[go: up one dir, main page]

JPWO2005091581A1 - Security gateway device - Google Patents

Security gateway device Download PDF

Info

Publication number
JPWO2005091581A1
JPWO2005091581A1 JP2006511131A JP2006511131A JPWO2005091581A1 JP WO2005091581 A1 JPWO2005091581 A1 JP WO2005091581A1 JP 2006511131 A JP2006511131 A JP 2006511131A JP 2006511131 A JP2006511131 A JP 2006511131A JP WO2005091581 A1 JPWO2005091581 A1 JP WO2005091581A1
Authority
JP
Japan
Prior art keywords
data
encryption
processing unit
encrypted
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006511131A
Other languages
Japanese (ja)
Inventor
誠 井澤
誠 井澤
宏光 成田
宏光 成田
明 岡本
明 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSC Co Ltd
Original Assignee
Nigata Semitsu Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nigata Semitsu Co Ltd filed Critical Nigata Semitsu Co Ltd
Publication of JPWO2005091581A1 publication Critical patent/JPWO2005091581A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

VPNルータ102Bから入力されるデータが暗号化されているか否かを判定し、暗号化されている場合にはその入力データを復号してフィルタ処理部104に供給し、暗号化されていない場合にはその入力データを復号せずにフィルタ処理部104に供給する第1の暗号/復号処理部105aを備えたセキュリティゲートウェイ装置105を設け、拠点Bネットワーク100Bの内部でデータを暗号化して通信するか平文のままで通信するかによらず、フィルタ処理部104には必ず平文のデータを供給することにより、拠点Bネットワーク100Bの内部を暗号の利用により情報漏洩等から保護しつつも、ウイルス検出や不要コンテンツ検出なども適切に行うことができるようにする。It is determined whether or not the data input from the VPN router 102B is encrypted. If the data is encrypted, the input data is decrypted and supplied to the filter processing unit 104. Is provided with a security gateway device 105 having a first encryption / decryption processing unit 105a that supplies the input data to the filter processing unit 104 without decrypting the data and encrypts the data within the base B network 100B for communication. Regardless of whether or not communication is performed in plain text, the plain text data is always supplied to the filter processing unit 104, thereby protecting the inside of the base B network 100B from information leakage by using encryption, Unnecessary content detection can be performed appropriately.

Description

本発明はセキュリティゲートウェイ装置に関し、特に、暗号化されたデータに対してもセキュリティ用のフィルタ処理を実行可能にするための装置に関するものである。  The present invention relates to a security gateway apparatus, and more particularly to an apparatus for enabling execution of security filter processing even for encrypted data.

パーソナルコンピュータ(パソコン)をスタンドアロンで用いる場合は、パソコン内部の情報が盗み出されたり、改ざんされたり、破壊されたりする危険性は少ない。しかし、パソコンをインターネット等のネットワークに接続すると、やり取りされる情報は多くのネットワークをルーティングされていくことから、その途中において盗聴や改ざん等の行われる危険性が一気に増大する。
この問題を解決するための仕組みの1つとして、情報の暗号化がある。すなわち、送信側のパソコンで情報を暗号化して相手に送り、受信側のパソコンでこれを復号化して利用する。このようにすれば、ネットワークの途中で情報が盗聴されたとしても、情報が暗号化されているために、情報自体が見られる可能性が少なくなる。また、改ざんのリスクも低減される。
また、インターネット等のネットワーク上では、グループネットワーク(拠点ネットワーク)への第三者の不正侵入、拠点ネットワークに接続されているパソコンやサーバ等に侵入してデータ破壊や大量メール送信などの悪意をもった処理を実行するウイルスといった問題ある。さらに、インターネットを使えば様々なサイトにアクセスして自由に情報を取得できることから、業務上または教育上などの理由から好ましくないコンテンツを取得するためのアクセスが簡単にできてしまうという問題もある。
これらの問題に対応するために、拠点ネットワーク上にはファイアウォール、不正侵入防御ソフト、アンチウイルスソフト、コンテンツフィルタソフトなどを設置することが多い。ファイアウォールや不正侵入防御ソフトは、一般的には1台のサーバを拠点ネットワークの出入口(ゲートウェイ部分)に用い、ここで専用のソフトウェアを動作させることによって、アクセス権を持たない第三者が拠点ネットワーク内に不正に侵入するのを防ぐものである。具体的には、送られてくるパケットのヘッダに記述されている送信元と送信先のIPアドレスを見て通信の可否を判断する。
また、アンチウイルスソフトは、外部から送られてくるデータ中に潜んでいるコンピュータウイルスを発見し、除去するソフトウェアを言う。多くのアンチウイルスソフトは、あらかじめ用意されたウイルス検知パターンと受信ファイルとを比較してウイルスを検出し、ウイルスに感染したファイルを修復したりウイルスを除去したりする。暗号を利用してウイルスへの感染を防止するようにした技術も提案されている(例えば、特許文献1,2参照)。
[特許文献1]特開平5−143611号公報
[特許文献2]特開2002−351686号公報
特許文献1,2に記載の技術では、暗号化されたプログラムを復号しながら実行する仕組みとすることにより、暗号化されていないウイルスプログラムが侵入した場合や、異なる鍵で暗号化されたウイルスプログラムが侵入した場合に、これを復号によってでたらめなデータに変換する。これにより、例えば電子メールに添付された実行形式ファイルのウイルスをユーザが誤って実行しようとした場合でも、実行不能としてウイルスへの感染を防止することができる。また、暗号化されていないマクロウイルスを含むデータが侵入した場合に、復号によってアプリケーションが認識できない無意味なデータに変換し、異常データと認識して棄却することにより、マクロウイルスへの感染を防止することができる。
また、コンテンツフィルタソフトは、外部から送られてくるデータの種類や内容などに応じて、特定のデータの受信のみを許可するソフトウェアを言う。例えば、特定の語句を登録しておくことにより、その語句が含まれるスパムメールの受信を排除することが可能である。また、特定のファイル名やURLなどを登録しておくことにより、インターネット上で性的または暴力的なサイトを閲覧できないようにすることも可能である。
しかしながら、一般的なアンチウイルスソフトやコンテンツフィルタソフトは、送信されてくるデータの内容を見てウイルスや不要コンテンツを検知する仕組みとなっている。したがって、データの内容が暗号化されていると、ウイルスや不要コンテンツであるか否かを全く判断することができず、アンチウイルスやコンテンツフィルタの実効性が全くなくなってしまうという問題があった。この問題についてもう少し詳しく説明する。
一般に、インターネットを使った拠点間ネットワークでは、拠点間のインターネット上での情報漏洩を防ぐために、各拠点のゲートウェイ部分に暗号装置が導入される。また、拠点ネットワーク内に復号されて入ったデータは、ウイルス検出などの各種フィルタ処理を経て、拠点ネットワーク内の各端末に配信される。
しかし、拠点間ネットワーク(インターネット等)を流れるデータがゲートウェイ部分の暗号装置によって暗号化されているようなネットワーク環境において、拠点内部の暗号化も行うために拠点内部の端末に暗号ソフトを導入した場合には、或る拠点内の端末から暗号化されて送られたデータはゲートウェイ部分で更に暗号化されて相手側拠点のゲートウェイ装置に到達する。この場合、ゲートウェイ部分の暗号装置によって拠点間の暗号は解除されるが、拠点内部の暗号は解除されないため、ウイルス検出などのフィルタ処理を行おうとしても実行することができない。
一方、特許文献1,2に記載の技術によれば、受信データに対して復号処理を行うことによってウイルスをでたらめなデータに変換して無効化するので、データの内容は見ずに済む。しかしながら、この特許文献1,2に記載の技術を適用する場合は、ウイルスでない正規なデータは必ず暗号化して送信しなければならないことになる。ところが、外部とデータ交換をする場合には、暗号化されていないデータを処理することが必要な場合もあり、その場合には受信データの復号処理を中止せざるを得ない。そして、復号処理を中止している際には、ウイルスの感染を防止できなくなってしまうという問題があった。また、暗号鍵が盗まれてウイルスを含むデータが正しく暗号化されて送信されると、復号処理によって元のウイルスが復元されることとなり、ウイルスの感染を防ぐことができないという問題もあった。When a personal computer (personal computer) is used as a stand-alone, there is little risk that information inside the personal computer will be stolen, altered, or destroyed. However, when a personal computer is connected to a network such as the Internet, the exchanged information is routed through many networks, so that the risk of eavesdropping and tampering in the middle increases at a stretch.
One mechanism for solving this problem is information encryption. That is, the information is encrypted by the sending personal computer and sent to the other party, and the information is decrypted and used by the receiving personal computer. In this way, even if information is eavesdropped in the middle of the network, since the information is encrypted, the possibility that the information itself can be seen is reduced. In addition, the risk of tampering is reduced.
In addition, on networks such as the Internet, malicious intrusions such as unauthorized access by a third party to a group network (base network), PC or server connected to the base network, data destruction, or mass mailing. There is a problem such as virus that executes the process. Furthermore, since information can be freely acquired by accessing various sites using the Internet, there is also a problem that access for acquiring undesirable content for business or educational reasons can be easily performed.
In order to deal with these problems, firewalls, intrusion prevention software, anti-virus software, content filter software, etc. are often installed on the base network. In general, firewalls and intrusion prevention software use a single server at the base network entrance / exit (gateway part) and operate special software here so that third parties without access rights can access the base network. It is intended to prevent unauthorized intrusion. Specifically, it is determined whether communication is possible by referring to the IP address of the transmission source and the transmission destination described in the header of the packet to be sent.
Anti-virus software is software that detects and removes computer viruses that are lurking in data sent from outside. Many anti-virus software detects a virus by comparing a virus detection pattern prepared in advance with a received file, and repairs or removes the virus-infected file. Techniques have also been proposed in which encryption is used to prevent virus infection (see, for example, Patent Documents 1 and 2).
[Patent Document 1] JP-A-5-143611 [Patent Document 2] JP-A-2002-351686 The technique described in Patent Documents 1 and 2 has a mechanism for executing an encrypted program while decrypting it. Thus, when an unencrypted virus program enters or when a virus program encrypted with a different key enters, this is converted into random data by decryption. Thereby, for example, even when the user tries to execute the virus of the executable file attached to the e-mail by mistake, the virus can be prevented from being infected as being unexecutable. In addition, when data containing unencrypted macro virus intrudes, it is converted into meaningless data that cannot be recognized by the application by decryption, and is recognized as abnormal data and rejected to prevent infection with macro virus. can do.
The content filter software is software that permits only reception of specific data according to the type and content of data sent from the outside. For example, by registering a specific word / phrase, it is possible to eliminate the reception of spam mail including the word / phrase. It is also possible to prevent browsing of sexual or violent sites on the Internet by registering specific file names or URLs.
However, general anti-virus software and content filter software have a mechanism for detecting viruses and unnecessary contents by looking at the contents of transmitted data. Therefore, if the content of the data is encrypted, it cannot be determined at all whether it is a virus or unnecessary content, and there is a problem that the effectiveness of the anti-virus or the content filter is completely lost. I will explain this problem in a little more detail.
Generally, in an inter-base network using the Internet, an encryption device is introduced at the gateway portion of each base in order to prevent information leakage on the Internet between bases. Further, data decrypted and entered into the base network is distributed to each terminal in the base network through various filter processes such as virus detection.
However, in a network environment where data flowing through the inter-base network (Internet, etc.) is encrypted by the gateway encryption device, encryption software is installed on the terminal inside the base in order to perform internal encryption. In this case, the data sent encrypted from a terminal in a certain base is further encrypted in the gateway part and reaches the gateway device at the other side base. In this case, the encryption between the bases is released by the encryption device in the gateway portion, but the encryption inside the bases is not released, so that it cannot be executed even if a filtering process such as virus detection is performed.
On the other hand, according to the techniques described in Patent Documents 1 and 2, since the virus is converted into invalid data and invalidated by performing decryption processing on the received data, the contents of the data need not be seen. However, when the techniques described in Patent Documents 1 and 2 are applied, legitimate data that is not a virus must be encrypted and transmitted. However, when exchanging data with the outside, it may be necessary to process unencrypted data. In this case, the decryption process of the received data must be stopped. When the decryption process is stopped, there is a problem that virus infection cannot be prevented. In addition, when the encryption key is stolen and data including a virus is correctly encrypted and transmitted, the original virus is restored by the decryption process, and there is a problem that virus infection cannot be prevented.

本発明は、このような問題を解決するために成されたものであり、拠点ネットワークの内部でデータを暗号通信するか非暗号通信するかによらず、受信データの内容に応じてフィルタ処理を行うアンチウイルスやコンテンツフィルタなどの機能を有効に働かせることができるようにすることを目的とする。
上記した課題を解決するために、本発明のセキュリティゲートウェイ装置は、入力されるデータが暗号化されているか否かを判定し、暗号化されている場合にはその入力データを復号してフィルタ処理部に供給し、暗号化されていない場合にはその入力データを復号せずに上記フィルタ処理部に供給する復号処理手段と、送信元端末および送信先端末のアドレス情報に基づいて暗号の適否を判定し、暗号を適用すべき場合には上記フィルタ処理部より出力されたデータを暗号化して上記送信先端末に転送し、暗号を適用すべきでない場合には上記フィルタ処理部より出力されたデータを暗号化せずに上記送信先端末に転送する暗号処理手段とを備える。
上記のように構成した本発明によれば、拠点ネットワークの内部でデータを暗号化して通信するか平文のままで通信するかによらず、フィルタ処理部には必ず暗号化されていない平文のデータが供給されることとなる。また、フィルタ処理部を通過したデータは、拠点ネットワーク内の送信先端末が暗号処理機能を有している場合には暗号化されて転送されることとなる。これにより、拠点ネットワークの内部を暗号の利用により情報漏洩等から保護しつつも、ウイルス検出や不要コンテンツ検出などのフィルタ処理を適切に行うことが可能となる。また、拠点ネットワーク内で暗号化を行わずに平文でデータ通信を行う必要がある場合にも、ウイルス検出や不要コンテンツ検出などのフィルタ処理を適切に行うことが可能となる。The present invention has been made to solve such a problem, and performs a filtering process according to the content of received data regardless of whether the data is encrypted or non-encrypted within the base network. The purpose is to enable functions such as anti-virus and content filtering to work effectively.
In order to solve the above-described problem, the security gateway device of the present invention determines whether or not input data is encrypted, and if encrypted, decrypts the input data and performs a filtering process. And the decryption processing means for supplying the input data to the filter processing unit without decrypting the input data when the data is not encrypted, and whether the encryption is appropriate or not based on the address information of the transmission source terminal and the transmission destination terminal. If the encryption is to be applied, the data output from the filter processing unit is encrypted and transferred to the destination terminal, and if the encryption is not to be applied, the data output from the filter processing unit Encryption processing means for transferring the data to the destination terminal without encryption.
According to the present invention configured as described above, plain text data that is not always encrypted in the filter processing unit, regardless of whether the data is encrypted and communicated in the base network or in plain text. Will be supplied. Further, the data that has passed through the filter processing unit is encrypted and transferred when the destination terminal in the base network has an encryption processing function. Thereby, it is possible to appropriately perform filter processing such as virus detection and unnecessary content detection while protecting the inside of the base network from information leakage by using encryption. Further, even when it is necessary to perform data communication in plain text without performing encryption within the base network, it is possible to appropriately perform filter processing such as virus detection and unnecessary content detection.

図1は、本発明のセキュリティゲートウェイ装置を実施したVPNネットワークの構成例を示すブロック図である。  FIG. 1 is a block diagram showing a configuration example of a VPN network in which the security gateway device of the present invention is implemented.

以下、本発明の一実施形態を図面に基づいて説明する。図1は、本発明のセキュリティゲートウェイ装置を実施したVPN(Virtual Private Network)ネットワークの構成例を示すブロック図である。
図1に示すVPNネットワークにおいては、複数のパソコン101A−1〜101A−mがLAN(Local Area Network)等により接続された拠点Aネットワーク100Aと、複数のパソコン101B−1〜101B−nがLAN等により接続された拠点Bネットワーク100Bとが、インターネット200の仮想専用線(VPNトンネル)200aを介して接続されている。
拠点Aネットワーク100A内にある複数のパソコン101A−1〜101A−mのうち、例えばパソコン101A−1,101A−2は暗号ソフトが導入され、パソコン101A−mは暗号ソフトが導入されていないものとする。暗号ソフトが導入されているパソコン101A−1,101A−2は、自機器内のデータを暗号化してインターネット200上に送信することが可能である。また、インターネット200を介して送られてきた暗号化済みのデータを復号化して自機器内で利用することが可能である。いわゆるEnd−to−End型の暗号通信である。
また、拠点Bネットワーク100B内にある複数のパソコン101B−1〜101B−nのうち、例えばパソコン101B−1,101B−2は暗号ソフトが導入され、パソコン101B−nは暗号ソフトが導入されていないものとする。暗号ソフトが導入されているパソコン101B−1,101B−2は、自機器内のデータを暗号化してインターネット200上に送信することが可能である。また、インターネット200を介して送られてきた暗号化済みのデータを復号化して自機器内で利用することが可能である。いわゆるEnd−to−End型の暗号通信である。
なお、これらの暗号ソフトが導入されているパソコン101A−1,101A−2,101B−1,101B−2は、常に暗号通信を行い、暗号ソフトが導入されているもの同士でしか通信ができないという訳ではない。通信相手ごとに、暗号通信をするか否かの設定をすることが可能である。例えば、暗号ソフトが導入されているパソコン101A−1に関して、暗号ソフトが導入されていないパソコン101B−nとの間では暗号をクリアにするといった設定をすると、パソコン101A−1とパソコン101B−nとの間でも通信を行うことが可能である。
拠点Aネットワーク100Aの出入口付近にはVPNルータ102Aが、拠点Bネットワーク100Bの出入口付近にはVPNルータ102Bが設けられており、当該VPNルータ102A,102Bにてデータの暗号化/復号化処理を行うことにより、拠点A,B間のVPNトンネル200aにおいてデータを暗号通信する。いわゆるSite−to−Site型の暗号通信である。
すなわち、拠点Aネットワーク100AのVPNルータ102Aは、拠点Aネットワーク100Aのパソコン101A−1〜101A−mから送られてきたデータを暗号化してVPNトンネル200aに送信するとともに、VPNトンネル200aを介して送られてきた暗号化済みのデータを復号化してパソコン101A−1〜101A−mに転送する。
また、拠点Bネットワーク100BのVPNルータ102Bは、拠点Bネットワーク100Bのパソコン101B−1〜101B−nから送られてきたデータを暗号化してVPNトンネル200aに送信するとともに、VPNトンネル200aを介して送られてきた暗号化済みのデータを復号化してパソコン101B−1〜101B−nに転送する。
このような構成により、例えば拠点Aネットワーク100Aのパソコン101A−1にて暗号化されたデータがVPNルータ102Aに入力されたときは、当該VPNルータ102Aにて更に暗号化が施され、二重に暗号化されたデータがVPNトンネル200aに送信されることになる。そして、拠点Bネットワーク100BのVPNルータ102BによってVPNルータ102Aの暗号が復号化され、例えばパソコン101B−1に転送される。パソコン101B−1では、パソコン101A−1にて施された暗号が復号化され、利用可能なデータを得る。
VPNトンネル200aには、拠点A,B以外のVPNクライアント300も接続が可能である。VPNクライアント300は、VPNトンネル200aを利用して通信を行うためのソフトウェアが導入されたものであり、例えば外出先で使用可能なノートパソコン等により構成される。このVPNクライアント300には、パソコン101A−1,101A−2,101B−1,101B−2と同様の暗号ソフトは導入されておらず、例えば暗号ソフトが導入されていないパソコン101A−m,101B−nとの間で通信が可能である。なお、暗号ソフトが導入されているパソコン101A−1,101A−2,101B−1,101B−2であっても、VPNクライアント300との関係で暗号をクリアにする設定がされていれば、そのパソコンとの間では通信を行うことが可能である。
例えば、VPNクライアント300から拠点Bネットワーク100B内のパソコン101B−nにデータを送信する場合、VPNクライアント300にてVPNソフトの機能によって暗号化されたデータがVPNトンネル200aを介して拠点Bネットワーク100Bに向けて送信される。そして、拠点Bネットワーク100BのVPNルータ102BによってVPNの暗号が復号化され、平文となったデータがパソコン101B−nに転送される。いわゆるリモートアクセス型の暗号通信である。
拠点Bネットワーク101Bの中には、ファイアウォール103およびフィルタ処理部104が設置されている。ファイアウォール103は、VPNトンネル200aを介して送られてくるパケットのヘッダに記述されている送信元と送信先のIPアドレスを見て通信の可否を判断し、アクセス権を持たない第三者が拠点Bネットワーク100Bの内部に不正に侵入するのを防ぐ。ファイアウォール103の代わりに、またはファイアウォール103と共に、不正侵入の検出/保護/追跡などの処理を行う不正侵入防御ソフトを利用しても良い。
上述のように、ファイアウォール103や不正侵入防御ソフトは、パケットのヘッダに記述されている情報を参照して通信の可否を判断する。暗号化されているのはパケットの中身だけで、ヘッダは暗号化されていないので、これらの機能はデータを復号化しなくても実行することが可能である。そこで、拠点Bネットワーク100Bの出入口に一番近い場所(復号化を行うVPNルータ102Bよりも出入口に近い場所)にファイアウォール103を設置し、ここで第三者の不正侵入をシャットアウトするのが好ましい。
フィルタ処理部104は、アンチウイルス、コンテンツフィルタなどの処理を行うものである。アンチウイルスは、VPNトンネル200aを介して外部から送られてくるデータ中に潜んでいるコンピュータウイルスを発見し、除去する。例えば、あらかじめ用意されたウイルス検知パターンと受信ファイルとを比較してウイルスを検出し、ウイルスに感染したファイルを修復したりウイルスを除去したりする。
また、コンテンツフィルタは、VPNトンネル200aを介して外部から送られてくるデータの種類や内容などに応じて、特定のデータの受信のみを許可する。例えば、特定の語句を登録しておくことにより、その語句が含まれるスパムメールの受信を排除する。また、特定のファイル名やURLなどを登録しておくことにより、インターネット上で性的または暴力的なサイトを閲覧できないようにする。
これらのアンチウイルスやコンテンツフィルタの処理を行うフィルタ処理部104は、送信されてくるデータの内容を見てウイルスや不要コンテンツを検知する。したがって、データの内容が暗号化されていると、アンチウイルスやコンテンツフィルタの機能を実効あらしめることができない。そこで、本実施形態ではセキュリティゲートウェイ装置105を設置している。このセキュリティゲートウェイ装置105は、その機能構成として、第1の暗号/復号処理部105aと第2の暗号/復号処理部105bとを備えている。
拠点Aネットワーク100Aから拠点Bネットワーク100Bに対してデータが送られてきた場合、第1の暗号/復号処理部105aは、VPNルータ102Bより入力されるデータが暗号化されているか否かを判定し、暗号化されている場合にはその入力データを復号してフィルタ処理部104に供給し、暗号化されていない場合にはその入力データを復号せずにそのままフィルタ処理部104に供給する。暗号化されているか否かは、入力されるパケットのヘッダに暗号化の有無を示す情報が含まれているので、これを参照することによって判断する。
同様のケースで、第2の暗号/復号処理部105bは、ヘッダのIPアドレスによって示される送信元/送信先の組み合わせによって暗号の適否を判定する。そして、暗号を適用すべき場合には、フィルタ処理部104より出力されたデータを暗号化して送信先のパソコンに転送し、暗号を適用すべきでない場合には、フィルタ処理部104より出力されたデータを暗号化せずにそのまま送信先のパソコンに転送する。
一方、拠点Bネットワーク100Bから拠点Aネットワーク100Aに対してデータを送信する場合、第2の暗号/復号処理部105bは、パソコン101B−1〜101B−nの何れかより入力されるデータが暗号化されているか否かを判定し、暗号化されている場合にはその入力データを復号してフィルタ処理部104に供給し、暗号化されていない場合にはその入力データを復号せずにそのままフィルタ処理部104に供給する。
同様のケースで、第1の暗号/復号処理部105aは、ヘッダのIPアドレスによって示される送信元/送信先の組み合わせによって暗号の適否を判定する。そして、暗号を適用すべき場合には、フィルタ処理部104より出力されたデータを暗号化してVPNルータ102Bに転送し、暗号を適用すべきでない場合には、フィルタ処理部104より出力されたデータを暗号化せずにそのままVPNルータ102Bに転送する。
送信元/送信先の組み合わせによる暗号の適否については、第1の暗号/復号処理部105aおよび第2の暗号/復号処理部105bにあらかじめ情報として登録しておいても良いし、通信を行う都度、第1の暗号/復号処理部105aおよび第2の暗号/復号処理部105bが送信元/送信先のパソコンに問い合わせを行うようにしても良い。暗号の適否は、例えば、送信元のパソコンと送信先のパソコンに暗号ソフトが導入されているか否か、送信元/送信先の関係で暗号ソフトによる暗号化を行うか否かなどの条件に応じて設定することが可能である。
拠点Bネットワーク100BのLANには、暗号化/復号化に関する種々の情報設定を行うためのマネージャ端末110が接続されている。このマネージャ端末110は、拠点Bネットワーク100Bの各パソコン101B−1,101B−2,・・・が備える暗号ソフトに対して、暗号通信に関する種々の情報、例えば、暗号/復号処理の有無、ある端末とある端末との間ではパケットを破棄するなどといった通信の可否、暗号化のレベル、暗号化を行う時間帯、暗号ポリシー、暗号鍵などの情報をダウンロードして設定する。
なお、図示はしていないが、拠点Aネットワーク100AのLANにもマネージャ端末が接続されている。この図示しないマネージャ端末は、拠点Aネットワーク100Aの各パソコン101A−1,101A−2,・・・が備える暗号ソフトに対して、暗号通信に関する種々の情報を設定する。拠点Aネットワーク100A内の図示しないマネージャ端末と、拠点Bネットワーク100B内のマネージャ端末110は、互いにデータ通信をして必要な情報の設定を行う。
また、マネージャ端末110は、セキュリティゲートウェイ装置105に対して暗号通信に関する種々の情報をダウンロードして設定する処理も行う。セキュリティゲートウェイ装置105では、あるパソコンに向けて送られたデータの暗号化をその途中で一旦解除してしまう仕組みなので、そのことを許す暗号ポリシーや暗号鍵などを情報として設定しておく必要がある。また、送信元/送信先の組み合わせによる暗号の適否を第1の暗号/復号処理部105aおよび第2の暗号/復号処理部105bにあらかじめ設定しておく場合には、その処理もこのマネージャ端末110が行う。
次に、上記のように構成したVPNネットワークにおけるデータ通信の動作について説明する。第1の例として、拠点Aネットワーク100Aのパソコン101A−1から拠点Bネットワーク100Bのパソコン101B−1に対して、データを暗号化して送信する場合について考える。
この場合、まず、パソコン101A−1の暗号ソフトによって送信対象のデータが暗号化され、VPNルータ102Aに送られる。そして、VPNルータ102Aによって更に暗号化が施され、二重に暗号化されたデータがVPNトンネル200aに送信される。VPNトンネル200aを介して拠点Bネットワーク100Bにデータが送られると、ファイアウォール103によって不正侵入の検知が行われ、ここを通過したデータはVPNルータ102Bに転送される。
VPNルータ102Bでは、VPNルータ102Aによって施されたVPNの暗号が復号化され、当該復号化済みのデータがセキュリティゲートウェイ装置105に転送される。セキュリティゲートウェイ装置105の第1の暗号/復号処理部105aでは、VPNルータ102Bより入力されたデータが暗号化されているか否かを判定する。ここでは、VPNルータ102BによってVPNの暗号は解かれているが、パソコン101A−1の暗号ソフトにより施された拠点内部の暗号がまだ存在するので、暗号化されていると判断する。この場合、第1の暗号/復号処理部105aは、その暗号を復号化により解除して、データを平文にしてフィルタ処理部104に供給する。
フィルタ処理部104では、平文となったデータの内容を見てウイルスの検出や不要コンテンツの検出を行い、必要であればデータ破棄などの処理を実行する。このフィルタ処理部104を通過したデータは、セキュリティゲートウェイ装置105の第2の暗号/復号処理部105bに送られる。第2の暗号/復号処理部105bでは、データ送信先のパソコン101B−1に暗号ソフトが導入されているか否かを判定する。ここでは、パソコン101B−1には暗号ソフトが導入されていると判断し、フィルタ処理部104より出力されたデータを暗号化してパソコン101B−1に転送する。
以上の動作によれば、パソコン101A−1の暗号ソフトによってデータを暗号化して送信することにより、拠点Aネットワーク100Aの内部で暗号を利用してデータを情報漏洩等から保護することができる。また、インターネット200上ではVPNルータ102A,102Bを利用してVPNトンネル200aを構築し、更にVPNの暗号をかけるので、インターネット200上でもデータを安全に送信することができる。さらに、拠点Bネットワーク100Bの内部では、セキュリティゲートウェイ装置105の第2の暗号/復号処理部105bによってデータを暗号化してパソコン101B−1に送るので、拠点Bネットワーク100Bの内部でも暗号を利用してデータを情報漏洩等から保護することができる。
このようにEnd−to−Endで拠点A,Bの内部でも暗号を利用したデータ通信を行いつつも、セキュリティゲートウェイ装置105の第1の暗号/復号処理部105aによって暗号を一時的に解いて平文としたデータをフィルタ処理部104に供給するので、アンチウイルスやコンテンツフィルタなどのフィルタ処理も有効に行うことができる。これにより、データの暗号化による情報漏洩等の防止と、フィルタ処理によるウイルス感染や不要コンテンツ受信の防止とを確実に両立したセキュアなネットワーク環境を構築することができる。図には示していないが、拠点内部に無線ネットワークが構築されているような環境においても、無線ネットワークを安心して使用することができる。
次に、第2の動作例を説明する。第2の動作例では、拠点A,Bの外部にあるVPNクライアント300から拠点Bネットワーク100Bのパソコン101B−nに対してデータを送信する場合について考える。
この場合、まず、VPNクライアント300のVPNソフトによって送信対象のデータが暗号化され、VPNトンネル200aに送信される。VPNトンネル200aを介して拠点Bネットワーク100Bにデータが送られると、ファイアウォール103によって不正侵入の検知が行われ、ここを通過したデータはVPNルータ102Bに転送される。
VPNルータ102Bでは、VPNクライアント300によって施されたVPNの暗号が復号化され、当該復号化済みのデータがセキュリティゲートウェイ装置105に転送される。セキュリティゲートウェイ装置105の第1の暗号/復号処理部105aでは、VPNルータ102Bより入力されたデータが暗号化されているか否かを判定する。ここでは、全ての暗号が解かれているので、暗号化されていないと判断する。この場合、第1の暗号/復号処理部105aは、入力されたデータをそのままフィルタ処理部104に供給する。
フィルタ処理部104では、平文となったデータの内容を見てウイルスの検出や不要コンテンツの検出を行い、必要であればデータ破棄などの処理を実行する。このフィルタ処理部104を通過したデータは、セキュリティゲートウェイ装置105の第2の暗号/復号処理部105bに送られる。第2の暗号/復号処理部105bでは、データ送信先のパソコン101B−nに暗号ソフトが導入されているか否かを判定する。ここでは、パソコン101B−nには暗号ソフトが導入されていないと判断し、フィルタ処理部104より出力されたデータを暗号化せずにパソコン101B−nに転送する。
以上の動作によれば、VPNクライアント300やパソコン101B−nには拠点内部用の暗号ソフトが導入されていないので、VPNトンネル200aを用いたリモートアクセス型の暗号通信を利用するだけである。しかし、セキュリティゲートウェイ装置105の第1の暗号/復号処理部105aは、データが暗号化されていなければ復号化せずにそのままフィルタ処理部104に供給する仕組みを持っているので、アンチウイルスやコンテンツフィルタなどのフィルタ処理も有効に行うことができる。つまり、暗号ソフトを持たない端末間でデータ通信を行うときでも、データの暗号化による情報漏洩等の防止と、フィルタ処理によるウイルス感染や不要コンテンツ受信の防止とを確実に両立させることができる。この点は、ウイルスに感染していない正規のデータが必ず暗号化された状態でなければフィルタ処理を行うことができない上述の特許文献1,2と大きく異なる部分である。
なお、上述の特許文献2では、暗号鍵が盗まれるなどしてウイルスが正規に暗号化されて送信された場合には当該ウイルスがネットワーク内に侵入してしまう不都合を考慮して、マクロの実行時にウイルス検出を行う例が記載されている。しかし、この特許文献2に記載の技術によれば、ウイルスは拠点ネットワーク内に侵入してしまい、その後でマクロを実行するときでなければウイルス検知ができないので、ウイルス感染の危険度が高い。特に、最近では、ユーザが明示的にマクロ実行を指示しなくても、例えば電子メールを受信したりWebサイトを閲覧したりするだけで自動的にプログラムが起動するウイルスも存在する。したがって、本実施形態のようにフィルタ処理部104でウイルスや不要コンテンツを完全にシャットアウトして拠点Bネットワーク100Bの内部に侵入できないようにすることにより、セキュリティの安全性を高いものとすることができる。
以上詳しく説明したように、本実施形態によれば、拠点ネットワークの内部でデータを暗号通信するか非暗号通信するかによらず、受信データの内容に応じてフィルタ処理を行うアンチウイルスやコンテンツフィルタなどの機能を有効に働かせることができる。これにより、拠点ネットワークの内外を暗号の利用により情報漏洩等から保護しつつも、ウイルス検出や不要コンテンツ検出などのフィルタ処理を適切に行うことが可能となる。また、拠点ネットワーク内で暗号化を行わずに平文でデータ通信を行う必要がある場合にも、ウイルス検出や不要コンテンツ検出などのフィルタ処理を適切に行うことが可能となる。
なお、上記実施形態では、拠点Bネットワーク100Bの内部にのみファイアウォール103、フィルタ処理部104、セキュリティゲートウェイ装置105を設ける例について説明したが、拠点Aネットワーク100Aにも同様の構成を設けても良いことは言うまでもない。
また、上記実施形態では、セキュリティゲートウェイ装置105は第1の暗号/復号処理部105aおよび第2の暗号/復号処理部105bの機能のみを備える例について説明したが、フィルタ処理部104の機能も一体としてセキュリティゲートウェイ装置105を構成するようにしても良い。このようにすれば、第1の暗号/復号処理部105aとフィルタ処理部104との間、第2の暗号/復号処理部105bとフィルタ処理部104との間で情報が盗まれて漏洩する危険を抑止することができる。さらに、ファイアウォール103の機能をセキュリティゲートウェイ装置105の内部に取り込んでも良い。
また、上記実施形態では、インターネット200上にVPNトンネル200aを構築したVPNネットワークの例について説明したが、これに限定されない。例えば、インターネット200上を非暗号で行うネットワーク(例えば、拠点ネットワーク内のパソコンに暗号ソフトを導入して行うEnd−to−End型の暗号通信ネットワーク)にも同様に適用することが可能である。この場合は、拠点内の端末間で暗号通信をするか非暗号通信をするかによって、セキュリティゲートウェイ装置105の第1の暗号/復号処理部105aや第2の暗号/復号処理部105bにおいて復号処理を行うか否かが決定されることとなる。
また、上記実施形態では、VPNルータ102Bよりも後段側にフィルタ処理部104とセキュリティゲートウェイ装置105とを設ける例について説明したが、VPNルータ102Bよりも前段側に設けても良い。パソコン内の暗号ソフトとVPNルータとで暗号を二重にかけて通信するネットワーク環境において、フィルタ処理部104とセキュリティゲートウェイ装置105とをVPNルータ102Bよりも前段側に設ける場合、セキュリティゲートウェイ装置105には、パソコンでかけられた暗号とVPNルータでかけられた暗号の双方を復号化するための機能を持たせる。また、パソコン内の暗号ソフトかVPNルータの何れか一方のみで暗号をかけて通信するネットワーク環境の場合は、セキュリティゲートウェイ装置105には、パソコンでかけられた暗号またはVPNルータでかけられた暗号の何れか一方を復号化するための機能を持たせる。
また、上記実施形態では、マネージャ端末を拠点Aネットワーク100Aおよび拠点Bネットワーク100Bのそれぞれに設ける例について説明したが、インターネット200上に1つのマネージャ端末を設けるようにしても良い。
また、本実施形態のセキュリティゲートウェイ装置105が持つ第1の暗号/復号処理部105aおよび第2の暗号/復号処理部105bの機能は、ハードウェア構成、DSP、ソフトウェアの何れによっても実現することが可能である。例えばソフトウェアによって実現する場合、本実施形態のセキュリティゲートウェイ装置105は、実際にはCPUあるいはMPU、RAM、ROMなどを備えて構成され、RAMやROMに記憶されたプログラムが動作することによって実現できる。
また、上記実施形態では、拠点ネットワーク100A,100Bの内部に存在する端末101A−1〜101A−m,101B−1〜101A−nおよび拠点ネットワーク100A,100Bの外部に存在するVPNクライアント300が全てパソコンである例について説明したが、これらの端末は必ずしもパソコンである必要はない。
その他、上記実施形態は、何れも本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。Hereinafter, an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration example of a VPN (Virtual Private Network) network that implements the security gateway device of the present invention.
In the VPN network shown in FIG. 1, a base A network 100A in which a plurality of personal computers 101A- 1 to 101A - m are connected by a LAN (Local Area Network) or the like, and a plurality of personal computers 101B- 1 to 101B - n are LANs or the like. Is connected to the base B network 100B connected through the virtual private line (VPN tunnel) 200a of the Internet 200.
Among the plurality of personal computers 101A- 1 to 101A - m in the site A network 100A, for example, the personal computers 101A- 1 and 101A- 2 have encryption software installed, and the personal computers 101A- m have no encryption software installed. To do. The personal computers 101A- 1 and 101A- 2 in which the encryption software is installed can encrypt the data in its own device and transmit it on the Internet 200. Further, it is possible to decrypt the encrypted data sent via the Internet 200 and use it within the own device. This is so-called end-to-end type encryption communication.
Among the plurality of personal computers 101B- 1 to 101B - n in the base B network 100B, for example, the personal computers 101B- 1 and 101B- 2 have encryption software installed, and the personal computer 101B- n has no encryption software installed. Shall. The personal computers 101B- 1 and 101B- 2 in which the encryption software is installed can encrypt the data in its own device and transmit it on the Internet 200. Further, it is possible to decrypt the encrypted data sent via the Internet 200 and use it within the own device. This is so-called end-to-end type encryption communication.
It should be noted that the personal computers 101A- 1 , 101A- 2 , 101B- 1 , 101B- 2 in which these encryption softwares are installed always perform encryption communication, and can communicate only with those in which the encryption software is installed. Not a translation. It is possible to set whether to perform encrypted communication for each communication partner. For example, regarding the personal computer 101A- 1 in which the encryption software is installed, if the encryption is cleared with the personal computer 101B- n in which the encryption software is not installed, the personal computer 101A- 1 and the personal computer 101B- n Can also communicate with each other.
A VPN router 102A is provided near the entrance / exit of the base A network 100A, and a VPN router 102B is provided near the entrance / exit of the base B network 100B, and the VPN routers 102A, 102B perform data encryption / decryption processing. Thus, the data is encrypted and communicated in the VPN tunnel 200a between the bases A and B. This is so-called Site-to-Site type cryptographic communication.
That is, the VPN router 102A of the site A network 100A encrypts the data transmitted from the personal computers 101A- 1 to 101A - m of the site A network 100A and transmits the data to the VPN tunnel 200a, and also transmits the data via the VPN tunnel 200a. The encrypted data thus received is decrypted and transferred to the personal computers 101A- 1 to 101A - m .
Further, the VPN router 102B of the site B network 100B encrypts the data sent from the personal computers 101B- 1 to 101B - n of the site B network 100B and transmits the encrypted data to the VPN tunnel 200a and also sends it through the VPN tunnel 200a. The encrypted data thus received is decrypted and transferred to the personal computers 101B- 1 to 101B - n .
With this configuration, for example, when data encrypted by the personal computer 101A- 1 of the base A network 100A is input to the VPN router 102A, the VPN router 102A further encrypts the data and The encrypted data is transmitted to the VPN tunnel 200a. Then, the encryption of the VPN router 102A is decrypted by the VPN router 102B of the base B network 100B and transferred to, for example, the personal computer 101B- 1 . In the personal computer 101B- 1 , the encryption applied by the personal computer 101A- 1 is decrypted to obtain usable data.
VPN clients 300 other than the bases A and B can be connected to the VPN tunnel 200a. The VPN client 300 is installed with software for performing communication using the VPN tunnel 200a, and is configured by, for example, a laptop computer that can be used on the go. The VPN client 300, PC 101A -1, 101A -2, 101B -1 , similar to encryption software and 101B -2 has not been introduced, such as a personal computer 101A -m cryptographic software is not installed, 101B - Communication with n is possible. Note that even if the personal computer 101A- 1 , 101A- 2 , 101B- 1 , 101B- 2 in which the encryption software is installed is set to clear the encryption in relation to the VPN client 300, Communication with a personal computer is possible.
For example, when data is transmitted from the VPN client 300 to the personal computer 101B- n in the site B network 100B, the data encrypted by the VPN software function in the VPN client 300 is transmitted to the site B network 100B via the VPN tunnel 200a. Sent to. Then, the VPN encryption is decrypted by the VPN router 102B of the base B network 100B, and the plain text data is transferred to the personal computer 101B- n . This is so-called remote access type encryption communication.
A firewall 103 and a filter processing unit 104 are installed in the site B network 101B. The firewall 103 determines whether communication is possible by looking at the source and destination IP addresses described in the header of the packet sent through the VPN tunnel 200a, and a third party who does not have access rights Prevent unauthorized entry into the B network 100B. Intrusion prevention software that performs processing such as detection / protection / tracking of intrusion may be used instead of or together with the firewall 103.
As described above, the firewall 103 and the unauthorized intrusion prevention software refer to information described in the packet header to determine whether communication is possible. Since only the packet contents are encrypted and the header is not encrypted, these functions can be performed without decrypting the data. Therefore, it is preferable to install a firewall 103 at a location closest to the entrance / exit of the base B network 100B (a location closer to the entrance / exit than the VPN router 102B that performs decryption), and shut out unauthorized intrusion by a third party here. .
The filter processing unit 104 performs processing such as anti-virus and content filtering. The anti-virus finds and removes a computer virus lurking in data sent from the outside through the VPN tunnel 200a. For example, a virus detection pattern prepared in advance is compared with a received file to detect a virus, and a file infected with the virus is repaired or the virus is removed.
The content filter permits only reception of specific data according to the type and content of data transmitted from the outside via the VPN tunnel 200a. For example, by registering a specific word / phrase, the reception of spam mail including the word / phrase is eliminated. Also, by registering a specific file name, URL, etc., it is possible to prevent browsing of sexual or violent sites on the Internet.
The filter processing unit 104 that performs processing of these anti-virus and content filters detects viruses and unnecessary content by looking at the contents of the transmitted data. Therefore, if the content of the data is encrypted, the functions of the anti-virus and the content filter cannot be effectively realized. Therefore, in this embodiment, the security gateway device 105 is installed. The security gateway device 105 includes a first encryption / decryption processing unit 105a and a second encryption / decryption processing unit 105b as functional configurations.
When data is sent from the site A network 100A to the site B network 100B, the first encryption / decryption processing unit 105a determines whether the data input from the VPN router 102B is encrypted. If the data is encrypted, the input data is decrypted and supplied to the filter processing unit 104. If the data is not encrypted, the input data is directly decrypted and supplied to the filter processing unit 104. Whether the packet is encrypted or not is determined by referring to information indicating whether or not encryption is included in the header of the input packet.
In the same case, the second encryption / decryption processing unit 105b determines whether the encryption is appropriate based on the combination of the source / destination indicated by the IP address in the header. When the encryption is to be applied, the data output from the filter processing unit 104 is encrypted and transferred to the transmission destination personal computer. When the encryption is not to be applied, the data is output from the filter processing unit 104. Transfer the data to the destination computer without encryption.
On the other hand, when data is transmitted from the base B network 100B to the base A network 100A, the second encryption / decryption processing unit 105b encrypts data input from any of the personal computers 101B- 1 to 101B - n . If the data is encrypted, the input data is decrypted and supplied to the filter processing unit 104. If the data is not encrypted, the input data is not decrypted and is directly filtered. This is supplied to the processing unit 104.
In the same case, the first encryption / decryption processing unit 105a determines the suitability of encryption based on the combination of the source / destination indicated by the IP address in the header. When the encryption is to be applied, the data output from the filter processing unit 104 is encrypted and transferred to the VPN router 102B. When the encryption is not to be applied, the data output from the filter processing unit 104 is used. Is transferred to the VPN router 102B without encryption.
The appropriateness of the encryption depending on the combination of the transmission source / destination may be registered in advance as information in the first encryption / decryption processing unit 105a and the second encryption / decryption processing unit 105b, or each time communication is performed. The first encryption / decryption processing unit 105a and the second encryption / decryption processing unit 105b may make an inquiry to the transmission source / destination personal computer. The suitability of encryption depends on the conditions such as whether encryption software is installed in the transmission source personal computer and the transmission destination personal computer, and whether encryption is performed with the encryption software depending on the relationship between the transmission source and the transmission destination. Can be set.
A manager terminal 110 for performing various information settings related to encryption / decryption is connected to the LAN of the base B network 100B. The manager terminal 110 has various information related to encryption communication, for example, presence / absence of encryption / decryption processing, with respect to the encryption software included in each of the personal computers 101B- 1 , 101B- 2 ,. It downloads and sets information such as whether or not communication is possible with a certain terminal, such as discarding packets, encryption level, encryption time zone, encryption policy, and encryption key.
Although not shown, a manager terminal is also connected to the LAN of the base A network 100A. This manager terminal (not shown) sets various pieces of information related to encrypted communication for the encryption software included in each of the personal computers 101A- 1 , 101A- 2 ,. A manager terminal (not shown) in the site A network 100A and a manager terminal 110 in the site B network 100B perform data communication with each other to set necessary information.
The manager terminal 110 also performs processing for downloading and setting various types of information related to encrypted communication to the security gateway device 105. Since the security gateway device 105 has a mechanism for temporarily canceling the encryption of data sent to a certain personal computer, it is necessary to set information such as an encryption policy or an encryption key that permits this. . In addition, when the appropriateness of encryption based on the combination of the transmission source / transmission destination is set in advance in the first encryption / decryption processing unit 105a and the second encryption / decryption processing unit 105b, the processing is also performed in the manager terminal 110. Do.
Next, the data communication operation in the VPN network configured as described above will be described. As a first example, consider a case where data is encrypted and transmitted from the personal computer 101A- 1 of the site A network 100A to the personal computer 101B- 1 of the site B network 100B.
In this case, first, the data to be transmitted is encrypted by the encryption software of the personal computer 101A- 1 and sent to the VPN router 102A. Further, encryption is further performed by the VPN router 102A, and the double-encrypted data is transmitted to the VPN tunnel 200a. When data is sent to the site B network 100B via the VPN tunnel 200a, unauthorized entry is detected by the firewall 103, and the data passing through the firewall is transferred to the VPN router 102B.
The VPN router 102B decrypts the VPN cipher applied by the VPN router 102A, and transfers the decrypted data to the security gateway device 105. The first encryption / decryption processing unit 105a of the security gateway device 105 determines whether or not the data input from the VPN router 102B is encrypted. Here, the VPN cipher is decrypted by the VPN router 102B, but since there is still a cipher in the base applied by the cipher software of the personal computer 101A- 1 , it is determined that the cipher is encrypted. In this case, the first encryption / decryption processing unit 105a releases the encryption by decryption, and supplies the data to the filter processing unit 104 in plain text.
The filter processing unit 104 detects the virus and the unnecessary content by looking at the content of the plain text data, and executes processing such as data destruction if necessary. The data that has passed through the filter processing unit 104 is sent to the second encryption / decryption processing unit 105 b of the security gateway device 105. The second encryption / decryption processing unit 105b determines whether or not encryption software is installed in the personal computer 101B- 1 as the data transmission destination. Here, it is determined that the encryption software is installed in the personal computer 101B- 1 , and the data output from the filter processing unit 104 is encrypted and transferred to the personal computer 101B- 1 .
According to the above operation, the data can be protected from information leakage or the like by using the encryption in the base A network 100A by transmitting the data after being encrypted by the encryption software of the personal computer 101A- 1 . In addition, since the VPN tunnel 102a is constructed using the VPN routers 102A and 102B on the Internet 200 and the VPN encryption is applied, data can be transmitted safely over the Internet 200. Furthermore, since the data is encrypted by the second encryption / decryption processing unit 105b of the security gateway device 105 and sent to the personal computer 101B- 1 inside the site B network 100B, the encryption is also used inside the site B network 100B. Data can be protected from information leakage.
Thus, while performing end-to-end data communication using the ciphers within the bases A and B, the cipher is temporarily decrypted by the first cipher / decryption processing unit 105a of the security gateway device 105, and plaintext is obtained. Since the data is supplied to the filter processing unit 104, filter processing such as anti-virus and content filtering can be performed effectively. As a result, it is possible to construct a secure network environment that reliably satisfies both prevention of information leakage due to data encryption and prevention of virus infection and unnecessary content reception by filter processing. Although not shown in the figure, the wireless network can be used with peace of mind even in an environment where a wireless network is built inside the base.
Next, a second operation example will be described. In the second operation example, consider a case where data is transmitted from the VPN client 300 outside the sites A and B to the personal computer 101B- n of the site B network 100B.
In this case, first, data to be transmitted is encrypted by the VPN software of the VPN client 300 and transmitted to the VPN tunnel 200a. When data is sent to the site B network 100B via the VPN tunnel 200a, unauthorized entry is detected by the firewall 103, and the data passing through the firewall is transferred to the VPN router 102B.
In the VPN router 102 </ b> B, the VPN cipher applied by the VPN client 300 is decrypted, and the decrypted data is transferred to the security gateway device 105. The first encryption / decryption processing unit 105a of the security gateway device 105 determines whether or not the data input from the VPN router 102B is encrypted. Here, since all the ciphers are broken, it is determined that they are not encrypted. In this case, the first encryption / decryption processing unit 105a supplies the input data as it is to the filter processing unit 104.
The filter processing unit 104 detects the virus and the unnecessary content by looking at the content of the plain text data, and executes processing such as data destruction if necessary. The data that has passed through the filter processing unit 104 is sent to the second encryption / decryption processing unit 105 b of the security gateway device 105. The second encryption / decryption processing unit 105b determines whether encryption software is installed in the personal computer 101B- n that is the data transmission destination. Here, it is determined that the encryption software is not installed in the personal computer 101B- n , and the data output from the filter processing unit 104 is transferred to the personal computer 101B- n without being encrypted.
According to the above operation, the VPN client 300 and the personal computer 101B- n are not installed with the encryption software for the inside of the site, so only the remote access type encryption communication using the VPN tunnel 200a is used. However, since the first encryption / decryption processing unit 105a of the security gateway device 105 has a mechanism for supplying data to the filter processing unit 104 without decryption unless the data is encrypted, it is possible to use anti-virus and content. Filter processing such as filtering can also be performed effectively. That is, even when data communication is performed between terminals that do not have encryption software, it is possible to reliably achieve both prevention of information leakage due to data encryption and prevention of virus infection and unnecessary content reception by filtering. This is a significant difference from the above-mentioned Patent Documents 1 and 2, in which normal data that is not infected with a virus cannot be filtered unless it is in an encrypted state.
In the above-mentioned patent document 2, macros are executed in consideration of the inconvenience that the virus enters the network when the virus is properly encrypted and transmitted because the encryption key is stolen. Examples of sometimes performing virus detection are described. However, according to the technique described in Patent Document 2, since the virus enters the base network, and the virus cannot be detected unless the macro is subsequently executed, the risk of virus infection is high. In particular, recently, there is a virus in which a program is automatically started only by receiving an e-mail or browsing a Web site without a user explicitly instructing macro execution. Therefore, as in this embodiment, the filter processing unit 104 completely shuts out viruses and unnecessary contents so that they cannot enter the base B network 100B, thereby increasing the security safety. it can.
As described above in detail, according to the present embodiment, an anti-virus or content filter that performs filtering according to the content of received data regardless of whether the data is encrypted or non-encrypted in the base network. Can be used effectively. Accordingly, it is possible to appropriately perform filter processing such as virus detection and unnecessary content detection while protecting the inside and outside of the base network from information leakage by using encryption. In addition, even when it is necessary to perform data communication in plain text without performing encryption in the base network, it is possible to appropriately perform filter processing such as virus detection and unnecessary content detection.
In the above-described embodiment, the example in which the firewall 103, the filter processing unit 104, and the security gateway device 105 are provided only in the base B network 100B has been described. However, the base A network 100A may have the same configuration. Needless to say.
Further, in the above-described embodiment, an example in which the security gateway device 105 includes only the functions of the first encryption / decryption processing unit 105a and the second encryption / decryption processing unit 105b has been described, but the function of the filter processing unit 104 is also integrated. As an alternative, the security gateway device 105 may be configured. In this way, there is a risk that information is stolen and leaked between the first encryption / decryption processing unit 105 a and the filter processing unit 104 and between the second encryption / decryption processing unit 105 b and the filter processing unit 104. Can be suppressed. Further, the function of the firewall 103 may be incorporated into the security gateway device 105.
Moreover, although the said embodiment demonstrated the example of the VPN network which constructed | assembled the VPN tunnel 200a on the internet 200, it is not limited to this. For example, the present invention can be similarly applied to a network that performs non-encryption on the Internet 200 (for example, an end-to-end type encryption communication network that is performed by installing encryption software in a personal computer in a base network). In this case, the first encryption / decryption processing unit 105a or the second encryption / decryption processing unit 105b of the security gateway device 105 performs a decryption process depending on whether encrypted communication or non-encrypted communication is performed between terminals in the base. Whether or not to perform is determined.
In the above-described embodiment, the example in which the filter processing unit 104 and the security gateway device 105 are provided on the downstream side of the VPN router 102B has been described. However, the filter processing unit 104 and the security gateway device 105 may be provided on the upstream side of the VPN router 102B. In a network environment in which encryption is doubled between the encryption software in the personal computer and the VPN router and the filter processing unit 104 and the security gateway device 105 are provided on the upstream side of the VPN router 102B, the security gateway device 105 includes: A function is provided to decrypt both the encryption applied by the personal computer and the encryption applied by the VPN router. Further, in the case of a network environment in which only one of the encryption software in the personal computer or the VPN router is used for communication, the security gateway device 105 has either the encryption applied on the personal computer or the encryption applied on the VPN router. A function for decoding one of them is provided.
In the above embodiment, the example in which the manager terminal is provided in each of the site A network 100A and the site B network 100B has been described. However, one manager terminal may be provided on the Internet 200.
In addition, the functions of the first encryption / decryption processing unit 105a and the second encryption / decryption processing unit 105b of the security gateway device 105 of the present embodiment can be realized by any of a hardware configuration, a DSP, and software. Is possible. For example, when realized by software, the security gateway device 105 of the present embodiment is actually configured by including a CPU, MPU, RAM, ROM, and the like, and can be realized by operating a program stored in the RAM or ROM.
In the above embodiment, branch networks 100A, 100B terminal 101A -1 ~101A -m present inside, 101B -1 ~101A -n and branch network 100A, the VPN client 300 present 100B outside of all PC However, these terminals do not necessarily have to be personal computers.
In addition, each of the above-described embodiments is merely an example of implementation in carrying out the present invention, and the technical scope of the present invention should not be construed in a limited manner. In other words, the present invention can be implemented in various forms without departing from the spirit or main features thereof.

本発明は、データの暗号化やフィルタ処理などのセキュリティに関する処理を行う構成を含んだ拠点ネットワークに設置するゲートウェイ装置に有用である。  INDUSTRIAL APPLICABILITY The present invention is useful for a gateway device installed in a base network including a configuration that performs processing related to security such as data encryption and filtering.

Claims (1)

入力されるデータが暗号化されているか否かを判定し、暗号化されている場合にはその入力データを復号してフィルタ処理部に供給し、暗号化されていない場合にはその入力データを復号せずに上記フィルタ処理部に供給する復号処理手段と、
送信元端末および送信先端末のアドレス情報に基づいて暗号の適否を判定し、暗号を適用すべき場合には上記フィルタ処理部より出力されたデータを暗号化して上記送信先端末に転送し、暗号を適用すべきでない場合には上記フィルタ処理部より出力されたデータを暗号化せずに上記送信先端末に転送する暗号処理手段とを備えたことを特徴とするセキュリティゲートウェイ装置。It is determined whether or not the input data is encrypted. If the data is encrypted, the input data is decrypted and supplied to the filter processing unit. If the data is not encrypted, the input data is Decoding processing means for supplying the filter processing unit without decoding;
Based on the address information of the transmission source terminal and the transmission destination terminal, whether or not encryption is appropriate is determined. When encryption is to be applied, the data output from the filter processing unit is encrypted and transferred to the transmission destination terminal. A security gateway apparatus comprising: encryption processing means for transferring the data output from the filter processing section to the destination terminal without encryption when the data is not to be applied.
JP2006511131A 2004-03-22 2005-01-14 Security gateway device Withdrawn JPWO2005091581A1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2004081776 2004-03-22
JP2004081776 2004-03-22
PCT/JP2005/000714 WO2005091581A1 (en) 2004-03-22 2005-01-14 Security gateway apparatus

Publications (1)

Publication Number Publication Date
JPWO2005091581A1 true JPWO2005091581A1 (en) 2008-02-07

Family

ID=34994062

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006511131A Withdrawn JPWO2005091581A1 (en) 2004-03-22 2005-01-14 Security gateway device

Country Status (3)

Country Link
JP (1) JPWO2005091581A1 (en)
TW (1) TW200534657A (en)
WO (1) WO2005091581A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012085148A (en) * 2010-10-13 2012-04-26 Nec Corp Data protection system, user terminal, and server
WO2012173234A1 (en) * 2011-06-17 2012-12-20 日本電気株式会社 Communication control device, communication control method, and program
JP6923038B2 (en) * 2019-04-26 2021-08-18 株式会社安川電機 Communication systems, communication methods, and programs
EP3731044B1 (en) 2019-04-26 2022-09-07 Kabushiki Kaisha Yaskawa Denki Communication system and communication method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6609196B1 (en) * 1997-07-24 2003-08-19 Tumbleweed Communications Corp. E-mail firewall with stored key encryption/decryption

Also Published As

Publication number Publication date
WO2005091581A1 (en) 2005-09-29
TW200534657A (en) 2005-10-16

Similar Documents

Publication Publication Date Title
Iqbal et al. Security issues in software defined networking (SDN): risks, challenges and potential solutions
KR100695827B1 (en) Integrated security device and how it works
AU2003222180B2 (en) System and method for detecting an infective element in a network environment
EP1564963B1 (en) System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication
Kesh et al. A framework for analyzing e‐commerce security
US7793094B2 (en) HTTP cookie protection by a network security device
US7516485B1 (en) Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic
US20130097692A1 (en) System and method for host-initiated firewall discovery in a network environment
Khan et al. NETWORK THREATS, ATTACKS AND SECURITY MEASURES: A REVIEW.
Rahman et al. Security attacks on wireless networks and their detection techniques
Agham Unified threat management
Bellovin et al. Security mechanisms for the Internet
Navaz et al. Security Aspects of Mobile IP
JPWO2005091581A1 (en) Security gateway device
Mohamed Introduction to Cyber Security
Jayaram et al. A Brief Study of Computer Network Security Technologies
Tariq et al. Evaluating the Effectiveness and Resilience of SSL/TLS, HTTPS, IPSec, SSH, and WPA/WPA2 in Safeguarding Data Transmission
Yang et al. Security on ipv6
Soriano Information and network security
Goyal et al. Computer Network Security and Protection Strategy.
KR100663757B1 (en) Secure network system
Kumar et al. Analysis of Network Security Issue and Its Attack and Defence
MAREȘ Solutions to Secure a Network
Shah Certificate
Niedźwiedziński et al. Telework and Security.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080111

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20100121