CN101262331B - 通信内容检查支援系统 - Google Patents
通信内容检查支援系统 Download PDFInfo
- Publication number
- CN101262331B CN101262331B CN2007101694895A CN200710169489A CN101262331B CN 101262331 B CN101262331 B CN 101262331B CN 2007101694895 A CN2007101694895 A CN 2007101694895A CN 200710169489 A CN200710169489 A CN 200710169489A CN 101262331 B CN101262331 B CN 101262331B
- Authority
- CN
- China
- Prior art keywords
- key
- communication
- encrypted packet
- bag
- mentioned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
提供一种能够在任意的时刻检查任意加密通信的通信内容的通信内容检查支援系统。本发明的通信内容检查支援系统,每当生成在加密通信中使用的密钥信息(3000)时,将该密钥信息(3000)与密钥ID对应起来保存到密钥管理DB(201)中,将进行使用该密钥信息(3000)的加密通信的用户终端(300)及服务提供服务器(350)的IP地址与该密钥ID对应起来保存到通信状态管理DB(101)中,将在加密通信中发送的加密包与该加密包的发送源的IP地址及发送目的地的IP地址对应起来保存到包DB(501)中。
Description
技术领域
本发明涉及用于将加密的通信内容解密而进行检查的技术。
背景技术
外部的检查机构等有时通过收集在网络上发送的通信数据并解析收集到的通信数据,以事件的查找等为目的来检查通信内容。但是,在通信内容被加密的情况下,即使收集了加密的通信数据,检查机构也不能掌握通信内容。
为了避免这种情况,存在如下的称作密钥托管的技术,即在用户进行加密通信的情况下,将在该加密通信中使用的密钥存放在第三方机构中,在产生了检查机构对通信内容的检查需要的情况下,该检查机构从该第三方机构取得在检查对象的加密通信中使用的密钥,来检查对应的加密通信的内容(例如参照美国专利第5535276号公报)。
上述公知文献中公开的技术中,在产生了检查机构对通信内容的检查的必要性的情况下,该检查机构从该第三方机构取得密钥,来检查对应的用户的通信内容,所以对于在取得了密钥后还继续的加密通信能够进行通信内容的检查,但对于在取得密钥之前进行的加密通信,不能进行通信内容的检查。
不论有无检查,都可以考虑收集并保存所有的加密通信,但在加密通信中使用的密钥随着自生成时起的时间的经过而加密强度降低,所以在规定的定时进行更新的情况较多。因此,即使取得产生了检查机构对通信内容的检查必要性的时刻的密钥,也不能检查使用与该密钥不同的密钥进行的过去的加密通信的内容。
发明内容
本发明是鉴于上述情况而做出的,目的是提供一种能够在任意的时刻检查任意加密通信的通信内容的通信内容检查支援系统以及实现它的装置或方法。
本发明的通信内容检查支援系统是,每当生成在加密通信中使用的密钥信息时,将该密钥信息与密钥ID对应起来进行保存,将进行使用该密钥信息的加密通信的通信装置的IP地址和该密钥ID对应起来保存,将在加密通信中发送的加密包和该加密包的发送源的IP地址及发送目的地的IP地址对应起来保存。
例如,本发明的第一方式提供一种通信内容检查支援系统,其提供在多个通信装置间进行的加密通信的检查所必要的信息,该通信内容检查支援系统具备:密钥管理单元,每当生成在加密通信中使用的密钥信息时,将生成的密钥信息和识别该密钥信息的密钥ID对应起来保存到密钥管理数据库中;通信管理单元,每当建立加密通信时,将进行该加密通信的多个通信装置的各自的IP地址和在该加密通信中使用的密钥信息的密钥ID对应起来保存到通信状态管理数据库中;包取得单元,取得在加密通信中发送的加密包的拷贝,将取得的加密包的拷贝和该加密包的发送源的IP地址及发送目的地的IP地址对应起来保存到包数据库中;通信信息输出单元,基于来自用户的检索指示并参照上述通信状态管理数据库,确定与由该检索指示确定的、进行加密通信的通信装置的IP地址对应的密钥ID,从上述密钥管理数据库中抽取与确定的密钥ID对应的密钥信息,并且从上述包数据库抽取由该检索指示确定的加密包的拷贝,输出抽取的密钥信息及加密包的拷贝。
例如,本发明的第二方式提供另一种通信内容检查支援系统,其提供在多个通信装置间进行的加密通信的检查所必要的信息,该通信 内容检查支援系统具备:密钥管理单元,每当生成在加密通信中使用的密钥信息时,将生成的密钥信息和识别该密钥信息的密钥ID对应起来保存到密钥管理数据库中;通信管理单元,在建立了加密通信的情况下,将进行该加密通信的多个通信装置的各自的名称、该多个通信装置的各自的IP地址、以及该加密通信的开始时刻和在该加密通信中使用的密钥信息的密钥ID对应起来,保存到通信状态管理数据库中,在该加密通信已结束的情况下,将使用了该密钥信息的加密通信的结束时刻和该密钥信息的密钥ID对应起来保存到上述通信状态管理数据库中;包取得单元,取得在加密通信中发送的加密包的拷贝,将取得的加密包的拷贝和该加密包的发送源的IP地址及发送目的地的IP地址、以及该加密包的拷贝的取得时刻对应起来,保存到包数据库中;通信信息输出单元,基于来自用户的检索指示并参照上述通信状态管理数据库,确定与由该检索指示确定的、进行加密通信的通信装置的名称、IP地址、加密通信的开始时刻以及结束时刻对应的密钥ID,从上述密钥管理数据库中抽取与确定的密钥ID对应的密钥信息,并且从上述包数据库中抽取由该检索指示确定的加密包的拷贝,输出将抽取的密钥信息及加密包的拷贝。
根据本发明的通信内容检查支援系统,能够在任意的时刻检查任意加密通信的通信内容。
附图说明
图1是例示第一实施例的通信内容检查支援系统具备的各装置的功能结构的图。
图2是例示实现会话管理装置100、密钥管理装置200、用户终端300、服务提供服务器350、包监视装置500或检查装置600的功能的信息处理装置结构的图。
图3是例示第一实施例的通信内容检查支援系统的加密通信开始及密钥更新处理的工作的时序图。
图4是例示第一实施例的通信内容检查支援系统的加密通信开始及密钥更新处理的工作的时序图。
图5是例示第一实施例的通信内容检查支援系统的加密通信开始及密钥更新处理的工作的时序图。
图6是例示第一实施例的通信内容检查支援系统的加密通信结束的工作的时序图。
图7是例示第一实施例的通信内容检查支援系统的加密包监视工作的时序图。
图8是例示第一实施例的通信内容检查支援系统的加密通信检查处理的工作的时序图。
图9是例示第一实施例的通信内容检查支援系统的加密通信检查处理的工作的时序图。
图10是例示通信开始请求2000、通信开始响应2100、通信结束请求2400、以及通信结束响应2500的数据构造的图。
图11是例示被保存在通信状态管理DB(数据库)101中的数据构造的图。
图12是例示密钥生成请求2200、密钥生成响应2300、密钥信息3000、密钥删除请求2600、以及密钥删除响应2700的数据构造的图。
图13是例示被保存在密钥管理DB201中的数据构造的图。
图14是例示会话信息列表取得请求2800、会话信息列表取得响应2900、会话信息3100、密钥取得请求3200、以及密钥取得响应3300的数据构造的图。
图15是例示在第一实施例中被保存在包DB501中的数据、包取得请求3600、包取得响应3700、包发送结束通知3800、以及加密包的数据构造的图。
图16是例示检查应用(application)604显示的会话信息检索画 面3400及会话信息检索结果画面3500的图。
图17是例示第二实施例的通信内容检查支援系统具备的各装置的功能结构的图。
图18是例示第二实施例的通信内容检查支援系统的加密通信开始工作的时序图。
图19是例示第二实施例的通信内容检查支援系统的加密通信开始工作的时序图。
图20是例示第二实施例的通信内容检查支援系统的加密通信结束工作的时序图。
图21是例示第二实施例的通信内容检查支援系统的加密包的监视和实时检查处理的时序图。
图22是例示检查应用604显示的检查条件输入画面3900的结构、以及检查条件登记请求4000、检查条件登记响应4100、加密通信开始通知4200、加密通信开始确认响应4300、加密通信结束通知4400、4500、以及检查要件定义5000的数据构造的图。
图23是例示被保存在检查条件表102中的数据、在第二实施例中被保存在包DB501中的数据、包收集开始请求4600、包收集开始响应4700、包收集结束请求4800、以及包收集结束响应4900的数据构造的图。
具体实施方式
以下,利用附图详细地说明本发明的实施方式。
<第一实施例>
在本第一实施例中,说明对使用SIP(Session Initiation Protocol)的通信系统应用了本发明的例子。SIP是由IETF的RFC3261定义的、进行通信会话的管理及控制的通信协议。另外,本发明的通信内容检查支援系统并不限于SIP,对于由第三方的装置建立多个通信装置间 的通信那样的通信系统也能够应用。
图1是第一实施例的通信内容检查支援系统的系统结构图。在该图中,通信内容检查支援系统具备会话管理装置100、密钥管理装置200、用户终端300、服务提供服务器350、带监视功能的路由装置400、包监视装置500、以及检查装置600。
服务提供服务器350及包监视装置500连接在带监视功能的路由装置400上。带监视功能的路由装置400连接在因特网等网络0上,经由该网络0,与会话管理装置100、密钥管理装置200、用户终端300及检查装置600通信。
另外,在本第一实施例中,用户终端300及服务提供服务器350由称作SIP-URI(Uniform Resource Identifier)的识别符唯一地识别。用户终端300的SIP-URI由将用户终端300的名称和会话管理装置100的名称用“@”连结、在该字符串的开头添加了“sip:”的字符串表示。同样,服务提供服务器350的SIP-URI由将服务提供服务器350的名称和会话管理装置100的名称用“@”连结、在该字符串的开头添加了“sip:”的字符串表示。
在图1所示的例子中,在用户终端300的名称为“user”、会话管理装置100的名称为“domain.hitachi.co.jp”的情况下,用户终端300的SIP-URI为“sip:user@domain.hitachi.co.jp”。同样,在服务提供服务器350的名称为“service”的情况下,服务提供服务器350的SIP-URI为“sip:service@domain.hitachi.co.jp”。但是,SIP-URI的命名规则并不限于此。例如,也可以不使用用户终端的名称,而使用正在利用用户终端的用户的识别信息(用户名)等。
此外,在本第一实施例中,如果用户终端300或服务提供服务器350登陆到会话管理装置100,则定义用户终端300或服务提供服务器350将自身的IP地址和SIP-URI与会话管理装置100建立对应而保存在寄存器DB中的处理。
接着,对本第一实施例的通信内容检查支援系统的各结构要素具备的功能进行说明。
会话管理装置100是控制及管理用户终端300和服务提供服务器350之间的加密通信的装置,具有通信状态管理DB(数据库)101、通信管理功能103、密钥取得功能104、消息收发功能105、以及会话信息通知功能106。密钥管理装置200具备密钥管理DB201、密钥管理功能202、以及密钥收发功能203。包监视装置500具备包DB501、包接收功能502、包管理功能503、以及包发送功能504。
通信状态管理DB101是登记会话信息的数据库。通信管理功能103将用户终端300与服务提供服务器350之间的加密通信的会话信息登记到通信状态管理DB101中,或者从通信状态管理DB101中检索并取得该会话信息。密钥取得功能104从密钥管理装置200取得在用户终端300与服务提供服务器350之间的加密通信中使用的密钥信息,或者将取得的密钥信息记载在由消息收发功能105发送的消息中。消息收发功能105在用户终端300与服务提供服务器350之间发送或接收SIP消息。会话信息通知功能106将会话信息向检查装置600发送。
另外,在本第一实施例的密钥信息中,包含有在加密通信中使用的密钥以及用于唯一地识别该密钥的密钥ID、有效期间、以及使用该密钥的加密算法名称。此外,在本第一实施例的会话信息中,包含用于唯一地识别加密通信的会话ID、在加密通信中使用的密钥ID、进行加密通信的通信装置的名称及IP地址、以及密钥的使用开始时刻及结束时刻。此外,在本实施例中,在会话ID中,使用记载在SIP消息中的Call-ID字段内的字符串的“@”以前(左侧)的部分。
密钥管理装置200是进行在用户终端300与服务提供服务器350之间的加密通信中使用的密钥的生成及管理的装置,具备密钥管理DB201、密钥管理功能202及密钥收发功能203。
密钥管理DB201是登记密钥信息的数据库。密钥管理功能202生成密钥信息、将生成的密钥信息登记到密钥管理DB201中,或者检索并取得密钥管理DB201内的密钥信息。密钥收发功能203接收密钥的取得请求或生成请求,将密钥信息发送给请求源。
用户终端300是与服务提供服务器350进行加密通信的装置,服务提供服务器350是与用户终端300进行加密通信的装置。用户终端300及服务提供服务器350具备密钥取得功能301、SIP客户端功能302、加密通信功能303、以及状态管理功能304。
密钥取得功能301从由会话管理装置100接收到的SIP消息中取得在加密通信中使用的密钥信息,监视所取得的密钥信息的有效期限,或者在加密通信结束后将使用的密钥信息删除。SIP客户端功能302进行用于经由会话管理装置100与其他用户终端300或服务提供服务器350建立加密通信的SIP通信。
加密通信功能303从建立了通信的通信对象接收加密包,进行接收到的加密包的解密,或者将包加密后向建立了通信的通信对象发送。状态管理功能304对SIP客户端功能302所管理的、本装置和通信对象装置的内部状态进行管理。
另外,在本实施例中,用户终端300内的状态管理功能304将内部状态显示在与用户终端300连接的画面上,服务提供服务器350内的状态管理功能304将内部状态作为事件日志输出。
带监视功能的路由装置400具备包控制功能401,该包控制功能401是,接收在用户终端300与服务提供服务器350之间发送或接收的加密包,并复制接收到的加密包,将接收到的加密包向本来的发送目的地发送,并且将复制的加密包向包监视装置500发送。
包监视装置500具备包DB501、包接收功能502、包管理功能503、以及包发送功能504。包DB501是将从带监视功能的路由装置400接收的加密包与该加密包的发送源及发送目的地建立对应而保存的 数据库。包接收功能502从带监视功能的路由装置400接收加密包。
包管理功能503将包接收功能502接收的加密包保存到包DB501中,或者从包DB501中检索并取得从检查装置600请求的加密包。包发送功能504将由包管理功能503从包DB501取得的加密包向检查装置600发送。
检查装置600是检查在用户终端300与服务提供服务器350之间的加密通信中发送或接收到的通信内容的装置,具备密钥取得功能601、会话信息取得功能602、包取得及解密功能603、以及检查应用604。
密钥取得功能601从密钥管理装置200取得在用户终端300与服务提供服务器350之间的加密通信中使用的密钥。会话信息取得功能602从会话管理装置100取得会话信息的列表。包取得及解密功能603从包监视装置500取得加密包,利用从密钥管理装置200取得的密钥将该加密包解密。检查应用604利用解密后的包,检查用户终端300与服务提供服务器350之间的加密通信的内容。
另外,应用了本第一实施例的通信内容检查支援系统不仅能够应用于用户终端300与服务提供服务器350之间进行通信的客户端/服务器通信的检查中,也可以应用在服务提供服务器350彼此进行通信时的检查中。进而,在本第一实施例中,形成了将服务提供服务器350连接在带监视功能的路由装置400上的结构,但本发明并不限于此。
例如,也可以是将用户终端300连接在带监视功能的路由装置400上的结构。在此情况下,通过在图1的系统结构中将服务提供服务器350替换为用户终端300,即使在与直接连接在网络0上的用户终端300或服务提供服务器350进行加密通信的情况下,也能够应用通信内容检查支援系统。并且,能够着眼于连接在带监视功能的路由装置400上的用户终端300,进行加密通信的通信内容的检查。
除此以外,网络0并不限于企业内LAN那样的私有网络,也可以是因特网那样的开放网络。进而,带监视功能的路由装置400只要是以不具有交换功能的中继集线器、具有镜像端口功能的交换集线器、路由器、防火墙、代理服务器为代表的具有中继通信的功能的装置,是哪种都可以。例如,在将防火墙作为带监视功能的路由装置400的情况下,能够检查经由防火墙进行的组织内部与组织外部之间的通信。
此外,通信状态管理DB101可以如本第一实施例那样构成为被包含在会话管理装置100内的装置,但也可以设置在会话管理装置100之外的装置内,用网络连接该装置与会话管理装置100。同样,密钥管理DB201也可以设置在密钥管理装置200之外的装置内。进而,包DB501也可以设置在包监视装置500之外的装置内。
此外,在本第一实施例中,会话管理装置100、密钥管理装置200、包监视装置500及检查装置600如图1那样由不同的装置实现,但本实施例并不限于此。也可以将密钥管理装置200与会话管理装置100作为一个装置构成,或者将检查装置600与会话管理装置100作为一个装置构成,或者将包监视装置500与检查装置600作为一个装置构成。
图2例示实现会话管理装置100、密钥管理装置200、用户终端300、服务提供服务器350、包监视装置500或检查装置600的功能的信息处理装置的结构。
信息处理装置具备CPU11、存储器12、通信处理装置13、输入装置14、输出装置15、读取装置16以及外部存储装置17。它们通过总线10相互连接。
通信处理装置13经由因特网或LAN与其他通信装置进行通信。输入装置14例如是键盘、鼠标等。输出装置15例如是监视器、打印机等。读取装置16读入IC卡、USB存储器等具有可移动性的记录 媒体18内的数据。外部存储装置17例如是硬盘等。
本第一实施例中的会话管理装置100、密钥管理装置200、用户终端300、服务提供服务器350、包监视装置500或检查装置600内的各功能,是通过将实现它们的功能的程序装载到存储器12上并由CPU11执行来具体实现的。
这些程序既可以预先保存在上述信息处理装置的外部存储装置17中,也可以通过读取装置16或通信处理装置13,经由该信息处理装置可利用的媒体从其他装置取得而保存在外部存储装置17中。所谓的媒体,是指例如对读取装置16可拆装的记录媒体18、或者可与通信处理装置13连接的网络0或在该网络0上传输的传输波或数字信号。
并且,程序在暂时被保存在外部存储装置17之后,既可以从那里装载到存储器12上由CPU11执行,或者也可以不保存在外部存储装置17就直接装载到存储器12上由CPU11执行。此外,通信状态管理DB101、密钥管理DB201或者包DB501是通过存储器12利用外部存储装置17来实现的。
接着,在本第一实施例中,对使用了SIP的通信内容检查支援系统的工作进行说明。另外,用户终端300及服务提供服务器350登录会话管理装置100的工作与通常的使用了SIP的系统的工作(例如注册)相同,所以省略说明。
通过用户终端300及服务提供服务器350登录会话管理装置100,会话管理装置100将用户终端300与服务提供服务器350的SIP-URI和IP地址对应起来保存到存储器12中。此外,通过向会话管理装置100的登录,在用户终端300与服务提供服务器350之间能够建立加密通信,同时密钥管理装置200能够管理在用户终端300与服务提供服务器350之间的加密通信中使用的密钥。并且,检查装置600能够取得加密包及在加密通信中使用的密钥,通过将包解密来检查用户终 端300与服务提供服务器350之间的加密通信的通信内容。
首先,利用图3到图5,说明用户终端300经由会话管理装置100同服务提供服务器350共有加密通信中使用的密钥、并且开始加密通信的一系列的动作时序。
用户终端300的利用者如果看到状态管理功能304的GUI画面而确认用户终端300的内部状态是已登录状态,则对用户终端300指示与服务提供服务器350之间的加密通信处理的开始。接着,用户终端300的SIP客户端功能302制作向服务提供服务器350的通信开始请求2000,向会话管理装置100发送(步骤S101)。在本第一实施例中,SIP客户端功能302例如图10(a)所示,生成由SIP定义的INVITE的请求消息作为通信开始请求2000。
会话管理装置100的消息收发功能105如果从用户终端300接收到通信开始请求2000(步骤S102),则密钥取得功能104制作记载了在通信开始请求2000的From字段中记载的用户终端300的SIP-URI、以及在To字段中记载的服务提供服务器350的SIP-URI的密钥生成请求2200,将生成的密钥生成请求2200向密钥管理装置200发送(步骤S103)。
在本第一实施例中,密钥生成请求2200例如被记述为图12(a)XML消息的genKeyRequest标签。图12(a)仅表示了会话管理装置100向密钥管理装置200发送的密钥生成请求2200中的、在本实施例的说明中必要的部分。作为发送源的用户终端300的SIP-URI被记载在from标签中,作为发送目的地的服务提供服务器350的SIP-URI被记载在to标签中。
密钥管理装置200的密钥收发功能203如果从会话管理装置100接收到密钥生成请求2200(步骤S104),则密钥管理功能202生成密钥信息3000(步骤S105),将其中的密钥ID、密钥、使用的加密算法名称登记到密钥管理DB201中(步骤S106)。
在本第一实施例中,例如图13所示,密钥管理DB201保存具有密钥ID、加密算法、以及密钥的各记录。在密钥管理DB201中,保存着检查装置600为了取得密钥而最低限度需要的信息。另外,在密钥管理DB201内的加密算法的栏中,还保存有密钥的位数及加密算法的版本等。
首先,图13(a)表示在执行步骤S106之前登记有密钥ID为“12345678”、加密算法为AES-256bit的密钥的状况。图13(b)表示通过执行步骤S106,来制作密钥ID为“12345679”、加密算法为AES-256bit的密钥并追加登记到密钥管理DB201中的状况。
回到图3继续说明。密钥收发功能203制作密钥生成响应2300,添加在步骤S105生成的密钥信息3000,向会话管理装置100发送(步骤S107)。
在本第一实施例中,密钥生成响应2300例如图12(b)所示,被记述为XML消息的genKeyResponse标签。图12(b)仅表示了密钥管理装置200向会话管理装置100发送的密钥生成响应2300中的、在本实施例的说明中必要的部分。在status标签要素中,记载有密钥管理装置200已将在用户终端300与服务提供服务器350之间的加密通信中使用的密钥ID、密钥、以及使用的加密算法登记到密钥管理DB201的结果。
在登记成功的情况下,在密钥生成响应2300的status标签要素中记载“OK”,在登记失败的情况下记载“NG”。此外,将作为密钥生成请求的发送源的用户终端300的SIP-URI记载在from标签要素中,将作为发送目的地的服务提供服务器350的SIP-URI记载在to标签要素中。进而,将生成的密钥信息3000用XML形式记载。
密钥信息3000使用XML形式,用sessionKeyInfo标签表现。在密钥信息3000中,例如图12(c)所示,记载有:记载了在用户终端300与服务提供服务器350之间的加密通信中使用的密钥ID的 keyID标签,记载了在数据的加密中使用的算法名称的enc标签,记载了密钥的有效期间的lifetime标签,以及记载了密钥的key标签。另外,在本第一实施例中,记载在lifetime标签中的数值表示以秒为单位的时间。
会话管理装置100的密钥取得功能104如果在步骤S107中接收到从密钥管理装置200发送的密钥生成响应2300(图3的步骤S108),则将密钥信息3000与记载在通信开始请求200的Call-ID字段中的会话ID对应起来保存到存储器12中,将该密钥信息3000记载在图10(a)所示的通信开始请求2000的BODY部(步骤S109)。接着,消息收发功能105将通信开始请求2000向服务提供服务器350发送(步骤S110)。
另外,在步骤S110以后发送或接收的通信开始请求2000,在图10(a)所示的通信开始请求2000的BODY部中记载了以XML形式记述的密钥信息3000。
服务提供服务器350的SIP客户端功能302如果从会话管理装置100接收到通信开始请求2000(步骤S111),则调查接收到的通信开始请求2000的内容,判断与用户终端300的通信可否(步骤S112)。在拒绝与用户终端300之间的加密通信的情况下,服务提供服务器350的SIP客户端功能302制作包含表示拒绝通信的消息的通信开始响应2100,向会话管理装置100返回(步骤S115)。接着,状态管理功能304将拒绝了来自用户终端300的通信的消息输出到时间日志。服务提供服务器350的管理者通过确认事件日志,能够识别出拒绝了与用户终端300之间的加密通信的情况。
另外,在本第一实施例中,在表示拒绝上述通信的消息中,使用由SIP定义的INVITE响应的401 Unauthorized消息。
另一方面,在步骤S112中,在允许与用户终端300之间的加密通信的情况下,服务提供服务器350的密钥取得功能301取得记载在 通信开始请求2000的BODY部中的密钥信息3000(步骤S113),与记载在通信开始请求2000的Call-ID字段中的会话ID对应起来而保存在存储器12中。
接着,SIP客户端功能302制作包含表示允许通信的消息的通信开始响应2100,返回给会话管理装置100(步骤S114)。并且,状态管理功能304使内部状态转移到加密通信状态,并且将开始了与用户终端300之间的加密通信的消息输出到事件日志。服务提供服务器350的管理者通过确认事件日志,能够识别出正常地进行了与用户终端300之间的加密通信开始处理。
另外,在本第一实施例中,在包含表示允许上述通信的消息的通信开始响应2100中,例如图10(b)所示,使用由SIP定义的INVITE响应的200OK消息。
在步骤S114或步骤S115之后,会话管理装置100的消息收发功能105从服务提供服务器350接收通信开始响应2100(步骤S116),调查通信开始响应2100的内容,判断用户终端300对服务提供服务器350的通信开始请求2000是否被允许(步骤S117)。
在通信开始响应2100包含表示拒绝通信的消息的情况下,会话管理装置100的密钥取得功能104从被保存在存储器12中的密钥信息3000中取出密钥ID,制作密钥删除请求2600,将制作的密钥删除请求2600向密钥管理装置200发送(步骤S122)。
在本第一实施例中,例如图12(d)所示,密钥删除请求2600被记述为XML消息的delKeyRequest标志。图12(d)仅表示了会话管理装置100向密钥管理装置200发送的密钥删除请求2600中的、在本实施例的说明中必要的部分。在密钥删除请求2600中,记载有sessionID标签及keyID标签。在sessionID内,记载有在通信开始响应2100中记载的Call-ID字段内的字符串的“@”以前(左侧)的部分。此外,在keyID标签中,原样记载有密钥信息3000的keyID标 签内的信息。
密钥管理装置200的密钥收发功能203如果从会话管理装置100接收到密钥删除请求2600(步骤S123),则密钥管理功能202通过将记载在密钥删除请求2600的keyID标签中的密钥ID从密钥管理DB201中删除,使密钥ID失效(步骤S124)。然后,密钥收发功能203制作密钥删除响应2700,向会话管理装置100发送(步骤S125)。
由此,保存在密钥管理DB201内的信息例如图13(b)到图13(c)那样被更新。另外,在步骤S124中,密钥管理功能202也可以除了密钥ID以外还将对应的加密算法及密钥从密钥管理DB201删除。
另外,在本第一实施例中,密钥删除响应2700被记述为XML消息的delKeyResponse标签。图12(e)仅表示了密钥管理装置200向会话管理装置100发送的密钥删除响应2700中的、在本实施例的说明中必要的部分。在密钥删除响应2700中,记载有sessionID标签及status标签。在status标签中记载有由密钥管理功能202从密钥管理DB201中删除了密钥ID、密钥、加密算法名称的结果。在删除成功的情况下,在status标签中记载“OK”,在删除失败的情况下记载“NG”。
会话管理装置100的密钥取得功能104如果接收到从密钥管理装置200发送的密钥删除响应2700(步骤S126),则将保存在存储器12中的会话ID和密钥信息删除,消息收发功能105制作通信开始响应2100并向用户终端300发送(步骤S127)。
另一方面,在图4的步骤S117之后,在通信开始响应2100包含有允许通信的消息的情况下,会话管理装置100的通信管理功能103以记载在通信开始响应2100的Call-ID字段中的会话ID为关键字,检索通信状态管理DB101的会话ID记录(步骤S118)。另外,在本第一实施例中,通信管理功103从加密通信对象的通信装置接收到允 许加密通信的消息的情况下,判断为已建立了加密通信。
在本第一实施例中,通信状态管理DB101例如图11所示,将密钥ID、表示请求了开始通信的通信装置的通信装置1、作为通信装置1的通信对象的通信装置2、通信的开始时刻、通信的结束时刻、以及加密算法同会话ID对应起来保存。在本第一实施例中,在执行图3的步骤S118之前的时刻,假设在通信状态管理DB101内保存有例如图11(a)所示那样的信息。
通过参照通信状态管理DB101,例如通信的管理者能够掌握进行了怎样的通信,或者能够一元地检验是否使用已决定的加密算法进行了加密通信的通信策略。此外,在本第一实施例中,在通信状态管理DB101中,除了进行加密通信的通信装置的IP地址以外、还将进行了加密通信的时间带和密钥ID对应起来,所以即使在通过DHCP(Dynamic Host Configuration Protocol)等动态地变更了IP地址的分配的情况下,也能够通过确定的时间带中的IP地址来唯一地确定通信装置。
由于在步骤S116中接收的通信开始响应2100的Call-ID字段中记载的会话ID(在本第一实施例中是“f4yh79bn6o”)没有记载在通信状态管理DB101的会话ID记录中,所以通信管理功能103判断用户终端300与服务提供服务器350之间的加密通信是新的通信(步骤S119)。
接着,通信管理功能103将会话ID写入到通信状态管理DB101的会话ID记录中,将记载在保存于存储器12中的密钥信息3000的keyID标签中的密钥ID写入到密钥ID记录中,将记载在通信开始响应2100的From字段中的用户终端300的名称和保存在存储器12中的用户终端300的SIP-URI对应起来写入到通信装置1记录中,将记载在通信开始响应2100的To字段中的服务提供服务器350的名称和保存在存储器12中的服务提供服务器350的SIP-URI对应起来写入 到通信装置2记录中,将当前时刻写入到开始时刻记录中,将记载在密钥信息3000的enc标志中的加密算法名称写入到加密算法记录中(步骤S121)。由此,被保存在通信状态管理DB101中的信息成为例如图11(b)所示那样。
然后,密钥取得功能104如果将保存在存储器12中的密钥信息3000取出并记载到图10(b)所示的通信开始响应2100的BODY部,则删除被保存在存储器12中的会话ID和密钥信息3000。接着,消息收发功能105将由输入装置14制作的通信开始响应2100向用户终端300发送(步骤S127)。
用户终端300的SIP客户端功能302如果从会话管理装置100接收到通信开始响应2100(步骤S128),则确认接收到的通信开始响应2100的内容(步骤S129)。在通信开始响应2100包含表示拒绝通信的消息的情况下,用户终端300的状态管理功能在GUI画面上显示向服务提供服务器350的通信被拒绝的消息。用户终端300的利用者通过确认GUI画面,能够识别与服务提供服务器350之间的加密通信被拒绝的情况。
在通信开始响应2100包含有允许通信的消息的情况下,用户终端300的密钥取得功能301取得被记载在通信开始响应2100的BODY部中的密钥信息3000(步骤S130),与记载在通信开始响应2100的Call-ID字段中的会话ID对应起来保存到存储器12中。接着,状态管理功能304使内部状态转移到加密通信状态,并且在GUI画面上显示与服务提供服务器350之间的通信已开始的信息。用户终端300的利用者通过确认GUI画面,能够识别与服务提供服务器350之间的加密通信开始处理正常地进行的情况。
接着,用户终端300与服务提供服务器350不经由会话管理装置100,就利用取得的密钥信息3000开始加密通信。
以上是在本第一实施例中用户终端300经由会话管理装置100同 服务提供服务器350共有在加密通信中使用的密钥信息3000并开始加密通信的工作时序。
此外,关于在用户终端300与服务提供服务器350之间共有的密钥的有效期限结束、以此为契机进行密钥更新的一系列工作,除了图4的步骤S118之后的动作以外,其它与加密通信开始的工作时序相同。但是,在密钥更新的时序中,服务提供服务器350始终允许加密通信。即,由于在通信开始响应2100中包含有表示允许通信的消息,所以会话管理装置100的通信管理功能103在步骤S117之后执行步骤S118。
接着,通信管理功能103在步骤S118中,从通信状态管理DB101中检索记载有与通信开始响应2100的Call-ID字段相对应的会话ID、并且在结束时刻记录中什么都没有记载的行。在执行步骤S118之前的时刻,由于保存在通信状态管理DB101中的信息成为例如图11(b)那样,所以通信管理功能103检测到存在着在第2行的会话ID记录中记载有检索的会话ID、在结束时刻记录中什么都没有记载的行(步骤S119)。
接着,通信管理功能103将当前时刻输入到通信状态管理DB101的第2行的结束时刻记录中(步骤S120),在成为空白行的第3行中写入会话ID、更新后的密钥ID、用户终端300的名称、服务提供服务器350的名称、开始时刻(当前时刻)以及加密算法的各信息(步骤S121)。由此,保存在通信状态管理DB101中的信息成为例如图11(c)那样。
然后,执行步骤S127以后的处理,用户终端300及服务提供服务器350不经由会话管理装置100就使用所取得的密钥信息300继续加密通信。
以上是在本第一实施例中,在用户终端300与服务提供服务器350之间共有的密钥的有效期限结束、以此为契机进行密钥更新时的 工作时序。另外,对于该时序,也可以从服务提供服务器350向会话管理装置100发送对于用户终端300的通信开始请求2000。在此情况下,仅在图3中将用户终端300与服务提供服务器350的立场调换,除此以外没有时序的变更。此外,也可以不是以密钥的有效期限结束为契机,而是以密钥的有效期限接近为契机。
接着,利用图6说明用户终端300经由会话管理装置100结束与服务提供服务器350之间的加密通信的一系列工作时序。
用户终端300的利用者参照状态管理功能304的GUI画面,确认用户终端300的内部状态是加密通信状态,在结束加密通信的情况下,向用户终端300指示结束与服务提供服务器350之间的加密通信处理。用户终端300的SIP客户端功能302制作向服务提供服务器350的通信结束请求2400,向会话管理装置100发送(步骤S131)。在本第一实施例中,在通信结束请求2400中例如图10(c)所示地利用由SIP定义的BYE请求消息。
会话管理装置100的消息收发功能105如果从用户终端300接收到通信结束请求2400(步骤S132),则将通信结束请求2400发送给服务提供服务器350(步骤S133)。服务提供服务器350的SIP客户端功能302从会话管理装置100接收通信结束请求2400(步骤S134),密钥取得功能301将记载在通信结束请求2400的Call-ID字段中的会话ID及密钥信息3000从存储器12删除(步骤S135)。
接着,SIP客户端功能302制作通信结束响应2500,向会话管理装置100返回(步骤S136)。接着,状态管理功能304使内部状态转移到通信开始前状态,并且向事件日志输出删除了在与用户终端300之间的加密通信中使用的密钥信息3000的信息、以及结束了加密通信的信息。服务提供服务器350的管理者通过确认事件日志,能够识别与用户终端300之间的加密通信结束处理正常进行的情况。
另外,在本第一实施例中,在通信结束响应2500中例如图10(d) 所示地利用由SIP定义的BYE响应消息。
会话管理装置100的消息收发功能105如果从服务提供服务器350接收到通信结束响应2500(图6的步骤S137),则通信管理功能103从通信状态管理DB101中检索记载有在通信结束响应2500的Call-ID字段中记载的会话ID、并且没有记载结束时刻的行。在该时刻,由于被保存在通信状态管理DB101中的信息为例如图11(c)那样,所以通信管理功能103将图11(c)的第3行作为检索对象的行检测出来。
接着,通信管理功能103判断用户终端300与服务提供服务器350之间的加密通信已结束,在通信状态管理DB101的第3行的结束时刻记录中输入当前时刻(步骤S138)。由此,被保存在通信状态管理DB101中的信息成为例如图11(d)那样。然后,消息收发功能105将通信结束响应2500向用户终端300发送(步骤S139)。
用户终端300的SIP客户端功能302如果从会话管理装置100接收到通信结束响应2500(步骤S140),则密钥取得功能301将记载在通信结束请求2400的Call-ID字段中的会话ID以及密钥信息3000从存储器12删除(步骤S141)。接着,状态管理功能304使内部状态转移到通信开始前状态,并且在GUI画面上显示已删除了在与服务提供服务器350之间的加密通信中使用的密钥信息3000的信息、以及结束了加密通信的信息。用户终端300的利用者通过确认GUI画面,能够识别与服务提供服务器350之间的加密通信结束处理正常进行的情况。
以上是用户终端300通过会话管理装置100结束与服务提供服务器350之间的加密通信时的工作时序。另外,关于该时序,也可以从服务提供服务器350经由会话管理装置100向用户终端300发送通信结束请求2400。在此情况下,在图6中仅将用户终端300与服务提供服务器350的立场调换,除此以外时序不变更。此外,在以密钥的 有效期限接近为契机进行密钥更新的情况下,也可以以密钥的有效期限结束为契机执行一系列的工作。
接着,利用图7说明在加密通信开始后,在用户终端300与服务提供服务器350之间发送或接收加密包时的一系列的工作时序。另外,在图7中,仅说明从用户终端300向服务提供服务器350发送加密包的例子。
内部状态为加密通信状态的用户终端300,向服务提供服务器350发送加密包(步骤S142)。带监视功能的路由装置400的包控制功能401接收从用户终端300发送的加密包(步骤S143),并且复制接收到的加密包(步骤S144),分别发送给服务提供服务器350和包监视装置500(步骤S145及S147)。
服务提供服务器350接收在步骤S145中从带监视功能的路由装置400发送的加密包(步骤S146),利用被保存在存储器12中的密钥信息300将加密包解密。
包监视装置500接收在步骤S147中从带监视功能的路由装置400发送的加密包(步骤S148),调查被保存在图15(e)所示的加密包的报头区域中的信息。接着,包监视装置500确认发送源的IP地址和发送目的地的IP地址,保存到在包DB501的包保存场所记录中记载的场所(步骤S149)。
在本第一实施例中,对于进行加密通信的发送源通信装置的IP地址及发送目的地通信装置的IP地址的每个组合,包DB501具有表示在该组合的通信装置彼此间发送的加密包的保存场所的表,包管理功能503基于接收到的加密包的报头信息并参照该表,将该加密包保存到应保存的保存场所中。
例如,在从用户终端300向服务提供服务器350发送的加密包的报头区域,作为发送源通信装置(用户终端300)的IP地址而保存有192.168.10.1,作为发送目的地通信装置(服务提供服务器350) 的IP地址而保存有192.168.20.1的情况下,在图15(a)所示的例子中,包管理功能503将该加密包保存到由/var/audit/packet/0000120060401/识别的目录中。
包管理功能503生成例如用将识别发送源通信装置的IP地址与发送目的地通信装置的IP地址的组合的字符串(例如5位的号码)、和表示日期的字符串进行了组合的识别信息来识别的目录,在发送源与发送目的地的IP地址的组合相同的加密包在同一日被发送的情况下,将该加密包保存在相同目录中。
以上是在用户终端300与服务提供服务器350之间发送或接收加密包时的工作时序。另外,对于该时序,也可以是服务提供服务器350对用户终端300发送加密包。在此情况下,仅在图7中将用户终端300与服务提供服务器350的立场调换,除此以外没有时序的变更。此外,在S149中,包监视装置500如果接收到服务提供服务器350向用户终端300发送的加密包,则将其保存在包DB501的由/var/audit/packet/0000220060401/识别的目录中。
接着,利用图8及图9,说明在加密结束后,检查装置600取得保存在包DB501中的加密包并进行解密,由此检查包的内容的一系列工作时序。
利用检查装置600的检查者为了从会话管理装置100取得想要检查的通信的会话信息,向检查装置600的检查应用604显示的会话信息检索画面3400(参照图16(a))输入检索关键字。检查应用604读入被输入的检索关键字(S150)。
在本第一实施例中,假设检查者作为输入到会话信息检索画面3400的检索关键字,输入了进行加密通信的发送源通信装置的名称、发送目的地通信装置的名称、以及加密包的发送时刻的范围,指定在加密通信中使用的加密算法名称。在图16(a)所示的例子中,指定了名称为“user”的通信装置对名称为“service”的通信装置在2006 年4月1日11:00以后发送的加密数据包。
另外,指定通信装置的名称及通信时刻的范围的各项目也可以是空白。在此情况下,对于没有输入检索关键字的项目,判断为没有条件指定。此外,在所有的检索关键字为空白的情况下,检查应用604以过去进行的所有通信为检查对象来检索会话信息。
检查装置600的会话信息取得功能602将输入到会话信息检索画面3400的检索关键字保存在存储器12中。然后,会话信息取得功能602制作会话信息列表取得请求2800,向会话管理装置100发送(步骤S151)。
在本第一实施例中,会话信息列表取得请求2800被记述为XML消息的getSessionInfoRequest标签。图14(a)仅示出从检查装置600向会话管理装置100发送的会话信息列表取得请求2800中的、在本实施例的说明中必要的部分。在会话信息检索画面3400中,记载了作为检索关键字输入的信息。被输入到会话信息检索画面3400的“发送源通信装置的名称”以及“发送目的地通信装置的名称”的项目中的检索关键字,分别被记载到from标签及to标签中。
此外,被输入到“通信时刻的范围”项目中的检索关键字被记载到start标签和end标签中。此外,被指定的加密算法名称记载在enc标签中。另外,对于在会话信息检索画面3400没有被输入检索关键字的项目,在对应的会话信息列表取得请求2800的标签中记载“null”。
会话管理装置100的会话信息通知功能106如果从检查装置600接收到会话信息列表取得请求2800(步骤S152),则通信管理功能103基于在会话信息列表取得请求2800的from标签中记载的用户终端300的名称、在to标签中记载的服务提供服务器350的名称、在start标签中记载的时刻、在end标签中记载的时刻、以及在enc标签中记载的加密算法名称,在通信状态管理DB101中检索检查对象的 通信的会话信息(步骤S153)。
在此时刻,由于保存在通信状态管理DB101中的信息为例如图11(d)那样,所以通信管理功能103在图11(d)所示的例子中取得被记载在第2行和第3行的各记录的信息。接着,会话信息通知功能106根据通信管理功能103取得的各信息,制作会话信息3100。在本实施例中,会话信息通知功能106制作记载了密钥ID为“12345679”的会话信息3100和密钥ID为“12345680”的会话信息3100的会话信息列表取得响应2900,向检查装置600发送(步骤S154)。
在本第一实施例中,会话信息列表取得响应2900例如被记述为XML消息的getSessionInfoResponse标签。图14(b)仅示出从会话管理装置100向检查装置600发送的会话信息列表取得响应2900中的、在本实施例的说明中必要的部分。会话管理装置100的会话信息检索结果被记载在status标签中。
在检索结果找到了与会话信息列表取得请求2800的条件一致的通信的会话信息的情况下,会话信息通知功能106在status标签中记载“OK”,在没找到的情况下记载“NG”。此外,制作的会话信息3100以例如XML形式被记载。另外,在1个会话中使用多个密钥的情况下,也可以在会话信息列表取得响应2900中记载多个会话信息3100。
会话信息3100例如表现为XML形式的sessionInfo。在会话信息3100中,例如图14(c)所示地记载着:记载了从通信状态管理DB101取得的会话ID的sessionID标签,记载了密钥ID的keyID标签,记载了被保存在会话管理装置100的存储器12中的发送源通信装置的名称的term1标签,记载了该通信装置的IP地址的addr1标签,记载了该通信装置的通信对象的名称的term2标签,记载了该通信对象的IP地址的addr2标签,记载了通信开始时刻的start标签,记载了通 信结束时刻的end标签,以及记载了使用的加密算法名称的enc标签。
检查装置600的会话信息取得功能602如果从会话管理装置100接收到会话信息列表取得响应2900(步骤S155),则检查应用604使内部状态转移到检查前状态。并且,在会话信息列表取得响应2900的status标签中记载有“NG”的情况下,检查应用604提示再检索检查对象的通信的会话信息,并且再显示会话信息检索画面3400。检查者对会话信息检索画面3400再次输入检索关键字,检查应用604再次执行步骤S150。
在会话信息列表取得响应2900的status标签中记载有“OK”的情况下,检查应用604将所取得的会话信息3100与保存在检查装置600的存储器12中的检索关键字进行对照的结果,显示在会话信息检索结果画面3500上。
在本第一实施例中,检查应用604显示例如图16(b)所示那样的会话信息检索结果画面3500。在会话信息检索结果画面3500上同新付与的检查ID一起共同显示着以下信息:记载在会话信息3100的sessionID标签中的会话ID,记载在term1标签中的发送源通信装置的名称,记载在addr1标签中的发送源通信装置的IP地址,记载在term2标签中的发送目的地通信装置的名称,记载在addr2标签中的发送目的地通信装置的IP地址,记载在start标签中的通信开始时刻,记载在end标签中的通信结束时刻,以及记载在enc标签中的加密算法名称。
另外,在显示会话信息检索结果画面3500时,当检索关键字的发送源通信装置的名称与记载在term1标签中的名称一致的情况下,检查应用604在会话信息检索结果画面3500的发送源通信装置的名称的项目中记载被记载tem1标签及addr1标签中的信息。同样,在检索关键字的发送目的地通信装置的名称与记载在term2标签中的名称一致的情况下,检查应用604在会话信息检索结果画面3500的发 送目的地通信装置的名称的栏中,记载被记载在tem2标签及addr2标签中的信息。
此外,在从会话信息列表取得响应2900取得的多个会话信息3100中,在sessionID标签中记载了相同的会话ID的会话信息3100存在两个以上的情况下,检查应用604将其归纳为一个通信会话而显示在会话信息检索结果画面3500上。
检查者参照会话信息检索结果画面3500,确认检查对象的加密通信的会话信息。并且,在检查者想要重新指定检查对象的通信条件的情况下,按下显示在会话信息检索结果画面3500上的再检索按钮。如果再检索按钮被按下,则检查应用604再次显示会话信息检索画面3400,基于由检查者输入的检索关键字,再次执行步骤S150。这样,通过参照会话信息检索结果画面3500,检查者能够更有效地进行检查处理。
另一方面,在检查者实施与被检索的会话信息相对应的通信内容的检查的情况下,从被显示在会话信息检索结果画面3500上的通信的会话信息列表中选择检查对象的通信,按下开始检查按钮。如果检查对象按钮被按下,则检查应用604将所选择的检查对象的通信信息保存在检查装置600的存储器12中,并且密钥取得功能601制作密钥取得请求3200,发送给密钥管理装置200(步骤S156)。
在本第一实施例中,密钥取得请求3200例如图14(d)所示,被记述为XML消息的getKeyRequest标签。图14(d)仅示出从检查装置600向密钥管理装置200发送的会话信息3100中的、在本实施例的说明中必要的部分。检查对象的通信的密钥ID被记载在keyID标签中。另外,也可以在1个密钥取得请求3200中记载多个keyID标签。
密钥管理装置200的密钥收发功能203如果从检查装置600接收到密钥取得请求3200(步骤S157),则密钥管理功能202以记载在密 钥取得请求3200的keyID标签中的密钥ID为关键字,检索密钥管理DB201(步骤S158)。在该时刻,假设保存在密钥管理DB201中的信息为例如图13(d)所示那样。
密钥管理功能202检测出记载在密钥取得请求3200的keyID中的密钥ID是否被登记在密钥管理DB201内的第2行和第3行中。然后,密钥管理功能202取得被记载在第2行的密钥和被记载在第3行的密钥(步骤S159),密钥收发功能203利用所取得的密钥制作密钥取得响应3300,向检查装置600发送(步骤S160)。
在本第一实施例中,密钥取得响应3300例如如图14(e)所示,被记述为XML消息的getKeyResponse标签。图14(e)仅示出从密钥管理装置200向检查装置600发送的密钥取得响应3300中的、在本实施例的说明中必要的部分。密钥收发功能203将从密钥管理DB201取得了检查对象的通信的密钥ID及密钥的结果记载在status标签中。在登记成功的情况下,在status标签中记载“OK”,在登记失败的情况下,记载“NG”。此外,检查对象的通信的密钥ID被记载在keyID标签中,密钥被记载在key标签中。另外,keyID标签及key标签也可以按照检查对象的通信数量而记载多个。
检查装置600的密钥取得功能601如果从密钥管理装置200接收到密钥取得响应3300(步骤S161),则取得被记载在密钥取得响应3300的keyID标签中的密钥ID和被记载在key标签中的密钥(步骤S162),并保存在检查装置600的存储器12中。接着,包取得及解密功能603制作包取得请求3600,向包监视装置500发送(步骤S163)。
在本第一实施例中,包取得请求3600例如图15(b)所示地被记述为XML消息的getPacketRequest标签。图15(b)仅示出从检查装置600向包监视装置500发送的包取得请求3600中的、在本实施例的说明中必要的部分。被保存在检查装置600的存储器12中的检查对象的通信信息中,发送源通信装置的IP地址被记载在from标签中, 发送目的地通信装置的IP地址被记载在to标签中,开始时刻被记载在start标签中,结束时刻被记载在end标签中。另外,也可以是,对于每个检查对象的通信的会话ID,记载多个这些字段。
包监视装置500的包发送功能504如果从检查装置600接收到包取得请求3600(S164),则包管理功能503将记载在包取得请求3600的addr1标签中的用户终端300的IP地址、记载在addr2标签中的服务提供服务器350的IP地址、记载在start标签中的加密通信的开始时刻、以及记载在end标签中的加密通信的结束时刻作为关键字,检索包DB501。在此时刻,假设被保存在包DB501中的信息为例如图15(a)那样。
包管理功能503检测出被记载在包取得请求3600的addr1中的用户终端300的IP地址以及被记载在addr2标签中的服务提供服务器350的IP地址,被记载在第1行。并且,确认从记载在strat标签中的开始时刻到记载在end标签中的结束时刻的范围的日期,与包保存场所的名称的低8位一致。即,在图15(b)中,确认进行了包取得对象的加密通信的日期是“2006年4月1日”,并且在图15(a)的第1行记载的包保存场所的低8位为“20060401”。然后,包管理功能503访问由第1行的包保存场所记录所表示的保存场所,取得从用户终端300向服务提供服务器350发送的加密包(步骤S165)。
接着,包发送功能504制作包取得响应3700,向检查装置600发送(步骤S166)。检查装置600的包取得及解密功能603如果从包监视装置500接收到包取得响应3700(步骤S167),则检查应用604在画面上显示包监视装置500已取得了加密包的信息。并且,检查者看到检查应用604显示的画面,确认已经取得加密包。
在本第一实施例中,包取得响应3700例如图15(c)所示地被记述为XML消息的getPacketResponse标签。图15(c)仅示出从包监视装置500向检查装置600发送的包取得响应3700中的、在本实施 例的说明中必要的部分。将从包DB501取得了加密包的结果记载在status标签中。在取得成功的情况下,在status标签中记载“OK”,在取得失败的情况下,记载“NG”。
然后,包监视装置500的包发送功能504将从用户终端300向服务提供服务器350发送的加密包发送给检查装置600(步骤S168)。接着,检查装置600的包取得及解密功能603从包监视装置500接收加密包(步骤S169),保存到检查装置600内的外部存储装置17中。
包监视装置500的包发送功能504在将加密包全部发送给了检查装置600的情况下,制作包发送结束通知3800,向检查装置600发送(步骤S170)。在本第一实施例中,包发送结束通知3800例如图15(d)所示地被记述为XML消息的endSendingPacketInfo标签。
如果检查装置600的包取得及解密功能603从包监视装置500接收到包发送结束通知3800(步骤S171),则检查应用604使内部状态转移到检查处理实施状态。接着,包取得及解密功能603从检查装置600的存储器12中取出密钥和检查对象的通信信息,将被保存在检查装置600的外部存储装置17中的加密包解密。检查者基于被解密的包,检查用户终端300与服务提供服务器350的通信的通信内容。
在检查结束后,检查者如果对检查应用604指示检查结束,则检查应用604将保存在检查装置600的存储器12中的密钥ID及密钥、以及保存在检查装置600的外部存储装置17中的加密包删除。接着,检查应用604结束检查处理(S172),如果使内部状态转移到等待状态,则显示检查处理已结束。检查者通过确认检查应用604显示的内容,识别检查处理已结束。
以上是在加密通信结束后检查装置600取得被保存在包DB501中的加密包、将取得的加密包解密而检查包的内容的工作时序。另外,在检查通信内容的情况下,检查应用604也可以解析被解密的一系列的包,显示在通信中使用的应用协议的种类(HTTP等)、以及用户 终端300访问的服务提供服务器350的资源名(URL等)这样的通信的一览。
另外,作为本第一实施例的检查的实施方式,不仅仅在加密通信结束后检查该加密通信的内容,还可以检查实时进行的加密通信的内容。在此情况下,在进行了图8的步骤S150到步骤S155的处理后,在检查装置600的检查应用604显示的会话信息检索结果画面3500中包含当前进行的加密通信的会话信息。并且,如果检查者选择当前进行的加密通信,则在进行从步骤S156到步骤S171的处理后,检查装置600的检查应用604进行实时检查的处理,在步骤S172结束检查处理。
此外,在本第一实施例中,不仅仅是密钥管理装置200,用户终端300或服务提供服务器350等进行加密通信的通信装置也可以生成密钥信息。在此情况下,在用户终端300及服务提供服务器350中,新设置密钥生成功能。此时的加密通信开始时及密钥更新时的工作时序如下。
首先,用户终端300的密钥生成功能在步骤S101生成包含用于来将向服务提供服务器350发送的包加密的密钥、该密钥的有效期间、以及加密算法名称的密钥信息3000,并保存到用户终端300的存储器12中,并且在通信开始请求2000的BODY部记载生成的密钥信息3000。接着,SIP客户端功能302将通信开始请求2000向会话管理装置100发送。
会话管理装置100的消息收发功能105如果在步骤S102从用户终端300接收到通信开始请求2000,则密钥取得功能104将记载在通信开始请求2000的BODY部中的密钥信息300保存到会话管理装置100的存储器12。接着,消息收发功能105执行步骤S110。即,消息收发功能105向服务提供服务器350发送通信开始请求2000。
接着,服务提供服务器350执行步骤S111到步骤S115。另外, 在步骤S113中,服务提供服务器350的密钥取得功能301取得被记载在通信开始请求2000的BODY部中的密钥信息3000,将取得的密钥信息3000与被记载在该2000的Call-ID字段中的会话ID对应起来保存到服务提供服务器350的存储器12中。这里保存的密钥在对从用户终端300发送的加密包进行解密时使用,而在向用户终端300发送的包的加密中不使用。
此外,在步骤S114,密钥取得功能301将包含用于将向用户终端300发送的包加密的密钥、密钥的有效期间、以及加密算法名称的密钥信息3000,记载到通信开始响应2100的BODY部。接着,SIP客户端功能302向会话管理装置100发送该通信开始响应2100。
会话管理装置100的消息收发功能105如果在步骤S116从服务提供服务器350接收到通信开始响应2100,则执行步骤S117。在通信开始响应2100包含表示拒绝通信的消息的情况下,消息收发功能105执行步骤S122以后的处理。在通信开始响应2100包含表示允许通信的消息的情况下,消息收发功能105将通信开始响应2100内的密钥信息3000保存到会话管理装置100的存储器12中。接着,密钥取得功能104执行步骤S103。即,密钥取得功能104生成密钥生成请求2200,向密钥管理装置200发送。另外,在此情况下,在密钥生成请求2200中记载从用户终端300发送的密钥信息3000和从服务提供服务器350发送的密钥信息3000。
接着,密钥管理装置200执行步骤S104到步骤S107。另外,在步骤S105,密钥管理功能202分别生成与被记载在密钥生成请求2200中的、从用户终端300发送的密钥信息3000对应的密钥ID、和与从服务提供服务器350发送的密钥信息3000对应的密钥ID。接着,在步骤S106,密钥管理功能202对每个密钥ID将密钥信息3000中的加密算法及密钥登记到密钥管理DB201中。
接着,会话管理装置100的密钥取得功能104如果在步骤S108 从密钥管理装置200接收到密钥生成响应2300,则执行步骤S118到步骤S121。接着,密钥取得功能104将从服务提供服务器350发送的密钥信息3000记载在通信开始响应2100的BODY部中,执行步骤S127。
接着,用户终端300执行步骤S128到步骤S130。另外,在步骤S130,用户终端300的密钥取得功能301取得被记载在通信开始响应2100的BODY部中的密钥信息3000,与被记载在通信开始响应2100的Call-ID字段中的会话ID对应起来保存到用户终端300的存储器12中。这里,被保存的密钥信息3000内的密钥在对从服务提供服务器350发送的加密包进行解密时使用,在向服务提供服务器350发送的包的加密中不使用。
此外,关于加密通信结束的时序,是在步骤S135到步骤S140中,用户终端300及服务提供服务器350的密钥取得功能301分别删除被保存在存储器12中的会话ID及密钥信息3000。
另外,在用户终端300或服务提供服务器350生成在加密通信中使用的密钥的情况下,在上述说明中使接收用的密钥与发送用的密钥不同,但也可以使发送用的密钥和接收用的密钥相同。此情况下,不需要服务提供服务器350制作密钥信息3000并向用户终端300发送的处理、以及密钥管理装置200将由服务提供服务器350制作的密钥信息3000登记到密钥管理DB201的处理。
<第二实施例>
在本第二实施例中,仅将由检查装置600指定的加密通信作为检查对象,包监视装置500仅取得在作为对象的加密通信中发送的加密包。由此,包监视装置500能够减少应保存的加密包的数据量。
图17是例示第二实施例的通信内容检查支援系统的系统结构图。在本第二实施例中,与第一实施例的情况不同,在会话管理装置100、包监视装置500及检查装置600内追加了新的功能。
会话管理装置100新具备登记从检查装置600指定的检查条件的检查条件表102、和基于登记在检查条件表102中的检查条件进行与通信内容的检查有关的控制的检查控制功能107。此外,会话信息通知功能106除了具有在第一实施例中说明的功能以外,还具有在作为检查对象的加密通信开始的情况下将该加密通信的会话信息通知给检查装置600的功能。
包监视装置500新具备仅取得在从检查装置600指定的加密通信中发送的加密包、将除此以外的加密包丢弃的包收集控制功能505。
检查装置600新具备:对会话管理装置100指示检查对象的加密通信条件的检查条件指示功能605,和从会话管理装置100接受到加密通信开始的通知时对包监视装置500指示在该加密通信中发送的加密包的收集的包收集指示功能606。另外,检查应用604除了具有第一实施例中说明的功能以外,还具有设定作为检查对象的加密通信的条件、或者从通信开始时起实时检查与指定的检查条件一致的加密通信的通信内容的功能。
接着,利用图3、图4、图18及图19,对用户终端300经由会话管理装置100同服务提供服务器350共有在加密通信中使用的密钥并开始加密通信时的一系列工作时序进行说明。另外,在本第二实施例中,与第一实施例的情况不同,检查装置600事前对会话管理装置100指定作为检查对象的加密通信的条件。此外,会话管理装置100如果从用户终端300接收到通信开始请求,则调查从此开始的加密通信是否与事前由检查装置600指定的条件一致,在一致的情况下,对检查装置600通知加密通信的开始,检查装置600对包监视装置500指示包收集。
首先,利用检查装置600的检查者在检查应用604显示的检查条件输入画面3900(参照图22(a))中输入与检查对象的加密通信有关的条件。检查应用604读入所输入的检查条件(步骤S201)。
在本第二实施例中,在输入到检查条件输入画面3900的检查条件中,包含检查的时间、进行检查对象的加密通信的发送源通信装置的名称、发送目的地通信装置的名称、加密包的发送时刻的范围、以及在加密通信中使用的加密算法名称。在图22(a)所示的检查条件输入画面3900的例子中,示出从名称为“user”的通信装置向名称为“service”的通信装置发送的、且在通信中使用的加密算法名称是“AES-256bit”的加密包被指定为检查对象的加密包的状况。另外,指定通信装置的名称或检查对象时间带的各项目也可以是空白的。对于没有输入检索关键字的项目,检查应用604作为没有条件指定的项目来处理。
检查装置600的检查条件指示功能605基于输入到检查条件输入画面3900的检查条件来制作检查条件登记请求4000,并发送给会话管理装置10(步骤S202)。
在本第二实施例中,检查条件记录请求4000例如图22(b)所示地被记述为XML消息的regAuditCondRequest标签。图22(b)仅示出从检查装置600向会话管理装置100发送的检查条件登记请求4000中的、在本实施例的说明中必要的部分。在检查条件输入画面3900中,记载有作为检查条件输入的信息。在检查条件输入画面3900的“检查的定时”项目中被选择的条件记载在mode标签中,输入到“发送源通信装置的名称”及“发送目的地通信装置的名称”颈目中的条件分别被记载在from标签及to标签中。
此外,输入到“检查对象时间带”项目中的条件被记载在start标签和end标签中,在“加密算法”项目中被选择的条件记载在enc标签中。另外,关于在检查条件输入画面3900中没有输入检查条件的项目,在对应的检查条件登记请求4000内的标签中记载“null”。此外,在检查条件输入画面3900的“检查的定时”项目中选择了“之后”的情况下,在对应的mode标签中记载“afterward”,在选择了“实 时”的情况下,在对应的mode标签中记载“realtime”。
会话管理装置100的检查控制功能107如果从检查装置600接收到检查条件登记请求4000(步骤S203),则将检查条件登记请求4000的信息登记到检查条件表102中(步骤S204),制作检查条件登记响应4100,向检查装置600发送(步骤S205)。
在本第二实施例中,检查条件登记响应4100例如图22(c)所示,被记述为XML消息的regAuditCond Response标签。图22(c)仅示出从会话管理装置100向检查装置600发送的检查条件登记响应4100中的、在本实施例的说明中必要的部分。将记载在检查条件登记请求4000中的检查条件已被会话管理装置100登记到检查条件表102中的结果,记载在status标签中。在检查条件被正常地登记在检查条件表102的情况下,在status标签中记载“OK”,在没有正常登记的情况下,记载“NG”。
此外,在会话管理装置100的检查条件表102中,例如图23(a)所示,保存有检查的定时、加密包的发送源通信装置的名称、加密包的发送目的地通信装置的名称、进行加密通信的时刻的范围、以及在加密通信中使用的加密算法名称。在图23(a)所示的例子中,表示通过执行步骤S204追加了第2行的检查条件之后的状态。
在进行了以上的一系列处理后,在利用图3说明的步骤S102中,通过会话管理装置100的消息收发功能105从用户终端300接收通信开始请求2000,依次执行在图3或图4中说明的步骤S103到步骤S121的处理。即,会话管理装置100取得由密钥管理装置200生成的密钥信息3000,向服务提供服务器350发送。并且,会话管理装置100如果从服务提供服务器350接收到通信开始响应2100,则更新通信状态管理DB101。另外,更新后的通信状态管理DB101内的信息,假设为例如图11(b)所示的内容。
在进行以上的处理后,会话管理装置100的检查控制功能107通 过判断在步骤S121登记到通信状态管理DB101的会话信息是否与登记在检查条件表102中的条件一致,来判断从此开始的加密通信是否是检查对象(步骤S207)。在判断结果为从此开始的加密通信不是检查对象的情况下,通信内容检查支援系统执行步骤S127以后的处理。
另一方面,在从此开始的加密通信是检查对象、检查条件表102的内容为图23(a)所示那样的状态的情况下,会话管理装置100的会话信息通知功能106根据检查条件表102的第2行的条件和登记在图11(b)所示的通信状态管理DB101的第2行中的信息,制作检查要件定义5000。
在本第二实施例中,检查要件定义5000例如图22(h)所示,被记述为XML形式的defAuditReq标签。在图22(h)所示的例子中,在检查要件定义5000中记载有:记载了检查的定时的mode标签、记载了会话ID的sessionID标签、记载了发送源通信装置的IP地址的from标签、以及记载了发送目的地通信装置的IP地址的to标签。
接着,会话信息通知功能106制作记载有检查要件定义5000的加密通信开始通知4200(步骤S208)。接着,检查控制功能107参照检查要件定义5000的mode标签,判断是否从此开始执行检查(步骤S209)。
在检查要件定义5000的mode标签中记载有“afterward”的情况下,会话管理装置100的会话信息通知功能106将加密通信开始通知4200向检查装置600发送(步骤S211)。另一方面,在检查要件定义5000的mode标签中记载有“realtime”的情况下,会话信息通知功能106将保存在会话管理装置100的存储器12中的密钥信息3000记载到加密通信开始通知4200(步骤S210),执行步骤S211的处理。
在本第二实施例中,加密通信开始通知4200例如图22(d)所示地被记述为XML消息的startCommunicationInfo标签。图22(d)仅示出从会话管理装置100向检查装置600发送的加密通信开始通知 4200中的、在本实施例的说明中必要的部分。在加密通信开始通知4200中,记载有图22(h)所示的检查要件定义5000。在实时地检查加密通信的情况下,还记载有在图12(c)中说明的密钥信息3000。
检查装置600的会话信息取得功能602如果从会话管理装置100接收到加密通信开始通知4200(步骤S212),则将记载在加密通信开始通知4200中的检查要件定义5000保存到检查装置600的存储器12中,参照检查要件定义5000的mode标签,判断是否从此开始实施检查(步骤S213)。
在mode标签中记载有“afterward”的情况下,检查装置600的包收集指示功能606制作包收集开始请求4600,向包监视装置500发送(步骤S215)。另一方面,在mode标签中记载有“realtime”的情况下,检查装置600的信息取得功能602将记载在加密通信开始通知4200中的密钥信息3000和检查要件定义5000对应起来,保存到检查装置600的存储器12中(步骤S214)。接着,检查应用604使内部状态转移到实时检查状态,执行步骤S215所示的处理。
在本第二实施例中,包收集开始请求4600例如图23(c)所示地被记述为XML消息的startGathering PacketRequest标签。图23(c)仅示出从检查装置600向包监视装置500发送的包收集开始请求4600中的、在本实施例的说明中必要的部分。检查要件定义5000的mode标签、sessionID标签、from标签、以及to标签内的信息,分别被原样记载在包收集开始请求4600的mode标签、sessionID标签、from标签、以及to标签中。
包监视装置500的包收集控制功能505如果从检查装置600接收到包收集开始请求4600(步骤S216),则将包收集开始请求4600的信息记载到包DB501的空白行中。此外,包管理功能503制作加密包的保存区域,将保存场所记载到包DB501的包保存场所记录中。并且,包管理功能503在包DB501的状态记录中记载“包收集中”。 接着,包收集控制功能505制作包收集开始响应4700,向检查装置600发送(步骤S217),使内部状态转移到包接收等待状态。
在本第二实施例中,包收集开始响应4700例如图23(d)所示地被记述为XML消息的startGathering PacketResponse标签。图23(d)仅示出了从包监视装置500向检查装置600发送的包收集开始响应4700中的、在本实施例的说明中必要的部分。将作为包的收集对象的加密通信的信息已登记在包DB501中的结果,记载在status标签中。在登记成功的情况下,在status标签中记载“OK”,在失败的情况下,记载“NG”。此外,在包收集开始响应4700中记载有包收集开始请求4600的sessionID标签。
另外,在本第二实施例中,包DB501具有例如图23(b)所示那样的数据构造,与在图15(a)说明的第一实施例的包DB501相比,新追加了“会话ID”、“检查的定时”、以及“状态”的记录。由此,能够对每个会话ID管理由包监视装置500取得的加密包,在检查时能够可靠地取得与从检查装置600发出了请求的会话ID相对应的加密包。
此外,通过参照“检查的定时”记录,包收集控制功能505在实时检查时能够将接收到的加密包直接发送给检查装置600。此外,通过确认状态记录,包监视装置500的包管理功能503能够将接收到的包按照每个会话ID分开保存。
检查装置600的包收集指示功能606如果从包监视装置500接收到包收集开始响应4700(步骤S218),则会话信息取得功能602制作加密通信开始确认响应4300,向会话管理装置100发送(步骤S219)。在本第二实施例中,加密通信开始确认响应4300例如图22(e)所示地被记述为XML消息的ackStartCommunicationInfo标签。此外,在ackStartCommunicationInfo标签中记载有检查要件定义5000的sessionID标签。
会话管理装置100的会话信息通知功能106如果从检查装置600接收到加密通信开始确认响应4300(步骤S220),则密钥取得功能104将保存在会话管理装置100的存储器12中的密钥信息3000记载在图10(b)中说明的通信开始响应2100的BODY部中。然后,消息收发功能105将通信开始响应2100向用户终端300发送,执行在第一实施例中说明的步骤S127以后的处理。
以上是在本第二实施例中,用户终端300经由会话管理装置100同服务提供服务器350共有在加密通信中使用的密钥并开始加密通信时的工作时序。
此外,在用户终端300与服务提供服务器350之间共有的密钥的有效期限结束、并以此为契机进行密钥更新时的一系列工作中,在图18的步骤S202到步骤S212与加密通信开始的工作时序相同。另外,在步骤S212,在检查装置600从会话管理装置100接收到加密通信开始通知4200的情况下,检查装置600的内部状态是等待状态或实时检查状态的任一个。此外,假设此时的通信状态管理DB101中的数据为图11(c)那样。
在步骤S212,如果检查装置600的会话信息取得功能602从会话管理装置100接收到加密通信开始通知4200,则判断在检查装置600的存储器12内是否保存有对应的检查要件定义5000。在存储器12内保存有对应的检查要件定义5000的情况下,会话信息取得功能602比较记载在加密通信开始通知4200中的检查要件定义5000的sessionID标签、和保存在检查装置600的存储器12中的检查要件定义5000的sessionID标签,如果会话ID一致,则判断为一系列的处理是以密钥更新为契机的。
接着,在步骤S213中,在检查要件定义5000的mode标签中记载有“afterward”的情况下,执行步骤S219。另一方面,在检查要件定义5000的mode标签中记载有“realtime”的情况下,在执行步 骤S214后执行步骤S219。
以上是在本第二实施例中,在用户终端300与服务提供服务器350之间共有的密钥的有效期限结束、并以此为契机进行更新时的工作时序。另外,对于该时序,服务提供服务器350还可以经由会话管理装置100向用户终端300发送通信开始请求2000。此外,也可以不以密钥的有效期限结束为契机,而以密钥的有效期限接近为契机来执行一系列的工作。
接着,利用图20说明用户终端300经由会话管理装置100结束与服务提供服务器350之间的加密通信时的一系列的工作时序。
在步骤S132中,如果会话管理装置100的消息收发功能105从用户终端300接收到通信结束请求2400,则依次执行在第一实施例中利用图6说明的步骤S133到步骤S138的处理。即,会话管理装置100将通信结束请求2400向服务提供服务器350发送,如果从服务提供服务器350接收到通信结束响应2500,则更新通信状态管理DB101内的信息。
在进行了以上处理后,会话管理装置100的检查控制功能107在步骤S121通过判断登记在通信状态管理DB101中的信息是否与登记在检查条件表102中的条件一致,来判断结束对象的加密通信是否是检查对象(步骤S221)。
在结束对象的加密通信不是检查对象的情况下(S221的“否”),通信内容检查支援系统执行步骤S139以后的处理。另一方面,在结束对象的加密通信是检查对象的情况下(S221的“是”),会话管理装置100的会话信息通知功能106制作加密通信结束通知4400,向检查装置600发送(步骤S222)。
在本第二实施例中,加密通信结束通知4400例如图22(f)所示地被记述为XML消息的endCommunicationInfo标签。图22(f)仅示出了从会话管理装置100向检查装置600发送的加密通信结束通知 4400中的、在本实施例的说明中必要的部分。在通信结束请求2400的Call-ID字段中记载的会话ID,被记载在加密通信结束通知4400的sessionID标签中。
检查装置600的会话信息取得功能602如果从会话管理装置100接收到加密通信结束通知4400(步骤S223),则制作包收集结束请求4800,向包监视装置500发送(步骤S224)。
在本第二实施例中,包收集结束请求4800例如图23(e)所示地被记述为XML消息的endGatheringPacketRequest标签。图23(e)仅示出从检查装置600向包监视装置500发送的包收集结束请求4800中的、在本实施例的说明中必要的部分。在包收集结束请求4800的sessionID标签中,原样记载有加密通信结束通知4400的sessionID标签的信息。
包监视装置500的包收集控制功能505如果从检查装置600接收到包收集结束请求4800(步骤S225),则结束包的收集。具体而言,在包DB501内的数据处于图23(b)所示的状态的情况下,包收集控制功能505将表示与记载在包收集结束请求4800中的会话ID对应的记录的状态的信息,从“包收集中”改写为“包收集结束”。接着,包收集控制功能505制作包收集结束响应4900,向检查装置600发送(步骤S226),使内部状态转移到等待状态。
在本第二实施例中,包收集结束响应4900例如图23(f)所示地被记述为XML消息的endGatheringPacketResponse标签。图23(f)仅示出了从包监视装置500向检查装置600发送的包收集结束响应4900中的、在本实施例的说明中必要的部分。将由包收集控制功能505进行了包收集的结束处理的结果记载在status标签中。在结束成功的情况下,在status标签中记载“OK”,在失败的情况下记载“NG”。此外,在包收集结束响应4900中,记载有包收集结束请求4800的sessionID标签。
如果检查装置600的包收集指示功能606从包监视装置500接收到包收集结束响应4900(步骤S227),则会话信息取得功能602判断结束对象的加密通信是否实施了实时检查(步骤S228)。在步骤S212之后与会话信息3100一起被保存在检查装置600的存储器12中的、表示检查定时的信息为“afterward”的情况下,会话信息取得功能602判断为没有实施实时检查,制作加密通信结束确认响应4500,向会话管理装置100发送(步骤S2300)。
另一方面,在表示检查定时的信息是“realtime”的情况下,会话信息取得功能602判断为实施了实时检查,将保存在检查装置600的存储器12中的密钥信息3000删除(步骤S229),使内部状态转移到等待状态后,执行步骤S230所示的处理。在本第二实施例中,加密通信结束确认响应4500例如图22(g)所示地被记述为XML消息的ackEndCommunicationInfo标签。此外,在ackEndCommunicationInfo标签中,记载有加密通信结束通知4400的sessionID标签。
会话管理装置100的会话信息通知功能106如果从检查装置600接收到加密通信结束确认响应4500(步骤S231),则消息收发功能105制作通信结束响应2500,向用户终端300发送,并执行在第一实施例中说明的步骤S139以后的处理。
以上是在本第二实施例中用户终端300经由会话管理装置100结束与服务提供服务器350之间的加密通信时的工作时序。另外,对于该时序,与第一实施例同样,也可以通过从服务提供服务器350经由会话管理装置100对用户终端300发送通信结束请求2400,来结束加密通信。
接着,利用图21,说明在用户终端300与服务提供服务器350之间发送或接收加密包时的一系列的工作时序。另外,在图21所示的例子中,以从用户终端300向服务提供服务器350发送了加密包的情况为例进行了说明。此外,在用户终端300与服务提供服务器350 之间的加密通信中,被发送或接收的加密包一定经由带监视功能的路由装置400。
在步骤S148,如果包监视装置500的包接收功能502从带监视功能的路由装置400接收到加密包,则包收集控制功能505判断接收到的加密包是否是检查对象(步骤S232)。
当记载于接收到的加密包的报头中的发送源的IP地址及发送目的地的IP地址的组,在包DB501的哪个行中都没有记载的情况下,或者虽然记载有该组、但在“状态”栏中记载了“包收集结束”的情况下,包收集控制功能505判断加密包不是检查对象(S232的“否”),将接收到的加密包丢弃(步骤S233)。
另一方面,在包收集控制功能505判断加密包是检查对象的情况下(S232的“是”),包收集控制功能505参照包DB501的“检查的定时”栏,判断对接收到的加密包实施的检查是否是实时检查(步骤S234)。
在“检查的定时”栏中记载着“以后”的情况下(S234的“否”),包管理功能503将接收到的加密包保存在包DB501中(S149)。另一方面,在“检查的定时”栏中记载着“实时”的情况下(S234的“是”),包收集控制功能505将接收到的加密包复制(步骤S235),将复制的加密包发送给检查装置600步骤S236),执行步骤S149所示的处理。
检查装置600的包取得及解密功能603如果从包监视装置500接收到加密包(步骤S237),则参照记载在加密包的报头区域(参照图15(e))中的发送源装置的IP地址和发送目的地装置的IP地址,从检查装置600的存储器12中取出与该IP地址的组一致的检查要件定义5000及密钥信息3000。接着,包取得及解密功能603利用取出的密钥信息3000将加密包解密(步骤S238),检查者基于解密后的包,检查用户终端300与服务提供服务器350的通信的通信内容。
以上是在本第二实施例中,加密通信开始之后在用户终端300与 服务提供服务器350之间发送或接收加密包时的工作时序。另外,对于该时序,与第一实施例同样,也可以是服务提供服务器350对用户终端300发送加密包。
另外,在上述第一实施例及第二实施例中,关于用户终端300与会话管理装置100之间的通信、以及服务提供服务器350与会话管理装置100之间的通信,也可以是,将用户终端300及服务提供服务器350的公钥或记载有该公钥的公钥证书保存在会话管理装置100内,将会话管理装置100的公钥或记载有该公钥的公钥证书保存在用户终端300及服务提供服务器350内,利用这些公钥,将各SIP消息用通信对象的公钥加密后发送,或者在各SIP消息的接收后用本装置的私钥解密。由此,能够减少密钥信息3000的泄漏的危险性。
此外,也可以通过在通信内容检查支援系统中设置多个装置,将通信状态管理DB101、密钥管理DB201、以及包DB501分别分割并分别保存在各个装置中,来分散管理与会话信息有关的数据,与密钥、密钥ID、及加密算法名称有关的数据,以及加密包。由此,能够避免因1台数据库故障而使所有的数据消失的危险性。
此外,在将密钥管理DB201中的数据分散保存在多个装置的各个的情况下,也可以通过秘密分散将密钥分割为多个信息。由此,能够减少密钥泄漏的危险性。
此外,本第二实施例的通信内容检查支援系统也可以具有多个包监视装置500及带监视功能的路由装置400。在此情况下,在检查装置600内保存有记载了表示与各个带监视功能的路由装置400连接的包监视装置500的地址的信息的表。作为表示包监视装置500的地址的信息,是例如子网掩码及IP地址等。检查装置600参照该表,向符合条件的所有包监视装置500发出指示。
具体而言,在图19的步骤S215中,检查装置600的包收集指示功能606参照记载有表示包监视装置500的地址的信息的表,判断向 哪个包监视装置500指示包的收集。在判断时,包收集指示功能606基于保存在检查装置600的存储器12中的检查要件定义5000中记载的发送源的IP地址及发送目的地的IP地址,调查与某个通信装置存在于相同网络中的包监视装置500。
例如,如图22(h)所示,由于进行加密通信的用户终端300的IP地址和服务提供服务器350的IP地址分别是192.168.10.1和192.168.20.1,所以,例如IP地址为192.168.20.10、子网掩码为255.255.255.0的包监视装置500,属于与用户终端300相同的网络。通过这样的判断方法,检查装置600向IP地址为192.168.20.10、子网掩码为255.255.255.0的包监视装置500发送包收集开始请求4600。
此外,在第二实施例中,与第一实施例同样,不仅是密钥管理装置200,用户终端300及服务提供服务器350也可以生成密钥信息。在此时的工作时序中,代替密钥管理装置200生成的密钥信息3000,使用用户终端300生成的密钥信息3000与密钥ID的组、以及服务提供服务器350生成的密钥信息3000与密钥ID的组。除此以外与在第一实施例中补充说明的工作时序相同。
在上述中,利用实施方式说明了本发明,但本发明的技术范围并不限于上述实施方式所述的范围。可知能够对上述实施方式施加各种变更或改良。从权利要求书的记载可知,这样的施加了变更或改良的形态也包含在本发明的技术范围中。
Claims (10)
1.一种通信内容检查支援系统,提供在多个通信装置间进行的加密通信的检查所必要的信息,其特征在于,该通信内容检查支援系统具备:
密钥管理单元,每当生成在加密通信中使用的密钥信息时,将生成的密钥信息和识别该密钥信息的密钥ID对应起来保存到密钥管理数据库中;
通信管理单元,每当建立加密通信时,将进行该加密通信的多个通信装置的各自的IP地址和在该加密通信中使用的密钥信息的密钥ID对应起来保存到通信状态管理数据库中;
包取得单元,取得在加密通信中发送的加密包的拷贝,将取得的加密包的拷贝和该加密包的发送源的IP地址及发送目的地的IP地址对应起来保存到包数据库中;
通信信息输出单元,基于来自用户的检索指示并参照上述通信状态管理数据库,确定与由该检索指示确定的、进行加密通信的通信装置的IP地址对应的密钥ID,从上述密钥管理数据库中抽取与确定的密钥ID对应的密钥信息,并且从上述包数据库抽取由该检索指示确定的加密包的拷贝,输出抽取的密钥信息及加密包的拷贝。
2.如权利要求1所述的通信内容检查支援系统,其特征在于,
上述通信管理单元还将表示进行加密通信的时间带的信息和在该加密通信中使用的密钥信息的密钥ID对应起来,保存到通信状态管理数据库中;
上述包取得单元还将取得了加密包的复制的时刻和该加密包的发送源的IP地址及发送目的地的IP地址对应起来保存到包数据库中;
在上述检索指示中包含加密包的发送源的IP地址或发送目的地的IP地址、加密包的拷贝的取得时间带、或者它们的组合。
3.如权利要求1所述的通信内容检查支援系统,其特征在于,
还具备保存为了确定检查对象的加密通信而预先设定的检查条件的检查条件保存单元;
在取得的加密包的拷贝符合上述检查条件的情况下,上述包取得单元将该加密包的拷贝保存到上述包数据库中;
在取得的加密包的拷贝不符合上述检查条件的情况下,上述包取得单元丢弃该加密包。
4.如权利要求3所述的通信内容检查支援系统,其特征在于,
还具备密钥信息通知单元,在上述检查条件中包含有立即执行检查的内容、并且建立了符合该检查条件的加密通信的情况下,该密钥信息通知单元从上述密钥管理数据库取得在该加密通信中使用的密钥信息,向上述通信信息输出单元发送;
在上述检查条件中包含有立即执行检查的内容的情况下,上述包取得单元还将符合该检查条件的加密包的拷贝向上述通信信息输出单元发送;
上述通信信息输出单元输出从上述密钥信息通知单元通知的密钥信息和从上述包取得单元接收的加密包的拷贝。
5.如权利要求3所述的通信内容检查支援系统,其特征在于,
在上述检查条件中包含有加密包的发送源的IP地址、加密包的发送目的地的IP地址、加密包的拷贝的取得时间带、或者它们的组合。
6.一种通信内容检查支援系统,提供在多个通信装置间进行的加密通信的检查所必要的信息,其特征在于,该通信内容检查支援系统具备:
密钥管理单元,每当生成在加密通信中使用的密钥信息时,将生成的密钥信息和识别该密钥信息的密钥ID对应起来保存到密钥管理数据库中;
通信管理单元,在建立了加密通信的情况下,将进行该加密通信的多个通信装置的各自的名称、该多个通信装置的各自的IP地址、以及该加密通信的开始时刻和在该加密通信中使用的密钥信息的密钥ID对应起来,保存到通信状态管理数据库中,
在该加密通信已结束的情况下,将使用了该密钥信息的加密通信的结束时刻和该密钥信息的密钥ID对应起来保存到上述通信状态管理数据库中;
包取得单元,取得在加密通信中发送的加密包的拷贝,将取得的加密包的拷贝和该加密包的发送源的IP地址及发送目的地的IP地址、以及该加密包的拷贝的取得时刻对应起来,保存到包数据库中;
通信信息输出单元,基于来自用户的检索指示并参照上述通信状态管理数据库,确定与由该检索指示确定的、进行加密通信的通信装置的名称、IP地址、加密通信的开始时刻以及结束时刻对应的密钥ID,从上述密钥管理数据库中抽取与确定的密钥ID对应的密钥信息,并且从上述包数据库中抽取由该检索指示确定的加密包的拷贝,输出抽取的密钥信息及加密包的拷贝。
7.如权利要求6所述的通信内容检查支援系统,其特征在于,
在上述检索指示中,包含有加密包的发送源或发送目的地的名称或者IP地址、加密包的拷贝的取得时间带、或者它们的组合。
8.如权利要求6所述的通信内容检查支援系统,其特征在于,
还具备保存为了确定检查对象的加密通信而预先设定的检查条件的检查条件保存单元;
上述包取得单元,在取得的加密包的拷贝符合上述检查条件的情况下,将该加密包的拷贝保存到上述包数据库中,在取得的加密包的拷贝不符合上述检查条件的情况下,丢弃该加密包。
9.如权利要求8所述的通信内容检查支援系统,其特征在于,
还具备密钥信息通知单元,在上述检查条件中包含有立即执行检查的内容、并且建立了符合该检查条件的加密通信的情况下,该密钥信息通知单元从上述密钥管理数据库中取得在该加密通信中使用的密钥信息,向上述通信信息输出单元发送;
在上述检查条件中包含有立即执行检查的内容的情况下,上述包取得单元还将符合该检查条件的加密包的拷贝向上述通信信息输出单元发送;
上述通信信息输出单元输出从上述密钥信息通知单元通知的密钥信息和从上述包取得单元接收的加密包的拷贝。
10.如权利要求8所述的通信内容检查支援系统,其特征在于,
在上述检查条件中,包含有加密包的发送源或发送目的地的名称或IP地址、加密包的拷贝的取得时间带、或者它们的组合。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007053708A JP2008219454A (ja) | 2007-03-05 | 2007-03-05 | 通信内容監査支援システム |
JP053708/2007 | 2007-03-05 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101262331A CN101262331A (zh) | 2008-09-10 |
CN101262331B true CN101262331B (zh) | 2011-06-08 |
Family
ID=39741628
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101694895A Expired - Fee Related CN101262331B (zh) | 2007-03-05 | 2007-11-16 | 通信内容检查支援系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20080219445A1 (zh) |
JP (1) | JP2008219454A (zh) |
CN (1) | CN101262331B (zh) |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004341768A (ja) * | 2003-05-15 | 2004-12-02 | Fujitsu Ltd | 磁気ディスク装置、暗号処理方法及びプログラム |
US8467527B2 (en) | 2008-12-03 | 2013-06-18 | Intel Corporation | Efficient key derivation for end-to-end network security with traffic visibility |
US10354255B2 (en) * | 2008-01-09 | 2019-07-16 | Microsoft Technology Licensing, Llc | Client access license tracking mechanism |
JP5169362B2 (ja) * | 2008-03-24 | 2013-03-27 | 富士通株式会社 | セッション情報複製方法、前記方法を実行する呼制御サーバ及び前記方法のプログラム |
JP5072715B2 (ja) * | 2008-05-28 | 2012-11-14 | 株式会社リコー | 履歴情報記録装置、履歴情報記録方法、プログラム、及び履歴情報記録システム |
US8214442B2 (en) * | 2008-08-05 | 2012-07-03 | International Business Machines Corporation | Facilitating an extended IM session in a secure way |
JP5143796B2 (ja) * | 2009-07-28 | 2013-02-13 | 日本電信電話株式会社 | Ipパケット解析装置 |
US20110028209A1 (en) * | 2009-07-30 | 2011-02-03 | Microsoft Corporation | Controlling content access |
EP2542978A4 (en) * | 2010-03-04 | 2015-08-05 | METHOD AND DEVICE FOR INTEGRATING APPLICATIONS AND CORRESPONDING COMMUNICATION PROCEDURES | |
US8577974B2 (en) * | 2010-07-07 | 2013-11-05 | Oracle International Corporation | Conference server simplifying management of subsequent meetings for participants of a meeting in progress |
US8526606B2 (en) * | 2010-12-20 | 2013-09-03 | GM Global Technology Operations LLC | On-demand secure key generation in a vehicle-to-vehicle communication network |
US9577824B2 (en) * | 2011-09-23 | 2017-02-21 | CSC Holdings, LLC | Delivering a content item from a server to a device |
FR2990817B1 (fr) * | 2012-05-15 | 2014-06-06 | Cassidian Sas | Procede de distribution d’une clef numerique de chiffrement vers des terminaux de telecommunication |
JP2014022808A (ja) * | 2012-07-13 | 2014-02-03 | Panasonic Corp | ゲートウェイ装置、ネットワークシステム及び通信方法 |
US9176838B2 (en) | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
US9043593B2 (en) * | 2013-03-11 | 2015-05-26 | International Business Machines Corporation | Session attribute propagation through secure database server tiers |
CN103634789A (zh) * | 2013-12-17 | 2014-03-12 | 北京网秦天下科技有限公司 | 移动终端和方法 |
US10523619B2 (en) * | 2013-12-20 | 2019-12-31 | Rovio Entertainment Ltd. | Stateless message routing |
US9189641B2 (en) * | 2014-02-06 | 2015-11-17 | Google Inc. | Methods and systems for deleting requested information |
CN104009837B (zh) * | 2014-04-28 | 2017-12-12 | 小米科技有限责任公司 | 密钥更新方法、装置及终端 |
CN104506483A (zh) * | 2014-10-21 | 2015-04-08 | 中兴通讯股份有限公司 | 一种信息加密解密、管理密钥的方法、终端及网络服务器 |
EP3291483B1 (en) * | 2015-04-30 | 2020-01-01 | Nippon Telegraph and Telephone Corporation | Data transmission and reception method and system |
KR102507113B1 (ko) | 2015-07-06 | 2023-03-07 | 삼성전자주식회사 | 암호화된 통신 세션의 모니터링 방법, 장치 및 시스템 |
US11405201B2 (en) * | 2016-11-10 | 2022-08-02 | Brickell Cryptology Llc | Secure transfer of protected application storage keys with change of trusted computing base |
US10855465B2 (en) | 2016-11-10 | 2020-12-01 | Ernest Brickell | Audited use of a cryptographic key |
US11398906B2 (en) * | 2016-11-10 | 2022-07-26 | Brickell Cryptology Llc | Confirming receipt of audit records for audited use of a cryptographic key |
CN108270566A (zh) * | 2016-12-30 | 2018-07-10 | 航天信息股份有限公司 | 一种用于时间戳服务器的数据库表构建方法 |
US10652245B2 (en) | 2017-05-04 | 2020-05-12 | Ernest Brickell | External accessibility for network devices |
US10979404B2 (en) * | 2018-03-29 | 2021-04-13 | Paypal, Inc. | Systems and methods for inspecting communication within an encrypted session |
CN110535748B (zh) * | 2019-09-09 | 2021-03-26 | 北京科东电力控制系统有限责任公司 | 一种vpn隧道模式优化方法及系统 |
CN113420007B (zh) * | 2021-03-31 | 2023-09-26 | 阿里巴巴新加坡控股有限公司 | 数据库访问的审计处理方法、装置及电子设备 |
CN114338141A (zh) * | 2021-12-27 | 2022-04-12 | 中国电信股份有限公司 | 通信密钥处理方法、装置、非易失性存储介质及处理器 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5535276A (en) * | 1994-11-09 | 1996-07-09 | Bell Atlantic Network Services, Inc. | Yaksha, an improved system and method for securing communications using split private key asymmetric cryptography |
CN1442978A (zh) * | 2002-01-28 | 2003-09-17 | 株式会社东芝 | 数据通信系统、加密装置及解密装置 |
CN1860725A (zh) * | 2004-07-20 | 2006-11-08 | 株式会社理光 | 检查装置、通信系统、检查方法、计算机可执行程序产品和计算机可读记录介质 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5557346A (en) * | 1994-08-11 | 1996-09-17 | Trusted Information Systems, Inc. | System and method for key escrow encryption |
US5960086A (en) * | 1995-11-02 | 1999-09-28 | Tri-Strata Security, Inc. | Unified end-to-end security methods and systems for operating on insecure networks |
US5956404A (en) * | 1996-09-30 | 1999-09-21 | Schneier; Bruce | Digital signature with auditing bits |
US6483920B2 (en) * | 1996-12-04 | 2002-11-19 | Bull, S.A. | Key recovery process used for strong encryption of messages |
US5903652A (en) * | 1996-11-25 | 1999-05-11 | Microsoft Corporation | System and apparatus for monitoring secure information in a computer network |
US6286098B1 (en) * | 1998-08-28 | 2001-09-04 | Sap Aktiengesellschaft | System and method for encrypting audit information in network applications |
JP3755394B2 (ja) * | 2000-09-29 | 2006-03-15 | 日本電気株式会社 | 電子商取引監査システム、電子商取引監査方法及び電子商取引監査プログラムを記録した記録媒体 |
US6826600B1 (en) * | 2000-11-02 | 2004-11-30 | Cisco Technology, Inc. | Methods and apparatus for managing objects in a client-server computing system environment |
CA2327196C (en) * | 2000-11-30 | 2005-01-18 | Ibm Canada Limited-Ibm Canada Limitee | System and method for detecting dirty data fields |
US7930757B2 (en) * | 2003-10-31 | 2011-04-19 | Adobe Systems Incorporated | Offline access in a document control system |
US7373509B2 (en) * | 2003-12-31 | 2008-05-13 | Intel Corporation | Multi-authentication for a computing device connecting to a network |
JP3761557B2 (ja) * | 2004-04-08 | 2006-03-29 | 株式会社日立製作所 | 暗号化通信のための鍵配付方法及びシステム |
JP2006279636A (ja) * | 2005-03-30 | 2006-10-12 | Hitachi Ltd | クライアント間通信ログの整合性保証管理システム |
EP1972091A1 (en) * | 2005-08-03 | 2008-09-24 | Intercomputer Corporation | System and method for user identification and authentication |
-
2007
- 2007-03-05 JP JP2007053708A patent/JP2008219454A/ja active Pending
- 2007-11-16 CN CN2007101694895A patent/CN101262331B/zh not_active Expired - Fee Related
- 2007-11-20 US US11/984,676 patent/US20080219445A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5535276A (en) * | 1994-11-09 | 1996-07-09 | Bell Atlantic Network Services, Inc. | Yaksha, an improved system and method for securing communications using split private key asymmetric cryptography |
CN1442978A (zh) * | 2002-01-28 | 2003-09-17 | 株式会社东芝 | 数据通信系统、加密装置及解密装置 |
CN1860725A (zh) * | 2004-07-20 | 2006-11-08 | 株式会社理光 | 检查装置、通信系统、检查方法、计算机可执行程序产品和计算机可读记录介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101262331A (zh) | 2008-09-10 |
US20080219445A1 (en) | 2008-09-11 |
JP2008219454A (ja) | 2008-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101262331B (zh) | 通信内容检查支援系统 | |
US11102008B2 (en) | Trust and identity management systems and methods | |
CN100484125C (zh) | 对地址询问的回答方法和回答装置 | |
KR101038124B1 (ko) | 데이터 전송 제어 방법, 콘텐트 전송 제어 방법, 콘텐트처리 정보 획득 방법 및 콘텐트 전송 시스템 | |
CN100596064C (zh) | 加密通信系统及方法、通信状态管理服务器及管理方法 | |
KR101105121B1 (ko) | 진정문서의 전달, 저장 및 회복에 대한 시스템 및 방법 | |
CN101056263B (zh) | 数据通信方法和系统 | |
US7120793B2 (en) | System and method for electronic certificate revocation | |
US10715502B2 (en) | Systems and methods for automating client-side synchronization of public keys of external contacts | |
US8656490B1 (en) | Safe and secure access to dynamic domain name systems | |
KR20090010168A (ko) | 비동기 메시지의 게시 및 수신 방법, 컴퓨터 시스템 및 컴퓨터 판독가능 매체 | |
CA2403488C (en) | Automatic identity protection system with remote third party monitoring | |
JP2009531916A (ja) | 電子データ通信システム | |
US11038692B2 (en) | Digital data locker system providing enhanced security and protection for data storage and retrieval | |
JP2000349747A (ja) | 公開鍵管理方法 | |
AU2001244426A1 (en) | Automatic identity protection system with remote third party monitoring | |
Allman et al. | A scalable system for sharing internet measurements | |
US20190306110A1 (en) | Experience differentiation | |
JP4472920B2 (ja) | アプリケーション・レベルでの移動端末とインターネット・サーバとの間のトランザクションのエンド・トゥ・エンド・セキュリティを確立する方法及びその方法に使用するプロキシサーバ | |
US20150281187A1 (en) | Key transmitting method and key transmitting system | |
US7412599B1 (en) | Administrative remote notification system and method | |
WO2007125235A2 (fr) | Identification de noeuds dans un reseau | |
Mueller | Let’s Refresh! Efficient and Private OpenPGP Certificate Updates | |
CN116582517A (zh) | 一种访问客户端的方法及装置 | |
CN116257586A (zh) | 一种基于国密的数据同步方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110608 Termination date: 20141116 |
|
EXPY | Termination of patent right or utility model |