JP2016149633A - Refining method of controlling object flow and apparatus - Google Patents

Refining method of controlling object flow and apparatus Download PDF

Info

Publication number
JP2016149633A
JP2016149633A JP2015025222A JP2015025222A JP2016149633A JP 2016149633 A JP2016149633 A JP 2016149633A JP 2015025222 A JP2015025222 A JP 2015025222A JP 2015025222 A JP2015025222 A JP 2015025222A JP 2016149633 A JP2016149633 A JP 2016149633A
Authority
JP
Japan
Prior art keywords
communication flow
dpi
flow
communication
narrowing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015025222A
Other languages
Japanese (ja)
Other versions
JP6243861B2 (en
Inventor
亜希 福岡
Aki Fukuoka
亜希 福岡
太三 山本
Taizo Yamamoto
太三 山本
裕史 山崎
Yasushi Yamazaki
裕史 山崎
幸司 杉園
Koji Sugisono
幸司 杉園
裕志 鈴木
Hiroshi Suzuki
裕志 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015025222A priority Critical patent/JP6243861B2/en
Publication of JP2016149633A publication Critical patent/JP2016149633A/en
Application granted granted Critical
Publication of JP6243861B2 publication Critical patent/JP6243861B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a refining method of controlling object flow capable of efficiently refining a communication flow as an object of control processing even when an encrypted communication flow is the control object.SOLUTION: The refining method of controlling object flow determines the necessity whether an encrypted communication flow should be inspected by being decrypted based on the content of the communication flow, which can be obtained without decrypting the communication flow. The refining method of controlling object flow transfers a communication flow, which is determined the inspection is not necessary, to a transmission destination without carrying out the decryption; and carries out the inspection by decrypting a communication flow which is determined that the inspection is required.SELECTED DRAWING: Figure 1

Description

本発明は、制御処理対象フロー絞り込み方法および装置に関する。   The present invention relates to a control processing target flow narrowing method and apparatus.

様々な情報が送受信されるネットワークにおいて高いセキュリティを実現するために多様な技術が考案されている。   Various technologies have been devised to achieve high security in networks in which various types of information are transmitted and received.

たとえば、危険情報の検知や制御を実行するためにDPI(Deep Packet Inspection)が利用されている。DPIは、IPパケットのヘッダ部分ではなくデータ部分に基づき当該IPパケットの処理方法を決定する機能である。   For example, DPI (Deep Packet Inspection) is used to detect and control danger information. The DPI is a function that determines the processing method of the IP packet based on the data portion instead of the header portion of the IP packet.

また、SSL(Secure Sockets Layer)を利用してOTT(Over The Top)サービスが提供されることが増えている。SSLは、TCP/IPネットワークでデータを暗号化して送受信するプロトコルの一つである。SSLにより、送受信するデータを暗号化すると同時に、通信相手が信頼できる相手であることの確認が実行される(非特許文献1参照)。   In addition, an OTT (Over The Top) service is increasingly provided using SSL (Secure Sockets Layer). SSL is one of protocols for encrypting and transmitting / receiving data on a TCP / IP network. With SSL, data to be transmitted / received is encrypted, and at the same time, confirmation that the communication partner is a reliable partner is executed (see Non-Patent Document 1).

半沢 智、“図解で学ぶネットワークの基礎:SSL編 Lesson1:アプリ同士のやりとりを暗号化、相手が信頼できるかも確かめる”、[online]、2007年10月20日、日経NETWORK、[2014年12月10日検索]、インターネット<http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284425/?ST=selfup>Satoshi Hanzawa, “The Basics of Networks Learned by Illustration: SSL Lesson 1: Encrypting Exchanges between Apps, Confirming that Others Can Be Reliable”, [online], October 20, 2007, Nikkei NETWORK, [December 2014 Search 10 days], Internet <http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284425/?ST=selfup> “Blue Coat 商品情報SSL Visibility Appliance”、[online]、マクニカネットワークス、[2014年12月10日検索]、インターネット<http://www.macnica.net/bluecoat/ssl_va.html/>“Blue Coat Product Information SSL Visibility Appliance”, [online], Macnica Networks, [December 10, 2014 search], Internet <http://www.macnica.net/bluecoat/ssl_va.html/> “SSL暗号化通信内容の検査を可能にするSSLインターセプトソリューション”、[online]、A10ネットワークス株式会社、[2014年12月10日検索]、インターネット<http://www.a10networks.co.jp/products/pdf/SBAX_SSLIntercept.pdf>“SSL intercept solution that enables inspection of SSL encrypted communication contents”, [online], A10 Networks, Inc., [December 10, 2014 search], Internet <http://www.a10networks.co.jp /products/pdf/SBAX_SSLIntercept.pdf>

しかしながら、上述したDPIによる処理は負荷が大きいため効率的な処理のためにはDPIの対象とする通信フローを絞り込むことが望ましい。   However, since the above-described processing by DPI is heavy, it is desirable to narrow down the communication flow targeted for DPI for efficient processing.

また、SSLを利用して通信フローを暗号化した場合、個人情報等を第三者に見られることを防止することができるが、同時に暗号化された通信フローの内容をチェックすることが難しい。このため、ウィルスの検知や危険情報の検知やペアレンタルコントロールのようにユーザにふさわしくない情報の検出が困難となる(非特許文献2、非特許文献3参照)。このため、SSL等を利用した場合であっても、効率的に危険情報等の検知を行うことができる技術の実現が望まれる。   In addition, when the communication flow is encrypted using SSL, it is possible to prevent personal information or the like from being viewed by a third party, but it is difficult to check the content of the encrypted communication flow at the same time. This makes it difficult to detect information that is not appropriate for the user, such as virus detection, danger information detection, and parental control (see Non-Patent Document 2 and Non-Patent Document 3). For this reason, even if it is a case where SSL etc. are utilized, realization of the technique which can detect dangerous information etc. efficiently is desired.

開示の実施形態は、上記に鑑みてなされたものであって、暗号化された通信フローが制御対象の場合であっても、制御処理対象とする通信フローを効率的に絞り込むことができる制御処理対象フロー絞り込み方法および装置を提供することを目的とする。   The disclosed embodiment has been made in view of the above, and is capable of efficiently narrowing down the communication flow to be controlled even if the encrypted communication flow is the control target. It is an object of the present invention to provide a target flow narrowing method and apparatus.

開示する制御処理対象フロー絞り込み方法および装置は、暗号化された通信フローを復号化することによって当該通信フローを検査することの要否を、復号化せずに取得できる当該通信フローの内容に基づいて判断し、検査不要と判断された通信フローを復号化せずに送信先へ転送し、検査要と判断された通信フローを復号化して検査することを特徴とする。   The disclosed control processing target flow narrowing method and apparatus is based on the content of the communication flow that can be acquired without decryption of the necessity of inspecting the communication flow by decrypting the encrypted communication flow. The communication flow determined to be unnecessary is transferred to the transmission destination without being decrypted, and the communication flow determined to be inspected is decrypted and inspected.

開示する制御処理対象フロー絞り込み方法および装置は、暗号化された通信フローが制御対象の場合であっても、制御処理対象とする通信フローを効率的に絞り込むことができるという効果を奏する。   The disclosed control processing target flow narrowing method and apparatus have an effect of efficiently narrowing down the communication flow to be controlled even if the encrypted communication flow is the control target.

図1は、第1の実施形態に係る制御処理対象フロー絞り込みシステムの概略構成の一例を示す図である。FIG. 1 is a diagram illustrating an example of a schematic configuration of a control processing target flow narrowing system according to the first embodiment. 図2は、第1の実施形態に係る制御処理対象フロー絞り込み処理の流れの一例を示すフローチャートである。FIG. 2 is a flowchart illustrating an example of the flow of the control process target flow narrowing process according to the first embodiment. 図3は、第1の実施形態に係る制御処理対象フロー絞り込みシステムの変形例1を説明するための図である。FIG. 3 is a diagram for explaining a first modification of the control processing target flow narrowing system according to the first embodiment. 図4は、第1の実施形態に係る制御処理対象フロー絞り込みシステムの変形例2を説明するための図である。FIG. 4 is a diagram for explaining a second modification of the control processing target flow narrowing system according to the first embodiment. 図5は、第2の実施形態に係る制御処理対象フロー絞り込みシステムの概略構成の一例を示す図である。FIG. 5 is a diagram illustrating an example of a schematic configuration of a control processing target flow narrowing system according to the second embodiment. 図6は、第2の実施形態に係る制御処理対象フロー絞り込み処理の流れの一例を示すフローチャートである。FIG. 6 is a flowchart illustrating an example of the flow of the control process target flow narrowing process according to the second embodiment. 図7は、第2の実施形態に係る制御処理対象フロー絞り込み処理の流れの一例を説明するためのシーケンスチャートである。FIG. 7 is a sequence chart for explaining an example of the flow of the control process target flow narrowing process according to the second embodiment. 図8は、開示の技術にかかる制御処理対象フロー絞り込みプログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。FIG. 8 is a diagram illustrating that the information processing by the control processing target flow narrowing program according to the disclosed technique is specifically realized using a computer. 図9は、従来のSSL通信による処理の流れの一例について説明するための図である。FIG. 9 is a diagram for explaining an example of a flow of processing by conventional SSL communication. 図10は、従来のSSL通信において危険情報を検出する際の処理の一例について説明するための図である。FIG. 10 is a diagram for explaining an example of processing when detecting danger information in the conventional SSL communication.

(従来のSSL通信におけるハンドシェーク)
まず、図9を参照して、SSLを用いて暗号化された情報を送信する場合の処理の流れの一例について説明する。図9は、従来のSSL通信による処理の流れの一例について説明するための図である。 (Handshake in conventional SSL communication)
First, with reference to FIG. 9, an example of the flow of processing when transmitting information encrypted using SSL will be described. FIG. 9 is a diagram for explaining an example of a flow of processing by conventional SSL communication.

SSLを用いて通信を行う場合、クライアントに対してSSL暗号化/復号化装置のルート証明書が発行され、クライアントに保持される。ルート証明書は通信相手のデジタル証明書の正当性をチェックするために使用される。図9の例では、クライアントは、SSL暗号化/復号化装置の信頼性チェックのため、まえもってルート証明書の発行を受けルート証明書を保持する。   When performing communication using SSL, a root certificate of the SSL encryption / decryption device is issued to the client and held in the client. The root certificate is used to check the validity of the digital certificate of the communication partner. In the example of FIG. 9, the client receives a root certificate in advance and holds the root certificate for the reliability check of the SSL encryption / decryption device.

クライアントとサーバとの間で通信を行う際はまず、クライアントからサーバに対してClient Helloメッセージを送信し、使用する暗号化方式等を提案する。Client Helloメッセージにはたとえば、使用するプロトコルのバージョンや、クライアントが生成した乱数、セッションID、利用できる暗号スイートのリスト、圧縮方法等の情報が含まれる。図9では、クライアントが送信するClient HelloメッセージをSSL暗号化/復号化装置が受信する(図9の(1))。SSL暗号化/復号化装置は、受信したClient Helloメッセージ中、レコードプロトコルのレコードヘッダを付け替える。そして、SSL暗号化/復号化装置は、レコードヘッダを付け替えたClient Helloメッセージをサーバに送信する(図9の(2))。   When communicating between a client and a server, first, a client hello message is transmitted from the client to the server, and an encryption method to be used is proposed. The Client Hello message includes, for example, information such as the version of the protocol to be used, a random number generated by the client, a session ID, a list of available cipher suites, and a compression method. In FIG. 9, the SSL encryption / decryption device receives the Client Hello message transmitted by the client ((1) in FIG. 9). The SSL encryption / decryption device replaces the record header of the record protocol in the received Client Hello message. Then, the SSL encryption / decryption device transmits a Client Hello message with the record header replaced to the server ((2) in FIG. 9).

サーバは、レコードヘッダが付け替えられたClient Helloメッセージを受信すると、Client Helloメッセージに基づきSSL暗号化/復号化装置から提案された暗号化方式の中から適当なものを一つ選んで返答する(図9の(3))。これによって、サーバとSSL暗号化/復号化装置との間で暗号通信を行う際に使用する暗号化方式が決定される。   When the server receives the Client Hello message with the record header changed, the server selects and returns one appropriate encryption method proposed by the SSL encryption / decryption device based on the Client Hello message (see FIG. 9 (3)). As a result, the encryption method to be used when performing encrypted communication between the server and the SSL encryption / decryption device is determined.

また、SSL暗号化/復号化装置は、クライアントから提案された暗号化方式の中から適当なものを一つ選んで返答する(図9の(4))。これによって、クライアントとSSL暗号化/復号化装置との間で暗号通信を行う際に使用する暗号化方式が決定される。   Also, the SSL encryption / decryption device selects and returns an appropriate one of the encryption methods proposed by the client ((4) in FIG. 9). As a result, the encryption method to be used when performing encrypted communication between the client and the SSL encryption / decryption device is determined.

さらに、サーバは、SSL暗号化/復号化装置に対してCertificateメッセージを使ってサーバ証明書を送信する(図9の(5))。サーバ証明書は、サーバが信頼できるものであることを証明するためのデータであり、認証局(CA)名やサーバが使用する公開鍵、サーバの電子署名等の情報を含む。サーバはCertificateメッセージを送信し終わると、その旨を通知するメッセージを送信する。SSL暗号化/復号化装置は、クライアントに対してCertificateメッセージを使ってサーバ証明書を送信する(図9の(6))。   Further, the server transmits a server certificate using a Certificate message to the SSL encryption / decryption device ((5) in FIG. 9). The server certificate is data for certifying that the server is reliable, and includes information such as a certificate authority (CA) name, a public key used by the server, and an electronic signature of the server. When the server finishes sending the Certificate message, it sends a message to that effect. The SSL encryption / decryption device transmits a server certificate to the client using a Certificate message ((6) in FIG. 9).

クライアントは、受信したサーバ証明書からSSL暗号化/復号化装置の公開鍵を抽出する。そして、クライアントは、抽出した公開鍵を使用して暗号通信に使う共通鍵の基となる秘密の値(プレマスタ・シークレット)を暗号化して送信する(図9の(7)、(8))。   The client extracts the public key of the SSL encryption / decryption device from the received server certificate. Then, the client uses the extracted public key to encrypt and transmit a secret value (premaster secret) that is the basis of the common key used for encrypted communication ((7) and (8) in FIG. 9).

SSL暗号化/復号化装置は、サーバ証明書からサーバの公開鍵を抽出する。そして、SSL暗号化/復号化装置は、抽出した公開鍵を使用して暗号通信に使う共通鍵の基となる秘密の値(プレマスタ・シークレット)を暗号化して送信する(図9の(9)、(10))。   The SSL encryption / decryption device extracts the server public key from the server certificate. Then, the SSL encryption / decryption device encrypts and transmits a secret value (premaster secret) that is the basis of the common key used for encrypted communication using the extracted public key ((9) in FIG. 9). (10)).

サーバは、暗号化されたデータを受信すると自身の秘密鍵で復号化する。それによってサーバは、プレマスタ・シークレットを取得することができる。この一連の処理によってSSL暗号化/復号化装置とサーバとの間で暗号化の共通鍵の基となるプレマスタ・シークレットを共有することができる。   When the server receives the encrypted data, it decrypts it with its own secret key. As a result, the server can obtain the premaster secret. With this series of processing, the SSL encryption / decryption device and the server can share the premaster secret that is the basis of the encryption common key.

また同様に、SSL暗号化/復号化装置は、暗号化されたデータを受信すると自身の秘密鍵で復号化する。それによってSSL暗号化/復号化装置は、プレマスタ・シークレットを取得することができる。この一連の処理によってSSL暗号化/復号化装置とクライアントとの間で暗号化の共通鍵の基となるプレマスタ・シークレットを共有することができる。   Similarly, when the SSL encryption / decryption device receives the encrypted data, it decrypts it with its own private key. Thereby, the SSL encryption / decryption device can obtain the premaster secret. Through this series of processing, the SSL encryption / decryption device and the client can share the premaster secret that is the basis of the encryption common key.

以上の処理が終了すると、クライアントは一連の処理によって決定された暗号化方式の採用(Change Cipher Specメッセージ等)とハンドシェークの終了(Finishedメッセージ等)をSSL暗号化/復号化装置に通知する(図9の(11)、(12))。SSL暗号化/復号化装置も同様に、決定された暗号化方式の採用とハンドシェークの終了をクライアントに通知する(図9の(11)、(12))。これによってハンドシェークの処理が終了する。この後、クライアント、サーバおよびSSL暗号化/復号化装置は、共有したプレマスタ・シークレットからそれぞれの共通鍵を生成して、暗号通信を実行する。   When the above processing is completed, the client notifies the SSL encryption / decryption device of the adoption of the encryption method determined by the series of processing (Change Cipher Spec message, etc.) and the end of handshake (Finished message, etc.) (FIG. 9 (11), (12)). Similarly, the SSL encryption / decryption device notifies the client of the adoption of the determined encryption method and the end of the handshake ((11), (12) in FIG. 9). This completes the handshake process. Thereafter, the client, the server, and the SSL encryption / decryption device generate respective common keys from the shared premaster secret, and execute the cryptographic communication.

(従来のSSL通信における危険情報検出)
図10は、従来のSSL通信において危険情報を検出する際の処理の一例について説明するための図である。 (Danger information detection in conventional SSL communication)
FIG. 10 is a diagram for explaining an example of processing when detecting danger information in the conventional SSL communication.

SSL通信においては上記のように決定した暗号化方式に基づき通信内容が暗号化されるため、そのままでは危険情報等が含まれるか否かを検出することができない。たとえば、図10に示す例では、クライアント1がアクセスポイント(AP)2を介してエッジ3に接続される。そして、エッジ3とSSL暗号化/復号化装置4とがネットワークを介して接続される。SSL暗号化/復号化装置4はDPI処理を実施する機能を備えるDPI装置5と接続される。クライアント1は、OTT(Over The Top)等のサービスを提供するサーバ6のサービスを利用する場合、アクセスポイント2、エッジ3、SSL暗号化/復号化装置4を介してサーバ6と通信する。   In SSL communication, since the communication content is encrypted based on the encryption method determined as described above, it is impossible to detect whether or not danger information or the like is included as it is. For example, in the example shown in FIG. 10, the client 1 is connected to the edge 3 via the access point (AP) 2. The edge 3 and the SSL encryption / decryption device 4 are connected via a network. The SSL encryption / decryption device 4 is connected to a DPI device 5 having a function of performing DPI processing. The client 1 communicates with the server 6 via the access point 2, the edge 3, and the SSL encryption / decryption device 4 when using the service of the server 6 that provides a service such as OTT (Over The Top).

ここで、SSL暗号化/復号化装置4は、クライアント1からの通信フローを受信すると、クライアント1側で通信フローをいったん終端する。また、SSL暗号化/復号化装置4はサーバ6との間で送受信する通信フローをサーバ6側でいったん終端する。これにより、SSL暗号化/復号化装置4は、ユーザ(クライアント1)側およびサーバ6側のそれぞれに別個のSSLセッションを確立する。そして、SSL暗号化/復号化装置4は、それぞれのSSLセッションにおいて送受信する通信フローの復号化を行ってDPI装置5に送信する。DPI装置5は復号化された通信フローに対する検査を実行して危険を検出する。   Here, when the SSL encryption / decryption device 4 receives the communication flow from the client 1, the communication flow is once terminated on the client 1 side. The SSL encryption / decryption device 4 once terminates the communication flow transmitted / received to / from the server 6 on the server 6 side. As a result, the SSL encryption / decryption device 4 establishes separate SSL sessions for the user (client 1) side and the server 6 side, respectively. Then, the SSL encryption / decryption device 4 decrypts the communication flow transmitted / received in each SSL session and transmits it to the DPI device 5. The DPI device 5 performs a check on the decrypted communication flow to detect danger.

(従来の危険情報検出における課題)
しかし、上記のような危険情報検出手法においては、以下の課題が存在する。まず、共通鍵として使用するデータのビット数にも依存するが、ビット数が大きくなるほどSSL暗号化/復号化装置には高い性能が要求される。このため、SSL暗号化/復号化装置が、ネットワークの通信品質の向上を限界づけるボトルネックとなってしまう。 (Challenges in conventional danger information detection)
However, the following problems exist in the danger information detection method as described above. First, although depending on the number of bits of data used as the common key, the SSL encryption / decryption device is required to have higher performance as the number of bits increases. For this reason, the SSL encryption / decryption device becomes a bottleneck that limits the improvement of the communication quality of the network.

また、上記の構成では、SSL暗号化/復号化装置はネットワークを流れるすべてのトラヒックについて復号化とDPIによる検査を実行する。DPIは、IPパケットのヘッダ部分だけでなくデータ部分に基づいて検査を実行する技術であり、処理負荷が大きい。このため、すべてのトラヒックに対してDPIを実行した場合、DPI装置も処理効率の向上を限界づけるボトルネックとなる。   In the above configuration, the SSL encryption / decryption device performs decryption and inspection by DPI for all traffic flowing through the network. DPI is a technique for performing an inspection based on not only the header portion of an IP packet but also the data portion, and has a heavy processing load. For this reason, when DPI is executed for all traffic, the DPI device also becomes a bottleneck that limits improvement in processing efficiency.

さらに、上記の構成のように、SSL暗号化/復号化装置がすべてのトラヒックについて同様の復号化、検査処理(DPI)を実施した場合、所定のデータのみを選択的にステアリングする等の処理が実現できない。たとえば、オプティマイズサービス等では、SSL復号化が必須であるが、上記構成のSSL暗号化/復号化装置では、かかるサービスのためにSSL復号化を実施し、実施したフローを選択的に当該サービスにステアリングすることができない。ツイッターログサービス等についても同様である。   Furthermore, as in the above configuration, when the SSL encryption / decryption device performs similar decryption and inspection processing (DPI) for all traffic, processing such as selectively steering only predetermined data is performed. Cannot be realized. For example, in an optimization service or the like, SSL decryption is indispensable, but the SSL encryption / decryption device configured as described above performs SSL decryption for such a service, and selectively executes the performed flow to the service. I cannot steer. The same applies to the Twitter log service.

(第1の実施形態)
以下に、開示する制御処理対象フロー絞り込み装置および制御処理対象フロー絞り込み方法の実施形態を図面に基づいて詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。また、各実施形態は適宜組み合わせることができる。 (First embodiment)
Hereinafter, embodiments of a control processing target flow narrowing device and a control processing target flow narrowing method disclosed will be described in detail based on the drawings. In addition, this invention is not limited by this embodiment. Moreover, each embodiment can be combined suitably.

(第1の実施形態に係る制御処理対象フロー絞り込み装置の構成の一例)
図1は、第1の実施形態に係る制御処理対象フロー絞り込みシステムの概略構成の一例を示す図である。 (Example of the configuration of the control processing target flow narrowing-down apparatus according to the first embodiment)
FIG. 1 is a diagram illustrating an example of a schematic configuration of a control processing target flow narrowing system according to the first embodiment.

図1に示す制御処理対象フロー絞り込みシステムは、制御処理対象フロー絞り込み装置10と、クライアント20と、SSL暗号化/復号化装置30と、DPI装置40と、サーバ50と、を備える。制御処理対象フロー絞り込み装置10とクライアント20とはネットワークを介して接続される。また、制御処理対象フロー絞り込み装置10は、SSL暗号化/復号化装置30とネットワークを介して接続される。SSL暗号化/復号化装置30は、復号化したデータの検査を実行するDPI装置40と接続される。制御処理対象フロー絞り込み装置10はまたOTT等のサービスを提供するサーバ50と接続される。制御処理対象フロー絞り込み装置10における処理を経てサーバ50へステアリングされたデータは、制御処理対象フロー絞り込み装置10からサーバ50へ送信される。   The control processing target flow narrowing system shown in FIG. 1 includes a control processing target flow narrowing device 10, a client 20, an SSL encryption / decryption device 30, a DPI device 40, and a server 50. The control processing target flow narrowing apparatus 10 and the client 20 are connected via a network. The control processing target flow narrowing-down device 10 is connected to the SSL encryption / decryption device 30 via a network. The SSL encryption / decryption device 30 is connected to a DPI device 40 that performs an inspection of the decrypted data. The control processing target flow narrowing device 10 is also connected to a server 50 that provides services such as OTT. Data steered to the server 50 through the processing in the control processing target flow narrowing device 10 is transmitted from the control processing target flow narrowing device 10 to the server 50.

制御処理対象フロー絞り込み装置10は、受信する情報を通信フローごとに制御することができる装置である。制御処理対象フロー絞り込み装置10はたとえば、PCEF(Policy and Charging Enforcement Function)やPCRF(Policy and Charging Rule Function)である。また制御処理対象フロー絞り込み装置10はDPI機能を備えるように構成してもよい。   The control processing target flow narrowing-down device 10 is a device that can control received information for each communication flow. The control processing target flow narrowing device 10 is, for example, a PCEF (Policy and Charging Enforcement Function) or a PCRF (Policy and Charging Rule Function). Further, the control processing target flow narrowing device 10 may be configured to have a DPI function.

制御処理対象フロー絞り込み装置10は、受信した通信フローの内容を識別して、各通信フローの内容に応じた制御を実行するために必要な情報を作成する。そして、制御処理対象フロー絞り込み装置10は、作成した情報に基づき、各通信フローの制御内容を決定する。そして、制御処理対象フロー絞り込み装置10は、決定した制御内容に応じた制御を実行する。たとえば、制御処理対象フロー絞り込み装置10は、各通信フローのステアリング、遮断、レートリミット等の制御を実行する。また、制御処理対象フロー絞り込み装置10は、各通信フローの制御を実行した結果に基づき、他のノードと通信する。たとえば、制御処理対象フロー絞り込み装置10は、復号化やDPI処理を実行すると決定した通信フローをSSL暗号化/復号化装置30に送信する。また、制御処理対象フロー絞り込み装置10は、復号化せずに直接送信先たとえばサーバ50に送信すると決定した通信フローをサーバ50に送信する。   The control processing target flow narrowing device 10 identifies the content of the received communication flow, and creates information necessary for executing control according to the content of each communication flow. Then, the control processing target flow narrowing device 10 determines the control content of each communication flow based on the created information. Then, the control processing target flow narrowing device 10 executes control according to the determined control content. For example, the control processing target flow narrowing device 10 performs control such as steering, blocking, and rate limiting of each communication flow. Further, the control processing target flow narrowing device 10 communicates with other nodes based on the result of executing control of each communication flow. For example, the control processing target flow narrowing device 10 transmits the communication flow determined to execute the decryption or the DPI processing to the SSL encryption / decryption device 30. Further, the control processing target flow narrowing down apparatus 10 transmits to the server 50 the communication flow determined to be transmitted directly to the transmission destination, for example, the server 50 without being decrypted.

クライアント20は、たとえばユーザが利用する携帯端末やパーソナルコンピュータ等の情報処理端末である。ユーザはクライアント20を用いてサーバ50等がネットワークを介して提供するサービスを利用するための情報をネットワーク上に送信する。   The client 20 is an information processing terminal such as a portable terminal or a personal computer used by the user. The user uses the client 20 to transmit information for using the service provided by the server 50 or the like via the network over the network.

SSL暗号化/復号化装置30は、SSLを使用して暗号化された情報を復号化したり、SSLを使用して情報を暗号化したりする装置である。たとえば、SSL暗号化/復号化装置30はクライアント20に対してサーバ50が提供するサービスを実現するために送受信される情報を暗号化したり復号化したりする。また、SSL暗号化/復号化装置30は、制御処理対象フロー絞り込み装置10が受信した通信フローを復号化して内容の検査を行うと決定した場合に、当該通信フローを制御処理対象フロー絞り込み装置10から受信して復号化し、DPI装置40に渡す。   The SSL encryption / decryption device 30 is a device that decrypts information encrypted using SSL or encrypts information using SSL. For example, the SSL encryption / decryption device 30 encrypts or decrypts information transmitted / received in order to realize a service provided by the server 50 to the client 20. In addition, when the SSL encryption / decryption device 30 determines to decrypt the communication flow received by the control processing target flow narrowing device 10 and to inspect the content, the SSL encryption / decryption device 30 defines the communication flow as the control processing target flow narrowing device 10. Are received and decoded, and passed to the DPI device 40.

DPI装置40は、制御処理対象フロー絞り込み装置10が受信した通信フローについて、復号化して内容の検査を行うと決定された場合に、SSL暗号化/復号化装置30から復号化された通信フローを受信し、DPIを実行する。DPI装置40はたとえば、ウィルスの有無判定等を実行し、検査結果を制御処理対象フロー絞り込み装置10に送信する。なお、図1の例では、DPI装置40はSSL暗号化/復号化装置30を介して制御処理対象フロー絞り込み装置10に接続されているが、DPI装置40は直接制御処理対象フロー絞り込み装置10に接続されるように構成してもよい。   When the DPI device 40 determines that the communication flow received by the control processing target flow narrowing device 10 is to be decrypted and inspected, the DPI device 40 displays the communication flow decrypted from the SSL encryption / decryption device 30. Receive and execute DPI. For example, the DPI device 40 performs virus presence / absence determination and transmits the inspection result to the control processing target flow narrowing-down device 10. In the example of FIG. 1, the DPI device 40 is connected to the control processing target flow narrowing device 10 via the SSL encryption / decryption device 30, but the DPI device 40 directly connects to the control processing target flow narrowing device 10. You may comprise so that it may be connected.

サーバ50は、ネットワークを介してクライアント20等にOTT等のサービスを提供する。   The server 50 provides services such as OTT to the client 20 and the like via the network.

(制御処理対象フロー絞り込み装置の構成の一例)
制御処理対象フロー絞り込み装置10は、通信フロー受信部11と、復号化要否判定部12と、ステアリング設定部13と、SSL指示部14と、中継部15と、記憶部16と、を備える。 (Example of the configuration of the control processing target flow narrowing device)
The control processing target flow narrowing device 10 includes a communication flow reception unit 11, a decoding necessity determination unit 12, a steering setting unit 13, an SSL instruction unit 14, a relay unit 15, and a storage unit 16.

復号化要否判定部12、ステアリング設定部13、SSL指示部14および中継部15は、CPU(Central Processing Unit)等任意の処理装置を用いて実現することができる。また、記憶部16は特に限定されず、以下に説明する情報を記憶することができれば任意の記憶装置を用いて実現することができる。また、これらの各構成要素は、必ずしも制御処理対象フロー絞り込み装置10と一体的に構成する必要はなく、たとえば記憶部16を制御処理対象フロー絞り込み装置10とは別体として構成してもよい。   The decoding necessity determination unit 12, the steering setting unit 13, the SSL instruction unit 14, and the relay unit 15 can be realized using an arbitrary processing device such as a CPU (Central Processing Unit). Moreover, the memory | storage part 16 is not specifically limited, If it can memorize | store the information demonstrated below, it can implement | achieve using arbitrary memory | storage devices. Each of these components is not necessarily configured integrally with the control processing target flow narrowing device 10. For example, the storage unit 16 may be configured separately from the control processing target flow narrowing device 10.

通信フロー受信部11は、クライアント20、SSL暗号化/復号化装置30およびサーバ50から送信される通信フローを受信する。なお、図1には制御処理対象フロー絞り込み装置10と接続される装置はクライアント20、SSL暗号化/復号化装置30、サーバ50の3つのみ示すが、このほかに任意の装置を接続してもよい。また、一つの制御処理対象フロー絞り込み装置10に対して、クライアント20やサーバ50を複数接続してもよい。   The communication flow receiving unit 11 receives a communication flow transmitted from the client 20, the SSL encryption / decryption device 30 and the server 50. In FIG. 1, only three devices, the client 20, the SSL encryption / decryption device 30, and the server 50, are connected to the control processing target flow narrowing device 10, but any other devices can be connected. Also good. A plurality of clients 20 and servers 50 may be connected to one control processing target flow narrowing device 10.

通信フロー受信部11が受信した通信フローは、復号化要否判定部12に送信される。復号化要否判定部12は、通信フロー受信部11が受信した通信フローのうち、復号化せずに内容判定できる部分に基づき、当該通信フローの復号化要否を判定する。たとえば、復号化要否判定部12は、通常のポリシー制御で想定されている値や、SSLセッションに特有の値を通信フローから抽出する。通常のポリシー制御で想定されている値としては、たとえば、3GPP(Third Generation Partnership Project)のGxインタフェースで規定されている値が挙げられる。たとえば、Session-ID、Origin-Host、Origin-Realm、Destination-Realm、Auth-Application-Id、CC-Request-Type、CC-Request-Number、Vender-ID、Feature-List-ID、Feature-List、Framed-IPv6-Prefix、Logical-Access-IDなどである。たとえば、復号化要否判定部12は、Client Helloメッセージにおけるレコードプロトコルで規定されているレコードヘッダ情報を抽出する。または、復号化要否判定部12は、サーバから送信されるCertificateメッセージのサーバ証明書に含まれる情報を抽出する。また、復号化要否判定部12は、ユーザ識別情報を抽出してもよい。たとえば、復号化要否判定部12は、SIM番号、VLAN番号、トンネル番号、電話番号等を抽出してもよい。また、このほか、URL,5tuple、アプリケーション等の情報を使用できる。そして、復号化要否判定部12は、抽出した情報や値に基づいて当該通信フローの復号化要否を判定する。たとえば、復号化要否判定部12は、通信フローに含まれるサーバ証明書を抽出して当該証明書により認証されるサーバが予め記憶部16に安全な装置として登録されている場合、復号化不要と判定する。復号化要否判定部12の判定手法は特に限定されず、通信フローをSSL復号化せずに抽出できる情報に基づいて判定できればよい。   The communication flow received by the communication flow receiving unit 11 is transmitted to the decryption necessity determination unit 12. The decryption necessity determination unit 12 determines whether the communication flow needs to be decrypted based on a part of the communication flow received by the communication flow reception unit 11 that can be determined without decryption. For example, the decryption necessity determination unit 12 extracts a value assumed in normal policy control or a value specific to the SSL session from the communication flow. As a value assumed in normal policy control, for example, a value defined by a Gx interface of 3GPP (Third Generation Partnership Project) can be cited. For example, Session-ID, Origin-Host, Origin-Realm, Destination-Realm, Auth-Application-Id, CC-Request-Type, CC-Request-Number, Vender-ID, Feature-List-ID, Feature-List, Framed-IPv6-Prefix, Logical-Access-ID, etc. For example, the decryption necessity determination unit 12 extracts record header information defined by the record protocol in the Client Hello message. Alternatively, the decryption necessity determination unit 12 extracts information included in the server certificate of the Certificate message transmitted from the server. Moreover, the decoding necessity determination part 12 may extract user identification information. For example, the decryption necessity determination unit 12 may extract a SIM number, a VLAN number, a tunnel number, a telephone number, and the like. In addition, information such as URL, 5tuple, and application can be used. Then, the decryption necessity determination unit 12 determines whether the communication flow needs to be decrypted based on the extracted information and value. For example, the decryption necessity determination unit 12 extracts the server certificate included in the communication flow and does not need to be decrypted when the server authenticated by the certificate is registered in advance in the storage unit 16 as a secure device. Is determined. The determination method of the decryption necessity determination unit 12 is not particularly limited as long as the communication flow can be determined based on information that can be extracted without performing SSL decryption.

復号化要否判定部12の判定結果に基づき、ステアリング設定部13は、各通信フローをステアリングする。すなわち、ステアリング設定部13は、復号化要と判定された通信フローをSSL暗号化/復号化装置30に送信するようステアリングする。また、ステアリング設定部13は、復号化不要と判定された通信フローをSSL暗号化/復号化装置30に送信せず直接サーバ50等に送信するようステアリングする。   Based on the determination result of the decoding necessity determination unit 12, the steering setting unit 13 steers each communication flow. That is, the steering setting unit 13 performs steering so that the communication flow determined to be necessary for decryption is transmitted to the SSL encryption / decryption device 30. Further, the steering setting unit 13 steers the communication flow determined to be unnecessary to be transmitted directly to the server 50 or the like without being transmitted to the SSL encryption / decryption device 30.

SSL指示部14は、ステアリング設定部13によりSSL暗号化/復号化装置30にステアリングされた通信フローを復号化してDPI装置40による検査を実行するようSSL暗号化/復号化装置30に指示する。また、SSL指示部14は、通信フローをSSL暗号化/復号化装置30に送信する。   The SSL instruction unit 14 instructs the SSL encryption / decryption device 30 to decrypt the communication flow steered to the SSL encryption / decryption device 30 by the steering setting unit 13 and execute the inspection by the DPI device 40. In addition, the SSL instruction unit 14 transmits the communication flow to the SSL encryption / decryption device 30.

中継部15は、ステアリング設定部13の設定に基づき、各通信フローを他ノードに送信する。ステアリング設定部13、SSL指示部14および中継部15は、復号化要否判定部12によりDPIの実行要と判定された通信フローを復号化してDPIを実行し、DPIの実行不要と判定された通信フローを復号化せずに送信先へ転送するよう制御する制御部である。   The relay unit 15 transmits each communication flow to another node based on the setting of the steering setting unit 13. The steering setting unit 13, the SSL instruction unit 14, and the relay unit 15 execute the DPI by decoding the communication flow determined to be DPI execution required by the decoding necessity determination unit 12, and it is determined that the DPI execution is unnecessary. It is a control part which controls to transfer a communication flow to a transmission destination without decoding.

記憶部16は、復号化要否判定のための情報を記憶する。たとえば、所定のURLやサーバが信頼できることが予め判明している場合、当該URLや当該サーバからの通信フローについては復号化およびDPI検査は実行せずに、直接送信先へ送ればよい。そこで、たとえば、「復号化要」のURL等と、「復号化不要」のURL等とを予め記憶部16に格納しておく。そして、復号化要否判定部12は、記憶部16に格納された情報を参照して、受信した通信フローの復号化要否を判定する。   The storage unit 16 stores information for determining necessity of decoding. For example, when it is known in advance that a predetermined URL or server is reliable, the communication flow from the URL or the server may be directly sent to the transmission destination without performing decryption and DPI inspection. Therefore, for example, a URL “decryption required” and a URL “decryption not required” are stored in the storage unit 16 in advance. Then, the decryption necessity determination unit 12 refers to the information stored in the storage unit 16 to determine whether the received communication flow needs to be decrypted.

(第1の実施形態に係る制御処理対象フロー絞り込み方法の流れの一例)
図2は、第1の実施形態に係る制御処理対象フロー絞り込み処理の流れの一例を示すフローチャートである。制御処理対象フロー絞り込み装置10は、まず暗号化された通信フローを受信する(ステップS21)。そして、制御処理対象フロー絞り込み装置10は、当該通信フローの復号化の要否すなわちDPIの要否を判定する(ステップS22)。そして、復号化要と判定した場合(ステップS23、YES)、制御処理対象フロー絞り込み装置10は、当該通信フローをSSL暗号化/復号化装置30およびDPI装置40に送信し、復号化およびDPIを実行させる(ステップS24)。他方、復号化不要と判定した場合(ステップS23、NO)、制御処理対象フロー絞り込み装置10は、当該通信フローをSSL暗号化/復号化装置30に送信せず、そのまま送信先に転送する(ステップS25)。 (Example of flow of control process target flow narrowing method according to the first embodiment)
FIG. 2 is a flowchart illustrating an example of the flow of the control process target flow narrowing process according to the first embodiment. The control process target flow narrowing device 10 first receives an encrypted communication flow (step S21). Then, the control processing target flow narrowing device 10 determines whether or not the communication flow needs to be decrypted, that is, whether or not DPI is necessary (step S22). If it is determined that decryption is necessary (step S23, YES), the control processing target flow narrowing device 10 transmits the communication flow to the SSL encryption / decryption device 30 and the DPI device 40, and performs decryption and DPI. This is executed (step S24). On the other hand, when it is determined that decryption is unnecessary (NO in step S23), the control processing target flow narrowing device 10 does not transmit the communication flow to the SSL encryption / decryption device 30 and directly transfers the communication flow to the transmission destination (step). S25).

ステップS24において、復号化要の通信フローの復号化および検査が終了すると、検査結果を制御処理対象フロー絞り込み装置10に通知する(ステップS26)。検査の結果、当該通信フローが悪意ある通信フローたとえばウィルスを含む通信フローであると判定された場合(ステップS27、YES)、当該通信フローを送信先には転送せず遮断する(ステップS28)。他方、当該通信フローが悪意ある通信フローすなわち悪性フローではないと判定された場合(ステップS27、NO)、制御処理対象フロー絞り込み装置10は、ステップS25に進み、当該通信フローを送信先へ転送する。これによって制御処理対象フロー絞り込み処理が終了する。   In step S24, when the decryption and inspection of the communication flow requiring decryption is completed, the inspection result is notified to the control processing target flow narrowing device 10 (step S26). As a result of the inspection, when it is determined that the communication flow is a malicious communication flow, for example, a communication flow including a virus (step S27, YES), the communication flow is blocked without being transferred to the transmission destination (step S28). On the other hand, when it is determined that the communication flow is not a malicious communication flow, that is, a malignant flow (NO in step S27), the control process target flow narrowing device 10 proceeds to step S25 and transfers the communication flow to the transmission destination. . Thus, the control process target flow narrowing process ends.

(第1の実施形態の効果)
このように、第1の実施形態においては、制御処理対象フロー絞り込み装置は、暗号化された通信フローを復号化することによって当該通信フローを検査することの要否を、復号化せずに取得できる当該通信フローの内容に基づいて判断する。そして、制御処理対象フロー絞り込み装置は、検査不要と判断された通信フローを復号化せずに送信先へ転送し、検査要と判断された通信フローを復号化して検査する。このため、すべての通信フローについて復号化および検査を実行する場合と比較して、暗号化された通信フローが制御対象の場合であっても、制御処理対象とする通信フローを効率的に絞り込むことができる。このため、通信フローにかかる処理負荷を減じ処理効率を向上させることができる。 (Effects of the first embodiment)
As described above, in the first embodiment, the control processing target flow narrowing-down apparatus acquires, without decryption, whether or not it is necessary to inspect the communication flow by decrypting the encrypted communication flow. The determination is made based on the content of the communication flow that can be performed. Then, the control processing target flow narrowing-down apparatus transfers the communication flow determined not to be inspected to the transmission destination without decoding, and decodes and inspects the communication flow determined to be inspected. For this reason, compared with the case where decryption and inspection are performed for all communication flows, even if the encrypted communication flow is a control target, the communication flow targeted for control processing is efficiently narrowed down. Can do. For this reason, the processing load concerning a communication flow can be reduced and processing efficiency can be improved.

(第1の実施形態の変形例1−フィードバックに基づくステアリング)
第1の実施形態にかかる制御処理対象フロー絞り込み装置10は、復号化の要否を判定して判定結果に基づき通信フローをステアリングした。これに対して、SSL暗号化/復号化装置30およびDPI装置40における処理の結果に基づいて、その後受信する通信フローのステアリング制御を実行するようにしてもよい。第1の実施形態の変形例1としてかかる実施形態を説明する。 (Modification 1 of the first embodiment-steering based on feedback)
The control processing target flow narrowing device 10 according to the first embodiment determines whether or not decoding is necessary, and steers the communication flow based on the determination result. On the other hand, based on the processing results in the SSL encryption / decryption device 30 and the DPI device 40, steering control of the communication flow received thereafter may be executed. This embodiment will be described as a first modification of the first embodiment.

図3は、第1の実施形態の制御処理対象フロー絞り込みシステムの変形例1を説明するための図である。図3に示す制御処理対象フロー絞り込み装置10Aは、第1の実施形態にかかる制御処理対象フロー絞り込み装置10とほぼ同様の構成であるが、フィードバック処理部17を備える点が相違する。また、制御処理対象フロー絞り込み装置10Aは、記憶部16A中にステアリング用データベース(DB)を備える点が第1の実施形態と異なる。以下、第1の実施形態と異なる点について主に説明する。   FIG. 3 is a diagram for explaining a first modification of the control processing target flow narrowing system according to the first embodiment. A control processing target flow narrowing device 10A shown in FIG. 3 has substantially the same configuration as the control processing target flow narrowing device 10 according to the first embodiment, except that a feedback processing unit 17 is provided. Further, the control processing target flow narrowing device 10A is different from the first embodiment in that the storage unit 16A includes a steering database (DB). Hereinafter, differences from the first embodiment will be mainly described.

制御処理対象フロー絞り込み装置10Aが備える通信フロー受信部11A、復号化要否判定部12A、ステアリング設定部13A、SSL指示部14A、中継部15Aの構成および機能は、第1の実施形態の通信フロー受信部11、復号化要否判定部12、ステアリング設定部13、SSL指示部14、中継部15と同様である。このため、これらの構成要素についての説明は省略する。なお、クライアント20A、SSL暗号化/復号化装置30A、DPI装置40Aおよびサーバ50Aの構成および機能も図1のクライアント20、SSL暗号化/復号化装置30、DPI装置40およびサーバ50と同様であるため説明は省略する。   The configuration and functions of the communication flow receiving unit 11A, the decoding necessity determination unit 12A, the steering setting unit 13A, the SSL instruction unit 14A, and the relay unit 15A included in the control processing target flow narrowing device 10A are the communication flows of the first embodiment. This is the same as the receiving unit 11, the decoding necessity determination unit 12, the steering setting unit 13, the SSL instruction unit 14, and the relay unit 15. For this reason, the description about these components is abbreviate | omitted. The configurations and functions of the client 20A, SSL encryption / decryption device 30A, DPI device 40A, and server 50A are the same as those of the client 20, SSL encryption / decryption device 30, DPI device 40, and server 50 of FIG. Therefore, explanation is omitted.

フィードバック処理部17は、SSL暗号化/復号化装置30Aに送信されて復号化され、DPI装置40AでDPI処理された通信フローの処理結果のフィードバック情報を受信する。そして、フィードバック処理部17は、フィードバック情報に基づき、以後制御処理対象フロー絞り込み装置10Aが受信する通信フローのステアリング制御を調整する。また、フィードバック処理部17は、受信した処理結果を解析して、以後の復号化要否判定に使用するため記憶部16Aのステアリング用データベース(DB)に格納する。   The feedback processing unit 17 receives the feedback information of the processing result of the communication flow transmitted to the SSL encryption / decryption device 30A, decrypted, and DPI-processed by the DPI device 40A. Then, based on the feedback information, the feedback processing unit 17 adjusts the steering control of the communication flow that is subsequently received by the control processing target flow narrowing device 10A. Further, the feedback processing unit 17 analyzes the received processing result and stores it in the steering database (DB) of the storage unit 16A for use in subsequent determination of necessity of decoding.

たとえば、DPI装置40Aによる解析の結果、所定のURLが悪意あるURLと判断された場合、当該URLを記憶部16Aに記憶し、以後当該URLからのアクセスを遮断する。また、DPI装置40Aによる解析の結果、所定のURLが悪意のないURLと判断された場合、当該URLを記憶部16Aに記憶し、以後当該URLからの通信フローについては復号化およびDPI装置40Aによる検査は不要とする。   For example, if a predetermined URL is determined to be a malicious URL as a result of analysis by the DPI device 40A, the URL is stored in the storage unit 16A, and access from the URL is blocked thereafter. If the predetermined URL is determined to be non-malicious as a result of analysis by the DPI device 40A, the URL is stored in the storage unit 16A. Thereafter, the communication flow from the URL is decrypted by the DPI device 40A. Inspection is not required.

このように、予め判明している情報に加えて、SSL暗号化/復号化装置30AおよびDPI装置40Aでの処理結果のフィードバックを利用することにより、復号化要否判定の精度と効率を向上させることができる。また、このように復号化要否判定の精度を上げることで、SSL暗号化/復号化装置30Aの処理負荷を低減することができる。   In this way, in addition to the information that has been known in advance, the accuracy and efficiency of the necessity determination of decryption is improved by using the feedback of the processing results in the SSL encryption / decryption device 30A and the DPI device 40A. be able to. Further, by increasing the accuracy of the necessity determination of decryption in this way, the processing load on the SSL encryption / decryption device 30A can be reduced.

(第1の実施形態の変形例2−SSL通信未対応機器への対処)
第1の実施形態に係る制御処理対象フロー絞り込み処理においては、復号化およびDPI後の通信フローは再び暗号化して送信先に送信するものとした。しかし、これに限定されず、たとえば、制御処理対象フロー絞り込み装置10をSSL通信に対応していないネットワークと接続し、当該ネットワーク上でサービスを提供している装置に対しては復号化した通信フローを送信するものとしてもよい。 (Modification 2 of the first embodiment-coping with a device not supporting SSL communication)
In the control process target flow narrowing process according to the first embodiment, the communication flow after decryption and DPI is encrypted again and transmitted to the transmission destination. However, the present invention is not limited to this, and for example, the control processing target flow narrowing-down device 10 is connected to a network that does not support SSL communication, and a decrypted communication flow is provided to a device that provides a service on the network. May be transmitted.

たとえば、図4は第1の実施形態に係る制御処理対象フロー絞り込みシステムの変形例2を説明するための図である。図4の(1)では、クライアントとPCEF/DPIとをつなぐネットワークも、PCEF/DPIとOTTとをつなぐネットワークもSSL通信に対応している。これに対して、図4の(2)のようにPCEF/DPIとOTTとをつなぐネットワークがSSL通信に対応していないというケースも考えられる。たとえば、OTTがSSLに未対応であって、ユーザが空港の無線LAN(暗号化なし)を使用して安全な通信を行いたい場合等が考えられる。このような場合には、クライアントと制御処理対象フロー絞り込み装置との間はSSL通信を行い、制御処理対象フロー絞り込み装置とOTTとの間は復号化したデータを流す。   For example, FIG. 4 is a diagram for explaining a modification 2 of the control processing target flow narrowing system according to the first embodiment. In FIG. 4 (1), both the network connecting the client and PCEF / DPI and the network connecting PCEF / DPI and OTT support SSL communication. On the other hand, a case where the network connecting PCEF / DPI and OTT is not compatible with SSL communication as shown in (2) of FIG. For example, there may be a case where OTT does not support SSL and the user wants to perform secure communication using a wireless LAN (no encryption) at an airport. In such a case, SSL communication is performed between the client and the control processing target flow narrowing device, and decrypted data is sent between the control processing target flow narrowing device and the OTT.

(第1の実施形態の変形例3−復号化とDPI)
第1の実施形態に係る制御処理対象フロー絞り込み処理においては、復号化要と判定された通信フローはすべて復号化およびDPIの処理を受けるものとした。しかし、これに限定されず、たとえば、復号化された通信フローでなければ処理できないが信頼性の高いサーバ等が送信先である場合などは、通信フローの復号化のみを行い、DPIは行わないようにステアリングしてもよい。 (Modification 3 of First Embodiment 3-Decoding and DPI)
In the control processing target flow narrowing-down process according to the first embodiment, all communication flows determined to be decrypted are subjected to decryption and DPI processing. However, the present invention is not limited to this. For example, when a decrypted communication flow can be used for processing, but a highly reliable server or the like is a destination, only the communication flow is decrypted and DPI is not performed. You may steer like this.

このように柔軟に通信フローのステアリングを行うことで、送信先の装置や提供されるサービスに応じて効率的なステアリングを実現することができ、通信効率を向上させることができる。   By flexibly steering the communication flow in this way, efficient steering can be realized according to the transmission destination device and the service provided, and communication efficiency can be improved.

(第2の実施形態)
図5は、第2の実施形態に係る制御処理対象フロー絞り込みシステムの概略構成の一例を示す図である。図5に示すように、第2の実施形態に係る制御処理対象フロー絞り込みシステムは、PCEF(Policy and Charging Enforcement Function)/DPI100とPCRF(Policy and Charging Rule Function)200とを備える。図5の例では、第1の実施形態の制御処理対象フロー絞り込み装置を、PCEF/DPI100およびPCRF200によって実現する。 (Second Embodiment)
FIG. 5 is a diagram illustrating an example of a schematic configuration of a control processing target flow narrowing system according to the second embodiment. As shown in FIG. 5, the control processing target flow narrowing system according to the second embodiment includes a PCEF (Policy and Charging Enforcement Function) / DPI 100 and a PCRF (Policy and Charging Rule Function) 200. In the example of FIG. 5, the control processing target flow narrowing apparatus according to the first embodiment is realized by the PCEF / DPI 100 and the PCRF 200.

PCRF200はSSLに基づき暗号化された通信フローを復号化することによって当該通信フローに対してDPIを実行することの要否を、当該通信フローを復号化せずに取得できる当該通信フローの内容に基づいて判定する判定部として機能する。   The PCRF 200 decrypts the communication flow encrypted based on the SSL to determine whether or not it is necessary to execute DPI on the communication flow in the content of the communication flow that can be acquired without decrypting the communication flow. It functions as a determination unit that makes a determination based on this.

また、PCRF200は、DPIの実行要と判定された通信フローについてどのような内容でDPIを実行するかをDPIに指示し、PCEF100に対して当該通信フローをどのように転送するか、ステアリング指示する。つまり、PCRF200は、DPIの実行要と判定した通信フローのステアリング指示を実行するようPCEF100へ指示し、DPIの実行不要と判定された通信フローは送信先へ転送するようPCEF/DPI100へ指示する制御を実行する。言い換えると、PCRF200は、DPIの実行不要と判定された通信フローを復号化せずに送信先へ転送し、DPIの実行要と判断された通信フローを復号化して検査させるよう制御する制御部として機能する。   In addition, the PCRF 200 instructs the DPI on what kind of content to execute the DPI for the communication flow determined to be DPI execution, and instructs the PCEF 100 how to transfer the communication flow. . That is, the PCRF 200 instructs the PCEF 100 to execute the steering instruction of the communication flow determined to require execution of DPI, and instructs the PCEF / DPI 100 to transfer the communication flow determined to not execute DPI to the transmission destination. Execute. In other words, the PCRF 200 serves as a control unit that controls to transfer the communication flow determined to be unnecessary to execute DPI to the transmission destination without decoding, and to decode and check the communication flow determined to be required to execute DPI. Function.

図5中、クライアント20Bはアクセスポイント21を介してネットワークに接続される。クライアント20Bからの通信フローはPCEF/DPI100によって受信される。PCEF/DPI100はSSL暗号化/復号化装置30Bと接続される。SSL暗号化/復号化装置30BはDPI装置40Bと接続される。DPI装置40Bは、ウィルスチェック機能41、ツイッター保管庫42、オプティマイズ機能43等の機能部と接続される。また、DPI装置40BはPCRF200と接続される。PCEF/DPI100はネットワークを介してOTT50Bとも接続される。   In FIG. 5, the client 20 </ b> B is connected to the network via the access point 21. The communication flow from the client 20B is received by the PCEF / DPI 100. The PCEF / DPI 100 is connected to the SSL encryption / decryption device 30B. The SSL encryption / decryption device 30B is connected to the DPI device 40B. The DPI device 40B is connected to functional units such as a virus check function 41, a Twitter storage 42, and an optimization function 43. The DPI device 40B is connected to the PCRF 200. The PCEF / DPI 100 is also connected to the OTT 50B via a network.

図5に示すPCEF/DPI100は、受信する通信フローの内容を識別して、当該通信フローの制御判断のための情報を作成する。また、PCEF/DPI100は、PCRF200からの指示に基づき、通信フローを制御する。たとえば、PCEF/DPI100は、通信フローのステアリングや、遮断、レートリミット等の制御を実行する。また、PCEF/DPI100は、SSL暗号化/復号化装置30BやDPI装置40Bにおける処理の結果に基づき、通信フローを制御する。   The PCEF / DPI 100 shown in FIG. 5 identifies the content of the received communication flow and creates information for determining the control of the communication flow. The PCEF / DPI 100 controls the communication flow based on an instruction from the PCRF 200. For example, the PCEF / DPI 100 performs control such as communication flow steering, blocking, and rate limiting. The PCEF / DPI 100 controls the communication flow based on the processing results in the SSL encryption / decryption device 30B and the DPI device 40B.

PCEF/DPI100は、通信フローをフロー単位で切り分けて制御することができる。このため、PCEF/DPI100を用いることで、通信フローごとに制御内容、たとえば、復号化するか否か等の制御内容を変えることができる。具体的にはPCEF/DPI100のうち、PCEFは、5tuple等のレイヤー3の情報までを識別する。そして、PCEF/DPI100のうち、DPIは、レイヤー7の情報までを識別する。このため、PCRF200が復号化するか否かの判断を実行した上で、PCEF/DPI100に指示することで、様々な制御内容を実行することができる。PCEF/DPI100は、通信フローをフロー単位に切り分けるために、たとえば、通常のポリシー制御で想定されている値や、SSLセッションに特有の値を用いることができる。通常のポリシー制御で想定されている値としては、たとえば、3GPP(Third Generation Partnership Project)のGxインタフェースで規定されている値が挙げられる。たとえば、Session-ID、Origin-Host、Origin-Realm、Destination-Realm、Auth-Application-Id、CC-Request-Type、CC-Request-Number、Vender-ID、Feature-List-ID、Feature-List、Framed-IPv6-Prefix、Logical-Access-IDなどである。SSLセッションに特有の値としては、たとえば、Client Helloメッセージのレコードプロトコルで規定されているレコードヘッダ情報が挙げられる。また、サーバから送信されるCertificateメッセージにより送付されるサーバ証明書の情報を用いることもできる。また、たとえばPCEF/DPI100は、SIM番号、VLAN番号、トンネル番号、電話番号等のユーザ識別情報を用いて通信フローを切り分けてもよい。また、このほか、URL,5tuple、アプリケーション等の情報を使用できる。   The PCEF / DPI 100 can control the communication flow by dividing it in units of flows. For this reason, by using the PCEF / DPI 100, it is possible to change the control content such as whether or not to decode, for each communication flow. Specifically, in the PCEF / DPI 100, the PCEF identifies up to layer 3 information such as 5 tuples. In the PCEF / DPI 100, the DPI identifies up to layer 7 information. Therefore, various control contents can be executed by instructing the PCEF / DPI 100 after executing the determination of whether or not the PCRF 200 performs decoding. The PCEF / DPI 100 can use, for example, a value assumed in normal policy control or a value specific to an SSL session in order to divide a communication flow into flow units. As a value assumed in normal policy control, for example, a value defined by a Gx interface of 3GPP (Third Generation Partnership Project) can be cited. For example, Session-ID, Origin-Host, Origin-Realm, Destination-Realm, Auth-Application-Id, CC-Request-Type, CC-Request-Number, Vender-ID, Feature-List-ID, Feature-List, Framed-IPv6-Prefix, Logical-Access-ID, etc. As a value peculiar to the SSL session, for example, record header information defined by the record protocol of the Client Hello message can be cited. It is also possible to use server certificate information sent by a Certificate message sent from the server. Further, for example, the PCEF / DPI 100 may separate communication flows using user identification information such as a SIM number, a VLAN number, a tunnel number, and a telephone number. In addition, information such as URL, 5tuple, and application can be used.

PCEF/DPI100は、通信フローを切り分けるとともに、当該通信フローの内容を識別し制御内容を決定するための情報を作成する。たとえば、PCEF/DPI100は、通常のポリシー制御で想定されている値や、SSLセッションに特有の値を用いて、通信フローの内容を識別し制御内容を決定するための情報を作成する。ここで用いる通常のポリシー制御で想定されている値やSSLセッションに特有の値は、PCEF/DPI100が通信フローをフロー単位に切り分けるために用いる値と同様である。PCEF/DPI100は、作成した制御内容を決定するための情報を、PCRF200に送信する。   The PCEF / DPI 100 separates the communication flow and creates information for identifying the content of the communication flow and determining the control content. For example, the PCEF / DPI 100 creates information for identifying the content of the communication flow and determining the control content using values assumed in normal policy control or values specific to the SSL session. Values assumed in normal policy control used here and values specific to the SSL session are the same as the values used by the PCEF / DPI 100 to divide the communication flow into units of flows. The PCEF / DPI 100 transmits information for determining the created control content to the PCRF 200.

また、PCEF/DPI100は、PCRF200が決定したフロー制御内容に基づく制御を実行する。たとえば、PCEF/DPI100は、通信フローのステアリングや遮断、レートリミット等の制御を実行する。さらに、通信フローに対してPCRF200が決定したフロー制御内容に基づく制御を実行した結果をもとに他ノードとの通信を実行する。たとえば、PCEF/DPI100は、通信フローに対して復号化とDPIによる検査を実行した結果、ウィルスが発見された場合に当該通信フローの破棄等を実行する。   Further, the PCEF / DPI 100 executes control based on the flow control content determined by the PCRF 200. For example, the PCEF / DPI 100 executes control such as steering, blocking, rate limiting, etc. of the communication flow. Further, communication with other nodes is executed based on the result of executing control based on the flow control content determined by the PCRF 200 for the communication flow. For example, the PCEF / DPI 100 executes discarding of the communication flow or the like when a virus is found as a result of executing decryption and DPI inspection on the communication flow.

PCRF200は、PCEF/DPI100が受信した通信フローにつき、PCEF/DPI100が作成した通信フローの制御判断のための情報を参照して、制御内容を決定する。また、PCRF200は、通信フローの制御結果に基づき、他のノードとの通信処理の内容を設定する。PCRF200が決定した制御内容はPCEF/DPI100に通知され、PCEF/DPI100はPCRF200の決定した制御内容に基づき制御を実行する。   For the communication flow received by the PCEF / DPI 100, the PCRF 200 refers to information for control judgment of the communication flow created by the PCEF / DPI 100, and determines the control content. The PCRF 200 sets the content of communication processing with other nodes based on the control result of the communication flow. The control content determined by the PCRF 200 is notified to the PCEF / DPI 100, and the PCEF / DPI 100 executes control based on the control content determined by the PCRF 200.

PCRF200は、PCEF/DPI100から送信される情報に基づき、各通信フローに対する制御内容を決定する。たとえば、PCRF200は、当該通信フローに対して復号化およびDPIによる検査を実行するか否かを決定する。また、PCRF200は、当該通信フローをそのまま送信先に送信する処理の実行を決定する。また、PCRF200は、DPI装置40Bが通信フローごとにアクセス制御や暗号化が必要な装置(ウィルスチェック機能41等)へステアリングを実行するようDPI装置40Bを制御する。PCRF200は、通信フローの制御結果に基づき他ノードと通信するようPCEF/DPI100を制御する。すなわち、PCRF200は、DPI装置40Bにおける処理結果をPCEF/DPI100へフィードバックする。   The PCRF 200 determines the control content for each communication flow based on the information transmitted from the PCEF / DPI 100. For example, the PCRF 200 determines whether or not to perform a check by decoding and DPI on the communication flow. In addition, the PCRF 200 determines execution of processing for transmitting the communication flow as it is to the transmission destination. In addition, the PCRF 200 controls the DPI device 40B so that the DPI device 40B performs steering to a device (such as the virus check function 41) that requires access control and encryption for each communication flow. The PCRF 200 controls the PCEF / DPI 100 to communicate with other nodes based on the communication flow control result. That is, the PCRF 200 feeds back the processing result in the DPI device 40B to the PCEF / DPI 100.

SSL暗号化/復号化装置30Bは、OTT50Bとクライアント20Bとの間で提供されるサービスのために送受信される情報を復号化し、暗号化する。また、SSL暗号化/復号化装置30Bは、復号化した通信フローをDPI装置40Bに送信する。   The SSL encryption / decryption device 30B decrypts and encrypts information transmitted and received for a service provided between the OTT 50B and the client 20B. Further, the SSL encryption / decryption device 30B transmits the decrypted communication flow to the DPI device 40B.

DPI装置40Bは、PCRF200の制御に基づきDPIを実行する。また、DPI装置40Bは、DPIの結果をPCRF200に通知する。   The DPI device 40B executes DPI based on the control of the PCRF 200. The DPI device 40B notifies the PCRF 200 of the DPI result.

なお、クライアント20B、SSL暗号化/復号化装置30B、DPI装置40B、OTT50Bは各々、図1のクライアント20、SSL暗号化/復号化装置30、DPI装置40、サーバ50に概ね対応し、機能も同様である。   The client 20B, the SSL encryption / decryption device 30B, the DPI device 40B, and the OTT 50B generally correspond to the client 20, the SSL encryption / decryption device 30, the DPI device 40, and the server 50 in FIG. It is the same.

第2の実施形態に係る制御処理対象フロー絞り込みシステムでは、通信フローをフロー単位で制御することができるPCEF/DPI100と、PCRF200とを設置することで、フロー単位で復号化する制御処理対象フローを絞り込む。すなわち、PCEF/DPI100を用いてSSL暗号化/復号化させる通信フローの数をできるだけ抑制する。また、SSL暗号化/復号化装置30BおよびDPI装置40Bでの処理結果をPCRF200に通知することにより、復号化の結果を考慮したフロー制御を実現する。かかる処理を実現するため、PCEF/DPI100は、復号化要否を判断するための情報を通信フローから抽出してPCRF200に送信する。PCRF200は、通信フローごとにアクセス制御やステアリング制御の内容を決定し、DPI装置40Bに制御を指示する。また、DPI装置40Bは、DPIの結果をPCRF200に通知する。PCRF200はDPIの結果を加味して、さらに制御内容を決定して、PCEF/DPI100に通知する。このように、PCEF/DPI100、PCRF200、SSL暗号化/復号化装置30BおよびDPI40Bが動作することにより、復号化対象となる通信フローを絞り込む。   In the control processing target flow narrowing system according to the second embodiment, the PCEF / DPI 100 that can control the communication flow in units of flows and the PCRF 200 are installed, so that the control processing target flow to be decoded in units of flows is determined. Narrow down. That is, the number of communication flows to be encrypted / decrypted using the PCEF / DPI 100 is suppressed as much as possible. In addition, by notifying the PCRF 200 of the processing results in the SSL encryption / decryption device 30B and the DPI device 40B, flow control considering the decryption result is realized. In order to realize such processing, the PCEF / DPI 100 extracts information for determining whether or not decoding is necessary from the communication flow and transmits it to the PCRF 200. The PCRF 200 determines the contents of access control and steering control for each communication flow, and instructs the DPI device 40B to perform control. The DPI device 40B notifies the PCRF 200 of the DPI result. The PCRF 200 considers the DPI result, further determines the control content, and notifies the PCEF / DPI 100 of it. As described above, the PCEF / DPI 100, the PCRF 200, the SSL encryption / decryption device 30B, and the DPI 40B operate to narrow down the communication flow to be decrypted.

図6は、第2の実施形態に係る制御処理対象フロー絞り込み処理の流れの一例を示すフローチャートである。図6に示すように、まず、PCEF/DPI100がクライアント20Bから通信フローを受信する(ステップS601)。なお、ここではクライアント20Bからの通信フローを例に説明するが、OTT50Bが送信する通信フローについても同様の処理が実行される。   FIG. 6 is a flowchart illustrating an example of the flow of the control process target flow narrowing process according to the second embodiment. As shown in FIG. 6, first, the PCEF / DPI 100 receives a communication flow from the client 20B (step S601). Here, although the communication flow from the client 20B will be described as an example, the same processing is executed for the communication flow transmitted by the OTT 50B.

PCEF/DPI100は、受信した通信フローから復号化要否判定のための情報を抽出する(ステップS602)。たとえば、PCEF/DPI100は、上述の通常のポリシー制御で想定されている値や、SSLセッション特有の値を抽出する。   The PCEF / DPI 100 extracts information for determining necessity of decoding from the received communication flow (step S602). For example, the PCEF / DPI 100 extracts values assumed in the above-described normal policy control and values specific to the SSL session.

次に、PCEF/DPI100は、抽出した情報をPCRF200に送信する。PCRF200は、受信した情報に基づき復号化の要否を判定する(ステップS603)。たとえば、受信した情報が、信頼性の高いサーバからの情報であることを示している場合には、PCRF200は復号化不要と判定する。   Next, the PCEF / DPI 100 transmits the extracted information to the PCRF 200. The PCRF 200 determines whether or not decoding is necessary based on the received information (step S603). For example, if the received information indicates that the information is from a highly reliable server, the PCRF 200 determines that decoding is not necessary.

そして、PCRF200は、復号化要否判定の結果に基づき、当該通信フローの送信経路を決定し設定するステアリング設定を行う(ステップS604)。たとえば、PCRF200が、当該通信フローは復号化してDPI処理を行うと決定した場合、当該通信フローをSSL暗号化/復号化装置30B、DPI装置40Bに送信するステアリング設定を行う。そして、PCRF200は、PCEF/DPI100およびDPI装置40Bに対して、当該通信フローをステアリング設定に基づき処理するよう通知する。PCEF/DPI100は、PCRF200の指示に基づき、通信フローをSSL暗号化/復号化装置30Bに送信し復号化させる(ステップS605)。さらに、PCEF/DPI100は、当該通信フローをDPI装置40Bに送信させ、DPI処理を実行させる(ステップS605)。   Then, the PCRF 200 performs steering setting for determining and setting the transmission path of the communication flow based on the result of the necessity determination of decoding (step S604). For example, when the PCRF 200 determines to decrypt the communication flow and perform DPI processing, the PCRF 200 performs steering setting to transmit the communication flow to the SSL encryption / decryption device 30B and the DPI device 40B. Then, the PCRF 200 notifies the PCEF / DPI 100 and the DPI device 40B to process the communication flow based on the steering setting. The PCEF / DPI 100 transmits the communication flow to the SSL encryption / decryption device 30B based on the instruction from the PCRF 200 and decrypts it (step S605). Further, the PCEF / DPI 100 transmits the communication flow to the DPI device 40B and executes the DPI process (step S605).

DPI装置40Bでの処理結果および制御結果はDPI装置40BからPCRF200に送信される(ステップS606)。PCRF200は、DPI装置40Bでの処理結果および制御結果を加味して、当該通信フローの制御内容を更新し、PCEF/DPI100に指示する(ステップS607)。PCEF/DPI100は、PCRF200からの制御指示に基づき、再び暗号化された当該通信フローをOTT50Bに送信する等の制御を実行する(ステップS608)。これで、制御処理対象フロー絞り込みの一例が終了する。   The processing results and control results in the DPI device 40B are transmitted from the DPI device 40B to the PCRF 200 (step S606). The PCRF 200 updates the control content of the communication flow in consideration of the processing result and control result in the DPI device 40B, and instructs the PCEF / DPI 100 (step S607). Based on the control instruction from the PCRF 200, the PCEF / DPI 100 performs control such as transmitting the encrypted communication flow to the OTT 50B again (step S608). Thus, an example of narrowing down the control processing target flow is completed.

なお、図6のフローは通信フローに対して復号化およびDPIを実行する例としたが、PCRF200が決定する制御内容に応じて、復号化およびDPIを実行せずに通信フローをそのまま送信するケース、復号化およびDPIの結果通信フローを遮断するケース等がある。   The flow in FIG. 6 is an example in which decoding and DPI are executed on the communication flow, but the communication flow is transmitted as it is without executing decoding and DPI according to the control content determined by the PCRF 200. There are cases where the communication flow of decryption and DPI is blocked.

(第2の実施形態に係る制御処理対象フロー絞り込み処理の流れの例)
図7は、第2の実施形態に係る制御処理対象フロー絞り込み処理の流れの一例を説明するためのシーケンスチャートである。図7を参照して、第2の実施形態に係る処理の流れの一例を説明する。 (Example of flow of control process target flow narrowing process according to the second embodiment)
FIG. 7 is a sequence chart for explaining an example of the flow of the control process target flow narrowing process according to the second embodiment. With reference to FIG. 7, an example of the flow of processing according to the second embodiment will be described.

まず、PCEF/DPI100は、Client Hello等の呼を受信すると、CCR−I(Credit-Control-Request Initialization)メッセージをPCRF200に送信する(図7の(1))。このメッセージを送信することで、PCEF/DPI100は、PCFR200に対してSSL暗号化・復号化の要否判断を要求する。このとき、PCEF/DPI100は、受信した呼が含む情報であって暗号化/復号化の要否判定の基礎となる情報を抽出し、PCRF200に送信する。   First, when receiving a call such as Client Hello, the PCEF / DPI 100 transmits a CCR-I (Credit-Control-Request Initialization) message to the PCRF 200 ((1) in FIG. 7). By transmitting this message, the PCEF / DPI 100 requests the PCFR 200 to determine whether SSL encryption / decryption is necessary. At this time, the PCEF / DPI 100 extracts information that is included in the received call and serves as a basis for determining whether encryption / decryption is necessary, and transmits the extracted information to the PCRF 200.

PCRF200は、CCR−Iを受信して、当該通信フローに対する制御内容を決定する。そして、PCRF200は、PCEF/DPI100に対して、制御内容(たとえばステアリングの内容)を指示するCCA(Credit-Control-Answer)を送信する。図7では、PCRF200は復号化を指示するCCAを送信したものとする(図7の(2))。   The PCRF 200 receives the CCR-I and determines the control content for the communication flow. Then, the PCRF 200 transmits a CCA (Credit-Control-Answer) for instructing control contents (for example, steering contents) to the PCEF / DPI 100. In FIG. 7, it is assumed that the PCRF 200 transmits a CCA instructing decoding ((2) in FIG. 7).

PCRF200はまた、DPI装置40Bに対して決定した制御(ステアリング等)を実行するよう指示するRAR(Reauthorization Request) DPIを送信する。ここでは、PCRF200はDPIの実行を指示するRARを送信したものとする(図7の(3))。DPI装置40Bは、RARに応答してRAA(Reauthorization Answer)をPCRF200に返す(図7の(4))。   The PCRF 200 also transmits an RAR (Reauthorization Request) DPI that instructs the DPI device 40B to execute the determined control (steering or the like). Here, it is assumed that the PCRF 200 has transmitted an RAR instructing execution of DPI ((3) in FIG. 7). The DPI device 40B returns an RAA (Reauthorization Answer) to the PCRF 200 in response to the RAR ((4) in FIG. 7).

また、PCEF/DPI100はSSL暗号化/復号化装置30Bに対してSSLプロキシ動作を実行するよう指示する。SSL暗号化/復号化装置30Bは指示に応じた処理を実行する(図7のU-Plane-(1))。   Further, the PCEF / DPI 100 instructs the SSL encryption / decryption device 30B to execute the SSL proxy operation. The SSL encryption / decryption device 30B executes processing according to the instruction (U-Plane- (1) in FIG. 7).

また、SSL暗号化/復号化装置30Bは、DPI装置40Bに対して通信フローを送信する(図7のU-Plane-(2))。DPI装置40Bは、PCRF200から指示された内容に基づき処理を実行する。また、PCRF200からウィルスチェック機能41、ツイッター保管庫42、オプティマイズ機能43等での処理を指示されている場合、DPI装置40Bからこれらの機能部にデータを送信するステアリング制御が行われ処理が実行される(図7のU-Plane-(3))。DPI装置40Bは処理が完了した後、処理結果および制御結果をPCRF200に通知する。   Further, the SSL encryption / decryption device 30B transmits a communication flow to the DPI device 40B (U-Plane- (2) in FIG. 7). The DPI device 40B executes processing based on the contents instructed from the PCRF 200. Further, when the PCRF 200 has instructed processing by the virus check function 41, the Twitter storage unit 42, the optimization function 43, etc., steering control for transmitting data from the DPI device 40B to these functional units is performed and the processing is executed. (U-Plane- (3) in FIG. 7). After the processing is completed, the DPI device 40B notifies the PCRF 200 of the processing result and the control result.

PCRF200は、DPI装置40Bからの通知を受信し、PCEF/DPI100に対する制御指示を送信する。すなわち、PCRF200は、PCEF/DPI100にRARを送信する(図7の(5))。PCEF/DPI100は、PCRF200にRAAを返し(図7の(6))、制御を実行する。SSL暗号化/復号化装置30Bは、DPI装置40B等での処理が完了すると再び通信フローを暗号化してPCEF/DPI100に送信する。なお、図7中、「U-Plane」はユーザプレーンを意味する。   The PCRF 200 receives the notification from the DPI device 40B and transmits a control instruction to the PCEF / DPI 100. That is, the PCRF 200 transmits an RAR to the PCEF / DPI 100 ((5) in FIG. 7). The PCEF / DPI 100 returns RAA to the PCRF 200 ((6) in FIG. 7) and executes control. The SSL encryption / decryption device 30B encrypts the communication flow again and transmits it to the PCEF / DPI 100 when the processing in the DPI device 40B or the like is completed. In FIG. 7, “U-Plane” means a user plane.

(第2の実施形態の効果)
このように、第2の実施形態に係る制御処理対象フロー絞り込み方法は、SSLに基づき暗号化された通信フローを復号化することによって当該通信フローに対してDPIを実行することの要否を、当該通信フローを復号化せずに取得できる当該通信フローの内容に基づいて判定する判定工程を含む。また、制御処理対象フロー絞り込み方法は、DPIの実行要と判定された通信フローを復号化してDPIを実行し、DPIの実行不要と判定された通信フローを復号化せずに送信先へ転送する工程を含む。 (Effect of 2nd Embodiment)
As described above, the control processing target flow narrowing method according to the second embodiment determines whether it is necessary to execute DPI on the communication flow by decrypting the communication flow encrypted based on SSL. And a determination step of determining based on the content of the communication flow that can be acquired without decoding the communication flow. In addition, the control processing target flow narrowing-down method decodes a communication flow determined to require execution of DPI, executes DPI, and transfers a communication flow determined to not require execution of DPI to a transmission destination without decoding. Process.

このため、SSL暗号化された通信フローであっても、復号化せずに抽出できる情報を基に、復号化の要否を判定して制御することができる。このため、暗号化された通信フローが制御対象の場合であっても、制御処理対象とする通信フローを効率的に絞り込むことができる。   For this reason, even if the communication flow is SSL-encrypted, it is possible to determine and control the necessity of decryption based on information that can be extracted without decryption. For this reason, even if the encrypted communication flow is a control target, it is possible to efficiently narrow down the communication flow to be controlled.

また、第2の実施形態に係る制御処理対象フロー絞り込み方法においては、通信フローに対してDPIを実行することの要否の判定は、通信フローのクライアントハローメッセージに含まれるレコードヘッダ情報またはサーバ証明書に基づいて行う。このため、暗号化された通信フローであっても容易に信頼度を判定して、復号化してウィルスチェック等の検査まで行うか否かを判断することができる。   In the control processing target flow narrowing method according to the second embodiment, whether or not it is necessary to execute DPI for a communication flow is determined by the record header information or the server certificate included in the client hello message of the communication flow. Based on the letter. For this reason, even in an encrypted communication flow, it is possible to easily determine the reliability, determine whether to perform decryption and inspection such as virus check.

また、第2の実施形態に係る制御処理対象フロー絞り込み方法においては、DPIの実行要と判定された通信フローに対するDPIの実行結果のフィードバックを受けて、DPIの実行要否判定に利用する。このため、DPI結果を利用してさらに処理対象とするフローを絞り込むことができ、処理効率を累進的に高めることができる。   Also, in the control processing target flow narrowing method according to the second embodiment, feedback of the DPI execution result for the communication flow determined to be DPI execution is received and used to determine whether or not DPI is to be executed. For this reason, the flow to be processed can be further narrowed down using the DPI result, and the processing efficiency can be progressively increased.

また、第2の実施形態に係る制御処理対象フロー絞り込み方法は、フィードバックを受けて、DPIの実行要の通信フローとDPIの実行不要の通信フローとを当該通信フローの送信先URLに基づいて分類し記憶部に格納する格納工程をさらに含む。また、記憶部は、複数のPCRFおよびPCEFが共用してもよい。このため、DPIの実行結果を記憶して、他のPCRFやPCEF/DPIが共有し利用することができ、さらに処理効率を高めることができる。   In addition, the control processing target flow narrowing method according to the second embodiment receives feedback and classifies communication flows that require execution of DPI and communication flows that do not require execution of DPI based on the destination URL of the communication flow. And a storing step of storing in the storage unit. The storage unit may be shared by a plurality of PCRFs and PCEFs. For this reason, the execution result of DPI can be stored and shared and used by other PCRFs and PCEF / DPI, and the processing efficiency can be further improved.

(第3の実施形態)
なお、図5の第2の実施形態の構成例では、SSL暗号化/復号化装置30BとPCRF200とは直接接続しない構成とした。しかし、これに限定されず、たとえば、SSL暗号化/復号化装置30BとPCRF200とを接続して、SSL暗号化/復号化装置30BとPCRF200とが連携するように構成してもよい。 (Third embodiment)
In the configuration example of the second embodiment in FIG. 5, the SSL encryption / decryption device 30 </ b> B and the PCRF 200 are not directly connected. However, the present invention is not limited to this. For example, the SSL encryption / decryption device 30B and the PCRF 200 may be connected so that the SSL encryption / decryption device 30B and the PCRF 200 cooperate with each other.

たとえば、DPI処理の結果、以後DPIが不要と判断された場合等に、SSL暗号化/復号化装置30BからPCRF200にDPIステアリングを停止するよう通知する。そして、PCRF200がステアリング停止設定を実行し、PCEF/DPI100に指示するよう構成してもよい。   For example, if it is determined that DPI is unnecessary as a result of the DPI processing, the SSL encryption / decryption device 30B notifies the PCRF 200 to stop the DPI steering. And you may comprise so that PCRF200 may perform steering stop setting and instruct | indicate to PCEF / DPI100.

たとえば、図5においてSSL暗号化/復号化装置30BとPCRF200との間が接続されているとする。この場合に、SSL暗号化/復号化装置30Bは、復号化結果をPCRF200に送信する。PCRF200は、受信した復号化結果にもとづき、当該データをDPI装置40Bへステアリングするか否かを決定する。またPCRF200は、受信した復号化結果に基づき、ウィルスチェック41等のDPI装置40B配下に配置されるサービスを使用するか否かを決定する。すなわち、PCRF200は、復号化されたフローをDPI装置40B配下のサービスに送信するか否かを決定する。PCRF200は、決定した内容をSSL暗号化/復号化装置30Bに指示する。   For example, in FIG. 5, it is assumed that the SSL encryption / decryption device 30B and the PCRF 200 are connected. In this case, the SSL encryption / decryption device 30B transmits the decryption result to the PCRF 200. The PCRF 200 determines whether to steer the data to the DPI device 40B based on the received decoding result. Further, the PCRF 200 determines whether to use a service arranged under the DPI device 40B such as the virus check 41 based on the received decryption result. That is, the PCRF 200 determines whether to transmit the decrypted flow to the service under the DPI device 40B. The PCRF 200 instructs the determined content to the SSL encryption / decryption device 30B.

SSL暗号化/復号化装置30Bは、PCRF200からの指示を受信して、DPI装置40Bによる処理およびDPI装置40B配下のサービスを利用するか否か判別する。たとえば、SSL暗号化/復号化装置30Bは、ウィルスチェック機能41、ツイッター保管庫、オプティマイズ機能43等のDPI装置40B配下のサービスを利用するか否かを判別する。そして、SSL暗号化/復号化装置30BからDPI装置40Bに指示してDPIおよび付加的なサービスのうち、利用すると判別された処理を実行する。   The SSL encryption / decryption device 30B receives the instruction from the PCRF 200, and determines whether or not to use the processing by the DPI device 40B and the service under the DPI device 40B. For example, the SSL encryption / decryption device 30B determines whether or not to use services under the DPI device 40B such as the virus check function 41, the Twitter storage, and the optimization function 43. Then, the SSL encryption / decryption device 30B instructs the DPI device 40B to execute the processing determined to be used out of the DPI and additional services.

また、DPIを仮想化して、複数のSSL暗号化/復号化装置がDPIを共用することができるように構成してもよい。   Alternatively, the DPI may be virtualized so that a plurality of SSL encryption / decryption devices can share the DPI.

(プログラム)
図8は、開示の技術に係る制御処理対象フロー絞り込みプログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブ1080と、ネットワークインタフェース1070とを有する。コンピュータ1000の各部はバス1100によって接続される。 (program)
FIG. 8 is a diagram illustrating that the information processing by the control processing target flow narrowing program according to the disclosed technique is specifically realized using a computer. As illustrated in FIG. 8, the computer 1000 includes, for example, a memory 1010, a CPU (Central Processing Unit) 1020, a hard disk drive 1080, and a network interface 1070. Each part of the computer 1000 is connected by a bus 1100.

メモリ1010は、図8に例示するように、ROM1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。   The memory 1010 includes a ROM 1011 and a RAM 1012 as illustrated in FIG. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System).

ここで、図8に例示するように、ハードディスクドライブ1080は、例えば、OS1081、アプリケーションプログラム1082、プログラムモジュール1083、プログラムデータ1084を記憶する。すなわち、開示の実施の形態に係る制御処理対象フロー絞り込みプログラムは、コンピュータによって実行される指令が記述されたプログラムモジュール1083として、例えばハードディスクドライブ1080に記憶される。   Here, as illustrated in FIG. 8, the hard disk drive 1080 stores, for example, an OS 1081, an application program 1082, a program module 1083, and program data 1084. That is, the control processing target flow narrowing program according to the disclosed embodiment is stored in, for example, the hard disk drive 1080 as the program module 1083 in which a command to be executed by the computer is described.

また、制御処理対象フロー絞り込みプログラムによる情報処理に用いられるデータは、プログラムデータ1084として、例えばハードディスクドライブ1080に記憶される。そして、CPU1020が、ハードディスクドライブ1080に記憶されたプログラムモジュール1083やプログラムデータ1084を必要に応じてRAM1012に読み出し、各種の手順を実行する。   Data used for information processing by the control processing target flow narrowing program is stored as program data 1084 in, for example, the hard disk drive 1080. Then, the CPU 1020 reads the program module 1083 and program data 1084 stored in the hard disk drive 1080 to the RAM 1012 as necessary, and executes various procedures.

なお、制御処理対象フロー絞り込みプログラムに係るプログラムモジュール1083やプログラムデータ1084は、ハードディスクドライブ1080に記憶される場合に限られない。例えば、プログラムモジュール1083やプログラムデータ1084は、着脱可能な記憶媒体に記憶されてもよい。この場合、CPU1020は、ディスクドライブなどの着脱可能な記憶媒体を介してデータを読み出す。また、同様に、制御処理対象フロー絞り込みプログラムに係るプログラムモジュール1083やプログラムデータ1084は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。この場合、CPU1020は、ネットワークインタフェース1070を介して他のコンピュータにアクセスすることで各種データを読み出す。   The program module 1083 and the program data 1084 related to the control processing target flow narrowing program are not limited to being stored in the hard disk drive 1080. For example, the program module 1083 and the program data 1084 may be stored in a removable storage medium. In this case, the CPU 1020 reads data via a removable storage medium such as a disk drive. Similarly, the program module 1083 and the program data 1084 related to the control processing target flow narrowing program are stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.). May be. In this case, the CPU 1020 reads various data by accessing another computer via the network interface 1070.

[その他]
なお、本実施形態で説明した制御処理対象フロー絞り込みプログラムは、インターネット等のネットワークを介して配布することができる。また、制御処理対象フロー絞り込みプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読取可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。 [Others]
Note that the control processing target flow narrowing program described in this embodiment can be distributed via a network such as the Internet. The control processing target flow narrowing program is recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD, and is executed by being read from the recording medium by the computer. You can also.

なお、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。   Of the processes described in this embodiment, all or part of the processes described as being performed automatically can be performed manually, or the processes described as being performed manually can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.

上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。   The above embodiments and modifications thereof are included in the invention disclosed in the claims and equivalents thereof as well as included in the technology disclosed in the present application.

10 制御処理対象フロー絞り込み装置
11 通信フロー受信部
12 復号化要否判定部
13 ステアリング設定部
14 SSL指示部
15 中継部
16 記憶部
17 フィードバック処理部
20 クライアント
21 AP
30 SSL暗号化/復号化装置
40 DPI装置
41 ウィルスチェック機能
42 ツイッター保管庫
43 オプティマイズ機能
50 サーバ
100 PCEF/DPI
200 PCRF DESCRIPTION OF SYMBOLS 10 Control processing object flow narrowing-down apparatus 11 Communication flow receiving part 12 Decoding necessity judgment part 13 Steering setting part 14 SSL instruction | indication part 15 Relay part 16 Memory | storage part 17 Feedback processing part 20 Client 21 AP
30 SSL encryption / decryption device 40 DPI device 41 Virus check function 42 Twitter storage 43 Optimization function 50 Server 100 PCEF / DPI
200 PCRF

Claims (8)

暗号化された通信フローを復号化することによって当該通信フローを検査することの要否を、復号化せずに取得できる当該通信フローの内容に基づいて判断する工程と、
検査不要と判断された通信フローを復号化せずに送信先へ転送し、検査要と判断された通信フローを復号化して検査する工程と、
を含むことを特徴とする制御処理対象フロー絞り込み方法。 Determining whether it is necessary to inspect the communication flow by decrypting the encrypted communication flow based on the content of the communication flow that can be acquired without decryption;
Transferring the communication flow determined to be unnecessary to the transmission destination without decoding, and decoding and inspecting the communication flow determined to be inspected;
A control processing target flow narrowing-down method, comprising: SSL(Secure Sockets Layer)に基づき暗号化された通信フローを復号化することによって当該通信フローに対してDPI(Deep Packet Inspection)を実行することの要否を、当該通信フローを復号化せずに取得できる当該通信フローの内容に基づいて判定する判定工程と、
DPIの実行要と判定された通信フローを復号化してDPIを実行し、DPIの実行不要と判定された通信フローを復号化せずに送信先へ転送する工程と、
を含むことを特徴とする制御処理対象フロー絞り込み方法。 Whether or not it is necessary to perform DPI (Deep Packet Inspection) on the communication flow by decrypting the communication flow encrypted based on SSL (Secure Sockets Layer) without decrypting the communication flow. A determination step of determining based on the content of the communication flow that can be acquired;
Decoding a communication flow determined to require execution of DPI, executing DPI, and transferring a communication flow determined to be unnecessary to execute DPI to a destination without decoding;
A control processing target flow narrowing-down method, comprising: 前記通信フローに対してDPIを実行することの要否の判定は、前記通信フローのクライアントハローメッセージに含まれるレコードヘッダ情報またはサーバ証明書に基づいて行うことを特徴とする請求項2に記載の制御処理対象フロー絞り込み方法。   The determination as to whether or not it is necessary to execute DPI for the communication flow is performed based on record header information or a server certificate included in a client hello message of the communication flow. Control process target flow narrowing method. 前記判定工程は、前記DPIの実行要と判定された通信フローに対するDPIの実行結果のフィードバックを利用することを特徴とする請求項2または3に記載の制御処理対象フロー絞り込み方法。   4. The control processing target flow narrowing-down method according to claim 2, wherein the determination step uses feedback of a DPI execution result for a communication flow determined to be required to execute the DPI. 前記フィードバックを受けて、DPIの実行要の通信フローとDPIの実行不要の通信フローとを当該通信フローの送信先URLに基づいて分類し記憶部に格納する格納工程をさらに含むことを特徴とする請求項4に記載の制御処理対象フロー絞り込み方法。   In response to the feedback, the information processing method further includes a storing step of classifying the communication flow requiring execution of DPI and the communication flow not requiring execution of DPI based on the destination URL of the communication flow and storing them in a storage unit. The control process target flow narrowing-down method according to claim 4. 前記記憶部は、複数のPCRF(Policy and Charging Rule Function)およびPCEF(Policy and Charging Enforcement Function)が共用することを特徴とする請求項5に記載の制御処理対象フロー絞り込み方法。   6. The control processing target flow narrowing method according to claim 5, wherein the storage unit is shared by a plurality of PCRF (Policy and Charging Rule Function) and PCEF (Policy and Charging Enforcement Function). 暗号化された通信フローを復号化することによって当該通信フローを検査することの要否を、復号化せずに取得できる当該通信フローの内容に基づいて判断する復号化要否判定部と、
検査不要と判断された通信フローを復号化せずに送信先へ転送し、検査要と判断された通信フローを復号化して検査させるよう制御する制御部と、
を備えることを特徴とする制御処理対象フロー絞り込み装置。 A decryption necessity determination unit that determines whether it is necessary to inspect the communication flow by decrypting the encrypted communication flow based on the content of the communication flow that can be acquired without decryption;
A control unit that controls the communication flow determined to be unnecessary to be transferred to the transmission destination without being decrypted, and the communication flow determined to be inspected is decrypted and inspected.
A control processing target flow narrowing-down apparatus comprising: SSL(Secure Sockets Layer)に基づき暗号化された通信フローを復号化することによって当該通信フローに対してDPI(Deep Packet Inspection)を実行することの要否を、当該通信フローを復号化せずに取得できる当該通信フローの内容に基づいて判定する判定部と、
DPIの実行要と判定された通信フローを復号化してDPIを実行し、DPIの実行不要と判定された通信フローを復号化せずに送信先へ転送するよう制御する制御部と、
を含むことを特徴とする制御処理対象フロー絞り込み装置。 Whether or not it is necessary to perform DPI (Deep Packet Inspection) on the communication flow by decrypting the communication flow encrypted based on SSL (Secure Sockets Layer) without decrypting the communication flow. A determination unit for determining based on the content of the communication flow that can be acquired;
A control unit that decodes the communication flow determined to be DPI-executable and executes DPI, and controls to transfer the communication flow that is determined not to be DPI-executed to the destination without decoding;
A control processing target flow narrowing-down apparatus, comprising:
JP2015025222A 2015-02-12 2015-02-12 Control processing target flow narrowing method and apparatus Active JP6243861B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015025222A JP6243861B2 (en) 2015-02-12 2015-02-12 Control processing target flow narrowing method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015025222A JP6243861B2 (en) 2015-02-12 2015-02-12 Control processing target flow narrowing method and apparatus

Publications (2)

Publication Number Publication Date
JP2016149633A true JP2016149633A (en) 2016-08-18
JP6243861B2 JP6243861B2 (en) 2017-12-06

Family

ID=56691836

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015025222A Active JP6243861B2 (en) 2015-02-12 2015-02-12 Control processing target flow narrowing method and apparatus

Country Status (1)

Country Link
JP (1) JP6243861B2 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006279938A (en) * 2005-03-01 2006-10-12 Matsushita Electric Works Ltd Decryption apparatus for use in encrypted communication
JP2012151831A (en) * 2011-01-19 2012-08-09 Ixia Fast ssl testing using pre-calculated cryptographic data

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006279938A (en) * 2005-03-01 2006-10-12 Matsushita Electric Works Ltd Decryption apparatus for use in encrypted communication
JP2012151831A (en) * 2011-01-19 2012-08-09 Ixia Fast ssl testing using pre-calculated cryptographic data

Also Published As

Publication number Publication date
JP6243861B2 (en) 2017-12-06

Similar Documents

Publication Publication Date Title
US10003616B2 (en) Destination domain extraction for secure protocols
US9749292B2 (en) Selectively performing man in the middle decryption
US10554420B2 (en) Wireless connections to a wireless access point
US9197616B2 (en) Out-of-band session key information exchange
EP3286896B1 (en) Scalable intermediate network device leveraging ssl session ticket extension
US9961103B2 (en) Intercepting, decrypting and inspecting traffic over an encrypted channel
US9294450B2 (en) Selectively performing man in the middle decryption
US9509663B2 (en) Secure distribution of session credentials from client-side to server-side traffic management devices
EP2632108B1 (en) Method and system for secure communication
EP2850770B1 (en) Transport layer security traffic control using service name identification
JP2022023942A (en) Client to cloud or remote server secure data or file object encryption gateway
EP4014425B1 (en) Secure publish-subscribe communication methods and apparatus
US10015208B2 (en) Single proxies in secure communication using service function chaining
KR101448866B1 (en) Security apparatus for decrypting data encrypted according to the web security protocol and operating method thereof
JP6243861B2 (en) Control processing target flow narrowing method and apparatus
Atutxa et al. Towards a quantum-safe 5G: Quantum Key Distribution in core networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160822

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170613

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170614

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170808

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171110

R150 Certificate of patent or registration of utility model

Ref document number: 6243861

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150