KR101570039B1 - 보안 연계와 관련된 다수 연결 패킷들 결합하여 암호화 오버헤드를 줄이기 위한 시스템 및 방법 - Google Patents
보안 연계와 관련된 다수 연결 패킷들 결합하여 암호화 오버헤드를 줄이기 위한 시스템 및 방법 Download PDFInfo
- Publication number
- KR101570039B1 KR101570039B1 KR1020107026868A KR20107026868A KR101570039B1 KR 101570039 B1 KR101570039 B1 KR 101570039B1 KR 1020107026868 A KR1020107026868 A KR 1020107026868A KR 20107026868 A KR20107026868 A KR 20107026868A KR 101570039 B1 KR101570039 B1 KR 101570039B1
- Authority
- KR
- South Korea
- Prior art keywords
- payloads
- security
- pdu
- header
- mac
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/04—Protocols for data compression, e.g. ROHC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 보안 연계와 관련된 다수 연결 패킷들 암호화하기 위한 것으로, 송신단의 동작 방법은, 보안 연계(security association)와 관련된 다수의 페이로드(payload)들을 포함하는 MAC(Medium Access Control) PDU(Protocol Data Unit)를 생성하는 과정과, 상기 MAC PDU를 송신하는 과정을 포함한다.
Description
본 발명은 일반적으로 전자 데이터 통신에 관한 것으로, 특히, 본 발명은 암호화를 위한 방법과 시스템에 관한 것이다.
현재 시나리오에서, 광대역 무선 네트워크들은 인터넷 프로토콜을 통해 음성과 같은 광범위한 데이터 통신 서비스들을 사용자들에게 제공한다. 상기 데이터 통신 서비스들은 무선 네트워크들을 통하여 패킷 데이터 기술을 사용하는 데이터 전송을 수반한다. 일반적으로, 무선 네트워크들을 통하여 전송된 데이터 패킷들은, 사용자의 사생활(privacy)을 보호하고 안전한 데이터 통신을 제공하기 위하여, 암호화된다. 암호화(encryption)는, 가입자 단말에서 기지국으로의 연결을 통해 전달되는 그리고 상기 기지국에서 상기 가입자 단말로의 연결을 통해 전달되는 각 데이터 페이로드에 암호변환(cryptographic transforms)이 적용되어 수행된다. 더 나아가서, 상기 데이터의 암호화는 각각의 데이터 페이로드에 추가적인 헤더 필드를 더하는 과정이 수반된다. 하지만, 독립적으로 다수 연결들로부터 발신되는 다수 데이터 페이로드들을 암호화하는 오버헤드는, 상기 가입자 단말과 상기 기지국에서 네트워크 대역폭의 이용(utilization of network bandwidth), 처리 시간(processing time), 그리고 에너지 자원의 소비(consumption of energy resources)를 증가시킨다. 더욱이, 각 연결로부터 발신되는 각각의 데이터 페이로드에 헤더 필드를 생성하여 추가하는 과정은 오버헤드를 증가시킨다.
앞서 상술한 바와 같이, 상기 오버헤드를 최소화하여 다수 연결들로부터 발신되는 데이터 페이로드들을 암호화하는 방법 및 시스템이 필요하다.
없음
본 발명의 목적은 암호화를 위한 방법과 시스템을 제공함에 있다.
본 발명의 다른 목적은 상기 오버헤드를 최소화하는 다수 연결들로부터 발신되는 데이터 페이로드들을 암호화하는 방법 및 시스템을 제공함에 있다.
본 발명의 일 실시 예에 따른 무선 통신 시스템에서 송신단의 동작 방법은, 보안 연계(security association)와 관련된 다수의 페이로드(payload)들을 포함하는 MAC(Medium Access Control) PDU(Protocol Data Unit)를 생성하는 과정과, 상기 MAC PDU를 송신하는 과정을 포함하며, 상기 다수의 페이로드들은, 상기 MAC PDU 내에서 함께 암호화되는 것을 특징으로 한다.
본 발명의 다른 실시 예에 따른 무선 통신 시스템에서 수신단의 동작 방법은, 보안 연계와 관련된 다수의 페이로드들을 포함하는 MAC PDU를 수신하는 과정과, 상기 MAC PDU를 디코딩(decoding)하는 과정을 포함하며, 상기 다수의 페이로드들은, 상기 MAC PDU 내에 함께 암호화되는 것을 특징으로 한다.
본 발명의 또 다른 실시 예에 따른 무선 통신 시스템에서 송신단 장치는, 보안 연계와 관련된 다수의 페이로드들을 포함하는 MAC PDU를 생성하기 위한 제1모듈과, 상기 MAC PDU를 송신하는 전송 모듈을 포함하며, 상기 다수의 페이로드들은, 상기 MAC PDU 내에 함께 암호화되는 것을 특징으로 한다.
본 발명의 또 다른 실시 예에 따른 무선 통신 시스템에서 수신단 장치는, 보안 연계와 관련된 다수의 페이로드들을 포함하는 MAC PDU를 수신하는 수신 모듈과, 상기 MAC PDU를 디코딩하는 제1모듈을 포함하며, 상기 다수의 페이로드들은, 상기 MAC PDU 내에 함께 암호화되는 것을 특징으로 한다.
본 발명의 또 다른 실시 예에 따른 무선 통신 시스템에서 수신단 장치는, 보안 연계와 관련된 다수의 페이로드들을 포함하는 MAC PDU를 수신하는 수신 모듈과, 상기 MAC PDU를 디코딩하는 제1모듈을 포함하며, 상기 다수의 페이로드들은, 상기 MAC PDU 내에 함께 암호화되는 것을 특징으로 한다.
상술한 바와 같이, 동일한 보안 연계(SA)의 데이터 페이로드들을 연결하여 암호화함으로써, 프로세싱 오버헤드, 자원 이용, 그리고 각 소스 연결로부터 상기 데이터 페이로드들을 암호화하기 위해 걸리는 시간을 최소화할 수 이점이 있다.
수반하는 도면들(figures), 유사한 참조 번호들(similar reference numeral)은 동일하거나(identical) 기능적으로(functionally) 유사한 구성요소들(elements)대하여 언급하기로 한다. 이 참조 번호들은 다양한 구체적 실시 예들을 보여 주고 그리고 본 발명의 다양한 목적들 및 장점들을 설명하기 위해서 상세한 서술에 사용된다.
도 1은 다양한 실시 예가 구체화될 수 있는 시스템 환경(environment)의 블록 다이어그램이다.
도 2는 구체화에 따른 전자 장치의 블록 다이어그램이다.
도 3는 가입자 단말 그리고 기지국에서 MAC(Media Access Control) 계층을 도시하고 있다.
도 4는 구체화에 따른 암호화를 위한 순서도(flow diagram)이다.
도 5는 구체화에 따른 두 개 소스 연결들로부터 연결되어 암호화된 데이터 페이로드들을 포함하는 PDU(Protocol Data Unit)에 대한 MAC 헤더의 생성을 도시하고 있다.
도 6은 하나의 구체화에 따른 유사한 보안 연계와 다수 소스 연결들로부터 데이터 페이로드들을 위해 생성된 MAC PDU들을 도시하고 있다.
도 7는 하나의 구체화에 따른 다수 보안 연계와 관련된 다수 연결들로부터 데이터 페이로드들을 위해 만들어진 MAC PDU를 도시하고 있다.
당업자는 상기 도면들 내의 상기 구성요소들이 간결 명료하게 도시되어 있다는 것을 인지하고, 범위를 제한하지 않을 것이다. 예를 들면, 도면들에서 몇몇의 구성요소의 범위는 본 발명의 다양한 실시 예의 이해를 돕기 위해 다른 구성요소들에 관해서 과장될 수 있다.
도 1은 다양한 실시 예가 구체화될 수 있는 시스템 환경(environment)의 블록 다이어그램이다.
도 2는 구체화에 따른 전자 장치의 블록 다이어그램이다.
도 3는 가입자 단말 그리고 기지국에서 MAC(Media Access Control) 계층을 도시하고 있다.
도 4는 구체화에 따른 암호화를 위한 순서도(flow diagram)이다.
도 5는 구체화에 따른 두 개 소스 연결들로부터 연결되어 암호화된 데이터 페이로드들을 포함하는 PDU(Protocol Data Unit)에 대한 MAC 헤더의 생성을 도시하고 있다.
도 6은 하나의 구체화에 따른 유사한 보안 연계와 다수 소스 연결들로부터 데이터 페이로드들을 위해 생성된 MAC PDU들을 도시하고 있다.
도 7는 하나의 구체화에 따른 다수 보안 연계와 관련된 다수 연결들로부터 데이터 페이로드들을 위해 만들어진 MAC PDU를 도시하고 있다.
당업자는 상기 도면들 내의 상기 구성요소들이 간결 명료하게 도시되어 있다는 것을 인지하고, 범위를 제한하지 않을 것이다. 예를 들면, 도면들에서 몇몇의 구성요소의 범위는 본 발명의 다양한 실시 예의 이해를 돕기 위해 다른 구성요소들에 관해서 과장될 수 있다.
이하 본 발명의 바람직한 실시 예를 첨부된 도면의 참조와 함께 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 구체적 실시 예는 암호화를 위한 방법 및 시스템을 제공한다.
도 1은 다양한 실시 예가 구체화될 수 있는 시스템 환경(environment)의 블록 다이어그램이다.
상기 시스템 환경(100)은 전송부(transmitting unit)(105) 그리고 수신부(receiving unit)(110)를 포함한다. 상기 전송부((105))는 네트워크(115)를 통하여 수신부(110)와 통신한다. 상기 네트워크((105))의 일례로써 WiMax(Worldwide Interoperability for Microwave Access) 네트워크, 근거리 통신망(LAN), WAN(Wide Area Network), 블루투스 네트워크, IMS(Internet protocol Multimedia Subsystem) 네트워크, 적외선(infrared) 네트워크, 지그비(zigbee) 네트워크, 무선랜(WLAN), 혹은 IEEE(Institute of Electrical and Electronics Engineers) 협회에 의해 명시된 다른 어느 무선 네트워크를 포함하지만, 본 발명에서 제한되지 않는다.
전송부(105)는 다수 소스 연결들로부터 데이터 페이로드들에 일치하는 보안 연계(security association)들을 결정하는 결정모듈(120)을 포함한다. 각각의 데이터 페이로드는 각각의 소스 연결로부터 하나 이상의 데이터 패킷들을 포함한다. 상기 보안 연계는 네트워크(115)에 안전한 통신을 지원하기 위해, 상기 전송부(105)와 상기 수신부(110) 사이 공유된 보안 정보(security information)의 세트이다. 더 나아가서, 상기 결정모듈은(120) 각 보안 연계와 일치하는 다수 소스 연결들로부터 수신된 데이터 페이로드들을 연결한다. 상기 전송부는(105) 또한 각 보안 연계를 위해 연결된(concatenated) 데이터 페이로드들을 암호화하는 암호화 모듈(125)을 포함한다. 상기 암호화는 알고리즘을 사용하여 데이터의 변형(transformation)을 수반한다. 더 나아가서, 상기 전송부(105)는 상기 암호화된 데이터 페이로드들에 대한 PDU(Protocol Data Unit)를 생성하여 상기 PDU를 전하는 전송 모듈(130)을 포함한다.
상기 수신부(110)는 상기 전송부(105)로부터 PDU에 하나 이상의 보안 연계(security association)들을 확인하기 위한 확인모듈(135)을 포함한다. 더 나아가서, 상기 확인모듈(135)은 하나 이상의 보안 연계와 관련된 상기 암호화된 데이터 페이로드들을 확인하고, 상기 암호화된 데이터 페이로드를 해독하기(decrypt) 위해 보안 정보(security information)를 확인한다. 상기 수신부(110)는 또한 상기 암호화된 데이터 페이로드를 해독하고 각 해독된 데이터 페이로드와 연결된 목적지(destination) 연결들을 확인하기 위한 암호화 해독 모듈(140)을 포함한다. 상기 수신부(110)는 또한 상기 목적지 연결들의 확인을 기반으로, 목적지 연결에 페이로드를 제공한다.
구현에 있어서, 상기 전송부(105)는 상기 수신부(110)와 관계된 일(task)을 수행하고, 반대로 상기 수신부(110)는 상기 전송부(105)와 관계된 일(task)을 수행할 수 있다.
다양한 구체화에, 상기 전송부(105)는 가입자 단말에 해당할 수 있다. 그리고 상기 수신부(110)는 기지국에 해당할 수 있다. 그리고 반대로 상기 전송부(105)는 기지국에 해당할 수 있다. 그리고 상기 수신부(110)는 가입자 단말에 해당할 수 있다. 상기 가입자 단말은 전자 장치에 해당할 수 있다. 예를 들어, 상기 전자 장치는 컴퓨터, 랩톱, 모바일 기기, 휴대용 이동 기기(hand held device) 그리고 휴대 정보 단말(Personal Digital Assistant: PDA).
도 2에서 구성요소들(elements)을 포함하는 전자 장치는 상세하게 설명한다.
도 2는 구체화에 따른 전자 장치의 블록 다이어그램이다. 상기 전자 장치는 정보를 통신하기 위한 버스(bus)(205), 그리고 상기 정보를 처리하기 위한 상기 버스(205)와 연결된 프로세서(210)를 포함한다. 또한 상기 전자 장치는 상기 프로세서(210)에 의해 요구된 정보를 저장하기 위한 메모리(215), 예를 들어, 상기 버스(205)와 연결된 RAM(Random Access Memory)를 포함한다. 상기 메모리(215)는 상기 프로세서(210)에 의해 요구된 일시적인 정보를 저장하기 사용될 수 있다. 상기 전자 장치는 프로세서(210)에 의해 요구된 고정된 정보(static information)를 저장하기 위한 상기 버스 (205)와 연결된 ROM(Read Only Memory)(220)을 더 포함한다. 상기 서버 기록장치(storage unit)(225), 예를 들면, 자기디스크(magnetic disk), 하드디스크(hard disk), 혹은 광디스크(optical disk)는 정보를 저장하기 위해 제공되어 상기 버스(205)와 연결될 수 있다.
상기 전자 장치는 정보를 디스플레이하기 위해, 상기 버스(205)를 통해 디스플레이(230)(예: 음극선관(Cathode Ray Tube: CRT) 또는 액정 표시 장치(Liquid Crystal Display: LCD)와 연결될 수 있다. 여러 키들을 포함하는 입력 장치(235)는 상기 프로세서(210)와 정보를 통신하기 위해, 상기 버스(205)에 연결된다. 구현에 있어서, 상기 프로세서(210)와 정보를 통신하여 상기 디스플레이(230)에서 커서를 제어하기 위한, 커서 제어기(240)(예를 들면 마우스, 트랙볼, 조이스틱 혹은 커서 방향 키들)는 또한 존재할 수 있다.
구현에 있어서, 본 발명의 과정들은 상기 프로세서(210)를 사용하는 상기 전자 장치에 의해 수행된다. 상기 정보는 기계 판독 가능 매체(machine-readable medium)(예를 들면, 상기 서버 기억 장치(225)로부터 상기 메모리(215)로 읽힌다. 다른 구현에 있어서, 하드웨어에 내장된 회로는 다양한 구현을 실행하기 위해, 소프트웨어 명령들을 대신하거나 소프트웨어 명령들과 결합되어 사용될 수 있다.
상기 기계 판독 가능 매체의 용어는 상기 기계가 특정 기능을 수행하는 것을 가능하도록 하기 위해서, 기계에 데이터를 제공하는 매체로 정의된다.상기 기계 판독 가능 매체는 기록매체(storage medium)일 수 있다. 상기 기록매체는 비휘발성 매체(non-volatile media)와 휘발성 매체(volatile media)를 포함할 수 있다. 상기 서버 기록 장치(225)는 비휘발성 매체일 수 있다. 상기 메모리(215)는 휘발성인 매체일 수 있다. 그러한 모든 매체가, 상기 매체에 의하여 전달되는 명령들(instructions)이 물리적 메커니즘에 의하여 검출되는 것을 가능하도록 하여, 명백해져야 한다.
상기 기계 판독 가능 매체의 일례로 플로피 디스크, 플렉시블 디스크(flexible disk), 하드 디스크, 자기 테이프(magnetic tap), CD-ROM, 광디스크, 천공카드(punchcards), 종이테이프(papertape), RAM, PROM, EPROM, 그리고 FLASH-EPROM을 포함하지만, 여기에 제한되지 않는다.
상기 기계 판독 가능 매체는 또한 링크 온라인 링크들, 다운로드 링크들, 그리고 상기 프로세서(210)에 정보를 제공하는 설치 링크(installation links)들을 포함할 수 있다.
또한 상기 전자 장치는 데이터 통신을 가능하도록 하기 위해서, 상기 버스 (205)에 연결된 통신 인터페이스(245)를 포함한다. 상기 통신 인터페이스(245)의 일례로 ISDN(Integrated Services Digital Network)카드, 모뎀, LAN(Local Area Network) 카드, 적외선 포트, 블루투스 포트, 지그비 포트, 그리고 무선 포트를 포함하지만 그러나 여기에 제한되지 않습니다.
구현에 있어서, 상기 프로세서(210)는 상기 프로세서(210)의 하나 이상의 기능들을 수행하기 위한 하나 이상의 처리 장치들(processing units)을 포함할 수 있다. 상기 처리 장치들은 특정한 기능을 수행하는 하드웨어 회로이다.
하나 이상의 기능들은, 다수의 소스 연결들로부터 데이터 페이로드들의 수신에 응답하여 상기 데이터 페이로드들에 해당하는 하나 이상의 보안 연계(security associations)를 검출하는 기능, 각 보안 연계에 일치하는 데이터 페이로드들을 연결하는 기능과, 그리고 상기 연결된 각 보안 연계에 대한 데이터 페이로드를 암호화하는 기능을 포함한다. 예를 들면, 상기 소스 연결들은 상기 네트워크(115)와 전자 통신을 하는 상기 프로세서에 의하여 수행된, 소프트웨어 애플리케이션들(예: 인터넷 브라우저, FTP(file transfer protocol), 그리고 VOIP(voice over internet protocol))에 해당할 수 있다. 또한 하나이상의 기능은 암호화된 데이터 페이로드들에 대한 PDU(PDU)을 생성하는 기능과 상기 PDU(PDU)을 전송하는 기능을 포함한다.
구현에 있어서, 상기 전자 장치는 또한 수신부(110)와 일치할 수 있다. 상기 수신부(110)로 동작하는 상기 전자 장치의 프로세서의 기능들은 상기 전송부(105)로 기능하는 상기 기지국으로부터 수신된 상기 PDU(PDU)에서 하나 이상의 보안 연계를 확인하는 기능을 포함할 수 있다. 또한 상기 프로세서의 기능은 하나 이상의 보안 연계와 관련된 암호화된 데이터 페이로드들을 확인하고 그리고 상기 암호화된 데이터 페이로드들을 해독하기 위해 보안 정보(security information)를 확인하는 기능을 포함한다. 게다가, 상기 프로세서의 기능은 decrypting을 포함할 수 있다 상기 보안 정보를 사용하여 상기 암호화된 데이터 페이로드들을 해독하는 기능과 각 해독된 데이터 페이로드와 연결된 목적지 연결들을 확인하는 기능을 포함한다. 상기 프로세서의 기능은 또한 상기 목적지 연결들을 확인하여 상기 목적지 연결에 각각 해독된 데이터 페이로드를 제공하는 것을 포함할 수 있다.
도 3는 가입자 단말(Subscriber Station: SS) 그리고 기지국(Base Station: BS)에서 MAC(Media Access Control) 계층을 도시하고 있다.
상기 MAC 계층(305)은 3개의 부계층들(sublayers) 예를 들면, 서비스 관련 수렴 부계층(service specific Convergence Sublayer(CS))(310), MAC 공동 부분 부계층(MAC common part sublayer: MAC CPS)(315), 그리고 보안 부계층(security sublayer)(320)을 포함한다.
상기 CS(310)는 CS SAP(Service Access Point)(325)을 통하여 수신된 외부 네트워크 데이터의 변형(transformation) 또는 매핑(mapping)을 MAC 서비스 데이터 유닛(Service Data Unit: SDU)으로 제공한다. 상기 변형과 매핑은 상기 MAC 네트워크 SDU들을 분류하고 지정된 MAC 연결에 MAC SDU을 연결하는 것을 포함한다.
상기 MAC CPS(315)는 시스템 액세스의 코어 MAC 기능, 대역폭 할당, 연결 설정(connection establishment), 그리고 연결 유지(connection maintenance)를 제공한다. 상기 MAC CPS(315)는 상기 MAC SAP(330)를 통해 상기 CS로부터 데이터를 수신한다.
데이터, 물리계층(PHY)(335) 제어, 그리고 통계 정보는 PHY SAP(340)을 통해 상기 MAC CPS(315)와 PHY(335) 사이에 전달된다.
또한 MAC CPS(315)는 인증(authentication), 보안 키 교환(secure key exchange), 그리고 암호화(encryption)를 제공하는 서로 다른 보안 부계층(320)을 포함한다. 상기 보안 부계층(320)은 보안 연계(security associations)를 사용하여 지원되는 보안 알고리즘 집합(a set of supported cryptographic suites)을 정의한다. 상기 보안 연계(Security Association: SA)는, 상기 가입자 단말과 상기 기지국이 네트워크(예: IEEE 802.16e 네트워크)에서 안전한 통신을 지원하기 위해 공유하는, 보안 정보(security information) 집합이다.
각각의 MAC 연결은 SA와 연결된다. 다수 MAC 연결들은 동일한 SA와 연결될 수 있다. 더욱이, 각각의 SA와 일치하는 다수 MAC 연결들은 상기 가입자 단말과 상기 기지국 사이 동시에 존재할 수 있다.
도 4는 구체화에 따른 암호화를 위한 순서도(flow diagram)이다.
다수 소스 연결들로부터 데이터 페이로드들은 수신된다. 각각의 소스 연결은 보안 연계(SA)와 연결된다. 상기 SA는 상기 네트워크에서 두 개의 데이터 통신 포인트 사이에 공유된 보안 정보 집합이다. 상기 공유 정보는 보안 알고리즘 집합(cryptographic suite), 암화화 키들, 그리고 초기화 벡터들(initialization vectors)를 포함하지만, 여기서 제한되지 않는다. 다수 소스 연결들은 하나이상의 SA와 연결될 수 있다.
상기 방법은 405 단계에서 시작한다.
410 단계에서, 상기 데이터 페이로드들과 관련된 하나 이상의 SA들은, 상기 다수 소스로부터 데이터 페이로드들의 수신에 응답하여 검출된다. 예를 들면, 각각의 데이터 페이로드는 각각의 소스 연결로부터 하나 이상의 데이터 패킷(예: 서비스 관련 수렴 부계층(CS)으로부터 수신된 하나 이상의 서비스 데이터 유닛(SDU))들을 포함한다.
예를 들면, WiMax 네트워크 시스템에서, 만약 하나 이상의 MAC SDUs 혹은 MAC SDU 단편(fragments)이 MAC 계층의 MAC CPS를 통해 4개 소스 연결들로부터 수신된다면, 그 때, 각각의 소스 연결로부터 수신된 데이터 페이로드들의 SAs들이 검출된다. 4개 연결 중 연결 1과 연결 2는 보안 연계(SA1)와 연결되는 반면, 4개 연결 중 연결 3과 연결 4는 보안 연계(SA2)와 연결된다. 연결 1과 연결 2로부터의 상기 데이터 페이로드들과 관련된 상기 보안 연계들(SAs)은 SA1로 검출되고. 연결 3과 연결 4로부터의 상기 데이터 페이로드들과 관련된 상기 보안 연계들(SAs)은 SA2로 검출된다.
415 단계에서, 각 보안 연계와 일치하는 상기 다수 소스 연결들로부터의 상기 데이터 페이로드들은 연결된다.
예를 들면, WiMax 네트워크 시스템에서, 만약 연결 1 및 연결 2가 보안 연계(SA1)와 연결되면, MAC CPS는 연결 1 및 연결 2의 하나이상의 MAC SDUs 혹은 MAC SDU 단편(fragments)을 포함하는 상기 데이터 페이로드들을 연결한다(concatenate). 상기 연결된 데이터 페이로드들은 하나의 데이터 페이로드에 해당하고 암호화를 위해 보안 부계층으로 보낸다. 유사하게, 만약 연결 3 및 연결 4가 보안 연계(SA2)와 연결되면, MAC CPS는 SA2와 연결된 연결 3 및 연결 4의 상기 데이터 페이로드들을 연결한다.
420 단계에서, 각 보안 연계를 위한 연결된 데이터 페이로드들은 암호화된다. 상기 암호화는 counter with cipher block chaining message authentication code(CCM) mode 128 bit Advanced Encryption Standard(AES) encryption, 그리고 counter(CTR) mode 128 bit AES encryption를 기반으로 수행될 수 있지만, 여기에 제한되지 않는다. 상기 연결된 페이로드들을 위한 보안 정보가 생성되고 상기 보안 정보는 상기 연결된 데이터 페이로드들과 결합된다. 상기 보안 정보는 패킷 번호(Packet Number: PN)과 무결성 검사 값(ICV: Integrity Check Value)에 의해 특징지워진다. 상기 PN과 ICV는 상기 암호화된 데이터 페이로드들에 추가된다. 상기 PN은 전부 암호화된 상기 연결된 데이터 페이로드를 위해 생성된다. 상기 PN은 상기 암호화된 데이터 페이로드 앞에 첨부되고, 상기 ICV는 상기 암호화된 데이터 페이로드 뒤에 첨부된다.
구현에 있어서, 상기 암호화된 데이터 페이로드와 관련된 PDU(PDU)은 각각의 SA을 위해 생성된다.
헤더는 각각의 SA와 관련된 상기 PDU(PDU)을 위해 생성된다. 상기 헤더는 각각의 소스 연결과 연결되는 연결 식별자들, 상기 데이터 페이로드들의 길이, 그리고 각각의 SA와 연결된 보안 정보를 결정하여 생성된다.
또 다른 구현에 있어서, 상기 PDU(PDU)은 적어도 2개 이상의 SA을 위한 상기 암호화된 데이터 페이로드들을 위해 생성된다. 상기 헤더는 적어도 2개 이상의 SA와 관련된 상기 연결된 데이터 페이로드들을 위해 생성된다. 상기 헤더는 연결 식별자들, 상기 데이터 페이로드들의 길이, 그리고 적어도 2개 이상의 SA와 일치하는 보안 정보를 결정하여 생성된다.
구현에 있어서, 상기 PDU를 위해 생성된 디폴트 GMH(Generic MAC Header)는 수정된 GMH(M_GMH)을 형성하기 위해 수정된다. 상기 M_GMH는 각각의 소스 연결과 관련된 연결 식별자들 그리고 각각의 SA와 연결된 상기 암호화된 데이터 페이로드로 전달되는 각 소스 연결로부터의 데이터 페이로드들의 길이를 포함할 수 있지만, 하지만 여기에 제한되지 않는다. 확장된 보안 헤더는 또한 생성되어 상기 PDU에 첨부될 수 있다. 상기 확장된 보안 헤더는 상기 연결된 데이터 페이로드들과 연결된 보안 정보를 포함할 수 있지만, 하지만 여기서 제한되지 않는다.
상기 연결된 데이터 페이로드들의 암호화와 상기 암호화된 데이터 페이로드들의 헤더 생성은 프로세싱 오버헤드, 자원 이용, 그리고 각 소스 연결로부터 상기 데이터 페이로드들을 암호화하기 위해 걸리는 시간을 최소화한다.
상기 PDU(PDU)은 수신기에 전송된다. 상기 수신기는 상기 PDU에서 하나 이상의 보안 연계를 확인한다. 또한 상기 수신기는 하나 이상의 보안 연계와 관련된 상기 암호화된 데이터 페이로드들을 확인한다. 더 나아가서, 또한 상기 암호화된 데이터 페이로드들을 해독하기 위해서(decrypt) 상기 보안 정보를 확인한다. 게다가, 상기 수신기는 상기 보안 정보를 사용하여 상기 암호화된 데이터 페이로드들을 해독하고, 그리고 각각의 해독된 데이터 페이로드와 연결된 목적지 연결들을 확인한다. 각각의 해독된 데이터 페이로드는 목적지 연결들의 식별을 기반으로 목적지 연결에 제공한다.
425 단계에서, 본 발명의 절차를 종료한다.
도 5는 구체화에 따른 두 개 소스 연결들로부터 연결되어 암호화된 데이터 페이로드들을 포함하는 PDU(Protocol Data Unit)에 대한 MAC 헤더의 생성을 도시하고 있다.
상기 MAC PDU는 동일한 보안 연계(SA)와 연결된 두 개의 소스 연결들(연결 1 그리고 연결 2)로부터 길이 X 바이트와 길이 Y 바이트의 데이터 페이로드들을 연결하여 생성된다. 패킷 번호(PN)와 무결성 검사 값(ICV)은 상기 암호화된 데이터 페이로드에 추가된다. 상기 PN은 전부 암호화된 상기 연결된 데이터 페이로드들을 위해 생성된다. 상기 PN은 상기 암호화된 데이터 페이로드 앞에 첨부되고, 그리고 상기 ICV는 상기 암호화된 데이터 페이로드 뒤에 첨부되다.일반적으로, 상기 PN는 대략 8 바이트이고 그리고 상기 ICV는 대략 4 바이트이다. 상기 MAC PDU는 상기 암호화된 데이터 페이로드 위해 생성되고 상기 MAC 헤더는 상기 MAC PDU를 위해 생성된다. 구현에 있어서, 두 개 소스 연결에 대한 MAC PDU를 위해 생성된 상기 MAC 헤더(GMH)는 다음과 같은 정보를 포함한다:
● EKS
● Length (Length of MPDU) = Length of M_GMH +X + Y + 12 + CRC Length
● Connection IE1
○ LAST = 0
○ Type
○ Connection Identifier = connection 1
○ Length = X bytes
● Connection IE2
○ LAST = 1
○ Type
○ Connection Identifier = connection 2
상기 MAC PDU는 생성된 MAC 헤더(GMH) 그리고 CRC을 포함한다. 상기 GMH는 다른 관련 필드들에 더하여 3개의 페이로드 특성 필드들을 포함한다. 상기 3개의 페이로드 특성 필드들은 길이(length), 암호화 키 시퀀스(Encryption Key Sequence: EKS) 그리고 연결 정보 요소(IE)이다. 길이 필드는 MAC PDU의 길이를 나타낸다. 상기 길이는 컴퓨터 메모리 유닛의 용어로 표현될 수 있다. 상기 MAC PDU의 길이는 상기 연결된 암호화된 데이터 페이로드를 위해 생성된 M_GMH(modified generic MAC header)의 길이, 연결 1로부터 길이 X 바이트, 연결 2로부터 길이 Y 바이트, PN와 ICV에 해당하는 추가 12 바이트, 그리고 CRC의 길이를 포함한다.
상기 EKS는 상기 페이로드를 암호화하기 위해 사용된 암호화 키의 시퀀스 번호를 나타낸다. 상기 연결 IE는 상기 연결에 관련된 정보를 포함한다. 상기 연결 IE는 4개의 연결 특성 필드들, LAST, type, 연결 식별자 그리고 길이를 포함한다. 상기 LAST는 LAST과 일치하는 '0' 또는 '1'값을 갖는 한 비트 필드이다. 즉, '0'는 소스 연결이 마지막 연결 IE인 것을 나타낸다. 그리고 '1'은 현재 소스 연결 다음에 하나이상의 소스 연결들이 존재한다는 것을 나타낸다. type 필드 는 상기 연결 식별자에 의해 확인된 상기 소스 연결의 메시지 페이로드 속에 있는 서브 헤더들과 특별한 페이로드 타입들을 나타낸다. 상기 연결 식별자는 전달되는 데이터의 소스 연결을 확인한다. 상기 길이 필드는 데이터 페이로드의 길이에 해당한다.
상기 GMH는 MAC PDU를 수신하는 상기 수신기에서 분석된다. 상기 수신기의 안전 부계층은 암호 해독(decrypting)을 하기 위해, 'MPDU의 길이-GMH의 길이-CRC의 길이' 바이트를 수신한다. 상기 수신기에서 상기 보안 부계층은 상기 PDU를 해독하고, 상기 암호화 헤더들 PN와 ICV을 제거하고, 그리고 'MPDU의 길이-GMH의 길이-CRC의 길이' 바이트들 크기의 상기 해독된 PDU으로 전달되는 상기 데이터 페이로드들을 목적지 연결들에 제공한다.
도 6은 하나의 구체화에 따른 유사한 보안 연계와 다수 소스 연결들로부터 데이터 페이로드들을 위해 생성된 MAC PDUs을 도시하고 있다.
예를 들면, 'n' 다른 소스 연결로부터의 데이터 페이로드들을 고려한다. 각각의 'n' 다른 소스 연결들은 하나의 SA와 연결된다. 상기 MAC PDUs는 동일한 보안 연계(SA)와 연결된 소스 연결들로부터의 데이터 페이로드들을 연결한다(예: SA1에 대한 MAC PDU(SA1), SA2에 대한 MAC PDU(SA2) 그리고 SAn에 대한 MAC PDU(SAn)). 상기 패킷 번호(PN)와 무결성 검사 값(ICV)을 포함하는 보안 정보는 데이터 페이로드에 추가된다. 상기 PN는 전부 암호화된 상기 연결된 데이터 페이로드들을 위해 생성된다. 상기 PN은 상기 암호화된 데이터 페이로드 앞에 추가되고 그리고 상기 ICV는 상기 암호화된 데이터 페이로드 뒤에 추가된다. 대안으로, 확장된 보안 헤더(extended security header)는 또한 생성되어 상기 MAC PDU에 추가될 수 있다. 상기 확장된 보안 헤더는 보안 정보로 PN, 암호화 키 시퀀스(EKS), 그리고 상기 연결된 데이터 페이로드와 연결된 ICV를 포함할 수 있지만, 여기서 제한되지 않는다. 더 나아가서, 상기 MAC PDU는 다수 암호화된 데이터 페이로드들 중 각각의 암호화된 데이터 페이로드를 위해 생성되고 상기 MAC 헤더는 각각의 상기 MAC PDU를 위해 각기(separately) 생성된다.
더 나아가서, 각각의 MAC PDU를 위해, GMH와 추가적인 다중화 확장 헤더(Multiplexing Extended Header: MEH)는 생성된다. 상기 GMH와 상기 MEH는 함께 상기 MAC PDU 내에 연결된 데이터 페이로드들을 갖는 소스 연결들, 그리고 각각의 소스 연결로부터의 각각의 데이터 페이로드의 길이를 확인한다. 각각의 SA에 해당하는 MAC PDU는 순차적으로 전송된다.
도 7는 하나의 구체화에 따른 다수 보안 연계와 관련된 다수 연결들로부터 데이터 페이로드들을 위해 만들어진 MAC PDU를 도시하고 있다.
예를 들면, 'n'개의 다른 소스 연결들로부터의 데이터 페이로드들을 고려한다. 'n'개의 다른 소스 연결들은 각각 하나의 SA와 연결된다. 동일한 보안 연계(SA)와 연결된 소스 연결들로부터의 데이터 페이로드들은 연결되어 암호화된다. 각각의 SA과 일치하는 암호화된 데이터 페이로드들은 연결된다. 예를 들면, SA1, SA2, 그리고 SAn에 속하는 데이터 페이로드들은 독립적으로 사슬처럼 이어진다. 패킷 번호(PN)와 무결성 검사 값(ICV)을 포함하는 보안 정보는 각각의 SA과 일치하는 각 연결된 데이터 페이로드에 추가된다. 상기 PN은 전부 암호화된 상기 연결된 데이터 페이로드들을 위해 생성된다. 상기 PN은 상기 암호화된 데이터 페이로드 앞에 첨부되고, 그리고 ICV는 상기 암호화된 데이터 페이로드 뒤에 첨부된다. 대안으로(Alternatively), 확장된 보안 헤더는 또한 생성되어 MAC PDU에 첨부된다. 상기 확장된 보안 헤더는 보안 정보로 PN, 암호화 키 시퀀스(EKS), 그리고 상기 연결된 데이터 페이로드와 관련된 ICV를 포함할 수 있지만, 제한되지 않는다. 더 나아가서, SA1, SA2 그리고 SAn에 속하는 암호화된 데이터 페이로드들은 상기 MAC PDU를 생성하기 위해 연결된다.
더 나아가서, 상기 MAC PDU를 위해, GMH와 추가적인 다중화 확장 헤더(Multiplexing Extended Header: MEH)는 생성된다. 상기 GMH와 상기 MEH는 함께 각각의 SA에 일치하는 상기 MAC PDU 내에 각 암호화된 데이터 페이로드들에 연결된 데이터 페이로드들을 갖는 소스 연결들을 확인한다. 상기 GMH와 상기 MEH는 또한 함께 상기 각각의 SA에 일치하는 상기 암호화된 데이터 페이로드 내의 각각의 소스 연결로부터의 각 데이터 페이로드의 길이를 결정한다. 상기 GMH와 상기 MEH는 각각의 암호화된 데이터 페이로드에 해당하는 소스 연결 정보를 포함한다. 상기 소스 연결 정보는 각각의 암호화된 데이터 페이로드의 배열과 동일한 순서로 정렬된다. 예를 들어, 제1 암호화 데이터 페이로드에 해당하는 상기 소스 연결 정보는 제2 암호화 데이터 페이로드에 해당하는 상기 소스 연결 정보보다 앞선다.
더 나아가서, 각각의 암호화된 데이터 페이로드와 일치하는 상기 소스 연결 정보는 각각의 소스 연결에 해당하는 데이터 페이로드 정보를 포함한다. 상기 데이터 페이로드 정보는 암호화된 데이터 페이로드 내의 각각의 데이터 페이로드의 배열과 동일한 순서로 정렬된다. 예를 들면, 제1 소스 연결에 해당하는 데이터 페이로드 정보는 제2 소스 연결에 해당하는 데이터 페이로드 정보보다 앞선다. 이후 상기 MAC PDU는 수신기에 전송된다.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
105: 전송부, 120: 결정모듈, 125: 암호화모듈, 110: 수신부, 135:식별자모듈, 140: 암호화 해독 모듈.
Claims (38)
- 무선 통신 시스템에서 송신단의 동작 방법에 있어서,
동일한 보안 연계(security association)와 관련된 다수의 연결들(multiple connections)의 다수의 페이로드(payload)들을 포함하는 MAC(Medium Access Control) PDU(Protocol Data Unit)를 생성하는 과정과,
상기 MAC PDU를 송신하는 과정을 포함하며,
상기 다수의 페이로드들은, 상기 MAC PDU 내에서 함께 암호화되는 것을 특징으로 하는 방법.
- 제1항에 있어서,
상기 MAC PDU는, 상기 다수의 페이로드들에 공통적으로 적용되는 하나의 암호화 키 시퀀스(Encryption Key Sequence: EKS)를 포함하는 것을 특징으로 하는 방법.
- 제1항에 있어서,
상기 MAC PDU는, 보안 정보(security information)를 포함하는 것을 특징으로 하는 방법.
- 제3항에 있어서,
상기 보안 정보는, 무결성 검사값(ICV: Integrity Check Value)를 포함하는 것을 특징으로 하는 방법.
- 제1항에 있어서,
상기 MAC PDU를 생성하는 과정은,
상기 MAC PDU 내에 상기 보안 연계와 관련된 상기 다수 페이로드들을 다중화(multiplexing)하는 과정과,
상기 보안 연계와 관련된 다중화된 페이로드들을 암호화하는 과정을 포함하는 것을 포함하는 것을 특징으로 하는 방법.
- 제5항에 있어서,
상기 다중화된 페이로드들을 위한 보안 정보(security information)를 생성하는 과정과,
상기 다중화된 페이로드들에 상기 보안 정보를 첨부하는 과정을 더 포함하는 것을 특징으로 하는 방법.
- 제5항에 있어서,
각 보안 연계를 위해 암호화된 페이로드에 대한 PDU를 생성하는 과정과,
적어도 두 개 이상의 보안 연계를 위해 상기 암호화된 페이로드들에 대한 PDU를 생성하는 과정 중 하나를 더 포함하는 것을 특징으로 하는 방법.
- 제7항에 있어서,
상기 각 보안 연계를 위해 상기 암호화된 페이로드에 대한 PDU를 생성하는 과정은,
각 보안 연계와 관련된 PDU를 위한 헤더를 생성하는 과정을 포함하고,
상기 적어도 두 개 이상의 보안 연계를 위해 상기 암호화된 페이로드들에 대한 PDU를 생성하는 과정은,
적어도 둘 이상의 보안 연계와 관련된 상기 PDU를 위한 헤더를 생성하는 과정을 포함하는 것을 특징으로 하는 방법.
- 제7항에 있어서,
상기 PDU를 위해 생성된 GMH(Generic Media access control Header)와 결합되는 헤더를 생성하는 과정과,
상기 GMH에 상기 헤더를 첨부하는 과정을 더 포함하는 것을 특징으로 하는 방법.
- 제7항에 있어서,
확장된(extended) 보안 헤더를 생성하는 과정과,
상기 PDU에 상기 확장된 보안 헤더를 첨부하는 과정을 더 포함하며,
상기 확장된 보안 헤더는, 상기 다중화된 페이로드들과 관련된 보안 정보를 포함하는 것을 특징으로 하는 방법.
- 제7항에 있어서,
각 보안 연계와 일치하는 PDU를 위한 헤더를 생성하는 과정은,
상기 보안 연계와 일치하는 각 연결과 관련된 연결 식별자들을 결정하는 과정과,
상기 보안 연계와 일치하는 각 연결과 관련된 페이로드들의 길이들을 결정하는 과정과,
보안 정보를 결정하는 과정을 더 포함하는 것을 특징으로 하는 방법.
- 제7항에 있어서,
상기 적어도 두 개 이상의 보안 연계에 해당하는 PDU를 위한 헤더를 생성하는 과정은,
각 보안 연계와 일치하는 각 연결과 연결된 연결 식별자들을 결정하는 과정과,
각 보안 연계와 일치하는 각 연결과 연결된 상기 페이로드들의 길이를 결정하는 과정과,
보안 정보를 결정하는 과정을 포함하는 것을 특징으로 하는 방법.
- 무선 통신 시스템에서 수신단의 동작 방법에 있어서,
동일한 보안 연계(security association)와 관련된 다수의 연결들(multiple connections)의 다수의 페이로드(payload)들을 포함하는 MAC(Medium Access Control) PDU(Protocol Data Unit)를 수신하는 과정과,
상기 MAC PDU를 디코딩(decoding)하는 과정을 포함하며,
상기 다수의 페이로드들은, 상기 MAC PDU 내에 함께 암호화되는 것을 특징으로 하는 방법.
- 제13항에 있어서,
상기 MAC PDU는, 상기 다수의 페이로드들에 공통적으로 적용되는 하나의 암호화 키 시퀀스(Encryption Key Sequence: EKS)를 포함하는 것을 특징으로 하는 방법.
- 제13항에 있어서,
상기 MAC PDU는, 보안 정보(security information)를 포함하는 것을 특징으로 하는 방법.
- 제15항에 있어서,
상기 보안 정보는, 무결성 검사값(ICV: Integrity Check Value)를 포함하는 것을 특징으로 하는 방법.
- 제13항에 있어서,
상기 MAC PDU를 디코딩하는 과정은,
상기 MAC PDU 내의 상기 다수 페이로드들을 해독하는(decrypting) 과정과,
상기 해독된 페이로드들을 상기 다수의 연결로 역다중화(demultiplexing)하는 과정을 포함하는 것을 특징으로 하는 방법.
- 제17항에 있어서,
상기 해독된 페이로드들을 위한 보안 정보(security information)를 결정하는 과정과,
상기 해독된 페이로드들에서 상기 보안 정보를 제거하는 과정을 더 포함하는 것을 특징으로 하는 방법.
- 제13항에 있어서,
상기 페이로드들은, AES-CCM(Advanced Encryption Standard-Counter with CBC-MAC)를 사용하여 해독되는 것을 특징으로 하는 방법.
- 무선 통신 시스템에서 송신단 장치에 있어서,
동일한 보안 연계(security association)와 관련된 다수의 연결들(multiple connections)의 다수의 페이로드(payload)들을 포함하는 MAC(Medium Access Control) PDU(Protocol Data Unit)를 생성하는 제1모듈과,
상기 MAC PDU를 송신하는 전송 모듈을 포함하며,
상기 다수의 페이로드들은, 상기 MAC PDU 내에 함께 암호화되는 것을 특징으로 하는 장치.
- 제20항에 있어서,
상기 MAC PDU는, 상기 다수의 페이로드들에 공통적으로 적용되는 하나의 암호화 키 시퀀스(Encryption Key Sequence: EKS)를 포함하는 것을 특징으로 하는 장치.
- 제20항에 있어서,
상기 MAC PDU는, 보안 정보(security information)를 포함하는 것을 특징으로 하는 장치.
- 제22항에 있어서,
상기 보안 정보는, 무결성 검사값(ICV: Integrity Check Value)를 포함하는 것을 특징으로 하는 장치.
- 제20항에 있어서,
상기 제1모듈은, 상기 보안 연계와 관련된 상기 다수 페이로드들을 결정하고, 상기 MAC PDU 내에 함께 상기 보안 연계와 관련된 다수 페이로드들을 다중화(multiplexing)하고, 상기 보안 연계와 관련된 다중화된 페이로드들을 암호화하는 것을 특징으로 하는 장치.
- 제24항에 있어서,
상기 제1모듈은, 상기 다중화된 페이로드들을 위한 보안 정보(security information)를 생성하고, 상기 다중화된 페이로드에 상기 보안 정보를 첨부시키는 것을 특징으로 하는 장치.
- 제24항에 있어서,
상기 제1모듈은, 각 보안 연계를 위해 암호화된 페이로드에 대한 PDU(Protocol Data Unit)을 생성하거나, 적어도 두 개 이상의 보안 연계를 위해 상기 암호화된 페이로드들에 대한 PDU를 생성하는 것을 특징으로 하는 장치.
- 제26항에 있어서,
상기 제1모듈은,
상기 각 보안 연계를 위해 상기 암호화된 페이로드에 대한 PDU(Protocol Data Unit)을 생성하기 위해, 각 보안 연계와 관련된 PDU를 위한 헤더를 생성하고,
상기 적어도 두 개 이상의 보안 연계를 위해 상기 암호화된 페이로드들에 대한 PDU를 생성하기 위해, 적어도 둘 이상의 보안 연계와 관련된 상기 PDU를 위한 헤더를 생성하는 것을 특징으로 하는 장치.
- 제26항에 있어서,
상기 제1모듈은, 상기 PDU를 위해 생성된 GMH(Generic Media access control Header)와 결합되는 헤더를 생성하고, 상기 GMH에 상기 헤더를 첨부하는 것을 특징으로 하는 장치.
- 제26항에 있어서,
상기 제1모듈은, 확장된 보안 헤더를 생성하고, 상기 PDU에 상기 확장된 보안 헤더를 첨부하며,
상기 확장된 보안 헤더는, 상기 다중화된 페이로드들과 관련된 보안 정보를 포함하는 것을 특징으로 하는 장치.
- 제26항에 있어서,
상기 제1모듈은, 각 보안 연계와 일치하는 PDU를 위한 헤더를 생성하고, 상기 보안 연계와 일치하는 각 연결과 관련된 연결 식별자들을 결정하고, 상기 보안 연계와 일치하는 각 연결과 관련된 페이로드들의 길이들을 결정하고, 보안 정보를 결정하는 것을 특징으로 하는 장치.
- 제26항에 있어서,
상기 제1모듈은, 상기 적어도 두 개 이상의 보안 연계에 해당하는 PDU를 위한 헤더를 생성하고, 각 보안 연계와 일치하는 각 연결과 연결된 연결 식별자들을 결정하고, 각 보안 연계와 일치하는 각 연결과 연결된 상기 페이로드들의 길이를 결정하고, 보안 정보를 결정하는 것을 특징으로 하는 장치.
- 무선 통신 시스템에서 수신단 장치에 있어서,
동일한 보안 연계(security association)와 관련된 다수의 연결들(multiple connections)의 다수의 페이로드(payload)들을 포함하는 MAC(Medium Access Control) PDU(Protocol Data Unit)를 수신하는 수신 모듈과,
상기 MAC PDU를 디코딩하는 제1모듈을 포함하며,
상기 다수의 페이로드들은, 상기 MAC PDU 내에 함께 암호화되는 것을 특징으로 하는 장치.
- 제32항에 있어서,
상기 MAC PDU는, 상기 다수의 페이로드들에 공통적으로 적용되는 하나의 암호화 키 시퀀스(Encryption Key Sequence: EKS)를 포함하는 것을 특징으로 하는 장치.
- 제32항에 있어서,
상기 MAC PDU는, 보안 정보(security information)를 포함하는 것을 특징으로 하는 장치.
- 제34항에 있어서,
상기 보안 정보는, 무결성 검사값(ICV: Integrity Check Value)를 포함하는 것을 특징으로 하는 장치.
- 제32항에 있어서,
상기 제1모듈은, 상기 MAC PDU 내의 상기 다수 페이로드들을 해독하고(decrypting), 상기 해독된 페이로드들을 상기 다수의 연결로 역다중화(demultiplexing)하는 것을 특징으로 하는 장치.
- 제36항에 있어서,
상기 제1모듈은, 상기 해독된 페이로드들을 위한 보안 정보(security information)를 결정하고, 상기 해독된 페이로드에서 상기 보안 정보를 제거하는 것을 특징으로 하는 장치.
- 제36항에 있어서,
상기 해독된 페이로드들은, AES-CCM(Advanced Encryption Standard-Counter with CBC-MAC)를 사용하여 해독되는 것을 특징으로 하는 장치.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN1349/CHE/2008 | 2008-06-03 | ||
IN1349CH2008 | 2008-06-03 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110040753A KR20110040753A (ko) | 2011-04-20 |
KR101570039B1 true KR101570039B1 (ko) | 2015-11-27 |
Family
ID=41398671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020107026868A KR101570039B1 (ko) | 2008-06-03 | 2009-06-03 | 보안 연계와 관련된 다수 연결 패킷들 결합하여 암호화 오버헤드를 줄이기 위한 시스템 및 방법 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9906627B2 (ko) |
EP (1) | EP2283603B1 (ko) |
JP (1) | JP5527906B2 (ko) |
KR (1) | KR101570039B1 (ko) |
CN (1) | CN102057615B (ko) |
WO (1) | WO2009148263A2 (ko) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562813B (zh) * | 2009-05-12 | 2012-01-11 | 中兴通讯股份有限公司 | 实时数据业务的实现方法、实时数据业务系统和移动终端 |
KR101216100B1 (ko) | 2009-11-18 | 2012-12-26 | 엘지전자 주식회사 | 단편화 패킹 확장헤더를 수반하는 mac pdu를 전송하는 방법 및 장치 |
CN102845100B (zh) * | 2010-03-16 | 2016-04-20 | Abb研究有限公司 | 工业控制系统的无线传感器网络中的能量高效通信方法 |
WO2013040150A1 (en) * | 2011-09-15 | 2013-03-21 | Cubic Corporation | Application and method of inter-frame gap reduction in low-power time-synchronized networks |
US8929246B2 (en) * | 2013-04-19 | 2015-01-06 | Cubic Corporation | Payment reconciliation in mixed-ownership low-power mesh networks |
US20150270954A1 (en) * | 2014-03-24 | 2015-09-24 | Infineon Technologies Ag | Device for generating encrypted data segments |
JP2016063234A (ja) * | 2014-09-12 | 2016-04-25 | 富士通株式会社 | 通信装置の通信制御方法,通信装置,通信制御システム |
KR102073552B1 (ko) * | 2014-10-31 | 2020-02-05 | 아이디 퀀티크 에스.에이. | 근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치 |
WO2016131056A1 (en) * | 2015-02-13 | 2016-08-18 | Visa International Service Association | Confidential communication management |
US9432183B1 (en) * | 2015-12-08 | 2016-08-30 | International Business Machines Corporation | Encrypted data exchange between computer systems |
CN114097272A (zh) * | 2019-06-25 | 2022-02-25 | 华为技术有限公司 | 用于聚合通信链路的系统和方法 |
US11463416B1 (en) * | 2019-12-13 | 2022-10-04 | Amazon Technologies, Inc. | Automatic detection of personal information in cloud-based infrastructure configurations |
Family Cites Families (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7917643B2 (en) * | 1996-09-12 | 2011-03-29 | Audible, Inc. | Digital information library and delivery system |
US6590882B1 (en) * | 1998-09-15 | 2003-07-08 | Nortel Networks Limited | Multiplexing/demultiplexing schemes between wireless physical layer and link layer |
US7024557B1 (en) | 1999-12-30 | 2006-04-04 | Samsung Electronics Co., Ltd. | System and method for secure provisioning of a mobile station from a provisioning server using encryption |
US7444418B2 (en) * | 2001-05-11 | 2008-10-28 | Bytemobile, Inc. | Transcoding multimedia information within a network communication system |
US6920485B2 (en) * | 2001-10-04 | 2005-07-19 | Hewlett-Packard Development Company, L.P. | Packet processing in shared memory multi-computer systems |
US7412539B2 (en) * | 2002-12-18 | 2008-08-12 | Sonicwall, Inc. | Method and apparatus for resource locator identifier rewrite |
CA2523343A1 (en) * | 2003-04-21 | 2004-11-04 | Rgb Networks, Inc. | Time-multiplexed multi-program encryption system |
KR100479345B1 (ko) | 2003-05-06 | 2005-03-31 | 한국전자통신연구원 | 네트워크 보안과 관리장치 및 방법 |
KR101000655B1 (ko) | 2003-05-28 | 2010-12-10 | 엘지전자 주식회사 | 페이로드 데이터의 암호화 전송장치 및 방법 |
JP2005057373A (ja) * | 2003-08-07 | 2005-03-03 | Ntt Docomo Inc | 無線パケット通信装置 |
US7530096B2 (en) * | 2003-11-12 | 2009-05-05 | Nokia Siemens Networks Oy | Intermediate node aware IP datagram generation |
US8090857B2 (en) * | 2003-11-24 | 2012-01-03 | Qualcomm Atheros, Inc. | Medium access control layer that encapsulates data from a plurality of received data units into a plurality of independently transmittable blocks |
JP4497299B2 (ja) * | 2004-07-01 | 2010-07-07 | 日本電気株式会社 | 移動無線通信端末装置 |
US7487213B2 (en) * | 2004-09-07 | 2009-02-03 | Iconix, Inc. | Techniques for authenticating email |
US7830864B2 (en) * | 2004-09-18 | 2010-11-09 | Genband Us Llc | Apparatus and methods for per-session switching for multiple wireline and wireless data types |
KR100612255B1 (ko) | 2005-01-11 | 2006-08-14 | 삼성전자주식회사 | 무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법 |
US8365301B2 (en) * | 2005-02-22 | 2013-01-29 | Microsoft Corporation | Peer-to-peer network communication |
US7784046B2 (en) * | 2005-04-15 | 2010-08-24 | Nec Laboratories America, Inc. | Automatically boosting the software content of system LSI designs |
US20060271457A1 (en) * | 2005-05-26 | 2006-11-30 | Romain Martin R | Identity theft monitoring and prevention |
US7647508B2 (en) * | 2005-06-16 | 2010-01-12 | Intel Corporation | Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks |
US8774182B2 (en) * | 2005-11-12 | 2014-07-08 | Apple Inc. | Media access control data plane system and method for wireless communication networks |
US8660145B2 (en) * | 2006-02-08 | 2014-02-25 | Agere Systems Llc | MAC-HS processing in an HSDPA-compatible receiver in a 3G wireless network |
US8483125B2 (en) * | 2007-04-27 | 2013-07-09 | Intellectual Ventures Holding 81 Llc | Multiplexing packets in high speed downlink packet access (HSDPA) communications |
US20090070593A1 (en) * | 2007-09-07 | 2009-03-12 | Authentec, Inc. | Finger sensing apparatus using unique session key and associated methods |
US20090220085A1 (en) * | 2007-09-07 | 2009-09-03 | Zhifeng Tao | Relay MAC Header for Tunneling in a Wireless Multi-User Multi-Hop Relay Networks |
US8375205B2 (en) * | 2007-09-28 | 2013-02-12 | Intel Corporation | Techniques for communicating information over management channels |
CN101911601B (zh) | 2007-11-08 | 2013-01-02 | Lg电子株式会社 | 无线mesh网中的数据发送方法和A-MSDU格式 |
US8509439B2 (en) * | 2007-12-31 | 2013-08-13 | Intel Corporation | Assigning nonces for security keys |
JP2009188751A (ja) * | 2008-02-06 | 2009-08-20 | Fujitsu Ltd | 無線通信システムにおける暗号化及び復号化方法並びに送信装置及び受信装置 |
US8001381B2 (en) * | 2008-02-26 | 2011-08-16 | Motorola Solutions, Inc. | Method and system for mutual authentication of nodes in a wireless communication network |
-
2009
- 2009-06-03 US US12/995,607 patent/US9906627B2/en active Active
- 2009-06-03 KR KR1020107026868A patent/KR101570039B1/ko active IP Right Grant
- 2009-06-03 WO PCT/KR2009/002957 patent/WO2009148263A2/en active Application Filing
- 2009-06-03 JP JP2011512380A patent/JP5527906B2/ja not_active Expired - Fee Related
- 2009-06-03 EP EP09758516.0A patent/EP2283603B1/en active Active
- 2009-06-03 CN CN200980120704.XA patent/CN102057615B/zh not_active Expired - Fee Related
Non-Patent Citations (1)
Title |
---|
IEEE Std 802.16-2004, "IEEE Standard for Local and metropolitan area networks Part 16: Air Interface for Fixed Broadband Wireless Access Systems", 2004년. |
Also Published As
Publication number | Publication date |
---|---|
US20110145561A1 (en) | 2011-06-16 |
WO2009148263A2 (en) | 2009-12-10 |
EP2283603A2 (en) | 2011-02-16 |
JP2011524675A (ja) | 2011-09-01 |
KR20110040753A (ko) | 2011-04-20 |
CN102057615B (zh) | 2017-08-04 |
US9906627B2 (en) | 2018-02-27 |
CN102057615A (zh) | 2011-05-11 |
WO2009148263A3 (en) | 2010-03-18 |
JP5527906B2 (ja) | 2014-06-25 |
EP2283603A4 (en) | 2014-07-30 |
EP2283603B1 (en) | 2020-02-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101570039B1 (ko) | 보안 연계와 관련된 다수 연결 패킷들 결합하여 암호화 오버헤드를 줄이기 위한 시스템 및 방법 | |
US10298595B2 (en) | Methods and apparatus for security over fibre channel | |
KR101421399B1 (ko) | 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법 | |
KR101357026B1 (ko) | 무선 네트워크들을 위한 공중-인터페이스 애플리케이션 층보안 | |
CN101335740B (zh) | 发送、接收数据的方法和系统 | |
KR101485279B1 (ko) | 링크 계층 보안 전송을 지원하는 스위칭 장치 및 그의 데이터 처리 방법 | |
JP2006109449A (ja) | 認証された無線局に暗号化キーを無線で提供するアクセスポイント | |
US20100131750A1 (en) | Method to construct a high-assurance ipsec gateway using an unmodified commercial implementation | |
KR100480999B1 (ko) | 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰채널 제공 장치 및 방법 | |
US7904717B2 (en) | Method, apparatus, and manufacture for decryption of network traffic in a secure session | |
CN113015157A (zh) | 一种用于无线通信系统支持多种加密的方法、装置及系统 | |
US7457409B2 (en) | System and method for performing secure communications in a wireless local area network | |
KR20060091018A (ko) | 무선 랜에서의 ccmp를 이용한 암호화, 복호화 장치 | |
Hao et al. | WB-GWS: An IoT-Oriented Lightweight Gateway System Based on White-Box Cryptography | |
Nawshin et al. | A Study of Security Protocols for Wireless Local Area Network | |
KR20100114608A (ko) | 에이티에이 기반 가상 저장 시스템을 위한 안전한 데이터 전송 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
FPAY | Annual fee payment |
Payment date: 20181030 Year of fee payment: 4 |