TRANSMISIÓN SEGURA DE VOZ Y DATOS A TRAVÉS DE TELÉFONOS IP.

Un aparato de teléfono del protocolo de Internet, IP, (40) en una red de comunicaciones que comprende:

- una entrada de voz; - una salida de voz; y - al menos un módulo de procesamiento (64); - caracterizado porque: la entrada de voz recibe señales de voz entrantes desde un usuario; el al menos un módulo de procesamiento (64) convierte las señales de voz entrantes en paquetes de voz IP salientes, codifica los paquetes de voz IP salientes y transmite los paquetes de voz IP salientes a un dispositivo de destino; el al menos un módulo de procesamiento (64) recibe los paquetes de voz IP entrantes codificados por un dispositivo fuente, descodifica los paquetes de voz IP entrantes, y si los paquetes descodificados se destinan a otro dispositivo en la red de comunicaciones, envía los paquetes descodificados al otro dispositivo, y de otro modo convierte los paquetes descodificados en señales de voz salientes y transmite las señales de voz salientes al usuario a través de la salida de voz; y el al menos un módulo de procesamiento (64) codifica y descodifica los paquetes de acuerdo con un protocolo de seguridad IP (68)

CAMPO DE LA INVENCIÓN Esta invención se refiere de manera general a la telefonía por Internet, y más concretamente, a proporcionar seguridad para la comunicación de telefonía por Internet.

ANTECEDENTES DE LA INVENCIÓN En términos generales, las Redes Privadas Virtuales (VPN) son canales de comunicación seguros que proporcionan protección de datos usando técnicas de cifrado y autentificación. Las VPN se pueden implementar, por ejemplo, de acuerdo con un protocolo IPSec descrito en la Petición de Comentarios de la Fuerza de Tareas de Ingeniería de Internet 2401 titulada “Arquitectura de Seguridad para el Protocolo de Internet”, noviembre de 1998 (de aquí en adelante conocida como RFC 2401). Las VPN han llegado a ser un elemento importante en la interconexión en red de empresa para interconectar de manera segura múltiples emplazamientos corporativos, oficinas remotas, y trabajadores remotos. La tecnología VPN ayuda a asegurar que solamente pueden acceder los usuarios autorizados a los recursos de la red corporativa, y que el tráfico de datos que fluye entre dos emplazamientos no se pueda interceptar, descodificar, o burlar.

A partir de la US 2001/0043699 A1 se conocen un método y sistema para notificar al exterior que un estado de espera de un aparato de teléfono se mantiene en un momento de una respuesta a una llamada entrante. El método y sistema conocido detecta una operación de descolgado, detiene una transmisión de una llamada entrante y da instrucciones, usando una sección de función de instrucciones de generación de voz, a un generador de tonos para producir una señal de voz que informa de un estado de espera.

A partir de la GB 2 363 549 A, se conoce un método de enviar datos difundidos de forma continua sobre una red IP desde un primer nodo a un segundo nodo. El método conocido comprende usar el Intercambio de Claves de Internet (IKE) para establecer una Asociación de Seguridad (SA) IKE entre un primer y un segundo nodo. Un secreto compartido se establece entre el primer y el segundo nodo. Los datos de difusión en forma continua se cifran en el primer nodo y los datagramas IP se construyen conteniendo en sus segmentos de carga útil de los datos de difusión de forma continua cifrados. Los datagramas IP se envían entonces desde el primer nodo al segundo nodo. Los paquetes IP son paquetes VOIP.

La tecnología VPN actual permite comunicaciones de voz seguras sobre Internet a través de uno de varios métodos, que incluyen pasarelas de seguridad, ordenadores personales con las pilas IPSec, u ordenadores personales con componentes lógicos de teléfono seguro dedicados.

La FIG. 1 es un diagrama de bloques esquemático de una red que incluye los teléfonos IP convencionales 10,12 y los PC 11, 13 que transmiten y reciben los paquetes de voz sobre IP (VoIP) a través de pasarelas de seguridad 14,

16. De acuerdo con esta arquitectura, las pasarelas de seguridad 14, 16 proporcionan comunicación de voz segura sobre una red de área extensa no de confianza 18 codificando y descodificando los paquetes de VoIP. Las pasarelas de seguridad también proporcionan otros servicios de red tales como control de cortafuegos y traducción de direcciones de red (NAT). El uso de pasarelas de seguridad para IPSec algunas veces se conoce como una arquitectura puesta en el cable (BITW), o red a red VPN.

Una deficiencia con la arquitectura BITW es que se necesita comprar un dispositivo de pasarela de seguridad que tiene sus propios componentes físicos y componentes lógicos además del teléfono IP si se desea comunicación segura. Los dispositivos de pasarela de seguridad pueden ser caros. Además, tener un dispositivo de pasarela de seguridad separado implica el aumento en el consumo de potencia y la complejidad del ajuste.

La FIG. 2 es un diagrama de bloques esquemático de una red que proporciona comunicación de voz segura a través de un PC 20 sin un dispositivo de pasarela de seguridad. En su lugar, el PC 20 incluye una aplicación de componentes lógicos de telefonía IP 22 y una pila IPSec 24. La aplicación de componentes lógicos de telefonía IP proporciona la comunicación básica VoIP sobre Internet. La codificación y descodificación de los paquetes IP se hace a través de la pila IPSec 24 residente dentro del PC. De esta manera, no se necesita incurrir en costes de comprar y mantener una pasarela de seguridad separada.

El uso de la pila IPSec se puede conocer como una implementación puesta en la pila (BITS), o cliente VPN. Tal implementación, no obstante, proporciona de manera general seguridad solamente en el PC dentro del que reside la pila IPSec. La pila IPSec no se puede compartir para proporcionar comunicación de voz segura a otros aparatos y/o dispositivos de telefonía IP con los que se puede asociar.

La FIG. 3 es un diagrama de bloques esquemático de una red alternativa configurada para proporcionar comunicación de voz segura a través de un PC 30. La comunicación de voz segura se proporciona a través de componentes lógicos de teléfono seguro dedicado 32 (o componentes físicos) instalados en el PC 30. Los componentes lógicos cifran los paquetes de VoIP usando técnicas de cifrado, tal como la basada en la técnica de Muy Buena Privacidad (PGP). Tal arquitectura se puede conocer como una implementación puesta en el código (BITC).

Un PC con componentes lógicos de teléfono seguro dedicado es susceptible de las mismas deficiencias que un PC con una pila IPSec. Es decir, los servicios de seguridad no se pueden proporcionar a aplicaciones distintas de las del PC dentro del que residen estos componentes lógicos. Además, aunque los componentes lógicos del teléfono seguro pueden proporcionar seguridad para las transmisiones de voz, no proporcionan seguridad para la transmisión de datos como se proporciona por las pasarelas de seguridad o las pilas IPSec. En su lugar, los PC con componentes lógicos de teléfono seguro transmiten datos de una manera no segura usando una pila IP 34 estándar residente en el PC. Adicionalmente, los componentes lógicos de teléfono seguro dedicados generalmente no son compatibles con IPSec y por lo tanto generalmente no son interoperables con otros dispositivos VPN.

Por consiguiente, hay una necesidad de un dispositivo de telefonía IP seguro simplificado, rentable, todo en uno para un trabajador o aplicación de oficina remota, que proporcione tanto comunicación de voz como transmisión de datos seguras, tanto para sí mismo como para dispositivos y aplicaciones IP adicionales asociadas con él.

SUMARIO DE LA INVENCIÓN La presente invención se dirige a un aparato de teléfono IP, conocido como Teléfono Privado Virtual (VPP), en una red de comunicaciones de acuerdo con la reivindicación 1.

En una realización, el aparato de teléfono IP se configura para recibir y descodificar paquetes de datos IP además de paquetes de VoIP. El aparato de teléfono IP recibe los paquetes de datos codificados y los descodifica. Si los paquetes de datos codificados se destinan a otro dispositivo en la red de comunicaciones, el aparato de teléfono IP envía los paquetes de datos descodificados a otro dispositivo. De otro modo, invoca el primer procesador para convertir los paquetes de datos descodificados en señales de telefonía para la transmisión de voz al usuario.

En otra realización, el aparato de teléfono IP emplea distintos mecanismos de codificación en base a la dirección del dispositivo destino. En base a tal dirección destino, el segundo procesador puede decidir cifrar solamente la parte de la carga útil o tanto una cabecera como la parte de carga útil de un paquete particular.

Se debería apreciar, por lo tanto, que el aparato de teléfono IP de acuerdo con la invención proporciona comunicación de voz segura y transmisión de datos no solamente para sí mismo, sino también para otros dispositivos y aplicaciones asociadas con el aparato. De acuerdo con la invención, las aplicaciones y los dispositivos convencionales que de otro modo no serían autorizados para la comunicación segura pueden comunicar de una manera segura a través del aparato de teléfono IP. Además, el aparato de teléfono IP en sí mismo puede comunicar de manera segura sin pasarelas de seguridad adicionales u otros tipos de dispositivos de seguridad externos, permitiéndole ser más rentable y eficiente que otros dispositivos de la técnica anterior.

DESCRIPCIÓN DE LOS DIBUJOS Estos y otros rasgos, aspectos y ventajas de la presente invención serán comprendidos más completamente cuando se consideran con respecto... [Seguir leyendo]

1. Un aparato de teléfono del protocolo de Internet, IP, (40) en una red de comunicaciones que comprende:

 una entrada de voz;  una salida de voz; y  al menos un módulo de procesamiento (64);  caracterizado porque: 

la entrada de voz recibe señales de voz entrantes desde un usuario; el al menos un módulo de procesamiento (64) convierte las señales de voz entrantes en paquetes de voz IP salientes, codifica los paquetes de voz IP salientes y transmite los paquetes de voz IP salientes a un dispositivo de destino; el al menos un módulo de procesamiento (64) recibe los paquetes de voz IP entrantes codificados por un dispositivo fuente, descodifica los paquetes de voz IP entrantes, y si los paquetes descodificados se destinan a otro dispositivo en la red de comunicaciones, envía los paquetes descodificados al otro dispositivo, y de otro modo convierte los paquetes descodificados en señales de voz salientes y transmite las señales de voz salientes al usuario a través de la salida de voz; y el al menos un módulo de procesamiento (64) codifica y descodifica los paquetes de acuerdo con un protocolo de seguridad IP (68).



2. El aparato de teléfono IP (40) de la reivindicación 1 que además comprende:

un interfaz de red de área extensa para la transmisión de los paquetes de voz IP salientes codificados por el al menos un módulo de procesamiento (64) y para recibir los paquetes de voz IP entrantes codificados por el dispositivo fuente; y un interfaz de red de área local para enviar los paquetes de voz IP entrantes descodificados por el al menos un módulo de procesamiento (64).



3. El aparato de teléfono IP (40) de la reivindicación 1 que además comprende un interfaz de red de área local para recibir los paquetes de voz IP o datos desde el segundo dispositivo fuente y un interfaz de red de área extensa para transmitir los paquetes codificados al segundo dispositivo destino.

4. El aparato de teléfono IP (40) de la reivindicación 1 que además comprende un interfaz de red de área local para recibir los paquetes de voz IP o datos desde el segundo dispositivo fuente y para transmitir los paquetes codificados al segundo dispositivo destino.

5. El aparato de teléfono IP (40) de la reivindicación 1 caracterizado además porque el al menos un módulo de procesamiento (64), en la codificación de un paquete particular, determina si cifrar una parte de la carga útil del paquete particular o tanto la cabecera como la parte de la carga útil del paquete particular en base a una dirección del dispositivo destino.

6. El aparato de teléfono IP (40) de la reivindicación 1, en el que un primer módulo de procesamiento (64) convierte las señales de voz entrantes en los paquetes de voz IP salientes, y además convierte los paquetes descodificados en las señales de voz salientes y transmite las señales de voz salientes al usuario a través de la salida de voz, y en el que un segundo módulo de procesamiento (64) codifica los paquetes de voz IP salientes y transmite los paquetes de voz IP salientes al dispositivo destino, y además recibe los paquetes de voz IP entrantes codificados por el dispositivo fuente, descodifica los paquetes de voz IP entrantes , y si los paquetes descodificados se destinan para el otro dispositivo en la red de comunicaciones, envía los paquetes descodificados al otro dispositivo, e invoca de otro modo el primer módulo de procesamiento (64) para convertir los paquetes descodificados en las señales de voz salientes y transmitir las señales de voz salientes al usuario a través de la salida de voz.

7. El aparato de teléfono IP (40) de la reivindicación 1, en el que al menos un módulo de procesamiento (64) proporciona la protección cortafuegos para prevenir el acceso no autorizado.

8. Un método para proporcionar comunicación a través de un aparato de teléfono de protocolo de Internet, IP, (40) que tiene una entrada de voz, salida de voz, y al menos un módulo de procesamiento (64), estando el método caracterizado por:

recibir señales de voz entrantes desde un usuario a través de la entrada de voz; usar el al menos un módulo de procesamiento (64) para convertir las señales de voz entrantes en paquetes de voz IP salientes; usar el al menos un módulo de procesamiento (64) para codificar los paquetes de voz IP salientes; transmitir los paquetes de voz IP salientes a un dispositivo de destino;

recibir los paquetes de voz IP entrantes codificados por un dispositivo fuente; usar el al menos un módulo de procesamiento (64) para descodificar los paquetes de voz IP entrantes; si los paquetes descodificados se destinan a otro dispositivo en la red de comunicaciones, enviar los paquetes descodificados al otro dispositivo; y si los paquetes descodificados se destinan al aparato de teléfono IP (40):

usar el al menos un módulo de procesamiento (64) para convertir los paquetes descodificados en señales de voz salientes; y transmitir las señales de voz salientes a la salida de voz; y

usar el al menos un módulo de procesamiento (64) para codificar y descodificar los paquetes de acuerdo con un protocolo de seguridad IP (68).



9. El método de la reivindicación 8, en el que se usa un interfaz de red de área extensa para transmitir los paquetes de voz IP salientes codificados por el al menos un módulo de procesamiento (64) y para recibir los paquetes de voz IP entrantes codificados por el dispositivo fuente, y se usa un interfaz de red de área local para enviar los paquetes de voz IP entrantes descodificados por el al menos un módulo de procesamiento (64).

10. El método de la reivindicación 9, en el que se usa un interfaz de red de área local para recibir los paquetes de voz IP o datos desde el segundo dispositivo fuente y se usa un interfaz de red de área extensa para transmitir los paquetes codificados al segundo dispositivo de destino.

11. El método de la reivindicación 9, en el que se usa un interfaz de red de área local para recibir los paquetes de voz IP o datos desde el segundo dispositivo fuente y para transmitir los paquetes codificados al segundo dispositivo de destino.

12. El método de la reivindicación 9, en el que la codificación además comprende:

determinar en base a una dirección del dispositivo de destino si cifrar una parte de la carga útil de los paquetes de voz o datos o tanto una cabecera como la parte de la carga útil de los paquetes de voz o datos.



13. El método de la reivindicación 9, en el que la codificación además comprende:

determinar en base a una dirección del dispositivo de destino si cifrar una parte de la carga útil de los paquetes de voz IP o tanto una cabecera como la parte de la carga útil de los paquetes de voz IP salientes.