[go: up one dir, main page]

JP7660156B2 - Electronic device and communication method - Google Patents

Electronic device and communication method Download PDF

Info

Publication number
JP7660156B2
JP7660156B2 JP2023074307A JP2023074307A JP7660156B2 JP 7660156 B2 JP7660156 B2 JP 7660156B2 JP 2023074307 A JP2023074307 A JP 2023074307A JP 2023074307 A JP2023074307 A JP 2023074307A JP 7660156 B2 JP7660156 B2 JP 7660156B2
Authority
JP
Japan
Prior art keywords
application
network interface
interface card
data
storage medium
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023074307A
Other languages
Japanese (ja)
Other versions
JP2024158786A (en
Inventor
徹 棚橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Personal Computers Ltd
Original Assignee
NEC Personal Computers Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Personal Computers Ltd filed Critical NEC Personal Computers Ltd
Priority to JP2023074307A priority Critical patent/JP7660156B2/en
Publication of JP2024158786A publication Critical patent/JP2024158786A/en
Application granted granted Critical
Publication of JP7660156B2 publication Critical patent/JP7660156B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、電子機器および通信方法に関する。 The present invention relates to an electronic device and a communication method.

パーソナルコンピュータ(PC)などがインターネットを経由してWebカメラなどのデバイスからデータを受信し、受信されたデータを利用する機会が増加している。インターネットに接続された装置はコンピュータウイルスなどの脅威に晒されるため、セキュリティの向上が要求される。 Personal computers (PCs) and other devices are increasingly receiving data from devices such as web cameras via the Internet and using the received data. As devices connected to the Internet are exposed to threats such as computer viruses, improved security is required.

特許文献1は、インターネットに接続可能な宅内ネットワークに接続されたホストデバイスと、宅内ネットワークとは論理的に分離された仮想ネットワークに接続されたスマートデバイスとを備えるネットワークシステムを開示している。このネットワークシステムでは、宅内ネットワークとは論理的に分離された仮想ネットワークにスマートデバイスが接続され、インターネットからスマートデバイスに直接接続できないため、セキュリティが向上する。 Patent Document 1 discloses a network system that includes a host device connected to a home network that can connect to the Internet, and a smart device connected to a virtual network that is logically separated from the home network. In this network system, the smart device is connected to the virtual network that is logically separated from the home network, and the smart device cannot be directly connected to the Internet, improving security.

特開2021-184532号公報JP 2021-184532 A

上記のように、インターネットに接続された装置においてセキュリティの向上が要求される。 As mentioned above, there is a demand for improved security in devices connected to the Internet.

本発明は、セキュリティを向上させることができる電子機器および通信方法を提供することを目的とする。 The present invention aims to provide an electronic device and a communication method that can improve security.

本発明の一態様は、記憶媒体と、物理ネットワークインターフェースカードと、ホストOS(Operating System)上の第1のアプリケーション、仮想OS上の第2のアプリケーション、および仮想ネットワークインターフェースカードとして機能するプロセッサと、を備え、前記第2のアプリケーションは、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介してインターネット上の機器と暗号通信を実行し、前記暗号通信によりデータを受信し、前記データを前記記憶媒体に記憶させ、前記第1のアプリケーションおよび前記第2のアプリケーションは、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介して認証データの通信を実行し、前記第2のアプリケーションは、前記第1のアプリケーションから受信された前記認証データに基づいて前記第1のアプリケーションの認証処理を実行し、前記第1のアプリケーションの認証に成功した場合、前記第1のアプリケーションおよび前記第2のアプリケーションは、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介して、前記記憶媒体に記憶されている前記データの通信を実行し、前記第2のアプリケーションから前記記憶媒体に記憶されている前記データへのアクセス許可が設定されており、前記第1のアプリケーションから前記記憶媒体に記憶されている前記データへのアクセス禁止が設定されている電子機器である。 One aspect of the present invention is an electronic device comprising: a storage medium; a physical network interface card; a first application on a host OS (Operating System); a second application on a virtual OS; and a processor that functions as a virtual network interface card, wherein the second application performs encrypted communication with a device on the Internet via the virtual network interface card and the physical network interface card, receives data through the encrypted communication, and stores the data in the storage medium, the first application and the second application perform communication of authentication data via the virtual network interface card and the physical network interface card, the second application performs authentication processing of the first application based on the authentication data received from the first application, and if authentication of the first application is successful, the first application and the second application perform communication of the data stored in the storage medium via the virtual network interface card and the physical network interface card, and access permission to the data stored in the storage medium from the second application is set, and access prohibition to the data stored in the storage medium from the first application is set .

本発明の一態様において、前記第2のアプリケーションは、前記記憶媒体に記憶されている前記データを加工してもよく、前記第1のアプリケーションの認証に成功した場合、前記第1のアプリケーションおよび前記第2のアプリケーションは、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介して、前記第2のアプリケーションによって加工された前記データの通信を実行してもよい。 In one aspect of the present invention, the second application may process the data stored in the storage medium, and if authentication of the first application is successful, the first application and the second application may communicate the data processed by the second application via the virtual network interface card and the physical network interface card.

本発明の一態様は、プロセッサがホストOS(Operating System)上の第1のアプリケーション、仮想OS上の第2のアプリケーション、および仮想ネットワークインターフェースカードとして機能することによって実行される通信方法であって、前記第2のアプリケーションが、前記仮想ネットワークインターフェースカードおよび物理ネットワークインターフェースカードを介してインターネット上の機器と暗号通信を実行し、前記暗号通信によりデータを受信するステップと、前記第2のアプリケーションが、前記データを記憶媒体に記憶させるステップと、前記第1のアプリケーションおよび前記第2のアプリケーションが、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介して認証データの通信を実行するステップと、前記第2のアプリケーションが、前記第1のアプリケーションから受信された前記認証データに基づいて前記第1のアプリケーションの認証処理を実行するステップと、前記第1のアプリケーションの認証に成功した場合、前記第1のアプリケーションおよび前記第2のアプリケーションは、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介して、前記記憶媒体に記憶されている前記データの通信を実行するステップと、を含み、前記第2のアプリケーションから前記記憶媒体に記憶されている前記データへのアクセス許可が設定されており、前記第1のアプリケーションから前記記憶媒体に記憶されている前記データへのアクセス禁止が設定されている通信方法である。
 One aspect of the present invention is a communication method executed by a processor functioning as a first application on a host OS (Operating System), a second application on a virtual OS, and a virtual network interface card, the communication method including the steps of: the second application executing encrypted communication with a device on the Internet via the virtual network interface card and a physical network interface card, and receiving data through the encrypted communication; the second application storing the data in a storage medium; the first application and the second application executing communication of authentication data via the virtual network interface card and the physical network interface card; the second application executing authentication processing of the first application based on the authentication data received from the first application; and, if authentication of the first application is successful, the first application and the second application executing communication of the data stored in the storage medium via the virtual network interface card and the physical network interface card, wherein access permission to the data stored in the storage medium from the second application is set, and access prohibition to the data stored in the storage medium from the first application is set .

本発明によれば、電子機器および通信方法は、セキュリティを向上させることができる。 According to the present invention, electronic devices and communication methods can improve security.

本発明の実施形態による電子機器のハードウェア構成の一例を示すブロック図である。1 is a block diagram showing an example of a hardware configuration of an electronic device according to an embodiment of the present invention. 本発明の実施形態による電子機器の機能構成の一例を示すブロック図である。1 is a block diagram showing an example of a functional configuration of an electronic device according to an embodiment of the present invention. 本発明の実施形態による電子機器が実行する通信の一例を示す図である。FIG. 2 is a diagram showing an example of communication performed by an electronic device according to an embodiment of the present invention.

以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の実施形態による電子機器10のハードウェア構成の一例を示す。電子機器10は、デスクトップ型またはノート型のPC、タブレット端末、またはスマートフォンなどである。図1に示すように、電子機器10は、通信部11、表示部12、操作部13、記憶部14、および制御部15を有する。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings. FIG. 1 shows an example of a hardware configuration of an electronic device 10 according to an embodiment of the present invention. The electronic device 10 is a desktop or notebook PC, a tablet terminal, a smartphone, or the like. As shown in FIG. 1, the electronic device 10 has a communication unit 11, a display unit 12, an operation unit 13, a memory unit 14, and a control unit 15.

通信部11は、LAN(Local Area Network)を介してインターネットに接続するための通信回路を内蔵するネットワークインターフェースカード(NIC)である。通信部11は、インターネットに接続し、インターネット上の外部装置と通信を実行する。通信部11は、無線通信機能を有してもよい。 The communication unit 11 is a network interface card (NIC) that incorporates a communication circuit for connecting to the Internet via a LAN (Local Area Network). The communication unit 11 connects to the Internet and communicates with external devices on the Internet. The communication unit 11 may have a wireless communication function.

表示部12は、LCD(Liquid Crystal Display)のようなディスプレイである。表示部12は、各種データおよび各種情報を表示する。 The display unit 12 is a display such as an LCD (Liquid Crystal Display). The display unit 12 displays various data and information.

操作部13は、ユーザーが情報を入力するために操作するキーボード、マウス、またはボタンなどを有する。操作部13は、ユーザーが実施する操作に応じた情報を制御部15に出力する。 The operation unit 13 has a keyboard, mouse, buttons, etc. that the user operates to input information. The operation unit 13 outputs information according to the operation performed by the user to the control unit 15.

記憶部14は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、RAM(Random Access Memory)、またはROM(Read Only Memory)などの記憶媒体を有する。記憶部14は、外部装置から受信されたデータ、制御部15によって生成されたデータ、および制御部15の機能を実現するためのプログラムなどを記憶する。 The storage unit 14 has a storage medium such as a hard disk drive (HDD), a solid state drive (SSD), a random access memory (RAM), or a read only memory (ROM). The storage unit 14 stores data received from an external device, data generated by the control unit 15, and programs for implementing the functions of the control unit 15.

制御部15は、CPU(Central Processing Unit)またはGPU(Graphic Processing Unit)などのプロセッサ150と、EC(Embedded Controller)151とを有する。制御部15は、電子機器10内の各部を制御する。 The control unit 15 has a processor 150 such as a CPU (Central Processing Unit) or a GPU (Graphic Processing Unit), and an EC (Embedded Controller) 151. The control unit 15 controls each part within the electronic device 10.

図2は、電子機器10の機能構成の一例を示す。図2に示すように、電子機器10は、機能構成として、ホストOS(Operating System)20、第1のアプリケーション21、仮想OS30、第2のアプリケーション31、仮想NIC32、物理NIC40、および記憶媒体50を有する。 Figure 2 shows an example of the functional configuration of electronic device 10. As shown in Figure 2, electronic device 10 has, as its functional configuration, a host OS (operating system) 20, a first application 21, a virtual OS 30, a second application 31, a virtual NIC 32, a physical NIC 40, and a storage medium 50.

ホストOS20および仮想OS30は、プロセッサ150が記憶部14に記憶されている各OSのプログラムを実行することにより動作する。例えば、ホストOS20はWindows(登録商標)であり、仮想OS30は、Windows(登録商標)の仮想OS機能を使用することにより実現される。 The host OS 20 and the virtual OS 30 operate when the processor 150 executes the programs of each OS stored in the memory unit 14. For example, the host OS 20 is Windows (registered trademark), and the virtual OS 30 is realized by using the virtual OS function of Windows (registered trademark).

第1のアプリケーション21は、ホストOS20上で動作する。第2のアプリケーション31は、仮想OS30上で動作する。第1のアプリケーション21および第2のアプリケーション31は、プロセッサ150が記憶部14に記憶されている各アプリケーションのプログラムを実行することにより動作する。 The first application 21 runs on the host OS 20. The second application 31 runs on the virtual OS 30. The first application 21 and the second application 31 run when the processor 150 executes the programs of each application stored in the memory unit 14.

物理NIC40は、通信部11と対応する物理デバイスである。物理NIC40は、ホストOS20によって管理される。第1のアプリケーション21は、物理NIC40を介してインターネットINTに接続することができる。 The physical NIC 40 is a physical device that corresponds to the communication unit 11. The physical NIC 40 is managed by the host OS 20. The first application 21 can connect to the Internet INT via the physical NIC 40.

仮想NIC32は、仮想OS30によって管理される仮想デバイスである。第2のアプリケーション31は、仮想NIC32および物理NIC40を介してインターネットINTに接続することができる。第1のアプリケーション21および第2のアプリケーション31は、仮想NIC32および物理NIC40を介して互いに通信を実行する。第1のアプリケーション21と第2のアプリケーション31との通信は、インターネットINTを経由せずに実行される。 The virtual NIC 32 is a virtual device managed by the virtual OS 30. The second application 31 can connect to the Internet INT via the virtual NIC 32 and the physical NIC 40. The first application 21 and the second application 31 communicate with each other via the virtual NIC 32 and the physical NIC 40. The communication between the first application 21 and the second application 31 is performed without going through the Internet INT.

Webカメラなどのデバイス60がインターネットINTに接続されている。第2のアプリケーション31は、仮想NIC32および物理NIC40を介してデバイス60と通信を実行し、データをデバイス60から受信する。第2のアプリケーション31とデバイス60との通信は、HTTPS(Hytertext Transfer Protocol Secure)またはSSH(Secure Shell)などの通信プロトコルを使用することにより、暗号化される。 A device 60 such as a web camera is connected to the Internet INT. A second application 31 communicates with the device 60 via a virtual NIC 32 and a physical NIC 40, and receives data from the device 60. The communication between the second application 31 and the device 60 is encrypted by using a communication protocol such as HTTPS (Hytertext Transfer Protocol Secure) or SSH (Secure Shell).

記憶媒体50は、記憶部14と対応する物理デバイスである。記憶媒体50は、第2のアプリケーション31がデバイス60から受信したデータを記憶する。 The storage medium 50 is a physical device corresponding to the storage unit 14. The storage medium 50 stores data received by the second application 31 from the device 60.

仮想OS30は、インターネットINTから切り離されたネットワークを構成する。第2のアプリケーション31とデバイス60との通信は暗号化される。第1のアプリケーション21は、記憶媒体50に記憶されているデータを直接参照することはできず、仮想NIC32および物理NIC40を介した通信によってそのデータを取得する。そのデータの通信が実行される前、第2のアプリケーション31は第1のアプリケーション21の認証処理を実行する。第1のアプリケーション21の認証に成功した場合、第1のアプリケーション21は記憶媒体50に記憶されているデータを第2のアプリケーション31から取得することができる。電子機器10をこのように構成することにより、インターネットからの脅威を回避することができる。 The virtual OS 30 constitutes a network that is isolated from the Internet INT. Communication between the second application 31 and the device 60 is encrypted. The first application 21 cannot directly refer to the data stored in the storage medium 50, and acquires the data through communication via the virtual NIC 32 and the physical NIC 40. Before communication of the data is executed, the second application 31 executes authentication processing of the first application 21. If authentication of the first application 21 is successful, the first application 21 can acquire the data stored in the storage medium 50 from the second application 31. By configuring the electronic device 10 in this way, threats from the Internet can be avoided.

第1のアプリケーション21が、記憶媒体50に記憶されているデータを加工したデータが必要な場合、第2のアプリケーション31は、記憶媒体50に記憶されているデータを加工する。第1のアプリケーション21は、仮想NIC32および物理NIC40を介して第2のアプリケーション31と通信を実行し、加工されたデータを受信する。ホストOS20上で動作するアプリケーションがデータを直接加工できないため、ホストOS20上で不正なプログラムが動作する場合であっても、そのプログラムの影響を回避することができる。 When the first application 21 requires data that has been modified from data stored in the storage medium 50, the second application 31 processes the data stored in the storage medium 50. The first application 21 communicates with the second application 31 via the virtual NIC 32 and the physical NIC 40, and receives the modified data. Because applications running on the host OS 20 cannot directly modify data, even if a malicious program runs on the host OS 20, the effects of that program can be avoided.

図3を参照し、電子機器10の動作を説明する。図3は、電子機器10が実行する通信の一例を示す。 The operation of the electronic device 10 will be described with reference to FIG. 3. FIG. 3 shows an example of communication performed by the electronic device 10.

(ステップS200)
第2のアプリケーション31は、仮想NIC32および物理NIC40を介してデバイス60に接続する。 (Step S200)
The second application 31 connects to the device 60 via the virtual NIC 32 and the physical NIC 40 .

(ステップS201)
第2のアプリケーション31は、デバイス60が保持しているデータを、仮想NIC32および物理NIC40を介してデバイス60から受信する。例えば、デバイス60がWebカメラである場合、第2のアプリケーション31は動画データをデバイス60から受信する。ステップS200およびステップS201において、HTTPSまたはSSHなどの通信プロトコルに従って暗号通信が実行される。第2のアプリケーション31は、暗号化されたデータをデバイス60から受信する。 (Step S201)
The second application 31 receives data held by the device 60 from the device 60 via the virtual NIC 32 and the physical NIC 40. For example, if the device 60 is a Web camera, the second application 31 receives video data from the device 60. In steps S200 and S201, encrypted communication is performed according to a communication protocol such as HTTPS or SSH. The second application 31 receives the encrypted data from the device 60.

(ステップS202)
第2のアプリケーション31は、デバイス60から受信されたデータを復号する。第2のアプリケーション31は、復号されたデータを記憶媒体50に記憶させる。第2のアプリケーション31は、復号されたデータを暗号化し、そのデータを記憶媒体50に記憶させてもよい。 (Step S202)
The second application 31 decrypts the data received from the device 60. The second application 31 stores the decrypted data in the storage medium 50. The second application 31 may encrypt the decrypted data and store the data in the storage medium 50.

(ステップS203)
第2のアプリケーション31は、記憶媒体50に記憶されたデータのアクセス権限を設定する。このとき、第2のアプリケーション31は、第2のアプリケーション31からそのデータへのアクセスを許可し、第1のアプリケーション21からそのデータへのアクセスを禁止する。また、第2のアプリケーション31は、ホストOS20上で動作する他のアプリケーションからそのデータへのアクセスも禁止する。 (Step S203)
The second application 31 sets access authority for data stored in the storage medium 50. At this time, the second application 31 permits access to the data from the second application 31 and prohibits access to the data from the first application 21. The second application 31 also prohibits access to the data from other applications operating on the host OS 20.

(ステップS100)
記憶媒体50に記憶されているデータが必要なとき、第1のアプリケーション21は、仮想NIC32および物理NIC40を介して認証要求を第2のアプリケーション31に送信する。認証要求は、第2のアプリケーション31が認証処理を実行するために必要な認証データを含む。 (Step S100)
When the data stored in the storage medium 50 is required, the first application 21 sends an authentication request to the second application 31 via the virtual NIC 32 and the physical NIC 40. The authentication request includes authentication data necessary for the second application 31 to execute authentication processing.

(ステップS204)
第2のアプリケーション31は、仮想NIC32および物理NIC40を介して認証要求を第1のアプリケーション21から受信する。 (Step S204)
The second application 31 receives an authentication request from the first application 21 via the virtual NIC 32 and the physical NIC 40 .

(ステップS205)
第2のアプリケーション31は、認証要求に含まれる認証データを使用することにより認証処理を実行する。以下では、認証処理の3つの例を説明する。 (Step S205)
The second application 31 performs the authentication process by using the authentication data included in the authentication request. Three examples of the authentication process are described below.

第1の例では、認証データは、IDおよびパスワードである。所定のIDおよび所定のパスワードが記憶媒体50に記憶されている。第2のアプリケーション31からそのIDおよびそのパスワードへのアクセスは許可されているが、第1のアプリケーション21からそのIDおよびそのパスワードへのアクセスは禁止されている。第1のアプリケーション21は、IDおよびパスワードを認証データとして含む認証要求を第2のアプリケーション31に送信する。 In a first example, the authentication data is an ID and a password. A specific ID and a specific password are stored in the storage medium 50. Access to the ID and its password from the second application 31 is permitted, but access to the ID and its password from the first application 21 is prohibited. The first application 21 sends an authentication request including the ID and password as authentication data to the second application 31.

第2のアプリケーション31は、認証要求に含まれるIDと、記憶媒体50に記憶されている所定のIDとを比較し、認証要求に含まれるパスワードと、記憶媒体50に記憶されている所定のパスワードとを比較する。2つのIDが一致し、かつ2つのパスワードが一致する場合、第2のアプリケーション31は第1のアプリケーション21の認証に成功する。これ以外の場合、第2のアプリケーション31は第1のアプリケーション21の認証に失敗する。 The second application 31 compares the ID included in the authentication request with a specific ID stored in the storage medium 50, and compares the password included in the authentication request with a specific password stored in the storage medium 50. If the two IDs match and the two passwords match, the second application 31 succeeds in authenticating the first application 21. In any other case, the second application 31 fails to authenticate the first application 21.

第2の例では、RSA暗号方式を使用する認証処理が実行される。第2のアプリケーション31は、第1のアプリケーション21の公開鍵を予め保持する。第1のアプリケーション21は、第1のアプリケーション21の秘密鍵で署名された認証データを含む認証要求を第2のアプリケーション31に送信する。 In the second example, an authentication process using the RSA encryption method is performed. The second application 31 holds the public key of the first application 21 in advance. The first application 21 sends an authentication request to the second application 31, which includes authentication data signed with the private key of the first application 21.

第2のアプリケーション31は、認証要求に含まれる認証データの署名を、第1のアプリケーション21の公開鍵を使用することにより検証する。この検証に成功した場合、第2のアプリケーション31は第1のアプリケーション21の認証に成功する。この検証に失敗した場合、第2のアプリケーション31は第1のアプリケーション21の認証に失敗する。 The second application 31 verifies the signature of the authentication data included in the authentication request by using the public key of the first application 21. If this verification is successful, the second application 31 succeeds in authenticating the first application 21. If this verification fails, the second application 31 fails to authenticate the first application 21.

第3の例では、共通鍵が使用される。第1のアプリケーション21および第2のアプリケーション31は共通鍵を共有する。第1のアプリケーション21は、所定のデータおよび共通鍵を使用することによりメッセージ認証コードを生成する。第1のアプリケーション21は、メッセージ認証コードを認証データとして含む認証要求を第2のアプリケーション31に送信する。 In a third example, a common key is used. The first application 21 and the second application 31 share the common key. The first application 21 generates a message authentication code by using predetermined data and the common key. The first application 21 sends an authentication request to the second application 31, the request including the message authentication code as authentication data.

第2のアプリケーション31は、所定のデータおよび共通鍵を使用することによりメッセージ認証コードを生成する。第2のアプリケーション31は、自身が生成したメッセージ認証コードと、認証要求に含まれるメッセージ認証コードとを比較する。2つのメッセージ認証コードが一致する場合、第2のアプリケーション31は第1のアプリケーション21の認証に成功する。2つのメッセージ認証コードが一致しない場合、第2のアプリケーション31は第1のアプリケーション21の認証に失敗する。 The second application 31 generates a message authentication code by using the specified data and the common key. The second application 31 compares the message authentication code it generates with the message authentication code included in the authentication request. If the two message authentication codes match, the second application 31 successfully authenticates the first application 21. If the two message authentication codes do not match, the second application 31 fails to authenticate the first application 21.

(ステップS206)
第1のアプリケーション21の認証に成功した場合、第2のアプリケーション31は、認証処理の結果を示す認証応答を、仮想NIC32および物理NIC40を介して第1のアプリケーション21に送信する。 (Step S206)
If the authentication of the first application 21 is successful, the second application 31 transmits an authentication response indicating the result of the authentication process to the first application 21 via the virtual NIC 32 and the physical NIC 40 .

(ステップS101)
第1のアプリケーション21は、仮想NIC32および物理NIC40を介して認証応答を第2のアプリケーション31から受信する。認証応答が第1のアプリケーション21の認証に失敗したことを示す場合、第1のアプリケーション21は、記憶媒体50に記憶されているデータを第2のアプリケーション31から受信することができない。 (Step S101)
The first application 21 receives the authentication response from the second application 31 via the virtual NIC 32 and the physical NIC 40. If the authentication response indicates that authentication of the first application 21 has failed, the first application 21 cannot receive the data stored in the storage medium 50 from the second application 31.

(ステップS102)
認証応答が第1のアプリケーション21の認証に成功したことを示す場合、第1のアプリケーション21は、記憶媒体50に記憶されているデータの送信を第2のアプリケーション31に要求するためのデータ送信要求を、仮想NIC32および物理NIC40を介して第2のアプリケーション31に送信する。 (Step S102)
If the authentication response indicates that authentication of the first application 21 has been successful, the first application 21 sends a data transmission request to the second application 31 via the virtual NIC 32 and the physical NIC 40 to request the second application 31 to transmit data stored in the storage medium 50.

(ステップS207)
第2のアプリケーション31は、仮想NIC32および物理NIC40を介してデータ送信要求を第1のアプリケーション21から受信する。 (Step S207)
The second application 31 receives a data transmission request from the first application 21 via the virtual NIC 32 and the physical NIC 40 .

(ステップS208)
第2のアプリケーション31は、データを記憶媒体50から読み出す。データが暗号化されている場合には、第2のアプリケーション31はそのデータを復号する。例えば、動画データが記憶媒体50に記憶されており、データ送信要求は、時間範囲を示すデータを含む。その時間範囲は、開始時刻および終了時刻を示す。第2のアプリケーション31は、動画データから、その時間範囲と対応するデータを抽出することにより加工データを生成する。第2のアプリケーション31は、動画データの画質を変更する画像処理を動画データに施すことにより加工データを生成してもよい。その画像処理は、明るさ調整または輪郭強調などである。 (Step S208)
The second application 31 reads data from the storage medium 50. If the data is encrypted, the second application 31 decrypts the data. For example, video data is stored in the storage medium 50, and the data transmission request includes data indicating a time range. The time range indicates a start time and an end time. The second application 31 generates processed data by extracting data corresponding to the time range from the video data. The second application 31 may generate processed data by performing image processing on the video data to change the image quality of the video data. The image processing is brightness adjustment, edge emphasis, or the like.

(ステップS209)
第2のアプリケーション31は、加工されたデータを、仮想NIC32および物理NIC40を介して第1のアプリケーション21に送信する。 (Step S209)
The second application 31 transmits the processed data to the first application 21 via the virtual NIC 32 and the physical NIC 40 .

(ステップS103)
第1のアプリケーション21は、仮想NIC32および物理NIC40を介してデータを第2のアプリケーション31から受信する。上記の手順により、第1のアプリケーション21は、記憶媒体50に記憶されているデータを取得することができる。 (Step S103)
The first application 21 receives data from the second application 31 via the virtual NIC 32 and the physical NIC 40. Through the above procedure, the first application 21 can obtain the data stored in the storage medium 50.

上記のように、プロセッサ150は、ホストOS20上の第1のアプリケーション21、仮想OS30上の第2のアプリケーション31、および仮想NIC32として機能する。第2のアプリケーション31は、仮想NIC32および物理NIC40を介してインターネットINT上のデバイス60と暗号通信を実行し、暗号通信によりデータを受信し、データを記憶媒体50に記憶させる。第1のアプリケーション21および第2のアプリケーション31は、仮想NIC32および物理NIC40を介して認証データの通信を実行する。第2のアプリケーション31は、第1のアプリケーション21から受信された認証データに基づいて第1のアプリケーション21の認証処理を実行する。第1のアプリケーション21の認証に成功した場合、第1のアプリケーション21および第2のアプリケーション31は、仮想NIC32および物理NIC40を介して、記憶媒体50に記憶されているデータの通信を実行する。上記の構成により、電子機器10はセキュリティを向上させることができる。 As described above, the processor 150 functions as the first application 21 on the host OS 20, the second application 31 on the virtual OS 30, and the virtual NIC 32. The second application 31 performs encrypted communication with the device 60 on the Internet INT via the virtual NIC 32 and the physical NIC 40, receives data through encrypted communication, and stores the data in the storage medium 50. The first application 21 and the second application 31 perform communication of authentication data via the virtual NIC 32 and the physical NIC 40. The second application 31 performs authentication processing of the first application 21 based on the authentication data received from the first application 21. If the authentication of the first application 21 is successful, the first application 21 and the second application 31 perform communication of data stored in the storage medium 50 via the virtual NIC 32 and the physical NIC 40. With the above configuration, the electronic device 10 can improve security.

第2のアプリケーション31から記憶媒体50に記憶されているデータへのアクセス許可が設定されている。第1のアプリケーション21から記憶媒体50に記憶されているデータへのアクセス禁止が設定されている。第1のアプリケーション21は、記憶媒体50に記憶されているデータを直接参照することはできないため、ホストOS20上で動作する不正なプログラムの影響を回避することができる。 The second application 31 is permitted to access the data stored in the storage medium 50. The first application 21 is prohibited from accessing the data stored in the storage medium 50. Since the first application 21 cannot directly reference the data stored in the storage medium 50, it is possible to avoid the influence of unauthorized programs running on the host OS 20.

第2のアプリケーション31は、記憶媒体50に記憶されているデータを加工する。第1のアプリケーション21の認証に成功した場合、第1のアプリケーション21および第2のアプリケーション31は、仮想NIC32および物理NIC40を介して、第2のアプリケーション31によって加工されたデータの通信を実行する。第1のアプリケーション21がデータを直接加工しないため、ホストOS20上で動作する不正なプログラムの影響を回避することができる。 The second application 31 processes data stored in the storage medium 50. If authentication of the first application 21 is successful, the first application 21 and the second application 31 communicate the data processed by the second application 31 via the virtual NIC 32 and the physical NIC 40. Because the first application 21 does not directly process the data, it is possible to avoid the influence of unauthorized programs running on the host OS 20.

以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 The above describes the embodiments of the present invention in detail with reference to the drawings, but the specific configuration is not limited to the above embodiments and includes design modifications within the scope of the present invention.

10 電子機器、11 通信部、12 表示部、13 操作部、14 記憶部、15 制御部、20 ホストOS、21 第1のアプリケーション、30 仮想OS、31 第2のアプリケーション、32 仮想NIC、40 物理NIC、50 記憶媒体 10 Electronic device, 11 Communication unit, 12 Display unit, 13 Operation unit, 14 Storage unit, 15 Control unit, 20 Host OS, 21 First application, 30 Virtual OS, 31 Second application, 32 Virtual NIC, 40 Physical NIC, 50 Storage medium

Claims (3)

記憶媒体と、
物理ネットワークインターフェースカードと、
ホストOS(Operating System)上の第1のアプリケーション、仮想OS上の第2のアプリケーション、および仮想ネットワークインターフェースカードとして機能するプロセッサと、
を備え、
前記第2のアプリケーションは、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介してインターネット上の機器と暗号通信を実行し、前記暗号通信によりデータを受信し、前記データを前記記憶媒体に記憶させ、
前記第1のアプリケーションおよび前記第2のアプリケーションは、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介して認証データの通信を実行し、
前記第2のアプリケーションは、前記第1のアプリケーションから受信された前記認証データに基づいて前記第1のアプリケーションの認証処理を実行し、
前記第1のアプリケーションの認証に成功した場合、前記第1のアプリケーションおよび前記第2のアプリケーションは、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介して、前記記憶媒体に記憶されている前記データの通信を実行し、
前記第2のアプリケーションから前記記憶媒体に記憶されている前記データへのアクセス許可が設定されており、
前記第1のアプリケーションから前記記憶媒体に記憶されている前記データへのアクセス禁止が設定されている
電子機器。 A storage medium;
A physical network interface card;
A processor that functions as a first application on a host OS (Operating System), a second application on a virtual OS, and a virtual network interface card;
Equipped with
the second application performs encrypted communication with a device on the Internet via the virtual network interface card and the physical network interface card, receives data through the encrypted communication, and stores the data in the storage medium;
the first application and the second application communicate authentication data via the virtual network interface card and the physical network interface card;
The second application performs an authentication process for the first application based on the authentication data received from the first application;
If the authentication of the first application is successful, the first application and the second application execute communication of the data stored in the storage medium via the virtual network interface card and the physical network interface card;
an access permission for the second application to access the data stored in the storage medium is set;
An electronic device in which access to the data stored in the storage medium from the first application is prohibited. 前記第2のアプリケーションは、前記記憶媒体に記憶されている前記データを加工し、
前記第1のアプリケーションの認証に成功した場合、前記第1のアプリケーションおよび前記第2のアプリケーションは、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介して、前記第2のアプリケーションによって加工された前記データの通信を実行する
請求項1に記載の電子機器。 The second application processes the data stored in the storage medium;
2. The electronic device of claim 1, wherein if authentication of the first application is successful, the first application and the second application execute communication of the data processed by the second application via the virtual network interface card and the physical network interface card. プロセッサがホストOS(Operating System)上の第1のアプリケーション、仮想OS上の第2のアプリケーション、および仮想ネットワークインターフェースカードとして機能することによって実行される通信方法であって、
前記第2のアプリケーションが、前記仮想ネットワークインターフェースカードおよび物理ネットワークインターフェースカードを介してインターネット上の機器と暗号通信を実行し、前記暗号通信によりデータを受信するステップと、
前記第2のアプリケーションが、前記データを記憶媒体に記憶させるステップと、
前記第1のアプリケーションおよび前記第2のアプリケーションが、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介して認証データの通信を実行するステップと、
前記第2のアプリケーションが、前記第1のアプリケーションから受信された前記認証データに基づいて前記第1のアプリケーションの認証処理を実行するステップと、
前記第1のアプリケーションの認証に成功した場合、前記第1のアプリケーションおよび前記第2のアプリケーションは、前記仮想ネットワークインターフェースカードおよび前記物理ネットワークインターフェースカードを介して、前記記憶媒体に記憶されている前記データの通信を実行するステップと、
を含み、
前記第2のアプリケーションから前記記憶媒体に記憶されている前記データへのアクセス許可が設定されており、
前記第1のアプリケーションから前記記憶媒体に記憶されている前記データへのアクセス禁止が設定されている
通信方法。 A communication method executed by a processor functioning as a first application on a host OS (Operating System), a second application on a virtual OS, and a virtual network interface card, comprising:
the second application executing encrypted communication with a device on the Internet via the virtual network interface card and the physical network interface card, and receiving data through the encrypted communication;
the second application storing the data on a storage medium;
said first application and said second application performing communication of authentication data via said virtual network interface card and said physical network interface card;
the second application performing an authentication process for the first application based on the authentication data received from the first application;
if the authentication of the first application is successful, the first application and the second application execute communication of the data stored in the storage medium via the virtual network interface card and the physical network interface card;
Including,
an access permission for the second application to access the data stored in the storage medium is set;
Access to the data stored in the storage medium from the first application is prohibited.
Communication methods.
JP2023074307A 2023-04-28 2023-04-28 Electronic device and communication method Active JP7660156B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023074307A JP7660156B2 (en) 2023-04-28 2023-04-28 Electronic device and communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2023074307A JP7660156B2 (en) 2023-04-28 2023-04-28 Electronic device and communication method

Publications (2)

Publication Number Publication Date
JP2024158786A JP2024158786A (en) 2024-11-08
JP7660156B2 true JP7660156B2 (en) 2025-04-10

Family

ID=93335642

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023074307A Active JP7660156B2 (en) 2023-04-28 2023-04-28 Electronic device and communication method

Country Status (1)

Country Link
JP (1) JP7660156B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003747A (en) 2010-06-21 2012-01-05 Intel Corp Method for sharing network interface among a plurality of virtual machines
US20140351956A1 (en) 2005-09-19 2014-11-27 Vmware, Inc. Enforcing restrictions related to a virtualized computer environment
US20160253276A1 (en) 2015-02-27 2016-09-01 Samsung Electronics Co., Ltd. Method of communicating with peripheral device in electronic device on which plurality of operating systems are driven, and the electronic device
JP2021196837A (en) 2020-06-12 2021-12-27 株式会社バッファロー Information processor and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140351956A1 (en) 2005-09-19 2014-11-27 Vmware, Inc. Enforcing restrictions related to a virtualized computer environment
JP2012003747A (en) 2010-06-21 2012-01-05 Intel Corp Method for sharing network interface among a plurality of virtual machines
US20160253276A1 (en) 2015-02-27 2016-09-01 Samsung Electronics Co., Ltd. Method of communicating with peripheral device in electronic device on which plurality of operating systems are driven, and the electronic device
JP2021196837A (en) 2020-06-12 2021-12-27 株式会社バッファロー Information processor and program

Also Published As

Publication number Publication date
JP2024158786A (en) 2024-11-08

Similar Documents

Publication Publication Date Title
CN111324895B (en) Trust services for client devices
JP5928854B2 (en) Method, device and system for managing user authentication
JP4982825B2 (en) Computer and shared password management methods
EP2372597B1 (en) Methods and systems for secure remote wake, boot, and login to a computer from a mobile device
US8261072B2 (en) Method and system for secure external TPM password generation and use
CN107567630B (en) Isolation of trusted input/output devices
CN112187803B (en) Remote cryptographic service of TPM using server
US8156331B2 (en) Information transfer
CN104584023B (en) Method and apparatus for hardware-enforced access protection
US10776095B2 (en) Secure live media boot system
US9332007B2 (en) Method for secure, entryless login using internet connected device
EP3362934A1 (en) Multi-factor user authentication framework using asymmetric key
US10411894B1 (en) Authentication based on unique encoded codes
JP2008171389A (en) Method for domain logon and computer
JP2019192231A (en) Computer system and method for initializing computer system
JP6476167B2 (en) Self-authentication device and self-authentication method
CN113366461B (en) Accessing firmware settings using asymmetric cryptography
US11954234B2 (en) System and method for protecting browser data
JP7660156B2 (en) Electronic device and communication method
JP2023500980A (en) Device and method for secure communication
CN113454624A (en) Storage of network credentials
JP6172774B2 (en) Method, device and system for managing user authentication
JPWO2018092289A1 (en) Information processing device
Banik et al. Secure Attestation During Device Reset

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20241008

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20241204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250318

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250331

R150 Certificate of patent or registration of utility model

Ref document number: 7660156

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150