FR2874441A1 - Unite mobile pouvant fonctionner avec plusieurs reseaux, moteur de recherche de cle reconfigurable et procedes associes - Google Patents

Abstract

L'invention porte sur un moteur de recherche de clé reconfigurable (20) incorporé dans une unité mobile pouvant fonctionner avec plusieurs réseaux. Le moteur de recherche reconfigurable est adapté pour effectuer efficacement une recherche dans un système de mémoire (26) qui stocke une multiplicité de clés de sécurité potentiellement liées à plusieurs réseaux. Un mode de réalisation utilise un système de mémoire hiérarchique incluant au moins une mémoire associative (22).

Description

2874441 1

L'invention concerne de façon générale un moteur de recherche de clé. L'invention concerne plus particuliè- rement un moteur de recherche de clé reconfigurable, adapté pour l'utilisation dans une unité mobile capable de 5 fonctionner dans une multiplicité de réseaux.

De nouveaux standards de réseaux, et en particulier des standards de réseaux sans fil, sont constamment introduits. Le terme "sans fil" désigne de façon générale tout système transmettant des données au moyen d'une liaison radiofréquence (RF) ou infrarouge (IR). La manière selon laquelle des données sont échangées sans fil entre des éléments ou composants dans un réseau est définie par un ou plusieurs standards techniques. Lorsqu'on considère des standards de réseaux sans fil, on trouve un ensemble déconcertant de spécifications techniques incluant, à titre d'exemples, Wi-Fi, Bluetooth, PCS, DECT, PWT, radiomessageur, réseau cellulaire, et IEEE 802.11, 802.11a, 802.11b, 802.11i, 802.11g, 802.1X, WEP, WPA et WPA2. Ces standards et d'autres sont introduits par divers organismes de normalisation, tels que l'Institute of Electrical and Electronics Engineers (IEEE), l'organisme Wi-Fi Alliance, et l'Internet Engineering Task Force (IETF).

En travaillant sur des exigences techniques définies par l'IEEE, l'organisme Wi-Fi Alliance vise à mettre en oeuvre de manière pratique des standards de réseaux sans fil au moyen d'un programme de test et de certification d'interopérabilité. L'IETF vise à définir l'évolution de l'architecture Internet et à normaliser son fonctionnement. Les standards ou protocoles sans fil qui sont produits par ces groupes abordent, entre autres questions, les questions de confidentialité des données (chiffrement / déchiffrement) et d'authentification d'utilisateur.

Le terme "protocole" décrit de façon large tout standard convenu permettant la transmission de données entre au moins deux éléments ou composants de réseau. Dans 2874441 2 le sens classique, un protocole établit des standards qui "assurent la cohésion" du réseau de transmission de données. Au minimum, un protocole définira des expressions de données acceptables et des configurations de paquets de données associées. Le codage assurant la confidentialité des données, le codage de contrôle / la correction d'erreurs, paquets de similaires Le l'information d'identification de données (ou de données), et des fonctions de gestion de données font normalement partie d'un protocole. développement de protocoles de transmission de données par piloté dans technologie.

fil et sans fil est un processus évolutif une large mesure par des progrès de la Par exemple, des réseaux connectés Ethernet classiques ont cédé la place au cours des dernières années à ce qu'on appelle des Réseaux Locaux Sans Fil (WLAN pour "Wireless Local Area Network"), au fur et à mesure que les technologies permettant la communication sans fil sont arrivées à maturité. Malheureusement, l'évolution rapide de la technologie a occasionné une prolifération de systèmes de transmission de données et de standards et de protocoles techniques associés. Ces systèmes disparates définissent différents mécanismes et algorithmes de sécurité. Chaque mécanisme et algorithme de sécurité exige de façon générale son propre ensemble de clés de sécurité.

A cet égard, un bref examen de certaines évolutions récentes dans les standards de sécurité de réseaux sans fil est une source d'information. Une étude de la confidentialité de données dans des réseaux sans fil contemporains commence par le standard de sécurité WLAN 30 connu sous l'appellation (IEEE) 802.11. Dans une large mesure, ce standard a permis l'utilisation pratique de réseaux WLAN dans des environnements domestiques et de petites entreprises, mais s'est avéré inadapté pour l'utilisation dans de grandes installations d'entreprises. 35 La sécurité apportée par le standard 802.11 n'est simplement pas de qualité commerciale en relation avec à la 2874441 3 fois la confidentialité des données et l'authentification de l'utilisateur.

Le mécanisme de confidentialité de données que procure le standard 802.11 est communément appelé Wired Equivalency Privacy (WEP) et met en uvre un algorithme de chiffrement RC4. La technique de chiffrement RC4 est en elle-même suffisamment robuste pour protéger des données, mais sa faible mise en oeuvre dans le standard 802.11 protège seulement des données contre des personnes se livrant à l'écoute clandestine de la manière la plus rudimentaire. Ceci, couplé à la prolifération d'outils de piratage aisément disponibles, a conduit à discréditer de façon générale le mécanisme WEP pour l'utilisation dans des environnements d'entreprises.

Le standard 802.1X a été introduit pour s'attaquer de façon spécifique aux déficiences de sécurité inhérentes au standard 802.11. Un mécanisme de confidentialité de données de meilleure qualité, appelé Wi-Fi Protected Access (WPA), a été inclus dans le cadre de ce standard. Le WPA incorpore un protocole appelé Temporal Key Integrity Protocol (TKIP) qui met en oeuvre une version beaucoup plus robuste de l'algorithme de chiffrement RC4. En comparaison avec le WEP, le TKIP change la manière selon laquelle des clés de sécurité sont élaborées, et fait tourner les clés plus fréquemment pour obtenir une sécurité supplémentaire. Le WPA accomplit un excellent travail consistant à colmater les brèches de sécurité apparentes dans des dispositifs de catégorie WEP, mais il exige pour cela une mise à niveau de microprogramme ou de pilote.

Le standard 802.1X est en réalité un sous-ensemble du standard 802.11i. Le 802.11i comprend deux mécanismes de confidentialité de données WPA, et Robust Security Network (RSN). Le RSN assure la confidentialité des données en utilisant un standard Advanced Encryption Standard (AES) qui est notablement plus robuste que les mécanismes de confidentialité de données qui sont fournis par les standards WEP et WPA. Cependant, le RSN ne fonctionnera pas sur des dispositifs anciens sans une mise à niveau du matériel. Par conséquent, seuls les dispositifs les plus récents ont le matériel exigé pour accélérer l'exécution du ou des algorithmes RSN sousjacents, jusqu'au point auquel son utilisation devient pratique. Ainsi, le WPA améliore les performances de dispositifs anciens jusqu'à un niveau acceptable, mais le RSN est probablement le futur de la confidentialité de données sans fil pour des dispositifs mettant en oeuvre le standard 802.11i.

La tâche difficile d'assurer la confidentialité de données dans un réseau est encore compliquée par la grande variété de données qui sont transmises. Par exemple, le standard 802.11e est un standard définissant un ensemble d'améliorations de Qualité de Service (QS) pour des réseaux locaux, et en particulier des réseaux utilisant le standard 802.11. Ces améliorations sont jugées critiques pour la transmission d'applications sensibles au retard, comme la Voix sur IP et l'information multimédia en flux continu. Le standard 802.11e ajoute un champ d'en-tête d'identification aux données émises. Cet en-tête définit la QS des données (c'est-à-dire la priorité relative des données à l'intérieur du réseau). Par conséquent, le standard 802.11e est simplement un exemple de plus d'un protocole de données conduisant à des données (et des paquets de données) ayant une configuration spécifique.

La variété croissante de réseaux potentiellement capables de communiquer avec une unité mobile constitue un défi supplémentaire pour les mécanismes de confidentialité de données respectifs associés aux réseaux respectifs et pour les unités mobiles fonctionnant à l'intérieur d'un ou de plusieurs des réseaux. Ethernet et des réseaux câblés similaires sont maintenant rejoints par une multiplicité de réseaux locaux sans fil (WLAN) , de réseaux personnels sans fil (WPAN pour "Wireless Personal Area Network"), et de réseaux métropolitains sans fil (WMAN pour "Wide Area 2874441 5 Metropolitan Network") (par exemple des réseaux 802.16, WiBro, et/ou des réseaux ayant la capacité WiMax).

On considère l'exemple simple représenté sur la figure 1. Une unité mobile (par exemple un dispositif de poche, un ordinateur personnel de poche, un ordinateur portable, un assistant numérique personnel (PDA pour "Personal Digital Assistant"), un téléphone mobile ou cellulaire, un dispositif Internet sans fil, un téléphone fonctionnant en association avec un protocole, un dispositif sans fil portable, un dispositif de télécommande tenu à la main, ou une étiquette de gestion de marchandises) peut être indépendamment capable de recevoir des données à partir d'un réseau 5 ayant une connexion Ethernet, d'un réseau WMAN 2, d'un réseau WLAN 3, ou d'un réseau Ad-Hoc 4. Encore pitre, l'unité mobile peut traverser un ou plusieurs des réseaux sans fil pendant que l'unité est déplacée physiquement ou subit une modification de son mode de fonctionnement. En outre, il existe la possibilité que l'unité mobile soit connectée simultanément dans deux réseaux ou plus. Par exemple, un ordinateur portable pourrait être capable de recevoir des données en relation avec un compte professionnel provenant d'un réseau WLAN (ou d'un réseau ayant une connexion Ethernet) tout en pouvant recevoir simultanément des données en relation avec un compte personnel, provenant d'un réseau WMAN.

Dans de telles circonstances, de multiples réseaux sont capables d'émettre des données vers une seule unité mobile. L'unité mobile doit donc être capable de faire la distinction entre des données provenant de la multiplicité de réseaux, et d'appliquer correctement le ou les mécanismes et procédés de confidentialité de données associés aux réseaux respectifs. Au minimum, le dispositif mobile doit être capable de chiffrer et de déchiffrer correctement des données se rapportant aux différents réseaux.

2874441 6 Du fait que chaque réseau utilise une clé de sécurité ou un ensemble de clés de sécurité différents, l'unité mobile doit procurer une certaine aptitude à stocker une multiplicité de clés de sécurité, et une certaine aptitude supplémentaire à effectuer une recherche parmi la multiplicité de clés de sécurité qui sont stockées. Ceci n'est pas évident du fait que des réseaux perfectionnés utilisent de façon caractéristique un mécanisme de confidentialité de données reposant sur un grand nombre de clés de sécurité.

En reconnaissant la nécessité d'un mécanisme perfectionné fournissant une ou plusieurs clés de sécurité appropriées en réponse à des connexions de réseau potentiellement multiples, un mode de réalisation de l'invention procure une unité mobile incluant un moteur de recherche de clé ou KSE ("Key Search Engine"). Le KSE reçoit de façon générale des critères de recherche provenant d'un réseau et fournit en réponse une clé de sécurité désirée. Le KSE comprend un système de mémoire stockant une multiplicité de clés de sécurité, le système de mémoire comprenant, dans un mode de réalisation, une mémoire associative fournissant une information de sortie d'index en réponse à des données d'index élaborées à partir des critères de recherche,, et une mémoire fournissant en sortie la clé de sécurité en réponse à l'information de sortie d'index.

Le KSE peut inclure un bloc de commande de KSE pour recevoir les critères de recherche et élaborer les données d'index. Les critères de recherche peuvent inclure une information de paquets de données liée à un paquet de données reçu dans l'unité mobile, et/ou une information auxiliaire liée à un élément dans le réseau. L'information auxiliaire peut inclure une information d'options de commande liée à une sélection d'options définie par l'utilisateur.

2874441 7 Dans un mode de réalisation connexe, le bloc de commande de KSE comprend également un bloc d'Entrée / Sortie recevant des critères de recherche et fournissant en sortie la clé de sécurité, une interface de mémoire associative connectant le bloc de commande de KSE à la mémoire associative, et une interface de mémoire connectant le bloc de commande de KSE à la mémoire. Le bloc de commande de KSE peut également inclure un sélecteur d'index pour élaborer les données d'index en réponse aux critères de recherche.

Dans un mode de réalisation connexe, le sélecteur d'index comprend un bloc de registres et une unité de correspondance. Le bloc de registres peut inclure un registre reconfigurable adapté pour fournir en sortie des données d'index de taille ou de nature variable, en réponse à l'information de sortie de l'unité de correspondance. L'unité de correspondance peut être réalisée, par exemple, en utilisant une table de correspondance ou un automate à états finis.

La multiplicité de clés de sécurité stockées dans le système de mémoire peut inclure une ou plusieurs clés prises par défaut, auquel cas le système de mémoire peut inclure une mémoire de clés par défaut qui stocke la ou les clés prises par défaut.

La clé de sécurité qui est fournie par le RKSE peut inclure de multiples composantes, auquel cas la mémoire peut être formée par des mémoires multiples stockant chacune une ou plusieurs des multiples composantes. Dans un exemple, les multiples composantes comprennent une clé de chiffrement / déchiffrement, un chiffre, et/ou un Vecteur d'Initialisation (IV). Dans un autre exemple, les multiples composantes comprennent un Identificateur d'Association de Sécurité (SAID pour "Security Association Identifier"), une Clé de Chiffrement de Trafic (TEK pour "Traffic Encryption Key"), une Association de Sécurité (SA pour "Security Association"), et/ou un Vecteur d'Initialisation (IV).

2874441 8 Dans un mode de réalisation connexe, la mémoire associative comprend une ou plusieurs mémoires adressables par le contenu ou CAM ("Content Addressable Memory").

Dans encore un autre mode de réalisation connexe, le KSE peut inclure un bloc d'opération d'index pour recevoir des critères d'index élaborés à partir des critères de recherche et l'information de sortie d'index de la mémoire associative. A partir de ces deux informations d'entrée, au moins, le bloc d'opération d'index peut générer une adresse de mémoire devant être appliquée à la mémoire. Le bloc d'opération d'index peut inclure, par exemple, un circuit effectuant une concaténation, un hachage ou une certaine autre opération logique.

Dans un autre mode de réalisation, l'invention procure une unité mobile adaptée pour être connectée à l'intérieur d'un premier réseau transmettant des données conformément à un premier protocole, et un second réseau transmettant des données conformément à un second protocole. L'unité mobile peut inclure un moteur de recherche de clé reconfigurable (RKSE pour "Reconfigurable Key Search Engine"), comprenant un bloc de commande et un système de mémoire qui stocke une multiplicité de clés de sécurité associées aux premier et second réseaux. Le bloc de commande fournit en sortie une clé de sécurité sélectionnée parmi la mult=iplicité de clés de sécurité, en réponse à des critères de recherche comprenant au moins une information de paquet de données reçue par l'unité mobile.

Dans ce contexte, l'un ou l'autre du premier réseau et du second réseau peut être un réseau local sans fil (WLAN pour "Wireless Local Area Network"), un réseau métropolitain sans fil (WMAN pour "Wireless Metopolitan Area Network"), et un réseau Ad-Hoc.

Le système de mémoire dans ce mode de réalisation peut également inclure une mémoire associative recevant à partir du bloc de commande des données d'index élaborées à partir des critères de recherche, et émettant une 2874441 9 information de sortie d'index. Le système de mémoire peut également inclure une mémoire recevant une adresse de mémoire élaborée à partir de l'information de sortie d'index, et fournissant en sortie la clé de sécurité en réponse à l'adresse de mémoire.

L'information de sortie d'index peut indiquer une condition SUCCES si les données d'index identifient au moins une rubrique de mémoire associative, ou une condition ECHEC si les données d'index sont incapables d'identifier une rubrique de mémoire associative. Dans le cas où un mode de réalisation connexe de l'invention comprend un système de mémoire ayant une mémoire par défaut, l'adresse de mémoire résultant de l'information de sortie d'index est appliquée à la mémoire par défaut lorsqu'une condition ECHEC est indiquée. Sinon, l'adresse de mémoire est appliquée à la mémoire lorsqu'une condition SUCCES est indiquée.

Dans un autre mode de réalisation connexe, la mémoire par défaut est une mémoire hiérarchique comprenant de multiples mémoires par défaut qui stockent des composantes associées de la clé de sécurité, les multiples mémoires par défaut réagissant à une adresse de mémoire reçue.

Dans encore un autre mode de réalisation connexe, la mémoire hiérarchique comprend de multiples mémoires qui stockent des composantes associées de la clé de sécurité, les multiples mémoires réagissant à l'adresse de mémoire reçue.

Dans un mode de réalisation spécifique, le système de mémoire comprend une première mémoire adressable par le contenu (CAM pour "Content Addressable Memory") recevant des premières données d'index provenant d'un bloc de commande de KSE, et fournissant en sortie une première information de sortie d'index, une première mémoire recevant une première adresse de mémoire élaborée à partir de la première information de sortie d'index, et 2874441 10 fournissant en sortie une première information de sortie de composantes de clé de sécurité, une seconde mémoire CAM recevant des secondes données d'index élaborées en relation avec des données associées à la première composante de clé de sécurité, et fournissant en sortie une seconde information de sortie d'index, et une seconde mémoire recevant les secondes données d'index et fournissant en sortie une seconde composante de clé de sécurité.

Dans un autre mode de réalisation de l'invention, l'unité mobile peut inclure un premier circuit adapté pour communiquer avec un réseau métropolitain sans fil (WMAN) et un second circuit adapté pour communiquer avec un réseau local sans fil (WLAN), les premier et second circuits accédant en commun à un RKSE pour obtenir une clé de sécurité respective. Dans ce contexte, la multiplicité de clés de sécurité peut inclure une multiplicité de clés de sécurité de WLAN, et/ou une multiplicité de clés de sécurité de WMAN.

Le mode de réalisation précédent peut également inclure un récepteur radiofréquence recevant un paquet de données. Par conséquent, le RKSE peut fournir en sortie une clé de sécurité de WLAN sélectionnée parmi la multiplicité de clés de sécurité de WLAN dans le cas où le paquet de données reçu provient du WLAN, et il peut fournir en sortie une clé de sécurité de WMAN sélectionnée parmi la multiplicité de clés de sécurité de WMAN dans le cas où le paquet de données reçu provient du WMAN.

L'invention n'est cependant pas restreinte à des unités mobiles ou à des procédés d'utilisation pour une unité mobile avec un ou plusieurs réseaux. A la place, un mode de réalisation de l'invention procure un moteur de recherche de clé (KSE pour "Key Search Engine") comprenant un bloc de commande de KSE recevant des critères de recherche provenant d'un réseau, élaborant des données d'index à partir des critères de recherche, et fournissant une clé de sécurité. Le KSE comprend en outre un système de 2874441 11 mémoire qui stocke une multiplicité de clés de sécurité. Le système de mémoire peut inclure une mémoire associative pour fournir une information de sortie d'index en réponse aux données d'index, et une mémoire pour fournir en sortie la clé de sécurité en réponse à l'information de sortie d'index.

Comme ci-dessus, les critères de recherche peuvent inclure une information de paquet de données, une information auxiliaire et/ou une information d'options de commande.

Dans un autre mode de réalisation, l'invention concerne un procédé pour fournir une clé de sécurité dans une unité mobile. L'unité mobile peut inclure un moteur de recherche de clé (KSE) et un système de mémoire, le système de mémoire incluant une mémoire associative et une mémoire qui stocke une multiplicité de clés de sécurité. Le procédé peut inclure la réception de critères de recherche provenant d'un réseau, l'élaboration de données d'index à partir des critères l'accomplissement d'une associative en utilisant une information d'index opération de référence de recherche dans le KSE, recherche dans la mémoire les données d'index pour générer de sortie, et l'exécution d'une à la mémoire en utilisant l'information de sortie d'index pour fournir en sortie la 25 clé de sécurité.

La réception des critères de recherche peut inclure la réception d'une information de paquet de données liée à un paquet de données reçu dans l'unité mobile, et peut en outre inclure la réception d'une information auxiliaire liée à un élément dans le réseau. L'information auxiliaire peut inclure une information d'options de commande liée à une sélection d'options définie par l'utilisateur.

L'élaboration des données d'index peut inclure une opération consistant à configurer un registre dans un sélecteur d'index conformément à une opération de mise en correspondance exécutée dans le KSE, et ensuite 2874441 12 l'élaboration des données d'index en utilisant le registre. L'opération de mise en correspondance peut être réalisée, par exemple, en utilisant une table de correspondance ou un automate à états finis.

Lorsque la multiplicité de clés de sécurité comprend une clé par défaut, et le système de mémoire comprend une mémoire de clé par défaut qui stocke la clé par défaut, un mode de réalisation connexe d'un procédé conforme à l'invention fait référence à la mémoire de clé par défaut en utilisant l'information de sortie d'index pour fournir en sortie la clé par défaut. Ici encore, des modes de réalisation de l'invention peuvent utiliser une clé de sécurité comprenant de multiples composantes. Lorsque c'est le cas, la mémoire peut inclure de multiples mémoires qui stockent une ou plusieurs des multiples composantes, et le procédé comprend l'exécution d'une opération de référence aux multiples mémoires en utilisant l'information de sortie d'index pour fournir en sortie les multiples composantes.

Lorsque le KSE précédent comprend un bloc d'opération d'index, un exemple de procédé connexe fait référence à la mémoire en élaborant des critères d'index à partir des critères de recherche, en effectuant une opération d'index sur l'information de sortie d'index et les critères d'index dans le bloc d'opération d'index pour générer une adresse, et en faisant référence à la mémoire en utilisant l'adresse pour fournir en sortie la clé de sécurité. L'opération d'index peut être une concaténation, un hachage ou une certaine autre opération logique.

Un autre exemple de procédé conforme à l'invention procure une clé de sécurité liée à un premier protocole utilisé par un premier réseau ou à un second protocole utilisé par un second réseau. Ce procédé comprend le stockage dans un système de mémoire d'une multiplicité de clés de sécurité liées à au moins un des premier et second protocoles. Le système de mémoire comprend une mémoire 2874441 13 associative et une mémoire. Dans le procédé, à la réception d'une information de paquet de données et d'une information auxiliaire, des critères de recherche sont définis en relation avec l'information de paquet de données et l'information auxiliaire, des données d'index sont élaborées à partir des critères de recherche, il est fait référence à la mémoire associative en utilisant les données d'index pour fournir en sortie une information de sortie d'index, et il est fait référence à la mémoire en utilisant l'information de sortie d'index pour fournir en sortie la clé de sécurité.

Lorsque le système de mémoire précédent comprend en outre une mémoire par défaut, l'étape de recherche dans la mémoire associative peut inclure l'indication d'une condition ECHEC lorsque aucune rubrique de mémoire associative n'est liée aux données d'index, et d'une condition SUCCES lorsque au moins une rubrique de mémoire associative est liée aux données d'index. Ensuite, l'étape consistant à faire référence à la mémoire en utilisant l'information de sortie d'index comprend l'exécution d'une opération de référence à la mémoire par défaut en utilisant l'information de sortie d'index lorsqu'une condition ECHEC est indiquée, ou l'exécution d'une opération de référence à la mémoire en utilisant les données d'index lorsqu'une condition SUCCES est indiquée.

Dans un mode de réalisation connexe, l'étape consistant à faire référence à la mémoire en utilisant l'information de sortie d'index comprend l'élaboration de critères d'index à partir des critères de recherche, l'accomplissement d'une opération d'index en utilisant les critères d'index et l'information de sortie d'index pour fournir en sortie une adresse, et l'exécution d'une opération de référence à la mémoire en utilisant l'adresse.

Pour un mode de réalisation, la définition des critères de recherche en relation avec l'information de paquet de données et l'information auxiliaire comprend 2874441 14 l'extraction d'une information d'options de commande stockée.

Dans un autre mode de réalisation, l'élaboration des données d'index à partir des critères de recherche comprend l'opération consistant à configurer un registre dans une première configuration lorsque le paquet de données reçu provient du premier réseau, ou à configurer le registre dans une seconde configuration lorsque le paquet de données reçu provient du second réseau.

Dans encore un autre mode de réalisation, l'invention procure un procédé d'exploitation d'une unité mobile adaptée pour être connectée dans un premier réseau en utilisant un premier protocole et un second réseau en utilisant un second protocole. Le procédé comprend la sélection d'options de commande définies par l'utilisateur, la définition d'une information d'options de commande en relation avec la sélection d'options de commande définies par l'utilisateur, et l'identification d'une clé de sécurité parmi une multiplicité de clés de sécurité stockées, liées aux premier et second réseaux, en relation avec l'information d'options de commande.

Les options de commande définies par l'utilisateur peuvent être sélectionnées par un commerçant vendant l'unité mobile, ou par un utilisateur final de l'unité mobile.

Le premier réseau peut être un réseau local sans fil (WLAN), et le second réseau peut être un réseau métropolitain sans fil (WMAN) ou un réseau AdHoc.

Dans un mode de réalisation connexe, le système de mémoire est un système de mémoire hiérarchique, et l'étape d'identification d'une clé de sécurité parmi une multiplicité de clés de sécurité stockées liées aux premier et second réseaux en relation avec l'information d'options de commande, comprend l'accomplissement d'une recherche dans le système de mémoire hiérarchique en utilisant un premier algorithme de recherche lorsque le paquet de 2874441 15 données reçu provenant du premier réseau, ou l'accomplissement d'une opération de recherche dans le système de mémoire hiérarchique en utilisant un second algorithme de recherche lorsque le paquet de données reçu provient du second réseau. Lorsque le système de mémoire hiérarchique comprend, dans un mode de

réalisation, une mémoire associative, une mémoire et une mémoire par défaut, alors l'un du premier algorithme de recherche et du second algorithme de recherche, ou les deux, peuvent effectuer une recherche dans la mémoire par défaut.

Le premier algorithme de recherche ou le second algorithme de recherche peut correspondre à une recherche en cascade à travers le système de mémoire hiérarchique.

Dans encore un autre mode de réalisation, l'invention procure un procédé d'exploitation d'une unité mobile adaptée pour être connectée à de multiples réseaux. Le procédé comprend la réception d'un premier paquet de données à partir d'un premier réseau, et ensuite dans un moteur de recherche de clé reconfigurable (RKSE) prenant une première configuration de confidentialité de données permettant le fonctionnement d'un premier algorithme de recherche à travers un système de mémoire qui stocke une multiplicité de clés, et la réception d'un second paquet de données à partir d'un second réseau, et ensuite dans le RKSE prenant une seconde configuration de confidentialité de données permettant le fonctionnement d'un second algorithme de recherche à travers le système de mémoire qui stocke la multiplicité de clés de sécurité.

Les première et: seconde configurations de confidentialité de données peuvent être respectivement définies en relation avec une information auxiliaire liée à l'unité mobile ou à un élément dans l'un des multiples réseaux. En outre, l'information auxiliaire peut inclure une information d'options de commande définie conformément à des sélections d'options de commande définies par 2874441 16 l'utilisateur. Pour des modes de réalisation dans lesquels le système de mémoire est un système hiérarchique comprenant une mémoire associative et une mémoire, ces mémoires font respectivement l'objet d'opérations de recherche par les premier et second algorithmes de recherche.

Un autre mode de réalisation de l'invention procure en outre un procédé qui fournit en sortie une première clé de sécurité en réponse au premier algorithme de recherche, et traite le premier paquet de données en relation avec la première clé de sécurité. De façon similaire, ce procédé fournit en sortie une seconde clé de sécurité en réponse au second algorithme de recherche, et traite le second paquet de données en relation avec la seconde clé de sécurité.

Dans un mode de réalisation, le premier réseau précédent est un réseau local sans fil (WLAN), et la première clé de sécurité comprend une clé de chiffrement / déchiffrement, un chiffre, et/ou un Vecteur d'Initialisation (IV). La première clé de sécurité liée au WLAN pourrait également prendre la forme d'une clé par défaut.

Dans un mode de réalisation connexe, le second réseau précédent est un réseau métropolitain sans fil (WMAN), et la seconde clé de sécurité comprend un Identificateur d'Association de Sécurité (SAID), une Clé de Chiffrement de Trafic (TEK), une Association de Sécurité (SA), et/ou un Vecteur d'Initialisation (IV).

Dans encore un autre mode de réalisation, l'invention procure une unité de réseau sans fil adaptée pour transmettre des données en paquets avec un réseau local sans fil (WLAN) et un réseau métropolitain sans fil (WMAN). Elle comprend une unité de commande de WLAN recevant un paquet de données de WLAN, une unité de commande de WMAN recevant un paquet de données de WMAN, et un moteur de recherche de clé (KSE) auquel accèdent en commun les unités de commande de WLAN et WMAN. Le KSE fournit une clé de sécurité en réponse à une information de paquet de WLAN et une information de paquet de WMAN.

2874441 17 Dans un mode de réalisation connexe, le KSE comprend un système de mémoire qui stocke une multiplicité de clés de sécurité liées au WLAN et au WMAN, et un bloc de commande de KSE adapté pour effectuer une recherche dans le système de mémoire en utilisant un premier algorithme de recherche en réponse à une information de paquet de WLAN, et un second algorithme de recherche en réponse à une information de paquet de WMAN.

L'unité de commande de WLAN, l'unité de commande de 10 WMAN et le KSE peuvent être mis en oeuvre sur une carte de circuit imprimé commune (par exemple une carte PCI), dans un seul circuit intégré, ou dans un jeu de puces.

L'invention est décrite ci-dessous en relation avec plusieurs modes de réalisation illustrés dans les dessins annexés. Dans l'ensemble des dessins, des numéros de référence semblables indiquent des exemples d'éléments, de composants ou d'étapes semblables. Dans les dessins: la figure 1 illustre un contexte de fonctionnement général pour l'invention, et plus particulièrement une unité mobile adaptée à l'invention; la figure 2 illustre davantage un autre contexte de fonctionnement général pour l'invention, et plus particulièrement une unité mobile adaptée à l'invention; la figure 3 illustre un mode de réalisation général d'une unité mobile capable d'incorporer un Moteur de Recherche de Clé Reconfigurable (RKSE) conforme à l'invention; la figure 4 est un schéma synoptique illustrant un mode de réalisation d'un RKSE conforme à l'invention; la figure 5 est un schéma synoptique illustrant de façon plus détaillée un mode de réalisation du bloc de commande de KSE représenté sur la figure 4; la figure 6 est un. schéma illustrant une séquence logique pour un exemple de procédé de recherche lié à un 35 RKSE en conformité avec l'invention; 2874441 18 la figure 7 est un organigramme illustrant un autre exemple de procédé de recherche lié à un RKSE en conformité avec l'invention; la figure 8 est un organigramme illustrant un 5 aspect connexe d'un exemple de procédé de recherche adapté à un RKSE en conformité avec l'invention; la figure 9 est un schéma synoptique illustrant un autre exemple d'un RKSE conforme à l'invention recevant des critères de recherche donnés à titre d'exemples; les figures 10A à 10E illustrent des exemples de paquets de données sélectionnés susceptibles d'être utilisés en relation avec un RKSE en conformité avec l'invention; la figure 11 est un organigramme illustrant un 15 exemple de procédé de recherche lié à un RKSE en conformité avec l'invention; la figure 12 illustre un autre exemple de procédé de recherche lié à un RKSE en conformité avec l'invention; la figure 13 illustre encore un autre exemple de procédé de recherche lié à un RKSE en conformité avec l'invention; la figure 14 est un schéma illustrant une séquence logique pour un autre exemple de procédé de recherche lié à un RKSE en conformité avec l'invention; la figure 15 est un schéma au niveau synoptique d'une autre unité mobile adaptée pour incorporer un mode de réalisation d'un RKSE en conformité avec l'invention; la figure 16 est un schéma synoptique illustrant encore un autre mode de réalisation d'un RKSE en conformité avec 1-'invention, recevant des critères de recherche donnés à titre d'exemples; la figure 17 illustre encore un exemple de procédé de recherche lié à un RKSE en conformité avec l'invention; et la figure 18 illustre encore un autre exemple de procédé de recherche lié à un RKSE en conformité avec l'invention.

2874441 19 On décrit ci-dessous des exemples de modes de réalisation de l'invention en référence aux dessins correspondants. Ces modes de réalisation sont présentés comme des exemples didactiques. Le cadre réel de l'invention est défini par les revendications qui suivent.

De façon générale, des modes de réalisation de l'invention procurent une unité mobile adaptée pour fonctionner à l'intérieur d'un ou de plusieurs réseaux, l'unité mobile comprenant un circuit, un mécanisme et/ou une fonctionnalité capables de stocker efficacement une multiplicité de clés de sécurité. Selon un aspect connexe, des modes de réalisation de l'invention comprennent en outre un circuit, un mécanisme et/ou une fonctionnalité capables d'identifier, de rechercher de façon adaptative, et/ou de sélectionner une clé de sécurité parmi la multiplicité de clés de sécurité qui sont stockées. Des exemples d'une "clé de sécurité" incluent une ou plusieurs entités quelconques parmi une clé de chiffrement / déchiffrement, un chiffre, un vecteur d'authentification (IV), un bloc de code de sécurité, et/ou une signature numérique ou un vecteur de sécurité.

Le terme "mécanisme" est utilisé dans l'ensemble de cette description dans son sens le plus large. Ainsi, on appelle "mécanisme de confidentialité de données" n'importe quel matériel, logiciel, microprogramme, ou combinaison de matériel, de logiciel et/ou de microprogramme assurant la confidentialité de données, en totalité ou en partie. Un mécanisme de confidentialité de données peut inclure, être défini par, ou reposer sur des paramètres définis par le réseau (incluant des réglages, des fonctionnalités, des informations d'entrée et/ou des modes de fonctionnement), des paramètres définis par l'unité mobile, et/ou des paramètres définis par l'utilisateur.

Le terme "mémoire" est utilisé dans l'ensemble de 35 cette description pour désigner n'importe quel circuit ou moyen capable de stocker des données. Le terme englobe, 2874441 20 sans perte de généralité, des circuits de mémoire volatile, comme une mémoire vive dynamique (DRAM pour "Dynamic Random Access Memory"), et des mémoires non volatiles telles qu'une mémoire vive statique (SRAM pour "Static Random Access Memory"), une mémoire flash et une mémoire magnétique. On ne doit pas considérer que le terme mémoire suggère une forme de réalisation physique particulière ou des limites définies par matériel. Par exemple, une "mémoire" peut en réalité être formée par la combinaison d'un ou de plusieurs circuits intégrés. De façon similaire, deux "mémoires", ou plus, peuvent être réalisées dans un seul circuit intégré. Ainsi, une combinaison de mémoires spécifiques peut être définie et/ou utilisée dans différents buts à l'intérieur d'un seul circuit intégré ou d'un jeu de puces de circuits intégrés associés. En outre, le terme "mémoire" présuppose une évolution technique continue dans la conception et la fabrication de circuits et de supports capables de stocker des données.

Le terme "système de mémoire" décrit de façon générale une multiplicité de mémoires et de circuits d'accès associés, indépendamment du fait qu'une telle multiplicité de mémoires soit définie par deux mémoires ou plus, désignées séparément par leur forme physique, utilisation fonctionnelle, but ou type.

La réalisation et l'utilisation de l'invention sont bien illustrées en relation avec des réseaux sans fil, bien que l'invention trouve également une application aisée dans des réseaux filaires. Par conséquent, une grande partie de la description qui suit sera faite dans le contexte de réseaux sans fil et du fonctionnement de réseaux sans fil.

On considère par exemple le problème actuel de multiples Fournisseurs d'Accès Internet (FAI), de fournisseurs de services sans fil privés, et/ou d'autres unités mobiles émettant / recevant des données en relation avec une unité mobile particulière. Chacun des réseaux sans fil transmettant des données vers l'unité mobile ou à 2874441 21 partir de celle-ci peut prendre la forme d'un WLAN, WMAN, ou WPAN. La confidentialité des données est une question qui existe pour tous les fournisseurs de services sans fil et la plupart des utilisateurs de réseaux, du fait que par leur nature même, des réseaux sans fil sont des systèmes de type à diffusion ouverts. Ainsi, en l'absence d'une caractéristique de confidentialité de données effective, un réseau sans fil permet généralement à un intrus d'accéder à des données qui sont diffusées entre le réseau et un utilisateur. Cependant, comme noté ci- dessus, différents réseaux sans fil utilisent différents mécanismes de confidentialité de données. Ces différents mécanismes de confidentialité de données impliquent différents algorithmes de chiffrement / déchiffrement et protocoles qui utilisent différentes clés de sécurité.

Par conséquent, pour permettre à une unité mobile de migrer fonctionnellement à travers une multiplicité de réseaux sans fil, dans lesquels chaque réseau sans fil a son propre mécanisme de confidentialité de données, l'unité mobile exige au moins deux choses: une mémoire adaptée pour stocker une multiplicité de clés de sécurité, et un circuit (ou mécanisme) adapté pour effectuer une recherche parmi la multiplicité de clés de sécurité stockées, et pour sélectionner une clé de sécurité appropriée pour un paquet de données particulier reçu d'un réseau donné. Ce circuit (ou mécanisme) sera appelé ci-après de façon générique un "moteur de recherche de clé".

Des réseaux sans fil contemporains transmettent de l'information en émettant et en recevant des paquets de données. Un paquet de données est de façon caractéristique une quantité de données prédéterminée incluant une certaine forme d'identification de paquet. Un volume d'information à émettre est normalement divisé en une multiplicité de paquets de données. Les paquets de données résultants sont ensuite transmis par l'intermédiaire du réseau et réassemblés avant d'être consommés par un utilisateur. 11. y 2874441 22 a de nombreux types différents de paquets de données et de nombreux protocoles différents qui commandent la division d'information en paquets de données, l'identification de paquets de données à l'intérieur d'un réseau, le contrôle et la correction d'erreurs à l'intérieur des paquets de données, et le réassemblage de paquets de données en information consommable. Cette variété de types de paquets de données et de protocoles de transmission de données complique encore davantage la question de la confidentialité de données pour une unité mobile capable de recevoir de l'information provenant d'une multiplicité de réseaux différents, chacun d'eux transmettant des paquets de données ayant des configurations potentiellement différentes.

En reconnaissant la réalité de différentes configurations de paquets de données reçues de différents réseaux, et en reconnaissant en outre la possibilité d'avoir différents modes de fonctionnement définis par l'utilisateur pour une unité mobile, un mode de réalisation de l'invention procure un moteur de recherche de clé reconfigurable. Le moteur de recherche de clé reconfigurable permet de rechercher des clés de sécurité stockées dans une mémoire associée à une unité mobile, conformément à une information obtenue à partir de diverses sources, incluant par exemple un ou plusieurs paquets de données reçus, une information liée au réseau d'émission / réception, et/ou une information concernant des réglages ou des modes de fonctionnement définis par l'utilisateur pour l'unité mobile.

Dans un mode de réalisation plus spécifique, la présente invention procure un moteur de recherche de clé capable de prendre de façon dynamique de multiples configurations de mode de sécurité (par exemple en reconfigurant son opération, ou ses opérations, de recherche interne en réponse à de multiples exigences de mécanismes de confidentialité de données). Chaque 2874441 23 configuration de mode de sécurité est associée de façon caractéristique à un mécanisme de confidentialité de données spécifique. Ainsi, un premier réseau (par exemple un WLAN) transmettant des paquets de données à une unité mobile utilise un premier mécanisme de confidentialité de données (par exemple un mécanisme mettant en oeuvre le mode WEP). Lorsqu'un premier paquet de données reçu dans l'unité mobile est identifié comme étant émis par le premier réseau, le moteur de recherche de clé établit une première configuration de mode de sécurité adaptée pour identifier une première clé de sécurité associée au premier mécanisme de confidentialité de données.

Ensuite, un second paquet de données est reçu dans l'unité mobile à partir d'un second réseau (par exemple un WMAN) utilisant un second mécanisme de confidentialité de données (par exemple un mécanisme conçu conformément au standard 802.16). Sous l'effet de la reconnaissance du fait que le second paquet de données provient du second réseau, le moteur de recherche de clé établit une seconde configuration de mode de sécurité adaptée pour identifier une seconde clé de sécurité associée au second mécanisme de confidentialité de données.

Différentes configurations de mode de sécurité impliquent généralement des configurations de registres de données, des routines de logiciel, et/ou des opérations et des exécutions de matériel / microprogramme différentes à l'intérieur des circuits et du logiciel associé réalisant le moteur de recherche de clé. De ce fait, l'unité mobile dans l'exemple précédent ayant un moteur de recherche de clé réalisé conformément à l'invention, est capable de communiquer aisément avec le premier réseau (WLAN) dans la première configuration de mode de sécurité, et avec le second réseau (WMAN) dans la seconde configuration de mode de sécurité.

En reconnaissant en outre la nécessité d'un nombre considérable de clés de sécurité, des modes de réalisation 2874441 24 de l'invention procurent un système de mémoire adapté pour stocker un grand nombre de clés de sécurité, d'une manière se prêtant à une recherche efficace. Dans un mode de réalisation plus spécifique, le système de mémoire est une mémoire hiérarchique. Plus particulièrement, on peut utiliser une ou plusieurs mémoires associatives ou mémoires adressables par le contenu, pour stocker une multiplicité de clés de sécurité, ou d'adresses de mémoire (ou vecteurs) associées à une multiplicité de clés de sécurité stockées dans une mémoire associée. On décrira ci-après avec un certain niveau de détail supplémentaire des exemples de modes de réalisation de systèmes de mémoire.

Cependant, avant de passer à une description plus détaillée du moteur de recherche de clé, de mémoires associées ou d'autres aspects connexes de l'invention, il serait avantageux de donner des renseignements supplémentaires concernant le contexte de système. On considère le schéma de réseaux sans fil représenté sur la figure 2. Trois réseaux sans fil distincts sont représentés à titre d'exemples. Ces réseaux comprennent un système Ad-Hoc (par exemple un système poste à poste ou sans infrastructure, représenté ici comme un Ensemble de Services de Base Indépendant (ou IBSS pour "Independent Basic Service Set"), un premier réseau d'infrastructure sans fil (BSSa), et un second réseau d'infrastructure sans fil (BSSb).

Les premier et second réseaux d'infrastructure sans fil comprennent de façon générale un ou plusieurs Points d'Accès (AP pour "Access Points") connectés à un système de transmission de données réparti (DS pour Data Communications), et potentiellement un ou plusieurs serveurs de données (SRV) associés. Une multiplicité d'unités mobiles (MU pour "Mobile Unit") communiquent avec un AP et éventuellement avec un autre respectivement à l'intérieur des BSSa et BSSb. Au contraire, l'IBSS comprend seulement des MU communiquant directement l'une avec l'autre sans un AP intermédiaire.

2874441 25 On peut comprendre certaines applications de l'invention dans le contexte de cet agencement de réseaux. Par exemple, lorsqu'une unité mobile migre entre les BSSa, BSSb et/ou IBBS, elle demande l'accès à différentes clés de sécurité pour chaque réseau. Une unité mobile peut effectivement "migrer" entre des réseaux en étant physiquement déplacée d'une première zone de couverture de réseau sans fil vers une seconde zone de couverture de réseau sans fil, et/ou en changeant son mode de fonctionnement (par exemple en se connectant à un câble Ethernet, en se connectant dans un réseau Ad-Hoc, etc.). En outre, les réseaux sont illustrés sur la figure 2 comme étant distincts, dans un but de clarté, mais dans de nombreuses circonstances pratiques les zones de couverture sans fil associées aux BSSa, BSSb et IBBS seront en recouvrement, en totalité ou en partie.

A cet égard, l'invention envisage la connexion simultanée d'une unité mobile dans deux réseaux, ou plus. Par exemple, Muai pourrait être connectée à l'intérieur du BSSa par l'intermédiaire de l'APa, et pourrait également être connectée de poste à poste à MUah2 dans l'IBBS. A titre d'autre exemple, MUbl pourrait être connectée à l'intérieur du BSSb par l'intermédiaire de l'APb, connectée à un réseau d'infrastructure filaire par l'intermédiaire d'une connexion câblée, et également connectée à l'intérieur du BSSa par l'intermédiaire de l'APa. Chacun des BSSa et BSSb pourrait être configuré pour fonctionner dans l'une d'un nombre quelconque de configurations spécifiques, incluant par exemple un WLAN ou un WMAN.

Indépendamment de la configuration ou des configurations de réseau particulières, lorsqu'une unité mobile est connectée simultanément à deux réseaux ou plus, elle exige l'aptitude à identifier de manière dynamique et adaptative un paquet de données entrant / sortant, et à obtenir une clé de sécurité appropriée afin de le chiffrer / déchiffrer correctement.

2874441 26 Pour apprécier plus pleinement l'étendue de la question de confidentialité de données à laquelle est confrontée une unité mobile capable de migrer de manière transparente entre différents réseaux, ou d'être connectée simultanément dans de multiples réseaux, on doit considérer la possibilité très réelle que chaque réseau utilise un mécanisme de confidentialité de données différent, ayant un algorithme de chiffrement / déchiffrement spécifique et un protocole de transmission de données différent. Des modes de réalisation de l'invention procurent un système, un circuit, un mécanisme et/ou des procédés d'exploitation au moyen desquels une unité mobile peut migrer entre différents réseaux ou être connectée simultanément à de multiples réseaux.

On considérera initialement en relation avec ces modes de réalisation un circuit spécialisé, le moteur de recherche de clé reconfigurable (RKSE). On décrira un exemple de RKSE en relation avec une unité mobile représentée sur la figure 3. Comme avec tout mécanisme de chiffrement / déchiffrement, l'invention présuppose qu'il existe deux extrémités d'un processus de chiffrement / déchiffrement de données. Ainsi, des paquets de données reçus et déchiffrés par une unité mobile doivent premièrement être chiffrés et émis par un certain autre élément de réseau (par exemple un AP ou une autre unité mobile). Par conséquent, lorsque le RKSE est décrit par exemple dans le contexte d'une unité mobile, on notera qu'un circuit similaire ou une exister dans un AP, une autre de réseau similaire. Cependant fonctionnalité analogue doit unité mobile, ou un élément compte tenu des différences physiques (par exemple la taille, la puissance, l'environnement de fonctionnement) entre une unité mobile et un élément de réseau. fixe, tel qu'un AP, il est certainement possible que le RKSE soit réalisé sous des formes différentes entre ces deux éléments de réseau.

En considérant la figure 3, on note que l'unité 2874441 27 mobile 10 comprend de façon générale un circuit RF (ou IR) 11 recevant des paquets de données transmis par l'intermédiaire d'une liaison radiofréquence (ou infrarouge), et un modem 12. A partir du modem 12, des données sont transmises à une couche d'interface physique (PLI pour "Physical Layer Interface") 13. Des PLI se présentent sous une myriade de formes et de types, mais de façon générale acceptent des données extraites des signaux RF (IR) reçus, tels qu'ils sont fournis par le modem 11, et ensuite forment (ou reforment) un paquet de données pour la consommation par un circuit de chiffrement / déchiffrement 14 et/ou une unité centrale (UC) 16.

Un procédé d'exploitation connexe pour l'exemple d'unité mobile 10 permet le déchiffrement "au vol" de paquets de données entrants. Dans ce procédé, des paquets de données fournis par la PLI 13 sont transmis à un circuit de chiffrement / déchiffrement 14 compétent qui applique une clé de sécurité appropriée pour déchiffrer l'information contenue dans le paquet de données. Une fois que le paquet de données est déchiffré, il est stocké en mémoire 15 pour être pris en considération ou traité ultérieurement par l'unité centrale 16. L'unité centrale 16 transmet de façon caractéristique de nombreux paquets de données déchiffrés à un système hôte par l'intermédiaire d'un circuit d'Entrée / Sortie 17 (par exemple une carte PCI). Les flèches sur la figure 3 montrent ce flux de données général à travers l'unité mobile 10. Des paquets de données devant être chiffrés et émis par l'unité mobile 10 parcourront de façon générale ce chemin en sens inverse.

Selon une variante, des paquets de données provenant de la PLI 13 peuvent être stockés initialement dans la mémoire 15 et envoyés ensuite à un circuit de chiffrement / déchiffrement 14 pour être déchiffrés.

Dans cet exemple général d'une unité mobile, un RKSE réalisé conformément à l'invention peut être incorporé, par exemple à l'intérieur du circuit de 2874441 28 chiffrement / déchiffrement 14, ou sous la forme d'un circuit séparé réagissant à l'UC 16, ou même à l'intérieur de la fonctionnalité que fournit l'UC 16 elle-même (par exemple un processeur multicoeur).

Le schéma synoptique de la figure 4 illustre un exemple de RKSE 20. Les blocs généraux représentés dans ce schéma ont été sélectionnés pour décrire effectivement une certaine fonctionnalité et certains composants associés au RKSE 20. Les "blocs" respectifs ne visent pas à définir des types de matériel obligatoires ou à établir des frontières fixes entre des circuits associés. En fait, l'invention reconnaît que de nombreuses formes de réalisation spécifiques et adaptations peuvent être mises en oeuvre en relation avec le mode de réalisation exposé. Cependant, en retournant à la figure 4, on note que le RKSE 20 comprend de façon générale un bloc de commande de moteur de recherche de clé (KSE) 21, et un système de mémoire 26 comprenant un bloc de mémoire associative 22, un bloc de mémoire 23 et un bloc de mémoire par défaut 24.

On décrira de façon plus détaillée le bloc de commande de KSE 21 en se référant à la figure 5.

Dans un mode de réalisation connexe, le bloc de mémoire associative 22 comprend une ou plusieurs Mémoires Adressables par le Contenu (CAM). Une mémoire CAM est un élément de mémoire connu de façon classique, utilisé de façon caractéristique pour des applications de recherche rapide. Contrairement à une mémoire standard (par exemple une mémoire vive ou RAM) dans laquelle la mémoire retourne des données spécifiques stockées dans des cellules de mémoire associées à une adresse de mémoire spécifique, une CAM est conçue pour effectuer une recherche dans sa mémoire entière en relation avec un mot de données fourni, qu'on appelle ci-après "données d'index". Les données d'index peuvent être identifiées en relation avec la totalité ou une partie d'une ou de plusieurs rubriques de données stockées dans la CAM.

2874441 29 En réponse aux données d'index fournies, la CAM retourne de façon générale une ou plusieurs adresses de mémoire associées à des rubriques de données de CAM contenant les données d'index. Dans certaines applications, la CAM retourne également d'autres données associées à des rubriques de CAM contenant les données d'index. Par conséquent, dans uncontexte, on peut considérer une CAM comme l'équivalent matériel d'un tableau de données associées, réalisé par logiciel. Du fait qu'une CAM est conçue pour effectuer une recherche dans sa mémoire entière en une seule opération, elle est habituellement beaucoup plus rapide qu'une mémoire vive de taille similaire.

Des CAM se présentent en une variété de variantes architecturales. La CAM binaire est la variante la plus simple qui utilise des données d'index formées entièrement de 1 et de 0 logiques. La CAM ternaire est une variante plus perfectionnée qui permet l'utilisation de données d'index ayant un ou plusieurs bits constitutifs avec un troisième état de concordance logique de ou "Indifférent". L'utilisation de bits ayant l'état "indifférent" dans les données d'index ajoute une souplesse considérable aux possibilités de recherche de la CAM.

Le bloc de mémoire 23 et le bloc de mémoire par défaut 24 peuvent comprendre un ou plusieurs éléments de mémoire classiques, incluant des éléments de mémoire de type associatif.

Le RSKE 20 reçoit de façon générale des "critères de recherche" que le bloc de commande de KSE 21 utilise pour élaborer des données d'index appliquées ensuite à au moins un bloc de mémoire associative 22. Des critères de recherche peuvent être obtenus à partir d'une ou de plusieurs sources de données d'une sélection du concepteur de système. Cependant, dans un mode de réalisation de l'invention, les critères de recherche comprennent une information (par exemple paramètres, données drapeau(x) ou indication(s) de registre, définition(s) de variable, a adresse(s), etc.) élaborée à partir d'un paquet de données reçu, et/ou de l'information concernant un ou plusieurs éléments de réseau (par exemple l'identité de l'unité mobile et/ou un ou plusieurs paramètres associés, un AP connecté ou l'identité d'une autre unité mobile, une indication de qualité de service, des désignations de sécurité, des paramètres de réseau, etc.). De l'information d'une variété quelconque élaborée à partir d'un paquet de données reçu, et reçue dans le bloc de commande de KSE 21 sous la forme de critères de recherche, sera appelée ci-après "information de paquet de données" (PACKET INFO). De l'information associée à un ou plusieurs éléments de réseau reçue dans le bloc de commande de KSE 21 comme des critères de recherche, sera appelée ci- après "information auxiliaire" (AUXINFO). Il est certainement possible que de l'information auxiliaire puisse être reçue dans une unité mobile par l'intermédiaire d'un paquet de données transmis. Cependant, l'information auxiliaire concerne le réseau et les éléments de réseau, par opposition à l'information de paquets de données qui concerne les données réelles dans un paquet de données.

Une forme spécifique d'information auxiliaire envisagée pour l'utilisation à l'intérieur d'un RSKE fonctionnant conformément à un mode de réalisation de l'invention, est appelée "information d'options de commande". L'information d'options de commande est munie facultativement d'une information auxiliaire en réponse à un ou plusieurs réglages spécifiques d'utilisateur associés à une unité mobile. Ainsi, l'invention permet facultativement la définition de certains paramètres de commande en réponse à des indications sélectionnées par l'utilisateur, dans le fonctionnement d'une unité mobile. Lorsqu'une telle information d'options de commande est appliquée, elle devient une partie des critères de recherche appliqués au bloc de commande de KSE 21, et elle est utilisée facultativement pour définir des données 2874441 31 d'index appliquées à au moins un bloc de mémoire associative 22.

Le RSKE 20 fournit de façon générale en sortie une ou plusieurs clés de sécurité (KSERESULT) en réponse à des critères de recherche reçus. L'information de sortie "clé de sécurité" peut inclure une clé de chiffrement et/ou de déchiffrement, un ou plusieurs chiffres, un ou plusieurs vecteurs d'initialisation (IV), des signatures numériques, ainsi que n'importe quelles autres données liées à la sécurité.

En outre, en présence de conditions d'erreur définies le RSKE 20 retournera un ou plusieurs messages d'erreurs en réponse aux critères de recherche reçus.

Facultativement, le RSKE 20 reçoit également en tant que signaux d'entrée deux signaux indiqués sur la figure 4 par UPDATEINFO et NEWINFO. Ces signaux optionnels seront envisagés en contexte ci-dessous.

Le bloc de commande de KSE 21 représenté sur la figure 4 est représenté avec certains détails supplémentaires dans le schéma synoptique de la figure 5. Ici encore, les blocs sont présentés pour illustrer certaines possibilités fonctionnelles et des circuits et/ou des routines de logiciel généralisés, associés au bloc de commande de KSE 21.

Une certaine forme de commande d'Entrée / Sortie (E/S) est généralement exigée. Par conséquent, au moins une certaine forme de critères de recherche sera introduite dans le bloc de commande de KSE 21, et au moins une clé de sécurité ou un message d'erreur sera fourni de façon correspondante en sortie par:L'intermédiaire du bloc d'E/S 27.

Une ou plusieurs interfaces de mémoire appropriées sont généralement exigées entre le bloc de commande de KSE 21 et le bloc de mémoire associative 22, le bloc de mémoire 23 et/ou le bloc de mémoire par défaut 24. Par conséquent, l'exemple représenté sur la figure 5 comprend une interface de CAM (CAM IF) 30 et une interface de mémoire (MEM IF) 31.

2874441 32 Ces interfaces ne doivent pas nécessairement être établies séparément, mais peuvent être réalisées en utilisant un circuit d'interface de mémoire ou un jeu de puces commun.

En plus des possibilités d'entrée / sortie et d'interface de mémoire, un mode de réalisation du bloc de commande de KSE 21 comprend un bloc de registres 29 et une unité de correspondance 28. Le bloc de registres 29 est réalisé de façon caractéristique en utilisant une collection (ou un ensemble) de registres de données réalisés par matériel, adaptés pour sélectionner, traiter et/ou stocker des données. Un ou plusieurs de ces registres peuvent être reconfigurables sous la commande du logiciel associé. Le terme "reconfigurable" est utilisé dans un sens large pour décrire tout circuit, mécanisme ou procédé par lequel un ou plusieurs registres de matériel sont autorisés à recevoir et à traiter effectivement un mot de données de taille et/ou de définition variable. Dans une approche possible, une unité centrale qui commande le RSKE peut écrire un ordre de commande pour le RSKE qui a l'effet de définir la taille, la nature et/ou le contenu d'un mot de données à recevoir, stocker, traiter, et/ou émettre par un ou plusieurs registres de données. Par conséquent, le terme "moteur de recherche de clé reconfigurable" englobe tous les circuits et mécanismes capables de rechercher une ou plusieurs clés de sécurité stockées dans une mémoire, en réponse à des critères de recherche résultant de données d'index ayant potentiellement une taille et/ou une nature variable. Dans un mode de réalisation, le bloc de registres 29 contient un registre capable de recevoir des données d'index dont la taille et/ou la nature varient en relation avec des variations dans les critères de recherche reçus. Une telle variation des critères de recherche peut résulter, par exemple, du fait que différents types de paquets de données sont reçus à partir de différents réseaux, ou à partir de différents éléments à l'intérieur d'un réseau particulier (par exemple un réseau Ad-Hoc).

2874441 33 Le bloc de registres 29 peut également inclure certains registres spécialisés conçus pour stocker de l'information spécifique. Par exemple, un registre de mode d'utilisateur peut stocker de l'information liée à des options définies par l'utilisateur, pour l'unité mobile. Certains registres d'adresse peuvent être utilisés pour stocker des pointeurs indiquant des positions d'adresse qui exigent un remplacement ou une actualisation.

L'unité de correspondance 28 peut inclure une table de correspondance, un automate à état finis, ou une fonctionnalité similaire suffisante pour accomplir une ou plusieurs opérations de mise en correspondance, en conformité avec, par exemple, des critères de recherche reçus, et des données stockées dans le bloc de mémoire associative 22, le bloc de mémoire 23, et/ou la mémoire par défaut 24.

Dans des modes de réalisation connexes de l'invention, une sélection et une application appropriées de critères de recherche au RSKE autorisent une réduction potentielle du nombre de rubriques stockées en mémoire. Ainsi, l'utilisation combinée d'une "information de sortie d'index" provenant du bloc de mémoire associative, et d'une ou de plusieurs parties des critères de recherche sélectionnées comme des "critères d'index", permet de localiser efficacement une clé de sécurité désirée parmi une grande multiplicité de clés de sécurité possibles stockées en mémoire.

Le système modèle représenté sur la figure 6 illustre davantage ce point. Ici, des critères de recherche sont appliqués au bloc de commande de KSE 21, et un circuit ou mécanisme sélecteur d'index 25 élabore des données d'index à partir des critères de recherche. La totalité ou une certaine partie sélectionnée des critères de recherche est appliquée à un bloc d'opération d'index 35, en tant que "critères d'index". Les données d'index élaborées par le sélecteur d'index 25 sont utilisées pour trouver une ou 2874441 34 plusieurs rubriques dans le bloc de mémoire associative (par exemple une CAM) 22. La ou les rubriques de CAM sont émises, comme une "information de sortie d'index", vers le bloc d'opération d'index 35. Le bloc d'opération d'index effectue une ou plusieurs opérations logiques ou mathématique sur les informations d'entrée reçue (par exemple au moins les critères d'index et l'information de sortie d'index), afin de générer une adresse de mémoire identifiant une clé de sécurité stockée dans le bloc de mémoire 23 ou le bloc de mémoire par défaut 24.

A cet égard, comme on le décrira ci-après de façon plus détaillée, le bloc de mémoire 23 et/ou le bloc de mémoire par défaut 24 peuvent être des mémoires hiérarchiques stockant une ou plusieurs composantes associées à une clé de sécurité spécifique.

Le sélecteur d'index 25 indiqué sur la figure 6 peut prendre la forme du registre 29 et/ou de l'unité de correspondance 28 représenté sur la figure 5, ou peut prendre la forme d'un simple circuit câblé, ou d'un mécanisme statique, dynamique et/ou programmable, incluant des dispositifs tels qu'une matrice, un registre à décalage et d'autres dispositifs de sélection pour extraire sélectivement des données d'index et/ou des critères d'index, à partir des critères de recherche. Les données d'index peuvent être considérées dans un contexte comme un "mot de consultation" pour le bloc de mémoire associative 22. Dans un mode de réalisation, les critères d'index comprennent seulement un petit nombre de bits de données sélectionnés ou élaborés à partir des critères de recherche.

Le bloc d'opération d'index 35 peut manipuler l'information de sortie d'index et les critères d'index (et potentiellement d'autres informations d'entrée) de nombreuses manières possibles, pour produire une adresse de mémoire résultante. Par exemple, ces deux informations d'entrée peuvent être enchaînées ensemble pour former 2874441 35 l'adresse de mémoire. Selon une variante, le bloc d'opération d'index 35 peut accomplir une opération de hachage utilisant les informations d'entrée pour générer l'adresse de mémoire. En fait, le bloc d'opération d'index 35 peut être entièrement omis lorsque l'information de sortie d'index et les critères d'index sont simplement appliqués comme des signaux de lignes d'adresse à une mémoire associée.

L'utilisation d'une information de sortie d'index générée à partir d'un bloc de mémoire associative 22, sur la base de données d'index élaborées à partir de critères de recherche par un sélecteur d'index 25 dans le bloc de commande de KSE 21, conjointement à des critères d'index sélectionnés et/ou élaborés à partir des critères de recherche, offrent une grande souplesse et efficacité dans la génération d'une adresse de mémoire associée à une clé de sécurité désirée. Ainsi, une large gamme de critères de recherche possibles peut être reçue dans le RSKE en relation avec de multiples réseaux, différents protocoles et/ou différentes configurations de paquets de données. A partir de cette large gamme de critères de recherche possibles, le bloc de commande de KSE est capable d'élaborer de façon intelligente des données d'index et des critères d'index appropriés, en utilisant par exemple une combinaison reconfigurable d'ensemble de registres / unité de correspondance, ou un mécanisme de sélecteur d'index similaire L'organigramme représenté sur la figure 7 est un développement basé sur l'explication précédente. En supposant une unité mobile munie d'un RKSE réalisé conformément à l'invention, un exemple de procédé commence lorsqu'un paquet de données est reçu par l'unité mobile (40). Sous l'effet de la réception de l'information de paquet de données correspondante et de l'information auxiliaire connexe (41), le RKSE est capable d'élaborer les données d'index (42) et les critères d'index (43). Les 2874441 36 données d'index sont utilisées pour trouver une information de sortie d'index correspondante, stockée dans une mémoire associative (44). Avec l'information de sortie d'index et les critères d'index, le RKSE effectue l'opération d'index pour générer une adresse de mémoire (45), et ensuite il effectue une recherche dans la mémoire (46) pour obtenir une ou plusieurs clés de sécurité (47). Avec la clé de sécurité appropriée en main, le RKSE est capable de traiter le paquet de données reçu {48).

Comme noté ci-dessus, la définition de l'information auxiliaire associée peut comprendre une référence à une information d'options de commande définie par l'utilisateur, ou l'inclusion d'une telle information. L'organigramme de la figure 8 décrit une manière selon laquelle de l'information d'options de commande peut être incluse dans l'information auxiliaire associée.

Premièrement, une routine de sélection d'options d'utilisateur est exécutée (55). Cette routine peut être exécutée comme une procédure exécutée une seule fois à une usine fabriquant l'unité mobile, ou à un établissement de vente qui programme l'unité mobile avant l'acquisition par le client. Selon une variante, cette routine peut être exécutée par un utilisateur, à sa discrétion. Par exemple, un utilisateur d'unité mobile peut sélectionner dans une séquence de menus d'options le nombre, le type ou l'identité de réseaux (WLAN, WMAN, Ad-Hoc, QoS, etc.), pour lesquels il désire autoriser une connexion, ou le seuil de sécurité (par exemple entre WEP et WPA) auquel il souhaite adhérer.

Des sélections effectuées pendant la routine de sélection d'options d'utilisateur ont pour effet de stocker des données à l'intérieur de l'unité mobile (56). Par exemple, un registre spécialisé dans le bloc de registres 29 (figure 5) pourrait être utilisé pour stocker de l'information d'options de commande définie sous l'effet d'une routine de sélection d'options d'utilisateur. Cette 2874441 37 information d'options de commande stockée est ensuite disponible pour l'inclusion dans la partie d'information auxiliaire des critères de recherche appliqués au bloc de commande de KSE (57), ou pour la définition de cette partie d'information auxiliaire. De cette manière, des options d'utilisateur permettent une compatibilité sélectionnée avec un ou plusieurs réseaux. Ainsi, différents mécanismes de confidentialité de données, comme entre différents réseaux potentiellement connectés, sont activés, désactivés ou définis en relation avec des options spécifiques sélectionnées par l'utilisateur, du fait que de telles options sélectionnées peuvent être incorporées de façon optionnelle à l'intérieur des critères de recherche utilisés par le RKSE pour rechercher et fournir des clés de sécurité associées.

Il reste à considérer la sélection appropriée de critères de recherche, l'élaboration de données d'index et/ou de critères d'index à partir des critères de recherche, l'application des données d'index à une mémoire associative pour obtenir une information de sortie d'index, l'application d'au moins l'information de sortie d'index, pour identifier une ou plusieurs positions de mémoire qui stockent une ou plusieurs composantes d'une clé de sécurité.

La sélection de critères de recherche variera en fonction de la variété de réseaux potentiellement connectés à l'unité mobile. Chaque réseau donnant lieu à connexion doit fournir un ensemble de données de critères de recherche suffisamment apte et spécifique, de façon que des données d'index effectives puissent être définies pour sélectionner de manière appropriée la clé de sécurité désirée. Cependant, de façon idéale, les critères de recherche et les données d'index résultantes formeront un ensemble de données modeste ou minimal, afin de minimiser les exigences de calcul de données et de stockage de données qui sont associées à la définition des données 2874441 38 d'index et à leur application à une mémoire associative. On trouvera dans ce qui suit des exemples sélectionnés de critères de recherche et de données d'index résultantes qui sont appropriés pour l'indexage et l'extraction d'une clé de sécurité, dans le cadre du fonctionnement de plusieurs réseaux sans fil. Il s'agit simplement d'exemples sélectionnés. De nombreux critères de recherche et/ou configurations de données d'index différents sont possibles à la fois pour les types de réseaux illustrés et pour d'autres réseaux, sans fil ou autres.

Egalement dans le cadre des exemples qui suivent, on présume de façon générale une mémoire hiérarchique. Bien entendu, toute architecture de mémoire appropriée suffira, à condition qu'elle soit capable de stocker les clés de sécurité pertinentes d'une manière se prêtant à la recherche. Cependant, l'architecture de mémoire décrite ci-dessous fonctionne particulièrement bien pour la gamme de clés de sécurité, incluant les composantes de clé de sécurité associées en commun, qui est généralement impliquée dans les systèmes sans fil qui sont pris comme des exemples didactiques. Comme on le notera d'après ce qui suit, une architecture de mémoire hiérarchique a un avantage considérable dans des applications dans lesquelles un certain nombre de clés de sécurité de différents types interviennent potentiellement dans le ou les mécanismes de confidentialité de données pour un ou plusieurs réseaux.

On considère un premier exemple tiré d'un réseau WLAN ayant la capacité 802.11, et illustré en relation avec le schéma synoptique représenté sur la figure 9. Ici, l'information de paquet appliquée au bloc de commande de KSE 21 comprend des données d'adresse, des données d'identificateur (ID) de clé, et des données QC. L'information auxiliaire peut inclure une indication d'émission (TX) de paquet de données d'unité mobile, ou de réception (RX) de paquet de données d'unité mobile. Des données d'index peuvent être formées d'après cette 2874441 39 combinaison de critères de recherche. De plus, une sélection UseGK peut être utilisée, par exemple, en tant que critères d'index. La sélection UseGK fait référence à des formes de réalisation du protocole WPA2 complet, et à une sélection d'utilisateur entre le fonctionnement WPA2 dans BBS ou un IBBS.

On rappelle que la capacité 802.11 exige de façon générale la compatibilité avec de multiples protocoles, incluant (par exemple) WEP classique, WPA (un sous-ensemble de 802.11i), WPA2 (802.111 complet), et QoS (802.11e). En utilisant ces différents protocoles à titre d'exemples illustratifs, les implications de clés de sécurité suivantes apparaissent.

(1) Lorsque le protocole WEP est utilisé : Seulement une seule Clé par Défaut (DK pour "Default Key") est utilisée comme une clé de sécurité, et Aucune Clé par Paire (PK pour "Pairwise Key") ou Clé de Groupe (GK pour "Group Key") n'est utilisée.

(2) Lorsque le protocole WPA est utilisé dans un BSS: Une (1) PK est utilisée par unité mobile; et, Une (1) GK est utilisée par BSS.

(3) Lorsque le protocole WPA est utilisé dans un IBBS: Une (1) GK est utilisée par BSS; et, Un (1) Vecteur d'Initialisation de Clé de Groupe (GKIV pour "Group Key Initialization Vector") est utilisé par unité mobile.

(4) Lorsque le protocole WPA2 est utilisé dans un BSS (UseGK = 0) : Une (1) PK est utilisée par unité mobile; et, Une (1) GK est utilisée par BSS.

(5) Lorsque le protocole WPA2 est utilisé dans un IBBS (UseGK = 1) : Une (1) PK et une (1) GK sont utilisées pour chaque 35 unité mobile.

2874441 40 (6) Lorsque 802.11e avec possibilité de diffusion locale est utilisé conjointement à : (a) un WEP ancien: Seulement une seule Clé par Défaut (DK) est utilisée comme une clé de sécurité, et Aucune Clé par Paire (PK) ou Clé de Groupe (GK) n'est utilisée.

(b) WPA dans un QBSS (UseGK = 1) : Une (1) PK et un (1) GKIV sont utilisés par unité mobile; Une (1) GK est utilisée par QBSS.

(c) WPA2 dans un QBSS (UseGK = 1) : Une (1) PK et un (1) GKIV sont utilisés par unité mobile; Une (1) GK est utilisée par QBSS.

(d) WPA2 dans un IBBS (UseGK = 1) : Une (1) PK et une (1) GK sont utilisées par unité mobile.

Dans ce qui précède, les DK et les GK sont fortement analogues. Les DK comme les GK sont des clés partagées dans un BSS. Ainsi, chaque AP et unité mobile dans un BSS partage la même DK ou GK. Lorsqu'on utilise le protocole WEP, la DK est fixée par l'utilisateur. Cependant, lorsqu'on utilise un protocole WPA ou WPA2, la GK est fixée automatiquement par le protocole.

La capacité 802.11 générale exige également l'aptitude à accepter des paquets de données configurés conformément à différents protocoles. Plusieurs exemples seront illustrés ci-après en relation avec les exemples montrant l'élaboration de données d'index à partir de différents ensembles de critères de recherche liés à différents protocoles WLAN.

Cependant, avant de considérer ces exemples, il est justifié d'examiner dans une certaine mesure les deux informations d'entrée optionnelles "UPDATE IV" et "NEW IV".

La conformité complète au standard 802.11 exige l'aptitude 2874441 41 à accomplir toutes les fonctions nécessaires pour mettre en oeuvre l'AES de WPA2. Le chiffrement et/ou le déchiffrement de paquets de données peut avoir lieu à chaque trame pendant un échange de paquets de données en utilisant le protocole WPA2. Par conséquent, chaque trame de données exige une nouvelle clé de sécurité comprenant de façon caractéristique une clé de chiffrement / déchiffrement, un chiffre correspondant, et un IV correspondant. Des adresses de mémoire pour chacune de ces trois composantes de clé de sécurité sont connues d'après la trame précédente dans le KSE. Les signaux UPDATE IV et NEW IV permettent une actualisation immédiate d'une rubrique de mémoire d'IV telle qu'elle est prévue par le standard WPA2. Par conséquent, dans l'ensemble des exemples qui suivent, ces deux informations d'entrée, toutes deux exigées facultativement pour mettre en oeuvre complètement le WPA2, sont incluses de façon générale.

En ayant à l'esprit tout ce qui précède, nous retournons à la figure 9. Dans un mode de réalisation, l'information auxiliaire appliquée au bloc de commande de KSE 21 comprend simplement une indication du fait que l'unité mobile est en train d'émettre des données (TX) ou de recevoir des données (RX). Une autre information concernant l'unité mobile, son mode de fonctionnement ou un autre élément de réseau pourrait également être incluse dans l'information auxiliaire. Par exemple, un registre inclus dans le bloc de commande de KSE 21 pourrait stocker une information d'options de commande indiquant une sélection d'utilisateur en relation avec la variable UseGK.

La sélection de données d'index et/ou de critères d'index à partir d'un ou de plusieurs paquets de données reçus est sujette à de nombreux choix de conception. Cependant, plusieurs sélections possibles faites en relation avec divers protocoles de WLAN, sont suggérées sur les figures 10A à 10E.

2874441 42 La figure 10A montre une trame de données générique pour un protocole 802.11 ancien, sans une capacité de chiffrement. Ici, l'Adresse 1, qui est l'adresse MAC de l'élément de réseau récepteur (RX), et l'Adresse 2, qui est l'adresse MAC de l'élément de réseau émetteur (TX), peuvent être utilisées comme des données d'index pour identifier une DK stockée dans la mémoire du KSE.

La figure 10B montre une trame de données 802.11 WEP ou 802.11i WEP. Les adresses MAC TX et RX peuvent être accompagnées, en supplément, de bits de données sélectionnés provenant du champ de données IV et d'un ou de plusieurs bits de code à redondance cyclique (CRC) ou bits de parité (ICV) associés.

La figure 10C montre des trames de données 802.11i correspondant à des protocoles WPA et WPA2. Le protocole WPA met en oeuvre TKIP et WPA2 met en oeuvre CCMP. Ici, les adresses MAC TX et RX peuvent être accompagnées, en supplément, de bits sélectionnés provenant du champ de données IV étendu et d'un ou de plusieurs bits de contrôle d'intégrité de message (MIC pour "Message Integrity Check") et bits ICV correspondants. Il faut noter que la trame de données entière doit généralement être stockée avec le KSE pour des fonctions 802.111 sélectionnées, telles que "Replay" (Répétition), mais il est nécessaire d'extraire seulement des mots ou des bits de données sélectionnés intelligemment, pour l'utilisation dans la définition des données d'index et/ou des critères d'index.

La figure 10D montre une trame de données du protocole WEP ancien conçue pour mettre en oeuvre la qualité de service (QoS) en utilisant le protocole 802.11e. Ici, les adresses MAC, le ou les bits ICV et le ou les bits IV peuvent être accompagnés en supplément d'un ou de plusieurs bits de classe de qualité (QC pour "Quality Class") sélectionnés, fournissant une identité ou une priorité de trafic de données qui est utilisée pour déterminer une classe de service.

2874441 43 On peut aisément déterminer, d'après l'exemple de trame de données représenté sur la figure 10D, comment les exemples de trames de données respectifs représentés sur la figure 10C pourraient être modifiés de façon similaire, avec les changements résultants effectués dans les données d'index de sélection. Ces modifications sont représentées sur la figure 10E.

Avec ces exemples spécifiques d'information de paquets de données, pris conjointement aux exemples envisagés précédemment d'information auxiliaire et d'information d'options de commande, on peut comprendre comment des critères de recherche - disponibles de façon générique pour une multiplicité de protocoles résultant de multiples réseaux - peuvent être utilisés pour définir des données d'index et/ou des critères d'index.

En plus de ce qui précède, un réglage d'unité mobile qui indique un mode de fonctionnement de diffusion / multidiffusion ou un mode de fonctionnement de monodiffusion, peut être utilisé comme une partie des critères de recherche. En outre, le type de chiffre de clé de sécurité qui est utilisé (par exemple un chiffre du type "usegroup" ou un chiffrenormal (WEP, TKIP ou CCMP)) peut être inclus dans les critères de recherche. De tels critères de recherche supplémentaires peuvent par exemple être utilisés comme des critères d'index.

Les résultats de la recherche en mémoire associative conformément à des données d'index ne doivent pas nécessairement être utilisés d'une manière strictement linéaire. On considère par exemple l'organigramme représenté sur la figure 11. Ici, des critères de recherche sont reçus (100), des données d'index (et/ou des critères d'index) sont définies (101), et une recherche est effectuée dans une mémoire associative (102). Le résultat de la recherche en mémoire associative peut être un "SUCCES" (une rubrique de mémoire CAM correspondant aux données d'index appliquées est trouvée), ou un "ECHEC" (une rubrique de mémoire CAM n'est pas trouvée) (103). Une 2874441 44 information de sortie d'index correspondant à la condition ECHEC est utilisée, potentiellement de manière conjointe à des critères de recherche sélectionnés, pour obtenir une ou plusieurs adresses de mémoire par défaut (DMEM pour "Default Memory") (104). En disposant d'une ou de plusieurs adresses de mémoire par défaut, une DK est localisée dans DMEM(1) (105) et un DKIV correspondant est localisé dans DMEM(2) (106). De cette manière, une mémoire associée ou hiérarchique est avantageusement utilisée pour localiser les deux composantes d'une clé de sécurité.

Au contraire, lorsqu'une information de sortie d'index correspondant à la condition SUCCES est utilisée, ici encore potentiellement de manière conjointe à des critères de recherche sélectionnés, on obtient une ou plusieurs adresses de mémoire (MEM) (107). Ensuite, une PK ou une GK est localisée dans MEM(1) (108), et un PKIV ou GKIV correspondant est localisé dans MEM(2) (109). Une fois qu'une clé de sécurité comprenant une DK + DKIV, une PK + PKIV, ou une GK + GKIV est obtenue, elle est fournie en sortie sous la forme d'un résultat de KSE (110).

Les organigrammes représentés sur les figures 12 et 13 résument une grande partie de l'exposé précédent fait en relation avec des protocoles de WLAN et des procédés adaptés aux impératifs de l'invention, par lesquels une clé de sécurité peut être identifiée. La figure 12 concerne un protocole de WLAN dans lequel un utilisateur a sélectionné UseGK = 1. Une information de paquet (par exemple des adresses MAC respectives) concernant l'une de deux unités mobiles (ou stations STA) est utilisée comme des données d'index pour effectuer une recherche dans CAM(1). Sous l'effet d'une condition ECHEC, DK sera sélectionné dans DMEM(1) et un DKIV correspondant sera sélectionné dans DMEM(2). On notera que des I)KIV sont sélectionnés en partie sur la base du fait que l'unité mobile est en mode TX (émission) ou en mode RX (réception), comme indiqué par l'information auxiliaire.

2874441 45 Une condition SUCCES résultant de la recherche dans CAM(1), prise conjointement à une Adresse de PK et une Adresse de GK obtenues à partir de CAM(1), sélectionnent une PK et une GK correspondantes stockées dans MEM(1). La condition SUCCES et l'Adresse PK et l'Adresse GK prises conjointement à une indication RX ou TX sont utilisées pour sélectionner un PKIV et un GKIV correspondants.

La figure 13 concerne un protocole de WLAN dans lequel une sélection UseGK = 0 est faite par un utilisateur. Du fait qu'une information de sortie de GK n'est plus indiquée sur la base de la sélection d'UseGK, seules des PK et des DK avec leur IV correspondant sont impliquées dans la recherche. Ici, une condition ECHEC ou une autre condition indiquant de façon générale l'utilisation d'une GK conduira à la sélection d'une DK et d'un DKIV, comme ci-dessus, respectivement dans DMEM(1) et DMEM(2). Une PK et un PKIV sont également sélectionnés de façon similaire, comme ci-dessus, dans MEM(1) et MEM(2).

Tout ce qui précède illustre clairement comment des critères de recherche reçus en relation avec l'un d'un certain nombre de protocoles WLAN différents peuvent être utilisés pour former des données d'index pertinentes adaptées pour rechercher efficacement une adresse de clé de sécurité désirée dans une mémoire associative, comprenant par exemple une adresse de mémoire ou une adresse de mémoire par défaut. Cette adresse de clé de sécurité peut ensuite être appliquée comme une information d'index, conjointement à des critères d'index sélectionnés, pour localiser diverses composantes de la clé de sécurité dans une hiérarchie de mémoires définie. Dans les exemples illustrés représentés sur les figures 12 et 13, on a localisé des clés et des IV correspondants. D'autres composantes, en un nombre raisonnable quelconque, pourraient être trouvées de façon similaire dans une hiérarchie de mémoires correspondante.

2874441 46 Par conséquent, on peut maintenant envisager la manière selon laquelle une unité mobile pourrait migrer avec succès à travers un certain nombre de WLAN différents, ou simultanément être connectée à de multiples WLAN, en utilisant un RKSE capable d'identifier une clé de sécurité désirée parmi une multiplicité de clés de sécurité stockées, indépendamment des différents protocoles et mécanismes de confidentialité de données qu'utilisent les WLAN respectifs.

On va maintenant décrire une capacité similaire en relation avec des WMAN. Comme noté ci-dessus, des WMAN utilisent des protocoles entièrement différents, en comparaison avec des WLAN. En fait, il y a actuellement des standards WMAN proposés qui sont en compétition.

L'invention est néanmoins aussi aisément applicable à des WMAN qu'elle l'est à des WLAN.

De façon générale, le standard 802.16 assure la commande d'accès au support (MAC pour "Medium Access Contrai") qui est orientée connexion et conçue pour supporter une architecture point à multipoint entre une station de base (BS pour "Base Station") centrale et de multiples unités mobiles indépendantes. Des unités mobiles à l'intérieur d'un WMAN ont généralement des adresses MAC correspondantes, mais l'adresse MAC n'est pas utilisée pendant chaque trame de transmission de paquets de données. A la place, un Identificateur de Connexion (CID pour "Connection Identifier") respectif est assigné à des connexions de la station de base vers une unité mobile.

Dans la plupart des protocoles de WMAN, une unité mobile "s'associe" à une BS en demandant initialement une allocation de largeur de bande. Ensuite, la BS assigne de la largeur de bande et un ou plusieurs CID correspondants. La BS fournit également une liste d'Identificateurs d'Association de Sécurité (SAID pour "Security Association Identifier") correspondants. Par conséquent, lorsqu'une unité mobile envoie un paquet de données à la BS, par 2874441 47 exemple, un SAID approprié doit être fourni afin d'assurer la confidentialité des données. De ce fait, l'unité mobile doit être capable d'identifier un SAID désiré parmi une multiplicité de SAID stockés, sur la base d'un CID correspondant. Autrement dit, le CID devient, au moins dans un mode de réalisation, une partie des critères de recherche appliqués à un RKSE qui est appliqué dans une unité mobile adaptée pour être connectée à un ou plusieurs WMAN. Dans un mode de réalisation connexe, ce qu'on appelle la Séquence de Clés de Chiffrement (EKS pour Encryption Key Sequence"), fournie habituellement en relation avec un CID de WMAN, peut également être utilisée comme un critère de recherche.

Comme les clés de sécurité de WLAN, les clés de sécurité de WMAN comprennent généralement de multiples composantes. En considérant par exemple le protocole 802.16, on note que la clé de sécurité correspondante comprend de multiples composantes, incluant au moins une Clé de Chiffrement de Trafic (TEK pour "Traffic Encryption Key") et un IV correspondant. Une valeur d'Association de Sécurité (SA pour "Security Association") connexe est également associée en général à une clé de sécurité, dans le cadre d'un chiffre complexe.

Le schéma synoptique représenté sur la figure 14 décrit de façon générale un mode de réalisation de l'invention appliqué à un mécanisme et un procédé associé pour rechercher et identifier une clé de sécurité désirée ayant de multiples composantes, dans le contexte d'un exemple de WMAN mettant en oeuvre le protocole 802.16. Des critères de recherche, incluant par exemple des bits de données sélectionnés dans un CID dans un paquet de données reçu, sont utilisés pour former des premières données d'index appliquées à une première mémoire associative 120 (CAM1). La première mémoire associative 120 (CAN1) émet une première information de sortie d'index (par exemple une adresse de mémoire pour un SAID correspondant) en réponse 2874441 48 aux premières données d'index. La première information de sortie d'index est ensuite appliquée à une première mémoire 121 (MEM1) pour obtenir des données de clé de sécurité qui peuvent ensuite être utilisées, en totalité ou en partie, comme des secondes données d'index. Dans l'exemple illustré, un SAID correspondant à la première information de sortie d'index est identifié dans la première mémoire 121.

Au cas où la recherche effectuée dans la première mémoire associative 120 et/ou la référence ultérieure à la première mémoire 121 aboutissent à une condition ECHEC, un message d'erreur est retourné, ou bien certains modes de réalisation peuvent définir une clé par défaut stockée dans une mémoire par défaut (non représentée sur la figure 14). Comme ci-dessus, la mémoire par défaut peut être une mémoire hiérarchique conçue pour retourner de multiples composantes d'une clé de sécurité.

En retournant à la figure 14, on note que l'information de sortie de la première mémoire 121 pourrait cependant être utilisée facultativement dans une mémoire hiérarchique associée, pour identifier une autre information associée à la clé de sécurité désirée. Par exemple, les secondes données d'index fournies en sortie par la première mémoire 12:L pourraient être utilisées pour effectuer une recherche dans une troisième mémoire associative 126 (CAM3). Cette recherche peut être effectuée à la suite de l'application de critères d'index aux secondes données d'index dans un bloc d'opération d'index logique (non représenté). L'information de sortie d'index provenant de la troisième mémoire associative 126 peut ensuite être utilisée pour faire référence à une quatrième mémoire 127 (MEM4) pour obtenir l'information de clé de sécurité désirée. En fait, il est possible d'utiliser n'importe quel nombre raisonnable de recherches dans des mémoires associatives en cascade, et de références ultérieures à des mémoires, pour localiser rapidement des composantes de la clé de sécurité de WMAN désirée.

2874441 49 Sur la figure 14, les secondes données d'index émises par la première mémoire 121 sont appliquées à une seconde mémoire associative 122 (CAM2) pour obtenir une seconde information de sortie d'index (par exemple une adresse de mémoire devant être appliquée à une troisième mémoire 125 (MEM3)). En réponse à la seconde information de sortie d'index, la troisième mémoire 125 (MEM3) émet une SA correspondant à la clé de sécurité désirée. Dans l'exemple illustré de la figure 14, la seconde information de sortie d'index est également appliquée à un bloc d'opération d'index logique 123 (par exemple un additionneur ou un circuit de concaténation) conjointement aux critères d'index. L'information de sortie du bloc d'opération d'index logique 123 est ensuite appliquée à une seconde mémoire 124 (MEM2) pour sélectionner une TEK et un IV correspondant à la clé de sécurité désirée.

Dans un mode de réalisation de l'invention, les critères d'index appliqués au bloc d'opération d'index logique 123 comprennent un ou plusieurs bits sélectionnés dans l'EKS. Par exemple, le bit le plus significatif (MSB) et le bit le moins significatif (LSB) de l'EKS pourraient être utilisés pour effectuer une sélection entre des combinaisons de TEK et IV stockées dans la seconde mémoire 124.

D'après ce qui précède, on peut comprendre comment une unité mobile ayant un RKSE réalisé conformément à l'invention est capable de se déplacer entre de multiples systèmes de WLAN et WMAN, ou de se connecter simultanément à de multiples systèmes de WLAN ou WMAN. Ainsi, la possibilité de différents protocoles de transmission de données et de différents mécanismes de confidentialité de données, comme entre différents WLAN et WMAN, n'empêchera pas le RKSE de localiser efficacement une clé de sécurité désirée, correspondant à un paquet de données reçu de l'un quelconque des WLAN ou WMAN (ou devant être émis vers eux).

Ce concept est étendu davantage dans l'exemple illustré sur les figures 15 et 16. La figure 15 est une illustration de principe de l'utilisation d'un seul RKSE 20 dans une unité mobile 10 adaptée pour communiquer avec un ou plusieurs WLAN et un ou plusieurs WMAN. Malgré les différents protocoles impliqués dans cette possibilité, il est nécessaire d'inclure un seul RKSE 20 dans l'unité mobile 10. En effet, les circuits et la fonctionnalité associés au(x) WLAN 130 et les circuits et la fonctionnalité associés au(x) WMAN 140 dans l'unité mobile 10 utilisent conjointement la ressource commune créée par le RKSE 20.

La figure 16 illustre de façon plus détaillée cet aspect de l'invention. Ici, l'information de paquet peut inclure, à titre d'exemples, des adresses MAC et des CID, ainsi que des bits sélectionnés dans les EKS, KeyID et QC. L'information auxiliaire comprend, à titre d'exemple, une indication de RX/TX et une indication de protocole. A partir de cet ensemble de critères de recherche qui est assez limité, conjointement à une information d'options de commande fournie facultativement, le RKSE est capable de localiser et de fournir en sortie une clé de sécurité désirée (KSERESULT), parmi une multiplicité de clés de sécurité stockées.

Une mémoire hiérarchique, comprenant, par exemple, une mémoire associative 22, une mémoire 23 et une mémoire par défaut 24, peut être utilisée d'une manière similaire à celle décrit ci-dessus, pour fournir efficacement la clé de sécurité désirée, en particulier lorsque la clé de sécurité comprend de multiples composantes.

De nombreuses options de commande définies par l'utilisateur existent dans le contexte de l'exemple illustré sur les figures 15 et 16. (Dans cet exposé, "l'utilisateur" peut être un utilisateur final, un commerçant ou un programmeur en usine relatif à l'unité mobile). Par exemple, un utilisateur peut effectuer une 2874441 51 sélection entre: (1) un mode de fonctionnement unique autorisant la connectivité WMAN ou WLAN, mais non les deux, ou (2) un mode de fonctionnement double autorisant à la fois la connectivité WMAN et WLAN. Lorsqu'un mode de fonctionnement unique est sélectionné, l'utilisateur peut ensuite sélectionner un mode UseGK, dans lequel UseGK = 1 autorise certains types de connectivité d'unité mobile à l'intérieur de réseaux Ad-Hoc.

Les concepts précédents sont illustrés davantage dans les schémas des figures 17 et 18. La figure 17 illustre un exemple de procédé de recherche de RKSE conforme à un mode de réalisation de l'invention, dans lequel un utilisateur a sélectionné le fonctionnement en mode double (c'est-à-dire le fonctionnement en WLAN et WMAN), et UseGK = 1. La figure 18 illustre un exemple connexe de procédé de recherche de RKSE conforme à un autre mode de réalisation de l'invention, dans lequel l'utilisateur a sélectionné le fonctionnement en mode double (c'est-à-dire le fonctionnement en WLAN et WMAN) et UseGK = O. Les deux procédés illustrés pourraient par exemple être mis en oeuvre dans le RKSE représenté sur la figure 16.

Dans les deux schémas, un multiplexeur 150 est utilisé, par exemple, pour recevoir un bloc pertinent de critères de recherche (incluant par exemple des adresses MAC) provenant d'un WLAN, et/ou au moins un SAID correspondant à une recherche effectuée antérieurement, provenant d'un WMAN.

A cause de la complexité supplémentaire de clés de sécurité de WMAN, la mémoire CAM(1) sur la figure 16 est utilisée pour stocker au moins des adresses SAID, et une recherche est effectuée dans cette mémoire en relation avec des données d'index élaborées à partir de critères de recherche liés au WMAN, incluant par exemple un CID et un EKS. L'information d'index de sortie résultante, issue de la mémoire CAM(1), est utilisée pour faire référence à 2874441 52 MEM(1) et trouver au moins un SAID correspondant. Ce SAID, conjointement à une autre information, pouvant être fournie sous la forme de critères d'index combinés au SAID, sont appliqués à travers le multiplexeur 150 à la mémoire CAM(2), en tant que données d'index.

En poursuivant avec la routine de recherche de WMAN, on note que des rubriques de SAID se trouvant dans la CAM(2) sont utilisées pour localiser des composantes de clé de sécurité correspondantes dans MEM(2) et MEM(3). Dans l'exemple illustré représenté sur la figure 17, une combinaison logique de la rubrique de SAID et de bits sélectionnés provenant de l'EKS, est utilisée pour faire référence à MEM(2), et la rubrique dans MEM(2) (par exemple une TEK et/ou des données connexes) est ensuite utilisée pour faire référence à MEM(3) (qui stocke un IV correspondant).

A titre de comparaison, un WLAN applique directement à CAM(2), à travers le multiplexeur 150, des données d'index obtenues à partir de critères de recherche de WLAN. La séquence de recherche à partir de CAM(2) jusqu'à MEM(2) et MEM(3) pour une condition SUCCES, ainsi que jusqu'à DMEM(2) et DMEM(3) pour une condition ECHEC, se déroule comme décrit précédemment en référence à la figure 12.

L'exemple de séquence de recherche représenté sur la figure 18 diffère de celui de la figure 17 en relation avec la sélection d'UseGK, et donc la recherche possible de clés GK. Comme représenté sur la figure 18, CAM(2) est utilisée différemment dans la mesure où les données de SAID et EKS provenant d'un WMAN sont combinées dans les données d'index utilisées pour effectuer une recherche dans CAM(2). Au contraire, les données EKS sont appliquées en tant que critères d'index à l'information de sortie d'index de CAM(2) dans le procédé représenté sur la figure 17. Par conséquent, l'utilisation de CAM(2) dans le mode de réalisation représenté sur la figure 18 est clairement plus efficace.

2874441 53 Ceci est simplement l'un de nombreux exemples spécifiques montrant comment une mémoire hiérarchique associée à un RKSE en conformité à des modes de réalisation de l'invention peut être modifiée conformément à de nombreux paramètres et objectifs de conception. Il est possible d'établir différents algorithmes pour la recherche dans la mémoire RKSE en relation avec différents protocoles de données et des clés de sécurité multi- composantes spécifiques. Dans le cas de clés de sécurité multicomposantes, la mise en cascade de recherches à travers une hiérarchie de mémoires associées pourrait être particulièrement avantageuse. Par conséquent, de nombreuses architectures de mémoire sont possibles, et incluent des architectures comprenant une ou plusieurs mémoires et/ou mémoires associatives. Comme on l'a vu dans certains exemples précédents, on peut également utiliser avantageusement des mémoires par défaut, en particulier en relation avec des protocoles anciens ou des échecs de recherche.

Comme il a été démontré aisément, il est possible de recourir à n'importe quel nombre raisonnable de sources de données (à la fois associées à des paquets de données, et d'autres types), pour former des critères de recherche utilisables par le RKSE. A partir de ces critères de recherche, il est possible de définir et d'appliquer des données d'index et des critères d'index pour construire des algorithmes de recherche efficaces à travers les données stockées dans la mémoire de RKSE.

Dans des modes de réalisation de l'invention, des options de commande définies par l'utilisateur peuvent également être appliquées aisément au problème de la recherche d'une clé de sécurité. On considère l'exemple de sélection d'UseGK noté précédemment. Lorsque UseGK = 1, on utilise une GK par unité mobile pour des protocoles tels que WPA2 et 802.11e. De plus, une rubrique de mémoire {par exemple MEM(1)[INDEX(1) + 1]} est localisée lorsqu'une 2874441 54 adresse de CAM d'indexage est une adresse de groupe, et une autre rubrique de mémoire {par exemple MEM(1)[INDEX(1)]} est localisée lorsque l'adresse de CAM d'indexage n'est pas une adresse de groupe. Cependant, lorsque UseGK = 0, il est utilisé une GK par BSS pour des protocoles tels que WEP et WPA. De plus, une rubrique de mémoire par défaut {par exemple DMEM(1)[KEYID]} est localisée lorsqu'une adresse de CAM d'indexage est une adresse de groupe, et une rubrique de mémoire {par exemple MEM(1) [INDEX(1)]} est localisée lorsque l'adresse de CAM d'indexage n'est pas une adresse de groupe.

On considère de façon similaire l'influence d'une sélection d'UseGK sur la recherche d'une clé de sécurité ayant un type particulier de composante de chiffre, par exemple l'UseGroupCipher. Concernant un mode de réalisation de l'invention, dans lequel un chiffre sélectionné est un UseGroupCipher et UseGK = 0 pendant une opération d'émission (TX), la clé, le chiffre et l'IV sont localisés dans la mémoire par défaut. Cependant, pour une opération d'émission (RX), l'IV est localisé en mémoire, tandis que la clé et le chiffre sont localisés dans la mémoire par défaut.

Lorsqu'un chiffre sélectionné est un UseGroupCipher, et UseGK = 1, pendant une opération d'émission (TX), la clé, le chiffre et l'IV sont à nouveau localisés dans la mémoire par défaut. Cependant, pour une opération de réception (RX), la clé, le chiffre et l'IV sont localisés en mémoire.

Ces exemples sélectionnés illustrent la puissance et la souplesse de l'invention pour accepter différents types d'unités mobiles ayant différents modes de fonctionnement et différentes options de commande d'utilisateur.

En relation avec l'invention, des réseaux connectés de manière câblée diffèrent seulement par le mode de leur connexion. L'invention s'applique aisément aux conditions 2874441 55 de clés de sécurité qui résultent des protocoles et des mécanismes de confidentialité de données spécifiques utilisés par des réseaux connectés de manière câblée. Ceci est important compte tenu du nombre d'anciens réseaux câblés classiques. Par conséquent, les principes et concepts ressortant des exemples didactiques présentés ci-dessus et portant sur des réseaux sans fil, sont également applicables à des réseaux câblés.

Claims (92)

REVENDICATIONS

1. Unité mobile, caractérisée en ce qu'elle comprend: un Moteur de Recherche de Clé (KSE) (20) destiné à recevoir des critères de recherche provenant d'un réseau, pour fournir une clé de sécurité, et comprenant un système de mémoire (26) pour stocker une multiplicité de clés de sécurité; et en ce que le système de mémoire comprend: une mémoire associative (22) destinée à fournir une information de sortie d'index en réponse à des données d'index élaborées à partir des critères de recherche, et une mémoire (23) destinée à fournir en sortie la clé de sécurité en réponse à l'information de sortie d'index.

2. Unité mobile selon la revendication 1, caractérisée en ce que le KSE comprend un bloc de commande de KSE {21) destiné à recevoir les critères de recherche, et à élaborer les données d'index.

3. Unité mobile selon la revendication 2, caractérisée en ce que les critères de recherche comprennent au moins une d'une information de paquets de données liée à un paquet de données reçu dans l'unité mobile, et d'une information auxiliaire liée à un élément dans le réseau.

4. Unité mobile selon la revendication 3, caractérisée en ce que l'information auxiliaire comprend une information d'options de commande liée à une sélection d'options définies par l'utilisateur.

5. Unité mobile selon la revendication 2, caractérisée en ce que le bloc de commande de KSE (21) comprend en outre: un bloc d'Entrée / Sortie (27) pour recevoir les critères de recherche et fournir en sortie la clé de sécurité; une interface de mémoire associative (30) pour connecter le bloc de commande de KSE (21) à la mémoire associative (22); et une interface de mémoire (31) pour connecter le bloc de commande de KSE (21) à la mémoire (23).

6. Unité mobile selon la revendication 2, caractérisée en ce que le bloc de commande de KSE (21) comprend en outre un sélecteur d'index (25) pour élaborer les données d'index en réponse aux critères de recherche.

7. Unité mobile selon la revendication 6, caractérisée en ce que le sélecteur d'index (25) comprend: un bloc de registres (29) et une unité de correspondance (28).

8. Unité mobile selon la revendication 7, caractérisée en ce que le bloc de registres comprend un registre reconfigurable adapté pour fournir en sortie des données d'index de taille ou de nature variable, en réponse à une information de sortie de l'unité de correspondance (28).

9. Unité mobile selon la revendication 8, caractérisée en ce que l'unité de correspondance (28) comprend une table de correspondance ou un automate à états finis.

10. Unité mobile selon la revendication 1, caractérisée en ce que la multiplicité de clés de sécurité comprend une clé par défaut, et le système de mémoire {26) comprend en outre une mémoire par défaut (24) qui stocke la clé par défaut.

il. Unité mobile selon la revendication 10, caractérisée en ce que la clé de sécurité comprend de multiples composantes, et. la mémoire (23) comprend de multiples mémoires, stockant chacune une ou plusieurs des multiples composantes.

12. Unité mobile selon la revendication 11, caractérisée en ce que les multiples composantes comprennent au moins un élément parmi une clé de chiffrement / déchiffrement, un chiffre et un Vecteur d'Initialisation (IV).

13. Unité mobile selon la revendication 1, 35 caractérisée en ce que la clé de sécurité comprend de multiples composantes, et la mémoire (23) comprend de 2874441 58 multiples mémoires, stockant chacune une ou plusieurs des multiples composantes.

14. Unité mobile selon la revendication 13, caractérisée en ce que les multiples composantes comprennent au moins un des éléments suivants un Identificateur d'Association de Sécurité (SAID), une Clé de Chiffrement de Trafic (TEK), une Association de Sécurité (SA), et un Vecteur d'Init. ialisation (IV). 15.

caractérisée de multiples 16.

caractérisée de multiples Unité mobile selon la revendication 13, en ce que la mémoire associative (22) comprend Mémoires Adressables par le Contenu (CAM). Unité mobile selon la revendication 11, en ce que la mémoire associative (22) comprend Mémoires Adressables par le Contenu (CAM). 15

17. Unité mobile selon la revendication 1, caractérisée en ce que la mémoire associative (22) comprend de multiples Mémoires Adressables par le Contenu (CAM).

18. Unité mobile selon la revendication 1, caractérisée en ce que le KSE comprend un bloc 20 d'opération d'index (35) pour recevoir des critères d'index élaborés à partir des critères de recherche et l'information de sortie d'index, et pour générer une adresse de mémoire.

19. Unité mobile selon la revendication 18, caractérisée en ce que le bloc d'opération d'index (35) comprend un circuit effectuant une concaténation, un circuit effectuant une opération de hachage, ou un circuit effectuant une opération logique.

20. Unité mobile selon la revendication 5, caractérisée en ce que le bloc de commande de KSE (21) comprend en outre: un sélecteur d'index (25) comprenant un bloc de registres (29) et une unité de correspondance (28), le sélecteur d'index (25) étant destiné à élaborer les données d'index à partir de l'information de paquets de données et de l'information auxiliaire, par le fonctionnement du bloc de registres (29) et de l'unité de correspondance (28).

2874441 59 21. Unité mobile selon la revendication 20, caractérisée en ce que le bloc de registres {29) contient une information d'options de commande de stockage de registre.

22. Unité mobile selon la revendication 21, caractérisée en ce que le sélecteur d'index comprend en outre un bloc d'opération d'index (35) pour recevoir des critères d'index sélectionnés à partir des critères de recherche et l'information de sortie d'index, et pour émettre une adresse de mémoire appliquée à la mémoire (23).

23. Moteur de Recherche de Clé (KSE), caractérisé en ce qu'il comprend: un bloc de commande de KSE (21) pour recevoir des critères de recherche provenant d'un réseau, pour élaborer des données d'index à partir des critères de recherche, et pour fournir une clé de sécurité; et un système de mémoire (26) pour stocker une multiplicité de clés de sécurité; et en ce que le système de mémoire (26) comprend une mémoire associative {22) pour fournir une information de sortie d'index en réponse aux données d'index, et une mémoire (23) pour fournir la clé de sécurité en réponse à l'information de sortie d'index.

24. KSE selon la revendication 23, caractérisé en ce que les critères de recherche comprennent au moins une d'une information de paquets de données concernant un paquet de données reçu dans le KSE, et d'une information auxiliaire concernant un élément dans le réseau.

25. KSE selon la revendication 24, caractérisé en ce que l'information auxiliaire comprend une information d'options de commande concernant une sélection d'options définies par l'utilisateur.

26. KSE selon la revendication 25, caractérisé en ce que le bloc de commande de KSE (21) comprend en outre: un bloc d'Entrée / Sortie (27) pour recevoir les critères de recherche et émettre la clé de sécurité; une interface de mémoire associative (30) pour connecter le bloc de commande de KSE (21) à la mémoire associative {22) ; et une 2874441 60 interface de mémoire (31) pour connecter le bloc de commande de KSE (21) à la mémoire (23).

27. KSE selon la revendication 26, caractérisé en ce que le bloc de commande de KSE (21) comprend en outre: 5 un sélecteur d'index (25) pour élaborer les données d'index en réponse aux critères de recherche.

28. KSE selon la revendication 27, caractérisé en ce que le sélecteur d'index (25) comprend: un bloc de registres (29) et une unité de correspondance (28).

29. KSE selon la revendication 28, caractérisé en ce que le bloc de registres (29) comprend un registre reconfigurable adapté pour émettre des données d'index de taille ou de nature variable, en réponse à une information de sortie d'unité de correspondance (28).

30. KSE selon la revendication 29, caractérisé en ce que l'unité de correspondance (28) effectue une opération de mise en correspondance en réponse à un élément parmi les critères de recherche, une rubrique de données en mémoire associative (22) et une rubrique de données en mémoire (23).

31. KSE selon la revendication 30, caractérisé en ce que l'unité de correspondance (28) comprend une table de correspondance ou un automate à états finis.

32. KSE selon la revendication 23, caractérisé en ce que la multiplicité de clés de sécurité comprend une clé par défaut, et le système de mémoire {26) comprend une mémoire par défaut (24) qui stocke la clé par défaut.

33. KSE selon la revendication 32, caractérisé en ce que la clé de sécurité comprend de multiples composantes, et la mémoire (23) comprend de multiples mémoires, chacune d'elles stockant une ou plusieurs des multiples composantes.

34. KSE selon la revendication 33, caractérisé en ce que les multiples composantes comprennent au moins un élément parmi une clé de chiffrement / déchiffrement, un chiffre et un Vecteur d'Initialisation (IV). 15

2874441 61 35. KSE selon la revendication 23, caractérisé en ce que la clé de sécurité comprend de multiples composantes, et la mémoire (23) comprend de multiples mémoires, chacune d'elles stockant une ou plusieurs des 5 multiples composantes.

36. KSE selon la revendication 35, caractérisé en ce que les multiples composantes comprennent au moins un des éléments suivants: un Identificateur d'Association de Sécurité (SAID), une Clé de Chiffrement de Trafic (TEK), une Association de Sécurité (SA), et un Vecteur d'Initialisation (IV).

37. KSE selon la revendication 23, caractérisé en ce qu'il comprend en outre: un bloc d'opération d'index (35) pour recevoir des critères d'index élaborés à partir des critères de recherche et l'information de sortie d'index, et pour générer une adresse de mémoire.

38. KSE selon la revendication 37, caractérisé en ce que le bloc d'opération d'index (35) comprend un circuit effectuant une concaténation, un circuit effectuant une opération de hachage, ou un circuit effectuant une opération logique.

39. Unité mobile adaptée pour être connectée dans un premier réseau (3) transmettant des données conformément à un premier protocole, et un second réseau (2, 4) transmettant des données conformément à un second protocole, caractérisée en ce que l'unité mobile comprend: un Moteur de Recherche de Clé Reconfigurable (RKSE), comprenant un système de mémoire stockant une multiplicité de clés de sécurité liées aux premier et second réseaux (3; 2, 4); et un bloc de commande (21) émettant une clé de sécurité sélectionnée parmi la multiplicité de clés de sécurité en réponse à des critères de recherche comprenant une information de paquet de données reçue par l'unité mobile.

40. Unité mobile selon la revendication 39, caractérisée en ce que le premier réseau est un Réseau 2874441 62 Local Sans Fil (WLAN) (3), et le second réseau est un Réseau Métropolitain Sans Fil (WMAN) (2) ou un réseau Ad-Hoc (4).

41. Unité mobile selon la revendication 40, caractérisée en ce que le système de mémoire (26) comprend: une mémoire associative (22) recevant des données d'index élaborées à partir des critères de recherche et émettant une information de sortie d'index; et une mémoire (23) recevant une adresse de mémoire élaborée à partir de l'information de sortie d'index et émettant la clé de sécurité en réponse à l'adresse de mémoire.

42. Unité mobile selon la revendication 41, caractérisée en ce que l'information de sortie d'index indique une condition SUCCES si les données d'index identifient une rubrique de mémoire associative (22), ou une condition ECHEC si les données d'index sont incapables d'identifier une rubrique de mémoire associative (22).

43. Unité mobile selon la revendication 42, caractérisée en ce que le système de mémoire (26) comprend en outre: une mémoire par défaut (24) recevant l'adresse de mémoire lorsqu'une condition ECHEC est indiquée; et en ce que la mémoire (23) reçoit l'adresse de mémoire lorsqu'une condition SUCCES est indiquée.

44. Unité mobile selon la revendication 43, caractérisée en ce que la mémoire par défaut (24) est une mémoire hiérarchique comprenant de multiples mémoires par défaut, chacune d'elles stockant des composantes associées de la clé de sécurité; et en ce que les multiples mémoires par défaut réagissent à l'adresse de mémoire reçue.

45. Unité mobile selon la revendication 43, caractérisée en ce que la mémoire (23) est une mémoire hiérarchique comprenant de multiples mémoires, chacune d'elles stockant des composantes associées de la clé de sécurité; et en ce que les multiples mémoires réagissent à l'adresse de mémoire reçue.

2874441 63 46. Unité mobile selon la revendication 44, caractérisée en ce que la mémoire (23) est une mémoire hiérarchique comprenant de multiples mémoires, chacune d'elles stockant des composantes associées de la clé de sécurité; et en ce que les multiples mémoires réagissent à l'adresse de mémoire reçue.

47. Unité mobile selon la revendication 41, caractérisée en ce que le RKSE (20) comprend en outre: un bloc d'opération d'index (35) recevant l'information de sortie d'index et des critères d'index; et en ce que accomplissant une sortie d'index et revendication 47, logique est une concaténation ou un hachage.

49. Unité mobile selon caractérisée en ce que les critères partir des critères de recherche.

50. Unité mobile selon la revendication 49, caractérisée en ce que les critères de recherche comprennent une information auxiliaire concernant l'unité mobile.

51. Unité mobile selon la revendication 50, caractérisée en ce que l'information auxiliaire comprend une information d'options de commande concernant des sélections d'options définies par l'utilisateur.

52. Unité mobile selon la revendication 50, caractérisée en ce que les critères d'index sont définis au moins en partie en relation avec l'information d'options de commande.

53. Unité mobile selon la revendication 40, caractérisée en ce que le bloc de commande (21) comprend en outre: un bloc d'Entrée / Sortie (27) pour recevoir les critères de recherche et émettre la clé de sécurité; une interface de mémoire associative (30) pour connecter le l'adresse de mémoire est élaborée en opération logique sur l'information de les critères d'index.

48. Unité mobile selon la 15 caractérisée en ce que l'opération la revendication 47, d'index sont élaborés à bloc de commande (21) à la mémoire associative (22); et une interface de mémoire (31) pour connecter le bloc de commande (21) à la mémoire (23).

54. Unité mobile selon la revendication 53, caractérisée en ce que le système de mémoire (26) comprend. une première Mémoire Adressable par le Contenu (CAM) (120) recevant des premières données d'index provenant du bloc de commande (21) et émettant une première information de sortie d'index; une première mémoire (121) recevant une première adresse de mémoire élaborée à partir de la première information de sortie d'index et émettant une première information de sortie de composante de clé de sécurité; une seconde mémoire CAM (122) recevant des secondes données d'index élaborées à partir de la première information de sortie de composante de clé de sécurité et émettant une seconde information de sortie d'index; et une seconde mémoire (124) recevant les secondes données d'index et émettant une seconde information de sortie de composante de clé de sécurité.

55. Unité mobile selon la revendication 54, caractérisée en ce que la première information de sortie de composante de clé de sécurité est un Identificateur d'Association de Sécurité (SAID), et la seconde information de sortie de composante de clé de sécurité comprend une Clé de Chiffrement de Trafic (TEK) et un Vecteur d'Initialisation (IV) correspondant.

56. Unité mobile selon la revendication 40, caractérisée en ce qu'elle comprend en outre: un premier circuit adapté pour communiquer avec un WLAN et un second circuit adapté pour communiquer avec un WMAN ou un réseau Ad-Hoc, et en ce que les premier et second circuits accèdent en commun au RKSE (20) pour obtenir une clé de sécurité respective.

57. Unité mobile selon la revendication 41, 35 caractérisée en ce que le premier réseau est un WLAN (3), et le second réseau est un WMAN (2) ou un réseau Ad-Hoc 2874441 65 (4), en ce que la multiplicité de clés de sécurité comprend une multiplicité de clés de sécurité liées au WLAN (3), et une multiplicité de clés de sécurité liées au WMAN (2) ou une multiplicité de clés de sécurité liées au réseau Ad-Hoc (4); en ce que l'unité mobile comprend un récepteur radiofréquence recevant un paquet de données; et en ce que le RKSE (20) émet une clé de sécurité liée au WLAN (3) sélectionnée parmi la multiplicité de clés de sécurité liées au WLAN, lorsque le paquet de données reçu provient du WLAN (3); émet une clé de sécurité liée au WMAN (2), sélectionnée parmi la multiplicité de clés de sécurité liées au WMAN (2), lorsque le paquet de données reçu provient du WMAN (2); ou émet une clé de sécurité liée au réseau Ad-Hoc (4), sélectionnée parmi la multiplicité de clés de sécurité liées au réseau Ad-Hoc (4), lorsque le paquet de données reçu provient du réseau Ad-Hoc (4).

58. Unité mobile selon la revendication 57, caractérisée en ce que le système de mémoire (26) comprend en outre une mémoire par défaut (24) qui stocke au moins une clé de sécurité de WLAN sélectionnée, qui est une clé par défaut.

59. Procédé pour fournir une clé de sécurité dans une unité mobile, l'unité mobile comprenant un Moteur de Recherche de Clé (KSE) (20) et un système de mémoire (26), le système de mémoire comprenant une mémoire associative (22) et une mémoire (23) qui stocke une multiplicité de clés de sécurité, le procédé étant caractérisé en ce qu'il comprend: la réception de critères de recherche provenant d'un réseau (2, 3, 4); l'élaboration de données d'index à partir de critères de recherche dans le KSE (20); l'accomplissement d'une recherche dans la mémoire associative (22) en utilisant les données d'index pour générer une information de sortie d'index; l'accomplissement d'une opération de référence à la mémoire (23) en utilisant l'information de sortie d'index, pour fournir en sortie la clé de sécurité.

2874441 66 60. Procédé selon la revendication 59, caractérisé en ce que le KSE (20) comprend un bloc de commande de KSE (21) recevant les critères de recherche et élaborant les données d'index.

61. Procédé selon la revendication 60, caractérisé en ce que la réception des critères de recherche comprend la réception d'une information de paquet de données concernant un paquet de données reçu dans l'unité mobile.

62. Procédé selon la revendication 61, caractérisé en ce que la réception des critères de recherche comprend en outre la réception d'une information auxiliaire concernant un élément dans le réseau.

63. Procédé selon:La revendication 62, caractérisé en ce que la réception de l'information auxiliaire comprend la réception d'une information d'options de commande concernant une sélection d'options définies par l'utilisateur.

64. Procédé selon la revendication 62, caractérisé en ce que le KSE (20) comprend un bloc de commande (21) recevant les critères de recherche, et un sélecteur d'index (25) élaborant des données d'index à partir des critères de recherche.

65. Procédé selon la revendication 64, caractérisé en ce que l'élaboration des données d'index comprend: la configuration d'un registre dans le sélecteur d'index (25) en relation avec une opération de mise en correspondance exécutée dans le KSE {20); et l'élaboration des données d'index en utilisant le registre.

66. Procédé selon la revendication 65, caractérisé en ce que l'opération de mise en correspondance comprend l'accomplissement d'une opération de référence à une table de correspondance.

67. Procédé selon la revendication 65, caractérisé en ce que l'opération de mise en correspondance comprend l'accomplissement d'une opération de référence à un automate à états finis.

2874441 67 68. Procédé selon la revendication 59, caractérisé en ce que la multiplicité de clés de sécurité comprend une clé par défaut, et le système de mémoire (26) comprend en outre une mémoire par défaut (24) qui stocke la clé par défaut, et en ce que le procédé comprend l'accomplissement d'une opération de référence à la mémoire par défaut (24) en utilisant l'information de sortie d'index pour émettre la clé par défaut.

69. Procédé selon la revendication 68, caractérisé en ce que la clé de sécurité comprend de multiples composantes, et la mémoire (23) comprend de multiples mémoires qui stockent une ou plusieurs des multiples composantes, et en ce que l'accomplissement d'une opération de référence à la mémoire en utilisant l'information de sortie d'index comprend l'accomplissement d'opérations de référence à la multiplicité de mémoires en utilisant l'information de sortie d'index pour émettre les multiples composantes.

70. Procédé selon la revendication 69, caractérisé en ce que les multiples composantes comprennent au moins un élément parmi une clé de chiffrement / déchiffrement, un chiffre et un Vecteur d'Initialisation (IV).

71. Procédé selon la revendication 59, caractérisé en ce que la clé de sécurité comprend de multiples composantes, et la mémoire (23) comprend de multiples mémoires qui stockent une ou plusieurs des multiples composantes, et en ce que l'accomplissement d'une opération de référence à la mémoire en utilisant l'information de sortie d'index comprend l'accomplissement d'opérations de référence à la multiplicité de mémoires en utilisant l'information de sortie d'index pour émettre les multiples composantes.

72. Procédé selon la revendication 71, caractérisé en ce que les multiples composantes comprennent au moins un des éléments suivants: un Identificateur d'Association de Sécurité (SAID), une Clé de Chiffrement de Trafic (TEK), 2874441 68 une Association de Sécurité (SA) et un Vecteur d'Initialisation (IV).

73. Procédé selon la revendication 59, caractérisé en ce que le KSE (20) comprend un bloc d'opération d'index (35), et en ce que l'accomplissement d'une opération de référence à la mémoire (23) en utilisant l'information de sortie d'index comprend: l'élaboration de critères d'index à partir des critères de recherche; l'accomplissement d'une opération d'index sur l'information de sortie d'index et les critères d'index dans le bloc d'opération d'index (35), pour générer une adresse; et l'accomplissement d'une opération de référence à la mémoire en utilisant l'adresse pour émettre la clé de sécurité.

74. Procédé selon la revendication 73, caractérisé 15 en ce que l'opération d'index comprend une concaténation, un hachage ou une opération logique.

75. Procédé selon la revendication 64, caractérisé en ce que le bloc de commande de KSE (21) comprend un bloc de registres (29) comprenant une multiplicité de registres, et en ce que la réception de l'information d'options de commande comprend l'extraction d'une information d'options de commande stockée dans l'un de la multiplicité de registres.

76. Procédé pour fournir une clé de sécurité liée à un premier protocole utilisé par un premier réseau ou à un second protocole utilisé par un second réseau, caractérisé en ce qu'il comprend: le stockage d'une multiplicité de clés de sécurité liées à au moins un des premier et second protocoles dans un système de mémoire (26) comprenant une mémoire associative (22) et une mémoire (23); la réception d'une information de paquet de données et d'une information auxiliaire; la définition des critères de recherche en relation avec l'information de paquet de données et l'information auxiliaire; l'élaboration de données d'index à partir des critères de recherche; l'accomplissement d'une recherche dans la mémoire associative (22) en utilisant les 2874441 69 données d'index pour émettre une information de sortie d'index; et l'accomplissement d'une opération de référence à la mémoire (23) en utilisant l'information de sortie d'index pour émettre la clé de sécurité.

77. Procédé selon la revendication 76, caractérisé en ce que le système de mémoire (26) comprend en outre une mémoire par défaut (24), et en ce que la recherche dans la mémoire associative (22) comprend l'indication d'une condition ECHEC lorsque aucune rubrique de mémoire associative (22) n'est liée aux données d'index, et d'une condition SUCCES lorsque au moins une rubrique de mémoire associative (22) est liée aux données d'index; et en ce que l'opération de référence à la mémoire en utilisant l'information de sortie d'index comprend: l'accomplisse- ment d'une opération de référence à la mémoire par défaut (24) en utilisant l'information de sortie d'index lorsqu'une condition ECHEC est indiquée, ou l'accomplissement d'une opération de référence à la mémoire (23) en utilisant les données d'index lorsqu'une condition SUCCES est indiquée.

78. Procédé selon la revendication 76, caractérisé en ce que l'opération de référence à la mémoire (23) en utilisant l'information de sortie d'index comprend.

l'élaboration de critères d'index à partir des critères de 25 recherche; l'accomplissement d'une opération d'index en utilisant les critères d'index et l'information de sortie d'index pour émettre une adresse; et l'accomplissement d'une opération de référence à la mémoire en utilisant l'adresse.

79. Procédé selon la revendication 77, caractérisé en ce que la mémoire par défaut (24) comprend de multiples mémoires auxquelles il est fait référence en utilisant l'information de sortie d'index pour émettre de multiples composantes liées à la clé de sécurité.

80. Procédé selon la revendication 78, caractérisé en ce que la mémoire (23) comprend de multiples mémoires 35 2874441 70 auxquelles il est fait référence en utilisant l'adresse pour émettre de multiples composantes liées à la clé de sécurité.

81. Procédé selon la revendication 76, caractérisé en ce que la définition de critères de recherche en relation avec l'information de paquet de données et l'information auxiliaire comprend l'extraction d'une information d'options de commande stockée.

82. Procédé selon la revendication 81, caractérisé en ce que l'élaboration des données d'index à partir des critères de recherche comprend: l'opération consistant à configurer un registre dans une première configuration lorsque le paquet de données reçu provient du premier réseau, ou à configurer le registre dans une seconde configuration lorsque le paquet de données reçu provient du second réseau.

83. Procédé d'exploitation d'une unité mobile adaptée pour être connectée à un premier réseau en utilisant un premier protocole et un second réseau en utilisant un second protocole, caractérisé en ce qu'il comprend: la sélection d'options de commande définies par l'utilisateur; la définition d'une information d'options de commande en relation avec la sélection d'options de commande définies par l'utilisateur; et l'identificationd'une clé de sécurité parmi une multiplicité de clés de sécurité stockées, liées aux premier et second réseaux, en relation avec l'information d'options de commande.

84. Procédé selon la revendication 83, caractérisé en ce que les options de commande définies par l'utilisateur sont sélectionnées par un commerçant vendant l'unité mobile ou par un utilisateur final de l'unité mobile.

85. Procédé selon la revendication 83, caractérisé en ce que le premier réseau est un Réseau Local Sans Fil (WLAN) (3), et le second réseau est un Réseau Métropolitain Sans Fil (WMAN) (2) ou un réseau Ad-Hoc (4).

2874441 71 86. Procédé selon la revendication 85, caractérisé en ce que le système de mémoire (26) est un système de mémoire hiérarchique, et en ce que l'identification d'une clé de sécurité parmi une multiplicité de clés de sécurité stockées liées aux premier et second réseaux, en relation avec l'information d'options de commande, comprend. l'accomplissement d'une recherche dans le système de mémoire hiérarchique en utilisant un premier algorithme de recherche lorsque le paquet de données reçu provient du premier réseau, ou l'accomplissement d'une recherche dans le second système de mémoire hiérarchique en utilisant un second algorithme de recherche lorsque le paquet de données reçu provient du second réseau.

87. Procédé selon la revendication 86, caractérisé en ce que le système de mémoire hiérarchique comprend une mémoire associative (22), une mémoire (23) et une mémoire par défaut (24), et en ce qu'au moins un du premier algorithme de recherche et du second algorithme de recherche comprend l'accomplissement d'une recherche dans la mémoire par défaut (24) .

88. Procédé selon la revendication 86, caractérisé en ce qu'au moins un du premier algorithme de recherche et du second algorithme de recherche comprend une recherche en cascade à travers le système de mémoire hiérarchique (26).

89. Procédé d'exploitation d'une unité mobile adaptée pour être connectée à de multiples réseaux, caractérisé en ce qu'il comprend la réception d'un premier paquet de données à partir d'un premier réseau, et ensuite dans un Moteur de:Recherche de Clé Reconfigurable (RKSE) l'établissement d'une première configuration de confidentialité de données permettant le fonctionnement d'un premier algorithme de recherche à travers un système de mémoire (26) qui stocke une multiplicité de clés de sécurité; et la réception d'un second paquet de données à partir d'un second réseau, et ensuite dans le RKSE l'établissement d'une seconde configuration de 2874441 72 confidentialité de données permettant le fonctionnement d'un second algorithme de recherche à travers le système de mémoire (26) qui stocke la multiplicité de clés de sécurité.

90. Procédé selon la revendication 89, caractérisé en ce que les première et seconde configurations de confidentialité de données sont respectivement définies en relation avec une information auxiliaire liée à l'unité mobile ou à un élément dans l'un des multiples réseaux.

91. Procédé selon la revendication 90, caractérisé en ce que l'information auxiliaire comprend une information d'options de commande définie conformément à des sélections d'options de commande définies par l'utilisateur.

92. Procédé selon la revendication 91, caractérisé en ce que le système de mémoire (26) est un système hiérarchique comprenant une mémoire associative (22) et une mémoire (23) dans lesquelles les premier et second algorithmes de recherche effectuent respectivement des recherches.

93. Procédé selon la revendication 92, caractérisé en ce que le système de mémoire (26) comprend en outre une mémoire par défaut (24) dans laquelle au moins le premier algorithme de recherche effectue une recherche.

94. Procédé selon la revendication 90, caractérisé en ce qu'il comprend en outre: l'émission d'une première clé de sécurité en réponse au premier algorithme de recherche, et le traitement du premier paquet de données en relation avec la première clé de sécurité; et l'émission d'une seconde clé de sécurité en réponse au second algorithme de recherche, et le traitement du second paquet de données en relation avec la seconde clé de sécurité.

95. Procédé selon la revendication 94, caractérisé en ce que le premier réseau comprend un Réseau Local Sans Fil (WLAN) (3) et la première clé de sécurité comprend au moins un élément parmi une clé de chiffrement / déchiffrement, un chiffre et un Vecteur d'Initialisation (IV). 10

2874441 73 96. Procédé selon la revendication 94, caractérisé en ce que le premier réseau comprend un Réseau Local Sans Fil (WLAN) (3) et la première clé de sécurité comprend une clé par défaut.

97. Procédé selon la revendication 94, caractérisé en ce que le second réseau comprend un Réseau Métropolitain Sans Fil (WMAN) (2) et la seconde clé de sécurité comprend au moins un élément parmi un Identificateur d'Association de Sécurité (SAID), une Clé de Chiffrement de Trafic (TEK), une Association de Sécurité (SA), et un Vecteur d'Initialisation (IV).

98. Unité de réseau sans fil adaptée pour transmettre des paquets de données en relation avec un Réseau Local Sans Fil (WLAN) (3) et un Réseau Métropolitain Sans Fil (WMAN) (2), caractérisée en ce qu'elle comprend: un contrôleur de WLAN recevant un paquet de données de WLAN; un contrôleur de WMAN recevant un paquet de données de WMAN; et un Moteur de Recherche de Clé (KSE) (20) auquel les contrôleurs de WLAN et de WMAN accèdent en commun, et fournissant une clé de sécurité en réponse à une information de paquet de données de WLAN et une information de paquet de données de WMAN.

99. Unité de réseau sans fil selon la revendication 98, caractérisée en ce que le KSE (20) comprend un système de mémoire (26) stockant une multiplicité de clés de sécurité liées au WLAN (3) et au WMAN (2), et un bloc de commande de KSE (21) adapté pour effectuer une recherche dans le système de mémoire (26) en utilisant un premier algorithme de recherche en réponse à l'information de paquet de données de WLAN, et un second algorithme de recherche en réponse à l'information de paquet de données de WMAN.

100. Unité de réseau sans fil selon la revendication 99, caractérisée en ce que le contrôleur de WMAN, le contrôleur de WMAN et le KSE (20) sont réalisés sur une carte de circuit imprimé commune.

2874441 74 101. Unité de réseau sans fil selon la revendication 100, caractérisée en ce que la carte de circuit imprimé est une carte PCI.

102. Unité de réseau sans fil selon la revendication 99, caractérisée en ce que le contrôleur de WLAN, le contrôleur de WMAN et le KSE (20) sont réalisés dans un seul circuit intégré.

103. Unité de réseau sans fil selon la revendication 99, caractérisée en ce que le contrôleur de WLAN, le contrôleur de WMAN et le KSE (20) sont réalisés dans un jeu de puce.