JP6214445B2 - Vpn通信端末、vpn通信制御方法及びプログラム - Google Patents
Vpn通信端末、vpn通信制御方法及びプログラム Download PDFInfo
- Publication number
- JP6214445B2 JP6214445B2 JP2014064050A JP2014064050A JP6214445B2 JP 6214445 B2 JP6214445 B2 JP 6214445B2 JP 2014064050 A JP2014064050 A JP 2014064050A JP 2014064050 A JP2014064050 A JP 2014064050A JP 6214445 B2 JP6214445 B2 JP 6214445B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- vpn
- virtual network
- application
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、VPN(Virtual Private Network)サーバとVPN通信するVPN通信端末に搭載する通信技術に関する。
VPN通信技術は、出張先等のネットワークからVPNサーバ経由で企業内に構築されたネットワークを利用する目的で使用される。出張先等のネットワークはインターネット上のネットワークに接続することが多く、VPNセッションを確立する前は、インターネット上のネットワークに端末内の機密情報が漏洩するリスクがある。
従来のパーソナルファイアウォールシステム(以下「パーソナルファイアウォール」という)では、アプリケーションプログラム(以下「アプリケーション」という)からVPNサーバへの通信のみを許可することで、インターネット上のネットワークに端末内の機密情報が漏洩するのを防止している。しかし、VPN内のネットワークを利用するためには、VPNサーバへの通信の他に、VPN内への通信も識別して許可する必要がある。アプリケーションからVPN内への通信の識別は、VPNのネットワークインターフェースへの通信で識別することが可能である。
しかし、VPNのネットワークインターフェースは、VPN製品毎に各社が独自に開発している。このため、各製品共通でVPNのネットワークインターフェースを識別する情報が存在しない。また、VPNのネットワークインターフェースは、VPNクライアントがVPNセッションの確立後に動的に生成する。そのため、VPNのネットワークインターフェースを識別するには、VPN製品毎にVPNのネットワークインターフェースの固有識別情報を事前に調査してパーソナルファイアウォールに登録する必要がある。
そこで、本発明は、VPNのネットワークインターフェースの固有識別情報をパーソナルファイアウォールに登録しなくても、アプリケーションからVPNサーバへの通信のみを許可しつつ、アプリケーションからVPN内への通信を許可することができる通信機能を提供する。
このために、本発明は、VPN通信端末内のパーソナルファイアウォールシステムに、OS(Operating System)への仮想ネットワークI/Fの生成を監視する機能と、アプリケーションから物理ネットワークI/Fへの通信はVPNサーバへの通信のみを許可する機能と、アプリケーションから仮想ネットワークI/Fへの通信を全て許可する機能と、仮想ネットワークI/Fから物理ネットワークI/Fへの通信はVPNサーバへの通信のみを許可する機能とを搭載する。
本発明によれば、I/Fの固有識別情報の事前調査及び当該情報のパーソナルファイアウォールへの登録無しに、VPN通信端末からVPN内への通信を可能にできる。なお、仮想ネットワークI/Fへの通信を許可しても、VPN通信端末から外部への通信は、必ず物理ネットワークI/Fを経由するため、情報漏洩のリスクのおそれはない。
以下、図面に基づいて、本発明の実施の形態を説明する。なお、本発明の実施の態様は、後述する実施例に限定されるものではなく、その技術思想の範囲において、種々の変形が可能である。
[システム構成]
図1に、VPN通信システムの全体構成例を示す。図1では、図面の簡略化のため、VPN通信端末100を1台のみ表しているが、実際には運用システムの規模に応じた台数のVPN通信端末100が必要となる。VPN通信端末100には、例えばスマートフォン、タブレット端末、ノート型のパーソナルコンピュータを想定する。後述するように、VPN通信端末100は、インターネット108及びVPNサーバ109を経由してVPN 110にアクセスする。
図1に、VPN通信システムの全体構成例を示す。図1では、図面の簡略化のため、VPN通信端末100を1台のみ表しているが、実際には運用システムの規模に応じた台数のVPN通信端末100が必要となる。VPN通信端末100には、例えばスマートフォン、タブレット端末、ノート型のパーソナルコンピュータを想定する。後述するように、VPN通信端末100は、インターネット108及びVPNサーバ109を経由してVPN 110にアクセスする。
VPN通信端末100は、物理的には、通信機能を有するコンピュータとして構成される。すなわち、VPN通信端末100は、CPU、RAM、ROM、主記憶装置(例えばハードディスク装置、RAM等)、表示デバイス、入力デバイス(例えばタッチパネル)、通信デバイスによって構成される。なお、通信デバイスには、例えば有線LAN装置、無線LAN装置(Wi-Fi(商標)を含む)、3G(第3世代移動通信システム)無線装置が使用される。
図1は、主に、VPN通信端末100のソフトウェア上の機能構成を表しており、アプリケーション101、VPNクライアント102、パーソナルファイアウォール103は、オペレーションシステム(OS)104上で動作するソフトウェアの一機能として実現される。このうち、パーソナルファイアウォール103は、外部への通信を制御するために導入されたソフトウェアである。パーソナルファイアウォール103には、I/F監視機能と仮想I/F判定機能が実装されている。これらの機能を用いた具体的な通信制御については後述する。
VPNクライアント102は、その起動によってVPNセッションを確立すると、VPNのI/Fである仮想的なI/F 106をオペレーションシステム(OS)104上に生成する。オペレーションシステム(OS)104は、物理的なI/F 105を通じ、物理ネットワークアダプタ107と通信する。ここでの物理ネットワークアダプタ107が、前述の通信デバイスである。
[VPN通信の手順]
図2に、パーソナルファイアウォール103の初期状態(端末の起動直後の状態)を示す。初期状態では、オペレーションシステム(OS)104が、物理ネットワークアダプタ107から物理的なI/F 105を構成する。パーソナルファイアウォール103は、アプリケーション101から物理的なI/F 105への通信を、VPNサーバ109への通信のみ許可し、VPNサーバ109以外のインターネット108上のネットワークへの通信を遮断する。
図2に、パーソナルファイアウォール103の初期状態(端末の起動直後の状態)を示す。初期状態では、オペレーションシステム(OS)104が、物理ネットワークアダプタ107から物理的なI/F 105を構成する。パーソナルファイアウォール103は、アプリケーション101から物理的なI/F 105への通信を、VPNサーバ109への通信のみ許可し、VPNサーバ109以外のインターネット108上のネットワークへの通信を遮断する。
図3に、VPNクライアント102の起動直後に実行される動作内容を示す。VPNクライアント102は、操作画面上に表示されたアイコンのクリック操作等を通じて起動される。起動後、VPNクライアント102は、VPN 110を利用するためにVPNセッションを確立する。VPNセッションが確立されると、VPNクライアント102は、VPNのI/Fである仮想的なI/F 106をオペレーションシステム(OS)104上に生成する。この仮想的なI/F 106の生成は、パーソナルファイアウォール103によって検出される。I/Fの生成を検出したパーソナルファイアウォール103は、オペレーションシステム(OS)104からI/Fの情報を取得し、I/Fを仮想なI/F 106として識別する。この後、パーソナルファイアウォール103は、アプリケーション101から仮想的なI/F 106への通信を全て許可する。
図4に、アプリケーション101からVPN 110内への通信が発生した場合の動作を示す。アプリケーション101からVPN 110内への通信は、仮想的なI/F 106への通信として開始される。このとき、パーソナルファイアウォール103は、通信先が仮想的なI/F 106であるので通信を許可する。仮想的なI/F 106は、物理的なI/F 105を宛先とするヘッダを付加し、アプリケーション101からの通信をカプセル化する。すなわち、仮想的なI/F 106は、受信した通信を物理的なI/F 105に転送する。ここで、仮想的なI/F 106から物理的なI/F 105に転送されるカプセル化された通信もパーソナルファイアウォール103の制御対象となる。本実施例におけるパーソナルファイアウォール103は、仮想的なI/F 106からVPNサーバ109への通信を許可する。このため、仮想的なI/F 106で転送された通信も、パーソナルファイアウォール103を通過して物理的なI/F 105に送信され、VPNサーバ109を通じてVPN 110内への通信が実現される。
[パーソナルファイアウォールの機能]
図5及び図6に、パーソナルファイアウォール103で実行されるI/F監視スレッドと通信監視スレッドの処理動作を示す。当該処理動作を通じ、VPNのネットワークインターフェースの固有識別情報を登録することなく、アプリケーション101からVPNサーバ109への通信のみが許可され、アプリケーション101からVPN 110内への通信が可能となる。なお、I/F監視スレッドとI/Fを監視するスレッドは、パーソナルファイアウォール103の起動に伴って実行される。
図5及び図6に、パーソナルファイアウォール103で実行されるI/F監視スレッドと通信監視スレッドの処理動作を示す。当該処理動作を通じ、VPNのネットワークインターフェースの固有識別情報を登録することなく、アプリケーション101からVPNサーバ109への通信のみが許可され、アプリケーション101からVPN 110内への通信が可能となる。なお、I/F監視スレッドとI/Fを監視するスレッドは、パーソナルファイアウォール103の起動に伴って実行される。
まず、I/Fを監視するI/F監視スレッド(図5)について説明する。当該スレッドは、オペレーションシステム(OS)104のI/Fを常時監視し、I/Fを検出すると(ステップ501)、オペレーションシステム(OS)104からI/Fの情報を取得する(ステップ502)。この後、I/F監視スレッドは、新たなI/Fの生成を監視する(ステップ503)。新たなI/Fの生成が検出されると、ステップ501以降の処理が再度実行される。
次に、通信を監視する通信監視スレッド(図6)について説明する。当該スレッドは、通信を検出すると(ステップ601)、検出された通信がアプリケーション101から仮想的なI/F 106への通信か否かを判定する(ステップ602)。ここで、通信監視スレッドは、I/F監視スレッド(図5)で取得したI/Fの情報に基づいて、ステップ602の判定処理を実行する。I/Fへの通信が仮想的なI/F 106への通信である場合、通信監視スレッドは、通信を許可する(ステップ603)。
これに対し、I/Fへの通信が物理的なI/F 105への通信であった場合、通信監視スレッドは、VPNサーバへの通信か否かを判定する(ステップ604)。ここでの判定にも、I/F監視スレッド(図5)で取得したI/Fの情報が使用される。検出された通信がVPNサーバへの通信であった場合、通信監視スレッドは通信を許可する(ステップ603)。ここでの通信には、アプリケーション101から物理的なI/F 105を経由したVPNサーバ109への直接的な通信だけでなく、仮想的なI/F 106においてカプセル化された後の通信も含まれる。なお、検出された通信が、VPNサーバ109以外へのネットワークへの通信である場合、通信監視スレッドは、検出された通信を遮断する(ステップ605)。
[実施例による効果]
本実施例の場合、前述した機能を有するVPNクライアント102とパーソナルファイアウォール103をVPN通信端末100にインストールするだけで、I/Fの固有識別情報の事前調査及び当該情報のパーソナルファイアウォール103への登録無しに、VPN通信端末100からVPN 110内への通信を可能にすることができる。なお、仮想的なI/F 106への通信を許可しても、VPN通信端末100から外部への通信は、必ず物理なI/F 105を経由するため、情報漏洩のリスクのおそれはない。
本実施例の場合、前述した機能を有するVPNクライアント102とパーソナルファイアウォール103をVPN通信端末100にインストールするだけで、I/Fの固有識別情報の事前調査及び当該情報のパーソナルファイアウォール103への登録無しに、VPN通信端末100からVPN 110内への通信を可能にすることができる。なお、仮想的なI/F 106への通信を許可しても、VPN通信端末100から外部への通信は、必ず物理なI/F 105を経由するため、情報漏洩のリスクのおそれはない。
[他の実施例]
本発明は、上述した実施例の構成に限定されるものでなく様々な変形例を含んでいる。例えば実施例で説明した機能以外にも他の機能を追加し、又は、一部の機能を他の機能で置換し、又は、一部の機能を削除することもできる。
本発明は、上述した実施例の構成に限定されるものでなく様々な変形例を含んでいる。例えば実施例で説明した機能以外にも他の機能を追加し、又は、一部の機能を他の機能で置換し、又は、一部の機能を削除することもできる。
101:アプリケーション
102:VPNクライアント
103:パーソナルファイアウォール
104:OS(オペレーティングシステム)
105:物理的なI/F(物理的なネットワークインターフェース)
106:仮想的なI/F(仮想的なネットワークインターフェース)
107:物理ネットワークアダプタ
108:インターネット
109:VPNサーバ
110:VPN
102:VPNクライアント
103:パーソナルファイアウォール
104:OS(オペレーティングシステム)
105:物理的なI/F(物理的なネットワークインターフェース)
106:仮想的なI/F(仮想的なネットワークインターフェース)
107:物理ネットワークアダプタ
108:インターネット
109:VPNサーバ
110:VPN
Claims (5)
- OS(Operating System)上でパーソナルファイアウォールシステムを実行するVPN通信端末において、
前記パーソナルファイアウォールシステムが、
前記OSへの仮想ネットワークI/Fの生成を検出する機能と、
前記OSから前記仮想ネットワークI/Fの情報を取得する機能と、
前記仮想ネットワークI/Fの情報に基づいてアプリケーションからの通信が前記仮想ネットワークI/Fへの通信か否かを判定する機能と、
前記アプリケーションから物理ネットワークI/Fへの通信はVPNサーバへの通信のみを許可する機能と、
前記アプリケーションから前記仮想ネットワークI/Fへの通信を全て許可する機能と、
前記仮想ネットワークI/Fから前記物理ネットワークI/Fへの通信はVPNサーバへの通信のみを許可する機能と
を有することを特徴とするVPN通信端末。 - 請求項1に記載のVPN通信端末において、
前記VPNサーバとの間にVPNセッションを確立するVPNクライアントは、その起動時に、前記OS上に前記仮想ネットワークI/Fを生成する
ことを特徴とするVPN通信端末。 - 請求項1に記載のVPN通信端末において、
前記仮想ネットワークI/Fは、前記アプリケーションから受信した通信をカプセル化して前記物理ネットワークI/Fに転送する
ことを特徴とするVPN通信端末。 - VPN通信端末におけるVPN通信を制御する方法において、
OS(Operating System)上で実行されるパーソナルファイアウォールシステムが、
前記OSへの仮想ネットワークI/Fの生成を監視する処理と、
前記OSから前記仮想ネットワークI/Fの情報を取得する処理と、
前記仮想ネットワークI/Fの情報に基づいてアプリケーションからの通信が前記仮想ネットワークI/Fへの通信か否かを判定する処理と、
前記アプリケーションから物理ネットワークI/Fへの通信はVPNサーバへの通信のみを許可する処理と、
前記アプリケーションから前記仮想ネットワークI/Fへの通信を全て許可する処理と、
前記仮想ネットワークI/Fから前記物理ネットワークI/Fへの通信はVPNサーバへの通信のみを許可する処理と
を実行することを特徴とするVPN通信制御方法。 - VPN通信端末に実装されたコンピュータのOS(Operating System)上で実行されるパーソナルファイアウォールシステムに、
前記OSへの仮想ネットワークI/Fの生成を監視する処理と、
前記OSから前記仮想ネットワークI/Fの情報を取得する処理と、
前記仮想ネットワークI/Fの情報に基づいてアプリケーションからの通信が前記仮想ネットワークI/Fへの通信か否かを判定する処理と、
前記アプリケーションから物理ネットワークI/Fへの通信はVPNサーバへの通信のみを許可する処理と、
前記アプリケーションから前記仮想ネットワークI/Fへの通信を全て許可する処理と、
前記仮想ネットワークI/Fから前記物理ネットワークI/Fへの通信はVPNサーバへの通信のみを許可する処理と
を実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014064050A JP6214445B2 (ja) | 2014-03-26 | 2014-03-26 | Vpn通信端末、vpn通信制御方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014064050A JP6214445B2 (ja) | 2014-03-26 | 2014-03-26 | Vpn通信端末、vpn通信制御方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015185140A JP2015185140A (ja) | 2015-10-22 |
| JP6214445B2 true JP6214445B2 (ja) | 2017-10-18 |
Family
ID=54351541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014064050A Active JP6214445B2 (ja) | 2014-03-26 | 2014-03-26 | Vpn通信端末、vpn通信制御方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6214445B2 (ja) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE535078T1 (de) * | 2004-07-23 | 2011-12-15 | Citrix Systems Inc | Verfahren und system zur sicherung von zugriff aus der ferne auf private netze |
| JP2008289040A (ja) * | 2007-05-21 | 2008-11-27 | Hitachi Software Eng Co Ltd | 端末pcの接続先制御方法及びシステム |
| KR101481410B1 (ko) * | 2011-01-05 | 2015-01-12 | 프리비트 가부시키가이샤 | 메모리 카드 장치 |
-
2014
- 2014-03-26 JP JP2014064050A patent/JP6214445B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015185140A (ja) | 2015-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9973538B2 (en) | Architecture of transparent network security for application containers | |
| US20220326825A1 (en) | File processing method, electronic device, system, and storage medium | |
| US10412118B1 (en) | Group policy object management of external network resources | |
| US9509662B2 (en) | Techniques for providing services to multiple tenants via a shared end-point | |
| US10855655B2 (en) | System and method for providing secure and redundant communications and processing for a collection of internet of things (IOT) devices | |
| JP2009253811A (ja) | 端末装置、ネットワーク接続方法及びプログラム | |
| US10171519B2 (en) | Session transfer protocol between different browsers on different devices | |
| US9769186B2 (en) | Determining a reputation through network characteristics | |
| US20170054765A1 (en) | Systems and methods for establishing a control channel between a virtualization server and a client device | |
| US10067862B2 (en) | Tracking asynchronous entry points for an application | |
| US9483287B2 (en) | Communication infrastructure for virtual machines | |
| US10129291B2 (en) | Anomaly detection to identify malware | |
| US10498583B1 (en) | Active directory bridging of external network resources | |
| EP3238127B1 (en) | Pairing of external device with random user action | |
| US10248790B2 (en) | Information processing system, controlling method, and controlling computer program | |
| US9819725B1 (en) | System, method, and computer program for remotely controlling mobile web applications installed on a mobile device | |
| JP6214445B2 (ja) | Vpn通信端末、vpn通信制御方法及びプログラム | |
| US10282527B2 (en) | Information processing apparatus, information processing method, program, storage medium, and password entry apparatus | |
| WO2016095449A1 (zh) | 一种虚拟桌面的显示方法、终端和存储介质 | |
| US10216926B2 (en) | Isolation of untrusted code in operating system without isolation capability | |
| JP5575341B1 (ja) | アクセス制御装置、画面生成装置、プログラム、アクセス制御方法及び画面生成方法 | |
| US20120246286A1 (en) | Modifying computer management request | |
| EP2499777B1 (en) | Virtual host security profiles | |
| US20190014011A1 (en) | Information processing device and method for setting the environment of the device | |
| US20140283132A1 (en) | Computing application security and data settings overrides |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160907 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170713 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170718 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170817 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170912 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170919 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6214445 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |