JP2016149633A - Refining method of controlling object flow and apparatus - Google Patents
Refining method of controlling object flow and apparatus Download PDFInfo
- Publication number
- JP2016149633A JP2016149633A JP2015025222A JP2015025222A JP2016149633A JP 2016149633 A JP2016149633 A JP 2016149633A JP 2015025222 A JP2015025222 A JP 2015025222A JP 2015025222 A JP2015025222 A JP 2015025222A JP 2016149633 A JP2016149633 A JP 2016149633A
- Authority
- JP
- Japan
- Prior art keywords
- communication flow
- dpi
- flow
- communication
- narrowing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、制御処理対象フロー絞り込み方法および装置に関する。 The present invention relates to a control processing target flow narrowing method and apparatus.
様々な情報が送受信されるネットワークにおいて高いセキュリティを実現するために多様な技術が考案されている。 Various technologies have been devised to achieve high security in networks in which various types of information are transmitted and received.
たとえば、危険情報の検知や制御を実行するためにDPI(Deep Packet Inspection)が利用されている。DPIは、IPパケットのヘッダ部分ではなくデータ部分に基づき当該IPパケットの処理方法を決定する機能である。 For example, DPI (Deep Packet Inspection) is used to detect and control danger information. The DPI is a function that determines the processing method of the IP packet based on the data portion instead of the header portion of the IP packet.
また、SSL(Secure Sockets Layer)を利用してOTT(Over The Top)サービスが提供されることが増えている。SSLは、TCP/IPネットワークでデータを暗号化して送受信するプロトコルの一つである。SSLにより、送受信するデータを暗号化すると同時に、通信相手が信頼できる相手であることの確認が実行される(非特許文献1参照)。 In addition, an OTT (Over The Top) service is increasingly provided using SSL (Secure Sockets Layer). SSL is one of protocols for encrypting and transmitting / receiving data on a TCP / IP network. With SSL, data to be transmitted / received is encrypted, and at the same time, confirmation that the communication partner is a reliable partner is executed (see Non-Patent Document 1).
しかしながら、上述したDPIによる処理は負荷が大きいため効率的な処理のためにはDPIの対象とする通信フローを絞り込むことが望ましい。 However, since the above-described processing by DPI is heavy, it is desirable to narrow down the communication flow targeted for DPI for efficient processing.
また、SSLを利用して通信フローを暗号化した場合、個人情報等を第三者に見られることを防止することができるが、同時に暗号化された通信フローの内容をチェックすることが難しい。このため、ウィルスの検知や危険情報の検知やペアレンタルコントロールのようにユーザにふさわしくない情報の検出が困難となる(非特許文献2、非特許文献3参照)。このため、SSL等を利用した場合であっても、効率的に危険情報等の検知を行うことができる技術の実現が望まれる。
In addition, when the communication flow is encrypted using SSL, it is possible to prevent personal information or the like from being viewed by a third party, but it is difficult to check the content of the encrypted communication flow at the same time. This makes it difficult to detect information that is not appropriate for the user, such as virus detection, danger information detection, and parental control (see Non-Patent
開示の実施形態は、上記に鑑みてなされたものであって、暗号化された通信フローが制御対象の場合であっても、制御処理対象とする通信フローを効率的に絞り込むことができる制御処理対象フロー絞り込み方法および装置を提供することを目的とする。 The disclosed embodiment has been made in view of the above, and is capable of efficiently narrowing down the communication flow to be controlled even if the encrypted communication flow is the control target. It is an object of the present invention to provide a target flow narrowing method and apparatus.
開示する制御処理対象フロー絞り込み方法および装置は、暗号化された通信フローを復号化することによって当該通信フローを検査することの要否を、復号化せずに取得できる当該通信フローの内容に基づいて判断し、検査不要と判断された通信フローを復号化せずに送信先へ転送し、検査要と判断された通信フローを復号化して検査することを特徴とする。 The disclosed control processing target flow narrowing method and apparatus is based on the content of the communication flow that can be acquired without decryption of the necessity of inspecting the communication flow by decrypting the encrypted communication flow. The communication flow determined to be unnecessary is transferred to the transmission destination without being decrypted, and the communication flow determined to be inspected is decrypted and inspected.
開示する制御処理対象フロー絞り込み方法および装置は、暗号化された通信フローが制御対象の場合であっても、制御処理対象とする通信フローを効率的に絞り込むことができるという効果を奏する。 The disclosed control processing target flow narrowing method and apparatus have an effect of efficiently narrowing down the communication flow to be controlled even if the encrypted communication flow is the control target.
(従来のSSL通信におけるハンドシェーク)
まず、図9を参照して、SSLを用いて暗号化された情報を送信する場合の処理の流れの一例について説明する。図9は、従来のSSL通信による処理の流れの一例について説明するための図である。
(Handshake in conventional SSL communication)
First, with reference to FIG. 9, an example of the flow of processing when transmitting information encrypted using SSL will be described. FIG. 9 is a diagram for explaining an example of a flow of processing by conventional SSL communication.
SSLを用いて通信を行う場合、クライアントに対してSSL暗号化/復号化装置のルート証明書が発行され、クライアントに保持される。ルート証明書は通信相手のデジタル証明書の正当性をチェックするために使用される。図9の例では、クライアントは、SSL暗号化/復号化装置の信頼性チェックのため、まえもってルート証明書の発行を受けルート証明書を保持する。 When performing communication using SSL, a root certificate of the SSL encryption / decryption device is issued to the client and held in the client. The root certificate is used to check the validity of the digital certificate of the communication partner. In the example of FIG. 9, the client receives a root certificate in advance and holds the root certificate for the reliability check of the SSL encryption / decryption device.
クライアントとサーバとの間で通信を行う際はまず、クライアントからサーバに対してClient Helloメッセージを送信し、使用する暗号化方式等を提案する。Client Helloメッセージにはたとえば、使用するプロトコルのバージョンや、クライアントが生成した乱数、セッションID、利用できる暗号スイートのリスト、圧縮方法等の情報が含まれる。図9では、クライアントが送信するClient HelloメッセージをSSL暗号化/復号化装置が受信する(図9の(1))。SSL暗号化/復号化装置は、受信したClient Helloメッセージ中、レコードプロトコルのレコードヘッダを付け替える。そして、SSL暗号化/復号化装置は、レコードヘッダを付け替えたClient Helloメッセージをサーバに送信する(図9の(2))。 When communicating between a client and a server, first, a client hello message is transmitted from the client to the server, and an encryption method to be used is proposed. The Client Hello message includes, for example, information such as the version of the protocol to be used, a random number generated by the client, a session ID, a list of available cipher suites, and a compression method. In FIG. 9, the SSL encryption / decryption device receives the Client Hello message transmitted by the client ((1) in FIG. 9). The SSL encryption / decryption device replaces the record header of the record protocol in the received Client Hello message. Then, the SSL encryption / decryption device transmits a Client Hello message with the record header replaced to the server ((2) in FIG. 9).
サーバは、レコードヘッダが付け替えられたClient Helloメッセージを受信すると、Client Helloメッセージに基づきSSL暗号化/復号化装置から提案された暗号化方式の中から適当なものを一つ選んで返答する(図9の(3))。これによって、サーバとSSL暗号化/復号化装置との間で暗号通信を行う際に使用する暗号化方式が決定される。 When the server receives the Client Hello message with the record header changed, the server selects and returns one appropriate encryption method proposed by the SSL encryption / decryption device based on the Client Hello message (see FIG. 9 (3)). As a result, the encryption method to be used when performing encrypted communication between the server and the SSL encryption / decryption device is determined.
また、SSL暗号化/復号化装置は、クライアントから提案された暗号化方式の中から適当なものを一つ選んで返答する(図9の(4))。これによって、クライアントとSSL暗号化/復号化装置との間で暗号通信を行う際に使用する暗号化方式が決定される。 Also, the SSL encryption / decryption device selects and returns an appropriate one of the encryption methods proposed by the client ((4) in FIG. 9). As a result, the encryption method to be used when performing encrypted communication between the client and the SSL encryption / decryption device is determined.
さらに、サーバは、SSL暗号化/復号化装置に対してCertificateメッセージを使ってサーバ証明書を送信する(図9の(5))。サーバ証明書は、サーバが信頼できるものであることを証明するためのデータであり、認証局(CA)名やサーバが使用する公開鍵、サーバの電子署名等の情報を含む。サーバはCertificateメッセージを送信し終わると、その旨を通知するメッセージを送信する。SSL暗号化/復号化装置は、クライアントに対してCertificateメッセージを使ってサーバ証明書を送信する(図9の(6))。 Further, the server transmits a server certificate using a Certificate message to the SSL encryption / decryption device ((5) in FIG. 9). The server certificate is data for certifying that the server is reliable, and includes information such as a certificate authority (CA) name, a public key used by the server, and an electronic signature of the server. When the server finishes sending the Certificate message, it sends a message to that effect. The SSL encryption / decryption device transmits a server certificate to the client using a Certificate message ((6) in FIG. 9).
クライアントは、受信したサーバ証明書からSSL暗号化/復号化装置の公開鍵を抽出する。そして、クライアントは、抽出した公開鍵を使用して暗号通信に使う共通鍵の基となる秘密の値(プレマスタ・シークレット)を暗号化して送信する(図9の(7)、(8))。 The client extracts the public key of the SSL encryption / decryption device from the received server certificate. Then, the client uses the extracted public key to encrypt and transmit a secret value (premaster secret) that is the basis of the common key used for encrypted communication ((7) and (8) in FIG. 9).
SSL暗号化/復号化装置は、サーバ証明書からサーバの公開鍵を抽出する。そして、SSL暗号化/復号化装置は、抽出した公開鍵を使用して暗号通信に使う共通鍵の基となる秘密の値(プレマスタ・シークレット)を暗号化して送信する(図9の(9)、(10))。 The SSL encryption / decryption device extracts the server public key from the server certificate. Then, the SSL encryption / decryption device encrypts and transmits a secret value (premaster secret) that is the basis of the common key used for encrypted communication using the extracted public key ((9) in FIG. 9). (10)).
サーバは、暗号化されたデータを受信すると自身の秘密鍵で復号化する。それによってサーバは、プレマスタ・シークレットを取得することができる。この一連の処理によってSSL暗号化/復号化装置とサーバとの間で暗号化の共通鍵の基となるプレマスタ・シークレットを共有することができる。 When the server receives the encrypted data, it decrypts it with its own secret key. As a result, the server can obtain the premaster secret. With this series of processing, the SSL encryption / decryption device and the server can share the premaster secret that is the basis of the encryption common key.
また同様に、SSL暗号化/復号化装置は、暗号化されたデータを受信すると自身の秘密鍵で復号化する。それによってSSL暗号化/復号化装置は、プレマスタ・シークレットを取得することができる。この一連の処理によってSSL暗号化/復号化装置とクライアントとの間で暗号化の共通鍵の基となるプレマスタ・シークレットを共有することができる。 Similarly, when the SSL encryption / decryption device receives the encrypted data, it decrypts it with its own private key. Thereby, the SSL encryption / decryption device can obtain the premaster secret. Through this series of processing, the SSL encryption / decryption device and the client can share the premaster secret that is the basis of the encryption common key.
以上の処理が終了すると、クライアントは一連の処理によって決定された暗号化方式の採用(Change Cipher Specメッセージ等)とハンドシェークの終了(Finishedメッセージ等)をSSL暗号化/復号化装置に通知する(図9の(11)、(12))。SSL暗号化/復号化装置も同様に、決定された暗号化方式の採用とハンドシェークの終了をクライアントに通知する(図9の(11)、(12))。これによってハンドシェークの処理が終了する。この後、クライアント、サーバおよびSSL暗号化/復号化装置は、共有したプレマスタ・シークレットからそれぞれの共通鍵を生成して、暗号通信を実行する。 When the above processing is completed, the client notifies the SSL encryption / decryption device of the adoption of the encryption method determined by the series of processing (Change Cipher Spec message, etc.) and the end of handshake (Finished message, etc.) (FIG. 9 (11), (12)). Similarly, the SSL encryption / decryption device notifies the client of the adoption of the determined encryption method and the end of the handshake ((11), (12) in FIG. 9). This completes the handshake process. Thereafter, the client, the server, and the SSL encryption / decryption device generate respective common keys from the shared premaster secret, and execute the cryptographic communication.
(従来のSSL通信における危険情報検出)
図10は、従来のSSL通信において危険情報を検出する際の処理の一例について説明するための図である。
(Danger information detection in conventional SSL communication)
FIG. 10 is a diagram for explaining an example of processing when detecting danger information in the conventional SSL communication.
SSL通信においては上記のように決定した暗号化方式に基づき通信内容が暗号化されるため、そのままでは危険情報等が含まれるか否かを検出することができない。たとえば、図10に示す例では、クライアント1がアクセスポイント(AP)2を介してエッジ3に接続される。そして、エッジ3とSSL暗号化/復号化装置4とがネットワークを介して接続される。SSL暗号化/復号化装置4はDPI処理を実施する機能を備えるDPI装置5と接続される。クライアント1は、OTT(Over The Top)等のサービスを提供するサーバ6のサービスを利用する場合、アクセスポイント2、エッジ3、SSL暗号化/復号化装置4を介してサーバ6と通信する。
In SSL communication, since the communication content is encrypted based on the encryption method determined as described above, it is impossible to detect whether or not danger information or the like is included as it is. For example, in the example shown in FIG. 10, the
ここで、SSL暗号化/復号化装置4は、クライアント1からの通信フローを受信すると、クライアント1側で通信フローをいったん終端する。また、SSL暗号化/復号化装置4はサーバ6との間で送受信する通信フローをサーバ6側でいったん終端する。これにより、SSL暗号化/復号化装置4は、ユーザ(クライアント1)側およびサーバ6側のそれぞれに別個のSSLセッションを確立する。そして、SSL暗号化/復号化装置4は、それぞれのSSLセッションにおいて送受信する通信フローの復号化を行ってDPI装置5に送信する。DPI装置5は復号化された通信フローに対する検査を実行して危険を検出する。
Here, when the SSL encryption /
(従来の危険情報検出における課題)
しかし、上記のような危険情報検出手法においては、以下の課題が存在する。まず、共通鍵として使用するデータのビット数にも依存するが、ビット数が大きくなるほどSSL暗号化/復号化装置には高い性能が要求される。このため、SSL暗号化/復号化装置が、ネットワークの通信品質の向上を限界づけるボトルネックとなってしまう。
(Challenges in conventional danger information detection)
However, the following problems exist in the danger information detection method as described above. First, although depending on the number of bits of data used as the common key, the SSL encryption / decryption device is required to have higher performance as the number of bits increases. For this reason, the SSL encryption / decryption device becomes a bottleneck that limits the improvement of the communication quality of the network.
また、上記の構成では、SSL暗号化/復号化装置はネットワークを流れるすべてのトラヒックについて復号化とDPIによる検査を実行する。DPIは、IPパケットのヘッダ部分だけでなくデータ部分に基づいて検査を実行する技術であり、処理負荷が大きい。このため、すべてのトラヒックに対してDPIを実行した場合、DPI装置も処理効率の向上を限界づけるボトルネックとなる。 In the above configuration, the SSL encryption / decryption device performs decryption and inspection by DPI for all traffic flowing through the network. DPI is a technique for performing an inspection based on not only the header portion of an IP packet but also the data portion, and has a heavy processing load. For this reason, when DPI is executed for all traffic, the DPI device also becomes a bottleneck that limits improvement in processing efficiency.
さらに、上記の構成のように、SSL暗号化/復号化装置がすべてのトラヒックについて同様の復号化、検査処理(DPI)を実施した場合、所定のデータのみを選択的にステアリングする等の処理が実現できない。たとえば、オプティマイズサービス等では、SSL復号化が必須であるが、上記構成のSSL暗号化/復号化装置では、かかるサービスのためにSSL復号化を実施し、実施したフローを選択的に当該サービスにステアリングすることができない。ツイッターログサービス等についても同様である。 Furthermore, as in the above configuration, when the SSL encryption / decryption device performs similar decryption and inspection processing (DPI) for all traffic, processing such as selectively steering only predetermined data is performed. Cannot be realized. For example, in an optimization service or the like, SSL decryption is indispensable, but the SSL encryption / decryption device configured as described above performs SSL decryption for such a service, and selectively executes the performed flow to the service. I cannot steer. The same applies to the Twitter log service.
(第1の実施形態)
以下に、開示する制御処理対象フロー絞り込み装置および制御処理対象フロー絞り込み方法の実施形態を図面に基づいて詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。また、各実施形態は適宜組み合わせることができる。
(First embodiment)
Hereinafter, embodiments of a control processing target flow narrowing device and a control processing target flow narrowing method disclosed will be described in detail based on the drawings. In addition, this invention is not limited by this embodiment. Moreover, each embodiment can be combined suitably.
(第1の実施形態に係る制御処理対象フロー絞り込み装置の構成の一例)
図1は、第1の実施形態に係る制御処理対象フロー絞り込みシステムの概略構成の一例を示す図である。
(Example of the configuration of the control processing target flow narrowing-down apparatus according to the first embodiment)
FIG. 1 is a diagram illustrating an example of a schematic configuration of a control processing target flow narrowing system according to the first embodiment.
図1に示す制御処理対象フロー絞り込みシステムは、制御処理対象フロー絞り込み装置10と、クライアント20と、SSL暗号化/復号化装置30と、DPI装置40と、サーバ50と、を備える。制御処理対象フロー絞り込み装置10とクライアント20とはネットワークを介して接続される。また、制御処理対象フロー絞り込み装置10は、SSL暗号化/復号化装置30とネットワークを介して接続される。SSL暗号化/復号化装置30は、復号化したデータの検査を実行するDPI装置40と接続される。制御処理対象フロー絞り込み装置10はまたOTT等のサービスを提供するサーバ50と接続される。制御処理対象フロー絞り込み装置10における処理を経てサーバ50へステアリングされたデータは、制御処理対象フロー絞り込み装置10からサーバ50へ送信される。
The control processing target flow narrowing system shown in FIG. 1 includes a control processing target
制御処理対象フロー絞り込み装置10は、受信する情報を通信フローごとに制御することができる装置である。制御処理対象フロー絞り込み装置10はたとえば、PCEF(Policy and Charging Enforcement Function)やPCRF(Policy and Charging Rule Function)である。また制御処理対象フロー絞り込み装置10はDPI機能を備えるように構成してもよい。
The control processing target flow narrowing-
制御処理対象フロー絞り込み装置10は、受信した通信フローの内容を識別して、各通信フローの内容に応じた制御を実行するために必要な情報を作成する。そして、制御処理対象フロー絞り込み装置10は、作成した情報に基づき、各通信フローの制御内容を決定する。そして、制御処理対象フロー絞り込み装置10は、決定した制御内容に応じた制御を実行する。たとえば、制御処理対象フロー絞り込み装置10は、各通信フローのステアリング、遮断、レートリミット等の制御を実行する。また、制御処理対象フロー絞り込み装置10は、各通信フローの制御を実行した結果に基づき、他のノードと通信する。たとえば、制御処理対象フロー絞り込み装置10は、復号化やDPI処理を実行すると決定した通信フローをSSL暗号化/復号化装置30に送信する。また、制御処理対象フロー絞り込み装置10は、復号化せずに直接送信先たとえばサーバ50に送信すると決定した通信フローをサーバ50に送信する。
The control processing target
クライアント20は、たとえばユーザが利用する携帯端末やパーソナルコンピュータ等の情報処理端末である。ユーザはクライアント20を用いてサーバ50等がネットワークを介して提供するサービスを利用するための情報をネットワーク上に送信する。
The
SSL暗号化/復号化装置30は、SSLを使用して暗号化された情報を復号化したり、SSLを使用して情報を暗号化したりする装置である。たとえば、SSL暗号化/復号化装置30はクライアント20に対してサーバ50が提供するサービスを実現するために送受信される情報を暗号化したり復号化したりする。また、SSL暗号化/復号化装置30は、制御処理対象フロー絞り込み装置10が受信した通信フローを復号化して内容の検査を行うと決定した場合に、当該通信フローを制御処理対象フロー絞り込み装置10から受信して復号化し、DPI装置40に渡す。
The SSL encryption /
DPI装置40は、制御処理対象フロー絞り込み装置10が受信した通信フローについて、復号化して内容の検査を行うと決定された場合に、SSL暗号化/復号化装置30から復号化された通信フローを受信し、DPIを実行する。DPI装置40はたとえば、ウィルスの有無判定等を実行し、検査結果を制御処理対象フロー絞り込み装置10に送信する。なお、図1の例では、DPI装置40はSSL暗号化/復号化装置30を介して制御処理対象フロー絞り込み装置10に接続されているが、DPI装置40は直接制御処理対象フロー絞り込み装置10に接続されるように構成してもよい。
When the
サーバ50は、ネットワークを介してクライアント20等にOTT等のサービスを提供する。
The
(制御処理対象フロー絞り込み装置の構成の一例)
制御処理対象フロー絞り込み装置10は、通信フロー受信部11と、復号化要否判定部12と、ステアリング設定部13と、SSL指示部14と、中継部15と、記憶部16と、を備える。
(Example of the configuration of the control processing target flow narrowing device)
The control processing target
復号化要否判定部12、ステアリング設定部13、SSL指示部14および中継部15は、CPU(Central Processing Unit)等任意の処理装置を用いて実現することができる。また、記憶部16は特に限定されず、以下に説明する情報を記憶することができれば任意の記憶装置を用いて実現することができる。また、これらの各構成要素は、必ずしも制御処理対象フロー絞り込み装置10と一体的に構成する必要はなく、たとえば記憶部16を制御処理対象フロー絞り込み装置10とは別体として構成してもよい。
The decoding
通信フロー受信部11は、クライアント20、SSL暗号化/復号化装置30およびサーバ50から送信される通信フローを受信する。なお、図1には制御処理対象フロー絞り込み装置10と接続される装置はクライアント20、SSL暗号化/復号化装置30、サーバ50の3つのみ示すが、このほかに任意の装置を接続してもよい。また、一つの制御処理対象フロー絞り込み装置10に対して、クライアント20やサーバ50を複数接続してもよい。
The communication
通信フロー受信部11が受信した通信フローは、復号化要否判定部12に送信される。復号化要否判定部12は、通信フロー受信部11が受信した通信フローのうち、復号化せずに内容判定できる部分に基づき、当該通信フローの復号化要否を判定する。たとえば、復号化要否判定部12は、通常のポリシー制御で想定されている値や、SSLセッションに特有の値を通信フローから抽出する。通常のポリシー制御で想定されている値としては、たとえば、3GPP(Third Generation Partnership Project)のGxインタフェースで規定されている値が挙げられる。たとえば、Session-ID、Origin-Host、Origin-Realm、Destination-Realm、Auth-Application-Id、CC-Request-Type、CC-Request-Number、Vender-ID、Feature-List-ID、Feature-List、Framed-IPv6-Prefix、Logical-Access-IDなどである。たとえば、復号化要否判定部12は、Client Helloメッセージにおけるレコードプロトコルで規定されているレコードヘッダ情報を抽出する。または、復号化要否判定部12は、サーバから送信されるCertificateメッセージのサーバ証明書に含まれる情報を抽出する。また、復号化要否判定部12は、ユーザ識別情報を抽出してもよい。たとえば、復号化要否判定部12は、SIM番号、VLAN番号、トンネル番号、電話番号等を抽出してもよい。また、このほか、URL,5tuple、アプリケーション等の情報を使用できる。そして、復号化要否判定部12は、抽出した情報や値に基づいて当該通信フローの復号化要否を判定する。たとえば、復号化要否判定部12は、通信フローに含まれるサーバ証明書を抽出して当該証明書により認証されるサーバが予め記憶部16に安全な装置として登録されている場合、復号化不要と判定する。復号化要否判定部12の判定手法は特に限定されず、通信フローをSSL復号化せずに抽出できる情報に基づいて判定できればよい。
The communication flow received by the communication
復号化要否判定部12の判定結果に基づき、ステアリング設定部13は、各通信フローをステアリングする。すなわち、ステアリング設定部13は、復号化要と判定された通信フローをSSL暗号化/復号化装置30に送信するようステアリングする。また、ステアリング設定部13は、復号化不要と判定された通信フローをSSL暗号化/復号化装置30に送信せず直接サーバ50等に送信するようステアリングする。
Based on the determination result of the decoding
SSL指示部14は、ステアリング設定部13によりSSL暗号化/復号化装置30にステアリングされた通信フローを復号化してDPI装置40による検査を実行するようSSL暗号化/復号化装置30に指示する。また、SSL指示部14は、通信フローをSSL暗号化/復号化装置30に送信する。
The
中継部15は、ステアリング設定部13の設定に基づき、各通信フローを他ノードに送信する。ステアリング設定部13、SSL指示部14および中継部15は、復号化要否判定部12によりDPIの実行要と判定された通信フローを復号化してDPIを実行し、DPIの実行不要と判定された通信フローを復号化せずに送信先へ転送するよう制御する制御部である。
The
記憶部16は、復号化要否判定のための情報を記憶する。たとえば、所定のURLやサーバが信頼できることが予め判明している場合、当該URLや当該サーバからの通信フローについては復号化およびDPI検査は実行せずに、直接送信先へ送ればよい。そこで、たとえば、「復号化要」のURL等と、「復号化不要」のURL等とを予め記憶部16に格納しておく。そして、復号化要否判定部12は、記憶部16に格納された情報を参照して、受信した通信フローの復号化要否を判定する。
The
(第1の実施形態に係る制御処理対象フロー絞り込み方法の流れの一例)
図2は、第1の実施形態に係る制御処理対象フロー絞り込み処理の流れの一例を示すフローチャートである。制御処理対象フロー絞り込み装置10は、まず暗号化された通信フローを受信する(ステップS21)。そして、制御処理対象フロー絞り込み装置10は、当該通信フローの復号化の要否すなわちDPIの要否を判定する(ステップS22)。そして、復号化要と判定した場合(ステップS23、YES)、制御処理対象フロー絞り込み装置10は、当該通信フローをSSL暗号化/復号化装置30およびDPI装置40に送信し、復号化およびDPIを実行させる(ステップS24)。他方、復号化不要と判定した場合(ステップS23、NO)、制御処理対象フロー絞り込み装置10は、当該通信フローをSSL暗号化/復号化装置30に送信せず、そのまま送信先に転送する(ステップS25)。
(Example of flow of control process target flow narrowing method according to the first embodiment)
FIG. 2 is a flowchart illustrating an example of the flow of the control process target flow narrowing process according to the first embodiment. The control process target
ステップS24において、復号化要の通信フローの復号化および検査が終了すると、検査結果を制御処理対象フロー絞り込み装置10に通知する(ステップS26)。検査の結果、当該通信フローが悪意ある通信フローたとえばウィルスを含む通信フローであると判定された場合(ステップS27、YES)、当該通信フローを送信先には転送せず遮断する(ステップS28)。他方、当該通信フローが悪意ある通信フローすなわち悪性フローではないと判定された場合(ステップS27、NO)、制御処理対象フロー絞り込み装置10は、ステップS25に進み、当該通信フローを送信先へ転送する。これによって制御処理対象フロー絞り込み処理が終了する。
In step S24, when the decryption and inspection of the communication flow requiring decryption is completed, the inspection result is notified to the control processing target flow narrowing device 10 (step S26). As a result of the inspection, when it is determined that the communication flow is a malicious communication flow, for example, a communication flow including a virus (step S27, YES), the communication flow is blocked without being transferred to the transmission destination (step S28). On the other hand, when it is determined that the communication flow is not a malicious communication flow, that is, a malignant flow (NO in step S27), the control process target
(第1の実施形態の効果)
このように、第1の実施形態においては、制御処理対象フロー絞り込み装置は、暗号化された通信フローを復号化することによって当該通信フローを検査することの要否を、復号化せずに取得できる当該通信フローの内容に基づいて判断する。そして、制御処理対象フロー絞り込み装置は、検査不要と判断された通信フローを復号化せずに送信先へ転送し、検査要と判断された通信フローを復号化して検査する。このため、すべての通信フローについて復号化および検査を実行する場合と比較して、暗号化された通信フローが制御対象の場合であっても、制御処理対象とする通信フローを効率的に絞り込むことができる。このため、通信フローにかかる処理負荷を減じ処理効率を向上させることができる。
(Effects of the first embodiment)
As described above, in the first embodiment, the control processing target flow narrowing-down apparatus acquires, without decryption, whether or not it is necessary to inspect the communication flow by decrypting the encrypted communication flow. The determination is made based on the content of the communication flow that can be performed. Then, the control processing target flow narrowing-down apparatus transfers the communication flow determined not to be inspected to the transmission destination without decoding, and decodes and inspects the communication flow determined to be inspected. For this reason, compared with the case where decryption and inspection are performed for all communication flows, even if the encrypted communication flow is a control target, the communication flow targeted for control processing is efficiently narrowed down. Can do. For this reason, the processing load concerning a communication flow can be reduced and processing efficiency can be improved.
(第1の実施形態の変形例1−フィードバックに基づくステアリング)
第1の実施形態にかかる制御処理対象フロー絞り込み装置10は、復号化の要否を判定して判定結果に基づき通信フローをステアリングした。これに対して、SSL暗号化/復号化装置30およびDPI装置40における処理の結果に基づいて、その後受信する通信フローのステアリング制御を実行するようにしてもよい。第1の実施形態の変形例1としてかかる実施形態を説明する。
(
The control processing target
図3は、第1の実施形態の制御処理対象フロー絞り込みシステムの変形例1を説明するための図である。図3に示す制御処理対象フロー絞り込み装置10Aは、第1の実施形態にかかる制御処理対象フロー絞り込み装置10とほぼ同様の構成であるが、フィードバック処理部17を備える点が相違する。また、制御処理対象フロー絞り込み装置10Aは、記憶部16A中にステアリング用データベース(DB)を備える点が第1の実施形態と異なる。以下、第1の実施形態と異なる点について主に説明する。
FIG. 3 is a diagram for explaining a first modification of the control processing target flow narrowing system according to the first embodiment. A control processing target flow narrowing device 10A shown in FIG. 3 has substantially the same configuration as the control processing target
制御処理対象フロー絞り込み装置10Aが備える通信フロー受信部11A、復号化要否判定部12A、ステアリング設定部13A、SSL指示部14A、中継部15Aの構成および機能は、第1の実施形態の通信フロー受信部11、復号化要否判定部12、ステアリング設定部13、SSL指示部14、中継部15と同様である。このため、これらの構成要素についての説明は省略する。なお、クライアント20A、SSL暗号化/復号化装置30A、DPI装置40Aおよびサーバ50Aの構成および機能も図1のクライアント20、SSL暗号化/復号化装置30、DPI装置40およびサーバ50と同様であるため説明は省略する。
The configuration and functions of the communication
フィードバック処理部17は、SSL暗号化/復号化装置30Aに送信されて復号化され、DPI装置40AでDPI処理された通信フローの処理結果のフィードバック情報を受信する。そして、フィードバック処理部17は、フィードバック情報に基づき、以後制御処理対象フロー絞り込み装置10Aが受信する通信フローのステアリング制御を調整する。また、フィードバック処理部17は、受信した処理結果を解析して、以後の復号化要否判定に使用するため記憶部16Aのステアリング用データベース(DB)に格納する。
The
たとえば、DPI装置40Aによる解析の結果、所定のURLが悪意あるURLと判断された場合、当該URLを記憶部16Aに記憶し、以後当該URLからのアクセスを遮断する。また、DPI装置40Aによる解析の結果、所定のURLが悪意のないURLと判断された場合、当該URLを記憶部16Aに記憶し、以後当該URLからの通信フローについては復号化およびDPI装置40Aによる検査は不要とする。 For example, if a predetermined URL is determined to be a malicious URL as a result of analysis by the DPI device 40A, the URL is stored in the storage unit 16A, and access from the URL is blocked thereafter. If the predetermined URL is determined to be non-malicious as a result of analysis by the DPI device 40A, the URL is stored in the storage unit 16A. Thereafter, the communication flow from the URL is decrypted by the DPI device 40A. Inspection is not required.
このように、予め判明している情報に加えて、SSL暗号化/復号化装置30AおよびDPI装置40Aでの処理結果のフィードバックを利用することにより、復号化要否判定の精度と効率を向上させることができる。また、このように復号化要否判定の精度を上げることで、SSL暗号化/復号化装置30Aの処理負荷を低減することができる。 In this way, in addition to the information that has been known in advance, the accuracy and efficiency of the necessity determination of decryption is improved by using the feedback of the processing results in the SSL encryption / decryption device 30A and the DPI device 40A. be able to. Further, by increasing the accuracy of the necessity determination of decryption in this way, the processing load on the SSL encryption / decryption device 30A can be reduced.
(第1の実施形態の変形例2−SSL通信未対応機器への対処)
第1の実施形態に係る制御処理対象フロー絞り込み処理においては、復号化およびDPI後の通信フローは再び暗号化して送信先に送信するものとした。しかし、これに限定されず、たとえば、制御処理対象フロー絞り込み装置10をSSL通信に対応していないネットワークと接続し、当該ネットワーク上でサービスを提供している装置に対しては復号化した通信フローを送信するものとしてもよい。
(
In the control process target flow narrowing process according to the first embodiment, the communication flow after decryption and DPI is encrypted again and transmitted to the transmission destination. However, the present invention is not limited to this, and for example, the control processing target flow narrowing-
たとえば、図4は第1の実施形態に係る制御処理対象フロー絞り込みシステムの変形例2を説明するための図である。図4の(1)では、クライアントとPCEF/DPIとをつなぐネットワークも、PCEF/DPIとOTTとをつなぐネットワークもSSL通信に対応している。これに対して、図4の(2)のようにPCEF/DPIとOTTとをつなぐネットワークがSSL通信に対応していないというケースも考えられる。たとえば、OTTがSSLに未対応であって、ユーザが空港の無線LAN(暗号化なし)を使用して安全な通信を行いたい場合等が考えられる。このような場合には、クライアントと制御処理対象フロー絞り込み装置との間はSSL通信を行い、制御処理対象フロー絞り込み装置とOTTとの間は復号化したデータを流す。
For example, FIG. 4 is a diagram for explaining a
(第1の実施形態の変形例3−復号化とDPI)
第1の実施形態に係る制御処理対象フロー絞り込み処理においては、復号化要と判定された通信フローはすべて復号化およびDPIの処理を受けるものとした。しかし、これに限定されず、たとえば、復号化された通信フローでなければ処理できないが信頼性の高いサーバ等が送信先である場合などは、通信フローの復号化のみを行い、DPIは行わないようにステアリングしてもよい。
(
In the control processing target flow narrowing-down process according to the first embodiment, all communication flows determined to be decrypted are subjected to decryption and DPI processing. However, the present invention is not limited to this. For example, when a decrypted communication flow can be used for processing, but a highly reliable server or the like is a destination, only the communication flow is decrypted and DPI is not performed. You may steer like this.
このように柔軟に通信フローのステアリングを行うことで、送信先の装置や提供されるサービスに応じて効率的なステアリングを実現することができ、通信効率を向上させることができる。 By flexibly steering the communication flow in this way, efficient steering can be realized according to the transmission destination device and the service provided, and communication efficiency can be improved.
(第2の実施形態)
図5は、第2の実施形態に係る制御処理対象フロー絞り込みシステムの概略構成の一例を示す図である。図5に示すように、第2の実施形態に係る制御処理対象フロー絞り込みシステムは、PCEF(Policy and Charging Enforcement Function)/DPI100とPCRF(Policy and Charging Rule Function)200とを備える。図5の例では、第1の実施形態の制御処理対象フロー絞り込み装置を、PCEF/DPI100およびPCRF200によって実現する。
(Second Embodiment)
FIG. 5 is a diagram illustrating an example of a schematic configuration of a control processing target flow narrowing system according to the second embodiment. As shown in FIG. 5, the control processing target flow narrowing system according to the second embodiment includes a PCEF (Policy and Charging Enforcement Function) /
PCRF200はSSLに基づき暗号化された通信フローを復号化することによって当該通信フローに対してDPIを実行することの要否を、当該通信フローを復号化せずに取得できる当該通信フローの内容に基づいて判定する判定部として機能する。
The
また、PCRF200は、DPIの実行要と判定された通信フローについてどのような内容でDPIを実行するかをDPIに指示し、PCEF100に対して当該通信フローをどのように転送するか、ステアリング指示する。つまり、PCRF200は、DPIの実行要と判定した通信フローのステアリング指示を実行するようPCEF100へ指示し、DPIの実行不要と判定された通信フローは送信先へ転送するようPCEF/DPI100へ指示する制御を実行する。言い換えると、PCRF200は、DPIの実行不要と判定された通信フローを復号化せずに送信先へ転送し、DPIの実行要と判断された通信フローを復号化して検査させるよう制御する制御部として機能する。
In addition, the
図5中、クライアント20Bはアクセスポイント21を介してネットワークに接続される。クライアント20Bからの通信フローはPCEF/DPI100によって受信される。PCEF/DPI100はSSL暗号化/復号化装置30Bと接続される。SSL暗号化/復号化装置30BはDPI装置40Bと接続される。DPI装置40Bは、ウィルスチェック機能41、ツイッター保管庫42、オプティマイズ機能43等の機能部と接続される。また、DPI装置40BはPCRF200と接続される。PCEF/DPI100はネットワークを介してOTT50Bとも接続される。
In FIG. 5, the
図5に示すPCEF/DPI100は、受信する通信フローの内容を識別して、当該通信フローの制御判断のための情報を作成する。また、PCEF/DPI100は、PCRF200からの指示に基づき、通信フローを制御する。たとえば、PCEF/DPI100は、通信フローのステアリングや、遮断、レートリミット等の制御を実行する。また、PCEF/DPI100は、SSL暗号化/復号化装置30BやDPI装置40Bにおける処理の結果に基づき、通信フローを制御する。
The PCEF /
PCEF/DPI100は、通信フローをフロー単位で切り分けて制御することができる。このため、PCEF/DPI100を用いることで、通信フローごとに制御内容、たとえば、復号化するか否か等の制御内容を変えることができる。具体的にはPCEF/DPI100のうち、PCEFは、5tuple等のレイヤー3の情報までを識別する。そして、PCEF/DPI100のうち、DPIは、レイヤー7の情報までを識別する。このため、PCRF200が復号化するか否かの判断を実行した上で、PCEF/DPI100に指示することで、様々な制御内容を実行することができる。PCEF/DPI100は、通信フローをフロー単位に切り分けるために、たとえば、通常のポリシー制御で想定されている値や、SSLセッションに特有の値を用いることができる。通常のポリシー制御で想定されている値としては、たとえば、3GPP(Third Generation Partnership Project)のGxインタフェースで規定されている値が挙げられる。たとえば、Session-ID、Origin-Host、Origin-Realm、Destination-Realm、Auth-Application-Id、CC-Request-Type、CC-Request-Number、Vender-ID、Feature-List-ID、Feature-List、Framed-IPv6-Prefix、Logical-Access-IDなどである。SSLセッションに特有の値としては、たとえば、Client Helloメッセージのレコードプロトコルで規定されているレコードヘッダ情報が挙げられる。また、サーバから送信されるCertificateメッセージにより送付されるサーバ証明書の情報を用いることもできる。また、たとえばPCEF/DPI100は、SIM番号、VLAN番号、トンネル番号、電話番号等のユーザ識別情報を用いて通信フローを切り分けてもよい。また、このほか、URL,5tuple、アプリケーション等の情報を使用できる。
The PCEF /
PCEF/DPI100は、通信フローを切り分けるとともに、当該通信フローの内容を識別し制御内容を決定するための情報を作成する。たとえば、PCEF/DPI100は、通常のポリシー制御で想定されている値や、SSLセッションに特有の値を用いて、通信フローの内容を識別し制御内容を決定するための情報を作成する。ここで用いる通常のポリシー制御で想定されている値やSSLセッションに特有の値は、PCEF/DPI100が通信フローをフロー単位に切り分けるために用いる値と同様である。PCEF/DPI100は、作成した制御内容を決定するための情報を、PCRF200に送信する。
The PCEF /
また、PCEF/DPI100は、PCRF200が決定したフロー制御内容に基づく制御を実行する。たとえば、PCEF/DPI100は、通信フローのステアリングや遮断、レートリミット等の制御を実行する。さらに、通信フローに対してPCRF200が決定したフロー制御内容に基づく制御を実行した結果をもとに他ノードとの通信を実行する。たとえば、PCEF/DPI100は、通信フローに対して復号化とDPIによる検査を実行した結果、ウィルスが発見された場合に当該通信フローの破棄等を実行する。
Further, the PCEF /
PCRF200は、PCEF/DPI100が受信した通信フローにつき、PCEF/DPI100が作成した通信フローの制御判断のための情報を参照して、制御内容を決定する。また、PCRF200は、通信フローの制御結果に基づき、他のノードとの通信処理の内容を設定する。PCRF200が決定した制御内容はPCEF/DPI100に通知され、PCEF/DPI100はPCRF200の決定した制御内容に基づき制御を実行する。
For the communication flow received by the PCEF /
PCRF200は、PCEF/DPI100から送信される情報に基づき、各通信フローに対する制御内容を決定する。たとえば、PCRF200は、当該通信フローに対して復号化およびDPIによる検査を実行するか否かを決定する。また、PCRF200は、当該通信フローをそのまま送信先に送信する処理の実行を決定する。また、PCRF200は、DPI装置40Bが通信フローごとにアクセス制御や暗号化が必要な装置(ウィルスチェック機能41等)へステアリングを実行するようDPI装置40Bを制御する。PCRF200は、通信フローの制御結果に基づき他ノードと通信するようPCEF/DPI100を制御する。すなわち、PCRF200は、DPI装置40Bにおける処理結果をPCEF/DPI100へフィードバックする。
The
SSL暗号化/復号化装置30Bは、OTT50Bとクライアント20Bとの間で提供されるサービスのために送受信される情報を復号化し、暗号化する。また、SSL暗号化/復号化装置30Bは、復号化した通信フローをDPI装置40Bに送信する。
The SSL encryption /
DPI装置40Bは、PCRF200の制御に基づきDPIを実行する。また、DPI装置40Bは、DPIの結果をPCRF200に通知する。
The
なお、クライアント20B、SSL暗号化/復号化装置30B、DPI装置40B、OTT50Bは各々、図1のクライアント20、SSL暗号化/復号化装置30、DPI装置40、サーバ50に概ね対応し、機能も同様である。
The
第2の実施形態に係る制御処理対象フロー絞り込みシステムでは、通信フローをフロー単位で制御することができるPCEF/DPI100と、PCRF200とを設置することで、フロー単位で復号化する制御処理対象フローを絞り込む。すなわち、PCEF/DPI100を用いてSSL暗号化/復号化させる通信フローの数をできるだけ抑制する。また、SSL暗号化/復号化装置30BおよびDPI装置40Bでの処理結果をPCRF200に通知することにより、復号化の結果を考慮したフロー制御を実現する。かかる処理を実現するため、PCEF/DPI100は、復号化要否を判断するための情報を通信フローから抽出してPCRF200に送信する。PCRF200は、通信フローごとにアクセス制御やステアリング制御の内容を決定し、DPI装置40Bに制御を指示する。また、DPI装置40Bは、DPIの結果をPCRF200に通知する。PCRF200はDPIの結果を加味して、さらに制御内容を決定して、PCEF/DPI100に通知する。このように、PCEF/DPI100、PCRF200、SSL暗号化/復号化装置30BおよびDPI40Bが動作することにより、復号化対象となる通信フローを絞り込む。
In the control processing target flow narrowing system according to the second embodiment, the PCEF /
図6は、第2の実施形態に係る制御処理対象フロー絞り込み処理の流れの一例を示すフローチャートである。図6に示すように、まず、PCEF/DPI100がクライアント20Bから通信フローを受信する(ステップS601)。なお、ここではクライアント20Bからの通信フローを例に説明するが、OTT50Bが送信する通信フローについても同様の処理が実行される。
FIG. 6 is a flowchart illustrating an example of the flow of the control process target flow narrowing process according to the second embodiment. As shown in FIG. 6, first, the PCEF /
PCEF/DPI100は、受信した通信フローから復号化要否判定のための情報を抽出する(ステップS602)。たとえば、PCEF/DPI100は、上述の通常のポリシー制御で想定されている値や、SSLセッション特有の値を抽出する。
The PCEF /
次に、PCEF/DPI100は、抽出した情報をPCRF200に送信する。PCRF200は、受信した情報に基づき復号化の要否を判定する(ステップS603)。たとえば、受信した情報が、信頼性の高いサーバからの情報であることを示している場合には、PCRF200は復号化不要と判定する。
Next, the PCEF /
そして、PCRF200は、復号化要否判定の結果に基づき、当該通信フローの送信経路を決定し設定するステアリング設定を行う(ステップS604)。たとえば、PCRF200が、当該通信フローは復号化してDPI処理を行うと決定した場合、当該通信フローをSSL暗号化/復号化装置30B、DPI装置40Bに送信するステアリング設定を行う。そして、PCRF200は、PCEF/DPI100およびDPI装置40Bに対して、当該通信フローをステアリング設定に基づき処理するよう通知する。PCEF/DPI100は、PCRF200の指示に基づき、通信フローをSSL暗号化/復号化装置30Bに送信し復号化させる(ステップS605)。さらに、PCEF/DPI100は、当該通信フローをDPI装置40Bに送信させ、DPI処理を実行させる(ステップS605)。
Then, the
DPI装置40Bでの処理結果および制御結果はDPI装置40BからPCRF200に送信される(ステップS606)。PCRF200は、DPI装置40Bでの処理結果および制御結果を加味して、当該通信フローの制御内容を更新し、PCEF/DPI100に指示する(ステップS607)。PCEF/DPI100は、PCRF200からの制御指示に基づき、再び暗号化された当該通信フローをOTT50Bに送信する等の制御を実行する(ステップS608)。これで、制御処理対象フロー絞り込みの一例が終了する。
The processing results and control results in the
なお、図6のフローは通信フローに対して復号化およびDPIを実行する例としたが、PCRF200が決定する制御内容に応じて、復号化およびDPIを実行せずに通信フローをそのまま送信するケース、復号化およびDPIの結果通信フローを遮断するケース等がある。
The flow in FIG. 6 is an example in which decoding and DPI are executed on the communication flow, but the communication flow is transmitted as it is without executing decoding and DPI according to the control content determined by the
(第2の実施形態に係る制御処理対象フロー絞り込み処理の流れの例)
図7は、第2の実施形態に係る制御処理対象フロー絞り込み処理の流れの一例を説明するためのシーケンスチャートである。図7を参照して、第2の実施形態に係る処理の流れの一例を説明する。
(Example of flow of control process target flow narrowing process according to the second embodiment)
FIG. 7 is a sequence chart for explaining an example of the flow of the control process target flow narrowing process according to the second embodiment. With reference to FIG. 7, an example of the flow of processing according to the second embodiment will be described.
まず、PCEF/DPI100は、Client Hello等の呼を受信すると、CCR−I(Credit-Control-Request Initialization)メッセージをPCRF200に送信する(図7の(1))。このメッセージを送信することで、PCEF/DPI100は、PCFR200に対してSSL暗号化・復号化の要否判断を要求する。このとき、PCEF/DPI100は、受信した呼が含む情報であって暗号化/復号化の要否判定の基礎となる情報を抽出し、PCRF200に送信する。
First, when receiving a call such as Client Hello, the PCEF /
PCRF200は、CCR−Iを受信して、当該通信フローに対する制御内容を決定する。そして、PCRF200は、PCEF/DPI100に対して、制御内容(たとえばステアリングの内容)を指示するCCA(Credit-Control-Answer)を送信する。図7では、PCRF200は復号化を指示するCCAを送信したものとする(図7の(2))。
The
PCRF200はまた、DPI装置40Bに対して決定した制御(ステアリング等)を実行するよう指示するRAR(Reauthorization Request) DPIを送信する。ここでは、PCRF200はDPIの実行を指示するRARを送信したものとする(図7の(3))。DPI装置40Bは、RARに応答してRAA(Reauthorization Answer)をPCRF200に返す(図7の(4))。
The
また、PCEF/DPI100はSSL暗号化/復号化装置30Bに対してSSLプロキシ動作を実行するよう指示する。SSL暗号化/復号化装置30Bは指示に応じた処理を実行する(図7のU-Plane-(1))。
Further, the PCEF /
また、SSL暗号化/復号化装置30Bは、DPI装置40Bに対して通信フローを送信する(図7のU-Plane-(2))。DPI装置40Bは、PCRF200から指示された内容に基づき処理を実行する。また、PCRF200からウィルスチェック機能41、ツイッター保管庫42、オプティマイズ機能43等での処理を指示されている場合、DPI装置40Bからこれらの機能部にデータを送信するステアリング制御が行われ処理が実行される(図7のU-Plane-(3))。DPI装置40Bは処理が完了した後、処理結果および制御結果をPCRF200に通知する。
Further, the SSL encryption /
PCRF200は、DPI装置40Bからの通知を受信し、PCEF/DPI100に対する制御指示を送信する。すなわち、PCRF200は、PCEF/DPI100にRARを送信する(図7の(5))。PCEF/DPI100は、PCRF200にRAAを返し(図7の(6))、制御を実行する。SSL暗号化/復号化装置30Bは、DPI装置40B等での処理が完了すると再び通信フローを暗号化してPCEF/DPI100に送信する。なお、図7中、「U-Plane」はユーザプレーンを意味する。
The
(第2の実施形態の効果)
このように、第2の実施形態に係る制御処理対象フロー絞り込み方法は、SSLに基づき暗号化された通信フローを復号化することによって当該通信フローに対してDPIを実行することの要否を、当該通信フローを復号化せずに取得できる当該通信フローの内容に基づいて判定する判定工程を含む。また、制御処理対象フロー絞り込み方法は、DPIの実行要と判定された通信フローを復号化してDPIを実行し、DPIの実行不要と判定された通信フローを復号化せずに送信先へ転送する工程を含む。
(Effect of 2nd Embodiment)
As described above, the control processing target flow narrowing method according to the second embodiment determines whether it is necessary to execute DPI on the communication flow by decrypting the communication flow encrypted based on SSL. And a determination step of determining based on the content of the communication flow that can be acquired without decoding the communication flow. In addition, the control processing target flow narrowing-down method decodes a communication flow determined to require execution of DPI, executes DPI, and transfers a communication flow determined to not require execution of DPI to a transmission destination without decoding. Process.
このため、SSL暗号化された通信フローであっても、復号化せずに抽出できる情報を基に、復号化の要否を判定して制御することができる。このため、暗号化された通信フローが制御対象の場合であっても、制御処理対象とする通信フローを効率的に絞り込むことができる。 For this reason, even if the communication flow is SSL-encrypted, it is possible to determine and control the necessity of decryption based on information that can be extracted without decryption. For this reason, even if the encrypted communication flow is a control target, it is possible to efficiently narrow down the communication flow to be controlled.
また、第2の実施形態に係る制御処理対象フロー絞り込み方法においては、通信フローに対してDPIを実行することの要否の判定は、通信フローのクライアントハローメッセージに含まれるレコードヘッダ情報またはサーバ証明書に基づいて行う。このため、暗号化された通信フローであっても容易に信頼度を判定して、復号化してウィルスチェック等の検査まで行うか否かを判断することができる。 In the control processing target flow narrowing method according to the second embodiment, whether or not it is necessary to execute DPI for a communication flow is determined by the record header information or the server certificate included in the client hello message of the communication flow. Based on the letter. For this reason, even in an encrypted communication flow, it is possible to easily determine the reliability, determine whether to perform decryption and inspection such as virus check.
また、第2の実施形態に係る制御処理対象フロー絞り込み方法においては、DPIの実行要と判定された通信フローに対するDPIの実行結果のフィードバックを受けて、DPIの実行要否判定に利用する。このため、DPI結果を利用してさらに処理対象とするフローを絞り込むことができ、処理効率を累進的に高めることができる。 Also, in the control processing target flow narrowing method according to the second embodiment, feedback of the DPI execution result for the communication flow determined to be DPI execution is received and used to determine whether or not DPI is to be executed. For this reason, the flow to be processed can be further narrowed down using the DPI result, and the processing efficiency can be progressively increased.
また、第2の実施形態に係る制御処理対象フロー絞り込み方法は、フィードバックを受けて、DPIの実行要の通信フローとDPIの実行不要の通信フローとを当該通信フローの送信先URLに基づいて分類し記憶部に格納する格納工程をさらに含む。また、記憶部は、複数のPCRFおよびPCEFが共用してもよい。このため、DPIの実行結果を記憶して、他のPCRFやPCEF/DPIが共有し利用することができ、さらに処理効率を高めることができる。 In addition, the control processing target flow narrowing method according to the second embodiment receives feedback and classifies communication flows that require execution of DPI and communication flows that do not require execution of DPI based on the destination URL of the communication flow. And a storing step of storing in the storage unit. The storage unit may be shared by a plurality of PCRFs and PCEFs. For this reason, the execution result of DPI can be stored and shared and used by other PCRFs and PCEF / DPI, and the processing efficiency can be further improved.
(第3の実施形態)
なお、図5の第2の実施形態の構成例では、SSL暗号化/復号化装置30BとPCRF200とは直接接続しない構成とした。しかし、これに限定されず、たとえば、SSL暗号化/復号化装置30BとPCRF200とを接続して、SSL暗号化/復号化装置30BとPCRF200とが連携するように構成してもよい。
(Third embodiment)
In the configuration example of the second embodiment in FIG. 5, the SSL encryption /
たとえば、DPI処理の結果、以後DPIが不要と判断された場合等に、SSL暗号化/復号化装置30BからPCRF200にDPIステアリングを停止するよう通知する。そして、PCRF200がステアリング停止設定を実行し、PCEF/DPI100に指示するよう構成してもよい。
For example, if it is determined that DPI is unnecessary as a result of the DPI processing, the SSL encryption /
たとえば、図5においてSSL暗号化/復号化装置30BとPCRF200との間が接続されているとする。この場合に、SSL暗号化/復号化装置30Bは、復号化結果をPCRF200に送信する。PCRF200は、受信した復号化結果にもとづき、当該データをDPI装置40Bへステアリングするか否かを決定する。またPCRF200は、受信した復号化結果に基づき、ウィルスチェック41等のDPI装置40B配下に配置されるサービスを使用するか否かを決定する。すなわち、PCRF200は、復号化されたフローをDPI装置40B配下のサービスに送信するか否かを決定する。PCRF200は、決定した内容をSSL暗号化/復号化装置30Bに指示する。
For example, in FIG. 5, it is assumed that the SSL encryption /
SSL暗号化/復号化装置30Bは、PCRF200からの指示を受信して、DPI装置40Bによる処理およびDPI装置40B配下のサービスを利用するか否か判別する。たとえば、SSL暗号化/復号化装置30Bは、ウィルスチェック機能41、ツイッター保管庫、オプティマイズ機能43等のDPI装置40B配下のサービスを利用するか否かを判別する。そして、SSL暗号化/復号化装置30BからDPI装置40Bに指示してDPIおよび付加的なサービスのうち、利用すると判別された処理を実行する。
The SSL encryption /
また、DPIを仮想化して、複数のSSL暗号化/復号化装置がDPIを共用することができるように構成してもよい。 Alternatively, the DPI may be virtualized so that a plurality of SSL encryption / decryption devices can share the DPI.
(プログラム)
図8は、開示の技術に係る制御処理対象フロー絞り込みプログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブ1080と、ネットワークインタフェース1070とを有する。コンピュータ1000の各部はバス1100によって接続される。
(program)
FIG. 8 is a diagram illustrating that the information processing by the control processing target flow narrowing program according to the disclosed technique is specifically realized using a computer. As illustrated in FIG. 8, the computer 1000 includes, for example, a
メモリ1010は、図8に例示するように、ROM1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。
The
ここで、図8に例示するように、ハードディスクドライブ1080は、例えば、OS1081、アプリケーションプログラム1082、プログラムモジュール1083、プログラムデータ1084を記憶する。すなわち、開示の実施の形態に係る制御処理対象フロー絞り込みプログラムは、コンピュータによって実行される指令が記述されたプログラムモジュール1083として、例えばハードディスクドライブ1080に記憶される。
Here, as illustrated in FIG. 8, the
また、制御処理対象フロー絞り込みプログラムによる情報処理に用いられるデータは、プログラムデータ1084として、例えばハードディスクドライブ1080に記憶される。そして、CPU1020が、ハードディスクドライブ1080に記憶されたプログラムモジュール1083やプログラムデータ1084を必要に応じてRAM1012に読み出し、各種の手順を実行する。
Data used for information processing by the control processing target flow narrowing program is stored as
なお、制御処理対象フロー絞り込みプログラムに係るプログラムモジュール1083やプログラムデータ1084は、ハードディスクドライブ1080に記憶される場合に限られない。例えば、プログラムモジュール1083やプログラムデータ1084は、着脱可能な記憶媒体に記憶されてもよい。この場合、CPU1020は、ディスクドライブなどの着脱可能な記憶媒体を介してデータを読み出す。また、同様に、制御処理対象フロー絞り込みプログラムに係るプログラムモジュール1083やプログラムデータ1084は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。この場合、CPU1020は、ネットワークインタフェース1070を介して他のコンピュータにアクセスすることで各種データを読み出す。
The
[その他]
なお、本実施形態で説明した制御処理対象フロー絞り込みプログラムは、インターネット等のネットワークを介して配布することができる。また、制御処理対象フロー絞り込みプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読取可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
[Others]
Note that the control processing target flow narrowing program described in this embodiment can be distributed via a network such as the Internet. The control processing target flow narrowing program is recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD, and is executed by being read from the recording medium by the computer. You can also.
なお、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 Of the processes described in this embodiment, all or part of the processes described as being performed automatically can be performed manually, or the processes described as being performed manually can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 The above embodiments and modifications thereof are included in the invention disclosed in the claims and equivalents thereof as well as included in the technology disclosed in the present application.
10 制御処理対象フロー絞り込み装置
11 通信フロー受信部
12 復号化要否判定部
13 ステアリング設定部
14 SSL指示部
15 中継部
16 記憶部
17 フィードバック処理部
20 クライアント
21 AP
30 SSL暗号化/復号化装置
40 DPI装置
41 ウィルスチェック機能
42 ツイッター保管庫
43 オプティマイズ機能
50 サーバ
100 PCEF/DPI
200 PCRF
DESCRIPTION OF
30 SSL encryption /
200 PCRF
Claims (8)
検査不要と判断された通信フローを復号化せずに送信先へ転送し、検査要と判断された通信フローを復号化して検査する工程と、
を含むことを特徴とする制御処理対象フロー絞り込み方法。 Determining whether it is necessary to inspect the communication flow by decrypting the encrypted communication flow based on the content of the communication flow that can be acquired without decryption;
Transferring the communication flow determined to be unnecessary to the transmission destination without decoding, and decoding and inspecting the communication flow determined to be inspected;
A control processing target flow narrowing-down method, comprising:
DPIの実行要と判定された通信フローを復号化してDPIを実行し、DPIの実行不要と判定された通信フローを復号化せずに送信先へ転送する工程と、
を含むことを特徴とする制御処理対象フロー絞り込み方法。 Whether or not it is necessary to perform DPI (Deep Packet Inspection) on the communication flow by decrypting the communication flow encrypted based on SSL (Secure Sockets Layer) without decrypting the communication flow. A determination step of determining based on the content of the communication flow that can be acquired;
Decoding a communication flow determined to require execution of DPI, executing DPI, and transferring a communication flow determined to be unnecessary to execute DPI to a destination without decoding;
A control processing target flow narrowing-down method, comprising:
検査不要と判断された通信フローを復号化せずに送信先へ転送し、検査要と判断された通信フローを復号化して検査させるよう制御する制御部と、
を備えることを特徴とする制御処理対象フロー絞り込み装置。 A decryption necessity determination unit that determines whether it is necessary to inspect the communication flow by decrypting the encrypted communication flow based on the content of the communication flow that can be acquired without decryption;
A control unit that controls the communication flow determined to be unnecessary to be transferred to the transmission destination without being decrypted, and the communication flow determined to be inspected is decrypted and inspected.
A control processing target flow narrowing-down apparatus comprising:
DPIの実行要と判定された通信フローを復号化してDPIを実行し、DPIの実行不要と判定された通信フローを復号化せずに送信先へ転送するよう制御する制御部と、
を含むことを特徴とする制御処理対象フロー絞り込み装置。 Whether or not it is necessary to perform DPI (Deep Packet Inspection) on the communication flow by decrypting the communication flow encrypted based on SSL (Secure Sockets Layer) without decrypting the communication flow. A determination unit for determining based on the content of the communication flow that can be acquired;
A control unit that decodes the communication flow determined to be DPI-executable and executes DPI, and controls to transfer the communication flow that is determined not to be DPI-executed to the destination without decoding;
A control processing target flow narrowing-down apparatus, comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015025222A JP6243861B2 (en) | 2015-02-12 | 2015-02-12 | Control processing target flow narrowing method and apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015025222A JP6243861B2 (en) | 2015-02-12 | 2015-02-12 | Control processing target flow narrowing method and apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016149633A true JP2016149633A (en) | 2016-08-18 |
JP6243861B2 JP6243861B2 (en) | 2017-12-06 |
Family
ID=56691836
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015025222A Active JP6243861B2 (en) | 2015-02-12 | 2015-02-12 | Control processing target flow narrowing method and apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6243861B2 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006279938A (en) * | 2005-03-01 | 2006-10-12 | Matsushita Electric Works Ltd | Decryption apparatus for use in encrypted communication |
JP2012151831A (en) * | 2011-01-19 | 2012-08-09 | Ixia | Fast ssl testing using pre-calculated cryptographic data |
-
2015
- 2015-02-12 JP JP2015025222A patent/JP6243861B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006279938A (en) * | 2005-03-01 | 2006-10-12 | Matsushita Electric Works Ltd | Decryption apparatus for use in encrypted communication |
JP2012151831A (en) * | 2011-01-19 | 2012-08-09 | Ixia | Fast ssl testing using pre-calculated cryptographic data |
Also Published As
Publication number | Publication date |
---|---|
JP6243861B2 (en) | 2017-12-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10003616B2 (en) | Destination domain extraction for secure protocols | |
US9749292B2 (en) | Selectively performing man in the middle decryption | |
US10554420B2 (en) | Wireless connections to a wireless access point | |
US9197616B2 (en) | Out-of-band session key information exchange | |
EP3286896B1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
US9961103B2 (en) | Intercepting, decrypting and inspecting traffic over an encrypted channel | |
US9294450B2 (en) | Selectively performing man in the middle decryption | |
US9509663B2 (en) | Secure distribution of session credentials from client-side to server-side traffic management devices | |
EP2632108B1 (en) | Method and system for secure communication | |
EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
JP2022023942A (en) | Client to cloud or remote server secure data or file object encryption gateway | |
EP4014425B1 (en) | Secure publish-subscribe communication methods and apparatus | |
US10015208B2 (en) | Single proxies in secure communication using service function chaining | |
KR101448866B1 (en) | Security apparatus for decrypting data encrypted according to the web security protocol and operating method thereof | |
JP6243861B2 (en) | Control processing target flow narrowing method and apparatus | |
Atutxa et al. | Towards a quantum-safe 5G: Quantum Key Distribution in core networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160822 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170613 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170614 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170808 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171110 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6243861 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |