Геотентификация на основе новой структуры сетевого пакета
Изобретение относится к области радиосвязи. Технический результат заключается в снижении и уменьшении атак по перехвату данных сети и атак типа «отказ в обслуживании». Система для защиты маршрутизации данных содержит сетевой узел-источник, сетевой узел-адресат, один сетевой узел-маршрутизатор, при этом один узел из сетевого узла-источника, сетевого узла-адресата и по меньшей мере одного сетевого узла-маршрутизатора является задействованным сетевым узлом, сетевой узел-источник и сетевой узел-адресат соединены друг с другом через указанный сетевой узел-маршрутизатор, сетевой узел-источник выполнен с возможностью передачи пакета данных в нисходящем направлении к сетевому узлу-адресату через указанный сетевой узел-маршрутизатор, пакет данных содержит часть с заголовком и часть с данными полезной нагрузки, причем часть с заголовком содержит часть с защитной подписью и часть с данными маршрутизации, а часть с защитной подписью содержит информацию о географическом местоположении, относящуюся к одному из указанных сетевых узлов, через которые прошел пакет данных. 2 н. и 32 з.п. ф-лы, 18 ил.
ПЕРЕКРЕСТНАЯ ССЫЛКА НА РОДСТВЕННЫЕ ЗАЯВКИ
Данная заявка является частично продолжающей заявкой и испрашивает приоритет по заявке на патент США сер. №13/114013, поданной 23 мая 2011, которая является частично продолжающей заявкой и испрашивает приоритет по заявке на патент США сер. №12/130880, поданной 30 мая 2008, обе из которых во всей своей полноте включены в данный документ посредством ссылки. Данная заявка относится к заявке на патент США сер. №13/073,830, поданной 28 марта 2011, и заявке на патент США сер. №12/949404, поданной 18 ноября 2010, обе из которых тем самым во всей своей полноте включены в данный документ посредством ссылки.
УРОВЕНЬ ТЕХНИКИ
Настоящее раскрытие относится к геотентификации (geothentication). В частности оно относится к геотентификации на основе новой структуры сетевого пакета.
На сегодняшний день объекты нападения множества крупномасштабных кибератак вынуждены не только восстанавливаться от причиненного ущерба, но также лишены возможности препятствовать нанесению дальнейших повреждений через ответные меры, или по иным обстоятельствам по причине отсутствия четкой отслеживаемости источника атаки и, как следствие, зачастую отсутствия полномочий на ответные действия. Если мотивы атак неясны, то в дальнейшем маловероятно, что пострадавший сможет сказать, была ли атака простым проявлением вандализма, целенаправленным воровством или в большей степени вредоносным действием, угрожающим национальной безопасности. Соответственно любая система, которая поможет отказывать в доступе к сети злоумышленникам и/или предоставит отслеживаемые данные для помощи в идентификации источника, окажется очень полезной для снижения и уменьшения атак по перехвату данных сети и атак типа «отказ в обслуживании» (DoS).
РАСКРЫТИЕ ИЗОБРЕТЕНИЯ
Настоящее раскрытие относится к способу, системе и устройству для проверки и/или определения географического местоположения сетевых узлов в сети в средах с затуханием для применений защиты сети и киберзащиты. В частности в настоящем раскрытии изложена система, включающая в себя сетевой узел-источник и сетевой узел-адресат. Система дополнительно включает в себя по меньшей мере один сетевой узел-маршрутизатор. В одном или более вариантах осуществления сетевой узел-источник, сетевой узел-адресат и/или по меньшей мере один сетевой узел-маршрутизатор является/являются задействованным сетевым узлом. Дополнительно система включает в себя сетевой узел-источник и сетевой узел-адресат, соединенные друг с другом через по меньшей мере один сетевой узел-маршрутизатор. Кроме того система включает в себя сетевой узел-источник, выполненный с возможностью передачи пакета данных в нисходящем направлении сетевому узлу-адресату через по меньшей мере один сетевой узел-маршрутизатор. В дополнение система включает в себя пакет данных, содержащий часть с заголовком и часть с данными полезной нагрузки. Дополнительно система включает в себя по меньшей мере один задействованный сетевой узел, выполненный с возможностью проверки по меньшей мере одного из указанных сетевых узлов, которые расположены в восходящем направлении от задействованного(ых) сетевого(ых) узла(ов) (то есть от самого себя), посредством анализа части с заголовком и/или части с данными полезной нагрузки указанного пакета данных.
В одном или более вариантах осуществления часть с заголовком содержит часть с защитной подписью и/или часть с данными маршрутизации. По меньшей мере в одном варианте осуществления часть с защитной подписью пакета данных включает в себя информацию о географическом местоположении (например, геометку), относящуюся по меньшей мере к одному из указанных сетевых узлов, через которые прошел пакет данных. Информация о географическом местоположении может быть представлена в различных формах, включающих в себя, но не ограничивающихся этим, формат стандартной «геометки», который известен в уровне техники. Например, информация (например, геометка) о географическом местоположении может включать в себя, но не ограничиваться этим, любое из следующего: координаты географического местоположения (то есть координаты по долготе и широте), время извлечения информации о географическом местоположении, по меньшей мере части данных дискретизированного радиочастотного (RF) сигнала и кодовая информация (например, коды уникальных идентификаторов), извлеченная из по меньшей мере части по меньшей мере некоторых дискретизированных RF-сигналов. В некоторых вариантах осуществления информация о географическом местоположении, относящаяся по меньшей мере к одному сетевому узлу, через который прошел пакет данных, получается посредством приема результирующего сигнала, который передается по меньшей мере от одного источника передачи, при этом результирующий сигнал содержит по меньшей мере один аутентификационный сигнал. По меньшей мере в одном варианте осуществления местоположение указанного(ых) сетевого(ых) узла(ов), через который прошел пакет данных, проверяется посредством сравнения свойств указанного результирующего сигнала, который принимает сетевой узел(ы), через который прошел пакет данных, с ожидаемыми свойствами указанного результирующего сигнала, который должен принять сетевой узел(лы), через который прошел пакет данных, вследствие своего местоположения. В некоторых вариантах осуществления часть с заголовком пакета данных использует заголовок пакета данных Интернет Протокола версии 6 (IPv6). По меньшей мере в одном варианте осуществления информация о географическом местоположении хранится внутри заголовка пакета данных IPv6. В одном или более вариантах осуществления по меньшей мере один источник передачи является спутником, псевдоспутником и/или наземным источником передачи. В некоторых вариантах осуществления спутник является спутником на низкой околоземной орбите (LEO), спутником на средней околоземной орбите (МЕО) и/или спутником на геостационарной околоземной орбите (GEO).
По меньшей мере в одном варианте осуществления информация о географическом местоположении, относящаяся к по меньшей мере одному сетевому узлу, через который прошел пакет данных, определяется из информации для измерения дальности, полученной посредством сигнала, переданного по меньшей мере одним сетевым узлом, через который прошли данные, другому сетевому узлу в проверенном местоположении, и сигнала, принятого по меньшей мере одним сетевым узлом, через который прошли данные, от указанного сетевого узла в проверенном местоположении.
В одном или более вариантах осуществления, когда по меньшей мере один задействованный сетевой узел проверяет любой из указанных сетевых узлов, указанный(ые) задействованный(ые) сетевой(ые) узел(ы) удаляет по меньшей мере часть данных, содержащихся в части с заголовком пакета данных. В некоторых вариантах осуществления, когда по меньшей мере один задействованный сетевой узел проверяет (или аутентифицирует) любой из указанных сетевых узлов, то указанный(ые) задействованный(ые) сетевой(ые) узел(ы) удаляет по меньшей мере часть данных, содержащихся в части с заголовком пакета данных и/или части с данными полезной нагрузки пакета данных. В одном или более вариантах осуществления, когда по меньшей мере один задействованный сетевой узел проверяет любой из указанных сетевых узлов, то указанный(ые) задействованный(ые) сетевой(ые) узел(ы) удаляет по меньшей мере часть данных из заголовка пакета данных IPv6. По меньшей мере в одном варианте осуществления часть с данными маршрутизации пакета данных содержит данные, относящиеся ко всем указанным сетевым узлам, через которые прошел пакет данных. По меньшей мере в одном варианте осуществления часть с данными маршрутизации пакета данных содержит данные, относящиеся к по меньшей мере одному из указанных сетевых узлов, через которые прошел пакет данных.
По меньшей мере в одном варианте осуществления, когда по меньшей мере один задействованный сетевой узел проверяет по меньшей мере один из указанных сетевых узлов, указанный(ые) задействованный(ые) сетевой(ые) узел(ы) добавляет данные к части с заголовком пакета данных относительно указанного(ых) сетевого(ых) узла(ов), который/которые был/были проверен/проверены. В одном или более вариантах осуществления добавленные данные к части с защитной подписью включают в себя информацию (например, геометку) о географическом местоположении, относящуюся к сетевому(ым) узлу(ам), который был проверен. По меньшей мере в одном варианте осуществления данные, которые сетевой узел в восходящем направлении добавляет к пакету данных, могут отличаться от данных, которые сетевой узел в нисходящем направлении может добавить к пакету данных после того, как указанный сетевой узел в нисходящем направлении проверил указанный сетевой узел в восходящем направлении и удалил по меньшей мере часть данных из пакета данных. Например, сетевой узел в восходящем направлении может добавить большой объем данных дискретизированного сигнала к пакету данных, и указанный задействованный сетевой узел в нисходящем направлении может впоследствии заменить данный большой объем данных более малым объемом данных, например, данными, относящимися к информации о географическом местоположении сетевого узла в восходящем направлении, после того, как указанный задействованный сетевой узел в нисходящем направлении проверил указанный сетевой узел в восходящем направлении. Так как более малый объем данных относится к информация о географическом местоположении указанного сетевого узла в восходящем направлении, то эти данные можно рассматривать как более защищенные в отличие от указанного большого объема данных, относящихся к данным дискретизированного сигнала. В некоторых вариантах осуществления по меньшей мере один из указанных задействованных сетевых узлов выполнен с возможностью передачи только пакетов данных, которые указанный(ые) задействованный(ые) сетевой(ые) узел(ы) принимает напрямую от любого из проверенных сетевых узлов. В одном или более вариантах осуществления по меньшей мере один из указанного(ых) задействованного(ых) сетевого(ых) узла(ов) выполнен с возможностью передачи только пакетов данных, которые прошли только через проверенные сетевые узлы (то есть в случае, при котором вся цепочка узлов должна состоять из проверенных сетевых узлов).
В одном или более вариантах осуществления по меньшей мере один узел из указанных задействованных сетевых узлов выполнен с возможностью определения, какие из указанных сетевых узлов являются сетевыми узлами с поддержкой геометок. В некоторых вариантах осуществления по меньшей мере один узел из указанных задействованных сетевых узлов выполнен с возможностью определения, какие узлы из указанных сетевых узлов являются задействованными сетевыми узлами. По меньшей мере в одном варианте осуществления по меньшей мере один узел из указанных задействованных сетевых узлов дополнительно использует принятые сигналы, которые передаются по меньшей мере от одного источника передачи, для проверки по меньшей мере одного узла из указанных сетевых узлов, которые расположены в восходящем направлении от указанного(ых) задействованного(ых) сетевого(ых) узла(ов) (то есть от самого себя). В одном или более вариантах осуществления пакет данных передается от сетевого узла-источника в нисходящем направлении сетевому узлу-адресату только через задействованные сетевые узлы.
По меньшей мере в одном варианте осуществления раскрыт способ проверки (или аутентификации) сетевых узлов в сети. Способ включает в себя этап, на котором передают пакет данных от сетевого узла-источника в нисходящем направлении в сетевой узел-адресат через по меньшей мере один сетевой узел-маршрутизатор. В одном или более вариантах осуществления пакет данных содержит часть с заголовком и часть с данными полезной нагрузки. Способ дополнительно включает в себя этап, на котором проверяют, посредством по меньшей мере одного задействованного сетевого узла, по меньшей мере один узел из указанных сетевых узлов, которые расположены в восходящем направлении от указанного(ых) задействованного(ых) сетевого(ых) узла(ов) (то есть от самого себя), посредством анализа по меньшей мере некоторой части указанной части с заголовком и/или указанной части с данными полезной нагрузки пакета данных. По меньшей мере в одном варианте осуществления по меньшей мере один задействованный сетевой узел является указанным сетевым узлом-источником, указанным сетевым узлом-адресатом и/или указанным по меньшей мере одним сетевым узлом-маршрутизатором.
По меньшей мере в одном варианте осуществления часть с заголовком содержит информацию о географическом местоположении для по меньшей мере одного сетевого узла в виде по меньшей мере одной геометки (или геосертификата), которая добавлена к по меньшей мере одному пакету данных. В некоторых вариантах осуществления пакет данных может маршрутизироваться только через узлы, которые являются узлами с поддержкой геометок (то есть сетевые узлы, которые выполнены с возможностью помечания пакетов данных информацией о географическом местоположении). В некоторых вариантах осуществления по меньшей мере один пакет данных маршрутизируется только через узлы с поддержкой геометок (то есть сетевые узлы, которые выполнены с возможностью помечания пакетов данных информацией о географическом местоположении), которые не составляют наиболее прямой путь.
В одном или более вариантах осуществления пакет данных маршрутизируется через указанные сетевые узлы посредством использования способа туннелирования. По меньшей мере в одном варианте осуществления для способа туннелирования, когда по меньшей мере один пакет данных проходит через по меньшей мере один незадействованный сетевой узел (то есть сетевой узел, который выполнен без возможности снабжения пакетов данных геометками в виде информации о географическом местоположении и без возможности проверки других сетевых узлов или своей собственной информации о географическом местоположении), то задействованный сетевой узел шифрует пакет данных на одном конце незадействованного сетевого пути. По меньшей мере в одном варианте осуществления пакет(ы) данных, проходящий через незадействованный(ые) сетевой(ые) узел(ы), дешифруется на другом конце незадействованного сетевого пути другим задействованным сетевым узлом. По меньшей мере в одном варианте осуществления по меньшей мере один пакет данных, проходящий через по меньшей мере один незадействованный сетевой узел, не дешифруется, пока он не прибудет в свой сетевой узел-адресат (то есть сетевой узел, в который маршрутизируются данные).
В некоторых вариантах осуществления информация, содержащаяся в части с заголовком (например, части с защитной подписью) пакетов данных, может продолжать наращиваться в размере во время того, как пакет данных проходит через сетевые узлы, пока пакет данных не достигнет своего сетевого узла-адресата, в котором он может быть проверен (или аутентифицирован), если сетевой узел-адресат является задействованным сетевым узлом. В некоторых вариантах осуществления задействованный сетевой узел в нисходящем направлении может использоваться для проверки (или аутентификации) сетевого узла в восходящем направлении, и затем указанный задействованный сетевой узел в нисходящем направлении может удалить проверенную (или аутентифицированную) информацию из заголовка пакета данных. По меньшей мере в одном варианте осуществления сетевой узел в восходящем направлении может быть проверен (или аутентифицирован) задействованным сетевым узлом в нисходящем направлении посредством просмотра защитной подписи сетевого узла в восходящем направлении, которая содержится в пакете данных. По меньшей мере в одном варианте осуществления задействованный сетевой узел, который проверяет сетевой узел в восходящем направлении, может добавить информацию к заголовку пакета данных, указывающую, что задействованный сетевой узел проверил (или аутентифицировал) сетевой узел в восходящем направлении.
По меньшей мере в одном варианте осуществления задействованный сетевой узел, который проверяет сетевой узел в восходящем направлении, может добавить информацию к заголовку пакета данных, указывающую то, что задействованный сетевой узел проверил путь в восходящем направлении (то есть путь, расположенный в восходящем направлении по отношению к задействованному сетевому узлу, который пролегает по меньшей мере между двумя сетевыми узлами). По меньшей мере в одном варианте осуществления защитная подпись по меньшей мере одного сетевого узла в восходящем направлении по меньшей мере частично содержит по меньшей мере одну геометку, которая представляет собой географическое местоположение сетевого(ых) узла(ов) в восходящем направлении. В некоторых вариантах осуществления, когда пакет данных проходит по сетевому пути, содержащему по меньшей мере два сетевых узла, по меньшей мере один задействованный сетевой узел добавляет новую информацию к заголовку пакета данных, не удаляя потенциально аутентифицируемую информацию в пакете данных, которая была добавлена по меньшей мере одним задействованным сетевым узлом в восходящем направлении. Кроме того по меньшей мере один задействованный сетевой узел удаляет информацию в заголовке пакета данных, относящуюся по меньшей мере к одному сетевому узлу в восходящем направлении, через который прошел пакет данных, и добавляет новую информацию к заголовку пакета данных.
В некоторых вариантах осуществления только задействованные сетевые узлы выполнены с возможностью по меньшей мере одного из следующего: аутентификации (или проверки) по меньшей мере одного сетевого узла в восходящем направлении, через который прошел пакет данных; аутентификации (или проверки) сетевого пути в восходящем направлении, через который прошел пакет данных; маршрутизации только пакетов данных, которые прошли через задействованные сетевые узлы и аутентифицировались указанными задействованными сетевыми узлами, через которые они прошли; добавления информации к заголовку пакета данных, подтверждающей аутентификацию (или проверку) по меньшей мере одного сетевого узла; добавления информации геометки к заголовку пакета данных; добавление информации о достоверном маршрутизаторе (то есть задействованном сетевом узле) к заголовку пакета данных; добавления информации о трассе к заголовку пакета данных; удаления информации из заголовка пакета данных с предыдущей проверки (или аутентификации) по меньшей мере одного сетевого узла; удаления информации геометки из заголовка пакета данных по меньшей мере одного сетевого узла, который был предварительно проверен (или аутентифицирован); удаления достоверной информации из заголовка пакета данных по меньшей мере одного сетевого узла, который был предварительно проверен (или аутентифицирован); и удаления информации о пути из заголовка пакета данных по меньшей мере одного сетевого узла, который был предварительно проверен (или аутентифицирован).
В некоторых вариантах осуществления снабжение геометками пакетов данных, посредством узлов с поддержкой геометок, может использоваться для повышения степени доверия по меньшей мере одного сетевого узла. По меньшей мере в одном варианте осуществления снабжение геометками пакетов данных может использоваться для повышения степени доверия пути по меньшей мере между двумя сетевыми узлами, причем по меньшей мере один из указанных узлов является узлом с поддержкой геометок.
В других вариантах осуществления в настоящем раскрытии изложена система, включающая в себя сетевой узел-источник и сетевой узел-адресат. Система дополнительно включает в себя по меньшей мере один сетевой узел-маршрутизатор. Дополнительно, система включает в себя указанный сетевой узел-источник и указанный сетевой узел-адресат, соединенные друг с другом через по меньшей мере один сетевой узел-маршрутизатор. Кроме того система включает в себя указанный сетевой узел-источник, выполненный с возможностью передачи пакета данных указанному сетевому узлу-адресату через по меньшей мере один сетевой узел-маршрутизатор. Дополнительно система включает в себя пакет данных, содержащий часть с защитной подписью, часть с данными маршрутизации и часть с данными полезной нагрузки.
В одном варианте осуществления данный способ может быть внедрен в существующую инфраструктуру; однако потребуется дополнительное усилие при наличии протоколов сетевого взаимодействия Интернет Протокола (IP) инженерной группы (IETF) по развитию интернета и вариантов их реализации в маршрутизаторах. Для существующей развернутой инфраструктуры сеть взаимосвязанных маршрутизаторов, использующая задействованное аппаратное обеспечение, используется для сигнализации в плоскости административного управления, которая может эффективно позволять выполнять способы отслеживания и прослеживания особых классов трафика, позволяя обычному трафику плоскости данных пересылаться стандартным существующим образом по быстрому пути. Например, может быть введен особый пакет администрирования сети плоскости управления, который имеет известный маршрут, и который имеет тот же самый маршрут, что и конкретный класс трафика IP-сети плоскости данных между одними и теми же одноранговыми маршрутизаторами. Это позволяет развивать решение с использованием таких элементов, как подходящая аналитика, как механизм взаимосвязи событий для присваивания сетевых атрибутов и механизм поддержки принятия решений, которое может быть развернуто на существующих и разворачиваемых в будущем инфраструктурах в плоскости управления, оставаясь полностью совместимым с IETF RFC. Перечисленные элементы, которые будут содержать пакеты данных, теперь будут переноситься через данные плоскости управления и потоки плоскости данных и, как можно предположить, будет следовать текущим механизмам обработки и пересылки.
В одном или более вариантах осуществления часть с защитной подписью содержит цифровую подпись. В некоторых вариантах осуществления часть с защитной подписью содержит перечень по меньшей мере из одного сетевого узла, через который прошел пакет данных от сетевого узла-источника до сетевого узла-адресата. По меньшей мере в одном варианте осуществления часть с защитной подписью содержит информацию временной привязки для по меньшей мере одного сетевого узла в перечне, указывающую то, когда пакет данных был принят и/или передан сетевым(и) узлом(ами). В некоторых вариантах осуществления часть с защитной подписью содержит информацию идентификатора для по меньшей мере одного сетевого узла в перечне. В одном или более вариантах осуществления информация идентификатора является биометрической информацией и/или идентификационным кодом в виде битовой последовательности.
По меньшей мере в одном варианте осуществления часть с защитной подписью содержит информацию о географическом местоположении для по меньшей мере одного сетевого узла в перечне. В одном или более вариантах осуществления информация о географическом местоположении получается в сетевом узле, принимающим результирующий сигнал, который передается по меньшей мере от одного источника передачи. Результирующий сигнал содержит по меньшей мере один аутентификационный сигнал. Местоположение сетевого узла проверяется посредством сравнения свойств указанного результирующего сигнала, который принимает указанный сетевой узел, с ожидаемыми свойствами указанного результирующего сигнала, который указанный сетевой узел должен принять вследствие своего местоположения. В некоторых вариантах осуществления по меньшей мере один источник передачи является спутником, псевдоспутником и/или наземным источником передачи. По меньшей мере в одном варианте осуществления спутник является спутником на низкой околоземной орбите (LEO), спутником на средней околоземной орбите (МЕО) или спутником на геостационарной околоземной орбите (GEO).
По меньшей мере в одном варианте осуществления вместо данных о географическом местоположении, добавляемых к каждому пакету данных, может использоваться защитный сетевой сервер для периодической проверки достоверности местоположения указанных участвующих оснащенных маршрутизаторов. Конечные пользователи с оснащенными устройствами могут проверять путь маршрутизации посредством периодической сверки с защитным сетевым сервером для подтверждения местоположения маршрутизаторов на пути. Поскольку каждый маршрутизатор может иметь свой собственный ключ, пока такие ключи не рассекречены, он может использоваться вместо или совместно с добавлением данных о географическом местоположении к каждому пакету.
В одном или более вариантах осуществления раскрытая система использует группировку спутников LEO Иридиум, где каждый из спутников в группировке имеет некоторую геометрию антенны, которая передает сорок восемь (48) узконаправленных лучей с отличительной узкой диаграммой направленности. По меньшей мере в одном варианте осуществления по меньшей мере один аутентификационный сигнал может быть передан по меньшей мере от одного из указанных спутников Иридиум в группировке. Сорок восемь (48) узконаправленных лучей спутника Иридиум могут использоваться для передачи локализованных аутентификационных сигналов в сетевые узлы, расположенные на или около поверхности Земли. Содержимое переданной широковещательным образом пачки сообщений, относящееся к указанным аутентификационным сигналам, включает в себя данные в виде псевдослучайного шума (PRN). Так как данная пачка сообщений может возникать внутри узконаправленного луча конкретного спутника в конкретное время, то содержимое пачки сообщений, включающее в себя PRN и уникальные параметры луча (например, время, идентификатор (ID) спутника, смещение во времени, орбитальные данные и т.д.), может использоваться для аутентификации местоположения указанных сетевых узлов. Следует отметить, что при использовании одного из вышеописанных спутников LEO Иридиум мощность сигнала передачи достаточно велика, чтобы позволить сигналу проникать во внутреннюю среду помещений. Это позволяет использовать раскрытую систему во многих применениях внутри помещений для технологий аутентификации.
В одном или более вариантах осуществления информация о географическом местоположении определяется из информации для измерения дальности, полученной посредством сигнала, переданного указанным сетевым узлом другому сетевому узлу в проверенном местоположении, и сигнала, принятого указанным сетевым узлом от указанного сетевого узла в проверенном местоположении. По меньшей мере в одном варианте осуществления раскрытая система использует принципы уровневого деления сети для интернет IP-трафика, которое основывается на Качестве Обслуживания (QoS) по потокам. По меньшей мере в одном варианте осуществления часть с данными маршрутизации содержит информацию маршрутизации для пакета данных, причем информация маршрутизации включает в себя информацию относительно сетевого узла-адресата, которому пакет данных должен быть отправлен. В одном или более вариантах осуществления часть с данными полезной нагрузки включает в себя данные, которые должны быть переданы от сетевого узла-источника сетевому узлу-адресату.
По меньшей мере в одном варианте осуществления способ проверки и/или определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети включает в себя этап, на котором передают, с помощью сетевого узла-источника, пакет данных в сетевой узел-адресат через по меньшей мере один сетевой узел-маршрутизатор. Сетевой узел-источник и сетевой узел-адресат соединяются друг с другом через по меньшей мере один сетевой узел-маршрутизатор. Пакет данных содержит часть с защитной подписью, часть с данными маршрутизации и часть с данными полезной нагрузки.
В одном или более вариантах осуществления сетевого узлового устройства для применений киберзащиты и защиты сети включает в себя приемник и процессор. Приемник выполнен с возможностью приема сигнала от источника сигнала. Процессор выполнен с возможностью добавления информации, относящейся к сигналу, в качестве защитной подписи к пакетам данных, которые маршрутизируются через указанное сетевое узловое устройство.
По меньшей мере в одном варианте осуществления система аутентификации для применений киберзащиты и защиты сети включает в себя сетевое узловое устройство и устройство обработки. Сетевое узловое устройство содержит приемник, который выполнен с возможностью приема сигнала от источника сигнала, и процессор, который выполнен с возможностью добавления информации, относящейся к указанному сигналу, в качестве защитной подписи к пакетам данных, которые маршрутизируются через сетевое узловое устройство. Устройство обработки выполнено с возможностью сравнения защитной подписи пакетов данных, маршрутизируемых через сетевое узловое устройство, с известной информацией, относящейся к сигналу, которую приняло сетевое узловое устройство, для аутентификации сетевого узлового устройства.
В одном или более вариантах осуществления аутентификацию сетевого узлового устройства по меньшей мере частично составляет определение того, расположено ли физически сетевое узловое устройство в своем ожидаемом географическом местоположении. По меньшей мере в одном варианте осуществления сетевое узловое устройство аутентифицируется прежде, чем осуществится авторизация данных для прохождения. В некоторых вариантах осуществления устройство обработки является сотовым телефоном, персональным цифровым секретарем (PDA), персональным компьютером, вычислительным узлом, узлом по Протоколу Интернета (IP), сервером, Wi-Fi узлом и/или привязанным или непривязанным узлом.
Дополнительно настоящее раскрытие относится к способу, системе и устройству для использования защитных узконаправленных лучей для аутентификации местоположения сетевого узла. В частности в настоящем раскрытии изложен способ для системы основанной на передаче аутентификации, чтобы проверять информацию о географическом местоположении для сетевого узла. В одном или более вариантах осуществления раскрытый способ включает в себя этап, на котором передают, по меньшей мере из одного источника передачи, аутентификационный сигнал и по меньшей мере один защитный сигнал. Способ дополнительно включает в себя этап, на котором принимают, по меньшей мере от одного принимающего источника, по меньшей мере один результирующий сигнал. По меньшей мере один результирующий сигнал включает в себя аутентификационный сигнал и/или по меньшей мере один защитный сигнал. Кроме того способ дополнительно включает в себя этап, на котором аутентифицируют, по меньшей мере с помощью одного аутентифицирующего устройства, по меньшей мере один сетевой узел посредством оценки по меньшей мере одного результирующего сигнала, который сетевой(ые) узел(злы) принимает по меньшей мере от одного принимающего источника. По меньшей мере в одном варианте осуществления по меньшей мере один сетевой узел используется объектом и/или пользователем.
В одном или более вариантах осуществления аутентификационный сигнал и по меньшей мере один защитный сигнал передаются из одного и того же источника передачи. По меньшей мере в одном варианте осуществления аутентификационный сигнал и по меньшей мере один защитный сигнал передаются из различных источников передачи. В некоторых вариантах осуществления аутентификационный сигнал и по меньшей мере один защитный сигнал передаются на одной и той же частоте. В альтернативных вариантах осуществления аутентификационный сигнал и по меньшей мере один защитный сигнал передаются на различных частотах.
По меньшей мере в одном варианте осуществления данные, передаваемые посредством по меньшей мере одного защитного сигнала, используются в законных целях. В одном или более вариантах осуществления по меньшей мере один защитный сигнал по меньшей мере частично включает в себя аутентификационный сигнал. В различных вариантах осуществления защитный сигнал может включать в себя аутентификационный сигнал и/или данные, которые могут быть законными или ложными. В некоторых вариантах осуществления данные, передаваемые посредством по меньшей мере одного защитного сигнала, включают в себя локализованную информацию и/или информацию об области.
В одном или более вариантах осуществления данные, передаваемые посредством защитного сигнала, могут быть приняты сетевым узлом, который расположен внутри области перекрытия сигналов. В некоторых вариантах осуществления данные передаются через по меньшей мере два несовпадающих по фазе сигнала двоичной фазовой манипуляции (BPSK), причем несовпадающие по фазе сигналы BPSK оказываются по меньшей мере одним сигналом квадратурной фазовой манипуляции (QPSK). По меньшей мере в одном варианте осуществления изменение модуляции битового потока по меньшей мере одного защитного сигнала изменяет мощность широковещательной передачи упомянутых битов в битовом потоке на пошаговой битовой основе. В некоторых вариантах осуществления, когда передаются по меньшей мере два защитных сигнала, то относительная мощность защитных сигналов изменяется так, что защитные сигналы, расположенные ближе к аутентификационному сигналу, имеют более высокую мощность в отличие от защитных сигналов, расположенных дальше от аутентификационного сигнала.
Дополнительно в настоящем раскрытии изложена система, основанная на передаче аутентификации, для проверки информации о географическом местоположении для сетевого узла. В одном или более вариантах осуществления раскрытая система включает в себя по меньшей мере один передатчик, по меньшей мере один приемник и по меньшей мере одно аутентифицирующее устройство. В одном или более вариантах осуществления по меньшей мере один передатчик передает аутентификационный сигнал и по меньшей мере один защитный сигнал; и по меньшей мере один приемник принимает по меньшей мере один результирующий сигнал. По меньшей мере один результирующий сигнал включает в себя аутентификационный сигнал и/или по меньшей мере один защитный сигнал. По меньшей мере в одном варианте осуществления по меньшей мере одно аутентифицирующее устройство аутентифицирует по меньшей мере один сетевой узел посредством оценивания по меньшей мере одного результирующего сигнала, который по меньшей мере один сетевой узел принимает по меньшей мере от одного приемника. Следует отметить, что в одном или более вариантах осуществления указанная система также включает в себя портал киберлокализации. Портал кибер локализации является защищенным интерфейсом между сетью и аутентифицирующим устройством, которое добавляет дополнительный уровень защиты системе. В этих вариантах осуществления результирующий сигнал отправляется в аутентифицирующее устройство для аутентификации через портал киберлокализации.
В одном или более вариантах осуществления аутентификационные данные шифруются, чтобы не быть перехваченными и повторно использованными. Дополнительно данные могут быть подписаны подписью, которая может использоваться для подтверждения данных, исходящих из конкретного портального устройства, посредством сравнения подписи данных с подписью для этого конкретного портального устройство. Каждое портальное устройство кибер локализации может иметь уникальный ключ для шифрования и может иметь дополнительный ключ для подписи дискретных данных. Эти ключи оптимально известны только серверу аутентификации и портальному устройству.
По меньшей мере в одном варианте осуществления по меньшей мере один приемник и по меньшей мере один передатчик совместно встроены по меньшей мере в один приемопередатчик. В некоторых вариантах осуществления аутентификационный сигнал и по меньшей мере один защитный сигнал передаются от одного и того же передатчика. По меньшей мере в одном варианте осуществления аутентификационный сигнал и по меньшей мере один защитный сигнал передаются от различных передатчиков. В одном или более вариантах осуществления по меньшей мере одно аутентифицирующее устройство включает в себя сервер и/или процессор. В некоторых вариантах осуществления аутентификационный сигнал и по меньшей мере один защитный сигнал передаются на одной и той же частоте.
По меньшей мере в одном варианте осуществления по меньшей мере одно аутентифицирующее устройство задействует по меньшей мере часть основной сети. В одном или более вариантах осуществления раскрытая система дополнительно содержит основную сеть, которая функционирует в качестве посредника между по меньшей мере одним сетевым узлом и по меньшей мере одним аутентифицирующим устройством. В некоторых вариантах осуществления по меньшей мере один приемник используется в сотовом телефоне, персональном цифровом секретаре (PDA), персональном компьютере, вычислительном узле, узел по Интернет Протоколу (IP), сервере, wi-fi узле и/или привязанном или привязанном узле.
В некоторых вариантах осуществления приемник может также охватывать функциональность портального устройства киберлокализации. В некоторых вариантах осуществления приемник и портальное устройство киберлокализации объединены в сотовом телефоне или PDA. Следует заметить, что, если сотовый телефон или PDA включают в себя портальное устройство киберлокализации, то функции обработки, шифрования и подписи сигналов могут превосходно выполняться в аппаратном обеспечении и/или встроенном микропрограммном обеспечении, которые не являются частью операционной системы сотового телефона или PDA. Например, в качестве дополнительной возможности, ключи шифрования и подписи, а также незашифрованные дискретные данные, не доступны операционной системе сотового телефона или PDA.
В одном или более вариантах осуществления по меньшей мере один передатчик используется по меньшей мере в одном спутнике и/или по меньшей мере одном псевдоспутнике. В некоторых вариантах осуществления по меньшей мере один спутник является спутником на низкой околоземной орбите (LEO), спутником на средней околоземной орбите (МЕО) и/или спутником на геостационарной околоземной орбите (GEO). В одном или более вариантах осуществления по меньшей мере один сетевой узел является стационарным и/или мобильным. По меньшей мере в одном варианте осуществления по меньшей мере одно аутентифицирующее устройство является одноранговым устройством.
В одном или более вариантах осуществления способ для системы основанной на передаче аутентификации включает в себя этап, на котором передают, по меньшей мере из одного источника передачи, множество аутентификационных сигналов. Способ дополнительно включает в себя этап, на котором принимают, по меньшей мере от одного принимающего источника, результирующий сигнал, который включает в себя по меньшей мере два из указанных аутентификационных сигналов. Дополнительно способ включает в себя этап, на котором аутентифицируют, по меньшей мере с помощью одного аутентифицирующего устройства, по меньшей мере один сетевой узел посредством сравнения свойств указанного результирующего сигнала, который указанный(ые) сетевой(ые) узел(ы) принимает из местоположения(й) принимающего(их) источника(ов), с ожидаемыми свойствами указанного результирующего сигнала, который сетевой(ые) узел(ы) должен(ы) принять из местоположения(й) принимающего(их) источника(ов).
В одном или более вариантах осуществления система и способ для системы основанной на передачи аутентификации включают в себя этап, на котором передают, по меньшей мере из одного источника передачи, множество аутентификационных сигналов в узконаправленных лучах, при этом каждый узконаправленный луч содержит один аутентификационный сигнал. По меньшей мере в одном варианте осуществления источник(и) передачи используется по меньшей мере в одном спутнике LEO из группировки спутников Иридиум. В некоторых вариантах осуществления аутентификационные сигналы передаются на одной и той же частоте. Способ дополнительно включает в себя этап, на котором принимают, по меньшей мере от одного принимающего источника, результирующий сигнал, который включает в себя по меньшей мере два из указанных аутентификационных сигналов. Дополнительно способ включает в себя этап, на котором аутентифицируют по меньшей мере один сетевой узел посредством сравнения свойств указанного результирующего сигнала, который указанный(ые) сетевой(ые) узел(ы) принимает из местоположения(й) принимающего(их) источника(ов), с ожидаемыми свойствами указанного результирующего сигнала, который сетевой(ые) узел(ы) должен(ы) принять из местоположения(й) принимающего(их) источника(ов).
По меньшей мере в одном варианте осуществления аутентификационные сигналы передаются из одного и того же источника передачи. В альтернативных вариантах осуществления аутентификационные сигналы передаются из различных источников передачи. В некоторых вариантах осуществления источник(и) передачи используется по меньшей мере одним спутником и/или по меньшей мере одним псевдоспутником. В одном или более вариантах осуществления аутентификационные сигналы передаются на одной и той же частоте и в одно и то же время, и каждый аутентификационный сигнал имеет отличающуюся от других аутентификационных сигналов модуляцию. По меньшей мере в одном варианте осуществления различные модуляции являются различными псевдослучайными цифровыми модуляционными последовательностями. В некоторых вариантах осуществления различные псевдослучайные цифровые модуляционные последовательности являются различными кодовыми последовательностями BPSK.
В одном или более вариантах осуществления свойства, которые сравниваются, являются мощностью сигнала, допплеровским сдвигом, временем прибытия и/или модуляцией сигнала. В частности принятая модуляция сигнала является объединением множества аутентификационных сигналов, и данная результирующая объединенная модуляция имеет характеристики, которые будут изменяться с местоположением принимающего источника. В некоторых вариантах осуществления раскрытая система и способ относятся к защите сетей для сетей, включающих в себя, но не ограничивающихся этим, самоорганизующиеся, одноранговые и/или децентрализованные (ad hoc) сети.
Признаки, функции и преимущества могут быть достигаться независимо в различных вариантах осуществления настоящих изобретений или могут объединяться в других вариантах осуществления.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Эти и другие признаки, аспекты и преимущества настоящего раскрытия станут лучше понятыми относительно следующего описания, прилагаемой формулы изобретения и сопроводительных чертежей, на которых:
На Фиг. 1А изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений защиты сети и киберзащиты.
На Фиг. 1В изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, в которой задействованный сетевой узел проверяет по меньшей мере один сетевой узел в восходящем направлении и затем удаляет добавленные данные, относящиеся к сетевому(ым) узлу(ам) в восходящем направлении, из пакета данных.
На Фиг. 1С изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, в которой способ проверки сетевого узла в восходящем направлении используется для пакета данных, проходящего в нисходящем направлении от сетевого узла-источника в сетевой узел-адресат через множество сетевых узлов-маршрутизаторов.
На Фиг. 1D изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, которая использует методики шифрования данных и снабжения геометками.
На Фиг. 1Е изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, которая использует снабжение геометками и использует 8-битовое поле Следующий Заголовок (Next Header) заголовка пакета IPv6.
На Фиг. 1F изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, в которой пакет данных должен маршрутизироваться только через сетевые узлы, которые расположены внутри заданной географической области.
На Фиг. 1G изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, в которой два сетевых узла выполнены с возможностью приема сигналов передачи по меньшей мере от одного спутника LEO.
На Фиг. 2 изображено, как местоположение трех сетевых узлов проверяется посредством системы основанной на передаче аутентификации и посредством использования информации для измерения дальности.
На Фиг. 3 изображен вариант осуществления системы основанной на передаче аутентификации, использующей спутник для передачи аутентификационного луча наряду с множеством защитных лучей.
На Фиг. 4А изображен вариант осуществления системы основанной на передаче аутентификации, имеющей четыре сетевых узла, расположенных в различных положениях внутри и около трех перекрывающихся узконаправленных лучей.
На Фиг. 4В изображен вариант осуществления графика сигналов, передаваемых тремя узконаправленными лучами с Фиг. 4А.
На Фиг. 4С изображен вариант осуществления массива уровней сигналов трех узконаправленных лучей в местоположениях четырех сетевых узлов с Фиг. 4А.
На Фиг. 4D изображен вариант осуществления массива битов для трех узконаправленных луча с Фиг. 4А.
На Фиг. 4Е изображен вариант осуществления массива результирующих сигнальных последовательностей, принятых четырьмя сетевыми узлами с Фиг. 4А.
На Фиг. 4F изображен вариант осуществления графика, изображающего результирующие сигналы, принятые четырьмя сетевыми узлами с Фиг. 4А
На Фиг. 5 изображен вариант осуществления системы основанной на передаче аутентификации, использующей передачу защитных лучей в качестве части вторичной задачи.
На Фиг. 6 изображен вариант осуществления системы основанной на передаче аутентификации, использующей передачу несовпадающих по фазе защитных лучей с двоичной фазовой манипуляцией (BPSK).
На Фиг. 7 изображен вариант осуществления раскрытой системы, имеющей сетевой узел, который выполнен с возможностью функционирования в среде с поглощением или преднамеренными помехами.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
Способы и устройства, раскрытые в данном документе, предоставляют функциональную систему для геотентификации, используемую для защиты маршрутизации данных на основе применений, основанных на новой структуре сетевого пакета. Более конкретно в настоящем раскрытии изложено использование задействованных сетевых узлов для пакетов данных геометок для улучшения прослеживаемости пакетов данных и проверки или аутентификации информации о географическом местоположении, относящейся к другим сетевым узлам (то есть геотентифицировать другие сетевые узлы). Как только сетевой узел проверен или аутентифицирован задействованным сетевым узлом, данный сетевой узел затем упоминается в качестве достоверного сетевого узла. Кроме того следует отметить, что в настоящем раскрытии также изложено использование сетевых узлов с поддержкой геометок, которые выполнены с возможностью снабжения пакетов данных геометками в виде информации о географическом местоположении, но без возможности проверки или аутентификации сетевых узлов. По меньшей мере в одном варианте осуществления по меньшей мере один задействованный сетевой узел в системе может быть выполнен без возможности снабжения геометками, но тем не менее с возможностью проверки (или аутентификации) информации о географическом местоположении, относящейся к другим сетевым узлам (то есть геотентифицировать другие сетевые узлы).
Геометка ссылается на информацию о географическом местоположении, относящуюся к местоположению по меньшей мере одного сетевого узла. Информация о географическом местоположении может включать в себя, но не ограничиваться этим, фрагмент необработанных спутниковых данных, по меньшей мере часть известного или неизвестного кода, особого для конкретного спутникового луча, координаты географического местоположения (например, координаты по широте и долготе), время, когда информация о географическом местоположении была извлечена, по меньшей мере часть данных дискретизированного радиочастотного (RF) сигнала (например, спутниковые RF-данные), и/или информацию о кодировке (например, коды уникального идентификатора), извлеченную по меньшей мере из части некоторых из указанных данных дискретизированного RF-сигнала. Данная информация о географическом местоположении может быть включена в существующую структуру заголовка пакета данных IPv6 и в частности может быть включена в 8-битовое поле Следующий Заголовок (Next Header) заголовка пакета данных (то есть в качестве заголовка расширения). Данное конкретное поле задает тип Следующего Заголовка, и обычно задает верхнеуровневый протокол транспортного уровня, используемый полезной нагрузкой пакетов данных. Когда присутствуют заголовки расширения, данное поле указывает, какой заголовок расширения следует далее. В некоторых вариантах осуществления заголовки расширения для геометок находятся между фиксированным заголовком и заголовком протокола верхнего уровня. По меньшей мере в одном варианте осуществления заголовки расширения образуют цепочку, причем все они используют поле Следующий Заголовок, где: поле Следующий Заголовок в фиксированном заголовке указывает первый заголовок с геометкой; поле Следующий Заголовок в заголовке с геометкой указывает последующий заголовок с геометкой; и поле Следующий Заголовок последнего заголовка с геометкой указывает тип заголовка протокола верхнего уровня в полезной нагрузке пакета данных.
В настоящее время пакеты данных IPv6 поддерживают Защиту Интернета Протокола (Internet Protocol Security, IPsec) через заголовки расширения, в частности использование Аутентификационного Заголовка (Authentication Header, АН) и Инкапсуляцию Защитной Полезной Нагрузки (Encapsulating Security Payload, ESP). АН гарантирует целостность без установления соединения и аутентификацию источника данных пакетов IP, в то время как ESP обеспечивает аутентификацию (подлинность) источника, целостность и защиту конфиденциальности пакетов данных. В некоторых вариантах осуществления может быть создан новый набор заголовков расширения. В других вариантах осуществления заголовки с геометками могут быть включены в эти существующие расширения. В то время как в других вариантах осуществления может быть задана полностью новая парадигма.
По меньшей мере в одном варианте осуществления сетевые узлы в сетевом пути добавляют информацию о географическом местоположении ко всем пакетам данных, которые проходят через данные сетевые узлы, тем самым создавая проверяемую историю сетевого пути, по которому прошел пакет данных. Добавление информации к заголовку пакета данных в каждом сетевом узле может быть непрактичным, так как размер пакета данных может становиться очень большим из-за обильно добавляемой информации. В некоторых вариантах осуществления информация, содержащая весь сетевой путь, может быть слишком большой, чтобы храниться внутри заголовка пакета данных. По меньшей мере в одном варианте осуществления задействованные маршрутизаторы (то есть задействованные сетевые узлы) оценивают каждый пакет данных на аутентичность, когда он проходит через сеть, и выполнены с возможностью подтверждения маршрута, через который прошел пакет данных, в качестве защищенного.
В некоторых вариантах осуществления по меньшей мере один задействованный сетевой узел авторизован подтверждать достоверность информации в заголовке пакета данных, который относится ко всем сетевым узлам, через которые прошел пакет данных (то есть, осуществляя ревизию пути). После того, как задействованный(ые) сетевой(ые) узел(ы) проверил информацию, затем задействованный(ые) сетевой(ые) узел(ы) удаляет эту информацию из заголовка пакета данных, тем самым уменьшая размер заголовка пакета данных и исключая необходимость увеличения размера пакета данных за счет части с защитной подписью после того, как пакет данных прошел через каждый сетевой узел. По меньшей мере в одном варианте осуществления задействованный(ые) сетевой(ые) узел(ы) может добавлять информацию к заголовку пакета данных, указывающую, что путь в восходящем направлении, через который прошел пакет данных, был аутентифицирован. В то время как в других вариантах осуществления задействованный(ые) сетевой(ые) узел(ы) может быть выполнен с возможностью пропускания только пакетов данных, которые имеют информацию в своем заголовке о том, что они прошли через аутентифицированный сетевой путь в восходящем направлении. В этих случаях задействованному(ым) сетевому(ым) узлу(ам) ненужно добавлять информацию к заголовку пакета данных относительно аутентифицируемого пути в восходящем направлении. В любом случае задействованный(ые) сетевой(ые) узел(ы) может добавлять свою собственную защитную подпись к пакету данных, которая может включать в себя геометку, прежде чем задействованный(ые) сетевой(ые) узел(ы) пропустит пакет данных к следующему сетевому узлу, и/или он может добавить информацию к заголовку пакета данных, указывающую получателю пакета данных в нисходящем направлении о том, что пакет данных прошел через достоверный маршрутизатор (то есть задействованный сетевой узел).
В некоторых вариантах осуществления по меньшей мере один сетевой узел может быть аутентифицирован посредством использования сигналов, которые передаются по меньшей мере от одного источника передачи, расположенного в космосе, тем самым повышая трудность в подделке информации (спуфинга). В некоторых вариантах осуществления для того, чтобы предотвратить ненадлежащее отделение или изменение информации о географическом местоположении (например, геометки) злоумышленным сетевым узлом из заголовка пакета данных, по меньшей мере один задействованный сетевой узел выполнен с возможностью выполнения способа определения, какие сетевые узлы являются его соседними сетевыми узлами, и определения, какие из этих соседних с сетевых узлов являются сетевыми узлами с поддержкой геометок и/или задействованными сетевыми узлами. Можно делать вывод о том, что любой путь, который проходит только через задействованные сетевые узлы, является достоверным путем (то есть проверенным или аутентифицированным путем).
В других вариантах осуществления настоящего раскрытия способы и устройства, раскрытые в данном документе, обеспечивают функциональную систему для определения географического местоположения сетевых узлов. В частности данная система относится к определению географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, например, для аутентификации и/или для авторизации сетевых узлов. В частности в настоящем раскрытии изложены участвующие сетевые узлы или другие узлы в цепочке сети, которые помечают передаваемые пакеты данных добавляемыми аутентификационными данными. Эти аутентификационные данные имеют особую структуру пакетов данных, причем данные включают в себя такие уникальные данные, как данные защитной подписи, данные маршрутизации и/или данные полезной нагрузки. Данные защитной подписи включают в себя информацию относительно местоположения участвующих сетевых узлов в цепочке сети и могут также включать в себя информацию относительно того, было ли их местоположение проверено.
В настоящее время все более и более важной становится киберзащита, поскольку электронные системы все больше проникают в повседневные дела и социальные задачи. Многие ранее управляемые бизнес-процессы перешли в электронную обработку данных через сеть в режиме реального времени, что сделало методики усовершенствования компьютерной защиты и защиты непрерывной информации необходимым требованием для того, чтобы обеспечивать безопасность этих повседневно используемых систем. Важные документы и другие данные, использующие информацию от номеров социального страхования до относящейся к национальной инфраструктуре информации, хранятся во взаимодействующих через сеть системах, которые, при осуществлении к ним доступа неавторизованной стороной, могут оказывать на общество воздействие различной степени от неудобств до значительного ущерба социальной инфраструктуры. Параллельно с повышающейся степенью использования электронных систем государство также наблюдает значительное разрастание терроризма и действий хакеров; таким образом, требуя от общества работы по совершенствованию способов обеспечения безопасности наших взаимодействующих через сеть компьютерных систем.
Кибератаки и проникновения в сеть становятся слишком распространенным явлением. Такие частые проявления выдвинули обсуждение опасностей проникновения в сеть через внешние угрозы как в коммерческих, так и в военных сетевых окружениях, на передний план. Современные подходы управления доступом преимущественно либо основаны на статических паролях, либо являются использующими в своей основе аутентификацию паролями и учетными данными через интеллектуальную карточку на основе Инфраструктуры Открытых Ключей (Public Key Infrastructure, PKI). Так как атаки на систему зачастую проводятся через подмену конечного пользователя на другого человека, то существует тенденция в организациях сосредотачиваться на способах аутентификации пользователей, чтобы сократить уязвимость сети на перехват данных сети. Эти подходы продолжают оставаться уязвимыми для сложных атак, и таким образом образовалась потребность в новой парадигме управления доступом, привносящей дополнительную размерность/информацию помимо обычных трех размерностей (что Вы знаете, что Вы имеете, и кем Вы являетесь) аутентификации посредством добавления геопространственного местоположения/контекста, такого как местоположение пользователя, чтобы обеспечить дополнительный и ортогональный слой защиты, что обеспечивает расширенную взаимосвязь между представлениями управления информацией и осведомленностью о местоположении и контексте из встроенного отображения физического географического местоположения на логическую сеть.
К тому же, факт того, что существующие кибератаки зачастую осуществляются анонимно, создал дополнительные соответствующие проблемы. Более массированные атаки зачастую невозможны без попыток совершения источником малых проникновений/атак, чтобы лучше понять уязвимости системы для будущего использования и закладывания основы для более поздней, более вредоносной атаки.
Настоящее раскрытие в целом относится к взаимодействующим через сеть системам, которые извлекают пользу из киберзащиты. Более конкретно в системе настоящего раскрытия использован по меньшей мере один самостоятельно определяющий географическое местоположение сетевой узел для использования структуры пакета с подписью, которая может позволять отслеживать пакет данных до конкретного сетевого узла в заданный момент времени. Данная структура пакета с подписью может использоваться для усиления киберзащиты в участвующих сетях. В качестве примера, структура пакета с подписью может включать в себя такие элементы, как данные полезной нагрузки, данные маршрутизации и/или защитные данные. Защитные данные могут быть заданы в качестве данных о географическом местоположении, данных биометрии и/или данных временной привязки. По меньшей мере в одном варианте осуществления данная структура пакета с подписью совместно может упоминаться в качестве киберзащитной подписи при использовании для применений киберзащиты. Например, файл может передаваться от одного пользователя другому пользователю через такое соединение, как передаваемая через Интернет электронная почта. Участвующие сетевые узлы, или другой вид узлов, в цепочке сети могут помечать данные с помощью добавления аутентификационных данных, которые могут включать в себя элементы структуры пакета с подписью (например, данные полезной нагрузки, данные маршрутизации и/или защитные данные). Когда пакет данных перемещается к следующему узлу в цепочке сети, сетевой узел может аутентифицировать его. Аутентификация может происходить, когда достоверность физического местоположения, представляемого данными о географическом местоположении, проверяется по известному местоположению сетевого узла.
Настоящее раскрытие может использоваться для предоставления доступа к взаимодействующей через сеть системе, а также для ограничения доступа к такой системе. По меньшей мере в одном варианте осуществления предполагается, что сетям, привносящим данную форму киберзащиты, могут потребоваться такие данные киберзащитной подписи для того, чтобы принимать пакеты данных. Именно благодаря данному средству злоумышленники могут быть идентифицированы до входа в систему, так как подпись фактически не подделываема, или атаки «человек посередине» или другие подобные атаки распознаются в качестве несоответствующие данным подписи. По меньшей мере в одном варианте осуществления система может включать в себя существующие способы отслеживания, такие как ограничение количества транзитных участков через узлы (то есть, цифровой счетчик Время Жизни (Time to Live, TTL)). Настоящее изобретение может вводить смену парадигмы (то есть, Интернет 3.0) с точки зрения киберзащиты, которая может привести к внедрению ее массами для аппаратного обеспечения и/или программного обеспечения, которые будут выполняться с возможностью поддержки структуры пакета данных с подписью.
Система настоящего раскрытия может быть адаптирована для взаимодействующих через сеть систем, которые включают в себя проводные и/или беспроводные сетевые узлы. По меньшей мере в одном варианте осуществления по меньшей мере один сетевой узел использует по меньшей мере один спутник для определения географического местоположения. В одном примере самостоятельно определяющий географическое местоположение сетевой узел может использовать группировку на низкой околоземной орбите (LEO), которая приспособлена предоставлять сигнал, который может быть принят внутри помещения. Данная система может использоваться или может не использоваться в сочетании с системой глобального позиционирования (GPS) или любой другой системы, используемой для позиционирования, навигации и/или временной привязки. Кроме того система настоящего раскрытия может использовать биометрию для того, чтобы проверять достоверность пользователя/узла посредством чего-то свойственного пользователю/узлу, а также использовать любой другой способ аутентификации, который при использовании в сочетании с описанными способами усилят полную защиту системы.
Система настоящего раскрытия имеет четыре главных признака. Первый главный признак системы состоит в том, что в нем изложено самостоятельно определяющее географическое местоположение сетевое устройство (например, самостоятельно определяющий географическое местоположение сервер, маршрутизатор, персональное вычислительное устройство, сотовый телефон и/или телевизор), который имеет много применений, включающих в себя общую киберзащиту и аутентификацию; но может также использоваться в других применениях, таких как игры.
Второй главный признак раскрытой системы состоит в том, что в нем изложена структура пакета данных, которая приспособлена для аутентификации и киберзащиты. Структура пакета данных приспосабливает некоторое средство для отслеживания пакета данных до сетевых узлов, которые были частью последовательности узлов, используемых для того, чтобы пакет попадал в местоположение своего получателя. Данная структура пакета с подписью может использоваться для усиления киберзащиты в участвующих сетях. В качестве примера, структура пакета с подписью может включать в себя такие элементы, как данные полезной нагрузки, данные маршрутизации и/или защитные данные. Защитные данные могут быть заданы в качестве данных о географическом местоположении, данных биометрии и/или данных временной привязки. По меньшей мере в одном варианте осуществления данная структура пакета с подписью совместно может упоминаться в качестве киберзащитной подписи при использовании для применений киберзащиты.
Третий главный признак раскрытой системы состоит в том, что в нем изложены элементы структуры пакета с подписью, которые являются уникальными. Участвующие сетевые узлы, или другой вид узлов, в цепочке сети могут помечать данные с помощью добавления аутентификационных данных, которые могут включать в себя элементы структуры пакета с подписью (то есть, данные полезной нагрузки, данные маршрутизации и/или защитные данные). Участвующие сетевые узлы действуют подобно ДНК из прикосновения от отпечатка пальца с точки зрения отел еж ива ем ости, поскольку каждый маршрутизатор, который используется пакетом данных, предоставляет некоторые отслеживаемые данные к подписи. Когда пакет данных перемещается к следующему узлу в цепочке сети, то он будет накапливать, например, небольшие битовые последовательности, и каждый последующий узел сможет аутентифицировать его. Данное накопление небольших битовых последовательностей может привести к статистически неотразимому отпечатку сетевого пути. Аутентификация может осуществляться посредством сравнения сетевых задержек для ожидаемого сетевого пути (наряду с его соответствующими уникальными добавленными данными) по отношению к пакету данных с подписью и приемлемых диапазонов ожидаемой сетевой задержки. Дополнительно, может осуществляться наблюдение за другими сетевыми параметрами, чтобы проверять достоверность того, что не применяется атака «человек посередине» (man-in-the-middle, MITM). В одном варианте осуществления, если есть подозрение в атаке MITM, то сеть может быть выполнена с возможностью реагирования на основе политики сети.
Четвертый главный признак раскрытой системы состоит в том, что система применяет использование по меньшей мере одного спутника LEO для передачи сигнала в сетевые узлы. Сигнал спутника LEO способен проникать во внутреннюю среду помещения вследствие своей повышенной принимаемой мощности в приемнике. Как таковой, данный признак позволяет использовать раскрытую систему для множества применений внутри помещений для технологий аутентификации.
Дополнительно следует отметить, что раскрытая система может использоваться для множества применений, в которых желательно подтверждать, прослеживать, наблюдать и/или отслеживать местоположение «узла». Кроме того, система может обеспечивать дополнительную полезность существующим способам прослеживания для кредитных карточек, особенно потому что варианты оплаты в настоящее время все более внедряются в персональные портативные устройства, такие как сотовые телефоны. Может осуществляться не только наблюдение за местоположением пользователя кредитной карточки, но и потенциально может осуществляться прослеживание пользователя для повторного определения местоположения в случае попытки вернуть украденный у пользователя объект. Кроме того следует отметить, что данный признак может использоваться в сочетании с персональными вычислительными устройствами для игр, например, для геокэшинга (размещения тайников в некоторой географической области).
В последующем описании излагаются многочисленные подробности для того, чтобы обеспечить исчерпывающее описание системы. Для специалиста в уровне техники, однако, должно быть очевидным, что раскрытая система может быть осуществлена без этих особых подробностей. В других примерах хорошо известные признаки не описываются подробно, чтобы излишне не затруднять понимание системы.
На Фиг. 1А изображен вариант осуществления раскрытой системы 100 для определения географического местоположения сетевых узлов в средах с затуханием для применений защиты сети и киберзащиты. На данной фигуре пользователь, расположенный в сетевом узле-источнике (Узел А) 110, желает передать пакет 130 данных пользователю, расположенному в сетевом узле-адресате (Узел D) 120. Сетевой узел-источник (Узел А) 110 и сетевой узел-адресат (Узел D) 120 соединяются друг с другом через множество сетевых узлов-маршрутизаторов 140, которые включают в себя Узел В 140 и Узел С 140. Изображено, что сетевой узел-источник (Узел А) 110 передает пакет 130 данных сетевому узлу-адресату (Узел D) 120 через сетевые узлы-маршрутизаторы Узел В 140 и Узел С 140.
Пакет 130 данных содержит часть с заголовком и часть 160 с данными полезной нагрузки. Часть с заголовком включает в себя часть 170 с защитной подписью и часть 150 с данными маршрутизации. Часть 150 с данными маршрутизации пакета 130 данных содержит информацию маршрутизации для пакета 130 данных. Информация маршрутизации включает в себя информацию относительно сетевого узла-адресата (например, адрес сетевого узла-адресата (Узла D) 120), в который должен быть отправлен пакет 130 данных. Часть 160 с данными полезной нагрузки пакета 130 данных содержит данные и/или информацию, которую пользователь в сетевом узле-источнике (Узле А) 110 хочет отправить пользователю в сетевом узле-адресате (Узле D) 120. Часть с защитной подписью должна быть выполнена без возможности быть скопированной из одного пакета и вставленной в другой пакет, иначе сущность изобретения потеряет смысл, так как будет возможной ситуация, при которой другой пакет будет выглядеть таким, как будто бы он проследовал по тому же самому маршруту, что и первый пакет. Она может применяться по-разному в различных вариантах осуществления. В одном варианте осуществления защитная подпись может быть функцией данных полезной нагрузки. Например, защитная подпись может включать в себя компонент, который является цифровой подписью, которая может быть функцией данных полезной нагрузки. Эти цифровые подписи могут накапливаться вдоль маршрута, либо может проверяться достоверность того, что они прибыли из последнего участвующего маршрутизатора, и они могут заменяться новой цифровой подписью на каждом транзитном участке. В одном или более вариантах осуществления часть с защитной подписью пакета данных не обязательно является настоящей цифровой подписью, но может содержать различные типы данных, включающие в себя, но не ограничивающиеся этим, данные дискретного сигнала, данные о географическом местоположении, информацию временной привязки и/или информацию маршрутизации, относящуюся к тому, где прошел пакет данных.
Часть 170 с защитной подписью пакета 130 данных включает в себя перечень всех сетевых узлов, через которые прошел пакет 130 данных от сетевого узла-источника (Узла А) 110 до сетевого узла-адресата (Узла D) 120. Как показано в данном примере, перечень сетевых узлов в части 170 с защитной подписью включает в себя Узел А 110, Узел В 140, Узел С 140 и Узел D 120. Пока пакет 130 данных проходит через сеть узлов, то каждый раз, когда пакет 130 данных проходит через некоторый сетевой узел, то данный конкретный сетевой узел добавляется в перечень сетевых узлов. Как таковая защитная подпись 170 превращается в идентификатор уникального ключа для пакета 130 данных подобно специфической последовательности ДНК для конкретного организма.
В одном или более вариантах осуществления часть 170 с защитной подписью также содержит информацию временной привязки по меньшей мере для одного из указанных сетевых узлов в перечне. Информация временной привязки указывает то, когда пакет 130 данных был принят и/или передан сетевым(и) узлом(ами). Кроме того по меньшей мере в одном варианте осуществления часть 170 с защитной подписью пакета 130 данных содержит информацию идентификатора по меньшей мере для одного из указанных сетевых узлов в перечне. Типы идентифицирующей информации, которая может использоваться для раскрытой системы, включают в себя, но не ограничиваются этим, различные типы биометрической информации и/или идентификационных кодов уникальных битовых последовательностей для каждого из указанных сетевых узлов.
Дополнительно часть 170 с защитной подписью пакета 130 данных включает в себя информацию о географическом местоположении по меньшей мере для одного из указанных сетевых узлов в перечне. Информация о географическом местоположении включает в себя конкретное физическое местоположение сетевого узла и может также включать в себя указание относительно того, проверено ли местоположение указанного сетевого узла. По меньшей мере в одном варианте осуществления информация о географическом местоположении сетевого узла проверяется сетевым узлом, принимающим по меньшей мере один аутентификационный сигнал, который передается по меньшей мере от одного источника передачи. Подробное описание того, как местоположение сетевого узла проверяется при помощи аутентификационного(ых) сигнала(ов), обсуждается в описании Фиг. 3, 4, 5 и 6. В некоторых вариантах осуществления информация о географическом местоположении сетевого узла проверяется посредством использования информации для измерения дальности, которая получается из сигналов, которые передаются в сетевые узлы, которые находятся в проверенных местоположениях, и из них. Подробное описание того, как получается информация для измерения дальности, описано в описании Фиг. 2.
На Фиг. 1В изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, в которой задействованный сетевой узел проверяет (или аутентифицирует) по меньшей мере один сетевой узел в восходящем направлении и затем удаляет добавленные данные, относящиеся к сетевому(ым) узлу(ам) в восходящем направлении, из пакета данных. На данной фигуре пользователь, расположенный в сетевом узле-источнике (Узле D) 102, желает передать пакет данных в нисходящем направлении пользователю, расположенному в сетевом узле-адресате (Узле А) 112. Сетевой узел-источник (Узел D) 102 и сетевой узел-адресат (Узел А) 112 соединяются друг с другом через множество сетевых узлов-маршрутизаторов 122, 162, которые включают в себя Узел В 162, и Узел С 122. Сетевой узел-источник (Узел D) 102 передает пакет данных в нисходящем направлении в сетевой узел-адресат (Узел А) 112 через сетевые узлы-маршрутизаторы Узел В 162 и Узел С 122. Для данного примера, Узел С 122 является задействованным сетевым узлом, что означает, что он обладает возможностью проверять (или аутентифицировать) любой из сетевых узлов, которые находятся в восходящем направлении от него самого. Другие сетевые узлы (Узел D 102, Узел В 162 и Узел А 112) не являются задействованными сетевыми узлами.
Пакет данных содержит часть с заголовком и часть 152 с данными полезной нагрузки. Часть с заголовком содержит часть 132 с защитной подписью и часть 142 с данными маршрутизации. Часть 142 с данными маршрутизации содержит информацию маршрутизации для пакета данных. Часть 152 с данными полезной нагрузки содержит данные и/или информацию, которую пользователь в сетевом узле-источнике (Узле D) 102, хочет отправить пользователю в сетевом узле-адресате (Узле А) 112. Часть 132 с защитной подписью включает в себя перечень и/или информацию о географическом местоположении для всех сетевых узлов, через которые прошел пакет данных от сетевого узла-источника (Узла D) 102 до сетевого узла-адресата (Узла А) 112. В данном примере, когда пакет данных расположен в сетевом узле-источнике (Узле D) 102, Узел D 102 добавляет информацию (например, информацию о географическом местоположении) в часть с заголовком (то есть, часть 142 с данными маршрутизации и/или часть 132 с защитной подписью) пакета данных, относящуюся к Узлу D 102, тем самым указывая, что пакет данных прошел через Узел D 102.
Затем пакет данных перемещается из Узла D 102 в Узел С 122, который является задействованным сетевым узлом. Задействованный сетевой узел обладает возможностью проверять любой из сетевых узлов, которые расположены в восходящем направлении от него самого, посредством анализа части с заголовком (то есть части 132 с защитной подписью и/или части 142 с данными маршрутизации) и/или части 152 с данными полезной нагрузки пакета данных. Следует отметить, что в некоторых вариантах осуществления задействованный сетевой узел дополнительно анализирует информацию о географическом местоположении (например, геометку), относящуюся к сетевому(ым) узлу(ам) в восходящем направлении, которая содержится в части с заголовком (то есть части 132 с защитной подписью и/или части 142 с данными маршрутизации) заголовка пакета данных. Кроме того задействованные сетевые узлы обладают возможностью оснащения пакетов данных геометками в виде информации о географическом местоположении.
Следует отметить, что в одном или более вариантах осуществления информация о географическом местоположении, относящаяся к сетевому узлу, получается сетевым узлом, принимающим результирующий сигнал, который передается по меньшей мере из одного источника передачи, причем результирующий сигнал содержит по меньшей мере один аутентификационный сигнал. Местоположение сетевого узла проверяется посредством сравнения свойств результирующего сигнала, который принимает указанный сетевой узел, с ожидаемыми свойствами указанного результирующего сигнала, который должен принять указанный сетевой узел вследствие своего местоположения. В некоторых вариантах осуществления часть с заголовком пакета данных использует заголовок пакета данных Интернет Протокола версии 6 (IPv6). По меньшей мере в одном варианте осуществления информация о географическом местоположении хранится внутри заголовка пакета данных IPv6. В одном или более вариантах осуществления по меньшей мере один источник передачи является спутником, псевдоспутником и/или наземным источником передачи. В некоторых вариантах осуществления спутник является спутником LEO, спутником МЕО или спутником GEO. В других вариантах осуществления информация о географическом местоположении, относящаяся к сетевому узлу, определяется из информации для измерения дальности, полученной посредством сигнала, переданным, либо беспроводным, или проводным образом, сетевым узлом другому сетевому узлу в проверенном местоположении, и сигнала, принятого, либо беспроводным, либо проводным образом, сетевым узлом от сетевого узла в проверенном местоположении.
В данном примере, как только пакет данных достигает задействованного сетевого Узла С 122, Узел С 122 анализирует пакет данных и определяет, что Узел D 102 является достоверным сетевым узлом (то есть истинным сетевым узлом, не поддельным сетевым узлом). Узел С 122 по существу определяет, что Узел D 102 является достоверным сетевым узлом, потому что Узел С 122 проверил (или аутентифицировал) Узел D 102 после анализа пакета данных. После того, как Узел С 122 проверил (или аутентифицировал) Узел D 102, Узел С удаляет информацию в части с заголовком (то есть часть 142 с данными маршрутизации и/или часть 132 с защитной подписью) пакета данных, которая относится к Узлу D 102. В одном или более вариантах осуществления Узел С 122 дополнительно добавляет информацию в часть с заголовком (то есть часть 142 с данными маршрутизации и/или часть 132 с защитной подписью) пакета данных относительно того, что Узел D 102 является проверенным (или аутентифицированным). По меньшей мере в одном варианте осуществления добавленная информация включает в себя информацию о географическом местоположении (например, геометку), относящуюся к проверенному сетевому узлу (то есть Узлу D 102). Затем Узел С 122 добавляет информацию в часть с заголовком (то есть часть 142 с данными маршрутизации и/или часть 132 с защитной подписью) пакета данных, которая относится к нему самому (то есть информацию, относящуюся к Узлу С 122).
После того, как Узел С 122 добавил информацию к пакету данных, пакет данных передается в нисходящем направлении к Узлу В 162. Как только пакет данных достиг Узла В 162, Узел В 162 добавляет информацию в часть с заголовком (то есть часть 142 с данными маршрутизации и/или часть 132 с защитной подписью) пакета данных, которая относится к нему самому (то есть информацию, относящуюся к Узлу В 162). Следует отметить, что, так как Узел В 162 не является задействованным сетевым узлом, то Узел В 162 не проверяет (или не аутентифицирует) Узел С 122, и Узел В 162 не удаляет информацию в части с заголовком (то есть части 142 с данными маршрутизации и/или части 132 с защитной подписью) пакета данных, которая относится к Узлу С 122. Затем пакет данных пропускается к сетевому узлу-адресату (Узлу А) 112. Как только пакет данных достиг Узла А 112, Узел А 112 добавляет информацию в часть с заголовком (то есть, часть 142 с данными маршрутизации и/или часть 132 с защитной подписью) пакета данных, которая относится к нему самому (то есть информацию, относящуюся к Узлу А 112). Как таковой результирующий пакет данных будет содержать информацию в части с заголовком (то есть части 142 с данными маршрутизации и/или части 132 с защитной подписью) пакета данных, которая относится к Узлу С 122, Узлу В 162 и Узлу А 112. Следует отметить, что в некоторых вариантах осуществления результирующий пакет данных будет также содержать информацию в части с заголовком (то есть части 142 с данными маршрутизации и/или части 132 с защитной подписью) пакета данных относительно того, что Узел D 102 является проверенным (или аутентифицированным).
Следует отметить, что в одном или более вариантах осуществления раскрытой системы задействованный сетевой узел выполнен с возможностью передачи только пакетов данных, которые задействованный сетевой узел принимает напрямую от проверенного сетевого узла (то есть достоверного сетевого узла). В некоторых вариантах осуществления задействованный сетевой узел выполнен с возможностью передачи (или пропускания) только пакетов данных, которые предварительно прошли только через проверенные сетевые узлы (то есть достоверные сетевые узлы). По меньшей мере в одном варианте осуществления задействованный сетевой узел выполнен с возможностью определения, какие из сетевых узлов являются сетевыми узлами с поддержкой геометок. В одном или более вариантах осуществления задействованный сетевой узел выполнен с возможностью определения, какие из сетевых узлов в сети являются задействованными сетевыми узлами.
На Фиг. 1С изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, в которой способ проверки сетевого узла в восходящем направлении используется для пакета данных, проходящего в нисходящем направлении от сетевого узла-источника в сетевой узел-адресат через множество сетевых узлов-маршрутизаторов. Для данного примера, пакет данных маршрутизируется из сетевого узла-источника (Узла G) в сетевой узел-адресат (Узел А) через множество сетевых узлов (Узел F, Узел Е, Узел D, Узел С и Узел В). Узел Е и Узел В являются задействованными сетевыми узлами, а оставшиеся узлы (Узел G, Узел F, Узел D, Узел С и Узел А) не являются задействованными сетевыми узлами.
Пакет данных содержит часть с заголовком и часть 123 с данными полезной нагрузки. Часть с заголовком содержит часть 103 с защитной подписью и часть 113 с данными маршрутизации. Часть 113 с данными маршрутизации содержит информацию маршрутизации для пакета данных, а часть 123 с данными полезной нагрузки содержит данные и/или информацию, которую пользователь в сетевом узле-источнике (Узле G) хочет отправить пользователю в сетевом узле-адресате (Узле А). Часть 132 с защитной подписью включает в себя перечень всех сетевых узлов, через которые прошел пакет данных от сетевого узла-источника (Узла G) в сетевой узел-адресат (Узел А).
В данном примере, когда пакет данных находится в сетевом узле-источнике (Узле G), то Узел G добавляет информацию 133 в часть с заголовком (то есть часть 113 сданными маршрутизации и/или часть 103 с защитной подписью) пакета данных, относящуюся к Узлу G, таким образом указывая то, что пакет прошел через данный Узел G. Затем, пакет данных передается от Узла G в Узел F. Узел F добавляет информацию 143 в часть с заголовком (то есть часть 103 с данными маршрутизации и/или часть 113 с защитной подписью) пакета данных, которая относится к нему самому (то есть информацию, относящуюся к Узлу F). Затем пакет данных передается от Узла F в Узел Е, который является задействованным сетевым узлом. Задействованный сетевой узел обладает возможностью проверять любой из сетевых узлов, которые расположены в восходящем направлении от него самого, посредством анализа части с заголовком (то есть части 103 с защитной подписью и/или части 113 сданными маршрутизации) и/или части 123 с данными полезной нагрузки пакета данных. В качестве дополнительной возможности задействованный сетевой узел дополнительно анализирует информацию о географическом местоположении (например, геометку), относящуюся к сетевому(ым) узлу(ам) в восходящем направлении, которая содержится в части с заголовком (то есть части 103 с защитной подписью и/или части 113 с данными маршрутизации) заголовка пакета данных.
Затем, Узел Е анализирует пакет данных и определяет, что Узел F и Узел G являются достоверными сетевыми узлами (то есть истинными сетевыми узлами, не поддельными сетевыми узлами). Узел Е определяет, что Узел F и Узел G являются достоверными сетевыми узлами, потому что Узел Е проверил (или аутентифицировал) Узел F и Узел G посредством анализа информации в пакете данных. После того, как Узел Е проверил Узел F и Узел G, Узел Е удаляет информацию 133, 143 в части с заголовком (то есть части 113 с данными маршрутизации и/или части 103 с защитной подписью) пакета данных, которая относится к Узлу F и Узлу G. В некоторых вариантах осуществления Узел Е дополнительно добавляет информацию (не изображена) в часть с заголовком (то есть часть 113 с данными маршрутизации и/или часть 103 с защитной подписью) пакета данных относительно того, что Узел F и Узел G являются проверенными (или аутентифицированными). По меньшей мере в одном варианте осуществления добавленная информация включает в себя информацию о географическом местоположении (например, геометку), относящуюся к проверенным сетевым узлам (то есть Узлу F и Узлу G). Затем Узел Е добавляет информацию 153 в часть с заголовком (то есть, часть 113 с данными маршрутизации и/или часть 103 с защитной подписью) пакета данных, которая относится к нему самому (то есть, информацию 153, относящуюся к Узлу Е).
После того, как Узел Е добавил информацию 153 к пакету данных, пакет данных передается в нисходящем направлении к Узлу D. Как только пакет данных достиг Узла D, Узел D добавляет информацию 163 в часть с заголовком (то есть часть 113 с данными маршрутизации и/или часть 103 с защитной подписью) пакета данных, которая относится к нему самому (то есть информацию 163, относящуюся к Узлу D). Затем пакет данных пропускается в нисходящем направлении к Узлу С.После того, как пакет данных достиг Узла С, Узел С добавляет информацию 173 в часть с заголовком (то есть часть 113 с данными маршрутизации и/или часть 103 с защитной подписью) пакета данных, которая относится к нему самому (то есть информацию 173, относящуюся к Узлу С).
Затем пакет данных передается в нисходящем направлении от Узла С в Узел В, который является задействованным сетевым узлом. Узел В анализирует пакет данных и определяет, что Узел С, Узел D и Узел Е являются достоверными сетевыми узлами (то есть истинными сетевыми узлами, не поддельными сетевыми узлами). Узел В определяет, что Узел С, Узел D, и Узел Е являются достоверными сетевыми узлами, потому что Узел В проверил (или аутентифицировал) Узел С, Узел D и Узел Е посредством анализа информации в пакете данных. После того, как Узел В проверил Узел С, Узел D, и Узел Е, Узел С удаляет информацию 153, 163, 173 в части с заголовком (то есть части 113 с данными маршрутизации и/или части 103 с защитной подписью) пакета данных, которая относится к Узлу С, Узлу D и Узлу Е. В одном или более вариантах осуществления Узел В дополнительно добавляет информацию (не изображена) в часть с заголовком (то есть, часть 113 с данными маршрутизации и/или часть 103 с защитной подписью) пакета данных относительно того, что Узел С, Узел D и Узел Е являются проверенными (или аутентифицированными). В некоторых вариантах осуществления добавленная информация включает в себя информацию о географическом местоположении (например, геометку), относящуюся к проверенным сетевым узлам (то есть Узлу С, Узлу D и Узлу Е). Затем Узел Е добавляет информацию 183 в часть с заголовком (то есть часть 113 с данными маршрутизации и/или часть 103 с защитной подписью) пакета данных, которая относится к нему самому (то есть информацию 183, относящуюся к Узлу В).
Затем пакет данных пропускается из Узла В в сетевой узел-адресат (Узел А). Как только пакет данных достиг Узла А, Узел А добавляет информацию 193 в часть с заголовком (то есть часть 113 с данными маршрутизации и/или часть 103 с защитной подписью) пакета данных, которая относится к нему самому (то есть информацию 193, относящуюся к Узлу А). Таким образом результирующий пакет данных будет содержать информацию 183, 193 в части с заголовком (то есть части 113 с данными маршрутизации и/или части 103 с защитной подписью) пакета данных, которая относится к Узлу В и Узлу А. В некоторых вариантах осуществления результирующий пакет данных будет также содержать информацию в части с заголовком (то есть части 113 с данными маршрутизации и/или части 103 с защитной подписью) пакета данных относительно того, что Узел G, Узел F, Узел Е, Узел D и Узел С являются проверенными (или аутентифицированными). В одном или более вариантах осуществления, результирующий пакет данных будет также содержать информацию в части с заголовком (то есть, части 113 с данными маршрутизации и/или части 103 с защитной подписью) пакета данных относительно того, что Узел Е и Узел В являются задействованными сетевыми узлами.
На Фиг. 1D изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, которая использует методики шифрования данных и снабжения геометками. На данной фигуре Узлы А, В и С являются задействованными сетевыми узлами, а Узлы D, Е, F, G, Н и I являются незадействованными сетевыми узлами. При этом Узел А является сетевым узлом-источником, а Узел С является сетевым узлом-адресатом.
В данном примере пакет данных маршрутизируется только через задействованные сетевые узлы (то есть через Узел А, Узел В и Узел С). Поскольку Узлы А, В и С являются задействованными сетевыми узлами, то они обладают возможностью геотентифицироваться (то есть иметь свое проверенное или аутентифицированное географическое местоположение). Когда они геотентифицированы, они рассматриваются в качестве достоверных сетевых узлов. В одном или более вариантах осуществления Узлы А, В и С выполнены с возможностью геотентифицировать самих себя посредством того, что каждый принимает по меньшей мере один сигнал, переданный по меньшей мере от одного источника передачи. В некоторых вариантах осуществления по меньшей мере один источник передачи является спутником LEO (например, спутником Иридиум).
По меньшей мере в одном варианте осуществления пакет данных маршрутизируется через сетевые узлы посредством использования способа туннелирования. Способ туннелирования позволяет защищенному средству передать пакет данных через сетевые узлы, для которых нет подтверждения о том, что они являются достоверными сетевыми узлами и/или задействованными сетевыми узлами. Например, если задействованный сетевой Узел В функционирует неправильно, то может потребоваться отправить пакет данных из сетевого узла-источника (Узла А) в сетевой узел-адресат (Узел С) через Узел В, Узел G и Узел Н (то есть по пути A-B-F-H-C). Таким образом, когда пакет данных достигнет Узла В, Узел В зашифрует пакет данных. Это позволяет данным в пакете данных оставаться защищенными, когда пакет данных проходит через Узлы F и Н, для которых нет подтверждения о том, что они являются достоверными сетевыми узлами и/или задействованными сетевыми узлами. Как только пакет данных прибыл в Узел С, который является задействованным сетевым узлом, Узел С дешифрует данные в пакете данных. По меньшей мере в одном варианте осуществления указатель туннелирования добавляется к части с заголовком (то есть части с данными маршрутизации и/или части с защитной подписью) пакета данных для указания того, что пакет данных маршрутизировался с использованием способа туннелирования для того, чтобы защищенным образом маршрутизировать пакет данных к сетевому узлу-адресату.
На Фиг. 1E изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, которая использует снабжение геометками и использует 8-битовое поле Следующий Заголовок (Next Header) заголовка пакета IPv6. Как предварительно указанно выше, информация о географическом местоположении для сетевого(ых) узла(ов) может быть включена в состав существующей структуры заголовка пакета данных IPv6 и в частности может быть включена в состав 8-битового поля Следующий Заголовок заголовка пакета данных. Поле Следующий Заголовок задает тип Следующего Заголовка и обычно задает высокоуровневый протокол транспортного уровня, используемый полезной нагрузкой пакета данных. Следует отметить, что в некоторых вариантах осуществления геометки могут быть включены в состав других полей существующей структуры заголовка пакета данных IPv6, отличающихся от поля Следующий Заголовок. В дополнение следует отметить, что в одном или более вариантах осуществления, раскрытые система и способ могут использовать другие разнообразные типы и/или структуры заголовков пакетов данных, отличающиеся от заголовка пакета данных IPv6 для пакета данных.
На Фиг. 1F изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, в которой пакет данных должен маршрутизироваться только через сетевые узлы, которые расположены внутри заданной географической области. В одном или более вариантах осуществления раскрытой системы задействованный сетевой узел выполнен с возможностью передачи только пакетов данных, которые задействованный сетевой узел принимает напрямую от проверенного (или аутентифицированного) сетевого узла. В некоторых вариантах осуществления задействованный сетевой узел выполнен с возможностью передачи (или пропускания) только пакетов данных, которые предварительно прошли только через проверенные сетевые узлы. По меньшей мере в одном варианте осуществления задействованный сетевой узел выполнен с возможностью определения того, какие из сетевых узлов являются соседними с ним сетевыми узлами. В одном или более вариантах осуществления задействованный сетевой узел выполнен с возможностью определения того, какие из сетевых узлов в сети являются задействованными сетевыми узлами.
В одном примере, как изображено на Фиг. 1F, задействованные сетевые узлы (то есть маршрутизаторы) используются для отправки пакета данных от одного пользователя раскрытой системы второму пользователю. В данном примере пользователь, соотнесенный с узлом-источником (Узлом А), является основным лечащим врачом в штате Оклахома, пациент которого попросил его отправить результаты анализов специалисту, который соотнесен с узлом-адресатом (Узлом Е), чтобы оказать помощь в получении надлежащего диагноза для пациента. С целью более полного представления данного сценария в данном случае предполагается, что данные пациента не могут покидать штат Оклахомы в соответствие с законами о медицинской документации. На Фиг. 1F изображено несколько различных потенциальных путей между сетевыми узлами (то есть Узлом А, Узлом В, Узлом С, Узлом D и Узлом Е), которые предусматривают сценарии многоадресной маршрутизации пакета данных. Поскольку оба узла, Узел А (то есть сетевой узел-источник) и Узел Е (то есть, сетевой узел-адресат), расположены внутри штата Оклахома, то, когда пакет данных маршрутизируется через какой-либо сетевой узел (то есть маршрутизатор), который расположен за пределами штата Оклахома, нарушаются законы о медицинской документации. По меньшей мере в одном варианте осуществления пакет данных, содержащий результаты анализов пациента, отправленные от основного лечащего врача тому специалисту, отклоняется, потому что при приеме пакета данных в Узле Е, местное задействованное аппаратное обеспечение в Узле Е провело ревизию маршрутизируемого пути пакета данных и идентифицировало, что пакет данных маршрутизировался через сетевой узел (Узел С), который расположен за границами штата Оклахома (то есть пакет данных был маршрутизирован через Узел С). По меньшей мере в одном варианте осуществления, когда местное задействованное аппаратное обеспечение определило, что пакет данных маршрутизировался через сетевой узел, расположенный за границами штата, пакет данных был возвращен отправителю. В другом связанном варианте осуществления, когда местное задействованное аппаратное обеспечение определило, что пакет данных был маршрутизирован через сетевой узел, расположенный за границами штата, пакет данных был удален, и исходная сторона в Узле А приняла уведомление об удалении пакета данных и объяснение причины удаления. В другом варианте осуществления, когда результаты ревизии местным задействованным аппаратным обеспечением показали, что пакет данных маршрутизировался только через сетевые узлы (то есть маршрутизаторы), которые расположены внутри границ штата, тот пакет данных оказался приемлемым.
На Фиг. 1G изображен вариант осуществления раскрытой системы для определения географического местоположения сетевых узлов в средах с затуханием для применений киберзащиты и защиты сети, в которой два сетевых узла (Узел А и Узел В) выполнены с возможностью приема сигналов передачи по меньшей мере от одного спутника 198, 199 LEO. На данной фигуре изображены три сетевых узла (Узел А, Узел В и Узел С). Узел А и Узел В являются сетевыми узлами с поддержкой геометок (то есть они выполнены с возможностью снабжения пакета данных геометками в виде информации о географическом местоположении, относящейся к ним самим, но без возможности проверки (или аутентификации) каких-либо сетевых узлов в восходящем направлении и, как таковые, в данном примере, не имеют основной возможности обработки). В одном варианте осуществления Узел А и Узел В выполнены с возможностью приема сигналов передачи от спутников 198, 199 LEO, которые содержат информацию, которая может использоваться для их собственного географического местоположения.
Когда пакет данных перемещается через Узел А, он снабжается геометкой в виде по меньшей мере части дискретных спутниковых данных, которые Узел А принимает от спутника 198. И, когда пакет данных продолжает перемещаться через Узел В, он также снабжается геометкой в виде по меньшей мере части дискретных спутниковых данных, которые Узел В принимает от спутника 199. Затем пакет данных продолжает проходить по своему пути к узлу-адресату (Узлу С). Узел С является задействованным узлом и, таким образом, имеет дополнительные возможности обработки так, что он способен обрабатывать дискретные спутниковые данные, полученные Узлом А и Узлом В. После анализа дискретных спутниковых данных задействованный сетевой Узел С проверяет достоверность того, что пакет данных действительно прошел через Узел А и Узел В, и проверяет (или аутентифицирует) Узел А и Узел В. В одном варианте осуществления Узел С, после проверки достоверности Узла А и Узла В на пути в восходящем направлении, удаляет необработанные добавленные данные в пакете данных и присоединяет измененную или усовершенствованную геометку к пакету данных, что в результате приводит к сокращению размера пакета данных и/или к основанию рассматривать пакет данных более защищенным.
На Фиг. 2 изображено, как местоположение трех сетевых узлов 210, 220, 230 проверяется посредством системы основанной на передаче аутентификации и посредством использования информации для измерения дальности. На данной фигуре сетевые узлы 210, 220 являются сетевыми узлами-маршрутизаторами, которые находятся в проверенных местоположениях. Местоположения этих сетевых узлов 210, 220 проверяются посредством использования системы 200 основанной на передаче аутентификации, которая использует спутники 240 для передачи по меньшей мере одного аутентификационного сигнала. В описании к Фиг. 3, 4, 5 и 6 подробно описывается то, как функционирует система 200 основанной на передаче аутентификации. На данной фигуре местоположение сетевого узла 230 не проверяется системой 200, основанной на передаче аутентификации, потому что сетевой узел 230 не имеет доступа к спутнику 240. Однако местоположение сетевого узла 230 может быть проверено посредством использования информации для измерения дальности через использование круговых временных задержек (то есть, задержек на основе пинг-запросов (ping)), которые получаются посредством передачи сигналов в сетевые узлы 210, 220, которые находятся в проверенных местоположениях, и от них.
Процесс получения информация для измерения дальности для данного примера заключается в следующем. Сначала сетевой узел 230 передает сигнал (R31) сетевому узлу 210 в момент времени t1a. Сетевой узел 210 принимает сигнал (R31) в момент времени t3a и передает возвратный сигнал (R13) сетевому узлу 230 в момент времени t3b. Сетевой узел 230 принимает возвратный сигнал (R13) в момент времени t1b. Задержка между приемом сигнала (R31) и возвратом сигнала (R13) в сетевом узле 210 (то есть t3b - t3a) известна. Как таковая, круговая задержка (при умножении на скорость света и делении на 2) дает дальность между сетевым узлом 210 и сетевым узлом 230. Затем данная информация о дальности может использоваться для проверки местоположения сетевого узла 230. Подобное вычисление используется для вычисления дальности между сетевым узлом 230 и сетевым узлом 220. Система уравнений для дальности в сети является следующей:
R13=с[(t3a-t1a)+(t1b-t3b)]/2
R23=с[(t3a-t2a)+(t2b-t3b)]/2,
где t равно времени, а с равно скорости света.
На Фиг. 3 изображен вариант осуществления системы 300, основанной на передаче аутентификации, использующей спутник 310, который передает перекрывающиеся узконаправленные лучи 340, содержащие аутентификационный луч 320, который может также упоминаться в качестве «нуль-луча», наряду с одним или более защитными лучами 330. Истинный сетевой узел 360 изображен расположенным внутри аутентификационного луча 320. Обманчивый сетевой узел 350 пытается симулировать местоположение истинного сетевого узла 360.
В каждом местоположении внутри защитных лучей 330 и нуль-луча 320 происходит прием уникальных аутентификационных сигналов из каждого луча 340 во времени. Местоположения внутри области, в которой лучи 340 перекрываются, принимают составные аутентификационные сигналы. Обманчивый сетевой узел 350 не расположен в местоположении истинного сетевого узла 360, и таким образом обманчивый сетевой узел 350 не будет принимать конкретный аутентификационный сигнал 320, который истинный сетевой узел 360 должен принять вследствие своего местоположения. Пока сетевой узел не окажется в своем истинном местоположении, данный сетевой узел не будет принимать правильный аутентификационный сигнал, и, как таковое, аутентифицирующее устройство не сможет проверить местоположение данного сетевого узла.
В одном или более вариантах осуществления данные, передаваемые в узконаправленных лучах 340, могут включать в себя аутентификационный ключ и/или другой сегмент псевдослучайного кода, который может использоваться для различения данных в одном из лучей от данных в других лучах. Раскрытые системы и способы могут использовать другие характеристики луча различения и/или характеристики данных для различения данных среди лучей 340. По меньшей мере в одном варианте осуществления защитные лучи 330 могут передаваться на более высокой мощности, чем передается нуль-луч 320. Это приведет к экранированию аутентификационного сигнала нуль-луча 320 сигналами из защитных лучей 330.
На Фиг. 4A-4F изображены варианты осуществления, в которых сигнал, принимаемый одним или более сетевыми узлами из множества перекрывающихся узконаправленных лучей, используется для аутентификации местоположения и идентификатора одного или более сетевых узлов. Основная идея состоит в том, что в зависимости от расположения сетевых узлов внутри диаграммы направленности перекрывающихся узконаправленных лучей каждый сетевой узел будет принимать различный составной сигнал из объединения сигналов, передаваемых из множества узконаправленных лучей. В частности на Фиг. 4А изображена раскрытая система основанной на передаче аутентификации, имеющая, например, четыре сетевых узла (т.е., А, В, С и D), расположенных в различных положениях внутри и около трех перекрывающихся узконаправленных лучей (т.е., Луче 1, Луче 2 и Луче 3). Как таковая, данная фигура изображает перекрывающиеся узконаправленные лучи, освещающие местоположения сетевых узлов А, В и С. Только местоположение сетевого узла D изображено вне диаграммы направленности лучей.
На Фиг. 4В изображен график 400, на котором показаны примерные сигналы (1, 2, и 3), которые передаются посредством трех узконаправленных лучей с Фиг. 3А. В частности на данной фигуре изображен примерный набор сигналов, которые передаются каждым узконаправленным лучом (Лучом 1, Лучом 2 и Лучом 3) и используются для проверки местоположения сетевых узлов. Три кривые (обозначенные порядковыми номерами 1, 2 и 3 на графике 400) изображают битовую последовательность во времени для передаваемых сигналов из каждого узконаправленного луча. Эти три битовые последовательности используются только для демонстрации упомянутой идеи. Фактически также может использоваться много других типов сигналов и форм модуляции. Конфигурация сигнала также может периодически изменяться для обеспечения дополнительной защиту от обманчивых сетевых узлов и/или пользователей и обеспечения уникального времени в момент, когда мобильный сетевой узел находится в конкретном местоположении. Кроме того, эти сигналы, которые используются для аутентификации сетевого узла, могут отправляться отдельно от обычного сигнала в краткие периоды в течение обычной передачи или, альтернативно, могут быть введены вовнутрь обычного сигнала.
На Фиг. 4С изображен массив 410 уровней сигнала трех узконаправленных лучей (Луча 1, Луча 2 и Луча 3) в местоположениях четырех сетевых узлов (А, В, С и D) с Фиг. 4А. В частности массив 410 принятых сигнальных лучей (sbr) показывает уровень сигнала, принятый каждым сетевым узлом (А, В, С и D) в столбцах массива 410 из принятого сигнального луча (Луча 1, Луча 2 и Луча 3) в строках массива 410. Например, сетевой узел в местоположении В принимает большую часть сигнала из Луча 2, который имеет уровень сигнала в 11 по сравнению с уровнями сигналов в 2 и 1,5 из Лучей 1 и 3, соответственно. Характеристики и/или свойства принятого сетевым узлом сигнала могут быть подписью, которая используется для проверки достоверности местоположения сетевого узла.
На Фиг. 4D изображен массив 420 битов для этих трех узконаправленных лучей (Луча 1, Луча 2 и Луча 3) с Фиг. 4А. На данной фигуре в битовом массиве 420 изображена сигнальная последовательность, передаваемая посредством каждого луча (Луча 1, Луча 2 и Луча 3), в трех строках массива в зависимости от времени, которое представлено шестнадцатью (16) столбцами массива 420. В данном случае, для изображения идеи, передаваемые сигналы являются двоичными. Однако в альтернативных вариантах осуществления могут использоваться другие конфигурации сигналов.
На Фиг. 4Е изображен массив 430 результирующих сигнальных последовательностей, которые принимаются четырьмя сетевыми узлами (А, В, С и D) с Фиг. 4А. На данной фигуре изображена результирующая последовательность составных сигналов, принимаемых сетевыми узлами в местоположениях А, В, С и D из множества перекрывающихся лучей. Результирующий сигнал (rx)=g×(sbrT)×(биты), где g равно коэффициенту усиления приемника каждого сетевого узла. В данном примере коэффициент усиления (g) выбирается равным 0.7 (то есть, g=0,7). Шестнадцать (16) строк принятого массива (rxT) 430 представляют временные отсчеты, а четыре (4) столбца соответствуют различным местоположениям (А, В, С и D) сетевых узлов. Следует отметить, что в данном примере сетевой узел в местоположении D не принимает какого-либо сигнала, так как данное местоположение находится за пределами диаграммы направленности луча.
На Фиг. 4F изображен график 440, в котором показаны результирующие сигналы, которые принимаются четырьмя сетевыми узлами (А, В, С и D) с Фиг. 4А. Четыре кривые (обозначенные буквами А, В, С и D) изображают временную последовательность результирующих сигналов, которые принимаются сетевыми узлами в местоположениях А, В, С и D. Четыре результирующих составных сигнала обеспечивают уникальную идентификацию местоположений сетевых узлов для четырех сетевых узлов (А, В, С и D), соответственно.
На Фиг. 5 изображен вариант осуществления системы 500 основанной на передаче аутентификации, использующей передачу защитных лучей в качестве части вторичной задачи. В данном варианте осуществления по меньшей мере один защитный луч используется для передачи истинных данных в качестве части вторичной задачи для спутника 510. Например, защитный луч может использоваться для широковещательной передачи информации об области, такой как разностные коррекции сети GPS, которые действительны в контуре диаграммы защитного луча. Однако следует отметить, что для более повышенной защиты этот вариант осуществления не является предпочтительным, потому что более вероятно, что подделыватель (спуфер) сможет определить такую информацию об области в отличие от более случайного сигнала. В качестве другого примера защитный луч может использоваться для передачи данных, которые относятся к основной задаче (то есть, аутентификационному сигналу) и/или относятся к вторичной задаче.
Как показано на Фиг. 5, аутентификационные сигналы могут передаваться в пачках. Аутентификационные сигналы могут произвольным образом отправляться в пачках, в нуль-луче или в чередующихся лучах (включающих в себя нуль-луч и защитные лучи) так, чтобы временная привязка аутентификационных сигналов указывала местоположение сетевого узла. Фактически, если сетевой узел принимает множество пачек, то сетевой узел расположен внутри нуль-луча или внутри области перекрывания луча.
В альтернативных вариантах осуществления аутентификационные сигналы могут быть введены в обычную передачу данных для того, чтобы минимизировать их воздействие на ширину полосы пропускания и/или мощность передачи спутника. Аутентификационные сигналы могут быть введены в передачу данных различными способами (например, через время, частоту, сдвиги поляризации и т.д.), которые не влияют на обычный прием, но являются обнаруживаемыми через специальную обработку.
В одном или более вариантах осуществления, аутентификационные сигналы могут быть введены в обычную передачу данных посредством изменения мощности широковещательной передачи на побитовой основе. Для этих вариантов осуществления модуляция битов защитного луча изменяет мощность широковещательной передачи передаваемых битов на побитовой основе.
Это препятствует совершению подделывателем попытки выявления битов в их местном защитном луче и обработки данных для их удаления.
Например, подделыватель проводит серию измерений (m):
95 105 105 -105 105 -105 95 -105 -95 -95
Подделыватель может предположить, что защитный сигнал (g) был функцией sign(m) (знак(m)):
1 1 1 -1 1 -1 1 -1 -1 -1
В то время как сигнал, к которому подделыватель пытается осуществить доступ, является функцией sign(m-sign(m)*100):
-1 1 1 -1 1 -1 -1 -1 1 1
Если вместо сигнала с фиксированной мощностью, мощность широковещательной передачи защитного луча модулировалась так, чтобы ее составляющая принятого сигнала была бы:
107 97 91 -93 99 -91 93 -107 -107 -101
То, сигнал, который принял бы подделыватель, был бы:
102 102 96 -98 104 -96 88 -112 -102 -96
Подделывателю будет намного труднее пытаться вычислить аутентификационный сигнал из того набора измерений.
Кроме того, следует отметить, что расширение той же самой идеи должно добавить малый случайный сигнал квадратурной фазовой манипуляции (QPSK) к сигналу в защитной полосе частот. Для данного случая защитный сигнал может по-прежнему использоваться для передачи полезной информации.
На Фиг. 6 изображена система 600 основанной на передаче аутентификации, использующей передачу несовпадающих по фазе защитных лучей с двоичной фазовой манипуляцией (BPSK). В частности на данной фигуре защитные лучи передают аутентификационный сигнал с использованием несовпадающих по фазе сигналов BPSK между смежными перекрывающимися лучами. Тогда сигнал в области перекрытия будет сигналом QPSK. Тогда уникальное местоположение сетевого узла внутри луча может быть определено посредством анализа фазирования сигнала и типа сигнала, который принимает сетевой узел.
В альтернативных вариантах осуществления источник вторичного сигнала может использоваться для обеспечения дополнительных экранирующих передач. Например, второй спутник может широковещательно передавать защитные лучи для внешних лучей первого спутника.
На Фиг. 7 изображен вариант осуществления раскрытой системы 700, имеющей сетевой узел 710, который выполнен с возможностью функционирования в среде с поглощением или преднамеренными помехами. В частности на Фиг. 7 изображен сетевой узел 710, принимающий RF-сигналы 709, 705, 707 от двух спутников 706, 704 и вышки 708 сотовой связи. В одном примере RF-сигналы 709, 705, 707 преобразовываются с понижением частоты, дискретизируются, в качестве дополнительной возможности шифруются и добавляются к пакетам данных с повышенной защитой, которые маршрутизируются через сетевой узел 710. В другом примере данные извлекаются из RF-сигналов 709, 705, 707. Извлеченные данные в качестве дополнительной возможности шифруются и добавляются к пакетам данных с повышенной защитой, которые маршрутизируются через сетевой узел 710. Примеры различных типов источников RF-сигналов, которые могут использоваться раскрытой системой, включают в себя, но не ограничиваются этим, спутники LEO (например, спутники Иридиум), спутники GPS (например, передающие сигналы GNSS) и вышки сотовой связи.
Несмотря на то, что в данном документе раскрыты некоторые иллюстративные варианты осуществления и способы, специалистам в уровне техники может быть очевидным из вышеизложенного раскрытия, что с такими вариантами осуществления и способами могут производиться изменения и модификации без отступления от сущности и объема раскрытого вклада в уровень техники. Существует много других примеров раскрытого вклада в уровень техники, причем каждый из них отличается от других лишь в подробностях осуществления. Соответственно подразумевается, что раскрытый вклад в уровень техники должен ограничиваться лишь объемом в соответствии с прилагаемой формулой изобретения и правилами и принципами действующего законодательства.
1. Система для защиты маршрутизации данных, содержащая:
сетевой узел-источник,
сетевой узел-адресат и
по меньшей мере один сетевой узел-маршрутизатор, при этом
по меньшей мере один узел из сетевого узла-источника, сетевого узла-адресата и по меньшей мере одного сетевого узла-маршрутизатора является задействованным сетевым узлом;
сетевой узел-источник и сетевой узел-адресат соединены друг с другом через указанный по меньшей мере один сетевой узел-маршрутизатор,
сетевой узел-источник выполнен с возможностью передачи пакета данных в нисходящем направлении к сетевому узлу-адресату через указанный по меньшей мере один сетевой узел-маршрутизатор,
пакет данных содержит часть с заголовком и часть с данными полезной нагрузки,
причем часть с заголовком содержит часть с защитной подписью и часть с данными маршрутизации, а
часть с защитной подписью содержит информацию о географическом местоположении, относящуюся по меньшей мере к одному из указанных сетевых узлов, через которые прошел пакет данных, и
указанный по меньшей мере один задействованный сетевой узел выполнен с возможностью проверки по меньшей мере одного из сетевых узлов, которые расположены в восходящем направлении по меньшей мере от одного задействованного сетевого узла, посредством анализа по меньшей мере одной части из части с заголовком и части с данными полезной нагрузки пакета данных.
2. Система по п. 1, в которой информация о географическом местоположении, относящаяся к указанному по меньшей мере одному сетевому узлу, через который прошел пакет данных, получена посредством приема результирующего сигнала, который передан по меньшей мере от одного источника передачи,
причем результирующий сигнал содержит по меньшей мере один аутентификационный сигнал, и
местоположение указанного по меньшей мере одного сетевого узла, через который прошел пакет данных, проверено посредством сравнения свойств результирующего сигнала, который принимает указанный по меньшей мере один сетевой узел, через который прошел пакет данных, с ожидаемыми свойствами результирующего сигнала, который должен принять указанный по меньшей мере один сетевой узел, через который прошел пакет данных, вследствие своего местоположения.
3. Система по п. 2, в которой указанный по меньшей мере один источник передачи является по меньшей мере одним из спутника, псевдоспутника и наземного источника передачи.
4. Система по п. 3, в которой спутник является одним из спутника на низкой околоземной орбите (LEO), спутника на средней околоземной орбите (МЕО) и спутника на геостационарной околоземной орбите (GEO).
5. Система по п. 1, в которой информация о географическом местоположении, относящаяся к указанному по меньшей мере одному сетевому узлу, через который прошел пакет данных, определена из информации для измерения дальности, полученной посредством сигнала, переданного указанным по меньшей мере одним сетевым узлом, через который прошли данные, другому сетевому узлу в проверенном местоположении, и посредством сигнала, принятого указанным по меньшей мере одним сетевым узлом, через который прошли данные, от указанного сетевого узла в проверенном местоположении.
6. Система по п. 1, в которой в части с заголовком пакета данных использован заголовок пакета данных Интернет Протокола версии 6 (IPv6).
7. Система по п. 6, в которой информация о географическом местоположении хранится внутри заголовка пакета данных IPv6.
8. Система по п. 1, в которой, когда указанный по меньшей мере один задействованный сетевой узел проверяет любой из указанных сетевых узлов, указанный по меньшей мере один задействованный сетевой узел удаляет по меньшей мере часть данных, содержащихся в части с заголовком пакета данных.
9. Система по п. 1, в которой часть с заголовком пакета данных содержит данные, относящиеся ко всем сетевым узлам, через которые прошел пакет данных.
10. Система по п. 1, в которой, когда указанный по меньшей мере один задействованный сетевой узел проверяет по меньшей мере один из указанных сетевых узлов, указанный по меньшей мере один задействованный сетевой узел добавляет данные к части с заголовком пакета данных относительно указанного по меньшей мере одного из указанных сетевых узлов, который был проверен.
11. Система по п. 10, в которой добавленные данные к части с заголовком относятся к информации о географическом местоположении, относящейся к указанному по меньшей мере одному из указанных сетевых узлов, который был проверен.
12. Система по п. 1, в которой по меньшей мере один из указанного по меньшей мере одного задействованного сетевого узла выполнен с возможностью передачи только пакетов данных, которые указанный по меньшей мере один задействованный сетевой узел принимает напрямую от любого из проверенных сетевых узлов.
13. Система по п. 1, в которой по меньшей мере один из указанного по меньшей мере одного задействованного сетевого узла выполнен с возможностью передачи только пакетов данных, которые прошли только через проверенные сетевые узлы.
14. Система по п. 1, в которой по меньшей мере один из указанного по меньшей мере одного задействованного сетевого узла выполнен с возможностью определения того, какие из указанных сетевых узлов являются сетевыми узлами с поддержкой геометок.
15. Система по п. 1, в которой по меньшей мере один из указанного по меньшей мере одного задействованного сетевого узла выполнен с возможностью определения того, какие из указанных сетевых узлов являются задействованными сетевыми узлами.
16. Система по п. 1, в которой по меньшей мере один из указанного по меньшей мере одного задействованного сетевого узла дополнительно выполнен с возможностью использования принятых сигналов, которые переданы по меньшей мере от одного источника передачи, для проверки по меньшей мере одного из сетевых узлов, которые расположены в восходящем направлении от указанного по меньшей мере одного задействованного сетевого узла.
17. Система по п. 1, в которой пакет данных передан от сетевого узла-источника в нисходящем направлении к сетевому узлу-адресату только через задействованные сетевые узлы.
18. Способ защиты маршрутизации данных, содержащий этапы, на которых:
передают пакет данных из сетевого узла-источника в нисходящем направлении в сетевой узел-адресат через по меньшей мере один сетевой узел-маршрутизатор,
причем пакет данных содержит часть с заголовком и часть с данными полезной нагрузки,
при этом часть с заголовком содержит часть с защитной подписью и часть с данными маршрутизации, а
часть с защитной подписью содержит информацию о географическом местоположении, относящуюся по меньшей мере к одному из сетевых узлов, через которые прошел пакет данных; и
проверяют посредством по меньшей мере одного задействованного сетевого узла по меньшей мере один из указанных сетевых узлов, расположенных в восходящем направлении от указанного по меньшей мере одного задействованного сетевого узла, посредством анализа по меньшей мере одной из части с заголовком и части с данными полезной нагрузки пакета данных,
при этом указанный по меньшей мере один задействованный сетевой узел является по меньшей мере одним узлом из указанного сетевого узла-источника, указанного сетевого узла-адресата и указанного по меньшей мере одного сетевого узла-маршрутизатора.
19. Способ по п. 18, в котором информацию о географическом местоположении, относящуюся к указанному по меньшей мере одному сетевому узлу, через который прошел пакет данных, получают посредством приема результирующего сигнала, который передан по меньшей мере от одного источника передачи,
причем результирующий сигнал содержит по меньшей мере один аутентификационный сигнал, и
при этом местоположение указанного по меньшей мере одного сетевого узла, через который прошел пакет данных, проверяют посредством сравнения свойств результирующего сигнала, который принимает указанный по меньшей мере один сетевой узел, через который прошел пакет данных, с ожидаемыми свойствами результирующего сигнала, который должен принять указанный по меньшей мере один сетевой узел, через который прошел пакет данных, вследствие своего местоположения.
20. Способ по п. 19, в котором указанный по меньшей мере один источник передачи является по меньшей мере одним из спутника, псевдоспутника и наземного источника передачи.
21. Способ по п. 20, в котором спутник является одним из спутника на низкой околоземной орбите (LEO), спутника на средней околоземной орбите (МЕО) и спутника на геостационарной околоземной орбите (GEO).
22. Способ по п. 18, в котором информацию о географическом местоположении, относящуюся к указанному по меньшей мере одному сетевому узлу, через который прошел пакет данных, определяют из информации для измерения дальности, полученной посредством сигнала, переданного указанным по меньшей мере одним сетевым узлом, через который прошли данные, другому сетевому узлу в проверенном местоположении, и посредством сигнала, принятого указанным по меньшей мере одним сетевым узлом, через который прошли данные, от сетевого узла в проверенном местоположении.
23. Способ по п. 18, в котором в части с заголовком пакета данных использован заголовок пакета данных Интернет Протокола версии 6 (IPv6).
24. Способ по п. 22, в котором информация о географическом местоположении хранится внутри заголовка пакета данных IPv6.
25. Способ по п. 18, в котором, когда указанный по меньшей мере один задействованный сетевой узел проверяет любой из указанных сетевых узлов, то указанный по меньшей мере один задействованный сетевой узел удаляет по меньшей мере часть данных, содержащихся в части с заголовком пакета данных.
26. Способ по п. 18, в котором часть с заголовком пакета данных содержит данные, относящиеся ко всем сетевым узлам, через которые прошел пакет данных.
27. Способ по п. 18, в котором, когда указанный по меньшей мере один задействованный сетевой узел проверяет по меньшей мере один из указанных сетевых узлов, то указанный по меньшей мере один задействованный сетевой узел добавляет данные к части с заголовком пакета данных относительно указанного по меньшей мере одного из указанных сетевых узлов, который был проверен.
28. Способ по п. 26, в котором добавленные к части с заголовком данные относительно информации о географическом местоположении относятся к указанному по меньшей мере одному из указанных сетевых узлов, который был проверен.
29. Способ по п. 18, в котором по меньшей мере один узел из указанного по меньшей мере одного задействованного сетевого узла выполнен с возможностью передачи только пакетов данных, которые указанный по меньшей мере один задействованный сетевой узел принимает напрямую от любого из проверенных сетевых узлов.
30. Способ по п. 18, в котором по меньшей мере один узел из указанного по меньшей мере одного задействованного сетевого узла выполнен с возможностью передачи только пакетов данных, которые прошли только через проверенные сетевые узлы.
31. Способ по п. 18, в котором по меньшей мере один узел из указанного по меньшей мере одного задействованного сетевого узла выполнен с возможностью определения, какие из указанных сетевых узлов являются сетевыми узлами с поддержкой геометок.
32. Способ по п. 18, в котором по меньшей мере один узел из указанного по меньшей мере одного задействованного сетевого узла выполнен с возможностью определения того, какие из указанных сетевых узлов являются задействованными сетевыми узлами.
33. Способ по п. 18, в котором по меньшей мере один из указанного по меньшей мере одного задействованного сетевого узла дополнительно использует принятые сигналы, которые переданы по меньшей мере от одного источника передачи, для проверки по меньшей мере одного из указанных сетевых узлов, которые расположены в восходящем направлении от указанного по меньшей мере одного задействованного сетевого узла.
34. Способ по п. 18, в котором пакет данных передают от сетевого узла-источника в нисходящем направлении к сетевому узлу-адресату только через задействованные сетевые узлы.
