CN104521215A - 用于地理认证的***和方法 - Google Patents
用于地理认证的***和方法 Download PDFInfo
- Publication number
- CN104521215A CN104521215A CN201380040278.5A CN201380040278A CN104521215A CN 104521215 A CN104521215 A CN 104521215A CN 201380040278 A CN201380040278 A CN 201380040278A CN 104521215 A CN104521215 A CN 104521215A
- Authority
- CN
- China
- Prior art keywords
- network node
- packet
- node
- enabled
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 238000011144 upstream manufacturing Methods 0.000 claims abstract description 43
- 230000005540 biological transmission Effects 0.000 claims description 68
- 230000001965 increasing effect Effects 0.000 claims description 16
- 238000012795 verification Methods 0.000 description 21
- 238000005562 fading Methods 0.000 description 17
- 230000008054 signal transmission Effects 0.000 description 10
- 238000005070 sampling Methods 0.000 description 9
- 229910052741 iridium Inorganic materials 0.000 description 7
- GKOZUEZYRPOHIO-UHFFFAOYSA-N iridium atom Chemical compound [Ir] GKOZUEZYRPOHIO-UHFFFAOYSA-N 0.000 description 7
- 238000013459 approach Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 5
- 230000010363 phase shift Effects 0.000 description 5
- 230000006855 networking Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 239000002131 composite material Substances 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000035515 penetration Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 108010076504 Protein Sorting Signals Proteins 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000001427 coherent effect Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 230000009191 jumping Effects 0.000 description 2
- 230000004807 localization Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 108020004414 DNA Proteins 0.000 description 1
- 108091028043 Nucleic acid sequence Proteins 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000001678 irradiating effect Effects 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000010287 polarization Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 102220012898 rs397516346 Human genes 0.000 description 1
- 102220095348 rs876659304 Human genes 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/02—Communication route or path selection, e.g. power-based or shortest path routing
- H04W40/20—Communication route or path selection, e.g. power-based or shortest path routing based on geographic position or location
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01S—RADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
- G01S5/00—Position-fixing by co-ordinating two or more direction or position line determinations; Position-fixing by co-ordinating two or more distance determinations
- G01S5/02—Position-fixing by co-ordinating two or more direction or position line determinations; Position-fixing by co-ordinating two or more distance determinations using radio waves
- G01S5/0284—Relative positioning
- G01S5/0289—Relative positioning of multiple transceivers, e.g. in ad hoc networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种用于验证和/或地理定位网络中的网络节点的***和方法。该***包括始发网络节点(120)、目的网络节点(110)和路由器网络节点(140)。始发网络节点(120)通过路由器网络节点将数据包向下游传输到目的网络节点。数据包包含报头部分(150、170)和有效载荷数据部分(160)。至少一个网络节点是启用的网络节点,该启用的网络节点通过分析数据包的报头部分和/或有效载荷数据部分验证位于启用的(一个或更多个)网络节点上游的任何网络节点。更具体地,上游的网络节点的地理定位数据被认证(验证)。
Description
相关申请的交叉参考
本申请是2011年5月23日提交的美国专利申请序列号13/114,013的部分继续申请并要求它的优先权,其为2008年5月30日提交的美国专利申请序列号12/130,880的部分继续申请并要求它的优先权,他们的全部内容通过参考并入在此。本申请涉及2011年3月28日提交的美国专利申请序列号13/073,830和2010年11月18日提交的美国专利申请序列号12/949,404,他们的全部内容通过参考并入在此。
技术领域
本公开涉及地理认证(geothentication),更具体地,涉及基于新型网络数据包结构的地理认证。
背景技术
迄今为止,很多大规模的网络攻击不仅使攻击的接受方仍从遗留的破坏中恢复,而且由于不具有对攻击的起源的清楚的可追踪性,接受方还不能通过反击或其他方式阻止任何进一步地破坏,并且因此经常缺乏授权响应。如果攻击动机不清楚,接受方就不可能进一步地区分攻击是否是只是蓄意破坏的行为、有目的的盗窃或者威胁到国家安全的更有害的途径。因此,任何有助于拒绝恶意(rogue)用户的网络访问和/或提供可追踪数据以协助识别起源的***在减少和减轻拒绝服务(DoS)攻击和网络数据拦截攻击方面具有很大效用。
发明内容
本公开涉及一种用于在网络和网络安全应用的衰减环境中验证和/或地理定位网络中的网络节点的方法、***和装置。更具体地,本公开教导了一种包括始发网络节点和目的网络节点的***。该***进一步包括至少一个路由器网络节点。在一个或更多个实施例中,始发网络节点、目的网络节点和/或至少一个路由器网络节点是启用的网络节点。进一步地,***包括经由至少一个路由器网络节点连接到彼此的始发网络节点和目的网络节点。此外,***包括被配置用于通过至少一个路由器网络节点将数据包向下游传输到目的网络节点的始发网络节点。另外,***包括包含报头部分和有效载荷数据部分的数据包。此外,***包括至少一个启用的网络节点,其被配置为通过分析数据包的报头部分和/或有效载荷数据部分验证位于启用的(一个或更多个)网络节点(即,它自身)上游的网络节点中的至少一个。
在一个或更多个实施例中,报头部分包含安全签名部分和/或路由数据部分。在至少一个实施例中,数据包的安全签名部分包括与数据包已行进通过的网络节点中的至少一个相关的地理定位信息(例如,地理标签)。地理定位信息可以是包括但不限于本领域公知的标准“地理标签”格式的各种形式。例如,地理定位信息(例如,地理标签)可以包括但不限于下面的任何一个:地理定位坐标(即经度和纬度坐标)、得到地理定位信息的时间、至少一部分采样的射频(RF)信号数据和源自至少一些采样的RF信号的至少一部分的编码信息(例如,唯一识别码)。在一些实施例中,通过接收从至少一个发射源传输的结果信号获取与数据包已行进通过的至少一个网络节点相关的地理定位信息,其中结果信号包含至少一个认证信号。在至少一个实施例中,通过比较数据包已行进通过的(一个或更多个)网络节点接收的结果信号的性质和数据包已行进通过的(一个或更多个)网络节点由于其位置应当接收的结果信号的期望性质,验证数据包已行进通过的(一个或更多个)网络节点的位置。在一些实施例中,数据包的报头部分采用互联网协议版本6(IPv6)数据包报头。在至少一个实施例中,地理定位信息存储在IPv6数据包报头内。在一个或更多个实施例中,至少一个发射源是卫星、伪卫星和/或地面发射源。在一些实施例中,卫星是低地球轨道(LEO)卫星、中地球轨道(MEO)卫星和/或地球同步轨道(GEO)卫星。
在至少一个实施例中,与数据包已行进通过的至少一个网络节点相关的地理定位信息通过由数据已行进通过的至少一个网络节点传输至验证位置的另一个网络节点的信号和通过由数据已行进通过的至少一个网络节点从验证位置的网络节点接收的信号所获取的测距信息来确定。
在一个或更多个实施例中,当至少一个启用的网络节点验证任何网络节点时,(一个或更多个)启用的网络节点去除包含在数据包的报头部分中的至少一部分数据。在一些实施例中,当至少一个启用的网络节点验证(或认证)任何网络节点时,(一个或更多个)启用的网络节点去除包含在数据包的报头部分和/或数据包的有效载荷数据部分中的至少一部分数据。在一个或更多个实施例中,当至少一个启用的网络节点验证任何网络节点时,(一个或更多个)启用的网络节点从IPv6数据包报头去除至少一部分数据。在至少一个实施例中,数据包的路由数据部分包含与数据包已行进通过的所有网络节点相关的数据。在至少一个实施例中,数据包的路由数据部分包含与数据包已行进通过的网络节点中的至少一个相关的数据。
在至少一个实施例中,当至少一个启用的网络节点验证网络节点中的至少一个时,(一个或更多个)启用的网络节点将关于验证过的(一个或更多个)网络节点的数据增加到数据包的报头部分。在一个或更多个实施例中,被增加到安全签名部分的数据包括与被验证(一个或更多个)网络节点相关的地理定位信息(例如,地理标签)。在至少一个实施例中,上游的网络节点增加到数据包的数据可以不同于下游的网络节点在下游的网络节点验证上游的网络节点并去除数据包的至少一部分数据之后可以增加到数据包的数据。例如,上游的网络节点可以将大量采样信号数据增加到数据包,而启用的下游的网络节点可以随后在启用的下游的网络节点验证上游的网络节点之后,用较少量数据(例如与上游的网络节点的地理定位信息相关的数据)替换所述大量数据。由于较少量数据与上游的网络节点的地理定位信息相关,可以认为这些数据比与采样信号数据相关的大量数据更安全。在一些实施例中,至少一个启用的网络节点被配置为仅仅传输(一个或更多个)启用的网络节点直接从任何验证过的网络节点接收的数据包。在一个或更多个实施例中,(一个或更多个)启用的网络节点中的至少一个被配置为只传输仅已行进经过验证过的网络节点的数据包(即其中整个节点链必须包括验证过的网络节点)。
在一个或更多个实施例中,启用的网络节点中的至少一个被配置为确定哪个网络节点是能够地理标记(geotag-capable)的网络节点。在一些实施例中,启用的网络节点中的至少一个被配置为确定哪个网络节点是启用的网络节点。在至少一个实施例中,启用的网络节点中的至少一个额外地利用从至少一个发射源传输的接收的信号验证位于(一个或更多个)启用的网络节点(即,其自身)上游的网络节点中的至少一个。在一个或更多个实施例中,仅通过启用的网络节点从始发网络节点向下游传输数据包到目的网络节点。
在至少一个实施例中,公开了一种用于验证(或认证)网络中的网络节点的方法。该方法包括通过至少一个路由器网络节点将数据包从始发网络节点向下游传输到目的网络节点。在一个或更多个实施例中,数据包包含报头部分和有效载荷数据部分。该方法进一步包括,通过分析至少一部分数据包的报头部分和有效载荷数据部分,由至少一个启用的网络节点验证位于(一个或更多个)启用的网络节点(即其自身)上游的网络节点中的至少一个。在至少一个实施例中,至少一个启用的网络节点是始发网络节点、目的网络节点和/或所述至少一个路由器网络节点。
在至少一个实施例中,报头部分包含至少一个网络节点的附加到至少一个数据包的至少一个地理标签(地理证明(geocertificate))形式的地理定位信息。在一些实施例中,数据包可以仅通过能够地理标记的节点(即能够使用地理定位信息标记数据包的网络节点)路由。在一些实施例中,至少一个数据包仅通过能够地理标记的节点路由(即能够使用地理定位信息标记数据包的网络节点),该节点不构成最直接的路径。
在一个或更多个实施例中,通过使用隧道(tunneling)方法通过网络节点路由数据包。在至少一个实施例中,对于隧道方法,当至少一个数据包行进通过至少一个非启用的网络节点(即不能使用地理定位信息地理标记数据包和不能验证其他网络节点或它自己的地理定位信息的网络节点)时,启用的网络节点加密在非启用的网络路径的一端上的数据包。在至少一个实施例中,行进通过(一个或更多个)非启用的网络节点的(一个或更多个)数据包由另一个启用的网络节点在非启用的网络路径的另一端解密。在至少一个实施例中,行进通过至少一个非启用的网络节点的至少一个数据包未被解密,直到其到达它的目的网络节点(即数据被路由到的网络节点)。
在一些实施例中,包含在数据包的报头部分(例如,安全签名部分)中的信息的大小可以在数据包到达它的目的网络节点之前,随着数据包行进通过网络节点继续增长,其中如果目的网络节点是启用的网络节点,它可以被验证(或认证)。在一些实施例中,可以利用下游的启用的网络节点验证(或认证)上游的网络节点,并且然后下游的启用的网络节点可以从数据包报头去除被验证(或被认证)的信息。在至少一个实施例中,启用的下游的网络节点通过检查包含在数据包中的上游的网络节点的安全签名可以验证(或认证)上游的网络节点。在至少一个实施例中,验证上游的网络节点的启用的网络节点可以将指示启用的网络节点是被验证(或被认证)的上游的网络节点的信息增加到数据包报头。
在至少一个实施例中,验证上游的网络节点的启用的网络节点可以将指示启用的网络节点已经确认上游路径(即位于在至少两个网络节点之间运行的启用的网络节点上游的路径)的信息增加到数据包报头。在至少一个实施例中,至少一个上游的网络节点的安全签名至少部分包含表示(一个或更多个)上游的网络节点的地理定位的至少一个地理标签。在一些实施例中,当数据包行进通过包含至少两个网络节点的网络路径时,至少一个启用的网络节点将新的信息增加到数据包报头,而无需去除数据包中的由至少一个上游的启用的网络节点附加的潜在可认证信息。此外,至少一个启用的网络节点去除数据包中的与数据包已经行进通过的至少一个上游的网络节点相关的信息并将新的信息增加到数据包报头。
在一些实施例中,仅启用的网络节点能够实现下面的至少一个:认证(或验证)数据包已经行进通过的至少一个上游的网络节点;认证(或验证)数据包已经行进通过的上游的网络路径;仅路由已经行进通过启用的网络节点并被它们已经行进通过的启用的网络节点认证过的数据包;将确定至少一个网络节点的认证(或验证)的信息附加到数据包报头;将地理标签信息附加到数据包报头;将可信路由器(即启用的网络节点)信息附加到数据包报头;将路径信息附加到数据包报头;从至少一个网络节点的之前验证(或认证)的数据包报头去除信息;从之前已经被验证(或认证)过的至少一个网络节点的数据包报头去除地理标签信息;从之前已经被验证(或认证)过的至少一个网络节点的数据包报头去除可信信息;以及从之前已经被验证(或认证)过的至少一个网络节点的数据包报头去除路径信息。
在一些实施例中,能够地理标记的节点可以使用地理标记数据包增加至少一个网络节点的可信水平。在至少一个实施例中,可以使用地理标记数据包增加至少两个网络节点之间的路径的可信程度,其中至少一个节点是能够地理标记的节点。
在另一些实施例中,本公开教导了包括始发网络节点和目的网络节点的***。该***进一步包括至少一个路由器网络节点。进一步地,该***包括经由至少一个路由器网络节点连接到彼此的始发网络节点和目的网络节点。此外,该***包括被配置用于通过至少一个路由器网络节点向目的网络节点传输数据包的始发网络节点。另外,该***包括包含安全签名部分、路由数据部分和有效载荷数据部分的数据包。
在一个实施例中,现有的基础设施能够采用此方法;然而,鉴于互联网工程任务组(IETF)互联网协议(IP)网络协议和它们在路由器中的实施,它需要额外的努力。对于现有的部署的基础设施,使用启用的硬件的相互关联的路由器网络被用作管理控制平面信令,当允许正常的数据平面业务量采取标准现有快速路径转发时,可以有效地针对具体等级的业务量执行跟踪和追踪方法。例如,能够***具有已知的路由的具体控制平面网络管理数据包,其具有与相同对等路由器之间的特定类的数据平面IP网络业务量相同的路由。这允许一种使用元素(例如,合适的分析法)开发的方案,例如网络归属和决策支持引擎的事件关联引擎,其在完全符合IETF RFCs时可以部署到现有的和未来的部署在控制平面上的基础设施上。所列出将被数据包包含的元素,现在将经由控制平面数据和数据平面流传送,并能够假定为遵循当前的处理和转发机制。
在一个或更多个实施例中,安全签名部分包含数字签名。在一些实施例中,安全签名部分包含数据包从始发网络节点到目的网络节点行进通过的至少一个网络节点的列表。在至少一个实施例中,安全签名部分包含列表中的至少一个网络节点的定时信息,该定时信息指示(一个或更多个)网络节点何时接收和/或传输数据包。在一些实施例中,安全签名部分包含列表中的至少一个网络节点的标识符信息。在一个或更多个实施例中,标识符信息是生物统计信息和/或比特序列识别码。
在至少一个实施例中,安全签名部分包含列表中的至少一个网络节点的地理定位信息。在一个或更多个实施例中,通过网络节点接收至少一个发射源传输的结果信号获取地理定位信息。结果信号包含至少一个认证信号。通过比较网络节点接收的结果信号的性质和网络节点由于其位置应当接收的结果信号的期望性质验证网络节点位置。在一些实施例中,至少一个发射源是卫星、伪卫星和/或地面发射源。在至少一个实施例中,卫星是低地球轨道(LEO)卫星、中地球轨道(LEO)卫星或地球同步轨道(GEO)卫星。
在至少一个实施例中,为了代替附加到每个数据包的地理定位数据,安全网络服务器可以用于周期性地确认能够参与的路由器的位置。通过与安全网络服务器周期性地核对,有能力的装置的终端用户可以验证路由路径从而确定路径中的路由器的位置。由于每个路由器可以具有自身的秘钥,只要秘钥还没有被破解,这就可以用于代替增加地理定位数据到每个数据包或与增加地理定位数据到每个数据包组合。
在一个或更多个实施例中,公开的***采用铱星LEO卫星星座,其中星座中的每个卫星具有传输四十八(48)个具有独特点波束图案的点波束的天线几何形状。在至少一个实施例中,星座中的至少一个铱星卫星可以传输至少一个认证信号。铱星卫星的四十八(48)个点波束可以用于向位于或接近地球表面的网络节点传输本地化认证信号。与这些认证信号相关联的广播消息脉冲串内容包括伪随机噪声(PRN)数据。由于给定的消息脉冲串可以发生在具体时间处的具体卫星点波束内,包括PRN和唯一波束参数(例如,时间、卫星识别(ID)、时间偏置、轨道数据等)的消息脉冲串内容可以用于认证网络节点的位置。应当注意的是,当采用一个上述铱星LEO卫星时,传输信号功率足够强足以允许信号渗透到室内环境。这允许公开的***用于很多认证技术的室内应用。
在一个或更多个实施例中,通过网络节点传输到验证位置的另一个网络节点的信号和网络节点从所述验证位置的网络节点接收的信号所获取的测距信息确定地理定位信息。在至少一个实施例中,公开的***利用以每个服务质量(Quality of Service,(QoS))流为基础的互联网IP业务量的网络级测距原理。在至少一个实施例中,路由数据部分包含数据包的路由信息,其中路由信息包括关于将要发送数据包的目的网络节点的信息。在一个或更多个实施例中,有效载荷数据部分包括将要从始发网络节点传输到目的网络节点的数据。
在至少一个实施例中,一种用于在网络和网络安全应用的衰减环境中验证和/或地理定位网络节点的方法包括,通过至少一个路由器网络节点使用始发网络节点向目的网络节点传输数据包。始发网络节点和目的网络节点经由至少一个路由器网络节点连接到彼此。数据包包含安全签名部分、路由数据部分和有效载荷数据部分。
在一个或更多个实施例中,网络和网络安全应用的网络节点装置包括接收器和处理器。接收器能够从信号源接收信号。处理器能够将与信号有关的信息作为安全签名附加到通过网络节点装置路由的数据包上。
在至少一个实施例中,网络和网络安全应用的认证***包括网络节点装置和处理装置。网络节点装置包含能够从信号源接收信号的接收器,和能够将与信号相关的信息作为安全签名附加到通过网络节点装置路由的数据包上的处理器。处理装置能够将通过网络节点装置路由的数据包的安全签名和与网络节点装置接收的信号相关的已知信息进行比较,从而认证网络节点装置。
在一个或更多个实施例中,网络节点装置的认证至少部分由确定网络节点装置是否物理定位在它的预期地理位置组成。在至少一个实施例中,在授权数据通过之前认证网络节点装置。在一些实施例中,处理装置是蜂窝电话、个人数字助理(PDA)、个人计算机、计算机节点、互联网协议(IP)节点、服务器、Wi-Fi节点和/或受限或不受限节点。
此外,本公开涉及一种用于使用保护点波束认证网络节点的位置的方法、***和设备。具体地,本公开教导了一种基于传输的认证***验证网络节点的地理定位信息的方法。在一个或更多个实施例中,公开的方法包括从至少一个发射源传输认证信号和至少一个保护信号。该方法进一步包括从至少一个接收源接收至少一个结果信号。至少一个结果信号包括认证信号和/或至少一个保护信号。另外,该方法进一步包括通过评估(一个或更多个)网络节点从至少一个接收源接收的至少一个结果信号,使用至少一个认证器装置认证至少一个网络节点。在至少一个实施例中,机构和/或用户利用至少一个网络节点。
在一个或更多个实施例中,从相同的发射源传输认证信号和至少一个保护信号。在至少一个实施例中,从不同的发射源传输认证信号和至少一个保护信号。在一些实施例中,认证信号和至少一个保护信号在相同的频率传输。在替代实施例中,认证信号和至少一个保护信号在不同的频率传输。
在至少一个实施例中,至少一个保护信号传输的数据用于合法目的。在一个或更多个实施例中,至少一个保护信号至少部分地包括认证信号。在各种实施例中,保护信号可以包括认证信号和/或合法的或虚假的数据。在一些实施例中,至少一个保护信号传输的数据包括本地化信息和/或区域性信息。
在一个或更多个实施例中,保护信号传输的数据能够由位于信号的重叠区域内的网络节点接收。在一些实施例中,数据经由至少两个异相二进制相移键控(BPSK)信号传输,其中异相BPSK信号好像是至少一个正交相移键控(QPSK)信号。在至少一个实施例中,至少一个保护信号的比特流的调制的改变按比特修改比特流中的比特的广播功率。在一些实施例中,当传输至少两个保护信号时,改变保护信号的相关功率使得位于接近认证信号的保护信号具有比位于离认证信号较远的保护信号高的功率。
此外,本公开教导了基于传输的认证***验证网络节点的地理定位信息。在一个或更多个实施例中,公开的***包括至少一个发射器、至少一个接收器和至少一个认证器装置。在一个或更多个实施例中,至少一个发射器传输认证信号和至少一个保护信号;以及至少一个接收器接收至少一个结果信号。至少一个结果信号包括认证信号和/或至少一个保护信号。在至少一个实施例中,通过评估至少一个网络节点从至少一个接收器接收的至少一个结果信号,至少一个认证器装置认证至少一个网络节点。应当注意的是,在一个或更多个实施例中,***还包括网络定位门户(cyber locate portal)。网络定位门户是网络和认证器装置之间的安全接口,其向***增加额外的安全水平。在这些实施例中,经由网络定位门户将相关信号发送到认证器装置用于认证。
在一个或更多个实施例中,加密认证数据从而避免被拦截或重新使用。此外,数据使用签名签署,这能够通过比较数据的签名和具体门户装置的签名用于确认起源于具体门户装置的数据。每个网络定位门户装置可以具有用于加密的唯一秘钥,还可以具有用于签署采样数据的额外的秘钥。这些秘钥最好只为认证服务器和门户装置所知。
在至少一个实施例中,至少一个接收器和至少一个发射器一起并入到至少一个收发器中。在一些实施例中,认证信号和至少一个保护信号从相同的发射器传输。在至少一个实施例中,认证信号和至少一个保护信号从不同的发射器传输。在一个或更多个实施例中,至少一个认证器装置包括服务器和/或处理器。在一些实施例中,认证信号和至少一个保护信号在相同的频率传输。
在至少一个实施例中,至少一个认证器装置在主机网络的至少部分工作。在一个或更多个实施例中,公开的***进一步包含主机网络,该主机网络充当至少一个网络节点和至少一个认证器装置之间的中介。在一些实施例中,至少一个接收器在蜂窝电话、个数数字助理(PDA)、个人计算机、计算机节点、互联网协议(IP)节点、服务器、Wi-Fi节点和/或受限或非受限节点中采用。
在一些实施例中,接收器还可以包含网络定位门户装置的功能。在一些实施例中,接收器和网络定位门户装置被组合到蜂窝电话或PDA中。请注意,如果蜂窝电话或PDA包括网络定位门户装置,则信号处理、加密和签名功能可以在不是蜂窝电话或PDA的操作***的部分的硬件和/或固件上更好地执行。例如,可选地,蜂窝电话或PDA操作***是不能访问加密和签名秘钥以及未加密采样数据。
在一个或更多个实施例中,至少一个发射器在至少一个卫星和/或至少一个伪卫星中被采用。在一些实施例中,至少一个卫星是低地球轨道(LEO)卫星、中地球轨道(MEO)卫星和/或地球同步轨道(GEO)卫星。在一个或更多个实施例中,至少一个网络节点是固定的和/或移动的。在至少一个实施例中,至少一个认证器装置是对等装置。
在一个或更多个实施例中,一种用于基于传输的认证***的方法包括从至少一个发射源传输多个认证信号。该方法进一步包括,从至少一个接收源接收包括至少两个认证信号的结果信号。进一步地,该方法包括通过比较(一个或更多个)网络节点从(一个或更多个)接收源位置接收的结果信号的性质和(一个或更多个)网络节点应当从(一个或更多个)接收源位置接收的相关信号的期望性质,使用至少一个认证器装置认证至少一个网络节点。
在一个或更多个实施例中,一种用于基于传输的认证***的***和方法包括,从至少一个发射源传输点波束中的多个认证信号,其中每个点波束包含一个认证信号。在至少一个实施例中,(一个或更多个)发射源在来自铱星卫星星座的至少一个LEO卫星中被采用。在一些实施例中,认证信号在相同的频率传输。该方法进一步包括,从至少一个接收源接收包括至少两个认证信号的结果信号。进一步地,该方法包括通过比较(一个或更多个)网络节点从(一个或更多个)接收源位置接收的结果信号的性质和(一个或更多个)网络节点应当(从一个或更多个)接收源位置接收的结果信号的期望性质认证至少一个网络节点。
在至少一个实施例中,认证信号从相同的发射源传输。在替代实施例中,认证信号从不同的发射源传输。在一些实施例中,至少一个卫星和/或至少一个伪卫星采用(一个或更多个)发射源。在一个或更多个实施例中,认证信号在相同的频率和相同的时间传输,并且每个认证信号具有不同于其他认证信号的调制。在至少一个实施例中,不同的调制是不同的伪随机数字调制序列。在一些实施例中,不同的伪随机数字调制序列是不同的BPSK编码序列。
在一个或更多个实施例中,被比较的性质是信号功率、多普勒频移、到达时间和/或信号调制。具体地,接收的信号调制是多个认证信号的组合,以及这个结果组合调制具有随着接收源的位置而改变的特性。在一些实施例中,公开的***和方法涉及网络的网络安全,网络包括但不限于自成型、对等和/或ad hoc网络。
能够在本发明的各种实施例中独立地获得特征、功能和优势,或者可以在其他实施例中组合特征、功能和优势。
附图说明
关于下面的说明、所附权利要求和附图,本公开的这些和其他特征、方面和优势将变得更好理解,其中:
图1A示出了公开的***的实施例,该***用于在网络和网络安全应用的衰减环境中地理定位网络节点。
图1B示出了公开的***的实施例,该***用于在网络和网络安全应用的衰减环境中地理定位网络节点,其中启用的网络节点验证至少一个上游的网络节点,并接着从数据包中去除与上游的(一个或更多个)网络节点相关的附加的数据。
图1C示出了公开的***的实施例,该***用于在网络和网络安全应用的衰减环境中地理定位网络节点,其中上游的网络节点验证方法用于通过多个路由器网络节点将数据包从始发网络节点向下游行进到目的网络节点。
图1D示出了公开的***的实施例,该***用于在利用地理标记和数据加密技术的网络和网络安全应用的衰减环境中地理定位网络节点。
图1E示出了公开的***的实施例,该***用于在利用地理标记和使用IPv6数据包报头的8-位下一报头字段的网络和网络安全应用的衰减环境中地理定位网络节点。
图1F示出了公开的***的实施例,该***用于在网络和网络安全应用的衰减环境中地理定位网络节点,其中数据包仅通过位于限定的地理区域内的网络节点路由。
图1G示出了公开的***的实施例,该***用于在网络和网络安全应用的衰减环境中地理定位网络节点,其中两个网络节点能够从至少一个LEO卫星接收传输信号。
图2示出了通过基于传输的认证***并且通过使用测距信息验证三个网络节点的位置。
图3示出了基于传输的认证***的实施例,该***采用卫星传输认证波束和多个保护波束。
图4A示出了基于传输的认证***的实施例,该***具有位于三个重叠点波束内或靠近三个重叠点波束的多个位置处的四个网络节点。
图4B示出了图4A的三个点波束传输的信号的图形的实施例。
图4C示出了在图4A的四个网络节点的位置处的三个点波束的信号强度阵列的实施例。
图4D示出了图4A的三个点波束的比特阵列的实施例。
图4E示出了图4A的四个网络节点接收的结果信号序列的阵列的实施例。
图4F示出了描述图4A的四个网络节点接收的结果信号的图形的实施例。
图5示出了基于传输的认证***的实施例,该***使用作为部分次要任务的保护波束传输传输。
图6示出了基于传输的认证***的实施例,该***采用异相二进制相移键控(BPSK)保护波束传输。
图7示出了公开的***的实施例,该***具有能够在闭塞或干扰环境中执行的网络节点。
具体实施方式
本文公开的方法和设备提供了一种基于新型网络数据包结构的操作***,该操作***用于基于应用的数据路由安全的地理认证。更具体地,本公开教导了使用启用的网络节点地理标记数据包,以改善数据包可追踪性并验证或认证与其他网络节点相关的地理定位信息(即地理认证其他网络节点)。一旦启用的网络节点验证或认证了网络节点,该网络节点接着被称为可信网络节点。此外,应当注意的是,本公开还教导了使用能够地理标记的网络节点,该节点能够使用地理定位信息地理标记数据包,但是不能够验证或认证网络节点。在至少一个实施例中,***中的至少一个启用的网络节点可能不能够地理标记,但是仍能够验证(或认证)与其他网络节点相关的地理定位信息(即地理认证其他网络节点)。
地理标签涉及与至少一个网络节点的位置相关的地理定位信息。地理定位信息可以包括但不限于原始卫星数据的片断、特定于具体卫星波束的已知或未知编码的至少一部分、地理定位坐标(例如,纬度和经度坐标)、获得地理定位信息的时间、采样射频(RF)信号数据(例如,卫星RF数据)的至少一部分和/或源自一些采样RF信号数据的至少一部分的编码信息(例如,唯一识别码)。这个地理定位信息可以并入到IPv6数据包报头的现有结构中,更具体地,可以被并入到数据包报头的8-位下一报头字段(即,作为扩展报头)。这个具体字段指定了下一报头的类型,并通常指定数据包的有效载荷使用的更高层的传输层协议。当扩展报头出现时,这个字段指示跟随的是哪个扩展报头。在一些实施例中,地理标签扩展报头驻留在固定报头和上层协议报头之间。在至少一个实施例中,扩展报头形成全部使用下一报头字段的链,其中:在固定报头中的下一报头字段指示第一地理标签报头;在地理标签报头中的下一报头字段指示后面的地理标签报头;以及最后的地理标签报头的下一报头字段指示数据包的有效载荷中的更高层的协议报头的类型。
目前,IPv6数据包经由扩展报头具体地使用认证报头(AH)和封装安全载荷(ESP)支持互联网协议安全(IPsec)。AH保证IP数据包的无连接完整性和数据源认证(data origin authentication),而ESP提供数据包的源认证、完整性和机密性保护。在一些实施例中,新型扩展报头组可以被创建。在另一些实施例中,地理标签报头可以并入到这些现有的扩展中。而在另一些的实施例中,可以限定完全新的范式。
在至少一个实施例中,网络路径中的网络节点将地理定位信息附加到通过网络节点的所有的数据包,从而产生了数据包已遍历过的网络路径的可验证的历史。在每个网络节点向数据包报头附加信息可能是不实际的,这是因为具有很多附加信息的数据包大小会变得非常大。在一些实施例中,包含全部网络路径的信息可能太大以致于无法存储在数据包的报头内。在至少一个实施例中,随着它行进通过网络,启用的路由器(即启用的网络节点)评估每个数据包用于认证并能够确定数据包已经行进通过的路由是安全的。
在一些实施例中,至少一个启用的网络节点被授权以确认与数据包已经行进通过的所有网络节点相关的数据包报头中的信息的有效性(即检查路径)。在(一个或更多个)启用的网络节点验证信息之后,(一个或更多个)启用的网络节点接着从数据包的报头去除此信息,从而减小了数据包报头的大小,并且不需要数据包的安全签名部分在数据包已经行进通过每个网络节点之后在大小上增加。在至少一个实施例中,(一个或更多个)启用的网络节点可以将指示数据包行进通过的上游的路径经过认证的信息增加到数据包报头。而在另一些实施例中,(一个或更多个)启用的网络节点可以被设计为仅传递在它们报头中具有它们行进通过认证过的上游的网络路径的信息的数据包。在这些情况下,(一个或更多个)启用的网络节点将不需要将关于上游路径被认证的信息附加到数据包报头。在任一情况下,(一个或更多个)启用的网络节点可以在(一个或更多个)启用的网络节点将数据包传递给下一网络节点之前将其自身的安全签名(其可以包括地理标签)增加到数据包,和/或它可以将向下游的数据包接收方指示数据包通过可信路由器(即启用的网络节点)的信息增加到数据包报头。
在一些实施例中,可以通过使用从位于太空中的至少一个发射源传输的信号认证至少一个网络节点,从而增加电子欺骗的难度。在一些实施例中,为了防止恶意网络节点从数据包报头不适当地剥离或修改地理定位信息(例如,地理标签),至少一个启用的网络节点能够执行一种方法,该方法确定哪个网络节点是它的相邻网络节点并确定这些相邻网络节点中的哪个是能够地理标记的网络节点和/或启用的网络节点。仅遍历启用的网络节点的任何路径都能够被推断为可信路径(即验证或认证的路径)。
在本公开的另一些实施例中,本文公开的方法和装置提供了一种用于地理定位网络节点的操作***。具体地,此***涉及在网络和网络安全应用(诸如网络节点的认证和/或验证)的衰减环境中地理定位网络节点。具体地,本公开教导了网络链中参与的网络节点或其他接合点使用附加的认证数据标记传输的数据包。此认证数据具有特定数据包结构,其包括唯一数据,诸如安全签名数据、路由数据和/或有效载荷数据。安全签名数据包括关于网络链中的参与的网络节点的位置的信息,并且还可以包括关于它们的位置是否已经经过验证的信息。
目前,随着电子***在日常商业和社交任务中变得越来越根深蒂固,网络安全变得越来越重要。很多之前受管理的商业流程已经扩展到线上电子数据处理,为了保护这些日常使用的***,这使得正在进行的信息和计算机安全技术进步成为必然要求。使用从社会安全号码到国家基础设施相关的信息的关键文件和其他数据存储在连网***中,如果其被未经授权的团体访问,将会有从滋扰行为到显著社会基础设施破坏的不同程度的社会影响。在加大对电子***依赖的同时,国家也见证了***和计算机黑客的急剧增加,因此需要社会致力于改善保护我们连网的计算机***的方法。
网络攻击和网络渗透已经变得司空见惯。这些频繁发生已经将商业和军事环境中的外部威胁引起的对于网络渗透的危险的讨论带到最前线。目前的访问控制方法主要基于静态密码或是基于使用密码和基于公共秘钥基础设施(PKI)的智能徽章凭据的认证。由于***攻击通常通过模拟终端用户进行,已经有组织专注于用户认证方法从而缩减网络数据截取网络漏洞的趋势。这些方法仍然容易遭受复杂攻击,因此,需要通过增加地理空间位置/环境(例如用户位置)开发正常的三维(你知道什么、你有什么和你是谁)认证之外的利用额外的维度/信息的访问控制的新的范式,以提供额外的正交层的保护,这提供了整体物理地理定位映射到逻辑网络和信息管理视图的位置和环境感知之间的增强的相关性。
此外,现有的网络攻击通常以匿名隐藏的事实产生了额外的令人担心的问题。通常,发起者尝试制造小的入侵/攻击以便更好地理解***的漏洞用于将来开发来阻止较大的攻击,并且为后面的更具破坏性的攻击奠定了基础。
本公开通常涉及从网络安全获益的连网的***。更具体地,本公开的***利用采用签名数据包结构的至少一个自地理定位的网络节点,该数据包结构可以允许数据包及时追溯回在限定点处的特定网络节点。此签名数据包结构能够用于改善参与的网络中的网路安全。作为例子,签名数据包结构可以包括元素,诸如有效载荷数据、路由数据和/或安全数据。安全数据可以被限定为地理定位数据、生物统计数据和/或定时数据。在至少一个实施例中,当被用于网络安全应用时,此签名数据包结构可以统称为网络安全签名。例如,通过连接(这种通过互联网传输的电子邮件)文件可以从一个用户被传输至另一个用户。在网络链中的参与的网络节点或其他种类的连接点可以使用附加的认证数据标记数据,该附加的认证数据可以包括签名数据包结构的元素(例如,有效载荷数据、路由数据和/或安全数据)。随着数据包移动到网络链中的下一连接点,网络连接点可以认证它。当通过地理定位数据所表示的物理位置根据已知的网络节点位置被验证时,认证可以发生。
本公开可以用于提供对连网的***的访问以及限制对这种***的访问。在至少一个实施例中,可以设想的是,利用这种网络安全的形式的网络可能需要这种网络安全签名数据以便接受数据包。通过这种手段,由于签名几乎不能伪造,可以在进入***之前识别出恶意用户,或者由于签名数据中的差异,识别出中间人(man-in-the-middle)攻击或其他类似攻击。在至少一个实施例中,该***可以合并现有回溯法,诸如约束节点的跳数(即数值计数器存活时间(TTL))。本发明可以引入在网络安全方面的范式转变(即互联网3.0),其能够导致大众采用它用于能够支持签名数据包数据结构的硬件和/或软件。
本公开的***可以适于包括有线和/或无线网络节点的连网***。在至少一个实施例中,至少一个网络节点使用至少一个卫星地理定位。在一个例子中,自地理定位网络节点可以使用能够提供能够在室内接收的信号的低地球轨道(LEO)星座。此***可以或不可以与全球定位***(GPS)或用于定位、导航和/或定时的任何其它***组合使用。此外,本公开的***可以采用生物统计学以便通过用户/节点固有事物验证用户/或节点,以及采用在与描述的方法组合使用时将改进***的总体安全性的任何其他的认证方法。
本公开的***具有四个主要特征。该***的第一主要特征是教导了具有很多应用(包括一般的网络安全和认证,但是也可以用于其他应用,诸如游戏)的自地理定位网络装置(例如,自地理定位服务器、路由器、个人计算装置、蜂窝电话和/或电视)。
公开的***的第二主要特征是它教导了启用认证和网络安全的数据包结构。该数据包结构启用一种追踪数据包回到网络节点的手段,其中网络节点是用于数据包到达它的目的位置的一系列连接点的一部分。此签名数据包结构能够用于改善参与的网络中的网络安全。作为例子,签名数据包结构可以包括元素,诸如有效载荷数据、路由数据和/或安全数据。安全数据可以限定为地理定位数据、生物统计数据和/或定时数据。在至少一个实施例中,如果用于网络安全应用,此签名数据包结构可以统称为网络安全签名。
公开的***的第三主要特征是它教导了唯一的签名数据包结构的元素。网络链中的参与的网络节点或其他种类的连接点可以使用附加的认证数据(其可以包括签名数据包结构的元素(即有效载荷数据、路由数据和/或安全数据))标记数据。在可追踪性方面,参与的网络节点充当类似于指纹的触摸DNA,因为数据包使用的每个路由器提供了一些可追踪数据到签名。随着数据包移动到网络链中的下一连接点,它将会累积例如小的比特序列并且每个后续连接点可以认证它。这种小的比特序列的累积能够导致网络路径的统计上引人注目的指纹。可以通过比较预期网络路径的网络延迟(以及他们对应的唯一附加数据)和签名数据包及预期网络延迟的可接受范围发生认证。此外,可以监视其他网络参数以便确认中间人(MITM)攻击没有在进行。在一个实施例中,如果怀疑有MITM攻击,可以将网络配置为基于网络的策略响应。
公开的***的第四主要特征是***采用至少一个LEO卫星的使用来传输信号至网络节点。LEO卫星信号能够渗透至室内环境,由于它的在接收器处的较高的接收功率。因此,此特征允许公开的***用于认证技术的很多室内应用。
此外,应当注意的是,公开的***能够用于各种应用,其中期望确定、追踪、监视和/或跟踪“节点”的位置。此外,***可以为***的已有追踪方法提供额外的效用,特别是由于支付选项目前更多地集成到个人便携装置,例如蜂窝电话。不仅可以监视***用户的位置,在试图查询用户的被窃物品的情况,还可以潜在地跟踪用户用于重新定位。此外,应当注意的是,此特征可以与个人计算装置组合用于游戏,诸如地理寻宝。
在下面的说明书中,阐述了若干细节以便提供本***的更全面的描述。然而,对于本领域技术人员来说显而易见的是,公开的***可以被实施,而不需要这些具体的细节。在另一些实例中,没有对众所周知的特征进行详细描述,以免不必要的混淆该***,。
图1A示出了公开的***100的实施例,该***用于在网络和网络安全应用的衰减环境中地理定位网络节点。在此图中,位于始发网络节点(节点A)110的用户希望传输数据包130至位于目的网络节点(节点D)120的用户。始发网络节点(节点A)110和目的网络节点(节点D)120经由包括节点B 140和节点C 140的多个路由器网络节点140连接到彼此。始发网络节点(节点A)110被示出通过路由器网络节点B 140和节点C 140传输数据包130到目的网络节点(节点D)120。
数据包130包含报头部分和有效载荷数据部分160。报头部分包括安全签名部分170和路由数据部分150。数据包130的路由数据部分150包含数据包130的路由信息。路由信息包括关于数据包130将被发送到的目的网络节点的信息(例如,目的网路节点(节点D)的地址)。数据包130的有效载荷数据部分160包含位于始发网络节点(节点A)110的用户想要发送到位于目的网络节点(节点D)120的用户的数据和/或信息。安全签名部分应当不能从一个数据包复制并被粘贴到另一个数据包,否则由于它可能使另一个数据包出现,就好像它与第一个遵循相同的路由,本发明的本质将受到影响。这可能在各种实施例中被不同地应用。在一个实施例中,安全签名可以是有效载荷数据的函数。例如,安全签名能够包括数字签名的组分,其可以是有效载荷数据的函数。这些数据签名能够沿着路由累积或者能够被确认为来自最后的参与的路由器并在每一跳被新的数字签名代替。在一个或更多个实施例中,数据包的安全签名部分不必是真实的数字签名,而是可以包含各种类型的数据,包括但不限于采样信号数据、地理定位数据、定时信息和/或与数据包已经行进通过的地方相关的路由信息。
数据包130的安全签名部分170包括数据包130从始发网络节点(节点A)110到目的网络节点(节点D)120行进通过的所有网络节点的列表。如在本例中示出的,在安全签名部分170中的网络节点的列表包括节点A 110、节点B 140、节点C 140和节点D 120。随着数据包130行进通过节点的网络,每次数据包130行进通过网络节点,这个特定网络节点被增加到网络节点的列表。因此,安全签名170发展为数据包130的唯一秘钥标识符,就像特定生物体的具体DNA序列。
在一个或更多个实施例中,安全签名部分170还包含列表中的网络节点中的至少一个的定时信息。定时信息指示数据包130何时被(一个或更多个)网络节点接收和/或传输。此外,在至少一个实施例中,数据包130的安全签名部分170包含列表中的至少一个网络节点的标识符信息。可以用于公开的***的标识符信息的类型包括但不限于每个网络节点的各种类型的生物统计信息和/或唯一比特序列识别码。
此外,数据包130的安全签名部分170包括列表中的网络节点中的至少一个的地理定位信息。地理定位信息包括网络节点的具体物理位置,并且还可能包括关于网络节点的位置是否被验证的指示。在至少一个实施例中,网络节点的地理定位信息通过该网络节点接收从至少一个发射源传输的至少一个认证信号而被验证。在图3、4、5和6的描述中讨论通过(一个或更多个)认证信号的使用如何验证网络节点的位置的具体描述。在一些实施例中,网络节点的地理定位信息通过使用从传输到位于验证位置的网络节点的信号和从位于验证位置的网路节点传输的信号所获取的测距信息被验证。在图2的描述中描述了如何获得测距信息的详细描述。
图1B示出了公开的***的实施例,该***用于在网络和网络安全应用的衰减环境中地理定位网络节点,其中启用的网络节点验证(或认证)至少一个上游的网络节点并接着从数据包去除与(一个或更多个)上游的网络节点相关的附加的数据。在此图中,位于始发网络节点(节点D)102的用户希望向下游传输数据包至位于目的网络节点(节点A)112的用户。始发网络节点(节点D)102和目的网络节点(节点A)112经由包括节点B 162和节点C 122的多个路由器网络节点122、162连接到彼此。通过路由器网络节点节点B 162和节点C 122,始发网络节点(节点D)102向下游传输数据包到目的网络节点(节点A)112。对于此例子,节点C 122是启用的网络节点,意味着它有能力验证(或认证)位于它自身上游的任何网络节点。其他网络节点(节点D 102、节点B 162和节点A 112)不是启用的网络节点。
数据包包含报头部分和有效载荷数据部分152。报头部分包含安全签名部分132和路由数据部分142。路由数据部分142包含数据包的路由信息。有效载荷数据部分152包含位于始发网络节点(节点D)102的用户想要发送到位于目的网络节点(节点A)112的用户的数据和/或信息。安全签名部分132包括数据包从始发网络节点(节点D)102到目的网络节点(节点A)112已经行进通过的所有网络节点的列表和/或地理定位信息。在此例子中,当数据包位于始发网络节点(节点D)102时,节点D 102增加信息(例如,地理定位信息)到与节点D 102相关的数据包的报头部分中(即路由数据部分142和/或安全签名部分132),从而指示了数据包已经行进通过节点D 102。
数据包接着从节点D 102行进至节点C 122,其是启用的网络节点。启用的网络节点有能力通过分析数据包的报头部分(即安全签名部分132和/或路由数据部分142)和/或有效载荷数据部分152验证位于它自身上游的任何网络节点。应当注意的是,在一些实施例中,启用的网络节点额外分析与(一个或更多个)上游的网络节点相关的地理定位信息(例如,地理标签),其包含在数据包报头的报头部分(即安全签名部分132和/或路由数据部分142)中。此外,启用的网络节点有能力使用地理定位信息地理标记数据包。
应当注意的是,在一个或更多个实施例中,与网络节点相关的地理定位信息通过该网络节点接收从至少一个发射源传输的结果信号获得,其中结果信号包含至少一个认证信号。通过比较网络节点接收的结果信号的性质和网络节点由于它的位置应当接收的结果信号的期望性质验证网络节点的位置。在一些实施例中,数据包的报头部分采用互联网协议版本6(IPv6)数据包报头。在至少一个实施例中,地理定位信息被存储在IPv6数据包报头内。在一个或更多个实施例中,至少一个发射源是卫星、伪卫星和/或地面发射源。在一些实施例中,卫星是LEO卫星、MEO卫星或GEO卫星。在其他实施例中,与网络节点相关的地理定位信息从通过网络节点无线或有线传输到位于验证位置的另一个网络节点的信号和网络节点从位于验证位置的网络节点无线或有线接收的信号所获取的测距信息确定。
在此例子中,一旦数据包到达启用的网络节点节点C 122,节点C 122分析该数据包并确定节点D 102为可信网络节点(即合法的网络节点,而不是欺骗的网络节点)。节点C 122基本上确定了节点D 102为可信网络节点,因为节点C 122在分析该数据包之后已经验证(或认证)节点D102。在节点C 122验证(或认证)节点D 102之后,节点C去除数据包的报头部分(即路由数据部分142和/或安全签名部分132)中与节点D 102相关的信息。在一个或更多个实施例中,节点C 122额外增加关于节点D102被验证(或认证)的信息到数据包的报头部分(即路由数据部分142和/或安全签名部分132)。在至少一个实施例中,增加的信息包括与验证过的网络节点(即节点D 102)相关的地理定位信息(例如,地理标签)。接着,节点C 122增加与它自身相关的信息(即与节点C 122相关的信息)到数据包的报头部分(即路由数据部分142和/或安全签名部分132)。
在节点C 122增加信息到数据包之后,数据包向下游被传输至节点B162。一旦数据包到达节点B 162,节点B 162增加与它自身相关的信息(即与节点B 162相关的信息)到数据包的报头部分(即路由数据部分142和/或安全签名部分132)中。应当注意的是,由于节点B 162不是启用的网络节点,节点B 162不验证(或认证)节点C 122,并且节点B 162不去除数据包的报头部分(即路由数据部分142和/或安全签名部分132)中与节点C 122相关的的任何信息。接着,数据包被传递到目的网络节点(节点A)112。一旦数据包到达节点A 112,节点A 112增加与它自身相关的信息(即与节点A 112相关的信息)到数据包的报头部分(即路由数据部分142和/或安全签名部分132)中。因此,结果数据包在数据包的报头部分(即路由数据部分142和/或安全签名部分132)中将包含与节点C 122、节点B 162和节点A 112相关的信息。应当注意的是,在一些实施例中,结果数据包在数据包的报头部分(即路由数据部分142和/或安全签名部分132)还将包含关于节点D 102被验证(或认证)的信息。
应当注意的是,在公开的***的一个或更多个实施例中,启用的网络节点被配置为仅传输启用的网络节点从验证过的网络节点(即可信网络节点)直接接收的数据包。在一些实施例中,启用的网络节点被配置为仅传输(或传递)之前仅行进通过验证过的网络节点(即可信网络节点)的数据包。在至少一个实施例中,启用的网络节点被配置为确定哪个网络节点是能够地理标记的网络节点。在一个或更多个实施例中,启用的网络节点被配置为确定网络中的哪个网络节点是启用的网络节点。
图1C示出了公开的***的实施例,该***用于在网络和网络安全应用的衰减环境中地理定位网络节点,其中上游的网络节点验证方法用于通过多个路由器网络节点从始发网络节点向下游行进到目的网络节点的数据包。对于此例子,数据包通过多个网络节点(节点F、节点E、节点D、节点C和节点B)从始发网络节点(节点G)被路由到目的网络节点(节点A)。节点E和节点B是启用的网络节点,并且剩下的节点(节点G、节点F、节点D、节点C和节点A)不是启用的网络节点。
数据包包含报头部分和有效载荷数据部分123。报头部分包含安全签名部分103和路由数据部分113。路由数据部分113包含数据包的路由信息,并且有效载荷数据部分123包含位于始发网络节点(节点G)的用户想要发送到位于目的网络节点(节点A)的用户的数据和/或信息。安全签名部分132包括数据包从始发网络节点(节点G)到目的网络节点(节点A)已经行进通过的所有网络节点的列表。
在此例子中,当数据包位于始发网络节点(节点G)时,节点G增加与节点G相关的信息133到数据包的报头部分(即路由数据部分113和/或安全签名部分103)中,因此指示了数据包已经行进通过节点G。接着,数据包从节点G被传输到节点F。节点F增加与它自身相关的信息143(即与节点F相关的信息)到数据包的报头部分(即路由数据部分103和/或安全签名部分113)中。数据包接着从节点F被传输到节点E,其是启用的网络节点。启用的网络节点有能力通过分析数据包的报头部分(即安全签名部分103和/或路由数据部分113)和/或有效载荷数据部分123验证位于它自身上游的任何网络节点。可选地,启用的网络节点额外分析与(一个或更多个)上游的网络节点相关的地理定位信息(例如,地理标签),其包含在数据包报头的报头部分(即安全签名部分103和/或路由数据部分113)中。
接着,节点E分析数据包并确定节点F和节点G为可信网络节点(即合法网络节点,而非欺骗的网络节点)。节点E确定节点F和节点G为可信网络节点,因为节点E已经通过分析数据包中的信息验证(或认证)节点F和节点G。在节点E验证节点F和节点G之后,节点E去除数据包的报头部分(即路由数据部分113和/或安全签名部分103)中的与节点F和节点G相关的信息133、143。在一些实施例中,节点E额外增加关于节点F和节点G被验证(或认证)的信息(未示出)到数据包的报头部分(即路由数据部分113和/或安全签名部分103)。在至少一个实施例中,增加的信息包括与验证过的网络节点(即节点F和节点G)相关的地理定位信息(例如,地理标签)。接着,节点E增加与它自身相关的信息153(即与节点E相关的信息153)到数据包的报头部分(即路由数据部分113和/或安全签名部分103)中。
在节点E增加信息153到数据包之后,数据包向下游被传输到节点D。一旦数据包到达节点D,节点D增加与它自身相关的信息163(即与节点D相关的信息163)到数据包的报头部分(即路由数据部分113和/或安全签名部分103)。接着,数据包向下游被传递至节点C。在数据包到达节点C之后,节点C增加与它自身相关的信息173(即与节点C相关的信息173)到数据包的报头部分(即路由数据部分113和/或安全签名部分103)。
接着,数据包从节点C向下游被传输到节点B,其启用的网络节点。节点B分析数据包并确定节点C、节点D和节点E为可信网络节点(即合法的网络节点,而非欺骗的网络节点)。节点B确定节点C、节点D和节点E为可信网络节点,因为节点B已经通过分析数据包中的信息验证(或认证)节点C、节点D和节点E。在节点B验证节点C、节点D和节点E之后,节点C去除数据包的报头部分(即路由数据部分113和/或安全签名部分103)中与节点C、节点D和节点E相关的信息153、163、173。在一个或更多个实施例中,节点B额外增加关于节点C、节点D和节点E被验证(或认证)的信息(未示出)到数据包的报头部分(即路由数据部分113和/或安全签名部分103)中。在一些实施例中,增加的信息包括与验证过的网络节点(即节点C、节点D和节点E)相关的地理定位信息(例如,地理标签)。接着,节点E增加与它自身相关的信息183(即与节点B相关的信息183)到数据包的报头部分(即路由数据部分113和/或安全签名部分103)中。
接着,数据包从节点B被传递到目的网络节点(节点A)。一旦数据包到达节点A,节点A增加与它自身相关的信息193(即与节点A相关的信息193)到数据包的报头部分(即路由数据部分113和/或安全签名部分103)中。因此,结果数据包在数据包的报头部分(即路由数据部分113和/或安全签名部分103)中将包含与节点B和节点A相关的信息183、193。在一些实施例中,结果数据包在数据包的报头部分(即路由数据部分113和/或安全签名部分103)中还将包含关于节点G、节点F、节点E、节点D和节点C被验证(或认证)的信息。在一个或更多个实施例中,结果数据包在数据包的报头部分(即路由数据部分113和/或安全签名部分103)中还将包含关于节点E和节点B为启用的网络节点的信息。
图1D示出了公开的***的实施例,该***用于在利用地理标记和数据加密技术的网络和网络安全应用的衰减环境中地理定位网络节点。在此图中,节点A、B和C为启用的网络节点,并且节点D、E、F、G、H和I为非启用的网络节点。其中节点A为始发网络节点并且节点C为目的网络节点。
在此例子中,数据包仅通过启用的网络节点(即通过节点A、节点B和节点C)路由。由于节点A、B和C为启用的网络节点,它们有能力进行地理认证(即它们的地理定位被验证或认证)。当它们被地理认证时,它们被认为是可信网络节点。在一个或更多个实施例中,节点A、B和C能够通过每个接收从至少一个发射源传输的至少一个信号地理认证它们自身。在一些实施例中,至少一个发射源为LEO卫星(例如,铱星卫星)。
在至少一个实施例中,通过使用隧道方法数据包被路由通过网络节点。隧道方法允许一种将数据包传输通过没有被确定为可信网络节点和/或启用的网络节点的网络节点的安全手段。例如,如果启用的网络节点B发生故障,传输将数据包从始发网络节点(节点A)通过节点B、节点F和节点H传输到目的网络节点(节点C)(即经由A-B-F-H-C)可能是必须的。当这样做时,当数据包到达节点B时,节点B将加密数据包。在数据包行进通过还没有被确定为可信网络节点和/或启用的网络节点的节点F和节点H时,这允许数据包中的数据为安全的。一旦数据包到达节点C(其是启用的网络节点),节点C解密数据包中的数据。在至少一个实施例中,隧道指示器被增加到数据包的报头部分(即路由数据部分和/或安全签名部分),用于指示为了将数据包安全路由到目的网络节点,数据包使用隧道方法路由。
图1E示出了公开的***的实施例,该***在利用地理标记和使用IPv6数据包报头的8-位下一报头字段的网络和网络安全应用的衰减环境中地理定位网络节点。如之前在上面提到的,(一个或更多个)网络节点的地理定位信息可以被并入到IPv6数据包报头的现有结构中,并具体地可以被并入到数据包报头的8-位下一报头字段中。下一报头字段指定了下一步报头的类型,并且通常指定了数据包的有效载荷使用的高层传输层协议。应当注意的是,在一些实施例中,地理标签可以被并入到IPv6数据包报头的现有结构的其他字段而不是下一报头字段中。此外,应当注意的是,在一个或更多个实施例中,公开的***和方法可以为数据包采用各种不同类型和/或结构的数据包报头而不是IPv6数据包报头。
图1F示出了公开的***的实施例,该***用于在网络和网络安全应用的衰减环境中地理定位网络节点,其中数据包仅通过位于限定的地理区域内的网络节点路由。在公开的***的一个或更多个实施例中,启用的网络节点被配置为仅传输启用的网络节点直接从验证过的(或认证过的)的网络节点接收的数据包。在一些实施例中,启用的网络节点被配置为仅传输(或传递)之前仅行进通过验证过的网络节点的数据包。在至少一个实施例中,启用的网络节点被配置为确定哪个网络节点是自身的临近网络节点。在一个或更多个实施例中,启用的网络节点被配置为确定网络中的哪个网络节点为启用的网络节点。
在一个例子中,如在图1F中所示的,启用的网络节点(即路由器)被用于从公开的***的一个用户发送数据包至第二个用户。在此例子中,与始发网络节点(节点A)相关联的用户是在俄克拉荷马州的初级护理医师,他们的患者已要求其发送测试结果到与目的网络节点(节点E)相关联的专家以协助获得患者的正确诊断。为了更完整地传送该方案,假定患者数据不能被发送出俄克拉荷马州,以便遵从该州的医疗记录法。图1F示出了网络节点(即节点A、节点B、节点C、节点D和节点E)之间的若干不同的潜在路径,该路径提供了数据包的多个路由方案。由于尽管节点A(即始发网络节点)和节点E(即目的网络节点)都位于俄克拉荷马州内,但是在数据包经由位于俄克拉荷马州外的任何网络节点(即路由器)路由时,违反了医疗记录法。在至少一个实施例中,包含从初级护理医师发送到他们的专家的患者测试结果的数据包被拒绝,因为一旦在节点E接收到数据包,位于节点E的本地启用的硬件检查数据包的路由路径并识别出数据包通过位于俄克拉荷马州边界外的网络节点(节点C)路由(即数据包经由节点C路由)。在至少一个实施例中,当本地启用的硬件确定数据包通过位于该州的边界外的网络节点路由时,数据包被返回给传输者。在另一个相关的实施例中,当本地启用的硬件确定数据包通过位于该州的边界外的网络节点路由时,数据包被删除并且位于节点A的始发方接收数据包的删除通知和删除的依据。在另一个实施例中,当本地启用的硬件检查的结果显示数据包仅经由位于该州的边界内的网络节点(即路由器)路由时,该数据被接受。
图1G示出了公开的***的实施例,该***用于在网络和网络安全应用的衰减环境中地理定位网络节点,其中两个网络节点(节点A和节点B)能够从至少一个LEO卫星198、199接收传输的信号。在此图中,示出三个网络节点(节点A、节点B和节点C)。节点A和节点B是能够地理标记的网络节点(即它们能够使用与它们自身相关的地理定位信息地理标记数据包,但是不能够验证(或认证)任何上游的网络节点,并且因此,在此例子中不具备大的处理能力)。在一个实施例中,节点A和节点B能够接收来自LEO卫星198、199传输信号,该信号包含能够被用于它们自身地理定位的信息。
随着数据包移动通过节点A,使用至少一部分节点A从卫星198接收的采样卫星数据地理标记它。并且,随着数据包继续移动通过节点B,同样使用至少一部分节点B从卫星199接收的采样卫星数据地理标记它。接着,数据包在它的路径上继续行进到目的节点(节点C)。节点C为启用的节点,并且因此具有额外的处理能力,使得它能够处理节点A和节点B获取的采样卫星数据。一旦分析了采样卫星数据,启用的网络节点C确认数据包确实行进通过节点A和节点B并验证(或认证)节点A和节点B。在一个实施例中,节点C验证完在上游路径的节点A和节点B之后,去除数据包中的原始的附加数据,并将修改的或高级的地理标签附加到数据包,其具有减少数据包大小和/或引起数据包被认为是更安全的效果。
图2示出了通过基于传输的认证***200和通过使用测距信息验证三个网络节点210、220、230的位置。在此图中,网络节点210、220是位于验证位置的路由器网络节点。这些网络节点210、220的位置通过使用基于传输的认证***200验证,该***采用卫星240传输至少一个认证信号。参考图3、4、5和6对基于传输的认证***200如何操作的详细描述的讨论。在此图中,网络节点230的位置不通过基于传输的认证***200验证,因为网络节点230不具有卫星230访问。然而,网络节点230的位置能够使用测距信息通过使用往返时间延时(即ping延时)验证,其中往返时间延迟通过向位于验证位置的网络节点210传输信号和从位于验证位置的网络节点210传输信号获取。
在此例子中,获取测距信息的过程如下。第一,在时间t1a,网络节点230传输信号(R31)至网络节点210。在时间t3a,网络节点210接收信号(R31)并在时间t3b,传输返回信号(R13)至网络节点230。在时间t1b,网络节点230接收返回信号(R13)。网络节点210接收信号(R31)和应答信号(R13)之间的延迟(即t3b-t3a)是已知的。因此,往返延迟(乘以光速并除以2)给出了网络节点210和网络节点230之间的距离。此测距信息能够接着被用于验证网络节点230的位置。类似的计算用于计算网络节点230和网络节点220之间的距离。相关的网络距离公式是:
R13=c[(t3a–t1a)+(t1b–t3b)]/2
R23=c[(t3a–t2a)+(t2b–t3b)]/2,
其中t等于时间,并且c等于光速。
图3示出了基于传输的认证***300的实施例,该***采用卫星310传输包含认证波束320和一个或更多个保护波束330的重叠点波束340,其中认证波束320还可以称为“波束0”。合法的网络节点360示出为位于认证波束320内。欺骗的网络节点350试图模拟合法的网络节点360的位置。
保护波束330和波束0320内的每个位置随时间从每个波束340接收唯一认证信号。波束340重叠的区域内的位置接收复合认证信号。欺骗的网络节点350不位于合法的网络节点360的位置,并且因此欺骗的网络节点350将不接收特定认证信号320,其中合法的网络节点360由于它的位置应当接收该信号。除非网络节点位于它的合法位置,网络节点将不接收正确的认证信号,并且因此认证器装置不能验证网络节点的位置。
在一个或更多个实施例中,在点波束340中传输的数据可以包括认证秘钥和/或可以用于区别一个波束中的数据与其他波束中的数据的其他伪随机代码段。公开的***和方法可以使用其他区别波束特性和/或数据特性来区别波束340之间的数据。在至少一个实施例中,可以以比传输波束0320的更高的功率传输保护波束330。这将引起保护波束330的信号屏蔽波束0320认证信号。
图4A-4F描绘了实施例,其中一个或更多个网路节点从多个重叠点波束接收的信号用于认证一个或更多个网络节点的位置和识别。基本的概念是:取决于网络节点位于重叠点波束图内的位置,每个网络节点将从多个点波束传输的信号的组合中接收不同的复合信号。具体地,图4A示出了公开的基于传输的认证***,其具有例如位于三个重叠点波束(即波束1、波束2和波束3)内或附近的各种位置的四个网络节点(即A、B、C和D)。因此,此图示出了照射网络节点A、B和C的位置的重叠点波束。网络节点D的位置被示出为正好位于波束图的外面。
图4B示出了图400,其示出了图3A的三个点波束传输的示例信号(1、2和3)。具体地,此图示出了每个点波束(波束1、波束2和波束3)传输的并被用于验证网络节点的位置的示例信号组。三条曲线(图400上1、2和3指示的)示出随时间每个点波束传输的信号的比特序列。这些三个比特序列仅用于展示基本概念。因此,也可以采用很多其他类型的信号和调制形式。还可以周期性地改变信号模式,以便提供免于欺骗的网络节点和/或用户的额外保护,以及在移动网络节点位于特定位置时提供唯一时间。此外,用于认证网络节点的这些信号可以在正常的传输期间的短暂期间与正常的信号分离发送,或者替代地可以被嵌入到正常的信号内。
图4C示出了位于图4A的四个网络节点(A、B、C和D)的位置的三个点波束(波束1、波束2和波束3)的信号强度阵列410。具体地,信号波束接收(sbr)阵列410示出了阵列410列中的每个网络节点(A、B、C和D)从阵列410的行中接收的信号波束(波束1、波束2和波束3)接收的信号强度。例如,位于位置B的网络节点接收波束2的大多数信号,该波束相比于分别来自波束1和波束3的信号强度2和1.5具有信号强度11。网络节点接收的信号的特性和/或性质可以是用于确认网络节点的位置的签名。
图4D描绘了图4A的三个点波束(波束1、波束2和波束3)的比特阵列420。在此图中,比特阵列420根据时间示出三个阵列行中的每个波束(波束1、波束2和波束3)传输的信号序列,其由阵列420的十六(16)列表示。此处,为了说明基本概念,传输的信号为二进制。然而,在替代实施例中可以采用其他信号模式。
图4E示出了图4A的四个网络节点(A、B、C和D)接收的结果信号序列的阵列430。此图示出了位于位置A、B、C和D的网络节点从多个重叠波束接收的复合信号的结果序列。结果信号(rx)=g x(sbrT)x(比特),其中g等于每个网络节点接收器的增益。在此例子中,选择等于0.7(即g=0.7)增益(g)。接收的阵列(rxT)430的十六(16)行表示时间步骤,并且四(4)列对应于网络节点的不同位置(A、B、C和D)。应当注意的是,在此例子中,位于位置D的网络节点不接收信号,因为此位置位于波束图的外面。
图4F示出了图440,其描绘了图4A的四个网络节点(A、B、C和D)接收的结果信号。四个曲线(由A、B、C和D指示)示出了由位于位置A、B、C和D的网络节点接收的结果信号的时间序列。四个结果复合信号分别提供四个网络节点(A、B、C和D)的唯一网络节点位置识别。
图5示出了基于传输的认证***500的实施例,该***使用保护波束传输作为部分次要任务。在此实施例中,至少一个保护波束用于传输合法的数据作为卫星510的部分次要任务。例如,保护波束能够用于广播区域信息,诸如在保护波束足迹内有效的差分GPS网络校正。然而,应当注意的是,针对较高的安全性,这并非最优选的实施例,因为区域信息更可能由欺骗者而非更多的随机信号确定。作为另一个例子,保护波束能够用于传输与主要任务(即认证信号)有关和/或与次要任务有关的数据。
如在图5中示出的,认证信号可以在脉冲串中传输。认证信号可以在脉冲串、在波束0或在替代波束(包括波束0和保护波束)中随机地发送,以便认证信号的定时指示网络节点的位置。因此,如果网络节点接收多个脉冲串,那么网络节点位于波束0内或位于波束重叠区域内。
在替代实施例中,认证信号可以被嵌入到正常的数据传输中,以便最小化它们对卫星传输功率和/或带宽的影响。认证信号可以通过不影响正常接收但是特殊处理可检测的各种方法(例如,时间、频率、极化位移等)嵌入到数据传输中。
在一个或更多个实施例中,认证信号可以通过不同的广播功率逐位嵌入到正常的数据传输中。对于这些实施例,保护波束比特调制逐位改变传输的比特的广播功率。这阻止了欺骗者试图观察在它们的本地保护波束中的比特并处理该数据以便去除它们。
例如,欺骗者制造一系列测量值(m):
95 105 105 -105 105 -105 95 -105 -95 -95
欺骗者可能猜测保护信号(g)为符号(m)(sign(m)):
1 1 1 -1 1 -1 1 -1 -1 -1
以及欺骗者尝试进入的信号为sign(m-sign(m)*100):
-1 1 1 -1 1 -1 -1 -1 1 1
如果代替固定功率信号,保护波束广播功率被调制使得它的接收信号的组分为:
107 97 91 -93 99 -91 93 -107 -107 -101
那么,欺骗者会接收到的信号为:
102 102 96 -98 104 -96 88 -112 -102 -96
从那组测量值试图计算出认证信号对于欺骗者来说是更加困难的。
此外,应当注意的是,那个相同想法的扩展会是增加小的随机相移键控(QPSK)信号到保护带宽信号中。对于这种情况,保护信号仍然能够用于传输有用的信息。
图6示出了基于传输的认证***600,该***采用异相二进制相移键控(BPSK)保护波束传输。具体地,在此图中保护波束使用相邻重叠波束之间的异相BPSK信号传输认证信号。在重叠区域中的信号接着将是QPSK信号。接着能够通过分析网络节点接收的信号相位和信号类型确定波束内的网络节点的唯一位置。
在替代实施例中,次要信号源可以用于提供额外的屏蔽传输。例如,第二卫星能够广播第一卫星波束外的保护波束。
图7示出了公开的***700的实施例,该***具有能够在堵塞或干扰环境中执行的网络节点710。具体地,图7示出了网络节点710从两个卫星706、704和蜂窝塔708接收RF信号709、705、707。在一个例子中,RF信号709、705、707被下变频、采样、可选地加密并被附加到通过网络节点710路由的安全加强数据包。在另一个例子中,数据从RF信号709、705、707中提取。提取的数据被可选地加密并附加到通过网络节点710路由的安全加强的数据包。公开的***可以采用的RF信号源的各种类型的例子包括但不限于,LEO卫星(例如,铱星卫星)、GPS卫星(例如,传输GNSS信号)和蜂窝塔。
尽管特定说明性的实施例和方法已经在本文中公开,对于本领域技术人员来说显而易见的是,根据前面的公开在不脱离所公开技术的真正精神和范围的情况下,能够做出这种实施例和方法的变形和修改。存在所公开技术的很多其他的例子,每个仅仅在细节上不同于其他的。因此,所公开的技术应该旨在仅受限于所附权利要求书所要求的范围以及适用法律的规则和原理。
Claims (38)
1.一种用于数据路由安全的***,所述***包含:
始发网络节点;
目的网络节点;和
至少一个路由器网络节点,
其中,所述始发网络节点、所述目的网络节点和所述至少一个路由器网络节点中的至少一个是启用的网络节点;
其中,所述始发网络节点和所述目的网络节点经由所述至少一个路由器网络节点连接到彼此,
其中,所述始发网络节点被配置为通过所述至少一个路由器网络节点将数据包向下游传输到所述目的网络节点,
其中,所述数据包包含报头部分和有效载荷数据部分,以及
其中,所述至少一个启用的网络节点被配置为通过分析所述数据包的所述报头部分和所述有效载荷数据部分中的至少一个验证位于所述至少一个启用的网络节点上游的网络节点中的至少一个。
2.根据权利要求1所述的***,其中所述报头部分包含安全签名部分和路由数据部分中的至少一个。
3.根据权利要求2所述的***,其中所述安全签名部分包含与所述数据包已经行进通过的网络节点中的至少一个相关的地理定位信息。
4.根据权利要求3所述的***,通过接收至少一个发射源传输的结果信号,获取与所述数据包已经行进通过的至少一个网络节点相关的所述地理定位信息,
其中,所述结果信号包含至少一个认证信号,以及
其中,通过比较所述数据包已经行进通过的所述至少一个网络节点接收的所述结果信号的性质和所述数据包已经行进通过的所述至少一个网络节点由于它的位置应当接收的所述结果信号的期望性质,验证所述数据包已经行进通过的至少一个网络节点的位置。
5.根据权利要求4所述的***,其中所述至少一个发射源是卫星、伪卫星和地面发射源中的至少一个。
6.根据权利要求5所述的***,其中所述卫星是低地球轨道卫星即LEO卫星、中地球轨道卫星即MEO卫星和地球同步轨道卫星即GEO卫星中的一个。
7.根据权利要求3所述的***,其中与所述数据包已经行进通过的所述至少一个网络节点相关的所述地理定位信息,从由数据已经行进通过的所述至少一个网络节点传输到位于验证位置的另一个网络节点的信号和由所述数据已经行进通过的所述至少一个网络节点从位于所述验证位置的所述网络节点接收的信号所获取的测距信息来确定。
8.根据权利要求1所述的***,其中所述数据包的所述报头部分采用互联网协议版本6数据包报头即IPv6数据包报头。
9.根据权利要求8所述的***,其中地理定位信息存储在所述IPv6数据包报头内。
10.根据权利要求1所述的***,其中当所述至少一个启用的网络节点验证任何所述网络节点时,所述至少一个启用的网络节点去除包含在所述数据包的所述报头部分内的至少一部分数据。
11.根据权利要求1所述的***,其中所述数据包的所述报头部分包含与所述数据包已经行进通过的所有网络节点相关的数据。
12.根据权利要求1所述的***,其中当所述至少一个启用的网络节点验证所述网络节点中的至少一个时,所述至少一个启用的网络节点将关于验证过的所述网络节点中的所述至少一个的数据增加到所述数据包的所述报头部分。
13.根据权利要求12所述的***,其中所述被增加到所述报头部分的数据是关于与验证过的所述网络节点中的所述至少一个相关的地理定位信息。
14.根据权利要求1所述的***,其中所述至少一个启用的网络节点中的至少一个被配置为仅传输所述至少一个启用的网络节点从任何所述验证过的网络节点直接接收的数据包。
15.根据权利要求1所述的***,其中所述至少一个启用的网络节点中的至少一个被配置为仅传输仅行进通过所述验证过的网络节点的数据包。
16.根据权利要求1所述的***,其中所述至少一个启用的网络节点中的至少一个被配置为确定哪个所述网络节点是能够地理标记的网络节点。
17.根据权利要求1所述的***,其中所述至少一个启用的网络节点中的至少一个被配置为确定哪个所述网络节点是启用的网络节点。
18.根据权利要求1所述的***,其中所述至少一个启用的网络节点中的至少一个额外利用从至少一个发射源传输的接收的信号验证位于所述至少一个启用的网络节点上游的网络节点中的至少一个。
19.根据权利要求1所述的***,其中所述数据包仅通过启用的网络节点从所述始发网络节点向下游传输到所述目的网络节点。
20.一种用于数据路由安全的方法,所述方法包含:
通过至少一个路由器网络节点将数据包从始发网络节点向下游传输到目的网络节点,
其中所述数据包包含报头部分和有效载荷数据部分;以及
至少一个启用的网络节点,通过分析所述数据包的所述报头部分和所述有效载荷数据部分的至少一个,来验证位于所述至少一个启用的网络节点上游的网络节点中的至少一个,
其中所述至少一个启用的网络节点是所述始发网络节点、所述目的网络节点和所述至少一个路由器网络节点中的至少一个。
21.根据权利要求20所述的方法,其中所述报头部分包含安全签名部分和路由数据部分中的至少一个。
22.根据权利要求21所述的方法,其中所述安全签名部分包含与所述数据包已经行进通过的网络节点中的至少一个相关的地理定位信息。
23.根据权利要求22所述的方法,其中通过接收从至少一个发射源传输的结果信号获取与所述数据包已经行进通过的至少一个网络节点相关的地理定位信息,
其中所述结果信号包含至少一个认证信号,以及
其中,通过比较所述数据包已经行进通过的所述至少一个网络节点接收的所述结果信号的性质和所述数据包已经行进通过的所述至少一个网络节点由于它的位置应当接收的所述结果信号的期望性质,验证所述数据包已经行进通过的至少一个网络节点的位置。
24.根据权利要求23所述的方法,其中所述至少一个发射源是卫星、伪卫星和地面发射源中的至少一个。
25.根据权利要求24所述的方法,其中所述卫星是低地球轨道卫星,即LEO卫星、中地球轨道卫星即MEO卫星和地球同步轨道卫星即GEO卫星中的一个。
25.根据权利要求22所述的方法,其中与所述数据包已经行进通过的所述至少一个网络节点相关的所述地理定位信息,从由数据已经行进通过的所述至少一个网络节点传输到位于验证位置的另一个网络节点的信号和由所述数据已经行进通过的所述至少一个网络节点从位于所述验证位置的所述网络节点接收的信号所获取的测距信息来确定。
26.根据权利要求20所述的方法,其中所述数据包的所述报头部分采用互联网协议版本6数据包报头即IPv6数据包报头。
27.根据权利要求26所述的方法,其中地理定位信息存储在所述IPv6数据包报头内。
28.根据权利要求20所述的方法,其中当所述至少一个启用的网络节点验证任何所述网络节点时,所述至少一个启用的网络节点去除包含在所述数据包的所述报头部分内的至少一部分数据。
29.根据权利要求20所述的方法,其中所述数据包的所述报头部分包含与所述数据包已经行进通过的所有网络节点相关的数据。
30.根据权利要求20所述的方法,其中当所述至少一个启用的网络节点验证所述网络节点中的至少一个时,所述至少一个启用的网络节点将关于验证过的所述网络节点中的至少一个的数据增加到所述数据包的所述报头部分。
31.根据权利要求30所述的方法,其中所述被增加到所述报头部分的数据是关于与验证过的所述网络节点中的至少一个相关的地理定位信息。
32.根据权利要求20所述的方法,其中所述至少一个启用的网络节点中的至少一个被配置为仅传输所述至少一个启用的网络节点从任何所述验证过的网络节点直接接收的数据包。
33.根据权利要求20所述的方法,其中所述至少一个启用的网络节点中的至少一个被配置为仅传输仅行进通过所述验证过的网络节点的数据包。
34.根据权利要求20所述的方法,其中所述至少一个启用的网络节点中的至少一个被配置为确定哪个所述网络节点是能够地理标记的网络节点。
35.根据权利要求20所述的方法,其中所述至少一个启用的网络节点中的至少一个被配置为确定哪个所述网络节点是启用的网络节点。
36.根据权利要求20所述的方法,其中所述至少一个启用的网络节点中的至少一个额外利用从至少一个发射源传输的接收的信号验证位于所述至少一个启用的网络节点上游的网络节点中的至少一个。
37.根据权利要求20所述的方法,其中所述数据包仅通过启用的网络节点从所述始发网络节点向下游传输到所述目的网络节点。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/586,705 US8769267B2 (en) | 2008-05-30 | 2012-08-15 | Geothentication based on new network packet structure |
| US13/586,705 | 2012-08-15 | ||
| PCT/US2013/050578 WO2014028154A1 (en) | 2012-08-15 | 2013-07-16 | System and method for geothentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104521215A true CN104521215A (zh) | 2015-04-15 |
| CN104521215B CN104521215B (zh) | 2018-05-22 |
Family
ID=48906495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380040278.5A Active CN104521215B (zh) | 2012-08-15 | 2013-07-16 | 用于地理认证的***和方法 |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP2885902B1 (zh) |
| KR (1) | KR102220834B1 (zh) |
| CN (1) | CN104521215B (zh) |
| AU (1) | AU2013303163B2 (zh) |
| RU (1) | RU2656832C2 (zh) |
| SG (1) | SG11201500746YA (zh) |
| WO (1) | WO2014028154A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110198517A (zh) * | 2018-05-10 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 一种基于自学习路径选择的端口扫描方法和*** |
| CN115202187A (zh) * | 2019-04-02 | 2022-10-18 | 卡西欧计算机株式会社 | 电子表、信息更新控制方法以及程序 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3496464A3 (en) | 2012-09-21 | 2019-10-02 | Myriota Pty Ltd | Communication system and method |
| US9948268B2 (en) | 2015-02-09 | 2018-04-17 | Samsung Electro-Mechanics Co., Ltd. | Multiband antenna having external conductor and electronic device including the same |
| FR3055503B1 (fr) * | 2016-09-01 | 2019-01-25 | Thales | Procede de geolocalisation collaborative sur un voisinage |
| US11445373B1 (en) | 2019-08-05 | 2022-09-13 | Satelles, Inc. | Validation of position, navigation, time signals |
| RU2714220C1 (ru) * | 2019-08-19 | 2020-02-13 | Акционерное общество "Российская корпорация ракетно-космического приборостроения и информационных систем" (АО "Российские космические системы") | Способ маршрутизации в сетях подвижной персональной спутниковой связи на низкоорбитальных спутниках-ретрансляторах с зональной регистрацией абонентов и маршрутизатор низкоорбитального спутника ретранслятора с интегрированными службами для осуществления указанного способа |
| WO2024054200A1 (en) * | 2022-09-06 | 2024-03-14 | Satelles, Inc. | Validation of position, navigation, time signals |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6240074B1 (en) * | 1998-02-19 | 2001-05-29 | Motorola, Inc. | Secure communication hub and method of secure data communication |
| US20050059409A1 (en) * | 2003-09-08 | 2005-03-17 | Nokia Corporation | Geographical position extension in messaging for a terminal node |
| WO2009127225A1 (en) * | 2008-04-15 | 2009-10-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for providing trustworthiness of communication |
| CN102047137A (zh) * | 2008-05-30 | 2011-05-04 | 波音公司 | 从卫星***传递精确绝对时间 |
| US20120144451A1 (en) * | 2008-05-30 | 2012-06-07 | The Boeing Company | Geolocating network nodes in attenuated environments for cyber and network security applications |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
| EP2441217A1 (en) * | 2009-06-09 | 2012-04-18 | Telefonaktiebolaget LM Ericsson (publ) | Packet routing in a network |
-
2013
- 2013-07-16 AU AU2013303163A patent/AU2013303163B2/en active Active
- 2013-07-16 SG SG11201500746YA patent/SG11201500746YA/en unknown
- 2013-07-16 EP EP13742783.7A patent/EP2885902B1/en active Active
- 2013-07-16 CN CN201380040278.5A patent/CN104521215B/zh active Active
- 2013-07-16 WO PCT/US2013/050578 patent/WO2014028154A1/en active Application Filing
- 2013-07-16 KR KR1020147034486A patent/KR102220834B1/ko active IP Right Grant
- 2013-07-16 RU RU2014147107A patent/RU2656832C2/ru active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6240074B1 (en) * | 1998-02-19 | 2001-05-29 | Motorola, Inc. | Secure communication hub and method of secure data communication |
| US20050059409A1 (en) * | 2003-09-08 | 2005-03-17 | Nokia Corporation | Geographical position extension in messaging for a terminal node |
| WO2009127225A1 (en) * | 2008-04-15 | 2009-10-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for providing trustworthiness of communication |
| CN102047137A (zh) * | 2008-05-30 | 2011-05-04 | 波音公司 | 从卫星***传递精确绝对时间 |
| US20120144451A1 (en) * | 2008-05-30 | 2012-06-07 | The Boeing Company | Geolocating network nodes in attenuated environments for cyber and network security applications |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110198517A (zh) * | 2018-05-10 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 一种基于自学习路径选择的端口扫描方法和*** |
| CN110198517B (zh) * | 2018-05-10 | 2021-07-20 | 腾讯科技(深圳)有限公司 | 一种基于自学习路径选择的端口扫描方法和*** |
| CN115202187A (zh) * | 2019-04-02 | 2022-10-18 | 卡西欧计算机株式会社 | 电子表、信息更新控制方法以及程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104521215B (zh) | 2018-05-22 |
| KR102220834B1 (ko) | 2021-02-26 |
| EP2885902B1 (en) | 2018-12-26 |
| RU2014147107A (ru) | 2016-10-10 |
| AU2013303163A1 (en) | 2014-12-04 |
| AU2013303163B2 (en) | 2017-07-20 |
| SG11201500746YA (en) | 2015-02-27 |
| RU2656832C2 (ru) | 2018-06-06 |
| KR20150042153A (ko) | 2015-04-20 |
| EP2885902A1 (en) | 2015-06-24 |
| WO2014028154A1 (en) | 2014-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6040229B2 (ja) | サイバー及びネットワークセキュリティ用途の減衰環境内におけるネットワークノードの地理位置情報取得 | |
| US8769267B2 (en) | Geothentication based on new network packet structure | |
| CN104521215A (zh) | 用于地理认证的***和方法 | |
| US9201131B2 (en) | Secure routing based on degree of trust | |
| US9178894B2 (en) | Secure routing based on the physical locations of routers | |
| US9515826B2 (en) | Network topology aided by smart agent download | |
| KR102230407B1 (ko) | 라우터의 물리적 위치에 기초한 보안 라우팅 | |
| EP2810419B1 (en) | Secure routing based on degree of trust | |
| JP5976774B2 (ja) | 衛星利用認証システムにおいてなりすまし攻撃を防止するガード用スポットビーム | |
| JP6556976B2 (ja) | ネットワーク測距に基づくジオセンティケーション | |
| Lázaro et al. | VDES R‐Mode: Vulnerability analysis and mitigation concepts | |
| AU2016269489B2 (en) | Guard spot beams to deter satellite-based authentication system spoofing | |
| AU2012238107A1 (en) | Guard spot beams to deter satellite-based authentication system spoofing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |