Аутентификация радиоприемника спутниковой связи на основе сфокусированного луча

Уровень техники

Настоящее изобретение относится к электронной связи и безопасности сетей, и в частности к способам аутентификации, которые могут быть использованы в спутниковых системах для снижения уязвимости систем.

Электронная безопасность и безопасность сетей остаются важными элементами инфраструктуры по мере того, как электронная связь и системы передачи данных, включая сети, все более укореняются в обществе. Такие системы используются для широкомасштабной обработки данных и общих операций через Интернет и другие сети, уязвимость которых создает угрозу нашей национальной инфраструктуре. Как зарубежные, так и внутренние усилия проникновения, вскрытия и/или блокирования инфраструктурных элементов возрастают, и, таким образом, существует необходимость укреплять безопасность компьютеров, чтобы защитить эти системы от возрастающей угрозы. Доступ к этим системам не имеющих полномочий сторон может иметь разную степень влияния на общество, и, хотя любая конкретная атака может казаться менее значимой по своей сути, она может быть предшественником более агрессивной атаки в будущем. Очевидно, что электронные системы по всему миру все более и более подвергаются кибератакам. Кибератаки часто обусловлены уязвимостью сетей и часто проводятся имитацией правомочного конечного пользователя.

Существующие способы обнаружения несанкционированных пользователей или взломанных электронных систем недостаточны в том смысле, что даже если атака раскрыта, способы, используемые виновным, могут скрывать, откуда исходит несанкционированный доступ. Это создает дополнительные проблемы в том смысле, что если атака считается исходящей, например, из зарубежного государства, невозможность оценить общую информацию о местоположении несанкционированного пользователя означает, что официальные власти могут не иметь возможности возместить ущерб или более агрессивно воздействовать на зарубежные страны за проведения таких кибератак на США.

Существующие способы проверки идентичности являются в основном нефункциональными, такими как пароли, персональные коды и т.д., которые делают системы более уязвимыми для перехвата и других способов хакерского насилия.

Соответственно, дополнительные способы, используемые для ограничения доступа несанкционированных пользователей, а также способы аутентификации одной или более сторон, пытающихся получить доступ к электронной связи или сетям, могут укрепить безопасность этих существующих систем.

Краткое описание чертежей

Подробное описание приводится со ссылкой на прилагаемые чертежи.

На фиг.1 схематично показана система спутниковой связи по некоторым вариантам осуществления.

На фиг.2А, 2Б и 2В схематично показаны спутниковые системы аутентификации по некоторым вариантам осуществления.

На фиг.3А схематично показано вычислительное устройство, которое может быть адаптировано для осуществления спутниковой системы аутентификации по некоторым вариантам осуществления.

На фиг.3Б схематично показана система спутниковой связи по некоторым вариантам осуществления.

На фиг.4 приведена схема последовательности операций способа аутентификации лица, заявляющего право, по некоторым вариантам осуществления настоящего изобретения.

Сущность изобретения

Предлагаются устройства, системы и способы для аутентификации на основе сфокусированного луча. В одном или более вариантах осуществления способ аутентификации лица, заявляющего право, включает спутник, передающий опознавательные данные луча посредством сфокусированного луча, заявителя права, собирающего указанные данные при передаче через спутник, заявителя права, передающего данные устройству верификации, которое может включать использование посреднических средств передачи данных, устройство верификации, выполняющее аутентификацию заявителя права, когда разность между предъявленными данными и известным набором достоверных данных составляет величину в пределах определенного порога. В одном или более вариантах осуществления заявителю права предоставляется доступ к системе или ресурсу, как только он прошел аутентификацию указанным способом одноадресной аутентификации. В одном или более вариантах осуществления устройство верификации третьей стороны может выполнить аутентификацию заявителя права для сети с ведущей вычислительной машиной. В одном или более вариантах осуществления заявитель права может обладать устройством, которое способно и принимать данные, и передавать данные, поскольку в альтернативных вариантах осуществления эти две функциональные возможности могут быть заключены в различных частях аппаратного обеспечения, соединенных вместе.

В одном или более вариантах осуществления данные могут быть недействительны, и заявитель права будет лишен доступа. В одном или более вариантах осуществления данные могут быть помечены, как недостоверные, и могут потребоваться дополнительные данные для аутентификации заявителя права. В одном или более вариантах осуществления данные могут быть помечены, как недостоверные на базе назначенных уровней достоверности, и могут быть либо активизированы для аутентификации, либо переведены в ранг ограниченного применения. В одном или более вариантах осуществления заявитель права может передавать дополнительные идентификаторы в устройство верификации для использования при аутентификации, которые могут включать одно из следующих: информации по идентификации спутника, других захваченных данных заявителя права или производной информации, включающей локационные идентификаторы (например, наземные координаты и т.д.), время, сегмент псевдослучайного кода (т.е. ключ аутентификации), и опознавательные данные заявителя права (например, пароли, ключи, сертификаты безопасности и т.д.). Используемый в настоящем документе термин "жизнеспособность" относится к этим типам идентификаторов. В одном или более вариантах осуществления ключ аутентификации может быть передан посредством сфокусированного луча и меняться с геометрией сфокусированного луча в зависимости от времени, так чтобы коды от меняющихся сфокусированных лучей регулировались таким образом, чтобы сохранялись результирующие свойства оптимальной корреляции. Специалисты в данной области техники должны понимать, что могут быть использованы массивы многофазных антенн для генерирования динамических сфокусированных лучей и, таким образом, по меньшей мере в одном варианте осуществления массив многофазных антенн может быть использован для генерирования сфокусированных лучей. В одном или более вариантах осуществления заявитель права может передавать по меньшей мере одно заданное значение промежуточной точки маршрута в устройство верификации, где это заданное значение промежуточной точки маршрута может быть захвачено, в то время как заявитель права может двигаться. По меньшей мере в одном варианте осуществления заданное значение промежуточной точки маршрута может быть захвачено, в то время как заявитель права находится по меньшей мере в одной временной точке стационарно.

По меньшей мере в одном варианте осуществления помимо способа одноадресной аутентификации клиента используется способ многоадресной аутентификации электронных вычислительных устройств для аутентификации их самих друг с другом (т.е. двухадресная аутентификация, трехадресная аутентификация и т.д.). Электронное вычислительное устройство(а) может включать мобильный радиотелефон, мобильное вычислительное устройство, узел компьютерной сети, сервер или узел беспроводной сети и т.д. Этот способ может быть использован для беспроводной и/или проводной сети. Этот способ позволяет устройствам выполнять аутентификацию самих себя для других устройств и может позволить таким устройствам определить степень или иным образом объем доступа к информации и/или услугам, которые предоставляются после успешной аутентификации. Услуга может включать доступ к информации, такой как защищенные сети (например, дистанционное банковское обслуживание и т.д.), защищенные базы данных, электронная почта компаний и другие проблемно-ориентированные услуги и т.д. или другие защищенные ресурсы, включая связанные с проводными, беспроводными и/или произвольными сетями. Кроме того, степень или объем доступа также может быть специфическим в контексте одного или более устройств в этом способе многоадресной аутентификации.

По меньшей мере в одном варианте осуществления устройство аутентификации заявителя права содержит процессор и модуль памяти, содержащий логические команды, которые при их выполнении конфигурируют процессор для приема от заявителя права по меньшей мере одного локационного идентификатора, предоставляемого заявителем права, и по меньшей мере одного набора данных промежуточной точки маршрута, захваченных заявителем права при передаче по лучу спутника, сравнения по меньшей мере одного локационного идентификатора и по меньшей мере одного набора данных промежуточной точки маршрута с набором известных достоверных данных и аутентификации заявителя права, когда разность между по меньшей мере одним локационным идентификатором и по меньшей мере одним набором данных промежуточной точки маршрута и набором известных данных попадает в заданный диапазон.

По меньшей мере в одном варианте осуществления система аутентификации заявителя права содержит по меньшей мере один спутник на околоземной орбите для передачи луча от спутника в соответствии с известной геометрией сфокусированного луча, по меньшей мере одно электронное устройство, содержащее приемник для приема по меньшей мере одного набора данных промежуточной точки маршрута от луча спутника и локационного датчика для определения местоположения электронного устройства, и по меньшей мере одно устройство верификации, коммуникативно соединенное по меньшей мере с одним электронным устройством для аутентификации заявителя права с использованием местоположения, определенного электронным устройством, по меньшей мере одного набора данных промежуточной точки маршрута и набора известных данных.

Подробное описание

В следующем описании изложены многочисленные конкретные детали для полного понимания различных вариантов осуществления. Однако специалисты в данной области техники должны понимать, что различные варианты осуществления могут быть реализованы без конкретных деталей. В других случаях хорошо известные способы, процедуры, компоненты и элементы не показаны или не описаны подробно, чтобы не затруднять понимание конкретных вариантов осуществления.

Способы аутентификации объектов или пользователей позволяют устройству верификации третьей стороны подтверждать подлинность пользователя, функционального средства или устройства (например, заявителя права), использующего удаленный ресурс, посредством способа одноадресной аутентификации. Однако следует отметить, что этот одноадресный способ также может быть использован непосредственно сервером для подтверждения заявителя права. Объектом может быть устройство (например, мобильный радиотелефон, компьютер, сервер или аналогичное им) или функциональное средство, которое должно быть отслежено, в то время как пользователем может быть человек или другой живой/неживой объект. Объект и/или пользователь может получить аутентификацию на все время соединения или на сеанс. Объект и/или пользователь может потребовать повторной аутентификации после первоначальной аутентификации. Требования повторной аутентификации могут быть заданы сетью с ведущей вычислительной системой и могут быть специфическими по контексту. В альтернативном варианте осуществления эта система может быть использована для системы аутентификации на базе сообщений, которая требует способа отдельной аутентификации для каждого сообщения. Описанные в настоящем документе способы могут быть использованы для аутентификации либо на базе сеанса, либо на базе сообщений, либо на базе комбинации и того, и другого.

Кроме того, этот способ может быть применен для самих принимающих устройств так, чтобы одноадресную аутентификацию не могла выполнить дистанционная третья сторона, а только одно или более из принимающих устройств. Когда этот способ выполняется одиночным устройством, он все еще считается способом одноадресной аутентификации. Однако этот способ также может быть применен для способа многоадресной аутентификации, чтобы позволить по меньшей мере двум одноранговым устройствам выполнить аутентификацию друг друга. В этом одноадресном или многоадресном способе аутентификации устройства аутентификация в основном может быть основана на совместно используемом секретном ключе (симметричном и асимметричном), чтобы каждое из двух правомочных принимающих устройств его знало, а какое-либо несанкционированное или мошенническое приемное устройство не знало. Каждое устройство может иметь уникальные идентификационные данные, такие как секретный пароль, сообща используемый этим устройством и одноранговым устройством, или открытый/секретный ключевые пары в виде сертификатов безопасности. Устройство само себя аутентифицирует, когда оно доказывает для убеждения другого однорангового устройства, что оно знает совместно используемый секретный ключ, и, следовательно, является полномочным. Когда аутентификация выполнена между по меньшей мере двумя устройствами в этом многоадресном способе аутентификации, устройства доказывают свою подлинность друг другу. Устройства затем могут создавать свою собственную аутентифицированную сеть, в которой они могут выбирать введение политики информационной безопасности, которая согласована, чтобы защитить связь и доступ к сетевым ресурсам в данном контексте.

Существующие способы аутентификации могут быть использованы или скомбинированы для создания исходного защитного ключа(ей). Исходный защитный ключ может, например, быть совместно создан с использованием метода Диффи-Хеллмана или может быть создан просто одним из одноранговых устройств и передан на другое посредством альтернативного секретного канала/способа.

В любом случае сопровождение исходного защитного ключа может включать некоторую совместно используемую информацию о жизнеспособности (как указано выше). В этом варианте осуществления информация о жизнеспособности предусмотрена посредством сфокусированного луча от спутника и может включать такие параметры для использования при аутентификации, как временная метка и псевдослучайное число (PRN).

Применение совместно используемой информации о жизнеспособности может быть использовано в расчетах, позволяя использовать различные секретные ключи каждый раз, когда инициализация устройства выполняет аутентификацию самого себя для однорангового устройства. Это предотвращает инициирование статистической атаки потенциальным мошенническим перехватчиком каждый раз, когда инициализация устройства сопровождается аутентификацией, добавлением вновь перехваченных сообщений к анализу сообщений, перехваченных во время инициализации предыдущих сеансов устройства. Информация о жизнеспособности и исходный защитный ключ затем могут быть утверждены, как входные данные для ограничивающей функции. Используемый в настоящем документе термин "ограничивающая" относится к функции, для которой выходные данные функции полностью определяются входными данными. Эта ограничивающая функция может быть выполнена отдельно на инициализирующем устройстве и на одноранговом устройстве. Если эти два устройства должны создавать различные выходные данные, когда они выполняют ограничивающую функцию, то защитные ключи, полученные посредством этой функции, не должны совпадать, устройство не может быть аутентифицировано и, таким образом, не может быть использовано для двухсторонней связи.

Кроме того, что эта функция является ограничивающей, для целей безопасности она должна быть по определению необратимой. Зная выходные данные функции, должно быть очень трудно или невозможно определить ее входные данные. Хэшированные данные образуют класс функций, которые являются как ограничивающими, так и по определению необратимыми, и, вследствие этого, часто используются в расчетах кодирования и аутентификации. Псевдослучайная функция (PRF), используемая с хорошо известным протоколом безопасности транспортного уровня (TLS), является примером варианта осуществления ограничивающей функции, которая может быть использована.

PRF комбинирует результаты двух хорошо известных хэш-функций, Message-Digest Algorithm 5 (MD5) (алгоритм представления сообщения в краткой форме) и Secure Hash Algorithm 1 (SHA-1) (алгоритм безопасного хэширования). PRF использует две хэш-функций, чтобы обеспечить безопасность в том случае, когда кто-либо определяет, как обратить одну из двух хэш-функций. Эти две хэш-функций создают выходные данные, которые могут быть слишком коротки, чтобы быть оптимальными для обеспечения безопасности. SHA-1 создает 20-байтовые выходные данные, а MD5 создает 16-байтовые выходные данные. Поэтому для каждой из этих двух хэш-функций может быть определена "функция увеличения объема данных", которая использует хэш-функцию для получения выходных данных произвольной длины. Для SHA-1 функция увеличения объема данных может быть определена, как P_SHA-1:

EQ 1: P_SHA-1 (исходный защитный ключ, жизнеспособность)=

SHA-1 (исходный защитный ключ, А(1) + жизнеспособность)+

SHA-1 (исходный защитный ключ, А(2) + жизнеспособность)+

SHA-1 (исходный защитный ключ, А(3) + жизнеспособность)+…,

где А(0) = жизнеспособность;

A(i)=SHA-1 (исходный защитный ключ, A(i-1));

и "+" - знак, указывающий конкатенацию строк.

Определение функции увеличения объема данных P_MD5 аналогично приведенному выше определению с заменой SHA-1, на MD5 в соответствующих местах. Выполнение функций увеличения объема данных может быть повторено столько раз, сколько нужно для получения выходных данных нужной длины. Нужная длина выходных данных может быть установлена в качестве одного из вариантов осуществления. По меньшей мере в одном варианте осуществления нужная длина выходных данных для каждой хэш-функции составляет 128 байт. P_SHA-1 может быть повторена до А(7) для получения общей длины выходных данных 140 байт (каждая итерация увеличивает длину выходных данных на 20 байт). Выходные данные затем могут быть сокращены до 128 байт. Каждая итерация P_MD5 создает 18 байт, так что при итерациях до A(8) получается нужная длина 128 байт без сокращения.

В одном варианте осуществления аутентификации на базе сфокусированного луча с выбранными хэш-функциями и их функциями увеличения объема данных, примененными для достижения нужной длины выходных данных, PRF принимает в качестве входных данных расширенный исходный защитный ключ, этикетку (заранее определенную строку ASCII) и переданную информацию о жизнеспособности. PRF задается как поразрядное исключенное ИЛИ (XOR - Исключенное ИЛИ) выходных данных двух функций увеличения объема хэшированных данных P_MD5 и P_SHA-1:

EQ: 2 PRF (расширенный исходный ключ, этикетка, жизнеспособность)=

P_MD5 (S1, этикетка + жизнеспособность) XOR

P_SHA-1 (S2, этикетка + жизнеспособность),

где S1 - первая половина расширенного исходного защитного ключа, измеренная в байтах, и S2 - вторая половина расширенного исходного защитного ключа. (Если длина расширенного исходного защитного ключа является нечетным числом, то его средний байт является как последним байтом S1, так и первым байтом S2). Поскольку итерации P_MD5 и P_SHA-1 выполняются для получения 128-байтных выходных данных, выходные данные PRF также составляют 128 байтов.

128-байтные выходные данные PRF разделены на четыре 32-байтных защитных ключа сеанса. Затем каждый из сеансовых защитных ключей сокращается до длины, требуемой по используемым протоколам аутентификации и шифрования. Сокращенный результат представляет собой один из нового набора сеансовых изменяемых защитных ключей. Получение сеансовых изменяемых защитных ключей позволяет как инициирующему устройству, так и одноранговому устройству использовать опосредованно либо исходный секретный ключ, либо расширенный исходный защитный ключ, чтобы минимизировать или по меньшей мере снизить утечку информации по защитным ключам. Получение сеансовых изменяемых защитных ключей также позволяет инициирующему устройству и одноранговому устройству обновлять сеансовые защитные ключи, полученные по расширенному исходному защитному ключу с регулярными интервалами, или когда дана команда предотвратить статистический анализ путем ограничения использования сеансовых защитных ключей.

Каждый из сеансовых изменяемых защитных ключей аутентификации и кодирования предназначен для следующей конкретной цели: i) шифрование передачи данных, для конфиденциальности, от инициирующего устройства к одноранговому устройству; ii) шифрование передачи данных, для конфиденциальности, от однорангового устройства к инициирующему устройству; iii) подпись передачи данных, для защищенности, от инициирующего устройства на одноранговое устройство; и iv) подпись передачи данных, для защищенности, от однорангового устройства на инициирующее устройство.

При получении исходного защитного ключа для аутентификации на базе сфокусированного луча могут использоваться методы Диффи-Хеллмана с применением общепринятого и хорошо известного общедоступного генератора первообразного корня "g" и простого модуля "p". Каждое из инициирующего устройства и однорангового устройства выбирает произвольное секретное целое число и заменяет его соответствующим ((g<A>(секретное целое число))mod p). Эта замена позволяет инициирующему устройству и одноранговому устройству получить совместно используемый исходный секретный ключ с помощью метода Диффи-Хеллмана.

Получив исходный секретный ключ, которым совместно пользуются как инициирующее устройство, так и одноранговое устройство, они могут использовать расширение данных для получения расширенного исходного секретного ключа с помощью, например, P_SHA-1. Информация о жизнеспособности для способа расширения данных может представлять собой известное произвольное значение или временную метку, которая согласована инициирующим устройством и одноранговым устройством. В некоторых вариантах осуществления одноранговое устройство может выбирать произвольное значение и передавать его на инициирующее устройство через спутниковую или наземную сеть. В альтернативном варианте как инициирующее устройство, так и одноранговое устройство могут согласовать временную метку, поскольку они жестко синхронизированы по времени, и, тем самым, избежать обмена данными, при этом сохраняя способность выбирать жизнеспособность по совместно используемому/общему значению временной метки.

В соответствии с этим инициирующее устройство и одноранговое устройство обладают совместно используемым расширенным исходным секретным ключом, который может быть использован для получения нового набора сеансовых изменяемых защитных ключей. Что касается жизнеспособности, инициирующее устройство и одноранговое устройство могут использовать либо совместно используемое произвольное значение, которое передается одноранговым устройством, либо совместно используемое/общее значение временной метки. Сеансовые изменяемые защитные ключи могут быть использованы путем инициирующего устройства и однорангового устройства для дополнительного шифрования и подписи для обмена информацией о геопозиционировании и в другом контексте между инициирующим устройством и одноранговым устройством. Информация о геопозиционировании и в другом контексте считается конфиденциальной и, следовательно, требуется, чтобы такая информация была зашифрована для обеспечения того, что только аутентифицированное инициирующее устройство и одноранговое устройство могут извлечь переданную информацию о геопозиционировании и контекстную информацию. Следует отметить, что геопозиционирование аутентифицируется посредством способа, описанного в этой патентной заявке с помощью псевдослучайных (PRN) кодовых последовательностей и опознавательного параметра луча. Контекстная информация совместного использования может включать другую информацию о состоянии или управлении, предназначенную для систем поддержки принятия решений или выполнения целевого приложения по защите киберпространства, помимо шифрования целостность передаваемой информации о геопозиционировании и контекстной информации обеспечивается за счет использования сеансовых изменяемых защитных ключей для подписи, как указано выше.

Вкратце, в некоторых вариантах осуществления системы и способы аутентификации, описанные в настоящем документе, могут успешно применять способы геопозиционирования для определения положения заявителя права, как часть способа аутентификации. Один такой способ геопозиционирования определен в одновременно рассматриваемой заявке на патент США №12/756961, озаглавленной "Geolocation Leveraging Spot Beam Overlap", описание которой включено в настоящий документ посредством ссылки в полном объеме. Когда требуется аутентификация, устройство заявителя права может захватить и передать опознавательные параметры подписи устройству верификации. Кроме того, устройство заявителя права может передавать свой заявленный маршрут (т.е., промежуточный пункт(ы) и время нахождения). Промежуточные пункты маршрута могут быть переданы независимо от того, является ли устройство стационарным или передвижным. Устройство верификации может использовать заявленные параметры подписи луча заявителя права (по меньшей мере один промежуточный пункт маршрута и по меньшей мере один момент времени, связанный с этим промежуточным пунктом маршрута) и захват параметра луча для аутентификации заявителя права. Например, заявитель права может считаться прошедшим аутентификацию устройством верификации, если параметры луча, захваченные по меньшей мере по одному сфокусированному лучу, и по меньшей мере один заявленный промежуточный пункт маршрута подтвержден относительно известного достоверного набора данных. Таким образом, заявитель права может получить аутентификацию, как находящийся в пределах некоторой области в конкретное время. Составной код на основе этих параметров обеспечивает сигнал, который чрезвычайно трудно имитировать, изучить или подделать. Кроме того, структура сигнала и мощность сигнала, принятого от спутника позволяют выполнить аутентификацию, используемую в помещении или в другом месте с высоким ослаблением. Это повышает общую полезность этого системного способа.

Сущность этой заявки описана главным образом в контексте спутников на околоземной орбите (LEO), таких как спутниковая группировка Indium. Однако для специалистов в этой области очевидно, что способы, описанные в настоящем документе, легко применимы для других спутниковых систем, например, системы спутников на средней околоземной орбите (МЕО) или системы спутников на геосинхронной орбите (GEO). Такие системы связи на базе спутников могут содержать или использовать другие мобильные системы связи, например, бортовые системы связи или аналогичные им, а также стационарные платформы связи, включая, но не ограничиваясь этим, водные суда или вышка-ретранслятор оператора мобильной связи.

На фиг.1 схематично показана система 100 связи на базе спутника по некоторым вариантам осуществления. На практике система 100 связи на базе спутника может содержать по меньшей мере один спутник 110 на орбите. Для краткости одиночный спутник показан на фиг.1. В некоторых вариантах осуществления по фиг.1 система 100 содержит один или более спутников 110 на связи с одним или более принимающих устройств 120. В некоторых вариантах осуществления спутники 110 могут быть осуществлены в виде LEO спутников, таких как спутники в спутниковой группировке Indium. Спутник(и) 110 вращаются вокруг Земли по известной орбите и могут передавать один или более сфокусированных лучей 130 на поверхность Земли по известному образцу. Каждый сфокусированный луч 130 может содержать такую информацию, как псевдослучайные (PRN) данные и один или более опознавательных параметров луча (например, время, ID спутника, сдвиг во времени, данные орбиты спутника и т.д.).

Приемное устройство(а) 120 может быть осуществлено как устройство связи, такое как спутниковые или сотовые телефоны, или как компоненты устройства коммуникации или вычислительного устройства, например, персональный компьютер, портативный компьютер, персональный цифровой помощник или аналогичные. В некоторых вариантах осуществления приемное устройство (120) может содержать один или более устройств обнаружения или навигации или модулей, аналогичных устройствам, используемым при соединении с системой глобального позиционирования (GPS).

На фиг.2А, 2Б и 2В схематично показаны системы 200 аутентификации на базе спутника по некоторым вариантам осуществления. На фиг.2А в некоторых вариантах осуществления спутник 110 на орбите передает один или более сфокусированных лучей 130 на поверхность Земли. Приемное устройство 120 может быть предназначено для приема сигнала по сфокусированному лучу. В варианте осуществления, показанном на фиг.2А, приемное устройство является наземным и может функционировать в условиях сильного ослабления сигнала. Например, объект 210, такой как крыша, здание или аналогичное им может загораживать участок канала связи между спутником 110 и принимающим устройством.

Передатчик 220 передает данные, принимаемые принимающим устройством 120, и/или данные генерируемые принимающим устройством 120, на устройство 230 верификации. Передатчик 220, показанный на фиг.2, представляет собой беспроводной передатчик, который передает данные от принимающего устройства на устройство верификации. Однако для специалистов в этой области очевидно, что данные от принимающего устройства 120 могут быть переданы посредством проводной системы связи, беспроводной системы связи или комбинации проводной и беспроводной систем. Устройство 230 верификации использует данные, собранные через сфокусированный луч принимающим устройством 120, чтобы подтвердить для устройства 230 верификации, что оно является санкционированным пользователем, посредством способа одноадресной аутентификации, который также показан на фиг.2Б.

Кроме того, на фиг.2Б показано расположение, при котором приемное устройство 120 может быть бортовым, например, в самолете 125. В варианте осуществления, показанном на фиг.2Б, самолет 125 может поддерживать канал связи "Земля-спутник" со спутником 110, например, канал связи "Земля-спутник" в СВЧ-диапазоне, и данные, собранные принимающим устройством 120 в самолете могут быть переданы назад на спутник 110 через канал связи "Земля-спутник". Спутник 110 может передавать данные на второй спутник-промежуточный центр 110 связи, которой, в свою очередь может передавать данные на устройство 230 верификации.

Система на фиг.2В иллюстрирует вариант осуществления, в котором два (или более) одноранговых устройств 120 могут осуществлять двухсторонний способ аутентификации для аутентификации друг друга. На фиг.2В, как указано выше, спутник 110 на орбите передает один или более сфокусированных лучей 130 на поверхность Земли. Первое приемное устройство 120А может быть предназначено для приема сигнала по сфокусированному лучу. Первое приемное устройство 120А может быть предназначено для получения защитного ключа, например, с использованием способа Диффи-Хеллмана, как указано выше, в котором PRN-данные формируют сфокусированный луч.

PRN-данные также передаются на второе устройство 120В. В некоторых вариантах осуществления второе устройство 120В может быть вне сфокусированного луча 130, и при этом PRN-данные могут быть переданы вычислительным устройством 240, присоединенным ко второму устройству 120В посредством коммуникационной сети. Вычислительное устройство 240 может быть коммуникативно присоединено к спутнику 110. В качестве примера, а не ограничения, вычислительное устройство 240 может представлять собой сервер, который отдельно присоединен к спутнику 110 посредством коммуникационного канала связи. Компьютер 240 может быть связан с управляющей сетью спутника 110 и, тем самым, может обладать PRN-данными, связанными со сфокусированным лучом 130.

При эксплуатации первое приемное устройство 120А инициирует запрос на предоставление данных аутентификации, который передается на второе приемное устройство 120В. Коммуникационный канал связи между первым принимающим устройством 120В может быть прямым или может быть осуществлен через передающую сеть 220. Второе приемное устройство 120В отвечает на запрос и выдает почти одновременно запрос на предоставление данных аутентификации от первого принимающего устройства 120А. Первое приемное устройство 120А выполняет аутентификацию второго принимающего устройства 120В и почти одновременно выдает в ответ данные аутентификации второму принимающему устройству 120В, которое затем может выполнить аутентификацию первого принимающего устройства 120А.

Как указано выше, способ аутентификации, осуществленный между первым принимающим устройством 120А и вторым принимающим устройством 120В, может быть обменом по способу Диффи-Хеллмана, в котором совместно используемый секретный ключ содержит по меньшей мере часть PRN данных, переданных посредством сфокусированного луча 130. Таким образом, система, показанная на фиг.2В, обеспечивает аутентификацию при обмене между одноранговыми принимающими устройствами 120А, 120В. Для специалиста в этой области очевидно, что этот двухсторонний способ аутентификации может быть расширен на приемное устройство и сервер, а также другие структуры аппаратного обеспечения, или на более, чем два устройства.

На фиг.3 схематично показана вычислительная система, которая может быть адаптирована для осуществления системы аутентификации на базе спутника, по некоторым вариантам осуществления. Например, в вариантах осуществления, показанных на фиг.2А и 2Б, устройство 230 верификации может быть осуществлено посредством вычислительной системы, как показано на фиг.3. На фиг.3 в одном варианте осуществления система 300 может включать вычислительное устройство 308 и один или более сопроводительных устройств ввода-вывода, включая индикатор 302 с экраном 304, один или более громкоговорителей 306, клавиатуру 310, один или более других устройств 312 ввода-вывода и мышь 314. Другое устройство(а) 312 ввода-вывода может включать сенсорный экран, активируемое голосом входное устройство, трекбол и любое другое устройство, которое позволяет системе 300 принимать входные данные от пользователя.

Вычислительное устройство 308 включает системное аппаратное обеспечение 320 и память 330, которая может быть осуществлена в виде ОЗУ и/или ПЗУ. Файловая память 380 может быть коммуникативно присоединена к вычислительному устройству 308. Файловая память 380 может быть внутренней для вычислительного устройства 308, например, такой как один или более накопителей на жестких дисках, дисководы CD-ROM, дисководы DVD-ROM или другие типы устройств хранения. Файловая память 380 также может быть внешней по отношению к компьютеру 308, например, такой как один или более накопителей на жестких дисках, сетевых хранилищ или отдельных сетей хранения данных.

Системное аппаратное обеспечение 320 может включать один или более процессоров 322, по меньшей мере два графических процессора 324, сетевые интерфейсы 328 и шинные структуры 328. В одном варианте осуществления процессор 322 может быть осуществлен посредством процессора Intel® Core2 Duo®, предлагаемый компанией Intel Corporation, Santa Clara, Калифорния, США. Используемый в настоящем документе термин "процессор" означает любой тип вычислительного элемента, такой как, не в качестве ограничения, микропроцессор, микроконтроллер, микропроцессор со сложным набором машинных команд (CISC), микропроцессор с сокращенным набором команд (RISC), микропроцессор с командными словами очень большой длины (VLIW) или любой другой тип процессора или схемы обработки.

Графические процессоры 324 могут функционировать, как дополнительные процессоры, которые управляют графическими и/или видео операциями. Графические процессоры 324 могут быть встроены на материнской плате вычислительной системы 300 или могут быть присоединены посредством гнезда расширения на материнской плате.

В одном варианте осуществления сетевой интерфейс 328 может представлять собой проводной интерфейс, такой как интерфейс Ethernet (см., например, Институт инженеров по электротехнике и электронике/IEEE 802.3-2002) или беспроводной интерфейс, такой как IEEE 802.11a, b или g-совместимый интерфейс (см., например, IEEE Standard for IT-Telecommunications and information exchange between systems LAN/MAN-Part II: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 4: Further Higher Data Rate Extension in the 2.4 GHz Band, 802.1 1 G-2003 (IEEE стандарт для IT-телекоммуникаций и обмену информацией между системами LAN/MAN) - Part II: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 4:

Further Higher Data Rate Extension in the 2.4 GHz Band, 802.1 1 G-2003). Другим примером беспроводного интерфейса является интерфейс общего сервиса пакетной радиопередачи данных (GPRS) (см., например, Guidelines on GPRS Handset Requirements, Global System for Mobile Communications/GSM Association, Ver. 3.0.1, December 2002.

Шинные структуры 328 соединяют различные компоненты системного аппаратного обеспечения 128. В одном варианте осуществления шинные структуры 328 могут быть одного или нескольких типов шинных структур, включая шину памяти, шину периферийных устройств или шину внешних устройств и/или локальную шину с использованием любого числа существующих шинных структур, включая, но не ограничиваясь этим, 11-битовую шину, Industrial Standard Architecture (ISA), Micro-Channel Architecture (MSA), Extended ISA (EISA), Intelligent Drive Electronics (IDE), VESA Local Bus (VLB), Peripheral Component Interconnect (PCI), Universal Serial Bus (USB), Advanced Graphics Port (AGP), Personal Computer Memory Card International Association bus (PCMCIA), and Small Computer Systems Interface (SCSI).

Память 330 может включать операционную систему 340 для управления вычислительным устройством 308. В одном варианте осуществления операционная система 340 включает модуль 354 интерфейса аппаратного обеспечения, который обеспечивает интерфейс для аппаратного обеспечения 320 системы. Кроме того, операционная система 340 может включать файловую систему 350, которая управляет файлами, используемыми при эксплуатации вычислительного устройства 308 и подсистему 352 управления вычислительным процессом, которая управляет процессами, выполняемыми на вычислительном устройстве 308.

Операционная система 340 может включать (или управлять) один или более интерфейсов связи, которые могут работать совместно с аппаратным обеспечением 120 системы для приемо-передачи пакетов данных и/или потоков данных от удаленного источника. Операционная система 340 дополнительно может включать модуль 342 интерфейса вызова системы, который обеспечивает интерфейс между операционной системой 340 и одним или более модулями приложений, находящимися в памяти 330. Операционная система 340 может быть реализована в виде операционной системы UNIX или любой ее производной (например, Linux, Solaris и т.д.) или в виде операционной системы марки Windows® или других операционных систем.

В различных вариантах осуществления вычислительное устройство 308 может быть осуществлено в виде персонального компьютера, компактного компьютера, персонального цифрового помощника, мобильного телефона, электронного устройства или другого вычислительного устройства.

В одном варианте осуществления память 330 включает модуль 382 аутентификации для аутентификации заявителя права на основе данных, принимаемых от заявителя права. В одном варианте осуществления модуль 382 аутентификации может включать логические команды, зашифрованные на неизменяемом машиночитаемом носителе, которые при исполнении их процессором 322, приводит к выполнению этим процессором 322 аутентификации заявителя права на основе данных, принимаемых от заявителя права. Кроме того, память 330 может содержать базу данных 364 орбиты спутника, которая содержит информацию об орбите для спутников 110 на заранее определенной орбите вокруг Земли. Дополнительные детали относительно способа аутентификации и операций, осуществляемых модулем 362 аутентификации, описаны далее.

В некоторых вариантах осуществления приемное устройство 120 может быть осуществлено в виде модуля связи по спутнику, адаптированного для соединения с обычным вычислительным устройством 122 (например, портативным компьютером, электронным помощником или смартфоном).

Приемное устройство 120 может быть присоединено к вычислительному устройству 122 посредством подходящего коммуникационного соединения, например, посредством интерфейса с универсальной последовательной шиной (USB), интерфейса RS-232, оптического интерфейса или аналогичного им. В варианте осуществления, показанном на фиг.3Б, приемное устройство 120 может быть "маломощным" устройством в том смысле, что оно может включать приемник и ограниченную способность обработки, например, специализированную микросхему (ASIC) или программируемую пользователем вентильную матрицу (ППВМ), конфигурированную для осуществления процедуры аутентификации.

При эксплуатации пользователь вычислительного устройства 122 может использовать приемное устройство 120 для аутентификации вычислительного устройства 122 с серверной сетью 390. Как указано выше, приемное устройство 120, показанное на фиг.3, может принимать передачу 130 сфокусированного луча от спутника 110, которая включает опознавательную подпись луча и псевдослучайное число (PRN), Вычислительное устройство 122 может инициировать запрос доступа к серверной сети 390. Запрос доступа может включать специфическую информацию пользователя, например, ID пользователя, одну или более координат по наземной системе координат (например, почтовый индекс, код города, широту/долготу, универсальную поперечную проекцию Меркатора (UTM); систему декартовых координат, геоцентрически связанную с Землей (ECEF), всемирную систему географических координат (GEOREF) или другую систему, например, почтовый индекс) и по меньшей мере участок PRN данных, принимаемых от спутника 110.

Серверная сеть 390 может передавать запрос доступа пользователя на устройство 230 верификации в качестве запроса аутентификации. В некоторых вариантах осуществления серверная сеть может добавлять дополнительную информацию к запросу, чтобы разрешить устройству 230 верификации выполнить аутентификацию компьютера 122. Например, серверная сеть 130 может предусмотреть ограничения в отношении того, где (т.е., с точки зрения географического положения) может быть аутентифицирован заявитель права. Устройство 230 верификации может установить подлинность заявителя права и предусмотреть ответ по аутентификации серверной сети 390. Серверная сеть 390, в свою очередь, может направить ответ по доступу на вычислительное устройство 122.

На фиг.4 представлена схема последовательности операций способа аутентификации лица, заявляющего право, по некоторым вариантам осуществления. На фиг.4 при операции 410 устройство заявителя права определяет физическое местоположение устройства заявителя права. В некоторых вариантах осуществления устройство 120 заявителя права может содержать один или несколько локационных модулей для определения местоположения устройства 120 заявителя права. В качестве примера, а не ограничения, устройство 120 заявителя права может включать или быть коммуникативно присоединено к модулю глобальной системы позиционирования (GPS) для определения местоположения на основе сигналов от глобальной системы позиционирования. В альтернативном варианте или дополнительно устройство 120 заявителя права может включать логическую схему для определения местоположения на основе сигналов от одного или нескольких спутников 110 LEO или МЕО, описанных в одном или более патентах США с номерами 7489928, 7372400, 7579987 и 7468898, описание которых включено в настоящий документ посредством ссылки в соответствующей им полноте; в некоторых вариантах осуществления местоположение устройства 120 заявителя права может быть выражено в координатах широты/долготы или другой наземной системе координат.

При операции 415 устройство 120 заявителя права принимает передачу сфокусированного луча от спутника 110. В некоторых вариантах осуществления устройство 120 заявителя права выделяет один или более опознавательных параметров луча (например, время, ID спутника, ID луча, сдвиг времени, данные орбиты спутника и т.д.), включая псевдослучайную кодовую последовательность по сфокусированному лучу спутника. В некоторых вариантах осуществления устройство 120 заявителя права может сохранять параметры луча в модуле памяти или коммуникативно быть подсоединено к устройству 120 заявителя права. В одном или более вариантах осуществления операция 415 может происходить почти одновременно с предшествующей операцией 410.

При операции 420 устройство 120 заявителя права может продолжать генерировать один или более моментальных снимков данных промежуточной точки маршрута, которые могут включать информацию о местоположении устройства 120 заявителя права по операции 410, и один или более опознавательных параметров луча, переданных посредством сфокусированного луча спутника, как отмечено в операции 420. В некоторых вариантах осуществления мгновенные снимки данных промежуточной точки маршрута могут быть сохранены в модуле памяти устройства 120 заявителя права или коммуникативно присоединены к.этому устройству.

В некоторых вариантах осуществления устройство 120 заявителя права может собирать матрицу мгновенных снимков данных промежуточной точки маршрута во времени. Например, матрица мгновенных снимков данных промежуточной точки маршрута может быть сконструирована посредством приема сфокусированных лучей от нескольких спутников 110, проходящих над устройством 120 заявителя права в течение некоторого времени. В альтернативном варианте или дополнительно матрица мгновенных снимков данных промежуточной точки маршрута может быть сконструирована путем перемещения устройства 120 заявителя права относительно спутников 110, например, путем размещения устройства 120 заявителя права в самолете 125, как показано на фиг.2Б. Дополнительный пример включает устройство заявителя права, которое действует, как устройство отслеживания для подтверждения пройденного маршрута объекта или средства, которое может включать опасные материалы. Устройство заявителя права может быть опрошено для предоставления данных промежуточной точки маршрута для подтверждения, что ожидаемый путь соответствует фактическому. Устройство заявителя права может быть опрошено в произвольном порядке.

При операции 420 мгновенный снимок(ки) данных промежуточной точки маршрута передается от устройства 120 заявителя права на устройство 230 верификации. Например, в варианте осуществления, показанном на фиг.2А мгновенный снимок(ки) данных промежуточной точки маршрута может быть передан посредством передатчика 220 или другой коммуникационной сети. В варианте осуществления, показанном на фиг.2Б, мгновенный снимок(ки) данных промежуточной точки маршрута может быть передан с самолета 125 на спутник 110, а затем может быть передан посредством сети спутника на устройство 230 верификации.

При операции 425 устройство 230 верификации принимает данные местоположения и данные промежуточной точки маршрута от устройства 120 заявителя права. При операции 430 устройство 230 верификации сравнивает информацию о местоположении и данные промежуточной точки маршрута с соответствующими данными в наборе известных достоверных данных, чтобы выполнить аутентификацию заявителя права. Например, спутник LEO, такой как спутник из группировки Indium, облетает Землю по известной орбите, приблизительные параметры которой известны заранее. Устройство 230 верификации может включать базу данных 364 орбиты спутника или быть коммуникативно соединено с базой данных 364 орбиты спутника, которая включает информацию об орбите спутников 110 на известной орбите вокруг Земли.

В некоторых вариантах осуществления данные местоположения и данные промежуточной точки маршрута, принимаемые от устройства заявителя права, сравниваются (операция 430) с местоположением и данными промежуточной точки маршрута из набора известных данных для определения того, является ли устройство 120 заявителя права, фактически, в пределах разумного порогового расстояния от ожидаемого географического местоположения в ожидаемое время. В качестве примера, а не ограничения, в базе данных 384 орбиты спутника может быть проведен поиск записи данных, соответствующей опознавательным параметрам луча, переданным с устройства 120 заявителя права. Когда соответствующая запись обнаружена, данные орбиты из записи, извлеченной из базы данных 364 орбиты, могут быть сравнены с данными, извлеченными из устройства 120 заявителя права. Например, известные данные могут содержать координату центра сфокусированного луча 130 и указание радиуса сфокусированного луча 130 на поверхности Земли. Координаты, принимаемые от устройства 120 заявителя права могут быть сравнены с местоположением сфокусированного луча для определения того, указывают ли принимаемые данные, что устройство 120 заявителя права находится в пределах области, очерченной сфокусированным лучом в момент времени, указанный в данных, принимаемых от устройства заявителя права. По меньшей мере в одном варианте осуществления сфокусированный луч может быть неправильной формы. По меньшей мере в одном варианте осуществления устройство заявителя права может быть на высоте над поверхностью Земли.

Если при операции 435 данные, принимаемые от устройства 120 заявителя права, указывают, что устройство 120 заявителя права находится в пределах географической области, окруженной сфокусированным лучом от спутника 110 в момент времени, связанный с данными от устройства заявителя права, то устройство 120 заявителя права может считаться аутентифицированным. В системе аутентификации управление затем переходит к операции 440, и заявитель права получает возможность доступа к ресурсу. В качестве примера, а не ограничения, устройство 230 верификации может дать опознавательный признак аутентифицированному устройству 120 заявителя права. Опознавательный признак может быть использован удаленной системой для выдачи доступа к ресурсу.

И напротив, если данные, принимаемые от устройства 120 заявителя права указывают, что устройство 120 заявителя права не находится в пределах географической области, окруженной сфокусированным лучом от спутника 110 в момент времени, связанный с данными от устройства 120 заявителя права, то устройство 120 заявителя права не может считаться аутентифицированным. В системе аутентификации управление затем переходит к операции 445, и заявителю права будет отказано в доступе к ресурсу. В качестве примера, а не ограничения, устройство 230 верификации может отменить опознавательный признак аутентифицированного устройства 120 заявителя права. В отсутствие опознавательного признака устройству заявителя права может быть отказано в доступе к ресурсу, управляемому удаленной системой.

Таким образом, структура системы, показанной на фиг.1-3, и способ, показанный на фиг.4, позволяют выполнить аутентификацию на базе спутника одного или более устройств 120 заявителя права. Система аутентификации может быть использована для разрешения или отказа в доступе к одному или более ресурсам, управляемым удаленной вычислительной системой. В некоторых вариантах осуществления устройство(а) заявителя права может быть стационарным, в то время как в других вариантах осуществления устройство(а) заявителя права может быть подвижным, и способ аутентификации может быть на базе либо времени, либо местоположения, либо их комбинации.

В некоторых вариантах осуществления система может быть использована для осуществления аутентификации на основе сеанса, при которой устройство(а) 120 заявителя права аутентифицируется для использования ресурса в течение всего сеанса. В других вариантах осуществления система может осуществлять аутентификацию на основе сообщений, в которых устройство(а) 120 заявителя права должно быть аутентифицировано отдельно для каждого сообщения, переданного от устройства 120 заявителя права на удаленный ресурс.

В одном примере осуществления система аутентификации, описанная в настоящем документе, может быть использована для обеспечения аутентификации для доступа к надежно защищенному вычислительному ресурсу, такому как корпоративная система обмена электронной корреспонденцией, корпоративная сеть, сеть военной или гражданской инфраструктуры или электронная банковская система. В другом примере осуществления система аутентификации может быть использована для подтверждения пунктов следования по маршруту средства передвижения в системе логистики. Например, подвижное средство, такое как грузовик, поезд, судно или самолет может содержать одно или более устройств 120 заявителя права. Во время движения по графику система логистики может периодически опрашивать устройство(а) 120 заявителя права, которое может отвечать сданными аутентификации, полученными от спутника 110. Данные аутентификации могут быть собраны в системе логистики и использоваться для подтверждения того, что устройство(а) заявителя права находится в конкретном местоположении в заранее определенные моменты времени в соответствии с планом логистики.

В другом примере вариант осуществления системы аутентификации, описанной в настоящем документе, может быть использован для подтверждения местоположения устройства заявителя права, связанного с системой мониторинга, например, система наблюдения за лицами под домашним арестом. В таких вариантах осуществления устройство(а) заявителя права может включать один или более биометрических датчиков, таких как биометрический датчик отпечатков пальцев, для аутентификации пользователя системы, в то время как система аутентификации может быть использована для подтверждения того, что устройство заявителя права находится в заранее определенном месте в заранее определенное время (т.е., заявитель права находится в нужном месте в нужное время, и это нужный человек). Устройство аутентификации также может просматривать местоположение устройства заявителя права относительно определенного перечня одобренных местоположений, которые также могут быть дополнительно уточнены системой аутентификации посредством просмотра местоположения устройства заявителя права и времени относительно утвержденного набора местоположений в утвержденный период(ы) времени. Кроме того, эта система может быть использована для отслеживания зарегистрированных лиц, совершивших преступление сексуального характера.

В некоторых вариантах осуществления спутник 110 может представлять собой часть системы спутников LEO, таких как спутники группировки Indium, которые вращаются вокруг Земли по известной орбите, и которые передают сфокусированные лучи с известной геометрией, такой, чтобы устройство(а) заявителя права можно было аутентифицировать путем подтверждения того, что устройство заявителя права находится в пределах назначенного сфокусированного луча в назначенное время. Таким образом, заявитель права может быть аутентифицирован с помощью одиночного источника сигнала (например, одиночного спутника 110). Также, поскольку спутники LEO, такие как спутники группировки Iridium и спутники МЕО, передают уровни сигналов относительно высокой мощности, система может быть использована для аутентификации одного или более устройств заявителя права, которые расположены в условиях с затрудненной проходимостью, например, в помещении или в городских условиях. Кроме того, относительно высокая мощность сигнала спутников LEO и спутников МЕО делает эти сигналы менее чувствительными к попыткам глушения сигнала.

Упоминание в описании "одного варианта осуществления" или "некоторых вариантов осуществления" означает, что конкретная особенность, структура или характеристика, описанные в комбинации с этим вариантом осуществления, включена по меньшей мере в один вариант осуществления. Появление фразы "в одном варианте осуществления" в разных местах в описания необязательно относится к одному и тому же варианту осуществления.

Хотя варианты осуществления описаны на языке, специфическом для структурных особенностей и/или методологических действий, очевидно, что заявленная сущность изобретения не может быть ограничена описанными конкретными особенностями или действиями. Наоборот, конкретные особенности и действия описаны в качестве выборочных образцов осуществления заявленного объекта изобретения.

1. Способ аутентификации электронного устройства, включающий:
прием устройством верификации одного или более опознавательных параметров луча, соответствующих передаче сфокусированного луча спутника и включающих псевдослучайный код и временную метку;
прием устройством верификации первой информации о местоположении, указывающей местоположение электронного устройства;
определение второй информации о местоположении на основании одного или более опознавательных параметров луча, указывающей местоположение центра проекции передачи сфокусированного луча;
сравнение указанной первой информации о местоположении и второй информации о местоположении; и
аутентификацию электронного устройства, когда разность между местоположением электронного устройства и местоположением центра проекции передачи сфокусированного луча меньше порогового значения.

2. Способ по п. 1, в котором передача сфокусированного луча осуществляется по меньшей мере от одного из спутников: спутника на околоземной орбите, спутника на средней орбите, спутника на геосинхронной орбите или псевдоспутника.

3. Способ по п. 1, в котором аутентификация электронного устройства включает осуществление по меньшей мере одного из следующего: процесс одноадресной аутентификации, процесс многоадресной аутентификации, процесс многоадресной аутентификации устройства в одноранговой сети.

4. Способ по п. 1, в котором первая информация о местоположении основана на наземной системе координат, содержащей по меньшей мере одно из следующего: широту, долготу, высоту над уровнем моря, географический указатель или любую их комбинацию.

5. Способ по п. 1, в котором один или более опознавательных параметров луча включает по меньшей мере одно из следующего: временную кодовую последовательность, идентификатор средства передвижения, передающего сфокусированный луч, идентификатор луча, параметр временного сдвига, данные траектории средства передвижения, передающего сфокусированный луч, или любую их комбинацию.

6. Способ по п. 1, в котором:
электронное устройство аутентифицируют независимо для каждого сообщения, передаваемого посредством электронного устройства.

7. Способ по п. 1, в котором:
электронное устройство устанавливает сеанс связи с удаленным устройством; и
электронное устройство аутентифицируют по меньшей мере один раз на сеанс связи.

8. Способ по п. 1, в котором:
первая информация о местоположении соответствует по меньшей мере двум местоположениям электронного устройства в разное время,
при этом указанные по меньшей мере два местоположения сравниваются с по меньшей мере двумя местоположениями центра проекции передачи сфокусированного луча в разное время.

9. Устройство для аутентификации электронного устройства, содержащее:
процессор; и
модуль памяти, содержащий команды, которые при их исполнении процессором обуславливают исполнение процессором операций, включающих:
прием устройством верификации одного или более опознавательных параметров луча, соответствующих передаче сфокусированного луча спутника и включающих псевдослучайный код и временную метку;
прием устройством верификации первой информации о местоположении, указывающей местоположение электронного устройства;
определение второй информации о местоположении на основании одного или более опознавательных параметров луча, указывающей местоположение центра проекции передачи сфокусированного луча;
сравнение указанной первой информации о местоположении и второй информации о местоположении; и
аутентификацию электронного устройства, когда разность между местоположением электронного устройства и местоположением центра проекции передачи сфокусированного луча меньше порогового значения.

10. Система для аутентификации, содержащая:
по меньшей мере один источник сигнала, выполненный с возможностью передачи сфокусированного луча в соответствии с геометрией сфокусированного луча;
электронное устройство, содержащее приемник, выполненный с возможностью приема одного или более опознавательных параметров луча, соответствующих передаче сфокусированного луча спутника и включающих псевдослучайный код и временную метку; и
устройство верификации, соединенное с возможностью связи с электронным устройством и выполненное с возможностью:
приема одного или более опознавательных параметров луча;
приема первой информации о местоположении, указывающей местоположение электронного устройства;
определения второй информации о местоположении на основании одного или более опознавательных параметров луча, указывающей местоположение центра проекции передачи сфокусированного луча;
сравнения указанной первой информации о местоположении и второй информации о местоположении; и
аутентификации электронного устройства, когда разность между местоположением электронного устройства и местоположением центра проекции передачи сфокусированного луча меньше порогового значения.

11. Система по п. 10, в которой электронное устройство выполнено с возможностью определения местоположения указанного электронного устройства.

12. Система по п. 10, в которой по меньшей мере один источник сигнала включает в себя по меньшей мере одно из следующего: спутник на околоземной орбите, спутник на средней орбите, спутник на геосинхронной орбите или псевдоспутник.

13. Система по п. 10, в которой одно электронное устройство включает в себя по меньшей мере одно из следующего: мобильный радиотелефон, мобильное вычислительное устройство, узел компьютерной сети, сервер, узел беспроводной сети, систему биометрической верификации или любую их комбинацию.

14. Система для аутентификации электронного устройства с серверной сетью, содержащая:
приемное устройство, выполненное с возможностью связи с электронным устройством, и устройство серверной сети, при этом приемное устройство выполнено с возможностью приема псевдослучайного кода и временной метки, связанными с передачей сфокусированного луча средства передвижения; и
сервер аутентификации, выполненный с возможностью связи с устройством серверной сети, и
при этом приемное устройство выполнено с возможностью передачи от электронного устройства на устройство серверной сети запроса на выполнение аутентификации, содержащего псевдослучайный код и временную метку:
причем сервер аутентификации содержит инструкции, которые при их исполнении процессором обуславливают исполнение процессором операций, включающих:
прием устройством верификации одного или более опознавательных параметров луча, соответствующих передаче сфокусированного луча спутника и включающих псевдослучайный код и временную метку;
прием устройством верификации первой информации о местоположении, указывающей местоположение электронного устройства;
определение второй информации о местоположении на основании одного или более опознавательных параметров луча, указывающей местоположение центра проекции передачи сфокусированного луча;
сравнение указанной первой информации о местоположении и второй информации о местоположении; и
аутентификацию электронного устройства, когда разность между местоположением электронного устройства и местоположением центра проекции передачи сфокусированного луча меньше порогового значения.