JP5987076B2 - Setting information collecting apparatus, method and program thereof - Google Patents

Setting information collecting apparatus, method and program thereof Download PDF

Info

Publication number
JP5987076B2
JP5987076B2 JP2015042145A JP2015042145A JP5987076B2 JP 5987076 B2 JP5987076 B2 JP 5987076B2 JP 2015042145 A JP2015042145 A JP 2015042145A JP 2015042145 A JP2015042145 A JP 2015042145A JP 5987076 B2 JP5987076 B2 JP 5987076B2
Authority
JP
Japan
Prior art keywords
setting information
response
unit
encryption
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015042145A
Other languages
Japanese (ja)
Other versions
JP2016163251A (en
Inventor
知加良 盛
盛 知加良
吉田 勝彦
勝彦 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015042145A priority Critical patent/JP5987076B2/en
Publication of JP2016163251A publication Critical patent/JP2016163251A/en
Application granted granted Critical
Publication of JP5987076B2 publication Critical patent/JP5987076B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、仮想的な暗号通信路を確立して暗号通信を行う技術に関し、特に、暗号通信路の確立要求元の設定情報を収集する技術に関する。   The present invention relates to a technique for establishing a virtual encryption communication path and performing encryption communication, and more particularly, to a technique for collecting setting information of an encryption communication path establishment request source.

Webサーバ装置などの暗号通信を行うサーバ装置は、複数の異なる設定を持つクライアント装置からの接続要求を受け付け、クライアント装置との間で仮想的な暗号通信路(例えば、SSL/TLSセッション)を確立して暗号通信を行う。仮想的な暗号通信路の確立処理では、その確立要求元のクライアント装置が、自らが使用可能な暗号方式のリストをサーバ装置に提示し、サーバ装置がそのリストから使用する暗号方式を選択する。このような暗号通信で使用される暗号方式を確認する方法として、特許文献1や非特許文献1の方法がある。   A server device that performs cryptographic communication such as a Web server device accepts connection requests from a plurality of client devices having different settings, and establishes a virtual cryptographic communication path (for example, an SSL / TLS session) with the client device. To perform encrypted communication. In the virtual encryption channel establishment process, the client device that is the establishment request source presents a list of encryption methods that can be used by the client device to the server device, and the server device selects an encryption method to be used from the list. As a method for confirming the encryption method used in such encrypted communication, there are methods disclosed in Patent Document 1 and Non-Patent Document 1.

特許第5112498号公報Japanese Patent No. 5112498

猪俣敦夫、大山義仁、岡本栄司、「暗号危殆化に対する暗号SLAの提案と支援ツールの実現」、情報処理学会論文誌、Vol.48 No.1、Jan.2007.Tatsuo, Yoshihito Oyama, Eiji Okamoto, “Proposal of Cryptographic SLA for Cryptographic Compromise and Realization of Support Tool”, Transactions of Information Processing Society of Japan, Vol. 48 No. 1, Jan. 2007.

暗号方式の安全性が低下した場合、その暗号方式の使用を停止し、安全性の高い暗号方式に移行する必要がある。一方、クライアント装置が使用可能な暗号方式は必ずしも同一ではなく、クライアント装置で使用可能な暗号方式を考慮することなく、暗号方式の使用を停止したのでは接続性が低下する。そのため、安全性と接続性とを維持するためには、クライアント装置が使用可能な暗号方式に関する設定情報を十分に収集する必要がある。   When the security of an encryption method decreases, it is necessary to stop using the encryption method and shift to a highly secure encryption method. On the other hand, the encryption method that can be used by the client device is not necessarily the same, and if the use of the encryption method is stopped without considering the encryption method that can be used by the client device, the connectivity decreases. For this reason, in order to maintain security and connectivity, it is necessary to sufficiently collect setting information related to an encryption method that can be used by the client device.

しかしながら、上述の確立処理でクライアント装置がサーバ装置に提示する暗号方式のリストは、そのクライアント装置で使用可能なすべての暗号方式を含むとは限らない。そのため、サーバ装置とクライアント装置との通信状態をモニタしただけでは、クライアント装置で使用可能な暗号方式に関する設定情報を十分に収集することはできない。特許文献1や非特許文献1に開示された方法でも、実際に使用された暗号方式に関する情報やサーバ装置側で対応可能な暗号方式に関する情報を得ることはできるが、クライアント装置で使用可能な暗号方式に関する設定情報を十分に収集することはできない。   However, the list of encryption methods that the client device presents to the server device in the establishment process described above does not necessarily include all the encryption methods that can be used by the client device. For this reason, it is not possible to sufficiently collect setting information relating to an encryption method that can be used in the client device by simply monitoring the communication state between the server device and the client device. Even with the methods disclosed in Patent Literature 1 and Non-Patent Literature 1, it is possible to obtain information relating to actually used encryption methods and information relating to encryption methods that can be handled on the server device side. Setting information related to the method cannot be collected sufficiently.

本発明の課題は、仮想的な暗号通信路の確立要求元で利用可能な暗号方式に関する設定情報を十分に収集することである。   An object of the present invention is to sufficiently collect setting information relating to an encryption method that can be used by a requester of establishment of a virtual encryption communication path.

仮想的な暗号通信路の確立要求を受け付け、当該確立要求に基づく受信メッセージから、当該暗号通信路の確立要求元で利用可能な暗号方式に関する設定情報を抽出する抽出処理と、当該受信メッセージに対し、仮想的な暗号通信路の確立処理時のエラー応答を模擬した模擬エラー応答を行う応答処理と、を繰り返す。   An extraction process that accepts a virtual encryption channel establishment request, extracts from the received message based on the establishment request the setting information related to the encryption method that can be used by the encryption channel establishment request source, and the received message And a response process for performing a simulated error response that simulates an error response during the process of establishing a virtual encryption communication path.

これにより、暗号通信路の確立要求元で利用可能な暗号方式に関する設定情報を十分に収集できる。   As a result, it is possible to sufficiently collect setting information related to the encryption method that can be used by the establishment requester of the encryption communication path.

図1は実施形態の通信システムの機能構成を例示したブロック図である。FIG. 1 is a block diagram illustrating a functional configuration of a communication system according to an embodiment. 図2は実施形態の設定情報収集装置の機能構成を例示したブロック図である。FIG. 2 is a block diagram illustrating a functional configuration of the setting information collection apparatus according to the embodiment. 図3Aはエラーパターン(模擬エラー応答の内容)を例示するための図である。図3Bはエラーパタンのリストを例示するための図である。FIG. 3A is a diagram for illustrating an error pattern (contents of a simulated error response). FIG. 3B is a diagram for illustrating a list of error patterns. 図4は実施形態の設定情報収集装置の処理を説明するためのフロー図である。FIG. 4 is a flowchart for explaining the processing of the setting information collection apparatus of the embodiment. 図5は実施形態の処理を例示するためのシーケンス図である。FIG. 5 is a sequence diagram for illustrating the processing of the embodiment. 図6は実施形態の処理を例示するためのシーケンス図である。FIG. 6 is a sequence diagram for illustrating the processing of the embodiment. 図7は実施形態の処理を例示するためのシーケンス図である。FIG. 7 is a sequence diagram for illustrating processing of the embodiment. 図8はメッセージのレコードデータ構造を例示するための図である。FIG. 8 is a diagram for illustrating a record data structure of a message. 図9はメッセージのレコードデータ構造を例示するための図である。FIG. 9 is a diagram for illustrating a record data structure of a message. 図10Aはメッセージ解析によって抽出される設定情報を例示するための図である。図10Bは抽出された設定情報に基づく集計結果を例示するための図である。図10Cは暗号方式の安全性評価を表す評価情報リストを例示するための図である。FIG. 10A is a diagram for illustrating setting information extracted by message analysis. FIG. 10B is a diagram for illustrating the tabulation result based on the extracted setting information. FIG. 10C is a diagram for illustrating an evaluation information list representing the security evaluation of the encryption method. 図11は検査結果を例示するための図である。FIG. 11 is a diagram for illustrating the inspection result.

以下、図面を参照して本発明の実施形態を説明する。
<構成>
図1に例示するように、本形態の通信システム1は、サーバ装置として機能する設定情報収集装置11、およびN個のクライアント装置12−1〜12−Nを有し、インターネット等のネットワーク13を通じて通信可能に構成されている。Nは1以上の整数である。説明の便宜上、図1では1個の設定情報収集装置11を記載しているが、複数個の設定情報収集装置11が存在してもよい。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<Configuration>
As illustrated in FIG. 1, the communication system 1 according to the present embodiment includes a setting information collection device 11 that functions as a server device and N client devices 12-1 to 12 -N. It is configured to be able to communicate. N is an integer of 1 or more. For convenience of explanation, FIG. 1 shows one setting information collection device 11, but a plurality of setting information collection devices 11 may exist.

図2に例示するように、本形態の設定情報収集装置11は、通信部111(受信部)、エラーパタンリスト記憶部112、応答部113、抽出部114、設定情報記憶部115、解析集計部116、評価情報リスト記憶部117、検査結果出力部118、および制御部119を有する。応答部113は、ネゴシエーション実行部1131、および模擬エラー応答管理部1132を有する。設定情報収集装置11は、例えば、CPU(central processing unit)等のプロセッサ(ハードウェア・プロセッサ)およびRAM(random-access memory)・ROM(read-only memory)等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される装置である。このコンピュータは1個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めROM等に記録されていてもよい。また、CPUのようにプログラムが読み込まれることで機能構成を実現する電子回路(circuitry)ではなく、プログラムを用いることなく処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。また、1個の装置を構成する電子回路が複数のCPUを含んでいてもよい。設定情報収集装置11は、制御部119の制御に基づいて各処理を実行する。   As illustrated in FIG. 2, the setting information collection device 11 according to the present embodiment includes a communication unit 111 (reception unit), an error pattern list storage unit 112, a response unit 113, an extraction unit 114, a setting information storage unit 115, and an analysis aggregation unit 116, an evaluation information list storage unit 117, an inspection result output unit 118, and a control unit 119. The response unit 113 includes a negotiation execution unit 1131 and a simulated error response management unit 1132. The setting information collection device 11 includes, for example, a general-purpose or dedicated memory including a processor (hardware processor) such as a CPU (central processing unit) and a memory such as random-access memory (RAM) and read-only memory (ROM). An apparatus configured by a computer executing a predetermined program. The computer may include a single processor and memory, or may include a plurality of processors and memory. This program may be installed in a computer, or may be recorded in a ROM or the like in advance. In addition, some or all of the processing units are configured using an electronic circuit that realizes a processing function without using a program, instead of an electronic circuit (circuitry) that realizes a functional configuration by reading a program like a CPU. May be. In addition, an electronic circuit constituting one device may include a plurality of CPUs. The setting information collection device 11 executes each process based on the control of the control unit 119.

<事前設定>
事前設定として、エラーパタンのリストがエラーパタンリスト記憶部112に格納される。「エラーパタン」とは、仮想的な暗号通信路の確立処理時のエラー応答を模擬した模擬エラー応答を表す情報を意味する。「仮想的な暗号通信路」とは、暗号通信を行うためにサーバ装置とクライアント装置との間で暗号方式が合意された通信環境を意味する。言い換えると、所定のプロトコルに基づいて暗号通信に用いる暗号方式が取り決められた環境を「仮想的な暗号通信路」と呼ぶ。「仮想的な暗号通信路」の例は、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)のSSL/TLSセッションである。「仮想的な暗号通信路の確立」とは、暗号通信を行うためにサーバ装置とクライアント装置との間で暗号方式を含む通信方式を合意することを意味する。「仮想的な暗号通信路の確立」の例は、SSL/TLSセッションの確立である。「仮想的な暗号通信路の確立処理」とは、仮想的な暗号通信路の確立を行うためにサーバ装置とクライアント装置との間で実行される処理を意味する。「仮想的な暗号通信路の確立処理」の具体例は、SSLやTLSでのハンドシェーク処理である。「確立処理時のエラー応答」とは、当該確立処理においてエラーが発生した場合にサーバ装置が返す応答である。「確立処理時のエラー応答」の具体例は、クライアント装置にアラートを返す処理、クライアント装置との接続を切断する処理などである。「模擬エラー応答」とは、このような「確立処理時のエラー応答」を模擬したものである。すなわち、本来「確立処理時のエラー応答」は、実際にエラーが発生したときにそのエラーに応じて返されるものであるが、「模擬エラー応答」はエラーの発生の有無とは無関係に返される応答である。言い換えると、「模擬エラー応答」は、エラーの発生の有無にかかわらず、エラーの発生を模擬して返される応答を意味する。「模擬エラー応答」の内容自体は、通常の「確立処理時のエラー応答」で返される応答と同じであってもよいし、同じでなくてもよい。「模擬エラー応答を表すエラーパタン」とは、このような「模擬エラー応答」の内容を表す情報である。図3AにSSL/TLSセッションの確立処理時にサーバ装置から返される「エラー応答(アラート)」を表すエラーパタンを例示する。この例のエラーパタンは「レコードタイプ」「バージョン」「データ長」「アラートレベル」「アラートデスクリプション」の「データ長」および「ID」を含む。例えば、このようなエラーパタンが「模擬エラー応答を表すエラーパタン」とされる。「エラーパタンのリスト」とは、このような「エラーパタン」の集合を意味する。「エラーパタンのリスト」は、複数の「エラーパタン」を含み、それらの「エラーパタン」は順序付けされ、これによって複数の「模擬エラー応答」の内容が順序付けされている。例えば、「エラーパタンのリスト」に含まれる複数の「エラーパタン」には互いに重複しない順位が対応付けられている。あるいは、一部の「エラーパタン」の順位が互いに同一であってもよい。図3Bに、「エラーパタンのリスト」の具体例を示す。この例では、「セッション断」や「アラート」などの模擬エラー応答である「エラー種別」とそれぞれの順位に対応する「番号」とが対応付けられている。 <Pre-configuration>
As a preset, the error pattern list is stored in the error pattern list storage unit 112. “Error pattern” means information representing a simulated error response that simulates an error response during the process of establishing a virtual encrypted communication path. The “virtual encryption communication path” means a communication environment in which an encryption method is agreed between the server device and the client device in order to perform encryption communication. In other words, an environment in which an encryption method used for encryption communication is determined based on a predetermined protocol is referred to as a “virtual encryption communication path”. Examples of the “virtual cryptographic communication path” are SSL (Secure Sockets Layer) and TLS (Transport Layer Security) SSL / TLS sessions. “Establishment of a virtual encrypted communication path” means that a communication method including an encryption method is agreed between the server device and the client device in order to perform encrypted communication. An example of “establishing a virtual encrypted communication path” is establishment of an SSL / TLS session. The “virtual encryption communication path establishment process” means a process executed between the server apparatus and the client apparatus in order to establish a virtual encryption communication path. A specific example of “virtual encryption communication path establishment process” is a handshake process in SSL or TLS. The “error response during the establishment process” is a response that is returned by the server device when an error occurs during the establishment process. Specific examples of the “error response during the establishment process” include a process of returning an alert to the client apparatus and a process of disconnecting the connection with the client apparatus. The “simulated error response” is a simulation of such an “error response during the establishment process”. That is, the “error response at the time of establishment” is originally returned according to the error when an error actually occurs, but the “simulated error response” is returned regardless of whether or not an error has occurred. It is a response. In other words, the “simulated error response” means a response returned by simulating the occurrence of an error regardless of whether or not an error has occurred. The content of the “simulated error response” itself may or may not be the same as the response returned in the normal “error response during establishment process”. The “error pattern indicating a simulated error response” is information indicating the content of such a “simulated error response”. FIG. 3A illustrates an error pattern representing an “error response (alert)” returned from the server device during the SSL / TLS session establishment process. The error pattern in this example includes “data length” and “ID” of “record type”, “version”, “data length”, “alert level”, and “alert description”. For example, such an error pattern is “an error pattern indicating a simulated error response”. The “error pattern list” means a set of such “error patterns”. The “list of error patterns” includes a plurality of “error patterns”, and these “error patterns” are ordered, whereby the contents of a plurality of “simulated error responses” are ordered. For example, a plurality of “error patterns” included in the “error pattern list” are associated with ranks that do not overlap each other. Alternatively, some “error patterns” may have the same rank. FIG. 3B shows a specific example of the “error pattern list”. In this example, “error type” that is a simulated error response such as “session disconnection” or “alert” is associated with “number” corresponding to each rank.

評価情報リスト記憶部117には、各暗号方式の安全性を表す評価情報リストが格納されている。この評価情報リストは、知られている各暗号方式の安全性の評価結果を表したリストである。図10Cに評価情報リストの一例を示す。この例では、SSLまたはTLSなどのプロトコルのバージョン(Version)と、そのプロトコルで利用可能な暗号方式を表す暗号スイーツの値(CS: Cipher suite)と、それらに対応する安全性の評価(「安全」「注意」「危険」)とが対応付けられている。この評価情報リストは、各暗号方式の安全性の評価に変動があるたびに更新される。   The evaluation information list storage unit 117 stores an evaluation information list representing the security of each encryption method. This evaluation information list is a list showing the evaluation results of the security of each known encryption method. FIG. 10C shows an example of the evaluation information list. In this example, the version of a protocol such as SSL or TLS (Version), the value of a cipher suite (CS: Cipher suite) that represents the ciphers that can be used in that protocol, and the security evaluation corresponding to them ("Safety" ”“ Caution ”“ Danger ”). This evaluation information list is updated whenever there is a change in the security evaluation of each encryption method.

<設定情報収集処理>
次に、図4を用いて、実施形態の設定情報収集処理を例示する。
設定情報収集装置11は、サーバ装置として何れかのクライアント装置12−n(ただし、n=1,…,N)からの「仮想的な暗号通信路の確立要求(リクエスト)」を待ち受ける。この確立要求は、クライアント装置12−nから設定情報収集装置11へのメッセージ(例えば、ClientHelloメッセージ)の送信によって行われる。このメッセージは、クライアント装置12−n(暗号通信路の確立要求元)で利用可能な暗号方式に関する設定情報を含む。このような設定情報の例は、暗号スイーツの値CS、プロトコルのバージョン、その他の補助情報である。図8はSSL2.0の場合のClientHelloメッセージのレコードデータ構造の例である。図8の例のClientHelloメッセージは、「レコードタイプ」「データ長」「メッセージタイプ」「バージョン」「暗号スイースデータの長さ」「セッションID」「乱数の長さ」「暗号スイーツの値」「乱数の値」の「データ長」「ID」を含む。この場合の「利用可能な暗号方式に関する設定情報」は、例えば、「バージョン」および「暗号スイーツの値」である。図9はSSL3.0/TLSの場合のClientHelloメッセージのレコードデータ構造の例である。図9の例のClientHelloメッセージは、「レコードタイプ」「バージョン」「レコードデータ長」「メッセージタイプ」「ハンドシェークメッセージ長」「バージョン」「乱数」「セッションIDの長さ」「セッションID」「暗号スイーツデータの長さ」「暗号スイーツの値」「データ圧縮形式」「拡張属性のデータ長」「拡張属性データ」の「データ長」「ID」を含む。この場合の「利用可能な暗号方式に関する設定情報」は、例えば、「バージョン」「暗号スイーツの値」「拡張属性データ」である。 <Setting information collection processing>
Next, the setting information collection processing of the embodiment will be illustrated using FIG.
The setting information collection device 11 waits for a “virtual encryption communication path establishment request (request)” from any of the client devices 12-n (where n = 1,..., N) as a server device. This establishment request is made by transmitting a message (for example, a ClientHello message) from the client apparatus 12-n to the setting information collection apparatus 11. This message includes setting information related to an encryption method that can be used by the client device 12-n (encryption channel establishment request source). Examples of such setting information are cryptographic suite value CS, protocol version, and other auxiliary information. FIG. 8 shows an example of a record data structure of a ClientHello message in the case of SSL 2.0. The ClientHello message in the example of FIG. 8 includes “record type”, “data length”, “message type”, “version”, “encrypted source data length”, “session ID”, “random number length”, “encrypted sweets value”, “ “Data length” and “ID” of “random number value” are included. In this case, “setting information relating to available encryption methods” is, for example, “version” and “value of encryption sweets”. FIG. 9 shows an example of the record data structure of the ClientHello message in the case of SSL3.0 / TLS. The ClientHello message in the example of FIG. 9 includes “record type” “version” “record data length” “message type” “handshake message length” “version” “random number” “session ID length” “session ID” “encrypted sweets” “Data length”, “Encryption sweet value”, “Data compression format”, “Data length of extended attribute”, “Data length” and “ID” of “Extended attribute data” are included. In this case, “setting information relating to available encryption methods” is, for example, “version”, “value of encryption sweets”, and “extended attribute data”.

設定情報収集装置11(図2)のネゴシエーション実行部1131は、メッセージの送信を待ち受け(ステップS1)、メッセージが通信部111に送信されたかを判定する(ステップS2)。なお、このメッセージは、クライアント装置12−nからの確立要求時に送られるメッセージ(例えば、SSLまたはTLSのClientHelloメッセージ)であってもよいし、それ以降のハンドシェークでクライアント装置12−nから送られるメッセージであってもよい。ここで、メッセージが通信部111に送信されていない場合、ネゴシエーション実行部1131は、メッセージの待ち受けの終了条件を満たしたかを判定する。メッセージの待ち受けの終了条件の例は、メッセージの待ち受け時間が所定の時間を経過したこと(タイムアウト)、試行終了の指示がなされたことなどである(ステップS3)。ここで、メッセージの待ち受けの終了条件を満たしていない場合にはステップS1に戻る。一方、メッセージの待ち受けの終了条件を満たした場合には、クライアント装置12−nに対する応答処理を終了し、後述するステップS9に進む。一方、メッセージが通信部111に送信された場合、通信部111はこのメッセージ(確立要求に基づく受信メッセージ)を受信し(仮想的な暗号通信路の確立要求を受け付け)、ネゴシエーション実行部1131に送る(ステップS4)。   The negotiation execution unit 1131 of the setting information collection device 11 (FIG. 2) waits for transmission of a message (step S1) and determines whether the message has been transmitted to the communication unit 111 (step S2). This message may be a message (for example, an SSL or TLS ClientHello message) sent at the time of an establishment request from the client device 12-n, or a message sent from the client device 12-n in a subsequent handshake. It may be. Here, when the message is not transmitted to the communication unit 111, the negotiation executing unit 1131 determines whether or not the message waiting end condition is satisfied. Examples of the message waiting end condition are that the message waiting time has passed a predetermined time (timeout), and that a trial end instruction has been given (step S3). If the message waiting end condition is not satisfied, the process returns to step S1. On the other hand, if the message waiting completion condition is satisfied, the response process for the client device 12-n is terminated, and the process proceeds to step S9 described later. On the other hand, when a message is transmitted to the communication unit 111, the communication unit 111 receives this message (received message based on the establishment request) (accepts a request for establishment of a virtual encrypted communication path) and sends it to the negotiation execution unit 1131. (Step S4).

ネゴシエーション実行部1131は、送られた受信メッセージを抽出部114に送る。抽出部114は、この受信メッセージ(確立要求に基づく受信メッセージ)を解析し、そこから暗号通信路の確立要求元であるクライアント装置12−nで利用可能な暗号方式に関する設定情報を抽出する。図10Aの例では、「クライアントアドレス:ポート番号」とともに「バージョン(レコードレベル/プロトコルレベル)」「暗号スイーツの値(CS)」「拡張属性データ」を設定情報として抽出する。抽出された設定情報は設定情報記憶部115に格納(蓄積)される(ステップS5)。   The negotiation execution unit 1131 sends the received message sent to the extraction unit 114. The extraction unit 114 analyzes this received message (received message based on the establishment request), and extracts setting information related to the encryption method that can be used by the client apparatus 12-n that is the establishment request source of the encrypted communication path. In the example of FIG. 10A, “version (record level / protocol level)”, “cipher suite value (CS)”, and “extended attribute data” are extracted as setting information together with “client address: port number”. The extracted setting information is stored (accumulated) in the setting information storage unit 115 (step S5).

また、模擬エラー応答管理部1132は、受信メッセージに対し、エラーパタンリスト記憶部112からエラーパタンを選択する。エラーパタンの選択は、前述の順序付けに従って行われる。すなわち、原則、エラーパタンは受信メッセージの内容に応じて選択されるのではなく、前述の順序付けに従って順番に選択される。例えば、同一のクライアント装置12−nから設定情報収集装置11にメッセージが送信されるたびに、前述の順序付けに従って順番にエラーパタンが選択される。図3Bの例の場合、クライアント装置12−nから最初にメッセージが送信された場合には、番号「1」に対応するエラーパタン「セッション断」が選択され、2回目にメッセージが送信された場合には、番号「2」に対応するエラーパタン「アラート(Level=warning, Description=CLOSE NOTIFY)」が選択され、2回目にメッセージが送信された場合には、番号「2」に対応するエラーパタン「アラート(Level=warning, Description=INSUFFICIENT SECURITY)」が選択される。これにより、上述の順序付けに従って模擬エラー応答の内容が選択される。あるいは、模擬エラー応答管理部1132は、受信メッセージに応じ、エラーパタンの順序付けを変更し(複数の模擬エラー応答の内容の順序付けを変更し)、受信メッセージに対するエラーパタンを選択(変更した順序付けに従って模擬エラー応答の内容を選択)してもよい。例えば、受信メッセージの種別やステップS5で抽出された設定情報の種別に応じ、どのように順序付けを変更するかが予め定められており、模擬エラー応答管理部1132は、それに従ってエラーパタンの順序付けを変更し、受信メッセージに対するエラーパタンを選択する。また、一部のエラーパタンの順位が同一である場合、受信メッセージに応じ、何れかのエラーパタンが選択されてもよい。例えば、受信メッセージの種別やステップS5で抽出された設定情報の種別に応じ、何れのエラーパタンを選択するのかが予め定められており、模擬エラー応答管理部1132は、それに従って何れかのエラーパタンを選択する。なお、どのエラーパタンまで選択されたか、エラーパタンの順序付けの変更内容等は、エラーパタンリスト記憶部112に格納され、次回のエラーパタンの選択時に利用される(ステップS6)。模擬エラー応答管理部1132は、選択したエラーパタンが表す内容の模擬エラー応答をネゴシエーション実行部1131に指示する。例えば、この模擬エラー応答が「クライアント装置にアラートを返す処理」であった場合、模擬エラー応答管理部1132は選択したエラーパタンが表すアラートの返信をネゴシエーション実行部1131に指示する。例えば、この模擬エラー応答が「クライアント装置との接続を切断する処理」であった場合、模擬エラー応答管理部1132は、クライアント装置12−nとの接続の切断をネゴシエーション実行部1131に指示する。ネゴシエーション実行部1131は、模擬エラー応答管理部1132からの指示に応じた模擬エラー応答を行う。例えば、ネゴシエーション実行部1131は、エラーパタンが表すアラートを通信部111に送り、通信部111が当該アラートを送信するか、クライアント装置12−nとの接続の切断を行う(ステップS7)。   The simulated error response management unit 1132 selects an error pattern from the error pattern list storage unit 112 for the received message. The error pattern is selected according to the above-mentioned ordering. That is, in principle, the error pattern is not selected according to the content of the received message, but is selected in order according to the above-mentioned ordering. For example, each time a message is transmitted from the same client device 12-n to the setting information collection device 11, error patterns are selected in order according to the above-described ordering. In the case of the example of FIG. 3B, when a message is transmitted for the first time from the client device 12-n, an error pattern “session disconnection” corresponding to the number “1” is selected and a message is transmitted for the second time. If the error pattern “Alert (Level = warning, Description = CLOSE NOTIFY)” corresponding to the number “2” is selected and the message is sent for the second time, the error pattern corresponding to the number “2” “Alert (Level = warning, Description = INSUFFICIENT SECURITY)” is selected. Thereby, the content of the simulated error response is selected according to the above-mentioned ordering. Alternatively, the simulated error response management unit 1132 changes the order of error patterns according to the received message (changes the order of the contents of a plurality of simulated error responses), and selects the error pattern for the received message (simulates according to the changed ordering). The content of the error response may be selected). For example, it is predetermined how to change the ordering according to the type of received message and the type of setting information extracted in step S5, and the simulated error response management unit 1132 sets the order of error patterns accordingly. Change and select the error pattern for the received message. If some error patterns have the same order, any one of the error patterns may be selected according to the received message. For example, depending on the type of received message and the type of setting information extracted in step S5, which error pattern is selected is determined in advance, and the simulated error response management unit 1132 determines which error pattern Select. It should be noted that the error pattern that has been selected, the change contents of the error pattern ordering, and the like are stored in the error pattern list storage unit 112 and used when the next error pattern is selected (step S6). The simulated error response management unit 1132 instructs the negotiation execution unit 1131 to perform a simulated error response having the content represented by the selected error pattern. For example, when the simulated error response is “processing to return an alert to the client device”, the simulated error response management unit 1132 instructs the negotiation execution unit 1131 to reply the alert represented by the selected error pattern. For example, when the simulated error response is “processing to disconnect the connection with the client device”, the simulated error response management unit 1132 instructs the negotiation execution unit 1131 to disconnect the connection with the client device 12-n. The negotiation execution unit 1131 performs a simulated error response according to an instruction from the simulated error response management unit 1132. For example, the negotiation execution unit 1131 sends an alert represented by an error pattern to the communication unit 111, and the communication unit 111 transmits the alert or disconnects the connection with the client device 12-n (step S7).

模擬エラー応答管理部1132は、所定の終了条件を満たしたかを判定する。この終了条件に限定はなく、どのような終了条件が定められてもよい。終了条件の例は、「同一のクライアント装置12−nまたは同一の確立処理でのステップS1〜S8の繰り返し回数(試行回数)が所定の最大値Max(Max≧2)に達したこと、所定の試行回数を実施するのに必要な時間(最大試行時間)に達したこと、エラーパタンリスト記憶部112に格納されているすべてのエラーパタンまたは順序関係が変更されたエラーパタンが選択されたこと、試行終了の指示がなされたことなどである(ステップS8)。ここで、所定の終了条件を満たしていない場合、ステップS1に戻る。一方、所定の終了条件を満たした場合、クライアント装置12−nに対する応答処理が終了し、ステップS9に進む。   The simulated error response management unit 1132 determines whether a predetermined end condition is satisfied. This end condition is not limited, and any end condition may be defined. An example of the end condition is “the number of repetitions (number of trials) of steps S1 to S8 in the same client device 12-n or the same establishment process has reached a predetermined maximum value Max (Max ≧ 2), That the time required to implement the number of trials (maximum trial time) has been reached, that all error patterns stored in the error pattern list storage unit 112 or error patterns whose order relation has been changed have been selected, For example, an instruction to end the trial has been given (step S8) Here, if the predetermined end condition is not satisfied, the process returns to step S1, while if the predetermined end condition is satisfied, the client device 12-n. Is completed, and the process proceeds to step S9.

ステップS9では、ネゴシエーション実行部1131が、クライアント装置12−nが設定情報収集装置11と接続状態にあるかを判定する(ステップS9)。ここで、接続状態にある場合には、クライアント装置12−nを切断した後にステップS11に進む。一方、接続状態にない場合には、そのままステップS11に進む。   In step S9, the negotiation execution unit 1131 determines whether the client device 12-n is connected to the setting information collection device 11 (step S9). If the client device 12-n is in the connected state, the process advances to step S11 after disconnecting the client device 12-n. On the other hand, if not in the connected state, the process proceeds to step S11 as it is.

ステップS11では、解析集計部116が設定情報記憶部115に格納されている設定情報を集計した集計情報を生成し、さらに評価情報リスト記憶部117に格納されている評価情報リストを参照して、集計情報内の暗号方式の安全性を評価し、検査結果を生成して出力する。集計情報は、蓄積された設定情報の暗号方式を表す情報(例えば、暗号スイーツの値)を含む。その他、集計情報が、プロトコルのバージョン、クライアント装置12−nで選択可能な暗号方式であるか否か(対応の有無(ON/OFF))、暗号方式の優先順などの情報を含んでもよい。なお、「暗号方式の優先順」とは、クライアント装置12−nがサーバ装置に「確立処理」を要求するときに、クライアント装置12−nが選択する「暗号方式の優先順」を意味する。例えば、クライアント装置12−nが最初にサーバ装置に「確立処理」を要求する場合には、クライアント装置12−nに格納されている暗号方式またはその集合のうち、優先順が最も高い暗号方式またはその集合を選択してこの要求を行い、サーバ装置でその暗号方式が拒絶された場合にはそれよりも優先順の低い暗号方式またはその集合を選択してこの要求を行う。このような「暗号方式の優先順」の推定は、例えば抽出部114で抽出された「暗号方式に関する設定情報」の順序に基づいて行われる。すなわち、解析集計部116が、抽出部114で抽出された「暗号方式に関する設定情報」に基づいて「暗号方式の優先順」の推定値を得る。例えば、同一のクライアント装置12−nに対してステップS1〜S8の処理を複数回行い、解析集計部116が、各設定情報が何回目の試行のステップS5で抽出されたものであるかを特定し、それに基づいて各設定情報の暗号方式の優先順を推定する。例えば、試行回数が小さいステップS5で抽出された設定情報の暗号方式ほど「暗号方式の優先順」が高いものとする。図10Bの例の集計情報は、プロトコルのバージョン、対応の有無(ON/OFF)、暗号スイーツの値CS、および暗号方式の優先順を含む。また、本形態の検査結果は、集計情報によって特定される情報と、集計情報によって特定される暗号方式の安全性を表す情報とを含む。図11の例の検査結果では、プロトコルのバージョン、暗号方式を表す情報(ID、ラベル、別名)、対応の有無(ON/OFF)、および暗号方式の優先順からなるリストを含み、それぞれの暗号方式の安全性(「安全」「注意」「危険」)が色分けされている。例えば、「安全」な暗号方式に対応する情報には緑色が付され、「注意」の暗号方式に対応する情報には黄色が付され、「危険」な暗号方式に対応する情報には「赤色」が付される。得られた検査結果は、検査結果出力部118に送られ、そこから出力される(ステップS11)。以上の処理を複数のクライアント装置12−1〜12−Nに対して実行することにより、これらに対する検査結果を得ることができる。   In step S11, the analysis totaling unit 116 generates total information obtained by totaling the setting information stored in the setting information storage unit 115, and further refers to the evaluation information list stored in the evaluation information list storage unit 117. Evaluates the security of the encryption method in the aggregate information, and generates and outputs a test result. The total information includes information (for example, the value of the encryption sweet) that represents the encryption method of the stored setting information. In addition, the aggregate information may include information such as the protocol version, whether or not the encryption method is selectable by the client apparatus 12-n (supported / not supported (ON / OFF)), and the priority order of the encryption methods. The “priority order of encryption schemes” means “priority order of encryption schemes” selected by the client apparatus 12-n when the client apparatus 12-n requests “establishment processing” from the server apparatus. For example, when the client device 12-n first requests “establishment processing” from the server device, the encryption method having the highest priority among the encryption methods stored in the client device 12-n or a set thereof is selected. This request is made by selecting the set, and when the encryption method is rejected by the server apparatus, the request is made by selecting an encryption method or a set having a lower priority order than the encryption method. Such estimation of “priority order of encryption schemes” is performed based on the order of “setting information related to encryption schemes” extracted by the extraction unit 114, for example. That is, the analysis totaling unit 116 obtains an estimated value of “priority order of encryption schemes” based on “setting information related to encryption schemes” extracted by the extraction unit 114. For example, the processing of steps S1 to S8 is performed a plurality of times for the same client device 12-n, and the analysis and counting unit 116 specifies how many times each setting information has been extracted in step S5. Based on this, the priority order of the encryption schemes of the setting information is estimated. For example, it is assumed that the encryption scheme of the setting information extracted in step S5 with a smaller number of trials has a higher “priority order of encryption scheme”. The aggregate information in the example of FIG. 10B includes a protocol version, presence / absence of correspondence (ON / OFF), a cipher suite value CS, and a cipher scheme priority order. In addition, the inspection result of the present embodiment includes information specified by the total information and information indicating the security of the encryption method specified by the total information. The test result in the example of FIG. 11 includes a list including a protocol version, information indicating an encryption method (ID, label, alias), presence / absence of correspondence (ON / OFF), and priority order of encryption methods. The system safety ("safety" "caution" "danger") is color-coded. For example, information corresponding to the “safe” encryption method is indicated in green, information corresponding to the “caution” encryption method is indicated in yellow, and information corresponding to the “dangerous” encryption method is indicated in “red”. Is attached. The obtained inspection result is sent to the inspection result output unit 118 and outputted therefrom (step S11). By executing the above processing for a plurality of client apparatuses 12-1 to 12-N, it is possible to obtain inspection results for these.

<模擬エラー応答の具体例>
図5〜図7を用い、前述した模擬エラー応答の具体例を示す。
図5の例は、「模擬エラー応答」として「クライアント装置との接続を切断する処理」が繰り返される例である。この例では、ステップS4でメッセージが受信され、ステップS5でメッセージ解析・設定情報の抽出が行われた後、ステップS6で「クライアント装置との接続を切断する処理」を表すエラーパタンが選択され、ステップS7でクライアント装置12−nとの接続が切断される。ネゴシエーション実行部1131は、その後、クライアント装置12−nが再びメッセージを送信してくるのを待つ(ステップS1)。接続が切断されたクライアント装置12−nは、設定情報収集装置11に対し、先ほどと異なる設定情報のメッセージで確立要求を行う。このメッセージはステップS4で受信され、ステップS5でメッセージ解析・設定情報の抽出が行われた後、再び、ステップS6で「クライアント装置との接続を切断する処理」を表すエラーパタンが選択され、ステップS7でクライアント装置12−nとの接続が切断される。これにより、1回目の試行とは異なる設定情報が抽出される。さらにもう一度、同様な処理が実行され、さらに別の設定情報が抽出される。その後、ステップS3の終了条件(例えば、メッセージの待ち受け時間が所定の時間を経過したこと)が満たされ、ステップS11に進む。 <Specific example of simulated error response>
A specific example of the simulated error response described above will be described with reference to FIGS.
The example of FIG. 5 is an example in which “processing to disconnect the connection with the client device” is repeated as “simulated error response”. In this example, after the message is received in step S4 and message analysis / setting information is extracted in step S5, an error pattern representing “processing for disconnecting the connection with the client device” is selected in step S6. In step S7, the connection with the client device 12-n is disconnected. The negotiation execution unit 1131 then waits for the client device 12-n to send a message again (step S1). The disconnected client device 12-n makes an establishment request to the setting information collecting device 11 with a different setting information message. This message is received in step S4, and after message analysis / setting information is extracted in step S5, an error pattern representing “processing for disconnecting from the client device” is selected again in step S6. In S7, the connection with the client device 12-n is disconnected. Thereby, setting information different from the first trial is extracted. Further, the same processing is executed again, and further setting information is extracted. Thereafter, the termination condition of step S3 (for example, a predetermined time has elapsed for message waiting) is satisfied, and the process proceeds to step S11.

図6の例は、「模擬エラー応答」として「クライアント装置にアラートを返す処理」が繰り返される例である。この例では、ステップS4でメッセージが受信され、ステップS5でメッセージ解析・設定情報の抽出が行われた後、ステップS6で「クライアント装置にアラートを返す処理」を表すエラーパタンが選択され、ステップS7でクライアント装置12−nに対してアラートが返信される。ネゴシエーション実行部1131は、接続を切断することなく、クライアント装置12−nが再びメッセージを送信してくるのを待つ(ステップS1)。アラートを受け取ったクライアント装置12−nは、設定情報収集装置11に対し、先ほどと異なる設定情報のメッセージを送信する。このメッセージはステップS4で受信され、ステップS5でメッセージ解析・設定情報の抽出が行われた後、再び、ステップS6で「クライアント装置にアラートを返す処理」を表すエラーパタンが選択され、ステップS7でクライアント装置12−nに対してアラートが返信される。これにより、1回目の試行とは異なる設定情報が抽出される。その後、ステップS8の終了条件(例えば、試行終了の指示がなされたこと)が満たされ、ステップS10で接続が切断された後、ステップS11に進む。   The example of FIG. 6 is an example in which “processing to return an alert to the client device” is repeated as “simulated error response”. In this example, after a message is received in step S4 and message analysis / setting information is extracted in step S5, an error pattern representing “processing for returning an alert to the client device” is selected in step S6, and in step S7. An alert is returned to the client device 12-n. The negotiation execution unit 1131 waits for the client device 12-n to transmit a message again without disconnecting the connection (step S1). The client device 12-n that has received the alert transmits a setting information message different from the previous one to the setting information collection device 11. This message is received in step S4, and after message analysis / setting information is extracted in step S5, an error pattern representing “processing for returning an alert to the client device” is selected again in step S6, and in step S7. An alert is returned to the client device 12-n. Thereby, setting information different from the first trial is extracted. Thereafter, the termination condition in step S8 (for example, the instruction to terminate the trial is satisfied) is satisfied, the connection is disconnected in step S10, and the process proceeds to step S11.

図7の例も、「模擬エラー応答」として「クライアント装置にアラートを返す処理」が繰り返される例である。この例では、ステップS4でメッセージが受信され、ステップS5でメッセージ解析・設定情報の抽出が行われた後、ステップS6で「クライアント装置にアラートを返す処理」を表すエラーパタンが選択され、ステップS7でクライアント装置12−nに対してアラートが返信される。アラートを受け取ったクライアント装置12−nは、接続を切断する。その後、ネゴシエーション実行部1131は、クライアント装置12−nが再びメッセージを送信してくるのを待つ(ステップS1)。切断を行ったクライアント装置12−nは、設定情報収集装置11に対し、先ほどと異なる設定情報のメッセージを送信する。このメッセージはステップS4で受信され、ステップS5でメッセージ解析・設定情報の抽出が行われた後、再び、ステップS6で「クライアント装置にアラートを返す処理」を表すエラーパタンが選択され、ステップS7でクライアント装置12−nに対してアラートが返信される。これにより、1回目の試行とは異なる設定情報が抽出される。アラートを受け取ったクライアント装置12−nは、接続を切断する。その後、ステップS8の終了条件(例えば、試行終了の指示がなされたこと)が満たされ、ステップS11に進む。   The example of FIG. 7 is also an example in which “processing to return an alert to the client device” is repeated as “simulated error response”. In this example, after a message is received in step S4 and message analysis / setting information is extracted in step S5, an error pattern representing “processing for returning an alert to the client device” is selected in step S6, and in step S7. An alert is returned to the client device 12-n. The client device 12-n that has received the alert disconnects the connection. Thereafter, the negotiation executing unit 1131 waits for the client device 12-n to transmit a message again (step S1). The disconnected client device 12-n transmits a setting information message different from the previous one to the setting information collecting device 11. This message is received in step S4, and after message analysis / setting information is extracted in step S5, an error pattern representing “processing for returning an alert to the client device” is selected again in step S6, and in step S7. An alert is returned to the client device 12-n. Thereby, setting information different from the first trial is extracted. The client device 12-n that has received the alert disconnects the connection. Thereafter, the end condition of step S8 (for example, an instruction to end trial) is satisfied, and the process proceeds to step S11.

<本形態の特徴>
本形態では、サーバ装置として機能する設定情報収集装置11が、クライアント装置12−nから送信された「仮想的な暗号通信路の確立要求」を受け付ける。これを契機とし、設定情報収集装置11は、「確立要求」に基づく受信メッセージから、「暗号通信路の確立要求元」であるクライアント装置12−nで利用可能な暗号方式に関する設定情報を抽出する抽出処理と、当該受信メッセージに対し、仮想的な暗号通信路の確立処理時のエラー応答を模擬した模擬エラー応答を行う応答処理と、を繰り返し実行する。ここで、模擬エラー応答がなされたクライアント装置12−nは、設定情報収集装置11との接続を再試行するため、前回と異なる設定情報でメッセージを送信する可能性が高い。そのため、抽出処理と応答処理とを同一のクライアント装置12−nについて複数回繰り返すことにより、当該クライアント装置12−nで利用可能な暗号方式に関する設定情報を十分に引き出すことができる。 <Features of this embodiment>
In this embodiment, the setting information collection device 11 that functions as a server device accepts a “virtual encryption communication path establishment request” transmitted from the client device 12-n. In response to this, the setting information collection device 11 extracts setting information related to an encryption method that can be used by the client device 12-n that is the “encryption channel establishment request source” from the received message based on the “establishment request”. The extraction process and a response process for performing a simulated error response that simulates an error response during the virtual encryption channel establishment process are repeatedly executed for the received message. Here, since the client apparatus 12-n to which the simulated error response is made tries to connect to the setting information collection apparatus 11 again, there is a high possibility that the client apparatus 12-n transmits a message with setting information different from the previous time. Therefore, by repeating the extraction process and the response process a plurality of times for the same client apparatus 12-n, it is possible to sufficiently extract the setting information regarding the encryption method that can be used by the client apparatus 12-n.

また本形態では、エラーパタンリストのエラーパタンが順序付けされることで、それらに対応する複数の模擬エラー応答の内容が順序付けされ、この順序付けに従って模擬エラー応答の内容が選択される。これにより、設定情報を効率よく収集できる模擬エラー応答の応答順序が分かっていれば、その順序付けに従って模擬エラー応答を行い、設定情報を効率よく収集することができる。   In this embodiment, the error patterns in the error pattern list are ordered, the contents of a plurality of simulated error responses corresponding to them are ordered, and the contents of the simulated error responses are selected according to this ordering. Thus, if the response order of simulated error responses that can efficiently collect setting information is known, simulated error responses can be made according to the ordering and the setting information can be efficiently collected.

また、受信メッセージに応じて複数の模擬エラー応答の内容の順序付けを変更し、変更した順序付けに従って模擬エラー応答の内容を選択することで、受信メッセージの内容を考慮して設定情報を効率よく収集できる模擬エラー応答の順序を選択することができる。   Also, by changing the ordering of the contents of multiple simulated error responses according to the received message and selecting the contents of the simulated error response according to the changed ordering, setting information can be efficiently collected in consideration of the contents of the received message The order of simulated error responses can be selected.

また、抽出された暗号方式に関する設定情報の順序に基づいて当該暗号方式の優先順を推定することができる。暗号方式の優先順は安全性に大きく関与する。すなわち、優先順が高い暗号方式は使用される頻度が高く、その暗号方式の安全性に問題がある場合には早急な対応が必要である。一方、優先順が低い暗号方式は使用される頻度が低いため、その暗号方式の安全性に問題があっても、対応の必要性は低い。このような優先順を効率よく抽出することにより、安全性と接続性とを考慮した対処が容易となる。   Further, the priority order of the encryption methods can be estimated based on the order of the setting information regarding the extracted encryption methods. The priority order of encryption methods is largely related to security. In other words, encryption schemes with high priority are frequently used, and if there is a problem with the security of the encryption scheme, immediate response is necessary. On the other hand, since the encryption method with a low priority is used less frequently, even if there is a problem with the security of the encryption method, the necessity for dealing with it is low. By efficiently extracting such priority order, it is possible to easily deal with safety and connectivity.

[変形例等]
なお、本発明は上述の実施の形態に限定されるものではない。例えば、各装置がネットワークを通じて情報をやり取りするのではなく、少なくとも一部の組の装置が可搬型記録媒体を介して情報をやり取りしてもよい。或いは、少なくとも一部の組の装置が非可搬型の記録媒体を介して情報をやり取りしてもよい。これらの装置の一部からなる組み合わせが、同一の装置であってもよい。例えば上述の実施形態では、「エラーパタンのリスト」が順序付けされた複数の「エラーパタン」を含み、この順序付けに従って「エラーパタン」が選択された。しかしながら、毎回同一の「エラーパタン」が選択されてもよい。収集された設定情報に応じてエラーパタンリストが更新されてもよい。すなわち、模擬エラー応答の内容と模擬エラー応答の後に設定情報収集装置11に入力された受信メッセージから抽出された設定情報との関係に基づいて、複数の模擬エラー応答の内容および順序付けの少なくとも一方が更新されてもよい。例えば、模擬エラー応答の内容と抽出された設定情報が表す暗号方式の個数または種類との関係を集計し、より多くの暗号方式に関する設定情報を取得できる模擬エラー応答の組み合わせを算出し、それに基づいて「エラーパタンのリスト」またはその「エラーパタン」の順序関係が更新されてもよい。また、上述の実施形態ではメッセージを受信するたびに模擬エラー応答を行った。しかしながら、確立要求のためのメッセージ(例えば、ClientHelloメッセージ)を受け取った後、しばらくは通常の確立処理(例えば、ハンドシェーク)を実行し、その途中で送信されたメッセージに対して模擬エラー応答を行ってもよい。このような確立処理の途中で送信されたメッセージも「確立要求に基づく受信メッセージ」に相当する。 [Modifications, etc.]
The present invention is not limited to the embodiment described above. For example, instead of each device exchanging information via a network, at least some of the devices may exchange information via a portable recording medium. Alternatively, at least some of the devices may exchange information via a non-portable recording medium. The combination which consists of a part of these apparatuses may be the same apparatus. For example, in the above-described embodiment, the “error pattern list” includes a plurality of “error patterns” ordered, and the “error pattern” is selected according to this ordering. However, the same “error pattern” may be selected every time. The error pattern list may be updated according to the collected setting information. That is, based on the relationship between the content of the simulated error response and the setting information extracted from the received message input to the setting information collection device 11 after the simulated error response, at least one of the content and ordering of the plurality of simulated error responses is It may be updated. For example, by summing up the relationship between the content of simulated error responses and the number or type of encryption methods represented by the extracted setting information, a combination of simulated error responses that can acquire setting information related to more encryption methods is calculated, and Then, the “error pattern list” or the order relationship of the “error pattern” may be updated. In the above-described embodiment, a simulated error response is performed every time a message is received. However, after receiving a message (for example, a ClientHello message) for an establishment request, a normal establishment process (for example, handshaking) is performed for a while, and a simulated error response is sent to the message that was sent in the middle. Also good. A message transmitted during such an establishment process also corresponds to a “received message based on an establishment request”.

上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。例えば、ステップS4とS5との間でステップS6,7が実行されてもよい。例えば、設定情報取得装置が複数のクライアント装置と並列に上述の処理を実行してもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。   The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. For example, steps S6 and S7 may be executed between steps S4 and S5. For example, the setting information acquisition device may execute the above-described processing in parallel with a plurality of client devices. Needless to say, other modifications are possible without departing from the spirit of the present invention.

上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。   When the above configuration is realized by a computer, the processing contents of the functions that each device should have are described by a program. By executing this program on a computer, the above processing functions are realized on the computer. The program describing the processing contents can be recorded on a computer-readable recording medium. An example of a computer-readable recording medium is a non-transitory recording medium. Examples of such a recording medium are a magnetic recording device, an optical disk, a magneto-optical recording medium, a semiconductor memory, and the like.

このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   This program is distributed, for example, by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, this computer reads a program stored in its own recording device and executes a process according to the read program. As another execution form of the program, the computer may read the program directly from the portable recording medium and execute processing according to the program, and each time the program is transferred from the server computer to the computer. The processing according to the received program may be executed sequentially. The above-described processing may be executed by a so-called ASP (Application Service Provider) type service that realizes a processing function only by an execution instruction and result acquisition without transferring a program from the server computer to the computer. Good.

上記実施形態では、コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されたが、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。   In the above embodiment, the processing functions of the apparatus are realized by executing a predetermined program on a computer. However, at least a part of these processing functions may be realized by hardware.

上述の技術は、SSLやTLSなどの仮想的な暗号通信路を確立して暗号通信を行うプロトコルに則って通信を行う分野に利用できる。   The above-described technique can be used in the field of performing communication in accordance with a protocol for establishing a virtual encryption communication path such as SSL or TLS and performing encryption communication.

1 通信システム
11 設定情報収集装置
12−1〜12−N クライアント装置 1 Communication System 11 Setting Information Collection Device 12-1 to 12-N Client Device

Claims (7)

仮想的な暗号通信路の確立要求を受け付ける受信部と、
前記確立要求に基づく受信メッセージから、前記暗号通信路の確立要求元で利用可能な暗号方式に関する設定情報を抽出する抽出部と、
前記受信メッセージに対し、仮想的な暗号通信路の確立処理時のエラー応答を模擬した模擬エラー応答を行う応答部と、
前記抽出部および前記応答部の処理を繰り返し実行させる制御部と、
を有する設定情報収集装置。 A receiving unit that accepts a request to establish a virtual encrypted communication path;
An extraction unit that extracts setting information related to an encryption method that can be used by the establishment request source of the encrypted communication path from the received message based on the establishment request;
In response to the received message, a response unit that performs a simulated error response that simulates an error response at the time of establishing a virtual encryption communication path;
A control unit that repeatedly executes the processing of the extraction unit and the response unit;
A setting information collecting apparatus. 請求項1の設定情報収集装置であって、
複数の模擬エラー応答の内容が順序付けされており、
前記応答部は、前記順序付けに従って模擬エラー応答の内容を選択し、選択した内容の模擬エラー応答を行う、設定情報収集装置。 The setting information collection device according to claim 1,
The contents of multiple mock error responses are ordered,
The setting information collection device, wherein the response unit selects the content of a simulated error response according to the ordering and performs a simulated error response of the selected content. 請求項2の設定情報収集装置であって、
前記応答部は、前記受信メッセージに応じて前記複数の模擬エラー応答の内容の順序付けを変更し、変更した順序付けに従って前記模擬エラー応答の内容を選択する、設定情報収集装置。 The setting information collection device according to claim 2,
The response unit changes the ordering of the contents of the plurality of simulated error responses according to the received message, and selects the contents of the simulated error response according to the changed ordering. 請求項1から3の何れかの設定情報収集装置であって、
前記抽出部および前記応答部の処理は同一の前記確立要求元について複数回実行される、設定情報収集装置。 The setting information collection device according to any one of claims 1 to 3,
The setting information collection device, wherein the processing of the extraction unit and the response unit is executed a plurality of times for the same establishment request source. 請求項4の設定情報収集装置であって、
前記抽出部で抽出された前記暗号方式に関する設定情報の順序に基づいて、前記暗号方式の優先順を推定する解析集計部を有する、設定情報収集装置。 The setting information collecting device according to claim 4,
A setting information collecting apparatus, comprising: an analysis totaling unit that estimates a priority order of the encryption methods based on an order of setting information relating to the encryption methods extracted by the extraction unit. 受信部が、仮想的な暗号通信路の確立要求を受け付ける受信ステップと、
抽出部が、前記確立要求に基づく受信メッセージから、前記暗号通信路の確立要求元で利用可能な暗号方式に関する設定情報を抽出する抽出ステップと、
応答部が、前記受信メッセージに対し、仮想的な暗号通信路の確立処理時のエラー応答を模擬した模擬エラー応答を行う応答ステップと、を有し、
前記抽出ステップおよび前記応答ステップを繰り返し実行する、設定情報収集方法。 A receiving step for receiving a request for establishment of a virtual encrypted communication path;
An extraction step for extracting setting information related to an encryption method that can be used at the establishment request source of the encrypted communication path from the received message based on the establishment request;
A response unit that performs a simulated error response that simulates an error response during the process of establishing a virtual encryption communication path with respect to the received message; and
A setting information collection method for repeatedly executing the extraction step and the response step. 請求項1から5の何れかの設定情報収集装置としてコンピュータを機能させるためのプログラム。   A program for causing a computer to function as the setting information collection device according to claim 1.
JP2015042145A 2015-03-04 2015-03-04 Setting information collecting apparatus, method and program thereof Active JP5987076B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015042145A JP5987076B2 (en) 2015-03-04 2015-03-04 Setting information collecting apparatus, method and program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015042145A JP5987076B2 (en) 2015-03-04 2015-03-04 Setting information collecting apparatus, method and program thereof

Publications (2)

Publication Number Publication Date
JP2016163251A JP2016163251A (en) 2016-09-05
JP5987076B2 true JP5987076B2 (en) 2016-09-06

Family

ID=56843345

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015042145A Active JP5987076B2 (en) 2015-03-04 2015-03-04 Setting information collecting apparatus, method and program thereof

Country Status (1)

Country Link
JP (1) JP5987076B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4844613B2 (en) * 2008-09-30 2011-12-28 ブラザー工業株式会社 Wireless network connection method, wireless communication apparatus, and program
JP5423228B2 (en) * 2009-08-11 2014-02-19 日立金属株式会社 Communication apparatus and communication system
JP2014116641A (en) * 2011-03-31 2014-06-26 Panasonic Corp Communication device and communication system
JP2013258566A (en) * 2012-06-13 2013-12-26 Ricoh Co Ltd Information processing device, program, and recording medium

Also Published As

Publication number Publication date
JP2016163251A (en) 2016-09-05

Similar Documents

Publication Publication Date Title
KR102298268B1 (en) An apparatus for network monitoring based on edge computing and method thereof, and system
US11140162B2 (en) Response method and system in virtual network computing authentication, and proxy server
US20220109695A1 (en) Method and apparatus for decryption of encrypted ssl data from packet traces
CN108353004A (en) Method, system and computer-readable medium for test network virtualization of function (NFV)
CN108401011A (en) The accelerated method of handshake request, equipment and fringe node in content distributing network
US11831763B2 (en) Methods, systems, and computer readable media for utilizing predetermined encryption keys in a test simulation environment
CN105577602A (en) Data pushing method and data pushing device based on open application programming interface
CN109905474A (en) Data safety sharing method and device based on block chain
CN110381043B (en) SSL-based server health detection method and device and electronic equipment
WO2022081334A1 (en) Systems and methods for autonomous program detection
CN107562555A (en) The cleaning method and server of duplicate data
US10205590B2 (en) Methods, systems, and computer readable media for reducing the size of a cryptographic key in a test simulation environment
JP5987076B2 (en) Setting information collecting apparatus, method and program thereof
CN114285890B (en) Cloud platform connection method, device, equipment and storage medium
CN106411677A (en) Method and device for determining optimal maximum transmission unit (MTU) of virtual private network (VPN) data channel
CN116055475A (en) Detection method and device for bypass monitoring HTTPS
US20180270313A1 (en) Remote management system, intermediary device, and remote management method
CN113645176B (en) Method and device for detecting fake flow and electronic equipment
CN113961432A (en) Method and device for generating data report, electronic equipment and storage medium
CN109672748B (en) Processing method, processing device and processing system for self-service equipment transaction flow
JP6048555B1 (en) Classification information creation device, classification information creation method, classification information creation program, search device, search method, and search program
CN104539581B (en) Information search implementation method, device and network side equipment
KR102363758B1 (en) Proxy device and its control method
CN105337929A (en) Verification method and apparatus of IP address
KR20170007216A (en) Method of managing network route and network entity enabling the method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160802

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160808

R150 Certificate of patent or registration of utility model

Ref document number: 5987076

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150