200534657 ⑴ 九、發明說明 【發明所屬之技術領域】 本發明係有關於安全性閘道裝置,特別是有關於用來 對經過加密化之資料也能執行安全性用之過濾處理的裝 置。 【先前技術】 將個人電腦單機使用的時候,個人電腦內部的資料被 盜取、竄改、破壞的危險性是較低的。可是,一旦將個人 電腦連接在網際網路等網路上,則因爲交換的資料是要被 許多網路繞送,因此在其途中遭到盜取、竄改、破壞的危 險性會立即上升。 做爲解決該問題的機制之一,是資料的加密化。亦 即,在送訊側的個人電腦上將資料予以加密化再送給對 方,在收訊側的個人電腦上將其解密而後利用。若此,則 即使資訊在網路的途中遭到竊聽,也由於資訊是經過加密 化,因此資訊本身被看見的可能性會降低。而且,被竄改 的風險也會降低。 又’在網際網路等網路上,存在著第三者對群組網路 (據點網路)的不當侵入、執行侵入連接在據點網路上的 個人電腦或伺服器而進行資料破壞或大量郵件發送等帶有 惡意之處理的病毒等問題。再者’由於只要使用網際網路 就可存取各種網站而自由地取得資訊,因此用來取得在業 務上或教育上較爲不理想之內容的存取也很容易,這也是 -5、 200534657 (2) 問題。 爲了對應這些問題,在據點網路上多有設置防火牆、 不當入侵防禦軟體、防毒軟體、內容過濾軟體等。防火牆 和不當入侵防禦軟體,一般而言是將】台伺服器用於據點 網路的出入口 (閘道部份),藉由在此處令專用的軟體動 作,以防止不具存取權的第三者不當地存取據點網路內。 具體而言,其會檢視所收送之封包的標頭內所記述的送訊 源和送訊目標ip位址來判斷是否可以通訊。 又,防毒軟體,係用來發現從外部送來之資料中所潛 藏的電腦病毒,並將其加以去除的軟體。許多防毒軟體’ 係將事先準備好的病毒偵測模式碼和收訊檔案進行比較而 偵測出病毒,並將感染病毒的檔案加以修復或除去病毒。 此外,尙有利用加密來防止病毒感染的技術亦有人提出 (例如,參照專利文獻1、2 )。 專利文獻1 :日本特開平5 - 1 43 6 1 1號公報 專利文獻2 :日本特開2002-3 5 1 686號公報 專利文獻1、2所記載的技術,是藉由將經過加密化 的程式予以一邊解密一邊執行之機制,當有未加密化的病 毒程式侵入時,或當有經過以不同金鑰加密過的病毒程式 入侵時’藉由將其解密而轉換成亂碼般的資料。藉此,例 如即使附加在電子郵件內的可執行檔形式的病毒被使用者 錯誤執行時’也能使其無法執行而防止病毒的感染。又, 當有含有未加密化之巨集病毒的資料侵入時,藉由解密便 會將其轉換成應用程式無法認識的無意義資料,而將其認 -6 - 200534657 (:3) 識成異常資料而加以丟棄,藉此就可防止巨集病毒的感 染。 又,內容過濾軟體,係因應從外部送來之資料的種類 或內容等,只允許特定資料之收訊的軟體。例如,藉由事 先登錄特定的語句,就可排除含有該語句之廣告信的收 訊。又,藉由事先登錄特定的檔案名或URL等,亦可使 其無法瀏覽網際網路上有關色情或暴力的網站。 可是在此同時,一般的防毒軟體或內容過濾軟體,其 機制是檢視被送訊過來的資料內容而偵測病毒或不妥內 容。因此,一旦資料的內容是被加密化的,就完全無法判 斷是否存在病毒或不妥內容,導致防毒或內容過濾的實效 性完全喪失。關於該問題再稍加詳細說明。 一般而言’使用網際網路的據點間網路,爲了防止據 點間的網際網路上之資訊洩漏,在各據點的閘道部份會導 入加密裝置。又,經過解密而進入據點網路內的資料,是 先經過病毒偵測等各種過濾處理,再被派訊至據點網路內 的各終端。 可是,流經據點間網路(網際網路等)的資料是藉由 閘道部份的加密裝置施以加密化的這種網路環境中,當爲 了也要進行據點內部的加密化而在據點內部的終端上導入 加密軟體時,被某據點內之終端施以加密化再轉送的資料 係在聞道部份上又被加密化然後才到達對方據點的閘道裝 置°此時’雖然藉由閘道部份的加密裝置可將據點間的加 密予以解除,但由於據點內部的加密仍未解除,因此即使 200534657 (4) 想要進行病毒偵測等過濾處理也是無法執行。 另一方面,若根據專利文獻1、2的技術,由於藉由 對收訊資料進行解密處理而使病毒轉換成亂碼般的資料而 使其無效化,因此不必檢視資料內容即可。可是在此同 時,當要適用專利文獻〗、2所記載的技術時,必須要將 非病毒的正常資料進行加密化再送訊才行。可是,當和外 部進行資料交換時,有時必須要處理未經加密化的資料, φ 此時就必須要停止收訊資料的解密處理。然而,當解密處 理被停止之際,卻又導致無法防止病毒感染的問題。又, 若加密金鑰被盜取而將含病毒的資料正確地加密而送訊, 則藉由解密處理會把原本的病毒復原回來,導致無法防止 病毒感染,這也是問題。 【發明內容】 本發明係爲了解決此類問題而硏發,其目的在於,在 φ 據點網路的內部無論是要將資料進行加密通訊或非加密通 訊,都能有效地發揮因應收訊資料內容而進行過濾處理的 防毒或內容過濾等之機能。 爲了解決上記課題,本發明的安全性閘道裝置,其爲 具備:解密處理手段,判定被輸入的資料是否有被加密 化,當有被加密化時則將該輸入資料予以解密再供給至過 濾處理部,當未被加密化時則不將該輸入資料解密便供給 至上記過濾處理部;和加密處理手段,根據送訊源終端及 送訊目標終端的位址資訊來判定是否適用加密,當必須適 -8-
200534657 (5) 用加密時則將上記過濾處理部所輸出的資料予上 轉送至上記送訊目標終端,當不適用加密時則^ 濾處理部所輸出的資料加密便轉送至上記送訊目 若根據上記構成之本發明,則在據點網路白, 是將資料進行加密化通訊或直接以明文通訊,業 部供給的資料’會一定都是未被加密化的明文, 通過過濾處理部後的資料,係當據點網路內的运 立而爲具有加幣處理機能時則會先被加密化再轉每 即使在據點網路的內部利用加密來保護資訊不有 同時,也能適切地進行病毒偵測或不妥內容偵浑 理。又,即使當據點網路內不進行加密化而必邊 進行資料通訊時,也能適切地進行病毒偵測或3 測等過濾處理。 【實施方式】 以下,將根據圖面來說明本發明之一實施形 係實施了本發明之安全性閘道裝置的 VPN Private Network,虛擬私人網路)網路的構成 圖。 圖1所示的V P N網路中,由複數的個人電 〜1〇]八,以 LAN ( Local Area Network,區域網 而成的據點A網路1 00A,和由複數的個人電腦 1 〇 1 Β ·η以LAN連接而成的據點B網路1 00B, 際網路2 00的虛擬專線(VPN通道)2 00a而連接 、加密化再 :將上記過 標終端。 '內部無論 過灑處理 料。又, 訊目標終 。藉此, 洩漏等的 等過濾處 要以明文 妥內容偵 態。圖1 (Virtual 例的方塊 腦 1 0 1 A ·】 路)連接 1 0 1 B·]〜 是透過網 起來。
200534657 (6) 位於據點A網路1 0 0 A內的複數個人 1 0 1 A · m g中,例如假設個人電腦1 〇 1 A -】、 入加密軟體,個人電腦1 0 1 A_m是沒有導入 導入加密軟體的個人電腦 1 0 1 A .!、1 0 1 A - 2, 的資料予以加密化再送訊至網際網路200, 網際網路2 〇 〇轉送過來的已加密化資料予以 機內利用之。亦即所謂的E n d -1 〇 - E n d (端點 加密通訊。 又,位於據點B網路1 0 0 B內的複數個 〜1〇1Β-η當中,例如假設個人電腦ΙΟΙΒ^、 入加密軟體,個人電腦1 0 1 B_n是沒有導入力[ 入加密軟體的個人電腦101B.,、101B-2,係 資料予以加密化再送訊至網際網路200,而 際網路200轉送過來的已加密化資料予以解 內利用之。亦即所謂的End-to-End型的加密 此外,有導入加密軟體的個人電腦101 101B」、l〇lB_2,係常時地進行加密通訊, 有導入加密軟體的電腦之間才可通訊。可視 設定是否要進行加密通訊。例如,針對有導 個人電腦1 〇 1 A.!,若設定成和未導入加密軟 1 B 之間是不必加密的話,則個人電腦 電腦1 0 1 B_n之間亦可進行通訊。 據點 A網路1 〇 〇 A的出入口附近設有 I 0 2 A,據點B網路1 〇 〇 B的出入口附近設, 電腦1 0 1 A _!〜 I 〇 1 A.2是有導 加密軟體。有 係可將自機內 而且可將透過 :解密化而在自 i對端點)型的 人電腦101B」 101B_2是有導 I密軟體。有導 可將自機內的 且可將透過網 :密化而在自機 通訊。 A -】、1 0 1 A · 2、 而並非只能和 各通訊對象, 入加密軟體的 體之個人電腦 1 0 1 A .!和個人 VPN路由器 『VPN路由器 -10- 200534657 (7) 102B,藉由在該當VPN路由器]02A、102B上進行資 加密化/解密化處理,而在據點A、B間的VPN通道 中將資料進行加密通訊。亦即所謂的Site_t〇_site (站 站台)型之加密通訊。 亦即,據點A網路1 0 〇 A的V P N路由器1 〇 2 A, 了將據點A網路100A的個人電腦101A_m所 的資料予以加密化再送訊至 VPN通道200a,還將 φ V PN通道2 0 0 a所送來已加密化之資料予以解密化再 至個人電腦1 0 1 A _】〜1 0 1 A _ m。 又,據點B網路100B的VPN路由器l〇2B,係 將據點B網路100B的個人電腦101B-P 1〇1Β.η所送 資料予以加密化再送訊至V P N通道2 0 0 a,還將透過 通道200a所送來已加密化之資料予以解密化再轉送 人電腦101B」〜101B.n。 藉由此種構成,例如當據點A網路1 〇〇 A的個人 0 1 0 1 A -】上被加密化的資料是被輸入至 v P N路由器 時,則在該當VPN路由器102A上會再次施以加密化 過雙重加密化的資料會被送訊至VPN通道200a。然 藉由據點B網路100B的VPN路由器102B而將VPN 器1 〇 2 A的加密予以解密化,再轉送至例如個人 1 0 1 B _ I。個人電腦1 0 1 B _ 1上,會將個人電腦1 〇 1 a ·】 予的加密予以解密化,而得到能夠利用的資料。 VPN通道200a上,亦可連接著據點a、B以 VPN用戶端 3 00。VPN用戶端300,係導入有爲了 料的 2 0 0 a 台對 係除 送來 透過 轉送 除了 來的 VPN 至個 電腦 1 02 A ,經 後, 路由 電腦 所施 外的 利用 -11 - 200534657 (8) P N通道2 0 0 a來進行通訊所需之軟體,是由例如能夠在 外地使用的筆記型電腦等所構成。該VPN用戶端3 0 0,係 並未導入相同於個人電腦101 、101 A」、101B」、101β· 2的加密軟體,是可和例如未導入加密軟體的個人電腦 1 0 1 A _ m、1 〇 1 Β 之間進行通訊。此外,即便是有導入加密 軟體的個人電腦101 A·】、101 A_2、101B·】、101B.2 ’只要 設定成和V PN用戶端3 0 0的關係是不須加密的話’也是 g 能和該個人電腦間進行通訊。 例如,當從VPN用戶端3 00往據點B網路1 00B內的 個人電腦1 0 1 B 發送資料時,於V P N用戶端3 0 0藉由 VPN軟體的機能而加密化的資料,會透過VPN通道20〇a 而向據點B網路1 00B發送。然後,藉由據點B網路1 00B 的VPN路由器102B,VPN的加密被解密化,變成明文的 資料便被轉送至1 〇1 Β·„。亦即所謂遠端存取型的加密通 訊。 g 據點Β網路100Β之中,設置有防火牆1〇3及過濾處 理部1 04。防火牆103係會檢視透過VPN通道200a所送 來之封包的標頭內所記述的送訊源和送訊目標1 P位址來 判斷是否可以通訊,防止不具存取權的第三者不當侵入據 點B網路1 00B的內部。亦可替代防火牆! 03,或是連同 防火牆1 03,而利用會進行不當侵入的偵測/保護/追蹤等 處理的不當侵入防禦軟體。 如上述,防火牆]0 3或不當侵入防禦軟體,係參照封 包的標頭內所記述的資訊來判斷通訊的可否。由於被加密 -12- 200534657 (9) 化的是只有封包的內容,標頭是未被加密化,因此這些機 能即使不將資料予以解密化也能夠執行。於是’理想上是 在最靠近據點B網路1 〇 〇 B的出入口的場所(比進行解密 化的V P N路由器1 〇 2 B更靠近出入口的場所)設置防火牆 1 0 3,在此處攔阻第三者的不當侵入。 過濾處理部]04,係進行防毒、內容過濾等處理。防 毒,係將透過VPN通道200a而從外部送來的資料中所潛 g 藏的電腦病毒加以發現,並去除之。例如,將事先準備好 的病毒偵測模式碼和收訊檔案進行比較而偵測出病毒,並 將感染病毒的檔案加以修復或除去病毒。 又’內容過濾,係因應透過VPN通道20 0 a而從外部 送來之資料的種類或內容等,而只允許特定資料之收訊。 例如’藉由事先登錄特定的語句,就可排除含有該語句之 廣告信的收訊。又,藉由事先登錄特定的檔案名或URL 等,亦可使其無法瀏覽網際網路上有關色情或暴力的網 站。 進行這些防毒或內容過濾之處理的過濾處理部1〇4, 會檢視送訊過來的資料內容而偵測出病毒或不妥內容。可 是,一旦資料內容是經過加密化的,則防毒或內容過濾的 實效性將完全無法發揮。於是,在本實施形態中設置了安 全性閘道裝置1 0 5。該安全性閘道裝置1 〇 5,其機能構成 爲’具備第1加密/解密處理部1 〇 5 a和第2加密/解密處理 部 1 〇 5 b。 當從據點A網路】〇 〇 A對據點b網路]〇 〇 b送來資料 ‘13- 200534657 (10) 時,第1加密/解密處理部1 〇 5 a會判定d 1 0 0 B所輸入的資料是否有被加密化,當有 將該輸入資料予以解密再供給至過濾處理部 加密化時則不將該輸入資料解密而直接供給 1 0 4。加密的有無,是因爲所輸入之封包的 之表示加密化之有無的資訊,因此藉由參照 同樣的案例下,第2加密/解密處理部 • 標頭之IP位址所代表的送訊源/送訊目標之 否適用加密。而當必須適用加密時,便將過 所輸出的資料予以加密化再轉送至送訊目標 當不適用加密時,過濾處理部1 0 4所輸出的 密化而直接轉送至送訊目標的個人電腦。 另一方面,從據點B網路1 0 0 B對據點 發送資料時,第2加密/解密處理部1 〇 5 b, 人電腦101B_】〜1〇1Β_η之任何一者所輸入的 φ 密化,當有加密化時則將該輸入資料予以解 濾處理部],當沒有加密化時則不將該輸 直接供給至過濾處理部]04。 同樣的案例下,第1加密/解密處理部 標頭之IP位址所代表的送訊源/送訊目標之 否適用加密。而當必須適用加密時,便將過 所輸出的資料予以加密化再轉送至V PN路E 不適用加密時,過濾處理部1 04所輸出的資 化而直接轉送至v P N路由器1 〇 2 B。 &據點 B網路 被加密化時則 ;1 〇 4,當未被 至過濾處理部 標頭內所含有 其就可判斷。 l〇5b,係藉由 .組合來判定是 濾處理部1 0 4 的個人電腦, 資料便不被加 :A網路1 〇 〇 A 係會判定由個 資料是否有加 密再供給至過 入資料解密而 1 0 5 a,係藉由 組合來判定是 濾處理部1 0 4 扫器 1 02B,當 料便不被加密 • 14 - 200534657 (11) 關於藉由送訊源/送訊目標之組合來判定是否適用加 密’係可以預先備妥之資料的方式登錄在第]加密/解密 處理部1 〇 5 a及第2加密/解密處理部1 0 5 b,或可在每次進 行通訊時,由第1加密/解密處理部1 0 5 a及第2加密/解密 處理部1 〇 5 b,向送訊源/送訊目標的個人電腦進行詢問而 爲之。加密是否適用,例如,係可隨著送訊源個人電腦和 送訊目標個人電腦上是否導入有加密軟體,或以送訊源/ 0 送訊目標的關係且是否進行加密軟體所致之加密化等條件 來加以設定。 據點B網路100B的LAN內,連接著用來設定有關加 密化/解密化之各種資訊的管理者終端1 1 〇。該管理者終端 1 10,係對據點B網路100B之各個人電腦101B」、ι〇1Β. 2…所具備的加密軟體,將有關加密通訊的各種資訊,例 如加密/解密處理的有無、某終端和某終端之間是否要丟 棄封包等亦即通訊的可否、加密化的等級、進行加密化的 φ 時間帶、加密原則(ρ ο I i c y )、加密金鑰等資訊,予以下 載而設定。 此外,雖然未圖示,但據點A網路1 00A的LAN上亦 連接著管理者終端。該未圖示的管理者終端,係對據點B 網路1 Ο Ο B之各個人電腦1 〇 1 B _!、1 〇 1 B ·2…所具備的加密 軟體,設定有關加密通訊之各種資訊。據點A網路1 00 a 內未圖示的管理者終端,和據點B網路1 〇 〇 B內的管理者-終端1 1 〇 ’會彼此資料通訊而進行必要的資訊設定。 又,管理者終端Π 0,係對安全性閘道裝置1 〇5下載 - 15- 200534657 (12) 有關加密通訊之各種資訊並進行設定處理。由於本機制是 在安全性閘道裝置]〇 5上,會將送往某終端的資料之加密 化在中途一度解除,因此必須要事先設妥允許此事的加密 原則或加密金鑰等資訊。又,當送訊源/送訊目標之組合 所致之加密適用可否是被預先設定在第1加密/解密處理 部1 〇5a及第2加密/解密處理部1 〇5b內時,該處理亦由 該管理者終端1 1 0來進行。 φ 其次’說明上記這種構成之V PN網路中的資料通訊 動作。做爲第1例,是考慮從據點A網路1 0 0 A的個人電 腦1 0 1 A _】對據點B網路i 〇 〇 b的個人電腦! 〇丨b」,將資料 予以加密化再送訊時的情形。 此時’首先,以個人電腦1 0 1 A_!的加密軟體將送訊 對象之資料予以加密化,並送至V P N路由器1 0 2 A。然 後,藉由VPN路由器102A再度施以加密化,被雙重加密 化的資料會送訊至VPN通道200a。一旦資料透過VPN通 φ 道2 0 0 a送至據點B網路1 0 0 B,則由防火牆]〇 3進行不當 侵入的偵測,通過此處的資料則被轉送至 VPN路由器 1 02B。 在VPN路由器1 02B上,被VPN路由器1 02A所施加 的 V PN加密會被解密,該當已解密之資料會被轉送至安 全性閘道裝置1 0 5。安全性閘道裝置〗〇 5的第1加密/解密 處理部1 05a中,會判定從VPN路由器1 02B所輸入之資 料是否有加密化。此處,雖然藉由VPN路由器1 02 B而將 VPN的加密解開,但個人電腦1 0 1 A」的加密軟體所施以 -16- 200534657 (13) 的據點內部之加密仍然存在,因此會判斷爲有加密化。此 日寸弟]加& /解街、處理部】0 5 a會將該加密予以解密化而 解除之’將資料變成明文而供給至過濾處理部} 〇4。
過濾處理部]04中,會檢視已經變成明文的資料內容 而進行病毒偵測或不妥內容之偵測,若有必要則進行資料 丟棄等處理。通過該過濾處理部】〇4的資料,係被送至安 全性閘道裝置105的第2加密/解密處理部i〇5b。第2加 治/fe岔處理邰1 0 5 b中,會判定資料送訊目標之個人電腦 1 0 1 B上是否有導入加密軟體。此處,是判斷爲個人電腦 1 0 1 B ·!有導入加密軟體,過濾處理部丨〇 4所輸出的資料先 加密化再轉送至個人電腦1 〇丨B ^。 若根據以上動作,則可藉由個人電腦101A」的加密 軟體將資料加密化再送訊’而在據點A網路! 00a的內部 利用加密來保護資料不會遭到資訊洩漏等。又,在網際網 路2 0 0上則是利用v P N路由器1 〇 2 A、1 0 2 B而建構一 V P N 通道2 0 0 a,再施以v P N的加密,因此在網際網路2 0 0上 也能安全地發送資料。再者,在據點B網路1 Ο Ο B的內 部’是藉由安全性閘道裝置1 0 5的第2加密/解密處理部 1 〇 5 b而將資料予以加密化再送至個人電腦]〇 ] b _ ],因此 即使再據點B網路1 00B的內部也可以利用加密而保護資 料不會遭到資訊洩漏等。 如此以End-to-End而在據點A、B的內部也是進行利 用加密的資料通訊,同時仍藉由安全性閘道裝置1 05的第 】加密/解密處理部1 0 5 a而將加密暫時解除而將已轉成明 -17- 200534657 (14) 文的資料供給至過濾處理部1 0 4,因此防毒或內容過濾等 過濾處理亦可有效地進行。藉此,就可架構一安全的網路 環境,可使得資料加密化所致之防止資訊洩漏,和過濾處 理所致之病毒感染或防止收到不妥內容,兩者能夠確實成 立。圖中雖然未圖示,但在據點內部架設無線網路等環境 下,也能安心的使用無線網路。 其次’說明第2動作例。第2動作例中,是考慮從位 φ 於據點A、B外部的VPN用戶端3 00,對據點B網路 1 0 0B的個人電腦1 〇 1 B_n發送資料時的情形。 此時,首先,藉由VPN用戶端3 00的VPN軟體而將 送訊對象之資料予以加密化,並送訊至V P N通道2 0 0 a。 一旦資料透過VPN通道200a而送至據點B網路100B,則 由防火牆1 03進行不當侵入的偵測,通過此處的資料則被 轉送至VPN路由器1〇2B。 在VPN路由器102B上,被VPN用戶端3 00所施加 φ 的VPN加密會被解密,該當已解密之資料會被轉送至安 全性閘道裝置1 0 5。安全性閘道裝置I 0 5的第1加密/解密 處理部105a中,會判定從VPN路由器102B所輸入之資 料是否有加密化。此處,由於所有的加密均已解除,因此 判斷爲未被加密化。此時,第1加密/解密處理部1 〇 5 a會 將所輸入的資料直接供給至過濾處理部1 0 4。 過濾處理部1 〇 4中,會檢視已經變成明文的資料內容 而進行病毒偵測或不妥內容之偵測,若有必要則進行資料 丢棄等處理。通過該過濾處理部〗(H的資料,係被送至安 200534657 (15) 全性閘道裝置1 0 5的第2加密/解密處理部1 0 5 b。第2加 密/解密處理部〗〇5b中,會判定資料送訊目標之個人電腦 1 0 1 B 上是否有導入加密軟體。此處,是判斷爲個人電腦 1 0 1 B _ n上沒有導入加密軟體,過濾處理部]〇 4所輸出的資 料便不會加密便轉送至個人電腦1 0 1 Β _η。 若根據以上動作,則由於V Ρ Ν用戶端3 0 0或個人電 腦1 〇 1 上並未導入據點內用的加密軟體,因此只是利用 • VPN通道200a的遠端存取型之加密通訊而已。可是,由 於安全性閘道裝置1 〇 5的第1加密/解密處理部1 0 5 a,係 具備若資料未被加密化則不進行解密而直接供給至過濾處 理部1 04的機制,因此防毒或內容過濾等之過濾處理亦能 有效進行。換言之,即使不具有加密軟體的終端間進行資 料通訊時,也可使得資料加密化所致之防止資訊洩漏,和 過濾處理所致之病毒感染或防止收到不妥內容,兩者能夠 確實成立。這一點’是和上述專利文獻1、2的「未感染 φ 病毒之正常資料必定要爲加密化之狀態才能進行過濾處 理」有很大的不同。 此外,上述專利文獻1、2中,係記載著考慮到力□密 金鑰被盜而使病毒經過正確加密化再送訊的時候,將導致 該當病毒侵入網路內的不良情況,而在巨集執行時進行病 毒偵測之例子。可是’若根據專利文獻2所記載之技術, 則由於當病毒不幸侵入據點網路內,其後若非巨集執行時 就無法偵測病毒’因此,病毒感染的危險度很高。尤其 是’在最近,存在著即使未向使用者明示巨集執行之指 _ 19-
200534657 (16) 示,只要例如收電子郵件或瀏覽網頁就會自雲 病毒。因此,如本實施形態般以過濾處理部1 不妥內容完全地阻絕使其無法侵入據點B網g 部,藉此亦能將安全性等級變得更高。 如以上詳細說明,若根據本實施形態,貝ί 路的內部是進行加密通訊或非加密通訊,都齡 料的內容而使防毒或內容過濾等機能都能有% 藉此,除了可在據點的內外都藉由加密的利用 防止資訊洩漏等,同時仍可適切地進行病毒{| 容偵測等之過濾處理。又,即使在據點網路內 行加密而以明文進行資料通訊的時候,仍可適 毒偵測或不妥內容偵測等之過濾處理。 此外,上記實施形態中,雖然只說明了在 ]00B內設置防火牆1 03、過濾處理部1 04、多 置1 〇 5的例子,但據點A網路1 〇 〇 A內當然功 的構成。 又,上記實施形態中,雖然只說明了安全 1 〇 5是具備第1加密/解密處理部ί 〇 5 a及第2 理部1 〇5b的例子,但亦可將過濾處理部! 04 一體化而構成安全性閘道裝置1 〇 5。若此,貝I 加密/解密處理部1 05a和過濾處理部丨〇4之間 解密處理部]0 5 b和過濾處理部ί 〇 4之間的二| 漏的危險性。甚至,亦可將防火牆丨〇 3的機肯丨 性閘道裝置1 0 5的內部。 ]啓動程式的 04將病毒或 & 1 0 0 B的內 I無論據點網 i因應收訊資 :發揮作用。 來保護資料 丨測或不妥內 必須要不進 [切地進行病 據點B網路 1全性閘道裝 :可設置同樣 性閘道裝置 加密/解密處 的機能做成 可抑制第1 、第2加密/ :訊遭竊而洩 :裝載於安全 -20- 200534657 (17) 又,上記實施形態中,雖然說明了在網際網路2 0 0 建構V P N通道2 0 0 a的V P N網路之例子,但並非偏限 此。例如,在網際網路2 0 0不進行加密的網路(例如在 點網路內的個人電腦上導入加密軟體而進行E n d -1 〇 - E n d 之加密通訊網路)亦可同樣地適用。此時,會是隨著在 點內的終端間是進行加密通訊或非加密通訊,而決定於 全性閘道裝置1 〇 5的第1加密/解密處理部1 〇 5 a及第2 I 密/解密處理部1 〇 5 b上是否要進行解密處理。 又,上記實施形態中,雖然說明了在 VPN路由 1 02B更後段側設置過濾處理部1 〇4和安全性閘道裝置1 的例子,但亦可設置在VPN路由器1 〇2B的更前段側。 藉由個人電腦內的加密軟體和 V P N路由器施予雙重加 而通訊的網路環境中,將過濾處理部1 04和安全性閘道 置105設在較VPN路由器102B更前段側的時候,要使 全性閘道裝置1 〇 5上具備用來將個人電腦所施之加密 φ VPN路由器所施之加密兩者都予以解密化的機能。又, 只有個人電腦內的加密軟體或 VPN路由器之其中一者 施行加密而進行通訊的網路環境中,則要使安全性閘道 置1 〇 5上具備用來將個人電腦所施之加密或V PN路由 所施之加密之其中一者予以解密化的機能。 又,上記實施形態中,雖然說明了將管理者終端分 設在據點A網路1 0 0 A及據點B網路】0 0 B的例子’但 可在網際網路200上設置1台管理者終端。 又,本實施形態的安全性閘道裝置】〇 5所帶有之第 上 於 據 型 據 安 加 器 05 在 密 裝 安 和 當 會 裝 器 別 亦 -21 - 200534657 (18) 加密/解密處理部1 〇 5 a及第2加密/解密處理部1 0 5 b的機 肯b,係可藉由硬體構成、D S P、軟體之任何一者來實現。 例如,當藉由軟體來實現的時候,本實施形態之安全性閘 道裝置1 05,實際上是具備CPU或M PU、RAM、ROM等 而構成,由記憶在RAM或ROM內的程式運作而加以實 現。 又,存在於上記實施形態中,雖然說明了存在於據點 φ 網路 1 0 0 A、1 0 0 B 內部的終端 1 〇 1 A _!〜1 0 1 A · m、1 0 1 B _!〜 101 B_n及存在於據點網路100 A、100B外部的VPN用戶端 3 〇〇全部都是個人電腦的例子,但這些任一終端並非一定 要爲個人電腦。 其他,上記實施形態,無論何者皆爲在實施本發明時 的具體化之一例而已,並非因其將本發明的技術範圍加以 限定解釋者。亦即,本發明係只要不脫離其精神或其主要 特徵,是可以有各種形態的實施。 〔產業上之利用可能性〕 本發明對於在含有進行資料之加密化或過濾處理等安 全性相關處理之構成的據點網路中設置聞道裝置上是有用 的。 【圖式簡單說明】 【圖1】 實施了本發明之安全性閘道裝置的VPN網 路的構成例的方塊圖。 -22- 200534657 (19) 【主要元件符號說明】 1 0 0 A 據點A網路 1 00B 據點B網路 1 02 A? 1 02B VPN 路由器 103 防火牆 104 過濾處理部
105 安全性閘道裝置 l〇5a 第1加密/解密處理部 105b 第2加密/解密處理部 110 管理者終端 200 網際網路 2 00a VPN 通道 3 00 VPN用戶端 ΙΟΙΑ.^ 101A_nl 個人電腦 1 0 ] B _ 1〜1 0 1 B _ η 個人電腦 -23-