基于路由器物理位置的安全路由的制作方法
【專利說明】
[0001] 相關申請的交叉引用
[0002] 本申請是于 2010 年 11 月 18 日提交的題為"Spot Beam Based Authentication" 的U.s.專利申請序列號12/949, 404的部分繼續申請并且要求其優先權和權益。本申請 是于 2011 年 10 月 27 日提交的題為"Geothentication Based on Network Ranging" 的 U.S.專利申請序列號13/283, 491的部分繼續申請并且要求其優先權和權益。這些申請兩 者的內容通過引用整體地結合于此。
技術領域
[0003] 本公開涉及安全路由。具體地，本公開涉及基于路由器物理位置的安全路由。
【背景技術】
[0004] 基于位置的路由是一種描述使用路由器（例如，網絡節點）位置進行數據包路由 和/或轉發決定的方法的通用術語。基于位置的路由的先前實施方式旨在優化網絡路由的 效率而不是安全。網絡攻擊正變得越來越先進并且對所指的網絡和它們相關聯的用戶具有 更災難性的影響。一種這類攻擊（中間人攻擊（MITM))已經用于重新路由居心不良目的數 據。本公開提供了增強的數據路由安全性系統和相關方法以減輕數據被路由到所定義的限 制之外。

【發明內容】

[0005] 本公開涉及用于基于路由器（例如，網絡節點）物理位置的安全路由的方法、系統 和裝置。具體地，本公開教導了使用基于位置的路由技術以確保信息從起源安全地傳遞至 目的地。方法被定義為通過被要求滿足安全性約束的網絡路徑發送數據包。安全性約束基 于一個或多個網絡路由器的物理位置。
[0006] 在一個或多個實施方式中，公開了一種用于通過多個網絡節點安全數據傳輸至少 一個數據包的方法。所公開的方法包含由至少一個用戶定義源網絡節點和目的地網絡節 點。在至少一個實施方式中，源網絡節點和目的地網絡節點在多個網絡節點中。該方法進 一步包含由至少一個用戶定義至少一種安全性約束，在此，安全性約束基于至少一個網絡 節點的物理位置。另外，該方法包含通過至少一個處理器將網絡節點地圖中可用的網絡節 點與至少一種安全性約束進行比較以確定哪些可用網絡節點是合格的網絡節點。合格的網 絡節點是滿足安全性約束的可用網絡節點。此外，該方法包括通過至少一個處理器確定包 括至少一個合格的網絡節點的路線以通過該路線將至少一個數據包從源網絡節點路由至 目的地網絡節點。進一步，該方法包括通過包括至少一個合格的網絡節點的路線將至少一 個數據包從源網絡節點傳輸至目的地網絡節點。
[0007] 在至少一個實施方式中，至少一個網絡節點是路由器、服務器、個人計算設備、個 人數字助理（PDA)、蜂窩電話、計算機節點、網絡協議（IP)節點、網關、Wi-Fi節點、網絡節 點、個人區域網（PAN)節點、局域網（LAN)節點、廣域網（WAN)節點、藍牙節點、ZigBee節點、 微波存取全球互通（WiMax)節點、第二代（2G)無線節點、第三代（3G)無線節點和/或第四 代（4G)無線節點。在一個或多個實施方式中，至少一個網絡節點是固定和/或移動的。在 一些實施方式中，至少一個網絡節點被容納在運載工具中。
[0008] 在至少一個實施方式中，至少一個用戶是人、實體、應用程序、程序、節點、路由器、 移動設備、處理器和/或計算機。在一些實施方式中，至少一種安全性約束是必須通過物 理定位在至少一個指定地理區內的網絡節點路由數據包。在至少一個實施方式中，至少一 種安全性約束是必須通過物理不定位在至少一個指定地理區內的網絡節點路由數據包。在 一些實施方式中，至少一個地理區是國家、州、省、縣、政府部門（例如，軍事基地）和/或城 市。在一個或多個實施方式中，由點限定的多邊形限定至少一個地理區。在一些實施方式 中，多邊形是規則的形狀或不規則的形狀。在至少一個實施方式中，由至少一個用戶指定每 一個點的經度和煒度來定義點。
[0009] 在一個或多個實施方式中，網絡節點地圖包括與至少一個網絡節點的物理位置有 關的信息、與任一網絡節點的物理位置是否可通過使用衛星定位技術認證有關的信息、與 任一網絡節點的物理位置是否可通過使用網絡Ping(包檢測器）測距測量認證有關的信 息、與任一網絡節點是否可加密數據包有關的信息和/或與任一網絡節點是否可解密數據 包有關的信息。在至少一個實施方式中，通過至少一個服務器保持網絡節點地圖。
[0010] 在一個或多個實施方式中，至少一種安全性約束是必須通過它們的物理位置可通 過使用衛星定位技術認證的網絡節點路由數據包。在一些實施方式中，衛星定位技術使用 至少一個認證信號從而獲得網絡節點的物理位置。在一個或多個實施方式中，至少一個認 證信號通過至少一個傳輸源傳輸，并且通過與網絡節點相關聯的至少一個接收源接收。在 一些實施方式中，在至少一個衛星和/或至少一個偽衛星中采用至少一個傳輸源。在至少 一個實施方式中，至少一個衛星是近地球軌道（LEO)衛星、中地球軌道（MEO)衛星和/或同 步地球軌道（GEO)衛星。在一些實施方式中，LEO衛星是銥LEO衛星。
[0011] 在至少一個實施方式中，所公開的方法采用銥LEO衛星星座。在一個或多個實施 方式中，星座中的銥LEO衛星的每一個具有以不同的點波束圖案傳輸四十八（48)個點波束 的天線幾何結構。在至少一個實施方式中，可以從星座中的至少一個銥衛星傳輸至少一個 認證信號。銥衛星的四十八（48)個點波束可以用于將定位的認證信號傳輸至定位在地球 表面上或在地球表面附近的接收源。與這些信號相關聯的廣播消息突發脈沖內容包括偽隨 機噪聲（PRN)數據。因為給定的消息突發脈沖可以在特定的時間發生在特定的衛星點波束 內，所以包括PRN和唯一波束參數（例如，時間、衛星識別（ID)、波束識別（ID)、時間偏差、 軌道數據等）的消息突發脈沖內容可以用于認證網絡節點的物理位置。應注意，當采用上 述銥LEO衛星之一時，傳輸信號功率足夠強以允許認證信號可靠地穿入室內環境，并且為 了這樣做可以采用信號編碼方法。這允許這些地理定位技術用于許多室內應用中。進一步 應當注意，本系統可采用至少一個下一代銥衛星、或現有銥衛星與下一代銥衛星構造的組 合。
[0012] 在一個或多個實施方式中，至少一種安全性約束是必須通過可使它們的物理位置 通過使用網絡Ping測距測量認證的網絡節點路由數據包。在一些實施方式中，從一個網絡 節點至另一個網絡節點來回發送ping(或類似ping的消息）期間所經過的時間量獲得網 絡ping測距測量。
[0013] 在至少一個實施方式中，至少一種安全性約束是如果網絡節點不能使它們的物理 位置被認證（例如，或通過衛星定位技術或通過網絡Ping測距技術），僅在至少一個數據 包被加密時才可通過網絡節點路由數據包。對于這些實施方式，該方法進一步包括利用至 少一個網絡節點的至少一個處理器加密數據包中的數據。另外，該方法包括利用至少一個 網絡節點傳輸加密的數據包。此外，該方法包括利用至少一個網絡節點接收加密的數據包。 此外，該方法包括利用至少一個網絡節點的至少一個處理器解密數據包中加密的數據。通 過至少一個網絡節點傳輸加密的數據包并且通過其他至少一個網絡節點接收加密的數據 包的這種技術被稱為"加密隧道"。本技術允許網絡節點經由網絡節點的物理位置不能被驗 證的這樣網絡節點的路徑安全地傳輸并且接收數據包。
[0014] 在一個或多個實施方式中，至少一種安全性約束中的至少一種是至少一個數據包 必須沿具有比閾值距離更小長度的路線從源網絡節點傳輸至目的地網絡節點。
[0015] 在至少一個實施方式中，在路由器、服務器、個人計算設備、個人數字助理（PDA)、 蜂窩電話、計算機節點、網絡協議（IP)節點、網關、Wi-Fi節點、網絡節點、個人區域網（PAN) 節點、局域網（LAN)節點、廣域網（WAN)節點、藍牙節點、ZigBee節點、微波存取全球互通 (WiMax)節點、第二代（2G)無線節點、第三代（3G)無線節點和/或第四代（4G)無線節點中 采用至少一個處理器。
[0016] 在一個或多個實施方式中，一種用于通過多個網絡節點安全數據傳輸至少一個數 據包的方法包括：由至少一個用戶定義源網絡節點和目的地網絡節點，在此，源網絡節點和 目的地網絡節點在多個網絡節點中。該方法進一步包括由至少一個用戶定義至少一種安全 性約束，在此，至少一種安全性約束基于至少一個網絡節點的物理位置。另外，該方法包括 通過至少一個處理器將至少一種安全性約束編碼到數據包中。此外，該方法包括通過源網 絡節點確定連接到源網絡節點的可用網絡節點中哪些是合格的網絡節點。合格的網絡節點 是滿足至少一種安全性約束的可用網絡節點。此外，該方法包括通過源網絡節點將數據包 傳輸至合格的網絡節點之一。另外，該方法包括通過接收數據包的任一個網絡節點確定連 接到接收數據包的網絡節點的可用網絡節點中哪些是合格的網絡節點。進一步，該方法包 括通過接收數據包的任一個網絡節點將數據包傳輸至合格的網絡節點之一，在此，通過合 格的網絡節點沿從源網絡節點至目的地網絡節點的路線傳輸數據包。
[0017] 本發明的各種實施方式可獨立實現或者可與其他實施方式結合實現特征、功能以 及優點。
【附圖說明】
[0018] 參考下述說明、附加的權利要求和附圖，將更好地理解本公開的這些和其它特征、 方面和優點，其中：
[0019] 圖1示出根據本公開的至少一個實施方式的用于基于路由器物理位置的安全路 由的所公開的方法的流程圖，在此，該方法是靜態路由方法。
[0020] 圖2示出根據本公開的至少一個實施方式的用于基于路由器物理位置的安全路 由的所公開的方法的流程圖，在此，該方法是自適應（或動態）路由方法。
[0021] 圖3是根據本公開的至少一個實施方式的地圖上的五個節點的示例性網絡的示 意圖以示出用于基于路由器物理位置的安全路由的所公開的系統和方法的操作。
[0022] 圖4是描述根據本公開的至少一個實施方式的使用標準的基于位置的路由技術 數據包在圖3的示例性網絡中行進的路線的示意圖。
[0023] 圖5是示出根據本公開的至少一個實施方式的使用用于基于具有地理約束的路 由器物理位置的安全路由的所公開的方法，數據包在圖3的示例性網絡中行進的路線的示 意圖。
[0024] 圖6描述根據本公開的至少一個實施方式的地圖上的六個節點的示例性網絡的 示意圖，以示出用于基于具有地理約束和地理位置認證約束的路由器物理位置的安全路由 的所公開的系統和方法的操作。
[0025] 圖7描述根據本公開的至少一個實施方式的七個節點的示例性網絡的示意圖，以 示出用于基于路由器物理位置的安全路由的所公開的系統和方法的操作。
[0026] 圖8示出根據本公開的至少一個實施方式的在圖7的示例性網絡中的隧道特征的 示意圖。
[0027] 圖9至圖13是旨在用于基于網絡節點的網絡測距的地理位置認證的所公開的系 統和方法。
[0028] 圖9是根據本公開的至少一個實施方式的用于認證網絡節點的物理位置的所公 開的系統的不意圖。
[0029] 圖IOA是根據本公開的至少一個實施方式的用于認證網絡節點的物理位置的所 公開的方法的流程圖，在此，網絡節點發送地理位置認證請求。
[0030] 圖IOB是根據本公開的至少一個實施方式的用于認證網絡節點的物理位置的所 公開的方法的流程圖，在此，具有已知位置的至少一個網絡節點發送詢問消息。
[0031] 圖11是根據本公開的至少一個實施方式的各自采用用于發送消息的響應消息硬 件設備的兩個網絡路由器的示意圖。
[0032] 圖12是附接至路由器的響應消息硬件設備的示意圖，其示出了根據本公開的至 少一個實施方式的與輸入數據線在一條線上的設備。
[0033] 圖13A、圖13B和圖13C是根據本公開的至少一個實施方式的當一起觀察時描述進 入網絡且使其物理位置被所公開的系統認證的網絡節點的示意圖。
[0034] 圖14至圖17旨在用于基于點波束的網絡節點認證的所公開的系統和方法。
[0035] 圖14是根據本公開的至少一個實施方式的可以由所公開的基于點波束的認證系 統采用的基于衛星的通信系統的示意圖。
[0036] 圖15A、圖15B和圖15C是根據本公開的至少一個實施方式的基于衛星的認證系統 的示意圖。
[0037] 圖16A是根據本公開的至少一個實施方式的可以適用于實現所公開的基于衛星 的認證系統的計算設備的示意圖。
[0038] 圖16B是根據本公開的至少一個實施方式的可由所公開的基于點波束的認證系 統采用的基于衛星的通信系統的示意圖。
[0039] 圖17是示出根據本公開的至少一個實施方式的用以認證目標節點的所公開的基 于點波束的認證方法的流程圖。
【具體實施方式】
[0040] 本文中公開的方法和裝置提供了用于基于路由器物理位置的安全路由的可操作 系統。具體地，該系統涉及使用基于位置的路由技術以確保信息從來源安全地傳遞至目的 地。具體地，系統被用于通過滿足所定義的安全性約束的網絡路徑發送數據包，在此，安全 性約束基于一個或多個網絡路由器的物理位置。
[0041] 基于位置的路由是一種描述使用路由器（例如，網絡節點）位置進行數據包路由 和/或轉發決定的方法的通用術語。先前的基于位置的路由的實施方式旨在優化網絡路由 的效率而不是安全性。
[0042] 基于位置的路由的概念已經從理論角度進行研究，但是很少在實際上實現。相反， 更標準的技術通常用于網絡路由，諸如路由信息協議（RIP)和開放式最短路徑優先協議 (OSPF)。相比于網絡安全的數據包路由，這些實踐更注重高效的數據包路由。在此基于位 置的路由已經被實現，其通常被用于改善運載工具或移動設備的自組織網絡的效率。
[0043] 本公開注重使用基于位置的路由技術以確保信息通過路由器（或節點）網絡從來 源安全地傳遞至目的地。
[0044] 為了提供系統的更詳盡的描述，在下列描述中闡述了許多具體細節。然而，對于本 領域的技術人員來說將顯而易見的是，在沒有這些具體細節的情況下也可以實踐公開的系 統。在其他情況下，為了避免使該系統變得晦澀難懂，故沒有詳細描述眾所周知的特征。 [0045] 圖1示出根據本公開的至少一個實施方式的用于基于路由器物理位置進行安全 路由的所公開的方法1000的流程圖，在此，該方法是靜態路由法。具體地，此方法1000提 供至少一個數據包通過多個網絡節點的安全數據傳輸。在方法1000的開始1010,至少一個 用戶定義源網絡節點和目的地網絡節點1020,在此，源網絡節點和目的地網絡節點處于多 個網絡節點中