KR20130097706A - 인증 가능한 시간 및 위치 정보 제공 방법 - Google Patents

인증 가능한 시간 및 위치 정보 제공 방법 Download PDF

Info

Publication number
KR20130097706A
KR20130097706A KR1020137001117A KR20137001117A KR20130097706A KR 20130097706 A KR20130097706 A KR 20130097706A KR 1020137001117 A KR1020137001117 A KR 1020137001117A KR 20137001117 A KR20137001117 A KR 20137001117A KR 20130097706 A KR20130097706 A KR 20130097706A
Authority
KR
South Korea
Prior art keywords
receiver
data
location
radio navigation
cryptographic
Prior art date
Application number
KR1020137001117A
Other languages
English (en)
Other versions
KR101701912B1 (ko
Inventor
올리비에르 샤샤뉴
Original Assignee
더 유럽피안 유니언, 레프레젠티드 바이 더 유럽피안 커미션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 더 유럽피안 유니언, 레프레젠티드 바이 더 유럽피안 커미션 filed Critical 더 유럽피안 유니언, 레프레젠티드 바이 더 유럽피안 커미션
Publication of KR20130097706A publication Critical patent/KR20130097706A/ko
Application granted granted Critical
Publication of KR101701912B1 publication Critical patent/KR101701912B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/13Receivers
    • G01S19/14Receivers specially adapted for specific applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S1/00Beacons or beacon systems transmitting signals having a characteristic or characteristics capable of being detected by non-directional receivers and defining directions, positions, or position lines fixed relatively to the beacon transmitters; Receivers co-operating therewith
    • G01S1/02Beacons or beacon systems transmitting signals having a characteristic or characteristics capable of being detected by non-directional receivers and defining directions, positions, or position lines fixed relatively to the beacon transmitters; Receivers co-operating therewith using radio waves
    • G01S1/04Details
    • G01S1/042Transmitters
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S1/00Beacons or beacon systems transmitting signals having a characteristic or characteristics capable of being detected by non-directional receivers and defining directions, positions, or position lines fixed relatively to the beacon transmitters; Receivers co-operating therewith
    • G01S1/02Beacons or beacon systems transmitting signals having a characteristic or characteristics capable of being detected by non-directional receivers and defining directions, positions, or position lines fixed relatively to the beacon transmitters; Receivers co-operating therewith using radio waves
    • G01S1/08Systems for determining direction or position line
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/02Details of the space or ground control segments
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/03Cooperating elements; Interaction or communication between different cooperating elements or between cooperating elements and receivers
    • G01S19/09Cooperating elements; Interaction or communication between different cooperating elements or between cooperating elements and receivers providing processing capability normally carried out by the receiver
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/13Receivers
    • G01S19/21Interference related issues ; Issues related to cross-correlation, spoofing or other methods of denial of service
    • G01S19/215Interference related issues ; Issues related to cross-correlation, spoofing or other methods of denial of service issues related to spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K3/00Jamming of communication; Counter-measures
    • H04K3/20Countermeasures against jamming
    • H04K3/25Countermeasures against jamming based on characteristics of target signal or of transmission, e.g. using direct sequence spread spectrum or fast frequency hopping
    • H04K3/255Countermeasures against jamming based on characteristics of target signal or of transmission, e.g. using direct sequence spread spectrum or fast frequency hopping based on redundancy of transmitted data, transmission path or transmitting source
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K3/00Jamming of communication; Counter-measures
    • H04K3/60Jamming involving special techniques
    • H04K3/65Jamming involving special techniques using deceptive jamming or spoofing, e.g. transmission of false signals for premature triggering of RCIED, for forced connection or disconnection to/from a network or for generation of dummy target signal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K3/00Jamming of communication; Counter-measures
    • H04K3/80Jamming or countermeasure characterized by its function
    • H04K3/90Jamming or countermeasure characterized by its function related to allowing or preventing navigation or positioning, e.g. GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/13Receivers
    • G01S19/21Interference related issues ; Issues related to cross-correlation, spoofing or other methods of denial of service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Position Fixing By Use Of Radio Waves (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 라디오 네비게이션 신호 수신기를 사용하여 인증 가능한 위치 및 시간 정보를 제공하는 방법에 관한 것으로, 다수의 라디오 네비게이션 신호 소스로부터 송출된 라디오 네비게이션 신호들을 수신하는 단계를 포함하며, 여기서 상기 라디오 네비게이션 신호들 중 적어도 일부는 암호화로 보호되는 하나 또는 하나 이상의 암호 토큰들을 포함하고, 상기 암호 토큰들은 수시로 갱신된다. 상기 수신기는 복호화에 의해 암호 토큰들을 포함하는 상기 라디오 네비게이션 신호들로부터 상기 암호 토큰들을 검출한다. 상기 수신기는 이 때 수신된 라디오 네비게이션 신호를 기초로 지리적 위치 및 시간을 나타내는 위치 데이터를 확정한다. 수신기는 적어도 위치 데이터 및 검출된 암호 토큰들을 입력으로 취하는 암호화 함수를 이용하여 디지털 인증 코드를 생성하고, 제1 부분에 위치 데이터 및 제2부분에 디지털 인증 코드를 포함하는 데이터 패키지를 생산한다.

Description

인증 가능한 시간 및 위치 정보 제공 방법{Method of providing an authenticable time-and-location indication}
본 발명은 전체적으로 위치 데이터의 인증에 관한 것이다. 특히, 본 발명은 라디오 네비게이션 신호 수신기를 이용하여, 인증 가능한 시간 및 위치 정보(예를 들어, 문서 혹은 기타 데이터에 첨부된 디지털 시간 및 위치 인장(stamp)과 같은 형태)를 제공하는 것에 관한 것이다. 본 발명의 또 하나의 측면은 위치 데이터의 인증에 관한 것으로, 즉 추정된 시간 및 위치 정보가 신뢰성(authentic)이 있는 것인지 아닌지 결정하는 프로세스에 관한 것이다.
안전한 라디오 네비게이션은, 특히 위성 네비게이션은, 오늘날 인터넷 보안의 중요성만큼 향후 그 중요성과 필요성이 증대될 것이다. 하지만, 적어도 대중적으로 사용되는 네비게이션에 있어서 현재의 기술들을 통해서는 위성 네비게이션에 대한 위협요인의 많은 부분은 예방 또는 해결될 수 없다.
많은 위치 응용(application)이 있는데, 이들을 통해 특정 시간의 사용자의 진정한 위치가 높은 수준의 정확도 및 신뢰도로 알려질 필요가 있는 것이다. 예를 들어, 그러한 응용으로는 기업차량관리(fleet management), 도로요금징수, 지오펜싱(geofencing), 가상 사이트 라이센스, 긴급구조(safety-critical) 위치 기초 서비스, 운행정보기반 자동차보험(pay-as-you drive car insurance schemes) 등이 있다. 그 밖의 응용들에서도, 사용자가 특정 시간과 특정 위치에서의 특정 데이터를 확보하였는지 확인할 필요가 있을 수 있다.
이러한 응용의 소비자 수용 및 시장 침투는 제공되는 서비스의 무결성 및 견고성에 대한 확신 및 신뢰성에 의해 주로 의존한다. 이러한 맥락에서, 본 발명의 사용자는 수신기 사용자와 서비스업체로 구분되며, 전자(“최종사용자”로 일반적으로 불림)는 라디오 네비게이션 신호에 의해 위치가 확인되는 자이며, 후자는 최종사용자로부터 수신한 위치데이터를 사용하는 자이다. 이러한 서비스업체들은 위치 시스템 운영업체와 구분이 되므로, 제3의 서비스업체로 지칭된다.
한편, 최종사용자는 일반적으로 라디오 네비게이션 신호 자료가 신뢰할 만 한지에 대해 확신을 원한다. 이러한 선취는 이하 시그날 인 스페이스(SIS : signal-in-space) 인증으로 언급되는 개념에 연계된다.
반면, 제3의 서비스업체는 일반적으로 자사의 최종사용자로부터 수집한 각 위치 데이터가 실제로 나타난 시간의 최종사용자(가입자) 위치와 일치하는지 보장받기를 원한다. 첫 번째로 위치 데이터가 진정한 라디오 네비게이션 신호에 기초하여 측정이 되는지, 두 번째로 조작되지 않았는지(예를 들어, 잘못된 위치 혹은 시간을 제공고자 하는 목적으로 변경 또는 위조되지 않았는지)에 대한 것이다.
최종사용자가 신고(declare)하거나 혹은 그들의 라디오 네비게이션 신호 수신기가 전송한 위치데이터 인증과 관련된 개념은 이하 위치-속도-시간(PVT : position-velocity-time) 인증으로 지칭한다. PVT는 position-velocity-time을 의미하며, 이는 가장 대표적으로 수신기가 측정하는 위치 데이터 세트이다.
국제 특허 출원 WO 2009/090515은 시설이 최소화된(infrastructure-free) 도로요금징수의 맥락에서 위치 데이터의 인증의 문제를 알려준다. 자동화된 도로요금징수 시스템의 과금 시스템은 주행 거리, 날짜 및/또는 주행 시간, 위치(지리적 지역) 및/또는 자동차 특성(길이, 부피, 연료 소비, 이산화탄소 배출량 등)을 기초로 한다. WO 2009/090515은 ‘가짜 GPS 공격(fake GPS attack)’으로 불리는 것들을 방지하는 것을 목적으로 하는데, 즉 지불할 도로 통행료를 줄이기 위해 징수 기관에 허위 GPS 데이터를 제공하는 것으로, 징수 기관에 자동차 상태 감지 판독내용(속도, 조정 각도, 주행거리, 지역날씨 등)을 제공함으로써 이루어 진다. 이 때, 징수 기관은 GPS 데이터를 인증하거나 무효화 하기 위해서, GPS 데이터와 자동차 상태 데이터를 비교 점검한다.
또한, 국제 특허 출원 WO 2009/001294은 도로요금징수 시스템의 맥락에서 사기방지 및 탐지에 대한 것이다. 사용자 수신기는 네비게이션 신호를 수신, 다운 컨버팅(down-converting), 프로세싱하면서 위치 데이터를 검출한다. 이 때, 징수기관은 원본 데이터(다운컨버팅된 네비게이션 신호 샘플들)과 함께 디코드된 위치 데이터를 제공받으며, 원본 데이터 샘플이 전송된 위치 정보가 알려주는 특정 위치 및 시간의 예측치와 일치하는지를 점검할 수 있다.
미국 특허 5,754,657에서도 유사한 접근법이 사용되는데, 확인되거나 또는 확인되지 않은 수신기가 추정되는 위치 및 시간과 원본 라디오 네비게이션 신호 데이터로 이루어진 “추가된 데이터 신호(augmented data signal)”을 전송하는 인증 또는 타당화(validation) 방법을 보여준다. "추가된 데이터 신호(augmented data signal)”는 중앙 기지국으로 전송되는데, 이는 원본 데이터가 위성이 송출한 신호뿐 만 아니라 추정된 위치 및 시간과도 일치하는지를 반드시 점검하게 된다
InsideGNSS 2009년 9월/10월호에 개재된 “Signal Authentication - A Secure Civil GNSS for Today” (Sherman Lo 등 저)에서 또 다른 흥미로운 솔루션이 제안된 바 있다. 본 문서에 개재된 인증 방법은 GPS L1 주파수가 위상 직교(phase quadrature)로 C/A 코드 및 (암호화된) P(Y)-코드 신호 두 가지를 운반한다는 사실에 의존하고 있다. 사용자 수신기는 (원) P(Y)-코드 신호를 순간 포착하여 산출한 위치 및 시간 정보를 인증 기관에 전송한다. 첫 번째 위치(수신기의 위치, 인증될 위치)에서 발생한 P(Y)-코드 시퀀스가 두 번째 위치(인증기관이 소유한 참고용 수신기 위치)에서 발생한 P(Y)-코드 시퀀스와 동일한지 확인하는 방법으로, 만약 위성-수신기 간 신호의 시간차가 고려되는 경우이다. 두 위치에서 기록된 (원) P(Y)-코드 시퀀스의 상관관계(correlation) 최고치의 존재는 C/A코드의 신호 신뢰성을 확보한다 (두 수신기들이 동시에 같은 신호 조작(spoofing) 공격자의 수신 범위 안에 있지 않다는 가정 하에). 또한 본 문서에서 공개된 방법은 특허 출원 US 2009/0195443 및 US 2009/0195354의 목적이기도 하다.
기본적으로 위치 데이터의 무결성에 위협이 되는 세 가지 다른 유형들이 있다:
- 시그널 인 스페이스 (SIS)의 무결성에 대한 위협요인들 (예를 들어, 재밍(jamming), 스푸핑(spoofing), 항로방해전파(meaconing)). 이러한 위협들은 위치 데이터 산출의 “업스트림(upstream)”부문에서 발생하는 위협요인이다. 재밍(jamming)은 재머(jammer)의 주변에 위치한 네비게이션 신호를 대체하기 위해서 충분한 파워 및 특수한 특성을 지닌 라디오 주파수 신호 또는 노이즈를 방출하는 것이다. 재밍(jamming)은 재머(jammer)의 방출력에 좌우되는 지역 내에서 위치 수신기가 네비게이션 신호를 획득하고 추적하지 못하도록 하는 효과를 낸다. 재밍(jamming) 공격의 대상이 되는 수신기는 PVT 데이터를 생성할 수 없거나 또는 불확실성이 높은(에러 범위가 넓은) PVT 데이터만을 생성할 수 있다. 모든 암호화 되거나 암호화되지 않은 신호들은 재밍(jamming) 될 수 있다. 재머(jammer)는 저가에 시장에서 구매 가능하다(? 100 이하). 재밍(jamming)은 임시 장비와 알고리즘을 장착한 위치 수신기에 의해 감지될 수 있다. 재밍(jamming)은 대부분의 국가에서 불법이다. 스푸핑(spoofing)은 위치 데이터를 속이기 위해서, 지상에 위치한 시뮬레이터에 의해 위치 신호와 유사한 신호를 송출하는 방법이다. 스푸핑(spoofing)은 대부분의 국가에서 불법이다. 원칙적으로 스푸핑 공격자는 암호화된 신호(예. 현재 GPS P(Y)-code, 미래 GPS M-code, 또는 미래Galileo PRS- 및CS-codes)를 모방할 수 없는데, 네비게이션 코드의 암호화를 파괴하는 것이 거의 불가능하기 때문이다. 스푸핑기기(spoofer)는 아직 구매가 가능하지 않지만, 수신기 제조업체 및/또는 기술적으로 숙련된 제조자가 쉽게 만들어 낼 수 있다. 향후 수 년 내에 스푸핑기기(spoofer)가 구매적정 가격인 ? 100 - ? 1000에서 판매가 될 것으로 예상된다. 항로방해전파(meaconing)는 시간 지연 없이 원래의 네비게이션 신호를 수신하여 재송출하는 것이다. 원 신호는 고품질 안테나를 통해 읽혀지고, 지연과정을 거쳐, 송출기(emitter)를 통해 재송출되면서, 지연된 신호가 잘못된 위치 계산을 초래하는 것이다. 스푸핑(spoofing)과 달리, 특정 상황에서 항로방해전파는 암호화된 네비게이션 신호로 작동하는 위치 수신기도 속일 수 있다.
- PVT 계산 시 위협요인 (예를 들어, 하드웨어 또는 소프트웨어 버그, 웜(worm) 및/또는 바이러스로 인해 컴퓨팅 처리를 변환)
- PVT 계산 후(PVT 계산치 고의 변경) 또는 계산 추정 시(위치 데이터를 완전히 새롭게 생성)의 데이터 무결성에 대한 위협요인. 예를 들어, PVT는 사용자 수신기에서 제3의 서비스업체에 이르는 통신망 전송 과정에서 가짜 PVT로 도중에 교체 및 대체될 수 있다. 또한, 기타 전자 주변장비 (예를 들어, 서비스 업체의 시설 내의)에 저장될 때 변경이 될 수 있다.
라디오 네비게이션의 맥락에서 발생하는 인증에는 두 가지 주요한 개념들이 있다. 첫 번째로 이하 "독립형 SIS 인증"으로 지칭되는 개념으로, SIS는 signal-in-space의 약자로, 즉 수신기에게 도착하는 신호를 의미한다. 독립형 SIS 인증은 GNSS(위성측위시스템) 수신기의 사용자 또는 수신기 자체가 위치를 산출하는데 이용된 신호가 해당 GNSS 위성군(constellation)의(악의적인 지상 또는 공중의 장치에 의해 송출된 신호가 아닌) 신호인지 그리고 그 신호가 신뢰할 수 있는 알고리즘에 의해 산출되었는지를 증명하는 것을 가능하게 한다. 그래서, 독립형 SIS 인증은 라디오 네비게이션 신호 소스를 인증하는 것을 목표로 한다. 독립형 SIS 인증은 GNSS 수신기의 각 사용자와 관련된 다음의 두 가지 질문을 알려 준다:
o 수신기가 스푸핑 되었는가?
o 수신기의 소프트웨어가 신뢰할 만한가?
인증의 두 번째 개념은 이하 원격 PVT 인증이라고 지칭한다. 이것은 사용자에 의해 신고된 위치를 확인하고자 하는 제3자에게 제공된다. 원격 PVT 인증은 라디오 네비게이션 수신기에 의해 생성된 위치 정보가, 다른 센서가 통합되었든 아니든 상관없이, 조작되지 않았는지(잘못된 위치, 잘못된 속도 및/또는 잘못된 시간 같은 것을 제공하고자 변경되거나 위조되지 않았는지)를 제3자가 정당화할 수 있도록 한다. 원격 PVT 인증 개념은 기록된 위치 데이터 및 이러한 위치 데이터를 생성한 소스에 대한 신뢰도를 평가하는 것이다.
원격 PVT 인증은 위치 데이터의 수신과 관련된 다음 두 가지 질문을 알려준다:
o 위치 데이터는 믿을 수 있는가?
o 위치 데이터는 데이터를 직접 생성한 수신기로부터 온 것인가?
종합적인 위치 인증은 단일 응용프로그램에서 독립형SIS 인증과 원격 PVT 인증이 결합 또는 조합된 형태이다. 본 예시에서 정확히 목표로 하는 것이기도 하다.
독립형 SIS 인증과 원격PVT 인증을 구분하고자 하는 배경을 다시 한번 강조하고자 할만한 가치가 있다.
독립형 SIS 인증은 라디오 네비게이션 수신기가 읽은 신호가 GNSS 위성군(또는 의사 위성군(pseudolite constellation))이 송출한 것으로 악의적 의도를 갖는 기기가 송출하지 않았다는 것을 보장한다. 독립형 SIS 인증은 주로 최종 사용자에게 중요한 부분이다. 다시 말해, 독립형 SIS 인증은 GNSS 수신기 사용자가 필요로 하는 것이다. GNSS 수신기 사용자가 자신의 수신기가 나타낸 위치를 신뢰할 수 있는지에 대한 해답을 준다. 원격 PVT 인증은 위치 데이터가 산출된 바로 그 시점에 위치 데이터가 조작되지 않았는지를 보장한다. 원격 PVT 인증은 라디오 네비게이션 수신기 사용자와 계약 관계에 있거나 또는 사용자에 대한 통제(control) 권한을 갖고 있는 제3자에게 의미가 있다. 다시 말해, 원격 PVT인증은 제3자가 필요한 것이다. 사용자가 전송한 위치 데이터를 제3자가 신뢰할 수 있는지에 대한 해답을 준다.
또한, 독립형 SIS 인증 위치의 정확성에 대한 신뢰 수준 내의 사용자 정보가 있는 상황에서 사용되며, 특히 다경로(multi-paths)와 같은 현장의 영향이 SIS 측정을 교란하는 상황에서 사용된다.
독립형 SIS 인증 단독으로는 제3자가 필요로 하는 신뢰할 만한 위치 데이터를 제공하는 것은 의미가 없음을 주목해야 하며, 왜냐하면 제3자에게 제공되는 위치 데이터가 위조 될 수 있기 때문이다. 또한, 독립형 SIS 인증 없이 원격 SIS 인증 단독으로는 의미가 줄어드는데, 만약 위치 데이터를 계산하는데 사용된 시그널의 신뢰성을 확인할 수 없는 경우, 위치데이터는 조작된 라디오 네비게이션 신호를 계산할 수 있기 때문이다. 위치 데이터에 어떠한 수정이 없는 경우에 조차, 데이터는 완전히 신뢰될 수 없다.
나아가 신뢰할 수 있는 한 개의 기관을 믿는 것이 두 개의 기관을 활용하는 것보다 용이하다는 것을 주지할 필요가 있다. 다시 말해, 이론적으로 두 개의 기관을 활용하는 것을 고려할 수 있는데, 첫째는 독립형 SIS 인증을 제공하는 기관과 둘째는 원격 SIS 인증을 제공하는 기관인 경우이다. 그러나, 실제로 두 개의 별도의 기관 활용은 절차를 훨씬 어렵게 만드는데, 동일한 라디오 네비게이션 수신기에 의존하면서 조작 방어수준이 동일하기 때문이다. 또한, 두 개의 다른 기관이 각각 독립형 SIS 인증 및 원격 SIS 인증을 제공하는 경우, 수신기는 신뢰의 사슬 내에서 취약한 연결부분으로 남을 것이다. 이러한 경우 사용환경(interface)은 중간개입자의 공격에 노출되는 위험이 항상 있는데, 즉 수신기 내를 말한다. 예를 들면 속일 의도를 갖은 자들은 두 개의 응용프로그램 사이에 PVT 시뮬레이터를 배치할 수 있다. 이러한 공격은 이하에 설명되는 응용프로그램에서는 불가능한 것이다.
본 발명의 목적은 인증 가능한 위치 데이터 계산 방법을 제공하는 것에 있다. 즉, 향후 인증기관에서 신뢰성을 증명할 수 있는 위치 데이터를 말한다. 이러한 목적은 청구항 1에 설명되는 방법에 의해 실현된다.
본 발명에 따른 인증 가능한 위치 및 시간 정보를 제공하는 방법은, 라디오 네비게이션 신호 수신기를 이용하여 인증 가능한 위치 및 시간 정보를 제공하는 방법에 있어서, 다수의 라디오 네비게이션 신호 소스로부터 송출된 라디오 네비게이션 신호들을 수신하는 단계, 여기서 상기 라디오 네비게이션 신호들 중 적어도 일부는 암호화로 보호되는 하나 또는 하나 이상의 암호 토큰들을 포함하고, 상기 암호 토큰들은 수시로 갱신됨, 복호화에 의해 상기 암호 토큰들을 포함하는 상기 라디오 네비게이션 신호들로부터 상기 암호 토큰들을 검출하는 단계, 상기 수신된 라디오 네비게이션 신호를 기초로 위치 데이터를 확정하는 단계, 여기서 상기 위치 데이터는 상기 라디오 네비게이션 신호 수신기의 지리적 위치와 시간을 포함함, 적어도 상기 위치 데이터 및 상기 검출된 암호 토큰을 입력으로 갖는 암호화 함수를 이용하여 디지털 인증 코드를 생성하는 단계, 및 첫 번째 부분과 두 번째 부분을 포함하는 데이터 패키지를 생성하는 단계, 여기서 상기 첫 번째 부분은 상기 위치 데이터와 수신기 공개 식별자(public identifier)를 포함하고, 상기 두 번째 부분은 상기 디지털 인증 코드를 포함할 수 있다.
암호 토큰을 포함하는 상기 라디오 네비게이션 신호들 각각은 상기 라디오 네비게이션 신호를 송출하는 상기 라디오 네비게이션 신호 소스에 특정된 암호 토큰을 포함할 수 있다.
상기 제1 부분 또는 상기 제2 부분은 상기 암호 토큰이 검출된 라디오 네비게이션 신호를 송출했던 라디오 네비게이션 신호 소스를 식별하는 소스 식별 데이터 더 포함할 수 있다.
상기 복원된 암호 토큰의 기능을 하는 암호 키를 바탕으로, 상기 암호화 함수는 상기 위치 데이터의 해쉬값(hash value) 또는 암호문(ciphertext)을 상기 디지털 인증 코드로서 생성할 수 있다. 상기 암호화 함수는 적어도 상기 위치 데이터 및 상기 수신기 공개 식별자(public identifier)의 암호문(ciphertext) 또는 상기 해쉬값(hash value)을 생성할 수 있다. 상기 인증 가능한 시간 및 위치 정보 제공 방법은, 보호할 부가 데이터를, 예를 들어 사용자 식별 데이터, 시그날 인 스페이스(signal-in-space) 무결성 데이터, 수신기 소프트웨어 핑거프린트, 부가 위치 데이터, 사용자 및/또는 하나 또는 하나 이상의 디지털 문서를 식별하는 디지털 서명(signature)와 같은, 제공하는 단계를 포함하고, 여기서 상기 보호할 부가 데이터를 더 입력으로 갖는 상기 암호화 함수를 이용하여 상기 디지털 인증 코드가 생성될 수 있다. 상기 암호화 함수는 상기 암호 키를 기초로 적어도 상기 보호할 부가 데이터의 암호문(ciphertext) 또는 해쉬값(hash value)을 생성할 수 있다.
상기 암호 키가 상기 암호 토큰의 집합(concatenation)을 포함할 수 있다. 상기 수신기가 상기 인증 기관에 알려진 수신기 비밀 식별자(identifier)를 상기 수신기 내에 저장하고, 여기서 상기 암호 키가 상기 암호 토큰의 집합(concatenation) 및 상기 수신기 비밀 식별자(identifier)의 일부 또는 전체를 포함할 수 있다.
상기 인증 가능한 시간 및 위치 정보 제공 방법은, 예를 들어, 대칭 암호화 기법(symmetrical encryption scheme)에 따라 상기 제2 부분을 암호화하는 단계를 포함하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
암호 토큰을 포함하는 상기 라디오 네비게이션 신호의 그것들은 암호화된 라디오 네비게이션 신호이고, 및/또는 상기 암호화된 데이터 컨텐츠의 일부로 상기 암호 토큰을 포함할 수 있다.
상기 인증 가능한 위치 및 시간 정보를 제공하는 방법은, 상기 인증 기관으로부터 암호화에 의해 보호된 하나 또는 하나 이상의 상기 암호 토큰들에 응하기 위해 네비게이션 키를 요청하는 단계 및 보안 통신 채널을 통해서 상기 네비게이션 키를 수신하는 단계를 포함할 수 있다.
상기 인증 가능한 위치 및 시간 정보를 제공하는 방법은, 상기 라디오 네비게이션 신호 수신기는 단계 a) 내지 e)의 일부 또는 전체가 수행되는 동안 내에 보안 파라미터를 포함할 수 있다.
본 발명에 따른 라디오 네비게이션 신호 수신는 제 1항 내지 제 13항 중 어느 한 항에 청구된 것과 동일한 방법을 수행할 수 있다.
본 발명에 따른 데이터 패키지의 신뢰성을 확인하는 방법은, 데이터 패키지의 신뢰성(authenticity)을 확인하는 방법에 있어서, 제 1항 내지 제 13항 중 어느 한 항에서 청구된 것과 동일한 방법에 따라 추정적으로 생성된 데이터 패키지를 수신하는 단계, 여기서 상기 데이터 패키지는 위치 데이터를 포함하는 제1 부분 및 디지털 인증 코드를 포함하는 제2 부분을 포함하고, 상기 위치 데이터는 추정된 지리적 위치 및 시간을 포함함, 라디오 네비게이션 신호 수신기가 상기 시간에 상기 지리적 위치에 실제로 있었다면, 상기 라디오 네비게이션 신호 수신기가 수신하였을 하나 또는 하나 또는 하나 이상의 암호 토큰들을 검출하는 단계, 상기 위치 데이터와 상기 디지털 인증 코드가 상호 일치하는지 여부를 확인하는 단계, 상기 위치 데이터와 상기 디지털 인증 코드가 상호 일치되면, 상기 데이터 패키지를 인증하는 단계, 또는 상기 위치 데이터와 상기 디지털 인증 코드가 상호 일치되지 않는다면, 상기 데이터 패키지를 부적합한 것으로 거부하는 단계를 포함할 수 있다.
본 발명은 데이터 패키지를 보유한 누구라도 제시된 시간에 제시된 장소에서 생성되었는지 수신기의 결과에 대해 확인을 받는 것을 가능하게 한다. 데이터 패키지가 심화된 데이터(예, 문서)를 포함한다면, 데이터 패키지를 인증 기관에 제출한 자는 제시된 시간에 제시된 장소에서 심화된 데이터가 수신기에 패키지 되었는지 확인을 전달받을 수 있다.
이제 실시예는 다음과 같이 첨부된 도면으로 설명된다:
도 1 은 본 발명에서 구성된 GNSS(위성측위시스템)의 설계도이다.
도 2 는 수신기 소프트웨어의 개략적인 블록도이다.
도 3 은 인증 가능한 데이터 패키지의 도면이다.
도 4 는 GNSS 수신기가 검출한 암호 토큰을 기초로 암호화 키의 산출에 대한 도면이다.
본 발명은 모든 종류의 GNSS(Global Navigation Satellite System, 위성측위시스템) 또는 의사위성(pseudolite) 집합을 활용하는 라디오 네비게이션 시스템 상에 구현될 수 있다. 본 발명에서는 라디오 네비게이션 신호 소스들이(위성 또는 의사위성) 암호 토큰을 데이터 컨텐츠 내에 포함하는 라디오 네비게이션 신호를 송출한다는 측면이 중요하다. 암호 토큰은 인증 담당기관이 수시로 업데이트하는 의사 난수(pseudo-random) 숫자 또는 키(예를 들어, 이진 시퀀스(binary sequence) 형태)로 간주될 수 있다. 이 숫자 또는 키는 예측 불가능한 것으로, 과거의 암호 토큰(예를 들어, 기존에 송출된 암호 토큰 일부 또는 전체)에서 미래의 암호 토큰을 도출해 내는 것은 확률적으로 불가능하기 때문이다. 그래서, 암호 토큰은 암호화된 임시암호(nonces, “1회 사용되는 숫자”)로 간주되는데, 특정 암호 토큰 값이 (예측 불가능한 시점에) 반복될 수 있음에도 불구하고 그러하다.
암호 토큰은 디지털 인장(stamp) 및/또는 위치 솔루션 결과물을 암호화(예를 들어, 수신된 라디오 네비게이션 신호를 기초로 산출한 지리적 위치 및 시간)하는 역할의 암호변수로 활용된다. 다음 단계로 수신기는 다음과 같은 2단계로 구성되는 데이터 패키지를 생성한다: 제1 부분은 위치 데이터(위치 솔루션) 및 수신기 공개 식별자로 구성되며, 제2 부분은 다이제스트(해쉬값) 또는 위치 솔루션 캡슐화(암호화)로 구성된다. 데이터 패키지는 수신기에 저장되고/저장되거나 제3의 서비스업체와 같은 다른 대상에게 전송된다.
본문에서 “위치 데이터”라는 용어는 시간 및 지리적 위치(2차원 상에서는 일례로 경도와 위도, 3차원 상에서는 일례로 경도, 위도, 고도)로 간주되며, 다음의 데이터 유형 중 하나 또는 하나 이상의 조합으로 구성될 수 있다:
o 속도(vector);
o 가속도 (vector);
o 가속도의 변화율(jerk)(vector);
o 방향 (vector),
o 정확성과 무결성을 갖춘 데이터로서, 산출된 시간 및 지리적 위치의 신뢰구간의 차원으로 어떤 위치-시간 데이터에서 실질적인 시간과 지리적 위치를 얼만큼의 확률로 포함하는지를 보여줌 (신뢰 수준(confidence level).
데이터 패키지에 기록된 시간 및 지리적 위치가 요약(digest) 및/또는 암호문(ciphertext)과 맞는지 점검하기 위해 데이터 패키지가 인증 기관에 제공된다. 이를 위해, 인증기관은 송출된 암호 토큰의 기록을 보관하고, 해당 위치 및 시간에 상응하는 암호 토큰을 검출하기 위한 알고리즘을 사용한다. 일관성 검사 결과에 따라, 인증 기관은 데이터 패키지가 신뢰성이 있는지를 말해주거나 또는 일관성 검사를 통과하지 못했는지를 보여주는 증명서(certificate)을 생성한다. 일관성 검사를 통과하지 못한 경우, 데이터 패키지가 조작 되었거나 또는 비정상적인 상태(예를 들어, 재밍(jamming), 스푸핑(spoofing), 항로방해전파(meaconing) 공격을 받음)에서 생성되었다는 것으로 강력하게 추정된다.
만일 암호 토큰들이 라디오 네비게이션 신호 데이터 메시지에서 쉽게 추출될 수 있다면, 악의 적인 제3자가 송출된 암호 토큰을 보관하고, 이 보관된 토큰을 이용해 특정 위치 및 시간, 적합한 요약(digest) 및/또는 암호문이 있을 경우 위조를 하고, 데이터 패키지를 올바른 포맷으로 생성하는 것이 이론적으로 가능할 수 있다. 보안 조치가 더 강화되지 않는 경우, 위조된 데이터 패키지는 인증 기관에서 신뢰성이 있는 것으로 간주될 수 있다.
이러한 공격을 극도로 어렵게 만드는 몇 가지 방법이 있다. 암호 토큰에 대한 접근을 차단하기 위해, 라디오 네비게이션 신호들이 송출될 때 암호토큰을 암호화 하여 보호한다. 이를 위해, 암호 토큰은 보안된 라디오 네비게이션 신호 상에서 전송될 수 있다. 라디오 네비게이션 신호는 다음과 같은 조건 중 하나가 충족될 경우에 보안이 된 것으로 간주된다:
(a) 라디오 네비게이션 신호 자체가 최신 암호화 알고리즘에 의해 암호화 된 경우(신호의 레인징 코드(ranging code)가 암호화됨), 또는
(b) 라디오 네비게이션 신호가 암호화 되지 않았지만(개방형 신호(open signal)) 그 신호 상의 데이터 메시지(암호 토큰 포함)가 최신 암호화 알고리즘에 의해 암호화 된 경우; 또는
(c) 라디오 네비게이션 신호 및 신호 상의 데이터 메시지, 두 가지가 같은 최신 암호화 알고리즘 또는 두 개의 다른 키들의 조합들을 포함하는 두 개의 다른 암호화 알고리즘에 의해 암호화 된 경우.
일부 또는 모든 라디오 네비게이션 신호 소스에서 암호 토큰은 동일할 수 있는데, 즉 신호 소스가 시간 순서에 따른 동일한 암호 토큰을 송출하는 경우가 있다. 또 다른 방법으로는, 각 라디오 네비게이션 신호 소스가 하나의 암호 토큰으로 구분될 수 있다. 이 방법으로, 각 라디오 네비게이션 신호 소스는 각기 암호 토큰의 시간 순서 시퀀스 (chronological sequence)를 송출하며, 이 토큰의 sequence는 다양한 신호 소스 중 상호 구별된다. 이 방법으로, 라디오 네비게이션 신호 수신기는 각 위치 지점(fix) 별로 다수의 암호 토큰을 수신한다. 그래서, 디지털 인장(stamp) 및/또는 위치 솔루션 결과를 암호화하는데 이용되는 암호변수는 다수의 암호 토큰 역할을 한다. 이 경우, 암호 변수는 (암호 토큰이 주기적으로 갱신이 되면서의) 위치 지점(fix) 시점과 (현재 위치에 따라 시야가 확보되는 수신기의 라디오 네비게이션 신호 소스로서) 지리적 위치에 따라 달라진다. 각 라디오 네비게이션 소스가 개별적인 토큰 시퀀스(sequence)를 송출하는 경우에도, 때로는 다양한 소스에서 수신된 일부 토큰의 값이 일치하는 경우가 있다는 것을 인식할 필요가 있다.
심화된 보안 측면에서, 암호 토큰 접근성은 특정 수신기 하드웨어(암호 모듈(crypto-module) 등) 및/또는 소프트웨어에 따라 달라지는데, 조작 방어적인(tamper-proof) 수신기 하드웨어 및/또는 소프트웨어가 그 대표적인 예이다. 이런 방법으로 수신기는 안정성이 요구되는 모든 과정을 수행하고, 제 3자가 암호토큰을 읽을 수 없도록 보안 경계선(perimeter)을 만든다. 수신기 소프트웨어의 핑거프린트가 데이터 패키지에 포함되어 수신기 소프트웨어가 수정되지 않았다는 것을 인증 기관이 검사할 수 있다. 인증 기관은 소프트웨어의 변경에 대한 경고를 하는 증명서를 발행하게 될 것이다.
가능하면, 수신기를 (암호화된) 라디오 네비게이션 신호 및/또는 암호 토큰(네비게이션 메시지와 함께면 더 좋음)에 접근 가능하게 하는 키는 각 소프트웨어 및/또는 하드웨어의 확인을 통과한 수신기에만 보안된 통신 프로토콜을 통해 배포된다. 암호 토큰에 접근하는 키와 라디오 네비게이션 신호에 접근하는 키는 수신기의 보안 경계선이 장시간 동안 암호 토큰의 접근이 없이 조작되었는지를 확인하기 위해 수시로 변경되는 것이 바람직하다. 그리하여, 손상된(cracked) 수신기를 사용하는 공격자가 과거 암호 토큰들을 포괄적으로 확보하는 것을 훨씬 어렵게 만든다. 실제로는 수신기에 저장된 라디오 네비게이션 신호 및/또는 암호 토큰의 키가 만료 임박하여 갱신되는 경우, 수신기는 다음 키를 검출하도록 인증기관으로 보안된 통신 채널을 자동적으로 형성하거나 또는 사용자가 형성하도록 한다.
기존의 전자 서명(digital signature)은 메시지 또는 디지털 문서의 소스나 작성자가 진짜임을 인증하는 데 반해, 본 발명에 따라 서명장치(signing device)를 구성할 경우 수신기의 사용자 자체를 증명하지 않지만, 언제 및 어디서 전자 서명이 생성 되었는지에 대한 보안된 정보로 전자서명의 범주를 확장 할 수 있다.
본 발명은 다양한 라디오 네비게이션 시스템 부문(segment)과 연관되며, 다음과 같은 것이 있다:
o 위성 및/또는 의사위성(pseudolites)을 동기화하고 라디오 네비게이션 신호 상에 송출될 데이터 메시지를 준비하는 역할이 다른 무엇보다 중요한 라디오 네비게이션 시스템의 지상 부문;
o 라디오 네비게이션 신호 소스 부문(위성들 및/또는 의사위성(pseudolites); 글로벌 네비게이션 위성 시스템은, “우주 부문(space segment)”으로 지칭되며 3 또는6개의 다른 지구 중간 궤도(medium earth orbit)에 있는 일반적으로 대략 24개에서 30개의 운영 위성(operational satellites)으로 구성된다;
o 라디오 네비게이션 수신기로 구성되는 사용자 부문(segment);
o 인증 기관, 또는 인증 기관;
o 사용자로부터 지역 지리(geo-localized) 서비스(“데이터 패키지 네트워크”)까지 데이터 패키지 전송을 위한 통신 부문 (존재할 경우); 및
o 라디오 네비게이션 신호 및/또는 수신기에 대한 암호토큰에 접근하기 위한 키들의 분배를 위한 보안 통신 부문.
출원인은 발명의 각기 다른 측면에 대해 청구하는 권한의 여지를 남겨두는데, 필요한 경우 하나 또는 하나 이상의 분할(divisional) 또는 계속(continuation) 출원이 가능하다.
먼저 사용자 부분을 살펴보면, 본 발명의 한 측면은 라디오 네비게이션 신호 수신기를 이용하여 인증 가능한 시간 및 위치 데이터를 제공하는 방법에 대한 것이다. 이 방법은 다수의 라디오 네비게이션 신호 소스 (예를 들면, 위성 또는 의사위성)로부터 라디오 네비게이션 신호를 수신하는 것인데, 적어도 이 신호는 데이터 메시지 안에 하나 또는 하나 이상의 암호화로 보호된 암호 토큰을 포함하면서 가능하면 인증 기관의 통제 하에서 수시로 갱신되는 것이다. 수신기는 복호화에 의해 라디오 네비게이션 신호에서 암호 토큰을 검출한다. 만약 토큰을 전달하는 라디오 네비게이션 신호가 암호화되어 있으면, 수신기는 신호의 데이터 메시지에 그에 해당하는 키를 사용하여 접근성을 획득한다. 이와 마찬가지로, 암호 토큰 자체가 암호화되어 있으면(개방형 또는 암호화된 신호 상), 수신기는 적합한 키를 활용하여 복호화한다. 이 후, 수신기는 수신된 라디오 네비게이션 신호를 기초로 하여 지리적 위치 및 시간(날짜 및 시각)을 포함한 위치 데이터를 선정한다(즉, 위치 지정을 수행하고 시간을 결정한다). 수신기는 디지털 인증 코드를 생성하는데, 암호화 메시지 다이제스트(digest) 또는 암호문(ciphertext) 또는 그 둘의 조합이며, 적어도 위치 데이터 및 검출된 암호 토큰을 입력치로 하는 암호화 함수를 통해서 이루어 진다. 이 후, 수신기는 데이터 패키지를 발생 시키는데, 앞에서 언급한 위치 데이터가 있는 첫 번째 부분, 수신기 공개 식별자(즉, 수신기에 쓰여진 표시) 및 앞에서 언급한 디지털 인증 코드를 포함하는 두 번째 부분을 포함한다. 암호 토큰들은 스스로 디지털 인증 코드를 생산하는데 이용되지만, 데이터 패키지 안에 포함되지 않는다.
사용자 부문에서는 여전히, 본 발명에는 그 방법을 실행하도록 제작된 라디오 네비게이션 신호 수신기와 관련된 부분이 있다. 이를 위해, 수신기에는 적합한 소프트웨어 및 하드웨어가 장착된다. 그리하여, 본 발명의 한 측면에서는, 라디오 네비게이션 신호 수신기가 본 방법에 따라 작동하도록 하는 명령어(instruction)로 구성된 컴퓨터 프로그램과 관련된 부분이 있다. 암호화 함수는 디지털 인증 코드의 하나로 위치 데이터 및 수신기 공개 식별자(identifier)의 해쉬값(hash value) 형태로 디지털 다이제스트(digest)를 생성할 수 있는데, 이 때 적어도 암호 토큰을 검출하는 기능의 함수(function)(예. 집합(concatenation))로서의 암호 키인 암호 변수(cryptovariable)를 활용한다. 선택적 또는 추가적으로, 암호화 함수는 암호 변수로서 암호 키를 사용하는 수신기 공개 식별자(public identifier) 및 위치 데이터를 암호화 할 것이다.
위치 데이터 및 수신기 공개 식별자(public identifier)와 더불어 암호화 함수는 보호할 추가 데이터를 입력치로 받아 들일 수 있는데. 예를 들어, 하나 또는 하나 이상의 디지털 문서로서 디지털 사진들, 사용자 신분증명 데이터, 시그널 인 스페이스 (SIS) 무결성 데이터, 수신기 소프트웨어 핑거프린트, 보완적 위치 데이터, 디지털 서명 등이 있다. 이러한 경우 디지털 인증 코드는 특정 시간 및 위치에 수신기에 의해 이러한 추가적 데이터가 저장되거나 처리 되었음을 증명 가능 하도록 한다.
따라서, 본 발명은 수신기가 생성한 위치 데이터 및 수신기의 식별자를 보호하기 위해 사용 될 뿐만 아니라 이하의 내용을 보호한다:
o 추가적으로 사용자를 증명하거나 사용자와 관련된 기타 정보들; 및 /또는
o 수신기에 의해 처리된 모든 디지털 문서, 예를 들어, 사진, 필름; 스캔 문서, 측정 데이터 파일.
바람직하게, 추가적 보호할 데이터는 다음을 포함 할 수 있다:
o 수신기 사용자 신분을 증명하는 데이터 및/또는 사용자가 보유한 접속 행정 권한에 대한 모든 디지털 형식(운전면허증, 비행자격증, 자동차등록증, 자동차보험증, 멀티미디어 문서 디지털 권한); 수신기 소프트웨어의 프로그램 코드에 대한 핑거프린트; 및/또는
o 공격 경고 데이터; 및/또는
o 측정기, 복사기, 사진기, 비디오 카메라 등, 라디오 네비게이션 신호 수신기가 내장된 장치에 의하여 생성된 모든 디지털 데이터 또는 문서.
편의를 위해, 보호가 필요한 위치 데이터 및 선택적인(optional) 부가 데이터는 이하 간단하게 “보호할 데이터(data to protect)”로 지칭한다.
입력(input)에서 수신된 데이터를 보호하기 위해 암호화 함수를 설계하는 다양한 방식이 있다. 예를 들어, 암호화 함수는 암호화 키를 암호변수로 사용하여, 보호할 데이터의 일부 또는 전체에 대한 해쉬값(hash value)(digest)을 생성할 수 있다. 암호화 함수는 암호화 키를 사용하여 보호할 데이터의 일부 또는 전체를 암호화 할 수 있다. 즉, 암호화 함수는 보호할 데이터의 해쉬값(hash value) 및/또는 암호문(ciphertext)을 출력하도록 설계될 수 있다. 보호할 데이터 중 일부가 해쉬(hash)만 된 경우(암호화는 되지 않음), 이 데이터는 암호화(해쉬(hashing)) 함수에 입력(input)된 것과 같은 형태의 평문(plaintext)로 데이터 패키지 제1 부분에 포함되어야 하는데, 이는 인증기관이 평문(plaintext)의 데이터가 해쉬값(hash value)와 일치하는지 점검을 가능하도록 한다. 반면, 데이터가 암호화된 경우 인증기관은 복호화(decryption)를 통해 디지털 인증 코드로부터 원본 데이터를 검출하며, 암호화 함수에 입력(input)된 것과 같은 형태(일반적으로 평문(plaintext) 형태)로 데이터 패키지에 반드시 포함될 필요가 없다.
디지털 인증 코드가 위치 데이터 및 수신기 공개 식별자(identifier) 이외의 다른 데이터를 포함할 수 있다는 것을 상기할 필요가 있다. 이 때, 인증 기관은 이 추가 데이터들이 특정 시간 및 위치에서 수신기로 처리되었음을 확인하게 한다. 또 다른 주목할 만한 것은, 일례로 개인정보보호를 목적으로 하는 경우 사용자가 직접 데이터 패키지를 (일부 또는 전체) 암호화할 수 있다는 것이다. 데이터 패키지는 인증 기관에 전달되기 전에 해독되어야 하며, 그렇지 않을 경우, 인증기관은 데이터 패키지 복호화를 위한 키를 제공받아야 하고, 이로서 평문(plaintext) 내용과 디지털 인증 코드를 검출할 수 있다.
데이터 보호를 위해 해쉬(hashing) 및/또는 암호화에 사용된 암호화 키는 상이한 라디오 네비게이션 신호 소스를 통한 집합(concatenation) 암호 토큰의 송출로 구성된다. 그렇지만, 암호화 키는 또한 보다 복잡한 암호 토큰 함수(function)를 통해 전달될 수 있다(예를 들어, 토큰의 치환(permutation) 또는 혼합(mixing) 등). 토큰에서 암호 키를 생성하는데 사용된 함수는 전달받은 데이터 패키지에 대한 인증 요청이 있을 경우, 수신기의 암호화 함수에서 사용된 암호 키를 재생성하고자, 추정되는 지리적 위치 및 시간(기록 보관에서 생성 또는 비밀 알고리즘을 통해 생성)에 상응하는 암호 토큰을 추출한다.
라디오 네비게이션 수신기는 비밀키(secret key)(이하 수신기 비밀 식별자(identifier)로 지칭)를 저장할 수 있으며, 이는 인증기관에만 공개된다(비밀키는 수신기(사용자 아님)와 인증 기관 사이의 “공유된 비밀(shared secret)”이다). 수신기 비밀 식별자는 인증 기관과의 라이센스 협약에 따라 제조업체가 수신기 내에 저장할 수 있다. 이 경우, 암호화 키 생성에 사용된 함수는 수신기 비밀 식별자를 암호 토큰과 함께 입력치(input)로 사용할 수 있다. 암호화 키는 예를 들어 암호 토큰의 집합(concatenation) 및 비밀 키의 일부 또는 전체 형태를 보일 수 있다. 이 경우는, 수신기가 읽을 수 있는 소스의 개수가 시간과 위치에 따라 상이한 상황에서, 암호 토큰이 다수인 경우에 암호화 키의 길이를 일정하게 유지하는데 특히 유리하다. 예를 들어 GNSS의 경우 수신기의 시야에 확보되는(visible) 라디오 네비게이션 위성 개수는 당연히 일정하지가 않다. 이런 맥락에서, 예를 들어 암호 토큰만으로 구성된 집합(concatenation) 형태로 암호 키가 전달될 경우, 키의 길이는 다양해지며, 암호 키의 강도 및 인증 코드의 견고성도 다양한 수준이 될 수 있다. 그래서, 암호 키는 견고한 수준의 암호화를 이루는 길이(비트(bit) 개수)로 고정되는 것이 바람직하다. 그리하여, 수신기는 수신기 비밀 식별자의 일부를 활용하여 비어있는 비트(bit)를 채우며, 암호 키의 사전에 정의된 길이를 완성하는 것 등이 가능하다.
암호 토큰이 여러 개인 경우, 데이터 패키지는 수신기가 암호 키(“신호 소스 식별자 데이터”) 계산에 사용하는 암호 토큰을 송출하는 신호 소스를 보여주는 데이터를 제1또는 제2 부분에 포함하도록 한다. 인증기관이 라디오 네비게이션 수신기가 실제로 암호 토큰을 검출했는지 인증기관이 결정하는 데 있어서 획득된 시간 및 장소 정보 만으로는 불충분한 상황을 해결할 수 있어 특히 선호된다. 시간 및 장소 정보는 어떤 신호 소스가 이론적으로 수신기에 전달되는지를 확실히 보여줄 수 있다. 이러한 소스 일부로부터 라디오 네비게이션 신호 수신은 (예를 들어, 숨기기(masking)으로 인해) 차단되어 왔다. 수신기가 실제로 어떤 암호 토큰을 사용했는지 부가 정보가 없는 경우, 인증 기관은 암호 키를 생성하는 데 사용된 암호 토큰을 찾기 위해 이론적으로 가능한 토큰의 조합을 확인하게 된다. 반면, 암호 토큰의 소스가 데이터 패키지에 나타난 경우, 인증 기관은 신호 소스를 보여주는 데이터와 위치 데이터(시간 및 장소)를 바탕으로 암호 토큰을 신속히 인식할 수 있다. 암호 토큰이 인식이 되면, 인증 기관은 보호할 데이터와 디지털 인증 코드가 맞는지 점검할 수 있고, 보호할 데이터 인지 또는 부적합한 데이터인지를 인증하는 증명서(certificate)을 발행하게 된다.
상기에 기술된 바와 같이, 라디오 네비게이션 신호 수신기는 보안에 핵심적인 단계들이 진행되는 보안 경계선(perimeter)로 구성될 수 있다. 예를 들면, 이 단계들은 라디오 네비게이션 신호에서 암호 토큰을 복구 단계, 위치 데이터 결정 단계, 디지털 인증 코드 생성 단계를 포함 한다. 수신기 소프트웨어 핑거프린트는 디지털 인증 코드에 포함될 수 있다. 이 경우, 소프트웨어 핑거프린트를 처리하는 단계도 보안 경계선 내에서 수행된다. 유능한 기술자는 공격을 막기 위해서 어떤 단계가 수행되는 것이 유리한지 알 수 있을 것이다.
발명의 응용에 의하면, 위치 데이터는 의사거리(pseudorange) 측정만이 아니라 위상 측정(phase measurement)에 의해서도 계산된다.
수신기는 의사거리 측정 및 위상 측정(phase measurement)으로 개방형 및 암호화된 신호 모두에 의한 위치 데이터를 계산할 수 있다. 수신기는 개방형 신호에서 획득한 위치 데이터와 암호화된 신호에서 획득한 위치 데이터 사이의 불일치를 감지하도록 설계될 것이다. 만약 계산된 지리적 위치가 허용 가능한 기준치를 벗어날 경우, 수신기는 개방형 신호의 수치를 제거하거나 그리고/또는 불일치 수준이 다경로(multi-path)와 같은 정상적인 방해수준을 넘어설 경우에 개방형 신호에 대한 스푸핑(spoofing) 공격으로 가정하고 경고를 알릴 수 있다.
바람직하게, 수신기는 상이한 주파수 상에서 라디오 네비게이션 신호 송신을 활용하는 다중 주파수(multi-frequency) 측정을 기초로 위치 데이터를 계산할 수 있다. 어떤 경우에, 수신기는 항로방해전파(meaconing) 공격을 감지할 수 있는데, 이는 시간 지연(time delay)이 있도록 또는 없도록 지상 방출기(emitter)를 통해 재송신(re-broadcast)하는 신호를 말한다. 항로방해전파 공격에서, 라디오 네비게이션 신호의 데이터 메시지는 변화 없이 유지된다. 모든 신호(개방형 또는 암호화)는 항로방해전파의 위험성에 노출되어 있다. 항로방해전파는 라디오 네비게이션 주파수 중 단 하나라도 항로방해전파되지 않은 경우에 공격을 감지할 수 있다. 그래서, 수신기는 다른 주파수들 각각에 대해서, 또는 주파수의 다양한 조합에 대해서 위치데이터를 계산할 수 있고, (실질적으로) 동시에 계산된 다른 위치 데이터의 불일치(incoherence)를 점검할 수 있도록 설계된다.
이런 맥락에서, 암호화된 라디오 네비게이션 신호 사용이 재밍(jamming) 공격 위험을 해소할 수 없다는 것을 주지할 필요가 있다. 하지만, 재밍(jamming)은 최신 라디오 네비게이션 수신기 기술로 비교적 쉽게 감지될 수 있다.
수신기가 발생시킨 데이터 관련 경고(alert)는 수신기가 보호할 데이터의 일부로 디지털 인증 코드에 포함되는 것이 편리하다. 이어서 데이터는 인증 기관에 의해 수집되고 데이터베이스 구축에 활용될 수 있다. 데이터베이스는 감지된 위험을 위치 추적하도록 인증 기관 또는 다른 서비스업체에 의해 감시(monitor)될 수 있다. 이에 따라, 인증 기관은 공격자를 지역화(localize)하고 가능하면 무력화하기 위해 재밍(jamming), 스푸핑(spoofing), 항로방해전파(meaconing) 또는 기타 공격을 국가 기관에 보고할 수 있다.
구체적으로 지상 부문(ground segment)를 살펴보면, 이미 상기의 여러 경우에서처럼 인증 기관이 발명의 한 부분으로서 관련이 있다. 인증 기관은 제공받은 데이터 패키지에 포함된 보호할 데이터의 신뢰성(authenticity)을 점검하는 방법을 수행한다. 그 방법은 상기에 설명된 방법에 따라 생성되었거나 또는 생성된 것처럼 보이는 데이터 패키지 수신에 의해 이루어 진다. 인증 기관에 제공된 데이터 패키지는 위치 데이터 및 디지털 인증 코드를 포함하도록 되어 있는데, 전자는 지리적 위치 및 시간으로 추정되는 내용을 보여주며, 후자는 적어도 상기의 내용인 것과 같은 형태를 갖추고 있다(인증 기관에 제공된 데이터 패키지가 확실히 잘못된 포맷일 경우, 수행을 진행할 필요가 없어진다. 따라서 인증 진행은 중지되고, 데이터 패키지 제공자에게 오류 메시지가 발송될 수 있다.). 인증 기관은 하나 또는 하나 이상의 암호 토큰을 검출하는데, 암호 토큰은 라디오 네비게이션 신호 수신기가 추정된 시각에 추정된 지리적 위치에 있었을 경우 받을 수 있었던 바로 그것이다. 인증 기관은 위치 데이터와 디지털 인증 코드가 상호 일치하는지 여부를 확인한다. 마지막으로 인증기관은 만약 위치 데이터와 디지털 인증 코드가 상호 일치하면 데이터 패키지(위치 데이터에 포함된 시간 및 위치 정보를 포함)를 인증하고, 만약 상호 불일치 하면 데이터 패키지를 부적합한 것으로 판단하여 거절한다. 증명서는 필요성이 있을 경우, fix에 사용된 인증 신호의 번호의 사례를 기초로 한 위치 데이터를 통하여 신뢰도 수준 표시를 포함 할 수 있다.
인증 기관이 수행한 절차는 표준에 의한 방법에 의해 미리 결정된 데이터 패키지의 포맷에 맞춰 수정되는 것을 주지할 필요가 있다.
제3의 서비스업체(예를 들면, “운행정보기반” 보험업체, 도로요금징수기관 등)는 자사의 가입자에게서 데이터 패키지를 받을 수 있다. 이들 업체는 인증 기관에 데이터 패키지를 제출하여 인증을 받을 수 있다. 이 때, 인증 기관은 데이터 패키지를 제출한 요청업체에 데이터 패키지, 특히 이에 포함된 날짜 및 시간 정보가 맞는지를 보여주는 증명서를 회신한다. 제3의 서비스업체는 자사의 가입자로부터 받은 모든 데이터 패키지를 인증 받기 위해 인증 기관에 제출할 수 있다. 또 다른 방법으로, 이들 업체는 수신한 모든 데이터 패키지 중에서 무작위로 선택한 샘플을 제출할 수 있다. 제3의 서비스 업체는 데이터 패키지의 변칙적 사항을 점검할 수 있으며, 명백한 변칙적 데이터 패키지는 인증 기관에 제출할 수 있다.
인증기관은 라디오 네비게이션 소스를 통해 분배되는 암호 토큰 값을 결정하게 된다. 인증 기관의 값 생성 후에, 토큰을 보안 통신망을 이용해서 라디오 네비게이션 신호 소스(예. 위성)로 업로드하는 업링크 스테이션으로 암호 토큰이 전송된다. 또 다른 방법으로, 암호 토큰은 인증 기관 외부(예. 라디오 네비게이션 시스템의 하나 또는 하나 이상의 커맨드 센터(command center))에서 생성되어 보안 통신망을 이용해 인증 기관에 보관 저장될 수 있도록 전송되고, 라디오 네비게이션 신호 소스로 업로드 하는 업링크 스테이션에 전송한다.
모든 과거의 암호 토큰을 저장하는 것 보다, 인증 기관은 특정 시간에 상응하는 암호 토큰을 출력하는 생성 함수(generating function)에 의존할 수 있다. 이 방법으로, 인증 기관은 생성 함수 또는 그 파라미터(parameter)를 수시로 변화시킬 준비를 할 수 있다. 이 때, 인증 기관은 생성 함수 또는 파라미터(parameter)의 생성 함수와 그 해당 시간 기간(time period)를 보관(archive) 기록하여야 한다.
여기서 하나 또는 하나 이상의 인증 기관이 있을 수 있다는 사실을 주지해야 한다. 다수의 인증 기관이 있는 경우, 공동의 암호 토큰의 보관소 또는 공동의 특정 시간에 대한 암호 토큰 계산 컴퓨팅 센터(computation center)가 있어야 하는데, 이 때 모든 인증 시설이 안전하게 보안 접속할 수 있어야 한다. 다른 방법으로는, 각 인증 기관이 자체적으로 보관소 또는 컴퓨팅 센터를 구비하는 것이다. 둘 중 어느 방법이든지, 암호 토큰 및/또는 그 생성 함수는 보안이 유지되어야 한다. 단일한 인증 기관의 경우 더 수월하게 이루어지는 부분이다.
신호 소스 부문에서는, 라디오 네비게이션 신호 소스가 발명의 한 부분인데, 이는 수시로 업데이트 되는 하나 또는 하나 이상의 (암호화로 보호되는) 암호 토큰을 포함하는 라디오 네비게이션 신호를 송신한다.
본 발명은 또한 라디오 네비게이션 신호 자체 및 그 신호의 활용(예. 인증 가능한 시간 및 위치 정보 제공)과도 관련이 된다. 라디오 네비게이션 신호는 데이터 컨텐츠(content)에 내장되어 암호화로 보호되는 하나 또는 하나 이상의 암호 토큰을 갖는 특성이 있다.
본 발명의 다양한 측면들이 높은 보안 수준에서 라디오 네비게이션 시스템을 사용자(제3의 서비스업체뿐 만 아닌 최종사용자를 포함)에게 제공할 수 있는 통합적인 접근법을 개발한 것으로 당업자들은 평가할 수 있다.
다수의 주파수 및/또는 개방형 라디오 네비게이션 신호 조합 형태가 될 수 있는 암호화된 라디오 네비게이션 신호는 조작 방어적 수신기 및 수신기 소프트웨어에서 위치 데이터에 높은 신뢰성을 부여한다. 라디오 네비게이션 신호에 대한 공격의 사례(예. 재밍(jamming), 스푸핑(spoofing) or 항로방해전파(meaconing))에서, 상기에 설명에 부합하여 작동하는 수신기는 공격을 감지하고 사용자에게 알리는 최상의 기회를 제공한다. 또한, 사용자는 자신의 수신기가 올바르게 작동하는지 여부를 인증 기관에 데이터 패키지를 전송하면서 쉽게 확인할 수 있다. 암호화된 라디오 네비게이션 신호 및/또는 암호 토큰에 접근하는 키를 다운로드 할 때와 같은 사례에서, 수신기는 주기적으로 데이터 패키지를 인증기관에 전송하도록 만들어 진다.
본 발명은 데이터 패키지를 보유한 누구라도 제시된 시간에 제시된 장소에서 생성되었는지 수신기의 결과에 대해 확인을 받는 것을 가능하게 한다. 데이터 패키지가 심화된 데이터(예, 문서)를 포함한다면, 데이터 패키지를 인증 기관에 제출한 자는 제시된 시간에 제시된 장소에서 심화된 데이터가 수신기에 패키지 되었는지 확인을 전달받을 수 있다.
본 발명은 이와 같이 공중 신호에서 시간-위치 정보를 보유한 데이터 패키지 수취인으로 향하는 라디오 네비게이션 시스템(예. 미래형 유럽 GNSS(위성측위시스템) 또는 의사 위성(psedolite) 네트워크)을 구성하여 진보된 신뢰 사슬(chain of trust)를 제공한다. 이렇게 본 발명은 종합적인(end-to-end) 위치 데이터 인증을 자료화(achieve)하고, 보안된 라디오 네비게이션을 향한 의미 있는 진보를 보여 준다.
본 발명은 라디오 네비게이션 신호에 대한 악의적 공격에 대항하여 라디오 네비게이션의 견고성을 증대시키고, 신호를 변화시키려는 악의적 시도에 대항하여 위치 데이터를 확실히 보호하고, 모든 종류의 문서를 안전한 방법으로 지리적 태그 및 시간 태그를 부여하는 방법을 제공한다.
본 발명은 올바른 데이터를 안전하게 전달하는 높은 위치 정확성의 어플리케이션과 유용하게 결합되어, 안전하고 보다 정확한 위치 및 시간 정보를 제공한다.
[소개]
이하에서는 유럽 GNSS인 갈릴레오(Galileo)의 상용서비스(CS)를 활용하여 본 발명의 구현이 상세히 기술된다. 본 상용서비스는 일반인에게 제공되는 최초의 암호화 라디오 네비게이션 신호 GNSS이기에 본 발명에서 채택하였으며, 독립형SIS 인증을 구현하는 가장 실용적이며 안전한 방법으로 알려져 있다.
이하에 제시되는 실시예는 본 발명을 보다 상세한 측면에서 보여준다. 실시예는 CS네비게이션 신호의 데이터 메시지에 포함된 암호 토큰의 입력으로 생성된 디지털 다이제스트(digest)를 수신하는 라디오 네비게이션 수신기 제조에 대한 것으로, 상기 신호는 다음과 같은 내용을 인증하고자 함:
o 지역적 또는 국가적 또는 국제적 네비게이션 위성 시스템이나 지상 기초의 의사 위성시스템에서 송출된 라디오 네비게이션 신호를 통해 정식 라디오 네비게이션 수신기에서 생성된 위치 데이터;
o 라디오 네비게이션 수신기의 등록정보(identity) 및 해당사항이 있다면 수신기 사용자의 정보, 및/또는 사용자의 권한정보(administrative authorization);
o 및/또는, 해당사항이 있다면, 수신기가 저장한 위치 및 시간 태그(tag) 정보를 기록한 모든 문서.
[시스템 아키텍처]
도 1은 본 실시예의 아키텍처를 나타낸다. GNSS는 지상 부문(segment)(10)으로 이루어 지는데, 무엇보다도 모든 위성(12) 및/또는 의사 위성(보이지 않음)을 동기화하고, 라디오 네비게이션 신호를 통해 데이터 메시지 송출되도록 하는 역할을 한다. 지상 부문(10)은 이하 인증 서비스 센터(Authentication Service Centre) (16)로 불리는 신뢰성 있는 인증 기관의 통제하에 있는 여러 개의 업링크 스테이션(업링크 스테이션) (14)을 포함한다.
또한GNSS는 3 또는 6 개의 다른 궤도면 위의 지구 중궤도(medium earth orbit)를 도는 다수의 라디오 네비게이션 위성(12) 및/또는 다수의(5개 이상) 동기화된 의사 위성을 포함하는 우주 부문(space segment) (18)으로 구성된다.
GNSS의 사용자 부분(20)은 사용자 라디오 네비게이션 수신기(22)로 이루어 진다.
사용자는 지역 지리 서비스를 제공하는 제3의 서비스 업체(24)의 가입자를 말한다.
통신 부분 (26)은 가입자 수신기 (22)에서 제3의 업체 (24)에 데이터 패키지를 전송하며(“데이터 패키지 네트워크”), 보안 통신 부분 (28)은 인증 서비스 센터 (16)에서 가입자 수신기(“navkey’s network”)로 네비게이션 키(“navkey”)를 분배한다.
인증 서비스 센터 (16)은 이하의 내용을 확인한다:
o 암호 토큰들을 제공;
o 수신기(22)의 비밀 식별(identification) 번호를 제공;
o 수신기(22)가 생성한 데이터 패키지의 인증;
지상 부문(10)은 암호 토큰 송출을 위해 CS 라디오 네비게이션 신호의 데이터 메시지 안에 일부 공간을 할당한다. 지상 부문은 전체 데이터 메시지를 위성 (12)에 업로드 하기 전에 암호화 하거나 또는 위성 (12)이 라디오 네비게이션 신호를 암호화하도록 보장한다.
인증 서비스 센터 (16)는 최신 기술 알고리즘을 통해 암호 토큰을 생성한다. 토큰으로부터의 암호 키 갱신률(refreshment rate)은 목표로 하는 보안강도(robustness)의 수준에 따라 달라진다. 갱신률은 업링크 스테이션 (14)의 가용성 수준 및 위성 (12)와의 연결성 수준에 따라 한계가 설정 되는데, 데이터 메시지가 업링크 스테이션을 통해 위성으로 업로드 되는(그에 따라, 갱신되는) 시점에는 차이가 있다.
인증 서비스 센터(16)은 생성된 모든 암호 토큰을 보관(achieve)한다.
인증 서비스 센터(16)은 보안된 통신 링크(secure communication link)(30)을 Galileo 시스템의 지상 부문에 갖고 있는데, 이는 인증 서비스 센터에서 지상 부문으로 토큰을 전송하고, 센서(sensor)나 모니터링 스테이션(monitoring station)이 감지한 토큰을 지상 부문에서 인증 서비스 센터로 전공하는 업링크 스테이션을 관리한다.
사용자 수신기(22)에 장착된 특정 하드웨어(암호 모듈(crypto-module))과 특정 소프트웨어는 CS 라디오 네비게이션 신호에서 암호 토큰을 검출하고, 적어도 수신기가 산출한 위치 데이터와 암호 토큰을 입력으로 하는 암호화 함수를 사용한 디지털 인증 코드를 생성하고, 위치 데이터와 디지털 인증 코드를 적어도 포함하는 데이터 패키지를 제공할 수 있게 한다.
제3의 서비스업체(24)는 자사 가입자의 데이터 패키지 인증을 인증 서비스 센터(16)에 요청할 수 있다. 이 때, 인증 서비스 센터(16)는 위치 데이터(보호가 필요한 부가 데이터도 가능)가 데이터 패키지에 포함된 디지털 인증 코드와 일치하는지 여부를 점검하고, 제3의 서비스업체에 확인 결과를 보여주는 증명서를 보낸다.
[암호 토큰들의 배분]
우주 부문(space segment)에서 생성된 각 라디오 네비게이션 신호의 데이터 메시지는 암호 토큰에 일정한 비트(bit) 개수를 할당한다. 본 비트 길이는 응용프로그램에서 예상하는 보안 강도 수준에 따라 달라진다. 본 비트 길이는 변해서는 안되며, 그렇지 않으면, 모든 전용 수신기 소프트웨어의 데이터 메시지 구조가 이 변화사항이 반영되도록 갱신되어야 하기 때문이다.
암호 토큰의 값은 디지털 인증 코드 생성에 활용된 암호를 해체하고자 하는 해커(hacker)를 방어하기 위해서 특정 시간 간격으로 변화된다. 갱신률은 지상 및 우주 부문의 물리적 용량에 따라 제한된다.
데이터 메시지는 암호 토큰을 전송하는 암호화된 라디오 네비게이션 신호를 통해 위치 지정을 수신기가 할 수 있도록 하는데 필요한 모든 데이터를 포함한다.
유럽 GNSS 상용 서비스는 E6B 주파수 대역에서 암호화된 라디오 네비게이션 신호를 이용한다. E6B 신호의 데이터 메시지는 암호 토큰을 송출하는데 사용될 수 있다. 그래서 이하 설명에서는, 암호 토큰이 E6B 데이터 메시지에서 송출되는 것으로 추정한다.
미션 요구사항 문서(Mission Requirement Document) v7.0에 의하면, 유럽 GNSS의 E6B(데이터 채널) 및 E6C(데이터 채널 없는 파일럿(pilot) 신호) 상의 레인징(ranging) 코드 암호화는 256-비트 키로 된 강력한 Advanced Encryption Standard (AES) 대칭형(symmetric) 알고리즘을 기초로 한다. 알고리즘은 카운터 모드(Counter mode)에서 사용된다 GNSS 수신기가 암호화된 라디오 네비게이션 신호에 접속하는데 필요한 비밀 키는(즉, 네비게이션 키) 인증 서비스 센터에 의해 관리되고 사용자로 분배되며, 매주에서 매 3개월 사이의 주기로 갱신된다. 분배를 목적으로, 네비게이션 키는 수신기 비밀 ID(Receiver Secret ID)로 암호화되며, 인터넷을 통해 수신기에 보내진다. 수신기가 인터넷 직접 접속이 안 되는 경우, 네비게이션 키는 첫 단계로 개인용 컴퓨터에 전송되어 두 번째 단계로 수신기에 업로드 된다(예. USB 드라이브 활용). 본 문서에서는 수신기 비밀 ID의 길이를 256비트까지로 가정한다.
상기된 바와 같이, 라디오 네비게이션 신호는 다음과 같은 조건 중 하나가 충족될 경우 보안된 것으로 평가된다:
(a) 라디오 네비게이션 신호 자체가 최신 암호화 알고리즘으로 암호화됨(즉, 신호의 레인징 코드(ranging code)가 암호화), 또는
(b) 라디오 네비게이션 신호는 암호화되지 않지만, 신호가 전달하는 데이터 메시지(암호 토큰을 포함)가 최신 암호화 알고리즘으로 암호화됨, 또는
(c) 라디오 네비게이션 신호와 그 데이터 메시지 두 가지 모두 암호화 된 경우로, 동일한 최신 암호화 알고리즘을 사용하거나 또는 두 개의 다른 키 집합을 활용한 두 개의 상이한 암호화 알고리즘을 사용하여 암호화.
그리하여, E6 신호는 완전히 신뢰할 만한 의사 거리 측정(pseudo-range measurements)(쉽게 조작될 수 있는 E1 신호와 달리)을 가능하게 하여, 그래서 그만큼 믿을 만한 PVT를 산출을 가능하게 한다.
Galileo 상용 서비스의 인증 서비스 센터는 각 위성 별로 및 각 암호 토큰의 유효 기간(validity period) 별로 암호 토큰을 계산한다. 이러한 암호 토큰들은 업링크 스테이션(uplink station)을 통해 위성으로 업로드 되고, 위성에 의해 송출된다.
각 위성 SVi(i는 위성 또는 “우주 기기(space vehicle)”의 번호)는 데이터 메시지에서 특정 암호 토큰을 송출 하는데, 이하 “NONCESVi”로 지칭한다. 각 NONCESVi 의 길이는 예를 들어 32비트가 될 수 있다.
데이터 메시지는 무엇보다도 448 비트 내에 다음과 같은 것을 포함한다:
o E6B을 위한 네비게이션 메시지. 이는 E1A와 E5A 신호가 재밍(재밍(jamming)) 되거나 조작된 경우에도 수신기가 네비게이션을 지속할 수 있게 한다. 이는 E6B 위의 초당 448 비트의 데이터 대역폭에서 최대 초당50 비트를 선점할 것이다.
o 수신기가 E1A을 위한 네비게이션 메시지를 재구성하도록 하는 추가 데이터로, E1A가 조작된 경우에도 E6B 및 E1A에서 네비게이션을 가능하게 한다. 각 신규 암호 토큰의 예측 불가능한 값 (NONCESVi).
NONCESVi 는 SVi 위성에 따라 달라진다. 그래서, 일반적으로 i ≠ j일 경우, NONCESVi(t) ≠ NONCESVj(t) 가 성립한다. 그럼에도 불구하고, 두 개 또는 그 이상의 암호 토큰이 우연히 일치하는 경우가 있을 수 있다.
인증 서비스 센터는 모든 암호화된 임시암호(nonces)를 저장소("NONCEs archive”)에 보관한다.
[수신기의 데이터 패키지 산출]
도 2 는 수신기 소프트웨어의 구현 형태를 개괄적으로 보여준다. 소프트웨어는 다음 4개의 주요 요소로 구성된다:
o SiS 인증 소프트웨어;
o 키 관리 소프트웨어;
o 암호화/복호화 소프트웨어;
o 네비게이션 소프트웨어.
사용자 수신기가 라디오 네비게이션 신호 및/또는 암호 토큰을 받아들이는데 필요한 키는 보안된 통신망을 통해 전송되고, 암호 모듈(crypto-module))과 키 관리 소프트웨어를 통해 수신기 내에서 관리된다.
수신기 소프트웨어는 보안 라디오 네비게이션 신호를 기초로 계산된 의사 거리 측정(pseudo-range measures)에 가장 우선적으로 의존한다. 보안된 라디오 네비게이션 신호에서 획득된 위치 데이터만이 보안된 것으로 간주될 수 있다.
각 라디오 네비게이션 신호의 메시지에 의해 제공되는 일반적인 입력치와 함께, 네비게이션 소프트웨어를 지원하기 위해 부가적 데이터가 보안 라디오 네비게이션 신호의 데이터 메시지에 추가될 수 있다. 예를 들어, 수신기의 네비게이션 소프트웨어는 다음 사항을 고려할 수 있다:
o 보안 라디오 네비게이션 신호 상에서 GNSS 운영업체에 의해 전달되는 무결성 데이터;
o GNSS운영업체 또는 인증 서비스 센터에 의해 제공되는 네비게이션 보정 데이터;
o 우주 부문의 다른 주파수(들)과의 클락(clock) 차이.
네비게이션 소프트웨어는 수신기 자율 무결성 모니터닝(RAIM :Receiver Autonomous Integrity Monitoring)로 구성될 수 있으며, 및/또는 (보정 데이터(correction data)를 입력 받는) 추가 기능(augmentation function) (예를 들어, 정밀 위치지정(Precise Point Positioning))으로 이루어 질 수 있다.
수신기는 다음의 두 부분들로 구성되는 데이터 패키지를 생성한다:
o 제1 부분은 “읽기 가능한 정보(readable information)”로 구성, 이는 위치 데이터를 포함하는 “평문(plaintext)” 데이터를 포함함
o 제2 부분은 “디지털 인증 코드(digital authentication code)”로 불리는 부분.
디지털 인증 코드는 인증 서비스 센터가 보호할 데이터를 인증하는 것을 가능하게 한다. 디지털 인증 코드는 보호할 데이터의 일부 또는 전체로 구성될 수 있다. 만약 디지털 인증 코드가 특정 데이터의 해쉬값을 포함할 경우, 이 데이터는 평문(plaintext) 부분(제1 부분)에 존재해야 한다. 그렇지 않을 경우, 인증 서비스 센터는 디지털 인증 코드를 확인할 수 없게 될 것이다.
데이터를 데이터 패키지의 제1 부분 그리고 제2 부분 모두에 포함할 수 있다. 일반적으로 정보가 중복되는 경우인 것이 사실이지만, 일부 어플리케이션은 후자가 제1 부분과 일치하지 않는 경우 디지털 인증 코드에 포함된 데이터를 검출할 수 있다는 사실이 흥미로운 점이다.
다음으로 도 3이 설명하는 바람직한 라디오 네비게이션 수신기를 살펴보면, 이는 적어도 두개-주파수(bi-frequency) GNSS 수신기 (E1A/E6B 대역)로서 조작 방어적(tamper-proof)이다. 바람직하게는, 수신기는 E1, E5, E6 라디오 네비게이션 신호를 다루도록 가급적 구성된다. 수신기 보안 경계선은 적어도 E6 상관기(correlator)와 기저대역(baseband) 프로세싱을 포함한다.
수신기는 또한 관성항법시스템(INS : Inertial Navigation System)을 갖추고 있다. 나아가 수신기는 USB 포트도 장착이 된다. 사용자는 네비게이션 키를 업로드하기 위해서 USB 포트에 전용 USB 드라이브를 삽입한다. USB 드라이브는 수신기에 예를 들어 운전면허증과 같은 사용자 공개 ID(User Public ID)같은 기타 데이터를 전송할 수도 있다. USB 드라이브는 모든 데이터 패키지들도 저장하는데, 혹은 사전에 정해진 기간에 사전에 정해진 간격으로 데이터 패키지의 최소한 혹은 샘플을 저장한다. USB드라이브를 분실할 경우에 대비해 모든 데이터 패키지는 개인정보보호를 위해 암호화된 형태로 저장된다. 사용자가 인증 서비스 센터 웹사이트에 새로운 네비게이션 키를 요청할 때마다, 데이터 패키지는 USB 드라이브에서 인증 서비스 센터로 사용자 컴퓨터를 통해 전송될 수 있다. 데이터 패키지 전송으로 인증 서비스 센터는 후험적(a-posteriori) 원격 PVT 인증을 수행할 수 있게 된다. 이를 위해(예를 들어, 지연된 원격 PVT 인증), 인증 서비스 센터는 사용자의 허용을 거쳐 모든 데이터 패키지와 해당 증명서를 사용자의 서비스 업체에 전송한다.
수신기는 GPRS, G3, G4와 같은 무선 통신 단말기를 장착할 수 있다. 이러한 통신 연결성은 거의 실시간인 PVT 인증을 제3의 업체에 제공하는데 활용된다. 이러한 기능(거의 실시간인 PVT 인증)은 민감한 제품들 또는 범죄자들을 실시간으로 추적하는 데는 매우 효과적이지만, 도로 요금 징수 또는 운행정보기반(pay-as-you-drive) 보험 제도와 같은 활용 분야에서는 흥미도가 낮아진다.
수신기 공개 ID(Receiver Public ID)는 수신기 위에 잘 보이도록 표시되는 것이 좋다.
수신기 개별 ID(Receiver Private ID)는 조작 방어적(tamper-proof) 메모리에 저장된다. 개별 ID는 사용자 또는 누구에게도 공개되지 않으며, 인증 서비스 센터만이 예외이다.
수신기 소프트웨어는 동일한 또는 또 다른 조작 방어적(tamper-proof) 메모리에 저장된다. 바람직하게는, 수신기 소프트웨어 및 수신기 개별 ID를 위한 메모리는 각기 분리되며, 이는 소프트웨어 업데이트 동안에 수신기 개별 ID의 말소 가능성을 막기 위한 것이다
수신기는 전원이 차단이 안되도록 안전한 전원 공급선을 사용하는 것이 바람직하다.
수신기는 또한 DSCR 방출기(emitter)를 장착하여, 단거리로 수신기가 전원이 켜져 있는지 및 올바르게 작동하는지 정보를 전송할 수 있다. 이러한 조치로 사용자가 의도적으로 서비스 업체에 대한 요금지불 또는 벌금을 피하고자 수신기 전원을 차단하는 것을 막을 수 있다.
수신기의 소프트웨어는 다음의 네 가지 주요 기능 단위로 이루어진다:
o 네비게이션 신호에서 PVT산출을 담당하는 네비게이션 소프트웨어;
o 사용자 USB 드라이브에서 암호화된 네비게이션 키 업로드를 담당하는 키 관리 소프트웨어;
o 재밍(jamming), 스푸핑(spoofing), 항로방해전파(meaconing) 공격을 감지하는 역할의 SIS 인증 소프트웨어;
o “인증 디지털 코드”를 생성하고 암호화된 네비게이션 키를 복호화하는 복호화/암호화 소프트웨어.
수신기는 각 위성에 두 개의 상관관계(correlation) 채널을 할당한다(E1A와 E6B에 각각). 이 후, 수신기는 E1A 및 E6B에서 레인징 코드(ranging code)를 획득하고, E1A 및 E6B에서 네비게이션 메시지를 읽은 후, 위성에서 송출된 임시암호(nonce)를 E6B 데이터 메시지에서 검출한다.
네비게이션 소프트웨어는 2개의 PVT 솔루션을 계산하는데, 하나는 E6B신호에만 기초한 것이고, 다른 하나는 E1 및 E6를 포함하는 모든 가능한 신호에 기초를 둔다.
첫 번째 PVT는 PVTE6로 불리는데, E6B 의사 거리 측정(pseudo-range measurements) (PRE6)만을 사용하여 산출한다.
두번째 PVT는 PVTE1, E6로 불리는데, 전리층-프리 의사거리측정(iono-free pseudo-range measurements(PRionofree ))을 사용하여 다음의 수학식 1로 산출된다.
Figure pct00001
여기서, fE1 는 Galileo E1A 주파수 캐리어(frequency carrier) (1575.42 MHz), fE6 는Galileo E6B 주파수 캐리어(frequency carrier) (1278.750 MHz), PRE1 은 E1 의사 거리(pseudo-range), PRE6 은 E6 의사 거리(pseudo-range)이다.
네비게이션 소프트웨어는 PVTE6,을 중심으로 시간축, 수평축, 수직축으로 정의되는 4차원의 “신뢰 구간(confidence box)”을 추정할 수 있다. E6B만을 기초로 하여 네비게이션에서의 모든 가능한 오류를 감안한다. 인증 서비스 센터에서 제공하는 데이터를 기초로 수신기가 신뢰성 있는 PVT 구간의 4차원을 계산할 수 있다.
수신기가 더 높은 정밀도로 위성 위치(고정밀 궤도력(high-accuracy ephemerides)) 및 위성 클락 표류(clock drift)를 활용하는 E6B의 고정밀도 서비스를 소프트웨어에 추가하면 신뢰성 있는 PVT 구간의 크기는 현저히 줄어든다.
PVTE1 , E6 가 더 정확하지만, PVTE6에 비하여 완전한 보안이 이루어지지 않는 반면, PVTE6 는 덜 정확하지만 완전한 신뢰성을 확보한다는 것을 주지할 필요가 있다. PVTE6 위치는 안전하고 신뢰성 있는 신호(후자가 암호화 되므로)를 기초로 산출되므로, 신뢰할 수 있는 유일한 솔루션이다. 이 위치-시간 정보는 4차원 Dx, Dy, Dz, Dt 모두의 설정된 오류 마진(determined error margin) 내에서 정확하다.
신뢰 구간은 수신기의 실제 위치 및 시간((PVTexact) 이 미리 설정된 확률(신뢰 수준, confidence level) 상에서 신뢰 구간 내에 포함됨을 의미한다.
신뢰 구간의 차원은 특정 시점의 Galileo 위성군(constellation) 구성에 따라 달라 진다. 신뢰 구간의 차원은 E6B에 고 정밀도 어플리케이션이 장착된 시스템의 경우 현저하게 줄어든다.
E1 신호가 조작된 경우, 수신기는 PVTE6 , E1를 계산하지 못하고 스푸핑(spoofing) 경고를 발생하거나 또는 신뢰성 있는 PVT 구간에서 벗어나는 PVTE6 , E1를 계산할 수 있다. PVTE6 , E1 가 신뢰성 있는 PVT 구간을 벗어나는 경우에도, 수신기는 경고를 발생한다.
경고가 발생할 경우, 수신기는 PVTE6 와 신뢰 구간의 차원만을 산출한다. 이 때, 후자는 실제 위치 및 시간에 대한 최적의 계산결과로 간주될 수 있다.
경고가 발생하지 않는 경우, 수신기는 PVTE6 와 PVTE6 , E1 두 가지 모두를 산출한다. 이 때, PVTE6 , E1 는 실제 위치 및 시간에 대한 최적의 계산결과로 간주될 수 있다.
[ 네비게이션 키의 관리]
사용자는 E6B 신호의 네비게이션 키를 예를 들면 한 달에 한 번씩처럼 정기적으로 인터넷에서 다운로드할 수 있다. 이 키들은 Galileo 운영업체 또는 다른 방법으로는 인증 서비스 센터에서 생성될 수 있다.
Galileo 운영업체는 이 독특한 네비게이션 키로 네비게이션 신호를 암호화하기 위해 모든 위성들의 E6B 요금대상에 동일한 네비게이션 키를 할당한다. 본 발명에서 묘사된 인증 솔루션은 또한 각 위성 별로 할당된 상이한 네비게이션 키로 작동할 수 있다.
사용자는 변경 이전에 네비게이션 키를 다운로드한다. 사용자는 인증 서비스 센터의 보안된 인터넷 웹사이트에 로그인하고, 이 과정에서 사용자는 로그인(예. 수신기 공개 ID) 및 비밀번호로 확인이 된다. 확인이 이루어 지면, 키 갱신 요청을 제출할 수 있고, 컴퓨터에 USB 드라이브를 삽입하여 진행이 된다.
요청은 인증 서비스 센터의 데이터베이스 소프트웨어에 의해 처리가 된다. 데이터베이스는 모든 로그인, 비밀번호, 수신기 공개 ID, 수신기 개별 ID를 보유한다. 데이터베이스 서버는 수신기 공개 ID를 확인하고 해당하는 수신기 개별 ID를 검출한다. 이 후, 수신기 개별 ID는 대칭형(symmetric) 암호화 알고리즘으로 네비게이션 키를 암호화하는데 이용된다. 이후 웹사이트는 암호화된 네비게이션 키를 사용자 개인용 컴퓨터 USB 드라이브에 다운로드한다.
그 과정에서, 웹사이트 어플리케이션은 PC에 꽂힌 USB 드라이브에 저장된 모든 데이터 패키지를 업로드한다. 이후, 이들 데이터패키지는 인증 서비스 센터에서 인증을 받고, 이어서 사용자가 지정하는 제3의 서비스업체에 발송된다.
새로운 네비게이션 키가 USB 드라이브에 다운로드가 되면, 사용자는 USB 드라이브를 라디오 네비게이션 신호 수신기에 삽입한다. 이 단계에서 다음과 같은 동작들이 유발된다. 수신기의 키 관리 소프트웨어는 새로운 암호화된 네비게이션 키가 USB 드라이브에 저장이 되었는지를 확인한다. 저장이 된 경우, 소프트웨어는 수신기의 보안 경계선 내의 메모리로 암호화된 네비게이션 키를 업로드한다.
이 때, 복호화/암호화 소프트웨어는 보안 경계선 내에 저장된 수신자 개별 ID를 이용해 암호화된 네비게이션 키를 복호화하고, 네비게이션 키의 복호화된 버전을 시간 유효성(validity)의 파라미터와 함께 보안 경계선 내의 또 다른 조작 방어적 (tamper-proof) 메모리에 저장한다.
키 관리 소프트웨어는 유효성(validity)이 만료된 네비게이션 키를 삭제한다.
필요한 경우, 키 관리 소프트웨어는 현재 네비게이션 키의 유효성 만료가 임박한 경우 수신기 인터페이스를 통해서 사용자에게 경고를 전달하고, 필요할 경우, 다음 네비게이션 기간의 유효한 네비게이션 키의 부재에 대해서도 경고 가능하다. 현재 기간에 해당하는 키가 부재한 경우, 수신기는 E6B 신호를 추적하고 확보하는 것이 더 이상 불가능할 것이다. 이 경우, 독립형SIS 인증 기능을 상실하고 인증 서비스 센터의 이어지는 원격 PVT 인증은 더 이상 불가능하다.
[수신기의 실시간 SIS 인증 처리]
첫 번째로, SIS 인증 소프트웨어는 어떤Galileo 위성에서 E6B 데이터 메시지를 획득하고 복호화 하였는지를 수신기 인터페이스를 통해서 사용자에게 전달하는데, 이는 수신기가PVT를 계산하는 시기에 어떤 Galileo 위성이 시야에 확보되었는지를 의미한다.
SIS 인증 소프트웨어의 두 번째 과제는 지속적으로 재밍(jamming) 공격을 감시하고 감지하는 것이다. 예를 들어, SIS 인증 소프트웨어는 수신기가 어떤 주파수를 잃은 상태에서 동일 위성의 다른 주파수 신호를 여전히 수신할 경우 재밍(jamming) 경고를 발생시킨다. 이 경고는 어떤 주파수를 놓친 것인 지를 알려준다.
만약 E6B 대역의 신호를 놓친 상태에서 수신기가 E1 또는 E5 신호를 읽는 다면, SIS 인증 소프트웨어는 위성 네비게이션이 더 이상 보안이 되지 않는 다는 경고를 발행하고, 네비게이션 소프트웨어가 INS 네비게이션 모드로 전환하도록 요청한다.
만약 라디오 네비게이션 신호가 모든 주파수를 놓친 상태라면, SIS 인증 소프트웨어는 위성 네비게이션이 더 이상 작동할 수 없다는 경고를 유발하고, 마찬가지로 네비게이션 소프트웨어가 INS 네비게이션 모드로 전환하도록 요청한다.
SIS 인증 소프트웨어는 스푸핑(spoofing) 공격을 감지하는데, 다시 말해 이는 공격자가 개방형 신호로 송출되는 네비게이션 데이터를 변경하는 경우를 의미한다. 예를 들어, E1(스푸핑에 대응력 확보 안 됨) 신호에 읽히는 궤도력(ephemerides)과 E6(최신기술로 스푸핑에 대응력 확보됨)신호에서 읽히는 궤도력이 다를 경우에 스푸핑 경고는 발생할 것이다.
또한, SIS 인증 소프트웨어는 상황에 따라서 항로방해전파(meaconing) 공격을 감지할 수 있다. 항로방해전파공격은 공중 신호(signals-in-space)가 지상에 위치한 송출기(emitter)에서 시간 지연 유무에 관계 없이 재송출될 때 발생하는 것으로 간주된다. 항로방해전파공격에서 공중신호의 데이터 메시지는 변경되지 않은 상태로 유지된다. 개방형 또는 암호화된 E6B를 포함한 모든 신호는 항로방해 될 수 있다. 항로방해전파공격은 적어도 하나의 사용 라디오 네비게이션 주파수가 방해되지 않을 경우에 감지될 수 있는데, PVTE1 또는 PVTE5 가 PVTE6 의 신뢰 PVT 구간을 벗어나는 경우에 감지된다. 소프트웨어는 한번에 하나의 주파수 상의 신호를 기초로 산출된 위치의 불일치를 감지한다.
그러나, SIS 인증 소프트웨어는 모든 라디오 네비게이션 주파수 상의 전송 지연과 병행하여 변경하는 항로방해전파 공격을 감지할 수 없다. 이 경우, INS를 수신기 내에 도입하는 것은 이론적으로 수신기가 이러한 공격을 감지할 수 있도록 하게 한다. 이런 공격의 대상이 될 때, INS을 갖춘 수신기는 INS 및 최종 PVT를 기초로 산출된 새로운 PVT와 네비게이션 신호를 기초로 산출된 PVT 사이의 불일치를 감지해야 한다.
SIS 인증 소프트웨어는 요청이 있을 경우, USB 드라이브에 저장된 핑거프린트의 도움으로 수신기 소프트웨어를 점검할 수 있다. 소프트웨어의 SHA256가 문제의 핑거프린트와 맞지 않는다면, 이는 수신기에 설치된 소프트웨어가 변경되었다는 의미로 소프트웨어 무결성에 대한 경고가 발생하게 된다.
[수신기의 PVT 캡슐화]
화면의 지도에 표시된 위치와 함께, 수신기는 보안 경계선 내에서 제3자에게 전송되고 활용되기 위한 출력치(데이터 패키지)를 생성한다. 데이터 패키지는 두 개 부분으로 구성된다(도 3과 비교):
o 제1 부분 (“읽기 가능한 정보”)은 다음과 같은 정보를 포함:
- PVTE1 , E6;
- 수신기 공개 ID;
-사용자 공개 ID (선택사항);
o 제2 부분(“디지털 인증 코드”)는 다음과 같은 정보를 암호화함:
- PVTE6 계산PVT에 쓰이는 Galileo 위성을 식별하는 27 비트 필드(bit field)
- PVTE6;
- 신뢰성 있는 PVT 구간(box)의 각 차원 (dimensions);
- PVTE1 , E6;
- 사용자 공개 ID (선택사항);
- SHA256로 계산된 수신기 소프트웨어의 핑거프린트.
데이터 패키지는 어떤 경우에도 나눠지거나, 줄여지거나, 변경될 수 없다. 그렇게 될 경우, 데이터 패키지는 진정한 특성을 잃을 수 있다. 그래서, 데이터 패키지는 항상 동일한 포맷으로 생성, 전송, 저장, 보관되어야 한다.
캡슐화(encapsulation) 소프트웨어는 사용자가 자신의 정보를 보호하고자 하는지에 따라서 원상태이거나 암호화(ciphered)된 제1 부분(“읽기 가능한 정보”)을 생성할 수 있다. 이 때, 제1 부분의 암호화는 개인 정보를 보호하고자 하는 목적으로 이루어지고, 추후에 데이터 패키지를 인증하고자 하는 목적이 전혀 아니다. 제1 부분 암호화 가능성은 인증 어플리케이션에 보완하는 것으로, 필수적인 특징은 아니다.
사용자가 수신기 상에서 자신의 개인정보를 보호하고자 하는지 선택에 따라 제1 부분(“읽기 가능한 정보”)는 암호화되거나 암호화되지 않을 것이다. 이는 정보가 수신기를 떠난 후 언제라도 악의적인 무리에 의해 제1 부분이 손상될 수 있기 때문이다. 제1 부분이 암호화되면, 다음의 계획안이 사용자 그룹을 관리하는데 활용된다:
o 사용자가 비밀키를 수신기에 도입한다.
o 제1 부분은 이 비밀키로 대칭형 암호화 알고리즘을 통해 암호화 된다.
o 사용자는 자신의 비밀키를 자신의 주변인과 자신의 서비스 업체에 안전한 방법으로 배분할 의무가 있다.
제2 부분(“디지털 인증 코드”)는 반드시 암호화되고 읽혀지지 않아야 하는데, 인증 서비스 센터만이 그 예외이다. 암호화(ciphering) 알고리즘은 적어도 192 비트의 ECIES(elliptic curve integrated encryption scheme) 이다. 제2 부분을 생성하는 소프트웨어는 이후 복호화/암호화 소프트웨어로 지칭한다.
수신기 비밀 ID는 독자적인 것으로, 사용자나 어떤 제3자에게도 알려지지 않으며, 수신기의 보안 경계선 내에서 보호된다.
제1 부분(“읽기 가능한 정보”)는 어떤 제3자도 이용할 수 있도록 되어 있으며, 이에는 지역 지리 서비스(geo-localized) 또는 시간 서비스 업체도 포함된다. 반면, 제2 부분은 어떤 경우에도 제1 부분에 동반되며, 오직 인증 서비스 센터만이 읽기와 활용이 가능하다.
나아가, 사용자는 동일한 데이터 패키지(제1 부분+제2 부분)를 무제한 수의 지역 지리 서비스 또는 시간 서비스 업체 및 자신의 주변인(친척, 친구, 동료)에 전송할 수 있다. 본 정보의 각 수신인은 제2 부분이 제1 부분에 부착되어 있다는 전제 하에, 인증 서비스 센터에 인증 요청을 언제라도 제기할 수 있다.
캡슐화 소프트웨어의 중심 작업은 하기에 설명된 것처럼 2단계를 거쳐, 데이터 패키지의 제2 부분에 PVT 정보를 캡슐화하여 PVT의 추후 인증에 있어 필수불가결한 정보를 암호화하는 것이다.
모든 암호화 과정은 수신기의 보안 경계선 내에서 수행된다.
제2 부분(“디지털 인증 코드”)는 두 번의 연속적인 캡슐화로 생성된다.
첫 번째 캡슐화는 다음으로 구성된 데이터 모음을 다룬다:
o PVTE6,
o 신뢰성 있는 PVT 구간의 4개 차원(dimension),
o PVTE1 , E6,
o 수신기 공개 ID,
o 사용자 공개 ID(선택사항),
o SHA256로 계산되는 수신기 소프트웨어의 핑거프린트.
이 데이터의 패키지는 수신기가 E6B 데이터 메시지에서 읽은 모든 NONCEs의 사전에 정해진 순서에 맞춘 집합에 대응하는 키를 활용한 대칭형 암호화 알고리즘으로 암호화된다. 이 암호화는 첫 번째 캡슐화를 생성하고, 이후 En1로 불린다.
암호화는 사전에 정해진 순서에 따라 시야가 확보된 위성의 8개의 암호 토큰 집합(concatenation)로 가능하며, 예를 들어 위성 식별자의 혼합 증가가 있다. 수신기가 시야를 확보한 Galileo 위성이 8개 보다 적은 경우, nonces의 빈칸은 수신기 개별 ID 검출 결과가 대신 채운다. 모든 캡슐화에 최대 길이(256 비트)의 키로 최대의 견고성을 보장하기 위해서 이루어지는 예방책이다. 도 5는 5개의 위성만이 수신기의 시야에 있을 경우의 암호 키(256 비트)의 계산을 보여준다. 암호 키는 암호 토큰(NONCESVi1, …, NONCESVi5) 의 집합과 수신기 개별 ID의 일부분으로 획득 된다. 수신기 개별 ID는 사전에 정해진 길이의 키를 획득하는 방법과 마찬가지로 단축된다.
두 번째 캡슐화는 다음으로 구성된 데이터 패키지를 다룬다:
o En1;
o PVT 계산 및 En1 암호화(대응되는 NONCEs집합(concatenation)를 통해)에 이용되는 Galileo 위성을 나타내는 27 비트 부분;
두 번째 단계에서, 본 패키지는 수신기 비밀 ID를 키로 하는 대칭형 암호화 알고리즘을 통해 암호화된다. 본 암호화는 이하 En2로 지칭되는 두 번째 캡슐화를 생성한다. En2는 데이터 패키지의 제2 부분이다(“디지털 인증 코드”)
제1 부분(“읽기 가능한 정보”) 및 제2 부분(“디지털 인증 코드”)는 이후 최종적으로 사전에 정해진 포맷의 데이터 패키지로 합쳐진다. 이 때, 본 데이터 패키지는 이하 데이터 패키지 네트워크로 불리는 모든 종류의 통신망을 통해 사용자가 계약을 맺은 모든 서비스업체로 전송이 된다.
[데이터 패키지 분배]
데이터 패키지는 모든 종류의 매체를 통해서 전송될 수 있다. 데이터 패키지 네트워크는 일반적으로 지상파 라디오-주파수 네트워크로서, 이동통신기기에 접속하기 유리한 데이터 전송에 쓰이는 GPRS, G3, 또는 G4 등이 있다. 데이터 패키지는 제3의 서비스업체에 실시간 또는 거의 실시간으로 전송될 수 있다. 데이터 패키지는 가능하면 일정한 간격으로 지연된 시간에도 전송될 수 있다. 전송은 USB 드라이브 및 인터넷 또는 기타 모든 형태의 통신 접속을 통해 이루어 질 수 있다. 서비스업체는 (실시간 또는 지연된 시간으로) 수신한 데이터 패키지의 인증을 인증 서비스 센터에 요청할 수 있다.
네비게이션 키(Navkeys) 네트워크와 데이터 패키지 네트워크는 동일할 수 있다. 이 경우 통신 단말기의 개수가 줄기 때문에, 수신기는 더 편리하게 될 것이다.
이 경우는 원격 PVT 인증을 실시간 또는 거의 실시간으로 요구하지 않는 어플리케이션의 또 다른 이점을 보여준다. 수신기가 생성한 데이터에 관심이 있는 다수의 제3자(서비스업체)들에게 패키지를 전송하는 대신에, 자신의 모든 패키지를 하나의 중심지인 인증 서비스 센터에 전송하여, 증명서와 함께 패키지를 지정된 제3자에 전송할 수 있다. 하나 또는 하나 이상의 데이터 패키지를 인증 기관에 전송하는 것은 다음 네비게이션 키의 전송에 대한 조건이 될 수 있다. 그래서 사용자는 자신의 위치 데이터를 특정 간격으로 제공하도록 요구 받을 수 있는데, 그렇지 않으면 보안된 라디오 네비게이션 신호 및/또는 암호 토큰에 대한 연결이 끊길 수 있기 때문이다. 이 방법의 또 다른 이점은 인증 서비스 센터가 수신기 소프트웨어의 무결성을 점검할 수 있다는 점(디지털 인증 코드에 포함된 소프트웨어 핑거프린트 활용)과 네비게이션 키를 보안 경계선이 파손된 상태에서 수신기에 전송하지 않을 수 있다는 점이다.
[ PVT 산출 이후의 보안]
수신기는 다음 두 부분으로 구성되는 데이터 패키지를 생성한다:
o 제1 부분은 “읽기 가능한 정보”로, 수신기의 공개 식별자와 사전에 정해진 포맷에 맞는 PVT를 평문(plaintext) 형태로 포함.
o 제2 부분은 디지털 인증 코드로, 암호화된 형태로 수신기의 정보(identification), PVTE6 and PVTE6, E1, 신뢰성 있는 PVT 구간의 차원(dimension)을 포함.
지상 통신 부문(이하 데이터 패키지 네트워크라 함)은 상기에 기술된 것처럼 생성된 정보가 모든 위치기반서비스(location-based service)업체에 전송되도록 보장한다. 정보는 모든 종류의 매체를 통해서 전송될 수 있다:
o 실시간(거의 실시간)으로, GPRS, G3, 또는 G4와 같은 지상 기초 무선 네트워크를 활용;
o 또는, 시간차가 있는 경우 바람직하게는 일정한 간격으로, USB 드라이브 및 인터넷을 활용.
데이터 패키지 수신자는 인증 서비스 센터에 인증을 요청을 제출할 수 있는 제3의 서비스업체가 될 수 있다. 반대로, 데이터 패키지는 인증 서비스 센터에 전송될 수 있다. 이 경우에, 자사 고객의 데이터 패키지와 각 증명서(certificate)를 전달받기 위해, 제3의 서비스업체는 인증 서비스 센터 서버에 접속을 한다.
인증 서비스 센터는 디지털 인증 코드(제2 부분)를 읽을 수 있는 유일한 객체이다. 서비스업체가 고객이 보낸 데이터 패키지를 확인하고자 요청하면, 인증 서비스 센터는 “평문(plaintext)” 데이터(제1 부분)가 디지털 인증 코드와 서로 일치하는지를 여부를 확인한다. 인증 서비스 센터가 보안된 라디오 네비게이션 신호를 기초로, 해당 위치 데이터가 신뢰성 있는 식별된 수신기에서 생성되어, 확인된 라이센스를 획득한 소프트웨어에서 처리될 경우에만 위치 데이터는 “올바른(correct)” 것으로 인식된다. 제1 부분과 제2 부분의 데이터 패키지가 일치할 경우, 인증 서비스 센터는 서비스업체에 증명서를 제공하는데, 이는 보호할 데이터가 지정된 시간에 지정된 위치에서 데이터 패키지에 통합된 것을 보장하는 것이다. 제1 부분과 제2 부분의 데이터 패키지가 일치하지 않는 경우, 인증 서비스 센터는 신청자에게 데이터 패키지가 인증 테스트를 통과하지 못했다는 경고 내용의 증명서를 제공한다(예. 위치 데이터 또는 수신기 식별이 손상되어서, 그 결과로 데이터 패키지는 인증될 수 없다).
제3의 서비스업체는 고객 중 한 명에게서 전송 받은 완전한 데이터 패키지와 함께 인증에 대한 요청을 인증 서비스 센터에 보낼 수 있다. 인증 기관은 데이터 패키지 제출을 인증 요청으로 해석하도록 설계될 수 있다.
이 때, 인증 서비스 센터는 제2 부분(“인증 키”)을 복원하고 제2 부분에 포함된 정보가 제1 부분의 평문(Plaintext)에 포함된 정보와 일치하는지 확인한다.
제1 부분과 제2 부분의 데이터가 일치하면, 인증 서비스 센터는 요청자에게 증명서를 발행하는데, 이는 데이터 패키지가 일관성 검사를 통과하여 신뢰할 수 있음을 증명하는 것이다.
제1 부분과 제2 부분의 데이터가 일치하지 않으면, 인증 서비스 센터는 요청자에 증명서 경고를 보내는데, 이는 데이터 패키지가 일관성 검사를 통과하지 못하여 그 결과로 인증될 수 없음을 나타내는 것이다.
[ PVT 인증 원격 프로세싱]
서비스 업체 또는 어떤 제3자라도 데이터 패키지의 제1 부분(“읽기 가능한 정보”)에 포함된 정보의 정확성을 증명하고자 하면, 인증 서비스 센터에 알려야 한다.
본 발명의 실시예에서, 세계에서 한 개의 기관만이 수신기가 생성한 데이터 패키지를 인증할 수 있다. 인증은 어떤 요청자에게 라도 제1 부분에서 “평문(plaintext)으로” 표시된 PVT, 수신기 공개 ID, 사용자 공개 ID(있을 경우)가 맞는지 보여주며, 이 정보가 어느 정도의 신뢰성을 갖는 지를 보여주는 증명서를 전송하는 것으로 이루어진다. 인증 서비스 센터가 바로 그 권한을 보유하는 기관이다.
인증 서비스 센터는 이하 “인증 소프트웨어”로 칭하는 특정 소프트웨어를 통해서 인증(authentication) 증명서(certificate)에 대한 요청을 수신하고 처리한다. 신청자는 증명서 요청을 증명서 네트워크 (도1의 참고번호32)로 불리는 보안된 네트워크 상에서의 상응하는 데이터 패키지와 함께 제출한다. 증명서 네트워크는 인터넷 상에서의 보안된 데이터 교환으로 실현될 수 있다.
인증 소프트웨어는 제1 부분에서 수신기 공개 ID를 읽는다. 본 소프트웨어는 인증 서비스 센터의 세 가지의 데이터베이스 접속을 가능하게 한다:
o 모든 암호 토큰 보관;
o 수신기 공개 ID 및 수신기 비밀 ID의 모든 조합(couple) 목록;
o 라이센스 받은 수신기 프로그램 코드들의 모든 버전의 족적(footprint) 모음.
인증 서비스 센터는 라이센스 받은 전체 수신기의 수신기 공개 ID와 수신기 비밀 ID 조합을 기록하는 두 번째 데이터 베이스를 관리하고 갱신한다. 인증 서비스 센터는 수신기 공개 ID와 수신기 비밀 ID조합(couple)을 수신기 생산 라이센스를 획득한 제조업체에 할당한다.
[1단계: 제1 부분 확인]
첫 번째로, 인증 소프트웨어는 제1 부분이 PVT 및 수신기 공개 ID 두 가지 모두를 맞는 형태로 포함하는지를 확인한다. 예를 들어, 인증 요청에 첨부로 제출되기 전에 제1 부분이 누군가에 의해서 암호화되면, 인증 요청은 중단될 것이다. 특히, 제1 부분은 암호화가 되지 않은 원래 상태여야 한다.
만약 신고된PVT 및/또는 수신기 공개 ID가 맞는 형태가 아니라면, 인증 소프트웨어는 제1 부분의 손상으로 인증 프로세스가 수행될 수 없다는 것을 알리는 증명서를 제공한다.
[2단계: 제2부분의 최초 복호화]
인증 소프트웨어는 해당 데이터 패키지를 생산한 수신기의 제1 부분(“읽기 가능한 정보”)에서 신고된 수신기 공개 ID를 기초로 수신기 비밀 ID를 검출한다.
이 후 인증 소프트웨어는 데이터 패키지의 제2 부분(또는 En2)를 복호화하기 위해 수신기 비밀 ID를 이용한다. 이 후에 En1(암호화된 상태여서 아직 사용불가능) 및 PVT 산출에 이용되는 Galileo 위성을 확인하는 28 비트 패턴을 읽는다.
인증 소프트웨어가 수신기 비밀 ID로 제2 부분을 복호화할 수 없다면, 인증 소프트웨어는 다음과 같은 사항 중 하나를 나타내는 경고를 알리는 증명서를 발생시킨다:
o 수신기 공개 ID가 손상되었다는 경고로 해당되는 수신기 비밀 ID가 틀린 복호화 키임을 의미;
o 또는, 제2 부분(“디지털 인증 코드”)가 손상되었다는 경고로 복호화 될 수 없음을 의미;
이러한 경고를 포함한 증명서는 제1 부분에서 나타난 PVT가 인증될 수 없다는 것을 의미하게 된다. 반대로, 이것이 반드시 PVT가 조작되거나 위조되었다는 것을 의미하는 것은 아니다.
인증 소프트웨어가 수신기 비밀 ID로 제2 부분을 복호화 할 수 있다면, 인증 소프트웨어는 제1 부분에서 신고된 수신기 공개 ID가 옳다는 것을 보여주는 증명서의 예비 정보를 발생시킬 것이다.
[3단계: 제2 부분의 2차 복호화]
En2의 우주 비행체 식별자 부분에서 신고된 Galileo 위성 목록을 기초로, 인증 소프트웨어는 모든 Galileo 위성의 암호 토큰 보관에 힘입어 En1을 위한 복호화 키를 산출한다. 키는 데이터 패키지(및 수신자 개별 ID도 가능) 의 제1 부분에서 제공된 시간에 기초하여 검출된 암호 토큰의 사전에 정해진 순서에 따른 집합이다.
상기 키 덕분에, 인증 소프트웨어는 En1을 복호화하고, 이에 따라 수신기가 산출한 다음 데이터 모두에 접속하도록 할 수 있다
o PVTE6,
o PVTE1,E6,
o 수신기 공개 ID,
o 사용자 공개 ID (선택적),
o 신뢰성 있는 PVT 구간의 차원(dimension).
인증 소프트웨어는 제2 부분에 암호화된 형태로 저장된 모든 데이터를 읽고, 이를 제1 부분의 데이터와 비교하여 양 데이터 모음이 일관성이 있는지를 점검한다.
이를 위해, 인증 소프트웨어는 다음을 확인할 것이다:
o PVTE1 , E6 가 제1 부분에서 신고된 PVT와 일치하는지 여부;
o PVTE1 , E6 가 PVTE6 를 중심으로 한 신뢰성 있는 PVT 구간에 포함되는지 여부;
o 제1 부분에서 선택적으로 신고된 사용자 공개 ID가 제2 부분에 포함된 사용자 공개 ID와 일치하는지 여부.
o 제2 부분에 포함된 소프트웨어의 해쉬값(hash value)이 인증 서비스 센터가 신뢰성 있는 것으로 인식한 소프트웨어의 버전에 맞는지 여부.
상기 사항들의 확인 결과에 따라서, 소프트웨어는 신고된 PVT가 맞는지, 그렇다면 그에 해당하는 신뢰할 수 있는 정확도는 얼마인지, 신고된 사용자 공개 ID가 만약 있다면 맞는 것인지를 보여주는 디지털 증명서를 생성한다.
2단계 암호화 및 2단계 복호화의 배경에는 인증 소프트웨어가 PVT 산출 시점에 어떤 위성이 수신기의 시야에 있는지 미리 추측할 수 없다는 사실에 있다. 이론적으로 한번의 암호화 및 한번의 복호화가 충분할 수 있었다. 제1 부분에서 나타난 PVT의 시점과 지리적 위치를 바탕으로 소프트웨어는 당시의 수신기 상공의 8개 또는 그 이하의 어떤Galileo 위성이 있었는지 도출할 수 있었다. 하지만, 이들 위성 중 일부는 마스크(mask) 되었을 수 있어 수신기가 감지할 수 없을 수 있다. 올바른 복호화 키(키)를 얻기 위해서, 소프트웨어는 28 시험을 수행해야 하는데, 8개의 위성 각각이 보이는 경우와 아닌 경우의 상황적 조합에 해당하는 모든 가능한 암호 토큰의 집합(concatenation)의 시험이다. 인증 프로세스를 지연시킬 수 있는 이러한 시험을 거치지 않기 위해서, 두 번째 암호화 및 상응하는 첫 번째 복호화는 캡슐화된 PVT에 접근하기 위한 복호화 키를 산출하기 위해 어떤 위성이 고려되어야 하는지에 대한 올바른 정보를 인증 소프트웨어에 제공한다.
[4단계: 요청자에게 인증의 증명서 전송]
다음으로, 인증 서비스 센터는 요청자에게 제출된 데이터 패키지 및 다음 내용을 나타내는 증명서를 전송한다:
o Info 1: 제1 부분이 올바른 포맷인지 여부;
o Info 2: 만약 그렇다면, 신고된 수신기 공개 ID가 올바른지 여부;
o Info 3: 만약 그렇다면, 신고된 PVT가 조작되지 않았는지 여부;
o Info 4: 만약 그렇다면, 인증 수신기에 탑재된 소프트웨어가 인증 서비스 센터에 의해 인식되는지 여부;
o Info 5: 만약 그렇다면, E1, E6B(및 선택적으로 E5A도 포함) 의 네비게이션 메시지가 일관성이 있는지 여부;
o Info 6: 만약 그렇다면, 나타난 PVT가 신뢰 되는 PVT구간에 포함이 되는지;
o Info 7: 신고된 사용자 공개 ID가 올바른지 여부;
o Info 8: 만약 그렇다면, “인증(authentication)” 정확도가 신뢰성 있는 PVT 구간의 차원(dimension)을 바탕으로 미터로 측정된다.
Info 1에서 8은 연산 데이터이다. Info 8은 정수(integer number)이다. 이들 정보 부분들은 다음과 같은 것을 의미한다:
o Info 1이 틀린 경우, 증명서는 어떤 종류의 가치도 없으며, 그 밖의 Info들은 무관한 내용이다.
o Info 2이 틀린 경우, 증명서는 어떤 종류의 가치도 없으며, 그 밖의 Info들 역시 무관한 내용이다.
o Info 3이 틀린 경우, 증명서는 제1 부분에서 신고된 PVT가 수신기에서 산출된 후 변경된 것을 증명한다;
o Info 4이 틀린 경우, PVT 산출에 활용된 소프트웨어가 인증 서비스 센터에 알려지지 않았다는 것을 증명서가 증명한다;
o Info 5이 틀린 경우, E1에 대한 스푸핑(spoofing) 공격의 대상이 될 수 있지만, PVTE6 가 여전히 신뢰성이 있다는 것을 증명서가 증명한다;
o Info 6 이 틀린 경우, 수신기의 라디오 네비게이션 신호 부분이 공격의 대상이 되었을 가능성이 가장 높지만, PVTE6 가 여전히 신뢰성이 있다는 것을 증명서가 증명한다;
o Info 7이 틀린 경우, 만일 사용자 공개 ID가 있을 경우 수신기 제1 부분에서 산출이 된 후 변경되지 않았다는 것을 증명서가 증명한다.
증명서는 PVT 또는 수신기 공개 ID를 제공하지 않는다. 다시 말해, 제1 부분(“읽기 가능한 정보”)이 암호화된 형태로 제출되거나 또는 분실된다면, 인증 서비스 센터는 요청자가 이 정보에 접근하는 것을 수신기 사용자가 허용하지 않는 것으로 간주된다. 이 때, 인증 서비스 센터는 PVT 또는 수신기 공개 ID중 어떤 것도 나타내지 않는다. 다시 말해, 제2 부분(디지털 인증 코드)이 재-암호화되지 않는다면 기술적으로 가능하지만, 인증 서비스 센터는 개인 정보 보호를 파괴하도록 되어 있지 않다.
전 세계에서 발생하는 데이터 패키지 증명서 생성은 인증 서비스 센터가 전 세계적인 네비게이션 주파수 감시를 간접적으로 확보하고, 그리하여 재밍(jamming), 스푸핑(spoofing), 항로방해전파(meaconing) 공격들을 감지하고 위치를 인식하도록 한다. 예를 들어, 인증 서비스 센터는 이러한 공격 감지와 관련된 국가적 기관들에 경고를 보낼 수 있다..
[ GNSS 위협요인에 대응하는 견고성]
재밍(jamming)에 대응하는 견고성
어플리케이션은 모든 네비게이션 주파수에 대한 동시 공격에 대항하여 보호할 수가 없다. 하지만, 적어도 하나의 네비게이션 주파수가 잼(jam)이 안되었다면, 재밍(jamming) 공격은 감지되고 해결될 수 있는데, 다시 말해 수신기가 문제의 주파수에서 도출된 PVT에 여전히 의존할 수 있다는 것이다.
스푸핑에 대응하는 견소성
기존의 스푸핑 공격자들은 암호화된 신호를 시뮬레이션 할 수 없다. 특히, E6B Galieo 레인징 코드(ranging code)는 모사할 수 없다. 그러므로, E6B 코드는 스푸핑(spoofing) 위험에 취약하지 않다.
그러나, E6B를 최초에 직접적으로 획득하는 것은 매우 복잡한데, E6B 확산 코드(spreading code)가 주기적이지 않은 암호화 시퀀스라는 사실 때문이다. 시간을 잘 예측하는 것은 필수적이며, 이는 최소 신호 획득이 E1A에서 수행되었음을 의미한다. 이러한 첫 시간 추정은 E6B 획득 프로세스 개시를 가능하게 한다. 만약 E1A의 네비게이션 메시지가 조작(스푸핑에 의해)되면, E6B획득은 시작될 수 없다. 그래서, 첫 번째 대책은 E6B 획득이 수행될 수 있는지 점검하는 것이다. 만약 그렇지 않다면, 수신기는 E1A 포함 신호를 사용한 것이다.
나아가, PVTE6 를 산출하기 위해서, E6B 데이터 메시지에 신뢰성 있는 네비게이션 데이터(달력, 클락 수정 등) 이 필요하다.
그러므로, 인증 수신기는 각각의 수신된 네비게이션 데이터의 무결성을 점검하는데, E6B로 암호화된 수신 네비게이션 데이터의 핑거프린트와 E1A에서 수신된 네비게이션 데이터의 SHA-256 값(PVT솔루션 계산에 활용된 모든 Galileo 위성에 대해) 을 비교하는 것으로 이루어 진다.
암호 토큰은 인증 디지털 코드의 암호화 공격에 대항하는 리플레이 방지(anti-replay) 메커니즘을 제공하는 것을 목표로 한다.
인증 수신기는 2개의 PVT 솔루션을 산출한다(동일한 Galileo 위성들을 사용). 하지만, PVTE1 , E6 가 가장 정확한 것임에도, PVTE6 만이 스푸핑(spoofing) 공격에 대해 견고성을 보이고, 신뢰 구간을 정하는데 활용되는 믿을 만한 참고사항이 된다(독립형 SIS 인증).
항로방해전파( Meaconing ) 에 대항하는 견고성
항로방해전파(meaconing)는 GNSS 수신기를 속일 수 있는 가장 효과적인 방법이다. 이른바 “견고하다”는 GPS P(Y)-code 또는 Galileo PRS 와 같은 서비스 조차 항로방해전파 공격에 저항성이 없다.
하지만, 공격자가 E1, E5, E6와 같은 네비게이션에 쓰이는 모든 주파수 스펙트럼을 항로방해하지 않을 경우 항로방해전파공격은 해결될 수 있다. 이 때, 다중-주파수 수신기는 PVTE1, PVTE5 and PVTE6가 제공하는 위치 간의 불일치를 쉽게 감지할 수 있다. 이는 본 예시에 따른 수신기의 사례를 보여준다.
일부 항로방해전파 공격은 수신기가 위치 및/또는 PVT의 갑작스러운 이동을 감지할 때 감지될 수 있다. 인증 수신기는 이런 기능을 포함하게 된다.
수신기에서 시간 및/또는 위치가 급진적으로 변화하도록 하는 항로방해전파 공격은 수신기가 GNSS 신호에만 의존할 때 감지되지 않을 수 있다. 이러한 공격은 수신기가 무딘 네비게이션 센서를 장착할 경우 감지될 수 있다. 인증 수신기는 이러한 센서를 포함하게 된다.
[위치 데이터 변경 가능성에 대항하는 견고성]
어플리케이션은 공격자가 데이터 패키지 제1 부분의 PVT 및/또는 수신기 공개 ID를 변경하지 못하도록 하며, 특히 평문의 형태로 보호할 정보가 저장 또는 전송될 때 가능하다. 하지만, 어플리케이션은 그러한 변경을 감지하는 역할을 하게 된다.
PVT 조작을 해결하기 위해, 수신기 소프트웨어는 사용자가 서비스 업체나 주변인에게 전송하도록 생성된 데이터 패키지를 보호하도록 하는 알고리즘을 포함할 수 있다. 이러한 암호화는 제3자가 제1 부분 데이터 패키지 PVT 및/또는 수신기 공개 ID를 변경하려는 시도에 대항하여 보호를 할 수 있는 좋은 방법이다.
[응용 프로그램 자체에 대한 공격에 대항하는 취약성]
수신기 펌웨어를 포함한 모든 보안 자산은 인증 수신기의 보안 경계선 내에서 실행된다. 또한, 호스트 장비는 PVT 산출에 활용되는 데이터 및 소프트웨어 무결성을 점검을 가능하게 하는 메커니즘을 포함한다.
전용 GNSS 수신기는 핵심적인 소프트웨어와 보안 자산이 노출되고 도난 당하지 않도록 하는(사용자 또는 서비스 업체를 포함) 암호 모듈(crypto-module)을 장착하게 된다.
공격자가 잘못된 신뢰성 있는 데이터 패키지를 생성하는 것이 여기서 위협요인이 되는데, 성공적으로 “증명서 테스트(certificate test)”를 통과하였음에도 불구하고 위조된 경우가 해당된다. 인증 어플리케이션을 무너뜨리기 위해, 공격자는 다음과 같은 사항을 수행한다:
(1) 수신기 개별 ID에 침투;
(2) 공격에 해당되는 시기의 모든 NONCE들과 모든 궤도력을 기록 보관; 및
(3) 캡슐화 소프트웨어의 역설계(reverse engineering)를 수행.
상기 (1)은 실현되기 매우 어려울 수 있다. 인증 서비스 센터의 수신기 ID 데이터베이스에 무허가 접근 또는 인증 수신기의 조작 방어형 메모리 정보를 읽는 과정이 필요하기 때문이다. 또는, 수신기 개별 ID는 “강력한 공격”에 의해 깨질 수 있지만, 수신기 개별 ID에서 암호화된 데이터 부분은 단 28 비트 길이에 해당될 뿐이다. 현재 최신 기술 알고리즘은 오늘 날의 컴퓨터 처리 능력으로 이미 강력한 공격에 저항력을 갖고 있다. 암호화 데이터의 짧은 길이로 인해 공격자들은 미래에는 키를 돌파하기가 더욱 어려워질 것이다. 제조업체들은 수신기 공개 ID와 수신기 개별 ID사이 관계를 지속적으로 추적하는데, 이것이 도난 당할 경우, 제조업체는 인증 수신기 생산 후에 이러한 정보를 소멸하도록 강요 받는 상황이 될 수 있는 것이 또 다른 위협요인이다.
상기 (2)는 공격자가 장기간에 걸쳐 네비게이션 키에 접근가능하고, E6B 데이터 메시지에 나타난 모든 NONCEs의 기록을 보관할 수 있을 때만 가능하다. 상기 (2)는 다음과 같이 대비되어야 한다:
o 모든 CS 수신기에 보안 경계선을 설정 (먼저 상용 서비스 인터페이스 통제문서(Commercial Service Interface Control Document)가 공개되지 않고, 상용 서비스 수신기 생산이 면허를 획득한 제조업체에서만 이루어 져야 함.);
o 인증 수신기의 보안 경계선에 높은 기준을 설정함;
o 네비게이션 키의 분배를 보호.
첫 번째로 상기 (3)은 라이센스를 획득한 캡슐화 소프트웨어 도난으로 발행할 수 있다. 이런 소프트웨어의 분배 및 갱신(update)은 보안된 채널을 통해 보호되어야 한다. 암호 토큰의 정기적이며 빈번한 갱신(refreshment)를 통해 만족스러운 방법으로 역설계(reverse engineering)가 방지될 수 있을 것이다.
상기 공격들 중 어떤 것도 현재 최고의 기술을 기초로는 하는 어떤 해커에 의해서도 가능하지 않다.

Claims (15)

  1. 라디오 네비게이션 신호 수신기를 이용하여 인증 가능한 위치 및 시간 정보를 제공하는 방법에 있어서,
    a) 다수의 라디오 네비게이션 신호 소스로부터 송출된 라디오 네비게이션 신호들을 수신하는 단계, 여기서 상기 라디오 네비게이션 신호들 중 적어도 일부는 암호화로 보호되는 하나 또는 하나 이상의 암호 토큰들을 포함하고, 상기 암호 토큰들은 수시로 갱신됨;
    b) 복호화에 의해 상기 암호 토큰들을 포함하는 상기 라디오 네비게이션 신호들로부터 상기 암호 토큰들을 검출하는 단계;
    c) 상기 수신된 라디오 네비게이션 신호를 기초로 위치 데이터를 확정하는 단계, 여기서 상기 위치 데이터는 상기 라디오 네비게이션 신호 수신기의 지리적 위치와 시간을 포함함;
    d) 적어도 상기 위치 데이터 및 상기 검출된 암호 토큰을 입력으로 갖는 암호화 함수를 이용하여 디지털 인증 코드를 생성하는 단계; 및
    e) 첫 번째 부분과 두 번째 부분을 포함하는 데이터 패키지를 생성하는 단계, 여기서 상기 첫 번째 부분은 상기 위치 데이터와 수신기 공개 식별자(public identifier)를 포함하고, 상기 두 번째 부분은 상기 디지털 인증 코드를 포함하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  2. 제 1항에 있어서,
    암호 토큰을 포함하는 상기 라디오 네비게이션 신호들 각각은 상기 라디오 네비게이션 신호를 송출하는 상기 라디오 네비게이션 신호 소스에 특정된 암호 토큰을 포함하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  3. 제 2항에 있어서,
    상기 제1 부분 또는 상기 제2 부분은 상기 암호 토큰이 검출된 라디오 네비게이션 신호를 송출했던 라디오 네비게이션 신호 소스를 식별하는 소스 식별 데이터 더 포함하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  4. 제 1항 내지 제 3항 중 어느 한 항에 있어서,
    상기 복원된 암호 토큰의 기능을 하는 암호 키를 바탕으로, 상기 암호화 함수는 상기 위치 데이터의 해쉬값(hash value) 또는 암호문(ciphertext)을 상기 디지털 인증 코드로서 생성하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  5. 제 4항에 있어서,
    상기 암호화 함수는 적어도 상기 위치 데이터 및 상기 수신기 공개 식별자(public identifier)의 암호문(ciphertext) 또는 상기 해쉬값(hash value)을 생성하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  6. 제 4항 또는 제 5항에 있어서,
    보호할 부가 데이터를, 예를 들어 사용자 식별 데이터, 시그날 인 스페이스(signal-in-space) 무결성 데이터, 수신기 소프트웨어 핑거프린트, 부가 위치 데이터, 사용자 및/또는 하나 또는 하나 이상의 디지털 문서를 식별하는 디지털 서명(signature)와 같은, 제공하는 단계를 포함하고, 여기서 상기 보호할 부가 데이터를 더 입력으로 갖는 상기 암호화 함수를 이용하여 상기 디지털 인증 코드가 생성되는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  7. 제 6항에 있어서,
    상기 암호화 함수는 상기 암호 키를 기초로 적어도 상기 보호할 부가 데이터의 암호문(ciphertext) 또는 해쉬값(hash value)을 생성하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  8. 제 2항과 조합된 제 4항 내지 제 7항 중 어느 한 항에 있어서,
    상기 암호 키가 상기 암호 토큰의 집합(concatenation)을 포함하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  9. 제 8항에 있어서,
    상기 수신기가 상기 인증 기관에 알려진 수신기 비밀 식별자(identifier)를 상기 수신기 내에 저장하고, 여기서 상기 암호 키가 상기 암호 토큰의 집합(concatenation) 및 상기 수신기 비밀 식별자(identifier)의 일부 또는 전체를 포함하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  10. 제 1항 내지 제 8항 중 어느 한 항에 있어서,
    예를 들어, 대칭 암호화 기법(symmetrical encryption scheme) 등에 따라 상기 제2 부분을 암호화하는 단계를 포함하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  11. 제 1항 내지 제 10항 중 어느 한 항에 있어서,
    암호 토큰을 포함하는 상기 라디오 네비게이션 신호의 그것들은 암호화된 라디오 네비게이션 신호이고, 및/또는 상기 암호화된 데이터 컨텐츠의 일부로 상기 암호 토큰을 포함하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  12. 제 1항 내지 제 11항 중 어느 한 항에 있어서,
    상기 인증 기관으로부터 암호화에 의해 보호된 하나 또는 하나 이상의 상기 암호 토큰들에 응하기 위해 네비게이션 키를 요청하는 단계 및 보안 통신 채널을 통해서 상기 네비게이션 키를 수신하는 단계를 포함하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  13. 제 1항 내지 제 12항 중 어느 한 항에 있어서,
    상기 라디오 네비게이션 신호 수신기는 단계 a) 내지 e)의 일부 또는 전체가 수행되는 동안 내에 보안 파라미터를 포함하는 인증 가능한 위치 및 시간 정보를 제공하는 방법.
  14. 제 1항 내지 제 13항 중 어느 한 항에 청구된 것과 동일한 방법을 수행하는 라디오 네비게이션 신호 수신기.
  15. 데이터 패키지의 신뢰성(authenticity)을 확인하는 방법에 있어서,
    제 1항 내지 제 13항 중 어느 한 항에서 청구된 것과 동일한 방법에 따라 추정적으로 생성된 데이터 패키지를 수신하는 단계, 여기서 상기 데이터 패키지는 위치 데이터를 포함하는 제1 부분 및 디지털 인증 코드를 포함하는 제2 부분을 포함하고, 상기 위치 데이터는 추정된 지리적 위치 및 시간을 포함함;
    라디오 네비게이션 신호 수신기가 상기 시간에 상기 지리적 위치에 실제로 있었다면, 상기 라디오 네비게이션 신호 수신기가 수신하였을 하나 또는 하나 또는 하나 이상의 암호 토큰들을 검출하는 단계;
    상기 위치 데이터와 상기 디지털 인증 코드가 상호 일치하는지 여부를 확인하는 단계;
    상기 위치 데이터와 상기 디지털 인증 코드가 상호 일치되면, 상기 데이터 패키지를 인증하는 단계, 또는 상기 위치 데이터와 상기 디지털 인증 코드가 상호 일치되지 않는다면, 상기 데이터 패키지를 부적합한 것으로 거부하는 단계를 포함하는 데이터 패키지의 신뢰성을 확인하는 방법.
KR1020137001117A 2010-06-15 2011-05-31 인증 가능한 시간 및 위치 정보 제공 방법 KR101701912B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP10166025.6 2010-06-15
EP10166025A EP2397868A1 (en) 2010-06-15 2010-06-15 Method of providing an authenticable time-and-location indication
PCT/EP2011/058989 WO2011157554A1 (en) 2010-06-15 2011-05-31 Method of providing an authenticable time-and-location indication

Publications (2)

Publication Number Publication Date
KR20130097706A true KR20130097706A (ko) 2013-09-03
KR101701912B1 KR101701912B1 (ko) 2017-02-02

Family

ID=43415214

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137001117A KR101701912B1 (ko) 2010-06-15 2011-05-31 인증 가능한 시간 및 위치 정보 제공 방법

Country Status (13)

Country Link
US (1) US8948392B2 (ko)
EP (2) EP2397868A1 (ko)
JP (1) JP5788976B2 (ko)
KR (1) KR101701912B1 (ko)
CN (1) CN102933980B (ko)
AU (1) AU2011267274B2 (ko)
BR (1) BR112012031598B1 (ko)
CA (1) CA2800193C (ko)
ES (1) ES2478876T3 (ko)
MX (1) MX2012013071A (ko)
NZ (1) NZ603704A (ko)
RU (1) RU2531384C2 (ko)
WO (1) WO2011157554A1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101677136B1 (ko) * 2015-05-27 2016-11-17 국방과학연구소 단일 암호화 신호원을 이용한 위성항법 기만 검출 시스템 및 방법
KR20180116012A (ko) * 2017-04-14 2018-10-24 수상에스티(주) 포지션 데이터 패킷 전송장치 및 방법
KR20180128328A (ko) * 2017-05-23 2018-12-03 수상에스티(주) 장거리 저속통신에서의 데이터 암호화 방법
KR20190003029A (ko) * 2017-06-30 2019-01-09 주식회사 엘핀 지오펜싱 기술을 이용한 위치 기반 암호 인증 장치 및 이를 포함하는 암호 인증 시스템
KR20190132624A (ko) * 2017-01-11 2019-11-28 더 유럽피안 유니언, 레프레젠티드 바이 더 유럽피안 커미션 무선항법 인증을 위한 방법 및 시스템
WO2023204589A1 (ko) * 2021-11-15 2023-10-26 한국과학기술원 개인 위치 정보의 민감 단계별 프라이버시 보호 및 효율적 원본 위치 복구 기법

Families Citing this family (83)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7162035B1 (en) 2000-05-24 2007-01-09 Tracer Detection Technology Corp. Authentication method and system
US8171567B1 (en) 2002-09-04 2012-05-01 Tracer Detection Technology Corp. Authentication method and system
US8842834B2 (en) * 2007-03-19 2014-09-23 Harris Corporation Robust delivery of packet based secure voice
US7995196B1 (en) 2008-04-23 2011-08-09 Tracer Detection Technology Corp. Authentication method and system
JP6029592B2 (ja) * 2011-11-19 2016-11-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 記憶装置
JP5667967B2 (ja) * 2011-12-20 2015-02-12 株式会社 日立産業制御ソリューションズ 位置情報認証システムおよび位置情報認証方法
CN103260157B (zh) * 2012-05-07 2015-12-16 中国交通通信信息中心 面向卫星通信业务的用户管理系统及其使用方法
CN103259654B (zh) * 2012-05-07 2016-06-29 中国交通通信信息中心 一种基于卫星通信业务的智能卡管理系统
CN103260153B (zh) * 2012-05-07 2015-07-15 中国交通通信信息中心 一种卫星通信服务系统
CN103260160B (zh) * 2012-05-07 2016-09-21 中国交通通信信息中心 基于卫星通信业务的rdss用户认证方法
FR2992069B1 (fr) * 2012-06-15 2016-11-18 Thales Sa Systeme de radio-navigation par satellite a architecture deportee
EP2680037A1 (en) * 2012-06-27 2014-01-01 Astrium Limited Authentication of satellite navigation signals
WO2014166527A1 (en) * 2013-04-09 2014-10-16 Nec Europe Ltd. Method for generating a dataset structure for location-based services and method and system for providing location-based services to a mobile device
US9507026B2 (en) * 2013-05-04 2016-11-29 Trimble Navigation Limited Apparatus for verified antispoofing navigation
EP2806285B1 (en) * 2013-05-24 2018-12-19 Nxp B.V. A vehicle positioning system
ITVI20130169A1 (it) 2013-07-01 2015-01-02 Qascom S R L Metodo ed apparato per l¿autenticazione di un segnale di navigazione satellitare usando il segnale del galileo commercial service
EP2824480A1 (en) 2013-07-09 2015-01-14 The European Union, represented by the European Commission Digitally-signed satellite radio-navigation signals
CN103439704B (zh) * 2013-07-24 2015-05-13 中国西安卫星测控中心 一种基于虚拟站的三程观测数据处理方法
US9606218B2 (en) 2013-07-26 2017-03-28 Here Global B.V. Route verification from wireless networks
CN103457932B (zh) * 2013-08-15 2016-08-10 中电长城网际系统应用有限公司 一种云计算环境数据安全存储方法和系统
US9395442B2 (en) 2013-10-08 2016-07-19 Motorola Solutions, Inc. Method of and system for assisting a computer aided dispatch center operator with dispatching and/or locating public safety personnel
US9094392B1 (en) * 2013-10-28 2015-07-28 Rockwell Collins, Inc. GNSS receiver autonomous signal authentication using signal stability analysis system and related method
RU2560810C2 (ru) * 2013-11-01 2015-08-20 Илья Самуилович Рабинович Способ и система защиты информации от несанкционированного использования (ее варианты)
JP6213258B2 (ja) 2014-01-21 2017-10-18 株式会社デンソー 位置情報認証システム、測位端末、および位置情報取得装置
JP6379503B2 (ja) * 2014-02-06 2018-08-29 株式会社デンソー 航法メッセージ認証型測位装置
JP6291883B2 (ja) 2014-02-06 2018-03-14 株式会社デンソー 測位端末
JP6269123B2 (ja) * 2014-02-06 2018-01-31 株式会社デンソー 測位機能付き装置、測位結果受信装置、及び測位結果利用システム
JP6427889B2 (ja) * 2014-02-06 2018-11-28 株式会社デンソー 航法メッセージ認証システム、受信端末、及び認証処理装置
US10097951B2 (en) * 2014-03-31 2018-10-09 Mcafee, Llc Provable geo-location
EP2930535A1 (en) * 2014-04-08 2015-10-14 The European Union, represented by the European Commission Method and system to optimise the authentication of radionavigation signals
WO2015160001A1 (en) * 2014-04-15 2015-10-22 Korea National University Of Transportation Industry-Academic Cooperation Foundation Position authentication
US9470796B2 (en) * 2014-04-23 2016-10-18 Opentv, Inc. Techniques for securing live positioning signals
US11435482B2 (en) * 2014-06-18 2022-09-06 Continental Teves Ag & Co. Ohg Method for verifying the plausibility of GNSS position signals
CA2895366C (en) 2014-06-23 2021-11-16 The Toronto-Dominion Bank Systems and methods for authenticating user identities in networked computer systems
DE102014213351A1 (de) * 2014-07-09 2016-01-14 Siemens Aktiengesellschaft Gesichertes Verarbeiten eines Signalausschnittes eines Empfangssignals
US10278069B2 (en) * 2014-08-07 2019-04-30 Mobile Iron, Inc. Device identification in service authorization
US9635011B1 (en) 2014-08-27 2017-04-25 Jonetix Corporation Encryption and decryption techniques using shuffle function
US9923719B2 (en) 2014-12-09 2018-03-20 Cryptography Research, Inc. Location aware cryptography
WO2016091306A1 (en) 2014-12-10 2016-06-16 Here Global B.V. Apparatus and associated method for providing u-turn guidance
KR102336293B1 (ko) * 2014-12-19 2021-12-07 삼성전자 주식회사 전자기기의 제어 방법 및 장치
USD803241S1 (en) 2015-06-14 2017-11-21 Google Inc. Display screen with animated graphical user interface for an alert screen
US9361011B1 (en) 2015-06-14 2016-06-07 Google Inc. Methods and systems for presenting multiple live video feeds in a user interface
USD812076S1 (en) 2015-06-14 2018-03-06 Google Llc Display screen with graphical user interface for monitoring remote video camera
US10133443B2 (en) 2015-06-14 2018-11-20 Google Llc Systems and methods for smart home automation using a multifunction status and entry point icon
GB2540536B (en) * 2015-06-24 2021-07-21 Nottingham Scient Limited Method of testing a PNT configuration
US10142296B2 (en) * 2015-07-24 2018-11-27 Google Llc Systems and methods for improving precision of a location sensor
US9716697B2 (en) 2015-07-24 2017-07-25 Google Inc. Generating bridge match identifiers for linking identifiers from server logs
US10263779B2 (en) 2015-09-24 2019-04-16 Jonetix Corporation Secure communications using loop-based authentication flow
EP3165940B1 (en) * 2015-11-04 2022-04-20 Nxp B.V. Embedded communication authentication
NL2016671B1 (en) 2016-04-25 2017-11-07 Fugro N V GNSS Message Authentication.
USD882583S1 (en) 2016-07-12 2020-04-28 Google Llc Display screen with graphical user interface
US20180018081A1 (en) * 2016-07-12 2018-01-18 Google Inc. Methods and Systems for Presenting Smart Home Information in a User Interface
US10263802B2 (en) 2016-07-12 2019-04-16 Google Llc Methods and devices for establishing connections with remote cameras
US10386999B2 (en) 2016-10-26 2019-08-20 Google Llc Timeline-video relationship presentation for alert events
US11238290B2 (en) 2016-10-26 2022-02-01 Google Llc Timeline-video relationship processing for alert events
USD843398S1 (en) 2016-10-26 2019-03-19 Google Llc Display screen with graphical user interface for a timeline-video relationship presentation for alert events
AU2018218371B2 (en) 2017-02-09 2021-05-20 The University Of Tokyo Position information processing system and position information processing device
CN106686597A (zh) * 2017-03-17 2017-05-17 深圳丹勋科技有限公司 一种无人机近场识别手机用户身份的方法
US10683962B2 (en) 2017-05-25 2020-06-16 Google Llc Thermal management for a compact electronic device
US10819921B2 (en) 2017-05-25 2020-10-27 Google Llc Camera assembly having a single-piece cover element
US10972685B2 (en) 2017-05-25 2021-04-06 Google Llc Video camera assembly having an IR reflector
EP3410156A1 (en) * 2017-06-02 2018-12-05 Nokia Technologies Oy Positioning information verification
US10698115B2 (en) 2017-06-27 2020-06-30 Here Global B.V. Supporting an extended use of assistance data for Galileo
US10694382B2 (en) 2017-06-27 2020-06-23 Here Global B.V. Authentication of satellite navigation system receiver
US10732288B2 (en) 2017-06-27 2020-08-04 Here Global B.V. Enhanced use of satellite navigation system related data
US10891366B1 (en) 2017-08-18 2021-01-12 Jonetix Corporation Secure hardware signature and related methods and applications
CN107864006A (zh) * 2017-11-01 2018-03-30 千寻位置网络有限公司 广播差分数据认证鉴权和加密的系统及方法
US10245904B1 (en) * 2017-12-18 2019-04-02 Ford Global Technologies, Llc Methods and apparatus to facilitate TPMS broadcast mode selection
US11523278B2 (en) 2017-12-21 2022-12-06 Lg Electronics Inc. Method for secured communication and apparatus therefor
US11313973B2 (en) 2018-04-17 2022-04-26 The Mitre Corporation Systems and methods for satellite-based navigation
US11074353B2 (en) * 2018-06-20 2021-07-27 International Business Machines Corporation Blockchain universal RFID translator
US20210221332A1 (en) * 2018-06-25 2021-07-22 Tusimple, Inc. Security architecture for a real-time remote vehicle monitoring system
US11558193B2 (en) * 2018-08-13 2023-01-17 Google Llc Location-based access to controlled access resources
US10752207B2 (en) * 2018-09-07 2020-08-25 Ford Global Technologies, Llc Multi-factor authentication of a hardware assembly
US11546138B2 (en) * 2018-09-28 2023-01-03 Benjamin Allan Mord Information integrity in blockchain and related technologies
KR102082975B1 (ko) * 2018-12-05 2020-02-28 한국항공우주연구원 위성항법장치를 이용한 신관 동작 방법 및 장치
US11445373B1 (en) 2019-08-05 2022-09-13 Satelles, Inc. Validation of position, navigation, time signals
CN115398274A (zh) * 2020-04-22 2022-11-25 高通股份有限公司 Sps欺骗检测
US11757646B2 (en) * 2020-11-02 2023-09-12 Orolia Defense & Security Llc Methods for generating an encrypted signal simulation with a cryptographic interface card (GCIC) and devices thereof
CN112601230B (zh) * 2020-11-30 2022-08-23 中国人民解放军战略支援部队信息工程大学 基于时间窗口和位置加密的位置数据保护方法
CN113985451B (zh) * 2021-10-25 2022-11-15 湘潭大学 一种基于卡尔曼滤波跟踪环路的导航欺骗检测方法和装置
CN114397636B (zh) * 2022-03-25 2022-06-17 中国气象局气象探测中心 一种地基雷达反射率因子均一性评估方法、系统及设备
US20240085566A1 (en) * 2022-09-12 2024-03-14 Swift Navigation, Inc. System and method for gnss correction transmission

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005265769A (ja) * 2004-03-22 2005-09-29 Amano Corp 測位衛星監視システムおよび情報処理装置の位置認証システム
JP2006287327A (ja) * 2005-03-31 2006-10-19 Hitachi Ltd 位置認証方法、移動体端末および制御局
JP2008283235A (ja) * 2007-05-08 2008-11-20 Something Holdings Co Ltd 地盤調査データ、調査位置及び調査時刻を証明する方法
KR20100005878A (ko) * 2008-07-08 2010-01-18 삼성전자주식회사 쥐피에스 단말기가 에이-쥐피에스 단말기의 보조 데이터를공유하기 위한 장치 및 방법

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62114350A (ja) * 1985-11-13 1987-05-26 Hitachi Ltd リモ−トセンシングデ−タの秘匿システム
US5134407A (en) * 1991-04-10 1992-07-28 Ashtech Telesis, Inc. Global positioning system receiver digital processing technique
US5754657A (en) 1995-08-31 1998-05-19 Trimble Navigation Limited Authentication of a message source
US5757916A (en) * 1995-10-06 1998-05-26 International Series Research, Inc. Method and apparatus for authenticating the location of remote users of networked computing systems
US6446206B1 (en) * 1998-04-01 2002-09-03 Microsoft Corporation Method and system for access control of a message queue
JPH11340962A (ja) * 1998-05-25 1999-12-10 Hitachi Ltd 鍵配送方法及び装置
JP2000050193A (ja) * 1998-07-27 2000-02-18 Fuji Photo Film Co Ltd デジタル画像生成方法および装置並びに記憶媒体
JP2002016590A (ja) * 2000-06-30 2002-01-18 Toyo Commun Equip Co Ltd 暗号鍵配送装置及び方法
US6583716B2 (en) * 2001-08-15 2003-06-24 Motorola, Inc. System and method for providing location-relevant services using stored location information
JP2003115874A (ja) * 2001-10-02 2003-04-18 Nippon Telegr & Teleph Corp <Ntt> ネットワークニュース配信サービス方法及び装置及びネットワークニュース配信プログラム及びネットワークニュース配信プログラムを格納した記憶媒体
JP4103465B2 (ja) * 2002-06-26 2008-06-18 ソニー株式会社 情報端末装置、情報処理装置、及び情報送受信システム
JP2005157979A (ja) * 2003-11-28 2005-06-16 Tdk Corp 位置認証システムおよびコンピュータプログラム
KR20060135868A (ko) * 2004-04-08 2006-12-29 미쓰비시덴키 가부시키가이샤 위치 보증 서버, 위치 보증 시스템 및 위치 보증 방법
WO2005107147A1 (ja) * 2004-04-28 2005-11-10 Hitachi, Ltd. 認証システムおよび認証取得装置ならびに認証方法
JP4237677B2 (ja) * 2004-06-02 2009-03-11 インターナショナル・ビジネス・マシーンズ・コーポレーション 取得装置、アクセス制御装置、取得方法、アクセス制御方法、プログラム、及び記録媒体
JP2006267024A (ja) * 2005-03-25 2006-10-05 Toshiba Corp 位置認証システムおよび位置算出装置ならびにプログラム
JP2006304193A (ja) * 2005-04-25 2006-11-02 Toshiba Corp 時刻及び位置認証装置、方法及びプログラム
GB0712376D0 (en) 2007-06-26 2007-08-01 Nxp Bv Processing of satellite navigation system signals
CN201072441Y (zh) * 2007-07-23 2008-06-11 深圳市远东华强导航定位有限公司石家庄分公司 板卡式导航定位接收机
EP2235690B1 (en) 2008-01-15 2018-07-18 Telit Automotive Solutions NV Road toll system
US8391488B2 (en) * 2008-01-18 2013-03-05 Geocodex Llc Method and apparatus for using navigation signal information for geoencryption to enhance security
US20090195354A1 (en) 2008-02-02 2009-08-06 Peter Levin Authenticating a signal based on an unknown component thereof
US7969354B2 (en) 2008-02-02 2011-06-28 Zanio, Inc. Authenticating a signal based on an unknown component thereof
US20110053614A1 (en) * 2008-03-07 2011-03-03 Hitachi, Ltd. Position information system
FR2931336B1 (fr) 2008-05-19 2011-02-11 Eads Secure Networks Procedes et dispositifs d'emission et d'authentification de messages pour garantir l'authenticite d'un systeme
AU2009291759B2 (en) * 2008-09-10 2015-07-09 Nextnav, Llc Wide area positioning system
US8451840B2 (en) * 2008-12-01 2013-05-28 Alcatel Lucent Mobility in IP without mobile IP
JP5493478B2 (ja) * 2009-06-03 2014-05-14 セイコーエプソン株式会社 認証システム及び認証方法
JP5400529B2 (ja) * 2009-08-12 2014-01-29 株式会社日立情報制御ソリューションズ 秘匿された暗号コードを用いた位置情報認証方法および位置情報認証システム
EP2682785B1 (en) * 2012-07-05 2023-08-30 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Concept for data authentication and secured localization based on a satellite navigation signal
US8646060B1 (en) * 2013-07-30 2014-02-04 Mourad Ben Ayed Method for adaptive authentication using a mobile device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005265769A (ja) * 2004-03-22 2005-09-29 Amano Corp 測位衛星監視システムおよび情報処理装置の位置認証システム
JP2006287327A (ja) * 2005-03-31 2006-10-19 Hitachi Ltd 位置認証方法、移動体端末および制御局
JP2008283235A (ja) * 2007-05-08 2008-11-20 Something Holdings Co Ltd 地盤調査データ、調査位置及び調査時刻を証明する方法
KR20100005878A (ko) * 2008-07-08 2010-01-18 삼성전자주식회사 쥐피에스 단말기가 에이-쥐피에스 단말기의 보조 데이터를공유하기 위한 장치 및 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101677136B1 (ko) * 2015-05-27 2016-11-17 국방과학연구소 단일 암호화 신호원을 이용한 위성항법 기만 검출 시스템 및 방법
KR20190132624A (ko) * 2017-01-11 2019-11-28 더 유럽피안 유니언, 레프레젠티드 바이 더 유럽피안 커미션 무선항법 인증을 위한 방법 및 시스템
KR20180116012A (ko) * 2017-04-14 2018-10-24 수상에스티(주) 포지션 데이터 패킷 전송장치 및 방법
KR20180128328A (ko) * 2017-05-23 2018-12-03 수상에스티(주) 장거리 저속통신에서의 데이터 암호화 방법
KR20190003029A (ko) * 2017-06-30 2019-01-09 주식회사 엘핀 지오펜싱 기술을 이용한 위치 기반 암호 인증 장치 및 이를 포함하는 암호 인증 시스템
WO2023204589A1 (ko) * 2021-11-15 2023-10-26 한국과학기술원 개인 위치 정보의 민감 단계별 프라이버시 보호 및 효율적 원본 위치 복구 기법

Also Published As

Publication number Publication date
EP2583117B1 (en) 2014-04-16
AU2011267274B2 (en) 2015-02-05
CN102933980B (zh) 2014-12-10
NZ603704A (en) 2014-07-25
WO2011157554A1 (en) 2011-12-22
US20130251150A1 (en) 2013-09-26
KR101701912B1 (ko) 2017-02-02
MX2012013071A (es) 2013-04-03
CA2800193C (en) 2018-03-06
BR112012031598B1 (pt) 2021-04-06
AU2011267274A1 (en) 2012-12-20
ES2478876T3 (es) 2014-07-23
US8948392B2 (en) 2015-02-03
BR112012031598A2 (pt) 2016-11-08
CA2800193A1 (en) 2011-12-22
EP2583117A1 (en) 2013-04-24
EP2397868A1 (en) 2011-12-21
RU2012141285A (ru) 2014-07-20
CN102933980A (zh) 2013-02-13
JP5788976B2 (ja) 2015-10-07
RU2531384C2 (ru) 2014-10-20
JP2013534622A (ja) 2013-09-05

Similar Documents

Publication Publication Date Title
KR101701912B1 (ko) 인증 가능한 시간 및 위치 정보 제공 방법
EP1329049B1 (en) Method and apparatus for real-time digital certification of electronic files and transactions using entropy factors
US9217792B2 (en) System and method for GNSS in-band authenticated position determination
JP6425722B2 (ja) デジタル署名される衛星無線航法信号
US20180034631A1 (en) Authentication tag, device, system and method
US11231503B2 (en) Secure global navigation satellite systems
CN104603637A (zh) 卫星导航信号的验证
Altay et al. Gps-sec
US10459086B2 (en) Satellite positioning system authentication method and system
CN104509068B (zh) 用于改进数据存取控制的方法、装置和系统
Lewis et al. Secure GPS Data for Critical Infrastructure and Key Resources: Cross‐Layered Integrity Processing and Alerting Service
Ceccato Security in Global Navigation Satellite Systems: authentication, integrity protection and access control
Schielin et al. On the foundation of GNSS authentication mechanisms
Pozzobon et al. Secure tracking using Galileo services
Lax et al. Exploiting European GNSS and Ethereum in location proof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200114

Year of fee payment: 4