[发明专利]中继处理装置、中继处理方法

说明书

技术领域

本发明涉及中继处理装置、中继处理方法，特别涉及用于在对基于加密通信的数据进行中继时，能够检查该数据并且根据合法的证书确认通信对方的合法性的技术。

背景技术

近年来，随着经由因特网的信息交换变得活跃，病毒/恶意代码造成的危害、企业等中的顾客信息和营业机密等的信息泄漏引起的社会信用的丧失和赔偿请求造成的金钱损失等信息安全所相关的问题越来越深刻。

针对这样的问题，一般通过以防火墙、杀毒软件为首的软件、信息处理装置来解决。

特别在占据因特网的利用的大半的Web通信中，在企业等组织中，通过防火墙、URL过滤软件、杀毒软件、以及内容过滤软件等系统，实施了访问禁止被认为是业务以外利用的站点、下载数据的病毒检查/驱除、以及被认为是信息泄漏的外部发送数据的访问控制等对策。

这些对策，在利用者的终端装置中实施，并且在设置在组织内的网络与因特网的边界区域中的中继处理系统中对要中继的数据的内容进行检查，从而实现。

但是，关于对Web的通信协议即HTTP等提供加密功能的SSL(Secure Socket Layer，安全套接层)、TLS(Transport LayerSecurity，传输层安全)通信，对在客户机终端(还简称为客户机)与服务器之间通信的数据进行加密。在所述那样的管理安全的中继处理系统中，仅能够对该加密后的数据进行隧道(直通)来进行处理，所以无法检查通信内容，无法在中继处理系统检查、控制以什么样的应用协议连接、发送了什么样的信息、以及下载了什么样的信息。

因此，对于在组织内外的边界区域中作为防御壁而提高安全性的网络安全系统(中继处理系统等)，如果无法应用通信内容的详细的检查和访问控制，则造成漏洞。

作为针对这样的问题点的解决对策，对于被称为中间者(man-in-the-middle)手法的方式(中间者方式)，使加密通信的内容在中继处理系统中暂时复原为明文之后实施通信数据的检查的技术记载于非专利文献1中。

在通常的代理服务器中，在对SSL(包括TLS)上的HTTP通信(HTTPS)进行中继的情况下，通过将一个(例如客户机与代理服务器之间)传输层联接和另一个(例如代理服务器与Web服务器之间)传输层联接在双方向上桥接(隧道)来实现，此时，在客户机与Web服务器之间确立SSL联接。

相对于此，在中间者方式中，在客户机与代理服务器之间确立1个SSL联接，在另一方的代理服务器与Web服务器之间也确立另一SSL联接，在两个SSL联接之间对应用层数据(HTTP事务数据)进行桥接，从而实现了中继处理。通过采取这种方式，中继处理系统能够暂时对加密了的中继数据(通信数据)进行解密，而能够对解密后的明文数据进行检查等处理。

另外，在专利文献1中，记载了代理服务器以中间者方式为基础在通信时根据Web服务器的主机制作客户机为了进行服务器认证而接收的临时的密码通信中继许可证并提供给客户机的技术。

非专利文献1：Eric Rescorla著《mastering TCP/IP SSL(包括TLS)编》Ohmsha第1版“9.16.2man-in-the-middle Proxy”

专利文献1：日本特开2006-165678号公报

发明内容

但是，在非专利文献1中，客户机侧的SSL联接(客户机终端与代理服务器之间的SSL联接)和Web服务器侧的SSL联接(代理服务器与Web服务器之间的SSL联接)相互独立而不同，所以客户机终端无法取得Web服务器的服务器公开密钥证书，无法对该Web服务器执行SSL(包括TLS)提供的服务器认证。

即，客户机终端将在与中继处理装置(代理服务器)之间的SSL联接中提供的中继处理装置的服务器公开密钥证书取得为Web服务器的证书，所以难以根据合法的证书来确认通信对方的合法性。其原因为，该服务器公开密钥证书是中继处理装置的数据，所以通常被固定化成1个，即使在通信目的地即Web服务器不同的情况下始终对客户机终端提供相同的证书。

另外同样地，Web服务器无法对客户机终端执行SSL(包括TLS)的功能即客户机认证。Web服务器仅能够将在与中继处理装置之间的SSL联接中提供的中继处理装置的客户机公开密钥证书取得为客户机的证书。因此，Web服务器难以根据合法的证书来确认客户机终端的合法性。