JP2005065004A - 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム - Google Patents
暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム Download PDFInfo
- Publication number
- JP2005065004A JP2005065004A JP2003294224A JP2003294224A JP2005065004A JP 2005065004 A JP2005065004 A JP 2005065004A JP 2003294224 A JP2003294224 A JP 2003294224A JP 2003294224 A JP2003294224 A JP 2003294224A JP 2005065004 A JP2005065004 A JP 2005065004A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- encrypted
- communication device
- data
- encrypted communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】
暗号化された通信データに対して、適切なデータ検査を可能にする。
【解決手段】
送信側通信端末1−1及び受信側通信端末1−2(以下、通信端末)により暗号鍵を用いた暗号化通信を実施するにあたり、その通信データを転送する第三の通信装置1−3は、ネットワークセキュリティ管理基準によって内容を確認できない暗号化通信データを遮断する。第三の通信装置1−3は、通信端末1−1及び/又は1−2に対して暗号化通信データを遮断していることを通知する。当該通知を受けた通信端末1−1又は1−2と、第三の通信装置1−3との間で相互認証手続きを交わした後、両装置間で暗号化通信経路を生成する。その暗号化通信経路を通して、暗号鍵を通信端末1−1又は1−2から第三の通信装置1−3へ送信する。第三の通信装置1−3は、受信した暗号鍵を用いて暗号化通信データの内容を解読し及び内容の検査、フィルタリング処理等を行う。
【選択図】 図1
暗号化された通信データに対して、適切なデータ検査を可能にする。
【解決手段】
送信側通信端末1−1及び受信側通信端末1−2(以下、通信端末)により暗号鍵を用いた暗号化通信を実施するにあたり、その通信データを転送する第三の通信装置1−3は、ネットワークセキュリティ管理基準によって内容を確認できない暗号化通信データを遮断する。第三の通信装置1−3は、通信端末1−1及び/又は1−2に対して暗号化通信データを遮断していることを通知する。当該通知を受けた通信端末1−1又は1−2と、第三の通信装置1−3との間で相互認証手続きを交わした後、両装置間で暗号化通信経路を生成する。その暗号化通信経路を通して、暗号鍵を通信端末1−1又は1−2から第三の通信装置1−3へ送信する。第三の通信装置1−3は、受信した暗号鍵を用いて暗号化通信データの内容を解読し及び内容の検査、フィルタリング処理等を行う。
【選択図】 図1
Description
本発明は、暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラムに係り、特に、インターネット上のデータ通信において、IPsec(IP security)やSSL(secure socket layer)などの暗号化通信を実現する一方で、一定のネットワーク管理基準に則り、その通信データの内容を任意のフィルタリング条件に基づいて検査し、必要に応じてそのネットワークでの通信データの転送を遮断することを実現する通信方式に関する。
インターネットなどで転送される通信データは、一般にOSI(open system interconnection)参照モデルの枠組みに基づき、複数の通信プロトコル階層に分類された上で、ネットワークを構成する各通信装置が任意の通信プロトコル階層の所定の処理を実行することにより送受信される。これにより、送信側通信端末が送信する通信データは、特定の適切な経路を経由しながら受信側通信端末に到達する。これらの通信データの転送は、ネットワークを構成する世界中の通信装置が、IP(internet protocol)に代表される通信プロトコルに対応することにより実現されており、今日あらゆる通信端末がインターネットを通してデータ通信を実現することが可能になった。それに伴い、インターネットを利用した多種多様なサービスが急速に普及し、今後もインターネットを介して多岐にわたるサービスが開発されて、世の中に普及すると予想される。
一方、インターネットを利用した様々なサービスが普及すると共に、インターネットを不正に利用することを試みる行為が頻発している。例えば、盗聴、改竄、なりすまし、否認など、多岐にわたる不正な通信行為が発生するようになった今日、ネットワークのセキュリティ管理は、大変重要な課題として位置付けられている。
そこで、通信データの機密性・完全性を維持する為、SSL技術などに代表される暗号化技術が広く使用されるようになった他、本人認証を実現するPKI(pubic key infrastructure、公開鍵認証基盤)の普及、デジタル署名による否認防止、IPアドレスやポート番号等に基づくフィルタリング、インターネットウィルス検出、インターネットウィルスに対するウィルススキャン、セキュリティホール対策などの様々なセキュリティ対策を適宜実施することにより、セキュリティが高度に確保されたインターネット通信が実現されている。
例えば、セキュリティに関する文献として、インターネットにおけるセキュリティ対策としてファイアウォールに関する基礎的な技術、及びセキュリティポリシーについて紹介されている文献がある(例えば、非特許文献1参照)。その中で、特に3.23節ではセキュリティ対策としての暗号化通信について述べられている。また、暗号化に関する基礎技術、概念、実用システムの構築などについて紹介されている文献もある(例えば、非特許文献2参照)。その中で第2章では公開鍵暗号化についてディフィー・フェルマン(Diffie−Hellman)アルゴリズムに関する説明がある他、第3章では、暗号化に関する社会的・政治的問題についても解説されている。
以上のようなセキュリティ対策は、理想的には個々の通信端末がそれぞれそれらセキュリティ対策機能を搭載することにより実現することが望ましいが、現実的には一般ユーザが通信端末を利用することも考慮すると、すべての通信端末において常に十分で最新のセキュリティ対策機能を搭載させることは不可能に近い。そこで、実際にはアクセスネットワークのエッジに相当するような場所に、セキュリティ対策機能を有する第三の通信装置としてFW(firewall、ファイアウォール)やGW(gateway、ゲートウェイ)などを設置し、常にネットワーク管理者がこのFWやGWなどを維持管理し、個々の通信端末の代わりにセキュリティ維持を実現している。またこれによって、あるネットワーク内にセキュリティ対策が不十分な通信端末がつながっている場合でも、外部からの不正なアクセスによってその通信端末を踏み台にしてネットワーク全体のセキュリティを侵されるようなことも防止することが可能となる。
Karanjit Siyan、Ph.D.Chris Hare著、高辻 秀興訳、「インターネットファイアウォール」、アスキー、1996年3月発行
Pete Loshin著、「暗号化によるセキュリティ対策ガイド」、翔泳社、1999年6月発行
しかし、ある通信端末が別の通信端末との間で暗号化通信を実施している場合、セキュリティ対策機能を有する第三の通信装置としてFWやGWなどを設置しても、その通信データの内容を解読できなくなり、セキュリティ対策が不十分になるといった、暗号化とフィルタリングの矛盾が発生する。即ち、通信端末同士は自らの機密性を維持する為に暗号化通信を行うが、ネットワーク管理者の立場としてはFWやGWなどでは暗号化されたデータを復号化できず、その通信の内容を確認することが不可能となる為、適切なフィルタリングなどのセキュリティ対策を実施することが困難になる。これにより、不正なデータ転送やアクセスもしくはインターネットウィルスの侵入などに対し自衛することが出来なくなる。この課題については、通信プロトコル階層においてより深いレイヤ(レイヤ番号が小さいほど深い)で暗号化するほど、フィルタリング条件として利用できる通信ヘッダなどの情報が少なくなり、適切なフィルタリングの実施が困難になる。
例えば、IPv6(Internet Protocol version 6)で標準サポートされることになるIPsecにおいては、レイヤ3(ネットワーク層)での暗号化が実行される為、レイヤ4以上の通信ヘッダ情報さえ確認することが出来なくなり、通信データパケットのフィルタリング条件として利用可能な情報が大幅に少なくなる。例えば、ポート番号などの通信ヘッダ情報を参照することが出来なくなる他、トンネルモードでのIPsec適用においては元のIPパケットの送信元や送信先を示すIPアドレス情報まで暗号化の適用範囲となる為、通信データの各種内容を第三の通信装置が参照することが出来ない場合がある。
従って、送信側通信端末と受信側通信端末との間に介在するFWやGWなどにおいて、IPsec等の暗号化されたパケットを転送する場合、そのパケットの内容を意識しない場合は問題ないが、使用条件、管理条件に制約があるネットワーク(例えば企業内LANや、高いセキュリティレベルが要求されている商用ネットワークなど)においては、実際にはパケットの内容に問題がないにもかかわらず、暗号化されていることによりその内容を確認できない場合にはパケットの転送自体を遮断するというフィルタリング条件を設けざるを得ない場合も発生する。すなわち、特定のネットワークセキュリティ管理基準として、通信データの内容を確認できない場合はその特定のネットワークのエッジに存在する第三の通信装置においてその通信情報の転送を遮断するようにした場合、暗号化通信は実際の内容に問題が有るなしに関わらず全て遮断されてしまうことになる。
本発明は、以上の点に鑑み、暗号化された通信データに対して、適切なデータ検査を可能とし、暗号化とフィルタリングの矛盾を解決することを目的とする。また、本発明は、任意の通信端末同士がSSLやIPsecなどの暗号化通信を行う場合において、ネットワーク上でその暗号化通信データを転送する第三の通信装置は、通信データの内容を確認可能にすることを目的とする。また、本発明は、暗号化されていないデータ通信の場合と同等のフィルタリング機能を、暗号化通信データに対して実現することを目的とする。さらに、本発明によると、通信データに対する暗号化の適用範囲が広い、すなわち通信プロトコル階層においてより深いレイヤ(レイヤ番号が小さいほど深い)で暗号化されることにより、第三の通信装置におけるフィルタリング条件として利用できるパケットヘッダなどの通信データ情報が少なくなっても、暗号化通信データに対する適切なフィルタリングの実施を可能とすることを目的とする。また、本発明は、レイヤ3で暗号化するIPsecが標準サポートされるIPv6において、適切なフィルタリングの実施を可能とすることを目的とする。
FWやGWなどが、通信内容を解読しても支障が無い立場であり、かつ、他にその通信データの内容を漏らさないことが保証されている場合、先に指摘した暗号化とフィルタリングの矛盾を解決する為には、暗号化通信データの解読が必要なFWやGWなどに対しその暗号鍵を通知して通信データの内容を確認可能にすることにより、実質的には弊害なく暗号化とフィルタリングの矛盾を解決することが可能になる。
そこでこの課題を解決するに当たっては、第一に、FWやGWなどは暗号化されていて内容を確認できない通信データを遮断し、そのFWやGWなどが暗号化通信を試みる送信側通信端末や受信側通信端末に対して、例えば通信データを遮断していることを通知するメッセージを送信する。もし、FWやGWなどが通信データを遮断したまま何も通知しないと、送信側通信端末や受信側通信端末は、どこでなぜ通信データが遮断されているかを認識することができない。そこで、特定のFWやGWなどが暗号化通信の内容を確認できないために通信データを遮断していることを送信側通信端末や受信側通信端末に対して通知する。通信遮断メッセージの送付先は、例えば暗号化通信データの送信元アドレスや送信先アドレスなどを基に決定可能である。
第二に、送信側通信端末あるいは受信側通信端末は、通信遮断メッセージを受信することによりある特定のFWやGWなどによって暗号化通信が遮断されることを認識すると、そのFWやGWなどが暗号化通信データの内容を解読しても良い通信装置か否かを判断する。即ち、送信側通信端末や受信側通信端末にとっては、通信データを暗号化する目的に応じて、その内容を他の通信装置に知られても良い場合も有れば、秘密を維持しなければならない場合もある。またその判断は、FWやGWなどの立場や属性などにも依存する。そこで、送信側通信端末あるいは受信側通信端末は、特定のFWやGWなどとPKIの認証局などを利用して認証手続きを実行することにより、特定のFWやGWなどの立場や属性を明らかにする。その結果、送信側通信端末あるいは受信側通信端末は、FWやGWなどに対して暗号鍵を渡しても良いか否かを判断する。
第三に、送信側通信端末もしくは受信側通信端末とFWやGWなどとの間で、新しく暗号鍵を生成して暗号化通信経路を確保する。これは、先に示した手続きにより特定のFWやGWなどが暗号化通信データの内容を解読しても問題ないと判断した場合に、当該暗号化通信データの暗号鍵を送信側通信端末あるいは受信側通信端末からFWやGWなどに対して送信する場合に、その暗号鍵が他に漏洩することを防止することが目的である。送信側通信端末もしくは受信側通信端末とFWやGWなどとの間で新しく暗号鍵を生成するに当たっては、ディフィー・フェルマンアルゴリズムなどを適用することにより、容易にそれを実現することが可能である。
以上の手続きを実現することにより、送信側通信端末もしくは受信側通信端末は、FWやGWなどに対してその暗号鍵を通知し、FWやGWは暗号化通信データの内容が確認可能になる。これによってFWやGWなどは、送信側通信端末と受信側通信端末が暗号化通信を行っている場合も、暗号化されていない場合と同等に、フィルタリングなどのセキュリティ対策を実施することが可能となる。
具体的には、任意の送信側通信端末と受信側通信端末とが、共有する暗号鍵を使用して暗号化通信を行うにあたり、該暗号化通信データをセキュリティ管理のフィルタリング条件に応じて遮断することが可能な第三の通信装置が、該暗号化通信データの転送経路上に1つ又は複数存在する場合において、該暗号化通信を実施しようとする送信側通信端末あるいは受信側通信端末に対して、第三の通信装置が該暗号化通信データを遮断していることを示す通信遮断メッセージを送信し、該通信遮断メッセージを受信した送信側通信端末あるいは受信側通信端末は、特定の第三の通信装置によって該暗号化通信データが遮断されていることを認識する。
また、送信側通信端末と第三の通信装置、あるいは、受信側通信端末と第三の通信装置の間で認証手続きなどを実行することにより、送信側又は受信側通信端末は、第三の通信装置が該暗号化通信データを復号化して該暗号化通信データの内容を解読しても良いか否かを判断する。解読しても良いと判断された場合、送信側通信端末と第三の通信装置、あるいは、受信側通信端末と第三の通信装置の間で、例えば個別の暗号鍵を生成して共有することにより、暗号化通信経路を確保する。送信側通信端末と第三の通信装置、あるいは、受信側通信端末と第三の通信装置の間で事前に生成した暗号化通信経路を利用して、送信側通信端末と受信側通信端末との間の暗号化通信において共有する暗号鍵を、送信側通信端末あるいは受信側通信端末から第三の通信装置に通知する。
さらに、第三の通信装置は、送信側通信端末あるいは受信側通信端末から第三の通信装置に通知された送信側通信端末と受信側通信端末との間の暗号化通信において適用される暗号鍵を使用して、送信側通信端末から受信側通信端末へ送信される暗号化通信データを復号化して解読し、解読された暗号化通信データの内容に対して、暗号化されていない通信データの転送時と同等のフィルタリング条件を適用する。該フィルタリング条件の適用の結果に従い、第三の通信装置は、転送を許可する場合には該暗号化通信データをそのまま転送し、一方、転送を許可しない場合には該暗号化通信データの転送を遮断する。
本発明の第1の解決手段によると、
所定のフィルタリング条件に従いデータを転送及び/又は遮断する第3の通信装置を介して、第1の通信装置と第2の通信装置との間で、第1の暗号鍵により暗号化された暗号化通信データが伝送される暗号化通信において、
第3の通信装置は、第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断するステップと、
第3の通信装置は、当該データの送信元アドレス及び/又は送信先アドレスに基づき、第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信するステップと、
第3の通信装置は、第1の通信装置と第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該第3の通信装置を認証した第1又は第2の通信装置から受信するステップと、
第3の通信装置は、受信した第1の暗号鍵を使用して、第1及び/又は第2の通信装置から受信した暗号化通信データを復号化するステップと、
第3の通信装置は、復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断するステップと
を含む暗号化通信データ検査方法、及び、これら各処理を第3の通信装置に実行させるための暗号化通信データ検査プログラムが提供される。
所定のフィルタリング条件に従いデータを転送及び/又は遮断する第3の通信装置を介して、第1の通信装置と第2の通信装置との間で、第1の暗号鍵により暗号化された暗号化通信データが伝送される暗号化通信において、
第3の通信装置は、第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断するステップと、
第3の通信装置は、当該データの送信元アドレス及び/又は送信先アドレスに基づき、第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信するステップと、
第3の通信装置は、第1の通信装置と第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該第3の通信装置を認証した第1又は第2の通信装置から受信するステップと、
第3の通信装置は、受信した第1の暗号鍵を使用して、第1及び/又は第2の通信装置から受信した暗号化通信データを復号化するステップと、
第3の通信装置は、復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断するステップと
を含む暗号化通信データ検査方法、及び、これら各処理を第3の通信装置に実行させるための暗号化通信データ検査プログラムが提供される。
本発明の第2の解決手段によると、
暗号鍵により暗号化された暗号化通信データを送受信する第1の通信装置と第2の通信装置の間に介在し、当該暗号化通信データに対して、所定のフィルタリング条件に従いデータを転送及び/又は遮断するための暗号化通信データ検査装置であって、
前記暗号化通信データ検査装置は、
前記第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断し、
当該データの送信元アドレス及び/又は送信先アドレスに基づき、前記第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信し、
前記第1の通信装置と前記第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該第3の通信装置を認証した前記第1又は第2の通信装置から受信し、
受信した第1の暗号鍵を使用して、前記第1及び/又は第2の通信装置から受信した暗号化通信データを復号化し、
復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断する
前記暗号化通信データ検査装置が提供される。
暗号鍵により暗号化された暗号化通信データを送受信する第1の通信装置と第2の通信装置の間に介在し、当該暗号化通信データに対して、所定のフィルタリング条件に従いデータを転送及び/又は遮断するための暗号化通信データ検査装置であって、
前記暗号化通信データ検査装置は、
前記第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断し、
当該データの送信元アドレス及び/又は送信先アドレスに基づき、前記第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信し、
前記第1の通信装置と前記第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該第3の通信装置を認証した前記第1又は第2の通信装置から受信し、
受信した第1の暗号鍵を使用して、前記第1及び/又は第2の通信装置から受信した暗号化通信データを復号化し、
復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断する
前記暗号化通信データ検査装置が提供される。
本発明によると、任意の通信端末同士がSSLやIPsecなどの暗号化通信を行う場合において、ネットワーク上でその暗号化通信データを転送する第三の通信装置は、通信データの内容の一部を確認することが出来る。また、本発明によると、第三の通信装置は暗号化通信データを復号化して内容を解読することが可能になる為、暗号化通信によって参照することが不可能だったパケットヘッダ情報などのフィルタリング条件が参照可能になり、暗号化しないデータ通信の場合と同等のフィルタリング機能を実現することが可能になる。
さらに、本発明によると、通信データに対する暗号化の適用範囲が広い、すなわち通信プロトコル階層においてより深いレイヤ(レイヤ番号が小さいほど深い)で暗号化されることにより、第三の通信装置におけるフィルタリング条件として利用できるパケットヘッダなどの通信データ情報が少なくなっても、暗号化通信データに対する適切なフィルタリングの実施が可能になる。特に、今後普及が予測されるIPv6においては、レイヤ3で暗号化するIPsecが標準サポートされるので、上記機能を実現する意義は大きい。
1.第1の実施の形態
図1は、暗号化通信データ検査システムの装置構成及び暗号化経路の概要図である。図1は、送信側通信端末と受信側通信端末が、暗号化されたデータ通信を許容しない第三の通信装置を経由して暗号化通信を実施する場合の装置構成及び暗号化経路を示す。
図1は、暗号化通信データ検査システムの装置構成及び暗号化経路の概要図である。図1は、送信側通信端末と受信側通信端末が、暗号化されたデータ通信を許容しない第三の通信装置を経由して暗号化通信を実施する場合の装置構成及び暗号化経路を示す。
暗号化通信データ検査システムは、送信側通信端末1−1と、受信側通信端末1−2と、第三の通信装置1−3とを備える。さらに、認証局1−4を備えることもできる。
送信側通信端末1−1及び受信側通信端末1−2は、暗号化通信を実行する。なお、本実施の形態においては、説明をわかりやすくするために通信端末を送信側、受信側と記述しているが、各通信端末は送信及び受信に限られた通信端末である必要はない。
第三の通信装置1−3は、送信側通信端末1−1と受信側通信端末1−2との間の通信データを転送するための通信装置であり、FWやGWの役割を果たす。また、第三の通信装置1−3は、暗号化された通信データ(以下、暗号化通信データという)に対して、例えば所定のフィルタリング条件に基づくフィルタリング処理等のセキュリティ対策に関する処理を実行して、暗号化通信データを転送及び/又は遮断する。
認証局1−4は、通信相手の認証を行うための装置である。認証局1−4は、例えば、端末やサーバの立場や属性等の情報を有する。認証局1−4は、送信側通信端末1−1又は受信側通信端末1−2が第三の通信装置1−3に暗号鍵を渡して良いか否かの妥当性を評価する為に利用される。また、認証局1−4は、送信側通信端末1−1、受信側通信端末1−2の暗号化通信を行うに当たっての相互認証に利用されることもできる。
図1では、送信側通信端末1−1がLAN1−5を通して、及び、受信側通信端末1−2がLAN1−6を通してインターネットにつながっており、送信側通信端末1−1と受信側通信端末1−2との間で暗号化通信を実施する場合のイメージを示している。ここで、例えば、LAN1−5は特にネットワークセキュリティ管理がなされていないものとして説明する。一方、LAN1−6では一定のネットワークセキュリティ管理を実現する為に、FWやGWなどの役割として第三の通信装置1−3を通してインターネットにつながっている。なお、第三の通信装置1−3が、LAN1−6ではなくLAN1−5内に存在しても同様である。また、LAN1−5及びLAN1−6の両方に存在してもよい。
送信側通信端末1−1と受信側通信端末1−2との間には第三の通信装置1−3がひとつ又は複数存在する場合が想定されるが、図1では1台存在する場合を想定している。なお、第三の通信装置1−3が複数存在する場合については後述する。ここで第三の通信装置1−3は、転送する通信データにおいて、暗号化によって通信データの内容(例えば、IPアドレスなどの所定のフィルタリング処理に必要な情報)を解読できない場合には、セキュリティ維持などの目的でその通信データ自体の転送を遮断するポリシーに基づき制御されているものとする。
通信データの内容を解読できない場合とは、例えば暗号化通信データの復号化に必要な暗号鍵がないために、データを復号化できず所定の情報を得られない場合が考えられる。なお、第三の通信装置1−3は、当該データを復号化できなくても、又は、データの内容すべてを解読できなくても、フィルタリング処理等に必要な所定の情報が得られる場合には当該データを転送するようにしてもよい。
図2は、暗号化通信を実現するための手順に関するシーケンス図である。図2は、送信側通信端末1−1と受信側通信端末1−2が、暗号化されたデータ通信を許容しない第三の通信装置1−3を経由して暗号化通信を実施する場合のシーケンス図を示す。
まず、送信側通信端末1−1及び受信側通信端末1−2は、第三の通信装置1−3の存在をはじめから認識できない為、通常の暗号化通信を試みようとする。ここで送信側通信端末1−1と受信側通信端末1−2の間で暗号化通信するための暗号鍵Xを共有するに当たっては幾つかの手段が考えられ、事前に何らかの手段で暗号鍵Xを物理的に共有しておく場合が考えられる。この他にも、PKIの認証局1−4などを利用して認証手続きを実施した後に、ディフィー・フェルマンアルゴリズムなどを適用することにより共有の暗号鍵Xを生成する場合も考えられる。例えばIPsecにおいては、IKE(internet key exchange)の手続きを踏むことによって安全に共有の暗号鍵を生成することが可能である。なお、これらに限らず、適宜の方法、手段により共有の暗号鍵を生成してもよい。
送信側通信端末1−1は、この暗号鍵Xを用いて暗号化した暗号化通信データを受信側通信端末1−2に向けて送信する。しかし、その暗号化通信データを転送することになる第三の通信装置1−3は、自らが復号化して解読できない当該暗号化通信データを遮断する。ここで遮断しただけでは送信側通信端末1−1や受信側通信端末1−2は、どこでなぜ暗号化通信データが遮断されているかを認識できない為、第三の通信装置1−3は、例えば暗号化通信データパケットのソースアドレス(SA)及び/又はデスティネーションアドレス(DA)に基づき、第三の通信装置1−3自身がこの暗号化通信データを遮断していること示す通信遮断メッセージを、送信側通信端末1−1及び/又は受信側通信端末1−2に送信する。通信遮断メッセージを受信した送信側通信端末1−1及び受信側通信端末1−2は、そこで初めて第三の通信装置1−3によって暗号化通信データが遮断されていることを認識することが出来る。
次に、通信遮断メッセージを受信した送信側通信端末1−1もしくは受信側通信端末1−2は、暗号化通信データの遮断を解消すべく、第三の通信装置1−3に暗号鍵Xを渡して良いか否かを判断する為に第三の通信端末1−3と相互認証を実施する。なお、送信側通信端末1−1が第三の通信装置1−3と相互認証を実施する場合も同様である。この相互認証は、通信遮断メッセージを受信した第三の通信装置1−3が暗号化通信データを暗号鍵Xで復号化して解読可能になっても問題ないか、もしくは第三の通信装置1−3が通信データの内容を他に漏洩する危険性がないかなどを確認することが主な目的である。以下、説明を簡単化するために受信側通信端末1−2が第三の通信装置1−3と相互認証を実施するものとして説明する。
このような相互認証を実現する為には、送信側通信端末1−1と受信側通信端末1−2とが相互認証するのと同様に、例えば受信側通信端末1−2と第三の通信装置1−3とがPKIの認証局1−4などを利用することにより、受信側通信端末1−2は第三の通信装置1−3に対して暗号鍵Xを渡して良い相手か否かを判定することができる。ここでは、例えばあらかじめ受信側通信端末1−2において暗号鍵Xを渡しても良い信頼できる通信装置もしくはそのグループを示す識別情報の一覧を保持しておくことにより、受信側通信端末1−2は第三の通信装置1−3がその一覧に該当する場合は暗号鍵Xを渡して問題なしと判断し、一方それ以外の場合は暗号鍵Xを渡してはならないことを判断する。なお、これ以外にも適宜の方法により相互認証することができる。また、本実施の形態では相互認証を行っているが、暗号鍵を渡しても良いか否かの判定においては、少なくとも送信側通信端末1−1又は受信側通信端末1−2が第三の通信端末1−3を認証できればよい。
その結果、問題なしと判断された場合には、受信側通信端末1−2から第三の通信装置1−3に暗号鍵Xをセキュアに送信する為、受信側通信端末1−2と第三の通信装置1−3との間で新たな暗号化通信を実現する為に用いる暗号鍵Yを生成する。暗号鍵Yの生成に当たっては、暗号鍵Xの生成の場合と同様、ディフィー・フェルマンアルゴリズムなどを適用することにより共有の暗号鍵Yを生成することが可能である。
そして、暗号鍵Yで確保された暗号化通信経路を用いて、受信側通信端末1−2は、第三の通信装置1−3に対して暗号鍵Xを送信する。また、第三の通信装置1−3は暗号鍵Xを受信し、受信した暗号鍵を記憶部等に適宜記憶する。例えば、第三の通信装置1−3は、暗号化通信経路の識別情報、送信側通信端末1−1及び受信側通信端末1−2の識別情報などに対応させて暗号鍵Xを記憶する。
さらに、受信側通信端末1−2は、例えば送信側通信端末1−1に対して暗号鍵Xで暗号化されたデータ通信の再開を通知する。送信側通信端末1−1と受信側通信端末1−2の暗号化通信は、遮断された状態で止まっているため、通信を再開するためのトリガを送信側通信端末1−1に与えるものである。なお、この通知は、暗号鍵Xを送信した受信側通信端末1−2が行う以外にも、暗号鍵Xを受信した第三の通信装置1−3が送信側通信端末1−1に通知するようにしてもよい。また、これ以外にも所定時間経過後に通信を再開するなど、適宜の方法によりデータ通信を再開するためのトリガを与えることができる。さらに、第三の通信装置1−3が、遮断したデータを一時記憶しておき、送信側通信端末1−1から再度データを送信しないようにしてもよい。
データ通信の再開の通知を受けた送信側通信端末1−1は、再度、暗号化通信データを受信側通信端末1−2に送信する。第三の通信装置1−3は、すでに受信した暗号鍵Xを用いて、送信側通信端末1−1と受信側通信端末1−2との間の暗号化通信データを復号化して解読することにより、その内容を確認することが可能である。
第三の通信装置1−3は、確認された暗号化通信データの内容に基づき、本来の暗号化されていない場合のフィルタリング基準と同等の処理を実施した上で、転送して問題なしと判断した場合には、暗号化通信データをそのまま転送する。その結果、受信側通信端末1−2は暗号化通信データを受信することが可能になる。一方、第三の通信装置1−3は、フィルタリングの処理により転送不可と判断した場合には、当該データを廃棄する。
2.第2の実施の形態
図3は、複数の通信装置を介して暗号化通信を実施する暗号化データ検査システムの装置構成及び暗号化経路の概要図である。図3は、図1の概略図をベースにして、送信側通信端末3−1、受信側通信端末3−2、第三の通信装置3−3以外に、更にFWやGWなどの役割として暗号化通信データを遮断する第四の通信装置3−4を備えるものである。なお、第五、第六の通信装置など、さらに通信装置を備えることもできる。
図3は、複数の通信装置を介して暗号化通信を実施する暗号化データ検査システムの装置構成及び暗号化経路の概要図である。図3は、図1の概略図をベースにして、送信側通信端末3−1、受信側通信端末3−2、第三の通信装置3−3以外に、更にFWやGWなどの役割として暗号化通信データを遮断する第四の通信装置3−4を備えるものである。なお、第五、第六の通信装置など、さらに通信装置を備えることもできる。
ここで、第四の通信装置の場所としては、送信側通信端末3−1と第三の通信装置3−3との間の場所と、第三の通信装置3−3と受信側通信端末3−2との間の場所とが考えられるが、送信側通信端末3−1と受信側通信端末3−2との間の暗号化通信データが、インターネット等を介して第三の通信装置3−3にまで到達していることから、FWやGWなどの役割として暗号化通信データを遮断する第四の通信装置3−4の場所は、例えば、第三の通信装置3−3と受信側通信端末3−2との間の場所とすることができる。なお、第三の通信端末3−3と第四の通信端末3−4は、これに限らず適宜の場所に配置することができる。
ここで注意すべきは、受信側通信端末3−2が第三の通信装置3−3へ暗号鍵Xを送信する場合、上述のように暗号化通信経路(Y)を使用した暗号化通信が発生することである。この場合、第四の通信装置3−4は暗号化通信データの転送を遮断するため、単純には受信側通信端末3−2は第三の通信装置3−3へ暗号鍵Xを送信することはできない。しかし、上述の第1の実施の形態に係る手続きを再帰的に実行することにより上記課題は解決することが可能である。
即ち、受信側通信端末3−2と第三の通信端末3−3における暗号化通信において、図3に示す受信側通信端末3−2は図1及び図2に示す送信側通信端末1−1に、図3の第三の通信装置3−3は図1及び図2の受信側通信端末1−2に、そして図3の第四の通信装置3−4は図1及び図2の第三の通信装置1−3にそれぞれ対応させて、上述と同様の手続きを実行すればよい。第四の通信装置3−4が存在したとしても、最終的には送信側通信端末3−1と受信側通信端末3−2との間の暗号化通信は可能になる。具体的な一連の処理の例について、以下に説明する。
図4及び図5は、暗号化されたデータ通信を許容しない複数の通信装置が存在する場合における暗号化データ検査のシーケンス図である。
上述と同様にして、FWやGWなどの役割を果たす通信装置が複数存在する場合であっても、上述と同じ手続きを再帰的に繰り返し実行することにより暗号化通信をすることが可能である。例として図4及び図5では、送信側通信端末3−1と受信側通信端末3−2との間にFWやGWなどの役割として暗号化通信データを遮断する3個の通信装置(第三、第四、第五の通信装置)が存在する場合の具体的な手続きの流れを示す。これら第三、第四、第五の通信装置は、例えば、図1におけるLAN1−6内に配置される。なお、通信装置の数は3個以外の場合であっても同様である。
まず、図4を参照し、送信側通信端末3−1と受信側通信端末3−2の間の暗号化通信(X)を実現するにあたっては、第三の通信装置3−3で暗号化通信(X)が拒否されて送信が失敗する。通信遮断メッセージが送信元アドレス等に基づき、第三の通信装置3−3から受信側通信端末3−2に送信されると、受信側通信端末3−2と第三の通信装置3−3の間で暗号化通信経路(Y)を作成し、暗号化通信(Y)を試みる。しかし、今度は第五の通信装置3−5で暗号化通信(Y)が拒否されて暗号鍵(X)の送信が失敗する。通信遮断メッセージが第五の通信装置3−5から第三の通信装置3−3に送信されると、第三の通信装置3−3と第五の通信装置3−5の間で暗号化通信経路(Z)を作成し、暗号化通信(Z)を試みる。しかし、今度は第四の通信装置3−4で暗号化通信(Z)が拒否されて暗号鍵(Y)送信が失敗する。
通信遮断メッセージが第四の通信装置3−4から第五の通信装置3−5に送信されると、第五の通信装置3−5と第四の通信装置3−4の間で暗号化通信経路(W)を作成し、暗号化通信(W)を試みる。ここで始めて暗号化通信(W)が成立し、第五の通信装置3−5から第四の通信装置3−4へ暗号鍵(Z)の送信が成功する。その結果、暗号化通信経路(Z)を介した、第三の通信装置3−3から第五の通信装置3−5への暗号鍵(Y)の送信も成功する。ここで、例えば、暗号鍵(Z)の送信が成功後、上述の第1の実施の形態と同様に、第五の通信装置3−5はデータ通信の再開を第三の通信装置3−3に通知するようにしてもよい。以下、暗号鍵の送信が成功した場合についても同様である。
次に、受信側通信端末3−2から第三の通信装置3−3へ向けて暗号鍵(X)を送信する。第五の通信装置3−5は上述の処理により暗号鍵(Y)を持っているため、暗号化通信(Y)は、他のフィルタリング条件に該当しない限り第五の通信装置3−5を通過することができる。以下の説明において、他のフィルタリング条件には該当しないものとして説明する。一方、第四の通信装置3−4は暗号鍵(Y)を持っていないため、暗号化通信(Y)が拒否されて暗号鍵(X)の送信が失敗する。通信遮断メッセージが第四の通信装置3−4から第三の通信装置3−3に送信されると、第三の通信装置3−3と第四の通信装置3−4の間で暗号化通信経路(V)を作成し、暗号化通信(V)を試みる。暗号化通信(V)は成立し、第三の通信装置3−3から第四の通信装置3−4へ暗号鍵(Y)の送信が成功する。その結果、暗号化通信経路(Y)を介した、受信側通信端末3−2から第三の通信装置3−3への暗号鍵(X)の送信が成功する。
次に、図5を参照し、送信側通信端末3−1はあらためて受信側通信端末3−2と暗号化通信(X)の実現を試みるが、今度は第四の通信装置3−4で暗号化通信(X)が拒否されて暗号化通信データの送信が失敗する。以降、上述の第三の通信装置3−3で暗号化通信(X)が拒否された場合と同様な手続きで第四の通信装置3−4に暗号鍵(X)が渡される。第五の通信装置3−5においても同様にして暗号鍵(X)が渡されることにより、最終的には、送信側通信端末3−1から受信側通信端末3−2への暗号化通信(X)が成功するに至ることになる。
図6は、通信遮断メッセージに対して送信側通信端末3−1が対応手続きを実行する暗号化データ検査のシーケンス図である。
上述の説明では、FWやGWなどの役割として暗号化通信データを遮断する通信装置が生成する通信遮断メッセージに対して、受信側(例えば、受信側通信端末3−2)がその対応手続きを実行する場合を説明したが、送信側(例えば、送信側通信端末3−1)がその対応手続きを実行する場合も基本的には同様となる。図6では、送信側がその対応手続きを実行することを前提に、送信側通信端末3−1と受信側通信端末3−2との間にFWやGWなどの役割として暗号化通信データを遮断する3個の通信装置(第三、第四、第五の通信装置)が存在する場合の具体的な手続きの流れを示す。これら第三、第四、第五の通信装置は、例えば、図1におけるLAN1−6内に配置される。なお、通信装置の数は3個以外の場合であっても同様である。
送信側通信端末3−1と受信側通信端末3−2の間の暗号化通信(X)を実現するにあたっては、まず第三の通信装置3−3で暗号化通信(X)が拒否されて暗号化通信データの送信が失敗する。当該データの送信元アドレス等に基づき、通信遮断メッセージが第三の通信装置3−3から送信側通信端末3−1に送信されると、送信側通信端末3−1と第三の通信装置3−3の間で暗号化通信経路(Y)を作成し、暗号化通信(Y)を試みる。この暗号化通信(Y)は成功し、送信側通信端末3−1から第三の通信装置3−3に暗号鍵(X)が送信される。なお、図6においては、通信遮断メッセージは送信側通信端末3−1にのみ送信しているが、受信側通信端末3−2にもあわせて送信してもよい。以下の通信遮断メッセージの送信においても同様である。
あらためて、送信側通信端末3−1から受信側通信端末3−2への暗号化通信(X)を試みると、第三の通信装置3−3は暗号鍵(X)を持っているため、暗号化通信(X)は他のフィルタリング条件に該当しない限り遮断されないが、今度は第四の通信装置3−4において暗号化通信(X)が拒否されて暗号化通信データの送信が失敗する。通信遮断メッセージが第四の通信装置3−4から送信側通信端末3−1に送信されると、送信側通信端末3−1と第四の通信装置3−4の間で暗号化通信経路(Z)を作成し、暗号化通信(Z)を試みる。
しかし、今度は第三の通信装置3−3で暗号化通信(Z)が拒否されて暗号鍵(X)の送信が失敗する。通信遮断メッセージが第三の通信装置3−3から送信側通信端末3−1に送信されると、送信側通信端末3−1と第三の通信装置3−3の間で既に生成してある暗号化通信(Y)によって暗号鍵(Z)が送信される。その結果、今度は送信側通信端末3−1と第四の通信装置3−4の間で暗号化通信(Z)が成功し、暗号鍵(X)が送信側通信端末3−1から第四の通信装置3−4に送信される。なお、送信側通信端末3−1が、通信遮断メッセージに対する処理を実行する場合においては、上述の通信の再開の通知はしなくてもよい。
これ以降、送信側通信端末3−1から受信側通信端末3−2への暗号化通信(X)を試みると、今度は第五の通信装置3−5において暗号化通信(X)が拒否されて暗号化通信データの送信が失敗するが、同様な再帰処理により暗号鍵(X)が第五の通信装置3−5に送信される。最終的には、送信側通信端末3−1から受信側通信端末3−2への暗号化通信(X)が成功するに至ることになる。
3.付記
本発明の暗号化通信データ検査方法又は暗号化通信データ検査システムは、その各手順をコンピュータ又は通信装置に実行させるための暗号化通信データ検査プログラム、暗号化通信データ検査プログラムを記録したコンピュータ読み取り可能な記録媒体、暗号化通信データ検査プログラムを含みコンピュータの内部メモリーにロード可能なプログラム製品、そのプログラムを含むサーバ等のコンピュータ、等により提供されることができる。
本発明の暗号化通信データ検査方法又は暗号化通信データ検査システムは、その各手順をコンピュータ又は通信装置に実行させるための暗号化通信データ検査プログラム、暗号化通信データ検査プログラムを記録したコンピュータ読み取り可能な記録媒体、暗号化通信データ検査プログラムを含みコンピュータの内部メモリーにロード可能なプログラム製品、そのプログラムを含むサーバ等のコンピュータ、等により提供されることができる。
1−1 暗号化通信を実行する送信側通信端末
1−2 暗号化通信を実行する受信側通信端末
1−3 FWやGWなどの役割を果たす第三の通信装置
1−4 送信側通信端末もしくは受信側通信端末が第三の通信装置に暗号鍵を渡して
良いか否かの妥当性を評価する為に利用される認証局
1−5 LAN(セキュリティ管理がなされていない場合)
1−6 LAN(セキュリティ管理がなされている場合)
3−1 暗号化通信を実行する送信側通信端末
3−2 暗号化通信を実行する受信側通信端末
3−3 FWやGWなどの役割を果たす第三の通信装置
3−4 FWやGWなどの役割を果たす第四の通信装置
3−5 FWやGWなどの役割を果たす第五の通信装置
1−2 暗号化通信を実行する受信側通信端末
1−3 FWやGWなどの役割を果たす第三の通信装置
1−4 送信側通信端末もしくは受信側通信端末が第三の通信装置に暗号鍵を渡して
良いか否かの妥当性を評価する為に利用される認証局
1−5 LAN(セキュリティ管理がなされていない場合)
1−6 LAN(セキュリティ管理がなされている場合)
3−1 暗号化通信を実行する送信側通信端末
3−2 暗号化通信を実行する受信側通信端末
3−3 FWやGWなどの役割を果たす第三の通信装置
3−4 FWやGWなどの役割を果たす第四の通信装置
3−5 FWやGWなどの役割を果たす第五の通信装置
Claims (7)
- 所定のフィルタリング条件に従いデータを転送及び/又は遮断する第3の通信装置を介して、第1の通信装置と第2の通信装置との間で、第1の暗号鍵により暗号化された暗号化通信データが伝送される暗号化通信において、
第3の通信装置は、第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断するステップと、
第3の通信装置は、当該データの送信元アドレス及び/又は送信先アドレスに基づき、第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信するステップと、
第3の通信装置は、第1の通信装置と第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該第3の通信装置を認証した第1又は第2の通信装置から受信するステップと、
第3の通信装置は、受信した第1の暗号鍵を使用して、第1及び/又は第2の通信装置から受信した暗号化通信データを復号化するステップと、
第3の通信装置は、復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断するステップと
を含む暗号化通信データ検査方法。 - 通信遮断メッセージを受信した第1及び/又は第2の通信装置は、第3の通信装置が当該暗号化通信データを復号化し及び/又は内容を解読しても良いかを判断するステップと、
第1及び/又は第2の通信装置は、復号化し及び/又は解読しても良いと判断された第3の通信装置に対して、第1の暗号鍵を送信するステップと
をさらに含む請求項1に記載の暗号化通信データ検査方法。 - 第1及び/又は第2の通信装置は、第3の通信装置の立場及び/又は属性を示す情報を有する認証局を利用して、認証手続きを実行する請求項2に記載の暗号化通信データ検査方法。
- 第3の通信装置と、第1又は第2の通信装置との間で、新たな暗号化通信経路を生成するステップ
をさらに含み、
生成された暗号化通信経路を介して暗号鍵を送受信する請求項1乃至3のいずれかに記載の暗号化通信データ検査方法。 - 第1又は第2の通信装置と第3の通信装置との暗号化通信の間に介在する第4通信装置は、第1又は第2又は第3の通信装置から受信した復号化又は解読できない暗号化通信データを遮断するステップと、
第4の通信装置は、当該暗号化通信データの送信元アドレス及び/又は送信先アドレスに基づき、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信するステップと、
第4の通信装置は、当該暗号化通信に応じた第2の暗号鍵を、当該第4の通信装置を認証した第1又は第2又は第3の通信装置から受信するステップと、
第4の通信装置は、受信した第2の暗号鍵を使用して、当該暗号化通信データを復号化するステップと、
第4の通信装置は、復号化された当該暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断するステップと
をさらに含む請求項1乃至4のいずれかに記載の暗号化通信データ検査方法。 - 暗号鍵により暗号化された暗号化通信データを送受信する第1の通信装置と第2の通信装置の間に介在し、当該暗号化通信データに対して、所定のフィルタリング条件に従いデータを転送及び/又は遮断するための暗号化通信データ検査装置であって、
前記暗号化通信データ検査装置は、
前記第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断し、
当該データの送信元アドレス及び/又は送信先アドレスに基づき、前記第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信し、
前記第1の通信装置と前記第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該暗号化通信データ検査装置を認証した前記第1又は第2の通信装置から受信し、
受信した第1の暗号鍵を使用して、前記第1及び/又は第2の通信装置から受信した暗号化通信データを復号化し、
復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断する
前記暗号化通信データ検査装置。 - 所定のフィルタリング条件に従いデータを転送及び/又は遮断する第3の通信装置を介して、第1の通信装置と第2の通信装置との間で、暗号鍵により暗号化された暗号化通信データを伝送するための暗号化通信を、第3の通信装置に実行させるための暗号化通信データ検査プログラムにおいて、
第3の通信装置は、第1又は第2の通信装置から受信した復号化又は解読できない暗号化通信データを遮断するステップと、
第3の通信装置は、当該データの送信元アドレス及び/又は送信先アドレスに基づき、第1及び/又は第2の通信装置に、当該暗号化通信データを遮断していることを示す通信遮断メッセージを送信するステップと、
第3の通信装置は、第1の通信装置と第2の通信装置との間の暗号化通信において使用される第1の暗号鍵を、当該第3の通信装置を認証した第1又は第2の通信装置から受信するステップと、
第3の通信装置は、受信した第1の暗号鍵を使用して、第1及び/又は第2の通信装置から受信した暗号化通信データを復号化するステップと、
第3の通信装置は、復号化された暗号化通信データに対して所定のフィルタリング条件を適用し、当該条件の適用結果に従い暗号化通信データを転送又は遮断するステップと
を第3の通信装置に実行させるための暗号化通信データ検査プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003294224A JP2005065004A (ja) | 2003-08-18 | 2003-08-18 | 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003294224A JP2005065004A (ja) | 2003-08-18 | 2003-08-18 | 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005065004A true JP2005065004A (ja) | 2005-03-10 |
Family
ID=34370845
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003294224A Pending JP2005065004A (ja) | 2003-08-18 | 2003-08-18 | 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005065004A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007129320A (ja) * | 2005-11-01 | 2007-05-24 | Sony Corp | 通信システム、通信装置及び通信方法、並びにコンピュータ・プログラム |
JP2009510628A (ja) * | 2005-09-27 | 2009-03-12 | モルガン・スタンレー | 防護電子通信の処理 |
JP2009230170A (ja) * | 2008-03-19 | 2009-10-08 | Fujitsu Ltd | 電子メール監査プログラム及び電子メール監査装置 |
EP3310095A1 (en) | 2016-10-11 | 2018-04-18 | Fujitsu Limited | Edge server, encryption communication control method thereof, and terminal |
AU2016200701A2 (en) * | 2015-02-04 | 2021-08-19 | Jonathan Bishop Limited | Monitoring on-line activity |
-
2003
- 2003-08-18 JP JP2003294224A patent/JP2005065004A/ja active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009510628A (ja) * | 2005-09-27 | 2009-03-12 | モルガン・スタンレー | 防護電子通信の処理 |
JP2007129320A (ja) * | 2005-11-01 | 2007-05-24 | Sony Corp | 通信システム、通信装置及び通信方法、並びにコンピュータ・プログラム |
JP2009230170A (ja) * | 2008-03-19 | 2009-10-08 | Fujitsu Ltd | 電子メール監査プログラム及び電子メール監査装置 |
AU2016200701A2 (en) * | 2015-02-04 | 2021-08-19 | Jonathan Bishop Limited | Monitoring on-line activity |
EP3310095A1 (en) | 2016-10-11 | 2018-04-18 | Fujitsu Limited | Edge server, encryption communication control method thereof, and terminal |
US10708239B2 (en) | 2016-10-11 | 2020-07-07 | Fujitsu Limited | Edge server, encryption communication control method thereof, and terminal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10652210B2 (en) | System and method for redirected firewall discovery in a network environment | |
EP3646553B1 (en) | Introducing middleboxes into secure communications between a client and a server | |
JP3688830B2 (ja) | パケット転送方法及びパケット処理装置 | |
US8800024B2 (en) | System and method for host-initiated firewall discovery in a network environment | |
US7051365B1 (en) | Method and apparatus for a distributed firewall | |
US9602485B2 (en) | Network, network node with privacy preserving source attribution and admission control and device implemented method therfor | |
US20080028225A1 (en) | Authorizing physical access-links for secure network connections | |
US8104082B2 (en) | Virtual security interface | |
US11658944B2 (en) | Methods and apparatus for encrypted communication | |
AU2003294304B2 (en) | Systems and apparatuses using identification data in network communication | |
Whitehurst et al. | Exploring security in ZigBee networks | |
Mahyoub et al. | Security analysis of critical 5g interfaces | |
Joshi | Network security: know it all | |
Garg | Wireless Network Security Threats | |
JP2005065004A (ja) | 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム | |
US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
Fu et al. | ISCP: Design and implementation of an inter-domain Security Management Agent (SMA) coordination protocol | |
JP3962050B2 (ja) | パケット暗号化方法及びパケット復号化方法 | |
Aura et al. | Communications security on the Internet | |
Abhiram Shashank et al. | Secure Intrusion Detection System for MANETs Using Triple-DES Algorithm | |
Wu et al. | Identity-Based Authentication Protocol for Trustworthy IP Address | |
CN115967527A (zh) | 基于白盒密钥的物联网信息数据传输方法 | |
Bob | Internet Technology | |
JP2007295273A (ja) | メールサーバ装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051005 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080715 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080729 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081202 |