技術(shù)領(lǐng)域

本公開一般地涉及經(jīng)加密的通信系統(tǒng)，更具體地涉及用于使用基于混合硬件和軟件的實(shí)現(xiàn)來(lái)促進(jìn)從多個(gè)源接收經(jīng)加密通信的設(shè)備的性能的系統(tǒng)和方法。

背景技術(shù)

共享密鑰加密是用于保護(hù)雙方之間的通信的流行且有效的方法。在這樣的系統(tǒng)中，密碼學(xué)上唯一的“密鑰”由雙方用來(lái)加密和解密在他們之間傳達(dá)的數(shù)據(jù)。在基于分組的通信中，這可涉及發(fā)射機(jī)在將幀發(fā)送給接收機(jī)之前用安全密鑰來(lái)對(duì)每一個(gè)幀進(jìn)行加密。常見的當(dāng)代示例是在諸如WiFi保護(hù)接入II(WPA2)之類的安全協(xié)議下操作的基于IEEE 802.11的無(wú)線局域網(wǎng)(WLAN)。舉例而言，接入點(diǎn)(AP)可維護(hù)用于與它的基本服務(wù)集(BSS)中的每一個(gè)站(STA)的每一個(gè)會(huì)話的個(gè)體安全密鑰。同樣，STA可與一個(gè)以上BSS相關(guān)聯(lián)，從而要求STA維護(hù)用于與每一個(gè)AP的每一個(gè)會(huì)話的個(gè)體安全密鑰。盡管此情景可在無(wú)論是有線還是無(wú)線的任何形式的通信中存在，特別是在無(wú)線上下文中存在，但是通信設(shè)備可并發(fā)地接收多個(gè)經(jīng)加密信息流，其中每一個(gè)流要求個(gè)體的安全密鑰正確地解密。

在常規(guī)實(shí)現(xiàn)下，通信設(shè)備在不涉及設(shè)備的接收機(jī)的較高邏輯層的情況下不可獲得關(guān)于應(yīng)用哪一個(gè)安全密鑰的高級(jí)知識(shí)。然而，也可期望在解密期間最小化較高邏輯層的牽涉程度以便改善性能。如將領(lǐng)會(huì)的，在通信設(shè)備的較低邏輯層之一(諸如媒體接入控制(MAC)層)中的硬件中實(shí)現(xiàn)的解密模塊可提供與較高邏輯層的軟件中實(shí)現(xiàn)的解密過(guò)程相比顯著的效率優(yōu)點(diǎn)。舉例而言，基于硬件的解密模塊可消耗較少的功率而仍較快地操作。然而，如以上討論的，通信設(shè)備可能不被配置為在較低邏輯層中解析每一個(gè)經(jīng)加密信息流的源。

結(jié)果，通信設(shè)備可被配置為在基于硬件的解密模塊中維護(hù)單個(gè)安全密鑰，從而允許硬件以高效的方式正確地解密來(lái)自與該安全密鑰相關(guān)聯(lián)的單個(gè)源的信息。來(lái)自其他源的經(jīng)加密信息不可被硬件正確地解密，從而要求通信設(shè)備被配置為使用在通信設(shè)備的一個(gè)或多個(gè)較高邏輯層中實(shí)現(xiàn)的基于軟件的解密模塊來(lái)解密來(lái)自其他源的信息。盡管軟件可具有足夠的靈活性來(lái)正確地解密來(lái)自多個(gè)源的信息流，但是與基于硬件的解密相比會(huì)遭受性能損失。如果操作基于軟件的解密模塊的處理器不是很強(qiáng)大或遭受競(jìng)爭(zhēng)需求，則可能無(wú)法以可接受的速度解密通信。

鑒于這樣的情況，希望提供一種能提供對(duì)來(lái)自多個(gè)源的信息流的改進(jìn)解密的通信設(shè)備。此外，還希望提供與使用基于軟件的模塊所執(zhí)行的解密量相比增加使用基于硬件的模塊所執(zhí)行的解密量的通信設(shè)備。本發(fā)明完成了這些和其他目標(biāo)。

發(fā)明內(nèi)容

根據(jù)以上需求以及下面將被提及和將變得顯而易見的那些需求，本說(shuō)明書公開了用于從多個(gè)源接收經(jīng)加密幀的通信設(shè)備，其中每一個(gè)源具有個(gè)體的安全密鑰，該通信設(shè)備包括具有存儲(chǔ)著的用于解密傳入幀的安全密鑰的硬件部分和用于解密傳入幀的軟件部分，其中硬件部分被配置為使用存儲(chǔ)著的安全密鑰來(lái)處理傳入幀且其中軟件部分被配置為在存儲(chǔ)著的安全密鑰是第一安全密鑰且由硬件部分對(duì)從第一源傳入的第一幀的處理導(dǎo)致完整性錯(cuò)誤時(shí)確定用于第一幀的正確安全密鑰，并將硬件部分重新編程為存儲(chǔ)與由軟件部分為第一幀確定的正確安全密鑰相對(duì)應(yīng)的第二安全密鑰。

本公開的另一方面在于，軟件部分也可在第一幀已由硬件部分處理之后用第一安全密鑰來(lái)加密第一幀并且隨后用第二安全密鑰來(lái)解密第一幀。此外，軟件部分可被配置為用第二安全密鑰來(lái)解密在第一幀之后接收的傳入第二幀并且在由硬件部分對(duì)第二幀的處理不導(dǎo)致完整性錯(cuò)誤但導(dǎo)致密鑰丟失錯(cuò)誤時(shí)維護(hù)第二安全密鑰作為硬件部分的存儲(chǔ)著的安全密鑰。

在一個(gè)實(shí)施例中，硬件部分還可被配置為處理在第一幀之后接收的傳入第二幀，其中該通信設(shè)備被配置為在存儲(chǔ)著的安全密鑰是第二安全密鑰且用硬件部分處理第二幀不導(dǎo)致完整性錯(cuò)誤或密鑰丟失錯(cuò)誤時(shí)確定第二幀已由硬件部分正確地解密。此外，軟件部分還可被配置為在存儲(chǔ)著的安全密鑰是第二安全密鑰且由硬件部分對(duì)從第二源傳入的第三幀的處理導(dǎo)致完整性錯(cuò)誤時(shí)確定用于第三幀的正確安全密鑰，并將硬件部分重新編程為存儲(chǔ)與由軟件部分為第三幀確定的正確安全密鑰相對(duì)應(yīng)的第二安全密鑰。

本公開的一些實(shí)施例涉及包括采用基于WPA的密碼協(xié)議的WLAN中的節(jié)點(diǎn)的通信設(shè)備。在這樣的實(shí)施例中，安全密鑰可以是成對(duì)瞬態(tài)密鑰(PTK)。此外，通信設(shè)備可包括由接口耦合至WLAN模塊的主機(jī)CPU，其中硬件部分是在WLAN模塊中實(shí)現(xiàn)的且其中軟件部分是在主機(jī)CPU中實(shí)現(xiàn)的。此外，硬件部分可在WLAN模塊的媒體接入控制層處實(shí)現(xiàn)。