JP6529820B2 - 通信装置及びプログラム - Google Patents
通信装置及びプログラム Download PDFInfo
- Publication number
- JP6529820B2 JP6529820B2 JP2015098463A JP2015098463A JP6529820B2 JP 6529820 B2 JP6529820 B2 JP 6529820B2 JP 2015098463 A JP2015098463 A JP 2015098463A JP 2015098463 A JP2015098463 A JP 2015098463A JP 6529820 B2 JP6529820 B2 JP 6529820B2
- Authority
- JP
- Japan
- Prior art keywords
- unit
- communication
- certificate
- data
- web application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 237
- 238000012546 transfer Methods 0.000 claims description 75
- 238000012545 processing Methods 0.000 claims description 52
- 238000000034 method Methods 0.000 claims description 22
- 238000012544 monitoring process Methods 0.000 description 64
- 230000005540 biological transmission Effects 0.000 description 29
- 238000010586 diagram Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000004044 response Effects 0.000 description 6
- 230000010365 information processing Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Description
そこで、本発明は、暗号化通信でやり取りされるデータの内容に応じた処理を行うことを目的とする。
図1は第1実施例に係る通信監視システム1の全体構成の一例を表す。通信監視システム1は、ユーザ装置が行う通信を監視するためのシステムである。通信監視システム1は、イントラネット2と、インターネット3と、ユーザ装置10と、ウェブサーバ20と、監視サーバ30とを備える。
図4は監視サーバ30のハードウェア構成を表す。監視サーバ30は、制御部31と、記憶部32と、通信部33とを備えるコンピュータである。制御部31、記憶部32及び通信部33は、図2に表された制御部11、記憶部12及び通信部13と同種のハードウェアである。
図5は各装置が実現する機能構成を表す。ユーザ装置10は、ウェブアプリ部110(ウェブアプリにより実現)と、ローカルプロキシ部120(プロキシプログラムにより実現)と、監視モジュール部130(監視プログラムにより実現)とを備える。ウェブサーバ20は、サーバ証明書送信部201と、暗号化データ送受信部203とを備え、監視サーバ30は、記録部301を備える。
図6は通信監視処理における動作手順の一例を表す。図6では、ユーザ装置10の動作をウェブアプリ部110、ローカルプロキシ部120及び監視モジュール部130に分けて表している。この動作手順は、例えばユーザがユーザ装置10を操作してウェブサーバ20のURLを入力又は選択する操作を行うことを契機に開始される。
本発明の第2実施例について、以下、第1実施例と異なる点を中心に説明する。第1実施例では、ウェブアプリ部110とウェブサーバ20とのデータのやり取りが全てローカルプロキシ部120によって中継されていたが、第2実施例では、この中継がされない場合がある。
上述した各実施形態は、それぞれが本発明の実施の一例に過ぎず、以下のように変形させてもよい。また、各実施形態及び各変形例は必要に応じてそれぞれ組み合わせてもよい。
代替証明書提供部122が代替証明書を生成する際に用いられる第2の証明書が複数あってもよい。例えば、ウェブアプリ部110には、有効期間が異なる複数の前記第2の証明書が登録されている。代替証明書提供部122は、それら複数の第2の証明書の中から、ウェブアプリ部110から送信されたデータを処理するウェブサーバ(ウェブアプリ部110の通信相手のウェブサーバ)の種類に応じた第2の証明書を選択し、選択した第2の証明書により証明される署名がされた代替証明書をウェブアプリ部110に提供する。
図9は有効期間テーブルの一例を表す。図9の例では、「R01.xx.xx.crt」という第2の証明書に「20xx.07.01〜20xx.07.31」という有効期間(つまり有効期間が1ヶ月)と「社外ウェブサーバ」という通信相手の種類とが対応付けられている。また、「R02.xx.xx.crt」という第2の証明書に「20xx.07.01〜20xx.12.31」という有効期間(つまり有効期間が6ヶ月)と「社内ウェブサーバ」という通信相手の種類とが対応付けられている。「R01.xx.xx.crt」及び「R02.xx.xx.crt」は有効期間が異なる第2の証明書の例である。
実施例では、ウェブアプリ部110から送信されたデータ及びウェブサーバ20から送信されたデータの両方、すなわち上りの通信及び下りの通信の両方について監視モジュール部130による監視が行われたが、いずれか一方についてのみ監視が行われてもよい。上りの通信の監視が行われた場合には、機密データが漏洩する可能性を減らすことができる。また、下りの通信の監視が行われた場合には、外部からウィルスプログラムが侵入する可能性を減らすことができる。
実施例では図5に表す代替証明書提供部122が自身を第2の認証局として代替証明書を発行したが、これに限らない。例えばイントラネット2又はインターネット3に接続されている外部装置が第2の認証局として代替証明書を発行してもよい。この場合、代替証明書提供部122は、例えばサーバ証明書が供給されるとそのサーバ証明書に基づく代替証明書の発行を外部装置に要求し、その要求に応答して外部装置により発行された代替証明書をウェブアプリ部110に提供する。
実施例では、交換された共通鍵による暗号化通信が行われたが、これに限らない。例えば、公開鍵及び秘密鍵により暗号化及び復号化がされる暗号化通信が行われてもよい。この場合、ウェブアプリ部110の暗号化データ送受信部113は代替証明書に含まれる第2の公開鍵を用いてデータを暗号化し、ローカルプロキシ部120の第2通信部252はローカルプロキシ部120が保有する第2の秘密鍵を用いてそのデータを復号化する。
復号化データ処理は、実施例で述べた記録処理及び中止処理に限らない。例えば、復号化されたデータが条件を満たした場合(例えば機密情報がデータに含まれていた場合)に、その旨を報知する処理が復号化データ処理として行われてもよい。また、復号化されたデータの内容を差し替える処理が復号化データ処理として行われてもよい。この場合、例えば、復号化されたデータを、監視モジュールによるデータの内容の確認が行われたことや、そのデータに機密情報が含まれていたのでデータの転送を中止させたことなどをユーザに通知する画面を表す画像データに差し替える処理が行われる。これらのように、復号化されたデータを用いた処理であれば、どのような処理が復号化データ処理として行われてもよい。
実施例では、プロキシプログラムによりローカルプロキシ部120が実現され、監視プログラムにより監視モジュール部130が実現されたが、これに限らない。例えばプロキシプログラムによりローカルプロキシ部120及び監視モジュール部130の両方が実現されてもよい。また、言い換えると、ローカルプロキシ部120に監視モジュール部130の機能が含まれていてもよい。これは図8に表す振分部140及びそれを実現する振分プログラムについても同様である。要するに、ユーザ装置で1以上のプログラムが実行されることで、図5等で述べたローカルプロキシ部120、監視モジュール部130及び振分部140の各機能が実現されればよい。
本発明は、ユーザ装置のような通信装置の他、ユーザ装置、ウェブサーバ、監視サーバを備える通信監視システムとしても捉えられる。また、それらの装置が実施する処理を実現するための情報処理方法やそれらの装置を制御するコンピュータを機能させるためのプログラム(ウェブアプリ、プロキシプログラム、監視プログラム、振分プログラム又はこれらを組み合わせたプログラムなど)としても捉えられる。これらのプログラムは、それを記憶させた光ディスク等の記録媒体の形態で提供されてもよいし、インターネット等のネットワークを介してコンピュータにダウンロードさせ、それをインストールして利用可能にするなどの形態で提供されてもよい。
Claims (6)
- ウェブサーバと第1の暗号化通信を行う第1通信部と、
前記ウェブサーバにより処理されるデータを送信するウェブアプリ部と、
前記ウェブアプリ部と第2の暗号化通信を行う第2通信部と、
前記ウェブアプリ部から送信されてきて前記第2通信部により復号化されたデータを前記第1通信部に転送する転送部と、
前記復号化されたデータを用いた処理を行う処理部と、
認証局により発行され且つ公開鍵を含む証明書を前記ウェブアプリ部に提供する証明書提供部とを備え、
前記ウェブアプリ部には、前記認証局の署名を有するルート証明書が登録されており、
前記第2通信部は、前記公開鍵に対応する秘密鍵又は当該秘密鍵を用いて前記ウェブアプリ部と交換した共通鍵を用いて前記第2の暗号化通信を行う
通信装置。 - 前記証明書提供部は、自身を前記認証局として、前記ウェブアプリ部に提供する証明書を発行する
請求項1に記載の通信装置。 - 前記ウェブアプリ部には、複数の前記ルート証明書が登録されており、
前記証明書提供部は、前記複数のルート証明書の中から、前記ウェブサーバの種類、前記ウェブアプリ部を実現するウェブアプリケーションプログラムの種類又は前記ウェブアプリ部が送信するデータの通信に用いられる通信プロトコルの種類に応じたルート証明書を選択し、選択したルート証明書により証明される署名がされた前記証明書を前記ウェブアプリ部に提供する
請求項1又は2に記載の通信装置。 - 前記処理部は、前記復号化されたデータを記録する処理又は当該データが条件を満たす場合に当該データの内容を差し替える処理を前記処理として行う
請求項1から3のいずれか1項に記載の通信装置。 - 前記ウェブアプリ部から前記ウェブサーバに向けて送信されたデータを受け取り、前記第1通信部、前記第2通信部及び前記転送部を経由する第1通信路と、当該各部を経由しない第2通信路のいずれかに当該データの経路を振り分ける振分部であって、前記ウェブアプリ部を実現するウェブアプリケーションプログラムの種類に応じて当該データの経路を振り分ける振分部を備える
請求項1から4のいずれか1項に記載の通信装置。 - ウェブサーバにより処理されるデータを送信するウェブアプリ部を備える通信装置を制御するコンピュータを、
前記ウェブサーバと第1の暗号化通信を行う第1通信部と、
前記ウェブアプリ部と第2の暗号化通信を行う第2通信部と、
前記ウェブサーバから送信されてきて前記第1通信部により復号化されたデータを前記第2通信部に転送する転送部と、
前記復号化されたデータを用いた処理を行う処理部と、
認証局により発行され且つ公開鍵を含む証明書を前記ウェブアプリ部に提供する証明書提供部として機能させ、
前記ウェブアプリ部には、前記認証局の署名を有するルート証明書が登録されており、
前記第2通信部は、前記公開鍵に対応する秘密鍵又は当該秘密鍵を用いて前記ウェブアプリ部と交換した共通鍵を用いて前記第2の暗号化通信を行う
プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015098463A JP6529820B2 (ja) | 2015-05-13 | 2015-05-13 | 通信装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015098463A JP6529820B2 (ja) | 2015-05-13 | 2015-05-13 | 通信装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016213793A JP2016213793A (ja) | 2016-12-15 |
JP6529820B2 true JP6529820B2 (ja) | 2019-06-12 |
Family
ID=57552095
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015098463A Active JP6529820B2 (ja) | 2015-05-13 | 2015-05-13 | 通信装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6529820B2 (ja) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5805706A (en) * | 1996-04-17 | 1998-09-08 | Intel Corporation | Apparatus and method for re-encrypting data without unsecured exposure of its non-encrypted format |
US20140143852A1 (en) * | 2008-08-21 | 2014-05-22 | Ntrepid Corporation | Secure network privacy system |
JP4520840B2 (ja) * | 2004-12-02 | 2010-08-11 | 株式会社日立製作所 | 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体 |
JP2009225108A (ja) * | 2008-03-17 | 2009-10-01 | Mitsubishi Electric Corp | 通信装置及びサーバ装置 |
JP4879347B2 (ja) * | 2009-12-25 | 2012-02-22 | キヤノンItソリューションズ株式会社 | 中継処理装置、中継処理方法及びプログラム |
US9021575B2 (en) * | 2013-05-08 | 2015-04-28 | Iboss, Inc. | Selectively performing man in the middle decryption |
-
2015
- 2015-05-13 JP JP2015098463A patent/JP6529820B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016213793A (ja) | 2016-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9716696B2 (en) | Encryption in the cloud using enterprise managed keys | |
US9485228B2 (en) | Selectively performing man in the middle decryption | |
JP4863777B2 (ja) | 通信処理方法及びコンピュータ・システム | |
KR20060100920A (ko) | 웹 서비스를 위한 신뢰되는 제3자 인증 | |
JP5602165B2 (ja) | ネットワーク通信を保護する方法および装置 | |
JP2011128985A (ja) | アカウントアグリゲーションシステム、情報処理装置およびアカウントアグリゲーションシステムにおける暗号鍵管理方法 | |
KR20180002841A (ko) | 비-관리 비-보안 장치에서의 리소스 액세스 및 배치를 위한 안전한 컨테이너 플랫폼 | |
WO2021061942A1 (en) | Centralized session key issuance and rotation | |
Kambourakis et al. | A PKI approach for deploying modern secure distributed e-learning and m-learning environments | |
JP6293245B1 (ja) | 強化されたセキュリティを有する取引相互監視システム | |
JP2006260321A (ja) | サービス提供システムおよびそのユーザ認証方法 | |
JP6529820B2 (ja) | 通信装置及びプログラム | |
JP2012181662A (ja) | アカウント情報連携システム | |
Millen et al. | Certificate revocation the responsible way | |
Medhioub et al. | A new authentication scheme for cloud-based storage applications | |
Gritzalis | Enhancing privacy and data protection in electronic medical environments | |
US11665145B1 (en) | Method of providing end to end encryption with auditability | |
JP2003169049A (ja) | 通信仲介装置 | |
Hazari | Challenges of implementing public key infrastructure in Netcentric enterprises | |
Sathiaseelan et al. | Multi-Level Secure Architecture for distributed integrated Web services | |
JP2018107625A (ja) | データ配信システム、データ生成装置、仲介装置、データ配信方法、及びプログラム | |
EP3051770A1 (en) | User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs | |
Reddy et al. | A Novel Proxy Re-Encryption Technique for Secure Data Sharing in Cloud Environment | |
Binding | Token Binding Working Group G. Mandyam Internet-Draft L. Lundblade Intended status: Standards Track J. Azen Expires: March 9, 2018 Qualcomm Technologies Inc. September 5, 2017 | |
EP4088438A1 (en) | Provision of digital content via a communication network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180928 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181023 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181203 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190424 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190507 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190515 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6529820 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |