JP2022531678A - データ漏洩防止 - Google Patents

データ漏洩防止 Download PDF

Info

Publication number
JP2022531678A
JP2022531678A JP2021565789A JP2021565789A JP2022531678A JP 2022531678 A JP2022531678 A JP 2022531678A JP 2021565789 A JP2021565789 A JP 2021565789A JP 2021565789 A JP2021565789 A JP 2021565789A JP 2022531678 A JP2022531678 A JP 2022531678A
Authority
JP
Japan
Prior art keywords
message
module
data
tcp connection
tcp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021565789A
Other languages
English (en)
Other versions
JP7395615B2 (ja
Inventor
朱学朋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Publication of JP2022531678A publication Critical patent/JP2022531678A/ja
Application granted granted Critical
Publication of JP7395615B2 publication Critical patent/JP7395615B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/564Enhancement of application control based on intercepted application data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

データ漏洩防止(DLP)デバイス及びメッセージ処理方法であって、DLPデバイスはユーザデバイスから送信された、トランスミッションコントロールプロトコルTCPポート情報を含むインターネットプロトコルIPメッセージを受信し、TCPポート情報によって、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されているか否かを検出し、第1のTCP接続が確立されていない場合、IPメッセージがデータメッセージである時に、IPメッセージのメッセージ特徴と各アプリケーション層プロトコルに対応するメッセージ特徴とを照合し、IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定し、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されている場合、TCPポート情報によって、TCP接続ペアを確立し、TCP接続ペアは、第1のTCP接続、及びDLPデバイスとサーバとの間の第2のTCP接続を含む。【選択図】図1

Description

本願は2019年5月21日に中国国家知的財産権局へ提出された、出願番号が201910426343.7であり、発明の名称が「データ漏洩防止デバイス及びメッセージ処理方法」である中国特許出願に基づき優先権を主張し、当出願の全ての内容を援用する。
情報技術の急速な発展に伴い、インターネットは、日常事務、通信コミュニケーション、及びコラボレーションに欠かせないものになったが、インターネットが作業の効率を向上させた一方で、情報の記録及びコンピューターへのアクセス制御に対するセキュリティが要求される。しかしながら、社内人がインターネットによりある操作を意図的に、または意図せずに実行することによって、ネットワークリークなどの重大な損失事項がよく発生する。この課題を解決するために、データ漏洩防止(Data Leakage Prevention、略称DLP)技術が提出された。
現在、DLP技術でセキュリティ保護を行う時、代理デバイスであるDLPデバイスは、ブリッジによりユーザデバイスとサーバとの間に接続される。DLPデバイスは、指定された1つ又は複数のトランスミッションコントロールプロトコル(Transmission Control Protocol、略称TCP)ポートを傍受する。DLPデバイスはユーザデバイスから伝送されたハンドシェイクメッセージを受信した後、予めに設定されたファイアウォール規則によって、指定されたTCPポートにハンドシェイクメッセージをマッピングする。そして、DLPデバイスは、指定されたTCPポートによって、ユーザデバイスとのTCP接続を確立する。なお、DLP設備は、指定されたTCPポートによって、サーバとのTCP接続を確立する。
これにより、DLP設備は、指定されたTCPポートによって、ユーザデバイス及びサーバとのTCP接続をそれぞれ確立する。さらに、ユーザデバイスとサーバは、DLP設備によって、相手デバイスにメッセージを伝送するようになっている。
前記データ漏洩防止の処理において、DLPデバイスは指定されたTCPポートを傍受することができ、また、データ漏洩防止の実現はオペレーティングシステムが提供したブリッジとファイアウォール規則に依存するので、ブリッジが故障し、カーネルクラッシュまでもがおこる場合は、DLPデバイスとユーザデバイス及びサーバのそれぞれとの間で確立されたTCP接続が中断され、ユーザデバイスがネットワークにアクセスできなくなる問題が発生する。
図1は、本願の実施例が提供するDLPソフトウェア構造の模式図である。 図2は、本願の実施例が提供するDLPデバイスの構成の模式図である。 図3は、本願の実施例が提供するHTTPメッセージ処理の模式的なフローチャートである。 図4は、本願の実施例が提供する他のDLPデバイスの構成の模式図である。 図5は、本願の実施例が提供するIPメッセージ処理の模式的なフローチャートである。 図6は、本願の実施例が提供する代理モジュールのメッセージ処理の模式的なフローチャートである。 図7は本願の実施例が提供するDLPサービススキャンサブモジュールと代理モジュールのメッセージ処理の模式的なフローチャートである。 図8は、本願の実施例が提供するメッセージ処理方法の模式的なフローチャートである。
以下、本願の実施例の図面を参照して、本願の実施例の技術案を明確かつ完全に説明する。勿論、説明される実施例は、本願の一部の実施例にすぎず、すべての実施例ではない。本願における実施例に基づいて、当業者が創造的な働きをしなくでも得られるすべての実施例は、いずれも本願が特許請求する範囲に入る。
本願の実施例は、DLPデバイスの任意のTCPポートに対する傍受を実現するため、そして、ブリッジの故障やカーネルクラッシュによってユーザがネットワークにアクセスできなくなる問題を解決するために、DLPデバイスを提供する。図1に示すDLPソフトウェア構造は、DLP管理プラットフォームとDLPデバイスとを含む。DLP管理プラットフォームは、ユーザに、DLPデバイスを管理、操作するためのプラットフォームを提供する。
具体的に、DLP管理プラットフォームは、DLPイベント表示モジュールとDLPポリシー作成モジュールとを含む。
ここで、DLPイベント表示モジュールは、DLPデバイスが発信したDLPイベントを表示するためのものである。DLPイベントとは、DLPデバイスのDLPサービスに対するスキャン処理の処理結果である。処理結果は、メッセージを通過させることやメッセージを遮断することなどを含む。
DLPポリシー作成モジュールは、ユーザが入力したセキュリティポリシーを受信し、DLPデバイスにセキュリティポリシーを送信するためのものである。
DLPデバイスは、ドライバーモジュール、インターネットプロトコル(Internet Protocol、略称IP)メッセージ転送モジュール、DLP前処理モジュール、アプリケーション(Application、略称APP)代理入口、APP代理出口、TCP代理とセキュリティソケットレイヤー(Secure Sockets Layer、略称SSL)オフロードモジュール、ディープパケットインスペクション(Deep Packet Inspection、略称DPI)エンジン、DLPサービススキャンモジュール、DLP通信モジュールなどを含む。
ここで、ドライバーモジュールは、ネットワークカードが受信したIPメッセージをユーザモードバッファにマッピングするためのものである。
IPメッセージ転送モジュールはIPメッセージを転送するためのものである。IPメッセージ転送モジュールは、完全なDLPデバイスのIPメッセージ転送機能を実現できる。
DLP前処理モジュールは、IPメッセージフラグメントを再構成すること、及びTCPメッセージフラグメントを再構成することなどのメッセージ前処理操作を行うためのものである。
TCP代理とSSLオフロードモジュールは、TCPユーザモードプロトコルスタック及びオープンセキュリティソケットレイヤー(Open Secure Sockets Layer、略称OpenSSL)暗号ライブラリを管理するためのものである。
中間キャッシュは、DLPデバイスがIPメッセージの処理において生成するデータを一時保存するためのものである。
TCP入口は、DLPデバイスがIPメッセージを受信する時に、APP代理入口にIPメッセージに対応する構造体を提供するためのものである。ここで、IPメッセージは当該TCP入口のTCPポート情報を含む。
TCP出口は、DLPデバイスがIPメッセージを送信する時に、APP代理出口にTCP入口のTCPポート情報を提供するためのものである。
APP代理入口は、TCPユーザモードプロトコルを呼び出してTCP入口とTCP出口を作成し、IPメッセージ転送モジュールがTCP入口を介してAPP代理入口に送信するIPメッセージに対応する構造体を受信し、OpenSSL暗号ライブラリを呼び出して、IPメッセージのユーザデータを復号し、復号して得たユーザデータを中間バッファに一時保存し、DPIエンジンに構造体を送信するためのものである。
DPIエンジンは、APP代理入口から送信された構造体を受信し、IPメッセージに対してプロトコル分析を行い、IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定し、IPメッセージに含まれるユーザデータを復元するためのものである。
DLPサービススキャンモジュールは、DPIエンジンから送信されたスキャン通知情報を受信して、DLPサービスに対してスキャン処理を行うためのものである。具体的に、セキュリティポリシーから、ユーザデータにマッチングする目標マッチング項目を探し、目標マッチング項目に対応する動作項目により、APP代理出口に対応の通知情報を送信する。
APP代理出口は、DLPサービススキャンモジュールから送信された通知情報を受信し、TCP出口を呼び出し、IPメッセージ転送モジュールに指示してメッセージを転送させ、或いは、一時保存されたIPメッセージをリリースする。
DLP通信モジュールは、DLPサービススキャンモジュールがDLPサービスに対するスキャン処理の処理結果を取得して、DLP管理プラットフォームに処理結果を送信し、DLP管理プラットフォームから送信されたセキュリティポリシーを受信するためのものである。
本願の実施例において、DLPデバイスは、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていると確定した時、IPメッセージに含まれるTCPポート情報に基づいて、DLPデバイスとユーザデバイスとの第1のTCP接続、及びDLPデバイスとサーバとの第2のTCP接続とを確立し、さらに、第1のTCP接続と第2のTCP接続によって、ユーザデバイスのデータ漏洩防止を実現する。
DLPデバイスは、データ漏洩防止において、任意のTCPポートに対する傍受を実現することが理解できる。なお、DLPデバイスは、他にブリッジやファイアウォール規則を設置せずに、ブリッジの故障やカーネルクラッシュによってユーザがネットワークにアクセスできなくなる問題を解決した。
以下、具体的な実施例によって、本願の実施例が提供するDLPデバイスを説明する。
図2は本願の実施例が提供するDLPデバイスの模式図である。当該DLPデバイスは、ネットワークカード104と、ドライバーモジュール100と、転送モジュール101と、代理モジュール102と、DPIモジュール103とを含む。ここで、ドライバーモジュール100と、転送モジュール101と、代理モジュール102と、DPIモジュール103とはソフトウェアモジュール、即ち、中央処理装置(Central Processing Unit、略称CPU)でソフトウェアプログラムを実行して実現するモジュールであってもよい。前記転送モジュール101は、図1のIPメッセージ転送モジュールである。前記代理モジュール102は、図1のAPP代理出口とAPP代理入口とを含む。前記DPIモジュール103は、図1のDPIエンジンとDPIサービススキャンモジュールを含む。
ここで、ネットワークカード104は、ユーザデバイスから送信されたIPメッセージを受信し、ドライバーモジュール100にIPメッセージを送信するためのものである。IPメッセージは、IPヘッダ、TCPヘッダなどの情報を含む。ここで、TCPヘッダはTCPポート情報を含む。IPメッセージは、プロトコルメッセージであってもよく、データメッセージでもよい。
ドライバーモジュール100は、IPメッセージを受信し、IPメッセージをユーザモードバッファに一時保存するためのものである。
本願の実施例において、バッファは、カーネルモードバッファとユーザモードバッファとを含む。DLPデバイスがカーネルモードバッファにデータを一時保存する速度は、ユーザモードバッファにデータを一時保存する速度より速い。上位層アプリケーションは、ユーザモードバッファに格納されているデータを直接にアクセスできるが、カーネルモードバッファに格納されているデータを直接にアクセスできない。
一例では、ドライバーモジュール100は、IPメッセージを受信すると、ひとまずIPメッセージをカーネルモードバッファに格納し、その後、IPメッセージをカーネルモードバッファからユーザモードバッファにコピーしてもよい。
別の例では、ドライバーモジュール100は、IPメッセージをユーザモードバッファに格納してもよい。こうすれば、ドライバーモジュール100は、IPメッセージをカーネルモードバッファからユーザモードバッファにコピーする必要がなくなり、メッセージ処理の効率を向上させる。
一例では、ドライバーモジュール100として、CPUが提供するゼロコピーテクノロジーのドライバーモジュール、例えば、データプレーン開発キット(Data Plane Development Kit、略称DPDK)を採用してもよい。それによって、受信したIPメッセージを、カーネルモードバッファをスキップするように、ユーザモードバッファに直接に一時保存することを実現できる。
転送モジュール101は、ユーザモードバッファからIPメッセージを読み取り、IPメッセージに対応する構造体を生成し、代理モジュール102に構造体を送信するためのものである。
本願の実施例において、転送モジュール101は、IPメッセージを転送し、転送の各段階に上位層のサービスポートを呼び出し、IPメッセージを処理するためのものである。
具体的に、転送モジュール101は、ユーザモードバッファからIPメッセージを読み取り、IPメッセージを分析し、IPメッセージに対応する構造体を生成することができる。ここで、IPメッセージの構造体は、IPメッセージのIPヘッダ情報やTCPヘッダ情報、IPメッセージの格納箇所などを含む。転送モジュール101は、IPメッセージに対応する構造体を代理モジュール102に送信する。
代理モジュール102は、転送モジュール101から送信されたIPメッセージに対応する構造体を受信し、IPメッセージに対応する構造体によって、TCPポート情報を取得し、TCPポート情報によって、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されているか否かを検出し、第1のTCP接続が確立されていない場合、IPメッセージがデータメッセージである時に、DPIモジュール103にIPメッセージに対応する構造体を送信するためのものである。
代理モジュール102は、転送モジュール101から送信された構造体を受信した後、構造体からTCPポート情報を取得してもよく、構造体に基づいて、IPメッセージの格納箇所を確定し、格納箇所によってIPメッセージを見つけ、IPメッセージからTCPポート情報を取得してもよい。代理モジュール102は、TCPポート情報によって、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されているか否かを検出する。
選択可能な一実施例において、DLPデバイスは、TCP接続リストを設置してもよい。TCP接続リストは、DLPデバイスとユーザデバイスとの間に確立したTCP接続のTCPポート情報を含む。これによって、前記代理モジュール102は、TCPポート情報によって、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されているか否かを検出する処理は、以下のように実現される。
具体的には、代理モジュール102は、取得したTCPポート情報によって、TCP接続リストに当該TCPポート情報が含まれているか否かを検出する。含まれている場合、代理モジュール102は、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されていると確定する。含まれていない場合、代理モジュール102は、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されていないと確定する。
第1のTCP接続が確立されている場合、代理モジュール102は、DPIモジュール103にIPメッセージに対応する構造体を送信する。DPIモジュール103は、IPメッセージに対応する構造体によって、IPメッセージに対してプロトコル認識を行う。
第1のTCP接続が確立されていない場合、代理モジュール102は、IPメッセージのメッセージの類型を検出し、即ち、IPメッセージがプロトコルメッセージであるか、データメッセージであるかを検出する。本願の実施例において、プロトコルメッセージは、具体的にハンドシェイクメッセージであってもよい。ハンドシェイクメッセージは、デバイス同士の間でTCP接続を確立するためのものである。下記実施例において、プロトコルメッセージがハンドシェイクメッセージである例で説明する。
代理モジュール102が検出したIPメッセージがデータメッセージである場合、代理モジュール102はDPIモジュール103にIPメッセージに対応する構造体を送信する。
DPIモジュール103は、代理モジュール102から送信されたIPメッセージに対応する構造体を受信し、IPメッセージに対応する構造体によって、IPメッセージのメッセージ特徴を取得し、IPメッセージのメッセージ特徴を各アプリケーション層プロトコルに対応するメッセージ特徴と照合し、IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定し、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されている場合、代理モジュール102に第1の情報を送信するためのものである。
ここで、第1の通知情報は、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていることを指示する。IPメッセージのメッセージ特徴は、IPメッセージの5タプル情報やメッセージの長さ、特徴キーワードなどを含んでもよい。
DPIモジュール103は、IPメッセージに対応する構造体を受信した後、IPメッセージに対してプロトコル認識を行う。具体的に、DPIモジュール103は、IPメッセージに対応する構造体によって、IPメッセージの格納箇所を確定し、格納箇所によってIPメッセージを見つけ、IPメッセージのメッセージ特徴を取得し、IPメッセージのメッセージ特徴を各アプリケーション層プロトコルに対応するメッセージ特徴と照合することによって、IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定する。
本願の実施例において、DLPデバイスには、各アプリケーション層プロトコルに対応するメッセージ特徴が予めに配置されている。例えば、アプリケーション層プロトコルとしては、プロトコル1とプロトコル2がある。DLPデバイスに予めに配置されている各アプリケーション層プロトコルに対応するメッセージ特徴は、プロトコル1に対応するメッセージ特徴であるx及びxxと、プロトコル2に対応するメッセージ特徴であるy及びyyとを含む。DPIモジュール103は、メッセージ特徴がx及びxxである一IPメッセージを取得した場合、当該IPメッセージのメッセージ特徴がプロトコル1に対応するメッセージ特徴にマッチングし、プロトコル1が当該メッセージの伝送に使用されたアプリケーション層プロトコルであると確定する。
DPIモジュール103はIPメッセージの伝送に使用されたアプリケーション層プロトコルを確定した後、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されている予めに設定されたアプリケーション層プロトコルであるか否かを検出する。そうである場合、DPIモジュール103は、代理モジュール102に第1の通知情報を送信する。
ここで、例として、第1の通知情報は関数の戻り値であってもよいが、これに限定しない。この関数の戻り値は、具体的に、DPIモジュール103と代理モジュール102とが予めに取り決めた結果である。例えば、0で傍受されていることを表し、1で傍受されていないことを表す。DPIモジュール103は、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていると確定した場合、代理モジュール102に関数値0を送信する。
前記関数は、Fun()関数、get()関数などであってもよい。本願の実施例において限定しない。本願の実施例において、0で傍受されていることを表し、1で傍受されていないことを表す例のみで説明するが、これに限定しない。例えば、3で傍受されていることを表し、4で傍受されていないことを表してもよい。
代理モジュール102は、さらに、第1の通知情報を受信した後、IPメッセージのTCPポート情報によって、TCP接続ペアを確立する。ここで、TCP接続ペアは、第1のTCP接続と、DLPデバイスと前記サーバとの間の第2のTCP接続とを含む。
代理モジュール102は、第1の通知情報を受信した後、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていると確定し、TCPユーザモードプロトコルスタックを利用し、IPメッセージのTCPポート情報によって、ユーザデバイスとの第1のTCP接続を確立し、サーバとの第2のTCP接続を確立する。
第1のTCP接続の確立に使用されたTCPポート情報とIPメッセージに含まれているTCPポート情報とが同じであることが理解できる。同じく、第2のTCP接続の確立に使用されたTCPポート情報とIPメッセージに含まれているTCPポート情報とが同じである。DLPデバイスによってユーザデバイスとサーバとの間のTCP接続が第1のTCP接続と第2のTCP接続に区切る、即ち、DLPデバイスがユーザデバイスとサーバとの間のTCP接続を分断しても、ユーザデバイスから送信されたIPメッセージのTCPポートなどの情報を変更せず、IPメッセージが代理されることがサーバに発見されるリスクを低下させる。
本願の実施例において、前記第1のTCP接続及び第2のTCP接続のような、DLPデバイスが確立したTCP接続に対して、DLPデバイスは、これらのTCP接続の確立に使用された任意のTCPポートを傍受できる。これによって、DLPデバイスは、データ漏洩防止を実行する際に、指定されたTCPポートを傍受するに代わって、任意のTCPポートに対する傍受を実現した。
任意で、本願の実施例において、代理モジュール102はIPメッセージのメッセージの類型を検出する処理において、IPメッセージがプロトコルメッセージ(例えば、ハンドシェイクメッセージ)であると確定した場合、転送モジュール101に第2の通知情報を送信してもよい。
ここで、第2の通知情報は、IPメッセージがプロトコルメッセージであることを指示する。
転送モジュール101は、第2の通知情報を受信した後、第2の通知情報によって、IPメッセージがプロトコルメッセージであると確定する。転送モジュール101は、ユーザモードバッファからIPメッセージを読み取り、サーバに当該IPメッセージを送信する。サーバは、当該IPメッセージによって、ユーザデバイスとのTCP接続を確立する。このように、DLPデバイスが処理するメッセージの数を低下させ、DLPデバイスの負荷を軽減し、且つ、ユーザデバイスがサーバとのTCP接続を直接に確立し、IPメッセージが代理されることがサーバに発見されるリスクを低下させる。
ここで、例として、第2の通知情報は関数の戻り値であってもよいが、これに限定しない。この関数の戻り値は、具体的に、代理モジュール102と転送モジュール101とが予めに取り決めた結果である。例えば、0でIPメッセージがプロトコルメッセージであることを表し、1でIPメッセージがデータメッセージであることを表す。DPIモジュール103は、IPメッセージがプロトコルメッセージであると検出した場合、代理モジュール102に関数値0を送信する。DPIモジュール103は、IPメッセージがデータメッセージであると検出した場合、代理モジュール102に関数値1を送信する。
前記関数は、Fun()関数、get()関数などであってもよい。本願の実施例は、これに対して限定しない。本願の実施例において、0でIPメッセージがプロトコルメッセージであることを表し、1でIPメッセージがデータメッセージであることを表す例のみで説明するが、これに限定しない。例えば、3でIPメッセージがプロトコルメッセージであることを表し、4でIPメッセージがデータメッセージであることを表してもよい。
任意で、本願の実施例において、DPIモジュール103は、さらに、ディープパケットインスペクションステップを実行するためのものであってもよく、これにより、データ漏洩防止を実現する。
具体的に、IPメッセージは、さらに、第1のユーザデータを含む。まず、DPIモジュール103は、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていると確定した場合、DPIモジュール103は、第1のユーザデータの位置をマークする。即ち、DPIモジュール103は、IPメッセージにおいて第1のユーザデータが位置する具体的なバイトをマークする。
そして、DPIモジュール103は、IPメッセージに対してデカプセル化処理を行い、カプセルヘッダが除去された内部メッセージを得る。DPIモジュール103は、マークされた位置に対応する第1のユーザデータを取得して一時保存する。ここで、第1のユーザデータの位置に対応する第1のユーザデータとは、IPメッセージにおいて第1のユーザデータの位置にあるユーザデータである。
最後に、DPIモジュール103は、予めに設定されたセキュリティポリシーを取得する。セキュリティポリシーはマッチング項目と動作項目を含む。DPIモジュール103は、セキュリティポリシーから、第1のユーザデータにマッチングする目標マッチング項目を探し、目標マッチング項目に対応する動作項目を実行する。
任意で、本願の実施例において、DPLモジュール103は、さらに、同じオリジナルデータに属するユーザデータを受信したか否かを判断するステップを実行するためのものであり、これにより、オリジナルデータに対して正確にディープパケットインスペクションを行うことを実現する。
具体的に、DPIモジュール103は、同じオリジナルデータに属する全てのユーザデータを受信したかを判断する。同じオリジナルデータに属する全てのユーザデータを受信した場合、即ち、オリジナルデータに復元できる場合、DPIモジュール103は、予めに設定されたセキュリティポリシーを取得し、セキュリティポリシーから、ユーザデータにマッチングする目標マッチング項目を探す。同じオリジナルデータに属する全てのユーザデータを受信しなかった場合、DPIモジュール103は、同じオリジナルデータに属する全てのユーザデータを受信したかに対する判断を繰り返して実行する。
送信端は伝送するオリジナルデータが1つのアプリケーション層メッセージに載せるように伝送を行うことが理解できる。伝送するオリジナルデータの長さ(又はバイト数)が多い場合、送信端はアプリケーション層メッセージに対してフラグメント処理を行う必要がある。つまり、送信端は1つのアプリケーション層メッセージを複数のIPパケットに区切って伝送を行う。前記した1つのIPパケットは、1つのIPメッセージとなる。受信端は、アプリケーション層メッセージの全てのIPメッセージフラグメントを受信した後、伝送されるオリジナルデータに復元する。ここで、アプリケーション層メッセージは、ハイパーテキスト伝送プロトコル(Hyper Text Transport Protocol、略称HTTP)メッセージや、シンプルメール伝送プロトコル(Simple Mail Transfer Protocol、略称SMTP)メッセージ、ファイル伝送プロトコル(File Transfer Protocol、略称FTP)メッセージなどを含む。
一例では、DPIモジュール103は、以下のように、同じオリジナルデータに属する全てのユーザデータを受信したか否かを判断できる。
具体的に、1つのアプリケーション層メッセージが複数のIPメッセージに区切られた場合、最初のIPメッセージにアプリケーション層メッセージの開始マークが載せており、最後のIPメッセージにアプリケーション層メッセージの終了マークが載せている。DPIモジュール103が同じアプリケーション層メッセージに属する開始マークと終了マークを取得した場合、DPIモジュール103は、完全なアプリケーション層メッセージを受信したと確定し、これにより、同じオリジナルデータに属する全てのユーザデータを受信したと確定できる。
例えば、図3に示されるHTTPメッセージの処理の流れである。1つのHTTPメッセージが複数のIPメッセージに区切られ、DLPデバイスが最初のIPメッセージを受信した時、DPIモジュール103は最初のIPメッセージから開始マークを取得した。HTTPメッセージの伝送を行う時に、デバイスは、HTTPメッセージの1つのIPメッセージを通過させ、当該IPメッセージに対応する応答メッセージを受信した場合のみ、HTTPメッセージの次のIPメッセージを送信することが理解できる。
そのため、DPIモジュール103は最初のIPメッセージにおけるユーザデータを一時保存し、最初のIPメッセージを通過させる。同じく、DPIデバイスは、HTTPメッセージの最後のIPメッセージを受信するまで、HTTPメッセージのIPメッセージのそれぞれにおけるユーザデータを一時保存し、IPメッセージのそれぞれを通過させる。DLPデバイスがHTTPメッセージの最後のIPメッセージを受信した後、DPIモジュール103はHTTPメッセージの最後のIPメッセージから終了マークを取得する。この時、DPIモジュール103は、完全なHTTPメッセージを受信した、即ち、同じオリジナルデータに属する全てのユーザデータを受信したと確定する。DPIモジュール103は、予めに設定されたセキュリティポリシーを取得し、セキュリティポリシーから、オリジナルデータにマッチングする目標マッチング項目を探し、目標マッチング項目に対応する動作項目を実行する。
任意で、本願の実施例において、セキュリティポリシーが含む動作項目は、2つのアクションの類型、即ち、メッセージの通過及びメッセージの遮断があってもよい。
一実施形態において、目標マッチング項目に対応する動作項目がメッセージの通過である場合、DPIモジュール103は代理モジュール102に第3の通知情報を送信する。第3の通知情報はIPメッセージを通過させることを指示し、且つ、第3の通知情報は第1のユーザデータの第1の格納箇所を含む。
代理モジュール102は、第3の通知情報を受信した後、IPメッセージを通過させると確定し、第1の格納箇所によって第1のユーザデータを探す。代理モジュール102は、第2のTCP接続のTCPポート情報によって、第1のユーザデータに対してカプセル化処理を行い、第2のユーザデータを得る。第2のユーザデータは、TCPヘッダ及び第1のユーザデータを含む。代理モジュール102は、転送モジュール101に第4の通知情報を送信する。第4の通知情報はIPメッセージを通過させることを指示し、且つ、第4の通知情報は第2のユーザデータの第2の格納箇所を含む。
転送モジュール101は、第4の通知情報を受信した後、IPメッセージを通過させると確定し、第2の格納箇所によって第2のユーザデータを探す。転送モジュール101は、第2のユーザデータに対してカプセル化処理を行い、IPメッセージを取得し、サーバにIPメッセージを送信する。転送モジュール101が第2のユーザデータに対してカプセル化処理を行って得たIPメッセージは、前記ネットワークカード104が受信したIPメッセージと同じであることが理解できる。
他の実施形態において、目標マッチング項目に対応する動作項目がメッセージの遮断である場合、DPIモジュール103は代理モジュール102に第5の通知情報を送信する。第5の通知情報はIPメッセージを遮断することを指示し、且つ、第5の通知情報は第1のユーザデータの第1の格納箇所と第1の遮断データを含む。ここで、第1の遮断データは、DLPデバイスが予めに設定した1つの文字列である。
代理モジュール102は、第5の通知情報を受信した後、第1の格納箇所によって第1のユーザデータを見つけてリリースする。なお、代理モジュール102は、第1のTCP接続のTCPポート情報によって、第1の遮断データに対してカプセル化処理を行い、第2の遮断データを得る。第2の遮断データは、TCPヘッダ及び第1の遮断データを含む。代理モジュール102は、転送モジュール101に第2の遮断データを送信する。
転送モジュール101は第2の遮断データを受信した後、第2の遮断データに対してカプセル化処理を行い、遮断メッセージを得る。転送モジュール101はサーバに代わって、ユーザデバイスに遮断メッセージを送信する。一例において、遮断メッセージは「403禁止(Forbidden)」の遮断メッセージである。ここで、「403禁止(Forbidden)」は第1の遮断データとして理解できる。
ユーザデバイスが遮断メッセージを受信した後、今回のアクセスが失敗で、アクセスデータにエラーが発生したことを確定できる。
ここで、例として、第3の通知情報と第5の通知情報は関数の戻り値であってもよいが、これに限定しない。これらの関数の戻り値は、DPIモジュール103と代理モジュール102とが予めに取り決めた結果である。例えば、3でメッセージを通過させることを表し、4でメッセージを遮断することを表す。DPIモジュール103は、目標マッチング項目に対応する動作項目がメッセージを通過させることであると確定した場合、代理モジュール102に関数値3を送信する。DPIモジュール103は、目標マッチング項目に対応する動作項目がメッセージを遮断することであると確定した場合、代理モジュール102に関数値4を送信する。
前記関数は、Fun()関数、get()関数などであってもよい。本願の実施例は、これに対して限定しない。本願の実施例において、3でメッセージを通過させることを表し、4でメッセージを遮断することを表す例のみで説明するが、これに限定しない。例えば、1でメッセージを通過させることを表し、0でメッセージを遮断することを表してもよい。
同じく、第4の通知情報は関数の戻り値であってもよい。この関数の戻り値は、転送モジュール101と代理モジュール102とが予めに取り決めた結果である。例えば、3でメッセージを通過させることを表し、4でメッセージを遮断することを表す。代理モジュール102は、第3の通知情報を受信した場合、転送モジュール101に関数値3を送信する。代理モジュール102は、第5の通知情報を受信する場合、転送モジュール101に関数値4を送信する。
前記関数は、Fun()関数、get()関数などであってもよい。本願の実施例は、これに対して限定しない。本願の実施例において、3でメッセージを通過させることを表し、4でメッセージを遮断することを表す例のみで説明するが、これに限定しない。例えば、1でメッセージを通過させることを表し、0でメッセージを遮断することを表してもよい。
任意で、本願の実施例において、DPIモジュール103は、さらに、前記IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていない場合、代理モジュール102に第6の通知情報を送信する処理を実行するためのものであり、これにより、IPメッセージの高速転送を実現する。
具体的に、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていない場合、DPIモジュール103は代理モジュール102に第6の通知情報を送信する。第6の通知情報は、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていることを指示する。
代理モジュール102は、第6の通知情報を受信し、転送モジュール101に送信する。転送モジュール101は第6の通知情報を受信した後、第6の通知情報によって、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていると確定し、ユーザモードバッファからIPメッセージを読み取り、サーバにIPメッセージを送信する。この時、DPIモジュール103は、IPメッセージに対してディープパケットインスペクションを行わず、IPメッセージの転送の効率を向上させる。
ここで、例として、第6の通知情報は関数の戻り値であってもよいが、これに限定しない。この関数の戻り値は、具体的に、DPIモジュール103と代理モジュール103とが予めに取り決めた結果である。例えば、0で傍受されていることを表し、1で傍受されていないことを表す。DPIモジュール103は、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていないと確定する場合、代理モジュール102に関数値1を送信する。
任意で、本願の実施例において、図4のように、DPIモジュール103は、さらに、DPIプロトコル解析サブモジュール1031と、データ復元サブモジュール1032と、DLPサービススキャンサブモジュール1033とを含む。図4に示されるDLPデバイスに基づいて、IPメッセージの処理の流れは図5に示される。
具体的に、ドライバーモジュール100は、IPメッセージを受信し、IPメッセージをユーザモードバッファに一時保存する。
転送モジュール101は、ユーザモードバッファからIPメッセージを読み取り、IPメッセージに対応する構造体を生成し、代理モジュール102に構造体を送信する。
代理モジュール102は、構造体を受信し、構造体によって、TCPポート情報を取得し、TCPポート情報によって、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されているか否かを検出し、第1のTCP接続が確立されていない場合、IPメッセージがデータメッセージである時に、DPIプロトコル解析サブモジュール1031に構造体を送信する。
DPIプロトコル解析サブモジュール1031は、代理モジュール102から送信された構造体を受信し、構造体によって、IPメッセージの格納箇所を確定し、格納箇所によってIPメッセージを見つける。従来のアプリケーション層プロトコル認識に基づき、DPIプロトコル解析サブモジュール1031はIPメッセージに対してプロトコル認識を行い、IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定する。DPIプロトコル解析サブモジュール1031は、IPメッセージの伝送するためのアプリケーション層プロトコルが傍受されているか否かを判断する。IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されている場合、DPIプロトコル解析サブモジュール1031は、IPメッセージに含まれる第1のユーザデータの位置を分析してマークし、データ復元サブモジュール1032に、マークされた第1のユーザデータの位置を送信する。
データ復元サブモジュール1032は、IPメッセージに対してデカプセル化処理を行い、マークされた位置に対応する第1のユーザデータを取得して一時保存する。データ復元サブモジュール1032は、同じオリジナルデータに属する全てのユーザデータを受信したか否かを判断する。同じオリジナルデータに属する全てのユーザデータを受信しなかった場合、データ復元サブモジュール1032は第1のユーザデータを一時保存する。同じオリジナルデータに属する全てのユーザデータを受信した場合、データ復元サブモジュール1032は、DLPサービススキャンサブモジュール1033に登録されたポートを呼び出し、DLPサービススキャンサブモジュール1033にスキャン通知情報を送信する。スキャン通知情報は第1のユーザデータの第1の格納箇所を含む。
DLPサービススキャンサブモジュール1033は、第1の格納箇所によって第1のユーザデータを取得する。DLPサービススキャンサブモジュール1033は、予めに設定されたセキュリティポリシーを取得し、セキュリティポリシーから、第1のユーザデータにマッチングする目標マッチング項目を探し、目標マッチング項目に対応する動作項目によって、代理モジュール102に対応の通知情報を送信する。
例えば、目標マッチング項目に対応する動作項目がメッセージの通過である場合、DLPサービススキャンサブモジュール1033は代理モジュール102に第3の通知情報を送信する。目標マッチング項目に対応する動作項目がメッセージの遮断である場合、DLPサービススキャンサブモジュール1033は代理モジュール102に第5の通知情報を送信する。
任意で、本願の実施例において、DLPサービススキャンサブモジュール1033は、第1のユーザデータにマッチングする目標マッチング項目を見つけた後、DPIプロトコル解析サブモジュール1031に目標マッチング項目に対応する動作項目を送信する。DPIプロトコル解析サブモジュール1031は、代理モジュール102に対応の通知情報を送信する。
例えば、目標マッチング項目に対応する動作項目がメッセージの通過である場合、DPIプロトコル解析サブモジュール1031は代理モジュール102に第3の通知情報を送信する。目標マッチング項目に対応する動作項目がメッセージの遮断である場合、DPIプロトコル解析サブモジュール1031は代理モジュール102に第5の通知情報を送信する。
代理モジュール102は、第3の通知情報を受信した場合、第1のユーザデータの第1の格納箇所によって第1のユーザデータを探し、第2のTCP接続のTCPポート情報によって第1のユーザデータに対してカプセル化処理を行い、TCPヘッダ及び第1のユーザデータを含む第2のユーザデータを取得し、転送モジュール101に第4の通知情報を送信する。転送モジュール101は第4の通知情報を受信し、第2のユーザデータの第2の格納箇所によって第2のユーザデータを探し、第2のユーザデータに対してカプセル化処理を行い、IPメッセージを取得し、サーバにIPメッセージを送信する。
代理モジュール102は、第5の通知情報を受信した場合、第1のユーザデータの第1の格納箇所によって第1のユーザデータをリリースし、第1のTCP接続のTCPポート情報によって第1の遮断データに対してカプセル化処理を行い、TCPヘッダ及び第1の遮断データを含む第2の遮断データを取得し、転送モジュール101に第2の遮断データを送信する。転送モジュール101は第2の遮断データを受信し、第2の遮断データに対してカプセル化処理を行い、遮断メッセージを取得し、ユーザデバイスに遮断メッセージを送信する。
代理モジュール102は、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されていないと検出した場合、IPメッセージがハンドシェイクメッセージである時に、転送モジュール101に第2の通知情報を送信する。
転送モジュール101は第2の通知情報を受信し、第2の通知情報によって、サーバにIPメッセージを送信する。
DPIプロトコル解析サブモジュール1031は、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていないと確定した場合、代理モジュール102に第6の通知情報を送信する。
代理モジュール102は、第6の通知情報を受信し、転送モジュール101に送信する。
転送モジュール101は第6の通知情報を受信し、第6の通知情報によって、サーバにIPメッセージを送信する。
理解しやすいように、図6に示される代理モジュール102のメッセージ処理の模式図を参照して、代理モジュール102の処理の流れを説明する。
ステップ601において、代理モジュール102は、転送モジュール101から送信された構造体を受信し、構造体によって、TCPポート情報を取得する。
ステップ602において、代理モジュール102は、TCPポート情報によって、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されているか否かを検出する。第1のTCP接続が確立されていない場合、ステップ603を実行する。第1のTCP接続が確立されている場合、ステップ605を実行する。
ステップ603において、代理モジュール102は、IPメッセージがハンドシェイクメッセージであるか否かを検出する。ハンドシェイクメッセージである場合、ステップ604を実行する。ハンドシェイクメッセージではない、つまり、IPメッセージがデータメッセージである場合、ステップ605を実行する。
ステップ604において、代理モジュール102は、転送モジュール101に第2の通知情報を送信する。
転送モジュール101は第2の通知情報を受信した後、第2の通知情報によって、サーバにIPメッセージを送信する。
ステップ605において、代理モジュール102は、DPIモジュール103に構造体を送信する。
DPIモジュール103は、構造体によって、IPメッセージのメッセージ特徴を取得する。DPIモジュール103は、IPメッセージのメッセージ特徴と各アプリケーション層プロトコルに対応するメッセージ特徴とを照合することで、IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定する。IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されている場合、DPIモジュール103は代理モジュール102に第1の通知情報を送信する。IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていない場合、DPIモジュール103は代理モジュール102に第6の通知情報を送信する。
ステップ606において、代理モジュール102は、第6の通知情報を受信した場合、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていないと確定し、ステップ607を実行する。第1の通知情報を受信した場合、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていると確定し、ステップ608を実行する。
ステップ607において、代理モジュール102は、転送モジュール101に第6の通知情報を送信する。
転送モジュール101は第6の通知情報を受信した後、第6の通知情報によって、サーバにIPメッセージを送信する。
ステップ608において、代理モジュール102は、TCPポート情報によって、TCP接続ペアを確立し、TCP接続ペアは第1のTCP接続及び第2のTCP接続を含む。
前記ステップ601~608の部分を簡単に説明したが、詳細について、図1~5の部分における関する説明を参照する。
理解しやすいように、図7に示されるDLPサービススキャンサブモジュール1033、代理モジュール102のメッセージ処理の模式図を参照して、メッセージ処理の流れを説明する。
ステップ701において、DLPサービススキャンサブモジュール1033は、データ復元サブモジュール1032から送信されたスキャン通知情報を受信する。
ステップ702において、DLPサービススキャンサブモジュール1033は、スキャン通知情報によって、予めに設定されたセキュリティポリシーを取得し、セキュリティポリシーから、第1のユーザデータにマッチングする目標マッチング項目を探す。
ステップ703において、DLPサービススキャンサブモジュール1033は、目標マッチング項目を探せなかった場合、ステップ704を実行する。目標マッチング項目を探せた場合、ステップ706を実行する。
ステップ704において、DLPサービススキャンサブモジュール1033は、代理モジュール102を呼び出し、代理モジュール102に第3の通知情報を送信する。
ステップ705において、代理モジュール102は第1のユーザデータを探し、第2のTCP接続のTCPポート情報によって、第1のユーザデータに対してカプセル化処理を行い、第2のユーザデータを取得し、転送モジュール101に第4の通知情報を送信する。
ステップ706において、DLPサービススキャンサブモジュール1033は、目標マッチング項目に対応する動作項目がメッセージの通過である場合、ステップ704を実行する。DLPサービススキャンサブモジュール1033は、目標マッチング項目に対応する動作項目がメッセージの遮断である場合、ステップ707を実行する。
ステップ707において、DLPサービススキャンサブモジュール1033は、代理モジュール102を呼び出し、代理モジュール102に第5の通知情報を送信する。
ステップ708において、代理モジュール102は、第1のユーザデータをリリースし、第1のTCP接続のTCPポート情報によって、第1の遮断データに対してカプセル化処理を行い、第2の遮断データを取得し、転送モジュール101に第2の遮断データを送信する。
前記ステップ701~708の一部に対する説明は簡単なものであるが、詳細について、図1~5における関連する説明を参照できる。
任意で、本願の実施例において、代理モジュール102は、さらに、IPメッセージがSSLプロトコルの暗号化メッセージである場合、SSLプロトコル接続を確立する処理を実行するためのものである。SSLプロトコル接続を確立することによって、SSLプロトコルの暗号化メッセージが含むユーザデータに対して復号処理を行い、平文のユーザデータを取得することを実現し、これにより、データ漏洩防止の処理を実現する。
具体的に、IPメッセージがSSLプロトコルの暗号化メッセージである場合、代理モジュール102は、OpenSSL暗号ライブラリの第1のインタフェース及び第2のインタフェースをそれぞれ呼び出す。代理モジュール102は、呼び出された第1のインタフェースと第1のTCP接続とをバインドし、呼び出された第2のインタフェースと第2のTCP接続とをバインドして、SSLプロトコル接続の確立を完成する。
代理モジュール102は、IPメッセージに対応する構造体を受信した後、構造体によってIPメッセージの格納箇所を確定し、IPメッセージを見つける。代理モジュール102は、第1のTCP接続とバインドされた第1のインタフェースによってOpenSSL暗号ライブラリを呼び出し、IPメッセージに含まれるユーザデータに対して復号処理を行い、平文のユーザデータを得る。代理モジュール102は、平文のユーザデータの格納箇所をDPIモジュール103に送信する。
代理モジュール102は、DPIモジュール103から送信された第3の通知情報を受信した後、第2のTCP接続とバインドされた第2のインタフェースに基づいて、OpenSSL暗号ライブラリを呼び出し、IPメッセージに含まれるユーザデータに対して暗号化処理を行い、暗号化のユーザデータを得て、暗号化ユーザデータに対してカプセル化処理を行う。
代理モジュール102が受信したIPメッセージが平文メッセージ、例えば、HTTPメッセージやSMTPメッセージ、FTPメッセージなどである場合、代理モジュール102はIPメッセージを処理しなくてもよい。
前記で提供したDLPデバイスの実施例に基づいて、本願の実施例は、さらに、メッセージ処理方法を提供する。図8を参照して、図8は本願の実施例が提供するメッセージ処理方法のフローチャートである。この方法はDLPデバイスに適用して、当該メッセージ処理方法は以下のステップを含む。
ステップ801において、ユーザデバイスから送信されたIPメッセージを受信する。
ここで、IPメッセージは、IPヘッダやTCPヘッダなどの情報を含む。そして、TCPヘッダはTCPポート情報を含む。IPメッセージは、プロトコルメッセージであってもよく、データメッセージでもよい。
DLPデバイスは、ユーザデバイスとサーバとの間に設置される。ユーザデバイスは、DLPデバイスを介してサーバにIPメッセージを送信する。
ステップ802において、TCPポート情報によって、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されているか否かを検出する。第1のTCP接続が確立されていない場合、DLPデバイスはステップ803を実行する。
DLPデバイスはIPメッセージを受信した後、IPメッセージのTCPポート情報を取得する。DLPデバイスは、取得したTCPポート情報によって、DLPデバイスとユーザデバイスとの間に第1のTCP接続が確立されているか否かを検出する。第1のTCP接続が確立されていない場合、DLPデバイスはステップ803を実行する。
ステップ803において、IPメッセージがデータメッセージである時に、IPメッセージのメッセージ特徴と各アプリケーション層プロトコルに対応するメッセージ特徴とを照合することによって、IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定する。
DLPデバイスは、第1のTCP接続が確立されていないと検出した場合、IPメッセージのメッセージの類型を検出する、即ち、IPメッセージが、プロトコルメッセージであるか、データメッセージであるかを検出する。本願の実施例において、プロトコルメッセージは具体的にハンドシェイクメッセージであってもよく、下記の実施例においては、ハンドシェイクメッセージを例として説明する。IPメッセージがデータメッセージであると検出した場合、DLPデバイスは、IPメッセージのメッセージ特徴と各アプリケーション層プロトコルに対応するメッセージ特徴とを照合することによって、IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定する。
ステップ804において、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されている場合、TCPポート情報によって、TCP接続ペアを確立し、TCP接続ペアは、第1のTCP接続、及びDLPデバイスとサーバとの間の第2のTCP接続を含む。
IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されている場合、DLPデバイスは、TCPポート情報によって、ユーザデバイスとの第1のTCP接続を確立する。DLPデバイスは、TCPポート情報によって、サーバとの第2のTCP接続を確立する。以降、DLPデバイスは、第1のTCP接続と第2のTCP接続でIPメッセージを伝送し、IPメッセージのTCPポートを変えず、IPメッセージが代理されることがサーバに発見されるリスクを低下させる。
任意で、本願の実施例において、IPメッセージがプロトコルメッセージ、例えばハンドシェイクメッセージである時に、DLPデバイスはIPメッセージを通過させる、即ち、サーバにIPメッセージを送信する。サーバは、IPメッセージによって、ユーザデバイスとのTCP接続を確立する。このように、DLPデバイスが処理するメッセージの数を減らし、DLPデバイスの負荷を軽減し、且つ、ユーザデバイスとサーバとのTCP接続を直接に確立し、IPメッセージが代理されることがサーバに発見されるリスクを低下させる。
任意で、本願の実施例において、DLPデバイスは、第1のTCP接続が確立されていると検出した場合、IPメッセージのメッセージ特徴と各アプリケーション層プロトコルに対応するメッセージ特徴とを照合することによって、IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定する。DLPデバイスはIPメッセージのメッセージの類型を検出する必要がなくなり、DLPデバイスの負荷を軽減する。
任意で、本願の実施例において、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていない場合、DLPデバイスはIPメッセージを通過させる、即ち、サーバにIPメッセージを送信する。DLPデバイスはIPメッセージを処理せず、DLPデバイスの負荷を軽減する。
任意で、本願の実施例において、IPメッセージはデータメッセージである場合、DLPデバイスは、さらに、IPメッセージに含まれる第1のユーザデータの位置をマークし、IPメッセージに対してデカプセル化処理を行い、マークされた位置に対応する第1のユーザデータを取得して一時保存する。DLPデバイスは、予めに設定されたセキュリティポリシーを取得する。セキュリティポリシーはマッチング項目と動作項目を含む。DLPデバイスは、セキュリティポリシーから、第1のユーザデータにマッチングする目標マッチング項目を探し、目標マッチング項目に対応する動作項目を実行する。
ここで、動作項目はメッセージの通過とメッセージの遮断を含む。一例においては、目標マッチング項目に対応する動作項目がメッセージの通過である場合、DLPデバイスは、第2のTCP接続のTCPポート情報によって、第1のユーザデータに対してカプセル化処理を行い、第2のユーザデータを取得し、サーバにIPメッセージを送信する。
具体的に、目標マッチング項目に対応する動作項目がメッセージの通過である場合、DLPデバイスは、第2のTCP接続のTCPポート情報によって、第1のユーザデータに対してカプセル化処理を行い、第2のユーザデータを得て、第2のユーザデータはTCPヘッダ及び第1のユーザデータを含む。その後、DLPデバイスは、第2のユーザデータに対してカプセル化処理を行い、IPメッセージを得て、サーバにIPメッセージを送信する。
他の実施例においては、目標マッチング項目に対応する動作項目がメッセージの遮断である場合、DLPデバイスは、第1のTCP接続のTCPポート情報によって、遮断メッセージを生成する。DLPデバイスはサーバに代わって、ユーザデバイスに遮断メッセージを送信し、インターネットの安全性を向上させる。
任意で、本願の実施例において、IPメッセージがSSLプロトコルの暗号化メッセージである場合、ユーザデータに対して正確にデータ漏洩防止処理を行うために、DLPデバイスは、OpenSSL暗号ライブラリの第1のインタフェース及び第2のインタフェースをそれぞれ呼び出し、呼び出された第1のインタフェースと第1のTCP接続とをバインドし、呼び出された第2のインタフェースと第2のTCP接続とをバインドする。このように、DLPデバイスは、ユーザデータに対するSSL暗号化・復号の処理を完成でき、平文のユーザデータを取得し、ユーザデータに対して正確にデータ漏洩防止処理を行うことができる。
本願の実施例が提供する技術案において、DLPデバイスは、IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていると確定した時に、IPメッセージに含まれるTCPポート情報に基づいて、DLPデバイスとユーザデバイスとの第1のTCP接続、及びDLPデバイスとサーバとの第2のTCP接続を確立して、第1のTCP接続と第2のTCP接続によって、ユーザデバイスに対するデータ漏洩防止を実現する。本願の実施例において、DLPデバイスは、データ漏洩防止の処理において、任意のTCPポートに対する傍受を実現することが理解できる。なお、DLPデバイスは、他にブリッジとファイアウォール規則を設置せずに、ブリッジの故障やカーネルクラッシュによってユーザがネットワークにアクセスできなくなる問題を解決した。
なお本明細書では、第1や第2などのような関係用語は1つのエンティティ又は操作とその他のエンティティ又は操作とを区別するためのものに過ぎず、必ずしもこれらのエンティティ又は操作の間にこのような実際の関係又は順序があることを要求又は示唆しない。また、用語「含む」や「備える」、又はほかの変換用語は、いずれも、非排他的に含むことを意味するため、一連の要素を含む処理、方法、物品又は装置は、これらの要素を含むだけでなく、明確に挙げられていないほかの要素、又は、このような処理、方法、物品又は装置の固有の要素をさらに含む。特に限定しない限り、文「1つの…を含む」により限定される要素は、前記要素を含む処理、方法、物品又は装置がほかの同一要素をさらに含むことを排除しない。
本明細書における各実施例はいずれも関連的な形で記載されており、各実施例同士における同一又は類似の部分は互いに参照できる。各実施例に対して重点的に説明するのは他の実施例との相違である。特に、方法の実施例について、それ自体がDLPデバイスの実施例とほぼ同じであるため、説明が簡単なものであるが、関連的な内容はDLPデバイスの実施例の部分の説明を参照できる。
以上は本願の好ましい実施例にすぎず、本願の保護請求する範囲を限定するものではない。本願の主旨及び原則を逸脱しない範囲でなされるいかなる補正、等価置換、改良などは、いずれも本開示の保護請求する範囲内に含まれる。

Claims (15)

  1. ユーザデバイスから送信された、トランスミッションコントロールプロトコルTCPポート情報を含むインターネットプロトコルIPメッセージを受信し、ドライバーモジュールにIPメッセージを送信するネットワークカードと、
    前記IPメッセージを受信し、前記IPメッセージをユーザモードバッファに一時保存する前記ドライバーモジュールと、
    前記ユーザモードバッファから前記IPメッセージを読み取り、前記IPメッセージに対応する構造体を生成し、代理モジュールに前記構造体を送信する転送モジュールと、
    前記構造体を受信し、前記構造体によって前記TCPポート情報を取得し、前記TCPポート情報によって前記DLPデバイスと前記ユーザデバイスとの間に第1のTCP接続が確立されているか否かを検出し、前記第1のTCP接続が確立されていない場合、前記IPメッセージがデータメッセージである時に、ディープパケットインスペクションDPIモジュールに前記構造体を送信する前記代理モジュールと、
    前記構造体を受信し、前記構造体によって前記IPメッセージのメッセージ特徴を取得し、前記IPメッセージのメッセージ特徴と各アプリケーション層プロトコルに対応するメッセージ特徴とを照合することによって、前記IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定し、前記IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されている場合、前記代理モジュールに第1の通知情報を送信する前記DPIモジュールと、を備え、
    前記代理モジュールは、さらに、前記第1の通知情報を受信した後、前記TCPポート情報によって、TCP接続ペアを確立し、前記TCP接続ペアは、前記第1のTCP接続、及び、前記DLPデバイスとサーバとの間の第2のTCP接続を含む、データ漏洩防止のDLPデバイス。
  2. 前記代理モジュールは、さらに、前記IPメッセージがプロトコルメッセージである時に、前記転送モジュールに第2の通知情報を送信し、
    前記転送モジュールは、さらに、前記第2の通知情報を受信し、前記サーバが前記IPメッセージによって前記ユーザデバイスとのTCP接続を確立するように、前記第2の通知情報によって前記サーバに前記IPメッセージを送信する、請求項1に記載のDLPデバイス。
  3. 前記DPIモジュールは、さらに、
    前記IPメッセージに含まれる第1のユーザデータの位置をマークし、
    前記IPメッセージに対してデカプセル化処理を行い、マークされた位置に対応する前記第1のユーザデータを取得して一時保存し、
    予めに設定されたセキュリティポリシーを取得し、前記セキュリティポリシーはマッチング項目と動作項目を含み、
    前記セキュリティポリシーから、前記第1のユーザデータにマッチングする目標マッチング項目を探し、前記目標マッチング項目に対応する動作項目を実行する、請求項1に記載のDLPデバイス。
  4. 前記DPIモジュールは、具体的に、
    前記目標マッチング項目に対応する動作項目がメッセージの通過である場合、前記代理モジュールに第3の通知情報を送信し、前記第3の通知情報は前記第1のユーザデータの第1の格納箇所を含み、
    前記代理モジュールは、さらに、前記第3の通知情報を受信し、前記第1の格納箇所によって前記第1のユーザデータを探し、前記第2のTCP接続のTCPポート情報によって、前記第1のユーザデータに対してカプセル化処理を行い、TCPヘッダ及び前記第1のユーザデータを含む第2のユーザデータを得て、前記転送モジュールに第4の通知情報を送信し、前記第4の通知情報は前記第2のユーザデータの第2の格納箇所を含み、
    前記転送モジュールは、さらに、前記第4の通知情報を受信し、前記第2の格納箇所によって前記第2のユーザデータを探し、前記第2のユーザデータに対してカプセル化処理を行い、前記IPメッセージを得て、前記サーバに前記IPメッセージを送信する、請求項3に記載のDLPデバイス。
  5. 前記DPIモジュールは、具体的に、
    前記目標マッチング項目に対応する動作項目がメッセージを遮断することである場合、前記代理モジュールに第5の通知情報を送信し、前記第5の通知情報は前記第1のユーザデータの第1の格納箇所と第1の遮断データを含み、
    前記代理モジュールは、さらに、前記第5の通知情報を受信し、前記第1の格納箇所によって前記第1のユーザデータをリリースし、前記第1のTCP接続のTCPポート情報によって、前記第1の遮断データに対してカプセル化処理を行い、TCPヘッダ及び前記第1の遮断データを含む第2の遮断データを得て、前記転送モジュールに前記第2の遮断データを送信し、
    前記転送モジュールは、さらに、前記第2の遮断データを受信し、前記第2の遮断データに対してカプセル化処理を行い、遮断メッセージを得て、前記ユーザデバイスに前記遮断メッセージを送信する、請求項3に記載のDLPデバイス。
  6. 前記DPIモジュールは、具体的に、
    同じオリジナルデータに属する全てのユーザデータを受信したか否かを判断し、
    同じオリジナルデータに属する全てのユーザデータを受信した場合、予めに設定されたセキュリティポリシーを取得する、請求項3に記載のDLPデバイス。
  7. 前記DPIモジュールは、さらに、
    前記IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されていない場合、前記代理モジュールに第6の通知情報を送信し、
    前記代理モジュールは、さらに、前記第6の通知情報を受信し、前記転送モジュールに送信し、
    前記転送モジュールは、さらに、前記第6の通知情報を受信し、前記第6の通知情報によって、前記サーバに前記IPメッセージを送信する、請求項3~6のいずれかに記載のDLPデバイス。
  8. 前記代理モジュールは、さらに、
    前記IPメッセージがセキュリティソケットレイヤーSSLプロトコルの暗号化メッセージである場合、オープンセキュリティソケットレイヤーOpenSSL暗号ライブラリの第1のインタフェース及び第2のインタフェースをそれぞれ呼び出し、
    呼び出された第1のインタフェースと前記第1のTCP接続とをバインドし、呼び出された第2のインタフェースと前記第2のTCP接続とをバインドする、請求項1に記載のDLPデバイス。
  9. ユーザデバイスから送信されたトランスミッションコントロールプロトコルTCPポート情報を含むインターネットプロトコルIPメッセージを受信することと、
    前記TCPポート情報によって、前記DLPデバイスと前記ユーザデバイスとの間に第1のTCP接続が確立されているか否かを検出することと、
    前記第1のTCP接続が確立されていない場合、前記IPメッセージがデータメッセージである時に、前記IPメッセージのメッセージ特徴と各アプリケーション層プロトコルに対応するメッセージ特徴とを照合し、前記IPメッセージの伝送に使用されたアプリケーション層プロトコルを確定することと、
    前記IPメッセージの伝送に使用されたアプリケーション層プロトコルが傍受されている場合、前記TCPポート情報によって、TCP接続ペアを確立し、前記TCP接続ペアは、前記第1のTCP接続、及び前記DLPデバイスとサーバとの間の第2のTCP接続を含むことと、を含み、
    データ漏洩防止DLPデバイスに適用されるメッセージ処理方法。
  10. 前記メッセージがプロトコルメッセージである時に、前記サーバが前記IPメッセージによって前記ユーザデバイスとのTCP接続を確立するように、前記サーバに前記IPメッセージを送信することを含む、請求項9に記載の方法。
  11. 前記IPメッセージに含まれる第1のユーザデータの位置をマークすることと、
    前記IPメッセージに対してデカプセル化処理を行い、マークされた位置に対応する前記第1のユーザデータを取得して一時保存することと、
    予めに設定されたセキュリティポリシーを取得し、前記セキュリティポリシーはマッチング項目と動作項目を含むことと、
    前記セキュリティポリシーから、前記第1のユーザデータにマッチングする目標マッチング項目を探し、前記目標マッチング項目に対応する動作項目を実行することと、を含む、請求項9に記載の方法。
  12. 前記目標マッチング項目に対応する動作項目を実行することは、
    前記目標マッチング項目に対応する動作項目がメッセージの通過である場合、前記第2のTCP接続のTCPポート情報によって、前記第1のユーザデータに対してカプセル化処理を行い、前記IPメッセージを得ることと、
    前記サーバに前記IPメッセージを送信することと、を含む、請求項11に記載の方法。
  13. 前記目標マッチング項目に対応する動作項目を実行することは、
    前記目標マッチング項目に対応する動作項目がメッセージを遮断することである場合、前記第1のTCP接続のTCPポート情報によって、遮断メッセージを生成することと、
    前記ユーザデバイスに前記遮断メッセージを送信することと、を含む、請求項11に記載の方法。
  14. 前記予めに設定されたセキュリティポリシーを取得することは、
    同じオリジナルデータに属する全てのユーザデータを受信したか否かを判断することと、
    同じオリジナルデータに属する全てのユーザデータを受信した場合、予めに設定されたセキュリティポリシーを取得することと、を含む、請求項11に記載の方法。
  15. 前記IPメッセージがセキュリティソケットレイヤーSSLプロトコルの暗号化メッセージである場合、オープンセキュリティソケットレイヤーOpenSSL暗号ライブラリの第1のインタフェース及び第2のインタフェースをそれぞれ呼び出すことと、
    呼び出された第1のインタフェースと前記第1のTCP接続とをバインドし、呼び出された第2のインタフェースと前記第2のTCP接続とをバインドすることと、を含む、請求項9に記載の方法。
JP2021565789A 2019-05-21 2020-05-07 データ漏洩防止 Active JP7395615B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201910426343.7A CN111988346B (zh) 2019-05-21 2019-05-21 数据泄露防护设备及报文处理方法
CN201910426343.7 2019-05-21
PCT/CN2020/089040 WO2020233412A1 (zh) 2019-05-21 2020-05-07 数据泄露防护

Publications (2)

Publication Number Publication Date
JP2022531678A true JP2022531678A (ja) 2022-07-08
JP7395615B2 JP7395615B2 (ja) 2023-12-11

Family

ID=73436243

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021565789A Active JP7395615B2 (ja) 2019-05-21 2020-05-07 データ漏洩防止

Country Status (5)

Country Link
US (1) US11973741B2 (ja)
EP (1) EP3890278B1 (ja)
JP (1) JP7395615B2 (ja)
CN (1) CN111988346B (ja)
WO (1) WO2020233412A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111988346B (zh) * 2019-05-21 2021-10-22 新华三信息安全技术有限公司 数据泄露防护设备及报文处理方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006135776A (ja) * 2004-11-08 2006-05-25 Nec Corp セッション中継装置およびセッション中継方法
JP2010200300A (ja) * 2009-01-28 2010-09-09 Meidensha Corp Tcp通信方式
US20120324526A1 (en) * 2011-06-15 2012-12-20 Mcafee, Inc. System and method for limiting data leakage
US20140036674A1 (en) * 2012-07-31 2014-02-06 International Business Machines Corporation Split transport control protocol (tcp) flow control management in a cellular broadband network
US20160127317A1 (en) * 2014-10-29 2016-05-05 Aruba Networks, Inc. Method and apparatus for displaying https block page without ssl inspection
JP2016082438A (ja) * 2014-10-17 2016-05-16 日本電気株式会社 通信制御装置、無線通信システム、通信制御方法及び無線基地局

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4855147B2 (ja) * 2006-05-30 2012-01-18 株式会社Into クライアント装置、メールシステム、プログラム及び記録媒体
US8291258B2 (en) * 2010-01-08 2012-10-16 Juniper Networks, Inc. High availability for network security devices
US9311495B2 (en) * 2010-12-09 2016-04-12 International Business Machines Corporation Method and apparatus for associating data loss protection (DLP) policies with endpoints
US9350644B2 (en) * 2012-04-13 2016-05-24 Zscaler. Inc. Secure and lightweight traffic forwarding systems and methods to cloud based network security systems
US10015145B2 (en) * 2015-08-05 2018-07-03 Sonicwall Inc. Unified source user checking of TCP data packets for network data leakage prevention
CN105678188B (zh) * 2016-01-07 2019-01-29 杨龙频 数据库防泄露协议识别方法及装置
US10708233B2 (en) * 2017-03-30 2020-07-07 Zscaler, Inc. Identification of certificate pinned mobile applications in cloud based security systems
US10805352B2 (en) * 2017-04-21 2020-10-13 Netskope, Inc. Reducing latency in security enforcement by a network security system (NSS)
US20180331946A1 (en) * 2017-05-09 2018-11-15 vIPtela Inc. Routing network traffic based on performance
CN107592303B (zh) * 2017-08-28 2020-01-03 北京明朝万达科技股份有限公司 一种高速镜像网络流量中外发文件的提取方法及装置
CN111988346B (zh) * 2019-05-21 2021-10-22 新华三信息安全技术有限公司 数据泄露防护设备及报文处理方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006135776A (ja) * 2004-11-08 2006-05-25 Nec Corp セッション中継装置およびセッション中継方法
JP2010200300A (ja) * 2009-01-28 2010-09-09 Meidensha Corp Tcp通信方式
US20120324526A1 (en) * 2011-06-15 2012-12-20 Mcafee, Inc. System and method for limiting data leakage
US20140036674A1 (en) * 2012-07-31 2014-02-06 International Business Machines Corporation Split transport control protocol (tcp) flow control management in a cellular broadband network
JP2016082438A (ja) * 2014-10-17 2016-05-16 日本電気株式会社 通信制御装置、無線通信システム、通信制御方法及び無線基地局
US20160127317A1 (en) * 2014-10-29 2016-05-05 Aruba Networks, Inc. Method and apparatus for displaying https block page without ssl inspection

Also Published As

Publication number Publication date
CN111988346A (zh) 2020-11-24
US11973741B2 (en) 2024-04-30
JP7395615B2 (ja) 2023-12-11
US20220116363A1 (en) 2022-04-14
EP3890278B1 (en) 2023-12-27
WO2020233412A1 (zh) 2020-11-26
EP3890278A1 (en) 2021-10-06
CN111988346B (zh) 2021-10-22
EP3890278A4 (en) 2022-04-20

Similar Documents

Publication Publication Date Title
US9607162B2 (en) Implementation of secure communications in a support system
JP6188832B2 (ja) データベース・クライアント要求を処理するための方法、コンピュータ・プログラム製品、データ処理システム、およびデータベース・システム
US7191248B2 (en) Communication stack for network communication and routing
US7565533B2 (en) Systems and methods for providing object integrity and dynamic permission grants
US8495367B2 (en) Nondestructive interception of secure data in transit
EP1854243B1 (en) Mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server
US7631182B1 (en) Secure protocol handshake offload using TNICs
Forshaw Attacking network protocols: a hacker's guide to capture, analysis, and exploitation
JP2022531678A (ja) データ漏洩防止
US9219712B2 (en) WAN optimization without required user configuration for WAN secured VDI traffic
CN112261059A (zh) 一种基于java网关技术平台通用性的接口方法及系统
US11522832B2 (en) Secure internet gateway
US20120324569A1 (en) Rule compilation in a firewall
US11038844B2 (en) System and method of analyzing the content of encrypted network traffic
US20200177540A1 (en) In-line transmission control protocol processing engine using a systolic array
Aivaliotis Mastering Nginx
Dimitrov et al. Challenges and new technologies for addressing security in high performance distributed environments
EP3588900B1 (en) System and method of analyzing the content of encrypted network traffic
Lawrence ROS2 prevalance and security
KR101875093B1 (ko) HTTPs 패킷분석 처리성능 향상 시스템
Foster " Why does MPTCP have to make things so complicated?": cross-path NIDS evasion and countermeasures
Stanley-Oakes A provably secure PKCS# 11 configuration without authenticated attributes
Ahonen Transparent Quantum Safe Tunneling

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211104

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230309

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230620

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231005

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20231016

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231114

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231129

R150 Certificate of patent or registration of utility model

Ref document number: 7395615

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150