本明細書において開示される方法及び装置は、信頼度に基づくセキュアルーティングのための動作システムを提供する。詳細には、システムは、信頼性レベルを少なくとも1つのネットワークノードに割り当て、そして信頼性レベルを利用して、ネットワークノード(群)のセキュリティ度を判定することに関するものである。ネットワークノード(群)の信頼性レベルは、ネットワークノード(群)の物理的位置の確度に関連する。少なくとも1つのネットワークノードの物理的位置の確度は、ネットワークノード(群)が既知のセキュア位置に配置されていることにより、及び/又はネットワークノード(群)の物理的位置を、衛星利用ジオロケーション技術を使用して検証することにより、又はネットワークping測定距離を使用して検証することにより得られる。1つ以上の実施形態では、衛星利用ジオロケーション技術は、イリジウム低軌道地球周回(LEO)衛星コンステレーションを利用する。少なくとも1つの実施形態では、システムは、参加ネットワークノード群の信頼性レベルを利用して、データをルーティングする少なくとも1つの経路の信頼度を判断し、この場合、経路(群)は、参加ネットワークノード群のうちの少なくとも1つの参加ネットワークノードを含む。
現在、サイバーセキュリティは、電子システムが日常ビジネス及びソーシャルタスクに広く使用されるようになっているので、益々重要になっている。これまでの多くの管理ビジネスプロセスは、電子データ処理にオンラインで拡張してきていることにより、これらの日常システムを保護するために継続的な情報及び計算セキュリティ強化技術が必須の要件となっている。ソーシャルセキュリティ番号の情報から国家的インフラストラクチャ関連情報に亘る情報を使用する重要文書及び他のデータはネットワーク接続システムに格納され、これらのネットワーク接続システムは、権限のない当事者がアクセスする場合、迷惑行為から破滅的な社会的インフラストラクチャ破壊に亘る種々の度合いの社会的打撃を蒙ることになる。電子システムへの依存度が増すにつれて、国民は更に、テロリズム及びコンピュータハッキングに遭遇する機会が劇的に増えることにより、社会が、我々のネットワーク接続コンピュータシステムを保護する方法を向上させようとする方向に進むことが必要となっている。
サイバー攻撃及びネットワーク侵入が、ごく普通に行なわれるようになって、民間環境及び軍事環境の両方の最前線における外部脅威によるネットワーク侵入の危険について議論されるようになっている。現在のアクセス制御アプローチは基本的に、静的パスワード、又はパスワード及び/又はバッジ証明書に基づく認証のいずれかを利用する。システム攻撃が、エンドユーザ(又は、ネットワークノード又はルータ)になりすますことにより行なわれる場合が多いので、種々の組織は、ネットワークデータ傍受に対するネットワークの脆弱性を抑えるユーザ認証方法に注力する傾向がある。これらのアプローチは依然として、高度な攻撃に対して脆弱であるので、ユーザ位置(又は、ネットワークノード位置又はルータ位置)のような付随情報を活用するアクセス制御の新規パラダイムを開発して、直交多重保護レイヤを追加し、この保護レイヤは、位置と総合的な物理的地理位置情報に基づく状況認識との間の強い相関を、ネットワークの理論的視点、及び情報管理の理論的視点に付与する必要がある。
ネットワークのセキュリティを高めるために、システムは、ノードにおける観点、及びシステムの観点の両方に基づいて考慮される必要がある。各ノード、及びそれに続くノード群の間の経路は、改ざんの機会にさらされる。本開示は、ネットワークのセキュリティを、ボトムアップ(すなわち、ノードからシステムに向かって)アプローチに基づいて高めることに注力する。したがって、本開示のシステム及び方法は、ノード群のセキュリティ、及び少なくとも2つのノードの間の経路のセキュリティに注力する。
本開示のシステム及び方法は、少なくとも6つの主要な特徴を有し、これらの特徴は、ネットワークのセキュリティを高めることに関するものである。第1の特徴は、信頼性レベル及び/又は信頼度を割り当てることに関するものである。詳細には、この特徴は、ネットワークノードの信頼性レベルだけでなく、少なくとも2つのネットワークノードを含むネットワーク経路の信頼度を特徴付け、そして更に高める能力を利用する。ネットワークノードの信頼性レベルは、ネットワークノードの物理的位置の確度により決まる。ノードの物理的位置は、ノードを、軍事基地又は政府建物のような既知のセキュア位置に配置することにより、物理的位置を、衛星利用ジオロケーション技術を使用して検証することにより、又は物理的位置を、ネットワークping測定距離を使用して推定することにより得ることができる。特定のネットワークノードの関連信頼性レベルは、ノードが、ノードの物理的位置が正しいことを確認するために実行することができる認証の種類に応じて異ならせることができる。例えば、ノードがハッキングされる/なりすまされる、又はその他には、改ざんされる可能性を低くする特徴を備える認証方法を実行することができるノードは本質的に、前出のノードよりも信頼性が低い認証方法しか実行することができない別のノードよりも高い関連信頼性レベルが付与される。
ネットワーク経路の信頼度は、そのノード群に見られる最も低い信頼性レベルにより決まる。更に、別の方法を使用して信頼度を、ノードのこのような属性に基づいて定義することができ、この定義では、位置の確度を、所定ノードが改ざんされている(すなわち、幾つかのネットワークノードは、ハッキング/なりすまし行為に対する耐性が本質的に高い、又はその他には、別の構成として、行為の影響を受け易い)可能性/確率のような他の要素も併せて重み付け処理することができることに注目されたい。例えば、エンドノードは、より重大なリスクをネットワーククラウドに負わせる危険があるので、エンドノードが本質的に、信頼性がより低くなるように重み付け処理される必要がある。
本開示のシステム及び方法の第2の主要な特徴は、暗号化トンネリングに関するものである。暗号化トンネリングによって、より高い信頼度を有する2つのネットワークノードは、データをセキュアに互いのネットワークノードに対して、より低い信頼度を有するネットワーク経路を介して送信することができる。少なくとも1つの例では、この送信は、2つのネットワークノードが、少なくとも1つの更に別のネットワークノードに要求して、データをこれらのノード間でルーティングさせるときに行なうことができ、この場合、例えば少なくとも1つの更に別のネットワークノードは、より低い信頼度を有する。この特徴に関して、送信すべきデータを有する発信元の送信側ネットワークノードはまず、データを送信前に暗号化する。データを暗号化した後、発信元の送信側ネットワークノードは暗号化データを、より低い信頼度を有する経路を介して、宛先の受信側ネットワークノードに送信する。一旦、宛先の受信側ネットワークノードが暗号化データを受信すると、宛先の受信側ネットワークノードは暗号化データを解読する。しかしながら、少なくとも1つの実施形態では、データはチェーン接続されたノード群を介してルーティングすることができ、この場合、少なくとも1つのノードは、より低い信頼性レベルを有し、そしてノード群のうちの残りのノードは、許容できる信頼性レベルを有する。この実施形態では、データは、一旦、データが、許容できる信頼性レベルを有するノードによって受信されると、解読することができる。少なくとも1つの実施形態では、このノードは、宛先の受信側ノードである必要はなく、チェーン(すなわち、経路)における宛先の受信側ノードの手前のノードとすることができる。
1つ以上の実施形態では、第2の特徴は、これらのネットワークノードがデータをルーティングするために用いるルータ又は関連するハードウェアを使用することである。この特徴の場合、ルータ又は関連するハードウェアは、少なくとも1つの暗号化トンネルを用いることができる経路を決定してデータを、トンネルを介してルーティングすることにより、より高い信頼度を維持する。例えば、発信元の送信側ネットワークノードEを指定して、より高い信頼度を有するセキュアな接続を、ノードE自体と宛先の受信側ネットワークノードAとの間で確立させることができる。この例の場合、ネットワーク経路E(高信頼性レベル)−D(中程度の信頼性レベル)−C(中程度の信頼性レベル)−B(高信頼性レベル)−A(高信頼性レベル)は、ネットワークノードEとネットワークノードAとの間の最もセキュアな経路として特定される。しかしながら、中程度の信頼性レベルを有し、かつこの経路に沿って位置しているネットワークノード群が存在する。ネットワークノードD及びネットワークノードCは共に、中程度の信頼性レベルを有するので、ネットワークノードEは、データを、ネットワークノードE自体とネットワークノードBとの間に形成される暗号化トンネルを介してルーティングすることになる。このようなことから、高信頼度を維持しながらこの特定の経路について確立することができる最も真っ直ぐな(すなわち、最短の)トンネルは、ネットワークノードEとネットワークノードBとの間の暗号化トンネルである。したがって、データを伝送するために結果的に得られるネットワーク経路は、E(高信頼性レベル)−暗号化トンネル−B(高信頼性レベル)−A(高信頼性レベル)となる。図3は、この特定の特徴を示している。
本開示のシステムの第3の主要な特徴は、セキュアルータの使用に関するものである。この特徴によって、ネットワークノード群は、ネットワークノード群よりも高い信頼性レベルを有するセキュアルータを使用して、データを送信する、及び/又は受信することができる。この特徴を、セキュアルータよりも低い信頼性レベルを有するネットワークノード群が用いるので、この特徴によって、より低い信頼性レベルを有するネットワークノード群は、データをより高い信頼度でセキュアに送信する、及び/又はデータを受信することができる。この特徴の場合、発信元の送信側ネットワークノード及び宛先の受信側ネットワークノードは共に、セキュアルータを利用することができる、又はそれとは異なり、1つのネットワークノードのみが、すなわち発信元の送信側ネットワークノード又は宛先のネットワークノードのいずれかが、セキュアルータを利用することができることに注目されたい。
本開示のシステム及び方法の第4の主要な特徴は、少なくとも1つの境界ファイアウォールルータの使用に関するものである。この特徴の場合、少なくとも1つの境界ファイアウォールルータは、ネットワークを通過しようとするデータの流れを制御するゲートキーパとして用いられる。詳細には、境界ファイアウォールルータを使用して、データが境界ファイアウォールルータを通過するのを許可するかどうかを判断する。具体的には、境界ファイアウォールルータはデータを、データがこれまで、十分高い信頼度を有する経路を通過してきている場合に、境界ファイアウォールルータを通過させるようにする。このようなことから、各境界ファイアウォールルータは、ルータが、データによるルータの通過を許可するためにルータがデータの経路に持たせる必要がある設定信頼度閾値を有する。幾つかの実施形態では、システム及び方法は、少なくとも1つの境界ファイアウォールルータを、公衆網から専用ネットワークに移動しようとするデータトラフィックを制御するゲートキーパとして使用し、このためには、入力データが、より高い信頼度を有する経路を通過してきている必要がある。図5の表現は、境界ファイアウォールルータを使用する特徴を詳細に説明している。
本開示のシステム及び方法の第5の主要な特徴は、関連するハードウェアによって支援される最低限の信頼性レベルでのルーティングに関する。この特徴は、データを最低限の信頼性レベルでルーティングするためにネットワークノード群が用いるルータ群又は関連するハードウェアを使用することである。ルータ群又は関連するハードウェアは、ネットワークノード群によって使用されて、1つのエンドポイントネットワークノードと別のエンドポイントネットワークノードとの間の特定の経路に位置するネットワークノード群の最低限の信頼性レベルを報告する。この特徴によって、ネットワークノード群は、特定のネットワーク経路に沿った探索を再帰的に行なって、経路の総合信頼度を判断することができる。この特徴の場合、経路の信頼度は、経路内に位置する任意のネットワークノードの最も低い信頼性レベルに等しい。
例えば、ネットワークノード群:A(高信頼性レベル)−B(高信頼性レベル)−C(高信頼性レベル)−D(中程度の信頼性レベル)からなるネットワーク経路の場合、ネットワークノードAは、ネットワークノードBにリクエストして、ネットワークノードBとネットワークノードDとの間の信頼性レベルがいずれであるかについて質問することができる。次に、ネットワークノードBは、ネットワークノードCに尋ねて、ネットワークノードCとネットワークノードDとの間の信頼性レベルがいずれであるかについて質問することができる。ネットワークノードCは、ネットワークノードDに接続され、かつネットワークノードDの信頼性レベルが中程度の信頼性レベルであるので、ネットワークノードCは、ネットワークノードBに、最低限の信頼性レベルが中程度の信頼性レベルであることを返信する。ネットワークノードBは、高信頼性レベルを有することができるが、この時点で、下流の最低限の信頼性レベルが中程度の信頼性レベルであることを認識することにより、ネットワークノードBは、ネットワーク経路B−C−Dに沿った最低限の信頼性レベルが中程度の信頼性レベルであることを報告することができる。この例におけるネットワークノードAも高信頼性レベルを有し、そしてネットワークノードAは、ネットワーク経路A−B−C−Dに沿った最低限の信頼性レベルがネットワークノードAの信頼性レベルに達しておらず、ネットワークノードAが、中程度である下流の最低限の信頼性レベルに関連付けられることを認識する。
本開示のシステム及び方法の第6の主要な特徴は、自律システムの使用に関するものである。この特徴の場合、少なくとも1つの自律システムを使用してデータを、自律システムを介してルーティングする。各自律システムは、自律システム独自の信頼性レベルを有する。自律システムが、データのルーティングに必要な許容できる信頼性レベル(すなわち、十分高い信頼性レベル)を有する場合、データは、自律システムが発信元の送信側ネットワークノードと宛先の受信側ネットワークノードとの間に位置する場合に、自律システムを介してルーティングすることができる。図4の表現は、自律システムを使用する特徴を詳細に説明している。
1つ以上の実施形態では、自律システムの信頼性レベルは、自律システム内に位置する任意のネットワークノード(又は、ルータ)の最も低い信頼性レベルに等しいものとして定義することができる。例えば、自律システムが、高信頼性レベルのネットワークノード群、及び中程度の信頼性レベルのネットワークノード群を含む場合、自律システムの信頼性レベルは中程度の信頼性レベルになる。他の実施形態では、自律システムが、暗号化トンネルを含む、又は含まない経路を、経路が、より高い信頼性レベルを有する自律システムのネットワークノード群(又は、ルータ群)を通過するように形成することができる場合、自律システムの信頼性レベルは、より高い信頼性レベルに等しいものとして定義することができる。例えば、自律システムが、高信頼性レベルのネットワークノード群、及び中程度の信頼性レベルのネットワークノード群を含み、かつ暗号化トンネルを含む、又は含まない経路を、自律システムの高信頼性レベルのネットワークノード群の間に形成することができる場合、自律システムの信頼性レベルは高くなる。
本開示のシステム及び方法の第8の主要な特徴は、屋内信号受信に関するものである。この特徴は、本開示のシステム及び方法が、少なくとも1つのイリジウム低軌道地球周回(LEO)衛星を発信元として用いて、少なくとも1つの認証信号を地球に送信して、衛星利用ジオロケーション技術によって使用することにより、少なくとも1つのネットワークノード(又は、ルータ)の位置を検証する場合に適用することができる。ごく簡単に上に説明したように、イリジウムLEO衛星から送信される信号は、屋内を伝搬することができる。このようなことから、イリジウムLEO衛星を使用すると、屋内に位置するネットワークノード群の物理的位置の検証が可能になる。したがって、この特徴によって、本開示のシステム及び方法を種々の屋内用途に使用することができる。
以下の説明では、非常に多くの詳細を提示して、システムについての説明を更に完全なものとする。しかしながら、この技術分野の当業者であれば、本開示のシステムは、これらの特定の詳細を用いることなく実施することができることを理解できるであろう。他の例では、公知の特徴は、システムを不必要に不明瞭にしてしまうことがないように詳細には説明されていない。
図1は、本開示の少なくとも1つの実施形態による種々の段階の信頼性レベルが割り当てられているネットワークノード群からなる概念的なネットワーク1000の模式図を示している。この図では、ネットワークノード群からなるネットワーク1000は、ネットワークノードA,B,C,D,E,F,及びGだけでなく、他の更に別のネットワークノード群を含むものとして図示されている。ネットワーク1000のネットワークノード群の各ネットワークノードには、1段階の信頼性レベルが割り当てられる。図1では、ネットワークノード群に、3段階の信頼性レベルのうちの1つが割り当てられる。これら3段階の信頼性レベルは、非常に高い信頼性レベル(文字「V」で指示される)、高信頼性レベル(文字「H」で指示される)、及び低信頼性レベル(文字「L」で指示される)である。このようにして、この図に図示されるように、ネットワークノードA,B,及びEに非常に高い信頼性レベルが割り当てられ、ネットワークノードC,D,及びFに高信頼性レベルが割り当てられ、そしてネットワークノードGに低信頼性レベルが割り当てられている。
幾つかの実施形態では、本開示のシステム及び方法は、3段階よりも多くの段階の信頼性レベル、又は3段階よりも少ない段階の信頼性レベルを用いることができることに留意されたい。更に、幾つかの実施形態では、これらの信頼性レベルは、本開示において使用される呼称とは異なる種々の呼称を有することができる。例えば、本開示のシステム及び方法は、4段階の信頼性レベルを用いることができる。少なくとも1つの実施形態では、4段階の信頼性レベルは、非常に高い信頼性レベル、高信頼性レベル、中程度の信頼性レベル、及び低信頼性レベルと表記される。
本開示のシステム及び方法は、いずれの特定の信頼性レベルをネットワークノードに割り当てるべきかについて判断する種々の手段又は方法を利用する。1つ以上の実施形態では、ネットワークノードの物理的位置の確度が、いずれの信頼性レベルをネットワークノードに割り当てるべきかについて判断する際の要素又は指針となる。ネットワークノードの物理的位置を検証する、又は推定することができる種々の方法があり、そして物理的位置を検証する、又は推定する方法は、ネットワークノードに割り当てられるべき信頼性レベルを判断する際の指針又は要素として使用することができる。
例えば、ネットワークノードの物理的位置を検証することができる1つの方法では、ネットワークノードが、軍事基地又は政府建物のような既知のセキュア位置に配置されているかどうかを判断する。1つ以上の実施形態では、既知の物理的位置に位置しているネットワークノード群には、非常に高い信頼性レベルが割り当てられる。
ネットワークノードの物理的位置を検証することができる別の方法は、衛星利用ジオロケーション技術を使用することにより行なわれる。異なる種類の衛星利用ジオロケーション技術は、本開示のシステムが用いることができる。図11〜14の表現を含む本開示のスポットビーム利用認証の節では、本開示のシステムが利用することができる1つの例示的な衛星利用ジオロケーション技術(すなわち、スポットビーム利用認証)について説明する。更に、図2の表現は、本開示のシステム及び方法が、スポットビーム利用認証衛星利用ジオロケーション技術を使用して、ネットワークノード群の物理的位置を検証する過程を説明している。少なくとも1つの実施形態では、衛星利用ジオロケーション技術によって検証される物理的位置を有するネットワークノード群には、非常に高い信頼性レベルが割り当てられる。
ネットワークノードの物理的位置を推定することができる例示的な方法は、ネットワークping測定距離を使用することにより行なわれる。種々の種類のネットワーク距離測定処理、及びネットワーク距離測定技術を本開示のシステムが使用することができる。図6〜10の表現を含む本開示のネットワーク距離測定処理に基づく地理的位置認証の節では、本開示のシステムに用いることができる1つの例示的なネットワーク距離測定技術について詳細に説明する。
本開示のシステム及び方法が、ネットワーク距離測定技術に基づく地理的位置認証を利用して、ネットワークノード(ターゲットノードと表記される)の物理的位置を推定する場合、1つ以上の実施形態では、検証されているノードの物理的位置を有する(従って、「高信頼性の」)ノード(検証済みノードと表記される)はまず、ping要求メッセージ又は接続要求に似たメッセージを、ノードの物理的位置を検証する必要があるネットワークノード(すなわち、ターゲットノード)に送信する。1つ以上の実施形態では、検証済みノードは、スポットビーム利用認証技術のような衛星利用ジオロケーション技術により検証されるノードの物理的位置を有する。一旦、ネットワークノードがping要求メッセージを受信すると、ネットワークノードは、ping応答メッセージ又は接続応答に似たメッセージを検証済みノード(すなわち、高信頼性ノード)に返信する。検証済みノードが要求メッセージを送信してから検証済みノードが応答メッセージを受信するまでに経過する時間長を使用して、距離測定値を生成する。これらの距離測定値を利用して、ネットワークノード(すなわち、ターゲットノード)の物理的位置の推定値を計算する。1つ以上の実施形態では、衛星ネットワークping測定距離によって推定される物理的位置を有するネットワークノード群には、高信頼性レベルを割り当てることができる。
幾つかのネットワークノードは、例えば既知のセキュア位置に配置されることにより記述される物理的位置検証方法、又は衛星利用ジオロケーション技術により記述される物理的位置検証方法を有することができず、そしてネットワークping測定距離によって推定される物理的位置を有することができないことに注目されたい。1つ以上の実施形態では、これらのネットワークノードには、低信頼性レベルを割り当てることができる。
図1に戻ってこの図を参照するに、この図では、前に説明したように、これらのネットワークノードには、この図に指示されているように、種々の異なる段階の信頼性レベルが割り当てられる。ネットワークノード(すなわち、発信元の送信側ネットワークノード)が、データを別のネットワークノード(すなわち、宛先の受信側ネットワークノード)に送信しようとする場合、2つのネットワークノードの間に延びてデータを伝送する特定の経路を決定する必要がある。これらのネットワークノードと同様に、各経路は信頼度を有する。1つ以上の実施形態では、ネットワーク経路の信頼度は、ネットワーク経路のノード群に検出される最も低い信頼性レベルによって決まる。例えば、ネットワークノードA(非常に高い信頼性レベル)−B(非常に高い信頼性レベル)−C(高信頼性レベル)−D(高信頼性レベル)−E(非常に高い信頼性レベル)のネットワーク経路には、ネットワーク経路のノード群に検出される最も低い信頼性レベルが高信頼性レベル(すなわち、ネットワークノードC及びDの)であるので、高信頼度が付与される。
図2は、本開示の少なくとも1つの実施形態による衛星利用ジオロケーション技術によって、そしてネットワークping測定距離によって検証される物理的位置を有する異なるネットワークノードの模式図2000である。この図では、5個のネットワークノードを含むネットワークが図示されている。この図の場合、これらのネットワークノードには、これらのネットワークノードが既知のセキュア位置に配置される場合に非常に高い信頼性レベル(文字「V」で指示される)が割り当てられ、そしてこれらのネットワークノードの物理的位置は、衛星利用ジオロケーション技術によって検証される。この図では、ネットワークノード2100は、既知のセキュア位置に位置しており、そしてネットワークノード2100の物理的位置は、衛星利用ジオロケーション技術によって検証される。
これらのネットワークノードには、これらのネットワークノードが既知のセキュア位置に配置されず、かつこれらのネットワークノードの物理的位置が、衛星利用ジオロケーション技術によって検証される場合に、高信頼性レベル(文字「H」で指示される)が割り当てられる。ネットワークノード2200及び2300は、非セキュア位置に位置しており、かつこれらのネットワークノードの物理的位置は、衛星利用ジオロケーション技術によって検証される。また、これらのネットワークノードには、これらのネットワークノードが既知のセキュア位置に位置しておらず、かつこれらのネットワークノードの物理的位置が、ネットワークping測定距離によって推定される場合に、中程度の信頼性レベル(文字「M」で指示される)が割り当てられる。ネットワークノード2400は、非セキュア位置に位置しており、かつネットワークノード2400の物理的位置は、ネットワークping測定距離によって推定される。更に、これらのネットワークノードには、これらのネットワークノードが既知のセキュア位置に配置されず、かつ衛星利用ジオロケーション技術によって検証される、又はネットワークping測定距離によって推定される物理的位置を有することができない場合に、低信頼性レベル(文字「L」で指示される)が割り当てられる。この図では、ネットワークノード2500及び2600は、非セキュア位置に位置しており、かつ衛星利用ジオロケーション技術によって検証される、又はネットワークping測定距離によって推定される物理的位置を有することができない。
図2では、発信元として機能している衛星2700は、スポットビーム2800及び2900を地球に放射しているものとして図示されている。スポットビーム2800及び2900は、少なくとも1つの認証信号を含む。認証信号(群)を使用して、スポットビーム2800及び2900の内部に位置する任意のネットワークノード群の物理的位置を検証する。本開示のスポットビーム利用認証の節の説明では、認証信号(群)を使用して、これらの物理的位置を検証する過程について詳細に記述している。この図では、ネットワークノード2100は、スポットビーム2800内に位置しているものとして図示され、そしてネットワークノード2200及び2300は、スポットビーム2900内に位置しているものとして図示される。ネットワークノード2100には、ネットワークノードが、軍事基地のような既知のセキュア位置に配置され、かつネットワークノード2100の物理的位置が、衛星2700を用いる衛星利用ジオロケーション技術によって検証されるので、非常に高い信頼性レベルが割り当てられる。ネットワークノード2200及び2300には、これらのネットワークノードの物理的位置が、衛星利用ジオロケーション技術によって検証され、かつこれらのネットワークノードが、既知のセキュア位置に配置されていないので、高信頼性レベルが割り当てられる。
この図では、ネットワークノード2400は、ネットワークping測定距離によって推定される物理的位置を有する。ネットワークping測定距離を取得するために、1つ以上の実施形態では、図に示すように、衛星利用ジオロケーション技術によって検証される物理的位置を共に有するネットワークノード2100及び/又はネットワークノード2300は、要求メッセージをネットワークノード2400に送信する。一旦、ネットワークノード2400が要求メッセージを受信すると、ネットワークノード2400は応答メッセージをネットワークノード2100及び/又はネットワークノード2300に返信する。ネットワークノード2100及び/又はネットワークノード2300が要求メッセージを送信してから応答メッセージを受信するまでに経過する時間長を使用して、ネットワークping測定距離を生成する。ネットワークping測定距離を使用して、ネットワークノード2400の物理的位置の推定値を生成する。ネットワークノード2400は、ネットワークping測定距離によって推定される物理的位置を有し、かつネットワークノード2400が既知のセキュア位置に配置されていないので、ネットワークノード2400には、中程度の信頼性レベルが割り当てられる。ネットワークノード2500には、ネットワークノード2500が既知のセキュア位置に配置されておらず、かつネットワークノード2500が、衛星利用ジオロケーション技術によって検証される、又はネットワークping測定距離によって推定される物理的位置を有していないので、低信頼性レベルが割り当てられる。
図3は、本開示の少なくとも1つの実施形態による暗号化トンネルに関する本開示の特徴を示す模式図である。この図では、多数のネットワークノードを含むネットワーク3000が図示される。ネットワークノードAは、データをネットワークノードEに、非常に高い信頼度を有する経路を経由して送信しようとする。この操作を行なうために、ルータ群又は関連するハードウェアは、特定の経路を決定してデータを、非常に高い信頼度を維持する経路に沿ってルーティングする。この場合、ネットワーク経路A(非常に高い信頼性レベル)−B(非常に高い信頼性レベル)−C(高信頼性レベル)−D(高信頼性レベル)−E(非常に高い信頼性レベル)が、ネットワークノードAとネットワークノードEとの間の最もセキュアな経路として特定される。この特定の経路が、非常に高い信頼性レベルを有するネットワークノード群、及び高信頼性レベルを有するネットワークノード群を含んでおり、かつ経路の信頼度が、経路のネットワークノード群の最も低い信頼性レベルであるとして定義されるので、この特定の経路には、高信頼度が割り当てられる。
非常に高い信頼性レベルを有するネットワークノードAは、ネットワークノードBも非常に高い信頼性レベルを有するので、データをネットワークノードBに送信することができる。しかしながら、ネットワークノードBとネットワークノードEとの間に位置するネットワークノード群がいずれも、非常に高い信頼性レベルを有していないので、ネットワークノードBはデータをネットワークノードEに、いずれかのネットワークノードを経由して送信するということができない。ネットワークノードBが、データをネットワークノードEに送信することができ、かつ非常に高い信頼度を維持することができるようにするために、ネットワークノードBはデータを、ネットワークノードBとネットワークノードEとの間に形成される暗号化トンネル3100を経由して送信する。データを伝送するために結果的に得られるネットワーク経路は、A(非常に高い信頼性レベル)−B(非常に高い信頼性レベル)−暗号化トンネル−E(非常に高い信頼性レベル)である。
暗号化トンネル3100を形成するために、ネットワークノードBは、データを送信前に暗号化する。1つ以上の実施形態では、ネットワークノードBに接続されるプロセッサが暗号化を実行する。ネットワークノードBがデータを暗号化した後、ネットワークノードBは、データをネットワークノードEに、共に高信頼性レベルを有するネットワークノードC及びDを経由して送信する。図3は、暗号化トンネル3100が、ネットワークノードBからネットワークノードEまで直線的に設定されるものとして図示しているが、これは暗号化トンネルを象徴的に表わしているに過ぎず、現実的には、データは実際に、ネットワークノードBからネットワークノードEに、ネットワークノードC及びDを経由してルーティングされることに留意されたい。1つ以上の実施形態では、一旦、ネットワークノードEが、暗号化データを受信すると、ネットワークノードEに接続されるプロセッサが暗号化データを解読する。
他の実施形態では、ネットワークノードDがネットワークノードEと同様に、非常に高い信頼性レベルを有していると仮定すると、ネットワークノードDは、任意であるが、一旦、ネットワークノードDが、暗号化データをネットワークノードCから受信すると、暗号化データを解読することができる。一旦、ネットワークノードDが暗号化データを解読すると、ネットワークノードDは次に、暗号化データをネットワークノードEに転送する。
図4は、本開示の少なくとも1つの実施形態による自律システムを利用する本開示の特徴を示す模式図4000である。この図では、ノード群からなるネットワークを含む自律システム4100が図示されている。本開示のシステム及び方法は、少なくとも1つの自律システムを用いてデータを、自律システムを介してルーティングする。種々の種類の自律システムを用いることができる。本開示のシステムが利用することができる自律システムの例として、これらには限定されないが、AT&Tネットワーク、Sprintネットワーク、Level 3ネットワーク、Qwestネットワーク、UUnitネットワーク、及びGlobal Crossingネットワークを挙げることができる。
ネットワーク経路と同様に、自律システムには、信頼度が割り当てられる。1つ以上の実施形態では、自律システムの信頼度は、自律システムのネットワークノード群の最も低い信頼性レベルに等しい。自律システム4100は、非常に高い信頼性レベルを有するネットワークノード群、高信頼性レベルを有するネットワークノード群、及び低信頼性レベルを有するネットワークノード群を含んでいるので、これらの実施形態の場合、自律システム4100は、低信頼性レベルを有する。
しかしながら、他の実施形態では、自律システムの信頼度は、自律システムを通過する経路の信頼度に等しい。この図では、経路は、非常に高い信頼性レベルを有するネットワークノードAを始点として、これも非常に高い信頼性レベルを有するネットワークノードBに至るものとして図示されている。暗号化トンネルはネットワークノードBから、これも非常に高い信頼性レベルを有するネットワークノードEに至るように形成される。自律システム4100のこの特定の経路は、非常に高い信頼性レベルを有するネットワークノード群だけを経由して辿るので、この経路は非常に高い信頼度を有する。このようなことから、これらの実施形態の場合、自律システム4100は非常に高い信頼度を有する。
この図では、ネットワークノード4200は、データをネットワークノード4300に、非常に高い信頼度を有する経路を経由して送信しようとする。上に説明したように、データは、自律システム4100を介して、非常に高い信頼度を有する経路に沿ってルーティングすることができるので、ネットワークノード4200は、データをネットワークノード4300に自律システム4100を介して送信する。
図5は、本開示の少なくとも1つの実施形態による境界ファイアウォールノード群の本開示の特徴を示す模式図5000である。この図では、境界5100は、2つの境界ファイアウォールノード5200が並んでいるものとして図示されている。境界ファイアウォールノード群(又は、ルータ群)5200は、境界5100を通って、セキュアな施設5500に位置するノード群5600からなるネットワークに進入しようとするデータの流れを制御するゲートキーパとして使用される。各境界ファイアウォールノード5200は、境界5100又は境界ファイアウォールノード5200を通過しようとするデータが、これまでに、十分高い信頼度を有する経路を通過してきたかどうかを判断する。データが、これまでに、十分高い信頼度を有する経路を通過してきた場合、境界ファイアウォールノード5200は、データが境界ファイアウォールノード5200を通過することを許可する。各境界ファイアウォールノード5200は、設定要求信頼度閾値を有し、そして境界ファイアウォールノード5200は、境界ファイアウォールノード5200が、データがノード5200を通過することを許可するためには、データがこれまでに、少なくとも信頼度閾値を有する経路を通過してきていることを必要とする。この図では、これらの境界ファイアウォールノード5200は、これまでに、非常に高い信頼度、又は高信頼度を有する経路を通過してきたデータにのみ許可を与えて、ネットワークノード群5400からなる公衆網エリア5300から境界5100を通って、ネットワークノード群5600からなるセキュアな施設5500に進入させることができる。
ネットワーク距離測定を利用した地理的位置認証
地理的位置認証を、ネットワーク距離測定に基づいて行なうシステム及び方法は、ネットワークノード(すなわち、ターゲットノード)の物理的位置を、既知の物理的位置を有する少なくとも1つのノードから取得される距離測定値を使用することにより認証することに関するものである。少なくとも1つのノードの物理的位置は、衛星利用ジオロケーション技術によって取得される。種々の種類の衛星利用ジオロケーション技術を本開示のシステムが用いることができる。本開示の図11〜14の表現は、本開示のシステムが利用することができる1つの例示的な衛星利用ジオロケーション技術(すなわち、スポットビーム利用認証)を説明している。
益々増えつつあるサイバー攻撃を打ち負かす現在のアクセス制御アプローチは基本的に、パスワード及びバッジ証明書に基づいた静的パスワード又は認証に基づいている。攻撃が、エンドユーザになりすますことにより行なわれる場合が多いので、種々の組織は、ネットワーク脆弱性を抑えるユーザ認証方法に注力する傾向があった。これらのアプローチは、依然として巧妙な攻撃を受け易いので、ユーザの物理的位置のような更に別の情報を活用する新規のアクセス制御パラダイムを開発する必要があった。この情報によって、直交多重保護レイヤが追加され、これにより、位置と総合的な物理的地理位置情報に基づく状況認識との間の強い相関を、ネットワークの理論的視点、及び情報管理の理論的視点に付与することができる。これは、特定のネットワークノード宛の入力データを、ネットワークノードの物理的位置、及びこのような情報に基づいてネットワークノードに承認される種々のアクセス権限に基づいて入念に検査することができることを意味する。
ネットワークノードの物理的位置は現在、既存のツールを使用して突き止めることが難しい。ネットワークノードの位置は、インターネットプロトコル(IP)アドレス及びホスト名を検査することにより推定することができるが、これらの識別子は、偽造される、又は難解になる可能性がある。別の構成として、かつ更にセキュアに、ネットワークノードの物理的位置は、ネットワークping測定距離を使用する推定によって取得することができる。
本開示では、pingは、インターネットプロトコル(IP)ネットワーク上のノードへの到達可能性を試験し、そして発信元ノード(すなわち、ping要求メッセージを送信するノード)から宛先ノード(すなわち、ping要求メッセージを受信し、そしてping応答メッセージを送信するノード)に送信されるメッセージの往復時間を測定するために使用されるコンピュータネットワーク管理ユーティリティである。pingは、発信元ノードがインターネット制御メッセージプロトコル(ICMP)エコーリクエストデータパケットを宛先ノードに送信し、そして応答を待つことにより動作する。このプロセスでは、プロセッサを使用して、ping要求メッセージを送信してから要する往復時間を測定し、そして全てのデータパケット損失を記録する。
地理的位置認証を、ネットワーク距離測定に基づいて行なうシステム及び方法は、4つの主要な特徴を有する。第1の主要な特徴は、ネットワークping測定距離を使用して、ネットワークノードの物理的位置を推定することである。このような推定判断により、ネットワークにおける信頼性レベルを高めることができ、そしてこのような推定判断は、pingを既知の位置を有するセキュアな高信頼性ネットワークノード(群)から問題のターゲットネットワークノードに送信することにより行なわれる。1つ以上の実施形態では、発信元ノード(すなわち、ping要求メッセージを送信するノード)は次に、送信した時刻と受信した時刻との差を調査し、そして物理的距離推定値を生成する。ping距離測定を実行する1つよりも多くの発信元ノードは、このプロセスに従って処理を進めることにより、最終結果の精度及び信頼性を向上させることができる。
第2の主要な特徴は、ping事前調整及び/又は優先順位付けを使用することである。この特徴は、第1の主要な特徴の方法の精度にとって重要となる、宛先ノードがpingを即座に返信する(すなわち、ping応答メッセージを即座に送信する)という要求を利用する。応答遅延に関連して遅延が生じると必ず、測定ネットワーク距離が長くなるので、測定される物理的最大距離が増加する。この増加によって、ネットワークノードの実際の物理的位置の不確定性が大きくなる。このようなことから、この特徴から、種々の「Fast Track(高速追従)」方法の使用が提案され、この方法では、結果を、ping要求及び/又はping応答の事前調整及び/又は優先順位付けを使用することにより向上させることができ、これにより、宛先ノードは、pingリクエストに出来る限り迅速に応答することができるので、距離測定誤差を低減し、そして最終結果の精度を高めることができる。
第3の主要な特徴は、専用のping応答 「Fast Track(高速追従)」ハードウェアを利用することである。専用のping応答 「Fast Track(高速追従)」ハードウェアをより良好に使用すると、第2の主要な特徴の「Fast Track(高速追従)」方法が可能になる。このようなハードウェアは、ネットワーク距離測定に関与する装置に取り付けられ、及び/又は接続され、そしてハードウェアを更に使用して、最終結果の精度を、ping要求に対する応答を事前調整することにより、及び/又は優先順位付けすることにより高めることができる。
第4の主要な特徴は、独自の識別子(例えば、数個のランダムビットからなる疑似ランダムコード(PRC))をping要求メッセージ内に使用して、識別子を予測することができず、かつping応答メッセージに宛先ノード(群)によってコピーすることができるようにすることである。これらの独自の識別子は、発信元ノードが受信するping応答メッセージ(群)が実際には、発信元ノードが送信したping要求メッセージに対する応答であったことを保証するように作用する。
これらの図の表現の全体を通じて、ネットワークノード群の特定の命名規則が遵守されていることに注目されたい。命名規則は次の通りである。ターゲットノードとは、本開示のシステム及び方法が、ノードの物理的位置を検証することにより認証しようとする問題のネットワークノードのことである。高信頼性ノード(群)とは、既知の物理的位置を有するネットワークノード(群)のことである。1つ以上の実施形態では、高信頼性ノード(群)の物理的位置は、衛星利用ジオロケーション技術により取得される。しかしながら、幾つかの実施形態では、少なくとも1つの高信頼性ノードの物理的位置は、これに限定されないが、地勢マッピングデータを含む他の手段により取得される。また、発信元ノードとは、ping要求メッセージを送信するネットワークノードのことであり、そして宛先ノードとは、ping要求メッセージを受信し、そしてping応答メッセージを発信元ノードに返信するネットワークノードのことである。
図6は、本開示の少なくとも1つの実施形態によるターゲットノード(ルータ3)110の物理的位置を認証する本開示のシステム100の模式図である。この図では、ネットワークノード110,120,130(これらのネットワークノードは、ルータにより実現される)からなるネットワークが図示され、この場合、ルータ3(110)の物理的位置の認証が行われようとしている。ルータ1(120)及びルータ2(130)は、検証済みの物理的位置に位置している(従って、これらのルータは高信頼性ノードと表記される)が、ルータ3(110)の物理的位置は未知であるか、又は検証されていない。
ルータ1(120)及びルータ2(130)(すなわち、高信頼性ノード群)の物理的位置は、衛星利用ジオロケーション技術により取得される。この図に示すように、衛星1(140)及び衛星2(150)は共に、複数のスポットビーム160,170を地球180に放射している。ルータ1(120)及びルータ2(130)は、複数のスポットビーム160,170のうちの少なくとも1つのスポットビームを衛星1(140)及び衛星2(150)からそれぞれ放射することにより照射されている。ルータ1(120)及びルータ2(130)の物理的位置は、種々の異なる種類の地理的位置認証システム及び方法により取得される。
1つ以上の実施形態では、スポットビーム利用認証システム及び方法をシステム100が使用して、ルータ1(120)及びルータ2(130)の物理的位置を認証する。これらの実施形態の場合、LEOイリジウム衛星を衛星140,150に用いることにより、各衛星から、ルータ1(120)及びルータ2(130)の物理的位置を認証するために使用される少なくとも1つの認証信号を送信する。ルータ1(120)に接続される受信元(図示せず)、及びルータ2(130)に接続される受信元(図示せず)を使用して、衛星1(140)及び衛星2(150)(すなわち、送信元)からそれぞれ送信される認証信号を受信する。スポットビーム利用認証システム及び方法に関する詳細な説明は、以下の本開示のスポットビーム利用認証の節に提示される。更に、認証装置(図示せず)を本開示のシステムが用いて、ルータ1(120)及びルータ2(130)の物理的位置を、衛星140,150の各衛星から送信される少なくとも1つの認証信号を分析することにより認証することができることに注目されたい。更に、種々の実施形態では、これらの認証信号は、同じ送信元から、異なる送信元から、同じ周波数で、及び/又は異なる周波数で送信することができることに注目されたい。
複数のスポットビーム160,170のスポットビーム群は、この図に示すように、円形の電波到達範囲を有することができるか、又は他の実施形態では、不規則形状の電波到達範囲を有する整形スポットビームとすることができる。種々の種類の衛星群及び/又は疑似衛星群を、本開示のシステム100の衛星1(140)及び/又は衛星2(150)に用いることができる。衛星140、150に用いることができる衛星群の種類として、これらには限定されないが、低軌道地球周回(LEO)衛星、中高度軌道周回(MEO)衛星、及び地球同期軌道(GEO)衛星を挙げることができる。1つ以上の実施形態では、LEOイリジウム衛星が、システム600によって衛星140,150に対応して用いられる。この種類の衛星を用いることは、衛星からの送信信号が、屋内を伝搬して減衰しながら伝搬するために十分大きな強度を有しているので有利である。
幾つかの実施形態では、ルータ群以外の種々の他の種類の装置を本開示のシステム100のネットワークノード110,120,130に対応して実現することができることに留意されたい。ネットワークノード110,120,130に用いることができる装置の種類として、これらには限定されないが、サーバ、パーソナル計算装置、携帯情報端末、携帯電話機、コンピュータノード、インターネットプロトコル(IP)ノード、ゲートウェイ、Wi−Fiノード、ネットワークノード、パーソナルエリアネットワーク(PAN)ノード、ローカルエリアネットワーク(LAN)ノード、ワイドエリアネットワーク(WAN)ノード、ブルートゥースノード、ZigBee(ジグビー)ノード、Worldwide Interoperability for Microwave Access(ワールドワイドインターオペラビリティフォーマイクロウェーブアクセス:WiMAX)ノード、第2世代(2G)ワイヤレスノード、第3世代(3G)ワイヤレスノード、及び第4世代(4G)ワイヤレスノードを挙げることができる。
本開示のシステム100の動作時、ルータ1(120)(すなわち、発信元ノード)は、ping要求メッセージをルータ3(110)(すなわち、宛先ノード)に送信する(経路R13を参照)。ping要求メッセージを受信すると、ルータ3(110)は、ping応答メッセージをルータ1(120)に送信する(経路R13を参照)。ルータ1(120)に接続されるプロセッサ(図示せず)は、ルータ1(120)からルータ3(110)までの距離測定値を、ルータ1(120)がping要求メッセージを送信してからルータ1(120)がping応答メッセージを受信するまでに経過する時間長を使用することにより計算する。「network ping ranging(ネットワークping距離測定値)」と表記されるこの距離測定値から、近似式、及び2つのネットワークノード(例えば、ルータ1(120)及びルータ3(110))の間の物理的距離の最大限界値を生成し、そして距離測定値は、次の方程式を使用して算出することができる:
(方程式1) ROD=c[(tDa−tOa)+(tOb−tDb)+d]/2,式中、t=時間であり、そしてc=信号速度である。
上式では、「O」は発信元ノード(すなわち、ルータ1(120))を指し、この発信元ノードが方法を、ping要求メッセージを宛先ノード(すなわち、ルータ3(110))と表記される「D」に送信し、この宛先ノードが今度は、ping応答メッセージを発信元ノードに送信し、そして式中、「d」は信号伝搬時間とは関係がない遅延時間であり、この遅延時間は、例えば宛先ノードがping応答メッセージを、ping要求メッセージの受信後に生成するために要する時間である。幾つかの実施形態では、ネットワーク距離測定を実行する1つよりも多くのネットワークノードは、このプロセスに従って処理を行なって、結果の精度及び信頼性を向上させることができる。これは、個々のノード(すなわち、ルータ、サーバ、ラップトップのようなパーソナル計算装置、デスクトップ、PDA,携帯電話機など)、又は前記ネットワークノード群からなるシステムとして更に集合的に表わされる対象について言えることである。
更に、信号速度(c)が、最大速度(cMAX)以下であることを保証できる場合、測定から距離推定値だけでなく、次の方程式による最大距離を求めることができる:
(方程式2) ROD_MAX=cMAX[(tDa−tOa)+(tOb−tDb)+dMIN]/2,式中、t=時間であり、そしてcMAX=最大信号速度である。
上式では、「dMIN」は、システムに関して起こり得る最小遅延時間である(最も保守的な仮定に基づいて、dMIN=0と仮定している)。特定の一対のネットワークノードの場合、平均をとるのではなく、複数回の測定を行なうことができ、最小のRMAXを表わす測定値は、2つのネットワークノードの間の最大距離として利用することができる。
他の実施形態では、ルータ1(120)に接続されないプロセッサは、距離測定計算を実行することができる。これらの実施形態の場合、ルータ1(120)はプロセッサに、ルータ1(120)がping要求メッセージを送信してからルータ1(120)がping応答メッセージを受信するまでに経過する時間長を送信する必要がある。一旦、プロセッサが時間長を受信すると、プロセッサは距離測定計算を実行することができる。
次に、プロセッサ(例えば、ルータ1(120)に接続されるプロセッサ、ルータ2(130)に接続されるプロセッサ、又は他の何らかのプロセッサ)は、経路13に基づいて計算された距離測定値を使用して、ルータ3(110)の物理的位置を取得する、及び/又は認証する。
この図に示すように、ルータ2(130)は更に、ping要求メッセージをルータ3(110)に送信する(経路23を参照)。ルータ3(110)は、ping要求メッセージを受信すると、ping応答メッセージをルータ2(130)に送信する(CyberBounce(サイバーバウンス)23とも表記される経路23を参照)。ルータ2(130)に接続されるプロセッサ(図示せず)は、ルータ2(130)からルータ3(110)までの距離測定値を、ルータ2(130)がping要求メッセージを送信してからルータ2(130)がping応答メッセージを受信するまでに経過する時間長を使用することにより計算する。
別の実施形態では、ルータ2(130)に接続されないプロセッサは、距離測定計算を実行することができる。これらの実施形態の場合、ルータ2(130)はプロセッサに、ルータ2(130)がping要求メッセージを送信してからルータ2(130)がping応答メッセージを受信するまでに経過する時間長を送信する必要がある。一旦、プロセッサがこの時間長を受信すると、プロセッサは距離測定計算を実行することができる。
次に、プロセッサ(例えば、ルータ1(120)に接続されるプロセッサ、ルータ2(130)に接続されるプロセッサ、又は他の何らかのプロセッサ)は、経路23に基づいて計算された距離測定値を、経路13に基づいて計算された距離測定値と併せて使用して、ルータ3(110)の物理的位置を取得する、及び/又は認証する。他の実施形態では、プロセッサは、経路23に基づいて計算された距離測定値を使用して、経路13に基づいて計算された距離測定値のみを使用することにより取得されるルータ3(110)に関する物理的位置の精度を向上させる。
1つ以上の実施形態では、プロセッサ(例えば、ルータ1(120)に接続されるプロセッサ、ルータ2(130)に接続されるプロセッサ、又は他の何らかのプロセッサ)は、ルータ3(110)について取得される物理的位置、及びルータ1(120)及びルータ2(130)についての既知の物理的位置を使用して、これらのネットワークノード110,120,130の位置の物理マップを作成する。物理マップは更に、これに限定されないが、地形データ、街路名データ、及び陸標データを含む種々の種類の地勢データを含むことができる。更に、インターネットプロトコル(IP)情報マップを物理マップに重ね合わせる操作を実行することもできる。
ping応答メッセージを宛先ノードから即座に返信することは、本方法の精度にとって重要であることに留意されたい。宛先ノードによって遅延が生じると必ず、ネットワークノード群の間の測定ネットワーク距離が長くなるので、これらのネットワークノードの間の最大物理的距離推定値が大きくなる。これにより、ターゲットノードが位置する可能性がある物理的なエリアが大きくなるので、ターゲットノード(すなわち、ルータ3(110))の物理的位置の不確定性が大きくなる。
本開示の幾つかの実施形態では、ターゲットノードの物理的位置の推定は、pingメッセージの事前調整及び/又は優先順位付けによって向上し、そして推定では、専用のping応答メッセージハードウェアを使用することができる。例えば、発信元ノードから送信されるping要求メッセージに対する応答を早める方法を、本開示のシステム100が利用して、宛先ノードに、ping要求メッセージの送信前に、ping要求メッセージが指定時刻に到着することを通知することができる。したがって、宛先ノードは、指定時刻の直前に、入力ping要求メッセージパケットメッセージに、メッセージの最高優先度を付与し、そしてping要求メッセージが到着すると即座に返信する準備をすることができる。幾つかの実施形態では、宛先ノードをプログラムして、ping応答メッセージを、宛先ノードがping要求メッセージを受信した後に特定の時間長が経過した後に送信させる。少なくとも1つの実施形態では、宛先ノードをプログラムして、ping応答メッセージを特定時刻に送信させるか、又は特定時刻群に、明確に定義された、又はランダムな指定時間間隔を置いて送信させる。
少なくとも1つの実施形態では、発信元ノードから宛先ノードに送信されるping要求メッセージは、予測することができない独自の識別子(例えば、多数のランダムビット)であって、識別子の少なくとも一部が、宛先ノードから発信元ノードに送信されるping応答メッセージにコピーされる独自の識別子を含む。これにより、確実に、発信元ノードが受信するping応答メッセージが実際に、発信元ノードが最初に送信したping要求メッセージに対する応答であったことになり、かつなりすまし者からの応答ではなかったことになる。少なくとも1つの実施形態では、ランダムシードを使用して、ランダム番号発生装置(例えば、疑似ランダム番号発生装置)を動作状態にすることにより独自の識別子を供給することができる。
幾つかの実施形態では、pingメッセージ群を優先順位付けする構成は、事前調整方法を使用することなく想到することができる。例えば、優先レベルを種々の優先度のデータパケット群に割り当てることができ、及び/又は他の待ち行列論理を適用して、このようなパケット群を処理することができる。ターゲットノードの物理的位置の認証に関連するデータパケット群(すなわち、pingメッセージデータパケット群)に高優先度(又は、他の動作を実行する優先度を上回る最高優先度でさえも)を付与することができるが、システムを更に利用して、より高い総合重要度を持つことができる他の重要情報を送信することができるので、一連の優先レベル、及び/又は待ち行列論理を適用して、ping応答メッセージの送信遅延を、より高い重要度でデータをルーティングする際のサービス品質に悪影響を及ぼすことなく最小限に抑えることができる。
図7Aは、本開示の少なくとも1つの実施形態によるターゲットノードが地理的位置認証リクエストを送信する場合のターゲットノードの物理的位置を認証する本開示の方法のフロー図200である。方法の開始ステップ205では、ターゲットノードは地理的位置認証リクエストを、既知の物理的位置を有する少なくとも1つの高信頼性ノードに送信する(ステップ206)。高信頼性ノード(群)の物理的位置は、衛星利用ジオロケーション技術により取得される。次に、高信頼性ノード(群)は地理的位置認証リクエストを受信する(ステップ208)。
次に、高信頼性ノード(群)(すなわち、発信元ノード(群))は、ping要求メッセージをターゲットノード(すなわち、宛先ノード)に送信する(ステップ210)。次に、ターゲットノードはping要求メッセージを受信する(ステップ215)。ターゲットノードがping要求メッセージを受信した後直ぐに、ターゲットノードはping応答メッセージを高信頼性ノード(群)に送信する(ステップ220)。次に、高信頼性ノード(群)はping応答メッセージを受信する(ステップ225)。高信頼性ノード(群)がping応答メッセージを受信した後、少なくとも1つのプロセッサは、ターゲットノードから高信頼性ノード(群)までの距離測定値を、ping要求メッセージの送信からping応答メッセージの受信までに経過する時間長を使用することにより計算する(ステップ230)。一旦、プロセッサ(群)が距離測定値を計算してしまうと、少なくとも1つのプロセッサ(プロセッサは、距離測定値を計算したプロセッサ(群)と同じプロセッサ(群)又は異なるプロセッサ(群)とすることができる)は、ターゲットノードの物理的位置を、ターゲットノードから高信頼性ノード(群)までの距離測定値を使用することにより認証する(ステップ235)。プロセッサ(群)が、ターゲットノードの物理的位置を認証した後、方法は終了する(ステップ240)。
図7Bは、本開示の少なくとも1つの実施形態による既知の位置を有する少なくとも1つの高信頼性ノードが、ping要求メッセージを送信する場合のターゲットノードの物理的位置を認証する本開示の方法のフロー図250である。方法の開始ステップ255では、既知の物理的位置を有する少なくとも1つの高信頼性ノード(すなわち、発信元ノード(群))は、ping要求メッセージをターゲットノード(すなわち、宛先ノード)に送信する(ステップ260)。高信頼性ノード(群)の物理的位置は、衛星利用ジオロケーション技術により取得される。
次に、高信頼性ノード(群)は地理的位置認証リクエストを受信する(ステップ208)。次に、ターゲットノードはping要求メッセージを受信する(ステップ265)。ターゲットノードがping要求メッセージを受信した後直ぐに、ターゲットノードはping応答メッセージを高信頼性ノード(群)に送信する(ステップ270)。次に、高信頼性ノード(群)はping応答メッセージを受信する(ステップ275)。高信頼性ノード(群)がping応答メッセージを受信した後、少なくとも1つのプロセッサは、ネットワークノードから高信頼性ノード(群)までの距離測定値を、ping要求メッセージの送信からping応答メッセージの受信までに経過する時間長を使用することにより計算する(ステップ280)。一旦、プロセッサ(群)が距離測定値を計算してしまうと、少なくとも1つのプロセッサ(プロセッサは、距離測定値を計算したプロセッサ(群)と同じプロセッサ(群)又は異なるプロセッサ(群)とすることができる)は、ターゲットノードの物理的位置を、ターゲットノードから高信頼性ノード(群)までの距離測定値を使用することにより認証する(ステップ285)。プロセッサ(群)が、ターゲットノードの物理的位置を認証した後、方法は終了する(ステップ290)。
図8は、本開示の少なくとも1つの実施形態による各ネットワークルータが、応答メッセージハードウェア装置330,340を用いてメッセージを送信する構成の2つのネットワークルータ310,320の模式図300である。この図では、2つのネットワークルータ310,320は、各ネットワークルータが専用の応答ハードウェア(すなわち、「高速追従」装置)330,340に接続される(すなわち、有線接続又は無線接続される)ものとして図示される。幾つかの実施形態では、専用の応答ハードウェア330,340は、ネットワークルータ310,320に物理的に取り付けられる、又はネットワークルータ310,320内に収容される。
応答メッセージハードウェア330,340は、ping応答メッセージを、ping要求メッセージを受信した後に、ほとんどもしくは全く遅延することなく送信することができる。応答メッセージハードウェア330,340がping応答メッセージを、ほとんどもしくは全く遅延することなく送信することができるので、応答メッセージハードウェア330,340によって、ターゲットノードの物理的位置を、ネットワークping測定距離を使用することにより、更に高精度に求めることができる。応答メッセージハードウェア装置330,340は、ルータ310と320との間の経路に設けられ、そしてこれらの応答メッセージハードウェア装置は、ping要求メッセージ及びping応答メッセージを送受信するように機能する。これらの実施形態の場合、応答メッセージハードウェア装置330,340は、これらのpingメッセージに、これらのメッセージの最高優先度を付与する。
応答メッセージハードウェア装置330,340は、特定の宛先へのpingメッセージを送受信するという唯一の目的を有することができる。装置330,340は、ノード群の間の(例えば、ルータ310と320との間の)データ経路に設けられるように設計され、そして装置330,340が即座に返信する特定の宛先へのpingメッセージを除く全てのデータのパススルーとして動作することができる。幾つかの実施形態では、装置330,340は、信号群をノード310と320との間のデータ経路に、正規のトラフィックを妨害することなく注入することもできる。pingメッセージの送信の事前調整は、装置330,340によって行なうこともできる。
少なくとも1つの実施形態では、ネットワークノードの高信頼度の転送は、検証済みの物理的位置を有するノード(すなわち、高信頼性ノード)から検証済みの物理的位置を有していないノード(すなわち、未検証ノード又はターゲットノード)に向かって行なうことができる。これは、例えば1つの専用の応答メッセージハードウェア装置330(専用の応答メッセージハードウェア装置が計算装置に、例えばユニバーサルシリアルバス(USB)接続を介して接続される場合のように、検証済みの物理的位置を有するノード310に隣接している)に命令してping要求メッセージを、回線を介して送信させる場合に行なわれる。回線の他方の側の対応する応答メッセージハードウェア装置340(検証済みの物理的位置を有していないノード320に隣接する)は、ping要求メッセージに対して、ping応答メッセージを送信することにより迅速に返信する。第1装置330は、返信ping応答メッセージを受信し、距離測定計算を実行し、そしてネットワーク距離を未検証ノード320に報告する。物理的に検証されている高信頼性ノード310は、専用の応答メッセージハードウェア装置330,340が両方の側に位置する場合に高信頼度の「転送を行なう」ことができる。高信頼度は、計算された距離が、測定かつ検証された物理的位置に一致する場合に引き継がれる。
図9は、本開示の少なくとも1つの実施形態によるルータ420に接続される応答メッセージハードウェア装置410の模式図400であり、装置410が、入力データ回線(例えば、光ファイバケーブル)430に沿って配置される様子を示している。応答メッセージハードウェア装置410は、データスプリッタ440(例えば、バイコニック形光結合器)を利用して入力データを分割する。データスプリッタ440は入力データを、光ケーブル460(又は、他の何らかの手段)を介してルータ420に渡し、そして更に、入力データをコンピュータ回路450に渡す。コンピュータ回路450はデータを、データケーブル470を介してルータ420に渡す。接続ルータ420のデータフローを制御することにより、計算回路450はこのようにして、応答メッセージハードウェア装置410と他の専用応答メッセージハードウェア装置群との間のpingメッセージを優先順位付けする、及び/又は事前調整することができ、そしてそのようにすることにより、スループットデータへの悪影響を抑制することができる。例えば、各ルータが専用の応答メッセージハードウェア装置を有する構成の2つのルータは共に、これらのルータが、正規のデータ伝送を中断し、そしてpingメッセージの送受信を実行しようとする(例えば、pingメッセージの送受信を、1ミリ秒の時間が経過しているときに、かつ10秒間のデータ伝送が行われるたびに実行する)ときの予定時刻を忠実に守ることができる。
少なくとも1つの実施形態では、専用の応答メッセージハードウェア装置410は更に、衛星トラッキングハードウェア及びファームウェアを含むことにより、ハードウェア装置410自体、及び/又はルータ420の物理的位置の検証を、衛星距離測定技術を使用して実行することができる。1つ以上の実施形態では、専用の応答メッセージハードウェア装置410は、ネットワークルータ420自体に効果的に内蔵させることができるので、データスプリッタ440を使用する必要がない。
図10A,10B,及び10Cは、本開示の少なくとも1つの実施形態によるネットワークに参入し、かつ本開示のシステムによって認証される物理的位置を有する新規ノード520(すなわち、ターゲットノード)を一緒にまとめて見たときの模式図500,505,510である。少なくとも1つの実施形態では、新規ノード520は、「出現する」可能性があり、そしてping要求メッセージを送信して、新規ノードが「高信頼性」ノードであることを確認し易くすることができる。これが、新規ノード520が高信頼性ハードウェアを収容し、かつ高信頼性位置に配置される事例である(例えば、新規ノード520は、軍事基地に設置される新規ルータである)。しかしながら、少なくとも1つの実施形態では、新規ノードは非制御装置とすることができる。これらの実施形態では、新規ノードは、新規ノードの物理的位置がping測定距離を使用することにより検証されるようになる場合に「高信頼性」ノードに変化させることができる。
図10Aでは、「高信頼性」ノードに変化しようとしている新規の未認証ノード520(すなわち、ターゲットノード)は、地理的位置認証pingリクエストをルータ1(530)、ルータ2(540)、及びルータ3(550)に送信する。3つのルータ530,540,550の物理的位置は、衛星560,570,580から送信される信号を利用する衛星利用ジオロケーション技術を使用することにより検証される。検証されると、図10Bでは、ルータ530,540,550は、ping要求メッセージを新規ノード520に送信する。一旦、新規ノード520がping要求メッセージを受信すると、図10Cでは、新規ノード520がping応答メッセージをルータ530,540,550に送信する。ルータ530,540,550の各ルータに接続されるプロセッサ群(図示せず)は、新規ノード520から新規ノードの接続先のルータ530,540,550までの距離測定値を、ping要求メッセージの送信からping応答メッセージの受信までに経過する時間長を使用することにより計算する。少なくとも1つのプロセッサは、これらの計算距離測定値を使用して、新規ノード520の物理的位置を認証する。新規ノードの物理的位置が認証された後、新規ノード520はその結果、「高信頼性」ノードであると考えられる。
本開示の方法によって、ネットワークノード群は、所定ノードからの入力データを、所定ノードの物理的位置に基づいて入念に検査することができる。少なくとも1つの実施形態では、これを使用して、ネットワークノードに割り当てられる信頼性を向上させることができる。幾つかの実施形態では、アクセス権限は、ノードの認証に基づいて承認することができる。少なくとも1つの実施形態では、承認されるアクセス権限を、ノードの物理的位置を検証するために使用される認証方法の種類に応じて設定して、最高の精度/信頼性をもって適用される方法に、アクセス権限の最高レベルを割り当てることができ、そして別の構成として、ノードが最低の信頼性になっている状態を表わす最低の精度/信頼性をもって適用される方法に、アクセス権限の最低レベルを割り当てることができる。
スポットビーム利用認証
エンティティ又はユーザ認証技術によって、サードパーティ認証装置は、リモートリソースのユーザ、資産、又は装置(例えば、認証要求者又はネットワークノード)の識別情報及び/又は物理的位置が正しいことを、一方向認証方法により証明することができる。しかしながら、この一方向方法をホストシステムが直接使用することにより、認証要求者が正しいことを証明することもできることに留意されたい。エンティティは、追跡する必要がある装置(例えば、ネットワークノード、携帯電話機、コンピュータ、サーバなど)又は資産とすることができるのに対し、ユーザは、人間又は他の生存エンティティ/非生存エンティティとすることができる。エンティティ及び/又はユーザは、接続全体又はセッション全体の期間に亘って認証される必要がある。エンティティ及び/又はユーザは、再認証を最初の認証後に要求することができる。再認証要求手順は、ホストネットワークによって規定することができ、そして状況に特有の形態とすることができる。別の構成として、このシステムは、メッセージを利用する認証システムに用いることができ、この認証システムは、個別の認証処理手順をメッセージ毎に必要とする。本明細書において記載される方法は、セッションを利用する認証、メッセージを利用する認証、又はこれらの認証の組み合わせの何れかに対応して用いることができる。
更に、この方法は、受信側装置自体に適用して、一方向認証を、離れて位置するサードパーティが完了させる必要があるのではなく、これらの受信側装置のうちの1つ以上の受信側装置が完了させる必要があるようにする。この方法が単一の装置によって行なわれる場合、方法は、一方向認証方法であると考えることもできる。しかしながら、この方法は、多方向認証方法(multi−way authentication technique)として適用して、少なくとも2つのピア装置が互いを認証することができるようにすることもできる。この一方向装置間認証方法又は多方向装置間認証方法では、認証は普通、2つの正当な受信側装置の各受信側装置が認識することができ、かつ権限のない、又は不正な受信側装置は決して認識することができない共有鍵暗号(対称及び非対称)に依っている。各装置は、装置自体とピア装置又はセキュリティ証明書の形態の公開鍵/秘密鍵ペアとの間で共有される暗号パスワードのような自身の認証信任状を有することができる。装置は、装置が他方のピア装置に対して、装置が共有鍵暗号を認識しているので正当であることを証明して、他方のピア装置が納得できる場合に、装置自体が本物であることを証明したことになる。一旦、認証が、少なくとも2つの装置の間でこの多方向認証方法により完了すると、これらの装置は、これらの装置の識別情報が正当であることを互いに対して証明したことになる。次に、これらの装置は、これらの装置が、合意されたサイバーセキュリティポリシーを実行するように選択することができるこれらの装置独自の認証ネットワークを構築して、所定の状況に対応するネットワーク接続リソースとの通信、及びネットワーク接続リソースへのアクセスを保護する。
既存の認証方法を使用して、又は組み合わせて、初期暗号鍵(群)を作成することができる。初期暗号鍵は、例えばDiffie−Hellman(ディフィーヘルマン)鍵共有法を使用して協働して作成することができる、又は一方のピア装置によって簡単に作成し、そして他方のピア装置に別のセキュアチャネル/プロセスにより送信することができる。
いずれにしても、初期暗号鍵には、幾つかの共有生存情報(既に定義されている)を付随させることができる。この応用形態では、生存情報は、衛星スポットビームを介して供給され、そしてタイムスタンプ及び擬似ランダム番号(PRN)のような認証に使用されるパラメータ群を含むことができる。
共有生存情報は、鍵導出に利用されて、異なる暗号鍵を、送信元装置が、送信元装置自体がピア装置に対して本物であることを証明するたびに利用することができる。これにより、悪意のある潜在的な盗聴者が、送信元装置が認証されるたびに統計的な攻撃を開始して、新規に傍受したメッセージを、送信元装置の前のセッション時に傍受した盗聴者による分析メッセージに追加するのを防止することができる。次に、生存情報及び初期暗号鍵を、入力群として決定関数に渡すことができる。本明細書において使用されるように、「determinative(決定的な)」という用語は、関数の出力が、これらの入力によって完全に決定されるような関数を指す。この決定関数は、送信元装置で、そしてピア装置で個別に実行することができる。仮に、これらの2つの装置が決定関数を実行したときに異なる出力を生成し、次に関数から生成される暗号鍵が一致しなかったとすると、装置は認証されないので相互通信に使用することができない。
決定的である他に、セキュリティのために、関数は本質的に不可逆である必要がある。関数の出力群が判明している状態では、関数の入力群を決定することが極めて困難である、又は不可能である必要がある。Hash(ハッシュ)は関数クラスを構成し、これらの関数は、決定的であり、かつ本質的に不可逆であり、したがって多くの場合、暗号化及び認証計算に使用される。公知のトランスポートレベルセキュリティ(TLS)プロトコルに用いる擬似ランダム関数(PRF)は、適用することができる決定関数の形態の一例である。
PRFでは、2つの公知のハッシュ関数、メッセージダイジェストアルゴリズム5(MD5)及びセキュアハッシュアルゴリズム1(SHA−1)の実行結果を組み合わせる。PRFでは、2つのハッシュ関数を用いて、誰かが2つのハッシュ関数のうちの一方のハッシュ関数を逆関数とする手順を導出しようとする場合にまさにセキュリティを保持する。これらの2つのハッシュ関数から、余りにも短すぎてセキュリティのためには最適とはならない出力群が生成される。SHA−1から20バイトの出力が生成され、そしてMD5から16バイトの出力が生成される。したがって、これらの2つのハッシュ関数の各ハッシュ関数に対応して、「データ展開関数(data expansion function)」を定義することができ、このデータ展開関数では、ハッシュ関数を用いて任意の長さの出力が生成される。SHA−1の場合、データ展開関数は、P_SHA−1として定義することができる:
方程式1:P_SHA−1(initial−security key, liveness)=SHA−1(initial−security key, A(1)+liveness)+SHA−1(initial−security key, A(2)+liveness)+SHA−1(initial−security key, A(3)+liveness)+...
式中、A(0)=liveness、
A(i)=SHA−1(initial−security key, A(i−1))の関係があり、符号「+」は、文字列連結を意味する。
データ展開関数P_MD5の定義は上記定義と同様であり、「MD5」を「SHA−1」が現われる全ての箇所に代入する。これらのデータ展開関数は、必要なだけ多くのステップ数だけ繰り返して、所望の長さの出力を生成することができる。所望の出力長は、実行オプションとして設定することができる。少なくとも1つの実施形態では、各ハッシュ関数に対応する所望の出力長は128バイトである。P_SHA−1は、140バイトの合計出力長に対応して、A(7)まで繰り返すことができる(繰り返しのたびに、出力長が20バイトずつ増える)。次に、出力を128バイトに切り詰めることができる。P_MD5を繰り返すたびに、16バイトが生成されるので、P_MD5をA(8)まで繰り返すと、所望の128バイトが切り詰めを行なうことなく生成される。
スポットビームに基づく認証を行なう1つの実施形態では、ハッシュ関数を選択し、そしてこれらのハッシュ関数のデータ展開関数を所望の出力長になるまで繰り返すと、PRF(擬似ランダム関数)に、入力群として、展開初期暗号鍵、ラベル(予め決定されたASCII文字列)、及び授受される生存情報が取り込まれる。PRF(擬似ランダム関数)は、2つのハッシュデータ展開関数、P_MD5及びP_SHA−1の出力のビット排他論理和(XOR)となるように定義される:
方程式2:PRF(expanded initial−security key, label, liveness)=P_MD5(S1, label+liveness)XOR P_SHA−1(S2, label+liveness)
式中、S1は、バイト単位で測定される展開初期暗号鍵の最初の半分であり、そしてS2は、展開初期暗号鍵の2番目の半分である。(展開初期暗号鍵の長さが奇数である場合、暗号鍵の中間バイトは、S1の最終バイト、及びS2の第1バイトの両方である)。P_MD5及びP_SHA−1を繰り返すと、128バイトの出力が生成されるので、PRFの出力も128バイトである。
PRFの128バイト出力を分割して、4つの32バイトセッション暗号鍵とする。次に、これらのセッション暗号鍵の各セッション暗号鍵を、使用される認証プロトコル及び暗号化プロトコルが必要とする長さに切り詰める。切り詰めた結果、新規の一時的セッション暗号鍵集合体の中の1つのセッション暗号鍵が得られる。これらの一時的セッション暗号鍵を導出することにより、送信元装置及びピア装置は共に、初期共通鍵(initial−secret key)又は展開初期暗号鍵の何れかを直接使用することがないので、暗号鍵情報の漏洩を最小限に抑える、又は少なくとも低減することができる。一時的セッション暗号鍵を導出することにより更に、送信元装置及びピア装置は、展開初期暗号鍵から生成されるセッション暗号鍵を、規則的な間隔で新たに生成することができるか、又は統計的分析をセッション暗号鍵の使用を制限することにより防止するように指示されるときに新たに生成することができる。
認証一時的セッション暗号鍵、及び暗号化一時的セッション暗号鍵の各セッション暗号鍵は、次の特定の目的:i)送信元装置からピア装置へのデータ授受時に機密保持のためにデータを暗号化する、ii)ピア装置から送信元装置へのデータ授受時に機密保持のためにデータを暗号化する、iii)送信元装置からピア装置へのデータ授受時に完全性保持のためにデータに署名する、iv)ピア装置から送信元装置へのデータ授受時に完全性保持のためにデータに署名するという目的を有する。
スポットビームに基づく認証を行なうために初期暗号鍵を導出する操作では、合意された公知の公開情報である原始根生成器「g」、及び原始多項式「p」を使用するDiffie−Hellman(ディフィーヘルマン)鍵共有法を使用することができる。送信元装置及びピア装置はそれぞれ、ランダムな秘密整数(secret integer)を選択し、これらの装置の該当する((g^(secret integer))mod p)を授受する。この授受によって送信元装置及びピア装置は、共有初期共通鍵を、Diffie−Hellman(ディフィーヘルマン)鍵共有法を使用して生成することができる。
送信元装置及びピア装置の両方の間で共有される初期共通鍵を生成すると、これらの装置は、データ展開を行なって展開初期共通鍵を、例えばP_SHA−1を使用して生成することができる。データ展開処理手順に関する生存情報は、送信元装置及びピア装置によって合意される既知のランダム値又はタイムスタンプとすることができる。幾つかの実施形態では、ピア装置は、ランダム値を選択し、そしてランダム値を送信元装置に、衛星又は地上ネットワークを介して送信することができる。別の構成として、送信元装置及びピア装置は共に、これらの装置が、時間的に厳密に同期しているので、タイムスタンプについて合意することができ、従って生存情報を共有/共通タイムスタンプ値から選択することができる状態を保ちながらデータ授受を回避することができる。
この後、送信元装置及びピア装置は、共有展開初期共通鍵を有するようになり、この共有展開初期共通鍵を使用して、新規の一時的セッション暗号鍵集合体を生成する。この場合も同じように、生存情報に関して、送信元装置及びピア装置は、ピア装置から送信される共有ランダム値、又は共有/共通タイムスタンプ値の何れかを使用することができる。これらの一時的セッション暗号鍵は、送信元装置及びピア装置が使用することにより、送信元装置とピア装置との間の地理的位置情報及び他の状況情報の授受の暗号化及び署名を更に行なうことができる。地理的位置情報及び状況情報は、機密情報であると考えられるので、このような情報を暗号化して、認証される送信元装置及びピア装置だけが確実に、授受される地理的位置情報及び状況情報を取り出すことができるようにすることが適切である。地理的位置情報は、本特許出願に記載される手順によって、擬似ランダム(PRN)コードセグメント及び特有のビームパラメータを使用して認証されることに留意されたい。共有される状況情報は、標的型サイバー攻撃防御アプリケーション実行システム又は意思決定サポートシステムに関する他の状態情報又は制御情報を含むことができる。暗号化の他に、授受される地理的位置情報及び状況情報の完全性は、一時的セッション暗号鍵を使用して、前に説明した署名を行なうことにより確保される。
簡単に概括すると、幾つかの実施形態では、本明細書において記載される認証システム及び方法において、ジオロケーション技術を活用して、認証要求者の位置を認証処理手順の一部として求めることができる。1つのこのようなジオロケーション技術が、本出願の出願人と同じ出願人に譲渡され、かつ同時係属中の「Geolocation Leveraging Spot Beam Overlap(地理的位置情報を活用したスポットビーム重なり)」と題する米国特許出願第12/756961号に記載されており、この米国特許出願の開示内容は、本明細書において参照されることにより、内容全体が本明細書に組み込まれる。認証を要求する場合、認証要求装置は、特有の署名パラメータを捕捉し、そして検証装置に送信することができる。更に、認証要求装置は、認証要求装置の要求移動経路(すなわち、経由地点(群)、及び各経由地点における時刻)を送信することができる。経由地点群は、装置が静止しているか、又は移動しているかに拘わらず伝えることができる。検証装置は、認証要求者の要求ビーム署名パラメータ群、少なくとも1つの経由地点、及びこの経由地点に関連する少なくとも1つの時刻、捕捉ビームパラメータを使用して認証要求者を認証することができる。例えば、認証要求者は、検証装置によって、少なくとも1つのスポットビーム及び少なくとも1つの要求経由地点から捕捉されるビームパラメータ群が、既知の有効なデータ集合と照合して本当であることが確認される場合に認証されると考えることができる。このようにして、認証要求者は、特定の時刻に或る領域内に位置しているものとして認証を受けることができる。これらのパラメータを利用する複合コードは、エミュレートする、ハッキングする、又はスプーフィングすることが極めて困難な信号となる。更に、信号構造、及び衛星からの受信信号電力によって認証を、屋内で、又は他の減衰環境において行なうことができる。これにより、このシステム手法の総合的な有効性を高めることができる。
本出願の主題は、イリジウム衛星によって実現される衛星のような低高度軌道周回(LEO)衛星に主として関連する内容として説明されている。しかしながら、この技術分野の当業者であれば、ここに説明される方法は、他の衛星システム、例えば中高度軌道周回(MEO)衛星システム、又は地球同期軌道(GEO)衛星システムに容易に適用することができることを理解できるであろう。このような衛星利用通信システムは、他の移動通信システム、例えば空中通信システムなどだけでなく、これらには限定されないが、船舶又は携帯電話塔を含む静止通信プラットフォームを含むことができる、又は利用することができる。
図11は、種々の実施形態による衛星利用通信システム600の模式図である。実際には、衛星利用通信システム600は、軌道上の少なくとも1つの衛星610により構成することができる。簡潔性を期して、衛星を1個だけ図11に示している。図11を参照するに、幾つかの実施形態では、システム600は、1つ以上の受信側装置620と通信する1つ以上の衛星610を含む。幾つかの実施形態では、これらの衛星610は、イリジウム衛星コンステレーション内の衛星のようなLEO衛星として具体的に設けることができる。衛星(群)610は地球を既知の周回軌道に沿って周回し、そして1つ以上のスポットビーム630を地球の表面に既知パターンとして放射することができる。各スポットビーム630は、擬似ランダム(PRN)データ及び1つ以上の特有のビームパラメータ群(例えば、時刻、衛星ID、時刻バイアス、衛星軌道データなど)のような情報を含むことができる。
受信側装置(群)620は、衛星電話機又は携帯電話機のような通信装置として、或いは通信装置又は計算装置の構成要素群、例えばパーソナルコンピュータ、ラップトップコンピュータ、携帯情報端末などとして実現することができる。幾つかの実施形態では、受信側装置(620)は、全地球測位システム(GPS)に接続して使用される装置に類似する1つ以上の位置特定装置又はナビゲーション装置、或いは1つ以上の位置特定モジュール又はナビゲーションモジュールを含むことができる。
図12A,12B,及び12Cは、種々の実施形態による衛星利用認証システム700の模式図である。図12Aをまず参照するに、幾つかの実施形態では、軌道上の衛星610は、1つ以上のスポットビーム630を地球の表面に放射する。受信側装置620は、信号をスポットビームから受信するように構成することができる。図12Aに示す実施形態では、受信側装置は、地上装置とすることができ、かつ減衰環境において動作することができる。一例として、屋根、建物などのような物体710は、衛星610と受信側装置との間の通信経路の一部の障害となる虞がある。
送信機720は、受信側装置620が受信するデータ、及び/又は受信側装置620が生成するデータを検証装置730に送信する。図12Aに示す送信機720は、受信側装置620からのデータを検証装置に中継する無線送信機である。しかしながら、この技術分野の当業者であれば、受信側装置620からのデータは、有線通信システム、無線通信システム、又は有線システム及び無線システムの組み合わせを介して送信することができることを理解できるであろう。検証装置730は、受信側装置620たスポットビームを介して捕捉するデータを使用して、検証装置730に対し、それが受信側装置が権限のあるユーザであることを、図12Bの事例でもある一方向認証方式をにより立証することができるようにする。
更に、図12Bは、受信側装置620を空中移動装置、例えば航空機625内の装置とすることができる機構を示している。図12Bに示す実施形態では、航空機625は、衛星610とのアップリンク、例えばL帯アップリンクを確立し続けることができ、そして航空機内の受信側装置620により捕捉されるデータは、衛星610にアップリンクを介して返信することができる。衛星610は、データを第2相互リンク衛星610に送信することができ、この第2相互リンク衛星610が今度は、データを検証装置730に送信することができる。
図12Cに示すシステムは、2つの(又は、それよりも多くの)ピア装置620が、双方向認証方法を実行して互いを認証することができる実施形態を示している。図12Cを簡単に参照するに、上に説明したように、軌道上の衛星610は、1つ以上のスポットビーム630を地球の表面に放射する。第1受信側装置620Aは、信号をスポットビームから受信するように構成することができる。第1受信側装置620Aは、暗号鍵を、例えばDiffie−Hellman(ディフィーヘルマン)鍵共有法を上に説明した通りに使用して生成するように構成することができ、このDiffie−Hellman鍵共有法では、PRNデータをスポットビームから取り込む。
PRNデータは第2装置620Bにも送信される。幾つかの実施形態では、第2装置620Bは、スポットビーム630の外側に位置することができ、この場合、PRNデータは、第2装置620Bに通信ネットワークを介して接続される計算装置740から送信することができる。計算装置740は、衛星610に通信可能に接続することができる。一例として、かつこれに限定されないが、計算装置740は、衛星610に通信リンクを介して個別に接続されるサーバとすることができる。コンピュータ740は、衛星610の制御ネットワークに接続することができるので、スポットビーム630に関連するPRNデータを保有することができる。
動作状態では、第1受信側装置620Aは、認証データのリクエストを開始し、このリクエストは、第2受信側装置620Bに送信される。第1受信側装置620Aと第2受信側装置620Bとの通信リンクは、直接通信リンクとすることができるか、又は送信ネットワーク720を介して確立することができる。第2受信側装置620Bは、リクエストに応答し、そして第1受信側装置620Aからの認証データについて、ほぼ同時にリクエストを出す。第1受信側装置620Aは、第2受信側装置620Bを認証し、そして認証データについてほぼ同時の応答を第2受信側装置620Bに対して出し、第2受信側装置620Bが次に、第1受信側装置620Aを認証することができる。
上に説明したように、第1受信側装置620Aと第2受信側装置620Bとの間で実施される認証処理手順は、Diffie−Hellman(ディフィーヘルマン)鍵交換方式とすることができ、このDiffie−Hellman鍵交換方式では、共有共通鍵が、スポットビーム630から送信されるPRNデータの少なくとも一部を含む。したがって、図12Cに示すシステムによって、受信側装置620A、620Bのピア間認証が可能になる。この技術分野の当業者であれば、この双方向認証方式は、受信側装置及びサーバだけでなく、他のハードウェア構造に、又は2つよりも多くの装置に拡張することができることを理解できるであろう。
図13Aは、計算システムの模式図であり、この計算システムは、衛星利用認証システムを種々の実施形態に従って実現するように適合させることができる。例えば、図12A及び12Bに示す実施形態では、検証装置730は、図13Aに示す計算システムにより実現することができる。図13Aを参照するに、1つの実施形態では、システム800は、計算装置808と、1つ以上の付随する入力/出力装置とを含むことができ、これらの入力/出力装置は、スクリーン804を有するディスプレイ802と、1つ以上のスピーカ806と、キーボード810と、1つ以上の他のI/O装置(群)812と、マウス814とを含む。他のI/O装置(群)812は、タッチスクリーン、音声作動入力装置、トラックボール、及び任意の他の装置を含むことができ、これらの構成要素によって、システム800は、入力をユーザから受信することができる。
計算装置808は、システムハードウェア820と、メモリ830とを含み、メモリ830は、ランダムアクセスメモリ及び/又はリードオンリメモリとして実現することができる。ファイルストア880は、計算装置808に通信可能に接続することができる。ファイルストア880は、計算装置808の内部に作成することができ、例えば1つ以上のハードドライブ、CD−ROMドライブ、DVD−ROMドライブ、又は他の種類の記憶装置に作成することができる。ファイルストア880は、コンピュータ808の外部に作成することもでき、例えば1つ以上の外部ハードドライブ、ネットワーク接続ストレージ、又は別体のストレージネットワークに作成することもできる。
システムハードウェア820は、1つ以上のプロセッサ822と、少なくとも2つのグラフィックプロセッサ824と、ネットワークインターフェース群826と、バス構造群828とを含むことができる。1つの実施形態では、プロセッサ822は、米国カリフォルニア州サンタクララにあるIntel Corporationから入手可能なIntel(登録商標)Core2 Duo(登録商標)プロセッサとして具体的に設けることができる。本明細書において使用されるように、「processor」という用語は、任意の種類の計算要素を意味し、これらの計算要素として、これらには限定されないが、マイクロプロセッサ、マイクロコントローラ、複雑命令セットコンピューティング(CISC)マイクロプロセッサ、縮小命令セット(RISC)マイクロプロセッサ、超長命令語(VLIW)マイクロプロセッサ、又は任意の他の種類のプロセッサ又は処理回路を挙げることができる。
グラフィックプロセッサ824は、グラフィック操作及び/又はビデオ操作を管理する付属プロセッサとして機能することができる。グラフィックプロセッサ824は、計算システム800のマザーボードに一体的に形成することができる、又は拡張スロットを介してマザーボードに接続することができる。
1つの実施形態では、ネットワークインターフェース826は、イーサネットインターフェース(例えば、米国電気電子学会/IEEE 802.3−2002を参照)のような有線インターフェースとするか、又はIEEE 802.11a,b対応インターフェース、或いはIEEE 802.11g対応インターフェース(例えば、情報技術−通信とシステム間の情報交換に関するIEEE規格−LAN(ローカルエリアネットワーク)/MAN(メトロポリタンエリアネットワーク)仕様要求−−パートII:無線LAN媒体アクセス制御(MAC)及び物理層(PHY)仕様書補正4:2.4GHz帯域における更に高いデータレート拡張に関して規定する802.11G−2003を参照)のような無線インターフェースとすることができる。無線インターフェースの別の例が、汎用パケット無線サービス(GPRS)インターフェース(例えば、2002年12月にGSM協会から発表されたモバイル通信のGPRS端末仕様、グローバルシステムに関するガイドライン3.0.1版を参照)である。
バス構造群828は、システムハードウェア820の種々の構成要素を接続する。1つの実施形態では、バス構造群828は、メモリバス、ペリフェラルバス、又は外部バス、及び/又は任意の多種多様な利用可能なバスアーキテクチャを使用するローカルバスを含む幾つかの種類のバス構造(群)のうちの1つ以上のバス構造とすることができ、これらのバスアーキテクチャは、これらには限定されないが、11ビットバス、工業規格アーキテクチャ(ISA)、マイクロチャネルアーキテクチャ(MSA)、拡張ISA(EISA)、インテリジェントドライブエレクトロニクス(IDE)、VESAローカルバス(VLB)、ペリフェラルコンポーネントインターコネクト(PCI)、ユニバーサルシリアルバス(USB)、アドバンストグラフィックスポート(AGP)、パーソナルコンピュータメモリカードインターナショナルアソーシエーション(PCMCIA)バス、及びスモールコンピュータシステムインターフェース(SCSI)を含む。
メモリ830は、計算装置808の動作を管理するオペレーティングシステム840を含むことができる。1つの実施形態では、オペレーティングシステム840は、システムハードウェア820とのインターフェースとなるハードウェアインターフェースモジュール854を含む。更に、オペレーティングシステム840は、計算装置808の動作に使用されるファイルを管理するファイルシステム850と、計算装置808で実行する処理手順を管理するプロセス制御サブシステム852とを含むことができる。
オペレーティングシステム840は、システムハードウェア820と連携動作して、データパケット群及び/又はデータストリーム群をリモートソースとの間で送受信することができる1つ以上の通信インターフェースを含む(又は、管理する)ことができる。オペレーティングシステム840は更に、オペレーティングシステム840とメモリ830に常駐する1つ以上のアプリケーションモジュールとの間のインターフェースとなるシステムコールインターフェースモジュール842を含むことができる。オペレーティングシステム840は、UNIXオペレーティングシステムとして、又はオペレーティングシステムのいずれかの派生オペレーティングシステム(例えば、Linux、Solaris,Berkeley Software Distribution(BSD),Androidなど)として、又はWindows(登録商標)商標オペレーティングシステムとして、或いは他のオペレーティングシステムとして具体化することができる。
種々の実施形態では、計算装置808は、パーソナルコンピュータ、ラップトップコンピュータ、携帯情報端末、携帯電話機、娯楽装置、又は別の計算装置として具体化することができる。
1つの実施形態では、メモリ830は、認証要求者を、認証要求者から受信するデータに基づいて認証する認証モジュール862を含む。1つの実施形態では、認証モジュール862は、非一時的コンピュータ可読媒体内で符号化される論理命令群を含むことができ、これらの論理命令がプロセッサ822によって実行されると、これらの論理命令によってプロセッサ822が、認証要求者を、認証要求者から受信するデータに基づいて認証するようになる。更に、メモリ830は、衛星軌道データベース864を備えることができ、この衛星軌道データベース864は、地球の周りの所定の軌道上の衛星610に関する軌道情報を含む。認証モジュール862が実施する認証処理手順及び操作についての更なる詳細を以下に説明する。
幾つかの実施形態では、受信側装置620は、従来の計算装置622(例えば、ラップトップ、PDA、又はスマートフォン装置)に接続されるように適合させた衛星通信モジュールとして実現することができる。受信側装置620は、計算装置622に、適切な通信接続を介して、例えばユニバーサルシリアルバス(USB)インターフェース、RS−232インターフェース、光インターフェースなどを介して接続することができる。図13Bに示す実施形態では、受信側装置620は、受信側装置が受信機を含み、かつ処理能力が限定されているという意味で「thin(シン)」デバイスとすることができ、例えば認証ルーチンを実行するように構成される特殊用途向け集積回路(ASIC)又はフィールドプログラマブルゲートアレイ(FPGA)とすることができる。
動作状態では、計算装置622のユーザは、受信側装置620を利用して、計算装置622をホストネットワーク890で認証させることができる。上に説明したように、図13Bに示す受信側装置620は、スポットビーム送信630を衛星610から受信することができ、このスポットビーム送信630は、特有のビーム署名及び擬似ランダム番号(PRN)を含む。計算装置622は、アクセスリクエストをホストネットワーク890に対して開始することができる。アクセスリクエストは、ユーザ固有情報を含むことができ、例えばユーザID、地球座標系(例えば、ジップコード、エリアコード、緯度/経度、ユニバーサル横メルカトル(UTM)、地球中心地球固定直交座標系(ECEF)、World Geographic Reference System(GEOREF(ジェオレフ)、又は他の種々雑多なシステム、例えばジップコード)に基づく1つ以上の座標情報、及び衛星610から受信するPRNデータの少なくとも一部を含むことができる。
ホストネットワーク890は、ユーザアクセスリクエストを検証装置730に、認証リクエストとして送信することができる。幾つかの実施形態では、ホストネットワークは、追加情報をリクエストに付加して、検証装置730がコンピュータ622を認証することができるようにする。一例として、ホストネットワーク890は、認証要求者を認証することができる場合に関して(すなわち、いずれの地理的位置から認証要求者が認証を要求しているかに関して)制限を課すことができる。検証装置730は、認証要求者を検証し、そして認証応答をホストネットワーク890に供給することができる。ホストネットワーク890が今度は、アクセス応答を計算装置622に転送することができる。
図14は、認証要求者を種々の実施形態に従って認証する方法の操作を示すフローチャートである。図14を参照するに、操作910では、認証要求装置は、認証要求装置の物理的位置を求める。幾つかの実施形態では、認証要求装置620は、認証要求装置620の位置を求める1つ以上の位置特定モジュールを備えることができる。一例として、かつこれに限定されないが、認証要求装置620は、全地球測位システム(GPS)モジュールを含むことにより、又は全地球測位システム(GPS)モジュールに通信可能に接続されることにより位置を、全地球測位システムからの信号に基づいて求めることができる。別の構成として、又は更に、認証要求装置620は、米国特許第7,489,926号、第7,372,400号、第7,579,987号、及び第7,468,696号のうちの1つ以上の特許文献に記載されているように、位置を1つ以上のLEO衛星又はMEO衛星610からの信号に基づいて求めるロジックを含むことができ、これらの特許文献の開示内容は、本明細書において参照されることにより、それぞれの特許文献の内容全体が本明細書に組み込まれる。幾つかの実施形態では、認証要求装置620の位置は、緯度/経度座標値で、又は別の地球座標系で表わすことができる。
操作915では、認証要求装置620は、スポットビーム送信を衛星610から受信する。幾つかの実施形態では、認証要求装置620は、1つ以上の特有のビームパラメータ(例えば、時刻、衛星ID、ビームID、時刻バイアス、衛星軌道データなど)を取り出し、これらの特有のビームパラメータは、衛星スポットビームから取り出される擬似ランダムコードセグメントを含む。幾つかの実施形態では、認証要求装置620は、これらのビームパラメータを、認証要求装置620内のメモリモジュールに格納するか、又は認証要求装置620に通信可能に接続されるメモリモジュールに格納することができる。1つ以上の実施形態では、操作915は、この操作915に先行する操作910と略同時に行なうことができる。
操作920では、認証要求装置620は、1つ以上の経由地点データスナップショットの生成を継続することができ、これらの経由地点データスナップショットは、操作910で導出される認証要求装置620に関する位置情報と、操作920に記載される、衛星スポットビームを介して送信される特有のビームパラメータ群のうちの1つ以上の特有のビームパラメータとを含むことができる。幾つかの実施形態では、これらの経由地点データスナップショットは、認証要求装置620内のメモリモジュールに、又は認証要求装置620に通信可能に接続されるメモリモジュールに格納することができる。
幾つかの実施形態では、認証要求装置620は、経由地点データスナップショット配列を経時的に収集することができる。例えば、経由地点データスナップショット配列は、スポットビームを、認証要求装置620の上方を通過する複数の衛星610から経時的に受信することにより作成することができる。別の構成として、又は更に、経由地点データスナップショット配列は、認証要求装置620を衛星群610に対して、例えば認証要求装置620を図12Bに示す航空機625内に収容して移動させることにより作成することができる。更に別の例は、危険な材料を含んでいる可能性があるエンティティ又は資産の移動ルートが正しいことを証明する追跡装置として機能する認証要求装置を含む。認証要求装置をポーリングして、認証要求装置から経由地点データを供給させることにより、予測経路が実際の経路と一致していることを検証することができる。認証要求装置をランダムにポーリングしてもよい。
操作920では、経由地点データスナップショット(群)を認証要求装置620から検証装置730に転送する。一例として、図12Aに示す実施形態では、経由地点データスナップショット(群)は、送信機720を経由して、又は別の通信ネットワークを介して送信することができる。図12Bに示す実施形態では、経由地点データスナップショット(群)は、航空機625から衛星610に送信することができ、次に衛星ネットワークを介して検証装置730に送信することができる。
操作925では、検証装置730は、位置データ及び経由地点データを認証要求装置620から受信する。操作930では、検証装置730は、位置情報及び経由地点データを、既知の有効データ集合に含まれる対応するデータと比較して、認証要求者を認証する。一例として、イリジウム衛星コンステレーションのようなLEO衛星は、地球を既知の軌道で周回し、この軌道の近似パラメータ群は事前に十分余裕をもって入手することができる。検証装置730は、衛星軌道データベース864を含むことができる、又は衛星軌道データベース864に通信可能に接続することができ、この衛星軌道データベース864は、地球の周りの既知の軌道にある衛星610に関する軌道情報を含む。
幾つかの実施形態では、認証要求装置から受信する位置データ及び経由地点データを、既知のデータ集合の位置データ及び経由地点データと比較して(操作930)、認証要求装置620が実際に、予測される地理的位置の適正な閾値距離内に、予測時刻に位置しているかどうかを判断する。一例として、かつ非限定的に、衛星軌道データベース864は、認証要求装置620から送信される特有のビームパラメータ群に対応するデータ記録について検索することができる。一致する記録が格納されている場合、軌道データベース864から取り出される記録の軌道データを、認証要求装置620から受信するデータと比較することができる。例えば、既知のデータは、スポットビーム630の中心に対応する座標値と、地球の表面に放射されるスポットビーム630の半径の指示値とを含むことができる。認証要求装置620から受信するこれらの座標値をスポットビームの位置と比較することにより、認証要求装置620がスポットビームの外周で描かれる領域内に、認証要求装置から受信するデータに指示される時刻に位置していることを受信データが示しているかどうかを判断することができる。少なくとも1つの実施形態では、スポットビームは不規則形状とすることができる。少なくとも1つの実施形態では、認証要求装置は、地球の表面の上方の或る高度に位置することができる。
操作935において、認証要求装置620から受信するデータが、認証要求装置620が、衛星610からのスポットビームの外周で囲まれる地理的領域内に、認証要求装置からのデータに指示される時刻に位置していることを示している場合、認証要求装置620は認証されると考えられる。認証システムでは、制御を次に、操作940に渡し、認証要求者は、リソースへのアクセスを許可される。一例として、かつ非限定的に、検証装置730は、被認証要求装置620に対して発行されるトークンを承認することができる。トークンは、リモートシステムが用いることにより、リソースへのアクセスを承認することができる。
これとは異なり、認証要求装置620から受信するデータが、認証要求装置620が、衛星610からのスポットビームの外周で囲まれる地理的領域内に、認証要求装置620からのデータに指示される時刻に位置していないことを示している場合、認証要求装置620は認証されないと考えられる。認証システムでは、制御を次に、操作945に渡し、そして認証要求者は、リソースへのアクセスを拒否される。一例として、かつ非限定的に、検証装置730は、被認証要求装置620に対して発行されるトークンを拒否することができる。トークンが発行されていない状態では、認証要求装置は、リモートシステムが管理するリソースへのアクセスを拒否される。
したがって、図11〜13に示すシステムアーキテクチャ、及び図14に示す方法によって、1つ以上の認証要求装置(群)620に対する衛星利用認証が可能になる。認証システムを用いて、リモート計算システムが管理する1つ以上のリソースへのアクセスを許可する、又は拒否することができる。幾つかの実施形態では、認証要求装置(群)を静止認証要求装置とすることができるのに対し、他の実施形態では、認証要求装置(群)は移動認証要求装置とすることができ、そして認証処理手順は、時刻認証処理手順、位置認証処理手順、又は時刻認証処理手順及び位置認証処理手順の両方を組み合わせた認証処理手順とすることができる。
幾つかの実施形態では、システムを用いて、認証要求装置(群)620がセッション全体に亘ってリソースを利用することが認証されるセッション単位認証を実行することができる。他の実施形態では、システムは、メッセージ単位認証を実行することができ、このメッセージ単位認証では、認証要求装置(群)620は、認証要求装置(群)620からリモートリソースに送信される各メッセージについて個別に認証される必要がある。
1つの例示的な実施形態では、本明細書において記載される認証システムを用いて、社内emailシステム、社内ネットワーク、軍隊又は民間インフラネットワーク、或いは電子バンキング装置のようなセキュア計算リソースへのアクセスの認証を行なうことができる。他の例示的な実施形態では、認証システムを用いて、物流システムにおける車両の配送計画を確認することができる。一例として、トラック、列車、船舶、又は航空機のような移動体は、1つ以上の認証要求装置(群)620を備えることができる。計画遂行業務の過程で、物流システムは、認証要求装置(群)620に定期的にポーリングすることができ、これらの認証要求装置620は、衛星610から取得される認証データに応答することができる。この認証データは、物流システムに収集され、認証要求装置(群)が、特定の位置に、かつ所定の時刻に物流計画に従って位置していることを確認するために使用される。
更に別の例では、本明細書において記載される認証システムの実施形態を用いて、監視システム、例えば自宅監禁監視システムに接続される認証要求装置(群)の位置が正しいことを証明することができる。このような実施形態では、認証要求装置(群)は、指紋生体認証センサのような1つ以上の生体認証センサを搭載して、システムのユーザを認証することができるのに対し、認証システムを用いて、認証要求装置が所定の位置に、かつ所定の時刻に位置している(すなわち、認証要求者が、正しい場所に、かつ正しい時刻に位置し、正しい人物である)ことを確認することができる。認証装置は更に、認証要求装置の位置を、所定リストの承認位置と照合して精査することができ、これらの承認位置は、認証システムによって、認証要求装置の位置及び時刻を、承認された期間(群)において承認された一連の位置(群)と照合して精査することにより更に微調整することもできる。更に、このシステムを用いて、登録性犯罪者を追跡することができる。
幾つかの実施形態では、衛星610は、地球を既知の軌道で周回し、かつ既知の幾何学形状を有するスポットビーム群を放射するイリジウムコンステレーションのようなLEO衛星システムの一部とすることができるので、認証要求装置(群)を、認証要求装置が、指定されたスポットビームの内部に、かつ指定された時刻に位置していることを確認することにより認証することができる。このように、認証要求者は、単一の信号発信源(例えば、単一の衛星610)を使用して認証される。また、イリジウムコンステレーションのようなLEO衛星群、及びMEO衛星群は、非常に高い電力の信号レベルを送信することができるので、システムを用いて、閉塞環境、例えば屋内に、又は都市地域に位置する1つ以上の認証要求装置(群)を認証することができる。また、LEO衛星群及びMEO衛星群の非常に高い信号強度によってこれらの信号を、妨害行為の影響を受け難い状態に保持することができる。
特定の例示的な実施形態及び方法を本明細書において開示してきたが、これまでの開示内容から、この技術分野の当業者であれば、このような実施形態及び方法の変更及び変形を、開示される技術の真の思想及び範囲から逸脱しない範囲で加えることができることが理解できる。各例が他の例とは軽微な点でしか異ならないような、開示される技術の多くの他の例が存在する。したがって、開示される技術は、添付の請求項、及び準拠法の規則及び原則が要求する範囲にのみ限定されるものとする。