JP6869859B2 - 解析装置、監視システム、監視方法及び解析プログラム - Google Patents
解析装置、監視システム、監視方法及び解析プログラム Download PDFInfo
- Publication number
- JP6869859B2 JP6869859B2 JP2017176570A JP2017176570A JP6869859B2 JP 6869859 B2 JP6869859 B2 JP 6869859B2 JP 2017176570 A JP2017176570 A JP 2017176570A JP 2017176570 A JP2017176570 A JP 2017176570A JP 6869859 B2 JP6869859 B2 JP 6869859B2
- Authority
- JP
- Japan
- Prior art keywords
- shared key
- information
- communication
- monitoring
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
暗号化通信には、SSL(Secure Sockets Layer)又はTLS(Transport Layer Security)といったプロトコルが利用され、暗号化に用いられる秘密鍵は、各通信装置で安全に管理される(例えば、特許文献1参照)。
図1は、本実施形態に係る監視システム1の全体構成を示す図である。
ここで、解析モジュール10は、通信の解析を行う主体がクライアント2であるか、又はサーバ3であるかによって設置場所が異なるが、本実施形態では、一例として、サーバ3側に解析モジュール10が設けられる場合を説明する。
解析モジュール10は、制御部11及び記憶部12を備えた情報処理装置(コンピュータ)であってもよいが、サーバ3に組み込まれたソフトウェアモジュールとして実装されてもよい。
取得部111は、一方の通信装置(例えば、サーバ3)のメモリ内にある変数領域を監視し、新たにシード情報又は共有鍵情報が書き込まれた際に、このシード情報又は共有鍵情報を取得する。
あるいは、出力部112は、監視装置4との間で事前に共有した暗号鍵によりシード情報又は共有鍵情報を暗号化し、他方の通信装置(例えば、クライアント2)の接続情報(例えば、IPアドレス)と共に、監視装置4へ送信する送信部として機能してもよい。
また、所定のアルゴリズムは、変数領域のデータをランダム化するメモリ保護機能を有していてもよい。
あるいは、変数領域は、一方の通信装置(例えば、サーバ3)及び取得部111が読み取り可能な、ハードウェアで構成された耐タンパ領域であってもよい。
この例は、TLS1.2でECDHE(Elliptic Curve Diffie−Hellman key exchange, Ephemeral)を用いた場合を示している。
ここで、監視装置4は、共有鍵情報と共に、対応する接続情報(IPアドレス)を取得することにより、暗号化通信の相手であるクライアント2を特定できるので、暗号化データそれぞれを、対応する共有鍵情報を用いて復号できる。
なお、監視装置4は、シード情報ではなく共有鍵情報を取得した場合、共有鍵情報を生成する処理を省略し、同様に暗号化データを復号できる。
この例は、TLS1.3による鍵交換プロトコルの一形態を示している。
まず、前述のように、クライアント2及びサーバ3のそれぞれで生成された一時的な公開鍵(gx及びgy)を交換することにより、pre master secretとしての秘密鍵(gxy)が生成される。
ここで、図中のセッションハッシュは、それまでに送受信した総ハンドシェイクデータのハッシュ値である。
また、監視装置4は、シード情報を取得して共有鍵情報を生成、又は共有鍵情報を取得するまで、鍵交換プロトコルが終了した以降のデータ通信を停止させてもよい。具体的には、監視装置4は、暗号化データを復号するための共有鍵情報が得られるまで、鍵交換プロトコルにおいてFinishedが送信されて以降のApplication Dataの送信を中間ノードで遮断し、復号できない暗号化データを通過させない。
2 クライアント
3 サーバ
4 監視装置
10 解析モジュール(解析装置)
11 制御部
12 記憶部
111 取得部
112 出力部
Claims (10)
- 2つの通信装置間での暗号化通信のための共有鍵の鍵交換プロトコルにおいて、前記共有鍵を生成するために、各装置で一時鍵を生成するためのシード情報が一時的に生成され、当該シード情報及び前記共有鍵がメモリのみに保持される場合に、
一方の通信装置のメモリ内にある変数領域を監視し、新たに前記シード情報又は前記共有鍵が書き込まれた際に、当該シード情報又は共有鍵を取得する取得部と、
前記シード情報又は前記共有鍵を暗号化し、当該暗号化した情報を、他方の通信装置のIPアドレスと共に、前記暗号化通信の内容を監視する監視装置により参照可能な所定の領域に格納する出力部と、を備える解析装置。 - 2つの通信装置間での暗号化通信のための共有鍵の鍵交換プロトコルにおいて、前記共有鍵を生成するために、各装置で一時鍵を生成するためのシード情報が一時的に生成され、当該シード情報及び前記共有鍵がメモリのみに保持される場合に、
一方の通信装置のメモリ内にある変数領域を監視し、新たな前記シード情報又は前記共有鍵が書き込まれた際に、当該シード情報又は共有鍵を取得する取得部と、
前記暗号化通信の内容を監視する監視装置との間で事前に共有した暗号鍵により前記シード情報又は前記共有鍵を暗号化し、当該暗号化した情報を、他方の通信装置のIPアドレスと共に、前記監視装置へ送信する出力部と、を備える解析装置。 - 前記出力部は、前記シード情報又は共有鍵情報を、時刻情報と対応付けて格納又は送信する請求項1又は請求項2に記載の解析装置。
- 前記変数領域は、所定のアルゴリズムによりデータの格納位置が動的に変更され、
前記取得部は、前記一方の通信装置と前記所定のアルゴリズムを共有する請求項1から請求項3のいずれかに記載の解析装置。 - 前記所定のアルゴリズムは、前記変数領域のデータをランダム化するものである請求項4に記載の解析装置。
- 前記変数領域は、前記一方の通信装置及び前記取得部が読み取り可能な耐タンパ領域である請求項1から請求項3のいずれかに記載の解析装置。
- 請求項1から請求項6のいずれかに記載の解析装置、前記2つの通信装置、及び前記監視装置を備えた監視システムであって、
前記監視装置は、前記解析装置により取得した情報に基づいて、前記2つの通信装置による暗号化通信を復号する監視システム。 - 前記監視装置は、前記シード情報を取得して前記共有鍵を生成、又は前記共有鍵を取得するまで、前記鍵交換プロトコルが終了した以降のデータ通信を停止させる請求項7に記載の監視システム。
- 2つの通信装置間での暗号化通信のための共有鍵の鍵交換プロトコルにおいて、前記共有鍵を生成するために、各装置で一時鍵を生成するためのシード情報が一時的に生成され、当該シード情報及び前記共有鍵がメモリのみに保持される場合に、
解析装置が一方の通信装置のメモリ内にある変数領域を監視し、新たに前記シード情報又は前記共有鍵が書き込まれた際に、当該シード情報又は共有鍵を取得し、
前記解析装置が前記シード情報又は前記共有鍵を暗号化し、当該暗号化した情報を、他方の通信装置のIPアドレスと共に出力し、
監視装置が前記解析装置から取得した情報に基づいて、前記2つの通信装置による暗号化通信を復号する監視方法。 - 請求項1から請求項6のいずれかに記載の解析装置としてコンピュータを機能させるための解析プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017176570A JP6869859B2 (ja) | 2017-09-14 | 2017-09-14 | 解析装置、監視システム、監視方法及び解析プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017176570A JP6869859B2 (ja) | 2017-09-14 | 2017-09-14 | 解析装置、監視システム、監視方法及び解析プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019054364A JP2019054364A (ja) | 2019-04-04 |
JP6869859B2 true JP6869859B2 (ja) | 2021-05-12 |
Family
ID=66015333
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017176570A Active JP6869859B2 (ja) | 2017-09-14 | 2017-09-14 | 解析装置、監視システム、監視方法及び解析プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6869859B2 (ja) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5040479B2 (ja) * | 2007-06-29 | 2012-10-03 | 富士通株式会社 | 通信装置、通信装置に適した通信ログ送信方法および通信システム |
US8769288B2 (en) * | 2011-04-22 | 2014-07-01 | Alcatel Lucent | Discovery of security associations |
US9176838B2 (en) * | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
-
2017
- 2017-09-14 JP JP2017176570A patent/JP6869859B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019054364A (ja) | 2019-04-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102812684B (zh) | 实施计算机策略的系统和方法 | |
CN110855671B (zh) | 一种可信计算方法和系统 | |
US20180146010A1 (en) | Providing forward secrecy in a terminating TLS connection proxy | |
US7584505B2 (en) | Inspected secure communication protocol | |
US9166782B2 (en) | Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks | |
CN107769913B (zh) | 一种基于量子UKey的通信方法及系统 | |
US20170012949A1 (en) | Dynamic identity verification and authentication continuous, dynamic one-time-pad/one-time passwords and dynamic distributed key infrastructure for secure communications with a single key for any key-based network security controls | |
CN107517183B (zh) | 加密内容检测的方法和设备 | |
US20050050316A1 (en) | Passive SSL decryption | |
CN104468560B (zh) | 网络保密数据明文的采集方法及系统 | |
US7590844B1 (en) | Decryption system and method for network analyzers and security programs | |
CN111801926B (zh) | 用于公开至少一个密码学密钥的方法和系统 | |
WO2003038622A1 (en) | Monitoring system for a corporate network | |
CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
KR20090098542A (ko) | 프록시를 이용한 암호화 데이터 통신시스템 및 암호화데이터 통신방법 | |
CN117081815A (zh) | 数据安全传输的方法、装置、计算机设备及存储介质 | |
CN114679270A (zh) | 一种基于隐私计算的数据跨域加解密方法 | |
Junghanns et al. | Engineering of secure multi-cloud storage | |
CN114172645A (zh) | 通信旁路审计方法、装置、电子设备及存储介质 | |
CN112242900B (zh) | 有用数据的密码保护的单向数据传输的方法和通信单元 | |
CN105791285A (zh) | 一种支持iec62351加密mms报文在线分析方法 | |
JP2007104118A (ja) | 秘密情報の保護方法及び通信装置 | |
JP6869859B2 (ja) | 解析装置、監視システム、監視方法及び解析プログラム | |
JP3877388B2 (ja) | 情報提供システム | |
KR102308248B1 (ko) | 양자난수 기반의 양자암호화칩이 탑재된 비화게이트웨이 및 이를 이용한 IoT디바이스간 비화통신 서비스 제공방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190819 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200731 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201104 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201126 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210406 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210414 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6869859 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |