JP6705602B1 - 中継装置、中継方法、及び制御プログラム - Google Patents

中継装置、中継方法、及び制御プログラム Download PDF

Info

Publication number
JP6705602B1
JP6705602B1 JP2019009889A JP2019009889A JP6705602B1 JP 6705602 B1 JP6705602 B1 JP 6705602B1 JP 2019009889 A JP2019009889 A JP 2019009889A JP 2019009889 A JP2019009889 A JP 2019009889A JP 6705602 B1 JP6705602 B1 JP 6705602B1
Authority
JP
Japan
Prior art keywords
signal
received signal
server device
communication terminal
version
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019009889A
Other languages
English (en)
Other versions
JP2020120273A (ja
Inventor
和基 小島
和基 小島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2019009889A priority Critical patent/JP6705602B1/ja
Application granted granted Critical
Publication of JP6705602B1 publication Critical patent/JP6705602B1/ja
Publication of JP2020120273A publication Critical patent/JP2020120273A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】通信セキュリティを向上させることができる、中継装置、中継方法、及び制御プログラムを提供する。【解決手段】中継装置30において変換部32は、受信部31にて受信された信号を、サーバ装置20と中継装置30との通信に要求されるセキュリティレベルを満たす「所望の信号形態」へ変換する。そして、送信部33は、変換部32にて変換された信号を、サーバ装置20へ送信する。「所望の信号形態」は、例えば、暗号化方式の新バージョンによって暗号化された信号形態である。【選択図】図1

Description

本開示は、中継装置、中継方法、及び制御プログラムに関する。
中継器を介した通信装置と該通信装置のアクセス先との通信におけるセキュリティを確保するために、中継器の識別情報に基づいて、該通信装置が認証されているか否かを判定する技術が提案されている(例えば、特許文献1)。特許文献1に開示されている技術では、通信装置から送信されたIPパケットに含まれる中継局MACアドレス及び該通信装置のIPアドレスに基づいて、該通信装置が認証されているか否かについての判定がなされる。そして、該通信装置が認証されていると判定された場合、該IPパケットは、上記のアクセス先に向けて転送される。
特開2015−204027号公報
本発明者は、特許文献1に開示されている技術では、IPパケットがそのまま転送されているため、IPパケットが通信装置から送信されるときの信号形態によっては、転送されてからアクセス先に届くまでの間のセキュリティが確保できない可能性があることを見出した。
本開示の目的は、通信セキュリティを向上させることができる、中継装置、中継方法、及び制御プログラムを提供することにある。
第1の態様にかかる中継装置は、通信端末から送信され且つ前記通信端末のアクセス先であるサーバ装置へ向けた、信号を受信する受信部と、前記受信された信号を、前記サーバ装置との通信に要求されるセキュリティを満たす所望の信号形態へ変換する変換部と、前記変換された信号を前記サーバ装置へ送信する送信部と、を具備する。
第2の態様にかかる中継方法は、通信端末から送信され且つ前記通信端末のアクセス先であるサーバ装置へ向けた、信号を受信し、前記受信された信号を、前記サーバ装置との通信に要求されるセキュリティを満たす所望の信号形態へ変換し、前記変換された信号を前記サーバ装置へ送信する。
第3の態様にかかる制御プログラムは、通信端末から送信され且つ前記通信端末のアクセス先であるサーバ装置へ向けた、信号を受信し、前記受信された信号を、前記サーバ装置との通信に要求されるセキュリティを満たす所望の信号形態へ変換し、前記変換された信号を前記サーバ装置へ送信する、処理を、中継装置に実行させる。
本開示により、通信セキュリティを向上させることができる、中継装置、中継方法、及び制御プログラムを提供することができる。
第1実施形態における中継装置を含む通信システムの一例を示す図である。 第2実施形態における中継装置を含む通信システムの一例を示すブロック図である。 記憶部に記憶されている処理特定テーブルの一例を示す図である。 中継装置のハードウェア構成例を示す図である。
以下、図面を参照しつつ、実施形態について説明する。なお、実施形態において、同一又は同等の要素には、同一の符号を付し、重複する説明は省略される。
<第1実施形態>
図1は、第1実施形態における中継装置を含む通信システムの一例を示す図である。図1において通信システム1は、通信端末10と、サーバ装置20と、中継装置30とを有している。例えば、通信端末10と中継装置30とは同一のネットワーク(例えば、ローカルエリアネットワーク(LAN))内に配設される一方、サーバ装置20は該ネットワークと異なるネットワーク(例えば、インターネット)に配設されている。通信端末10と中継装置30との間及びサーバ装置20と中継装置30との間は、それぞれ、無線によって接続されていてもよいし、有線によって接続されていてもよく、その接続形態は特に限定されない。また、図1に示す通信システム1では、通信端末10及びサーバ装置20の数をそれぞれ1つとしているが、数はこれに限定されない。
通信端末10は、アクセス先であるサーバ装置20に向けて信号(例えば、IPパケット)を送信する。
図1において中継装置30は、受信部31と、変換部32と、送信部33とを有している。
受信部31は、通信端末10から送信され且つアクセス先であるサーバ装置20へ向けた、信号を受信する。
変換部32は、受信部31にて受信された信号を、サーバ装置20と中継装置30との通信に要求されるセキュリティレベルを満たす「所望の信号形態」へ変換する。
送信部33は、変換部32にて変換された信号を、サーバ装置20へ送信する。
ここで、例えば、サーバ装置20と中継装置30との通信において暗号化方式の新バージョンが用いられることが要求されている場合、上記「所望の信号形態」は、暗号化方式の新バージョンによって暗号化されている信号形態である。一方で、通信端末10は、暗号化方式の旧バージョンで信号を暗号化して、該暗号化された信号を送信することが考えられる。このような状況が生じるのは、一般的に、サーバ装置に対しては暗号化方式のバージョンの更新がタイムリーに行われる一方で、通信端末に対してはその更新がサーバ装置に比べて遅くなる傾向がある、ことが一因として考えられる。仮に通信端末10によって暗号化方式の旧バージョンによって暗号化されてサーバ装置20へ向けて送信された信号が中継装置30によってそのままの状態で転送された場合、中継装置30とサーバ装置20との間の通信路にてその信号が傍受されたり書き換えられたりする可能性がある。
これに対して、第1実施形態における中継装置30では変換部32が、受信部31にて受信された信号を、サーバ装置20と中継装置30との通信に要求されるセキュリティレベルを満たす「所望の信号形態」へ変換する。そして、送信部33は、変換部32にて変換された信号を、サーバ装置20へ送信する。
この中継装置30の構成により、セキュリティレベルを満たす所望の信号形態(上記の例では、暗号化方式の新バージョンによって暗号化された信号形態)に変換された信号をサーバ装置20へ転送することができるので、通信セキュリティを向上させることができる。
<第2実施形態>
第2実施形態は、より具体的な実施形態に関する。
図2は、第2実施形態における中継装置を含む通信システムの一例を示すブロック図である。図2において通信システム2は、通信端末10−1〜10−3と、サーバ装置20と、中継装置40とを有している。例えば、通信端末10−1〜10−3と中継装置40とは同一のネットワーク(例えば、ローカルエリアネットワーク(LAN))内に配設される一方、サーバ装置20は該ネットワークと異なるネットワーク(例えば、インターネット)に配設されている。通信端末10−1〜10−3のそれぞれと中継装置40との間及びサーバ装置20と中継装置40との間は、それぞれ、無線によって接続されていてもよいし、有線によって接続されていてもよく、その接続形態は特に限定されない。また、図2に示す通信システム2では、通信端末10の数を3つ、サーバ装置20の数を1つとしているが、数はこれに限定されない。以下では、通信端末10−1〜10−3を互いに区別しない場合、総称して通信端末10と呼ぶことがある。
第2実施形態のサーバ装置20は、例えば、SIP(Session Initiation Protocol)サーバである。通信端末10−1〜10−3のそれぞれは、SIPクライアントである。また、第2実施形態では、通信端末10−1は、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)における新バージョンであるTLSを用いて暗号化したパケットを送信する端末であるものとする。また、通信端末10−2は、SSL/TLSにおける旧バージョンであるSSLを用いて暗号化したパケットを送信する端末であるものとする。また、通信端末10−3は、SSL/TLSによる暗号化を行わない端末であるものとする。
通信端末10は、アクセス先であるサーバ装置20に向けて信号を送信する。例えば、通信端末10−1は、TLSを用いて暗号化したパケットをサーバ装置20へ向けて送信する。一方、通信端末10−2は、SSLを用いて暗号化したパケットをサーバ装置20へ向けて送信し、通信端末10−3は、SSL/TLSによる暗号化を行わずに、パケットをサーバ装置20へ向けて送信する。
図2において中継装置40は、受信部31と、送信部33と、変換部41と、記憶部42とを有している。
受信部31は、通信端末10から送信され且つアクセス先であるサーバ装置20へ向けた、パケットを受信する。
変換部41は、受信部31にて受信されたパケット(例えば、パケットのヘッダ部)に含まれる情報と記憶部42に記憶されている「処理特定テーブル」とに基づいて、該パケットに対する処理内容を特定し、該特定された処理内容に対応する処理を該パケットに施す。
例えば、変換部41は、情報抽出部41Aと、処理内容特定部41Bと、指示部41Cと、変換処理部41Dとを有している。
情報抽出部41Aは、受信部31にて受信されたパケットから、該パケットの送信元である通信端末10の識別子(例えば、IPアドレス)及び該通信端末10のSSL/TLSのバージョンに関する情報を抽出する。
処理内容特定部41Bは、情報抽出部41Aにて抽出された情報と記憶部42に記憶されている「処理特定テーブル」とに基づいて、受信部31にて受信されたパケットに対する処理内容を特定する。
図3は、記憶部に記憶されている処理特定テーブルの一例を示す図である。図3の処理特定テーブルにおける各エントリは、項目として、「判定情報」及び「制御内容」を含んでいる。また、項目「判定情報」には、項目として、「通信方式」、「送信元IPアドレス」、「SSL/TLSバージョン」が含まれ、項目「制御内容」には、項目として、「制御1」及び「制御2」が含まれている。すなわち、記憶部42に記憶されている「処理特定テーブル」は、通信端末10の端末識別子と暗号化方式のバージョンに応じた処理内容に関する情報とを対応づけて保持している。なお、図3では、TLSで暗号化されたSIPを「SIPS」と記載している。
すなわち、情報抽出部41Aは、受信部31にて受信されたパケットが通信端末10−1から送信されたパケットである場合、通信端末10−1のIPアドレス及びSSL/TLSのバージョンに関する情報として「TLS」を抽出する。そして、処理内容特定部41Bは、情報抽出部41Aで抽出された通信端末10−1のIPアドレス及び「TLS」をキーとして、処理特定テーブルを検索する。そして、処理内容特定部41Bは、処理特定テーブルにおいて、情報抽出部41Aで抽出された通信端末10−1のIPアドレス及び「TLS」と一致する「処理内容」を特定する。図3の処理特定テーブルでは、通信端末10−1のIPアドレス「172.16.1.21」及びSSL/TLSバージョン「最新」に対応する、処理内容「導通」が特定されることになる。この処理内容「導通」は、パケットがサーバ装置20へ転送されることを意味する。これと同様にして、受信部31にて受信されたパケットが通信端末10−2から送信されたパケットである場合、処理内容特定部41Bは、処理特定テーブルにおいて、情報抽出部41Aで抽出された通信端末10−2のIPアドレス及び「SSL」と一致する「処理内容」を特定する。図3の処理特定テーブルでは、通信端末10−2のIPアドレス「172.16.1.22」及びSSL/TLSバージョン「上記以外(つまり、旧バージョン)」に対応する、処理内容「導通」、「最新バージョンTLSによる通信内容の暗号化」が特定されることになる。
指示部41Cは、処理内容特定部41Bにて特定された処理内容を示す指示信号を生成し、生成した指示信号を変換処理部41Dへ出力する。
変換処理部41Dは、指示部41Cから受け取る指示信号が示す処理を、受信部31にて受信されたパケットに施して送信部33へ出力する。
例えば、受信部31にて受信されたパケットが通信端末10−1から送信されたパケットである場合、変換処理部41Dは、受信部31にて受信されたパケットをそのままの状態で送信部33へ出力する。
また、受信部31にて受信されたパケットが通信端末10−2から送信されたパケットである場合、変換処理部41Dは、受信部31にて受信されたパケットを、サーバ装置20が持つものと同一の秘密鍵(つまり、最新バージョンに対応する復号鍵)を用いて復号する。そして、変換処理部41Dは、復号されたパケットを、サーバ装置20が持つものと同一の共通鍵(つまり、最新バージョンに対応する暗号鍵)を用いて、暗号化する。そして、該暗号化後のパケットを、変換処理部41Dは、送信部33へ出力する。
また、受信部31にて受信されたパケットが通信端末10−3から送信されたパケットである場合、変換処理部41Dは、該パケットを、サーバ装置20が持つものと同一の共通鍵(つまり、最新バージョンに対応する暗号鍵)を用いて、暗号化する。そして、該暗号化後のパケットを、変換処理部41Dは、送信部33へ出力する。
ここで、中継装置40は、サーバ装置20と同一の秘密鍵(復号鍵)を記憶部42に記憶している。また、中継装置40とサーバ装置20とは、事前にSSL/TLS最新バージョンでのセッションを既に確立しており(つまり、ハンドシェイク済みであり)、暗号化に使用される共通鍵(暗号鍵)も記憶部42に記憶されている。
送信部33は、変換処理部41Dから受け取ったパケットを、サーバ装置20へ送信する。
以上のように第2実施形態によれば、中継装置40において変換部41は、受信部31にて受信されたパケットに施されている暗号化方式のバージョンが旧バージョンである場合、暗号化方式の新バーションによって該パケットを暗号化することにより、該パケットを所望の信号形態(つまり、最新バージョンによって暗号化されたパケット)へ変換する。そして、送信部33は、変換されたパケットをサーバ装置20へ送信する。
この中継装置40の構成により、セキュリティレベルを満たす所望の信号形態(暗号化方式の新バージョンによって暗号化された信号形態)に変換された信号をサーバ装置20へ転送することができるので、通信セキュリティを向上させることができる。
<他の実施形態>
図4は、中継装置のハードウェア構成例を示す図である。図4において中継装置100は、プロセッサ101と、メモリ102と、レシーバ(受信回路)103と、トランスミッタ(送信回路)104とを有している。第1実施形態及び第2実施形態の中継装置30,40の変換部32,41は、プロセッサ101がメモリ102に記憶されたプログラムを読み込んで実行することにより実現されてもよい。また、第2実施形態の中継装置40の記憶部42は、メモリ102によって実現されてもよい。また、第1実施形態及び第2実施形態の中継装置30,40の受信部31及び送信部33は、それぞれ、レシーバ(受信回路)103及びトランスミッタ(送信回路)104によって実現されてもよい。プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、中継装置30,40に供給することができる。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によって中継装置30,40に供給されてもよい。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
1 通信システム
2 通信システム
10 通信端末
20 サーバ装置
30 中継装置
31 受信部
32 変換部
33 送信部
40 中継装置
41 変換部
41A 情報抽出部
41B 処理内容特定部
41C 指示部
41D 変換処理部
42 記憶部

Claims (6)

  1. 通信端末から送信され且つ前記通信端末のアクセス先であるサーバ装置へ向けた、信号を受信する受信部と、
    前記受信された信号を、前記サーバ装置との通信に要求されるセキュリティを満たす所望の信号形態へ変換する変換部と、
    前記変換された信号を前記サーバ装置へ送信する送信部と、
    を具備
    前記変換部は、前記受信された信号に施されている暗号化方式のバージョンが旧バージョンである場合、前記暗号化方式の新バーションによって前記受信された信号を暗号化することにより、前記受信された信号を前記所望の信号形態へ変換する、
    中継装置。
  2. 前記通信端末の端末識別子と前記暗号化方式のバージョンに応じた処理内容に関する情報とが対応づけられて保持されたテーブルを記憶する記憶部をさらに具備し、
    前記変換部は、前記受信された信号に含まれる前記通信端末の端末識別子と前記受信された信号に施されている前記暗号化方式のバージョンとの組み合わせに対して前記テーブルにおいて対応づけられている処理内容を特定し、前記特定された処理内容に基づいて、前記受信された信号を前記所望の信号形態へ変換する、
    請求項記載の中継装置。
  3. 前記記憶部は、前記サーバ装置の前記暗号化方式の新バージョンに対応する復号鍵及び暗号鍵を記憶し、
    前記変換部は、前記受信された信号を前記復号鍵を用いて復号し、前記復号された後の信号を前記暗号鍵を用いて暗号化することにより、前記受信された信号を前記所望の信号形態へ変換する、
    請求項記載の中継装置。
  4. 前記変換部は、前記受信された信号に暗号化が施されていない場合、前記暗号化方式の新バーションによって前記受信された信号を暗号化することにより、前記受信された信号を前記所望の信号形態へ変換する、
    請求項記載の中継装置。
  5. 通信端末から送信され且つ前記通信端末のアクセス先であるサーバ装置へ向けた、信号を受信すること
    前記受信された信号を、前記サーバ装置との通信に要求されるセキュリティを満たす所望の信号形態へ変換すること及び
    前記変換された信号を前記サーバ装置へ送信すること
    を含み、
    前記変換することは、前記受信された信号に施されている暗号化方式のバージョンが旧バージョンである場合、前記暗号化方式の新バーションによって前記受信された信号を暗号化することにより、前記受信された信号を前記所望の信号形態へ変換することを含む、
    中継方法。
  6. 通信端末から送信され且つ前記通信端末のアクセス先であるサーバ装置へ向けた、信号を受信すること
    前記受信された信号を、前記サーバ装置との通信に要求されるセキュリティを満たす所望の信号形態へ変換すること及び
    前記変換された信号を前記サーバ装置へ送信すること
    を含む処理を、中継装置に実行させ
    前記変換することは、前記受信された信号に施されている暗号化方式のバージョンが旧バージョンである場合、前記暗号化方式の新バーションによって前記受信された信号を暗号化することにより、前記受信された信号を前記所望の信号形態へ変換することを含む、
    制御プログラム。
JP2019009889A 2019-01-24 2019-01-24 中継装置、中継方法、及び制御プログラム Active JP6705602B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019009889A JP6705602B1 (ja) 2019-01-24 2019-01-24 中継装置、中継方法、及び制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019009889A JP6705602B1 (ja) 2019-01-24 2019-01-24 中継装置、中継方法、及び制御プログラム

Publications (2)

Publication Number Publication Date
JP6705602B1 true JP6705602B1 (ja) 2020-06-03
JP2020120273A JP2020120273A (ja) 2020-08-06

Family

ID=70858216

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019009889A Active JP6705602B1 (ja) 2019-01-24 2019-01-24 中継装置、中継方法、及び制御プログラム

Country Status (1)

Country Link
JP (1) JP6705602B1 (ja)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002082907A (ja) * 2000-09-11 2002-03-22 Nec Corp データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体
JP3842100B2 (ja) * 2001-10-15 2006-11-08 株式会社日立製作所 暗号化通信システムにおける認証処理方法及びそのシステム
JP4879347B2 (ja) * 2009-12-25 2012-02-22 キヤノンItソリューションズ株式会社 中継処理装置、中継処理方法及びプログラム
US9148446B2 (en) * 2013-05-07 2015-09-29 Imperva, Inc. Selective modification of encrypted application layer data in a transparent security gateway
JP2016218611A (ja) * 2015-05-18 2016-12-22 株式会社リコー 情報処理装置、プログラムおよび情報処理システム
JP6679867B2 (ja) * 2015-09-30 2020-04-15 ブラザー工業株式会社 通信システム、通信装置、および、コンピュータプログラム
JP6921530B2 (ja) * 2016-12-28 2021-08-18 キヤノン株式会社 情報処理装置及びその制御方法、並びにプログラム

Also Published As

Publication number Publication date
JP2020120273A (ja) 2020-08-06

Similar Documents

Publication Publication Date Title
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
US7827597B2 (en) Secure transport for mobile communication network
JP4101839B2 (ja) セッション制御サーバ及び通信システム
US8205074B2 (en) Data communication method and data communication system
US9191406B2 (en) Message relaying apparatus, communication establishing method, and computer program product
CN108769292B (zh) 报文数据处理方法及装置
KR102095893B1 (ko) 서비스 처리 방법 및 장치
EP3633949A1 (en) Method and system for performing ssl handshake
JP2006121510A (ja) 暗号化通信システム
JPH07107083A (ja) 暗号通信システム
CN113452660A (zh) 网状网络与云端服务器的通信方法、网状网络系统及其节点装置
CN104135471A (zh) Dns防劫持通信方法
JP2006013747A (ja) 電子メールサーバ装置および電子メールネットワークシステム
JP2012100206A (ja) 暗号通信中継システム、暗号通信中継方法および暗号通信中継用プログラム
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
JPH06318939A (ja) 暗号通信システム
US8559632B2 (en) Method for transferring messages comprising extensible markup language information
JP2005236728A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム及び通信方法
JP6705602B1 (ja) 中継装置、中継方法、及び制御プログラム
JP4933286B2 (ja) 暗号化パケット通信システム
KR101457455B1 (ko) 클라우드 네트워크 환경에서의 데이터 보안 장치 및 방법
JP3714850B2 (ja) ゲートウェイ装置、接続サーバ装置、インターネット端末、ネットワークシステム
Burgstaller et al. Anonymous communication in the browser via onion-routing
JP2009177239A (ja) ネットワーク中継装置
US10367848B2 (en) Transmitting relay device identification information in response to broadcast request if device making request is authorized

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190124

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200128

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200414

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200507

R150 Certificate of patent or registration of utility model

Ref document number: 6705602

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150