CN102571751B - 中继处理装置及其控制方法 - Google Patents
中继处理装置及其控制方法 Download PDFInfo
- Publication number
- CN102571751B CN102571751B CN201110393352.4A CN201110393352A CN102571751B CN 102571751 B CN102571751 B CN 102571751B CN 201110393352 A CN201110393352 A CN 201110393352A CN 102571751 B CN102571751 B CN 102571751B
- Authority
- CN
- China
- Prior art keywords
- communication
- communication protocol
- data
- information processor
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种中继处理装置及其控制方法。在对以端到端方式通信的通信数据进行中继的构造中,根据在该通信中使用的协议,决定是否中继该通信的通信数据,从而提高安全性。一种对在客户机终端与信息处理装置之间通信的通信数据进行中继的构造,其特征在于,与信息处理装置进行依照通信协议的数据通信,将与信息处理装置的数据通信成功了的通信协议确定为在客户机终端与信息处理装置之间的通信中使用的通信协议,依照该确定了的通信协议,决定是否对在客户机终端与信息处理装置之间通信的通信数据进行中继。
Description
技术领域
本发明涉及中继处理装置及其控制方法,特别涉及进行通信数据的中继控制的技术。
背景技术
近年来,随着经由因特网的信息交换变得活跃,由于病毒/恶意软件造成的伤害、由于企业等中的顾客信息、商业秘密等信息泄漏引起的社会信用丧失、由于赔偿请求引起的经济损失等与信息安全性相关的问题深刻化。
针对这样的问题,一般通过以防火墙、杀毒软件为首的软件、信息处理装置采取对策。
防火墙设置于企业内LAN等组织内网络和因特网等外部网络的边界区域,主要具有如下功能:关于跨越两个区域的通信,对该通信进行中继并控制。
防火墙是执行如下动作的设备:监视所中继的通信的内容,将进行该通信的节点设备(称为客户机、服务器等)的地址、通信协议、通过通信协议传送的应用程序数据等信息与事先设定的访问控制规则进行对照,通过其对照结果决定可否进行该通信,并进行控制。
防火墙的上述那样的功能主要通过被称为代理服务器的软件进程来实现。代理服务器基本上是应用层的网关系统,对应于HTTP、HTTPS、FTP、GOPHER的通信协议,能够进行这些通信的中继。
其中,关于HTTP、FTP、GOPHER的协议,以应用网关方式进行中继。对于客户机与代理服务器之间的通信、以及代理服务器与服务器之间的通信,分别独立地开设应用层的通信线路,在代理服务器中相互中继两个通信线路之间的数据(应用网关方式)。即,代理服务器在应用层中进行中继处理。
例如,在FTP通信中,在客户机与代理服务器之间建立HTTP的通信线路,在代理服务器与FTP服务器之间建立FTP的通信线路。在代理服务器中,进行如下动作:将通过HTTP接收到的要求消息变换为FTP的要求消息,发送到服务器,将从服务器接收到的FTP的应答消息变换为HTTP的应答消息,发送到客户机。
相对于此,关于HTTPS(HTTP Over SSL)通信,SSL(SecureSocket Layer,安全套接字层)通信在客户机与服务器之间要求端到端的加密通信线路,所以在代理服务器中按照隧道方式进行中继。即,在代理服务器中进行如下动作:单纯地将从客户机接收到的通信数据发送到服务器侧,将从服务器侧接收到的通信数据发送到客户机。即,代理服务器在传输层中进行中继处理。
非专利文献1是规定了HTTP的RFC,记载了在中继处理系统中按照应用网关方式中继通信的动作方法。
另外,在非专利文献2中,记载了在中继处理系统中按照隧道方式中继加密后的数据的技术。
另外,在非专利文献3中,记载了SoftEther这样的VPN(虚拟专用网络)协议能够使用用于中继代理服务器的HTTPS通信的设定(端口号443),在内部网络与外部网络之间自由构筑VPN的技术。
【非专利文献1】R.Fielding等、“Hypertext Transfer Protocol--HTTP/1.1”、RFC2616<URL:http://www.ietf.org/rfc/rfc2616.txt>
【非专利文献2】Ari Luotonen、“Tunneling TCP basedprotocols through web proxy servers”、IETF InternetDraft<URL:http://tools.ietf.org/html/draft-luotonen-web-proxy-tunneling-01>
【非专利文献3】登大游、“SoftEtherによるEthernetの仮想化とトンネリング通信”<URL:http://www.softether.co.jp/jp/vpn2/old/overview/paper/softetherpaper.pdf>
发明内容
如上所述,在HTTP、FTP、GOPHER的通信中,在代理服务器中按照应用网关方式中继通信,所以如上述防火墙中的说明那样,能够根据客户机和服务器的地址信息、通信协议、应用程序数据的信息进行访问控制。
例如,在HTTP的中继中,在客户机与代理服务器之间建立了通信线路之后,获取客户机的IP地址、通信协议(HTTP)、所接收到的HTTP请求模式(method)、请求URL等,接下来与它们的组合事先登记在代理服务器中的访问控制规则进行对照,从而判定应许可还是拒绝,据此执行访问控制。
相对于此,在中继HTTPS的通信的情况下,由于是隧道方式(进行传输层中的中继的方式),所以在代理服务器中,仅在客户机和代理服务器的TCP线路、与代理服务器和服务器的TCP线路之间,中继数据。
因此,以往的代理服务器不会感知到在TCP通信线路(传输通信:传输层中的通信)之上(上位)流过的数据,不对其应用程序协议(HTTP、FTP、GOPHER等)(应用层的协议)进行确认就进行中继处理。
代理服务器尽管被开发为用于中继HTTPS的构造,结果成为基于TCP的通信协议的通用中继系统。
因此,滥用以中继HTTPS通信的目的而设置的代理服务器,就可以回避防火墙的访问控制,从组织内网络连接到外部网络的HTTPS以外的协议的服务器(例如,SMTP服务器、SoftEtheR的虚拟集线器)。例如,可以从公司内PC经由代理服务器连接到自家的VPN服务器,从该VPN服务器非法地获取其他软件服务器、HTTP服务器等其他服务器的数据。
例如,报告有如下事例:发送垃圾邮件的人员为了进行发送源冒充而经由外部的代理服务器,连接到SMTP服务器来发送垃圾邮件等。
针对这样的违反本来的意图的代理服务器的非法利用,以往,只能采取如非专利文献3那样,在代理服务器中,将中继目的地的服务器的TCP端口号限定于HTTPS用的443、8443这样的效果有限的对策。
即,例如,通常,在HTTPS中,通过SSL对HTTP的数据进行加密来通信,但在代理服务器中,难以确认在SSL加密了的数据是否真正为基于HTTP的数据、在SSL加密了的数据是基于哪个协议的数据,来判定非法的代理服务器利用。
这是因为,在从客户机终端发送的、以端到端方式通信的传输层中的通信的通信要求(CONNECT模式)中,不包括表示在客户机终端与中继目的地的服务器之间通信的通信协议的信息,所以代理服务器无法确定其通信协议。因此,代理服务器难以确定在客户机终端与中继目的地的服务器之间通信的通信协议。
为了解决上述问题,需要判定代理服务器的非法利用,进行与其结果对应的中继控制的功能。
本发明的目的在于,在中继以端到端方式通信的通信数据的构造中,通过根据在该通信中使用的协议,决定是否中继该通信的通信数据,提高安全性。
本发明提供一种中继处理装置,对在客户机终端与信息处理装置之间通信的通信数据进行中继,其特征在于,具备:存储单元,存储在所述客户机终端与所述信息处理装置之间通信的通信数据的中继被许可或者不被许可的在该通信中使用的通信协议;通信单元,与所述信息处理装置进行依照所述存储单元中存储的通信协议的数据通信;判定单元,判定基于所述通信单元的、与所述信息处理装置的、依照所述存储单元中存储的通信协议的数据通信是否成功;以及决定单元,按照由所述判定单元判定的判定结果,决定是否许可在所述客户机终端与所述信息处理装置之间通信的通信数据的中继。
另外,本发明提供一种中继处理装置,对在客户机终端与信息处理装置之间通信的通信数据进行中继,其特征在于,具备:通信单元,与所述信息处理装置进行依照通信协议的数据通信;确定单元,将基于所述通信单元的与所述信息处理装置的数据通信成功了的通信协议确定为与在所述信息处理装置的通信中使用的通信协议;以及决定单元,按照由所述确定单元确定的通信协议,决定是否中继在所述客户机终端与所述信息处理装置之间通信的通信数据。
另外,本发明提供一种中继处理装置的控制方法,中继处理装置对在客户机终端与信息处理装置之间通信的通信数据进行中继,具备存储在所述客户机终端与所述信息处理装置之间通信的通信数据的中继被许可或者不被许可的在该通信中使用的通信协议的存储单元,其特征在于,具备:通信工序,通信单元与所述信息处理装置进行依照所述存储单元中存储的通信协议的数据通信;判定工序,判定单元判定基于所述通信工序的、与所述信息处理装置的、依照所述存储单元中存储的通信协议的数据通信是否成功;以及决定工序,决定单元按照通过所述判定工序判定的判定结果,决定是否许可在所述客户机终端与所述信息处理装置之间通信的通信数据的中继。
另外,本发明提供一种中继处理装置的控制方法,该中继处理装置对在客户机终端与信息处理装置之间通信的通信数据进行中继,其特征在于,具备:通信工序,通信单元与所述信息处理装置进行依照通信协议的数据通信;确定工序,确定单元将基于所述通信工序的与所述信息处理装置的数据通信成功了的通信协议确定为在与所述信息处理装置的通信中使用的通信协议;以及决定工序,决定单元按照在所述确定工序中确定的通信协议,决定是否对在所述客户机终端与所述信息处理装置之间通信的通信数据进行中继。
根据本发明,在对以端到端方式通信的通信数据进行中继的构造中,通过根据在该通信中使用的协议,决定是否对该通信的通信数据进行中继,从而能够提高安全性。
附图说明
图1是示出本发明的实施方式中的中继处理系统的结构的图。
图2是示出本发明的实施方式中的各种终端的硬件结构的图。
图3是示出本发明的实施方式中的中继处理装置的协议检查部的结构的图。
图4是示出本发明的实施方式中的中继处理装置的基本的处理流程的图。
图5是示出本发明的实施方式中的中继处理装置的协议检查处理流程的图。
图6是示出本发明的实施方式中的中继处理装置的协议检查手续决定表的例子的图。
图7是示出本发明的实施方式中的中继处理装置的协议高速缓存表的例子的图。
图8是示出本发明的实施方式中的中继处理装置和信息提供处理装置的SSL协议的数据流的例子的图。
图9是示出本发明的实施方式中的中继处理装置和信息提供处理装置的HTTP协议的数据流的例子的图。
图10是示出本发明的实施方式中的中继处理装置和信息提供处理装置的SMTP协议的数据流的例子的图。
图11是示出本发明的实施方式中的中继处理装置的访问控制表的例子的图。
图12是本发明的功能框图。
图13是本发明的功能框图。
图14是本发明的功能框图。
图15是本发明的功能框图。
(符号说明)
110:利用者终端;111:阅览处理部;120:中继站处理装置;121:客户机通信部;122:服务器通信部;123:通信控制部;124:协议检查部;125:管理表保存部;126:检查手续定义部;150:信息提供处理装置;151:服务器处理部;161:客户机线路;162:服务器线路;163:测试线路;301:检查处理控制部;302:SSL检查处理部;303:HTTP检查处理部;304:SMTP检查处理部;305:SSH检查处理部;306:SoftEther检查处理部;307:XXX检查处理部。
具体实施方式
以下,参照附图,按照优选的实施方式,详细说明本发明。
图1是示出本发明的实施方式中的中继处理系统的结构的图。
另外,图1的网络上连接的各种终端和各种装置的结构是一个例子,当然根据用途、目的有各种结构例。
中继处理系统(图1)由利用者终端110、中继处理装置120、以及信息提供处理装置150构成。利用者终端110和中继处理装置120、中继处理装置120和信息提供处理装置150分别经由网络可相互通信地连接。
中继处理装置120是本发明的中继处理装置的应用例,利用者终端110是客户机终端的应用例,信息提供处理装置150是信息处理装置的应用例。
利用者终端110是用于获取并显示信息提供处理装置150提供的内容数据的信息处理装置。利用者终端110具备阅览处理部111。
阅览处理部111是与一般被称为Web浏览器的HTTP协议、HTTPS协议的客户机程序、一般被称为邮件工具的SMTP协议的客户机程序、SSH协议的客户机程序、SoftEather协议的客户机程序相当的功能处理部。
阅览处理部111具备如下功能:接受来自利用者的指示,经由中继处理装置120向信息提供处理装置150发送通信要求消息,接收针对该通信要求消息从信息提供处理装置150应答的通信应答消息,将对该通信应答消息进行整形而得到的结果显示于利用者终端110的CRT210等中。此时,将在阅览处理部111与中继处理装置120的客户机通信部121之间开设的通信连接设成客户机线路161。
中继处理装置120是具备一般被称为代理服务器的程序或者装置具有的功能的信息处理装置。
中继处理装置120能够接收从利用者终端110发送的通信要求消息,向发送目的地即信息提供处理装置150中继该通信要求消息,将从信息提供处理装置150应答的通信应答消息中继到利用者终端110。
中继处理装置120由客户机通信部121、服务器通信部122、通信控制部123、协议检查部124、管理表保存部125、以及检查手续定义部126构成。
客户机通信部121具备如下功能:从利用者终端110的阅览处理部111接受连接要求,接收来自利用者终端110的通信要求消息,发送来自信息提供处理装置150的通信应答消息。
服务器通信部122连接到信息提供处理装置150的服务器处理部151,具备如下功能:发送来自利用者终端110的通信要求消息,接收来自信息提供处理装置150的通信应答消息。
通信控制部123具有如下功能:在客户机通信部121进行的处理、服务器通信部122进行的处理、以及协议检查部124进行的处理之间进行同步控制处理。另外,具备如下功能:在该同步控制处理中将关联的信息存储到管理表保存部125的功能;和参照管理表保存部125中存储的数据的功能。另外,通信控制部123具备如下功能:根据管理表保存部125中保存的访问控制信息,判定是否许可基于客户机通信部121接收到的连接要求(用于与信息提供处理装置150进行通信的与信息提供处理装置150的连接要求)(通信要求消息)的通信的功能;以及根据该判定的结果,向客户机通信部121和服务器通信部122通知是否许可中继的中继控制指示的功能。客户机通信部121和服务器通信部122根据该通知控制是否许可中继。
协议检查部124具备如下功能:与服务器通信部122进行的通信独立地,开设信息提供处理装置150的服务器处理部151和测试线路163,服务器处理部151检查对应的通信协议(还简称为协议)的功能(服务器处理部151检查在通信中使用的通信协议的功能)。
协议检查部124如图3所示,由检查处理控制部301和检查各个通信协议的部分(302~307)构成。
图3所示的协议检查部包括SSL检查处理部302、HTTP检查处理部303、SMTP检查处理部304、SSH检查处理部305、以及SoftEther检查处理部306,表示具备分别检查SSL、HTTP、SMTP、SSH、以及SoftEther的协议的功能。另外,图3的XXX检查处理部307没有表示所检查的通信协议。这表示在新出现希望检查的通信协议的情况下,能够对307新追加希望检查的通信协议的检查处理部,使得检查该通信协议。
管理表保存部125是用于存储访问控制表(访问控制信息)(图11)的存储区域。
(访问控制表的说明)
访问控制表(图11)是用于从通信控制部123参照而决定可否中继来自利用者终端110的通信要求请求(通信要求消息)的表。
图11示出访问控制表的一个例子。访问控制表的各记录表示利用者终端110与信息提供处理装置150可否通信的规则(访问控制规则),由客户机条件栏、服务器条件栏、协议栏、以及结果栏构成。
客户机条件栏中存储利用者终端110的条件(用于识别利用者终端的识别信息)。服务器条件栏中存储信息提供处理装置150的条件(用于识别信息提供处理装置的识别信息)。协议栏中存储利用者终端110与信息提供处理装置150的通信中使用的通信协议。
例如,图11的1101的记录表示许可设定有10.1.0.0/255.255.0.0的范围的IP地址(客户机地址信息)的利用者终端110与任意的信息提供处理装置通过HTTPS进行数据通信的规则。
检查手续定义部126是用于存储协议检查手续决定表(图6)和协议信息高速缓存表(图7)的存储区域。
(协议检查手续决定表(图6)的说明)
协议检查手续决定表(图6)是为了在服务器线路162的开设之前,检查信息提供处理装置150的服务器处理部151在通信中使用的通信协议,而协议检查部124使用的表。
图6示出协议检查手续决定表的例子。协议检查手续决定表表示协议检查部124检查的各通信协议,由协议名栏、下位协议检查处理部栏、以及上位协议检查处理部栏构成。
协议名栏是保存检查对象即通信协议名的地方。下位协议检查处理部栏是保存该通信协议的传输层的通信协议(下位通信协议)的检查处理部名的地方。上位协议检查处理部栏是保存该通信协议的上位的通信协议(上位通信协议)(例如,应用层的通信协议)的检查处理部名的地方。
在下位通信协议中,包括SSL等传输层中的(端到端中的)密码通信中使用的通信协议。
例如,图6的601的记录表示为了检查信息提供处理装置150是否对应于基于HTTPS的通信,而需要在上位协议和下位协议这二阶段中检查。即,表示在上位协议的检查中,如上位协议检查处理部中所示出那样由HTTP检查处理部303进行检查,在下位协议的检查中,如下位协议检查处理部中所示出那样由SSL检查处理部302进行检查。
(协议信息高速缓存表(图7)的说明)
协议信息高速缓存表(图7)是用于将由协议检查部124判明(确定)的、信息提供处理装置150的服务器处理部151对应的通信协议(服务器处理部151在通信中使用的通信协议)存储一定期间的表。
图7示出协议信息高速缓存表的例子。协议信息高速缓存表由服务器标识符栏、有效期限栏、协议名栏构成。
服务器标识符栏是保存组合信息提供处理装置150的主机名和TCP端口号而得到的信息来作为用于识别信息提供处理装置150的识别信息的地方。有效期限栏是保存记录的有效期限(日期时间)的地方。协议名栏是保存所决定的通信协议名的地方。
协议信息高速缓存表的各记录被定期地检查,在有效期限栏的日期时间比所检查的日期时间落后的情况下,与其相应的记录被削除。
例如,图7的701的记录表示直至2009年8月31日的3时20分54秒,将主机名是www.xxx.co.jp的信息提供处理装置150的具有端口号443的服务器处理部151在通信中使用的通信协议是HTTPS这样的信息保存为可再利用的信息。
在图7中,将通信协议和对在通信中使用该通信协议的信息提供处理装置进行识别的服务器标识符(信息处理装置识别信息)关联起来存储(协议存储单元)。
信息提供处理装置150是接收从利用者终端110发送的通信要求消息,根据该通信要求消息的内容应答通信应答消息的信息处理装置。信息提供处理装置150具备服务器处理部151。
服务器处理部151是与一般已知为应用程序协议的服务器的程序相当的功能处理部。服务器处理部151具备HTTP、HTTPS、SMTP、SSH、SoftEther、SMTP Over SSL的1个或者多个协议的服务器功能。
接下来,使用图2,说明图1的利用者终端110、中继处理装置120、信息提供处理装置150的各种终端的硬件结构。
图2是示出本发明的实施方式中的各种终端的硬件结构的图。
CPU201总体上控制与系统总线204连接的各设备、控制器。
另外,在ROM202或者外部存储器211中,存储了CPU201的控制程序即BIOS(Basic Input/Output System,基本输入输出系统)、操作系统程序(以下,OS)、实现各服务器或者各PC所执行的功能而所需的后述各种程序等。
RAM203作为CPU201的主存储器、工作区等发挥功能。
CPU201通过将在处理的执行时所需的程序等加载到RAM203中并执行程序,实现各种动作。
另外,输入控制器(输入C)205控制来自键盘209、未图示的鼠标等指示设备的输入。
视频控制器(VC)206控制向CRT显示器(CRT)210等显示器的显示。显示器不只是CRT,也可以是液晶显示器。根据需要由管理者使用它们。与本发明没有直接关系。
存储器控制器(MC)207控制向存储引导程序、浏览器软件、各种应用程序、字体数据、用户文件、编辑文件、各种数据等的硬盘(HD)、软盘(注册商标FD)或者经由适配器连接到PCMCIA卡槽的小型闪存存储器等外部存储器211的访问。
通信I/F控制器(通信I/FC)208经由网络与外部设备连接/通信,执行网络中的通信控制处理。例如,能够进行使用了TCP/IP的因特网通信等。
另外,CPU201通过执行向例如RAM203内的显示信息用区域展开(光栅化)轮廓字体的处理,来使得能够实现CRT210上的显示。另外,CPU201使得能够通过CRT210上的未图示的鼠标光标等来实现用户指示。
用于实现本发明的程序212记录于外部存储器211中,通过根据需要加载到RAM203中来由CPU201执行。
进而,外部存储器211包括本发明的程序使用的前述的管理表保存部125以及检查手续定义部126,对于关于它们的详细说明,后述。
接下来,使用图4,说明中继处理装置中的处理步骤。
图4所示的各步骤通过中继处理装置120的CPU201将外部存储器211等存储器中储存的程序加载到RAM203并执行来实现。
在步骤401中,客户机通信部121接受来自利用者终端110的阅览处理部111的连接要求,建立通信线路(以后,称为客户机线路161),将利用者终端110的客户机地址信息保存到RAM203的特定的区域中。
接下来,客户机通信部121通过所建立的通信线路接收从利用者终端发送的通信要求消息(要求来自信息提供处理装置的数据发送的通信要求数据(通信数据))。然后,客户机通信部121将通信要求消息传给通信控制部123,进入到步骤402。
在步骤402中,通信控制部123参照通信要求消息中包含的请求模式,将表示成为连接目的地的信息提供处理装置150的服务器处理部的地址的服务器标识符信息(主机名:端口号)保存到RAM203的特定的区域中。
接下来,通信控制部123判定该请求模式是否为CONNECT(连接)模式。即,判定该请求模式是否为传输层中的、要求在利用者终端与信息提供处理装置之间(以端到端方式)通信的数据的中继的CONNECT模式(传输通信要求信息)(要求信息判定单元)。
在是CONNECT模式的情况下,为了检查(确定)信息提供处理装置150的服务器处理部151在通信中使用的通信协议,进入到步骤403。通信控制部123在该请求模式不是CONNECT模式的情况下,解析该通信要求消息,根据该请求模式的模式自变量判别通信协议,将该通信协议名保存到RAM203的特定的区域中,进入到步骤404。
下面记载请求模式是CONNECT模式的情况的通信要求消息的例子。
CONNECT www.xxxx.co.jp:443 HTTP/1.0
在该情况下,虽然知道服务器标识符信息是“www.xxxx.co.jp:443”,但不清楚通信协议是什么。
接下来,下面记载通信要求消息的请求模式不是CONNECT模式的情况(例如,请求模式是GET模式的情况)的通信要求消息的例子。
GET http://www.xxxx.co.jp/index.html HTTP/1.0
在该情况下,知道服务器标识符信息是“www.xxxx.co.jp:80”,能够根据模式自变量的“http://www.xxxx.co.jp/index.html”这样的URL的格式部分判别出通信协议是“http”。
在步骤403中,在协议检查部124中,进行用于判别(确定)服务器处理部151的通信协议的处理。
在后面详细说明协议检查部124中的协议检查处理。协议检查部124如果判明(确定)了服务器处理部151的通信协议,则将该通信协议名保存到RAM203的特定的区域中,进入到步骤404。
在步骤404中,在通信控制部123中,获取在步骤401中保存于RAM203中的客户机地址信息、在步骤402中保存于RAM203中的服务器标识符信息、以及在步骤402或者步骤403中保存于RAM203的特定的区域中的通信协议名。
接下来,通信控制部123获取管理表保存部125中保存的访问控制表(图11),一个一个地取出该访问控制表(图11)的各记录,检索与利用者终端110希望和信息提供处理装置150进行的通信的条件相符合的记录。
通信控制部123从访问控制表(图11)的开头行依次一个一个地获取记录并反复执行对照手续处理。在对照手续处理中,判定从利用者终端110接收到的通信要求消息中包含的利用者终端110的IP地址(客户机地址信息)是否与客户机条件栏的条件符合、并且从利用者终端110接收到的通信要求消息中包含的、用于识别服务器的识别信息(服务器标识符)(还称为服务器标识符信息)是否与服务器条件栏的条件符合、并且在步骤S403中确定的通信协议或者根据通信要求消息中包含的模式自变量的URL的格式部分确定的通信协议的通信协议名是否与协议栏的条件符合。在对照手续处理中,直至发现与利用者终端110希望和信息提供处理装置150进行的通信的条件符合的记录、或者对所有记录进行了处理为止,执行处理。
通信控制部123在存在与条件符合的记录的情况下,将该记录的结果栏用作访问控制的结果(中继控制的内容)。在即使检查了所有记录也没有符合的记录的情况下,将中继处理装置120中预先设定的默认的结果值(“许可”或者“禁止(不许可)”)用作访问控制的结果(访问控制的内容)。接下来,进入到步骤405。
在图11的例子中,在步骤S403中确定的通信协议是未定义(服务器处理部151为了通信而使用的通信协议是不明的通信协议)的情况下,与No.6的条件符合,从而设定为禁止中继。
在步骤405中,在步骤404中判定的访问控制的结果是“许可”的情况下,进入到步骤406,在“禁止”的情况下,进入到步骤407。
另外,在步骤S405中,将在步骤S404中从RAM203读出的、服务器标识符信息和通信协议名分别存储到协议信息高速缓存表(图7)的服务器标识符、协议名中,并更新有效期限。
在步骤406中,通信控制部123将来自利用者终端110的通信要求消息传给服务器通信部122,在服务器通信部122中,根据RAM203中保存的服务器标识符信息,连接到信息提供处理装置150的服务器处理部151,开设通信线路(以后,称为服务器线路162)。
通信控制部123通过服务器线路162,发送来自利用者终端110的通信要求消息。相对于此,通过服务器通信部122接收从信息提供处理装置150的服务器处理部151应答的通信应答消息。
通信控制部123将该通信应答消息从服务器通信部122传给通信控制部123、客户机通信部121,客户机通信部121经由客户机线路161,向利用者终端110的阅览处理部111发送该通信应答消息。然后,切断服务器线路162和客户机线路161,结束处理。
这样,中继处理装置120进行控制,以使得对在利用者终端110与信息提供处理装置150之间通信的数据(通信数据)进行中继。
在步骤407中,通信控制部123向客户机通信部121发送指示拒绝访问的信息(禁止中继的意思的中继控制指示),客户机通信部121经由客户机线路161,向利用者终端110发送表示拒绝访问的通信应答消息。然后,切断客户机线路161并结束处理。利用者终端110如果接收到表示该拒绝访问的通信应答消息,则按照该通信应答消息显示在中继处理装置120中中继被禁止的意思。
通信控制部123如果执行了步骤S406、或者步骤S407的处理,则结束处理。
接下来,使用图5,说明步骤403所示的协议检查处理的详细处理。
图5所示的各步骤通过中继处理装置120的CPU201将外部存储器211等存储器中储存的程序加载到RAM203中并执行来实现。
在步骤501中,协议检查部124将检查手续定义部126中保存的协议信息高速缓存表(图7)读入到RAM203中。然后,进入到步骤502。
协议检查部124在步骤502中,从在步骤501中读入的协议信息高速缓存表(图7)中,检索RAM203中保存的服务器标识符信息与协议信息高速缓存表的服务器标识符栏的值一致、并且协议信息高速缓存表的有效期限栏的值比当前的日期时间后面的记录。
然后,协议检查部124在检索到相应的记录的情况下,使处理进入到步骤503,在没有检索到相应的记录的情况下,使处理进入到步骤504。
协议检查部124在步骤503中,将在步骤502中检索出的记录的协议名栏的值(通信协议)作为协议检查处理的结果值而结束处理。即,将在步骤502中检索出的记录的协议名栏的值(通信协议)确定为信息提供处理装置150的服务器处理部151在通信中使用的通信协议。然后,结束步骤403的处理(图5),使处理进入到步骤S404中。另外,将此处确定的通信协议名(协议检查处理的结果值)保存到RAM203的特定的区域中。
在步骤504中,协议检查部124将检查手续定义部126中保存的协议检查手续决定表(图6)读入到RAM203中,从协议检查手续决定表(图6)的开头一行一行地取出记录,将步骤505至步骤507反复执行记录的数量。
在步骤505中,协议检查部124根据RAM203中保存的服务器标识符信息,连接到信息提供处理装置150的服务器处理部151,开设通信线路(以后,称为测试线路163)。
在步骤506中,协议检查部124通过测试线路,执行协议检查手续处理。对于协议检查手续处理,按照在步骤504中取出的协议检查手续决定表(图6)的记录进行处理。
首先,协议检查部124通过记录的下位协议检查处理部中记载的检查处理部(图3的302至307中的某一个处理部)执行处理(下位协议检查处理)。
即,例如,在图6的601的记录的例子中,下位协议检查处理部即SSL检查处理部302与信息提供处理装置150的服务器处理部151,进行依照SSL的通信协议的数据通信(交换)。
然后,协议检查部124在与信息提供处理装置150的服务器处理部151进行的、依照通信协议的数据通信(交换)失败了的情况、即利用依照协议检查手续决定表(图6)的下位协议检查处理部中记载的检查处理部的通信协议的、与信息提供处理装置150的数据通信(交换)进行的检查结果失败了的情况下,将协议检查手续的检查结果状态设为失败,使处理进入到步骤507。
另一方面,协议检查部124在与信息提供处理装置150的服务器处理部151进行的、依照通信协议的数据通信(交换)成功了的情况、即利用依照协议检查手续决定表(图6)的下位协议检查处理部中记载的检查处理部的通信协议的、与信息提供处理装置150的数据通信(交换)进行的检查结果成功了的情况下,获取记录的上位协议检查处理部的值,在该值不是未定义的情况下执行该值表示的检查处理部(图3的302至307中的某一个处理部)的处理(上位协议检查处理)。另外,在该值是未定义的情况下,将协议检查手续的检查处理的结果状态设为成功,使处理进入到步骤507。
例如,在图6的601的记录的例子中,上位协议检查处理部即HTTP检查处理部303与信息提供处理装置150的服务器处理部151,进行依照HTTP的通信协议的数据通信(交换)。
此处进行的与信息提供处理装置150的通信是利用通信成功了的下位协议检查处理部中的通信协议来进行的。
即,例如,如果通信成功了的下位协议检查处理部是SSL检查处理部,则中继处理装置120使用在建立SSL通信时得到的、中继处理装置120和信息提供处理装置150的公共密钥,对发送给信息提供处理装置150的数据进行加密,并且,对从信息提供处理装置150接收的数据进行解密,进行依照上位协议检查处理部中的通信协议的数据通信(交换)。
然后,协议检查部124在与信息提供处理装置150的服务器处理部151进行的、依照通信协议的数据通信(交换)失败了的情况、即利用依照协议检查手续决定表(图6)的上位协议检查处理部中记载的检查处理部的通信协议的、与信息提供处理装置150的数据通信(交换)进行的检查结果失败了的情况下,将协议检查手续的检查结果状态设为失败,使处理进入到步骤507。
另一方面,协议检查部124在与信息提供处理装置150的服务器处理部151进行的、依照通信协议的数据通信(交换)成功了的情况、即利用依照协议检查手续决定表(图6)的上位协议检查处理部中记载的检查处理部的通信协议的、与信息提供处理装置150的数据通信(交换)进行的检查结果成功了的情况下,将协议检查手续的检查结果状态设为成功,使处理进入到步骤S507。
在步骤507中,判定步骤506的协议检查手续处理的检查结果状态是成功还是失败,在判定为成功的情况下,使处理进入到步骤510。另一方面,在判定为检查结果状态是失败的情况下,使处理进入到步骤508。
在步骤508中,切断在步骤505中开设的测试线路163。接下来,在进行了针对协议检查手续决定表(图6)的所有记录的处理的情况下,使处理进入到步骤509,否则将下一个记录作为处理对象,使处理返回到步骤504。
在步骤509中,将协议检查处理的结果设为未定义(服务器处理部151为了通信而使用的通信协议是不明的通信协议),保存到RAM203的特定区域中,结束步骤403的处理(图5),使处理进入到步骤S404。
在步骤510中,将在步骤506的协议检查手续处理中与服务器处理部的数据通信成功了的协议检查手续决定表(图6)的记录的协议名栏的值作为服务器处理部在通信中使用的通信协议,保存到RAM203的特定区域中,结束步骤403的处理(图5),使处理进入到步骤S404。
接下来,说明在步骤506中执行的上位协议检查处理和下位协议检查处理的具体例。
首先,使用图8,说明利用SSL检查处理部302的SSL协议的检查处理的例子。
在步骤801中,中继处理装置120通过所开设的测试线路163,发送Client Hello消息。
在步骤802中,信息提供处理装置150通过测试线路163,发送Server Hello消息。
在步骤803中,信息提供处理装置150通过测试线路163,发送Server Certificate消息。
在步骤804中,信息提供处理装置150通过测试线路163,发送Server Hello Done消息。
在步骤805中,中继处理装置120通过测试线路163,发送ClientKeyExchange消息。
在步骤806中,中继处理装置120通过测试线路163,发送ChangeCipherSpec消息。
在步骤807中,中继处理装置120通过测试线路163,发送Handshake finished消息。
在步骤808中,信息提供处理装置150通过测试线路163,发送ChangeCipherSpec消息。
在步骤809中,信息提供处理装置150通过测试线路163,发送Handshake finished消息。
在SSL检查处理部302中,实际上通过测试线路163试行而确认可否进行以上那样的依照SSL协议的消息交换。如果能够进行依照SSL协议的消息交换(数据通信),则将SSL检查手续处理的检查结果设为成功而结束处理。另外,如果无法进行依照SSL协议的消息交换(数据通信),则将SSL检查手续处理的检查结果设为失败而结束处理。
在只进行SSL协议的对应确认的情况下,SSL检查处理部302只确认例如针对步骤801存在步骤802的执行即可,但在SSL通信的情况下,需要接下来还检查有效载荷部分的通信协议,所以实施直至正常地完成到步骤809为止的握手(handshake)手续的确认,之后直接进行上位协议检查处理。
协议检查部124在作为下位协议检查处理执行了SSL检查处理的情况下,在图8的记载为有效载荷协议的部位,实施上位协议检查处理。如果有效载荷部分的协议检查处理结束,则之后实施步骤810、步骤811的SSL连接结束手续处理(通知),结束SSL通信整体。
接下来,使用图9,说明利用HTTP检查处理部303的HTTP协议的检查处理的例子。例如,能够在图8的记载为有效载荷协议的部位,进行上位协议检查处理即HTTP协议的检查处理。
此处,对于在后述步骤901、步骤902中发送接收的HTTP请求消息、HTTP响应消息,使用通过步骤801至步骤809建立的SSL通信的通信线路(测试线路163)来发送接收。
在步骤901中,中继处理装置120通过所开设的测试线路163,发送由“GET/HTTP/1.0”这样的请求行构成的HTTP请求消息。
即,在步骤901中,中继处理装置120使用通过根据步骤801至步骤809建立的SSL通信得到的、与信息提供处理装置150的公共密钥,对HTTP请求消息进行加密,发送该加密了的HTTP请求消息。
在步骤902中,信息提供处理装置150通过测试线路163,发送由“HTTP/1.0 200”这样的状态行构成的HTTP响应消息。
即,在步骤902中,信息提供处理装置150使用通过根据步骤801至步骤809建立的SSL通信得到的、与中继处理装置120的公共密钥,对HTTP响应消息进行加密,发送该加密了的HTTP响应消息。
然后,中继处理装置120使用公共密钥对从信息提供处理装置150接收到的加密了的HTTP响应消息进行解密,获取通过解密而得到的HTTP响应消息。这样,通过检查所获取的数据是否为HTTP响应消息,来判定可否进行依照HTTPS协议的消息交换。
在HTTP检查处理部303中,实际上通过测试线路163试行而确认可否进行以上那样的依照HTTP协议的消息交换。如果确认成功则将HTTP检查手续的结果设为成功而结束处理。另外,如果无法进行依照HTTP协议的消息交换(数据通信),则将HTTP检查手续处理的检查结果设为失败而结束处理。
接下来,使用图10,说明利用SMTP检查处理部304的SMTP协议的检查处理的例子。例如,可以在图8的记载为有效载荷协议的部位,进行上位协议检查处理即SMTP协议的检查处理。
此处,对于在后述步骤1001至步骤1007中发送接收的数据,使用通过步骤801至步骤809建立的SSL通信的通信线路(测试线路163)来发送接收。
此处,在步骤1002、步骤1004、步骤1006中,中继处理装置120使用通过根据步骤801至步骤809建立的SSL通信得到的、与信息提供处理装置150的公共密钥,对向信息提供处理装置150发送的数据(消息)进行加密,将该加密了的数据发送到信息提供处理装置150。
此处,在步骤1001、步骤1003、步骤1005、步骤1007中,信息提供处理装置150使用通过根据步骤801至步骤809建立的SSL通信得到的、与中继处理装置120的公共密钥,对向中继处理装置120发送的数据(消息)进行加密,将该加密了的数据发送到中继处理装置120。
在步骤1001中,信息提供处理装置150通过所开设的测试线路163,发送答复代码220的消息。
在步骤1002中,中继处理装置120通过测试线路163,发送EHLO消息。
在步骤1003中,信息提供处理装置150通过测试线路163,发送答复代码250的消息。
在步骤1004中,中继处理装置120通过测试线路163,发送NOOP消息。
在步骤1005中,信息提供处理装置150通过测试线路163,发送答复代码250的消息。
在步骤1006中,中继处理装置120通过测试线路163,发送QUIT消息。
在步骤1007中,信息提供处理装置150通过测试线路163,发送答复代码221的消息。
在SMTP检查处理部304中,实际上通过测试线路163试行而确认可否进行以上那样的依照SMTP协议的消息交换。如果确认成功则将SMTP检查手续的结果设为成功而结束处理。
以上,在上述本实施方式中,说明了与信息提供处理装置150的服务器处理部151进行了依照协议检查手续决定表(图6)的协议名中示出的通信协议的数据通信(交信)的情况下,将该通信协议确定为与信息提供处理装置150的服务器处理部151的通信中使用的通信协议,判定该通信协议在访问控制表(图11)中是否许可中继,决定是否许可在利用者终端110与信息提供处理装置150之间通信的通信数据的中继。例如,在与信息提供处理装置150的服务器处理部151的通信中使用的通信协议是图6的No.5的SofiEther的情况下,在图11中控制为禁止中继。
另外,协议检查手续决定表(图6)的协议名中示出的通信协议应该登记为在利用者终端110与信息提供处理装置150之间通信的数据的中继被许可的通信协议,在访问控制表(图11)所示的协议中,协议检查手续决定表(图6)的协议名中示出的通信协议被登记为许可中继的通信协议的情况下,能够与信息提供处理装置进行依照协议检查手续决定表(图6)的协议名中示出的通信协议的数据通信,判定该数据的通信是否成功,并按照其判定结果,决定是否许可在利用者终端与信息处理装置之间通信的通信数据的中继(白名单的方式)。
另外,协议检查手续决定表(图6)的协议名中示出的通信协议应该登记为禁止在利用者终端110与信息提供处理装置150之间通信的数据的中继的通信协议,在访问控制表(图11)所示的协议中,协议检查手续决定表(图6)的协议名中示出的通信协议被登记为禁止中继的通信协议的情况下,与信息提供处理装置进行依照协议检查手续决定表(图6)的协议名中示出的通信协议的数据通信,判定该数据的通信是否成功,按照其判定结果,决定是否许可在利用者终端与信息处理装置之间通信的通信数据的中继(黑名单的方式)。
以上,根据本发明,在中继以端到端方式通信的通信数据的构造中,根据在该通信中使用的协议,决定是否中继该通信的通信数据,从而能够提高安全性。
另外,根据本实施方式,即使是在传输层中中继通信的构造,也能够正确地掌握所中继的通信的应用层的协议并根据其信息实施访问控制。
另外,根据本实施方式,能够切断想要滥用中继处理系统的用于中继HTTPS通信的隧道功能来进行其他种类的通信(向SMTP等其他协议的垃圾邮件拦截回避手段、VPN)这样的行为,提高网络系统的安全性。
以下,使用图12,说明本发明的功能块。
图12是示出本发明的功能块的图。
中继处理装置120具备存储部1201、通信部1202、判定部1203、决定部1204。
存储部1201存储有在客户机终端(利用者终端)与信息处理装置(信息提供处理装置)之间通信的通信数据的中继被许可或者不被许可的在该通信中使用的通信协议。
通信部1202与信息处理装置进行依照存储部1201中存储的通信协议的数据通信。
判定部1203判定基于通信部的、与信息处理装置的、依照存储部中存储的通信协议的数据通信是否成功。
决定部1204判定基于通信部的、与信息处理装置的、依照存储部中存储的通信协议的数据通信是否成功。
以下,使用图13,说明本发明的功能块。
图13是示出本发明的功能块的图。
中继处理装置120具备存储部1201、通信部1202、判定部1203、决定部1204、接收部1301、要求信息判定部1302、确定部1303、协议存储部1304、获取部1305、高速缓存部1306。
由于已经使用图12说明了存储部1201、通信部1202、判定部1203、决定部1204,所以对于存储部1201、通信部1202、判定部1203、决定部1204,对进一步具有的功能进行追加说明。
存储部1201作为构成在客户机终端与信息处理装置之间通信的通信数据的中继被许可或者不被许可的通信协议的通信协议,存储有传输层的通信协议即下位通信协议、和比传输层上位的通信协议即上位通信协议。
此处,下位通信协议包括密码通信中使用的通信协议。另外,上位通信协议包括应用层中的通信协议。
通信部1202与信息处理装置进行依照存储部中存储的下位通信协议的数据通信、以及依照存储部中存储的上位通信协议的数据通信。
判定部1203通过通信部,判定与信息处理装置的、依照存储部中存储的下位通信协议的数据通信、以及依照存储部中存储的上位通信协议的数据通信是否成功,来判定与信息处理装置的、依照存储部中存储的通信协议的数据通信是否成功。
接收部1301从客户机终端,接收包括要求来自信息处理装置的数据发送的通信要求数据的通信数据。
要求信息判定部1302判定由接收部接收到的通信要求数据是否为传输层中的、要求在客户机终端与信息处理装置之间通信的通信数据的中继的传输通信要求信息。
通信部1202在由要求信息判定部判定为由接收部接收到的通信要求数据是该传输通信要求信息的情况下,与信息处理装置进行依照存储部中存储的通信协议的数据通信。
确定部1303在由要求信息判定部判定为由接收部接收到的通信要求数据不是传输通信要求信息的情况下,通过解析由接收部接收到的通信要求数据,来确定在客户机终端与信息处理装置之间的通信中使用的通信协议。
决定部1204依照由确定部确定的通信协议、和存储部中存储的中继被许可或者不被许可的通信协议,决定是否许可在客户机终端与信息处理装置之间通信的通信数据的中继。
协议存储部1304将通信协议和识别在通信中使用该通信协议的信息处理装置的信息处理装置识别信息关联起来存储。
获取部1305通过解析由接收部接收到的通信要求数据,获取通过该通信要求数据被要求了数据发送的信息处理装置的信息处理装置识别信息。
决定部1204进一步依照与由获取部获取的信息处理装置识别信息关联起来存储于协议存储部中的通信协议、和存储部中存储的中继被许可或者不被许可的通信协议,决定是否许可在客户机终端与信息处理装置之间通信的通信数据的中继。
高速缓存部1306将由判定部判定为基于通信部的数据通信成功了的通信协议、和由获取部获取的信息处理装置识别信息关联起来存储到协议存储部中。
以下,使用图14,说明本发明的功能块。
图14是示出本发明的功能块的图。
中继处理装置120具备通信部1401、确定部1402、决定部1403。
通信部1401与信息处理装置(信息提供处理装置)进行依照通信协议的数据通信。
确定部1402将基于通信部的与信息处理装置的数据通信成功了的通信协议确定为在与信息处理装置的通信中使用的通信协议。
决定部1403依照由确定部确定的通信协议,决定是否中继在客户机终端(利用者终端)与信息处理装置(信息提供处理装置)之间通信的通信数据。
以下,使用图15,说明本发明的功能块。
图15是示出本发明的功能块的图。
中继处理装置120具备通信部1401、确定部1402、决定部1403、接收部1501、要求信息判定部1502、存储部1503、获取部1504、高速缓存部1505。
由于已经使用图14说明了通信部1401、确定部1402、决定部1403,所以对于通信部1401、确定部1402、决定部1403,对进一步具有的功能进行追加说明。
确定部1402在基于通信部的与信息处理装置的、依照通信协议的数据通信不成功的情况下,将在与信息处理装置的通信中使用的通信协议确定为不明的通信协议。
另外,决定部依照由确定部确定的不明的通信协议,决定是否中继在客户机终端与信息处理装置之间通信的通信数据。
通信部1401与信息处理装置进行依照传输层的通信协议即下位通信协议的数据通信、以及依照比传输层上位的通信协议即上位通信协议的数据通信。此处,下位通信协议包括密码通信中使用的通信协议。另外,上位通信协议包括应用层中的通信协议。
确定部1402根据基于通信部的与信息处理装置的数据通信成功了的下位通信协议、以及基于通信部的与信息处理装置的数据通信成功了的上位通信协议,确定在与信息处理装置的通信中使用的通信协议。
接收部1501从客户机终端接收包括要求来自信息处理装置的数据发送的通信要求数据的通信数据。
要求信息判定部1502判定由接收部接收到的通信要求数据是否为传输层中的、要求在客户机终端与信息处理装置之间通信的通信数据的中继的传输通信要求信息。
通信部1401在由要求信息判定部判定为由接收部接收到的通信要求数据是传输通信要求信息的情况下,与信息处理装置进行依照通信协议的数据通信。
确定部1402在由要求信息判定部判定为由接收部接收到的通信要求数据不是传输通信要求信息的情况下,通过解析由接收部接收到的通信要求数据,来确定在客户机终端与信息处理装置之间的通信中使用的通信协议。
决定部1403按照由确定部确定的通信协议,决定是否中继在客户机终端与信息处理装置之间通信的通信数据。
存储部1503将通信协议、和对在通信中使用该通信协议的信息处理装置进行识别的信息处理装置识别信息关联起来存储。
获取部1504通过解析由接收部接收到的通信要求数据,来获取通过该通信要求数据被要求了数据发送的信息处理装置的信息处理装置识别信息。
决定部1403依照与由获取部获取的信息处理装置识别信息关联起来存储在存储部中的通信协议,决定是否许可在客户机终端与信息处理装置之间通信的通信数据的中继。
高速缓存部1505将基于通信部的数据通信成功了的通信协议、和通过获取部获取的信息处理装置识别信息关联起来存储在存储部中。
以上,详述了本发明的实施方式,但本发明例如可以采用作为能够由系统、装置、方法、装置读取并执行的程序或者存储介质等的实施方式,具体而言,既可以应用于由多个设备构成的系统,并且,也可以应用于由一个设备构成的装置。
另外,通过对系统或者装置供给记录有实现上述实施方式的功能的软件的程序代码的存储介质,并该系统或者装置的计算机(或者CPU、MPU)读出并执行存储介质中储存的程序代码,当然也能够达成本发明的目的。
在该情况下,从存储介质读出的程序代码自身实现上述实施方式的功能,存储了程序代码自身及其程序代码的存储介质构成本发明。
作为用于供给程序代码的存储介质,例如可以使用软盘、硬盘、光盘、光磁盘、CD-ROM、CD-R、磁带、非易失性的存储卡、ROM等。
另外,不仅通过执行计算机读出的程序代码,来实现上述实施方式的功能,而且当然包括如下情况:根据该程序代码的指示,在计算机上运行的OS(基本系统或者操作系统)等进行实际的处理的一部分或者全部,并通过该处理来实现上述实施方式的功能的情况。
进而,当然还包括如下情况:在将从存储介质读出的程序代码写入到计算机中插入的功能扩展板、计算机上连接的功能扩展组件中具备的存储器之后,按照该程序代码的指示,该功能扩展板、功能扩展组件中具备的CPU等进行实际的处理的一部分或者全部,通过该处理来实现上述实施方式的功能的情况。
Claims (16)
1.一种中继处理装置,对在客户机终端与信息处理装置之间通信的通信数据进行中继,其特征在于,具备:
存储单元,对在所述客户机终端与所述信息处理装置之间通信的通信数据的中继被许可或者不被许可的、在该通信中使用的通信协议进行存储;
通信单元,与所述信息处理装置进行依照所述存储单元中存储的通信协议的数据通信;
判定单元,判定由所述通信单元进行的与所述信息处理装置的依照所述存储单元中存储的通信协议的数据通信是否成功;以及
决定单元,按照所述判定单元的判定结果,决定是否许可在所述客户机终端与所述信息处理装置之间通信的通信数据的中继。
2.根据权利要求1所述的中继处理装置,其特征在于,
所述存储单元存储下位通信协议和上位通信协议作为构成在所述客户机终端与所述信息处理装置之间通信的通信数据的中继被许可或者不被许可的通信协议的通信协议,所述下位通信协议是传输层的通信协议,所述上位通信协议是比传输层上位的通信协议,
所述通信单元与所述信息处理装置进行依照所述存储单元中存储的下位通信协议的数据通信、以及依照所述存储单元中存储的上位通信协议的数据通信,
所述判定单元判定由所述通信单元进行的与所述信息处理装置的依照所述存储单元中存储的下位通信协议的数据通信、以及依照所述存储单元中存储的上位通信协议的数据通信是否成功,从而判定与所述信息处理装置的依照所述存储单元中存储的通信协议的数据通信是否成功。
3.根据权利要求1或者2所述的中继处理装置,其特征在于,还具备:
接收单元,从所述客户机终端,接收包括要求来自所述信息处理装置的数据发送的通信要求数据的通信数据;以及
要求信息判定单元,判定由所述接收单元接收到的通信要求数据是否为传输层中的、要求在所述客户机终端与所述信息处理装置之间通信的通信数据的中继的传输通信要求信息,
所述通信单元在由所述要求信息判定单元判定为由所述接收单元接收到的通信要求数据是该传输通信要求信息的情况下,与所述信息处理装置进行依照所述存储单元中存储的通信协议的数据通信。
4.根据权利要求3所述的中继处理装置,其特征在于,
还具备确定单元,该确定单元在由所述要求信息判定单元判定为由所述接收单元接收到的通信要求数据不是该传输通信要求信息的情况下,通过解析由所述接收单元接收到的通信要求数据,确定在所述客户机终端与所述信息处理装置之间的通信中使用的通信协议,
所述决定单元按照由所述确定单元确定的通信协议、和所述存储单元中存储的中继被许可或者不被许可的通信协议,决定是否许可在所述客户机终端与所述信息处理装置之间通信的通信数据的中继。
5.根据权利要求3所述的中继处理装置,其特征在于,还具备:
协议存储单元,将通信协议和对在通信中使用该通信协议的信息处理装置进行识别的信息处理装置识别信息关联起来存储;以及
获取单元,通过解析由所述接收单元接收到的通信要求数据,获取通过该通信要求数据被要求了数据发送的信息处理装置的信息处理装置识别信息,
所述决定单元按照与由所述获取单元获取的信息处理装置识别信息关联起来存储在所述协议存储单元中的通信协议、和所述存储单元中存储的中继被许可或者不被许可的通信协议,决定是否许可在所述客户机终端与所述信息处理装置之间通信的通信数据的中继。
6.根据权利要求5所述的中继处理装置,其特征在于,
还具备高速缓存单元,该高速缓存单元将由所述判定单元判定为由所述通信单元进行的数据通信成功了的通信协议、和由所述获取单元获取的信息处理装置识别信息关联起来存储到所述协议存储单元。
7.根据权利要求2所述的中继处理装置,其特征在于,
所述下位通信协议包括密码通信中使用的通信协议。
8.根据权利要求2所述的中继处理装置,其特征在于,
所述上位通信协议包括应用层中的通信协议。
9.一种中继处理装置的控制方法,中继处理装置对在客户机终端与信息处理装置之间通信的通信数据进行中继,具备存储单元,该存储单元对在所述客户机终端与所述信息处理装置之间通信的通信数据的中继被许可或者不被许可的在该通信中使用的通信协议进行存储,该中继处理装置的控制方法的特征在于,具备:
通信工序,通信单元与所述信息处理装置进行依照所述存储单元中存储的通信协议的数据通信;
判定工序,判定单元判定通过所述通信工序进行的与所述信息处理装置的依照所述存储单元中存储的通信协议的数据通信是否成功;以及
决定工序,决定单元按照通过所述判定工序得到的判定结果,决定是否许可在所述客户机终端与所述信息处理装置之间通信的通信数据的中继。
10.根据权利要求9所述的中继处理装置的控制方法,其特征在于,
所述存储单元存储下位通信协议和上位通信协议,作为构成在所述客户机终端与所述信息处理装置之间通信的通信数据的中继被许可或者不被许可的通信协议的通信协议,所述下位通信协议是传输层的通信协议,所述上位通信协议是比传输层上位的通信协议,
在所述通信工序中,与所述信息处理装置进行依照所述存储单元中存储的下位通信协议的数据通信、以及依照所述存储单元中存储的上位通信协议的数据通信,
在所述判定工序中,判定通过所述通信工序进行的与所述信息处理装置的依照所述存储单元中存储的下位通信协议的数据通信、以及依照所述存储单元中存储的上位通信协议的数据通信是否成功,从而判定与所述信息处理装置的依照所述存储单元中存储的通信协议的数据通信是否成功。
11.根据权利要求9或者10所述的中继处理装置的控制方法,其特征在于,还具备:
接收工序,接收单元从所述客户机终端,接收包括要求来自所述信息处理装置的数据发送的通信要求数据的通信数据;以及
要求信息判定工序,要求信息判定单元判定在所述接收工序中接收到的通信要求数据是否为传输层中的、要求在所述客户机终端与所述信息处理装置之间通信的通信数据的中继的传输通信要求信息,
在所述通信工序中,在所述要求信息判定工序中判定为在所述接收工序中接收到的通信要求数据是该传输通信要求信息的情况下,与所述信息处理装置进行依照所述存储单元中存储的通信协议的数据通信。
12.根据权利要求11所述的中继处理装置的控制方法,其特征在于,
还具备确定工序,在该确定工序中,确定单元在所述要求信息判定工序中判定为在所述接收工序中接收到的通信要求数据不是该传输通信要求信息的情况下,通过解析在所述接收工序中接收到的通信要求数据,确定在所述客户机终端与所述信息处理装置之间的通信中使用的通信协议,
在所述决定工序中,按照通过所述确定工序确定的通信协议、和所述存储单元中存储的中继被许可或者不被许可的通信协议,决定是否许可在所述客户机终端与所述信息处理装置之间通信的通信数据的中继。
13.根据权利要求11所述的中继处理装置的控制方法,其特征在于,
该中继处理装置还具备协议存储单元,该协议存储单元将通信协议、和对在通信中使用该通信协议的信息处理装置进行识别的信息处理装置识别信息关联起来存储,
该中继处理装置的控制方法还具备获取工序,在该获取工序中,获取单元通过解析在所述接收工序中接收到的通信要求数据,获取通过该通信要求数据被要求了数据发送的信息处理装置的信息处理装置识别信息,
在所述决定工序中,按照与在所述获取工序中获取的信息处理装置识别信息关联起来存储在所述协议存储单元中的通信协议、和所述存储单元中存储的中继被许可或者不被许可的通信协议,决定是否许可在所述客户机终端与所述信息处理装置之间通信的通信数据的中继。
14.根据权利要求13所述的中继处理装置的控制方法,其特征在于,
还具备高速缓存工序,在该高速缓存工序中,高速缓存单元将通过所述判定工序判定为通过所述通信工序进行的数据通信成功了的通信协议、和通过所述获取工序获取的信息处理装置识别信息关联起来存储到所述协议存储单元。
15.根据权利要求10所述的中继处理装置的控制方法,其特征在于,
所述下位通信协议包括密码通信中使用的通信协议。
16.根据权利要求10所述的中继处理装置的控制方法,其特征在于,
所述上位通信协议包括应用层中的通信协议。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010-288767 | 2010-12-24 | ||
| JP2010288767 | 2010-12-24 | ||
| JP2011207531A JP5294098B2 (ja) | 2010-12-24 | 2011-09-22 | 中継処理装置、及びその制御方法、プログラム |
| JP2011-207531 | 2011-09-22 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102571751A CN102571751A (zh) | 2012-07-11 |
| CN102571751B true CN102571751B (zh) | 2014-12-31 |
Family
ID=46416231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110393352.4A Active CN102571751B (zh) | 2010-12-24 | 2011-12-01 | 中继处理装置及其控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102571751B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6405831B2 (ja) * | 2014-09-25 | 2018-10-17 | 富士ゼロックス株式会社 | 情報処理装置、通信システム及びプログラム |
| CN109150900A (zh) * | 2018-09-18 | 2019-01-04 | 温州职业技术学院 | 一种计算机网络信息安全系统 |
| WO2021181656A1 (ja) * | 2020-03-13 | 2021-09-16 | 株式会社Pfu | データ処理装置、データ処理方法、及びプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1759381A (zh) * | 2003-06-04 | 2006-04-12 | 松下电器产业株式会社 | 因特网保密通信装置和通信方法 |
| CN1972297A (zh) * | 2005-11-22 | 2007-05-30 | 飞塔信息科技(北京)有限公司 | 用于基于策略的内容过滤的计算机系统与方法 |
| EP2175603A1 (en) * | 2008-10-09 | 2010-04-14 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
-
2011
- 2011-12-01 CN CN201110393352.4A patent/CN102571751B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1759381A (zh) * | 2003-06-04 | 2006-04-12 | 松下电器产业株式会社 | 因特网保密通信装置和通信方法 |
| CN1972297A (zh) * | 2005-11-22 | 2007-05-30 | 飞塔信息科技(北京)有限公司 | 用于基于策略的内容过滤的计算机系统与方法 |
| EP2175603A1 (en) * | 2008-10-09 | 2010-04-14 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102571751A (zh) | 2012-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10554420B2 (en) | Wireless connections to a wireless access point | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| US7627896B2 (en) | Security system providing methodology for cooperative enforcement of security policies during SSL sessions | |
| US6336141B1 (en) | Method of collectively managing dispersive log, network system and relay computer for use in the same | |
| US7590844B1 (en) | Decryption system and method for network analyzers and security programs | |
| US20160021111A1 (en) | Method, Terminal Device, and Network Device for Improving Information Security | |
| US20080130899A1 (en) | Access authentication system, access authentication method, and program storing medium storing programs thereof | |
| US20130103944A1 (en) | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices | |
| JP2008299617A (ja) | 情報処理装置、および情報処理システム | |
| CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| US20050265343A1 (en) | Packet filtering apparatus, packet filtering method, and computer program product | |
| CN110020955B (zh) | 在线医保信息处理方法及装置、服务器和用户终端 | |
| CN101155074A (zh) | 通信日志管理系统 | |
| Chomsiri | HTTPS hacking protection | |
| CN105763318A (zh) | 一种预共享密钥获取、分配方法及装置 | |
| JP4667921B2 (ja) | 検証装置及び通信システム及びトラストストア管理装置及びトラストストア監視装置 | |
| CN102571751B (zh) | 中继处理装置及其控制方法 | |
| CN103731410A (zh) | 虚拟网络构建系统、方法、小型终端及认证服务器 | |
| JP2009100345A (ja) | メール中継装置 | |
| CN106909826A (zh) | 口令代填装置及系统 | |
| US9178853B1 (en) | Securely determining internet connectivity | |
| US20170237716A1 (en) | System and method for interlocking intrusion information | |
| JP2012064007A (ja) | 情報処理装置、通信中継方法およびプログラム | |
| EP2587743A1 (en) | Hypertext link verification in encrypted e-mail for mobile devices | |
| KR101881278B1 (ko) | 보안 소켓 계층 통신을 이용하는 패킷을 선택적으로 검사하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB02 | Change of applicant information |
Address after: Tokyo, Japan Applicant after: Canon IT Solution Co., Ltd. Address before: Tokyo, Japan Applicant before: Canon IT solution Co., Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: CANON IT SOLUTION CO., LTD. TO: CANON IT SOLUTION CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |