IP网中的通信线路的相互认证系统技术方案

不管有无通信线路的冒充，在能在启动侧与被启动侧的通信线路间进行基于三次握手的连接的状况下，能判定在启动侧通信线路是否有冒充。在通信终端装置(5、6)的上级分别配置认证组件(7、8)。在通信终端装置间进行1次的三次握手的期间，在有关系的通信线路间进行2次的三次握手。从一方的通信线路(2)启动另一方的通信线路(3)，在通信线路间建立了基于第1次的三次握手的连接时将连接切断，之后，在启动侧通信线路，判定是否在给定的定时从被启动侧通信线路发送来SYN(2)，另一方面，在被启动侧通信线路，判定是否SYN、ACK(2)作为针对SYN(2)的响应而从启动侧通信线路到达，由此来相互认证通信线路。

【技术实现步骤摘要】
【国外来华专利技术】IP网中的通信线路的相互认证系统
本专利技术涉及如下系统：在通过分别被附加固有的识别编号的通信线路与IP网连接、基于识别编号并通过三次握手唯一连接的启动侧与被启动侧的通信终端装置间，相互进行通信线路的认证。
技术介绍
近年来，燃气以及水管等的自动抄表系统、智能电网、HEMS(HomeEnergyManagementSystem，家庭能量管理系统)、远程监视系统、传感器系统等那样将机器和机器经由通信网连接来进行自主的监视、控制等的M2M系统正在普及。在这些M2M系统中，通常，中心侧通信装置(一方的机器)和1个或多个通信终端装置(另一方的机器)通过分别被赋予固有的识别编号(IP地址)的通信线路而与IP网连接。而且，中心侧通信装置的通信线路和通信终端装置的通信线路基于IP地址并通过所谓的三次握手而唯一连接，在中心侧通信装置以及通信终端装置间进行数据通信。然而，IP网中的通信由于通常是经由多个中继装置而进行的，因此有启动侧的通信线路的IP地址的假冒、即所谓的通信线路的冒充的问题。即，本来，作为TCP/IP的功能，即使启动侧的通信线路的IP地址被假冒而对被启动侧的通信线路发送了SYN分组，作为来自被启动侧的通信线路的响应的SYN、ACK分组也会被发送到具有该IP地址的通信线路，因此在启动侧的通信线路与被启动侧的通信线路间不执行三次握手的序列，与此相对，通过以下方式来进行“通信线路的冒充”：从假冒了IP地址的启动侧的通信线路启动其他通信线路，并使该启动侧的通信线路与被启动侧的通信线路之间建立基于三次握手的连接，具体地，从一方的通信线路发送假冒了IP地址的SYN分组，将来自另一方的通信线路的SYN、ACK分组以该一方的通信线路为目标来发送。并且，“通信线路的冒充”例如能通过使用源路由、TCP序列编号预测等公知的方法，或者通过改变路由器等的功能，来容易地执行。因而在现有技术中，为了防止受到冒充的伤害，保护在装置间传输的数据，到目前位置，提出了：对每个通信发行认证密钥来认证装置的方法(例如参考专利文献1)、将通信加密的方法(例如参考专利文献2)。进而，另外，到目前位置提出了：在数据通信的中途将连接中断、进行回呼连接的方法(例如参考专利文献3)、对是否是来自容许连接的IP地址的信息到达进行比对的方法(例如参考专利文献4)、通过三次握手建立连接的方法(例如参考专利文献5)。但在这些现有技术中，必须准备用于认证密钥的发行、加密的复杂且高成本的系统，进而，若认证密钥、密码泄露，或者被破解，就有保证不了数据的安全的传输的危险性。另外，在这些现有技术中，由于在基于最初的连接的数据通信中已经发生冒充，进而由于不能进行是否是冒充的判别，进而由于未设想冒充等，会有保证不了数据的安全的传输的危险性。现有技术文献专利文献专利文献1：JP特开2015-170220号公报专利文献2：JP特开2015-128230号公报专利文献3：国际公开2006/129474号专利文献4：JP特开2005-193590号公报专利文献5：JP特开2005-122695号公报
技术实现思路
专利技术要解决的课题因此，本专利技术的课题在于提供认证系统，不管有无通信线路的冒充，在始终能在启动侧的通信线路与被启动侧的通信线路之间进行基于三次握手的连接的状况下，能判定在启动侧的通信线路是否有冒充。用于解决课题的手段为了解决上述课题，根据本专利技术，提供一种系统，在通过分别被附加固有的识别编号的通信线路与IP网连接并基于所述识别编号而通过三次握手唯一连接的启动侧与被启动侧的通信终端装置间，相互进行通信线路的认证，所述系统的特征在于，所述系统由如下要素构成：启动侧的认证组件，其配置于所述启动侧的通信终端装置与通信线路间，进行所述被启动侧的通信线路的认证；和被启动侧的认证组件，其配置于所述被启动侧的通信终端装置与通信线路间，进行所述启动侧的通信线路的认证，所述启动侧的认证组件具备：启动侧的线路输入输出部，其连接所述启动侧的通信线路，与所述启动侧的通信线路进行通信；启动侧的终端输入输出部，其连接所述启动侧的通信终端装置，与所述启动侧的通信终端装置进行通信；启动侧的序列控制部，其控制在所述启动侧与被启动侧的通信线路间执行的三次握手的序列，并进行所述被启动侧的通信线路的认证；启动侧的分组中继部，其设置在将所述启动侧的线路输入输出部以及终端输入输出部连接的总线，并与所述启动侧的序列控制部连接，将在所述启动侧与被启动侧的通信线路间收发的三次握手的分组以外的分组进行中继，另一方面，将该三次握手的分组与所述启动侧的序列控制部进行收发；和启动侧的分组存放部，其保存在所述启动侧的分组中继部与序列控制部间收发的所述三次握手的分组的数据，所述被启动侧的认证组件具备：被启动侧的线路输入输出部，其连接所述被启动侧的通信线路，与所述被启动侧的通信线路进行通信；被启动侧的终端输入输出部，其连接所述被启动侧的通信终端装置，与所述被启动侧的通信终端装置进行通信；被启动侧的序列控制部，其控制在所述启动侧与被启动侧的通信线路间执行的三次握手的序列，并进行所述启动侧的通信线路的认证；被启动侧的分组中继部，其设置在将所述被启动侧的线路输入输出部以及终端输入输出部连接的总线，与所述被启动侧的序列控制部连接，将在所述启动侧与被启动侧的通信线路间收发的三次握手的分组以外的分组进行中继，另一方面，将该三次握手的分组与所述被启动侧的序列控制部进行收发；和被启动侧的分组存放部，其保存在所述启动侧的分组中继部与序列控制部间收发的所述三次握手的分组的数据，(i)从所述启动侧的通信终端装置对所述被启动侧的通信终端装置发出的第1次的三次握手的SYN分组在所述启动侧的认证组件中进行中继而被送出到所述启动侧的通信线路后，当其到达所述被启动侧的通信线路，在所述被启动侧的认证组件被接收时，所述SYN分组在所述被启动侧的认证组件进行中继并在所述被启动侧的通信终端装置被接收；(ii)作为所述SYN分组的响应而从所述被启动侧的通信终端装置发出的所述第1次的三次握手的SYN、ACK分组在所述被启动侧的认证组件中进行中继而被送出到所述被启动侧的通信线路后，到达所述启动侧的通信线路，保存到所述启动侧的认证组件；(iii)取代所述启动侧的通信终端装置而从所述启动侧的认证组件作为所述SYN、ACK分组的响应发出的所述第1次的三次握手的ACK分组到达所述被启动侧的通信线路，在所述被启动侧的认证组件被接收，由此，在所述启动侧与被启动侧的通信线路间建立基于所述第1次的三次握手的连接时，在所述启动侧与被启动侧的通信终端装置间不进行数据通信而将该连接切断，(iv)在所述切断后的给定时间内，从所述被启动侧的认证组件对所述启动侧的通信线路发出第2次的三次握手的SYN分组，(v)当所述SYN分组到达所述启动侧的通信线路，在所述启动侧的认证组件被接收时，在所述启动侧的认证组件的序列控制部中，在判定为所述SYN分组所示出的识别编号与基于所述第1次的三次握手的连接时启动本文档来自技高网...

【技术保护点】
1.一种系统，在通过分别被附加固有的识别编号的通信线路与IP网连接并基于所述识别编号来通过三次握手唯一连接的启动侧与被启动侧的通信终端装置间，相互进行通信线路的认证，所述系统的特征在于，/n所述系统由如下要素构成：/n启动侧的认证组件，其配置于所述启动侧的通信终端装置与通信线路间，进行所述被启动侧的通信线路的认证；和/n被启动侧的认证组件，其配置于所述被启动侧的通信终端装置与通信线路间，进行所述启动侧的通信线路的认证，/n所述启动侧的认证组件具备：/n启动侧的线路输入输出部，其连接所述启动侧的通信线路，与所述启动侧的通信线路进行通信；/n启动侧的终端输入输出部，其连接所述启动侧的通信终端装置，与所述启动侧的通信终端装置进行通信；/n启动侧的序列控制部，其控制在所述启动侧与被启动侧的通信线路间执行的三次握手的序列，并进行所述被启动侧的通信线路的认证；/n启动侧的分组中继部，其设置在将所述启动侧的线路输入输出部以及终端输入输出部连接的总线，并与所述启动侧的序列控制部连接，将在所述启动侧与被启动侧的通信线路间收发的三次握手的分组以外的分组进行中继，另一方面，将该三次握手的分组与所述启动侧的序列控制部进行收发；和/n启动侧的分组存放部，其保存在所述启动侧的分组中继部与序列控制部间收发的所述三次握手的分组的数据，/n所述被启动侧的认证组件具备：/n被启动侧的线路输入输出部，其连接所述被启动侧的通信线路，与所述被启动侧的通信线路进行通信；/n被启动侧的终端输入输出部，其连接所述被启动侧的通信终端装置，与所述被启动侧的通信终端装置进行通信；/n被启动侧的序列控制部，其控制在所述启动侧与被启动侧的通信线路间执行的三次握手的序列，并进行所述启动侧的通信线路的认证；/n被启动侧的分组中继部，其设置在将所述被启动侧的线路输入输出部以及终端输入输出部连接的总线，与所述被启动侧的序列控制部连接，将在所述启动侧与被启动侧的通信线路间收发的三次握手的分组以外的分组进行中继，另一方面，将该三次握手的分组与所述被启动侧的序列控制部进行收发；和/n被启动侧的分组存放部，其保存在所述启动侧的分组中继部与序列控制部间收发的所述三次握手的分组的数据，/n(i)从所述启动侧的通信终端装置对所述被启动侧的通信终端装置发出的第1次的三次握手的SYN分组在所述启动侧的认证组件中进行中继而被送出到所述启动侧的通信线路后，当其到达所述被启动侧的通信线路，在所述被启动侧的认证组件被接收时，所述SYN分组在所述被启动侧的认证组件进行中继并在所述被启动侧的通信终端装置被接收；/n(ii)作为所述SYN分组的响应而从所述被启动侧的通信终端装置发出的所述第1次的三次握手的SYN、ACK分组在所述被启动侧的认证组件中进行中继而被送出到所述被启动侧的通信线路后，到达所述启动侧的通信线路，保存到所述启动侧的认证组件；/n(iii)取代所述启动侧的通信终端装置而从所述启动侧的认证组件作为所述SYN、ACK分组的响应发出的所述第1次的三次握手的ACK分组到达所述被启动侧的通信线路，在所述被启动侧的认证组件被接收，由此，在所述启动侧与被启动侧的通信线路间建立基于所述第1次的三次握手的连接时，在所述启动侧与被启动侧的通信终端装置间不进行数据通信而将该连接切断，/n(iv)在所述切断后的给定时间内，从所述被启动侧的认证组件对所述启动侧的通信线路发出第2次的三次握手的SYN分组，/n(v)当所述SYN分组到达所述启动侧的通信线路，在所述启动侧的认证组件被接收时，在所述启动侧的认证组件的序列控制部中，在判定为所述SYN分组所示出的识别编号与基于所述第1次的三次握手的连接时启动的通信线路的识别编号一致，且所述到达在所述切断后的给定时间内进行的情况下，将所述被启动侧的通信线路认证为正当，作为所述SYN分组的响应，从所述启动侧的认证组件对进行了所述SYN分组的发送的通信线路发出所述第2次的三次握手的SYN、ACK分组，/n(vi)当所述SYN、ACK分组到达所述被启动侧的通信线路，在所述被启动侧的认证组件被接收时，在所述被启动侧的认证组件中将所述启动侧的通信线路认证为正当，作为所述SYN、ACK分组的响应，从所述被启动侧的认证组件对进行了所述SYN、ACK分组的发送的通信线路发出所述第2次的三次握手的ACK分组，/n(vii)当所述ACK分组在所述启动侧的认证组件被接收到时，将保存于所述启动侧的认证组件的所述第1次的三次握手的SYN、ACK分组对所述启动侧的通信终端装置发送，/n(viii)作为所述SYN、ACK分组的响应，从所述启动侧的通信终端装置发出针对所述启动侧的认证组件的所述第1次的三次握手的ACK分组，/n(ix)作为所述第1次的三次握手的SYN、ACK分组的响应的ACK分组从所述被启动侧的认证组件对所述...

【技术特征摘要】
【国外来华专利技术】20180123 JP 2018-0090181.一种系统，在通过分别被附加固有的识别编号的通信线路与IP网连接并基于所述识别编号来通过三次握手唯一连接的启动侧与被启动侧的通信终端装置间，相互进行通信线路的认证，所述系统的特征在于，
所述系统由如下要素构成：
启动侧的认证组件，其配置于所述启动侧的通信终端装置与通信线路间，进行所述被启动侧的通信线路的认证；和
被启动侧的认证组件，其配置于所述被启动侧的通信终端装置与通信线路间，进行所述启动侧的通信线路的认证，
所述启动侧的认证组件具备：
启动侧的线路输入输出部，其连接所述启动侧的通信线路，与所述启动侧的通信线路进行通信；
启动侧的终端输入输出部，其连接所述启动侧的通信终端装置，与所述启动侧的通信终端装置进行通信；
启动侧的序列控制部，其控制在所述启动侧与被启动侧的通信线路间执行的三次握手的序列，并进行所述被启动侧的通信线路的认证；
启动侧的分组中继部，其设置在将所述启动侧的线路输入输出部以及终端输入输出部连接的总线，并与所述启动侧的序列控制部连接，将在所述启动侧与被启动侧的通信线路间收发的三次握手的分组以外的分组进行中继，另一方面，将该三次握手的分组与所述启动侧的序列控制部进行收发；和
启动侧的分组存放部，其保存在所述启动侧的分组中继部与序列控制部间收发的所述三次握手的分组的数据，
所述被启动侧的认证组件具备：
被启动侧的线路输入输出部，其连接所述被启动侧的通信线路，与所述被启动侧的通信线路进行通信；
被启动侧的终端输入输出部，其连接所述被启动侧的通信终端装置，与所述被启动侧的通信终端装置进行通信；
被启动侧的序列控制部，其控制在所述启动侧与被启动侧的通信线路间执行的三次握手的序列，并进行所述启动侧的通信线路的认证；
被启动侧的分组中继部，其设置在将所述被启动侧的线路输入输出部以及终端输入输出部连接的总线，与所述被启动侧的序列控制部连接，将在所述启动侧与被启动侧的通信线路间收发的三次握手的分组以外的分组进行中继，另一方面，将该三次握手的分组与所述被启动侧的序列控制部进行收发；和
被启动侧的分组存放部，其保存在所述启动侧的分组中继部与序列控制部间收发的所述三次握手的分组的数据，
(i)从所述启动侧的通信终端装置对所述被启动侧的通信终端装置发出的第1次的三次握手的SYN分组在所述启动侧的认证组件中进行中继而被送出到所述启动侧的通信线路后...

【专利技术属性】
技术研发人员：中沼忠司，
申请(专利权)人：甲贺电子株式会社，
类型：发明
国别省市：日本;JP