JP4596554B2 - 暗号化されたhttpsネットワーク・パケットを、セキュアなウェブ・サーバ外部での復号なしに特定のurl名および他のデータにマッピングするための、方法およびシステム(マッピングすること) - Google Patents
暗号化されたhttpsネットワーク・パケットを、セキュアなウェブ・サーバ外部での復号なしに特定のurl名および他のデータにマッピングするための、方法およびシステム(マッピングすること) Download PDFInfo
- Publication number
- JP4596554B2 JP4596554B2 JP2007557463A JP2007557463A JP4596554B2 JP 4596554 B2 JP4596554 B2 JP 4596554B2 JP 2007557463 A JP2007557463 A JP 2007557463A JP 2007557463 A JP2007557463 A JP 2007557463A JP 4596554 B2 JP4596554 B2 JP 4596554B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- port number
- encrypted
- network address
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 30
- 238000013507 mapping Methods 0.000 title description 12
- 238000012546 transfer Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Peptides Or Proteins (AREA)
Description
本発明は、一般に、コンピュータ・ネットワークの分野に関し、特に、暗号化されたHTTPSネットワーク・パケットを、セキュアなウェブ・サーバ外部で復号を実行することなく、特定のURL名および他の暗号化されたデータにかなり効率的にマッピングするための、方法およびシステムに関する。
インターネットは、グローバルな情報交換を可能にするためにすべてが互いに通信し合う、異機種のコンピュータおよびサブネットワークの膨大なネットワークである。ワールド・ワイド・ウェブ(WWW)は、テキスト、オーディオ、ビデオ、グラフィック、アニメーション、静止画などの形のマルチメディア情報にアクセスするために、ウェブ・ブラウザ・ソフトウェアを使用して、リモート・コンピュータまたはコンテンツ・サーバ上に配置されたドキュメントおよびファイルへのハイパーテキスト・リンクを復号する、インターネット上でのさらに人気の高い情報サービスの1つである。ユーザにとっては、公衆ネットワークおよび専用ネットワークにリモートにアクセスすることがますます必要となってきており、一般にセキュアでないインターネットなどの公衆ネットワークを介した、セキュアなサーバおよびネットワーク上で使用可能なリソースへのセキュアなアクセスを可能にする方法に関する問題が生じている。
ネットワーク性能モニタなどの、多くのハードウェアおよびソフトウェアのユーティリティおよびアプリケーションは、それらの中心技術として、それらの入力としてのネットワーク・データに依存する、測定方法を有する。インターネットを介した電子商取引が展開されるほど、セキュアなネットワーク移送の使用が増加する。ウェブ・ブラウザによる暗号化は、セキュアなハイパーテキスト転送プロトコル(HTTPS)を通じてインターネットを介してセキュアなデータを送信する、単一の最も多く使用されるソースである。HTTPSプロトコルの場合、ウェブ・ブラウザは、対応するセキュアなウェブ・サーバのみが復号できるようにネットワーク・データを強固に暗号化する、公開/秘密鍵技術を使用する。これらの暗号化されたネットワーク・フローへのアクセス権を有するハードウェアまたはソフトウェア・モニタの場合、それらのコンテンツに関するすべては言うまでもなく、それらのフォーマットに関するすべてを理解することは、事実上不可能である。このHTTPS環境での監視ツールに関する制限により、このネットワークのハードウェアおよびソフトウェア・モニタに対するデータの価値は、HTTPSの非セキュア・バージョンであるHTTPを使用する環境に対してのみ実現可能である。
さらに、セキュアなウェブ・サーバの外部で復号が実行される場合、政府によって規制された特別な復号ソフトウェアが必要であるため、マーケティングおよび流通にとっての魅力を低下させる。またこれは、顧客には許可されないウェブ・サーバ・セキュリティ証明書へのアクセス権を必要とするため、顧客にとっても魅力的でない。したがって、政府の規制、市場、および顧客に対してより許容可能な他の技法を使用することが重要である。
したがって、ハードウェアおよびソフトウェア・ネットワーク・モニタが、動作に必要な情報を取得し、セキュア・ネットワーク・サーバ外部で特殊な復号ソフトウェアを使用せずに、あたかもHTTP非セキュア環境で動作しているかのように同じデータを戻すことができるようにネットワーク・データの一部を復号するためにセキュアなネットワーク・サーバを使用する、単純な最適化された総称的な方法およびシステムが求められている。
本発明の前述および他の目的、特徴、および利点は、いくつかの図面を参照する好ましい諸実施形態の以下の詳細な説明から明らかとなろう。
本発明の好ましい一実施形態は、暗号化されたネットワーク要求パケットを、セキュアなコンピュータ・ネットワーク・ウェブ・サーバ内のその復号されたコピーにマッピングする方法である。この方法では、セキュアなウェブ・サーバ上にプラグイン・モジュールを作成し、取り込まれた暗号化されたネットワーク要求パケットから少なくとも1つのネットワーク・アドレスおよびポート番号を保存する。プラグイン・モジュールは、セキュアなウェブ・サーバ復号モジュールからネットワーク要求パケットの復号されたコピーを取得し、これをネットワーク・アドレスおよびポート番号と共に戻す。
本発明の他の好ましい実施形態は、本発明の前述の方法の諸実施形態を実施するシステムである。
本発明の他の好ましい実施形態は、本発明の前述の方法の諸実施形態の方法ステップを実行するための、コンピュータによって実行可能な命令のプログラムを有形に具体化する、コンピュータ使用可能メディアを含む。
次に図面を参照すると、全体を通じて同じ参照番号が対応する部分を表す。
好ましい諸実施形態の以下の説明では、その一部を形成し、たとえば本発明が実施可能な特定の諸実施形態が示された、添付の図面を参照する。本発明の範囲を逸脱することなく、他の諸実施形態が利用可能であり、構造上および機能上の変更が可能であることを理解されよう。
本発明の主な目的は、ハードウェアおよびソフトウェア・ネットワーク・ユーティリティおよびアプリケーションがセキュア環境で動作できるようにすること、および、あたかもハイパーテキスト転送プロトコル(HTTP)の非セキュア環境で動作しているように、同じデータへのアクセス権を有すること、ならびにネットワーク・データの復号をウェブ・サーバの通常動作の一部としてセキュア・ウェブ・サーバによって実行させることである。
本発明は、暗号化されたネットワーク要求パケットを、セキュアなコンピュータ・ネットワーク・サーバ内のその復号されたコピーにマッピングする方法を実行するための、システム、方法、およびコンピュータによって実行可能な命令のプログラムを具体化するコンピュータ使用可能メディアを開示する。本発明のモニタ・モジュールは、ネットワーク要求パケットの復号されたコピーを、セキュアなウェブ・サーバ復号モジュールから取得する。
暗号化されたネットワーク要求は、好ましくは、暗号化されたハイパーテキスト・マークアップ言語(HTML)要求であり、ウェブ・サイトにアクセスするためには、Universal Resource Locator(URL)名などのその暗号化されたデータが必要である。特殊な復号技術を実施する必要なしに、HTTPSネットワーク要求パケットから暗号化された情報を取得するために、本発明は、ウェブ・サーバの機能を使用して、復号されたHTTPSネットワーク・パケットをウェブ・サーバ・プラグインの一部として送達させる。したがって本発明は、セキュアなウェブ・サーバの外部で復号を実施する必要がない。さらに、特殊な復号ソフトウェアも必要とせず、その通常の動作時にセキュアなウェブ・サーバの従来の復号ソフトウェアから取得したデータを利用する。このように、復号は、すでに政府によって承認され、すでにマーケティングおよび流通の世界で受け入れられ、すでに顧客によってデプロイされた、従来のウェブ・サーバ・ソフトウェアによって実行される。
本発明の主な態様では、ハードウェアまたはソフトウェアの監視ソフトウェアから見て完全に暗号化されたHTML要求を、セキュアなウェブ・サーバから見て完全に復号されたHTML要求にマッピングする。これは、すべての商用のセキュアなウェブ・サーバが、暗号化されたHTML要求パケットのコピーを取得するため、および復号後に、非セキュアなHTTP環境から獲得されたデータに見えるようにデータを正規化する本発明のモニタに、復号された要求パケットのコピーを引き渡すために、公表された技法を提供するという事実によって、実施することができる。HTML要求パケットの復号されたコピーを取得するために必要な公表された技法のタイプは、顧客によって使用されるベンダのセキュアなウェブ・サーバ・タイプに依存する。
図1は、本発明の好ましい諸実施形態に従った、効率的なマッピングを実行可能にするハードウェアおよびソフトウェア・ネットワーク環境を示す。このシステムは、図2の流れ図に示されるマッピングのためのアルゴリズムを使用する。図1のブロック図では、クライアント・サイト100側の顧客が、ネットワーク300を介して、好ましくはセキュアなサーバ・サイト200と対話する。ネットワーク300は、通常、インターネットを介したパケット交換プロトコルである、伝送制御プロトコル/インターネット・プロトコル(TCP/IP)を使用するインターネットである。クライアント・サイト100は、ハイパーテキスト転送プロトコル(HTTP)の下で、またはセキュア・ハイパーテキスト転送プロトコル(HTTPS)の下で、ウェブ・サイトに関する要求などのその要求を、図示されていないインターネット・サービス・プロバイダ(ISP)に送信する、デスクトップまたはラップトップ型コンピュータ、携帯情報端末(PDA)、車両搭載コンピュータ、携帯電話などとすることができる。ISPは、インターネットへのリンクを確立し、次にこれが、図示されていないコンテンツ・サーバに要求を渡し、これがその要求を、通常はUniform Resource Locator(URL)名によってアドレス指定されたコンテンツ・プロバイダに転送する。
コンテンツ・サーバからの応答は、クライアント・サイト100へと戻され、通常は、WWW上でドキュメントを作成するための標準言語であるハイパーテキスト・マークアップ言語(HTML)に準拠する。HTMLは、ドキュメントの一部または全体をどのようにフォーマットするべきであるかを指定するためにドキュメントに挿入された様々なタグ・コマンドを使用して、ウェブ・ドキュメントの構造およびレイアウトを定義する。要求は、第3者の改ざんから保護するためにメッセージを暗号化および復号する、いずれかの主要なセキュリティ・プロトコルをサポートするコンテンツ・サーバである、セキュアなサーバに送信することができる。典型的なこうしたプロトコルが、公開および秘密鍵ならびにパスワードを利用した暗号化を使用する、Secure Sockets Layer(SSL)プロトコルであり、他の方法では暗号化されたデジタル証明書を使用する。SSLのソケットは、通常、ソフトウェア・オブジェクトである。
本発明の一意性は、ネットワーク監視ハードウェアまたはソフトウェアによって取り込まれたランダムな暗号化されたHTML要求を、URL名および監視ソフトウェアに価値を与える他の暗号化されたデータにマッピングすることにある。各HTTPS要求は、要求の一部としてネットワーク上を流れ、要求の直前に収められた、短い暗号化されていないヘッダを有する。これは、ルータおよびスイッチなどのネットワーク・デバイスが、要求を宛先ネットワーク・アドレスにルーティングするために必要である。ネットワーク・デバイスは暗号化されたデータを読み取ることができないため、このヘッダは暗号化されないままでなければならない。このヘッダは、この発明に有利となるように使用される。ランダムな暗号化されたHTML要求がネットワーク監視ソフトウェアによって取り込まれた場合、後でこの暗号化された要求にアクセスするために、その起点および宛先ネットワーク・アドレスおよびポートがメモリ内データ構造に保存される。
例示的なマッピング手順に関するアルゴリズムが、図2の流れ図によって示される。本発明の好ましい諸態様では、クライアント・サイト100のユーザは、HTTPSプロトコルを使用してそのネットワーク・パケットを暗号化する。これによって、ネットワーク・パケット・スニファ(Sniffer)などの、ネットワーク300を横切るパケットを監視する技術でこれらを読み取ることができなくなり、対応するHTTPSプロトコルを備えたウェブ・サーバのみが、受け取ったネットワーク・パケットを暗号化することができる。ユーザは、ネットワーク・パケットを暗号化し、HTTPS要求をネットワーク300上に置く、クライアント・サイト100に配置されたウェブ・ブラウザ110を介して、サーバ・サイト200と対話する。要求はネットワーク300を横切り、本発明のモニタ210と命名された監視ソフトウェアが実行中のサーバ200に到達する。モニタ210は、常時実行中のネットワーク・パケット・スニファ220と連絡する。したがって、モニタ210には、ネットワーク・パケットの暗号化されたコンテンツが見えるが、深く理解することはできない。しかしながら、たとえ暗号化されたネットワーク・パケットであっても、ヘッダ内には、復号の機能を持たないハードウェア・ルータによって使用されるために暗号化しないでおく必要のある、ネットワーク・アドレスおよびポート番号などの暗号化されていない部分を有する。したがってモニタ210は、他はともかくとして、暗号化されたネットワーク・パケットのネットワーク・アドレスおよびポート番号だけは首尾よく読み取ることができる。しかしながらユーザは、URL名などの、暗号化されたネットワーク・パケットに埋め込まれた何らかのデータを読み取ることができる必要がある。したがって、図2のステップ400で、モニタ210はプラグイン・モジュール230を作成し、ウェブ・サーバ205が開始された時点でウェブ・サーバ205に登録する。
URL名と他の暗号化されたデータとの間、およびクライアントのネットワーク・アドレスとポート番号との間でマッピングを実行するために、ステップ410で、モニタ210は、クライアント・サイト100から発信され、ネットワーク・パケット・スニファ220から受け取った、暗号化されたネットワーク要求パケットからのネットワーク・アドレスおよびポート番号を保存する。次にモニタ210は、暗号化されたネットワーク・パケットのコピーを取り、その暗号化されたパケットをメモリ250内のデータ構造240に配置する。データ構造は、特定のルートURLに関するツリー、あるいはクライアント・サイトのネットワーク・アドレスおよびポート番号によってインデックス付けされたテーブルまたはキューとすることができる。
ウェブ・サーバ205では、ウェブ・サーバの通常の処理の一部として、ウェブ・サーバ205内部に配置されたウェブ・サーバの従来の復号ソフトウェア225によって、ネットワーク・パケットが復号される。プラグイン・モジュール230は、通常、Microsoft IISウェブ・サーバの場合、Web Filterと呼ばれ、ApacheおよびNetscapeのウェブ・サーバの場合、NSAPIと呼ばれる。ステップ420で、プラグイン・モジュール230は、復号されたHTML要求からHTTPSネットワーク・パケットのコピーを取得する。
プラグイン・モジュール230が、ウェブ・サーバの従来の復号ソフトウェア225からHTTPSネットワーク・パケットの復号されたコピーを取得すると、URL名、URL参照者(referrer)、およびアプリケーション固有のコンテンツなどの重要なデータを、この要求のコピーから抽出することができる。しかしながら、Web FilterまたはNSAPIが取得したのはHTML要求のコピーのみであるため、ネットワーク固有の情報は使用不可能であり、その情報こそが、オリジナルの暗号化された要求に合致する関係を築くために必要なものである。したがってセキュアなウェブ・サーバでは、この要求のコピーに関連付けられたネットワーク・アドレスおよびポート番号を得るために、いくつかのアプリケーション・プログラム・インターフェース(API)を起動しなければならない。これらのAPIは、それぞれのセキュアなウェブ・サーバ・ベンダによって異なる。したがってプラグイン・モジュール230は、ウェブ・サーバ205に対してAPI呼び出しを行い、ネットワーク・パケットに関連付けられたネットワーク・アドレスおよびポート番号を取得する。
次にプラグイン・モジュール230は、プラグイン・モジュール230とモニタ210との間にネットワーク通信ソケット260をオープンし、ステップ430で、復号されたHTTPSネットワーク・パケット、ネットワーク・アドレス、およびポート番号を、パイプを介してモニタ210に渡す。次にモニタ210は、組み合わせ(merging)および正規化を実行する。モニタ210は、ネットワーク・アドレスおよびポート番号に基づいて、第1にメモリ内データ構造240の検索を実行し、そのネットワーク・アドレスおよびポート番号に基づいて、渡された復号されたHTTPSネットワーク・パケットのエントリ合致を見つけるように試行する。
こうしたエントリが見つかった場合、格納済みのネットワーク・パケットの暗号化されたコンテンツは、プラグイン・モジュール230から受け取った復号されたコンテンツに置き換えられる。合致が見つからなかった場合、モニタ210はプラグイン・モジュール230から受け取ったデータを破棄して続行する。合致エントリが存在する場合、通常はURL名に関連付けることができない取り込まれた暗号化されたネットワークHTTPS要求と、URL名および他の以前に暗号化されたデータとのペアが作成され、HTTPSプロトコルによって隠されたネットワーク・モニタにデータを戻す。したがってモニタ210は、通常はプロトコルが、イメージ、プログラム・ファイル、HTMLページ、JAVA(登録商標)アプレットなどとすることができるターゲット・リソースのURL名などの、非セキュアなHTTPであった場合に有したであろう、すべての情報を、メモリ内データ構造240内に有する。
したがって、この時点でモニタ210は、URL名および他のデータを格納済みの復号されたネットワーク・パケットから抽出することが可能であり、それを、データ・マイニング、パターン認識、データ分析、HTMLから無線アプリケーション・プロトコル(WAP)へのトランスコーディング、データ変換、インターネットHTTPサーバ・アプリケーションの監視パフォーマンス、およびクライアントとサーバ・サイトとの間での通信ネットワークを介したデータ転送を含む、バンキングおよび他のソフトウェア・サービス、アプリケーションおよびデータ処理プログラムのためのネットワーク・トランザクションにおいて、様々なデータ管理ソリューションに使用することができる。
本発明は、ハードウェア、ファームウェアまたはソフトウェア、ハードウェア、ファームウェア、およびソフトウェアの任意の組み合わせ、あるいは、開示された機能を提供することが可能な任意の他のプロセスで、実現可能である。本発明の方法およびシステムの実施は、1つのサーバ・コンピュータ・システムにおける集中型で、または異なる要素がいくつかの相互接続されたコンピュータ・システムにわたって拡散している分散型で、実現可能である。本明細書に記載された方法を実施するように適合された任意のタイプのコンピュータ・システムまたは装置は、本明細書に記載された機能を実行するのに適している。図1は、ロードおよび実行された場合に、本発明の方法の諸態様を実施するような方法でコンピュータ・システムを制御する、コンピュータ・プログラムのグループを備えた汎用コンピュータ・システムを示す。コンピュータ・プログラムは、本明細書に記載された方法の実施を可能にし、コンピュータ・システム内にロードされた場合にこれらの方法を実施することができる、すべての機能を備えたコンピュータ使用可能メディア内に埋め込むことができる。図1の例示的な環境では、サーバ・サイト200のコンピュータ・システムは、ディスク・ドライブなどの図示されていない1つまたは複数の電子ストレージ・デバイスに接続可能な、図示されていない1つまたは複数のプロセッサからなる。
本発明の好ましい諸実施形態の前述の説明は、例示および説明の目的で提示したものである。これは、本発明を網羅するか、または開示された精密な形に限定することを意図するものではない。前述の教示に鑑みて、多くの修正形態および変形形態が可能である。本発明の範囲は、詳細な説明によってではなく、添付の特許請求の範囲によって限定されるものであることが意図される。
Claims (15)
- ネットワークを介してクライアントと通信可能なサーバが実行する方法であって、
(a)セキュアなウェブ・サーバ上にプラグイン・モジュールを作成し、取り込まれた暗号化されたネットワーク要求パケットから少なくとも1つのネットワーク・アドレスおよびポート番号を保存するステップと、
(b)前記プラグイン・モジュールによって、前記セキュアなウェブ・サーバの復号モジュールから前記ネットワーク要求パケットの復号されたコピーが取得され、
(c)前記コピーを取得した前記プラグイン・モジュールから、前記復号されたネットワーク・パケット、ネットワーク・アドレス、およびポート番号を取得するステップと、
(d)前記保存するステップにおいて保存されたネットワーク・アドレスおよびポート番号と、前記取得するステップにおいて取得されたネットワーク・アドレスおよびポート番号との合致により、暗号化されたネットワーク要求パケットをその復号されたコピーに関連付けるステップと、
を有する、方法。 - 前記ステップ(c)が、前記ネットワーク・アドレスおよびポート番号によってインデックス付けされたデータ構造内に、前記ネットワーク・アドレスおよびポート番号と、前記復号されたネットワーク・パケットとを保存するステップをさらに有する、請求項1に記載の方法。
- 前記ネットワークがインターネットであり、暗号化がセキュアなハイパーテキスト転送プロトコル(HTTPS)に従って実行され、前記暗号化されたネットワーク要求がハイパーテキスト・マークアップ言語(HTML)に準拠する、請求項1又は2に記載の方法。
- 前記暗号化されたデータが、アプリケーション固有のコンテンツ、または、テキスト、オーディオ、ビデオ、グラフィック、アニメーション、静止画、プログラム・ファイル、HTMLページ、およびJAVA(登録商標)アプレットを含むグループから選択されたリモート・ターゲット・リソースへのハイパーテキスト・リンクを有する、請求項1乃至3のいずれかに記載の方法。
- 前記復号が、ウェブ・サーバの従来の復号ソフトウェアによって、前記ウェブ・サーバの通常の処理の一部として実行され、前記プラグイン・モジュールがWebFilterおよびNSAPIを含むグループから選択され、前記取り込まれた暗号化されたネットワーク要求パケットからの前記ネットワーク・アドレスおよびポート番号が暗号化されずに転送される、請求項1乃至4のいずれかに記載の方法。
- 前記(b)において、前記復号されたネットワーク要求パケットに関連付けられた、オリジナルの暗号化された要求のネットワーク・アドレスおよびポート番号を取得するために、セキュアなウェブ・サーバで、前記プラグイン・モジュールがアプリケーション・プログラム・インターフェース(API)をさらに呼び出す、請求項1乃至5のいずれかに記載の方法。
- 前記ステップ(c)が、前記プラグイン・モジュールがネットワーク・ソケットを作成し、前記復号されたHTTPSネットワーク・パケット、前記ネットワーク・アドレス、およびポート番号を、パイプを介して転送するステップをさらに有する、請求項1乃至6のいずれかに記載の方法。
- ネットワークを介してクライアントと通信可能なシステムであり、
(a)セキュアなウェブ・サーバ上にプラグイン・モジュールを作成し、取り込まれた暗号化されたネットワーク要求パケットから少なくとも1つのネットワーク・アドレスおよびポート番号を保存するための手段と、
(b)前記セキュアなウェブ・サーバの復号モジュールから前記ネットワーク要求パケットの復号されたコピーを取得するための前記プラグイン・モジュールと、
(c)前記コピーを取得した前記プラグイン・モジュールから、前記復号されたネットワーク・パケット、ネットワーク・アドレス、およびポート番号を取得するための手段と、
(d)前記保存するための手段において保存されたネットワーク・アドレスおよびポート番号と、前記取得するための手段において取得されたネットワーク・アドレスおよびポート番号との合致により、暗号化されたネットワーク要求パケットをその復号されたコピーに関連付ける手段と、
を有する、システム。 - 前記(c)のための手段が、前記ネットワーク・アドレスおよびポート番号によってインデックス付けされたデータ構造内に、前記ネットワーク・アドレスおよびポート番号と、前記復号されたネットワーク・パケットとを保存するための手段をさらに有する、請求項8に記載のシステム。
- 前記ネットワークがインターネットであり、暗号化がセキュアなハイパーテキスト転送プロトコル(HTTPS)に従って実行され、前記暗号化されたネットワーク要求がハイパーテキスト・マークアップ言語(HTML)に準拠する、請求項8又は9に記載のシステム。
- 前記暗号化されたデータが、アプリケーション固有のコンテンツ、または、テキスト、オーディオ、ビデオ、グラフィック、アニメーション、静止画、プログラム・ファイル、HTMLページ、およびJAVA(登録商標)アプレットを含むグループから選択されたリモート・ターゲット・リソースへのハイパーテキスト・リンクを有する、請求項8乃至10のいずれかに記載のシステム。
- 前記復号が、ウェブ・サーバの従来の復号ソフトウェアによって、前記ウェブ・サーバの通常の処理の一部として実行され、前記プラグイン・モジュールがWeb
FilterおよびNSAPIを含むグループから選択され、前記取り込まれた暗号化されたネットワーク要求パケットからの前記ネットワーク・アドレスおよびポート番号が暗号化されずに転送される、請求項8乃至11のいずれかに記載のシステム。 - 前記(b)のための前記プラグイン・モジュールが、前記復号されたネットワーク要求パケットに関連付けられた、オリジナルの暗号化された要求のネットワーク・アドレスおよびポート番号を取得するために、セキュアなウェブ・サーバで、アプリケーション・プログラム・インターフェース(API)を呼び出す手段をさらに有する、請求項8乃至12のいずれかに記載のシステム。
- 前記(c)のための手段が、前記プラグイン・モジュールがネットワーク・ソケットを作成し、前記復号されたHTTPSネットワーク・パケット、前記ネットワーク・アドレス、およびポート番号を、パイプを介して転送する手段をさらに有する、請求項8乃至13のいずれかに記載のシステム。
- 請求項1乃至7のいずれかに記載の方法をコンピュータに実行させるコンピュータ・プログラム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/067,990 US7657737B2 (en) | 2005-02-28 | 2005-02-28 | Method for mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server |
| PCT/EP2006/060107 WO2006089879A1 (en) | 2005-02-28 | 2006-02-20 | Mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2008532398A JP2008532398A (ja) | 2008-08-14 |
| JP2008532398A5 JP2008532398A5 (ja) | 2009-03-26 |
| JP4596554B2 true JP4596554B2 (ja) | 2010-12-08 |
Family
ID=36273444
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007557463A Expired - Fee Related JP4596554B2 (ja) | 2005-02-28 | 2006-02-20 | 暗号化されたhttpsネットワーク・パケットを、セキュアなウェブ・サーバ外部での復号なしに特定のurl名および他のデータにマッピングするための、方法およびシステム(マッピングすること) |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7657737B2 (ja) |
| EP (1) | EP1854243B1 (ja) |
| JP (1) | JP4596554B2 (ja) |
| CN (1) | CN100544289C (ja) |
| AT (1) | ATE441264T1 (ja) |
| BR (1) | BRPI0608276B1 (ja) |
| CA (1) | CA2598227C (ja) |
| DE (1) | DE602006008749D1 (ja) |
| TW (1) | TWI362871B (ja) |
| WO (1) | WO2006089879A1 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7865511B2 (en) | 2004-06-25 | 2011-01-04 | Apple Inc. | News feed browser |
| US8612844B1 (en) * | 2005-09-09 | 2013-12-17 | Apple Inc. | Sniffing hypertext content to determine type |
| US7882091B2 (en) * | 2008-01-09 | 2011-02-01 | Stephen Schneider | Record tagging, storage and filtering system and method |
| US20100132007A1 (en) * | 2008-11-25 | 2010-05-27 | Cisco Technology, Inc. | Accelerating channel change time with external picture property markings |
| US8850013B2 (en) * | 2010-05-10 | 2014-09-30 | Jaron Waldman | Server load balancing using geodata |
| KR20120132013A (ko) * | 2011-05-27 | 2012-12-05 | 주식회사 팬택 | 휴대용 단말, 휴대용 단말의 하드웨어 모듈간에 전송되는 데이터의 보안 방법 |
| CN102811426A (zh) * | 2011-05-30 | 2012-12-05 | 网秦无限(北京)科技有限公司 | 移动设备的消息的加密发送和接收的方法和系统 |
| TWI581124B (zh) * | 2012-01-13 | 2017-05-01 | 精品科技股份有限公司 | 網際網路之資料封包防護系統與方法 |
| US9176838B2 (en) * | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
| US9043593B2 (en) * | 2013-03-11 | 2015-05-26 | International Business Machines Corporation | Session attribute propagation through secure database server tiers |
| GB2516050A (en) * | 2013-07-09 | 2015-01-14 | Ibm | A Network Security System |
| CN103701819B (zh) * | 2013-12-30 | 2017-04-05 | 北京网康科技有限公司 | 超文本传输协议解密的处理方法及装置 |
| CN105812345B (zh) * | 2014-12-31 | 2019-08-23 | 广州市动景计算机科技有限公司 | 一种实现网页到客户端通信的方法及装置 |
| US9774572B2 (en) * | 2015-05-11 | 2017-09-26 | Salesforce.Com, Inc. | Obfuscation of references to network resources |
| JP6700894B2 (ja) * | 2016-03-25 | 2020-05-27 | キヤノン株式会社 | 画像処理装置、制御方法、プログラム |
| CN109165511B (zh) * | 2018-08-08 | 2022-07-15 | 深圳前海微众银行股份有限公司 | Web安全漏洞处理方法、系统及计算机可读存储介质 |
| US11575653B2 (en) | 2020-05-04 | 2023-02-07 | Juniper Networks, Inc. | Efficient encryption and decryption of duplicate packets communicated via a virtual private network |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3263878B2 (ja) * | 1993-10-06 | 2002-03-11 | 日本電信電話株式会社 | 暗号通信システム |
| WO1998011702A1 (en) | 1996-09-10 | 1998-03-19 | Accrue Software, Inc. | Apparatus and methods for capturing, analyzing and viewing live network information |
| GB2319705B (en) * | 1996-11-21 | 2001-01-24 | Motorola Ltd | Arrangement for encryption/decryption of data and data carrier incorporating same |
| US6065046A (en) * | 1997-07-29 | 2000-05-16 | Catharon Productions, Inc. | Computerized system and associated method of optimally controlled storage and transfer of computer programs on a computer network |
| US6092196A (en) * | 1997-11-25 | 2000-07-18 | Nortel Networks Limited | HTTP distributed remote user authentication system |
| US6148336A (en) * | 1998-03-13 | 2000-11-14 | Deterministic Networks, Inc. | Ordering of multiple plugin applications using extensible layered service provider with network traffic filtering |
| US6363477B1 (en) * | 1998-08-28 | 2002-03-26 | 3Com Corporation | Method for analyzing network application flows in an encrypted environment |
| US6510464B1 (en) * | 1999-12-14 | 2003-01-21 | Verizon Corporate Services Group Inc. | Secure gateway having routing feature |
| US6324648B1 (en) * | 1999-12-14 | 2001-11-27 | Gte Service Corporation | Secure gateway having user identification and password authentication |
| US7325127B2 (en) * | 2000-04-25 | 2008-01-29 | Secure Data In Motion, Inc. | Security server system |
| US7673329B2 (en) * | 2000-05-26 | 2010-03-02 | Symantec Corporation | Method and apparatus for encrypted communications to a secure server |
| US20020035559A1 (en) * | 2000-06-26 | 2002-03-21 | Crowe William L. | System and method for a decision engine and architecture for providing high-performance data querying operations |
| US20020035681A1 (en) * | 2000-07-31 | 2002-03-21 | Guillermo Maturana | Strategy for handling long SSL messages |
| US9002734B2 (en) * | 2001-01-23 | 2015-04-07 | Verizon Patent And Licensing Inc. | Method and system for procuring telecommunications services on-line |
| US9219708B2 (en) * | 2001-03-22 | 2015-12-22 | DialwareInc. | Method and system for remotely authenticating identification devices |
| AU2002322109A1 (en) | 2001-06-13 | 2002-12-23 | Intruvert Networks, Inc. | Method and apparatus for distributed network security |
| US7149892B2 (en) * | 2001-07-06 | 2006-12-12 | Juniper Networks, Inc. | Secure sockets layer proxy architecture |
| GB0119488D0 (en) * | 2001-08-10 | 2001-10-03 | Cellectivity Ltd | E-commerce method for mobile telephones |
| US20030065941A1 (en) * | 2001-09-05 | 2003-04-03 | Ballard Clinton L. | Message handling with format translation and key management |
| US6970918B2 (en) * | 2001-09-24 | 2005-11-29 | International Business Machines Corporation | System and method for transcoding support of web content over secure connections |
| US7010608B2 (en) * | 2001-09-28 | 2006-03-07 | Intel Corporation | System and method for remotely accessing a home server while preserving end-to-end security |
| US7181141B1 (en) * | 2001-11-02 | 2007-02-20 | Ciena Corporation | Method and system for collecting network topology in an optical communications network |
| US7093121B2 (en) * | 2002-01-10 | 2006-08-15 | Mcafee, Inc. | Transferring data via a secure network connection |
| JP2003209570A (ja) * | 2002-01-11 | 2003-07-25 | Fujitsu Ltd | 中継方法そのクライアント、サーバ、中継装置 |
| US20030163608A1 (en) * | 2002-02-21 | 2003-08-28 | Ashutosh Tiwary | Instrumentation and workload recording for a system for performance testing of N-tiered computer systems using recording and playback of workloads |
| US7260623B2 (en) * | 2002-06-27 | 2007-08-21 | Sun Microsystems, Inc. | Remote services system communication module |
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7386723B2 (en) * | 2002-11-22 | 2008-06-10 | Intel Corporation | Method, apparatus and system for compressing IPSec-protected IP packets |
| US7412539B2 (en) * | 2002-12-18 | 2008-08-12 | Sonicwall, Inc. | Method and apparatus for resource locator identifier rewrite |
| US7627669B2 (en) * | 2003-05-21 | 2009-12-01 | Ixia | Automated capturing and characterization of network traffic using feedback |
-
2005
- 2005-02-28 US US11/067,990 patent/US7657737B2/en not_active Expired - Fee Related
-
2006
- 2006-02-20 DE DE602006008749T patent/DE602006008749D1/de active Active
- 2006-02-20 CA CA2598227A patent/CA2598227C/en active Active
- 2006-02-20 BR BRPI0608276A patent/BRPI0608276B1/pt active IP Right Grant
- 2006-02-20 AT AT06708389T patent/ATE441264T1/de not_active IP Right Cessation
- 2006-02-20 EP EP06708389A patent/EP1854243B1/en active Active
- 2006-02-20 JP JP2007557463A patent/JP4596554B2/ja not_active Expired - Fee Related
- 2006-02-20 CN CNB200680002778XA patent/CN100544289C/zh not_active Expired - Fee Related
- 2006-02-20 WO PCT/EP2006/060107 patent/WO2006089879A1/en active Application Filing
- 2006-02-23 TW TW095106170A patent/TWI362871B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| TWI362871B (en) | 2012-04-21 |
| WO2006089879A1 (en) | 2006-08-31 |
| ATE441264T1 (de) | 2009-09-15 |
| TW200640217A (en) | 2006-11-16 |
| BRPI0608276B1 (pt) | 2019-02-05 |
| CA2598227C (en) | 2014-10-07 |
| US20060195687A1 (en) | 2006-08-31 |
| JP2008532398A (ja) | 2008-08-14 |
| BRPI0608276A2 (pt) | 2009-12-15 |
| US7657737B2 (en) | 2010-02-02 |
| EP1854243A1 (en) | 2007-11-14 |
| CA2598227A1 (en) | 2006-08-31 |
| EP1854243B1 (en) | 2009-08-26 |
| CN100544289C (zh) | 2009-09-23 |
| CN101107812A (zh) | 2008-01-16 |
| DE602006008749D1 (de) | 2009-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4596554B2 (ja) | 暗号化されたhttpsネットワーク・パケットを、セキュアなウェブ・サーバ外部での復号なしに特定のurl名および他のデータにマッピングするための、方法およびシステム(マッピングすること) | |
| US7509490B1 (en) | Method and apparatus for encrypted communications to a secure server | |
| US7673329B2 (en) | Method and apparatus for encrypted communications to a secure server | |
| US6708200B1 (en) | Communication system and communication method | |
| US8572691B2 (en) | Selecting a web service from a service registry based on audit and compliance qualities | |
| US6442687B1 (en) | System and method for secure and anonymous communications | |
| US8539224B2 (en) | Obscuring form data through obfuscation | |
| US8145898B2 (en) | Encryption/decryption pay per use web service | |
| US8179818B2 (en) | Proxy terminal, server apparatus, proxy terminal communication path setting method, and server apparatus communication path setting method | |
| US6351810B2 (en) | Self-contained and secured access to remote servers | |
| US7441116B2 (en) | Secure resource distribution through encrypted pointers | |
| US8335916B2 (en) | Secure request handling using a kernel level cache | |
| JP2004513453A (ja) | 信頼性のある分散型ピアツーピアネットワークを確立する方法及びシステム | |
| JP2008532398A5 (ja) | ||
| US7765310B2 (en) | Opaque cryptographic web application data protection | |
| US20040088539A1 (en) | System and method for securing digital messages | |
| US20120023158A1 (en) | Method for secure transfer of multiple small messages | |
| CN107463848B (zh) | 一种面向应用的密文搜索方法、装置、代理服务器和系统 | |
| JP2006119738A (ja) | 電子メール送信システム | |
| CN107026828A (zh) | 一种基于互联网缓存的防盗链方法及互联网缓存 | |
| JP3661776B2 (ja) | クライアントのプロファイル情報をサーバに提供する方法とシステム | |
| CN102714653A (zh) | 用于访问私人数字内容的系统和方法 | |
| CN106355101B (zh) | 一种面向简易存储服务的透明文件加解密系统及其方法 | |
| JP6125196B2 (ja) | ネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体 | |
| JP2005142915A (ja) | 通信端末装置、サーバ装置、通信システムおよびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090123 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090123 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20100323 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20100409 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100420 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100716 |
|
| RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20100716 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100721 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100907 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20100909 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100917 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131001 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |