KR101877346B1 - 위성 수신기의 스폿 빔 기반 인증 - Google Patents

위성 수신기의 스폿 빔 기반 인증 Download PDF

Info

Publication number
KR101877346B1
KR101877346B1 KR1020137008969A KR20137008969A KR101877346B1 KR 101877346 B1 KR101877346 B1 KR 101877346B1 KR 1020137008969 A KR1020137008969 A KR 1020137008969A KR 20137008969 A KR20137008969 A KR 20137008969A KR 101877346 B1 KR101877346 B1 KR 101877346B1
Authority
KR
South Korea
Prior art keywords
electronic device
spot beam
beam transmission
authenticating
satellite
Prior art date
Application number
KR1020137008969A
Other languages
English (en)
Other versions
KR20130129363A (ko
Inventor
그레고리 엠. 구트
데이비드 에이. 훼란
아른 아야가리
Original Assignee
더 보잉 컴파니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 더 보잉 컴파니 filed Critical 더 보잉 컴파니
Publication of KR20130129363A publication Critical patent/KR20130129363A/ko
Application granted granted Critical
Publication of KR101877346B1 publication Critical patent/KR101877346B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/13Receivers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • H04B7/18578Satellite systems for providing broadband data service to individual earth stations
    • H04B7/18593Arrangements for preventing unauthorised access or for providing user protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/023Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Astronomy & Astrophysics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • Remote Sensing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Radio Relay Systems (AREA)
  • Position Fixing By Use Of Radio Waves (AREA)

Abstract

일 실시 예에서, 요청자를 인증하기 위한 방법은, 스폿 빔 전송으로부터의 빔 데이터의 적어도 하나의 세트를 요청자로부터 수신하는 단계; 요청된 빔 데이터의 적어도 하나의 세트를 기지(旣知, known)의 유효한 데이터 세트와 비교하는 단계; 및 빔 데이터의 적어도 하나의 세트와 기지의 유효한 데이터 세트와의 차이가 문턱값보다 작은 경우에 요청자를 인증하는 단계를 포함한다.

Description

위성 수신기의 스폿 빔 기반 인증{SPOT BEAM BASED AUTHENTICATION OF A SATELLITE RECEIVER}
본 발명은 전자 통신 및 네트워크 보안에 관한 것이고, 더욱 구체적으로는 시스템 취약점들을 감소시키기 위하여 위성 기반 시스템들에서 이용될 수 있는 인증 기술에 관한 것이다.
네트워크를 포함하는 전자 통신 및 데이터 전송 시스템이 사회 속으로 더욱 뿌리 깊게 파고듦에 따라, 전자 보안 및 네트워크 보안은 중요한 인프라구조 엘리먼트(infrastructural element)로 남아 있다. 이러한 시스템들은, 그 취약성이 우리의 국가 인프라구조를 위협하는 웹 및 다른 네트워크들을 통해서 방대한 데이터 처리 및 일반적인 프로세스(general process)를 위해 이용된다. 인프라구조 엘리먼트에 잠입하고, 손상시키고, 및/또는 무력하게 하려는 해외 및 국내의 에퍼트(effort)들이 증가하고 있으며, 그래서 이러한 증가하고 있는 위협들로부터 시스템들을 보호하기 위하여 컴퓨팅 보안을 강화할 필요가 존재한다. 권한 없는 자(unauthorized party)에 의한 이러한 시스템들의 액세스(access)는 다양한 수준의 사회적 영향을 가질 수 있고, 임의의 주어진 공격이 현실적으로 덜 중요한 것처럼 보일지라도, 이것은 더욱 적극적인 장래의 공격에 대한 선례가 될 수 있다. 전 세계의 전자 시스템들은 사이버(cyber) 공격에 있어서 극적인 증가를 보이고 있다. 사이버 공격은 흔히 네트워크 취약점들에 기인하며, 흔히 정당한(legitimate) 최종 사용자로 가장해서 수행된다.
권한 없는 사용자들 또는 손상된(compromised) 전자 시스템들을 검출하기 위한 기존 방법들은, 공격이 발견된다고 하더라도 범인의 수법이 권한 없는 액세스가 발원한(originate) 위치를 숨길 수 있다는 점에서 부족함이 있다. 이러한 문제는 추가적인 문제들을 야기하는데, 만일 공격이 예를 들어 외국 국가에서 발원했다고 믿어지더라도, 권한 없는 사용자의 대략적인 소재(general vicinity)를 확인하기 위한 능력의 부족은 공무원들이 자국에 대해 이러한 사이버 공격을 수행하는 외국 국가에 배상을 요청할 수 없고 더욱 적극적으로 압력을 가할 수 없다는 것을 의미한다.
기존의 아이디 확인(identity verification) 방법들은 일반적으로, 시스템들이 인터셉션(interception) 및 다른 브루트 포스(brute force) 해킹 방법에 더욱 취약하게 하는, 패스워드, 핀(pin) 등과 같이 동적이지 않은(non-dynamic) 것이다.
따라서, 권한 없는 사용자에 대해 액세스를 제한하기 위해 이용되는 추가적인 기술 및 전자 통신 또는 네트워크들에 액세스를 시도하는 한 명 이상의 주체를 인증하기 위한 기술은 이러한 기존 시스템의 보안을 강화시킬 수 있을 것이다.
본 발명은 위성 기반 시스템들에서 이용될 수 있는 인증 기술을 제공하는 것을 목적으로 한다.
스폿 빔(spot beam) 기반 인증을 위한 장치, 시스템들, 및 방법들이 본 명세서에서 설명된다. 하나 이상의 실시 예들에서, 요청자(claimant)를 인증하기 위한 방법은, 위성이 스폿 빔을 통해서 특징적인 빔 데이터(beam data)를 전송하는 단계, 요청자가 상기 위성 전송으로부터 상기 데이터를 포착하는 단계, 요청자가 데이터 전송의 중개 수단(mediatory means)의 이용을 포함할 수 있는 검증자(verifier)에게 데이터를 전송하는 단계, 이후 요청된 데이터와 기지(旣知, known)의 유효한 데이터 세트(set)와의 차이가 정의된 문턱값(defined threshold) 내에 존재하는 경우에 검증자가 요청자를 인증하는 단계를 포함한다. 하나 이상의 실시 예들에서, 요청자는 일단 이러한 "단방향(one-way)" 인증 방법을 통해서 인증되면 시스템 또는 자원(resource)에 대한 접근권이 주어진다. 하나 이상의 실시 예들에서, 써드 파티(third party) 검증자는 호스트(host) 네트워크를 위해서 요청자의 인증을 완료할 수 있다. 하나 이상의 실시 예들에서 요청자는 데이터의 수신 및 데이터의 전송 둘 다를 할 수 있는 기기를 가질 수 있지만, 다른 실시 예들에서 이 두 기능은 함께 연결된 분리된 하드웨어 부품들에 하우징될 수 있다.
하나 이상의 실시 예들에서, 데이터가 틀린 것으로 입증될(invalidated) 수 있고, 요청자는 액세스가 거부된다. 하나 이상의 실시 예들에서, 데이터는 불확실한 것으로 마킹될(marked) 수 있고, 요청자를 인증하기 위해서 추가적인 데이터를 요할 수 있다. 하나 이상의 실시 예들에서, 데이터는 할당된 허용 레벨(tolerance level)을 기초로 하여 불확실한 것으로 마킹될 수 있고, 인증된 것으로 승격되거나(promoted), 금지된 것으로 강등될(demoted) 수 있다. 하나 이상의 실시 예들에서, 요청자는 인증에서 이용하기 위하여: 위성 식별 정보, 위치 식별자를 포함하는 다른 요청자 포착 데이터 또는 파생 정보(예컨대, 지구-기반 좌표들 등), 시간, 의사-랜덤 코드(pseudo-random code) 세그먼트(즉, 인증 키), 및 요청자 구별 데이터 (claimant distinctive data)(예컨대, 패스워드, 키(key), 보안 인증서 등) 중의 하나를 포함할 수 있는 추가적인 식별자(identifier)들을 검증자에게 전송할 수 있다. 본 명세서에서 사용된 바와 같이, 용어 "라이브니스(liveness)"는 이러한 타입의 식별자들을 가리킨다. 하나 이상의 실시 예들에서, 인증 키는 스폿 빔을 통해서 전송될 수 있고, 시간의 함수로서 스폿 빔 기하구조(geometry) 내에서 변화될 수 있는데, 변화하는 스폿 빔으로부터의 코드들은 그 결과로 생기는 최적 코릴레이션(correlation) 속성이 유지되도록 관리된다. 다중-위상(multi-phased) 안테나 어레이(antenna array)들이 동적인 스폿 빔들을 생성하기 위해 이용될 수 있다는 점이 본 기술분야에서 잘 이해되는 바, 적어도 하나의 실시 예에서 다중-위상 안테나 어레이가 스폿 빔들을 생성하기 위해 이용될 수 있다. 하나 이상의 실시 예들에서, 요청자는 적어도 하나의 경유지점(waypoint) 데이터를 검증자에게 전송할 수 있으며, 요청자가 이동하고 있는 동안에 이 경유지점 데이터가 포착될 수 있다. 적어도 하나의 실시 예에서, 요청자가 제시간에 적어도 한 지점에 정지해 있는 동안에 경유지점 데이터가 포착될 수 있다.
적어도 하나의 실시 예에서, 단방향 클라이언트(client) 인증 방법을 넘어서, 전자 컴퓨팅 기기(electronic computing device)들이 서로에 대해 자신들을 인증하기 위해서 다방향 인증 방법이 이용된다(즉, 이방향(two-way) 인증, 삼방향(three-way) 인증 등). 전자 컴퓨팅 기기(들)는 휴대폰, 휴대용 컴퓨팅 기기, 컴퓨터 네트워크 노드(computer network node), 서버(server), 또는 무선 네트워킹 노드(wireless networking node) 등을 포함할 수 있다. 이 방법은 무선 및/또는 유선 네트워크들을 위해서 이용될 수 있다. 이 방법은 기기들이 다른 기기들에 대해서 자신들을 인증하는 것을 가능하게 하고, 성공적인 인증 후에 수여되는 정보 및/또는 서비스들로의 액세스의 정도 또는 범위를 이러한 기기들이 결정하는 것을 가능하게 할 수 있다. 서비스는 보안 네트워크(예컨대, 온라인 뱅킹 등), 보안 데이터베이스, 회사 이메일, 및 다른 태스크 지향적 서비스(task oriented service) 등 또는 유선, 무선, 및/또는 애드혹(ad hoc) 네트워크들에 연결된 것들에 포함된 다른 보안 자원들과 같은 정보로의 액세스를 포함할 수 있다. 게다가, 이러한 다방향 인증 방법에서, 액세스의 정도 또는 범위는 또한 하나 이상의 기기들에 대해 컨텍스트 특정적(context specific)일 수 있다.
적어도 하나의 실시 예에서, 요청자를 인증하기 위한 장치는, 프로세서(processor); 및 논리 명령어(logic instructions)들을 포함하는 메모리 모듈(memory module)을 포함하고, 상기 논리 명령어들은 실행될 때 프로세서가 요청자에 의해 제공된 적어도 하나의 위치 식별자 및 위성 빔 전송으로부터 요청자에 의해 포착된 경유지점 데이터의 적어도 하나의 세트를 요청자로부터 수신하도록, 그리고 적어도 하나의 위치 식별자 및 경유지점 데이터의 적어도 하나의 세트를 기지의 유효한 데이터 세트와 비교하도록, 그리고 적어도 하나의 위치 식별자 및 경유지점 데이터의 적어도 하나의 세트 및 기지의 데이터 세트 간의 차이가 정의된 문턱값 내에 존재하는 경우에 요청자를 인증하도록 프로세서를 설정한다.
적어도 하나의 실시 예에서, 요청자를 인증하기 위한 시스템은, 기지의 스폿-빔 기하구조에 따라서 위성 빔을 전송하기 하기 위한 적어도 하나의 지구 저궤도 위성, 위성 빔으로부터의 경유지점 데이터의 적어도 하나의 세트를 수신하기 위한 수신기와 전자 기기의 위치를 결정하기 위한 위치 센서를 포함하는 적어도 하나의 전자 기기, 및 전기 기기에 의해서 결정된 위치와 경유지점 데이터의 적어도 하나의 세트와 기지의 데이터 세트를 이용해서 요청자를 인증하기 위하여 상기 적어도 하나의 전자 기기에 통신가능하게 연결된 적어도 하나의 검증자를 포함한다.
도 1은 실시 예들에 따른 위성-기반 통신 시스템의 개략도이다.
도 2a, 2b, 및 2c는 실시 예들에 따른 위성-기반 인증 시스템들의 개략도들이다.
도 3a은 실시 예들에 따라서 위성 기반 인증 시스템을 구현하도록 적용될 수 있는 컴퓨팅 기기의 개략도이다.
도 3b는 실시 예들에 따른 위성-기반 통신 시스템의 개략도이다.
도 4는 실시 예들에 따라서 요청자를 인증하기 위한 방법에서의 동작을 도시하는 흐름도이다.
상세한 설명이 첨부된 도면들을 참조하여 설명된다.
다음의 설명에서, 다양한 실시 예들의 완전한 이해를 제공하기 위하여 다수의 특정 세부사항들이 제시된다. 하지만, 다양한 실시 예들은 특정 세부사항들 없이도 실시될 수 있다는 점이 통상의 기술자에 의해 이해될 것이다. 다른 예들에서, 구체적인 실시 예들을 모호하게 하지 않기 위해서 공지된 방법, 절차, 구성요소(component), 및 엘리먼트(element)는 도시되지 않거나 자세하게 설명되지 않는다.
개체(entity) 또는 사용자(user) 인증 기술은 써드 파티 검증자가 단방향 인증 방법을 통해서 원격 자원에 대해 사용자, 자산(asset), 또는 기기(예컨대, 요청자)의 아이디를 확인하는 것을 가능하게 한다. 하지만, 이러한 단방향 방법은 요청자를 확인하기 위하여 호스트 시스템에 의해 직접 이용될 수도 있다는 점에 주목해야 한다. 개체는 추적될 필요가 있는 기기(예컨대, 휴대폰, 컴퓨터, 서버 등) 또는 자산일 수 있고, 사용자는 사람 또는 다른 생물/무생물 개체일 수 있다. 개체 및/또는 사용자는 전체 커넥션(connection) 또는 세션(session)의 존속기간(duration) 동안 인증될 수 있다. 개체 및/또는 사용자는 오리지널(original) 인증 이후에 재인증(re-authentication)을 요할 수 있다. 재인증 요구사항들은 호스트 네트워크에 의해 정의될 수 있고, 컨텍스트-특정적일 수 있다. 이와 달리, 이 시스템은 각각의 메시지에 대해 개별적인 인증 프로세스를 요하는 메시지-기반 인증 시스템을 위해 이용될 수 있다. 본 명세서에서 설명된 기술들은 세션-기반 인증, 메시지-기반 인증, 또는 이들의 조합을 위해서 이용될 수 있다.
부가적으로, 이 방법은, 단방향 인증이 원격 써드 파티에 의해서 완료될 필요 없이 하나 이상의 수신 기기(receiving device)에 의해서 완료될 수 있도록, 수신 기기 그 자체에 적용될 수 있다. 이 방법이 단일한 기기에 의해서 수행될 때, 단방향 인증 방법이 여전히 고려된다. 하지만, 이 방법은 다방향(multi-way) 인증 기술에도 적용될 수 있어서, 적어도 두 개의 피어 기기(peer device)들이 서로를 인증하는 것을 가능하게 한다. 이러한 단방향 또는 다방향 기기 대 기기(device to device) 인증 방법에 있어서 인증은 일반적으로, 두 개의 정당한 수신 기기들 각각은 알고 있으면서 임의의 권한 없는 또는 불법(rogue) 수신 기기는 알지 못하는, (대칭적 및 비대칭적) 공유 시크릿(shared secret)에 의존할 수 있다. 각각의 기기는 보안 인증서(certificate)의 형태로 공개/개인 키 쌍들(public/private key pairs) 또는 자신과 피어 기기 사이에서 공유된 비밀 패스워드(secret password)와 같은 고유한 인증 크레덴셜(credential)을 가질 수 있다. 기기는 다른 피어 기기의 만족을 위해서 공유 시크릿을 알고 있다는 것을 증명하는 때에 자신을 인증하고, 그래서 정당하게 된다. 이러한 다방향 인증 방법에 있어서 적어도 두 개의 기기들 사이에서 인증이 완료되면, 기기들은 서로에 대해 자신들의 신분을 증명하게 된다. 이후, 기기들은, 주어진 컨텍스트(given context)에 대한 네트워크 자원(networked resource)들로의 통신 및 액세스를 보호하기 위하여, 합의된 사이버 보안 정책을 구현하기 위해 선택할 수 있는 그들 자신의 인증 네트워크(authenticated network)를 생성할 수 있다.
기존 인증 방법들은 초기-보안 키(initial-security key)(들)를 생성하기 위해 사용되거나 결합될 수 있다. 초기-보안 키는, 예를 들어, 디피-헬만(Diffie-Hellman) 기술을 이용해서 공동으로(cooperatively) 생성될 수 있고, 또는 단순히 하나의 피어 기기에 의해 생성되어 대안적 보안 채널/프로세스를 통해서 다른 기기로 보내질 수 있다.
임의의 경우에 있어서, 초기-보안 키를 동반하는 것(accompanying)은 (앞서 정의된 바와 같이) 몇몇 공유 라이브니스 정보를 포함할 수 있다. 이 애플리케이션에서, 라이브니스 정보는 위성 스폿 빔을 통해서 제공되고, 타임스탬프(timestamp) 및 PRN(pseudo-random number)과 같이 인증시 사용하기 위한 파라미터들을 포함할 수 있다.
공유 라이브니스 정보의 이용은, 개시 기기(initiating device)가 자신을 피어 기기로 인증할 때마다 상이한 보안 키들이 이용되는 것을 가능하게 하는 유도(derivation)에서 이용될 수 있다. 이것은 잠재적인 불법 도청자가 개시 기기가 인증될 때마다 통계적 공격(statistical attack)을 개시해서, 새롭게 가로챈 메시지들을 개시 기기의 이전 세션들 동안 개로챈 메시지들의 분석에 추가하는 것을 방지한다. 이후, 라이브니스 정보 및 초기-보안 키는 결정 함수(determinative function)에 입력으로서 넘겨질 수 있다. 본 명세서에서 사용된 바와 같이, 용어 "결정적(determinative)"은 함수의 출력이 입력에 의해서 완전히 결정되는 함수를 말한다. 이러한 결정 함수는 개시 기기상에서 및 피어 기기상에서 따로따로 실행될 수 있다. 만일 이러한 두 개의 기기들이 결정 함수를 실행했을 때 상이한 출력을 만들어 내었다면, 이 함수로부터 유래된 보안 키들은 매치하지 않을 것이고, 기기는 인증될 수 없을 것이며, 그래서 상호통신(intercommunication)을 위해서 이용될 수 없을 것이다.
결정적이라는 것에 부가하여, 보안을 위해서, 이 함수는 본질적으로(inherently) 비가역적(irreversible)이다. 함수의 출력을 안다고 하더라도, 그 입력을 결정하는 것이 매우 어렵거나 불가능해야 한다. 해시(hash)는 결정적이면서 본질적으로 비가역적인 함수의 클래스(class)를 형성하며, 그래서 암호화 및 인증 계산에서 흔히 이용된다. 공지된 TLS(Transport Level Security) 프로토콜과 함께 사용되는 PRF(Pseudo-random function)는 이용될 수 있는 결정 함수 구현의 예이다.
PRF는 두 개의 공지된 해시 함수들, MD5(Message-Digest Algorithm 5) 및 SHA-1(Secure Hash Algorithm 1)의 결과를 결합한다. 누군가가 두 개의 해시 함수들 중의 하나를 리버스하는(reverse) 방법을 결정하는 경우에 대비하여, PRF는 보안을 유지하기 위해서 두 개의 해시 함수를 이용한다. 이러한 두 개의 해시 함수들이 만들어 내는 출력은 너무 짧아서 보안을 위해 최적이 아니다. SHA-1는 20-바이트(byte) 출력을 만들어 내고, MD5는 16-바이트 출력을 만들어 낸다. 그러므로, 두 개의 해시 함수들 각각에 대해서, 임의의 길이의 출력을 만들어 내기 위해 해시 함수를 이용하는 "데이터 확장 함수(data expansion function)"가 정의될 수 있다. SHA-1에 대해서, 데이터 확장 함수는 P_SHA-1로 정의될 수 있다:
<수학식 1>
P_ SHA -1( initial - security key , liveness ) = SHA -1( initial - security key , A(1) + liveness ) + SHA -1( initial - security key , A(2) + liveness ) + SHA -1(initial-security key , A(3) + liveness ) + …
여기서, A(0) = liveness ;
A(i) = SHA -1( initial - security key , A(i - 1)); 및
"+" 부호는 문자열 연결( string concatenation )을 나타낸다.
데이터 확장 함수 P_MD5의 정의는 상기 정의와 유사한데, 모든 SHA-1를 MD5로 교체하면 된다. 데이터 확장 함수는 원하는 길이의 출력을 만들어 내기 위하여 필요한 만큼 많은 단계들이 반복될(iterated) 수 있다. 원하는 출력 길이는 구현 옵션(option)으로서 설정될 수 있다. 적어도 하나의 실시 예에서, 각각의 해시 함수에 대한 원하는 출력 길이는 128 바이트이다. P_SHA-1은 140 바이트의 총 출력 길이를 위해서 A(7)까지 반복될 수 있다(각각의 반복(iteration)은 출력 길이를 20 바이트씩 증가시킨다). 이후, 출력은 128 바이트까지 잘릴(truncated) 수 있다. P_MD5의 각각의 반복은 16 바이트를 만들어 내어서, A(8)까지 반복하는 것은 아무런 잘림(truncation) 없이 원하는 128 바이트를 만들어 낸다.
스폿 빔 기반 인증을 위한 일 실시 예에서, 해시 함수를 선택했고, 그 데이터 확장 함수들을 원하는 출력 길이까지 반복했기 때문에, PRF는 확장된 초기-보안 키(expanded initial-security key), 레이블(label)(미리 결정된 ASCII 문자열), 및 교환된 라이브니스 정보를 입력으로서 취한다. PRF는 두 개의 해시 데이터 확장 함수 P_MD5 및 P_SHA-1의 출력의 XOR(exclusive bit-wise OR)이 되게 정의된다:
<수학식 2>
PRF ( expanded initial - security key , label , liveness ) = P_MD5( S1 , label + liveness) XOR P_ SHA -1( S2 , label + liveness )
여기서, S1은, 바이트로 측정된, 확장된 초기-보안 키의 첫 번째 절반이고, S2는 확장된 초기-보안 키의 두 번째 절반이다(만약 확장된 초기-보안 키의 길이가 홀수이면, 그 중간의 바이트는 S1의 마지막 바이트 및 S2의 첫 번째 바이트 양쪽 모두가 된다). P_MD5 및 P_SHA-1가 128-바이트 출력을 생성하기 위해 반복될 때, PRF의 출력 또한 128 바이트가 된다.
PRF의 128-바이트 출력은 네 개의 32-바이트 세션 보안 키들로 나누어진다. 이후, 세션 보안 키들 각각은 사용되는 인증 및 암호화 프로토콜에 의해 요구되는 길이로 자른다. 잘린 결과는 일시적인(transient) 세션 보안 키들의 새로운 세트 중의 하나이다. 일시적인 세션 보안 키들의 유도는, 보안 키 정보의 유출을 최소화하거나 적어도 감소시키기 위하여, 개시 기기 및 피어 기기 양쪽 모두가 초기-시크릿 키(initial-secret key) 또는 확장된 초기-보안 키 어느 것도 직접 이용하지 않는 것을 가능하게 한다. 일시적인 세션 보안 키들의 유도는 또한, 세션 보안 키들의 이용을 제한함으로써 통계적 분석(statistical analysis)을 방지하기 위하여, 개시 기기 및 피어 기기가 확장된 초기-보안 키로부터 유도된 세션 보안 키들을 정기적인 간격으로 또는 명령시 리프레쉬(refresh)하는 것을 가능하게 한다.
인증 및 암호화의 일시적인 세션 보안 키들 각각은 다음의 구체적 목적을 가진다: ⅰ) 데이터의 암호화(encryption)가 기밀성(confidentiality)을 위해 개시 기기로부터 피어 기기로 교환된다; ⅱ) 데이터의 암호화가 기밀성을 위해 피어 기기로부터 개시 기기로 교환된다; ⅲ) 데이터의 싸이닝(signing)이 무결성(integrity)을 위해 개시 기기로부터 피어 기기로 교환된다; 그리고 ⅳ) 데이터의 싸이닝이 무결성을 위해 피어 기기로부터 개시 기기로 교환된다.
스폿 빔 기반 인증을 위한 초기-보안 키의 유도는 합의된 그리고 잘 알려진 공개 프리미티브 루트 생성기(public primitive root generator) "g" 및 프라임 모듈러스(prime modulus) "p"를 사용해서 디피-헬만 기술을 이용할 수 있다. 개시 기기 및 피어 기기 각각은 랜덤 시크릿 정수(random secret integer)를 선택하고, 각각의 ((g^(secret integer)) mod p)를 교환한다. 이러한 교환은 개시 기기 및 피어 기기가 디피-헬만을 이용해서 공유 초기-시크릿 키를 유도하는 것을 가능하게 한다.
개시 기기와 피어 기기 사이에서 공유되는 초기-시크릿 키를 유도했기 때문에, 이들은 예컨대 P_SHA-1를 이용해서 확장된 초기-시크릿을 유도하기 위해 데이터 확장(data expansion)을 이용할 수 있다. 데이터 확장 프로세스를 위한 라이브니스 정보는 개시 기기 및 피어 기기에 의해 합의된 기지의 랜덤값 또는 타임스탬프일 수 있다. 일부 실시 예들에서, 피어 기기는 랜덤값을 선택할 수 있고, 이것을 위성 또는 지상 네트워크를 통해서 개시 기기로 전송할 수 있다. 이와 달리, 개시 기기 및 피어 기기 양쪽 모두는 엄격하게(tightly) 시간이 동기화되어(time synchronized) 있기 때문에 타임스탬프에 동의할 수 있고, 이로써 데이터 교환을 피하면서, 공유/공통(shared/common) 타임스탬프값으로부터 라이브니스를 선택할 수 있다.
이에 이어서, 개시 기기 및 피어 기기는 일시적인 세션 보안 키들의 새로운 세트를 유도하는데 이용될 수 있는 공유되는 확장된 초기-시크릿 키(expanded initial-secret key)를 가질 수 있다. 다시 말해, 라이브니스를 위해서, 개시 기기 및 피어 기기는 피어 기기에 의해 전송되는 공유 랜덤값 또는 공유/공통 타임스탬프값을 이용할 수 있다. 일시적인 세션 보안 키들은 지오로케이션(geolocation)의 추가적 암호화 및 싸이닝 그리고 개시 기기와 피어 기기 사이의 다른 컨텍스트 정보 교환을 위해서 개시 기기 및 피어 기기에 의해 이용될 수 있다. 지오로케이션 및 다른 컨텍스트 정보는 비밀인(confidential) 것으로 고려되므로, 이러한 정보는 교환되는 지오로케이션 및 컨텍스트 정보를 인증된 개시 기기와 피어 기기만이 추출할 수 있다는 것을 보장하도록 암호화될 것이 요구된다. 본 특허출원에서 설명된 절차에 의해서 지오로케이션이 PRN(pseudorandom) 코드 세그먼트(segment)들 및 특징적인(distinctive) 빔 파라미터를 이용하여 인증된다는 점이 주목된다. 공유된 컨텍스트 정보는 목적으로 하는 사이버 방어 애플리케이션 실행 또는 결정 지원 시스템들을 위한 다른 상태 또는 제어 정보를 포함할 수 있다. 암호화뿐 아니라, 교환되는 지오로케이션 및 컨텍스트 정보의 무결성이 상술한 바와 같은 싸이닝 목적을 위한 일시적인 세션 보안 키들을 이용함으로써 보장된다.
간단한 개요로, 몇몇 실시 예들에 있어서, 본 명세서에서 설명된 인증 시스템들 및 방법들은 인증 프로세스의 일부로서 요청자의 위치를 결정하기 위한 지오로케이션 기술들을 활용할 수 있다. 이러한 지오로케이션 기술은 공동으로 양도되어 함께 출원진행 중인 Geolocation Leveraging Spot Beam Overlap이라는 발명의 명칭을 가진 미국 특허 출원 번호 제12/756961호에서 정의되며, 동 문서에서의 공개내용은 본 명세서의 이 부분에서 참조에 의해 그 전체가 통합된다. 인증이 요구될 때, 요청자 기기는 특징적인 서명 파라미터들을 포착해서 검증 기기(verifying device)로 전송할 수 있다. 게다가, 요청자 기기는 요청된 이동 경로(즉, 경유지점(들) 및 각각에서의 시간)를 전송할 수 있다. 경유지점들은 기기가 움직이든지(mobile) 움직이지 않든지(stationary) 전송될 수 있다. 확인 기기는 요청자를 인증하기 위하여 요청자의 요청된 빔 서명 파라미터들, 적어도 하나의 위치 경유지점, 이 경유지점과 관련된 적어도 하나의 시간, 및 빔 파라미터 포착(capture)을 이용할 수 있다. 예를 들어, 적어도 하나의 스폿 빔으로부터 포착된 빔 파라미터들 및 적어도 하나의 요청된 경유지점이 알려져 있는 유효한 데이터 세트와 비교하여 지지되면(affirmed), 요청자는 검증자에 의해 인증된 것으로 고려될 수 있다. 이러한 방식으로, 요청자는 특정 시간에 영역 내에 있는 것으로 인증될 수 있다. 이 파라미터들을 기반으로 하는 복합 코드(composite code)는 모방하거나(emulate), 해킹하거나(hack), 스푸핑하기(spoof) 극히 어려운 신호를 제공한다. 게다가, 신호 구조 및 위성의 수신 신호 파워(received signal power)는 실내 또는 다른 감쇄 환경(attenuated environment)에서 본 인증이 이용되는 것을 가능하게 한다. 이것은 본 시스템 접근법의 전체 유용성(utility)을 향상시킨다.
본 출원의 주제물(subject matter)은 이리듐(Iridium) 위성들에 의해서 구현되는 것과 같은 지구 저궤도(low-earth orbiting: LEO) 위성들의 문맥에서 주로 설명된다. 그러나, 통상의 기술자는 본 명세서에서 설명된 기술들이 다른 위성 시스템들, 예컨대 지구 중궤도(medium-earth orbit: MEO) 위성 시스템들 또는 지구 동기 궤도(geosynchronous orbit: GEO) 위성 시스템들에 바로 적용될 수 있다는 것을 인식할 것이다. 이러한 위성 기반 통신 시스템들은 예컨대 공중(airborne) 통신 시스템들 등과 같은 다른 이동(mobile) 통신 시스템들뿐 아니라 배(ship) 또는 셀 폰 타워(cell phone tower)를 포함하되 이에 한정되지 않는 정지(stationary) 통신 플랫폼 플랫폼들을 포함하거나 이용할 수 있다.
도 1은 실시 예들에 따른 위성-기반 통신 시스템(100)의 개략도이다. 실제로, 위성 기반 통신 시스템(100)은 궤도 내에 있는 적어도 하나의 위성(110)을 포함할 수 있다. 간결성을 위하여, 하나의 위성이 도 1에 도시된다. 도 1을 참조하면, 몇몇 실시 예들에서, 시스템(100)은 하나 이상의 수신 기기(120)들과 통신하는 하나 이상의 위성(110)들을 포함한다. 일부 실시 예들에서, 위성(110)들은 이리듐 위성군(satellite constellation) 내에서와 같은 LEO 위성들로 구체화될 수 있다. 위성(들)(110)은 기지의 궤도로 지구를 공전하고, 기지의 패턴(pattern)으로 지구의 표면 위에 하나 이상의 스폿 빔(130)을 전송할 수 있다. 각각의 스폿 빔(130)은 PRN(pseudorandom) 데이터 및 하나 이상의 특징적인 빔 파라미터들(예컨대, 시간, 위성 ID, 시간 바이어스(time bias), 위성 궤도 데이터 등)과 같은 정보를 포함할 수 있다.
수신 기기(들)(120)는 위성 또는 셀룰러 폰과 같은 통신 기기로서 구현되거나 통신 또는 컴퓨팅 기기, 예컨대, 퍼스널 컴퓨터, 랩탑 컴퓨터, PDA(personal digital assistant) 등의 구성요소로서 구현될 수 있다. 몇몇 실시 예들에서, 수신 기기(120)는 GPS(global positioning system)와 연결하여 사용되는 기기들과 유사한 하나 이상의 로케이팅(locating) 또는 내비게이션 기기나 모듈을 포함할 수 있다.
도 2a, 2b, 및 2c는 실시 예들에 따른 위성-기반 인증 시스템(200)들의 개략도이다. 우선, 도 2a를 참조하면, 몇몇 실시 예들에서, 궤도 내에 있는 위성(110)은 하나 이상의 스폿 빔(130)을 지구의 표면 위로 전송한다. 수신 기기(120)는 스폿 빔으로부터 신호를 수신하도록 구성될 수 있다. 도 2a에 도시된 실시 예에서, 수신 기기는 지상-기반(ground-based)이고, 감쇄 환경에서 작동 중일 수 있다. 예로서, 지붕, 빌딩 등과 같은 물체(210)가 위성(110)과 수신 기기 사이의 통신 경로의 일부를 방해할 수 있다.
송신기(transmitter)(220)는 수신 기기(120)에 의해 수신된 데이터 및/또는 수신 기기(120)에 의해 생성된 데이터를 검증자(230)에게 전송한다. 도 2에 도시된 송신기(220)는 수신 기기로부터의 데이터를 검증자에게 전달하는(relay) 무선 송신기이다. 그러나, 통상의 기술자는 수신 기기(120)로부터의 데이터가 유선(wired) 통신 시스템, 무선(wireless) 통신 시스템, 또는 유선 및 무선 시스템들의 조합을 통해서 전송될 수 있다는 것을 이해할 것이다. 검증자(230)는 도 2b의 경우에도 단방향 인증 접근법을 통해서 권한 있는 사용자임을 검증자(230)에게 증명하기 위하여 수신 기기(120)에 의해 스폿 빔을 통해서 포착된 데이터를 이용한다.
게다가, 도 2b는 수신 기기(120)가 예컨대 항공기(125) 내에서 공중에 떠 있을 수 있는 배열을 도시한다. 도 2b에 도시된 실시 예에서, 항공기(125)는 위성(110)과의 업링크(uplink), 예컨대 L-Band Uplink를 유지할 수 있고, 항공기 내의 수신 기기(120)에 의해 포착된 데이터는 업링크를 통해서 위성(110)으로 다시 전송될 수 있다. 위성(110)은 제2 크로스-링크(cross-linked) 위성(110)으로 데이터를 전송할 수 있고, 이것은 차례로 데이터를 검증자(230)에게 전송할 것이다.
도 2c에 도시된 시스템은 두 개(또는 이상)의 피어 기기(120)들이 서로 인증하기 위해 이방향 인증 기술을 구현할 수 있는 실시 예를 도시한다. 상술한 바와 같이 도 2c를 간단히 참조하면, 궤도 내에 있는 위성(110)은 하나 이상의 스폿 빔(130)을 지구의 표면 위로 전송한다. 제1 수신 기기(120A)는 스폿 빔으로부터 신호를 수신하도록 구성될 수 있다. 제1 수신 기기(120A)는 예컨대 상술한 바와 같이 디피-헬만 접근법을 이용해서 보안 키를 유도하도록(derive) 구성될 수 있고, 이것은 스폿 빔을 형성하기 위해 PRN 데이터를 포함한다.
PRN 데이터는 제2 기기(120B)로도 전송된다. 일부 실시 예들에서, 제2 기기(120B)는 스폿 빔(130) 바깥쪽에 있을 수 있는데, 이 경우에 PRN 데이터는 통신 네트워크를 통해서 제2 기기(120B)에 연결된 컴퓨팅 기기(240)에 의하여 전송될 수 있다. 컴퓨팅 기기(240)는 통신가능하게(communicatively) 위성(110)에 연결될 수 있다. 제한이 아니라 예로서, 컴퓨팅 기기(240)는 통신 링크를 통해서 위성(110)에 별도로 연결된 서버일 수 있다. 컴퓨터(240)는 위성(110)을 위한 제어 네트워크와 연관되어 있을 수 있고, 이로써 스폿 빔(130)과 연관된 PRN 데이터를 지니고 있을 수 있다.
동작시, 제1 수신 기기(120A)는 인증 데이터에 대한 요청을 개시하고, 이것은 제2 수신 기기(120B)로 전송된다. 제1 수신 기기(120A)와 제2 수신 기기(120B) 사이의 통신 링크는 다이렉트일(direct) 수 있고, 또는 전송 네트워크(220)를 통해서 구현될 수 있다. 제2 수신 기기(120B)는 요청에 응답하고, 제1 수신 기기(120A)로부터의 인증 데이터에 대한 거의-동시적인(near-simultaneous) 요청을 발급한다. 제1 수신 기기(120A)는 제2 수신 기기(120B)를 인증하고, 인증 데이터에 대한 거의-동시적인 응답을 제2 수신 기기(120B)로 발급하고, 이것은 이후 제1 수신 기기(120A)를 인증할 수 있다.
상술한 바와 같이, 제1 수신 기기(120A)와 제2 수신 기기(120B) 사이에 구현된 인증 프로세스는, 공유 시크릿이 스폿 빔(130)에 의해 전송된 PRN 데이터의 적어도 일부를 포함하는 디피-헬만 교환(exchange)일 수 있다. 그래서, 도 2c에 도시된 시스템은 수신 기기(120A, 120B)의 피어-투-피어(peer-to-peer) 인증을 가능하게 한다. 통상의 기술자는 이러한 이방향 인증 접근법이 다른 하드웨어 아키텍처뿐 아니라 수신 기기 및 서버로 확장될 수 있고, 또는 둘 이상의 기기들로 확장될 수 있다는 점을 인식할 것이다.
도 3은 실시 예들에 따라서 위성 기반 인증 시스템을 구현하는데 적용될 수 있는 컴퓨팅 시스템의 개략도이다. 예를 들어, 도 2a 및 2b에 도시된 실시 예들에서, 검증자(230)는 도 3에 도시된 바와 같은 컴퓨팅 시스템에 의해 구현될 수 있다. 도 3을 참조하면, 일 실시 예에서, 시스템(300)은 컴퓨팅 기기(308)와, 스크린(304)을 갖는 디스플레이(302), 하나 이상의 스피커(306), 키보드(310), 하나 이상의 다른 I/O 기기(들)(312), 및 마우스(314)를 포함하는 하나 이상의 수반하는 입력/출력 기기들을 포함할 수 있다. 다른 I/O 기기(들)(312)는 터치 스크린, 음성-구동(voice-activated) 입력 기기, 트랙 볼(track ball), 및 시스템(300)이 사용자로부터 입력을 수신하는 것을 가능하게 하는 임의의 다른 기기를 포함할 수 있다.
컴퓨팅 기기(308)는 시스템 하드웨어(320) 및 메모리(330)를 포함하고, 이것은 RAM(random access memory) 및/또는 ROM(read-only memory)으로서 구현될 수 있다. 파일 저장소(file store)(380)는 컴퓨팅 기기(308)에 통신가능하게 연결될 수 있다. 파일 저장소(380)는 예컨대, 하나 이상의 하드 드라이브, CD-ROM 드라이브, DVD-ROM 드라이브, 또는 다른 타입의 스토리지(storage) 기기들과 같이 컴퓨팅 기기(308) 내부에 존재할 수 있다. 파일 저장소(380)는 또한 예컨대, 하나 이상의 외부 하드 드라이브, 네트워크 부착 스토리지, 또는 별도의 스토리지 네트워크와 같이 컴퓨터(308) 외부에 존재할 수 있다.
시스템 하드웨어(320)는 하나 이상의 프로세서(322), 적어도 두 개의 그래픽 프로세서(324)들, 네트워크 인터페이스(326), 및 버스 구조(bus structure)(328)를 포함할 수 있다. 일 실시 예에서, 프로세서(322)는 미국, 캘리포니아주, 산타 클라라(Santa Clara), 인텔사(Intel Corporation)로부터 입수할 수 있는 Intel® Core2 Duo® 프로세서로서 구체화될 수 있다. 본 명세서에서 사용된 바와 같이, 용어 "프로세서(processor)"는 마이크로프로세서(microprocessor), 마이크로컨트롤러(microcontroller), CISC(complex instruction set computing) 마이크로프로세서, RISC(reduced instruction set) 마이크로프로세서, VLIW(very long instruction word) 마이크로프로세서, 또는 임의의 다른 타입의 프로세서 또는 처리 회로와 같은 임의의 타입의 연산 엘리먼트(computational element)를 의미하되, 이에 한정되지 않는다.
그래픽 프로세서(324)들은 그래픽 및/또는 비디오 오퍼레이션을 관리하는 부속 프로세서로서 기능할 수 있다. 그래픽 프로세서(324)들은 컴퓨팅 시스템(300)의 마더보드 상으로 통합될 수 있고, 또는 마더보드 상의 확장 슬롯을 통해서 연결될 수 있다.
일 실시 예에서, 네트워크 인터페이스(326)는 이더넷 인터페이스(Ethernet interface)(예컨대, Institute of Electrical and Electronics Engineers/IEEE 802.3-2002 참조)와 같은 유선 인터페이스일 수 있고, 또는 IEEE 802.11a, b 또는 g-준수(compliant) 인터페이스(예컨대, IEEE Standard for IT-Telecommunications and information exchange between systems LAN/MAN--Part II: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 4: Further Higher Data Rate Extension in the 2.4 GHz Band, 802.11G-2003 참조)와 같은 무선 인터페이스일 수 있다. 무선 인터페이스의 다른 예는 GPRS(general packet radio service) 인터페이스(예컨대, Guidelines on GPRS Handset Requirements, Global System for Mobile Communications/GSM Association, Ver. 3.0.1, December 2002 참조)일 것이다.
버스 구조(328)는 시스템 하드웨어(128)의 다양한 구성요소들을 연결한다. 일 실시 예에서, 버스 구조(328)는 메모리 버스, 주변 버스(peripheral bus) 또는 외부 버스(external bus), 및/또는 로컬 버스(local bus)를 포함하는 하나 이상의 여러 타입의 버스 구조일 수 있고, 11-비트(bit) 버스, ISA(Industrial Standard Architecture), MSA(Micro-Channel Architecture), EISA(Extended ISA), IDE(Intelligent Drive Electronics), VLB(VESA Local Bus), PCI(Peripheral Component Interconnect), USB(Universal Serial Bus), AGP(Advanced Graphics Port), PCMCIA(Personal Computer Memory Card International Association bus), 및 SCSI(Small Computer Systems Interface)를 포함하되 이에 한정되지 않는 임의의 다양한 이용가능한 버스 구조를 사용할 수 있다.
메모리(330)는 컴퓨팅 기기(308)의 동작을 관리하기 위한 오퍼레이팅 시스템(340)을 포함할 수 있다. 일 실시 예에서, 오퍼레이팅 시스템(340)은 시스템 하드웨어(320)로의 인터페이스를 제공하는 하드웨어 인터페이스 모듈(354)을 포함한다. 게다가, 오퍼레이팅 시스템(340)은, 컴퓨팅 기기(308)의 동작에 사용되는 파일들을 관리하는 파일 시스템(350) 및 컴퓨팅 기기(308) 상에서 실행하는 프로세스들을 관리하는 프로세스 제어 서브시스템(process control subsystem)(352)을 포함할 수 있다.
오퍼레이팅 시스템(340)은, 원격 소스(remote source)로부터 데이터 패킷 및/또는 데이터 스트림을 송수신하기 위해 시스템 하드웨어(120)와 함께 동작할 수 있는 하나 이상의 통신 인터페이스를 포함(또는 관리)할 수 있다. 오퍼레이팅 시스템(340)은, 메모리(330) 내에 상주하는 하나 이상의 애플리케이션 모듈과 오퍼레이팅 시스템(340) 사이에서 인터페이스를 제공하는 시스템 호출 인터페이스 모듈(342)을 더 포함할 수 있다. 오퍼레이팅 시스템(340)은 UNIX 오퍼레이팅 시스템 또는 임의의 그 파생물(예컨대, 리눅스(Linux), 솔라리스(Solaris) 등)로서 구체화될 수 있고, 또는 Windows® 상표 오퍼레이팅 시스템, 또는 다른 오페레이팅 시스템들로서 구체화될 수 있다.
다양한 실시 예들에서, 컴퓨팅 기기(308)는 퍼스널 컴퓨터, 랩탑 컴퓨터, 개인 휴대 단말기(personal digital assistant), 모바일 텔레폰(mobile telephone), 엔터테인먼트 기기(entertainment device), 또는 다른 컴퓨팅 기기로서 구체화될 수 있다.
하나의 실시 예에서, 메모리(330)는 요청자로부터 수신된 데이터를 기초로 하여 요청자를 인증하기 위한 인증 모듈(362)을 포함한다. 일 실시 예에서, 인증 모듈(362)은, 프로세서(322)에 의해 실행될 때, 프로세서(322)가 요청자로부터 수신된 데이터를 기초로 하여 요청자를 인증하도록 하는 비일시적(non-transitory) 컴퓨터-판독가능 매체 내에서 인코딩된(encoded) 논리 명령어들을 포함할 수 있다. 게다가, 메모리(330)는 지구 둘레의 미리 정해진 궤도 내에 있는 위성(110)들에 대한 궤도 정보를 포함하는 위성 궤도 데이터베이스(364)를 포함할 수 있다. 인증 모듈(362)에 의해 구현되는 인증 프로세스 및 오퍼레이션(operation)들에 대한 추가적인 세부사항들이 이하에서 설명된다.
일부 실시 예들에서, 수신 기기(120)는 종래의 컴퓨팅 기기(122)(예컨대, 랩탑, PDA, 또는 스마트폰 기기)와 연결하여 적용되는 위성 통신 모듈로서 구현될 수 있다. 수신 기기(120)는 적절한 통신 커넥션에 의해서, 예컨대 USB(Universal Serial Bus) 인터페이스, RS-232 인터페이스, 광학적 인터페이스 등에 의해서 컴퓨팅 기기(122)에 연결될 수 있다. 도 3b에 도시된 실시 예에서, 수신 기기(120)는 수신기(receiver) 및 제한된 처리 용량, 예컨대 인증 루틴(routine)을 구현하기 위해 구성된 ASIC(application specific integrated circuit) 또는 FPGA(field programmable gate array)를 포함할 수 있다는 의미에서 "얇은(thin)" 기기일 수 있다.
동작시, 컴퓨팅 기기(122)의 사용자는 호스트 네트워크(390)를 가지고 컴퓨팅 기기(122)를 인증하기 위해서 수신 기기(120)를 이용할 수 있다. 상술한 바와 같이, 도 3에 도시된 수신 기기(120)는 특징적인 빔 서명 및 PRN(pseudo-random number)을 포함하는 위성(110)으로부터의 스폿 빔 전송(130)을 수신할 수 있다. 컴퓨팅 기기(122)는 호스트 네트워크(390)로의 액세스 요청(access request)을 개시할 수 있다. 액세스 요청은 사용자 특정 정보, 예컨대, 사용자 ID, 지구-기반(earth-based) 좌표계(예컨대, 우편번호, 지역 코드(area code), 위도(latitude)/경도(longitude), UTM(Universal Transverse Mercator); ECEF(Earth-Centered Earth-Fixed), GEOREF(World Geographic Reference System), 다른 기타 시스템, 예를 들어, 집코드(zip code))로부터의 하나 이상의 좌표, 및 위성(110)으로부터 수신된 PRN 데이터의 적어도 일부를 포함할 수 있다.
호스트 네트워크(390)는 검증자(230)에게 사용자 액세스 요청(access request)을 인증 요청(authentication request)으로서 전송할 수 있다. 일부 실시 예들에서, 호스트 네트워크는 검증자(230)가 컴퓨터(122)를 인증하는 것이 가능하도록 추가적 정보를 요청에 부가할 수 있다. 예로서, 호스트 네트워크(130)는 어디에서 (즉, 어떤 지리적 위치(geographic location)로부터) 요청자가 인증될 수 있는지와 관련하여 제한을 제공할 수 있다. 검증자(230)는 요청자를 확인할 수 있고, 호스트 네트워크(390)에 인증 응답(authentication response)을 제공할 수 있다. 다음으로, 호스트 네트워크(390)는 액세스 응답(access response)을 컴퓨팅 기기(122)로 포워딩할(forward) 수 있다.
도 4는 실시 예들에 따라서 요청자를 인증하기 위한 방법에서의 동작을 도시하는 흐름도이다. 도 4를 참조하면, 오퍼레이션(410)에서, 요청자 기기는 요청자 기기의 물리적 위치를 결정한다. 일부 실시 예들에서, 요청자 기기(120)는 요청자 기기(120)의 위치를 결정하기 위해서 하나 이상의 위치 모듈을 포함할 수 있다. 제한이 아니라 예로서, 요청자 기기(120)는 GPS(global positioning system)로부터의 신호에 기초하여 위치를 결정하기 위해서 GPS 모듈을 포함하거나 GPS 모듈에 통신가능하게 연결될 수 있다. 대안적으로 또는 부가적으로, 요청자 기기(120)는, 그 공개 내용들이 그 각각의 전체로 본 명세서의 이 부분에서 참조에 의해 통합되는 미국 특허 번호 제7,489,926호, 제7,372,400호, 제7,579,987호, 및 제7,468,696호 중의 하나 이상에서 설명된 바와 같은 하나 이상의 LEO 또는 MEO 위성(110)들로부터의 신호에 기초하여 위치를 결정하기 위한 로직(logic)을 포함할 수 있다. 몇몇 실시 예들에서, 요청자 기기(120)의 위치는 위도/경도 좌표들로 표현되거나 다른 지구-기반 좌표계로 표현될 수 있다.
오퍼레이션(415)에서, 요청자 기기(120)는 위성(110)으로부터 스폿 빔 전송을 수신한다. 일부 실시 예들에서, 요청자 기기(120)는 위성 스폿 빔으로부터 의사 랜덤 코드(pseudo random code) 세그먼트를 포함하는 하나 이상의 특징적인 빔 파라미터들(예컨대, 시간, 위성 ID, 빔 ID, 시간 바이어스, 위성 궤도 데이터 등)을 추출한다. 몇몇 실시 예들에서, 요청자 기기(120)는 요청자 기기(120) 내의 메모리 모듈 또는 요청자 기기(120)에 통신가능하게 연결된 메모리 모듈에 빔 파라미터들을 저장할 수 있다. 하나 이상의 실시 예들에서, 오퍼레이션(415)은 그 선행 오퍼레이션(410)과 거의 동시에 일어날 수 있다.
오퍼레이션(420)에서, 요청자 기기(120)는 하나 이상의 경유지점 데이터 스냅샷(snapshot)을 계속해서 생성할 수 있는데, 이것은 오퍼레이션(410)에서부터의 요청자 기기(120)에 대한 위치 정보 및 오퍼레이션(420)에서 언급되는 바와 같은 위성 스폿 빔을 통해서 전송된 하나 이상의 특징적인 빔 파라미터들을 포함할 수 있다. 몇몇 실시 예들에서, 경유지점 데이터 스냅샷은 요청자 기기(120) 내의 메모리 모듈 또는 요청자 기기(120)에 통신가능하게 연결된 메모리 모듈에 저장될 수 있다.
몇몇 실시 예들에서, 요청자 기기(120)는 시간의 경과에 따라서(over time) 일련의 경유지점 데이터 스냅샷(waypoint data snapshot)들을 수집할 수 있다. 예를 들어, 시간이 흐르는 동안 요청자 기기(120) 위로 지나가는 복수의 위성(110)들로부터 스폿 빔들을 수신함으로써 경유지점 데이터 스냅샷들의 어레이(array)가 구성될 수 있다. 대안적으로, 또는 부가적으로, 경유지점 데이터 스냅샷들의 어레이는 위성(110)들에 대해 요청자 기기(120)를 이동시킴으로써, 예컨대 도 2b에 도시된 바와 같이 항공기(125)에 요청자 기기(120)를 배치함으로써 구성될 수 있다. 추가적인 예는, 위험한 물질을 포함할 수 있는 개체 또는 자산의 이동 경로를 확인하기 위한 추적자(tracker)로서 작동하는 요청자 기기를 포함할 것이다. 요청자 기기는 예상 경로가 실제 경로와 일치하는지를 검증하기 위하여 경유지점 데이터를 제공하도록 폴링될(polled) 수 있다. 요청자 기기는 랜덤하게 폴링될 수 있다.
오퍼레이션(420)에서, 경유지점 데이터 스냅샷(들)이 요청자 기기(120)로부터 검증자 기기(230)로 전송된다. 예로서, 도 2a에 도시된 실시 예에서, 경유지점 데이터 스냅샷(들)은 송신기(220)를 통해서 또는 다른 통신 네트워크에 의해서 전송될 수 있다. 도 2b에 도시된 실시 예에서, 경유지점 데이터 스냅샷(들)은 항공기(125)로부터 위성(110)으로 전송될 수 있고, 이후 위성 네트워크를 통해서 검증자 기기(230)로 전송될 수 있다.
오퍼레이션(425)에서, 검증자 기기(230)는 요청자 기기(120)로부터 위치 데이터 및 경유지점 데이터를 수신한다. 오퍼레이션(430)에서, 검증자 기기(230)는 요청자를 인증하기 위하여 위치 정보 및 경유지점 데이터를 기지의 유효한 데이터 세트에서의 해당 데이터와 비교한다. 예로서, 이리듐 위성군과 같은 LEO 위성은 기지의 궤도에서 지구를 일주하고, 이것의 근사적인(approximate) 파라미터들은 미리 용이하게 입수가능하다. 검증자 기기(230)는, 지구 주위의 기지의 궤도에 있는 위성(110)들에 대한 궤도 정보를 포함하는 위성 궤도 데이터베이스(364)에 통신가능하게 연결되거나 위성 궤도 데이터베이스(364)를 포함할 수 있다.
몇몇 실시 예들에서, 사실상 예상 시간에 예상 지리적 위치의 합당한 문턱값 거리 내에 요청자 기기(120)가 있는지 여부를 결정하기 위하여, 요청자 기기로부터 수신된 위치 데이터 및 경유지점 데이터가 기지의 데이터 세트로부터의 위치 및 경유지점 데이터와 비교된다(오퍼레이션(430)). 제한이 아니라 예로서, 요청자 기기(120)로부터 전송된 특징적인 빔 파라미터들에 상응하는 데이터 레코드(data record)를 찾기 위해서 위성 궤도 데이터베이스(364)가 검색될 수 있다. 매칭하는(matching) 레코드가 찾아진 경우에, 궤도 데이터베이스(364)로부터 검색된 레코드로부터의 궤도 데이터가 요청자 기기(120)로부터 수신된 데이터와 비교될 수 있다. 예를 들어, 기지의 데이터는 스폿 빔(130)의 중심에 대한 좌표 및 지구 표면에서의 스폿 빔(130)의 반경의 표시를 포함할 수 있다. 요청자 기기로부터 수신된 데이터 내에 표시된 시간에 스폿 빔에 의하여 한정된(circumscribed) 영역 내에 요청자 기기(120)가 존재한다는 것을 수신 데이터가 나타내는지 여부를 결정하기 위하여, 요청자 기기(120)로부터 수신된 좌표들이 스폿 빔의 위치와 비교될 수 있다. 적어도 하나의 실시 예에서, 스폿 빔은 불규칙한 형상일(irregular shaped) 수 있다. 적어도 하나의 실시 예에서, 요청자 기기는 지구 표면 위의 고도(altitude)에 존재할 수 있다.
만일, 오퍼레이션(435)에서, 요청자 기기로부터의 데이터와 연관된 시간에 위성(110)으로부터의 스폿 빔에 의하여 에워싸지는(encompassed) 지리적 영역 내에 요청자 기기(120)가 존재한다는 것을 요청자 기기(120)로부터 수신된 데이터가 나타낸다면, 요청자 기기(120)는 인증된 것으로 고려될 수 있다. 인증 시스템에서, 이후에 제어는 오퍼레이션(440)으로 넘어가고, 요청자는 자원에 액세스하는 것이 허용된다. 제한이 아니라 예로서, 검증자 기기(230)는 인증된 요청자 기기(120)에 토큰(token)을 수여할 수 있다. 토큰은 자원에 대한 접근 권한을 수여하기 위해 원격 시스템에 의해서 이용될 수 있다.
이와 대조적으로, 요청자 기기(120)로부터의 데이터와 연관된 시간에 위성(110)으로부터의 스폿 빔에 의하여 에워싸지는 지리적 영역 내에 요청자 기기(120)가 존재하지 않는다는 것을 요청자 기기(120)로부터 수신된 데이터가 나타낸다면, 요청자 기기(120)는 인증된 것으로 고려될 수 없다. 인증 시스템에서, 이후에 제어는 오퍼레이션(445)으로 넘어가고, 요청자는 자원으로의 액세스가 거부된다. 제한이 아니라 예로서, 검증자 기기(230)는 인증된 요청자 기기(120)에 대한 토큰을 거부할 수 있다. 토큰이 없는 경우에, 요청자 기기는 원격 시스템에 의해 관리되는 자원으로의 액세스가 거부될 수 있다.
그래서, 도 1-3에서 도시된 시스템 아키텍처 및 도 4에 도시된 방법은 하나 이상의 요청자 기기(들)(120)의 위성-기반 인증을 가능하게 한다. 인증 시스템은 원격 컴퓨팅 시스템에 의해 관리되는 하나 이상의 자원으로의 액세스를 허용하거나 거부하기 위하여 이용될 수 있다. 몇몇 실시 예들에서, 요청자 기기(들)는 정지해 있을 수 있고, 다른 실시 예들에서 요청자 기기(들)는 이동하고 있을 수 있으며, 인증 프로세스는 시간-기반, 위치-기반, 또는 양자의 조합일 수 있다.
몇몇 실시 예들에서, 본 시스템은 요청자 기기(들)(120)가 전체 세션을 위한 자원을 이용하기 위해서 인증되는 세션-기반 인증을 구현하기 위해서 이용될 수 있다. 다른 실시 예들에서, 본 시스템은 요청자 기기(들)(120)가 요청자 기기(들)(120)로부터 원격 자원으로 전송되는 각각의 메시지에 대해서 개별적으로 인증되어야 하는 메시지-기반 인증을 구현할 수 있다.
하나의 예시적 구현에 있어서, 본 명세서에서 설명된 바와 같은 인증 시스템은 기업의 이메일 시스템, 기업의 네트워크, 군용 또는 민간용 기반구조(infrastructure) 네트워크, 또는 전자 뱅킹 시설(electronic banking facility)과 같은 보안 컴퓨팅 자원으로의 액세스를 위한 인증을 제공하기 위해 이용될 수 있다. 다른 예시적인 구현들에서, 인증 시스템은 로지스틱스(logistics) 시스템에서 비히클(vehicle)의 일정을 확실시하기 위해 이용될 수 있다. 예로서, 트럭, 기차, 선박, 또는 항공기와 같은 이동 개체는 하나 이상의 요청자 기기(들)(120)를 포함할 수 있다. 예정된 임무를 수행하는 동안에, 로지스틱스 시스템은 위성(110)으로부터 획득된 인증 데이터를 가지고 응답할 수 있는 요청자 기기(들)(120)를 정기적으로 폴링할(poll) 수 있다. 인증 데이터는 로지스틱스 시스템 내에서 수집될 수 있으며, 로지스틱스 계획에 따라서 미리 정해진 시간에 특정 위치에 요청자 기기(들)가 존재한다는 것을 확실시하기 위해서 이용될 수 있다.
또 다른 예에서, 본 명세서에서 설명된 바와 같은 인증 시스템의 구현은 모니터링 시스템, 예컨대 가택 연금 감시 시스템과 관련된 요청자 기기(들)의 위치를 검증하기 위해서 이용될 수 있다. 이러한 실시 예들에서, 요청자 기기(들)는 시스템의 사용자를 인증하기 위해서 지문 생체 측정 센서와 같은 하나 이상의 생체 측정(biometric) 센서를 포함할 수 있는 한편, 인증 시스템은 요청자 기기가 미리 정해진 시간에 미리 정해진 위치에 존재한다는 것(즉, 요청자가 적시(right time)에 적절한 장소(right place)에 존재하고 적절한 사람(right person)이라는 것)을 확정하기 위해 이용될 수 있다. 인증 기기는 또한, 요청자 기기의 위치 및 시간을 승인된 시간 주기(들)로 승인된 위치(들)의 세트에 대해 검토함으로써, 인증 시스템에 의해서 추가로 재정의될(refined) 수 있는 승인된 위치들에 대한 정의된 목록과 비교해서 요청자 기기 위치를 검토할 수 있다. 게다가, 이 시스템은 등록된 성범죄자들을 추적하기 위해서 이용될 수 있다.
몇몇 실시 예들에서, 위성(110)은, 기지의 궤도에서 지구를 공전하고 기지의 기하구조를 갖는 스폿 빔들을 전송하는, 이리듐 위성군과 같은 LEO 위성 시스템의 일부일 수 있고, 따라서 요청자 기기가 지정된 시간에 지정된 스폿 빔 내에 존재한다는 것을 확인함으로써 요청자 기기(들)가 인증될 수 있다. 그래서, 단일한 신호원(signal source)(예컨대, 단일한 위성(110))을 이용해서 요청자가 인증될 수 있다. 또한, 이리듐 위성군과 같은 LEO 위성들 및 MEO 위성들은 상대적으로 높은 파워 신호 레벨을 전송하기 때문에, 차단된 환경(obstructed environment), 예컨대 실내 또는 도시 지역에 위치한 하나 이상의 요청자 기기(들)를 인증하기 위해서 본 시스템이 이용될 수 있다. 또한, LEO 위성들 및 MEO 위성들의 상대적으로 높은 신호 강도는 신호가 재밍 에퍼트(jamming effort)에 덜 영향받도록 한다.
"하나의 실시 예" 또는 "몇몇 실시 예들"에 대한 본 명세서에서의 언급은 실시 예와 관련해서 설명된 특정한 특징, 구조, 또는 특성이 적어도 실시에 포함될 수 있다는 것을 의미한다. 본 명세서에서 여러 군데에서의 "하나의 실시 예에서"라는 문구의 등장은 모두 동일한 실시 예를 가리킬 수도 있고 아닐 수도 있다.
실시 예들이 구조적 특징들 및/또는 방법론적인 작동들에 특정된 언어로 설명되었지만, 청구된 주제물(subject matter)은 설명된 특정 특징들 또는 작동들에 한정되지 않을 수 있다는 점이 이해되어야 한다. 오히려, 특정 특징들 및 작동들은 청구된 주제물을 구현하는 샘플의 형태로서 공개된다.

Claims (30)

  1. 전자 기기를 인증하기 위한 방법으로서,
    위성의 스폿 빔(spot beam) 전송에 대응하고, 의사 랜덤 코드 및 타임스탬프를 포함하는 하나 이상의 고유 빔 파라미터를 전자 기기로부터 수신하는 단계;
    전자 기기의 위치를 나타내는 제1 위치 정보를 수신하는 단계;
    상기 하나 이상의 고유 빔 파라미터에 기초해서, 상기 스폿 빔 전송의 투영의 중심의 위치를 나타내는 제2 위치 정보를 결정하는 단계; 및
    상기 전자 기기의 위치와 상기 스폿 빔 전송의 투영의 중심과의 차이가 문턱값(threshold)보다 작은 경우에 상기 전자 기기를 인증하는 단계를 포함하는 것을 특징으로 하는, 전자 기기를 인증하기 위한 방법.
  2. 제 1 항에 있어서,
    스폿 빔 전송은 지구 저궤도(low earth orbit) 위성, 지구 중궤도(medium earth orbit) 위성, 지구 동기 궤도(geosynchronous earth orbit) 위성, 또는 의사(pseudo) 위성 중의 적어도 하나로부터 방출되는 것을 특징으로 하는, 전자 기기를 인증하기 위한 방법.
  3. 제 1 항에 있어서,
    상기 전자 기기를 인증하는 것은, 단방향(one-way) 인증 프로세스, 다방향(multi-way) 인증 프로세스, 다방향 피어 투 피어(peer to peer) 기기 인증 프로세스 중의 적어도 하나를 수행하는 것을 포함하는 것을 특징으로 하는, 전자 기기를 인증하기 위한 방법.
  4. 제 1 항에 있어서,
    상기 전자 기기로부터, 상기 제1 위치 정보에 대응하는 제2 타임스탬프를 수신하는 단계를 더 구비하는 것을 특징으로 하는, 전자 기기를 인증하기 위한 방법.
  5. 제 1 항에 있어서,
    상기 제1 위치 정보는 지구-기반 좌표계를 기초로 하고 있고, 상기 지구-기반 좌표계는 위도, 경도, 고도, 지리적 위치 표시(geographic locator), 또는 이들의 임의의 조합을 포함하는 것을 특징으로 하는, 전자 기기를 인증하기 위한 방법.
  6. 제 1 항에 있어서,
    상기 하나 이상의 고유의 빔 파라미터는 타이밍 코드 세그먼트, 스폿 빔 전송 비히클(vehicle) 식별자, 빔 식별자, 시간 바이어스(time bias) 파라미터, 스폿 빔 전송 비히클 궤도 데이터, 또는 이들의 임의의 조합을 포함하는 것을 특징으로 하는, 전자 기기를 인증하기 위한 방법.
  7. 삭제
  8. 제 1 항에 있어서,
    상기 전자 기기는 상기 전자 기기에 의해 전송된 각각의 메시지에 대해서 개별적으로 인증되는 것을 특징으로 하는, 전자 기기를 인증하기 위한 방법.
  9. 제 1 항에 있어서,
    전자 기기는 원격 기기와 통신 세션(session)을 설정하고,
    전자 기기는 상기 통신 세션에 대해서 적어도 한 번 인증되는 것을 특징으로 하는, 전자 기기를 인증하기 위한 방법.
  10. 삭제
  11. 전자 기기의 위치를 인증하기 위한 장치로서,
    프로세서(processor); 및
    상기 프로세서에 의해 실행될 때, 상기 프로세서가,
    위성의 스폿 빔(spot beam) 전송에 대응하고, 의사 랜덤 코드 및 타임스탬프를 포함하는 하나 이상의 고유 빔 파라미터를 전자 기기로부터 수신하고;
    전자 기기의 위치를 나타내는 제1 위치 정보를 수신하며;
    상기 하나 이상의 고유 빔 파라미터에 기초해서, 상기 스폿 빔 전송의 투영의 중심의 위치를 나타내는 제2 위치 정보를 결정하고;
    상기 전자 기기의 위치와 상기 스폿 빔 전송의 투영의 중심과의 차이가 문턱값(threshold)보다 작은 경우에 상기 전자 기기를 인증하는 것을 포함하는 조작을 수행하도록 하는 명령어들을 포함하는 메모리 모듈을 구비하는 것을 특징으로 하는, 전자 기기의 위치를 인증하기 위한 장치.
  12. 제 11 항에 있어서,
    상기 조작은, 상기 전자 기기가 인증된 경우에 상기 전자 기기가 원격 호스트에 의해 제공된 서비스에 액세스하는 것을 허용하는 것을 더 포함하는 것을 특징으로 하는, 전자 기기의 위치를 인증하기 위한 장치.
  13. 전자 기기의 위치를 인증하기 위한 시스템으로서,
    스폿-빔 기하구조에 따라서 스폿 빔 전송을 전송하도록 구성된 적어도 하나의 신호원(signal source);
    상기 스폿 빔(spot beam) 전송에 대응하고, 의사 랜덤 코드 및 타임스탬프를 포함하는 하나 이상의 고유 빔 파라미터를 수신하도록 구성된 수신기를 포함하는 전자 기기; 및
    상기 전자 기기에 통신가능하게 연결되어,
    상기 하나 이상의 고유 빔 파라미터를 수신하고,
    상기 전자 기기의 위치를 나타내는 제1 위치 정보를 수신하며,
    상기 하나 이상의 고유 빔 파라미터에 기초해서, 상기 스폿 빔 전송의 투영의 중심의 위치를 나타내는 제2 위치 정보를 결정하고,
    상기 전자 기기의 위치와 상기 스폿 빔 전송의 투영의 중심과의 차이가 문턱값(threshold)보다 작은 경우에 상기 전자 기기를 인증하도록 구성된 검증자를 구비하는 것을 특징으로 하는, 전자 기기의 위치를 인증하기 위한 시스템.
  14. 제 13 항에 있어서,
    상기 전자 기기는 상기 전자 기기의 위치를 결정하도록 구성되어 있는 것을 특징으로 하는, 전자 기기의 위치를 인증하기 위한 시스템.
  15. 삭제
  16. 제 13 항에 있어서,
    상기 전자 기기는 생체 측정(biometric) 확인 시스템을 더 포함하는 것을 특징으로 하는, 전자 기기의 위치를 인증하기 위한 시스템.
  17. 삭제
  18. 삭제
  19. 삭제
  20. 호스트 네트워크를 가지고 전자 기기를 인증하기 위한 시스템으로서,
    전자 기기 및 호스트 네트워크 기기와 통신하도록 구성되되, 비히클의 스폿 빔 전송과 연관된 의사-랜덤 코드 및 타임스탬프를 수신하도록 구성되어 있는 수신 기기; 및
    상기 호스트 네트워크 기기와 통신하도록 구성된 인증 서버를 구비하되,
    상기 수신 기기는 전자 기기로부터의 인증 요청을 호스트 네트워크 기기로 전송하도록 구성되고, 상기 인증 요청은 의사-랜덤 코드 및 타임스탬프를 포함하며,
    상기 인증 서버는,
    프로세서에 의해 실행될 때, 상기 프로세서가,
    위성의 스폿 빔(spot beam) 전송에 대응하고, 의사 랜덤 코드 및 타임스탬프를 포함하는 하나 이상의 고유 빔 파라미터를 전자 기기로부터 수신하고;
    전자 기기의 위치를 나타내는 제1 위치 정보를 수신하며;
    상기 하나 이상의 고유 빔 파라미터에 기초해서, 상기 스폿 빔 전송의 투영의 중심의 위치를 나타내는 제2 위치 정보를 결정하고;
    상기 전자 기기의 위치와 상기 스폿 빔 전송의 투영의 중심과의 차이가 문턱값(threshold)보다 작은 경우에 상기 전자 기기를 인증하는 것을 포함하는 조작을 수행하도록 하는 명령어들을 포함하는 것을 특징으로 하는, 호스트 네트워크를 가지고 전자 기기를 인증하기 위한 시스템.
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
KR1020137008969A 2010-11-18 2011-11-09 위성 수신기의 스폿 빔 기반 인증 KR101877346B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/949,404 2010-11-18
US12/949,404 US9009796B2 (en) 2010-11-18 2010-11-18 Spot beam based authentication
PCT/US2011/060024 WO2012067915A1 (en) 2010-11-18 2011-11-09 Spot beam based authentication of a satellite receiver

Publications (2)

Publication Number Publication Date
KR20130129363A KR20130129363A (ko) 2013-11-28
KR101877346B1 true KR101877346B1 (ko) 2018-08-09

Family

ID=45094238

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137008969A KR101877346B1 (ko) 2010-11-18 2011-11-09 위성 수신기의 스폿 빔 기반 인증

Country Status (9)

Country Link
US (1) US9009796B2 (ko)
EP (1) EP2641355B1 (ko)
JP (1) JP5868990B2 (ko)
KR (1) KR101877346B1 (ko)
AU (1) AU2011329272B2 (ko)
CA (1) CA2813271C (ko)
RU (1) RU2598588C2 (ko)
SG (1) SG189971A1 (ko)
WO (1) WO2012067915A1 (ko)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9612334B2 (en) 2010-11-18 2017-04-04 The Boeing Company Correcting for time delay variation in a satellite for positioning, navigation or timing applications
US9659164B2 (en) * 2011-08-02 2017-05-23 Qualcomm Incorporated Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device
US8473748B2 (en) * 2011-09-27 2013-06-25 George P. Sampas Mobile device-based authentication
US9225482B2 (en) 2011-10-17 2015-12-29 Golba Llc Method and system for MIMO transmission in a distributed transceiver network
US10271081B2 (en) * 2012-03-07 2019-04-23 The Directv Group, Inc. Method and system for detecting unauthorized use of a set top box using satellite signal identification
DE102012012898B4 (de) * 2012-06-28 2017-01-12 Tesat-Spacecom Gmbh & Co.Kg System und Verfahren zur Positionsbestimmung einer Kommunikationsplattform
US10020861B2 (en) 2012-08-08 2018-07-10 Golba Llc Method and system for distributed transceivers and mobile device connectivity
US8811614B2 (en) 2012-10-16 2014-08-19 The Boeing Company Space based authentication utilizing signals from low and medium earth orbit
CN104519480B (zh) * 2014-12-30 2016-02-17 悠游宝(天津)网络科技有限公司 通信控制装置、鉴权装置、中心控制装置及通信系统
AU2016300342B2 (en) 2015-07-29 2019-09-12 Hitachi, Ltd. Moving body identification system and identification method
US9692598B2 (en) 2015-08-07 2017-06-27 Terry L. Davis Multi-use long string authentication keys
US10348787B2 (en) 2015-08-27 2019-07-09 The Boeing Company Flight data recorder streaming (FDRS) solution
US20180213271A1 (en) * 2017-01-25 2018-07-26 The Directv Group, Inc. Location-based system and method for controlling content distribution to a set top box
US10321332B2 (en) 2017-05-30 2019-06-11 Movandi Corporation Non-line-of-sight (NLOS) coverage for millimeter wave communication
US10484078B2 (en) 2017-07-11 2019-11-19 Movandi Corporation Reconfigurable and modular active repeater device
US10348371B2 (en) 2017-12-07 2019-07-09 Movandi Corporation Optimized multi-beam antenna array network with an extended radio frequency range
US10862559B2 (en) 2017-12-08 2020-12-08 Movandi Corporation Signal cancellation in radio frequency (RF) device network
US11088457B2 (en) 2018-02-26 2021-08-10 Silicon Valley Bank Waveguide antenna element based beam forming phased array antenna system for millimeter wave communication
US10637159B2 (en) 2018-02-26 2020-04-28 Movandi Corporation Waveguide antenna element-based beam forming phased array antenna system for millimeter wave communication
GB201807538D0 (en) * 2018-05-09 2018-06-20 Phasor Solutions Ltd Improvements in or relating to beam alignment for electronically steered antennae systems
JP7180686B2 (ja) * 2018-10-11 2022-11-30 日本電信電話株式会社 情報処理装置、異常分析方法及びプログラム
US10841000B2 (en) 2019-03-01 2020-11-17 Atlas Space Operations, Inc. System and method for authorizing access in satellite communications
CN110260871A (zh) * 2019-04-17 2019-09-20 太原理工大学 一种面向区域威胁的兵力机动环境建模方法
WO2021011282A1 (en) * 2019-07-12 2021-01-21 Mord Benjamin Allan Custodial integrity for virtual digital assets and related technologies
US11228361B2 (en) 2019-10-25 2022-01-18 Atlas Space Operations, Inc. System and method for configuring a communications device for space-terrestrial communications
US11683088B2 (en) 2019-11-07 2023-06-20 Qualcomm Incorporated Systems and methods for supporting fixed tracking areas and fixed cells for mobile satellite wireless access
US20210144670A1 (en) * 2019-11-07 2021-05-13 Qualcomm Incorporated Support of fixed cells for user equipment access to a non-terrestrial network
US11811488B2 (en) 2019-11-07 2023-11-07 Qualcomm Incorporated Systems and methods for support of a 5G satellite radio access technology
US11696106B2 (en) 2019-11-07 2023-07-04 Qualcomm Incorporated Configuration of fixed tracking areas and fixed cells for a 5G satellite rat
CN111314056B (zh) * 2020-03-31 2022-07-01 四川九强通信科技有限公司 基于身份加密体制的天地一体化网络匿名接入认证方法
US11770184B2 (en) 2021-05-21 2023-09-26 Atlas Space Operations, Inc. Satellite contact customization
CN113589339A (zh) * 2021-07-19 2021-11-02 航天科工海鹰集团有限公司 一种基于移动卫星基准站的差分定位技术

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070192805A1 (en) * 2006-02-15 2007-08-16 Atc Technologies, Llc Adaptive spotbeam broadcasting, systems, methods and devices for high bandwidth content distribution over satellite

Family Cites Families (75)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3974582A (en) 1975-01-24 1976-08-17 Addressograph Multigraph Corporation Platen for strip-up microfiche
JP2775565B2 (ja) * 1993-02-10 1998-07-16 国際電信電話株式会社 周回衛星通信システム用移動端末の位置検出・登録方式
CN1087580C (zh) * 1995-01-05 2002-07-10 艾利森公司 移动电话机的位置登记
US5757916A (en) 1995-10-06 1998-05-26 International Series Research, Inc. Method and apparatus for authenticating the location of remote users of networked computing systems
US5646630A (en) 1996-05-20 1997-07-08 Trimble Navigation Limited Network of equivalent ground transmitters
US6101178A (en) 1997-07-10 2000-08-08 Ksi Inc. Pseudolite-augmented GPS for locating wireless telephones
US20080010365A1 (en) 1997-07-25 2008-01-10 Eric Schneider Methods, products, systems, and devices for processing reusable information
DE19739682A1 (de) 1997-09-10 1999-03-11 Bosch Gmbh Robert Sensoreinrichtung
US6236359B1 (en) 1998-05-14 2001-05-22 Nortel Networks Limited Cellular terminal location using GPS signals in the cellular band
US6370629B1 (en) 1998-10-29 2002-04-09 Datum, Inc. Controlling access to stored information based on geographical location and date and time
US7058414B1 (en) 2000-05-26 2006-06-06 Freescale Semiconductor, Inc. Method and system for enabling device functions based on distance information
US6453168B1 (en) 1999-08-02 2002-09-17 Itt Manufacturing Enterprises, Inc Method and apparatus for determining the position of a mobile communication device using low accuracy clocks
US6564064B1 (en) 1999-12-01 2003-05-13 Trimble Navigation Limited Cellular telephone using pseudolites for determining location
US6430504B1 (en) 2000-03-07 2002-08-06 Trimble Navigation Ltd. User interface for global positioning system receiver
JP2002117377A (ja) * 2000-10-04 2002-04-19 Nec Corp 位置情報を用いた、個人認証システム、カードによる認証システム及び暗証番号によるドアロックシステム
US7995989B2 (en) 2000-12-29 2011-08-09 Globalstar, Inc. Method and apparatus providing suppression of system access by use of confidence polygons, volumes and surfaces in a mobile satellite system
DE60230601D1 (ko) 2001-01-10 2009-02-12 Cisco Tech Inc
US6898628B2 (en) 2001-03-22 2005-05-24 International Business Machines Corporation System and method for providing positional authentication for client-server systems
US20040025018A1 (en) 2002-01-23 2004-02-05 Haas Zygmunt J. Secure end-to-end communication in mobile ad hoc networks
US7295556B2 (en) 2002-03-01 2007-11-13 Enterasys Networks, Inc. Location discovery in a data network
US7603450B2 (en) 2002-04-26 2009-10-13 Hewlett-Packard Development Company, L.P. Methods and applets for providing and contributing to an IT network management service
US7091851B2 (en) 2002-07-02 2006-08-15 Tri-Sentinel, Inc. Geolocation system-enabled speaker-microphone accessory for radio communication devices
US7114183B1 (en) 2002-08-28 2006-09-26 Mcafee, Inc. Network adaptive baseline monitoring system and method
US20040059914A1 (en) 2002-09-12 2004-03-25 Broadcom Corporation Using signal-generated location information to identify and authenticate available devices
WO2004049637A1 (en) 2002-11-26 2004-06-10 Digital Envoy, Inc. Geo-intelligent traffic manager
US8156539B1 (en) 2002-12-18 2012-04-10 Cypress Semiconductor Corporation Method and system for protecting a wireless network
US7042392B2 (en) 2003-05-30 2006-05-09 The Boeing Company GPS access system and method
CA2570417A1 (en) * 2003-06-13 2004-12-23 A. Stephen Harvey Security system including a method and system for acquiring gps satellite position
CN1973560A (zh) 2003-12-05 2007-05-30 美国电影协会 使用三角测量地理定位装置的数字版权管理
US7904243B2 (en) 2004-01-15 2011-03-08 The Boeing Company Real-time data aiding for enhanced GPS performance
US7489926B2 (en) 2004-01-15 2009-02-10 The Boeing Company LEO-based positioning system for indoor and stand-alone navigation
CN100552661C (zh) 2004-06-28 2009-10-21 Nds有限公司 用于确定接近度的系统
US8707458B2 (en) 2004-07-07 2014-04-22 Nariste Networks Pty. Ltd. Location-enabled security services in wireless network
US7733804B2 (en) 2004-11-29 2010-06-08 Signacert, Inc. Method and apparatus to establish routes based on the trust scores of routers within an IP routing domain
US7984294B1 (en) 2005-04-14 2011-07-19 Avaya Inc. Method and apparatus for trust based routing in data networks
US7503489B2 (en) * 2005-04-26 2009-03-17 Bpriv, Llc Method and system for monitoring electronic purchases and cash-withdrawals
US8312064B1 (en) 2005-05-11 2012-11-13 Symantec Corporation Method and apparatus for securing documents using a position dependent file system
US20070028098A1 (en) 2005-07-28 2007-02-01 International Business Machines Corporation Encrypting units of work based on a trust level
US7372400B2 (en) 2005-11-07 2008-05-13 The Boeing Company Methods and apparatus for a navigation system with reduced susceptibility to interference and jamming
CA2531410A1 (en) 2005-12-23 2007-06-23 Snipe Network Security Corporation Behavioural-based network anomaly detection based on user and group profiling
KR101203469B1 (ko) 2006-02-11 2012-11-21 삼성전자주식회사 패킷 네트워크에서 컷스루 방식으로 노드간 전파 지연 및거리를 정확하고 안전하게 측정하는 방법 및 상기 방법을수행하는 패킷 네트워크 노드
US7688261B2 (en) 2006-03-15 2010-03-30 The Boeing Company Global position system (GPS) user receiver and geometric surface processing for all-in-view coherent GPS signal PRN codes acquisition and navigation solution
US7579986B2 (en) 2006-03-15 2009-08-25 The Boeing Company Method and system for all-in-view coherent GPS signal PRN codes acquisition and navigation solution determination
US7619559B2 (en) 2006-03-15 2009-11-17 The Boeing Company Method and system for all-in-view coherent GPS signal PRN codes acquisition and navigation solution determination
US8739278B2 (en) 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
US7583225B2 (en) 2006-05-18 2009-09-01 The Boeing Company Low earth orbit satellite data uplink
US8296051B2 (en) 2006-05-18 2012-10-23 The Boeing Company Generalized high performance navigation system
US7554481B2 (en) 2006-05-18 2009-06-30 The Boeing Company Localized jamming of navigation signals
US7579987B2 (en) 2006-05-18 2009-08-25 The Boeing Company Low earth orbit satellite providing navigation signals
WO2007148212A2 (en) 2006-06-22 2007-12-27 Nokia Corporation Enforcing geographic constraints in content distribution
US7865717B2 (en) 2006-07-18 2011-01-04 Motorola, Inc. Method and apparatus for dynamic, seamless security in communication protocols
US7468696B2 (en) 2006-12-14 2008-12-23 The Boeing Company Method and device for trilateration using LOS link prediction and pre-measurement LOS path filtering
US7701393B2 (en) 2006-12-19 2010-04-20 The Boeing Company Radio frequency navigation using frequency response matching
US7783301B2 (en) 2006-12-19 2010-08-24 The Boeing Company Method and device for determining a location of a communications device
US7996882B2 (en) 2007-02-26 2011-08-09 L Heureux Israel Digital asset distribution system
US8126971B2 (en) 2007-05-07 2012-02-28 Gary Stephen Shuster E-mail authentication
US20090228210A1 (en) 2007-06-28 2009-09-10 The Boeing Company Navigation system based on neutrino detection
JP4959463B2 (ja) * 2007-08-01 2012-06-20 株式会社トヨタIt開発センター 位置認証システム
US7920512B2 (en) 2007-08-30 2011-04-05 Intermec Ip Corp. Systems, methods, and devices that dynamically establish a sensor network
US8718668B2 (en) 2007-09-10 2014-05-06 Motorola Mobility Llc Device and method for tracking an accessed location of a network
US7969352B2 (en) 2008-01-08 2011-06-28 The Boeing Company Global positioning system accuracy enhancement
US20090252161A1 (en) 2008-04-03 2009-10-08 Morris Robert P Method And Systems For Routing A Data Packet Based On Geospatial Information
US7952518B2 (en) 2008-05-30 2011-05-31 The Boeing Company Internet hotspots localization using satellite systems
US8035558B2 (en) * 2008-05-30 2011-10-11 The Boeing Company Precise absolute time transfer from a satellite system
US20100024017A1 (en) * 2008-07-22 2010-01-28 Bank Of America Corporation Location-Based Authentication of Online Transactions Using Mobile Device
US8134497B2 (en) 2008-09-30 2012-03-13 Trimble Navigation Limited Method and system for location-dependent time-specific correction data
US7859455B2 (en) 2009-01-06 2010-12-28 The Boeing Company Local clock frequency calibration using low earth orbit (LEO) satellites
US8046490B1 (en) 2009-03-12 2011-10-25 Google Inc. System and method for enhancing network security
US9217792B2 (en) * 2009-08-14 2015-12-22 Saab-Sensis Corporation System and method for GNSS in-band authenticated position determination
EP2348335A1 (en) * 2010-01-22 2011-07-27 Astrium Limited A receiver and method for authenticating satellite signals
EP2365646A1 (en) 2010-03-12 2011-09-14 Inmarsat Global Limited Satellite beam monitoring by using a monitoring satellite
US9280783B2 (en) 2010-03-23 2016-03-08 Meridian Enterprises Corporation System and method for providing customized on-line shopping and/or manufacturing
US9178894B2 (en) 2010-11-18 2015-11-03 The Boeing Company Secure routing based on the physical locations of routers
US9201131B2 (en) 2010-11-18 2015-12-01 The Boeing Company Secure routing based on degree of trust
EP2573998B1 (en) 2011-09-21 2017-08-16 The Boeing Company Method and system for smart agent download

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070192805A1 (en) * 2006-02-15 2007-08-16 Atc Technologies, Llc Adaptive spotbeam broadcasting, systems, methods and devices for high bandwidth content distribution over satellite

Also Published As

Publication number Publication date
RU2013127396A (ru) 2014-12-27
WO2012067915A1 (en) 2012-05-24
US9009796B2 (en) 2015-04-14
US20120131650A1 (en) 2012-05-24
CA2813271C (en) 2016-05-31
RU2598588C2 (ru) 2016-09-27
AU2011329272B2 (en) 2016-07-07
CN103222228A (zh) 2013-07-24
AU2011329272A1 (en) 2013-05-23
JP5868990B2 (ja) 2016-02-24
KR20130129363A (ko) 2013-11-28
SG189971A1 (en) 2013-06-28
JP2014510422A (ja) 2014-04-24
EP2641355A1 (en) 2013-09-25
EP2641355B1 (en) 2021-03-10
CA2813271A1 (en) 2012-05-24

Similar Documents

Publication Publication Date Title
KR101877346B1 (ko) 위성 수신기의 스폿 빔 기반 인증
US8949941B2 (en) Geothentication based on network ranging
US8910246B2 (en) Contextual-based virtual data boundaries
US9201131B2 (en) Secure routing based on degree of trust
US9178894B2 (en) Secure routing based on the physical locations of routers
US9465582B1 (en) Significant random number generator
US9515826B2 (en) Network topology aided by smart agent download
EP2974455B1 (en) Secure routing based on the physical locations of routers
EP2810419B1 (en) Secure routing based on degree of trust
EP2587717B1 (en) Geothentication based on network ranging
EP2850810B1 (en) Contextual-based virtual data boundaries

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant