JP2017219776A - Communication data relay device and program - Google Patents

Communication data relay device and program Download PDF

Info

Publication number
JP2017219776A
JP2017219776A JP2016115714A JP2016115714A JP2017219776A JP 2017219776 A JP2017219776 A JP 2017219776A JP 2016115714 A JP2016115714 A JP 2016115714A JP 2016115714 A JP2016115714 A JP 2016115714A JP 2017219776 A JP2017219776 A JP 2017219776A
Authority
JP
Japan
Prior art keywords
communication data
information
decryption
exclusion
decrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016115714A
Other languages
Japanese (ja)
Other versions
JP6699377B2 (en
Inventor
和弘 金子
Kazuhiro Kaneko
和弘 金子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2016115714A priority Critical patent/JP6699377B2/en
Publication of JP2017219776A publication Critical patent/JP2017219776A/en
Application granted granted Critical
Publication of JP6699377B2 publication Critical patent/JP6699377B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a device and a program for excluding decryption when privacy information (secret information) is included.SOLUTION: A proxy server device 12 is arranged between a client terminal 10 and a Web server device 14. A proxy server device 12 comprises decryption exclusion information storage means 125 for storing destination information of a decryption exclusion object. Decryption exclusion determination means 121 is configured to, when the destination of encrypted communication data is stored in the decryption exclusion information storage means 125, relay, without decrypting, the encrypted communication data, and to, otherwise, decrypt the encrypted communication data, and to execute content filtering. Data analysis means 126 is configured to, when information for requesting privacy information is included in the decrypted communication data, newly store the destination information of the communication data in the decryption exclusion information storage means 125.SELECTED DRAWING: Figure 1

Description

本発明は通信データ中継装置及びプログラムに関する。   The present invention relates to a communication data relay device and a program.

TLS(Transport Layer Security)は、インターネット上でデータを暗号化して送受信できるトランスポート層のプロトコルである。クライアント端末とウェブサーバ間のHTTP(Hyper Text Transfer Protocol)やFTP(File Transfer Protocol)等の通信において、個人情報やクレジットカード情報等の機密性の高いデータを、TLSにより暗号化して安全にやりとりできる。   TLS (Transport Layer Security) is a transport layer protocol capable of transmitting and receiving data encrypted on the Internet. In communications such as HTTP (Hyper Text Transfer Protocol) and FTP (File Transfer Protocol) between the client terminal and the web server, highly confidential data such as personal information and credit card information can be securely exchanged by TLS. .

但し、情報通信を安全に行うためであるはずのTLS通信が情報漏洩の抜け道として使用されることもあるため、TLS通信を解析・監視し、コンテンツフィルタリングを行う技術が提案されている。クライアント端末からのTLS通信データをプロキシサーバで受信して復号し、問題なければデータを再び暗号化して本来のウェブサーバに送信する。クライアント端末とプロキシサーバ間、及びプロキシサーバとウェブサーバ間において、それぞれ独立に暗号化された通信路が確立される。   However, since TLS communication that is supposed to be performed safely for information communication may be used as an escape route for information leakage, a technique for analyzing and monitoring TLS communication and performing content filtering has been proposed. The TLS communication data from the client terminal is received and decrypted by the proxy server. If there is no problem, the data is encrypted again and transmitted to the original web server. Independently encrypted communication paths are established between the client terminal and the proxy server and between the proxy server and the web server.

また、クライアント端末からプロキシサーバ宛に送られるCONNECTメソッドからウェブサーバのホスト名を取得し、ホスト名レベルでコンテンツフィルタリングを行う技術も知られている。この方法では、復号処理が不要という利点がある。   There is also known a technique of acquiring a web server host name from a CONNECT method sent from a client terminal to a proxy server, and performing content filtering at the host name level. This method has the advantage that no decoding process is required.

特許文献1には、接続先の安全性の確認作業負荷をクライアント端末から軽減することを課題として、中継装置が接続先の確認(サーバ証明書の検証)を行うことが記載されている。   Patent Document 1 describes that a relay device performs connection destination verification (server certificate verification) with the object of reducing the security check workload of a connection destination from a client terminal.

特許文献2には、クライアント端末とサーバが中継装置を介して別々のセッションを使用して暗号化通信を行っている場合における、クライアント端末とサーバ間での直接的な認証を可能とすることを課題として、中継装置はサーバの一時的電子証明書を検証し、さらにセッションデータと一時的電子証明書を含む電子証明書を発行してクライアント端末に送信し、クライアント端末は中継装置の一時的電子証明書を検証してサーバの電子証明書を検証することが記載されている。   Patent Document 2 describes that direct authentication between a client terminal and a server is possible when the client terminal and the server perform encrypted communication using different sessions via a relay device. As a problem, the relay device verifies the temporary electronic certificate of the server, issues an electronic certificate including session data and a temporary electronic certificate, and transmits it to the client terminal. The client terminal transmits the temporary electronic certificate of the relay device. It is described that the electronic certificate of the server is verified by verifying the certificate.

特許文献3には、暗号化されたプロトコルによる外部装置へのアクセスを把握できる情報処理装置を提供することを課題として、CONNECT通知を検知し、設定情報から通信禁止か否かを判断することが記載されている。   In Patent Document 3, it is an object to provide an information processing apparatus capable of grasping access to an external apparatus using an encrypted protocol, and detecting a CONNECT notification and determining whether communication is prohibited from setting information. Have been described.

特開2012−137975号公報JP 2012-137975 A 特開2003−124926号公報JP 2003-124926 A 特開2014−206929号公報JP 2014-206929 A

クライアント端末からのTLS通信データをプロキシサーバで受信して復号し、問題なければデータを再び暗号化してウェブサーバに送信する技術では、クレジットカード番号やパスワード等のプライバシー情報あるいは機密情報も復号されてしまう問題がある。他方、ウェブサーバのホスト名を取得し、ホスト名レベルでコンテンツフィルタリングを行う技術では、フィルタリングに用いる情報がホスト名のみであるため、フィルタリング精度が劣る問題がある。   In the technology of receiving and decrypting TLS communication data from the client terminal with a proxy server, and if there is no problem, encrypting the data again and sending it to the web server, the privacy information such as credit card number and password or confidential information is also decrypted. There is a problem. On the other hand, in the technique of acquiring the host name of the web server and performing content filtering at the host name level, there is a problem that the filtering accuracy is inferior because the information used for filtering is only the host name.

本発明の目的は、プライバシー情報(機密情報)が含まれる場合には復号を除外する装置及びプログラムを提供することにある。   An object of the present invention is to provide an apparatus and a program that exclude decryption when privacy information (confidential information) is included.

請求項1に記載の発明は、暗号化された通信データを受信する受信手段と、受信手段が受信した暗号化された通信データを復号する復号手段と、復号手段が復号した通信データに機密情報を要求する情報が含まれている場合に、それ以降に受信手段が受信した通信データを復号しないように制御する制御手段とを備える通信データ中継装置である。   The invention according to claim 1 is a receiving means for receiving encrypted communication data, a decrypting means for decrypting encrypted communication data received by the receiving means, and confidential information in the communication data decrypted by the decrypting means. The communication data relay apparatus includes control means for controlling so that communication data received by the receiving means is not decrypted thereafter when the information requesting is included.

請求項2に記載の発明は、制御手段は、通信データに機密情報を要求する情報を含んでいた通信データの差出人または宛先から暗号化された通信データを再度受信した場合、暗号化された通信データを復号しないように制御する請求項1に記載の通信データ中継装置である。   According to the second aspect of the present invention, when the control means receives the encrypted communication data again from the sender or destination of the communication data including the information requesting the confidential information in the communication data, the encrypted communication is performed. The communication data relay apparatus according to claim 1, wherein the communication data relay apparatus is controlled so as not to decode data.

請求項3に記載の発明は、復号除外対象の宛先情報として有効期限情報を含む請求項1,2のいずれかに記載の通信データ中継装置である。   The invention according to claim 3 is the communication data relay apparatus according to claim 1, which includes expiration date information as destination information to be excluded from decoding.

請求項4に記載の発明は、制御手段は、通信データに含まれる入力タイプ、入力フォーマット、表示テキストの内容の少なくともいずれかを用いて機密情報を要求する情報が含まれていることを検出する請求項1〜3のいずれかに記載の通信データ中継装置である。   According to a fourth aspect of the present invention, the control means detects that information requesting confidential information is included using at least one of the input type, the input format, and the content of the display text included in the communication data. It is a communication data relay apparatus in any one of Claims 1-3.

請求項5に記載の発明は、プロキシサーバに、暗号化された通信データを受信するステップと、受信した暗号化された通信データを復号するステップと、復号した通信データに機密情報を要求する情報が含まれている場合に、それ以降に受信した通信データを復号しないように制御するステップを実行させるプログラムである。   The invention according to claim 5 is a step of receiving encrypted communication data from the proxy server, a step of decrypting the received encrypted communication data, and information requesting confidential information from the decrypted communication data. Is included, a program for executing a step of controlling not to decode communication data received thereafter.

請求項1,5に記載の発明によれば、暗号化された通信データに機密情報(プライバシー情報)を要求する情報が含まれる場合にはその復号を除外して機密情報を保護できる。   According to the first and fifth aspects of the present invention, when the encrypted communication data includes information requesting confidential information (privacy information), the confidential information can be protected by excluding the decryption.

請求項2に記載の発明によれば、さらに、復号を除外した場合においてもホスト名レベルのフィルタリングを実行できる。   According to the second aspect of the present invention, filtering at the host name level can be executed even when decryption is excluded.

請求項3に記載の発明によれば、さらに、情報を更新することができる。   According to invention of Claim 3, information can be updated further.

請求項4に記載の発明によれば、さらに、機密情報を要求する情報を確実に検出できる。   According to the fourth aspect of the present invention, it is possible to reliably detect information requesting confidential information.

実施形態のシステム構成図である。It is a system configuration figure of an embodiment. 実施形態の処理フローチャートである。It is a processing flowchart of an embodiment. 実施形態のデータ解析の詳細フローチャートである。It is a detailed flowchart of the data analysis of embodiment. 実施形態の記憶手段(データベース)に記憶される情報の説明図である。It is explanatory drawing of the information memorize | stored in the memory | storage means (database) of embodiment. 実施形態の通信データの一例を示す説明図である。It is explanatory drawing which shows an example of the communication data of embodiment. 他の実施形態の処理フローチャートである。It is a processing flowchart of other embodiments.

以下、図面に基づき本発明の実施形態について説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

まず、本実施形態の基本原理について説明する。   First, the basic principle of this embodiment will be described.

TLS通信等の暗号化された通信データを受信し、これを復号してコンテンツフィルタリングを実行すると、プライバシー情報(機密情報)が含まれている場合に問題となり得る。   When encrypted communication data such as TLS communication is received and decrypted and content filtering is performed, it may be a problem when privacy information (confidential information) is included.

そこで、本実施形態では、暗号化された通信データを受信した場合に、一律にこれを復号してコンテンツフィルタリングを実行するのではなく、プライバシー情報が要求される通信が行われた場合、それ以降の通信データを復号しないように制御する。   Therefore, in the present embodiment, when encrypted communication data is received, it is not uniformly decrypted and content filtering is performed, but when communication requiring privacy information is performed, and thereafter The communication data is controlled not to be decrypted.

本実施形態では、復号した通信データにプライバシー情報を要求する情報が含まれている場合に、自動的に通信データを差出人または宛先が記憶手段に順次登録されていくので、利用者は復号除外対象のホワイトリストを手動で作成する必要がない。また、一度、記憶手段に復号除外対象として登録されれば、それ以降の通信データについては復号されることなく、セキュリティが確保される。   In this embodiment, when the decrypted communication data includes information requesting privacy information, the sender or destination of the communication data is automatically registered sequentially in the storage means, so that the user can be excluded from decryption. There is no need to manually create a whitelist. Also, once registered as a subject to be excluded from decryption in the storage means, the subsequent communication data is not decrypted and security is ensured.

記憶手段に記憶される情報は、通信データの差出人または宛先であるが、これとともにその情報の有効期限を設定してもよく、有効期限を用いて記憶手段に記憶される情報を自動的に更新してもよい。   The information stored in the storage means is the sender or destination of the communication data, but the expiration date of the information may be set together with this, and the information stored in the storage means is automatically updated using the expiration date. May be.

次に、本実施形態について、クライアント端末とサーバ装置との間に介在して通信データを中継処理するプロキシサーバ装置を例にとり具体的に説明する。   Next, the present embodiment will be specifically described by taking as an example a proxy server apparatus that relays communication data between a client terminal and a server apparatus.

図1は、本実施形態のシステム構成図である。システムは、クライアント端末10と、中継装置としてのプロキシサーバ装置12と、ウェブサーバ装置14を備える。クライアント端末10とプロキシサーバ装置12は通信回線で接続され、プロキシサーバ装置12とウェブサーバ装置14も通信回線で接続される。通信回線は、例えばインターネットである。   FIG. 1 is a system configuration diagram of this embodiment. The system includes a client terminal 10, a proxy server device 12 as a relay device, and a web server device 14. The client terminal 10 and the proxy server device 12 are connected via a communication line, and the proxy server device 12 and the web server device 14 are also connected via a communication line. The communication line is, for example, the Internet.

プロキシサーバ装置12は、送受信手段120、復号除外判断手段121、送受信手段122、コンテンツフィルタリング手段123、復号/暗号化手段124、復号除外情報記憶手段125、及びデータ解析手段126を備える。   The proxy server device 12 includes a transmission / reception unit 120, a decryption exclusion determination unit 121, a transmission / reception unit 122, a content filtering unit 123, a decryption / encryption unit 124, a decryption exclusion information storage unit 125, and a data analysis unit 126.

送受信手段120は、クライアント端末10と通信データを送受信するインターフェースである。また、送受信手段122は、ウェブサーバ装置14と通信データを送受信するインターフェースである。   The transmission / reception means 120 is an interface that transmits / receives communication data to / from the client terminal 10. The transmission / reception means 122 is an interface that transmits / receives communication data to / from the web server device 14.

復号除外情報記憶手段125は、復号除外情報を記憶するデータベースである。   The decryption exclusion information storage unit 125 is a database that stores decryption exclusion information.

データ解析手段126は、通信データにプライバシー情報を要求する情報が含まれているか否かを判定し、プライバシー情報を要求する情報が含まれている場合に、それ以降の当該通信データを復号除外情報として復号除外情報記憶手段125に登録する。具体的には、プライバシー情報を要求する情報を含む通信データの差出人または宛先であるホスト名を除外対象ホスト名として登録する。   The data analysis unit 126 determines whether or not the information requesting privacy information is included in the communication data. If the information requesting the privacy information is included, the data analysis unit 126 decodes the communication data thereafter. Is registered in the decryption exclusion information storage means 125. Specifically, a host name that is the sender or destination of communication data including information that requests privacy information is registered as a host name to be excluded.

復号除外判断手段121は、復号除外情報記憶手段125に記憶されている復号除外情報に基づき、クライアント端末10から受信した通信データが復号除外対象であるか否かを判定し、その判定結果を復号/暗号化手段124に供給する。   Based on the decoding exclusion information stored in the decoding exclusion information storage unit 125, the decoding exclusion determination unit 121 determines whether the communication data received from the client terminal 10 is a decoding exclusion target, and decodes the determination result. / Supply to encryption means 124.

復号/暗号化手段124は、復号除外判断手段121での判定結果に応じ、クライアント端末10から受信した通信データが復号除外対象でない場合に、通信データを復号化してコンテンツフィルタリング手段123に供給し、コンテンツフィルタリングの実行後に復号化した通信データを再び暗号化して送受信手段122に供給する。復号/暗号化手段124は、復号除外判断手段121での判定結果に応じ、クライアント端末10から受信した通信データが復号除外対象の場合に、通信データを復号化することなく送受信手段122にそのまま供給する。   The decryption / encryption unit 124 decrypts the communication data and supplies the decrypted communication data to the content filtering unit 123 when the communication data received from the client terminal 10 is not a decryption exclusion target according to the determination result of the decryption exclusion determination unit 121. The communication data decrypted after execution of content filtering is encrypted again and supplied to the transmission / reception means 122. The decryption / encryption unit 124 supplies the communication data as it is to the transmission / reception unit 122 without decrypting the communication data when the communication data received from the client terminal 10 is a decryption exclusion target according to the determination result of the decryption exclusion determination unit 121. To do.

コンテンツフィルタリング手段123は、復号化された通信データを処理し、安全(Safety)かそうでないか(NG)を判定してその結果を復号/暗号化手段124に供給する。復号/暗号化手段124は、安全である場合には既述したように通信データを再び暗号化して送受信手段122に供給し、安全でない場合には当該通信データを遮断あるいはそれに準じた処理を実行する。   The content filtering means 123 processes the decrypted communication data, determines whether it is safe (NG), and supplies the result to the decryption / encryption means 124. The decryption / encryption means 124 encrypts the communication data again and supplies it to the transmission / reception means 122 when it is safe, and cuts off the communication data or executes a process equivalent thereto if it is not safe. To do.

プロキシサーバ装置12は、サーバ装置としての構成、すなわちCPU、ROM、RAM、入出力インターフェース、通信インターフェース、HDD(ハードディスクドライブ)等の記憶装置からなるデータベースを備える。復号除外判断手段121、コンテンツフィルタリング手段123、復号/暗号化手段124、及びデータ解析手段126は、制御手段として機能し、1つ又は複数のCPUが、ROMに記憶された処理プログラムを読み出し、RAMをワーキングメモリとして用いて当該処理プログラムを実行することにより実現される。なお、復号除外判断手段121、コンテンツフィルタリング手段123、復号/暗号化手段124、及びデータ解析手段126の少なくともいずれかをPLDやFPGA等のハードウェアで実現してもよい。   The proxy server device 12 includes a database as a configuration of a server device, that is, a storage device such as a CPU, a ROM, a RAM, an input / output interface, a communication interface, and an HDD (hard disk drive). The decryption exclusion judgment unit 121, the content filtering unit 123, the decryption / encryption unit 124, and the data analysis unit 126 function as a control unit, and one or a plurality of CPUs read a processing program stored in the ROM, and the RAM Is implemented as a working memory by executing the processing program. Note that at least one of the decryption exclusion determination unit 121, the content filtering unit 123, the decryption / encryption unit 124, and the data analysis unit 126 may be realized by hardware such as PLD or FPGA.

図2は、プロキシサーバ装置12の処理フローチャートを示す。処理プログラムにより実現される処理である。   FIG. 2 shows a process flowchart of the proxy server device 12. This process is realized by a processing program.

まず、送受信手段120は、クライアント端末10からの通信データを受信する(S101)。あるいは、送受信手段122は、ウェブサーバ装置14からの通信データを受信する(S101)。   First, the transmission / reception means 120 receives communication data from the client terminal 10 (S101). Or the transmission / reception means 122 receives the communication data from the web server apparatus 14 (S101).

次に、復号除外判断手段121は、受信した通信データが復号除外の対象であるか否かを判定する(S102)。具体的には、通信データの差出人ホスト名または宛先ホスト名と復号除外情報記憶手段125に記憶されている除外対象ホスト名が一致するか否かを判定し、一致する場合には復号除外の対象である(YES)と判定し、一致しなければ復号除外の対象でない(NO)と判定する。   Next, the decoding exclusion determination unit 121 determines whether or not the received communication data is a decoding exclusion target (S102). Specifically, it is determined whether or not the sender host name or destination host name of the communication data and the exclusion target host name stored in the decryption exclusion information storage means 125 match. (YES), and if they do not match, it is determined that they are not subject to decoding exclusion (NO).

復号除外の対象である場合、復号除外判断手段121は、受信した通信データを復号することなく、コンテンツフィルタリングは実行されない。送受信手段122あるいは120は、通信データをウェブサーバ装置14あるいはクライアント端末10に送信する。   If it is a subject to be excluded from decryption, the decryption exclusion determination unit 121 does not decrypt the received communication data and does not execute content filtering. The transmission / reception means 122 or 120 transmits the communication data to the web server device 14 or the client terminal 10.

復号除外の対象でない場合、復号除外判断手段121は、受信した通信データを復号/暗号化手段124に供給する。復号/暗号化手段124は、通信データを復号して(S103)コンテンツフィルタリング手段123に供給する。コンテンツフィルタリング手段123は、復号された通信データが適切であるか否かを判定する。コンテンツフィルタリングは公知であり、URLフィルタリングあるいは動的コンテンツフィルタリングのいずれを用いてもよい。通信データのコンテンツが適切であれば安全(safety)と判定し、不適切であればNGと判定する。不適切の場合、通信データを遮断するか、あるいは遮断に準ずる処理を実行する(S109)。遮断に準ずる処理には接続拒否が含まれる。   If it is not a decryption exclusion target, the decryption exclusion determination unit 121 supplies the received communication data to the decryption / encryption unit 124. The decryption / encryption unit 124 decrypts the communication data (S103) and supplies the decrypted communication data to the content filtering unit 123. The content filtering unit 123 determines whether or not the decrypted communication data is appropriate. Content filtering is well known, and either URL filtering or dynamic content filtering may be used. If the content of the communication data is appropriate, it is determined as safe, and if it is inappropriate, it is determined as NG. If it is inappropriate, the communication data is blocked or a process corresponding to the blocking is executed (S109). Processing similar to blocking includes connection rejection.

コンテンツフィルタリングで安全(safety)である場合、復号された通信データはデータ解析手段126に供給される。データ解析手段126は、復号された通信データにプライバシー情報(機密情報)を要求する情報が含まれているか否かを解析する(S105)。データ解析手段126は、具体的には、通信データをHTML解析し、入力タイプ(input type)や入力フォーマット(input format)、ラジオボタン等の値(value)、表示テキストの内容等を用いてプライバシー情報を要求する情報が含まれているか否かを判定する。プライバシー情報は、例えばクレジットカード番号やパスワード等であり、プライバシー情報を要求する情報は、例えばクレジットカード番号を入力するフォーマットや「パスワード」を入力して下さい」等のテキスト情報等であるが、これに限定されない。データ解析手段126は、判定結果を復号/暗号化手段124に供給するとともに、判定結果に応じて復号除外情報記憶手段125に新たに復号除外情報を追加登録する。   When the content filtering is safe, the decrypted communication data is supplied to the data analysis unit 126. The data analysis unit 126 analyzes whether or not the decrypted communication data includes information requesting privacy information (confidential information) (S105). Specifically, the data analysis unit 126 performs an HTML analysis on the communication data, and uses the input type, input format, value of a radio button, the content of the display text, etc. It is determined whether information requesting information is included. The privacy information is, for example, a credit card number or a password, and the information requesting privacy information is, for example, text information such as a format for entering a credit card number or “Please enter a password”. It is not limited to. The data analysis unit 126 supplies the determination result to the decryption / encryption unit 124 and newly registers the decryption exclusion information in the decryption exclusion information storage unit 125 according to the determination result.

すなわち、プライバシー情報を要求する情報が含まれていない場合、復号/暗号化手段124は、復号された通信データを再び暗号化し(S107)、暗号化された通信データを送受信手段122あるいは120に供給する。送受信手段122は、暗号化された通信データをウェブサーバ装置14に送信し、あるいは送受信手段120は暗号化された通信データをクライアント端末10に送信する(S108)。   That is, when the information requesting the privacy information is not included, the decryption / encryption unit 124 encrypts the decrypted communication data again (S107), and supplies the encrypted communication data to the transmission / reception unit 122 or 120. To do. The transmission / reception unit 122 transmits the encrypted communication data to the web server device 14, or the transmission / reception unit 120 transmits the encrypted communication data to the client terminal 10 (S108).

他方、プライバシー情報を要求する情報が含まれている場合、データ解析手段126は、復号された通信データの差出人または宛先ホスト名を新たに除外対象ホスト名として復号除外情報記憶手段125に登録する(S106)。そして、復号/暗号化手段124は、復号された通信データを再び暗号化し(S107)、暗号化された通信データを送受信手段122あるいは120に供給する。送受信手段122は、暗号化された通信データをウェブサーバ装置14に送信し、あるいは送受信手段120は、暗号化された通信データをクライアント端末10に送信する(S108)。従って、次回からは、当該ホスト名が通信データの差出人または宛先である場合、復号除外判断手段121で復号除外対象と判定され、復号されることなくウェブサーバ装置14あるいはクライアント端末10に送信されるのでプライバシー情報が保護される。クライアント端末10とウェブサーバ装置14間で通信データを送受する場合、あるタイミングにおいてウェブサーバ装置14からクライアント端末10に通信データが送信され、この通信データについてデータ解析の結果プライバシー情報を要求する情報が含まれているとして復号除外情報記憶手段125に登録されると、次のタイミングにおいてクライアント端末10からウェブサーバ装置14に送信されると、当該通信データについては復号除外対象とされて復号されず、かつコンテンツフィルタリングも実行されず、そのままウェブサーバ装置14に中継される。   On the other hand, when information requesting privacy information is included, the data analysis unit 126 registers the sender or destination host name of the decrypted communication data as a new exclusion target host name in the decryption exclusion information storage unit 125 ( S106). Then, the decryption / encryption means 124 encrypts the decrypted communication data again (S107), and supplies the encrypted communication data to the transmission / reception means 122 or 120. The transmission / reception means 122 transmits the encrypted communication data to the web server device 14, or the transmission / reception means 120 transmits the encrypted communication data to the client terminal 10 (S108). Therefore, from the next time, if the host name is the sender or destination of the communication data, the decryption exclusion determination unit 121 determines that it is a decryption exclusion target and transmits it to the web server device 14 or the client terminal 10 without being decrypted. So privacy information is protected. When communication data is transmitted and received between the client terminal 10 and the web server device 14, the communication data is transmitted from the web server device 14 to the client terminal 10 at a certain timing, and information requesting privacy information as a result of data analysis for this communication data. When it is registered in the decryption exclusion information storage means 125 as being included, when it is transmitted from the client terminal 10 to the web server device 14 at the next timing, the communication data is subject to decryption exclusion and is not decrypted. In addition, the content filtering is not executed and is relayed to the web server device 14 as it is.

図3は、図2のS105、すなわちデータ解析手段126でのデータ解析処理の詳細処理フローチャートを示す。   FIG. 3 shows a detailed processing flowchart of data analysis processing in S105 of FIG.

データ解析手段126は、復号された通信データのHTMLに対して、順次、データ解析を行う。まず、HTMLの入力(input)タグの属性に関して解析を行う(S201)。例えば、HTMLのソースコードが、
<input type=”password” name=”pass size=”10” maxlength=”8”>
である場合、input type=”password”は、パスワード入力を要求するタグであり、これをパターンマッチングで検出した場合には、プライバシー情報を要求する情報が含まれていると判定する。これ以外にも、input type=”tel”、input type=”email”である場合、これらはそれぞれ電話番号、メールアドレスの入力を要求するタグであり、これをパターンマッチングで検出した場合には、プライバシー情報を要求する情報が含まれていると判定する。また、チェックボックスやラジオボタンについて判定することもできる。例えば、
input type=”checkbox” name=”card type” value=”1” cheked=”checked”>mastercard
input type=”checkbox” name=”card type” value=”2” cheked=”checked”>visa
input type=”checkbox” name=”card type” value=”3” cheked=”checked”>jcb
である場合も、プライバシー情報を要求する情報が含まれていると判定する。さらに、入力フォーマットから判定してもよい。例えば、入力フォーマットが4桁×4の数字に対応したフォーマットである場合、クレジットカード番号の入力を要求している可能性があるのでプライバシー情報を要求する情報が含まれていると判定し、12桁の数字に対応したフォーマットである場合にはマイナンバーの入力を要求している可能性があるのでプライバシー情報を要求する情報が含まれていると判定し、7桁の数字に対応したフォーマットである場合には口座番号の入力を要求している可能性があるのでプライバシー情報を要求する情報が含まれていると判定する。HTMLの入力タグの属性に関して解析を行い、プライバシー情報を要求する情報が含まれていない場合には、次に、タイトル(Title)タグの属性に関して解析を行う(S202)。例えば、HTMLのソースコードが
<title>決算画面:注文書情報入力</title>
である場合、プライバシー情報を要求する情報が含まれていると判定する。「クレジットカード」、「入力」等、判定基準となる文字列を予め決めておき、これが含まれるか否かを判定することでプライバシー情報を要求する情報の有無を判定する。 The data analysis unit 126 sequentially performs data analysis on the decoded communication data HTML. First, an HTML input attribute is analyzed (S201). For example, the HTML source code is
<input type = ”password” name = ”pass size =” 10 ”maxlength =” 8 ”>
In this case, input type = “password” is a tag for requesting password input, and when this is detected by pattern matching, it is determined that information requesting privacy information is included. In addition to this, when input type = ”tel” and input type = “email”, these are tags that request input of phone number and email address, respectively, and when this is detected by pattern matching, It is determined that information requesting privacy information is included. Also, check boxes and radio buttons can be determined. For example,
input type = ”checkbox” name = ”card type” value = ”1” cheked = ”checked”> mastercard
input type = ”checkbox” name = ”card type” value = ”2” cheked = ”checked”> visa
input type = ”checkbox” name = ”card type” value = ”3” cheked = ”checked”> jcb
In this case, it is determined that information requesting privacy information is included. Further, it may be determined from the input format. For example, if the input format is a format corresponding to a number of 4 digits × 4, it may be requested to input a credit card number, so it is determined that information requesting privacy information is included. If the format corresponds to a digit number, it may be requested to enter My Number, so it is determined that the information requesting privacy information is included, and the format corresponds to a seven digit number. In some cases, it may be requested to input an account number, so it is determined that information requesting privacy information is included. An analysis is performed on the attributes of the HTML input tag, and if the information requesting privacy information is not included, the attribute of the title (Title) tag is analyzed (S202). For example, the HTML source code
<title> Financial screen: Enter purchase order information </ title>
If it is, it is determined that information requesting privacy information is included. The presence or absence of information that requests privacy information is determined by determining in advance whether or not a character string that is a criterion for determination, such as “credit card” and “input”, is included.

HTMLのタイトルタグの属性に関して解析を行い、プライバシー情報を要求する情報が含まれていない場合には、次に、ラベル(Label)タグの属性に関して解析を行う(S203)。例えば、HTMLのソースコードが
<label for=”credit_card_number”>
である場合、プライバシー情報を要求する情報が含まれていると判定する。 Analysis is performed regarding the attribute of the HTML title tag, and when information requesting privacy information is not included, the attribute of the label tag is analyzed (S203). For example, the HTML source code
<label for = ”credit_card_number”>
If it is, it is determined that information requesting privacy information is included.

以上のような処理を複数段階、例えばN段階まで実行する(S204)。いずれかの段階においてプライバシー情報を要求する情報が含まれている場合には、図2のS106の処理、すなわち復号除外として復号除外情報記憶手段125に登録する。   The above processing is executed up to a plurality of stages, for example, N stages (S204). When information requesting privacy information is included in any stage, the process is registered in the decryption exclusion information storage unit 125 as the processing of S106 in FIG.

図4は、復号除外情報記憶手段125に記憶される復号除外情報の一例を示す。ウェブサーバ装置14のホスト名、及びその有効期限が関連付けて登録される。有効期限は、例えばSSL証明書の有効期限とすることができるが、これに限定されない。有効期限として、一般的なコンテンツ更新の頻度を考慮した上で予め決められた期限(2年等)を設定してもよい。有効期限を設定することで、一度、復号除外情報記憶手段125に登録されたとしても、有効期限経過後には再びデータ解析手段126でデータ解析を行うことになるため、コンテンツの更新に対応して、定期的に復号除外情報記憶手段125の登録内容も更新することができる。   FIG. 4 shows an example of the decoding exclusion information stored in the decoding exclusion information storage unit 125. The host name of the web server device 14 and its expiration date are registered in association with each other. The expiration date can be, for example, the expiration date of the SSL certificate, but is not limited to this. As the expiration date, a predetermined time limit (2 years or the like) may be set in consideration of a general content update frequency. By setting the expiration date, even if it is registered once in the decryption exclusion information storage means 125, the data analysis means 126 will perform data analysis again after the expiration date has passed. The registered contents of the decryption exclusion information storage means 125 can be updated periodically.

本実施形態の処理をより具体的に説明する。クライアント端末10がウェブサーバ装置14にアクセスし、ウェブサーバ装置14の特定のウェブサイトでオンラインショッピングを行う場合である。   The processing of this embodiment will be described more specifically. This is a case where the client terminal 10 accesses the web server device 14 and performs online shopping at a specific website of the web server device 14.

クライアント端末10がウェブサーバ装置14にアクセスし、商品決算直前まで処理が進んだものとする。この時点までは、プライバシー情報を要求する情報が要求されるような通信はなかったものとする。   Assume that the client terminal 10 accesses the web server device 14 and the process has progressed until just before the product settlement. Up to this point, it is assumed that there has been no communication that requires information requesting privacy information.

プロキシサーバ装置12の送受信手段122は、ウェブサーバ装置14からの、クライアント端末10のGetリクエストのレスポンスとしてのデータを受信する。送受信手段122は、受信した通信データを復号除外判断手段121に供給する。   The transmission / reception means 122 of the proxy server device 12 receives data as a response to the Get request of the client terminal 10 from the web server device 14. The transmission / reception unit 122 supplies the received communication data to the decoding exclusion determination unit 121.

この時点では、ウェブサーバ装置14の当該ウェブサイトは未だ復号除外情報記憶手段125に登録されていないとすると、復号除外判断手段121は、受信したデータは復号除外の対象でないと判定し、通信データを復号/暗号化手段124に供給する。復号/暗号化手段124は、通信データを復号し、コンテンツフィルタリング手段123は復号された通信データのURL等を用いてコンテンツフィルタリングを実行する。仮に、コンテンツフィルタリングで適切(safety)と判定されると、データ解析手段126でデータ解析が実行される。   At this time, if the website of the web server device 14 is not yet registered in the decryption exclusion information storage unit 125, the decryption exclusion determination unit 121 determines that the received data is not subject to decryption, and the communication data Is supplied to the decryption / encryption means 124. The decryption / encryption unit 124 decrypts the communication data, and the content filtering unit 123 executes content filtering using the URL of the decrypted communication data. If it is determined that the content filtering is appropriate, the data analysis unit 126 performs data analysis.

図5は、復号された通信データの画面例を示す。一般的なショッピングサイトでの決算直前の画面である。この画面のHTMLソースコードには、「IDを入力して下さい」、「パスワードを入力して下さい」、「クレジットカード番号を入力して下さい」、「クレジットカードのセキュリティコードを入力して下さい」、「氏名を入力して下さい」等が存在し、さらに4桁×4の数字の入力欄等も存在する。データ解析手段126は、これらを検出することでプライバシー情報を要求する情報が含まれていると判定すると、当該ショッピングサイトのホスト名を新たに復号除外情報記憶手段125に登録する。そして、復号/暗号化手段124は、復号した通信データを再び暗号化し、送受信手段120は、暗号化された通信データをクライアント端末10に送信する。   FIG. 5 shows a screen example of the decrypted communication data. This is a screen just before the settlement of accounts at a general shopping site. In the HTML source code on this screen, “Enter ID”, “Enter password”, “Enter credit card number”, “Enter credit card security code” , “Please enter your name”, etc., and there is also a 4-digit × 4 numeric entry field. If the data analysis unit 126 detects these and determines that information requesting privacy information is included, the data analysis unit 126 newly registers the host name of the shopping site in the decryption exclusion information storage unit 125. Then, the decryption / encryption unit 124 encrypts the decrypted communication data again, and the transmission / reception unit 120 transmits the encrypted communication data to the client terminal 10.

その後、プロキシサーバ装置12は、クライアント端末10からウェブサーバ装置14へのPOSTデータを受信する。送受信手段120は、受信したPOSTデータを復号除外判断手段121に供給する。このとき、復号除外情報記憶手段125には当該ショッピングサイトのホスト名が既に登録されているので、復号除外判断手段121は、受信したPOSTデータは復号除外対象であると判定し、復号することなくそのまま送受信手段122を介してウェブサーバ装置14に送信する。   Thereafter, the proxy server device 12 receives the POST data from the client terminal 10 to the web server device 14. The transmission / reception unit 120 supplies the received POST data to the decryption exclusion determination unit 121. At this time, since the host name of the shopping site is already registered in the decryption exclusion information storage unit 125, the decryption exclusion determination unit 121 determines that the received POST data is a decryption exclusion target without decrypting it. The data is transmitted to the web server device 14 via the transmission / reception means 122 as it is.

以上、実施形態について説明したが、本発明はこれに限定されるものではなく、種々の変形が可能である。   Although the embodiment has been described above, the present invention is not limited to this, and various modifications can be made.

例えば、本実施形態では、図2の処理フローチャートに示すように、復号除外判断手段121で復号除外の対象であると判定された場合に、受信した通信データをそのまま中継しているが、ホスト名レベルでのフィルタリングを実行した上で中継してもよい。既述したように、クライアント端末10からプロキシサーバ装置12宛に送られるCONNECTメソッドからウェブサーバのホスト名を取得し、ホスト名レベルでコンテンツフィルタリングを行う技術は、復号を行ってコンテンツフィルタリングを行う技術に比べてフィルタリング精度が劣るものの、何らのフィルタリングを実行しない場合と比べれば相対的にセキュリティをある程度確保し得る。   For example, in the present embodiment, as shown in the processing flowchart of FIG. 2, the received communication data is relayed as it is when the decoding exclusion determination unit 121 determines that it is a target of decoding exclusion. Relaying may be performed after performing filtering at the level. As described above, the technique of acquiring the web server host name from the CONNECT method sent from the client terminal 10 to the proxy server apparatus 12 and performing content filtering at the host name level is the technique of performing content filtering by decoding. Although the filtering accuracy is inferior to that of, the security can be relatively ensured to some extent as compared with the case where no filtering is performed.

図6は、この場合の処理フローチャートを示す。S301〜S309は、図2に示すS101〜S109と同様である。   FIG. 6 shows a processing flowchart in this case. S301 to S309 are the same as S101 to S109 shown in FIG.

すなわち、クライアント端末10からウェブサーバ装置14への通信データを例にとり説明すると、送受信手段120は、クライアント端末10からの通信データを受信する(S301)。   In other words, the communication data from the client terminal 10 to the web server device 14 will be described as an example. The transmission / reception unit 120 receives the communication data from the client terminal 10 (S301).

次に、復号除外判断手段121は、受信した通信データが復号除外の対象であるか否かを判定する(S302)。復号除外の対象である場合、復号除外判断手段121は、受信した通信データを復号することなく、コンテンツフィルタリングを実行しない。送受信手段122は、暗号化された通信データをウェブサーバ装置14に送信して中継する。   Next, the decoding exclusion determination unit 121 determines whether or not the received communication data is a decoding exclusion target (S302). When it is a subject of decryption exclusion, the decryption exclusion determination unit 121 does not perform content filtering without decrypting the received communication data. The transmission / reception means 122 transmits the encrypted communication data to the web server device 14 and relays it.

復号除外の対象でない場合、復号除外判断手段121は、受信した通信データを復号/暗号化手段124に供給する。復号/暗号化手段124は、通信データを復号して(S303)コンテンツフィルタリング手段123に供給する。コンテンツフィルタリング手段123は、復号された通信データが適切であるか否かを判定する。通信データのコンテンツが適切であれば安全(safety)と判定し、不適切であればNGと判定する。不適切の場合、通信データを遮断するか、あるいは遮断に準ずる処理を実行する(S309)。   If it is not a decryption exclusion target, the decryption exclusion determination unit 121 supplies the received communication data to the decryption / encryption unit 124. The decryption / encryption means 124 decrypts the communication data (S303) and supplies it to the content filtering means 123. The content filtering unit 123 determines whether or not the decrypted communication data is appropriate. If the content of the communication data is appropriate, it is determined as safe, and if it is inappropriate, it is determined as NG. If it is inappropriate, the communication data is blocked or a process corresponding to the blocking is executed (S309).

コンテンツフィルタリングで安全(safety)とされた場合、復号された通信データはデータ解析手段126に供給される。データ解析手段126は、復号された通信データにプライバシー情報(機密情報)が含まれているか否かを解析する(S305)。データ解析手段126は、具体的には、通信データをHTML解析し、入力タイプ(input type)や入力フォーマット(input format)、ラジオボタン等の値(value)、表示テキストの内容等を用いてプライバシー情報を要求する情報が含まれているか否かを判定する。プライバシー情報を要求する情報が含まれていない場合、復号/暗号化手段124は、復号された通信データを再び暗号化し(S307)、暗号化された通信データを送受信手段122に供給する。送受信手段122は、暗号化された通信データをウェブサーバ装置14に送信する(S308)。   When it is determined that the content filtering is safe, the decrypted communication data is supplied to the data analysis unit 126. The data analysis means 126 analyzes whether or not privacy information (confidential information) is included in the decrypted communication data (S305). Specifically, the data analysis unit 126 performs an HTML analysis on the communication data, and uses the input type, input format, value of a radio button, the content of the display text, etc. It is determined whether information requesting information is included. When the information requesting the privacy information is not included, the decryption / encryption unit 124 encrypts the decrypted communication data again (S307), and supplies the encrypted communication data to the transmission / reception unit 122. The transmission / reception means 122 transmits the encrypted communication data to the web server device 14 (S308).

他方、プライバシー情報を要求する情報が含まれている場合、データ解析手段126は、復号された通信データの宛先ホスト名を新たに除外対象ホスト名として復号除外情報記憶手段125に登録する(S106)。このとき、その有効期限もホスト名に関連付けて登録してもよい。復号/暗号化手段124は、復号された通信データを再び暗号化し(S307)、暗号化された通信データを送受信手段122に供給する。送受信手段122は、暗号化された通信データをウェブサーバ装置14に送信する(S308)。   On the other hand, when information requesting privacy information is included, the data analysis unit 126 newly registers the destination host name of the decrypted communication data in the decryption exclusion information storage unit 125 as a host name to be excluded (S106). . At this time, the expiration date may be registered in association with the host name. The decryption / encryption unit 124 encrypts the decrypted communication data again (S307), and supplies the encrypted communication data to the transmission / reception unit 122. The transmission / reception means 122 transmits the encrypted communication data to the web server device 14 (S308).

S302で復号除外対象であると判定された場合、そのまま通信データを中継して送受信手段122からウェブサーバ装置14に送信するのではなく、通信データを復号することなく、コンテンツフィルタリング手段123がホスト名レベルでのコンテンツフィルタリングを実行する(S310)。CONNECTメソッドは、プロキシサーバに対し、HTTPSのセッション中継せずに透過(トンネリング)させるように依頼するものであり、そのホスト名を用いてフィルタリングを実行する。適切であればそのまま中継し、不適切であればS304で不適切(NG)と判定された場合と同様に遮断あるいはこれに準ずる処理を実行する(S309)。   When it is determined in S302 that the data is to be excluded from decryption, the content filtering unit 123 does not decrypt the communication data, instead of relaying the communication data as it is and transmitting it from the transmission / reception unit 122 to the web server device 14. Content filtering at the level is executed (S310). The CONNECT method requests the proxy server to transmit (tunneling) without relaying the HTTPS session, and performs filtering using the host name. If it is appropriate, it is relayed as it is, and if it is inappropriate, similar to the case where it is determined to be inappropriate (NG) in S304, a blocking process or an equivalent process is executed (S309).

図6に示す処理でも、プライバシー情報(機密情報)を要求する情報が含まれている場合にそれ以降の通信データの復号を除外してプライバシー情報を保護できるとともに、復号除外のホワイトリストを自動的に作成できる。さらに、復号除外の場合でも、ある程度(ホスト名レベル)でのフィルタリングを実行して不適切な通信データを遮断し得る。   Even in the processing shown in FIG. 6, when information that requests privacy information (confidential information) is included, it is possible to protect the privacy information by excluding the decryption of communication data thereafter, and the decryption exclusion whitelist is automatically set. Can be created. Further, even when decryption is excluded, inappropriate communication data can be blocked by performing filtering at a certain level (host name level).

また、本実施形態では、図3に示すように、複数段階でプライバシー情報を要求する情報が含まれているか否かを判定しているが、プライバシー情報を要求する情報が含まれているか否かをポイント数として定量評価し、閾値と大小比較することでプライバシー情報を要求する情報が含まれているか否かを統合的に判定してもよい。この場合に、複数段階の各段階において異なる重みを付加して定量評価してもよい。プライバシー情報を要求する情報にはその機密度に相違があることを考慮したものである。   Further, in this embodiment, as shown in FIG. 3, it is determined whether or not information requesting privacy information is included in a plurality of stages, but whether or not information requesting privacy information is included. May be quantitatively evaluated as the number of points, and it may be comprehensively determined whether or not information requesting privacy information is included by comparing with a threshold value. In this case, quantitative evaluation may be performed by adding different weights in each of a plurality of stages. This is due to the fact that there is a difference in the sensitivity of information that requests privacy information.

さらに、本実施形態において、コンテンツフィルタリングを実行した場合には、必要に応じてクライアント端末10にその旨を通知してもよい。   Further, in the present embodiment, when content filtering is executed, the client terminal 10 may be notified as necessary.

10 クライアント端末、12 プロキシサーバ装置、14 ウェブサーバ装置、120,122 送受信手段、121 復号除外判断手段、123 コンテンツフィルタリング手段、124 復号/暗号化手段、125 復号除外記憶手段、126 データ解析手段。
DESCRIPTION OF SYMBOLS 10 Client terminal, 12 Proxy server apparatus, 14 Web server apparatus, 120,122 Transmission / reception means, 121 Decryption exclusion judgment means, 123 Content filtering means, 124 Decryption / encryption means, 125 Decryption exclusion memory means, 126 Data analysis means

Claims (5)

暗号化された通信データを受信する受信手段と、
受信手段が受信した暗号化された通信データを復号する復号手段と、
復号手段が復号した通信データに機密情報を要求する情報が含まれている場合に、それ以降に受信手段が受信した通信データを復号しないように制御する制御手段と、
を備える通信データ中継装置。 Receiving means for receiving encrypted communication data;
Decryption means for decrypting encrypted communication data received by the reception means;
Control means for controlling not to decrypt the communication data received by the receiving means thereafter when the communication data decrypted by the decrypting means includes information requesting confidential information;
A communication data relay device comprising: 制御手段は、通信データに機密情報を要求する情報を含んでいた通信データの差出人または宛先から暗号化された通信データを再度受信した場合、暗号化された通信データを復号しないように制御する
請求項1に記載の通信データ中継装置。 The control means performs control so that the encrypted communication data is not decrypted when the communication data encrypted from the sender or destination of the communication data including the information requesting confidential information in the communication data is received again. Item 4. The communication data relay device according to Item 1. 復号除外対象の宛先情報として有効期限情報を含む
請求項1,2のいずれかに記載の通信データ中継装置。 The communication data relay device according to claim 1, wherein expiration date information is included as destination information to be excluded from decoding. 制御手段は、通信データに含まれる入力タイプ、入力フォーマット、表示テキストの内容の少なくともいずれかを用いて機密情報を要求する情報が含まれていることを検出する
請求項1〜3のいずれかに記載の通信データ中継装置。 The control means detects that information requesting confidential information is included using at least one of the input type, the input format, and the content of the display text included in the communication data. The communication data relay device described. プロキシサーバに、
暗号化された通信データを受信するステップと、
受信した暗号化された通信データを復号するステップと、
復号した通信データに機密情報を要求する情報が含まれている場合に、それ以降に受信した通信データを復号しないように制御するステップ
を実行させるプログラム。


To the proxy server,
Receiving encrypted communication data; and
Decrypting the received encrypted communication data;
A program for executing a step of controlling not to decrypt communication data received after that when the decrypted communication data includes information requesting confidential information.


JP2016115714A 2016-06-09 2016-06-09 Communication data relay device and program Active JP6699377B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016115714A JP6699377B2 (en) 2016-06-09 2016-06-09 Communication data relay device and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016115714A JP6699377B2 (en) 2016-06-09 2016-06-09 Communication data relay device and program

Publications (2)

Publication Number Publication Date
JP2017219776A true JP2017219776A (en) 2017-12-14
JP6699377B2 JP6699377B2 (en) 2020-05-27

Family

ID=60657975

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016115714A Active JP6699377B2 (en) 2016-06-09 2016-06-09 Communication data relay device and program

Country Status (1)

Country Link
JP (1) JP6699377B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019098242A1 (en) 2017-11-15 2019-05-23 三菱ケミカル株式会社 Method for producing aldehyde and method for producing alcohol
JP2020088478A (en) * 2018-11-19 2020-06-04 三菱電機株式会社 Relay device, relay method, and relay program
JP2021103518A (en) * 2019-12-24 2021-07-15 バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド Privacy data processing method, privacy data processing apparatus, device and medium

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6546486B1 (en) * 2000-02-23 2003-04-08 Sun Microsystems, Inc. Content screening with end-to-end encryption within a firewall
US20030191963A1 (en) * 2002-04-04 2003-10-09 Joel Balissat Method and system for securely scanning network traffic
JP2008011360A (en) * 2006-06-30 2008-01-17 Quality Kk Personal information management system, personal information management server and personal information management program
US7590844B1 (en) * 2002-04-26 2009-09-15 Mcafee, Inc. Decryption system and method for network analyzers and security programs
JP2012529233A (en) * 2009-06-04 2012-11-15 マイクロソフト コーポレーション Transfer pipeline decryption for content scan agents
WO2015029129A1 (en) * 2013-08-27 2015-03-05 三菱電機株式会社 Data processing apparatus, data processing method and program
JP2016500207A (en) * 2012-10-19 2016-01-07 インテル・コーポレーション Encrypted data inspection in network environment

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6546486B1 (en) * 2000-02-23 2003-04-08 Sun Microsystems, Inc. Content screening with end-to-end encryption within a firewall
US20030191963A1 (en) * 2002-04-04 2003-10-09 Joel Balissat Method and system for securely scanning network traffic
US7590844B1 (en) * 2002-04-26 2009-09-15 Mcafee, Inc. Decryption system and method for network analyzers and security programs
JP2008011360A (en) * 2006-06-30 2008-01-17 Quality Kk Personal information management system, personal information management server and personal information management program
JP2012529233A (en) * 2009-06-04 2012-11-15 マイクロソフト コーポレーション Transfer pipeline decryption for content scan agents
JP2016500207A (en) * 2012-10-19 2016-01-07 インテル・コーポレーション Encrypted data inspection in network environment
WO2015029129A1 (en) * 2013-08-27 2015-03-05 三菱電機株式会社 Data processing apparatus, data processing method and program

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019098242A1 (en) 2017-11-15 2019-05-23 三菱ケミカル株式会社 Method for producing aldehyde and method for producing alcohol
JP2020088478A (en) * 2018-11-19 2020-06-04 三菱電機株式会社 Relay device, relay method, and relay program
JP7213664B2 (en) 2018-11-19 2023-01-27 三菱電機株式会社 Relay device, relay method and relay program
JP2021103518A (en) * 2019-12-24 2021-07-15 バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド Privacy data processing method, privacy data processing apparatus, device and medium
JP7069286B2 (en) 2019-12-24 2022-05-17 バイドゥ オンライン ネットワーク テクノロジー(ペキン) カンパニー リミテッド Privacy data processing methods, privacy data processing devices, devices and media

Also Published As

Publication number Publication date
JP6699377B2 (en) 2020-05-27

Similar Documents

Publication Publication Date Title
US10769264B2 (en) Systems and methods for authentication via bluetooth device
US10356057B2 (en) Key pair infrastructure for secure messaging
US20190386984A1 (en) Two-factor authentication through ultrasonic audio transmissions
US11170379B2 (en) Peer forward authorization of digital requests
KR101699733B1 (en) Barcode authentication for resource requests
EP3629152A1 (en) Using individualized apis to block automated attacks on native apps and/or purposely exposed apis
TR201810238T4 (en) The appropriate authentication method and apparatus for the user using a mobile authentication application.
US9003540B1 (en) Mitigating forgery for active content
MX2011002423A (en) Authorization of server operations.
KR20100087029A (en) Performing secure electronic transactions
KR20150111162A (en) Method for supporting login through user terminal and apparatus therefore
US10643204B2 (en) Cryptography method and system for securing data via electronic transmission
US9853954B2 (en) Protecting sensitive information using an untrusted device
JP6699377B2 (en) Communication data relay device and program
JP4979210B2 (en) Login information management apparatus and method
CN113630412B (en) Resource downloading method, resource downloading device, electronic equipment and storage medium
US11270297B2 (en) Payment handling apparatus and method
US20190012467A1 (en) Improved storage system
JP4627316B2 (en) Service providing system, authentication method, authentication program, and recording medium therefor
KR101788019B1 (en) Apparatus and method for preventing data loss
KR101308081B1 (en) Authentication method using two communication terminals
KR101019616B1 (en) Authentication method using two communication terminals
US11095630B1 (en) Authenticating mobile traffic
KR102123405B1 (en) System and method for providing security membership and login hosting service
TWM551721U (en) Login system implemented along with a mobile device without password

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190423

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200331

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200413

R150 Certificate of patent or registration of utility model

Ref document number: 6699377

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350