本明細書に開示する方法及び装置は、コンテクストベースの仮想データ境界のための作動システムを提供する。詳細には、システムはデータセキュリティの改善に関する。具体的には、システムは、仮想境界を作成するコンテクストデータ閾値を割り当てることに基づいてデータのアクセシビリティを制限するために機能する、アクセス制御の改善に関連する。
幾つかの実施形態で、データへのアクセスは、許容されるアクセスの地理的領域により制限され得る。幾つかの実施形態で、データへのアクセスは、許容されるアクセスの規定持続期間により制限され得る。幾つかの実施形態で、データへのアクセスは人口集団のサブセットに制限され得、ここで人口集団のサブセットは少なくとも一人物を含む。幾つかの実施形態で、許容可能な地理的領域と許容可能な持続期間との組み合わせが、データへのアクセスを制限するために使用され得る。幾つかの実施形態で、許容可能な地理的領域と許容可能な持続時間との組み合わせが、人口集団のサブセットにおけるデータへのアクセスを制限するために使用され得る。幾つかの実施形態で、他のコンテクスト情報及び/又は先述した全ての基準(すなわち地理的領域、持続期間、及び人口集団のサブセット)の組み合わせに基づいて、データへのアクセスは制限され得る。
幾つかの実施形態で、データへアクセスしようとする一又は複数の要求者は、データへアクセスするための正当なニーズを伴い正当であり得る。一方、幾つかの実施形態で、データへアクセスしようとする一又は複数の要求者が悪意を伴って正当(すなわち不正ユーザ)であり得る。少なくとも一つの実施形態で、一又は複数の要求者は、データにアクセスしようとする正当な一又は複数のユーザでないこともあり得る。開示されるシステム及び方法は、データへのアクセスを制限することに代えて、許容可能な地理的領域、許容可能な持続期間、及び/又は、付加的なデータアクセス制御基準として能動的もしくは受動的に監視され得る他のコンテクスト上の情報の、容認可能な閾値の範囲に入る要求者に、上述のような方式でデータへのアクセスを提供するために使用され得ることに留意すべきである。
現在、日常的なビジネス及び社会的タスクにおいて電子システムがより深く根付くにつれ、サイバーセキュリティの重要性は益々増大している。大容量の重要なデータがネットワークシステムに記憶され、権限のない当事者によりアクセスされる場合には、迷惑から大惨事に至るまで様々な度合の社会的影響を有するであろう。
このような増大する電子システムへの依存と共に、国家ではサイバーテロの急激な増加を経験し、したがってネットワーク化されたコンピュータシステムを保護するための改善された方法が要求されている。サイバー攻撃はあまりにも日常的になり、商用及び軍事環境の双方における外的脅威によるネットワーク侵入の危険について、絶え間ない議論がもたらされている。
現行のアクセス制御手法は主に、静的パスワード又はパスワードとバッジクレデンシャル(badge credentials)とに基づく認証のいずれかに基づく。攻撃はしばしばエンドユーザになりすますことにより遂行され、組織は、ネットワーク脆弱性を軽減するためユーザ認証方法に注力する傾向にある。これらの手法は洗練された攻撃に対しては依然として脆弱であり、したがって、要求者の物理的位置など付加的なコンテクスト情報を活用した、データへのアクセス制御における新しいパラダイムに対する需要が高まってきた。
本発明の開示は概して、増大したデータセキュリティから恩恵を得ることのできる装置に関する。詳細には、本発明の開示は、下記のうちの少なくとも一つに基づいて仮想境界を作成する、コンテクストデータ閾値を割り当てることに基づいてデータのアクセシビリティを制限するために機能する、アクセス制御の改善に注力する:許容可能なアクセスの地理的領域、許容可能でないアクセスの地理的領域、許容可能なアクセスの持続期間、許容可能でないアクセスの持続期間、及び/又は、付加的なデータアクセス制御基準として、能動的又は受動的に監視され得る他のコンテクスト情報。
本発明の開示は、要求者が主張するとおりの者であること、及び、要求者が許容コンテクスト基準内でデータにアクセスしようとしていることを立証するための認証方法を利用し得る。これらの許容可能なコンテクスト基準は、下記の少なくとも一つを監視することにより決定され得る:要求者がデータにアクセスしようとするとき要求者は許容可能な地理的領域内に位置するかどうか、及び、要求者は許容可能な持続期間内にデータにアクセスしようとしているかどうか。要求者を認証するために利用され得る方法は、地理的位置(geolocation)ベースの認証、時間ベースの認証、パスワード、キーカード、スマートカード、ゴールドカード、及び/又は生体認証を含み得るが、これらに限定されない。
本発明の開示には少なくとも五つの主要な特徴が存在し、これらは詳細な説明においてさらに規定される。第1の特徴は、ユーザの物理的位置(すなわち位置ベースのデータ)などのコンテクスト閾値に基づいてデータへのアクセスを制御する方法を含む。位置ベースのデータに加えて、他のコンテクスト閾値が、下記の少なくとも一に基づくデータを基にすることもあり得る:アクセスの持続期間、アクセスの年、アクセスの日、データにアクセスする装置のタイプ、アクセスされるデータのタイプ、及びデータにアクセスする要求者のアイデンティティ。データは作成されるとき及び/又はネットワーク上で伝送されるときに暗号化され得る。データは、少なくとも一つのコンテクスト閾値を満たすことにより認証される装置によって解読され得る。例えば位置ベースのコンテクスト閾値の場合、データは、データにアクセスしようとするときある特定の許容可能な地理的領域内に位置する故に認証される要求者に関連付けられる装置によって、解読され得る。これらコンテクスト閾値は、データ作成者により、データの後続する所有者により、データの編集者により、データを作成する装置により、及び/又は、ネットワークデータアクセスポリシーの施行に基づいてネットワークを管理するネットワーク管理エンティティなどの他の当事者により、暗号化の時点で指定され得る。
第2の特徴は、暗号化されずにネットワークノード上に記憶され得るデータを含む。この特徴においてこれらデータは、コンテクスト閾値のうちの少なくとも一つを十分に満たすという認証を提供されたユーザによって、アクセスされ得る。
本開示の第3の特徴は、経時変化する暗号鍵/解読鍵を使用して暗号化されるデータを含む。この特徴において、暗号鍵/解読鍵は、計画されたローテーションスケジュールの部分として、オンデマンドで、及び/又は、変化の時間が疑似乱数もしくは有意(significant)乱数生成器に基づいて、変化し得る。これら暗号化されたデータはダウンロードされ得るが、正規の鍵なしには閲覧可能でない。要求者は例えば、認証サーバなどのホスティングノードからこのような鍵をリクエストしなければならない。しかしこのようなリクエストは、要求者がリクエストされた鍵を受信するよりも前に、要求されるコンテクスト閾値を満足することに成功したことを要求者が証明することを要求し得る。幾つかの実施形態で、このプロセスはオンデマンドであり得る。他の実施形態でこのプロセスは、装置における進行中の機能及び/又は通信プロトコルの部分であり得る。幾つかの実施形態では、進行中の認証鍵アクセス関連機能の部分として、装置は、許容データアクセス閾値の外にあると装置自身にフラグを立てることができ、又はネットワーク管理エンティティによってフラグを立てられることができる。
第4の特徴は、暗号化されずにネットワークノード上に記憶され得るが伝送時に暗号化されるデータを含む。この特徴において、データの解読を意図する要求者は、データが伝送された後幾らかの時間期間内に鍵をリクエストし、要求されるコンテクスト閾値を十分に満たすという証明を提供しなければならない。
第5の特徴は、携帯型記憶装置(例えばUSBドライブ、スマートフォン、PDA、又はセルラフォンなど)に記憶されるデータに関連し、これらは紛失しやすく、悪意を伴い故意に持ち去られもしくは盗まれやすいため、損害に対しより脆弱であり得る。このようなタイプの装置は他の非携帯型記憶装置と同様に作用することができるが、携帯型であるが故に、付加的なセキュリティレイヤを加えることが有益であろう。幾つかの実施形態で、携帯型メディア装置に記憶されたデータは、データへのアクセスを要求者に許可するよりも前に、要求者はデータにアクセスしようとするとき許容可能な地理的領域内に位置するという認証を、アクセスを得ようとする要求者が提供することを、要求し得る。少なくとも一つの実施形態で、装置は、要求者がデータにアクセスしようとするときに装置が許容可能な地理的領域の外に位置する場合、装置に存在するデータの少なくとも一部を削除し得る。代替的に、携帯型(すなわち可動な)装置は、データへのアクセスを提供する前に、装置自身の位置が許容可能な地理的領域内であることを装置が認証できることを要求し得る。少なくとも一つの実施形態で、装置は、識別される許容可能な持続期間内でない時間中に要求者がデータにアクセスしようとする場合、装置に存在するデータの少なくとも一部を削除し得る。幾つかの実施形態で、記憶装置は、要求者がデータに対するアクセスを有することを許可するよりも前に、記録の名簿を参照することによって、要求者が依然として活動的(すなわちデータに対するアクセスを有し得る正当なユーザ)であることを確認し得る。しかしながら、繰り返すが、開示されるシステム及び方法は、データを制限することに代えて、許容可能な地理的領域、許容可能な持続期間、及び/又は、付加的なデータアクセス制御基準として、能動的もしくは受動的に監視され得る他のコンテクスト上の情報の、容認可能な閾値の範囲に入る要求者に、上述のような方式でデータへのアクセスを提供するため、使用され得ることに留意すべきである。
下記の説明には、システムのさらに徹底した説明を提供するため、複数の詳細事項が記載されている。しかしながら、開示されたシステムがこれら具体的な詳細事項なしで実施可能であることは、当業者には明らかであろう。その他の場合では、システムを不要に分かりにくくしないよう、よく知られる特徴については詳細に説明していない。
上述のように、種々の実施形態による方法、システム、及び装置は、データセキュリティの改善のために開示される。具体的には、本発明は、正当でないデータ要求者によるアクセスを制限するよう機能するデータアクセス制御の改善に注力し、これによりデータの正当なユーザにのみアクセスを提供する。このことは、本発明において、仮想境界を作成するコンテクストデータ閾値を割り当てることにより行われ、ここではコンテクスト閾値を十分に満たす要求者のみが仮想境界内でデータへのアクセスを許可される。本発明の主な意図は、正当なユーザのみがデータへのアクセスを有するよう、並びに、正当でない要求者が直接的に及び/又は非直接的にデータに危害を加える、データが存在するネットワークに危害を加える、データのユーザに危害を加える、又は他の方式で危害を加えることができないよう、データを保障することである。このことは、本発明によりコンテクストデータに基づいて要求者を認証する方法を提供することによって行われる。
幾つかの実施形態で、データアクセスは、許容されるアクシビリティの規定の地理的領域により制限され得る。代替的に、データアクセスは、許容されないアクシビリティの規定の地理的領域により制限され得る。幾つかの実施形態で、データアクセスは、許容されるアクセシビリティの規定持続期間(例えば、持続期間における開始時間及び停止時間が規定される)によって制限され得る。代替的に、データアクセスは、許容されないアクシビリティの規定持続期間により制限され得る。幾つかの実施形態で、データアクセスは許容されるアクセシビリティの人口集団のサブセットにより制限され得、ここで人口集団のサブセットは少なくとも一人物を含む。代替的に、データアクセスは許容されないアクセシビリティの人口集団のサブセットにより制限され得、ここで人口集団のサブセットは少なくとも一人物を含む。幾つかの実施形態で、データでのアクセスを制限するために、許容可能な地理的領域、許容可能でない地理的領域、許容可能な持続期間、許容可能でない持続期間、人口集団のサブセットによる許容されるアクセシビリティ、及び/又は人口集団のサブセットによる許容されないアクセシビリティ、の組み合わせが使用され得る。
幾つかの実施形態で、データのアクセシビリティを制限するために、他のコンテクスト情報及び/又は全ての先述した情報のタイプ(すなわち規定の地理的領域、持続期間、人口集団のサブセット)の組み合わせに基づいて、アクセスは制限され得る。特定の実施形態内で、コンテクスト情報は様々な因子に基づくことができ、これらは、要求者のアイデンティティ、要求者の一又は複数の装置のうち少なくとも一つ、要求者がアクセスを得ようとするデータ、要求者がアクセスしようとするデータが位置するノード、要求者の装置と所望のデータを含むノードとの間の接続子、及びデータが全体として存在するネットワークなどである。例えば、データアクセスを制限するために使用され得る何らかのコンテクスト情報は下記を含み得るがこれらに限定されない:そこからデータがアクセスされる位置、アクセスの時刻、アクセスの曜日、要求者のビジネス労働日、要求者の職務権限、特定の要求者により所与のセッションにおいてアクセスされたデータの量、所与の1日に要求者がログインしたセッションの数、及びデータにアクセスしようとする装置のタイプ。
幾つかの実施形態で、データ暗号化は位置センシティブであり、したがってその使用は、要求するユーザ(すなわち要求者)が許容可能な地理的領域内に位置するかどうかに基づく。要求者にデータへのアクセスを許可することよりも前に要求者の(すなわちエンドユーザの)物理的位置を認証することによって、データのセキュリティは改善されることができ、ここでデータは、データへアクセスしようとするとき許容可能な地理的領域内に位置するという認証を提供できるエンティティ(又は要求者)によってのみ解読される。例えば、アメリカ合衆国の幾つかの州においては、医療記録及び幾つかの政府文書をその州の外から閲覧することを法的に許可していない。同様に、エンドユーザが許容可能な地理的領域内に位置しない限り、又は逆に、所定の物理的位置の外(すなわち外国)に位置しない限り、国家安全保障に関連する文書が閲覧されないことを保証することが望まれるかも知れない。国際交通軍事規制(ITAR)による規制には、地理的に決定されるアクセスの他の潜在的な応用が含まれる。
アクセスを制限することに代えて、本発明は、データへアクセスしようとするとき許容可能な地理的領域内に位置するという閾値、許容可能な持続期間内にデータへアクセスしようとするという閾値、及び/又は、付加的なデータアクセス制御基準として監視され得る他のコンテクスト情報の閾値といった容認可能な閾値の範囲内にある要求者に対して、上述に特定されるような方式でアクセスを提供するために使用され得ることに留意すべきである。これは、地理的領域、持続期間、及び/又は他のコンテクスト情報に関連する閾値などの、容認可能なアクセス制御閾値を満たすことを示した要求者によってのみ、データがアクセス可能であるということを意味する。少なくとも一つの実施形態で、データのアクセシビリティは、認証された要求者にデータの閲覧を許可することを指す。少なくとも一つの実施形態で、データのアクセシビリティは、認証された要求者にデータをコピーすることを許可することを指す。少なくとも一つの実施形態で、データのアクセシビリティは、認証された要求者にデータを編集することを許可することを指す。データアクセス制御に関連付けられる機能(例えば、機能はファイルの削除及びファイルの作成を含み得る)のアレイに、アクセシビリティの尺度が割り当てられ得、さらに、アクセシビリティの尺度はネットワークポリシー及び/又はデータにアクセスしようとするとき要求者が使用している装置のタイプに依存し得ることが明らかであろう。
幾つかの実施形態で、要求者はデータへのアクセスに対する正当なニーズを伴って正当であり得る一方、他の実施形態では、要求者は悪意を伴って正当(すなわち不正ユーザ)であり得る。他の実施形態で、要求者は、データへアクセスしようとするとき許容可能でない地理的領域内に位置する正当な要求者であり得る。さらなる実施形態で、要求者は、非正当な又は正当な手段を介してデータへのアクセスを得ようとする、正当なユーザではないことがあり得る。
本発明は、このシステムの要素を検証するために認証方法を利用し、システムの要素は、要求者がデータにアクセスしようとするために使用している要求者に関連付けられる少なくとも一つの装置を含む。一又は複数の実施形態で、この装置は、データを作成するために使用された装置(例えばラップトップなどのパーソナルコンピュータ装置)、デスクトップコンピュータ、携帯情報端末(PDA)、セルラフォン、スマートフォン、並びに/又は、サーバ及び/もしくはパーソナルコンピュータ装置(例えばラップトップ、デスクトップ、PDA、セルラフォン、外部ハードドライブ、ユニバーサルシリアルバス(USB)及び他の携帯型記憶装置)などの、記憶が可能な装置であり得る。付加的に、システムは、ネットワーク管理エンティティ関連装置などの、データアクセス制御プロセスにおいて支援のために使用され得る任意の第三者装置を含み得、これらはサーバ又はそのような他のハードウェアを含み得る。
少なくとも一つの実施形態で、実現される装置におけるデータは、ファイルが作成されるときに暗号化される。幾つかの実施形態で、データ暗号化は、データが作成された装置、データが記憶された装置、及び/又はデータがそれを介して伝送される装置、のタイプに特有であり得る。少なくとも一つの実施形態で、データ(例えばデータファイル)の作成者は、データに対する暗号化ポリシーを管理し得る。他の実施形態で、データはネットワーク上で伝送されるときに暗号化され、暗号化ポリシーはネットワーク管理エンティティによって管理され得る。他の実施形態で、他の第三者エンティティが暗号化ポリシーを管理し得る。
幾つかの実施形態で、携帯型メディア装置に記憶されるデータは、データへのアクセスを得ようとする要求者が許容可能な地理的領域内に位置するという認証を要求者が提供することを、要求者にデータへのアクセスを許可するよりも前に要求し得る。少なくとも一つの実施形態で、装置は、データが存在する装置が許容可能な地理的領域の外に位置する場合、装置に存在するデータの少なくとも一部を削除し得る。少なくとも一つの実施形態で、装置は、規定の持続期間内にデータが装置によってアクセスされない場合、装置に存在するデータの少なくとも一部を削除し得る。
幾つかの実施形態で、ネットワークユーザは、人口集団の一サブセットのみが閲覧することを意図される、専有的な技術的内容、競争上の機密情報、商行為、ビジネス戦略、及び/又は人材情報(例えば社会保障番号及びクリアランスステータス(clearance statuses))などの高度な機密情報などの機密情報を、携帯型記憶装置上にダウンロードし得る。一例では、ユーザは専有情報を包含する外部ハードドライブ装置を、彼又は彼女の以前の雇用主から自宅へと積極的に持ち帰る。ユーザ(すなわち以前の従業員)が自宅からデータにアクセスしようとすると、装置は装置の地理的位置を確認しようとする。このユーザはもはや企業の従業員としてシステム内にないため、以前は職務を行うためそこからデータにアクセスする容認可能な位置であったであろう彼又は彼女の自宅位置は、もはやシステムにおいて活動的な容認可能な位置ではなく、したがって、ハードドライブ装置のデータはこのユーザによってアクセス可能ではない。付加的に、この個人に対してデータへのアクセスをより困難にするための、さらなる対策(例えば、初期の検証が失敗した場合他のレベルの認証が要求される)が実装されることができる。これらさらなる対策は、ユーザがデータにアクセスすることができるよう管理者が装置をロック解除する必要性、及び/又はデータ全体の削除を含み得る。これらのポリシーは、次いでポリシー施行を支援する装置において、ネットワーク管理者によって設定され得る。
要求者を認証するために活用され得る方法は、位置(すなわち地理ベースの)認証及び/又は時間ベースの認証を含み得るが、これらに限定されない。非正当な要求者がデータへのアクセスを得る恐れを低減するために使用され得る付加的な方法は、パスワード、スマートカード、キーカード、及び/又は生体認証を含み得る。要求者の位置を認証するために本発明において好ましい方法は、宇宙衛星信号の利用を介してであるが、他の地上ベース又は他の位置決定手段が使用され得ることは明らかであろう。少なくとも一つの実施形態で、衛星信号は、少なくとも一つの全地球測位システム(GPS)衛星、少なくとも一つの全地球測位航法衛星システム(GLONASS)衛星、少なくとも一つのガリレオ衛星、少なくとも一つの北斗(COMPASS)導航衛星、及び/又は、少なくとも一つのグローバルスター衛星のうちの少なくとも一つから来ることができる。例えば、要求者は、スポットビームベース認証及び/又はガードスポットビームベース認証を含むがこれらに限定されない、様々な衛星ジオロケーション技術によって認証され得る。このような認証方法は、要求者が名乗るとおりの者であること及び要求者が許容可能なコンテクスト基準内にあることを保証する助けとなることができる。このコンテクスト基準は、ユーザが許容可能な地理的領域内に位置すること及び/又はユーザが許容可能な持続期間内にデータにアクセスすることを含み得る。
少なくとも一つの実施形態で、要求者及び/又は承認者(例えば承認装置)は、ピアツーピア認証方法を介して認証され得る。他の実施形態で、要求者及び/又は承認者は、スポットビームベース認証においてなされるように、認証サーバなどの第三者を介して認証され得る。
少なくとも一つの実施形態で、データへのアクセスを一つのコンピューティングセッション全体において要求者に許可するため、要求者に対する認証が提供され得る。一方、他の実施形態では、特定のアプリケーション及び/又はファイルのみへのアクセスを要求者に許可するため、要求者に対する認証が提供され得る。幾つかの実施形態で、アクセスは閲覧ごとベースで提供され得る。幾つかの実施形態で、アクセスは時間ベースで提供され得る。幾つかの実施形態でアクセス特権は、データの作成者、データの所有者、及び/又はネットワーク管理エンティティによって規定され得るが、これらに限定されない。少なくとも一つの実施形態で、データの所有者である承認者は、要求者にデータを閲覧する許可を与えるために、要求者に対して許容アクセスを提供する。
幾つかの実施形態で、データへのアクセスを所与の時間期間だけ要求者に許可するため、要求者に対する認証が提供され得る。例えば、データへのアクセス供与は、患者の検査結果の閲覧をある医師が望んでいるということがその患者に知らされ、患者はセキュアなウェブサイトへログインして認証され(例えば患者は自身の位置を立証されることにより認証され得る)、患者はデータアクセスを、規定の許容可能な地理的領域に位置する医師へと、ある時間期間だけ供与するということを含むことができる。少なくとも一つの実施形態で、ネットワーク管理エンティティは暗号化ポリシー/プロトコルを管理し得、ネットワーク管理エンティティが、要求者がデータへのアクセスを許容されるときに位置すべき、要求者に対する容認可能な位置を識別することを含み得る。少なくとも一つの実施形態で、データアクセシビリティは、ネットワーク管理又は作成者暗号化ポリシー/プロトコルを用いて、持続期間により制限され得る。
幾つかの実施形態で、データアクセス制御に関連するログを作成することによりセキュリティがさらに高度になり得、ログは、どのユーザがいかなるデータにアクセスしたかに関する情報、ユーザがどこに位置していたかに関する情報、ユーザがいつデータにアクセスしたかに関する情報、及び/又はデータへのアクセスにいかなるタイプの装置が使用されたかに関する情報を含み得る。幾つかの実施形態で、いつアクセスが制限されたかと対比していつアクセスが供与されたか、に関する情報に関連するデータをログすることにより、セキュリティがやはりさらに高度になり得る。
図1Aは、本発明の少なくとも一つの実施形態による、要求者を認証するために衛星ジオロケーション技術を利用した、データアクセス制御を改善するための開示されるシステムの概略図100である。要求者によってアクセスを望まれるデータは、サーバ105に記憶されている。仮想データ境界110も示される。ユーザがサーバ105上のデータにアクセスするには、要求者及び/又は要求者の装置115が仮想データ境界110内にあることを認証するために、コンテクスト基準閾値が満たされなければならない。
一又は複数の実施形態で、要求者のユーザ装置(例えばスマートフォン)115の物理的位置を認証するために、衛星ベースのジオロケーション技術が、本開示のシステム及び方法によって使用される。これら実施形態で、装置115に対する認証に使用される少なくとも一つの信号125の伝送に、衛星120が使用される。一又は複数の実施形態で、衛星120に対しLEOイリジウム衛星が使用される。本開示のシステム及び方法によって異なるタイプの衛星ジオロケーション技術が用いられ得る。図9から図12の記載を含む本開示のスポットビームベース認証の部分は、本開示のシステム及び方法によって使用され得る衛星ジオロケーション技術の一例(すなわちスポットビームベースの認証)について議論する。さらに、図13から図19の記載を含む本開示のガードスポットビームベース認証の部分は、本開示のシステム及び方法によって使用され得る衛星ジオロケーション技術の別の例(すなわちガードスポットビームベースの認証)について議論する。
図1Aにおいて、衛星120から要求者の装置115へと幾つかのスポットビーム130が伝送されることが示される。少なくとも一つの実施形態で、一つ以上の信号125は、認証技術のさらなる支援のために、特有のパラメータ及び/又は疑似乱数(PRN)もしくは真正乱数(RN)のコードを含む。次いでこの情報は、要求者の物理的位置をサーバ105に対して認証するために使用され得る。コンテクストデータに割り当てられた閾値基準を満たすことに成功する(例えば、要求者がデータアクセスの許容可能な地理的領域内に位置する)と、要求者はデータへのアクセスを供与される。
この例で、地理的位置データはコンテクストデータの少なくとも一部である。閾値基準は、要求者が、例えばあるビジネスの場から識別される近位内に位置することを要求し得る。この基準は、要求者がデータにアクセスするための許容可能な地理域内に位置することに関連する。例えば、要求者がビジネスの場又は(要求者の自宅がデータにアクセスするための許容可能な地理域であるとされる場合は)自宅に位置する場合に、要求者は基準を満足し得るが、両方に位置する場合ではないことが明らかであり、これは単一の要求者が同時に二つの位置に物理的に位置することは可能でありえないからである。
図1Bは、本発明の少なくとも一つの実施形態による、データアクセス制御を改善するための開示される方法150のフロー図である。方法150の開始時155、少なくとも一つの閾値が少なくとも一つのコンテクスト基準に割り当てられる160。受信機は要求者からのコンテクスト情報を受信する165。要求者からのコンテクスト情報が受信された後、少なくとも一つのプロセッサは、要求者からのコンテクスト情報が少なくとも一つのコンテクスト基準に対する少なくとも一つの閾値を満たすかどうかを決定する170。認証装置に位置し得る少なくとも一つのプロセッサは、要求者からのコンテクスト情報が少なくとも一つのコンテクスト基準に対する少なくとも一つの閾値を満たす場合に、要求者を認証する175。要求者が認証される場合、サーバなどのデータ記憶装置に位置し得る少なくとも一つのプロセッサは、要求者にデータへのアクセスを許可する180。
幾つかの実施形態で、要求者が認証される場合、少なくとも一つのプロセッサは要求者に、閲覧されるデータの少なくとも一部を包含するファイルを供給することによって、及び/又は、閲覧されるデータの少なくとも一部を含むウェブページへのリンクを供給することによって、データの少なくとも一部への閲覧アクセスを提供する185。幾つかの実施形態で、少なくとも一つのプロセッサは、要求者からのコンテクスト情報の少なくとも一部を、メモリ及び/又はデータベースなどのデータ記憶領域にログする190。次いで方法150は終了する195。
幾つかの実施形態では、開示される方法150に対する上述のステップが異なる順序で実施され得ることに留意すべきである。幾つかの実施形態では、開示される方法150に対して、上述のステップよりも多い又は少ないステップが実施され得ることにも留意すべきである。
図2は、本発明の少なくとも一つの実施形態による、データアクセス制御を改善するための開示されるシステム200の概略図であり、ここでコンテクスト基準は、許容される地理的領域210及び許容されない地理的領域220を含む。この図では、国際交通軍事規制(ITAR)関連のデータに関連するアクセス制御のための、仮想データ境界に対する二つのコンテクスト閾値の例が規定されている。境界が機能することに対して両方の閾値が要求されるわけではない一方、これら許容可能性閾値の両タイプ(すなわち許容可能性地理的領域210及び非許容可能性地理的領域220)の組み合わせが、実際の応用で有用性を見出し得ることは明らかであるということに留意すべきである。
この図では、データ閾値1 210とされる第1の閾値が、国際交通軍事規制(ITAR)で制限されるデータへのアクセスを得ようとする何者か(すなわち要求者)がデータにアクセスするためには、アメリカ合衆国本土(CONUS)内に物理的に位置しなければならないと要求する閾値を提供する。この図ではアメリカ合衆国本土が許容可能な地理的領域でありしたがってデータはアメリカ合衆国全体に渡りアクセスされ得る一方、要求者が適切な国籍を有するかどうか(すなわち要求者がアメリカ合衆国国民であるかどうか)、及び、要求者がデータを知る必要があるかどうか(例えば要求者が職務遂行ためにデータを知る必要があるというように、データの内容が要求者の職務権限に関連する)などの、付加的なコンテクスト閾値が確立されることもあり得るということに留意されたい。
あるいは、データ閾値2 220はコンテクスト閾値を開発する代替的方式である。この代替的閾値において、アメリカ合衆国の外に物理的に位置する何者かはデータにアクセスできない。実際の実装においては、海洋などの水域もこの閾値(すなわち仮想データ境界220)内に含まれ得ることに留意すべきである。付け加えれば、この例は非常に明快とは言えないかも知れないが、これは開示されるシステム及び方法の基礎を概説するにあたり単純化のために記載されているということが明らかである。
図1A及び図2は単純化した実施形態を表す一方、開示されるシステム及び方法が、コンテクスト基準に対する複数の閾値を伴いどのように実施できるかの付加的な例を提供することが重要である。そのような例の1つを図3A〜図4Dに示す。
図3Aは、本発明の少なくとも一つの実施形態による、データアクセス制御を改善するための開示されるシステム300の概略図であり、ここでコンテクスト基準は、企業データにアクセスするための許容される地理的領域及び許容される持続期間を含む。この例で、企業の従業員(すなわち要求者)は、従業員の労働施設310に位置するデスクトップコンピュータ320と従業員の自宅(図示せず)に位置するラップトップコンピュータ(図示せず)との両方を有する。従業員の企業は、従業員のオンサイトである労働施設位置310とオフサイトである自宅位置との両方に対して、コンテクストデータ仮想境界305、405を実装している。付加的に、従業員の企業は時間に関連するコンテクスト基準を実装しており、ここで従業員は、従業員がそこからデータにアクセスしようとする位置に応じて1日の特定の持続期間中のみ、データへのアクセスを有する。従業員が認証されてこれによりデータへのアクセスを得るためには、すべての閾値(すなわち位置ベースの閾値及び時間ベースの閾値)が満たされなければならない。
図3Aでは、ある従業員(すなわち要求者)が、要求者のオンサイトのデスクトップコンピュータ320を介してサーバ330上のデータへのアクセスを得ることを望む。デスクトップコンピュータ320は一般的に一つの場所に留まる(すなわち可動でない)装置であるとされるため、位置に関連する基準は、デスクトップコンピュータ320がそのオンサイト位置(すなわち労働施設310)からのみデータにアクセスできることを要求する。デスクトップコンピュータ320がその労働施設位置310以外の位置からデータにアクセスしようとする場合、要求者はデータへのアクセスを提供されない。このコンテクスト基準はネットワーク管理ポリシーを介して実装される可能性がある。このシナリオでは、従業員の位置は衛星ジオロケーション技術を介して認証され得る。
同様に、時間に関連する基準は、従業員がデータへのアクセスを、労働施設310における従業員の通常の労働時間中に従業員のデスクトップコンピュータ320を介してのみ有することを要求し得る。例えば、従業員は労働施設310において平日の午前9時から午後5時の労働時間スケジュールを有し得る。したがって、時間に関連する閾値は、従業員にデータへのアクセスを、休日を除く月曜日から金曜日の午前9時から午後5時の時間中に従業員のデスクトップコンピュータ320を介してのみ許可し得る。時間に関連する基準は、ネットワーク管理エンティティによってポリシーの形態で確立され得、ここでネットワークは、従業員がこれら許容可能な持続期間外にデータにアクセスしようとする場合、データへのアクセスを供与しない。
図3Bは、本発明の少なくとも一つの実施形態による、図3Aに示すシステムのコンテクスト基準に対する閾値を要求者が満たすための可能な組み合わせを示すマトリクス340である。この図でマトリクス340は、従業員がデータへアクセスしようとするときに起こり得る四つの可能な組み合わせを示す。四つの可能な組み合わせのうちの一つである組み合わせ350は、従業員がデータへアクセスしようとするとき、従業員が許容可能な地理的領域内に位置し且つ従業員が許容可能な時間期間中にデータにアクセスしようとするときに起こる。この組み合わせが起こるとき、従業員はデータへのアクセスを供与される。別の可能な組み合わせである組み合わせ360は、従業員がデータへアクセスしようとするとき、従業員が許容可能な地理的領域内に位置し且つ従業員が許容可能でない時間期間中にデータにアクセスしようとするときに起こる。この組み合わせが起こるとき、閾値の両方が満たされたのではないため、従業員はデータへのアクセスを供与されない。この場合、許容可能でない時間期間に基づいて従業員にアクセスを供与しない代わりに、付加的な認証及び/又は認証ポリシーが適用され得るということに留意することが重要である。例えば、要求者は、自身の通常の時間外で労働するための特別な承認を受けるため、自身又は職務を認証するために付加的な情報を提供することが必要であり得る。代替的な例では、要求者に限られた量のデータのみが提供され得る。これにより、悪意ある従業員が、その不正な行動を同僚や警備員にさらさないことがより容易である通常労働時間外に、データへアクセスする能力を低減させることができる。
別の可能な組み合わせである組み合わせ370は、従業員がデータへアクセスしようとするとき、従業員が許容可能な地理的領域内に位置せず且つ従業員が許容可能な時間期間中にデータにアクセスしようとするときに起こる。この組み合わせが起こるとき、従業員はデータへのアクセスを供与されない。さらなる別の可能な組み合わせである組み合わせ380は、従業員がデータへアクセスしようとするとき、従業員が許容可能な地理的領域内に位置せず且つ従業員が許容可能でない時間期間中にデータにアクセスしようとするときに起こる。この組み合わせが起こるとき、従業員はデータへのアクセスを供与されない。
図4Aは、本発明の少なくとも一つの実施形態による、データアクセス制御を改善するための開示されるシステムの概略図及び関連する閾値マトリクスであり、ここでコンテクスト基準は、労働施設400に関連する許容される地理的領域及び許容される持続期間を含む。図4Bは、本発明の少なくとも一つの実施形態による、データアクセス制御を改善するための開示されるシステムの概略図及び関連する閾値マトリクスであり、ここでコンテクスト基準は、従業員の自宅410に関連する許容される地理的領域及び許容される持続期間を含む。図4Cは、本発明の少なくとも一つの実施形態による、図4Bの従業員の自宅410の位置に関連して図4Aの労働施設400の位置を示す、道路地図の一例420である。
これらの図で、図3Aと同じ従業員は、労働施設400にオンサイトである研究室で使用するラップトップコンピュータ430を有する。従業員は時折、タスクを完遂するためにラップトップコンピュータ430を自宅410にも持ち込む。装置は、どこで及びいつデータにアクセスしようとするかなど他のコンテクスト情報に応じて様々に作動するアクセス制御設定を有し得るため、これは仮想データ境界が装置に依存し得る理由の明快な例である。 例えば、企業ネットワーク又はサーバ440にアクセスするために、従業員の自宅位置410から、従業員の通常労働時間外である時間中に、従業員がラップトップコンピュータ430を使用する(すなわち、従業員に割り当てられた労働施設400における労働時間以外の時間中にデータにアクセスする)ことが、従業員に対して容認可能であり得る。しかしながら、代替的に、同じコンテクストパラメータ内でデータにアクセスしようとする(すなわち、従業員に割り当てられた労働施設400における労働時間以外の時間中にデータにアクセスする)ために、労働施設400における自身のデスクトップコンピュータ(図示せず)を使用することは、従業員に対して容認可能でないかも知れない。
図4Dは、本発明の少なくとも一つの実施形態による、現在の従業員及び過去の従業員に対して起こり得る様々な閾値シナリオを示すベン図450、460である。この図で、図3A〜4Cと同じ従業員が、自身のラップトップコンピュータ(図示せず)を介して、自身に割り当てられた労働時間中に労働施設の自身の研究室において、データにアクセスしようとしている。要求されるすべての閾値を満たすことに成功したため従業員は認証され、左のベン図450における影付き領域470により示される。この図では示されないが、従業員の自宅に位置する際のラップトップコンピュータのデータアクセス能力に関連付けられる、アクセスの許容可能な位置及び日時の、同様の領域が存在する。従業員の自宅からラップトップコンピュータを介してデータへアクセスするこれら許容可能な時間は、従業員に割り当てられた労働施設の自身の研究室での労働時間に重なる又は重ならないかも知れない。ラップトップコンピュータが従業員の自宅からデータにアクセスし、これと同時にラップトップコンピュータが労働施設からデータにアクセスすることは可能でないということに留意されたい。
この例で、後に、同じ従業員が企業から解雇される。従業員は、新しい潜在的な雇用者の気を引くために、自身の過去分析のうちの一つから何らかの専有データの使用を試みることを決意する。専有データは従業員のラップトップコンピュータに存在する。従業員が解雇された後、この従業員のデスクトップコンピュータはそのオフィスから取り除かれ、この従業員の企業ネットワーク及び一又は複数のサーバに対する全体的なアクセス特権は取り消された。しかしながら、従業員はそのラップトップコンピュータを企業に返却せず、解雇の時点でラップトップコンピュータはこの従業員の車の中にあった。解雇された後、従業員は帰宅し直ちにそのラップトップコンピュータによってデータにアクセスしようとする。しかしながら、従業員がそのラップトップコンピュータによってデータにアクセスしようとすると、従業員は、企業の許容可能な名簿に容認可能な要求者としてもはやリストされていないため、認証されることができない。この理由のため、データへのアクセスは拒否される。右のベン図460に示されるように、この例では、その他の容認可能な閾値は満たされていると想定される。しかしながら、潜在的な実際上のシナリオでは、従業員の全プロファイルが取り除かれ、したがって、この従業員によるデータアクセスにおいて許容可能な位置及び許容可能な持続期間もまた、この従業員がこれら閾値を満たすことができないよう、取り除かれている可能性があるということに留意すべきである。
図5Aは、本発明の少なくとも一つの実施形態による、データアクセス制御を改善するための開示されるシステム500の概略図であり、ここでコンテクスト基準は、医療データ510にアクセスするための許容される地理的領域530、540及び許容される持続期間を含む。この図では、例えば医療記録510をサーバ520上に記憶するためのデータベースが確立され、既知の物理的位置(例えばアメリカ合衆国内ユタ州)に位置し得る。
このデータベース内の医療データ510のうち少なくとも一部は、固有鍵で暗号化されている。最も効率的には、この固有鍵は経時変化する。医療ファイル510及び/又は他の医療データは、このデータベースから医師のオフィス550内のサーバなどの局所ファイル記憶装置へダウンロードされ得る。ただし、データ510は暗号化されているため可読ではない。データ510のうち幾らかを解読するための鍵を求める要求者560(例えば、ある患者の血液検査及び他の医療検査結果を含む医療ファイル510へのアクセスをリクエスト580する医師560)は、自身が許容可能な地理的領域540内に(ユタ州内に)物理的に位置することを、発信元サーバ520に対して証明しなければならない。要求者560がユタ州など許容可能な地理的領域540内に位置することが確認されると、サーバ520は解読鍵を要求者560へと提供580する。付加的に、要求者560を認証するために、発信元サーバ520が要求者560についてのさらなる情報を要求し得ることに留意すべきである。これらシナリオにおいて、医師560はデータ510へのアクセスを確保するために、自身の医師免許情報、及び/又は、許容可能な地理的領域540(例えばユタ州)内に位置する証しを添えた医師オフィスの営業許可証情報を提供することができる。
代替的に、データ510は、発信元の記憶装置520上で暗号化されたままであるのに対して、発信元サーバ520によって要求者560へ伝送570されるそのときに暗号化されてもよい。情報510を解読するための鍵を求める要求者560は、データ510が伝送570された後幾らかの時間期間内に(例えば五(5)分以内に)鍵をリクエスト580する必要があり得、要求者が許容可能な地理的領域540内にいることを明確に検証する十分な地理情報を提供する必要があり得る。
図5Bは、本発明の少なくとも一つの実施形態による、データへの許容可能なアクセシビリティの許容可能な地理的領域を識別する、複数の仮想データ境界位置595を識別する州地図585の一例である。この例で、カリフォルニア州585におけるアメリカ合衆国徴兵事務所の幾つかに対しサーバ590上にデータベースが確立され、サーバ590は既知の物理的位置にある可能性があるが必ずしもそうではない。データベース上に記憶される情報は、識別される徴兵事務所595のうちの一つに位置するコンピュータ上で稼働するブラウザを介して、規定の容認可能な時間期間内に許容可能な地理的領域内に位置するコンピュータの物理的位置がサーバ590に対して十分に認証される(例えば初めにデータにアクセスしようとしてから五(5)分以内に物理的位置を認証される)ときにのみ、要求者により閲覧され、アップロードされ、及び/又は編集され得る。
よりセキュアな実施形態では、データベースは「ロックダウン」され、サーバ590から取り出される情報は閲覧のみされ得る(例えば画像として閲覧される)が、コピーされない。徴兵事務所595に位置するコンピュータに対し取得可能となるデータは、閲覧可能な形態(例えばPDFファイル、jpegファイル、ウェブ画像、又は他の画像形式のファイル)のみであり、編集可能な形態(例えばマイクロソフトワード文書、スプレッドシート、又はデータベース)ではない。したがってデータの完全性がさらに保護される。各徴兵センター595はもはや独自でデータを保持しないため、特定のセンター595でデータセキュリティ活動が欠如していてもデータが脆弱になりにくい。
図6Aは、本発明の少なくとも一つの実施形態による、データアクセス制御を改善するための開示される一方法の概略図600であり、ここでコンテクスト基準は、許容される地理的領域を含む。この図でデータは、「第1のコンピュータ」610と表されるサーバ610として実現されるネットワークノード上に記憶される。この実施形態で、第1のコンピュータ610は、データへの許容可能なアクセスの地理的領域の規定を含む独自のポリシーを保持する。
第2のコンピュータ620のユーザ(すなわち要求者)は、データに対するリクエストを第1のコンピュータ610へ送信する(ステップ630)ことによってデータへのアクセスを得ようとし、第2のコンピュータ620の地理的位置データを第1のコンピュータ610へ提供する(ステップ640)。この実施形態では、「認証サーバ」650と表されるサーバ650に位置するプロセッサによって認証が実施される650。認証サーバ650は認証のための機能性のすべてを含み、この場合は要求者の位置にのみ関連するコンテクスト閾値が満たされたことを立証する。
第1のコンピュータ610が第2のコンピュータ620から地理的位置データを受信した後、第1のコンピュータ610は地理的位置データを認証サーバ650へ渡す(ステップ660)。認証サーバ650が地理的位置データを受信すると、認証サーバ650は地理的位置データを使用して、第2のコンピュータ620が許容される地理的領域に位置することを立証する。第2のコンピュータ620によってこの地理的コンテクスト閾値が満たされたことを認証サーバ650が立証する場合、認証サーバ650は第2のコンピュータ620を認証する。
次いで認証サーバ650は、第2のコンピュータ620に関連する認証情報を第1のコンピュータ610へ転送する(ステップ670)。第1のコンピュータ610が認証情報を受信した後、第1のコンピュータ610はデータを第2のコンピュータ620に対し取得可能にする(ステップ680)。
少なくとも一つの実施形態で、データを閲覧する又は修正することなどの任意のデータリクエストには、エンティティ(又は要求者)620の物理的位置(すなわち地理的位置データ)を立証するために使用されることができる情報(例えば衛星信号データ)が添付される。この例の可能な応用の一つとしては、ブラウザがこれら情報をウェブサーバへと提供するようにすることであり得る。次いでホストノード610は認証サーバ650にコンタクトし、この情報を使用して要求者620が許容可能な地理的領域内に位置することを確認する。コンテクスト閾値が十分に満たされる場合、アクセスが供与されてデータが提供される。
図6Bは、本発明の少なくとも一つの実施形態による、データアクセス制御を改善するための開示される別の方法の概略図605であり、ここでコンテクスト基準は、許容される地理的領域を含む。図6Aの実施形態を改変したこの図の実施形態においては、システムのセキュリティをさらに改善するためにデータの暗号化が使用される。データは、経時変化し得る固有鍵で暗号化され、ネットワークノード(すなわち第1のコンピュータ610)上に記憶される。データを閲覧するために、要求者(すなわち第2のコンピュータ)620はホストノード(すなわち第1のコンピュータ)610に要求者の地理的位置情報を供給しなければならない。次いでホストノード610は認証サーバ650にコンタクトし、リクエストしているエンティティ620が許容可能な地理的領域内に位置することを確認する。認証サーバ650が要求者620を認証する場合、リクエストしている要求者620に解読鍵が提供される。記憶されるデータは、他のエンティティ(例えば他のサーバ又はノード)へ転送されてもよいことが明らかであろう。しかしながら、このようなデータは先述のように暗号化されていれば閲覧可能ではない。
図6Bに示すように、方法の開始時、第2のコンピュータ620は第1のコンピュータ610へデータのリクエストを送信する(ステップ615)。第1のコンピュータ610がリクエストを受信した後、第1のコンピュータ610は暗号化されたデータを第2のコンピュータ620に転送する(ステップ625)。第2のコンピュータ620が暗号化されたデータを受信した後、第2のコンピュータ620は自身の地理的位置データを第1のコンピュータ610に送信する(ステップ635)。
次いで第1のコンピュータ610は、第2のコンピュータ620に対する地理的位置情報を認証サーバ650へ転送する(ステップ645)。認証サーバ650が地理的位置データを受信すると、認証サーバ650は地理的位置データを使用して、第2のコンピュータ620が許容可能な地理的領域に位置するかどうかを決定する。認証サーバ650が地理的位置データを受信すると、認証サーバ650は地理的位置データを使用して、第2のコンピュータ620が許容可能な地理的領域に位置するかどうかを決定する。認証サーバ650が第2のコンピュータ620を認証すると、認証サーバ650は第1のコンピュータ610へ、第2のコンピュータ620に対する認証情報を送信する(ステップ655)。第1のコンピュータ610が認証情報を受信した後、第1のコンピュータ610は解読鍵を第2のコンピュータ620に送信する(ステップ665)。第2のコンピュータ620が解読鍵を受信した後、第2のコンピュータ620は暗号化されたデータを解読しこれにアクセスすることができる。
図6Cは、本発明の少なくとも一つの実施形態による、データアクセス制御を改善するための開示されるさらなる別の方法の概略図607であり、ここでコンテクスト基準は、許容される地理的領域を含む。この図で、データは暗号化されずにネットワークノード(すなわち第1のコンピュータ)610上に記憶される。要求者(すなわち第2のコンピュータ)620がデータをリクエストするとき、データは、認証サーバ650により提供される位置特有の暗号鍵を使用して第1のコンピュータ610によってそのときに(on the fly)暗号化される。次いで、その後第1のコンピュータ610は暗号化されたデータを要求者620へ伝送する。要求者620がデータにアクセスするためには、要求者620は解読鍵を、データが伝送された後幾らかの時間期間内にリクエストしなければならず、且つ、要求者620が許容可能な地理的領域内に位置するという証明を提供しなければならない。次いで、認証サーバ650はこの情報を比較し、リクエストしている要求者620が所定の地理的領域内に位置するかどうかを立証する。認証が十分に満足される場合、リクエストしているエンティティ620に解読鍵が提供される。
少なくとも一つの実施形態で、第2のコンピュータ(すなわち要求者)620により送信される位置データは、要求者620による単純な申告である。例えば位置データは、真実であるといういかなる証拠もない緯度、経度、高度の形態であることができる。要求者620の申告位置が許容可能な地理的領域内である場合、第1のコンピュータ610は暗号化されたデータを要求者620に提供する。解読鍵を得るために、要求者620は自身の位置の証明(例えば、イリジウム衛星のスポットビームから収集される自身の位置に関連するデータ)を、認証サーバ650へ送信し、主張する位置が真実であることを示さなければならない。この実施形態は、微小な処理又は第1のコンピュータ610上空のごくわずかな帯域幅を要し、すなわち第1のコンピュータ610は申告される要求者620の位置が許容可能な地理的領域内であるかどうかを決定しなければならないのみである。認証サーバ650は申告される要求者620の位置が真実であると立証することを担当するが、申告される位置が許容可能な地理的領域内であるかどうかを知ることには責任を負わず、これは、このタスクが既に第1のコンピュータ610によって達成されているためである。
図6Cに示すように、方法の開始時、第2のコンピュータ620は第1のコンピュータ610へデータのリクエストを送信し(ステップ617)、自身の位置データを第1のコンピュータ610へ送信する(ステップ627)。第1のコンピュータ610がリクエスト及び位置データを受信した後、第1のコンピュータ610は、第2のコンピュータ620の位置に基づく、位置ベースの暗号鍵のリクエストを認証サーバ650へ送信する(ステップ632)。次いで第1のコンピュータ610は、リクエストされたデータを暗号化するための、第2のコンピュータ620の位置に基づく位置ベースの暗号鍵を認証サーバ650から得る(ステップ637)。次いで、第1のコンピュータ610はデータの暗号化にこの暗号鍵を使用する。第1のコンピュータ610がリクエストされたデータを暗号化した後、第1のコンピュータ610は暗号化されたデータを第2のコンピュータ620に転送する(ステップ647)。
第2のコンピュータ620が暗号化されたデータを受信した後、第2のコンピュータ620は自身の地理的位置情報の証明を認証サーバ650に送信する(ステップ657)。地理的位置情報の証明は様々なアイテムから成ることができる。例えば少なくとも一つの実施形態で、証明は、少なくとも一つの衛星(例えば一又は複数のイリジウム衛星)から送信される少なくとも一つのビームからの少なくとも一つの信号から、第2のコンピュータ620が受信する、データから成ることができる。認証サーバ650が第2のコンピュータ620から地理的位置情報の証明を受信すると、認証サーバ650は、第2のコンピュータ620が地理的位置情報の証明を、第2のコンピュータ620が暗号化されたデータを受信した後規定の時間期間内に送信した(例えば暗号化されたデータの受信から五(5)分以内に証明を送信した)かどうかを決定しなければならならず、且つ、第2のコンピュータ620が実際に許容可能な地理的領域内にあるかどうかを決定しなければならない。
第2のコンピュータ620が地理的位置情報の証明を、第2のコンピュータ620が暗号化されたデータを受信した後規定の時間期間内に送信したこと、及び、第2のコンピュータ620が許容可能な地理的領域内(すなわちステップ627で主張するほぼその位置に又はその近傍)に位置することを、認証サーバ650が決定する場合、認証サーバ650は第2のコンピュータ620を認証する。認証サーバ650が第2のコンピュータ620を認証すると、認証サーバ650は解読鍵を第2のコンピュータ620へ送信する(ステップ667)。第2のコンピュータ620が解読鍵を受信した後、第2のコンピュータ620は暗号化されたデータを解読しこれにアクセスすることができる。
上記に記載の図6Aから図6Cの種々の方法で、第2のコンピュータ620が、第1のコンピュータ610上のデータへの遠隔アクセスを得るために、一又は複数のパスワードを使用し得ることに留意すべきである。第2のコンピュータ620に対し取得可能となるデータの量、タイプ、及び/又は内容は、第2のコンピュータ620がデータへのアクセスをリクエストしているときの第2のコンピュータ620の地理的位置、第2のコンピュータ620がデータへのアクセスをリクエストしているときの時間、第2のコンピュータ620のアイデンティティに基づく第2のコンピュータ620の管理者権限、及び/又は、他のコンテクスト情報に基づいて、限定され得る。
図7は、本発明の少なくとも一つの実施形態による、データアクセス制御を改善するための開示されるシステム700の概略図であり、ここで、要求者によってデータが規定の時間期間内にアクセスされない場合、そのデータは削除される。この図で、大企業720の人事部(HR)の代表者710が彼又は彼女のオフィス720から出るところが示され、機密の従業員情報740を含むユニバーサルシリアルバス(USB)ドライブ730を駐車場750で意図せずに落とす。HR代表者710は、従業員データ740へのアクセス特権を割り当てられた人口集団のサブセット(例えばこの企業のHR従業員群)760の部分であるため、このデータ740は、HR代表者710に対してアクセスが容認可能である。建物720に対する装置730の近接性は、データアクセスにおいて許容可能な地理的領域内に位置するための容認可能な物理的位置の範囲内であり得る一方、意図されるユーザ710、760のみがデータにアクセスできる可能性を向上させるためには、静的パスワードなどの付加的なセキュリティ対策を付加することが不可避であるかも知れない。付加的に、規定の時間期間が経過した後にUSBドライブ730が紛失したままである場合、ドライブ730は、自身に存在するデータ740を削除し及び/又はデータ740を暗号化し、これによりデータをアクセス不可能にするであろう。これらの開示された特徴は、ドライブ730が後に発見された場合でもセキュリティ上の脅威を取り除くであろう。
図8Aは、本発明の少なくとも一つの実施形態による、要求者を認証するために衛星及び測距ジオロケーション技術を利用した、データアクセス制御を改善するための開示されるシステム800の概略図であり、要求者は認証されることが示されている。図8Bは、本発明の少なくとも一つの実施形態による、要求者を認証するために衛星及び測距ジオロケーション技術を利用した、データアクセス制御を改善するための開示されるシステム810の概略図であり、要求者は認証されないことが示されている。これらの図では、第1のネットワークノード820が衛星ジオロケーション技術を使用して(例えば少なくとも一つの衛星850から伝送される少なくとも一つの信号860を使用して)自身の位置を認証する。測距技術(例えば、第1のノード及び第2のノードがピング(すなわち信号)を相互に送信すること、並びに、第1のノードから第2のノードへのピングの送信から受信までに経過した時間量によって第1のノードと第2のノードとの間の距離を決定すること)を使用して、第2のネットワークノード(例えばサーバ又はルータ)は、その絶対中央位置において第1のネットワークノード820を有する規定の円形領域830(例えば、二次元の円形領域もしくは楕円形領域、又は、緯度、経度及び標高によって特定され得る三次元の球状もしくは楕円状容積)内のどこかに位置することが確認される。領域830の全体が許容可能な地理的領域840内に位置する場合には、図8Aに示されるように第2のネットワークノードは自動的に認証される。しかしながら、領域830のいずれかの部分が許容可能な地理的領域840の外に位置する場合には、第2のノードは許容可能な地理的領域の外に位置するかも知れず、したがって図8Bに示すように第2のノードは認証されない。
一又は複数の実施形態で、測距技術は要求者の位置を認証するために使用されることに留意すべきである。これらの実施形態で、第1のネットワークノード(例えばサーバ、ルータ、又は装置)(図示せず)は、既知の位置を占める第2のノード(例えばサーバ、ルータ、又は装置)(図示せず)とピング(すなわち信号)を送受信することによって、自身の位置を認証する。第1のノードと第2のノードとの間の距離は、第1のノードから第2のノードへのピングの送信から受信までに経過した時間量によって決定される。第1のノードと第2のノードとの間の距離が決定されると、第2のノードの位置は既知であるため、第1のノードの位置の推定を得ることができる。このプロセスは、第1のノードの位置のより正確な推定を得るために、既知の位置を占める他のノード(例えばノード3、ノード4、ノード5・・・)を用いて反復され得ることに留意すべきである。第1のノードの位置の推定が得られると、第1のノードが許容可能な地理的領域(図示せず)内に位置するかどうかが決定されることができる。第1のノードが許容可能な地理的領域内に位置することが決定される場合、第1のノードに関連付けられる要求者はデータへのアクセスを付与される。
スポットビームベース認証
エンティティ認証技術又はユーザ認証技術は、遠隔リソースに対するユーザ、アセット、もしくは装置(例えばユーザ装置)のアイデンティティ及び/又は物理的位置を、片方向認証方法を介して立証するための第三者検証器を実現する。しかしながら、この片方向方法は、要求者を立証するためにホストシステムによって直接的にも使用され得ることに留意すべきである。ユーザは人物もしくは他の生物/非生物エンティティであり得る一方、エンティティは装置(例えば、ネットワークノード、携帯電話、コンピュータ、サーバなど)又は追跡を要するアセットであり得る。エンティティ及び/又はユーザは、接続もしくはセッションの全期間認証され得る。エンティティ及び/又はユーザは、最初の認証の後に再認証を要求し得る。再認証要件は、ホストネットワークによって規定される、及び、コンテクストに特有であり得る。代替的に、このシステムが、各メッセージに対し個別の認証プロセスを要求するメッセージベースの認証システムに使用され得る。本明細書に記載される技術は、セッションベースの認証、メッセージベースの認証、又はそれらの組み合わせのいずれにも使用され得る。
さらに、片方向認証が遠隔の第三者によって完了される必要がなく、受信装置のうちの一又は複数によって完了されるよう、この方法は受信装置自体に適用され得る。この方法が単一の装置によって遂行されるとき、これもやはり片方向認証方法と見なされる。しかしながら、この方法は、少なくとも二つのピア装置が互いを認証できる多方向認証技術にも適用されることができる。この片方向もしくは多方向装置間認証方法において、認証は、二つの正当な受信装置の各々が知っており任意の権限のないもしくは不正な受信装置が知らない、共有秘密(対称もしくは非対称)に一般的には依存し得る。各装置は、装置自身とピア装置との間で共有される秘密パスワード、又は、セキュリティ証明書の形態の公開鍵/秘密鍵ペアなどの固有の認証クレデンシャルを有し得る。装置が共有される秘密を知っていることを、他方のピア装置が満足する程度に証明するとき、装置は自身を認証し、したがって装置は正当である。この多方向認証方法において少なくとも二つの装置間で認証が完了すると、これら装置はそのアイデンティティを互いに対して証明したことになる。次いでこれら装置は、ネットワーク化されたリソースへの通信及びアクセスを所与のコンテクストにおいて保護するために合意されたサイバーセキュリティポリシーを実装するために選択し得る、それら自身の認証されたネットワークを作成する。
既存の認証方法は、一又は複数の初期暗号鍵を生成するために使用され得る又は組み合され得る。初期暗号鍵は、例えば、ディフィーヘルマン技術を使用して協調的に生成され得るか、又は、単純に一つのピア装置によって生成されて別のセキュアなチャネル/プロセスを介して他方のピア装置へと送信され得る。
いずれの場合でも、初期暗号鍵に付随して、何らかの共有される活性(liveness)情報(先述で規定するような)が含まれ得る。この応用で、活性情報は衛星スポットビームを介して提供され、タイムスタンプ及び疑似乱数(PRN)のような認証に使用されるパラメータを含み得る。
共有される活性情報の使用は、開始装置(initiating device)がピア装置に対して自身を認証するたびごとに異なる暗号鍵が使用されることを可能にするような、導出において使用され得る。これにより、潜在的な不正傍受者が、開始装置の以前のセッション中に傍受した開始装置のメッセージ解析に対して新規に傍受したメッセージを付加し、開始装置が認証されるたびごとに統計的攻撃を開始することを、妨害する。次いで、活性情報及び初期暗号鍵は入力として決定関数へと渡され得る。本明細書において使用される「determinative(決定的)」という用語は、その関数の出力が入力によって完全に決定されるような機能を指す。この決定関数は、開始装置上で及びピア装置上で個別に稼働し得る。これら二つの装置が、決定関数を稼働させるときに異なる出力を生み出し、次いで、この関数から導出される暗号鍵が一致しないならば、装置は認証されることができず、したがって相互通信に使用されることができない。
決定的であることに加えて、セキュリティの目的で、関数は先天的に不可逆であるべきである。関数の出力を知るためにその入力を決定することは、非常に困難又は不可能であるべきである。ハッシュは、決定的且つ先天的に不可逆である関数の一クラスを形成し、したがってしばしば暗号化及び認証計算に使用される。公知のトランスポートレベルセキュリティ(TLS)プロトコルに使用される疑似乱数関数(PRF)は、用いられ得る決定関数の実装の一例である。
PRFは、二つの公知のハッシュ関数すなわちメッセージダイジェストアルゴリズム5(MD5)及びセキュアハッシュアルゴリズム1(SHA−1)の結果を組み合わせる。PRFは、万一何者かが二つのハッシュ関数のうちの一方を逆算する方法を決定する場合にもセキュリティを保持するために、二つのハッシュ関数を使用する。これらの二つのハッシュ関数は、セキュリティを最適化するには短すぎる出力を生み出し得る。SHA−1から20バイトの出力が生み出され、MD5から16バイトの出力が生み出される。したがって、これら二つのハッシュ関数の各々に対して、任意の長さの出力を生み出すためにハッシュ関数を使用する「データ拡張関数(data expansion function)」が規定され得る。SHA−1において、データ拡張関数はP_SHA−1として規定され得、
方程式1:P_SHA−1(initial−security key,liveness)=SHA−1(initial−security key,A(1)+liveness)+SHA−1(initial−security key,A(2)+liveness)+SHA−1(initial−security key,A(3)+liveness)+…
であり、ここで、
A(0)=liveness;
A(i)=SHA−1(initial−security key,A(i−1))
であり、符号「+」は、文字列連結を示す。
データ拡張関数P_MD5の規定は、「MD5」を「SHA−1」が現われる全ての箇所に代入し、上述の規定と同様である。データ拡張関数は、所望の長さの出力を生み出すために、必要となる多くのステップ数だけ繰り返され得る。所望の出力長は、実装オプションとして設定され得る。少なくとも一つの実施形態では、各ハッシュ関数に対する所望の出力長は128バイトである。P_SHA−1は、140バイトの合計出力長に対してA(7)まで繰り返され得る(繰り返しのたびに出力長が20バイトずつ増える)。次に、出力は128バイトに切り捨てられ得る。P_MD5の繰り返しごとに16バイトが生み出されるため、P_MD5をA(8)まで繰り返すと、所望の128バイトが切り捨てなしに生み出される。
スポットビームベースの認証における一実施形態では、ハッシュ関数を選択し、これらのデータ拡張関数を所望の出力長まで繰り返すと、PRFは、拡張された初期暗号鍵、ラベル(所定のASCII文字列)、及び授受される活性情報を入力として取り込む。PRFは、二つのハッシュデータ拡張関数、P_MD5及びP_SHA−1の出力のビット排他論理和(XOR)となるように規定される:
方程式2:PRF(expanded initial−security key,label,liveness)=P_MD5(S1,label+liveness)XOR P_SHA−1(S2,label+liveness)
ここでS1は、バイト単位で測定される拡張された初期暗号鍵の最初の半分であり、S2は、拡張された初期暗号鍵の2番目の半分である。(拡張された初期暗号鍵の長さが奇数である場合、その中間バイトは、S1の最終バイト及びS2の第1バイトの両方である)。128バイトの出力を生み出すためにP_MD5及びP_SHA−1が繰り返されるので、PRFの出力も128バイトである。
PRFの128バイト出力は、四つの32バイトセッション暗号鍵へと分割される。次に、これらセッション暗号鍵の各々は、使用される認証プロトコル及び暗号化プロトコルによって要求される長さに切り捨てられる。切り捨ての結果、一時的(transient)セッション暗号鍵の新しい組の一つが得られる。これら一時的セッション暗号鍵を導出することにより、開始装置及びピア装置は共に、初期秘密鍵又は拡張された初期暗号鍵のいずれをも直接使用することがなく、暗号鍵情報の漏洩を最小限に抑える、又は少なくとも低減することができる。一時的セッション暗号鍵の導出により、開始装置及びピア装置は、セッション暗号鍵の使用制限によって統計的解析を防止するよう、規則的な間隔で又は指示されるときに、拡張された初期暗号鍵から導出されるセッション暗号鍵をリフレッシュすることもできる。
認証及び暗号化一時的セッション暗号鍵の各々は、次の特定の目的を有する:i)機密保持のため、開始装置からピア装置へのデータ授受の暗号化;ii)機密保持のため、ピア装置から開始装置へのデータ授受の暗号化;iii)完全性保持のため、開始装置からピア装置へのデータ授受への署名;iv)完全性保持のため、ピア装置から開始装置へのデータ授受への署名。
スポットビームベース認証における初期暗号鍵の導出は、公知の公開情報である原始根生成器「g」、及び法とする素数「p」を使用するディフィーヘルマン技術を使用し得る。開始装置及びピア装置はそれぞれ、ランダムな秘密整数(secret integer)を選択し、各々の((g^(secret integer))mod p)を授受する。この授受によって開始装置及びピア装置は、共有される初期暗号鍵を、ディフィーヘルマン技術を使用して導出することができる。
開始装置及びピア装置の両方の間で共有される初期暗号鍵を導出すると、これら装置は、データ拡張を使用して拡張された初期暗号鍵を、例えばP_SHA−1を使用して導出することができる。データ拡張処理プロセスに対する活性情報は、開始装置とピア装置とによって合意された既知の乱数値又はタイムスタンプとすることができる。幾つかの実施形態で、ピア装置は、乱数値を選択しこれを開始装置に衛星又は地上ネットワークを介して伝送し得る。代替的に、開始装置及びピア装置は共に、これら装置が時間的に厳密に同期しているので、タイムスタンプについて合意することができ、これにより共有/共通タイムスタンプ値から活性情報を選択することができる一方でデータ授受を回避することができる。
この後、開始装置及びピア装置は、一時的セッション暗号鍵の新しい組を導出するために使用され得る、共有の拡張された初期秘密鍵を有する。同じように、活性情報に対して、開始装置及びピア装置は、ピア装置から伝送される共有の乱数値又は共有/共通タイムスタンプ値のいずれをも使用することができる。一時的セッション暗号鍵は、開始装置とピア装置との間の地理的位置情報及び他のコンテクスト情報授受のさらなる暗号化及び署名のために、開始装置及びピア装置によって使用され得る。地理的位置情報及び他のコンテクスト情報は機密情報とされるため、授受される地理的位置情報及びコンテクスト情報の抽出が認証される開始装置及びピア装置によってのみ可能であるということを保証するために、これら情報を暗号化することが適切である。地理的位置情報は、本特許出願に記載される手順によって、擬似乱数(PRN)コードセグメント及び独特のビームパラメータを使用して認証されることに留意されたい。共有されるコンテクスト情報は、目標とされるサイバー防御アプリケーションの実行又は意思決定支援システムに関する、他の状態情報又は制御情報を含み得る。暗号化に加えて、授受される地理的位置情報及びコンテクスト情報の完全性は、先述した署名目的の一時的セッション暗号鍵を使用して、保証される。
概括すると、幾つかの実施形態で、本明細書に記載される認証システム及び方法においては、要求者の場所を決定するためのジオロケーション技術を認証プロセスの部分として活用し得る。このようなジオロケーション技術の1つが、本出願の出願人と同じ出願人に譲渡され且つ同時係属中の「Geolocation Leveraging Spot Beam Overlap」と題する米国特許出願第12/756961号に規定されており、この出願の開示内容は、本明細書において参照されることにより内容全体が本明細書に組み込まれる。認証が求められる場合、要求者装置は、独特の署名パラメータを捕捉して検証装置に伝送することができる。加えて、要求者装置は、自身の主張する移動経路(すなわち、一又は複数の通過点及び各通過点における時刻)を伝送し得る。通過点は、この装置が静止装置であるか又は可動装置であるかに拘わらず伝送され得る。検証装置は、要求者の主張するビーム署名パラメータ、少なくとも一つの位置通過点、及びこの通過点とビームパラメータ捕捉とに関連付けられる少なくとも一つの時刻を使用して、要求者を認証することができる。例えば、少なくとも一つのスポットビームから捕捉されるビームパラメータ及び少なくとも一つの主張される通過点が、既知の有効なデータセットに照らして認定される場合に、要求者は検証器によって認証されるとされることができる。この方式で、要求者は、特定の時刻にある領域内に位置していると認証されることができる。これらパラメータに基づく複合コードは、エミュレート、ハッキング、又はなりすまし(spoof)が極めて困難な信号を提供する。さらに、信号構造及び衛星が受信する信号電力によって、屋内又は他の減衰環境における認証の使用が可能となる。これにより、このシステム手法の総合的な有用性が改善される。
本出願の主題は、イリジウム衛星によって実装される低高度軌道周回(LEO)衛星に主に関連する内容として説明される。しかしながら、ここに説明される方法は、例えば中高度軌道周回(MEO)衛星システム又は地球同期軌道(GEO)衛星システムなど他の衛星システムに容易に適用できることを、この技術分野の当業者は認識するであろう。このような衛星ベースの通信システムは、他の移動通信システム、例えば空中通信システムのみならず、船舶又は携帯電話塔を含むがこれらに限定されない静止通信プラットフォームなども、含む又は利用することができる。
図9は、種々の実施形態による衛星ベースの通信システム900の概略図である。実際には、衛星ベースの通信システム900は、軌道上の少なくとも一つの衛星910を含み得る。簡潔にするために、単一の衛星を図9に示す。図9を参照すると、幾つかの実施形態でシステム900は、一又は複数の受信装置920と通信する一又は複数の衛星910を含む。幾つかの実施形態では、衛星910は、イリジウム衛星コンステレーション内の衛星のようなLEO衛星として実装され得る。一又は複数の衛星910は地球を既知の周回軌道に沿って周回し、一又は複数のスポットビーム930を地球表面に既知のパターンで伝送し得る。各スポットビーム930は、擬似乱数(PRN)データ及び一又は複数の独特のビームパラメータ(例えば、時刻、衛星ID、時刻バイアス、衛星軌道データなど)のような情報を含むことができる。
一又は複数の受信装置920は、衛星もしくは携帯電話のような通信装置として、又は、例えばパーソナルコンピュータ、ラップトップコンピュータ、携帯情報端末などの通信もしくはコンピューティング装置の構成要素として実装され得る。幾つかの実施形態では、受信装置(920)は、全地球測位システム(GPS)に接続して使用される装置に類似する、一又は複数の位置特定装置又はナビゲーション装置もしくは一又は複数の位置特定モジュール又はナビゲーションモジュールを含むことができる。
図10A、10B、及び10Cは、種々の実施形態による衛星ベースの認証システム1000の概略図である。図10Aをまず参照すると、幾つかの実施形態で、軌道上の衛星910は、一又は複数のスポットビーム930を地球表面上に伝送する。受信装置920は、スポットビームから信号を受信するよう構成され得る。図10Aに示す実施形態では、受信装置は、地上ベースとすることができ、減衰環境において動作することができる。一例として、屋根、建物などのような物体1010は、衛星910と受信装置との間の通信経路の一部の障害となり得る。
送信機1020は、受信装置920により受信されるデータ、及び/又は受信装置920により生成されるデータを検証器1030に伝送する。図10Aに示す送信機1020は、受信装置920から検証器へとデータを中継する無線送信機である。しかしながら、受信装置920からのデータは、有線通信システム、無線通信システム、又は有線システム及び無線システムの組み合わせを介して伝送され得ることを、この技術分野の当業者は認識するであろう。検証器1030は、受信装置920によってスポットビームを介して捕捉されるデータを使用し、図10Bの事例でもある片方向認証手法を介して、受信装置920が認証されるユーザであることを検証器1030に対して証明する。
さらに図10Bは、受信装置920が、例えば航空機925内など空中の装置であり得る配置を示している。図10Bに示す実施形態で、航空機925は、衛星910とのアップリンク、例えばL帯アップリンクを維持することができ、航空機内の受信装置920により捕捉されるデータは、アップリンクを介して衛星910に返送されることができる。衛星910は、データを第2のクロスリンク衛星910に伝送することができ、次いでこの第2のクロスリンク衛星910は、データを検証器1030に伝送することができる。
図10Cに示すシステムは、二つの(又はそれよりも多くの)ピア装置920が互いを認証するための双方向認証技術を実装し得る実施形態を示している。図10Cを簡単に参照すると、上述と同様、軌道上の衛星910は一又は複数のスポットビーム930を地球表面上に伝送する。第1の受信装置920Aは、スポットビームから信号を受信するよう構成され得る。第1の受信装置920Aは、例えば上述のようにディフィーヘルマン手法を使用して暗号鍵を導出するように構成され得、この手法ではPRNデータをスポットビームから取り込む。
PRNデータは第2の装置920Bにも伝送される。幾つかの実施形態で、第2の装置920Bは、スポットビーム930の外側に位置し得、この場合PRNデータは、第2の装置920Bに通信ネットワークを介して結合されるコンピューティング装置1040から伝送され得る。コンピューティング装置1040は、衛星910に通信可能に結合され得る。一例として、且つこれに限定されないが、コンピューティング装置1040は、衛星910に通信リンクを介して個別に結合されるサーバとすることができる。コンピュータ1040は、衛星910における制御ネットワークに関連付けられ得、これによりスポットビーム930に関連付けられるPRNデータを保有することができる。
動作状態で、第1の受信装置920Aは、認証データのリクエストを開始し、このリクエストは第2の受信装置920Bに伝送される。第2の受信装置920Bとの間の通信リンクは、直接的であり得るか又は伝送ネットワーク1020を介して実装され得る。第2の受信装置920Bはリクエストに応答し、ほぼ同時に第1の受信装置920Aからの認証データのリクエストを出す。第1の受信装置920Aは、第2の受信装置920Bを認証し、ほぼ同時に認証データのリクエストに対する応答を第2の受信装置920Bに対して出し、次いで第2の受信装置920Bは、第1の受信装置920Aを認証し得る。
上述のように、第1の受信装置920Aと第2の受信装置920Bとの間で実装される認証プロセスはディフィーヘルマン交換であり得、ここで、共有秘密は、スポットビーム930から伝送されるPRNデータの少なくとも一部を含む。したがって、図10Cに示すシステムによって、受信装置920A、920Bのピアツーピア認証が可能になる。この技術分野の当業者は、この双方向認証手法は、受信装置及びサーバ並びに他のハードウェア構造に、又は二つよりも多くの装置に拡張され得ることを認識するであろう。
図11Aは、種々の実施形態による、衛星ベースの認証システムを実装するよう適合され得るコンピューティングシステムの概略図である。例えば図10A及び10Bに示す実施形態では、図11Aに示すコンピューティングシステムにより検証器1030が実装され得る。図11Aを参照すると、一実施形態でシステム1100は、コンピューティング装置1108と、一又は複数の付随する入出力装置とを含むことができ、これら入出力装置は、スクリーン1104を有するディスプレイ1102と、一又は複数のスピーカ1106と、キーボード1110と、一又は複数の他のI/O装置1112と、マウス1114とを含む。他のI/Oデバイス1112は、タッチ式スクリーン、音声入力デバイス、トラックボール、及びシステム1100がユーザからの入力を受信できるようにする任意の他の装置であってよい。
コンピューティング装置1108は、システムハードウェア1120及びメモリ1130を含み、メモリ1130はランダムアクセスメモリ及び/又はリードオンリーメモリとして実装され得る。ファイルストア1180は、コンピューティング装置1108に通信可能に結合され得る。ファイルストア1180は例えば、一又は複数のハードドライブ、CD−ROMドライブ、DVD−ROMドライブ、又は他の種類の記憶装置など、コンピューティング装置1108の内部にあってもよい。ファイルストア1180は、一又は複数の外付けハードドライブ、ネットワーク接続ストレージ、又は別のストレージネットワークなど、コンピュータ1108の外部にあってもよい。
システムハードウェア1120は、一又は複数のプロセッサ1122、少なくとも二つのグラフィックプロセッサ1124、ネットワークインタフェース1126、及びバス構造1128を含み得る。一実施形態では、プロセッサ1122は、インテル社(本社:米国カリフォルニア州サンタクララ)から供給されているIntel(登録商標)Core2 Duo(登録商標)プロセッサとして実現され得る。本明細書で使用される場合、「プロセッサ」は任意の種類のコンピューティング上の要素を意味し、これは、限定されないが、マイクロプロセッサ、マイクロコントローラ、複合命令セットコンピューティング(CISC)マイクロプロセッサ、縮小命令セット(RISC)マイクロプロセッサ、超長命令語(VLIW)マイクロプロセッサ、又は他のいずれかの種類のプロセッサもしくは処理回路などである。
グラフィックプロセッサ1124は、グラフィックス及び/又はビデオ操作を管理する補助プロセッサとして機能し得る。グラフィックプロセッサ1124は、コンピューティングシステム1100のマザーボード上に組み込むこと、又はマザーボード上の拡張スロットを介して結合することができる。
一実施形態では、ネットワークインタフェース1126は、イーサネット(登録商標)インタフェース(例えば、電気電子技術者協会規格IEEE802.3−2002を参照)などの有線インタフェース、又はIEEE802.11a、b、g準拠インタフェース(例えば、LAN/MANシステム間のIT通信及び情報交換のためのIEEE規格―第2部:無線LANメディアアクセス制御(MAC)及び物理層(PHY)仕様―追補4:2.4GHz帯における高速伝送のための拡張、802.11G−2003を参照)などの無線インタフェースであってよい。さらに高いデータレート拡張に関して規定する802.11G−2003を参照)のような無線インタフェースとすることができる。無線インタフェースの他の例として、汎用パケット無線サービス(GPRS)インタフェース(例えば、GPRSハンドセット要件に関するガイドライン、モバイルコミュニケーションズ/GSM協会用グローバルシステム、バージョン3.0.1、2002年12月)が挙げられる。
バス構造1128はシステムハードウェア1120の様々な構成要素を接続する。一実施形態では、バスストラクチャ1128は、メモリバス、周辺機器用バス、又は外部バスを含む幾つかの種類のバスアーキテクチャ、及び/又は11ビットバス、業界標準アーキテクチャ(ISA)、マイクロチャネル・アーキテクチャ(MSA)、拡張ISA(EISA)、インテリジェントドライブエレクトロニクス(IDE)、VESAローカルバス(VLB)、ペリフェラルコンポーネントインターコネクト(PCI)、ユニバーサルシリアルバス(USB)、アドバンストグラフィックスポート(AGP)、パーソナルコンピュータメモリカード国際協会(PCMCIA)バス、及びスモールコンピュータシステムズインタフェース(SCSI)を含むがこれに限定されない、入手可能な任意の種類のバスアーキテクチャを使用するローカルバス、のうちの一又は複数であってもよい。
メモリ1130は、コンピューティングデバイス1108の動作を管理するためのオペレーティングシステム1140を含むことができる。一実施形態では、オペレーティングシステム1140は、システムハードウェア1120へのインタフェースを提供するハードウェアインタフェースモジュール1154を含む。さらに、オペレーティングシステム1140は、コンピューティング装置1108の動作で使用されるファイルを管理するファイルシステム1150、およびコンピューティング装置1108上で実行されるプロセスを管理するプロセス制御サブシステム1152を含むことができる。
オペレーティングシステム1140は、システムハードウェア1120と連動して遠隔ソースとの間でデータパケット及び/又はデータストリームを送受信するように動作する、一又は複数の通信インタフェースを含む(又は管理する)ことができる。オペレーティングシステム1140はさらに、オペレーティングシステム1140とメモリ1130内に常駐する1つ以上のアプリケーションモジュール間のインタフェースを提供するシステムコールインタフェースモジュール1142を含むことができる。オペレーティングシステム1140は、UNIXオペレーティングシステムあるいはその派生システム(例えば、LINUX、Solaris、Berkeley Software Distribution (BSD)、Androidなど)、又はWindows(登録商標)ブランドのオペレーティングシステム、又は他のオペレーティングシステムとして実施され得る。
種々の実施形態で、コンピューティング装置1108は、パーソナルコンピュータ、ラップトップコンピュータ、携帯情報端末、携帯電話、娯楽装置、又は別のコンピューティング装置として実施され得る。
一実施形態でメモリ1130は、要求者から受信するデータに基づいて要求者を認証するための、認証モジュール1162を含む。一実施形態で認証モジュール1162は、非一時的コンピュータ可読媒体内で符号化された論理命令群を含むことができ、これら論理命令はプロセッサ1122によって実行されるとき、プロセッサ1122に、要求者から受信するデータに基づいて要求者を認証させる。加えて、メモリ1130は、地球の周囲の所定軌道上の衛星910の軌道情報を含む衛星軌道データベース1164を備えてもよい。認証モジュール1162によって実装される認証プロセス及び操作についての付加的な詳細を、以下に記載する。
幾つかの実施形態で、受信装置920は、従来のコンピューティング装置922(例えば、ラップトップ、PDA、又はスマートフォン装置)に結合されるよう適合された衛星通信モジュールとして実装され得る。受信装置920はコンピューティング装置922に、適切な通信接続によって、例えばユニバーサルシリアルバス(USB)インタフェース、RS−232インタフェース、光インタフェースなどによって結合されることができる。図11Bに示す実施形態で、受信装置920は、この装置が受信機を含み且つ限定された処理能力を含むという意味において「thin(シン)」装置であり得、例えば認証ルーチンを実装するよう構成される、例えば特定用途向け集積回路(ASIC)又はフィールドプログラマブルゲートアレイ(FPGA)であり得る。
動作状態で、コンピューティング装置922のユーザは、コンピューティング装置922をホストネットワーク1190で認証するために受信装置920を利用し得る。上述のように、図11Bに示す受信装置920は、独特のビーム署名及び擬似乱数(PRN)を含むスポットビーム伝送930を衛星910から受信し得る。コンピューティング装置922は、アクセスリクエストをホストネットワーク1190に対して開始し得る。アクセスリクエストは、ユーザに特有の情報を含み得、例えばユーザID、地球座標系(例えば、ジップコード、エリアコード、緯度/経度、ユニバーサル横メルカトル(UTM);地球中心地球固定座標系(ECEF)、World Geographic Reference System(GEOREF(ジオレフ)、又は他の種々の座標系、例えばジップコード)に基づく一又は複数の情報、及び、衛星910から受信されるPRNデータの少なくとも一部を含み得る。
ホストネットワーク1190は、ユーザアクセスリクエストを検証器1030に、認証リクエストとして伝送し得る。幾つかの実施形態で、ホストネットワークは、検証器1030がコンピュータ922を認証することができるよう、付加的な情報をリクエストに加え得る。一例として、ホストネットワーク1190は、要求者がどこで(すなわち、いずれの地理的位置から)認証され得るかに関する制限を提供することができる。検証器1030は要求者を検証し、認証応答をホストネットワーク1190に提供し得る。次いでホストネットワーク1190が、アクセス応答をコンピューティング装置922に転送し得る。
図12は、種々の実施形態による、要求者を認証する方法の操作を示すフロー図である。図12を参照すると、操作1210で、要求者装置は、要求者装置の物理的位置を決定する。幾つかの実施形態では、要求者装置920は、要求者装置920の位置を決定する一又は複数の位置特定モジュールを含み得る。限定されない一例として、要求者装置920は、全地球測位システム(GPS)からの信号に基づいて位置を決定するために、全地球測位システムモジュールを含む又はこれに通信可能に結合され得る。代替的に又は付加的に、要求者装置920は、米国特許第7,489,926号、第7,372,400号、第7,579,987号、及び第7,468,696号のうちの一又は複数の特許文献に記載されているように、位置を一又は複数のLEO又はMEO衛星910からの信号に基づいて決定するためのロジックを含むことができ、これらの特許文献の開示内容は、本明細書において参照されることにより、それぞれの特許文献の内容全体が本明細書に組み込まれる。幾つかの実施形態で、要求者装置920の位置は、緯度/経度座標値で又は別の地球座標系で表され得る。
操作1215で、要求者装置920は、スポットビーム伝送を衛星910から受信する。幾つかの実施形態で、要求者装置920は、衛星スポットビームからの擬似乱数コードセグメントを含む、一又は複数の独特のビームパラメータ(例えば、時刻、衛星ID、ビームID、時刻バイアス、衛星軌道データなど)を抽出する。幾つかの実施形態で、要求者装置920は、ビームパラメータを、要求者装置920内のメモリモジュール又は要求者装置920に通信可能に結合されるメモリモジュールに記憶することができる。一又は複数の実施形態で、操作1215は、先行する操作1210とほぼ同時に起こり得る。
操作1220で、要求者装置920は、一又は複数の通過点データスナップショットの生成を継続することができ、通過点データスナップショットは、操作1210からの要求者装置920に対する位置情報と、操作1220に記載される、衛星スポットビームを介して伝送される独特のビームパラメータのうちの一又は複数とを含み得る。幾つかの実施形態で、これら通過点データスナップショットは、要求者装置920内のメモリモジュール又は要求者装置920に通信可能に結合されるメモリモジュールに記憶され得る。
幾つかの実施形態で、要求者装置920は、通過点データスナップショットのアレイを経時的に収集し得る。例えば、通過点データスナップショットのアレイは、スポットビームを、要求者装置920の上方を通過する複数の衛星910から経時的に受信することにより作成され得る。代替的に又は付加的に、通過点データスナップショットのアレイは、要求者装置920を衛星910に対して移動させることによって、例えば要求者装置920を図10Bに示すように航空機925内に配置することによって、作成され得る。付加的な例は、危険な材料を含み得るエンティティ又はアセットの移動ルートを立証するための追跡装置として作用する要求者装置を含んでもよい。予測経路が実際の経路と一致していることを検証するための通過点データを提供するために、要求者装置はポーリングされ得る。要求者装置はランダムにポーリングされ得る。
操作1220では、一又は複数の通過点データスナップショットが要求者装置920から検証装置1030に転送される。一例として、図10Aに示す実施形態では、一又は複数の通過点データスナップショットは、送信機1020を介して又は別の通信ネットワークによって伝送され得る。図10Bに示す実施形態で、一又は複数の通過点データスナップショットは、航空機925から衛星910に伝送され得、次に衛星ネットワークを介して検証装置1030に伝送され得る。
操作1225で、検証器1030は、位置データ及び通過点データを要求者装置920から受信する。操作1230で検証器1030は、位置情報及び通過点データを、既知の有効データセットにおける対応するデータと比較して、要求者を認証する。一例として、イリジウム衛星コンステレーションのようなLEO衛星は、近似パラメータが十分に前もって取得可能な既知の軌道で地球を周回する。検証装置1030は、地球の周りの既知の軌道にある衛星910についての軌道情報を含む衛星軌道データベース1164を含み得るか、又は衛星軌道データベース1164に通信可能に結合され得る。
幾つかの実施形態で、要求者装置から受信する位置データ及び通過点データは、既知のデータセットからの位置データ及び通過点データと比較され(操作1230)、要求者装置920が、予測される地理的位置の合理的な閾値距離内に、予測される時刻に実際に位置しているかどうかを決定する。一例として非限定的に、衛星軌道データベース1164は、要求者装置920から伝送される独特のビームパラメータに対応するデータ記録を探索され得る。一致する記録が検索されると、衛星軌道データベース1164から取り出される記録からの軌道データは、要求者装置920から受信するデータと比較され得る。例えば、既知のデータは、スポットビーム930の中心に対応する座標値と、地球表面上のスポットビーム930の半径の指示値とを含むことができる。要求者装置920から受信する座標値がスポットビームの位置と比較され得、要求者装置から受信されるデータが示す時刻に要求者装置920がスポットビームの外周で描かれる領域内にいることを、受信されるデータが示すかどうかが、決定され得る。少なくとも一つの実施形態で、スポットビームは不規則形状であり得る。少なくとも一つの実施形態で、要求者装置は、地球表面の上方のある高度に位置し得る。
操作1235において、要求者装置920から受信されるデータが、衛星910からのスポットビームの外周で囲まれる地理的領域内に、要求者装置からのデータに関連付けられる時刻に要求者装置920が位置することを示す場合、要求者装置920は認証されると見なされ得る。次に認証システムでは、制御は操作1240に渡り、要求者はリソースへのアクセスを許可される。一例として非限定的に、検証装置1030は、認証される要求者装置920に対してトークンを供与することができる。トークンは、リソースへのアクセスを供与するために、遠隔システムにより使用され得る。
一方、要求者装置920から受信されるデータが、衛星910からのスポットビームの外周で囲まれる地理的領域内に、要求者装置からのデータに関連付けられる時刻に要求者装置920が位置しないことを示す場合、要求者装置920は認証されると見なされ得ない。次に認証システムでは、制御は操作1245に渡り、要求者はリソースへのアクセスを拒否される。一例として非限定的に、検証装置1030は、認証される要求者装置920に対してトークンを拒否することができる。トークンがない状態で、要求者装置920は、遠隔システムが管理するリソースへのアクセスを拒否され得る。
したがって、図9〜11に示すシステムアーキテクチャ、及び図12に示す方法によって、一又は複数の要求者装置920の衛星ベースの認証が可能になる。遠隔コンピューティングシステムが管理する一又は複数のリソースへのアクセスを許可する又は拒否するために、認証システムは使用され得る。幾つかの実施形態では、一又は複数の要求者装置は静的であり得る一方、他の実施形態では、一又は複数の要求者装置は可動であってもよく、認証プロセスは、時刻ベース、位置ベース、又はこれら双方の組み合わせであり得る。
幾つかの実施形態で、このシステムを用いて、リソースのセッション全体に渡る使用を一又は複数の要求者装置920に認証する、セッションベースの認証を実装することができる。他の実施形態で、このシステムはメッセージベースの認証を実装することができ、ここで、一又は複数の要求者装置920は、要求者装置920から遠隔リソースに伝送される各メッセージに対して個別に認証されなければならない。
例示的な一実施形態では、本明細書において記載される認証システムを使用して、社内eメールシステム、社内ネットワーク、軍隊もしくは民間インフラネットワーク、又は電子バンキング施設などの、セキュアなコンピューティングリソースへのアクセスに対する認証を提供することができる。他の例示的な実施形態では、認証システムを使用して、物流システムにおける車両の配送行程を確認することができる。一例として、トラック、列車、船舶、又は航空機のような可動エンティティは、一又は複数の要求者装置920を含み得る。スケジュールされた任務の過程で、物流システムは要求者装置920を定期的にポーリングすることができ、これら要求者装置920は、衛星910から得られる認証データを伴い応答することができる。認証データは物流システムに収集され、一又は複数の要求者装置が物流計画に従って特定の位置に所定の時刻に位置していることを確認するために使用され得る。
さらなる別の例では、本明細書に開示される認証システムの実施形態は、監視システム、例えば自宅監禁監視システムに関連付けられる一又は複数の要求者装置の位置を検証するために使用され得る。このような実施形態では、一又は複数の要求者装置は、指紋生体認証センサのような一又は複数の生体認証センサを援用してシステムのユーザを認証することができる一方、要求者装置が所定の位置に所定の時刻に位置する(すなわち要求者が、正しい場所に正しい時刻に位置し且つ正しい人物である)ことを確認するために使用され得る。認証装置は、要求装置の位置を、規定リストの承認位置に照らして精査することもでき、これら承認位置は、認証システムによって、要求者装置の位置及び時刻を、承認された時間期間における承認された位置のセットに照らして精査することにより、さらに精緻化することができる。さらに、登録性犯罪者を追跡するためにこのシステムを使用することができる。
幾つかの実施形態で、衛星910は、地球を既知の軌道で周回し且つ既知の幾何学形状を有するスポットビームを伝送する、イリジウムコンステレーションなどのLEO衛星システムの一部であり得るため、一又は複数の要求者装置は、指定されたスポットビーム内に指定された時刻に位置することをこの要求者装置が確認することによって、認証され得る。したがって要求者は、単一の信号源(例えば単一の衛星910)を使用して認証される。イリジウムコンステレーションなどのLEO衛星及びMEO衛星は、比較的高い電力の信号レベルを伝送するため、このシステムを用いて、例えば屋内などの閉塞環境もしくは都市地域に位置する一又は複数の要求者装置を認証することもできる。また、LEO衛星及びMEO衛星の比較的高い信号強度によって、これらの信号を妨害行為の影響を受け難い状態に保つことができる。
ガードスポットビームベース認証
ガードスポットビームベース認証は、要求者(ユーザ又はユーザ装置)を認証するための、並びに、ガードスポットビームを使用して衛星ベースの認証システムにおけるなりすましを阻止するための、方法、システム、及び装置に関する。一又は複数の実施形態で、ガードスポットビームベース認証は、権限のない要求者が信号を追跡することを防止するために、伝送ベースの認証システムの方法を利用する。
図13は、「ビームゼロ」とも称される認証ビーム1320とこれに伴う一又は複数のガードビーム1330とを含む重なりスポットビーム1340を伝送する衛星1310を用いる、伝送ベースの認証システム1300一実施形態を示す。権限のない要求者1350は、正当な権限のある要求者1360の位置を装うことによってセキュアネットワークへのアクセスを達成するために、認証システム1300になりすまし攻撃を試みる。一又は複数の実施形態で、要求者は、静的なもしくは可動のユーザ又はエンティティであり得る。一実施形態で、エンティティは装置(例えば携帯電話、個人用装置、コンピュータ、サーバなど)もしくはシステムであり得、ユーザは人間もしくは他の生物又は非生物であり得る。
ガードビーム1330内及びビームゼロ1320内の各位置は、固有の認証信号を各ビーム1340から受信する。これらのビーム1340が重なる領域内の位置は、複合認証信号を受信する。権限のない認証要求者1350は、権限のある認証要求者1360の位置に位置せず、したがって、権限のない認証要求者1350は、セキュアネットワークへのアクセスに必要な特定の認証信号1320を受信しない。要求者は、これらの衛星認証信号によって検証可能な正当な位置にない限り、セキュアネットワークへのアクセスを拒否される。
図14は、屋内環境で使用される伝送ベースの認証システム1400の一実施形態を示す。一又は複数の実施形態では、伝送ベースの認証システム1400が用いられ得る追跡/監視システムのタイプは、限定しないが、無線周波数識別(RFID)システム、従業員セキュリティに使用されるようなスマートカード、オンラインバンキングまたは他のファンド/クレジット監視、囚人追跡;及びMegan’s Law(ミーガン法)に基づく性犯罪者の追跡を含み得る。
図14に示すように、権限のある要求者1410が正当な位置にいるということを、時刻及び位置の両方について固有である衛星信号を使用することによって認証装置1430が検証するとき、屋内/減衰環境内にいる権限のある要求者1410は、セキュアネットワークへのアクセスを取得する。正当な位置にいるという虚偽の主張をすることによって認証システム1400になりすまし攻撃を試みる権限のない認証要求者1420は、正しい固有の信号データを提供することができないため、ネットワークへのアクセスを拒否される。固有の信号は、衛星1450により伝送される複数の重なりビームから特定の位置で受信される、合成複合信号である。これら重なりビームは、権限のある認証要求者1410を含む領域をカバーする。この図において、権限のある認証要求者1410は、GPS信号及び他の位置決定信号が届かない屋内にいることが示されており、権限のない認証要求者1420は外側で認証装置1430になりすまし攻撃を試みていることが示されている。
やはり図14を参照すると、権限のある認証要求者1410は、セキュアネットワークへのアクセスを、セキュアネットワークの認証装置1430に対して、地上ベースの通信システム1440を介してリクエストする。このリクエストは、権限のある認証要求者1410が衛星1450から受信する、固有の時刻及び位置信号からのデータを含む。信号データが権限のある要求者1410の位置に一致する場合、認証装置1430は、要求者1410にセキュアネットワークへのアクセスを供与する。このように、ビームゼロによって照射される領域内にいることが図示される権限のある要求者1410は、セキュアネットワークへのアクセスを供与されるのに対し、ビームゼロとビームゼロ認証信号を破損(corrupt)させるガードビームとによって照射される領域内にいることが図示される権限のない要求者1420は、アクセスを拒否される。
図15A〜15Fは、一又は複数の要求者の位置とアイデンティティとを認証するために、複数の重なりスポットビームから一又は複数の要求者によって受信される信号が使用される、一実施形態を示している。基本概念は、重なり合うスポットビームのパターンの内部で要求者がどこに位置するかに応じて、複数のスポットビームから発信される信号の組合せから、各要求者が異なる複合信号を受信することである。具体的には、図15Aは、三つの重なり合うスポットビーム(すなわち、ビーム1、ビーム2、及びビーム3)の内部及び近傍の様々な場所に位置する四つの要求者(すなわち、A、B、C、及びD)の例示的な状況を有する、開示される伝送ベースの認証システムを示す。したがってこの図は、要求者A、B、及びCの位置を照射する重なりスポットビームを示している。要求者Dの位置は、ビームパターンのわずかに外側に示される。
図15Bは、図15Aの三つのスポットビームにより伝送される例示的な信号(1、2、及び3)を示すグラフ1500である。具体的には、この図は、各スポットビーム(ビーム1、ビーム2、及びビーム3)により伝送されて要求者を認証するために使用される信号の例示的な組を示している。三つの折れ線(グラフ1500の1、2、及び3に示す)は、各ビームスポットから伝送された信号の経時的なビットシーケンスを示す。これら三つのビットシーケンスは、本発明の概念を例示するためにのみ使用される。したがって、他の多くの種類の信号及び変調形式も用いることができる。また、権限のない要求者からの付加的な保護を提供するため、及び、可動の要求者が特定の位置にあるときに対する固有の時間を提供するため、信号パターンは周期的に変化させられることもできる。加えて、要求者の認証に使用されるこれら信号は、通常の伝送の間の短期間に通常の信号とは別に伝送され得るか、又は代替的に、通常の信号内に埋め込まれ得る。
図15Cは、図15Aの四つの要求者(A、B、C、及びD)の位置における三つのスポットビーム(ビーム1、ビーム2、及びビーム3)の信号強度のアレイ1510を示す。具体的には、受信信号ビーム(sbr)のアレイ1510は、アレイ1510の行に示す受信信号ビーム(ビーム1、ビーム2、及びビーム3)から、アレイ1510の列に示す各要求者(A、B、C、及びD)によって受信された、信号強度を示している。例えば、位置Bの要求者は、信号の大部分をビーム2から受信しており、その信号強度は11であるのに対し、ビーム1及びビーム3の信号強度はそれぞれ2及び1.5である。要求者の受信信号の特性及び/又はプロパティは、要求者の位置を立証するために使用される署名となる。
図15Dは、図15Aの三つのスポットビーム(ビーム1、ビーム2、及びビーム3)のビットのアレイ1520を示している。この図でビットアレイ1520は、三つのアレイの行に、各ビーム(ビーム1、ビーム2、及びビーム3)が発信する信号シーケンスを時間の関数として示し、時間はアレイ1520十六(16)の列で表されている。ここで概念を説明すると、発信される信号はバイナリである。しかしながら代替的な実施形態では、他の信号パターンを用いてもよい。
図15Eは、図15Aの四つの要求者(A、B、C、及びD)が受信する合成信号シーケンスのアレイ1530を示している。この図は、複数の重なりビームから位置A、B、C、及びDにおける要求者によって受信される複合信号の、合成シーケンスを示している。合成信号は(rx)=g×(sbrT)×(ビット)であり、ここでgは各要求者受信器の利得に等しい。この実施例で、利得(g)は0.7に等しい(すなわちg=0.7)ように選択される。受信アレイの十六(16)の行(rxT)1530は時間ステップを表しており、四つ(4つ)の列は要求者の異なる位置(A、B、C、及びD)に対応している。この実施例で、位置Dの要求者は、ビームパターンの外側に位置しているため信号を受信しないことに留意すべきである。
図15Fは、図15Aの四つの要求者(A、B、C、及びD)によって受信される合成信号を表すグラフ1540を示す。四つの折れ線(A、B、C、及びD)は、位置A、B、C、及びDにおける要求者によって受信される、合成信号の時間シーケンスを示す。四つの合成複合信号は、四つの要求者に対してそれぞれ、固有の要求者位置識別を提供する。
図16は、二次任務の部分としてガードビーム伝送を使用する、伝送ベースの認証システム1600の一実施形態を示す。この実施形態では、少なくとも一つのガードビームが、衛星1610における二次任務の部分として、正当なデータを伝送するために使用される。例えば、ガードビーム到達範囲内において有効な、ディファレンシャルGPSネットワーク補正値などの地域情報を放出するために、ガードビームを使用することができる。しかしながら、よりランダムな信号と比較して、地域情報はなりすまし者によって決定され易いため、より高いセキュリティのためにこれは好ましい実施形態ではないことに留意すべきである。別の実施例として、ガードビームは、主要任務(すなわち認証信号)に関連するデータ及び/又は二次任務に関連するデータを伝送するために使用されることができる。
図16に示すように、認証信号はバーストにおいて伝送され得る。認証信号は、認証信号のタイミングが要求者の位置を示すように、バーストに、ビームゼロに、又は交互ビーム(ビームゼロとガードビームとを含む)において、ランダムに送信され得る。したがって、要求者が複数のバーストを受信する場合には、要求者はビームゼロ内又はビーム重なり領域内部に位置している。
代替的な実施形態では、認証信号は、衛星伝送電力及び/又は帯域幅への影響を最小にするために、通常のデータ伝送に埋め込まれ得る。認証信号は、通常の受信には影響を与えない様々な方法(例えば、時間、周波数、偏光シフトなど)でデータ伝送に埋め込まれ得るが、特殊なプロセスにより検出可能である。
一又は複数の実施形態で、認証信号は、ビットごとベースで放出電力を変化させることにより、通常のデータ伝送に埋め込まれ得る。これらの実施形態の場合、ガードビームのビット変調により、伝送されるビットの放出電力がビットごとベースで変化する。これにより、なりすまし者が、局所的なガードビーム中でビットの観測を試み、それらを取り除くためにデータを処理することが防止される。
例えば、なりすまし者は下記のような一連の計測(m):
95 105 105 −105 105 −105 95 −105 −95 −95
を行う。
なりすましは、ガード信号(g)が符号(m)すなわち
1 1 1 −1 1 −1 1 −1 −1 −1
であったと推測し得る。
したがって、なりすまし者がアクセスを試みる信号は、符号(m−符号(m)*100):
−1 1 1 −1 1 −1 −1 −1 1 1
である。
固定の電力信号の代わりに、ガードビームの放出電力が
107 97 91 −93 99 −91 93 −10 −107 −101
となるように受信信号の構成要素が変調された場合、
なりすまし者が受信するであろう信号は
102 102 96 −98 104 −96 88 −112 −102 −96
となるであろう。
このような測定値の組から認証信号の算出を試みることが、なりすまし者にとってはるかに困難となるであろう。
加えて、同じ構想の延長が、ガード帯域信号上に微小なランダム四位相偏移変調(QPSK)信号を加えることであり得ることに留意すべきである。この場合も、有用な情報を伝送するためにガード信号を使用することができる。
図17は、異相二位相偏移変調(BPSK)ガードビーム伝送を用いる、伝送ベースの認証システム1700を示している。特にこの図では、ガードビームは、隣接する重複ビーム間に異相BPSK信号を使用して認証信号を伝送する。したがって、重なり領域内の信号はQPSK信号となる。次いで、要求者が受信する信号の位相整合及び信号タイプを解析することにより、ビーム内部における要求者の固有の位置が決定される。
一般的に認証操作は、可動の要求者及び/又は静的な要求者(すなわち固定位置にある要求者)を含み得、ガードビームから提供される固有の時刻信号及び位置信号を利用して、セキュアネットワークへのアクセスを取得する。図18は、可動且つ航空ベースの要求者1805を有する、伝送ベースの認証システム1800の一実施形態を示す。これらの実施形態では、地上、海上、及び空中の固定位置並びに移動位置の両方にある要求者をカバーする重なりビームから、経時変化する認証信号を伝送するために、一又は複数の衛星が使用され得る。幾つかの実施形態で、システムは、ガードビーム認証信号を周期的に変化させて、なりすまし攻撃の可能性をさらに最小化しようとする。これらのガードビームは理想的には、局所的GPS補正を実行する任務などの二次任務に適するよう、継続的にランダムに及び/又は何らかの他のランダムな方式で変化され得る。
図18に示すように、衛星1850は、ビームゼロ認証信号1810及びガードビーム1845を伝送し得る。航空機として表される、可動且つ航空ベースの要求者1805は、セキュアネットワークへのアクセスを、認証データを送信することによりリクエストすることができ、認証データは、経時的及び空間的に変動する重なりガードビームから衛星通信アップリンク1815を介して得ることができる。衛星1850は認証リクエストを、クロスリンク1820を介して別の衛星1855に伝送する。次いで、衛星1855はリクエストを、ダウンリンク1825を介して衛星通信ターミナル1830に伝送することができる。衛星通信端末1830はリクエストを、地上ベースの通信システム1835を介して地上ベースの認証装置1840に渡す。可動の要求者1805が正当な場所に適切な時刻に位置している場合、要求者1805は、セキュアネットワークへのアクセスを供与される。この実施形態では、航空機1805へのセキュアネットワークリンク1815は、衛星1850を経由して図示されているが、他の実施形態では、他の可動なセキュアリンクが用いられ得る。幾つかの実施形態では、セキュアネットワークへのアクセスは要求者に対して、要求者が再証明されることが必要とされる前の、限られた時間期間のみ供与され得る。これらの実施形態は特に、可動の要求者に関わるものである。
代替的な実施形態では、二次信号源を使用して追加的なシールド伝送を提供し得る。例えば、第2の衛星が第1の衛星の外側ビームに対してガードビームを放出してもよい。
図19は、認証サーバ1920と連動したサイバーロケートポータル1910を用いる、伝送ベースの認証システム1900の一実施形態を示す。この図では、権限のあるユーザがセキュアに保護されるネットワーク1930に、ユーザのラップトップコンピュータ1940を介してログインすることを望む。ユーザは、ユーザの位置に応じて、衛星1950から伝送されている固有の認証信号を受信する。
ラップトップコンピュータ1940はインターネットに、サイバーロケートポータル1910装置を介してアクセスする。これを行うためにラップトップコンピュータ1940は、任意選択で、サイバーロケートポータル1910装置を介してネットブートすることができる。ラップトップコンピュータ1940がネットブートを実行した後、ラップトップコンピュータ1940は、サイバーロケートポータル1910装置のオペレーティングシステム(OS)上で動作することとなる。サイバーロケートポータル1910装置のオペレーティングシステム上で動作することにより、ラップトップコンピュータ1940は、サイバーロケートポータル1910装置のオペレーティングシステムがウィルスを有する機会がラップトップコンピュータ1940よりもはるかに少ないため、よりセキュアなオペレーティングシステムを利用していることになる。これは、インターネットにアクセスし電子メール添付ファイルを開くためにラップトップコンピュータ1940が要求者によって頻繁に使用され、したがってサイバー攻撃及び/又はネットワーク攻撃に対して脆弱であるからである。
次に、ラップトップコンピュータ1940は、固有の認証信号情報を、サイバーロケートポータル1910を介してセキュアインターネットリンク1960を経由し認証サーバ1920に送信する。
認証サーバ1920が固有の認証信号情報を受信すると、認証サーバ1920は、ユーザが権限のあるユーザであるかどうかを検証するためにこの情報を処理する。このユーザが権限のあるユーザであることを認証サーバ1920が検証した後、認証サーバ1920は、認証メッセージを、セキュアに保護されるネットワーク1930に、セキュアインターネットリンク1960を経由して送信する。セキュアに保護されるネットワーク1930が認証メッセージを受信すると、セキュアに保護されるネットワーク1930はユーザに、このネットワークへのアクセスを許可する。一又は複数の実施形態で、セキュアに保護されるネットワーク1930は、仮想プライベートネットワーク(VPN)サーバ1970を介してインターネットに接続される。
本明細書における方法及び装置は、ガードスポットビームのための操作システムを提供する。具体的には、このシステムは、衛星ベースの認証システムにおけるなりすまし攻撃を防止するためのガードスポットビームに関する。これらのシステム及び方法は、権限のない要求者が、正当な権限ある要求者を対象とした信号を追跡することを防止するための、伝送ベースの認証システムを教示する。要求者は、可動のもしくは静的なエンティティ又はユーザであり得る。一又は複数の実施形態で、システム及び方法は、権限のない要求者による、単一のスポットビーム「ビームゼロ」における信号の追跡を防止するために、複数の「ガードビーム」を用いる。少なくとも一つの実施形態で、ガードビームは正当な伝送を、権限ある要求者に送信する。これらの伝送は、局所情報または地域情報を含み得る。他の実施形態で、ガードビームは、権限のない要求者及び侵害されるシステムを検出し位置特定するために使用され得る、偽データを伝送することができる。
具体的には、これらのシステム及び方法は、要求者を認証するために少なくとも二つの伝送スポットビームを使用することができる、伝送ベースの認証システムを教示する。スポットビームで伝送されるデータは、これらビームのうちの一つにおけるデータを他のビームにおけるデータから判別するために使用され得る、認証鍵及び/又は他の擬似乱数コードセグメントを含み得る。システム及び方法は、他の特徴的なビーム特性及び/又はデータ特性を用いて、これらのビーム内のデータを判別することができる。加えて、システム及び方法は、屋内環境において用いられ得る。システム及び方法は付加的に、システムの全体的なセキュリティを高めるために、生体認証技術を用いて権限のある要求者を認証することができる。
一又は複数の実施形態で、システム及び方法は、様々なタイプのネットワークセキュリティ用途及び/又はサイバーセキュリティ用途に利用され得る。幾つかの実施形態では、システム及び方法は、自己構成型ネットワーク、ピアツーピアネットワーク、及び/又はアドホックネットワークを含むがこれらには限定されないネットワークの、ネットワークセキュリティに関する。付加的に、システム及び方法を用いて、ネットワーク化されたシステムへのアクセスを制限することができる。
認証システムは少なくとも三つの態様を含む。認証システムの一態様は、権限のない要求者がセキュアネットワーク又はリソースにアクセスすることを制限することである。権限のない認証要求者がセキュアネットワーク又はリソースへのアクセスを取得しようとする一つの方式は、権限のない要求者が権限ある要求者として識別するよう、認証装置に対するなりすまし攻撃を介してである。権限のない要求者が解読しなければならなくなる少なくとも一つの付加的な信号を提供する少なくとも一つの「ガードビーム」を付加すると、権限のない要求者が主信号にアクセスできる能力は、発揮することがはるかに困難になる。これは、信号をノイズのみから抽出するよりも混合信号から抽出する方が、権限のない要求者にとって困難となり得るためである。したがって、ビームゼロの外周部の周りに追加される付加的なガードビームの各々により、なりすまし攻撃の困難さを高めることができる。
一又は複数の実施形態で、ガードビームは、ビームゼロを伝送するよりも大きい電力で伝送され得る。これによって、権限のない要求者がビームゼロ内の主信号を解読することを困難にし、ガードビームからの信号にビームゼロ認証信号をシールドさせることになる。これは、実際には、ビームゼロ認証信号をマスクすることによって、権限のない要求者の受信機を本質的にはジャミング(すなわち、同じ周波数に載せて伝送された異なるデータが受信機において干渉し合うときに起こる現象)することである。加えて、権限のない要求者はビームゼロ認証ビームの外周部の外側に位置し得るため、シールド用ガードビームは、権限のない要求者までの距離という観点からはビームゼロ認証ビームよりも近いことに留意すべきである。したがって、シールド用ガードビームは、権限のない要求者の受信機において、ビームゼロ認証ビームよりも大きい信号強度を有することができる。したがって、ガードビームの信号強度がより大きいことにより、権限のない要求者の受信機からビームゼロ認証信号をシールドする助けとなる。
認証システムの第二の態様は、単一の信号伝送元のみが求められ得ることである。これは、例えば本開示のシステムがイリジウム低高度軌道地球周回(LEO)衛星コンステレーションを利用する場合であり得、この場合、コンステレーションにおける各衛星は、四十八(48)のスポットビームを独特のスポットビームパターンで伝送するアンテナ形状を有する。認証装置は、権限のあるエンティティ、ユーザ、及び/又はメッセージを、要求者が正しいスポットビーム内に位置すると決定することにより認証することができる。代替的に、認証装置は、権限のあるエンティティ、ユーザ、及び/又はメッセージを、要求者が正しいスポットビーム内に正しい時刻において位置すると決定することにより認証することができる。この特定のコンステレーションの衛星のビーム形状によって、先述のなりすまし防止策を、少なくとも二つのビームを伝送するこれらの衛星のうち一つのみを利用して講じることができる。代替的実施形態では、システムは一つよりも多くの信号伝送元を用い得ることに留意すべきである。
一又は複数の実施形態では、認証システムがイリジウム衛星コンステレーションを利用する場合、固有の擬似乱数ノイズ(PRN)コードセグメント(すなわち認証鍵)を含み得る少なくとも一つの高電力信号を伝送するために、衛星のうちの少なくとも一つが使用され得る。地上の、権限のある要求者は、ビーム特有の認証鍵を含むこの信号を記録することができ、次に、記録された信号を認証装置に(例えば地上ネットワークを介して)伝送し、要求者が主張する仮の場所を証明しようとする。スポットビームの形状及び重なりは経時変化するため、所与の、権限のある要求者は、固有鍵の履歴をログするであろう。認証領域の外側に位置するハッカー予備軍(すなわち権限のない要求者)は、認証鍵にアクセスすることができない及び/又は自身の位置を実証することができないため、システムへのアクセスを拒否される。このように、用いられる衛星の数の多さ、衛星の低軌道、スポットビーム速い動き、及びイリジウム衛星のスポットビーム構成のために、システムになりすまし攻撃又はハッキング行為を仕掛けることが困難になり得る。少なくとも一つの実施形態で、このシステムは、スポットビーム認証機能の他に地理的位置を活用して、認証を典型的には100メートル(m)以内に限定する。
認証システムの第三の態様は、例えば上述のイリジウムLEO衛星のうちの一つを用いる場合、信号が屋内環境の内部にまで届くことができるよう、伝送信号電力は十分強力である。これによりシステムを、認証技術における多くの屋内用途に使用することができる。
認証システム及び方法がどのようにネットワークセキュリティに恩恵をもたらすことができるかをさらに深く理解するために、ネットワークセキュリティに関する簡単な説明を提示する。ネットワークセキュリティは、ネットワーク化された電子システムが社会により深く浸透しサイバーシステムに組み込まれるようになってきたため、依然として重要なインフラストラクチャ要素となっている。このようなシステムは、極めて大規模なデータ処理、ウェブを介した他のさらに汎用的なプロセス、及び、国家インフラを脅威にさらす脆弱性を持つ他のネットワークに利用される。重要なインフラストラクチャ要素に侵入し、阻害し、及び/又は動作不能に陥れようとする国外及び国内における悪意ある活動は増加しており、したがって、これらの増大する脅威からこれらシステムを保護するためにネットワークセキュリティを強化する必要がある。権限のない当事者によるこれらシステムへのアクセスは様々な程度の社会的影響を有し得、任意の所与の攻撃は本質的には重要でないように見えるかも知れないが、これが将来のさらに激しい攻撃の前触れとなり得る。世界中の電子サイバーシステムは、サイバー攻撃の劇的な増加に直面している。サイバー攻撃はしばしばネットワークの脆弱性を狙ったものであり、正当なエンドユーザになりすますことにより行われることが多い。
権限のないユーザまたは阻害される電子システムを検出する既存の方法は、攻撃が発見される場合であっても、権限のないアクセスがどこを起点とするかを犯罪者の手法によって隠すことができるという点で機能欠如している。この問題が生み出す付加的な問題は、攻撃が例えば外国を起点とすると考えられる場合に、権限のないユーザのおよその近傍を決定することができないために、当局者が外国に、是正措置を求める又は米国に対するこのようなサイバー攻撃の調査を実施させるべくより強い圧力を掛けることができないことを意味する。
現在の既存のアイデンティティ検証方法は概して動的ではなく(例えばパスワード、ピンなどを使用する)、これにより、これらシステムが傍受及び他の強引なハッキング手法に対してさらに脆弱なままとなっている。高レベルな観点から、これらのネットワークセキュリティシステムは、(1)権限のあるユーザのみを認証する、(2)システム可用性及び信頼性を維持する、及び(3)権限のないユーザに対しアクセスを制限する、という3つの主目標を有する。したがって、アクセスを制限し、正当な権限のあるユーザを認証し、並びにシステム可用性及び信頼性を維持すると同時に、これら既存のネットワークシステムのセキュリティを強化する改善された技術を有することが有利である。
一実施形態では、少なくとも一つの認証信号は少なくとも一つのイリジウム衛星から伝送され得る。各イリジウム衛星は、地球表面上又は地球表面近傍の要求者に局所認証信号を伝送するために使用され得る、四十八(48)のスポットビームを有し得る。これら認証信号に関連付けられる、放出されるメッセージバースト成分は、擬似乱数ノイズ(PRN)データを含む。所与のメッセージバーストは、特定の衛星スポットビーム内で特定の時間に発生するため、PRN及び固有のビームパラメータ(例えば時刻、衛星識別情報(ID)、時刻バイアス、軌道データなど)を含むメッセージバースト成分が、要求者を認証するために使用され得る。
上述で簡単に説明したように、スポットビームベースの認証システムは先天的に、権限のない要求者によるなりすまし攻撃に対し脆弱であり得る。このような要求者は、信号伝送を傍受するために、認証信号の対象である要求者の近傍の位置に受信機装置を設置することができる。こうすることにより、権限のない要求者は、特殊化した認証信号を偽造(spoof)しようとすることができる。この操作は、伝送される認証データを記録して信号処理を完了させ、記録される信号と同じビットを有し且つ対象の要求者の位置と一致するタイミング及びドップラー特性を有する信号を開発することによって、達成することができる。こうすることにより、認証装置は、権限のない要求者が権限のある要求者と実質的に同じ位置にいると考え得る。しかしながら、ビームゼロ内でデータを記録することは、そうすることに関連するインフラストラクチャ上の複雑性のために起こりにくいため、権限のない要求者は、隣接するスポットビームからデータを記録しようとする必要があるであろう。
イリジウム衛星を使用して伝送を行なう場合、認証信号は、屋内でも受信されることができる構造を持つ高強度信号であり得る。したがって、ビームゼロの外側に位置する屋外受信機を有する権限のない要求者にとって、認証信号を受信することは、信号プラスノイズ(signal plus noise)のみを受信している場合には比較的簡単である(すなわちこの状態は、認証信号がガードビームを伴わずに伝送されているときに起こる)。しかしながら、衛星が異なる信号を隣接するスポットビームにおいて放出している場合、権限のない要求者にとって、なりすまされた位置における要求者を対象とする認証データを受信することは、はるかに困難となり得る。
一又は複数の実施形態では、なりすまし攻撃の成功を抑えるために、認証システムは:(1)認証信号を、対象となる正当かつ権限のある要求者に対するビームゼロを介して伝送し;(2)認証信号と同じ周波数にあり得るガード信号を、ビームゼロと対象となる権限のある要求者とを取り囲むガードビームを介して、伝送する。したがって、権限のない要求者の受信機は、ビームゼロからのデータとビームゼロのガードビームからのデータとを含む複数の認証信号を受信し得、ノイズから信号を抽出することと対比して信号から信号を抽出することは困難であり得るため、データの処理が困難となり得る。付加的に、権限のない要求者が信号のうちの少なくとも一つを処理することができる場合でも、ガードビームが権限のない要求者のより近くに位置するため、ガードビームの受信電力が権限のない要求者の受信機の位置でより大きくなり得ることから、この一又は複数の信号はガード信号のうちの一つであり得る。少なくとも一つの実施形態では、外側ガードビームは、内側ガードビームのうちのいずれよりも相対的に大きい電力を有することができる。
(条項1)
データアクセス制御を改善する方法であって、
少なくとも一つのコンテクスト基準に対し少なくとも一つの閾値を割り当てることと、
要求者からコンテクスト情報を受信することと、
前記要求者からの前記コンテクスト情報が、前記少なくとも一つのコンテクスト基準に対する前記少なくとも一つの閾値を満たすかどうかを決定することと、
前記要求者からの前記コンテクスト情報が、前記少なくとも一つのコンテクスト基準に対する前記少なくとも一つの閾値のうちの少なくとも一つを満たす場合に、前記要求者を認証することと、
前記要求者が認証される場合、前記要求者に前記データへのアクセスを許可することと
を含む、方法。
(条項2)
前記少なくとも一つのコンテクスト基準は、許容される仮想データ境界によって規定される許容されるアクセシビリティの許容される地理的領域、許容されない仮想データ境界によって規定される許容されないアクセシビリティの許容されない地理的領域、許容されるアクセシビリティの許容される時間、許容されないアクセシビリティの許容されない時間、許容されるアクセシビリティを伴う、人口集団の許容されるサブセット、許容されないアクセシビリティを伴う、前記人口集団の許容されないサブセット、及び、パスワード、のうちの少なくとも一つである、条項1に記載の方法。
(条項3)
前記人口集団の前記許容されるサブセットと前記人口集団の前記許容されないサブセットとの各々は、少なくとも一の人物を含む、条項2に記載の方法。
(条項4)
前記要求者からの前記コンテクスト情報は、前記要求者が前記データへアクセスしようとしているときの前記要求者の地理的位置、前記要求者が前記データにアクセスしようとしている時刻、前記要求者が前記データにアクセスしようとしている曜日、前記要求者に割り当てられる職務権限、第1の既定の時間期間中に前記要求者がアクセスを得たデータの量、第2の既定の時間期間中に前記要求者がログインした回数、及び、前記データにアクセスしようとするために前記要求者が使用している、前記要求者に関連付けられる装置のタイプ、のうちの少なくとも一つを含む、条項1に記載の方法。
(条項5)
前記要求者の前記地理的位置は、衛星ジオロケーション技術を使用して決定される、条項4に記載の方法。
(条項6)
前記衛星ジオロケーション技術は、前記要求者の前記地理的位置を得るために、認証のための少なくとも一つの信号を使用する、条項5に記載の方法。
(条項7)
認証のために使用される前記少なくとも一つの信号は、少なくとも一つの伝送元により伝送され、前記要求者に関連付けられる少なくとも一つの受信元により受信される、条項6に記載の方法。
(条項8)
前記少なくとも一つの伝送元は、少なくとも一つの衛星及び少なくとも一つの疑似衛星、のうちの少なくとも一つにおいて用いられる、条項7に記載の方法。
(条項9)
前記少なくとも一つの衛星は、低高度軌道周回(LEO)衛星、中高度軌道周回(MEO)衛星、及び、地球同期軌道(GEO)衛星、のうちの少なくとも一つである、条項8に記載の方法。
(条項10)
前記要求者の前記地理的位置は、測距技術を使用して決定される、条項4に記載の方法。
(条項11)
前記データへのアクセスは、前記データの少なくとも一部を閲覧すること、前記データの少なくとも一部をコピーすること、前記データの少なくとも一部を編集すること、前記データの少なくとも一部を削除すること、及び、前記データに付加的なデータを付加すること、のうちの少なくとも一つにより得られる、条項1に記載の方法。
(条項12)
前記要求者が認証されるとき、前記データの少なくとも一部を包含するファイル及び前記データの前記少なくとも一部を含むウェブページへのリンク、のうちの少なくとも一つを前記要求者に供給することによって、前記データの前記少なくとも一部への閲覧アクセスを提供することをさらに含む、条項1に記載の方法。
(条項13)
前記データの少なくとも一部は、少なくとも一つのテキストファイル、少なくとも一つの画像ファイル、少なくとも一つのアプリケーション、少なくとも一つのウェブページ、少なくとも一つのコンピュータコード、及び、少なくとも一つのサーバ構造、のうちの少なくとも一つに関連する、条項1に記載の方法。
(条項14)
前記少なくとも一つのコンテクスト基準のうちの少なくとも一つは、前記要求者に関連付けられる装置のタイプに依存する、条項1に記載の方法。
(条項15)
前記要求者に関連付けられる前記装置の前記タイプは、ラップトップコンピュータ、デスクトップコンピュータ、セルラ装置、及び携帯情報端末(PDA)、のうちの一つである、条項14に記載の方法。
(条項16)
前記要求者からの前記コンテクスト情報の少なくとも一部は、前記要求者のアイデンティティ、前記データにアクセスしようとしている前記要求者に関連付けられる装置、前記データにアクセスしようとしていない前記要求者に関連付けられる装置、前記要求者がアクセスしようとしている前記データ、前記要求者がアクセスしようとしている前記データを記憶しているノード、前記データを記憶している前記ノードと前記要求者に関連付けられる前記装置との間の相互接続子、及び、前記要求者がアクセスしようとしている前記データが存在するネットワーク、のうちの少なくとも一つに関連する、条項1に記載の方法。
(条項17)
前記要求者からの前記コンテクスト情報の少なくとも一部をログすることをさらに含む、条項1に記載の方法。
(条項18)
前記データが暗号化され、前記暗号化されたデータは、解読鍵を使用して前記要求者によって解読される、条項1に記載の方法。
(条項19)
前記解読鍵は、前記少なくとも一つのコンテクスト基準のうちの少なくとも一つに基づく、条項18に記載の方法。
(条項20)
前記データは、前記データの作成者、前記データの所有者、前記データの編集者、前記データを作成している装置、及び、前記データを伝送するネットワークノード、のうちの少なくとも一つによって暗号化される、条項18に記載の方法。
(条項21)
前記少なくとも一つのコンテクスト基準に対する前記少なくとも一つの閾値は、前記データの作成者、前記データの所有者、前記データの編集者、前記データを作成している装置、及び、ネットワーク管理エンティティ、のうちの少なくとも一つによって割り当てられる、条項1に記載の方法。
(条項22)
データアクセス制御を改善するための装置であって、
前記データと、データアクセス制御ポリシーと、前記データアクセス制御ポリシーのうちの少なくとも一つを施行するための少なくとも一つの実行可能なプログラム製品とを記憶するためのメモリ、
前記装置に関連付けられる要求者に関連するコンテクスト情報を伝送するための送信機、
前記要求者が認証されるかどうかに関する応答を受信するための受信機、並びに、
前記データアクセス制御ポリシーを施行するための、及び、前記要求者が認証される場合に前記データの少なくとも一部へのアクセスを前記要求者に許可するための、少なくとも一つのプロセッサを含む、装置。
(条項23)
データアクセス制御を改善する装置のための方法であって、
前記データ、データアクセス制御ポリシー、及び、前記データアクセス制御ポリシーのうちの少なくとも一つを施行するための少なくとも一つの実行可能なプログラム製品を、前記装置のメモリに記憶することと、
前記装置に関連付けられる要求者に関連するコンテクスト情報を、前記装置に関連付けられる送信機によって伝送することと、
前記要求者が認証されるかどうかに関する応答を、前記装置に関連付けられる受信機によって受信することと、
前記装置に関連付けられる少なくとも一つのプロセッサによって前記データアクセス制御ポリシーを施行し、前記要求者が認証される場合に、前記データの少なくとも一部へのアクセスを前記要求者に許可することと
を含む、方法。
(条項24)
前記データの少なくとも一部が前記メモリから削除されるようにすることと、
メモリ内の前記データの少なくとも一部を暗号化することと、
ネットワーク管理エンティティへ通知が送信されるようにすることと、
前記要求者に偽データへのアクセスを提供することと
のうちの少なくとも一つを、前記送信機が前記コンテクスト情報を伝送したときから起算して既定の時間期間内に、前記要求者が認証されるかどうかに関する前記応答が受信されないときに、前記少なくとも一つのプロセッサによって実行することをさらに含む、条項23に記載の方法。
(条項25)
前記データの少なくとも一部が前記メモリから削除されるようにすることと、
メモリ内の前記データの少なくとも一部を暗号化することと、
ネットワーク管理エンティティへ通知が送信されるようにすることと、
前記要求者に偽データへのアクセスを提供することと
のうちの少なくとも一つを、前記少なくとも一つのプロセッサが前記要求者に前記データへのアクセスを許可するときから起算して既定の時間期間内に前記データが前記要求者によってアクセスされないときに、前記少なくとも一つのプロセッサによって実行することをさらに含む、条項23に記載の方法。
(条項26)
前記データの少なくとも一部が削除されるようにすることと、
メモリ内の前記データの少なくとも一部を暗号化することと、
ネットワーク管理エンティティへ通知が送信されるようにすることと、
前記要求者に偽データへのアクセスを提供することと
のうちの少なくとも一つを、前記要求者が認証されないという応答を前記受信機が受信した後に前記要求者によって前記データがアクセスしようとされるときに、前記少なくとも一つのプロセッサによって実行することをさらに含む、条項23に記載の方法。
(条項27)
データアクセス制御を改善するシステムであって、
要求者からのコンテクスト情報を伝送するための第1の送信機と、
前記コンテクスト情報を受信するための第1の受信機と、
少なくとも一つのコンテクスト基準に対して割り当てられた少なくとも一つの閾値を前記コンテクスト情報が満たすかどうかを決定するため、前記少なくとも一つのコンテクスト基準に対する前記少なくとも一つの閾値のうちの少なくとも一つを前記コンテクスト情報が満たす場合に前記要求者を認証するため、前記要求者が認証される場合には前記要求者に前記データへのアクセスを許可するため、及び、前記要求者が認証されない場合には前記要求者に前記データへのアクセスを許可しないための、少なくとも一つのプロセッサと、
前記要求者が認証されるかどうかに関する応答を伝送するための第2の送信機と、
前記要求者が認証されるかどうかに関する前記応答を受信するための第2の受信機と
を含む、システム。
(条項28)
前記少なくとも一つのコンテクスト基準は、許容される仮想データ境界によって規定される許容されるアクセシビリティの許容される地理的領域、許容されない仮想データ境界によって規定される許容されないアクセシビリティの許容されない地理的領域、許容されるアクセシビリティの許容される時間、許容されないアクセシビリティの許容されない時間、許容されるアクセシビリティを伴う、人口集団の許容されるサブセット、許容されないアクセシビリティを伴う、前記人口集団の許容されないサブセット、及び、パスワード、のうちの少なくとも一つである、条項27に記載のシステム。
(条項29)
前記人口集団の前記許容されるサブセットと前記人口集団の前記許容されないサブセットとの各々が少なくとも一の人物を含む、条項28に記載のシステム。
(条項30)
前記要求者からの前記コンテクスト情報は、前記要求者が前記データへアクセスしようとしているときの前記要求者の地理的位置、前記要求者が前記データにアクセスしようとしている時刻、前記要求者が前記データにアクセスしようとしている曜日、前記要求者に割り当てられる職務権限、第1の既定の時間期間中に前記要求者がアクセスを得たデータの量、第2の既定の時間期間中に前記要求者がログインした回数、及び、前記データにアクセスしようとするために前記要求者が使用している、前記要求者に関連付けられる装置のタイプ、のうちの少なくとも一つを含む、条項27に記載のシステム。
(条項31)
前記要求者の前記地理的位置は、衛星ジオロケーション技術を使用して決定される、条項30に記載のシステム。
(条項32)
前記衛星ジオロケーション技術は、前記要求者の前記地理的位置を得るために、認証のための少なくとも一つの信号を使用する、条項31に記載のシステム。
(条項33)
認証のために使用される前記少なくとも一つの信号は、少なくとも一つの伝送元により伝送され、前記要求者に関連付けられる少なくとも一つの受信元により受信される、条項32に記載のシステム。
(条項34)
前記少なくとも一つの伝送元は、少なくとも一つの衛星及び少なくとも一つの疑似衛星、のうちの少なくとも一つにおいて用いられる、条項33に記載のシステム。
(条項35)
前記少なくとも一つの衛星は、低高度軌道周回(LEO)衛星、中高度軌道周回(MEO)衛星、及び、地球同期軌道(GEO)衛星のうちの少なくとも一つである、条項34に記載のシステム。
(条項36)
前記要求者の前記地理的位置は、測距技術を使用して決定される、条項30に記載のシステム。
(条項37)
前記データへのアクセスは、前記データの少なくとも一部を閲覧すること、前記データの少なくとも一部をコピーすること、前記データの少なくとも一部を編集すること、前記データの少なくとも一部を削除すること、及び、前記データに付加的なデータを付加すること、のうちの少なくとも一つにより得られる、条項27に記載のシステム。
(条項38)
前記要求者が認証されるとき、前記少なくとも一つのプロセッサは、前記データの少なくとも一部を包含するファイル及び前記データの前記少なくとも一部を含むウェブページへのリンク、のうちの少なくとも一つを前記要求者に供給することによって、前記データの前記少なくとも一部への前記閲覧アクセスを提供する、条項37に記載のシステム。
(条項39)
前記データの少なくとも一部は、少なくとも一つのテキストファイル、少なくとも一つの画像ファイル、少なくとも一つのアプリケーション、少なくとも一つのウェブページ、少なくとも一つのコンピュータコード、及び、少なくとも一つのサーバ構造、のうちの少なくとも一つに関連する、条項27に記載のシステム。
(条項40)
前記少なくとも一つのコンテクスト基準のうちの少なくとも一つは、前記要求者に関連付けられる装置のタイプに依存する、条項27に記載のシステム。
(条項41)
前記要求者に関連付けられる前記装置の前記タイプは、ラップトップコンピュータ、デスクトップコンピュータ、セルラ装置、及び携帯情報端末(PDA)、のうちの一つである、条項40に記載のシステム。
(条項42)
前記要求者からの前記コンテクスト情報の少なくとも一部は、前記要求者のアイデンティティ、前記データにアクセスしようとしている前記要求者に関連付けられる装置、前記データにアクセスしようとしていない前記要求者に関連付けられる装置、前記要求者がアクセスしようとしている前記データ、前記要求者がアクセスしようとしている前記データを記憶しているノード、前記データを記憶している前記ノードと前記要求者に関連付けられる前記装置との間の相互接続子、及び、前記要求者がアクセスしようとしている前記データが存在するネットワーク、のうちの少なくとも一つに関連する、条項27に記載のシステム。
(条項43)
前記少なくとも一つのプロセッサは、前記要求者からの前記コンテクスト情報の少なくとも一部をログする、条項27に記載のシステム。
(条項44)
前記データが暗号化され、前記暗号化されたデータは、解読鍵を使用して前記要求者によって解読される、条項27に記載のシステム。
(条項45)
前記解読鍵は、前記少なくとも一つのコンテクスト基準のうちの少なくとも一つに基づく、条項44に記載のシステム。
(条項46)
前記データは、前記データの作成者、前記データの所有者、前記データの編集者、前記データを作成している装置、及び、前記データを伝送するネットワークノード、のうちの少なくとも一つによって暗号化される、条項44に記載のシステム。
(条項47)
前記少なくとも一つのコンテクスト基準に対する前記少なくとも一つの閾値は、前記データの作成者、前記データの所有者、前記データの編集者、前記データを作成している装置、及び、ネットワーク管理エンティティ、のうちの少なくとも一つによって割り当てられる、条項27に記載のシステム。
特定の例示的実施形態及び方法を本明細書中に開示したが、前述の開示内容から、当業者には、本開示の精神及び範囲から逸脱することなくこのような実施形態及び方法に変更及び修正を加えることが可能であることは明らかであろう。その他多数の本開示の実施例があり、各実施例はその詳細事項においてのみ他と異なる。したがって、本開示は特許請求の範囲及び適用法の規則及び原理によって必要とされる範囲にのみ制限されることが意図されている。