JP6699377B2 - Communication data relay device and program - Google Patents

Communication data relay device and program Download PDF

Info

Publication number
JP6699377B2
JP6699377B2 JP2016115714A JP2016115714A JP6699377B2 JP 6699377 B2 JP6699377 B2 JP 6699377B2 JP 2016115714 A JP2016115714 A JP 2016115714A JP 2016115714 A JP2016115714 A JP 2016115714A JP 6699377 B2 JP6699377 B2 JP 6699377B2
Authority
JP
Japan
Prior art keywords
communication data
information
decryption
exclusion
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016115714A
Other languages
Japanese (ja)
Other versions
JP2017219776A (en
Inventor
和弘 金子
和弘 金子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2016115714A priority Critical patent/JP6699377B2/en
Publication of JP2017219776A publication Critical patent/JP2017219776A/en
Application granted granted Critical
Publication of JP6699377B2 publication Critical patent/JP6699377B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は通信データ中継装置及びプログラムに関する。   The present invention relates to a communication data relay device and a program.

TLS(Transport Layer Security)は、インターネット上でデータを暗号化して送受信できるトランスポート層のプロトコルである。クライアント端末とウェブサーバ間のHTTP(Hyper Text Transfer Protocol)やFTP(File Transfer Protocol)等の通信において、個人情報やクレジットカード情報等の機密性の高いデータを、TLSにより暗号化して安全にやりとりできる。   TLS (Transport Layer Security) is a transport layer protocol capable of encrypting and transmitting and receiving data on the Internet. In communications such as HTTP (Hyper Text Transfer Protocol) and FTP (File Transfer Protocol) between the client terminal and the web server, highly confidential data such as personal information and credit card information can be encrypted and safely exchanged by TLS. .

但し、情報通信を安全に行うためであるはずのTLS通信が情報漏洩の抜け道として使用されることもあるため、TLS通信を解析・監視し、コンテンツフィルタリングを行う技術が提案されている。クライアント端末からのTLS通信データをプロキシサーバで受信して復号し、問題なければデータを再び暗号化して本来のウェブサーバに送信する。クライアント端末とプロキシサーバ間、及びプロキシサーバとウェブサーバ間において、それぞれ独立に暗号化された通信路が確立される。   However, TLS communication, which is supposed to be used for safe information communication, may be used as a loophole for information leakage. Therefore, a technique for analyzing/monitoring TLS communication and performing content filtering has been proposed. The TLS communication data from the client terminal is received and decrypted by the proxy server, and if there is no problem, the data is encrypted again and transmitted to the original web server. Independently encrypted communication paths are established between the client terminal and the proxy server, and between the proxy server and the web server.

また、クライアント端末からプロキシサーバ宛に送られるCONNECTメソッドからウェブサーバのホスト名を取得し、ホスト名レベルでコンテンツフィルタリングを行う技術も知られている。この方法では、復号処理が不要という利点がある。   There is also known a technique of acquiring the host name of the web server from the CONNECT method sent from the client terminal to the proxy server and performing content filtering at the host name level. This method has an advantage that decoding processing is unnecessary.

特許文献1には、接続先の安全性の確認作業負荷をクライアント端末から軽減することを課題として、中継装置が接続先の確認(サーバ証明書の検証)を行うことが記載されている。   Patent Document 1 describes that the relay device confirms the connection destination (verification of the server certificate) with the object of reducing the workload for confirming the security of the connection destination from the client terminal.

特許文献2には、クライアント端末とサーバが中継装置を介して別々のセッションを使用して暗号化通信を行っている場合における、クライアント端末とサーバ間での直接的な認証を可能とすることを課題として、中継装置はサーバの一時的電子証明書を検証し、さらにセッションデータと一時的電子証明書を含む電子証明書を発行してクライアント端末に送信し、クライアント端末は中継装置の一時的電子証明書を検証してサーバの電子証明書を検証することが記載されている。   Patent Document 2 discloses that direct authentication between a client terminal and a server is possible when the client terminal and the server perform encrypted communication using different sessions via a relay device. As a problem, the relay device verifies the temporary digital certificate of the server, issues an electronic certificate including the session data and the temporary digital certificate, and sends the digital certificate to the client terminal. It is described that the certificate is verified and the electronic certificate of the server is verified.

特許文献3には、暗号化されたプロトコルによる外部装置へのアクセスを把握できる情報処理装置を提供することを課題として、CONNECT通知を検知し、設定情報から通信禁止か否かを判断することが記載されている。   Patent Document 3 aims to provide an information processing device capable of grasping access to an external device by an encrypted protocol, and detects a CONNECT notification to determine whether or not communication is prohibited from setting information. Have been described.

特開2012−137975号公報JP2012-137975A 特開2003−124926号公報JP, 2003-124926, A 特開2014−206929号公報JP, 2014-206929, A

クライアント端末からのTLS通信データをプロキシサーバで受信して復号し、問題なければデータを再び暗号化してウェブサーバに送信する技術では、クレジットカード番号やパスワード等のプライバシー情報あるいは機密情報も復号されてしまう問題がある。他方、ウェブサーバのホスト名を取得し、ホスト名レベルでコンテンツフィルタリングを行う技術では、フィルタリングに用いる情報がホスト名のみであるため、フィルタリング精度が劣る問題がある。   In the technology of receiving the TLS communication data from the client terminal by the proxy server and decrypting it, and if there is no problem, the data is re-encrypted and transmitted to the web server, the privacy information such as credit card number and password or confidential information is also decrypted. There is a problem that ends up. On the other hand, in the technique of acquiring the host name of the web server and filtering the content at the host name level, there is a problem that the filtering accuracy is poor because the information used for filtering is only the host name.

本発明の目的は、プライバシー情報(機密情報)が含まれる場合には復号を除外する装置及びプログラムを提供することにある。   An object of the present invention is to provide a device and a program that exclude decryption when privacy information (confidential information) is included.

請求項1に記載の発明は、暗号化された通信データを受信する受信手段と、受信手段が受信した暗号化された通信データを復号する復号手段と、復号手段が復号した通信データに機密情報を要求する情報が含まれている場合に、それ以降に受信手段が受信した通信データを復号しないように制御する制御手段とを備える通信データ中継装置である。   According to a first aspect of the present invention, a receiving unit that receives encrypted communication data, a decrypting unit that decrypts the encrypted communication data received by the receiving unit, and confidential information in the communication data decrypted by the decrypting unit. The communication data relay apparatus includes a control unit that controls so that the communication data received by the receiving unit after that is not decoded when the information requesting the request is included.

請求項2に記載の発明は、制御手段は、通信データに機密情報を要求する情報を含んでいた通信データの差出人または宛先から暗号化された通信データを再度受信した場合、暗号化された通信データを復号しないように制御する請求項1に記載の通信データ中継装置である。   In the invention described in claim 2, when the control means receives again the encrypted communication data from the sender or the destination of the communication data including the information requesting confidential information in the communication data, the encrypted communication is performed. The communication data relay device according to claim 1, wherein the communication data relay device is controlled so as not to decrypt the data.

請求項3に記載の発明は、復号除外対象の宛先情報として有効期限情報を含む請求項1,2のいずれかに記載の通信データ中継装置である。   The invention according to claim 3 is the communication data relay device according to any one of claims 1 and 2, which includes expiration date information as destination information to be excluded from decryption.

請求項4に記載の発明は、制御手段は、通信データに含まれる入力タイプ、入力フォーマット、表示テキストの内容の少なくともいずれかを用いて機密情報を要求する情報が含まれていることを検出する請求項1〜3のいずれかに記載の通信データ中継装置である。   In the invention according to claim 4, the control means detects that the information requesting the confidential information is included by using at least one of the input type, the input format, and the content of the display text included in the communication data. The communication data relay device according to any one of claims 1 to 3.

請求項5に記載の発明は、プロキシサーバに、暗号化された通信データを受信するステップと、受信した暗号化された通信データを復号するステップと、復号した通信データに機密情報を要求する情報が含まれている場合に、それ以降に受信した通信データを復号しないように制御するステップを実行させるプログラムである。   According to a fifth aspect of the invention, the proxy server receives the encrypted communication data, the decrypted received encrypted communication data, and the confidential information requesting the decrypted communication data. Is included in the program, the program executes the step of controlling not to decode the communication data received thereafter.

請求項1,5に記載の発明によれば、暗号化された通信データに機密情報(プライバシー情報)を要求する情報が含まれる場合にはその復号を除外して機密情報を保護できる。   According to the invention described in claims 1 and 5, when the encrypted communication data includes information requesting confidential information (privacy information), the decryption can be excluded to protect the confidential information.

請求項2に記載の発明によれば、さらに、復号を除外した場合においてもホスト名レベルのフィルタリングを実行できる。   According to the second aspect of the present invention, further, filtering at the host name level can be executed even when decryption is excluded.

請求項3に記載の発明によれば、さらに、情報を更新することができる。   According to the invention of claim 3, the information can be further updated.

請求項4に記載の発明によれば、さらに、機密情報を要求する情報を確実に検出できる。   According to the invention of claim 4, further, it is possible to reliably detect information requesting confidential information.

実施形態のシステム構成図である。It is a system configuration diagram of an embodiment. 実施形態の処理フローチャートである。It is a processing flowchart of an embodiment. 実施形態のデータ解析の詳細フローチャートである。It is a detailed flowchart of the data analysis of embodiment. 実施形態の記憶手段(データベース)に記憶される情報の説明図である。It is explanatory drawing of the information memorize|stored in the memory|storage means (database) of embodiment. 実施形態の通信データの一例を示す説明図である。It is explanatory drawing which shows an example of the communication data of embodiment. 他の実施形態の処理フローチャートである。It is a processing flowchart of other embodiment.

以下、図面に基づき本発明の実施形態について説明する。   Embodiments of the present invention will be described below with reference to the drawings.

まず、本実施形態の基本原理について説明する。   First, the basic principle of this embodiment will be described.

TLS通信等の暗号化された通信データを受信し、これを復号してコンテンツフィルタリングを実行すると、プライバシー情報(機密情報)が含まれている場合に問題となり得る。   Receiving encrypted communication data such as TLS communication, decrypting it, and executing content filtering may cause a problem when privacy information (confidential information) is included.

そこで、本実施形態では、暗号化された通信データを受信した場合に、一律にこれを復号してコンテンツフィルタリングを実行するのではなく、プライバシー情報が要求される通信が行われた場合、それ以降の通信データを復号しないように制御する。   Therefore, in the present embodiment, when encrypted communication data is received, it is not uniformly decrypted and content filtering is executed, but when communication requiring privacy information is performed, and thereafter The communication data is controlled not to be decrypted.

本実施形態では、復号した通信データにプライバシー情報を要求する情報が含まれている場合に、自動的に通信データを差出人または宛先が記憶手段に順次登録されていくので、利用者は復号除外対象のホワイトリストを手動で作成する必要がない。また、一度、記憶手段に復号除外対象として登録されれば、それ以降の通信データについては復号されることなく、セキュリティが確保される。   In the present embodiment, when the decrypted communication data includes information requesting privacy information, the sender or the destination of the communication data is automatically registered in the storage means in sequence, so that the user is not subject to decryption exclusion. There is no need to manually create a whitelist for Further, once registered as a decryption exclusion target in the storage means, the communication data thereafter is not decrypted and the security is secured.

記憶手段に記憶される情報は、通信データの差出人または宛先であるが、これとともにその情報の有効期限を設定してもよく、有効期限を用いて記憶手段に記憶される情報を自動的に更新してもよい。   The information stored in the storage means is the sender or destination of the communication data, but the expiration date of the information may be set together with the information, and the information stored in the storage means is automatically updated using the expiration date. You may.

次に、本実施形態について、クライアント端末とサーバ装置との間に介在して通信データを中継処理するプロキシサーバ装置を例にとり具体的に説明する。   Next, the present embodiment will be specifically described by taking as an example a proxy server device that relays communication data via a client terminal and a server device.

図1は、本実施形態のシステム構成図である。システムは、クライアント端末10と、中継装置としてのプロキシサーバ装置12と、ウェブサーバ装置14を備える。クライアント端末10とプロキシサーバ装置12は通信回線で接続され、プロキシサーバ装置12とウェブサーバ装置14も通信回線で接続される。通信回線は、例えばインターネットである。   FIG. 1 is a system configuration diagram of the present embodiment. The system includes a client terminal 10, a proxy server device 12 as a relay device, and a web server device 14. The client terminal 10 and the proxy server device 12 are connected by a communication line, and the proxy server device 12 and the web server device 14 are also connected by a communication line. The communication line is, for example, the Internet.

プロキシサーバ装置12は、送受信手段120、復号除外判断手段121、送受信手段122、コンテンツフィルタリング手段123、復号/暗号化手段124、復号除外情報記憶手段125、及びデータ解析手段126を備える。   The proxy server device 12 includes a transmission/reception unit 120, a decryption exclusion determination unit 121, a transmission/reception unit 122, a content filtering unit 123, a decryption/encryption unit 124, a decryption exclusion information storage unit 125, and a data analysis unit 126.

送受信手段120は、クライアント端末10と通信データを送受信するインターフェースである。また、送受信手段122は、ウェブサーバ装置14と通信データを送受信するインターフェースである。   The transmitting/receiving means 120 is an interface for transmitting/receiving communication data to/from the client terminal 10. The transmission/reception unit 122 is an interface that transmits/receives communication data to/from the web server device 14.

復号除外情報記憶手段125は、復号除外情報を記憶するデータベースである。   The decryption exclusion information storage unit 125 is a database that stores the decryption exclusion information.

データ解析手段126は、通信データにプライバシー情報を要求する情報が含まれているか否かを判定し、プライバシー情報を要求する情報が含まれている場合に、それ以降の当該通信データを復号除外情報として復号除外情報記憶手段125に登録する。具体的には、プライバシー情報を要求する情報を含む通信データの差出人または宛先であるホスト名を除外対象ホスト名として登録する。   The data analysis unit 126 determines whether or not the communication data includes information requesting privacy information, and when the communication data includes information requesting privacy information, the subsequent communication data is excluded from decoding information. Is registered in the decryption exclusion information storage means 125. Specifically, the sender or the host name of the communication data including the information requesting the privacy information is registered as the exclusion target host name.

復号除外判断手段121は、復号除外情報記憶手段125に記憶されている復号除外情報に基づき、クライアント端末10から受信した通信データが復号除外対象であるか否かを判定し、その判定結果を復号/暗号化手段124に供給する。   The decryption exclusion determination unit 121 determines whether the communication data received from the client terminal 10 is a decryption exclusion target based on the decryption exclusion information stored in the decryption exclusion information storage unit 125, and decrypts the determination result. /Supply to the encryption means 124.

復号/暗号化手段124は、復号除外判断手段121での判定結果に応じ、クライアント端末10から受信した通信データが復号除外対象でない場合に、通信データを復号化してコンテンツフィルタリング手段123に供給し、コンテンツフィルタリングの実行後に復号化した通信データを再び暗号化して送受信手段122に供給する。復号/暗号化手段124は、復号除外判断手段121での判定結果に応じ、クライアント端末10から受信した通信データが復号除外対象の場合に、通信データを復号化することなく送受信手段122にそのまま供給する。   The decryption/encryption unit 124 decrypts the communication data and supplies the decrypted communication data to the content filtering unit 123 when the communication data received from the client terminal 10 is not a decryption exclusion target according to the determination result of the decryption exclusion determination unit 121. After executing the content filtering, the decrypted communication data is encrypted again and supplied to the transmitting/receiving means 122. The decryption/encryption unit 124 supplies the communication data to the transmission/reception unit 122 without decrypting the communication data when the communication data received from the client terminal 10 is an object of the decryption exclusion according to the determination result of the decryption exclusion determination unit 121. To do.

コンテンツフィルタリング手段123は、復号化された通信データを処理し、安全(Safety)かそうでないか(NG)を判定してその結果を復号/暗号化手段124に供給する。復号/暗号化手段124は、安全である場合には既述したように通信データを再び暗号化して送受信手段122に供給し、安全でない場合には当該通信データを遮断あるいはそれに準じた処理を実行する。   The content filtering unit 123 processes the decrypted communication data, determines whether it is safe (Safety) or not (NG), and supplies the result to the decryption/encryption unit 124. If it is safe, the decryption/encryption means 124 re-encrypts the communication data and supplies it to the transmission/reception means 122 as described above, and if it is not safe, cuts off the communication data or executes a process corresponding thereto. To do.

プロキシサーバ装置12は、サーバ装置としての構成、すなわちCPU、ROM、RAM、入出力インターフェース、通信インターフェース、HDD(ハードディスクドライブ)等の記憶装置からなるデータベースを備える。復号除外判断手段121、コンテンツフィルタリング手段123、復号/暗号化手段124、及びデータ解析手段126は、制御手段として機能し、1つ又は複数のCPUが、ROMに記憶された処理プログラムを読み出し、RAMをワーキングメモリとして用いて当該処理プログラムを実行することにより実現される。なお、復号除外判断手段121、コンテンツフィルタリング手段123、復号/暗号化手段124、及びデータ解析手段126の少なくともいずれかをPLDやFPGA等のハードウェアで実現してもよい。   The proxy server device 12 has a configuration as a server device, that is, a database including a storage device such as a CPU, a ROM, a RAM, an input/output interface, a communication interface, and an HDD (hard disk drive). The decryption exclusion determination means 121, the content filtering means 123, the decryption/encryption means 124, and the data analysis means 126 function as control means, and one or a plurality of CPUs reads out the processing program stored in the ROM and the RAM. Is realized as a working memory by executing the processing program. Note that at least one of the decryption exclusion determination unit 121, the content filtering unit 123, the decryption/encryption unit 124, and the data analysis unit 126 may be realized by hardware such as PLD or FPGA.

図2は、プロキシサーバ装置12の処理フローチャートを示す。処理プログラムにより実現される処理である。   FIG. 2 shows a processing flowchart of the proxy server device 12. This is the process realized by the processing program.

まず、送受信手段120は、クライアント端末10からの通信データを受信する(S101)。あるいは、送受信手段122は、ウェブサーバ装置14からの通信データを受信する(S101)。   First, the transmitting/receiving unit 120 receives communication data from the client terminal 10 (S101). Alternatively, the transmitting/receiving unit 122 receives the communication data from the web server device 14 (S101).

次に、復号除外判断手段121は、受信した通信データが復号除外の対象であるか否かを判定する(S102)。具体的には、通信データの差出人ホスト名または宛先ホスト名と復号除外情報記憶手段125に記憶されている除外対象ホスト名が一致するか否かを判定し、一致する場合には復号除外の対象である(YES)と判定し、一致しなければ復号除外の対象でない(NO)と判定する。   Next, the decryption exclusion determination unit 121 determines whether or not the received communication data is subject to decryption exclusion (S102). Specifically, it is determined whether or not the sender host name or the destination host name of the communication data and the exclusion target host name stored in the decryption exclusion information storage unit 125 match, and if they match, the decryption exclusion target. Is determined (YES), and if they do not match, it is determined that they are not targets of decryption exclusion (NO).

復号除外の対象である場合、復号除外判断手段121は、受信した通信データを復号することなく、コンテンツフィルタリングは実行されない。送受信手段122あるいは120は、通信データをウェブサーバ装置14あるいはクライアント端末10に送信する。   When it is a target of the decryption exclusion, the decryption exclusion determining unit 121 does not decrypt the received communication data, and the content filtering is not executed. The transmitting/receiving means 122 or 120 transmits the communication data to the web server device 14 or the client terminal 10.

復号除外の対象でない場合、復号除外判断手段121は、受信した通信データを復号/暗号化手段124に供給する。復号/暗号化手段124は、通信データを復号して(S103)コンテンツフィルタリング手段123に供給する。コンテンツフィルタリング手段123は、復号された通信データが適切であるか否かを判定する。コンテンツフィルタリングは公知であり、URLフィルタリングあるいは動的コンテンツフィルタリングのいずれを用いてもよい。通信データのコンテンツが適切であれば安全(safety)と判定し、不適切であればNGと判定する。不適切の場合、通信データを遮断するか、あるいは遮断に準ずる処理を実行する(S109)。遮断に準ずる処理には接続拒否が含まれる。   When it is not the target of the decryption exclusion, the decryption exclusion determination unit 121 supplies the received communication data to the decryption/encryption unit 124. The decryption/encryption means 124 decrypts the communication data (S103) and supplies it to the content filtering means 123. The content filtering unit 123 determines whether the decrypted communication data is appropriate. Content filtering is well known and either URL filtering or dynamic content filtering may be used. If the content of the communication data is appropriate, it is determined to be safe, and if it is inappropriate, it is determined to be NG. If it is inappropriate, the communication data is blocked or a process corresponding to the block is executed (S109). The processing according to the cutoff includes connection refusal.

コンテンツフィルタリングで安全(safety)である場合、復号された通信データはデータ解析手段126に供給される。データ解析手段126は、復号された通信データにプライバシー情報(機密情報)を要求する情報が含まれているか否かを解析する(S105)。データ解析手段126は、具体的には、通信データをHTML解析し、入力タイプ(input type)や入力フォーマット(input format)、ラジオボタン等の値(value)、表示テキストの内容等を用いてプライバシー情報を要求する情報が含まれているか否かを判定する。プライバシー情報は、例えばクレジットカード番号やパスワード等であり、プライバシー情報を要求する情報は、例えばクレジットカード番号を入力するフォーマットや「パスワード」を入力して下さい」等のテキスト情報等であるが、これに限定されない。データ解析手段126は、判定結果を復号/暗号化手段124に供給するとともに、判定結果に応じて復号除外情報記憶手段125に新たに復号除外情報を追加登録する。   If the content filtering is safe, the decrypted communication data is supplied to the data analysis means 126. The data analysis unit 126 analyzes whether or not the decrypted communication data includes information requesting privacy information (confidential information) (S105). Specifically, the data analysis unit 126 analyzes the communication data by HTML, and uses the input type, the input format, the value of the radio button or the like, the content of the display text, etc. to perform privacy. It is determined whether the information requesting the information is included. The privacy information is, for example, a credit card number or password, and the information requesting the privacy information is, for example, a format for entering a credit card number or text information such as "Please enter a password". Not limited to. The data analysis unit 126 supplies the determination result to the decryption/encryption unit 124, and additionally additionally registers the decryption exclusion information in the decryption exclusion information storage unit 125 according to the determination result.

すなわち、プライバシー情報を要求する情報が含まれていない場合、復号/暗号化手段124は、復号された通信データを再び暗号化し(S107)、暗号化された通信データを送受信手段122あるいは120に供給する。送受信手段122は、暗号化された通信データをウェブサーバ装置14に送信し、あるいは送受信手段120は暗号化された通信データをクライアント端末10に送信する(S108)。   That is, when the information requesting the privacy information is not included, the decryption/encryption means 124 re-encrypts the decrypted communication data (S107), and supplies the encrypted communication data to the transmitting/receiving means 122 or 120. To do. The transmitting/receiving unit 122 transmits the encrypted communication data to the web server device 14, or the transmitting/receiving unit 120 transmits the encrypted communication data to the client terminal 10 (S108).

他方、プライバシー情報を要求する情報が含まれている場合、データ解析手段126は、復号された通信データの差出人または宛先ホスト名を新たに除外対象ホスト名として復号除外情報記憶手段125に登録する(S106)。そして、復号/暗号化手段124は、復号された通信データを再び暗号化し(S107)、暗号化された通信データを送受信手段122あるいは120に供給する。送受信手段122は、暗号化された通信データをウェブサーバ装置14に送信し、あるいは送受信手段120は、暗号化された通信データをクライアント端末10に送信する(S108)。従って、次回からは、当該ホスト名が通信データの差出人または宛先である場合、復号除外判断手段121で復号除外対象と判定され、復号されることなくウェブサーバ装置14あるいはクライアント端末10に送信されるのでプライバシー情報が保護される。クライアント端末10とウェブサーバ装置14間で通信データを送受する場合、あるタイミングにおいてウェブサーバ装置14からクライアント端末10に通信データが送信され、この通信データについてデータ解析の結果プライバシー情報を要求する情報が含まれているとして復号除外情報記憶手段125に登録されると、次のタイミングにおいてクライアント端末10からウェブサーバ装置14に送信されると、当該通信データについては復号除外対象とされて復号されず、かつコンテンツフィルタリングも実行されず、そのままウェブサーバ装置14に中継される。   On the other hand, when the information requesting the privacy information is included, the data analysis unit 126 newly registers the sender or the destination host name of the decrypted communication data in the decryption exclusion information storage unit 125 as the exclusion target host name ( S106). Then, the decryption/encryption means 124 re-encrypts the decrypted communication data (S107), and supplies the encrypted communication data to the transmitting/receiving means 122 or 120. The transmission/reception unit 122 transmits the encrypted communication data to the web server device 14, or the transmission/reception unit 120 transmits the encrypted communication data to the client terminal 10 (S108). Therefore, from the next time onward, when the host name is the sender or destination of the communication data, the decryption exclusion determining unit 121 determines that the decryption exclusion target is set, and the decryption exclusion determination unit 121 transmits the decrypted data to the web server device 14 or the client terminal 10 without decryption. Therefore, the privacy information is protected. When communication data is transmitted and received between the client terminal 10 and the web server device 14, the communication data is transmitted from the web server device 14 to the client terminal 10 at a certain timing, and as a result of data analysis of this communication data, information requesting privacy information is transmitted. When registered in the decryption exclusion information storage unit 125 as included, when transmitted from the client terminal 10 to the web server device 14 at the next timing, the communication data is targeted for decryption exclusion and is not decrypted. Moreover, the content filtering is not executed, and the content is relayed to the web server device 14 as it is.

図3は、図2のS105、すなわちデータ解析手段126でのデータ解析処理の詳細処理フローチャートを示す。   FIG. 3 shows a detailed processing flowchart of S105 of FIG. 2, that is, the data analysis processing in the data analysis means 126.

データ解析手段126は、復号された通信データのHTMLに対して、順次、データ解析を行う。まず、HTMLの入力(input)タグの属性に関して解析を行う(S201)。例えば、HTMLのソースコードが、
<input type=”password” name=”pass size=”10” maxlength=”8”>
である場合、input type=”password”は、パスワード入力を要求するタグであり、これをパターンマッチングで検出した場合には、プライバシー情報を要求する情報が含まれていると判定する。これ以外にも、input type=”tel”、input type=”email”である場合、これらはそれぞれ電話番号、メールアドレスの入力を要求するタグであり、これをパターンマッチングで検出した場合には、プライバシー情報を要求する情報が含まれていると判定する。また、チェックボックスやラジオボタンについて判定することもできる。例えば、
input type=”checkbox” name=”card type” value=”1” cheked=”checked”>mastercard
input type=”checkbox” name=”card type” value=”2” cheked=”checked”>visa
input type=”checkbox” name=”card type” value=”3” cheked=”checked”>jcb
である場合も、プライバシー情報を要求する情報が含まれていると判定する。さらに、入力フォーマットから判定してもよい。例えば、入力フォーマットが4桁×4の数字に対応したフォーマットである場合、クレジットカード番号の入力を要求している可能性があるのでプライバシー情報を要求する情報が含まれていると判定し、12桁の数字に対応したフォーマットである場合にはマイナンバーの入力を要求している可能性があるのでプライバシー情報を要求する情報が含まれていると判定し、7桁の数字に対応したフォーマットである場合には口座番号の入力を要求している可能性があるのでプライバシー情報を要求する情報が含まれていると判定する。HTMLの入力タグの属性に関して解析を行い、プライバシー情報を要求する情報が含まれていない場合には、次に、タイトル(Title)タグの属性に関して解析を行う(S202)。例えば、HTMLのソースコードが
<title>決算画面:注文書情報入力</title>
である場合、プライバシー情報を要求する情報が含まれていると判定する。「クレジットカード」、「入力」等、判定基準となる文字列を予め決めておき、これが含まれるか否かを判定することでプライバシー情報を要求する情報の有無を判定する。 The data analysis means 126 sequentially performs data analysis on the HTML of the decrypted communication data. First, the attribute of the HTML input tag is analyzed (S201). For example, the HTML source code is
<input type=”password” name=”pass size=”10” maxlength=”8”>
In the case of, the input type=“password” is a tag for requesting password input, and when this is detected by pattern matching, it is determined that the information requesting privacy information is included. In addition to this, when input type=”tel” and input type=”email”, these are tags requesting the input of the telephone number and email address, respectively, and when this is detected by pattern matching, It is determined that the information requesting privacy information is included. It is also possible to make a judgment about check boxes and radio buttons. For example,
input type=”checkbox” name=”card type” value=”1” cheked=”checked”>mastercard
input type=”checkbox” name=”card type” value=”2” cheked=”checked”>visa
input type=”checkbox” name=”card type” value=”3” cheked=”checked”>jcb
If it is, it is determined that the information requesting the privacy information is included. Further, it may be determined from the input format. For example, when the input format is a format corresponding to 4 digits×4 numbers, it may be requested to input the credit card number, and thus it is determined that the information requesting the privacy information is included. If the format corresponds to a digit number, it may be required to enter your My Number, so it is determined that the information requiring privacy information is included, and the format corresponding to a 7-digit number is used. In some cases, it may be requested to input the account number, so it is determined that the information requesting privacy information is included. The attribute of the HTML input tag is analyzed, and if the information requesting privacy information is not included, then the attribute of the title tag is analyzed (S202). For example, the HTML source code
<title>Financial statement screen: Enter purchase order information</title>
If it is, it is determined that the information requesting the privacy information is included. Whether or not there is information requesting privacy information is determined by previously determining a character string that is a criterion such as “credit card” or “input” and determining whether or not the character string is included.

HTMLのタイトルタグの属性に関して解析を行い、プライバシー情報を要求する情報が含まれていない場合には、次に、ラベル(Label)タグの属性に関して解析を行う(S203)。例えば、HTMLのソースコードが
<label for=”credit_card_number”>
である場合、プライバシー情報を要求する情報が含まれていると判定する。 The attribute of the HTML title tag is analyzed, and if the information requesting the privacy information is not included, then the attribute of the label (Label) tag is analyzed (S203). For example, the HTML source code
<label for=”credit_card_number”>
If it is, it is determined that the information requesting the privacy information is included.

以上のような処理を複数段階、例えばN段階まで実行する(S204)。いずれかの段階においてプライバシー情報を要求する情報が含まれている場合には、図2のS106の処理、すなわち復号除外として復号除外情報記憶手段125に登録する。   The above processing is executed up to a plurality of stages, for example N stages (S204). When the information requesting the privacy information is included in any of the stages, the process is performed in step S106 of FIG. 2, that is, it is registered in the decryption exclusion information storage unit 125 as the decryption exclusion.

図4は、復号除外情報記憶手段125に記憶される復号除外情報の一例を示す。ウェブサーバ装置14のホスト名、及びその有効期限が関連付けて登録される。有効期限は、例えばSSL証明書の有効期限とすることができるが、これに限定されない。有効期限として、一般的なコンテンツ更新の頻度を考慮した上で予め決められた期限(2年等)を設定してもよい。有効期限を設定することで、一度、復号除外情報記憶手段125に登録されたとしても、有効期限経過後には再びデータ解析手段126でデータ解析を行うことになるため、コンテンツの更新に対応して、定期的に復号除外情報記憶手段125の登録内容も更新することができる。   FIG. 4 shows an example of the decryption exclusion information stored in the decryption exclusion information storage unit 125. The host name of the web server device 14 and its expiration date are registered in association with each other. The expiration date can be, for example, the expiration date of the SSL certificate, but is not limited to this. As the expiration date, a predetermined expiration date (two years or the like) may be set in consideration of the general content update frequency. By setting the expiration date, even if the data is once registered in the decryption exclusion information storage unit 125, the data analysis unit 126 will perform data analysis again after the expiration date, so that the content can be updated. The registered contents of the decryption exclusion information storage means 125 can also be updated periodically.

本実施形態の処理をより具体的に説明する。クライアント端末10がウェブサーバ装置14にアクセスし、ウェブサーバ装置14の特定のウェブサイトでオンラインショッピングを行う場合である。   The process of this embodiment will be described more specifically. This is a case where the client terminal 10 accesses the web server device 14 and performs online shopping at a specific website of the web server device 14.

クライアント端末10がウェブサーバ装置14にアクセスし、商品決算直前まで処理が進んだものとする。この時点までは、プライバシー情報を要求する情報が要求されるような通信はなかったものとする。   It is assumed that the client terminal 10 accesses the web server device 14 and the processing has proceeded to immediately before the settlement of the product. Up to this point, it is assumed that there has been no communication that requires information requesting privacy information.

プロキシサーバ装置12の送受信手段122は、ウェブサーバ装置14からの、クライアント端末10のGetリクエストのレスポンスとしてのデータを受信する。送受信手段122は、受信した通信データを復号除外判断手段121に供給する。   The transmission/reception unit 122 of the proxy server device 12 receives the data from the web server device 14 as a response to the Get request of the client terminal 10. The transmission/reception unit 122 supplies the received communication data to the decoding exclusion determination unit 121.

この時点では、ウェブサーバ装置14の当該ウェブサイトは未だ復号除外情報記憶手段125に登録されていないとすると、復号除外判断手段121は、受信したデータは復号除外の対象でないと判定し、通信データを復号/暗号化手段124に供給する。復号/暗号化手段124は、通信データを復号し、コンテンツフィルタリング手段123は復号された通信データのURL等を用いてコンテンツフィルタリングを実行する。仮に、コンテンツフィルタリングで適切(safety)と判定されると、データ解析手段126でデータ解析が実行される。   At this time, if the website of the web server device 14 is not yet registered in the decryption exclusion information storage unit 125, the decryption exclusion determination unit 121 determines that the received data is not the target of the decryption exclusion, and the communication data Is supplied to the decryption/encryption means 124. The decryption/encryption unit 124 decrypts the communication data, and the content filtering unit 123 executes content filtering using the URL of the decrypted communication data. If it is determined that the content filtering is appropriate (safety), the data analysis unit 126 executes data analysis.

図5は、復号された通信データの画面例を示す。一般的なショッピングサイトでの決算直前の画面である。この画面のHTMLソースコードには、「IDを入力して下さい」、「パスワードを入力して下さい」、「クレジットカード番号を入力して下さい」、「クレジットカードのセキュリティコードを入力して下さい」、「氏名を入力して下さい」等が存在し、さらに4桁×4の数字の入力欄等も存在する。データ解析手段126は、これらを検出することでプライバシー情報を要求する情報が含まれていると判定すると、当該ショッピングサイトのホスト名を新たに復号除外情報記憶手段125に登録する。そして、復号/暗号化手段124は、復号した通信データを再び暗号化し、送受信手段120は、暗号化された通信データをクライアント端末10に送信する。   FIG. 5 shows an example of a screen of the decrypted communication data. It is a screen just before the settlement of accounts on a general shopping site. In the HTML source code on this screen, "Enter ID", "Enter password", "Enter credit card number", "Enter security code of credit card" , "Please enter your name", etc., and there is also a field for entering 4 digits x 4 numbers. If the data analysis unit 126 determines that the information requesting privacy information is included by detecting these, the data analysis unit 126 newly registers the host name of the shopping site in the decryption exclusion information storage unit 125. Then, the decryption/encryption unit 124 re-encrypts the decrypted communication data, and the transmission/reception unit 120 transmits the encrypted communication data to the client terminal 10.

その後、プロキシサーバ装置12は、クライアント端末10からウェブサーバ装置14へのPOSTデータを受信する。送受信手段120は、受信したPOSTデータを復号除外判断手段121に供給する。このとき、復号除外情報記憶手段125には当該ショッピングサイトのホスト名が既に登録されているので、復号除外判断手段121は、受信したPOSTデータは復号除外対象であると判定し、復号することなくそのまま送受信手段122を介してウェブサーバ装置14に送信する。   After that, the proxy server device 12 receives the POST data from the client terminal 10 to the web server device 14. The transmission/reception unit 120 supplies the received POST data to the decryption exclusion determination unit 121. At this time, since the host name of the shopping site is already registered in the decryption exclusion information storage unit 125, the decryption exclusion determination unit 121 determines that the received POST data is a decryption exclusion target and does not decrypt the received POST data. The data is directly transmitted to the web server device 14 via the transmission/reception means 122.

以上、実施形態について説明したが、本発明はこれに限定されるものではなく、種々の変形が可能である。   Although the embodiment has been described above, the present invention is not limited to this, and various modifications can be made.

例えば、本実施形態では、図2の処理フローチャートに示すように、復号除外判断手段121で復号除外の対象であると判定された場合に、受信した通信データをそのまま中継しているが、ホスト名レベルでのフィルタリングを実行した上で中継してもよい。既述したように、クライアント端末10からプロキシサーバ装置12宛に送られるCONNECTメソッドからウェブサーバのホスト名を取得し、ホスト名レベルでコンテンツフィルタリングを行う技術は、復号を行ってコンテンツフィルタリングを行う技術に比べてフィルタリング精度が劣るものの、何らのフィルタリングを実行しない場合と比べれば相対的にセキュリティをある程度確保し得る。   For example, in the present embodiment, as shown in the process flowchart of FIG. 2, when the decryption exclusion determination unit 121 determines that the decryption exclusion target is the target of the decryption exclusion, the received communication data is relayed as it is. It may be relayed after performing filtering at the level. As described above, the technique of acquiring the host name of the web server from the CONNECT method sent from the client terminal 10 to the proxy server device 12 and performing content filtering at the host name level is a technique of performing content filtering by decoding. Although the filtering accuracy is inferior to that of, the security can be relatively secured to some extent as compared with the case where no filtering is executed.

図6は、この場合の処理フローチャートを示す。S301〜S309は、図2に示すS101〜S109と同様である。   FIG. 6 shows a processing flowchart in this case. S301 to S309 are the same as S101 to S109 shown in FIG.

すなわち、クライアント端末10からウェブサーバ装置14への通信データを例にとり説明すると、送受信手段120は、クライアント端末10からの通信データを受信する(S301)。   That is, the communication data from the client terminal 10 to the web server device 14 will be described as an example. The transmitting/receiving unit 120 receives the communication data from the client terminal 10 (S301).

次に、復号除外判断手段121は、受信した通信データが復号除外の対象であるか否かを判定する(S302)。復号除外の対象である場合、復号除外判断手段121は、受信した通信データを復号することなく、コンテンツフィルタリングを実行しない。送受信手段122は、暗号化された通信データをウェブサーバ装置14に送信して中継する。   Next, the decryption exclusion determination unit 121 determines whether or not the received communication data is subject to decryption exclusion (S302). When it is a target of the decryption exclusion, the decryption exclusion determining unit 121 does not decrypt the received communication data and does not execute the content filtering. The transmission/reception unit 122 transmits the encrypted communication data to the web server device 14 and relays it.

復号除外の対象でない場合、復号除外判断手段121は、受信した通信データを復号/暗号化手段124に供給する。復号/暗号化手段124は、通信データを復号して(S303)コンテンツフィルタリング手段123に供給する。コンテンツフィルタリング手段123は、復号された通信データが適切であるか否かを判定する。通信データのコンテンツが適切であれば安全(safety)と判定し、不適切であればNGと判定する。不適切の場合、通信データを遮断するか、あるいは遮断に準ずる処理を実行する(S309)。   When it is not the target of the decryption exclusion, the decryption exclusion determination unit 121 supplies the received communication data to the decryption/encryption unit 124. The decryption/encryption means 124 decrypts the communication data (S303) and supplies it to the content filtering means 123. The content filtering unit 123 determines whether the decrypted communication data is appropriate. If the content of the communication data is appropriate, it is determined to be safe, and if it is inappropriate, it is determined to be NG. If it is inappropriate, the communication data is blocked, or a process corresponding to the blocking is executed (S309).

コンテンツフィルタリングで安全(safety)とされた場合、復号された通信データはデータ解析手段126に供給される。データ解析手段126は、復号された通信データにプライバシー情報(機密情報)が含まれているか否かを解析する(S305)。データ解析手段126は、具体的には、通信データをHTML解析し、入力タイプ(input type)や入力フォーマット(input format)、ラジオボタン等の値(value)、表示テキストの内容等を用いてプライバシー情報を要求する情報が含まれているか否かを判定する。プライバシー情報を要求する情報が含まれていない場合、復号/暗号化手段124は、復号された通信データを再び暗号化し(S307)、暗号化された通信データを送受信手段122に供給する。送受信手段122は、暗号化された通信データをウェブサーバ装置14に送信する(S308)。   If the content filtering makes the content safe, the decrypted communication data is supplied to the data analysis unit 126. The data analysis unit 126 analyzes whether the decrypted communication data includes privacy information (confidential information) (S305). Specifically, the data analysis unit 126 analyzes the communication data by HTML, and uses the input type, the input format, the value of the radio button or the like, the content of the display text, etc. to perform privacy. It is determined whether the information requesting the information is included. When the information requesting the privacy information is not included, the decryption/encryption means 124 re-encrypts the decrypted communication data (S307) and supplies the encrypted communication data to the transmitting/receiving means 122. The transmission/reception unit 122 transmits the encrypted communication data to the web server device 14 (S308).

他方、プライバシー情報を要求する情報が含まれている場合、データ解析手段126は、復号された通信データの宛先ホスト名を新たに除外対象ホスト名として復号除外情報記憶手段125に登録する(S106)。このとき、その有効期限もホスト名に関連付けて登録してもよい。復号/暗号化手段124は、復号された通信データを再び暗号化し(S307)、暗号化された通信データを送受信手段122に供給する。送受信手段122は、暗号化された通信データをウェブサーバ装置14に送信する(S308)。   On the other hand, when the information requesting the privacy information is included, the data analysis unit 126 newly registers the destination host name of the decrypted communication data in the decryption exclusion information storage unit 125 as the exclusion target host name (S106). . At this time, the expiration date may be registered in association with the host name. The decryption/encryption means 124 re-encrypts the decrypted communication data (S307), and supplies the encrypted communication data to the transmitting/receiving means 122. The transmission/reception unit 122 transmits the encrypted communication data to the web server device 14 (S308).

S302で復号除外対象であると判定された場合、そのまま通信データを中継して送受信手段122からウェブサーバ装置14に送信するのではなく、通信データを復号することなく、コンテンツフィルタリング手段123がホスト名レベルでのコンテンツフィルタリングを実行する(S310)。CONNECTメソッドは、プロキシサーバに対し、HTTPSのセッション中継せずに透過(トンネリング)させるように依頼するものであり、そのホスト名を用いてフィルタリングを実行する。適切であればそのまま中継し、不適切であればS304で不適切(NG)と判定された場合と同様に遮断あるいはこれに準ずる処理を実行する(S309)。   If it is determined in S302 that the decryption target is excluded, the content filtering unit 123 does not decrypt the communication data and relays the communication data to the web server device 14 by relaying the communication data as it is. Content filtering at the level is executed (S310). The CONNECT method requests the proxy server to transmit (tunnel) the HTTPS session without relaying the session, and executes filtering using the host name. If it is appropriate, it is relayed as it is, and if it is inappropriate, it is cut off or a process similar to this is executed as in the case of being determined to be inappropriate (NG) in S304 (S309).

図6に示す処理でも、プライバシー情報(機密情報)を要求する情報が含まれている場合にそれ以降の通信データの復号を除外してプライバシー情報を保護できるとともに、復号除外のホワイトリストを自動的に作成できる。さらに、復号除外の場合でも、ある程度(ホスト名レベル)でのフィルタリングを実行して不適切な通信データを遮断し得る。   Even in the process shown in FIG. 6, when the information requesting the privacy information (confidential information) is included, the decryption of the communication data after that can be excluded to protect the privacy information, and the whitelist of the exclusion of decryption is automatically performed. Can be created in Further, even in the case of decryption exclusion, inappropriate communication data can be blocked by executing filtering to some extent (host name level).

また、本実施形態では、図3に示すように、複数段階でプライバシー情報を要求する情報が含まれているか否かを判定しているが、プライバシー情報を要求する情報が含まれているか否かをポイント数として定量評価し、閾値と大小比較することでプライバシー情報を要求する情報が含まれているか否かを統合的に判定してもよい。この場合に、複数段階の各段階において異なる重みを付加して定量評価してもよい。プライバシー情報を要求する情報にはその機密度に相違があることを考慮したものである。   Further, in the present embodiment, as shown in FIG. 3, it is determined whether or not the information requesting the privacy information is included in a plurality of stages, but whether or not the information requesting the privacy information is included. May be quantitatively evaluated as the number of points and compared with a threshold value to integrally determine whether or not the information requesting the privacy information is included. In this case, different weights may be added in each of a plurality of stages for quantitative evaluation. This is because information that requires privacy information differs in confidentiality.

さらに、本実施形態において、コンテンツフィルタリングを実行した場合には、必要に応じてクライアント端末10にその旨を通知してもよい。   Further, in the present embodiment, when the content filtering is executed, the fact may be notified to the client terminal 10 as necessary.

10 クライアント端末、12 プロキシサーバ装置、14 ウェブサーバ装置、120,122 送受信手段、121 復号除外判断手段、123 コンテンツフィルタリング手段、124 復号/暗号化手段、125 復号除外記憶手段、126 データ解析手段。
10 client terminals, 12 proxy server devices, 14 web server devices, 120, 122 transmission/reception means, 121 decryption exclusion determination means, 123 content filtering means, 124 decryption/encryption means, 125 decryption exclusion storage means, 126 data analysis means.

Claims (5)

暗号化された通信データを受信する受信手段と、
受信手段が受信した暗号化された通信データを復号する復号手段と、
復号手段が復号した通信データに機密情報を要求する情報が含まれている場合に、それ以降に受信手段が受信した通信データを復号しないように制御する制御手段と、
を備える通信データ中継装置。 Receiving means for receiving the encrypted communication data,
Decoding means for decoding the encrypted communication data received by the receiving means,
When the communication data decrypted by the decrypting means includes information requesting confidential information, control means for controlling not to decrypt the communication data received by the receiving means thereafter.
And a communication data relay device. 制御手段は、通信データに機密情報を要求する情報を含んでいた通信データの差出人または宛先から暗号化された通信データを再度受信した場合、暗号化された通信データを復号しないように制御する
請求項1に記載の通信データ中継装置。 The control means controls so as not to decrypt the encrypted communication data when the encrypted communication data is received again from the sender or the destination of the communication data including the information requesting confidential information in the communication data. Item 1. The communication data relay device according to Item 1. 復号除外対象の宛先情報として有効期限情報を含む
請求項1,2のいずれかに記載の通信データ中継装置。 The communication data relay device according to claim 1, wherein the destination information of the decryption exclusion target includes expiration date information. 制御手段は、通信データに含まれる入力タイプ、入力フォーマット、表示テキストの内容の少なくともいずれかを用いて機密情報を要求する情報が含まれていることを検出する
請求項1〜3のいずれかに記載の通信データ中継装置。 The control unit detects that the information requesting confidential information is included using at least one of the input type, the input format, and the content of the display text included in the communication data. The described communication data relay device. プロキシサーバに、
暗号化された通信データを受信するステップと、
受信した暗号化された通信データを復号するステップと、
復号した通信データに機密情報を要求する情報が含まれている場合に、それ以降に受信した通信データを復号しないように制御するステップ
を実行させるプログラム。


On the proxy server,
Receiving encrypted communication data,
Decrypting the received encrypted communication data,
When the decrypted communication data includes information requesting confidential information, a program for executing the step of controlling not to decrypt the communication data received thereafter.


JP2016115714A 2016-06-09 2016-06-09 Communication data relay device and program Active JP6699377B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016115714A JP6699377B2 (en) 2016-06-09 2016-06-09 Communication data relay device and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016115714A JP6699377B2 (en) 2016-06-09 2016-06-09 Communication data relay device and program

Publications (2)

Publication Number Publication Date
JP2017219776A JP2017219776A (en) 2017-12-14
JP6699377B2 true JP6699377B2 (en) 2020-05-27

Family

ID=60657975

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016115714A Active JP6699377B2 (en) 2016-06-09 2016-06-09 Communication data relay device and program

Country Status (1)

Country Link
JP (1) JP6699377B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019098242A1 (en) 2017-11-15 2019-05-23 三菱ケミカル株式会社 Method for producing aldehyde and method for producing alcohol
JP7213664B2 (en) * 2018-11-19 2023-01-27 三菱電機株式会社 Relay device, relay method and relay program
CN111125763B (en) * 2019-12-24 2022-09-20 百度在线网络技术(北京)有限公司 Method, device, equipment and medium for processing private data

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6546486B1 (en) * 2000-02-23 2003-04-08 Sun Microsystems, Inc. Content screening with end-to-end encryption within a firewall
US7188365B2 (en) * 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US7590844B1 (en) * 2002-04-26 2009-09-15 Mcafee, Inc. Decryption system and method for network analyzers and security programs
JP3909362B1 (en) * 2006-06-30 2007-04-25 クオリティ株式会社 Personal information management system, personal information management server, and personal information management program
US20100313016A1 (en) * 2009-06-04 2010-12-09 Microsoft Corporation Transport Pipeline Decryption for Content-Scanning Agents
US9176838B2 (en) * 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
EP3041163A4 (en) * 2013-08-27 2017-04-12 Mitsubishi Electric Corporation Data processing apparatus, data processing method and program

Also Published As

Publication number Publication date
JP2017219776A (en) 2017-12-14

Similar Documents

Publication Publication Date Title
US11729150B2 (en) Key pair infrastructure for secure messaging
US10504103B2 (en) Login using QR code
CN107209830B (en) Method for identifying and resisting network attack
US10235512B2 (en) Systems and methods for authentication via bluetooth device
KR101699733B1 (en) Barcode authentication for resource requests
JP5619007B2 (en) Apparatus, system and computer program for authorizing server operation
US20160043871A1 (en) Wireless Connections to a Wireless Access Point
US8689345B1 (en) Mitigating forgery of electronic submissions
EP3629152A1 (en) Using individualized apis to block automated attacks on native apps and/or purposely exposed apis
KR20100087029A (en) Performing secure electronic transactions
US9003540B1 (en) Mitigating forgery for active content
TR201810238T4 (en) The appropriate authentication method and apparatus for the user using a mobile authentication application.
US10332081B2 (en) Pin entry for internet banking on media device
KR20150111162A (en) Method for supporting login through user terminal and apparatus therefore
JP6699377B2 (en) Communication data relay device and program
TW201531080A (en) Device certificate provision apparatus, device certificate provision system, and device certificate provision program
US20160080338A1 (en) Method for securing a request for executing a first application, by a second application
CN113630412B (en) Resource downloading method, resource downloading device, electronic equipment and storage medium
US11270297B2 (en) Payment handling apparatus and method
US11314873B2 (en) Storage system
KR101799517B1 (en) A authentication server and method thereof
KR101451638B1 (en) Identification and theft prevention system, and method thereof
JP4627316B2 (en) Service providing system, authentication method, authentication program, and recording medium therefor
KR101308081B1 (en) Authentication method using two communication terminals
KR101019616B1 (en) Authentication method using two communication terminals

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190423

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200331

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200413

R150 Certificate of patent or registration of utility model

Ref document number: 6699377

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350