JP2013127778A - ネットワーク測距に基づくジオセンティケーション - Google Patents

ネットワーク測距に基づくジオセンティケーション Download PDF

Info

Publication number
JP2013127778A
JP2013127778A JP2012236648A JP2012236648A JP2013127778A JP 2013127778 A JP2013127778 A JP 2013127778A JP 2012236648 A JP2012236648 A JP 2012236648A JP 2012236648 A JP2012236648 A JP 2012236648A JP 2013127778 A JP2013127778 A JP 2013127778A
Authority
JP
Japan
Prior art keywords
node
target node
physical location
message
trusted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012236648A
Other languages
English (en)
Other versions
JP6556976B2 (ja
Inventor
A Whelan David
デーヴィッド エー. ウエラン,
M Gutt Gregory
グレゴリー エム. ガット,
G Lawrence David
デーヴィッド ジー. ローレンス,
L O'connor Michael
マイケル エル. オコナー,
R Schmalzried Rachel
レイチェル アール. シュマルツリート,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Boeing Co
Original Assignee
Boeing Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/283,491 external-priority patent/US8949941B2/en
Application filed by Boeing Co filed Critical Boeing Co
Publication of JP2013127778A publication Critical patent/JP2013127778A/ja
Application granted granted Critical
Publication of JP6556976B2 publication Critical patent/JP6556976B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/023Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W64/00Locating users or terminals or network equipment for network management purposes, e.g. mobility management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Position Fixing By Use Of Radio Waves (AREA)
  • Radio Relay Systems (AREA)
  • Radar Systems Or Details Thereof (AREA)

Abstract

【課題】ユーザの物理的な位置などの付加的な情報を活用してユーザを認証する。
【解決手段】ターゲットノードの物理的な位置の認証は、ターゲットノードと既知の物理的な位置を含む少なくとも一の信頼できるノードとの間でのpingメッセージの送信中に経過する時間から取得されるping測距距離を使用することにより達成される。信頼できるノードの物理的な位置は、衛星ジオロケーション技術を使用することにより取得される。測距距離の精度は、ターゲットノードと信頼できるノードとの間で送信されるpingメッセージの事前結合及び/又は優先順位決定を使用することにより改善される。少なくとも一の実施形態では、pingメッセージは、ターゲットノード及び/又は信頼できるノードと関連する専用のping応答ハードウェアにより送信される。幾つかの実施形態では、pingメッセージは、擬似ランダムコードビットシーケンスを含む。
【選択図】図1

Description

本発明は、ジオセンティケーションに関する。特に、ネットワーク測距に基づくジオセンティケーションに関する。現在、電子システムが日常のビジネス及び社会業務にますます浸透するようになるにつれ、サイバーセキュリティが次第に重要になりつつある。もし権限のない集団にアクセスされれば多かれ少なかれ社会的な衝撃もたらすであろうネットワーク化されたシステムに、膨大な重要データが蓄積されている。
増加する電子システムへの依存に対し、国家はサイバーテロの激増も経験しており、ゆえに、ネットワークコンピュータシステムを守るための改良された方法が求められる。サイバー攻撃はありふれたものになりつつあり、このため、商業環境及び軍事環境で外的脅威によるネットワーク侵入の危険性について繰り返し議論されている。
現在のアクセス制御手法は、主に固定パスワード、又はパスワード及びIDカードの認証情報による認証に基づいている。エンドユーザへのなりすましによりしばしば攻撃が実行されるので、組織がネットワークの脆弱性を減らすためのユーザ認証方法に集中する傾向にある。これらの手法は最新式の攻撃に対して脆弱であり続けるので、ユーザの物理的な位置などの付加的な情報を活用するアクセス制御の新たなパラダイムを開発する必要がある。
本発明の開示は、ターゲットノードの物理的な位置を認証するための方法、システム、及び装置に関する。特に、本発明の開示は、ターゲットノードにより、ジオセンティケーションリクエストを、既知の物理的な位置を含む少なくとも一の信頼できるノードへ送信するステップを含む方法を教示する。方法は、少なくとも一の信頼できるノードにより、ジオセンティケーションリクエストを受信するステップをさらに含む。また、方法は、少なくとも一の信頼できるノードにより、照会メッセージ(たとえば、ping又はpingのようなメッセージ)をターゲットノードに送信するステップを含む。方法は、ターゲットノードにより、照会メッセージを受信するステップをさらに含む。また、方法は、ターゲットノードにより、応答メッセージ(たとえば、応答pingまたは応答pingのようなメッセージ)を少なくとも一の信頼できるノードへ送信するステップを含む。さらに、方法は、少なくとも一の信頼できるノードにより、応答メッセージを受信するステップを含む。さらに、方法は、少なくとも一のプロセッサにより、照会メッセージを送信するステップから応答メッセージを受信するステップまでに経過した時間を使用することにより、ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を計算するステップを含む。さらに、方法は、少なくとも一のプロセッサにより、ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を使用することにより、ターゲットノードの物理的な位置を認証するステップを含む。
一又は複数の実施形態では、ターゲットノード及び/又は少なくとも一の信頼できるノードは、それぞれ、ルーター、サーバ、パーソナルコンピュータ装置、パーソナルデジタルアシスタント、携帯電話、コンピュータノード、インターネットプロトコル(IP)ノード、ネットワークノード、ゲートウェイ、Wi−Fiノード、パーソナルエリアネットワーク(PAN)ノード、ローカルエリアネットワーク(LAN)ノード、ワイドエリアネットワーク(WAN)ノード、ブルートゥースノード、ZigBeeノード、マイクロウェブアクセスのワールドワイドインターオペラビリティ(WiMAX)ノード、第二世代(2G)ワイヤレスノード、第三世代(3G)ワイヤレスノード、及び/又は第四世代(4G)ワイヤレスノードとする。
少なくとも一の実施形態では、少なくとも一の信頼できるノードの物理的な位置は、衛星ジオロケーション技術を介して取得される。一又は複数の実施形態では、衛星ジオロケーション技術は、少なくとも一の信頼できるノードの物理的な位置を取得するために、少なくとも一の認証信号を使用する。幾つかの実施形態では、少なくとも一の認証信号は、少なくとも一の伝送ソースにより伝送され、且つ、少なくとも一の信頼できるノードに関連する少なくとも一の受信ソースにより受信される。一又は複数の実施形態では、二以上の認証信号は、同じ伝送ソースから伝送される。幾つかの実施形態では、二以上の認証信号は、異なる伝送ソースから伝送される。一又は複数の実施形態では、二以上の認証信号は、同じ周波数で伝送される。幾つかの実施形態では、二以上の認証信号は、異なる周波数で伝送される。少なくとも一の実施形態では、少なくとも一の伝送ソースが、少なくとも一の衛星及び/又は少なくとも一の擬似衛星で採用される。幾つかの実施形態では、少なくとも一の衛星は、低高度地球周回軌道(LEO)衛星、中高度地球周回軌道(MEO)衛星、及び/又は静止地球軌道(GEO)衛星とする。
一又は複数の実施形態では、開示される方法は、イリジウムLEO衛星コンステレーションを採用し、コンステレーションの各衛星は、特有のスポットビームパターンを有する48のスポットビームを伝送するアンテナジオメトリーを含む。少なくとも一の実施形態では、少なくとも一の認証信号は、コンステレーションのイリジウム衛星の少なくとも一から伝送される。イリジウム衛星の48のスポットビームは、局部的な認証信号を地表上又はその近辺に配置された受信ソースに伝送するために使用出来る。これらの信号に関連する通信されるメッセージバーストコンテンツは、擬似ランダムノイズ(PRN)データを含む。与えられたメッセージバーストは、特定の時間に特定の衛星スポットビーム内で発生するので、PRN及び特有のビームパラメーター(たとえば、時間、衛星識別(ID)、ビーム識別(ID)、時間バイアス、軌道データなど)を含むメッセージバーストコンテンツは、信頼できるノードの位置を認証するために使用することができる。注目すべきは、上述のイリジウムLEO衛星の一を採用する際に、伝送信号パワーは、認証信号が室内環境を確実に通過できるほど十分に強いものであり、そうするために信号エンコード方法が採用される、ということである。これにより、これらのジオロケーション技術が多くの室内用途に使用可能となる。
一又は複数の実施形態では、ターゲットノードは、ターゲットノードが照会メッセージを受信してから特定の時間が経過した後に、応答メッセージを送信するようにプログラム作成される。少なくとも一の実施形態では、ターゲットノードは、特定の時間に応答メッセージを送信するようにプログラム作成される。幾つかの実施形態では、ターゲットノードは、他のアクションを実行する前に、応答メッセージを送信するアクションを実行するようにプログラム作成される。一又は複数の実施形態では、ターゲットノードは、応答メッセージを送信するための応答メッセージハードウェアを利用する。
少なくとも一の実施形態では、照会メッセージは、擬似ランダムコードビットシーケンスを含み、且つ、応答メッセージは、同じ擬似ランダムコードビットシーケンスの少なくとも一部を含む。幾つかの実施形態では、開示される方法は、少なくとも一のプロセッサで、ターゲットノードの物理的な位置及び少なくとも一の信頼できるノードの物理的な位置のマップを生成するステップをさらに含む。少なくとも一の実施形態では、マップは、ターゲットノード及び少なくとも一の信頼できるノードに関連するインターネットプロトコル(IP)情報を含む。
一又は複数の実施形態では、ターゲットノードの物理的な位置を認証するための方法は、既知の物理的な位置を含む少なくとも一の信頼できるノードにより、照会メッセージをターゲットノードに送信するステップを含む。少なくとも一の実施形態では、少なくとも一の信頼できるノードの物理的な位置は、衛星ジオロケーション技術を介して取得される。方法は、ターゲットノードにより、照会メッセージを受信するステップをさらに含む。また、方法は、ターゲットノードにより、応答メッセージを少なくとも一の信頼できるノードに送信するステップを含む。さらに、方法は、少なくとも一の信頼できるノードにより、応答メッセージを受信するステップを含む。さらに、方法は、少なくとも一のプロセッサにより、照会メッセージを送信するステップから応答メッセージを受信するステップまでに経過した時間を使用することにより、ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を計算するステップを含む。さらに、方法は、少なくとも一のプロセッサにより、ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を使用することにより、ターゲットノードの物理的な位置を認証するステップを含む。
少なくとも一の実施形態では、ターゲットノードの物理的な位置を認証するためのシステムは、照会メッセージをターゲットノードに送信するための、既知の物理的な位置を含む、少なくとも一の信頼できるノードを備える。幾つかの実施形態では、少なくとも一の信頼できるノードの物理的な位置は、衛星ジオロケーション技術を介して取得される。システムは、照会メッセージを受信し、且つ応答メッセージを少なくとも一の信頼できるノードに送信するためのターゲットノードをさらに備える。さらに、システムは、照会メッセージの送信から応答メッセージの受信までに経過した時間を使用することにより、ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を計算するための少なくとも一のプロセッサを含む。また、少なくとも一のプロセッサは、ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を使用することにより、ターゲットノードの物理的な位置を認証するためのものである。一又は複数の実施形態では、少なくとも一のプロセッサは、ターゲットノードの物理的な位置及び少なくとも一の信頼できるノードの物理的な位置のマップを生成するためのものである。
少なくとも一の実施形態では、応答メッセージを高速追跡するための装置は、照会メッセージを受信することができる受信装置、及び照会メッセージの受信後に応答メッセージを伝送することができる伝送装置を備える。幾つかの実施形態では、装置は、応答メッセージの伝送中にそれらの伝送に遅延した通信データパケットを記憶するためのバッファーも備える。一又は複数の実施形態では、装置は、メッセージスケジュールを記憶するためのメモリ、及び通信データパケットがそれを介して伝送されるようなデータスプリッタをさらに備える。少なくとも一の実施形態では、装置は、少なくとも一の信頼できるノードの物理的な位置の検証を実行する衛星追跡ハードウェア、少なくとも一の信頼できるノードの物理的な位置の検証を実行する衛星追跡ファームウェア、及び/又は擬似ランダム発生装置も備える。
一又は複数の実施形態では、方法は、pingまたはpingのようなメッセージを送信することができる、既知の位置にある、信頼できるノードからのネットワークping測距距離に基づきターゲットノードの物理的な位置を決定するために、開示される。少なくとも一の実施形態では、方法は、データパケットメッセージの事前結合を使用することにより、ターゲットノードの物理的な位置のpingベースの推定を向上させるために、開示される。一又は複数の実施形態では、方法は、データパケットメッセージの優先付けを使用することにより、ターゲットノードの物理的な位置のpingベースの推定を向上させるために、開示される。
少なくとも一の実施形態では、方法は、データパケットメッセージの事前結合及び/又は優先付けを実施できる、専用の高速追跡pingメッセージリターンハードウェアを採用することにより、ターゲットノードの物理的な位置のpingベースの推定を向上させるために、開示される。一又は複数の実施形態では、方法は、ルーターなど、新たなターゲットノード又は新たな信頼できるノードをノードの信頼できるネットワークへ付加するために、開示される。
少なくとも一の実施形態では、装置(たとえば、ターゲットノードまたは信頼できるノード)は、専用の高速追跡pingリターンハードウェアを利用することにより、ターゲットノードの物理的な位置のpingベースの推定を向上させるために、開示される。幾つかの実施形態では、装置は、ping又はpingのようなメッセージを受信することができる受信装置、応答ping又は応答pingのようなメッセージを即座に送信することができる伝送装置、衛星ジオロケーション技術を使用して少なくとも一の信頼できるノードの物理的な位置の検証を実行するための衛星追跡ハードウェア及び/又はファームウェア、(ソフトウェア及び/又はハードウェアにより実施される)専用擬似乱数発生装置、ping伝送のために遅延する通信データパケットを記憶するためのバッファー、及び/又はpingスケジュールを記憶するためのメモリを備える。
一又は複数の実施形態では、専用高速追跡pingリターンハードウェア装置は、ターゲットノードの物理的な位置のpingベースの推定を向上させるために、開示される。少なくとも一の実施形態では、装置は、ping又はpingのようなメッセージを受信することができる受信装置、応答pingまたは応答pingのようなメッセージを即座に送信することができる伝送装置、ping伝送のために遅延する通信データパケットを記憶するためのバッファー、pingスケジュールを記憶するためのメモリ、データパケットがそれを通過するようなデータスプリッタ(たとえば、バイコニックカプラー)、及び/又は装置の関連ルーター(すなわち、ターゲットノード又は信頼できるノード)にデータ接続するコンピュータ回路を備える。少なくとも一の実施形態では、装置は、衛星ジオロケーション技術を使用して少なくとも一の信頼できるノードの物理的な位置の検証を実行する衛星追跡ハードウェア及び/又はファームウェア、及び/又は(ソフトウェア及び/又はハードウェアにより実施される)専用擬似乱数発生装置をさらに備える。
少なくとも一の実施形態では、方法は、照会pingまたは照会pingのようなメッセージが擬似乱数などのランダム識別子を含むようなターゲットノードの物理的な位置のpingベースの推定を向上させるために、開示される。特定の擬似乱数は、照会ping又は照会pingのようなメッセージ受信に応じて、応答ping又はpingのようなメッセージが実際に送信されることを検証するため、応答ping又はpingのようなメッセージ内に順番に含まれる。
一又は複数の実施形態では、開示されるシステム及び方法は、データルーティングセキュリティを向上させるために採用される。少なくとも一の実施形態では、開示されるシステム及び方法は、ネットワークでハッキング又はなりすましが実行される可能性を減少させるために使用される。
特性、機能、及び利点は、本開示の様々な実施形態で独立して実現可能であり、さらに別の実施形態で組み合わせることもできる。
本発明のこれらの特徴、態様、及び利点と、その他の特徴、態様、及び利点は、下記の説明、添付の請求項及び図面を参照することで、より理解されるだろう。
本発明の少なくとも一の実施形態による、ターゲットノードの物理的な位置を認証するための、開示されるシステムの概略図である。 本発明の少なくとも一の実施形態による、ターゲットノードがジオセンティケーションリクエストを送信するようなターゲットノードの物理的な位置についての、開示される方法のフロー図である。 本発明の少なくとも一の実施形態による、既知の位置を含む少なくとも一の信頼できるノードが照会メッセージを送信するようなターゲットノードの物理的な位置についての、開示される方法のフロー図である。 本発明の少なくとも一の実施形態による、メッセージを送信するための応答メッセージハードウェア装置を各々が採用する、二のネットワークルーターの概略図である。 本発明の少なくとも一の実施形態による、着信データラインと並んで配置される装置を示す、ルーターに取り付けられる応答メッセージハードウェア装置の概略図である。 本発明の少なくとも一の実施形態による、図5B及び図5Cと共に考察される場合に、ネットワーク内に入り、開示されるシステムにより認証される物理的な位置を含む新たなノード(たとえば、ターゲットノード)を示す概略図である。 本発明の少なくとも一の実施形態による、図5A及び図5Cと共に考察される場合に、ネットワーク内に入り、開示されるシステムにより認証される物理的な位置を含む新たなノード(たとえば、ターゲットノード)を示す概略図である。 本発明の少なくとも一の実施形態による、図5A及び図5Bと共に考察される場合に、ネットワーク内に入り、開示されるシステムにより認証される物理的な位置を含む新たなノード(たとえば、ターゲットノード)を示す概略図である。 本発明の少なくとも一の実施形態による、開示されるスポットビームベースの認証システムにより採用される衛星ベースの通信システムの概略図である。 本発明の少なくとも一の実施形態による、衛星ベースの認証システムを示す概略図である。 本発明の少なくとも一の実施形態による、衛星ベースの認証システムを示す概略図である。 本発明の少なくとも一の実施形態による、衛星ベースの認証システムを示す概略図である。 本発明の少なくとも一の実施形態による、開示される衛星ベースの認証システムを実施するために適合されるコンピュータ装置の概略図である。 本発明の少なくとも一の実施形態による、開示されるスポットビームベースの認証システムにより採用される衛星ベースの通信システムの概略図である。 本発明の少なくとも一の実施形態による、信頼できるノードを認証するための、開示されるスポットビームベースの認証方法を示すフロー図である。図6から図9は、信頼できるノードのスポットビームベースの認証についての、開示されるシステム及び方法に関するものである。
ここで開示される方法及び装置は、ネットワーク測距に基づくジオセンティケーションのオペレーティブシステムを提供する。特に、本システムは、既知の物理的な位置を含む少なくとも一のネットワークノード(信頼できるノードとして述べられる)から取り出される測距距離を使用することにより、ネットワークノード(ターゲットノードとして述べられる)の物理的な位置を認証することに関する。少なくとも一の信頼できるノードの物理的な位置は、衛星ジオロケーション技術を介して取得される。種々の衛星ジオロケーション技術が、開示されるシステムにより採用される。本開示の図6から図9までの説明は、開示されるシステムにより利用される一の例示的な衛星ジオロケーション技術(すなわち、スポットビームベースの認証)について検討する。
現在のアクセス制御手法は、最新式の攻撃に対して脆弱であり続けるので、ユーザの物理的な位置などの付加的な情報を活用するアクセス制御の新たなパラダイムを開発する必要がある。この情報は、付加的な関連性のない予防策をとることを提供し、この結果、位置と統合された物理的なジオロケーションから論理ネットワーク及び情報管理の観点までの状況察知との相関関係を高めることになる。これは、特定のネットワークノードの着信データがその物理的な位置に基づき精査され、様々なアクセス権がそのような情報に基づき与えられることを意味する。
ネットワークノードの物理的な位置は、従来のツールを使用して確定するのが今のところは難しい。その位置は、インターネットプロトコル(IP)アドレス及びホストネームを分析することにより推測できるが、これらの識別子はなりすまされたり又は難読化されたりする。代替的に、且つより安全に、ネットワークノードの物理的な位置は、ネットワークping測距距離を使用する推定により、達成することができる。
本開示において、pingは、インターネットプロトコル(IP)ネットワーク上のノードの到達可能性を検査し、且つ、発信元ノード(すなわち、照会pingメッセージを送信するノード)から宛先ノード(すなわち、照会pingメッセージを受信し、応答pingメッセージを送信するノード)へ送信されるメッセージの往復時間を測定するために使用されるコンピュータネットワーク管理ユーティリティである。pingは、インターネットコントロールメッセージプロトコル(ICMP)エコーリクエストデータパケットを宛先ノードに送信し且つ応答を待つ発信元ノードにより、作動する。この工程で、プロセッサは、照会pingメッセージの伝送からの往復時間を測定し、且つ、任意のデータパケットロスを記録するために使用される。
本開示のシステム及び方法は、四つの主要な特徴を有する。第一の主要な特徴は、ネットワークノードの物理的な位置を推定するネットワークping測距距離を使用することである。このような判定は、ネットワークにおける信頼のレベルを増加させ、既知の位置を含む、安全で信頼できるネットワークノードから、当のターゲットネットワークノードへpingを送信することにより、達成される。一又は複数の実施形態では、発信元ノード(すなわち、照会pingメッセージを送信するノード)は、次いで、送信される時間と受信される時間との差を調べ、物理的な範囲推定を引き出す。ping測距を実行する複数の発信元ノードは、最終結果の精度及び信頼性を向上させるために、この工程に従う。
第二の主要な特徴は、ping事前結合及び/又は優先付けを使用することである。この特徴は、宛先ノードからpingの即座のリターン(すなわち、ping応答メッセージの即座の送信)の必要性に基づくものであり、第一の主要な特徴による方法の精度にとって重要である。応答の遅延によりもたらされるいかなる関連する遅延も、測定されるネットワーク範囲を増加させ、ゆえに、測定される最大の物理的な範囲を増加させるであろう。このことは、ネットワークノードの実際の物理的な位置の不確実性を増加させる。そのようなものとして、本特徴は、照会ping及び/又は応答pingの事前結合及び/又は優先付けを使用することにより結果が改善される種々の「高速追跡」方法の使用を提案しており、これにより、宛先ノードができるだけ迅速にpingリクエストに応答することが可能になり、よって、範囲エラーを減らし、最終結果の精度を向上させることができる。
第三の主要な特徴は、専用のping応答「高速追跡」ハードウェアの利用である。専用のping応答「高速追跡」ハードウェアの使用は、第二の主要な特徴の「高速追跡」方法をより好ましく実現する。このようなハードウェアは、ネットワーク測距に含まれる装置に取り付けられ及び/又は接続され、且つ、応答をping照会に事前結合させ及び/又は優先付けることにより、最終結果の精度を向上させるために使用することもできる。
第四の主要な特徴は、予測不可能であり、且つ、宛先ノードにより応答pingメッセージに複製できる照会pingメッセージ内に、特有の識別子(たとえば、幾つかのランダムビットから成る擬似ランダムコード(PRC))を使用することである。これらの特有な識別子は、発信元ノードにより受信される応答pingメッセージが、実際に、発信元ノードにより送信された照会pingメッセージへの応答であったことを確実にするために機能する。
続く説明では、システムのさらに徹底した説明を提供するために多数の詳細事項が記載される。しかしながら、当業者にとっては、開示されるシステムは、これらの詳細な説明がなくても、実行可能であることが明らかであろう。その他の場合において、システムを不要に分かりにくくしないように、周知の特徴については、詳細には説明しない。
注目すべきは、図面の説明全体を通して、ネットワークノードの命名規則に従っていることである。命名規則とは、以下のとおりである。ターゲットノードは、開示されるシステム及び方法が、物理的な位置を検証することにより、認証を試みようとする、当のネットワークノードである。信頼できるノードは、既知の物理的な位置を含むネットワークノードである。一又は複数の実施形態では、信頼できるノードの物理的な位置は、衛星ジオロケーション技術から取得される。しかしながら、幾つかの実施形態では、少なくとも一の信頼できるノードの物理的な位置は、地上マッピングデータを含むがこれに限定されない他の手段を介して、取得される。また、発信元ノードは、照会pingメッセージを送信するネットワークノードであり、宛先ノードは、照会pingメッセージを受信し且つ発信元ノードに応答pingメッセージを返信するネットワークノードである。
図1は、本発明の少なくとも一の実施形態による、ターゲットノード(ルーター3)110の物理的な位置を認証するための、開示されるシステム100の概略図である。この図において、ネットワークノード110、120及び130(これらは、ルーターにより実施される)のネットワークが示され、その中で、ルーター3−110の物理的な位置の認証が求められる。ルーター1−120及びルーター2−130は、検証された物理的な位置にある(ゆえに、それらは信頼できるノードと呼ばれる)が、ルーター3−110の物理的な位置は、不明又は未検証である。
ルーター1−120及びルーター2−130(すなわち、信頼できるノード)の物理的な位置は、衛星ジオロケーション技術を介して取得される。この図に示されるように、衛星1−140及び衛星2−150の両者は、地球180上に複数のスポットビーム160及び170を伝送している。ルーター1−120及びルーター2−130は、それぞれ、衛星1−140及び衛星2−150から伝送されている複数のスポットビーム160及び170の少なくとも一により照射されている。ルーター1−120及びルーター2−130の物理的な位置は、種々のジオロケーション認証システム及び方法から取得される。
一又は複数の実施形態では、スポットビームに基づく認証システム及び方法は、ルーター1−120及びルーター2−130の物理的な位置を認証するために、システム100により使用される。これらの実施形態については、LEOイリジウム衛星が、衛星140及び150に採用され、その各々が、ルーター1−120及びルーター2−130の物理的な位置を認証するために使用される少なくとも一の認証信号を伝送する。ルーター1−120に関連する受信ソース(図示せず)及びルーター2−130に関連する受信ソース(図示せず)は、それぞれ、衛星1−140及び衛星2−150(すなわち、伝送ソース)から伝送される認証信号を受信するために使用される。スポットビームベースの認証システム及び方法に関する詳細な検討については、以下の本開示のスポットビームベースの認証セクションで提示される。また、認証装置(図示せず)は、衛星140及び150の各々から伝送される少なくとも一の認証信号を評価することにより、ルーター1−120及びルーター2−130の物理的な位置を認証するための、開示されるシステム100により、採用される。さらに、注目すべきは、様々な実施形態において、認証信号は、同じ伝送ソースから、異なる伝送ソースから、同じ周波数で、及び/又は異なる周波数で、伝送可能であるということである。
複数のスポットビーム160及び170のスポットビームは、本図面に示されるように、円形のフットプリントを含んでもよく、或いは、他の実施例において、不規則な形状のフットプリントを含むように形成されたスポットビームとしてもよい。種々の衛星及び/又は擬似衛星は、開示されるシステム100の衛星1−140及び/又は衛星2−150に採用されてもよい。衛星140及び150に採用される種の衛星は、低高度地球周回軌道(LEO)衛星、中高度地球周回軌道(MEO)衛星、及び/又は静止地球軌道(GEO)衛星を含むが、これらに限定されない。一又は複数の実施形態では、LEOイリジウム衛星は、衛星140及び150のシステム100によって採用される。伝送信号は、室内に伝搬されることを含む強度が弱められた環境を介して伝搬するのに十分なほど強いものなので、この種の衛星を採用することは有利である。
幾つかの実施形態において、ルーター以外の種々の装置が、開示されるシステム100のネットワークノード110、120及び130に実施可能であることに注目すべきである。ネットワークノード110、120及び130に採用される装置の種類は、ルーター、サーバ、パーソナルコンピュータ装置、パーソナルデジタルアシスタント、携帯電話、コンピュータノード、インターネットプロトコル(IP)ノード、ゲートウェイ、Wi−Fiノード、ネットワークノード、パーソナルエリアネットワーク(PAN)ノード、ローカルエリアネットワーク(LAN)ノード、ワイドエリアネットワーク(WAN)ノード、ブルートゥースノード、ZigBeeノード、マイクロウェブアクセスのワールドワイドインターオペラビリティ(WiMAX)ノード、第二世代(2G)ワイヤレスノード、第三世代(3G)ワイヤレスノード、及び/又は第四世代(4G)ワイヤレスノードを含むが、これらに限定されない。
開示されるシステム100の作動中に、ルーター1−120(すなわち、発信元ノード)は、ルーター3−110(すなわち、宛先ノード)に照会pingメッセージを送信する(ルートR13を参照)。照会pingメッセージの受信に応じて、ルーター3−110は、ルーター1−120に応答pingメッセージを送信する(ルートR13を参照)。ルーター1−120に関連するプロセッサ(図示せず)は、照会pingメッセージを送信するルーター1−120から応答pingメッセージを受信するルーター1−120までに経過した時間を使用することにより、ルーター1−120からルーター3−110までの測距距離を計算する。この測距距離は、ネットワークping測距と呼ばれるが、二のネットワークノード(たとえば、ルーター1−120とルーター3−110)の間の物理的な範囲の近似値及び最大境界を作成し、且つ、次の方程式を使用して計算することができる。
Figure 2013127778

ここで、t=時間、且つ、c=信号速度とする。
ここで、「O」は、宛先ノード(すなわち、ルーター3−110)とされる「D」に照会pingメッセージを送信することにより方法を開始する発信元ノード(すなわち、ルーター1−120)とし、次いで、応答pingメッセージが発信元ノードへ送信される。さらに、ここで、「d」は、たとえば、宛先ノードが照会pingメッセージの受信後に応答pingメッセージを生成するのに必要な時間など、信号伝送時間に関わらない時間遅延とする。いくつかの実施形態では、ネットワーク測距を実行する複数のネットワークノードは、結果の精度及び信頼性を向上させるために、この工程に従うことができる。これは、個々のノード(すなわち、ルーター、サーバ、ノート型及びデスクトップのパーソナルコンピュータ装置、PDA、携帯電話など)に、又は前記ネットワークノードのシステムとしてより集合的に関連可能である。
さらに、信号(c)速度が最大速度(cMAX)よりも低いことが保証できれば、以下の方程式により、測定は範囲推定だけではなく、最大範囲も証明することができる。
Figure 2013127778

ここで、t=時間、且つ、cMAX=最大信号速度とする。
ここで、「dMIN」は、システムの最小の起こりうる遅延時間とする(dMIN=0と仮定する、最も消極的な仮定である)。特定のペアのネットワークノードについて、複数測定を取ることができるが、それは、平均をとるのではなく、二のネットワークノード間の最大範囲として最も小さいRMAXを伝える測定が利用される。
他の実施形態において、ルーター1−120に関連しないプロセッサが測距距離計算を実行できることに注目すべきである。これらの実施形態では、ルーター1−120は、照会pingメッセージを送信するルーター1−120から応答pingメッセージを受信するルーター1−120までに経過する時間をプロセッサに伝送しなければならない。時間を受信すると、プロセッサは、測距距離計算を実行することができる。
次いで、プロセッサ(たとえば、ルーター1−120に関連するプロセッサ、ルーター2−130に関連するプロセッサ、又は別のプロセッサ)は、ルーター3−110の物理的な位置を取得する及び/又は認証するために、ルートR13から計算される測距距離を使用する。
この図において示されるように、ルーター2−130は、また、ルーター3−110へ照会pingメッセージを送信する(ルートR23を参照)。照会pingメッセージの受信に応じて、ルーター3−110は、ルーター2−130に応答pingメッセージを送信する(ルートR23を参照、サイバーバウンス23とも呼ばれる)。ルーター2−130に関連するプロセッサ(図示せず)は、照会pingメッセージを送信するルーター2−130から応答pingメッセージを受信するルーター2−130までに経過した時間を使用することにより、ルーター2−130からルーター3−110までの測距距離を計算する。
代替的な実施形態において、ルーター2−130に関連しないプロセッサが測距距離計算を実行してもよい。これらの実施形態では、ルーター2−130は、照会pingメッセージを送信するルーター2−130から応答pingメッセージを受信するルーター2−130までに経過する時間をプロセッサに伝送しなければならない。時間を受信すると、プロセッサは、測距距離計算を実行することができる。
次いで、プロセッサ(たとえば、ルーター1−120に関連するプロセッサ、ルーター2−130に関連するプロセッサ、又は別のプロセッサ)は、ルーター3−110の物理的な位置を取得する及び/又は認証するために、ルートR13から計算される測距距離と併せて、ルートR23から計算される測距距離を使用する。他の実施形態では、ルートR13から計算される測距距離だけを使用することにより取得されるルーター3−110の物理的な位置の精度を向上させるために、プロセッサは、ルートR23から計算される測距距離を使用する。
一又は複数の実施形態では、プロセッサ(たとえば、ルーター1−120に関連するプロセッサ、ルーター2−130に関連するプロセッサ、又は別のプロセッサ)は、ルーター3−110の取得された物理的な位置、及びルーター1−120及びルーター2−130の既知の物理的な位置を使用し、これらのネットワークノード110、120及び130の位置の物理的なマップを生成する。物理的なマップは、トポロジカルデータ、ストリート名称データ、及びランドマークデータを含むがこれに限定されない種々の地形データを付加的に含むことができる。さらに、物理的なマップ上のインターネットプロトコル(IP)情報のマッピングオーバーレイもまた実施される。
宛先ノードからのping応答メッセージの即座のリターンが、この方法の精度にとって重要であることに注目すべきである。宛先ノードによりもたらされるいかなる遅延も、ネットワークノード間での測定されるネットワーク範囲を増加させ、ゆえに、それらの間での最大の物理的な範囲推定を増加させるだろう。これにより、そこに存在する物理的なエリアが大きくなるにつれ、ターゲットノード(すなわち、ルーター3−110)の実際の物理的な位置の不確実性が増加する。
本開示の幾つか実施形態では、ターゲットノードの物理的な位置の推定は、pingメッセージの事前結合及び/又は優先付けを使用することにより改善され、且つ、専用のping応答メッセージハードウェアの使用を含むことができる。たとえば、ping照会メッセージが特定の時間に進んでいることを、ping照会メッセージの送信に先立って、宛先ノードに知らせる、開示されるシステム100により、発信元ノードから送信されるping照会メッセージへの応答を早めるための方法が利用できる。宛先ノードは、次いで、特定の時間の直前に、着信する照会pingパケットメッセージを最優先し、且つ、照会pingメッセージが到着する際に即座に応答できるように準備をする。幾つかの実施形態では、宛先ノードは、照会pingメッセージを受信してから特定の時間が経過した後に、応答pingメッセージを送信するようにプログラム作成される。少なくとも一の実施形態では、宛先ノードは、定められた又はランダムな、指定された時間間隔での一又は複数の特定の時間に応答pingメッセージを送信するようにプログラム作成される。
少なくとも一の実施形態では、発信元ノードから宛先ノードへ送信される照会pingメッセージは、宛先ノードから発信元ノードへ送信される応答pingメッセージに少なくとも一部が複製されることが予測不可能な(たとえば、任意の数のランダムビット)
特有の識別子を含むことができる。これにより、発信元ノードにより受信される応答pingメッセージは、実際に、発信元ノードが初めに送信した照会メッセージに対する応答であり、なりすましからの応答ではない、ということが確実になる。少なくとも一の実施形態では、ランダムシードは、乱数発生装置(たとえば、擬似乱数発生装置)を起動させ、特有の識別子を提供するために使用することができる。
幾つかの実施形態では、pingメッセージの優先付けは、事前結合方法を使用することなく、考案することができる。たとえば、優先レベルは、変化する優先事項及び/又はそのようなものとしてパケットを処理するために使用される他のキューロジックのデータパケットに割り当てることができる。ターゲットノードの物理的な位置の認証に関連するデータパケット(すなわち、pingメッセージデータパケット)が高い優先度(又は他のアクションを実行する上で最も高い優先度)である一方で、システムは、全体的に非常に重要である他の必要不可欠な情報の送信に付加的に利用され、ゆえに、優先レベル及び/又はキューロジックのセットは、より重要なデータルーティングのサービスの質に影響を与えることなく、応答pingメッセージの送信時の遅延を最小限にするために使用される。
図2Aは、本発明の少なくとも一の実施形態による、そこでターゲットノードがジオセンティケーションリクエストを送信するようなターゲットノードの物理的な位置の、開示される方法のフロー図200である。方法の開始205で、ターゲットノードは、ジオセンティケーションリクエストを、既知の物理的な位置を含む少なくとも一の信頼できるノードへ送信する206。信頼できるノードの物理的な位置は、衛星ジオロケーション技術を介して、取得される。次いで、信頼できるノードは、ジオセンティケーションリクエストを受信する208。
信頼できるノード(すなわち、発信元ノード)は、次いで、照会pingメッセージをターゲットノード(すなわち、宛先ノード)へ送信する210。次いで、ターゲットノードは、照会pingメッセージを受信する215。ターゲットノードが照会pingメッセージを受信した直後に、ターゲットノードは、応答pingメッセージを信頼できるノードへ送信する220。信頼できるノードは、次いで、応答pingメッセージを受信する225。信頼できるノードが応答pingメッセージを受信した後に、少なくとも一のプロセッサは、照会pingメッセージの送信から応答pingメッセージの受信までに経過した時間を使用することにより、ターゲットノードから信頼できるノードまでの測距距離を計算する230。プロセッサが測距距離を計算すると、少なくとも一のプロセッサ(測距距離を計算したプロセッサと同じ又は異なるプロセッサでありうる)は、ターゲットノードから信頼できるノードまでの測距距離を使用することにより、ターゲットノードの物理的な位置を認証する235。プロセッサがターゲットノードの物理的な位置を認証すると、方法は終了する240。
図2Bは、本発明の少なくとも一の実施形態による、そこで既知の位置を含む少なくとも一の信頼できるノードが照会pingメッセージを送信するようなターゲットノードの物理的な位置の、開示される方法のフロー図250である。方法の開始255において、既知の物理的な位置(すなわち、発信元ノード)を含む少なくとも一の信頼できるノードは、照会pingメッセージをターゲットノード(すなわち、宛先ノード)へ送信する260。信頼できるノードの物理的な位置は、衛星ジオロケーション技術を介して、取得される。
次いで、ターゲットノードは、照会pingメッセージを受信する265。ターゲットノードが照会pingメッセージを受信した直後に、ターゲットノードは、応答pingメッセージを信頼できるノードへ送信する270。次いで、信頼できるノードは、応答pingメッセージを受信する275。信頼できるノードが応答pingメッセージを受信した後に、少なくとも一のプロセッサは、照会pingメッセージの送信から応答pingメッセージの受信までに経過した時間を使用することにより、ネットワークノードから信頼できるノードまでの測距距離を計算する280。プロセッサが測距距離を計算すると、少なくとも一のプロセッサ(測距距離を計算したプロセッサと同じ又は異なるプロセッサでありうる)は、ターゲットノードから信頼できるノードまでの測距距離を使用することにより、ターゲットノードの物理的な位置を認証する285。プロセッサがターゲットノードの物理的な位置を認証すると、方法は終了する290。
図3は、本発明の少なくとも一の実施形態による、メッセージを送信するための応答メッセージハードウェア装置330及び340を各々が採用する、二のネットワークルーター310及び320の概略図300である。この図では、二のネットワークルーター310及び320は、専用の応答メッセージハードウェア(すなわち、「高速追跡」装置)330及び340に、各々が接続される(すなわち、有線または無線により)ように示されている。幾つかの実施形態では、専用の応答ハードウェア330及び340は、ネットワークルーター310及び320内に物理的に取り付けられ及び/又は収容される。
応答メッセージハードウェア330及び340は、全くかほとんど遅延なく、照会pingメッセージを受信後に、応答pingメッセージを送信することができる。応答メッセージハードウェア330及び340は、全くかほとんど遅延なく、応答pingメッセージを送信できるので、応答メッセージハードウェア330及び340は、ネットワークping測距距離を使用することにより、ターゲットノードの物理的な位置のより正確な決定が可能になる。応答メッセージハードウェア装置330及び340は、ルーター310と320との間の経路にあり、ping照会メッセージ及びping応答メッセージを送受信する機能を果たす。これらの実施形態について、応答メッセージハードウェア装置330及び340は、pingメッセージを最も優先する。
応答メッセージハードウェア装置330及び340は、特別に指定されたpingメッセージを送受信するという唯一の目的を有する。装置330及び340は、ノード(たとえば、ルーター310及び320)間のデータ経路に存在するように設計され、装置330及び340が即座に戻す特別に指定されたpingメッセージを除くすべてのデータにとってパススルーの役割を果たすことができる。幾つかの実施形態では、装置330及び340は、また、標準トラフィクを妨害せずに、ノード310と320との間のデータ経路に信号を注入することができる。pingメッセージ送信の事前結合も、装置330及び340によって、実行できる。
少なくとも一の実施形態では、ネットワークノードの信頼は、検証された物理的な位置を含むノード(すなわち、信頼できるノード)から検証された物理的な位置を含まないノード(すなわち、未検証ノード又はターゲットノード)へと転送することができる。たとえば、一の専用応答メッセージハードウェア装置330(専用応答メッセージハードウェア装置が、たとえば、ユニバーサル・シリアル・バス(USB)接続を介してコンピュータ装置に取り付けられる場合などには、検証された物理的な位置を含むノード310に隣接する)がラインを介して照会pingメッセージを送信するよう命令される時に、このことが起こりうる。ライン(検証された物理的な位置を含まないノード320に隣接する)の反対側の対応する応答メッセージハードウェア装置340は、応答pingメッセージを送信することにより、速やかに照会pingメッセージに応答する。第一の装置330は、戻される応答pingメッセージを受信し、測距距離計算を実行し、且つ、ネットワーク範囲を未検証ノード320へ報告する。信頼できる物理的に検証されたノード310は、専用応答メッセージハードウェア装置330及び340が両端にある場合には、信頼を「転送」することができる。計算された範囲が測定され且つ検証された物理的な位置と一致している場合には、信頼が受け取られる。
図4は、本発明の少なくとも一の実施形態による、着信データライン(たとえば、光ファイバーケーブル)430と並んで配置される装置410を示すルーター420に取り付けられる応答メッセージハードウェア装置410の概略図400である。応答メッセージハードウェア装置410は、着信データを分割するために、データスプリッタ440(たとえば、バイコニカルカプラー)を利用する。データスプリッタ440は、光ケーブル460経由で(又は別の手段経由で)着信データをルーター420へ伝達し、且つ、着信データをコンピュータ回路450へも伝達する。コンピュータ回路450は、データケーブル470を介して、データをルーター420へ伝達する。取り付けられたルーター420のデータフローを制御することにより、コンピュータ回路450は、装置41と他の専用応答メッセージハードウェア装置との間のpingメッセージを優先付け及び/又は事前結合することができ、且つ、スループットデータへの影響を制限する方法でそうすることができる。たとえば、各々が専用応答メッセージハードウェア装置を備える二のルーターは、標準データ伝送を停止し、pingメッセージの送受信を実行する(たとえば、データ伝送の毎10秒が経過した後の1ミリ秒間にpingメッセージの送受信を実行する)際に、時間のスケジュールを忠実に実行することができる。
少なくとも一の実施形態では、専用の応答メッセージハードウェア装置410は、衛星測距技術を使用して、装置410自体及び/又は他のルーター420の物理的な位置の検証を実行するために、衛星追跡ハードウェア及びファームウェアを含むこともできる。一又は複数の実施形態では、専用の応答メッセージハードウェア装置410は、ネットワークルーター420内に効果的に形成できるので、データスプリッタ440の使用を必要としない。
図5A、図5B及び図5Cは、本発明の少なくとも一の実施形態による、これらの図が共に考察される場合に、ネットワーク内に入り、開示されるシステムにより認証された物理的な位置を含む新たなノード520(すなわち、ターゲットノード)を示す概略図500、505、510である。少なくとも一の実施形態では、新たなノード520は、オンラインとすることができ、それを「信頼できるノード」と確認する際に助けとなる照会pingメッセージを送信することができる。これは、新たなノード520が信頼できるハードウェアを含み、且つ、信頼できる位置に配置される(たとえば、新たなノード520は、軍事ベースで導入される新たなルーターとする)場合とすることができる。しかしながら、少なくとも一の実施形態では、新たなノードは、制御されない装置とすることができる。これらの実施形態では、新たなノードは、その物理的な位置がping測距距離の使用を介して検証されるようになる際に、「信頼できる」ノードに変換することができる。
図5Aでは、「信頼できる」ノードへの変換が望まれる新たな未認証ノード520(すなわち、ターゲットノード)は、ジオセンティケーションpingリクエストをルーター1−530、ルーター2−540及びルーター3−550へ送信する。三のルーター530、540及び550の物理的な位置は、衛星560、570及び580から伝送される信号を利用する衛星ジオロケーション技術を使用することにより、検証される。それに応じて、図5Bでは、ルーター530、540及び550は、照会pingメッセージを新たなノード520へ送信する。新たなノード520がping 照会メッセージを受信すると、図5Cにおいて、新たなノード520は、応答pingメッセージをルーター530、540及び550へ送信する。ルーター530、540及び550の各々に関連するプロセッサ(図示せず)は、ping照会メッセージの送信から応答pingメッセージの受信までに経過した時間を使用することにより、新たなノード520からその関連するルーター530、540及び550までの測距距離を計算する。少なくとも一のプロセッサは、新たなノード520の物理的な位置を認証するために、これらの計算される測距距離を使用する。新たなノードの物理的な位置が認証された後に、新たなノード520は、次いで、「信頼できる」ノードと見なされる。
開示される方法により、ネットワークノードは、ノードの物理的な位置に基づき、与えられたノードからの着信データを綿密に調べることが可能になる。少なくとも一の実施形態では、これは、ネットワークノードの割り当てられた信憑性を向上させるために使用することができる。幾つかの実施形態では、アクセス権は、ノードの認証に基づいて許可されてもよい。少なくとも一の実施形態では、最高の精度/信頼性を伴い使用される方法に最高レベルのアクセス権が割り当てるように、且つ代替的には、最も信憑性の低いノードに関連する最低の精度/信頼性を伴う方法に最低レベルのアクセス権が割り当てられるように、許可されるアクセス権は、ノードの物理的な位置を検証するために使用される認証方法の種類に基づくとしてもよい。
スポットビームベースの認証
エンティティ又はユーザ認証技術により、第三者検証装置が、一方向の認証方法を介してリモートリソースについてのユーザ、アセット、又は装置(たとえば、要求者又はネットワークノード)の身元及び/又は物理的な位置を検証可能になる。しかしながら、注目すべきは、この一方向の方法は、要求者を検証するためのホストシステムにより、直接使用されてもよい、ということである。エンティティは、追跡を必要とする装置(たとえば、ネットワークノード、携帯電話、コンピュータ、サーバなど)又はアセットとすることができ、他方で、ユーザは人又は生物/無生物エンティティとすることができる。エンティティ及び/又はユーザは、接続全体中又はセッション中に認証することができる。エンティティ及び/又はユーザは、最初の認証後に、さらなる認証を要求することができる。さらなる認証は、ホストネットワークにより定められることができ、且つ、コンテクスト特定とすることができる。代替的には、このシステムは、各メッセージについて別々の認証工程を要求するメッセージベースの認証システムに使用することができる。ここで述べられる技術は、セッションベースの認証、メッセージベースの認証、またはこれらの組み合わせに使用することができる。
また、この方法は、一方向認証が、遠隔の第三者によるのではなく、一又は複数の受信装置により完成されるように、受信装置自体に適用可能である。この方法が単独の装置により実行される時に、それはまだ一方向認証方法と見なされる。しかしながら、この方法は、少なくとも二のピア装置が互いを認証できる多方向認証技術にも適用可能である。この一方向又は多方向の装置から装置への認証方法において、認証は、二の正当な受信装置の各々が知っていて、且つ、いかなる未認証の又は不正な受信装置が知らない共有される秘密(対称及び非対称)に、一般的に依存する。各装置は、それ自身とピア装置との間で共有される秘密のパスワード、又はセキュリティ認証形式での公開/非公開のキーペアなど、特有の認証情報を有することができる。装置は、他のピア装置の立証に対して、自身が共有される秘密を知っているので正当であるということを証明すると、自身を認証したことになる。多方向認証方法において、少なくとも二の装置の間で認証が完了すると、装置は、互いに身元を証明したことになる。装置は、次いで、与えられたコンテクストのネットワーク化されたリソースへの通信及びアクセスを保護するために、同意されたサイバーセキュリティポリシーの実施を選択する自身の認証されたネットワークを形成する。
従来の認証方法は、初期セキュリティキーを作成するために、使用又は結合することができる。たとえば、初期セキュリティキーは、Diffie−Hellmanの技術を使用して協同的に作成することができ、又は単純に一のピア装置により作成され、別の安全チャネル/工程を介して、他方へ送ることもできる。
いかなる場合でも、初期セキュリティキーに付随することは、幾つかの共有される活性情報を含むことができる(先述したとおりである)。この用途において、活性情報は、衛星スポットビームを介して提供され、タイムスタンプ及び疑似乱数として認証に使用するパラメーターを含むことができる。
共有される活性情報の使用は、開始装置がそれ自体をピア装置に対して認証するときにはいつでも、異なるセキュリティキーの使用を可能にする導出で使用できる。これにより、開始装置が認証されるときにはいつでも、潜在的な不正傍受者の統計に基づく攻撃開始を阻止し、開始装置の過去のセッション中に傍受されたメッセージ解析に新たに傍受されたメッセージを追加する。活性情報及び初期セキュリティキーは、次いで、入力として、決定的関数に伝達される。ここで使用されるように、「決定的」という言葉は、関数の出力が入力により完全に決定されるような関数を指す。この決定的関数は、開始装置及びピア装置で別々に実行される。これら二の装置が決定的関数を実行する際に、異なる出力を生成する場合には、関数から導き出されるセキュリティキーは一致しないであろうし、装置は認証されることがないであろうから、交信に使用されることはないだろう。
決定的であることに加え、セキュリティ目的のために、関数は、本質的に不可逆とされるべきである。関数出力を知ろうとも、その入力を決定することは非常に難しい又は不可能だろう。ハッシュは、決定的且つ本質的に不可逆的である関数のクラスを形成し、そのようなものとして、暗号化及び認証計算においてしばしば使用される。周知のトランスポートレベルセキュリティ(TLS)プロトコルで使用される擬似ランダム関数(PRF)は、使用される決定的関数を実施する一例である。
PRFは、二の周知のハッシュ関数、メッセージ・ダイジェスト・アルゴリズム5(MD5)及びセキュア・ハッシュ・アルゴリズム1(SHA−1)の結果を組み合わせる。PRFは、万が一誰かが二のハッシュ関数のうちの一の置き換え方を決定することに備えて、セキュリティを守るために、二のハッシュ関数を使用する。これら二のハッシュ関数は、短すぎるのでセキュリティには最適ではない出力を生成する。SHA−1は20バイトの出力を生成し、MD5は16バイトの出力を生成する。それゆえに、二のハッシュ関数の各々には、ハッシュ関数を使用して任意の長さの出力を生成する「データ拡張関数」が定められる。SHA-1には、データ拡張関数は、P_SHA−1と定められる。
EQ1:P_SHA−1(初期セキュリティキー、活性)=SHA−1((初期セキュリティキー、A(1)+活性)+SHA−1(初期セキュリティキー、A(2)+活性)+SHA−1((初期セキュリティキー、A(3)+活性)+・・・
ここで、A(0)=活性;
A(i)=SHA−1(初期セキュリティキー、A(i−1));
且つ、「+」記号は文字列連結を示す。
データ拡張関数P_MD5の定義は、それがどこで現れようとも、「SHA−1」に代わる「MD5」での上述の定義と同じである。データ拡張関数は、所望の長さの出力を生成するのに必要なステップと同じだけ反復される。所望の出力長は、実施のオプションとして設定される。少なくとも一の実施形態では、各ハッシュ関数についての所望の出力長は、128バイトとする。P_SHA−1は、140バイトの合計出力長についてA(7)に反復される(各反復は、20バイトで出力長を増加させる)。出力は、次いで、128バイトに打ち切られる。P_MD5の各反復は16バイトを生成し、A(8)への反復は、打ち切られることなく、所望の128バイトを生成する。
ハッシュ関数及び反復されるそれらのデータ拡張関数を所望の出力長に選択した、認証に基づくスポットビームの一の実施形態では、PRFは、入力として、拡張された初期セキュリティキー、ラベル(既定のASCII文字列)、及び交換された活性情報を取得する。PRFは、二のハッシュデータ拡張関数、P_MD5とP_SHA−1の出力の専用のビット単位のOR(XOR)であると定められる。
EQ:2 PRF(拡張された初期セキュリティキー、ラベル、活性)=P_MD5(S1、ラベル+活性)XOR P_SHA−1(S2、ラベル+活性)
ここで、S1は、バイトで測定される、拡張された初期セキュリティキーの最初の半分であり、S2は、拡張された初期セキュリティキーの残りの半分である。(拡張された初期セキュリティキーの長さが奇数なら、その中間バイトは、S1の最後のバイト及びS2の最初のバイトの両者である)。P_MD5とP_SHA−1が反復されて128バイトの出力を生成する間は、PRFの出力も128バイトである。
PRFの128バイト出力は、四つの32バイトセッションセキュリティキーに分割される。次いで、セッションセキュリティキーの各々は、認証及び使用されている暗号化プロトコルにより要求される長さにそれを打ち切る。打ち切られた結果、新たな組の一時的なセッションセキュリティキーの一つとなる。一時的なセッションセキュリティキーの導出により、セキュリティキー情報の漏洩を最小化する又は少なくとも縮小化するために、開始装置及びピア装置の両者が初期の秘密キー又は拡張された初期セキュリティキーのどちらかを直接的には使用しないことが可能になる。また、一時的なセッションセキュリティキーの導出により、開始装置及びピア装置が、一定の間隔で、又はセッションセキュリティキーの使用を制限することにより統計に基づく分析を阻止するよう命令される時に、拡張された初期セキュリティキーから引き出されるセッションセキュリティキーが更新可能になる。
認証及び暗号化の一時的なセッションセキュリティキーの各々は、以下の特定の目的を有する。i)開始装置からピア装置への機密保持のためのデータ交換の暗号化、ii)ピア装置から開始装置への機密保持のためのデータ交換の暗号化、iii)開始装置からピア装置への安全性のためのデータ交換の署名、及び、iv)ピア装置から開始装置への安全性のためのデータ交換の署名。
スポットビームに基づく認証のための初期セキュリティキーの導出は、同意され且つ周知の公開原子根生成元「g」及び素数「p」を使用するDiffie−Hellman技術を使用することができる。開始装置及びピア装置は、それぞれ、ランダムな秘密の整数値を選択し、自身のそれぞれを交換する((g^(秘密の整数値))素数p)。この交換により、開始装置及びピア装置は、Diffie−Hellman技術を使用して、共有される初期の秘密キーを導き出すことができる。
開始装置とピア装置との間で共有される初期の秘密キーを引き出すと、それらは、データ拡張を使用して、たとえば、P_SHA−1などを使用する拡張された初期の秘密を引き出すことができる。データ拡張工程の活性情報は、開始装置及びピア装置により同意される、周知のランダム値又はタイムスタンプとされる。幾つかの実施形態では、ピア装置は、ランダム値を選択し、衛星又は地上波ネットワークを介して開始装置へそれを伝送することができる。代替的には、開始装置及びピア装置の両者は、正確に時間同期されているので、タイムスタンプに同意し、ゆえに、共有/共通のタイムスタンプ値から活性を選択できる間には、データ交換を避けることができる。
これに続き、開始装置及びピア装置は、新たな組の一時的なセッションセキュリティキーを引き出すために使用される共有の拡張された初期の秘密キーを取得する。活性のために再び、開始装置及びピア装置は、ピア装置により伝送される共有のランダム値、又は共有/共通のタイムスタンプ値のどちらかを使用することができる。一時的なセッションセキュリティキーは、ジオロケーションのさらなる暗号化及び署名、及び開始装置とピア装置との間の他のコンテクスト情報交換のために、開始装置及びピア装置により使用され得る。ジオロケーション及び他のコンテクスト情報は機密であると見なされ、ゆえに、認証された開始装置及びピア装置のみが交換されるジオロケーション及びコンテクスト情報を確実に抽出できるように、そのような情報が暗号化されることが適切である。擬似ランダムコードセグメント及び特有のビームパラメーターを使用する本特許明細書で述べられる手順により、ジオロケーションが認証されるということに注目すべきである。共有のコンテクスト情報は、目的とされるサイバーディフェンスアプリケーションの実行又は決定サポートシステムのための他の状態又は制御情報を含むことができる。暗号化に加え、交換されるジオロケーション及びコンテクスト情報の安全性が、上述したように、署名目的の一時的なセキュリティキーの使用により、確実にされる。
概要において、幾つかの実施形態では、ここで述べられる認証システム及び方法は、認証工程の一部として、要求者の位置を決定するためのジオロケーション技術を活用することができる。このジオロケーション技術の一つが、同一出願人による、同時係属の米国特許出願番号12/756961の「スポットビームオーバーラップを活用するジオロケーション(Geolocation Leveraging Spot Beam Overlap)」で定義されており、その全体を参照することにより、ここにその開示が組み込まれている。認証が要求されると、要求者装置は、特有の署名パラメーターを取り込み、検証装置に伝送する。さらに、要求者装置は、要求された伝達経路(すなわち、それぞれにおけるウェイポイント及び時間)を伝送する。ウェイポイントには、装置か固定式が移動式かが伝送される。検証装置は、少なくとも一の位置ウェイポイントで、このウェイポイント及び供給者を認証するためのビームパラメーター取り込みに関連する少なくとも一の時間で、要求者の要求されるビーム署名パラメーターを使用することができる。たとえば、少なくとも一のスポットビーム及び少なくとも一の要求されるウェイポイントから取り込まれるビームパラメーターが、既知の正当なデータセットに対して確認されれば、要求者は、検証装置により認証されると見なされる。この方法では、要求者は、特定の時間に領域内にいるものとして認証される。これらのパラメーターに基づく複合コードは、模倣、ハッキング、なりすましを行なうのが極端に難しい信号を提供する。さらに、信号構造及び衛星の受信された信号パワーにより、認証が室内又は他の強度が弱められた環境で使用可能となる。これにより、本システムアプローチのユーティリティ全体が向上する。
本発明の主題は、イリジウム衛星により実施されるような低高度地球周回軌道(LEO)衛星のコンテクストで、第一に述べられる。しかしながら、当業者は、ここで述べられる技術が、中高度地球周回軌道(MEO)衛星システム又は静止地球軌道(GEO)衛星システムなど、他の衛星システムにおいても容易に適用可能であることを認識するだろう。衛星に基づく通信システムは、船舶又は携帯電話中継塔を含むがこれらに限定されない固定式通信プラットフォームのみならず、航空用通信システムなどの他の移動式通信システムを含み、又は利用することができる。
図6は、本実施形態による、衛星ベースの通信システム600の概略図である。実際に、衛星ベースの通信システム600は、軌道上に少なくとも一の衛星610を備えることができる。簡略にするため、図6には、単独の衛星が図示される。図6を参照すると、幾つかの実施形態では、システム600は、一又は複数の受信装置620と通信している一又は複数の衛星610を備える。幾つかの実施形態では、衛星610は、たとえば、イリジウム衛星コンスタレーション内にあるLEO衛星として実施することができる。衛星610は、既知の軌道上で地球を周回し、一又は複数のスポットビーム630を既知パターンで地表に伝送することができる。各スポットビーム630は、疑似ランダムデータ、及び一又は複数の特有のビームパラメーター(たとえば、時間、衛星ID、時間バイアス、衛星軌道データ、など)などの情報を含むことができる。
受信装置620は、衛星または携帯電話などの通信装置として、又は、たとえば、パソコン、ノート型パソコン、パーソナルデジタルアシスタントなどの通信又はコンピュータ装置のコンポーネントとして、実施することができる。幾つかの実施形態では、受信装置620は、全地球測位システム(GPS)に接続して使用される装置に類似の位置特定又はナビゲーション装置又はモジュールを備えることができる。
図7A、図7B及び図7Cは、本実施形態による、衛星ベースの認証システム700の概略図である。図7Aを参照すると、幾つかの実施形態において、軌道上の衛星610は、一又は複数のスポットビーム630を地表に伝送する。受信装置620は、スポットビームから信号を受信するように構成することができる。図7Aで示される実施形態では、受信装置は、地上ベースであり、強度が弱められた環境内でも作動可能である。例として、屋根や建物などの物体710は、衛星610と受信装置との間で通信経路の一部を遮ってもよい。
伝送装置720は、受信装置620により受信されたデータ、及び/又は受信装置620により生成されたデータを検証装置730へ伝送する。図7に示される伝送装置720は、受信装置から検証装置へデータを中継する無線伝送装置である。しかしながら、当業者は、受信装置620からのデータが、有線通信システム、無線通信システム、又は有線システム及び無線システムの組み合わせを介して伝送可能であることを認識するだろう。検証装置730は、スポットビーム経由で受信装置620により取り込まれたデータを使用して、検証装置730に対し、図7Bの事例でもある一方向認証手法を介して、それが認証されたユーザであることを証明する。
さらに、図7Bは、受信装置620が、たとえば、航空機625内など、航空機用とする変形例を示す。図7Bで示される実施形態では、航空機625は、たとえば、Lバンドアップリンクなどの衛星610とのアップリンクを維持することができ、航空機内の受信装置620により取り込まれたデータは、アップリンクを介して、衛星610に返送することができる。衛星610は、データを第二の相互リンクされた衛星610へ伝送することができ、続いて、データを検証装置730へ伝送することができる。
図7Cに示されるシステムは、二(又は複数)のピア装置620が、互いを認証するために双方向の認証技術を実施可能な実施形態を示す。図7Cを参照すると、上述のように、軌道上の衛星610は、一又は複数のスポットビーム630を地表に伝送する。第一の受信装置620Aは、スポットビームからの信号を受信するように構成することができる。第一の受信装置620Aは、たとえば、スポットビームから疑似乱数データを組み込む、上述したDiffie−Hellmanの手法を使用するような、セキュリティキーを引き出すように構成することができる。
疑似乱数データは、第二の装置620Bにも伝送される。幾つかの実施形態では、第二の装置620Bは、スポットビーム630の外側にあってもよく、この場合には、疑似乱数データは、通信ネットワークを介して、第二の装置620Bに結合されるコンピュータ装置740により伝送することができる。コンピュータ装置740は、衛星610と通信可能に結合することができる。例として、限定はしないが、コンピュータ装置740は、通信リンクを介して、衛星610と別々に結合されるサーバとすることができる。コンピュータ装置740は、衛星610についての制御ネットワークと関連付けられ、ゆえに、スポットビーム630に関連する擬似乱数データを含むことができる。
操作において、第一の受信装置620Aは、認証データのリクエストを開始し、これは、第二の受信装置620Bに伝送される。第一の受信装置620Aと第二の受信装置620Bとの間の通信リンクは、直接又は伝送ネットワーク720を介して、実施することができる。第二の受信装置620Bは、リクエストに応答し、第一の受信装置620Aからほぼ同時の認証データのリクエストを発行する。第一の受信装置620Aは、第二の受信装置620Bを認証し、第二の受信装置620Bへほぼ同時の認証データの応答を発行し、次いで、第一の受信装置620Aを認証する。
上述のように、第一の受信装置620Aと第二の受信装置620Bとの間で実施される認証工程は、共有される秘密がスポットビーム630により伝送される擬似乱数データの少なくとも一部を含むような、Diffie−Hellmanの交換とすることができる。次いで、図7Cに示されるシステムにより、受信装置620A及び620Bのピアツーピア認証が可能になる。当業者は、この双方向認証手法が、他のハードウェアのアーキテクチャのみならず受信装置及びサーバに、又は三以上の装置に拡大適用できると認識するだろう。
図8Aは、本実施形態による、衛星ベースの認証システムを実施するために適用されるコンピュータシステムの概略図である。たとえば、図7A及び図7Bに示される実施形態において、検証装置730は、図8Aに示されるようなコンピュータシステムにより実施することができる。図8Aを参照すると、一の実施形態において、システム800は、コンピュータ装置808、スクリーン804を有するディスプレー802を備える一又は複数の付随の入力/出力装置、一又は複数のスピーカー806、キーボード810、一又は複数の他のI/O装置812、及びマウス814を備えることができる。他のI/O装置812は、タッチスクリーン、音声起動入力装置、トラックボール、及びシステム800がユーザからの入力を受信できる任意の装置を備えることができる。
コンピュータ装置808は、システムハードウェア820、及びランダムアクセスメモリ及び/又は読み取り専用メモリとして実施可能なメモリ830を備える。ファイル記憶装置880は、コンピュータ装置808と通信可能に結合することができる。ファイル記憶装置880は、一又は複数のハードドライブ、CD−ROMドライブ、DVD−ROMドライブ、又は他の種類の記憶装置など、コンピュータ装置808に対して内部にあるものとする。ファイル記憶装置880は、一又は複数の外付けハードドライブ、ネットワーク接続記憶装置、又は別個の記憶ネットワークなど、コンピュータ装置808に対しての外部にあるものとすることもできる。
システムハードウェア820は、一又は複数のプロセッサ822、少なくとも二のグラフィックプロセッサ824、ネットワークインターフェース826、及びバス構造828を備えることができる。一の実施形態では、プロセッサ822は、アメリカカリフォルニア州サンタクララのインテル株式会社から市販されているIntel(登録商標) Core2 Duo(登録商標)プロセッサとして、実施できる。ここで使用されるように、「プロセッサ」という用語は、たとえば、限定はされないが、マイクロプロセッサ、マイクロコントローラ、複数命令セットコンピュータ(CISC)マイクロプロセッサ、縮小命令セットコンピュータ(RISC)マイクロプロセッサ、超長命令語(VLIW)マイクロプロセッサ、又は任意の他のプロセッサ又はプロセッサ回路など、任意の種類の計算要素を意味する。
グラフィックプロセッサ824は、グラフィック及び/又は映像操作を管理する付属プロセッサとして機能する。グラフィックプロセッサ824は、コンピュータシステム800のマザーボードに統合され、又は、拡張スロットを介してマザーボードに結合される。
一の実施形態では、ネットワークインターフェース826は、イーサネットインターフェースなどの有線インターフェース(たとえば、Institute of Electrical and Electronics Engineers/IEEE 802.3−2002を参照)、又はIEEE 802.11a,b or g−compliant interfaceなどの無線インターフェース(たとえば、IEEE Standard for IT−Telecommunications and information exchange between systems LAN/MAN−Part II:Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) specifications Amendment 4:Further Higher Data Rate Extension in the 2.4 GHz Band,802.11G−2003を参照)とすることができる。無線インターフェースの別の例としては、汎用パケット無線通信システム(GPRS)インターフェース(たとえば、Guidelines on GPRS Handset Requirements, Global System for Mobile Communications/GSM Association,Ver.3.0.1,December 2002を参照)とすることができる。
バス構造828は、システムハードウェア820の種々のコンポーネントを接続する。一の実施形態では、バス構造828は、メモリバス、周辺機器用バス又は外部バス、及び/又は11ビットバス、インダストリアル・スタンダード・アーキテクチャ(ISA)、マイクロチャネル・アーキテクチャ(MSA)、エクステンディッド・インダストリアル・スタンダード・アーキテクチャ(EISA)、インテリジェント・ドライブ・エレクトロニクス(IDE)、VESAローカルバス(VLB)、ペリフェラル・コンポーネント・インターコネクト(PCI)、ユニバーサル・シリアル・バス(USB)、アドバンス・グラフィック・ポート(AGP)、パーソナル・コンピュータ・メモリカード・インターナショナル・アソシエーション・バス(PCMCIA)、及びスモール・コンピュータ・システム・インターフェース(SCSI)を含むが、これらに限定されない任意の種類の入手可能なバスアーキテクチャを使用するローカルバスを含む、幾つかの種類のバスストラクチャの一又は複数とすることができる。
メモリ830は、コンピュータ装置808の操作を管理するための操作システム840を備える。一の実施形態では、操作システム840は、システムハードウェア820にインターフェースを提供するハードウェアインターフェースモジュール854を備える。また、操作システム840は、コンピュータ装置808の操作で使用されるファイルを管理するファイルシステム850、及びコンピュータ装置808で工程の実行を管理する工程制御サブシステム852を備えることができる。
操作システム840は、リモートソースからデータパケット及び/又はデータストリームを送受信するために、システムハードウェア820と協同して作動することができる一又は複数の通信インターフェースを備える(又は管理する)ことができる。操作システム840は、操作システム840とメモリ830内に存在する一又は複数のアプリケーションモジュールとの間にインターフェースを提供するシステムコールインターフェースモジュール842をさらに備えることができる。操作システム840は、UNIX操作システム又はその任意の派生物(たとえば、Linux,Solaris,Berkeley Software Distribution(BSD),Androidなど)として、又はWindows(登録商標)ブランド・オペレーティング・システム、又は他の操作システムとして、実施することができる。
種々の実施形態では、コンピュータ装置808は、パソコン、ノート型パソコン、パーソナルデジタルアシスタント、携帯電話、エンターテインメント装置、又は別のコンピュータ装置として、実施することができる。
一の実施形態では、メモリ830は、要求者から受信されたデータに基づき、要求者を認証するための認証モジュール862を備える。一の実施形態では、認証モジュール862は、プロセッサ822により実行される時に、プロセッサ822に要求者から受信されたデータに基づき要求者を認証させる固定コンピュータ可読媒体にエンコードされた論理演算命令を含むことができる。また、メモリ830は、地球周辺の既定の軌道上で衛星610についての軌道情報を含む衛星軌道データベース864を含むことができる。認証モジュール862により実施される認証工程及び操作についてのさらなる詳細は、以下で述べられる。
幾つかの実施形態では、受信装置620は、従来のコンピュータ装置622(たとえば、ノート型パソコン、PDA、又はスマートフォン装置)に適合され結合する衛星通信モジュールとして実施することができる。受信装置620は、たとえば、ユニバーサル・シリアル・バス(USB)インターフェース、RS−232インターフェース、光インターフェースなど、適する通信接続により、コンピュータ装置622に結合される。図8Bで示される実施形態では、受信装置620は、受信装置及び、たとえば、認証ルーティングを実施するように構成される、特定用途向け集積回路(ASIC)又はフィールド・プログラマブル・ゲート・アレイ(FPGA)など、限られた処理機能を有するという意味で、「薄型の」装置である。
操作において、コンピュータ装置622のユーザは、ホストネットワーク890でコンピュータ装置622を認証するために、受信装置620を利用することができる。上述のように、図8Bに示される受信装置620は、衛星610から、特有のビーム署名及び擬似乱数を含むスポットビーム伝送630を受信する。コンピュータ装置622は、ホストネットワーク890にアクセスリクエストを開始する。アクセスリクエストは、たとえば、ユーザID、一又は複数の地球ベースの座標システムから整合されるもの(たとえば、郵便番号、エリアコード、緯度/経度、万国横メルカトル(UTM)、地球中心・地球固定直交座標系(ECEF)、世界地理表現方式(GEOREF)、又は、郵便番号など、多岐にわたるシステム)、及び衛星610から受信される擬似乱数データの少なくとも一部分などの、ユーザ特定情報を含むことができる。
ホストネットワーク890は、ユーザアクセスリクエストを認証リクエストとして検証装置730に伝送することができる。幾つかの実施形態では、ホストネットワークは、検証装置730がコンピュータ装置622を認証できるように、付加的な情報をリクエストに加えることができる。例として、ホストネットワーク630は、要求者が認証される場所(すなわち、どの地理的な位置からか)について、制限することができる。検証装置730は、要求者を検証し、且つホストネットワーク890に認証応答を提供することができる。次に、ホストネットワーク890が、コンピュータ装置622にアクセス応答を転送することができる。
図9は、本実施形態による、要求者を認証する方法における操作を示すフローチャートである。図9を参照すると、操作910で、要求者装置は、要求者装置の物理的な位置を決定する。幾つかの実施形態では、要求者装置620は、要求者装置620の位置を決定するための一又は複数の位置モジュールを含むことができる。例として、限定はしないが、要求者装置620は、全地球測位システム(GPS)からの信号に基づき、位置を決定するために、全地球測位システムモジュールを備える、又は通信可能に結合することができる。代替的には、又は付加的に、要求者装置620は、米国特許番号7,489,926、7,372,400、7,579,987、及び7,468,696の一又は複数で述べられているような、一又は複数のLEO又はMEO衛星610からの信号に基づき位置を決定するための理論を含むことができるのであるが、これらの文献は、それぞれ全体を参照してここに組み込まれている。幾つかの実施形態では、要求者装置620の位置は、経度と緯度の座標又は別の地球ベースの座標システムで表現することができる。
操作915では、要求者装置620は、衛星610からスポットビーム伝送を受信する。幾つかの実施形態では、要求者装置620は、衛星スポットビームからの疑似乱数コードセグメントを含む、一又は複数の特有のビームパラメーター(たとえば、時間、衛星ID、ビームID、時間バイアス、衛星軌道データなど)を抽出する。幾つかの実施形態では、要求者装置620は、要求者装置620内の、又は要求者装置620に通信可能に結合された、メモリモジュールに、ビームパラメーターを記憶することができる。一又は複数の実施形態では、操作915は、その直前の操作910とほぼ同時に実行できる。
操作920で、要求者装置620は、操作910からの要求者装置620の位置情報を含む一又は複数のウェイポイントデータスナップショット、及び操作920で述べられるように、衛星スポットビームを介して伝送される一又は複数の特有のビームパラメーターを生成し続けることができる。幾つかの実施形態では、ウェイポイントデータスナップショットは、要求者装置620内の、又は要求者装置620に通信可能に結合された、メモリモジュールに記憶される。
幾つかの実施形態では、要求者装置620は、時間とともにウェイポイントデータスナップショットの配列を収集することができる。たとえば、ウェイポイントスナップショットの配列は、時間とともに要求者装置620上を通過する複数の衛星610からスポットビームを受信することにより、構成される。代替的には、又は付加的には、ウェイポイントデータスナップショットの配列は、たとえば、図7Bに示されるように、航空機625内の要求者装置620を配置することにより、衛星610との関係において要求者装置620を移動することにより、構成可能である。付加的な例は、危険物を含みうるエンティティ又はアセットの走行ルートを検証するためのトラッカーとして機能する要求者装置を含む。要求者装置は、予想される経路が実際の経路と一致するかを検証するために、ウェイポイントデータを提供するようにポーリングされる。要求者装置は、ランダムにポーリングされる。
操作920では、ウェイポイントデータスナップショットは、要求者装置620から検証装置730へ転送される。例として、図7Aで示される実施形態では、ウェイポイントデータスナップショットは、伝送装置720を介して、又は別の通信ネットワークにより、伝送される。図7Bで示される実施形態では、ウェイポイントデータスナップショットは、航空機625から衛星610へ伝送され、次いで、衛星ネットワークを介して検証装置730へ伝送される。
操作925では、検証装置730は、要求者装置620から位置データ及びウェイポイントデータを受信する。操作930では、要求者を認証するために、検証装置730は、位置情報及びウェイポイントデータを既知の正当なデータセットの対応するデータと比較する。例として、イリジウム衛星コンスタレーションなどのLEO衛星は、既知の軌道で地球を周航し、その隣接パラメーターは、かなり前から利用できる。検証装置730は、衛星軌道データベース864を含む、又は衛星軌道データベース864に通信可能に結合され、それは、地球についての既知の軌道での衛星610に関する軌道情報を含んでいる。
幾つかの実施形態では、要求者装置から受信された位置データ及びウェイポイントデータは、要求者装置620が、実際に予想される時間に予想される地理的な位置の妥当な閾値距離内にあるかどうかを決定するために設定された既知のデータからの位置とウェイポイントデータと比較される(操作930)。例として、限定はしないが、衛星軌道データベース864は、要求者装置620から伝送される特有のビームパラメーターに対応するデータ記録のために、検索することができる。一致する記録が検索されると、軌道データベース864から引き出される記録からの軌道データは、要求者装置620から受信されるデータと比較される。たとえば、既知のデータは、スポットビーム630の中心及び地表でのスポットビーム630の半径表示の座標を含むことができる。要求者装置620が要求者装置から受信されるデータに示される時間にスポットビームにより囲まれる領域内にあるということを受信されたデータが示しているかどうかを判定するために、要求者装置620から受信される座標が、スポットビームの位置と比較される。少なくとも一の実施形態では、スポットビームは、不規則な形状とすることができる。少なくとも一の実施形態では、要求者装置は、地表上の高所にあるとすることができる。
操作935で、要求者装置620から受信されるデータが、要求者装置620は、要求者装置からのデータと関連する時間に衛星610からのスポットビームにより包囲される地理的な領域内にあると提示すると、次いで、要求者装置620は、認証されたと見なされる。認証システムにおいて、制御は、次いで、操作940に移り、要求者はリソースにアクセスすることが許される。例として、限定はしないが、検証装置730は、認証された要求者装置620にトークンを付与することができる。トークンは、リソースへのアクセスを許可するために、遠隔システムにより使用できる。
これに対し、要求者装置620から受信されるデータが、要求者装置620は、要求者装置620からのデータと関連する時間に衛星610からのスポットビームにより包囲される地理的な領域内にないと提示すると、次いで、要求者装置620は、認証されたとは見なされない。認証システムにおいて、次いで制御は操作945に移り、要求者はリソースへのアクセスが拒否される。例として、限定はしないが、検証装置730は、認証された要求者装置620にトークンを拒否することができる。トークンがなければ、要求者装置は、遠隔システムにより管理されるリソースへのアクセスが拒否される。
ゆえに、図6から図8に示されるシステムアーキテクチャ及び図9に示される方法により、一又は複数の要求者装置620の衛星ベースの認証が可能になる。認証システムは、遠隔コンピュータシステムにより管理される一又は複数のリソースへのアクセスを許可又は拒否するために、使用することができる。幾つかの実施形態では、要求者装置は固定式とすることができ、一方で、他の実施形態においては、要求者装置は移動式とすることができ、且つ、認証工程は、時間ベース、位置ベース、又はその両者の組み合わせとすることができる。
幾つかの実施形態では、システムは、要求者装置620がセッション全体のリソースを使用するために認証されるような、セッションベースの認証を実施するために、使用することができる。他の実施形態では、システムは、要求者装置620が、要求者装置620から遠隔リソースへ伝送される各メッセージについて別々に認証されなければならないような、メッセージベースの認証を実施することができる。
一の実施例では、ここで述べられるような認証システムは、たとえば、企業のEメールシステム、企業のネットワーク、軍事又は民間のインフラネットワーク、又は電子銀行機関など、安全なコンピュータリソースへのアクセス認証を提供するために使用することができる。他の実施例では、認証システムは、ロジスティクスシステムにおける乗物の旅程を確認するために使用することができる。例として、トラック、電車、船舶又は航空機などの移動エンティティは、一又は複数の要求者装置620を備えることができる。予定された任務の過程において、ロジスティクスシステムは、要求者装置620を定期的にポーリングすることができ、要求者装置620は、衛星610から取得された認証データで応答することができる。認証データは、ロジスティクスシステム内で収集され、要求者装置が、ロジスティクスプランに従って既定の時間に特定の位置にあることを確認するために使用される。
さらに別の実施例では、ここで述べられるような認証システムの実施は、たとえば、自宅監禁監視システムなどの監視システムに関連する要求者装置の位置を検証するために、使用することができる。このような実施形態において、要求者装置は、システムのユーザを認証するために、指紋生体認証センサなどの一又は複数の生体認証センサを組み込むことができ、その一方で、認証システムは、要求者装置が既定の時間に既定の位置にあること(すなわち、要求者が正当な時間に正当な場所にいて、且つ正当な人物であること)を確認するために使用することができる。また、認証装置は、承認された位置の定められたリストに対して要求者装置の位置を再検討することができ、認証システムにより、承認された時間に承認された位置の集合に対する要求者装置の位置及び時間を再検討することで、さらに改良される。さらに、このシステムは、登録性犯罪者を追跡するために使用することもできる。
幾つかの実施形態では、要求者装置が指定された時間に指定されたスポットビーム内にあることを確認することにより、要求者装置が認証されるように、衛星610は、既知の軌道で地球を周回し、且つ既知のジオメトリーを有するスポットビームを伝送する、たとえば、イリジウムコンスタレーションのようなLEO衛星システムの一部とすることができる。ゆえに、要求者は、単独の信号ソース(たとえば、単独の衛星610)を使用して認証される。また、イリジウムコンスタレーションなどのLEO衛星及びMEO衛星は、相対的に強力な信号レベルを伝送するので、システムは、たとえば、室内又は都市部などの遮られる環境に配置される一又は複数の要求者装置を認証するために使用することができる。また、LEO衛星及びMEO衛星の相対的に高い信号強度により、これらの信号は電波妨害を受けにくくなる。
幾つかの実施形態及び方法がここで開示されたが、前述の開示内容から、当業者には本発明の真の精神及び範囲から逸脱することなく、上記実施形態及び方法の変更及び修正が可能であることは明らかであろう。本発明には他に多くの実施例が存在し、各実施例は詳細事項においてのみ他と異なる。したがって、本発明は添付の請求項及び適用法の規則及び原理により要求される範囲内で限定されることを目的とする。

Claims (23)

  1. ターゲットノードの物理的な位置を認証するための方法であって、
    既知の物理的な位置を含む少なくとも一の信頼できるノードにより、照会メッセージをターゲットノードに送信するステップ、
    ターゲットノードにより、照会メッセージを受信するステップ、
    ターゲットノードにより、応答メッセージを少なくとも一の信頼できるノードに送信するステップ、
    少なくとも一の信頼できるノードにより、応答メッセージを受信するステップ、
    照会メッセージを送信するステップから応答メッセージを受信するステップまでに経過した時間を使用することにより、ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を計算するステップ、及び
    ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を使用することにより、ターゲットノードの物理的な位置を認証するステップを含む方法。
  2. 少なくとも一の信頼できるノードの物理的な位置は、衛星ジオロケーション技術を介して取得される、請求項1に記載の方法。
  3. 衛星ジオロケーション技術は、少なくとも一の信頼できるノードの物理的な位置を取得するために、少なくとも一の認証信号を使用する、請求項2に記載の方法。
  4. 少なくとも一の認証信号は、少なくとも一の伝送ソースにより伝送され、且つ、少なくとも一の信頼できるノードに関連する少なくとも一の受信ソースにより受信される、請求項3に記載の方法。
  5. 少なくとも一の認証信号の二以上は、同じ伝送ソースから伝送される、請求項3に記載の方法。
  6. 少なくとも一の認証信号の二以上は、異なる伝送ソースから伝送される、請求項3に記載の方法。
  7. 少なくとも一の認証信号の二以上は、同じ周波数で伝送される、請求項3に記載の方法。
  8. 少なくとも一の認証信号の二以上は、異なる周波数で伝送される、請求項3に記載の方法。
  9. 少なくとも一の伝送ソースは、少なくとも一の衛星及び少なくとも一の擬似衛星の少なくとも一で採用される、請求項4に記載の方法。
  10. 少なくとも一の衛星は、低高度地球周回軌道(LEO)衛星、中高度地球周回軌道(MEO)衛星、及び静止地球軌道(GEO)衛星のうちの少なくとも一とする、請求項9に記載の方法。
  11. ターゲットノードは、ターゲットノードが照会メッセージを受信してから特定の時間が経過した後に、応答メッセージを送信するようにプログラム作成される、請求項1に記載の方法。
  12. ターゲットノードは、特定の時間に応答メッセージを送信するようにプログラム作成される、請求項1に記載の方法。
  13. ターゲットノードは、他のアクションを実行する前に、応答メッセージ送信のアクションを実行するようにプログラム作成される、請求項1に記載の方法。
  14. ターゲットノードは、応答メッセージを送信するための応答メッセージハードウェアを利用する、請求項1に記載の方法。
  15. 照会メッセージは、擬似ランダムコードビットシーケンスを含み、
    応答メッセージは、擬似ランダムコードビットシーケンスの少なくとも一部を含む、請求項1に記載の方法。
  16. 方法は、ターゲットノードの物理的な位置及び少なくとも一の信頼できるノードの物理的な位置のマップを生成するステップをさらに含む、請求項1に記載の方法。
  17. マップは、ターゲットノード及び少なくとも一の信頼できるノードに関するインターネットプロトコル(IP)情報を含む、請求項16に記載の方法。
  18. ターゲットノードの物理的な位置を認証するための方法であって、
    ターゲットノードにより、ジオセンティケーションリクエストを、既知の物理的な位置を含む少なくとも一の信頼できるノードに送信するステップ、
    少なくとも一の信頼できるノードにより、ジオセンティケーションリクエストを受信するステップ、
    少なくとも一の信頼できるノードにより、照会メッセージをターゲットノードに送信するステップ、
    ターゲットノードにより、照会メッセージを受信するステップ、
    ターゲットノードにより、応答メッセージを少なくとも一の信頼できるノードに送信するステップ、
    少なくとも一の信頼できるノードにより、応答メッセージを受信するステップ、
    照会メッセージを送信するステップから応答メッセージを受信するステップまでに経過した時間を使用することにより、ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を計算するステップ、及び
    ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を使用することにより、ターゲットノードの物理的な位置を認証するステップを含む方法。
  19. ターゲットノードの物理的な位置を認証するためのシステムであって、
    照会メッセージをターゲットノードに送信するための、既知の物理的な位置を含む少なくとも一の信頼できるノードであって、少なくとも一の信頼できるノードの物理的な位置は、衛星ジオロケーション技術を介して取得されることを特徴とするノード、
    照会メッセージを受信し、且つ、応答メッセージを少なくとも一の信頼できるノードに送信するためのターゲットノード、及び
    照会メッセージの送信から応答メッセージの受信までに経過した時間を使用することにより、ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を計算するための少なくとも一のプロセッサを備えるシステム。
  20. 少なくとも一のプロセッサは、ターゲットノードから少なくとも一の信頼できるノードまでの測距距離を使用することにより、ターゲットノードの物理的な位置を認証するためのものとする、請求項19に記載のシステム。
  21. 少なくとも一のプロセッサは、
    ターゲットノードの物理的な位置及び少なくとも一の信頼できるノードの物理的な位置のマップを生成するためのものとする、請求項20に記載のシステム。
  22. 応答メッセージを高速追跡するための装置であって、
    照会メッセージを受信することができる受信装置、
    照会メッセージが受信された後に、応答メッセージを伝送することができる伝送装置、
    応答メッセージの伝送中に、それらの伝送に遅延した通信データパケットを記憶するためのバッファー、
    メッセージスケジュールを記憶するためのメモリ、及び
    通信データパケットがそれを介して伝送されるようなデータスプリッタを備える装置。
  23. 少なくとも一の信頼できるノードの物理的な位置の検証を実行するための少なくとも一の衛星追跡ハードウェア、少なくとも一の信頼できるノードの物理的な位置の検証を実行するための衛星追跡ファームウェア、及び擬似乱数発生装置をさらに備える、請求項22に記載の装置。
JP2012236648A 2011-10-27 2012-10-26 ネットワーク測距に基づくジオセンティケーション Active JP6556976B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/283,491 2011-10-27
US13/283,491 US8949941B2 (en) 2010-11-18 2011-10-27 Geothentication based on network ranging

Publications (2)

Publication Number Publication Date
JP2013127778A true JP2013127778A (ja) 2013-06-27
JP6556976B2 JP6556976B2 (ja) 2019-08-07

Family

ID=47294650

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012236648A Active JP6556976B2 (ja) 2011-10-27 2012-10-26 ネットワーク測距に基づくジオセンティケーション

Country Status (2)

Country Link
EP (1) EP2587717B1 (ja)
JP (1) JP6556976B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015118820A1 (ja) * 2014-02-06 2015-08-13 株式会社デンソー 測位機能付き装置、測位結果受信装置、及び測位結果利用システム
WO2015118817A1 (ja) * 2014-02-06 2015-08-13 株式会社デンソー 航法メッセージ認証システム、受信端末、及び認証処理装置

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104363042B (zh) * 2014-12-04 2017-11-28 大连大学 Geo‑leo卫星网络信道分配方法
CN109547213B (zh) * 2018-12-14 2021-08-10 西安电子科技大学 适用于低轨卫星网络的星间组网认证系统及方法
CN114785699B (zh) * 2022-05-27 2024-10-18 北京智芯微电子科技有限公司 低压配电台区物理拓扑识别方法以及高速电力线载波芯片

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08265239A (ja) * 1995-03-24 1996-10-11 Kokusai Denshin Denwa Co Ltd <Kdd> 衛星通信システムにおける地球局位置検出方法
WO2005010770A1 (ja) * 2003-07-28 2005-02-03 Sony Corporation 情報処理装置および方法、記録媒体、並びにプログラム
JP2005539409A (ja) * 2002-03-01 2005-12-22 エンテラシス ネットワークス インコーポレイテッド 位置認識データネットワーク
JP2006197458A (ja) * 2005-01-17 2006-07-27 Matsushita Electric Ind Co Ltd 距離および相手認証方法
JP2007166189A (ja) * 2005-12-13 2007-06-28 Advanced Telecommunication Research Institute International 携帯通信機、及びメッセージ送受信システム
JP2009544174A (ja) * 2006-02-11 2009-12-10 サムスン エレクトロニクス カンパニー リミテッド カットスルー方式でパケットネットワークにおける送受信ノード間の伝搬遅延及び距離を正確且つ安全に測定する方法、及びこの方法を実行するためのパケットネットワークノード
WO2011127450A2 (en) * 2010-04-08 2011-10-13 The Boeing Company Geolocation leveraging spot beam overlap

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040059914A1 (en) * 2002-09-12 2004-03-25 Broadcom Corporation Using signal-generated location information to identify and authenticate available devices
US7489926B2 (en) 2004-01-15 2009-02-10 The Boeing Company LEO-based positioning system for indoor and stand-alone navigation
US7372400B2 (en) 2005-11-07 2008-05-13 The Boeing Company Methods and apparatus for a navigation system with reduced susceptibility to interference and jamming
US7579987B2 (en) 2006-05-18 2009-08-25 The Boeing Company Low earth orbit satellite providing navigation signals
WO2007148212A2 (en) * 2006-06-22 2007-12-27 Nokia Corporation Enforcing geographic constraints in content distribution
US7468696B2 (en) 2006-12-14 2008-12-23 The Boeing Company Method and device for trilateration using LOS link prediction and pre-measurement LOS path filtering
US8718668B2 (en) * 2007-09-10 2014-05-06 Motorola Mobility Llc Device and method for tracking an accessed location of a network

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08265239A (ja) * 1995-03-24 1996-10-11 Kokusai Denshin Denwa Co Ltd <Kdd> 衛星通信システムにおける地球局位置検出方法
JP2005539409A (ja) * 2002-03-01 2005-12-22 エンテラシス ネットワークス インコーポレイテッド 位置認識データネットワーク
WO2005010770A1 (ja) * 2003-07-28 2005-02-03 Sony Corporation 情報処理装置および方法、記録媒体、並びにプログラム
JP2006197458A (ja) * 2005-01-17 2006-07-27 Matsushita Electric Ind Co Ltd 距離および相手認証方法
JP2007166189A (ja) * 2005-12-13 2007-06-28 Advanced Telecommunication Research Institute International 携帯通信機、及びメッセージ送受信システム
JP2009544174A (ja) * 2006-02-11 2009-12-10 サムスン エレクトロニクス カンパニー リミテッド カットスルー方式でパケットネットワークにおける送受信ノード間の伝搬遅延及び距離を正確且つ安全に測定する方法、及びこの方法を実行するためのパケットネットワークノード
WO2011127450A2 (en) * 2010-04-08 2011-10-13 The Boeing Company Geolocation leveraging spot beam overlap

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015118820A1 (ja) * 2014-02-06 2015-08-13 株式会社デンソー 測位機能付き装置、測位結果受信装置、及び測位結果利用システム
WO2015118817A1 (ja) * 2014-02-06 2015-08-13 株式会社デンソー 航法メッセージ認証システム、受信端末、及び認証処理装置
DE112015000683B4 (de) 2014-02-06 2024-08-22 Denso Corporation Navigationsnachrichtenauthentifizierungssystem, Empfangsterminal und Authentifizierungsverarbeitungsvorrichtung

Also Published As

Publication number Publication date
EP2587717A3 (en) 2014-10-15
JP6556976B2 (ja) 2019-08-07
EP2587717A2 (en) 2013-05-01
EP2587717B1 (en) 2018-07-18

Similar Documents

Publication Publication Date Title
US8949941B2 (en) Geothentication based on network ranging
US9201131B2 (en) Secure routing based on degree of trust
US9178894B2 (en) Secure routing based on the physical locations of routers
KR102230407B1 (ko) 라우터의 물리적 위치에 기초한 보안 라우팅
AU2011329272B2 (en) Spot beam based authentication of a satellite receiver
US9515826B2 (en) Network topology aided by smart agent download
US8910246B2 (en) Contextual-based virtual data boundaries
EP2810419B1 (en) Secure routing based on degree of trust
US9465582B1 (en) Significant random number generator
JP6556976B2 (ja) ネットワーク測距に基づくジオセンティケーション
EP2573998B1 (en) Method and system for smart agent download
CA2867171C (en) Contextual-based virtual data boundaries

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151020

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160831

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160920

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20161219

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170317

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170404

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170804

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20170816

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20170901

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20181107

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190415

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190711

R150 Certificate of patent or registration of utility model

Ref document number: 6556976

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250