FR2941584A1 - Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant - Google Patents
Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant Download PDFInfo
- Publication number
- FR2941584A1 FR2941584A1 FR0950479A FR0950479A FR2941584A1 FR 2941584 A1 FR2941584 A1 FR 2941584A1 FR 0950479 A FR0950479 A FR 0950479A FR 0950479 A FR0950479 A FR 0950479A FR 2941584 A1 FR2941584 A1 FR 2941584A1
- Authority
- FR
- France
- Prior art keywords
- processing
- nas
- crypto
- user
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/70—Media network packetisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/80—Responding to QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Appareil de communication sans fil (WAP) qui comprend des moyens de réception de flux de données (312, 313, 314, 315, 316, 317) nécessitant chacun au moins en partie un traitement cryptographique, un module cryptographique (320) comportant un crypto-processeur (301), et des moyens de gestion configurés pour délivrer certains au moins des flux de données au crypto-processeur (301) en fonction d'un ordre de priorité défini à partir des types de données et des types de traitement cryptographique affectés à chaque flux de données.
Description
DEMANDE DE BREVET B08-5133FR/FZ/AR 08-LMS-240
Société par Actions Simplifiée dite : ST-NXP WIRELESS FRANCE Procédé de traitement de flux de données reçues par un appareil de communication sans fil et nécessitant au moins en partie des traitements cryptographiques et appareil correspondant Invention de : Hervé SIBERT Sylviane ROULLIER Procédé de traitement de flux de données reçues par un appareil de communication sans fil et nécessitant au moins en partie des traitements cryptographiques et appareil correspondant L'invention concerne les traitements cryptographiques, par exemple le chiffrement de flux de données émanant d'un terminal vers un réseau et/ou le déchiffrement de flux de données émanant du réseau vers le terminal, et notamment leur gestion au sein d'un crypto- processeur d'un appareil de communication sans fil. L'invention s'applique avantageusement mais non limitativement aux systèmes de communication régis par les normes UMTS, 3G ou LTE, en particulier ceux utilisant des déchiffrements de séquences de paquets chiffrés en provenance du réseau et nécessitant le calcul d'une suite chiffrante pour chaque paquet pour le déchiffrement dudit paquet. Dans les réseaux des fonctions de cryptage sont utilisées. Elles permettent d'assurer la confidentialité de la communication et l'intégrité des messages. Elles demandent en réception et en émission un traitement. Ce traitement induit un temps pendant lequel l'application ou la couche physique attend notamment après réception du paquet pour disposer des données contenues dans le paquet. Il est aujourd'hui proposé de plus en plus de services interactifs et ce temps peut s'avérer un handicap pour proposer certains de ces services.
D'autant plus qu'avec l'augmentation du débit des réseaux le temps de traitement cryptographique est de plus en plus conséquent en regard d'une transmission dans son ensemble. Par ailleurs, généralement tous les messages dans les différents flux de télécommunication sont traités par la couche de sécurité dans l'ordre d'arrivée. Or dans les technologies à très haute bande passante, comme les technologies HSPDA et LTE, des longs messages d'utilisateur peuvent induire une latence incompatible avec les contraintes de réactivité temporelle relatives aux messages de contrôle. I1 peut alors en résulter une baisse de la qualité de service et par conséquent une baisse d'efficacité du canal de communication. Selon un mode de mise en oeuvre et de réalisation il est proposé un procédé de traitement de flux de données au sein d'un appareil de communication sans fil permettant une amélioration de la qualité de service et de l'efficacité du canal de communication, en particulier dans les technologies à très haute bande passante. I1 est également notamment proposé une amélioration dans le traitement des flux de contrôle conduisant à une amélioration dans le traitement des flux d'utilisateur. Selon un autre mode de mise en oeuvre et de réalisation, il est proposé un procédé et un appareil de communication sans fil, par exemple un téléphone mobile cellulaire permettant d'éviter des traitements inutiles tout en réduisant la consommation de puissance, et en particulier lors du déchiffrement de séquences de paquets chiffrés. I1 est également proposé en particulier de tenir compte des spécificités des communications sans fil pour lesquelles le temps CPU du terminal est une ressource rare et la réception du paquet n'est pas certaine.
Selon un aspect il est proposé un procédé de traitement de flux de données reçus par un appareil de communication sans fil comportant un crypto-processeur, chaque flux de données nécessitant au moins en partie un traitement cryptographique. Selon une caractéristique générale de cet aspect on traite certains au moins des flux de données au sein du crypto-processeur en fonction d'un ordre de priorité défini à partir des types de données et des types de traitement cryptographique affectés à chaque flux de données. Ainsi, par exemple il est proposé de définir des critères de priorité permettant de traiter les flux de télécommunication au niveau de la couche de sécurité d'une façon plus efficace. Plus précisément on peut traiter en priorité les messages issus des flux de contrôle, voire même effectuer un pré-traitement de sécurité (si possible) de ces flux, tout en retardant les messages utilisateur.
En cas de rafales comprenant de nombreuses données ou si le traitement du crypto processeur est ralenti, le procédé de traitement de flux permet ainsi de traiter toutes les données. Pour un crypto-processeur donné, le traitement cryptographique en est ainsi accéléré. Ce qui permet aussi une baisse des contraintes de température, de consommation et de coût inhérente pour la même vitesse de traitement. Selon un mode de mise en oeuvre dans lequel les flux de données traités au sein du crypto-processeur comportent des flux de contrôle et des flux utilisateur, on traite en priorité les flux de contrôle. Cela permet ainsi de prioriser les flux de contrôle par rapport aux flux utilisateur, sachant que sans les flux de contrôle les flux utilisateur sont souvent impossibles à traiter.
Selon un autre mode de mise en oeuvre dans lequel certains au moins des flux de contrôle ou utilisateur nécessitent un pré-traitement suivi d'un post-traitement et parmi ces flux de contrôle ou d'utilisateur on traite en priorité ceux pour lesquels le pré-traitement a déjà été effectué.
Ainsi, les flux pour lesquels une partie du traitement a déjà été fait sont de préférence toujours prioritaires. Selon un mode de mise en oeuvre, après avoir traité en priorité les flux de contrôle ou utilisateur pour lesquels un pré-traitement a déjà été effectué, on traite en priorité les flux de contrôle ou utilisateur nécessitant un traitement synchrone. Selon un mode de mise en oeuvre on effectue le pré-traitement dans le crypto-processeur et le post-traitement à l'extérieur du cryptoprocesseur. Cela permet de ne pas surcharger le crypto-processeur.
Selon un mode de mise en oeuvre dans lequel le flux de contrôle ou le flux utilisateur comporte une séquence de paquets chiffrés, le pré-traitement comporte pour chaque paquet un pré-calcul d'une suite chiffrante et le post-traitement comporte un déchiffrement du paquet avec la suite chiffrante correspondante, et on effectue le pré-calcul des suites chiffrantes tant que la qualité de réception est supérieure à un seuil et qu'une indication de changement de cellule n'est pas reçue. En d'autres termes, on utilise ici la mesure de la qualité du lien radio qui est effectuée au niveau de la couche physique pour activer le pré-calcul d'une suite chiffrante uniquement lorsque c'est réellement efficace. En effet, lorsque des paquets sont perdus, l'efficacité du pré-calcul des suites chiffrantes décroît. En mode de fonctionnement normal, la couche physique évalue la qualité de réception, par exemple par une détermination du taux d'erreur par bit ou du taux d'erreur par bloc. La couche physique peut alors informer la pile de protocole d'une diminution de la qualité du lien radio conduisant alors à une désactivation du pré-calcul de suite chiffrante, ou bien d'un retour à une qualité de réception acceptable conduisant à une réactivation du pré-calcul de suite chiffrante. Ainsi on évite de pré-calculer une ou des suites chiffrantes pour rien (économisant ainsi de la consommation) lorsqu'il y a un risque de non réception de certains paquets ou de réception des paquets dans le désordre.
De même lors d'un changement de cellule, pouvant conduire à une réception désordonnée des paquets, on désactivera de préférence le pré-calcul des suites chiffrantes. Le calcul de la suite chiffrante avant réception du paquet correspondant tel que mentionné ci avant permet une économie du temps CPU du terminal mobile. Le pré-calcul de suite chiffrante étant inutile lorsque il est peu vraisemblable de recevoir le paquet correspondant. Selon un autre aspect de l'invention il est proposé un appareil de communication sans fil, comprenant des moyens de réception de flux de donnée nécessitant chacun au moins en partie un traitement cryptographique, un module cryptographique comportant un cryptoprocesseur, et des moyens de gestion configurés pour délivrer certains au moins des flux de données au crypto-processeur en fonction d'un ordre de priorité défini à partir des types de données et des types de traitement cryptographique affectés à chaque flux de données. Selon un mode de réalisation il est proposé un appareil de communication dans lequel les flux de données qui sont destinés à être traités au sein du crypto-processeur comportent des flux de contrôle et des flux utilisateur. Les moyens de gestion sont configurés pour délivrer au crypto-processeur en priorité les flux de contrôle. Selon un autre de mode de réalisation il est proposé un appareil dans lequel certains au moins des flux de contrôle ou utilisateur nécessitent un pré-traitement suivi d'un post-traitement et les moyens de gestion sont configurés pour délivrer au module cryptographique parmi les flux de contrôle ou d'utilisateur les flux pour lesquels le pré-traitement a déjà été effectué. Selon un autre mode de réalisation il est proposé un appareil dans lequel le module cryptographique comporte un bloc externe au crypto-processeur et le crypto-processeur est apte à effecteur le pré-traitement tandis que le bloc externe est apte à effectuer le post-traitement à l'extérieur du crypto-processeur. Selon un autre mode de réalisation il est proposé un appareil de communication dans lequel les moyens de gestion sont configurés pour, après avoir délivré les flux de contrôle ou utilisateur pour lesquels un pré-traitement a déjà été effectué, délivrer en priorité les flux de contrôle ou utilisateur nécessitant un traitement. Selon un autre mode de réalisation il est proposé un appareil de communication sans fil dans lequel les moyens de réception sont aptes à recevoir une séquence de paquets chiffrés ainsi qu'une indication de changement de cellule, le module cryptographique est apte à effectuer pour chaque paquet un pré-calcul d'une suite chiffrante et à effectuer pour chaque paquet un déchiffrement avec la suite chiffrante correspondante pré-calculée, ledit appareil comportant en outre des moyens de détermination aptes à déterminer une information relative à la qualité de réception des paquets et des moyens de commande aptes pour chaque paquet à activer le module cryptographique pour effectuer le pré-calcul préalablement à la réception du paquet tant que la qualité de réception est supérieure à un seuil et qu'une indication de changement de cellule n'est pas reçue.
L'invention sera mieux comprise à l'étude de la description détaillée de modes de mise en oeuvre et de réalisation pris à titre d'exemples non limitatifs et illustrés par les dessins annexés sur lesquels : la figure 1 illustre schématiquement un procédé de pré-calcul d'une suite chiffrante au sein d'un appareil de communication sans fil selon un mode de réalisation de l'invention; et les figure 2 et 3 illustrent schématiquement des exemples de traitements de flux de données par un module cryptographique selon l'invention, et, la figure 4 illustre un autre mode de mise en oeuvre du procédé selon l'invention. Dans les réseaux mobiles, pour réaliser les fonctions de confidentialité et/ou d'intégrité les terminaux sans fil utilisent généralement un composant appelé crypto-processeur. La confidentialité est réalisée en chiffrant (sens terminal vers réseau) /déchiffrant (sens réseau vers terminal) la communication; l'intégrité en ajoutant/vérifiant une empreinte ajoutée en plus des données. Cette intégrité permet d'assurer au destinataire que le message n'a pas été corrompu au cours de la transmission. La fonction d'intégrité/de vérification d'intégrité consiste par exemple lors de l'envoi du message à générer une empreinte de taille constante à partir du message et de la clé. Lors de la vérification le destinataire génère de la même façon une empreinte avec le message et avec la clé qu'il partage avec l'expéditeur. S'il obtient la même empreinte alors il en déduit que le message n'a pas été altéré depuis son envoi par l'expéditeur. Pour l'intégrité et la vérification de l'intégrité il est nécessaire d'avoir au même moment la clé et le message pour calculer ou vérifier l'empreinte, il est donc nécessaire pour ce traitement d'avoir un accès synchrone aux données. On parle d'opération synchrone.
Dans le cas du chiffrement ou du déchiffrement la situation n'est pas tout à fait la même: En effet ces traitements peuvent se diviser en deux étapes: la première est le calcul d'une suite chiffrante et la deuxième est une opération XOR entre la suite chiffrante et le paquet chiffré reçu. On rappelle brièvement en se référant à la figure 1 les principales caractéristiques d'un déchiffrement par précalcul d'une suite chiffrante. Sur la figure 1, sont représentés quatre modules Ml-M4 représentant des éléments fonctionnels d'un réseau mobile. Les trois premiers Ml-M3 sont situés dans l'appareil de communication WAP tandis que le dernier M4 représente l'ensemble du réseau qui permet le raccordement de l'appareil de communication. Tous ces modules collaborent et permettent une mise en oeuvre d'un pré-calcul d'une suite chiffrante. I1 est ci-après précisé le fonctionnement du pré-calcul d'une suite chiffrante dans le cas par exemple du déchiffrement (sens terminal vers réseau) par flot, c'est-à-dire le déchiffrement d'une séquence de paquets chiffrés. Dans le cas d'un déchiffrement par flot, la suite chiffrante change pour chaque paquet. Elle peut être pré-calculée avant réception du paquet car elle ne dépend pas des données transportées par le paquet, mais de paramètres connus de l'unité de déchiffrement et/ou de la pile de protocole. En des termes plus précis, le calcul de la suite chiffrante dépend d'une clé et d'un vecteur initialisation comprenant le numéro de séquence du paquet. Ce pré-calcul permet de minimiser le temps de traitement. Ainsi, dans le meilleur des cas, c'est-à-dire si le pré-calcul est terminé avant la réception du paquet, le temps de traitement perçu par l'utilisateur pour cette première étape est nul. I1 ne reste alors que le temps de traitement de la deuxième étape. Celle-ci nécessite la réception du paquet et consiste en son déchiffrement par l'opération XOR (ou exclusif) avec la suite chiffrante. Sur la figure 1, le premier module Ml nommé "pile de protocole" représente les couches normalisées OSI supérieures ou égales à la couche 2; il s'agit des couches liaison de données, réseau, transport, session présentation et application bien connues de l'homme du métier. Le deuxième module M2 nommé unité de déchiffrement ou plus généralement module cryptographique est l'unité qui s'occupe au sein de l'appareil de communication du déchiffrement, cette unité travaille au niveau de la couche 2 dite liaison de donnée. A titre d'exemple non limitatif elle peut comporter un crypto-processeur avec également un bloc externe au crypto-processeur capable d'effectuer l'opération XOR.
Le troisième module M3 nommé couche physique correspond à la façon dont sont envoyés les bits (1 et 0) sur le lien radio. I1 est par exemple constitué de circuits électroniques et/ou logiques assurant le traitement de signal approprié (modulation et étage radio fréquence notamment).
Le quatrième module M4 nommé réseau représente notamment le canal de communication (le lien radio), une cellule à laquelle est affecté l'appareil de communication et d'autres cellules auxquelles l'appareil de communication est susceptible d'être affecté. En dessous de ces quatre modules sont représentés une suite d'événements et d'actions. Les événements sont représentés sous forme de bloc, tandis que les actions ou communications sous forme de texte au dessus d'une flèche. Les événements et les actions sont représentés en fonction de l'entité fonctionnelle qui est concernée ainsi qu'en fonction du temps qui s'écoule du haut vers le bas de la figure.
Le premier bloc B1 illustre le fait qu'il n'y pas encore d'activité puis qu'un pré-calcul d'une suite chiffrante est demandé; ce cas peut correspondre à la mise en service de l'appareil de communication après un arrêt ou un mode de veille. En dessous de ce premier bloc B1, est représentée une action (Al) correspondant à une demande de pré-calcul de la suite chiffrante; la demande de pré-calcul venant par exemple des couches services est relayée vers l'unité de déchiffrement. Cette demande Al contient le numéro de séquence du paquet pour lequel la suite chiffrante est pré-calculée.
Puis, l'unité de déchiffrement ayant à sa disposition la clé et le vecteur d'initialisation, calcule avec le numéro de séquence, la suite chiffrante. L'unité de déchiffrement transmet alors (A2) le résultat de ce calcul à la pile de protocole. Cette transmission est la confirmation du calcul de la suite chiffrante et comprend la suite chiffrante. La pile de protocole stocke alors cette suite chiffrante en prévision de la réception du paquet correspondant. Lors de la réception (A3) de données par la couche physique, celle-ci informe (A4) la pile de protocole de la réception de données en provenance du réseau; ces données sont aussi transmises à la pile de protocole au cours de cette communication. La pile de protocole demande (A5) le déchiffrement du paquet qu'elle vient de recevoir parmi les données transmises par la couche physique. Dans ce paquet de demande sont envoyés la suite chiffrante, préalablement stockée ainsi que le paquet chiffré à déchiffrer. L'unité de déchiffrement renvoie (A6) le paquet déchiffré à la pile de protocole. Le paquet déchiffré peut alors être transmis aux couches services. Sur la figure 2 est illustré le fonctionnement du module de traitement cryptographique 320 au sein duquel se trouve le cryptoprocesseur 301. Ce module de traitement cryptographique est représenté et décrit ici tel qu'implémenté dans l'appareil de communication WAP. Dans cette figure il est représenté des flux de contrôle AS CP, NAS CP et des flux utilisateurs AS UP. Plus précisément ces flux de données sont ici dénommés Access Stratum User Plane (AS UP), Access Stratum Control Plane (AS CP) et Non Access Stratum Control Plane (NAS CP) selon des termes anglo-saxons bien connus de l'homme du métier.
Sur la figure 2 sont en fait illustrés deux sens de fonctionnement du crypto-processeur (301) au sein du module de traitement cryptographique (320), à savoir à gauche, le traitement fait avant envoi des données vers le réseau et à droite le traitement fait après réception de données venant du réseau sans fil.
Comme on peut le voir les trois flux (sens remontant 312, 313, 314, sens descendant 315, 316, 317) sont traités par le module (320). Cependant tous les flux n'y subissent pas le même traitement. Par exemple, les flux utilisateur désignés par UP (312, 315) ne sont que encryptés/décryptés alors que les flux de contrôle, représentés par la référence CP (313, 314, 316, 317) sont encryptés/décryptés et leur intégrité est également protégée/vérifiée. Aussi est-il prévu de définir un ordre de priorité pour le traitement des flux de données au sein du module cryptographique 320 et en particulier au sein du crypto-processeur 301. En fait deux hiérarchies de priorité sont présentes en fonction tout d'abord du type de flux contrôle CP ou utilisateur UP, puis en fonction du type de tâche. I1 parait avantageux de traiter en priorité les flux de contrôle car une erreur minime peut se révéler lourde de conséquence (exemple faute dans le maintien du lien radio) alors que ce n'est pas le cas des flux utilisateur (exemple des flux voix) qui sont d'ailleurs plus sensibles à la latence. Plus précisément, et à titre d'exemple non limitatif, les priorités de traitement sont indiqués ci après en ordre décroissant: - Messages de contrôle qui attendent une opération XOR avec une suite chiffrante pré calculée - Messages de contrôle qui attendent un traitement synchrone - Pré-calcul de la suite chiffrante pour les messages de contrôle qui n'ont besoin que d'un traitement asynchrone - Messages utilisateur qui attendent une opération XOR avec une suite chiffrante pré calculée - Messages utilisateur qui attendent un traitement synchrone - Pré-calcul de la suite chiffrante pour les messages utilisateur qui n'ont besoin que d'un traitement asynchrone. Pour gérer ces priorités il est prévu d'adjoindre au module cryptographique des moyens de gestion dont une représentation matérielle peut être effectuée à l'aide des files d'attente 402-404 et d'une logique de commande (figure 3).
Pareillement à la figure 2, sur la figure 3 le schéma de gauche représente le traitement avant envoi des données tandis que celui de droite représente le traitement après réception des données. Les moyens de gestion permettent de faire fonctionner le crypto-processeur en lui envoyant les tâches et les flux à traiter. Lorsqu'une tâche contenue dans une file d'attente est terminée, la nouvelle tache à réaliser est celle de la file d'attente non vide ayant la plus haute priorité. Dans le module de traitement cryptographique sont présents en fait trois types de tâche: - Traitement synchrone nécessaire du message par le cryptoprocesseur dans les cas où soit la suite chiffrante n'est pas mise en mémoire, soit le traitement est de type intégrité/vérification d'intégrité. -Calcul asynchrone de la suite chiffrante; et mise en mémoire dans la file d'attente. - Opération XOR synchrone entre la suite chiffrante et le paquet à chiffrer /déchiffrer. Cette opération peut être effectuée dans un bloc 3100 dédié et externe au crypto-processeur 301. Ceci permet notamment de désengorger le crypto-processeur. Un exemple est décrit en détail ci-après pour bien faire ressortir le fonctionnement global du crypto-processeur avec ses moyens de gestion. Les flux de contrôle AS CP et NAS CP sont traités en priorité.
En outre, on traitera en priorité les paquets de ces flux pour lesquels la suite chiffrante est déjà pré-calculée et stockée. I1 s'agit des taches des files d'attente 403 et 404. Ces taches nécessitent le post-traitement XOR entre les paquets et les suites chiffrantes correspondantes, post-traitement qui peut être effectué dans le module XOR 3100 externe au crypto-processeur. Si plus aucun post-traitement XOR n'est en attente pour un flux de contrôle, on va alors pré-calculer la suite chiffrante des autres paquets à venir du flux de contrôle.
Et lorsque les flux de contrôle auront été traités, on va traiter le flux utilisateur AS UP (file 402), avec en priorité le déchiffrage des paquets pour lesquels la suite chiffrante a été pré-calculée, puis le précalcul des suites chiffrantes associées aux autres paquets.
Les paquets de ces flux pour lesquels la suite chiffrante n'est pas pré-calculée sont déchiffrés par le crypto-processeur en une seule phase (calcul de la suite chiffrante et opération XOR). En cas d'égalité de priorité pour deux taches distinctes, on traitera indifféremment l'une puis l'autre.
L'utilisation du pré-calcul de suite chiffrante permet une réduction significative du temps perçu de l'étape de calcul de la suite chiffrante. Cependant, le pré-calcul systématique de la suite chiffrante peut s'avérer inutile et consommateur de temps CPU dans l'appareil de communication. I1 en est ainsi par exemple si le paquet pour lequel la suite chiffrante était destinée pour le déchiffrement n'est finalement pas reçu ou si la séquence de paquet est reçue de manière désordonnée. L'un de ces cas peut se présenter si le téléphone portable est en mobilité et passe d'une cellule à une autre, en anglais "handover"; ou si le lien radio n'est pas de bonne qualité.
La figure 4 illustre une mise en oeuvre du pré-calcul conditionnel de suite chiffrante selon l'invention. Ce pré-calcul peut être conditionné à la qualité de réception. Et on suppose ici que l'on n'est pas dans le cas d'un changement de cellule.
La qualité de réception peut être déterminée par le taux d'erreur par bit et/ou le taux d'erreur par bloc. Le taux d'erreur par bit "BER" selon une dénomination anglo saxonne bien connue de l'homme du métier) et le taux d'erreur par blocs sont calculés par l'appareil de communication. Ils sont comparés (étape 20) à des seuils prédéfinis TH; tant que ces seuils ne sont pas atteints le pré-calcul de suite chiffrante se poursuit (étape 21). Le calcul du BER et du taux d'erreur par bloc ainsi que la comparaison avec des seuils prédéfinis sont préférentiellement réalisés par des éléments de l'entité fonctionnelle dénommée couche physique. Lorsque la réception, initialement bonne, devient mauvaise, c'est-à-dire par exemple lorsque les calculs du BER et du taux d'erreur par bloc mettent en évidence cette mauvaise réception avec un seuil défini dépassé, il est préférable d'arrêter le pré-calcul (étape 23).
A cet événement détecté par la couche physique est associée une action réalisée par la couche physique indiquant que le lien radio est de mauvaise qualité. En d'autres termes, la couche physique après un test mettant en évidence le dépassement d'un des seuils relaie vers la pile de protocole l'information comme quoi la qualité du lien radio est mauvaise. Les moyens de commande collaborant avec la pile de protocole reçoivent cette information, arrêtent le pré-calcul de la suite chiffrante et ne demandent plus ce pré-calcul à l'unité de déchiffrement. Dans ce cas la suite chiffrante associée à un paquet chiffré sera calculée à la réception effective du paquet chiffré.
Après avoir été dans un mode où le pré-calcul est arrêté, le pré-calcul selon l'invention peut reprendre ce pré-calcul, lorsque les conditions favorables sont de nouveau réunies et que cela est relayé aux moyens de commande. Cela correspond par exemple au signalement par la couche physique à la pile de protocole que le lien physique est à nouveau de bonne qualité. Les moyens de commande interprètent alors cette information et le pré-calcul de la suite chiffrante est remis en place. Un autre facteur que la qualité de réception peut conditionner l'arrêt du pré-calcul de la suite chiffrante.
Cet autre facteur peut être par exemple une demande de changement de cellule (ou "handover" selon une dénomination anglo-saxonne bien connue de l'homme du métier) de la part du réseau vers la pile de protocole. La commande de "handover" est par exemple envoyée par le réseau lorsque l'appareil de communication se déplace d'une cellule vers une autre. Les moyens de commande recevant de la pile de protocole, la commande de handover (étape 24), bien que recevant une information de bonne qualité du lien radio, cessent le pré-calcul de la suite chiffrante (étape 23). Le pré-calcul des suites chiffrantes pourra alors reprendre à la fin du "handover" en présence d'une bonne qualité de réception. Les moyens de commande activant ou désactivant le pré-calcul de la suite chiffrante en interaction avec la pile de protocole, peuvent être réalisés par exemple de façon logicielle ou sous forme de circuits logiques.
Claims (1)
- REVENDICATIONS1 Procédé de traitement de flux de données reçus par un appareil de communication sans fil (WAP) comportant un cryptoprocesseur (301), chaque flux de données (312, 313, 314, 315, 316, 317) nécessitant au moins en partie un traitement cryptographique, caractérisé en ce qu'on traite certains au moins des flux de données au sein du crypto-processeur (301) en fonction d'un ordre de priorité défini à partir des types de données (AS CP, NAS CP, AS UP) et des types de traitement cryptographique affectés à chaque flux de données. 2 Procédé selon la revendication 1 dans lequel les flux de données (312, 313, 314, 315, 316, 317) traités au sein du cryptoprocesseur (301) comportent des flux de contrôle (AS CP, NAS CP) et des flux utilisateur (AS UP) et on traite en priorité les flux de contrôle (AS CP, NAS CP). 3 Procédé selon la revendication 2 dans lequel certains au moins des flux de contrôle (AS CP, NAS CP) ou utilisateur (AS UP) nécessitent un pré-traitement suivi d'un post-traitement, et parmi ces flux de contrôle (AS CP, NAS CP) ou d'utilisateur (AS UP) on traite en priorité ceux pour lesquels le pré-traitement a déjà été effectué. 4 Procédé selon la revendication 3 dans lequel on effectue le pré-traitement dans le crypto-processeur (301) et le post-traitement à l'extérieur du crypto-processeur (301). 5 Procédé selon la revendication 3 ou 4 dans lequel le flux de contrôle (AS CP, NAS CP) ou le flux utilisateur (AS UP) comporte une séquence de paquets chiffrés, le pré-traitement comporte pour chaque paquet un pré-calcul d'une suite chiffrante (21) et le post-traitement comporte un déchiffrement du paquet (22) avec la suite chiffrante correspondante, et dans lequel on effectue le pré-calcul (21) des suites chiffrantes tant que la qualité de réception est supérieure à un seuil (20) et qu'une indication de changement de cellule n'est pas reçue (24). 6 Procédé selon l'une des revendications 3 à 5 dans lequel après avoir traité en priorité les flux de contrôle ou utilisateur pour lesquelsun pré-traitement a déjà été effectué, on traite en priorité les flux de contrôle (AS CP, NAS CP) ou utilisateur (AS UP) nécessitant un traitement synchrone. 7 Appareil de communication sans fil (WAP), caractérisé en ce qu'il comprend des moyens de réception de flux de données (312, 313, 314, 315, 316, 317) nécessitant chacun au moins en partie un traitement cryptographique, un module cryptographique (320) comportant un crypto-processeur (301), et des moyens de gestion configurés pour délivrer certains au moins des flux de données au crypto-processeur (301) en fonction d'un ordre de priorité défini à partir des types de données et des types de traitement cryptographique affectés à chaque flux de données. 8 Appareil selon la revendication 7, dans lequel les flux de données (312, 313, 314, 315, 316, 317) destinés à être traités au sein du crypto-processeur (301) comportent des flux de contrôle (AS CP, NAS CP) et des flux utilisateur (AS UP) et les moyens de gestion sont configurés pour délivrer au crypto-processeur en priorité les flux de contrôle (AS CP, NAS CP). 9 Appareil selon la revendication 8, dans lequel certains au moins des flux de contrôle (AS CP, NAS CP) ou utilisateur (AS UP) nécessitent un pré-traitement suivi d'un post-traitement et les moyens de gestion sont configurés pour délivrer au module cryptographique (320) parmi ces flux de contrôle (AS CP, NAS CP) ou d'utilisateur (AS UP), les flux pour lesquels le pré-traitement a déjà été effectué. 10 Appareil selon la revendication 9, dans lequel le module cryptographique (320) comporte un bloc externe (3100) au cryptoprocesseur (301), et le crypto-processeur est apte à effectuer le pré-traitement tandis que le bloc externe (3100) est apte à effectuer le post-traitement à l'extérieur du crypto-processeur (301). 11 Appareil selon l'une des revendications 9 ou 10, dans lequel les moyens de gestion sont configurés pour, après avoir délivré les flux de contrôle (AS CP, NAS CP) ou utilisateur (AS UP) pour lesquels un pré-traitement a déjà été effectué, délivrer en priorité lesflux de contrôle (AS CP, NAS CP) ou utilisateur (AS UP) nécessitant un traitement synchrone. 12 Appareil selon l'une des revendications 7 à 11, dans lequel les moyens de réception sont aptes à recevoir une séquence de paquets chiffrés ainsi qu'une indication de changement de cellule, le module cryptographique (320) est apte à effectuer pour chaque paquet un pré-calcul d'une suite chiffrante (21) et à effectuer pour chaque paquet un déchiffrement (22) avec la suite chiffrante correspondante pré-calculée, ledit appareil comportant en outre des moyens de détermination aptes à déterminer une information relative à la qualité de réception des paquets et des moyens de commande aptes pour chaque paquet à activer le module cryptographique (320) pour effectuer le pré-calcul (21) préalablement à la réception du paquet tant que la qualité de réception est supérieure à un seuil (20) et qu'une indication de changement de cellule n'est pas reçue (24).
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0950479A FR2941584B1 (fr) | 2009-01-27 | 2009-01-27 | Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant |
EP10701499.5A EP2392163B1 (fr) | 2009-01-27 | 2010-01-19 | Procédé de traitement de flux de données reçus par un appareil de communication sans fil et nécessitant au moins en partie des opérations de traitement cryptographique, et appareil correspondant |
JP2011546777A JP5450655B2 (ja) | 2009-01-27 | 2010-01-19 | 無線通信装置により受信され、暗号処理動作を少なくとも部分的に必要とする、データストリームを処理する方法および対応する装置 |
PCT/EP2010/050580 WO2010086256A1 (fr) | 2009-01-27 | 2010-01-19 | Procédé de traitement de flux de données reçus par un appareil de communication sans fil et nécessitant au moins en partie des opérations de traitement cryptographique, et appareil correspondant |
US13/145,489 US9166956B2 (en) | 2009-01-27 | 2010-01-19 | Priority-based ordering of cryptographic processing in wireless communication apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0950479A FR2941584B1 (fr) | 2009-01-27 | 2009-01-27 | Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant |
Publications (2)
Publication Number | Publication Date |
---|---|
FR2941584A1 true FR2941584A1 (fr) | 2010-07-30 |
FR2941584B1 FR2941584B1 (fr) | 2011-04-01 |
Family
ID=41343164
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR0950479A Expired - Fee Related FR2941584B1 (fr) | 2009-01-27 | 2009-01-27 | Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant |
Country Status (5)
Country | Link |
---|---|
US (1) | US9166956B2 (fr) |
EP (1) | EP2392163B1 (fr) |
JP (1) | JP5450655B2 (fr) |
FR (1) | FR2941584B1 (fr) |
WO (1) | WO2010086256A1 (fr) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2941583A1 (fr) * | 2009-01-27 | 2010-07-30 | St Nxp Wireless France | Procede de dechiffrage d'un paquet chiffre au sein d'un appareil de communication sans fil, et appareil correspondant |
JP5736980B2 (ja) * | 2011-06-08 | 2015-06-17 | 住友電気工業株式会社 | 路側通信機、無線通信システム、無線信号の受信方法及びコンピュータプログラム |
US8494585B2 (en) | 2011-10-13 | 2013-07-23 | The Boeing Company | Portable communication devices with accessory functions and related methods |
CN103096302B (zh) | 2011-10-27 | 2016-03-02 | 华为技术有限公司 | 一种加密方法、解密方法和相关装置 |
US9819661B2 (en) | 2013-09-12 | 2017-11-14 | The Boeing Company | Method of authorizing an operation to be performed on a targeted computing device |
US10064240B2 (en) | 2013-09-12 | 2018-08-28 | The Boeing Company | Mobile communication device and method of operating thereof |
US9497221B2 (en) | 2013-09-12 | 2016-11-15 | The Boeing Company | Mobile communication device and method of operating thereof |
US9652294B2 (en) * | 2013-11-25 | 2017-05-16 | International Business Machines Corporation | Cross-platform workload processing |
US20170192688A1 (en) | 2015-12-30 | 2017-07-06 | International Business Machines Corporation | Lazy deletion of vaults in packed slice storage (pss) and zone slice storage (zss) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999018703A1 (fr) * | 1997-10-02 | 1999-04-15 | Thomson Licensing S.A. | Decodeur multimedia de communication bidirectionnelle classee par ordre de priorite, dans un systeme de radiodiffusion |
US20030003896A1 (en) * | 2000-12-19 | 2003-01-02 | At&T Wireless Services, Inc. | Synchronization of encryption in a wireless communication system |
WO2003053080A1 (fr) * | 2001-12-19 | 2003-06-26 | Qualcomm Incorporated | Procede de transport de messages dans un environnement de communications mobiles et appareil associe |
US20030156599A1 (en) * | 2002-02-21 | 2003-08-21 | Lorenzo Casaccia | Method and apparatus for radio link control of signaling messages and short message data services in a communication system |
US20060177050A1 (en) * | 2005-02-08 | 2006-08-10 | Srinivasan Surendran | Method and system for hardware accelerator for implementing f8 confidentiality algorithm in WCDMA compliant handsets |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5553061A (en) * | 1994-06-27 | 1996-09-03 | Loral Fairchild Corporation | Packet processor having service priority and loss priority features |
US6188698B1 (en) * | 1997-12-31 | 2001-02-13 | Cisco Technology, Inc. | Multiple-criteria queueing and transmission scheduling system for multimedia networks |
US6876747B1 (en) * | 2000-09-29 | 2005-04-05 | Nokia Networks Oy | Method and system for security mobility between different cellular systems |
EP1364509B1 (fr) * | 2000-12-25 | 2007-04-18 | Matsushita Electric Industrial Co., Ltd. | Dispositif de traitement en mode paquets pour communication de securite et procede correspondant |
US7627121B1 (en) * | 2001-02-15 | 2009-12-01 | At&T Mobility Ii Llc | Apparatus, system and method for detecting a loss of key stream synchronization in a communication system |
EP1454249A4 (fr) * | 2001-12-15 | 2006-07-19 | Thomson Licensing | Systeme et procede de distribution de flots de donnees de multiples types de donnees avec differents niveaux de priorite |
AU2003219456A1 (en) * | 2002-05-21 | 2003-12-02 | Koninklijke Philips Electronics N.V. | Conditional access system |
FR2843258B1 (fr) * | 2002-07-30 | 2004-10-15 | Eads Defence & Security Ntwk | Procede de transmission de donnees chiffrees, procede de dechiffrement associe, dispositifs pour leur mise en oeuvre, et terminal mobile les incorporant. |
WO2004036840A1 (fr) * | 2002-10-17 | 2004-04-29 | Matsushita Electric Industrial Co., Ltd. | Dispositif de transmission/reception de paquets |
KR100464319B1 (ko) | 2002-11-06 | 2004-12-31 | 삼성전자주식회사 | 차세대 이동통신시스템용 네트워크 구조 및 이를 이용한데이타 통신방법 |
US7774593B2 (en) * | 2003-04-24 | 2010-08-10 | Panasonic Corporation | Encrypted packet, processing device, method, program, and program recording medium |
EP1693999A4 (fr) * | 2003-12-11 | 2011-09-14 | Panasonic Corp | Appareil transmetteur de paquets |
US20060168338A1 (en) * | 2004-11-23 | 2006-07-27 | Bruegl Aaron R | Methods and systems for providing data across a network |
KR101131264B1 (ko) * | 2005-03-15 | 2012-03-30 | 삼성전자주식회사 | 레지덴셜 이더넷 시스템에서 서브 프레임을 이용한 수퍼프레임 구성 방법 |
US20070053290A1 (en) * | 2005-09-02 | 2007-03-08 | Broadcom Corporation | Packet attribute based prioritization |
DE102005051577B4 (de) * | 2005-10-21 | 2008-04-30 | Engel Solutions Ag | Verfahren zur Verschlüsselung bzw. Entschlüsselung von Datenpaketen eines Datenstroms sowie Signalfolge und Datenverarbeitungssystem zur Ausführung des Verfahrens |
DE102006006057B4 (de) * | 2006-02-09 | 2007-12-27 | Infineon Technologies Ag | Datenverschlüsselungsvorrichtung und Verfahren zum Verschlüsseln von Daten |
US8045458B2 (en) * | 2007-11-08 | 2011-10-25 | Mcafee, Inc. | Prioritizing network traffic |
US8447718B2 (en) * | 2007-11-09 | 2013-05-21 | Vantrix Corporation | Method and apparatus for filtering streaming data |
-
2009
- 2009-01-27 FR FR0950479A patent/FR2941584B1/fr not_active Expired - Fee Related
-
2010
- 2010-01-19 WO PCT/EP2010/050580 patent/WO2010086256A1/fr active Application Filing
- 2010-01-19 US US13/145,489 patent/US9166956B2/en not_active Expired - Fee Related
- 2010-01-19 JP JP2011546777A patent/JP5450655B2/ja not_active Expired - Fee Related
- 2010-01-19 EP EP10701499.5A patent/EP2392163B1/fr not_active Not-in-force
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999018703A1 (fr) * | 1997-10-02 | 1999-04-15 | Thomson Licensing S.A. | Decodeur multimedia de communication bidirectionnelle classee par ordre de priorite, dans un systeme de radiodiffusion |
US20030003896A1 (en) * | 2000-12-19 | 2003-01-02 | At&T Wireless Services, Inc. | Synchronization of encryption in a wireless communication system |
WO2003053080A1 (fr) * | 2001-12-19 | 2003-06-26 | Qualcomm Incorporated | Procede de transport de messages dans un environnement de communications mobiles et appareil associe |
US20030156599A1 (en) * | 2002-02-21 | 2003-08-21 | Lorenzo Casaccia | Method and apparatus for radio link control of signaling messages and short message data services in a communication system |
US20060177050A1 (en) * | 2005-02-08 | 2006-08-10 | Srinivasan Surendran | Method and system for hardware accelerator for implementing f8 confidentiality algorithm in WCDMA compliant handsets |
Also Published As
Publication number | Publication date |
---|---|
WO2010086256A1 (fr) | 2010-08-05 |
EP2392163A1 (fr) | 2011-12-07 |
US20110311043A1 (en) | 2011-12-22 |
US9166956B2 (en) | 2015-10-20 |
EP2392163B1 (fr) | 2017-10-25 |
FR2941584B1 (fr) | 2011-04-01 |
JP2012516095A (ja) | 2012-07-12 |
JP5450655B2 (ja) | 2014-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FR2941584A1 (fr) | Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant | |
EP1961223B1 (fr) | Procede de controle d'acces a un contenu embrouille | |
FR2874143A1 (fr) | Procede de securisation du transfert d'un flux de donnees, produit programme d'ordinateur, moyen de stockage et noeuds correspondants | |
EP1749401A1 (fr) | Procede de diffusion de donnees numeriques a un parc de terminaux recepteurs cible | |
WO2020169542A1 (fr) | Méthode cryptographique de vérification des données | |
EP1792484B1 (fr) | Procédé de gestion de moyens d'accès à des données à accès conditionnel | |
US20170064025A1 (en) | Push notification aggregation | |
CN114466015B (zh) | 一种基于多云架构的数据存储系统及方法 | |
WO2017081208A1 (fr) | Procede de securisation et d'authentification d'une telecommunication | |
CA2900735C (fr) | Transmission d'un message multimedia doublee par emission d'un message textuel | |
US7966662B2 (en) | Method and system for managing authentication and payment for use of broadcast material | |
EP3568964B1 (fr) | Procédé de transmission d'une information numérique chiffrée de bout en bout et système mettant en oeuvre ce procédé | |
EP2266263A1 (fr) | Procede de gestion de flux de donnees sur un reseau de communications et dispositif mettant en oeuvre un tel procede | |
CN111327634B (zh) | 网站访问监管方法、安全套接层代理装置、终端及系统 | |
FR3037754A1 (fr) | Gestion securisee de jetons electroniques dans un telephone mobile | |
CN110233793A (zh) | 一种基于对象存储的安全存储网关及对象存储方法 | |
EP3667530B1 (fr) | Accès sécurise à des données chiffrées d'un terminal utilisateur | |
FR2941583A1 (fr) | Procede de dechiffrage d'un paquet chiffre au sein d'un appareil de communication sans fil, et appareil correspondant | |
EP1723791A1 (fr) | Methode de securisation d'un evenement telediffuse | |
WO2012052434A1 (fr) | Procede d'optimisation du transfert de flux de donnees securises via un reseau autonomique | |
WO2024175864A1 (fr) | Procede et dispositif de stockage en ligne reparti de fichiers dans un contexte zero confiance | |
EP1633144A1 (fr) | Procédé de gestion des conditions d accès à un flux vidéo par un routeur / DSLAM | |
WO2023281223A1 (fr) | Passerelle de transfert sécurisé | |
FR3131497A1 (fr) | Dispositif de gestion d’une requête de transfert de données | |
EP1884099B1 (fr) | Procede et dispositif de controle d'acces |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
CD | Change of name or company name | ||
PLFP | Fee payment |
Year of fee payment: 8 |
|
PLFP | Fee payment |
Year of fee payment: 9 |
|
ST | Notification of lapse |
Effective date: 20180928 |