基于路由器物理位置的安全路由的制作方法
【专利说明】
[0001] 相关申请的交叉引用
[0002] 本申请是于 2010 年 11 月 18 日提交的题为"Spot Beam Based Authentication" 的U.s.专利申请序列号12/949, 404的部分继续申请并且要求其优先权和权益。本申请 是于 2011 年 10 月 27 日提交的题为"Geothentication Based on Network Ranging" 的 U.S.专利申请序列号13/283, 491的部分继续申请并且要求其优先权和权益。这些申请两 者的内容通过引用整体地结合于此。
技术领域
[0003] 本公开涉及安全路由。具体地,本公开涉及基于路由器物理位置的安全路由。
【背景技术】
[0004] 基于位置的路由是一种描述使用路由器(例如,网络节点)位置进行数据包路由 和/或转发决定的方法的通用术语。基于位置的路由的先前实施方式旨在优化网络路由的 效率而不是安全。网络攻击正变得越来越先进并且对所指的网络和它们相关联的用户具有 更灾难性的影响。一种这类攻击(中间人攻击(MITM))已经用于重新路由居心不良目的数 据。本公开提供了增强的数据路由安全性系统和相关方法以减轻数据被路由到所定义的限 制之外。
【发明内容】
[0005] 本公开涉及用于基于路由器(例如,网络节点)物理位置的安全路由的方法、系统 和装置。具体地,本公开教导了使用基于位置的路由技术以确保信息从起源安全地传递至 目的地。方法被定义为通过被要求满足安全性约束的网络路径发送数据包。安全性约束基 于一个或多个网络路由器的物理位置。
[0006] 在一个或多个实施方式中,公开了一种用于通过多个网络节点安全数据传输至少 一个数据包的方法。所公开的方法包含由至少一个用户定义源网络节点和目的地网络节 点。在至少一个实施方式中,源网络节点和目的地网络节点在多个网络节点中。该方法进 一步包含由至少一个用户定义至少一种安全性约束,在此,安全性约束基于至少一个网络 节点的物理位置。另外,该方法包含通过至少一个处理器将网络节点地图中可用的网络节 点与至少一种安全性约束进行比较以确定哪些可用网络节点是合格的网络节点。合格的网 络节点是满足安全性约束的可用网络节点。此外,该方法包括通过至少一个处理器确定包 括至少一个合格的网络节点的路线以通过该路线将至少一个数据包从源网络节点路由至 目的地网络节点。进一步,该方法包括通过包括至少一个合格的网络节点的路线将至少一 个数据包从源网络节点传输至目的地网络节点。
[0007] 在至少一个实施方式中,至少一个网络节点是路由器、服务器、个人计算设备、个 人数字助理(PDA)、蜂窝电话、计算机节点、网络协议(IP)节点、网关、Wi-Fi节点、网络节 点、个人区域网(PAN)节点、局域网(LAN)节点、广域网(WAN)节点、蓝牙节点、ZigBee节点、 微波存取全球互通(WiMax)节点、第二代(2G)无线节点、第三代(3G)无线节点和/或第四 代(4G)无线节点。在一个或多个实施方式中,至少一个网络节点是固定和/或移动的。在 一些实施方式中,至少一个网络节点被容纳在运载工具中。
[0008] 在至少一个实施方式中,至少一个用户是人、实体、应用程序、程序、节点、路由器、 移动设备、处理器和/或计算机。在一些实施方式中,至少一种安全性约束是必须通过物 理定位在至少一个指定地理区内的网络节点路由数据包。在至少一个实施方式中,至少一 种安全性约束是必须通过物理不定位在至少一个指定地理区内的网络节点路由数据包。在 一些实施方式中,至少一个地理区是国家、州、省、县、政府部门(例如,军事基地)和/或城 市。在一个或多个实施方式中,由点限定的多边形限定至少一个地理区。在一些实施方式 中,多边形是规则的形状或不规则的形状。在至少一个实施方式中,由至少一个用户指定每 一个点的经度和炜度来定义点。
[0009] 在一个或多个实施方式中,网络节点地图包括与至少一个网络节点的物理位置有 关的信息、与任一网络节点的物理位置是否可通过使用卫星定位技术认证有关的信息、与 任一网络节点的物理位置是否可通过使用网络Ping(包检测器)测距测量认证有关的信 息、与任一网络节点是否可加密数据包有关的信息和/或与任一网络节点是否可解密数据 包有关的信息。在至少一个实施方式中,通过至少一个服务器保持网络节点地图。
[0010] 在一个或多个实施方式中,至少一种安全性约束是必须通过它们的物理位置可通 过使用卫星定位技术认证的网络节点路由数据包。在一些实施方式中,卫星定位技术使用 至少一个认证信号从而获得网络节点的物理位置。在一个或多个实施方式中,至少一个认 证信号通过至少一个传输源传输,并且通过与网络节点相关联的至少一个接收源接收。在 一些实施方式中,在至少一个卫星和/或至少一个伪卫星中采用至少一个传输源。在至少 一个实施方式中,至少一个卫星是近地球轨道(LEO)卫星、中地球轨道(MEO)卫星和/或同 步地球轨道(GEO)卫星。在一些实施方式中,LEO卫星是铱LEO卫星。
[0011] 在至少一个实施方式中,所公开的方法采用铱LEO卫星星座。在一个或多个实施 方式中,星座中的铱LEO卫星的每一个具有以不同的点波束图案传输四十八(48)个点波束 的天线几何结构。在至少一个实施方式中,可以从星座中的至少一个铱卫星传输至少一个 认证信号。铱卫星的四十八(48)个点波束可以用于将定位的认证信号传输至定位在地球 表面上或在地球表面附近的接收源。与这些信号相关联的广播消息突发脉冲内容包括伪随 机噪声(PRN)数据。因为给定的消息突发脉冲可以在特定的时间发生在特定的卫星点波束 内,所以包括PRN和唯一波束参数(例如,时间、卫星识别(ID)、波束识别(ID)、时间偏差、 轨道数据等)的消息突发脉冲内容可以用于认证网络节点的物理位置。应注意,当采用上 述铱LEO卫星之一时,传输信号功率足够强以允许认证信号可靠地穿入室内环境,并且为 了这样做可以采用信号编码方法。这允许这些地理定位技术用于许多室内应用中。进一步 应当注意,本系统可采用至少一个下一代铱卫星、或现有铱卫星与下一代铱卫星构造的组 合。
[0012] 在一个或多个实施方式中,至少一种安全性约束是必须通过可使它们的物理位置 通过使用网络Ping测距测量认证的网络节点路由数据包。在一些实施方式中,从一个网络 节点至另一个网络节点来回发送ping(或类似ping的消息)期间所经过的时间量获得网 络ping测距测量。
[0013] 在至少一个实施方式中,至少一种安全性约束是如果网络节点不能使它们的物理 位置被认证(例如,或通过卫星定位技术或通过网络Ping测距技术),仅在至少一个数据 包被加密时才可通过网络节点路由数据包。对于这些实施方式,该方法进一步包括利用至 少一个网络节点的至少一个处理器加密数据包中的数据。另外,该方法包括利用至少一个 网络节点传输加密的数据包。此外,该方法包括利用至少一个网络节点接收加密的数据包。 此外,该方法包括利用至少一个网络节点的至少一个处理器解密数据包中加密的数据。通 过至少一个网络节点传输加密的数据包并且通过其他至少一个网络节点接收加密的数据 包的这种技术被称为"加密隧道"。本技术允许网络节点经由网络节点的物理位置不能被验 证的这样网络节点的路径安全地传输并且接收数据包。
[0014] 在一个或多个实施方式中,至少一种安全性约束中的至少一种是至少一个数据包 必须沿具有比阈值距离更小长度的路线从源网络节点传输至目的地网络节点。
[0015] 在至少一个实施方式中,在路由器、服务器、个人计算设备、个人数字助理(PDA)、 蜂窝电话、计算机节点、网络协议(IP)节点、网关、Wi-Fi节点、网络节点、个人区域网(PAN) 节点、局域网(LAN)节点、广域网(WAN)节点、蓝牙节点、ZigBee节点、微波存取全球互通 (WiMax)节点、第二代(2G)无线节点、第三代(3G)无线节点和/或第四代(4G)无线节点中 采用至少一个处理器。
[0016] 在一个或多个实施方式中,一种用于通过多个网络节点安全数据传输至少一个数 据包的方法包括:由至少一个用户定义源网络节点和目的地网络节点,在此,源网络节点和 目的地网络节点在多个网络节点中。该方法进一步包括由至少一个用户定义至少一种安全 性约束,在此,至少一种安全性约束基于至少一个网络节点的物理位置。另外,该方法包括 通过至少一个处理器将至少一种安全性约束编码到数据包中。此外,该方法包括通过源网 络节点确定连接到源网络节点的可用网络节点中哪些是合格的网络节点。合格的网络节点 是满足至少一种安全性约束的可用网络节点。此外,该方法包括通过源网络节点将数据包 传输至合格的网络节点之一。另外,该方法包括通过接收数据包的任一个网络节点确定连 接到接收数据包的网络节点的可用网络节点中哪些是合格的网络节点。进一步,该方法包 括通过接收数据包的任一个网络节点将数据包传输至合格的网络节点之一,在此,通过合 格的网络节点沿从源网络节点至目的地网络节点的路线传输数据包。
[0017] 本发明的各种实施方式可独立实现或者可与其他实施方式结合实现特征、功能以 及优点。
【附图说明】
[0018] 参考下述说明、附加的权利要求和附图,将更好地理解本公开的这些和其它特征、 方面和优点,其中:
[0019] 图1示出根据本公开的至少一个实施方式的用于基于路由器物理位置的安全路 由的所公开的方法的流程图,在此,该方法是静态路由方法。
[0020] 图2示出根据本公开的至少一个实施方式的用于基于路由器物理位置的安全路 由的所公开的方法的流程图,在此,该方法是自适应(或动态)路由方法。
[0021] 图3是根据本公开的至少一个实施方式的地图上的五个节点的示例性网络的示 意图以示出用于基于路由器物理位置的安全路由的所公开的系统和方法的操作。
[0022] 图4是描述根据本公开的至少一个实施方式的使用标准的基于位置的路由技术 数据包在图3的示例性网络中行进的路线的示意图。
[0023] 图5是示出根据本公开的至少一个实施方式的使用用于基于具有地理约束的路 由器物理位置的安全路由的所公开的方法,数据包在图3的示例性网络中行进的路线的示 意图。
[0024] 图6描述根据本公开的至少一个实施方式的地图上的六个节点的示例性网络的 示意图,以示出用于基于具有地理约束和地理位置认证约束的路由器物理位置的安全路由 的所公开的系统和方法的操作。
[0025] 图7描述根据本公开的至少一个实施方式的七个节点的示例性网络的示意图,以 示出用于基于路由器物理位置的安全路由的所公开的系统和方法的操作。
[0026] 图8示出根据本公开的至少一个实施方式的在图7的示例性网络中的隧道特征的 示意图。
[0027] 图9至图13是旨在用于基于网络节点的网络测距的地理位置认证的所公开的系 统和方法。
[0028] 图9是根据本公开的至少一个实施方式的用于认证网络节点的物理位置的所公 开的系统的不意图。
[0029] 图IOA是根据本公开的至少一个实施方式的用于认证网络节点的物理位置的所 公开的方法的流程图,在此,网络节点发送地理位置认证请求。
[0030] 图IOB是根据本公开的至少一个实施方式的用于认证网络节点的物理位置的所 公开的方法的流程图,在此,具有已知位置的至少一个网络节点发送询问消息。
[0031] 图11是根据本公开的至少一个实施方式的各自采用用于发送消息的响应消息硬 件设备的两个网络路由器的示意图。
[0032] 图12是附接至路由器的响应消息硬件设备的示意图,其示出了根据本公开的至 少一个实施方式的与输入数据线在一条线上的设备。
[0033] 图13A、图13B和图13C是根据本公开的至少一个实施方式的当一起观察时描述进 入网络且使其物理位置被所公开的系统认证的网络节点的示意图。
[0034] 图14至图17旨在用于基于点波束的网络节点认证的所公开的系统和方法。
[0035] 图14是根据本公开的至少一个实施方式的可以由所公开的基于点波束的认证系 统采用的基于卫星的通信系统的示意图。
[0036] 图15A、图15B和图15C是根据本公开的至少一个实施方式的基于卫星的认证系统 的示意图。
[0037] 图16A是根据本公开的至少一个实施方式的可以适用于实现所公开的基于卫星 的认证系统的计算设备的示意图。
[0038] 图16B是根据本公开的至少一个实施方式的可由所公开的基于点波束的认证系 统采用的基于卫星的通信系统的示意图。
[0039] 图17是示出根据本公开的至少一个实施方式的用以认证目标节点的所公开的基 于点波束的认证方法的流程图。
【具体实施方式】
[0040] 本文中公开的方法和装置提供了用于基于路由器物理位置的安全路由的可操作 系统。具体地,该系统涉及使用基于位置的路由技术以确保信息从来源安全地传递至目的 地。具体地,系统被用于通过满足所定义的安全性约束的网络路径发送数据包,在此,安全 性约束基于一个或多个网络路由器的物理位置。
[0041] 基于位置的路由是一种描述使用路由器(例如,网络节点)位置进行数据包路由 和/或转发决定的方法的通用术语。先前的基于位置的路由的实施方式旨在优化网络路由 的效率而不是安全性。
[0042] 基于位置的路由的概念已经从理论角度进行研究,但是很少在实际上实现。相反, 更标准的技术通常用于网络路由,诸如路由信息协议(RIP)和开放式最短路径优先协议 (OSPF)。相比于网络安全的数据包路由,这些实践更注重高效的数据包路由。在此基于位 置的路由已经被实现,其通常被用于改善运载工具或移动设备的自组织网络的效率。
[0043] 本公开注重使用基于位置的路由技术以确保信息通过路由器(或节点)网络从来 源安全地传递至目的地。
[0044] 为了提供系统的更详尽的描述,在下列描述中阐述了许多具体细节。然而,对于本 领域的技术人员来说将显而易见的是,在没有这些具体细节的情况下也可以实践公开的系 统。在其他情况下,为了避免使该系统变得晦涩难懂,故没有详细描述众所周知的特征。 [0045] 图1示出根据本公开的至少一个实施方式的用于基于路由器物理位置进行安全 路由的所公开的方法1000的流程图,在此,该方法是静态路由法。具体地,此方法1000提 供至少一个数据包通过多个网络节点的安全数据传输。在方法1000的开始1010,至少一个 用户定义源网络节点和目的地网络节点1020,在此,源网络节点和目的地网络节点处于多 个网络节点中