CN102118386A - 中继处理装置、中继处理方法 - Google Patents
中继处理装置、中继处理方法 Download PDFInfo
- Publication number
- CN102118386A CN102118386A CN2010106052124A CN201010605212A CN102118386A CN 102118386 A CN102118386 A CN 102118386A CN 2010106052124 A CN2010106052124 A CN 2010106052124A CN 201010605212 A CN201010605212 A CN 201010605212A CN 102118386 A CN102118386 A CN 102118386A
- Authority
- CN
- China
- Prior art keywords
- information
- communication
- communication mode
- relay process
- process device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种中继处理装置和中继处理方法,在对基于加密通信的数据进行中继时,能够检查该数据,并且能够根据合法的证书来确认通信对方的合法性。该对在客户机终端与信息处理装置之间通信的通信数据进行中继的中继处理装置,其特征在于,具备:与客户机终端确立在通信数据的通信中使用的第1SSL通信的第1确立部;与信息处理装置确立在通信数据的通信中使用的第2SSL通信的第2确立部;以及将在由第2确立部确立第2SSL通信时从信息处理装置取得的信息处理装置的公开密钥证书,发送到由第1确立部确立第1SSL通信的客户机终端的发送部。
Description
技术领域
本发明涉及中继处理装置、中继处理方法,特别涉及用于在对基于加密通信的数据进行中继时,能够检查该数据并且根据合法的证书确认通信对方的合法性的技术。
背景技术
近年来,随着经由因特网的信息交换变得活跃,病毒/恶意代码造成的危害、企业等中的顾客信息和营业机密等的信息泄漏引起的社会信用的丧失和赔偿请求造成的金钱损失等信息安全所相关的问题越来越深刻。
针对这样的问题,一般通过以防火墙、杀毒软件为首的软件、信息处理装置来解决。
特别在占据因特网的利用的大半的Web通信中,在企业等组织中,通过防火墙、URL过滤软件、杀毒软件、以及内容过滤软件等系统,实施了访问禁止被认为是业务以外利用的站点、下载数据的病毒检查/驱除、以及被认为是信息泄漏的外部发送数据的访问控制等对策。
这些对策,在利用者的终端装置中实施,并且在设置在组织内的网络与因特网的边界区域中的中继处理系统中对要中继的数据的内容进行检查,从而实现。
但是,关于对Web的通信协议即HTTP等提供加密功能的SSL(Secure Socket Layer,安全套接层)、TLS(Transport LayerSecurity,传输层安全)通信,对在客户机终端(还简称为客户机)与服务器之间通信的数据进行加密。在所述那样的管理安全的中继处理系统中,仅能够对该加密后的数据进行隧道(直通)来进行处理,所以无法检查通信内容,无法在中继处理系统检查、控制以什么样的应用协议连接、发送了什么样的信息、以及下载了什么样的信息。
因此,对于在组织内外的边界区域中作为防御壁而提高安全性的网络安全系统(中继处理系统等),如果无法应用通信内容的详细的检查和访问控制,则造成漏洞。
作为针对这样的问题点的解决对策,对于被称为中间者(man-in-the-middle)手法的方式(中间者方式),使加密通信的内容在中继处理系统中暂时复原为明文之后实施通信数据的检查的技术记载于非专利文献1中。
在通常的代理服务器中,在对SSL(包括TLS)上的HTTP通信(HTTPS)进行中继的情况下,通过将一个(例如客户机与代理服务器之间)传输层联接和另一个(例如代理服务器与Web服务器之间)传输层联接在双方向上桥接(隧道)来实现,此时,在客户机与Web服务器之间确立SSL联接。
相对于此,在中间者方式中,在客户机与代理服务器之间确立1个SSL联接,在另一方的代理服务器与Web服务器之间也确立另一SSL联接,在两个SSL联接之间对应用层数据(HTTP事务数据)进行桥接,从而实现了中继处理。通过采取这种方式,中继处理系统能够暂时对加密了的中继数据(通信数据)进行解密,而能够对解密后的明文数据进行检查等处理。
另外,在专利文献1中,记载了代理服务器以中间者方式为基础在通信时根据Web服务器的主机制作客户机为了进行服务器认证而接收的临时的密码通信中继许可证并提供给客户机的技术。
非专利文献1:Eric Rescorla著《mastering TCP/IP SSL(包括TLS)编》Ohmsha第1版“9.16.2man-in-the-middle Proxy”
专利文献1:日本特开2006-165678号公报
发明内容
但是,在非专利文献1中,客户机侧的SSL联接(客户机终端与代理服务器之间的SSL联接)和Web服务器侧的SSL联接(代理服务器与Web服务器之间的SSL联接)相互独立而不同,所以客户机终端无法取得Web服务器的服务器公开密钥证书,无法对该Web服务器执行SSL(包括TLS)提供的服务器认证。
即,客户机终端将在与中继处理装置(代理服务器)之间的SSL联接中提供的中继处理装置的服务器公开密钥证书取得为Web服务器的证书,所以难以根据合法的证书来确认通信对方的合法性。其原因为,该服务器公开密钥证书是中继处理装置的数据,所以通常被固定化成1个,即使在通信目的地即Web服务器不同的情况下始终对客户机终端提供相同的证书。
另外同样地,Web服务器无法对客户机终端执行SSL(包括TLS)的功能即客户机认证。Web服务器仅能够将在与中继处理装置之间的SSL联接中提供的中继处理装置的客户机公开密钥证书取得为客户机的证书。因此,Web服务器难以根据合法的证书来确认客户机终端的合法性。
SSL(包括TLS)提供的服务器认证功能以及客户机认证功能是用于认证通信对方是否为合法的通信对方的构造,是用于使恶意的第三方无法对服务器、客户机终端进行冒充的功能。例如,如所述以往技术那样,如果服务器认证没有有效地工作,则产生利用者无法发现服务器侧的冒充,而向与本来的意图不同的恶意的服务器发送机密信息、个人信息等等脆弱性。
另外,在所述专利文献1中,记载了代理服务器在通信时根据Web服务器的主机名来制作客户机终端为了进行服务器认证而接收的暂时的密码通信中继许可证,并提供给客户机终端的技术。但是,该密码通信中继许可证也依然与本来的连接目的地即Web服务器具有的合法的服务器公开密钥证书不同。
即,客户机终端将代理服务器作出而提示的与本物不同的服务器公开密钥证书取得为Web服务器的服务器公开密钥证书。因此,在客户机终端中,利用者无法确认或验证Web服务器具有的合法的服务器公开密钥证书,防止Web服务器的冒充的功能无法有效地工作。
另外,在所述专利文献1中,提出了关于客户机认证,也对Web服务器提示代理服务器具备的客户机公开密钥证书这样的方法,但无法对Web服务器提供客户机终端存储的客户机终端的客户机公开密钥证书。因此,即使在信息提供处理装置中也无法实施合法的客户机认证。
即,在独立地确立客户机与代理服务器之间的SSL联接、和Web服务器与代理服务器之间的SSL联接,客户机终端和WEB服务器经由代理服务器进行加密通信的情况下,通过SSL的通信规章,在确立各SSL联接时发送接收的公开密钥证书是确立各SSL联接的各装置之间的公开密钥证书。因此,只要变更了SSL的通信规章,则客户机终端无法根据合法的证书来确认通信对方(客户机终端和Web服务器)的合法性。
另外,例如,代理服务器考虑了对为了在代理服务器中检查而暂时解密的数据追加其他数据后根据SSL的规章进行加密而发送到客户机终端、根据SSL的规章对在代理服务器中存储的WEB服务器的服务器公开密钥证书进行加密而发送到客户机终端等,但为了使其实现,必需扩展SSL的规章(SSL协议)。
其原因为,SSL协议的目的在于提供通信终端之间的通信数据的加密和实体认证,而没有规定用于认证代理服务器那样的通信终端(客户机和Web服务器)以外的通信实体的构造,没有规定交换SSL联接的客户机侧实体的公开密钥证书(客户机终端的公开密钥证书)和服务器侧实体的公开密钥证书(Web服务器的公开密钥证书)以外的公开密钥证书的方法。另外,在以SSL通信对数据进行封装化的HTTPS协议中,也没有规定用于在确立代理服务器与Web服务器的SSL通信时,代理服务器对客户机终端发送代理服务器取得的Web服务器的服务器公开密钥证书的信息的方法。
因此,以往,在不变更加密通信的各通信规章,而对基于加密通信的数据进行中继时,使该数据成为能够检查,并根据合法的证书来确认通信对方的合法性是困难的。
本发明是为了解决所述课题而完成的,其目的在于提供一种在对基于加密通信的数据进行中继时,能够检查该数据,并且根据合法的证书来确认通信对方的合法性的构造。
本发明提供一种中继处理装置,对在客户机终端与信息处理装置之间通信的通信数据进行中继,其特征在于,具备:第1确立单元,与所述客户机终端确立在所述通信数据的通信中使用的第1SSL通信;第2确立单元,与所述信息处理装置确立在所述通信数据的通信中使用的第2SSL通信;以及发送单元,将在由所述第2确立单元确立第2SSL通信时从所述信息处理装置取得的所述信息处理装置的公开密钥证书,发送到由所述第1确立单元确立第1SSL通信的所述客户机终端。
另外,本发明提供一种对在客户机终端与信息处理装置之间通信的通信数据进行中继的中继处理装置的中继处理方法,其特征在于,具备:第1确立工序,所述中继处理装置的第1确立单元与所述客户机终端确立在所述通信数据的通信中使用的第1SSL通信;第2确立工序,所述中继处理装置的所述第2确立单元与所述信息处理装置确立在所述通信数据的通信中使用的第2SSL通信;以及发送工序,所述中继处理装置的发送单元将在所述第2确立工序中确立第2SSL通信时从所述信息处理装置取得的所述信息处理装置的公开密钥证书,发送到通过所述第1确立工序确立第1SSL通信的所述客户机终端。
根据本发明,在对基于加密通信的数据进行中继时,能够检查该数据,并且根据合法的证书来确认通信对方的合法性。
附图说明
图1是示出本发明的实施方式中的中继处理系统的结构的图。
图2是示出本发明的实施方式中的各种终端的硬件结构的图。
图3是示出本发明的实施方式中的中继处理装置的基本处理流程的图。
图4是示出本发明的实施方式中的利用者终端和中继处理装置的通信方式决定处理流程的图。
图5是示出本发明的实施方式中的利用者终端和中继处理装置的服务器证书验证处理流程的图。
图6是示出本发明的实施方式中的利用者终端和中继处理装置的客户机认证处理流程的图。
图7是示出本发明的实施方式中的中继处理装置的AP数据中继处理流程的图。
图8是示出本发明的实施方式中的中继处理装置的通信方式决定表的例子的图。
图9是示出本发明的实施方式中的中继处理装置的代理通信方式高速缓存表的例子的图。
图10是示出本发明的实施方式中的中继处理装置的代理通信会话管理表的例子的图。
图11是示出本发明的实施方式中的新制作了中继处理系统的SSL会话的情况的通信处理流程的例子的图。
图12是示出本发明的实施方式中的进行了中继处理系统的SSL会话的再利用的情况的通信处理流程的例子的图。
图13是示出本发明的实施方式中的通信方式选择对话框的例子的图。
图14是示出本发明的实施方式中的通信方式选择对话框的例子的图。
图15是示出本发明的实施方式中的服务器公开密钥证书确认对话框的图。
图16是示出本发明的实施方式中的利用者终端的客户机通信方式高速缓存表的例子的图。
图17是示出本发明的实施方式中的利用者终端的服务器证书高速缓存表的例子的图。
图18是示出本发明的实施方式中的利用者终端的阅览处理部的显示画面的例子的图。
图19是本发明中的中继处理装置的功能框图。
图20是本发明中的中继处理装置的功能框图。
(符号说明)
110:利用者终端;111:阅览处理部;112:扩展功能处理部;113:密码密钥保存部;114:管理表保存部;115:CA证书保存部;120:中继处理装置;121:客户机通信部;122:服务器通信部;123:客户机侧密码处理部;124:代理通信控制部;125:服务器侧密码处理部;126:代理用密码密钥保存部;127:服务器密码密钥保存部;128:控制处理通信部;129:管理表保存部;130:附加功能处理部;131:CA证书保存部;150:信息提供处理装置;151:服务器处理部;152:服务器密码密钥保存部;161:代理线路;162:控制线路;163:服务器线路。
具体实施方式
以下,参照附图,根据优选的实施方式,详细说明本发明。
<第1实施方式>
(系统的结构和管理表)
图1是示出本发明的实施方式中的中继处理系统的结构的图。
另外,在图1的网络上连接的各种终端和各种装置的结构是一个例子,当然根据用途、目的而有各种结构例。
中继处理系统包括利用者终端110、中继处理装置120以及信息提供处理装置150。利用者终端110与中继处理装置120、中继处理装置120与信息提供处理装置150分别经由网络相互可通信地连接。
利用者终端110是本发明的客户机终端的应用例。另外,中继处理装置120是本发明的中继处理装置的应用例。另外,信息提供处理装置150是本发明的信息处理装置的应用例。
利用者终端110是用于取得并显示信息提供处理装置150提供的内容数据的信息处理装置。利用者终端110具备阅览处理部111、扩展功能处理部112、密码密钥保存部113、管理表保存部114以及CA证书保存部115。
阅览处理部111是相当于一般被称为Web浏览器的HTTP协议、HTTPS协议的客户机程序的功能处理部。阅览处理部111具备受理来自利用者的指示,经由中继处理装置120向信息提供处理装置150发送通信要求消息,接收从信息提供处理装置150对该通信要求消息应答的通信应答消息,将对该通信应答消息进行整形而得到的数据显示在利用者终端110的CRT210等上的功能。此时,将在阅览处理部111与中继处理装置120的客户机通信部121之间开设的通信联接设为代理线路161。
此处,代理线路161(第1SSL通信)是基于在利用者终端110与中继处理装置120之间确立的SSL的加密通信,并不表示物理的线路,而表示进行加密通信的假想的(逻辑的)通信。代理线路161(第1SSL通信)是与后述控制通信(控制线路162)不同的通信。
密码密钥保存部113是存储与利用者终端的公开密钥证书对应的秘密密钥的存储区域。
阅览处理部111具备如下功能:在与信息提供处理装置150之间通过HTTPS进行通信的情况、并且从信息提供处理装置150要求了SSL(包括TLS)的客户机认证的情况下,使用密码密钥保存部113中存储的公开密钥证书和秘密密钥对客户机认证要求进行应答。
扩展功能处理部112与阅览处理部111相互连接,具备对阅览处理部111的通信处理执行中断处理的功能。另外,扩展功能处理部112能够与中继处理装置120的控制处理通信部128进行通信,具备:在HTTPS通信要求事件产生时,向中继处理装置询问该HTTPS通信的通信方式的功能;向利用者提示所询问的结果信息而谋求确认或者选择的功能;以及将所述确认或者选择的结果的信息发送到中继处理装置的功能。进而,扩展功能处理部112具备:在HTTPS通信时从控制处理通信部128取得通信目的地即信息提供处理装置150具有的服务器公开密钥证书的功能;以及对该服务器公开密钥证书进行验证的功能。进而,扩展功能处理部112具备:在HTTPS通信时通信目的地即信息提供处理装置150要求客户机认证的情况下,将密码密钥保存部113中存储的客户机公开密钥证书信息发送到控制处理通信部128的功能;接收从控制处理通信部128发送的签名对象数据(消息摘要,message digest),对该签名对象数据通过密码密钥保存部113中存储的客户机秘密密钥进行签名的功能;以及将该签名数据发送到控制处理通信部128的功能。将在扩展功能处理部112与中继处理装置120的控制处理通信部128之间开设(确立)的通信联接设为控制线路162。
另外,控制线路162是在利用者终端110与中继处理装置120之间,作为基于SSL的、加密通信的线路而开设(确立)的。由此,利用者终端110能够防止中继处理装置120的冒充。
即,中继处理装置120与利用者终端110之间确立控制通信(控制线路162)(通信确立单元)。此处,控制通信(控制线路162)是在利用者终端110与中继处理装置120之间确立的、基于SSL实现的加密通信的联接,并不表示物理的线路,而表示进行加密通信的假想的(逻辑的)通信路径。
中继处理装置120通过一般的SSL通信的确立的步骤来进行控制通信(控制线路162)的确立。
管理表保存部114是存储客户机通信方式高速缓存表和服务器证书高速缓存表的存储区域。
(客户机通信方式高速缓存表的说明)
客户机通信方式高速缓存表是具有在图16中示出一个例子那样的数据结构的存储区域。各行的记录是用于在利用者终端110的阅览处理部111决定了与特定的信息提供处理装置150的通信方式时保持该通信方式的记录。记录具有服务器标识符栏、决定日期时间栏、以及通信方式栏。
服务器标识符栏是保存用于识别成为通信目的地的信息提供处理装置150的信息提供处理装置150的主机名和TCP端口号的组合的位置。决定日期时间栏是保存决定了通信方式的日期时间信息的位置。通信方式栏是保存所决定的通信方式的位置。
作为通信方式栏中保存的值,有“直接”和“代理”这两种。“直接”是意味着在中继处理装置120中,以不使HTTPS通信的SSL联接成为终端而在通常代理服务器中进行的方式执行隧道处理的值。“代理”是意味着在中继处理装置120中,以使HTTPS通信的SSL联接成为终端的中间者方式进行处理的值。
对于客户机通信方式高速缓存表(图16)保持的各记录,根据其决定日期时间的信息,清除(删除)高速缓存。例如,由利用者终端110定期地检查各记录,在决定日期时间栏的值表示出比检查日期时间早适当地决定的有效时间(例如6个小时)的日期时间的情况下,进行删除。另外,在与利用者终端110的阅览处理部111相当的浏览器进程结束时,删除表(图16)的所有记录。
在有向信息提供处理装置150的访问要求时,利用者终端110参照客户机通信方式高速缓存表,如果能够实现和与该信息提供处理装置150的通信方式相关的信息的再利用,则无需使利用者每次都进行通信方式的确认或者选择的处理就能够开始通信。
(服务器证书高速缓存表的说明)
服务器证书高速缓存表是具有在图17中示出一个例子那样的数据结构的存储区域。各行的记录是用于保持在利用者终端110与具有以代理方式进行访问的情况的特定的信息提供处理装置150进行通信时使用的SSL会话ID(也简称为会话ID)和服务器公开密钥证书的记录。记录具有服务器标识符栏、最终利用日期时间栏、会话ID栏、以及服务器证书栏。
服务器标识符栏是保存用于识别进行通信的信息提供处理装置150的信息、信息提供处理装置150的主机名和TCP端口号的组合的位置。最终利用日期时间栏是保存实施了由该记录表示的通信处理的日期时间信息的位置。会话ID栏是保存在所述通信中从中继处理装置120通知的SSL会话ID的值的位置。服务器证书栏是保存在所述通信中从中继处理装置120取得的信息提供处理装置150的服务器公开密钥证书的位置。
服务器证书高速缓存表保持的各记录被定期地检查,通常与浏览器等软件即阅览处理部111管理的SSL会话高速缓存信息(浏览器为了SSL会话再次开始处理而高速缓存的信息)进行对照处理,在SSL会话高速缓存信息中不存在相同会话ID的情况下,删除该记录。
在利用者终端110对信息提供处理装置150经由中继处理装置120以代理方式进行访问时、并且在利用者终端110与中继处理装置120的SSL会话中利用了会话再次开始功能的情况下,利用者终端110参照服务器证书高速缓存表,从而无需对于由操作利用者终端110的利用者提出的、用于确认所述信息提供处理装置150的服务器公开密钥证书的内容显示要求,每次都访问中继处理装置120,而能够使用服务器证书高速缓存表的服务器证书栏的值来进行显示处理。即,利用者终端110无需访问中继处理装置120就能够显示服务器证书高速缓存表的服务器证书栏的值。
CA证书保存部115是存储在对信息提供处理装置150的服务器公开密钥证书进行验证时使用的利用者终端110信赖的CA证书的存储区域。
中继处理装置120是具备一般被称为代理服务器的程序或者装置所具有的功能的信息处理装置。中继处理装置120能够接收从利用者终端110发送的通信要求消息,向发送目的地即信息提供处理装置150中继该通信要求消息,将从该信息提供处理装置150应答的通信应答消息中继到该利用者终端110。
中继处理装置120包括客户机通信部121、服务器通信部122、客户机侧密码处理部123、通信控制部124、服务器侧密码处理部125、代理用密码密钥保存部126、服务器密码密钥保存部127、控制处理通信部128、管理表保存部129、附加功能处理部130、以及CA证书保存部131。
客户机通信部121具备从利用者终端110的阅览处理部111受理连接要求,接收通信要求消息,将通信应答消息发送到阅览处理部111的功能。
服务器通信部122具备连接到信息提供处理装置150的服务器处理部151,发送通信要求消息,从服务器处理部151接收通信应答消息的功能。
客户机侧密码处理部123具备如下功能:在中继处理装置120中的通信方式是代理方式的情况下,在与利用者终端110的阅览处理部111的通信线路(代理线路161)中,进行用于确立SSL(包括TLS)的服务器侧处理。
通信控制部124具有在客户机通信部121进行的处理、客户机侧密码处理部123进行的处理、附加功能处理部130进行的处理、服务器通信部122进行的处理、服务器侧密码处理部125进行的处理、以及控制处理通信部128进行的处理之间进行同步控制处理的功能。另外,通信控制部124具备:在该同步控制处理中将关联的信息存储到管理表保存部129中的功能;以及参照管理表保存部129的功能。
服务器侧密码处理部125具备如下功能:在中继处理装置120中的通信方式是代理方式的情况下,在与信息提供处理装置150的服务器处理部151的通信线路(服务器线路163)中,进行SSL(包括TLS)联接的客户机侧处理。
此处,服务器线路163(第2SSL通信)是在中继处理装置120与信息提供处理装置150之间确立的、基于SSL实现的加密通信,并不表示物理的线路,而是进行加密通信的假想的(逻辑的)通信。
在图1的例子中,经由1个物理的通信线路,利用者终端110与中继处理装置120相互可通信地连接。另外,在图1的例子中,中继处理装置120与信息提供处理装置150相互可通信地连接。
代理用密码密钥保存部126是在中继处理装置120中的通信方式是代理方式的情况下,存储所述代理线路161上的SSL(包括TLS)握手处理中利用的服务器公开密钥证书和秘密密钥的存储区域。
控制处理通信部128是具备作为HTTPS服务器的功能的功能处理部,具备以下功能:在与利用者终端110的扩展功能处理部112之间开设安全的通信联接(所述控制线路162),接收利用者终端110的扩展功能处理部112发送的通信要求消息的功能;向利用者终端110的扩展功能处理部112发送通信应答消息的功能;对于来自利用者终端110的扩展功能处理部112的与特定的通信目的地相关的通信方式的询问,根据管理表保存部129的通信方式决定表的信息回答通信方式的功能;从利用者终端110的扩展功能处理部112接收与特定的通信目的地相关的通信方式的决定信息,将该决定信息保存到管理表保存部129的代理通信方式高速缓存表中的功能;向利用者终端110的扩展功能处理部112发送信息提供处理装置150的服务器公开密钥证书的功能;从利用者终端110的扩展功能处理部112接收服务器公开密钥证书的验证结果的功能;向通信控制部124通知验证结果的功能;向利用者终端110的扩展功能处理部112发送客户机认证要求信息的功能;从利用者终端110的扩展功能处理部112接收客户机公开密钥证书的功能;从通信控制部124接收签名对象数据的功能;向利用者终端110的扩展功能处理部112发送所述签名对象数据的功能;从利用者终端110的扩展功能处理部112接收签名数据的功能;以及向通信控制部124通知所述签名数据的功能。
服务器密码密钥保存部127是存储所述控制线路162上的SSL(包括TLS)握手处理中利用的服务器公开密钥证书和秘密密钥的存储区域。
管理表保存部129是用于存储通信方式决定表、代理通信方式高速缓存表、以及代理通信会话管理表的存储区域。
(通信方式决定表的说明)
通信方式决定表(图8)是用于决定在利用代理线路161进行的HTTPS通信之前,如何中继该HTTPS通信(通信方式)的表。通信方式决定表的记录包括服务器条件、客户机条件、以及通信方式。图8示出通信方式决定表的例子。通信方式决定表(图8)是通信方式设定信息的应用例。
服务器条件包括域名栏和类别栏。域名栏是保存通信中的信息提供处理装置150的主机名的字符串条件的位置。“*”表示通配符字符串,与任意的字符串匹配。类别栏是保存通信中的信息提供处理装置150的类别的位置。类别是指,任意的信息提供处理装置150与其提供的内容对应而属于的领域。中继处理装置120按照从利用者终端110发送的加密通信的要求事件中包含的URL(包含主机名),判别该URL的类别。作为例子,可以考虑中继处理装置120预先配备表示主机名与类别的对应的对应表,参照该对应表,决定(判定)与从利用者终端110输入的该URL的主机名对应的类别等。
此处,服务器条件是表示从利用者终端110发送的数据的中继目的地的信息提供处理装置150的中继目的地信息的应用例。
客户机条件包括地址栏和认证组栏。地址栏是保存通信中的利用者终端的IP地址条件的位置。除了IP地址的个别指定以外,还可以通过通配符字符串、网络地址表现来表示多个地址。认证组栏是保存利用者终端110的利用者所属的组名的位置。
通信方式栏是保存确立被许可的通信方式的位置。即,在通信方式栏中,为了使数据的中继成为可能,而设定了确立被许可的通信方式(通信方式信息)。
作为通信方式栏中保存的值,有“直接”(直接通信方式)、“代理”(代理通信方式)、以及“选择”这三种。“直接”是指示在中继处理装置120中以不使HTTPS通信的SSL(包括TLS)联接成为终端而在通常代理服务器中进行的方式进行隧道处理的值。“代理”是指示在中继处理装置120中使HTTPS通信的SSL联接成为终端的中间者方式的值。“选择”(选择信息)是指示使利用者终端110的利用者选择直接方式或者代理方式的值。
(代理通信方式高速缓存表的说明)
代理通信方式高速缓存表(图9)是用于存储对特定的HTTPS通信应用的通信方式的表。代理通信方式高速缓存表的记录包括客户机标识符栏、服务器标识符栏、有效期限栏、以及通信方式栏。图9示出代理通信方式高速缓存表的例子。
客户机标识符栏是作为用于识别利用者终端110的阅览处理部111的信息(确定利用者终端的客户机确定信息),保存组合了利用者终端110的IP地址和阅览处理部111的标识符(阅览处理部标识符)的信息的位置。阅览处理部标识符假设例如使用进程ID。服务器标识符栏是作为用于识别信息提供处理装置150的信息,保存组合了信息提供处理装置150的主机名和TCP端口号的信息的位置。有效期限栏是保存对象记录的有效期限信息的位置。通信方式栏是保存所决定的通信方式的位置。
通过中继处理装置120定期地检查代理通信方式高速缓存表保持的各记录,在有效期限栏的日期时间比检查日期时间早的情况下,删除。
(代理通信会话管理表的说明)
代理通信会话管理表(图10)是用于存储与以代理方式中继的通信相关的会话信息的表。代理通信会话管理表的记录包括客户机标识符栏、服务器标识符栏、最终利用日期时间栏、客户机侧握手信息(会话ID-C栏、公共密钥及其他-C栏、客户机证书栏)、服务器侧握手信息(会话ID-S栏、公共密钥及其他-S栏、服务器证书栏、客户机认证要求栏)。图10示出代理通信会话管理表的例子。
客户机标识符栏是作为用于识别利用者终端110的阅览处理部111的信息而保存组合了利用者终端110的IP地址和阅览处理部111的标识符(阅览处理部标识符)的信息的位置。服务器标识符栏是作为用于识别信息提供处理装置150的信息而保存组合了信息提供处理装置150的主机名和TCP端口号的信息的位置。最终利用日期时间栏是保存进行由对象记录表示的通信的日期时间信息的位置。会话ID-C栏是保存代理线路161上的SSL会话的ID的位置。公共密钥及其他-C栏是保存与在代理线路161上的SSL会话的握手处理中交换的公共密钥和密码程序组相关的信息的位置。客户机证书栏是保存从利用者终端110取得的客户机公开密钥证书的位置。会话ID-S栏是保存服务器线路163上的SSL会话的ID的位置。公共密钥及其他-S栏是保存与在服务器线路163上的SSL会话的握手处理中交换的公共密钥和密码程序组相关的信息的位置。服务器证书栏是保存在服务器线路163上的SSL会话的握手处理中取得的信息提供处理装置150的服务器公开密钥证书的位置。客户机认证要求栏是保存在服务器线路163上的SSL会话的握手处理中取得的来自信息提供处理装置150的客户机认证要求信息的位置。
通过中继处理装置120定期地检查代理通信会话管理表保持的各记录,在表示出最终利用日期时间栏的值比检查日期时间早适当地决定的有效时间(例如12个小时)的日期时间的情况下进行删除。
附加功能处理部130具备如下功能:不论中继处理对象的通信是HTTP还是HTTPS,在中继方式是代理方式的情况下,对从利用者终端110接收的通信要求消息和从信息提供处理装置150接收的通信应答消息,进行附加功能处理。附加功能处理例如对应于在代理服务器中一般实施的高速缓存功能、在安全网关等中实施的内容过滤功能、病毒检查/驱除功能、以及访问控制功能等。这些功能通常在如HTTPS通信那样对通信消息进行加密的情况下无法应用(实施),但即使如本实施例所示的代理方式那样是HTTPS通信,如果在中继处理装置中使用对加密通信消息进行明文化的手法,则能够应用(实施)。
CA证书保存部131是在对信息提供处理装置150的服务器公开密钥证书进行验证时使用的、存储中继处理装置120信赖的CA证书的存储区域。
信息提供处理装置150是接收从利用者终端110发送的通信要求消息,并根据该通信要求消息的内容,应答通信应答消息的信息处理装置。信息提供处理装置150具备服务器处理部151和服务器密码密钥保存部152。
服务器处理部151是与一般已知为Web服务器的程序相当的功能处理部。服务器处理部151具备HTTP协议和HTTPS协议的服务器功能。
服务器密码密钥保存部152是用于存储在服务器处理部151通过HTTPS进行加密通信的情况下使用的服务器公开密钥证书和秘密密钥的存储区域。
接下来,使用图2,说明图1的利用者终端110、中继处理装置120、以及信息提供处理装置150的各种终端的硬件结构。利用者终端110、中继处理装置120、以及信息提供处理装置150是一般已知的信息处理装置。
图2是示出本发明的实施方式中的各种终端的硬件结构的图。
CPU201总体上控制与系统总线204连接的各设备、控制器。
另外,在ROM202或者外部存储器211中,存储了CPU201的控制程序即BIOS(Basic Input/Output System,基础输入输出系统)、操作系统程序(以下,OS)、以及为了实现各服务器或者各PC执行的功能而所需的后述的各种程序等。RAM203作为CPU201的主存储器、工作区域等发挥功能。
CPU201通过在执行处理时将所需的程序等载入到RAM203中并执行程序而实现各种动作。
另外,输入控制器(输入C)205对来自键盘209、未图示的鼠标等指针设备的输入进行控制。
视频控制器(VC)206对CRT显示器(CRT)210等显示器的显示进行控制。显示器不限于CRT,而也可以是液晶显示器。根据需要由管理者使用。与本发明没有直接关系。
存储器控制器(MC)207控制向存储Boot程序、浏览器软件、各种应用、字体数据、用户文件、编辑文件、以及各种数据等的硬盘(HD)、软盘(FD)或者经由适配器连接到PCMCIA卡槽的CompactFlash存储器等外部存储器211的访问。
通信I/F控制器(通信I/FC)208经由网络,与外部机器进行连接/通信,执行网络中的通信控制处理。例如,能够实现使用TCP/IP的因特网通信等。
另外,CPU201通过例如向RAM203内的显示信息用区域执行轮廓字体的展开(点阵化)处理,能够实现CRT210上的显示。另外,CPU201能够实现CRT210上的未图示的利用鼠标光标等的用户指示。
用于实现本发明的程序记录在外部存储器211中,根据需要载入到RAM203中,从而由CPU201执行。进而,本发明的程序使用的所述的密码密钥保存部113、管理表保存部114、CA证书保存部115、代理用密码密钥保存部126、服务器密码密钥保存部127、管理表保存部129、CA证书保存部131、以及服务器密码密钥保存部152保存在外部存储器211中。
(通过代理方式对加密通信进行中继时的通信消息交换流程)
接下来,使用图11,说明通过代理方式对经由加密通信而通信的数据进行中继的情况的、利用者终端110、中继处理装置120、以及信息提供处理装置150之间的通信消息的交换流程的1个情形。
图11是示出本发明的实施方式中的通过代理方式对经由加密通信而通信的数据进行中继的情况的、利用者终端110、中继处理装置120、以及信息提供处理装置150之间的通信消息的交换流程的例子的图。
另外,图11中的步骤S1150到步骤S1154中示出的用虚线包围的通信是经由控制线路162进行的。除此以外的利用者终端110与中继处理装置120之间的通信是经由代理线路161进行的。
另外,中继处理装置120与信息提供处理装置150之间的通信是经由服务器线路163进行的。
另外,在图11和图12中,在SSL(包括TLS)格式中需要的消息(Change Cipher Spec,更换密钥格式等)是基于一般的SSL(包括TLS)格式的一般已知的处理,所以此处省略说明。
在步骤S1101中,在利用者终端110中,利用者在阅览处理部111提供的浏览器画面中,向地址条等输入指示信息提供处理装置150上的内容的URL、或者点击已经显示在浏览器画面中的内容之中的向该URL的链接字符串,从而指示内容取得要求。
在步骤S1102中,通过针对内容取得要求在阅览处理部111中登记的事件处理机(event handler),起动扩展功能处理部112的处理。在扩展功能处理部112中,取得该内容取得要求中包含的该URL的模式部,判定该模式是否为HTTPS(加密通信)。即,利用者终端110判定是否要求通过内容取得要求中包含的加密通信来发送接收数据。
然后,利用者终端110在判定为该模式是HTTPS(是经由加密通信的数据的发送接收的要求)的情况下,为了决定中继处理装置120中的通信方式,对中继处理装置120进行通信方式的询问。即,利用者终端110将后述的通信方式询问要求消息发送到中继处理装置120。
在步骤S1103中,中继处理装置120根据从利用者终端110发送的询问(通信方式询问要求消息)中包含的信息提供处理装置150的标识符(服务器标识符)和利用者终端110的阅览处理部标识符(客户机标识符)的信息,从管理表保存部129的通信方式决定表(图8)决定通信方式,向利用者终端110应答该通信方式。在该例子中应答“选择”。
即,中继处理装置120在通信方式被决定为“选择”的情况下,例如将用于显示图14所示的对话框(也称为通信方式选择对话框)的画面的画面信息发送到利用者终端110。
在步骤S1104中,由于在步骤S1103中接收到的通信方式是“选择”,所以利用者终端110显示图14中的例子那样的画面(也称为选择对话框)。
即,依照在步骤S1103中发送的画面信息,显示图14的画面。
在步骤S1105中,在利用者终端110中,利用者使用所述选择对话框,从“直接”、“代理”的某一个中选择通信方式。在例子中利用者选择“许可”,选择通信方式“代理”。
即,在步骤S1105中,由利用者经由选择对话框,按下“许可”按钮、或者“不许可”按钮,在按下了“许可”按钮的情况下,通信方式被决定为“代理”,在按下了“不许可”按钮的情况下,通信方式被决定为“直接”。在此处的例子中,由利用者选择“许可”按钮,通信方式被决定为“代理”。
在步骤S1106中,利用者终端110将选择结果(也称为通信方式通知消息)(在此处的例子中作为选择方式的“代理”、服务器标识符、客户机标识符、以及有效期限包含在通信方式通知消息中)发送到中继处理装置120。
中继处理装置120接收该选择结果,将该选择结果(“代理”)保存在管理表保存部129的代理通信方式高速缓存表(图9)中。
在步骤S1107中,利用者终端110决定与内容取得要求相关的通信方式,收到向中继处理装置120的通信方式通知消息的通知(发送)也完成的事实,阅览处理部111再次开始该内容取得要求的处理。阅览处理部111连接到中继处理装置120的客户机通信部121而开设代理线路161,在该代理线路161上发送通过CONNECT方法进行的代理请求。通过CONNECT方法进行的代理请求是指在Web浏览器等客户机经由代理服务器向HTTPS服务器连接时发行的请求,具有如下形式。
CONNECT主机名:端口号HTTP/1.0
另外,扩展功能处理部112对阅览处理部111进行指示,以对所述代理请求追加客户机标识符而作为头。
示出代理请求的例子。
CONNECT www.xxx.co.jp:443HTTP/1.0
User-Agent:XXXXX/X.X
X-client-id:10.10.10.1:349263
接下来,中继处理装置120从所接收到的所述代理请求中,取得服务器标识符(主机名:端口号)和客户机标识符(X-client-id),以它们为关键字而从管理表保存部129的代理通信方式高速缓存表中参照通信方式栏,取得值“代理”。然后,中继处理装置120在管理表保存部129的代理通信会话管理表中制作新记录(称为代理通信会话记录),而作为用于管理代理方式的中继处理的信息的存储区域。
在步骤S1108中,中继处理装置120根据服务器标识符的信息向信息提供处理装置150进行TCP连接,开设服务器线路163。
在步骤S1109中,中继处理装置120收到TCP连接成功的事实,向利用者终端110回送“HTTP/1.0200”的连接成功消息,传递能够向信息提供处理装置150进行中继的情况。
在步骤S1110中,利用者终端110在所述代理线路161上发送Client Hello消息,开始SSL的握手。
然后,收到Client Hello消息的中继处理装置120开始SSL的握手的处理,在步骤S1133中直到握手的处理结束,进行确立代理线路161的处理。
为了确立基于SSL的加密通信的线路,从步骤S1110开始握手的处理。在步骤S1133中握手的处理结束时,能够确立代理线路161(基于SSL实现的加密通信的线路)。代理线路161是本发明的第1SSL通信的应用例。
在步骤S1111中,中继处理装置120在服务器线路163上,为了在与信息提供处理装置150之间开设(确立)SSL的会话,而发送由服务器侧密码处理部125生成的Client Hello消息。
然后,收到Client Hello消息的信息提供处理装置150开始SSL的握手的处理,在步骤S1131中直到握手的处理结束,进行确立服务器线路163的处理。
为了基于SSL确立加密通信的线路,从步骤S1111开始握手的处理。然后,在步骤S1131中握手的处理结束时,能够确立服务器线路163(通过SSL实现的加密通信的线路)。服务器线路163是本发明的第2SSL通信的应用例。
在步骤S1111中,中继处理装置在所述服务器线路163上发送SSL Client Hello消息,开始SSL握手。
为了确立基于SSL的加密通信的线路,在步骤S1110中开始握手的处理。在步骤S1133中握手的处理结束时,能够确立代理线路161(通过SSL实现的加密通信的线路)。代理线路161是本发明的第1SSL通信的应用例。
以下说明步骤S1110以后的处理。
图11说明通信方式是“代理”(代理方式)的情况。
首先,利用者终端110在步骤S1110中发送SSL握手开始要求(SSL Client Hello)。
图11是通信方式为“代理”时的时序图,中继处理装置120针对在该SSL握手中接收到的各消息,不原样地中继到信息提供处理装置150,而是将自身作为服务器而进行握手。
中继处理装置120为了与自身作为服务器进行握手的处理对应,向利用者终端110,发送SSL Server Hello、SSL Server Certificate、以及SSL Server Hello Done等各消息。
首先,利用者终端110的阅览处理部111判定是否存储了过去在与中继处理装置120的通信中利用的SSL的会话信息(包含会话ID)。
然后,利用者终端110的阅览处理部111在判定为存储了过去在与中继处理装置120的通信中利用的SSL的会话ID的情况下,将包含该会话ID的SSL Client Hello消息发送到中继处理装置120。
另一方面,利用者终端110的阅览处理部111在判定为没有存储过去在与中继处理装置120的通信中利用的SSL的会话ID的情况下,不包含该会话ID地将SSL Client Hello消息发送到中继处理装置120。
然后,中继处理装置120从利用者终端110接收SSL Client Hello消息。
在图11中,说明在从利用者终端111接收到的SSL Client Hello消息中不包含该会话ID的情况(不再次开始SSL会话而使用新的SSL会话的情况)。
使用图12,在后文中说明在从利用者终端111接收到的SSLClient Hello消息中包含该会话ID的情况(再次开始SSL会话的情况)。
中继处理装置120如果在步骤S1110中从利用者终端110接收到SSL Client Hello消息,则判定在该SSL Client Hello消息中是否包括会话ID。然后,中继处理装置120在判定为在该SSL Client Hello消息中没有包括会话ID的情况下,为了制作新的会话而生成新的固有的会话ID。
然后,中继处理装置120将包含该生成的会话ID的SSL ServerHello消息发送到利用者终端110(步骤S1112)。
进而,中继处理装置120将该生成的会话ID存储在代理通信会话管理表(图10)的会话ID-C栏中。该会话ID成为在下次以后再次开始会话的情况的标识符。
利用者终端110如果从中继处理装置120接收到包含会话ID的SSL Server Hello消息,则将该SSL Server Hello消息中包含的会话ID作为SSL的会话信息而存储在RAM203等存储器中(高速缓存)。
接下来,中继处理装置120将包括代理用密码密钥保存部中存储的服务器公开密钥证书的SSL Server Certificate消息发送到利用者终端110(步骤S1113)。
利用者终端110从中继处理装置120接收SSL Server Certificate消息,存储到外部存储器211等存储器中。
然后,中继处理装置120将通知中继处理装置120中的一连串的处理的结束的SSL Server Hello Done消息发送到利用者终端110(步骤S1114)。
利用者终端110如果从中继处理装置120接收到SSL ServerHello Done消息,则生成主密码(master secret)(用于生成数据的加密以及解密中使用的公共密钥的信息)。
另外,利用者终端110按照在此生成的主密码,生成用于进行成为经由代理线路161与中继处理装置120进行通信的对象的数据的加密以及解密的公共密钥,将该生成的公共密钥存储在RAM203等存储器中。
利用者终端110在步骤S1134以后的处理中,经由代理线路161将数据发送到中继处理装置120时,针对该数据使用在此生成的公共密钥进行加密而发送。
另外,利用者终端110针对从中继处理装置120经由代理线路161发送的加密后的数据,使用在此生成的公共密钥进行解密。
然后,利用者终端110使用从中继处理装置120接收到的SSLServer Certificate消息中包含的服务器公开密钥证书所包含的服务器的公开密钥,对该生成的主密码进行加密。
然后,利用者终端110将包括该加密后的主密码的ClientKeyExchange消息发送到中继处理装置120。
中继处理装置120从利用者终端110接收ClientKeyExchange消息。
然后,中继处理装置针对该ClientKeyExchange消息中包含的加密后的主密码,使用与发送到利用者终端110的SSL Server Certificate消息所包含的服务器公开密钥证书(包括服务器的公开密钥)对应的秘密密钥进行解密。
另外,此处使用的秘密密钥,与服务器公开密钥证书(包括服务器的公开密钥)对应起来存储在代理用密码密钥保存部126中,对应于发送到利用者终端110的服务器公开密钥证书(包括服务器的公开密钥)。
接下来,中继处理装置120按照所解密的主密码生成公共密钥。然后,中继处理装置120将该生成的公共密钥的信息存储在所述代理通信会话记录的公共密钥及其他-C栏中。
中继处理装置120在步骤S1134以后的处理中,经由代理线路161将数据发送到利用者终端110时,针对该数据,使用在此生成的公共密钥进行加密而发送。另外,中继处理装置120针对从利用者终端110经由代理线路161发送的加密后的数据,使用在此生成的公共密钥进行解密。
接下来,说明步骤S1115以后的处理。
中继处理装置120如果从利用者终端110接收到SSL ClientHello消息,则将中继处理装置120作为客户机,向信息提供处理装置150,发送SSL握手开始要求(SSL Client Hello消息)(步骤S1111)。
信息提供处理装置150对从中继处理装置120接收到的SSLClient Hello消息应答,而向中继处理装置120发送SSL Server Hello消息(步骤S1115)、SSL Server Certificate消息(步骤S1116)、SSL Certificate Request消息(步骤S1117)、以及SSL Server HelloDone消息(步骤S1118)等各消息。
以下,说明步骤S1115到步骤S1118。
首先,中继处理装置120判定是否存储了过去在与信息提供处理装置150的通信中利用的SSL的会话信息(会话ID)。
具体而言,中继处理装置120判定在过去利用者终端110和信息提供处理装置150经由中继处理装置120以代理方式进行通信时,在中继处理装置120与信息提供处理装置150之间的服务器线路163中利用的会话ID是否存储在代理通信会话管理表(图10)的会话ID-S的栏中。
然后,中继处理装置120在判定为在过去利用者终端110和信息提供处理装置150经由中继处理装置120以代理方式进行通信时,在中继处理装置120与信息提供处理装置150之间的服务器线路163中利用的会话ID存储于代理通信会话管理表(图10)的会话ID-S的栏中的情况下,将包含该会话ID的SSL Client Hello消息发送到信息提供处理装置150。
另一方面,中继处理装置120在判定为在过去利用者终端110和信息提供处理装置150经由中继处理装置120以代理方式进行通信时,在中继处理装置120与信息提供处理装置150之间的服务器线路163中利用的会话ID没有存储于代理通信会话管理表(图10)的会话ID-S的栏中的情况下,不包括该会话ID地将SSL Client Hello消息发送到信息提供处理装置150(S1111)。
然后,信息提供处理装置150从中继处理装置120接收SSL ClientHello消息。
在图11中,说明在从中继处理装置120接收到的SSL ClientHello消息中不包括该会话ID的情况(不再次开始SSL会话而使用新的SSL会话的情况)。
使用图12,在后面说明在从中继处理装置120接收到的SSLClient Hello消息中包括该会话ID的情况(再次开始SSL会话的情况)。
信息提供处理装置150如果在步骤S1111中从中继处理装置120接收到SSL Client Hello消息,则判定在该SSL Client Hello消息中是否包含会话ID。
然后,信息提供处理装置150在判定出在该SSL Client Hello消息中没有包含会话ID的情况下,为了制作新的会话而生成新的固有的会话ID。
然后,信息提供处理装置150将包含该生成的会话ID的SSLServer Hello消息发送到中继处理装置120(步骤S1115)。
进而,信息提供处理装置150将该生成的会话ID作为SSL的会话信息而存储在RAM203等存储器中(高速缓存)。
中继处理装置120如果从信息提供处理装置150接收到包含会话ID的SSL Server Hello消息,则将该SSL Server Hello消息中包含的会话ID存储在代理通信会话管理表(图10)的会话ID-S栏中。该会话ID成为在下次以后再次开始会话时的标识符。
接下来,信息提供处理装置150将包含服务器密码密钥保存部152中存储的信息提供处理装置150的服务器公开密钥证书的SSLServer Certificate消息发送到中继处理装置120。
在步骤S1116中,中继处理装置120从信息提供处理装置150,接收SSL Server Certificate消息,取得该消息中包含的信息提供处理装置150的服务器公开密钥证书。
中继处理装置120使用CA证书保存部131中存储的CA公开密钥证书等来实施该服务器公开密钥证书可否信赖的验证处理。在此处的例子中,该验证成功,将该服务器公开密钥证书保存在代理通信会话记录的服务器证书栏中。
在步骤S1117中,中继处理装置120从信息提供处理装置150接收SSL Certificate Request消息(客户机认证的要求信息),将与该消息中包含的客户机认证相关的要求条件的信息(签名算法、CA识别名)保存在所述代理通信会话记录的客户机认证要求栏中。
然后,信息提供处理装置150将通知信息提供处理装置150中的一连串的处理的结束的SSL Server Hello Done消息发送到中继处理装置120。
在步骤S1118中,中继处理装置120从信息提供处理装置150,接收SSL Server Hello Done消息。
在步骤S1119中,利用者终端110使用控制线路162向中继处理装置120发送信息提供处理装置150的服务器公开密钥证明的取得要求消息。
在步骤S1120中,中继处理装置120对从利用者终端110发送的取得要求消息应答,而取得代理通信会话记录的服务器证书栏中保存的信息提供处理装置150的服务器公开密钥证书,将该服务器公开密钥证书发送到利用者终端110(发送单元)。
在步骤S1121中,利用者终端110进行所接收到的所述服务器公开密钥证书的验证处理。首先,利用者终端110通过利用者终端110的CA证书保存部115中存储的信赖的CA(认证站)的公开密钥证书,对该服务器公开密钥证书的可靠性进行验证。接下来,利用者终端110确认该服务器公开密钥证书中记载的主体者信息(CN属性或者SubjectAltName属性)是否与信息提供处理装置150的主机名一致。利用者终端110另外还执行该服务器公开密钥证书的有效期限、失效状态确认等一般用于验证服务器公开密钥证书的可靠性的处理。
接下来,在通常的浏览器中,作为服务器公开密钥证书的信息而显示的是在步骤S1113中接收到的中继处理装置120的服务器公开密钥证书,与扩展功能处理部112协动的阅览处理部111进行图15所示的对话框的显示等,而使利用者确认在步骤S1120中接收到的信息提供处理装置150的所述服务器公开密钥证书的信息。
即,阅览处理部111显示包括在步骤S1120中接收到的信息提供处理装置150的服务器公开密钥证书的信息的画面(图15)。
另外,在浏览器的画面上附加调出该对话框等用于确认服务器公开密钥证书的内容的单元的按钮等,以使利用者不仅能够暂时地确认,而且能够在浏览器的画面上在任意时刻都能够参照提供了显示中的内容的信息提供处理装置150的服务器公开密钥证书。图18示出该浏览器的画面的例子。
通常(通信方式是直接的情况),在图18的1801中示出的位置,显示提供了显示中的内容的信息提供处理装置150的识别名(主机名),成为用于显示该信息提供处理装置150的服务器公开密钥证书的链接。但是,在本发明的代理方式的情况下,在此显示中继处理装置120的识别名、和与中继处理装置120的服务器公开密钥证书相关的信息。
因此,在图18的例子中,在1802中示出的位置,显示本来的内容提供者即信息提供处理装置150的识别名、和与信息提供处理装置150的服务器公开密钥证书相关的信息。这样,即使是代理方式,利用者也可以在任意时刻确认信息提供处理装置150的识别名、和与信息提供处理装置150的服务器公开密钥证书相关的信息,从而能够向利用者提供用于确认与内容的提供者的合法性相关的信息的单元。
最后,如果服务器公开密钥证书的验证成功,则利用者终端110在管理表保存部114的服务器证书高速缓存表(图17)中制作新记录,一起保存信息提供处理装置150的该服务器公开密钥证书、信息提供处理装置150的所述服务器标识符、以及步骤S1112的Server Hello消息中包含的会话ID。
在步骤S1122中,利用者终端110对服务器公开密钥证书的验证成功,将其验证结果向中继处理装置120通知。
在步骤S1123中,中继处理装置120确认代理通信会话记录的客户机认证要求栏的值,如果判定出在代理通信会话记录的客户机认证要求栏中存储了值,则判定在步骤S1117中从信息提供处理装置150中有客户机认证的要求。中继处理装置120为了与此(客户机的认证要求)对应,向利用者终端110发送包含所述客户机认证要求栏的值的客户机证书要求消息。
在步骤S1124中,利用者终端110如果从中继处理装置120接收到客户机证书要求消息,则从密码密钥保存部113检索并取得与在该客户机认证要求中示出的条件符合的公开密钥证书。然后,利用者终端110在存在多个与该条件符合的公开密钥证书的情况下,与通常的浏览器中的SSL客户机认证时的动作同样地,显示对话框等,使利用者选择使用哪个公开密钥证书来向信息提供处理装置150进行认证,决定1个利用者终端110的公开密钥证书。
在步骤S1125中,利用者终端110将利用者终端110的公开密钥证书发送到中继处理装置120。
在步骤S1126中,中继处理装置120从利用者终端接收利用者终端110的公开密钥证书,保存在代理通信会话记录的客户机证书栏中。然后,中继处理装置120向信息提供处理装置150,发送包括该公开密钥证书的Client Certificate消息。即,中继处理装置120将利用者终端的公开密钥证书,经由服务器线路163发送到信息提供处理装置150(公开密钥发送单元)。
接下来,中继处理装置120生成主密码(为了生成数据的加密以及解密中使用的公共密钥的信息)。
另外,中继处理装置120按照在此生成的主密码,生成用于进行成为经由服务器线路163与信息提供处理装置150进行通信的对象的数据的加密以及解密的公共密钥,将该生成的公共密钥存储在代理通信会话记录(图10)的公共密钥及其他-S的栏中。
中继处理装置120在步骤S1135以后的处理中,经由服务器线路163将数据发送到信息提供处理装置150时,针对该数据,使用在此生成的公共密钥进行加密而发送。
另外,中继处理装置120针对从信息提供处理装置150经由服务器线路163发送的加密后的数据,使用在此生成的公共密钥进行解密。
然后,中继处理装置120使用从信息提供处理装置150接收到的SSL Server Certificate消息中包含的服务器公开密钥证书包含的服务器的公开密钥,对该生成的主密码进行加密。
然后,中继处理装置120将包含该加密后的主密码的ClientKeyExchange消息发送到信息提供处理装置150。
信息提供处理装置150从中继处理装置120接收ClientKeyExchange消息。
然后,信息提供处理装置150针对该ClientKeyExchange消息中包含的加密后的主密码,使用与发送到中继处理装置120的SSLServer Certificate消息中包含的服务器公开密钥证书(包括服务器的公开密钥)对应的秘密密钥进行解密。
另外,此处使用的秘密密钥与服务器公开密钥证书(包括服务器的公开密钥)对应起来存储在服务器密码密钥保存部152中,对应于信息提供处理装置150向中继处理装置120发送的服务器公开密钥证书(包括服务器的公开密钥)。
接下来,信息提供处理装置150按照所解密的主密码生成公共密钥。然后,信息提供处理装置150将该生成的公共密钥的信息存储在外部存储器211等存储器中。
中继处理装置120在步骤S1135以后的处理中,经由服务器线路163将数据发送到信息提供处理装置150时,针对该数据,使用在此生成的公共密钥进行加密而发送。
另外,中继处理装置120针对从信息提供处理装置150经由服务器线路163发送的加密后的数据,使用在此生成的公共密钥进行解密。
在SSL(包含TLS)的规章中,在客户机认证中,首先,利用者终端110向信息提供处理装置150发送对利用者终端110和信息提供处理装置150共有的信息(对在握手中相互交换的消息进行连结而得到的信息的消息摘要)进行了签名的信息(签名数据)。即,利用者终端110将用利用者终端110通过与用SSL Client Certificate消息发送到信息提供处理装置150的公开密钥对应的秘密密钥对该消息摘要进行了签名的信息(签名数据)发送到信息提供处理装置150。然后,信息提供处理装置150通过该公开密钥对从利用者终端110接收到的该签名数据进行解密,判定是否与信息提供处理装置150的存储器中存储的和利用者终端110共有的信息(该消息摘要)相同,从而实施客户机认证。
在以后说明的步骤S1127到步骤S1128中,利用者终端110和中继处理装置120协作而进行制作签名数据的处理。
在步骤S1127中,中继处理装置120生成对连结了此前与信息提供处理装置150在SSL的握手中交换的各消息的数据应用散列函数而得到的消息摘要(签名对象数据)。然后,中继处理装置120向利用者终端110发送该签名对象数据。
利用者终端110从中继处理装置120接收签名对象数据,对该签名对象数据,通过与在步骤S1125中发送的利用者终端110的公开密钥证书对应的秘密密钥进行签名(进行加密),制作签名数据。
然后,在步骤S1128中,利用者终端110向中继处理装置120发送该签名数据。然后,中继处理装置120从利用者终端110接收该签名数据。
在步骤S1129中,中继处理装置120制作包含该签名数据的SSLCertificate Verify消息,发送到信息提供处理装置150。
即,中继处理装置120经由服务器线路163向信息提供处理装置发送:使用与在S1126中发送的客户机终端的公开密钥证书对应的秘密密钥而对签名对象数据进行加密,从而生成的签名数据(签名数据发送单元)。
然后,信息提供处理装置150用上述方法对从中继处理装置120接收到的该消息(签名数据)进行验证,从而实施利用者终端110的客户机认证。
在步骤S1130、步骤S1131中,中继处理装置120和信息提供处理装置150相互交换Handshake finish消息,结束服务器线路163上的SSL握手,确立基于SSL的加密通信即服务器线路163。
在步骤S1132、步骤S1133中,利用者终端110和中继处理装置120相互交换Handshake finish消息,结束所述代理线路161上的SSL握手,确立基于SSL的加密通信即代理线路161。
在步骤S1134中,利用者终端110将针对与在步骤S1101中产生的内容取得要求对应的通信要求消息,通过在代理线路161上的SSL握手中决定的方法进行加密而得到的加密通信要求消息发送到中继处理装置120。
即,利用者终端110使用与中继处理装置120共有的公共密钥对与在步骤S1101中产生的内容取得要求对应的通信要求消息进行加密,将该加密后的加密通信要求消息发送到中继处理装置120。
在步骤S1135中,中继处理装置120针对从利用者终端110接收到的加密通信要求消息,使用与利用者终端110共有的公共密钥(代理通信会话管理(图10)表的共通及其他-C中存储的公共密钥)进行解密,取得通过该解密而得到的通信要求消息。然后,中继处理装置120在附加功能处理部130中向该通信要求消息执行访问控制等附加功能处理。在该例子中进行访问控制处理,许可访问。
即,中继处理装置120对通信要求消息的内容进行解析,判定是否许可了向信息提供处理装置150发送通信要求消息,从而进行访问控制处理,在判定为许可向信息提供处理装置150发送通信要求消息的情况下,进行控制,使得将该通信要求消息发送到信息提供处理装置150。另一方面,中继处理装置120在判定为没有许可向信息提供处理装置150发送通信要求消息的情况下,进行控制,使得不将该通信要求消息发送到信息提供处理装置150。
接下来,生成通过在服务器线路163上的SSL握手中决定的方法对该通信要求消息进行了加密的加密通信要求消息,将该消息发送到信息提供处理装置150。
即,中继处理装置120在进行控制以将通信要求消息发送到信息提供处理装置150的情况下,针对该通信要求消息,使用与信息提供处理装置150共有的公共密钥(代理通信会话管理(图10)表的共通及其他-S中存储的公共密钥)进行加密,将通过该加密而生成的加密通信要求消息发送到信息提供处理装置150。
在步骤S1136中,信息提供处理装置150针对从中继处理装置120接收到的加密通信要求消息,使用与中继处理装置120共有的公共密钥进行解密,通过该解密生成通信要求消息。
然后,信息提供处理装置150制作通信应答消息而作为来自中继处理装置120的通信要求消息的应答消息,针对该通信应答消息,使用与中继处理装置120共有的公共密钥进行加密而生成加密通信应答消息,将该加密通信应答消息发送到中继处理装置120。
在步骤S1137中,中继处理装置120针对从信息提供处理装置150接收到的加密通信应答消息,使用与信息提供处理装置150共有的公共密钥(代理通信会话管理(图10)表的共通及其他-S中存储的公共密钥)进行解密,取得通信应答消息。然后,中继处理装置120在附加功能处理部130中向该通信应答消息执行访问控制等附加功能处理。
即,中继处理装置120通过对通信应答消息的内容进行解析,判定是否许可向利用者终端110发送通信应答消息,从而进行访问控制处理。在此处的例子中,作为附加功能处理中继处理装置120进行通信应答消息内的病毒检查处理而,其结果,在通信应答消息中没有探测到病毒。
中继处理装置120在判定为许可向利用者终端110发送通信应答消息的情况下,进行控制以将该通信应答消息发送到利用者终端110。另一方面,中继处理装置120在判定为没有许可向利用者终端110发送通信应答消息的情况下,进行控制以不将该通信应答消息发送到利用者终端110。
接下来,中继处理装置120在进行控制以将该通信应答消息发送到利用者终端110的情况下,生成用在代理线路161上的SSL握手中决定的方法对该通信应答消息进行了加密而得到的加密通信应答消息,将该消息发送到利用者终端110。
即,中继处理装置120在进行控制以将该通信应答消息发送到利用者终端110的情况下,针对该通信应答消息,使用与利用者终端110共有的公共密钥(代理通信会话管理(图10)表的共通及其他-C中存储的公共密钥)进行加密,从而生成加密通信应答消息,将该加密通信消息发送到利用者终端110。
利用者终端110针对从中继处理装置120接收到的加密通信应答消息,使用与中继处理装置120共有的公共密钥进行解密,从而进行生成通信应答消息,并将该通信应答消息显示到阅览处理部111的画面等处理。
在步骤S1138中,信息提供处理装置150为了结束SSL联接而将通过SSL警报协议产生的结束通知消息发送到中继处理装置120。
在步骤S1139中,中继处理装置120同样将结束通知消息发送到信息提供处理装置150。由此,结束服务器线路163。
在步骤S1140中,中继处理装置120为了结束SSL联接而将基于SSL警报协议的结束通知消息发送到利用者终端110。
在步骤S1141中,利用者终端110同样将结束通知消息发送到中继处理装置120。由此,结束所述代理线路161。
所述SSL的加密通信的确立步骤是一个例子,也可以在装置之间发送接收所述消息以外的消息来确立加密通信。
到此为止,完成了在通信方式是代理方式(“代理”)的情况下,对经由SSL的加密通信(线路)而被通信的通信数据进行中继时的通信消息交换流程的例子的说明。
(根据代理方式对通过会话再次开始功能实现的加密通信进行中继的情况的通信消息交换流程)
接下来,使用图12,说明针对所加密通信的数据通过代理方式进行中继的情况、并且是在代理线路161的SSL联接和服务器线路163的SSL联接中通过会话再次开始功能开设了SSL会话的情况的、利用者终端110、中继处理装置120、信息提供处理装置150之间的通信消息的交换流程。
图12是示出针对所加密通信的数据通过代理方式进行中继的情况、并且是在代理线路161的SSL联接和服务器线路163的SSL联接中通过会话再次开始功能开设了SSL会话的情况的、利用者终端110、中继处理装置120、以及信息提供处理装置150之间的通信消息的交换流程的例子的图。
会话再次开始功能,是指用于使在过去开设并结束了的会话再次开始的功能,是为了在SSL中不新制作会话而是使其再次开始的情况下能够省略确立会话所需的会话密钥(公共密钥)的生成、交换所相关的负荷高的处理,而用于提高性能的功能。
另外,图12中的利用者终端110与中继处理装置120之间的所有通信在代理线路161上进行。
步骤S1201的处理与所述步骤S1101的处理相同。
接下来,利用者终端110通过针对步骤S1201中的内容取得要求在阅览处理部111中登记的事件处理机,起动扩展功能处理部112的处理。在利用者终端110的扩展功能处理部112中,取得该内容取得要求的URL的模式部,该模式是HTTPS,所以进行用于决定中继处理装置120中的通信方式的处理。利用者终端110为了在向中继处理装置120进行询问之前,调查可否利用过去在与中继处理装置120的通信中使用的信息,参照管理表保存部114的客户机通信方式高速缓存表(图16),根据该内容取得要求中包含的URL生成信息提供处理装置150的服务器标识符(主机名:端口号),以该服务器标识符为关键字而检索客户机通信方式高速缓存表(图16)的记录。在此处的例子中,利用者终端110在检索的结果,以该服务器标识符为条件而发现满足的记录,参照该记录的通信方式栏,将通信方式判定为“代理”。另外,在检索的结果,判定为通信方式是“直接”的情况下,进行控制,以使利用者终端110和信息提供处理装置150通过通常的方式(直接方式),直接确立SSL的加密通信线路。
在步骤S1202中,利用者终端110进行与所述步骤S1107相同的处理。
在步骤S1203中,中继处理装置120进行与所述步骤S1108相同的处理。
在步骤S1204中,中继处理装置120进行与所述步骤S1109相同的处理。
在步骤S1205中,利用者终端110的阅览处理部111由于高速缓存了在对信息提供处理装置150的过去的通信中利用的SSL的会话信息所以判定为能够再次开始,将附加了所高速缓存的会话信息的会话ID的Client Hello消息发送到中继处理装置120。
利用者终端110的阅览处理部111在判定是否高速缓存了在对信息提供处理装置150的过去的通信中利用的SSL的会话信息的结果,判定为没有高速缓存SSL的会话信息的情况下,如图11的步骤S1110的说明,将没有附加会话ID的SSL Client Hello消息发送到中继处理装置120。
在步骤S1206中,中继处理装置120从管理表保存部129的代理通信方式高速缓存表(图9)中,取得在客户机标识符栏和服务器标识符栏中分别具有在步骤S1202(步骤S1107)中接收到的客户机标识符和服务器标识符的记录,根据该记录的通信方式栏的值(“代理”),判定(决定)是否通过代理方式实施中继。
接下来,中继处理装置120从管理表保存部129的代理通信会话管理表(图10)中,取得在客户机标识符栏和服务器标识符栏中分别具有在步骤S1202(步骤S1107)中接收到的客户机标识符和服务器标识符的记录(称为代理通信会话记录)。代理通信会话管理表(图10)是代理通信存储单元的应用例。
中继处理装置120参照该代理通信会话记录的会话ID-C栏,如果与从利用者终端110接收到的SSL Client Hello消息的会话ID(第1会话识别信息)相同,则判定为在中继处理装置120侧也可以进行会话再次开始(判定单元)。
即,中继处理装置120判定该代理通信会话记录的会话ID-C栏的值是否与从利用者终端110接收到的SSL Client Hello消息中包含的会话ID相同,在判定为相同的情况下,判定为中继处理装置120也可以进行会话的再次开始。另一方面,中继处理装置120在判定为该代理通信会话记录的会话ID-C栏的值与从利用者终端110接收到的SSL Client Hello消息中包含的会话ID不同的情况下,中继处理装置120判定为无法进行会话的再次开始。此处,中继处理装置120在判定为无法进行会话的再次开始的情况下,不执行此后的处理。在此处的例子中,判定为能够进行会话再次开始,向利用者终端110发送附加了该会话ID的SSL Server Hello消息。
在步骤S1207中,中继处理装置120判定是否在代理通信会话记录的会话ID-S栏中有会话ID的值,在代理通信会话记录的会话ID-S栏中有会话ID(第2会话识别信息)的值的情况下,判定为在服务器线路163中也可以再次开始会话,将附加了该会话ID的ClientHello消息发送到信息提供处理装置150。另一方面,中继处理装置120在判定为在代理通信会话记录的会话ID-S栏中没有会话ID的值的情况下,判定为在服务器线路163中无法再次开始会话,并进行控制以使此后的处理不执行。
在步骤S1208中,信息提供处理装置150在确认了在信息提供处理装置150中也可以利用用从中继处理装置120接收到的会话ID而识别的SSL的会话信息之后,向中继处理装置120,应答附加了该会话ID的Server Hello消息。这意味着,在中继处理装置120与信息提供处理装置150之间的服务器线路163的SSL联接中,也同意会话再次开始。
在步骤S1209中,信息提供处理装置150向中继处理装置120发送SSL Handshake finished消息。
在步骤S1210中,中继处理装置120向信息提供处理装置150发送SSL Handshake finished消息。
到此为止,完成了中继处理装置120与信息提供处理装置150之间的服务器线路163的SSL握手处理。
在步骤S1211中,中继处理装置120向利用者终端110发送Handshake finished消息。
在步骤S1210中,利用者终端110向中继处理装置120发送Handshake finished消息。
至此,完成了利用者终端110与中继处理装置120之间的代理线路161的SSL握手处理。
后面,通过图12中的步骤S1213到步骤S1220的处理,实施与使用图11说明的步骤S1134到步骤S1141的处理相同的处理。
至此,完成了通过代理方式对基于会话再次开始功能实现的加密通信进行中继的情况的通信消息交换流程的例子的说明。
如以上的说明,在利用了会话再次开始功能的中继处理中,能够大幅缩短SSL握手处理,省略计算负荷高的处理。另外,根据所述说明的步骤,即使在利用了会话再次开始功能的情况下,利用者终端110在开设了会话的通信时(图11的步骤S1121)通过参照保存于管理表保存部114的服务器证书高速缓存表中的服务器证书栏,无需从中继处理装置120发送,就能够对利用者提示信息提供处理装置150的服务器公开密钥证书,能够对利用者提供确认通信对方的合法性的单元。另外,关于客户机认证,信息提供处理装置150在信息提供处理装置150的存储器中存储的会话信息中高速缓存了利用者终端110的公开密钥证书,所以还可以省略再次向中继处理装置120发送客户机认证的要求信息来进行验证处理。
(中继处理装置120中的通信处理流程)
接下来,使用图3,说明利用者终端110经由中继处理装置120向信息提供处理装置150进行加密通信(基于代理方式实现的加密通信)的情况的中继处理装置120的处理流程。
另外,图3所示的步骤S301到步骤S320通过中继处理装置120的CPU201执行来实现。
在步骤S301中,中继处理装置120进行根据从利用者终端110向信息提供处理装置150的加密通信的要求的产生来决定通信方式的处理(通信方式决定处理)(图11的步骤S1101到步骤S1106)。
在通信方式决定处理中,决定与利用者终端110要求的通信对应的中继处理装置120中的通信方式,在管理表保存部129的代理通信方式高速缓存表(图9)中,制作在通信方式栏中具有所决定的通信方式的新的记录。该记录的通信方式栏的值为“直接”、“代理”或者“不选择”中的某一个。使用图4在后面叙述处理的详细情况。
在步骤S302中,客户机通信部121从利用者终端110的阅览处理部111受理连接,接收基于依照SSL(包括TLS)的代理连接协议的CONNECT方法产生的连接要求消息(与信息提供处理装置150的SSL通信的要求的信息),向通信控制部124传递该连接要求消息(图11的步骤S1107)。
即,中继处理装置120从利用者终端110,接收对信息提供处理装置150的SSL通信的要求(接收单元)。
即,中继处理装置120进行控制,使得以从利用者终端110接收到SSL通信的要求为条件,开始代理线路161的确立、以及服务器线路163的确立(控制单元)。
以下,将在中继处理装置120的客户机通信部121与利用者终端110的阅览处理部111之间开设的连接线路称为代理线路161。
接下来,通信控制部124根据由该连接要求消息的CONNECT方法指定的信息提供处理装置150的主机名和端口号制作服务器标识符(主机名:端口号),并且从该连接要求消息的请求头中取得客户机标识符(IP地址:阅览处理部标识符)。然后,通信控制部124以该服务器标识符和该客户机标识符为关键字,从管理表保存部129的代理通信方式高速缓存表(图9)中检索记录,检索的结果,取得该记录的通信方式。该通信方式是在步骤S301中存储的值。
通信控制部124在通信方式是“直接”或者“代理”的情况下,将通过CONNECT方法传递的主机名和端口号传递到服务器通信部122,服务器通信部122连接到该主机名的信息提供处理装置150的该端口号(图11的步骤S1108)。如果连接失败,则通信控制部124经由客户机通信部121向利用者终端110应答(发送)错误消息而结束。如果连接成功,则通信控制部124经由客户机通信部121向利用者终端110应答HTTP应答代码200(图11的步骤S1109)。以后,将在所述中继处理装置120的服务器通信部122与信息提供处理装置150的服务器处理部151之间开设的连接线路称为服务器线路163。
另外,通信控制部124在通信方式是“代理”的情况下,以服务器标识符和客户机标识符为关键字,从管理表保存部129的代理通信会话管理表(图10)中检索记录。通信控制部124在没有与该关键字一致的记录的情况下,制作在服务器标识符栏和客户机标识符栏中分别具有服务器标识符和客户机标识符的新的记录。通信控制部124将在检索中发现的记录或者新制作的记录存储在中继处理装置120的RAM203中。以下,将该记录称为代理通信会话记录,并设为能够在通信控制部124中参照。
在步骤S303中,通过在步骤S302中取得的通信方式使处理分支。即,中继处理装置120判定在步骤S302中取得的通信方式是“直接”、还是“代理”、还是“不选择”。在所述通信方式是“直接”的情况下进入到步骤S304,在是“代理”的情况下进入到步骤S305,在是“不选择”的情况下进入到步骤S319。
(直接代理处理)
在步骤S304中,通过通常的代理服务器进行的方式(直接方式)对进行加密通信(HTTPS通信)的数据进行中继。
即,中继处理装置120在利用者终端110与信息提供处理装置150之间使发送接收的数据直通而进行中继。由此,如以往,在客户机终端与信息处理装置之间确立通过SSL实现的加密通信(第3SSL通信)。
然后,中继处理装置120使用在此处确立的加密通信,对在利用者终端110与信息提供处理装置150之间进行通信的通信数据进行中继。
通信控制部124在步骤S302中通信控制部124向利用者终端110应答了HTTP应答代码200之后,将客户机通信部121从利用者终端110的阅览处理部111接收的所有加密通信消息(加密后的数据),保持原样不变地从服务器通信部122发送到信息提供处理装置150的服务器处理部151。另外,通信控制部124将服务器通信部122从信息提供处理装置150的服务器处理部151接收的所有加密通信消息(加密后的数据),保持原样不变地从客户机通信部121发送到利用者终端110的阅览处理部111。此外,如果产生了服务器线路163从信息提供处理装置150被切断或者代理线路161从利用者终端110被切断中的任意一种情况,则通信控制部124将相反侧的通信线路也切断,结束所有处理。
另外,在基于该直接方式的中继处理中,通信要求消息、通信应答消息都以被加密的状态进行中继,所以在经由通信控制部124时,中继处理装置120不执行附加功能处理部130中的附加功能处理(通信消息检查、通信应答高速缓存等)。
(中继拒绝通知)
在步骤S319中,通信控制部124制作表示不许可访问的意思的通信应答消息,经由客户机通信部121将该通信应答消息发送到利用者终端110的阅览处理部111,切断代理线路161而结束处理。
(代理方式:与利用者终端110的SSL握手处理)
在步骤S305中,通信控制部124对客户机侧密码处理部123进行指示以在所述代理线路161中开始SSL会话。客户机侧密码处理部123在该代理线路161中经由客户机通信部121,接收从利用者终端110的阅览处理部111发送的SSL Client Hello消息,开始SSL握手处理。在SSL的握手方法中,有新开始会话的情形和再次开始过去的会话的情形这两种。
首先,说明新开始会话的情形。
中继处理装置120判定在所述SSL Client Hello消息中是否包含会话ID,在判定为包含会话ID的情况,且判定为该会话ID与所述代理通信会话记录的会话ID-C栏的值相同的情况下,在客户机侧的SSL联接中再次开始会话,另一方面,在不相同的情况下,利用者终端110侧的SSL联接开始新的会话。
即,在新开始SSL会话的处理中,中继处理装置120的客户机侧密码处理部123对从利用者终端110发送的SSL Client Hello消息(图11的步骤S1110)应答,而依次发送Server Hello、ServerCertificate、Server Hello Done等各消息(图11的步骤S1112、步骤S1113、以及步骤S1114)。
具体而言,中继处理装置120在判定为在SSL Client Hello消息中不包括会话ID的情况下,为了制作新的会话而生成新的固有的会话ID。
然后,中继处理装置120将包含该生成的会话ID的该SSL ServerHello消息发送到利用者终端110,将该生成的会话ID保存在代理通信会话记录的会话ID-C栏中。该会话ID成为下次以后再次开始会话时的标识符。
利用者终端110如果从中继处理装置120接收到包括会话ID的SSL Server Hello消息,则将该SSL Server Hello消息中包含的会话ID作为SSL的会话信息存储在RAM203等存储器中(进行高速缓存)。
接下来,中继处理装置120将包括代理用密码密钥保存部中存储的服务器公开密钥证书的SSL Server Certificate消息发送到利用者终端110(步骤S1113)。
利用者终端110从中继处理装置120接收SSL Server Certificate消息,将该SSL Server Certificate消息中包含的服务器公开密钥证书存储在外部存储器211等存储器中。
然后,中继处理装置120将通知中继处理装置120中的一连串的处理的结束的SSL Server Hello Done消息发送到利用者终端110(步骤S1114)。
利用者终端110如果从中继处理装置120接收到SSL ServerHello Done消息,则生成主密码(用于生成数据的加密以及解密中使用的公共密钥的信息)。
另外,利用者终端110依照此处生成的主密码,生成用于对成为经由代理线路161与中继处理装置120进行通信的对象的数据进行加密以及解密的公共密钥,将该生成的公共密钥存储在RAM203等存储器中。
利用者终端110在步骤S1134以后的处理(步骤S314)中,经由代理线路161将数据发送到中继处理装置120时,针对该数据,使用在此生成的公共密钥进行加密而发送。
另外,利用者终端110针对从中继处理装置120经由代理线路161发送的加密后的数据,使用在此生成的公共密钥进行解密。
然后,利用者终端110使用从中继处理装置120接收到的SSLServer Certificate消息中包含的服务器公开密钥证书中包含的服务器的公开密钥,对该生成的主密码进行加密。
然后,利用者终端110将包括该加密了的主密码的ClientKeyExchange消息发送到中继处理装置120。
中继处理装置120从利用者终端110接收ClientKeyExchange消息。
然后,中继处理装置针对该ClientKeyExchange消息中包含的加密后的主密码,使用与发送到利用者终端110的SSL Server Certificate消息中包含的服务器公开密钥证书(包括服务器的公开密钥)对应的秘密密钥进行解密。
另外,此处使用的秘密密钥,与服务器公开密钥证书(包括服务器的公开密钥)对应起来存储在代理用密码密钥保存部126中,对应于发送到利用者终端110的服务器公开密钥证书(包括服务器的公开密钥)。
接下来,中继处理装置120按照所解密的主密码生成公共密钥。然后,中继处理装置120将该生成的公共密钥的信息存储在所述代理通信会话记录的公共密钥及其他-C栏中。
中继处理装置120在步骤S1134以后的处理(步骤S314)中,经由代理线路161将数据发送到利用者终端110时,针对该数据,使用在此生成的公共密钥进行加密而发送。另外,中继处理装置120针对从利用者终端110经由代理线路161发送的加密后的数据,使用在此生成的公共密钥进行解密。
接下来,说明再次开始SSL会话的情形。
中继处理装置120在判定为在从利用者终端110接收到的SSLClient Hello消息中包括会话ID,且判定出该会话ID包含于所述代理通信会话记录的会话ID-C栏中的情况下,判定为再次开始SSL会话(S306:“是”)。此处,中继处理装置120从利用者终端110接收到包含会话ID的SSL Client Hello消息意味着,接收到SSL通信的再次开始要求。此时,在公共密钥及其他-C栏中已经保存了该SSL会话用的公共密钥。客户机侧密码处理部123对来自利用者终端110的所述SSL Client Hello消息(图12的步骤S1205)应答,而发送ServerHello消息(图12的步骤S1206)。
(关于代理用密码密钥保存部126的服务器公开密钥证书)
说明代理用密码密钥保存部126中存储的服务器公开密钥证书。该服务器公开密钥证书是代理线路161的SSL联接中的服务器认证用的服务器公开密钥证书。在通常的代理连接(通过直接方式进行的通信)中,对于该服务器公开密钥证书,从信息提供处理装置150提示信息提供处理装置150的服务器密码密钥保存部152中存储的服务器公开密钥证书,但在本实施例的代理方式中,代替地提示中继处理装置120的代理用密码密钥保存部中存储的服务器公开密钥证书。因此,该服务器公开密钥证书必需针对任意的信息提供处理装置150都判定为有效。因此,在本实施例的代理方式中,对于该服务器公开密钥证书,如非专利文献1所述,在记载了信息提供处理装置150的主机名的主体者的Common Name(CN)属性或者SubjectAltName属性中使用通配符来表示任意的信息提供处理装置150。关于基于服务器公开密钥证书和主机名的信息提供处理装置150的身份确认方法,记载于RFC2818的“3.终点的识别3.1服务器的身份”中。
另外,在该服务器公开密钥证书中,在主体者的DN(识别名)中的Common Name之上的层次中,作为属性值而具有中继处理装置120的主机名,与终端(信息提供处理装置150)的确认一起还可以同时实施中继点(中继处理装置120)的确认。
示出DN(主体者识别名)的例子。
cn=*.*.*、ou=proxy.xxx.com,o=XXX Inc.,c=jp
在该例子中,cn用通配符表示,表示是与在主机名中具有3个域组件的任意的信息提供处理装置150相对的代理用的服务器公开密钥证书。在代理用密码密钥保存部126中,以能够用作任意的信息提供处理装置150的服务器公开密钥证书的方式,预先存储通配符的域组件具有例如对应于2到10的cn的服务器公开密钥证书,根据通信会话中的信息提供处理装置150的主机名的域组件的数量从所述服务器公开密钥证书选择适合的证书。
另外,作为Common Name(cn)的一个上位的ou属性值,记载了中继处理装置120的主机名(所述例:proxy.xxx.com)。该ou属性值能够用于代理线路161上的SSL联接中的中继处理装置120的合法性确认。其能够通过在控制线路162中利用者终端110的扩展功能处理部112明示地连接的中继处理装置120的主机名和所述属性值相同来验证。
在步骤S306中,如果在步骤S305中开设了新会话则前进到步骤S307,如果使用会话的再次开始功能则前进到步骤S316。
在步骤S307中,服务器侧密码处理部125通过在步骤S302中开设的服务器线路163,经由服务器通信部122将SSL Client Hello消息发送到信息提供处理装置150,新开始SSL握手处理(图11的步骤S1111到步骤S1118)。
服务器侧密码处理部125从信息提供处理装置150,接收SSLServer Hello、SSL Server Certificate、SSL Certificate Request(option,选择)、以及SSL Server Hello Done消息等。通信控制部124如果接收到该SSL Server Certificate消息,则取得该消息中包含的信息提供处理装置150的服务器公开密钥证书,将该服务器公开密钥证书保存在代理通信会话记录的服务器证书栏中。
另外,在服务器侧密码处理部125接收到所述Certificate Request消息的情况下(图11的步骤S1117),意味着信息提供处理装置150要求了SSL客户机认证,所以通信控制部124在代理通信会话记录的客户机认证要求栏中对该Certificate Request消息的内容进行编码而保存。在Certificate Request消息中,包括表示客户机认证的条件的签名算法和信息提供处理装置150信任的根CA的识别名信息。
步骤S308,是控制处理通信部128将该代理通信会话记录的服务器证书栏中保存的信息提供处理装置150的服务器公开密钥证书经由控制线路162发送到利用者终端110,在利用者终端110中验证该服务器公开密钥证书,实施针对信息提供处理装置150的服务器认证的步骤。然后,控制处理通信部128将该验证结果传送到通信控制部124(图11的步骤S1119到步骤S1122)。使用图5在后面详述步骤S308。
在步骤S309中,通信控制部124如果从控制处理通信部128发送的步骤S308中的服务器认证处理的结果成功则前进到步骤S310,如果失败则前进到步骤S320。此处,通信控制部124在步骤S308中从利用者终端110接收到验证成功的意思的情况下,判定为服务器认证处理的结果成功,而在从利用者终端110接收到验证不成功的意思的情况下,判定为服务器认证处理的结果失败。
在步骤S310中,通信控制部124参照代理通信会话记录的客户机认证要求栏,如果存在值,则进入到步骤S311,如果不存在值,则进入到步骤S312。
在步骤S311中,中继处理装置120通过与利用者终端110协作,进行用于应答从信息提供处理装置150要求的客户机认证的处理(图11的步骤S1123到步骤S1129)。使用图6,在后面详述步骤S311的处理。
在步骤S312中,在服务器侧密码处理部125中,经由服务器通信部122,将SSL Handshake finished消息发送到信息提供处理装置150,结束所述服务器线路163中的SSL联接的握手处理(图11的步骤S1130到步骤S1131)。
在步骤S313中,在客户机侧密码处理部123中,经由客户机通信部121,将SSL Handshake finished发送到利用者终端110,结束代理线路161中的SSL联接的握手处理(图11的步骤S1132到步骤S1133)。
在步骤S314中,在已经确立的代理线路161的SSL会话、与服务器线路163的SSL会话这两个SSL会话之间,中继应用消息。此时,在附加功能处理部130中对明文化后的消息,执行基于附加功能的处理(图11的步骤S1134到步骤S1137)。详细后述。
在步骤S315中,如果步骤S314中的应用消息的交换结束,则从信息提供处理装置150或者利用者终端110发送基于SSL close notify消息的会话结束通知。如果在客户机侧密码处理部123或者服务器侧密码处理部125中接收到该消息,则客户机侧密码处理部123或者服务器侧密码处理部125回送SSL close notify消息并结束SSL会话,切断通信线路(代理线路、或者服务器线路)。接下来实施相反侧的SSL会话的结束处理和通信线路(代理线路、或者服务器线路)的切断处理。
(使用SSL会话再次开始功能的情况)
在步骤S316中,通信控制部124判定在服务器线路163中可否进行SSL会话的再次开始。
即,通信控制部124判定在包括从利用者终端110接收到的会话ID的代理通信会话记录的会话ID-S栏中是否存在值,在判定为在代理通信会话记录的会话ID-S栏中存在值的情况下,从服务器侧密码处理部125将附加了该会话ID的值的SSL Client Hello消息,经由服务器通信部122,通过服务器线路发送到信息提供处理装置150。
接下来,服务器侧密码处理部125从信息提供处理装置150接收SSL Server Hello消息。通信控制部124判定在该SSL Server Hello消息中是否包括该会话ID,在判定为包含该会话ID的情况下,判定为能够进行会话再次开始并前进到步骤S312。
通信控制部124在代理通信会话记录的会话ID-S栏中不存在值的情况下,或者在即使存在,但SSL Server Hello消息中也不包括该会话ID的情况下,判定为无法进行会话再次开始而前进到步骤S317。
在步骤S317中,通信控制部124与步骤S307同样地,在服务器线路163上开始新的SSL会话。
通信控制部124如果接收到来自信息提供处理装置150的SSLServer Certificate消息,则从该消息取得服务器公开密钥证书,对该服务器公开密钥证书与代理通信会话记录的服务器证书栏的值进行比较。该比较的结果是两者不相同的情况下,用该服务器公开密钥证书改写代理通信会话记录的服务器证书栏并保存。
另外,通信控制部124在从信息提供处理装置150接收到SSLCertificate Request消息的情况下,与步骤S307同样地,在代理通信会话记录的客户机认证要求栏中,对该SSL Certificate Request消息的内容进行编码而保存。
在步骤S318中,通信控制部124参照步骤S317中的服务器公开密钥证书的比较的结果,如果是真(相同)则前进到步骤S310,如果是伪(不相同)则为了再次在利用者终端110中验证服务器公开密钥证书而前进到步骤S308
(错误处理)
在步骤S320中,控制处理通信部128将步骤S308中的服务器证书的验证处理失败通知到通信控制部124,通信控制部124向服务器侧密码处理部125进行通知以使与信息提供处理装置150的SSL握手处理错误结束,服务器侧密码处理部125经由服务器通信部122,通过服务器线路163,将SSL的SSL bad certificate alert消息发送到信息提供处理装置150,切断服务器线路163,并结束。
(图4通信方式决定处理的详细情况)
接下来,使用图4,说明图3中的步骤S301的详细即利用者终端110和中继处理装置120中的通信方式决定处理的流程。
图4所示的步骤S401到步骤S403、步骤S406到步骤S408的处理由利用者终端110的CPU201执行、实现。
另外,步骤S404、步骤S405、以及步骤S409的处理由中继处理装置120的CPU201执行、实现。
另外,在图4所示的利用者终端110与中继处理装置120之间的通信中,使用图1中的控制线路162。
在步骤S401中,如果利用者点击“https://…”形式的URL的链接、或者对地址条进行输入等,利用者终端110的阅览处理部111探测到向信息提供处理装置150的加密通信的要求事件,则向扩展功能处理部112传递该URL而转移控制。
在步骤S402中,利用者终端110的扩展功能处理部112根据该URL中的主机名和端口号生成服务器标识符(站点信息),以该服务器标识符为关键字而从管理表保存部114的客户机通信方式高速缓存表(图16)中检索记录。
如果在检索处理中有与条件一致的记录,则利用者终端110的扩展功能处理部112将该记录的通信方式栏的值作为通信方式而结束处理。在这种情况下,如果存在利用者终端110的客户机通信方式高速缓存表的该记录(高速缓存信息),则在中继处理装置120的代理通信方式高速缓存表(图9)中也存在相同的通信条件的高速缓存信息。
如果在检索处理中没有与条件一致的记录,则利用者终端110的扩展功能处理部112为了新决定通信方式而进入到步骤S403。
在步骤S403中,利用者终端110的扩展功能处理部112以HTTPS向中继处理装置120的控制处理通信部128进行连接。即,在利用者终端110与中继处理装置120之间确立基于SSL的加密通信的线路(控制线路162)。将该连接线路称为控制线路162。利用者终端110的扩展功能处理部112将具有在步骤S402中生成的服务器标识符、与由利用者终端110的IP地址和阅览处理部111标识符构成的客户机标识符的通信方式询问要求消息发送到中继处理装置120。
在步骤S404中,中继处理装置120的控制处理通信部128接收步骤S403的通信方式询问要求消息,取得服务器标识符和客户机标识符(接收单元)。服务器标识符是中继目的地信息的应用例。另外,客户机标识符(IP地址)是客户机信息的应用例。
在步骤S405中,中继处理装置120的控制处理通信部128根据在步骤S404中取得的识别信息提供处理装置150的服务器标识符、和识别利用者终端110的阅览处理部111的客户机标识符,检索与管理表保存部129的通信方式决定表(通信方式设定信息)(图8)的服务器条件和客户机条件符合的记录,将符合的记录的通信方式决定为许可了确立的通信的通信方式(通信决定单元)。
在与服务器条件的域名栏的对照中,从服务器标识符中取出信息提供处理装置150的主机名,对该主机名和域名栏的值进行字符串图案匹配。在与服务器条件的类别栏的对照中,将主机名(域名)变换为类别。此处,使用未图示的将主机名(域名)与类别对应起来的变换表格等,根据从服务器标识符取出的主机名,计算(决定)与该主机名对应的类别,对该类别与类别栏的值进行比较。在客户机条件的地址栏的对照中,从客户机标识符取出IP地址,进行该IP地址与值的对照。客户机条件的认证组栏的对照通过与在中继处理装置120认证了利用者终端110的阅览处理部111的利用者的情况下输入的利用者的属性值进行对照来进行。关于中继处理装置120对利用利用者终端110的阅览处理部111的利用者进行认证的单元,虽然没有详细记载,但例如能够使用在代理线路161上实施HTTP的代理认证的单元、和在控制线路162的HTTPS事务中实施SSL客户机认证、HTTP摘要认证等的单元。
另外,预先设定为在通信方式决定表中,使其具有图8的804所示那样的与所有通信要求条件符合的记录而必须决定通信方式。
即,通信方式决定表(图8)具有判断各记录的条件的优先顺序,从最上面的记录向下面的记录,依次判断是否与各记录的条件符合。
接下来,控制处理通信部128将检索的结果、所得到的记录的通信方式栏的值作为应答消息而发送到利用者终端110的扩展功能处理部112。
此处,中继处理装置120将所得到的记录的通信方式栏的值(“直接”或者“选择”或者“代理”)发送到利用者终端110,利用者终端110按照从中继处理装置120接收到的通信方式栏的值,显示后述图13或者图14所示的画面。
作为其他方法,也可以设为中继处理装置120将用于显示按照所得到的记录的通信方式栏的值(“直接”或者“选择”或者“代理”)决定的图13或者图14所示的画面的画面信息发送到利用者终端110,接收到该画面信息的利用者终端110按照该画面信息显示图13或者14的画面。
即,中继处理装置120在判定为针对所受理的站点信息(中继目的地信息)(确定信息提供处理装置150的主机名、端口号)在通信方式决定表(图8)中存储了“选择(通信方式表示选择的信息)”(“选择”是指示信息的应用例)的情况下,将用于选择通信方式(直接或者代理)的画面信息(图14)经由控制线路发送到利用者终端(通信方式发送单元)(步骤S405)。此处发送的画面信息、或者通信方式是通信方式指示信息的应用例。
另外,在判定为针对所受理的站点信息(中继目的地信息)(确定信息提供处理装置150的主机名、端口号),在通信方式决定表(图8)中存储了通信方式表示代理的信息的情况下,中继处理装置120将用于选择通信方式(“代理”或者“不通信”)的画面信息(图13),经由控制线路发送到利用者终端(步骤S405)。
在步骤S406中,利用者终端110的扩展功能处理部112从中继处理装置120接收用于选择通信方式的画面信息。
即,利用者终端110如果从中继处理装置接收到画面信息,则按照该画面信息,显示图13或者图14所示的画面。图14是指示画面的应用例。这样,操作了利用者终端110的用户(操作用户)在作为确立被许可的通信方式而决定了“代理”(代理通信方式)的情况下,只进行通过代理通信方式执行通信、或者不执行通信自身的选择,为了进行通信,必需选择通信方式。即,中继处理装置120以作为确立被许可的通信方式决定代理通信方式为条件,确立基于代理通信方式的通信。
接下来,说明中继处理装置120将所得到的记录的通信方式栏的值(“直接”或者“选择”或者“代理”)发送到利用者终端110,利用者终端110按照从中继处理装置120接收到的通信方式栏的值,显示图13或者图14所示的画面的情况。
在步骤S406中,利用者终端110的扩展功能处理部112从中继处理装置120接收通信方式(直接或者代理或者选择)。
在步骤S407中,利用者终端110的扩展功能处理部112根据在步骤S406中接收到的通信方式的值,显示图13或者图14所示的对话框。
此时,在通信方式是“直接”的情况下,不显示对话框。即,在通信方式是“直接”(直接通信方式)的情况下,所确立的通信的通信方式成为“直接”(直接通信方式)。
利用者终端110在步骤S406中接收到的通信方式是“代理”的情况下,显示图13例示那样的对话框(画面),对利用者显示“利用者终端110与信息提供处理装置150之间的加密通信在中继处理装置120中被暂时解密并应用安全检查等附加功能处理”这样的意思的消息而使利用者选择是否同意。利用者终端110在图13的画面中利用者点击了“许可”按钮的情况下,扩展功能处理部112使通信方式保持“代理”,在点击了“不许可”按钮的情况下将通信方式更新为“不选择”这个值。
利用者终端110在步骤S406中接收到的通信方式是“选择”的情况下,显示图14例示的对话框(画面),使利用者选择在中继处理装置120中暂时解密利用者终端110与信息提供处理装置150之间的加密通信并执行安全检查等附加功能处理,还是在与信息提供处理装置150之间进行端到端的加密通信而无法在中继处理装置120中对明文化通信消息进行检查、记录。利用者终端110在图14的画面中利用者点击了“许可”按钮的情况下,将扩展功能处理部112中的通信方式更新为“代理”这个值,在点击了“不许可”按钮的情况下将通信方式更新为“直接”这个值。
接下来,扩展功能处理部112在管理表保存部114的客户机通信方式高速缓存表(图16)中制作包括服务器标识符和决定日期时间、以及所选择的通信方式的值的新的记录。
在步骤S408中,利用者终端110的扩展功能处理部112在由利用者选择的按钮是“许可”按钮的情况(即,通信方式是“代理”的情况)下,向中继处理装置120的控制处理通信部128通过HTTPS进行连接(控制线路162的开设)。
另外,扩展功能处理部112在由利用者经由图14的画面选择的按钮是“不许可”按钮的情况(即,通信方式是“直接”的情况)下,不开设控制线路162。另外,扩展功能处理部112在由利用者经由图13的画面选择的按钮是“不许可”按钮的情况(即,通信方式是“不选择”的情况)下,不开设控制线路162。
然后,利用者终端110的扩展功能处理部112将具有服务器标识符、客户机标识符、在步骤S407中选择的通信方式的值、以及在步骤S407中决定的通信方式的中继处理装置120中的有效期限的通信方式通知消息发送到中继处理装置120。
该有效期限表示为通信方式的中继处理装置120上的能够利用的有效期限,使用从步骤S407的处理日期时间起经过了几个小时左右(规定时间)的日期时间等。
在步骤S409中,中继处理装置120的控制处理通信部128接收步骤S408的通信方式通知消息(选择结果)(通信方式接收单元),制作包括该通信方式通知消息中包含的、服务器标识符、客户机标识符、所决定的通信方式、以及有效期限的记录,将该记录保存在管理表保存部129的代理通信方式高速缓存表(图9)中。至此,结束通信方式决定处理。
(图5服务器证书验证处理的详细情况)
接下来,使用图5,说明图3中的步骤S308的详细即利用者终端110和中继处理装置120中的服务器证书验证处理的流程。
图5所示的步骤S503、步骤S505到步骤S507的处理由利用者终端110的CPU201执行而实现。
另外,步骤S501、步骤S502、步骤S504、以及步骤S508的处理由中继处理装置120的CPU201执行而实现。
另外,在图5所示的利用者终端110与中继处理装置120之间的通信,使用图1中的控制线路162。
在步骤S501中,中继处理装置120的通信控制部124从代理通信会话记录的服务器证书栏中取得信息提供处理装置150的服务器公开密钥证书,验证该服务器公开密钥证书的有效性。
作为验证项目,有该服务器公开密钥证书的认证通行证中的签名机构(CA)是否与作为信赖的签名机构而在CA证书保存部131中存储的机构一致、验证日期时间是否在证书有效期间内、基于CRL或者OCSP(Online Certificate Status Protocol,在线证书状态协议)的失效状态、认证通行证的长度等。
在步骤S502中,中继处理装置120判定步骤S501的所述服务器公开密钥证书的验证是否成功,如果判定为成功则进入到步骤S504,如果判定为失败,则将失败这样的结果信息通知到通信控制部124而结束。
在步骤S503中,利用者终端110的扩展功能处理部112经由控制线路162,向中继处理装置120的控制处理通信部128通过HTTPS进行连接,与信息提供处理装置150的服务器标识符和利用者终端110的客户机标识符一起,发送信息提供处理装置150的服务器公开密钥证书的取得要求消息(图11的步骤S1119)。
在步骤S504中,控制处理通信部128以在步骤S501中发送的服务器标识符和客户机标识符为关键字,从管理表保存部129的代理通信会话管理表中检索与该关键字一致的记录。然后,控制处理通信部128从管理表保存部129的代理通信会话管理表中取得一致的记录(代理通信会话记录)。然后,将该记录的服务器证书栏的值应答(发送)到利用者终端110的扩展功能处理部112(图11的步骤S1120)(发送单元)。
即,中继处理装置120将在确立服务器线路163的加密通信的线路时使用的(从信息提供处理装置150取得的)信息提供处理装置150的服务器公开密钥证书经由控制线路162发送到利用者终端110。
在步骤S505中,扩展功能处理部112对在步骤S503中接收到的服务器公开密钥证书的有效性进行验证(图11的步骤S1121)。作为验证单元由阅览处理部111实施与在SSL握手中实施的服务器证书的验证相同程度的验证。作为检查项目,有所述服务器公开密钥证书的认证通行证中的签名机构(CA)是否与作为信赖的签名机构而保存在CA证书保存部115中的机构一致、验证日期时间是否为证书有效期间内、通过CRL或者OCSP(Online Certificate Status Protocol)实现的失效状态、认证通行证的长度等。进而,扩展功能处理部112确认服务器公开密钥证书中的主体者名与信息提供处理装置150的主机名是否一致(RFC2818“3.终点的识别3.1服务器的身份”记载的方法)。
在步骤S506中,扩展功能处理部112针对在步骤S503中实施的验证结果和服务器公开密钥证书的内容,使用对话框进行显示,向利用者确认是否信赖服务器公开密钥证书而继续通信(图11的步骤S1121)。图15示出对话框的例子。
扩展功能处理部112判定是否按下了图15所示的画面内的“许可”按钮,在判定为按下的情况下,作为确认结果将验证成功了的意思发送到中继处理装置120的控制处理通信部128。另一方面,扩展功能处理部112在判定为没有按下“许可”按钮,而按下了“不许可”按钮的情况下,作为确认结果将验证没有成功的意思发送到中继处理装置120的控制处理通信部128。
在步骤S507中,扩展功能处理部112将在步骤S504中实施的由利用者进行的信息提供处理装置150的服务器公开密钥证书的确认结果作为验证结果而发送到中继处理装置120的控制处理通信部128(图11的步骤S1122)。
在步骤S508中,中继处理装置120的控制处理通信部128接收通过利用者终端110得到的信息提供处理装置150的服务器公开密钥证书的验证结果,将该结果通知到通信控制部124。
至此,结束服务器证书验证处理。
此处,利用者终端110将通过利用者终端110得到的信息提供处理装置150的服务器公开密钥证书的验证结果作为最终的验证结果,发送到中继处理装置120,但也可以将扩展功能处理部112执行的验证处理的结果作为最终的验证结果发送到中继处理装置120。
(图6客户机认证处理的详细情况)
接下来,使用图6,说明图3中的步骤S311的详细即利用者终端110和中继处理装置120中的客户机认证处理的流程。
图6所示的步骤S601、步骤S603到步骤S605、步骤S610、步骤S611、步骤S613、以及步骤S614由利用者终端110的CPU201执行、实现。
另外,步骤S603、步骤S606到步骤S612、步骤S615、以及步骤S616由中继处理装置120的CPU201执行、实现。
另外,在图6所示的利用者终端110与中继处理装置120之间的通信,使用图1中的控制线路162。
在步骤S601中,利用者终端110的扩展功能处理部112向中继处理装置120的控制处理通信部128通过HTTPS进行连接(控制线路162的开设),与服务器标识符和客户机标识符一起,发送信息提供处理装置150的客户机认证条件的取得要求消息。
在步骤S602中,中继处理装置120的控制处理通信部128以在步骤S601中接收到的服务器标识符和客户机标识符为关键字,从管理表保存部129的代理通信会话管理表中,检索与该关键字一致的记录。然后,中继处理装置120的控制处理通信部128根据检索的结果,取得从管理表保存部129的代理通信会话管理表中得到的记录(代理通信会话记录)。
然后,中继处理装置120的控制处理通信部128将所取得的该代理通信会话记录的客户机认证要求栏的值应答(发送)到利用者终端110的扩展功能处理部112(图11的步骤S1123)。
在步骤S603中,利用者终端110的扩展功能处理部112对在步骤S601中从中继处理装置120接收到的客户机认证要求的值进行解析,取得成为条件的签名算法、CA识别名,从密码密钥保存部113中存储的客户机公开密钥证书群中,取得与这些条件适合的客户机公开密钥证书(图11的步骤S1124)。
在步骤S604中,利用者终端110的扩展功能处理部112通过显示包括在步骤S603中取得的客户机公开密钥证书的内容的对话框等而向利用者显示。然后,利用者终端110的扩展功能处理部112作为向信息提供处理装置150的客户机认证中利用的证书,受理可否使用该客户机公开密钥证书的选择(图11的步骤S1124)。在步骤S603中取得的客户机公开密钥证书是多个的情况下,扩展功能处理部112显示对话框等而作为客户机认证中使用的客户机公开密钥证书,使利用者选择1个之后进行确认处理(受理可否使用的选择)。扩展功能处理部112在步骤S603中没有与条件适合的客户机公开密钥证书的情况下什么都不做。
在步骤S605中,利用者终端110的扩展功能处理部112将在步骤S604中利用者进行了利用确认的(由利用者选择的)客户机公开密钥证书发送到中继处理装置120(图11的步骤S1125)。另外,扩展功能处理部112在步骤S604中没有客户机公开密钥证书的情况下发送没有相应的意思的消息。
在步骤S606中,中继处理装置120的控制处理通信部128从利用者终端110接收客户机公开密钥证书,将该客户机公开密钥证书传递到通信控制部124。即,在步骤S606中,中继处理装置120使用控制线路162,从利用者终端110取得客户机公开密钥证书(取得单元)。
在步骤S607中,中继处理装置120的通信控制部124将该客户机公开密钥证书保存在代理通信会话记录的客户机证书栏中。
接下来,通信控制部124将该客户机公开密钥证书传送到服务器侧密码处理部125。服务器侧密码处理部125在服务器线路163中的与信息提供处理装置150的SSL握手处理中,制作包括该客户机公开密钥证书的SSL Client Certificate消息并发送到信息提供处理装置150(图11的步骤S1126)(公开密钥发送单元)。中继处理装置120在步骤S606中接收到没有客户机公开密钥证书的消息的情况下,服务器侧密码处理部125使SSL Client Certificate消息的证书区域保持空不变,而发送SSL Client Certificate消息。
在步骤S608中,中继处理装置120的控制处理通信部128在SSLClient Certificate消息中没有客户机公开密钥证书的情况下,结束中继处理装置120侧的处理。对于控制处理通信部128,中继处理装置120的控制处理通信部128在该消息中有客户机公开密钥证书的情况下前进到步骤S609。
在步骤S609中,中继处理装置120的通信控制部124根据SSL(包括TLS)的规章制作签名对象数据。例如,TLS/1.0中的签名对象数据如RFC2246的“7.4.8.CertificateVerify消息”的记载那样,成为将在从SSL ClientHello消息到当前的消息中去除CertificateVerify消息的、发送或者接收了的所有握手消息连结而得到的数据的消息摘要值。即,签名对象数据是为了确立服务器线路163的加密通信而与信息提供处理装置150进行了通信的数据。中继处理装置120的通信控制部124将所制作的签名对象数据发送到控制处理通信部128。
在步骤S610中,利用者终端110的扩展功能处理部112在步骤S604中没有与条件适合的客户机公开密钥证书的情况下,结束利用者终端侧的处理。扩展功能处理部112在有客户机公开密钥证书的情况下进入到步骤S611。
在步骤S611中,利用者终端110的扩展功能处理部112向中继处理装置120的控制处理通信部128通过HTTPS进行连接,将签名对象数据要求消息发送到中继处理装置120。利用者终端110的扩展功能处理部112接收中继处理装置120在步骤S612中发送的签名对象数据。
在步骤S612中,中继处理装置120的控制处理通信部128如果从利用者终端110接收到该签名对象数据要求消息,则将在步骤S609中生成的签名对象数据发送到利用者终端110的扩展功能处理部112(图11的步骤S1127)。
在步骤S613中,利用者终端110的扩展功能处理部112从密码密钥保存部113取得与在步骤S605中发送到中继处理装置120的客户机公开密钥证书成对的秘密密钥,使用该秘密密钥对在步骤S611中接收到的签名对象数据实施签名处理(加密)而制作签名数据。
在步骤S614中,利用者终端110的扩展功能处理部112向中继处理装置120的控制处理通信部128通过HTTPS进行连接,将在步骤S613中制作的签名数据发送到中继处理装置120(图11的步骤S1128)。
在步骤S615中,中继处理装置120的控制处理通信部128从利用者终端110接收该签名数据,将该签名数据传递到通信控制部124。
在步骤S616中,中继处理装置120的通信控制部124将该签名数据发送到服务器侧密码处理部125,服务器侧密码处理部125制作包括该签名数据的SSL Certificate Verify消息,发送到信息提供处理装置150(图11的步骤S1129)(签名数据发送单元)。
以上,结束了客户机认证处理。
(图7AP数据中继处理的详细情况)
接下来,使用图7,说明图3中的步骤S314的详细情况即中继处理装置120中的AP(应用)数据(通信数据)的中继处理的流程。
另外,图7所示的步骤S701到步骤S713通过中继处理装置120的CPU201执行来实现。
在步骤S701中,客户机通信部121经由代理线路161从利用者终端110接收加密通信要求消息,将该加密通信要求消息发送到客户机侧密码处理部123。
在步骤S702中,客户机侧密码处理部123针对该加密通信要求消息(第1加密数据),使用代理通信会话记录(图10的当前处理对象的记录)的公共密钥及其他-C栏中存储的公共密钥(第1公共密钥)进行解密(第1解密单元),制作该解密的明文化通信要求消息。客户机侧密码处理部123将该明文化通信要求消息发送到通信控制部124。
在步骤S703中,通信控制部124将明文化通信要求消息(通过对第1加密数据进行解密而得到的通信数据)发送到附加功能处理部130,附加功能处理部130对所述明文化通信要求消息执行附加功能(检查)(第1检查单元)。附加功能处理部130将表示可否继续中继处理的中继可否判定结果、和中继用的明文化通信要求消息作为附加功能的执行结果(检查结果),发送到通信控制部124。
作为附加功能(检查处理)的例子,例如有针对明文化通信要求消息,进行关键字检查而检查作为机密信息是否包括禁止向外部发送的数据的处理等。其结果,如果判定为在明文化通信要求消息中包括被禁止的数据,则中继可否判定结果成为“可”,中继用的明文化通信要求消息成为对原来的明文化通信要求消息附加了是“已检查”的头的消息,在此设想了上述的情形等。这样,附加功能处理部130进行检查所解密的数据的附加功能的处理(检查处理)。
在步骤S704中,如果附加功能的处理的结果,中继可否判定结果是“可”,则通信控制部124进入到步骤S705,如果是“不可”则进入到步骤S713(第1决定单元)。
在步骤S705中,通信控制部124将中继用的明文化通信要求消息发送到服务器侧密码处理部125,服务器侧密码处理部125针对该中继用的明文化通信要求消息,使用代理通信会话记录的公共密钥及其他-S栏中存储的公共密钥来进行加密,而制作中继用的加密通信要求消息。
在步骤S706中,服务器侧密码处理部125将中继用的加密通信要求消息发送到服务器通信部122,服务器通信部122将该中继用的加密通信要求消息发送到信息提供处理装置150的服务器处理部151。
在步骤S707中,服务器通信部122从信息提供处理装置150的服务器处理部151接收加密后的加密通信应答消息(第2加密数据),将该加密通信应答消息发送到服务器侧密码处理部125。
在步骤S708中,服务器侧密码处理部125针对该加密通信应答消息,使用代理通信会话记录的公共密钥及其他-S栏中存储的公共密钥(第2公共密钥)进行解密(第2解密单元),而制作该解密的明文化通信应答消息。服务器侧密码处理部125将该明文化通信应答消息发送到通信控制部124。
在步骤S709中,通信控制部124将明文化通信应答消息(通过对第2加密数据进行解密而得到的通信数据)发送到附加功能处理部130,附加功能处理部130对该明文化通信应答消息执行附加功能(第2检查单元)。作为所述附加功能的执行结果,附加功能处理部130将表示可否继续中继处理的中继可否判定结果、和中继用明文化通信应答消息发送到通信控制部124。
作为附加功能的例子,例如有对明文化通信应答消息进行防病毒处理等。在该情况下,附加功能处理部130检查在明文化通信应答消息中是否包括病毒,如果判定为在明文化通信应答消息中包括病毒,则中继可否判定结果成为“不可”。在该情况下,中继处理装置120不将中继用的明文化通信应答消息发送到利用者终端110,而将“为了探测病毒而切断了通信线路”等消息发送到利用者终端110等,在此设想了上述情形等。
即,决定为中继处理装置120在作为通过附加功能处理部130进行的附加功能的执行结果,中继可否判定结果是“不可”的情况下,不将明文化通信应答消息发送到利用者终端110,另一方面,在中继可否判定结果是“可”的情况下,将明文化通信应答消息中继到利用者终端110(第2决定单元)。
在作为通过附加功能处理部130进行的检查结果,中继可否判定结果是“可”的情况(例如,在判定为在明文化通信应答消息中不包括病毒的情况)下,在步骤S710中,通信控制部124将中继用的明文化通信应答消息发送到客户机侧密码处理部123,客户机侧密码处理部123针对该中继用的明文化通信应答消息,使用代理通信会话记录的公共密钥及其他-C栏中存储的公共密钥进行加密而制作中继用的加密通信应答消息。
在步骤S711中,客户机侧密码处理部123将中继用的加密通信应答消息发送到客户机通信部121,客户机通信部121将该中继用的加密通信应答消息发送到利用者终端110的阅览处理部111。
在步骤S712中,通信控制部124根据明文化通信应答消息等判定是否结束应用通信(HTTP事务),如果判定为结束则结束处理。如果判定为继续则进入到步骤S701。
在步骤S713中,通信控制部124根据在步骤S703中生成的中继可否判定结果(中继可否判定结果是“不可”)和中继用的明文化通信要求消息,制作“请求发送被禁止”等中继用的明文化通信应答消息,进入到步骤S710中。在步骤S710中,中继处理装置120针对在此生成的中继用的明文化通信应答消息,使用代理通信会话记录的公共密钥及其他-C栏中存储的公共密钥进行加密,制作中继用的加密通信应答消息,在步骤S711中发送到利用者终端110。
以上,结束AP数据中继处理。
如以上的说明,根据本实施方式,在对基于加密通信的数据进行中继时,能够检查该数据,并且能够根据合法的证书来确认通信对方的合法性。
进而,根据本实施方式,例如在通过利用者终端阅览银行的存款等Web页面的情况下,在中继处理装置中也检查利用者终端的操作用户的通行证口令等个人的信息的情况减少。
即,能够根据Web站点,来决定是否检查所通信的数据,所以还可以进行控制以提高信息泄漏等安全性,并且避免取得并检查个人的信息。
另外,根据本实施方式,信息提供处理装置能够确认通信对方即利用者终端的合法性。
另外,根据本发明,在再次开始通过代理方式实现的加密通信的情况下,能够使用已经存储的会话ID、公共密钥等来再次开始。
以上,详述了实施方式例,但本发明例如能够取作为系统、装置、方法、程序或者存储介质等的实施方式,具体而言,既可以应用于由多个机器构成的系统,并且,也可以应用于由一个机器构成的装置。
<第2实施方式>
在第1实施方式中,在HTTPS(HTTP over SSL(包括TLS))通信中,针对利用者终端110向中继处理装置120(代理服务器)通过CONNECT方法进行连接并对向信息提供处理装置150(Web服务器)的通信进行隧道的构造,说明了对加密通信信息进行解密而制作附加功能的方法、和即使在该情况下也使实体认证有效地发挥功能的方法。但是,由于基于CONNECT方法实现的中继协议是不限于HTTP通信的通用的传输通信的隧道手法,所以即使在例如使用IMAP overSSL(包括TLS)、POP3over SSL(包括TLS)、以及SMTP over SSL(包括TLS)等SSL(包括TLS)的其他通信协议的情况下也可以通过同样的结构来应用。
例如,在应用于IMAP over SSL(包括TLS)的情况下,利用者终端110的阅览处理部111是具备IMAP over SSL(包括TLS)客户机功能的邮件用户代理商,信息提供处理装置150的服务器处理部151是具备IMAP over SSL(包括TLS)功能的IMAP服务器。
如以上的说明,根据本实施方式,在无需变更各通信规地对基于加密通信的数据进行中继时,能够检查该数据,并且能够根据合法的证书来确认通信对方的合法性。
另外,由于控制线路也是SSL通信,所以还能够防止中继处理装置自身的冒充。接下来,使用图19以及图20,对本发明中的中继处理装置的功能进行说明。
图19是本发明中的中继处理装置的功能框图。1901表示本发明中的中继处理装置。
即,1901是对在客户机终端(利用者终端110)与信息处理装置(信息提供处理装置150)之间通信的通信数据进行中继的中继处理装置120。
此处,本实施例的利用者终端110是本发明的客户机终端的应用例。另外,本实施例的信息提供处理装置150是本发明的信息处理装置的应用例。
1902是与客户机终端确立在通信数据的通信中使用的第1SSL通信的第1确立部。
1903是与信息处理装置确立在通信数据的通信中使用的第2SSL通信的第2确立部。
1904是将在由第2确立部确立第2SSL通信时从信息处理装置取得的信息处理装置的公开密钥证书,发送到由第1确立部确立第1SSL通信的客户机终端的发送部。
接下来,使用图20,对本发明中的中继处理装置的功能进行说明。
图20是本发明中的中继处理装置的功能框图。
2000是对在客户机终端(利用者终端110)与信息处理装置(信息提供处理装置150)之间通信的通信数据进行中继的中继处理装置120。
1902、1903、以及1904的功能与图19中说明的功能相同,所以此处省略说明。
2001是与客户机终端确立控制通信的通信确立部。
另外,发送部1904针对在由第2确立部确立第2SSL通信时从信息处理装置取得的信息处理装置的公开密钥证书,使用由通信确立部确立的控制通信,发送到由第1确立部进行第1SSL通信的确立的客户机终端。
2002是从客户机终端接收向信息处理装置的SSL通信的要求的接收部。
2003是进行控制,使得以通过接收部从客户机终端接收到SSL通信的要求为条件,进行由第1确立部执行的第1SSL通信确立、以及由第2确立部执行的第2SSL通信确立的控制部。
2004是使用在客户机终端与信息处理装置之间确立的第3SSL通信,对在客户机终端与信息处理装置之间通信的通信数据进行中继的中继部。
2005是如下存储部:针对表示从客户机终端发送的通信数据的中继目的地的信息处理装置的中继目的地信息,作为许可通信数据的中继的通信方式,存储设定了表示是在中继部中使用第3SSL通信进行通信数据的中继的直接通信方式、还是使用由第1确立部确立的第1SSL通信以及由第2确立部确立的第2SSL通信来进行通信数据的中继的代理通信方式的通信方式信息的通信方式设定信息。
2006是从客户机终端受理对通信数据进行中继的中继目的地信息的受理部。
2007是按照存储部中存储的通信方式设定信息和由受理部受理的中继目的地信息,决定许可由受理部受理的中继目的地信息示出的中继目的地的信息处理装置与客户机终端之间的通信的通信方式是直接通信方式还是代理通信方式的通信决定部。
此处,控制部2003进行控制,使得以由通信决定部作为许可信息处理装置与客户机终端之间的通信的通信方式决定了代理通信方式为条件,进行通过第1确立部执行的第1SSL通信确立以及通过第2确立部执行的第2SSL通信确立。
另外,中继部2004还以由通信决定部作为许可信息处理装置与客户机终端之间的通信的通信方式决定了直接通信方式为条件,使用在客户机终端与信息处理装置之间确立的第3SSL通信,对在客户机终端与信息处理装置之间通信的通信数据进行中继。
另外,在存储部中存储的通信方式设定信息中,还针对中继目的地信息,设定表示客户机终端的客户机信息,受理部还受理受理了中继目的地信息的客户机终端的客户机信息,通信决定部依照存储部中存储的通信方式设定信息、由受理部受理的中继目的地信息、以及由受理部受理的客户机信息,决定许可由受理部受理的中继目的地信息示出的中继目的地的信息处理装置、与通过由受理部受理的客户机信息表示的客户机终端之间的通信的通信方式。
在存储部中存储的通信方式设定信息的通信方式信息中,还包括表示依照由客户机终端的操作用户提供的指示来决定进行通信的通信方式的指示信息。
2008是在针对由受理部受理的中继目的地信息的、存储部中存储的通信方式设定信息的通信方式信息是指示信息的情况下,向客户机终端发送用于将用于受理通信方式的指示的指示画面显示于所述客户机终端中的通信方式指示信息的通信方式发送部。
2009是从客户机终端接收表示由客户机终端的操作用户经由按照通过通信方式发送部发送的通信方式指示信息显示的指示画面而指示的通信方式的通信方式信息的通信方式接收部。
另外,通信决定部还将由通信方式接收部接收到的通信方式信息示出的通信方式,决定为在由受理部受理的中继目的地信息示出的中继目的地的信息处理装置与客户机终端之间进行通信的通信方式,控制部还进行控制,使得以由通信决定部作为在信息处理装置与客户机终端之间进行通信的通信方式决定了代理通信方式为条件,进行通过第1确立部执行的第1SSL通信确立以及通过第2确立部执行的第2SSL通信确立。
另外,在存储部中存储的通信方式设定信息中,针对中继目的地信息,还设定表示客户机终端的客户机信息,受理部还受理受理了中继目的地信息的客户机终端的客户机信息,通信方式发送部在由受理部受理的中继目的地信息、以及针对客户机信息的、存储部中存储的通信方式设定信息的通信方式信息是指示信息的情况下,向客户机终端发送用于将用于指示通信方式的指示画面显示于客户机终端中的通信方式指示信息。
2010是使用由通信确立部确立的控制通信从客户机终端取得客户机终端的公开密钥证书的取得部。
2011是将由取得部取得的客户机终端的公开密钥证书,作为在由第2确立部确立第2SSL通信时使用的中继处理装置的公开密钥证书而发送到信息处理装置的公开密钥发送部。
2012是向信息处理装置发送通过使用与由公开密钥发送部发送到信息处理装置的客户机终端的公开密钥证书对应的秘密密钥加密由第2确立部为了确立第2SSL通信而与信息处理装置进行了通信的数据而生成的签名数据的签名数据发送部。
2013是针对使用由第1确立部确立的第1SSL通信从客户机终端接收到的、对通信数据进行加密而得到的第1加密数据,使用在由第1确立部确立第1SSL通信时生成的第1公共密钥进行解密的第1解密部。
2014是检查通过由第1解密部对第1加密数据进行解密而得到的通信数据的第1检查部。
2015是按照由第1检查部得到的检查结果,决定是否将由第1检查部检查的通信数据中继到信息处理装置的第1决定部。
2016是针对使用由第2确立部确立的第2SSL通信从信息处理装置接收到的、对通信数据进行加密而得到的第2加密数据,使用在由第2确立部确立第2SSL通信时生成的第2公共密钥进行解密的第2解密部。
2017是检查通过由第2解密部对第2加密数据进行解密而得到的通信数据的第2检查部。
2018是按照由第2检查部得到的检查结果,决定是否将由第2检查部检查的通信数据中继到客户机终端的第2决定部。
2019是将在由第1确立部确立第1SSL通信时生成的第1公共密钥、识别该第1SSL通信的会话的第1会话识别信息、在由第2确立部确立第2SSL通信时生成的第2公共密钥、以及识别该第2SSL通信的会话的第2会话识别信息关联起来存储的代理通信存储部。
2020是接收从客户机终端向信息处理装置的、包含第1会话识别信息的SSL通信的再次开始要求的再次开始要求接收部。
2021是判定由再次开始要求接收部接收到的、SSL通信的再次开始要求中包含的第1会话识别信息是否存储于代理通信存储部中的判定部。
2022是在由判定部判定为第1会话识别信息存储于代理通信存储部中的情况下,使用与该第1会话识别信息关联起来存储于代理通信存储部中的第1公共密钥而与客户机终端再次开始第1SSL通信,并且使用与该第1会话识别信息关联起来存储于代理通信存储部中的第2公共密钥和第2会话识别信息,而与信息处理装置再次开始第2SSL通信的通信再次开始部。
另外,由通信确立部2001确立的控制通信是SSL通信。
以上,详述了本发明的一个实施方式,但本发明例如能够取作为系统、装置、方法、以及存储介质等的实施方式,具体而言,既可以应用于由多个机器构成的系统,并且,也可以应用于由一个机器构成的装置。
另外,本发明的目的当然还可以通过将记录有实现所述实施方式的功能的软件的程序代码的存储介质供给到系统或者装置,该系统或者装置的计算机(或者CPU、MPU)读出并执行存储在存储介质中的程序代码来达成。
在该情况下,从存储介质读出的程序代码自身实现所述实施方式的功能。
作为用于供给程序代码的存储介质,例如能够使用软盘、硬盘、光盘、光磁盘、CD-ROM、CD-R、磁带、非易失性的存储卡、以及ROM等。
另外,不仅是通过计算机执行所读出的程序代码,实现所述实施方式的功能的情况,而且当然还包括根据该程序代码的指示,在计算机上工作的OS(基本系统或者操作系统)等进行实时的处理的一部分或者全部,并通过该处理实现所述实施方式的功能的情况。
进而,当然还包括将从存储介质读出的程序代码写入到插入于计算机的功能扩展板、与计算机连接的功能扩展部件具备的存储器中之后,根据该程序代码的指示,该功能扩展板、功能扩展部件具备的CPU等进行实时的处理的一部分或者全部,通过该处理实现所述实施方式的功能的情况。
Claims (28)
1.一种中继处理装置,对在客户机终端与信息处理装置之间通信的通信数据进行中继,其特征在于,具备:
第一确立单元,与所述客户机终端确立在所述通信数据的通信中使用的第一SSL通信;
第二确立单元,与所述信息处理装置确立在所述通信数据的通信中使用的第二SSL通信;以及
发送单元,将在由所述第二确立单元确立第二SSL通信时从所述信息处理装置取得的所述信息处理装置的公开密钥证书,发送到由所述第一确立单元确立第一SSL通信的所述客户机终端。
2.根据权利要求1所述的中继处理装置,其特征在于,
还具备与所述客户机终端确立控制通信的通信确立单元,
所述发送单元将在由所述第二确立单元确立第二SSL通信时从所述信息处理装置取得的所述信息处理装置的公开密钥证书,使用由所述通信确立单元确立的控制通信,发送到由所述第一确立单元进行第一SSL通信的确立的所述客户机终端。
3.根据权利要求1或2所述的中继处理装置,其特征在于,还具备:
接收单元,从所述客户机终端接收向所述信息处理装置的SSL通信的要求;
控制单元,进行控制,使得以由所述接收单元从所述客户机终端接收到SSL通信的要求为条件,进行由所述第一确立单元执行的第一SSL通信的确立、以及由所述第二确立单元执行的第二SSL通信的确立。
4.根据权利要求3所述的中继处理装置,其特征在于,还具备:
中继单元,使用在所述客户机终端与所述信息处理装置之间确立的第三SSL通信,对在所述客户机终端与所述信息处理装置之间通信的通信数据进行中继;
存储单元,针对中继目的地信息,作为许可所述通信数据的中继的通信方式,将设定了表示是直接通信方式、还是代理通信方式的通信方式信息的通信方式设定信息进行存储,其中,所述中继目的地信息表示从所述客户机终端发送的所述通信数据的中继目的地的信息处理装置,所述直接通信方式由所述中继单元使用所述第三SSL通信进行所述通信数据的中继,所述代理通信方式使用由所述第一确立单元确立的第一SSL通信以及由所述第二确立单元确立的第二SSL通信来进行所述通信数据的中继;
受理单元,从所述客户机终端受理对所述通信数据进行中继的中继目的地信息;以及
通信决定单元,按照所述存储单元中存储的通信方式设定信息、和由所述受理单元受理的中继目的地信息,决定对由所述受理单元受理的中继目的地信息示出的中继目的地的信息处理装置与所述客户机终端之间的通信进行许可的通信方式是直接通信方式还是代理通信方式,
所述控制单元还进行控制,使得以由所述通信决定单元决定了代理通信方式作为许可所述信息处理装置与所述客户机终端之间的通信的通信方式为条件,进行由所述第一确立单元执行的第一SSL通信的确立、以及由所述第二确立单元执行的第二SSL通信的确立。
5.根据权利要求4所述的中继处理装置,其特征在于,
所述中继单元还以由所述通信决定单元决定了直接通信方式作为许可所述信息处理装置与所述客户机终端之间的通信的通信方式为条件,使用在所述客户机终端与所述信息处理装置之间确立的第三SSL通信,对在所述客户机终端与所述信息处理装置之间通信的通信数据进行中继。
6.根据权利要求5所述的中继处理装置,其特征在于,
在所述存储单元中存储的通信方式设定信息中,还针对所述中继目的地信息,设定表示所述客户机终端的客户机信息,
所述受理单元还受理受理了所述中继目的地信息的客户机终端的客户机信息,
所述通信决定单元按照所述存储单元中存储的通信方式设定信息、由所述受理单元受理的中继目的地信息、以及由所述受理单元受理的客户机信息,决定许可由所述受理单元受理的中继目的地信息示出的中继目的地的信息处理装置、与通过由所述受理单元受理的客户机信息示出的客户机终端之间的通信的通信方式。
7.根据权利要求5或6所述的中继处理装置,其特征在于,
所述存储单元中存储的通信方式设定信息的通信方式信息,还包括按照所述客户机终端的操作用户的指示来决定进行所述通信的通信方式的指示信息,
所述中继处理装置还具备:
通信方式发送单元,在针对由所述受理单元受理的中继目的地信息的、所述存储单元中存储的通信方式设定信息的通信方式信息是所述指示信息的情况下,向所述客户机终端发送用于将用于受理所述通信方式的指示的指示画面显示于所述客户机终端中的通信方式指示信息;以及
通信方式接收单元,从客户机终端接收表示由所述客户机终端的操作用户经由按照由所述通信方式发送单元发送的通信方式指示信息显示的指示画面而指示的通信方式的通信方式信息,
所述通信决定单元还将由所述通信方式接收单元接收到的通信方式信息示出的通信方式,决定为在由所述接收单元接收到的中继目的地信息示出的中继目的地的信息处理装置与所述客户机终端之间进行通信的通信方式,
所述控制单元还进行控制,使得以由所述通信决定单元决定了代理通信方式而作为在所述信息处理装置与所述客户机终端之间进行通信的通信方式为条件,进行由所述第一确立单元执行的第一SSL通信的确立、以及由所述第二确立单元执行的第二SSL通信的确立。
8.根据权利要求7所述的中继处理装置,其特征在于,
在所述存储单元中存储的通信方式设定信息中,针对所述中继目的地信息,还设定有表示所述客户机终端的客户机信息,
所述受理单元还受理受理了所述中继目的地信息的客户机终端的客户机信息,
所述通信方式发送单元在与由所述受理单元受理的中继目的地信息、以及针客户机信息相对的、所述存储单元中存储的通信方式设定信息的通信方式信息是所述指示信息的情况下,向所述客户机终端发送用于将用于指示所述通信方式的指示画面显示于所述客户机终端的通信方式指示信息。
9.根据权利要求1~8中的任意一项所述的中继处理装置,其特征在于,还具备:
取得单元,使用由所述通信确立单元确立的控制通信,从所述客户机终端取得所述客户机终端的公开密钥证书;以及
公开密钥发送单元,将由所述取得单元取得的客户机终端的公开密钥证书,作为在由所述第二确立单元确立第二SSL通信时使用的所述中继处理装置的公开密钥证书而发送到所述信息处理装置。
10.根据权利要求1~9中的任意一项所述的中继处理装置,其特征在于,
还具备:签名数据发送单元,向所述信息处理装置发送签名数据,
其中,该签名数据是通过使用秘密密钥对由所述第二确立单元为了确立所述第二SSL通信而与所述信息处理装置进行了通信的数据进行加密而生成的,该秘密密钥与由所述公开密钥发送单元发送到所述信息处理装置的所述客户机终端的公开密钥证书对应。
11.根据权利要求1~10中的任意一项所述的中继处理装置,其特征在于,还具备:
第一解密单元,针对使用由所述第一确立单元确立的第一SSL通信从所述客户机终端接收到的、对所述通信数据进行加密而得到的第一加密数据,使用在由所述第一确立单元确立所述第一SSL通信时生成的第一公共密钥进行解密;
第一检查单元,检查通过由所述第一解密单元对所述第一加密数据进行解密而得到的通信数据;以及
第一决定单元,按照所述第一检查单元的检查结果,决定是否将由所述第一检查单元检查的通信数据中继到所述信息处理装置。
12.根据权利要求1~11中的任意一项所述的中继处理装置,其特征在于,还具备:
第二解密单元,针对使用由所述第二确立单元确立的第二SSL通信从所述信息处理装置接收到的、对所述通信数据进行加密而得到的第二加密数据,使用在由所述第二确立单元确立所述第二SSL通信时生成的第二公共密钥进行解密;
第二检查单元,检查通过由所述第二解密单元对所述第二加密数据进行解密而得到的通信数据;以及
第二决定单元,按照所述第二检查单元的检查结果,决定是否将由所述第二检查单元检查的通信数据中继到所述客户机终端。
13.根据权利要求1~12中的任意一项所述的中继处理装置,其特征在于,还具备:
代理通信存储单元,将在由所述第一确立单元确立所述第一SSL通信时生成的第一公共密钥、识别该第一SSL通信的会话的第一会话识别信息、在由所述第二确立单元确立所述第二SSL通信时生成的第二公共密钥、以及识别该第二SSL通信的会话的第二会话识别信息关联起来存储;
再次开始要求接收单元,接收从所述客户机终端向所述信息处理装置的、包含所述第一会话识别信息的SSL通信的再次开始要求;
判定单元,判定由所述再次开始要求接收单元接收到的、SSL通信的再次开始要求中包含的所述第一会话识别信息是否存储于所述代理通信存储单元中;以及
通信再次开始单元,在由所述判定单元判定为该第一会话识别信息存储于所述代理通信存储单元中的情况下,使用与该第一会话识别信息关联起来存储于所述代理通信存储单元中的所述第一公共密钥而与所述客户机终端再次开始所述第一SSL通信,并且使用与该第一会话识别信息关联起来存储于所述代理通信存储单元中的该第二公共密钥和该第二会话识别信息而与所述信息处理装置再次开始所述第二SSL通信。
14.根据权利要求1~13中的任意一项所述的中继处理装置,其特征在于,
由所述通信确立单元确立的控制通信是SSL通信。
15.一种对在客户机终端与信息处理装置之间通信的通信数据进行中继的中继处理装置的中继处理方法,其特征在于,具备:
第一确立工序,所述中继处理装置的第一确立单元与所述客户机终端确立在所述通信数据的通信中使用的第一SSL通信;
第二确立工序,所述中继处理装置的所述第二确立单元与所述信息处理装置确立在所述通信数据的通信中使用的第二SSL通信;以及
发送工序,所述中继处理装置的发送单元将在所述第二确立工序中确立第二SSL通信时从所述信息处理装置取得的所述信息处理装置的公开密钥证书,发送到通过所述第一确立工序确立第一SSL通信的所述客户机终端。
16.根据权利要求15所述的中继处理装置的中继处理方法,其特征在于,
还具备所述中继处理装置的通信确立单元与所述客户机终端确立控制通信的通信确立工序,
在所述发送工序中,将在所述第二确立工序中确立第二SSL通信时从所述信息处理装置取得的所述信息处理装置的公开密钥证书,使用通过所述通信确立工序确立的控制通信,发送到通过所述第一确立工序进行第一SSL通信的确立的所述客户机终端。
17.根据权利要求15或16所述的中继处理装置的中继处理方法,其特征在于,还具备:
接收工序,所述中继处理装置的接收单元从所述客户机终端,接收向所述信息处理装置的SSL通信的要求;以及
控制工序,所述中继处理装置的控制单元进行控制,使得以在所述接收工序中从所述客户机终端接收到SSL通信的要求为条件,进行通过所述第一确立工序执行的第一SSL通信的确立、以及通过所述第二确立工序执行的第二SSL通信的确立。
18.根据权利要求17所述的中继处理装置的中继处理方法,其特征在于,
还具备所述中继处理装置的中继单元使用在所述客户机终端与所述信息处理装置之间确立的第三SSL通信,对在所述客户机终端与所述信息处理装置之间通信的通信数据进行中继的中继工序,
该中继装置具备存储装置,在存储装置中,针对中继目的地信息,作为许可所述通信数据的中继的通信方式,存储设定了表示是直接通信方式、还是代理通信方式的通信方式信息的通信方式设定信息,其中,所述中继目的地信息表示从所述客户机终端发送的所述通信数据的中继目的地的信息处理装置,所述直接通信方式在所述中继工序中使用所述第三SSL通信来进行所述通信数据的中继,所述代理通信方式使用通过所述第一确立工序确立的第一SSL通信以及通过所述第二确立工序确立的第二SSL通信来进行所述通信数据的中继,
该中继处理方法还具备:
受理工序,所述中继处理装置的受理单元从所述客户机终端受理对所述通信数据进行中继的中继目的地信息;以及
通信决定工序,所述中继处理装置的通信决定单元按照所述存储装置中存储的通信方式设定信息、和在所述受理工序中受理的中继目的地信息,决定对在所述受理工序中受理的中继目的地信息示出的中继目的地的信息处理装置与所述客户机终端之间的通信进行许可的通信方式是直接通信方式还是代理通信方式,
所述控制工序还进行控制,使得以在所述通信决定工序中决定了代理通信方式而作为许可所述信息处理装置与所述客户机终端之间的通信的通信方式为条件,进行通过所述第一确立工序执行的第一SSL通信的确立、以及通过所述第二确立工序执行的第二SSL通信的确立。
19.根据权利要求18所述的中继处理装置的中继处理方法,其特征在于,
所述中继工序,还以在所述通信决定工序中决定了直接通信方式而作为许可所述信息处理装置与所述客户机终端之间的通信的通信方式为条件,使用在所述客户机终端与所述信息处理装置之间确立的第三SSL通信,对在所述客户机终端与所述信息处理装置之间通信的通信数据进行中继。
20.根据权利要求19所述的中继处理装置的中继处理方法,其特征在于,
所述存储装置中存储的通信方式设定信息,还针对所述中继目的地信息,设定有表示所述客户机终端的客户机信息,
在所述受理工序中,还受理受理了所述中继目的地信息的客户机终端的客户机信息,
在所述通信决定工序中,按照所述存储装置中存储的通信方式设定信息、在所述受理工序中受理的中继目的地信息、以及在所述受理工序中受理的客户机信息,决定对在所述受理工序中受理的中继目的地信息示出的中继目的地的信息处理装置、与通过在所述受理工序中受理的客户机信息示出的客户机终端之间的通信进行许可的通信方式。
21.根据权利要求19或20所述的中继处理装置的中继处理方法,其特征在于,
所述存储装置中存储的通信方式设定信息的通信方式信息,还包括表示按照所述客户机终端的操作用户的指示而决定进行所述通信的通信方式的指示信息,
该中继处理方法还具备:
通信方式发送工序,所述中继处理装置的通信方式发送单元在针对在所述受理工序中受理的中继目的地信息的、所述存储装置中存储的通信方式设定信息的通信方式信息是所述指示信息的情况下,向所述客户机终端发送用于将用于受理所述通信方式的指示的指示画面显示于所述客户机终端中的通信方式指示信息;以及
通信方式接收工序,所述中继处理装置的通信方式接收单元从所述客户机终端接收表示由客户机终端的操作用户经由按照在所述通信方式发送工序中发送的通信方式指示信息显示的指示画面而指示的通信方式的通信方式信息,
所述通信决定工序还将在所述通信方式接收工序中接收到的通信方式信息示出的通信方式,决定为在所述受理工序中受理的中继目的地信息示出的中继目的地的信息处理装置与所述客户机终端之间进行通信的通信方式,
所述控制工序还进行控制,使得以在所述通信决定工序中决定了代理通信方式而作为在所述信息处理装置与所述客户机终端之间进行通信的通信方式为条件,进行通过所述第一确立工序执行的第一SSL通信的确立、以及通过所述第二确立工序执行的第二SSL通信的确立。
22.根据权利要求21所述的中继处理装置的中继处理方法,其特征在于,
所述存储装置中存储的通信方式设定信息,针对所述中继目的地信息,还设定有表示所述客户机终端的客户机信息,
在所述受理工序中,还受理受理了所述中继目的地信息的客户机终端的客户机信息,
所述通信方式发送工序,在与所述受理工序中受理的中继目的地信息以及客户机信息相对的、所述存储装置中存储的通信方式设定信息的通信方式信息是所述指示信息的情况下,向所述客户机终端发送用于将用于指示所述通信方式的指示画面显示于所述客户机终端中的通信方式指示信息。
23.根据权利要求15~22中的任意一项所述的中继处理装置的中继处理方法,其特征在于,还具备:
取得工序,所述中继处理装置的取得单元使用在所述通信确立工序中确立的控制通信,从所述客户机终端取得所述客户机终端的公开密钥证书;以及
公开密钥发送工序,所述中继处理装置的公开密钥发送单元将在所述取得工序中取得的客户机终端的公开密钥证书,作为在所述第二确立工序中确立第二SSL通信时使用的所述中继处理装置的公开密钥证书而发送到所述信息处理装置。
24.根据权利要求15~23中的任意一项所述的中继处理装置的中继处理方法,其特征在于,
还具备:签名数据发送工序,所述中继处理装置的签名数据发送单元向所述信息处理装置发送通过使用秘密密钥加密在所述第二确立工序中为了确立所述第二SSL通信而与所述信息处理装置进行了通信的数据而生成的签名数据,该秘密密钥与通过所述公开密钥发送工序发送到所述信息处理装置的所述客户机终端的公开密钥证书对应。
25.根据权利要求15~24中的任意一项所述的中继处理装置的中继处理方法,其特征在于,还具备:
第一解密工序,所述中继处理装置的第一解密单元针对使用通过所述第一确立工序确立的第一SSL通信从所述客户机终端接收到的、对所述通信数据进行加密而得到的第一加密数据,使用在所述第一确立工序中确立所述第一SSL通信时生成的第一公共密钥进行解密;
第一检查工序,所述中继处理装置的第一检查单元检查通过在所述第一解密工序中对所述第一加密数据进行解密而得到的通信数据;以及
第一决定工序,所述中继处理装置的第一决定单元按照通过所述第一检查工序得到的检查结果,决定是否将在所述第一检查工序中检查的通信数据中继到所述信息处理装置。
26.根据权利要求15~25中的任意一项所述的中继处理装置的中继处理方法,其特征在于,还具备:
第二解密工序,所述中继处理装置的第二解密单元针对使用通过所述第二确立工序确立的第二SSL通信从所述信息处理装置接收到的、对所述通信数据进行加密而得到的第二加密数据,使用在所述第二确立工序中确立所述第二SSL通信时生成的第二公共密钥进行解密;
第二检查工序,所述中继处理装置的第二检查单元检查通过在所述第二解密工序中对所述第二加密数据进行解密而得到的通信数据;以及
第二决定工序,所述中继处理装置的第二决定单元按照通过所述第二检查工序得到的检查结果,决定是否将在所述第二检查工序中检查的通信数据中继到所述客户机终端。
27.根据权利要求15~26中的任意一项所述的中继处理装置的中继处理方法,其特征在于,
该中继处理装置具备:代理通信存储单元,将在所述第一确立工序中确立所述第一SSL通信时生成的第一公共密钥、识别该第一SSL通信的会话的第一会话识别信息、在所述第二确立工序中确立所述第二SSL通信时生成的第二公共密钥、以及识别该第二SSL通信的会话的第二会话识别信息关联起来存储,
该中继处理方法还具备:
再次开始要求接收工序,所述中继处理装置的再次开始要求接收单元接收从所述客户机终端向所述信息处理装置的、包含所述第一会话识别信息的SSL通信的再次开始要求;
判定工序,所述中继处理装置的判定单元判定在所述再次开始要求接收工序中接收到的、SSL通信的再次开始要求中包含的所述第一会话识别信息是否存储于所述代理通信存储单元中;以及
通信再次开始工序,所述中继处理装置的通信再次开始单元在所述判定工序中判定为该第一会话识别信息存储于所述代理通信存储单元的情况下,使用与该第一会话识别信息关联起来存储于所述代理通信存储单元中的所述第一公共密钥而与所述客户机终端再次开始所述第一SSL通信,并且使用与该第一会话识别信息关联起来存储于所述代理通信存储单元中的该第二公共密钥和该第二会话识别信息而与所述信息处理装置再次开始所述第二SSL通信。
28.根据权利要求15~27中的任意一项所述的中继处理装置的中继处理方法,其特征在于,
在所述通信确立工序中确立的控制通信是SSL通信。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009296424 | 2009-12-25 | ||
JP2009-296424 | 2009-12-25 | ||
JP2010-256742 | 2010-11-17 | ||
JP2010256742A JP4879347B2 (ja) | 2009-12-25 | 2010-11-17 | 中継処理装置、中継処理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102118386A true CN102118386A (zh) | 2011-07-06 |
CN102118386B CN102118386B (zh) | 2013-11-27 |
Family
ID=44216977
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010106052124A Active CN102118386B (zh) | 2009-12-25 | 2010-12-24 | 中继处理装置、中继处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102118386B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103618726A (zh) * | 2013-12-04 | 2014-03-05 | 北京中创信测科技股份有限公司 | 一种基于https协议实现移动数据业务识别的方法 |
CN104980419A (zh) * | 2014-09-11 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 一种代理通信方法及装置 |
WO2016180153A1 (zh) * | 2015-08-17 | 2016-11-17 | 中兴通讯股份有限公司 | 业务处理方法及装置 |
CN107018178A (zh) * | 2017-02-22 | 2017-08-04 | 福建网龙计算机网络信息技术有限公司 | 一种网络请求代理执行的方法及系统 |
CN109413060A (zh) * | 2018-10-19 | 2019-03-01 | 深信服科技股份有限公司 | 报文处理方法、装置、设备及存储介质 |
TWI818167B (zh) * | 2019-04-01 | 2023-10-11 | 日商宜日網路股份有限公司 | 通訊系統、資訊提供裝置、電腦可讀取記憶媒體及資訊提供方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004206573A (ja) * | 2002-12-26 | 2004-07-22 | Toshiba Corp | データ転送装置、サーバー装置、情報提供システム、データ転送方法及びプログラム |
EP1521426A1 (en) * | 2003-09-30 | 2005-04-06 | Ricoh Company, Ltd. | Communication apparatus, communication system, certificate transmission method and program |
CN101040496A (zh) * | 2004-10-19 | 2007-09-19 | 日本电气株式会社 | Vpn网关设备和主机系统 |
US20080082677A1 (en) * | 2006-09-29 | 2008-04-03 | Brother Kogyo Kabushiki Kaisha | Communication System, and Server and Computer Usable Medium Therefor |
-
2010
- 2010-12-24 CN CN2010106052124A patent/CN102118386B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004206573A (ja) * | 2002-12-26 | 2004-07-22 | Toshiba Corp | データ転送装置、サーバー装置、情報提供システム、データ転送方法及びプログラム |
EP1521426A1 (en) * | 2003-09-30 | 2005-04-06 | Ricoh Company, Ltd. | Communication apparatus, communication system, certificate transmission method and program |
CN101040496A (zh) * | 2004-10-19 | 2007-09-19 | 日本电气株式会社 | Vpn网关设备和主机系统 |
US20080082677A1 (en) * | 2006-09-29 | 2008-04-03 | Brother Kogyo Kabushiki Kaisha | Communication System, and Server and Computer Usable Medium Therefor |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103618726A (zh) * | 2013-12-04 | 2014-03-05 | 北京中创信测科技股份有限公司 | 一种基于https协议实现移动数据业务识别的方法 |
CN104980419A (zh) * | 2014-09-11 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 一种代理通信方法及装置 |
CN104980419B (zh) * | 2014-09-11 | 2019-04-09 | 腾讯科技(深圳)有限公司 | 一种代理通信方法及装置 |
WO2016180153A1 (zh) * | 2015-08-17 | 2016-11-17 | 中兴通讯股份有限公司 | 业务处理方法及装置 |
CN107018178A (zh) * | 2017-02-22 | 2017-08-04 | 福建网龙计算机网络信息技术有限公司 | 一种网络请求代理执行的方法及系统 |
CN107018178B (zh) * | 2017-02-22 | 2019-12-06 | 福建网龙计算机网络信息技术有限公司 | 一种网络请求代理执行的方法及系统 |
CN109413060A (zh) * | 2018-10-19 | 2019-03-01 | 深信服科技股份有限公司 | 报文处理方法、装置、设备及存储介质 |
TWI818167B (zh) * | 2019-04-01 | 2023-10-11 | 日商宜日網路股份有限公司 | 通訊系統、資訊提供裝置、電腦可讀取記憶媒體及資訊提供方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102118386B (zh) | 2013-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4879347B2 (ja) | 中継処理装置、中継処理方法及びプログラム | |
CN101919202B (zh) | 信息流通系统和用于信息流通系统的程序 | |
KR100529550B1 (ko) | 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법 | |
US20140165145A1 (en) | System and method of performing electronic transactions | |
EP1921557A1 (en) | Certificate handling method and system for ensuring secure identification of identities of multiple electronic devices | |
CN102118386B (zh) | 中继处理装置、中继处理方法 | |
KR20070102632A (ko) | 데이터 통신시스템, 대행 시스템 서버, 컴퓨터 프로그램 및데이터 통신 방법 | |
CA2554847C (en) | System and method for secure electronic data delivery | |
JP4350769B2 (ja) | 認証サーバ及びオンラインサービスシステム | |
US7966300B2 (en) | Application processing method, and intermediation server device | |
US20030076961A1 (en) | Method for issuing a certificate using biometric information in public key infrastructure-based authentication system | |
JP4979210B2 (ja) | ログイン情報管理装置及び方法 | |
JP2006221566A (ja) | ネットワークを利用した介護サービス支援システム | |
US10764260B2 (en) | Distributed processing of a product on the basis of centrally encrypted stored data | |
KR102211033B1 (ko) | 전자인증절차의 대행 서비스 시스템 | |
KR102199486B1 (ko) | 컨텐츠 제공자를 위한 전자인증 대행방법 | |
JP4140617B2 (ja) | 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法 | |
CN106972928A (zh) | 一种堡垒机私钥管理方法、装置及系统 | |
KR100432611B1 (ko) | 이메일 시스템 기반의 문서 수발신 서비스 제공 시스템 및그 방법 | |
US20190114601A1 (en) | Process for performing transactions | |
JP2005222488A (ja) | ユーザ認証システム、情報配信サーバ、およびユーザ認証方法 | |
KR102335675B1 (ko) | 윈도우용 전자인증을 지원하는 웹사이트에 대한 개방형 os가 설치된 통신 단말기의 전자인증방법 | |
WO2022070406A1 (ja) | 制御方法、情報処理装置、情報処理システム、及び制御プログラム | |
Chousiadis et al. | An authentication architecture for healthcare information systems | |
JP2023000715A (ja) | 情報処理装置、情報処理方法および情報処理プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent of invention or patent application | ||
CB02 | Change of applicant information |
Address after: Tokyo, Japan Applicant after: Canon IT Solution Co., Ltd. Address before: Tokyo, Japan Applicant before: Canon IT solution Co., Ltd. |
|
COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: CANON IT SOLUTION CO., LTD. TO: CANON IT SOLUTION CO., LTD. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |