信息处理装置和方法制造方法及图纸

本发明专利技术涉及信息处理装置和方法，其目的在于降低电子证书的漏检。在网络监视装置中，具备：通信取得单元，其在到达对方侧终端之前取得通信；协议分析单元，其通过对所取得的通信的协议进行分析，确定该通信中包含的、包含成为保密的对象的会话中的通信对方的电子证书的会话确立用消息；证书提取单元，其从所确定的会话确立用消息中提取电子证书；以及检查单元，检查所提取出的电子证书。

【技术实现步骤摘要】
信息处理装置和方法
本公开涉及用于检查电子证书的技术。
技术介绍
以往，提出了接受来自客户端的检查请求而验证证书的证书验证服务器(参照非专利文献1)。另外，提出一种分析装置，该分析装置在终端进行了已知的不正当通信中的某种不正当通信的情况下，在从该不正当通信的发生时刻起的规定范围的时间段中，终端取得在通信中使用的通信目的地的访问URL，根据所取得的各通信目的地的访问URL在不正当通信和其他不正当通信中出现的频度，从各通信目的地的访问URL中检测与不正当通信关联的通信目的地的访问URL(参照专利文献1)。现有技术文献专利文献专利文献1：日本特开2015－082769号公报非专利文献非专利文献1：株式会社日立製作所，「<証明書検証サーバ>製品紹介」http://www.hitachi.co.jp/Prod/comp/app/kensho/product.html，平成27年9月24日取得
技术实现思路
专利技术要解决的技术问题以往，在SSL/TLS等密码通信中，出于认证通信对方的目的，利用电子证书。但是，以往，通过进行终端的应用来检查电子证书，所以在应用的安装不完备的情况下，有可能与意料不到的通信目的地进行通信。针对这样的问题，以往，提出了通过代理服务器来检查的方法、强化所利用的应用的检查功能的方法等，但在采用这样的方法的情况下，针对应用，需要进行用于利用代理服务器的设定、用于检查功能强化的设定等，有可能发生电子证书的漏检。另外，在恶意软件中，为了与C&C服务器进行密码通信，也有时使用SSL/TLS协议，这样的恶意软件不使用正当的电子证书的情况也较多。并且，由于本来应该进行电子证书的检查的终端应用是恶意软件，所以在终端侧也难以检查这样的电子证书。本公开鉴于上述问题，以降低电子证书的漏检作为课题。解决技术问题的技术手段本公开的一个例子涉及一种信息处理装置，具备：通信取得单元，其在连接于网络的第一终端与第二终端之间的通信到达对方侧终端之前取得该通信；协议分析单元，其通过对通过所述通信取得单元取得的通信的协议进行分析，确定该通信中包含的会话确立用消息，该会话确立用消息包含成为保密的对象的会话中的通信对方的电子证书；证书提取单元，其从通过所述协议分析单元确定了的所述会话确立用消息中提取电子证书；以及检查单元，其检查所提取出的所述电子证书。本公开能够作为信息处理装置、系统、通过计算机执行的方法或者使计算机执行的程序来把握。另外，本公开也能够设为将这样的程序记录于计算机之外的装置、机械等可读的记录介质中来把握。此处，计算机等可读的记录介质是指能够通过电、磁、光学、机械或者化学作用来累积数据、程序等信息、并且从计算机等读取的记录介质。专利技术效果根据本公开，能够降低电子证书的漏检。附图说明图1是示出实施方式的系统的结构的概略图。图2是示出实施方式的网络监视装置的硬件结构的图。图3是示出实施方式的网络监视装置的功能结构的概略的图。图4是示出实施方式的数据处理的流程的流程图。图5是示出实施方式的检查处理的流程的流程图。图6是示出实施方式的SSL/TLS会话确立处理和在这之前执行的名字解析处理的流程的序列图。图7是示出实施方式的SSL/TLS会话确立处理和在这之前执行的与代理服务器的会话确立处理的流程的序列图。图8是示出实施方式的系统的结构的变形的概略图。具体实施方式以下，根据附图，说明本公开的信息处理装置、方法和程序的实施方式。但是，以下说明的实施方式是例示实施方式，并非将本公开的信息处理装置、方法和程序限定于以下说明的具体结构。在实施时，也可以适当采用与实施的形式相应的具体结构，并且进行各种改进、变形。在本实施方式中，说明在用于监视网络的系统中实施本公开的信息处理装置、方法和程序的情况下的实施方式。但是，本公开的信息处理装置、方法和程序能够针对用于检查电子证书的技术而广泛使用，本公开的应用对象不限定于在本实施方式中示出的例子。<系统的结构>图1是示出本实施方式的系统1的结构的概略图。本实施方式的系统1具备连接多个信息处理终端90(以下，称为“节点90”)的网络分段2以及用于监视与节点90相关的通信的网络监视装置20。另外，网络分段2内的节点90能够经由路由器10来与经由因特网、广域网在远程位置连接了的各种服务器进行通信。在本实施方式中，网络监视装置20连接于网络分段2的开关或者路由器(在图1所示的例子中，路由器10)与处于其上级的其他开关或者路由器之间，从而取得通过的数据包、帧等。在这种情况下，关于所取得的数据包中的可以不切断的数据包，网络监视装置20以进行转送的联机(inline)模式进行动作。图2是示出本实施方式的网络监视装置20的硬件结构的图。此外，在图2中，关于网络监视装置20以外的结构(路由器10、节点90等)，省略图示。网络监视装置20是具备CPU(CentralProcessingUnit，中央处理单元)11、RAM(RandomAccessMemory，随机存取存储器)13、ROM(ReadOnlyMemory，只读存储器)12、EEPROM(ElectricallyErasableandProgrammableReadOnlyMemory，电可擦除可编程只读存储器)、HDD(HardDiskDrive，硬盘驱动器)等存储装置14、NIC(NetworkInterfaceCard，网络接口卡)15等通信单元等的计算机。图3是示出本实施方式的网络监视装置20的功能结构的概略的图。此外，在图3中，关于网络监视装置20以外的结构(路由器10和节点90等)，省略图示。通过RAM13读出在存储装置14中记录的程序并通过CPU11来执行，从而网络监视装置20作为具备通信取得部21、流管理部22、协议分析部23、证书提取部24、识别信息提取部25、检查部26、信息取得部27、事件处理部28和通信切断部29的信息处理装置而发挥功能。此外，在本实施方式中，网络监视装置20具备的各功能通过作为通用处理器的CPU11来执行，但这些功能的一部分或者全部也可以通过一个或者多个专用处理器来执行。另外，这些功能的一部分或者全部也可以使用云技术等，通过在远程位置设置的装置、分散设置的多个装置来执行。通信取得部21在通过与网络连接的终端发送接收的通信的数据到达对方侧终端之前取得该数据。此外，在本实施方式中，在成为由网络监视装置20实施的监视和探测的对象的“终端”中，除了与网络分段2连接了的节点90之外，还包括经由路由器10与节点90进行通信的其他终端(属于其他网络的节点、外部服务器等)。流管理部22识别通过通信取得部21取得的数据属于的通信流(以下，也简称为“流”)，另外，每当接收到属于各个流的数据时，根据所取得的数据、分析结果、检查结果来更新流表(省略图示)，从而对流进行管理。此处，流是指用于识别TCP(TransmissionControlProtocol，传输控制协议)的连接、SSL/TLS的会话等、1组数据的发送接收的单位。在流表中，针对通过网络监视装置20取得的通信的每个流，管理与该流相关的信息(以下，称为“流关联信息”)。在本实施方式中，通过附加流ID来识别流，流管理部22能够将流ID作为关键字本文档来自技高网...

【技术保护点】
一种信息处理装置，其特征在于，具备：通信取得单元，其在连接于网络的第一终端与第二终端之间的通信到达对方侧终端之前取得该通信；协议分析单元，其通过对通过所述通信取得单元取得的通信的协议进行分析，确定该通信中包含的会话确立用消息，该会话确立用消息包含成为保密的对象的会话中的通信对方的电子证书；证书提取单元，其从通过所述协议分析单元确定了的所述会话确立用消息中提取电子证书；以及检查单元，其检查所提取出的所述电子证书。

【技术特征摘要】
2015.11.27 JP 2015-2316971.一种信息处理装置，其特征在于，具备：通信取得单元，其在连接于网络的第一终端与第二终端之间的通信到达对方侧终端之前取得该通信；协议分析单元，其通过对通过所述通信取得单元取得的通信的协议进行分析，确定该通信中包含的会话确立用消息，该会话确立用消息包含成为保密的对象的会话中的通信对方的电子证书；证书提取单元，其从通过所述协议分析单元确定了的所述会话确立用消息中提取电子证书；以及检查单元，其检查所提取出的所述电子证书。2.根据权利要求1所述的信息处理装置，其特征在于，所述检查单元进一步检查所述会话中的通信对方的正当性。3.根据权利要求2所述的信息处理装置，其特征在于，还具备识别信息提取单元，该识别信息提取单元在通过所述通信取得单元取得的通信中，从在所述会话确立用消息的发送接收之前在所述第一终端与所述第二终端之间发送接收的通信中，提取所述通信对方的识别信息，所述检查单元通过对通过所述识别信息提取单元提取出的所述通信对方的识别信息与所述电子证书中包含的对象服务器信息进行比较，检查所述会话中的通信对方的正当性。4.根据权利要求3所述的信息处理装置，其特征在于，所述识别信息提取单元从在所述会话确立用消息之前发送接收的用于名字解析的消息中，提取需要进行名字解析的所述通信对方的识别信息。5.根据权利要求3所述的信息处理装置，其特征在于，所述识别信息提取单元从发送至对所述第一终端与所述第二终端之间的通信进行中介的中介服务器的会话确立用消息中包含的、表示经由该中介服务器的通信的接收方的信息中，提取所述通信对方的识别信息。6.根据权利要求2所述的信息处理装置，其特征在于，还具备识别信息提取单元，该识别信息提取单元从所述会话确立用消息中提取所述通信对方的识别信息，所述检查单元通过对通过所述识别信息提取单元提取出的所述通信对方的识别信息与所述电子证书中包含的对象服务器信息进行比较，检查所述会话中的通信对方的正当性。7.根据权利要求1至6中的任一项所述的信息处理装置，其特征在于，还具备信息取得单元，该信息取得单元从外部服务器取得与所述电子证书有关的信息，所述检查单元根据从外部服务器取得的信息，检查所述电子证书。8.根据权利要求1至7中的任一项所述的信息处理装置，其特征在于，所述检查单元通过对会话确立用消息中包含的在将被确立的会话中使用的密码通信方式、与预先定义的、在设置有该信息处理装置的环境中被许可的密码通...

【专利技术属性】
技术研发人员：小林峻，寺田成吾，
申请(专利权)人：株式会社PFU，
类型：发明
国别省市：日本,JP