CN1741444B - 可重新配置的密钥搜索引擎 - Google Patents
可重新配置的密钥搜索引擎 Download PDFInfo
- Publication number
- CN1741444B CN1741444B CN2005100897696A CN200510089769A CN1741444B CN 1741444 B CN1741444 B CN 1741444B CN 2005100897696 A CN2005100897696 A CN 2005100897696A CN 200510089769 A CN200510089769 A CN 200510089769A CN 1741444 B CN1741444 B CN 1741444B
- Authority
- CN
- China
- Prior art keywords
- index
- memory
- mobile device
- relevant
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了一种可重新配置的密钥搜索引擎,以及一种包括了这种可重新配置的密钥搜索引擎的移动装置和有关的方法。RKSE被适配以有效地搜索存储潜在地与多网络有关的多个安全密钥的存储器系统。一个实施例使用了包括至少一个关联存储器的层次结构存储器系统。
Description
技术领域
总体上讲,本发明涉及一种密钥搜索引擎。更具体地讲,本发明涉及被适配以用于能够在多个网络中操作的移动装置的可重新配置的密钥搜索引擎。
背景技术
新的网络标准,特别是无线网络标准正在不断引入。术语“无线”通常涉及任何经由射频(RF)或红外(IR)链路通信数据的系统。一或多个技术标准定义了网络中元件或部件之间无线交换数据的方式。考察无线网络标准,可以发现令人眼花缭乱的技术规范的阵列,例如,包括Wi-Fi(无线保真)、蓝牙、PCS(个人通信业务)、DECT(数字增强无线通讯)、PWT(个人无线电信标准)、寻呼机、蜂窝电话、以及IEEE 802.11、802.11a、802.11b、802.11i、802.11g、802.1X、WEP(有线等效保密)、WPA(Wi-Fi受保护存取)和WPA2。不同的标准设置机构,例如,电气电子工程师学会(IEEE)、Wi-Fi联盟以及因特网工程任务组(IETF),引入了这些及其它标准。
以IEEE定义的技术要求工作,Wi-Fi联盟试图通过互操作性测试和验证程序实际地实现无线网络标准。IETF试图定义因特网体系结构的演化,并标准化其操作。除其它问题外,这些团体所制定的无线标准或协议还解决了数据保密(加密/解密)以及用户认证的问题。
术语“协议”宽泛地描述了任何使得能够在两或两个以上网络元件或部件之间进行数据通信的商定的标准。经典的理解是,协议建立了把数据通信网络“聚拢在一起”的标准。至少,协议将定义可接受的数据表示和有关的数据包配置。数据保密编码、错误检查/校正编码、数据(或数据包)标识信息以及类似的数据管理特性,通常为协议的部分和小包裹(parcel)。
有线和无线数据通信协议的开发,是受技术改进大力驱动的演化过程。例如,最近几年,随着使得能够进行无线通信的技术的成熟,传统的以太网连接的网络已让位于所谓的无线局域网(WLAN)。令人感到遗憾的是,迅速演化的技术导致了数据通信系统和相关技术标准与协议的激增。这些不同的系统定义了不同的安全机制和算法。通常,每一种安全机制和算法都要求其自己的安全密钥集。
在这一方面,简要回顾一下无线网络安全标准近期的演化是有益的。当代无线网络中数据保密的讨论开始于被称为(IEEE)802.11的WLAN安全标准。在很大程度上,这一标准使得能够在家庭和小办公环境中对WLAN实际使用,但证明大企业环境中对WLAN的使用是不合适的。802.11标准所提供的安全性不仅仅是与数据保密和用户认证相关的商业等级。
通常,把802.11所提供的数据保密机制称为有线等效保密(WEP),并且实现了RC4加密算法。其自身中和自身的RC4加密技术足够强大,足以保护数据,但其在802.11中的弱实现仅可保护数据不被偷窃者极偶然地偷窃。加之易于得到的黑客工具的激增,这已导致WEP通常在企业环境中不可信地使用。
引入802.1X标准,特别是为了解决802.11中固有的安全缺陷。作为这一标准的一部分,包括了称为Wi-Fi受保护存取(WPA)的更新的数据保密机制。WPA中并入了所谓的时间密钥完好性协议(Temporal Key IntegrityProtocol(TKIP)),TKIP实现了RC4加密算法的明显更强的版本。与WEP相比,TKIP改变了导出安全密钥的方式,而且,为了更加安全,更频繁地轮换密钥。在弥补WEP使能的设备中的明显的安全漏洞方面,WPA做了出色的工作,但为做到这一点,其要求对固件或驱动器进行更新。
8021X准标准实际上是802.11i标准的子集。802.11i包括两个数据保密机制:WPA和鲁棒安全网络(Robust Security Network(RSN))。RSN使用先进加密标准(AES),提供了数据保密,AES明显强于WEP和WPA所提供的数据保密机制。然而,在不进行硬件更新的情况下,RSN将不能运行在传统的设备上。因此,只有最新的设备才具有把一或多个基础RSN算法的执行加速到其使用变得实际可行的程度所需的硬件。所以,WPA把传统设备的性能提高到可接受的水平,但RSN可能是实现了802.11i的设备的无线数据保密的未来。
所通信数据的多样性使网络中提供数据保密的困难工作进一步复杂化。例如,802.11e是定义了一组针对局域网、特别是使用了802.11标准的网络的服务质量(QoS)增强的标准。对于那些对延迟敏感的应用的传输,例如IP上的话音和流多媒体的传输,这些增强被视为是至关重要的。802.11e把标识头标字段添加于所传输的数据。这一头标定义了数据的QoS(即,网络中数据的相对优先级)。因此,802.11e仅仅是导致具有唯一配置的数据(和数据包)的数据协议的又一个例子。
潜在地能够与移动装置进行通信的网络种类的增加,向与相应网络相关联的相应数据保密机制和在一或多个网络中操作的移动设备提出了进一步的挑战。目前,大量WLAN、无线个人区域网(WPAN)以及广域大城市网络(WMAN)(例如,802.16、WiBro、与/或WiMax-使能的网络),连接以太网和类似硬线(hardwired)网络。
考察图1中所示的简单的例子。移动装置1(例如,手持设备、手持个人计算机(PC)、便携或膝上计算机、个人数字助理(PDA)、移动或蜂窝电话、无线因特网设备、协议使能电话、便携式无线设备、手持遥控、或资产管理标签)能够独立地从以太网连接的网络5、WMAN 2、WLAN 3或专用网络4接收数据。然而,更糟糕的是,随着在移动装置的操作模式下物理地移动或改变移动单元,该移动装置可以遍历一或多个无线网络。另外,对于移动装置来说,存在着在两或两个以上的网络中同时对其加以连接的可能。例如,膝上计算机可能能够从WLAN(或以太网连接的网络)接收与企业帐户相关的数据,同时也能够从WMAN接收与个人帐户相关的数据。
在这样的情况下,多(multiple)网络能够把数据传输至单个的移动装置。因此,移动装置必须能够在来自多个网络的数据之间区分,并且能够适当地应用与相应网络相关的一或多种数据保密机制和一或多种方法。至少,移动设备必须能够适当地对与不同网络有关的数据进行加密与解密。
由于每一个网络使用了不同的安全密钥或安全密钥集,因此移动装置必须能够提供某种存储多个安全密钥的能力,以及某种附加的搜索所存储的多个安全密钥的能力。并不意味着这样是合适的,因为完善的网络通常使用了依赖于大量安全密钥的数据保密机制。
发明内容
认识到对能够响应于潜在的多网络连接而提供一或多个适当安全密钥的改进机制的需求,本发明的一个实施例提供了一种包括密钥搜索引擎(KSE)的移动装置。KSE通常从网络接收搜索准则,并且响应于该搜索准则,提供所希望的安全密钥。KES包括存储多个安全密钥的存储器系统,其中,在一个实施例中,存储器系统包括响应于根据搜索准则所导出的索引数据而提供索引输出的关联存储器,以及响应于索引输出而输出安全密钥的存储器。
KSE可以包括接收搜索准则并导出索引数据的KSE控制块。搜索准则包括与移动装置中所接收的数据包有关的数据包信息,与/或与网络中的元件有关的辅助信息。辅助信息可以包括与用户定义的选项选择有关的控制选项信息。
在一个有关的实施例中,KSE控制块还包括接收搜索准则和输出安全密钥的输入/输出块,把KSE控制块与关联存储器相连的关联存储器接口,以及把KSE控制块与存储器相连的存储器接口。KSE控制块还可以包括响应于搜索准则而导出索引数据的索引选择器。
在一个相关的实施例中,索引选择器包括寄存器块和映射器。寄存器块可以包括被适配以响应于映射器的输出而输出不同大小或字符的索引数据的可重新配置的寄存器。例如,可以使用映射表或有限状态机实现映射器。
存储在存储器系统中的多个安全密钥可以包括一或多个默认密钥,在这一情况下,存储器系统可以包括存储一或多个默认密钥的默认存储器。
RKSE所输出的安全密钥可以包括多成份,在这一情况下,可以通过多存储器形成存储器,其中每一个存储器存储多成份的一或一个以上的成份。在一个例子中,多成份包括加密/解密密钥、密码、与/或初始化向量(IV)。在另一个例子中,多成份包括安全关联标识符(SAID)、业务(traffic)加密密钥(TEK)、安全关联(SA)、与/或初始化向量(IV)。
在一个相关的实施例中,关联存储器包括一或多个内容可寻址存储器(CAM)。
在另一个相关的实施例中,KSE可以包括索引操作块,以接收根据搜索准则导出的索引准则和从关联存储器输出的索引。至少根据这两个输入,索引操作块可以生成施加于存储器的存储器地址。例如,索引操作块可以包括执行拼接(concatenation)、散列(hashing)或某些其它逻辑操作的电路。
在另一个实施例中,本发明提供了一种移动装置,该移动装置被适配以在按照第一协议通信数据的第一网络、以及按照第二协议通信数据的第二网络中进行连接。移动装置可以包括可重新配置的密钥搜索引擎(RKSE),其中含有控制块、和存储与第一和第二网络有关的多个安全密钥的存储器系统。控制块响应于至少包括由移动装置所接收的数据包信息的搜索准则,输出从多个安全密钥中所选择的安全密钥。
在这一环境下,第一网络和第二网络中的每一个网络均可以为无线局域网(WLAN)、无线城域网(WMAN)、或专用网络。
本实施例中的存储器系统也可以包括关联存储器,该关联存储器从控制块接收根据搜索准则导出的索引数据,并且输出索引输出。存储器系统还可以包括存储器,该存储器接收根据索引输出导出的存储器地址,并且响应于该存储器地址输出安全密钥。
如果索引数据至少标识一个关联存储器条目,则索引输出可以指示HIT(中)条件,或者如果索引数据不能够标识关联存储器条目,则索引输出可以指示MISS(失)条件.在本发明的有关的实施例包括具有默认存储器的存储器系统的情况下,当指示了MISS条件时,把根据索引输出获得的存储器地址施加于默认存储器.否则,当指示了HIT条件时,把该存储器地址施加于该存储器.
在另一个有关的实施例中,默认存储器是层次结构存储器,该层次结构存储器包括存储安全密钥的有关成份的多默认存储器,其中,多默认存储器响应于所接收的存储器地址。
在另一个有关的实施例中,层次结构存储器包括存储安全密钥的有关成份的多存储器,其中,多存储器响应于所接收的存储器地址。
在具体的实施例中,存储器包括:第一内容可寻址存储器(CAM),从KSE控制块接收第一索引数据,并且输出第一索引输出;第一存储器,接收根据第一索引输出导出的第一存储器地址,并且输出第一安全密钥成份输出;第二CAM,接收针对与第一安全密钥成份相关的数据而导出的第二索引数据,并且输出第二索引输出;以及第二存储器,接收第二索引数据,并且输出第二安全密钥成份。
在本发明的另一个实施例中,移动装置可以包括被适配以与WMAN通信的第一电路和被适配以与WLAN通信的第二电路,其中,第一和第二电路共同存取RKSE,以获得相应的安全密钥。在这一环境下,多个安全密钥可以包括多个WLAN安全密钥、与/或多个WMAN安全密钥。
以上的实施例还可以包括接收数据包的射频接收器。因此,在所接收的数据包源于WLAN的情况下,RKSE可以输出从多个WLAN安全密钥中所选择的WLAN安全密钥;在所接收的数据包源于WMAN的情况下,可以输出从多个WMAN安全密钥中所选择的WMAN安全密钥。
然而,本发明并不局限于移动装置、或针对一或多个网络的移动装置的使用方法。相反,本发明的一个实施例提供了一种密钥搜索引擎(KSE),这种KSE包括KSE控制块,该KSE控制块从网络接收搜索准则,根据该搜索准则导出索引数据,并且提供安全密钥。KSE还包括存储多个安全密钥的存储器系统。该存储器系统可以包括响应于索引数据而提供索引输出的关联存储器,以及响应于索引输出而输出安全密钥的存储器。
如以上所述,搜索准则可以包括数据包信息、辅助信息、与/或控制选项信息。
在另一个实施例中,本发明涉及一种在移动装置中提供安全密钥的方法。移动装置可以包括密钥搜索引擎(KSE)和存储器系统,存储器系统包括关联存储器和存储多个安全密钥的存储器。该方法可以包括:从网络接收搜索准则;根据KSE中的搜索准则导出索引数据;使用索引数据搜索关联存储器,以生成索引输出;以及使用索引输出引用(referencing)存储器,以输出安全密钥。
接收搜索准则可以包括接收与移动装置中所接收的数据包有关的数据包信息,并且还可以包括接收与网络中的元件有关的辅助信息。辅助信息可以包括与用户定义的选项选择有关的控制选项信息。
导出索引数据可以包括根据KSE中所执行的映射操作,在索引选择器中配置寄存器,然后,使用该寄存器导出索引数据。例如,可以使用映射表或有限状态机实现映射操作。
在多个安全密钥包括默认密钥以及存储器系统包括存储默认密钥的默认存储器的情况下,根据本发明的方法的一个有关的实施例使用索引输出引用默认存储器,以输出默认密钥.此处,本发明的实施例可以再次使用包括多成份的安全密钥.即情况是这样的:存储器可以包括存储一或多个多成份的多存储器,而且该方法还包括使用索引输出引用多存储器,以输出多成份.
在上述的KSE包括索引操作块的情况下,有关的示例性方法通过下述过程引用存储器:根据搜索准则导出索引准则;针对索引操作块中的索引输出和索引准则执行索引操作以生成地址;并使用该地址引用存储器,以输出安全密钥。索引操作可以为拼接、散列、或某些其它逻辑操作。
根据本发明的另一个示例性方法,提供了与由第一网络所使用的第一协议、或由第二网络所使用的第二协议有关的安全密钥。该方法包括存储多个与存储器系统中第一和第二协议中的至少之一有关的安全密钥。存储器系统包括关联存储器和存储器。在该方法中,当接收数据包信息和辅助信息时,针对数据包信息和辅助信息定义搜索准则,根据搜索准则导出索引数据,使用索引数据引用关联存储器,以输出索引输出,并且使用索引输出引用存储器,以输出安全密钥。
在以上所描述的存储器系统还包括默认存储器的情况下,搜索关联存储器的步骤可以包括指示没有关联存储器条目与索引数据相关联的MISS条件、以及至少一个关联存储器条目与索引数据相关联的HIT条件。此后,使用索引输出引用存储器的步骤包括当指示了MISS条件时,使用索引输出引用默认存储器,或者当指示了HIT条件时,使用索引数据引用存储器。
在有关的实施例中,使用索引输出引用存储器的步骤包括:根据搜索准则导出索引准则;使用索引准则和索引输出执行索引操作以输出地址;以及使用该地址引用存储器。
对于一个实施例,针对数据包信息和辅助信息定义搜索准则包括提取所存储的控制选项信息。
在另一个实施例中,根据搜索准则导出索引数据包括:在所接收的数据包源于第一网络的情况下,按第一配置来配置寄存器,或者在所接收的数据包源于第二网络的情况下,按第二配置来配置该寄存器。
根据另一个实施例,本发明提供了一种操作移动装置的方法,其中的移动装置被适配以与使用第一协议的第一网络和使用第二协议的第二网络相连。该方法包括选择用户定义的控制选项;针对用户定义的控制选项的选择,定义控制选项信息;以及针对控制选项信息,从多个所存储的与第一和第二网络有关的安全密钥中标识安全密钥。
可以由销售移动装置的零售商或移动装置的最终用户选择用户定义的控制选项。
第一网络可以为无线局域网(WLAN),第二网络可以为无线城域网(WMAN)或专用网络。
在有关的实施例中,存储器系统为层次结构存储器系统,针对控制选项信息从多个所存储的与第一和第二网络有关的安全密钥中标识安全密钥的步骤包括:当所接收的数据包源于第一网络时,使用第一搜索算法搜索层次结构存储器系统;或者当所接收的数据包源于第二网络时,使用第二搜索算法搜索层次结构存储器系统。
在一个实施例中,在层次结构存储器系统包括关联存储器、存储器、以及默认存储器的情况下,第一搜索算法和第二搜索算法之一或两者可以搜索默认存储器。
第一搜索算法或第二搜索算法中的任意一个可以为遍历层次结构存储器系统的级联搜索。
在另一个实施例中,本发明提供了一种操作被适配以与多网络相连的移动装置的方法。该方法包括从第一网络接收第一数据包,然后,在可重新配置的密钥搜索引擎(RKSE)中,采取第一数据保密配置,所述第一数据保密配置使能遍历存储多个安全密钥的存储器系统的第一搜索算法,以及从第二网络接收第二数据包;然后,在该RKSE中,采取第二数据保密配置,所述第二数据保密配置使能遍历存储多个安全密钥的存储器系统的第二搜索算法。
可以针对与移动装置或多网络之一中的元件有关的辅助信息,分别定义第一和第二数据保密配置。另外,辅助信息可以包括根据用户定义的控制选项的选择而定义的控制选项信息。对于其中存储器系统为包括关联存储器和存储器的层次结构系统的实施例来说,通过第一和第二搜索算法分别搜索这两个存储器。
本发明的另一个实施例还提供了一种响应于第一搜索算法而输出第一安全密钥、以及针对第一安全密钥处理第一数据包的方法。相类似,该方法响应于第二搜索算法而输出第二安全密钥、以及针对第二安全密钥处理第二数据包。
在一个实施例中,上述的第一网络为无线局域网(WLAN),而且第一安全密钥包括加密/解密密钥、密码、与/或初始化向量(IV)。与WLAN有关的第一安全密钥也可以呈默认密钥形式。
在有关的实施例中,上述的第二网络为无线城域网(WMAN),而且第二安全密钥包括安全关联标识符(SAID)、业务加密密钥(TEK)、安全关联(SA)、与/或初始化向量(IV)。
在另一个实施例中,本发明提供了一种被适配以通过无线局域网(WLAN)和无线城域网(WMAN)通信数据包的无线网络单元。其包括接收WLAN数据包的WLAN控制器、接收WMAN数据包的WMAN控制器、以及由WLAN和WMAN控制器共同存取的密钥搜索引擎(KSE)。KSE响应于WLAN包信息和WMAN包信息,提供安全密钥。
在有关的实施例中,KSE包括:存储器系统,存储多个与WLAN和WMAN有关的安全密钥;以及KSE控制块,被适配以响应于WLAN包信息而使用第一搜索算法、和响应于WMAN包信息而使用第二搜索算法,来搜索存储器系统。
可以在普通印刷电路板(例如,PCI卡)上,以单个集成电路,或者以芯片组,实现WLAN控制器、WMAN控制器、以及KSE。
具体来讲,按照本发明的一个方面,提供了一种移动装置,包括:密钥搜索引擎KSE,从网络接收搜索准则,以提供安全密钥;并且包括存储器系统,以存储多个安全密钥;其中,所述KSE包括KSE控制块,用以接收搜索准则并导出索引数据,所述KSE控制块包括:输入/输出块,接收搜索准则并输出所述安全密钥;关联存储器接口,把KSE控制块与关联存储器相连;以及存储器接口,把KSE控制块与存储器相连,其中,所述存储器系统包括:关联存储器,响应于根据搜索准则所导出的索引数据而提供索引输出;以及存储器,响应于索引输出而输出所述安全密钥,其中,所述搜索准则包括与移动装置中所接收的数据包有关的数据包信息、以及与网络中的元件有关的辅助信息的至少之一,其中所述与网络中的元件有关的辅助信息包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息。
按照本发明的另一个方面,提供了一种密钥搜索引擎KSE,包括:KSE控制块,从网络接收搜索准则,根据搜索准则导出索引数据,并提供安全密钥;以及存储器系统,存储多个安全密钥,其中,所述存储器系统包括:关联存储器,响应于索引数据而提供索引输出;以及存储器,响应于索引输出而输出所述安全密钥,其中,所述KSE控制块包括:输入/输出块,接收搜索准则并输出所述安全密钥;关联存储器接口,把KSE控制块与关联存储器相连;以及存储器接口,把KSE控制块与存储器相连,其中,所述搜索准则包括与KSE中所接收的数据包有关的数据包信息、以及与网络中的元件有关的辅助信息的至少之一,其中所述与网络中的元件有关的辅助信息包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息。
按照本发明的再一个方面,提供了一种移动装置,被适配以在按照第一协议通信数据的第一网络、以及按照第二协议通信数据的第二网络中进行连接,所述移动装置包括:可重新配置的密钥搜索引擎RKSE,该RKSE用以从网络接收搜索准则,根据搜索准则导出索引数据,并提供安全密钥,该RKSE包含:存储器系统,存储与第一和第二网络有关的多个安全密钥;以及控制块,响应于包括由移动装置接收的数据包信息的搜索准则而输出从多个安全密钥选择的安全密钥,其中,所述存储器系统包括:关联存储器,接收根据搜索准则导出的索引数据,并且输出索引输出;以及存储器,接收根据索引输出导出的存储器地址,并且响应于存储器地址而输出所述选择的安全密钥,其中,所述搜索准则包括与移动装置中所接收的数据包有关的数据包信息、以及与网络中的元件有关的辅助信息的至少之一,其中所述与网络中的元件有关的辅助信息包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息。
按照本发明的再一个方面,提供了一种在移动装置中提供安全密钥的方法,所述移动装置包括密钥搜索引擎KSE和存储器系统,所述存储器系统包括关联存储器、和存储多个安全密钥的存储器,所述方法包括:从网络接收搜索准则;根据KSE中的搜索准则导出索引数据;使用索引数据搜索关联存储器,以生成索引输出;以及使用索引输出引用存储器,以输出安全密钥,其中,所述搜索准则包括与移动装置中所接收的数据包有关的数据包信息、以及与网络中的元件有关的辅助信息的至少之一,其中所述与网络中的元件有关的辅助信息包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息。
按照本发明的再一个方面,提供了一种提供与由第一网络使用的第一协议或由第二网络使用的第二协议有关的安全密钥的方法,该方法包括:存储与存储器系统中第一和第二协议的至少一个有关的多个安全密钥,所述存储器系统包括关联存储器和存储器;接收与移动装置中所接收的数据包有关的数据包信息和与网络中的元件有关的辅助信息;针对数据包信息和辅助信息定义搜索准则;根据搜索准则导出索引数据,所述搜索准则包括与移动装置中所接收的数据包有关的数据包信息、以及与网络中的元件有关的辅助信息的至少之一,其中所述与网络中的元件有关的辅助信息包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息;使用索引数据来搜索关联存储器,以输出索引输出;使用索引输出来引用存储器,以输出安全密钥。
附图说明
以下,将针对附图中所说明的几个实施例,描述本发明.在所有图中,相似的参考标号表示相似的示例性元件、部件或者步骤.在这些图中:
图1说明了本发明的,更具体地讲,适配于本发明的移动装置的一个总体操作环境;
图2进一步说明了本发明的,更具体地讲,适配于本发明的移动装置的另一个总体操作的环境;
图3说明了根据本发明的其中能够并入可重新配置的密钥搜索引擎(RKSE)的移动装置的一个总体实施例;
图4是方框图,说明了根据本发明的RKSE的一个实施例;
图5是方框图,更详细地说明了图4中所示的KSE控制块的一个实施例;
图6说明了根据本发明的与RKSE有关的示例性搜索方法的逻辑流程;
图7是流程图,说明了根据本发明的与RKSE有关的另一种示例性搜索方法;
图8是流程图,说明了根据本发明的适配于RKSE的一种示例性搜索方法的一个有关的方面;
图9是方框图,说明了根据本发明的接收示例性搜索准则的RKSE的另一个实施例。
图10A~10E说明了根据本发明的对针对RKSE的使用敏感的所选择的示例性数据包。
图11是流程图,说明了根据本发明的与RKSE有关的一种示例性搜索方法。
图12是说明了根据本发明的与RKSE有关的另一种示例性搜索方法。
图13是说明了根据本发明的与RKSE有关的又一种示例性搜索方法。
图14说明了根据本发明的与RKSE有关的另一种示例性搜索方法的逻辑流程。
图15是说明了根据本发明的被适配以并入RKSE的一个实施例的另一个移动装置的块级图。
图16是方框图,说明了根据本发明的接收示例性搜索准则的RKSE的又一个实施例。
图17说明了根据本发明的与RKSE有关的又一种示例性搜索方法。
图18说明了根据本发明的与RKSE有关的再一种示例性搜索方法。
具体实施方式
以下,参照相应的附图描述本发明的示例性实施例。将作为示范例子介绍这些实施例。本发明的实际范围由权利要求加以限定。
在整个申请中,本发明的实施例提供了一种被适配以在一或多个网络中操作的移动装置,其中,移动装置包括能够有效存储多个安全密钥的电路、机制、与/或功能。在有关的方面中,本发明的实施例还包括能够从所存储的多个安全密钥中标识、自适应地搜索、与/或选择安全密钥的电路、机制、与/或功能。“安全密钥”的例子包括任何一或多个加密/解密密钥、密码、认证向量(IV)、安全代码块、与/或数字签字或者安全向量。
在整个这一描述中,以最宽泛的意义使用术语“机制”.因此,整体或部分地把实现数据保密的任何硬件、软件、固件、或者硬件、软件、与/或固件的组合称为“数据保密机制”.数据保密机制可以包括网络定义的参数(包括操作的设置、功能、输入、与/或模式)、移动装置定义的参数、与/或用户定义的参数,由这些参数加以定义,或者依赖于这些参数.
在整个这一描述中,术语“存储器”用于表示任何能够存储数据的电路或媒体。在不失一般性的情况下,这一术语包括诸如动态随机存取存储器(DRAM)的易失存储电路、诸如静态随机存取存储器(SRAM)的非易失存储器、快闪存储器以及磁存储器。不应把术语存储器视为意指任何特定的物理实现或硬件限定的边界。例如,实际上可由一或多个集成电路的组合形成“存储器”。相类似,可由单个的集成电路形成两或两个以上的“存储器”。即,可以在单个的集成电路或者有关集成电路的芯片组中定义具体存储器的组合与/或将具体存储器的组合用于不同的目的。而且,术语“存储器”预示电路和能够存储数据的媒体的设计与制造方面的不断的技术演化。
术语“存储器系统”宽泛地描述了多个存储器以及有关的存取电路,而不论是由两个还是由两个以上由它们的物理形式、功能使用、目的、或类型分别加以指定的存储器定义这样的多个存储器。
尽管可以在有线网络中发现本发明的就绪的应用,但也针对无线网络很好地说明了本发明的实现与使用。
例如,考察多因特网服务提供商(ISP)、保密无线服务提供商、与/或其它向某特定移动装置发送数据的其它移动装置或从某特定移动装置接收数据的其它移动装置的当前问题。每一个向/从移动装置通信数据的无线网络均可以呈WLAN、WMAN、或者WPAN的形式。对于所有无线服务提供商和大多数网络用户来说,数据保密是问题,因为就其不同的性质而言,无线网络为开放的广播型系统。即,缺乏有效的数据保密特性-无线网络通常允许非许可者(interloper)存取网络和用户之间正在广播的数据。而且,如以上所提到的,不同的无线网络使用不同的数据保密机制。这些不同的数据保密机制意味着不同的数据加密/解密算法和使用不同安全密钥的协议。
因此,为了使移动装置能够跨多个无线网络操作着迁移,其中,每一无线网络具有其自己的数据保密机制,移动装置至少要求两个事物:被适配以存储多个安全密钥的存储器;以及被适配以遍历所存储的多个安全密钥进行搜索,并且针对从某一给定网络所接收的特定数据包而选择适当的安全密钥的电路(或机制)。以下将把这种电路(或机制)总称为“密钥搜索引擎”。
当前的无线网络通过发送和接收数据包通信信息。数据包通常为预定数量的、包括某种形式的包标识的数据。通常把将加以传输的信息体划分成多个数据包。然后,经由网络传输所得到的数据包,并且在用户消费之前对所得到的数据包重新加以装配。存在着许多不同类型的数据包和许多不同的协议,这些不同的协议控制下列操作:把信息划分为数据包、标识网络中的数据包、检查和校正数据包中的错误、以及把数据包重新装配成可消费的信息。数据包类型和数据通信协议的这种多样性,进一步复杂化了能够从多个不同网络接收信息的移动装置的数据保密的问题,其中每一个网络传输潜在地具有不同的配置的数据包。
由于认识到从不同网络所接收的数据包配置不相同这一现实,以及认识到移动装置的潜在不同的用户定义操作模式,所以本发明的一个实施例提供了可重新配置的密钥搜索引擎.可重新配置的密钥搜索引擎允许根据从各种源导出的信息,例如,包括一或多个所接收的数据包、与发送/接收网络相关的信息、与/或与移动装置的用户定义的设置或操作模式有关的信息,搜索存储在与移动装置相关的存储器中的安全密钥.
在更为具体的实施例中,本发明提供了一种能够动态采取多安全模式配置(例如,响应于多数据保密机制的要求,重新配置其一或多个内部搜索操作)的密钥搜索引擎。通常,把每一安全模式配置与某一具体数据保密机制相关联。即,向移动装置通信数据包的第一网络(例如,WLAN)使用第一数据保密机制(例如,实现WEP的一个)。当将在该移动装置中所接收的第一数据包标识为从第一网络传输的时,密钥搜索引擎启动被适配以标识与第一数据保密机制相关的第一安全密钥的第一安全模式配置。
接下来,在该移动装置中,从使用第二数据保密机制(例如,根据802.16设计的一个)的第二网络(例如,WMAN)接收第二数据包。当识别出第二数据包源于第二网络时,密钥搜索引擎启动被适配以标识与第二数据保密机制相关的第二安全密钥的第二安全模式配置。
总体上,不同的安全模式配置意味着不同的数据寄存器配置、软件例程、与/或电路中的硬件/固件的操作与执行、以及实现密钥搜索引擎的有关软件。因此,以上所描述的具有根据本发明所实现的密钥搜索引擎的例子中的移动装置,能够容易地与第一安全模式配置下的第一网络(WLAN)和第二安全模式配置下的第二网络(WMAN)进行通信。
由于还认识到存在着对大量安全密钥的需求,所以本发明的实施例提供了一种被适配以按照有效的可搜索方式存储大量安全密钥的存储器系统。在一个更特定的实施例中,存储器系统是层次结构存储器。更具体地讲,可以把一或多个关联存储器或内容可寻址存储器用于存储多个安全密钥、或者与存储在关联存储器中的多个安全密钥相关的存储器地址(或者向量)。以下,将更详细地描述示例性存储器系统实施例。
然而,在继续进行更详细的描述之前,密钥搜索引擎、关联存储器、或本发明的其它有关的方面、某些附加的系统环境,将是有益的。考察图2中所示的无线网络图。例如,描述了3个不同的无线网络,作为例子。这些网络包括专用系统(例如,此处表示为独立基本服务集-IBSS的对等(peer-to-peer)或无基础设施系统)、第一无线基础设施网络(BSSa)、以及第二无线基础设施网络(BSSb)。
总体上,第一和第二无线基础设施网络包括一或多个连接于分布式数据通信系统(DS)的存取点(AP)、并且潜在地包括一或多个有关的数据服务器(SRV)。多个移动装置(MU)与AP进行通信,并可能分别在BSSa和BSSb中互相进行通信。相比之下,IBSS仅包括无AP干预、直接互相通信的MU。
可以认为本发明的某些应用处于网络的这一设置环境中。例如,当移动装置在BSSa、BSSb与/或IBBS之间迁移时,其要求针对每一网络存取不同的安全密钥。移动装置可以通过从第一无线网络覆盖区域到第二无线网络覆盖区域物理地移动、与/或通过改变其操作模式(例如,连接以太网电缆,在专用网络中进行链接,等),在网络之间有效地“迁移”。另外,为了清楚起见,在图2中,把网络示为相互区分,然而,在许多实际的情况下,与BSSa、BSSb以及IBBS相关的无线覆盖区域将整体或部分地重叠。
在这一方面,本发明考虑了两或两个以上的网络中移动装置的同时连接.例如,可以通过APa在BSSa中连接MUa1,也可以在IBBS中,对等地将MUa1连接至MUah2.作为另一个例子,可以通过APb在BSSb中连接MUb1、经由硬线连接将MUb1连接于有线基础设施网络、并且还通过APa在BSSa中连接MUb1.可以对BSSa和BSSb中的每一个加以配置,以在任何数目的具体配置中的一个配置中操作,所述具体配置包括例如WLAN或WMAN.不管一或多个具体的网络配置如何,在把移动装置同时连接于两或两个以上的网络的情况下,要求动态和自适应地标识流入/流出数据包,并获得适当的安全密钥的能力,旨在适当地对其加密/解密.
为了更充分地评价能够在不同网络之间透明地迁移或者能够在多网络中同时连接的移动装置所面临的数据保密问题的程度,必须考虑非常实际的可能性,即每一网络将使用具有唯一加密/解密算法和不同数据通信协议的不同的数据保密机制。本发明的实施例提供了系统、电路、机制、与/或操作方法,通过这种系统、电路、机制、与/或操作方法,移动装置可以在不同的网络之间迁移,或者同时与多网络连接。
针对这些实施例,将首先考察一个具体的电路,即可重新配置的密钥搜索引擎(RKES)。将针对图3中所示的移动装置,描述示例性RKSE。如同任何加密/解密机制,本发明预示了数据加密/解密处理的两个端点。即必须首先对移动装置所接收和解密的数据包进行加密,并且由某些其它网络元件(例如AP或另一个移动装置)传输这些数据包。因此,例如,在移动装置的环境中描述RKSE的情况下,应该认识到,在AP、另一个移动装置、或类似的网络元件中必须存在类似的电路或类似的功能。然而,给定移动装置和例如AP的固定网络元件之间的物理差别(例如,大小、功率、操作环境),将在这两种网络元件之间按不同的形式实现RKSE,肯定是可行的。
参见图3,总体上,移动装置10包括RF(或IR)电路11和调制解调器12,其中RF(或IR)电路11接收经由射频(或红外)链路所通信的数据包。从调制解调器12,把数据传送到物理层接口(PLI)13。PLI呈多种形式和类型,但总体上接受从所接收的、由调制解调器11所提供的RF(IR)信号抽取的数据,然后形成(或重新形成)由加密/解密电路14与/或CPU 16所消耗的数据包。
操作示例性移动装置10的一种有关的方法,允许“在传送过程中(on-the-fly)”对流入的数据包进行解密。在这一方法中,把PLI 13所提供的数据包传送至可以胜任的加密/解密电路14,该加密/解密电路14使用适当的安全密钥对包含在该数据包中的信息进行解密。一旦对该数据包进行了解密,将把其存储在存储器15中,以备随后的考虑或CPU 16的处理。通常,CPU 16经由输入/输出电路17(例如,PCI卡)把多个解密的数据包传送至主机系统。图3中的箭头示出了流经移动装置10的这一总的数据流。通常,由移动装置10加密和传输的数据包将反向流过这一路径。
或者,可以首先把来自PLI 13的数据包存储在存储器15中,然后将它们发送至加密/解密电路14,以进行解密。
在移动装置的这一一般化的例子中,例如,可以把根据本发明所实现的RKSE并入加密/解密电路14中,或者被包括而作为响应于CPU 16的分离的电路,或甚至并入CPU 16本身(例如,多核处理器)所提供的功能。
图4的方框图中说明了示例性RKSE 20。选择了这一图中所示的总体的块,以有效地描述某些与RKSE 20相关的功能与部件。这些相应的“块”不旨在定义强制性的硬件类型,也不旨在建立有关电路之间的固定的边界。实际上,本发明认识到,可以针对所公开的实施例,进行许多具体的实现和调整。然而,返回到图4,RKSE 20通常包括密钥搜索引擎(KSE)控制块21;以及包括关联存储器块22、存储器块23、以及默认存储器块24的存储器系统26.
将参照图5,更详细地描述KSE控制块21。
在一个有关的实施例中,关联存储器块22包括一或多个内容可寻址存储器(CAM)。按照惯例,把CAM理解为通常用于高速搜索应用的存储器元件。与其中存储器返回存储在与某具体存储器地址相关联的存储器单元中的具体数据的标准存储器(例如,随机存取存储器或RAM)不同,对CAM进行设计,以针对所提供的数据字,以下将其称为“索引数据”,搜索其整个存储器。可以针对存储在CAM中的一或多个数据条目的全部或部分,标识索引数据。
响应于所提供的索引数据,CAM通常返回与包含索引数据的CAM数据条目相关的一或多个存储器地址。在某些应用中,CAM还返回与包含索引数据的CAM数据条目相关的其它数据。因此,在一个环境中,可以把CAM视为等效于软件提供的相关数据阵列的硬件。因为把CAM设计为按单个的操作搜索其整个存储器,所以其通常大程度快于较小尺寸的RAM存储器。
CAM呈各种体系结构变体。二进制的CAM是最简单的变体,其使用了由逻辑1和0完整形成的索引数据。三进制CAM是更为先进的变体,其允许使用具有第三逻辑的一或多个构成比特的索引数据,其中,第三逻辑与状态“X”或“不介意”相匹配。索引数据中不介意比特的这一使用,向CAM的搜索能力添加了相当大的灵活性。
存储器块23和默认存储器块24可以包括一或多个传统的存储器元件,其中含有关联型存储器元件。
RSKE 20通常接收KSE控制块21所使用的“搜索准则”,以导出至少随后施加于关联存储器块22的索引数据。可以从系统设计者选择的一或多数据源获得搜索准则。然而,在本发明的一个实施例中,搜索准则包括从所接收的数据包所导出的信息(例如,参数、数据、一或多个标志或一或多个寄存器指示、一或多个变量定义、一或多个地址等),与/或与一或多个网络元件相关的信息(例如,移动装置的标识与/或一或多个有关的参数、所连接的AP或其它移动装置标识、CoS指示、安全指定、网络参数等)。以下,将把作为搜索准则的从所接收的数据包所导出的和在KSE控制块21中所接收的任何种类的信息称为“数据包信息”(PACKET_INFO)。以下,将把作为搜索准则的与在KSE控制块21中所接收的一或多个网络元件有关的信息称为“辅助信息”(AUX_INFO)。经由被通信的数据包在移动装置中接收辅助信息,肯定是可行的。然而,与涉及数据包中实际数据的数据包信息相反,辅助信息涉及网络和网络元件。
把被考虑在根据本发明的一个实施例操作的RSKE中使用的一种特定形式的辅助信息称为“控制选项信息”。响应于一或多个与移动装置相关的具体的用户设置,向控制选项信息可选地配备辅助信息。即,本发明可选地允许响应于在移动装置的操作过程中的用户选择的指示,定义某控制参数。在被施加的情况下,这样的控制选项信息变成施加于KSE控制块21的搜索准则的一部分,并且可选地用于定义至少施加于关联存储器块22的索引数据。
通常,RSKE 20响应于所接收的搜索准则,输出一或多个安全密钥(KSE_RESULT).输出“安全密钥”可以包括加密与/或解密密钥、一或多个密码、一或多个初始化向量(IV)、数字签字、以及任何其它与安全有关的数据.
另外,在所定义的错误条件下,RSKE 20将响应于所接收的搜索准则,返回一或多个错误消息。
可选地,RSKE 20还接收图4中示为UPDATE_INFO和NEW_INFO的两个信号作为输入。将在以下的文中讨论这些可选的信号。
图5的方框图中更详细地描述了图4中所示的KSE控制块21。此处,再次介绍这些块,以说明与KSE控制块21相关的某些功能能力和一般化的电路与/或软件例程。
通常,要求某种形式的输入/输出(I/O)控制。因此,将通过I/O块27,把至少某些形式的搜索准则输入KSE控制块21,并且相应地输出至少安全密钥或者错误消息。
在KSE控制块21和关联存储器块22、存储器块23、与/或默认存储器块24之间,通常需要一或多个可以胜任的存储器接口。因此,图5中所示的例子包括CAM接口(CAM IF)30和存储器接口(MEM IF)31。不需要独立地提供这些接口,而可以使用公共的存储器接口电路或芯片组实现这些接口。
除了总的输入/输出和存储器接口能力外,KSE控制块21的一个实施例还包括寄存器块29和映射器28。通常,使用一个集合(一组)被适配以选择、处理、与/或存储数据的硬件数据寄存器,实现寄存器块29。可以在有关软件的控制下对这些寄存器中的一或多个寄存器进行重新配置。术语“可重新配置”宽泛地用于描述任何电路、机制或者方法,凭其可使一或多个硬件寄存器接收和有效地对可变大小与/或定义的数据字进行操作。在一个可行的方案中,控制RSKE的CPU可以把控制命令写至RSKE,RSKE具有对由一或多个数据寄存器将加以接收、存储、操作、与/或输出的数据字的大小、字符、与/或内容进行定义的效果。因此,术语“可重新配置的搜索密钥引擎”包括能够响应于产生潜在地具有可变大小与/或字符的索引数据的搜索准则,而搜索存储在存储器中的一或多个安全密钥的所有电路和机制。在一个实施例中,寄存器块29包括这样的寄存器,其能够接收那些针对所接收的搜索准则方面的变化而在大小与/或字符方面加以变化的索引数据。例如,搜索准则方面的这样的变化,可能源于从不同网络、或从某特定网络(例如,专用网络)中的不同的元件所接收的数据包的不同类型。
寄存器块29还可以包括某些被指定为存储特殊信息的专门的寄存器。例如,用户模式寄存器可以存储与针对移动装置的用户定义的选项有关的信息。某些地址寄存器可用于存储指示需要替代或更新的地址单元的指针。
映射器28可以包括映射表、有限状态机、或者足以执行一或多个映射操作的类似功能,所述类似功能足以根据例如所接收的搜索准则和存储在关联存储器块22、存储器块23、与/或默认存储器24中的数据,执行一或多个映射操作。
在本发明的有关的实施例中,对RSKE的搜索准则的适当的选择和应用,允许潜在地减少存储在存储器中的表项的数量。即,对来自关联存储器块的“索引输出”和选择为“索引准则”的搜索准则的一或多个部分的复合使用,使得能够从存储在存储器中的大量可能的安全密钥中有效定位所希望的安全密钥。
图6中所示的模型系统进一步说明了这一点.此处,把搜索准则施加于KSE控制块21,索引选择器25电路或机制从这一搜索准则导出索引数据.把搜索准则的全部或某些所选择的部分作为“索引准则”施加于索引操作块35.把由索引选择器25所导出的索引数据用于发现关联存储器块(例如,CAM)22中的一或多个表项.把一或多个CAM表项作为“索引输出”输出于索引操作块35.索引操作块对所接收的输入(例如,至少索引准则和索引输出)进行某些逻辑或数学操作,以生成标识存储在存储器块23或默认存储器块24中的安全密钥的存储器地址.
在这一方面,以下将对此详细加以描述,存储器块23与/或默认存储器块24可以为层次结构存储器,用于存储与具体的安全密钥有关的一或多成份。
图6中所示的索引选择器25可以呈图5中所示的寄存器29与/或映射器28的形式,或也可以呈最简单的硬线电路、静态、动态、与/或可编程机制的形式,包括诸如矩阵、移位寄存器的设备、以及其它选择设备,以可选择地从搜索准则中抽取索引数据与/或索引准则。在一个环境中,可以把索引数据视为针对关联存储器块22的“查找字”。在一个实施例中,索引准则仅包括少量从搜索准则所选择或所导出的数据比特。
索引操作块35可以按许多可行的方式操纵索引输出和索引准则(以及潜在的其它输入),以产生作为结果的存储器地址。例如,可以把这两个输入拼接在一起,以形成存储器地址。或者,索引操作块35也可以使用这些输入执行散列操作,以生成存储器地址。实际上,在仅把索引输出和索引准则作为地址线信号施加于有关的存储器的情况下,可以完全省略索引操作块35。
根据通过KSE控制21中的索引选择器25从搜索准则所导出的索引数据,以及从搜索准则所选择或所导出的索引准则,使用从关联存储器块22所产生的索引输出,这使得与所希望的安全密钥相关的存储器地址的生成具有很大的灵活性和很高的效率。即,可以针对多网络、不同的协议、与/或不同的数据包配置,在RSKE中接收广泛的可能的搜索准则。根据这一广泛的可能的搜索准则,KSE控制块能够使用例如可重新配置的寄存器组/映射器组合或者类似的索引选择器机制,智能地导出适当的索引数据和索引准则。
图7中所示的流程图延伸了以上的讨论。假设移动装置具有根据本发明所实现的RKSE,当移动装置(40)接收到数据包时,示例性方法开始。当接收到相应的数据包信息和有关的辅助信息(41)时,RKSE能够导出索引数据(42)和索引准则(43)。索引数据用于找出存储在关联存储器(44)中的相应的索引输出。以该索引输出和索引准则,RKSE执行索引操作,以产生存储器地址(45),然后搜索存储器(46),以获得一或多个安全密钥(47)。以所掌握的适当的安全密钥,RKSE能够处理所接收的数据包(48)。
如以上所提到的,有关的辅助信息的定义,可以包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息。图8的流程图描述了一种其中可以把控制选项信息包括在有关的辅助信息中的方式。首先,执行用户选项选择例程(55)。可以在制造移动装置的工厂,把这一例程作为一次性过程加以运行,或者在零售机构,在用户采购之前,对移动装置进行编程。或者,可以由用户根据他/她的判断,运行该例程。例如,移动装置用户可以从选项菜单序列选择他/她希望授权连接的网络(WLAN、WMAN、专用、QoS等)的数目、类型或标识,或者他/她希望坚持的(例如,WEP和WPA之间的)安全阈值。
在用户选项选择例程期间所进行的选择,产生将存储于移动装置的内部的数据(56).例如,可以把寄存器块29(图5)中的专用寄存器用于存储定义为用户选项选择例程的结果的控制选项信息.然后,可将这一所存储的控制选项信息用于包含或用于定义施加于KSE控制块的搜索准则的辅助信息部分(57).在这一方式中,用户选项使能所选择的与一或多个网络的兼容性.即,可以针对具体用户所选择的选项,使能、禁止、或者定义不同的潜在连接的网络之间的不同的数据保密机制,因为可以有选择地把如此选择的选项并入RKSE所使用的搜索准则中,以搜索和提供有关的安全密钥.
仍需要加以考虑的是,适当选择搜索准则,从该搜索准则导出索引数据与/或索引准则,把索引数据施加于关联存储器以获得索引输出,至少使用索引输出以标识存储安全密钥的一或多个成份的一或多个存储器单元。
根据潜在连接于移动装置的网络的种类,搜索准则的选择将发生改变。每次连接网络,必须提供足够的能力和独特的一组搜索准则数据,以致于能够定义有效的索引数据,以适当地选择所希望的安全密钥。然而,理想的情况下,搜索准则和所得到的索引数据将形成适度的或最小的数据集合,以最小化与索引数据的定义相关的数据计算和数据存储要求、及其对关联存储器的应用。以下是被适配以对多个无线网络的操作中的安全密钥进行索引和提取的搜索准则以及所得到的索引数据的一些所选择的例子。这些只是一些所选择的例子。对于两种所说明的网络类型和其它网络-无线或其它,许多不同的搜索准则与/或索引数据配置是可行的。
另外,在以下的例子中,一般性地假定采用了层次结构存储器。自然,任何可以胜任的存储器体系结构均可满足需求,只要其能够按可搜索的方式存储相关的安全密钥。然而,在安全密钥范围内,所述安全密钥范围包括共同相关的安全密钥成份,即通常在用作示范例子的无线系统中所涉及的成份,以下所描述的存储器体系结构可以特别好地工作。从以下的描述中将可以看出,在其中针对一或多个网络的一或多个数据保密机制中潜在地涉及多种不同类型安全密钥的应用中,层次结构存储器体系结构具有明显的优势。
考察针对胜任802.11的WLAN网络所描述的第一例子,针对图9中所示的方框图来说明。此处,施加于KSE控制块21的包信息包括地址数据、密钥ID数据、以及QC数据。辅助信息可以包括移动装置数据包发送(TX)或移动装置数据包接收(RX)的指示。根据搜索准则的这一组合,可以形成索引数据。另外,例如,也可以把UseGK选择用作索引准则。UseGK选择引用完整的WPA2协议实现、以及BBS或IBBS中的WPA2操作之间的用户选择。
考虑到通常802.11能力要求与多协议的兼容,所述协议包括(例如)传统WEP、WPA(802.11i的子集)、WPA2(完整的802.11i)、以及QoS(802.11e)。把这些不同的协议用作说明性的例子,产生了下列的安全密钥含义。
(1)在使用WEP协议的情况下:
仅把单个的默认密钥(DK)用作安全密钥,以及
不使用成对密钥(PK)或者组密钥(GK)。
(2)在BSS中使用WPA协议的情况下:
每一个移动装置使用一个(1)PK,以及
每一个BSS使用一个(1)GK。
(3)在IBBS中使用WPA协议的情况下:
每一个BSS使用一个(1)GK;以及
每一个移动装置使用一个(1)组密钥初始化向量(GKIV)。
(4)在BSS中使用WPA2协议(UseGK=0)的情况下:
每一个移动装置使用一个(1)PK;以及
每一个BSS使用一个(1)GK。
(5)在IBBS中使用WPA2协议(UseGK=1)的情况下:
每一个移动装置使用一个(1)PK和一个(1)GK。
(6)在把具有局部广播能力的802.11e与下列情况相结合使用的情况下:
(a)传统的WEP:
仅把单个的默认密钥(DK)用作安全密钥,以及
不使用成对密钥(PK)或者组密钥(GK)。
(b)QBSS中的WPA(UseGK=1):
每一个移动装置使用一个(1)PK和一个(1)GKIV;
每一个QBSS使用一个(1)GK。
(c)QBBS中的WPA2(UseGK=1):
每一个移动装置使用一个(1)PK和一个(1)GKIV;
每一个QBSS使用一个(1)GK。
(d)WPA2为IBBS(UseGK=1):
每一个移动装置使用一个(1)PK和一个(1)GK。
在以上的描述中,DK和GK是极为类似的。在BSS中DK和GK均为共享密钥。即,BSS中的每一个AP和移动装置共享同一个DK或者GK。当使用WEP协议时,由用户设置DK。然而,当使用WPA或WPA2协议时,由协议自动地设置GK。
通常的802.11能力还要求接受根据不同的协议所配置的数据包的能力。以下将针对一些描述索引数据的导出的例子,说明几个例子,其中索引数据是从与不同的WLAN协议有关的搜索准则的不同的体导出的。
然而,在考察这些例子之前,对两个可选的输入“UPDATE_IV”和“NEW_IV”进行某些讨论是必要的。遵守完整的802.11,要求执行实现WPA2的AES所需的所有功能的能力。在使用WPA2协议交换数据包期间,每一个帧都可能发生数据包的加密与/或解密。因此,每一数据帧都要求通常包括加密/解密密钥、相应的密码、以及相应的IV的新的安全密钥。从KSE中的先前帧中获知这三个安全密钥成份中的每一个安全密钥成份的存储器地址。UPDATE_IV和NEW_IV信号允许对WPA2标准后面所提供的IV存储器条目的即时更新。因此,在以下的所有的例子中,全都包括这两个输入,均为完整地实现WPA2所可选择地要求的。
记住以上的所有描述,我们返回图9。在一个实施例中,施加于KSE控制块21的辅助信息简单地包括移动装置发送数据(TX)或接收数据(RX)的指示。也可以把与移动装置相关的其它信息、其操作模式、或另外的网络元件包括在辅助信息中。例如,包括在KSE控制块21中的寄存器,可以存储指示与UseGK变量有关的用户选择的控制选项信息。
从一或多个所接收的数据包中对索引数据与/或索引准则的选择,须经多种设计选择。然而,图10A~10中,推荐了针对各种WLAN协议所进行的多种可能的选择。
图10A描述了针对不具加密能力的传统802.11协议的类属数据帧。此处,可以把接收(RX)网络元件的MAC地址的地址1和发送(TX)网络元件的MAC地址的地址2用作索引数据,以标识存储在KSE存储器中的DK。
图10B描述了802.11WEP或802.11i WEP数据帧.可以以从IV数据字段以及相关联的一或多个循环冗余码(CRC)比特或一或多个奇偶比特(ICV)中选择的数据比特补充TX和RX MAC地址。
图10C描述了相应于WPA和WPA2协议的802.11i数据帧。WPA协议实现了TKIP,WPA2实现了CCMP。此处,可以以从扩展的IV数据字段和相应的一或多个消息完好性检查(MIC)比特或一或多个ICV比特中所选择的比特补充TX和RX MAC地址。应该加以注意的是,通常需要随针对所选择的802.11i功能,例如“重放”,与KSE一起存储整个数据帧,但对于索引数据与/或索引准则的定义中的使用,仅需抽取智能地选择的数据字或比特。
图10D描述了被适配以使用802.11e协议实现QoS的传统WEP数据帧。此处,可以由提供了用于确定服务类别的数据业务标识或者优先级的一或多个所选择的质量类别(QC)比特补充MAC地址、一或多个ICV比特以及一或多个IV比特。
可以容易地从图10D中所示的数据帧例子导出:如何能对图10C中所示的相应的数据帧例子进行类似的修改-具有针对选择索引数据所进行的作为结果的改变。图10E中描述了这些修改。
根据数据包信息的这些具体的例子,加之以上所讨论的辅助信息和控制选项信息的例子,可以理解如何使用搜索准则-通常可用于由多网络所引发的多个协议-定义索引数据与/或索引准则。
除了以上的描述之外,还可以把指示广播/组播模式操作对(verses)单播模式操作的移动装置设置用作搜索准则的一部分。另外,可以把所使用的安全密钥密码的类型(例如,用户组密码或正常密码(WEP、TKIP或CCMP))包括在搜索准则中。例如,可以把这样的附加的搜索准则用作索引准则。
不需要按严格的线性方式使用根据索引数据的关联存储器搜索的结果。例如,考虑图11中所示的流程图。此处,接收搜索准则(100),定义索引数据(与/或索引准则)(101),以及搜索关联存储器(102)。关联存储器搜索的结果可能导致“HIT”(找到了相应于所施加的索引数据的CAM存储器表项)或者“MISS”(未找到CAM存储器表项)(103)。潜在地会与所选择的搜索准则一起,使用相应于MISS条件的索引输出,以获得一或多个默认存储器(DMEM)地址(104)。使用所掌握的一或多个默认存储器地址,可以在DMEM(1)中定位DK(105)以及在DMEM(2)中定位相应的DKIV(106)。在这一方式下,把关联的或层次结构的存储器用于很好地定位安全密钥的两个成份。
相比之下,在使用了相应于HIT条件的索引输出的情况下,再次潜在地会与所选择的搜索准则一起,获得一或多个存储器(MEM)地址(107)。此后,在MEM(1)中定位PK或GK(108),以及在MEM(2)中定位相应的PKIV或GKIV(109)。一旦获得包括DK+DKIV、PK+PKIV、或者GK+GKIV的安全密钥,则将其作为KSE结果(110)加以输出。
图12和13中所示的流程图,基本概括了以上针对WLAN协议和适合于阐明本发明的方法所进行的讨论,根据该方法可以标识安全密钥。图12涉及其中用户已选择了UseGK=1的WLAN协议。把与两个移动装置(或站STA)之一有关的包信息(例如,相应的MAC地址)用作搜索CAM(1)的索引数据。MISS条件将导致从DMEM(1)所选择的DK以及从DMEM(2)所选择的相应的DKIV。注意,根据移动装置是处于辅助信息所指示的TX模式还是处于辅助信息所指示的RX模式,部分地选择DKIV。
搜索CAM(1)所产生的HIT条件以及从CAM(1)所获得的PK地址和GK地址,选择存储在MEM(1)中的相应PK和GK.把HIT条件与PK地址和GK地址以及RX或TX指示,用于选择相应的PKIV和GKIV.
图13涉及其中用户选择了UseGK=0的WLAN协议。由于不再根据UseGK选择指示GK输出,所以在搜索中仅涉及具有其相应IV的PK和DK。此处,通常指示对GK的使用的MISS条件或其它条件,将导致如上所述的分别从DMEM(1)和DMEM(2)对DK和DKIV的选择。相类似,也如上所述地从MEM(1)和MEM(2)选择PK和PKIV。
以上的所有描述清楚地表明,如何能够使用针对多个不同WLAN协议中的一个协议所接收的搜索准则,以形成被适配以针对所希望的安全密钥地址来有效搜索关联存储器的可以胜任的索引数据,其中所述所希望的安全密钥地址包括例如存储器地址和默认存储器地址中任意一个。然后,可以把这一安全密钥地址作为索引输出,随所选择的索引准则一起,根据存储器的所定义的层次结构,被应用以定位安全密钥的各个成份。在图12和13中所示出的所说明的例子中,定位了密钥和相应的IV。相类似,可以按相应的存储器的层次结构,找到任何合理数量的其它成份。
因此,现在,可以想像移动装置如何使用能够从多个所存储的安全密钥中标识所希望的安全密钥的RKSE,来通过多个不同的WLAN成功地进行迁移,或者同时连接于多WLAN-尽管各WLAN使用了不同的协议和数据保密机制。
现在,将针对WMAN描述类似的能力。如以上所提到的,WMAN使用了与WLAN相比完全不同的不同的协议。事实上,当前存在着竞争的、建议的WMAN标准。然而,本发明如对于WLAN那样,可以很容易地应用于WMAN。
总体上讲,802.16标准提供了媒体存取控制(MAC),这种MAC是面向连接的MAC,并且其设计旨在支持中央基站(BS)和多独立的移动装置之间的点到多点的体系结构。WMAN中的移动装置通常具有相应的MAC地址,然而,在每一个数据包通信帧期间,不使用该MAC地址。相反,向BS到移动装置的连接赋予相应的连接标识符(CID)。
在大多数WMAN协议中,移动装置通过首先请求带宽分配与BS“相关联”。然后,BS分配带宽以及一或多个相应的CID。BS还提供相应安全关联标识符(SAID)的列表。从而,例如,当移动装置向BS发送数据包时,必须提供适当的SAID,以使能数据保密。因此,移动装置必须能够根据相应的CID,从多个所存储的SAID中标识所希望的SAID。换一种说法,至少在一个实施例中,CID变成施加于RKSE的搜索准则的一部分,该RKSE发现被适配以与一或多个WMAN相连的移动装置中的应用。在有关的实施例中,也可以把针对WMAN CID例行提供的所谓加密密钥序列(EKS)用作搜索准则。
与WLAN安全密钥一样,WMAN安全密钥通常包括多成份。例如,考察802.16协议,相应的安全密钥包括多成份,其中至少含有业务加密密钥(TEK)以及相应的IV。通常,也把有关的安全关联(SA)值作为复(complex)密码的一部分与安全密钥相关联。
图14中所示的方框图宽泛地描述了本发明的一个实施例,该图是针对搜索和标识所希望的安全密钥的机制和有关的方法加以描绘的,其中,所希望的安全密钥具有实现802.16协议的示例性WMAN的环境中的多成份。把包括例如从所接收的数据包中的CID所选择的数据比特的搜索准则用于形成施加于第一关联存储器120(CAM 1)的第一索引数据。第一关联存储器120(CAM 1)响应于第一索引数据,输出第一索引输出(例如,相应SAID的存储器地址).随后,把第一索引输出施加于第一存储器121(MEM1),以获得可以随后全部或部分地加以使用的、作为第二索引数据的安全密钥数据.在所说明的这一例子中,在第一存储器121中,标识相应于第一索引输出的SAID.
如果第一关联存储器120的搜索与/或对第一存储器121的随后引用导致MISS条件,则返回错误消息,或者作为选择,某些实施例可以定义存储在默认存储器(未在图14中示出)中的默认密钥。如以上所描述的,默认存储器可以为层次结构存储器,其被安排返回安全密钥的多成份。
返回图14,然而,可以有选择地把第一存储器121的输出用于有关的层次结构存储器,以标识与所希望的安全密钥有关的其它信息。例如,可以使用从第一存储器121输出的第二索引数据以搜索第三关联存储器126(CAM3)。可以在把索引准则施加于逻辑索引操作块(未示出)中的第二索引数据之后,进行这一搜索。然后,可以把从第三关联存储器126的索引输出用于引用第四存储器127(MEM4),以获得所希望的安全密钥信息。实际上,可以把任何合理个数的级联的关联存储器搜索和随后的存储器引用用于迅速地定位所希望的WMAN安全密钥的成份。
在图14中,把从第一存储器121所输出的第二索引数据施加于第二关联存储器122(CAM2),以获得第二索引输出(例如,将施加于第三存储器125(MEM3)的存储器地址)。响应于第二索引输出,第三存储器125(MEM3)输出相应于所希望的安全密钥的SA。在图14的所说明的例子中,也把第二索引输出随索引准则一起施加于逻辑索引操作块123(例如,加法器或拼接电路)。然后,把逻辑索引操作块123的输出施加于第二存储器124(MEM2),以选择相应于所希望的安全密钥的TEK和IV。
在本发明的一个实施例中,施加于逻辑索引操作块123的索引准则包括一或多个从EKS所选择的比特。例如,可以把EKS的最高有效位(MBS)和最低有效位(LSB)用于在存储在第二存储器124中的TEK和IV的组合之间选择。
从以上的描述中,可以理解,具有根据本发明所实现的RKSE的移动装置如何能够在多WLAN和WMAN系统之间移动,或者如何能够同时连接于多WLAN或WMAN系统。即,如不同WLAN和WMAN之间,不同数据通信协议和不同数据保密机制的可能性将不能阻止RKSE有效定位相应于从WLAN或WMAN中任何一个所接收的(或传输至WLAN或WMAN中任何一个的)数据包的所希望的安全密钥。
在图15和16中所说明的例子中,进一步扩展了这一概念。图15概念性地说明了被适配以与一或多个WLAN和一或多个WMAN接口的移动装置10中的单个RKSE 20的使用。尽管这一能力中涉及不同的协议,但仅需把单个的RKSE 20包括在移动装置10中。即,移动装置10中与一或多个WLAN130相关的电路与功能、以及与一或多个WMAN 140相关的电路与功能,均利用了RKSE 20所创建的公共资源。
图16更详细地说明了本发明的这一方面。此处,包信息可以包括例如MAC地址和CID、以及从EKS、KeyID和QC所选择的比特。辅助信息包括例如RX/TX指示和协议指示。根据这一相当有限的搜索准则集合、以及有选择地加以提供的控制选项信息,RKSE能够在多个所存储的安全密钥中定位和输出所希望的安全密钥(KSE_RESULT)。
可以按与以上所描述的方式相类似的方式把包括例如关联存储器22、存储器23以及默认存储器24的层次结构存储器用于有效地提供所希望的安全密钥,特别是在安全密钥包括多成份的情况下。
多个用户定义的控制选项存在于图15和16中所说明的例子的环境中.(这一讨论中的“用户”可以为与移动装置有关的最终用户、零售商、或工厂的程序设计人员).例如,用户可以在以下操作模式之间进行选择:(1)使能WMAN或WLAN、但非两者的连接的单操作模式,或(2)使能WMAN与WLAN两者连接的双操作模式.在选择了单操作模式的情况下,则此后用户可以选择UseGK模式,其中UseGK=1使能专用网络中的某些类型的移动装置的连接.
在图17和18的图中进一步说明了以上所描述的概念。图17说明了根据本发明的一个实施例的示例性RKSD搜索方法,其中,用户已经选择了双模式操作(即WLAN和WMAN操作),而且UseGK=1。图18说明了根据本发明的另一个实施例的有关示例性RKSD搜索方法,其中,用户已经选择了双模式操作(即WLAN和WMAN操作),而且UseGK=0。例如,所说明的这两种方法均可在图16中所示的RKSE中加以实现。
在这两个图中,例如,使用多路复用器150从WLAN接收搜索准则(例如,包括MAC地址)的胜任的块,与/或从WMAN至少接收相应于先前所进行的搜索的SAID。
由于WMAM安全密钥增加了复杂度,所以把图16中的CAM(1)用于至少存储SAID地址,并且针对从包括例如CID和EKS的与WMAN相关的搜索准则所导出的索引数据而搜索该CAM(1)。把从CAM(1)输出的所得索引用于引用MEM(1)和至少找到相应的SAID。通过多路复用器150,把这一SAID和可能以与SAID相组合的索引准则的形式提供的其它信息一起作为索引数据,施加于CAM(2)。
继续执行WMAN搜索例程,把位于CAM(2)中的SAID表项用于定位MEM(2)和MEM(3)中相应的安全密钥成份。在图17中所示的所说明的例子中,把SAID表项和从EKS所选择的比特的逻辑组合用于引用MEM(2),然后把MEM(2)中的表项(例如,TEK与/或有关的数据)用于引用MEM(3)(存储相应的IV)。
通过比较,WLAN直接通过多路复用器150,把从WLAN搜索准则所导出的索引数据施加于CAM(2)。针对HIT条件通过MEM(2)和MEM(3)的、以及针对MISS条件通过DMEM(2)和DMEM(3)的来自CAM(2)的搜索流,如先前参照图12所描述,继续进行。
针对UseGK的选择以及因此对GK的可能的搜索,图18中所示的示例性搜索流与图17的示例性搜索流不同。如图18中所示,对CAM(2)的不同的使用在于,把来自WMAN的SAID和EKS数据结合于用于搜索CAM(2)的索引数据中。相比之下,在图17中所示的方法中,把EKS数据作为索引准则施加于CAM(2)的索引输出。这样,图18中所示的实施例中对CAM(2)的使用显然更为有效。
在描述如何能够根据众多设计参数和目标修改与根据本发明的实施例的RKSE相关的层次结构存储器的许多具体例子中,这只不过是其中之一。可以针对不同的数据协议和独特的多成份安全密钥,构造不同的算法以搜索RKSE存储器。在多成份安全密钥的情况下,通过有关存储器的层次结构进行级联搜索,可能具有特别的优势。因此,众多的存储器体系结构是可行的,包括含有一或多个存储器与/或关联存储器的体系结构。如在以上所描述的例子中的某些例子中所看到的,也可以使用默认存储器,特别是针对传统协议或搜索失败而使用默认存储器,获得良好的特性。
如已很容易加以表示的,任何合理数目的数据源(与数据包有关的以及与数据包无关的)均可被描绘为形成RKSE可用的搜索准则.根据这一搜索准则,可以定义索引数据和索引准则,并且通过存储在RKSE存储器中的数据把索引数据和索引准则用于构造有效的搜索算法.
在本发明的实施例中,也可以容易地把用户定义的控制选项用于搜索安全密钥的问题。考察先前所提到的UseGK选择的例子。在UseGK=1的情况下,针对协议,例如针对WPA2和802.11e,每一个移动装置使用一个GK。并且把一个存储器表项{例如,MEM(1)[INDEX(1)+1]}定位在其中索引CAM地址为组地址的地方,以及把另一个存储器表项{例如,MEM(1)[INDEX(1)]}定位在其中索引CAM地址不为组地址的地方。然而,在UseGK=0的情况下,可以针对协议,例如针对WEP和WPA,每一个BSS使用一个GK。并且把一个默认存储器表项{例如,DMEM(1)[KEYID]}定位在其中索引CAM地址为组地址的地方,以及把存储器表项{例如,MEM(1)[INDEX(1)]}定位在其中索引CAM地址不为组地址的地方。
类似地考察对具有某一特定类型的密码成份-例如UseGroupCipher-的安全密钥进行的搜索,UseGK选择对这一搜索的影响。相对本发明的一个实施例,在所选择的密码为UseGroupCipher,并且在TX操作期间UseGK=0的情况下,把密钥、密码以及IV定位在默认存储器中。然而,对于RX操作,把IV定位在存储器中,同时把密钥和密码定位在默认存储器中。
在所选择的密码为UseGroupCipher,并且在TX操作期间UseGK=1的情况下,再次把密钥、密码以及IV定位在默认存储器中。然而,对于RX操作,把密钥、密码以及IV定位在存储器中。
这些所选择的例子说明了本发明的能力与灵活性适应具有不同操作模式、不同用户控制选项的不同类型的移动装置。
针对本发明,硬线连接的网络的不同仅在于它们的连接方式。由于硬线连接的网络所使用的独特的协议和数据保密机制所引发的对安全密钥的考虑,很容易通过本发明加以解决。对于给定的众多传统有线网络来说,这是重要的。因此,以上介绍的示范例子所给出的原理和概念、以及针对无线网络所描绘的原理和概念,也适合于有线网络。
Claims (70)
1.一种移动装置,包括:
密钥搜索引擎KSE,从网络接收搜索准则,以提供安全密钥;并且包括存储器系统,以存储多个安全密钥;
其中,所述KSE包括KSE控制块,用以接收搜索准则并导出索引数据,所述KSE控制块包括:
输入/输出块,接收搜索准则并输出所述安全密钥;
关联存储器接口,把KSE控制块与关联存储器相连;以及
存储器接口,把KSE控制块与存储器相连,
其中,所述存储器系统包括:关联存储器,响应于根据搜索准则所导出的索引数据而提供索引输出;以及存储器,响应于索引输出而输出所述安全密钥,
其中,所述搜索准则包括与移动装置中所接收的数据包有关的数据包信息、以及与网络中的元件有关的辅助信息的至少之一,其中所述与网络中的元件有关的辅助信息包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息。
2.根据权利要求1所述的移动装置,其中,所述辅助信息包括与用户定义的选项选择有关的控制选项信息。
3.根据权利要求1所述的移动装置,其中,所述KSE控制块还包括:
索引选择器,响应于搜索准则而导出索引数据。
4.根据权利要求3所述的移动装置,其中,所述索引选择器包括:
寄存器块和映射器。
5.根据权利要求4所述的移动装置,其中,所述寄存器块包括可重新配置的寄存器,被适配以响应于映射器输出而输出变化大小、或字符的索引数据。
6.根据权利要求5所述的移动装置,其中,所述映射器包括映射表或有限状态机。
7.根据权利要求1所述的移动装置,其中,所述多个安全密钥包括默认密钥,而且所述存储器系统还包括存储默认密钥的默认存储器。
8.根据权利要求7所述的移动装置,其中,安全密钥包括多成份,存储器包括多存储器,其中每一个存储器存储多成份的一或一个以上的成份。
9.根据权利要求8所述的移动装置,其中,所述多成份包括加密/解密密钥、密码、以及初始化向量(IV)中的至少一个。
10.根据权利要求1所述的移动装置,其中,安全密钥包括多成份,存储器包括多存储器,其中每一个存储器存储多成份的一或一个以上的成份。
11.根据权利要求10所述的移动装置,其中,所述多成份包括安全关联标识符(SAID)、业务加密密钥(TEK)、安全关联(SA)以及初始化向量(IV)中的至少一个。
12.根据权利要求10所述的移动装置,其中,所述关联存储器包括多内容可寻址存储器(CAM)。
13.根据权利要求8所述的移动装置,其中,所述关联存储器包括多内容可寻址存储器(CAM)。
14.根据权利要求1所述的移动装置,其中,所述关联存储器包括多内容可寻址存储器(CAM)。
15.根据权利要求1所述的移动装置,其中,所述KSE还包括:
索引操作块,接收根据搜索准则导出的索引准则、和索引输出,并且生成存储器地址。
16.根据权利要求15所述的移动装置,其中,所述索引操作块包括执行拼接的电路、执行散列操作的电路、或执行逻辑操作的电路。
17.根据权利要求1所述的移动装置,其中,所述KSE控制块还包括:
索引选择器,包含寄存器块和映射器,所述索引选择器通过寄存器块和映射器的操作,根据数据包信息和辅助信息导出索引数据。
18.根据权利要求17所述的移动装置,其中,所述寄存器块包括用于存储针对移动装置的与用户定义的选项有关的控制选项信息的寄存器。
19.根据权利要求18所述的移动装置,该移动装置还包括索引操作块,以接收从搜索准则所选择的索引准则、和索引输出,并且输出施加于存储器的存储器地址。
20.一种密钥搜索引擎KSE,包括:
KSE控制块,从网络接收搜索准则,根据搜索准则导出索引数据,并提供安全密钥;以及
存储器系统,存储多个安全密钥,
其中,所述存储器系统包括:关联存储器,响应于索引数据而提供索引输出;以及存储器,响应于索引输出而输出所述安全密钥,
其中,所述KSE控制块包括:
输入/输出块,接收搜索准则并输出所述安全密钥;
关联存储器接口,把KSE控制块与关联存储器相连;以及
存储器接口,把KSE控制块与存储器相连,
其中,所述搜索准则包括与KSE中所接收的数据包有关的数据包信息、以及与网络中的元件有关的辅助信息的至少之一,其中所述与网络中的元件有关的辅助信息包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息。
21.根据权利要求20所述的KSE,其中,所述辅助信息包括与用户定义的选项选择有关的控制选项信息。
22.根据权利要求21所述的KSE,其中,所述KSE控制块还包括:
索引选择器,响应于搜索准则导出索引数据。
23.根据权利要求22所述的KSE,其中,所述索引选择器包括:
寄存器块和映射器。
24.根据权利要求23所述的KSE,其中,所述寄存器块包括可重新配置的寄存器,被适配以响应于映射器输出而输出变化大小、或字符的索引数据。
25.根据权利要求24所述的KSE,其中,所述映射器响应于搜索准则和存储在关联存储器、存储器和/或默认存储器中的数据而执行映射操作。
26.根据权利要求25所述的KSE,其中,所述映射器包括映射表或有限状态机。
27.根据权利要求20所述的KSE,其中,所述多个安全密钥包括默认密钥,所述存储器系统包括存储默认密钥的默认存储器。
28.根据权利要求27所述的KSE,其中,所述安全密钥包括多成份,所述存储器包括多存储器,其中每一个存储器存储多成份的一或一个以上的成份。
29.根据权利要求28所述的KSE,其中,所述多成份包括加密/解密密钥、密码、以及初始化向量(IV)中的至少一个.
30.根据权利要求20所述的KSE,其中,所述安全密钥包括多成份,所述存储器包括多存储器,其中每一个存储器存储多成份的一或一个以上的成份。
31.根据权利要求30所述的KSE,其中,所述多成份包括安全关联标识符(SAID)、业务加密密钥(TEK)、安全关联(SA)以及初始化向量(IV)中的至少一个。
32.根据权利要求20所述的KSE,还包括:
索引操作块,接收根据搜索准则导出的索引准则、和索引输出,并且生成存储器地址。
33.根据权利要求32所述的KSE,其中,所述索引操作块包括执行拼接的电路、执行散列操作的电路、或执行逻辑操作的电路。
34.一种移动装置,被适配以在按照第一协议通信数据的第一网络、以及按照第二协议通信数据的第二网络中进行连接,所述移动装置包括:
可重新配置的密钥搜索引擎RKSE,该RKSE用以从网络接收搜索准则,根据搜索准则导出索引数据,并提供安全密钥,该RKSE包含:
存储器系统,存储与第一和第二网络有关的多个安全密钥;以及
控制块,响应于包括由移动装置接收的数据包信息的搜索准则而输出从多个安全密钥选择的安全密钥,
其中,所述存储器系统包括:
关联存储器,接收根据搜索准则导出的索引数据,并且输出索引输出;以及
存储器,接收根据索引输出导出的存储器地址,并且响应于存储器地址而输出所述选择的安全密钥,
其中,所述搜索准则包括与移动装置中所接收的数据包有关的数据包信息、以及与网络中的元件有关的辅助信息的至少之一,其中所述与网络中的元件有关的辅助信息包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息。
35.根据权利要求34所述的移动装置,其中,所述第一网络为无线局域网WLAN,所述第二网络为无线城域网WMAN或专用网络。
36.根据权利要求35所述的移动装置,其中,如果索引数据标识关联存储器条目,则索引输出指示HIT条件,或者如果索引数据不能够标识关联存储器条目,则索引输出指示MISS条件。
37.根据权利要求36所述的移动装置,其中,所述存储器系统还包括:
默认存储器,当指示MISS条件时,接收存储器地址;以及
其中,当指示HIT条件时,所述存储器接收存储器地址。
38.根据权利要求37所述的移动装置,其中,所述默认存储器是层次结构存储器,包括多默认存储器,每一个默认存储器存储安全密钥的有关成份;以及
其中,所述多默认存储器响应于所接收的存储器地址。
39.根据权利要求37所述的移动装置,其中,所述存储器是层次结构存储器,包括多存储器,每一个存储器存储安全密钥的有关成份;以及
其中,所述多存储器响应于所接收的存储器地址。
40.根据权利要求38所述的移动装置,其中,所述存储器是层次结构存储器,包括多存储器,每一个存储器存储安全密钥的有关成份;以及
其中,所述多存储器响应于所接收的存储器地址。
41.根据权利要求35所述的移动装置,其中,所述RKSE还包括:
索引操作块,接收索引输出和根据搜索准则导出的索引准则;以及
其中,通过对索引输出和索引准则执行逻辑操作,导出存储器地址。
42.根据权利要求41所述的移动装置,其中,所述逻辑操作为拼接或散列。
43.根据权利要求41所述的移动装置,其中,所述辅助信息包括与用户定义的选项选择有关的控制选项信息。
44.根据权利要求41所述的移动装置,其中,至少部分地针对控制选项信息来定义索引准则。
45.根据权利要求35所述的移动装置,其中,所述控制块还包括:
输入/输出块,接收搜索准则并输出安全密钥;
关联存储器接口,把控制块与关联存储器相连;以及
存储器接口,把控制块与存储器相连。
46.根据权利要求45所述的移动装置,其中,所述存储器系统包括:
第一内容可寻址存储器CAM,从控制块接收第一索引数据,并且输出第一索引输出;
第一存储器,接收第一索引输出作为第一存储器地址,并且输出第一安全密钥成份输出;
第二CAM,接收第一安全密钥成份输出作为第二索引数据,并且输出第二索引输出;以及
第二存储器,接收第二索引输出,并且输出第二安全密钥成份输出。
47.根据权利要求46所述的移动装置,其中,所述第一安全密钥成份输出是安全关联标识符(SAID),所述第二安全密钥成份输出包括业务加密密钥(TEK)以及相应的初始化向量(IV)。
48.根据权利要求35所述的移动装置,还包括:
第一电路,被适配以与WLAN通信;和第二电路,被适配以与WMAN或专用网络通信,其中,所述第一和第二电路共同存取RKSE,以获得相应的安全密钥。
49.根据权利要求34所述的移动装置,其中,所述第一网络为WLAN,所述第二网络为WMAN或专用网络,
其中,所述多个安全密钥包括多个与WLAN有关的安全密钥、和多个与WMAN有关的安全密钥或多个与专用网络有关的安全密钥;
其中,所述移动装置包括接收数据包的射频接收器;以及
其中,在所接收的数据包源于WLAN的情况下,所述RKSE输出从多个与WLAN有关的安全密钥中所选择的与WLAN有关的安全密钥,
在所接收的数据包源于WMAN的情况下,输出从多个与WMAN有关的安全密钥中所选择的与WMAN有关的安全密钥,或者
在所接收的数据包源于专用网络的情况下,输出从多个与专用网络有关的安全密钥中所选择的与专用网络有关的安全密钥。
50.根据权利要求49所述的移动装置,其中,所述存储器系统还包括默认存储器,所述默认存储器存储所选择的至少一个包括默认密钥的WLAN安全密钥。
51.一种在移动装置中提供安全密钥的方法,所述移动装置包括密钥搜索引擎KSE和存储器系统,所述存储器系统包括关联存储器、和存储多个安全密钥的存储器,所述方法包括:
从网络接收搜索准则;
根据KSE中的搜索准则导出索引数据;
使用索引数据搜索关联存储器,以生成索引输出;以及
使用索引输出引用存储器,以输出安全密钥,
其中,所述搜索准则包括与移动装置中所接收的数据包有关的数据包信息、以及与网络中的元件有关的辅助信息的至少之一,其中所述与网络中的元件有关的辅助信息包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息。
52.根据权利要求51所述的方法,其中,所述KSE包括KSE控制块,所述KSE控制块接收搜索准则并导出索引数据。
53.根据权利要求52所述的方法,其中,接收辅助信息的过程包括:接收与用户定义的选项选择有关的控制选项信息。
54.根据权利要求52所述的方法,其中,所述KSE控制块包括索引选择器,响应于搜索准则而导出索引数据。
55.根据权利要求54所述的方法,其中,导出索引数据的过程包括:
针对KSE中执行的映射操作,配置索引选择器中的寄存器;以及
使用该寄存器导出索引数据,
其中所述映射操作包括引用映射表或有限状态机。
56.根据权利要求51所述的方法,其中,所述多个安全密钥包括默认密钥,所述存储器系统还包括存储默认密钥的默认存储器,所述方法包括:
使用索引输出引用默认存储器,以输出默认密钥。
57.根据权利要求56所述的方法,其中,所述安全密钥包括多成份,所述存储器包括存储多成份中的一或多个的多存储器,并且其中,使用索引输出来引用存储器的过程包括:
使用索引输出来引用多个存储器,以输出多成份。
58.根据权利要求57所述的方法,其中,所述多成份包括加密/解密密钥、密码、以及初始化向量(IV)的至少之一。
59.根据权利要求51所述的方法,其中,所述安全密钥包括多成份,所述存储器包括存储多成份中的一或多个的多存储器,并且其中,使用索引输出来引用存储器的过程包括:
使用索引输出来引用多个存储器,以输出多成份。
60.根据权利要求59所述的方法,其中,所述多成份包括安全关联标识符(SAID)、业务加密密钥(TEK)、安全关联(SA)以及初始化向量(IV)中的至少一个。
61.根据权利要求51所述的方法,其中,所述KSE包括索引操作块,而且其中,使用索引输出来引用存储器的过程包括:
根据搜索准则导出索引准则;
在索引操作块中执行索引输出和索引准则的索引操作,以生成地址;以及
使用地址来引用存储器,以输出安全密钥。
62.根据权利要求61所述的方法,其中,所述索引操作包括拼接、散列、或逻辑操作。
63.根据权利要求54所述的方法,其中,所述KSE控制块包括寄存器块,所述寄存器块含有多个寄存器,并且其中,接收控制选项信息的过程包括提取存储在多个寄存器的一个中的控制选项信息。
64.一种提供与由第一网络使用的第一协议或由第二网络使用的第二协议有关的安全密钥的方法,该方法包括:
存储与存储器系统中第一和第二协议的至少一个有关的多个安全密钥,所述存储器系统包括关联存储器和存储器;
接收与移动装置中所接收的数据包有关的数据包信息和与网络中的元件有关的辅助信息;
针对数据包信息和辅助信息定义搜索准则;
根据搜索准则导出索引数据,所述搜索准则包括与移动装置中所接收的数据包有关的数据包信息、以及与网络中的元件有关的辅助信息的至少之一,其中所述与网络中的元件有关的辅助信息包括对用户定义的控制选项信息的引用,或者包含用户定义的控制选项信息;
使用索引数据来搜索关联存储器,以输出索引输出;
使用索引输出来引用存储器,以输出安全密钥。
65.根据权利要求64所述的方法,其中,所述存储器系统还包括默认存储器,而且其中,搜索关联存储器的过程包括:
在没有关联存储器条目与索引数据有关的情况下,指示MISS条件,以及在至少一个关联存储器条目与索引数据有关的情况下,指示HIT条件;以及
其中,使用索引输出来引用存储器的过程包括:
当指示MISS条件时,使用索引输出来引用默认存储器,或者当指示HIT条件时,使用索引数据来引用存储器。
66.根据权利要求64所述的方法,其中,使用索引输出来引用存储器的过程包括:
根据搜索准则导出索引准则;
使用索引准则和索引输出来执行索引操作,以输出地址;以及
使用地址来引用存储器。
67.根据权利要求65所述的方法,其中,所述默认存储器包括多存储器,使用索引输出来引用所述多存储器,以输出与安全密钥有关的多成份。
68.根据权利要求66所述的方法,其中,所述存储器包括多存储器,使用地址来引用所述多存储器,以输出与安全密钥有关的多成份。
69.根据权利要求65所述的方法,其中,针对数据包信息和辅助信息定义搜索准则的过程包括:
提取所存储的控制选项信息。
70.根据权利要求69所述的方法,其中,根据搜索准则导出索引数据的过程包括:
在所接收的数据包源于第一网络的情况下,以第一配置来配置寄存器,或者在所接收的数据包源于第二网络的情况下,以第二配置来配置寄存器。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR63397/04 | 2004-08-12 | ||
| KR1020040063397A KR100735577B1 (ko) | 2004-08-12 | 2004-08-12 | 무선 네트워크의 적응형 키검색장치 및 방법 |
| US11/081,000 US20060034461A1 (en) | 2004-08-12 | 2005-03-16 | Reconfigurable key search engine |
| US11/081,000 | 2005-03-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1741444A CN1741444A (zh) | 2006-03-01 |
| CN1741444B true CN1741444B (zh) | 2010-05-12 |
Family
ID=36093671
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005100897696A Expired - Fee Related CN1741444B (zh) | 2004-08-12 | 2005-08-09 | 可重新配置的密钥搜索引擎 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US20060034461A1 (zh) |
| KR (1) | KR100735577B1 (zh) |
| CN (1) | CN1741444B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7647508B2 (en) * | 2005-06-16 | 2010-01-12 | Intel Corporation | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks |
| KR100694219B1 (ko) * | 2005-08-19 | 2007-03-14 | 삼성전자주식회사 | 무선 단말에서의 액세스 포인트 데이터 전송 모드 감지장치 및 그 방법 |
| KR100749720B1 (ko) * | 2006-08-18 | 2007-08-16 | 삼성전자주식회사 | 다중 인증 정책을 지원하는 접속노드 장치 및 방법 |
| KR100821183B1 (ko) * | 2006-10-31 | 2008-04-14 | 주식회사 케이티프리텔 | 무선 망 제어국에서의 보안 모드 제어 방법 및 장치 |
| US8054779B2 (en) * | 2007-05-08 | 2011-11-08 | Microsoft Corporation | Simultaneous wireless support in software defined radio |
| US8494168B1 (en) * | 2008-04-28 | 2013-07-23 | Netapp, Inc. | Locating cryptographic keys stored in a cache |
| CN101583083B (zh) * | 2009-06-01 | 2011-11-30 | 中兴通讯股份有限公司 | 一种实时数据业务的实现方法和实时数据业务系统 |
| DE102009029828B4 (de) * | 2009-06-18 | 2011-09-01 | Gigaset Communications Gmbh | DEFAULT Verschlüsselung |
| US20120324143A1 (en) * | 2011-06-15 | 2012-12-20 | Data Design Corporation | Methods and apparatus for data access by a reprogrammable circuit module |
| US9417894B1 (en) | 2011-06-15 | 2016-08-16 | Ryft Systems, Inc. | Methods and apparatus for a tablet computer system incorporating a reprogrammable circuit module |
| US9276810B2 (en) * | 2011-12-16 | 2016-03-01 | Futurewei Technologies, Inc. | System and method of radio bearer management for multiple point transmission |
| DE102013206661A1 (de) * | 2013-04-15 | 2014-10-16 | Robert Bosch Gmbh | Kommunikationsverfahren zum Übertragen von Nutzdaten sowie entsprechendes Kommunikationssystem |
| US10447823B2 (en) * | 2014-01-08 | 2019-10-15 | Marvell Semiconductor, Inc. | Packet parsing engine |
| WO2017095303A1 (en) * | 2015-12-04 | 2017-06-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Provisioning node, communication node and methods therein for handling key identifiers in wireless communication |
| JP6642060B2 (ja) * | 2016-02-05 | 2020-02-05 | 大日本印刷株式会社 | 情報処理装置 |
| JP2019117677A (ja) * | 2017-12-27 | 2019-07-18 | ルネサスエレクトロニクス株式会社 | 検索メモリ |
| US11294905B2 (en) * | 2019-01-07 | 2022-04-05 | Optumsoft, Inc. | Sparse data index table |
| CN110035396B (zh) * | 2019-04-15 | 2021-08-13 | 湖南科大天河通信股份有限公司 | 蓝牙广播密钥更新方法、装置及系统 |
| US11347895B2 (en) * | 2019-12-03 | 2022-05-31 | Aptiv Technologies Limited | Method and system of authenticated encryption and decryption |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6026165A (en) * | 1996-06-20 | 2000-02-15 | Pittway Corporation | Secure communications in a wireless system |
| CN1378735A (zh) * | 1999-07-30 | 2002-11-06 | 英特尔公司 | 通信保护 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5222137A (en) | 1991-04-03 | 1993-06-22 | Motorola, Inc. | Dynamic encryption key selection for encrypted radio transmissions |
| US5481610A (en) | 1994-02-28 | 1996-01-02 | Ericsson Inc. | Digital radio transceiver with encrypted key storage |
| US5974409A (en) * | 1995-08-23 | 1999-10-26 | Microsoft Corporation | System and method for locating information in an on-line network |
| JP2001053801A (ja) | 1999-08-11 | 2001-02-23 | Hitachi Cable Ltd | パケット流量測定方法 |
| US6347376B1 (en) * | 1999-08-12 | 2002-02-12 | International Business Machines Corp. | Security rule database searching in a network security environment |
| EP1250779A2 (en) * | 1999-12-10 | 2002-10-23 | Mosaid Technologies Incorporated | Method and apparatus for longest match address lookup |
| US7093128B2 (en) * | 2000-04-06 | 2006-08-15 | Sony Corporation | Information recording/reproducing apparatus and method |
| US20010042204A1 (en) * | 2000-05-11 | 2001-11-15 | David Blaker | Hash-ordered databases and methods, systems and computer program products for use of a hash-ordered database |
| JP4098478B2 (ja) * | 2001-01-31 | 2008-06-11 | 株式会社東芝 | マイクロプロセッサ |
| US20030007489A1 (en) | 2001-07-09 | 2003-01-09 | Ram Krishnan | Data extraction system for packet analysis |
| JP3489573B2 (ja) | 2001-07-11 | 2004-01-19 | 日本電気株式会社 | パケット処理装置 |
| US7167471B2 (en) | 2001-08-28 | 2007-01-23 | International Business Machines Corporation | Network processor with single interface supporting tree search engine and CAM |
| US6928553B2 (en) * | 2001-09-18 | 2005-08-09 | Aastra Technologies Limited | Providing internet protocol (IP) security |
| US7409542B2 (en) * | 2001-09-26 | 2008-08-05 | Intel Corporation | Security association management through the use of lookup tables |
| KR20010106325A (ko) * | 2001-10-15 | 2001-11-29 | 신용태 지동관 | 디지털 저작권 관리 서비스를 위한 사용자 인증 기능을가진 무선 pda용 전자북 콘텐츠 서비스 제공 방법 및시스템 |
| US8271530B2 (en) * | 2002-04-08 | 2012-09-18 | Oracale International Corporation | Method and mechanism for managing and accessing static and dynamic data |
| US7607015B2 (en) | 2002-10-08 | 2009-10-20 | Koolspan, Inc. | Shared network access using different access keys |
| JP4619788B2 (ja) | 2002-10-11 | 2011-01-26 | パナソニック株式会社 | Wlan相互接続における識別情報の保護方法 |
| US7685434B2 (en) * | 2004-03-02 | 2010-03-23 | Advanced Micro Devices, Inc. | Two parallel engines for high speed transmit IPsec processing |
| US7483426B2 (en) * | 2004-05-13 | 2009-01-27 | Micrel, Inc. | Look-up table expansion method |
| US20060020444A1 (en) * | 2004-07-26 | 2006-01-26 | Cousineau Leo E | Ontology based medical system for data capture and knowledge representation |
| US7783037B1 (en) * | 2004-09-20 | 2010-08-24 | Globalfoundries Inc. | Multi-gigabit per second computing of the rijndael inverse cipher |
-
2004
- 2004-08-12 KR KR1020040063397A patent/KR100735577B1/ko active IP Right Grant
-
2005
- 2005-03-16 US US11/081,000 patent/US20060034461A1/en not_active Abandoned
- 2005-08-09 CN CN2005100897696A patent/CN1741444B/zh not_active Expired - Fee Related
-
2013
- 2013-06-28 US US13/930,408 patent/US9819482B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6026165A (en) * | 1996-06-20 | 2000-02-15 | Pittway Corporation | Secure communications in a wireless system |
| CN1378735A (zh) * | 1999-07-30 | 2002-11-06 | 英特尔公司 | 通信保护 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9819482B2 (en) | 2017-11-14 |
| US20060034461A1 (en) | 2006-02-16 |
| KR20060014724A (ko) | 2006-02-16 |
| US20140010370A1 (en) | 2014-01-09 |
| CN1741444A (zh) | 2006-03-01 |
| KR100735577B1 (ko) | 2007-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1741444B (zh) | 可重新配置的密钥搜索引擎 | |
| US7647508B2 (en) | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks | |
| CN100471196C (zh) | 用于卸载对多个网络业务流的密码处理的方法和装置 | |
| US6990587B2 (en) | Cryptographic architecture for secure, private biometric identification | |
| US20060149858A1 (en) | Establishing wireless universal serial bus (WUSB) connection via a trusted medium | |
| CN100574222C (zh) | 通信设备和通信方法 | |
| US20060268743A1 (en) | Information portable terminal apparatus and wireless communication system | |
| US11108548B2 (en) | Authentication method, server, terminal, and gateway | |
| US20040196979A1 (en) | Encryption/decryption device and method for a wireless local area network | |
| US20050175184A1 (en) | Method and apparatus for a per-packet encryption system | |
| US11877334B2 (en) | Facilitating over-the-air address rotation | |
| CN100456764C (zh) | 一种用于安全无线传输无线局域网内数据的系统和方法 | |
| CN113286294B (zh) | 设备无线网络信息配置方法及装置 | |
| JP6062229B2 (ja) | 通信装置、通信方法およびコンピュータプログラム | |
| Buenrostro et al. | Security of IoT devices | |
| JP4960613B2 (ja) | 再設定可能なキー検索エンジン | |
| CN106559779A (zh) | 一种数据传输方法、装置以及系统 | |
| CN106537962A (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
| JP2003283546A (ja) | 無線モバイルルータ | |
| Książak et al. | A lightweight authentication protocol for secure communications between resource-limited devices and wireless sensor networks | |
| JP2005086471A (ja) | 通信制御方法、および、端末装置 | |
| CN107483203A (zh) | 物联网接入点接收数据的分时段加密方法及装置 | |
| CN113747430A (zh) | 一种接入网络的方法、终端设备和ap | |
| GB2431320A (en) | Reconfigurable key search engine | |
| Kumar et al. | A Review of Lightweight Security and Privacy for Resource-Constrained IoT Devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20210809 |