CN111615814B - Ip网中的通信线路的相互认证系统 - Google Patents
Ip网中的通信线路的相互认证系统 Download PDFInfo
- Publication number
- CN111615814B CN111615814B CN201880086620.8A CN201880086620A CN111615814B CN 111615814 B CN111615814 B CN 111615814B CN 201880086620 A CN201880086620 A CN 201880086620A CN 111615814 B CN111615814 B CN 111615814B
- Authority
- CN
- China
- Prior art keywords
- activated
- communication
- packet
- activation
- syn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
不管有无通信线路的冒充,在能在启动侧与被启动侧的通信线路间进行基于三次握手的连接的状况下,能判定在启动侧通信线路是否有冒充。在通信终端装置(5、6)的上级分别配置认证组件(7、8)。在通信终端装置间进行1次的三次握手的期间,在有关系的通信线路间进行2次的三次握手。从一方的通信线路(2)启动另一方的通信线路(3),在通信线路间建立了基于第1次的三次握手的连接时将连接切断,之后,在启动侧通信线路,判定是否在给定的定时从被启动侧通信线路发送来SYN(2),另一方面,在被启动侧通信线路,判定是否SYN、ACK(2)作为针对SYN(2)的响应而从启动侧通信线路到达,由此来相互认证通信线路。
Description
技术领域
本发明涉及如下系统:在通过分别被附加固有的识别编号的通信线路与IP网连接、基于识别编号并通过三次握手唯一连接的启动侧与被启动侧的通信终端装置间,相互进行通信线路的认证。
背景技术
近年来,燃气以及水管等的自动抄表系统、智能电网、HEMS(Home EnergyManagement System,家庭能量管理系统)、远程监视系统、传感器系统等那样将机器和机器经由通信网连接来进行自主的监视、控制等的M2M系统正在普及。
在这些M2M系统中,通常,中心侧通信装置(一方的机器)和1个或多个通信终端装置(另一方的机器)通过分别被赋予固有的识别编号(IP地址)的通信线路而与IP网连接。
而且,中心侧通信装置的通信线路和通信终端装置的通信线路基于IP地址并通过所谓的三次握手而唯一连接,在中心侧通信装置以及通信终端装置间进行数据通信。
然而,IP网中的通信由于通常是经由多个中继装置而进行的,因此有启动侧的通信线路的IP地址的假冒、即所谓的通信线路的冒充的问题。
即,本来,作为TCP/IP的功能,即使启动侧的通信线路的IP地址被假冒而对被启动侧的通信线路发送了SYN分组,作为来自被启动侧的通信线路的响应的SYN、ACK分组也会被发送到具有该IP地址的通信线路,因此在启动侧的通信线路与被启动侧的通信线路间不执行三次握手的序列,与此相对,通过以下方式来进行“通信线路的冒充”:从假冒了IP地址的启动侧的通信线路启动其他通信线路,并使该启动侧的通信线路与被启动侧的通信线路之间建立基于三次握手的连接,具体地,从一方的通信线路发送假冒了IP地址的SYN分组,将来自另一方的通信线路的SYN、ACK分组以该一方的通信线路为目标来发送。
并且,“通信线路的冒充”例如能通过使用源路由、TCP序列编号预测等公知的方法,或者通过改变路由器等的功能,来容易地执行。
因而在现有技术中,为了防止受到冒充的伤害,保护在装置间传输的数据,到目前位置,提出了:对每个通信发行认证密钥来认证装置的方法(例如参考专利文献1)、将通信加密的方法(例如参考专利文献2)。
进而,另外,到目前位置提出了:在数据通信的中途将连接中断、进行回呼连接的方法(例如参考专利文献3)、对是否是来自容许连接的IP地址的信息到达进行比对的方法(例如参考专利文献4)、通过三次握手建立连接的方法(例如参考专利文献5)。
但在这些现有技术中,必须准备用于认证密钥的发行、加密的复杂且高成本的系统,进而,若认证密钥、密码泄露,或者被破解,就有保证不了数据的安全的传输的危险性。
另外,在这些现有技术中,由于在基于最初的连接的数据通信中已经发生冒充,进而由于不能进行是否是冒充的判别,进而由于未设想冒充等,会有保证不了数据的安全的传输的危险性。
现有技术文献
专利文献
专利文献1:JP特开2015-170220号公报
专利文献2:JP特开2015-128230号公报
专利文献3:国际公开2006/129474号
专利文献4:JP特开2005-193590号公报
专利文献5:JP特开2005-122695号公报
发明内容
发明要解决的课题
因此,本发明的课题在于提供认证系统,不管有无通信线路的冒充,在始终能在启动侧的通信线路与被启动侧的通信线路之间进行基于三次握手的连接的状况下,能判定在启动侧的通信线路是否有冒充。
用于解决课题的手段
为了解决上述课题,根据本发明,提供一种系统,在通过分别被附加固有的识别编号的通信线路与IP网连接并基于所述识别编号而通过三次握手唯一连接的启动侧与被启动侧的通信终端装置间,相互进行通信线路的认证,所述系统的特征在于,所述系统由如下要素构成:启动侧的认证组件,其配置于所述启动侧的通信终端装置与通信线路间,进行所述被启动侧的通信线路的认证;和被启动侧的认证组件,其配置于所述被启动侧的通信终端装置与通信线路间,进行所述启动侧的通信线路的认证,所述启动侧的认证组件具备:启动侧的线路输入输出部,其连接所述启动侧的通信线路,与所述启动侧的通信线路进行通信;启动侧的终端输入输出部,其连接所述启动侧的通信终端装置,与所述启动侧的通信终端装置进行通信;启动侧的序列控制部,其控制在所述启动侧与被启动侧的通信线路间执行的三次握手的序列,并进行所述被启动侧的通信线路的认证;启动侧的分组中继部,其设置在将所述启动侧的线路输入输出部以及终端输入输出部连接的总线,并与所述启动侧的序列控制部连接,将在所述启动侧与被启动侧的通信线路间收发的三次握手的分组以外的分组进行中继,另一方面,将该三次握手的分组与所述启动侧的序列控制部进行收发;和启动侧的分组存放部,其保存在所述启动侧的分组中继部与序列控制部间收发的所述三次握手的分组的数据,所述被启动侧的认证组件具备:被启动侧的线路输入输出部,其连接所述被启动侧的通信线路,与所述被启动侧的通信线路进行通信;被启动侧的终端输入输出部,其连接所述被启动侧的通信终端装置,与所述被启动侧的通信终端装置进行通信;被启动侧的序列控制部,其控制在所述启动侧与被启动侧的通信线路间执行的三次握手的序列,并进行所述启动侧的通信线路的认证;被启动侧的分组中继部,其设置在将所述被启动侧的线路输入输出部以及终端输入输出部连接的总线,与所述被启动侧的序列控制部连接,将在所述启动侧与被启动侧的通信线路间收发的三次握手的分组以外的分组进行中继,另一方面,将该三次握手的分组与所述被启动侧的序列控制部进行收发;和被启动侧的分组存放部,其保存在所述被启动侧的分组中继部与序列控制部间收发的所述三次握手的分组的数据,(i)从所述启动侧的通信终端装置对所述被启动侧的通信终端装置发出的第1次的三次握手的SYN分组在所述启动侧的认证组件中进行中继而被送出到所述启动侧的通信线路后,当其到达所述被启动侧的通信线路,在所述被启动侧的认证组件被接收时,所述SYN分组在所述被启动侧的认证组件进行中继并在所述被启动侧的通信终端装置被接收;(ii)作为所述SYN分组的响应而从所述被启动侧的通信终端装置发出的所述第1次的三次握手的SYN、ACK分组在所述被启动侧的认证组件中进行中继而被送出到所述被启动侧的通信线路后,到达所述启动侧的通信线路,保存到所述启动侧的认证组件;(iii)取代所述启动侧的通信终端装置而从所述启动侧的认证组件作为所述SYN、ACK分组的响应发出的所述第1次的三次握手的ACK分组到达所述被启动侧的通信线路,在所述被启动侧的认证组件被接收,由此,在所述启动侧与被启动侧的通信线路间建立基于所述第1次的三次握手的连接时,在所述启动侧与被启动侧的通信终端装置间不进行数据通信而将该连接切断,(iv)在所述切断后的给定时间内,从所述被启动侧的认证组件对所述启动侧的通信线路发出第2次的三次握手的SYN分组,(v)当所述SYN分组到达所述启动侧的通信线路,在所述启动侧的认证组件被接收时,在所述启动侧的认证组件的序列控制部中,在判定为所述SYN分组所示出的识别编号与基于所述第1次的三次握手的连接时启动的通信线路的识别编号一致,且所述到达在所述切断后的给定时间内进行的情况下,将所述被启动侧的通信线路认证为正当,作为所述SYN分组的响应,从所述启动侧的认证组件对进行了所述SYN分组的发送的通信线路发出所述第2次的三次握手的SYN、ACK分组,(vi)当所述SYN、ACK分组到达所述被启动侧的通信线路,在所述被启动侧的认证组件被接收时,在所述被启动侧的认证组件中将所述启动侧的通信线路认证为正当,作为所述SYN、ACK分组的响应,从所述被启动侧的认证组件对进行了所述SYN、ACK分组的发送的通信线路发出所述第2次的三次握手的ACK分组,(vii)当所述ACK分组在所述启动侧的认证组件被接收到时,将保存于所述启动侧的认证组件的所述第1次的三次握手的SYN、ACK分组对所述启动侧的通信终端装置发送,(viii)作为所述SYN、ACK分组的响应,从所述启动侧的通信终端装置发出针对所述被启动侧的通信终端装置的所述第1次的三次握手的ACK分组,(ix)作为所述第1次的三次握手的SYN、ACK分组的响应的ACK分组从所述被启动侧的认证组件对所述被启动侧的通信终端装置发出,由此,在所述启动侧与被启动侧的通信线路间重建连接,在所述启动侧与被启动侧的通信终端装置间进行数据通信。
发明的效果
根据本发明,在启动侧与被启动侧的通信终端装置间进行1次的三次握手的期间,在有关系的通信线路间执行2次的三次握手。
而且,从启动侧的通信线路启动被启动侧的通信线路,在启动侧与被启动侧的通信线路间建立基于第1次的三次握手的连接时,在通信终端装置间不进行数据通信而切断该连接,在切断后的给定时间内从被启动侧的通信线路对启动侧的通信线路发出第2次的三次握手的SYN分组,在其到达启动侧的通信线路时,在判定为该SYN分组所示出的识别编号与基于第1次的三次握手的连接时启动的通信线路的识别编号一致,且到达在所述切断后的给定时间内进行的情况下,将被启动侧的通信线路认证为正当,从启动侧的通信线路对进行了该SYN分组的发出的通信线路发出第2次的三次握手的SYN、ACK分组,在其到达被启动侧的通信线路时,将启动侧的通信线路认证为正当,从被启动侧的通信线路对进行了该SYN、ACK分组的发出的通信线路发出第2次的三次握手的ACK分组,由此在启动侧与被启动侧的通信线路间建立基于第2次的三次握手的连接,并在启动侧与被启动侧的通信终端装置间进行数据通信。
如此地,不使用认证密钥的发行、加密等那样复杂且高成本的结构,就能通过简单且低成本的结构来实现IP网中的安全的数据通信。
另外,通过取代对每个通信发行认证密钥来认证装置的现有方法,通过本发明的数据通信来发行认证密钥,能实现比基于IP网的现有的数据通信更安全的通信。
进而,在通用的通信系统中,或在大规模的数据系统中,在存在针对应进行重要的保护的数据、存储区的访问时,通过进行本发明的对方认证,能更为提高这些系统的安全性。
附图说明
图1是表示本发明的1实施例的IP网中的通信线路的相互认证系统的概略结构的图。
图2是表示图1的系统中的三次握手的序列的1例的序列图。
图3是表示图1的系统中的三次握手的序列的其他例的序列图。
具体实施方式
以下参考附图并基于优选的实施例来说明本发明的结构。
图1是表示本发明的1实施例的IP网中的通信线路的相互认证系统的概略结构的图。
参考图1,本发明的系统1配置在通过分别被附加固有的识别编号(IP地址)的通信线路2、3来与IP网4连接,基于IP地址并通过三次握手而唯一连接的启动侧与被启动侧的通信终端装置5、6间。
如图1所示那样,本发明的系统1由如下要素构成:启动侧的认证组件7,其配置于启动侧的通信终端装置5与通信线路2间,进行被启动侧的通信线路3的认证;和被启动侧的认证组件8,其配置于被启动侧的通信终端装置6与通信线路3间,进行启动侧的通信线路2的认证。
启动侧的认证组件7具备:启动侧的线路输入输出部9,其连接启动侧的通信线路2,与启动侧的通信线路2进行通信;和启动侧的终端输入输出部10,其经由终端线路22连接启动侧的通信终端装置5,与启动侧的通信终端装置5进行通信。
启动侧的认证组件7另外具备:启动侧的序列控制部14,其控制在启动侧与被启动侧的通信线路2、3间执行的三次握手的序列,并且进行被启动侧的通信线路3的认证;和启动侧的分组中继部12,其设于将启动侧的线路输入输出部9以及终端输入输出部10连接的总线11,与启动侧的序列控制部14连接,将在启动侧与被启动侧的通信线路2、3间收发的三次握手的分组以外的分组进行中继,另一方面,将该三次握手的分组与启动侧的序列控制部14进行收发。
进而,启动侧的认证组件7具备:启动侧的分组存放部13,其保存在启动侧的分组中继部12以及序列控制部14间收发的所述三次握手的分组的数据。
被启动侧的认证组件8具备:被启动侧的线路输入输出部15,其连接被启动侧的通信线路3,与被启动侧的通信线路3进行通信;和被启动侧的终端输入输出部16,其经由终端线路23连接被启动侧的通信终端装置6,与被启动侧的通信终端装置6进行通信。
被启动侧的认证组件8另外具备:被启动侧的序列控制部20,其控制在启动侧与被启动侧的通信线路2、3间执行的三次握手的序列,并进行启动侧的通信线路2的认证;和被启动侧的分组中继部18,其设于将被启动侧的线路输入输出部15以及终端输入输出部16连接的总线17,并与被启动侧的序列控制部20连接,将在启动侧与被启动侧的通信线路2、3间收发的三次握手的分组以外的分组进行中继,另一方面,将该三次握手的分组与被启动侧的序列控制部20进行收发。
进而,被启动侧的认证组件8具备:被启动侧的分组存放部19,其保存在被启动侧的分组中继部18与序列控制部20间收发的所述三次握手的分组的数据;和IP地址存放部21,其预先登记容许与被启动侧的通信终端装置6的通信的启动侧的通信终端装置5的通信线路的IP地址。
图2是表示图1的系统中的三次握手的序列的1例的序列图。
参考图1以及图2,首先,从启动侧的通信终端装置5对被启动侧的通信终端装置6发出第1次的三次握手的SYN分组[SYN(1)](图2的S1),其被输入到启动侧的认证组件7的终端输入输出部10。
接下来,SYN(1)由分组中继部12中继,从线路输入输出部9输出到启动侧的通信线路2,SYN(1)的数据经由分组中继部12以及序列控制部14而被保存到分组存放部13(图2的F11)。
SYN(1)到达被启动侧的通信线路3,被输入到被启动侧的认证组件8的线路输入输出部15,SYN(1)的数据经由分组中继部18以及序列控制部20而保存到分组存放部19。
进而,在该实施例中,在序列控制部20中判定SYN(1)所示出的发送源IP地址是否被登记在识别编号存放部21,在判定为被登记的情况下,SYN(1)在分组中继部18进行中继并从被启动侧的终端输入输出部16输出,在通信终端装置6被接收(图2的F21),另一方面,在判定为否的情况下,SYN(1)不被输出到终端线路23,第1次的三次握手中断。
接下来,作为SYN(1)的响应,从被启动侧的通信终端装置6发出第1次的三次握手的SYN、ACK分组[SYN、ACK(1)](图2的S2)。输入到终端输入输出部16的SYN、ACK(1)在分组中继部18进行中继,并从线路输入输出部15输出到被启动侧的通信线路3,SYN、ACK(1)的数据经由分组中继部18以及序列控制部20而被保存到分组存放部19(图2的F22)。
SYN、ACK(1)到达启动侧的通信线路2,被输入到启动侧的认证组件7的线路输入输出部9,SYN、ACK(1)的数据经由分组中继部12以及序列控制部14而被保存到分组存放部13。
然后,作为SYN、ACK(1)的响应,取代启动侧的通信终端装置5,从序列控制部14发出第1次的三次握手的ACK分组[ACK(1’)](图2的S11),其在分组中继部12进行中继,并从线路输入输出部9输出到启动侧的通信线路2(图2的F12)。ACK(1’)基于保存在分组存放部13的SYN(1)和SYN、ACK(1)的数据来生成。
ACK(1’)到达被启动侧的通信线路3,被输入到被启动侧的认证组件8的线路输入输出部15,ACK(1’)的数据经由分组中继部18以及序列控制部20而保存到数据存放部19。取代被启动侧的通信终端装置6,ACK(1’)在序列控制部20被接收。由此在启动侧与被启动侧的通信线路间建立基于第1次的三次握手的连接(图2的F23)。
在该连接建立时,在启动侧与被启动侧的通信终端装置间不进行数据通信而将该连接切断(图2的F13、F24),在切断后的给定时间内,从被启动侧的认证组件8的序列控制部20对启动侧的通信线路2发出第2次的三次握手的SYN分组[SYN(2)](图2的S21),从分组中继部18经由线路输入输出部15被输出到被启动侧的通信线路3(图2的F24)。这时,SYN(2)的数据保存在分组存放部19。SYN(2)基于保存在分组存放部19的SYN(1)和SYN、ACK(1)的数据来生成。
例如通过在从被启动侧的认证组件8对启动侧的认证组件7发出FIN分组后,从启动侧的认证组件7对被启动侧的认证组件8返回ACK分组,接着在返回了FIN分组后,通过从被启动侧的认证组件8对启动侧的认证组件7返回ACK分组,或者通过使超时产生,来进行切断。
SYN(2)到达启动侧的通信线路2,被输入到启动侧的认证组件7的线路输入输出部9,SYN(2)的数据经由分组中继部12以及序列控制部14而被保存到分组存放部13,在SYN(2)由序列控制部14接收到时(图2的F14),在序列控制部14中判定为SYN(2)所示出的发送源IP地址与基于第1次的三次握手的连接时启动的通信线路的IP地址一致且所述到达是在所述切断后的给定时间内进行的情况下,将被启动侧的通信线路3认证为正当,作为SYN(2)的响应,从序列控制部14对进行了SYN(2)的发送的通信线路发出第2次的三次握手的SYN、ACK分组[SYN、ACK(2)](图2的S12),其在分组中继部12进行中继,并从线路输入输出部9输出到启动侧的通信线路2(图2的F15),SYN、ACK(2)的数据保存到分组存放部13。
这时,若之前的连接的建立是从冒充为正当的通信线路的假冒的通信终端装置启动其他正当的通信线路的连接的建立,则由于在被冒充的正当的通信终端装置中不存在启动了该其他正当的通信线路这样的信息,因此被冒充的正当的通信终端装置将到达的SYN(2)丢弃,不发送SYN、ACK(2)。
其结果,被冒充的正当的通信终端装置和被启动侧的通信终端装置不会连接,被启动侧的通信终端装置和假冒的通信终端装置也不会连接。
SYN、ACK(2)到达被启动侧的通信线路3,被输入到被启动侧的认证组件8的线路输入输出部15,SYN、ACK(2)的数据经由分组中继部18以及序列控制部20而被保存到分组存放部19。在SYN、ACK(2)由序列控制部20接收到时(图2的F25),在序列控制部20中将启动侧的通信线路2认证为正当,作为SYN、ACK(2)的响应,从序列控制部20对进行了SYN、ACK(2)的发送的通信线路发出第2次的三次握手的ACK分组[ACK(2)](图2的S22),将其经由分组中继部18从线路输入输出部15输出到被启动侧的通信线路3(图2的F126)。这时,将ACK(2)的数据保存到分组存放部19。
ACK(2)到达启动侧的通信线路2,被输入到启动侧的认证组件7的线路输入输出部9,ACK(2)的数据经由分组中继部12以及序列控制部14而被保存到分组存放部13,在ACK(2)由序列控制部14接收到时,从序列控制部14对启动侧的通信终端装置5发出第1次的三次握手的SYN、ACK分组[SYN、ACK(1)](图2的S2’),SYN、ACK(1)在分组控制部12进行中继,从终端输入输出部10输出到启动侧的通信终端装置5(图2的F116)。在此,SYN、ACK(1)是之前保存在分组存放部13的SYN、ACK(1)(图2的F12)。
然后,在启动侧的通信终端装置5接收到SYN、ACK(1)时,作为SYN、ACK(1)的响应,从启动侧的通信终端装置5对被启动侧的通信终端装置6发出ACK(1)(图2的S3),其被输入到启动侧的认证组件7的终端输入输出部10。进而,该ACK(1)在分组中继部12进行中继,从线路输入输出部9被输出到启动侧的通信线路2(F117)。这时,ACK(1)的数据保存到序列控制部14。
该ACK(1)到达被启动侧的通信线路3,被输入到被启动侧的认证组件8的线路输入输出部15,ACK(1)的数据经由分组中继部18以及序列控制部20而被保存到分组存放部19。ACK(1)在分组中继部18进行中继,并从终端输入输出部16输出到被启动侧的通信终端装置6(F127),由被启动侧的通信终端装置6接收。
由此,在启动侧与被启动侧的终端线路22、23间重建连接,在启动侧与被启动侧的通信终端装置5、6间进行数据通信(图2的F118、F128)。
图3是表示图1的系统中的三次握手的序列的其他例的序列图。
图3所示的三次握手的序列与图2所示的三次握手的序列仅在启动侧与被启动侧的通信终端装置5、6间的ACK分组的收发的步骤上不同。因而,图3中,对与图2所示相同的构成要素标注相同编号,以下省略它们的详细的说明。
参考图3,在该序列中,保存第1次的三次握手的ACK分组[ACK(1’)](图3的F23),在SYN、ACK(2)从被启动侧的认证组件8的线路输入输出部15经由分组中继部18在序列控制部20被接收时(图3的F25),在序列控制部20将启动侧的通信线路2认证为正当,作为SYN、ACK(2)的响应,从序列控制部20对进行了SYN、ACK(2)的发送的通信线路发出ACK(2)(图3的S22),将其从线路输入输出部15输出到被启动侧的通信线路3(图3的F226)。
ACK(2)到达启动侧的通信线路2,被输入到启动侧的认证组件7的线路输入输出部9,ACK(2)的数据经由分组中继部12以及序列控制部14而被保存到分组存放部13,在ACK(2)由序列控制部14接收时,从序列控制部14对启动侧的通信终端装置5发出之前保存的(图3的F12)第1次的三次握手的SYN、ACK(1)(图3的S2’),SYN、ACK(1)在分组控制部12进行中继,从终端输入输出部10被输出到启动侧的通信终端装置5(图3的F216)。
然后,在启动侧的通信终端装置5接收到SYN、ACK(1)时,作为SYN、ACK(1)的响应,从启动侧的通信终端装置5对被启动侧的通信终端装置6发出ACK(1)(图3的S3),该ACK(1)被输入到启动侧的认证组件7的终端输入输出部10,经由分组中继部12在序列控制部14被接收(图3的F217)。
另一方面,在被启动侧的认证组件8中,在从序列控制部20发出ACK(2)(图3的S22)后(图3的F226),从序列控制部20对被启动侧的通信终端装置6发出之前保存的(图3的F23)ACK(1’)(图3的S11’),ACK(1’)在分组中继部18进行中继,从终端输入输出部16被输出到被启动侧的通信终端装置6(图3的F227)。然后,该ACK(1’)在被启动侧的通信终端装置6被接收,由此,在启动侧与被启动侧的终端线路22、23间重建连接,在启动侧与被启动侧的通信终端装置5、6间进行数据通信(图3的F218、F228)。
根据本发明的系统1,在通信终端装置间进行1次的三次握手的期间,在有关系的通信线路间进行2次的三次握手,从一方的通信线路启动另一方的通信线路,在这些通信线路间建立基于第1次的三次握手的连接时暂时将连接切断,之后在启动侧的通信线路中,判定是否在给定的定时回呼的信号(SYN分组)从被启动侧的通信线路到达,另一方面,在被启动侧的通信线路中,判定针对对启动侧的通信线路发出的所述回呼的信号(SYN分组)的响应的信号(SYN、ACK分组)是否从启动侧的通信线路发送过来,由此能在启动侧和被启动侧双方简单且可靠地判定在启动侧的通信线路中是否有冒充。然后,仅在能确认启动侧以及被启动侧的双方的通信线路的正当性的情况下进行数据通信。
由此,不使用认证密钥的发行、加密等这样复杂且高成本的结构,就能通过简单且低成本的结构实现IP网中的安全的数据通信。
以上叙述了本发明的优选的实施例,但本发明的结构并不限定于上述实施例,本领域技术人员能在记载于添附的权利要求书的结构的范围内导出种种变形例,这点不言自明。
例如在上述实施例中,预先登记于识别编号存放部的识别编号由1个或多个IP地址构成,但根据本发明的用途、实施状况,还能由IP地址与端口编号的组合来构成识别编号。
另外,在上述实施例中,为了限制与第三者或不需要的通信线路的通信,被启动侧的认证组件8具备识别编号存放部21,但还能设为被启动侧的认证组件8没有识别编号存放部21的结构。
在该结构中,SYN(1)到达被启动侧的通信线路3,被输入到被启动侧的认证组件8的线路输入输出部15,SYN(1)的数据经由分组中继部18以及序列控制部20而被保存到分组存放部19。SYN(1)在分组中继部18进行中继,从被启动侧的终端输入输出部16输出,并在通信终端装置6被接收(图2以及图3的F21)。
在此,在需要限制与第三者或不需要的通信线路的通信的功能的情况下,在设置于终端线路23的通信终端装置6安装识别编号存放部21。
另外,在上述实施例中,将本发明的系统运用在IP网中的1对1的通信中,但还能将本发明的系统运用在IP网中的1对多、多对多,或同时多个的通信中。
在该情况下,由IP地址与端口编号的组合构成识别编号,通过该识别编号来区别通信(从会话、各个通信的连接直到切断为止的流程),能同时进行多个通信。
由此,例如,若将启动侧的通信线路的通信终端装置作为中心侧通信装置,就能构成由与IP网连接的中心侧通信装置以及多个终端装置构成的M2M系统,在该情况下,根据本发明,终端侧从非法访问得以保护,中心侧能对终端侧提供从非法访问得以保护的通信。
另外,在启动侧是中心侧的情况下,由于中心侧能探测第三者冒充为启动侧来启动,因此在通信系统的安全的运用中有用。
在该实施例中,中心侧,除了能使用通常的启动用的识别编号以外,还能按每种用途使用不同的多个识别编号,用于探测到非法访问时的报告接收,另外用于维护检修时的终端侧的动作状态的确认,另外用于终端的动作模式切换控制。在该情况下,在终端侧设定这些多个识别编号。
另外,为了使IoT系统等的维护性提升,还能构成为:设定多个中心侧通信线路的识别编号,对每个终端侧通信线路,或对每个终端侧通信线路的组设定对应的中心侧通信线路的识别编号,在终端侧通信线路的停止或废止时,将中心侧通信线路中的与这些终端侧通信线路对应的识别编号删除,由此使终端侧通信线路或终端装置停止。
另外,还能将本发明的系统运用于计算机间的高速且大容量的数据通信中。
另外,在本发明的系统中,能避免通过发行(赋予)仅限一次有效的认证密钥(一次性密码)而长时间持续使用同一认证密钥而产生的认证密钥的泄露或认证密钥的破解的危险性。
或者,通过将要传输的数据加密,将其一部分用本发明的系统传输,能防止密码的破解本身。
另外,还能将本发明的系统的启动侧以及被启动侧的认证组件分别与启动侧以及被启动侧的通信终端装置一体化,来设为启动侧以及被启动侧的通信终端装置还分别具备启动侧以及被启动侧的认证组件的功能的结构。
另外,在通信终端装置双向启动而连接的情况下也能运用本发明,在该实施例中,认证组件以单体而具备启动侧以及被启动侧的认证组件的功能。
在该情况下,若使用同一IP地址,则在认证组件的启动侧接收到SYN分组时,无法区别其是回呼的通信还是新的通信,因此在启动侧或被启动侧设定启动用和被启动用的不同的2个IP地址。
附图标记的说明
1 系统
2 启动侧的通信线路
3 被启动侧的通信线路
4 IP网
5 启动侧的通信终端装置
6 被启动侧的通信终端装置
7 启动侧的认证组件
8 被启动侧的认证组件
9 启动侧的线路输入输出部
10 启动侧的终端输入输出部
11 总线
12 启动侧的分组中继部
13 启动侧的分组存放部
14 启动侧的序列控制部
15 被启动侧的线路输入输出部
16 被启动侧的终端输入输出部
17 总线
18 被启动侧的分组中继部
19 被启动侧的分组存放部
20 被启动侧的序列控制部
21 识别编号存放部
22、23 终端线路。
Claims (1)
1.一种IP网中的通信线路的相互认证系统,在通过分别被附加固有的识别编号的通信线路与IP网连接并基于所述识别编号来通过三次握手唯一连接的启动侧与被启动侧的通信终端装置间,相互进行通信线路的认证,所述IP网中的通信线路的相互认证系统的特征在于,
所述IP网中的通信线路的相互认证系统由如下要素构成:
启动侧的认证组件,其配置于所述启动侧的通信终端装置与通信线路间,进行所述被启动侧的通信线路的认证;和
被启动侧的认证组件,其配置于所述被启动侧的通信终端装置与通信线路间,进行所述启动侧的通信线路的认证,
所述启动侧的认证组件具备:
启动侧的线路输入输出部,其连接所述启动侧的通信线路,与所述启动侧的通信线路进行通信;
启动侧的终端输入输出部,其连接所述启动侧的通信终端装置,与所述启动侧的通信终端装置进行通信;
启动侧的序列控制部,其控制在所述启动侧与被启动侧的通信线路间执行的三次握手的序列,并进行所述被启动侧的通信线路的认证;
启动侧的分组中继部,其设置在将所述启动侧的线路输入输出部以及终端输入输出部连接的总线,并与所述启动侧的序列控制部连接,将在所述启动侧与被启动侧的通信线路间收发的三次握手的分组以外的分组进行中继,另一方面,将该三次握手的分组与所述启动侧的序列控制部进行收发;和
启动侧的分组存放部,其保存在所述启动侧的分组中继部与序列控制部间收发的所述三次握手的分组的数据,
所述被启动侧的认证组件具备:
被启动侧的线路输入输出部,其连接所述被启动侧的通信线路,与所述被启动侧的通信线路进行通信;
被启动侧的终端输入输出部,其连接所述被启动侧的通信终端装置,与所述被启动侧的通信终端装置进行通信;
被启动侧的序列控制部,其控制在所述启动侧与被启动侧的通信线路间执行的三次握手的序列,并进行所述启动侧的通信线路的认证;
被启动侧的分组中继部,其设置在将所述被启动侧的线路输入输出部以及终端输入输出部连接的总线,与所述被启动侧的序列控制部连接,将在所述启动侧与被启动侧的通信线路间收发的三次握手的分组以外的分组进行中继,另一方面,将该三次握手的分组与所述被启动侧的序列控制部进行收发;和
被启动侧的分组存放部,其保存在所述被启动侧的分组中继部与序列控制部间收发的所述三次握手的分组的数据,
(i)从所述启动侧的通信终端装置对所述被启动侧的通信终端装置发出的第1次的三次握手的SYN分组在所述启动侧的认证组件中进行中继而被送出到所述启动侧的通信线路后,当其到达所述被启动侧的通信线路,在所述被启动侧的认证组件被接收时,所述SYN分组在所述被启动侧的认证组件进行中继并在所述被启动侧的通信终端装置被接收;
(ii)作为所述SYN分组的响应而从所述被启动侧的通信终端装置发出的所述第1次的三次握手的SYN、ACK分组在所述被启动侧的认证组件中进行中继而被送出到所述被启动侧的通信线路后,到达所述启动侧的通信线路,保存到所述启动侧的认证组件;
(iii)取代所述启动侧的通信终端装置而从所述启动侧的认证组件作为所述SYN、ACK分组的响应发出的所述第1次的三次握手的ACK分组到达所述被启动侧的通信线路,在所述被启动侧的认证组件被接收,由此,在所述启动侧与被启动侧的通信线路间建立基于所述第1次的三次握手的连接时,在所述启动侧与被启动侧的通信终端装置间不进行数据通信而将该连接切断,
(iv)在所述切断后的给定时间内,从所述被启动侧的认证组件对所述启动侧的通信线路发出第2次的三次握手的SYN分组,
(v)当所述SYN分组到达所述启动侧的通信线路,在所述启动侧的认证组件被接收时,在所述启动侧的认证组件的序列控制部中,在判定为所述SYN分组所示出的识别编号与基于所述第1次的三次握手的连接时启动的通信线路的识别编号一致,且所述到达在所述切断后的给定时间内进行的情况下,将所述被启动侧的通信线路认证为正当,作为所述SYN分组的响应,从所述启动侧的认证组件对进行了所述SYN分组的发送的通信线路发出所述第2次的三次握手的SYN、ACK分组,
(vi)当所述SYN、ACK分组到达所述被启动侧的通信线路,在所述被启动侧的认证组件被接收时,在所述被启动侧的认证组件中将所述启动侧的通信线路认证为正当,作为所述SYN、ACK分组的响应,从所述被启动侧的认证组件对进行了所述SYN、ACK分组的发送的通信线路发出所述第2次的三次握手的ACK分组,
(vii)当所述ACK分组在所述启动侧的认证组件被接收到时,将保存于所述启动侧的认证组件的所述第1次的三次握手的SYN、ACK分组对所述启动侧的通信终端装置发送,
(viii)作为所述SYN、ACK分组的响应,从所述启动侧的通信终端装置发出针对所述被启动侧的通信终端装置的所述第1次的三次握手的ACK分组,
(ix)作为所述第1次的三次握手的SYN、ACK分组的响应的ACK分组从所述被启动侧的认证组件对所述被启动侧的通信终端装置发出,由此,在所述启动侧与被启动侧的通信线路间重建连接,在所述启动侧与被启动侧的通信终端装置间进行数据通信。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018-009018 | 2018-01-23 | ||
JP2018009018A JP6472550B1 (ja) | 2018-01-23 | 2018-01-23 | Ip網における通信回線の相互認証システム |
PCT/JP2018/038522 WO2019146182A1 (ja) | 2018-01-23 | 2018-10-16 | Ip網における通信回線の相互認証システム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111615814A CN111615814A (zh) | 2020-09-01 |
CN111615814B true CN111615814B (zh) | 2022-03-04 |
Family
ID=65442988
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880086620.8A Active CN111615814B (zh) | 2018-01-23 | 2018-10-16 | Ip网中的通信线路的相互认证系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11146550B2 (zh) |
JP (1) | JP6472550B1 (zh) |
CN (1) | CN111615814B (zh) |
WO (1) | WO2019146182A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114402647A (zh) * | 2019-09-02 | 2022-04-26 | 格步计程车控股私人有限公司 | 用于确定存在弃权攻击的通信服务器装置和方法 |
US11621927B2 (en) * | 2020-11-23 | 2023-04-04 | Mellanox Technologies, Ltd. | Authentication and data lane control |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1741473A (zh) * | 2005-09-05 | 2006-03-01 | 北京启明星辰信息技术有限公司 | 一种网络数据包有效性判定方法及系统 |
CN1954545A (zh) * | 2003-03-03 | 2007-04-25 | 思科技术公司 | 利用tcp认证ip源地址 |
CN103475706A (zh) * | 2013-09-09 | 2013-12-25 | 中国科学技术大学苏州研究院 | 基于syn-ack双服务器反弹模式的伪tcp隐蔽通信方法 |
CN103546475A (zh) * | 2013-10-29 | 2014-01-29 | 冯丽娟 | 网络通信主体确认方法及系统 |
CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
CN105634660A (zh) * | 2014-07-16 | 2016-06-01 | 阿里巴巴集团控股有限公司 | 数据包检测方法及系统 |
CN106453419A (zh) * | 2016-12-07 | 2017-02-22 | 东软集团股份有限公司 | 识别源ip地址合法性、网络攻击防御的方法及装置 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003316666A (ja) * | 2002-04-19 | 2003-11-07 | Sony Computer Entertainment Inc | スタックのセッション数検証方法、コンピュータに実行させるためのスタックのセッション数検証プログラム、コンピュータに実行させるためのスタックのセッション数検証プログラムを記録したコンピュータ読み取り可能な記録媒体、スタックのセッション数検証システム |
JP4183664B2 (ja) | 2003-09-25 | 2008-11-19 | 株式会社東芝 | 認証方法、サーバ計算機、クライアント計算機、および、プログラム |
JP2005193590A (ja) | 2004-01-09 | 2005-07-21 | Canon Inc | 印刷装置 |
US20060029000A1 (en) * | 2004-05-14 | 2006-02-09 | International Business Machines Corporation | Connection establishment in a proxy server environment |
JP2008205520A (ja) * | 2005-05-31 | 2008-09-04 | Pioneer Electronic Corp | データ転送方法、転送指示用通信端末装置、転送制御用通信端末装置、転送指示用プログラムおよび転送制御用プログラム |
JP2007074498A (ja) * | 2005-09-08 | 2007-03-22 | Oki Electric Ind Co Ltd | メールサービスシステム |
US7743160B2 (en) * | 2007-03-29 | 2010-06-22 | Blue Coat Systems, Inc. | System and method of delaying connection acceptance to support connection request processing at layer-7 |
US20100217990A1 (en) * | 2007-08-09 | 2010-08-26 | Nippon Telegraph And Telephone Corp. | Communication method, relay server device, program, and recording medium |
JP5766780B2 (ja) | 2013-12-27 | 2015-08-19 | 株式会社パレス興業 | デバイス間暗号通信方法及びこれを用いたデータ通信方法 |
JP2015170220A (ja) | 2014-03-07 | 2015-09-28 | 株式会社日立システムズ | 機器認証方法および機器認証システム |
CN110178339B (zh) * | 2017-01-11 | 2022-04-01 | 甲贺电子株式会社 | 数据通信方法 |
-
2018
- 2018-01-23 JP JP2018009018A patent/JP6472550B1/ja active Active
- 2018-10-16 WO PCT/JP2018/038522 patent/WO2019146182A1/ja active Application Filing
- 2018-10-16 CN CN201880086620.8A patent/CN111615814B/zh active Active
- 2018-10-16 US US16/961,295 patent/US11146550B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1954545A (zh) * | 2003-03-03 | 2007-04-25 | 思科技术公司 | 利用tcp认证ip源地址 |
CN1741473A (zh) * | 2005-09-05 | 2006-03-01 | 北京启明星辰信息技术有限公司 | 一种网络数据包有效性判定方法及系统 |
CN103475706A (zh) * | 2013-09-09 | 2013-12-25 | 中国科学技术大学苏州研究院 | 基于syn-ack双服务器反弹模式的伪tcp隐蔽通信方法 |
CN103546475A (zh) * | 2013-10-29 | 2014-01-29 | 冯丽娟 | 网络通信主体确认方法及系统 |
CN104683293A (zh) * | 2013-11-27 | 2015-06-03 | 杭州迪普科技有限公司 | 一种基于逻辑器件的syn攻击防护方法 |
CN105634660A (zh) * | 2014-07-16 | 2016-06-01 | 阿里巴巴集团控股有限公司 | 数据包检测方法及系统 |
CN106453419A (zh) * | 2016-12-07 | 2017-02-22 | 东软集团股份有限公司 | 识别源ip地址合法性、网络攻击防御的方法及装置 |
Non-Patent Citations (2)
Title |
---|
基于防火墙技术的网络安全防护;郝文江;《通信技术》;20070710;全文 * |
防火墙防御SYN_Flood攻击机制研究;刘云;《贵阳学院学报(自然科学版)》;20170630;全文 * |
Also Published As
Publication number | Publication date |
---|---|
JP6472550B1 (ja) | 2019-02-20 |
US20210084037A1 (en) | 2021-03-18 |
CN111615814A (zh) | 2020-09-01 |
JP2019129379A (ja) | 2019-08-01 |
US11146550B2 (en) | 2021-10-12 |
WO2019146182A1 (ja) | 2019-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6115376A (en) | Medium access control address authentication | |
JP5068495B2 (ja) | 分散型認証機能 | |
CN107277058B (zh) | 一种基于bfd协议的接口认证方法及系统 | |
US20160080033A1 (en) | Physical unidirectional communication apparatus and method | |
US11297107B2 (en) | Message queuing telemetry transport (MQTT) data transmission method, apparatus, and system | |
CN105578463B (zh) | 一种双连接安全通讯的方法及装置 | |
CN111615814B (zh) | Ip网中的通信线路的相互认证系统 | |
JP2007201851A (ja) | 無線通信装置 | |
JP2005099980A (ja) | サービス提供方法、サービス提供プログラム、ホスト装置、および、サービス提供装置 | |
CN110178339B (zh) | 数据通信方法 | |
CN102185867A (zh) | 一种实现网络安全的方法和一种星形网络 | |
US9288215B2 (en) | Utilizing routing for secure transactions | |
US11310265B2 (en) | Detecting MAC/IP spoofing attacks on networks | |
Wang et al. | Hijacking spoofing attack and defense strategy based on Internet TCP sessions | |
CN107968777B (zh) | 网络安全监控系统 | |
US20070211729A1 (en) | Device authentication system | |
WO2018131176A1 (ja) | データ通信方法 | |
US11019097B2 (en) | Communication system and repeater | |
JP6126062B2 (ja) | ネットワーク装置及びネットワーク装置のmacアドレス認証方法 | |
JP6847488B1 (ja) | Ip通信における認証方法 | |
CN103986691B (zh) | 终端网络请求数据的转发方法和装置 | |
CN114389880A (zh) | 一种结合零信任思想的跨云池安全接入方法和系统 | |
KR20090059745A (ko) | 패킷 감시 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |