JP4960613B2 - 再設定可能なキー検索エンジン - Google Patents

再設定可能なキー検索エンジン Download PDF

Info

Publication number
JP4960613B2
JP4960613B2 JP2005229498A JP2005229498A JP4960613B2 JP 4960613 B2 JP4960613 B2 JP 4960613B2 JP 2005229498 A JP2005229498 A JP 2005229498A JP 2005229498 A JP2005229498 A JP 2005229498A JP 4960613 B2 JP4960613 B2 JP 4960613B2
Authority
JP
Japan
Prior art keywords
memory
key
index
mobile device
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005229498A
Other languages
English (en)
Other versions
JP2006081167A (ja
Inventor
泰 建 朴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020040063397A external-priority patent/KR100735577B1/ko
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2006081167A publication Critical patent/JP2006081167A/ja
Application granted granted Critical
Publication of JP4960613B2 publication Critical patent/JP4960613B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は一般的なキー検索エンジンに係り、特に、複数のネットワークで動作することができる移動装置で適用可能な再設定可能キー検索エンジンに関する。
新しいネットワーク標準及び特別に無線ネットワーク標準が持続的に紹介されている。無線という用語は、一般的にラジオ周波数または赤外線リンクを通じてデータを通信するシステムと関連される。ネットワーク上のエレメントまたはコンポーネント間に無線でデータを交換する方法について少なくとも一つの技術標準が定義される。無線ネットワーク標準を見てみると、Wi−Fi、Bluetooth、PCS、DECT、PWT、pager、cellular及びIEEE 802.11、802.11a、802.11b、802.11i、802.11g、802.1X、WEP、WPA及びWPA2を含む技術標準の複雑な羅列を見ることができる。このような技術標準は、IEEE(Institute of Electrical and Electronics Engineers)、Wi−Fi Alliance及びIETF(Internet Engineering Task Force)のような多様な標準設定団体によって提示される。
Wi−Fi AllianceはIEEEで定義された技術要求事項を満足し、相互運営性試験及び認証プログラムを通じて無線インターネット標準の実質的な実現を模索している。IETEはインターネット構造の発展を定義しその動作を標準化しようと努めている。無線標準またはプロトコールはデータプライバシ(暗号化/暗号解読)及び使用者認証問題のようなグループアドレスによって生成される。“プロトコール”というのは一般的に少なくとも2つのネットワークエレメントまたはコンポーネント間のデータ通信を可能にする設定された標準のことである。伝統的な観点で、プロトコールはデータ通信ネットワークを結合させる標準を制定する。最小限、プロトコールは許容することができるデータ表現及び関連するデータパケット構成を定義する。データプライバシエンコーディング、エラー監視/訂正符号化、データ(またはデータパケット)認証情報、及び類似データ管理特性はプロトコールの一部である。
有線及び無線データ通信プロトコールの開発は、大部分科学技術の進歩によって進化してきた過程である。例えば、無線通信を可能にする技術が成熟した結果、最近ネットワークと連結された伝統的なイーサネット(登録商標)はWLANに対して定められた方法を有する。不幸にも、早く進化する科学技術はデータ通信システムの拡散及び関連された技術的標準そしてプロトコールを作った。このような二種のシステムは他の保安メカニズム及びアルゴリズムを定義する。一般的に、それぞれ保安メカニズム及びアルゴリズムは固有の保安キーセットを必要とする。
このような点において、無線ネットワーク保安標準の最近の発達に対する簡略な検討は有益である。現代の無線ネットワークでデータプライバシに関する論議はIEEE 802.11で知られたWLAN保安標準で始められた。大部分は、この標準によって家庭及び小型事務室内でWLANを実際的に使用することができるが、大型企業体での使用には適合しない。データプライバシ及び使用者認証両者に関して802.11標準による保安は商業的には等価ではない。
802.11によるデータプライバシメカニズムはほぼWEPを参考にして、RC4暗号アルゴリズムを実行する。RC4暗号アルゴリズム技術はそれ自体でデータを保護するに充分に強いが、802.11内部でわずかに実行され、大部分の偶発的な盗聴者からのみデータを保護する。容易に利用することができるハッキングツールの拡散と結合され、企業環境での使用に対してWEPは一般的には信頼されていない。
802.11の本質的な保安欠乏を明確に言及するために802.1X標準が紹介される。Wi−Fi Protected Access(WPA)と称される向上されたデータプライバシメカニズムが標準の一部で紹介される。WPAはRC4暗号化アルゴリズムの非常に強いバージョンを実行する臨時キー保全プロトコールTKIPに適合する。WEPと比較するとき、TKIPは保安キーが得られる方法を変更し、追加的な保安のためにキーをより頻繁に回転させる。WPAはWEP−enabledデバイスで明らかな保安欠点を防ぐが、フォームウェアまたはドライバのアップグレイドを必要とする。
802.1X標準は実質的に802、11i標準のサブセットsubsetである。802.11iは WPA、及びロバスト保安ネットワーク(Robust Security Network;RSN)のような2つのデータプライバシメカニズムを含む。RSNはWEP及びWPAによって提供されるデータプライバシメカニズムより相当強い進歩した暗号化標準を使用するデータプライバシを提供する。しかし、RSNはハードウェアアップグレイドがないlegacyデバイスでは動作しない。従って、新しいデバイスのみがRSNアルゴリズムに基づいて実行に必要なハードウェアを有している。従って、WPAはlegacyデバイスの性能を満足できる水準にまで向上させるが、RSNは802.11iを実行するデバイスのための未来の無線データプライバシであろう。
通信されるデータの数多くの種類によってネットワーク上でデータプライバシを提供することがより難しくなった。例えば、802.11eはLAN(Local Area Network)特に、802.11標準を使用するネットワークのためのQoS(Quality of Service)集合の増大を定義する標準である。このような増大はVoice-over-IP及びストリミングマルチメディアのようなdelay-sensitiveアプリケーションの伝送に重要に思われる。802.11eは伝送されたデータに確認ヘッダフィールド(header field)を追加する。ヘッダはデータのQoS(即ち、ネットワーク内でデータの相対的な優先順位)を定義する。従って、802.11eは特別な構成を有するデータ(及びデータパケット)を生成する少なくとも一つのデータのプロトコールの例である。
潜在的に移動装置と通信することができるネットワークの増加する多様性は,それぞれのネットワーク及び少なくとも一つのネットワーク内で動作する移動装置と関連されたそれぞれのデータプライバシメカニズムを変更する。イーサネット(登録商標)及び類似するように配線されたネットワークは複数のWLANs、WPANs、及びWMANsによって結合される(例えば、802.16、WiBro及び/またはWiMax-enabledネットワーク)。
図1に示す簡単な例を考察してみよう。移動装置1(例えば、ハンドヘルドデバイス、ハンドヘルド個人コンピュータPC、ポータブルまたはラップトップコンピュータ 、PDA、移動または携帯電話機、無線インターネットデバイス、プロトコール−使用可能電話、ポータブル無線デバイス、ハンドヘルド無線コントロール、または持参管理タグtag)はネットワーク5、WMAN2、WLAN3、またはAd-Hocネットワーク4に連結されたイーサネット(登録商標)からデータを個別的に受信することができる。装置が物理的に移動するか動作モードを変更することで移動装置は少なくとも一つの無線ネットワークを通過することができる。さらに、移動装置が少なくとも2つのネットワークに同時に連結される可能性が存在する。例えば、WMANから個人口座と関連したデータを受信する間、ラップトップコンピュータは同時にビジネス口座に関連したデータをWLANから受信することができる。
そのような環境で、多重ネットワークは単一移動装置でデータ伝送することができる。従って、移動装置は複数のネットワークからのデータを区分できなければならず、データプライバシメカニズム及びそれぞれネットワークと関連された方法に適合するように適用できなければならない。最小限、移動デバイスは互いに異なるネットワークと関連されたデータを暗号化し暗号解読できなければならない。
それぞれのネットワークが互いに異なる保安キーまたは保安キーセットを使用するので、移動装置は複数の保安キーを貯蔵する能力及び貯蔵された複数の保安キーを通じて検索する付加的な能力を提供しなければならない。複雑なネットワークは典型的に複数の保安キーに依存するデータプライバシメカニズムを使用するので、移動装置はかなり優れた機能を有している。
潜在的な多重ネットワーク連結に応答して少なくとも一つの適当な保安キーを提供する改善されたメカニズムの必要を認識し、本発明の一実施例はキー検索エンジンを含む移動装置を提供する。
キー検索エンジンKSEは一般的にネットワークから検索基準を受信し、検索基準に応答して所望する保安キーを提供する。キー検索エンジンKSEは複数の保安キーを貯蔵するためのメモリシステムを含み、一実施例において、メモリシステムは検索基準から得た索引データに応答して索引出力を提供する連想メモリ及び索引出力に応答して保安キーを出力するメモリを含む。
キー検索エンジンKSEは検索基準を受信し索引データを取り得るキー検索エンジン制御部を含むことができる。検索基準は移動装置に受信されたデータパケットと関連されたパケット情報及び/またはネットワークのエレメントと関連された補助情報を含むことができる。補助情報は使用者のオプション選択と関連する制御オプション情報を含むことができる。
関連された一実施例において、キー検索エンジンKSE制御部は検索基準を受信し検索キーを出力する入出力部、キー検索エンジンKSE制御部と連想メモリとを連結する連想メモリインターフェース、及びキー検索エンジンKSE制御部とメモリとを連結するメモリインターフェースも含む。キー検索エンジンKSE制御部は検索基準に応答して索引データを得た索引選択器も含むことができる。
関連された一実施例において、索引選択器はレジスタ部及びマッパを含む。レジスタはマップ出力に応答して可変サイズまたは特性の索引データを出力するに適合した再設定可能なレジスタを含むことができる。例えば、マッパはマッピングテーブルまたは有限状態マシンを含むことができる。
メモリシステムに貯蔵された複数の保安キーは少なくとも一つのデフォルトキーを含むことができ、メモリシステムはデフォルトキーを貯蔵するデフォルトメモリを含むことができる。
再設定キー検索エンジンRKSEによって出力される保安キーは多重コンポネントを含むことができ、この場合メモリは少なくとも一つの多重コンポーネントを貯蔵する多重メモリで形成することができる。一例で、多重コンポーネントはSAID(Security Association Identifier)、TEK(Traffic Encryption Key)、SA( Security Association)及び/または初期化ベクトルIVを含む。
関連された一実施例において、連想メモリは少なくとも一つのCAMs(Content Addressable Memories)を含む。
また他の実施例において、キー検索エンジンKSEは検索基準(search criteria)から得た索引基準及び連想メモリからの索引出力を受信する動作部を含むことができる。少なくとも2つの入力から、索引動作部はメモリに適用されるメモリアドレスを生成することができる。索引動作部は連関作業(concatenation)、ハッシング(hashing)、または他の論理動作を実施する回路を含むことができる。
さらにまた他の実施例において、本発明は第1プロトコールに従ってデータを通信する第1ネットワーク及び第2プロトコールに従ってデータを通信する第2ネットワークに連結するに適合した移動装置を提供する。
移動装置は制御部及び第1及び前記第2ネットワークと関連された複数の保安キーを貯蔵するメモリを含む再設定可能なキー検索エンジンRKSEを含むことができる。制御部は移動装置によって受信されたデータパケット情報を含む検索基準に応答して複数の保安キーから選択された保安キーを出力する。
このような関係において、第1ネットワーク及び第2ネットワークのうちの一つは無線近距離通信網、無線都市圏通信網WMANまたはAd−Hocネットワークであることができる。
メモリシステムは検索基準から得た索引データを受信し、索引出力を出力する連想メモリを含むことができる。メモリシステムは索引出力から得たメモリアドレスを受信し、メモリアドレスに応答して保安キーを出力するメモリを含むことができる。
索引データの少なくとも一つが連想メモリエントリを確認する場合索引出力はHIT状態を示し、索引データが連想メモリエントリを確認することができない場合MISS状態を示すことができる。本発明の関連実施例がデフォルトメモリを有するメモリシステムを含む場合、MISS状態が示されたとき索引出力から生成されたメモリアドレスはデフォルトメモリに適用される。
さらにまた他の実施例として、デフォルトメモリは保安キーの関連コンポーネントを貯蔵する多重デフォルトメモリを含む階層的メモリであり、多重デフォルトメモリは受信されたメモリアドレスに応答する。
階層的メモリは保安キーの関連コンポーネントを貯蔵する多重メモリを含み、多重メモリは受信されたメモリアドレスに応答する。
具体的な実施例において、メモリシステムはキー検索エンジンKSE制御部から第1索引データを受信し第1索引出力を出力する第1CAM、第1索引出力から第1メモリアドレスを得て、第1保安キーコンポーネント出力を出力する第1メモリ、第1保安キーコンポーネント出力から第2索引データを受信し第2索引出力を出力する第2CAM及び第2索引データを受信し第2保安キーコンポーネント出力を出力する第2メモリを含む。
本発明のさらにまた他の実施例において、移動装置は無線マン(WMAN)で通信するに適合した第1回路及び無線ランで通信するに適合した第2回路を含み、このとき前記第1回路及び第2回路はそれぞれの保安キーを得るために一般的にRKSEにアクセスする。このような関係において、複数の保安キーは複数の無線ランWLAN保安キー、及び/複数の無線マンWMAN保安キーを含むことができる。
前述した実施例は、データパケットを受信するラジオ周波数受信機を含むことができる。従って、RKSEは受信されたデータパケットが無線ランに由来した場合、複数の無線ラン関連保安キーから選択された無線ラン-関連保安キーを出力することができ、受信されたデータパケットが無線マンに由来した場合、複数の無線マン-関連保安キーから選択された無線マン-関連保安キーを出力することができる。
しかし、本発明は移動装置または少なくとも一つのネットワークでの移動装置の使用方法に制限されない。その代わりに、本発明の一実施例は、メモリと、検索基準を受信し、検索基準から索引データを得て保安キーを提供するKSE制御部とを含むキー検索エンジンKSEを提供する。KSEは複数の検索キーを貯蔵するメモリシステムをさらに含む。メモリシステムは索引データに応答して索引出力を提供する連想メモリ及び索引出力に応答して保安キーを出力するメモリを含むことができる。
前述したように、検索基準はデータパケット情報、補助情報及び/または制御オプション情報を含むことができる。
さらにまた他の実施例において、本発明は移動装置で保安キーを提供する方法に関連する。移動装置はキー検索エンジン、連想メモリを含むメモリシステム、及び複数の保安キーを貯蔵するメモリを含むことができる。前記方法は、ネットワークから検索基準を受信する段階、KSEの検索基準から索引データを得る段階、索引出力を発生するために索引データを使用する連想メモリを検索する段階、及び保安キーを出力するために索引出力を使用するメモリを参照する段階を含む。
検索基準を受信する段階は、移動装置に受信されたデータパケットと関連するデータパケット情報を受信する段階を含むことができ、ネットワークのエレメントと関連する補助情報をさらに含むことができる。補助情報は使用者定義オプション選択と関連する制御オプション情報を含むことができる。
索引データを得た段階は、KSEで実行されるマッピング動作によって索引選択器でレジスタを設定する段階、及びその後レジスタを使用して索引データを得る段階を含むことができる。マッピング動作は、例えば、マッピングテーブルまたは有限状態マシンを使用して実行することができる。
複数の保安キーはデフォルトキー及びデフォルトキーを貯蔵するデフォルトメモリを含むメモリシステムを含み、本発明による方法実施例は前記デフォルトキーを出力するために前記索引出力を使用する前記デフォルトメモリを参照する。本発明の実施例は多重コンポーネントを含む保安キーを使用することができる。この場合、前記メモリは少なくとも一つの前記多重コンポーネントを貯蔵する多重メモリを含むことができ、前記方法は前記多重コンポーネントを出力するために索引出力を使用する多重メモリを参照することを含む。
前述したKSEが索引動作部を含む場合、関連する代表的な方法は、検索基準から索引基準を得て、アドレスを発生する索引動作部で索引出力及び索引基準で索引動作を実行し、保安キーを出力するためにアドレスを使用するメモリによってメモリを参照する。
本発明による他の代表的な方法は、第1ネットワークによって使用される第1プロトコールまたは第2ネットワークによって使用される第2プロトコールの関連保安キーを提供する。この方法はメモリシステムの少なくとも一つの第1及び第2プロトコールと関連した複数の保安キーを貯蔵する段階を含む。メモリシステムは連想メモリ及びメモリを含む。前記方法でデータパケット情報及び補助情報を受信する段階で検索基準は、データパケット情報及び補助情報に関して定義され、索引データは、検索基準か得られ、連想メモリは索引出力を出力するために索引データを使用する段階に参照され、メモリは保安キーを出力するために索引出力を使用する段階に参照される。
メモリシステムはデフォルトメモリをさらに含み、連想メモリを検索する段階は、索引データと関連した連想メモリエントリがない場合、MISS状態を示す段階及び索引データと関連した少なくとも一つの連想メモリエントリがない場合、HIT状態を示す段階を含むことができる。その後、索引出力を使用するメモリを参照する段階は、MISS状態が示されるとき索引出力を使用するデフォルトメモリを参照する段階またはHIT状態が示されたとき索引データを使用するメモリを参照する段階を含む。
関連実施例において、索引出力を使用するメモリを参照する段階は、検索基準から索引基準を得る段階、アドレスを出力するために索引基準及び索引出力を使用する索引動作を実施する段階、及びアドレスを使用するメモリを参照する段階を含む。
一実施例において、データパケット情報及び補助情報に関する検索基準を定義する段階は貯蔵された制御オプション情報を検索する段階を含む。
さらにまたの実施例において、検索基準から索引データを得ることは受信されたデータパケットが第1ネットワークに由来した場合、第1構成にレジスタを構成し、または受信されたデータパケットが第2ネットワークに由来した場合、第2構成にレジスタを構成することを含む。
さらにまたの実施例において、本発明は第1プロトコールを使用する第1ネットワーク及び第2プロトコールを使用する第2ネットワークに連結するに適合した移動装置を動作させる方法を提供する。前記方法は、使用者-定義された制御オプンションを選択する段階、使用者-定義された制御オプション選択に関する制御オプション情報を定義する段階、制御オプション情報に関して第1及び第2ネットワークに関連した複数の貯蔵された保安キーから一つの保安キーを認証する段階を含む。
使用者は、定義された移動装置を販売する小売商または移動装置の最終使用者によって選択されることができる。
第1ネットワークは無線ランであることができ、第2ネットワークは無線マンまたはAd−Hocネットワークであることができる。
関連実施例において、メモリシステムは階層的メモリシステムであり、制御オプション情報に関して第1及び第2ネットワークに関連する複数の貯蔵された保安キーから一つの保安キーを認証する段階は、受信されたデータパケットが第1ネットワークに由来する場合、第1検索アルゴリズムを使用する階層的メモリシステムを検索する段階、または受信されたデータパケットが前記第2ネットワークに由来する場合第2検索アルゴリズムを使用する階層的メモリシステムを検索する段階を含む。
一例で、階層的メモリシステムが連想メモリ、メモリ、及びデフォルトメモリを含み、第1検索アルゴリズム及び第2アルゴリズムのうちの一つまたは二つ全部はデフォルトメモリを検索することができる。
第1検索アルゴリズムまたは第2アルゴリズムのうちのいずれか一つは階層メモリシステムを通じて直列検索をすることができる。
さらにまた他の実施例において、本発明は多重ネットワークに連結するに適合した移動装置の動作方法を提供する。動作方法は第1ネットワークから第1電極パケットを受信する段階、その後再設定可能なキー検索エンジンRKSEで複数の検索キーを貯蔵しているメモリシステムを通じて第1検索アルゴリズムを実施させる第1データプライバシ構成を仮定する段階、第2ネットワークから第2データパケットを受信する段階及びその後RKSEで複数の検索キーを貯蔵しているメモリシステムを通じて第2検索アルゴリズムを実施させる第2データプライバシ構成を仮定する段階を含む。
第1及び第2データプライバシ構成は、多重ネットワークのうち一つのネットワークの移動装置またはエレメントと関連する補助情報に関してそれぞれ定義することができる。しかも、補助情報は使用者-定義制御オプションによって定義された制御オプション情報を含むことができる。メモリシステムが連想メモリ及びメモリを含む階層システムである場合の例で、このようなメモリは第1及び第2検索アルゴリズムによってそれぞれ検索される。
本発明のさらにまた他の実施例は、第1検索アルゴリズムに応答して第1保安キーを出力し第1保安キーに関して第1データパケットを処理する方法を付加的に提供する。同様に、前記方法は第2検索アルゴリズムに応答して第2保安キーを出力し第2保安キーに関して第2データパケットを処理する。
一実施例において、前述した第1ネットワークは無線ランであり、前記第2保安キーは暗号化/暗号解読キー、暗号、及び初期化ベクトルIVを含む。第1保安キーと関連する無線ランはデフォルトキーの形式を有することができる。
関連実施例において、前述した第2ネットワークは無線マンであり、第2保安キーはSAID,TEK、SA、及び/またはIVを含む。
さらにまた他の実施例において、本発明は無線ランまたは無線マンでパケットデータを通信するに適合した無線ネットワーク装置を提供する。無線ネットワーク装置は無線ランデータパケットを受信する無線ラン制御器、無線メンデータパケットを受信する無線メン制御器、及び無線ラン制御器及び無線マン制御器によって一般的にアクセスされるキー検索エンジンを含む。
関連実施例において、KSEはWLAN及びWMANと関連する複数の保安キーを貯蔵するメモリシステム、WLANパケット情報に応答して第1検索エンジンを使用しWMANパケット情報に応答して第2検索アルゴリズムを使用するメモリシステムを検索するに適合したKSE制御部を含む。
WLAN制御器、WMAN制御器、及びKSEは一般印刷回路基板(e.g.,PCIカード)、単一集積回路またはチップセットで実現することができる。
以下、図面を参照して本発明の望ましい一実施例をより詳細に説明する。
一般的な適用で、本発明の実施例は少なくとも一つのネットワーク内での動作に適合した移動装置を提供する。移動装置は、回路、メカニズム、及び/または複数の保安キーを効果的に貯蔵する機能を含む。関連された観点で、本発明の一実施例は回路、メカニズム、及び/または認証する機能、適応的に検索する機能、及び/または貯蔵された複数の保安キーから保安キーを検索する機能をさらに含む。保安キーは少なくとも一つの暗号化/暗号解読キー、暗号、及び初期化ベクトルIV、保安コードブロック及び/または電子署名または保安ベクトルを含む。
“メカニズム”という用語は本発明において最も広い意味で使用される。従って、データプライバシを実現するある一つのハードウェア、ソフトウェア、ファームウェア、またはハードウェア、ソフトウェア、及び/またはファームウェアの結合は、“データプライバシメカニズム”と称される。データプライバシメカニズムはネットワーク-定義パラメータ(セッティング、機能、入力及び/または動作モードを含む)、移動装置-定義パラメータ、及び/または使用者定義パラメータを含むことができる。
“メモリ”という用語は本発明においてデータを貯蔵することができるある回路または媒介物を表示する。前記用語は、“一般性の損失なし、DRAM(Dynamic Random Access Memory)のような揮発性メモリ回路、及びSRAM(Static Random Access Memory)、フラッシュメモリ、マグネティックメモリのような非揮発性メモリを含む。メモリという用語は、特別な物理的実行またはハードウェア的に定義された境界を暗示するとは解釈されない。例えば、“メモリ”は実際少なくとも一つの集積回路の結合で形成することができる。同様に、少なくとも2つの“メモリ”は単一集積回路で実現することができる。即ち、特定メモリの結合を単一集積回路または関連集積回路のチップセットで他の目的のために定義及び/または使用することができる。しかも、 “メモリ”はデータを貯蔵することができる回路及び媒介物の設計及び製造の継続的な技術的発達を前提にする。
複数のメモリが物理的形態、機能的使用、目的、または類型によって個別的に指定された少なくとも2つのメモリで定義されるか否かに関係なく、“メモリシステム”という用語は複数のメモリ及び関連アクセス回路を広く記述する。
本発明が有線ネットワークに適用されるアプリケーションを見出す場合にも、本発明の製造及び使用は無線ネットワークに関して説明されている。従って、説明の多くの部分が無線ネットワーク及び無線ネットワークの動作の環境で作られる。
例えば、多重インターネットサービス提供事業者、私設インターネットサービス提供事業者、及び/または特定移動装置からデータを送信/受信するなど移動装置事業者の現在の問題点を考慮してみよう。移動装置とデータ通信をする無線ネットワークは、WLAN、WMAN、またはWPANの形態を有することができる。無線ネットワークは本来開放形ブロードキャストシステムであるので、データプライバシは全ての無線提供事業者に問題になっている。即ち、効果的なデータプライバシ特性の部材で無線ネットワークは一般的に侵入者にネットワークと使用者と間のブロードキャストデータに対するアクセスを許容する。互いに異なる無線ネットワークは互いに異なるデータプライバシメカニズムを使用する。互いに異なるデータプライバシメカニズムは互いに異なるデータ暗号化/暗号解読アルゴリズム及び互いに異なる保安キーを使用するプロトコールを意味する。
従って、個別的なデータプライバシメカニズムを有する複数の無線ネットワーク間に移動装置を効果的に移動させるために、移動装置は次のような少なくとも2つを必要とする。複数の保安キーを貯蔵する適合したメモリ、及び複数の保安キーを通じて検索するに適合し定められたネットワークから受信された特定データパケットに対する適当な保安キーを選択するに適合した回路(またはメカニズム)である。前記回路(またはメカニズム)は一般的に、“キー検索エンジン”に関連する。
現代の無線ネットワークはデータパケットを伝送及び受信して情報を通信する。データパケットは大体所定形態のパケットIDを含む定義された量のデータである。伝送される情報の主要部は一般的に複数のデータパケットに分離される。分離されたデータパケットはネットワークを通じて伝送され、使用者によって消費に前もって再組立される。多くの種類のデータパケットと情報とをデータパケットに分割すること、ネットワークのデータパケットを認証すること、データパケットのエラーを訂正及び確認すること、消費することができる情報にデータパケットを再組立することを調節する多くのプロトコールが存在する。このような多様なパケット形態及びデータ通信プロトコールは複数の互いに異なるネットワーク、潜在的に異なる構成を有するデータパケットから情報を受信することができる移動装置に対するデータプライバシ問題をさらに複雑にする。
本発明の一実施例において、互いに異なるネットワークから受信された互いに異なるデータパケット構成の実体を認定し、移動装置の互いに異なる使用者定義の動作モードに対する可能性をさらに認定する再設定可能なキー検索エンジンを提供する。再設定可能なキー検索エンジンRKSEは、例えば、少なくとも一つの受信されたデータパケット、伝送/受信ネットワークと関連された情報、及び/または使用者定義セッティングまたは移動装置の動作モードを含む多様なソースから得られた情報によって検索される移動装置と関連されたメモリに貯蔵された保安キーを許容する。
より具体的な実施例で、本発明は多重保安モード構成(例えば、多重データプライバシメカニズム条件に応答して内部検索動作を再設定する)をダイナミックに仮定することができるキー検索エンジンKSEを提供する。それぞれの保安モード構成は一般的に特定データプライバシメカニズムと関連される。つまり、移動装置にデータパケットを伝達する第1ネットワーク(例えば、WLAN)は第1データプライバシメカニズム(例えば、WEPを実現すること)を使用する。移動装置で受信された第1データパケットが第1ネットワークから伝送されたことが認証されるとき、キー検索エンジンは第1データプライバシメカニズムと関連された第1保安キーを認証するに適合する第1保安モード構成を初期化する。
その結果として、第2データプライバシメカニズム(例えば、802.16によって設計されたデータプライバシメカニズム)を使用する第2ネットワーク(例えば、WMAN)から移動装置に第2データパケットが受信される。第2データパケットが第2ネットワークに由来することを認定した場合、キー検索エンジンは第2データプライバシメカニズムと関連する第2保安キーを認証するに適合した第2保安モード構成を初期化する。
互いに異なる保安モード構成は一般的に互いに異なるデータレジスタ構成、ソフトウェアルーチン(routine)、及び/またはハードウェア/ファームウェア動作、回路及びキー検索エンジンを実現する関連ソフトウェアの実行を意味する。従って、前述した本発明によって実現されたキー検索エンジンを有する移動装置は、第1保安モード構成では第1ネットワークWLANと容易に通信することができ、第2保安モード構成では第2ネットワークWMANと通信をすることができる。
多くの数の保安キーに対する必要をさらに認定すること、本発明の実施例は効果的に検索することができる方法で多くの数の保安キーを貯蔵するに適合したメモリシステムを提供する。より特定な実施例において、メモリシステムは階層的メモリである。特に、少なくとも一つの連想メモリまたはコンテント・アドレッサブル・メモリCAMは複数の保安キーまたは関連メモリに貯蔵された複数の保安キーと関連するメモリアドレス(またはベクトル)を貯蔵するのに使用することができる。代表的なメモリシステム実施例が以下詳細に説明される。
しかし、より詳細な説明に先立って、キー検索エンジン、連想メモリ、または本発明のその他の関連事項、付加的なシステム環境の説明は有益となるであろう。図2の無線ネットワークダイアグラムを考察してみよう。三つの別個の無線ネットワークが例示される。このようなネットワークはAd−Hocシステム(例えば、Independent Basic Service Set-IBSSで表現されたpeer-to-peerまたはinfrastructure-lessシステム)、第1無線インフラネットワークBSSa、及び第2無線インフラネットワークBSSbを含む。
第1及び第2無線インフラネットワークは一般的に分散データ通信システムDSに連結された一つ以上のAP(Access point)及び潜在的に少なくとも一つのデータサブSRVを含む。複数の移動装置MUsはAP及び/またはBSSa、BSSbそれぞれで相互間に通信する。前述したのと異なり、IBSSはAPの仲裁なしに相互間の直接的に通信するMUsのみを含む。
本発明の特定アプリケーションはネットワークのこのような配列環境内で理解することができる。例えば、移動装置がBSSa、BSSb、及び/またはIBSSの間を移動するとき、移動装置はそれぞれのネットワークのための互いに異なる保安にアクセスを必要とする。移動装置は第1無線ネットワークサービス区域から第2無線ネットワークサービス区域に物理的に移動するか移動装置の動作モード(例えば、イーサネット(登録商標)ケーブル連結、Ad−Hocネットワークに接続など)を変更してネットワーク間を効果的に移動することができる。さらに、図2では明確な区分の目的でネットワークを表示したが、実際環境ではBSSa、BSSb及びIBBsと関連する無線サービス区域は全体または部分的に重なる。
このような点で、本発明は2つ以上のネットワークで移動装置の同時連結を考える。例えば、MUa1はBSSa内でAPaを通じて連結することができ、IBSS内でMUah2にpeer-to-peerで連結することができる。さらにまた他の例として、MUb1はBSSb内でハードウェア連結を通じて有線インフラネットワークに連結されたAPb2を通じて連結することができ、BSSa内でAPaを通じて連結することができる。BSSa及びBSSbそれぞれは、例えば、WLANまたはWMANを含む多くの特定な構成のうち一つで動作するように形成することができる。特定ネットワーク構成と関係なしに、移動装置が同時に二つ以上のネットワークに連結される場合、移動装置は送信/受信されるデータパケットを動的で適応性のある認証能力、データパケットを適合に暗号化/暗号解読するために適当な保安キーを得る能力が必要である。
互いに異なるネットワーク間に容易に移動することができたり、多重ネットワークで同時に連結することができる移動装置に直面するデータプライバシ問題の範囲をより完全に認識するために、それぞれのネットワークが特定の暗号化/暗号解読アルゴリズムを有する互いに異なるデータプライバシメカニズム及び互いに異なるデータ通信プロトコールを使用する非常に事実的な可能性を考慮しなければならない。本発明の実施例はシステム、回路、メカニズム、及び/または互いに異なるネットワーク間に移動することができるか多重ネットワーク内で同時に連結することができる移動装置の動作モードを提供する。
このような実施例に関して、専門回路及び再設定可能なキー検索エンジンRKSEが先に考慮される。典型的なRKSEを図3に記載した移動装置に関して説明する。暗号化/暗号解読メカニズムを使用するに際して、本発明はデータ暗号化/暗号解読過程の2つの結果を前提にする。即ち、移動装置によって受信され暗号解読されたデータパケットはまず他のネットワークエレメント(例えば、APまたは他の移動装置)によって暗号化され伝送されなければならない。従って、移動装置環境でRKSEが説明される場合、類似回路または類似機能がAP、他の移動装置、または類似したネットワークエレメントに存在すべきであることがわかる。しかし、移動装置とAPのような固定されたネットワークエレメントとの間の定められた物理的差異(例えば、サイズ、パワー、動作環境)に起因して、RKSEはこのような2つのネットワークエレメント間で互いに異なる形態で実現される。
図3に示すように、移動装置10は一般的にラジオ周波数(または赤外線)リンクを通じて通信されるデータパケットを受信するRF(またはIR)回路11、及びモデム12を含む。モデム12からのデータは物理的階層インターフェースPLI3で動作する。PLIは数多くの形態または形式で構成されるが、一般的にモデム12によって提供されたRF(IR)信号から抽出されたデータを受け入れ、その後、暗号化/暗号解読回路14、及び/またはCPU16によって消費のためにデータパケットを形成(または再形成)する。
典型的な移動装置10に対する動作方法は受信データパケット“on-the-fly”の暗号化を許容する。この方法で、PLI13によって提供されるデータパケットはデータパケットに含まれた情報を暗号解読するための適当な保安キーを提供する有能な暗号化/暗号解読回路14に伝達される。データパケットが暗号解読されると、後続考察またはCPU16による処理のためにメモリ15に貯蔵される。CPU16は一般的に多くの暗号解読されたデータパケットを入出力回路(例えば、PCIカード17)を通じてホストシステムに伝達する。図3の矢印は移動装置10を通じたデータの一般的な流れを示す。移動装置10によって前述したのと反対経路でデータパケットは暗号化され伝送される。
選択的に、PLI13からのデータパケットはまずメモリ15に貯蔵され、その後暗号解読のために暗号化/暗号解読回路14に伝送される。
移動装置のこのような一例で、本発明によって実現されたRKSEは暗号化/暗号解読回路14と結合することができ、またはCPU16に応答する個別回路とすることができ、またはCPU16自体(例えば、mulit-core processor)によって提供される機能と結合することができる。
代表的なRKSE20が図4のブロックダイアグラムに図解される。図4に示された一般的なブロックはRKSE20と関連された特定機能及びコンポーネントを効果的に説明するために選択されたものである。それぞれのブロックは、必須のハードウェア型を定義したり関連回路間の固定された境界を設定したりするものではない。実際に、本発明は実施例に関して特定な実行及び変形が可能であることを許容する。
図4で、RKSE20は一般的にキー検索エンジン制御部23、及びデフォルトメモリ部24を含む。
KSE制御部21を図5と関連して詳細に説明する。
関連実施例において、連想メモリ22は少なくとも一つのコンテント・アドレッサブル・メモリCAMを含む。伝統的にCAMは高速検索アプリケーションのために一般的に使用されるメモリエレメントとして理解される。メモリは特定メモリアドレスと関連されたメモリセルに貯蔵された特定のデータをリードする一般メモリ(例えば、RAM)と異なり、CAMは供給されるデータワード(以下、索引データ)に関してCAMの全体メモリを検索するように設計される。索引データはCAMに貯蔵された少なくとも一つのデータエントリの一部分または全体に関して認証することができる。
供給された索引データに応答して、CAMは一般的に索引データを含むCAMデータエントリと関連する少なくとも一つのメモリアドレスをリードする。幾つかのアプリケーションで、CAMはまた索引データを含むCAMエントリと関連する他のデータをリードする。従って、CAMは文脈上ソフトウェア-提供関連データアレイのハードウェア等価物であると考えられる。CAMは単一動作で全てのメモリを検索するように設計されているので、一般的に同じサイズのRAMメモリよりもずっと早い。
CAMは多様な構造的な変形が可能である。2進数のCAMはすべてが論理「1」及び「0」に形成された索引データを使用する最も単純な変形である。3進数CAMは“X”または“Don’t Care”の第3論理マッチング状態を含む少なくとも一つの構成ビットを有する索引データの使用が可能なさらに進歩された変形である。索引データでのDon’t careビットの使用はCAMの検索能力に相当な柔軟性を付加する。
メモリブロック23及びデフォルトメモリブロック24は連想形態メモリエレメントを含む少なくとも一つの一般メモリエレメントを含む。
RKSE20は少なくとも連想メモリをブロックに適用される索引データを得るために、KSE制御部21によって使用される“検索基準”を一般的に受信する。検索基準はシステム設計者選択の一つまたは多重データソースから得ることができる。
しかし、本発明の一実施例において、検索基準は受信されたデータパケットから得られた情報(例えば、パラメータ、データ、プレグまたはレジスタインジケーション、変数定義、アドレスなど)及び/または少なくとも一つのネットワークエレメント(例えば、前記移動装置の同一性及び/または関連パラメータ、連結されたAPまたは他の移動装置の同一性、CoSインジケーション、ネットワークパラメータなど)と関連された情報を含む。受信されたデータパケットから得られ検索基準によってKSE制御部21に受信された多様な情報を“データパケット情報”と称する。検索基準によってKSE制御部21に受信された少なくとも一つのネットワークエレメントと関連する情報は“補助情報”と称される。補助情報は伝達されたデータパケットを通じて移動装置に受信される。しかし、データパケットの実際データと関連されたデータパケット情報とはキーとなり、補助情報はネットワーク及びネットワークエレメントと関連がある。
本発明の一実施例によって動作するRKSE内部の使用のために意図された補助情報の特定な形式は“制御オプション情報”と呼ばれる。
制御オプション情報は移動装置と関連する少なくとも一つの特定な使用者セッティングに応答して補助情報を任意に提供する。即ち、本発明は移動装置の動作で使用者が選択したインジケーションに応答して正確な制御パラメータの定義の委任に許容する。そのような制御オプション情報はKSE制御部21に適用される検索基準の一部となり、少なくとも連想メモリ部22に適用される索引データを定義するために任意で使用される。
RKSE20は受信された検索基準に応答して一般的に一つ以上の保安キーKSE_RESULTを出力する。前記保安キー出力は、暗号化及び/または暗号解読キー、少なくとも一つの暗号、初期化ベクトルIV、電子署名だけではなく他のデータ関連保安を含む。
さらに、定義されたエラー環境でRSKE20は受信された検索基準に応答して少なくとも一つのエラーメッセージをリターンする。
任意的に、RKSE20はUPDATE_INFO及びNEW_INFOのように図4に表示された2つの信号を入力で受信する。このような任意の信号は下記で説明される。
図4に表示されたKSE制御部21は図5のブロックのダイアグラムでより詳細に示される。前記ブロックはKSE制御部21と関連する一定の機能的能力及び一般化された回路及び/またはソフトウェアルーチンを表示する。
入力/出力(I/O)制御のある形態は一般的に要求される。従って、少なくとも検索基準のある形態がKSE制御部21に入力され、少なくとも保安キーまたはエラーメッセージがI/O27を通じて対応して出力される。
一般的にKSE制御部21と連想メモリ部22、メモリ部23及び/またはデフォルトメモリ部24との間に少なくとも一つの充分なメモリインターフェースが必要である。従って、図5の前記例はCAM
IF:30及びメモリインターフェース(MEN IF:31)を含む。このようなインターフェースは個別的に提供されるのではなく共通メモリインターフェース回路またはチップセットを使用して実現することができる。
一般的な入出力及びメモリインターフェース能力の外に、KSE制御部21の一実施例はレジスタ部29及びマッパ28を含む。レジスタ部29は典型的にデータを選択、処理、及び/または貯蔵するに適合したハードウェアデータレジスタ(またはセット)を用いて実現される。少なくとも一つのこのようなレジスタは関連ソフトウェアの制御によって再設定することができる。 “再設定可能な”という用語はある回路、メカニズムまたは方法を説明するために幅広く使用され、少なくとも一つのハードウェアレジスタは可変的なサイズ及び/または定義のデータワードを受信し効果的に動作するようにする。可能な接近法で、前記RSKEを制御するCPUは少なくとも一つのデータレジスタによって受信、貯蔵、動作、及び/または出力されるデータワードのサイズ、キャラクタ及び/または内容を定義する効果を有するRSKEに制御命令を使うことができる。従って、 “再設定可能なキー検索エンジン”は潜在的に可変的なサイズ及び/またはキャラクタを有する索引データに帰着する検索基準に応答してメモリに貯蔵された一つ以上の保安キーを検索することができる全ての回路及びメカニズムを含む。一実施例において、レジスタ部29は受信された検索基準の変化に関してサイズ及びまたはキャラクターが変わる索引データを受信することができるレジスタを含む。例えば、検索基準のそのような変化は互いに異なるネットワークまたは特定ネットワーク(例えば、Ad−Hocネットワーク)内の互いに異なるエレメントから受信された互いに異なる形態のデータパケットに起因する。
レジスタ部29はまた特定の情報を貯蔵するように指定された専門レジスタを含む。例えば、使用者モードレジスタは移動装置のための使用者定義オプションと関連された情報を貯蔵することができる。あるアドレスレジスタは交代及びアップデータを必要とするアドレス位置を示すポイントを貯蔵するのに使用することができる。
マッパmapper28はマッピングテーブル、有限状態マシンまたは受信された検索基準、及び連想メモリ部22、メモリ部23、及び/またはデフォルトメモリ24に貯蔵されたデータによってマッピング動作を充分に実施する類似機能を含むことができる。
本発明の関連実施例においてRSKEに対する検索基準の適合した選択及び適用はメモリに貯蔵されるエントリの数を潜在的に減少させることができる。即ち、連想メモリからの “索引出力”及び“索引基準”によって選択された検索基準の少なくとも一つの部分の混合使用はメモリに貯蔵された複数の可能な保安キーから所望する保安キーの効果的な位置を可能にする。
図6に示されたモデムシステムはこの点をさらに詳述する。ここで、検索基準はKSE制御部21に適用され、索引(インデックス)選択器25の回路またはメカニズムは検索基準から索引データを得る。検索基準の全体または選択された一部が索引動作部35で“索引基準”が適用される。索引選択器25によって得られた索引データは連想メモリ部(例えば、CAM:22)で少なくとも一つのエントリを見付けるのに使用される。少なくとも一つのCAMエントリは索引動作部35に出力される“索引出力”である。索引動作部はメモリ部23またはデフォルトメモリ24に貯蔵された保安キーを認証するメモリアドレスを生成するために、受信された入力(例えば、少なくとも索引基準及び索引出力)で論理的にまたは数学的動作を実行する。
このような点で、メモリ部23及び/またはデフォルトメモリ部24は特定の保安キーと関連された一つまたは多重のコンポーネントを貯蔵する階層的メモリとすることができる。
図6に表示された索引選択器25は図5のレジスタ29及び/またはマッパ28の形態を有することができ、マトリックス、シフトレジスタのような装置及び検索基準から索引データ及び/または索引基準を選択的に抽出する他の選択装置を含む単純な結線回路、静的、動的及び/またはプログラム可能なメカニズムの形態を有することができる。索引データは文脈上連想メモリ部22のための“lookup word”と看做される。一実施例として、索引基準は検索基準から選択または得られた少ない数のビットのみを含む。
索引動作部35はメモリアドレスを発生するための多くの可能な方法で索引出力及び索引基準(及び潜在的に異なる入力)を操作する。例えば、このような2つの入力はメモリアドレスを形成するために共に連結することができる。選択的に、索引動作部35はメモリアドレスを生成するために前記入力を使用するハッシング動作を実施することができる。実際に、索引出力及び索引基準が単にアドレスライン信号で関連メモリに適用される場合、索引動作部35は完全に省略することができる。
検索基準から選択または得られた索引基準と共に、KSE制御部21で索引選択器25によって検索基準から得られた索引データに基づいて、連想メモリ部22から生成された索引出力の使用は所望する保安キーと関連されたメモリアドレスの生成で卓越な柔軟性と効果を可能にする。
即ち、多重ネットワーク、互いに異なるプロトコール、及び/または互いに異なるデータパケット構成に関して可能な検索基準の広い範囲がRSKEで受信することができる。可能な検索基準の広い範囲から、KSE制御部は再構成可能なレジスタセット/マップ結合または類似索引選択器メカニズムを使用して適切な索引データ索引基準を得ることができる。
図7の流れ図は前述の言及した論議を拡張する。
本発明によって実現されたRKSEを含む移動装置を仮定すると、移動装置40によってデータパケットが受信されると代表的な方法が始められる。相応するデータパケット情報及び関連補助情報41が受信されると、RKSEは索引データ42及び索引基準43を得ることができる。索引データは連想メモリ44に貯蔵された相応する索引出力を見付けるために使用される。索引出力及び索引基準で、RKSEはメモリアドレス45を生成するために索引動作を実施し、少なくとも一つの保安キー47を得るためにメモリ46検索を実施する。適合した保安キーでRKSEは受信されたデータパケット48を処理することができる。
先に言及したように、関連補助情報の定義は使用者-定義制御オプション情報の参照を含むことができる。図8の流れ図は制御オプション情報を前記関連補助情報に含ませることができる方法を説明する。まず、使用者オプション選択ルーチンが実行される(ステップ55)。このルーチンは移動装置の量産の際または小売商での設定プログラミングの際一回性手続きで実行することができる。選択的に、前記ルーチンは使用者によって実行することができる。例えば、移動装置使用者はオプションメニュー順序で使用者が連結したいと欲するネットワーク(WLAN、WMAN、Ad−Hoc、QoSなど)の数、形態またはアイデンティティまたは(例えば、WEP及びWPA間の)使用者が付着したいと欲する保安境界を選択することができる。
使用者のオプション選択ルーチンの間の選択は、データを移動装置56の内部に貯蔵するようになる。例えば、図5のレジスタ部29内の専門レジスタは使用者オプション選択ルーチンの結果で定義された制御オプション情報を貯蔵するのに使用することができる。
貯蔵された制御オプション情報は、KSE制御部57に適用される検索基準の補助情報部分に対する定義に有用である。このような方法で、使用者オプションは少なくとも一つのネットワークの間の選択された交換性を可能にする。即ち、選択されたオプションは関連保安キーを検索するか、提供するRKSEによって使用される検索基準と任意に合併することができるので、互いに異なるデータプライバシメカニズムは特定の使用者選択オプションに関してイネイブル、ディセイブル、または定義される。
残りの考慮事項は検索基準の適合な選択、検索基準からの索引データ及び/または索引基準の誘導、索引出力を得るために連想メモリに索引データを適用、保安キー一つ以上のコンポーネントを貯蔵している少なくとも一つのメモリ記憶場所を確認するための少なくとも一つの索引出力の適用である。
検索基準の選択は移動装置に潜在的に連結された多様なネットワークによって変化する。前記所望する保安キーを適切に選択することができ、効果的な索引データを定義することができるように、それぞれの連結されたネットワークは充分に有能し特定な検索基準データセットを提供しなければならない。しかし、索引データの定義及び連想メモリの適用と関連するデータ計算及びデータ貯蔵条件を最小化するために、理想的に検索基準及び索引データは適当な、または最小のデータセットを形成する。検索基準及び幾つかの無線ネットワーク動作内で保安キーの索引及び検索に適合した索引データの選択された例が以後説明される。これは単に選択された例である。説明されたネットワーク及び他のネットワーク(無線または其の他)に対する多くの互いに異なる検索基準及び/または索引データ構成が可能である。
また、下記の例で、一般的に階層的メモリを仮定する。勿論、検索可能な方法で関連された保安キーを貯蔵することができる間は有能なメモリアーキテクチャが十分である。しかし、下記のメモリアーキテクチャは特別に一般的に関連された保安キーコンポーネントを含む保安キーの範囲に対してうまく作動する。下記の例でわかるように、複数の互いに異なる形態の保安キーは少なくとも一つのネットワークのためのデータプライバシメカニズムと潜在的に関係される点で階層的メモリ構造は重要な長所を有している。
802.11−コンポーネント WLANネットワーク及び図9のブロックダイアグラムと関連する前記ブロック図を参照する。ここで、KSE制御部21に適用されるパケット情報はアドレスデータ、キーIDデータ、及びQCデータを含む。補助データは移動装置データパケット伝送TXまたは移動装置データパケット受信RXのインジケイションを含む。
検索基準の組合せから索引データを形成することができる。付加的に、索引基準でUseGK選択を使用することができる。UseGK選択はWPA2プロトコール実行及びBBSまたはIBBSでのWPA2動作の間の使用者選択を参照にする。
802.11コンピテンシは一般的にlegacy WEP,WPA(802.11のsubset)WP2(full 802.11)、及びQoS(802.11e)を含む多重プロトコールの間の交換性を必要とする。
このような互いに異なるプロトコールを使用して、次のキー意味を示す。
(1)WEPプロトコールが使用される場合:
シングルデフォルトキーDKのみが保安キーとして使用され、
Pairwise Key:PKまたはグループキーGKは使用されない。
(2)BBSでWPAプロトコールが使用される場合:
移動装置当たり一つ(1)のPKが使用され、
BSS当たり一つ(1)のGKが使用される。
(3)IBBSでWPAプロトコールが使用される場合:
BSS当たり一つ(1)のGKが使用され、
移動装置当たり一つ(1)のグループキー初期化ベクトルGKIVが使用される。
(4)BSS(UseGK=1)でWPA2プロトコールが使用される場合:
移動装置当たり(1)のPK使用され:
BSS当たり一つ(1)のGKが使用される。
(5)IBBS(UseGK=1)でWPA2プロトコールが使用される場合:
移動装置当たり一つ(1)のPK一つのGKを使用する。
(6)ロッカルブロードキャスト能力と共に802.11eは、
(a)legacy WEP:
単一デフォルトキーDKのみが保安キーで使用され、
pairwiseキーまたはグループキーGKは使用されない。
(b)QBSS(UseGK=1)でのWPA:
移動装置当たり一つ(1)のPK及び一つ(1)GKIVが使用される。
QBSS当たり一つ(1)のGKが使用される。
(c)QBSS(UseGK=1)でWPA2:
(d)IBSS(UseGK=1)でWPA2のとき、
移動装置当たり一つ(1)のPK及び一つ(1)のGKが使用される。
前記言及で、DKs及びGKsは非常に類似する。DKs及びGKsは全部BSSで共有されたキーである。即ち、BSSでの全てのAP及び移動装置は同じDKまたはGKを共有する。WEPプロトコールを使用するとき、DKは使用者によって設定される。しかし、WPAまたはWPA2プロトコールを使用するとき、GKはプロトコールによって自動で設定される。
一般的な802.11competencyはまた互いに異なるプロトコールによって構成されたデータパケットを受け入れる能力を必要とする。互いに異なるWLAMプロトコールと関連された検索基準の他の主要部から索引データを誘導することを示す前記例に関して説明する。
しかし、前記例を考慮する前提として、二つの任意の入力“UPDATE_IV”及び“NEW_IV”に対する論議は正当化される。802.11complianceはWPA2のAESを実行する必要な全ての機能を実施する能力を必要とする。データパケット暗号化及び/または暗号解読はWPA2プロトコールを使用するデータパケットの交換中全てのフレームで発生する。従って、それぞれのデータフレームは典型的に暗号化/暗号解読キー、該当する暗号、及び該当するIVを含む新しい保安キーを必要とする。三つの保安キーコンポーネントそれぞれのためのメモリアドレスはKSEで以前フレームから知ることができる。UPDATE_IV及びNEW_IV信号はWPA2標準によって提供されたIVメモリエントリの即刻的なアップデータを許容する。従って、次の例を通じて、WPA2を完全に実現するに必要な二つの入力は一般的に含まれる。
図9に示すように、一実施例で、KSE制御部21に適用される補助情報は移動装置がデータを伝送するかまたは受信するかの表示を含む。移動装置、移動装置の動作モード、または他のネットワークエレメントに関連する他の情報も補助情報に含むことができる。例えば、KSE制御部21に含まれたレジスタはUseGK変数に関して使用者選択を表示するオプション情報を貯蔵することができる。
少なくとも一つの受信されたデータパケットから索引データ及び/または索引基準を選択するのはデザイン選択の問題である。しかし、多様なWLAMプロトコールに関して作られた幾つかの可能な選択が図10ないし図14で提案される。
図10はlegacy802.11プロトコールのための暗号化能力のない凡庸データフレームを示す。ここで、アドレス1、受信RXネットワークエレメントのMACアドレス、及びアドレス2、送信TXネットワークエレメントのMACアドレスは、KSEメモリに貯蔵されたDKを認証するための索引データとして使用することができる。
図11は802.11WEPまたは802.11iデータフレームを示す。TX及びRX MACアドレスはIVデータフィールド及び関連CRC(Cyclical Redundancy Code)ビットまたはパリティビットICVから選択されたデータビットに添付することができる。
図12はWPA及びWPA2プロトコールに対応する802.11iデータフレームを示す。WPAプロトコールはTKIPを実行しWPA2はCCMPを実行する。ここで、TX及びRX MACアドレスは拡張されたIVデータフィールドから選択されたビット及び対応するメッセージ保全テェックmessage integrity check:MICビット及びICVビットに添付することができる。“Replay”のような選択された802.11i機能のために一般的にKSEとデータフレームとは貯蔵される必要があるが、単に、知能的に選択されたデータワードまたはビットは索引データ及び/または索引基準の定義内での使用のために抽出される必要がある。
図13は802.11eプロトコールを使用するQoSを実行するに適合したlegacyWEPデータフレームを示す。ここで、MACアドレス、ICVビット、及びIVビットはデータトレピック認証またはサービスの等級を決定する優先権を提供する選択されたQuality Class:QSビットによって添付されることができる。
図12に示されたそれぞれのデータフレーム例がどのように類似に変更されることができるかを図13に示されたデータフレーム例から容易に類推することができる。このような変更は図14に示される。
データパケット情報の特定の例と共に、先に述べた補助情報及び制御オプション情報と同時に、多重ネットワークから発生する複数のプロトコールに一般的に有用な検索基準がどのように索引データ及び/または索引基準を定義するのに使用されるのかを知ることができる。
前記言及した事項に付加して、ブロードキャスト/マルチキャスト動作モード対ユニキャスト動作モードを表示する移動装置セッティングは、検索基準の一部として使用することができる。さらに、使用される保安キー暗号形態(例えば、使用者グループ暗号またはノーマル暗号(WEP、TKIP、またはCCMP)は検索基準に含むことができる。
連想メモリの索引データによる検索の結果は厳格に線形的な方法で使用される必要はない。例えば、図15に示された流れ図を考察してみよう。ここで、検査基準が受信され(ステップ100)、索引データ(及び/索引基準)が定義され(ステップ101)、及び連想メモリは検索される(ステップ102)。連想メモリの検索結果は“HIT”(適用された索引データに相応するCAMメモリエントリが発見された場合)または“MISS”(CAMメモリエントリが発見されない場合)を結果で示すことができる。潜在的に選択された検索基準と共に、MISS状態に対応する索引出力は少なくとも一つのデフォルトメモリアドレス104を得るために使用される。少なくとも一つのデフォルトメモリアドレスを使用して、DKはDMEN(1)に位置し、対応するDKIVはDMEM2に位置する。このような方法で、関連または階層的メモリは保安キーのコンポーネントを位置させるためにふさわしい長所故に使用される。
一方、再度潜在的に選択された検索基準と共に、HIT状態に対応する索引出力が使用される場合、少なくとも一つのメモリMENアドレスが得られる(ステップ107)。その後、PKまたはGKはMEN(1)に位置し対応するPKIVまたはGKIVはMEN(2)に位置する(ステップ109)。DK+DKIV、PK+PKIV、またはGK+GKIVを含む保安キーが一度得られると、KSE結果を出力する。(ステップ110)
図16及び図17に示された流れ図はWLANプロトコール及び発明を実施するに適合した前記方法に関して作られた前述した多くの論議を要約する。図16は使用者がUseGK=1を選択した、WLANプロトコールと関連する。二つの移動装置(またはステイーションSTA)のうち一つの移動装置に関連するパケット情報(例えば、それぞれのMACアドレス)はCAM(1)を検索するために索引データで使用される。MISS状態はDMEM(1)から選択されたDK及びDMDEM2から選択された対応するDKIVで終わる。DKIVは補助情報による表示で移動装置がTXモードまたはRXモードであるかに基づいて部分的に選択される。
CAM(1)の検索から発生するHIT状態はCAM(1)から得られたPKアドレス及びGKアドレスはMEN(1)に貯蔵されたするPK及びGKを選択する。HIT状態、PKアドレス及びGKアドレスはTX及びRXインジケイションと共に対応するPKIV及びGKIVを選択するために使用される。
図17は使用者によってUseGK=0が選択されたWLANプロトコールと関連する。GK出力はUseGK選択に基づいてそれ以上表示できず、短期PKs及びDKsのみがそれらの対応するIVと共に検索に関連する。ここで、一般的にGKの使用を表示するMISS状態または他の状態は、前記のようにDMEM(1)及びDMEM(2)それぞれからDK及びDKIVを選択することで終わる。PK及びPKIVも前記のようにMEN(1)及びMEN(2)から選択される。
前記言及した全てのメモリアドレス及びデフォルトメモリアドレスのうちいずれか一つを含み所望する保安キーアドレスのために、連想メモリを効果的に検索するに適合した有能な索引データを形成するために他のWLANプロトコールのうち一つに関して受信された検索基準をどのように使用することができるかを詳細に説明する。この保安キーアドレスは定義されたメモリ階層から保安キーの多様なコンポーネントを位置させるために選択された索引基準と共に索引出力で適用されることができる。図16及び図17に示した例で、キー及び対応するIVが配置される。適当な数の他のコンポーネントも対応するメモリ階層で見付けることができる。
従って、複数の互いに異なるWLANを通じて成功的に移動することができ、複数の貯蔵された保安キー(個別的なWLANによって使用される互いに異なるプロトコール及びデータプライバシメカニズムに関係なしに)から所望する保安キーを認証することができるRKSEを使用する多重WLANに同時に連結することができる移動装置を創造することができる。
WMANに関して類似する能力が説明される。前記言及したように、WMANはWLANと比較して全的に他のプロトコールを使用する。事実、現在提案されたWMAN標準が競争中である。しかし、本発明はWLANのようにWMANに容易に適用することができる。
一般的に、802.16標準は連結志向的で中央ベースステーションBSと多重独立移動装置間の一-対-多重(point−to−multipoint)構造を支援するように設計された媒体接近制御(Medium Access Control:MAC)を提供する。WMANの移動装置は一般的に対応するMACアドレスを有するが、MACアドレスはそれぞれのデータパケット通信フレームの間には使用されない。かえて、BS−移動装置間連結はそれぞれの接続識別情報CIDに割当される。
大部分のWMANプロトコールで、まず、帯域幅の割当を要請することで移動装置はBS関連される。その後、BSは帯域幅及び相応する一つ以上のCIDを割当する。BSはまた対応するSAIDを提供する。従って、例えば、移動装置がBSにデータパケットを送るとき、データプライバシを実行するための適当なSAIDが提供されなければならない。従って、移動装置は対応するCIDに基づいて複数の貯蔵されたSAIDから所望するSAIDを認証することができなければならない。言い換えれば、少なくとも一実施例において、CIDは少なくとも一つのWMANと連結されるに適合した移動装置でのアプリケーションを見付けるRKSEに適用される検索基準の一部になる。関連実施例において、WMAN CIDに関して日常的に提供される暗号キーシーケンスも検索基準で使用することができる。
WLAN保安キーのように、WMAN保安キーは一般的に多重コンポーネントを含む。例えば、802.16プロトコールを見てみると、対応する保安キーは少なくとも一つのトラヒック暗号化キー(Traffic Encryption Key:TEK)及び対応するIVを含んでいる多重コンポーネントを含む。関連SA値は一般的に複雑な暗号の一部として保安キーと関連される。
しかし、図18を参照すると、第1メモリ121の出力は所望する保安キーと関連された他の情報を認証するために関連された階層メモリで任意で使用することができる。例えば、第1メモリ121から出力された第2索引データは第3連想メモリ126を検索するために使用することができる。検索は論理的索引動作部(表示せず)の第2索引データに対する索引基準のアプリケーションによって実施することができる。第3連結メモリ126からの索引出力は所望する保安キー情報を得るために第4メモリMEN4、127を参照して使用することができる。実際に、適当な数の直列連結された連想メモリ検索及び随伴されたメモリ参照は所望するWMAN保安キーのコンポーネントを早く配置するために使用することができる。
図18において、第1メモリ121からの第2索引データ出力は第2索引出力(例えば、第3メモリ(MEN3、125)に適用するためのメモリアドレス)を得るために第2連想メモリCAM2、122に適用される。第2索引出力に応答して、第3メモリMEN3、125は所望する保安キーに対応するSAを出力する。図18の図解的な例で、第2索引出力は索引基準によって論理的に索引動作部(123、例えば、加算器または連関回路)に適用される。論理的索引動作部123の出力はその後、所望する保安キーに対応するTEK及びIVを選択するために第2メモリ(MEN2、124)に適用される。
本発明の一実施例において、論理的索引動作部123に適用される索引基準はEKSから選択された少なくとも一つのビットを含む。例えば、EKSの最上位ビットMSB及び最下位ビットLSBは第2メモリ13に貯蔵されたTEK及びIV組合せ間の選択のために使用することができる。
前述したように、本発明によって実現されたRKSEを含んでいる移動装置が多重WLAN及びWMANシステム間にどのように移動することができるか、または多重WLANまたはWMANシステムにどのように同時に連結することができるかを知ることができる。即ち、互いに異なるWLAN及びWMANの間のように、互いに異なるデータ通信プロトコール及び互いに異なるデータプライバシメカニズムの可能性はRKSEが少なくとも一つのWLANまたはWMANから受信されたデータパケットに相当して所望する保安キーを効果的に配置することを防ぐことができない。
前記概念は図19及び図20に図解された例でさらに拡張される。図19は少なくとも一つのWLAN及び少なくとも一つのWMANとインターフェースするために適合した移動装置10で単一RKSE20の使用を概念的に説明する。互いに異なるプロトコールにも関わらず、単一RKSE20のみが移動装置10に含まれる。即ち、移動装置10の少なくとも一つのWLAN130と関連した回路及び機能、及び少なくとも一つのWMAN140と関連した回路及び機能全部はRKSE20によって生成された共通資源を使用する。
図20は本発明の前記言及した面を詳細に説明する。ここで、パケット情報は、例えば、EKS、KeyID、及びQCから選択されたビットだけではなくMACアドレス及びCIDsを含むことができる。補助情報は、例えば、RX/TXインジケイション及びプロトコールインジケイションを含むことができる。任意で提供される制御オプション情報と共に公平に限定された検索基準集合から、RKSEは複数の貯蔵された保安キー内の所望する保安キーKSE_RESULTを配置し出力することができる。
例えば、連結メモリ22、メモリ23及びデフォルトメモリ24を含む階層メモリは所望する保安キー、特に、多重コンポーネントを含む保安キーを効果的に提供するために説明したような類似した方法で使用することができる。
多くの使用者-定義制御オプンションが図19及び図20の例に含まれて存在する。(“使用者”は最終使用者、小売商、または移動装置に関する工場プログラマであることができる。)例えば、使用者は次のうち一つを選択することができる。(1)WMANまたはWLAN連結中の一つを可能にする単位ループ動作モードまたは(2)WMANまたはWLAN連結全部可能にする二重動作モード。単一動作モードが選択された場合、使用者はその後UseGKモードを選択することができる。UseGK=1である場合、Ad−Hocネットワーク内のある形態の移動装置連結を可能にする。
図21及び図22のダイアグラムで先に述べた概念がさらに説明される。図21は使用者が二重モード動作(即ち、WLAN及びWMAN動作)を選択し、UseGK=1である場合の本発明の一実施例に従う代表的なRKSE検索方法を説明する。図22は使用者が二重動作モード(即ち、WLAN及びWMAN動作)を選択し、UseGK=0である場合の本発明のさらにまた他の実施例に従う関連された代表的なRKSE検索方法を説明する。説明された二つの方法全部が図20に示されたRKSEで実現できる。
二つのダイアグラムで、マルチプレクサ150は、例えば、WLANから検索基準の有能なブロック及び/またはWMANから以前に実行された検索に対応する少なくとも一つのSAIDを受信するために使用される。
WMNA保安キーの追加された複雑性のため、図20のCAM1は少なくとも一つのSAIDアドレスを貯蔵するために使用され、例えば、CID及びEKSを含むWMAN関連検索基準から得られた索引データに関して検索される。CAM1で生じた索引出力はMEN1を参照し、少なくとも一つの対応するSAIDを見付けるのに使用される。他の情報と共に、SAIDと結合された索引基準の形態で提供されるSAIDは索引データとしてマルチプレクサ150を通じてCAM2に適用される。
WMAN検索ルーチンと継続して、CAM2に位置したSAIDエントリは対応する保安キーコンポーネントをMEN2及びMEN3に配置するのに使用される。図21の例において、SAIDエントリ及びEKSから選択されたビットの論理的結合はMEN2を参照するのに使用され、MEN2のエントリ(例えば、TEK及び/または関連データ)はその後MEN3を参照するのに(対応するIVを貯蔵する)使用される。
比較のために、WLANはWLAN検索基準から得られた索引データをマルチプレクサ150を通じてCAM2に直接適用する。HIT状態のためのCAM2からMEN2及びMEN3への検索流れだけではなく図16に示すようにMISS状態のためのDMEM2及びDMEM3への検索流れがある。
図22に示された代表的な検索流れはUseGK選択及びGKsのための可能な検索に関して図21の検索流れと異なる。図22に表示されたように、WMANからのSAID及びEKSデータはCAM2を検索するに使用される索引データと結合される点でCAM2は異なるように使用される。反対に、図21に示された方法でEKSデータは索引基準としてCAM2の索引出力に適用される。従って、図22に示された実施例においてCAM2の使用は明確により効率的である。
これは本発明の実施例によるRKSEと関連された階層的メモリが多くのデザインパラメータ及び目的通りにどのように変形されるかを示す多くの具体的な例のうちの一つである。互いに異なるアルゴリズムは互いに異なるデータプロトコール及び特異な多重-コンポーネント保安キーに関してRKSEメモリを検索するように構成することができる。多重-コンポーネント保安キーの場合、関連メモリ階層を通じて一連の検索は特に有益に使用することができる。従って、少なくとも一つのメモリ及び/または連想メモリを含む構造を含んで複数のメモリ構造が可能である。前述したいくつかの例で示すように、デフォルトメモリは特にlegacyプロトコールまたは検索ミスに関してよい長所として使用することができる。
適当な数のデータソース(関連データソース及び異なるもの全部)はRKSEによって使用することができる検索基準を形成するように要求されることができる。検索基準から、索引データ及び索引基準は定義されることができ、RKSEメモリに貯蔵されたデータを通じて効果的な検索アルゴリズムを構成するのに適用されることができる。
本発明の実施例において、使用者-定義制御オプションは、保安キー検索の問題に容易に適用することができる。前記言及したUseGK選択の例を考えてみよう。UseGK=1である場合、WPA2及び802.11eのようにプロトコールのために移動装置当たり一つのGKが使用される。そして、インデキシングCAMアドレスがグループアドレスの場合、一つのメモリエントリ{例えば、MEN(1)[INDEX(1)+1]}が配置され、インデキシングCAMアドレスがグループアドレスではない場合、他のメモリエントリ{例えば、MEN(1)[INDEX(1)]}が配置される。
暗号コンポーネントの特定形態(例えば、前記UseGroupCipher)を有する保安キーの検索に対するUseGK選択の影響を同様に考慮して見よう。本発明の一実施例に関して、TX動作の間に選択された暗号がUseGroupCipherであり、UseGK=0である場合、キー、暗号、及びIVはデフォルトメモリに位置する。
このような選択された例は互いに異なる動作モード及び互いに異なる使用者制御オプンションを有する移動装置を収容することができる本発明の能力及び柔軟性を説明する。
本発明に関して、有線で連結されたネットワークとは単に連結方式のみ異なる。独特なプロトコール結果で生じた保安キー問題及び有線で連結されたネットワークによって使用されるデータプライバシメカニズムは本発明によって容易に処理される。これは定められた複数のLegacy有線ネットワークで重要である。従って、提示され無線ネットワークに関して表示された例に由来する原則及び概念は有線ネットワークにも適用することができる。
以上、本発明を実施例によって詳細に説明したが、本発明はこれに限定されず、本発明が属する技術分野において通常の知識を有する者であれば、本発明の思想と精神を離れることなく、本発明を修正または変更できる。
本発明の一般的な動作環境、特に本発明を適用した移動装置に対して示す。 本発明の他の動作環境、特に本発明を適用した移動装置に対して示す。 移動装置に対する一実施例を示す。 本発明によるRKSEの一実施例を示すブロック図である。 図4のKSE制御部の詳細な実施例を示すブロック図である。 本発明によるRKSEと関連された代表的な検索方法の論理流れを示す。 本発明によるRKSEと関連された他の代表的な検索方法を示す流れ図である。 本発明によるRKSEを適用した代表的な検索方法の関連様相を示す流れ図である。 代表的な検索基準を受信する本発明によるRKSEのまたの実施例を示すブロック図である。 本発明によるRKSEに関して使用可能な選択された代表的なデータパケットを示す。 本発明によるRKSEに関して使用可能な選択された代表的なデータパケットを示す。 本発明によるRKSEに関して使用可能な選択された代表的なデータパケットを示す。 本発明によるRKSEに関して使用可能な選択された代表的なデータパケットを示す。 本発明によるRKSEに関して使用可能な選択された代表的なデータパケットを示す。 本発明によるRKSEと関連された代表的な検索方法を示す流れ図である。 本発明によるRKSEと関連されたさらにまた他の代表的な検索方法を示す。 本発明によるRKSEと関連されたさらにまた他の代表的な検索方法を示す。 本発明によるRKSEと関連されたさらにまた他の代表的な検索方法に対する論理流れを示す。 本発明によるRKSEの一実施例と結合するに適合したさらにまた他の移動装置のブロック図である。 代表的な検索基準を受信する本発明によるRKSEのまた他の実施例を示すブロック図である。 本発明によるRKSEと関連された代表的な検索方法を示す。 本発明によるRKSEと関連されたさらにまた他の代表的な検索方法を示す。
符号の説明
移動装置 1
WMAN 2
WLAN 3
Ad-Hoc 4
移動装置 10、40
RF回路 11
モデム 12
暗号化/暗号解読回路 14
メモリ 15
CPU 16
RKSE 20
KSE制御部 21
キー検索エンジン制御部 23
デフォルトメモリ部 24
索引選択器 25
マッパ 28
連想メモリ 44
メモリアドレス 45
保安キー 47
データパケット 48

Claims (53)

  1. 複数の異なるネットワークのうちひとつのネットワークから検索基準を受信し、保安キーを提供し、前記複数の異なるネットワークにそれぞれ関連する複数の保安キーを貯蔵するメモリシステムを含むキー検索エンジンを具備する移動装置であり、
    前記メモリシステムは、
    前記検索基準から得た索引データに応答して索引出力を提供する連想メモリと、
    前記索引出力と前記検索基準から得た索引基準とに応答して前記保安キーを出力するメモリとを含み、
    前記検索基準は、前記移動装置に受信されたデータパケットに関連した少なくとも一つのデータパケット情報及び前記ネットワークのエレメントに関連した補助情報を含むことを特徴とする移動装置。
  2. 前記キー検索エンジンは、
    前記検索基準を受信し前記索引データを得るキー検索エンジン制御部を含むことを特徴とする請求項1記載の移動装置。
  3. 前記補助情報は、
    使用者により定義されたオプション選択に関連した制御オプション情報を含むことを特徴とする請求項記載の移動装置。
  4. 前記キー検索エンジン制御部は、
    前記検索基準を受信し前記保安キーを出力する入出力部と、
    前記キー検索エンジン制御部と前記連想メモリとを連結する連想メモリインターフェースと、
    前記キー検索エンジン制御部と前記メモリとを連結するメモリインターフェースと、をさらに含むことを特徴とする請求項2記載の移動装置。
  5. 前記キー検索エンジン制御部は、
    前記検索基準に応答して前記索引データを得る索引選択器をさらに含むことを特徴とする請求項2記載の移動装置。
  6. 前記索引選択器は、
    レジスタ部及びマッパを含むことを特徴とする請求項記載の移動装置。
  7. 前記レジスタ部は、
    マップ出力に応答して可変サイズまたは特性の索引データを出力するに適合した再設定可能なレジスタを含むことを特徴とする請求項記載の移動装置。
  8. 前記マッパは、
    マッピングテーブルまたは有限状態マシンを含むことを特徴とする請求項記載の移動装置。
  9. 前記複数の保安キーは、デフォルトキーを含み、前記メモリシステムは前記デフォルトキーを貯蔵するデフォルトメモリをさらに含むことを特徴とする請求項1記載の移動装置。
  10. 前記保安キーは、多重コンポーネントを含み、前記メモリは少なくとも一つの前記多重コンポーネントを貯蔵する多重メモリを含むことを特徴とする請求項記載の移動装置。
  11. 前記多重コンポーネントは、少なくとも一つの暗号化/暗号解読キー、暗号、及び初期化ベクトルIVを含むことを特徴とする請求項1記載の移動装置。
  12. 前記保安キーは、多重コンポーネントを含み、前記メモリは少なくとも一つの前記多重コンポーネントを貯蔵する多重メモリを含むことを特徴とする請求項1記載の移動装置。
  13. 前記多重コンポーネントは、
    少なくとも一つのSAID(Security Association Identifier)、TEK(Traffic Encryption Key)、SA(Security Association)及びIV(Initialization Vector)を含むことを特徴とする請求項1記載の移動装置。
  14. 前記連想メモリは、多重CAMs(Content Addressable Memories)を含むことを特徴とする請求項1記載の移動装置。
  15. 前記連想メモリは、多重CAMs(Content Addressable Memories)を含むことを特徴とする請求項1記載の移動装置。
  16. 前記連想メモリは、多重CAMs(Content Addressable Memories)を含むことを特徴とする請求項1記載の移動装置。
  17. 前記キー検索エンジンは、
    前記検索基準から得た索引基準と前記索引出力とを受信し、メモリアドレスを生成する索引動作部を含むことを特徴とする請求項1記載の移動装置。
  18. 前記索引動作部は、
    連関(concatenation)作業をする回路、ハッシング作業をする回路、または論理作業をする回路を含むことを特徴とする請求項1記載の移動装置。
  19. 前記キー検索エンジン制御部は、
    レジスタ部及びマッパを含み、前記レジスタ部及び前記マッパの動作によって前記データパケット情報及び前記補助情報から前記索引データを得る索引選択部をさらに含むことを特徴とする請求項記載の移動装置。
  20. 前記レジスタ部は、
    制御オプション情報を貯蔵するレジスタを含むことを特徴とする請求項19記載の移動装置。
  21. 前記索引選択部は、
    前記検索基準から得た索引基準と前記索引出力とを受信し、前記メモリに適用されるメモリアドレスを出力する索引動作部をさらに含むことを特徴とする請求項2記載の移動装置。
  22. 移動装置におけるキー検索エンジンであって、
    複数の異なるネットワークのうちひとつのネットワークから検索基準を受信して、前記検索基準から索引データを得て、保安キーを提供するキー検索エンジン制御部と、
    前記複数の異なるネットワークにそれぞれ関連する複数の保安キーを貯蔵するメモリシステムとを含み、
    前記メモリシステムは、
    前記索引データに応答して索引出力を提供する連想メモリと、
    前記索引出力と前記検索基準から得た索引基準とに応答して前記保安キーを出力するメモリとを含み、
    前記検索基準は、前記移動装置に受信されたデータパケットに関連した少なくとも一つのデータパケット情報及び前記ネットワークのエレメントに関連した補助情報を含むことを特徴とするキー検索エンジン。
  23. 前記補助情報は、
    使用者により定義されたオプション選択に関連した制御オプション情報を含むことを特徴とする請求項2記載のキー検索エンジン。
  24. 前記キー検索エンジン制御部は、
    前記検索基準を受信し、前記保安キーを出力する入出力部と、
    前記キー検索エンジン制御部と前記連想メモリとを連結する連想メモリインターフェースと、
    前記キー検索エンジン制御部と前記メモリとを連結するメモリインターフェースと、をさらに含むことを特徴とする請求項2記載のキー検索エンジン。
  25. 前記キー検索エンジン制御部は、
    前記検索基準に応答して前記索引データを得る索引選択器をさらに含むことを特徴とする請求項2記載のキー検索エンジン。
  26. 前記索引選択器は、
    レジスタ部及びマッパを含むことを特徴とする請求項2記載のキー検索エンジン。
  27. 前記レジスタ部は、
    マップ出力に応答して可変サイズまたは特性の索引データを出力するに適合した再設定可能なレジスタを含むことを特徴とする請求項2記載の移動装置。
  28. 前記マッパは、少なくとも一つの前記検索基準、連想メモリデータエントリ、及びメモリデータエントリに応答してマッピング作業を実施することを特徴とする請求項2記載のキー検索エンジン。
  29. 前記マッパは、
    マッピングテーブルまたは有限状態マシンを含むことを特徴とする請求項28記載のキー検索エンジン。
  30. 前記複数の保安キーは、デフォルトキーを含み、前記メモリシステムは前記デフォルトキーを貯蔵するデフォルトメモリを含むことを特徴とする請求項2記載のキー検索エンジン。
  31. 前記保安キーは、多重コンポーネントを含み、前記メモリは少なくとも一つの前記多重コンポーネントを貯蔵する多重メモリを含むことを特徴とする請求項3記載のキー検索エンジン。
  32. 前記多重コンポーネントは、
    少なくとも一つの暗号化/暗号解読キー、暗号、及び初期化ベクトルIVを含むことを特徴とする請求項3記載のキー検索エンジン。
  33. 前記保安キーは、多重コンポーネントを含み、前記メモリは少なくとも一つの前記多重コンポーネントを貯蔵する多重メモリを含むことを特徴とする請求項2記載のキー検索エンジン。
  34. 前記多重コンポーネントは、
    少なくとも一つのSAID、TEK、SA及びIVを含むことを特徴とする請求項3記載のキー検索エンジン。
  35. 前記検索基準から得た索引基準と前記索引出力とを受信し、メモリアドレスを生成する索引動作部をさらに含むことを特徴とする請求項2記載のキー検索エンジン。
  36. 前記索引動作部は、
    連関動作を実施する回路、ハッシング動作を実施する回路、または論理動作を実施する回路を含むことを特徴とする請求項3記載のキー検索エンジン。
  37. 第1プロトコールによってデータを通信する第1ネットワーク及び第2プロトコールによってデータを通信する第2ネットワークに連結するに適合する移動装置であって、
    再設定キー検索エンジンを具備し、前記再設定キー検索エンジンは、
    前記第1及び第2ネットワークに関連する複数の保安キーを貯蔵するメモリシステムと、
    前記移動装置によって受信されたデータパケット情報を含む検索基準に応答して前記複数の保安キーから選択された保安キーを出力するキー検索エンジン制御部と、を含み、
    前記メモリシステムは、
    前記検索基準から得た索引データを受信し、索引出力を出力する連想メモリと、
    前記索引出力と前記検索基準から得た索引基準とから得たメモリアドレスを受信し、前記メモリアドレスに応答して前記保安キーを出力するメモリと、を含み、
    前記検索基準は、前記移動装置に受信されたデータパケットに関連した少なくとも一つのデータパケット情報及び前記第1及び第2ネットワークのエレメントに関連した補助情報を含むことを特徴とする移動装置。
  38. 前記第1ネットワークは無線近距離通信網WLANで、前記第2ネットワークは無線都市圏通信網WMANまたはAd−Hocネットワークであることを特徴とする請求項3記載の移動装置。
  39. 前記索引出力は、前記索引データが連想メモリエントリを確認する場合HIT状態を示し、前記索引データが連想メモリエントリを確認することができない場合MISS状態を示すことを特徴とする請求項37記載の移動装置。
  40. 前記メモリシステムは、
    前記MISS状態が示されるとき前記メモリアドレスを受信するデフォルトメモリと、
    前記HIT状態が示されるとき前記メモリアドレスを受信する前記メモリと、をさらに含むことを特徴とする請求項39記載の移動装置。
  41. 前記デフォルトメモリは、
    前記保安キーの関連コンポーネントを貯蔵する多重デフォルトメモリを含む階層的メモリであり、
    前記多重デフォルトメモリは前記受信されたメモリアドレスに反応することを特徴とする請求項4記載の移動装置。
  42. 前記メモリは、
    前記保安キーの関連コンポーネントを貯蔵する多重メモリを含む階層的メモリであり、
    前記多重メモリは前記受信されたメモリアドレスに反応することを特徴とする請求項4記載の移動装置。
  43. 前記メモリは、
    前記保安キーの関連コンポーネントを貯蔵する多重メモリを含む階層的メモリであり、
    前記多重メモリは前記受信されたメモリアドレスに反応することを特徴とする請求項4記載の移動装置。
  44. 前記再設定キー検索エンジンは、
    前記索引出力及び前記索引基準を受信する索引動作部をさらに含み、
    前記索引出力及び前記索引基準で論理的動作を実施して前記メモリアドレスが得られることを特徴とする請求項37記載の移動装置。
  45. 前記論理的動作は、連関動作(concatenation)またはハッシュ(hash)動作であることを特徴とする請求項4記載の移動装置。
  46. 前記補助情報は使用者により定義されたオプション選択に関連する制御オプション情報を含むことを特徴とする請求項37記載の移動装置。
  47. 前記索引基準は、前記制御オプション情報に関して少なくとも一部分に対して定義されることを特徴とする請求項46記載の移動装置。
  48. 前記キー検索エンジン制御部は、
    前記検索基準を受信し前記保安キーを出力する入出力部と、
    前記キー検索エンジン制御部と前記連想メモリとを連結する連想メモリインターフェースと、
    前記キー検索エンジン制御部と前記メモリとを連結するメモリインターフェースと、
    をさらに含むことを特徴とする請求項37記載の移動装置。
  49. 前記メモリシステムは、
    前記キー検索エンジン制御部から第1索引データを受信し第1索引出力を出力する第1CAMと、
    前記第1索引出力から第1メモリアドレスを得て、第1保安キーコンポーネント出力を出力する第1メモリと、
    前記第1保安キーコンポーネント出力から第2索引データを受信し第2索引出力を出力する第2CAMと、
    前記第2索引出力を受信し第2保安キーコンポーネント出力を出力する第2メモリと、を含むことを特徴とする請求項48記載の移動装置。
  50. 前記第1保安キーコンポーネント出力は、SAIDであり、前記第2保安キーコンポーネント出力はTEK及び相応するIVを含むことを特徴とする請求項49記載の移動装置。
  51. 無線ラン(WLAN)で通信するに適合した第1回路及び無線マン(WMAN)で通信するに適合した第2回路またはAd−Hocネットワークをさらに含み、
    前記第1回路及び第2回路はそれぞれの保安キーを得るために一般的に前記再設定キー検索エンジンにアクセスすることを特徴とする請求項38記載の移動装置。
  52. 前記第1ネットワークは無線ラン(WLAN)であり、前記第2ネットワークは無線マン(WMAN)またはAd−Hocネットワークであり、
    前記複数の保安キーは複数の無線ランWLAN−関連保安キー、及び複数の無線マン(WMAN)−関連保安キーまたは複数のAd−Hocネットワーク−関連保安キーを含み、
    前記移動装置はデータパケットを受信するラジオ周波数受信器を含み、
    前記再設定キー検索エンジンは受信されたデータパケットが前記無線ラン(WLAN)から由来した場合、前記複数の無線ラン−関連保安キーから選択された無線ラン−関連保安キーを出力し、
    受信されたデータパケットが前記無線マン(WMAN)に由来した場合、前記複数の無線マン−関連保安キーから選択された無線マン−関連保安キーを出力し、または、
    受信されたデータパケットが前記Ad−Hocネットワークに由来した場合、前記複数のAd−Hocネットワーク−関連保安キーから選択されたAd−Hocネットワーク−関連保安キーを出力することを特徴とする請求項38記載の移動装置。
  53. 前記メモリシステムは、
    デフォルトキーを含み選択された少なくとも一つの無線ラン保安キーを貯蔵するデフォルトメモリをさらに含むことを特徴とする請求項5記載の移動装置。
JP2005229498A 2004-08-12 2005-08-08 再設定可能なキー検索エンジン Active JP4960613B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR2004-063397 2004-08-12
KR1020040063397A KR100735577B1 (ko) 2004-08-12 2004-08-12 무선 네트워크의 적응형 키검색장치 및 방법
US11/081,000 US20060034461A1 (en) 2004-08-12 2005-03-16 Reconfigurable key search engine
US11/081000 2005-03-16

Publications (2)

Publication Number Publication Date
JP2006081167A JP2006081167A (ja) 2006-03-23
JP4960613B2 true JP4960613B2 (ja) 2012-06-27

Family

ID=36160198

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005229498A Active JP4960613B2 (ja) 2004-08-12 2005-08-08 再設定可能なキー検索エンジン

Country Status (4)

Country Link
JP (1) JP4960613B2 (ja)
DE (1) DE102005038410A1 (ja)
FR (1) FR2874441A1 (ja)
GB (1) GB2417399B (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2088732A1 (en) * 2008-02-06 2009-08-12 Micronas GmbH Apparatus and method for secure data processing
CN101916233B (zh) * 2010-09-14 2013-04-10 湖南源科高新技术有限公司 计算机的数据清除方法和计算机
JP2017135599A (ja) * 2016-01-28 2017-08-03 サイレックス・テクノロジー株式会社 無線基地局装置、無線通信システム、及び、無線基地局装置の制御方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5222137A (en) * 1991-04-03 1993-06-22 Motorola, Inc. Dynamic encryption key selection for encrypted radio transmissions
US5481610A (en) * 1994-02-28 1996-01-02 Ericsson Inc. Digital radio transceiver with encrypted key storage
US5960088A (en) * 1996-10-15 1999-09-28 Fore Systems, Inc. Method and apparatus for secure transmission of ATM cells
JP2000197086A (ja) * 1998-12-28 2000-07-14 Casio Comput Co Ltd デ―タ通信システム
JP3436194B2 (ja) * 1999-07-30 2003-08-11 日本電気株式会社 無線通信システムにおけるコネクション管理装置および方法
JP2001053801A (ja) * 1999-08-11 2001-02-23 Hitachi Cable Ltd パケット流量測定方法
FI109639B (fi) * 1999-12-22 2002-09-13 Nokia Corp Menetelmä salausluvun välittämiseksi tiedonsiirtojärjestelmässä ja tiedonsiirtojärjestelmä
US20030007489A1 (en) * 2001-07-09 2003-01-09 Ram Krishnan Data extraction system for packet analysis
JP3489573B2 (ja) * 2001-07-11 2004-01-19 日本電気株式会社 パケット処理装置
US7167471B2 (en) * 2001-08-28 2007-01-23 International Business Machines Corporation Network processor with single interface supporting tree search engine and CAM
MXPA04005487A (es) * 2001-12-07 2004-12-06 Qualcomm Inc Aparato y metodo de uso de una clave cifrada en una red de comunicaciones hibrida.
US7607015B2 (en) * 2002-10-08 2009-10-20 Koolspan, Inc. Shared network access using different access keys
US7594113B2 (en) * 2002-10-11 2009-09-22 Panasonic Corporation Identification information protection method in WLAN inter-working

Also Published As

Publication number Publication date
GB0515247D0 (en) 2005-08-31
GB2417399A (en) 2006-02-22
GB2417399B (en) 2007-04-25
FR2874441A1 (fr) 2006-02-24
DE102005038410A1 (de) 2006-02-23
JP2006081167A (ja) 2006-03-23

Similar Documents

Publication Publication Date Title
US9819482B2 (en) Reconfigurable key search engine
US7647508B2 (en) Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks
US8538023B2 (en) Methods and apparatuses for administrator-driven profile update
US8331567B2 (en) Methods and apparatuses for generating dynamic pairwise master keys using an image
US7395427B2 (en) Authenticated key exchange based on pairwise master key
US7339915B2 (en) Virtual LAN override in a multiple BSSID mode of operation
US7881475B2 (en) Systems and methods for negotiating security parameters for protecting management frames in wireless networks
US20060149858A1 (en) Establishing wireless universal serial bus (WUSB) connection via a trusted medium
US7805603B2 (en) Apparatus and method of protecting management frames in wireless LAN communications
US20050201564A1 (en) Wireless communication system
US11838417B2 (en) Subscription concealed identifier (SUCI) supporting post-quantum cryptography
JP4759373B2 (ja) 通信装置及び通信方法、並びにコンピュータプログラム
JP2004266835A (ja) アクセスポイント間のレンジ拡張
JP2005184463A (ja) 通信装置および通信方法
JP2006109449A (ja) 認証された無線局に暗号化キーを無線で提供するアクセスポイント
US20050063542A1 (en) Method of generating an encryption key without use of an input device, and apparatus therefor
US20190260587A1 (en) Security authentication method and system, and integrated circuit
US20040196979A1 (en) Encryption/decryption device and method for a wireless local area network
AU2022230636A1 (en) Method and system for wlan multi-link tdls key derivation
JP4960613B2 (ja) 再設定可能なキー検索エンジン
TWI772211B (zh) 一種無線通訊方法及相關的裝置
WO2024011645A1 (zh) 密钥生成方法、装置、设备及介质
CN116506850B (zh) 网络接入方法、装置、无线站点、目标服务器和存储介质
GB2431320A (en) Reconfigurable key search engine
JP2006279601A (ja) 無線装置の暗号鍵の管理方法及び無線装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080731

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111004

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120306

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120323

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150330

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4960613

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250