JP6529820B2 - 通信装置及びプログラム - Google Patents

通信装置及びプログラム Download PDF

Info

Publication number
JP6529820B2
JP6529820B2 JP2015098463A JP2015098463A JP6529820B2 JP 6529820 B2 JP6529820 B2 JP 6529820B2 JP 2015098463 A JP2015098463 A JP 2015098463A JP 2015098463 A JP2015098463 A JP 2015098463A JP 6529820 B2 JP6529820 B2 JP 6529820B2
Authority
JP
Japan
Prior art keywords
unit
communication
certificate
data
web application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015098463A
Other languages
English (en)
Other versions
JP2016213793A (ja
Inventor
和幸 水田
和幸 水田
政芳 岡野
政芳 岡野
雄亮 伊藤
雄亮 伊藤
壮 渡辺
壮 渡辺
Original Assignee
株式会社 インターコム
株式会社 インターコム
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社 インターコム, 株式会社 インターコム filed Critical 株式会社 インターコム
Priority to JP2015098463A priority Critical patent/JP6529820B2/ja
Publication of JP2016213793A publication Critical patent/JP2016213793A/ja
Application granted granted Critical
Publication of JP6529820B2 publication Critical patent/JP6529820B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、暗号化通信に関する。
暗号化通信の技術として、例えば、特許文献1には、HTTPS通信においてURLフィルタリングを行う技術が開示されている。
WO2009/054047号公報
例えば企業で使用される社員用のパーソナルコンピュータにおいては、望ましくない通信先との通信が制限されることがある。特許文献1の技術を用いれば、暗号化通信においても、通信先に応じた通信の制限が可能である。しかし、特許文献1の技術では、暗号化されたデータの内容に応じた通信の制限まではできない。また、近年のコンプライアンス遵守の要望の高まりにより、通信の記録を残す取り組みも多く見られるが、暗号化通信の場合、どのような内容のデータがやり取りされたかということまでは記録を残すことが難しい。
そこで、本発明は、暗号化通信でやり取りされるデータの内容に応じた処理を行うことを目的とする。
上記目的を達成するために、本発明は、ウェブサーバと第1の暗号化通信を行う第1通信部と、前記ウェブサーバにより処理されるデータを送信するウェブアプリ部と、前記ウェブアプリ部と第2の暗号化通信を行う第2通信部と、前記ウェブアプリ部から送信されてきて前記第2通信部により復号化されたデータを前記第1通信部に転送する転送部と、前記復号化されたデータを用いた処理を行う処理部と、認証局により発行され且つ公開鍵を含む証明書を前記ウェブアプリ部に提供する証明書提供部とを備え、前記ウェブアプリ部には、前記認証局の署名を有するルート証明書が登録されており、前記第2通信部は、前記公開鍵に対応する秘密鍵又は当該秘密鍵を用いて前記ウェブアプリ部と交換した共通鍵を用いて前記第2の暗号化通信を行う通信装置を提供する。
また、前記証明書提供部は、自身を前記認証局として、前記ウェブアプリ部に提供する証明書を発行してもよい。
また、前記ウェブアプリ部には、複数の前記ルート証明書が登録されており、前記証明書提供部は、前記複数のルート証明書の中から、前記ウェブサーバの種類、前記ウェブアプリ部を実現するウェブアプリケーションプログラムの種類又は前記ウェブアプリ部が送信するデータの通信に用いられる通信プロトコルの種類に応じたルート証明書を選択し、選択したルート証明書により証明される署名がされた前記証明書を前記ウェブアプリ部に提供してもよい。
また、前記処理部は、前記復号化されたデータを記録する処理又は当該データが条件を満たす場合に当該データの内容を差し替える処理を前記処理として行ってもよい。
また、前記ウェブアプリ部から前記ウェブサーバに向けて送信されたデータを受け取り、前記第1通信部、前記第2通信部及び前記転送部を経由する第1通信路と、当該各部を経由しない第2通信路のいずれかに当該データの経路を振り分ける振分部であって、前記ウェブアプリ部を実現するウェブアプリケーションプログラムの種類に応じて当該データの経路を振り分ける振分部を備えていてもよい。
また、本発明は、ウェブサーバにより処理されるデータを送信するウェブアプリ部を備える通信装置を制御するコンピュータを、前記ウェブサーバと第1の暗号化通信を行う第1通信部と、前記ウェブアプリ部と第2の暗号化通信を行う第2通信部と、前記ウェブサーバから送信されてきて前記第1通信部により復号化されたデータを前記第2通信部に転送する転送部と、前記復号化されたデータを用いた処理を行う処理部と、認証局により発行され且つ公開鍵を含む証明書を前記ウェブアプリ部に提供する証明書提供部として機能させ、前記ウェブアプリ部には、前記認証局の署名を有するルート証明書が登録されており、前記第2通信部は、前記公開鍵に対応する秘密鍵又は当該秘密鍵を用いて前記ウェブアプリ部と交換した共通鍵を用いて前記第2の暗号化通信を行うプログラムを提供する。
本発明によれば、暗号化通信でやり取りされるデータの内容に応じた処理を行うことができる。
第1実施例に係る通信監視システムの全体構成の一例を表す図 ユーザ装置のハードウェア構成を表す図 ウェブサーバのハードウェア構成を表す図 監視サーバのハードウェア構成を表す図 各装置が実現する機能構成を表す図 通信監視処理における動作手順の一例を表す図 第2実施例に係る通信監視システムの全体構成の一例を表す図 各装置が実現する機能構成を表す図 有効期間テーブルの一例を表す図
[1]第1実施例
図1は第1実施例に係る通信監視システム1の全体構成の一例を表す。通信監視システム1は、ユーザ装置が行う通信を監視するためのシステムである。通信監視システム1は、イントラネット2と、インターネット3と、ユーザ装置10と、ウェブサーバ20と、監視サーバ30とを備える。
ユーザ装置10は、例えばパーソナルコンピュータやノートパソコン等の情報処理装置であり、ユーザ(企業の社員など)によって利用される。ユーザ装置10は、イントラネット2に接続されている。イントラネット2は例えば社内LAN(Local Area Network)であり、インターネット3に接続されている。ユーザ装置10は、イントラネット2及びインターネット3の両方又は一方を介してウェブサーバ20及び監視サーバ30と通信を行う通信装置でもある。なお、ユーザ装置10は、例えば出張先でイントラネット2に接続するため、インターネット3を介してイントラネット2に接続できるようになっていてもよい。また、図1ではユーザ装置10が有線でイントラネット2と接続されているが、無線で接続されていてもよい。
ウェブサーバ20は、ウェブページ等の各種のコンテンツのデータを記憶しており、ユーザ装置10から要求されるとそれらのデータを要求元のユーザ装置10に送信する。なお、図1ではウェブサーバ20はインターネット3に接続されているが、イントラネット2に接続されていてもよい。監視サーバ30は、イントラネット2に接続され、ユーザ装置10が行う通信を監視する。
図2はユーザ装置10のハードウェア構成を表す。ユーザ装置10は、制御部11と、記憶部12と、通信部13と、表示部14と、操作部15とを備えるコンピュータである。制御部11は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)及びリアルタイムクロックを備え、CPUが、RAMをワークエリアとして用いてROMや記憶部12に記憶されたプログラムを実行することによって各部の動作を制御する。リアルタイムクロックは、現在の日時を算出してCPUに通知する。
記憶部12は、HDD(Hard disk drive)等を備え、制御部11が制御に用いるデータやプログラムなどを記憶している。記憶部12は、ブラウザやグループウェア、業務用アプリケーションなどの各種のウェブアプリケーションプログラム(以下「ウェブアプリ」という)を記憶している。ウェブアプリは、ウェブサーバ20とのWWW(World Wide Web)の技術を用いた通信を伴う機能(ウェブページの表示や掲示板への投稿、ワークフローシステムにおける稟議の手続きなど)を実現する。また、記憶部12は、後述するローカルプロキシ部120を実現するプロキシプログラムと、監視モジュール部130を実現する監視プログラムとを記憶している。
通信部13は、イントラネット2及びインターネット3を介した通信を行うための通信回路を備え、例えばウェブサーバ20と通信を行う。表示部14は、液晶ディスプレイ等を有し、制御部11からの制御に基づいて画像を表示する。操作部15は、キーボード等を有し、ユーザの操作を受け付ける。
図3はウェブサーバ20のハードウェア構成を表す。ウェブサーバ20は、制御部21と、記憶部22と、通信部23とを備えるコンピュータである。制御部21、記憶部22及び通信部23は、図2に表された制御部11、記憶部12及び通信部13と同種のハードウェアである。
図4は監視サーバ30のハードウェア構成を表す。監視サーバ30は、制御部31と、記憶部32と、通信部33とを備えるコンピュータである。制御部31、記憶部32及び通信部33は、図2に表された制御部11、記憶部12及び通信部13と同種のハードウェアである。
ユーザ装置10及び監視サーバ30の各制御部が自装置の記憶部に記憶されているプログラムを実行して自装置の各部を制御することで、以下に述べる機能が実現される。
図5は各装置が実現する機能構成を表す。ユーザ装置10は、ウェブアプリ部110(ウェブアプリにより実現)と、ローカルプロキシ部120(プロキシプログラムにより実現)と、監視モジュール部130(監視プログラムにより実現)とを備える。ウェブサーバ20は、サーバ証明書送信部201と、暗号化データ送受信部203とを備え、監視サーバ30は、記録部301を備える。
ユーザ装置10のウェブアプリ部110は、上述したウェブアプリによって実現されるWWWの技術を用いた通信を伴う機能であり、ウェブサーバ20と通信を行う通信部である。ウェブアプリ部110は、ウェブサーバ20により処理されるデータを送信する。一方、ウェブサーバ20は、ウェブアプリ部110により処理されるデータを送信する。本実施例では、ウェブアプリ部110及びウェブサーバ20は、HTTPS(Hypertext Transfer Protocol Secure)のプロトコルに準拠した暗号化通信を行う。ローカルプロキシ部120は、ウェブアプリ部110とウェブサーバ20との通信を中継する中継部である。監視モジュール部130は、ウェブアプリ部110とウェブサーバ20との通信を監視する監視部である。
ウェブアプリ部110は、サーバ証明書要求部111と、セッション確立部112と、暗号化データ送受信部113と、データ処理部114とを備える。ローカルプロキシ部120は、要求転送部121と、代替証明書提供部122と、セッション確立部123と、セッション確立部124と、データ転送部125とを備える。データ転送部125は、第1通信部251と、第2通信部252と、転送部253とを備える。
サーバ証明書要求部111は、サーバ証明書をウェブサーバ20に要求する。例えばユーザによってウェブサーバ20のURL(Uniform Resource Locator)を入力し又は選択する操作が行われると、サーバ証明書要求部111は、そのURLを送信先としてサーバ証明書を要求する要求データを送信する。送信された要求データは要求転送部121に供給される。要求転送部121は、ウェブアプリ部110からのサーバ証明書の要求をウェブサーバ20に転送する。要求転送部121は、サーバ証明書要求部111から供給された要求データを、その送信先であるURLに向けて転送する。転送された要求データはウェブサーバ20のサーバ証明書送信部201に供給される。
サーバ証明書送信部201は、要求されたサーバ証明書を要求元のユーザ装置10に送信する。このサーバ証明書は、ユーザ装置10にインストールされてウェブアプリ部110に登録された証明書を発行した認証局(ルート認証局又は中間認証局)によって発行されたものである。以下ではこの認証局を「第1の認証局」といい、この証明書を「第1の証明書」という。このサーバ証明書には公開鍵が含まれており、ウェブサーバ20は、第1の認証局から提供された、その公開鍵に対応する秘密鍵を保有している。
秘密鍵に対応する公開鍵とは、公開鍵で暗号化したデータは秘密鍵で復号化することができ、秘密鍵で暗号化したデータを公開鍵で復号化することができるということである。以下ではウェブサーバ20が保有する秘密鍵を「第1秘密鍵」といい、サーバ証明書に含まれる公開鍵を「第1公開鍵」という。ユーザ装置10に送信されたサーバ証明書は、ローカルプロキシ部120の代替証明書提供部122及びセッション確立部123に供給される。
代替証明書提供部122は、認証局により発行され且つ公開鍵を含む証明書として、サーバ証明書を代替する代替証明書をウェブアプリ部110に提供する。代替証明書提供部122は本発明の「証明書提供部」の一例である。以下ではこの認証局を「第2の認証局」といい、公開鍵を「第2の公開鍵」という。ルート証明書はウェブサーバ毎に設定されるので、第1の認証局は第2の認証局とは異なっていてもよいし、同じであってもよい。ウェブアプリ部110には、第2の認証局の署名を有するルート証明書が登録されている。以下ではこのルート証明書を「第2の証明書」という。第2の認証局は本発明の「認証局」の一例であり、第2の証明書は本発明の「ルート証明書」の一例である。また、ローカルプロキシ部120は、この第2の公開鍵に対応する秘密鍵を保有している。以下ではこの秘密鍵を「第2の秘密鍵」という。
本実施例では、代替証明書提供部122は、自身を第2の認証局として、ウェブアプリ部110に提供する証明書を発行する。証明書の発行は、有効期限や公開鍵、コモンネームなどを含む証明書の情報に、その情報のハッシュ値を秘密鍵で暗号化した署名を付すことで行われる。代替証明書提供部122は、ウェブサーバ20のURLをコモンネームとし、ローカルプロキシ部120で保有している第2の秘密鍵で署名した署名書を代替証明書として発行する。代替証明書提供部122は、要求転送部121により転送された要求に対する応答でサーバ証明書が送信されてくると、このサーバ証明書を代替する代替証明書を発行してウェブアプリ部110に提供する。
ローカルプロキシ部120のセッション確立部123は、ウェブサーバ20のセッション確立部202とデータをやり取りして、ウェブサーバ20との暗号化データ通信(SSL(Secure Sockets Layer)通信)のセッションを確立する。セッション確立部123は、共通鍵を生成する。以下ではセッション確立部123が生成した共通鍵を「第1共通鍵」という。セッション確立部123は、生成した第1共通鍵を、第1公開鍵、すなわちウェブサーバ20から送信されてきたサーバ証明書に含まれている公開鍵で暗号化してウェブサーバ20に送信する。
セッション確立部202は送信されてきた第1共通鍵を、自装置(ウェブサーバ20)が保有する第1秘密鍵を用いて復号化する。このようにして、セッション確立部123は、サーバ証明書に含まれる第1公開鍵を用いてセッション確立部202と第1共通鍵を交換する。セッション確立部202はこうして提供された第1共通鍵を暗号化データ送受信部203に供給する。一方、セッション確立部123は、生成した第1共通鍵を第1通信部251に提供する。
暗号化データ送受信部203は、供給された第1共通鍵でデータを暗号化して送信し、その第1共通鍵で暗号化されたデータを受信すると、同じくその第1共通鍵で復号化する。暗号化データ送受信部203は、例えば暗号化されたHTTPリクエストを受信して第1共通鍵で復号化し、そのHTTPリクエストで要求されたコンテンツ(ウェブページなど)のデータを第1共通鍵で暗号化して送信する。
ウェブアプリ部110に提供された代替証明書はセッション確立部112に供給される。セッション確立部112は、ローカルプロキシ部120のセッション確立部124とデータをやり取りして、ローカルプロキシ部120との暗号化データ通信のセッションを確立する。セッション確立部112は、代替証明書が供給されると、代替証明書を発行した第2の認証局の第2の証明書がウェブアプリ部110に登録されているため、この代替証明書が信頼できるものと判断し、共通鍵を生成して暗号化データ送受信部113に提供する。以下ではセッション確立部112が生成した共通鍵を「第2共通鍵」という。また、セッション確立部112は、生成した第2共通鍵を、代替証明書に含まれる第2公開鍵で暗号化してローカルプロキシ部120に提供する。ローカルプロキシ部120に提供された第2共通鍵はセッション確立部124に供給される。
なお、セッション確立部112は、ウェブサーバ20のサーバ証明書が供給された場合には、上述したように、サーバ証明書を発行した第1の認証局により発行された第1の証明書がウェブアプリ部110に登録されているため、このサーバ証明書が信頼できるものと判断し、共通鍵を生成して暗号化データ送受信部113に提供する。このように、セッション確立部112は、ウェブサーバ20のサーバ証明書と供給された代替証明書との区別がつかないため、サーバ証明書と代替証明書のどちらが供給された場合でも、供給された方の証明書が信頼できるものだと判断し、その証明書を用いてセッションを確立する。
セッション確立部124は、第2公開鍵で暗号化された第2共通鍵を受け取ると、ローカルプロキシ部120が保有する第2秘密鍵で復号化する。このようにして、セッション確立部112は、代替証明書に含まれる第2公開鍵を用いてセッション確立部124と第2共通鍵を交換する。セッション確立部124は復号化した第2共通鍵を第2通信部252に供給する。
暗号化データ送受信部113は、セッション確立部112から供給された第2共通鍵でデータを暗号化して送信し、その第2共通鍵で暗号化されたデータを受信すると、同じくその第2共通鍵で復号化する。暗号化データ送受信部113は、例えばHTTPリクエストを第2共通鍵で暗号化してウェブサーバ20に向けて送信し、そのHTTPリクエストの応答で送信されてきたコンテンツ(ウェブページなど)のデータを第2共通鍵で復号化する。暗号化データ送受信部113は、復号化したデータをデータ処理部114に供給する。
データ処理部114は、ウェブアプリの機能に応じたデータ処理を行う。例えばウェブアプリがブラウザであれば、HTTPリクエストを生成する処理やコンテンツのデータを表示する処理などを行う。また、ウェブアプリがグループウェアであれば、文書データを掲示板に保存する処理や申請データの承認を承認者に要求する要求データを生成する処理などを行う。データ処理部114は、暗号化データ送受信部113から供給された、復号化されたデータを処理する。また、データ処理部114が処理したデータを暗号化データ送受信部113に供給すると、暗号化データ送受信部113がそのデータを第2共通鍵で暗号化してウェブサーバ20に向けて送信する。こうして送信されたデータはローカルプロキシ部120の第2通信部252に供給される。
第1通信部251には、上述したとおり、セッション確立部123から第1共通鍵が供給されている。第1通信部251は、暗号化データ送受信部203から送信されてきた、第1共通鍵により暗号化されたデータを、同じく第1共通鍵で復号化する。第1通信部251は、復号化したデータを転送部253に供給する。第2通信部252には、上述したとおり、セッション確立部124から第2共通鍵が供給されている。第2通信部252は、暗号化データ送受信部113から供給された、第2共通鍵により暗号化されたデータを、同じく第2共通鍵で復号化する。第2通信部252は、復号化したデータを転送部253に供給する。
転送部253は、第1通信部251から要求されたデータを第2通信部252に供給し、第2通信部252から要求されたデータを第1通信部251に供給する。このように、転送部253は、ウェブサーバ20から送信されてきて第1通信部251により復号化されたデータを第2通信部252に転送する。転送部253は、ウェブアプリ部110から送信されてきて第2通信部252により復号化されたデータを第1通信部251に転送する。
第1通信部251は、転送部253により転送されてきたからデータを第1共通鍵で暗号化してウェブサーバ20に送信する。このようにして第1通信部251は、ウェブアプリ部110と暗号化通信を行う。以下ではこの暗号化通信を「第1の暗号化通信」という。詳細には、第1通信部251は、ウェブアプリ部110からの要求に応答してウェブサーバ20から送信されてくるサーバ証明書に含まれる第1公開鍵を用いてセッション確立部123によりウェブサーバ20と交換された第1共通鍵を用いて第1の暗号化通信を行う。
第2通信部252は、転送部253により転送されてきたデータを第2共通鍵で暗号化してウェブアプリ部110に送信する。このようにして第2通信部252は、ウェブアプリ部110と暗号化通信を行う。以下ではこの暗号化通信を「第2の暗号化通信」という。詳細には、第2通信部252は、代替証明書に含まれる第2公開鍵に対応する第2秘密鍵を用いてセッション確立部124によりウェブアプリ部110と交換された第2共通鍵を用いて第2の暗号化通信を行う。
第1通信部251、第2通信部252及び転送部253、すなわちデータ転送部125は、ウェブアプリ部110及びウェブサーバ20の通信を中継する。その際、データ転送部125は、ウェブアプリ部110及びウェブサーバ20の一方から送信されてきたデータを復号化し、復号化したデータを暗号化して他方に転送する。このようにデータ転送部125はデータの転送処理を行う。
監視モジュール部130は、前述したデータ転送部125による転送処理において復号化されたデータを用いた処理(以下「復号化データ処理」という)を行う。監視モジュール部130は本発明の「処理部」の一例である。ここでいう復号化されたデータは、ウェブサーバ20から送信されてきたデータを第1通信部251が第1共通鍵を用いて復号化したデータである場合と、ウェブアプリ部110から送信されてきたデータを第2通信部252が第2共通鍵を用いて復号化したデータである場合とがある。監視モジュール部130は、第1通信部251及び第2通信部252の動作を監視して、復号化されたデータがRAMに記憶された場合に、RAMからそのデータを読み出して、読み出したデータ(すなわち復号化されたデータ)を用いた復号化データ処理を行う。
監視モジュール部130は、本実施例では、転送処理において復号化されたデータを記録する記録処理と、その復号化されたデータが条件を満たす場合にそのデータの通信を中止させる中止処理とを復号化データ処理として行う。監視モジュール部130は、例えば、復号化されたデータと、そのデータがウェブアプリ部110又はウェブサーバ20から送信されてきた時刻の情報とを監視サーバ30に送信する処理を記録処理として行う。送信されたデータ及び時刻の情報は、監視サーバ30の記録部301に供給され、記録部301は、供給されたデータ及び時刻の情報を対応付けて記録する。
なお、監視モジュール部130は、データそのものではなく、復号化されたデータを特定する情報(データのファイル名や属性など)を送信してもよい。また、監視モジュール部130は、例えば復号化されたデータ内の文字列を解析し、決められたレベル以上の機密情報が含まれていると判断された場合に、転送部253にそのデータの転送を中止するように指示する。転送部253はこの指示を受け取ると、第1通信部251及び第2通信部252の間のデータの転送を中止する。なお、監視モジュール部130は、第1通信部251又は第2通信部252に、転送部253から転送されてきたデータの暗号化又は暗号化したデータの送信のいずれかの中止を指示してもよい。いずれの場合も、データ転送部125において復号化されたデータの通信が中止される。
また、監視モジュール部130は、復号化されたデータの解析結果に加えてそのデータの送信先に応じて転送の中止の有無を判断してもよい。例えば復号化されたデータに含まれる機密情報のレベルが決められたレベル未満であれば、監視モジュール部130は、企業内で運用されているウェブサーバ20への転送は許可し、外部のウェブサーバ20への転送は中止させるといった具合である。
通信監視システム1が備える各装置は、上記構成に基づいて、ウェブアプリ部110とウェブサーバ20との通信を監視する通信監視処理を行う。
図6は通信監視処理における動作手順の一例を表す。図6では、ユーザ装置10の動作をウェブアプリ部110、ローカルプロキシ部120及び監視モジュール部130に分けて表している。この動作手順は、例えばユーザがユーザ装置10を操作してウェブサーバ20のURLを入力又は選択する操作を行うことを契機に開始される。
まず、ウェブアプリ部110(サーバ証明書要求部111)は、ウェブサーバ20にサーバ証明書を要求する(ステップS11)。ローカルプロキシ部120(要求転送部121)は、このサーバ証明書の要求をウェブサーバ20に転送する(ステップS12)。ウェブサーバ20(サーバ証明書送信部201)は、要求されたサーバ証明書を送信する(ステップS13)。ローカルプロキシ部120(代替証明書提供部122)は、サーバ証明書を受け取ると、代替証明書を発行し(ステップS14)、発行した代替証明書をウェブアプリ部110に提供する(ステップS15)。
次に、ローカルプロキシ部120(セッション確立部123)とウェブサーバ20(セッション確立部202)とが第1の暗号化通信のセッションを確立する(ステップS21)。このときに第1共通鍵がローカルプロキシ部120とウェブサーバ20との間で交換される。また、ウェブアプリ部110(セッション確立部112)とローカルプロキシ部120(セッション確立部124)とが第2の暗号化通信のセッションを確立する(ステップS22)。このときに第2共通鍵がウェブアプリ部110とローカルプロキシ部120との間で交換される。ステップS21及びS22はどちらが先に行われてもよいし、並行して行われてもよい。
続いて、ウェブアプリ部110(暗号化データ送受信部113)が第2共通鍵で暗号化したデータをウェブサーバ20に向けて送信する(ステップS31)。ローカルプロキシ部120(第1通信部251)は、ウェブアプリ部110から送信されたデータを、第2共通鍵を用いて復号化する(ステップS32)。次に、監視モジュール部130が、復号化されたデータを参照し(ステップS41)、そのデータの転送を中止させる条件が満たされたか否か(例えば所定のレベル以上の機密情報が含まれているか否か)を判断する(ステップS42)。
監視モジュール部130は、条件が満たされている(YES)と判断した場合には、ローカルプロキシ部120(転送部253)に転送の中止を指示し(ステップS43)、ローカルプロキシ部120(転送部253)はその指示に従い復号化されたデータの転送を中止する(ステップS33)。監視モジュール部130は、条件が満たされていない(NO)と判断した場合には、ローカルプロキシ部120(転送部253)に転送の許可を通知する(ステップS44)。ローカルプロキシ部120(転送部253)は、その通知を受け取ると、ステップS32で復号化されたデータを転送する(ステップS34)。
そして、ローカルプロキシ部120(第2通信部252)は、転送されたデータを第2共通鍵で暗号化し(ステップS35)、ウェブサーバ20に送信する(ステップS36)。なお、ステップS35(データの暗号化)の動作は、ステップS33よりも前に行われていてもよい。また、監視モジュール部130は、ステップS41で参照した復号化されたデータを監視サーバ30に送信し(ステップS61)、監視サーバ30(記録部301)がそのデータを記録する(ステップS62)。なお、ステップS61及びS62の動作は、ステップS42よりも前に行われてもよいし、それと並行して行われてもよい。
本実施例では、ウェブアプリ部110とウェブサーバ20との間で暗号化されたデータの通信が行われる場合に、その通信を中継するローカルプロキシ部120において復号化されたデータに対して監視モジュール部130による復号化データ処理が行われる。これにより、暗号化通信でやり取りされるデータの内容に応じた処理を行うことができる。具体的には、例えばやり取りされるデータを記録する処理や、そのデータの内容に応じてデータのやり取りを中止させる処理を行うことができる。
また、本実施例では、ウェブアプリ部110が、サーバ証明書を要求し、それに応答して提供される代替証明書を用いて暗号化データ通信のセッションを確立して暗号化データ通信を行う。また、ウェブサーバ20は、ユーザ装置10からの要求に応答してサーバ証明書を送信し、そのユーザ装置10から提供される第1共通鍵を用いて暗号化データ通信を行う。このように、ウェブアプリ部110及びウェブサーバ20が通常のSSL通信の動作を行っていても、前述のとおり暗号化通信でやり取りされるデータの内容に応じた処理を行うことができる。
[2]第2実施例
本発明の第2実施例について、以下、第1実施例と異なる点を中心に説明する。第1実施例では、ウェブアプリ部110とウェブサーバ20とのデータのやり取りが全てローカルプロキシ部120によって中継されていたが、第2実施例では、この中継がされない場合がある。
図7は第2実施例に係る通信監視システム1aの全体構成の一例を表す。通信監視システム1aは、ユーザ装置10−1及び10−2(ハードウェア構成が図2に表すユーザ装置10と共通し、区別しない場合は「ユーザ装置10a」という)と、社内ウェブサーバ20−1及び社外ウェブサーバ20−2(ハードウェア構成が図3に表すウェブサーバ20と共通し、区別しない場合は「ウェブサーバ20a」という)と、監視サーバ30とを備える。
ユーザ装置10−1はイントラネット2に接続されており、ユーザ装置10−2は例えば移動体通信や無線LANの通信によりインターネット3に接続されている。社内ウェブサーバ20−1は、ユーザ装置10aを利用するユーザの会社が運営するウェブサーバである。社内ウェブサーバ20−1は、イントラネット2に接続されていて、ワークフローシステムや社内掲示板などの社内の業務に関連するサービスを提供する。社内ウェブサーバ20−1には、ユーザ装置10−2のように、インターネット3からイントラネット2を経由しても通信可能となっている。社外ウェブサーバ20−2は、ユーザ装置10aを利用するユーザの会社以外の主体が運営するウェブサーバである。社外ウェブサーバ20−2は、インターネット3に接続されており、ウェブページ等を提供する。
図8は本実施例で各装置が実現する機能構成を表す。ユーザ装置10aは、図5に表す各部に加えて振分部140を備える。振分部140は、ユーザ装置10aに記憶されている振分プログラムにより実現される。振分部140は、ウェブアプリ部110がウェブサーバ20に向けて送信するデータの経路を振り分ける。具体的には、振分部140は、ウェブアプリ部110からウェブサーバ20に向けて送信されたデータを受け取り、ローカルプロキシ部120のデータ転送部125(すなわち第1通信部251、第2通信部252及び転送部253)を経由する第1通信路と、データ転送部125を経由しない第2通信路のいずれかにデータの経路を振り分ける。
第1通信路を経由したデータは、データ転送部125によって復号化及び暗号化がされてウェブサーバ20に転送され、その際に復号化されたデータを用いて復号化データ処理が監視モジュール部130によって行われる。一方、第2通信路を経由したデータは、データ転送部125によって復号化されないため、監視モジュール部130による復号化データ処理の対象にならない。
振分部140は、第1通信路を経由させる場合には、サーバ証明書要求部111からのサーバ証明書の要求、代替証明書提供部122からの代替証明書、セッション確立部112からの暗号化された第2共通鍵、暗号化データ送受信部113からの暗号化されたデータ、及び第2通信部252からの暗号化されたデータを受け取り、図5の説明で述べたそれぞれの送り先に対してそれらを転送する。これにより、ウェブアプリ部110とウェブサーバ20との間で第1実施例と同様の通信が行われる。
一方、振分部140は、第2通信路を経由させる場合には、サーバ証明書要求部111からのサーバ証明書の要求を要求転送部121に転送し、セッション確立部112からの暗号化された第2共通鍵をウェブサーバ20aのセッション確立部202に転送し、暗号化データ送受信部113からの暗号化されたデータ及び暗号化データ送受信部203からの暗号化されたデータを、互いを送り先として転送する。これにより、ウェブアプリ部110とウェブサーバ20との間でローカルプロキシ部120のデータ転送部125(第1通信部251、第2通信部252及び転送部253)を経由しない第2通信路での通信が行われる。
振分部140は、例えば、ウェブアプリ部110から送信されたデータを処理するウェブサーバ(言い換えるとウェブアプリ部110の通信相手のウェブサーバ)の種類に応じてデータの経路を振り分ける。本実施例では、振分部140は、ウェブアプリ部110の通信相手のウェブサーバ20aがイントラネット2に接続されているもの(図7の例では社内ウェブサーバ20−1)であれば第2通信路を経由させ、イントラネット2に接続されていないもの(図7の例では社外ウェブサーバ20−2)であれば第1通信路を経由させるように経路を振り分ける。この場合、イントラネット2だけを経由するため通信路のセキュリティが確保されている社内ウェブサーバ20−1との通信では上述した中止処理(データの転送を中止する処理)が行われないが、通信路にインターネット3を含む社外ウェブサーバ20−2との通信では中止処理が行われる。
このように、本実施例によれば、通信の監視が必要な場合には第1通信路を経由させて中止処理が行われるようにしてセキュリティを高め、通信の監視が不要な場合には第2通信路を経由させて転送部253によるデータの復号化及び暗号化をなくして通信速度を速めることができる。なお、ウェブサーバ20aの種類はこれに限らない。例えば振分部140は、通信が推奨されないウェブサーバ20aのリストを記憶しておき、通信相手のウェブサーバ20aがそのリストに含まれている場合に第1通信路を経由させ、含まれていない場合に第2通信路を経由させるように経路を振り分けてもよい。
また、振分部140は、ウェブアプリ部110を実現するウェブアプリケーションプログラムの種類に応じてデータの経路を振り分けてもよい。振分部140は、例えば、ウェブページの閲覧に用いられるブラウザや社外のシステムのクライアント用のプログラムによりウェブアプリ部110が実現されている場合には、第1通信路を経由させる。一方、振分部140は、社内のシステムのクライアント用のプログラムによりウェブアプリ部110が実現されている場合には、第2通信路を経由させる。
また、振分部140は、ウェブアプリ部110が送信するデータの通信に用いられる通信プロトコルの種類に応じてデータの経路を振り分けてもよい。振分部140は、例えば、この通信プロトコルの種類がSMTP(Simple Mail Transfer Protocol)及びFTP(File Transfer Protocol)である場合には第1通信路を経由させ、SNTP(Simple Network Management Protocol)である場合には第2通信路を経由させるように経路を振り分ける。
いずれの場合も、セキュリティと通信速度との兼ね合いで、セキュリティを高めたい場合には第1通信路を経由させ、通信速度を速くしたい場合には第2通信路を経由させればよい。このように、本実施例によれば、上述したウェブサーバ20aの種類、ウェブアプリケーションプログラムの種類及び通信プロトコルの種類毎に、セキュリティを高めたり、通信速度を速めたりすることができる。
[3]変形例
上述した各実施形態は、それぞれが本発明の実施の一例に過ぎず、以下のように変形させてもよい。また、各実施形態及び各変形例は必要に応じてそれぞれ組み合わせてもよい。
[3−1]複数の第2の証明書
代替証明書提供部122が代替証明書を生成する際に用いられる第2の証明書が複数あってもよい。例えば、ウェブアプリ部110には、有効期間が異なる複数の前記第2の証明書が登録されている。代替証明書提供部122は、それら複数の第2の証明書の中から、ウェブアプリ部110から送信されたデータを処理するウェブサーバ(ウェブアプリ部110の通信相手のウェブサーバ)の種類に応じた第2の証明書を選択し、選択した第2の証明書により証明される署名がされた代替証明書をウェブアプリ部110に提供する。
ユーザ装置10には、第2の証明書と、その有効期間と、通信相手の種類とを対応付けた有効期間テーブルが記憶されている。
図9は有効期間テーブルの一例を表す。図9の例では、「R01.xx.xx.crt」という第2の証明書に「20xx.07.01〜20xx.07.31」という有効期間(つまり有効期間が1ヶ月)と「社外ウェブサーバ」という通信相手の種類とが対応付けられている。また、「R02.xx.xx.crt」という第2の証明書に「20xx.07.01〜20xx.12.31」という有効期間(つまり有効期間が6ヶ月)と「社内ウェブサーバ」という通信相手の種類とが対応付けられている。「R01.xx.xx.crt」及び「R02.xx.xx.crt」は有効期間が異なる第2の証明書の例である。
代替証明書提供部122は、図7の例において、通信相手が社外ウェブサーバ20−2である場合、ウェブサーバの種類が社外ウェブサーバであるので、「R01.xx.xx.crt」という第2の証明書を用いて生成した代替証明書をウェブアプリ部110に提供する。また、代替証明書提供部122は、通信相手が社内ウェブサーバ20−1である場合、通信相手の種類が社内ウェブサーバであるので、「R02.xx.xx.crt」という第2の証明書を用いて生成した代替証明書をウェブアプリ部110に提供する。
ただし、代替証明書提供部122は、現在の日時が有効期間を過ぎている場合には、代替証明書を提供せず、例えば有効期間を過ぎている旨を自装置の表示部14に表示する。ユーザ装置10においては、有効期間が過ぎる前に新しい有効期間のルート証明書を第2の証明書としてウェブアプリ部110に登録しておけば、切れ目なく継続して暗号化通信を行うことができる。また、有効期間が過ぎた後も、新しい有効期間のルート証明書を第2の証明書として登録すれば、それ以降は再び暗号化通信を行うことができる。つまり、「R01.xx.xx.crt」という第2の証明書は1ヶ月ごとに新たな有効期間のルート証明書を第2の証明書としてウェブアプリ部110に登録する登録作業を行わなければならない一方、「R02.xx.xx.crt」という第2の証明書についてはその登録作業を6ヶ月ごとに行えばよい。
このように、図9の例では、第2の証明書の登録作業が求められる時期の間隔が、通信相手のウェブサーバ20の種類に応じて異なっている。この間隔が短いほど、登録作業の手間が増えたり有効期間が過ぎていて暗号化通信ができない事態が生じたりしてユーザの利便性が減少するが、万が一第2の証明書が漏洩したとしても、暗号化したデータが不正に復号化されるおそれのある期間が短くなる。つまり、図9の例によれば、通信するデータが漏洩すると影響が大きい通信相手の場合には「R01.xx.xx.crt」を用いて代替証明書を生成することで、第2の証明書が漏洩したときのリスクを小さくすることができる。また、通信するデータが漏洩しても影響が小さい通信相手の場合には「R02.xx.xx.crt」を用いて代替証明書を生成することで、登録作業の手間を減らすことができる。
なお、代替証明書提供部122は、ウェブアプリ部110を実現するウェブアプリケーションプログラムの種類に応じた第2の証明書を選択してもよい。代替証明書提供部122は、例えば、ウェブページの閲覧に用いられるブラウザや社外のシステムのクライアント用のプログラムによりウェブアプリ部110が実現されている場合には有効期間が短い第2の証明書を選択し、社内のシステムのクライアント用のプログラムによりウェブアプリ部110が実現されている場合には、有効期間が長い第2の証明書を選択する。
また、代替証明書提供部122は、ウェブアプリ部110が送信するデータの通信に用いられる通信プロトコルの種類に応じた第2の証明書を選択してもよい。代替証明書提供部122は、例えば、この通信プロトコルの種類がSMTP及びFTPである場合には有効期間が短い第2の証明書を選択し、SNTPである場合には有効期間が長い第2の証明書を選択する。
いずれの場合も、通信するデータが漏洩したときの影響の大きさと、上述したユーザの利便性(インストールの手間など)との兼ね合いで、データ漏洩の影響を小さくしたい場合には有効期間が短い第2の証明書を選択し、ユーザの利便性をよくしたい場合には有効期間が長い第2の証明書を選択すればよい。このように、本実施例によれば、上述したウェブサーバ20の種類、ウェブアプリケーションプログラムの種類及び通信プロトコルの種類毎に、データが漏洩したときの影響を小さくしたり、ユーザの利便性の減少を抑えたりすることができる。
[3−2]監視対象
実施例では、ウェブアプリ部110から送信されたデータ及びウェブサーバ20から送信されたデータの両方、すなわち上りの通信及び下りの通信の両方について監視モジュール部130による監視が行われたが、いずれか一方についてのみ監視が行われてもよい。上りの通信の監視が行われた場合には、機密データが漏洩する可能性を減らすことができる。また、下りの通信の監視が行われた場合には、外部からウィルスプログラムが侵入する可能性を減らすことができる。
[3−3]代替証明書
実施例では図5に表す代替証明書提供部122が自身を第2の認証局として代替証明書を発行したが、これに限らない。例えばイントラネット2又はインターネット3に接続されている外部装置が第2の認証局として代替証明書を発行してもよい。この場合、代替証明書提供部122は、例えばサーバ証明書が供給されるとそのサーバ証明書に基づく代替証明書の発行を外部装置に要求し、その要求に応答して外部装置により発行された代替証明書をウェブアプリ部110に提供する。
また、実施例では、ウェブサーバのURLをコモンネームとする代替証明書が発行されたが、これに限らず、ウェブサーバ名やウェブサーバの装置IDをコモンネームとする代替証明書が発行されてもよいし、ウェブサーバに関連しないコモンネームが用いられてもよい。また、実施例では、サーバ証明書が送信されてくる度に代替証明書が発行されたが、これに限らない。例えば過去に同じウェブサーバとデータをやり取りしていれば、その際に発行された代替証明書が提供されてもよい。
また、発行された代替証明書が複数の異なるウェブサーバとのデータのやり取りにおいて用いられてもよい。この場合、代替証明書にはウェブサーバに関連しないコモンネームが用いられればよい。いずれの場合も、代替証明書提供部122が、第2の認証局により発行され且つ第2の公開鍵を含む証明書を代替証明書としてウェブアプリ部110に提供することで、第2の暗号化通信が行われることになる。
[3−4]暗号化通信
実施例では、交換された共通鍵による暗号化通信が行われたが、これに限らない。例えば、公開鍵及び秘密鍵により暗号化及び復号化がされる暗号化通信が行われてもよい。この場合、ウェブアプリ部110の暗号化データ送受信部113は代替証明書に含まれる第2の公開鍵を用いてデータを暗号化し、ローカルプロキシ部120の第2通信部252はローカルプロキシ部120が保有する第2の秘密鍵を用いてそのデータを復号化する。
また、ローカルプロキシ部120の第1通信部251はサーバ証明書に含まれる第1の公開鍵を用いてデータを暗号化し、ウェブサーバ20は自装置が保有する第1の秘密鍵を用いてデータを復号化する。また、これらの鍵に限らず、例えば送信元が暗号化用アルゴリズムを記憶し、送信先が復号化用アルゴリズムを記憶しておくことで暗号化通信が行われてもよい。これ以外にも、データの暗号化及び復号化がなされる周知の暗号化通信の技術が用いられてもよい。
[3−5]復号化データ処理
復号化データ処理は、実施例で述べた記録処理及び中止処理に限らない。例えば、復号化されたデータが条件を満たした場合(例えば機密情報がデータに含まれていた場合)に、その旨を報知する処理が復号化データ処理として行われてもよい。また、復号化されたデータの内容を差し替える処理が復号化データ処理として行われてもよい。この場合、例えば、復号化されたデータを、監視モジュールによるデータの内容の確認が行われたことや、そのデータに機密情報が含まれていたのでデータの転送を中止させたことなどをユーザに通知する画面を表す画像データに差し替える処理が行われる。これらのように、復号化されたデータを用いた処理であれば、どのような処理が復号化データ処理として行われてもよい。
[3−6]プログラム
実施例では、プロキシプログラムによりローカルプロキシ部120が実現され、監視プログラムにより監視モジュール部130が実現されたが、これに限らない。例えばプロキシプログラムによりローカルプロキシ部120及び監視モジュール部130の両方が実現されてもよい。また、言い換えると、ローカルプロキシ部120に監視モジュール部130の機能が含まれていてもよい。これは図8に表す振分部140及びそれを実現する振分プログラムについても同様である。要するに、ユーザ装置で1以上のプログラムが実行されることで、図5等で述べたローカルプロキシ部120、監視モジュール部130及び振分部140の各機能が実現されればよい。
[3−7]発明のカテゴリ
本発明は、ユーザ装置のような通信装置の他、ユーザ装置、ウェブサーバ、監視サーバを備える通信監視システムとしても捉えられる。また、それらの装置が実施する処理を実現するための情報処理方法やそれらの装置を制御するコンピュータを機能させるためのプログラム(ウェブアプリ、プロキシプログラム、監視プログラム、振分プログラム又はこれらを組み合わせたプログラムなど)としても捉えられる。これらのプログラムは、それを記憶させた光ディスク等の記録媒体の形態で提供されてもよいし、インターネット等のネットワークを介してコンピュータにダウンロードさせ、それをインストールして利用可能にするなどの形態で提供されてもよい。
1…通信監視システム、2…イントラネット、3…インターネット、10…ユーザ装置、20…ウェブサーバ、30…監視サーバ、11、21、31…制御部、12、22、32…記憶部、13、23、33…通信部、14…表示部、15…操作部、110…ウェブアプリ部、120…ローカルプロキシ部、130…監視モジュール部、140…振分部、111…サーバ証明書要求部、112、123、124、202…セッション確立部、113、203…暗号化データ送受信部、114…データ処理部、121…要求転送部、122…代替証明書提供部、125…第1通信部、126…第2通信部、127…転送部、201…サーバ証明書送信部、301…記録部

Claims (6)

  1. ウェブサーバと第1の暗号化通信を行う第1通信部と、
    前記ウェブサーバにより処理されるデータを送信するウェブアプリ部と、
    前記ウェブアプリ部と第2の暗号化通信を行う第2通信部と、
    前記ウェブアプリ部から送信されてきて前記第2通信部により復号化されたデータを前記第1通信部に転送する転送部と、
    前記復号化されたデータを用いた処理を行う処理部と
    認証局により発行され且つ公開鍵を含む証明書を前記ウェブアプリ部に提供する証明書提供部とを備え、
    前記ウェブアプリ部には、前記認証局の署名を有するルート証明書が登録されており、
    前記第2通信部は、前記公開鍵に対応する秘密鍵又は当該秘密鍵を用いて前記ウェブアプリ部と交換した共通鍵を用いて前記第2の暗号化通信を行う
    通信装置。
  2. 前記証明書提供部は、自身を前記認証局として、前記ウェブアプリ部に提供する証明書を発行する
    請求項に記載の通信装置。
  3. 前記ウェブアプリ部には、複数の前記ルート証明書が登録されており、
    前記証明書提供部は、前記複数のルート証明書の中から、前記ウェブサーバの種類、前記ウェブアプリ部を実現するウェブアプリケーションプログラムの種類又は前記ウェブアプリ部が送信するデータの通信に用いられる通信プロトコルの種類に応じたルート証明書を選択し、選択したルート証明書により証明される署名がされた前記証明書を前記ウェブアプリ部に提供する
    請求項1又は2に記載の通信装置。
  4. 前記処理部は、前記復号化されたデータを記録する処理又は当該データが条件を満たす場合に当該データの内容を差し替える処理を前記処理として行う
    請求項1から3のいずれか1項に記載の通信装置。
  5. 前記ウェブアプリ部から前記ウェブサーバに向けて送信されたデータを受け取り、前記第1通信部、前記第2通信部及び前記転送部を経由する第1通信路と、当該各部を経由しない第2通信路のいずれかに当該データの経路を振り分ける振分部であって、前記ウェブアプリ部を実現するウェブアプリケーションプログラムの種類に応じて当該データの経路を振り分ける振分部を備える
    請求項1からのいずれか1項に記載の通信装置。
  6. ウェブサーバにより処理されるデータを送信するウェブアプリ部を備える通信装置を制御するコンピュータを、
    前記ウェブサーバと第1の暗号化通信を行う第1通信部と、
    前記ウェブアプリ部と第2の暗号化通信を行う第2通信部と、
    前記ウェブサーバから送信されてきて前記第1通信部により復号化されたデータを前記第2通信部に転送する転送部と、
    前記復号化されたデータを用いた処理を行う処理部と、
    認証局により発行され且つ公開鍵を含む証明書を前記ウェブアプリ部に提供する証明書提供部として機能させ、
    前記ウェブアプリ部には、前記認証局の署名を有するルート証明書が登録されており、
    前記第2通信部は、前記公開鍵に対応する秘密鍵又は当該秘密鍵を用いて前記ウェブアプリ部と交換した共通鍵を用いて前記第2の暗号化通信を行う
    プログラム。
JP2015098463A 2015-05-13 2015-05-13 通信装置及びプログラム Active JP6529820B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015098463A JP6529820B2 (ja) 2015-05-13 2015-05-13 通信装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015098463A JP6529820B2 (ja) 2015-05-13 2015-05-13 通信装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2016213793A JP2016213793A (ja) 2016-12-15
JP6529820B2 true JP6529820B2 (ja) 2019-06-12

Family

ID=57552095

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015098463A Active JP6529820B2 (ja) 2015-05-13 2015-05-13 通信装置及びプログラム

Country Status (1)

Country Link
JP (1) JP6529820B2 (ja)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5805706A (en) * 1996-04-17 1998-09-08 Intel Corporation Apparatus and method for re-encrypting data without unsecured exposure of its non-encrypted format
US20140143852A1 (en) * 2008-08-21 2014-05-22 Ntrepid Corporation Secure network privacy system
JP4520840B2 (ja) * 2004-12-02 2010-08-11 株式会社日立製作所 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体
JP2009225108A (ja) * 2008-03-17 2009-10-01 Mitsubishi Electric Corp 通信装置及びサーバ装置
JP4879347B2 (ja) * 2009-12-25 2012-02-22 キヤノンItソリューションズ株式会社 中継処理装置、中継処理方法及びプログラム
US9021575B2 (en) * 2013-05-08 2015-04-28 Iboss, Inc. Selectively performing man in the middle decryption

Also Published As

Publication number Publication date
JP2016213793A (ja) 2016-12-15

Similar Documents

Publication Publication Date Title
US9716696B2 (en) Encryption in the cloud using enterprise managed keys
US9485228B2 (en) Selectively performing man in the middle decryption
JP4863777B2 (ja) 通信処理方法及びコンピュータ・システム
KR20060100920A (ko) 웹 서비스를 위한 신뢰되는 제3자 인증
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
JP2011128985A (ja) アカウントアグリゲーションシステム、情報処理装置およびアカウントアグリゲーションシステムにおける暗号鍵管理方法
KR20180002841A (ko) 비-관리 비-보안 장치에서의 리소스 액세스 및 배치를 위한 안전한 컨테이너 플랫폼
WO2021061942A1 (en) Centralized session key issuance and rotation
Kambourakis et al. A PKI approach for deploying modern secure distributed e-learning and m-learning environments
JP6293245B1 (ja) 強化されたセキュリティを有する取引相互監視システム
JP2006260321A (ja) サービス提供システムおよびそのユーザ認証方法
JP6529820B2 (ja) 通信装置及びプログラム
JP2012181662A (ja) アカウント情報連携システム
Millen et al. Certificate revocation the responsible way
Medhioub et al. A new authentication scheme for cloud-based storage applications
Gritzalis Enhancing privacy and data protection in electronic medical environments
US11665145B1 (en) Method of providing end to end encryption with auditability
JP2003169049A (ja) 通信仲介装置
Hazari Challenges of implementing public key infrastructure in Netcentric enterprises
Sathiaseelan et al. Multi-Level Secure Architecture for distributed integrated Web services
JP2018107625A (ja) データ配信システム、データ生成装置、仲介装置、データ配信方法、及びプログラム
EP3051770A1 (en) User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs
Reddy et al. A Novel Proxy Re-Encryption Technique for Secure Data Sharing in Cloud Environment
Binding Token Binding Working Group G. Mandyam Internet-Draft L. Lundblade Intended status: Standards Track J. Azen Expires: March 9, 2018 Qualcomm Technologies Inc. September 5, 2017
EP4088438A1 (en) Provision of digital content via a communication network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181023

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190424

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190507

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190515

R150 Certificate of patent or registration of utility model

Ref document number: 6529820

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250