ホーム > 特許ランキング > ザ・ボーイング・カンパニー
知財求人 - 知財ポータルサイト「IP Force」
特許6040229サイバー及びネットワークセキュリティ用途の減衰環境内におけるネットワークノードの地理位置情報取得
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6040229
(24)【登録日】2016年11月11日
(45)【発行日】2016年12月7日
(54)【発明の名称】サイバー及びネットワークセキュリティ用途の減衰環境内におけるネットワークノードの地理位置情報取得
(51)【国際特許分類】
H04L 9/32 20060101AFI20161128BHJP
H04L 9/36 20060101ALI20161128BHJP
G06F 21/44 20130101ALI20161128BHJP
G01S 19/14 20100101ALI20161128BHJP
【FI】
H04L9/00 673Z
H04L9/00 685
G06F21/44
G01S19/14
【請求項の数】18
【全頁数】23
(21)【出願番号】特願2014-512846(P2014-512846)
(86)(22)【出願日】2012年4月26日
(65)【公表番号】特表2014-520430(P2014-520430A)
(43)【公表日】2014年8月21日
(86)【国際出願番号】US2012035281
(87)【国際公開番号】WO2012161919
(87)【国際公開日】20121129
【審査請求日】2015年4月24日
(31)【優先権主張番号】13/114,013
(32)【優先日】2011年5月23日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】500520743
【氏名又は名称】ザ・ボーイング・カンパニー
【氏名又は名称原語表記】The Boeing Company
(74)【代理人】
【識別番号】100109726
【弁理士】
【氏名又は名称】園田 吉隆
(74)【代理人】
【識別番号】100101199
【弁理士】
【氏名又は名称】小林 義教
(72)【発明者】
【氏名】ガット, グレゴリー エム.
(72)【発明者】
【氏名】アヤガリ, アルン
(72)【発明者】
【氏名】ウィーラン, デーヴィッド エー.
(72)【発明者】
【氏名】ローレンス, デーヴィッド ジー.
【審査官】
中里 裕正
(56)【参考文献】
【文献】
特表2010−528496(JP,A)
【文献】
特開2003−008629(JP,A)
【文献】
特表2009−543527(JP,A)
【文献】
特開平06−237210(JP,A)
【文献】
松下温・中川正雄編著,ワイヤレスLANアーキテクチャ,共立出版株式会社,1996年 6月 5日,第1版,p.84-86
【文献】
Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone,HANDBOOK APPLIED CRYPTOGRAPHY,CRC Press,1997年,p.397-400
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G01S 19/14
G06F 21/44
H04L 9/36
JSTPlus/JMEDPlus/JST7580(JDreamIII)
IEEE Xplore
(57)【特許請求の範囲】
【請求項1】
サイバー及びネットワークセキュリティ用途の減衰環境においてネットワークノードを確認するためのシステムであって、
発信ネットワークノードと、
宛先ネットワークノードと、
少なくとも一つのルータネットワークノードと
を備えており、
前記発信ネットワークノード及び前記宛先ネットワークノードが前記少なくとも一つのルータネットワークノードを介して互いに接続されており、
前記発信ネットワークノードが、前記少なくとも一つのルータネットワークノードを通して前記宛先ネットワークノードにデータパケットを伝送するように構成されており、
前記データパケットが、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含み、
前記セキュリティシグネチャ部分が、少なくとも一つの発信源から発信され、前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードがその所在地で受信した合成信号のプロパティを含み、
前記合成信号は少なくとも一つの認証信号を含み、
前記合成信号のプロパティにより前記ネットワークノードの所在地が確認される、
システム。
発信ネットワークノードと、
宛先ネットワークノードと、
少なくとも一つのルータネットワークノードと
を備えており、
前記発信ネットワークノード及び前記宛先ネットワークノードが前記少なくとも一つのルータネットワークノードを介して互いに接続されており、
前記発信ネットワークノードが、前記少なくとも一つのルータネットワークノードを通して前記宛先ネットワークノードにデータパケットを伝送するように構成されており、
前記データパケットが、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含み、
前記セキュリティシグネチャ部分が、少なくとも一つの発信源から発信され、前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードがその所在地で受信した合成信号のプロパティを含み、
前記合成信号は少なくとも一つの認証信号を含み、
前記合成信号のプロパティにより前記ネットワークノードの所在地が確認される、
システム。
【請求項2】
サイバー及びネットワークセキュリティ用途の減衰環境においてネットワークノードを確認するためのシステムであって、
発信ネットワークノードと、
宛先ネットワークノードと、
少なくとも一つのルータネットワークノードと
を備えており、
前記発信ネットワークノード及び前記宛先ネットワークノードが前記少なくとも一つのルータネットワークノードを介して互いに接続されており、
前記発信ネットワークノードが、前記少なくとも一つのルータネットワークノードを通して前記宛先ネットワークノードにデータパケットを伝送するように構成されており、
前記データパケットが、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含み、
前記セキュリティシグネチャ部分が、
前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードからなるリスト出力及び前記リスト出力中の前記少なくとも一つのネットワークノードの識別子情報と、
少なくとも一つの発信源から発信される合成信号を受信する前記ネットワークノードにより取得される地理位置情報と、
を含み、
前記合成信号は少なくとも一つの認証信号を含み、且つ
前記ネットワークノードの所在地は、前記ネットワークノードが受信する前記合成信号のプロパティを、前記ネットワークノードがその所在地に基づいて受信するべき合成信号に期待されるプロパティと比較することにより、前記リスト出力中の前記少なくとも一つのネットワークノードのために確認される、
システム。
発信ネットワークノードと、
宛先ネットワークノードと、
少なくとも一つのルータネットワークノードと
を備えており、
前記発信ネットワークノード及び前記宛先ネットワークノードが前記少なくとも一つのルータネットワークノードを介して互いに接続されており、
前記発信ネットワークノードが、前記少なくとも一つのルータネットワークノードを通して前記宛先ネットワークノードにデータパケットを伝送するように構成されており、
前記データパケットが、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含み、
前記セキュリティシグネチャ部分が、
前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードからなるリスト出力及び前記リスト出力中の前記少なくとも一つのネットワークノードの識別子情報と、
少なくとも一つの発信源から発信される合成信号を受信する前記ネットワークノードにより取得される地理位置情報と、
を含み、
前記合成信号は少なくとも一つの認証信号を含み、且つ
前記ネットワークノードの所在地は、前記ネットワークノードが受信する前記合成信号のプロパティを、前記ネットワークノードがその所在地に基づいて受信するべき合成信号に期待されるプロパティと比較することにより、前記リスト出力中の前記少なくとも一つのネットワークノードのために確認される、
システム。
【請求項3】
前記セキュリティシグネチャ部分が、前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードからなるリスト出力及び前記リスト出力中の前記少なくとも一つのネットワークノードの識別子情報を含む請求項1に記載のシステム。
【請求項4】
前記セキュリティシグネチャ部分が、前記リスト出力中の前記少なくとも一つのネットワークノードについて、前記データパケットが前記少なくとも一つのネットワークノードによっていつ受信されたかを示すタイミング情報を含む、請求項2又は3に記載のシステム。
【請求項5】
前記ネットワークノードが所在地確認済みの別のネットワークノードへと伝送した信号と、前記ネットワークノードが前記位置確認済みのネットワークノードから受信した信号とによって取得されるレンジング情報に基づいて、前記地理位置情報が決定される、請求項2に記載のシステム。
【請求項6】
前記ルーティングデータ部分は前記データパケットのルーティング情報を含み、
前記ルーティング情報は前記データパケットの送信先である前記宛先ネットワークノードに関する情報を含む、
請求項1又は2に記載のシステム。
前記ルーティング情報は前記データパケットの送信先である前記宛先ネットワークノードに関する情報を含む、
請求項1又は2に記載のシステム。
【請求項7】
前記ペイロードデータ部分は、前記発信ネットワークノードから前記宛先ネットワークノードに伝送されるべきデータを含む、請求項1又は2に記載のシステム。
【請求項8】
サイバー及びネットワークセキュリティ用途の減衰環境においてネットワークノードを確認する方法であって、
発信ネットワークノードにより、少なくとも一つのルータネットワークノードを通して宛先ネットワークノードにデータパケットを発信することを含み、
前記発信ネットワークノード及び前記宛先ネットワークノードが前記少なくとも一つのルータネットワークノードを介して互いに接続されており、
前記データパケットが、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含み、
前記セキュリティシグネチャ部分が、少なくとも一つの発信源から発信され、前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードがその所在地で受信した合成信号のプロパティを含み、
前記合成信号は少なくとも一つの認証信号を含み、
前記合成信号のプロパティにより前記ネットワークノードの所在地が確認される、
方法。
発信ネットワークノードにより、少なくとも一つのルータネットワークノードを通して宛先ネットワークノードにデータパケットを発信することを含み、
前記発信ネットワークノード及び前記宛先ネットワークノードが前記少なくとも一つのルータネットワークノードを介して互いに接続されており、
前記データパケットが、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含み、
前記セキュリティシグネチャ部分が、少なくとも一つの発信源から発信され、前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードがその所在地で受信した合成信号のプロパティを含み、
前記合成信号は少なくとも一つの認証信号を含み、
前記合成信号のプロパティにより前記ネットワークノードの所在地が確認される、
方法。
【請求項9】
サイバー及びネットワークセキュリティ用途の減衰環境においてネットワークノードを確認する方法であって、
発信ネットワークノードにより、少なくとも一つのルータネットワークノードを通して宛先ネットワークノードにデータパケットを発信することを含み、
前記発信ネットワークノード及び前記宛先ネットワークノードが前記少なくとも一つのルータネットワークノードを介して互いに接続されており、
前記データパケットが、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含み、
前記セキュリティシグネチャ部分が、
前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードからなるリスト出力と、
前記リスト出力中の前記少なくとも一つのネットワークノードの地理位置情報と、
を含み、
前記地理位置情報を、少なくとも一つの発信源から発信される合成信号を受信する前記ネットワークノードにより取得し、
前記合成信号は少なくとも一つの認証信号を含み、且つ
前記ネットワークノードが受信する前記合成信号のプロパティを、前記ネットワークノードがその所在地に基づいて受信するべき合成信号に期待されるプロパティと比較することにより、前記ネットワークノードの所在地を確認する、
方法。
発信ネットワークノードにより、少なくとも一つのルータネットワークノードを通して宛先ネットワークノードにデータパケットを発信することを含み、
前記発信ネットワークノード及び前記宛先ネットワークノードが前記少なくとも一つのルータネットワークノードを介して互いに接続されており、
前記データパケットが、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含み、
前記セキュリティシグネチャ部分が、
前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードからなるリスト出力と、
前記リスト出力中の前記少なくとも一つのネットワークノードの地理位置情報と、
を含み、
前記地理位置情報を、少なくとも一つの発信源から発信される合成信号を受信する前記ネットワークノードにより取得し、
前記合成信号は少なくとも一つの認証信号を含み、且つ
前記ネットワークノードが受信する前記合成信号のプロパティを、前記ネットワークノードがその所在地に基づいて受信するべき合成信号に期待されるプロパティと比較することにより、前記ネットワークノードの所在地を確認する、
方法。
【請求項10】
前記セキュリティシグネチャ部分が、前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードからなるリスト出力を含む、請求項8に記載の方法。
【請求項11】
前記セキュリティシグネチャ部分が、前記リスト出力中の前記少なくとも一つのネットワークノードについて、前記データパケットが前記少なくとも一つのネットワークノードによっていつ受信されたかを示すタイミング情報を含む、請求項9又は10に記載の方法。
【請求項12】
前記セキュリティシグネチャ部分が、前記リスト出力中の前記少なくとも一つのネットワークノードの識別子情報を含む、請求項9又は10に記載の方法。
【請求項13】
前記識別子情報が、生体認証情報及びビットシーケンス識別コードの少なくとも一方である、請求項12に記載の方法。
【請求項14】
前記セキュリティシグネチャ部分が、前記リスト出力中の前記少なくとも一つのネットワークノードの地理位置情報を含む、請求項10に記載の方法。
【請求項15】
前記少なくとも一つの発信源が、衛星、擬似衛星、及び地球圏内発信源の少なくとも一つである、請求項8又は9に記載の方法。
【請求項16】
前記ネットワークノードが所在地確認済みの別のネットワークノードへと伝送した信号と、前記ネットワークノードが前記所在地確認済みのネットワークノードから受信した信号とによって取得されるレンジング情報に基づいて、前記地理位置情報が決定される、請求項9又は14に記載の方法。
【請求項17】
前記ルーティングデータ部分は前記データパケットのルーティング情報を含み、
前記ルーティング情報は前記データパケットの送信先である前記宛先ネットワークノードに関する情報を含む、
請求項8又は9に記載の方法。
前記ルーティング情報は前記データパケットの送信先である前記宛先ネットワークノードに関する情報を含む、
請求項8又は9に記載の方法。
【請求項18】
前記ペイロードデータ部分は、前記発信ネットワークノードから前記宛先ネットワークノードに伝送されるべきデータを含む、請求項8又は9に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークノードの地理位置情報取得に関する。具体的には、本発明は、サイバー及びネットワークセキュリティ用途の減衰環境内でのネットワークノードの地理位置情報取得に関する。
【発明の概要】
【0002】
本発明は、サイバー及びネットワークセキュリティ用途の減衰環境内でネットワークノードの確認及び地理位置情報取得を行う方法、システム、及び装置に関する。具体的には、本発明は、発信ネットワークノードと宛先ネットワークノードを伴うシステムを教示する。システムは、さらに、少なくとも一つのルータネットワークノードを伴う。さらに、システムは、少なくとも一つのルータネットワークノードを介して互いに接続された発信ネットワークノードと宛先ネットワークノードを伴う。また、システムは、少なくとも一つのルータネットワークノードを通して宛先ネットワークノードにデータパケットを伝送するように構成された発信ネットワークノードを伴う。加えて、システムは、セキュリティシグネチャ(Security Signature)部分、ルーティングデータ部分、及びペイロードデータ部分を含むデータパケットを伴う。
【0003】
一実施形態では、この方法は、既存のインフラストラクチャに適合可能であるが、インターネット技術タスクフォース(IETF)のインターネットプロトコル(IP)ネットワーキングプロトコルとルータ内でのそれらの実施を考慮したさらなる努力を要する。既に採用されているインフラストラクチャの場合、管理制御プレーン信号送信のために、使用可能なハードウェアを用いた相関ネットワークが使用されており、特定の分類のトラフィックに対するトラッキング及びトレーシング方法の実行を効果的に可能にすると同時に、ノーマルデータプレーントラフィックが既存の標準的なファストパスフォワーディングを採ることを可能にしている。例えば、既知のルートを有する特定の制御プレーンネットワーク管理パケットを挿入することができ、この管理パケットは、同じピアルータ間において、特定の分類のデータプレーンIPネットワークトラフィックと同じルートを有する。これにより、適切な解析、例えばネットワーク属性に関するイベント相関エンジンや意思決定支援エンジンといった要素を用いた解決法の展開が可能となり、このような解決法は、IETF RFCに完全に準拠しつつ制御プレーンに現在及び将来採用されるインフラストラクチャに採用されうる。上記の要素は、データパケットに含まれて現在の制御プレーンデータ及びデータプレーンフローを介して運ばれており、現行の処理に従い、且つ機構を転送するとみなされる。
【0004】
一又は複数の実施形態では、セキュリティシグネチャ部分はデジタル署名を含む。いくつかの実施形態では、セキュリティシグネチャ部分は、発信ネットワークノードから宛先ネットワークノードまでの間にデータパケットが通過する少なくとも一つのネットワークノードからなる出力リストを含む。少なくとも一つの実施形態では、セキュリティシグネチャ部分は、リスト出力中の少なくとも一つのネットワークノードについて、ネットワークノードがデータパケットを受信したとき及び/又は発信したときを示すタイミング情報を含む。いくつかの実施形態では、セキュリティシグネチャ部分は、リスト出力中の少なくとも一つのネットワークノードの識別子情報を含む。一又は複数の実施形態では、識別子情報は生体認証情報及び/又はビットシーケンス識別コードである。
【0005】
少なくとも一つの実施形態では、セキュリティシグネチャ部分は、リスト出力中の少なくとも一つのネットワークノードの地理位置情報を含む。一又は複数の実施形態では、地理位置情報は、少なくとも一つの発信源から伝送される合成信号を受信するネットワークノードにより取得される。合成信号は少なくとも一つの認証信号を含む。ネットワークノードの位置は、ネットワークノードが受信した合成信号のプロパティを、ネットワークノードがその位置に基づいて受信するべき合成信号に期待されるプロパティと比較することにより確認される。いくつかの実施形態では、少なくとも一つの発信源は衛生、擬似衛星、及び/又は地球圏内発信源である。少なくとも一つの実施形態では、衛星は、低軌道(LEO)衛星、中軌道(MEO)衛星、又は静止軌道(GEO)衛星である。
【0006】
少なくとも一つの実施形態では、各データパケットに付加される地理位置データの代わりに、セキュリティネットワークサーバを使用して使用可能な関与ルータの位置を定期的に確認することができる。使用可能なデバイスを有するエンドユーザは、セキュリティネットワークサーバを周期的にチェックしてパス内のルータの位置を確かめることにより、ルーティングパスを確認することができる。各ルータは独自の鍵を有することができるので、鍵が危殆化(compromised)していない限り、各パケットに地理位置データを付加する代わりに又は付加することと組合せて、鍵を使用してもよい。
【0007】
一又は複数の実施形態では、開示されるシステムはイリジウムLEO衛星コンステレーションを採用し、コンステレーションに含まれる衛星の各々は、独特のスポットビームパターンを有する四十八(48)のスポットビームを発信するアンテナ形状を有する。少なくとも一つの実施形態では、コンステレーションに含まれるイリジウム衛星の少なくとも一つから少なくとも一つの認証信号を発信することができる。イリジウム衛星の四十八(48)のスポットビームは、地表又は地表近傍に位置するネットワークノードに局所的認証信号を発信するために使用される。このような認証信号に関連付けられて一斉送信されるメッセージバーストコンテントには、擬似ランダムノイズ(PRN)データが含まれる。所与のメッセージバーストは特定の衛星スポットビーム内部で特定の時点で起こりうるので、PRN及び独自のビームパラメータ(例えば、時間、衛星識別(ID)、時間バイアス、軌道データなど)を含むメッセージバーストコンテンツを使用してネットワークノードの位置を認証することができる。上記イリジウムLEO衛星の一つが採用されるとき、発信信号電力は信号が屋内環境に届くために十分に強いことに注意されたい。これにより、開示されるシステムを、認証技術として多数の屋内用途に使用することができる。
【0008】
一又は複数の実施形態では、ネットワークノードが位置確認済の別のネットワークノードへと発信した信号、及びネットワークノードが位置確認済のネットワークノードから受信した信号により取得されるレンジング情報に基づいて、地理位置情報が決定される。少なくとも一つの実施形態では、開示されるシステムは、インターネットIPトラフィックのネットワークレベルレンジングがサービス品質(QoS)のフローベース単位で行われるという原則を利用する。少なくとも一つの実施形態では、ルーティングデータ部分はデータパケットのルーティング情報を含み、このルーティング情報には、データパケットの送信先である宛先ネットワークノードに関する情報が含まれる。一又は複数の実施形態では、ペイロードデータ部分は発信ネットワークノードから宛先ネットワークノードに伝送されるべきデータが含まれる。
【0009】
少なくとも一つの実施形態では、サイバー及びネットワークセキュリティ用途の減衰環境内でネットワークノードを確認及び/又はネットワークノードの地理位置を確認する方法は、発信ネットワークノードによりデータパケットを少なくとも一つのルータネットワークノードを通して宛先ネットワークノードへと伝送することを伴う。発信ネットワークノード及び宛先ネットワークノードは、少なくとも一つのルータネットワークノードを介して互いに接続されている。データパケットは、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含む。
【0010】
一又は複数の実施形態では、サイバー及びネットワークセキュリティ用途のネットワークノードデバイスは受信器及びプロセッサを伴う。受信器は信号源から信号を受信することができる。プロセッサは、信号に関連する情報をセキュリティシグネチャとして、ネットワークノードデバイスを通してルーティングされるデータパケット上に付加することができる。
【0011】
少なくとも一つの実施形態では、サイバー及びネットワークセキュリティ用途の認証システムは、ネットワークノードデバイス及び処理装置を伴う。ネットワークノードデバイスは、信号源から信号を受信することができる受信器と、信号に関連する情報をセキュリティシグネチャとして、ネットワークノードデバイスを通してルーティングされるデータパケット上に付加することができるプロセッサとを備える。処理装置は、ネットワークノードデバイスを通してルーティングされるデータパケットのセキュリティシグネチャを、ネットワークノードデバイスが受信する信号に関連する既知の情報と比較することにより、ネットワークノードデバイスを認証することができる。
【0012】
一又は複数の実施形態では、ネットワークノードデバイスの認証は、少なくとも部分的に、ネットワークノードデバイスが物理的にその期待される地理位置に位置しているかどうかを決定することからなる。少なくとも一つの実施形態では、ネットワークノードデバイスの認証後、データの通過が認証される。いくつかの実施形態では、処理装置は、携帯電話、パーソナル携帯情報機器(PDA)、パーソナルコンピュータ、コンピュータノード、インターネットプロトコル(IP)ノード、サーバ、Wi−Fiノード、並びに/或いは、テザー又は非テザーノードである。
【0013】
加えて、本発明は、ネットワークノードの位置を認証するためにガードスポットビームを使用するための方法、システム、及び装置に関する。具体的には、本発明は、ネットワークノードの地理位置情報を確認するための、伝送に基づく認証システムのための方法を教示する。一又は複数の実施形態では、開示される方法は、少なくとも一つの発信源から認証信号と少なくとも一つのガード信号とを発信することを伴う。方法は、さらに、少なくとも一つの受信源から少なくとも一つの合成信号を受信することを伴う。少なくとも一つの合成信号には、認証信号及び/又は少なくとも一つのガード信号が含まれる。加えて、方法は、さらに、ネットワークノードが少なくとも一つの受信源から受信する少なくとも一つの合成信号を評価することにより、少なくとも一つの認証符号デバイスを用いて少なくとも一つのネットワークノードを認証することを伴う。少なくとも一つの実施形態では、エンティティ及び/又はユーザにより少なくとも一つのネットワークノードが利用される。
【0014】
一又は複数の実施形態では、認証信号及び少なくとも一つのガード信号は、同じ発信源から発信される。少なくとも一つの実施形態では、認証信号及び少なくとも一つのガード信号は、異なる発信源から発信される。いくつかの実施形態では、認証信号と少なくとも一つのガード信号とは、同じ周波数で発信される。他の実施形態では、認証信号と少なくとも一つのガード信号とは、異なる周波数で発信される。
【0015】
少なくとも一つの実施形態では、少なくとも一つのガード信号により伝送されるデータは、合法的な目的で使用される。一又は複数の実施形態では、少なくとも一つのガード信号の少なくとも一部は認証信号を含む。種々の実施形態では、ガード信号には、合法的な又は虚偽の認証信号及び/又はデータが含まれる。いくつかの実施形態では、少なくとも一つのガード信号により伝送されるデータには、局所的情報及び/又は地域情報が含まれる。
【0016】
一又は複数の実施形態では、ガード信号により伝送されるデータを、信号の重複エリア内部に位置するネットワークノードが受信することができる。いくつかの実施形態では、データは少なくとも二つの位相外れ二位相偏移変調(BPSK)信号を介して伝送され、この位相外れBPSK信号は、少なくとも一つの四位相偏移変調(QPSK)信号であるように見える。少なくとも一つの実施形態では、少なくとも一つのガード信号のビットストリームの変調を変えることにより、ビットストリームに含まれるビットの一斉送信パワーがビット毎に変調される。いくつかの実施形態では、少なくとも二つのガード信号が発信されるとき、ガード信号の相対的な電力は、認証信号に近い方のガード信号が認証信号から遠い方のガード信号より大きな電力を有するように変更される。
【0017】
加えて、本発明は、ネットワークノードの地理位置情報を確認するための、伝送に基づく認証システムを教示する。一又は複数の実施形態では、開示されるシステムは、少なくとも一つの発信器、少なくとも一つの受信器、及び少なくとも一つの認証デバイスを伴う。一又は複数の実施形態では、少なくとも一つの発信器は、認証信号及び少なくとも一つのガード信号を発信し、少なくとも一つの受信器は少なくとも一つの合成信号を受信する。少なくとも一つの合成信号には、認証信号及び/又は少なくとも一つのガード信号が含まれる。少なくとも一つの実施形態では、少なくとも一つの認証デバイスは、少なくとも一つのネットワークノードが少なくとも一つの受信器からから受信する少なくとも一つの合成信号を評価することにより、少なくとも一つのネットワークノードを認証する。一又は複数の実施形態では、システムがサイバーロケートポータル(locate portal)も含むことに注意されたい。サイバーロケートポータルは、ネットワークと、システムのセキュリティレベルをさらに上げる認証デバイスとの間の、機密なインターフェースである。このような実施形態では、合成信号は認証デバイスに送信されて、サイバーロケートポータルを介して認証される。
【0018】
一又は複数の実施形態では、認証データは、傍受されて再使用されることを避けるために暗号化される。加えて、データはシグネチャを用いて署名される。このようなシグネチャは、データのシグネチャを、特定のポータルデバイスのシグネチャと比較することにより特定のポータルデバイスから発信されたデータを確かめるために使用することができる。各サイバーロケートポータルデバイスは、暗号化のための固有の鍵を有することができ、サンプルデータに署名するための追加の鍵を有することができる。このような鍵は、最適には、認証サーバ及びポータルデバイスだけが認知する。
【0019】
少なくとも一つの実施形態では、少なくとも一つの受信器と少なくとも一つの発信器とは、少なくとも一つの送受信機に統合される。いくつかの実施形態では、認証信号と少なくとも一つのガード信号とは、同じ発信器から発信される。少なくとも一つの実施形態では、認証信号と少なくとも一つのガード信号とは、異なる発信器から発信される。一又は複数の実施形態では、少なくとも一つの認証デバイスは、サーバ及び/又はプロセッサを含む。いくつかの実施形態では、認証信号及び少なくとも一つのガード信号は、同じ周波数で発信される。
【0020】
少なくとも一つの実施形態では、少なくとも一つの認証符号デバイスがホストネットワークの少なくとも一部を操作する。一又は複数の実施形態では、開示されるシステムは、さらに、少なくとも一つのネットワークノードと少なくとも一つの認証符号デバイスの間の中間物として動作する。いくつかの実施形態では、少なくとも一つの受信器が、携帯電話、パーソナル携帯情報機器(PDA)、パーソナルコンピュータ、コンピュータノード、インターネットプロトコル(IP)ノード、サーバ、Wi−Fiノード、並びに/或いは、テザー又は非テザーノードに採用される。
【0021】
いくつかの実施形態では、受信器は、サイバーロケートポータルデバイスの機能性も包含する。いくつかの実施形態では、受信器及びサイバーロケートポータルデバイスは、携帯電話又はPDA内で組合せられる。携帯電話又はPDAがサイバーロケートポータルデバイスを含む場合、信号処理、暗号化、及びシグネチャ機能は、理想的には、携帯電話又はPDAのオペレーティングシステムの一部ではないハードウェア及び/又はファームウェアにおいて実行される。例えば、任意選択で、暗号化及びシグネチャ鍵と、暗号化されていないサンプルデータとは、携帯電話又はPDAのオペレーティングからはアクセス不能である。
【0022】
一又は複数の実施形態では、少なくとも一つの衛星及び/又は少なくとも一つの擬似衛星に少なくとも一つの発信器が採用される。いくつかの実施形態では、少なくとも一つの衛星は、低軌道(LEO)衛星、中軌道(MEO)衛星、及び/又は静止軌道(GEO)衛星である。一又は複数の実施形態では、少なくとも一つのネットワークノードは固定及び/又は移動式である。少なくとも一つの実施形態では、少なくとも一つの認証符号デバイスはピアデバイスである。
【0023】
一又は複数の実施形態では、伝送に基づく認証システムのための方法は、少なくとも一つの発信源から複数の認証信号を発信することを伴う。この方法は、さらに、少なくとも一つの受信源から、認証信号のうちの少なくとも二つを含む合成信号を受信することを伴う。さらに、方法は、(一又は複数の)ネットワークノードが(一又は複数の)受信源所在地から受信した合成信号のプロパティを、(一又は複数の)ネットワークノードが(一又は複数の)受信源所在地から受信すべき合成信号に期待されるプロパティと比較することにより、少なくとも一つの認証符号デバイスを用いて少なくとも一つのネットワークノードを認証することを伴う。
【0024】
一又は複数の実施形態では、伝送に基づく認証システムのためのシステム及び方法は、少なくとも一つの発信源から、スポットビームに含めて複数の認証信号を伝送することを伴い、この場合、各スポットビームは一つの認証信号を含む。少なくとも一つの実施形態では、イリジウム衛星コンステレーションの少なくとも一つのLEO衛星に(一又は複数の)発信源が採用される。いくつかの実施形態では、認証信号は同じ周波数で発信される。この方法は、さらに、少なくとも一つの受信源から、認証信号のうちの少なくとも二つを含む合成信号を受信することを伴う。さらに、方法は、(一又は複数の)ネットワークノードが(一又は複数の)受信源所在地から受信する合成信号のプロパティを、(一又は複数の)ネットワークノードが(一又は複数の)受信源所在地から受信すべき合成信号に期待されるプロパティと比較することにより、少なくとも一つのネットワークノードを認証することを伴う。
【0025】
少なくとも一つの実施形態では、認証信号は同じ発信源から発信される。他の実施形態では、認証信号は異なる発信源から発信される。いくつかの実施形態では、少なくとも一つの衛星及び/又は少なくとも一つの擬似衛星に(一又は複数の)発信源が採用される。一又は複数の実施形態では、認証信号は同じ周波数で同時に発信され、各認証信号は他の認証信号とは異る変調を有する。少なくとも一つの実施形態では、異なる変調は、異なる擬似デジタル変調シーケンスである。いくつかの実施形態では、異なる擬似デジタル変調シーケンスは、BPSK異なるBPSKコードシーケンスである。
【0026】
一又は複数の実施形態では、比較されるプロパティは信号電力、ドップラー偏移、到着時間、及び/又は信号変調である。具体的には、受信された信号変調は、複数の認証信号の組合せであり、結果として得られる変調の組合せは、受信源の所在地によって変化する特徴を有している。いくつかの実施形態では、開示されるシステム及び方法は、自己形成、ピアトゥピア、及び/又はアドホックネットワークを含むがこれらに限定されないネットワークのためのネットワークセキュリティに関する。
【0027】
上記の特徴、機能、及び利点は、本発明の種々の実施形態において単独で達成することができるか、又は他の実施形態において組み合わせることができる。
【図面の簡単な説明】
【0028】
本発明の上記の特徴、態様、及び利点に対する理解は、後述の説明、特許請求の範囲、及び添付図面を参照することにより深まるであろう。
【0029】
【図1】本発明による、サイバー及びネットワークセキュリティ用途の減衰環境内でのネットワークノードの地理位置確認のためのシステムの一実施形態を示している。
【図2】伝送に基づく認証システムとレンジング情報の使用とにより確認される三つのネットワークノードの所在地を示している。
【図3】複数のガードビームと共に認証ビームを発信する衛星を採用する、伝送に基づく認証システムの一実施形態を示している。
【図4A】重複する三つのスポットビーム内部及び近傍の異なる所在地に四つのネットワークノードを有する、伝送に基づく認証システムの一実施形態を示している。
【図5】二次的ミッションの一部としてガードビーム伝送を用いる、伝送に基づく認証システムの一実施形態を示している。
【図6】位相外れ二位相偏移変調(BPSK)ガードビーム伝送を採用する、伝送に基づく認証システムの一実施形態を示している。
【図7】閉塞した環境又は混雑した環境において機能できるネットワークノードを有する本発明のシステムの一実施形態を示している。
【発明を実施するための形態】
【0030】
本明細書に開示した方法及び装置は、ネットワークノードの地理位置確認のための作動システムを提供する。特に、このシステムは、ネットワークノードの認証及び/又は許可のためといったサイバー及びネットワークセキュリティ用途の減衰環境におけるネットワークノードの地理位置確認に関する。具体的には、本発明は、伝送されるデータパケットに付属の認証データをタグ付けするネットワークチェイン内の関与ネットワークノード、又は他のジャンクションを教示する。このような認証データは、特定のデータパケット構造を有し、この構造は、セキュリティシグネチャデータ、ルーティングデータ、及び/又はペイロードデータといった固有のデータを含む。セキュリティシグネチャデータは、ネットワークチェイン内の関与ネットワークノードの所在地に関する情報を含み、さらにはその所在地が確認済みであるかどうかに関する情報を含む。
【0031】
現在、電子システムが毎日のビジネス及び社会的タスクに浸透するにつれ、サイバーセキュリティの重要性が増している。以前は管理されていた多くのビジネスプロセスがオンラインでの電子データ処理へと拡大したことにより、このような日常的に使用されるシステムを保護するために、継続情報及び演算セキュリティ先進技術が必須要件となっている。社会保障番号から国家のインフラストラクチャに関連する情報にわたる情報を用いる重要文書及びその他のデータはネットワーク化されたシステムに格納されており、そのようなシステムが権限の無い第三者によりアクセスされた場合には、迷惑行為から社会的インフラストラクチャの壊滅的な破壊まで様々なレベルの社会的インパクトが生じる。国家は、電子システムへの依存が増大することと平行してテロリズム及びコンピュータハッキングの劇的な増加を経験したことにより、社会が私達のネットワーク化されたコンピュータシステムを保護する方法を改良するための努力することを必要としている。
【0032】
サイバー攻撃及びネットワーク侵入はあまりにも日常的になっている。これらの頻発は、商業環境及び軍事環境の両面で外的脅威によるネットワーク侵入の危険に関する議論を前面に呈することになった。現在のアクセス制御方式は、主に静的パスワードに基づいているか、或いは、パスワードと公開鍵基盤(PKI)に基づくスマートバッジクレデンシャルとを用いる認証ベースである。システム攻撃はエンドユーザになりすますことにより行われることが多いため、当局は、ネットワークデータ傍受ネットワーク脆弱性を低減するユーザ認証方法に重点的に取り組む傾向があった。これらの方式は依然として洗練された攻撃には脆弱であるので、ユーザ所在地といった地理位置/コンテクストを追加することにより、認証の通常の三つの側面(何を知っているか、何を持っているか、誰であるか)を超える追加の側面/情報を活用して別方向からの追加的な保護を提供し、論理的なネットワーク及び情報管理への一体的な物理的地理位置情報のマッピングという観点から、所在地と状況認識との間の相関を強めるアクセス制御の新規パラダイムに対する需要が高じている。【0033】
さらに、既存のサイバー攻撃は多くの場合匿名で行われるという事実が、新たな問題を生み出している。大規模な攻撃は、システムの脆弱性をよりよく理解するために小さな侵入/攻撃を行って、将来的展開及び後のさらに破壊的な攻撃の基礎造りをしようとする発信者の試みによりしばしば妨げられる。今日、多数の大規模サイバー攻撃により、攻撃の被害者は、残された被害から未だ回復途上にあるだけでなく、報復によりさらなる被害を防止することもできないか、或いはそうでない場合も、攻撃の発信者を明確にトレースすることができないゆえに、応答すべき担当機関を持たないことも多い。攻撃の動機が不明である場合、攻撃が単なる破壊行為であるか、意図的な窃盗であるか、又は国家安全保障を脅かすもっと悪質なアプローチであるかを被害者が識別することはさらに不可能である。したがって、ユーザを騙すことを目的とするネットワークアクセスの拒否を支援するため、及び/又は発信者の識別を支援するためにトレース可能なデータを提供するシステムが、サービス妨害(DoS)及びネットワークデータ傍受攻撃を低減及び緩和するために大きな有用性を有している。
【0034】
本発明は、一般に、サイバーセキュリティから恩恵を受けるネットワーク化されたシステムに関する。具体的には、本発明のシステムは、シグネチャパケット構造を採用する少なくとも一つの自己地理位置確認ネットワークノードを活用する。シグネチャパケット構造は、データパケットを、規定の時点において特定のネットワークノードまでトレース可能にするものである。このシグネチャパケット構造を使用して、関与ネットワークのサイバーセキュリティを向上させることができる。一例として、シグネチャパケット構造は、ペイロードデータ、ルーティングデータ、及び/又はセキュリティデータを含む。セキュリティデータは、地理位置データ、生体認証データ、及び/又はタイミングデータと定義することができる。少なくとも一つの実施形態では、サイバーセキュリティ用途に使用するとき、このシグネチャパケット構造を集約的にサイバーセキュリティシグネチャと呼ぶ。例えば、一のユーザから別のユーザへと、インターネットにより伝送されるeメールのような接続によりファイルが伝送される。ネットワークチェインの関与ネットワークノード、又は他の種類のジャンクションは、データに付属の認証データをタグ付けすることができ、このような認証データには、シグネチャパケット構造の要素が含まれる(例えば、ペイロードデータ、ルーティングデータ、及び/又はセキュリティデータ)。ネットワークチェイン内でデータパケットが次のジャンクションへと移動するとき、ネットワークジャンクションはそれを認証する。認証は、地理位置データにより表される物理的位置が既知のネットワークノード位置に対して確認されるとき行われる。
【0035】
本発明は、ネットワークシステムへのアクセスを提供するため、並びにそのようなシステムへのアクセスを制限するために使用される。少なくとも一つの実施形態では、この形態のサイバーセキュリティを活用するネットワークは、データパケットを承認するためにこのようなサイバーセキュリティシグネチャデータを必要とすることが想定される。このような手段により、シグネチャは事実上なりすまし不能であるので、不正な(rogue)ユーザはシステム進入前に識別される、或いは介入者攻撃又は他の同様の攻撃がシグネチャーデータの不整合として認識される。少なくとも一つの実施形態では、システムは、ノードホップ数の制限(例えば、数値カウンターTTL)といった既存のトレースバック方法を取り込んでもよい。本発明は、サイバーセキュリティに関してパラダイムシフト(例えば、インターネット3.0)を導入するものであり、これにより、シグネチャーパケットデータ構造を支持することが可能なハードウェア及び/又はソフトウェアの質量により本発明が採択される。
【0036】
本発明のシステムは、有線及び/又は無線のネットワークノードを含むネットワーク化されたシステム用に適合される。少なくとも一つの実施形態では、少なくとも一つのネットワークノードは少なくとも一つの衛星を使用して地理位置確認を行う。一実施例では、自己地理位置確認ネットワークノードは、屋内で受信可能な信号を供給するように機能する低軌道(LEO)コンステレーションを使用する。このシステムと組合せて、位置決め、ナビゲーション、及び/又はタイミングのために、全地球測位システム(GPS)、又は他のいずれかのシステムを使用してもよいし、使用しなくてもよい。加えて、本発明のシステムは、ユーザ/ノードに固有の何かによりユーザ/ノードを確認する生体認証を採用することができ、さらには開示される方法と組み合わせて使用されるとシステムセキュリティを全体的に向上させる他のいずれかの認証方法を採用することができる。
【0037】
発明のシステムは四つの主要な特徴を有する。本システムの第1の主要な特徴は、本システムが、一般的なサイバーセキュリティ及び認証を含む多くの用途を有するだけでなく、ゲーミングのような他の用途にも使用できる自己地理位置確認ネットワーキングデバイス(例えば、自己地理位置確認サーバ、ルータ、パーソナルコンピューティング装置、携帯電話、及び/又はテレビ)を教示することである。
【0038】
開示されるシステムの第2の主要な特徴は、本システムが、認証及びサイバーセキュリティを使用可能にするデータパケット構造を教示することである。このデータパケット構造は、パケットがパケットの宛先の所在地まで到達するために使用する一連のジャンクションに含まれるネットワークノードまで、データパケットをトレースする手段を使用可能にする。このシグネチャパケット構造を使用して、関与ネットワークのサイバーセキュリティを向上させることができる。一例として、シグネチャパケット構造は、ペイロードデータ、ルーティングデータ、及び/又はセキュリティデータを含む。セキュリティデータは、地理位置データ、生体認証データ、及び/又はタイミングデータと定義することができる。少なくとも一つの実施形態では、サイバーセキュリティ用途に使用される場合、このシグネチャパケット構造を集約的にサイバーセキュリティシグネチャと呼ぶ。
【0039】
開示されるシステムの第3の主要な特徴は、本システムが、固有のシグネチャパケット構造の要素を教示することである。インターネットチェインの関与ネットワークノード、又は他の種類のジャンクションは、データに付属の認証データをタグ付けすることができ、このような認証データには、シグネチャパケット構造の要素が含まれる(すなわち、ペイロードデータ、ルーティングデータ、及び/又はセキュリティデータ)。データパケットが利用する各ルータによってシグネチャに何らかのトレース可能なデータが供給されるため、トレーサビリティに関して関与ネットワークノードは、指紋からDNAに到達するのと同様に動作する。データパケットは、ネットワークチェイン内で次のジャンクションへと移動するとき、例えば、小ビットのシーケンスを蓄積し、後続の各ジャンクションはそれを認証する。このような小ビットシーケンスの蓄積により、ネットワークパスの指紋が必然的に統計的に収集される。認証は、期待されるネットワークパスに関するネットワークの呼び出し時間を(それぞれに固有の付属データと共に)、シグネチャデータパケット及び期待されるネットワーク呼び出し時間許容範囲と比較することにより行われる。加えて、介入者(MITM)攻撃が進行中でないことを確認するために、他のネットワークパラメータを監視してもよい。一実施形態では、MITM攻撃が疑われる場合、ネットワークのポリシーに基づいて応答するようにネットワークを構成することができる。
【0040】
開示されるシステムの第4の主要な特徴は、ネットワークノードに信号を発信するために、システムが少なくとも一つのLEO衛星の使用を採用することである。LEO衛星信号は、受信側での受信力が強いために、屋内環境にも届く。したがって、この特徴により、開示されるシステムを、認証技術として多数の屋内用途に使用することができる。
【0041】
加えて、開示されるシステムは、「ノード」の所在地を確認、トレース、監視、及び/又は追跡することが望ましい様々な用途に使用可能である。加えて、このシステムは、特に携帯電話といったパーソナル携帯機器への支払いオプションの統合が進んでいることにより、クレジットカードに関する既存の追跡方法に新たな有用性を提供することができる。クレジットカードユーザの所在地が監視できるだけでなく、ユーザは、自身の盗難品を取り戻そうとしている場合に、自らを追跡して移動することができる。また、このような特徴は、ジオキャッシングのようなゲーミング用のパーソナルコンピューティング装置と組合せて使用することができる。
【0042】
下記の説明には、システムのさらに徹底した説明を提供するために、多数の詳細事項が記載されている。しかしながら、当業者には、開示されるシステムをこれらの具体的な詳細事項なしで実行可能であることが明らかであろう。その他の場合、システムを不要に分かりにくくしないために、周知の特徴については詳細に説明しない。
【0043】
図1は、本発明による、サイバー及びネットワークセキュリティ用途の減衰環境内でのネットワークノードの地理位置確認のためのシステム100の一実施形態を示している。この図では、発信ネットワークノード(ノードA)110に位置するユーザは、宛先ネットワークノード(ノードD)120に位置するユーザにデータパケット130を送ろうとしている。発信ネットワークノード(ノードA)110及び宛先ネットワークノード(ノードD)120は、ノードB140及びノードC140を含む複数のルータネットワークノード140を介して互いに接続されている。図中、発信ネットワークノード(ノードA)110は、ルータネットワークノードであるノードB140及びノードC140を通して宛先ネットワークノード(ノードD)120へデータパケット130を伝送している。
【0044】
データパケット130は、セキュリティシグネチャ部分170、ルーティングデータ部分150、及びペイロードデータ部分160を含む。データパケット130のルーティングデータ部分150は、データパケット130のルーティング情報を包含している。ルーティング情報には、データパケット130の送信先である宛先ネットワークノードに関する情報(例えば、宛先ネットワークノード(ノードD)120のアドレス)が含まれている。データパケット130のペイロードデータ部分160は、発信ネットワークノード(ノードA)110のユーザが宛先ネットワークノード(ノードD)120のユーザに送ろうとするデータ及び/又は情報を包含している。セキュリティシグネチャ部分は、パケットから別のパケットへコピーペーストされてはならず、そうでない場合、別のパケットを最初のパケットと同じルートを辿っているように見せかけることが可能となるので、本発明の本質は損なわれる。このことは、種々の実施形態に様々に当てはまる。一実施形態では、セキュリティシグネチャはペイロードデータの機能とすることができる。例えば、セキュリティシグネチャは、デジタル署名であるコンポーネントを含むことができ、これをペイロードデータの機能とすることができる。このようなデジタル署名は、ルートに沿って蓄積されるか、又は各ホップにおいて最後の関与ルータから来たものとして確認されて新規デジタル署名で置換される。
【0045】
データパケット130のセキュリティシグネチャ部分170は、データパケット130が発信ネットワークノード(ノードA)110から宛先ネットワークノード(ノードD)120までの間に通過したネットワークノードすべてのリスト出力を含む。この実施例で示すように、セキュリティシグネチャ部分170内のネットワークノードのリスト出力には、ノードA110、ノードB140、ノードC140、及びノードD120が含まれている。データパケット130がノードのネットワークを通過するとき、データパケット130がネットワークノードを通過する度に、関与ネットワークノードがネットワークノードのリスト出力に追加される。したがって、セキュリティシグネチャ170は、特定の生物の特定のDNA配列と全く同じように、データパケット130の固有の鍵識別子へと成長する。
【0046】
一又は複数の実施形態では、セキュリティシグネチャ部分170は、リスト出力中のネットワークノードについて少なくとも一つのタイミング情報も含む。タイミング情報は、データパケット130が(一又は複数の)ネットワークノードによって受信された時及び/又は発信された時を示す。加えて、少なくとも一つの実施形態では、データパケット130のセキュリティシグネチャ部分170は、リスト出力中のネットワークノードの少なくとも一つの識別子情報を含む。開示されるシステムに使用される識別子情報の種類には、限定されないが、様々な種類の生体認証情報及び/又はネットワークノードの各々の固有のビットシーケンス識別コードが含まれる。
【0047】
加えて、データパケット130のセキュリティシグネチャ部分170は、リスト出力中のネットワークノードの少なくとも一つの地理位置情報を含む。地理位置情報には、ネットワークノードの具体的な物理的位置が含まれ、さらにはネットワークノードの所在地が確認済みかどうかに関する情報が含まれる。少なくとも一つの実施形態では、ネットワークノードの地理位置情報は、少なくとも一つの発信源から発信される少なくとも一つの認証信号を受信するネットワークノードにより確認される。(一又は複数の)認証信号の使用によりネットワークノードの所在地を確認する方法の詳細な説明は、図3、4、5、及び6の説明において記載する。いくつかの実施形態では、ネットワークノードの地理位置情報は、確認済の所在地に位置するネットワークノードとの間で伝送される信号から取得されるレンジング情報を使用することにより確認される。レンジング情報の取得方法の詳細な説明は、図2の説明において記載する。
【0048】
図2は、伝送に基づく認証システム200とレンジング情報の使用とにより確認される三つのネットワークノード210、220、230の所在地を示している。この図では、ネットワークノード210、220は、確認済み所在地に位置するルータネットワークノードである。これらネットワークノード210、220の所在地は、少なくとも一つの信号を発信するために衛星240を採用する、伝送に基づく認証システムの使用により確認される。伝送に基づく認証システム200の動作方法の詳細な説明については、図3、4、5、及び6の説明を参照されたい。この図では、ネットワークノード230は衛星240のアクセスを有さないため、ネットワークノード230の所在地は、認証に基づく認証システム200によって確認されない。しかしながら、ネットワークノード230の所在地は、確認済みの所在地に位置するネットワークノード210、220との信号伝送により取得される往復遅延時間(すなわち、ピング遅延)の使用により、レンジング情報を使用して確認することができる。
【0049】
この実施例のレンジング情報取得プロセスは下記の通りである。まず、ネットワークノード230は時間t1aにおいてネットワークノード210へと信号(R31)を発信する。ネットワークノード210は、時間t3aにおいて信号(R31)を受信し、時間t3bにおいてネットワークノード230へと帰還信号(R13)を発信する。ネットワークノード230は時間t1bにおいて帰還信号(R13)を受信する。ネットワークノード210による信号(R31)の受信と信号(R13)による返信との間の遅延(すなわち、t3b−t3a)は既知である。したがって、往復遅延時間(×光速÷2)により、ネットワークノード210とネットワークノード230との間のレンジが得られる。次いで、このレンジ情報を使用して、ネットワークノード230の所在地を確認する。同様の演算を行ってネットワークノード230とネットワークノード220との間のレンジを計算する。関連するネットワークレンジの等式は下記のとおりである。R13=c[(t3a−t1a)+(t1b−t3b)]/2
R23=c[(t3a−t2a)+(t2b−t3b)]/2
ここで、tは時間であり、cは光速である。
【0050】
図3は、重なり合うスポットビーム340を発信する衛星310を採用した、伝送に基づく認証システム300の一実施形態を示しており、スポットビーム340には、一又は複数のガードビーム330と共に、「ビームゼロ」とも呼ばれる認証ビーム320を含んでいる。図中、正規のネットワークノード360は、認証ビーム320内部に位置している。偽装ネットワークノード350は、正規ネットワークノード360の位置をシミュレーションしようとしている。
【0051】
ガードビーム330及びビームゼロ320内部の各位置は、経時的に、各ビーム340から固有の認証信号を受信する。ビーム340が重なり合う領域内部の位置は、複合認証信号を受信する。偽装ネットワークノード350は、正規ネットワークノード360の所在地には位置していないため、正規のネットワークノード360がその位置に基づいて受信すべき特定の認証信号320を受信しない。ネットワークノードは、その正規の所在地に位置しない限り正確な認証信号を受信せず、したがって認証符号デバイスはネットワークノードの位置を確認することができない。
【0052】
一又は複数の実施形態では、スポットビーム340に含めて伝送されるデータには、認証鍵、及び/又はビームの一つに含まれるデータを他のビーム中のデータから区別するために使用できる他の擬似ランダムコードセグメントが含まれる。開示されるシステム及び方法は、ビーム340間でデータを区別するために、他の際立ったビーム特性及び/又はデータ特性を使用してもよい。少なくとも一つの実施形態では、ガードビーム330は、ビームゼロ320より高い電力で発信される。これにより、ガードビーム330からの信号がビームゼロ320の認証信号を遮蔽する。
【0053】
図4A〜4Fは、一又は複数のネットワークノードが複数の重なり合うスポットビームから受信する信号を使用して所在地の確認と一又は複数のネットワークノードの識別とを行う一実施形態を示している。基本概念は、重なり合うスポットビームのパターンの内部でネットワークノードがどこに位置するかに応じて、各ネットワークノードが複数のスポットビームから発信される信号の組合せから異なる複合信号を受信することである。具体的には、図4に示す発明の伝送に基づく認証システムは、三つの重なり合うスポットビーム(すなわち、ビーム1、ビーム2、及びビーム3)の内部及び近傍の様々な位置に、例えば四つのネットワークノード(すなわち、A、B、C、及びD)を有している。したがって、この図は、ネットワークノードA、B、及びCの所在地を照射する重なり合うスポットビームを示している。ネットワークノードDの所在置は、ビームパターンのわずかに外側に示されている。
【0054】
図4Bは、図3Aの三つのスポットビームが発信する例示的信号(1、2、及び3)を示すグラフ400である。具体的には、この図は各スポットビーム(ビーム1、ビーム2、及びビーム3)により発信されて、ネットワークノードの所在地を確認するために使用される信号の例示的な組を示している。三つの折れ線(グラフ400の1、2、及び3)は、各ビームスポットから発信された信号の経時的なビットシーケンスを示す。これら三つのビットシーケンスは、本発明の概念を示すためだけに使用される。したがって、他に多数の種類の信号及び変調形式を採用することができる。また、偽装ネットワークノード及び/又はユーザからさらに保護するため、及び移動ネットワークノードが特定の位置にあるときに特殊な時間を提供するために、信号のパターンを周期的に変更することができる。加えて、ネットワークノードの認証に使用されるこれら信号は、通常の伝送の間、短時間の間通常の信号とは別途送信することができるか、或いは、通常の信号内部に埋め込むことができる。
【0055】
図4Cは、図4Aの四つのネットワークノード(A、B、C、及びD)の所在地における三つのスポットビーム(ビーム1、ビーム2、及びビーム3)の信号強度のアレイ410を示す。具体的には、受信信号ビーム(sbr)のアレイ410は、アレイ410の行に示す受信信号ビーム(ビーム1、ビーム2、及びビーム3)から、アレイ410の列に示す各ネットワークノード(A、B、C、及びD)によって受信された信号強度を示している。例えば、所在地Bのネットワークノードは、信号の大部分をビーム2から受信しており、その信号強度は11であるのに対し、ビーム1及びビーム3の信号強度はそれぞれ2及び1.5である。ネットワークノードの受信信号の特性及び/又はプロパティは、ネットワークノードの所在地を確認するために使用されるシグネチャとなりうる。
【0056】
図4Dは、図4Aの三つのスポットビーム(ビーム1、ビーム2、及びビーム3)のビットのアレイ420を示している。この図では、ビットアレイ420は、三つのアレイの行に、各ビーム(ビーム1、ビーム2、及びビーム3)が発信する信号シーケンスを、時間の関数として示しており、時間はアレイ420十六(16)の列で表されている。ここで、概念を説明するために、発信される信号はバイナリである。しかしながら、代替的な実施形態では、他の信号パターンを採用してもよい。
【0057】
図4Eは、図4Aの四つのネットワークノード(A、B、C、及びD)が受信する合成信号シーケンスのアレイ430を示している。この図には、所在地A、B、C、及びDのネットワークが複数の重なり合うビームから受信する複合信号の合成シーケンスを示している。合成信号(rx)=g×(sbrT)×(ビット)であり、ここでgは各ネットワークノード受信器の利得である。この実施例では、利得(g)は0.7となる(すなわち、g=0.7)ように選択される。受信アレイ(rxT)430の十六(16)の行は時間ステップを表しており、四つ(4つ)の列はネットワークノードの異なる所在地(A、B、C、及びD)に対応している。この実施例では、所在地Dはビームパターンの外側に位置しているので、所在地Dのネットワークノードは信号を受信しないことに注目されたい。
【0058】
図4Fは、図4Aの四つのネットワークノード(A、B、C、及びD)が受信する合成信号のグラフ440を示している。四つの折れ線(A、B、C、及びD)は、所在地A、B、C、及びDのネットワークノードが受信する合成信号の時間シーケンスを示している。四つの合成複合信号は、四つのネットワークノード(A、B、C、及びD)の固有のネットワークノード所在地識別をそれぞれ行う。
【0059】
図5は、二次的ミッションの一部としてガードビーム伝送を用いた、伝送に基づく認証システム500の一実施形態を示している。この実施形態では、少なくとも一つのガードビームが、衛星510の二次的ミッションの一部として正規データを伝送するために使用される。例えば、ガードビームを使用して、地域情報、例えばガードビーム到達範囲内において有効な種々のGPSネットワーク補正を一斉送信することができる。しかしながら、もっとランダムな信号と比較して、地域情報はなりすましを行う者にとって判断し易いため、高セキュリティのためにこれは好ましい実施形態ではないことに注意されたい。別の実施例として、ガードビームは、主要ミッション(すなわち、認証信号)に関連するデータ、及び/又は二次的ミッションに関連するデータを伝送するために使用することができる。
【0060】
図5に示すように、認証信号はバーストとして発信される。認証信号は、認証信号のタイミングがネットワークノードの所在地を示すように、バーストに含めて、ビームゼロに含めて、又は別のビーム(ビームゼロとガードビームとを含む)に含めて、ランダムに送信することができる。したがって、ネットワークノードは、複数のバーストを受信する場合、ビームゼロ内部又はビーム重複領域内部に位置している。
【0061】
代替的な実施形態では、認証信号は、衛星の伝送電力及び/又は帯域幅への影響を最小にするために、通常のデータ伝送に埋め込むことができる。認証信号は、通常の受信には影響を与えない様々な方法(例えば、時間、周波数、分極シフトなど)でデータ伝送に埋め込むことができるが、特定の処理により検出可能である。
【0062】
一又は複数の実施形態では、認証信号は、ビット毎に一斉送信の電力を変化させることにより、通常のデータ伝送に埋め込まれる。これらの実施形態の場合、ガードビームのビット調節により、伝送されるビットの一斉送信電力がビット毎に変化する。これにより、なりすましによりビットの局所的なガードビーム中のビットを見ようと試み、それらを除去するためにデータ処理することが防止される。
【0063】
例えば、なりすましは下記のような一連の計測(m)を行う。95 105 105 −105 105 −105 95 −105 −95 −95
【0064】
なりすましは、ガード信号(g)が符号(m)であると推測する。すなわち、1 1 1 − 1 1 −1 1 −1 −1 −1
【0065】
すると、なりすましによりアクセスしようとする信号は、符号(m−符号(m)x100)である。すなわち、−1 1 1 −1 1 −1 −1 −1 1 1
【0066】
電力信号が固定でなければ、ガードビームの一斉送信電力は、受信信号の構成部分が下記のようになるように調節される。107 97 91 −93 99 −91 93 −107 −107 −101
【0067】
この場合、なりすましが受信する信号は下記のようになる。102 102 96 −98 104 −96 88 −112 −102 −96
【0068】
なりすましによりそのような測定値の組から認証信号を明らかにするのは困難となるであろう。
【0069】
加えて、同じ構想の延長が、保護帯域信号上に小さいランダムな四位相偏移変調(QPSK)を加えることであることに注意されたい。この場合も、有用な情報を伝送するためにガード信号を使用することができる。
【0070】
図6は、位相外れ二位相偏移変調(BPSK)ガードビーム伝送を採用する、伝送に基づく認証システム600を示している。特に、この図では、ガードビームは、隣接する重複ビーム間に位相外れBPSK信号を用いて認証信号を伝送する。このとき、重複領域内の信号はQPSK信号となる。次いで、ネットワークノードが受信した信号の位相同期及び信号の種類を解析することにより、ビーム内部におけるネットワークノードの固有の位置が決定される。
【0071】
代替的な実施形態では、二次的信号源を使用して追加的な遮蔽伝送を行うことができる。例えば、第2の衛星が、第1の衛星のビームの外側にガードビームを一斉送信してもよい。
【0072】
図7は、閉塞した環境又は混雑した環境において機能できるネットワークノード710を有する本発明のシステム700の一実施形態を示している。具体的には、図7は、二つの衛星706、704と、移動通信用鉄塔708とからRF信号709、705、707を受信するネットワークノード710を示している。一実施例では、RF信号709、705、707は、ダウンコンバートされ、サンプリングされ、随意で暗号化されて、ネットワークノード710を通ってルーティングされるセキュリティ強化データパケットに付加される。別の実施例では、データはRF信号709、705、707から抽出される。抽出されたデータは、随意で暗号化されて、ネットワークノード710を通ってルーティングされるセキュリティ強化データパケットに付加される。本発明のシステムに採用可能な様々なRF信号源の例には、限定されないが、LEO衛星(例えば、インジウム衛星)、GPS衛星(例えば、GNSS信号を発信する)、及び移動通信用鉄塔が含まれる。
【0073】
特定の例示的実施形態及び方法を本明細書に開示したが、前述の開示内容から、当業者には、本発明の精神及び範囲から逸脱することなくこのような実施形態及び方法に変更及び修正を加えることが可能であることは明らかであろう。その他多数の本発明の実施例があり、各実施例はその詳細事項においてのみ他と異なる。したがって、本発明は特許請求の範囲及び適用法の規則及び原理によって必要とされる範囲にのみ制限される。また、本願は以下に記載する態様を含む。
(態様1)
サイバー及びネットワークセキュリティ用途の減衰環境においてネットワークノードを確認するためのシステムであって、
発信ネットワークノードと、
宛先ネットワークノードと、
少なくとも一つのルータネットワークノードと
を備えており、
前記発信ネットワークノード及び前記宛先ネットワークノードが前記少なくとも一つのルータネットワークノードを介して互いに接続されており、
前記発信ネットワークノードが、前記少なくとも一つのルータネットワークノードを通して前記宛先ネットワークノードにデータパケットを伝送するように構成されており、
前記データパケットが、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含む、
システム。
(態様2)
前記セキュリティシグネチャ部分がデジタル署名を含む、態様1に記載のシステム。
(態様3)
前記セキュリティシグネチャ部分が、前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードからなるリスト出力を含む、態様1に記載のシステム。
(態様4)
前記セキュリティシグネチャ部分が、前記リスト出力中の前記少なくとも一つのネットワークノードについて、前記データパケットが前記少なくとも一つのネットワークノードによっていつ受信されたかを示すタイミング情報を含む、態様3に記載のシステム。
(態様5)
前記セキュリティシグネチャ部分が、前記リスト出力中の前記少なくとも一つのネットワークノードの識別子情報を含む、態様3に記載のシステム。
(態様6)
前記識別子情報が、生体認証情報及びビットシーケンス識別コードの少なくとも一方である、態様5に記載のシステム。
(態様7)
前記セキュリティシグネチャ部分が、前記リスト出力中の前記少なくとも一つのネットワークノードの地理位置情報を含む、態様3に記載のシステム。
(態様8)
前記地理位置情報が、少なくとも一つの発信源から発信される合成信号を受信する前記ネットワークノードにより取得され、
前記合成信号は少なくとも一つの認証信号を含み、且つ
前記ネットワークノードの所在地は、前記ネットワークノードが受信する前記合成信号のプロパティを、前記ネットワークノードがその所在地に基づいて受信するべき合成信号に期待されるプロパティと比較することにより確認される、
態様7に記載のシステム。
(態様9)
前記少なくとも一つの発信源が、衛星、擬似衛星、及び地球圏内発信源の少なくとも一つである、態様8に記載のシステム。
(態様10)
前記ネットワークノードが所在地確認済みの別のネットワークノードへと伝送した信号と、前記ネットワークノードが前記位置確認済みのネットワークノードから受信した信号とによって取得されるレンジング情報に基づいて、前記地理位置情報が決定される、態様7に記載のシステム。
(態様11)
前記ルーティングデータ部分は前記データパケットのルーティング情報を含み、
前記ルーティング情報は前記パケットの送信先である前記宛先ネットワークノードに関する情報を含む、
態様1に記載のシステム。
(態様12)
前記ペイロードデータ部分は、前記発信ネットワークノードから前記宛先ネットワークノードに伝送されるべきデータを含む、態様1に記載のシステム。
(態様13)
サイバー及びネットワークセキュリティ用途の減衰環境においてネットワークノードを確認する方法であって、
発信ネットワークノードにより、少なくとも一つのルータネットワークノードを通して宛先ネットワークノードにデータパケットを発信することを含み、
前記発信ネットワークノード及び前記宛先ネットワークノードが前記少なくとも一つのルータネットワークノードを介して互いに接続されており、
前記データパケットが、セキュリティシグネチャ部分、ルーティングデータ部分、及びペイロードデータ部分を含む、
方法。
(態様14)
前記セキュリティシグネチャ部分が、前記発信ネットワークノードから前記宛先ネットワークノードまでの間に前記データパケットが通過する少なくとも一つのネットワークノードからなるリスト出力を含む、態様13に記載の方法。
(態様15)
前記セキュリティシグネチャ部分が、前記リスト出力中の前記少なくとも一つのネットワークノードについて、前記データパケットが前記少なくとも一つのネットワークノードによっていつ受信されたかを示すタイミング情報を含む、態様14に記載の方法。
(態様16)
前記セキュリティシグネチャ部分が、前記リスト出力中の前記少なくとも一つのネットワークノードの識別子情報を含む、態様14に記載の方法。
(態様17)
前記識別子情報が、生体認証情報及びビットシーケンス識別コードの少なくとも一方である、態様16に記載の方法。
(態様18)
前記セキュリティシグネチャ部分が、前記リスト出力中の前記少なくとも一つのネットワークノードの地理位置情報を含む、態様14に記載の方法。
(態様19)
前記地理位置情報を、少なくとも一つの発信源から発信される合成信号を受信する前記ネットワークノードにより取得し、
前記合成信号は少なくとも一つの認証信号を含み、且つ
前記ネットワークノードが受信する前記合成信号のプロパティを、前記ネットワークノードがその所在地に基づいて受信するべき合成信号に期待されるプロパティと比較することにより、前記ネットワークノードの所在地を確認する、
態様18に記載の方法。
(態様20)
前記少なくとも一つの発信源が、衛星、擬似衛星、及び地球圏内発信源の少なくとも一つである、態様19に記載の方法。
(態様21)
前記ネットワークノードが所在地確認済みの別のネットワークノードへと伝送した信号と、前記ネットワークノードが前記所在地確認済みのネットワークノードから受信した信号とによって取得されるレンジング情報に基づいて、地理位置情報を決定する、態様18に記載の方法。
(態様22)
前記ルーティングデータ部分は前記データパケットのルーティング情報を含み、
前記ルーティング情報は前記パケットの送信先である前記宛先ネットワークノードに関する情報を含む、
態様13に記載の方法。
(態様23)
前記ペイロードデータ部分は、前記発信ネットワークノードから前記宛先ネットワークノードに伝送されるべきデータを含む、態様13に記載の方法。
(態様24)
サイバー及びネットワークセキュリティ用途のネットワークノードデバイスであって、
信号源から信号を受信することができる受信器、及び
前記信号に関連する情報をセキュリティシグネチャとして、前記ネットワークノードデバイスを通してルーティングされるデータパケット上に付加することができるプロセッサ
を備えるデバイス。
(態様25)
サイバー及びネットワークセキュリティ用途の認証システムであって、
信号源から信号を受信することができる受信器と、前記信号に関連する情報をセキュリティシグネチャとして、前記ネットワークノードデバイスを通してルーティングされるデータパケット上に付加することができるプロセッサとを備えるネットワークノードデバイス、及び
前記ネットワークノードデバイスを通してルーティングされる前記データパケットの前記セキュリティシグネチャを、前記ネットワークノードデバイスが受信する信号に関連する既知の情報と比較することにより、前記ネットワークノードデバイスを認証することができる処理装置
を備えるシステム。
(態様26)
前記ネットワークノードデバイスの認証は、少なくとも部分的に、前記ネットワークノードデバイスがその期待される地理位置に物理的に位置しているかどうかを決定することからなる、態様25に記載のシステム。
(態様27)
前記ネットワークノードデバイスの認証後にデータの通過が許可される、態様25に記載のシステム。
(態様28)
前記処理装置は、携帯電話、パーソナル携帯情報機器(PDA)、パーソナルコンピュータ、コンピュータノード、インターネットプロトコル(IP)ノード、サーバ、Wi−Fiノード、テザーノード、及び非テザーノードのうちの一つである、態様25に記載のシステム。