基于信任度的安全路由的制作方法

基于信任度的安全路由的制作方法
【專利摘要】本文公開了一種基于信任度的安全路由的系統、方法和裝置。所公開的方法涉及向至少一個網絡節點分配信任級，以及利用該信任級確定網絡節點(一個或更多)的安全程度。網絡節點(一個或更多)的信任級與網絡節點(一個或更多)的物理位置的確定性的量有關。該確定性的量從位于已知安全位置的網絡節點(一個或更多)獲得，和/或通過使用衛星地理定位技術或通過使用網絡ping測距測量從網絡節點(一個或更多)的物理位置的驗證獲得。該方法進一步包括利用網絡節點(一個或更多)的信任級確定用于路由數據的至少一條路徑的信任度，其中該路徑(一條或更多)包括網絡節點中的至少一個。
【專利說明】基于信任度的安全路由

【背景技術】
[0001] 本公開涉及安全路由。尤其是，本公開涉及基于信任程度的安全路由。往往隱藏 在匿名下的現有網絡攻擊已產生額外的有關問題。更大的攻擊往往排除始發者采取更小步 驟以更好了解系統漏洞，為以后更具破壞性的攻擊奠定基礎的未來開發的嘗試。迄今為止， 許多大型的網絡攻擊不僅未留下從留下的破壞恢復的攻擊的受領者，而且他們也無法通過 報復或以其他方式阻止任何進一步的破壞，如同缺乏對攻擊始發者的清晰可追溯性一樣， 以及因此，往往缺乏權威回應。如果攻擊的動機不清楚，受領者更不大可能告訴攻擊是人為 破壞的單純的行為，是有目的的盜竊，還是威脅到國家安全的更險惡做法。因此，有助于拒 絕惡意用戶的網絡訪問和/或提供有助于識別始發者的可追溯數據的任何系統會具有降 低和減輕拒絕服務（DoS)以及網絡數據截取攻擊的很大效用。


【發明內容】

[0002] 本公開涉及用于基于信任度的安全路由的方法、系統和裝置。尤其是，本公開教導 了提高涉及向至少一個網絡節點分配至少一個信任級的路由安全性的方法。該方法進一步 包括利用至少一個信任級確定網絡節點的安全程度。
[0003] 在至少一個實施例中，至少一個網絡節點是路由器、服務器、個人計算裝置、個人 數字助理（PDA)、蜂窩電話、計算機節點、互聯網協議（IP)節點、網關、Wi-Fi節點、網絡節 點、個人區域網（PAN)節點、局域網（LAN)節點、廣域網（WAN)節點、藍牙節點、ZigBee節點、 全球互通微波接入（WiMAX)節點、第二代（2G)無線節點、第三代（3G)無線節點和/或第四 代（4G)無線節點。
[0004] 在一個或多個實施例中，信任級有一個以上級別。在某些實施例中，至少一個網絡 節點的信任級（一個或更多）是非常高、高、中等和/或低。在至少一個實施例中，至少一 個網絡節點的至少一個信任級與該網絡節點（一個或更多）的物理位置的確定程度或確定 性的量（the amount of certainty)有關。在某些實施例中，至少一個網絡節點的物理位 置的確定性的量從位于已知安全位置的網絡節點（一個或更多）獲得。
[0005] 在至少一個實施例中，至少一個網絡節點的物理位置的確定性的量通過使用衛星 地理定位技術，從網絡節點（一個或更多）的物理位置的驗證獲得。在某些實施例中，衛星 地理定位技術使用至少一個認證信號（authentication signal),以便獲得網絡節點（一 個或更多）的物理位置。在一個或多個實施例中，至少一個認證信號通過至少一個傳送源 傳送，以及由與網絡節點（一個或更多）關聯的至少一個接收源接收。在某些實施例中，至 少一個傳送源在至少一個衛星和/或至少一個偽衛星中采用。在至少一個實施例中，至少 一個衛星是低地球軌道（LE0)衛星，中等地球軌道（ΜΕ0)衛星，和/或地球同步軌道（GE0) 衛星。在某些實施例中，LE0衛星是銥LE0衛星。
[0006] 在一個或多個實施例中，所公開的方法采用銥LE0衛星星座。在至少一個實施 例中，在星座中的每個銥LE0衛星具有天線幾何形狀，其傳送具有區別的點波束圖案的 四十八個（48)點波束。在至少一個實施例中，至少一個認證信號可以從星座中的至少一 個銥衛星傳送。銥衛星的四十八（48)個點波束可以用于向位于地球表面上或接近地球表 面的接收源傳送定位的認證信號。與這些信號關聯的廣播消息突發內容包括偽隨機噪聲 (PRN)數據。由于給定的消息突發在指定的時間在指定的衛星點波束內發生，包括PRN和 唯一波束參數（例如，時間，衛星識別（ID)，波束識別（ID)，時間偏差，軌道數據等）的消 息突發內容可以用于驗證目標節點（一個或更多）的位置。需要指出的是，當采用上述銥 LEO衛星中的一個時，傳送信號功率強到足以允許認證信號可靠穿透到室內環境中，并且可 以采用信號編碼方法以便信號功率能夠如此強。這允許這些地理定位技術用于許多室內應 用。需要進一步指出的是，這種系統可以采用至少一個下一代銥衛星，或現有銥衛星與下一 代銥衛星配置的組合。
[0007] 在至少一個實施例中，至少一個網絡節點的物理位置的確定性的量通過使用網絡 ping(平）測距測量，從估算該網絡節點（一個或更多）的物理位置獲得。在某些實施例中， 在從具有所驗證的物理位置的至少一個所驗證的節點（也被稱為信任節點（一個或更多）） 到網絡節點（一個或更多）（也被稱為目標節點（一個或更多））來回發送ping或ping類 的消息期間，該網絡平測距測量從所逝去的時間的量獲得。在一個或多個實施例中，具有所 驗證的物理位置的至少一個所驗證的節點（即，信任節點）具有通過衛星地理定位技術驗 證的物理位置。
[0008] 在一個或多個實施例中，該方法進一步包括利用至少一個網絡節點的至少一個信 任級確定用于路由數據的至少一條路徑的信任度，其中路徑（一條或多條）包括該網絡節 點中的至少一個。在一個或多個實施例中，該信任度有一個以上級別。在至少一個實施例 中，至少一條路徑的信任度是非常高、高、中等或低。在某些實施例中，至少一條路徑的信任 度等于分配給路徑（一個或更多）中的至少一個網絡節點的最低信任級。在其他實施例中， 至少一條路徑的信任度等于沿該路徑的網絡節點的總體信任級。在一個或多個實施例中， 該方法還包括根據路徑的信任度，選擇該路徑中的哪一條路徑以路由所通過的數據。
[0009] 在至少一個實施例中，該方法還進一步包括用至少一個處理器加密數據。而且，該 方法包括用網絡節點的至少一個傳送所加密的數據。此外，該方法包括用網絡節點的至少 一個接收所加密的數據。另外，該方法包括用至少一個處理器解密所加密的數據。這種通 過至少一個網絡節點傳送所加密的數據和通過另外的至少一個網絡節點接收所加密的數 據的技術被稱為"加密隧道"。這種技術允許以較高的信任度穿過具有較低信任度的路徑安 全地傳送和接收數據。
[0010] 在至少一個實施例中，至少一個處理器在路由器、個人計算裝置、個人數字助理 (PDA)、蜂窩電話、計算機節點、互聯網協議（IP)節點、網關、Wi-Fi節點、網絡節點、個人區 域網（PAN)節點、局域網（LAN)節點、廣域網（WAN)節點、藍牙節點、ZigBee節點、全球互通 微波接入（WiMAX)節點、第二代（2G)無線節點、第三代（3G)無線節點和/或第四代（4G) 無線節點中采用。
[0011] 在一個或多個實施例中，該方法進一步包括由網絡節點的至少一個利用至少一個 安全路由器傳送數據。在至少一個實施例中，該方法進一步包括由網絡節點的至少一個利 用至少一個安全路由器接收數據。
[0012] 在至少一個實施例中，該方法進一步包括向數據分配信任度。在某些實施例中，該 方法進一步包括基于數據已行進通過的路徑的信任度，由網絡節點（一個或更多）的至少 一個利用至少一個邊界防火墻路由器確定是否允許該數據穿過邊界防火墻路由器（一個 或更多）。在至少一個實施例中，路徑中的至少一個包括用于路由所通過的數據的至少一個 安全自主系統。在至少一個實施例中，至少一個安全自主系統具有分配給該安全自主系統 的整體信任級。
[0013] 在某些實施例中，該方法進一步包括用至少一個處理器生成至少一個網絡節點的 物理位置的圖譜，其中該圖譜指示每個網絡節點的至少一個信任級。
[0014] 在一個或多個實施例中，至少一個網絡節點的至少一個信任級與該至少一個網絡 節點的行為有關。在至少一個實施例中，至少一個網絡節點的行為與穿過網絡節點（一個 或更多）數據類型和/或穿過網絡節點（一個或更多）的數據的數量有關。
[0015] 在一個或多個實施例中，所公開的提高路由安全性的系統包括至少一個網絡節 點，以及至少一個處理器，所述至少一個處理器經配置向網絡節點（一個或更多）分配至少 一個信任級。至少一個處理器經配置利用至少一個信任級確定網絡節點（一個或更多）的 安全程度。
[0016] 在至少一個實施例中，至少一個處理器經進一步配置利用至少一個網絡節點的至 少一個信任級確定用于路由數據的至少一條路徑的信任度，其中路徑（一條或多條）包括 該網絡節點中的至少一個。在某些實施例中，至少一個處理器經進一步配置根據路徑的信 任度，選擇該路徑中的哪一條路徑以路由所通過的數據。在某些實施例中，至少一個處理器 經進一步配置使用用于至少一個網絡節點的至少一個信任級選擇路徑中的哪一個路徑以 路由所通過的數據。
[0017] 在一個或多個實施例中，至少一個處理器經進一步配置加密數據。在至少一個實 施例中，至少一個網絡節點經配置傳送所加密的數據。在某些實施例中，至少一個網絡節點 經配置接收所加密的數據。在一個或多個實施例中，至少一個處理器經進一步配置解密所 加密的數據。
[0018] 在至少一個實施例中，該系統進一步包括至少一個安全路由器，以及網絡節點的 至少一個，其經進一步配置利用安全路由器（一個或更多）傳送數據。在某些實施例中，該 系統進一步包括至少一個安全路由器，以及網絡節點的至少一個，其經進一步配置利用安 全路由器（一個或更多）接收數據。在至少一個實施例中，至少一個處理器經進一步配置 向該數據分配信任度。
[0019] 在一個或多個實施例中，該系統進一步包括至少一個邊界防火墻路由器，所述至 少一個邊界防火墻路由器經配置基于數據已行進通過的路徑的信任度，確定是否允許該數 據通過該邊界防火墻路由器（一個或更多）行進。在至少一個實施例中，該系統進一步包 括至少一個安全自主系統，該至少一個安全自主系統經配置路由所通過的數據，其中該路 徑中的至少一個包括該安全自主系統（一個或更多）中的至少一個。
[0020] 在至少一個實施例中，至少一個處理器經進一步配置生成至少一個網絡節點的物 理位置的圖譜，其中該圖譜指示每個網絡節點的至少一個信任級。
[0021] 所述特征、功能和優點可以在本發明的不同實施例中單獨實現，或可以在其他實 施例中組合。

【專利附圖】

【附圖說明】
[0022] 通過下列【具體實施方式】，附屬的權利要求以及隨附的繪圖，本公開的這些和其他 特征、方面和優點將變得更加易于理解，其中 ：
[0023] 圖1示出根據本公開的至少一個實施例，已經被分配不同信任級的網絡節點的抽 象網絡的示意圖。
[0024] 圖2是根據本公開的至少一個實施例的不同網絡節點的示意圖，所述不同網絡節 點具有通過衛星地理定位技術以及通過網絡ping測距測量所認證的他們的物理位置。
[0025] 圖3是根據本公開的至少一個實施例，示出所公開的加密隧道的特征的示意圖。
[0026] 圖4是根據本公開的至少一個實施例，示出所公開的利用自主系統的特征的示意 圖。
[0027] 圖5是根據本公開的至少一個實施例，示出所公開的邊界防火墻節點的特征的示 意圖。
[0028] 圖6到圖10針對所公開的系統和方法，其基于網絡節點的網絡測距，用于地理位 置認證。
[0029] 圖6是根據本公開的至少一個實施例，所公開的用于認證目標節點的物理位置的 系統的不意圖。
[0030] 圖7A是根據本公開的至少一個實施例，所公開的用于認證目標節點的物理位置 的方法的流程圖，其中該目標節點發送地理位置認證請求。
[0031] 圖7B是根據本公開的至少一個實施例，所公開的用于驗證目標節點的物理位置 的方法的流程圖，其中具有已知位置的至少一個信任節點發送查詢消息。
[0032] 圖8是根據本公開的至少一個實施例的兩個網絡路由器的示意圖，其中所述兩個 網絡路由器中的每個采用用于發送消息的響應消息硬件裝置。
[0033] 圖9是根據本公開的至少一個實施例，附接到路由器的響應消息硬件裝置的示意 圖，其示出該設備被安置為與進入的數據線連線。
[0034] 圖10A、10B和圖10C是根據本公開的至少一個實施例的示意圖，當圖10A、10B和 圖10C在一起觀看時，其示出新的節點（例如，目標節點）進入網絡以及該新節點具有通過 所公開的系統驗證的物理位置。
[0035] 圖11到圖14針對所公開的系統和方法，其用于網絡節點的基于點波束的認證。
[0036] 圖11是根據本公開的至少一個實施例的基于衛星的通信系統的示意圖，該通信 系統可以由所公開的基于點波束的認證系統采用。
[0037] 圖12A、12B和圖12C是根據本公開的至少一個實施例，示出基于衛星的認證系統 的示意圖。
[0038] 圖13A是根據本公開的至少一個實施例，可以適用于實施所公開的基于衛星的認 證系統的計算裝置的示意圖。
[0039] 圖13B是根據本公開的至少一個實施例，可以被所公開的基于點波束的認證系統 采用的基于衛星的通信系統的示意圖。
[0040] 圖14是根據本公開的至少一個實施例的流程圖，其示出所公開的用于驗證目標 節點的基于點波束的認證方法。

【具體實施方式】
[0041] 本文公開的方法和裝置提供基于信任度用于安全路由的有效系統。尤其是，該系 統涉及向至少一個網絡節點分配信任級，以及利用該信任級確定網絡節點（一個或更多） 的安全程度。網絡節點（一個或更多）的信任級與網絡節點（一個或更多）的物理位置的 確定性的量有關。至少一個網絡節點的物理位置的確定性的量從位于已知安全位置的網絡 節點（一個或更多）獲得，和/或通過使用衛星地理定位技術或通過使用網絡ping測距測 量從網絡節點（一個或更多）的物理位置的驗證獲得。在一個或多個實施例中，該衛星地 理定位技術利用低地球軌道（LE0)衛星的銥星座。在至少一個實施例中，該系統利用參與 的網絡節點的信任級確定用于路由數據的至少一條路徑的信任度，其中該路徑（一條或多 條）包括所述參與的網絡節點中的至少一個。
[0042]目前，隨著電子系統變得根深蒂固于日常的商務和社交工作，網絡安全變得越來 越重要。許多之前管理的業務流程已擴展到在線的電子數據處理，從而使得持續的信息與 計算安全進步的技術成為必然要求以便保護這些日常的系統。使用從與國家基礎設施相關 的信息到社會安全號碼的信息的重要文件和其他數據存儲在聯網系統中，如果被未授權團 體訪問，將會產生從危害到災難性的社會基礎設施的崩潰的不同程度的社會影響。在對電 子系統的依賴增加的同時，國家也看到了恐怖主義和電腦黑客的急劇增加，因此需要社會 朝改善保護我們的聯網計算機系統的方法努力工作。
[0043] 網絡攻擊和網絡滲透變得很常見，其通過在前沿的商業和軍事環境中的外部威脅 已經帶來網絡滲透的危險性的討論。當前的訪問控制方案主要基于或者靜態密碼或者基于 密碼和/或徽章憑據的認證。由于系統攻擊往往通過扮演終端用戶（或網絡節點或路由 器）進行，出現了一些組織專注于用戶身份認證方法以減少網絡數據截取網絡漏洞的一種 趨勢。這些方案對復雜的攻擊仍然是脆弱的，因此，借助附加信息例如用戶位置（或網絡結 點或路由位置），以提供保護的附加和正交層的訪問控制的新范例的需求已經展開，其提供 位置與從集成物理地理位置到邏輯網絡的情境意識之間增強的相關性和信息管理視界。 [0044] 為了提高網絡的安全性，該系統必須從節點級和系統的角度兩方面來考慮。每個 節點和節點之間的隨后路徑含有受到威脅的機會。本公開專注于用一種下到上（即，節點 到系統）的方法改善網絡的安全。因此，所公開的系統和方法專注于節點的安全和至少兩 個節點之間路徑的安全。
[0045] 所公開的系統和方法具有與改善網絡安全有關的至少六個主要特征。第一特征與 信任級的分配和/或信任度有關。特別是，這個特征基于表征的能力，以及進一步改善網絡 節點的信任級以及包括至少兩個網絡節點的網絡路徑的信任度。網絡節點的信任級可以通 過其物理位置的確定性進行確定。通過將該節點放置在已知的安全位置（例如軍事基地或 政府建筑物）；通過使用衛星地理定位技術驗證物理位置；或通過使用網絡ping測距測量 估算物理位置，可以獲得節點的物理位置。特定網絡節點的關聯信任級可以取決于該節點 能夠執行確認其物理位置的認證類型。例如，能夠執行具有降低節點被黑客攻擊/欺騙或 以其他方式受到威脅的可能性的特性的認證方法的節點將相對于另一個節點固有地被給 予更高的關聯信任級，該另一個節點僅可以執行比前者更不可靠的認證方法。
[0046] 網絡路徑的信任度可以通過其節點中發現的最低信任級進行確定。此外，應當指 出，可替代的方法可以基于包括權衡位置的確定性與其他方面的節點的這類屬性，例如給 定節點已受到威脅的可能性/概率（即，某些網絡節點可能對黑客入侵/欺騙的企圖固有 地更容忍或對其他可替代的方式更易受影響），用于限定信任度。例如，終端節點會造成網 絡云的更顯著風險，并且因此可以被權衡，使得其固有地更不值得信任。
[0047] 所公開的系統和方法的第二主要特征涉及加密隧道。加密隧道允許具有更高信任 度的兩個網絡節點能夠經由具有較低信任度的網絡路徑彼此安全地發送數據。在至少一個 示例中，這種情況當兩個網絡節點要求至少一個附加網絡節點在他們之間路由數據時會發 生，其中例如，該至少一個附加網絡節點具有較低信任度。對于這個特征，具有要發送的數 據的初始傳送網絡節點在傳送之前首先對數據加密。在數據加密后，初始傳送網絡節點經 由具有較低信任度的路徑向目的地接收網絡節點發送所加密的數據。一旦目的地接收網絡 節點接收所加密的數據后，該目的地接收網絡節點就解密所加密的數據。然而，在至少一個 實施例中，數據可以通過節點鏈路由，其中至少一個節點具有較低的信任級而剩余節點具 有可接受的信任級。在這個實施例中，一旦數據被具有可接受的信任級的節點接收，就可以 解密該數據。在至少一個實施例中，這個節點可以不是目的地接收節點，而是該鏈（即，路 徑）中在到達目的地接收節點之前的節點。
[0048] 在一個或多個實施例中，第二特征使用用于數據的路由的由網絡節點采用的路由 器或關聯的硬件。對于這個特征，該路由器或關聯的硬件確定路徑，該路徑可以采用至少一 個加密的隧道以路由通過的數據，從而保持較高的信任度。例如，初始傳送網絡節點E可 以被分配以形成在其自身與目的地接收網絡節點A之間具有高信任度的安全連接，對于這 個示例，網絡路徑E (高信任級）-D (中等信任級）-C (中等信任級）-B (高信任級）-A (高信 任級）被識別為網絡節點E與網絡節點A之間的最安全路徑。然而，存在位于這條路徑的 具有中等信任級的網絡節點。由于網絡節點D和網絡節點C具有中等信任級，網絡節點E 將路由數據穿過在其自身與網絡節點B之間形成的加密隧道。因此，可以為這個特定路徑 產生而又保持高信任級的最直接（即，最短）隧道是網絡節點E與網絡節點B之間的加密 隧道。因此，產生的用于該數據行進的網絡路徑將是E (高信任級）-加密隧道-B (高信任 級）-A(高信任級）。圖3示出這個特定特征。
[0049] 所公開的系統的第三主要特征涉及安全路由器的使用。這個特征允許網絡節點使 用安全路由器傳送和/或接收數據，該安全路由器具有比該網絡節點更高的信任級。由于 這個特征被具有比該安全路由器更低的信任級的網絡節點采用，這個特征允許具有較低信 任級的網絡節點能夠以較高信任度安全傳送數據和/或接收數據。應當指出，對于這個特 征，初始傳送網絡節點和目的地接收網絡節點兩者均可以利用安全路由器，或者相反，只有 一個網絡節點，或者初始傳送節點或者目的地網絡節點可以采用安全路由器。
[0050] 所公開的系統和方法的第四主要特征涉及至少一個邊界防火墻路由器的使用。對 于這個特征，至少一個邊界防火墻路由器作為嘗試穿過該網絡的數據的網守被采用。具體 地，邊界防火墻路由器用于確定是否允許數據穿過該邊界防火墻路由器。特別地，如果數據 之前穿過具有足夠高的信任度的路徑，那么邊界防火墻路由器會讓該數據穿過所述邊界防 火墻路由器。因此，每個邊界防火墻路由器將具有其會要求數據的路徑具有的一組閥值信 任度，以便其允許數據穿過。在某些實施例中，該系統和方法使用至少一個邊界防火墻路由 器作為數據流量嘗試從公共網絡跨越到私人網絡的網守，這要求進入的數據已經行進通過 具有較高信任度的路徑。圖5的描述詳細說明了使用邊界防火墻路由器的特征。
[0051] 所公開的系統和方法的第五主要特征涉及由關聯的硬件輔助的路由的最小信任 級。這個特征使用由該網絡節點所采用的路由器或關聯的硬件實現數據路由的最小信任 級。該路由器或關聯的硬件被該網絡節點用于報告位于一個端點網絡節點與另一個端點網 絡節點之間的特定路徑的網絡節點的最小信任級。這個特征允許該網絡節點能夠沿特定網 絡路徑遞歸探索以確定該路徑的整體信任度。對于這個特征，路徑的信任度等于位于該路 徑內的任何網絡節點的最低信任級。
[0052] 例如，對于網絡節點的網絡路徑：A (商/[目任級）-B (商/[目任級）-C (商/[目任 級）-D(中等信任級），網絡節點A可以要求網絡節點B的信任級在網絡節點B與網絡節點 D之間。網絡節點B接著可以請求網絡節點C的信任級在網絡節點C與網絡節點D之間。 由于網絡節點C連接到網絡節點D以及網絡節點D的信任級是中等，網絡節點C向網絡節 點B回報最小信任級是中等。網絡節點B可以具有高信任級，但是現在得知順流的最小信 任級是中等，因此其可以報告沿網絡路徑B-C-D的最小信任級是中等。在這個示例中的網 絡節點A也具有任級，以及其得知沿A-B-C-D的最小信任級不是其自身的信任級，而是 其與順流的最小信任級，即中等信任級關聯。
[0053] 所公開的系統的第六特征涉及自主系統的使用。對于這個特征，至少一個自主系 統用于路由所穿過的數據。每個自主系統具有其自身的信任級。如果自主系統具有數據的 路由所需要的可接受的信任級（即，足夠高的信任級），如果該自主系統位于初始傳送網絡 節點與目的地接收網絡節點之間，該數據可以通過該自主系統路由。圖4的描述詳細說明 了使用自主系統的特征。
[0054] 在一個或多個實施例中，自主系統的信任級可以被定義為等于位于該自主系統內 的任何網絡節點（或路由器）的最低信任級。例如，如果自主系統包括具有高信任級的網絡 節點以及具有中等信任級的網絡節點，用于該自主系統的信任級將是中等。在其他實施例 中，如果自主系統能夠形成通過其具有較高信任級的網絡節點（或路由器）的路徑，該路徑 可以包括或不包括加密隧道，該自主系統的信任級可以被定義為等于該較高信任級。例如， 如果自主系統包括具有高信任級的網絡節點和具有中等信任級的網絡節點，并且能夠在具 有高信任級的自主系統的網絡節點之間形成包括或不包括加密隧道的路徑，那么，該自主 系統的信任級將是高的。
[0055] 所公開的系統和方法的第八主要特征涉及室內信號接收。當所公開的系統和方法 采用至少一個銥低地球軌道（LE0)衛星作為傳送源向地球傳送至少一個認證信號，所述至 少一個認證信號被衛星地理定位技術使用，以便驗證至少一個網絡節點（或路由器）的位 置時，這個特征是可應用的。如上面簡略地提到的，從銥LE0衛星傳送的信號能夠穿透到室 內環境中。因此，銥LE0衛星的使用允許驗證位于室內的網絡節點的物理位置。因此，這個 特征允許所公開的系統和方法用于各種室內應用。
[0056] 在下列描述中，眾多的細節被闡述，以便提供所述系統的更徹底的描述。然而，所 公開的系統可以在沒有這些具體細節的情況下被實踐，這對于本領域的技術人員來說是顯 而易見的。在其他實例中，眾所周知的特征并沒有被詳細描述，以免不必要地混淆本系統。
[0057] 圖1示出根據本公開的至少一個實施例，已經被分配不同信任級的網絡節點的抽 象網絡1000的示意圖。在這個繪圖中，網絡節點的網絡1000被示出包括網絡節點A、B、C、 D、E、F和G，以及其他附加網絡節點。網絡1000中的每個網絡節點被分配信任級。對于圖 1，該網絡節點已經被分配三種信任級中的一種，所述三種信任級是非常高信任級（由字母 "V"表示），高信任級（由字母"Η"表示），以及低信任級（由字母"L"表示）。因此，如圖 所示，網絡節點A、B和E已經被分配非常高信任級；網絡節點C、D和F已經被分配高信任 級；以及網絡節點G已經被分配低信任級。
[0058] 應當指出，在某些實施例中，所公開的系統和方法可以采用不止三種信任級或少 于三種信任級。此外，在某些實施例中，信任級可以具有不同于在本公開中所使用的各種不 同名稱。例如，在某些實施例中，所公開的系統和方法采用四種信任級。在至少一個實施例 中，所述四種信任級被稱為非常高信任級，高信任級，中等信任級和低信任級。
[0059] 所公開的系統和方法利用各種手段和方式確定哪種特定信任級分配給網絡節點。 在一個或多個實施例中，網絡節點的物理位置的確定性的量是用于確定哪種信任級分配給 網絡節點的因素或指示器。存在網絡節點的物理位置可以被驗證或估算的各種方式，以及 該物理位置被驗證或估算的方式可以用作確定應當被分配給網絡節點的信任級的指示器 或因素。
[0060] 例如，網絡節點的物理位置可以被驗證的一個方式是該網絡節點是否位于已知的 安全位置，例如軍事基地或政府建筑物中。在一個或多個實施例中，在已知物理位置中的網 絡節點被分配非常高信任級。
[0061] 網絡節點的物理位置可以被驗證的另一個方式是通過使用衛星地理定位技術。不 同的衛星地理定位技術類型可以由所公開的系統采用。包括圖11到圖14的描述的本公開 的基于點波束的認證部分討論了可以由所公開的系統利用的一個示例衛星地理定位技術 (即，基于點波束的認證）。此外，圖2的描述說明所公開的系統和方法如何使用基于點波 束的認證衛星地理定位技術驗證網絡節點的物理位置。在至少一個實施例中，具有通過衛 星地理定位技術所驗證的物理位置的網絡節點被分配非常高信任級。
[0062] 網絡節點的物理位置可以被估算的示例方式是通過使用網絡ping測距測量。各 種類型的網絡測距測量和技術可以由所公開的系統使用。包括圖6到圖10的描述的本公 開的基于網絡測距的地理位置認證部分詳細描述了可以由所公開的系統采用的一個示例 網絡測距技術。
[0063] 當所公開的系統和方法利用基于網絡測距技術的地理位置認證估算網絡節點 (被稱為目標節點）的物理位置時，在一個或多個實施例中，具有所驗證的物理位置（以及 因此是"受信任的"）的節點（被稱為所驗證的節點）首先向需要所驗證的其自身的物理位 置的網絡節點（即，目標節點）發送查詢ping或ping類消息。在一個或多個實施例中，所 驗證的節點具有通過衛星地理定位技術（例如基于點波束的認證技術）驗證的其自身的物 理位置。一旦網絡節點接收查詢消息，該網絡節點就向所驗證的節點（g卩，受信任的節點） 回發響應ping或ping類消息。從所驗證的節點發送查詢消息到該所驗證的節點接收響應 消息所逝去的時間的量用于生成測距測量。利用測距測量計算網絡節點（即，目標節點） 的物理位置的估算。在一個或多個實施例中，具有通過衛星網絡ping測距測量所估算的物 理位置的網絡節點可以被分配高信任級。
[0064] 應當指出，某些網絡節點不能具有所述的方法（例如通過位于已知安全位置或通 過衛星地理定位技術）所驗證的他們的物理位置，或不能具有通過網絡ping測距測量所估 算的他們的物理位置。在一個或多個實施例中，這些網絡節點可以被分配低信任級。
[0065] 再回到圖1，在這個繪圖中，如之前所提到的，該網絡節點被分配如所述圖所指示 的各種不同信任級。當網絡節點（即，初始傳送網絡節點）想向另一個網絡節點（即，目的 地接收網絡節點）發送數據時，在用于發送數據的兩個網絡節點之間展開的特定路徑必須 被確定。類似于該網絡節點，每個路徑具有信任度。在一個或多個實施例中，網絡路徑的 信任度可以通過在其節點中發現的最低信任級進行確定。例如，網絡節點A(非常高信任 級） _B (非常任級）_C( 任級）_D( 任級）-E (非常任級）的網絡路徑將被 給予高信任度，這是因為在其節點中發現的最低信任級是高的（即，對于網絡節點C和D)。 [0066] 圖2是根據本公開的至少一個實施例的不同網絡節點的示意圖2000,所述不同 網絡節點具有通過衛星地理定位技術以及通過網絡ping測距測量所驗證的他們的物理位 置。在這個繪圖中，包含五個網絡節點的網絡被示出。對于這個繪圖，如果網絡節點位于已 知的安全位置，以及他們的物理位置通過衛星地理定位技術進行驗證，則該網絡節點被分 配非常高信任級（由字母"V"表示）。在這個繪圖中，網絡節點2100在已知的安全位置，以 及其位置通過衛星地理定位技術進行驗證。
[0067] 如果網絡節點不位于已知的安全位置，但是他們的物理位置通過衛星地理定位技 術進行驗證，則該網絡節點被分配高信任級（由字母"H"表示）。網絡節點2200和2300在 不安全位置，但是他們的物理位置通過衛星地理定位技術進行驗證。而且，如果網絡節點不 位于已知的安全位置，但是他們的物理位置通過網絡ping測距測量進行估算，則該網絡節 點被分配中等信任級（由字母"M"表示）。網絡節點2400在不安全位置，但是其物理位置 通過網絡ping測距測量進行估算。此外，如果網絡節點不位于已知的安全位置并且不能具 有通過衛星地理定位技術驗證或通過網絡ping測距測量估算的物理位置，則該網絡節點 被分配低信任級（由字母"L"表示）。在這個繪圖中，網絡節點2500和2600位于不安全位 置并且不能具有通過衛星地理定位技術驗證或通過網絡ping測距測量估算的物理位置。
[0068] 在圖2中，示出起傳送源作用的衛星2700向地球傳送點波束2800和2900。點波 束2800和2900包含至少一個認證信號。認證信號（一個或更多）用于驗證位于點波束 2800和2900內的任何網絡節點的物理位置。在本公開的基于點波束認證部分中的討論詳 細描述認證信號（一個或更多）如何用于驗證其物理位置。在這個繪圖中，示出網絡節點 2100位于點波束2800中，以及示出網絡節點2200和2300位于點波束2900內。網絡節點 2100被分配非常高信任級，這是因為其位于已知的安全位置（例如軍事基地）并且其物理 位置通過采用衛星2700的衛星地理定位技術進行驗證。網絡節點2200和2300被分配高 信任級，這是因為他們的物理位置通過衛星地理定位技術進行驗證，以及他們不位于已知 的安全位置。
[0069] 在這個繪圖中，網絡節點2400具有通過網絡ping測距測量所估算的其自身的物 理位置。為了獲得該網絡ping測距測量，在一個或多個實施例中，網絡節點2100和/或網 絡節點2300向網絡節點2400發送查詢消息，其中網絡節點2100和/或網絡節點2300兩 者均具有如圖所示的通過衛星地理定位技術所驗證的他們的物理位置。一旦網絡節點2400 接收該查詢消息，網絡節點2400向網絡節點2100和/或網絡節點2300回送響應消息。從 網絡節點2100和/或2300發送查詢消息到接收響應消息所逝去的時間的量用于生成網絡 測距ping測量。網絡測距ping測量用于生成網絡節點2400的物理位置的估算。由于網 絡節點2400具有通過網絡ping測距測量所估算的其自身的物理位置并且其不位于已知的 安全位置，該網絡節點2400被分配中等信任級。網絡節點2500被分配低信任級，這是因為 其不位于已知的安全位置，并且其不具有通過衛星地理定位技術驗證或通過網絡ping測 距測量估算的其自身的物理位置。
[0070] 圖3是根據本公開的至少一個實施例，示出所公開的加密隧道的特征的示意圖。 在這個繪圖中，包含若干網絡節點的網絡3000被示出。網絡節點A想要經由具有非常高信 任級的路徑向網絡節點E傳送數據。為了實現這點，路由器或關聯的硬件確定保持非常高 信任度的路由所通過的數據的指定路徑。在這種情況下，網絡路徑A (非常高信任級）-B (非 常商?目任級）_C(商/[目任級）-D(商/[目任級）-E(非常商 /[目任級）被識別為網絡節點A與網 絡節點E之間的最安全路徑。由于這個特定路徑包括具有非常高信任級的網絡節點和具有 高信任級的網絡節點，并且路徑的信任度被定義為其網絡節點的最低信任級，這個特定路 徑被分配高信任度。
[0071] 具有非常高信任級的網絡節點A可以向網絡節點B傳送數據，這是因為網絡節點 B也具有非常高信任級。然而，網絡節點B不能通過任何網絡節點向網絡節點E傳送數據， 這是因為位于網絡節點B與網絡節點E之間的任何網絡節點不具有非常高信任級。為了使 網絡節點B能夠向網絡節點E傳送該數據并保持非常高信任度，網絡節點B經由在網絡節 點B與網絡節點E之間形成的加密隧道3100傳送數據。所產生的用于數據行進的網絡路 徑是A (非常高信任級）-B (非常高信任級）-加密隧道-E (非常高信任級）。
[0072] 為了形成加密隧道3100,網絡節點B在數據傳送之前對該數據加密。在一個或多 個實施例中，與網絡節點B關聯的處理器執行加密。在網絡節點B加密數據后，網絡節點B 通過網絡節點C和D向網絡節點E傳送該數據，其中網絡節點C和D均具有高信任級。應 當指出，雖然圖3示出加密隧道3100從網絡節點B直接跨越到網絡節點E，但是這僅僅是該 加密隧道的象征性說明，以及實際上，數據實際通過網絡節點C和網絡節點D從網絡節點B 路由到網絡節點E。在一個或多個實施例中，一旦網絡節點E接收所加密的數據，與網絡節 點E關聯的處理器就解密所加密的數據。
[0073] 在其他實施例中，如果類似于網絡節點E的網絡節點D具有非常高信任級，可選 地，一旦網絡節點D接收來自網絡節點C的所加密的數據，網絡節點D就可以解密所加密的 數據。一旦網絡節點D解密所加密的數據，那么，網絡節點D就會將所解密的數據轉發到網 絡節點E。
[0074] 圖4是根據本公開的至少一個實施例，示出所公開的利用自主系統的特征的示意 圖4000。在這個繪圖中，示出包含節點的網絡的自主系統4100。所公開的系統和方法可以 采用至少一個自主系統以路由所通過的數據。可以采用各種不同類型的自主系統。可以 被所公開的系統利用的自主系統的示例包括但不限于，AT&T網絡，Sprint網絡，3級網絡， Qwest網絡，UUnit網絡，以及環球電訊網絡。
[0075] 類似于網絡路徑，自主系統被分配信任度。在一個或多個實施例中，自主系統的信 任度等于其網絡節點中的最低信任級。由于自主系統4100包括具有非常高信任級的網絡 節點，具有高信任級的網絡節點，以及具有低信任級的網絡節點，對于這些實施例，自主系 統4100具有低信任級。
[0076] 不過在其他實施例中，自主系統的信任度等于穿越該自主系統的路徑的信任度。 在這個繪圖中，路徑被示出從具有非常高信任級的網絡節點A開始，并且路由到也具有非 常高信任級的網絡節點B。加密隧道從網絡節點B到網絡節點E形成，網絡節點E也具有非 常高信任級。由于在自主系統4100中的這個特定路徑僅通過具有非常高信任級的網絡節 點行進，因此這個路徑具有非常高信任度。因此，對于這些實施例，自主系統4100具有非常 高信任度。
[0077] 在這個繪圖中，網絡節點4200想要在具有非常高信任度的路徑上向網絡節點 4300發送數據。由于如上所述，該數據可以通過自主系統4100被路由到具有非常高信任級 的路徑上，網絡節點4200通過自主系統4100向網絡節點4300傳送該數據。
[0078] 圖5是根據本公開的至少一個實施例，示出所公開的邊界防火墻節點的特征的示 意圖5000。在這個繪圖中，周長5100被示出與兩個邊界防火墻節點5200連線。邊界防火 墻節點（或路由器）5200被用作數據嘗試穿過周長5100到安全設施5500中的網絡節點 5600的網守。每個邊界防火墻節點5200確定嘗試穿過周長5100或邊界防火墻節點5200 的數據是否之前已經通過具有足夠高的信任度的路徑行進。如果數據之前已經通過具有足 夠高的信任度的路徑行進，邊界防火墻節點5200將允許該數據穿過邊界防火墻節點5200。 每個邊界防火墻節點5200具有一組閥值信任度的要求，并且其要求數據之前通過行進的 路徑具有至少該閥值信任度，以便邊界防火墻節點5200允許該數據穿過。在這個繪圖中， 邊界防火墻節點5200將只允許之前通過具有非常高信任級或高信任級的路徑行進的數據 穿過網絡節點5400的公共區域5300,通過周長5100,到達安全設施5500的網絡節點5600 中。
[0079] 基于網絡測距的地理位置認證
[0080] 用于基于網絡測距的地理位置認證的系統和方法涉及通過使用從具有已知物理 位置的至少一個節點提取的測距測量，認證網絡節點（即，目標節點）的物理位置。至少一 個節點的物理位置經由衛星地理定位技術獲得。各種類型的衛星地理定位技術可以由所公 開的系統采用。本公開中的圖11到圖14的描述討論了可以被所公開的系統利用的一個示 例性衛星地理定位技術（即，基于點波束的認證）。
[0081] 當前的打擊日益增多的網絡攻擊的訪問控制方案主要基于或者靜態密碼或者基 于密碼和/或徽章憑據的認證。由于攻擊往往通過扮演終端用戶進行，出現了一些組織專 注于用戶身份認證方法以減小網絡漏洞的一種趨勢。這些方案對復雜的攻擊仍然是脆弱 的，并且因此，有必要開發利用額外的信息（例如用戶的物理位置）的訪問控制的新典范。 這種信息提供保護的附加和正交層，這產生位置與從集成物理地理定位到邏輯網絡的情境 意識之間增強的相關性和信息管理視界。這意味著，特定網絡節點的進入的數據可以根據 其物理位置進行診斷，并基于這類信息對其授予各種訪問權限。
[0082] 目前難以用現有的工具來確定網絡節點的物理位置。網絡節點的位置可以通過檢 查互聯網協議（IP)地址和主機名進行推斷，但是這些識別符可能是欺騙或混淆的。可替換 地，以及更安全地，網絡節點的物理位置可以通過使用網絡Ping測距測量估算獲得。
[0083] 在本公開中，ping命令是用于測試互聯網協議（IP)網絡上節點的可達性和測量 消息從初始節點（即，發送查詢ping消息的節點）發送到目的地節點（即，接收該查詢ping 消息并發送響應ping消息的節點）的往返時間的計算機網絡管理工具。ping命令通過初 始節點向目的地節點發送互聯網控制消息協議（ICMP)回送請求數據包并等待響應工作。 在這個過程中，處理器用于測量查詢ping消息的傳送的往返時間，以及記錄任何數據包損 失。
[0084] 用于基于網絡測距的地理位置認證的系統和方法具有四種主要特征。第一主要特 征是使用網絡ping測距測量，以估算網絡節點的物理位置。這類確定可以增加網絡中的信 任級，以及這類確定通過從具有已知位置的安全受信任的網絡節點（一個或更多）向有問 題的目標網絡節點發送ping命令實現。在一個或多個實施例中，該初始節點（即，發送查 詢ping消息的節點）然后將檢查發送時間與接收時間之間的差別，并導出物理測距估算。 執行Ping測距的一個以上初始節點可以遵循這個過程，以便提高最終結果的準確性和可 靠性。
[0085] 第二主特征是ping預協調和/或優先化的使用。這個特征基于ping命令從目的 地節點立即返回（即，立即發送ping響應消息）的需要，這對于該方法的第一主特征的準 確性是至關重要的。由響應延遲引起的任何關聯的延遲將增加所測量的網絡距離，并且因 此增加所測量的最大物理距離。這增加了網絡節點的實際物理位置的不確定性。因此，這 個特征建議各種"快速跟蹤"方法的使用，該方法通過使用查詢ping命令和響應ping命令 的預協調和/或優先化使得結果得以改善，其允許目的地節點盡可能快地對ping請求作出 回應，從而降低距離誤差和改善最終結果的準確性。
[0086] 第三主特征是專用ping響應"快速跟蹤"硬件的利用。專用ping響應"快速跟 蹤"硬件的使用更好啟用第二主特征的"快速跟蹤"的方法。這類硬件附接到和/或連接到 涉及網絡測距的裝置中，以及還可以通過預協調和/或優先化對ping查詢的響應用于提高 最終結果的準確性。
[0087] 第四主特征是使用查詢ping消息內唯一識別符（例如，由一些隨機位組成的偽隨 機碼（PRC))，使得所述唯一識別符不能被預測并且可以被目的地節點（一個或更多）復制 到響應ping消息中。這些唯一識別符起作用以確保被初始節點接收的響應ping消息（一 條或多條）實際上是對由該初始節點發送的查詢ping消息的響應。
[0088] 應當指出，在對所述繪圖的整個描述中，遵循了網絡節點的一定命名約定。該命名 約定如下所述。目標節點是所公開的系統和方法將通過驗證其物理位置嘗試認證的有問題 的網絡節點。受信任的節點（一個或更多）是具有已知物理位置的網絡節點（一個或更 多）。在一個或多個實施例中，受信任的節點（一個或更多）的物理位置從衛星地理定位技 術獲得。然而，在某些實施例中，至少一個受信任的節點的物理位置通過其他手段獲得，該 其他段包括但不限于地面測繪數據。而且，初始節點是發送查詢ping消息的網絡節點，以 及目的地節點是接收該查詢ping消息并向該初始節點回送響應ping消息的網絡節點。
[0089] 圖6是根據本公開的至少一個實施例的所公開的用于認證目標節點（路由器 3)110的物理位置的系統100的示意圖。在這個繪圖中，網絡節點110、120、130(其通過路 由器實施）的網絡被示出，其中需要路由器3 110的物理位置的認證。路由器1 120和路 由器2 130在所驗證的物理位置（因此，他們被稱為受信任的節點），但是路由器3 110的 物理位置是未知或未經驗證的。
[0090] 路由器1 120和路由器2 130(即，受信任的節點）的物理位置通過衛星地理定位 技術獲得。如這個繪圖所示，衛星1 140和衛星2 150兩者均傳送多個點波束160、170到 地球180上。路由器1 120和路由器2 130分別被從衛星1 140和衛星2 150傳送的多個 點波束160U70中的至少一個照亮。路由器1 120和路由器2 130的物理位置從各種不同 類型的地理定位認證系統和方法獲得。
[0091] 在一個或多個實施例中，基于點波束的認證系統和方法被系統100用于驗證路由 器1 120和路由器2 130的物理位置。對于這些實施例，LE0銥衛星被衛星140U50采用，衛 星140U50中的每個傳送用于驗證路由器1 120和路由器2130的物理位置的至少一個認 證信號。與路由器1 120關聯的接收源（未示出）和與路由器2 130關聯的接收源（未示 出）用于分別接收從衛星1 140和衛星2 150(8卩，傳送源）傳送的認證信號。關于基于點波 束的認證系統和方法的詳細討論在下面本公開的基于點波束的認證部分中闡述。此外，需 要指出，驗證器裝置（未示出）可以被所公開的系統100采用，其通過評估從衛星140U50 中的每個傳送的至少一個認證信號，驗證路由器1 120和路由器2 130的物理位置。此外， 應當指出，在各種實施例中，認證信號可以從在相同頻率和/或不同頻率的相同傳送源、不 同傳送源傳送。
[0092] 多個點波束160、170的點波束可以具有如在這個繪圖中所示的圓形覆蓋，或在其 他實施例中，可以是具有不規則形狀的覆蓋的成形點波束。各種類型的衛星和/或偽衛星 可以用于所公開的系統100的衛星1 140和/或衛星2 150。可以用于衛星140、150的衛星 的類型包括但不限于，低地球軌道（LE0)衛星，中等地球軌道（ΜΕ0)和地球同步軌道（GE0) 衛星。在一個或多個實施例中，對于衛星140、150,系統100采用LE0銥衛星。采用這種類 型的衛星是有利的，這是因為其傳送信號強到足以穿過衰減環境傳播，包括在室內傳播。 [0093] 應當指出，在某些實施例中，除了路由器，各種其他類型的裝置可以用于所公開的 系統100的網絡節點110、120、130的實施。可以用于網絡節點110、120、130的裝置的類 型包括但不限于服務器、個人計算裝置、個人數字助理、蜂窩電話、計算機節點、互聯網協議 (IP)節點、網關、Wi-Fi節點、網絡節點、個人區域網（PAN)節點、局域網（LAN)節點、廣域網 (WAN)節點、藍牙節點、ZigBee節點、全球互通微波接入（WiMAX)節點、第二代（2G)無線節 點、第三代（3G)無線節點和第四代（4G)無線節點。
[0094] 在所公開的系統100的操作期間，路由器1 120(S卩，初始節點）向路由器 3110(即，目的地節點）發送查詢ping消息（參照路由R13)。響應于接收該查詢ping消 息，路由器3 110向路由器1 120發送響應ping消息（參照路由R13)。與路由器1 120關 聯的處理器（未示出）通過使用從路由器1 120發送查詢ping消息到路由器1 120接收 響應ping消息所逝去的時間的量，計算從路由器1 120到路由器3 110的測距測量。被稱 為網絡ping測距的這種測距測量產生兩個網絡節點（例如，路由器1 120與路由器3 110) 之間的物理距離的近似值和最大范圍，并且可以通過使用下列方程式進行計算：
[0095] (方程式 l)R〇D = c[(tDa-t0a) + (t0b-tDb)+d]/2,其中 t =時間，以及 c =信號的速 度
[0096] 其中"0"指的是通過向"D"發送查詢ping消息初始化該方法的初始節點（即，路 由器1 120)，其中"D"指的是目的地節點（即，路由器3 110)，其向該初始節點響應發送響 應ping消息；以及其中"d"指的是與信號行進時間無關的時間延遲，例如該目的地節點在 接收該查詢ping消息后生成所述響應ping消息所需要的時間。在某些實施例中，執行網絡 測距的一個以上網絡節點可以遵循這個過程，以提高結果的準確性和可靠性。這可以涉及 單個節點（即，路由器、服務器、個人計算裝置（例如筆記本、臺式機、掌上電腦、手機等））， 或更集中作為所述網絡節點的系統。
[0097] 進一步地，如果信號速度（c)可以保證低于最大速度（cMX)，那么，該測量通過下 列方程式不僅可以建立距離估算，而且可以建立最大距離：
[0098] (方程式 2) R_x = - [ (tDa_tJ + (tob_tDb) +dMIN] /2，其中 t =時間，以及-=信 號的最大速度
[0099] 其中"dMIN"指的是該系統的最小可能延遲時間（最保守的假設是假設d MIN = 0)。 對于特定的一對網絡節點，可以采取多個測量，而不是被平均，可以依賴報告最小RMX的測 量作為兩個網絡節點之間的最大距離。
[0100] 應當指出，在其他實施例中，不與路由器1 120關聯的處理器可以執行測距測量 計算。對于這些實施例，路由器1 120必須向該處理器傳送從路由器1 120發送查詢ping 消息到路由器1 120接收該響應ping消息所逝去的時間的量。一旦該處理器接收該時間 的量，該處理器將能夠執行測距測量計算。
[0101] 接著，處理器（例如，與路由器1 120關聯的處理器，與路由器2 130關聯的處理 器，或某些其他處理器）使用從路由R13所計算的測距測量獲得和/或驗證路由器3 110的 物理位置。
[0102] 如這個繪圖所示，路由器2 130還向路由器3 110發送查詢ping消息（參照路由 R23)。響應于接收該查詢ping消息，路由器3 110向路由器2 130發送響應ping消息（參 照路由R23，也被稱為網絡反射23(CyberB〇un Ce23))。與路由器2 130關聯的處理器（未示 出）通過使用從路由器2 130發送查詢ping消息到路由器2 130接收響應ping消息所逝 去的時間的量，計算從路由器2 130到路由器3 110的測距測量。
[0103] 在可選實施例中，不與路由器2 130關聯的處理器可以執行測距測量計算。對于 這些實施例，路由器2 130必須向該處理器傳送從路由器2 130發送查詢ping消息到路由 器2 130接收該響應ping消息所逝去的時間的量。一旦該處理器接收這個時間的量，該處 理器就能夠執行測距測量計算。
[0104] 接著，處理器（例如，與路由器1 120關聯的處理器，與路由器2 130關聯的處理 器，或某些其他處理器）使用從路由R23所計算的測距測量連同從路由R13所計算的測距測 量，以便獲得和/或驗證路由器3 110的物理位置。在其他實施例中，該處理器使用從路由 R23所計算的測距測量，以便提高通過只使用從路由R13所計算的測距測量獲得的路由器3 110的物理位置的準確性。
[0105] 在一個或多個實施例中，處理器（例如，與路由器1 120關聯的處理器，與路由器 2 130關聯的處理器，或某些其他處理器）使用所獲得的路由器3 110的物理位置和路由器 1 120和路由器2 130的已知物理位置，生成這些網絡節點110、120、130的位置的物理圖 譜。該物理圖譜還可以含有不同類型的地形數據，其包括但不限于拓撲數據、街道名稱的數 據和地標數據。而且，在該物理圖譜上的互聯網協議（IP)信息的圖譜覆蓋也可以被實施。
[0106] 應當指出，來自目的地節點的ping響應消息的立即返回對于這個方法的準確性 是至關重要的。由目的地節點引起的任何延遲將增加網絡節點之間所測量的網絡距離，以 及因此增加所述網絡節點之間的最大物理距離估算。這增加目標節點（即，路由器3 110) 的實際物理位置的不確定性，這是因為所述目標節點可能位于更大的物理區域。
[0107] 在本公開的某些實施例中，通過使用ping消息的預協調和/或優先化，以及可以 包括專用ping響應消息硬件的使用，目標節點的物理位置的估算得以提高。例如，用于加 速對從初始節點發送的ping查詢消息的響應的方法可以被所公開的系統100利用，其在 ping查詢消息的發送之前，通知目的地節點ping查詢消息會在指定的時間到來。接著，該 目的地節點可以在指定的時間前立即準備，以給予到來的查詢ping包消息高優先級，并且 當該查詢ping消息到達時，立即回復。在某些實施例中，目的地節點經編程以在該目的地 節點已經收到查詢ping消息后，在指定的時間的量過去后，發送響應ping消息。在至少一 個實施例中，目的地節點經編程以在指定的時間或具有指定的時間間隔的指定的時間發送 響應ping消息，所述指定的時間間隔或者是定義的或或者隨機的。
[0108] 在至少一個實施例中，從初始節點發送到目的地節點的查詢ping消息將包括不 能被預測的唯一識別符（例如，若干隨機位），所述唯一識別符的至少一部分被復制到從該 目的地節點發送到該初始節點的響應ping消息中。這確保由初始節點所接收的響應ping 消息實際上是對初始發送的查詢Ping消息的響應，而不是來自誘騙裝置的響應。在至少一 個實施例中，隨機種子可以用于初始化隨機數發生器（例如，偽隨機數發生器）以提供唯一 識別符。
[0109] 在某些實施例中，ping消息的優先化可以不需要使用預協調方法進行設計。例如， 優先級可以被分配到不同優先級的數據包和/或用于處理數據包的其他排隊邏輯。雖然與 目標節點的物理位置的認證關聯的數據包（即，ping消息數據包）可以是高優先級（或甚 至在執行其他行動的最高優先級），該系統可以另外用于發送整體更重要的其他關鍵信息， 以及因此，一組優先級和/或排隊邏輯可以用于最小化響應ping消息的發送的延遲，而不 影響更重要數據路由的服務質量。
[0110] 圖7A是根據本公開的至少一個實施例的所公開的用于認證目標節點的物理位置 的方法的流程圖200,其中該目標節點發送地理位置認證請求。在該方法的開始205,該目 標節點向具有已知物理位置的至少一個受信任的節點發送地理位置認證請求206。受信任 的節點（一個或更多）的物理位置經由衛星地理定位技術獲得。接著，受信任的節點（一 個或更多）接收地理位置認證請求208。
[0111] 受信任的節點（一個或更多）（即，初始節點（一個或更多））接著向目標節點 (即，目的地節點）發送查詢ping消息210。接著，目標節點接收查詢ping消息215。在目 標節點接收查詢ping消息后不久，目標節點向受信任的節點（一個或更多）發送響應ping 消息220。接著，受信任的節點（一個或更多）接收響應瓶消息225。在受信任的節點（一 個或更多）接收響應ping消息后，至少一個處理器通過使用從發送查詢ping消息到接收 響應ping消息所逝去的時間的量，計算從目標節點到受信任的節點（一個或更多）的測距 測量230。一旦處理器（一個或更多）已經計算測距測量，至少一個處理器（其可以是與計 算測距測量的處理器（一個或更多）相同或不同的處理器（一個或更多））通過使用從目 標節點到受信任的節點（一個或更多）的測距測量，驗證目標節點的物理位置235。在處理 器（一個或更多）驗證目標節點的物理位置后，該方法結束240。
[0112] 圖7B是根據本公開的至少一個實施例的所公開的用于驗證目標節點的物理位置 的方法的流程圖250,其中具有已知位置的至少一個受信任的節點發送查詢ping消息。在 該方法的開始255,具有已知物理位置的至少一個受信任的節點（即，初始節點（一個或更 多））向目標節點（即，目的地節點）發送查詢ping消息260。受信任的節點（一個或更 多）的物理位置經由衛星地理定位技術獲得。
[0113] 接著，目標節點接收查詢ping消息265。在目標節點接收查詢ping消息后不久，目 標節點向受信任的節點（一個或更多）發送響應ping消息270。接著，受信任的節點（一 個或更多）接收響應ping消息275。在受信任的節點（一個或更多）接收該響應ping消 息后，至少一個處理器通過使用從發送查詢ping消息到接收響應ping消息所逝去的時間 的量，計算從網絡節點到受信任的節點（一個或更多）的測距測量280。一旦處理器（一個 或更多）已經計算測距測量，至少一個處理器（其可以是與計算測距測量的處理器（一個 或更多）相同或不同的處理器（一個或更多））通過使用從目標節點到受信任的節點（一 個或更多）的測距測量，驗證目標節點的物理位置285。在處理器（一個或更多）驗證目標 節點的物理位置后，該方法結束290。
[0114] 圖8是根據本公開的至少一個實施例的兩個網絡路由器310、320的示意圖300,其 中所述兩個網絡路由器中的每個采用用于發送消息的響應消息硬件裝置330、340。在這個 繪圖中，示出兩個網絡路由器310、320中的每個連接到（S卩，通過有線或無線）專用響應消 息硬件（即，"快速跟蹤"裝置）330、340。在某些實施例中，專用響應硬件330、340被物理 附接到網絡路由器310、320或被容納在網絡路由器310、320內。
[0115] 響應消息硬件330、340能夠在收到查詢ping消息后，幾乎沒有任何延遲發送響應 ping消息。由于響應消息硬件330、340能夠幾乎沒有任何延遲發送響應ping消息，響應 消息硬件330、340通過使用網絡ping測距測量，允許目標節點的物理位置的更精確確定。 響應消息硬件裝置330、340駐留在路由器310、320之間的路徑中，以及他們起發送和接收 ping查詢消息和ping響應消息的作用。對于這些實施例，響應消息硬件裝置330、340給予 該ping消息最高的優先級。
[0116] 響應消息硬件裝置330、340可以具有發送和接收專門指定的ping消息的獨有目 的。裝置330、340被設計駐留在節點（例如，路由器310,320)之間的數據路徑中，以及可 以用作除專門指定的Ping消息以外的所有數據的直通，裝置330、340立即返回所述數據。 在某些實施例中，裝置330、340還可以在不影響標準流量的情況下，將信號注入節點310、 320之間的數據路徑中。ping消息發送的預協調還可以由裝置330、340執行。
[0117] 在至少一個實施例中，網絡節點的信任可以從具有所驗證的物理位置（即，受信 任的節點）的節點轉移到沒有所驗證的物理位置的節點（即，未驗證的節點或目標節點）。 這會在例如當一個專用響應消息硬件裝置330 (毗鄰于具有所驗證的物理位置的節點310， 例如，如果專用響應消息硬件裝置通過例如通用串行總線（USB)連接被附接到計算裝置） 被命令通過線路發送查詢ping消息時發生。在線路另一端上的相應響應消息硬件裝置 340 (毗鄰于不具有所驗證的物理位置的節點320)通過發送響應ping消息，快速回復查詢 ping消息。第一裝置330接收返回的響應ping消息，執行測距測量計算，以及向未驗證的 節點320報告網絡距離。如果專用響應消息硬件裝置330、340在兩端上，則受信任的物理 所驗證的節點310能夠"轉移"信任。如果所計算的距離與所測量和所驗證的物理位置一 致，任是繼承的。
[0118] 圖9是根據本公開的至少一個實施例的附接到路由器420的響應消息硬件裝置 410的示意圖400,其示出該裝置410被安置與進入的數據線（例如，光纖電纜）430連線。 響應消息硬件裝置410利用數據分離器440(例如，雙錐耦合器）分離進入的數據。數據分 離器440經由光纜460 (或經由某些其他手段）將進入的數據傳遞到路由器420,并且也將 進入的數據傳遞到計算機電路450。計算機電路450經由數據電纜470將數據傳遞到路由 器420。通過控制所附接的路由器420的數據流，計算電路450因此可以優化和/或預協調 響應消息硬件裝置410與其他專用響應消息硬件裝置之間的ping消息，以及可以以限制對 通過量數據的影響的方式如此做。例如，當兩個路由器停止標準數據傳送和執行ping消息 的發送和接收時（例如，在每10秒的數據傳送已經過去后，在1毫秒的時間期間，執行ping 消息的發送和接收），具有專用響應消息硬件裝置的兩個路由器的每個均遵守時間表。
[0119] 在至少一個實施例中，專用響應消息硬件裝置410還可以包括衛星跟蹤硬件和固 件以通過使用衛星測距技術執行專用響應消息硬件裝置410和/或路由器420的物理位置 的驗證。在一個或多個實施例中，專用響應消息硬件裝置410可以被有效構造在網絡路由 器420自身內部，從而不需要使用數據分離器440。
[0120] 圖10A、10B和圖10C是根據本公開的至少一個實施例的示意圖500、505、510,當圖 10A、10B和圖10C在一起觀看時，其示出新的節點520( S卩，目標節點）進入網絡以及該新 節點520具有通過所公開的系統驗證的物理位置。在至少一個實施例中，新節點520可以 來到"在線"和發送查詢ping消息以輔助確認其為"受信任的"節點。這可以是新節點520 包括受信任的硬件和位于受信任的位置的情況（例如，新節點520是安裝在軍事基地的新 路由器）。不過，在至少一個實施例中，新節點可以是未受控制的裝置。在這些實施例中，當 其物理位置通過使用ping測距測量得到驗證時，新節點可以被轉換為"受信任的"節點。
[0121] 在圖10A中，希望被轉換為"受信任的"節點的新的未經驗證的節點520(即，目標 節點）向路由器1530、路由器2540和路由器3550發送地理位置認證ping請求。三個路由 器530、540、550的物理位置通過使用利用從衛星560、570、580傳送的信號的衛星地理定位 技術被驗證。作為響應，在圖10B中，路由器530、540、550向新節點520發送查詢ping消 息。在圖10C中，一旦新節點520接收ping查詢消息，新節點520就向路由器530、540、550 發送響應ping消息。與路由器530、540、550中的每個關聯的處理器（未示出）通過使用 從發送ping查詢消息到接收響應ping消息所逝去的時間的量,計算從新節點520到其關 聯的路由器530、540、550的測距測量。至少一個處理器使用這些所計算的測距測量驗證新 節點520的物理位置。在新節點的物理位置被驗證后，那么，新節點520被認為是"受信任 的"節點。
[0122] 所公開的方法允許網絡節點基于該節點的物理位置，診斷來自給定節點的進入的 數據。在至少一個實施例中，這可以被用于提高網絡節點的分配的可信度。在某些實施例 中，訪問權限可以基于該節點的認證被授予。在至少一個實施例中，所授予的訪問權限可以 是基于用于驗證該節點的物理位置的認證方法的類型，使得使用最高準確性/可靠性的方 法可以被分配最高的訪問權限級，以及可選地，與是最不值得信任的節點有關的具有最低 準確性/可靠性的方法被分配最低程度的訪問權限。
[0123] 基于點波束的認證
[0124] 實體或用戶身份認證技術使第三方認證器能夠通過單路認證方法認證遠程資源 的用戶、資產或裝置（例如，請求人或網絡節點）的身份和/或物理位置。然而，需要指出， 這種單路方法也可以被主機系統直接用于認證請求人。實體可以是裝置（例如，網絡節點、 移動電話、計算機、服務器等）或需要被跟蹤的資產，而用戶可以是一個人或其他有生命的 /無生命的實體。實體和/或用戶可以在整個連接或會話持續期間被認證。實體和/或用 戶可以在初始認證后要求再認證。再認證請求可以由主機網絡限定以及可以是上下文指定 的。可替換地，這種系統可以用于基于消息的認證系統，其需要每個消息的單獨認證過程。 本文所述的技術可以被用于基于會話的認證，基于消息的認證，或二者的組合的任何一個。
[0125] 此外，這種方法可以被應用于接收裝置自身，使得單向認證不必通過遠程第三方 而是通過一個或多個接收裝置完成。當這種方法通過單一裝置進行時，仍然被認為是單路 認證方法。然而，這種方法也可以應用于多路認證技術，以允許至少兩個對等裝置彼此認 證。在這種單路或多路的裝置-裝置認證方法中，認證通常依賴于兩個合法的接收裝置中 的每個知道和任何未經認證或惡意接收裝置不知道的共享秘密（對稱和非對稱）。每個裝 置可以具有唯一的認證憑據，例如在該裝置自身與對等裝置之間共享的秘密口令或以安全 證書形式的公共/私有密鑰對。當裝置證明滿足知道共享秘密的其他對等裝置時，該裝置 已經驗證其自身，并且因此是合法的。一旦用這種多路認證方法完成至少兩個裝置之間的 認證，所述裝置就已經彼此證明他們的身份。接著，該裝置可以創建他們可以選擇的自身的 認證網絡，以實施已商定的網絡安全政策，以便保護對給定上下文的聯網資源的通信和訪 問。
[0126] 現有的認證方法可以被使用或合并，以生成初始的安全密鑰（一個或更多）。初 始安全密鑰可以例如使用Diffie-Hellman技術合作地生成，或可以由一個對等裝置簡單生 成，并經由替代的安全通道/過程發送到另一個裝置。
[0127] 在任何情況下，伴隨的初始安全密鑰可以包括某些共享的活躍度信息（如之前所 定義的）。在這個應用中，所述活躍度信息通過衛星點波束提供，并可以包括像時間戳和偽 隨機數（PRN)的用于認證的這類參數。
[0128] 所述共享的活躍度信息的使用可以被用于允許發起裝置每次使用不同的安全密 鑰向對等裝置認證其自身的推導中。這阻礙了潛在的惡意竊聽者發起對發起裝置每次進 行認證時的統計攻擊，向其在發起裝置的以前會話期間被截取消息的分析添加新截取的消 息。那么，該活躍度信息和初始安全密鑰可以作為決定性函數的輸入被傳遞。如本文所使 用的，術語"決定性"指的是該函數的輸出由該輸入完全確定的函數。這個決定性函數可以 在發起裝置和在對等裝置上單獨運行。當這兩個裝置運行該決定性函數時，如果他們產生 不同的輸出，那么，從該函數推導的安全密鑰將不匹配，該裝置不會被驗證，因此，該裝置不 會被用于相互通信。
[0129] 除了是決定性以外，為了安全起見，該函數應該是固有不可逆的。知道函數的輸 出，確定函數的輸入應當很難或不可能的。散列形成一類函數，該類函數是決定性和固有不 可逆的，并且因此，其往往用于加密和認證計算。在眾所周知的傳送層安全（TLS)協議中使 用的偽隨機函數（PRF)是可以被使用的決定性函數實施的示例。
[0130] PRF組合兩個眾所周知的散列函數，消息摘要算法5 (MD5)和安全散列算法 l(SHA-l)的結果。PRF使用兩個散列函數，以便維護僅在某些人確定如何反轉兩個散列函 數中的一個的情況下的安全。這兩個散列函數產生可能太短而不是最佳安全的輸出。SHA-1 產生20字節輸出，以及MD5產生16字節輸出。因此，對于兩個散列函數中的每個，使用散 列函數產生任意長度的輸出的"數據擴展函數"可以被定義。對于SHA-1，該數據擴展函數 可以被定義為P_SHA-1 :
[0131] 方程式 1 ： P_ SHA - 1 ( i n i t i a 1 - s e c ur i t y key, liveness)= SHA-1(initial-security key, A(1)+liveness)+SHA-1(initial-security key, A(2)+liv eness)+SHA-1(initial-security key, A(3)+liveness)+...
[0132] 其中 A(0) = liveness ;
[0133] A(i) = SHA-1 (initial-security
[0134] key,A(i-l))；
[0135] and the " +，'sign indicates string
[0136] concatenation
[0137] 其中，initial-security key為初始-安全秘鑰，Liveness為活躍度以及" + "符 號指示字符串連接。
[0138] 數據擴展函數P_MD5的定義類似于上面的定義，其中在出現"SHA-1"的地方，用 "MD5"替換。根據需要，該數據擴展函數可以被迭代到許多步驟，以產生所希望的長度的輸 出。所希望的輸出長度可以被設定為實施選項。在至少一個實施例中，每個散列函數的所希 望的輸出長度是128字節。P_SHA-1可以被迭代到A(7)，用于140字節的總輸出長度（每 次迭代增加20字節的輸出長度）。然后，該輸出可以被截短為128字節。P_MD5的每次迭 代產生16字節，因此，將其輸出迭代到A (8)，不需要截短，產生所希望的128字節。
[0139] 在已經選擇散列函數并將他們的數據擴展函數輸出迭代到所希望的輸出長度的 基于點波束認證的一個實施例中，PRF采用所擴展的初始安全密鑰、標簽（預定的ASCII字 符串）以及所交換的活躍度信息作為輸入。PRF被定義為兩個散列擴展函數PMD5和PSHA-1 的輸出的逐位異或（X0R):
[0140] 方程式：2 PRF(expanded initial-security key，label，liveness) = P_MD5 (S1， label+liveness)XOR P_SHA-1(S2,label+liveness)
[0141] 其中，expanded initial-security key為擴展的初始-安全秘鑰，label為標簽， liveness為活躍度
[0142] 其中S1是以字節測量的所擴展的初始安全密鑰的第一半，以及S2是所擴展的初 始安全密鑰的第二半。（如果所擴展的初始安全密鑰的長度是奇數，那么其中間字節是S1 的最后字節和S2的第一字節）。由于P_MD5和P_SHA-1被迭代以產生128字節的輸出，PRF 的輸出也是128字節。
[0143] PRF的128字節輸出被劃分為四個32字節的會話安全密鑰。那么，該會話安全密 鑰中的每個被截短到所使用的認證和加密協議所需要的長度。截短的結果是新的一組臨時 會話安全密鑰中的一個。臨時會話安全密鑰的推導允許發起裝置和對等裝置兩者不直接使 用初始安全密鑰或所擴展的初始安全密鑰中的任一個，以便最小化或至少降低安全密鑰信 息的泄漏。該臨時會話安全密鑰的推導還允許該發起裝置和對等裝置以固定間隔刷新從所 擴展的初始安全密鑰推導的會話安全密鑰，或當被命令通過限制會話安全密鑰的使用阻止 統計分析時，刷新從所擴展的初始安全密鑰推導的會話安全密鑰。
[0144] 認證和加密臨時會話安全密鑰中的每個具有下列具體目的：i)為了保密，從發起 裝置到對等裝置的數據交換的加密；ii)為了保密，從對等裝置到發起裝置的數據交換的 加密；iii)為了完整性，從發起裝置到對等裝置的數據交換的簽名；以及iv)為了完整性， 從對等裝置到發起裝置的數據交換的簽名。
[0145] 基于點波束的認證的初始安全密鑰的推導可以使用利用商定和眾所周知的公共 字根（primitive root)發生器"g"和質數模"p"的Diffie-Hellman技術。發起裝置和對 等裝置中的每個選擇隨機的秘密整數和交換他們相應的（(g Λ (秘密整數））mod p)。這種 交換允許發起裝置和對等裝置使用Diffie-Hellman推導共享的初始秘密密鑰。
[0146] 已經推導出在發起裝置與對等裝置兩者之間共享的初始秘密密鑰，所述發起裝置 和對等裝置可以使用數據擴展（例如使用P_SHA-1)推導擴展的初始秘密密鑰。用于數據 擴展過程的活躍度信息可以是已知的隨機值或由該發起裝置和對等裝置商定的時間戳。在 某些實施例中，對等裝置可以選擇隨機值并經由衛星或地面網絡將該隨機值傳送到發起裝 置。可替換地，發起裝置和對等裝置兩者可以商定時間戳，由于該發起裝置和對等裝置兩者 是嚴格時間同步的，以及從而避免數據交換而又能夠從所共享的/公共的時間戳值選擇活 躍度。
[0147] 遵循這點，發起裝置和對等裝置具有可以用于推導新的一組臨時會話安全密鑰的 共享的擴展的初始秘密密鑰。再次對于活躍度，發起裝置和對等裝置可以使用由該對等裝 置傳送的共享隨機值或共享的/公共的時間戳值中的任一個。該臨時會話安全密鑰可以被 發起裝置和對等裝置用于進一步加密以及簽名發起裝置與對等裝置之間的地理位置名和 其他上下文信息交換。地理位置和其他上下文信息被認為是保密的，因此這類信息被加密 是適當的，以確保只有所認證的發起裝置和對等裝置能夠提取交換的地理位置和上下文信 息。需要指出，地理位置通過使用偽隨機（PRN)代碼段和獨特的波束參數，通過在本專利申 請描述的程序進行驗證。所共享的上下文信息可以包括針對性的網絡防御應用程序執行或 決策支持系統的其他狀態或控制信息。除了加密以外，通過使用用于如較早前所討論的簽 名目的的臨時會話安全密鑰確保所交換的地理位置和上下文信息的完整性。
[0148] 簡要概述，在某些實施例中，在本文描述的認證系統和方法可以利用用于確定請 求人的位置的地理定位技術作為所述認證過程的一部分。一種這類地理定位技術在題為 "Geolocation Leveraging Spot Beam Overlap"的普通轉讓和共同未決的美國專利申請流 水號12/756961中定義，該公開的全部內容通過引用在此并入。當認證被請求時，請求人裝 置可以捕捉獨特的簽名參數并向驗證裝置傳送該獨特的簽名參數。此外，請求人裝置可以 傳送其要求的行進路徑（即，每個路點（一個或更多）和時間）。無論該裝置是固定的或 移動的，路點可以被傳送。驗證裝置可以使用請求人所請求的波束簽名參數、至少一個位置 路點、以及與這個路點和波束參數捕捉關聯的至少一個時間驗證該請求人。例如，如果針對 已知的有效數據集，從至少一個點波束捕捉的波束參數和至少一個所請求的路點被確認， 請求人可以認為被認證器認證。通過這種方式，請求人可以被驗證為在特定時間的區域內。 基于這些參數的組合碼提供極難于效仿、黑客或誘騙的信號。而且，該信號結構和衛星所接 收的信號功率允許該認證用于室內或其他衰減環境中。這提高這種系統方案的整體效用。
[0149] 本申請的主題主要在低地球軌道（LE0)衛星（例如由銥衛星實施的衛星）的上下 文中進行描述。然而，本領域技術人員應當意識到本文描述的技術很容易適用于其他衛星 系統，例如中等地球軌道（ΜΕ0)衛星系統或同步軌道（GE0)衛星系統。這類基于衛星的通 信系統可以包括或利用其他移動通信系統，例如機載通信系統等，以及包括但不限于輪船 或蜂窩電話塔的固定通信平臺。
[0150] 圖11是根據實施例的基于衛星的通信系統600的示意圖。實際中，基于衛星的通 信系統600可以包括在軌道中的至少一個衛星610。為簡明起見，簡單的衛星在圖11中示 出。參照圖11，在某些實施例中，系統600包括與一個或多個接收裝置620通信的一個或多 個衛星610。在某些實施例中，衛星610可以體現為LEO衛星（例如在銥衛星星座內的LEO 衛星）。衛星（一個或更多）610在已知的軌道上繞地球軌道運行，以及可以以已知的模式 將一個或多個點波束630傳送到地球的表面上。每個點波束630可以包括信息（例如偽隨 機（PRN)數據和一個或多個獨特波束參數（例如，時間，衛星ID，時間偏差，衛星軌道數據 等））。
[0151] 接收裝置（一個或更多）620可以作為通信裝置（例如衛星或蜂窩電話或作為通 信的組件或計算裝置（例如個人計算機、便攜式計算機、個人數字助理等））進行實施。在 某些實施例中，接收裝置（620)可以包括一個或多個定位或導航裝置或類似于用于連接全 球定位系統（GPS)的裝置的模塊。
[0152] 圖12A、12B和圖12C是根據實施例的基于衛星的認證系統700的示意圖。首先參 照圖12A，在某些實施例中，在軌道中的衛星610將一個或多個點波束630傳送到地球的表 面上。接收裝置620可以經配置接收該點波束的信號。在圖12A所示的實施例中，接收裝 置是基于地面的并且可以在衰減環境中操作。通過示例的方式，物體710(例如屋頂、建筑 物等）會阻撓衛星610與該接收裝置之間的通信路徑的一部分。
[0153] 傳送器720將由接收裝置620接收的數據，和/或由接收裝置620生成的數據傳 送到認證器730。在圖12A中所示的傳送器720是中繼從接收裝置到認證器的數據的無線 傳送器。然而，本領域技術人員應當意識到，來自接收裝置620的數據可以經由有線通信系 統、無線通信系統或有線與無線系統的組合進行傳送。認證器730使用由接收裝置620經 由點波束捕捉的數據，經由也是圖12B中的情況的單路認證方案證明認證器730是授權的 用戶。
[0154] 而且，圖12B示出接收裝置620可以是的機載裝置的接收裝置620 (例如航空器 625中）的布置。在圖12B中所示的實施例中，航空器625可以保持與衛星610的上行鏈路 (例如L波段上行鏈路）并且由該航空器中的接收裝置620捕捉的數據可以經由該上行鏈 路傳回到衛星610。衛星610可以將該數據傳送到第二交聯衛星610,第二交聯衛星610可 以相應將該數據傳送到驗證器730。
[0155] 在圖12C中所示的系統示出一個實施例，其中兩個（或多個）對等裝置620可以 實施兩路認證技術以彼此認證。簡要參照圖12C，如上所述的在軌道中的衛星610將一個或 多個點波束630傳送到地球的表面上。第一接收裝置620A可以經配置接收來自點波束的 信號。第一接收裝置620A可以經配置推導安全密鑰,例如使用如上所述的Diffie-Helman 方案，所述Diffie-Helman方案合并來自點波束的PRN數據。
[0156] PRN數據也被傳送到第二裝置620B。在某些實施例中，第二裝置620B可以在點波 束630外側，在這種情況下，PRN數據可以經由通信網絡通過耦合到第二裝置620B的計算 裝置740傳送。計算裝置740可以通信地耦合到衛星610。通過示例的方式，以及并沒有限 制，計算裝置740可以是經由通信鏈路單獨地耦合到衛星610的服務器。計算機740可以 與用于衛星610的控制網絡關聯，以及從而可以占用與點波束630關聯的PRN數據。
[0157] 在操作中，第一接收裝置620A發起認證數據的請求，該請求被傳送到第二接收裝 置620B。第一接收裝置620B之間的通信鏈路可以通過傳送網絡720被引導或實施。第二 接收裝置620B對響應請求并發出幾乎同時發生的請求用于認證來自第一接收裝置620A的 數據。第一接收裝置620A認證第二接收裝置620B并向第二接收裝置620B發出幾乎同時 發生的響應用于認證數據，該響應接著可以認證第一接收裝置620A。
[0158] 如上所述，在第一接收裝置620A與第二接收裝置620B之間實施的認證過程可以 是Diffie-Hellman交換，其中所共享的秘密包括由點波束630傳送的PRN數據的至少一部 分。因此，在圖12C中所示的系統使接收裝置620A、620B的點對點認證成為可能。本領域技 術人員應當意識到，這種兩路認證方案可以擴展到接收裝置和服務器以及其他硬件架構， 或擴展到兩個以上的裝置。
[0159] 圖13A是根據實施例的可以適用于實施基于衛星的認證系統的計算系統的示意 圖。例如，在圖12A和圖12B所示的實施例中，認證器730可以由如圖13A所示的計算系統 實施。參照圖13A，在一個實施例中，系統800可以包括計算裝置808以及一個或多個隨附 的輸入/輸出裝置，所述輸入/輸出裝置包括具有屏幕804的顯示器802、一個或多個揚聲 器806、鍵盤810、一個或多個其他I/O裝置812、以及鼠標814。其他I/O裝置（一個或更 多）812可以包括觸摸屏、語音激活的輸入裝置、跟蹤球、以及允許系統800接收用戶輸入的 任何其他裝置。
[0160] 計算裝置808包括系統硬件820以及存儲器830,存儲器830可以被實施為隨機存 取存儲器和/或只讀存儲器。文件儲存器880可以通信地耦合到計算裝置808。文件儲存 器880可以在計算裝置808內部，例如一個或多個硬盤驅動器、⑶-ROM驅動器、DVD-ROM驅 動器或其他類型的存儲裝置。文件儲存器880也可以在計算機808外部，例如一個或多個 外部硬盤驅動器、聯網儲存器或單獨的存儲網絡。
[0161] 系統硬件820可以包括一個或多個處理器822、至少兩個圖形處理器824、網絡 接口 826以及總線結構828。在一個實施例中，處理器822可以體現為從美國加利福尼亞 州圣克拉拉英特爾公司可獲得的Intel ?Core2 Duo?處理器。如本文所使用的，術語 "處理器"意思是任何類型的計算元件，例如但不限于微處理器、微控制器、復雜指令集計算 (CISC)微處理器、精簡指令集（RISC)微處理器、非常長指令字（VLIW)微處理器、或任何其 他類型的處理器或處理電路。
[0162] 圖形處理器824可以起管理圖形和/或視頻操作的輔助處理器的作用。圖形處理 器824可以被集成到計算系統800的母板上或可以經由該母板上的擴展槽耦合。
[0163] 在一個實施例中，網絡接口 826可以是有線接口，例如以太網接口（例如參見電氣 和電子工程師協會/IEEE 802. 3-2002)，或無線接口，例如IEEE 802. 11a、b或g兼容接口 (例如參見用于系統LAN/MAN之間IT-遠程通信和信息交換的IEEE標準的第二部分：無線 LAN介質訪問控制（MAC)和物理層（PHY)規范修訂4 :802. 11G-2003在2. 4GHz頻帶的進一 步高數據速率擴展）。無線接口的另一個示例可以是通用分組無線業務（GPRS)接口（例如 參見，全球移動通信系統/GSM協會的GPRS手機需求指引，版本3. 0. 1，2002年12月）。
[0164] 總線結構828連接系統硬件820的各種組件。在一個實施例中，總線結構828可以 是總線結構（一個或更多）的幾種類型中的一種或多種，其包括存儲器總線，外圍總線或外 部總線和/或使用任何各種總線架構的局部總線，所述任何各種總線架構包括但不限于11 位總線、工業標準架構（ISA)、微通道架構（MSA)、擴展ISA (EISA)、智能驅動器電子（IDE)、 VESA局部總線（VLB)、外圍組件互連（PCI)、通用串行總線（USB)、高級圖形端口（AGP)、個人 計算機存儲卡國際協會總線（PCMCIA)以及小型計算機系統接口（SCSI)。
[0165] 存儲器830可以包括用于管理計算裝置808的操作的操作系統840。在一個實施 例中，操作系統840包括向系統硬件820提供接口的硬件接口模塊854。此外，操作系統 840可以包括文件系統850,其管理在計算裝置808的操作中使用的文件，和過程控制子系 統852,其管理在計算裝置808上執行的處理。
[0166] 操作系統840可以包括（或管理）一個或多個通信接口，其可以連同系統硬件820 一起操作，以從遠程資源收發數據包和/或數據流。操作系統840可以進一步包括系統調 用接口模塊842,其提供操作系統840與駐留在存儲器830中的一個或多個應用程序模塊之 間的接口。操作系統840可以體現為UNIX操作系統或其任何衍生操作系統（例如，Linux、 Solaris、伯克利軟件分發（BSD)、Android等）或Windows?品牌操作系統、或其他操作系 統。
[0167] 在各個實施例中，計算裝置808可以體現為個人計算機、便攜式計算機、個人數字 助理、移動電話、娛樂裝置、或另外的計算裝置。
[0168] 在一個實施例中，存儲器830包括認證模塊862,其基于從請求人所接收的數據驗 證該請求人。在一個實施例中，驗證模塊862可以包括編碼在非臨時性計算機可讀介質中 的邏輯指令，當該邏輯指令由處理器822執行時，促使處理器822基于從請求人所接收的數 據驗證該請求人。此外，存儲器830可以包括衛星軌道數據庫864,其包括在圍繞地球的預 定軌道中的衛星610的軌道信息。關于由認證模塊862實施的認證過程和操作的附加細節 在下面進行描述。
[0169] 在某些實施例中，接收裝置620可以被實施為適于與常規計算裝置622(例如，筆 記本電腦、PDA、或智能電話裝置）耦合的衛星通信模塊。接收裝置620可以通過合適的通 信連接（例如通過通用串行總線（USB)接口、RS-232接口、光纖接口等）耦合到計算裝置 622。在圖13B所示的實施例中，接收裝置620可以是"薄的"裝置，在這個意義上，其可以 包括接收器和有限的處理能力，例如經配置實施認證例程的專用集成電路（ASIC)或現場 可編程門陣列（FPGA)。
[0170] 在操作中，計算裝置622的用戶可以利用接收裝置620通過主機網絡890認證計 算裝置622。如上所述，在圖13B中所示的接收裝置620可以接收從衛星610傳送的點波 束630,其包括獨特的波束簽名和偽隨機數（PRN)。計算裝置622可以向主機網絡890發起 訪問請求。該訪問請求可以包括用戶特定信息，例如用戶ID，從基于地球的坐標系配位的 一個或多個信息（例如，郵編、區號、緯度/經度、通用橫軸墨卡托（UTM);地心地固坐標系 (ECEF)，世界地理參考系統（GE0REF)，或其他各種系統，例如，郵編）以及從衛星610接收的 PRN數據的至少一部分。
[0171] 主機網絡890可以向認證器730傳送用戶訪問請求作為認證請求。在某些實施例 中，主機網絡可以向請求en添加附加的信息，使認證器730能夠認證計算機622。通過示 例的方式，主機網絡630可以提供關于請求人可以被驗證的地方的限制（S卩，從什么地理位 置）。認證器730可以驗證該請求人和提供對主機網絡890的認證響應。主機網絡890反 過來可以轉發對計算裝置622的訪問響應。
[0172] 圖14是根據實施例的示出認證請求人的方法中的操作的流程圖。參照圖14,在操 作910,請求人裝置確定該請求人裝置的物理位置。在某些實施例中，請求人裝置620可以 包括一個或多個位置模塊以確定請求人裝置620的位置。通過示例的方式而不是限制，請 求人裝置620可以包括，或通信地耦合到全球定位系統（GPS)模塊，以基于來自該全球定位 系統的信號確定位置。可替換地，或附加地，請求人裝置620可以包括邏輯以基于來自一個 或多個LEO或MEO衛星610的信號確定位置，如同在美國專利號7489926、7372400、7579987 和7468696中的一個或多個中所述，其公開的全部內容通過引用在此并入。在某些實施例 中，請求人裝置620的位置可以在緯度/經度坐標或另一種基于地球的坐標系中表述。
[0173] 在操作915,請求人裝置620接收從衛星610傳送的點波束。在某些實施例中，請 求人裝置620提取一個或多個獨特的波束參數（例如，時間、衛星ID、波束ID、時間偏移、衛 星軌道數據等），其包括來自衛星點波束的偽隨機碼段。在某些實施例中，請求人裝置620 可以在存儲器模塊中存儲波束參數，所述存儲器模塊在請求人裝置620中或通信地耦合到 請求人裝置620。在一個或多個實施例中，操作915可以與其前述的操作910幾乎同時發 生。
[0174] 在操作920,請求人裝置620可以繼續生成一個或多個路點數據快照，該路點數 據快照可以包括來自操作910的請求人裝置620的位置信息，以及經由在操作920中記錄 的衛星點波束所傳送的一個或多個獨特的波束參數。在某些實施例中，該路點數據快照可 以存儲在存儲器模塊中，所述存儲器模塊在請求人裝置620中或通信地耦合到請求人裝置 620。
[0175] 在某些實施例中，請求人裝置620可以收集隨著時間推移的路點數據快照的陣 列。例如，路點數據快照的陣列可以通過隨著時間推移，接收穿過請求人裝置620的來自多 個衛星610的點波束進行構造。可替換地，或附加地，路點數據快照的陣列可以通過相對于 衛星610移動請求人裝置620進行構造，例如通過將請求人裝置620放置在如圖12B所示 的航空器625中。附加示例將包括起跟蹤器作用的請求人裝置，以證實可以包括危險品的 實體或資產所行進的路線。該請求人裝置可以被輪詢提供路點數據，以驗證所希望的路徑 匹配于實際的路徑。該請求人裝置可以被隨機輪詢。
[0176] 在操作920,路點數據快照（一個或更多）可以從請求人裝置620輸送到驗證器裝 置730。通過示例的方式，在圖12A所示的實施例中，路點數據快照（一個或更多）可以經 由傳送器720或另一個通信網絡傳送。在圖12B所示的實施例中，路點數據快照（一個或 更多）可以從航空器625傳送到衛星625,接著經由衛星網絡傳送到驗證器裝置730。
[0177] 在操作925，驗證器裝置730接收來自請求人裝置620的位置數據和路點數據。在 操作930,驗證器裝置730將該位置數據和路點數據與已知有效數據集中的對應數據比較， 以便認證請求人。通過示例的方式，LE0衛星（例如銥衛星星座）在已知的軌道環航地球， 該軌道的大概參數是事先做好可用的。驗證器裝置730可以包括衛星軌道數據庫864,或通 信地耦合到衛星軌道數據庫864,該衛星軌道數據庫包括關于在已知軌道圍繞地球的衛星 610的軌道信息。
[0178] 在某些實施例中，從請求人裝置接收的位置數據和路點數據與來自已知數據集的 位置和路點數據作比較（操作930)，以確定請求人裝置620在預期的時間實際上是否在預 期地理位置的合理閥值距離內。通過示例的方式而不是限制，衛星軌道數據庫864可以被 搜索對應于從請求人裝置620傳送的獨特的波束參數的數據記錄。當匹配的記錄被定位， 來自從軌道數據庫864所檢索的記錄的軌道數據可以與從請求人裝置620接收到的數據作 比較。例如，該已知的數據可以包括點波束630的中心的坐標和在地球表面上的點波束630 的半徑的指示。從請求人裝置620接收到的坐標可以與點波束的位置作比較，以確定所接 收的數據是否指示請求人裝置620在從該請求人裝置接收到的數據中指示的時間，在由該 點波束限制的區域內。在至少一個實施例中，點波束可以是不規則的形狀。在至少一個實 施例中，請求人裝置可以在地球表面上方的海拔高度。
[0179] 在操作935,如果從請求人裝置620接收到的數據指示請求人裝置620在與來自請 求人裝置的數據關聯的時間，在由來自衛星610的點波束包圍的地理區域內，那么，請求人 裝置620可以認為是被認證的。在認證系統中，控制然后轉到操作940,并且請求人允許訪 問資源。通過示例的方式而不是限制，驗證器裝置730可以向所認證的請求人裝置620授 予令牌。該令牌可以被遠程系統使用，以授權對資源的訪問。
[0180] 相反，如果從請求人裝置620接收到的數據指示請求人裝置620在與來自請求人 裝置620的數據關聯的時間，不在由來自衛星610的點波束包圍的地理區域內，那么，請求 人裝置620可以認為是未被認證的。在認證系統中，控制然后轉到操作945,并且請求人被 拒絕訪問資源。通過示例的方式而不是限制，驗證器裝置730可以拒絕向所認證的請求人 裝置620授予令牌。在缺乏令牌的情況下，請求人裝置會被拒絕對由遠程系統管理的資源 的訪問。
[0181] 因此，在圖11-13中所示的系統架構和在圖14中所示的方法使得一個或多個請求 人裝置620的基于衛星的認證可行。該認證系統可以用于允許或拒絕對由遠程計算系統管 理的一個或多個資源的訪問。在某些實施例中，請求人裝置（一個或更多）可以是固定的， 而在其他實施例中，請求人裝置（一個或更多）可以是移動的，以及認證過程可以是基于時 間的，基于位置的，或二者的組合的任何一個。
[0182] 在某些實施例中，系統可以用于實施基于會話的認證，其中，請求人裝置（一個或 更多）620被認證以使用整個會話的資源。在其他實施例中，該系統可以實施基于消息的認 證，其中，請求人裝置（一個或更多）620對從請求人裝置（一個或更多）620傳送到遠程資 源的每個消息必須單獨進行認證。
[0183] 在一個示例實施中，如本文所述的認證系統可以用于提供對安全計算資源（例如 企業電子郵件系統、企業網絡、軍事基地或民用基礎設施網絡或電子銀行設施）的訪問的 認證。在其他示例實施中，認證系統可以用于確認物流系統中的車輛的行程。通過示例的方 式，移動實體（諸如卡車、火車、船舶或航空器）可以包括一個或多個請求人裝置（一個或 更多）620。在計劃任務的過程中，物流系統可以定期輪詢請求人裝置（一個或更多）620， 請求人裝置620可以對從衛星610獲得的認證數據做出響應。認證數據可以是在物流系統 中收集并用于確認請求人裝置（一個或更多）根據物流計劃在預定的時間在指定的位置。
[0184] 在又一示例中，如本文所述的認證系統的實施可以用于驗證與監控系統（例如軟 禁監控系統）關聯的請求人裝置（一個或更多）的位置。在這類實施例中，請求人裝置（一 個或更多）可以包含一個或多個生物傳感器（例如指紋生物識別傳感器）以認證系統的用 戶，而認證系統可以用于確認請求人裝置在預定的時間在預定的位置（即，請求人是在正 確的地方，在正確的時間，以及是正確的人）。認證裝置還可以對所批準的位置所限定的列 表審查請求人裝置的位置，還可以通過認證系統對在所批準的時間階段（一個或更多）的 所批準的位置（一個或更多）集審查請求人裝置的位置和時間進一步細化。而且，這個系 統可以用于跟蹤所登記的性罪犯。
[0185] 在某些實施例中，衛星610可以是LE0衛星系統（例如銥星座）的一部分，所述 LEO衛星在已知的軌道繞地球軌道運行，并且所述LEO衛星傳送具有已知幾何形狀的點波 束，使得請求人裝置（一個或更多）可以通過確認該請求人裝置在指定的時間在指定點波 束內而認證。因此，請求人可以通過使用單一信號源（例如，單顆衛星610)進行認證。而 且，因為LEO衛星（例如銥星座）和ME0衛星傳送相對高功率的信號水平，該系統可以用于 認證位于阻撓環境（例如室內或市區位置）中的一個或多個請求人裝置。而且，LEO衛星 和ME0衛星的相對高的信號強度使這些信號不容易受到干擾。
[0186] 雖然本文已經公開了特定的示例性實施例和方法，但是在沒有偏離本公開的精神 和范圍的情況下，可以對前述公開的實施例和方法進行各種更改和改變，這對于本領域的 技術人員來說是明顯的。存在所公開的技術的許多其他示例，他們中的每個不同之處僅在 于細節的不同。因此，旨在僅由附屬權利要求和適用法規和規則所要求保護的范圍限制所 公開的技術。
【權利要求】
1. 一種提高路由安全的方法，所述方法包括： 向至少一個網絡節點分配至少一個信任級；以及 利用所述至少一個信任級確定所述至少一個網絡節點的安全程度。
2. 根據權利要求1所述的方法，其中所述至少一個網絡節點的所述至少一個信任級是 非常高、高、中等和低中的至少一個。
3. 根據權利要求1所述的方法，其中所述至少一個網絡節點的所述至少一個信任級與 所述至少一個網絡節點的物理位置的確定性的量有關。
4. 根據權利要求3所述的方法，其中所述至少一個網絡節點的所述物理位置的所述確 定性的量從位于已知安全位置的所述至少一個網絡節點獲得。
5. 根據權利要求3所述的方法，其中所述至少一個網絡節點的所述物理位置的所述確 定性的量通過使用衛星地理定位技術，從所述至少一個網絡節點的所述物理位置的驗證獲 得。
6. 根據權利要求5所述的方法，其中所述衛星地理定位技術使用至少一個認證信號， 以便獲得所述至少一個網絡節點的所述物理位置。
7. 根據權利要求6所述的方法，其中所述至少一個認證信號通過至少一個傳送源傳 送，并且由與所述至少一個網絡節點關聯的至少一個接收源接收。
8. 根據權利要求7所述的方法，其中所述至少一個傳送源在至少一個衛星和至少一個 偽衛星中的至少一個中采用。
9. 衛星。
10. 根據權利要求3所述的方法，其中所述至少一個網絡節點的所述物理位置的所述 確定性的量通過使用網絡ping測距測量，從估算所述至少一個網絡節點的所述物理位置 獲得。
11. 根據權利要求10所述的方法，其中所述網絡Ping測距測量從具有已驗證的物理位 置的至少一個已驗證的節點到所述至少一個網絡節點來回發送的ping消息期間所逝去的 時間的量獲得。
12. 根據權利要求11所述的方法，其中所述具有已驗證的物理位置的至少一個已驗證 的節點具有通過衛星地理定位技術驗證的物理位置。
13. 根據權利要求1所述的方法，其中所述方法進一步包括： 利用所述至少一個網絡節點的所述至少一個信任級確定用于路由數據的至少一條路 徑的信任度，其中所述至少一條路徑包括所述至少一個網絡節點中的至少一個。
14. 根據權利要求13所述的方法，其中所述至少一條路徑的信任度等于分配給所述至 少一條路徑中的至少一個網絡節點中的至少一個的最低信任級。
15. 根據權利要求14所述的方法，其中所述方法進一步包括： 根據所述至少一條路徑的信任度，選擇至少一條路徑中的哪條路徑以路由所通過的數 據。
16. 根據權利要求1所述的方法，其中所述方法進一步包括： 用至少一個處理器加密數據； 用所述至少一個網絡節點中的一個傳送所加密的數據； 用所述至少一個網絡節點中的另一個接收所加密的數據；以及 用所述至少一個處理器解密所加密的數據。
17. 根據權利要求1所述的方法，所述方法進一步包括： 由所述至少一個網絡節點中的至少一個利用至少一個安全路由器傳送和接收數據。
18. 根據權利要求1所述的方法，其中所述方法進一步包括： 基于數據已行進通過的路徑的信任度，由所述至少一個網絡節點中的至少一個利用至 少一個邊界防火墻路由器確定是否允許數據穿過所述至少一個邊界防火墻路由器。
19. 根據權利要求13所述的方法，所述至少一條路徑中的至少一個包括用于路由數據 通過的至少一個安全自主系統。
20. 根據權利要求3所述的方法，其中所述方法進一步包括： 用至少一個處理器生成所述至少一個網絡節點的所述物理位置的圖譜，其中所述圖譜 指示所述至少一個網絡節點中每個的所述至少一個信任級。
21. 根據權利要求1所述的方法，其中所述至少一個網絡節點的所述至少一個信任級 與所述至少一個網絡節點的行為有關。
22. 根據權利要求21所述的方法，其中所述至少一個網絡節點的所述行為與穿過所述 至少一個網絡節點的數據的至少一個和穿過所述至少一個網絡節點的數據的量有關。
23. -種提高路由安全的系統，所述系統包括： 至少一個網絡節點；以及 至少一個處理器，所述至少一個處理器經配置向所述至少一個網絡節點分配至少一個 信任級，以及經配置利用所述至少一個信任級確定所述至少一個網絡節點的安全程度。
【文檔編號】H04L29/08GK104160673SQ201380007914
【公開日】2014年11月19日 申請日期:2013年1月7日 優先權日:2012年2月3日
【發明者】D·惠蘭, G·M·格特, D·G·勞倫斯, M·L·奧康納, A·艾亞加利 申請人:波音公司