通信装置、通信装置に適した通信ログ送信方法および通信システム
【課題】暗号通信されているネットワーク上の通信ログを管理する場合に、各通信装置に秘密鍵を配備することなく、安全かつ確実に通信ログを採取することを課題とする。
【解決手段】通信装置は、当該通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、抽出されたパラメタを鍵管理装置に通知し、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得し、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。
【解決手段】通信装置は、当該通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、抽出されたパラメタを鍵管理装置に通知し、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得し、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置とに接続される通信装置に関する。
【背景技術】
【0002】
従来より、サーバ装置やクライアント装置などが適切に運用管理されて、各装置において通信された通信ログを採取するシステムがあり、この手法では、各装置を運用および管理するシステム管理者が必要不可欠である。そして、当該各装置が適切に運用管理されていない場合には、コンピュータウィルス感染や装置の不具合などで、装置において通信ログを採取することが出来ずに、特に、厳格な通信ログを必要とする分野においては、通信ログの信頼性に欠けてしまう。
【0003】
そこで、ネットワークを介して通信された電子ファイルの情報やネットワークの情報を示す通信ログを、ネットワーク側で代行して保存および管理する技術がある。例えば、ネットワーク内に配備された各通信装置は、通信ログを採取して、通信ログを統合管理するログ収集装置に通知していた。ところが、この手法では、各通信装置でログを採取して通知するので、各通信装置側で通信ログの改ざんが容易にできてしまう。また、当該ネットワークが暗号通信である場合に、ログ収集装置は、通知された電子ファイルの情報が暗号化されており、解読することができないために、当該暗号通信の通信ログを管理することができなかった。
【0004】
また、各通信装置間で暗号化するシステムにとしては、接続される複数の端末から暗号鍵を取得して保持し、保持された暗号鍵を用いて復号化および暗号化を行う情報通信中継装置がある(特許文献1参照)。具体的には、情報通信中継装置は、接続される複数の端末間で暗号通信によりデータがやり取りされる場合に、予め保持している送信元の端末の暗号鍵を用いてやり取りされた暗号通信を復号化する。そして、情報通信中継装置は、復号化された情報を予め保持している送信先の端末の暗号鍵を用いて暗号化し、送信先の端末に対して送信する。
【0005】
この特許文献1の技術を用いることで、ログの改ざんを防止することもできる。具体的には、情報通信中継装置において復号化された場合に、やり取りされたデータの情報と暗号通信されたネットワークに関するネットワーク情報とを抽出し、抽出された情報をログとして管理する。なお、復号化されたデータは再び暗号化し、送信先の端末に対して送信する。
【0006】
この上述した技術を用いて、暗号通信されているネットワーク上の通信ログを管理する場合に、各通信装置内に暗号通信の秘密鍵を配備し、配備された秘密鍵を用いて暗号通信を復号し、復号された通信ログを収集および管理することも行われている。
【0007】
【特許文献1】特開2001−237824号公報(第10−11頁、第1図)
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、上記した従来の技術は、各通信装置から秘密鍵が漏洩し、暗号通信による通信の秘匿性を保つことができないために、安全かつ確実に通信ログを採取することができないという課題があった。具体的には、ネットワーク内の各通信装置において秘密鍵を配備する場合に、適切に運用管理されていない通信装置から秘密鍵が漏洩し、暗号通信による通信の秘匿性を保つことができないために、安全かつ確実に通信ログを採取することができなかった。
【0009】
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、各通信装置に秘密鍵を配備することなく、安全かつ確実に通信ログを採取することを目的とする。
【課題を解決するための手段】
【0010】
上述した課題を解決し、目的を達成するため、本発明は、ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置とに接続される通信装置であって、当該通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出するパラメタ抽出手段と、前記パラメタ抽出手段により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知手段と、前記パラメタ通知手段により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得する復号鍵取得手段と、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出手段と、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信手段と、を備えたことを特徴とする。
【0011】
また、本発明は、上記の発明において、前記パケットデータは、当該パケットデータを一意に識別する識別子を含んだものであって、前記パケットデータが通信装置を通過する場合に、当該パケットデータが当該通信装置を通過した通過順序であるシーケンス番号を付与するシーケンス番号付与手段をさらに備え、前記プロファイル情報抽出手段は、当該パケットデータを一意に識別する識別子を含んだプロファイル情報を抽出し、前記ログ送信手段は、前記プロファイル情報抽出手段により抽出された識別子を含んだプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報と、前記シーケンス番号付与手段により付与されたパケットデータが通信装置を通過した通過順序であるシーケンス番号とを、前記通信ログ装置に送信することを特徴とする。
【0012】
また、本発明は、上記の発明において、前記パケットデータを送信先の装置に転送するか否かを示す転送可否ルールを保持する転送可否ルール保持手段と、前記転送可否ルール保持手段により保持されている転送可否ルールに基づいて、転送不可であると判定された場合に当該パケットデータを廃棄し、転送可能であると判定された場合に当該パケットデータを転送する転送可否判定手段とをさらに備え、前記ログ送信手段は、前記転送可否判定手段により転送不可であると判定された場合に、前記パケットデータが廃棄されたことを示す情報を含んだネットワーク情報と前記プロファイル情報とを通信ログとして前記通信ログ装置に送信し、前記転送可否判定手段により転送可能であると判定された場合に、前記パケットデータが転送されたことを示す情報を含んだネットワーク情報と前記プロファイル情報とを通信ログとして前記通信ログ装置に送信することを特徴とする。
【0013】
また、本発明は、上記の発明において、当該通信装置に接続される端末の秘密鍵を保持する秘密鍵保持手段と、前記秘密鍵保持手段により保持された秘密鍵と、前記パラメタ抽出手段により抽出されたパラメタとを用いて、復号鍵を生成する復号鍵生成手段とをさらに備え、前記プロファイル情報抽出手段は、前記復号鍵生成手段により生成された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを、前記通信ログとして前記通信ログ装置に送信することを特徴とする。
【0014】
また、本発明は、上記の発明において、前記パラメタ通知手段は、前記パラメタ抽出手段により抽出されたパラメタを、パケットデータの送信元である装置に通知し、前記復号鍵取得手段は、前記パラメタ通知手段により通知されたパラメタを用いて、前記パケットデータの送信元である装置によって生成された復号鍵を、前記パケットデータの送信元である装置から取得し、前記プロファイル情報抽出手段は、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信することを特徴とする。
【0015】
また、本発明は、上記の発明において、前記パラメタ抽出手段は、当該通信装置の特定のポート番号を通過した暗号化されたパケットデータのみを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、前記パラメタ通知手段は、前記パラメタ抽出手段により抽出されたパラメタを当該通信装置の秘密鍵を保有する鍵管理装置に通知し、前記復号鍵取得手段は、前記パラメタ通知手段により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得し、前記プロファイル情報抽出手段は、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータのヘッダを取り除いて復号して、当該ヘッダに付与されたデータ情報からパケットデータ種別を解析し、解析されたパケットデータのプロファイル情報を抽出し、前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信することを特徴とする。
【0016】
また、本発明は、上記の発明において、前記プロファイル情報抽出手段は、特定のポート番号のデータグラムを終端し、前記復号鍵取得手段により取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出することを特徴とする。
【0017】
また、本発明は、上記の発明において、ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置とに接続される通信装置に適した通信ログ送信方法であって、当該通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出するパラメタ抽出工程と、前記パラメタ抽出工程により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知工程と、前記パラメタ通知工程により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得する復号鍵取得工程と、前記復号鍵取得工程により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出工程と、前記プロファイル情報抽出工程により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信工程と、を含んだことを特徴とする。
【0018】
また、本発明は、上記の発明において、ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置と、前記通信ログ装置に対して通信ログを送信する通信装置とから構成される通信システムであって、前記鍵管理装置は、前記通信装置に接続される端末ごとに、当該端末で使用される秘密鍵を記憶する秘密鍵記憶手段と、前記復号鍵を生成するために必要となるパラメタを前記通信装置から受信した場合に、当該通信装置に接続される端末の秘密鍵を前記秘密鍵記憶手段から取得し、取得した秘密鍵と受信されたパラメタとから、前記通信装置において採取されたパケットデータを復号するのに必要となる復号鍵を生成して、前記通信装置に送信する復号鍵生成送信手段とを備え、前記通信装置は、当該通信装置を通過する暗号化されたパケットデータを採取し、当該パケットデータから前記パラメタを抽出するパラメタ抽出手段と、前記パラメタ抽出手段により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知手段と、前記パラメタ通知手段によりパラメタが鍵管理装置に通知されて、前記鍵管理装置から復号鍵を取得する復号鍵取得手段と、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出手段と、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信手段とを備え、前記通信ログ装置は、前記通信装置から通信ログを受信して所定の記憶部に格納する通信ログ格納手段を、備えたことを特徴とする。
【発明の効果】
【0019】
本発明によれば、通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、抽出されたパラメタを鍵管理装置に通知し、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得し、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信することとしたので、安全かつ確実に暗号通信やネットワーク情報などのログを採取することが可能である。
【発明を実施するための最良の形態】
【0020】
以下に添付図面を参照して、この発明に係る通信装置、通信装置に適した通信ログ送信方法および通信システムの実施例を詳細に説明する。なお、以下では、本発明に係る通信装置、通信装置に適した通信ログ送信方法および通信システムの概要および特徴、通信装置の構成および処理の流れを順に説明し、最後に本実施例による効果を説明する。
【実施例1】
【0021】
[概要および特徴]
まず最初に、図1を用いて、実施例1に係る通信装置を含むシステム全体の概要および特徴を説明する。図1は、実施例1に係る通信装置を含むシステム全体の概要および特徴を示す図である。
【0022】
図1に示すように、この通信装置を含むシステムは、通信装置Aと通信装置Bと鍵管理装置と通信ログ装置とから構成される。また、通信装置Aは、地点Aの端末Xと接続され、通信装置Bは、地点Bの端末Yと接続される。また、端末Xと端末Yとは相互に暗号通信可能に接続される。
【0023】
例えば、地点Aにおける端末Xは、通信装置Aおよび通信装置Bを介して、暗号化された電子ファイルなどのパケットデータを地点Bの端末Yに送信する前に、SSL(Secure Socket Layer)ハンドシェイクを確立して、当該SSLハンドシェイクにより端末Xおよび端末Y間における同一の公開鍵相当を保持する。そして、SSLハンドシェイクが確立されると、端末Xは、通信装置Aおよび通信装置Bを介して、暗号化された電子ファイルなどのパケットデータを地点Bの端末Yに送信する。また、鍵管理装置は、地点Aの端末Xの「秘密鍵#A」と地点Bの端末Yの「秘密鍵#B」とを保持しており、それぞれの端末に対応した復号鍵を生成する。また、通信ログ装置は、端末Xおよび端末Y間においてやり取りされた通信の通信ログを所定の記憶部に格納して統合管理する。なお、本実施例では、端末Xが端末Yに対してデータを送信する場合について説明する。
【0024】
このような構成において、通信装置Aは、ネットワークを介して通信ログ装置と鍵管理装置と相互に通信を行うことを概要とするものであり、特に、各通信装置に秘密鍵を配備することなく、安全かつ確実に暗号通信やネットワーク情報などのログを採取することが可能である点を主たる特徴とする。
【0025】
この主たる特徴について説明すると、通信装置Aは、地点Aの端末Xから地点Bの端末Yに予め暗号化されている電子ファイルなどのパケットデータが送信される場合に、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(図1の(1)参照)。
【0026】
具体的に説明すると、地点Aの端末Xから地点Bの端末Yに対して、予め暗号化されている電子ファイルなどのパケットデータが送信される前に、端末Xおよび端末Y間の通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。そして、通信装置Aは、暗号化されたパケットデータが送信されると、当該暗号化されたパケットデータを採取するとともに、SSLハンドシェイクでやり取りされる平文の「Client Random」パラメタと、「Server Random」パラメタと、端末Xの公開鍵で暗号化された「PreMasterSecret」パラメタとを抽出する。
【0027】
続いて、通信装置Aは、抽出されたパラメタを鍵管理装置に通知する(図1の(2)参照)。上記した例で具体的に説明すると、通信装置Aは、抽出された平文の「Client Random」パラメタと、「Server Random」パラメタと、端末Xの公開鍵で暗号化された「PreMasterSecret」パラメタとを、地点Aの端末Xの「秘密鍵#A」を保有している鍵管理装置に通知する。
【0028】
そして、通信装置Aよりパラメタを通知された鍵管理装置は、通知されたパラメタと「秘密鍵#A」とを用いて復号鍵を生成する(図1の(3)参照)。上記した例で具体的に説明すると、鍵管理装置は、通知された「PreMasterSecret」パラメタを、保持している端末Xの「秘密鍵#A」を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って「復号鍵#AA」を生成する。
【0029】
続いて、通信装置Aは、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得する(図1の(4)参照)。具体的に説明すると、通信装置Aは、SSLやIPSec(Security Architecture for Internet Protocol)などの暗号通信を用いて、鍵管理装置から生成された「復号鍵#AA」を受け取る。なお、当該「復号鍵#AA」は、通信装置Aと鍵管理装置とのセッション中のみ有効な鍵であり、当該セッションが切れると無効な鍵となる。
【0030】
その後、通信装置Aは、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出する(図1の(5)参照)。具体的に説明すると、通信装置Aは、鍵管理装置から受け取った復号鍵を用いて、採取されたパケットデータを復号して解析し、「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出する。
【0031】
そして、通信装置Aは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを、通信ログとして通信ログ装置に送信し、通信ログ装置は、送信された通信ログを所定の記憶部に格納する(図1の(6)と(7)参照)。
【0032】
具体的に説明すると、通信装置Aは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した際に採取された当該「パケットデータの送信元、送信先および通信装置Aを通過した通過時刻」などのネットワーク情報とを、通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Aにより送信されたプロファイル情報およびネットワーク情報を、通信ログとして所定の記憶部に格納する。なお、通信装置Bにおいても通信装置Aと同様の処理が行われ、通信装置Bは、採取されたプロファイル情報とネットワーク情報とを、通信ログとして通信ログ装置に送信する。
【0033】
このように、実施例1に係る通信装置は、ネットワークを介して暗号通信がなされる場合に、暗号化されたパケットデータから抽出されたパラメタから生成された復号鍵を用いて、当該パケットデータを復号して解析し、プロファイル情報とネットワーク情報とを通信ログとして通信ログ装置に送信することができる結果、上記した主たる特徴のごとく、各通信装置に秘密鍵を配備することなく、安全かつ確実に暗号通信やネットワーク情報などのログを採取することが可能である。
【0034】
[通信装置の構成]
次に、図2を用いて、図1に示した通信装置Aの構成を示すブロック図を説明する。図2は、実施例1に係るシステムにおける通信装置Aの構成を示すブロック図である。また、通信装置Aと通信装置Bとは、同様の構成を有するので、ここでは、通信装置Aについて説明する。図1に示すように、通信装置A10は、入力部11、出力部12、I/F部13、記憶部14および制御部15から構成される。なお、以下の実施例1では、通信装置A10を介して、端末Xが端末Yに対してデータを送信する場合を説明することとする。
【0035】
入力部11および出力部12は、外部からパラメタ設定および参照が可能なインタフェースである。例えば、TELNETやSSH(Secure SHell)などのプロトコルを用いてリモートターミナルからCLIを用いてパラメタの設定や設定値などの参照を行う。また、例えば、通信装置Aが簡易的なWebサーバ機能を実装している場合に、Webブラウザを用いてパラメタ設定および参照が可能である。
【0036】
I/F部13は、ネットワークに接続されており、当該ネットワークを介して取得される各種情報に関する通信を制御する。例えば、I/F部13は、通信装置A10を介してやり取りされるパケットデータを送受信したり、採取された通信ログを通信ログ装置に送信したりする。
【0037】
記憶部14は、制御部15による各種処理に必要なデータや、制御部15による各種処理結果を記憶し、特に本発明に密接に関連するものとしては、スヌープデータ記憶部14aおよびログ記憶部14bを備える。
【0038】
スヌープデータ記憶部14aは、後述する制御部15により採取されたパケットデータを記憶する。ログ記憶部14bは、後述する制御部15により採取された通信ログを記憶する。なお、パケットデータおよび通信ログの記憶に関しては、一時的に記憶しておいて定期的に削除するようにしてもよい。
【0039】
制御部15は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、スヌープ処理部15a、パラメタ抽出部15b、パラメタ通知部15c、復号鍵取得部15d、データ復号部15e、プロファイル情報抽出部15fおよびログ送信部15gを備え、これらによって種々の処理を実行する。
【0040】
スヌープ処理部15aは、通信装置を通過する暗号化されたパケットデータを採取する。具体的に例を挙げると、通信装置Aと通信装置Bとの間で電子ファイルなどのパケットデータがやり取りされる前に、通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。そして、スヌープ処理部15aは、通信装置A10を介して予め暗号化された電子ファイルなどのパケットデータがやり取りされると、I/F部13に入力された当該パケットデータを採取し、採取されたパケットデータをスヌープデータ記憶部14aに格納する。
【0041】
パラメタ抽出部15bは、スヌープ処理部15aにより採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する。具体的に例を挙げると、パラメタ抽出部15bは、スヌープ処理部15aにより採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となる、SSLハンドシェイクにおいてやり取りされる平文の「Client Random」パラメタと、「Server Random」パラメタと、暗号化された「PreMasterSecret」パラメタとを抽出する。そして、パラメタ抽出部15bは、後述するパラメタ通知部15cに抽出したパラメタを通知する。なお、スヌープ処理部15aおよびパラメタ抽出部15bは、特許請求の範囲に記載の「パラメタ抽出手段」に対応する。
【0042】
パラメタ通知部15cは、パラメタ抽出部15bにより抽出されたパラメタを鍵管理装置に通知する。具体的に例を挙げると、パラメタ通知部15cは、パラメタ抽出部15bにより抽出されたパラメタである平文の「Client Random」パラメタと、「Server Random」パラメタと、暗号化された「PreMasterSecret」パラメタとが通知されると、これらの通知されたパラメタを、暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成する鍵管理装置に通知する。なお、鍵管理装置は、通知されたパラメタと、予め保持している「秘密鍵#A」とを用いて「復号鍵#AA」を生成して通信装置Aに送信する。なお、パラメタ通知部15cは、特許請求の範囲に記載の「パラメタ通知手段」に対応する。
【0043】
復号鍵取得部15dは、パラメタ通知部15cにより通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得する。具体的に例を挙げると、復号鍵取得部15dは、鍵管理装置により生成された「復号鍵#AA」を取得して、取得された「復号鍵#AA」を後述するデータ復号部15eに送信する。なお、復号鍵取得部15dは、特許請求の範囲に記載の「復号鍵取得手段」に対応する。
【0044】
データ復号部15eは、復号鍵取得部15dにより取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号する。具体的に例を挙げると、データ復号部15eは、復号鍵取得部15dから「復号鍵#AA」が送信されると、送信された「復号鍵#AA」を用いて、スヌープデータ記憶部14aに記憶されている暗号化されたパケットデータを復号する。そして、データ復号部15eは、暗号化されたパケットデータを復号すると、後述するプロファイル情報抽出部15fに対して、暗号化されたパケットデータを復号したことを通知する。
【0045】
プロファイル情報抽出部15fは、データ復号部15eにより復号されたパケットデータを解析し、解析されたパケットデータのプロファイル情報を抽出する。具体的に例を挙げると、プロファイル情報抽出部15fは、データ復号部15eにより暗号化されたパケットデータの復号が行われた旨が通知された場合に、データ復号部15eにより復号されたパケットデータを解析し、解析された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出し、抽出されたプロファイル情報を通信ログとしてログ記憶部14bに格納する。なお、データ復号部15eおよびプロファイル情報抽出部15fは、特許請求の範囲に記載の「プロファイル情報抽出手段」に対応する。
【0046】
ログ送信部15gは、プロファイル情報抽出部15fにより抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。具体的に例を挙げると、ログ送信部15gは、プロファイル情報抽出部15fによってログ記憶部14bに格納された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置A10を通過した際に取得された「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。なお、ログ送信部15gは、特許請求の範囲に記載の「ログ送信手段」に対応する。
【0047】
例えば、通信装置A10は、通信装置BにHTTPプロトコルにより電子ファイルを送信する場合には、図3に示すようなデータフォーマットで送信する。図3によると、プロファイル情報は、HTTPプロトコルのHTTPヘッダ領域に格納されている。また、例えば、通信装置A10は、通信装置BにHTTP/FTPプロトコルにより電子ファイルを送信する場合には、図4に示すようなデータフォーマットで送信する。図4によると、プロファイル情報は、電子ファイルデータと一体化されている。また、例えば、通信装置A10は、通信ログ装置に通信ログを送信する場合には、図5に示すようなデータフォーマットで送信する。このように、通信装置Aは、HTTPやFTPなど通信方法が異なる場合においても、必要なデータを送信することができる。なお、図3は、実施例1に係るサーバからクライアント端末に送信されるコンテンツのHTTPプロトコルによるデータフォーマットの一例を示す図であり、図4は、実施例1に係るサーバからクライアント端末に送信されるコンテンツのHTTP/FTPプロトコルによるデータフォーマットの一例を示す図であり、図5は、実施例1に係る通信装置から通信ログ装置に送信される通信ログのデータフォーマットの一例を示す図である。
【0048】
また、通信ログ装置は、図6に示すようなプロファイル情報とネットワーク情報とを受信すると、受信されたプロファイル情報とネットワーク情報とを、通信装置A10をパケットデータが通過した通過時刻順にログ管理テーブルなどの所定の記憶部に格納する。なお、図6は、実施例1に係る通信装置を含むシステムにおける通信ログ装置のログ管理テーブルの一例を示す図である。
【0049】
[通信装置による通信ログ送信処理]
次に、図7を用いて、図2に示した通信装置A10による通信ログ送信処理を示すフローチャートを説明する。図7は、実施例1に係るシステムにおける通信装置A10による通信ログ送信処理を示すフローチャートである。
【0050】
図7に示すように、通信装置A10を介して予め暗号化された電子ファイルなどのパケットデータがやり取りされる場合に、通信装置A10を通過する新たなSSLハンドシェイクが確立されると(ステップS701肯定)、通信装置A10は、通過する暗号化されたパケットデータを採取する(ステップS702)。
【0051】
具体的には、地点Aの端末Xから地点Bの端末Yに対して、予め暗号化されている電子ファイルなどのパケットデータがやり取りされる前に、端末Xおよび端末Y間の通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。そして、通信装置A10のスヌープ処理部15aは、当該通信装置A10を通過する暗号化された電子ファイルなどのパケットデータを採取し、採取された暗号化されたパケットデータをスヌープデータ記憶部14aに格納する。
【0052】
続いて、通信装置A10のパラメタ抽出部15bは、スヌープ処理部15aにより採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(ステップS703)。
【0053】
具体的には、通信装置A10のパラメタ抽出部15bは、スヌープ処理部15aにより採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となる、SSLハンドシェイクにおいてやり取りされる平文の「Client Random」パラメタと、「Server Random」パラメタと、暗号化された「PreMasterSecret」パラメタとを抽出する。そして、通信装置A10のパラメタ抽出部15bは、パラメタ通知部15cに対して、抽出したパラメタを通知する。
【0054】
その後、通信装置A10のパラメタ通知部15cは、パラメタ抽出部15bにより抽出されたパラメタを鍵管理装置に通知する(ステップS704)。具体的には、通信装置A10のパラメタ通知部15cは、パラメタ抽出部15bによりパラメタが通知されると、平文の「Client Random」パラメタと、「Server Random」パラメタと、暗号化された「PreMasterSecret」パラメタとを鍵管理装置に通知する。なお、鍵管理装置は、パラメタ通知部15cにより通知されたパラメタと、予め保持している秘密鍵とを用いて、採取されたパケットデータを復号する場合に用いられる「復号鍵#AA」を生成して、復号鍵取得部15dに対して生成された「復号鍵#AA」を送信する。
【0055】
そして、通信装置A10の復号鍵取得部15dは、パラメタ通知部15cにより通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得する(ステップS705肯定)。具体的には、通信装置A10の復号鍵取得部15dは、パラメタ通知部15cにより通知されたパラメタと秘密鍵とを用いて鍵管理装置により生成された「復号鍵#AA」を鍵管理装置から取得し、取得された「復号鍵#AA」をデータ復号部15eに送信する。
【0056】
続いて、通信装置A10のデータ復号部15eは、復号鍵取得部15dにより取得された復号鍵を用いて、採取されたパケットデータを復号する(ステップS706)。具体的には、通信装置A10のデータ復号部15eは、復号鍵取得部15dにより取得された復号鍵を用いて、スヌープデータ記憶部14aに記憶されている暗号化されたパケットデータを復号する。そして、通信装置A10のデータ復号部15eは、プロファイル情報抽出部15fに対して暗号化されたパケットデータを復号したことを通知する。
【0057】
そして、通信装置A10のプロファイル情報抽出部15fは、復号されたパケットデータを解析し、解析されたパケットデータのプロファイル情報を抽出し(ステップS707)、抽出されたプロファイル情報をログ記憶部14bに格納する(ステップS708)。
【0058】
具体的には、通信装置A10のプロファイル情報抽出部15fは、データ復号部15eにより復号されたパケットデータを解析し、解析された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出し、抽出されたプロファイル情報を通信ログとしてログ記憶部14bに格納する。
【0059】
さらに、通信装置A10のログ送信部15gは、ログ記憶部14bに記憶されているプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する(ステップS709)。
【0060】
具体的には、通信装置A10のログ送信部15gは、ログ記憶部14bに記憶されている「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置A10を通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。なお、通信ログ装置は、通信装置A10のログ送信部15gにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納する。
【0061】
[通信装置を含むシステム間における通信ログ送信処理シーケンス]
次に、図8を用いて、図1に示した端末X、通信装置A、通信装置B、端末Y、鍵管理装置および通信ログ装置間における通信ログ送信処理を示す制御シーケンスを説明する。図8は、実施例1に係る通信装置を含むシステム全体における通信ログ送信処理の制御シーケンスを示す図である。
【0062】
図8に示すように、端末Xから端末Yに対して、予め暗号化されている電子ファイルなどのパケットデータが送信される前に、端末Xおよび端末Y間の通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。
【0063】
具体的に例を挙げて説明すると、このSSLハンドシェイクにより端末Yから端末Xに対して、端末YのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末XがSSLを利用して端末Yと通信するために必要な制御情報とともに、平文の「Client Random」パラメタが送信される(図8の(1)参照)。そして、端末Xから端末Yに対して、端末XのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末YがSSLを利用して端末Xと通信するために必要な制御情報とともに、平文の「Server Random」パラメタが送信される(図8の(2)参照)。さらに、端末Yは、SSLハンドシェイクにおいて生成された全てのデータを用いて、セッションの「PreMasterSecret」を作成し、端末Xから送信された情報から取得した端末Xの公開鍵で暗号化して、暗号化された「PreMasterSecret」を端末Xに送信する(図8の(3)参照)。
【0064】
続いて、通信装置Aおよび通信装置Bは、SSLハンドシェイクの確立を認識すると、端末Xから端末Yに対して予め暗号化されている電子ファイルなどのパケットデータが送信されると、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(ステップS801とステップS802)。
【0065】
具体的には、通信装置Aおよび通信装置Bは、端末Xおよび端末Y間においてSSLハンドシェイクの確立を認識すると、当該通信装置Aおよび通信装置Bを通過する暗号化されたパケットデータを採取して、採取されたパケットデータを所定の記憶部に格納する。そして、通信装置Aおよび通信装置Bは、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となる「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを抽出する。
【0066】
その後、通信装置Aは、抽出されたパラメタを鍵管理装置に通知する(ステップS803)。具体的には、通信装置Aは、抽出された「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを鍵管理装置に通知する。
【0067】
そして、鍵管理装置は、通知されたパラメタと、予め保持している秘密鍵とを用いて復号鍵を生成して通信装置Aに送信する(ステップS804)。具体的には、鍵管理装置は、通信装置Aにより通知された「PreMasterSecret」パラメタを、予め保持している端末Xのサーバ秘密鍵を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って復号鍵を生成し、生成された復号鍵を通信装置Aに対して送信する。
【0068】
続いて、通信装置Aは、取得された復号鍵を用いて、採取されたパケットデータを復号し(ステップS805)、復号して解析されたパケットデータのプロファイル情報を抽出する(ステップS806)。
【0069】
具体的には、通信装置Aは、取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号して解析し、解析された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出し、抽出されたプロファイル情報を通信ログとして所定の記憶部に格納する。
【0070】
ここで、通信装置Bおよび鍵管理装置においても上述した通信装置Aおよび鍵管理装置と同様の処理が行われることとなる(ステップS807〜ステップS810)。
【0071】
そして、通信装置Aは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する(ステップS811)。
【0072】
具体的には、通信装置Aは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。
【0073】
さらに、通信ログ装置は、通信装置Aにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納する(ステップS812)。具体的には、通信ログ装置は、通信装置Aにより送信された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして、通過時刻順に所定の記憶部に格納する。
【0074】
ここで、通信装置Bおよび通信ログ装置においても上述した通信装置Aおよび通信ログ装置と同様の処理が行われることとなる(ステップS813〜ステップS814)。
【0075】
[実施例1の効果]
このようにして、実施例1によれば、通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、抽出されたパラメタを鍵管理装置に通知し、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得し、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信するので、安全かつ確実に暗号通信やネットワーク情報などのログを採取することが可能である。
【0076】
例えば、通信装置Aと通信装置Bとがネットワークを介して接続され、通信装置Aに接続される端末から暗号化されたパケットデータが送信される場合に、通信装置Aは、暗号化されたパケットデータからパラメタを抽出して鍵管理装置に通知する。続いて、鍵管理装置は、通信装置Aにより通知されたパラメタから復号鍵を生成して通信装置Aに送信する。そして、通信装置Aは、鍵管理装置により送信された復号鍵を用いて、暗号化されたパケットデータを復号および解析してプロファイル情報を抽出し、抽出されたプロファイル情報と、ネットワークに関するネットワーク情報とを通信ログ装置に送信する。
【実施例2】
【0077】
ところで、実施例1では、ネットワークを介した暗号通信の通信ログを通信ログ装置に送信する場合に、「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を送信する場合を説明したが、本発明はこれに限定されるものではなく、「パケットデータの名前、重要度、種別および利用者情報」と、さらに、当該「パケットデータの識別子」と「シーケンス番号」とを送信することもできる。
【0078】
そこで、以下の実施例2では、「パケットデータを一意に識別する識別子」を含んだプロファイル情報と、パケットデータが通信装置を通過した通過順序である「シーケンス番号」とを通信ログとして通信ログ装置に送信する場合について説明する。図9は、実施例2に係る通信装置を含むシステムの全体構成を示す図である。
【0079】
[通信装置による識別子およびシーケンス番号付与処理]
図9に示すように、この通信装置を含むシステムは、実施例1と同様、通信装置Aと通信装置Bと鍵管理装置と通信ログ装置とから構成される。また、通信装置Aは、地点Aの端末Xと接続され、通信装置Bは、地点Bの端末Yと接続される。また、端末Xと端末Yとは相互に暗号通信可能に接続される。
【0080】
ここで、実施例1と異なる点は、地点Aの端末Xから地点Bの端末Yに対して送信する電子ファイルなどのパケットデータに、当該「パケットデータを一意に識別する識別子」が予め付与されている点と、地点Aの端末Xから地点Bの端末Yに対してパケットデータが送信される場合に、通過する通信装置Aおよび通信装置Bにおいて、パケットデータが通信装置を通過した通過順序を示す「シーケンス番号」を付与する点である。
【0081】
ここで、識別子が付与されているパケットデータを受信し、シーケンス番号を付与する処理の流れについて具体的に説明する。このシステムは、実施例1と同様、通信装置Aは、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、抽出されたパラメタを鍵管理装置に通知し、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を鍵管理装置から取得する(図9の(1)〜(4)参照)。
【0082】
その後、通信装置Aは、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析された「パケットデータを一意に識別する識別子」を含んだプロファイル情報を抽出するとともに、「シーケンス番号」を付与する(図9の(5)参照)。具体的に説明すると、通信装置Aは、鍵管理装置から受け取った復号鍵を用いて、採取されたパケットデータを復号して解析し、「パケットデータの名前、重要度、種別、利用者情報および当該パケットデータを一意に識別する識別子」(例えば、識別子ID:「0000ABC」)などを含んだプロファイル情報を抽出するとともに、「シーケンス番号」を付与する(例えば、シーケンス番号SN:「0」)。なお、本実施例では、端末Xにおいて「識別子」が付与されたパケットデータを通信装置Aにおいて受信した場合について説明したが、通信装置Aにおいて受信された際に「識別子」が付与されていない場合は、通信装置Aは、「識別子」および「シーケンス番号」を付与することとなる。
【0083】
そして、通信装置Aは、抽出された「識別子」を含んだプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報と、付与された「シーケンス番号」とを通信ログとして通信ログ装置に送信し、通信ログ装置は、送信された通信ログを所定の記憶部に格納する(図9の(6)と(7)参照)。
【0084】
具体的に説明すると、通信装置Aは、抽出された識別子を含んだプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した「通過時刻」などのネットワーク情報と、付与された「シーケンス番号」とを通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Aにより送信されたプロファイル情報、ネットワーク情報およびシーケンス番号を、通信ログとして所定の記憶部に格納する。一方、通信装置Bにおいても通信装置Aと同様の処理が行われ、通信装置Bは、通信装置Aにおいて付与された「シーケンス番号」のインクリメントを行い、採取されたプロファイル情報と、ネットワーク情報と、インクリメントされた「シーケンス番号」とを通信ログとして通信ログ装置に送信する。
【0085】
例えば、通信装置Aは、通信装置BにHTTPプロトコルによる電子ファイルを送信する場合には、図10に示すようなデータフォーマットで送信する。図10によると、プロファイル情報は、HTTPプロトコルのHTTPヘッダ領域に格納されている。また、例えば、通信装置Aは、通信装置BにHTTP/FTPプロトコルにより電子ファイルを送信する場合には、図11に示すようなデータフォーマットで送信する。図11によると、プロファイル情報は、電子ファイルデータと一体化されている。また、例えば、通信装置Aは、通信ログ装置に通信ログを送信する場合には、図12に示すようなデータフォーマットで送信する。図12によると、通信ログのデータフォーマットには、識別子「ID:0000ABC」やシーケンス番号「SN:0」などが含まれる。このように、通信装置Aは、HTTPやFTPなど通信方法が異なる場合においても、必要なデータを送信することができる。なお、図10は、実施例2に係るサーバからクライアント端末に送信されるコンテンツのHTTPプロトコルによるデータフォーマットの一例を示す図であり、図11は、実施例2に係るサーバからクライアント端末に送信されるコンテンツのHTTP/FTPプロトコルによるデータフォーマットの一例を示す図であり、図12は、実施例2に係る通信装置から通信ログ装置に送信される通信ログのデータフォーマットの一例を示す図である。
【0086】
また、通信ログ装置は、図13に示すようなプロファイル情報とネットワーク情報と「シーケンス番号」とを受信すると、受信されたプロファイル情報とネットワーク情報と「シーケンス番号」とを、当該プロファイル情報に含まれる「パケットデータを一意に識別する識別子」ごとにまとめて、「シーケンス番号」順にログ管理テーブルなどの所定の記憶部に格納する。なお、図13は、実施例2に係る通信装置を含むシステムにおける通信ログ装置のログ管理テーブルの一例を示す図である。
【0087】
[実施例2の効果]
実施例2に係る通信装置は、パケットデータが通信装置を通過する場合に、当該パケットデータが当該通信装置を通過した通過順序であるシーケンス番号を付与し、当該パケットデータを一意に識別する識別子を含んだプロファイル情報を抽出し、抽出された識別子を含んだプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報と、付与されたパケットデータが通信装置を通過した通過順序であるシーケンス番号とを、通信ログ装置に送信する。この結果、通信ログ装置は、通信ログを「時刻情報」ごとに管理していたが、「パケットデータを一意に識別する識別子」を用いることによって、同じ識別子を有する通信ログが複数ある場合に、複数の通信ログを対応付けてひとまとまりの通信ログとして管理することが可能である。さらに、各通信装置の時刻が正確でない場合でも、「シーケンス番号」を用いることによって、通信ログの時系列を判断することが可能である。また、パケットデータを送信する送信元の端末において、当該「パケットデータを一意に識別する識別子」を付与するなどの機能を不要にすることが可能である。
【0088】
また、通信装置は、暗号化されたパケットデータから抽出されたパラメタから生成された復号鍵を用いて、当該パケットデータを復号して解析し、パケットデータを一意に識別する識別子を含んだ「プロファイル情報」と、「ネットワーク情報」と、「シーケンス番号」とを通信ログとして通信ログ装置に送信する。
【実施例3】
【0089】
ところで、上記実施例1および2では、各端末間においてパケットデータが送信される場合に、各通信装置に入力されたパケットデータが全て送信先の端末に送信される場合を説明したが、本発明はこれに限定されるものではなく、ネットワークを介して暗号化されたパケットデータが通信装置に入力される場合に、入力されたパケットデータを転送可否ルールに基づいて転送可否判定を行うこともできる。
【0090】
そこで、以下の実施例3では、パケットデータの転送可否ルールに基づいて転送可否判定を行う場合について説明する。図14は、実施例3に係る通信装置を含むシステムの全体構成を示す図である。
【0091】
[実施例3に係るシステムの全体構成]
図14に示すように、この通信装置を含むシステムは、実施例1および2と同様、通信装置Aと通信装置Bと鍵管理装置と通信ログ装置とから構成される。また、通信装置Aは、地点Aの端末Xと接続され、通信装置Bは、地点Bの端末Yと接続される。また、端末Xと端末Yとは相互に通信可能に接続される。
【0092】
ここで、実施例1および2と異なる点は、通信装置Aは、パケットデータの種別が「karte」および重要度「2」以下であれば、パケットデータ転送を許可するなどの転送可否ルールを保持している点である。なお、通信装置Aは、入力されたパケットデータの転送可否を判定するため、一旦、通信の終端処理を行う。
【0093】
このような構成において、実施例1と同様、通信装置Aは、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、抽出されたパラメタを鍵管理装置に通知し、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を鍵管理装置から取得する(図14の(1)〜(4)参照)。
【0094】
その後、通信装置Aは、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出して、抽出されたプロファイル情報と保持されている通過ルールとに基づいて、転送不可であると判定された場合に当該パケットデータを廃棄し、転送可能であると判定された場合に当該パケットデータを転送する(図14の(5)参照)。
【0095】
具体的に説明すると、通信装置Aは、鍵管理装置から受け取った「復号鍵#AA」を用いて、採取されたパケットデータを復号して解析し、「パケットデータの名前、重要度、種別および利用者情報」などを含んだプロファイル情報を抽出する。そして、通信装置Aは、抽出されたプロファイル情報の「重要度および種別」と保持されている通過ルールとに基づいて、転送不可であると判定された場合にパケットデータを廃棄し、転送可能であると判定された場合にパケットデータを転送する。
【0096】
例えば、通信装置Aは、種別が「karte」および重要度が「4」のパケットデータを採取した場合に、当該パケットデータの転送可否を転送不可と判定してパケットデータを廃棄する。また、通信装置Aは、種別が「karte」および重要度「2」のパケットデータを採取した場合に、当該パケットデータの転送可否を転送可能と判定してパケットデータを転送する。
【0097】
そして、通信装置Aは、抽出されたプロファイル情報と、転送不可であると判定された場合にパケットデータが廃棄されたことを示す情報を含んだネットワーク情報と、または、転送可能であると判定された場合にパケットデータが転送されたことを示す情報を含んだネットワーク情報とを、通信ログとして通信ログ装置に送信し、通信ログ装置は、送信された通信ログを所定の記憶部に格納する(図14の(6)と(7)参照)。
【0098】
上記した例で具体的に説明すると、通信装置Aは、パケットデータの転送可否を転送不可と判定した場合に、当該パケットデータを廃棄し、プロファイル情報およびパケットデータが廃棄されたことを示す情報「state:scrap」を含んだネットワーク情報を通信ログ装置に送信する。また、通信装置Aは、パケットデータの転送可否を転送可能と判定した場合に、当該パケットデータを転送し、プロファイル情報およびパケットデータが転送されたことを示す情報「state:pass」を含んだネットワーク情報を通信ログ装置に送信する。そして、通信ログ装置は、通信装置Aにより送信されたプロファイル情報およびネットワーク情報を、通信ログとして所定の記憶部に格納する。なお、地点Bの端末Yから地点Aの端末Xにパケットデータが送信される場合も、通信装置Bにおいて通信装置Aと同様の処理が行われる。
【0099】
[通信装置による転送可否判定処理における終端処理]
ここで、実施例3では、パケット転送の可否を判定するために、入力されたパケットデータを一度受信している。そのため、端末間では、パケット転送の終端処理が実施される。そこで、図15を用いて、転送可否判定処理における終端処理について説明する。図15は、実施例3に係る通信装置を含むシステムにおける転送可否判定処理における終端処理の制御シーケンスを示す図である。
【0100】
図15に示すように、通信装置Aおよび通信装置Bは、特定のポート番号の通信を発見すると、通信装置Aまたは通信装置Bが端末Xに代わってTCP通信の終端処理を行う。例えば、地点Aの端末Xは、端末Yに対して電子ファイルなどのパケットデータを送信すると、通信装置AがTCP通信を終端し、その応答である「TCP−ACK」を端末Xに対して送信する。そして、通信装置Aは、パケットデータの解析、復号およびログ記憶などが完了すると、当該パケットデータを受信したときの送信元である端末XのIP/Port番号とともに送信することによって、送信先である端末Yからは各通信装置が透過になるため、端末Xおよび端末Y間における通信断の影響を回避することが可能である。なお、各通信装置において通信の応答処理を行わずに通信装置において端末間の通信プロトコルを終端すると、送信先の端末において通信が切断されることになってしまう。
【0101】
また、通信装置においてプロトコルを終端し、パケットデータを再構築すると、当該パケットデータのデータ容量により通信装置が備えるバッファメモリが不足することが考えられる。この問題を解消するために、通信装置は、パケットデータ全ての受信が完了されていなくても、転送可否の判定がなされた時点で、当該パケットデータの転送を開始する。この結果、大容量のパケットデータが送信される場合に、通信装置が備えるバッファメモリが不足してバッファ溢れを回避することが可能である。また、通信装置は、当該通信装置が備えるバッファメモリが溢れそうになった場合に、端末などに応答するTCPウィンドウサイズを小さくする。この結果、通信装置は、送信元の端末から送信されるパケットデータ容量を制御して、当該通信装置のバッファ溢れを事前に回避することが可能である。
【0102】
[通信装置による転送可否判定処理の流れ]
次に、図16を用いて、図14に示した通信装置による転送可否判定処理を示すフローチャートを説明する。図16は、実施例3に係るシステムにおける通信装置による転送可否判定処理を示すフローチャートである。なお、図16に示すステップS1601〜ステップS1607については、図7のステップS701〜ステップS707と同様の処理となるので、具体的な説明を割愛する。
【0103】
図16に示すように、通信装置を介して予め暗号化された電子ファイルなどのパケットデータがやり取りされる場合に、通信装置は、当該通信装置を通過する新たなSSLハンドシェイクの確立を認識したならば(ステップS1601肯定)、通過する暗号化されたパケットデータを採取する(ステップS1602)。
【0104】
続いて、通信装置は、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(ステップS1603)。その後、通信装置は、抽出されたパラメタを鍵管理装置に通知する(ステップS1604)。
【0105】
そして、通信装置は、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得する(ステップS1605肯定)。続いて、通信装置は、取得された復号鍵を用いて、採取されたパケットデータを復号する(ステップS1606)。そして、通信装置は、復号されたパケットデータを解析し、解析されたパケットデータのプロファイル情報を抽出する(ステップS1607)。
【0106】
その後、通信装置は、抽出されたプロファイル情報の有無により、当該パケットデータが転送可否の制御対象であるか否かを判定し(ステップS1608)、パケットデータが転送可否の制御対象である場合に(ステップS1608肯定)、転送可否ルールがあるか否かの判定を行う(ステップS1609)。
【0107】
具体的には、通信装置は、抽出されたプロファイル情報がある場合に、転送可否ルールがあるか否かの判定を行う。ここで、通信装置は、ステップS1608において、パケットデータが転送可否の制御対象でない場合に(ステップS1608否定)、当該パケットデータを送信先の端末に転送することとなる(ステップS1629)。なお、図16のステップS1630およびステップS1631は、図7に示したステップS708およびステップS709と同様の処理となるので説明を割愛する。
【0108】
続いて、通信装置は、転送可否ルールがある場合に(ステップS1609肯定)、転送可否ルールの有効期限が切れているか否かの判定を行い(ステップS1610)、転送可否ルールの有効期限が切れていないと判定された場合に(ステップS1610否定)、転送可否ルールと一致するか否かの判定を行う(ステップS1611)。
【0109】
具体的には、通信装置は、所定の記憶部に記憶されている転送可否ルールがある場合に、当該転送可否ルールの有効期限が切れているか否かの判定を行い、転送可否ルールの有効期限が有効であると判定された場合に、抽出されたプロファイル情報に含まれる「重要度」や「種別」などを用いて、転送可否ルールと一致するか否かの判定を行う。
【0110】
そして、通信装置は、抽出されたプロファイル情報を用いて転送可否ルールと一致した場合に(ステップS1611肯定)、パケットデータを廃棄するか否かの判定を行い(ステップS1612)、パケットデータを廃棄すると判定された場合に(ステップS1612肯定)、当該パケットデータを廃棄する(ステップS1613)。また、通信装置は、ステップS1612において、パケットデータを廃棄しないと判定された場合に(ステップS1612否定)、当該パケットデータを転送する(ステップS1616)。
【0111】
具体的には、通信装置は、抽出されたプロファイル情報に含まれる「重要度」や「種別」が転送可否ルールの条件と一致した場合に、パケットデータを廃棄するか否かの判定を行い、パケットデータを廃棄すると判定された場合に、当該パケットデータの廃棄を行う。また、通信装置は、パケットデータを廃棄しないと判定された場合に、当該パケットデータを送信先の端末に転送することとなる。ここで、図16のステップS1614〜ステップS1615およびステップS1617〜ステップS1618は、図7に示したステップS708およびステップS709と同様の処理となるので説明を割愛する。
【0112】
一方、通信装置は、転送可否ルールが有効期限切れである場合(ステップS1610肯定)、または、転送可否ルールと一致しなかった場合(ステップS1611否定)に、所定の記憶部に記憶されている次の転送可否ルールがあるか否かの判定を行う(ステップS1619)。
【0113】
具体的には、通信装置は、ステップS1610において、転送可否ルールの有効期限が切れている場合、または、ステップS1611において、抽出されたプロファイル情報に含まれる「重要度」や「種別」が転送可否ルールの条件と一致しなかった場合に、所定の記憶部に記憶されている他の転送可否ルールがあるか否かの判定を行う。
【0114】
そして、通信装置は、次の転送可否ルールがあると判定された場合に(ステップS1619肯定)、転送可否ルールの有効期限が切れているか否かの判定を行い(ステップS1620)、転送可否ルールの有効期限が切れていないと判定された場合に(ステップS1620否定)、転送可否ルールと一致するか否かの判定を行う(ステップS1621)。
【0115】
具体的には、通信装置は、所定の記憶部に記憶されている他の転送ルールがあると判定された場合に、転送可否ルールの有効期限が切れているか否かの判定を行い、転送可否ルールの有効期限が切れていないと判定された場合に、抽出されたプロファイル情報に含まれる「重要度」や「種別」が転送可否ルールの条件と一致するか否かの判定を行う。
【0116】
続いて、通信装置は、転送可否ルールと一致すると判定された場合に(ステップS1621肯定)、パケットデータを廃棄するか否かの判定を行い(ステップS1622)、パケットデータを廃棄すると判定された場合に(ステップS1622肯定)、当該パケットデータを廃棄する(ステップS1623)。また、通信装置は、ステップS1622において、パケットデータを廃棄しないと判定された場合に(ステップS1622否定)、当該パケットデータを転送する(ステップS1626)。
【0117】
具体的には、通信装置は、抽出されたプロファイル情報に含まれる「重要度」や「種別」が転送可否ルールの条件と一致した場合に、パケットデータを廃棄するか否かの判定を行い、パケットデータを廃棄すると判定された場合に、当該パケットデータの廃棄を行う。また、通信装置は、パケットデータを廃棄しないと判定された場合に、当該パケットデータを送信先の端末に転送することとなる。ここで、図16のステップS1624〜ステップS1625およびステップS1627〜ステップS1628は、図7に示したステップS708およびステップS709と同様の処理となるので説明を割愛する。なお、通信装置は、ステップS1620において、転送可否ルールの有効期限が切れている場合(ステップS1620肯定)、または、ステップS1621において、抽出されたプロファイル情報に含まれる「重要度」や「種別」が転送可否ルールの条件と一致しなかった場合(ステップS1621否定)に、ステップS1619からの処理を繰り返すこととなる。そして、通信装置は、ステップS1619において、次の転送可否ルールがない場合に(ステップS1619否定)、当該パケットデータを廃棄することとなる(ステップS1623)。
【0118】
[実施例3の効果]
このようにして、実施例3によれば、通信装置は、パケットデータを送信先の装置に転送するか否かを示す転送可否ルールを保持し、保持されている転送可否ルールに基づいて、転送不可であると判定された場合に当該パケットデータを廃棄し、転送可能であると判定された場合に当該パケットデータを転送し、転送不可であると判定された場合に、パケットデータが廃棄されたことを示す情報を含んだネットワーク情報とプロファイル情報とを通信ログとして通信ログ装置に送信し、転送可能であると判定された場合に、パケットデータが転送されたことを示す情報を含んだネットワーク情報とプロファイル情報とを通信ログとして通信ログ装置に送信することとしたので、通信装置において、パケットデータの転送制限を行うことが可能である。
【0119】
例えば、通信装置Aは、通信装置Aが含まれる地点Aから通信装置Bが含まれる地点Bにパケットデータの転送が行われる場合に、パケットデータの種別が「karte」および重要度「2」以下のパケットデータ転送を許可するという転送可否ルールを保持していることとする。この転送可否ルールに基づいて、通信装置Aは、重要度が「4」および種別が「karte」のパケットデータを採取した場合に、当該パケットデータの転送可否を転送不可と判定してパケットデータを廃棄し、プロファイル情報およびパケットデータが廃棄されたことを示す情報を含んだネットワーク情報を通信ログ装置に送信する。また、通信装置Aは、重要度が「2」および種別が「karte」のパケットデータを採取した場合に、当該パケットデータの転送可否を転送可能と判定してパケットデータを転送し、プロファイル情報およびパケットデータが転送されたことを示す情報を含んだネットワーク情報を通信ログ装置に送信することが可能である。
【実施例4】
【0120】
ところで、上記実施例1〜3では、通信装置は、鍵管理装置にパラメタを通知し、鍵管理装置により生成された復号鍵を取得する場合を説明したが、本発明はこれに限定されるものではなく、通信装置は、鍵管理装置にパラメタを通知することなく、自装置において復号鍵を生成することもできる。
【0121】
そこで、以下の実施例4では、ネットワークを介した暗号通信の復号に用いる復号鍵を通信装置において生成する場合について説明する。図17は、実施例4に係る通信装置を含むシステムの全体構成を示す図である。
【0122】
図17に示すように、この通信装置を含むシステムは、通信装置Aと通信装置Bと通信ログ装置とから構成される。また、通信装置Aは、地点Aの端末Xと接続され、通信装置Bは、地点Bの端末Yと接続される。また、端末Xと端末Yとは相互に暗号通信可能に接続される。
【0123】
ここで、実施例1〜3と異なる点は、通信装置Aは、当該通信装置に接続される端末の秘密鍵を保持している点である。なお、実施例4では、通信装置Bが復号鍵を取得する場合について説明する。
【0124】
[通信装置において復号鍵を生成]
また、暗号化されたパケットデータを復号する場合に用いられる復号鍵の生成が、鍵管理装置ではなく、通信装置によって行われる。このような構成において、実施例1と同様、通信装置Bは、地点Aの端末Xから地点Bの端末Yに予め暗号化されている電子ファイルなどのパケットデータが送信される場合に、当該通信装置Bを通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(図17の(1)参照)。
【0125】
続いて、通信装置Bは、抽出されたパラメタを通信装置Aに通知する(図17の(2)参照)。上記した例で具体的に説明すると、通信装置Bは、抽出された平文の「Client Random」パラメタと、「Server Random」パラメタと、端末Xの公開鍵で暗号化された「PreMasterSecret」パラメタとを、地点Aの端末Xの「秘密鍵#A」を保有している通信装置Aに通知する。
【0126】
そして、通信装置Bよりパラメタを通知された通信装置Aは、通知されたパラメタと「秘密鍵#A」とを用いて復号鍵を生成する(図17の(3)参照)。上記した例で具体的に説明すると、通信装置Aは、通知された「PreMasterSecret」パラメタを、保持している端末Xの「秘密鍵#A」を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って復号鍵を生成する。
【0127】
続いて、通信装置Bは、通知されたパラメタを用いて、通信装置Aによって生成された復号鍵を、通信装置Aから取得する(図17の(4)参照)。具体的に説明すると、通信装置Bは、SSLやIPSecなどの暗号通信を用いて、通信装置Aから生成された「復号鍵#AA」を受け取る。なお、当該「復号鍵#AA」は、通信装置Bと通信装置Aとのセッション中のみ有効な鍵であり、当該セッションが切れると無効な鍵となる。
【0128】
その後、通信装置Bは、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出する(図17の(5)参照)。具体的に説明すると、通信装置Bは、通信装置Aから受け取った「復号鍵#AA」を用いて、採取されたパケットデータを復号して解析し、「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出する。
【0129】
そして、通信装置Bは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを、通信ログとして通信ログ装置に送信し、通信ログ装置は、送信された通信ログを所定の記憶部に格納する(図17の(6)と(7)参照)。
【0130】
具体的に説明すると、通信装置Bは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Bを通過した際に採取された当該「パケットデータの送信元、送信先および通信装置Bを通過した通過時刻」などのネットワーク情報とを、通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Bにより送信されたプロファイル情報およびネットワーク情報を、通信ログとして所定の記憶部に格納する。なお、通信装置Aにおいては、復号鍵生成を自身で行い、通信装置Bと同様の処理が行われ、通信装置Aは、採取されたプロファイル情報とネットワーク情報とを、通信ログとして通信ログ装置に送信する。
【0131】
[実施例4に係る通信ログ送信処理]
次に、図18を用いて、図17に示した端末Y、通信装置B、通信装置A、端末Xおよび通信ログ装置間における通信ログ送信処理を示す制御シーケンスを説明する。図18は、実施例4に係る通信装置を含むシステムにおける通信ログ送信処理の制御シーケンスを示す図である。
【0132】
図16に示すように、端末Xから端末Yに対して、予め暗号化されている電子ファイルなどのパケットデータが送信される前に、端末Xおよび端末Y間の通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。
【0133】
具体的に例を挙げて説明すると、このSSLハンドシェイクにより端末Yから端末Xに対して、端末YのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末XがSSLを利用して端末Yと通信するために必要な制御情報とともに、平文の「Client Random」パラメタが送信される(図18の(1)参照)。そして、端末Xから端末Yに対して、端末XのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末YがSSLを利用して端末Xと通信するために必要な制御情報とともに、平文の「Server Random」パラメタが送信される(図18の(2)参照)。さらに、端末Yは、SSLハンドシェイクにおいて生成された全てのデータを用いて、セッションの「PreMasterSecret」を作成し、端末Xから送信された情報から取得した端末Xの公開鍵で暗号化して、暗号化された「PreMasterSecret」を端末Xに送信する(図18の(3)参照)。
【0134】
続いて、通信装置Aおよび通信装置Bは、SSLハンドシェイクの確立を認識すると、端末Xから端末Yに対して予め暗号化されている電子ファイルなどのパケットデータが送信されると、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(ステップS1801とステップS1802)。
【0135】
具体的には、通信装置Aおよび通信装置Bは、端末Xおよび端末Y間においてSSLハンドシェイクの確立を認識すると、当該通信装置Aおよび通信装置Bを通過する暗号化されたパケットデータを採取して、採取されたパケットデータを所定の記憶部に格納する。そして、通信装置Aおよび通信装置Bは、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となる「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを抽出する。
【0136】
その後、通信装置Bは、抽出されたパラメタを通信装置Aに通知する(ステップS1806)。具体的には、通信装置Bは、抽出された「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを通信装置Aに通知する。
【0137】
そして、通信装置Aは、通知されたパラメタと、予め保持している秘密鍵とを用いて復号鍵を生成して通信装置Bに送信する(ステップS1807)。具体的には、通信装置Aは、通信装置Bにより通知された「PreMasterSecret」パラメタを、予め保持している端末Xのサーバ秘密鍵を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って復号鍵を生成し、生成された復号鍵を通信装置Bに対して送信する。
【0138】
続いて、通信装置Bは、取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号し(ステップS1808)、復号して解析されたパケットデータのプロファイル情報を抽出する(ステップS1810)。
【0139】
具体的には、通信装置Bは、取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号して解析し、解析された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出し、抽出されたプロファイル情報を通信ログとして所定の記憶部に格納する。
【0140】
そして、通信装置Bは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する(ステップS1813)。
【0141】
具体的には、通信装置Bは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Bを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。
【0142】
さらに、通信ログ装置は、通信装置Bにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納する(ステップS1814)。具体的には、通信ログ装置は、通信装置Bにより送信された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Bを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして、通過時刻順に所定の記憶部に格納する。
【0143】
ここで、通信装置Aにおいては、当該通信装置Aの復号鍵を生成する制御部に対してパラメタを通知するとともに、復号鍵を生成し、同様にプロファイル情報を抽出して、抽出されたプロファイル情報とネットワーク情報とを通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Aにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納することとなる(ステップS1803〜ステップS1805、ステップS1807、ステップS1809、ステップS1811およびステップS1812)。
【0144】
[実施例4の効果]
このようにして、実施例4によれば、通信装置は、当該通信装置に接続される端末の秘密鍵を保持し、保持された秘密鍵と、抽出されたパラメタとを用いて、復号鍵を生成し、生成された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信することとしたので、秘密鍵の配布範囲を自拠点内に留めることで、安全に暗号通信を復号することが可能である。
【0145】
例えば、通信装置は、当該通信装置に接続される端末の秘密鍵を保持し、保持された秘密鍵と、抽出されたパラメタとを用いて復号鍵を生成する。続いて、通信装置は、生成された復号鍵を用いて暗号化されたパケットデータを復号および解析してプロファイル情報を抽出する。そして、通信装置は、抽出されたプロファイル情報と、ネットワークに関するネットワーク情報とを、通信ログ装置に送信する。この結果、秘密鍵の配布範囲を自拠点内に留めることで、安全に暗号通信を復号することが可能である。
【実施例5】
【0146】
ところで、上記実施例1〜3では、通信装置は、鍵管理装置にパラメタを通知し、鍵管理装置により生成された復号鍵を取得する場合を説明したが、本発明はこれに限定されるものではなく、通信装置は、鍵管理装置にパラメタを通知することなく、当該通信装置に接続される端末において復号鍵を生成することもできる。
【0147】
そこで、以下の実施例5では、ネットワークを介した暗号通信の復号に用いる復号鍵を通信装置に接続される端末によって生成された復号鍵を、端末から取得する場合について説明する。図19は、実施例5に係る通信装置を含むシステムの全体構成を示す図である。
【0148】
[端末における復号鍵生成処理]
図19に示すように、この通信装置を含むシステムは、通信装置Aと通信装置Bと通信ログ装置とから構成される。また、通信装置Aは、地点Aの端末Xと接続され、通信装置Bは、地点Bの端末Yと接続される。また、端末Xと端末Yとは相互に暗号通信可能に接続される。
【0149】
ここで、実施例1〜3と異なる点は、暗号化されたパケットデータを復号する場合に用いられる復号鍵の生成が、鍵管理装置ではなく、通信装置に接続される端末によって行われる点である。なお、実施例5では、通信装置Aが復号鍵を取得する場合について説明する。
【0150】
[端末において復号鍵を生成]
このような構成において、実施例1と同様、通信装置Aは、地点Aの端末Xから地点Bの端末Yに予め暗号化されている電子ファイルなどのパケットデータが送信される場合に、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(図19の(1)参照)。
【0151】
続いて、通信装置Aは、抽出されたパラメタを端末Xに通知する(図19の(2)参照)。上記した例で具体的に説明すると、通信装置Aは、抽出された平文の「Client Random」パラメタと、「Server Random」パラメタと、端末Xの公開鍵で暗号化された「PreMasterSecret」パラメタとを、地点Aの端末Xの「秘密鍵#A」を保有している端末Xに通知する。
【0152】
そして、通信装置Aよりパラメタを通知された端末Xは、通知されたパラメタと「秘密鍵#A」とを用いて復号鍵を生成する(図19の(3)参照)。上記した例で具体的に説明すると、端末Xは、通知された「PreMasterSecret」パラメタを、保持している「秘密鍵#A」を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って復号鍵を生成する。
【0153】
続いて、通信装置Aは、通知されたパラメタを用いて、端末Xによって生成された復号鍵を、端末Xから取得する(図19の(4)参照)。具体的に説明すると、通信装置Aは、SSLやIPSecなどの暗号通信を用いて、端末Xから生成された「復号鍵#AA」を受け取る。なお、当該「復号鍵#AA」は、端末Xと通信装置Aとのセッション中のみ有効な鍵であり、当該セッションが切れると無効な鍵となる。
【0154】
その後、通信装置Aは、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出する(図19の(5)参照)。具体的に説明すると、通信装置Aは、端末Xから受け取った「復号鍵#AA」を用いて、採取されたパケットデータを復号して解析し、「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出する。
【0155】
そして、通信装置Aは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを、通信ログとして通信ログ装置に送信し、通信ログ装置は、送信された通信ログを所定の記憶部に格納する(図19の(6)と(7)参照)。
【0156】
具体的に説明すると、通信装置Aは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した際に採取された当該「パケットデータの送信元、送信先および通信装置Aを通過した通過時刻」などのネットワーク情報とを、通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Aにより送信されたプロファイル情報およびネットワーク情報を、通信ログとして所定の記憶部に格納する。なお、通信装置Bにおいても通信装置Aと同様に、端末Xにパラメタを通知して、端末Xから復号鍵を取得する。
【0157】
次に図20を用いて、図19に示した端末Y、通信装置B、通信装置A、端末Xおよび通信ログ装置間における通信ログ送信処理を示す制御シーケンスを説明する。図20は、実施例5に係る通信装置を含むシステム全体における通信ログ送信処理の制御シーケンスを示す図である。
【0158】
図20に示すように、端末Xから端末Yに対して、予め暗号化されている電子ファイルなどのパケットデータが送信される前に、端末Xおよび端末Y間の通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。
【0159】
具体的に例を挙げて説明すると、このSSLハンドシェイクにより端末Yから端末Xに対して、端末YのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末XがSSLを利用して端末Yと通信するために必要な制御情報とともに、平文の「Client Random」パラメタが送信される(図20の(1)参照)。そして、端末Xから端末Yに対して、端末XのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末YがSSLを利用して端末Xと通信するために必要な制御情報とともに、平文の「Server Random」パラメタが送信される(図20の(2)参照)。さらに、端末Yは、SSLハンドシェイクにおいて生成された全てのデータを用いて、セッションの「PreMasterSecret」を作成し、端末Xから送信された情報から取得した端末Xの公開鍵で暗号化して、暗号化された「PreMasterSecret」を端末Xに送信する(図20の(3)参照)。
【0160】
続いて、通信装置Aおよび通信装置Bは、SSLハンドシェイクの確立を認識すると、端末Xから端末Yに対して予め暗号化されている電子ファイルなどのパケットデータが送信されると、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(ステップS2001とステップS2002)。
【0161】
具体的には、通信装置Aおよび通信装置Bは、端末Xおよび端末Y間においてSSLハンドシェイクの確立を認識すると、当該通信装置Aおよび通信装置Bを通過する暗号化されたパケットデータを採取して、採取されたパケットデータを所定の記憶部に格納する。そして、通信装置Aおよび通信装置Bは、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となる「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを抽出する。
【0162】
その後、通信装置Aは、抽出されたパラメタを端末Xに通知する(ステップS2003)。具体的には、通信装置Aは、抽出された「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを端末Xに通知する。
【0163】
そして、端末Xは、通知されたパラメタと、保持している秘密鍵とを用いて復号鍵を生成して通信装置Aに送信する(ステップS2004)。具体的には、端末Xは、通信装置Aにより通知された「PreMasterSecret」パラメタを、保持している秘密鍵を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って復号鍵を生成し、生成された復号鍵を通信装置Aに対して送信する。
【0164】
続いて、通信装置Aは、取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号し(ステップS2005)、復号して解析されたパケットデータのプロファイル情報を抽出する(ステップS2009)。
【0165】
具体的には、通信装置Aは、取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号して解析し、解析された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出し、抽出されたプロファイル情報を通信ログとして所定の記憶部に格納する。
【0166】
そして、通信装置Aは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する(ステップS2011)。
【0167】
具体的には、通信装置Aは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。
【0168】
さらに、通信ログ装置は、通信装置Aにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納する(ステップS2012)。具体的には、通信ログ装置は、通信装置Aにより送信された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして、通過時刻順に所定の記憶部に格納する。
【0169】
ここで、通信装置Bにおいても通信装置Aと同様に端末Xにパラメタを通知するとともに、端末Xから復号鍵を取得して、プロファイル情報とネットワーク情報とを通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Bにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納することとなる(ステップS2006〜ステップS2008、ステップS2010、ステップS2013およびステップS2014)。
【0170】
[実施例5の効果]
このようにして、実施例5によれば、通信装置は、抽出されたパラメタを、パケットデータの送信元である装置に通知し、通知されたパラメタを用いて、パケットデータの送信元である装置によって生成された復号鍵を、パケットデータの送信元である装置から取得し、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信することとしたので、元々、秘密鍵を保有している装置以外に秘密鍵を配布する必要がないので、安全に暗号通信を復号することが可能である。
【0171】
例えば、通信装置は、抽出されたパラメタをパケットデータの送信元である装置に通知する。続いて、パケットデータの送信元である装置は、通知されたパラメタを用いて復号鍵を生成し、通信装置に送信する。そして、通信装置は、パケットデータの送信元である装置から復号鍵を受け取って、パケットデータを復号および解析して、解析されたパケットデータのプロファイル情報を抽出する。さらに、通信装置は、抽出されたプロファイル情報と、ネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。このようにして、元々、秘密鍵を保有している装置以外に秘密鍵を配布する必要がないので、安全に暗号通信を復号することが可能である。
【実施例6】
【0172】
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、(1)通信装置の構成、(2)システム構成、(3)プログラムにそれぞれ区分けして異なる実施例を説明する。
【0173】
(1)通信装置の構成
上記の実施例3では、各通信装置において、転送可否ルールを保持し、保持された転送可否ルールを用いてパケットデータの転送可否を判定することとして説明したが、本発明はこれに限定されるものではなく、例えば、転送可否ルール管理装置を用いて、転送可否ルールを保持させ、各通信装置は、当該転送可否ルールを転送可否ルール管理装置から取得して、転送可否を判定するようにしてもよい。
【0174】
また、実施例3において、通信装置において抽出されたプロファイル情報に含まれる「重要度」および「種別」を用いて、転送可否を判定することとして説明したが、本発明はこれに限定されるものではなく、例えば、転送可否を判定する属性を、「重要度」のみにしてもよいし、「種別」のみにしてもよい。さらに、これらや他のプロファイル情報との組合せを用いて転送可否を判定するようにしてもよいし、重要なデータは転送させないなど多種の転送可否ルールを設けるようにしてもよい。
【0175】
(2)システム構成
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、例えば、パラメタ通知部15cを、パラメタ通知I/F部とするなど、その全部または一部を、各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0176】
(3)プログラム
ところで、上記の実施例では、ハードウェアロジックによって各種の処理を実現する場合を説明したが、本発明はこれに限定されるものではなく、あらかじめ用意されたプログラムをコンピュータで実行することによって実現するようにしてもよい。そこで、以下では、図19を用いて、上記の実施例に示した通信装置と同様の機能を有する通信ログ送信プログラムを実行するコンピュータの一例を説明する。図21は、通信ログ送信プログラムを実行するコンピュータを示す図である。
【0177】
図21に示すように、携帯端末としてのコンピュータ110は、キーボード120、HDD130、CPU140、ROM150、RAM160およびディスプレイ170をバス180などで接続して構成される。
【0178】
ROM150には、上記の実施例1に示した通信装置10と同様の機能を発揮する通信ログ送信プログラム、つまり、図21に示すようにパラメタ抽出プログラム150aと、パラメタ通知プログラム150bと、復号鍵取得プログラム150cと、プロファイル情報抽出プログラム150dと、ログ送信プログラム150eとが、あらかじめ記憶されている。なお、これらのプログラム150a〜150eについては、図2に示した通信装置Aの各構成要素と同様、適宜統合または、分散してもよい。
【0179】
そして、CPU140がこれらのプログラム150a〜プログラム150eをROM150から読み出して実行することで、図21に示すように、プログラム150a〜プログラム150eは、パラメタ抽出プロセス140aと、パラメタ通知プロセス140bと、復号鍵取得プロセス140cと、プロファイル情報抽出プロセス140dと、ログ送信プロセス140eとして機能するようになる。なお、プロセス140a〜プロセス140eは、図2に示した、パラメタ抽出部15bと、パラメタ通知部15cと、復号鍵取得部15dと、プロファイル情報抽出部15fと、ログ送信部15gとにそれぞれ対応する。
【0180】
そして、CPU140はRAM160に記録された、スヌープしたパケットデータを記憶するスヌープデータ記憶データ160aと、通信ログ装置に送信する通信ログを記憶するログ記憶データ160bとに基づいて通信ログ送信プログラムを実行する。
【0181】
なお、上記した各プログラム150a〜150eについては、必ずしも最初からROM150に記憶させておく必要はなく、例えば、コンピュータ110に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、またはコンピュータ110の内外に備えられるHDDなどの「固定用の物理媒体」、さらには公衆回線、インターネット、LAN、WANなどを介してコンピュータ110に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ110がこれから各プログラムを読み出して実行するようにしてもよい。
【産業上の利用可能性】
【0182】
以上のように、本発明に係る通信装置、通信装置に適した通信ログ送信方法および通信システムは、当該通信装置を介して暗号化されたパケットデータがやり取りされる場合に有用であり、特に、各通信装置に秘密鍵を配備することなく、安全かつ確実に通信ログを採取することに適する。
【図面の簡単な説明】
【0183】
【図1】実施例1に係る通信装置を含むシステム全体の概要および特徴を示す図である。
【図2】実施例1に係るシステムにおける通信装置Aの構成を示すブロック図である。
【図3】実施例1に係るサーバからクライアント端末に送信されるコンテンツのHTTPプロトコルによるデータフォーマットの一例を示す図である。
【図4】実施例1に係るサーバからクライアント端末に送信されるコンテンツのHTTP/FTPプロトコルによるデータフォーマットの一例を示す図である。
【図5】実施例1に係る通信装置から通信ログ装置に送信される通信ログのデータフォーマットの一例を示す図である。
【図6】実施例1に係る通信装置を含むシステムにおける通信ログ装置のログ管理テーブルの一例を示す図である。
【図7】実施例1に係るシステムにおける通信装置Aによる通信ログ送信処理を示すフローチャートである。
【図8】実施例1に係る通信装置を含むシステム全体における通信ログ送信処理の制御シーケンスを示す図である。
【図9】実施例2に係る通信装置を含むシステムの全体構成を示す図である。
【図10】実施例2に係るサーバからクライアント端末に送信されるコンテンツのHTTPプロトコルによるデータフォーマットの一例を示す図である。
【図11】実施例2に係るサーバからクライアント端末に送信されるコンテンツのHTTP/FTPプロトコルによるデータフォーマットの一例を示す図である。
【図12】実施例2に係る通信装置から通信ログ装置に送信される通信ログのデータフォーマットの一例を示す図である。
【図13】実施例2に係る通信装置を含むシステムにおける通信ログ装置のログ管理テーブルの一例を示す図である。
【図14】実施例3に係る通信装置を含むシステムの全体構成を示す図である。
【図15】実施例3に係る通信装置を含むシステムにおける転送可否判定処理における終端処理の制御シーケンスを示す図である。
【図16】実施例3に係るシステムにおける通信装置による転送可否判定処理を示すフローチャートである。
【図17】実施例4に係る通信装置を含むシステムの全体構成を示す図である。
【図18】実施例4に係る通信装置を含むシステムにおける通信ログ送信処理の制御シーケンスを示す図である。
【図19】実施例5に係る通信装置を含むシステムの全体構成を示す図である。
【図20】実施例5に係る通信装置を含むシステム全体における通信ログ送信処理の制御シーケンスを示す図である。
【図21】通信ログ送信プログラムを実行するコンピュータを示す図である。
【符号の説明】
【0184】
10 通信装置A
11 入力部
12 表示部
13 I/F部
14 記憶部
14a スヌープデータ記憶部
14b ログ記憶部
15 制御部
15a スヌープ処理部
15b パラメタ抽出部
15c パラメタ通知部
15d 復号鍵取得部
15e データ復号部
15f プロファイル情報抽出部
15g ログ送信部
【技術分野】
【0001】
この発明は、ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置とに接続される通信装置に関する。
【背景技術】
【0002】
従来より、サーバ装置やクライアント装置などが適切に運用管理されて、各装置において通信された通信ログを採取するシステムがあり、この手法では、各装置を運用および管理するシステム管理者が必要不可欠である。そして、当該各装置が適切に運用管理されていない場合には、コンピュータウィルス感染や装置の不具合などで、装置において通信ログを採取することが出来ずに、特に、厳格な通信ログを必要とする分野においては、通信ログの信頼性に欠けてしまう。
【0003】
そこで、ネットワークを介して通信された電子ファイルの情報やネットワークの情報を示す通信ログを、ネットワーク側で代行して保存および管理する技術がある。例えば、ネットワーク内に配備された各通信装置は、通信ログを採取して、通信ログを統合管理するログ収集装置に通知していた。ところが、この手法では、各通信装置でログを採取して通知するので、各通信装置側で通信ログの改ざんが容易にできてしまう。また、当該ネットワークが暗号通信である場合に、ログ収集装置は、通知された電子ファイルの情報が暗号化されており、解読することができないために、当該暗号通信の通信ログを管理することができなかった。
【0004】
また、各通信装置間で暗号化するシステムにとしては、接続される複数の端末から暗号鍵を取得して保持し、保持された暗号鍵を用いて復号化および暗号化を行う情報通信中継装置がある(特許文献1参照)。具体的には、情報通信中継装置は、接続される複数の端末間で暗号通信によりデータがやり取りされる場合に、予め保持している送信元の端末の暗号鍵を用いてやり取りされた暗号通信を復号化する。そして、情報通信中継装置は、復号化された情報を予め保持している送信先の端末の暗号鍵を用いて暗号化し、送信先の端末に対して送信する。
【0005】
この特許文献1の技術を用いることで、ログの改ざんを防止することもできる。具体的には、情報通信中継装置において復号化された場合に、やり取りされたデータの情報と暗号通信されたネットワークに関するネットワーク情報とを抽出し、抽出された情報をログとして管理する。なお、復号化されたデータは再び暗号化し、送信先の端末に対して送信する。
【0006】
この上述した技術を用いて、暗号通信されているネットワーク上の通信ログを管理する場合に、各通信装置内に暗号通信の秘密鍵を配備し、配備された秘密鍵を用いて暗号通信を復号し、復号された通信ログを収集および管理することも行われている。
【0007】
【特許文献1】特開2001−237824号公報(第10−11頁、第1図)
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、上記した従来の技術は、各通信装置から秘密鍵が漏洩し、暗号通信による通信の秘匿性を保つことができないために、安全かつ確実に通信ログを採取することができないという課題があった。具体的には、ネットワーク内の各通信装置において秘密鍵を配備する場合に、適切に運用管理されていない通信装置から秘密鍵が漏洩し、暗号通信による通信の秘匿性を保つことができないために、安全かつ確実に通信ログを採取することができなかった。
【0009】
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、各通信装置に秘密鍵を配備することなく、安全かつ確実に通信ログを採取することを目的とする。
【課題を解決するための手段】
【0010】
上述した課題を解決し、目的を達成するため、本発明は、ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置とに接続される通信装置であって、当該通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出するパラメタ抽出手段と、前記パラメタ抽出手段により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知手段と、前記パラメタ通知手段により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得する復号鍵取得手段と、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出手段と、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信手段と、を備えたことを特徴とする。
【0011】
また、本発明は、上記の発明において、前記パケットデータは、当該パケットデータを一意に識別する識別子を含んだものであって、前記パケットデータが通信装置を通過する場合に、当該パケットデータが当該通信装置を通過した通過順序であるシーケンス番号を付与するシーケンス番号付与手段をさらに備え、前記プロファイル情報抽出手段は、当該パケットデータを一意に識別する識別子を含んだプロファイル情報を抽出し、前記ログ送信手段は、前記プロファイル情報抽出手段により抽出された識別子を含んだプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報と、前記シーケンス番号付与手段により付与されたパケットデータが通信装置を通過した通過順序であるシーケンス番号とを、前記通信ログ装置に送信することを特徴とする。
【0012】
また、本発明は、上記の発明において、前記パケットデータを送信先の装置に転送するか否かを示す転送可否ルールを保持する転送可否ルール保持手段と、前記転送可否ルール保持手段により保持されている転送可否ルールに基づいて、転送不可であると判定された場合に当該パケットデータを廃棄し、転送可能であると判定された場合に当該パケットデータを転送する転送可否判定手段とをさらに備え、前記ログ送信手段は、前記転送可否判定手段により転送不可であると判定された場合に、前記パケットデータが廃棄されたことを示す情報を含んだネットワーク情報と前記プロファイル情報とを通信ログとして前記通信ログ装置に送信し、前記転送可否判定手段により転送可能であると判定された場合に、前記パケットデータが転送されたことを示す情報を含んだネットワーク情報と前記プロファイル情報とを通信ログとして前記通信ログ装置に送信することを特徴とする。
【0013】
また、本発明は、上記の発明において、当該通信装置に接続される端末の秘密鍵を保持する秘密鍵保持手段と、前記秘密鍵保持手段により保持された秘密鍵と、前記パラメタ抽出手段により抽出されたパラメタとを用いて、復号鍵を生成する復号鍵生成手段とをさらに備え、前記プロファイル情報抽出手段は、前記復号鍵生成手段により生成された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを、前記通信ログとして前記通信ログ装置に送信することを特徴とする。
【0014】
また、本発明は、上記の発明において、前記パラメタ通知手段は、前記パラメタ抽出手段により抽出されたパラメタを、パケットデータの送信元である装置に通知し、前記復号鍵取得手段は、前記パラメタ通知手段により通知されたパラメタを用いて、前記パケットデータの送信元である装置によって生成された復号鍵を、前記パケットデータの送信元である装置から取得し、前記プロファイル情報抽出手段は、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信することを特徴とする。
【0015】
また、本発明は、上記の発明において、前記パラメタ抽出手段は、当該通信装置の特定のポート番号を通過した暗号化されたパケットデータのみを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、前記パラメタ通知手段は、前記パラメタ抽出手段により抽出されたパラメタを当該通信装置の秘密鍵を保有する鍵管理装置に通知し、前記復号鍵取得手段は、前記パラメタ通知手段により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得し、前記プロファイル情報抽出手段は、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータのヘッダを取り除いて復号して、当該ヘッダに付与されたデータ情報からパケットデータ種別を解析し、解析されたパケットデータのプロファイル情報を抽出し、前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信することを特徴とする。
【0016】
また、本発明は、上記の発明において、前記プロファイル情報抽出手段は、特定のポート番号のデータグラムを終端し、前記復号鍵取得手段により取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出することを特徴とする。
【0017】
また、本発明は、上記の発明において、ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置とに接続される通信装置に適した通信ログ送信方法であって、当該通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出するパラメタ抽出工程と、前記パラメタ抽出工程により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知工程と、前記パラメタ通知工程により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得する復号鍵取得工程と、前記復号鍵取得工程により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出工程と、前記プロファイル情報抽出工程により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信工程と、を含んだことを特徴とする。
【0018】
また、本発明は、上記の発明において、ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置と、前記通信ログ装置に対して通信ログを送信する通信装置とから構成される通信システムであって、前記鍵管理装置は、前記通信装置に接続される端末ごとに、当該端末で使用される秘密鍵を記憶する秘密鍵記憶手段と、前記復号鍵を生成するために必要となるパラメタを前記通信装置から受信した場合に、当該通信装置に接続される端末の秘密鍵を前記秘密鍵記憶手段から取得し、取得した秘密鍵と受信されたパラメタとから、前記通信装置において採取されたパケットデータを復号するのに必要となる復号鍵を生成して、前記通信装置に送信する復号鍵生成送信手段とを備え、前記通信装置は、当該通信装置を通過する暗号化されたパケットデータを採取し、当該パケットデータから前記パラメタを抽出するパラメタ抽出手段と、前記パラメタ抽出手段により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知手段と、前記パラメタ通知手段によりパラメタが鍵管理装置に通知されて、前記鍵管理装置から復号鍵を取得する復号鍵取得手段と、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出手段と、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信手段とを備え、前記通信ログ装置は、前記通信装置から通信ログを受信して所定の記憶部に格納する通信ログ格納手段を、備えたことを特徴とする。
【発明の効果】
【0019】
本発明によれば、通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、抽出されたパラメタを鍵管理装置に通知し、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得し、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信することとしたので、安全かつ確実に暗号通信やネットワーク情報などのログを採取することが可能である。
【発明を実施するための最良の形態】
【0020】
以下に添付図面を参照して、この発明に係る通信装置、通信装置に適した通信ログ送信方法および通信システムの実施例を詳細に説明する。なお、以下では、本発明に係る通信装置、通信装置に適した通信ログ送信方法および通信システムの概要および特徴、通信装置の構成および処理の流れを順に説明し、最後に本実施例による効果を説明する。
【実施例1】
【0021】
[概要および特徴]
まず最初に、図1を用いて、実施例1に係る通信装置を含むシステム全体の概要および特徴を説明する。図1は、実施例1に係る通信装置を含むシステム全体の概要および特徴を示す図である。
【0022】
図1に示すように、この通信装置を含むシステムは、通信装置Aと通信装置Bと鍵管理装置と通信ログ装置とから構成される。また、通信装置Aは、地点Aの端末Xと接続され、通信装置Bは、地点Bの端末Yと接続される。また、端末Xと端末Yとは相互に暗号通信可能に接続される。
【0023】
例えば、地点Aにおける端末Xは、通信装置Aおよび通信装置Bを介して、暗号化された電子ファイルなどのパケットデータを地点Bの端末Yに送信する前に、SSL(Secure Socket Layer)ハンドシェイクを確立して、当該SSLハンドシェイクにより端末Xおよび端末Y間における同一の公開鍵相当を保持する。そして、SSLハンドシェイクが確立されると、端末Xは、通信装置Aおよび通信装置Bを介して、暗号化された電子ファイルなどのパケットデータを地点Bの端末Yに送信する。また、鍵管理装置は、地点Aの端末Xの「秘密鍵#A」と地点Bの端末Yの「秘密鍵#B」とを保持しており、それぞれの端末に対応した復号鍵を生成する。また、通信ログ装置は、端末Xおよび端末Y間においてやり取りされた通信の通信ログを所定の記憶部に格納して統合管理する。なお、本実施例では、端末Xが端末Yに対してデータを送信する場合について説明する。
【0024】
このような構成において、通信装置Aは、ネットワークを介して通信ログ装置と鍵管理装置と相互に通信を行うことを概要とするものであり、特に、各通信装置に秘密鍵を配備することなく、安全かつ確実に暗号通信やネットワーク情報などのログを採取することが可能である点を主たる特徴とする。
【0025】
この主たる特徴について説明すると、通信装置Aは、地点Aの端末Xから地点Bの端末Yに予め暗号化されている電子ファイルなどのパケットデータが送信される場合に、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(図1の(1)参照)。
【0026】
具体的に説明すると、地点Aの端末Xから地点Bの端末Yに対して、予め暗号化されている電子ファイルなどのパケットデータが送信される前に、端末Xおよび端末Y間の通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。そして、通信装置Aは、暗号化されたパケットデータが送信されると、当該暗号化されたパケットデータを採取するとともに、SSLハンドシェイクでやり取りされる平文の「Client Random」パラメタと、「Server Random」パラメタと、端末Xの公開鍵で暗号化された「PreMasterSecret」パラメタとを抽出する。
【0027】
続いて、通信装置Aは、抽出されたパラメタを鍵管理装置に通知する(図1の(2)参照)。上記した例で具体的に説明すると、通信装置Aは、抽出された平文の「Client Random」パラメタと、「Server Random」パラメタと、端末Xの公開鍵で暗号化された「PreMasterSecret」パラメタとを、地点Aの端末Xの「秘密鍵#A」を保有している鍵管理装置に通知する。
【0028】
そして、通信装置Aよりパラメタを通知された鍵管理装置は、通知されたパラメタと「秘密鍵#A」とを用いて復号鍵を生成する(図1の(3)参照)。上記した例で具体的に説明すると、鍵管理装置は、通知された「PreMasterSecret」パラメタを、保持している端末Xの「秘密鍵#A」を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って「復号鍵#AA」を生成する。
【0029】
続いて、通信装置Aは、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得する(図1の(4)参照)。具体的に説明すると、通信装置Aは、SSLやIPSec(Security Architecture for Internet Protocol)などの暗号通信を用いて、鍵管理装置から生成された「復号鍵#AA」を受け取る。なお、当該「復号鍵#AA」は、通信装置Aと鍵管理装置とのセッション中のみ有効な鍵であり、当該セッションが切れると無効な鍵となる。
【0030】
その後、通信装置Aは、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出する(図1の(5)参照)。具体的に説明すると、通信装置Aは、鍵管理装置から受け取った復号鍵を用いて、採取されたパケットデータを復号して解析し、「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出する。
【0031】
そして、通信装置Aは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを、通信ログとして通信ログ装置に送信し、通信ログ装置は、送信された通信ログを所定の記憶部に格納する(図1の(6)と(7)参照)。
【0032】
具体的に説明すると、通信装置Aは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した際に採取された当該「パケットデータの送信元、送信先および通信装置Aを通過した通過時刻」などのネットワーク情報とを、通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Aにより送信されたプロファイル情報およびネットワーク情報を、通信ログとして所定の記憶部に格納する。なお、通信装置Bにおいても通信装置Aと同様の処理が行われ、通信装置Bは、採取されたプロファイル情報とネットワーク情報とを、通信ログとして通信ログ装置に送信する。
【0033】
このように、実施例1に係る通信装置は、ネットワークを介して暗号通信がなされる場合に、暗号化されたパケットデータから抽出されたパラメタから生成された復号鍵を用いて、当該パケットデータを復号して解析し、プロファイル情報とネットワーク情報とを通信ログとして通信ログ装置に送信することができる結果、上記した主たる特徴のごとく、各通信装置に秘密鍵を配備することなく、安全かつ確実に暗号通信やネットワーク情報などのログを採取することが可能である。
【0034】
[通信装置の構成]
次に、図2を用いて、図1に示した通信装置Aの構成を示すブロック図を説明する。図2は、実施例1に係るシステムにおける通信装置Aの構成を示すブロック図である。また、通信装置Aと通信装置Bとは、同様の構成を有するので、ここでは、通信装置Aについて説明する。図1に示すように、通信装置A10は、入力部11、出力部12、I/F部13、記憶部14および制御部15から構成される。なお、以下の実施例1では、通信装置A10を介して、端末Xが端末Yに対してデータを送信する場合を説明することとする。
【0035】
入力部11および出力部12は、外部からパラメタ設定および参照が可能なインタフェースである。例えば、TELNETやSSH(Secure SHell)などのプロトコルを用いてリモートターミナルからCLIを用いてパラメタの設定や設定値などの参照を行う。また、例えば、通信装置Aが簡易的なWebサーバ機能を実装している場合に、Webブラウザを用いてパラメタ設定および参照が可能である。
【0036】
I/F部13は、ネットワークに接続されており、当該ネットワークを介して取得される各種情報に関する通信を制御する。例えば、I/F部13は、通信装置A10を介してやり取りされるパケットデータを送受信したり、採取された通信ログを通信ログ装置に送信したりする。
【0037】
記憶部14は、制御部15による各種処理に必要なデータや、制御部15による各種処理結果を記憶し、特に本発明に密接に関連するものとしては、スヌープデータ記憶部14aおよびログ記憶部14bを備える。
【0038】
スヌープデータ記憶部14aは、後述する制御部15により採取されたパケットデータを記憶する。ログ記憶部14bは、後述する制御部15により採取された通信ログを記憶する。なお、パケットデータおよび通信ログの記憶に関しては、一時的に記憶しておいて定期的に削除するようにしてもよい。
【0039】
制御部15は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、スヌープ処理部15a、パラメタ抽出部15b、パラメタ通知部15c、復号鍵取得部15d、データ復号部15e、プロファイル情報抽出部15fおよびログ送信部15gを備え、これらによって種々の処理を実行する。
【0040】
スヌープ処理部15aは、通信装置を通過する暗号化されたパケットデータを採取する。具体的に例を挙げると、通信装置Aと通信装置Bとの間で電子ファイルなどのパケットデータがやり取りされる前に、通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。そして、スヌープ処理部15aは、通信装置A10を介して予め暗号化された電子ファイルなどのパケットデータがやり取りされると、I/F部13に入力された当該パケットデータを採取し、採取されたパケットデータをスヌープデータ記憶部14aに格納する。
【0041】
パラメタ抽出部15bは、スヌープ処理部15aにより採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する。具体的に例を挙げると、パラメタ抽出部15bは、スヌープ処理部15aにより採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となる、SSLハンドシェイクにおいてやり取りされる平文の「Client Random」パラメタと、「Server Random」パラメタと、暗号化された「PreMasterSecret」パラメタとを抽出する。そして、パラメタ抽出部15bは、後述するパラメタ通知部15cに抽出したパラメタを通知する。なお、スヌープ処理部15aおよびパラメタ抽出部15bは、特許請求の範囲に記載の「パラメタ抽出手段」に対応する。
【0042】
パラメタ通知部15cは、パラメタ抽出部15bにより抽出されたパラメタを鍵管理装置に通知する。具体的に例を挙げると、パラメタ通知部15cは、パラメタ抽出部15bにより抽出されたパラメタである平文の「Client Random」パラメタと、「Server Random」パラメタと、暗号化された「PreMasterSecret」パラメタとが通知されると、これらの通知されたパラメタを、暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成する鍵管理装置に通知する。なお、鍵管理装置は、通知されたパラメタと、予め保持している「秘密鍵#A」とを用いて「復号鍵#AA」を生成して通信装置Aに送信する。なお、パラメタ通知部15cは、特許請求の範囲に記載の「パラメタ通知手段」に対応する。
【0043】
復号鍵取得部15dは、パラメタ通知部15cにより通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得する。具体的に例を挙げると、復号鍵取得部15dは、鍵管理装置により生成された「復号鍵#AA」を取得して、取得された「復号鍵#AA」を後述するデータ復号部15eに送信する。なお、復号鍵取得部15dは、特許請求の範囲に記載の「復号鍵取得手段」に対応する。
【0044】
データ復号部15eは、復号鍵取得部15dにより取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号する。具体的に例を挙げると、データ復号部15eは、復号鍵取得部15dから「復号鍵#AA」が送信されると、送信された「復号鍵#AA」を用いて、スヌープデータ記憶部14aに記憶されている暗号化されたパケットデータを復号する。そして、データ復号部15eは、暗号化されたパケットデータを復号すると、後述するプロファイル情報抽出部15fに対して、暗号化されたパケットデータを復号したことを通知する。
【0045】
プロファイル情報抽出部15fは、データ復号部15eにより復号されたパケットデータを解析し、解析されたパケットデータのプロファイル情報を抽出する。具体的に例を挙げると、プロファイル情報抽出部15fは、データ復号部15eにより暗号化されたパケットデータの復号が行われた旨が通知された場合に、データ復号部15eにより復号されたパケットデータを解析し、解析された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出し、抽出されたプロファイル情報を通信ログとしてログ記憶部14bに格納する。なお、データ復号部15eおよびプロファイル情報抽出部15fは、特許請求の範囲に記載の「プロファイル情報抽出手段」に対応する。
【0046】
ログ送信部15gは、プロファイル情報抽出部15fにより抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。具体的に例を挙げると、ログ送信部15gは、プロファイル情報抽出部15fによってログ記憶部14bに格納された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置A10を通過した際に取得された「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。なお、ログ送信部15gは、特許請求の範囲に記載の「ログ送信手段」に対応する。
【0047】
例えば、通信装置A10は、通信装置BにHTTPプロトコルにより電子ファイルを送信する場合には、図3に示すようなデータフォーマットで送信する。図3によると、プロファイル情報は、HTTPプロトコルのHTTPヘッダ領域に格納されている。また、例えば、通信装置A10は、通信装置BにHTTP/FTPプロトコルにより電子ファイルを送信する場合には、図4に示すようなデータフォーマットで送信する。図4によると、プロファイル情報は、電子ファイルデータと一体化されている。また、例えば、通信装置A10は、通信ログ装置に通信ログを送信する場合には、図5に示すようなデータフォーマットで送信する。このように、通信装置Aは、HTTPやFTPなど通信方法が異なる場合においても、必要なデータを送信することができる。なお、図3は、実施例1に係るサーバからクライアント端末に送信されるコンテンツのHTTPプロトコルによるデータフォーマットの一例を示す図であり、図4は、実施例1に係るサーバからクライアント端末に送信されるコンテンツのHTTP/FTPプロトコルによるデータフォーマットの一例を示す図であり、図5は、実施例1に係る通信装置から通信ログ装置に送信される通信ログのデータフォーマットの一例を示す図である。
【0048】
また、通信ログ装置は、図6に示すようなプロファイル情報とネットワーク情報とを受信すると、受信されたプロファイル情報とネットワーク情報とを、通信装置A10をパケットデータが通過した通過時刻順にログ管理テーブルなどの所定の記憶部に格納する。なお、図6は、実施例1に係る通信装置を含むシステムにおける通信ログ装置のログ管理テーブルの一例を示す図である。
【0049】
[通信装置による通信ログ送信処理]
次に、図7を用いて、図2に示した通信装置A10による通信ログ送信処理を示すフローチャートを説明する。図7は、実施例1に係るシステムにおける通信装置A10による通信ログ送信処理を示すフローチャートである。
【0050】
図7に示すように、通信装置A10を介して予め暗号化された電子ファイルなどのパケットデータがやり取りされる場合に、通信装置A10を通過する新たなSSLハンドシェイクが確立されると(ステップS701肯定)、通信装置A10は、通過する暗号化されたパケットデータを採取する(ステップS702)。
【0051】
具体的には、地点Aの端末Xから地点Bの端末Yに対して、予め暗号化されている電子ファイルなどのパケットデータがやり取りされる前に、端末Xおよび端末Y間の通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。そして、通信装置A10のスヌープ処理部15aは、当該通信装置A10を通過する暗号化された電子ファイルなどのパケットデータを採取し、採取された暗号化されたパケットデータをスヌープデータ記憶部14aに格納する。
【0052】
続いて、通信装置A10のパラメタ抽出部15bは、スヌープ処理部15aにより採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(ステップS703)。
【0053】
具体的には、通信装置A10のパラメタ抽出部15bは、スヌープ処理部15aにより採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となる、SSLハンドシェイクにおいてやり取りされる平文の「Client Random」パラメタと、「Server Random」パラメタと、暗号化された「PreMasterSecret」パラメタとを抽出する。そして、通信装置A10のパラメタ抽出部15bは、パラメタ通知部15cに対して、抽出したパラメタを通知する。
【0054】
その後、通信装置A10のパラメタ通知部15cは、パラメタ抽出部15bにより抽出されたパラメタを鍵管理装置に通知する(ステップS704)。具体的には、通信装置A10のパラメタ通知部15cは、パラメタ抽出部15bによりパラメタが通知されると、平文の「Client Random」パラメタと、「Server Random」パラメタと、暗号化された「PreMasterSecret」パラメタとを鍵管理装置に通知する。なお、鍵管理装置は、パラメタ通知部15cにより通知されたパラメタと、予め保持している秘密鍵とを用いて、採取されたパケットデータを復号する場合に用いられる「復号鍵#AA」を生成して、復号鍵取得部15dに対して生成された「復号鍵#AA」を送信する。
【0055】
そして、通信装置A10の復号鍵取得部15dは、パラメタ通知部15cにより通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得する(ステップS705肯定)。具体的には、通信装置A10の復号鍵取得部15dは、パラメタ通知部15cにより通知されたパラメタと秘密鍵とを用いて鍵管理装置により生成された「復号鍵#AA」を鍵管理装置から取得し、取得された「復号鍵#AA」をデータ復号部15eに送信する。
【0056】
続いて、通信装置A10のデータ復号部15eは、復号鍵取得部15dにより取得された復号鍵を用いて、採取されたパケットデータを復号する(ステップS706)。具体的には、通信装置A10のデータ復号部15eは、復号鍵取得部15dにより取得された復号鍵を用いて、スヌープデータ記憶部14aに記憶されている暗号化されたパケットデータを復号する。そして、通信装置A10のデータ復号部15eは、プロファイル情報抽出部15fに対して暗号化されたパケットデータを復号したことを通知する。
【0057】
そして、通信装置A10のプロファイル情報抽出部15fは、復号されたパケットデータを解析し、解析されたパケットデータのプロファイル情報を抽出し(ステップS707)、抽出されたプロファイル情報をログ記憶部14bに格納する(ステップS708)。
【0058】
具体的には、通信装置A10のプロファイル情報抽出部15fは、データ復号部15eにより復号されたパケットデータを解析し、解析された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出し、抽出されたプロファイル情報を通信ログとしてログ記憶部14bに格納する。
【0059】
さらに、通信装置A10のログ送信部15gは、ログ記憶部14bに記憶されているプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する(ステップS709)。
【0060】
具体的には、通信装置A10のログ送信部15gは、ログ記憶部14bに記憶されている「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置A10を通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。なお、通信ログ装置は、通信装置A10のログ送信部15gにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納する。
【0061】
[通信装置を含むシステム間における通信ログ送信処理シーケンス]
次に、図8を用いて、図1に示した端末X、通信装置A、通信装置B、端末Y、鍵管理装置および通信ログ装置間における通信ログ送信処理を示す制御シーケンスを説明する。図8は、実施例1に係る通信装置を含むシステム全体における通信ログ送信処理の制御シーケンスを示す図である。
【0062】
図8に示すように、端末Xから端末Yに対して、予め暗号化されている電子ファイルなどのパケットデータが送信される前に、端末Xおよび端末Y間の通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。
【0063】
具体的に例を挙げて説明すると、このSSLハンドシェイクにより端末Yから端末Xに対して、端末YのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末XがSSLを利用して端末Yと通信するために必要な制御情報とともに、平文の「Client Random」パラメタが送信される(図8の(1)参照)。そして、端末Xから端末Yに対して、端末XのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末YがSSLを利用して端末Xと通信するために必要な制御情報とともに、平文の「Server Random」パラメタが送信される(図8の(2)参照)。さらに、端末Yは、SSLハンドシェイクにおいて生成された全てのデータを用いて、セッションの「PreMasterSecret」を作成し、端末Xから送信された情報から取得した端末Xの公開鍵で暗号化して、暗号化された「PreMasterSecret」を端末Xに送信する(図8の(3)参照)。
【0064】
続いて、通信装置Aおよび通信装置Bは、SSLハンドシェイクの確立を認識すると、端末Xから端末Yに対して予め暗号化されている電子ファイルなどのパケットデータが送信されると、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(ステップS801とステップS802)。
【0065】
具体的には、通信装置Aおよび通信装置Bは、端末Xおよび端末Y間においてSSLハンドシェイクの確立を認識すると、当該通信装置Aおよび通信装置Bを通過する暗号化されたパケットデータを採取して、採取されたパケットデータを所定の記憶部に格納する。そして、通信装置Aおよび通信装置Bは、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となる「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを抽出する。
【0066】
その後、通信装置Aは、抽出されたパラメタを鍵管理装置に通知する(ステップS803)。具体的には、通信装置Aは、抽出された「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを鍵管理装置に通知する。
【0067】
そして、鍵管理装置は、通知されたパラメタと、予め保持している秘密鍵とを用いて復号鍵を生成して通信装置Aに送信する(ステップS804)。具体的には、鍵管理装置は、通信装置Aにより通知された「PreMasterSecret」パラメタを、予め保持している端末Xのサーバ秘密鍵を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って復号鍵を生成し、生成された復号鍵を通信装置Aに対して送信する。
【0068】
続いて、通信装置Aは、取得された復号鍵を用いて、採取されたパケットデータを復号し(ステップS805)、復号して解析されたパケットデータのプロファイル情報を抽出する(ステップS806)。
【0069】
具体的には、通信装置Aは、取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号して解析し、解析された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出し、抽出されたプロファイル情報を通信ログとして所定の記憶部に格納する。
【0070】
ここで、通信装置Bおよび鍵管理装置においても上述した通信装置Aおよび鍵管理装置と同様の処理が行われることとなる(ステップS807〜ステップS810)。
【0071】
そして、通信装置Aは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する(ステップS811)。
【0072】
具体的には、通信装置Aは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。
【0073】
さらに、通信ログ装置は、通信装置Aにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納する(ステップS812)。具体的には、通信ログ装置は、通信装置Aにより送信された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして、通過時刻順に所定の記憶部に格納する。
【0074】
ここで、通信装置Bおよび通信ログ装置においても上述した通信装置Aおよび通信ログ装置と同様の処理が行われることとなる(ステップS813〜ステップS814)。
【0075】
[実施例1の効果]
このようにして、実施例1によれば、通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、抽出されたパラメタを鍵管理装置に通知し、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得し、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信するので、安全かつ確実に暗号通信やネットワーク情報などのログを採取することが可能である。
【0076】
例えば、通信装置Aと通信装置Bとがネットワークを介して接続され、通信装置Aに接続される端末から暗号化されたパケットデータが送信される場合に、通信装置Aは、暗号化されたパケットデータからパラメタを抽出して鍵管理装置に通知する。続いて、鍵管理装置は、通信装置Aにより通知されたパラメタから復号鍵を生成して通信装置Aに送信する。そして、通信装置Aは、鍵管理装置により送信された復号鍵を用いて、暗号化されたパケットデータを復号および解析してプロファイル情報を抽出し、抽出されたプロファイル情報と、ネットワークに関するネットワーク情報とを通信ログ装置に送信する。
【実施例2】
【0077】
ところで、実施例1では、ネットワークを介した暗号通信の通信ログを通信ログ装置に送信する場合に、「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を送信する場合を説明したが、本発明はこれに限定されるものではなく、「パケットデータの名前、重要度、種別および利用者情報」と、さらに、当該「パケットデータの識別子」と「シーケンス番号」とを送信することもできる。
【0078】
そこで、以下の実施例2では、「パケットデータを一意に識別する識別子」を含んだプロファイル情報と、パケットデータが通信装置を通過した通過順序である「シーケンス番号」とを通信ログとして通信ログ装置に送信する場合について説明する。図9は、実施例2に係る通信装置を含むシステムの全体構成を示す図である。
【0079】
[通信装置による識別子およびシーケンス番号付与処理]
図9に示すように、この通信装置を含むシステムは、実施例1と同様、通信装置Aと通信装置Bと鍵管理装置と通信ログ装置とから構成される。また、通信装置Aは、地点Aの端末Xと接続され、通信装置Bは、地点Bの端末Yと接続される。また、端末Xと端末Yとは相互に暗号通信可能に接続される。
【0080】
ここで、実施例1と異なる点は、地点Aの端末Xから地点Bの端末Yに対して送信する電子ファイルなどのパケットデータに、当該「パケットデータを一意に識別する識別子」が予め付与されている点と、地点Aの端末Xから地点Bの端末Yに対してパケットデータが送信される場合に、通過する通信装置Aおよび通信装置Bにおいて、パケットデータが通信装置を通過した通過順序を示す「シーケンス番号」を付与する点である。
【0081】
ここで、識別子が付与されているパケットデータを受信し、シーケンス番号を付与する処理の流れについて具体的に説明する。このシステムは、実施例1と同様、通信装置Aは、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、抽出されたパラメタを鍵管理装置に通知し、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を鍵管理装置から取得する(図9の(1)〜(4)参照)。
【0082】
その後、通信装置Aは、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析された「パケットデータを一意に識別する識別子」を含んだプロファイル情報を抽出するとともに、「シーケンス番号」を付与する(図9の(5)参照)。具体的に説明すると、通信装置Aは、鍵管理装置から受け取った復号鍵を用いて、採取されたパケットデータを復号して解析し、「パケットデータの名前、重要度、種別、利用者情報および当該パケットデータを一意に識別する識別子」(例えば、識別子ID:「0000ABC」)などを含んだプロファイル情報を抽出するとともに、「シーケンス番号」を付与する(例えば、シーケンス番号SN:「0」)。なお、本実施例では、端末Xにおいて「識別子」が付与されたパケットデータを通信装置Aにおいて受信した場合について説明したが、通信装置Aにおいて受信された際に「識別子」が付与されていない場合は、通信装置Aは、「識別子」および「シーケンス番号」を付与することとなる。
【0083】
そして、通信装置Aは、抽出された「識別子」を含んだプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報と、付与された「シーケンス番号」とを通信ログとして通信ログ装置に送信し、通信ログ装置は、送信された通信ログを所定の記憶部に格納する(図9の(6)と(7)参照)。
【0084】
具体的に説明すると、通信装置Aは、抽出された識別子を含んだプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した「通過時刻」などのネットワーク情報と、付与された「シーケンス番号」とを通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Aにより送信されたプロファイル情報、ネットワーク情報およびシーケンス番号を、通信ログとして所定の記憶部に格納する。一方、通信装置Bにおいても通信装置Aと同様の処理が行われ、通信装置Bは、通信装置Aにおいて付与された「シーケンス番号」のインクリメントを行い、採取されたプロファイル情報と、ネットワーク情報と、インクリメントされた「シーケンス番号」とを通信ログとして通信ログ装置に送信する。
【0085】
例えば、通信装置Aは、通信装置BにHTTPプロトコルによる電子ファイルを送信する場合には、図10に示すようなデータフォーマットで送信する。図10によると、プロファイル情報は、HTTPプロトコルのHTTPヘッダ領域に格納されている。また、例えば、通信装置Aは、通信装置BにHTTP/FTPプロトコルにより電子ファイルを送信する場合には、図11に示すようなデータフォーマットで送信する。図11によると、プロファイル情報は、電子ファイルデータと一体化されている。また、例えば、通信装置Aは、通信ログ装置に通信ログを送信する場合には、図12に示すようなデータフォーマットで送信する。図12によると、通信ログのデータフォーマットには、識別子「ID:0000ABC」やシーケンス番号「SN:0」などが含まれる。このように、通信装置Aは、HTTPやFTPなど通信方法が異なる場合においても、必要なデータを送信することができる。なお、図10は、実施例2に係るサーバからクライアント端末に送信されるコンテンツのHTTPプロトコルによるデータフォーマットの一例を示す図であり、図11は、実施例2に係るサーバからクライアント端末に送信されるコンテンツのHTTP/FTPプロトコルによるデータフォーマットの一例を示す図であり、図12は、実施例2に係る通信装置から通信ログ装置に送信される通信ログのデータフォーマットの一例を示す図である。
【0086】
また、通信ログ装置は、図13に示すようなプロファイル情報とネットワーク情報と「シーケンス番号」とを受信すると、受信されたプロファイル情報とネットワーク情報と「シーケンス番号」とを、当該プロファイル情報に含まれる「パケットデータを一意に識別する識別子」ごとにまとめて、「シーケンス番号」順にログ管理テーブルなどの所定の記憶部に格納する。なお、図13は、実施例2に係る通信装置を含むシステムにおける通信ログ装置のログ管理テーブルの一例を示す図である。
【0087】
[実施例2の効果]
実施例2に係る通信装置は、パケットデータが通信装置を通過する場合に、当該パケットデータが当該通信装置を通過した通過順序であるシーケンス番号を付与し、当該パケットデータを一意に識別する識別子を含んだプロファイル情報を抽出し、抽出された識別子を含んだプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報と、付与されたパケットデータが通信装置を通過した通過順序であるシーケンス番号とを、通信ログ装置に送信する。この結果、通信ログ装置は、通信ログを「時刻情報」ごとに管理していたが、「パケットデータを一意に識別する識別子」を用いることによって、同じ識別子を有する通信ログが複数ある場合に、複数の通信ログを対応付けてひとまとまりの通信ログとして管理することが可能である。さらに、各通信装置の時刻が正確でない場合でも、「シーケンス番号」を用いることによって、通信ログの時系列を判断することが可能である。また、パケットデータを送信する送信元の端末において、当該「パケットデータを一意に識別する識別子」を付与するなどの機能を不要にすることが可能である。
【0088】
また、通信装置は、暗号化されたパケットデータから抽出されたパラメタから生成された復号鍵を用いて、当該パケットデータを復号して解析し、パケットデータを一意に識別する識別子を含んだ「プロファイル情報」と、「ネットワーク情報」と、「シーケンス番号」とを通信ログとして通信ログ装置に送信する。
【実施例3】
【0089】
ところで、上記実施例1および2では、各端末間においてパケットデータが送信される場合に、各通信装置に入力されたパケットデータが全て送信先の端末に送信される場合を説明したが、本発明はこれに限定されるものではなく、ネットワークを介して暗号化されたパケットデータが通信装置に入力される場合に、入力されたパケットデータを転送可否ルールに基づいて転送可否判定を行うこともできる。
【0090】
そこで、以下の実施例3では、パケットデータの転送可否ルールに基づいて転送可否判定を行う場合について説明する。図14は、実施例3に係る通信装置を含むシステムの全体構成を示す図である。
【0091】
[実施例3に係るシステムの全体構成]
図14に示すように、この通信装置を含むシステムは、実施例1および2と同様、通信装置Aと通信装置Bと鍵管理装置と通信ログ装置とから構成される。また、通信装置Aは、地点Aの端末Xと接続され、通信装置Bは、地点Bの端末Yと接続される。また、端末Xと端末Yとは相互に通信可能に接続される。
【0092】
ここで、実施例1および2と異なる点は、通信装置Aは、パケットデータの種別が「karte」および重要度「2」以下であれば、パケットデータ転送を許可するなどの転送可否ルールを保持している点である。なお、通信装置Aは、入力されたパケットデータの転送可否を判定するため、一旦、通信の終端処理を行う。
【0093】
このような構成において、実施例1と同様、通信装置Aは、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、抽出されたパラメタを鍵管理装置に通知し、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を鍵管理装置から取得する(図14の(1)〜(4)参照)。
【0094】
その後、通信装置Aは、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出して、抽出されたプロファイル情報と保持されている通過ルールとに基づいて、転送不可であると判定された場合に当該パケットデータを廃棄し、転送可能であると判定された場合に当該パケットデータを転送する(図14の(5)参照)。
【0095】
具体的に説明すると、通信装置Aは、鍵管理装置から受け取った「復号鍵#AA」を用いて、採取されたパケットデータを復号して解析し、「パケットデータの名前、重要度、種別および利用者情報」などを含んだプロファイル情報を抽出する。そして、通信装置Aは、抽出されたプロファイル情報の「重要度および種別」と保持されている通過ルールとに基づいて、転送不可であると判定された場合にパケットデータを廃棄し、転送可能であると判定された場合にパケットデータを転送する。
【0096】
例えば、通信装置Aは、種別が「karte」および重要度が「4」のパケットデータを採取した場合に、当該パケットデータの転送可否を転送不可と判定してパケットデータを廃棄する。また、通信装置Aは、種別が「karte」および重要度「2」のパケットデータを採取した場合に、当該パケットデータの転送可否を転送可能と判定してパケットデータを転送する。
【0097】
そして、通信装置Aは、抽出されたプロファイル情報と、転送不可であると判定された場合にパケットデータが廃棄されたことを示す情報を含んだネットワーク情報と、または、転送可能であると判定された場合にパケットデータが転送されたことを示す情報を含んだネットワーク情報とを、通信ログとして通信ログ装置に送信し、通信ログ装置は、送信された通信ログを所定の記憶部に格納する(図14の(6)と(7)参照)。
【0098】
上記した例で具体的に説明すると、通信装置Aは、パケットデータの転送可否を転送不可と判定した場合に、当該パケットデータを廃棄し、プロファイル情報およびパケットデータが廃棄されたことを示す情報「state:scrap」を含んだネットワーク情報を通信ログ装置に送信する。また、通信装置Aは、パケットデータの転送可否を転送可能と判定した場合に、当該パケットデータを転送し、プロファイル情報およびパケットデータが転送されたことを示す情報「state:pass」を含んだネットワーク情報を通信ログ装置に送信する。そして、通信ログ装置は、通信装置Aにより送信されたプロファイル情報およびネットワーク情報を、通信ログとして所定の記憶部に格納する。なお、地点Bの端末Yから地点Aの端末Xにパケットデータが送信される場合も、通信装置Bにおいて通信装置Aと同様の処理が行われる。
【0099】
[通信装置による転送可否判定処理における終端処理]
ここで、実施例3では、パケット転送の可否を判定するために、入力されたパケットデータを一度受信している。そのため、端末間では、パケット転送の終端処理が実施される。そこで、図15を用いて、転送可否判定処理における終端処理について説明する。図15は、実施例3に係る通信装置を含むシステムにおける転送可否判定処理における終端処理の制御シーケンスを示す図である。
【0100】
図15に示すように、通信装置Aおよび通信装置Bは、特定のポート番号の通信を発見すると、通信装置Aまたは通信装置Bが端末Xに代わってTCP通信の終端処理を行う。例えば、地点Aの端末Xは、端末Yに対して電子ファイルなどのパケットデータを送信すると、通信装置AがTCP通信を終端し、その応答である「TCP−ACK」を端末Xに対して送信する。そして、通信装置Aは、パケットデータの解析、復号およびログ記憶などが完了すると、当該パケットデータを受信したときの送信元である端末XのIP/Port番号とともに送信することによって、送信先である端末Yからは各通信装置が透過になるため、端末Xおよび端末Y間における通信断の影響を回避することが可能である。なお、各通信装置において通信の応答処理を行わずに通信装置において端末間の通信プロトコルを終端すると、送信先の端末において通信が切断されることになってしまう。
【0101】
また、通信装置においてプロトコルを終端し、パケットデータを再構築すると、当該パケットデータのデータ容量により通信装置が備えるバッファメモリが不足することが考えられる。この問題を解消するために、通信装置は、パケットデータ全ての受信が完了されていなくても、転送可否の判定がなされた時点で、当該パケットデータの転送を開始する。この結果、大容量のパケットデータが送信される場合に、通信装置が備えるバッファメモリが不足してバッファ溢れを回避することが可能である。また、通信装置は、当該通信装置が備えるバッファメモリが溢れそうになった場合に、端末などに応答するTCPウィンドウサイズを小さくする。この結果、通信装置は、送信元の端末から送信されるパケットデータ容量を制御して、当該通信装置のバッファ溢れを事前に回避することが可能である。
【0102】
[通信装置による転送可否判定処理の流れ]
次に、図16を用いて、図14に示した通信装置による転送可否判定処理を示すフローチャートを説明する。図16は、実施例3に係るシステムにおける通信装置による転送可否判定処理を示すフローチャートである。なお、図16に示すステップS1601〜ステップS1607については、図7のステップS701〜ステップS707と同様の処理となるので、具体的な説明を割愛する。
【0103】
図16に示すように、通信装置を介して予め暗号化された電子ファイルなどのパケットデータがやり取りされる場合に、通信装置は、当該通信装置を通過する新たなSSLハンドシェイクの確立を認識したならば(ステップS1601肯定)、通過する暗号化されたパケットデータを採取する(ステップS1602)。
【0104】
続いて、通信装置は、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(ステップS1603)。その後、通信装置は、抽出されたパラメタを鍵管理装置に通知する(ステップS1604)。
【0105】
そして、通信装置は、通知されたパラメタを用いて、鍵管理装置によって生成された復号鍵を、鍵管理装置から取得する(ステップS1605肯定)。続いて、通信装置は、取得された復号鍵を用いて、採取されたパケットデータを復号する(ステップS1606)。そして、通信装置は、復号されたパケットデータを解析し、解析されたパケットデータのプロファイル情報を抽出する(ステップS1607)。
【0106】
その後、通信装置は、抽出されたプロファイル情報の有無により、当該パケットデータが転送可否の制御対象であるか否かを判定し(ステップS1608)、パケットデータが転送可否の制御対象である場合に(ステップS1608肯定)、転送可否ルールがあるか否かの判定を行う(ステップS1609)。
【0107】
具体的には、通信装置は、抽出されたプロファイル情報がある場合に、転送可否ルールがあるか否かの判定を行う。ここで、通信装置は、ステップS1608において、パケットデータが転送可否の制御対象でない場合に(ステップS1608否定)、当該パケットデータを送信先の端末に転送することとなる(ステップS1629)。なお、図16のステップS1630およびステップS1631は、図7に示したステップS708およびステップS709と同様の処理となるので説明を割愛する。
【0108】
続いて、通信装置は、転送可否ルールがある場合に(ステップS1609肯定)、転送可否ルールの有効期限が切れているか否かの判定を行い(ステップS1610)、転送可否ルールの有効期限が切れていないと判定された場合に(ステップS1610否定)、転送可否ルールと一致するか否かの判定を行う(ステップS1611)。
【0109】
具体的には、通信装置は、所定の記憶部に記憶されている転送可否ルールがある場合に、当該転送可否ルールの有効期限が切れているか否かの判定を行い、転送可否ルールの有効期限が有効であると判定された場合に、抽出されたプロファイル情報に含まれる「重要度」や「種別」などを用いて、転送可否ルールと一致するか否かの判定を行う。
【0110】
そして、通信装置は、抽出されたプロファイル情報を用いて転送可否ルールと一致した場合に(ステップS1611肯定)、パケットデータを廃棄するか否かの判定を行い(ステップS1612)、パケットデータを廃棄すると判定された場合に(ステップS1612肯定)、当該パケットデータを廃棄する(ステップS1613)。また、通信装置は、ステップS1612において、パケットデータを廃棄しないと判定された場合に(ステップS1612否定)、当該パケットデータを転送する(ステップS1616)。
【0111】
具体的には、通信装置は、抽出されたプロファイル情報に含まれる「重要度」や「種別」が転送可否ルールの条件と一致した場合に、パケットデータを廃棄するか否かの判定を行い、パケットデータを廃棄すると判定された場合に、当該パケットデータの廃棄を行う。また、通信装置は、パケットデータを廃棄しないと判定された場合に、当該パケットデータを送信先の端末に転送することとなる。ここで、図16のステップS1614〜ステップS1615およびステップS1617〜ステップS1618は、図7に示したステップS708およびステップS709と同様の処理となるので説明を割愛する。
【0112】
一方、通信装置は、転送可否ルールが有効期限切れである場合(ステップS1610肯定)、または、転送可否ルールと一致しなかった場合(ステップS1611否定)に、所定の記憶部に記憶されている次の転送可否ルールがあるか否かの判定を行う(ステップS1619)。
【0113】
具体的には、通信装置は、ステップS1610において、転送可否ルールの有効期限が切れている場合、または、ステップS1611において、抽出されたプロファイル情報に含まれる「重要度」や「種別」が転送可否ルールの条件と一致しなかった場合に、所定の記憶部に記憶されている他の転送可否ルールがあるか否かの判定を行う。
【0114】
そして、通信装置は、次の転送可否ルールがあると判定された場合に(ステップS1619肯定)、転送可否ルールの有効期限が切れているか否かの判定を行い(ステップS1620)、転送可否ルールの有効期限が切れていないと判定された場合に(ステップS1620否定)、転送可否ルールと一致するか否かの判定を行う(ステップS1621)。
【0115】
具体的には、通信装置は、所定の記憶部に記憶されている他の転送ルールがあると判定された場合に、転送可否ルールの有効期限が切れているか否かの判定を行い、転送可否ルールの有効期限が切れていないと判定された場合に、抽出されたプロファイル情報に含まれる「重要度」や「種別」が転送可否ルールの条件と一致するか否かの判定を行う。
【0116】
続いて、通信装置は、転送可否ルールと一致すると判定された場合に(ステップS1621肯定)、パケットデータを廃棄するか否かの判定を行い(ステップS1622)、パケットデータを廃棄すると判定された場合に(ステップS1622肯定)、当該パケットデータを廃棄する(ステップS1623)。また、通信装置は、ステップS1622において、パケットデータを廃棄しないと判定された場合に(ステップS1622否定)、当該パケットデータを転送する(ステップS1626)。
【0117】
具体的には、通信装置は、抽出されたプロファイル情報に含まれる「重要度」や「種別」が転送可否ルールの条件と一致した場合に、パケットデータを廃棄するか否かの判定を行い、パケットデータを廃棄すると判定された場合に、当該パケットデータの廃棄を行う。また、通信装置は、パケットデータを廃棄しないと判定された場合に、当該パケットデータを送信先の端末に転送することとなる。ここで、図16のステップS1624〜ステップS1625およびステップS1627〜ステップS1628は、図7に示したステップS708およびステップS709と同様の処理となるので説明を割愛する。なお、通信装置は、ステップS1620において、転送可否ルールの有効期限が切れている場合(ステップS1620肯定)、または、ステップS1621において、抽出されたプロファイル情報に含まれる「重要度」や「種別」が転送可否ルールの条件と一致しなかった場合(ステップS1621否定)に、ステップS1619からの処理を繰り返すこととなる。そして、通信装置は、ステップS1619において、次の転送可否ルールがない場合に(ステップS1619否定)、当該パケットデータを廃棄することとなる(ステップS1623)。
【0118】
[実施例3の効果]
このようにして、実施例3によれば、通信装置は、パケットデータを送信先の装置に転送するか否かを示す転送可否ルールを保持し、保持されている転送可否ルールに基づいて、転送不可であると判定された場合に当該パケットデータを廃棄し、転送可能であると判定された場合に当該パケットデータを転送し、転送不可であると判定された場合に、パケットデータが廃棄されたことを示す情報を含んだネットワーク情報とプロファイル情報とを通信ログとして通信ログ装置に送信し、転送可能であると判定された場合に、パケットデータが転送されたことを示す情報を含んだネットワーク情報とプロファイル情報とを通信ログとして通信ログ装置に送信することとしたので、通信装置において、パケットデータの転送制限を行うことが可能である。
【0119】
例えば、通信装置Aは、通信装置Aが含まれる地点Aから通信装置Bが含まれる地点Bにパケットデータの転送が行われる場合に、パケットデータの種別が「karte」および重要度「2」以下のパケットデータ転送を許可するという転送可否ルールを保持していることとする。この転送可否ルールに基づいて、通信装置Aは、重要度が「4」および種別が「karte」のパケットデータを採取した場合に、当該パケットデータの転送可否を転送不可と判定してパケットデータを廃棄し、プロファイル情報およびパケットデータが廃棄されたことを示す情報を含んだネットワーク情報を通信ログ装置に送信する。また、通信装置Aは、重要度が「2」および種別が「karte」のパケットデータを採取した場合に、当該パケットデータの転送可否を転送可能と判定してパケットデータを転送し、プロファイル情報およびパケットデータが転送されたことを示す情報を含んだネットワーク情報を通信ログ装置に送信することが可能である。
【実施例4】
【0120】
ところで、上記実施例1〜3では、通信装置は、鍵管理装置にパラメタを通知し、鍵管理装置により生成された復号鍵を取得する場合を説明したが、本発明はこれに限定されるものではなく、通信装置は、鍵管理装置にパラメタを通知することなく、自装置において復号鍵を生成することもできる。
【0121】
そこで、以下の実施例4では、ネットワークを介した暗号通信の復号に用いる復号鍵を通信装置において生成する場合について説明する。図17は、実施例4に係る通信装置を含むシステムの全体構成を示す図である。
【0122】
図17に示すように、この通信装置を含むシステムは、通信装置Aと通信装置Bと通信ログ装置とから構成される。また、通信装置Aは、地点Aの端末Xと接続され、通信装置Bは、地点Bの端末Yと接続される。また、端末Xと端末Yとは相互に暗号通信可能に接続される。
【0123】
ここで、実施例1〜3と異なる点は、通信装置Aは、当該通信装置に接続される端末の秘密鍵を保持している点である。なお、実施例4では、通信装置Bが復号鍵を取得する場合について説明する。
【0124】
[通信装置において復号鍵を生成]
また、暗号化されたパケットデータを復号する場合に用いられる復号鍵の生成が、鍵管理装置ではなく、通信装置によって行われる。このような構成において、実施例1と同様、通信装置Bは、地点Aの端末Xから地点Bの端末Yに予め暗号化されている電子ファイルなどのパケットデータが送信される場合に、当該通信装置Bを通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(図17の(1)参照)。
【0125】
続いて、通信装置Bは、抽出されたパラメタを通信装置Aに通知する(図17の(2)参照)。上記した例で具体的に説明すると、通信装置Bは、抽出された平文の「Client Random」パラメタと、「Server Random」パラメタと、端末Xの公開鍵で暗号化された「PreMasterSecret」パラメタとを、地点Aの端末Xの「秘密鍵#A」を保有している通信装置Aに通知する。
【0126】
そして、通信装置Bよりパラメタを通知された通信装置Aは、通知されたパラメタと「秘密鍵#A」とを用いて復号鍵を生成する(図17の(3)参照)。上記した例で具体的に説明すると、通信装置Aは、通知された「PreMasterSecret」パラメタを、保持している端末Xの「秘密鍵#A」を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って復号鍵を生成する。
【0127】
続いて、通信装置Bは、通知されたパラメタを用いて、通信装置Aによって生成された復号鍵を、通信装置Aから取得する(図17の(4)参照)。具体的に説明すると、通信装置Bは、SSLやIPSecなどの暗号通信を用いて、通信装置Aから生成された「復号鍵#AA」を受け取る。なお、当該「復号鍵#AA」は、通信装置Bと通信装置Aとのセッション中のみ有効な鍵であり、当該セッションが切れると無効な鍵となる。
【0128】
その後、通信装置Bは、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出する(図17の(5)参照)。具体的に説明すると、通信装置Bは、通信装置Aから受け取った「復号鍵#AA」を用いて、採取されたパケットデータを復号して解析し、「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出する。
【0129】
そして、通信装置Bは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを、通信ログとして通信ログ装置に送信し、通信ログ装置は、送信された通信ログを所定の記憶部に格納する(図17の(6)と(7)参照)。
【0130】
具体的に説明すると、通信装置Bは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Bを通過した際に採取された当該「パケットデータの送信元、送信先および通信装置Bを通過した通過時刻」などのネットワーク情報とを、通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Bにより送信されたプロファイル情報およびネットワーク情報を、通信ログとして所定の記憶部に格納する。なお、通信装置Aにおいては、復号鍵生成を自身で行い、通信装置Bと同様の処理が行われ、通信装置Aは、採取されたプロファイル情報とネットワーク情報とを、通信ログとして通信ログ装置に送信する。
【0131】
[実施例4に係る通信ログ送信処理]
次に、図18を用いて、図17に示した端末Y、通信装置B、通信装置A、端末Xおよび通信ログ装置間における通信ログ送信処理を示す制御シーケンスを説明する。図18は、実施例4に係る通信装置を含むシステムにおける通信ログ送信処理の制御シーケンスを示す図である。
【0132】
図16に示すように、端末Xから端末Yに対して、予め暗号化されている電子ファイルなどのパケットデータが送信される前に、端末Xおよび端末Y間の通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。
【0133】
具体的に例を挙げて説明すると、このSSLハンドシェイクにより端末Yから端末Xに対して、端末YのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末XがSSLを利用して端末Yと通信するために必要な制御情報とともに、平文の「Client Random」パラメタが送信される(図18の(1)参照)。そして、端末Xから端末Yに対して、端末XのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末YがSSLを利用して端末Xと通信するために必要な制御情報とともに、平文の「Server Random」パラメタが送信される(図18の(2)参照)。さらに、端末Yは、SSLハンドシェイクにおいて生成された全てのデータを用いて、セッションの「PreMasterSecret」を作成し、端末Xから送信された情報から取得した端末Xの公開鍵で暗号化して、暗号化された「PreMasterSecret」を端末Xに送信する(図18の(3)参照)。
【0134】
続いて、通信装置Aおよび通信装置Bは、SSLハンドシェイクの確立を認識すると、端末Xから端末Yに対して予め暗号化されている電子ファイルなどのパケットデータが送信されると、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(ステップS1801とステップS1802)。
【0135】
具体的には、通信装置Aおよび通信装置Bは、端末Xおよび端末Y間においてSSLハンドシェイクの確立を認識すると、当該通信装置Aおよび通信装置Bを通過する暗号化されたパケットデータを採取して、採取されたパケットデータを所定の記憶部に格納する。そして、通信装置Aおよび通信装置Bは、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となる「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを抽出する。
【0136】
その後、通信装置Bは、抽出されたパラメタを通信装置Aに通知する(ステップS1806)。具体的には、通信装置Bは、抽出された「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを通信装置Aに通知する。
【0137】
そして、通信装置Aは、通知されたパラメタと、予め保持している秘密鍵とを用いて復号鍵を生成して通信装置Bに送信する(ステップS1807)。具体的には、通信装置Aは、通信装置Bにより通知された「PreMasterSecret」パラメタを、予め保持している端末Xのサーバ秘密鍵を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って復号鍵を生成し、生成された復号鍵を通信装置Bに対して送信する。
【0138】
続いて、通信装置Bは、取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号し(ステップS1808)、復号して解析されたパケットデータのプロファイル情報を抽出する(ステップS1810)。
【0139】
具体的には、通信装置Bは、取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号して解析し、解析された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出し、抽出されたプロファイル情報を通信ログとして所定の記憶部に格納する。
【0140】
そして、通信装置Bは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する(ステップS1813)。
【0141】
具体的には、通信装置Bは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Bを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。
【0142】
さらに、通信ログ装置は、通信装置Bにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納する(ステップS1814)。具体的には、通信ログ装置は、通信装置Bにより送信された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Bを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして、通過時刻順に所定の記憶部に格納する。
【0143】
ここで、通信装置Aにおいては、当該通信装置Aの復号鍵を生成する制御部に対してパラメタを通知するとともに、復号鍵を生成し、同様にプロファイル情報を抽出して、抽出されたプロファイル情報とネットワーク情報とを通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Aにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納することとなる(ステップS1803〜ステップS1805、ステップS1807、ステップS1809、ステップS1811およびステップS1812)。
【0144】
[実施例4の効果]
このようにして、実施例4によれば、通信装置は、当該通信装置に接続される端末の秘密鍵を保持し、保持された秘密鍵と、抽出されたパラメタとを用いて、復号鍵を生成し、生成された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信することとしたので、秘密鍵の配布範囲を自拠点内に留めることで、安全に暗号通信を復号することが可能である。
【0145】
例えば、通信装置は、当該通信装置に接続される端末の秘密鍵を保持し、保持された秘密鍵と、抽出されたパラメタとを用いて復号鍵を生成する。続いて、通信装置は、生成された復号鍵を用いて暗号化されたパケットデータを復号および解析してプロファイル情報を抽出する。そして、通信装置は、抽出されたプロファイル情報と、ネットワークに関するネットワーク情報とを、通信ログ装置に送信する。この結果、秘密鍵の配布範囲を自拠点内に留めることで、安全に暗号通信を復号することが可能である。
【実施例5】
【0146】
ところで、上記実施例1〜3では、通信装置は、鍵管理装置にパラメタを通知し、鍵管理装置により生成された復号鍵を取得する場合を説明したが、本発明はこれに限定されるものではなく、通信装置は、鍵管理装置にパラメタを通知することなく、当該通信装置に接続される端末において復号鍵を生成することもできる。
【0147】
そこで、以下の実施例5では、ネットワークを介した暗号通信の復号に用いる復号鍵を通信装置に接続される端末によって生成された復号鍵を、端末から取得する場合について説明する。図19は、実施例5に係る通信装置を含むシステムの全体構成を示す図である。
【0148】
[端末における復号鍵生成処理]
図19に示すように、この通信装置を含むシステムは、通信装置Aと通信装置Bと通信ログ装置とから構成される。また、通信装置Aは、地点Aの端末Xと接続され、通信装置Bは、地点Bの端末Yと接続される。また、端末Xと端末Yとは相互に暗号通信可能に接続される。
【0149】
ここで、実施例1〜3と異なる点は、暗号化されたパケットデータを復号する場合に用いられる復号鍵の生成が、鍵管理装置ではなく、通信装置に接続される端末によって行われる点である。なお、実施例5では、通信装置Aが復号鍵を取得する場合について説明する。
【0150】
[端末において復号鍵を生成]
このような構成において、実施例1と同様、通信装置Aは、地点Aの端末Xから地点Bの端末Yに予め暗号化されている電子ファイルなどのパケットデータが送信される場合に、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(図19の(1)参照)。
【0151】
続いて、通信装置Aは、抽出されたパラメタを端末Xに通知する(図19の(2)参照)。上記した例で具体的に説明すると、通信装置Aは、抽出された平文の「Client Random」パラメタと、「Server Random」パラメタと、端末Xの公開鍵で暗号化された「PreMasterSecret」パラメタとを、地点Aの端末Xの「秘密鍵#A」を保有している端末Xに通知する。
【0152】
そして、通信装置Aよりパラメタを通知された端末Xは、通知されたパラメタと「秘密鍵#A」とを用いて復号鍵を生成する(図19の(3)参照)。上記した例で具体的に説明すると、端末Xは、通知された「PreMasterSecret」パラメタを、保持している「秘密鍵#A」を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って復号鍵を生成する。
【0153】
続いて、通信装置Aは、通知されたパラメタを用いて、端末Xによって生成された復号鍵を、端末Xから取得する(図19の(4)参照)。具体的に説明すると、通信装置Aは、SSLやIPSecなどの暗号通信を用いて、端末Xから生成された「復号鍵#AA」を受け取る。なお、当該「復号鍵#AA」は、端末Xと通信装置Aとのセッション中のみ有効な鍵であり、当該セッションが切れると無効な鍵となる。
【0154】
その後、通信装置Aは、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出する(図19の(5)参照)。具体的に説明すると、通信装置Aは、端末Xから受け取った「復号鍵#AA」を用いて、採取されたパケットデータを復号して解析し、「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出する。
【0155】
そして、通信装置Aは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを、通信ログとして通信ログ装置に送信し、通信ログ装置は、送信された通信ログを所定の記憶部に格納する(図19の(6)と(7)参照)。
【0156】
具体的に説明すると、通信装置Aは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した際に採取された当該「パケットデータの送信元、送信先および通信装置Aを通過した通過時刻」などのネットワーク情報とを、通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Aにより送信されたプロファイル情報およびネットワーク情報を、通信ログとして所定の記憶部に格納する。なお、通信装置Bにおいても通信装置Aと同様に、端末Xにパラメタを通知して、端末Xから復号鍵を取得する。
【0157】
次に図20を用いて、図19に示した端末Y、通信装置B、通信装置A、端末Xおよび通信ログ装置間における通信ログ送信処理を示す制御シーケンスを説明する。図20は、実施例5に係る通信装置を含むシステム全体における通信ログ送信処理の制御シーケンスを示す図である。
【0158】
図20に示すように、端末Xから端末Yに対して、予め暗号化されている電子ファイルなどのパケットデータが送信される前に、端末Xおよび端末Y間の通信方法やプロトコルなどの制御関連情報を事前にやり取りするSSLハンドシェイクが確立される。
【0159】
具体的に例を挙げて説明すると、このSSLハンドシェイクにより端末Yから端末Xに対して、端末YのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末XがSSLを利用して端末Yと通信するために必要な制御情報とともに、平文の「Client Random」パラメタが送信される(図20の(1)参照)。そして、端末Xから端末Yに対して、端末XのSSLバージョン番号、暗号設定およびセッション固有のデータなどの端末YがSSLを利用して端末Xと通信するために必要な制御情報とともに、平文の「Server Random」パラメタが送信される(図20の(2)参照)。さらに、端末Yは、SSLハンドシェイクにおいて生成された全てのデータを用いて、セッションの「PreMasterSecret」を作成し、端末Xから送信された情報から取得した端末Xの公開鍵で暗号化して、暗号化された「PreMasterSecret」を端末Xに送信する(図20の(3)参照)。
【0160】
続いて、通信装置Aおよび通信装置Bは、SSLハンドシェイクの確立を認識すると、端末Xから端末Yに対して予め暗号化されている電子ファイルなどのパケットデータが送信されると、当該通信装置Aを通過する暗号化されたパケットデータを採取し、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出する(ステップS2001とステップS2002)。
【0161】
具体的には、通信装置Aおよび通信装置Bは、端末Xおよび端末Y間においてSSLハンドシェイクの確立を認識すると、当該通信装置Aおよび通信装置Bを通過する暗号化されたパケットデータを採取して、採取されたパケットデータを所定の記憶部に格納する。そして、通信装置Aおよび通信装置Bは、採取された暗号化されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となる「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを抽出する。
【0162】
その後、通信装置Aは、抽出されたパラメタを端末Xに通知する(ステップS2003)。具体的には、通信装置Aは、抽出された「Client Random」パラメタ、「Server Random」パラメタおよび「PreMasterSecret」パラメタを端末Xに通知する。
【0163】
そして、端末Xは、通知されたパラメタと、保持している秘密鍵とを用いて復号鍵を生成して通信装置Aに送信する(ステップS2004)。具体的には、端末Xは、通信装置Aにより通知された「PreMasterSecret」パラメタを、保持している秘密鍵を用いて復号し、当該復号された「PreMasterSecret」パラメタと、「Client Random」パラメタと、「Server Random」パラメタとの情報から計算式(RFC2246−6.3章参照)に従って復号鍵を生成し、生成された復号鍵を通信装置Aに対して送信する。
【0164】
続いて、通信装置Aは、取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号し(ステップS2005)、復号して解析されたパケットデータのプロファイル情報を抽出する(ステップS2009)。
【0165】
具体的には、通信装置Aは、取得された復号鍵を用いて、採取された暗号化されたパケットデータを復号して解析し、解析された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報を抽出し、抽出されたプロファイル情報を通信ログとして所定の記憶部に格納する。
【0166】
そして、通信装置Aは、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する(ステップS2011)。
【0167】
具体的には、通信装置Aは、抽出された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。
【0168】
さらに、通信ログ装置は、通信装置Aにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納する(ステップS2012)。具体的には、通信ログ装置は、通信装置Aにより送信された「パケットデータの名前、重要度、種別および利用者情報」などのプロファイル情報と、暗号化されたパケットデータが通信装置Aを通過した「通過時刻、送信元および送信先」などのネットワークに関するネットワーク情報とを通信ログとして、通過時刻順に所定の記憶部に格納する。
【0169】
ここで、通信装置Bにおいても通信装置Aと同様に端末Xにパラメタを通知するとともに、端末Xから復号鍵を取得して、プロファイル情報とネットワーク情報とを通信ログとして通信ログ装置に送信する。そして、通信ログ装置は、通信装置Bにより送信されたプロファイル情報とネットワーク情報とを通信ログとして所定の記憶部に格納することとなる(ステップS2006〜ステップS2008、ステップS2010、ステップS2013およびステップS2014)。
【0170】
[実施例5の効果]
このようにして、実施例5によれば、通信装置は、抽出されたパラメタを、パケットデータの送信元である装置に通知し、通知されたパラメタを用いて、パケットデータの送信元である装置によって生成された復号鍵を、パケットデータの送信元である装置から取得し、取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、抽出されたプロファイル情報と、暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信することとしたので、元々、秘密鍵を保有している装置以外に秘密鍵を配布する必要がないので、安全に暗号通信を復号することが可能である。
【0171】
例えば、通信装置は、抽出されたパラメタをパケットデータの送信元である装置に通知する。続いて、パケットデータの送信元である装置は、通知されたパラメタを用いて復号鍵を生成し、通信装置に送信する。そして、通信装置は、パケットデータの送信元である装置から復号鍵を受け取って、パケットデータを復号および解析して、解析されたパケットデータのプロファイル情報を抽出する。さらに、通信装置は、抽出されたプロファイル情報と、ネットワークに関するネットワーク情報とを通信ログとして通信ログ装置に送信する。このようにして、元々、秘密鍵を保有している装置以外に秘密鍵を配布する必要がないので、安全に暗号通信を復号することが可能である。
【実施例6】
【0172】
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、(1)通信装置の構成、(2)システム構成、(3)プログラムにそれぞれ区分けして異なる実施例を説明する。
【0173】
(1)通信装置の構成
上記の実施例3では、各通信装置において、転送可否ルールを保持し、保持された転送可否ルールを用いてパケットデータの転送可否を判定することとして説明したが、本発明はこれに限定されるものではなく、例えば、転送可否ルール管理装置を用いて、転送可否ルールを保持させ、各通信装置は、当該転送可否ルールを転送可否ルール管理装置から取得して、転送可否を判定するようにしてもよい。
【0174】
また、実施例3において、通信装置において抽出されたプロファイル情報に含まれる「重要度」および「種別」を用いて、転送可否を判定することとして説明したが、本発明はこれに限定されるものではなく、例えば、転送可否を判定する属性を、「重要度」のみにしてもよいし、「種別」のみにしてもよい。さらに、これらや他のプロファイル情報との組合せを用いて転送可否を判定するようにしてもよいし、重要なデータは転送させないなど多種の転送可否ルールを設けるようにしてもよい。
【0175】
(2)システム構成
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、例えば、パラメタ通知部15cを、パラメタ通知I/F部とするなど、その全部または一部を、各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0176】
(3)プログラム
ところで、上記の実施例では、ハードウェアロジックによって各種の処理を実現する場合を説明したが、本発明はこれに限定されるものではなく、あらかじめ用意されたプログラムをコンピュータで実行することによって実現するようにしてもよい。そこで、以下では、図19を用いて、上記の実施例に示した通信装置と同様の機能を有する通信ログ送信プログラムを実行するコンピュータの一例を説明する。図21は、通信ログ送信プログラムを実行するコンピュータを示す図である。
【0177】
図21に示すように、携帯端末としてのコンピュータ110は、キーボード120、HDD130、CPU140、ROM150、RAM160およびディスプレイ170をバス180などで接続して構成される。
【0178】
ROM150には、上記の実施例1に示した通信装置10と同様の機能を発揮する通信ログ送信プログラム、つまり、図21に示すようにパラメタ抽出プログラム150aと、パラメタ通知プログラム150bと、復号鍵取得プログラム150cと、プロファイル情報抽出プログラム150dと、ログ送信プログラム150eとが、あらかじめ記憶されている。なお、これらのプログラム150a〜150eについては、図2に示した通信装置Aの各構成要素と同様、適宜統合または、分散してもよい。
【0179】
そして、CPU140がこれらのプログラム150a〜プログラム150eをROM150から読み出して実行することで、図21に示すように、プログラム150a〜プログラム150eは、パラメタ抽出プロセス140aと、パラメタ通知プロセス140bと、復号鍵取得プロセス140cと、プロファイル情報抽出プロセス140dと、ログ送信プロセス140eとして機能するようになる。なお、プロセス140a〜プロセス140eは、図2に示した、パラメタ抽出部15bと、パラメタ通知部15cと、復号鍵取得部15dと、プロファイル情報抽出部15fと、ログ送信部15gとにそれぞれ対応する。
【0180】
そして、CPU140はRAM160に記録された、スヌープしたパケットデータを記憶するスヌープデータ記憶データ160aと、通信ログ装置に送信する通信ログを記憶するログ記憶データ160bとに基づいて通信ログ送信プログラムを実行する。
【0181】
なお、上記した各プログラム150a〜150eについては、必ずしも最初からROM150に記憶させておく必要はなく、例えば、コンピュータ110に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、またはコンピュータ110の内外に備えられるHDDなどの「固定用の物理媒体」、さらには公衆回線、インターネット、LAN、WANなどを介してコンピュータ110に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ110がこれから各プログラムを読み出して実行するようにしてもよい。
【産業上の利用可能性】
【0182】
以上のように、本発明に係る通信装置、通信装置に適した通信ログ送信方法および通信システムは、当該通信装置を介して暗号化されたパケットデータがやり取りされる場合に有用であり、特に、各通信装置に秘密鍵を配備することなく、安全かつ確実に通信ログを採取することに適する。
【図面の簡単な説明】
【0183】
【図1】実施例1に係る通信装置を含むシステム全体の概要および特徴を示す図である。
【図2】実施例1に係るシステムにおける通信装置Aの構成を示すブロック図である。
【図3】実施例1に係るサーバからクライアント端末に送信されるコンテンツのHTTPプロトコルによるデータフォーマットの一例を示す図である。
【図4】実施例1に係るサーバからクライアント端末に送信されるコンテンツのHTTP/FTPプロトコルによるデータフォーマットの一例を示す図である。
【図5】実施例1に係る通信装置から通信ログ装置に送信される通信ログのデータフォーマットの一例を示す図である。
【図6】実施例1に係る通信装置を含むシステムにおける通信ログ装置のログ管理テーブルの一例を示す図である。
【図7】実施例1に係るシステムにおける通信装置Aによる通信ログ送信処理を示すフローチャートである。
【図8】実施例1に係る通信装置を含むシステム全体における通信ログ送信処理の制御シーケンスを示す図である。
【図9】実施例2に係る通信装置を含むシステムの全体構成を示す図である。
【図10】実施例2に係るサーバからクライアント端末に送信されるコンテンツのHTTPプロトコルによるデータフォーマットの一例を示す図である。
【図11】実施例2に係るサーバからクライアント端末に送信されるコンテンツのHTTP/FTPプロトコルによるデータフォーマットの一例を示す図である。
【図12】実施例2に係る通信装置から通信ログ装置に送信される通信ログのデータフォーマットの一例を示す図である。
【図13】実施例2に係る通信装置を含むシステムにおける通信ログ装置のログ管理テーブルの一例を示す図である。
【図14】実施例3に係る通信装置を含むシステムの全体構成を示す図である。
【図15】実施例3に係る通信装置を含むシステムにおける転送可否判定処理における終端処理の制御シーケンスを示す図である。
【図16】実施例3に係るシステムにおける通信装置による転送可否判定処理を示すフローチャートである。
【図17】実施例4に係る通信装置を含むシステムの全体構成を示す図である。
【図18】実施例4に係る通信装置を含むシステムにおける通信ログ送信処理の制御シーケンスを示す図である。
【図19】実施例5に係る通信装置を含むシステムの全体構成を示す図である。
【図20】実施例5に係る通信装置を含むシステム全体における通信ログ送信処理の制御シーケンスを示す図である。
【図21】通信ログ送信プログラムを実行するコンピュータを示す図である。
【符号の説明】
【0184】
10 通信装置A
11 入力部
12 表示部
13 I/F部
14 記憶部
14a スヌープデータ記憶部
14b ログ記憶部
15 制御部
15a スヌープ処理部
15b パラメタ抽出部
15c パラメタ通知部
15d 復号鍵取得部
15e データ復号部
15f プロファイル情報抽出部
15g ログ送信部
【特許請求の範囲】
【請求項1】
ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置とに接続される通信装置であって、
当該通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出するパラメタ抽出手段と、
前記パラメタ抽出手段により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知手段と、
前記パラメタ通知手段により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得する復号鍵取得手段と、
前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出手段と、
前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信手段と、
を備えたことを特徴とする通信装置。
【請求項2】
前記パケットデータは、当該パケットデータを一意に識別する識別子を含んだものであって、
前記パケットデータが通信装置を通過する場合に、当該パケットデータが当該通信装置を通過した通過順序であるシーケンス番号を付与するシーケンス番号付与手段をさらに備え、
前記プロファイル情報抽出手段は、当該パケットデータを一意に識別する識別子を含んだプロファイル情報を抽出し、
前記ログ送信手段は、前記プロファイル情報抽出手段により抽出された識別子を含んだプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報と、前記シーケンス番号付与手段により付与されたパケットデータが通信装置を通過した通過順序であるシーケンス番号とを、前記通信ログ装置に送信することを特徴とする請求項1に記載の通信装置。
【請求項3】
前記パケットデータを送信先の装置に転送するか否かを示す転送可否ルールを保持する転送可否ルール保持手段と、
前記転送可否ルール保持手段により保持されている転送可否ルールに基づいて、転送不可であると判定された場合に当該パケットデータを廃棄し、転送可能であると判定された場合に当該パケットデータを転送する転送可否判定手段とをさらに備え、
前記ログ送信手段は、前記転送可否判定手段により転送不可であると判定された場合に、前記パケットデータが廃棄されたことを示す情報を含んだネットワーク情報と前記プロファイル情報とを通信ログとして前記通信ログ装置に送信し、前記転送可否判定手段により転送可能であると判定された場合に、前記パケットデータが転送されたことを示す情報を含んだネットワーク情報と前記プロファイル情報とを通信ログとして前記通信ログ装置に送信することを特徴とする請求項1または2に記載の通信装置。
【請求項4】
当該通信装置に接続される端末の秘密鍵を保持する秘密鍵保持手段と、
前記秘密鍵保持手段により保持された秘密鍵と、前記パラメタ抽出手段により抽出されたパラメタとを用いて、復号鍵を生成する復号鍵生成手段とをさらに備え、
前記プロファイル情報抽出手段は、前記復号鍵生成手段により生成された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、
前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを、前記通信ログとして前記通信ログ装置に送信することを特徴とする請求項1〜3のいずれか一つに記載の通信装置。
【請求項5】
前記パラメタ通知手段は、前記パラメタ抽出手段により抽出されたパラメタを、パケットデータの送信元である装置に通知し、
前記復号鍵取得手段は、前記パラメタ通知手段により通知されたパラメタを用いて、前記パケットデータの送信元である装置によって生成された復号鍵を、前記パケットデータの送信元である装置から取得し、
前記プロファイル情報抽出手段は、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、
前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信することを特徴とする請求項1に記載の通信装置。
【請求項6】
前記パラメタ抽出手段は、当該通信装置の特定のポート番号を通過した暗号化されたパケットデータのみを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、
前記パラメタ通知手段は、前記パラメタ抽出手段により抽出されたパラメタを当該通信装置の秘密鍵を保有する鍵管理装置に通知し、
前記復号鍵取得手段は、前記パラメタ通知手段により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得し、
前記プロファイル情報抽出手段は、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータのヘッダを取り除いて復号して、当該ヘッダに付与されたデータ情報からパケットデータ種別を解析し、解析されたパケットデータのプロファイル情報を抽出し、
前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信することを特徴とする請求項1〜5のいずれか一つに記載の通信装置。
【請求項7】
前記プロファイル情報抽出手段は、特定のポート番号のデータグラムを終端し、前記復号鍵取得手段により取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出することを特徴とする請求項1〜5のいずれか一つに記載の通信装置。
【請求項8】
ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置とに接続される通信装置に適した通信ログ送信方法であって、
当該通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出するパラメタ抽出工程と、
前記パラメタ抽出工程により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知工程と、
前記パラメタ通知工程により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得する復号鍵取得工程と、
前記復号鍵取得工程により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出工程と、
前記プロファイル情報抽出工程により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信工程と、
を含んだことを特徴とする通信ログ送信方法。
【請求項9】
ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置と、前記通信ログ装置に対して通信ログを送信する通信装置とから構成される通信システムであって、
前記鍵管理装置は、
前記通信装置に接続される端末ごとに、当該端末で使用される秘密鍵を記憶する秘密鍵記憶手段と、
前記復号鍵を生成するために必要となるパラメタを前記通信装置から受信した場合に、当該通信装置に接続される端末の秘密鍵を前記秘密鍵記憶手段から取得し、取得した秘密鍵と受信されたパラメタとから、前記通信装置において採取されたパケットデータを復号するのに必要となる復号鍵を生成して、前記通信装置に送信する復号鍵生成送信手段とを備え、
前記通信装置は、
当該通信装置を通過する暗号化されたパケットデータを採取し、当該パケットデータから前記パラメタを抽出するパラメタ抽出手段と、
前記パラメタ抽出手段により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知手段と、
前記パラメタ通知手段によりパラメタが鍵管理装置に通知されて、前記鍵管理装置から復号鍵を取得する復号鍵取得手段と、
前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出手段と、
前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信手段とを備え、
前記通信ログ装置は、
前記通信装置から通信ログを受信して所定の記憶部に格納する通信ログ格納手段を、
備えたことを特徴とする通信システム。
【請求項1】
ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置とに接続される通信装置であって、
当該通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出するパラメタ抽出手段と、
前記パラメタ抽出手段により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知手段と、
前記パラメタ通知手段により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得する復号鍵取得手段と、
前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出手段と、
前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信手段と、
を備えたことを特徴とする通信装置。
【請求項2】
前記パケットデータは、当該パケットデータを一意に識別する識別子を含んだものであって、
前記パケットデータが通信装置を通過する場合に、当該パケットデータが当該通信装置を通過した通過順序であるシーケンス番号を付与するシーケンス番号付与手段をさらに備え、
前記プロファイル情報抽出手段は、当該パケットデータを一意に識別する識別子を含んだプロファイル情報を抽出し、
前記ログ送信手段は、前記プロファイル情報抽出手段により抽出された識別子を含んだプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報と、前記シーケンス番号付与手段により付与されたパケットデータが通信装置を通過した通過順序であるシーケンス番号とを、前記通信ログ装置に送信することを特徴とする請求項1に記載の通信装置。
【請求項3】
前記パケットデータを送信先の装置に転送するか否かを示す転送可否ルールを保持する転送可否ルール保持手段と、
前記転送可否ルール保持手段により保持されている転送可否ルールに基づいて、転送不可であると判定された場合に当該パケットデータを廃棄し、転送可能であると判定された場合に当該パケットデータを転送する転送可否判定手段とをさらに備え、
前記ログ送信手段は、前記転送可否判定手段により転送不可であると判定された場合に、前記パケットデータが廃棄されたことを示す情報を含んだネットワーク情報と前記プロファイル情報とを通信ログとして前記通信ログ装置に送信し、前記転送可否判定手段により転送可能であると判定された場合に、前記パケットデータが転送されたことを示す情報を含んだネットワーク情報と前記プロファイル情報とを通信ログとして前記通信ログ装置に送信することを特徴とする請求項1または2に記載の通信装置。
【請求項4】
当該通信装置に接続される端末の秘密鍵を保持する秘密鍵保持手段と、
前記秘密鍵保持手段により保持された秘密鍵と、前記パラメタ抽出手段により抽出されたパラメタとを用いて、復号鍵を生成する復号鍵生成手段とをさらに備え、
前記プロファイル情報抽出手段は、前記復号鍵生成手段により生成された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、
前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを、前記通信ログとして前記通信ログ装置に送信することを特徴とする請求項1〜3のいずれか一つに記載の通信装置。
【請求項5】
前記パラメタ通知手段は、前記パラメタ抽出手段により抽出されたパラメタを、パケットデータの送信元である装置に通知し、
前記復号鍵取得手段は、前記パラメタ通知手段により通知されたパラメタを用いて、前記パケットデータの送信元である装置によって生成された復号鍵を、前記パケットデータの送信元である装置から取得し、
前記プロファイル情報抽出手段は、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出し、
前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信することを特徴とする請求項1に記載の通信装置。
【請求項6】
前記パラメタ抽出手段は、当該通信装置の特定のポート番号を通過した暗号化されたパケットデータのみを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出し、
前記パラメタ通知手段は、前記パラメタ抽出手段により抽出されたパラメタを当該通信装置の秘密鍵を保有する鍵管理装置に通知し、
前記復号鍵取得手段は、前記パラメタ通知手段により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得し、
前記プロファイル情報抽出手段は、前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータのヘッダを取り除いて復号して、当該ヘッダに付与されたデータ情報からパケットデータ種別を解析し、解析されたパケットデータのプロファイル情報を抽出し、
前記ログ送信手段は、前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信することを特徴とする請求項1〜5のいずれか一つに記載の通信装置。
【請求項7】
前記プロファイル情報抽出手段は、特定のポート番号のデータグラムを終端し、前記復号鍵取得手段により取得された復号鍵を用いて、採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出することを特徴とする請求項1〜5のいずれか一つに記載の通信装置。
【請求項8】
ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置とに接続される通信装置に適した通信ログ送信方法であって、
当該通信装置を通過する暗号化されたパケットデータを採取し、採取されたパケットデータを復号する場合に用いられる復号鍵を生成するために必要となるパラメタを抽出するパラメタ抽出工程と、
前記パラメタ抽出工程により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知工程と、
前記パラメタ通知工程により通知されたパラメタを用いて、前記鍵管理装置によって生成された復号鍵を、前記鍵管理装置から取得する復号鍵取得工程と、
前記復号鍵取得工程により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出工程と、
前記プロファイル情報抽出工程により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信工程と、
を含んだことを特徴とする通信ログ送信方法。
【請求項9】
ネットワークを介して通信された情報の通信ログを管理する通信ログ装置と、暗号化されたデータの復号に用いる復号鍵を生成する鍵管理装置と、前記通信ログ装置に対して通信ログを送信する通信装置とから構成される通信システムであって、
前記鍵管理装置は、
前記通信装置に接続される端末ごとに、当該端末で使用される秘密鍵を記憶する秘密鍵記憶手段と、
前記復号鍵を生成するために必要となるパラメタを前記通信装置から受信した場合に、当該通信装置に接続される端末の秘密鍵を前記秘密鍵記憶手段から取得し、取得した秘密鍵と受信されたパラメタとから、前記通信装置において採取されたパケットデータを復号するのに必要となる復号鍵を生成して、前記通信装置に送信する復号鍵生成送信手段とを備え、
前記通信装置は、
当該通信装置を通過する暗号化されたパケットデータを採取し、当該パケットデータから前記パラメタを抽出するパラメタ抽出手段と、
前記パラメタ抽出手段により抽出されたパラメタを前記鍵管理装置に通知するパラメタ通知手段と、
前記パラメタ通知手段によりパラメタが鍵管理装置に通知されて、前記鍵管理装置から復号鍵を取得する復号鍵取得手段と、
前記復号鍵取得手段により取得された復号鍵を用いて、前記採取されたパケットデータを復号して解析し、解析されたパケットデータのプロファイル情報を抽出するプロファイル情報抽出手段と、
前記プロファイル情報抽出手段により抽出されたプロファイル情報と、前記暗号化されたパケットデータが通過するネットワークに関するネットワーク情報とを前記通信ログとして前記通信ログ装置に送信するログ送信手段とを備え、
前記通信ログ装置は、
前記通信装置から通信ログを受信して所定の記憶部に格納する通信ログ格納手段を、
備えたことを特徴とする通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2009−16961(P2009−16961A)
【公開日】平成21年1月22日(2009.1.22)
【国際特許分類】
【出願番号】特願2007−173439(P2007−173439)
【出願日】平成19年6月29日(2007.6.29)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成18年度、独立行政法人情報通信研究機構、「ネットワーク認証型コンテンツアクセス制御技術の研究開発」委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成21年1月22日(2009.1.22)
【国際特許分類】
【出願日】平成19年6月29日(2007.6.29)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成18年度、独立行政法人情報通信研究機構、「ネットワーク認証型コンテンツアクセス制御技術の研究開発」委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]