KR102220834B1 - 새로운 네트워크 패킷 구조에 기초한 지리위치 인증 시스템 및 방법 - Google Patents

새로운 네트워크 패킷 구조에 기초한 지리위치 인증 시스템 및 방법 Download PDF

Info

Publication number
KR102220834B1
KR102220834B1 KR1020147034486A KR20147034486A KR102220834B1 KR 102220834 B1 KR102220834 B1 KR 102220834B1 KR 1020147034486 A KR1020147034486 A KR 1020147034486A KR 20147034486 A KR20147034486 A KR 20147034486A KR 102220834 B1 KR102220834 B1 KR 102220834B1
Authority
KR
South Korea
Prior art keywords
network node
data
node
data packet
network
Prior art date
Application number
KR1020147034486A
Other languages
English (en)
Other versions
KR20150042153A (ko
Inventor
그레고리 엠. 구트
애런 아야가리
데이비드 웰런
미셸 엘. 오'코너
데이비드 지. 로렌스
Original Assignee
더 보잉 컴파니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/586,705 external-priority patent/US8769267B2/en
Application filed by 더 보잉 컴파니 filed Critical 더 보잉 컴파니
Publication of KR20150042153A publication Critical patent/KR20150042153A/ko
Application granted granted Critical
Publication of KR102220834B1 publication Critical patent/KR102220834B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • H04W40/20Communication route or path selection, e.g. power-based or shortest path routing based on geographic position or location
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S5/00Position-fixing by co-ordinating two or more direction or position line determinations; Position-fixing by co-ordinating two or more distance determinations
    • G01S5/02Position-fixing by co-ordinating two or more direction or position line determinations; Position-fixing by co-ordinating two or more distance determinations using radio waves
    • G01S5/0284Relative positioning
    • G01S5/0289Relative positioning of multiple transceivers, e.g. in ad hoc networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 검증 및/또는 지리위치 지정하기 위한 시스템 및 방법이 개시된다. 시스템은 발신지 네트워크 노드, 목적지 네트워크 노드 및 적어도 하나의 라우터 네트워크 노드를 포함한다. 발신지 네트워크 노드는 적어도 하나의 라우터 네트워크 노드를 통해 목적지 네트워크 노드로 다운스트림으로 데이터 패킷을 전송하도록 구성되어 있다. 데이터 패킷은 헤더부와 페이로드 데이터부를 포함하고 있다. 네트워크 노드 중 적어도 하나는 사용 가능한 네트워크 노드이다. 사용 가능한 네트워크 노드(들)는 데이터 패킷의 헤더부 및/또는 페이로드 데이터부의 하나를 분석함으로써 사용 가능한 네트워크 노드(들)로부터 업스트림에 배치되어 있는 네트워크 노드의 어느 하나를 검증하도록 구성되어 있다.

Description

새로운 네트워크 패킷 구조에 기초한 지리위치 인증 시스템 및 방법 {Geothentication Based on New Network Packet Structure}
관련 출원의 상호 참조
이 출원은, 본 명세서에서 그 전체가 참고로 원용되는, 2008년 5월 30일 출원된 미국 특허출원 제12/130880호의 일부 계속 출원으로서 이 미국 특허출원의 이익을 주장하는, 2011년 5월 23일에 출원된 미국 특허출원 제13/114013호의 일부 계속 출원으로서 이 미국 특허출원의 이익을 주장하고 있다. 이 출원은, 본 명세서에서 그 전체가 참고로 원용되는 2011년 3월 28일에 출원된 미국 특허출원 제13/073830호, 및 2010년 11월 18일에 출원된 미국 특허출원 제12/949404호와 관련이 있다.
분야
본 발명은 지리위치 인증(geothentication)에 관한 것이다. 특히, 본 발명은 새로운 네트워크 패킷 구조에 기초를 둔 지리위치 인증을 위한 시스템 및 방법에 관한 것이다.
지금까지, 많은 대규모 사이버 공격은 공격의 수신자(recipient)가 여전히 남겨진 피해로부터 복구하고 있는 채로 될 뿐만 아니라 수신가가 보복을 통해 또는 그렇지 않은 경우 공격의 발신자에 대한 명확한 추적가능성(traceability) 없이 더 이상의 피해를 억제할 수 없고, 따라서 종종 대응하는 권한이 부족하다. 공격 동기가 불명확한 경우에는, 그 공격은 반달리즘(vandalism: 파괴행위)의 단순한 행위, 의도적인 도난 또는 국가 안보를 위협하는 더 불길한 접근이었다고 수신자가 말할 수 있을 것 같아 보이지 않는다. 이처럼, 잘못된 사용자에 대한 네트워크 액세스를 거부하는 데 도움을 줄 수 있거나, 및/또는 발신자(originator)를 확인하는 데 도움을 주기 위해 추적 가능한 데이터를 제공하는 임의의 시스템은 서비스 거부(denial of service: DoS) 및 네트워크 데이터 인터셉션 공격(interception attack, 가로채기 공격)을 저감 및 완화하는 데 커다란 유용성을 가질 것이다.
본 발명은, 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 검증 및/또는 지리위치 지정(geolocating)하기 위한 방법, 시스템 및 장치에 관한 것이다. 특히, 본 발명은 발신지 네트워크 노드(origination network node)와 목적지 네트워크 노드(destination network node)를 포함하는 시스템을 교시하고 있다. 이 시스템은 적어도 하나의 라우터 네트워크 노드를 더 포함한다. 하나 이상의 실시예에서, 발신지 네트워크 노드, 목적지 네트워크 노드 및/또는 적어도 하나의 라우터 네트워크 노드는 사용 가능한 네트워크 노드(enabled network node)이다. 더욱이, 이 시스템은 하나 이상의 라우터 네트워크 노드를 통해 서로 연결된 발신지 네트워크 노드와 목적지 네트워크 노드를 포함한다. 또한, 이 시스템은 적어도 하나의 라우터 네트워크 노드를 통해 목적지 네트워크 노드로 다운스트림(downstream, 하류)으로 데이터 패킷을 전송하도록 구성된 발신지 네트워크 노드를 포함한다. 게다가, 이 시스템은 헤더부와 페이로드 데이터부를 포함하고 있는 데이터 패킷을 포함한다. 추가적으로, 이 시스템은 데이터 패킷의 헤더부 및/또는 페이로드 데이터부를 분석함으로써 (즉, 자체적으로) 사용 가능한 네트워크 노드(들)로부터 업스트림(upsteam, 상류)에 배치된 네트워크 노드의 적어도 하나를 검증하도록 구성된 적어도 하나의 사용 가능한 네트워크 노드를 포함한다.
하나 이상의 실시예에서, 헤더부는 보안 서명부 및/또는 라우팅 데이터부를 구비한다. 적어도 하나의 실시예에서, 데이터 패킷의 보안 서명부는 그를 통해 데이터 패킷이 이동되는 네트워크 노드의 적어도 하나에 관한 지리위치 정보(geolocation; 예를 들어, 지오태그(geotag))를 포함한다. 지리위치 정보는 당해 기술 분야에서 잘 알려진 바와 같은 표준 "지오태그" 형태를 포함하는 다양한 형태일 수 있지만, 이것에 한정되는 것은 아니다. 예를 들어, 지리위치 정보(지오태그)는 다음 중 하나, 즉 지리위치 좌표(즉, 경도 및 위도 좌표), 지리위치 정보가 도출(유도)되는 시간, 샘플링된 무선 주파수(radio frequency: RF) 신호 데이터의 적어도 일부, 및 적어도 몇 개의 샘플링된 RF 신호의 적어도 일부로부터 도출된 코드 정보(예를 들어, 고유의 식별자 코드)의 어느 하나를 포함할 수 있지만, 이것에 한정되는 것은 아니다. 일부 실시예에서, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드에 관한 지리위치 정보는, 적어도 하나의 전송 소스로부터 전송된, 적어도 하나의 인증 신호를 포함하고 있는 결과 신호를 수신함으로써 얻어진다. 적어도 하나의 실시예에서, 그를 통해 데이터 패킷이 이동되는 네트워크 노드(들)의 위치는, 그를 통해 데이터 패킷이 이동되는 네트워크 노드(들)가 수신하는 결과 신호의 특성을, 그를 통해 데이터 패킷이 이동되는 네트워크 노드(들)가 그 위치로 인해 수신해야만 하는 결과 신호의 기대되는 특성과 비교함으로써 검증된다. 일부 실시예에서, 데이터 패킷의 헤더부는 인터넷 프로토콜 버전 6(Internet Protocol version 6: IPv6) 데이터 패킷 헤더를 이용한다. 적어도 하나의 실시예에서, 지리위치 정보는 IPv6 데이터 패킷 헤더 내에 저장된다. 하나 이상의 실시예에서, 적어도 하나의 전송 소스는 위성, 의사 위성, 및/또는 지상의 전송 소스이다. 일부 실시예에서, 위성은 저지구 궤도(low Earth orbiting, LEO) 위성, 중간 지구 궤도(medium Earth orbiting, MEO) 위성 및/또는 정지 지구 궤도(geosynchronous Earth orbiting, GEO) 위성이다.
적어도 하나의 실시예에서, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드에 관한 지리위치 정보는, 검증된 위치에서 다른 네트워크 노드로 그를 통해 데이터가 이동되는 적어도 하나의 네트워크 노드에 의해 전송된 신호, 및 검증된 위치에서 다른 네트워크 노드로 그를 통해 데이터가 이동되는 적어도 하나의 네트워크 노드에 의해 수신된 신호에 의해 얻어지는 범위 정보(ranging information)로부터 결정된다.
하나 이상의 실시예에서, 적어도 하나의 사용 가능한 네트워크 노드가 네트워크 노드 중 어느 하나를 검증할 때, 사용 가능한 네트워크 노드(들)는 데이터 패킷의 헤더부에 포함된 데이터의 적어도 일부를 제거한다. 일부 실시예에서, 적어도 하나의 사용 가능한 네트워크 노드가 네트워크 노드의 어느 하나를 검증(또는 인증)할 때, 사용 가능한 네트워크 노드(들)는 데이터 패킷의 헤더부 및/또는 데이터 패킷의 페이로드 데이터부에 포함된 데이터의 적어도 일부를 제거한다. 하나 이상의 실시예에서, 적어도 하나의 사용 가능한 네트워크 노드가 네트워크 노드 중 어느 하나를 검증할 때, 사용 가능한 네트워크 노드(들)는 IPv6 데이터 패킷 헤더로부터 데이터의 적어도 일부를 제거한다. 적어도 하나의 실시예에서, 데이터 패킷의 라우팅 데이터부는 그를 통해 데이터 패킷이 이동되는 모든 네트워크 노드에 관한 데이터를 포함한다. 적어도 하나의 실시예에서, 데이터 패킷의 라우팅 데이터부는 그를 통해 데이터 패킷이 이동되는 네트워크 노드의 적어도 하나에 관한 데이터를 포함한다.
적어도 하나의 실시예에서, 적어도 하나의 사용 가능한 네트워크 노드가 네트워크 노드의 적어도 하나를 검증할 때, 사용 가능한 네트워크 노드(들)는 검증된 네트워크 노드(들)에 관한 데이터 패킷의 헤더부에 데이터를 추가한다. 하나 이상의 실시예에서, 보안 서명부에 추가된 데이터는 검증된 네트워크 노드(들)에 관련된 지리위치 정보(예를 들어, 지오태그)를 포함한다. 적어도 하나의 실시예에서, 업스트림 네트워크 노드가 데이터 패킷에 추가하는 데이터는, 다운스트림 네트워크 노드가 업스트림 네트워크 노드를 검증하고 데이터 패킷으로부터 데이터의 적어도 일부를 제거한 후에 다운스트림 네트워크 노드가 데이터 패킷에 추가할 수 있는 데이터와 다를 수 있다. 예를 들어, 업스트림 네트워크 노드는 데이터 패킷에 대량의 샘플링된 신호 데이터를 추가할 수 있고, 사용 가능한 다운스트림 네트워크 노드가 업스트림 네트워크 노드를 검증한 후에, 사용 가능한 다운스트림 네트워크 노드는 나중에 이 대량의 데이터를 업스트림 네트워크 노드의 지리위치 정보에 관한 데이터 등의 더 적은 양의 데이터로 치환할 수 있다. 더 적은 양의 데이터가 업스트림 네트워크 노드의 지리위치 정보와 관련되어 있기 때문에, 이 데이터는 샘플링된 신호 데이터에 관한 대량의 데이터보다 더 안전하게 되는 것이라고 생각할 수 있다. 일부 실시예에서, 사용 가능한 네트워크 노드의 적어도 하나는 사용 가능한 네트워크 노드(들)가 검증된 네트워크 중 어느 하나로부터 직접 수신하는 데이터 패킷만을 전송하도록 구성되어 있다. 하나 이상의 실시예에서, 사용 가능한 네트워크 노드(들)의 적어도 하나는 검증된 네트워크 노드(즉, 전체 노드 체인이 검증된 네트워크 노드로 구성되어야 하는 경우)를 통해 이동되는 데이터 패킷만을 전송하도록 구성되어 있다.
하나 이상의 실시예에서, 사용 가능한 네트워크 노드의 적어도 하나는 어느 네트워크 노드가 지오태깅 가능한 네트워크 노드인지를 결정하도록 구성되어 있다. 일부 실시예에서, 사용 가능한 네트워크 노드의 적어도 하나는 어느 네트워크 노드가 사용 가능한 네트워크 노드인지를 결정하도록 구성되어 있다. 적어도 하나의 실시예에서, 사용 가능한 네트워크 노드의 적어도 하나는 사용 가능한 네트워크 노드(들)로부터(즉, 그 자신으로부터) 업스트림에 배치된 네트워크 노드 중 적어도 하나를 검증하기 위해 적어도 하나의 전송 소스로부터 전송된 수신 신호를 추가적으로 이용한다. 하나 이상의 실시예에서, 데이터 패킷은 사용 가능한 네트워크 노드를 통해서만 발신지 네트워크 노드로부터 목적지 네트워크 노드로 다운스트림으로 전송된다.
적어도 하나의 실시예에서는, 네트워크 내의 네트워크 노드를 검증(또는 인증)하기 위한 방법이 개시된다. 이 방법은, 적어도 하나의 라우터 네트워크 노드를 통해 발신지 네트워크 노드로부터 목적지 네트워크 노드로 다운스트림으로 데이터 패킷을 전송하는 단계를 포함한다. 하나 이상의 실시예에서, 데이터 패킷은 헤더부와 페이로드 데이터부를 포함하고 있다. 이 방법은, 데이터 패킷의 헤더부 및/또는 페이로드 데이터부의 적어도 일부를 분석함으로써 사용 가능한 네트워크 노드(들)로부터(즉, 자신으로부터) 업스트림에 배치된 네트워크 노드의 적어도 하나를 적어도 하나의 사용 가능한 네트워크 노드에 의해 검증하는 단계를 더 포함한다. 적어도 하나의 실시예에서, 적어도 하나의 사용 가능한 네트워크 노드는 발신지 네트워크 노드, 목적지 네트워크 노드 및/또는 적어도 하나의 라우터 네트워크 노드이다.
적어도 하나의 실시예에서, 헤더부는 적어도 하나의 데이터 패킷에 부가된 적어도 하나의 지오태그(또는 지리위치 인증(geocertificate))의 형태로 적어도 하나의 네트워크 노드에 대한 지리위치 정보를 포함하고 있다. 일부 실시예에서, 데이터 패킷은 지오태깅 가능한 노드(즉, 지리위치 정보로 데이터 패킷에 태그를 붙일 수 있는 네트워크 노드)인 노드를 통해서만 라우팅될 수 있다. 일부 실시예에서, 적어도 하나의 데이터 패킷은 가장 직접적인 경로를 구성하지 않는 지오태깅 가능한 노드(즉, 지리위치 정보로 데이터 패킷에 태그를 붙일 수 있는 네트워크 노드)를 통해서만 라우팅될 수 있다.
하나 이상의 실시예에서, 데이터 패킷은 터널링 방법(tunneling method)을 이용함으로써 네트워크 노드를 통해 라우팅된다. 적어도 하나의 실시예에서는, 터널링 방법에 있어서, 적어도 하나의 데이터 패킷이 적어도 하나의 사용 가능하지 않은 네트워크 노드(non-enable network node; 즉, 지리위치 정보로 데이터 패킷을 지오 태깅할 수 없으며, 다른 네트워크 노드 또는 그 자신의 지리위치 정보를 검증할 수 없는 데이터 노드)를 통해 이동할 때, 사용 가능한 데이터 노드는 사용 가능하지 않은 네트워크 경로의 일단에서 데이터 패킷을 암호화한다. 적어도 하나의 실시예에서, 사용 가능하지 않은 네트워크 노드(들)를 통해 이동되는 데이터 패킷(들)은 다른 사용 가능한 네트워크 노드에 의해 사용 가능하지 않은 네트워크 경로의 타단에서 복호화된다. 적어도 하나의 실시예에서는, 이것이 그 목적지 네트워크 노드(즉, 데이터가 라우팅되는 네트워크 노드)에 도착할 때까지는 적어도 하나의 사용 가능하지 않은 네트워크 노드를 통해 이동하는 적어도 하나의 데이터 패킷이 복호화되지 않는다.
일부 실시예에서, 데이터 패킷의 헤더부(예를 들어, 보안 서명부)에 포함된 정보는 데이터 패킷이 그 목적지 네트워크 노드에 도달할 때까지 데이터 패킷이 네트워크 노드를 통해 이동하면서 크기가 성장하는 것을 계속할 수 있고, 이 경우에는 목적지 네트워크 노드가 사용 가능한 네트워크 노드이면 검증(또는 인증)될 수 있을지도 모른다. 일부 실시예에서, 다운스트림의 사용 가능한 네트워크 노드는 업스트림 네트워크 노드를 검증(또는 인증)하기 위해 사용될 수 있고, 그 다음에 다운스트림의 사용 가능한 네트워크 노드는 데이터 패킷 헤더로부터 검증(또는 인증)된 정보를 제거할 수 있다. 적어도 하나의 실시예에서, 업스트림 네트워크 노드는 데이터 패킷에 포함되어 있는 업스트림 네트워크 노드의 보안 서명을 검토함으로써 사용 가능한 다운스트림 네트워크 노드에 의해 검증(또는 인증)될 수 있다. 적어도 하나의 실시예에서, 업스트림 네트워크 노드를 검증하는 사용 가능한 네트워크 노드는 사용 가능한 네트워크 노드가 업스트림 네트워크 노드를 검증(또는 인증)했음을 지시하는 정보를 데이터 패킷 헤더에 추가할 수 있다.
적어도 하나의 실시예에서, 업스트림 네트워크 노드를 검증하는 사용 가능한 네트워크 노드는 사용 가능한 네트워크 노드가 업스트림 경로(즉, 적어도 두 개의 네트워크 노드 사이에서 동작하는 사용 가능한 네트워크 노드의 업스트림에 배치된 경로)를 승인(validation)했음을 지시하는 정보를 데이터 패킷 헤더에 추가할 수 있다. 적어도 하나의 실시예에서, 적어도 하나의 업스트림 네트워크 노드의 보안 서명은 업스트림 네트워크 노드(들)의 지리위치(geolocation)를 나타내는 적어도 하나의 지오태그를 적어도 부분적으로 포함할 수 있다. 일부 실시예에서는, 데이터 패킷이 적어도 두 개의 네트워크 노드를 포함하는 네트워크 경로를 통해 이동할 때, 적어도 하나의 사용 가능한 네트워크 노드에 의해 부가된 데이터 패킷에 있어서 잠재적으로 인증 가능한 정보를 제거하는 일없이 적어도 하나의 사용 가능한 네트워크 노드가 데이터 패킷 헤더에 새로운 정보를 추가한다. 게다가, 적어도 하나의 사용 가능한 네트워크 노드는 그를 통해 데이터 패킷이 이동되는 적어도 하나의 업스트림 네트워크 노드에 관한 정보를 데이터 패킷 헤더에서 제거하고, 데이터 패킷 헤더에 새로운 정보를 추가한다.
일부 실시예에서는, 사용 가능한 네트워크 노드만이 다음 단계 중 적어도 하나를 수행할 수 있다. 즉, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 업스트림 네트워크 노드를 인증(또는 검증)하는 단계; 그를 통해 데이터 패킷이 이동되는 업스트림 네트워크 경로를 인증(또는 검증)하는 단계; 사용 가능한 네트워크 노드를 통해 이동되고 그를 통해 데이터 패킷이 이동되는 사용 가능한 네트워크 노드에 의해 인증된 데이터 패킷만을 라우팅하는 단계; 적어도 하나의 네트워크 노드의 인증(또는 검증)을 확인하는 정보를 데이터 패킷 헤더에 부가하는 단계; 데이터 패킷 헤더에 지오태그 정보를 부가하는 단계; 데이터 패킷 헤더에 신뢰할 수 있는 라우터(즉, 사용 가능한 네트워크 노드) 정보를 부가하는 단계; 데이터 패킷 헤더에 경로 정보를 부가하는 단계; 적어도 하나의 네트워크 노드의 이전의 검증(또는 인증)으로부터의 정보를 데이터 패킷 헤더로부터 제거하는 단계; 이전에 검증(또는 인증)된 적어도 하나의 네트워크 노드의 데이터 패킷 헤더로부터 지오태그 정보를 제거하는 단계; 이전에 검증(또는 인증)된 적어도 하나의 네트워크 노드의 데이터 패킷 헤더로부터 신뢰할 수 있는 정보를 제거하는 단계; 및 이전에 검증(또는 인증)된 적어도 하나의 네트워크 노드의 데이터 패킷 헤더로부터 경로 정보를 제거하는 단계 중 적어도 하나를 수행할 수 있다.
일부 실시예에서, 지오태깅 가능한 노드에 의해 데이터 패킷을 지오태깅하는 것은, 적어도 하나의 네트워크 노드의 신뢰 수준을 증가시키기 위해 사용될 수 있다. 적어도 하나의 실시예에서, 데이터 패킷을 지오태깅하는 것은 적어도 두 개의 네트워크 노드 사이의 경로의 신뢰도를 높이기 위해 사용될 수 있고, 이 경우에 노드 중 적어도 하나는 지오태깅 가능한 노드이다.
다른 실시예에서, 본 발명은 발신지 네트워크 노드와 목적지 네트워크 노드를 포함하는 시스템을 교시하고 있다. 이 시스템은, 적어도 하나의 라우터 네트워크 노드를 더 포함한다. 더욱이, 이 시스템은 적어도 하나의 라우터 네트워크 노드를 매개로 서로 연결된 발신지 네트워크 노드와 목적지 네트워크 노드를 포함한다. 또한, 이 시스템은 적어도 하나의 라우터 네트워크 노드를 통해 목적지 네트워크 노드로 데이터 패킷을 전송하도록 구성된 발신지 네트워크 노드를 포함한다. 게다가, 이 시스템은 보안 서명부, 라우팅 데이터부 및 페이로드 데이터부를 포함하고 있는 데이터 패킷을 포함한다.
하나의 실시예에서, 이 방법은 현재 사용되는 인프라(infrastructure)를 위해 채택될 수 있지만, 이것은 인터넷 엔지니어링 태스크 포스(internet engineering task force: IETF) 인터넷 프로토콜(internet protocol: IP) 네트워킹 프로토콜 및 라우터에서의 그들의 구현에 주어진 추가적인 노력을 필요로 한다. 기존의 배포된 인프라의 경우, 사용 가능한 하드웨어를 사용하는 상호 관련된 라우터 네트워크는, 일반적인 데이터 평면 트래픽이 표준의 현재 사용되는 고속 경로 포워딩(fast path forwarding)을 취하는 것을 허용하면서, 효과적으로 트래킹(tracking, 뒤쫓음) 및 추적(tracing) 방법이 특정 클래스의 트래픽에 대해 수행되는 것을 허용할 수 있는 관리 제어 평면 시그널링(management control plane signaling)을 위해 사용된다. 예를 들어, 알려진 루트를 갖고 피어 라우터(peer router) 사이의 특별한 클래스의 데이터 평면 IP 네트워크 트래픽과 동일한 루트를 갖는 특정의 제어 평면 네트워크 관리 패킷이 삽입될 수 있다. 이것은, IETF RFC와 완전하게 호환되면서 제어 평면의 기존 및 미래의 배포되는 인프라에 배포될 수 있는 네트워크 속성을 위한 이벤트 상관 엔진 및 결정 지원 엔진 등과 같은 적절한 분석 등의 요소(element)를 이용하여 솔루션이 개발되는 것을 허용한다. 데이터 패킷이 포함할 수 있는 리스트된 요소는 이제 제어 평면 데이터 및 데이터 평면 흐름을 통해 전달되어 현재의 프로세싱 및 포워딩 메커니즘을 따르는 것과 같이 되도록 상정할 수 있다.
하나 이상의 실시예에서, 보안 서명부는 디지털 서명을 포함한다. 일부 실시예에서, 보안 서명부는 발신지 네트워크 노드로부터 목적지 네트워크 노드까지 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드의 목록(listing)을 포함한다. 적어도 하나의 실시예에서, 보안 서명부는 데이터 패킷이 네트워크 노드(들)에 의해 수신 및/또는 전송된 때를 지시하는 적어도 하나의 네트워크 노드를 위한 타이밍 정보를 목록에 포함한다. 일부 실시예에서, 보안 서명부는 하나 이상의 네트워크 노드를 위한 식별자 정보를 목록에 포함한다. 하나 이상의 실시예에서, 식별자 정보는 생체 정보(biometric information, 수명 정보) 및/또는 비트 시퀀스 식별 코드이다.
적어도 하나의 실시예에서, 보안 서명부는 하나 이상의 네트워크 노드를 위한 지리위치 정보를 목록에 포함한다. 하나 이상의 실시예에서, 지리위치 정보는 적어도 하나의 전송 소스로부터 전송된 결과 신호를 수신하는 네트워크 노드에 의해 얻어진다. 결과 신호는 적어도 하나의 인증 신호를 포함하고 있다. 네트워크 노드 위치는, 네트워크 노드가 수신하는 결과 신호의 특성을, 네트워크 노드가 그 위치로 인해 수신해야만 하는 결과 신호의 기대되는 특성과 비교함으로써 검증된다. 일부 실시예에서, 적어도 하나의 전송 소스는 위성, 의사 위성 및/또는 지상의 전송 소스이다. 적어도 하나의 실시예에서, 위성은 저지구 궤도(LEO) 위성, 중간 지구 궤도(MEO) 위성 또는 정지 지구 궤도(GEO) 위성이다.
적어도 하나의 실시예에서는, 매 데이터 패킷에 부가되는 지리위치 데이터 대신에, 보안 네트워크 서버가 참여할 수 있는 라우터의 위치를 주기적으로 승인하기 위해 사용될 수 있다. 사용 가능한 장치를 가진 최종 사용자는 경로에서의 라우터의 위치를 확인하기 위해 보안 네트워크 서버로 주기적으로 점검함으로써 라우팅 경로를 검증할 수 있다. 각 라우터가 그 자신의 키(key)를 가질 수 있기 때문에, 그들 키가 손상(compromise)되지 않는 한, 이것은 매 패킷에 지리위치 데이터를 추가하는 대신 또는 매 패킷에 지리위치 데이터를 추가하는 것과 조합해서 사용될 수 있다.
하나 이상의 실시예에서, 개시된 시스템은 이리듐 LEO 위성 관측(Iridium LEO satellite constellation)을 이용하고, 여기서 관측에 있어서 각 위성은 각각이 독특한 스팟 빔 패턴을 갖는 48개의 스팟 빔(spot beam)을 전송하는 안테나 형상을 가진다. 적어도 하나의 실시예에서, 적어도 하나의 인증 신호는 관측에 있어서 이리듐 위성 중 적어도 하나로부터 전송될 수 있다. 이리듐 위성의 48개의 스팟 빔은 지구의 표면 또는 근방에 배치된 네트워크 노드에 국부적인 인증 신호(localized authentication signal)를 전송하기 위해 사용될 수 있다. 이러한 인증 신호와 관련된 방송 메시지 버스트 컨텐트는 의사랜덤 노이즈(pseudorandom noise: PRN) 데이터를 포함한다. 주어진 메시지 버스트가 특정 시간에 특정의 위성 스팟 빔 내에서 발생할 수 있기 때문에, PRN 및 고유의 빔 파라미터(예를 들어, 시간, 위성 식별자(ID), 시간 편향(time bias), 궤도 데이터 등)를 포함하는 메시지 버스트 컨텐트는 네트워크 노드의 위치를 인증하기 위해 사용될 수 있다. 상술한 이리듐 LEO 위성 중 하나를 사용할 때, 전송 신호 전력은 신호가 실내 환경 내로 침투하는 것을 허용하기에 충분할 만큼 충분히 강하다는 점에 유의해야 한다. 이것은, 개시된 시스템이 인증 기술을 위한 많은 실내 응용에 사용되는 것을 가능하게 한다.
하나 이상의 실시예에서, 지리위치 정보는 검증된 위치에서 다른 네트워크 노드로 네트워크 노드에 의해 전송된 신호 및 검증된 위치에서 네트워크 노드로부터 네트워크 노드에 의해 수신된 신호에 의해 얻어지는 범위 정보로부터 결정된다. 적어도 하나의 실시예에서, 개시된 시스템은 서비스의 품질(Quality of Service: QoS) 흐름 기준으로 인터넷 IP 트래픽에 대한 범위의 네트워크 수준의 원리를 이용한다. 적어도 하나의 실시예에서, 라우팅 데이터부는 데이터 패킷에 대한 라우팅 정보를 포함하고 있고, 여기서 라우팅 정보는 데이터 패킷이 전송되는 목적지 네트워크 노드에 관한 정보를 포함하고 있다. 하나 이상의 실시예에서, 페이로드 데이터부는 발신지 네트워크 노드로부터 목적지 네트워크 노드로 전송해야 할 데이터를 포함하고 있다.
적어도 하나의 실시예에서, 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 검증 및/또는 지리위치 지정하기 위한 방법은, 발신지 네트워크 노드를 이용하여 하나의 라우터 네트워크 노드를 통해 목적지 네트워크 노드로 데이터 패킷을 전송하는 단계를 포함한다. 발신지 네트워크 노드와 목적지 네트워크 노드는 적어도 하나의 라우터 네트워크 노드를 매개로 서로 연결되어 있다. 데이터 패킷은 보안 서명부, 라우팅 데이터부 및 페이로드 데이터부를 포함하고 있다.
하나 이상의 실시예에서, 사이버 및 네트워크 보안 어플리케이션을 위한 네트워크 노드 장치는 수신기 및 프로세서를 포함한다. 수신기는 신호원(signal source)으로부터 신호를 수신할 수 있다. 프로세서는 네트워크 노드 장치를 통해 라우팅된 데이터 패킷에 보안 서명으로서의 신호에 관련된 정보를 부가할 수 있다.
적어도 하나의 실시예에서, 사이버 및 네트워크 보안 어플리케이션을 위한 인증 시스템은 네트워크 노드 장치 및 처리 장치를 포함한다. 네트워크 노드 장치는 신호원으로부터 신호를 수신할 수 있는 수신기, 및 네트워크 노드 장치를 통해 라우팅된 데이터 패킷에 보안 서명으로서의 신호에 관련된 정보를 부가할 수 있는 프로세서를 구비하고 있다. 처리 장치는, 네트워크 노드 장치를 통해 라우팅되는 데이터 패킷의 보안 서명을, 네트워크 노드 장치가 네트워크 노드 장치를 인증하기 위해 수신된 신호에 관련된 알려진 정보와 비교할 수 있다.
하나 이상의 실시예에서, 네트워크 노드 장치의 인증은 적어도 부분적으로 네트워크 노드 장치가 그 예상되는 지리적인 위치(geographic location)에 물리적으로 배치되어 있는지를 결정하는 단계로 구성된다. 적어도 하나의 실시예에서는, 데이터가 전달되도록 허가되기 전에 네트워크 노드 장치가 인증된다. 일부 실시예에서, 처리 장치는 휴대 전화(cell phone), 개인 휴대 정보 단말기(personal digital assistant: PDA), 개인용 컴퓨터, 컴퓨터 노드, 인터넷 프로토콜(internet protocol: IP) 노드, 서버, Wi-Fi 노드 및/또는 테터드 또는 언테터드 노드(tethered or untethered node)이다.
추가적으로, 본 발명은 네트워크 노드의 위치를 인증하기 위한 가드 스팟 빔(guard spot beams)을 이용하기 위한 방법, 시스템 및 장치에 관한 것이다. 특히, 본 발명은 네트워크 노드에 대한 지리위치 정보를 검증하기 위해 전송 기반의 인증 시스템을 위한 방법을 교시하고 있다. 하나 이상의 실시예에서, 개시된 방법은 적어도 하나의 전송 소스로부터 인증 신호 및 적어도 하나의 가드 신호를 전송하는 단계를 포함한다. 이 방법은, 적어도 하나의 전송 소스로부터 적어도 하나의 결과 신호를 수신하는 단계를 더 포함한다. 적어도 하나의 결과 신호는 인증 신호 및/또는 적어도 하나의 가드 신호를 포함한다. 게다가, 이 방법은 적어도 하나의 인증 장치를 이용하여 네트워크 노드(들)가 적어도 하나의 수신하는 소스로부터 수신하는 적어도 하나의 결과 신호를 평가함으로써 적어도 하나의 네트워크 노드를 인증하는 단계를 더 포함한다. 적어도 하나의 실시예에서, 적어도 하나의 네트워크 노드는 엔티티(entity) 및/또는 사용자에 의해 이용된다.
하나 이상의 실시예에서, 인증 신호와 적어도 하나의 가드 신호는 동일한 전송 소스로부터 전송된다. 적어도 하나의 실시예에서, 인증 신호와 적어도 하나의 가드 신호는 다른 전송 소스로부터 전송된다. 일부 실시예에서, 인증 신호와 적어도 하나의 가드 신호는 동일 주파수로 전송된다. 변형 실시예에서는, 인증 신호와 적어도 하나의 가드 신호는 서로 다른 주파수로 전송된다.
적어도 하나의 실시예에서, 적어도 하나의 가드 신호에 의해 전송된 데이터는 합법적인 목적을 위해 사용된다. 하나 이상의 실시예에서, 적어도 하나의 가드 신호는 적어도 부분적으로 인증 신호를 포함하고 있다. 여러 가지 실시예에서, 가드 신호는 인증 신호 및/또는 합법적이거나 또는 가짜일 수 있는 데이터를 포함할 수 있다. 일부 실시예에서, 적어도 하나의 가드 신호에 의해 전송된 데이터는 국부적인 정보(localized information) 및/또는 지역 정보(regional information)를 포함하고 있다.
하나 이상의 실시예에서, 가드 신호에 의해 전송된 데이터는 신호의 중첩 영역(overlap area) 내에 배치된 네트워크 노드에 의해 수신될 수 있다. 일부 실시예에서, 데이터는 적어도 2개의 위상이 다른 2진 위상 시프트 키잉(binary phase shift keying: BPSK) 신호를 매개로 전송되고, 여기서 위상이 다른 BPSK 신호는 적어도 하나의 직교 위상 시프트 키잉(quadrature phase shift keying: QPSK) 신호처럼 보인다. 적어도 하나의 실시예에서, 적어도 하나의 가드 신호의 비트 스트림의 변조의 변경은 비트 바이 비트 기준(bit by bit basis, 1비트 기준)으로 비트 스트림 내의 비트의 방송 전력을 수정한다. 일부 실시예에서는, 적어도 2개의 가드 신호가 전송될 때, 가드 신호의 상대 전력은 인증 신호에 더 가깝게 배치된 가드 신호가 인증 신호로부터 더 멀리 떨어져서 배치된 가드 신호보다 더 높은 전력을 갖도록 변경된다.
추가적으로, 본 발명은 네트워크 노드를 위한 지리위치 정보를 검증하기 위해 전송 기반의 인증 시스템을 교시하고 있다. 하나 이상의 실시예에서, 개시된 시스템은 적어도 하나의 송신기, 적어도 하나의 수신기 및 적어도 하나의 인증 장치(authenticator device)를 포함하고 있다. 하나 이상의 실시예에서, 적어도 하나의 송신기는 인증 신호와 적어도 하나의 가드 신호를 전송하고; 적어도 하나의 수신기는 적어도 하나의 결과 신호를 수신한다. 적어도 하나의 결과 신호는 인증 신호 및/또는 적어도 하나의 가드 신호를 포함하고 있다. 적어도 하나의 실시예에서, 적어도 하나의 인증 장치는 적어도 하나의 네트워크 노드가 적어도 하나의 수신기로부터 수신하는 적어도 하나의 결과 신호를 평가함으로써 적어도 하나의 네트워크 노드를 인증한다. 하나 이상의 실시예에서, 이 시스템은 사이버에 배치된 포털(cyber locate portal)도 포함하고 있다는 점에 유의해야 한다. 사이버에 배치된 포털은 네트워크와 시스템에 보안의 추가적인 수준을 추가하는 인증 장치 사이의 보안 인터페이스이다. 이러한 실시예에서, 결과 신호는 사이버에 배치된 포털을 매개로 한 인증을 위해 인증 장치로 보내진다.
하나 이상의 실시예에서, 인증 데이터는 가로 채기 및 재사용되는 것을 회피하기 위해 암호화된다. 추가적으로, 데이터는 데이터의 서명을 그 특정의 포털 장치를 위한 서명과 비교함으로써 특정의 포털 장치로부터 발신된 데이터를 확인하기 위해 사용될 수 있는 서명으로 서명될 수 있다. 각 사이버에 배치된 포털 장치는 암호화하기 위한 고유 키를 가질 수 있고, 샘플 데이터에 서명하기 위한 추가적인 키를 가질 수 있다. 이러한 키는 인증 서버 및 포털 장치에 의해서만 최적으로 알려진다.
적어도 하나의 실시예에서, 적어도 하나의 수신기와 적어도 하나의 송신기는 적어도 하나의 송수신기(transceiver)에 함께 통합된다. 일부 실시예에서는, 인증 신호와 적어도 하나의 가드 신호가 동일한 송신기로부터 전송된다. 적어도 하나의 실시예에서는, 인증 신호와 적어도 하나의 가드 신호가 다른 송신기로부터 전송된다. 하나 이상의 실시예에서, 적어도 하나의 인증 장치는 서버 및/또는 프로세서를 포함한다. 일부 실시예에서는, 인증 신호와 적어도 하나의 가드 신호가 동일 주파수로 전송된다.
적어도 하나의 실시예에서, 적어도 하나의 인증 장치는 호스트 네트워크의 적어도 일부를 동작시킨다. 하나 이상의 실시예에서, 개시된 시스템은 적어도 하나의 네트워크 노드와 적어도 하나의 인증 장치 사이의 중개자(intermediary)로서 동작하는 호스트 네트워크를 더 구비한다. 일부 실시예에서, 적어도 하나의 수신기는 휴대 전화, 개인 휴대 정보 단말기(PDA), 개인용 컴퓨터, 컴퓨터 노드, 인터넷 프로토콜(IP) 노드, 서버, Wi-Fi 노드 및/또는 테더드 또는 언테더드 노드에 적용된다.
일부 실시예에서, 수신기는 또한 사이버에 배치된 포털 장치의 기능을 포함할 수 있다. 일부 실시예에서, 수신기와 사이버에 배치된 포털 장치는 휴대 전화 또는 PDA에 결합된다. 휴대 전화 또는 PDA가 사이버에 배치된 포털 장치를 포함하고 있는 경우, 신호 처리, 암호화 및 서명 기능은 이상적으로는 휴대 전화 또는 PDA의 운영 체제의 일부가 아닌 하드웨어 및/또는 펌웨어로 수행될 수 있다는 점에 유의해야 한다. 예를 들어, 필요에 따라, 암호화 및 서명 키와 암호화되지 않은 샘플 데이터는 휴대 전화 또는 PDA 운영 체제에 의해 액세스할 수 없다.
하나 이상의 실시예에서, 적어도 하나의 송신기는 적어도 하나의 위성 및/또는 적어도 하나의 의사 위성에 적용된다. 일부 실시예에서, 적어도 하나의 위성은 저지구 궤도(LEO) 위성, 중간 지구 궤도(MEO) 위성 및/또는 정지 지구 궤도(GEO) 위성이다. 하나 이상의 실시예에서, 적어도 하나의 네트워크 노드는 고정식 및/또는 이동식이다. 적어도 하나의 실시예에서, 적어도 하나의 인증 장치는 피어 장치(peer device)이다.
하나 이상의 실시예에서, 전송 기반의 인증 시스템을 위한 방법은 적어도 하나의 전송 소스에서 복수의 인증 신호를 전송하는 단계를 포함한다. 이 방법은 적어도 하나의 수신 소스로부터 인증 신호 중 적어도 2개를 포함하는 결과 신호를 수신하는 단계를 더 포함한다. 더욱이, 이 방법은, 네트워크 노드(들)가 수신 소스 위치(들)로부터 수신하는 결과 신호의 특성을, 네트워크 노드(들)가 수신 소스 위치(들)로부터 수신해야만 하는 결과 신호의 기대되는 특성과 비교함으로써, 적어도 하나의 인증 장치를 이용하여 적어도 하나의 네트워크 노드를 인증한다.
하나 이상의 실시예에서, 전송 기반의 인증 시스템을 위한 시스템 및 방법은 적어도 하나의 전송 소스로부터 스팟 빔의 복수의 인증 신호를 전송하는 단계를 포함하되, 각 스팟 빔이 적어도 하나의 인증 신호를 포함하고 있다. 적어도 하나의 실시예에서, 전송 소스(소스들)는 이리듐 위성 관측으로부터 적어도 하나의 LEO 위성에 사용된다. 일부 실시예에서, 인증 신호는 동일한 주파수로 전송된다. 이 방법은, 적어도 하나의 수신 소스로부터 인증 신호 중 적어도 2개를 포함하고 있는 결과 신호를 수신하는 단계를 더 포함한다. 더욱이, 이 방법은 네트워크 노드(들)가 수신 소스 위치(들)로부터 수신하는 결과 신호의 특성을, 네트워크 노드(들)가 수신 소스 위치(들)로부터 수신해야만 하는 결과 신호의 기대되는 특성과 비교함으로써, 적어도 하나의 네트워크 노드를 인증하는 단계를 포함한다.
적어도 하나의 실시예에서, 인증 신호는 동일한 전송 소스로부터 전송된다. 변형 실시예에서, 인증 신호는 다른 전송 소스로부터 전송된다. 일부 실시예에서, 전송 소스(소스들)는 적어도 하나의 위성 및/또는 적어도 하나의 의사 위성에 의해 사용된다. 하나 이상의 실시예에서, 인증 신호는 동일한 주파수로 동시에 전송되고, 각 인증 신호는 다른 인증 신호와는 다른 변조를 가진다. 적어도 하나의 실시예에서, 다른 변조는 다른 의사랜덤 디지털 변조 시퀀스이다. 일부 실시예에서, 다른 의사랜덤 디지털 변조 시퀀스는 다른 BPSK 코드 시퀀스이다.
하나 이상의 실시예에서, 비교되는 특성은 신호 전력, 도플러 시프트, 도착 시간 및/또는 신호 변조이다. 특히, 수신된 신호 변조는 복수의 인증 신호의 조합이며, 이 결과적인 결합 변조는 수신 소스의 위치의 변화와 함께 변화하는 특성을 가진다. 일부 실시예에서, 개시된 시스템 및 방법은 자기 형성(self-forming), P2P(peer to peer), 및/또는 애드혹 네트워크(ad hoc network)를 포함하는 네트워크들을 위한 보안 네트워크에 관한 것이지만, 이에 한정되는 것은 아니다.
특징, 기능 및 이점은 본 발명의 여러 가지 실시예에서 독립적으로 달성될 수 있거나 또는 또 다른 실시예에 결합될 수 있다.
본 발명의 이러한 및 다른 특징, 태양 및 장점은 다음의 설명, 첨부된 특허청구의 범위 및 첨부 도면에 관하여 잘 이해되는 것이다:
도 1a는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다.
도 1b는 사용 가능한 네트워크 노드가 적어도 하나의 업스트림 네트워크 노드를 검증하고 그 다음에 데이터 패킷으로부터 업스트림 네트워크 노드(들)에 관한 부가된 데이터를 제거하는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다.
도 1c는 업스트림 네트워크 노드 검증 방법이 다수의 라우터 네트워크 노드를 통해 발신지 네트워크 노드로부터 목적지 네트워크 노드로 다운스트림으로 이동하는 데이터 패킷을 위해 사용되는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다.
도 1d는 지오태깅 및 데이터 암호화 기술을 이용하는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다.
도 1e는 지오태깅을 이용하여 IPv6 패킷 헤더의 8비트의 Next Header 필드를 활용하는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다.
도 1f는 데이터 패킷이 정의된 지리적 영역 내에 배치되어 있는 네트워크 노드를 통해서만 라우팅되는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다.
도 1g는 2개의 네트워크 노드가 적어도 하나의 LEO 위성으로부터 전송 신호를 수신할 수 있는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다.
도 2는 전송 기반의 인증 시스템에 의해 범위 정보를 사용하여 검증되는 3개의 네트워크 노드의 위치를 나타내는 도면이다.
도 3은 다수의 가드 빔과 함께 인증 빔을 전송하기 위해 위성을 이용하는 전송 기반 인증 시스템의 실시예를 나타낸다.
도 4a는 3개의 중첩하는 스팟 빔 내 및 근방의 여러 위치에 배치된 4개의 네트워크 노드를 갖는 전송 기반 인증 시스템의 실시예를 나타낸다.
도 4b는 도 4a의 3개의 스팟 빔에 의해 전송된 신호의 그래프의 실시예를 나타낸다.
도 4c는 도 4a의 4개의 네트워크 노드의 위치에서 3개의 스팟 빔의 신호 강도 어레이의 실시예를 나타낸다.
도 4d는 도 4a의 3개의 스팟 빔을 위한 비트 어레이의 실시예를 나타낸다.
도 4e는 도 4a의 4개의 네트워크 노드에 의해 수신된 결과 신호 시퀀스의 어레이의 실시예를 나타낸다.
도 4f는 도 4a의 4개의 네트워크 노드에 의해 수신된 결과 신호를 묘사하는 그래프의 실시예를 나타낸다.
도 5는 이차 미션의 일부로서 가드 빔 전송을 이용하는 전송 기반 인증 시스템의 실시예를 나타낸다.
도 6은 위상이 어긋난 이진 위상 시프트 키잉(BPSK) 가드 빔 전송을 이용하는 전송 기반 인증 시스템의 실시예를 나타낸다.
도 7은 폐색되거나 빽빽히 찬 환경에서 수행할 수 있는 네트워크 노드를 가진 개시된 시스템의 실시예를 나타낸다.
본 명세서에서 개시된 방법 및 장치는 새로운 네트워크 패킷 구조에 기초를 둔 어플리케이션에 기초해서 데이터 라우팅 보안을 위해 사용되는 지리위치 인증을 위한 동작 시스템을 제공한다. 보다 구체적으로는, 본 발명은 데이터 패킷 추적 능력을 향상시키기 위해, 그리고 다른 네트워크 노드에 관한 지리위치 정보를 검증하거나 인증하기 위해(즉, 다른 네트워크 노드를 지리위치 인증(geothenticate)하기 위해) 데이터 패킷을 지오 태깅하도록 사용 가능한 네트워크 노드를 이용하는 것을 교시하고 있다. 일단 네트워크 노드가 사용 가능한 네트워크 노드에 의해 검증 또는 인증되면, 그 때 네트워크 노드는 신뢰할 수 있는 네트워크 노드라고 불린다. 게다가, 본 발명은 또한 지리위치 정보를 갖춘 데이터 패킷을 지오태깅할 수 있지만, 네트워크 노드를 검증 또는 인증할 수 없는 지오태깅 가능한 네트워크 노드를 사용하는 것을 교시하고 있다는 점에 유의해야 한다. 적어도 하나의 실시예에서는, 시스템 내의 적어도 하나의 사용 가능한 네트워크 노드는 지오태깅할 수 없을지도 모르지만, 다른 네트워크 노드에 관한 지리위치 정보를 검증(또는 인증)할 수 있다(즉, 다른 네트워크 노드를 지리위치 인증할 수 있다).
지오 태그(geptag)는 적어도 하나의 네트워크 노드의 위치에 관한 지리위치 정보를 참조한다. 지리위치 정보는, 원시 위성 데이터의 스니펫(snippet: 한 토막), 특수 위성 빔에 독특한 알려진 또는 알려지지 않은 코드의 적어도 일부, 지리위치 좌표(예를 들어, 위도와 경도 좌표), 지리위치 정보가 유도된 시간, 샘플링된 무선 주파수(radio frequency: RF) 신호 데이터(예를 들어, 위성 RF 데이터)의 적어도 일부, 및/또는 샘플링된 몇몇 RF 신호 데이터의 적어도 일부로부터 유도된 부호화 정보(예를 들어, 고유 식별자 코드)를 포함할 수 있으나, 이것에 한정되는 것은 아니다. 이 지리위치 정보는 IPv6 데이터 패킷 헤더의 기존 구조에 통합될 수 있고, 구체적으로는 데이터 패킷 헤더의 8비트의 Next Header 필드에 (즉, 확장 헤더로서) 통합될 수 있다. 이 특수 필드는 Next Header의 유형(type)을 지정하고, 일반적으로는 데이터 패킷의 페이로드에 의해 사용되는 더 높은 수준의 전송 계층 프로토콜을 지정한다. 확장 헤더가 존재하는 경우, 이 필드는 어느 확장 헤더가 뒤따르는지를 지시한다. 일부 실시예에서, 지오태그 확장 헤더는 고정된 헤더와 상위 계층 프로토콜 헤더 사이에 존재한다. 적어도 하나의 실시예에서, 확장 헤더는 모두가 Next Header 필드를 이용하여 체인을 형성한다. 여기서, 고정된 헤더의 Next Header 필드는 첫 번째 지오태그 헤더를 지시하고; 지오태그 헤더의 Next Header 필드는 이어지는 지오태그 헤더를 지시하며; 마지막 지오태그 헤더의 Next Header 필드는 데이터 패킷의 페이로드에서의 상위 계층 프로토콜 헤더의 유형을 지시한다.
현재, IPv6 데이터 패킷은 확장 헤더를 매개로, 구체적으로는 인증 헤더(Authentication Header: AH)와 보안 페이로드 캡슐화(Encapsulating Security Payload: ESP)를 이용하여 인터넷 프로토콜 보안(Internet Protocol Security: IPsec)을 지원한다. AH는 IP 패킷의 연결없는 무결성 및 데이터 근원 인증(data origin authentication)을 보장하는 반면, ESP는 데이터 패킷의 근원 신뢰성, 무결성 및 기밀성 보호를 제공한다. 일부 실시예에서는, 새로운 확장 헤더 세트가 창출(create)될 수 있다. 다른 실시예에서, 지오태그 헤더는 이러한 기존의 확장으로 통합될 수 있다. 또 다른 실시예에서는, 완전히 새로운 패러다임이 정의될 수 있다.
적어도 하나의 실시예에서, 네트워크 경로의 네트워크 노드는 이 네트워크 노드를 통과하는 모든 데이터 패킷에 지리위치 정보를 부가하고, 그에 따라 데이터 패킷이 횡단한 네트워크 경로의 검증 가능한 이력을 창출한다. 데이터 패킷 크기가 많은 부가된 정보로 매우 커질 수 있기 때문에, 각 네트워크 노드에서 데이터 패킷 헤더에 정보를 부가하는 것은 비현실적일 수 있다. 일부 실시예에서, 모든 네트워크 경로를 포함한 정보는 데이터 패킷의 헤더에 저장하기에 너무 클 수도 있다. 적어도 하나의 실시예에서, 사용 가능한 라우터(즉, 사용 가능한 네트워크 노드)는 네트워크를 통해 이동하도록 진정성(authenticity)을 위해 각 데이터 패킷을 평가하고, 데이터 패킷이 안정하게 이동되는 루트를 확인할 수 있다.
일부 실시예에서, 적어도 하나의 사용 가능한 네트워크 노드는 그를 통해 데이터 패킷이 이동되는 모든 네트워크 노드에 관한 데이터 패킷의 헤더에서의 정보의 유효성을 확인할 수 있도록 되어 있다(즉, 경로를 감사(audit)한다). 사용 가능한 네트워크 노드(들)가 정보를 검증한 후에, 사용 가능한 네트워크 노드(들)는 데이터 패킷의 헤더로부터 그 정보를 제거함으로써, 데이터 패킷 헤더의 크기를 줄이고, 데이터 패킷이 각 네트워크 노드를 통해 이동된 후에 크기를 증가시키는 데이터 패킷의 보안 서명부를 필요로 하지 않게 된다. 적어도 하나의 실시예에서, 사용 가능한 네트워크 노드(들)는 그를 통해 데이터 패킷이 이동되는 업스트림 경로가 인증되었음을 지시하는 정보를 데이터 패킷 헤더에 추가할 수 있다. 다른 실시예에서는, 사용 가능한 네트워크 노드(들)는 인증된 업스트림 네트워크 경로를 통해 이동되는 그들의 헤더에 있어서 정보를 가진 데이터 패킷만을 통과시키도록 설계될 수 있다. 이러한 경우에, 사용 가능한 네트워크 노드(들)는 인증된 업스트림 경로에 관한 정보를 데이터 패킷 헤더에 부가할 필요는 없는 것이다. 어느 경우에나, 사용 가능한 네트워크 노드가 데이터 패킷을 다음 네트워크 노드에 전달하기 전에, 사용 가능한 네트워크 노드(들)는 지오태그를 포함할 수 있는 데이터 패킷에 그 자신의 보안 서명을 추가할 수 있거나, 및/또는 데이터 패킷이 신뢰할 수 있는 라우터(즉, 사용 가능한 네트워크 노드)를 통과했음을 다운스트림의 데이터 패킷 수신자에게 지시하는 정보를 데이터 패킷 헤더에 추가할 수 있다.
일부 실시예에서, 적어도 하나의 네트워크 노드는 공간에 배치된 적어도 하나의 전송 소스로부터 전송된 신호를 이용하여 인증될 수 있는바, 그에 따라 위조(spoofing) 시의 어려움을 증가시킨다. 일부 실시예에서는, 악의적인 네트워크 노드가 데이터 패킷 헤더로부터 지리위치 정보(예를 들어, 지오태그)를 부적당하게 스트리핑 또는 변경하는 것을 방지하기 위해, 적어도 하나의 사용 가능한 네트워크 노드는 어느 네트워크 노드가 그 인접한 네트워크 노드인지를 결정하고 그들 인접한 네트워크 노드의 어느 것이 지오태깅 가능한 네트워크 노드 및/또는 사용 가능한 네트워크 노드인지를 결정하는 방법을 수행할 수 있다. 사용 가능한 네트워크 노드만을 횡단하는 임의의 경로는 신뢰할 수 있는 경로(즉, 검증 또는 인증된 경로)로 되리라고 추론될 수 있다.
본 발명의 다른 실시예에서, 본 명세서에서 개시된 방법 및 장치는 네트워크 노드를 지리위치 지정하기 위한 동작 시스템을 제공한다. 구체적으로는, 이 시스템은 인증을 위해 및/또는 네트워크 노드의 인증을 위한 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하는 것에 관한 것이다. 특히, 본 발명은 태그가 인증 데이터를 추가한 데이터 패킷을 전송하는 네트워크 체인에 있어서 참여하는 네트워크 노드 또는 다른 접점(junction)을 교시하고 있다. 이 인증 데이터는, 보안 서명 데이터, 라우팅 데이터 및/또는 페이로드 데이터 등의 고유의 데이터를 포함하는 특정 데이터 패킷의 구조를 가진다. 보안 서명 데이터는 네트워크 체인에 있어서 참여하는 네트워크 노드의 위치에 관한 정보를 포함하고 또한 그들의 위치가 검증되었는지 여부에 관한 정보를 포함할 수도 있다.
현재, 전자 시스템이 일상적인 비즈니스와 사회적인 작업으로 더 뿌리내리게 됨에 따라 사이버 보안이 점점 더 중요해지고 있다. 이전에 관리되던 수 많은 비즈니스 프로세스는, 이러한 일상적으로 사용되는 시스템을 보호하기 위해 계속 진행 중인 정보 및 보안 향상 기술을 계산하는 필요한 요구 사항이 만들어지는 전자적인 데이터 처리를 온라인으로 확대하고 있다. 사회보장번호(social security numbers)로부터 국가기관시설(national infrastructure) 관련 정보까지의 정보를 이용하는 중요한 문서 및 기타 데이터는, 허가되지 않은 제3자에 의해 액세스되는 경우에 장해로부터 중요한 사회 인프라 파괴까지 사회적 임팩트의 정도를 변화시킬 수 있는 네트워크화된 시스템에 저장된다. 전자 시스템의 증가에 대한 의존도와 병행하여, 국가도 테러와 컴퓨터 해킹의 극적인 증가를 보고 있는바, 그에 따라서 사회가 우리의 네트워크화된 컴퓨터 시스템을 보호하기 위한 방법의 개선을 위해 작업하는 것을 필요로 한다.
사이버 공격과 네트워크 침투는 모두 너무 평범한 일이 되고 있다. 이러한 빈번한 발생은 상업적 및 군사적 환경 모두에서 외부로부터의 위협에 의한 네트워크 침투의 위험의 논의를 선두에 가져다 주었다. 현재의 액세스 제어 어프로치(approach: 접근 방식)는 원리적으로 정적 암호(static passwords: 1회용 패드워드), 또는 암호를 이용한 인증 및 공개키 기반 구조(Public Key Infrastructure: PKI)에 기초를 둔 스마트 배지 인증서(credentials)의 하나에 기초를 두고 있다. 시스템 공격이 종종 최종 사용자를 가장하여 수행됨에 따라, 조직은 네트워크 데이터 차단의 네트워크 취약점을 줄이기 위해 사용자 인증 방법에 초점을 맞추는 경향이 있었다. 이러한 어프로치는 정교한 공격에 계속 취약하게 되어 있고, 논리 네트워크로의 통합된 물리적 지리정보 매핑으로부터의 위치 및 컨텍스트 인식과 정보 관리 뷰 사이에 강화된 상관 관계를 제공하는 추가적이고 직교하는 보호 계층을 제공하기 위해, 사용자 위치와 같은 지리적 위치/컨텍스트를 추가함으로써 인증의 일반적인 3차원(당신이 알고 있는 것이 무엇인지, 당신이 가지고 있는 것이 무엇인지, 그리고 당신이 누구인지)을 넘어선 추가적인 차원/정보를 활용하는 액세스 제어의 새로운 패러다임을 위한 요구(need)가 개발되었다.
더욱이, 기존의 사이버 공격이 종종 익명에 싸여 있다는 사실은 추가적인 관련 문제를 만들었다. 미래의 착취에 대한 시스템의 취약점을 더 잘 이해하고 이후의 더 파괴적인 공격을 위한 기초를 부설하도록 작은 침입/공격을 만들기 위해 발신자의 시도에 의한 더 큰 공격이 종종 배제된다.
본 발명은 일반적으로 사이버 보안에서 득을 보는 네트워크화된 시스템에 관한 것이다. 보다 구체적으로는, 본 발명의 시스템은 데이터 패킷이 정의된 시점에서 특정 네트워크 노드로 역으로 추적 가능하도록 허용할 수 있는 서명 패킷 구조를 사용하기 위해 적어도 하나의 자기 지리위치 지정 네트워크 노드를 활용한다. 이 서명 패킷 구조는 참여하는 네트워크에 있어서 사이버 보안을 향상시키기 위해 사용될 수 있다. 일례로서, 서명 패킷 구조는 페이로드 데이터, 라우팅 데이터 및/또는 보안 데이터 등의 요소를 포함할 수 있다. 보안 데이터는 지리위치 데이터, 생체 데이터 및/또는 타이밍 데이터로서 정의될 수 있다. 적어도 하나의 실시예에서, 이 서명 패킷 구조는 총괄하여 사이버 보안 어플리케이션을 위해 사용될 때 사이버 보안 서명이라고 불릴 수 있다. 예를 들어, 파일은 인터넷을 통해 전송되는 이메일 등의 접속을 통해 한 사용자로부터 다른 사용자에게 전송될 수 있다. 네트워크 체인에 있어서 참여하는 네트워크 노드 또는 접점의 다른 종류(sort)는 서명 패킷 구조의 요소(예를 들어, 페이로드 데이터, 라우팅 데이터 및/또는 보안 데이터)를 포함할 수 있는 인증 데이터를 부가하면서 데이터에 태그를 붙일 수 있다. 데이터 패킷이 네트워크 체인의 다음 접점으로 이동함에 따라, 네트워크 접점은 그것을 인증할 수 있다. 지리위치 데이터를 통해 표시되는 것과 같은 물리적 위치가 알려진 네트워크 노드 위치에 대해 유효화(validate)된 때에 인증이 발생할 수 있다.
본 발명은 네트워크화된 시스템에 액세스를 제공하기 위해서 뿐만 아니라, 그러한 시스템에 대한 액세스를 제한하기 위해서 사용될 수 있다. 적어도 하나의 실시예에서, 이러한 형태의 사이버 보안을 활용하는 네트워크는 데이터 패킷을 받아들이기 위해 그러한 사이버 보안 서명 데이터를 필요로 할 수 있다는 것이 예상된다. 이것은, 서명이 가상적으로 위조(spoof)될 수 없기 때문에 잘못된 사용자가 시스템에 들어가기 전에 식별될 수 있거나, 또는 맨인 더 미들(man-in-the-middle: 중간자) 또는 기타 유사한 공격이 서명 데이터의 불일치로 인식되는 이러한 수단을 통해서이다. 적어도 하나의 실시예에서, 시스템은 노드 홉(hop)의 수(즉, 수치 카운터 TTL(Time to Live))를 구속하는 것과 같은 기존의 역추적(trace back) 방법을 통합할 수 있다. 이 발명은, 서명 패킷 데이터 구조를 지원할 수 있는 대부분의 하드웨어 및/또는 소프트웨어에 의해 그 채택(adoption)으로 이어질 수 있는 사이버 보안 측면에서 패러다임 시프트(즉, 인터넷 3.0)를 도입할 수 있다.
본 발명의 시스템은 유선 및/또는 무선 네트워크 노드를 포함하는 네트워크화된 시스템에 채용될 수 있다. 적어도 하나의 실시예에서, 적어도 하나의 네트워크 노드는 지리위치 지정하기 위해 적어도 하나의 위성을 사용한다. 하나의 예에서, 자기 지리위치 지정 네트워크 노드는 실내에서 수신될 수 있는 신호를 제공하는 것이 가능하게 된 저지구 궤도(low Earth orbiting: LEO) 관측을 사용할 수 있다. 이 시스템은, 글로벌 포지셔닝 시스템(global positioning system: GPS) 또는 위치 지정, 네비게이션 및/또는 타이밍을 위해 사용되는 임의의 다른 시스템과 공동으로 사용될 수 있거나 또는 사용될 수 없다. 게다가, 본 발명의 시스템은 사용자/노드에 고유의 무언가에 의해 사용자/노드를 유효하게 하기 위해 생체 인식(biometrics)을 이용할 뿐만 아니라, 기재된 방법과 공동으로 사용되는 경우에 시스템의 전체적인 보안을 향상시킬 수 있는 임의의 다른 인증 방법을 사용할 수 있다.
본 발명의 시스템은 4가지 주요한 특징을 가지고 있다. 시스템의 첫 번째 주요한 특징은, 일반적인 사이버 보안 및 인증을 포함하는 많은 어플리케이션을 갖지만 게이밍(gaming) 등과 같은 다른 어플리케이션에도 사용될 수 있는 자기 지리위치 지정 네트워킹 장치(예를 들어, 자기 지리위치 지정 서버, 라우터, 개인용 컴퓨팅 장치, 휴대 전화 및/또는 텔레비전)를 교시하고 있다는 점이다.
개시된 시스템의 두 번째 주요한 특징은, 인증 및 사이버 보안을 가능하게 하는 데이터 패킷 구조를 교시하고 있다는 점이다. 데이터 패킷 구조는 어떤 수단이 그 목적지 위치에 도달하도록 패킷을 위해 사용되는 접점의 시리즈의 일부였던 네트워크 노드로 역으로 데이터 패킷을 추적하는 것을 가능하게 한다. 이 서명 패킷 구조는 참여하는 네트워크에 있어서 사이버 보안을 향상시키는 데 사용될 수 있다. 일례로서, 서명 패킷 구조는 페이로드 데이터, 라우팅 데이터 및/또는 보안 데이터 등의 요소를 포함할 수 있다. 보안 데이터는 지리위치 데이터, 생체 데이터 및/또는 타이밍 데이터로서 정의될 수 있다. 적어도 하나의 실시예에서, 이 서명 패킷 구조는 일괄하여 사이버 보안 어플리케이션을 위해 사용되는 경우에 사이버 서명이라고 불릴 수 있다.
개시된 시스템의 세 번째 주요한 특징은, 독특한 서명 패킷의 구조의 요소를 교시하고 있다는 점이다. 네트워크 체인에 있어서 참여하는 네트워크 노드 또는 접점의 다른 종류(sort)는 서명 패킷 구조의 요소(예를 들어, 페이로드 데이터, 라우팅 데이터 및/또는 보안 데이터)를 포함할 수 있는 인증 데이터를 부가하면서 데이터에 태그를 붙일 수 있다. 참여하는 네트워크 노드는 데이터 패킷이 이용하는 각 라우터가 서명에 몇 개의 추적 가능한 데이터를 제공함에 따라 추적 능력(traceability)의 측면에서 지문으로부터 DNA를 터치하는 것과 유사하게 작용한다. 데이터 패킷이 네트워크 체인의 다음 접점으로 이동함에 따라, 이것은 예를 들어 작은 비트 시퀀스를 축적할 것이고, 각기 이어지는 접점이 이것을 인증할 수 있다. 이러한 작은 비트 시퀀스의 축적은 네트워크 경로의 통계적으로 설득력 있는 지문으로 이어질 수 있다. (그들의 대응하는 독특한 부가 데이터와 함께) 예상되는 네트워크 경로에 대한 네트워크 지연 시간(latency)을 서명 데이터 패킷 및 예상되는 네트워크 지연 시간 허용 범위와 비교함으로써 인증이 발생할 수 있다. 추가적으로, 다른 네트워크 파라미터가 맨인 더 미들(man-in-the-midle: MITM) 공격이 진행되고 있지 않다는 것을 입증하기 위해 모니터링될 수 있다. 하나의 실시예에서는, MITM 공격이 의심되는 경우에, 네트워크는 네트워크의 정책에 기초해서 대응하도록 구성될 수 있다.
개시된 시스템의 네 번째 주요한 특징은, 시스템이 네트워크 노드에 신호를 전송하기 위해 적어도 하나의 LEO 위성을 이용한다는 점이다. LEO 위성 신호는 수신기에서 수신된 그 더 높은 전력으로 인해 실내 환경에 침투할 수 있다. 따라서, 이러한 특징(feature)은 개시된 시스템이 인증 기술을 위한 많은 실내 어플리케이션을 위해 사용되는 것을 가능하게 한다.
추가적으로, 개시된 시스템은 "노드"의 위치를 확인, 추적, 모니터링 및/또는 트래킹(tracking)하는 것이 바람직한 다양한 어플리케이션을 위해 사용될 수 있다는 점에 유의해야 한다. 게다가, 이 시스템은 특히 지불 옵션이 현재 휴대 전화와 같은 개인용 휴대 기기에 더 많이 통합되고 있기 때문에, 신용 카드에 대한 기존의 트래킹 방법에 추가적인 유용성(utility)을 제공할 수 있다. 신용 카드의 이용자의 위치를 모니터링할 수 있을 뿐만 아니라, 사용자는 잠재적으로 사용자로부터 훔친 아이템을 취득하려고 하는 경우에 다시 배치되도록 트래킹될 수 있다. 또한, 이 특징은 지오캐싱(geo-caching)과 같은 게이밍을 위한 개인용 컴퓨팅 장치와 공동으로 사용될 수 있다는 점에 유의해야 한다.
다음의 설명에서는, 시스템의 보다 완전한 설명을 제공하기 위해 많은 상세(詳細)가 기재된다. 그렇지만, 개시된 시스템이 이러한 특정 상세 없이도 실시될 수 있다는 것은 이 기술분야에서 통상의 지식을 가진 자에게는 명백할 것이다. 다른 경우에 있어서, 잘 알려진 특징은 본 시스템을 불필요하게 불명료하게 하지 않도록 하기 위해 상세히 설명하지 않기로 한다.
도 1a는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정(geolocating)하기 위한 개시된 시스템(100)의 실시예를 나타낸다. 이 도면에서, 발신지 네트워크 노드(노드 A; 110)에 위치된 사용자는 목적지 네트워크 노드(노드 D; 120)에 위치된 사용자에게 데이터 패킷(130)을 전송하기를 원한다. 발신지 네트워크 노드(노드 A; 110)와 목적지 네트워크 노드(노드 D; 120)는 라우터 네트워크 노드인 노드 B(140) 및 노드 C(140)를 포함하는 복수의 라우터 네트워크 노드(140)를 통해 서로 연결되어 있다. 발신지 네트워크 노드(노드 A; 110)는 라우터 네트워크 노드인 노드 B(140) 및 노드 C(140)를 통해 목적지 네트워크 노드(노드 D; 120)로 데이터 패킷(130)을 전송하도록 도시되어 있다.
데이터 패킷(130)은 헤더부와 페이로드 데이터부(160)를 포함하고 있다. 헤더부는 보안 서명부(170)와 라우팅 데이터부(150)를 포함하고 있다. 데이터 패킷(130)의 라우팅 데이터부(150)는 데이터 패킷(130)의 라우팅 정보를 포함하고 있다. 라우팅 정보는 데이터 패킷(130)이 전송되어야 할 목적지 네트워크 노드에 관한 정보(예를 들어, 목적지 네트워크 노드(노드 D; 120)에 대한 어드레스)를 포함하고 있다. 데이터 패킷(130)의 페이로드 데이터부(160)는 발신지 네트워크 노드(노드 A; 110)에 있는 사용자가 목적지 네트워크 노드(노드 D; 120)에 있는 사용자에게 보내기를 원하는 데이터 및/또는 정보를 포함하고 있다. 보안 서명부는 하나의 패킷으로부터 복사될 수 없어야 하고, 그렇지 않으면 마치 다른 패킷이 첫 번째 것과 동일한 루트를 따르는 것처럼 만드는 것이 가능할 수도 있기 때문에 본 발명의 본질이 훼손될 것이다. 이것은 여러 가지 실시예에서 다르게 적용될 수 있다. 하나의 실시예에서, 보안 서명은 페이로드 데이터의 함수일 수 있다. 예를 들어, 보안 서명은 페이로드 데이터의 함수로 될 수 있는 디지털 서명인 컴포넌트(component)를 포함할 수 있다. 이러한 디지털 서명은 루트를 따라 축적될 수 있거나 또는 마지막 참여 라우터로부터 온 것으로서 입증되어 각 홉에서 새로운 디지털 서명으로 치환될 수 있다. 하나 이상의 실시예에서, 데이터 패킷의 보안 서명부는 반드시 실제 디지털 서명일 필요는 없으나, 샘플 신호 데이터, 지리위치 데이터, 타이밍 정보 및/또는 데이터 패킷이 이동하는 곳에 관한 라우팅 정보를 포함하는 다양한 유형의 데이터를 포함할 수 있지만, 이에 한정되는 것은 아니다.
데이터 패킷(130)의 보안 서명부(170)는 발신지 네트워크 노드(노드 A; 110)로부터 목적지 네트워크 노드(노드 D; 120)까지 그를 통해 데이터 패킷(130)이 이동되는 모든 네트워크 노드의 목록(listing)을 포함하고 있다. 이 예에서 나타낸 바와 같이, 보안 서명부(170)에서의 네트워크 노드의 목록은 노드 A(110), 노드 B(140), 노드 C(140) 및 노드 D(120)를 포함하고 있다. 데이터 패킷(130)이 네트워크 노드를 통해 이동함에 따라, 데이터 패킷(130)이 네트워크 노드를 통해 이동할 때마다 특정 네트워크 노드가 네트워크 노드의 목록에 추가된다. 그에 따라, 보안 서명부(170)는 많은 특별한 생물(체)에 대한 특정 DNA 시퀀스(서열)와 거의 유사한 데이터 패킷(130)을 위한 고유 키 식별자로 발전한다.
하나 이상의 실시예에서, 보안 서명부(170)는 또한 목록에 있어서 네트워크 노드 중 적어도 하나를 위한 타이밍 정보를 포함하고 있다. 타이밍 정보는, 데이터 패킷(130)이 네트워크 노드(들)에 의해 수신 및/또는 전송된 때를 지시한다. 게다가, 적어도 하나의 실시예에서, 데이터 패킷(130)의 보안 서명부(170)는 네트워크 노드 중 적어도 하나의 식별자 정보를 목록에 포함하고 있다. 개시된 시스템을 위해 사용될 수 있는 식별자 정보의 유형은 네트워크 노드의 각각에 대한 여러 가지 유형의 생체 정보 및/또는 고유의 비트 시퀀스 식별 코드를 포함할 수 있지만, 이에 한정되는 것은 아니다.
추가적으로, 데이터 패킷(130)의 보안 서명부(170)는 네트워크 노드의 적어도 하나에 대한 지리위치 정보를 목록에 포함하고 있다. 지리위치 정보는 네트워크 노드의 특정 물리적 위치를 포함하고, 또한 네트워크 노드의 위치가 검증되었는지 여부에 관한 지시를 포함할 수 있다. 적어도 하나의 실시예에서, 네트워크 노드의 지리위치 정보는 적어도 하나의 전송 소스로부터 전송된 적어도 하나의 인증 신호를 수신하는 네트워크 노드에 의해 검증된다. 네트워크 노드의 위치가 인증 신호(신호들)의 사용에 의해 어떻게 검증되는지에 대한 상세한 설명은 도 3, 4, 5 및 6의 설명에서 논의된다. 일부 실시예에서, 네트워크 노드의 지리위치 정보는 검증된 위치에 있는 네트워크 노드로/로부터 전송된 신호로부터 얻어진 범위 정보를 이용하여 검증된다. 범위 정보가 어떻게 얻어지는지에 대한 상세한 설명은 도 2의 설명에 기재된다.
도 1b는 사용 가능한 네트워크 노드가 적어도 하나의 업스트림 네트워크 노드를 검증(또는 인증)하고 그 다음에 데이터 패킷으로부터 그 업스트림 네트워크 노드에 관한 추가 데이터를 삭제하는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다. 이 도면에서, 발신지 네트워크 노드(노드 D; 102)에 위치된 사용자는 목적지 네트워크 노드(노드 A; 112)에 위치된 사용자에게 다운스트림으로 데이터 패킷을 전송하기를 원한다. 발신지 네트워크 노드(노드 D; 102)와 목적지 네트워크 노드(노드 A; 112)는 노드 B(162)와 노드 C(122)를 포함하는 복수의 라우터 네트워크 노드(122, 162)를 통해 서로 연결되어 있다. 발신지 네트워크 노드(노드 D; 102)는 라우터 네트워크 노드인 노드 B(162) 및 노드 C(122)를 통해 목적지 네트워크 노드(노드 A; 112)로 다운스트림으로 데이터 패킷을 전송한다. 이 예의 경우, 노드 C(122)는 그 자신으로부터 업스트림에 위치하는 네트워크 노드 중 어느 하나를 검증(또는 인증)하는 능력을 가지고 있음을 의미하는 사용 가능한 네트워크 노드이다. 다른 네트워크 노드(노드 D(102), 노드 B(162) 및 노드 A(112))는 사용 가능한 네트워크 노드가 아니다.
데이터 패킷은 헤더부 및 페이로드 데이터부(152)를 포함하고 있다. 헤더부는 보안 서명부(132)와 라우팅 데이터부(142)를 구비하고 있다. 라우팅 데이터부(142)는 데이터 패킷에 대한 라우팅 정보를 포함하고 있다. 페이로드 데이터부(152)는 발신지 네트워크 노드(노드 D; 102)에 있는 사용자가 목적지 네트워크 노드(노드 A; 112)에 있는 사용자에게 보내기를 원하는 데이터 및/또는 정보를 포함하고 있다. 보안 서명부(132)는 발신지 네트워크 노드(노드 D; 102)로부터 목적지 네트워크 노드(노드 A; 112)까지 그를 통해 데이터 패킷이 이동되는 모든 네트워크 노드에 대한 목록 및/또는 지리위치 정보를 포함하고 있다. 이 예에서는, 데이터 패킷이 목적지 네트워크 노드(노드 D; 102)에 위치하는 경우에, 노드 D(102)는 노드 D(102)에 관한 데이터 패킷의 헤더부(즉, 라우팅 데이터부(142) 및/또는 보안 서명부(132))에 정보(예를 들어, 지리위치 정보)를 추가함으로써, 데이터 패킷이 노드 D(102)를 통해 이동되었음을 지시한다.
그 다음에, 데이터 패킷은 노드 D(102)로부터 사용 가능한 네트워크 노드인 노드 C(122)로 이동한다. 사용 가능한 네트워크 노드는 데이터 패킷의 헤더부(즉, 보안 서명부(132) 및/또는 라우팅 데이터부(142)) 및/또는 페이로드 데이터부(152)를 분석하여 그 자신으로부터 업스트림에 위치되어 있는 네트워크 노드 중 어느 하나를 검증하는 기능을 가지고 있다. 일부 실시예에서는, 사용 가능한 네트워크 노드가 데이터 패킷 헤더의 헤더부(즉, 보안 서명부(132) 및/또는 라우팅 데이터부(142))에 포함되어 있는 업스트림 네트워크 노드(들)에 관련된 지리위치 정보(예를 들어, 지오태그)를 추가적으로 분석한다는 점에 유의해야 한다. 게다가, 사용 가능한 네트워크 노드는 지리위치 정보를 갖는 데이터 패킷을 지오 태깅하는 능력을 가지고 있다.
하나 이상의 실시예에서는, 네트워크 노드에 관련된 지리위치 정보가 적어도 하나의 전송 소스로부터 전송된 결과 신호를 수신하는 네트워크 노드에 의해 얻어진다는 점에 유의해야 한다. 여기서, 결과 신호는 적어도 하나의 인증 신호를 포함하고 있다. 네트워크 노드의 위치는, 네트워크 노드가 수신하는 결과 신호의 특성을, 네트워크 노드가 그 위치로 인해 수신해야만 하는 결과 신호의 기대되는 특성과 비교함으로써 검증된다. 일부 실시예에서, 데이터 패킷의 헤더부는 인터넷 프로토콜 버전 6(IPv6) 데이터 패킷 헤더를 이용한다. 적어도 하나의 실시예에서, 지리위치 정보는 IPv6 데이터 패킷 헤더 내에 저장되어 있다. 하나 이상의 실시예에서, 적어도 하나의 전송 소스는 위성, 의사 위성 및/또는 지상의 전송 소스이다. 일부 실시예에서, 위성은 LEO 위성, MEO 위성 또는 GEO 위성이다. 다른 실시예에서, 네트워크 노드에 관련된 지리위치 정보는 검증된 위치에서 다른 네트워크 노드로 네트워크 노드에 의해 무선 또는 유선으로 전송된 신호, 및 검증된 위치에서 네트워크 노드로부터 네트워크 노드에 의해 무선 또는 유선으로 수신된 신호에 의해 얻어진 범위 정보로부터 결정된다.
이 예에서는, 일단 데이터 패킷이 사용 가능한 네트워크 노드 C(122)에 도달하면, 노드 C(122)는 데이터 패킷을 분석하여 노드 D(102)가 신뢰할 수 있는 네트워크 노드(즉, 위조된(spoofed) 네트워크 노드가 아닌 합법적인 네트워크 노드)인지를 결정한다. 노드 C(122)가 데이터 패킷을 분석한 후에 검증(또는 인증)된 노드 D(102)를 갖기 때문에, 노드 C(122)는 본질적으로 노드 D(102)가 신뢰할 수 있는 네트워크 노드임을 결정한다. 노드 C(122)가 노드 D(102)를 검증(또는 인증)한 후에, 노드 C는 노드 D(102)에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(142) 및/또는 보안 서명부(132))에서 정보를 제거한다. 하나 이상의 실시예에서, 노드 C(122)는 추가적으로 검증(또는 인증)되는 노드 D(102)에 관한 데이터 패킷의 헤더부(즉, 라우팅 데이터부(142) 및/또는 보안 서명부(132))에 정보를 추가한다. 적어도 하나의 실시예에서, 추가된 정보는 검증된 네트워크 노드(즉 노드 D(102))에 관련된 지리위치 정보(예를 들어, 지오태그)를 포함한다. 그 다음에, 노드 C(122)는 그 자신에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(142) 및/또는 보안 서명부(132))에 정보(즉, 노드 C(122)에 관련된 정보)를 추가한다.
노드 C(122)가 데이터 패킷에 정보를 추가한 후에, 데이터 패킷은 노드 B(162)로 다운스트림으로 전송된다. 일단 데이터 패킷이 노드 B(162)에 도달하면, 노드 B(162)는 그 자신에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(142) 및/또는 보안 서명부(132))에 정보(즉, 노드 B(162)에 관련된 정보)를 추가한다. 노드 B(162)는 사용 가능한 네트워크 노드가 아니기 때문에, 노드 B(162)는 노드 C(122)를 검증(또는 인증)하지 않고, 노드 B(162)는 노드 C(122)에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(142) 및/또는 보안 서명부(132))에 있어서 임의의 정보를 제거하지 않는다는 점에 유의해야 한다. 그 다음에, 데이터 패킷이 목적지 네트워크 노드(노드 A; 112)에 전달된다. 일단 데이터 패킷이 노드 A(112)에 도달하면, 노드 A(112)는 그 자신에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(142) 및/또는 보안 서명부(132))에 정보(즉, 노드 A(112)에 관련된 정보)를 추가한다. 이와 같이, 결과 데이터 패킷은 노드 C(122), 노드 B(162) 및 노드 A(112)에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(142) 및/또는 보안 서명부(132))에 정보를 포함할 것이다. 일부 실시예에서는, 결과 데이터 패킷도 또한 검증(또는 인증)되는 노드 D(102)에 관한 데이터 패킷의 헤더부(즉, 라우팅 데이터부(142) 및/또는 보안 서명부(132))에 정보를 포함할 것이라는 점에 유의해야 한다.
개시된 시스템의 하나 이상의 실시예에서, 사용 가능한 네트워크 노드는 사용 가능한 네트워크 노드가 검증된 네트워크 노드(즉, 신뢰할 수 있는 네트워크 노드)로부터 직접 수신하는 데이터 패킷만을 전송하도록 구성되어 있다는 점에 유의해야 한다. 일부 실시예에서, 사용 가능한 네트워크 노드는 검증된 네트워크 노드(즉, 신뢰할 수 있는 네트워크 노드)를 통해서만 이전에 이동된 데이터 패킷만을 전송(또는 통과)하도록 구성되어 있다. 적어도 하나의 실시예에서, 사용 가능한 네트워크 노드는 어느 네트워크 노드가 지오태깅 가능한 네트워크 노드인지를 결정하도록 구성되어 있다. 하나 이상의 실시예에서, 사용 가능한 네트워크 노드는 네트워크에 있어서 어느 네트워크 노드가 사용 가능한 네트워크 노드인지를 결정하도록 구성되어 있다.
도 1c는 업스트림 네트워크 노드 검증 방법이 다수의 라우터 네트워크 노드를 통해 발신지 네트워크 노드로부터 목적지 네트워크 노드로 다운스트림으로 이동하는 데이터 패킷을 위해 사용되는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다. 이 예의 경우, 데이터 패킷은 다수의 네트워크 노드(노드 F, 노드 E, 노드 D, 노드 C 및 노드 B)를 통해 발신지 네트워크 노드(노드 G)로부터 목적지 네트워크 노드(노드 A)로 라우팅된다. 노드 E와 노드 B는 사용 가능한 네트워크 노드이고, 나머지 노드(노드 G, 노드 F, 노드 D, 노드 C 및 노드 A)는 사용 가능한 네트워크 노드가 아니다.
데이터 패킷은 헤더부 및 페이로드 데이터부(123)를 포함하고 있다. 헤더부는 보안 서명부(103) 및 라우팅 데이터부(113)를 구비하고 있다. 라우팅 데이터부(113)는 데이터 패킷에 대한 라우팅 정보를 포함하고 있고, 페이로드 데이터부(123)는 발신지 네트워크 노드(노드 G)에 있는 사용자가 목적지 네트워크 노드(노드 A)에 있는 사용자에게 보내기를 원하는 데이터 및/또는 정보를 포함하고 있다. 보안 서명부(132)는 발신지 네트워크 노드(노드 G)로부터 목적지 네트워크 노드(노드 A)까지 그를 통해 데이터 패킷이 이동되는 모든 네트워크 노드의 목록을 포함하고 있다.
이 예에서는, 데이터 패킷이 목적지 네트워크 노드(노드 G)에 있을 때, 노드 G는 노드 G에 관한 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보(133)를 추가함으로써, 데이터 패킷이 노드 G를 통해 이동되었음을 지시한다. 그 다음에, 데이터 패킷은 노드 G로부터 노드 F로 전송된다. 노드 F는 그 자신에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(103) 및/또는 보안 서명부(113))에 정보(143; 즉, 노드 F에 관련된 정보)를 추가한다. 그 다음에, 데이터 패킷은 노드 F로부터 사용 가능한 네트워크 노드인 노드 E로 전송된다. 사용 가능한 네트워크 노드는 데이터 패킷의 헤더부(즉, 보안 서명부(103) 및/또는 라우팅 데이터부(113)) 및/또는 페이로드 데이터부(123)를 분석하여 그 자신으로부터 업스트림에 배치되어 있는 네트워크 노드 중 어느 하나를 검증하는 기능를 가지고 있다. 필요에 따라, 사용 가능한 네트워크 노드는 추가적으로 데이터 패킷 헤더의 헤더부(즉, 보안 서명부(103) 및/또는 라우팅 데이터부(113))에 포함된 업스트림 네트워크 노드(들)에 관련된 지리위치 정보(예를 들어, 지오태그)를 분석한다.
그 다음에, 노드 E는 데이터 패킷을 분석하여 노드 F 및 노드 G가 신뢰할 수 있는 네트워크 노드(즉, 위조된(spoofed) 네트워크 노드가 아닌 합법적인 네트워크 노드)인지를 결정한다. 노드 E는 데이터 패킷에서 정보를 분석함으로써, 검증(또는 인증)된 노드 F 및 노드 G를 갖기 때문에, 노드 E는 노드 F 및 노드 G가 신뢰할 수 있는 네트워크 노드임을 결정한다. 노드 E가 노드 F 및 노드 G를 검증한 후에, 노드 E는 노드 F 및 노드 G에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에서 정보(133, 143)를 제거한다. 일부 실시예에서, 노드 E는 추가적으로 검증(또는 인증)되는 노드 F 및 노드 G에 관한 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보(도시하지 않음)를 추가한다. 적어도 하나의 실시예에서, 추가된 정보는 검증된 네트워크 노드(즉 노드 F 및 노드 G)에 관련된 지리위치 정보(예를 들어, 지오태그)를 포함한다. 그 다음에, 노드 E는 그 자신에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보(즉, 노드 E에 관련된 정보(153))를 추가한다.
노드 E가 데이터 패킷에 정보(153)를 추가한 후에, 데이터 패킷은 노드 D로 다운스트림으로 전송된다. 일단 데이터 패킷이 노드 D에 도달하면, 노드 D는 그 자신에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보(163; 즉, 노드 D에 관련된 정보(163))를 추가한다. 그 다음에, 데이터 패킷은 노드 C로 다운스트림으로 전달된다. 데이터 패킷이 노드 C에 도달한 후에, 노드 C는 그 자신에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보(173; 즉, 노드 C에 관련된 정보(173))를 추가한다.
그 다음에, 데이터 패킷이 노드 C로부터 사용 가능한 네트워크 노드인 노드 B로 다운스트림으로 전송된다. 노드 B는 데이터 패킷을 분석하여 노드 C, 노드 D 및 노드 E가 신뢰할 수 있는 네트워크 노드(즉, 위조된(spoofed) 네트워크 노드가 아닌 합법적인 네트워크 노드)인지를 결정한다. 노드 B는 데이터 패킷에서 정보를 분석함으로써, 검증(또는 인증)된 노드 C, 노드 D 및 노드 E를 갖기 때문에, 노드 B는 노드 C, 노드 D 및 노드 E가 신뢰할 수 있는 네트워크 노드임을 결정한다. 노드 B가 노드 C, 노드 D 및 노드 E를 검증한 후에, 노드 B는 노드 C, 노드 D 및 노드 E에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에서 정보(153, 163, 173)를 제거한다. 하나 이상의 실시예에서, 노드 B는 추가적으로 검증(또는 인증)되는 노드 C, 노드 D 및 노드 E에 관한 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보(도시하지 않음)를 추가한다. 일부 실시예에서, 추가된 정보는 검증된 네트워크 노드(즉, 노드 C, 노드 D 및 노드 E)에 관련된 지리위치 정보(예를 들어, 지오태그)를 포함한다. 그 다음에, 노드 B는 그 자신에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보(183; 즉, 노드 B에 관련된 정보(183))를 추가한다.
그 다음에, 데이터 패킷은 노드 B로부터 목적지 네트워크 노드(노드 A)로 전달된다. 일단 데이터 패킷이 노드 A에 도달하면, 노드 A는 그 자신에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보(193; 즉, 노드 A에 관련된 정보(193))를 추가한다. 따라서, 결과 데이터 패킷은 노드 B 및 노드 A에 관련된 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보(183, 193)를 포함할 것이다. 일부 실시예에서, 결과 데이터 패킷도 또한 검증(또는 인증)되는 노드 G, 노드 F, 노드 E, 노드 D 및 노드 C에 관한 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보를 포함할 것이다. 하나 이상의 실시예에서는, 결과 데이터 패킷도 또한 노드 E 및 사용 가능한 네트워크 노드인 노드 B에 관한 데이터 패킷의 헤더부(즉, 라우팅 데이터부(113) 및/또는 보안 서명부(103))에 정보를 포함할 것이다.
도 1d는 지오태깅 및 데이터 암호화 기술을 이용하는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다. 이 도면에서, 노드 A, B 및 C는 사용 가능한 네트워크 노드이고 노드 D, E, F, G, H, I는 사용 가능하지 않은 네트워크 노드이다. 여기서 노드 A는 발신지 네트워크 노드이고, 노드 C는 목적지 네트워크 노드이다.
이 예에서, 데이터 패킷은 사용 가능한 네트워크 노드를 통해서(즉, 노드 A, 노드 B 및 노드 C를 통해서)만 라우팅된다. 노드 A, B, C는 사용 가능한 네트워크 노드이기 때문에, 그들은 지리위치 인증되는 능력을 가진다(즉, 그들의 지리위치가 검증 또는 인증된다). 그들이 지리위치 인증될 때, 그들은 신뢰할 수 있는 네트워크 노드라고 생각된다. 하나 이상의 실시예에서, 노드 A, B 및 C는 각각이 적어도 하나의 전송 소스로부터 전송된 적어도 하나의 신호를 수신함으로써 그들 자신을 지리위치 인증할 수 있다. 일부 실시예에서, 적어도 하나의 전송 소스는 LEO 위성(예를 들어, 이리듐 위성)이다.
적어도 하나의 실시예에서, 데이터 패킷은 터널링 방법(tunneling mathod)을 이용하여 네트워크 노드를 통해 라우팅된다. 터널링 방법은 보안 수단이 신뢰할 수 있는 네트워크 노드 및/또는 사용 가능한 네트워크 노드라고 확인되지 않은 네트워크 노드를 통해 데이터 패킷을 전송하는 것을 허용한다. 예를 들어, 사용 가능한 네트워크 노드 B에 문제가 있는 경우에는, 노드 B, 노드 F 및 노드 H를 통해(즉, A-B-F-H-C 경로를 매개로) 발신지 네트워크 노드(노드 A)로부터 목적지 네트워크 노드(노드 C)로 데이터 패킷을 보낼 필요가 있을지도 모른다. 그렇게 하는 경우에, 데이터 패킷이 노드 B에 도달할 때, 노드 B는 데이터 패킷을 암호화할 것이다. 이것은, 데이터 패킷이 신뢰할 수 있는 네트워크 노드 및/또는 사용 가능한 네트워크 노드라고 확인되지 않은 노드 F 및 H를 통해 이동하고 있을 때 데이터 패킷 내의 데이터가 안전하게 되는 것을 허용한다. 일단 데이터 패킷이 사용 가능한 네트워크 노드인 노드 C에 도달하면, 노드 C는 데이터 패킷 내의 데이터를 복호화한다. 적어도 하나의 실시예에서는, 데이터 패킷을 목적지 네트워크 노드에 확실하게 라우팅하기 위해 데이터 패킷이 터널링 방법을 이용하여 라우팅되었음을 표시하도록 터널링 표시기(tunneling indicator)가 데이터 패킷의 헤더부(즉, 라우팅 데이터부 및/또는 보안 서명부)에 추가된다.
도 1e는 지오태깅을 이용하여 IPv6 패킷 헤더의 8비트의 Next Header 필드를 이용하는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다. 이전에 상세히 설명한 바와 같이, 네트워크 노드(들)에 대한 지리위치 정보는 IPv6 데이터 패킷 헤더의 기존의 구조에 통합될 수 있고, 구체적으로는 데이터 패킷 헤더의 8비트의 Next Header 필드에 통합될 수 있다. Next Header 필드는 Next Header의 유형을 지정하고, 전형적으로 데이터 패킷의 페이로드에 의해 사용되는 더 높은 수준의 전송 계층 프로토콜을 지정한다. 일부 실시예에서는, 지오태그가 Next Header 필드보다 IPv6 데이터 패킷 헤더의 기존 구조의 다른 필드에 통합될 수 있다는 점에 유의해야 한다. 게다가, 하나 이상의 실시예에서, 개시된 시스템 및 방법은 데이터 패킷에 대한 IPv6 데이터 패킷 헤더보다 데이터 패킷 헤더의 각종 다른 유형 및/또는 구조를 적용할 수 있다는 점에 유의해야 한다.
도 1f는 데이터 패킷이 정의된 지리적 영역 내에 배치되어 있는 네트워크 노드를 통해서만 라우팅되는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다. 개시된 시스템의 하나 이상의 실시예에서, 사용 가능한 네트워크 노드는 사용 가능한 네트워크 노드가 검증(또는 인증)된 네트워크 노드로부터 직접 수신하는 데이터 패킷만을 전송하도록 구성되어 있다. 일부 실시예에서, 사용 가능한 네트워크 노드는 검증된 네트워크 노드를 통해서만 이전에 이동된 데이터 패킷만을 전송(또는 통과)하도록 구성되어 있다. 적어도 하나의 실시예에서, 사용 가능한 네트워크 노드는 어느 네트워크 노드가 그 자신에 인접한 네트워크 노드인지를 결정하도록 구성되어 있다. 하나 이상의 실시예에서, 사용 가능한 네트워크 노드는 네트워크에 있어서 어느 네트워크 노드가 사용 가능한 네트워크 노드인지를 결정하도록 구성되어 있다.
하나의 예에서는, 도 1f에 나타낸 바와 같이, 사용 가능한 네트워크 노드(즉 라우터)는 개시된 시스템의 한 사용자로부터 제2의 사용자에게 데이터 패킷을 보내기 위해 사용된다. 이 예에서, 발신지 노드(노드 A)와 연결된 사용자는 환자에 대한 적절한 진단을 받는 것을 도와주기 위해 목적지 노드(노드 E)와 연결된 전문가에게 시험 결과를 보내도록 그들의 환자에 의해 요청된 오클라호마주의 1차 진료자(primary care physician)이다. 더욱 완전하게 이 시나리오를 중계할 목적으로, 환자 데이터는 그 주의 의료 기록법을 준수하기 위해 오클라호마주의 외부로 보낼 수 없다고 가정한다. 도 1f는 데이터 패킷의 여러 라우팅 시나리오를 제공하는 네트워크 노드(즉, 노드 A, 노드 B, 노드 C, 노드 D 및 노드 E) 사이의 몇 개의 서로 다른 잠재적인 경로를 나타내고 있다. 노드 A(즉, 발신지 네트워크 노드)와 노드 E(즉, 목적지 네트워크 노드)가 모두 오클라호마주에 위치하고 있으면서, 데이터 패킷이 오클라호마주의 외부에 배치되어 있는 임의의 네트워크 노드(즉, 라우터)를 매개로 라우팅될 때는, 의료 기록법이 위반된다. 적어도 하나의 실시예에서, 1차 진료자로부터 그들의 전문가에게 보내진 환자 시험 결과를 포함하고 있는 데이터 패킷은 노드 E에서의 데이터 패킷의 수신으로 인해 거절되고, 노드 E에 있는 현지의 사용 가능한 하드웨어는 데이터 패킷의 라우팅된 경로를 감사하여 데이터 패킷이 오클라호마주의 경계의 외부에 위치된 네트워크 노드(노드 C)를 통해 라우팅되었음(즉, 데이터 패킷이 노드 C를 매개로 라우팅되었음)이 식별된다. 적어도 하나의 실시예에서는, 데이터 패킷이 그 주의 경계의 외부에 위치된 네트워크 노드를 통해 라우팅되었다고 현지의 사용 가능한 하드웨어가 결정한 경우에는, 데이터 패킷은 보낸 사람에게 되돌려 보내진다. 다른 관련된 실시예에서는, 데이터 패킷이 그 주의 경계의 외부에 위치된 네트워크 노드를 통해 라우팅되었다고 현지의 사용 가능한 하드웨어가 결정한 경우에, 데이터 패킷이 삭제되고 노드 A에 있는 발신 측이 데이터 패킷의 삭제의 통지 및 삭제 이유를 수신한다. 다른 실시예에서는, 현지의 사용 가능한 하드웨어에 의한 감사의 결과는 데이터 패킷이 그 주의 경계의 내부에 위치된 데이터 패킷이 받아들여지는 네트워크 노드(즉, 라우터)만을 매개로 라우팅되었음을 나타낸다.
도 1g는 2개의 네트워크 노드(노드 A 및 노드 B)가 적어도 하나의 LEO 위성(198)으로부터 전송 신호를 수신할 수 있는 사이버 및 네트워크 보안 어플리케이션을 위해 감쇠된 환경에서 네트워크 노드를 지리위치 지정하기 위한 개시된 시스템의 실시예를 나타낸다. 이 도면에는, 3개의 네트워크 노드(노드 A, 노드 B 및 노드 C)가 나타내어져 있다. 노드 A 및 노드 B는 지오태깅 가능한 네트워크 노드이다(즉, 그들은 그들 자신에 관련된 지리위치 정보를 갖춘 데이터 패킷을 지오태깅할 수 있지만, 임의의 업스트림 네트워크 노드를 검증(또는 인증)할 수 없고, 그에 따라 이 예에서는 주요한 처리 능력을 가지고 있지 않다). 하나의 실시예에서, 노드 A 및 노드 B는 그들 자신의 지리위치를 위해 사용될 수 있는 정보를 포함하고 있는 LEO 위성(198, 199)으로부터 전송 신호를 수신할 수 있다.
데이터 패킷이 노드 A를 통해 이동함에 따라, 이것은 노드 A가 위성(198)으로부터 수신하는 샘플링된 위성 데이터의 적어도 일부와 지오태깅된다. 그리고, 데이터 패킷이 노드 B를 통해 계속 이동함에 따라, 이것은 또한 노드 B가 위성(199)으로부터 수신하는 샘플링된 위성 데이터의 적어도 일부와 지오태깅된다. 그 다음에, 데이터 패킷은 목적지 노드(노드 C)로 그 경로를 통해 진행하는 것을 계속한다. 노드 C는 사용 가능한 노드이고, 따라서 노드 A와 노드 B에 의해 얻어진 샘플링된 위성 데이터를 처리할 수 있도록 추가적인 처리 능력을 가진다. 샘플링된 위성 데이터를 분석할 때, 사용 가능한 네트워크 노드 C는 데이터 패킷이 실제로 노드 A와 노드 B를 통해 이동되는 것을 유효하게 하고 노드 A와 노드 B를 검증(또는 인증)한다. 하나의 실시예에서, 업스트림 경로에서 노드 A와 노드 B를 유효하게 한 후에, 노드 C는 데이터 패킷에서 원시적으로 부가된 데이터를 제거하고 데이터 패킷에 대해 수정 또는 진보된 지오태그를 부가한다. 그에 따라, 데이터 패킷의 크기를 감소시키거나, 및/또는 데이터 패킷이 더 안전하다고 생각되도록 하는 효과를 갖는다.
도 2는 전송 기반 인증 시스템(200)에 의해 그리고 범위 정보(ranging information)를 사용하여 검증되는 3개의 네트워크 노드(210, 220, 230)의 위치를 나타낸다. 이 도면에서, 네트워크 노드(210, 220)는 검증된 위치에 있는 라우터의 네트워크 노드이다. 이러한 네트워크 노드(210, 220)의 위치는 적어도 하나의 인증 신호를 전송하는 위성(240)을 이용하는 전송 기반 인증 시스템(200)의 사용에 의해 검증된다. 전송 기반 인증 시스템(200)이 어떻게 동작하는지에 대한 상세한 설명은 도 3, 4, 5 및 6의 논의를 참조한다. 이 도면에서, 네트워크 노드(230)는 위성(240)에 대한 액세스를 가지지 않기 때문에, 네트워크 노드(230)의 위치는 전송 기반 인증 시스템(200)에 의해 검증되지 않는다. 그러나, 네트워크 노드(230)의 위치는 검증된 위치에 있는 네트워크 노드(210, 220)로/로부터 신호를 전송함으로써 얻어지는 왕복(round-trip) 시간 지연(즉, 핑(ping) 지연)의 이용을 통해 범위 정보를 이용함으로써 검증될 수 있다.
이 예에 대한 범위 정보를 취득하기 위한 처리는 다음과 같다. 첫째로, 네트워크 노드(230)는 시간 t1a에서 네트워크 노드(210)에 신호(R31)를 전송한다. 네트워크 노드(210)는 시간 t3a에서 신호(R31)를 수신하고, 시간 t3b에서 네트워크 노드(230)에 리턴 신호(return signal; R13)를 전송한다. 네트워크 노드(230)는 시간 t1b에서 리턴 신호(R13)를 수신한다. 신호(R31)를 수신하고 신호(R13)로써 응답하는 네트워크 노드 사이의 지연(즉, t3b - t3a)이 알려져 있다. 그에 따라, 왕복 지연(빛의 속도를 곱한 값을 2로 나눈 값)은 네트워크 노드(210)와 네트워크 노드(230) 사이에 범위를 제공한다. 그 다음에, 이 범위 정보는 네트워크 노드(230)의 위치를 검증하기 위해 사용될 수 있다. 유사한 계산이 네트워크 노드(230)와 네트워크 노드(220) 사이의 범위를 계산하기 위해 사용된다. 관련된 네트워크 범위 방정식은 다음과 같다.
R13 = c [(t3a - t1a) + (t1b - t3b)] / 2
R23 = c [(t3a - t2a) + (t2b - t3b)] / 2,
여기서 t는 시간과 같고, c는 빛의 속도와 같다.
도 3은 하나 이상의 가드 빔(guard beam; 330)과 함께 "빔 제로(beam zero)"라고도 불릴 수 있는 인증 빔(320)을 구비하는 중첩하는 스팟 빔(340)을 전송하는 위성을 이용하는 전송 기반 인증 시스템의 실시예를 나타낸다. 합법적인 네트워크 노드(360)는 인증 빔(320) 내에 위치되도록 도시되어 있다. 기만적인(deceptive) 네트워크 노드(350)는 합법적인 네트워크 노드(360)의 위치를 시뮬레이션하는 것을 시도한다.
가드 빔(330)과 빔 제로(320)의 각 위치는 시간의 경과와 더불어 각 빔(340)으로부터 고유의 인증 신호를 수신한다. 빔(340)이 중첩하는 영역 내의 위치는 복합 인증 신호를 수신한다. 기만적인 네트워크 노드(350)는 합법적인 네트워크 노드(360)의 위치에 위치되지 않고, 따라서 기만적인 네트워크 노드(350)는 합법적인 네트워크 노드(360)가 그 위치로 인해 수신해야만 하는 특별한 인증 신호(320)를 수신하지 않게 될 것이다. 네트워크 노드가 그 합법적인 위치에 있지 않은 한, 네트워크 노드는 올바른 인증 신호를 수신하지 않게 될 것이고, 그에 따라 인증 장치가 네트워크 노드의 위치를 인증할 수 없게 된다.
하나 이상의 실시예에서, 스핏 빔(340) 내에 전송된 데이터는 인증 키 및/또는 빔 중의 하나의 데이터를 다른 빔의 데이터와 구별하기 위해 사용될 수 있는 다른 의사 랜덤 코드 세그먼트를 포함할 수 있다. 개시된 시스템 및 방법은 빔(340) 사이에서 데이터를 구별하기 위해 다른 특징적인 빔 특성 및/또는 데이터의 특성을 사용할 수 있다. 적어도 하나의 실시예에서, 가드 빔(330)은 빔 제로(320)가 전송되는 전력보다 더 높은 전력에서 전송될 수 있다. 이것은, 가드 빔(330)으로부터의 빔 제로(320) 인증 신호를 차폐하도록 할 것이다.
도 4a∼도 4f는 다수의 중첩하는 스팟 빔으로부터 하나 이상의 네트워크 노드에 의해 수신된 신호가 하나 이상의 네트워크 노드의 위치 및 신원(identity)을 인증하기 위해 사용되는 실시예를 나타낸다. 기본 개념은, 네트워크 노드가 중첩하는 스팟 빔 패턴 내에 배치되어 있는 상황에 의존해서, 각 네트워크 노드가 다수의 스팟 빔으로부터 전송된 신호의 조합에서 다른 복합 신호를 수신할 것이라는 점이다. 특히, 도 4a는 예를 들어 3개의 중첩하는 스팟 빔(즉, 빔 1, 빔 2 및 빔 3) 내 및 근방의 여러 위치에 배치되는 4개의 네트워크 노드(즉, A, B, C, D)를 가진 개시된 전송 기반의 인증 시스템을 나타내고 있다. 이와 같이, 이 도면은 네트워크 노드 A, B, C의 위치를 설명하는 중첩 스팟 빔을 나타낸다. 네트워크 노드 D의 위치는 빔 패턴의 바로 외부에 있는 것으로 나타내어져 있다.
도 4b는 도 4a의 3개의 스팟 빔에 의해 전송된 예시적인 신호(1, 2, 3)를 묘사하는 그래프 400을 나타낸다. 특히, 이 도면은 각 스팟 빔(빔 1, 빔 2 및 빔 3)에 의해 전송된 신호의 예시적인 세트를 나타내고, 네트워크 노드의 위치를 검증하기 위해 사용된다. (그래프 400 위의 1, 2 및 3에 의해 표시되는) 3개의 곡선은 각 스팟 빔으로부터 전송된 신호에 대한 시간의 경과에 따른 비트 시퀀스를 나타낸다. 이들 3개의 비트 시퀀스는 개념을 입증(demonstrate)하기 위해서만 사용된다. 이와 같이, 많은 다른 유형의 신호 및 변조 형태를 사용할 수도 있다. 또한, 신호 패턴은 기만적인 네트워크 노드 및/또는 사용자로부터 추가적인 보호를 제공하기 위해 그리고 모바일 네트워크 노드가 특정 위치에 있을 때 고유의 시간을 제공하기 위해 주기적으로 변화될 수도 있다. 게다가, 네트워크 노드를 인증하기 위해 사용되는 이들 신호는 일반적인 전송 중에 짧은 기간동안 정상적인 신호와 별도로 전송될 수 있거나, 또는 택일적으로 일반적인 신호 내에 매립될 수도 있다.
도 4c는 도 4a의 4개의 네트워크 노드(A, B, C 및 D)의 위치에서 3개의 스팟 빔(빔 1, 빔 2 및 빔 3)의 신호 강도의 어레이(410)를 나타낸다. 특히, sbr(signal beam received: 수신된 신호 빔) 어레이(410)는 어레이(410)의 행에 수신된 신호 빔(빔 1, 빔 2 및 빔 3)으로부터 어레이(410)의 열에 각 네트워크 노드(A, B, C 및 D)에 의해 수신된 신호 강도를 나타낸다. 예를 들어, 위치 B의 네트워크 노드는 각각 빔 1 및 3으로부터의 신호 강도 2 및 1.5와 비교하여 11의 신호 강도를 갖는 빔 2로부터 신호의 대부분을 수신한다. 네트워크 노드의 수신 신호의 특징 및/또는 특성은 네트워크 노드의 위치를 유효하게 하기 위해 사용되는 서명일 수 있다.
도 4d는 도 4a의 3개의 스팟 빔(빔 1, 빔 2 및 빔 3)에 대한 비트의 어레이(420)를 나타낸다. 이 도면에서, 비트 어레이(420)는 어레이(420)의 16개의 열에 의해 표시되는 시간의 함수로서 3개의 어레이 행에 각 빔(빔 1, 빔 2 및 빔 3)에 의해 전송되는 신호 시퀀스를 나타내고 있다. 여기에서는, 개념을 설명하기 위해 전송된 신호는 이진수(binary)이다. 그러나, 변형 실시예에서는, 다른 신호 패턴이 적용될 수도 있다.
도 4e는 도 4a의 4개의 네트워크 노드(A, B, C 및 D)에 의해 수신된 결과 신호 시퀀스의 어레이(430)를 나타낸다. 이 도면은 다수의 중첩하는 빔으로부터의 위치(A, B, C 및 D)에서 네트워크 노드에 의해 수신된 복합 신호의 결과 시퀀스를 나타낸다. 결과 신호(rx) = gx(sbrT) ×(비트)이고, 여기서 g는 각 노드 수신기의 이득과 같다. 이 예에서, 이득(g)은 0.7과 동일하게 되도록 선택된다(즉, g = 0.7). 수신된 어레이(rxT; 430)의 16개의 행은 시간 단계(step)를 나타내고, 4개의 열은 네트워크 노드의 다른 위치(A, B, C 및 D)에 대응한다. 이 예에서는, 이 위치가 빔 패턴의 외부에 있기 때문에, 위치 D의 네트워크 노드는 신호를 수신하지 않는다는 점에 유의해야 한다.
도 4f는 도 4a의 네트워크 노드(A, B, C 및 D)에 의해 수신된 결과 신호를 묘사하는 그래프 440을 나타낸다. (A, B, C, D에 의해 표시되는) 4개의 곡선은 위치 A, B, C 및 D에서 네트워크 노드에 의해 수신되는 결과 신호의 시간 시퀀스를 나타낸다. 4개의 결과 복합 신호는 각각 4개의 네트워크 노드(A, B, C 및 D)에 대한 고유의 네트워크 노드 위치 식별을 제공한다.
도 5는 이차 미션(임무)의 일부로서 가드 빔 전송을 이용하는 전송 기반 인증 시스템(500)의 실시예를 나타낸다. 이 실시예에서, 적어도 하나의 가드 빔은 위성(510)을 위한 이차 미션의 일부로서 합법적인 데이터를 전송하기 위해 사용된다. 예를 들어, 가드 빔은 가드 빔 조사범위(footprint)에 있어서 유효한 차분 GPS 네트워크 보정 등의 지역 정보를 방송하기 위해 사용될 수 있다. 그러나, 지역 정보는 더 랜덤한 신호보다 스푸퍼(spoofer)에 의해 더 결정될 수 있을 것 같기 때문에 더 높은 보안을 위해서 이것은 바람직한 실시예가 아니라는 점에 유의해야 한다. 다른 예로서, 가드 빔이 일차 미션과 관련이 있거나 및/또는 이차 미션과 관련이 있는 데이터(즉, 인증 신호)를 전송하기 위해 사용될 수 있다.
도 5에 나타낸 바와 같이, 인증 신호는 버스트로 전송될 수 있다. 인증 신호는, 인증 신호의 타이밍이 네트워크 노드의 위치를 지시하도록, 빔 제로 또는 (빔 제로 및 가드 빔을 포함하는) 교번 빔(alternating beams)에 버스트로 랜덤하게 전송될 수 있다. 이와 같이, 네트워크 노드가 다수의 버스트를 수신하는 경우, 그 때 네트워크 노드는 빔 제로 내 또는 빔 중첩 영역 내에 위치된다.
변형 실시예에서, 인증 신호는 위성 전송 전력 및/또는 대역폭에 미치는 충격을 최소화하기 위해 일반적인 데이터 전송에 매립될 수 있다. 인증 신호는 일반적인 수신에 충격을 주지 않지만 특별한 처리에 의해 검출 가능한 각종 방법(예를 들어, 시간, 주파수, 편광 시프트(polarization shift) 등)에 의해 데이터 전송에 매립될 수 있다.
하나 이상의 실시예에서, 인증 신호는 비트 단위로 방송 전력을 변화시킴으로써 일반적인 데이터 전송에 매립될 수 있다. 이러한 실시예의 경우, 가드 빔 비트 변조는 비트 단위로 전송된 비트의 방송 전력을 변화시킨다. 이것은, 스푸퍼가 그들의 현지 가드 빔의 비트를 관찰하는 것을 시도하고, 그것들을 제거하기 위해 데이터를 처리하는 것을 방지한다.
예를 들어, 스푸퍼는 일련의 측정값(m)을 만든다.
95 105 105 -105 105 -105 95 -105 -95 -95
스푸퍼는 가드 신호(g)가 부호(m)이었음을 추측할 수 있다.
1 1 1 -1 1 -1 1 -1 -1 -1
그리고, 스푸퍼가 액세스하려고 하는 신호는 부호(m-sign(m)*100)이다.
-1 1 1 -1 1 -1 -1 -1 1 1
고정된 전력 신호 대신인 경우는, 수신된 신호의 그 성분이
107 97 91 -93 99 -91 93 -107 -107 -101
이도록, 가드 빔 방송 전력이 변조된다.
그 다음에, 스푸퍼가 수신하게 되는 신호는 다음과 같이 된다.
102 102 96 -98 104 -96 88 -112 -102 -96
스푸퍼가 측정값의 그 세트로부터 인증 신호를 파악하도록 하는 것은 훨씬 더 어려워질 것이다.
게다가, 동일한 아이디어의 확장은 가드 밴드 신호에 작은 랜덤 직교 위상 변이 변조(quadrature phase shift keying: QPSK) 신호를 추가하도록 하는 것임에 유의해야 한다. 이 경우에 있어서는, 가드 신호는 여전히 유용한 정보를 전송하기 위해 사용될 수 있다.
도 6은 위상이 어긋난 이진 위상 시프트 키잉(BPSK) 가드 빔 전송을 이용하는 전송 기반 인증 시스템(600)의 실시예를 나타낸다. 구체적으로는, 이 도면에서, 가드 빔은 인접한 중첩 빔 사이의 위상이 어긋난 BPSK 신호를 이용하여 인증 신호를 전송한다. 그 다음에, 중첩 영역의 신호는 QPSK 신호로 될 것이다. 빔 내의 네트워크 노드의 고유의 위치는 네트워크 노드가 수신하는 신호 위상과 신호 유형을 분석함으로써 결정될 수 있다.
변형 실시예에서, 이차 신호 소스는 추가적인 차폐 전송을 제공하기 위해 사용될 수 있다. 예를 들어, 제2 위성은 제1 위성의 외부 빔을 위해 가드 빔을 방송할 수 있다.
도 7은 폐색되거나 빽빽히 찬 환경에서 수행할 수 있는 네트워크 노드(710)를 가진 개시된 시스템(700)의 실시예를 나타낸다. 특히, 도 7은 2개의 위성(706, 704) 및 셀룰러 타워(708)로부터 RF 신호(709, 705, 707)를 수신하는 네트워크 노드(710)를 나타내고 있다. 하나의 예에서, RF 신호(709, 705, 707)는 하향 변환(down-convert)되고 샘플링되며 필요에 따라 암호화되어 네트워크 노드(710)를 통해 라우팅되는 보안이 강화된 데이터 패킷에 부가된다. 다른 예에서, 데이터는 RF 신호(709, 705, 707)로부터 추출된다. 추출된 데이터는 필요에 따라 암호화되어 네트워크 노드(710)를 통해 라우팅되는 보안이 강화된 데이터 패킷에 부가된다. 개시된 시스템에 의해 이용될 수 있는 각종 유형의 RF 신호 소스의 예는, LEO 위성(예를 들어, 이리듐 위성), (예를 들어, GNSS 신호를 전송하는) GPS 위성 및 셀룰러 타워를 포함하지만, 이에 한정되는 것은 아니다.
특정의 예시적인 실시예 및 방법이 본 명세서에 개시되어 있지만, 그러한 실시예 및 방법의 변경 및 수정이 개시된 기술의 진정한 정신 및 범위로부터 벗어나지 않고 이루어질 수 있다는 것은 이 기술분야에서 통상의 지식을 가진 자에게는 전술한 개시내용으로부터 명백하다 할 수 있다. 각각이 상세한 점에서만 다른 것들과 다른 개시된 기술의 많은 다른 예가 존재한다. 따라서, 개시된 기술은 첨부된 특허청구범위 및 적용 가능한 법(applicable law: 준거법)의 규칙과 원리에 의해 요구되는 범위로만 한정되는 것을 의도하고 있다.

Claims (38)

  1. 데이터 라우팅 보안을 위한 시스템으로서,
    발신지 네트워크 노드;
    목적지 네트워크 노드; 및
    적어도 하나의 라우터 네트워크 노드를 구비하되,
    발신지 네트워크 노드, 목적지 네트워크 노드 및 적어도 하나의 라우터 네트워크 노드의 적어도 하나는 사용 가능한 네트워크 노드이고,
    발신지 네트워크 노드와 목적지 네트워크 노드가 적어도 하나의 라우터 네트워크 노드를 매개로 서로 연결되며,
    발신지 네트워크 노드가 적어도 하나의 라우터 네트워크 노드를 통해 목적지 네트워크 노드로 다운스트림으로 데이터 패킷을 전송하도록 구성되고,
    데이터 패킷은 헤더부 및 페이로드 데이터부를 포함하며,
    적어도 하나의 사용 가능한 네트워크 노드는 데이터 패킷의 헤더부와 페이로드 데이터부의 적어도 하나를 분석함으로써 적어도 하나의 사용 가능한 네트워크 노드로부터 업스트림에 배치되어 있는 네트워크 노드 중 적어도 하나를 검증하도록 구성되어 있고,
    적어도 하나의 사용 가능한 네트워크 노드가 네트워크 노드 중 어느 하나를 검증할 때, 적어도 하나의 사용 가능한 네트워크 노드는 데이터 패킷의 헤더부에 포함된 데이터의 적어도 일부를 제거하는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  2. 제1항에 있어서, 헤더부가 보안 서명부와 라우팅 데이터부 중 적어도 하나를 구비하는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  3. 제2항에 있어서, 보안 서명부는 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드에 관한 지리위치 정보를 포함하는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  4. 제3항에 있어서, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드에 관한 지리위치 정보는 적어도 하나의 전송 소스로부터 전송된 결과 신호를 수신함으로써 얻어지고,
    결과 신호는 적어도 하나의 인증 신호를 포함하며,
    그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드의 위치는, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드가 수신하는 결과 신호의 특성을, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드가 그 위치로 인해 수신해야만 하는 결과 신호의 기대되는 특성과 비교함으로써 검증되는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  5. 제3항에 있어서, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드에 관한 지리위치 정보는, 검증된 위치에서 다른 네트워크 노드로 그를 통해 데이터가 이동되는 적어도 하나의 네트워크 노드에 의해 전송된 신호, 및 검증된 위치에서 다른 네트워크 노드로 그를 통해 데이터가 이동되는 적어도 하나의 네트워크 노드에 의해 수신된 신호에 의해 얻어지는 범위 정보로부터 결정되는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  6. 삭제
  7. 제1항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드는 네트워크 노드의 적어도 하나를 검증하고, 적어도 하나의 사용 가능한 네트워크 노드는 검증된 네트워크 노드의 적어도 하나에 관한 데이터 패킷의 헤더부에 데이터를 추가하는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  8. 제7항에 있어서, 헤더부에 추가된 데이터는 검증된 네트워크 노드의 적어도 하나에 관련된 지리위치 정보인 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  9. 제1항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드 중 적어도 하나는, 적어도 하나의 사용 가능한 네트워크 노드가 검증된 네트워크 노드 중 어느 하나로부터 직접 수신하는 데이터 패킷만을 전송하도록 구성되어 있는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  10. 제1항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드 중 적어도 하나는, 검증된 네트워크 노드만을 통해 이동되는 데이터 패킷만을 전송하도록 구성되어 있는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  11. 제1항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드 중 적어도 하나는, 어느 네트워크 노드가 지오태깅 가능한 네트워크 노드인지를 결정하도록 구성되어 있는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  12. 제1항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드 중 적어도 하나는, 어느 네트워크 노드가 사용 가능한 네트워크 노드인지를 결정하도록 구성되어 있는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  13. 제1항 내지 제5항 및 제7항 내지 제12항 중 어느 한 항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드 중 적어도 하나는, 적어도 하나의 사용 가능한 네트워크 노드로부터 업스트림에 배치된 네트워크 노드 중 적어도 하나를 검증하기 위해 적어도 하나의 전송 소스로부터 전송된 수신 신호를 추가적으로 이용하는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  14. 제1항 내지 제5항 및 제7항 내지 제12항 중 어느 한 항에 있어서, 데이터 패킷은 사용 가능한 네트워크 노드를 통해서만 발신지 네트워크 노드로부터 목적지 네트워크 노드로 다운스트림으로 전송되는 것을 특징으로 하는 데이터 라우팅 보안을 위한 시스템.
  15. 데이터 라우팅 보안을 위한 방법으로서,
    적어도 하나의 라우터 네트워크 노드를 통해 발신지 네트워크 노드로부터 목적지 네트워크 노드로 다운스트림으로
    헤더부, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드에 관한 지리위치 정보를 포함하는 적어도 하나의 보안 서명부 및 페이로드 데이터부를 포함하고 있는 데이터 패킷을 전송하는 단계; 및
    적어도 하나의 사용 가능한 네트워크 노드에 의해, 데이터 패킷의 헤더부와 페이로드 데이터부의 적어도 하나를 분석함으로써 적어도 하나의 사용 가능한 네트워크 노드로부터 업스트림에 배치된 네트워크 노드의 적어도 하나를 검증하는 단계를 구비하되,
    적어도 하나의 사용 가능한 네트워크 노드가 발신지 네트워크 노드, 목적지 네트워크 노드 및 적어도 하나의 라우터 네트워크 노드의 적어도 하나이고,
    적어도 하나의 사용 가능한 네트워크 노드가 네트워크 노드 중 어느 하나를 검증할 때, 적어도 하나의 사용 가능한 네트워크 노드는 데이터 패킷의 헤더부에 포함된 데이터의 적어도 일부를 제거하는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  16. 제15항에 있어서, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드에 관한 지리위치 정보는 적어도 하나의 전송 소스로부터 전송된 결과 신호를 수신함으로써 얻어지고,
    결과 신호는 적어도 하나의 인증 신호를 포함하며,
    그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드의 위치는, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드가 수신하는 결과 신호의 특성을, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드가 그 위치로 인해 수신해야만 하는 결과 신호의 기대되는 특성과 비교함으로써 검증되는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  17. 제15항에 있어서, 그를 통해 데이터 패킷이 이동되는 적어도 하나의 네트워크 노드에 관한 지리위치 정보는, 검증된 위치에서 다른 네트워크 노드로 그를 통해 데이터가 이동되는 적어도 하나의 네트워크 노드에 의해 전송된 신호, 및 검증된 위치에서 다른 네트워크 노드로 그를 통해 데이터가 이동되는 적어도 하나의 네트워크 노드에 의해 수신된 신호에 의해 얻어지는 범위 정보로부터 결정되는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  18. 삭제
  19. 제15항에 있어서, 데이터 패킷의 헤더부는 그를 통해 데이터 패킷이 이동되는 모든 네트워크 노드에 관한 데이터를 포함하는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  20. 제15항 내지 제17항 및 제19항 중 어느 한 항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드는 네트워크 노드의 적어도 하나를 검증하고, 적어도 하나의 사용 가능한 네트워크 노드는 검증된 네트워크 노드의 적어도 하나에 관한 데이터 패킷의 헤더부에 데이터를 추가하는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  21. 제20항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드 중 적어도 하나는, 적어도 하나의 사용 가능한 네트워크 노드가 검증된 네트워크 노드 중 어느 하나로부터 직접 수신하는 데이터 패킷만을 전송하도록 구성되어 있는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  22. 제20항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드 중 적어도 하나는, 검증된 네트워크 노드만을 통해 이동되는 데이터 패킷만을 전송하도록 구성되어 있는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  23. 제20항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드 중 적어도 하나는, 어느 네트워크 노드가 지오태깅 가능한 네트워크 노드인지를 결정하도록 구성되어 있는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  24. 제20항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드 중 적어도 하나는, 어느 네트워크 노드가 사용 가능한 네트워크 노드인지를 결정하도록 구성되어 있는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  25. 제20항에 있어서, 적어도 하나의 사용 가능한 네트워크 노드 중 적어도 하나는, 적어도 하나의 사용 가능한 네트워크 노드로부터 업스트림에 배치된 네트워크 노드 중 적어도 하나를 검증하기 위해 적어도 하나의 전송 소스로부터 전송된 수신 신호를 추가적으로 이용하는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  26. 제15항 내지 제17항 및 제19항 중 어느 한 항에 있어서, 데이터 패킷은 사용 가능한 네트워크 노드를 통해서만 발신지 네트워크 노드로부터 목적지 네트워크 노드로 다운스트림으로 전송되는 것을 특징으로 하는 데이터 라우팅 보안을 위한 방법.
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
  37. 삭제
  38. 삭제
KR1020147034486A 2012-08-15 2013-07-16 새로운 네트워크 패킷 구조에 기초한 지리위치 인증 시스템 및 방법 KR102220834B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/586,705 2012-08-15
US13/586,705 US8769267B2 (en) 2008-05-30 2012-08-15 Geothentication based on new network packet structure
PCT/US2013/050578 WO2014028154A1 (en) 2012-08-15 2013-07-16 System and method for geothentication

Publications (2)

Publication Number Publication Date
KR20150042153A KR20150042153A (ko) 2015-04-20
KR102220834B1 true KR102220834B1 (ko) 2021-02-26

Family

ID=48906495

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147034486A KR102220834B1 (ko) 2012-08-15 2013-07-16 새로운 네트워크 패킷 구조에 기초한 지리위치 인증 시스템 및 방법

Country Status (7)

Country Link
EP (1) EP2885902B1 (ko)
KR (1) KR102220834B1 (ko)
CN (1) CN104521215B (ko)
AU (1) AU2013303163B2 (ko)
RU (1) RU2656832C2 (ko)
SG (1) SG11201500746YA (ko)
WO (1) WO2014028154A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3496464A3 (en) 2012-09-21 2019-10-02 Myriota Pty Ltd Communication system and method
DE102016201341B4 (de) 2015-02-09 2021-11-25 Samsung Electro-Mechanics Co., Ltd. Mehrbandantenne mit externem leiter und elektronische einrichtung, die diese enthält
FR3055503B1 (fr) * 2016-09-01 2019-01-25 Thales Procede de geolocalisation collaborative sur un voisinage
CN110198517B (zh) * 2018-05-10 2021-07-20 腾讯科技(深圳)有限公司 一种基于自学习路径选择的端口扫描方法和系统
JP6988855B2 (ja) * 2019-04-02 2022-01-05 カシオ計算機株式会社 電子時計、情報更新制御方法及びプログラム
US11445373B1 (en) 2019-08-05 2022-09-13 Satelles, Inc. Validation of position, navigation, time signals
RU2714220C1 (ru) * 2019-08-19 2020-02-13 Акционерное общество "Российская корпорация ракетно-космического приборостроения и информационных систем" (АО "Российские космические системы") Способ маршрутизации в сетях подвижной персональной спутниковой связи на низкоорбитальных спутниках-ретрансляторах с зональной регистрацией абонентов и маршрутизатор низкоорбитального спутника ретранслятора с интегрированными службами для осуществления указанного способа
WO2024054200A1 (en) * 2022-09-06 2024-03-14 Satelles, Inc. Validation of position, navigation, time signals

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120144451A1 (en) * 2008-05-30 2012-06-07 The Boeing Company Geolocating network nodes in attenuated environments for cyber and network security applications

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6240074B1 (en) * 1998-02-19 2001-05-29 Motorola, Inc. Secure communication hub and method of secure data communication
US7162253B2 (en) * 2003-09-08 2007-01-09 Nokia Corporation Geographical position extension in messaging for a terminal node
US7499547B2 (en) * 2006-09-07 2009-03-03 Motorola, Inc. Security authentication and key management within an infrastructure based wireless multi-hop network
JP2011520327A (ja) * 2008-04-15 2011-07-14 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信の信頼性を提供する方法及びシステム
US8035558B2 (en) * 2008-05-30 2011-10-11 The Boeing Company Precise absolute time transfer from a satellite system
US8824474B2 (en) * 2009-06-09 2014-09-02 Telefonaktiebolaget L M Ericsson (Publ) Packet routing in a network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120144451A1 (en) * 2008-05-30 2012-06-07 The Boeing Company Geolocating network nodes in attenuated environments for cyber and network security applications

Also Published As

Publication number Publication date
CN104521215B (zh) 2018-05-22
EP2885902A1 (en) 2015-06-24
RU2014147107A (ru) 2016-10-10
RU2656832C2 (ru) 2018-06-06
SG11201500746YA (en) 2015-02-27
CN104521215A (zh) 2015-04-15
EP2885902B1 (en) 2018-12-26
WO2014028154A1 (en) 2014-02-20
AU2013303163A1 (en) 2014-12-04
KR20150042153A (ko) 2015-04-20
AU2013303163B2 (en) 2017-07-20

Similar Documents

Publication Publication Date Title
JP6040229B2 (ja) サイバー及びネットワークセキュリティ用途の減衰環境内におけるネットワークノードの地理位置情報取得
US8769267B2 (en) Geothentication based on new network packet structure
KR102220834B1 (ko) 새로운 네트워크 패킷 구조에 기초한 지리위치 인증 시스템 및 방법
JP6917429B2 (ja) 脅威検出のためのコンテキスト・アウェア・ネットワーク・セキュリティ・モニタリング
US9515826B2 (en) Network topology aided by smart agent download
US20130019317A1 (en) Secure routing based on degree of trust
KR102230407B1 (ko) 라우터의 물리적 위치에 기초한 보안 라우팅
JP6207528B2 (ja) 信頼度に基づくセキュアルーティング
JP2014510422A (ja) 衛星受信機のスポットビーム利用認証
EP2692085B1 (en) Guard spot beams to deter satellite-based authentication system spoofing
Lázaro et al. VDES R‐Mode: Vulnerability analysis and mitigation concepts
EP2573998B1 (en) Method and system for smart agent download
Zeddini et al. Security threats in intelligent transportation systems and their risk levels. Risks 10 (5): 91
Atluri et al. Computer Security–ESORICS 2011: 16th European Symposium on Research in Computer Security, Leuven, Belgium, September 12-14, 2011. Proceedings
AU2016269489B2 (en) Guard spot beams to deter satellite-based authentication system spoofing
Feng Attack on WiFi-based Location Services and SSL Using Proxy Servers
AU2012238107A1 (en) Guard spot beams to deter satellite-based authentication system spoofing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant