permission by the client device, the presence or absence of the GET request restriction on the URI, and the filtering rule information indicating the presence or absence of the POST request restriction on the URI. And
前記クライアント機器の仮想マシンモニタは、その起動後、通信確立時に、インターネットを経由して前記フィルタリング管理サーバにアクセスするためのIPアドレスを記憶すると共に、前記フィルタリング管理サーバに記憶されたフィルタリングルールの情報を取得するフィルタリングルール取得機能部と、前記取得したフィルタリングルールを前記仮想マシンモニタ内の記憶媒体に一時記憶する一時記憶部と、前記クライアント機器の仮想マシンから発行されるパケットがHTTP要求パケットに該当するか否かを判別する第1の判別機能部と、該第1の判別機能部の判別結果が該当を示す場合に、そのHTTP要求パケットのHTTPコマンドからホスト名、リクエストURI、および当該URIに対するリクエストメソッドを取得し、取得したホスト名とリクエストURIとを結合した文字列が、前記フィルタリングルールによりアクセス制限若しくはアクセス許可の対象とされているURIに該当するか否かを判別する第2の判別機能部と、該第2の判別機能部の判別結果が該当を示す場合に、取得したリクエストメソッドが、前記フィルタリングルールが当該URIについてアクセス制限若しくはアクセス許可の対象としているリクエストメソッドに該当するか否かを判別する第3の判別機能部とを備えた判別機能部と、The virtual machine monitor of the client device stores an IP address for accessing the filtering management server via the Internet when the communication is established after the activation, and information on the filtering rule stored in the filtering management server A filtering rule acquisition function unit that acquires the temporary filtering unit that temporarily stores the acquired filtering rule in a storage medium in the virtual machine monitor, and a packet issued from the virtual machine of the client device corresponds to an HTTP request packet A first discrimination function unit for discriminating whether or not to perform, and when the discrimination result of the first discrimination function unit indicates that the host name, the request URI, and the URI from the HTTP command of the HTTP request packet Get request method A second determination function unit for determining whether a character string obtained by combining the acquired host name and the request URI corresponds to a URI that is subject to access restriction or access permission according to the filtering rule; When the determination result of the second determination function unit indicates that the request method is acquired, it is determined whether the acquired request method corresponds to a request method for which the filtering rule is subject to access restriction or access permission for the URI. A discriminating function unit comprising three discriminating function units;
前記第3の判別機能部の判別結果が該当を示す場合に、当該HTTP要求パケットを破棄するパケット破棄機能部とを備えたことを特徴とするシステム。A system comprising: a packet discard function unit that discards the HTTP request packet when the determination result of the third determination function unit indicates that it corresponds.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011073166A JP5178871B2 (en) | 2011-03-29 | 2011-03-29 | Client equipment and system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011073166A JP5178871B2 (en) | 2011-03-29 | 2011-03-29 | Client equipment and system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012208681A JP2012208681A (en) | 2012-10-25 |
JP5178871B2 true JP5178871B2 (en) | 2013-04-10 |
Family
ID=47188359
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011073166A Expired - Fee Related JP5178871B2 (en) | 2011-03-29 | 2011-03-29 | Client equipment and system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5178871B2 (en) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3630087B2 (en) * | 2000-05-10 | 2005-03-16 | 日本電気株式会社 | Automatic data processor |
JP2002073548A (en) * | 2000-09-05 | 2002-03-12 | Maspro Denkoh Corp | Data access limiting device |
JP2004110806A (en) * | 2002-08-30 | 2004-04-08 | Matsushita Electric Ind Co Ltd | Information filtering device, information filtering method, method execution program and program storage medium |
JP2004145583A (en) * | 2002-10-24 | 2004-05-20 | Nippon Telegr & Teleph Corp <Ntt> | Filtering system |
JP4128849B2 (en) * | 2002-10-29 | 2008-07-30 | 株式会社東芝 | Secure communication system, method and program |
US8099786B2 (en) * | 2006-12-29 | 2012-01-17 | Intel Corporation | Embedded mechanism for platform vulnerability assessment |
-
2011
- 2011-03-29 JP JP2011073166A patent/JP5178871B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2012208681A (en) | 2012-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2017275464B2 (en) | Hardware-based virtualized security isolation | |
US10298610B2 (en) | Efficient and secure user credential store for credentials enforcement using a firewall | |
JP6006788B2 (en) | Using DNS communication to filter domain names | |
US7694343B2 (en) | Client compliancy in a NAT environment | |
JP5029701B2 (en) | Virtual machine execution program, user authentication program, and information processing apparatus | |
US8146137B2 (en) | Dynamic internet address assignment based on user identity and policy compliance | |
US8769128B2 (en) | Method for extranet security | |
US20130254870A1 (en) | Detecting and Thwarting Browser-Based Network Intrusion Attacks By a Virtual Machine Monitoring System, Apparatus, and Method | |
US20100281159A1 (en) | Manipulation of dhcp packets to enforce network health policies | |
JP2006252256A (en) | Network management system, method and program | |
JP2010520566A (en) | System and method for providing data and device security between an external device and a host device | |
Chen et al. | Application level network access control system based on TNC architecture for enterprise network | |
JP2019097133A (en) | Communication monitoring system and communication monitoring method | |
WO2021061526A1 (en) | Network cyber-security platform | |
CA2912774C (en) | Providing single sign-on for wireless devices | |
KR101910496B1 (en) | Network based proxy setting detection system through wide area network internet protocol(IP) validation and method of blocking harmful site access using the same | |
JP5178871B2 (en) | Client equipment and system | |
Benzidane et al. | Secured architecture for inter-VM traffic in a Cloud environment | |
JP2017085273A (en) | Control system, control device, control method and program | |
WO2019106938A1 (en) | Illegal access prevention function device, illegal access prevention function system, network security monitoring method, and illegal access prevention program | |
JP2021165977A (en) | Server device and network system | |
JP5032246B2 (en) | System and control method | |
JP2016201081A (en) | Communication apparatus and program | |
JP2016181891A (en) | Communication system, communication device, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120911 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121031 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121211 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130108 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5178871 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |