JP2005065004A - Method, device and program for inspecting encrypted communication data - Google Patents
Method, device and program for inspecting encrypted communication data Download PDFInfo
- Publication number
- JP2005065004A JP2005065004A JP2003294224A JP2003294224A JP2005065004A JP 2005065004 A JP2005065004 A JP 2005065004A JP 2003294224 A JP2003294224 A JP 2003294224A JP 2003294224 A JP2003294224 A JP 2003294224A JP 2005065004 A JP2005065004 A JP 2005065004A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- encrypted
- communication device
- data
- encrypted communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラムに係り、特に、インターネット上のデータ通信において、IPsec(IP security)やSSL(secure socket layer)などの暗号化通信を実現する一方で、一定のネットワーク管理基準に則り、その通信データの内容を任意のフィルタリング条件に基づいて検査し、必要に応じてそのネットワークでの通信データの転送を遮断することを実現する通信方式に関する。 The present invention relates to an encrypted communication data inspection method, an encrypted communication data inspection apparatus, and an encrypted communication data inspection program, and in particular, in data communication on the Internet, such as IPsec (IP security) and SSL (secure socket layer). While realizing encrypted communication, in accordance with certain network management standards, the content of the communication data is inspected based on arbitrary filtering conditions, and if necessary, the transfer of communication data on the network is blocked. It relates to a communication method to be realized.
インターネットなどで転送される通信データは、一般にOSI(open system interconnection)参照モデルの枠組みに基づき、複数の通信プロトコル階層に分類された上で、ネットワークを構成する各通信装置が任意の通信プロトコル階層の所定の処理を実行することにより送受信される。これにより、送信側通信端末が送信する通信データは、特定の適切な経路を経由しながら受信側通信端末に到達する。これらの通信データの転送は、ネットワークを構成する世界中の通信装置が、IP(internet protocol)に代表される通信プロトコルに対応することにより実現されており、今日あらゆる通信端末がインターネットを通してデータ通信を実現することが可能になった。それに伴い、インターネットを利用した多種多様なサービスが急速に普及し、今後もインターネットを介して多岐にわたるサービスが開発されて、世の中に普及すると予想される。 Communication data transferred over the Internet or the like is generally classified into a plurality of communication protocol layers based on the framework of the OSI (open system interconnection) reference model, and each communication device constituting the network has an arbitrary communication protocol layer. Transmission / reception is performed by executing predetermined processing. As a result, the communication data transmitted by the transmission side communication terminal reaches the reception side communication terminal via a specific appropriate route. The transfer of these communication data is realized by communication devices around the world that support communication protocols represented by IP (Internet protocol), and today all communication terminals perform data communication through the Internet. It became possible to realize. Along with this, a wide variety of services using the Internet are rapidly spreading, and it is expected that a wide variety of services will be developed and spread throughout the world in the future.
一方、インターネットを利用した様々なサービスが普及すると共に、インターネットを不正に利用することを試みる行為が頻発している。例えば、盗聴、改竄、なりすまし、否認など、多岐にわたる不正な通信行為が発生するようになった今日、ネットワークのセキュリティ管理は、大変重要な課題として位置付けられている。 On the other hand, various services using the Internet have become widespread, and the act of trying to illegally use the Internet has frequently occurred. For example, network security management is positioned as a very important issue today, when a wide variety of unauthorized communication activities such as wiretapping, tampering, impersonation, and denial have occurred.
そこで、通信データの機密性・完全性を維持する為、SSL技術などに代表される暗号化技術が広く使用されるようになった他、本人認証を実現するPKI(pubic key infrastructure、公開鍵認証基盤)の普及、デジタル署名による否認防止、IPアドレスやポート番号等に基づくフィルタリング、インターネットウィルス検出、インターネットウィルスに対するウィルススキャン、セキュリティホール対策などの様々なセキュリティ対策を適宜実施することにより、セキュリティが高度に確保されたインターネット通信が実現されている。 Therefore, in order to maintain the confidentiality and integrity of communication data, encryption technology typified by SSL technology has come to be widely used, and PKI (public key infrastructure, public key authentication) that realizes personal authentication. Security is advanced by appropriately implementing various security measures such as the spread of infrastructure), non-repudiation by digital signatures, filtering based on IP addresses and port numbers, Internet virus detection, virus scanning for Internet viruses, and security hole countermeasures. Internet communication secured in the Internet.
例えば、セキュリティに関する文献として、インターネットにおけるセキュリティ対策としてファイアウォールに関する基礎的な技術、及びセキュリティポリシーについて紹介されている文献がある(例えば、非特許文献1参照)。その中で、特に3.23節ではセキュリティ対策としての暗号化通信について述べられている。また、暗号化に関する基礎技術、概念、実用システムの構築などについて紹介されている文献もある(例えば、非特許文献2参照)。その中で第2章では公開鍵暗号化についてディフィー・フェルマン(Diffie−Hellman)アルゴリズムに関する説明がある他、第3章では、暗号化に関する社会的・政治的問題についても解説されている。
For example, as a document related to security, there is a document that introduces basic technology related to a firewall as a security measure in the Internet and a security policy (see, for example, Non-Patent Document 1). Among them, in particular, Section 3.23 describes encrypted communication as a security measure. In addition, there are documents in which basic technologies related to encryption, concepts, and construction of practical systems are introduced (for example, see Non-Patent Document 2). Among them,
以上のようなセキュリティ対策は、理想的には個々の通信端末がそれぞれそれらセキュリティ対策機能を搭載することにより実現することが望ましいが、現実的には一般ユーザが通信端末を利用することも考慮すると、すべての通信端末において常に十分で最新のセキュリティ対策機能を搭載させることは不可能に近い。そこで、実際にはアクセスネットワークのエッジに相当するような場所に、セキュリティ対策機能を有する第三の通信装置としてFW(firewall、ファイアウォール)やGW(gateway、ゲートウェイ)などを設置し、常にネットワーク管理者がこのFWやGWなどを維持管理し、個々の通信端末の代わりにセキュリティ維持を実現している。またこれによって、あるネットワーク内にセキュリティ対策が不十分な通信端末がつながっている場合でも、外部からの不正なアクセスによってその通信端末を踏み台にしてネットワーク全体のセキュリティを侵されるようなことも防止することが可能となる。 The security measures as described above are ideally realized by each communication terminal having its security measure function installed. However, in reality, it is also considered that general users use communication terminals. Therefore, it is almost impossible to install the latest security countermeasure function that is always sufficient in all communication terminals. Therefore, FW (firewall, firewall), GW (gateway), etc. are installed as a third communication device with a security countermeasure function in a place that actually corresponds to the edge of the access network. Maintains the FW, GW, etc., and realizes security maintenance instead of individual communication terminals. In addition, even if a communication terminal with insufficient security measures is connected in a network, this prevents the network from being compromised by using the communication terminal as a stepping stone due to unauthorized external access. It becomes possible.
しかし、ある通信端末が別の通信端末との間で暗号化通信を実施している場合、セキュリティ対策機能を有する第三の通信装置としてFWやGWなどを設置しても、その通信データの内容を解読できなくなり、セキュリティ対策が不十分になるといった、暗号化とフィルタリングの矛盾が発生する。即ち、通信端末同士は自らの機密性を維持する為に暗号化通信を行うが、ネットワーク管理者の立場としてはFWやGWなどでは暗号化されたデータを復号化できず、その通信の内容を確認することが不可能となる為、適切なフィルタリングなどのセキュリティ対策を実施することが困難になる。これにより、不正なデータ転送やアクセスもしくはインターネットウィルスの侵入などに対し自衛することが出来なくなる。この課題については、通信プロトコル階層においてより深いレイヤ(レイヤ番号が小さいほど深い)で暗号化するほど、フィルタリング条件として利用できる通信ヘッダなどの情報が少なくなり、適切なフィルタリングの実施が困難になる。 However, if a certain communication terminal is performing encrypted communication with another communication terminal, even if an FW or GW is installed as a third communication device having a security countermeasure function, the contents of the communication data Encryption and filtering inconsistencies occur, such as the inability to decrypt the security and insufficient security measures. In other words, the communication terminals perform encrypted communication to maintain their confidentiality. However, as a network administrator, the encrypted data cannot be decrypted by FW, GW, etc. Since it becomes impossible to confirm, it becomes difficult to implement security measures such as appropriate filtering. As a result, it becomes impossible to defend itself against unauthorized data transfer or access or invasion of Internet viruses. As for this problem, as the encryption is performed at a deeper layer in the communication protocol hierarchy (deeper as the layer number is smaller), information such as a communication header that can be used as a filtering condition decreases, and it becomes difficult to perform appropriate filtering.
例えば、IPv6(Internet Protocol version 6)で標準サポートされることになるIPsecにおいては、レイヤ3(ネットワーク層)での暗号化が実行される為、レイヤ4以上の通信ヘッダ情報さえ確認することが出来なくなり、通信データパケットのフィルタリング条件として利用可能な情報が大幅に少なくなる。例えば、ポート番号などの通信ヘッダ情報を参照することが出来なくなる他、トンネルモードでのIPsec適用においては元のIPパケットの送信元や送信先を示すIPアドレス情報まで暗号化の適用範囲となる為、通信データの各種内容を第三の通信装置が参照することが出来ない場合がある。
For example, in IPsec, which will be supported by IPv6 (Internet Protocol version 6) as standard, encryption at layer 3 (network layer) is executed, so even communication header information at
従って、送信側通信端末と受信側通信端末との間に介在するFWやGWなどにおいて、IPsec等の暗号化されたパケットを転送する場合、そのパケットの内容を意識しない場合は問題ないが、使用条件、管理条件に制約があるネットワーク(例えば企業内LANや、高いセキュリティレベルが要求されている商用ネットワークなど)においては、実際にはパケットの内容に問題がないにもかかわらず、暗号化されていることによりその内容を確認できない場合にはパケットの転送自体を遮断するというフィルタリング条件を設けざるを得ない場合も発生する。すなわち、特定のネットワークセキュリティ管理基準として、通信データの内容を確認できない場合はその特定のネットワークのエッジに存在する第三の通信装置においてその通信情報の転送を遮断するようにした場合、暗号化通信は実際の内容に問題が有るなしに関わらず全て遮断されてしまうことになる。 Therefore, when an encrypted packet such as IPsec is transferred in FW or GW interposed between the transmission side communication terminal and the reception side communication terminal, there is no problem if the contents of the packet are not conscious. In networks with restrictions on conditions and management conditions (for example, corporate LANs and commercial networks that require a high security level), packets are encrypted even though there is actually no problem with the packet contents. If the content cannot be confirmed, there may be a case where a filtering condition of blocking the packet transfer itself has to be provided. That is, as a specific network security management standard, when the content of communication data cannot be confirmed, the third communication device existing at the edge of the specific network blocks the transfer of the communication information. Will be blocked regardless of whether there is a problem with the actual content.
本発明は、以上の点に鑑み、暗号化された通信データに対して、適切なデータ検査を可能とし、暗号化とフィルタリングの矛盾を解決することを目的とする。また、本発明は、任意の通信端末同士がSSLやIPsecなどの暗号化通信を行う場合において、ネットワーク上でその暗号化通信データを転送する第三の通信装置は、通信データの内容を確認可能にすることを目的とする。また、本発明は、暗号化されていないデータ通信の場合と同等のフィルタリング機能を、暗号化通信データに対して実現することを目的とする。さらに、本発明によると、通信データに対する暗号化の適用範囲が広い、すなわち通信プロトコル階層においてより深いレイヤ(レイヤ番号が小さいほど深い)で暗号化されることにより、第三の通信装置におけるフィルタリング条件として利用できるパケットヘッダなどの通信データ情報が少なくなっても、暗号化通信データに対する適切なフィルタリングの実施を可能とすることを目的とする。また、本発明は、レイヤ3で暗号化するIPsecが標準サポートされるIPv6において、適切なフィルタリングの実施を可能とすることを目的とする。
In view of the above, an object of the present invention is to enable appropriate data inspection on encrypted communication data and to solve the contradiction between encryption and filtering. In addition, in the present invention, when any communication terminal performs encrypted communication such as SSL or IPsec, the third communication device that transfers the encrypted communication data on the network can check the content of the communication data. The purpose is to. Another object of the present invention is to realize a filtering function equivalent to the case of unencrypted data communication for encrypted communication data. Furthermore, according to the present invention, the application range of encryption for communication data is wide, that is, encryption is performed at a deeper layer in the communication protocol hierarchy (deeper as the layer number is smaller), thereby filtering conditions in the third communication device. An object of the present invention is to enable appropriate filtering to be performed on encrypted communication data even when there is less communication data information such as packet headers that can be used as Another object of the present invention is to enable appropriate filtering to be performed in IPv6 in which IPsec encrypted in
FWやGWなどが、通信内容を解読しても支障が無い立場であり、かつ、他にその通信データの内容を漏らさないことが保証されている場合、先に指摘した暗号化とフィルタリングの矛盾を解決する為には、暗号化通信データの解読が必要なFWやGWなどに対しその暗号鍵を通知して通信データの内容を確認可能にすることにより、実質的には弊害なく暗号化とフィルタリングの矛盾を解決することが可能になる。 If FW, GW, etc. are in a position where there is no problem even if the communication contents are decrypted and it is guaranteed that the contents of the communication data will not be leaked elsewhere, the contradiction between the encryption and the filtering pointed out above In order to solve this problem, it is possible to confirm the content of the communication data by notifying the encryption key to FW, GW, etc. that need to decrypt the encrypted communication data, so that the encryption can be performed substantially without any harmful effect. It becomes possible to solve the contradiction of filtering.
そこでこの課題を解決するに当たっては、第一に、FWやGWなどは暗号化されていて内容を確認できない通信データを遮断し、そのFWやGWなどが暗号化通信を試みる送信側通信端末や受信側通信端末に対して、例えば通信データを遮断していることを通知するメッセージを送信する。もし、FWやGWなどが通信データを遮断したまま何も通知しないと、送信側通信端末や受信側通信端末は、どこでなぜ通信データが遮断されているかを認識することができない。そこで、特定のFWやGWなどが暗号化通信の内容を確認できないために通信データを遮断していることを送信側通信端末や受信側通信端末に対して通知する。通信遮断メッセージの送付先は、例えば暗号化通信データの送信元アドレスや送信先アドレスなどを基に決定可能である。 Therefore, in order to solve this problem, first, communication data that cannot be confirmed because the FW or GW is encrypted is blocked, and the FW or GW tries to perform encrypted communication. For example, a message notifying that the communication data is blocked is transmitted to the side communication terminal. If FW, GW or the like does not notify anything while the communication data is blocked, the transmitting communication terminal and the receiving communication terminal cannot recognize where and why the communication data is blocked. Therefore, the transmission side communication terminal and the reception side communication terminal are notified that the communication data is blocked because the specific FW or GW cannot confirm the content of the encrypted communication. The transmission destination of the communication cutoff message can be determined based on, for example, the transmission source address or transmission destination address of the encrypted communication data.
第二に、送信側通信端末あるいは受信側通信端末は、通信遮断メッセージを受信することによりある特定のFWやGWなどによって暗号化通信が遮断されることを認識すると、そのFWやGWなどが暗号化通信データの内容を解読しても良い通信装置か否かを判断する。即ち、送信側通信端末や受信側通信端末にとっては、通信データを暗号化する目的に応じて、その内容を他の通信装置に知られても良い場合も有れば、秘密を維持しなければならない場合もある。またその判断は、FWやGWなどの立場や属性などにも依存する。そこで、送信側通信端末あるいは受信側通信端末は、特定のFWやGWなどとPKIの認証局などを利用して認証手続きを実行することにより、特定のFWやGWなどの立場や属性を明らかにする。その結果、送信側通信端末あるいは受信側通信端末は、FWやGWなどに対して暗号鍵を渡しても良いか否かを判断する。 Secondly, when the transmitting communication terminal or the receiving communication terminal recognizes that the encrypted communication is blocked by a specific FW or GW by receiving the communication blocking message, the FW or GW is encrypted. It is determined whether or not the communication device can decode the contents of the encrypted communication data. That is, for the communication terminal on the transmission side and the communication terminal on the reception side, depending on the purpose of encrypting the communication data, the contents may be known to other communication devices, or the secret must be maintained. It may not be possible. The determination also depends on the position and attributes of FW and GW. Therefore, the transmitting communication terminal or the receiving communication terminal clarifies the position and attributes of the specific FW, GW, etc. by executing an authentication procedure using a specific FW, GW, etc. and a PKI certificate authority, etc. To do. As a result, the transmission side communication terminal or the reception side communication terminal determines whether or not the encryption key may be passed to the FW or GW.
第三に、送信側通信端末もしくは受信側通信端末とFWやGWなどとの間で、新しく暗号鍵を生成して暗号化通信経路を確保する。これは、先に示した手続きにより特定のFWやGWなどが暗号化通信データの内容を解読しても問題ないと判断した場合に、当該暗号化通信データの暗号鍵を送信側通信端末あるいは受信側通信端末からFWやGWなどに対して送信する場合に、その暗号鍵が他に漏洩することを防止することが目的である。送信側通信端末もしくは受信側通信端末とFWやGWなどとの間で新しく暗号鍵を生成するに当たっては、ディフィー・フェルマンアルゴリズムなどを適用することにより、容易にそれを実現することが可能である。 Third, an encryption communication path is secured by newly generating an encryption key between the transmission side communication terminal or the reception side communication terminal and the FW or GW. This is because the encryption key of the encrypted communication data is received by the transmission side communication terminal or the reception when the specific FW or GW determines that there is no problem even if the content of the encrypted communication data is decrypted by the procedure described above. The purpose is to prevent the encryption key from leaking to the other when the side communication terminal transmits to the FW or GW. When a new encryption key is generated between the transmission-side communication terminal or the reception-side communication terminal and the FW or GW, it can be easily realized by applying the Diffie-Ferman algorithm or the like.
以上の手続きを実現することにより、送信側通信端末もしくは受信側通信端末は、FWやGWなどに対してその暗号鍵を通知し、FWやGWは暗号化通信データの内容が確認可能になる。これによってFWやGWなどは、送信側通信端末と受信側通信端末が暗号化通信を行っている場合も、暗号化されていない場合と同等に、フィルタリングなどのセキュリティ対策を実施することが可能となる。 By realizing the above procedure, the transmitting communication terminal or the receiving communication terminal notifies the FW or GW of the encryption key, and the FW or GW can confirm the contents of the encrypted communication data. As a result, FW, GW, etc. can implement security measures such as filtering even when the transmission side communication terminal and the reception side communication terminal are performing encrypted communication, as in the case of not being encrypted. Become.
具体的には、任意の送信側通信端末と受信側通信端末とが、共有する暗号鍵を使用して暗号化通信を行うにあたり、該暗号化通信データをセキュリティ管理のフィルタリング条件に応じて遮断することが可能な第三の通信装置が、該暗号化通信データの転送経路上に1つ又は複数存在する場合において、該暗号化通信を実施しようとする送信側通信端末あるいは受信側通信端末に対して、第三の通信装置が該暗号化通信データを遮断していることを示す通信遮断メッセージを送信し、該通信遮断メッセージを受信した送信側通信端末あるいは受信側通信端末は、特定の第三の通信装置によって該暗号化通信データが遮断されていることを認識する。 Specifically, when an arbitrary transmission side communication terminal and a reception side communication terminal perform encrypted communication using a shared encryption key, the encrypted communication data is blocked according to security management filtering conditions. When there is one or more third communication devices that can be transferred on the transfer path of the encrypted communication data, the third communication device can transmit the encrypted communication to the transmitting communication terminal or the receiving communication terminal. The third communication device transmits a communication cut-off message indicating that the encrypted communication data is cut off, and the transmission-side communication terminal or the reception-side communication terminal that has received the communication cut-off message It is recognized that the encrypted communication data is blocked by the communication device.
また、送信側通信端末と第三の通信装置、あるいは、受信側通信端末と第三の通信装置の間で認証手続きなどを実行することにより、送信側又は受信側通信端末は、第三の通信装置が該暗号化通信データを復号化して該暗号化通信データの内容を解読しても良いか否かを判断する。解読しても良いと判断された場合、送信側通信端末と第三の通信装置、あるいは、受信側通信端末と第三の通信装置の間で、例えば個別の暗号鍵を生成して共有することにより、暗号化通信経路を確保する。送信側通信端末と第三の通信装置、あるいは、受信側通信端末と第三の通信装置の間で事前に生成した暗号化通信経路を利用して、送信側通信端末と受信側通信端末との間の暗号化通信において共有する暗号鍵を、送信側通信端末あるいは受信側通信端末から第三の通信装置に通知する。 Further, by executing an authentication procedure or the like between the transmission side communication terminal and the third communication device, or between the reception side communication terminal and the third communication device, the transmission side or the reception side communication terminal becomes the third communication. It is judged whether or not the device can decrypt the encrypted communication data and decrypt the content of the encrypted communication data. If it is determined that decryption is allowed, for example, an individual encryption key is generated and shared between the transmission-side communication terminal and the third communication device or between the reception-side communication terminal and the third communication device. Thus, an encrypted communication path is secured. Using the encrypted communication path generated in advance between the sending communication terminal and the third communication device or between the receiving communication terminal and the third communication device, the sending communication terminal and the receiving communication terminal The third communication apparatus is notified of the encryption key shared in the encrypted communication between the transmission side communication terminal and the reception side communication terminal.
さらに、第三の通信装置は、送信側通信端末あるいは受信側通信端末から第三の通信装置に通知された送信側通信端末と受信側通信端末との間の暗号化通信において適用される暗号鍵を使用して、送信側通信端末から受信側通信端末へ送信される暗号化通信データを復号化して解読し、解読された暗号化通信データの内容に対して、暗号化されていない通信データの転送時と同等のフィルタリング条件を適用する。該フィルタリング条件の適用の結果に従い、第三の通信装置は、転送を許可する場合には該暗号化通信データをそのまま転送し、一方、転送を許可しない場合には該暗号化通信データの転送を遮断する。 Further, the third communication device is an encryption key applied in encrypted communication between the transmission side communication terminal and the reception side communication terminal notified from the transmission side communication terminal or the reception side communication terminal to the third communication device. Is used to decrypt and decrypt the encrypted communication data transmitted from the transmission side communication terminal to the reception side communication terminal, and for the content of the decrypted encrypted communication data, Apply the same filtering conditions as when forwarding. According to the result of applying the filtering condition, the third communication device transfers the encrypted communication data as it is when the transfer is permitted, and transfers the encrypted communication data when the transfer is not permitted. Cut off.
本発明の第1の解決手段によると、
所定のフィルタリング条件に従いデータを転送及び/又は遮断する第3の通信装置を介して、第1の通信装置と第2の通信装置との間で、第1の暗号鍵により暗号化された暗号化通信データが伝送される暗号化通信において、
第3の通信装置は、第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断するステップと、
第3の通信装置は、当該データの送信元アドレス及び/又は送信先アドレスに基づき、第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信するステップと、
第3の通信装置は、第1の通信装置と第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該第3の通信装置を認証した第1又は第2の通信装置から受信するステップと、
第3の通信装置は、受信した第1の暗号鍵を使用して、第1及び/又は第2の通信装置から受信した暗号化通信データを復号化するステップと、
第3の通信装置は、復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断するステップと
を含む暗号化通信データ検査方法、及び、これら各処理を第3の通信装置に実行させるための暗号化通信データ検査プログラムが提供される。
According to the first solution of the present invention,
Encryption encrypted with the first encryption key between the first communication device and the second communication device via the third communication device that transfers and / or blocks data according to a predetermined filtering condition In encrypted communication in which communication data is transmitted,
A third communication device blocking encrypted communication data received from the first or second communication device that cannot be decrypted or decrypted;
The third communication device indicates to the first and / or second communication device that the encrypted communication data is blocked based on the source address and / or destination address of the data. A step of sending
The third communication apparatus authenticates the third communication apparatus with the first encryption key used in the encrypted communication between the first communication apparatus and the second communication apparatus. Receiving from the communication device of:
A third communication device decrypting the encrypted communication data received from the first and / or second communication device using the received first encryption key;
The third communication device applies a predetermined filtering condition to the decrypted encrypted communication data, and transfers or blocks the encrypted communication data according to the application result of the condition. A method and an encrypted communication data inspection program for causing a third communication device to execute each of these processes are provided.
本発明の第2の解決手段によると、
暗号鍵により暗号化された暗号化通信データを送受信する第1の通信装置と第2の通信装置の間に介在し、当該暗号化通信データに対して、所定のフィルタリング条件に従いデータを転送及び/又は遮断するための暗号化通信データ検査装置であって、
前記暗号化通信データ検査装置は、
前記第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断し、
当該データの送信元アドレス及び/又は送信先アドレスに基づき、前記第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信し、
前記第1の通信装置と前記第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該第3の通信装置を認証した前記第1又は第2の通信装置から受信し、
受信した第1の暗号鍵を使用して、前記第1及び/又は第2の通信装置から受信した暗号化通信データを復号化し、
復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断する
前記暗号化通信データ検査装置が提供される。
According to the second solution of the present invention,
It is interposed between the first communication device and the second communication device that transmit / receive encrypted communication data encrypted by the encryption key, and transfers data to / from the encrypted communication data according to a predetermined filtering condition. Or an encrypted communication data inspection device for blocking,
The encrypted communication data inspection device includes:
Block encrypted communication data received from the first or second communication device that cannot be decrypted or decrypted;
Based on the source address and / or destination address of the data, a communication cutoff message indicating that the encrypted communication data is blocked is transmitted to the first and / or second communication device,
A first encryption key used in encrypted communication between the first communication device and the second communication device is obtained from the first or second communication device that has authenticated the third communication device. Receive
Decrypting the encrypted communication data received from the first and / or second communication device using the received first encryption key;
The encrypted communication data inspection device is provided that applies a predetermined filtering condition to the decrypted encrypted communication data and transfers or blocks the encrypted communication data according to the application result of the condition.
本発明によると、任意の通信端末同士がSSLやIPsecなどの暗号化通信を行う場合において、ネットワーク上でその暗号化通信データを転送する第三の通信装置は、通信データの内容の一部を確認することが出来る。また、本発明によると、第三の通信装置は暗号化通信データを復号化して内容を解読することが可能になる為、暗号化通信によって参照することが不可能だったパケットヘッダ情報などのフィルタリング条件が参照可能になり、暗号化しないデータ通信の場合と同等のフィルタリング機能を実現することが可能になる。 According to the present invention, when an arbitrary communication terminal performs encrypted communication such as SSL or IPsec, the third communication device that transfers the encrypted communication data on the network transmits a part of the content of the communication data. It can be confirmed. In addition, according to the present invention, the third communication device can decrypt the encrypted communication data and decrypt the contents, so that filtering such as packet header information that could not be referred to by encrypted communication is possible. The conditions can be referred to, and a filtering function equivalent to that in the case of data communication without encryption can be realized.
さらに、本発明によると、通信データに対する暗号化の適用範囲が広い、すなわち通信プロトコル階層においてより深いレイヤ(レイヤ番号が小さいほど深い)で暗号化されることにより、第三の通信装置におけるフィルタリング条件として利用できるパケットヘッダなどの通信データ情報が少なくなっても、暗号化通信データに対する適切なフィルタリングの実施が可能になる。特に、今後普及が予測されるIPv6においては、レイヤ3で暗号化するIPsecが標準サポートされるので、上記機能を実現する意義は大きい。
Furthermore, according to the present invention, the application range of encryption for communication data is wide, that is, encryption is performed at a deeper layer in the communication protocol hierarchy (deeper as the layer number is smaller), thereby filtering conditions in the third communication device. Even if there is less communication data information such as packet headers that can be used as, it is possible to perform appropriate filtering on encrypted communication data. In particular, in IPv6, which is expected to be widely used in the future, IPsec that is encrypted in
1.第1の実施の形態
図1は、暗号化通信データ検査システムの装置構成及び暗号化経路の概要図である。図1は、送信側通信端末と受信側通信端末が、暗号化されたデータ通信を許容しない第三の通信装置を経由して暗号化通信を実施する場合の装置構成及び暗号化経路を示す。
1. First Embodiment FIG. 1 is a schematic diagram of an apparatus configuration and an encryption path of an encrypted communication data inspection system. FIG. 1 shows a device configuration and an encryption path when a transmission side communication terminal and a reception side communication terminal perform encrypted communication via a third communication device that does not allow encrypted data communication.
暗号化通信データ検査システムは、送信側通信端末1−1と、受信側通信端末1−2と、第三の通信装置1−3とを備える。さらに、認証局1−4を備えることもできる。 The encrypted communication data inspection system includes a transmission side communication terminal 1-1, a reception side communication terminal 1-2, and a third communication device 1-3. Furthermore, the certificate authority 1-4 can also be provided.
送信側通信端末1−1及び受信側通信端末1−2は、暗号化通信を実行する。なお、本実施の形態においては、説明をわかりやすくするために通信端末を送信側、受信側と記述しているが、各通信端末は送信及び受信に限られた通信端末である必要はない。 The transmission side communication terminal 1-1 and the reception side communication terminal 1-2 perform encrypted communication. In the present embodiment, the communication terminals are described as the transmission side and the reception side in order to make the explanation easy to understand. However, each communication terminal does not have to be a communication terminal limited to transmission and reception.
第三の通信装置1−3は、送信側通信端末1−1と受信側通信端末1−2との間の通信データを転送するための通信装置であり、FWやGWの役割を果たす。また、第三の通信装置1−3は、暗号化された通信データ(以下、暗号化通信データという)に対して、例えば所定のフィルタリング条件に基づくフィルタリング処理等のセキュリティ対策に関する処理を実行して、暗号化通信データを転送及び/又は遮断する。 The third communication device 1-3 is a communication device for transferring communication data between the transmission side communication terminal 1-1 and the reception side communication terminal 1-2, and plays a role of FW or GW. Further, the third communication device 1-3 executes processing related to security measures such as filtering processing based on a predetermined filtering condition for the encrypted communication data (hereinafter referred to as encrypted communication data). Transfer and / or block encrypted communication data.
認証局1−4は、通信相手の認証を行うための装置である。認証局1−4は、例えば、端末やサーバの立場や属性等の情報を有する。認証局1−4は、送信側通信端末1−1又は受信側通信端末1−2が第三の通信装置1−3に暗号鍵を渡して良いか否かの妥当性を評価する為に利用される。また、認証局1−4は、送信側通信端末1−1、受信側通信端末1−2の暗号化通信を行うに当たっての相互認証に利用されることもできる。 The certificate authority 1-4 is a device for authenticating the communication partner. For example, the certificate authority 1-4 has information such as the position and attributes of the terminal and the server. The certificate authority 1-4 is used to evaluate the validity of whether the transmitting communication terminal 1-1 or the receiving communication terminal 1-2 can pass the encryption key to the third communication apparatus 1-3. Is done. The certificate authority 1-4 can also be used for mutual authentication in performing encrypted communication between the transmitting communication terminal 1-1 and the receiving communication terminal 1-2.
図1では、送信側通信端末1−1がLAN1−5を通して、及び、受信側通信端末1−2がLAN1−6を通してインターネットにつながっており、送信側通信端末1−1と受信側通信端末1−2との間で暗号化通信を実施する場合のイメージを示している。ここで、例えば、LAN1−5は特にネットワークセキュリティ管理がなされていないものとして説明する。一方、LAN1−6では一定のネットワークセキュリティ管理を実現する為に、FWやGWなどの役割として第三の通信装置1−3を通してインターネットにつながっている。なお、第三の通信装置1−3が、LAN1−6ではなくLAN1−5内に存在しても同様である。また、LAN1−5及びLAN1−6の両方に存在してもよい。
In FIG. 1, the transmission side communication terminal 1-1 is connected to the Internet through the LAN 1-5 and the reception side communication terminal 1-2 is connected to the Internet through the LAN 1-6, and the transmission side communication terminal 1-1 and the reception
送信側通信端末1−1と受信側通信端末1−2との間には第三の通信装置1−3がひとつ又は複数存在する場合が想定されるが、図1では1台存在する場合を想定している。なお、第三の通信装置1−3が複数存在する場合については後述する。ここで第三の通信装置1−3は、転送する通信データにおいて、暗号化によって通信データの内容(例えば、IPアドレスなどの所定のフィルタリング処理に必要な情報)を解読できない場合には、セキュリティ維持などの目的でその通信データ自体の転送を遮断するポリシーに基づき制御されているものとする。 It is assumed that one or more third communication devices 1-3 exist between the transmission-side communication terminal 1-1 and the reception-side communication terminal 1-2, but FIG. Assumed. The case where there are a plurality of third communication devices 1-3 will be described later. Here, if the third communication device 1-3 cannot decrypt the content of communication data (for example, information necessary for a predetermined filtering process such as an IP address) in the communication data to be transferred, the third communication device 1-3 maintains security. It is assumed that the communication data is controlled based on a policy for blocking the transfer of the communication data itself for the purpose.
通信データの内容を解読できない場合とは、例えば暗号化通信データの復号化に必要な暗号鍵がないために、データを復号化できず所定の情報を得られない場合が考えられる。なお、第三の通信装置1−3は、当該データを復号化できなくても、又は、データの内容すべてを解読できなくても、フィルタリング処理等に必要な所定の情報が得られる場合には当該データを転送するようにしてもよい。 The case where the contents of the communication data cannot be decrypted may be a case where the data cannot be decrypted and predetermined information cannot be obtained because there is no encryption key necessary for decrypting the encrypted communication data. In addition, even if the third communication device 1-3 cannot decrypt the data or cannot decrypt all the contents of the data, the third communication device 1-3 can obtain predetermined information necessary for the filtering process or the like. The data may be transferred.
図2は、暗号化通信を実現するための手順に関するシーケンス図である。図2は、送信側通信端末1−1と受信側通信端末1−2が、暗号化されたデータ通信を許容しない第三の通信装置1−3を経由して暗号化通信を実施する場合のシーケンス図を示す。 FIG. 2 is a sequence diagram regarding a procedure for realizing encrypted communication. FIG. 2 illustrates a case where the transmission side communication terminal 1-1 and the reception side communication terminal 1-2 perform encrypted communication via the third communication device 1-3 that does not allow encrypted data communication. A sequence diagram is shown.
まず、送信側通信端末1−1及び受信側通信端末1−2は、第三の通信装置1−3の存在をはじめから認識できない為、通常の暗号化通信を試みようとする。ここで送信側通信端末1−1と受信側通信端末1−2の間で暗号化通信するための暗号鍵Xを共有するに当たっては幾つかの手段が考えられ、事前に何らかの手段で暗号鍵Xを物理的に共有しておく場合が考えられる。この他にも、PKIの認証局1−4などを利用して認証手続きを実施した後に、ディフィー・フェルマンアルゴリズムなどを適用することにより共有の暗号鍵Xを生成する場合も考えられる。例えばIPsecにおいては、IKE(internet key exchange)の手続きを踏むことによって安全に共有の暗号鍵を生成することが可能である。なお、これらに限らず、適宜の方法、手段により共有の暗号鍵を生成してもよい。 First, since the transmitting communication terminal 1-1 and the receiving communication terminal 1-2 cannot recognize the presence of the third communication device 1-3 from the beginning, they try to perform normal encrypted communication. Here, when sharing the encryption key X for encrypted communication between the transmission side communication terminal 1-1 and the reception side communication terminal 1-2, several means are conceivable. It may be possible to physically share In addition to this, there may be a case where the shared encryption key X is generated by applying the Diffie-Ferman algorithm after performing the authentication procedure using the PKI certificate authority 1-4 or the like. For example, in IPsec, it is possible to securely generate a shared encryption key by following an IKE (internet key exchange) procedure. However, the present invention is not limited thereto, and a shared encryption key may be generated by an appropriate method or means.
送信側通信端末1−1は、この暗号鍵Xを用いて暗号化した暗号化通信データを受信側通信端末1−2に向けて送信する。しかし、その暗号化通信データを転送することになる第三の通信装置1−3は、自らが復号化して解読できない当該暗号化通信データを遮断する。ここで遮断しただけでは送信側通信端末1−1や受信側通信端末1−2は、どこでなぜ暗号化通信データが遮断されているかを認識できない為、第三の通信装置1−3は、例えば暗号化通信データパケットのソースアドレス(SA)及び/又はデスティネーションアドレス(DA)に基づき、第三の通信装置1−3自身がこの暗号化通信データを遮断していること示す通信遮断メッセージを、送信側通信端末1−1及び/又は受信側通信端末1−2に送信する。通信遮断メッセージを受信した送信側通信端末1−1及び受信側通信端末1−2は、そこで初めて第三の通信装置1−3によって暗号化通信データが遮断されていることを認識することが出来る。 The transmission side communication terminal 1-1 transmits the encrypted communication data encrypted using the encryption key X to the reception side communication terminal 1-2. However, the third communication device 1-3 that will transfer the encrypted communication data blocks the encrypted communication data that it cannot decrypt and decrypt. Since the transmission side communication terminal 1-1 and the reception side communication terminal 1-2 cannot recognize where the encrypted communication data is blocked only by blocking here, the third communication device 1-3, for example, Based on the source address (SA) and / or the destination address (DA) of the encrypted communication data packet, a communication cutoff message indicating that the third communication device 1-3 itself is blocking this encrypted communication data, The data is transmitted to the transmission side communication terminal 1-1 and / or the reception side communication terminal 1-2. The transmission side communication terminal 1-1 and the reception side communication terminal 1-2 that have received the communication cut-off message can recognize for the first time that the encrypted communication data is cut off by the third communication device 1-3. .
次に、通信遮断メッセージを受信した送信側通信端末1−1もしくは受信側通信端末1−2は、暗号化通信データの遮断を解消すべく、第三の通信装置1−3に暗号鍵Xを渡して良いか否かを判断する為に第三の通信端末1−3と相互認証を実施する。なお、送信側通信端末1−1が第三の通信装置1−3と相互認証を実施する場合も同様である。この相互認証は、通信遮断メッセージを受信した第三の通信装置1−3が暗号化通信データを暗号鍵Xで復号化して解読可能になっても問題ないか、もしくは第三の通信装置1−3が通信データの内容を他に漏洩する危険性がないかなどを確認することが主な目的である。以下、説明を簡単化するために受信側通信端末1−2が第三の通信装置1−3と相互認証を実施するものとして説明する。 Next, the transmission-side communication terminal 1-1 or the reception-side communication terminal 1-2 that has received the communication cutoff message sends the encryption key X to the third communication device 1-3 in order to cancel the cutoff of the encrypted communication data. In order to determine whether or not to pass, mutual authentication with the third communication terminal 1-3 is performed. The same applies to the case where the transmitting communication terminal 1-1 performs mutual authentication with the third communication device 1-3. This mutual authentication does not pose a problem even if the third communication device 1-3 that has received the communication cutoff message can decrypt the encrypted communication data with the encryption key X, or the third communication device 1- The main purpose is to confirm whether there is a risk of 3 leaking the contents of communication data to others. Hereinafter, in order to simplify the description, it is assumed that the receiving communication terminal 1-2 performs mutual authentication with the third communication device 1-3.
このような相互認証を実現する為には、送信側通信端末1−1と受信側通信端末1−2とが相互認証するのと同様に、例えば受信側通信端末1−2と第三の通信装置1−3とがPKIの認証局1−4などを利用することにより、受信側通信端末1−2は第三の通信装置1−3に対して暗号鍵Xを渡して良い相手か否かを判定することができる。ここでは、例えばあらかじめ受信側通信端末1−2において暗号鍵Xを渡しても良い信頼できる通信装置もしくはそのグループを示す識別情報の一覧を保持しておくことにより、受信側通信端末1−2は第三の通信装置1−3がその一覧に該当する場合は暗号鍵Xを渡して問題なしと判断し、一方それ以外の場合は暗号鍵Xを渡してはならないことを判断する。なお、これ以外にも適宜の方法により相互認証することができる。また、本実施の形態では相互認証を行っているが、暗号鍵を渡しても良いか否かの判定においては、少なくとも送信側通信端末1−1又は受信側通信端末1−2が第三の通信端末1−3を認証できればよい。 In order to realize such mutual authentication, for example, the receiving communication terminal 1-2 and the third communication are connected in the same manner as the transmitting communication terminal 1-1 and the receiving communication terminal 1-2 authenticate each other. Whether the receiving side communication terminal 1-2 can pass the encryption key X to the third communication device 1-3 by using the PKI certificate authority 1-4 or the like with the device 1-3. Can be determined. Here, for example, by holding a list of identification information indicating a reliable communication apparatus or a group thereof that may pass the encryption key X in the receiving communication terminal 1-2 in advance, the receiving communication terminal 1-2 If the third communication device 1-3 falls within the list, it passes the encryption key X and determines that there is no problem, and otherwise determines that the encryption key X should not be passed. In addition, mutual authentication can be performed by an appropriate method. In the present embodiment, mutual authentication is performed. However, in determining whether or not an encryption key may be passed, at least the transmission side communication terminal 1-1 or the reception side communication terminal 1-2 is the third one. What is necessary is just to be able to authenticate the communication terminal 1-3.
その結果、問題なしと判断された場合には、受信側通信端末1−2から第三の通信装置1−3に暗号鍵Xをセキュアに送信する為、受信側通信端末1−2と第三の通信装置1−3との間で新たな暗号化通信を実現する為に用いる暗号鍵Yを生成する。暗号鍵Yの生成に当たっては、暗号鍵Xの生成の場合と同様、ディフィー・フェルマンアルゴリズムなどを適用することにより共有の暗号鍵Yを生成することが可能である。 As a result, when it is determined that there is no problem, the encryption key X is securely transmitted from the reception side communication terminal 1-2 to the third communication device 1-3. The encryption key Y used for realizing new encrypted communication with the communication device 1-3 is generated. In generating the encryption key Y, as in the case of generating the encryption key X, the shared encryption key Y can be generated by applying the Diffie-Ferman algorithm or the like.
そして、暗号鍵Yで確保された暗号化通信経路を用いて、受信側通信端末1−2は、第三の通信装置1−3に対して暗号鍵Xを送信する。また、第三の通信装置1−3は暗号鍵Xを受信し、受信した暗号鍵を記憶部等に適宜記憶する。例えば、第三の通信装置1−3は、暗号化通信経路の識別情報、送信側通信端末1−1及び受信側通信端末1−2の識別情報などに対応させて暗号鍵Xを記憶する。 Then, using the encrypted communication path secured with the encryption key Y, the receiving communication terminal 1-2 transmits the encryption key X to the third communication device 1-3. The third communication device 1-3 receives the encryption key X and stores the received encryption key in a storage unit or the like as appropriate. For example, the third communication device 1-3 stores the encryption key X in association with the identification information of the encrypted communication path, the identification information of the transmission side communication terminal 1-1 and the reception side communication terminal 1-2, and the like.
さらに、受信側通信端末1−2は、例えば送信側通信端末1−1に対して暗号鍵Xで暗号化されたデータ通信の再開を通知する。送信側通信端末1−1と受信側通信端末1−2の暗号化通信は、遮断された状態で止まっているため、通信を再開するためのトリガを送信側通信端末1−1に与えるものである。なお、この通知は、暗号鍵Xを送信した受信側通信端末1−2が行う以外にも、暗号鍵Xを受信した第三の通信装置1−3が送信側通信端末1−1に通知するようにしてもよい。また、これ以外にも所定時間経過後に通信を再開するなど、適宜の方法によりデータ通信を再開するためのトリガを与えることができる。さらに、第三の通信装置1−3が、遮断したデータを一時記憶しておき、送信側通信端末1−1から再度データを送信しないようにしてもよい。 Further, the reception side communication terminal 1-2 notifies the transmission side communication terminal 1-1 of the restart of the data communication encrypted with the encryption key X, for example. Since the encrypted communication between the transmitting communication terminal 1-1 and the receiving communication terminal 1-2 is stopped in a blocked state, a trigger for resuming communication is given to the transmitting communication terminal 1-1. is there. In addition to the notification performed by the receiving communication terminal 1-2 that has transmitted the encryption key X, the third communication device 1-3 that has received the encryption key X notifies the transmitting communication terminal 1-1 of this notification. You may do it. In addition, a trigger for resuming data communication can be given by an appropriate method such as resuming communication after a predetermined time has elapsed. Further, the third communication device 1-3 may temporarily store the blocked data, and may not transmit the data again from the transmission side communication terminal 1-1.
データ通信の再開の通知を受けた送信側通信端末1−1は、再度、暗号化通信データを受信側通信端末1−2に送信する。第三の通信装置1−3は、すでに受信した暗号鍵Xを用いて、送信側通信端末1−1と受信側通信端末1−2との間の暗号化通信データを復号化して解読することにより、その内容を確認することが可能である。 Receiving the notice of resumption of data communication, the transmission side communication terminal 1-1 transmits the encrypted communication data to the reception side communication terminal 1-2 again. The third communication device 1-3 uses the already received encryption key X to decrypt and decrypt the encrypted communication data between the transmission side communication terminal 1-1 and the reception side communication terminal 1-2. It is possible to confirm the contents.
第三の通信装置1−3は、確認された暗号化通信データの内容に基づき、本来の暗号化されていない場合のフィルタリング基準と同等の処理を実施した上で、転送して問題なしと判断した場合には、暗号化通信データをそのまま転送する。その結果、受信側通信端末1−2は暗号化通信データを受信することが可能になる。一方、第三の通信装置1−3は、フィルタリングの処理により転送不可と判断した場合には、当該データを廃棄する。 Based on the content of the encrypted communication data that has been confirmed, the third communication device 1-3 performs processing equivalent to the filtering standard for the case where the original communication is not encrypted, and determines that there is no problem with the transfer. In such a case, the encrypted communication data is transferred as it is. As a result, the receiving communication terminal 1-2 can receive the encrypted communication data. On the other hand, if the third communication device 1-3 determines that transfer is impossible by the filtering process, the third communication device 1-3 discards the data.
2.第2の実施の形態
図3は、複数の通信装置を介して暗号化通信を実施する暗号化データ検査システムの装置構成及び暗号化経路の概要図である。図3は、図1の概略図をベースにして、送信側通信端末3−1、受信側通信端末3−2、第三の通信装置3−3以外に、更にFWやGWなどの役割として暗号化通信データを遮断する第四の通信装置3−4を備えるものである。なお、第五、第六の通信装置など、さらに通信装置を備えることもできる。
2. Second Embodiment FIG. 3 is a schematic diagram of an apparatus configuration and an encryption path of an encrypted data inspection system that performs encrypted communication via a plurality of communication apparatuses. FIG. 3 is based on the schematic diagram of FIG. The fourth communication device 3-4 for blocking the communication data is provided. Note that a communication device such as a fifth communication device or a sixth communication device may be further provided.
ここで、第四の通信装置の場所としては、送信側通信端末3−1と第三の通信装置3−3との間の場所と、第三の通信装置3−3と受信側通信端末3−2との間の場所とが考えられるが、送信側通信端末3−1と受信側通信端末3−2との間の暗号化通信データが、インターネット等を介して第三の通信装置3−3にまで到達していることから、FWやGWなどの役割として暗号化通信データを遮断する第四の通信装置3−4の場所は、例えば、第三の通信装置3−3と受信側通信端末3−2との間の場所とすることができる。なお、第三の通信端末3−3と第四の通信端末3−4は、これに限らず適宜の場所に配置することができる。
Here, as the location of the fourth communication device, the location between the transmission-side communication terminal 3-1 and the third communication device 3-3, the third communication device 3-3, and the reception-
ここで注意すべきは、受信側通信端末3−2が第三の通信装置3−3へ暗号鍵Xを送信する場合、上述のように暗号化通信経路(Y)を使用した暗号化通信が発生することである。この場合、第四の通信装置3−4は暗号化通信データの転送を遮断するため、単純には受信側通信端末3−2は第三の通信装置3−3へ暗号鍵Xを送信することはできない。しかし、上述の第1の実施の形態に係る手続きを再帰的に実行することにより上記課題は解決することが可能である。 It should be noted that when the receiving communication terminal 3-2 transmits the encryption key X to the third communication device 3-3, the encrypted communication using the encrypted communication path (Y) is performed as described above. Is to occur. In this case, since the fourth communication device 3-4 blocks the transfer of the encrypted communication data, the receiving side communication terminal 3-2 simply transmits the encryption key X to the third communication device 3-3. I can't. However, the above problem can be solved by recursively executing the procedure according to the first embodiment described above.
即ち、受信側通信端末3−2と第三の通信端末3−3における暗号化通信において、図3に示す受信側通信端末3−2は図1及び図2に示す送信側通信端末1−1に、図3の第三の通信装置3−3は図1及び図2の受信側通信端末1−2に、そして図3の第四の通信装置3−4は図1及び図2の第三の通信装置1−3にそれぞれ対応させて、上述と同様の手続きを実行すればよい。第四の通信装置3−4が存在したとしても、最終的には送信側通信端末3−1と受信側通信端末3−2との間の暗号化通信は可能になる。具体的な一連の処理の例について、以下に説明する。 That is, in the encrypted communication between the receiving communication terminal 3-2 and the third communication terminal 3-3, the receiving communication terminal 3-2 shown in FIG. 3 is connected to the transmitting communication terminal 1-1 shown in FIGS. The third communication device 3-3 in FIG. 3 is the receiving communication terminal 1-2 in FIGS. 1 and 2, and the fourth communication device 3-4 in FIG. 3 is the third communication device in FIGS. The same procedure as described above may be executed in correspondence with each of the communication devices 1-3. Even if the fourth communication device 3-4 exists, finally, encrypted communication between the transmission side communication terminal 3-1 and the reception side communication terminal 3-2 becomes possible. A specific example of a series of processing will be described below.
図4及び図5は、暗号化されたデータ通信を許容しない複数の通信装置が存在する場合における暗号化データ検査のシーケンス図である。 4 and 5 are sequence diagrams of the encrypted data inspection when there are a plurality of communication devices that do not allow encrypted data communication.
上述と同様にして、FWやGWなどの役割を果たす通信装置が複数存在する場合であっても、上述と同じ手続きを再帰的に繰り返し実行することにより暗号化通信をすることが可能である。例として図4及び図5では、送信側通信端末3−1と受信側通信端末3−2との間にFWやGWなどの役割として暗号化通信データを遮断する3個の通信装置(第三、第四、第五の通信装置)が存在する場合の具体的な手続きの流れを示す。これら第三、第四、第五の通信装置は、例えば、図1におけるLAN1−6内に配置される。なお、通信装置の数は3個以外の場合であっても同様である。 Similarly to the above, even when there are a plurality of communication devices that play a role such as FW and GW, encrypted communication can be performed by recursively executing the same procedure as described above. As an example, in FIG. 4 and FIG. 5, three communication devices (third) that block encrypted communication data as a role such as FW or GW between the transmission-side communication terminal 3-1 and the reception-side communication terminal 3-2. , 4th and 5th communication apparatus) will be described in detail. These third, fourth, and fifth communication devices are disposed, for example, in the LAN 1-6 in FIG. The same applies to cases where the number of communication devices is other than three.
まず、図4を参照し、送信側通信端末3−1と受信側通信端末3−2の間の暗号化通信(X)を実現するにあたっては、第三の通信装置3−3で暗号化通信(X)が拒否されて送信が失敗する。通信遮断メッセージが送信元アドレス等に基づき、第三の通信装置3−3から受信側通信端末3−2に送信されると、受信側通信端末3−2と第三の通信装置3−3の間で暗号化通信経路(Y)を作成し、暗号化通信(Y)を試みる。しかし、今度は第五の通信装置3−5で暗号化通信(Y)が拒否されて暗号鍵(X)の送信が失敗する。通信遮断メッセージが第五の通信装置3−5から第三の通信装置3−3に送信されると、第三の通信装置3−3と第五の通信装置3−5の間で暗号化通信経路(Z)を作成し、暗号化通信(Z)を試みる。しかし、今度は第四の通信装置3−4で暗号化通信(Z)が拒否されて暗号鍵(Y)送信が失敗する。 First, referring to FIG. 4, in realizing the encrypted communication (X) between the transmission side communication terminal 3-1 and the reception side communication terminal 3-2, the third communication device 3-3 performs the encrypted communication. (X) is rejected and transmission fails. When the communication cutoff message is transmitted from the third communication device 3-3 to the receiving communication terminal 3-2 based on the transmission source address or the like, the receiving communication terminal 3-2 and the third communication device 3-3 An encrypted communication path (Y) is created between them, and encrypted communication (Y) is attempted. However, this time, the fifth communication device 3-5 refuses the encrypted communication (Y) and the transmission of the encryption key (X) fails. When the communication cutoff message is transmitted from the fifth communication device 3-5 to the third communication device 3-3, encrypted communication is performed between the third communication device 3-3 and the fifth communication device 3-5. A route (Z) is created, and encrypted communication (Z) is attempted. However, this time, the encrypted communication (Z) is rejected by the fourth communication device 3-4, and the encryption key (Y) transmission fails.
通信遮断メッセージが第四の通信装置3−4から第五の通信装置3−5に送信されると、第五の通信装置3−5と第四の通信装置3−4の間で暗号化通信経路(W)を作成し、暗号化通信(W)を試みる。ここで始めて暗号化通信(W)が成立し、第五の通信装置3−5から第四の通信装置3−4へ暗号鍵(Z)の送信が成功する。その結果、暗号化通信経路(Z)を介した、第三の通信装置3−3から第五の通信装置3−5への暗号鍵(Y)の送信も成功する。ここで、例えば、暗号鍵(Z)の送信が成功後、上述の第1の実施の形態と同様に、第五の通信装置3−5はデータ通信の再開を第三の通信装置3−3に通知するようにしてもよい。以下、暗号鍵の送信が成功した場合についても同様である。 When the communication cutoff message is transmitted from the fourth communication device 3-4 to the fifth communication device 3-5, encrypted communication is performed between the fifth communication device 3-5 and the fourth communication device 3-4. A route (W) is created and encrypted communication (W) is attempted. The encrypted communication (W) is established for the first time here, and the transmission of the encryption key (Z) from the fifth communication device 3-5 to the fourth communication device 3-4 is successful. As a result, transmission of the encryption key (Y) from the third communication device 3-3 to the fifth communication device 3-5 via the encrypted communication path (Z) is also successful. Here, for example, after the transmission of the encryption key (Z) is successful, the fifth communication device 3-5 resumes the data communication as in the first embodiment described above, and the third communication device 3-3. May be notified. Hereinafter, the same applies to the case where the transmission of the encryption key is successful.
次に、受信側通信端末3−2から第三の通信装置3−3へ向けて暗号鍵(X)を送信する。第五の通信装置3−5は上述の処理により暗号鍵(Y)を持っているため、暗号化通信(Y)は、他のフィルタリング条件に該当しない限り第五の通信装置3−5を通過することができる。以下の説明において、他のフィルタリング条件には該当しないものとして説明する。一方、第四の通信装置3−4は暗号鍵(Y)を持っていないため、暗号化通信(Y)が拒否されて暗号鍵(X)の送信が失敗する。通信遮断メッセージが第四の通信装置3−4から第三の通信装置3−3に送信されると、第三の通信装置3−3と第四の通信装置3−4の間で暗号化通信経路(V)を作成し、暗号化通信(V)を試みる。暗号化通信(V)は成立し、第三の通信装置3−3から第四の通信装置3−4へ暗号鍵(Y)の送信が成功する。その結果、暗号化通信経路(Y)を介した、受信側通信端末3−2から第三の通信装置3−3への暗号鍵(X)の送信が成功する。 Next, the encryption key (X) is transmitted from the receiving communication terminal 3-2 to the third communication device 3-3. Since the fifth communication device 3-5 has the encryption key (Y) by the above processing, the encrypted communication (Y) passes through the fifth communication device 3-5 unless other filtering conditions are met. can do. In the following description, description will be made on the assumption that other filtering conditions do not apply. On the other hand, since the fourth communication device 3-4 does not have the encryption key (Y), the encrypted communication (Y) is rejected and the transmission of the encryption key (X) fails. When the communication cutoff message is transmitted from the fourth communication device 3-4 to the third communication device 3-3, encrypted communication is performed between the third communication device 3-3 and the fourth communication device 3-4. A route (V) is created and encrypted communication (V) is attempted. Encrypted communication (V) is established, and transmission of the encryption key (Y) from the third communication device 3-3 to the fourth communication device 3-4 is successful. As a result, transmission of the encryption key (X) from the receiving communication terminal 3-2 to the third communication device 3-3 via the encrypted communication path (Y) is successful.
次に、図5を参照し、送信側通信端末3−1はあらためて受信側通信端末3−2と暗号化通信(X)の実現を試みるが、今度は第四の通信装置3−4で暗号化通信(X)が拒否されて暗号化通信データの送信が失敗する。以降、上述の第三の通信装置3−3で暗号化通信(X)が拒否された場合と同様な手続きで第四の通信装置3−4に暗号鍵(X)が渡される。第五の通信装置3−5においても同様にして暗号鍵(X)が渡されることにより、最終的には、送信側通信端末3−1から受信側通信端末3−2への暗号化通信(X)が成功するに至ることになる。 Next, referring to FIG. 5, the transmission side communication terminal 3-1 again tries to realize encrypted communication (X) with the reception side communication terminal 3-2, but this time, the fourth communication device 3-4 performs encryption. Encrypted communication (X) is rejected and transmission of encrypted communication data fails. Thereafter, the encryption key (X) is passed to the fourth communication device 3-4 in the same procedure as when the encrypted communication (X) is rejected by the third communication device 3-3. In the fifth communication device 3-5 as well, the encryption key (X) is passed in the same manner, so that finally the encrypted communication (from the transmission side communication terminal 3-1 to the reception side communication terminal 3-2) ( X) will be successful.
図6は、通信遮断メッセージに対して送信側通信端末3−1が対応手続きを実行する暗号化データ検査のシーケンス図である。 FIG. 6 is a sequence diagram of the encrypted data inspection in which the transmission side communication terminal 3-1 executes the response procedure for the communication cutoff message.
上述の説明では、FWやGWなどの役割として暗号化通信データを遮断する通信装置が生成する通信遮断メッセージに対して、受信側(例えば、受信側通信端末3−2)がその対応手続きを実行する場合を説明したが、送信側(例えば、送信側通信端末3−1)がその対応手続きを実行する場合も基本的には同様となる。図6では、送信側がその対応手続きを実行することを前提に、送信側通信端末3−1と受信側通信端末3−2との間にFWやGWなどの役割として暗号化通信データを遮断する3個の通信装置(第三、第四、第五の通信装置)が存在する場合の具体的な手続きの流れを示す。これら第三、第四、第五の通信装置は、例えば、図1におけるLAN1−6内に配置される。なお、通信装置の数は3個以外の場合であっても同様である。 In the above description, the reception side (for example, the reception side communication terminal 3-2) executes the corresponding procedure for the communication cutoff message generated by the communication device that blocks the encrypted communication data as a role such as FW or GW. However, the same applies to the case where the transmission side (for example, the transmission side communication terminal 3-1) executes the corresponding procedure. In FIG. 6, on the assumption that the transmission side executes the corresponding procedure, the encrypted communication data is blocked between the transmission side communication terminal 3-1 and the reception side communication terminal 3-2 as a role of FW, GW or the like. A specific procedure flow when three communication devices (third, fourth, and fifth communication devices) exist is shown. These third, fourth, and fifth communication devices are disposed, for example, in the LAN 1-6 in FIG. The same applies to cases where the number of communication devices is other than three.
送信側通信端末3−1と受信側通信端末3−2の間の暗号化通信(X)を実現するにあたっては、まず第三の通信装置3−3で暗号化通信(X)が拒否されて暗号化通信データの送信が失敗する。当該データの送信元アドレス等に基づき、通信遮断メッセージが第三の通信装置3−3から送信側通信端末3−1に送信されると、送信側通信端末3−1と第三の通信装置3−3の間で暗号化通信経路(Y)を作成し、暗号化通信(Y)を試みる。この暗号化通信(Y)は成功し、送信側通信端末3−1から第三の通信装置3−3に暗号鍵(X)が送信される。なお、図6においては、通信遮断メッセージは送信側通信端末3−1にのみ送信しているが、受信側通信端末3−2にもあわせて送信してもよい。以下の通信遮断メッセージの送信においても同様である。
In realizing the encrypted communication (X) between the transmission side communication terminal 3-1 and the reception side communication terminal 3-2, the encrypted communication (X) is first rejected by the third communication device 3-3. Transmission of encrypted communication data fails. When a communication cut-off message is transmitted from the third communication device 3-3 to the transmission side communication terminal 3-1 based on the source address of the data, the transmission side communication terminal 3-1 and the
あらためて、送信側通信端末3−1から受信側通信端末3−2への暗号化通信(X)を試みると、第三の通信装置3−3は暗号鍵(X)を持っているため、暗号化通信(X)は他のフィルタリング条件に該当しない限り遮断されないが、今度は第四の通信装置3−4において暗号化通信(X)が拒否されて暗号化通信データの送信が失敗する。通信遮断メッセージが第四の通信装置3−4から送信側通信端末3−1に送信されると、送信側通信端末3−1と第四の通信装置3−4の間で暗号化通信経路(Z)を作成し、暗号化通信(Z)を試みる。 If another attempt is made to perform encrypted communication (X) from the transmission side communication terminal 3-1 to the reception side communication terminal 3-2, the third communication device 3-3 has the encryption key (X). The encrypted communication (X) is not blocked unless the other filtering conditions are met, but this time, the fourth communication device 3-4 rejects the encrypted communication (X) and fails to transmit the encrypted communication data. When the communication cut-off message is transmitted from the fourth communication device 3-4 to the transmission-side communication terminal 3-1, the encrypted communication path between the transmission-side communication terminal 3-1 and the fourth communication device 3-4 ( Z) and try encrypted communication (Z).
しかし、今度は第三の通信装置3−3で暗号化通信(Z)が拒否されて暗号鍵(X)の送信が失敗する。通信遮断メッセージが第三の通信装置3−3から送信側通信端末3−1に送信されると、送信側通信端末3−1と第三の通信装置3−3の間で既に生成してある暗号化通信(Y)によって暗号鍵(Z)が送信される。その結果、今度は送信側通信端末3−1と第四の通信装置3−4の間で暗号化通信(Z)が成功し、暗号鍵(X)が送信側通信端末3−1から第四の通信装置3−4に送信される。なお、送信側通信端末3−1が、通信遮断メッセージに対する処理を実行する場合においては、上述の通信の再開の通知はしなくてもよい。 However, this time, the encrypted communication (Z) is rejected by the third communication device 3-3 and the transmission of the encryption key (X) fails. When the communication cutoff message is transmitted from the third communication device 3-3 to the transmission side communication terminal 3-1, it has already been generated between the transmission side communication terminal 3-1 and the third communication device 3-3. The encryption key (Z) is transmitted by encrypted communication (Y). As a result, this time, the encrypted communication (Z) succeeds between the transmission side communication terminal 3-1 and the fourth communication device 3-4, and the encryption key (X) is transferred from the transmission side communication terminal 3-1 to the fourth. To the communication device 3-4. In addition, when the transmission side communication terminal 3-1 performs the process with respect to a communication interruption | blocking message, it is not necessary to notify the above-mentioned communication resumption.
これ以降、送信側通信端末3−1から受信側通信端末3−2への暗号化通信(X)を試みると、今度は第五の通信装置3−5において暗号化通信(X)が拒否されて暗号化通信データの送信が失敗するが、同様な再帰処理により暗号鍵(X)が第五の通信装置3−5に送信される。最終的には、送信側通信端末3−1から受信側通信端末3−2への暗号化通信(X)が成功するに至ることになる。 Thereafter, when the encrypted communication (X) from the transmitting communication terminal 3-1 to the receiving communication terminal 3-2 is attempted, the encrypted communication (X) is rejected in the fifth communication device 3-5. Although the transmission of the encrypted communication data fails, the encryption key (X) is transmitted to the fifth communication device 3-5 by the same recursive process. Eventually, the encrypted communication (X) from the transmitting communication terminal 3-1 to the receiving communication terminal 3-2 will be successful.
3.付記
本発明の暗号化通信データ検査方法又は暗号化通信データ検査システムは、その各手順をコンピュータ又は通信装置に実行させるための暗号化通信データ検査プログラム、暗号化通信データ検査プログラムを記録したコンピュータ読み取り可能な記録媒体、暗号化通信データ検査プログラムを含みコンピュータの内部メモリーにロード可能なプログラム製品、そのプログラムを含むサーバ等のコンピュータ、等により提供されることができる。
3. Additional Notes The encrypted communication data inspection method or the encrypted communication data inspection system of the present invention is an encrypted communication data inspection program for causing a computer or a communication device to execute each procedure, and a computer reading that records the encrypted communication data inspection program It can be provided by a possible recording medium, a program product that includes an encrypted communication data inspection program and can be loaded into an internal memory of a computer, a computer such as a server including the program, and the like.
1−1 暗号化通信を実行する送信側通信端末
1−2 暗号化通信を実行する受信側通信端末
1−3 FWやGWなどの役割を果たす第三の通信装置
1−4 送信側通信端末もしくは受信側通信端末が第三の通信装置に暗号鍵を渡して
良いか否かの妥当性を評価する為に利用される認証局
1−5 LAN(セキュリティ管理がなされていない場合)
1−6 LAN(セキュリティ管理がなされている場合)
3−1 暗号化通信を実行する送信側通信端末
3−2 暗号化通信を実行する受信側通信端末
3−3 FWやGWなどの役割を果たす第三の通信装置
3−4 FWやGWなどの役割を果たす第四の通信装置
3−5 FWやGWなどの役割を果たす第五の通信装置
1-1 Transmission side communication terminal that executes encrypted communication 1-2 Reception side communication terminal that executes encrypted communication 1-3 Third communication device that plays a role such as FW or GW 1-4 Transmission side communication terminal or Certificate authority 1-5 LAN used to evaluate the validity of whether the receiving communication terminal can pass the encryption key to the third communication device (when security management is not performed)
1-6 LAN (when security management is performed)
3-1 Sending side communication terminal that executes encrypted communication 3-2 Receiving side communication terminal that executes encrypted communication 3-3 Third communication device that plays a role such as FW or GW 3-4 FW or GW Fourth communication device that plays a role 3-5 Fifth communication device that plays a role such as FW or GW
Claims (7)
第3の通信装置は、第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断するステップと、
第3の通信装置は、当該データの送信元アドレス及び/又は送信先アドレスに基づき、第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信するステップと、
第3の通信装置は、第1の通信装置と第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該第3の通信装置を認証した第1又は第2の通信装置から受信するステップと、
第3の通信装置は、受信した第1の暗号鍵を使用して、第1及び/又は第2の通信装置から受信した暗号化通信データを復号化するステップと、
第3の通信装置は、復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断するステップと
を含む暗号化通信データ検査方法。 Encryption encrypted with the first encryption key between the first communication device and the second communication device via the third communication device that transfers and / or blocks data according to a predetermined filtering condition In encrypted communication in which communication data is transmitted,
A third communication device blocking encrypted communication data received from the first or second communication device that cannot be decrypted or decrypted;
The third communication device indicates to the first and / or second communication device that the encrypted communication data is blocked based on the source address and / or destination address of the data. A step of sending
The third communication apparatus authenticates the third communication apparatus with the first encryption key used in the encrypted communication between the first communication apparatus and the second communication apparatus. Receiving from the communication device of:
A third communication device decrypting the encrypted communication data received from the first and / or second communication device using the received first encryption key;
The third communication device applies a predetermined filtering condition to the decrypted encrypted communication data, and transfers or blocks the encrypted communication data according to the application result of the condition. Method.
第1及び/又は第2の通信装置は、復号化し及び/又は解読しても良いと判断された第3の通信装置に対して、第1の暗号鍵を送信するステップと
をさらに含む請求項1に記載の暗号化通信データ検査方法。 The first and / or second communication device receiving the communication cut-off message determines whether the third communication device may decrypt the encrypted communication data and / or decrypt the content;
The first and / or second communication device further includes the step of transmitting the first encryption key to a third communication device determined to be able to decrypt and / or decrypt. 2. The encrypted communication data inspection method according to 1.
をさらに含み、
生成された暗号化通信経路を介して暗号鍵を送受信する請求項1乃至3のいずれかに記載の暗号化通信データ検査方法。 Further comprising generating a new encrypted communication path between the third communication device and the first or second communication device;
4. The encrypted communication data inspection method according to claim 1, wherein an encryption key is transmitted / received via the generated encrypted communication path.
第4の通信装置は、当該暗号化通信データの送信元アドレス及び/又は送信先アドレスに基づき、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信するステップと、
第4の通信装置は、当該暗号化通信に応じた第2の暗号鍵を、当該第4の通信装置を認証した第1又は第2又は第3の通信装置から受信するステップと、
第4の通信装置は、受信した第2の暗号鍵を使用して、当該暗号化通信データを復号化するステップと、
第4の通信装置は、復号化された当該暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断するステップと
をさらに含む請求項1乃至4のいずれかに記載の暗号化通信データ検査方法。 The fourth communication device interposed between the encrypted communication between the first or second communication device and the third communication device is a cipher received from the first, second or third communication device that cannot be decrypted or decrypted. Blocking the communication data;
The fourth communication device transmits a communication cutoff message indicating that the encrypted communication data is blocked based on the transmission source address and / or the transmission destination address of the encrypted communication data;
A fourth communication device receiving a second encryption key corresponding to the encrypted communication from the first, second, or third communication device that has authenticated the fourth communication device;
A fourth communication device decrypting the encrypted communication data using the received second encryption key;
The fourth communication device further includes a step of applying a predetermined filtering condition to the decrypted encrypted communication data, and transferring or blocking the encrypted communication data according to an application result of the condition. 5. The encrypted communication data inspection method according to any one of items 1 to 4.
前記暗号化通信データ検査装置は、
前記第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断し、
当該データの送信元アドレス及び/又は送信先アドレスに基づき、前記第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信し、
前記第1の通信装置と前記第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該暗号化通信データ検査装置を認証した前記第1又は第2の通信装置から受信し、
受信した第1の暗号鍵を使用して、前記第1及び/又は第2の通信装置から受信した暗号化通信データを復号化し、
復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断する
前記暗号化通信データ検査装置。 It is interposed between the first communication device and the second communication device that transmit / receive encrypted communication data encrypted by the encryption key, and transfers data to / from the encrypted communication data according to a predetermined filtering condition. Or an encrypted communication data inspection device for blocking,
The encrypted communication data inspection device includes:
Block encrypted communication data received from the first or second communication device that cannot be decrypted or decrypted;
Based on the source address and / or destination address of the data, a communication cutoff message indicating that the encrypted communication data is blocked is transmitted to the first and / or second communication device,
The first or second communication device that authenticates the encrypted communication data inspection device with a first encryption key used in encrypted communication between the first communication device and the second communication device. Received from
Decrypting the encrypted communication data received from the first and / or second communication device using the received first encryption key;
The encrypted communication data inspection device that applies a predetermined filtering condition to the decrypted encrypted communication data, and transfers or blocks the encrypted communication data according to an application result of the condition.
第3の通信装置は、第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断するステップと、
第3の通信装置は、当該データの送信元アドレス及び/又は送信先アドレスに基づき、第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信するステップと、
第3の通信装置は、第1の通信装置と第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該第3の通信装置を認証した第1又は第2の通信装置から受信するステップと、
第3の通信装置は、受信した第1の暗号鍵を使用して、第1及び/又は第2の通信装置から受信した暗号化通信データを復号化するステップと、
第3の通信装置は、復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断するステップと
を第3の通信装置に実行させるための暗号化通信データ検査プログラム。
The encrypted communication data encrypted with the encryption key is transmitted between the first communication device and the second communication device via the third communication device that transfers and / or blocks the data according to a predetermined filtering condition. In an encrypted communication data inspection program for causing a third communication device to execute encrypted communication for transmission,
A third communication device blocking encrypted communication data received from the first or second communication device that cannot be decrypted or decrypted;
The third communication device indicates to the first and / or second communication device that the encrypted communication data is blocked based on the source address and / or destination address of the data. A step of sending
The third communication apparatus authenticates the third communication apparatus with the first encryption key used in the encrypted communication between the first communication apparatus and the second communication apparatus. Receiving from the communication device of:
A third communication device decrypting the encrypted communication data received from the first and / or second communication device using the received first encryption key;
The third communication device applies a predetermined filtering condition to the decrypted encrypted communication data, and transfers or blocks the encrypted communication data according to the application result of the condition to the third communication device. An encrypted communication data inspection program for execution.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003294224A JP2005065004A (en) | 2003-08-18 | 2003-08-18 | Method, device and program for inspecting encrypted communication data |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003294224A JP2005065004A (en) | 2003-08-18 | 2003-08-18 | Method, device and program for inspecting encrypted communication data |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005065004A true JP2005065004A (en) | 2005-03-10 |
Family
ID=34370845
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003294224A Pending JP2005065004A (en) | 2003-08-18 | 2003-08-18 | Method, device and program for inspecting encrypted communication data |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005065004A (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007129320A (en) * | 2005-11-01 | 2007-05-24 | Sony Corp | Communication system, communication equipment and communication method, and computer program |
| JP2009510628A (en) * | 2005-09-27 | 2009-03-12 | モルガン・スタンレー | Processing of protective electronic communication |
| JP2009230170A (en) * | 2008-03-19 | 2009-10-08 | Fujitsu Ltd | E-mail inspection program and e-mail inspection device |
| EP3310095A1 (en) | 2016-10-11 | 2018-04-18 | Fujitsu Limited | Edge server, encryption communication control method thereof, and terminal |
| AU2016200701A2 (en) * | 2015-02-04 | 2021-08-19 | Jonathan Bishop Limited | Monitoring on-line activity |
-
2003
- 2003-08-18 JP JP2003294224A patent/JP2005065004A/en active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009510628A (en) * | 2005-09-27 | 2009-03-12 | モルガン・スタンレー | Processing of protective electronic communication |
| JP2007129320A (en) * | 2005-11-01 | 2007-05-24 | Sony Corp | Communication system, communication equipment and communication method, and computer program |
| JP2009230170A (en) * | 2008-03-19 | 2009-10-08 | Fujitsu Ltd | E-mail inspection program and e-mail inspection device |
| AU2016200701A2 (en) * | 2015-02-04 | 2021-08-19 | Jonathan Bishop Limited | Monitoring on-line activity |
| EP3310095A1 (en) | 2016-10-11 | 2018-04-18 | Fujitsu Limited | Edge server, encryption communication control method thereof, and terminal |
| US10708239B2 (en) | 2016-10-11 | 2020-07-07 | Fujitsu Limited | Edge server, encryption communication control method thereof, and terminal |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10652210B2 (en) | System and method for redirected firewall discovery in a network environment | |
| EP3646553B1 (en) | Introducing middleboxes into secure communications between a client and a server | |
| JP3688830B2 (en) | Packet transfer method and packet processing apparatus | |
| US8800024B2 (en) | System and method for host-initiated firewall discovery in a network environment | |
| US7051365B1 (en) | Method and apparatus for a distributed firewall | |
| US9602485B2 (en) | Network, network node with privacy preserving source attribution and admission control and device implemented method therfor | |
| US20080028225A1 (en) | Authorizing physical access-links for secure network connections | |
| US8104082B2 (en) | Virtual security interface | |
| US11658944B2 (en) | Methods and apparatus for encrypted communication | |
| AU2003294304B2 (en) | Systems and apparatuses using identification data in network communication | |
| Whitehurst et al. | Exploring security in ZigBee networks | |
| Joshi | Network security: know it all | |
| JP2005065004A (en) | Method, device and program for inspecting encrypted communication data | |
| Garg | Wireless Network Security Threats | |
| Mahyoub et al. | Security analysis of critical 5g interfaces | |
| US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
| Bhoi et al. | Exploring The Security Landscape: A Comprehensive Analysis Of Vulnerabilities, Challenges, And Findings In Internet Of Things (Iot) Application Layer Protocols | |
| Fu et al. | ISCP: Design and implementation of an inter-domain Security Management Agent (SMA) coordination protocol | |
| JP3962050B2 (en) | Packet encryption method and packet decryption method | |
| Aura et al. | Communications security on the Internet | |
| Abhiram Shashank et al. | Secure Intrusion Detection System for MANETs Using Triple-DES Algorithm | |
| Wu et al. | Identity-Based Authentication Protocol for Trustworthy IP Address | |
| KR20110087972A (en) | Method for blocking abnormal traffic using session table | |
| Bob | Internet Technology | |
| JP2007295273A (en) | Mail server apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051005 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080715 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080729 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081202 |