專利名稱:衛(wèi)星接收機(jī)基于點(diǎn)波束的認(rèn)證的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電子通信和網(wǎng)絡(luò)安全���,更具體地,涉及可以在基于衛(wèi)星的系統(tǒng)用以減少系統(tǒng)漏洞的認(rèn)證技術(shù)�。
背景技術(shù):
隨著電子通信和包括網(wǎng)絡(luò)在內(nèi)的數(shù)據(jù)傳輸系統(tǒng)變得更加根深蒂固地融入社會(huì),電子安全與網(wǎng)絡(luò)安全仍然是一項(xiàng)重要的基礎(chǔ)設(shè)施元素��。這樣的系統(tǒng)通過萬維網(wǎng)和其漏洞會(huì)威脅我們國家的基礎(chǔ)設(shè)施的其他網(wǎng)絡(luò)被用于大量的數(shù)據(jù)處理和一般過程。國內(nèi)外滲透����、妥協(xié)和/或禁用基礎(chǔ)設(shè)施元素的力度在增加,因此為了保護(hù)這些系統(tǒng)免于這些日益增長的威脅���,需要加強(qiáng)計(jì)算安全��。未授權(quán)方對這些系統(tǒng)的訪問��,可能會(huì)帶來不同程度的社會(huì)影響�,并且���,盡管任何給定的攻擊似乎本質(zhì)上不太重要�����,但它可能是未來更有侵略性攻擊的前身�����。全球電子系統(tǒng)將迎來急劇增加的網(wǎng)絡(luò)攻擊�。網(wǎng)絡(luò)攻擊往往源于網(wǎng)絡(luò)漏洞�,并通過冒充合法終端用戶來進(jìn)行��。
缺乏檢測未經(jīng)授權(quán)的用戶或被破解的電子系統(tǒng)的現(xiàn)有方法���,因?yàn)榧词拱l(fā)現(xiàn)了攻擊,罪魁禍?zhǔn)姿玫姆椒ㄒ部呻[藏未經(jīng)授權(quán)的訪問起源于哪里����。這個(gè)問題造成了另外的問題,因?yàn)槿绻舯徽J(rèn)為是起源于�,例如,一個(gè)外國國家�,那么無法驗(yàn)證未經(jīng)授權(quán)的用戶的周邊就意味著政府官員可能無法就對美國進(jìn)行這種網(wǎng)絡(luò)攻擊的外國要求賠償或施加更攻擊性的壓力。
現(xiàn)有的身份驗(yàn)證方法�����,在一般情況下�,是非動(dòng)態(tài)的��,如密碼��,個(gè)人識別碼等��,它們讓系統(tǒng)更易受到攔截和其他暴力破解方法的攻擊��。
因此,用來限制未經(jīng)授權(quán)的用戶訪問的額外技術(shù)以及認(rèn)證試圖訪問電子通信和網(wǎng)絡(luò)的一方或更多方的技術(shù)能夠加強(qiáng)現(xiàn)有的這些系統(tǒng)的安全性�。
詳細(xì)的說明參考附圖來描述。
圖1是根據(jù)本發(fā)明實(shí)施例的基于衛(wèi)星的通信系統(tǒng)的示意圖���。
圖2A���、2B和2C是根 據(jù)本發(fā)明實(shí)施例的基于衛(wèi)星的認(rèn)證系統(tǒng)的示意圖。
圖3A是根據(jù)本發(fā)明實(shí)施例的計(jì)算裝置的示意圖�����,它可適用于實(shí)現(xiàn)基于衛(wèi)星的認(rèn)證系統(tǒng)�����。
圖3B是本發(fā)明實(shí)施例的基于衛(wèi)星的通信系統(tǒng)的示意圖�。
圖4是一個(gè)流程圖,示出了根據(jù)實(shí)施例認(rèn)證申請者的方法中的操作�。發(fā)明內(nèi)容
本文所描述的是用于基于點(diǎn)波束認(rèn)證的一種設(shè)備、系統(tǒng)和方法����。在一個(gè)或更多個(gè)實(shí)施例中,認(rèn)證申請者的方法包括衛(wèi)星通過點(diǎn)波束發(fā)送獨(dú)特的波束數(shù)據(jù),申請者從從所述衛(wèi)星傳輸捕獲所述數(shù)據(jù)�����,申請者發(fā)送所述數(shù)據(jù)到可包括數(shù)據(jù)傳輸?shù)恼{(diào)解方式的應(yīng)用的校驗(yàn)者��,然后當(dāng)所要求的數(shù)據(jù)與已知有效數(shù)據(jù)集之間的差異在一個(gè)定義的閾值內(nèi)時(shí)�,校驗(yàn)者認(rèn)證該申請者。在一個(gè)或更多個(gè)實(shí)施例中��,申請者一旦經(jīng)由這種“單向”認(rèn)證方法被認(rèn)證則會(huì)被提供對系統(tǒng)或資源的訪問��。在一個(gè)或更多個(gè)實(shí)施例中�����,第三方校驗(yàn)者可以完成對主機(jī)網(wǎng)絡(luò)的申請者的認(rèn)證����。在一個(gè)或更多個(gè)實(shí)施例中�,申請者可能會(huì)有既能接收數(shù)據(jù)又能發(fā)送數(shù)據(jù)的裝置,而在替代的實(shí)施例中�����,這兩個(gè)功能可被包含在耦合在一起的單獨(dú)的硬件中。
在一個(gè)或更多個(gè)的實(shí)施例中���,數(shù)據(jù)可能是無效的并且申請者被拒絕訪問�。在一個(gè)或更多個(gè)的實(shí)施例中��,數(shù)據(jù)可能被標(biāo)記為不確定的�,而且可能需要額外的數(shù)據(jù)來認(rèn)證申請者。在一個(gè)或更多個(gè)的實(shí)施例中����,基于指定的耐受水平,數(shù)據(jù)可能被標(biāo)記為不確定的���,或可以被提示為經(jīng)過認(rèn)證的或降級為受限制的���。在一個(gè)或更多個(gè)實(shí)施例中申請者可以傳送額外的標(biāo)識符給校驗(yàn)者用于認(rèn)證,其中標(biāo)識符可包括下列之一:衛(wèi)星識別信息����、其它申請者捕獲的數(shù)據(jù)或派生信息,其包括位置標(biāo)識符(如基于地面的坐標(biāo)等)�、時(shí)間、偽隨機(jī)代碼段(即認(rèn)證密鑰)����、申請者特有的數(shù)據(jù)(如密碼�、密鑰�、安全證書等)。此處使用的術(shù)語“活躍度”指的是這些類型的標(biāo)識符�����。在一個(gè)或更多的實(shí)施例中�,認(rèn)證密鑰可通過點(diǎn)波束傳輸并在點(diǎn)波束的幾何形狀內(nèi)作為時(shí)間的函數(shù)變化,這樣�����,可以管理來自變化的點(diǎn)波束的代碼��,從而維持由此得到的最佳相關(guān)特性���。這在本領(lǐng)域中是很好理解的�����,多相控天線陣列可以用來產(chǎn)生動(dòng)態(tài)點(diǎn)波束,因此����,在至少一個(gè)實(shí)施例中��,多相控天線陣列可用于產(chǎn)生點(diǎn)波束����。在一個(gè)或更多個(gè)實(shí)施例中�����,申請者可發(fā)送至少一個(gè)路徑點(diǎn)基準(zhǔn)給校驗(yàn)者�,其中在申請者可能是移動(dòng)的時(shí)捕獲取該路徑點(diǎn)基準(zhǔn)。在至少一個(gè)實(shí)施例中����,當(dāng)申請者至少在某一時(shí)刻靜止時(shí)路徑點(diǎn)基準(zhǔn)可被捕獲。
在至少一個(gè)實(shí)施例中�,除了單向客戶端認(rèn)證方法,多向認(rèn)證方法也被用于在電子計(jì)算裝置之間進(jìn)行互相認(rèn)證(即雙向認(rèn)證���、三向認(rèn)證等等)�����。(多于一個(gè))電子計(jì)算裝置可包括移動(dòng)電話�����、便攜式計(jì)算裝置���、計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)�、服務(wù)器或無線網(wǎng)絡(luò)節(jié)點(diǎn)等��。該方法可用于無線和/或有線網(wǎng)絡(luò)����。該方法允許裝置向其它裝置進(jìn)行自身認(rèn)證,并可允許這樣的裝置在認(rèn)證成功后確定被同意訪問信息和/或服務(wù)的程度或范圍��。服務(wù)可包括對信息的訪問�����,例如確保安全的網(wǎng)絡(luò)(如在線銀行等)��,確保安全的數(shù)據(jù)庫�、公司電子郵件和其它面向任務(wù)的服務(wù)等或其它安全資源,包括那些捆綁到有線�、無線和/或自組網(wǎng)中的資源。此外�,在這種多向認(rèn)證方法中訪問的程度 或范圍對一個(gè)或更多個(gè)裝置也可能是環(huán)境特定的����。
在至少一個(gè)實(shí)施例中����,用來認(rèn)證申請者的設(shè)備包括處理器和存儲(chǔ)器模塊����,該存儲(chǔ)器模塊包括邏輯指令,這些邏輯指令被執(zhí)行時(shí)����,配置處理器從申請者處接收由申請者提供的至少一個(gè)位置標(biāo)識符和由申請者從衛(wèi)星波束傳輸中捕獲的至少一組路徑點(diǎn)數(shù)據(jù),將所述至少一個(gè)位置標(biāo)識符和至少一組路徑點(diǎn)數(shù)據(jù)與已知的有效數(shù)據(jù)集進(jìn)行比較�,當(dāng)所述至少一個(gè)位置標(biāo)識符和所述至少一組路徑點(diǎn)數(shù)據(jù)與已知的數(shù)據(jù)集的差異在一個(gè)定義的閾值內(nèi)時(shí)認(rèn)證該申請者。
至少在一個(gè)實(shí)施例中�����,認(rèn)證申請者的系統(tǒng)包括至少一個(gè)低地球軌道衛(wèi)星����,該衛(wèi)星根據(jù)已知的點(diǎn)波束幾何形狀傳輸衛(wèi)星波束,至少一個(gè)電子裝置�����,該電子裝置包括從衛(wèi)星波束接收至少一組路徑點(diǎn)數(shù)據(jù)的接收機(jī)和確定所述電子裝置位置的位置傳感器,至少一個(gè)通信耦合到所述至少一個(gè)電子裝置的校驗(yàn)者����,該校驗(yàn)者用由所述電子裝置確定的位置、所述至少一組路徑點(diǎn)數(shù)據(jù)和已知數(shù)據(jù)集來認(rèn)證申請者����。
具體實(shí)施方式
在以下描述中,闡述了許多具體的細(xì)節(jié)以便提供各種實(shí)施例的透徹理解����。然而,應(yīng)理解本領(lǐng)域的技術(shù)人員在沒有具體細(xì)節(jié)的情況下也可實(shí)施各種實(shí)施例���。在其它情況下�����,眾所周知的方法�、程序��、組件和元素沒有詳細(xì)說明或描述�����,以免掩蓋特定的實(shí)施例。
實(shí)體或用戶認(rèn)證技術(shù)能使第三方校驗(yàn)者通過單向認(rèn)證方法為遠(yuǎn)程資源確認(rèn)用戶����、資產(chǎn)或裝置(如申請者)的身份�����。然而�����,應(yīng)該指出的是�����,這種單向的方法也可以由主機(jī)系統(tǒng)直接用來確認(rèn)申請者�。實(shí)體可能是需要追蹤的裝置(如移動(dòng)電話、計(jì)算機(jī)��、服務(wù)器之類)或資產(chǎn)����,而用戶可以是人或其它有生命的/無生命的實(shí)體��。實(shí)體和/或用戶可能在整個(gè)連接或會(huì)話的持續(xù)期間被認(rèn)證��。實(shí)體和/或用戶在原來的認(rèn)證后可能還要求重新認(rèn)證����。重新認(rèn)證要求可由主機(jī)網(wǎng)絡(luò)限定或根據(jù)具體情況決定��。另外�,該系統(tǒng)可用于每個(gè)消息要求一個(gè)單獨(dú)的認(rèn)證過程的基于消息的認(rèn)證系統(tǒng)。在此所述的技術(shù)可用于基于會(huì)話的認(rèn)證��、基于消息的認(rèn)證或它們的組合�����。
此外�,該方法可應(yīng)用于接收裝置本身,這樣單向認(rèn)證不需要由遠(yuǎn)程第三方而是由一個(gè)或更多個(gè)接收裝置來完成���。當(dāng)這種方法由單個(gè)裝置實(shí)施時(shí)��,它仍被認(rèn)為是單向的認(rèn)證方法���。然而���,這種方法也可以應(yīng)用于多向/多路認(rèn)證技術(shù),以允許至少兩個(gè)對等裝置互相認(rèn)證����。在這種單向或多向裝置對裝置的認(rèn)證方法中,認(rèn)證可能通常依賴于一個(gè)共享密鑰(對稱的和不對稱的)�����,即兩個(gè)合法接收裝置都知道密鑰���,而任何未經(jīng)授權(quán)或流氓接收裝置不知道密鑰。每個(gè)裝置可以有一個(gè)獨(dú)特的認(rèn)證憑據(jù)�����,如自身和對等裝置之間共享的密碼或安全證書的形式的公共/私有密鑰對�����。若一個(gè)裝置證明它知道共享密鑰�,讓其它對等裝置滿意,它就認(rèn)證了自身,因此該裝置是合法的����。在該多路認(rèn)證方法中,一旦至少兩個(gè)裝置之間完成認(rèn)證��,則這些裝置就向彼此證明了自己的身份����。然后這些裝置可能會(huì)創(chuàng)建它們自己的認(rèn)證網(wǎng)絡(luò),它們可選擇實(shí)施已經(jīng)商定的網(wǎng)·絡(luò)安全政策�,以在給定的環(huán)境下保護(hù)通信和對連網(wǎng)資源的訪問。
現(xiàn)有的認(rèn)證方法可能被使用或組合以生成初始安全密鑰(多于一個(gè))�。初始安全密鑰,例如�����,可利用迪菲-赫爾曼(diffie - he I Iman)技術(shù)協(xié)作生成,或可能僅僅由一個(gè)對等裝置生成并通過替代的安全通道/過程發(fā)送到另一個(gè)裝置�����。
在任何情況下�����,伴隨初始安全密鑰可包括一些共享的活躍度信息(如前面所定義的)。在這個(gè)申請中����,活躍度信息通過衛(wèi)星點(diǎn)波束提供,并可包括在認(rèn)證中作為時(shí)間戳以及偽隨機(jī)數(shù)(PRN)使用的這種參數(shù)���。
共享活躍度信息可被用于衍生物中��,其允許每次啟動(dòng)裝置向?qū)Φ妊b置認(rèn)證自身時(shí)使用不同的安全密鑰���。這防止?jié)撛诘牧髅ジ`聽者在每次啟動(dòng)裝置被認(rèn)證時(shí)發(fā)起統(tǒng)計(jì)攻擊,防止添加新攔截消息到在啟動(dòng)裝置的先前會(huì)話期間攔截的消息的分析中���?�;钴S度信息和初始安全密鑰可隨后被作為輸入傳給一個(gè)決定性函數(shù)。此處使用的術(shù)語“決定性”是指函數(shù)的輸出完全取決于輸入���。這個(gè)決定的功能可在啟動(dòng)裝置和對等裝置中分別運(yùn)行����。如果這兩個(gè)裝置運(yùn)行決定性函數(shù)時(shí)產(chǎn)生了不同的輸出���,那么從該函數(shù)導(dǎo)出的安全密鑰不匹配���,裝置不能被認(rèn)證�,因此該裝置不能被用于相互通信�。
除了決定性外,為了安全起見所述函數(shù)應(yīng)該是固有不可逆的���。知道函數(shù)的輸出��,應(yīng)該很難或不可能確定它的輸入���。哈希表形成了一類決定性的且固有不可逆的函數(shù),因此�,該類函數(shù)通常用于加密和認(rèn)證計(jì)算。與著名的的傳輸層安全(TLS)協(xié)議一起使用的偽隨機(jī)函數(shù)(PRF)是實(shí)施可用到的決定性函數(shù)的例子����。
偽隨機(jī)函數(shù)PRF將兩個(gè)著名的哈希函數(shù):信息摘要算法5 (MD5)和安全哈希算法I (SHA-1)的結(jié)果合并。偽隨機(jī)函數(shù)使用兩個(gè)哈希函數(shù)以保證安全�����,預(yù)防萬一有人確定如何逆轉(zhuǎn)兩個(gè)哈希函數(shù)之一����。這兩個(gè)哈希函數(shù)產(chǎn)生輸出��,其可能太短因而對安全來說并非最佳�。SHA-1產(chǎn)生20字節(jié)的輸出�,MD5產(chǎn)生16字節(jié)的輸出。因此����,對這兩個(gè)哈希函數(shù)中的每一個(gè),可以定義一個(gè)“數(shù)據(jù)擴(kuò)展函數(shù)”��,該函數(shù)使用哈希函數(shù)來產(chǎn)生任意長度的輸出����。對于SHA-1,數(shù)據(jù)擴(kuò)展函數(shù)可以定義為P_SHA-1:
等式1:P_SHA_1 (初始安全密鑰���,活躍度)=SHA_1(初始安全密鑰�����,A(I)+活躍度)+SHA-1 (初始安全密鑰,A (2) +活躍度)+SHA-1 (初始安全密鑰����,A (3) +活躍度)+…
此處A(O)=活躍度�;
A ⑴=SHA-1 (初始安全密鑰���,A (i_l));
并且“ + ”符號表示字符串連接��。
數(shù)據(jù)擴(kuò)展函數(shù)P_MD5的定義類似于上述P_SHA_1的定義�,其中將上述定義中出現(xiàn)的“SHA-1”替換為“MD5”�����。數(shù)據(jù)擴(kuò)展函數(shù)可被迭代必要多的次數(shù)來產(chǎn)生所需長度的輸出�����。所需的輸出長度可以被設(shè)置為一個(gè)實(shí)施選項(xiàng)�����。至少在一個(gè)實(shí)施例中���,每個(gè)哈希函數(shù)的所需的輸出長度是128字節(jié)���。P_SHA-1可能迭代到A(7)以獲得總輸出長度140字節(jié)(每次迭代增加20字節(jié)的輸出長度)���。然后該輸出可能會(huì)被截?cái)嘀?28字節(jié)。P_MD5的每次迭代產(chǎn)生16字節(jié)��,所以它迭代到A(8)就會(huì)產(chǎn)生所需的無截?cái)嗟?28字節(jié)����。
在一個(gè)針對基于點(diǎn)波束的認(rèn)證的實(shí)施例中,在已選擇哈希函數(shù)并迭代其數(shù)據(jù)擴(kuò)展函數(shù)至所需輸出長度后����,偽隨機(jī)函數(shù)將擴(kuò)展的初始安全密鑰,標(biāo)簽(一個(gè)預(yù)先確定的ASCII字符串)和交換的活躍度信息作為輸入���。偽隨機(jī)函數(shù)被定義為兩個(gè)哈希數(shù)據(jù)擴(kuò)展函數(shù)�����?_MD5和P_SHA-1輸出的逐位異或(X0R)����。
等式2:偽隨機(jī)函數(shù)(擴(kuò)展的初始安全密鑰��,標(biāo)簽�,活躍度)=P_MD5(S1,標(biāo)簽+活躍度)XOR P_SHA-1 (S2,標(biāo)簽 +活躍度)
此處�,SI是擴(kuò)展的初始安全密鑰按字節(jié)來計(jì)量的前一半,S2是擴(kuò)展的初始安全密鑰按字節(jié)來計(jì)量的第二半�。(如果擴(kuò)展的初始安全密鑰的長度是奇數(shù),那么它的中間字節(jié)既是SI的最后一個(gè)字節(jié)也是S2的第一個(gè)字節(jié))���。因?yàn)镻_MD5和P_SHA-1都被迭代以產(chǎn)生128字節(jié)的輸出�����,所以偽隨機(jī)函數(shù)的輸出也是128字節(jié)�����。
該偽隨機(jī)函數(shù)的128字節(jié)輸出被分為四個(gè)32字節(jié)的會(huì)話安全密鑰�。然后每個(gè)會(huì)話安全密鑰被截?cái)酁樗褂玫恼J(rèn)證和加密協(xié)議需要的長度�����。截?cái)嗟慕Y(jié)果是一組新的瞬時(shí)會(huì)話安全密鑰之一�����。瞬時(shí)會(huì)話安全密鑰的衍生物允許啟動(dòng)裝置和對等裝置都不直接使用初始安全密鑰和擴(kuò)展初始安全密鑰中任何一個(gè)����,以便最小化或至少減少安全密鑰信息的泄露���。瞬時(shí)會(huì)話安全密鑰的衍生物還允許啟動(dòng)裝置和對等裝置在規(guī)則的間隔或在被命令通過限制使用會(huì)話安全密鑰來防止統(tǒng)計(jì)分析時(shí)更新從擴(kuò)展的初始安全密鑰導(dǎo)出的會(huì)話安全密鑰。
每個(gè)認(rèn)證和加密瞬時(shí)會(huì)話安全密鑰有以下具體目的:i)為保證機(jī)密性�,加密從啟動(dòng)裝置到對等裝置的數(shù)據(jù)交換;ii)為保證機(jī)密性����,加密從對等裝置到啟動(dòng)裝置的數(shù)據(jù)交換;iii)為保證完整性��,對從啟動(dòng)裝置到對等裝置的數(shù)據(jù)交換簽名���;iv)為保證完整性��,對從對等裝置到啟動(dòng)裝置的數(shù)據(jù)交換簽名�。
基于點(diǎn)波束的認(rèn)證的初始安全密鑰的衍生物可以使用diffie-hellman技術(shù)���,該技術(shù)使用約定和眾所周知的公共原根發(fā)生器“g”和質(zhì)數(shù)?��!癙”。啟動(dòng)裝置和對等裝置分別選擇一個(gè)隨機(jī)秘密整數(shù)并交換各自的((g~ (秘密整數(shù)))對P取余)。該交換允許啟動(dòng)裝置和對等裝置使用diffie - he I Iman技術(shù)推導(dǎo)共享的初始密鑰����。
啟動(dòng)裝置和對等裝置推導(dǎo)出在其之間共享的初始密鑰后�,它們可能使用數(shù)據(jù)擴(kuò)展,如P_SHA-1���,來推導(dǎo)擴(kuò)展的初始密鑰�。數(shù)據(jù)擴(kuò)展過程的活躍度信息可能是啟動(dòng)裝置與和對等裝置商定的已知的隨機(jī)值或時(shí)間戳����。在一些實(shí)施例中,對等裝置可選擇一個(gè)隨機(jī)值���,然后通過衛(wèi)星或地面網(wǎng)絡(luò)將其發(fā)送至啟動(dòng)裝置���。替代地,啟動(dòng)裝置和對等裝置都可約定時(shí)間戳����,因?yàn)槎呤菄?yán)格時(shí)間同步的,因此可以在從共享的/公共的時(shí)間戳值中選擇活躍度時(shí)避免數(shù)據(jù)交換�����。
接下來,所述啟動(dòng)裝置和對等裝置就有了可以用來推導(dǎo)新的一組瞬時(shí)會(huì)話安全密鑰的共享擴(kuò)展初始密鑰�。再一次,針對活躍度���,啟動(dòng)裝置和對等裝置可使用對等裝置發(fā)送的共享的隨機(jī)值或共享的/公共的時(shí)間戳值���。瞬時(shí)會(huì)話安全密鑰可被啟動(dòng)裝置和對等裝置用于為啟動(dòng)裝置和對等裝置之間交換的地理位置信息和其它環(huán)境信息做進(jìn)一步加密和簽名。地理位置信息和其它環(huán)境信息被認(rèn)為是保密的�,因此,要求這些信息被加密����,以確保只有經(jīng)過認(rèn)證的啟動(dòng)裝置和對等裝置可以提取交換的地理位置信息和環(huán)境信息。注意�����,地理位置信息被本專利申請中描述的過程使用偽隨機(jī)(PRN)碼段和獨(dú)特的波束參數(shù)認(rèn)證�。所述共享的環(huán)境信息可包括其它狀態(tài)或控制信息,用于有針對性的網(wǎng)絡(luò)防御應(yīng)用執(zhí)行或決策支持系統(tǒng)�。除了加密,通過使用瞬時(shí)會(huì)話安全密鑰用于簽名目的���,確保了交換的地理位置信息和環(huán)境信息的完整性�����,如之前所討論的�。
簡要回顧一下,在一些實(shí)施中���,在此所述的認(rèn)證系統(tǒng)和方法可以利用地理定位技術(shù)用于確定申請者的位置,作為認(rèn)證過程的一部分�。一個(gè)這樣的地理定位技術(shù)在共同受讓的且共同待審的美國專利申請序列號12/756961中定義的,該專利申請的名稱為利用點(diǎn)波束重疊的地理定位(Geolocation Leveraging Spot Beam Overlap),其公開的內(nèi)容通過引用的方式全部并入本文中����。當(dāng)需要認(rèn)證時(shí),申請者裝置可以捕獲并傳輸獨(dú)特的簽名參數(shù)給檢驗(yàn)裝置��。此外��,申請者裝置也可傳輸其聲明的傳播路徑(即在每個(gè)的路徑點(diǎn)(多于一個(gè))和時(shí)間)��。無論傳輸裝置是固 定的還是移動(dòng)的��,路徑點(diǎn)都可被傳輸���。校驗(yàn)裝置可使用申請者聲明的簽名參數(shù)���、至少一個(gè)位置路徑點(diǎn)和至少一個(gè)與此路徑點(diǎn)相關(guān)的時(shí)間和捕獲的波束參數(shù)來認(rèn)證該申請者�����。例如�,如果從所述至少一個(gè)點(diǎn)波束和至少一個(gè)聲明的路徑點(diǎn)捕獲的波束參數(shù)與已知有效數(shù)據(jù)集相符���,則申請者可以被校驗(yàn)者認(rèn)證���。通過這種方式,申請者就可以被認(rèn)證為在特定的時(shí)間處于特定的區(qū)域內(nèi)�����?����;谶@些參數(shù)的復(fù)合代碼提供一個(gè)極難模仿�、攻擊或欺騙的信號。此外�,信號結(jié)構(gòu)和衛(wèi)星的接收信號功率允許該認(rèn)證在室內(nèi)或其它衰減環(huán)境中使用����。這提高了該系統(tǒng)方法的整體效用��。
本申請的主題在內(nèi)容上主要是在例如由銥衛(wèi)星實(shí)現(xiàn)的低地球軌道(LEO)衛(wèi)星的上下文中描述����。然而,本領(lǐng)域的技術(shù)人員會(huì)認(rèn)識到��,這里討論的技術(shù)很容易適用于其他衛(wèi)星系統(tǒng)�����,例如中地球軌道(MEO)衛(wèi)星系統(tǒng)或地球同步軌道(GEO)衛(wèi)星系統(tǒng)�?��;谶@樣的衛(wèi)星的通信系統(tǒng)可包括或使用其他移動(dòng)通信系統(tǒng)���,如機(jī)載通信系統(tǒng)之類,以及包括但不限于船或蜂窩電話塔的固定的通信平臺����。
根據(jù)實(shí)施例�����,圖1是基于衛(wèi)星的通信系統(tǒng)100的示意圖�。在實(shí)踐中���,基于衛(wèi)星的通信系統(tǒng)100可由軌道上的至少一個(gè)衛(wèi)星110組成����。為了簡便起見����,圖1只圖示了一個(gè)衛(wèi)星。參考圖1�����,在一些實(shí)施例中���,系統(tǒng)100包括一個(gè)或更多個(gè)衛(wèi)星110�����,所述一個(gè)或更多個(gè)衛(wèi)星110與一個(gè)或更多個(gè)接收裝置120通信����。在一些實(shí)施例中,衛(wèi)星110年可被具體化為LEO衛(wèi)星��,例如在銥衛(wèi)星星座中的衛(wèi)星����。衛(wèi)星(多于一個(gè))110位于已知的地球軌道上,并可以已知的模式傳送一個(gè)或更多個(gè)點(diǎn)波束130到地球表面��。每個(gè)點(diǎn)波束130可包含如偽隨機(jī)(PRN)數(shù)據(jù)和一個(gè)或更多個(gè)獨(dú)特的光束參數(shù)(如時(shí)間�����、衛(wèi)星ID���、時(shí)間補(bǔ)償、衛(wèi)星軌道數(shù)據(jù)等等)的信息���。
接收裝置(多于一個(gè))120可被實(shí)現(xiàn)為通信裝置���,如衛(wèi)星或移動(dòng)電話,或諸如個(gè)人計(jì)算機(jī)�、筆記本計(jì)算機(jī)���、個(gè)人數(shù)字助理之類的通信或計(jì)算裝置的組件。在一些實(shí)施例中�,接收裝置(120)可包括一個(gè)或更多個(gè)定位或?qū)Ш窖b置或類似于與全球定位系統(tǒng)(GPS)結(jié)合使用的裝置的模塊。
圖2A���、2B和2C是根據(jù)實(shí)施例基于衛(wèi)星的認(rèn)證系統(tǒng)200的示意圖����。先參照圖2A���,在一些實(shí)施例中���,軌道上的衛(wèi)星Iio發(fā)送一個(gè)或更多個(gè)點(diǎn)波束130到地球表面上。接收裝置120可被配置為從點(diǎn)波束接收信號�。在圖2A描述的實(shí)施例中,接收裝置是在地面上的并可在衰減環(huán)境中工作����。舉個(gè)例子,諸如屋頂���、建筑或類似物的物體210可能阻礙衛(wèi)星110和接收裝置之間的通信路徑的部分���。
發(fā)射機(jī)220將接收裝置120接收到的和/或接收裝置120生成的數(shù)據(jù)發(fā)送到校驗(yàn)裝置230�����。圖2中描述的發(fā)射機(jī)220是一個(gè)無線發(fā)射器����,可將數(shù)據(jù)從接收裝置中繼傳遞到校驗(yàn)裝置����。然而,本領(lǐng)域的技術(shù)人員會(huì)認(rèn)識到來自接收裝置120的數(shù)據(jù)可通過有線通信系統(tǒng)���,無線通信系統(tǒng)或有線和無線系統(tǒng)的結(jié)合傳輸��。校驗(yàn)裝置230使用接收裝置120通過點(diǎn)波束捕獲的數(shù)據(jù)�,通過單向認(rèn)證方法向校驗(yàn)裝置230證明接收裝置120是授權(quán)用戶����,圖2B也是這一,清況�����。
此外,圖2B描繪了接收裝置120可為機(jī)載的示例�,例如,接收裝置120處于飛行器125中���。在圖2B描述的實(shí)施例中�����,飛行器125與衛(wèi)星110可保持上行鏈路����,如一個(gè)L波段上行鏈路�����,并且由飛行器中的接收裝置120捕獲的數(shù)據(jù)可通過上行鏈路傳輸回衛(wèi)星110����。衛(wèi)星110可將所述數(shù)據(jù)傳給第二交聯(lián)衛(wèi)星110,該第二交聯(lián)衛(wèi)星轉(zhuǎn)而傳輸數(shù)據(jù)到校驗(yàn)裝置230����。
圖2C描述的系統(tǒng)圖示了一個(gè)實(shí)施例,在該實(shí)施例中兩個(gè)(或更多)對等裝置120可以實(shí)現(xiàn)雙向認(rèn)證技術(shù)來互相認(rèn)證。簡要地參考如上所述的圖2C���,在軌道上的衛(wèi)星110發(fā)送一個(gè)或更多個(gè)點(diǎn)波束130到 地球表面�����。第一接收裝置120A可被配置為從點(diǎn)波束接收信號�����。該第一接收裝置120A可被配置以導(dǎo)出安全密鑰�,例如����,使用如上所述包含了來自點(diǎn)波束的偽隨機(jī)數(shù)據(jù)的Diffie-Helman方法。
偽隨機(jī)數(shù)據(jù)也可以傳遞給一個(gè)第二裝置120B���。在一些實(shí)施例中���,第二裝置120B可能處于點(diǎn)波束130以外,在這種情況下��,偽隨機(jī)數(shù)據(jù)可以通過耦合到第二裝置120B上的計(jì)算裝置240經(jīng)由通信網(wǎng)絡(luò)傳輸�����。計(jì)算裝置240可通信地耦合到衛(wèi)星110��。以舉例而非限制的方式說明一下的話�,計(jì)算裝置240可能是一個(gè)通過通信鏈路單獨(dú)耦合到衛(wèi)星110的服務(wù)器。計(jì)算機(jī)240可以關(guān)聯(lián)衛(wèi)星110的控制網(wǎng)絡(luò)并可從而處理關(guān)聯(lián)點(diǎn)波束130的偽隨機(jī)數(shù)據(jù)����。
在操作中,第一接收裝置120A發(fā)起對認(rèn)證數(shù)據(jù)的請求���,該請求傳輸?shù)降诙邮昭b置120B��。兩者之間的通信鏈路可以是直接的或是通過傳輸網(wǎng)絡(luò)220實(shí)現(xiàn)的����。第二接收裝置120B回應(yīng)該請求并發(fā)出一個(gè)幾乎同時(shí)的對來自第一接收裝置120A的認(rèn)證數(shù)據(jù)的請求��。第一接收裝置120A認(rèn)證第二接收裝置120B并且發(fā)出幾乎同時(shí)的認(rèn)證數(shù)據(jù)的應(yīng)答給第二接收裝置120B�����,該應(yīng)答隨后用于認(rèn)證第一接收裝置120A�。
如上所述��,第一接收裝置120A與第二接收裝置120B之間實(shí)施的認(rèn)證過程可為diffie-hellman交換��,在該交換中共享的秘密包括點(diǎn)波束130發(fā)送的至少一部分偽隨機(jī)數(shù)據(jù)����。因此�����,圖2C中描述的系統(tǒng)使接收裝置120AU20B的對等認(rèn)證成為可能���。本領(lǐng)域的技術(shù)人員會(huì)認(rèn)識到�,這種雙向的身份驗(yàn)證方法可以擴(kuò)展到接收裝置和服務(wù)器�����,以及其它硬件架構(gòu)�,或兩個(gè)以上的裝置。
根據(jù)實(shí)施例�,圖3是一個(gè)計(jì)算系統(tǒng)的示意圖,該計(jì)算系統(tǒng)可以適用于實(shí)現(xiàn)基于衛(wèi)星的認(rèn)證系統(tǒng)�。例如,在圖2A和2B描述的實(shí)施例中�,校驗(yàn)裝置230可由圖3中描繪的計(jì)算系統(tǒng)實(shí)現(xiàn)�����。參照圖3�,在一個(gè)實(shí)施例中���,系統(tǒng)300可包括計(jì)算裝置308和一個(gè)或更多個(gè)附帶的輸入/輸出裝置,附帶的輸入輸出裝置包括帶屏幕304的顯示器302����、一個(gè)或更多個(gè)揚(yáng)聲器306、鍵盤310����、一個(gè)或更多個(gè)其它I/O (輸入/輸出)裝置312以及鼠標(biāo)314。其它I/O裝置(多于一個(gè))312可包括觸摸屏�����、聲控的輸入裝置����、軌跡球和任何允許系統(tǒng)300接收用戶輸入的其它裝置。
計(jì)算裝置308包括系統(tǒng)硬件320和存儲(chǔ)器330�,存儲(chǔ)器330可以實(shí)現(xiàn)為隨機(jī)存取存儲(chǔ)器和/或只讀存儲(chǔ)器�����。文件存儲(chǔ)器380可通信地耦合到計(jì)算裝置308���。文件存儲(chǔ)器380可處于計(jì)算裝置308內(nèi)部,比如說�����,一個(gè)或更多個(gè)硬盤驅(qū)動(dòng)器����、CD只讀光盤驅(qū)動(dòng)器、DVD只讀光盤驅(qū)動(dòng)器或其它類型的存儲(chǔ)裝置��。文件存儲(chǔ)器380也可處于計(jì)算裝置308外部����,比如,一個(gè)或更多個(gè)外部硬盤驅(qū)動(dòng)器�、網(wǎng)絡(luò)附加存儲(chǔ)或單獨(dú)的存儲(chǔ)網(wǎng)絡(luò)。
系統(tǒng)硬件320可包括一個(gè)或更多個(gè)處理器322�����,至少兩個(gè)圖形處理器324、網(wǎng)絡(luò)接口 326����、總線結(jié)構(gòu)328。在一個(gè)實(shí)施例中��,處理器322可以具體化為可向美國加利福尼亞州圣克拉拉市英特爾公司購買的英特爾酷睿2 (Intel Core2 Duo )處理器��。在此使用的術(shù)語“處理器”是指任何類·型的計(jì)算元件���,例如但不限于微處理器、微控制器��、復(fù)雜指令集計(jì)算(CISC)微處理器��、精簡指令集計(jì)算機(jī)(RISC)微處理器����、超長指令字(VLIW)微處理器或任何其他類型的處理器或處理電路。
圖形處理器324可起到管理圖形和/或視頻操作的輔助處理器的作用��。圖形處理器324可集成到計(jì)算系統(tǒng)300的主板上或可通過主板上的擴(kuò)充插槽耦合��。
在一個(gè)實(shí)施例中���,網(wǎng)絡(luò)接口 326可能是有線接口����,如以太網(wǎng)接口(參見,例如電氣及電子工程師學(xué)會(huì)/IEEE802.3-2002)或無線接口�,如IEEE802.11a、b��、g兼容的接口(參見�,例如IT通信和局域網(wǎng)/城域網(wǎng)系統(tǒng)之間的信息交換的IEEE標(biāo)準(zhǔn)一第二部分:無線局域網(wǎng)介質(zhì)訪問控制(MAC)和物理層(PHY)規(guī)范修正4:2.4GHz頻帶中進(jìn)一步更高的數(shù)據(jù)速率擴(kuò)展,802.11G-2003)��。無線接口的另一個(gè)例子是通用分組無線業(yè)務(wù)(GPRS)接口(參見�����,例如GPRS手持機(jī)要求指導(dǎo)方針���,全球移動(dòng)通信系統(tǒng)/GSM協(xié)會(huì)���,版本3.0.1,2002年12月)。
總線結(jié)構(gòu)328連接系統(tǒng)硬件128的各種組件����。在一個(gè)實(shí)施例中�����,總線結(jié)構(gòu)328可能是一種或更多種總線結(jié)構(gòu)�,包括內(nèi)存總線�,外圍總線或外部總線、和/或使用包括但不限于以下各種可用總線架構(gòu)的局部總線:11位總線����、工業(yè)標(biāo)準(zhǔn)結(jié)構(gòu)(ISA)、微通道架構(gòu)(MSA)�����、擴(kuò)展ISA(EISA)����、智能驅(qū)動(dòng)電路(IDE)���、VESA局部總線(VLB)�、外圍組件互連(PCI)��、通用串行總線(USB)、高級圖形端口(AGP)�、個(gè)人計(jì)算機(jī)存儲(chǔ)卡國際協(xié)會(huì)總線(PCMCIA)和小型計(jì)算機(jī)系統(tǒng)接口(SCSI)。
存儲(chǔ)器330可包括操作系統(tǒng)340����,用于管理計(jì)算裝置308的操作。在一個(gè)實(shí)施例中��,操作系統(tǒng)340包括一個(gè)提供面向系統(tǒng)硬件320的接口的硬件接口模塊354���。此外����,操作系統(tǒng)可包括管理用于計(jì)算裝置308操作中的文件的文件系統(tǒng)350���,以及管理在計(jì)算裝置308上執(zhí)行的過程的過程控制子系統(tǒng)352�。
操作系統(tǒng)340可包括(或管理)一個(gè)或更多個(gè)通信接口����,該接口可結(jié)合系統(tǒng)硬件120 一起工作,以收發(fā)來自遠(yuǎn)程源的數(shù)據(jù)包和/或數(shù)據(jù)流���。操作系統(tǒng)340可能會(huì)進(jìn)一步包括系統(tǒng)調(diào)用接口模塊342��,該模塊提供操作系統(tǒng)340和駐留在存儲(chǔ)器330中的一個(gè)或更多個(gè)應(yīng)用模塊之間的接口�。操作系統(tǒng)340可具體化為UNIX操作系統(tǒng)或其任何衍生品(如Linux、Solaris等)或Windows 品牌的操作系統(tǒng)或其它操作系統(tǒng)���。
在各種實(shí)施例中�,計(jì)算裝置308可具體化為個(gè)人計(jì)算機(jī)��、筆記本計(jì)算機(jī)�、個(gè)人數(shù)字助理、移動(dòng)電話�、娛樂裝置或另一個(gè)計(jì)算裝置。
在一個(gè)實(shí)施例中�����,存儲(chǔ)器330包括一個(gè)根據(jù)從申請者收到的數(shù)據(jù)來認(rèn)證申請者的認(rèn)證模塊362��。在一個(gè)實(shí)施例中����,認(rèn)證模塊362可包括在非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)中編碼的邏輯指令�����,該邏輯指令被處理器322執(zhí)行時(shí),使得處理器322根據(jù)從申請者收的數(shù)據(jù)來認(rèn)證申請者����。此外,存儲(chǔ)器330可包括衛(wèi)星軌道數(shù)據(jù)庫364����,該數(shù)據(jù)庫包括處于圍繞地球的預(yù)定軌道的衛(wèi)星110的軌道信息。關(guān)于認(rèn)證模塊362實(shí)施的認(rèn)證過程和操作的附加詳細(xì)信息如下所述�����。
一些實(shí)施例中����,接收裝置120可實(shí)現(xiàn)為適用于與傳統(tǒng)計(jì)算裝置122(如筆記本計(jì)算機(jī)、個(gè)人數(shù)字助理或智能電話裝置)耦合的衛(wèi)星通信模塊�。接收裝置120可通過合適的通信連接耦合到計(jì)算裝置122,例如�,通過通用串行總線(USB)接口、RS-232接口���、光學(xué)接口或之類的�����。在圖3B描述的實(shí)施例中�����,接收裝置120可能是一個(gè)“薄”裝置�����,薄的意義是指它可包括接收機(jī)以及有限的處理能力����,如專用集成電路(ASIC)或配置為實(shí)現(xiàn)認(rèn)證程序的現(xiàn)場可編程門陣列(FPGA)。
在操作中�����,計(jì)算裝置122的用戶可利用接收裝置120來認(rèn)證帶有主機(jī)網(wǎng)絡(luò)390的計(jì)算裝置122����。如上所述,圖3中描述的接收裝置120可以從衛(wèi)星110接收點(diǎn)波束傳輸130����,衛(wèi)星110包括一個(gè)獨(dú)特的波束簽名和偽隨機(jī)數(shù)(PRN)�����。計(jì)算裝置122可發(fā)起對主機(jī)網(wǎng)絡(luò)390的訪問請求。訪問請求可包括 用戶特定信息�,如用戶ID、一個(gè)或更多個(gè)來自以地球?yàn)榛A(chǔ)的坐標(biāo)系的坐標(biāo)(如郵政編碼��、區(qū)號��、緯度/經(jīng)度���、通用橫軸墨卡托投影(UTM)����、地心地球固定(ECEF)����、世界地理參考系統(tǒng)(全球地理參數(shù)系統(tǒng)格)或其它各種各樣的系統(tǒng),例如郵政編碼)和衛(wèi)星110接收的偽隨機(jī)數(shù)據(jù)的至少一部分����。
主機(jī)網(wǎng)絡(luò)390可發(fā)送用戶訪問請求給校驗(yàn)裝置230作為認(rèn)證請求。在一些實(shí)施例中���,主機(jī)網(wǎng)絡(luò)可給該請求添加附加信息以使校驗(yàn)裝置230能夠認(rèn)證計(jì)算裝置122��。舉例來說����,主機(jī)網(wǎng)絡(luò)130可提供關(guān)于申請者可被認(rèn)證的地點(diǎn)(即從怎樣的地理位置)的限制。校驗(yàn)裝置230可校驗(yàn)申請者并給主機(jī)網(wǎng)絡(luò)390提供認(rèn)證響應(yīng)�。主機(jī)網(wǎng)絡(luò)390進(jìn)而可給計(jì)算裝置122轉(zhuǎn)送訪問響應(yīng)。
圖4是一個(gè)流程圖��,根據(jù)實(shí)施例��,圖示了認(rèn)證申請者的方法中的操作���。參照圖4�����,在操作410�,申請者裝置確定自己的物理位置�����。在一些實(shí)施例中�����,申請者裝置120可包括一個(gè)或更多個(gè)位置模塊來確定申請者裝置120的位置。作為舉例而非限制�,申請者裝置120可包括或通信耦合到全球定位系統(tǒng)(GPS)模塊來根據(jù)全球定位系統(tǒng)的信號確定位置���。替代地或者另外�����,申請者裝置120可包括根據(jù)來自一個(gè)或更多個(gè)低地球軌道或中地球軌道衛(wèi)星110的信號來確定位置的邏輯��,如在美國專利號為7489926��、7372400�����、7579987和7468696的專利的一個(gè)或更多個(gè)中描述的����,所述專利各自的全部內(nèi)容通過引用并入本文���。在一些實(shí)施例中���,申請者裝置120的位置可用緯度/經(jīng)度坐標(biāo)或另一基于地球的坐標(biāo)系統(tǒng)表示��。
在操作415中����,申請者裝置120從衛(wèi)星110接收點(diǎn)波束傳輸��。在一些實(shí)施例中����,申請者裝置120提取一個(gè)或更多個(gè)獨(dú)特的波束參數(shù)(如時(shí)間、衛(wèi)星ID�����、波束ID�����、時(shí)間偏差���、衛(wèi)星軌道數(shù)據(jù)等)�,其包括來自衛(wèi)星點(diǎn)波束的偽隨機(jī)代碼段��。在一些實(shí)施例中,申請者裝置120可將波束參數(shù)存儲(chǔ)在存儲(chǔ)器模塊中���,該存儲(chǔ)器模塊在申請者裝置120中或通信耦合到申請者裝置120�����。在一個(gè)或更多個(gè)實(shí)施例中,操作415可與其前面的操作410幾乎同時(shí)發(fā)生�����。
在操作420中���,申請者裝置120可繼續(xù)生成一個(gè)或更多個(gè)路徑點(diǎn)數(shù)據(jù)快照�����,其可能包括來自操作410的申請者裝置120的位置信息以及操作420中所記錄的一個(gè)或更多個(gè)通過衛(wèi)星點(diǎn)波束傳輸?shù)莫?dú)特波束參數(shù)�����。在一些實(shí)施例中���,可將路徑點(diǎn)數(shù)據(jù)快照存儲(chǔ)到存儲(chǔ)器模塊,該存儲(chǔ)器模塊位于申請者裝置120中或通信耦合到申請者裝置120。
在一些實(shí)施例中�����,申請者裝置120可隨時(shí)間收集一組路徑點(diǎn)數(shù)據(jù)快照�。例如,一組路徑點(diǎn)數(shù)據(jù)快照可通過隨時(shí)間推移從經(jīng)過申請者裝置120的多個(gè)衛(wèi)星110接收點(diǎn)波束構(gòu)建��。替代地或者另外���,一組路徑點(diǎn)數(shù)據(jù)快照可以通過相對于衛(wèi)星110來移動(dòng)申請者裝置120構(gòu)建�,例如圖2B所描述的將申請者裝置120放在飛行器125中���。另外一個(gè)例子包括作為驗(yàn)證可能包含危險(xiǎn)材料的實(shí)體或資產(chǎn)的行進(jìn)路線的跟蹤器的申請者裝置��。申請者裝置可被輪詢以提供路徑點(diǎn)數(shù)據(jù)來驗(yàn)證預(yù)期的路徑與實(shí)際路徑匹配�����。申請者裝置可被隨機(jī)輪詢�。
在操作420中���,路徑點(diǎn)數(shù)據(jù)快照(多于一個(gè))由申請者裝置120發(fā)送到校驗(yàn)裝置230��。舉個(gè)例子�,在圖2A描述的實(shí)施例中,路徑點(diǎn)數(shù)據(jù)快照(多于一個(gè))可通過發(fā)射機(jī)220或另一個(gè)通信網(wǎng)絡(luò)傳輸���。在圖2B描述的實(shí)施例中����,路徑點(diǎn)數(shù)據(jù)快照(多于一個(gè))可從飛行器125發(fā)送到衛(wèi)星110�,然后可通過衛(wèi)星網(wǎng)絡(luò)傳輸?shù)叫r?yàn)裝置230。
在操作425中�����,·校驗(yàn)裝置230從申請者裝置120處接收位置數(shù)據(jù)和路徑點(diǎn)數(shù)據(jù)��。在操作430中�,校驗(yàn)裝置230將位置信息和路徑點(diǎn)數(shù)據(jù)與在一個(gè)已知的有效數(shù)據(jù)集中的相應(yīng)數(shù)據(jù)作比較以認(rèn)證申請者�。舉個(gè)例子,低地球軌道衛(wèi)星�,如銥衛(wèi)星星座,在已知軌道上環(huán)航地球�,其近似參數(shù)可提前獲得。校驗(yàn)裝置230可包括衛(wèi)星軌道數(shù)據(jù)庫364或通信耦合到衛(wèi)星軌道數(shù)據(jù)庫364�,該數(shù)據(jù)庫包括在圍繞地球的已知軌道上的衛(wèi)星110的軌道信息����。
在一些實(shí)施例中��,從申請者裝置接收的位置數(shù)據(jù)和路徑點(diǎn)數(shù)據(jù)與已知數(shù)據(jù)集的位置數(shù)據(jù)和路徑點(diǎn)數(shù)據(jù)相比較(操作430)來確定申請者裝置120����,事實(shí)上,是否在預(yù)期時(shí)間處于預(yù)計(jì)的地理位置的合理閾值距離內(nèi)�。作為舉例而非限制,衛(wèi)星軌道數(shù)據(jù)庫364可能會(huì)被搜索對應(yīng)于從申請者裝置120傳來的特別波束參數(shù)的數(shù)據(jù)記錄���。當(dāng)匹配的記錄被找出時(shí)�����,來自從軌道數(shù)據(jù)庫364獲得的記錄的軌道數(shù)據(jù)可被用于與從申請者裝置120收到的數(shù)據(jù)作比較�����。例如���,已知的數(shù)據(jù)可包括點(diǎn)波束130的中心坐標(biāo)和在地球表面的點(diǎn)波束130的半徑指示。從申請者裝置120處收到的坐標(biāo)可與點(diǎn)波束的位置作比較以確定收到的數(shù)據(jù)是否表明在從申請者裝置處收到的數(shù)據(jù)中指示的時(shí)間申請者裝置120處于點(diǎn)波束限制的區(qū)域內(nèi)��。至少在一個(gè)實(shí)施例中,點(diǎn)波束可為不規(guī)則的形狀���。至少在一個(gè)實(shí)施例中���,申請者裝置可能在高于地球表面的海拔高度上。
如果���,在操作435中�����,從申請者裝置120接收到的數(shù)據(jù)表明在與來自申請者裝置的數(shù)據(jù)相關(guān)聯(lián)的時(shí)間申請者裝置120在衛(wèi)星110的點(diǎn)波束所覆蓋的地理區(qū)域內(nèi)���,那么申請者裝置120可被認(rèn)為是經(jīng)過認(rèn)證的��。在認(rèn)證系統(tǒng)中�����,控制然后轉(zhuǎn)到操作440��,申請者被允許訪問資源��。作為舉例而非限制,校驗(yàn)裝置230可授予令牌給經(jīng)過認(rèn)證的申請者裝置120�。該令牌可被遠(yuǎn)程系統(tǒng)用于授權(quán)訪問資源。
相反的��,如果從申請者裝置120接收到的數(shù)據(jù)表明在與來自申請者裝置120的數(shù)據(jù)相關(guān)聯(lián)的時(shí)間申請者裝置120不在來自衛(wèi)星110的點(diǎn)波束所覆蓋的地理區(qū)域內(nèi)����,那么申請者裝置120可不被認(rèn)為是經(jīng)過認(rèn)證的。在認(rèn)證系統(tǒng)中�,控制然后轉(zhuǎn)到操作440,申請者被拒絕訪問資源���。作為舉例而非限制����,校驗(yàn)裝置230可拒絕授予令牌給認(rèn)證的申請者裝置120�����。無令牌的申請者裝置可被拒絕訪問由遠(yuǎn)程系統(tǒng)管理的資源��。
因此�,圖1-3中描述的系統(tǒng)架構(gòu)和圖4中描述的方法使一個(gè)或更多個(gè)申請者裝置120的基于衛(wèi)星的認(rèn)證成為可能。認(rèn)證系統(tǒng)可用來允許或拒絕對由遠(yuǎn)程計(jì)算系統(tǒng)管理的一個(gè)或更多個(gè)資源的訪問����。在一些實(shí)施例中���,申請者裝置(多于一個(gè))可能是靜止的,而在其它實(shí)施例中申請者裝置(多于一個(gè))可能是移動(dòng)的��,并且認(rèn)證過程可以是基于時(shí)間的�����、基于位置的或是兩者的結(jié)合���。
在一些實(shí)施例中�,該系統(tǒng)可以用來實(shí)現(xiàn)基于會(huì)話的認(rèn)證��,在該認(rèn)證中�,申請者裝置(多于一個(gè))120被認(rèn)證而為整個(gè)會(huì)話使用資源。在其它實(shí)施例中�����,該系統(tǒng)可實(shí)現(xiàn)基于消息的認(rèn)證�����,在該認(rèn)證中��,申請者裝置(多于一個(gè))120必須針對從申請者裝置(多于一個(gè))120傳輸?shù)竭h(yuǎn)程資源的每個(gè)信息單獨(dú)地被認(rèn)證�����。
在一個(gè)示例實(shí)現(xiàn)中�����,此處描述的認(rèn)證系統(tǒng)可用于為訪問安全的計(jì)算資源����,如企業(yè)電子郵件系統(tǒng)、企業(yè)網(wǎng)絡(luò)�����、軍事或民用基礎(chǔ)設(shè)施網(wǎng)絡(luò)或電子銀行設(shè)施提供認(rèn)證��。在其它示例實(shí)現(xiàn)中�����,認(rèn)證系統(tǒng)可用于在物流系統(tǒng)中確認(rèn)交通工具的行程安排。舉個(gè)例子���,移動(dòng)實(shí)體如卡車���、火車、船只或飛行器可包括一個(gè)或更多個(gè)申請者裝置120�。在預(yù)定任務(wù)的過程期間物流系統(tǒng)會(huì)周期性地輪詢申請者裝置(多于一個(gè))120,申請者裝置可以用從衛(wèi)星110獲取的認(rèn)證數(shù)據(jù)響應(yīng)�。認(rèn)證數(shù)據(jù)可在物流系統(tǒng)中被收集并用于確認(rèn)申請者裝置(多于一個(gè))根據(jù)物流計(jì)劃在預(yù)定時(shí)間處于特定位置。
在另一個(gè)示例中�����,此處描述的認(rèn)證系統(tǒng)的實(shí)現(xiàn)可用于驗(yàn)證關(guān)聯(lián)到監(jiān)控系統(tǒng)(比如軟禁監(jiān)視系統(tǒng))的申請者裝置 (多于一個(gè))的位置�。在這種實(shí)施例中,申請者裝置(多于一個(gè))可能包括一個(gè)或更多個(gè)生物傳感器���,如指紋生物傳感器�,用于認(rèn)證系統(tǒng)的用戶��,而認(rèn)證系統(tǒng)可用來確認(rèn)申請者裝置在預(yù)定的時(shí)間處于預(yù)定的位置(即申請者是處于正確的地方�����,在正確的時(shí)間�,并且是正確的人)。認(rèn)證裝置也可對照批準(zhǔn)位置的定義列表檢查申請者裝置的位置���,該定義列表可由認(rèn)證系統(tǒng)通過對照在經(jīng)批準(zhǔn)的時(shí)間段(多于一個(gè))的批準(zhǔn)的位置(多于一個(gè))的集合檢查申請者裝置的位置和時(shí)間進(jìn)一步改進(jìn)��。此外�����,該系統(tǒng)可用于跟蹤已記錄在案的性犯罪者��。
在一些實(shí)施例中���,衛(wèi)星110可為低地球軌道衛(wèi)星系統(tǒng)比如銥星星座的一部分,這樣申請者裝置(多于一個(gè))可通過確認(rèn)申請者裝置在指定的時(shí)間處于指定的點(diǎn)波束中被認(rèn)證��,所述低地球軌道衛(wèi)星系統(tǒng)��,如銥星星座�,在已知軌道上圍繞地球運(yùn)行,并發(fā)送具有已知幾何形狀的點(diǎn)波束����。因此,申請者可利用單一信號源(如單個(gè)衛(wèi)星110)被認(rèn)證。又因?yàn)榈偷厍蜍壍佬l(wèi)星如銥星星座和中地球軌道衛(wèi)星發(fā)送相對高功率水平的信號���,所以該系統(tǒng)可以用來認(rèn)證一個(gè)或更多個(gè)處于阻塞環(huán)境����,如室內(nèi)或市區(qū)位置的申請者裝置����。而且,低地球軌道衛(wèi)星和中地球軌道衛(wèi)星的相對高信號強(qiáng)度使得這些信號不易受干擾的影響��。
在說明書中提到“一個(gè)實(shí)施例”或“一些實(shí)施例”意味著結(jié)合該實(shí)施例描述的特定的功能��、結(jié)構(gòu)或特征包含在至少一個(gè)實(shí)現(xiàn)中�����。短語“在一個(gè)實(shí)施例中”在本說明書中各個(gè)地方的出現(xiàn)可能是或可能不是指同一個(gè)實(shí)施例����。
雖然用特定于結(jié)構(gòu)特征和/或方法論行為的語言描述實(shí)施例,但是需要明白的是要求保護(hù)的主題并不限于描述的具體特征或行為�����。相反的,特定的特性和行為被披露為實(shí)現(xiàn)要求保護(hù)的主題的樣本形式 ��。
權(quán)利要求
1.一種認(rèn)證申請者的方法�,包括: 從至少一個(gè)點(diǎn)波束傳輸接收來自申請者的至少一組波束數(shù)據(jù)���; 將所述至少一組波束數(shù)據(jù)與已知的有效數(shù)據(jù)集作比較�;并且 當(dāng)所申請的數(shù)據(jù)和所述有效數(shù)據(jù)集之間的差異小于一定閾值時(shí)�,認(rèn)證該申請者。
2.權(quán)利要求1所述的方法��,其中所述至少一個(gè)點(diǎn)波束傳輸是由低地球軌道衛(wèi)星�����、中地球軌道衛(wèi)星�����、地球同步軌道衛(wèi)星或偽衛(wèi)星中的至少一個(gè)發(fā)射的����。
3.權(quán)利要求1所述的方法,其中該方法被用于單向認(rèn)證�����、多向認(rèn)證和多向?qū)Φ妊b置認(rèn)證中的至少一個(gè)。
4.權(quán)利要求1所述的方法�����,其中所述申請者還提供至少下列之一給校驗(yàn)者:至少一個(gè)位置標(biāo)識符和時(shí)間�。
5.權(quán)利要求4所述的方法,其中所述至少一個(gè)位置標(biāo)識符是基于地球坐標(biāo)系統(tǒng)的����,其中所述地球坐標(biāo)系統(tǒng)包括經(jīng)度、緯度�、高度或地理定位器中的至少一個(gè)。
6.權(quán)利要求1所述的方法�,其中所述至少一組波束數(shù)據(jù)包括至少下列之一:偽隨機(jī)代碼段、時(shí)間戳����、計(jì)時(shí)代碼段、點(diǎn)波束傳輸?shù)慕煌üぞ邩?biāo)識符�����、波束標(biāo)識符��、時(shí)間偏差參數(shù)或點(diǎn)波束傳輸?shù)慕煌üぞ哕壽E數(shù)據(jù)。
7.權(quán)利要求4所述的方法���,其中將所述位置標(biāo)識符和所述至少一組波束數(shù)據(jù)與已知的有效數(shù)據(jù)集比較包括在與時(shí)間戳相對應(yīng)的時(shí)間將所述位置標(biāo)識符與所述波束的已知位置作比較���。
8.權(quán)利要求1所述的方法,其中: 所述申請者包括電子計(jì)算裝置�;并且 所述申請者針對所述電子計(jì)算裝置發(fā)送的每個(gè)消息被獨(dú)立認(rèn)證。
9.權(quán)利要求1所述的方法,其中: 所述申請者與遠(yuǎn)程裝置建立通信會(huì)話����;并且 所述申請者為該通信會(huì)話被認(rèn)證至少一次。
10.權(quán)利要求1所述的方法��,其中: 所述申請者隨時(shí) 間收集至少兩個(gè)位置(如通過輪詢)�,并且其中使用所述申請者的計(jì)劃行進(jìn)路徑信息將所述至少兩個(gè)位置和已知有效數(shù)據(jù)集作比較以認(rèn)證該申請者��。
11.一種認(rèn)證申請者的設(shè)備��,包括: 處理器�;以及 包括邏輯指令的存儲(chǔ)器模塊,當(dāng)所述邏輯指令被執(zhí)行時(shí)配置所述處理器用于: 從所述申請者接收來自點(diǎn)波束傳輸?shù)闹辽僖唤M波束數(shù)據(jù)�����;并且 將至少一組波束數(shù)據(jù)與已知有效數(shù)據(jù)集作比較;并且 在至少一組波束數(shù)據(jù)和所述已知有效數(shù)據(jù)集之間的差異小于閾值時(shí)認(rèn)證該申請者�����。
12.權(quán)利要求11所述的設(shè)備�����,進(jìn)一步包括當(dāng)被執(zhí)行時(shí)配置所述處理器使用位置標(biāo)識符和時(shí)間中的至少一個(gè)來驗(yàn)證所述已知有效數(shù)據(jù)集的邏輯指令��。
13.權(quán)利要求11所述的設(shè)備���,其中所述至少一組波束數(shù)據(jù)包括至少下列之一:偽隨機(jī)代碼段���、時(shí)間戳、計(jì)時(shí)代碼段��、點(diǎn)波束傳輸?shù)慕煌üぞ邩?biāo)識符�、時(shí)間偏差參數(shù)、波束標(biāo)識符或點(diǎn)波束傳輸?shù)慕煌üぞ哕壽E數(shù)據(jù)���。
14.權(quán)利要求11所述的設(shè)備�����,進(jìn)一步包括當(dāng)被執(zhí)行時(shí)配置所述處理器在與時(shí)間戳相對應(yīng)的時(shí)間將所述位置標(biāo)識符與所述點(diǎn)波束的已知位置作比較的邏輯指令��。
15.權(quán)利要求11所述的設(shè)備��,其中: 所述申請者包括電子計(jì)算裝置��;并且 所述申請者為所述電子計(jì)算裝置發(fā)送的每個(gè)消息獨(dú)立認(rèn)證��。
16.權(quán)利要求11所述的設(shè)備��,其中: 所述申請者隨時(shí)間收集至少一系列路徑點(diǎn)數(shù)據(jù)快照���,并且其中將所述一系列路徑點(diǎn)數(shù)據(jù)快照和已知有效數(shù)據(jù)集作比較以認(rèn)證該申請者的已行進(jìn)路徑。
17.權(quán)利要求11所述的設(shè)備�����,進(jìn)一步包括邏輯指令����,當(dāng)所述邏輯指令被執(zhí)行時(shí)配置所述處理器: 當(dāng)所述申請者已經(jīng)被認(rèn)證后允許所述申請者訪問遠(yuǎn)程主機(jī)提供的服務(wù)。
18.—種認(rèn)證申請者的系統(tǒng),包括: 根據(jù)已知點(diǎn)波束幾何形狀傳輸點(diǎn)波束的至少一個(gè)信號源�����; 至少一個(gè)電子裝置,該電子裝置包括從點(diǎn)波束傳輸接收至少一組波束數(shù)據(jù)的接收機(jī)�;以及 通信耦合到所述至少一個(gè)電子裝置的至少一個(gè)校驗(yàn)者,該校驗(yàn)者使用所述至少一組波束數(shù)據(jù)和已知有效數(shù)據(jù)集來認(rèn)證申請者�����。
19.權(quán)利要求18所述的系統(tǒng)����,其中所述至少一個(gè)電子裝置能夠確定其位置。
20.權(quán)利要求19所述的系統(tǒng)��,其中所述至少一個(gè)電子裝置的確定的位置進(jìn)一步被用于認(rèn)證該電子裝置�����。
21.權(quán)利要求18所述的系統(tǒng)��,其中所述至少一個(gè)電子裝置包括至少下列之一:移動(dòng)電話���、便攜式計(jì)算裝置����、計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)、服務(wù)器�、無線連網(wǎng)節(jié)點(diǎn)或生物識別驗(yàn)證系統(tǒng)。
22.權(quán)利要求18所述的系統(tǒng)����,其中所述至少一個(gè)校驗(yàn)者包括: 處理器;以及 包括邏輯指令的存儲(chǔ)器模塊�����,當(dāng)所述邏輯指令被執(zhí)行時(shí)配置所述處理器用于: 從所述電子裝置接收來自點(diǎn)波束傳輸?shù)闹辽僖唤M波束數(shù)據(jù)���;并且 將所述至少一組波束數(shù)據(jù)與已知有效數(shù)據(jù)集作比較���,并且 在所述至少一組波束數(shù)據(jù)和所述已知有效數(shù)據(jù)集之間的差異小于閾值時(shí)認(rèn)證該申請者。
23.權(quán)利要求18所述的系統(tǒng)���,其中所述申請者在所述至少一個(gè)位置標(biāo)識符和所述已知有效數(shù)據(jù)集之間的差異小于閾值時(shí)被認(rèn)證。
24.權(quán)利要求22所述的系統(tǒng)���,其中所述至少一個(gè)校驗(yàn)者包括邏輯指令����,所述邏輯指令被執(zhí)行時(shí)配置所述處理器在與時(shí)間戳相對應(yīng)的時(shí)間將所述位置標(biāo)識符與所述點(diǎn)波束的已知位置作比較。
25.一種認(rèn)證帶有主機(jī)網(wǎng)絡(luò)的申請者裝置的系統(tǒng)���,包括: 通信耦合到申請者裝置和所述主機(jī)網(wǎng)絡(luò)的接收裝置�,其中所述接收裝置接收至少一個(gè)偽隨機(jī)碼��,該偽隨機(jī)碼和從交通工具傳輸?shù)狞c(diǎn)波束關(guān)聯(lián)��; 耦合到所述主機(jī)網(wǎng)絡(luò)的認(rèn)證服務(wù)器��,并且 其中該接收裝置從所述申請者發(fā)送認(rèn)證請求到所述主機(jī)網(wǎng)絡(luò)���。
26.—種用于多路認(rèn)證的系統(tǒng),包括:接收至少一個(gè)和從交通工具傳輸?shù)狞c(diǎn)波束關(guān)聯(lián)的偽隨機(jī)碼的第一接收裝置��;以及 通過通信網(wǎng)絡(luò)通信耦合到所述第一電子裝置的第二裝置�; 其中該第一接收裝置和第二裝置使用至少一部分的所述偽隨機(jī)碼作為共享秘密實(shí)施對等認(rèn)證過程��。
27.權(quán)利要求27所述的系統(tǒng)�,其中所述第一接收裝置或所述第二裝置中的至少一個(gè)在成功認(rèn)證之后確定對資源訪問的范圍。
28.權(quán)利要求27所述的系統(tǒng)�,其中所述第一接收裝置或所述第二裝置中的至少一個(gè)創(chuàng)建一個(gè)經(jīng)過認(rèn)證的網(wǎng)絡(luò),該網(wǎng)絡(luò)實(shí)施一個(gè)或更多個(gè)網(wǎng)絡(luò)安全策略以針對給定的環(huán)境保護(hù)對一個(gè)或更多個(gè)聯(lián)網(wǎng)資源的通信和訪問����。
29.權(quán)利要求27所述的系統(tǒng),其中所述認(rèn)證服務(wù)器使用由所述申請者提供的信息來地理定位所述申請者的位置。
30.原文缺失���。
31.原文缺失�����。
32.權(quán)利要求18所述的系統(tǒng)�,其中所述信號源包括多相天線陣列以生成至少一個(gè)點(diǎn)波束�。 ·
全文摘要
在一個(gè)實(shí)施例中,用來認(rèn)證申請者的方法包括從申請者處接收來自點(diǎn)波束傳輸?shù)囊唤M波束數(shù)據(jù)中的至少一個(gè)��,將所申請的至少一組波束數(shù)據(jù)與已知的有效數(shù)據(jù)集作比較�����,當(dāng)所述的至少一組波束數(shù)據(jù)與已知的有效數(shù)據(jù)集的差異小于一定閾值時(shí)�,認(rèn)證該申請者。
文檔編號H04B7/185GK103222228SQ201180055482
公開日2013年7月24日 申請日期2011年11月9日 優(yōu)先權(quán)日2010年11月18日
發(fā)明者G·M·格特, D·A·惠蘭, A·艾亞加利 申請人:波音公司