FR2941584A1 - Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant - Google Patents

Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant Download PDF

Info

Publication number
FR2941584A1
FR2941584A1 FR0950479A FR0950479A FR2941584A1 FR 2941584 A1 FR2941584 A1 FR 2941584A1 FR 0950479 A FR0950479 A FR 0950479A FR 0950479 A FR0950479 A FR 0950479A FR 2941584 A1 FR2941584 A1 FR 2941584A1
Authority
FR
France
Prior art keywords
processing
nas
crypto
user
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0950479A
Other languages
English (en)
Other versions
FR2941584B1 (fr
Inventor
Herve Sibert
Sylviane Roullier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
STMicroelectronics Grand Ouest SAS
Original Assignee
ST NXP Wireless France SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ST NXP Wireless France SAS filed Critical ST NXP Wireless France SAS
Priority to FR0950479A priority Critical patent/FR2941584B1/fr
Priority to EP10701499.5A priority patent/EP2392163B1/fr
Priority to JP2011546777A priority patent/JP5450655B2/ja
Priority to PCT/EP2010/050580 priority patent/WO2010086256A1/fr
Priority to US13/145,489 priority patent/US9166956B2/en
Publication of FR2941584A1 publication Critical patent/FR2941584A1/fr
Application granted granted Critical
Publication of FR2941584B1 publication Critical patent/FR2941584B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/70Media network packetisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/80Responding to QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Appareil de communication sans fil (WAP) qui comprend des moyens de réception de flux de données (312, 313, 314, 315, 316, 317) nécessitant chacun au moins en partie un traitement cryptographique, un module cryptographique (320) comportant un crypto-processeur (301), et des moyens de gestion configurés pour délivrer certains au moins des flux de données au crypto-processeur (301) en fonction d'un ordre de priorité défini à partir des types de données et des types de traitement cryptographique affectés à chaque flux de données.

Description

DEMANDE DE BREVET B08-5133FR/FZ/AR 08-LMS-240
Société par Actions Simplifiée dite : ST-NXP WIRELESS FRANCE Procédé de traitement de flux de données reçues par un appareil de communication sans fil et nécessitant au moins en partie des traitements cryptographiques et appareil correspondant Invention de : Hervé SIBERT Sylviane ROULLIER Procédé de traitement de flux de données reçues par un appareil de communication sans fil et nécessitant au moins en partie des traitements cryptographiques et appareil correspondant L'invention concerne les traitements cryptographiques, par exemple le chiffrement de flux de données émanant d'un terminal vers un réseau et/ou le déchiffrement de flux de données émanant du réseau vers le terminal, et notamment leur gestion au sein d'un crypto- processeur d'un appareil de communication sans fil. L'invention s'applique avantageusement mais non limitativement aux systèmes de communication régis par les normes UMTS, 3G ou LTE, en particulier ceux utilisant des déchiffrements de séquences de paquets chiffrés en provenance du réseau et nécessitant le calcul d'une suite chiffrante pour chaque paquet pour le déchiffrement dudit paquet. Dans les réseaux des fonctions de cryptage sont utilisées. Elles permettent d'assurer la confidentialité de la communication et l'intégrité des messages. Elles demandent en réception et en émission un traitement. Ce traitement induit un temps pendant lequel l'application ou la couche physique attend notamment après réception du paquet pour disposer des données contenues dans le paquet. Il est aujourd'hui proposé de plus en plus de services interactifs et ce temps peut s'avérer un handicap pour proposer certains de ces services.
D'autant plus qu'avec l'augmentation du débit des réseaux le temps de traitement cryptographique est de plus en plus conséquent en regard d'une transmission dans son ensemble. Par ailleurs, généralement tous les messages dans les différents flux de télécommunication sont traités par la couche de sécurité dans l'ordre d'arrivée. Or dans les technologies à très haute bande passante, comme les technologies HSPDA et LTE, des longs messages d'utilisateur peuvent induire une latence incompatible avec les contraintes de réactivité temporelle relatives aux messages de contrôle. I1 peut alors en résulter une baisse de la qualité de service et par conséquent une baisse d'efficacité du canal de communication. Selon un mode de mise en oeuvre et de réalisation il est proposé un procédé de traitement de flux de données au sein d'un appareil de communication sans fil permettant une amélioration de la qualité de service et de l'efficacité du canal de communication, en particulier dans les technologies à très haute bande passante. I1 est également notamment proposé une amélioration dans le traitement des flux de contrôle conduisant à une amélioration dans le traitement des flux d'utilisateur. Selon un autre mode de mise en oeuvre et de réalisation, il est proposé un procédé et un appareil de communication sans fil, par exemple un téléphone mobile cellulaire permettant d'éviter des traitements inutiles tout en réduisant la consommation de puissance, et en particulier lors du déchiffrement de séquences de paquets chiffrés. I1 est également proposé en particulier de tenir compte des spécificités des communications sans fil pour lesquelles le temps CPU du terminal est une ressource rare et la réception du paquet n'est pas certaine.
Selon un aspect il est proposé un procédé de traitement de flux de données reçus par un appareil de communication sans fil comportant un crypto-processeur, chaque flux de données nécessitant au moins en partie un traitement cryptographique. Selon une caractéristique générale de cet aspect on traite certains au moins des flux de données au sein du crypto-processeur en fonction d'un ordre de priorité défini à partir des types de données et des types de traitement cryptographique affectés à chaque flux de données. Ainsi, par exemple il est proposé de définir des critères de priorité permettant de traiter les flux de télécommunication au niveau de la couche de sécurité d'une façon plus efficace. Plus précisément on peut traiter en priorité les messages issus des flux de contrôle, voire même effectuer un pré-traitement de sécurité (si possible) de ces flux, tout en retardant les messages utilisateur.
En cas de rafales comprenant de nombreuses données ou si le traitement du crypto processeur est ralenti, le procédé de traitement de flux permet ainsi de traiter toutes les données. Pour un crypto-processeur donné, le traitement cryptographique en est ainsi accéléré. Ce qui permet aussi une baisse des contraintes de température, de consommation et de coût inhérente pour la même vitesse de traitement. Selon un mode de mise en oeuvre dans lequel les flux de données traités au sein du crypto-processeur comportent des flux de contrôle et des flux utilisateur, on traite en priorité les flux de contrôle. Cela permet ainsi de prioriser les flux de contrôle par rapport aux flux utilisateur, sachant que sans les flux de contrôle les flux utilisateur sont souvent impossibles à traiter.
Selon un autre mode de mise en oeuvre dans lequel certains au moins des flux de contrôle ou utilisateur nécessitent un pré-traitement suivi d'un post-traitement et parmi ces flux de contrôle ou d'utilisateur on traite en priorité ceux pour lesquels le pré-traitement a déjà été effectué.
Ainsi, les flux pour lesquels une partie du traitement a déjà été fait sont de préférence toujours prioritaires. Selon un mode de mise en oeuvre, après avoir traité en priorité les flux de contrôle ou utilisateur pour lesquels un pré-traitement a déjà été effectué, on traite en priorité les flux de contrôle ou utilisateur nécessitant un traitement synchrone. Selon un mode de mise en oeuvre on effectue le pré-traitement dans le crypto-processeur et le post-traitement à l'extérieur du cryptoprocesseur. Cela permet de ne pas surcharger le crypto-processeur.
Selon un mode de mise en oeuvre dans lequel le flux de contrôle ou le flux utilisateur comporte une séquence de paquets chiffrés, le pré-traitement comporte pour chaque paquet un pré-calcul d'une suite chiffrante et le post-traitement comporte un déchiffrement du paquet avec la suite chiffrante correspondante, et on effectue le pré-calcul des suites chiffrantes tant que la qualité de réception est supérieure à un seuil et qu'une indication de changement de cellule n'est pas reçue. En d'autres termes, on utilise ici la mesure de la qualité du lien radio qui est effectuée au niveau de la couche physique pour activer le pré-calcul d'une suite chiffrante uniquement lorsque c'est réellement efficace. En effet, lorsque des paquets sont perdus, l'efficacité du pré-calcul des suites chiffrantes décroît. En mode de fonctionnement normal, la couche physique évalue la qualité de réception, par exemple par une détermination du taux d'erreur par bit ou du taux d'erreur par bloc. La couche physique peut alors informer la pile de protocole d'une diminution de la qualité du lien radio conduisant alors à une désactivation du pré-calcul de suite chiffrante, ou bien d'un retour à une qualité de réception acceptable conduisant à une réactivation du pré-calcul de suite chiffrante. Ainsi on évite de pré-calculer une ou des suites chiffrantes pour rien (économisant ainsi de la consommation) lorsqu'il y a un risque de non réception de certains paquets ou de réception des paquets dans le désordre.
De même lors d'un changement de cellule, pouvant conduire à une réception désordonnée des paquets, on désactivera de préférence le pré-calcul des suites chiffrantes. Le calcul de la suite chiffrante avant réception du paquet correspondant tel que mentionné ci avant permet une économie du temps CPU du terminal mobile. Le pré-calcul de suite chiffrante étant inutile lorsque il est peu vraisemblable de recevoir le paquet correspondant. Selon un autre aspect de l'invention il est proposé un appareil de communication sans fil, comprenant des moyens de réception de flux de donnée nécessitant chacun au moins en partie un traitement cryptographique, un module cryptographique comportant un cryptoprocesseur, et des moyens de gestion configurés pour délivrer certains au moins des flux de données au crypto-processeur en fonction d'un ordre de priorité défini à partir des types de données et des types de traitement cryptographique affectés à chaque flux de données. Selon un mode de réalisation il est proposé un appareil de communication dans lequel les flux de données qui sont destinés à être traités au sein du crypto-processeur comportent des flux de contrôle et des flux utilisateur. Les moyens de gestion sont configurés pour délivrer au crypto-processeur en priorité les flux de contrôle. Selon un autre de mode de réalisation il est proposé un appareil dans lequel certains au moins des flux de contrôle ou utilisateur nécessitent un pré-traitement suivi d'un post-traitement et les moyens de gestion sont configurés pour délivrer au module cryptographique parmi les flux de contrôle ou d'utilisateur les flux pour lesquels le pré-traitement a déjà été effectué. Selon un autre mode de réalisation il est proposé un appareil dans lequel le module cryptographique comporte un bloc externe au crypto-processeur et le crypto-processeur est apte à effecteur le pré-traitement tandis que le bloc externe est apte à effectuer le post-traitement à l'extérieur du crypto-processeur. Selon un autre mode de réalisation il est proposé un appareil de communication dans lequel les moyens de gestion sont configurés pour, après avoir délivré les flux de contrôle ou utilisateur pour lesquels un pré-traitement a déjà été effectué, délivrer en priorité les flux de contrôle ou utilisateur nécessitant un traitement. Selon un autre mode de réalisation il est proposé un appareil de communication sans fil dans lequel les moyens de réception sont aptes à recevoir une séquence de paquets chiffrés ainsi qu'une indication de changement de cellule, le module cryptographique est apte à effectuer pour chaque paquet un pré-calcul d'une suite chiffrante et à effectuer pour chaque paquet un déchiffrement avec la suite chiffrante correspondante pré-calculée, ledit appareil comportant en outre des moyens de détermination aptes à déterminer une information relative à la qualité de réception des paquets et des moyens de commande aptes pour chaque paquet à activer le module cryptographique pour effectuer le pré-calcul préalablement à la réception du paquet tant que la qualité de réception est supérieure à un seuil et qu'une indication de changement de cellule n'est pas reçue.
L'invention sera mieux comprise à l'étude de la description détaillée de modes de mise en oeuvre et de réalisation pris à titre d'exemples non limitatifs et illustrés par les dessins annexés sur lesquels : la figure 1 illustre schématiquement un procédé de pré-calcul d'une suite chiffrante au sein d'un appareil de communication sans fil selon un mode de réalisation de l'invention; et les figure 2 et 3 illustrent schématiquement des exemples de traitements de flux de données par un module cryptographique selon l'invention, et, la figure 4 illustre un autre mode de mise en oeuvre du procédé selon l'invention. Dans les réseaux mobiles, pour réaliser les fonctions de confidentialité et/ou d'intégrité les terminaux sans fil utilisent généralement un composant appelé crypto-processeur. La confidentialité est réalisée en chiffrant (sens terminal vers réseau) /déchiffrant (sens réseau vers terminal) la communication; l'intégrité en ajoutant/vérifiant une empreinte ajoutée en plus des données. Cette intégrité permet d'assurer au destinataire que le message n'a pas été corrompu au cours de la transmission. La fonction d'intégrité/de vérification d'intégrité consiste par exemple lors de l'envoi du message à générer une empreinte de taille constante à partir du message et de la clé. Lors de la vérification le destinataire génère de la même façon une empreinte avec le message et avec la clé qu'il partage avec l'expéditeur. S'il obtient la même empreinte alors il en déduit que le message n'a pas été altéré depuis son envoi par l'expéditeur. Pour l'intégrité et la vérification de l'intégrité il est nécessaire d'avoir au même moment la clé et le message pour calculer ou vérifier l'empreinte, il est donc nécessaire pour ce traitement d'avoir un accès synchrone aux données. On parle d'opération synchrone.
Dans le cas du chiffrement ou du déchiffrement la situation n'est pas tout à fait la même: En effet ces traitements peuvent se diviser en deux étapes: la première est le calcul d'une suite chiffrante et la deuxième est une opération XOR entre la suite chiffrante et le paquet chiffré reçu. On rappelle brièvement en se référant à la figure 1 les principales caractéristiques d'un déchiffrement par précalcul d'une suite chiffrante. Sur la figure 1, sont représentés quatre modules Ml-M4 représentant des éléments fonctionnels d'un réseau mobile. Les trois premiers Ml-M3 sont situés dans l'appareil de communication WAP tandis que le dernier M4 représente l'ensemble du réseau qui permet le raccordement de l'appareil de communication. Tous ces modules collaborent et permettent une mise en oeuvre d'un pré-calcul d'une suite chiffrante. I1 est ci-après précisé le fonctionnement du pré-calcul d'une suite chiffrante dans le cas par exemple du déchiffrement (sens terminal vers réseau) par flot, c'est-à-dire le déchiffrement d'une séquence de paquets chiffrés. Dans le cas d'un déchiffrement par flot, la suite chiffrante change pour chaque paquet. Elle peut être pré-calculée avant réception du paquet car elle ne dépend pas des données transportées par le paquet, mais de paramètres connus de l'unité de déchiffrement et/ou de la pile de protocole. En des termes plus précis, le calcul de la suite chiffrante dépend d'une clé et d'un vecteur initialisation comprenant le numéro de séquence du paquet. Ce pré-calcul permet de minimiser le temps de traitement. Ainsi, dans le meilleur des cas, c'est-à-dire si le pré-calcul est terminé avant la réception du paquet, le temps de traitement perçu par l'utilisateur pour cette première étape est nul. I1 ne reste alors que le temps de traitement de la deuxième étape. Celle-ci nécessite la réception du paquet et consiste en son déchiffrement par l'opération XOR (ou exclusif) avec la suite chiffrante. Sur la figure 1, le premier module Ml nommé "pile de protocole" représente les couches normalisées OSI supérieures ou égales à la couche 2; il s'agit des couches liaison de données, réseau, transport, session présentation et application bien connues de l'homme du métier. Le deuxième module M2 nommé unité de déchiffrement ou plus généralement module cryptographique est l'unité qui s'occupe au sein de l'appareil de communication du déchiffrement, cette unité travaille au niveau de la couche 2 dite liaison de donnée. A titre d'exemple non limitatif elle peut comporter un crypto-processeur avec également un bloc externe au crypto-processeur capable d'effectuer l'opération XOR.
Le troisième module M3 nommé couche physique correspond à la façon dont sont envoyés les bits (1 et 0) sur le lien radio. I1 est par exemple constitué de circuits électroniques et/ou logiques assurant le traitement de signal approprié (modulation et étage radio fréquence notamment).
Le quatrième module M4 nommé réseau représente notamment le canal de communication (le lien radio), une cellule à laquelle est affecté l'appareil de communication et d'autres cellules auxquelles l'appareil de communication est susceptible d'être affecté. En dessous de ces quatre modules sont représentés une suite d'événements et d'actions. Les événements sont représentés sous forme de bloc, tandis que les actions ou communications sous forme de texte au dessus d'une flèche. Les événements et les actions sont représentés en fonction de l'entité fonctionnelle qui est concernée ainsi qu'en fonction du temps qui s'écoule du haut vers le bas de la figure.
Le premier bloc B1 illustre le fait qu'il n'y pas encore d'activité puis qu'un pré-calcul d'une suite chiffrante est demandé; ce cas peut correspondre à la mise en service de l'appareil de communication après un arrêt ou un mode de veille. En dessous de ce premier bloc B1, est représentée une action (Al) correspondant à une demande de pré-calcul de la suite chiffrante; la demande de pré-calcul venant par exemple des couches services est relayée vers l'unité de déchiffrement. Cette demande Al contient le numéro de séquence du paquet pour lequel la suite chiffrante est pré-calculée.
Puis, l'unité de déchiffrement ayant à sa disposition la clé et le vecteur d'initialisation, calcule avec le numéro de séquence, la suite chiffrante. L'unité de déchiffrement transmet alors (A2) le résultat de ce calcul à la pile de protocole. Cette transmission est la confirmation du calcul de la suite chiffrante et comprend la suite chiffrante. La pile de protocole stocke alors cette suite chiffrante en prévision de la réception du paquet correspondant. Lors de la réception (A3) de données par la couche physique, celle-ci informe (A4) la pile de protocole de la réception de données en provenance du réseau; ces données sont aussi transmises à la pile de protocole au cours de cette communication. La pile de protocole demande (A5) le déchiffrement du paquet qu'elle vient de recevoir parmi les données transmises par la couche physique. Dans ce paquet de demande sont envoyés la suite chiffrante, préalablement stockée ainsi que le paquet chiffré à déchiffrer. L'unité de déchiffrement renvoie (A6) le paquet déchiffré à la pile de protocole. Le paquet déchiffré peut alors être transmis aux couches services. Sur la figure 2 est illustré le fonctionnement du module de traitement cryptographique 320 au sein duquel se trouve le cryptoprocesseur 301. Ce module de traitement cryptographique est représenté et décrit ici tel qu'implémenté dans l'appareil de communication WAP. Dans cette figure il est représenté des flux de contrôle AS CP, NAS CP et des flux utilisateurs AS UP. Plus précisément ces flux de données sont ici dénommés Access Stratum User Plane (AS UP), Access Stratum Control Plane (AS CP) et Non Access Stratum Control Plane (NAS CP) selon des termes anglo-saxons bien connus de l'homme du métier.
Sur la figure 2 sont en fait illustrés deux sens de fonctionnement du crypto-processeur (301) au sein du module de traitement cryptographique (320), à savoir à gauche, le traitement fait avant envoi des données vers le réseau et à droite le traitement fait après réception de données venant du réseau sans fil.
Comme on peut le voir les trois flux (sens remontant 312, 313, 314, sens descendant 315, 316, 317) sont traités par le module (320). Cependant tous les flux n'y subissent pas le même traitement. Par exemple, les flux utilisateur désignés par UP (312, 315) ne sont que encryptés/décryptés alors que les flux de contrôle, représentés par la référence CP (313, 314, 316, 317) sont encryptés/décryptés et leur intégrité est également protégée/vérifiée. Aussi est-il prévu de définir un ordre de priorité pour le traitement des flux de données au sein du module cryptographique 320 et en particulier au sein du crypto-processeur 301. En fait deux hiérarchies de priorité sont présentes en fonction tout d'abord du type de flux contrôle CP ou utilisateur UP, puis en fonction du type de tâche. I1 parait avantageux de traiter en priorité les flux de contrôle car une erreur minime peut se révéler lourde de conséquence (exemple faute dans le maintien du lien radio) alors que ce n'est pas le cas des flux utilisateur (exemple des flux voix) qui sont d'ailleurs plus sensibles à la latence. Plus précisément, et à titre d'exemple non limitatif, les priorités de traitement sont indiqués ci après en ordre décroissant: - Messages de contrôle qui attendent une opération XOR avec une suite chiffrante pré calculée - Messages de contrôle qui attendent un traitement synchrone - Pré-calcul de la suite chiffrante pour les messages de contrôle qui n'ont besoin que d'un traitement asynchrone - Messages utilisateur qui attendent une opération XOR avec une suite chiffrante pré calculée - Messages utilisateur qui attendent un traitement synchrone - Pré-calcul de la suite chiffrante pour les messages utilisateur qui n'ont besoin que d'un traitement asynchrone. Pour gérer ces priorités il est prévu d'adjoindre au module cryptographique des moyens de gestion dont une représentation matérielle peut être effectuée à l'aide des files d'attente 402-404 et d'une logique de commande (figure 3).
Pareillement à la figure 2, sur la figure 3 le schéma de gauche représente le traitement avant envoi des données tandis que celui de droite représente le traitement après réception des données. Les moyens de gestion permettent de faire fonctionner le crypto-processeur en lui envoyant les tâches et les flux à traiter. Lorsqu'une tâche contenue dans une file d'attente est terminée, la nouvelle tache à réaliser est celle de la file d'attente non vide ayant la plus haute priorité. Dans le module de traitement cryptographique sont présents en fait trois types de tâche: - Traitement synchrone nécessaire du message par le cryptoprocesseur dans les cas où soit la suite chiffrante n'est pas mise en mémoire, soit le traitement est de type intégrité/vérification d'intégrité. -Calcul asynchrone de la suite chiffrante; et mise en mémoire dans la file d'attente. - Opération XOR synchrone entre la suite chiffrante et le paquet à chiffrer /déchiffrer. Cette opération peut être effectuée dans un bloc 3100 dédié et externe au crypto-processeur 301. Ceci permet notamment de désengorger le crypto-processeur. Un exemple est décrit en détail ci-après pour bien faire ressortir le fonctionnement global du crypto-processeur avec ses moyens de gestion. Les flux de contrôle AS CP et NAS CP sont traités en priorité.
En outre, on traitera en priorité les paquets de ces flux pour lesquels la suite chiffrante est déjà pré-calculée et stockée. I1 s'agit des taches des files d'attente 403 et 404. Ces taches nécessitent le post-traitement XOR entre les paquets et les suites chiffrantes correspondantes, post-traitement qui peut être effectué dans le module XOR 3100 externe au crypto-processeur. Si plus aucun post-traitement XOR n'est en attente pour un flux de contrôle, on va alors pré-calculer la suite chiffrante des autres paquets à venir du flux de contrôle.
Et lorsque les flux de contrôle auront été traités, on va traiter le flux utilisateur AS UP (file 402), avec en priorité le déchiffrage des paquets pour lesquels la suite chiffrante a été pré-calculée, puis le précalcul des suites chiffrantes associées aux autres paquets.
Les paquets de ces flux pour lesquels la suite chiffrante n'est pas pré-calculée sont déchiffrés par le crypto-processeur en une seule phase (calcul de la suite chiffrante et opération XOR). En cas d'égalité de priorité pour deux taches distinctes, on traitera indifféremment l'une puis l'autre.
L'utilisation du pré-calcul de suite chiffrante permet une réduction significative du temps perçu de l'étape de calcul de la suite chiffrante. Cependant, le pré-calcul systématique de la suite chiffrante peut s'avérer inutile et consommateur de temps CPU dans l'appareil de communication. I1 en est ainsi par exemple si le paquet pour lequel la suite chiffrante était destinée pour le déchiffrement n'est finalement pas reçu ou si la séquence de paquet est reçue de manière désordonnée. L'un de ces cas peut se présenter si le téléphone portable est en mobilité et passe d'une cellule à une autre, en anglais "handover"; ou si le lien radio n'est pas de bonne qualité.
La figure 4 illustre une mise en oeuvre du pré-calcul conditionnel de suite chiffrante selon l'invention. Ce pré-calcul peut être conditionné à la qualité de réception. Et on suppose ici que l'on n'est pas dans le cas d'un changement de cellule.
La qualité de réception peut être déterminée par le taux d'erreur par bit et/ou le taux d'erreur par bloc. Le taux d'erreur par bit "BER" selon une dénomination anglo saxonne bien connue de l'homme du métier) et le taux d'erreur par blocs sont calculés par l'appareil de communication. Ils sont comparés (étape 20) à des seuils prédéfinis TH; tant que ces seuils ne sont pas atteints le pré-calcul de suite chiffrante se poursuit (étape 21). Le calcul du BER et du taux d'erreur par bloc ainsi que la comparaison avec des seuils prédéfinis sont préférentiellement réalisés par des éléments de l'entité fonctionnelle dénommée couche physique. Lorsque la réception, initialement bonne, devient mauvaise, c'est-à-dire par exemple lorsque les calculs du BER et du taux d'erreur par bloc mettent en évidence cette mauvaise réception avec un seuil défini dépassé, il est préférable d'arrêter le pré-calcul (étape 23).
A cet événement détecté par la couche physique est associée une action réalisée par la couche physique indiquant que le lien radio est de mauvaise qualité. En d'autres termes, la couche physique après un test mettant en évidence le dépassement d'un des seuils relaie vers la pile de protocole l'information comme quoi la qualité du lien radio est mauvaise. Les moyens de commande collaborant avec la pile de protocole reçoivent cette information, arrêtent le pré-calcul de la suite chiffrante et ne demandent plus ce pré-calcul à l'unité de déchiffrement. Dans ce cas la suite chiffrante associée à un paquet chiffré sera calculée à la réception effective du paquet chiffré.
Après avoir été dans un mode où le pré-calcul est arrêté, le pré-calcul selon l'invention peut reprendre ce pré-calcul, lorsque les conditions favorables sont de nouveau réunies et que cela est relayé aux moyens de commande. Cela correspond par exemple au signalement par la couche physique à la pile de protocole que le lien physique est à nouveau de bonne qualité. Les moyens de commande interprètent alors cette information et le pré-calcul de la suite chiffrante est remis en place. Un autre facteur que la qualité de réception peut conditionner l'arrêt du pré-calcul de la suite chiffrante.
Cet autre facteur peut être par exemple une demande de changement de cellule (ou "handover" selon une dénomination anglo-saxonne bien connue de l'homme du métier) de la part du réseau vers la pile de protocole. La commande de "handover" est par exemple envoyée par le réseau lorsque l'appareil de communication se déplace d'une cellule vers une autre. Les moyens de commande recevant de la pile de protocole, la commande de handover (étape 24), bien que recevant une information de bonne qualité du lien radio, cessent le pré-calcul de la suite chiffrante (étape 23). Le pré-calcul des suites chiffrantes pourra alors reprendre à la fin du "handover" en présence d'une bonne qualité de réception. Les moyens de commande activant ou désactivant le pré-calcul de la suite chiffrante en interaction avec la pile de protocole, peuvent être réalisés par exemple de façon logicielle ou sous forme de circuits logiques.

Claims (1)

  1. REVENDICATIONS1 Procédé de traitement de flux de données reçus par un appareil de communication sans fil (WAP) comportant un cryptoprocesseur (301), chaque flux de données (312, 313, 314, 315, 316, 317) nécessitant au moins en partie un traitement cryptographique, caractérisé en ce qu'on traite certains au moins des flux de données au sein du crypto-processeur (301) en fonction d'un ordre de priorité défini à partir des types de données (AS CP, NAS CP, AS UP) et des types de traitement cryptographique affectés à chaque flux de données. 2 Procédé selon la revendication 1 dans lequel les flux de données (312, 313, 314, 315, 316, 317) traités au sein du cryptoprocesseur (301) comportent des flux de contrôle (AS CP, NAS CP) et des flux utilisateur (AS UP) et on traite en priorité les flux de contrôle (AS CP, NAS CP). 3 Procédé selon la revendication 2 dans lequel certains au moins des flux de contrôle (AS CP, NAS CP) ou utilisateur (AS UP) nécessitent un pré-traitement suivi d'un post-traitement, et parmi ces flux de contrôle (AS CP, NAS CP) ou d'utilisateur (AS UP) on traite en priorité ceux pour lesquels le pré-traitement a déjà été effectué. 4 Procédé selon la revendication 3 dans lequel on effectue le pré-traitement dans le crypto-processeur (301) et le post-traitement à l'extérieur du crypto-processeur (301). 5 Procédé selon la revendication 3 ou 4 dans lequel le flux de contrôle (AS CP, NAS CP) ou le flux utilisateur (AS UP) comporte une séquence de paquets chiffrés, le pré-traitement comporte pour chaque paquet un pré-calcul d'une suite chiffrante (21) et le post-traitement comporte un déchiffrement du paquet (22) avec la suite chiffrante correspondante, et dans lequel on effectue le pré-calcul (21) des suites chiffrantes tant que la qualité de réception est supérieure à un seuil (20) et qu'une indication de changement de cellule n'est pas reçue (24). 6 Procédé selon l'une des revendications 3 à 5 dans lequel après avoir traité en priorité les flux de contrôle ou utilisateur pour lesquelsun pré-traitement a déjà été effectué, on traite en priorité les flux de contrôle (AS CP, NAS CP) ou utilisateur (AS UP) nécessitant un traitement synchrone. 7 Appareil de communication sans fil (WAP), caractérisé en ce qu'il comprend des moyens de réception de flux de données (312, 313, 314, 315, 316, 317) nécessitant chacun au moins en partie un traitement cryptographique, un module cryptographique (320) comportant un crypto-processeur (301), et des moyens de gestion configurés pour délivrer certains au moins des flux de données au crypto-processeur (301) en fonction d'un ordre de priorité défini à partir des types de données et des types de traitement cryptographique affectés à chaque flux de données. 8 Appareil selon la revendication 7, dans lequel les flux de données (312, 313, 314, 315, 316, 317) destinés à être traités au sein du crypto-processeur (301) comportent des flux de contrôle (AS CP, NAS CP) et des flux utilisateur (AS UP) et les moyens de gestion sont configurés pour délivrer au crypto-processeur en priorité les flux de contrôle (AS CP, NAS CP). 9 Appareil selon la revendication 8, dans lequel certains au moins des flux de contrôle (AS CP, NAS CP) ou utilisateur (AS UP) nécessitent un pré-traitement suivi d'un post-traitement et les moyens de gestion sont configurés pour délivrer au module cryptographique (320) parmi ces flux de contrôle (AS CP, NAS CP) ou d'utilisateur (AS UP), les flux pour lesquels le pré-traitement a déjà été effectué. 10 Appareil selon la revendication 9, dans lequel le module cryptographique (320) comporte un bloc externe (3100) au cryptoprocesseur (301), et le crypto-processeur est apte à effectuer le pré-traitement tandis que le bloc externe (3100) est apte à effectuer le post-traitement à l'extérieur du crypto-processeur (301). 11 Appareil selon l'une des revendications 9 ou 10, dans lequel les moyens de gestion sont configurés pour, après avoir délivré les flux de contrôle (AS CP, NAS CP) ou utilisateur (AS UP) pour lesquels un pré-traitement a déjà été effectué, délivrer en priorité lesflux de contrôle (AS CP, NAS CP) ou utilisateur (AS UP) nécessitant un traitement synchrone. 12 Appareil selon l'une des revendications 7 à 11, dans lequel les moyens de réception sont aptes à recevoir une séquence de paquets chiffrés ainsi qu'une indication de changement de cellule, le module cryptographique (320) est apte à effectuer pour chaque paquet un pré-calcul d'une suite chiffrante (21) et à effectuer pour chaque paquet un déchiffrement (22) avec la suite chiffrante correspondante pré-calculée, ledit appareil comportant en outre des moyens de détermination aptes à déterminer une information relative à la qualité de réception des paquets et des moyens de commande aptes pour chaque paquet à activer le module cryptographique (320) pour effectuer le pré-calcul (21) préalablement à la réception du paquet tant que la qualité de réception est supérieure à un seuil (20) et qu'une indication de changement de cellule n'est pas reçue (24).
FR0950479A 2009-01-27 2009-01-27 Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant Expired - Fee Related FR2941584B1 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
FR0950479A FR2941584B1 (fr) 2009-01-27 2009-01-27 Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant
EP10701499.5A EP2392163B1 (fr) 2009-01-27 2010-01-19 Procédé de traitement de flux de données reçus par un appareil de communication sans fil et nécessitant au moins en partie des opérations de traitement cryptographique, et appareil correspondant
JP2011546777A JP5450655B2 (ja) 2009-01-27 2010-01-19 無線通信装置により受信され、暗号処理動作を少なくとも部分的に必要とする、データストリームを処理する方法および対応する装置
PCT/EP2010/050580 WO2010086256A1 (fr) 2009-01-27 2010-01-19 Procédé de traitement de flux de données reçus par un appareil de communication sans fil et nécessitant au moins en partie des opérations de traitement cryptographique, et appareil correspondant
US13/145,489 US9166956B2 (en) 2009-01-27 2010-01-19 Priority-based ordering of cryptographic processing in wireless communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0950479A FR2941584B1 (fr) 2009-01-27 2009-01-27 Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant

Publications (2)

Publication Number Publication Date
FR2941584A1 true FR2941584A1 (fr) 2010-07-30
FR2941584B1 FR2941584B1 (fr) 2011-04-01

Family

ID=41343164

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0950479A Expired - Fee Related FR2941584B1 (fr) 2009-01-27 2009-01-27 Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant

Country Status (5)

Country Link
US (1) US9166956B2 (fr)
EP (1) EP2392163B1 (fr)
JP (1) JP5450655B2 (fr)
FR (1) FR2941584B1 (fr)
WO (1) WO2010086256A1 (fr)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2941583A1 (fr) * 2009-01-27 2010-07-30 St Nxp Wireless France Procede de dechiffrage d'un paquet chiffre au sein d'un appareil de communication sans fil, et appareil correspondant
JP5736980B2 (ja) * 2011-06-08 2015-06-17 住友電気工業株式会社 路側通信機、無線通信システム、無線信号の受信方法及びコンピュータプログラム
US8494585B2 (en) 2011-10-13 2013-07-23 The Boeing Company Portable communication devices with accessory functions and related methods
CN103096302B (zh) 2011-10-27 2016-03-02 华为技术有限公司 一种加密方法、解密方法和相关装置
US9819661B2 (en) 2013-09-12 2017-11-14 The Boeing Company Method of authorizing an operation to be performed on a targeted computing device
US10064240B2 (en) 2013-09-12 2018-08-28 The Boeing Company Mobile communication device and method of operating thereof
US9497221B2 (en) 2013-09-12 2016-11-15 The Boeing Company Mobile communication device and method of operating thereof
US9652294B2 (en) * 2013-11-25 2017-05-16 International Business Machines Corporation Cross-platform workload processing
US20170192688A1 (en) 2015-12-30 2017-07-06 International Business Machines Corporation Lazy deletion of vaults in packed slice storage (pss) and zone slice storage (zss)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999018703A1 (fr) * 1997-10-02 1999-04-15 Thomson Licensing S.A. Decodeur multimedia de communication bidirectionnelle classee par ordre de priorite, dans un systeme de radiodiffusion
US20030003896A1 (en) * 2000-12-19 2003-01-02 At&T Wireless Services, Inc. Synchronization of encryption in a wireless communication system
WO2003053080A1 (fr) * 2001-12-19 2003-06-26 Qualcomm Incorporated Procede de transport de messages dans un environnement de communications mobiles et appareil associe
US20030156599A1 (en) * 2002-02-21 2003-08-21 Lorenzo Casaccia Method and apparatus for radio link control of signaling messages and short message data services in a communication system
US20060177050A1 (en) * 2005-02-08 2006-08-10 Srinivasan Surendran Method and system for hardware accelerator for implementing f8 confidentiality algorithm in WCDMA compliant handsets

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5553061A (en) * 1994-06-27 1996-09-03 Loral Fairchild Corporation Packet processor having service priority and loss priority features
US6188698B1 (en) * 1997-12-31 2001-02-13 Cisco Technology, Inc. Multiple-criteria queueing and transmission scheduling system for multimedia networks
US6876747B1 (en) * 2000-09-29 2005-04-05 Nokia Networks Oy Method and system for security mobility between different cellular systems
EP1364509B1 (fr) * 2000-12-25 2007-04-18 Matsushita Electric Industrial Co., Ltd. Dispositif de traitement en mode paquets pour communication de securite et procede correspondant
US7627121B1 (en) * 2001-02-15 2009-12-01 At&T Mobility Ii Llc Apparatus, system and method for detecting a loss of key stream synchronization in a communication system
EP1454249A4 (fr) * 2001-12-15 2006-07-19 Thomson Licensing Systeme et procede de distribution de flots de donnees de multiples types de donnees avec differents niveaux de priorite
AU2003219456A1 (en) * 2002-05-21 2003-12-02 Koninklijke Philips Electronics N.V. Conditional access system
FR2843258B1 (fr) * 2002-07-30 2004-10-15 Eads Defence & Security Ntwk Procede de transmission de donnees chiffrees, procede de dechiffrement associe, dispositifs pour leur mise en oeuvre, et terminal mobile les incorporant.
WO2004036840A1 (fr) * 2002-10-17 2004-04-29 Matsushita Electric Industrial Co., Ltd. Dispositif de transmission/reception de paquets
KR100464319B1 (ko) 2002-11-06 2004-12-31 삼성전자주식회사 차세대 이동통신시스템용 네트워크 구조 및 이를 이용한데이타 통신방법
US7774593B2 (en) * 2003-04-24 2010-08-10 Panasonic Corporation Encrypted packet, processing device, method, program, and program recording medium
EP1693999A4 (fr) * 2003-12-11 2011-09-14 Panasonic Corp Appareil transmetteur de paquets
US20060168338A1 (en) * 2004-11-23 2006-07-27 Bruegl Aaron R Methods and systems for providing data across a network
KR101131264B1 (ko) * 2005-03-15 2012-03-30 삼성전자주식회사 레지덴셜 이더넷 시스템에서 서브 프레임을 이용한 수퍼프레임 구성 방법
US20070053290A1 (en) * 2005-09-02 2007-03-08 Broadcom Corporation Packet attribute based prioritization
DE102005051577B4 (de) * 2005-10-21 2008-04-30 Engel Solutions Ag Verfahren zur Verschlüsselung bzw. Entschlüsselung von Datenpaketen eines Datenstroms sowie Signalfolge und Datenverarbeitungssystem zur Ausführung des Verfahrens
DE102006006057B4 (de) * 2006-02-09 2007-12-27 Infineon Technologies Ag Datenverschlüsselungsvorrichtung und Verfahren zum Verschlüsseln von Daten
US8045458B2 (en) * 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8447718B2 (en) * 2007-11-09 2013-05-21 Vantrix Corporation Method and apparatus for filtering streaming data

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999018703A1 (fr) * 1997-10-02 1999-04-15 Thomson Licensing S.A. Decodeur multimedia de communication bidirectionnelle classee par ordre de priorite, dans un systeme de radiodiffusion
US20030003896A1 (en) * 2000-12-19 2003-01-02 At&T Wireless Services, Inc. Synchronization of encryption in a wireless communication system
WO2003053080A1 (fr) * 2001-12-19 2003-06-26 Qualcomm Incorporated Procede de transport de messages dans un environnement de communications mobiles et appareil associe
US20030156599A1 (en) * 2002-02-21 2003-08-21 Lorenzo Casaccia Method and apparatus for radio link control of signaling messages and short message data services in a communication system
US20060177050A1 (en) * 2005-02-08 2006-08-10 Srinivasan Surendran Method and system for hardware accelerator for implementing f8 confidentiality algorithm in WCDMA compliant handsets

Also Published As

Publication number Publication date
WO2010086256A1 (fr) 2010-08-05
EP2392163A1 (fr) 2011-12-07
US20110311043A1 (en) 2011-12-22
US9166956B2 (en) 2015-10-20
EP2392163B1 (fr) 2017-10-25
FR2941584B1 (fr) 2011-04-01
JP2012516095A (ja) 2012-07-12
JP5450655B2 (ja) 2014-03-26

Similar Documents

Publication Publication Date Title
FR2941584A1 (fr) Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant
EP1961223B1 (fr) Procede de controle d'acces a un contenu embrouille
FR2874143A1 (fr) Procede de securisation du transfert d'un flux de donnees, produit programme d'ordinateur, moyen de stockage et noeuds correspondants
EP1749401A1 (fr) Procede de diffusion de donnees numeriques a un parc de terminaux recepteurs cible
WO2020169542A1 (fr) Méthode cryptographique de vérification des données
EP1792484B1 (fr) Procédé de gestion de moyens d'accès à des données à accès conditionnel
US20170064025A1 (en) Push notification aggregation
CN114466015B (zh) 一种基于多云架构的数据存储系统及方法
WO2017081208A1 (fr) Procede de securisation et d'authentification d'une telecommunication
CA2900735C (fr) Transmission d'un message multimedia doublee par emission d'un message textuel
US7966662B2 (en) Method and system for managing authentication and payment for use of broadcast material
EP3568964B1 (fr) Procédé de transmission d'une information numérique chiffrée de bout en bout et système mettant en oeuvre ce procédé
EP2266263A1 (fr) Procede de gestion de flux de donnees sur un reseau de communications et dispositif mettant en oeuvre un tel procede
CN111327634B (zh) 网站访问监管方法、安全套接层代理装置、终端及系统
FR3037754A1 (fr) Gestion securisee de jetons electroniques dans un telephone mobile
CN110233793A (zh) 一种基于对象存储的安全存储网关及对象存储方法
EP3667530B1 (fr) Accès sécurise à des données chiffrées d'un terminal utilisateur
FR2941583A1 (fr) Procede de dechiffrage d'un paquet chiffre au sein d'un appareil de communication sans fil, et appareil correspondant
EP1723791A1 (fr) Methode de securisation d'un evenement telediffuse
WO2012052434A1 (fr) Procede d'optimisation du transfert de flux de donnees securises via un reseau autonomique
WO2024175864A1 (fr) Procede et dispositif de stockage en ligne reparti de fichiers dans un contexte zero confiance
EP1633144A1 (fr) Procédé de gestion des conditions d accès à un flux vidéo par un routeur / DSLAM
WO2023281223A1 (fr) Passerelle de transfert sécurisé
FR3131497A1 (fr) Dispositif de gestion d’une requête de transfert de données
EP1884099B1 (fr) Procede et dispositif de controle d'acces

Legal Events

Date Code Title Description
CD Change of name or company name
PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

ST Notification of lapse

Effective date: 20180928