JP2012169756A - 暗号化通信検査システム - Google Patents
暗号化通信検査システム Download PDFInfo
- Publication number
- JP2012169756A JP2012169756A JP2011027327A JP2011027327A JP2012169756A JP 2012169756 A JP2012169756 A JP 2012169756A JP 2011027327 A JP2011027327 A JP 2011027327A JP 2011027327 A JP2011027327 A JP 2011027327A JP 2012169756 A JP2012169756 A JP 2012169756A
- Authority
- JP
- Japan
- Prior art keywords
- inspection
- data
- encrypted communication
- acquisition
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】検査対象の通信毎に暗号化されているか否かを検査する。
【解決手段】暗号化通信検査システムは、ネットワーク上のパケットを受信し、受信したパケットから検査データを取得する検査データ取得手段と、検査データ取得手段が取得した検査データに対して、乱数検定方式を用いて乱数性を評価し、検査データに乱数性があると評価した場合に、検査データは暗号化通信であると判定する暗号化通信検査手段と、暗号化通信検査手段の検査結果を、検査結果表示画面に表示する検査結果表示手段とを備える。
【選択図】 図1
【解決手段】暗号化通信検査システムは、ネットワーク上のパケットを受信し、受信したパケットから検査データを取得する検査データ取得手段と、検査データ取得手段が取得した検査データに対して、乱数検定方式を用いて乱数性を評価し、検査データに乱数性があると評価した場合に、検査データは暗号化通信であると判定する暗号化通信検査手段と、暗号化通信検査手段の検査結果を、検査結果表示画面に表示する検査結果表示手段とを備える。
【選択図】 図1
Description
本発明は、ネットワーク上の通信が暗号化されているか否かを検査する技術に関する。
インターネットをベースとしたコンピュータの利用形態として、クラウドコンピューティング(以下、クラウドと表記する。)と呼ばれるものがある。これはネットワーク上に存在するサーバが提供するサービスを、それらのサーバを意識することなしに利用する利用形態である。従来のコンピュータの利用は、コンピュータのハードウェア、ソフトウェア、データなどを、ユーザが保有・管理しているのに対して、クラウドではハードウェア、ソフトウェア、データなどを、サービスを提供するサーバを保有する事業者が保有・管理している。ユーザは、クラウドを利用することにより、コンピュータの購入費用の抑制や、データ管理の手間からの解放というメリットを得ることができる。
クラウドを利用したサービスの提供が進展し、国民生活や社会経済活動を支える基盤インフラとなりつつある。
しかし、クラウドでは、システムを構成する機器(サーバ、ネットワーク、ストレージなど)の構成がダイナミックに変化したり、クラウドの利用者自身がシステムの物理的な構成を把握できなかったりするなど、各機器の状況の把握が困難である。この点がクラウドの利用を躊躇したり、クラウドには、重要なデータを預けないようにしたりする要因の一つとなっている。
クラウドを利用するユーザが安心・安全にサービスの提供を受けるには、システムを構成する機器のセキュリティに関わる情報を収集・分析してリアルタイムに状況を把握する監視技術の確立が重要となる。
これらの動きを受けて、ネットワークの通信が暗号化されているか否かを検査しようとする試みがなされている。例えば、特許文献1では暗号化部と、復号化部と、乱数検定部を具備し、暗号化データの乱数性を検出することにより、暗号化データの安全性(暗号化されているか)を確認する装置に関する記述がある。また、特許文献2では、既に暗号化されたデータを送信する際に暗号化済を意味するデータ(フラグ)を添付することで、送受信するデータが暗号化されているかを検出する装置に関する記述がある。
特許文献1においては、暗号化部で暗号化されたデータはすべて乱数検定部に入力されており、ネットワークを流れるパケットに適用すると、パケットヘッダ等の暗号化されていないデータ部分に関しても乱数検定を実行するので、乱数検定の精度が低下する。
特許文献2においては、データが暗号化されているか否かの判断に、フラグなどの補助データを必要とする。
そこで、ネットワーク上の通信トラフィックが、フラグなどの補助データを用いることなく、暗号化されているか否かを精度よく検査し、検査結果を表示するシステムが求められる。
開示する暗号化通信検査システムは、ネットワーク上のパケットを受信し、受信したパケットから検査対象の検査データを取得する検査データ取得手段と、取得した検査データに対して、乱数検定方式を用いて乱数性を評価し、検査データに乱数性があると評価した場合に、検査データを含むパケットによる通信は暗号化通信であると判定する暗号化通信検査手段と、検査結果を表示する検査結果表示手段とを備える。
望ましい他の様態は、検査データ取得手段は、予め定めた検査データ取得ポリシに基づいて検査データを取得する。
望ましいさらに他の様態は、暗号化通信検査手段は、少なくとも一つ以上の乱数検定結果に基づいた検査データの乱数レベルにより、検査データの乱数性を評価する。
望ましいさらに他の様態は、検査結果表示手段は、乱数レベルと検査結果表示ポリシに基づいて検査結果を表示する。
開示する暗号化通信検査システムによれば、ネットワークにおいて、予め定めた検査対象の通信毎に暗号化されているか否かを検査できる。
ネットワークに流れるパケットのデータ部(パケットデータ、ペイロード部)が暗号化されている場合には、そのパケットデータは特徴のない乱数列のようにみえる。そこで、パケットデータに対して乱数検定を適用し、乱数性を評価することで、そのパケットによる通信は暗号化されているか否かを検査することができる。しかし、パケット全体(一つのパケットのヘッダ部およびペイロード部を含む全体)に対して乱数検定を適用しても、パケットのヘッダ部のような暗号化されていない部分などが乱数検定の対象に含まれているため、乱数検定の精度が落ちてしまう。
なお、本実施形態では、端末間の一連のパケットの送受信を通信と呼ぶ。
本実施形態では、乱数検定の対象の検査データを選択し、複数種類の乱数検定を適用することで、暗号化通信検査の精度を向上させる。実施例1ではこの点に着目し、検査データの取得、暗号化通信の検査、検査結果の表示について説明する。
実施例2では、検査結果に基づいたトラフィック制御について説明する。
過去の検査結果を参照するために、実施例3では、検査結果の記憶について説明する。
本実施例では、ネットワーク上の通信トラフィックの中から検査対象のデータを取得する検査データ取得装置と、取得したデータが暗号化されているか否かを検査する暗号化通信検査装置と、検査結果を表示する検査結果表示装置を有する暗号化通信検査システムの例を説明する。
図1に、本実施例における暗号化通信の検査を行う暗号化通信検査システムを含むネットワークの構成例を示す。図1に示すように、暗号化通信検査システムは、検査データ取得装置101と、暗号化通信検査装置102と、検査結果表示装置103とを含んで構成されている。
なお、以下では、通信トラフィックからの検査データ取得、検査データの暗号化通信検査、検査結果の表示を、上述した各装置で行なう前提で説明するが、例えば、ネットワークを流れる通信トラフィックに応じて、上述した暗号化通信検査を1つの装置で実行してもよい。まず、検査データ取得装置101について説明する。
検査データ取得装置101は、ネットワーク104に接続し、検査データ取得装置101を通過するパケットから検査データ取得ポリシに基づいた検査データの取得をおこない、通信路106に出力する。この検査データ取得ポリシの具体的な内容については、図3を用いて後述する。
ネットワーク104は、例えば、イントラネットやインターネットなどのネットワーク、あるいはこれらに接続するための通信網である。ネットワーク104には1台以上の端末が接続され、例えばウェブアクセスやファイル転送などの通信を行っている。なお、通信路105、通信路106、通信路107、通信路108は、例えば、バスやケーブルなどの情報伝達媒体である。
暗号化通信検査装置102は、通信路106を流れる検査データを受信し、受信した検査データの暗号化レベルを求め、その結果を検査結果として通信路107に送信する。
なお、暗号化通信検査装置102は、検査データ取得装置101が取得した検査データに対して、暗号化通信の検査を実行する。しかし、暗号化通信検査装置102が十分な性能を持った装置であるならば、検査データの取得も含めて、暗号化通信検査装置102がこれらの処理を実行しても良い。
検査結果表示装置103は、通信路107を流れる検査結果を受信し、受信した検査結果を画面に出力する。この検査結果画面の具体的な内容については、図7を用いて後述する。なお、検査結果表示装置103は、暗号化通信検査装置102が求めた検査結果に対して、検査結果の表示を実行する。しかし、検査結果表示装置103が十分な性能を持った装置であるならば、暗号化通信の検査も含めて、検査結果表示装置103がこれらの処理を実行しても良い。
図2に、検査対象のデータを取得する検査データ取得装置101の構成例を示す。検査データ取得装置101は、例えば、ルータ等のネットワーク機器であり、CPU(Central Processing Unit)204と、CPU204が処理を実行するために必要なデータを格納するためのメモリ206と、大量のデータを記憶する容量を持つハードディスクやフラッシュメモリなどの記憶装置205と、他装置と通信を行なうためのIF(インタフェース)201、IF202、IF203と、これらの各装置を接続する通信路(バス)207とを備えたコンピュータである。なお、他の図においてもIF(インタフェース)と呼ぶが、接続先に応じて通信インタフェース、入出力インタフェース、又は動作に応じて通信装置、受信装置、送信装置、入出力装置などと呼ぶこともある。
CPU204は、メモリ206に格納された検査データ取得プログラム209を実行することにより検査データの取得を行なう。記憶装置205には、検査対象のデータを選択するための検査データ取得ポリシデータ208が格納されている。
上記の各プログラムやデータは、あらかじめメモリ206または記憶装置205に格納されていてもよいし、必要な時に、IF201、IF202、あるいはIF203を介して他の装置から、インストール(ロード)されてもよい。
図3は、検査データ取得ポリシデータ208の一例を示す図である。図3に示すように、検査データ取得ポリシデータ208は、取得ID301と、取得対象302と、取得プロトコル303と、取得レート304と、取得データ305と、取得サイズ306と、取得タイミング307とを含む。取得ID301は、検査データ取得ポリシを一意に識別できる情報(識別子)を表している。
取得対象302は、例えば、スイッチの特定ポートや、VLAN ID、特定の端末に対する通信などの取得対象のパケットを特定するデータを表している。取得対象プロトコル303は、取得対象302に該当するパケットをさらに絞り込むために利用する。具体的には、取得対象プロトコル303で指定されたプロトコルに従っているパケットを取得対象とする。取得対象プロトコル303が指定されていない場合は、すべてのプロトコルを取得対象とする。
取得レート304は、サンプリングされるパケットの割合を表す。取得対象のパケット数が多い場合は、取得対象レート304の調整を行う。たとえば、図3の取得ID301が「1」の場合は、取得対象302である「インタフェース1」を通過する10000パケットのうちの1パケットを取得対象のパケット数とする。取得データ305は、取得対象のデータを表す。例えば、取得データ305に「TCPペイロード」が指定されている場合には、取得したパケットのTCPペイロード部分を取得対象とする。また、図3には例示していないが、TCPペイロード1〜100バイトが指定されている場合には、指定された範囲のデータを取得対象とする。取得サイズ306は、取得するデータのサイズを表し、取得タイミング307は取得を行うタイミングを表す。例えば、取得タイミング307が即時であり、取得対象データが取得サイズ306に指定されているデータサイズ以上であれば、取得したデータは即座に通信路106に検査データとして送信される。また、取得タイミング407が連結である場合には、取得サイズ406で指定されているデータサイズを超えるまで、後続のパケットのデータ部を連結したのちに、検査データとして通信路106に送信する。なお、後続のパケットのデータ部を連結する場合、取得サイズ406で指定されているデータサイズになるまで当該データはメモリ206あるいは、記憶装置205上に保管される。
このように取得データを詳細に指定することで、パケットヘッダ等の暗号化されていないデータ部分を除外することができ、暗号化通信検査装置102の検査結果の精度を向上させることが可能となる。
検査データ取得プログラム209は、CPU204により実行され、受信したパケットが、検査データ取得ポリシデータ205の取得対象302及び取得プロトコル303に該当するならば、対応する取得レート304、取得データ305、取得サイズ306、取得タイミング307に従って検査対象のデータを取得し、取得した検査対象のデータに少なくとも取得ID301を付加して、検査データとしてIF210を介して通信路106に送信する。通信路106に送信する検査データには、少なくとも取得ID301及び検査対象のデータを含んでいる。検査データ取得プログラム209の具体的な処理については図8を用いて後述する。
図4に、暗号化通信検査装置102の構成例を示す。暗号化通信検査装置102は、上述したように、暗号化通信の検査を行なうものであり、CPU403と、メモリ404と、他装置と通信を行なうためのIF401、IF402と、これらの各装置を接続する通信路405とを含んで構成されたコンピュータである。
CPU403は、メモリ404に格納された暗号化通信検査プログラム406を実行することにより暗号化通信の検査を行なう。暗号化通信検査プログラム406は乱数検定管理プログラム407及び乱数レベル算出プログラム408から構成されている。乱数検定管理プログラム406は、少なくとも1種類以上の乱数検定プログラム409を含んでいる。乱数検定プログラム409は、データが乱数であるか否かを統計的手法を利用して判断するプログラムである。
上記の各プログラムは、あらかじめ、メモリ404に格納されていてもよいし、IF401あるいはIF402を介して他の装置から、インストール(ロード)されてもよい。
暗号化通信検査プログラム406は、CPU403により実行され、受信した検査データが暗号化されているか否かの検査を行ない、検査結果をIF402を介して通信路107に送信する。暗号化通信検査プログラム406の具体的な処理については図9を用いて後述する。なお、検査結果には少なくとも取得ID301及び乱数レベルの各情報を含んでいる。ここで、乱数レベルとは、真の乱数にどれだけ近いかの尺度を表している。例えば、乱数レベルが0〜1の値をとるとし、その値が小さいほど真の乱数に近いとすると、乱数レベルがある一定の閾値以下(例えば0.3以下)であれば、その検査データは暗号化されていると判断する。
図5に、検査結果表示装置103の構成例を示す。検査結果表示装置103は、上述したように、検査結果の表示を行なうものであり、CPU502と、メモリ505と、記憶装置504と、他装置と通信を行なうためのIF501と、キーボード、ディスプレイなどの入出力を行なうための入出力装置503と、これらの各装置を接続する通信路506とを含んで構成されたコンピュータである。
CPU502は、メモリ505に格納された検査結果表示プログラム508を実行することにより検査結果の表示を行なう。記憶装置504には、検査結果を表示するための検査結果表示ポリシデータ507が格納されている。
上記の各プログラムは、あらかじめ、メモリ505または記憶装置504に格納されていてもよいし、入出力装置503からまたは、IF501を介して他の装置から、インストール(ロード)されてもよい。
図6は、検査結果表示ポリシデータ507の一例を示す図である。図6に示すように、検査結果表示ポリシデータ507は、表示ID601と、取得ID602と、乱数レベル603と、表示ルール604とを含む情報である。表示ID601は、検査結果表示ポリシを一意に識別できる情報(識別子)を表している。取得ID602とは、どの取得ポリシに従って取得されたのかを表しており、検査結果に含まれる、検査データ取得ポリシデータ208の取得ID301を格納する。取得ID602及び乱数レベル603に対応する各々のデータは暗号化通信検査装置102が送信する検査結果に含まれている。表示ルール604は、画面表示のルールを表している。表示ルール604は、乱数レベルに応じて設けた表示画面態様の数だけ存在する。乱数レベルが低い(暗号化通信の可能性が低い)ほど、警告を強調するために、多様な観点に立った表示画面態様を設けることが望ましい。表示ルール604には、検査結果として受信した乱数レベルに応じた画面表示のルールが記述されている。例えば、通信が遮断された検査対象場所において、通信が遮断された旨を表示(検査対象場所に×印を表示)したり、乱数レベルに応じて、検査対象場所を示す表示の線の太さあるいは、色などを変化させたり、あるサービス(検査対象場所)の暗号化レベルが低下していることを表示したりする。
検査結果プログラム508は、CPU502により実行され、受信した検査結果を画面に表示する。検査結果表示プログラム508の具体的な処理については図10を用いて後述する。
図7A及び図7Bに、検査結果表示画面の例を示す。例えば端末A(IP 192.168.1.1)、端末B(IP 192.168.1.2)、端末C(IP 192.168.1.3)がそれぞれPort 80番でサービスA,B,Cを提供しており、これらの端末がルータを介してインターネットに接続しているとする。ここで、表示ID601が「1」の検査結果表示画面は、図7Aに示す検査結果表示画面701及び図7Bに示す検査結果表示画面702のようになる。検査結果表示画面701では、端末Aとルータ間の暗号化レベルが低いことを表している。検査結果表示画面702では、サービスAの暗号化レベルが低いことを表している。
続いて、検査データ取得装置101の検査データ取得プログラム209がパケットを受信し、検査データを送信する処理(以下、取得処理と呼ぶ。)について説明する。図8は、取得処理のフローチャートである。
図8に示すように、検査データの取得処理を実行する検査データ取得プログラム209は、CPU204により実行され、IF202または、IF203を介してパケットを受信し(ステップ801)、受信したパケットのヘッダ部を参照して、検査データ取得ポリシデータ208の取得対象302に該当するかを判定する(ステップ802)。検査データ取得プログラム209は、受信したパケットが取得対象302に該当する場合、さらに取得プロトコル303に該当するかを判定し、取得対象302及び取得プロトコル303(取得プロトコル303が指定されていない場合は、don’t care)の少なくとも一方に該当しない場合はステップ801に戻る。
検査データ取得プログラム209は、受信したパケットが取得対象302及び取得プロトコル303に該当する場合、取得レート304に指定された割合で検査対象データを選択する。ただし、受信したパケットが取得対象302に該当し、取得プロトコル303に何も指定されていない場合は、取得プロトコルの種別にかかわらず、受信したパケットのデータ部から取得レート304に指定された割合で検査対象データを選択する。パケット取得プログラム209は、取得データ305で指定されているデータ範囲を検査対象データとして選択する。パケット取得プログラム209は検査対象データとして選択したデータから、取得サイズ306及び取得タイミング307に基づいて検査データを取得する。具体的には、取得タイミング307が「即時」であり、かつ、検査対象データのサイズが取得サイズ306以上であれば、選択した検査対象データを検査データとして取得する。取得タイミング307が連結であり、かつ、取得データのサイズが取得サイズ306より小さければ、検査データが取得サイズ306以上になるまで後続パケットの検査対象データを連結する。
パケット取得プログラム209は、ステップ802によって取得した検査データを、IF201を介して通信路106に送信する(ステップ803)。なお、受信したパケットが検査データ取得ポリシデータ208に該当するかの判定は、取得ID301の順に実行し、該当する取得ID301が存在する場合にはそれ以降の取得ID301との比較は行わない。
ステップ801からステップ803までの検査データの取得処理の流れを、具体例を用いて説明する。例えば、宛先IPが192.168.1.1、宛先Portが80、TCPペイロード部分のサイズが2000bitのTCPパケットを受信した場合、検査データ取得プログラム209は当該パケットと検査データ取得ポリシデータ208の取得対象302との比較を行う。この場合、当該パケットは取得ID301「3」の取得対象302「宛先IP 192.168.1.1 宛先Port 80」に該当し、さらに当該パケットは検査データ取得ポリシ208の取得プロトコル303「6」に示されたプロトコル番号にも該当するので、取得レート304「1/1」に従って当該パケットを検査データの取得対象とする。次に検査データ取得プログラム208は、取得データ305「TCPペイロード」で指定された、当該パケットのTCPペイロード部分を取り出し、取得サイズ306「1000bit」及び取得タイミング307「連結」との比較を行う。当該パケットのTCPペイロード部分のサイズは2000bitであるので、データサイズが1000bit以上となり、検査データ取得ポリシデータ208の取得ID301「3」と、当該パケットのTCPペイロード部分とを、検査データとしてIF201を介して通信路106へと送信する。
続いて、暗号化通信検査装置102の暗号化通信検査プログラム406が、検査データを受信し、検査結果を送信する処理(以下、検査処理と呼ぶ。)について説明する。図9は、検査処理のフローチャートである。
図9に示すように、検査処理を実行する暗号化通信検査プログラム406は、CPU403により実行され、通信路106を流れる検査データをIF401を介して受信し(ステップ901)、受信した検査データを乱数検定管理プログラム407に送信する。乱数検定管理プログラム407は受信した検査データに対して、複数の乱数検定プログラム409を適用する(ステップ902)。
乱数検定プログラム409は、乱数性を評価する乱数検定方式が実装されている。例えば、乱数検定方式の一つとして、データのビット列の偏りを用いる方法がある。データが真にランダムであれば、データに含まれるビットが「0」の個数とビットが「1」の個数は等しいか、ほぼ等しくなる可能性が高い。そこで、(「0」の個数−「1」の個数)/(「0」と「1」の個数)の絶対値を求め、この値がある閾値(例えば0.2)より小さい場合は、乱数性があると判定する(環境に合わせて閾値を変えてもよい)。
なお、上記のランダム検定方法は一例であり、乱数検定プログラム409には、例えば「NIST Special Publication 800-22」で述べられている乱数検定や、その他の乱数検定を用いてもよい。乱数検定管理プログラム407は、これら複数種類の乱数検定プログラム409の検定結果を乱数レベル算出プログラム408に送信する。
乱数レベル算出プログラム408は、乱数検定管理プログラム409から乱数検定結果を受信すると、乱数レベルを算出し、暗号化通信検査プログラム406へ送信する(ステップ903)。乱数レベルの算出には予め定めた関数を利用する。例えば、複数種類の乱数検定プログラム409により得た各乱数検定結果の加重平均を用いてもよい。
暗号化通信検査プログラム406は、乱数レベル算出プログラム408から乱数レベルを受信すると、ステップ901で受信した検査データに含まれている取得ID301と、ステップ903で算出した乱数レベルとを、検査結果としてIF402を介して通信路106へ送信する(ステップ904)。
続いて、検査結果表示装置103の検査結果表示プログラム508が検査結果を受信し、検査結果を表示する処理(以下、表示処理と呼ぶ。)について説明する。図10は、表示処理のフローチャートである。
図10に示すように、表示処理を実行する検査結果表示プログラム508は、CPU502により実行され、通信路107を流れる検査結果をIF501を介して受信する(ステップ1001)。受信した検査結果に含まれる取得ID及び乱数レベルが、検査結果表示ポリシデータ507の取得ID602及び乱数レベル603に該当するかを判定する(ステップ1002)。該当する検査結果表示ポリシが存在する場合には、該当した表示ポリシの表示ルール604に従い、検査結果を入出力装置503に表示し(ステップ1003)、ステップ1001に戻る。なお、検査結果表示ポリシデータ507との比較は表示ID601の順に実行し、該当する表示ID601が存在する場合には、それ以降の表示ID601との比較は行わない。また、ステップ1003の検査結果表示は、入出力装置503に検査結果を表示するように説明したが、例えば、ネットワークを介して他の装置の入出力装置に検査結果を表示してもよい。
ステップ1001からステップ1003までの表示処理の流れを、具体例を用いて説明する。例えば、検査結果表示プログラム508が、IF501を介して、取得IDが「3」、乱数レベルが「0.3」である検査結果を受信した場合、該当する表示ポリシは、表示ID601が「1」の「端末Aルータ間の暗号化レベル低を表示」及び「サービA、暗号化レベル低を表示」となる。
このように、ネットワークの通信が暗号化されているか否かを検査する暗号化通信検査システムに置いて、検査データ取得装置101が、ネットワーク上のパケットを受信し、検査データ取得プログラム209が、IF202あるいはIF203を介して受信したパケットから検査データ取得ポリシデータ208に従って検査データを取得し、取得した検査データをIF201を介して送信し、暗号化通信検査装置102は、IF401が、検査データ取得装置101から検査データを受信し、暗号化通信検査プログラム406が、IF401を介して受信した検査データに対して複数種類の乱数検定方式を用いて乱数性を検定し、検定結果から乱数レベルを算出し、IF402が、暗号化通信検査プログラム406が検査した結果を検査結果として送信し、検査結果表示装置103は、IF501が、暗号化通信検査装置102から検査結果を受信し、検査結果表示プログラム508が、IF501を介して受信した検査結果に従って表示ルールを選択し、検査結果を表示することで、検査対象の1パケット又は複数パケットによる一連の通信毎に暗号化されているか否かを検査し、ポリシに基づいた検査結果表示が可能となる。
本実施例は、換言すると、ネットワークを流れるパケットのヘッダ部に含まれる情報を参照して検査対象パケットを特定し、特定した検査対象パケットのペイロード部の乱数性を評価し、所定の閾値に満たない乱数性の検査対象パケットを暗号化されていないパケットとする暗号化通信検査システムである。
なお、本実施例の一部を変更して、次のように実施してもよい。検査データ取得プログラム209を変更し、メモリ206または記憶装置205に格納されているデータから検査データを取得する。これにより、メモリまたは記憶装置に格納されているデータが暗号化されているか否か検査することが可能となり、管理者が暗号化を行なうなどの対策を講じることができる。
また、図11に示すように、検査データ取得装置101と同等の機能を持つ検査データ取得プログラム1102を検査対象端末1101にインストール(ロード)する。これにより、検査対象は検査対象端末1101に関する通信だけとなり、暗号化通信検査102に係る負荷を軽減することができる。
また、図12に示すように、検査データ取得装置101と同等の機能を持つ検査データ取得端末1204を仮想化環境のハイパーバイザ1202上に構築する。これにより、ハイパーバイザ上の他の仮想端末1203の通信を検査することができる。
本実施例は、実施例1の暗号化通信検査システムを含み、さらに検査結果に応じた対策を実行する暗号化通信検査システムである。
図13は、本実施例における暗号化通信検査システムを含むネットワーク構成図の例である。実施例1と同一の構成要素には同一の符号を付すことによってその説明を省略し、以下では、実施例1と異なる点を中心に説明する。
図13に示すように、実施例2における暗号化通信検査システムは、既に説明した実施例1の暗号化通信検査システムと、対策実行装置1301と、トラフィック制御装置1302とを含んで構成される。
なお、以下では、トラフィック制御命令の送信およびトラフィックの制御を、上述した各装置で行なうように説明するが、例えば、ネットワークを流れる通信トラフィックに応じて、上述したトラフィック制御を1つの装置で行なうこととしてもよい。まず、対策実行装置1301について説明する。
図14に、検査結果を受信し、トラフィック制御命令を送信する対策実行装置1301の構成例を示す。対策実行装置1301は、CPU1403と、メモリ1406と、記憶装置1405と、入出力装置1404と、IF1401、IF1402と、これらの各装置を接続する通信路1407とを備えたコンピュータである。
CPU1403は、メモリ1406に格納された対策実行プログラム1409を実行することによりトラフィック制御命令の送信を行なう。記憶装置1405には、トラフィック制御のための対策実行ポリシデータ1408が格納されている。
上記の各プログラムやデータは、あらかじめメモリ1406または記憶装置1405に格納されていてもよいし、必要な時に、入出力装置1404または、IF1401あるいはIF1402を介して他の装置から、インストール(ロード)されてもよい。
図15は、対策実行ポリシデータ1408の一例を示す図である。図15に示すように、対策実行ポリシデータ1408は、対策ID1501と、取得ID1502と、乱数レベル1503と、対策ルール1504とを含む。対策ID1501は、対策実行ポリシを一意に識別できる情報(識別子)を表している。取得ID1502は、どの取得ポリシに従って取得されたのかを表しており、検査データ取得ポリシデータ208の取得ID301を格納する。取得ID1502及び乱数レベル1503は暗号化通信検査装置102が送信する検査結果に含まれている情報である。対策ルール1504は、トラフィック制御のルールを表している。トラフィック制御ルールとして、例えば、パケットの廃棄、単位時間当たりのパケット数であるトラフィック量を制限するための帯域の制限、パケットの宛先経路の変更などが挙げられる。
対策実行プログラム1409は、CPU1403により実行され、受信した検査結果と、対策実行ポリシデータとを比較し、トラフィック制御命令をIF1402を介して通信路1303に送信する。対策実行プログラム1409の具体的な処理については図16を用いて後述する。
トラフィック制御装置1302は、トラフィック制御命令を受信し、トラフィック制御装置1302を通過するトラフィックの制御を行なう装置である。トラフィックの制御には、例えば、上述のパケットの廃棄、帯域の制限、宛先経路の変更などがある。トラフィック制御装置1303は、例えば、ルータ等の一般的なネットワーク機器で実現できるため、ここでは構成図を省略する。
続いて、対策実行装置1301の対策実行プログラム1409が検査結果を受信し、トラフィック制御命令を送信する処理(以下、制御処理と呼ぶ。)について説明する。図16は、制御処理のフローチャートである。
図16に示すように、制御処理を実行する対策実行プログラム1409は、CPU1403により実行され、通信路107を流れる検査結果をIF1401を介して受信し(ステップ1601)、受信した検査結果に含まれる取得ID及び乱数レベルが、対策実行ポリシデータ1408の取得ID1502及び乱数レベル1503に該当するかを判定する(ステップ1602)。該当する対策実行ポリシが存在する場合には当該対策実行ポリシの対策ルール1504に従い、対策ルールを制御命令として、IF1402を介して通信路1303に送信し、ステップ1601に戻る(ステップ1603)。なお、対策実行ポリシデータ1408との比較は対策ID1501の順に実行し、該当する対策ID1501が存在する場合には、それ以降の対策ID1501との比較は行わない。
ステップ1601からステップ1603までの制御処理の流れを、具体例を用いて説明する。例えば、対策実行プログラム1409が、IF1401を介して、取得IDが「3」、乱数レベルが「0.3」である検査結果を受信した場合、対策実行ポリシデータ1408の該当する対策実行ポリシは、対策ID1501が「3」の「トラフィック遮断」となる。
このように、実施例2によれば、対策実行装置1301は、IF1401が、暗号化通信検査装置102が送信した検査結果を受信し、対策実行プログラム1409が、IF1401を介して受信した検査結果から、対策実行ポリシに従い対策ルールを選択し、選択した対策ルールをトラフィック制御命令としてIF1401を介して送信し、トラフィック制御装置1303は、受信した制御命令に従い通信トラフィックを制御することで、検査対象の通信毎に暗号化されているか否かを検査し、ポリシに基づいたトラフィック制御が可能となる。
なお、本実施例の一部を変更して、次のように実施してもよい。対策実行ポリシデータ1408の対策ルール1504に、直接的にトラフィック制御せずに、間接的にトラフィック制御の実行を促す対策ルールを格納する。例えば、入出力装置1404に警告メッセージを表示する、管理者に警告メールを送信するなどである。これにより、管理者が迅速に対策を講じることができる。
本実施例は、実施例1の暗号化通信検査システムを含み、さらに検査結果を記憶する暗号化通信検査システムである。
図17は、実施例3における暗号化通信検査システムを含むネットワーク構成図の例である。実施例1と同一の構成要素には同一の符号を付すことによってその説明を省略し、以下では、実施例1と異なる点を中心に説明する。
図17に示すように、実施例3における暗号化通信検査システムは、既に説明した実施例1の暗号化通信検査システムと、検査結果記憶装置1701とを含んで構成される。
トラフィック記憶装置1701は、検査結果を受信し、受信した検査結果を記憶するための記憶装置を備えた装置である。例えば、一般的なコンピュータで実現できるため、ここでは構成図を省略する。
なお、以下では、検査結果を、検査結果記憶装置1701で記憶するように説明するが、例えば、検査結果の受信頻度に応じて、検査結果記憶装置1701を暗号化通信検知装置102、あるいは、検査結果表示装置103と併せて、1つの装置で構成してもよい。
図18は、検査結果データの一例を示す図である。図18に示すように、検査結果データは、日時1801と、取得ID1802と、乱数レベル1803とを含む。日時1801は、検査結果記憶装置1701が検査結果を受信した日時を表す。取得ID1802は、どの取得ポリシに従って取得されたのかを表しており、検査データに含まれる検査データ取得ポリシデータ208の取得ID301であり、検査結果に含まれている。取得ID1802は、乱数レベル1803と共に、暗号化通信検査装置102が送信する検査結果に含まれている。
図19A及び図19Bは、検査結果表示装置103の検査結果表示プログラム508が、検査結果記憶装置1701の検査結果データを利用し、検査結果を表示した検査結果表示画面の例を示している。図19Aに示す検査結果表示画面1901はサービスAの乱数レベルがどのように変化したかを時間経過とともに表示してある。図19Bに示す検査結果表示画面1902は過去のある時点のサービスの乱数レベルを表示してある。
なお、本実施例では上述したように、検査結果表示プログラム508がIF501を介して検査結果記憶装置1701に定期的あるいは、必要に応じに接続し、検査データを取得し、検査結果表示画面を表示する。
このように、本実施例によれば、検査結果装置1701は、暗号化通信検査装置102が送信した検査結果を受信し、受信した検査結果を記憶装置に記憶し、検査結果表示装置103は、検査結果記憶装置1701の検査結果を利用し、検査結果表示画面を表示することで、検査結果の時系列表示や、過去のある時点での検査結果の表示が可能となる。
以上説明した暗号化通信検査システムによれば、ネットワークにおいて、予め定めた検査対象の通信毎に暗号化されているか否かを検査できる。
本発明は、上記実施の形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施の形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施の形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施の形態にわたる構成要素を適宜組み合わせても良い。
101:検査データ取得装置、102:暗号化通信検査装置、103:検査結果表示装置、104:ネットワーク、208:検査データ取得ポリシデータ、209:検査データ取得プログラム、406:暗号化通信検査プログラム、507:検査結果表示ポリシデータ、508:検査結果表示プログラム、1301:対策実行装置、1408:対策実行ポリシデータ、1409:対策実行プログラム、1701:検査結果記憶装置。
Claims (7)
- ネットワーク上のパケットによる通信が暗号化されているか否かを検査する暗号化通信検査システムであって、
前記ネットワーク上の前記パケットを受信し、受信した前記パケットから検査データを取得する検査データ取得手段と、
前記検査データ取得手段が取得した前記検査データに対して、乱数検定方式を用いて乱数性を評価し、前記検査データに乱数性があると評価した場合に、前記検査データを含む前記パケットによる前記通信は暗号化通信であると判定する暗号化通信検査手段と、
前記暗号化通信検査手段の検査結果を、検査結果表示画面に表示する検査結果表示手段とを備えることを特徴とする暗号化通信検査システム。 - 前記検査データ取得手段は、受信した前記パケットが、予め定めた通信対象と予め定めた通信プロトコルで前記通信を実行している場合に、予め定めたサンプリングレート、検査対象部分データ、取得サイズ、および、取得タイミングに従って、前記パケットから前記検査データを取得することを特徴とする請求項1記載の暗号化通信検査システム。
- 前記検査データ取得手段は、前記検査データを特定する情報を前記検査データに付加して、前記暗号化通信検査手段に出力することを特徴とする請求項1記載の暗号化通信検査システム。
- 前記暗号化通信検査手段は、少なくとも一つの前記乱数検定方式を用いて乱数性を検定し、少なくとも一つの前記乱数検定の結果から、前記乱数性を評価することを特徴とする請求項1〜3のいずれか1項に記載の暗号化通信検査システム。
- 前記暗号化通信検査手段は、前記検査データを特定する情報と前記検査データの乱数レベルを表す情報とを含む検査結果を出力し、
前記検査結果表示手段は、前記暗号化通信検査手段が出力した前記検査結果に基づいて検査結果を表示することを特徴とする請求項1〜4のいずれか1項に記載の暗号化通信検査システム。 - 前記暗号化通信検査手段が出力した前記検査結果に基づいて、前記パケットによる前記通信のトラフィックを制御する制御命令を送信する対策実行手段をさらに備えることを特徴とする請求項5記載の暗号化通信検査システム。
- 前記暗号化通信検査手段が出力した前記検査結果と、前記検査結果を受信した日時とを記憶する検査結果記憶手段をさらに備えることを特徴とする請求項5記載の暗号化通信検査システム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011027327A JP2012169756A (ja) | 2011-02-10 | 2011-02-10 | 暗号化通信検査システム |
US13/368,620 US20120210125A1 (en) | 2011-02-10 | 2012-02-08 | Encrypted traffic test system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011027327A JP2012169756A (ja) | 2011-02-10 | 2011-02-10 | 暗号化通信検査システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2012169756A true JP2012169756A (ja) | 2012-09-06 |
Family
ID=46637824
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011027327A Withdrawn JP2012169756A (ja) | 2011-02-10 | 2011-02-10 | 暗号化通信検査システム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20120210125A1 (ja) |
JP (1) | JP2012169756A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015080193A (ja) * | 2013-10-17 | 2015-04-23 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | ネットワーク装置およびこれを用いた選別的情報モニタリング方法 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104794052B (zh) * | 2015-04-01 | 2018-01-19 | 努比亚技术有限公司 | 加密显示测试的方法及装置 |
EP4128002B1 (en) | 2020-10-30 | 2023-07-12 | Knowbe4, Inc. | Systems and methods for determination of level of security to apply to a group before display of user data |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6816968B1 (en) * | 1998-07-10 | 2004-11-09 | Silverbrook Research Pty Ltd | Consumable authentication protocol and system |
US8150724B1 (en) * | 1999-11-16 | 2012-04-03 | Emergent Discovery Llc | System for eliciting accurate judgement of entertainment items |
CN101147123A (zh) * | 2005-03-08 | 2008-03-19 | Nxp股份有限公司 | 保护数据处理设备不受电磁辐射攻击的配置和方法 |
US7389453B2 (en) * | 2005-10-20 | 2008-06-17 | Jon Udell | Queuing methods for distributing programs for producing test data |
US7860918B1 (en) * | 2006-06-01 | 2010-12-28 | Avaya Inc. | Hierarchical fair scheduling algorithm in a distributed measurement system |
US8934609B2 (en) * | 2006-06-21 | 2015-01-13 | Genband Us Llc | Method and apparatus for identifying and monitoring VoIP media plane security keys for service provider lawful intercept use |
US7698077B2 (en) * | 2007-11-09 | 2010-04-13 | Applied Micro Circuits Corporation | System and method for signal level detection |
US20100077211A1 (en) * | 2008-09-24 | 2010-03-25 | Apple Inc. | Bit-error rate tester with pattern generation |
US8341724B1 (en) * | 2008-12-19 | 2012-12-25 | Juniper Networks, Inc. | Blocking unidentified encrypted communication sessions |
WO2011068996A1 (en) * | 2009-12-04 | 2011-06-09 | Cryptography Research, Inc. | Verifiable, leak-resistant encryption and decryption |
-
2011
- 2011-02-10 JP JP2011027327A patent/JP2012169756A/ja not_active Withdrawn
-
2012
- 2012-02-08 US US13/368,620 patent/US20120210125A1/en not_active Abandoned
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015080193A (ja) * | 2013-10-17 | 2015-04-23 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | ネットワーク装置およびこれを用いた選別的情報モニタリング方法 |
US9742699B2 (en) | 2013-10-17 | 2017-08-22 | Electronics And Telecommunications Research Institute | Network apparatus and selective information monitoring method using the same |
Also Published As
Publication number | Publication date |
---|---|
US20120210125A1 (en) | 2012-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10135702B2 (en) | Methods, systems, and computer readable media for testing network function virtualization (NFV) | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
US10355949B2 (en) | Behavioral network intelligence system and method thereof | |
US20150006714A1 (en) | Run-time verification of middlebox routing and traffic processing | |
US9547570B2 (en) | Devices, systems and methods for debugging network connectivity | |
JP4769609B2 (ja) | スイッチ装置 | |
US10862921B2 (en) | Application-aware intrusion detection system | |
KR20140106547A (ko) | 네트워크 메타데이터를 처리하기 위한 스트리밍 방법 및 시스템 | |
US11336545B2 (en) | Network device measurements employing white boxes | |
US10855546B2 (en) | Systems and methods for non-intrusive network performance monitoring | |
US11750518B2 (en) | Elastic modification of application instances in a network visibility infrastructure | |
JP2021502788A (ja) | コンピュータネットワーク障害の発生源の検出 | |
US8671183B2 (en) | System for internet scale visualization and detection of performance events | |
KR20190066741A (ko) | 트래픽 분류를 이용하여 이상 탐지를 수행하기 위한 시스템 | |
JP2012169756A (ja) | 暗号化通信検査システム | |
Liu et al. | Piggybacking network functions on SDN reactive routing: A feasibility study | |
EP3092737B1 (en) | Systems for enhanced monitoring, searching, and visualization of network data | |
Gao et al. | UniROPE: Universal and robust packet trajectory tracing for software-defined networks | |
WO2015105684A1 (en) | Apparatus, system, and method for enhanced monitoring and interception of network data | |
Polverini et al. | Snoop through traffic counters to detect black holes in segment routing networks | |
Horvat et al. | Real-time WSN communication for access control applications | |
US11665079B1 (en) | Probe-triggered full device state capture, export, and correlation | |
US20220173989A1 (en) | Quality measuring device, quality measuring method, and quality measuring program | |
WO2021240586A1 (ja) | コネクション数計測装置、コネクション状態検出装置、コネクション状態検出方法、およびコネクション数計測プログラム | |
Arnold | Understanding Cloud Network Performance |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20140513 |