JP4720576B2 - Network security management system, encrypted communication remote monitoring method and communication terminal. - Google Patents
Network security management system, encrypted communication remote monitoring method and communication terminal. Download PDFInfo
- Publication number
- JP4720576B2 JP4720576B2 JP2006089773A JP2006089773A JP4720576B2 JP 4720576 B2 JP4720576 B2 JP 4720576B2 JP 2006089773 A JP2006089773 A JP 2006089773A JP 2006089773 A JP2006089773 A JP 2006089773A JP 4720576 B2 JP4720576 B2 JP 4720576B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication terminal
- encrypted
- management server
- security management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、データを暗号化して通信端末間で直接通信を実現するシステム、方法に関する。特に各々の通信端末のアプリケーション間における通信につき、組織が運用するネットワークの管理者もしくは責任者のセキュリティポリシーに基づき、暗号化通信の実行を制御することが可能なネットワークセキュリティ管理システム、暗号化通信の遠隔監視方法及び通信端末に関する。 The present invention relates to a system and method for realizing direct communication between communication terminals by encrypting data. In particular, for communication between applications of each communication terminal, a network security management system that can control the execution of encrypted communication based on the security policy of the administrator or responsible person of the network operated by the organization, The present invention relates to a remote monitoring method and a communication terminal.
近年、IPネットワーク関連技術の進歩に伴い、世界中のあらゆる通信端末がオープン環境を前提としたインターネットを通して低コストで自由に情報をやり取りすることができる環境が構築されている。その一方で、通信内容の盗聴や改竄などのセキュリティ的脅威があり、その対策の一つとして、暗号化通信の適用が急速に普及しつつある。 2. Description of the Related Art In recent years, with the advancement of IP network-related technology, an environment has been constructed in which all communication terminals around the world can freely exchange information at low cost through the Internet based on an open environment. On the other hand, there are security threats such as wiretapping and tampering of communication contents, and application of encrypted communication is rapidly spreading as one of the countermeasures.
暗号化通信においては、暗号強度と処理性能を向上する為に、暗号方式の最適化や暗号鍵長を大きくするなどの改善がなされている。このような暗号化通信の適用形態として、利便性と安全性を向上するために、様々な暗号化通信方式が普及している。例えばIP−VPNにおいては、地理的に複数の離れた拠点を有する組織のネットワークを、インターネットを通して接続するに当たり、その組織の拠点毎のインターネット接続用ゲートウェイ部分にIP−VPN用の暗号化装置を設置している。これにより、インターネット区間の通信は全てIP−Secなどを用いて暗号化されたIPパケットが転送される。その結果、複数の拠点がインターネットを通してあたかも専用線で接続されたかのように、便利で安全なネットワーク基盤を構築することが可能になる。 In encrypted communication, in order to improve encryption strength and processing performance, improvements such as optimization of the encryption method and increase of the encryption key length have been made. As an application mode of such encrypted communication, various encrypted communication methods are widely used in order to improve convenience and safety. For example, in IP-VPN, when connecting a network of an organization having a plurality of geographically separated bases through the Internet, an encryption device for IP-VPN is installed in the Internet connection gateway part for each base of the organization. is doing. As a result, IP packets encrypted using IP-Sec or the like are transferred for all communications in the Internet section. As a result, it is possible to construct a convenient and safe network infrastructure as if multiple bases were connected via a dedicated line through the Internet.
更に、通信端末自体の性能が高度化するのに伴い、暗号化通信の適用範囲はゲートウェイ装置同士から、通信端末−ゲートウェイ間、更には通信端末−通信端末間へと拡大する傾向にある。通信端末同士が直接暗号化通信を行なうと、通信端末からネットワークに送出する情報が既に暗号化されているため、通信端末のユーザにとってはセキュリティが向上する。 Furthermore, as the performance of the communication terminal itself increases, the application range of encrypted communication tends to expand from the gateway devices to between the communication terminal and the gateway, and further between the communication terminal and the communication terminal. When the communication terminals directly perform encrypted communication, the information transmitted from the communication terminal to the network is already encrypted, so that security is improved for the user of the communication terminal.
さらに、各通信端末のアプリケーション毎に特定の通信端末と暗号化通信を許可するか否かを制御可能なセキュリティ管理機能を有するネットワークシステムが普及しつつある。これは、組織のネットワーク管理者が運用するセキュリティ管理サーバと、そのセキュリティ管理サーバが直接制御可能で各ユーザには制御不能な各通信端末に常駐するセキュリティ管理クライアントプログラムで構成される。ユーザが通信端末を用いて他の通信端末や通信装置との間で、特定もしくは任意のアプリケーションによる通信を開始する場合、その通信端末に常駐するセキュリティ管理クライアントプログラムは、セキュリティ管理サーバに対してその暗号化通信が許可されるものか否かを確認し、許可されない場合はその暗号化通信を強制的に停止させる。これにより、組織のネットワーク管理者のセキュリティポリシーに基づく各通信端末間の暗号化通信を実現することが可能となる。 Furthermore, network systems having a security management function capable of controlling whether to allow encrypted communication with a specific communication terminal for each application of each communication terminal are becoming widespread. This is composed of a security management server operated by the network administrator of the organization and a security management client program that resides in each communication terminal that can be directly controlled by the security management server and cannot be controlled by each user. When a user uses a communication terminal to start communication with a specific or arbitrary application with another communication terminal or communication device, the security management client program resident in the communication terminal It is confirmed whether or not the encrypted communication is permitted. If the encrypted communication is not permitted, the encrypted communication is forcibly stopped. This makes it possible to realize encrypted communication between the communication terminals based on the security policy of the network administrator of the organization.
特許文献1には任意の通信端末同士が暗号化通信を実施するにあたり、管理サーバや検証サーバが任意の通信端末と連携することにより、端末同士が個別に認証処理や鍵の共有を実施しなくても良い暗号化通信方式が記載されている。例えば、通信端末がN台の相手と通信する可能性がある場合、各々の通信端末が個別に互いを認証するのは効率的ではない。特許文献1によれば、各通信端末は、検証サーバと連携した管理サーバとのみ認証を実施すれば、N種類の通信相手に対する正当性の確認を管理サーバが代行し、通信端末同士の本人正当性を確認可能となる。このように各通信端末と管理サーバが通信するに当たっても、始めに通信端末と管理サーバが相互に公開鍵証明書を交わすことにより互いに相手を認証した上で共有鍵を生成し、暗号化通信を確立する。また管理サーバによって、各通信端末間の通信を一元的に許可又は禁止することが可能となる。
In
上記セキュリティ管理機能を有するネットワークシステムにより、端末やアプリケーションレベルでの暗号化通信制御が可能となる。しかし組織のネットワーク管理者は、ユーザ端末とそれに対応するアプリケーション、及びその通信相手に基づいて、暗号化通信を許可するか否かの制御は可能であるものの、各ユーザ端末が直接暗号化通信を行なうことによってその通信内容を監視できなくなるため、組織に属するユーザが不正にアプリケーションを利用したり機密情報を外部に漏らしたりする脅威を発見することが困難となる。つまり、悪意のユーザによる不正な情報のやり取りや、ポート番号などを偽って実質的には許可されないアプリケーションによる不正通信が行なわれることが起こりえる。従って、これらの問題に対して、より完全な通信内容の保護を実現し、セキュリティを向上することが重要な課題になる。 The network system having the security management function enables encrypted communication control at the terminal or application level. However, the network administrator of the organization can control whether or not to allow encrypted communication based on the user terminal, the corresponding application, and its communication partner, but each user terminal directly performs encrypted communication. By doing so, it becomes impossible to monitor the communication contents, and it becomes difficult for users belonging to the organization to find threats that illegally use applications or leak confidential information to the outside. In other words, it is possible that unauthorized information is exchanged by a malicious user or unauthorized communication is performed by an application that is not substantially permitted by forging a port number. Therefore, for these problems, it is important to realize more complete communication content protection and improve security.
その根本的な原因は、基本的に通信端末間の通信については、セキュリティ管理サーバなどプロキシ的存在のセキュリティ監視装置を経由せずに直接通信することを前提としていることにある。あらゆる暗号化通信について、セキュリティ監視装置を経由するようにして、合わせてそれを復号化するために必要な情報である暗号方式、暗号鍵などを、セキュリティ監視装置に転送することにより、暗号化通信情報を復号化して通信内容を確認することによりネットワークセキュリティ管理を向上させることは可能である。しかし、係る方法によると、ネットワークシステムの規模が大きくなった場合、セキュリティ監視装置に集中する通信処理や復号化処理に要する負荷が極めて大きくなってしまい、実用的なセキュリティ管理されたネットワークシステムを構築することはできない。 The fundamental cause is that communication between communication terminals is basically based on the premise that communication is performed directly without going through a security monitoring device such as a security management server. Encrypted communication by transferring encryption methods, encryption keys, etc., which are necessary information for decrypting all encrypted communication via the security monitoring device, to the security monitoring device. It is possible to improve network security management by decrypting information and confirming communication contents. However, according to this method, when the scale of the network system increases, the load required for communication processing and decryption processing concentrated on the security monitoring device becomes extremely large, and a practical security-managed network system is constructed. I can't do it.
上記課題を達成するため、本発明は、任意の通信端末間での暗号化通信について直接的な走査(フィルタリング)機能を有するセキュリティ監視装置を提案する。すなわち、セキュリティ管理サーバ、又はそれ相当の装置にセキュリティ監視機能を有するセキュリティ監視装置を設置し、セキュリティ監視装置と各通信端末の間ではそれぞれ個別に暗号化通信路を形成する。上記セキュリティ管理サーバにおいて、通信端末同士で直接暗号化通信する情報の内容を監視する必要があると判断した場合、送信側、受信側の一方、又は両方の通信端末から上記セキュリティ監視装置に対して、通信端末間の暗号化通信を平文化した通信情報を、セキュリティ監視装置と各通信端末の間で形成した暗号化通信路を通して転送する。そして、セキュリティ管理サーバが転送された通信情報の内容を検証・確認することで不正な通信を発見し、対処する。 In order to achieve the above object, the present invention proposes a security monitoring device having a direct scanning (filtering) function for encrypted communication between arbitrary communication terminals. That is, a security monitoring device having a security monitoring function is installed in a security management server or an equivalent device, and an encrypted communication path is individually formed between the security monitoring device and each communication terminal. In the security management server, when it is determined that it is necessary to monitor the content of information that is directly encrypted and communicated between communication terminals, one or both communication terminals on the transmission side, the reception side, and the security monitoring device Then, communication information obtained by normalizing encrypted communication between communication terminals is transferred through an encrypted communication path formed between the security monitoring apparatus and each communication terminal. Then, the security management server finds and deals with unauthorized communication by verifying and confirming the content of the transferred communication information.
本発明の実施例について図面をもとに説明する。図1は、本発明が適用される典型的なネットワークセキュリティ管理システムの概念ブロック図である。図1において、インターネット等の公開ネットワーク1000には、セキュリティ管理サーバ10、複数の通信端末20、30が接続されている。セキュリティ管理サーバ10は、組織などが管理する一定範囲の通信端末のセキュリティを管理する役割を持っている。
Embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a conceptual block diagram of a typical network security management system to which the present invention is applied. In FIG. 1, a
本実施例では、セキュリティ管理サーバ10の管理により直接暗号化通信を実行する通信端末の具体例として、通信端末20と通信端末30を示している。それぞれの通信端末には、暗号化通信処理部31が実装されている。この暗号化通信処理部31は、例えばセキュリティ管理用のクライアントプログラムとして通信端末20上で実行され、通信端末のユーザにはこのプログラムを直接操作することができない。セキュリティ管理サーバ10は、これら通信端末上の暗号化通信処理部31とそれぞれ暗号化通信路SA51、SB52を形成し、意図されたセキュリティポリシーに基づいて暗号化通信を実行し、又は禁止するといった制御情報を送受信する。
In this embodiment, a
図1のサーバや通信端末、セキュリティ監視装置のハードウェア構成例を図2に示す。この例で各機器はCPU1001と、RAM等のメモリ1002と、ハードディスクや記録可能な光ディスク等の外部記憶装置1005と、キーボードやマウス等の入力装置1006と、モニタやプリンタ等の出力装置1007と、これら装置を接続するためのI/Oインタフェースである外部出力インタフェース1004と、インターネットやLAN等のネットワークを介して他装置と通信を行なうためのネットワークインタフェース1003と、これらCPUやメモリ間でデータの送受信を行なう内部バス等のインタフェース1008とを備える。本実施例に記載された様々な機能の実施形態として、CPU1001がメモリ1002にロードされた所定のプログラムを実行することで当該機能を実現することが想定される。これら各機能を実行するプログラムは、あらかじめ、メモリ1002または外部記憶装置1005に格納されていても良い。また、各機能を必要に応じてハードウェアによりそれぞれ実装しても良い。なお通信端末20と30は、図2に示された構成に限られず、例えばルータやPC、携帯電話、PDA、情報家電等の、ネットワークと接続することの出来るネットワークインタフェースを備えた機器であっても良い。
FIG. 2 shows a hardware configuration example of the server, communication terminal, and security monitoring device of FIG. In this example, each device includes a
通信端末20と通信端末30の間で暗号化通信を開始する手順を簡単に説明する。詳細な手順は特許文献1に記載されている。まず、通信端末20はセキュリティ管理サーバ10と公開鍵証明書等を交換するなどして、セキュリティ管理サーバ10との間で相互に認証を行なう。この処理によって、通信端末20とセキュリティ管理サーバ10は、暗号化通信路SA51で用いる鍵を共有する。同様の処理を、通信端末30とセキュリティ管理サーバ10の間でも行なう。この処理によって、通信端末30とセキュリティ管理サーバ10は、暗号化通信路SB52で用いる鍵を共有する。
A procedure for starting encrypted communication between the
次に通信端末20は共有した鍵を用いてセキュリティ管理サーバ10との間に暗号化通信路SA51を形成し、通信端末30等の他の通信端末との間の暗号化通信のための設定情報をセキュリティ管理サーバ10に登録する。この設定情報とは例えば通信データの暗号化に用いる暗号化アルゴリズムの種類、鍵の長さ、通信データの改ざん検知に用いるハッシュ関数の種類等複数の項目からなり、通信端末20はそれぞれの項目について複数種類の設定をセキュリティ管理サーバ10に登録することができる。同様に通信端末30も暗号化通信路SB52を介して、他の通信端末との間の暗号化通信のための設定情報をセキュリティ管理サーバ10に登録する。
Next, the
そして通信端末20は暗号化通信路SA51を介して、セキュリティ管理サーバ10に通信端末30への接続要求メッセージを送信する。セキュリティ管理サーバ10は通信端末20と通信端末30が登録した設定情報から、これら両通信端末に適した暗号化通信路を設定するための設定情報を選択する。これは、両通信端末の能力差等の理由で使用可能な暗号化通信技術に差がある場合であっても、両通信端末に複数の条件を提示させ、その中から重複部分を見つけて暗号化通信を実現するための処理である。
Then, the
セキュリティ管理サーバ10は両通信端末が使用可能な設定情報を見つけると、接続を要求されている通信端末30との間で暗号化通信路SB52を形成する。そしてセキュリティ管理サーバ10は暗号化通信路SB52を介して、通信端末30に通信端末20からの接続要求メッセージを送信する。通信端末30は接続要求に対する応答を、セキュリティ管理サーバ10を介して通信端末20へ送信する。
When the
通信端末30が通信端末20からの接続を容認した場合、セキュリティ管理サーバ10は選択した設定情報に従って通信端末20と通信端末30の間の暗号化通信用の鍵を生成する。そしてセキュリティ管理サーバ10は暗号化通信路SA51を介して通信端末20に、暗号化通信路B52を介して通信端末30に、生成した鍵および選択した設定情報を送信する。
When the
セキュリティ管理サーバ10から鍵を受信した通信端末20、30は、当該鍵および一致した設定情報を用いて両者の間に暗号化通信路AB53を形成し、暗号化通信を行なう。
The
上述の処理のうち通信端末20や30で行なわれるものは、暗号化通信処理部31により実行される。暗号化通信処理部31は前述のように、基本的に通信端末20、30のユーザが直接操作できないようになっている。もしユーザによってセキュリティ管理クライアントプログラムに対し何らかの不正操作が行なわれた場合には、その旨がセキュリティ管理サーバ10に速やかに通知される。
Among the processes described above, the processes performed by the
以上のようなネットワークセキュリティ管理システムにおいて、セキュリティ監視装置40を新しく導入する。このセキュリティ監視装置40は、物理的にはセキュリティ管理サーバ10と同一のサーバに実装されても良い。通信端末20、30からセキュリティ監視装置40に向けて特定の通信情報をセキュアに転送できるようにする為、それぞれにおいて暗号化通信路XA54、XB55を形成する。これによって、ネットワーク管理者などの指示に基づいて通信端末20と通信端末30間の暗号化通信を監視する場合は、これら暗号化通信路XA54、XB55を利用して被疑対象の通信端末20、30における通信内容をセキュリティ監視装置40に転送する。
In the network security management system as described above, a
図3は、通信端末20、30の機能ブロック図の一例である。この図には本発明に関連する部分のみが記載されている。アプリケーション実行部314はユーザに必要とするアプリケーション機能を提供するものであり、ユーザが直接操作することができる。このアプリケーション実行部314は、例えばCPUで実行されるアプリケーションプログラムである。暗号化通信処理部31は、セキュリティ管理サーバ10の管理に従い、暗号化通信を行なう機能部である。この暗号化通信処理部31は、例えば通信端末20、30のCPUで実行されるセキュリティ管理用のクライアントプログラムである。
FIG. 3 is an example of a functional block diagram of the
セキュリティ管理制御部311は、暗号化通信処理部31全体の機能を制御する。セキュリティ管理制御部311は、セキュリティ管理サーバ10と制御メッセージをやり取りし、またセキュリティ管理サーバ10や他の通信端末との間の暗号化通信の実行を制御する。復号処理部312は、セキュリティ管理サーバ313より暗号化通信を許可された他の通信端末から受信した情報を、セキュリティ管理制御部311からの指示に従い復号する。暗号化処理部313は、セキュリティ管理サーバ10の許可を得て他の通信端末の暗号化通信を行なう場合に、当該通信端末へ送信する情報をセキュリティ管理制御部311からの指示に従い暗号化する。
The security
このようにセキュリティ管理部311は、セキュリティ管理サーバ10から受信した鍵や設定情報に従い、復号処理部312や暗号化処理部313を制御して他端末との間の暗号化通信を制御する。なお、セキュリティ管理サーバ10との間の通信に必要な暗号化や復号処理については、これら暗号化処理部313や復号処理部312がセキュリティ管理部311の指示に従い実行しても良い。又は、セキュリティ管理制御部311が直接処理をしても良い。
As described above, the
暗号化通信転送部315は、セキュリティ管理制御部311からの指示に従い他の通信端末へ送信する平文の情報を受け取り、当該情報を暗号化してセキュリティ管理サーバ10へ送信する。暗号化通信転送部315は、暗号化すべき平文の情報を、暗号化処理部313から受信しても良く、又はアプリケーション実行部314が当該情報をいずれかのバッファやメモリに格納している場合は、当該バッファやメモリから直接取得しても良い。つまり、セキュリティ管理制御部311は、被疑対象の暗号化通信について平文の状態の通信内容情報(平文通信情報)が暗号化通信転送部313に転送されるように制御する。なお、役割の違いから暗号化処理部313と暗号化通信転送処理部315を別の機能ブロックとして説明しているが、実装上はこれら機能部が同一のものであっても良い。
The encrypted
図4は、セキュリティ監視装置40の機能ブロック図である。暗号化通信処理部41の復号処理部、セキュリティ管理制御部、暗号化処理部については通信端末20、30の暗号化通信処理部31と同等の機能を有する。つまり暗号化通信処理部41は、セキュリティ管理サーバ10の指示に従い、セキュリティ管理サーバ10や通信端末10、20と暗号化通信を行なう。このように通信端末20、30の暗号化通信処理部31をほぼそのまま流用してセキュリティ監視装置40の暗号化通信処理部41とすることができるため、通信端末として使用しているコンピュータの一台をセキュリティ監視装置40として容易に転用することが可能となる。通信内容監視部42は、通信端末20、30から転送されてくる、通信端末間で送受信されるデータ内容である通信情報の内容を検証するための機能を提供する。転送通信情報記憶部43は、転送された通信情報を通信内容監視部の指示に従い記憶しておくための記憶装置である。
FIG. 4 is a functional block diagram of the
通信情報の検証は、暗号化通信を行なうアプリケーションによって様々な方策をとる必要がある。例えば通信情報がテキストファイルであれば、通信内容監視部42が当該テキストファイルにパターンマッチング処理を施すなどして、必要な部分を出力装置1007にテキスト表示する等の処理が考えられる。これによりネットワーク管理者60は、そのテキストデータが不正であるかどうかを確認することができる。
For verification of communication information, various measures need to be taken depending on an application that performs encrypted communication. For example, if the communication information is a text file, the communication
図5は、セキュリティ管理サーバ10の機能ブロック図である。制御部11は、本実施例のセキュリティ監視システム全体を統括する。認証処理部17は、通信端末20、30やセキュリティ監視装置40の認証処理を行なう。設定情報処理部16は、通信端末20、30やセキュリティ監視装置40から送信される設定情報をデータベース12に記憶し、それら設定情報のマッチングを行なう等の処理をする。鍵生成部15は、設定情報処理部16の選択した設定情報を用いて通信端末間の暗号化通信のための鍵を生成する。
FIG. 5 is a functional block diagram of the
監視処理部100は、セキュリティ監視装置40からの要求に応じて、通信端末20や30へ、通信情報を転送するよう要求する転送要求メッセージを送信する。また、監視処理部100は、セキュリティ監視装置40からの要求に応じて、通信端末20、30に、それら通信端末間における暗号化通信の停止を命じる通信停止メッセージを送信する。この通信停止メッセージを受信した通信端末20、30では、セキュリティ管理制御部311が暗号化処理部313に暗号化処理の停止を指示し、相手通信端末への情報の送信を停止する。または、セキュリティ管理制御部311は、図3には図示されていないネットワークインタフェースにデータの送信を停止するよう指示してもよい。このように、通信停止メッセージを受けた通信端末20、30の内部では、相手通信端末へのデータの送信を停止する処理が行なわれる。
In response to a request from the
図6は、セキュリティ管理サーバ10が保持する通信元200から通信先210への通信端末201間の通信を管理するアクセスポリシーの一例を示す。セキュリティ管理サーバ10は、各通信端末やセキュリティ監視装置間の暗号化通信を、暗号化通信アクセス管理データベース12に保持する通信端末間のアクセスポリシーにより管理する。図6の例の場合セキュリティ管理サーバ10は、通信端末Aが通信先の通信端末Bに対して発信する通信については、http、smtp、pop、ftp、telnetという通信種別202に関して許容している。同様にしてセキュリティ管理サーバ10は、通信端末Cが通信端末Zに対して発信する通信については、全ての通信種別について許容していない。セキュリティ管理サーバ10は、このような各通信端末同士のアクセスポリシーを動的に管理することにより、セキュリティ監視装置40による、アクセスポリシー変更要求、つまり特定の通信端末間の暗号化通信を停止する要求を受け入れる。
FIG. 6 shows an example of an access policy for managing communication between the
例えばセキュリティ監視装置40が、通信端末Aから通信端末Bへのftpによる通信を停止するよう要求した場合、セキュリティ管理サーバ10は、アクセスポリシーの当該個所を「◎」から「×」や「*」に変更して、通信端末Aに通信停止指示メッセージを送信する。尚、「○」印は通常に通信を許可、「×」印は通信を禁止していることを示す。また、「◎」印は通信を許可しながらセキュリティ監視装置にもその通信を転送して監視することを示し、「*」印は通信を禁止しつつ送信しようとした送信情報をセキュリティ監視装置には転送して監視することを示すものであり、これらは本発明で新たに規定した管理分類である。
For example, when the
以上のように、通信元端末と通信先端末との通信種別毎のアクセスポリシーについて動的にリアルタイムでマトリクスとして管理することにより、セキュリティ管理サーバ10は、任意の通信端末間のアクセスを管理が可能となる。なお、通信端末の通信情報をセキュリティ監視装置40にて監視する必要があるため、基本的にセキュリティ管理サーバ10は、図6に示されているとおり、セキュリティ監視装置40とあらゆる通信端末の間の通信を許容するようにアクセス管理する。
As described above, the
図7は、ネットワーク管理者60が特定の通信端末間の暗号化通信について、本発明を適用する場合の典型的な処理の流れをシーケンス図として示したものである。基本的に通信端末20と通信端末30とは同等のものであるため、ここでは簡略化のため通信端末30のみに絞って説明する。
FIG. 7 is a sequence diagram showing a typical process flow when the
ネットワーク管理者60が、例えば通信端末30の暗号化通信が不審であると判断したとき(91)、セキュリティ監視装置40に対して暗号化通信監視指示を行なう(71)。この監視指示には例えば、監視対象とする通信端末や当該通信端末上で暗号化通信を行なっているアプリケーションを特定する情報が含まれている。これら情報としては例えば通信端末のIPアドレス等のネットワークアドレスや、SIP−URI、アプリケーションに割り当てられたポート番号等の、監視対象となる通信端末や当該通信端末上で実行されている通信を一意に特定できる識別情報を利用することが考えられる。また、セキュリティ管理サーバにて各通信端末間のコネクションに識別情報を割り当てて管理している場合には、当該コネクションごとの識別情報によって監視すべき通信を特定しても良い。
For example, when the
ネットワーク管理者60は、セキュリティ監視装置40の出力装置1007に表示される、過去の通信履歴を始めとした諸情報を見ながら、入力装置1006により監視指示を行なう。なお、セキュリティ監視装置が不正な通信を行なっている可能性のある通信端末を自動的に判別し、監視指示を発行するようにしてもよい。監視指示を受けたセキュリティ監視装置40の通信内容監視部42は、セキュリティ管理サーバ10に対して暗号化通信転送要求メッセージを送信する(72)。この転送要求メッセージにも同様に、通信端末やアプリケーション、コネクション等を特定する情報が含まれている。
The
このメッセージを受信したセキュリティ管理サーバ10の制御部11は、暗号化通信アクセス管理データベース12で管理しているアクセスポリシーの変更(92)を実施した後、セキュリティ監視装置40と通信端末30間の暗号化通信路XB55で使用する鍵を生成し、セキュリティ監視装置40、通信端末30それぞれに当該鍵を配布する。アクセスポリシーであらゆる通信端末からセキュリティ監視装置40への通信は全て許可するように設定されているので、通信情報を監視するこの場合、セキュリティ管理サーバ10はセキュリティ監視装置40の要求に応じて、通信端末30に問いあわせることなく暗号化通信路XB55を形成するようにしても良い。
Upon receiving this message, the control unit 11 of the
このとき通信端末30の暗号化通信処理部31は、セキュリティ監視装置40との暗号化通信であることを了承して暗号化通信に応じ、通信端末30のユーザはその暗号化通信に関知しない。セキュリティ監視装置40の暗号化通信処理部41を、通信端末の暗号化通信処理部31と同等のものとすれば、セキュリティ管理サーバは、あたかもセキュリティ監視装置40が通常の通信端末と同等であるように暗号化通信路XA54を構築することができるため、セキュリティ管理サーバに対する改変を少なくすることができる。
At this time, the encrypted
セキュリティ管理サーバ10の監視処理部100は、通信端末30の暗号化通信処理部31に対し、暗号化通信転送指示メッセージを送信する(73)。この転送指示メッセージにも同様に、通信端末やアプリケーション、コネクション等を特定する情報が含まれている。なお、この暗号化通信転送指示メッセージは、暗号化通信路SB55を形成するための鍵の配布と同時に送信しても良い。
The
通信端末30の暗号化通信処理部31は、この指示メッセージに従い、指示された暗号化通信をセキュリティ監視装置へ転送するモードに切替わり(93)、暗号化通信路AB53を介して通信端末20へ送信する情報を、暗号化通信転送部315により暗号化し、暗号化通信路XB55を介してセキュリティ監視装置40へ送信する(74)。このように暗号化通信路XB55を介して通信情報を送信することで、被疑対象の通信情報についてはセキュリティを確保した上で転送することが可能となる。
The encrypted
通信端末30から、通信端末20との間の通信情報を受信したセキュリティ監視装置40では、復号処理部312が当該暗号化された通信情報を復号して、通信内容監視部42に渡す。通信内容監視部42は、暗号化通信情報(平文通信情報、暗号化方式、暗号鍵等)をそのまま、又は適宜編集した上で出力装置1007に表示する(75)。ネットワーク管理者60は、その通信情報の内容を確認し、当該通信端末間の暗号化通信が不正であるか否か判断する。なお、この判断はセキュリティ監視装置40に通信内容の判別機能を実装して、人手を介さずに自動的に行なっても良い。
In the
セキュリティ監視装置40は、通信端末30の暗号化通信処理部31から転送されてくる通信内容の全て又は必要な一部を、転送通信情報記憶部43に保存しておく。これにより、後からネットワーク管理者60が通信内容を確認し、また通信来歴の証拠ログとして活用することができる。
The
ネットワーク管理者60は当該通信内容が不正であると判断したとき(94)、入力装置1006を介してセキュリティ監視装置40に対し、当該通信を停止するよう指示する(81)。この指示には、どの通信端末間の通信を停止するのかを特定しうる情報が含まれる。セキュリティ監視装置40の通信内容監視部42は当該指示を受けて、セキュリティ管理サーバに10対し通信停止要求メッセージを送信する(82)。
When the
セキュリティ管理サーバ10の監視処理部100は、通信停止要求メッセージを受信すると、停止を要求されている通信を当該メッセージから特定する。そして監視処理部100は、特定した通信につき、暗号化通信アクセス管理データベース12で管理している該当するアクセスポリシーを、通信許可から通信不許可に変更する(95)。そして監視処理部100は当該通信を停止するため、通信端末30の暗号化通信処理部31に通信停止指示メッセージを送信する(83)。この通信停止指示メッセージを受けた通信端末30の暗号化通信処理部31は、当該メッセージで特定される暗号化通信を停止する(96)。これにより、ネットワーク管理者60は、不正と判断する暗号化通信を強制的に中止させることができる。
When receiving the communication stop request message, the
この時、単純に暗号化通信を停止させてしまうと、ネットワーク管理者60は、それ以降に端末ユーザがどのような情報を転送しようとしていたかを確認することができない。そこで、暗号化通信処理部31は、アプリケーション実行部314からのデータを受信し続け、当該データを相手の通信端末へは送信せず、暗号化通信転送部315を介してセキュリティ監視装置40には送信し続けるようにしても良い(84、85)。
At this time, if the encrypted communication is simply stopped, the
このため、セキュリティ管理サーバ10上でのアクセス管理として、通信は停止するが通信内容の監視を続ける新しい管理分類を導入する。図6に示すアクセスポリシーの*で表わされる管理分類であり、この新しい管理分類にあてはまる通信端末間の通信については、セキュリティ管理制御部311が通信端末の本来の通信相手となる端末への暗号化通信は停止しつつ、暗号化通信転送部313がアプリケーション実行部314により作成された通信情報をセキュリティ監視装置40へ転送し続ける。これによりネットワーク管理者60は、被疑対象の送信側通信端末のユーザが、どのような情報を転送しようとしていたかについて通信相手に情報を転送することなく確認することができる。このような措置は、被疑対象の通信がTCP通信である場合は不可能であるが、UDP通信のようなプロトコル・レベルで送受信するデータの到達を確認しない通信であれば、少なくとも一定量のデータについては監視が可能である。
For this reason, a new management classification is introduced as access management on the
図7に示す実施例では、セキュリティ監視装置40は通信端末30からの通信情報のみ受信したが、同時に通信端末20からも通信情報を受信しても良い。
In the embodiment shown in FIG. 7, the
以上の処理におけるネットワーク管理者に関係する手続きは、適宜自動化することにより、セキュリティ監視装置の通信処理や復号化処理に要する負荷の制限の範囲内で、網羅的に通信内容の監視を実行することができるようになる。 The procedures related to the network administrator in the above processing should be automatically automated to comprehensively monitor the communication contents within the limits of the load required for the communication processing and decryption processing of the security monitoring device. Will be able to.
上述の実施例で説明したシステムでは、特許文献1に示されている通信方式を前提とした。即ち、実施例におけるセキュリティ管理サーバ10は、特許文献1の管理サーバに相当する。またこの実施例では、新規にセキュリティ監視装置40を設置した。セキュリティ監視装置40は、管理者権限を有する特殊な通信装置の一つの位置付けであり、任意の通信端末からセキュリティ監視装置40への通信は、管理サーバ10によって必ず許可されるものである。これによって本実施例では、特許文献1で示される暗号化通信方式の概念を最大限に生かしつつ、任意の通信端末の暗号化通信を動的に制御し、必要に応じてセキュリティ監視装置40へ、その暗号化通信の内容を転送することを実現した。なお、セキュリティ管理サーバ10にセキュリティ監視装置40の機能を含めて一台の装置としてもよい。
The system described in the above embodiment is based on the communication method disclosed in
組織が管理するネットワークにおいて、セキュリティレベルの向上と利便性の向上はトレードオフの関係にある。如何にして両者を高いレベルで両立させるかが、今後、組織が管理するネットワークにおける一般的な課題といえる。本発明が前提とするネットワークセキュリティ管理システム、及び本発明を適用することにより、実効的にはセキュリティレベルの向上と利便性の向上を高いレベルで実現することが可能になる。本発明によって、ネットワークセキュリティ管理向上と、セキュリティ監視装置に集中する通信処理や復号化処理に要する負荷増大、のトレードオフの関係を実効的に解消することができる。 In a network managed by an organization, improvement in security level and improvement in convenience are in a trade-off relationship. How to make both compatible at a high level can be said to be a general problem in networks managed by organizations in the future. By applying the network security management system assumed by the present invention and the present invention, it is possible to effectively improve the security level and the convenience at a high level. According to the present invention, it is possible to effectively eliminate the trade-off between network security management improvement and load increase required for communication processing and decryption processing concentrated on the security monitoring apparatus.
本発明によれば、ネットワーク管理者が必要と判断する暗号化通信の内容を監視できるようになるため、特定ユーザに容疑が発生したときの追跡調査が容易になる他、組織内の全ユーザに対する不正利用抑止効果が期待できる。その結果、任意の通信端末間での暗号化通信について直接的な走査(フィルタリング)機能を実施することによるネットワークセキュリティ管理向上と、セキュリティ管理サーバなどに集中する通信処理や復号化処理に要する負荷増大、のトレードオフの関係を実効的に解消することが可能になる。 According to the present invention, since it becomes possible to monitor the contents of encrypted communication that the network administrator determines to be necessary, it is easy to follow up when a specific user is suspected, and to all users in the organization. Expected to prevent unauthorized use. As a result, network security management is improved by implementing a direct scanning (filtering) function for encrypted communication between arbitrary communication terminals, and the load required for communication processing and decryption processing concentrated on the security management server, etc. It is possible to effectively eliminate the trade-off relationship.
10・・・セキュリティ管理サーバ
11・・・制御部
12・・・暗号化通信アクセス管理データベース(アクセスポリシー)
100・・・監視処理部
31・・・暗号化通信処理部(セキュリティ管理クライアントプログラム)
311・・・セキュリティ管理制御部
315・・・暗号化通信転送部
40・・・セキュリティ監視装置
41・・・暗号化通信処理部
42・・・通信内容監視部
43・・・転送通信情報記憶部
10: Security management server 11: Control unit 12: Encrypted communication access management database (access policy)
100: Monitoring processing unit 31: Encrypted communication processing unit (security management client program)
311: Security management control unit 315: Encrypted
Claims (3)
前記第1および第2の通信端末を認証し、前記第1および第2の通信端末それぞれとの間で暗号化通信路を形成し、前記第1又は第2の通信端末から他方の通信端末への接続要求メッセージを受信すると、前記第1および第2の通信端末間の暗号化通信に使用する第1の鍵を生成し、当該鍵を前記第1および第2の通信端末に送信する管理サーバとを有し、
前記第1の鍵を用いて前記第1の通信端末と前記第2の通信端末との間で第1の暗号化通信路を形成し、当該端末間で前記第1の暗号化通信路を介して直接暗号化通信を行なうセキュリティ管理システムにおいて、
前記管理サーバとの間で認証を行ない、前記管理サーバとの間に第2の暗号化通信路を形成する監視装置を有し、
前記監視装置は、前記第1の通信端末が前記第2の通信端末へ送信する通信情報の転送を要求する転送要求メッセージを、前記第2の暗号化通信路を介して前記管理サーバに送信し、
前記転送要求メッセージを受信した前記管理サーバは、前記監視装置と前記第1の通信端末間の暗号化通信に用いる第2の鍵を生成し、当該第2の鍵を前記監視装置と前記第1の通信端末に送信し、前記第2の通信端末へ送信する通信情報を前記第2の鍵により暗号化して前記監視装置へ送信するよう前記第1の通信端末に指示し、
前記第1の通信端末と前記監視装置は、前記第2の鍵を用いて第3の暗号化通信路を形成し、前記第1の通信端末は、前記第2の通信端末へ送信する通信情報を、前記第3の暗号化通信路を介して前記監視装置に送信し、
前記監視装置は前記第1の通信端末から受信した通信情報を復号し、
さらに、前記監視装置は、前記第1の通信端末から前記第2の通信端末への前記第1の暗号化通信路を介したデータの送信を止めさせる通信停止メッセージを、前記第2の暗号化通信路を介して前記管理サーバに送信することを特徴とするセキュリティ管理システム。 A first communication terminal, a second communication terminal,
The first and second communication terminals are authenticated, an encrypted communication path is formed with each of the first and second communication terminals, and the other communication terminal is transferred from the first or second communication terminal. Management server that generates a first key used for encrypted communication between the first and second communication terminals and transmits the key to the first and second communication terminals upon receiving the connection request message And
A first encrypted communication path is formed between the first communication terminal and the second communication terminal using the first key, and the first encrypted communication path is connected between the terminals. In a security management system that performs direct encrypted communication,
A monitoring device that performs authentication with the management server and forms a second encrypted communication path with the management server;
The monitoring apparatus transmits a transfer request message requesting transfer of communication information transmitted from the first communication terminal to the second communication terminal to the management server via the second encrypted communication path. ,
The management server that has received the transfer request message generates a second key used for encrypted communication between the monitoring device and the first communication terminal, and uses the second key as the monitoring device and the first key. Instructing the first communication terminal to encrypt the communication information to be transmitted to the second communication terminal with the second key and transmitting it to the monitoring device,
The first communication terminal and the monitoring device form a third encrypted communication path using the second key, and the first communication terminal transmits communication information to the second communication terminal. To the monitoring device via the third encrypted communication path,
The monitoring device decodes communication information received from the first communication terminal ;
Further, the monitoring device transmits a communication stop message for stopping transmission of data from the first communication terminal to the second communication terminal via the first encrypted communication path, using the second encryption terminal. A security management system for transmitting to the management server via a communication path.
前記管理サーバは、前記通信停止メッセージを受信すると、前記第1の通信端末との間に形成した暗号化通信路を介して、前記第2の通信端末への前記第1の暗号化通信路を介したデータの送信を止めるよう前記第1の通信端末に指示し、
前記通信端末は、前記管理サーバからのデータの送信停止の指示に応じて、前記第2の通信端末への前記第1の暗号化通信路を介したデータの送信を停止することを特徴とするセキュリティ管理システム。 The security management system according to claim 1 ,
When the management server receives the communication stop message, the management server establishes the first encrypted communication path to the second communication terminal via the encrypted communication path formed with the first communication terminal. Instructing the first communication terminal to stop data transmission via
The communication terminal stops data transmission via the first encrypted communication path to the second communication terminal in response to an instruction to stop data transmission from the management server. Security management system.
前記第1の通信端末は、前記通信停止メッセージに応じて前記第2の通信端末へのデータの送信を止めた後も、前記第1の通信端末が前記第2の通信端末へ送信しようとしたデータを、前記第3の暗号化通信路を介して前記監視措置へ転送し続けることを特徴とするセキュリティ管理システム。 In the security management system according to claim 2 ,
The first communication terminal tries to transmit to the second communication terminal even after stopping transmission of data to the second communication terminal in response to the communication stop message. A security management system, wherein data is continuously transferred to the monitoring measure via the third encrypted communication path.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006089773A JP4720576B2 (en) | 2006-03-29 | 2006-03-29 | Network security management system, encrypted communication remote monitoring method and communication terminal. |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006089773A JP4720576B2 (en) | 2006-03-29 | 2006-03-29 | Network security management system, encrypted communication remote monitoring method and communication terminal. |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007267064A JP2007267064A (en) | 2007-10-11 |
JP4720576B2 true JP4720576B2 (en) | 2011-07-13 |
Family
ID=38639604
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006089773A Expired - Fee Related JP4720576B2 (en) | 2006-03-29 | 2006-03-29 | Network security management system, encrypted communication remote monitoring method and communication terminal. |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4720576B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016158157A (en) | 2015-02-25 | 2016-09-01 | 富士通株式会社 | Call controller, call control method, and call control system |
KR102507113B1 (en) | 2015-07-06 | 2023-03-07 | 삼성전자주식회사 | Method, Appratus and System of Monitoring Supporting for Encrypted Communication Session |
JP2017220890A (en) * | 2016-06-10 | 2017-12-14 | システムプラザ株式会社 | Encryption communication system and encryption communication method |
JP7273759B2 (en) * | 2020-03-19 | 2023-05-15 | 株式会社東芝 | Communication device, communication method, information processing system and program |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1093557A (en) * | 1996-09-13 | 1998-04-10 | Toshiba Corp | Communication monitor device and communication monitor method |
JP2002051036A (en) * | 2000-08-01 | 2002-02-15 | Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd | Key escrow system |
JP2004104280A (en) * | 2002-09-06 | 2004-04-02 | Yamatake Corp | Interface apparatus for encrypted network supervision |
JP2005303485A (en) * | 2004-04-08 | 2005-10-27 | Hitachi Ltd | Key distribution method and system for encryption communication |
JP2006032997A (en) * | 2004-07-12 | 2006-02-02 | Hitachi Ltd | Network system, data relaying apparatus, session monitor system, and packet monitor relaying apparatus |
-
2006
- 2006-03-29 JP JP2006089773A patent/JP4720576B2/en not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1093557A (en) * | 1996-09-13 | 1998-04-10 | Toshiba Corp | Communication monitor device and communication monitor method |
JP2002051036A (en) * | 2000-08-01 | 2002-02-15 | Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd | Key escrow system |
JP2004104280A (en) * | 2002-09-06 | 2004-04-02 | Yamatake Corp | Interface apparatus for encrypted network supervision |
JP2005303485A (en) * | 2004-04-08 | 2005-10-27 | Hitachi Ltd | Key distribution method and system for encryption communication |
JP2006032997A (en) * | 2004-07-12 | 2006-02-02 | Hitachi Ltd | Network system, data relaying apparatus, session monitor system, and packet monitor relaying apparatus |
Also Published As
Publication number | Publication date |
---|---|
JP2007267064A (en) | 2007-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9654453B2 (en) | Symmetric key distribution framework for the Internet | |
US11736304B2 (en) | Secure authentication of remote equipment | |
US20090199009A1 (en) | Systems, methods and computer program products for authorising ad-hoc access | |
US20080052509A1 (en) | Trusted intermediary for network data processing | |
CN102970299A (en) | File safe protection system and method thereof | |
JP4492248B2 (en) | Network system, internal server, terminal device, program, and packet relay method | |
US9444807B2 (en) | Secure non-geospatially derived device presence information | |
Chien et al. | A MQTT-API-compatible IoT security-enhanced platform | |
Fotiou et al. | Access control for the internet of things | |
CN105429962B (en) | A kind of general go-between service construction method and system towards encryption data | |
KR101992976B1 (en) | A remote access system using the SSH protocol and managing SSH authentication key securely | |
CN102811225A (en) | Method and switch for security socket layer (SSL) intermediate agent to access web resource | |
Yerlikaya et al. | Authentication and authorization mechanism on message queue telemetry transport protocol | |
KR101896449B1 (en) | A access control system for security audit and control of server remote access session using encryption communication protocol | |
JP4720576B2 (en) | Network security management system, encrypted communication remote monitoring method and communication terminal. | |
JP2011035535A (en) | Communication cutoff device, server device, method, and program | |
CN107493294A (en) | A kind of secure accessing and management control method of the OCF equipment based on rivest, shamir, adelman | |
CN201252570Y (en) | Security gateway client end device | |
Manzoor | Securing device connectivity in the industrial internet of things (iot) | |
JP4775154B2 (en) | COMMUNICATION SYSTEM, TERMINAL DEVICE, PROGRAM, AND COMMUNICATION METHOD | |
Liu et al. | Building generic scalable middlebox services over encrypted protocols | |
JP2006041726A (en) | Shared key replacing system, shared key replacing method and method program | |
Baugher et al. | Home-network threats and access controls | |
JP2009104509A (en) | Terminal authentication system and terminal authentication method | |
JP7433620B1 (en) | Communication method, communication device and computer program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080408 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101221 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110218 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110308 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110321 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140415 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140415 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |