セキュリティアソシエーションに関連した多数の接続パケットを連結し、暗号化オーバーヘッドを減少させるシステム及び方法
暗号化のための方法は、多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーションを検出する過程と、各々のデータペイロードは、各々のソース接続からの一つ以上のデータパケットであり、各々のセキュリティアソシエーションと一致するデータペイロードを連結する過程と、各々のセキュリティアソシエーションのために、前記連結されたデータペイロードを暗号化する過程とを含む。また、暗号化のためのシステムは、多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーションを検出し、そして各々のセキュリティアソシエーションと一致するデータペイロードを連結する決定モジュールと、各々のセキュリティアソシエーションのために前記連結されたデータペイロードを暗号化する暗号化モジュールを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に電子データ通信に関し、特に、本発明は、暗号化のための方法及びシステムに関する。
【背景技術】
【0002】
現在シナリオにおいて、広帯域無線ネットワークは、インターネットプロトコルを介して音声のような広範囲なデータ通信サービスをユーザに提供する。前記データ通信サービスは、無線ネットワークを介してパケットデータ技術を使用するデータ送信を伴う。一般に、無線ネットワークを介して送信されたデータパケットは、ユーザのプライバシーを保護し、安全なデータ通信を提供するために、暗号化(encryption)される。暗号化は、加入者端末から基地局への接続を介して伝達される、そして前記基地局から前記加入者端末への接続を介して伝達される各データペイロードに暗号変換(cryptographic transforms)が適用されて行われる。その上、前記データの暗号化は、各々のデータペイロードに追加的なヘッダフィールドを加える過程が伴われる。しかしながら、独立的に多数の接続から発信される多数データペイロードを暗号化するオーバーヘッドは、前記加入者端末と前記基地局でネットワーク帯域幅の利用(utilization of network bandwidth)、処理時間(processing time)、及びエネルギー資源の消費(consumption of energy resources)を増加させる。さらに、各々の接続から発信される各々のデータペイロードにヘッダフィールドを生成して追加する過程は、オーバーヘッドを増加させる。
【0003】
上述のように、前記オーバーヘッドを最小化して多数接続から発信されるデータペイロードを暗号化する方法及びシステムが必要である。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】韓国特許第10−0612255号公報
【特許文献2】韓国特許出願公開第10−2004−0102624号公報
【特許文献3】韓国特許第10−0479345号公報
【特許文献4】韓国特許第10−0383609号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的は、暗号化のための方法及びシステムを提供することにある。
【0006】
本発明の他の目的は、前記オーバーヘッドを最小化する多数接続から発信されるデータペイロードを暗号化する方法及びシステムを提供することにある。
【課題を解決するための手段】
【0007】
暗号化のための方法の実施の形態は、多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出する過程を含む。前記方法は、また各々各々のセキュリティアソシエーションと一致するデータペイロードを連結する過程を含む。その上、前記方法は、各々のセキュリティアソシエーションのために、前記連結されたデータペイロードを暗号化する過程とを含む。
【0008】
暗号化のためのシステムの実施の形態は、多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出し、そして各々のセキュリティアソシエーションと一致するデータペイロードを連結する決定モジュールを備える。なお、各々のセキュリティアソシエーションのために前記連結されたデータペイロードを暗号化する暗号化モジュールを備える。
【0009】
電子装置の実施の形態は、プロトコルデータユニット(Protocol Data Unit:PDU)を含むデータパケットを送受信する通信インタフェースを含む。また、前記電子装置は、情報を格納するメモリを含む。なお、前記電子装置は、多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出するために、前記情報に反応するプロセッサを含む。また、前記プロセッサは、各々のセキュリティアソシエーションと一致するデータペイロードを連結し、各々のセキュリティアソシエーションのために前記連結されたデータペイロードを暗号化する。
【0010】
添付の図面、類似の参照番号は、同一の又は機能的に類似の構成要素を言及する。この参照番号は、多様な具体的実施の形態を示し、そして本発明の多様な目的及び長所を説明するために詳細な説明に用いられる。
【図面の簡単な説明】
【0011】
【図1】図1は、多様な実施の形態が具体化されうるシステム環境のブロックダイアグラムである。
【図2】図2は、具体化による電子装置のブロックダイアグラムである。
【図3】図3は、加入者端末及び基地局においてMAC(Media Access Control)階層を示している。
【図4】図4は、具体化による暗号化のためのフロー図(flow diagram)である。
【図5】図5は、具体化による二つのソース接続から連結されて暗号化されたデータペイロードを含むプロトコルデータユニット(Protocol Data Unit:PDU)に対するMACヘッダの生成を示している。
【図6】図6は、一つの具体化による類似のセキュリティアソシエーションと多数のソース接続からデータペイロードのために生成されたMAC PDUsを示している。
【図7】図7は、一つの具体化による多数セキュリティアソシエーションと関連した多数接続からデータペイロードのために作られたMAC PDUを示している。
【発明を実施するための形態】
【0012】
当業者は、前記図内の前記構成要素が簡潔明瞭に示されていることを認知し、範囲を制限しないであろう。例えば、図においていくつかのの構成要素の範囲は、本発明の多様な実施の形態の理解を助けるために他の構成要素に関して誇張されることができる。
【0013】
以下、本発明の好ましい実施の形態を添付した図面を参照して詳細に説明する。そして、本発明を説明するに当たって、関連した公知の機能又は構成についての具体的な説明が本発明の要旨を不明確にする恐れがあると判断される場合には、その詳細な説明を省略する。そして、後述する用語は、本発明での機能を考慮して定義された用語であり、これは、ユーザ、操作者の意図又は慣例などによって変わりうる。したがって、その定義は、本明細書全般にわたる内容に基づいて行わなければならない。
【0014】
本発明の具体的な実施の形態は、暗号化のための方法及びシステムを提供する。
【0015】
図1は、多様な実施の形態が具体化されうるシステム環境のブロックダイアグラムである。
【0016】
前記システム環境100は、送信部105、受信部110を備える。前記送信部105は、ネットワーク115を介して受信部110と通信する。前記ネットワーク105の一例として、WiMax(Worldwide Interoperability for Microwave Access)ネットワーク、近距離通信網(LAN)、WAN(Wide Area Network)、ブルートゥースネットワーク、IMS(Internet protocol Multimedia Subsystem)ネットワーク、赤外線ネットワーク、ジグビー(zigbee)ネットワーク、無線LAN(WLAN)、又はIEEE(Institute of Electrical and Electronics Engineers)協会により明示された他の無線ネットワークを含むが、本発明において制限されない。
【0017】
送信部105は、多数のソース接続からデータペイロードに一致するセキュリティアソシエーションを決定する決定モジュール120を備える。各々のデータペイロードは、各々のソース接続から一つ以上のデータパケットを含む。前記セキュリティアソシエーションは、ネットワーク115に安全な通信を支援するために、前記送信部105と前記受信部110との間に共有されたセキュリティ情報(security information)のセットである。その上、前記決定モジュール120は、各々のセキュリティアソシエーションと一致する多数のソース接続から受信されたデータペイロードを連結する。前記送信部105もまた、各々のセキュリティアソシエーションのために連結された(concatenated)データペイロードを暗号化する暗号化モジュール125を含む。前記暗号化は、アルゴリズムを使用してデータの変形(transformation)を伴う。その上、前記送信部105は、前記暗号化されたデータペイロードに対するプロトコルデータユニット(PDU)を生成して、前記プロトコルデータユニット(PDU)を送信する送信モジュール130を備える。
【0018】
前記受信部110は、前記送信部105から受信したプロトコルデータユニットにおいて一つ以上のセキュリティアソシエーションを確認するための識別子モジュール135を備える。なお、前記識別子モジュール135は、一つ以上のセキュリティアソシエーションと関連した前記暗号化されたデータペイロードを確認し、前記暗号化されたデータペイロードを解読する(decrypt)ために、セキュリティ情報(security information)を確認する。前記受信部110もまた、前記暗号化されたデータペイロードを解読し、各解読されたデータペイロードと接続した目的地(destination)接続を確認するための暗号化解読モジュール140を備える。前記受信部110は、また、上記の目的地接続の確認を基盤に、目的地接続にペイロードを提供する。
【0019】
具現化において、前記送信部105は、前記受信部110と関連したタスク(task)を行い、反対に前記受信部110は、前記送信部105と関連したタスク(task)を行うことができる。
【0020】
多様な具体化において、前記送信部105は、加入者端末に該当できる。そして、前記受信部110は、基地局に該当できる。そして、反対に前記送信部105は、基地局に該当できる。そして、前記受信部110は、加入者端末に該当できる。前記加入者端末は、電子装置に該当できる。例えば、前記電子装置には、コンピュータ、ラップトップ、モバイル機器、携帯用移動機器(hand held device)、携帯情報端末(PersonalDigitalAssistant:PDA)がある。
【0021】
図2において構成要素を含む電子装置を詳細に説明する。
図2は、具体化による電子装置のブロックダイアグラムである。前記電子装置は、情報を通信するためのバス205、及び前記情報を処理するための前記バス205と接続したプロセッサ210を備える。また、前記電子装置は、前記プロセッサ210により要求された情報を格納するためのメモリ215、例えば、前記バス205と接続したRAM(Random Access Memory)を含む。前記メモリ215は、前記プロセッサ210により要求された一時的な情報を格納するために用いられることができる。前記電子装置は、プロセッサ210により要求された固定された情報(static information)を格納するための前記バス205と接続したROM(Read Only Memory)220をさらに含む。前記サーバ記録装置225、例えば、磁気ディスク、ハードディスク、又は光ディスクは、情報を格納するために提供されて、前記バス205と接続されることができる。
【0022】
前記電子装置は、情報をディスプレイするために、前記バス205を介してディスプレイ230(例:陰極線管(Cathode Ray Tube:CRT)又は液晶表示装置(Liquid Crystal Display:LCD)と接続されることができる。様々なキーを含む入力装置235は、前記プロセッサ210と情報を通信するために、前記バス205に接続される。具現において、前記プロセッサ210と情報を通信して前記ディスプレイ230においてカーソルを制御するためのカーソル制御機240(例えば、マウス、トラックボール、ジョイスチック又はカーソル方向キー)も存在できる。
【0023】
具現化において、本発明の過程は、前記プロセッサ210を使用する前記電子装置により行われる。前記情報は、機械読み取り可能媒体(machine−readable medium)(例えば、前記サーバ記録装置225から前記メモリ215に読み込まれる。他の具現において、ハードウェアに内蔵された回路は、多様な具現を実行するために、ソフトウェア命令を代えるか、又はソフトウェア命令と結合されて使用されることができる。
【0024】
前記機械読み取り可能媒体の用語は、前記機械が特定機能を行うことを可能にするために、機械にデータを提供する媒体と定義される。前記機械読み取り可能媒体は、記録媒体(storage medium)でありうる。前記記録媒体は、不揮発性媒体(non−volatile media)と揮発性媒体(volatile media)を含むことができる。前記サーバ記録装置225は、不揮発性媒体でありうる。前記メモリ215は、揮発性媒体でありうる。そういうすべての媒体が、前記媒体によって伝達される命令(instructions)が物理的メカニズムによって検出されることを可能にするために明白にならなければならない。
【0025】
前記機械読み取り可能媒体の一例として、フロッピー(登録商標)ディスク、フレキシブルディスク(flexible disk)、ハードディスク、磁気テープ(magnetic tap)、CD−ROM、光ディスク、穿孔カード(punch cards)、紙テープ(paper tape)、RAM、PROM、EPROM、そしてFLASH−EPROMを含むが、これに制限されるものではない。
【0026】
前記機械読み取り可能媒体はまたリンクオンラインリンク、ダウンロードリンク、及び前記プロセッサ210に情報を提供するインストールリンク(installation links)を含むことができる。
【0027】
また、前記電子装置は、データ通信を可能にするために、前記バス205に接続した通信インタフェース245を備える。前記通信インタフェース245の一例として、ISDN(Integrated Services Digital Network)カード、モデム、LAN(Local Area Network)カード、赤外線ポート、ブルートゥースポート、ジグビーポート、及び無線ポートを含むが、これに制限されるものではない。
【0028】
具現化において、前記プロセッサ210は、前記プロセッサ210の一つ以上の機能を行うための一つ以上の処理装置を備えることができる。前記処理装置は、特定の機能を行うハードウェア回路である。
【0029】
一つ以上の機能は、多数のソース接続からデータペイロードの受信に応答して、前記データペイロードに該当する一つ以上のセキュリティアソシエーションを検出する機能、各々のセキュリティアソシエーションに一致するデータペイロードを連結する機能と、及び前記連結した各々のセキュリティアソシエーションに対するデータペイロードを暗号化する機能を含む。例えば、前記ソース接続は、前記ネットワーク115と電子通信を行う前記プロセッサによって行われた、ソフトウェアアプリケーション(例えば、インターネットブラウザー、FTP(file transfer protocol)、及びVOIP(voice over internet protocol))に該当できる。また、一つ以上の機能は、暗号化されたデータペイロードに対するプロトコルデータユニット(PDU)を生成する機能と前記プロトコルデータユニット(PDU)を送信する機能とを含む。
【0030】
具現において、前記電子装置はまた受信部110と一致することができる。前記受信部110として動作する前記電子装置のプロセッサの機能は、前記送信部105として機能する前記基地局から受信された前記プロトコルデータユニット(PDU)において一つ以上のセキュリティアソシエーションを確認する機能を含むことができる。また、前記プロセッサの機能は、一つ以上のセキュリティアソシエーションと関連した暗号化されたデータペイロードを確認し、そして前記暗号化されたデータペイロードを解読するために、セキュリティ情報(security information)を確認する機能を含む。その上、前記プロセッサの機能は、解読(decrypting)を含むことができる。前記セキュリティ情報を使用して前記暗号化されたデータペイロードを解読する機能と各解読されたデータペイロードと接続した目的地接続を確認する機能とを含む。前記プロセッサの機能はまた上記の目的地接続を確認して、上記の目的地接続に各々解読されたデータペイロードを提供することを含むことができる。
【0031】
図3は、加入者端末(Subscriber Station:SS)及び基地局(Base Station:BS)においてMAC(Media Access Control)階層を示している。
【0032】
前記MAC階層305は、3個の副階層(sublayers)、例えば、サービス関連収斂副階層(service specific Convergence Sublayer(CS))310、MAC共同部分副階層(MAC common part sublayer:MAC CPS)315、そしてセキュリティ副階層(security sublayer)320を備える。
【0033】
前記CS310は、CS SAP(Service Access Point)325を介して受信された外部ネットワークデータの変形(transformation)またはマッピング(mapping)をMACサービスデータユニット(Service Data Unit:SDU)に提供する。前記変形とマッピングとは、前記MACネットワークSDUを分類し、指定されたMAC接続にMAC SDUを接続することを含む。
【0034】
前記MAC CPS315は、システムアクセスのコアMAC機能、帯域幅割り当て、接続設定(connection establishment)、そして接続維持(connection maintenance)を提供する。前記MAC CPS315は、前記MAC SAP330を介して前記CSからデータを受信する。
【0035】
データ、物理階層(PHY)335制御、及び統計情報は、PHY SAP340を介して前記MAC CPS315とPHY335との間に伝達される。
【0036】
また、MAC CPS315は、認証(authentication)、セキュリティキー交換(securekey exchange)、及び暗号化(encryption)を提供する互いに異なるセキュリティ副階層320を備える。前記セキュリティ副階層320は、セキュリティアソシエーション(security associations)を使用して支援されるセキュリティアルゴリズム集合(a set of supported cryptographic suites)を定義する。前記セキュリティアソシエーション(Security Association:SA)は、前記加入者端末と前記基地局とがネットワーク(例:IEEE 802.16eネットワーク)で安全な通信を支援するために共有する、セキュリティ情報(security information)の集合である。
【0037】
各々のMAC接続は、SAと関連される。多数のMAC接続は、同じSAと関連されることができる。さらに、各々のSAと一致する多数MAC接続は、前記加入者端末と前記基地局との間に同時に存在できる。
【0038】
図4は、具体化による暗号化のためのフロー図(flow diagram)である。
【0039】
多数のソース接続からデータペイロードは受信される。各々のソース接続は、セキュリティアソシエーション(SA)と関連(associate)される。前記SAは、前記ネットワークにおいて二つのデータ通信ポイントの間に共有されたセキュリティ情報集合である。前記共有情報は、セキュリティアルゴリズム集合(cryptographic suite)、暗号化キー、そして初期化ベクトル(initialization vectors)を含むが、これに制限されるものではない。多数のソース接続は、一つ以上のSAと関連されることができる。
【0040】
前記方法は、ステップ405から始める。
【0041】
ステップ410にて、前記データペイロードと関連した一つ以上のSAは、前記多数ソースからデータペイロードの受信に応答して検出される。例えば、各々のデータペイロードは、各々のソース接続から一つ以上のデータパケット(例:サービス関連収斂副階層(CS)から受信された一つ以上のサービスデータユニット(SDU))を含む。
【0042】
例えば、WiMaxネットワークシステムにおいて、仮に一つ以上のMAC SDUs又はMAC SDU断片(fragments)がMAC階層のMAC CPSを介して4個のソース接続から受信されると、そのとき、各々のソース接続から受信されたデータペイロードのSAsが検出される。4個の接続のうち、接続1と接続2とは、セキュリティアソシエーション(SA1)と関連されることに対し、4個の接続のうち、接続3と接続4とは、セキュリティアソシエーション(SA2)と関連される。接続1と接続2からの前記データペイロードと関連した前記セキュリティアソシエーション(SAs)は、SA1として検出され。接続3と接続4からの前記データペイロードと関連した前記セキュリティアソシエーション(SAs)は、SA2として検出される。
【0043】
ステップ415にて、各々のセキュリティアソシエーションと一致する前記多数のソース接続からの前記データペイロードは連結(concatenate)される。
【0044】
例えば、WiMaxネットワークシステムにおいて、仮に、接続1及び接続2がセキュリティアソシエーション(SA1)と関連されると、MAC CPSは、接続1及び接続2の一つ以上のMAC SDUs又はMAC SDU断片フラグメントs)を含む前記データペイロードを連結する。前記連結されたデータペイロードは、一つのデータペイロードに該当し暗号化のためにセキュリティ副階層に送信する。同様に、仮に、接続3及び接続4がセキュリティアソシエーション(SA2)と関連されると、MAC CPSは、SA2と関連された接続3及び接続4の前記データペイロードを連結する。
【0045】
ステップ420にて、各々のセキュリティアソシエーションのために連結されたデータペイロードは、暗号化される。前記暗号化は、counter with cipher block chaining message authentication code(CCM) mode 128 bit Advanced Encryption Standard(AES) encryption、そしてcounter(CTR) mode 128 bit AES encryptionを基盤に行われることができるが、これに制限されることではない。前記連結されたペイロードのためのセキュリティ情報が生成され、前記セキュリティ情報は、前記連結されたデータペイロードと関連される。前記セキュリティ情報は、パケット番号(Packet Number:PN)と無欠性検査値(Integrity Check Value:ICV)により特徴付けられる。前記PNとICVとは、前記暗号化されたデータペイロードに追加される。前記PNは、全て暗号化された前記連結されたデータペイロードのために生成される。前記PNは、前記暗号化されたデータペイロードの前に添付され、前記ICVは、前記暗号化されたデータペイロードの後に添付される。
【0046】
具現化において、前記暗号化されたデータペイロードと関連したプロトコルデータユニット(PDU)は、各々のSAのために生成される。
【0047】
ヘッダは、各々のSAと関連した前記プロトコルデータユニット(PDU)のために生成される。前記ヘッダは、各々のソース接続と関連される接続識別子、前記データペイロードの長さ、そして各々のSAと関連されたセキュリティ情報を決定して生成される。
【0048】
さらに他の具現において、前記プロトコルデータユニット(PDU)は、少なくとも2個以上のSAのための前記暗号化されたデータペイロードのために生成される。前記ヘッダは、少なくとも2個以上のSAと関連した前記連結されたデータペイロードのために生成される。前記ヘッダは、接続識別子、前記データペイロードの長さ、及び少なくとも2個以上のSAと一致するセキュリティ情報を決定して生成される。
【0049】
具現化において、前記プロトコルデータユニットのために生成されたデフォルトGMH(Generic MAC Header)は、修正されたGMH(M_GMH)を形成するために修正される。前記M_GMHは、各々のソース接続と関連した接続識別子、及び各々のSAと関連された前記暗号化されたデータペイロードに伝達される各ソース接続からのデータペイロードの長さを含むことができるが、これに制限されることではない。拡張されたセキュリティヘッダはまた生成されて前記プロトコルデータユニットに添付されることができる。前記拡張されたセキュリティヘッダは、前記連結されたデータペイロードと関連されたセキュリティ情報を含むことができるが、これに制限されるものではない。
【0050】
前記連結されたデータペイロードの暗号化と前記暗号化されたデータペイロードのヘッダ生成は、プロセシングオーバーヘッド、資源利用、及び各ソース接続から前記データペイロードを暗号化するためにかかる時間を最小化する。
【0051】
前記プロトコルデータユニット(PDU)は、受信機に送信される。前記受信機は、前記プロトコルデータユニットで一つ以上のセキュリティアソシエーションを確認する。また、前記受信機は、一つ以上のセキュリティアソシエーションと関連した前記暗号化されたデータペイロードを確認する。その上、また前記暗号化されたデータペイロードを解読するために、前記セキュリティ情報を確認する。その上、前記受信機は、前記セキュリティ情報を使用して前記暗号化されたデータペイロードを解読し、各々の解読されたデータペイロードと関連された目的地接続を確認する。各々の解読されたデータペイロードは、目的地接続の識別を基盤に目的地接続に提供する。
【0052】
ステップ425にて、本発明の手順を終了する。
【0053】
図5は、具体化に応じる二つのソース接続から連結されて暗号化されたデータペイロードを含むプロトコルデータユニット(Protocol Data Unit:PDU)に対するMACヘッダの生成を示している。
【0054】
前記MAC PDUは、同じセキュリティアソシエーション(SA)と関連された二つのソース接続(接続1、接続2)から長さXバイトと長さYバイトのデータペイロードを連結して生成される。パケット番号(PN)と無欠性検査値(ICV)とは、前記暗号化されたデータペイロードに追加される。前記PNは、全て暗号化された前記連結されたデータペイロードのために生成される。前記PNは、前記暗号化されたデータペイロードの前に添付され、そして前記ICVは、前記暗号化されたデータペイロードの後に添付される。一般に、前記PNは、略8バイトで、前記ICVは、略4バイトである。前記MAC PDUは、前記暗号化されたデータペイロードのために生成され、前記MACヘッダは、前記MAC PDUのために生成される。具現において、二つのソース接続に対するMAC PDUのために生成された前記MACヘッダ(GMH)は、次のような情報を含む:
● EKS
● Length(Length of MPDU)=Length of M_GMH+X+Y+12+CRC Length
● Connection IE1
○ LAST=0
○ Type
○ Connection Identifier=connection1
○ Length=X bytes
● Connection IE2
○ LAST=1
○ Type
○ Connection Identifier=connection2
【0055】
前記MAC PDUは、生成されたMACヘッダ(GMH)及びCRCを含む。前記GMHは、他の関連フィールドに加えて3個のペイロード特性フィールドを含む。前記3個のペイロード特性フィールドは、長さ(length)、暗号化キーシーケンス(Encryption Key Sequence:EKS)、及び接続情報要素(IE)である。長さフィールドは、MAC PDUの長さを示す。前記長さは、コンピュータメモリユニットの用語で表現されることができる。前記MAC PDUの長さは、前記連結され暗号化されたデータペイロードのために生成されたM_GMH(modified generic MAC header)の長さ、接続1から長さXバイト、接続2から長さYバイト、PNとICVに該当する追加12バイト、及びCRCの長さを含む。
【0056】
前記EKSは、前記ペイロードを暗号化するために使用された暗号化キーのシーケンス番号を示す。前記接続IEは、前記接続に関連した情報を含む。前記接続IEは、4個の接続特性フィールド、LAST、type、接続識別子、及び長さを含む。前記LASTは、LASTと一致する「0」又は「1」値を有するシングルビットフィールドである。すなわち、「0」は、ソース接続が最後の接続IEであることを示す。そして、「1」は、現在ソース接続の次に一つ以上のソース接続が存在するということを示す。タイプ(type)フィールドは、前記接続識別子により確認された前記ソース接続のメッセージペイロード中にあるサブヘッダと特別なペイロードタイプを示す。前記接続識別子は、伝達されるデータのソース接続を確認する。前記長さフィールドは、データペイロードの長さに該当する。
【0057】
前記GMHは、MAC PDUを受信する前記受信機で分析される。前記受信機の安全副階層は、暗号解読(decrypting)をするために、「MPDUの長さ−GMHの長さ−CRCの長さ」バイトを受信する。前記受信機で前記セキュリティ副階層は、前記プロトコルデータユニットを解読し、前記暗号化ヘッダPNとICVとを除去し、「MPDUの長さ−GMHの長さ−CRCの長さ」バイトサイズの前記解読されたプロトコルデータユニットに伝達される前記データペイロードを目的地接続に提供する。
【0058】
図6は、一つの具体化による類似のセキュリティアソシエーションと多数のソース接続からデータペイロードのために生成されたMAC PDUsを示している。
【0059】
例えば、「n」異なるソース接続からのデータペイロードを考慮する。各々の「n」異なるソース接続は、一つのSAと関連される。前記MAC PDUsは、同じセキュリティアソシエーション(SA)と関連されたソース接続からのデータペイロードを連結する(例:SA1に対したMAC PDU(SA1)、SA2に対するMAC PDU(SA2)、SAnに対したMAC PDU(SAn))。前記パケット番号(PN)と無欠性検査値(ICV)とを含むセキュリティ情報は、データペイロードに追加される。前記PNは、全て暗号化された前記連結されたデータペイロードのために生成される。前記PNは、前記暗号化されたデータペイロードの前に追加され、そして前記ICVは、前記暗号化されたデータペイロードの後に追加される。代案として、拡張されたセキュリティヘッダ(extended security header)も生成されて、前記MAC PDUに追加されることができる。前記拡張されたセキュリティヘッダは、セキュリティ情報としてPN、暗号化キーシーケンス(EKS)、及び前記連結されたデータペイロードと関連されたICVを含むことができるが、これに制限されるものではない。なお、前記MAC PDUは、多数暗号化されたデータペイロードのうち、各々の暗号化されたデータペイロードのために生成され、前記MACヘッダは、各々の前記MAC PDUのためにそれぞれ(separately)生成される。
【0060】
なお、GMHと追加的な多重化拡張ヘッダ(Multiplexing Extended Header:MEH)は、各々のMAC PDUのために生成される。前記GMHと前記MEHとは、前記MAC PDU内に連結されたデータペイロードを有するソース接続、及び各々のソース接続からの各々のデータペイロードの長さを共に確認する。各々のSAに該当するMAC PDUは、順次送信される。
【0061】
図7は、一つの具体化による多数セキュリティアソシエーションと関連した多数接続からデータペイロードのために作られたMAC PDUを示している。
【0062】
例えば、「n」個の異なるソース接続からのデータペイロードを考慮する。「n」個の異なるソース接続は、各々一つのSAと関連される。同じセキュリティアソシエーション(SA)と関連されたソース接続からのデータペイロードは連結されて暗号化される。各々のSAと一致する暗号化されたデータペイロードは連結される。例えば、SA1、SA2、及びSAnに属するデータペイロードは、独立的に鎖のようにつながる。パケット番号(PN)と無欠性検査値(ICV)とを含むセキュリティ情報は、各々のSAと一致する各々の連結されたデータペイロードに追加される。前記PNは、全て暗号化された前記連結されたデータペイロードのために生成される。前記PNは、前記暗号化されたデータペイロードの前に添付され、そしてICVは、前記暗号化されたデータペイロードの後に添付される。代案として、拡張されたセキュリティヘッダもまた生成されてMAC PDUに添付される。前記拡張されたセキュリティヘッダは、セキュリティ情報としてPN、暗号化キーシーケンス(EKS)、及び前記連結されたデータペイロードと関連したICVを含むことができるが、これに制限されるものではない。その上、SA1、SA2、及びSAnに属する暗号化されたデータペイロードは、前記MAC PDUを生成するために連結される。
【0063】
なお、GMHと追加的な多重化拡張ヘッダ(Multiplexing Extended Header:MEH)は、前記MAC PDUのために生成される。前記GMHと前記MEHとは、各々のSAに一致する前記MAC PDU内に各暗号化されたデータペイロードに連結されたデータペイロードを有するソース接続を共に確認する。前記GMHと前記MEHとは、前記各々のSAに一致する前記暗号化されたデータペイロード内の各々のソース接続からの各データペイロードの長さを共に決定する。前記GMHと前記MEHとは、各々の暗号化されたデータペイロードに該当するソース接続情報を含む。前記ソース接続情報は、各々の暗号化されたデータペイロードの配列と同じ順序に整列される。例えば、第1暗号化データペイロードに該当する前記ソース接続情報は、第2暗号化データペイロードに該当する前記ソース接続情報より先んじる。
【0064】
なお、各々の暗号化されたデータペイロードと一致する前記ソース接続情報は、各々のソース接続に該当するデータペイロード情報を含む。前記データペイロード情報は、暗号化されたデータペイロード内の各々のデータペイロードの配列と同じ順序に整列される。例えば、第1ソース接続に該当するデータペイロード情報は、第2ソース接続に該当するデータペイロード情報より先んじる。以後、前記MAC PDUは、受信機に送信される。
【0065】
上述したように、同じセキュリティアソシエーション(SA)のデータペイロードを連結して暗号化することで、プロセシングオーバーヘッド、資源利用、そして各ソース接続から前記データペイロードを暗号化するためにかかる時間を最小化しうるという利点がある。
【0066】
一方、本発明の詳細な説明では具体的な実施の形態について説明したが、本発明の範囲から逸脱しない範囲内で多様な変形が可能であることは勿論である。したがって、本発明の範囲は、上述の実施の形態に限って決まらず、特許請求の範囲だけでなく、特許請求の範囲と均等なものによって決まらねばならない。
【符号の説明】
【0067】
100 システム環境
105 送信部
110 受信部
115 ネットワーク
120 決定モジュール
125 暗号化モジュール
130 送信モジュール
135 識別子モジュール
140 暗号化解読モジュール
【技術分野】
【0001】
本発明は、一般に電子データ通信に関し、特に、本発明は、暗号化のための方法及びシステムに関する。
【背景技術】
【0002】
現在シナリオにおいて、広帯域無線ネットワークは、インターネットプロトコルを介して音声のような広範囲なデータ通信サービスをユーザに提供する。前記データ通信サービスは、無線ネットワークを介してパケットデータ技術を使用するデータ送信を伴う。一般に、無線ネットワークを介して送信されたデータパケットは、ユーザのプライバシーを保護し、安全なデータ通信を提供するために、暗号化(encryption)される。暗号化は、加入者端末から基地局への接続を介して伝達される、そして前記基地局から前記加入者端末への接続を介して伝達される各データペイロードに暗号変換(cryptographic transforms)が適用されて行われる。その上、前記データの暗号化は、各々のデータペイロードに追加的なヘッダフィールドを加える過程が伴われる。しかしながら、独立的に多数の接続から発信される多数データペイロードを暗号化するオーバーヘッドは、前記加入者端末と前記基地局でネットワーク帯域幅の利用(utilization of network bandwidth)、処理時間(processing time)、及びエネルギー資源の消費(consumption of energy resources)を増加させる。さらに、各々の接続から発信される各々のデータペイロードにヘッダフィールドを生成して追加する過程は、オーバーヘッドを増加させる。
【0003】
上述のように、前記オーバーヘッドを最小化して多数接続から発信されるデータペイロードを暗号化する方法及びシステムが必要である。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】韓国特許第10−0612255号公報
【特許文献2】韓国特許出願公開第10−2004−0102624号公報
【特許文献3】韓国特許第10−0479345号公報
【特許文献4】韓国特許第10−0383609号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的は、暗号化のための方法及びシステムを提供することにある。
【0006】
本発明の他の目的は、前記オーバーヘッドを最小化する多数接続から発信されるデータペイロードを暗号化する方法及びシステムを提供することにある。
【課題を解決するための手段】
【0007】
暗号化のための方法の実施の形態は、多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出する過程を含む。前記方法は、また各々各々のセキュリティアソシエーションと一致するデータペイロードを連結する過程を含む。その上、前記方法は、各々のセキュリティアソシエーションのために、前記連結されたデータペイロードを暗号化する過程とを含む。
【0008】
暗号化のためのシステムの実施の形態は、多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出し、そして各々のセキュリティアソシエーションと一致するデータペイロードを連結する決定モジュールを備える。なお、各々のセキュリティアソシエーションのために前記連結されたデータペイロードを暗号化する暗号化モジュールを備える。
【0009】
電子装置の実施の形態は、プロトコルデータユニット(Protocol Data Unit:PDU)を含むデータパケットを送受信する通信インタフェースを含む。また、前記電子装置は、情報を格納するメモリを含む。なお、前記電子装置は、多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出するために、前記情報に反応するプロセッサを含む。また、前記プロセッサは、各々のセキュリティアソシエーションと一致するデータペイロードを連結し、各々のセキュリティアソシエーションのために前記連結されたデータペイロードを暗号化する。
【0010】
添付の図面、類似の参照番号は、同一の又は機能的に類似の構成要素を言及する。この参照番号は、多様な具体的実施の形態を示し、そして本発明の多様な目的及び長所を説明するために詳細な説明に用いられる。
【図面の簡単な説明】
【0011】
【図1】図1は、多様な実施の形態が具体化されうるシステム環境のブロックダイアグラムである。
【図2】図2は、具体化による電子装置のブロックダイアグラムである。
【図3】図3は、加入者端末及び基地局においてMAC(Media Access Control)階層を示している。
【図4】図4は、具体化による暗号化のためのフロー図(flow diagram)である。
【図5】図5は、具体化による二つのソース接続から連結されて暗号化されたデータペイロードを含むプロトコルデータユニット(Protocol Data Unit:PDU)に対するMACヘッダの生成を示している。
【図6】図6は、一つの具体化による類似のセキュリティアソシエーションと多数のソース接続からデータペイロードのために生成されたMAC PDUsを示している。
【図7】図7は、一つの具体化による多数セキュリティアソシエーションと関連した多数接続からデータペイロードのために作られたMAC PDUを示している。
【発明を実施するための形態】
【0012】
当業者は、前記図内の前記構成要素が簡潔明瞭に示されていることを認知し、範囲を制限しないであろう。例えば、図においていくつかのの構成要素の範囲は、本発明の多様な実施の形態の理解を助けるために他の構成要素に関して誇張されることができる。
【0013】
以下、本発明の好ましい実施の形態を添付した図面を参照して詳細に説明する。そして、本発明を説明するに当たって、関連した公知の機能又は構成についての具体的な説明が本発明の要旨を不明確にする恐れがあると判断される場合には、その詳細な説明を省略する。そして、後述する用語は、本発明での機能を考慮して定義された用語であり、これは、ユーザ、操作者の意図又は慣例などによって変わりうる。したがって、その定義は、本明細書全般にわたる内容に基づいて行わなければならない。
【0014】
本発明の具体的な実施の形態は、暗号化のための方法及びシステムを提供する。
【0015】
図1は、多様な実施の形態が具体化されうるシステム環境のブロックダイアグラムである。
【0016】
前記システム環境100は、送信部105、受信部110を備える。前記送信部105は、ネットワーク115を介して受信部110と通信する。前記ネットワーク105の一例として、WiMax(Worldwide Interoperability for Microwave Access)ネットワーク、近距離通信網(LAN)、WAN(Wide Area Network)、ブルートゥースネットワーク、IMS(Internet protocol Multimedia Subsystem)ネットワーク、赤外線ネットワーク、ジグビー(zigbee)ネットワーク、無線LAN(WLAN)、又はIEEE(Institute of Electrical and Electronics Engineers)協会により明示された他の無線ネットワークを含むが、本発明において制限されない。
【0017】
送信部105は、多数のソース接続からデータペイロードに一致するセキュリティアソシエーションを決定する決定モジュール120を備える。各々のデータペイロードは、各々のソース接続から一つ以上のデータパケットを含む。前記セキュリティアソシエーションは、ネットワーク115に安全な通信を支援するために、前記送信部105と前記受信部110との間に共有されたセキュリティ情報(security information)のセットである。その上、前記決定モジュール120は、各々のセキュリティアソシエーションと一致する多数のソース接続から受信されたデータペイロードを連結する。前記送信部105もまた、各々のセキュリティアソシエーションのために連結された(concatenated)データペイロードを暗号化する暗号化モジュール125を含む。前記暗号化は、アルゴリズムを使用してデータの変形(transformation)を伴う。その上、前記送信部105は、前記暗号化されたデータペイロードに対するプロトコルデータユニット(PDU)を生成して、前記プロトコルデータユニット(PDU)を送信する送信モジュール130を備える。
【0018】
前記受信部110は、前記送信部105から受信したプロトコルデータユニットにおいて一つ以上のセキュリティアソシエーションを確認するための識別子モジュール135を備える。なお、前記識別子モジュール135は、一つ以上のセキュリティアソシエーションと関連した前記暗号化されたデータペイロードを確認し、前記暗号化されたデータペイロードを解読する(decrypt)ために、セキュリティ情報(security information)を確認する。前記受信部110もまた、前記暗号化されたデータペイロードを解読し、各解読されたデータペイロードと接続した目的地(destination)接続を確認するための暗号化解読モジュール140を備える。前記受信部110は、また、上記の目的地接続の確認を基盤に、目的地接続にペイロードを提供する。
【0019】
具現化において、前記送信部105は、前記受信部110と関連したタスク(task)を行い、反対に前記受信部110は、前記送信部105と関連したタスク(task)を行うことができる。
【0020】
多様な具体化において、前記送信部105は、加入者端末に該当できる。そして、前記受信部110は、基地局に該当できる。そして、反対に前記送信部105は、基地局に該当できる。そして、前記受信部110は、加入者端末に該当できる。前記加入者端末は、電子装置に該当できる。例えば、前記電子装置には、コンピュータ、ラップトップ、モバイル機器、携帯用移動機器(hand held device)、携帯情報端末(PersonalDigitalAssistant:PDA)がある。
【0021】
図2において構成要素を含む電子装置を詳細に説明する。
図2は、具体化による電子装置のブロックダイアグラムである。前記電子装置は、情報を通信するためのバス205、及び前記情報を処理するための前記バス205と接続したプロセッサ210を備える。また、前記電子装置は、前記プロセッサ210により要求された情報を格納するためのメモリ215、例えば、前記バス205と接続したRAM(Random Access Memory)を含む。前記メモリ215は、前記プロセッサ210により要求された一時的な情報を格納するために用いられることができる。前記電子装置は、プロセッサ210により要求された固定された情報(static information)を格納するための前記バス205と接続したROM(Read Only Memory)220をさらに含む。前記サーバ記録装置225、例えば、磁気ディスク、ハードディスク、又は光ディスクは、情報を格納するために提供されて、前記バス205と接続されることができる。
【0022】
前記電子装置は、情報をディスプレイするために、前記バス205を介してディスプレイ230(例:陰極線管(Cathode Ray Tube:CRT)又は液晶表示装置(Liquid Crystal Display:LCD)と接続されることができる。様々なキーを含む入力装置235は、前記プロセッサ210と情報を通信するために、前記バス205に接続される。具現において、前記プロセッサ210と情報を通信して前記ディスプレイ230においてカーソルを制御するためのカーソル制御機240(例えば、マウス、トラックボール、ジョイスチック又はカーソル方向キー)も存在できる。
【0023】
具現化において、本発明の過程は、前記プロセッサ210を使用する前記電子装置により行われる。前記情報は、機械読み取り可能媒体(machine−readable medium)(例えば、前記サーバ記録装置225から前記メモリ215に読み込まれる。他の具現において、ハードウェアに内蔵された回路は、多様な具現を実行するために、ソフトウェア命令を代えるか、又はソフトウェア命令と結合されて使用されることができる。
【0024】
前記機械読み取り可能媒体の用語は、前記機械が特定機能を行うことを可能にするために、機械にデータを提供する媒体と定義される。前記機械読み取り可能媒体は、記録媒体(storage medium)でありうる。前記記録媒体は、不揮発性媒体(non−volatile media)と揮発性媒体(volatile media)を含むことができる。前記サーバ記録装置225は、不揮発性媒体でありうる。前記メモリ215は、揮発性媒体でありうる。そういうすべての媒体が、前記媒体によって伝達される命令(instructions)が物理的メカニズムによって検出されることを可能にするために明白にならなければならない。
【0025】
前記機械読み取り可能媒体の一例として、フロッピー(登録商標)ディスク、フレキシブルディスク(flexible disk)、ハードディスク、磁気テープ(magnetic tap)、CD−ROM、光ディスク、穿孔カード(punch cards)、紙テープ(paper tape)、RAM、PROM、EPROM、そしてFLASH−EPROMを含むが、これに制限されるものではない。
【0026】
前記機械読み取り可能媒体はまたリンクオンラインリンク、ダウンロードリンク、及び前記プロセッサ210に情報を提供するインストールリンク(installation links)を含むことができる。
【0027】
また、前記電子装置は、データ通信を可能にするために、前記バス205に接続した通信インタフェース245を備える。前記通信インタフェース245の一例として、ISDN(Integrated Services Digital Network)カード、モデム、LAN(Local Area Network)カード、赤外線ポート、ブルートゥースポート、ジグビーポート、及び無線ポートを含むが、これに制限されるものではない。
【0028】
具現化において、前記プロセッサ210は、前記プロセッサ210の一つ以上の機能を行うための一つ以上の処理装置を備えることができる。前記処理装置は、特定の機能を行うハードウェア回路である。
【0029】
一つ以上の機能は、多数のソース接続からデータペイロードの受信に応答して、前記データペイロードに該当する一つ以上のセキュリティアソシエーションを検出する機能、各々のセキュリティアソシエーションに一致するデータペイロードを連結する機能と、及び前記連結した各々のセキュリティアソシエーションに対するデータペイロードを暗号化する機能を含む。例えば、前記ソース接続は、前記ネットワーク115と電子通信を行う前記プロセッサによって行われた、ソフトウェアアプリケーション(例えば、インターネットブラウザー、FTP(file transfer protocol)、及びVOIP(voice over internet protocol))に該当できる。また、一つ以上の機能は、暗号化されたデータペイロードに対するプロトコルデータユニット(PDU)を生成する機能と前記プロトコルデータユニット(PDU)を送信する機能とを含む。
【0030】
具現において、前記電子装置はまた受信部110と一致することができる。前記受信部110として動作する前記電子装置のプロセッサの機能は、前記送信部105として機能する前記基地局から受信された前記プロトコルデータユニット(PDU)において一つ以上のセキュリティアソシエーションを確認する機能を含むことができる。また、前記プロセッサの機能は、一つ以上のセキュリティアソシエーションと関連した暗号化されたデータペイロードを確認し、そして前記暗号化されたデータペイロードを解読するために、セキュリティ情報(security information)を確認する機能を含む。その上、前記プロセッサの機能は、解読(decrypting)を含むことができる。前記セキュリティ情報を使用して前記暗号化されたデータペイロードを解読する機能と各解読されたデータペイロードと接続した目的地接続を確認する機能とを含む。前記プロセッサの機能はまた上記の目的地接続を確認して、上記の目的地接続に各々解読されたデータペイロードを提供することを含むことができる。
【0031】
図3は、加入者端末(Subscriber Station:SS)及び基地局(Base Station:BS)においてMAC(Media Access Control)階層を示している。
【0032】
前記MAC階層305は、3個の副階層(sublayers)、例えば、サービス関連収斂副階層(service specific Convergence Sublayer(CS))310、MAC共同部分副階層(MAC common part sublayer:MAC CPS)315、そしてセキュリティ副階層(security sublayer)320を備える。
【0033】
前記CS310は、CS SAP(Service Access Point)325を介して受信された外部ネットワークデータの変形(transformation)またはマッピング(mapping)をMACサービスデータユニット(Service Data Unit:SDU)に提供する。前記変形とマッピングとは、前記MACネットワークSDUを分類し、指定されたMAC接続にMAC SDUを接続することを含む。
【0034】
前記MAC CPS315は、システムアクセスのコアMAC機能、帯域幅割り当て、接続設定(connection establishment)、そして接続維持(connection maintenance)を提供する。前記MAC CPS315は、前記MAC SAP330を介して前記CSからデータを受信する。
【0035】
データ、物理階層(PHY)335制御、及び統計情報は、PHY SAP340を介して前記MAC CPS315とPHY335との間に伝達される。
【0036】
また、MAC CPS315は、認証(authentication)、セキュリティキー交換(securekey exchange)、及び暗号化(encryption)を提供する互いに異なるセキュリティ副階層320を備える。前記セキュリティ副階層320は、セキュリティアソシエーション(security associations)を使用して支援されるセキュリティアルゴリズム集合(a set of supported cryptographic suites)を定義する。前記セキュリティアソシエーション(Security Association:SA)は、前記加入者端末と前記基地局とがネットワーク(例:IEEE 802.16eネットワーク)で安全な通信を支援するために共有する、セキュリティ情報(security information)の集合である。
【0037】
各々のMAC接続は、SAと関連される。多数のMAC接続は、同じSAと関連されることができる。さらに、各々のSAと一致する多数MAC接続は、前記加入者端末と前記基地局との間に同時に存在できる。
【0038】
図4は、具体化による暗号化のためのフロー図(flow diagram)である。
【0039】
多数のソース接続からデータペイロードは受信される。各々のソース接続は、セキュリティアソシエーション(SA)と関連(associate)される。前記SAは、前記ネットワークにおいて二つのデータ通信ポイントの間に共有されたセキュリティ情報集合である。前記共有情報は、セキュリティアルゴリズム集合(cryptographic suite)、暗号化キー、そして初期化ベクトル(initialization vectors)を含むが、これに制限されるものではない。多数のソース接続は、一つ以上のSAと関連されることができる。
【0040】
前記方法は、ステップ405から始める。
【0041】
ステップ410にて、前記データペイロードと関連した一つ以上のSAは、前記多数ソースからデータペイロードの受信に応答して検出される。例えば、各々のデータペイロードは、各々のソース接続から一つ以上のデータパケット(例:サービス関連収斂副階層(CS)から受信された一つ以上のサービスデータユニット(SDU))を含む。
【0042】
例えば、WiMaxネットワークシステムにおいて、仮に一つ以上のMAC SDUs又はMAC SDU断片(fragments)がMAC階層のMAC CPSを介して4個のソース接続から受信されると、そのとき、各々のソース接続から受信されたデータペイロードのSAsが検出される。4個の接続のうち、接続1と接続2とは、セキュリティアソシエーション(SA1)と関連されることに対し、4個の接続のうち、接続3と接続4とは、セキュリティアソシエーション(SA2)と関連される。接続1と接続2からの前記データペイロードと関連した前記セキュリティアソシエーション(SAs)は、SA1として検出され。接続3と接続4からの前記データペイロードと関連した前記セキュリティアソシエーション(SAs)は、SA2として検出される。
【0043】
ステップ415にて、各々のセキュリティアソシエーションと一致する前記多数のソース接続からの前記データペイロードは連結(concatenate)される。
【0044】
例えば、WiMaxネットワークシステムにおいて、仮に、接続1及び接続2がセキュリティアソシエーション(SA1)と関連されると、MAC CPSは、接続1及び接続2の一つ以上のMAC SDUs又はMAC SDU断片フラグメントs)を含む前記データペイロードを連結する。前記連結されたデータペイロードは、一つのデータペイロードに該当し暗号化のためにセキュリティ副階層に送信する。同様に、仮に、接続3及び接続4がセキュリティアソシエーション(SA2)と関連されると、MAC CPSは、SA2と関連された接続3及び接続4の前記データペイロードを連結する。
【0045】
ステップ420にて、各々のセキュリティアソシエーションのために連結されたデータペイロードは、暗号化される。前記暗号化は、counter with cipher block chaining message authentication code(CCM) mode 128 bit Advanced Encryption Standard(AES) encryption、そしてcounter(CTR) mode 128 bit AES encryptionを基盤に行われることができるが、これに制限されることではない。前記連結されたペイロードのためのセキュリティ情報が生成され、前記セキュリティ情報は、前記連結されたデータペイロードと関連される。前記セキュリティ情報は、パケット番号(Packet Number:PN)と無欠性検査値(Integrity Check Value:ICV)により特徴付けられる。前記PNとICVとは、前記暗号化されたデータペイロードに追加される。前記PNは、全て暗号化された前記連結されたデータペイロードのために生成される。前記PNは、前記暗号化されたデータペイロードの前に添付され、前記ICVは、前記暗号化されたデータペイロードの後に添付される。
【0046】
具現化において、前記暗号化されたデータペイロードと関連したプロトコルデータユニット(PDU)は、各々のSAのために生成される。
【0047】
ヘッダは、各々のSAと関連した前記プロトコルデータユニット(PDU)のために生成される。前記ヘッダは、各々のソース接続と関連される接続識別子、前記データペイロードの長さ、そして各々のSAと関連されたセキュリティ情報を決定して生成される。
【0048】
さらに他の具現において、前記プロトコルデータユニット(PDU)は、少なくとも2個以上のSAのための前記暗号化されたデータペイロードのために生成される。前記ヘッダは、少なくとも2個以上のSAと関連した前記連結されたデータペイロードのために生成される。前記ヘッダは、接続識別子、前記データペイロードの長さ、及び少なくとも2個以上のSAと一致するセキュリティ情報を決定して生成される。
【0049】
具現化において、前記プロトコルデータユニットのために生成されたデフォルトGMH(Generic MAC Header)は、修正されたGMH(M_GMH)を形成するために修正される。前記M_GMHは、各々のソース接続と関連した接続識別子、及び各々のSAと関連された前記暗号化されたデータペイロードに伝達される各ソース接続からのデータペイロードの長さを含むことができるが、これに制限されることではない。拡張されたセキュリティヘッダはまた生成されて前記プロトコルデータユニットに添付されることができる。前記拡張されたセキュリティヘッダは、前記連結されたデータペイロードと関連されたセキュリティ情報を含むことができるが、これに制限されるものではない。
【0050】
前記連結されたデータペイロードの暗号化と前記暗号化されたデータペイロードのヘッダ生成は、プロセシングオーバーヘッド、資源利用、及び各ソース接続から前記データペイロードを暗号化するためにかかる時間を最小化する。
【0051】
前記プロトコルデータユニット(PDU)は、受信機に送信される。前記受信機は、前記プロトコルデータユニットで一つ以上のセキュリティアソシエーションを確認する。また、前記受信機は、一つ以上のセキュリティアソシエーションと関連した前記暗号化されたデータペイロードを確認する。その上、また前記暗号化されたデータペイロードを解読するために、前記セキュリティ情報を確認する。その上、前記受信機は、前記セキュリティ情報を使用して前記暗号化されたデータペイロードを解読し、各々の解読されたデータペイロードと関連された目的地接続を確認する。各々の解読されたデータペイロードは、目的地接続の識別を基盤に目的地接続に提供する。
【0052】
ステップ425にて、本発明の手順を終了する。
【0053】
図5は、具体化に応じる二つのソース接続から連結されて暗号化されたデータペイロードを含むプロトコルデータユニット(Protocol Data Unit:PDU)に対するMACヘッダの生成を示している。
【0054】
前記MAC PDUは、同じセキュリティアソシエーション(SA)と関連された二つのソース接続(接続1、接続2)から長さXバイトと長さYバイトのデータペイロードを連結して生成される。パケット番号(PN)と無欠性検査値(ICV)とは、前記暗号化されたデータペイロードに追加される。前記PNは、全て暗号化された前記連結されたデータペイロードのために生成される。前記PNは、前記暗号化されたデータペイロードの前に添付され、そして前記ICVは、前記暗号化されたデータペイロードの後に添付される。一般に、前記PNは、略8バイトで、前記ICVは、略4バイトである。前記MAC PDUは、前記暗号化されたデータペイロードのために生成され、前記MACヘッダは、前記MAC PDUのために生成される。具現において、二つのソース接続に対するMAC PDUのために生成された前記MACヘッダ(GMH)は、次のような情報を含む:
● EKS
● Length(Length of MPDU)=Length of M_GMH+X+Y+12+CRC Length
● Connection IE1
○ LAST=0
○ Type
○ Connection Identifier=connection1
○ Length=X bytes
● Connection IE2
○ LAST=1
○ Type
○ Connection Identifier=connection2
【0055】
前記MAC PDUは、生成されたMACヘッダ(GMH)及びCRCを含む。前記GMHは、他の関連フィールドに加えて3個のペイロード特性フィールドを含む。前記3個のペイロード特性フィールドは、長さ(length)、暗号化キーシーケンス(Encryption Key Sequence:EKS)、及び接続情報要素(IE)である。長さフィールドは、MAC PDUの長さを示す。前記長さは、コンピュータメモリユニットの用語で表現されることができる。前記MAC PDUの長さは、前記連結され暗号化されたデータペイロードのために生成されたM_GMH(modified generic MAC header)の長さ、接続1から長さXバイト、接続2から長さYバイト、PNとICVに該当する追加12バイト、及びCRCの長さを含む。
【0056】
前記EKSは、前記ペイロードを暗号化するために使用された暗号化キーのシーケンス番号を示す。前記接続IEは、前記接続に関連した情報を含む。前記接続IEは、4個の接続特性フィールド、LAST、type、接続識別子、及び長さを含む。前記LASTは、LASTと一致する「0」又は「1」値を有するシングルビットフィールドである。すなわち、「0」は、ソース接続が最後の接続IEであることを示す。そして、「1」は、現在ソース接続の次に一つ以上のソース接続が存在するということを示す。タイプ(type)フィールドは、前記接続識別子により確認された前記ソース接続のメッセージペイロード中にあるサブヘッダと特別なペイロードタイプを示す。前記接続識別子は、伝達されるデータのソース接続を確認する。前記長さフィールドは、データペイロードの長さに該当する。
【0057】
前記GMHは、MAC PDUを受信する前記受信機で分析される。前記受信機の安全副階層は、暗号解読(decrypting)をするために、「MPDUの長さ−GMHの長さ−CRCの長さ」バイトを受信する。前記受信機で前記セキュリティ副階層は、前記プロトコルデータユニットを解読し、前記暗号化ヘッダPNとICVとを除去し、「MPDUの長さ−GMHの長さ−CRCの長さ」バイトサイズの前記解読されたプロトコルデータユニットに伝達される前記データペイロードを目的地接続に提供する。
【0058】
図6は、一つの具体化による類似のセキュリティアソシエーションと多数のソース接続からデータペイロードのために生成されたMAC PDUsを示している。
【0059】
例えば、「n」異なるソース接続からのデータペイロードを考慮する。各々の「n」異なるソース接続は、一つのSAと関連される。前記MAC PDUsは、同じセキュリティアソシエーション(SA)と関連されたソース接続からのデータペイロードを連結する(例:SA1に対したMAC PDU(SA1)、SA2に対するMAC PDU(SA2)、SAnに対したMAC PDU(SAn))。前記パケット番号(PN)と無欠性検査値(ICV)とを含むセキュリティ情報は、データペイロードに追加される。前記PNは、全て暗号化された前記連結されたデータペイロードのために生成される。前記PNは、前記暗号化されたデータペイロードの前に追加され、そして前記ICVは、前記暗号化されたデータペイロードの後に追加される。代案として、拡張されたセキュリティヘッダ(extended security header)も生成されて、前記MAC PDUに追加されることができる。前記拡張されたセキュリティヘッダは、セキュリティ情報としてPN、暗号化キーシーケンス(EKS)、及び前記連結されたデータペイロードと関連されたICVを含むことができるが、これに制限されるものではない。なお、前記MAC PDUは、多数暗号化されたデータペイロードのうち、各々の暗号化されたデータペイロードのために生成され、前記MACヘッダは、各々の前記MAC PDUのためにそれぞれ(separately)生成される。
【0060】
なお、GMHと追加的な多重化拡張ヘッダ(Multiplexing Extended Header:MEH)は、各々のMAC PDUのために生成される。前記GMHと前記MEHとは、前記MAC PDU内に連結されたデータペイロードを有するソース接続、及び各々のソース接続からの各々のデータペイロードの長さを共に確認する。各々のSAに該当するMAC PDUは、順次送信される。
【0061】
図7は、一つの具体化による多数セキュリティアソシエーションと関連した多数接続からデータペイロードのために作られたMAC PDUを示している。
【0062】
例えば、「n」個の異なるソース接続からのデータペイロードを考慮する。「n」個の異なるソース接続は、各々一つのSAと関連される。同じセキュリティアソシエーション(SA)と関連されたソース接続からのデータペイロードは連結されて暗号化される。各々のSAと一致する暗号化されたデータペイロードは連結される。例えば、SA1、SA2、及びSAnに属するデータペイロードは、独立的に鎖のようにつながる。パケット番号(PN)と無欠性検査値(ICV)とを含むセキュリティ情報は、各々のSAと一致する各々の連結されたデータペイロードに追加される。前記PNは、全て暗号化された前記連結されたデータペイロードのために生成される。前記PNは、前記暗号化されたデータペイロードの前に添付され、そしてICVは、前記暗号化されたデータペイロードの後に添付される。代案として、拡張されたセキュリティヘッダもまた生成されてMAC PDUに添付される。前記拡張されたセキュリティヘッダは、セキュリティ情報としてPN、暗号化キーシーケンス(EKS)、及び前記連結されたデータペイロードと関連したICVを含むことができるが、これに制限されるものではない。その上、SA1、SA2、及びSAnに属する暗号化されたデータペイロードは、前記MAC PDUを生成するために連結される。
【0063】
なお、GMHと追加的な多重化拡張ヘッダ(Multiplexing Extended Header:MEH)は、前記MAC PDUのために生成される。前記GMHと前記MEHとは、各々のSAに一致する前記MAC PDU内に各暗号化されたデータペイロードに連結されたデータペイロードを有するソース接続を共に確認する。前記GMHと前記MEHとは、前記各々のSAに一致する前記暗号化されたデータペイロード内の各々のソース接続からの各データペイロードの長さを共に決定する。前記GMHと前記MEHとは、各々の暗号化されたデータペイロードに該当するソース接続情報を含む。前記ソース接続情報は、各々の暗号化されたデータペイロードの配列と同じ順序に整列される。例えば、第1暗号化データペイロードに該当する前記ソース接続情報は、第2暗号化データペイロードに該当する前記ソース接続情報より先んじる。
【0064】
なお、各々の暗号化されたデータペイロードと一致する前記ソース接続情報は、各々のソース接続に該当するデータペイロード情報を含む。前記データペイロード情報は、暗号化されたデータペイロード内の各々のデータペイロードの配列と同じ順序に整列される。例えば、第1ソース接続に該当するデータペイロード情報は、第2ソース接続に該当するデータペイロード情報より先んじる。以後、前記MAC PDUは、受信機に送信される。
【0065】
上述したように、同じセキュリティアソシエーション(SA)のデータペイロードを連結して暗号化することで、プロセシングオーバーヘッド、資源利用、そして各ソース接続から前記データペイロードを暗号化するためにかかる時間を最小化しうるという利点がある。
【0066】
一方、本発明の詳細な説明では具体的な実施の形態について説明したが、本発明の範囲から逸脱しない範囲内で多様な変形が可能であることは勿論である。したがって、本発明の範囲は、上述の実施の形態に限って決まらず、特許請求の範囲だけでなく、特許請求の範囲と均等なものによって決まらねばならない。
【符号の説明】
【0067】
100 システム環境
105 送信部
110 受信部
115 ネットワーク
120 決定モジュール
125 暗号化モジュール
130 送信モジュール
135 識別子モジュール
140 暗号化解読モジュール
【特許請求の範囲】
【請求項1】
暗号化のための方法であって、
多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出する過程であって、各々のデータペイロードは、各々のソース接続からの一つ以上のデータパケットである過程と、
各々のセキュリティアソシエーションと一致するデータペイロードを連結する過程と、
各々のセキュリティアソシエーションのために、前記連結されたデータペイロードを暗号化する過程とを含むことを特徴とする方法。
【請求項2】
前記連結されたデータペイロードのためにセキュリティ情報(security information)を生成する過程と、
前記セキュリティ情報と前記連結されたデータペイロードとを結合(combining)させる過程とをさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
各々のセキュリティアソシエーションのために暗号化されたデータペイロードに対するプロトコルデータユニット(Protocol Data Unit:PDU)を生成する過程と、
少なくとも二つ以上のセキュリティアソシエーションのために、前記暗号化されたデータペイロードに対するプロトコルデータユニットを生成する過程のうちの何れか一つを含むことを特徴とする請求項1に記載の方法。
【請求項4】
前記各々のセキュリティアソシエーションのために暗号化されたデータペイロードに対するプロトコルデータユニット(Protocol Data Unit:PDU)を生成する過程は、
プロトコルデータユニットのためのヘッダを生成する過程であり、
前記少なくとも二つ以上のセキュリティアソシエーションのために、前記暗号化されたデータペイロードに対するプロトコルデータユニットを生成する過程は、
前記プロトコルデータユニットのためのヘッダを生成する過程であることを特徴とする請求項3に記載の方法。
【請求項5】
前記プロトコルデータユニットのために生成されたGMH(Generic Media access control Header)と結合される前記ヘッダを生成する過程と、
前記GMHに前記ヘッダを添付する過程とをさらに含むことを特徴とする請求項4に記載の方法。
【請求項6】
拡張されたセキュリティヘッダを生成する過程であって、前記拡張されたセキュリティヘッダは、前記連結されたデータペイロードと関連したセキュリティ情報を含む過程と、
前記プロトコルデータユニットに前記拡張されたセキュリティヘッダを添付する過程とをさらに含むことを特徴とする請求項4に記載の方法。
【請求項7】
各々のセキュリティアソシエーションと一致するプロトコルデータユニットのためのヘッダを生成する過程は、
前記セキュリティアソシエーションと一致する各々のソース接続と関連した接続識別子を決定する過程と、
前記セキュリティアソシエーションと一致する各々のソース接続と関連したデータペイロードの長さを決定する過程と、
セキュリティ情報を決定する過程とをさらに含むことを特徴とする請求項4に記載の方法。
【請求項8】
前記少なくとも二つ以上のセキュリティアソシエーションに該当するプロトコルデータユニットのためのヘッダを生成する過程は、
各々のセキュリティアソシエーションと一致する各々のソース接続と関連した接続識別子を決定する過程と、
各々のセキュリティアソシエーションと一致する各々のソース接続と関連した前記データペイロードの長さを決定する過程と、
セキュリティ情報を決定する過程とを含むことを特徴とする請求項4に記載の方法。
【請求項9】
前記プロトコルデータユニットを送信する過程をさらに含むことを特徴とする請求項4に記載の方法。
【請求項10】
一つ以上のセキュリティアソシエーションと一致する前記プロトコルデータユニットを受信する過程と、
前記プロトコルデータユニットと関連した一つ以上のセキュリティアソシエーションを確認する過程と、
前記一つ以上のセキュリティアソシエーションと関連した前記暗号化されたデータペイロードを確認する過程と、
前記暗号化されたデータペイロードを解読するために、セキュリティ情報(security information)を確認する過程と、
前記セキュリティ情報を使用して、前記暗号化されたデータペイロードを解読する過程と、
各々の前記解読されたデータペイロードと関連した目的地接続を確認する過程とをさらに含むことを特徴とする請求項4に記載の方法。
【請求項11】
上記の目的地接続の識別を基盤に、目的地接続にデータペイロードを提供する過程をさらに含むことを特徴とする請求項10に記載の方法。
【請求項12】
前記連結されたデータペイロードを暗号化する過程は、
資源利用、プロセシングオーバーヘッド、及び各ソース接続からのデータペイロードを暗号化する際にかかる時間を最小化することを特徴とする請求項1に記載の方法。
【請求項13】
暗号化のためのシステムであって、
多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出し、そして各々のセキュリティアソシエーションと一致するデータペイロードを連結する決定モジュールと、各々のデータペイロードは、各々のソース接続からの一つ以上のデータパケットであり、
各々のセキュリティアソシエーションのために前記連結されたデータペイロードを暗号化する暗号化モジュールを備えることを特徴とするシステム。
【請求項14】
前記暗号化されたデータペイロードに対するプロトコルデータユニット(Protocol Data Unit:PDU)を生成し、そして前記プロトコルデータユニットを送信する送信モジュールをさらに備えることを特徴とする請求項13に記載のシステム。
【請求項15】
前記プロトコルデータユニットに前記一つ以上のセキュリティアソシエーションを確認し、前記一つ以上のセキュリティアソシエーションと関連した前記暗号化されたデータペイロードを確認し、そして前記暗号化されたデータペイロードを解読するためにセキュリティ情報を確認する識別子モジュールをさらに備えることを特徴とする請求項13に記載のシステム。
【請求項16】
前記セキュリティ情報を使用して前記暗号化されたデータペイロードを解読し、そして各々の解読されたデータペイロードと関連した目的地接続を確認する暗号化モジュールをさらに備えることを特徴とする請求項15に記載のシステム。
【請求項17】
前記システムは、WiMax(worldwide interoperability for microwave access)モデムであることを特徴とする請求項13に記載のシステム。
【請求項18】
電子装置であって、データパケットを送受信する通信インタフェースと、前記データパケットは、プロトコルデータユニット(Protocol Data Unit:PDU)で、
情報を格納するメモリと、
多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出するために、各々のデータペイロードは、各々のソース接続からの一つ以上のデータパケットで、各々のセキュリティアソシエーションと一致する前記データペイロードを連結し、各々のセキュリティアソシエーションのために前記連結されたデータペイロードを暗号化するために、前記情報に反応するプロセッサを含むことを特徴とする電子装置。
【請求項19】
前記プロセッサは、
前記暗号化されたデータペイロードに対するプロトコルデータユニットを生成し、そして前記プロトコルデータユニットを送信することをさらに行うために、
前記情報に反応することを特徴とする請求項18に記載の電子機器。
【請求項20】
前記プロセッサは、
前記プロトコルデータユニットに一つ以上のセキュリティアソシエーションを確認し、前記一つ以上のセキュリティアソシエーションと関連した前記暗号化されたデータペイロードを確認し、前記暗号化されたデータペイロードを解読するために、セキュリティ情報を確認し、前記セキュリティ情報を使用して前記暗号化されたデータペイロード解読し、そして各々の解読されたデータペイロードと関連した目的地接続を確認することをさらに行うために、
前記情報に反応することを特徴とする請求項19に記載の電子装置。
【請求項1】
暗号化のための方法であって、
多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出する過程であって、各々のデータペイロードは、各々のソース接続からの一つ以上のデータパケットである過程と、
各々のセキュリティアソシエーションと一致するデータペイロードを連結する過程と、
各々のセキュリティアソシエーションのために、前記連結されたデータペイロードを暗号化する過程とを含むことを特徴とする方法。
【請求項2】
前記連結されたデータペイロードのためにセキュリティ情報(security information)を生成する過程と、
前記セキュリティ情報と前記連結されたデータペイロードとを結合(combining)させる過程とをさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
各々のセキュリティアソシエーションのために暗号化されたデータペイロードに対するプロトコルデータユニット(Protocol Data Unit:PDU)を生成する過程と、
少なくとも二つ以上のセキュリティアソシエーションのために、前記暗号化されたデータペイロードに対するプロトコルデータユニットを生成する過程のうちの何れか一つを含むことを特徴とする請求項1に記載の方法。
【請求項4】
前記各々のセキュリティアソシエーションのために暗号化されたデータペイロードに対するプロトコルデータユニット(Protocol Data Unit:PDU)を生成する過程は、
プロトコルデータユニットのためのヘッダを生成する過程であり、
前記少なくとも二つ以上のセキュリティアソシエーションのために、前記暗号化されたデータペイロードに対するプロトコルデータユニットを生成する過程は、
前記プロトコルデータユニットのためのヘッダを生成する過程であることを特徴とする請求項3に記載の方法。
【請求項5】
前記プロトコルデータユニットのために生成されたGMH(Generic Media access control Header)と結合される前記ヘッダを生成する過程と、
前記GMHに前記ヘッダを添付する過程とをさらに含むことを特徴とする請求項4に記載の方法。
【請求項6】
拡張されたセキュリティヘッダを生成する過程であって、前記拡張されたセキュリティヘッダは、前記連結されたデータペイロードと関連したセキュリティ情報を含む過程と、
前記プロトコルデータユニットに前記拡張されたセキュリティヘッダを添付する過程とをさらに含むことを特徴とする請求項4に記載の方法。
【請求項7】
各々のセキュリティアソシエーションと一致するプロトコルデータユニットのためのヘッダを生成する過程は、
前記セキュリティアソシエーションと一致する各々のソース接続と関連した接続識別子を決定する過程と、
前記セキュリティアソシエーションと一致する各々のソース接続と関連したデータペイロードの長さを決定する過程と、
セキュリティ情報を決定する過程とをさらに含むことを特徴とする請求項4に記載の方法。
【請求項8】
前記少なくとも二つ以上のセキュリティアソシエーションに該当するプロトコルデータユニットのためのヘッダを生成する過程は、
各々のセキュリティアソシエーションと一致する各々のソース接続と関連した接続識別子を決定する過程と、
各々のセキュリティアソシエーションと一致する各々のソース接続と関連した前記データペイロードの長さを決定する過程と、
セキュリティ情報を決定する過程とを含むことを特徴とする請求項4に記載の方法。
【請求項9】
前記プロトコルデータユニットを送信する過程をさらに含むことを特徴とする請求項4に記載の方法。
【請求項10】
一つ以上のセキュリティアソシエーションと一致する前記プロトコルデータユニットを受信する過程と、
前記プロトコルデータユニットと関連した一つ以上のセキュリティアソシエーションを確認する過程と、
前記一つ以上のセキュリティアソシエーションと関連した前記暗号化されたデータペイロードを確認する過程と、
前記暗号化されたデータペイロードを解読するために、セキュリティ情報(security information)を確認する過程と、
前記セキュリティ情報を使用して、前記暗号化されたデータペイロードを解読する過程と、
各々の前記解読されたデータペイロードと関連した目的地接続を確認する過程とをさらに含むことを特徴とする請求項4に記載の方法。
【請求項11】
上記の目的地接続の識別を基盤に、目的地接続にデータペイロードを提供する過程をさらに含むことを特徴とする請求項10に記載の方法。
【請求項12】
前記連結されたデータペイロードを暗号化する過程は、
資源利用、プロセシングオーバーヘッド、及び各ソース接続からのデータペイロードを暗号化する際にかかる時間を最小化することを特徴とする請求項1に記載の方法。
【請求項13】
暗号化のためのシステムであって、
多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出し、そして各々のセキュリティアソシエーションと一致するデータペイロードを連結する決定モジュールと、各々のデータペイロードは、各々のソース接続からの一つ以上のデータパケットであり、
各々のセキュリティアソシエーションのために前記連結されたデータペイロードを暗号化する暗号化モジュールを備えることを特徴とするシステム。
【請求項14】
前記暗号化されたデータペイロードに対するプロトコルデータユニット(Protocol Data Unit:PDU)を生成し、そして前記プロトコルデータユニットを送信する送信モジュールをさらに備えることを特徴とする請求項13に記載のシステム。
【請求項15】
前記プロトコルデータユニットに前記一つ以上のセキュリティアソシエーションを確認し、前記一つ以上のセキュリティアソシエーションと関連した前記暗号化されたデータペイロードを確認し、そして前記暗号化されたデータペイロードを解読するためにセキュリティ情報を確認する識別子モジュールをさらに備えることを特徴とする請求項13に記載のシステム。
【請求項16】
前記セキュリティ情報を使用して前記暗号化されたデータペイロードを解読し、そして各々の解読されたデータペイロードと関連した目的地接続を確認する暗号化モジュールをさらに備えることを特徴とする請求項15に記載のシステム。
【請求項17】
前記システムは、WiMax(worldwide interoperability for microwave access)モデムであることを特徴とする請求項13に記載のシステム。
【請求項18】
電子装置であって、データパケットを送受信する通信インタフェースと、前記データパケットは、プロトコルデータユニット(Protocol Data Unit:PDU)で、
情報を格納するメモリと、
多数のソース接続からデータペイロードの受信に応答して、前記データペイロードと一致する一つ以上のセキュリティアソシエーション(security association)を検出するために、各々のデータペイロードは、各々のソース接続からの一つ以上のデータパケットで、各々のセキュリティアソシエーションと一致する前記データペイロードを連結し、各々のセキュリティアソシエーションのために前記連結されたデータペイロードを暗号化するために、前記情報に反応するプロセッサを含むことを特徴とする電子装置。
【請求項19】
前記プロセッサは、
前記暗号化されたデータペイロードに対するプロトコルデータユニットを生成し、そして前記プロトコルデータユニットを送信することをさらに行うために、
前記情報に反応することを特徴とする請求項18に記載の電子機器。
【請求項20】
前記プロセッサは、
前記プロトコルデータユニットに一つ以上のセキュリティアソシエーションを確認し、前記一つ以上のセキュリティアソシエーションと関連した前記暗号化されたデータペイロードを確認し、前記暗号化されたデータペイロードを解読するために、セキュリティ情報を確認し、前記セキュリティ情報を使用して前記暗号化されたデータペイロード解読し、そして各々の解読されたデータペイロードと関連した目的地接続を確認することをさらに行うために、
前記情報に反応することを特徴とする請求項19に記載の電子装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2011−524675(P2011−524675A)
【公表日】平成23年9月1日(2011.9.1)
【国際特許分類】
【出願番号】特願2011−512380(P2011−512380)
【出願日】平成21年6月3日(2009.6.3)
【国際出願番号】PCT/KR2009/002957
【国際公開番号】WO2009/148263
【国際公開日】平成21年12月10日(2009.12.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ZIGBEE
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【Fターム(参考)】
【公表日】平成23年9月1日(2011.9.1)
【国際特許分類】
【出願日】平成21年6月3日(2009.6.3)
【国際出願番号】PCT/KR2009/002957
【国際公開番号】WO2009/148263
【国際公開日】平成21年12月10日(2009.12.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ZIGBEE
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【Fターム(参考)】
[ Back to top ]