DE102023103966A1 - Echtzeit-umschaltung von ungesichertem zu gesichertem signalingkanal - Google Patents

Echtzeit-umschaltung von ungesichertem zu gesichertem signalingkanal Download PDF

Info

Publication number
DE102023103966A1
DE102023103966A1 DE102023103966.0A DE102023103966A DE102023103966A1 DE 102023103966 A1 DE102023103966 A1 DE 102023103966A1 DE 102023103966 A DE102023103966 A DE 102023103966A DE 102023103966 A1 DE102023103966 A1 DE 102023103966A1
Authority
DE
Germany
Prior art keywords
endpoint
call
sip
message
data channel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102023103966.0A
Other languages
English (en)
Inventor
Ananda Hugar Pompanna
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Avaya Man Lp
Avaya Management LP
Original Assignee
Avaya Man Lp
Avaya Management LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Avaya Man Lp, Avaya Management LP filed Critical Avaya Man Lp
Publication of DE102023103966A1 publication Critical patent/DE102023103966A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/65Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/75Media network packet handling
    • H04L65/765Media network packet handling intermediate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/20Automatic or semi-automatic exchanges with means for interrupting existing connections; with means for breaking-in on conversations
    • H04M3/205Eavesdropping prevention - indication of insecurity of line or network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2203/00Aspects of automatic or semi-automatic exchanges
    • H04M2203/60Aspects of automatic or semi-automatic exchanges related to security aspects in telephonic communication systems
    • H04M2203/609Secret communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Anrufe, die sicher sein können (z. B. mit einer Ende-zu-Ende-Verschlüsselung), können mit einem Teil oder der Gesamtheit des Anrufs ungesichert beginnen. Wenn dann ein auslösendes Ereignis eintritt, z. B. wenn ein Benutzer beschließt, dass sensible Informationen besprochen werden, oder wenn ein „Schnüffler“ feststellt, dass der Anruf von einem gefälschten Endpunkt überwacht wird, wird ein Übergang des Anrufs von einer unsicheren Verbindung zu einer sicheren Verbindung ausgelöst, ohne dass der Anruf beendet und neu aufgebaut wird. Dementsprechend kann ein unsicherer Anruf, z. B. ein Anruf, der die Signalisierung des Transmission Control Protocol (TCP) und das Real-Time Transport Protocol (RTP) nutzt, auf Transport Layer Security (TLS) und Secure RTP (SRTP) umgestellt werden, damit ein zuvor unsicherer Anruf mit einer Ende-zu-Ende-Verschlüsselung gesichert werden kann.

Description

  • BEREICH DER OFFENBARUNG
  • Die Erfindung bezieht sich allgemein auf Systeme und Verfahren für die paketorientierte Kommunikation und insbesondere auf die Sicherung der Pakete während der Übertragung.
  • HINTERGRUND
  • Telefongespräche werden häufig über ungesicherte Leitungen geführt, die ein Abhören des Gesprächs durch einen elektronischen Abhördienst ermöglichen können. Wenn die Gesprächsteilnehmer wissen, dass sensible Informationen besprochen werden, kann der Anruf über eine sichere Leitung geführt werden, z. B. über eine Leitung mit Punkt-zu-Punkt-Verschlüsselung. Viele Anrufe werden jedoch ohne die Absicht getätigt, vertrauliche Informationen zu besprechen, und in der Mitte des Gesprächs können die Teilnehmer beschließen, über vertrauliche Daten zu sprechen oder sie auszutauschen. Da ein solcher Anruf ungesichert ist, kann ein Hacker diese sensiblen Daten abfangen und ausnutzen.
  • In einem anderen Beispiel wird gerade ein Gespräch zwischen einem Kunden und einem Mitarbeiter eines Kontaktzentrums geführt. Der Anruf ist ungesichert (z. B. unverschlüsselt), da die Parteien nicht vorhatten, sensible Informationen auszutauschen. Während des Gesprächs kann der Agent den Kunden jedoch auffordern, sensible Daten einzugeben oder zu sprechen, z. B. Kredit-/Debitkartennummern, Geburtsdatum usw. Da dieser Anruf ungesichert ist, können die sensiblen Daten des Kunden von einem Man-in-the-Middle-Angriff eingesehen oder abgefangen und z. B. für einen böswilligen Zweck oder Identitätsdiebstahl ausgenutzt werden.
  • Wenn bei der Verwendung von SIP-Endpunkten (Session Initiation Protocol) ein Endpunkt bereits für Transport Layer Security (TLS) registriert ist, kann der Endpunkt eine RE-INVITE einleiten. Eine solche Funktion wird im US-Patent 8,942,671 an Haynes et al. beschrieben, das am 27. Februar 2012 eingereicht wurde und den Titel „Methods, Systems, and Apparatus for Handling Secure-Voice Communication Sessions“ trägt, und das hier durch Verweis in seiner Gesamtheit aufgenommen wird.
  • Wie oben erwähnt, ist ein Kommunikationsstandard SIP. SIP ist ein Standardprotokoll, das im Bereich der Telekommunikation gut bekannt ist und in der Network Working Group RFC 3261 „SIP: Session Initiation Protocol“ vom Juni 2002 (SIP) definiert ist, die hier in vollem Umfang durch Bezugnahme aufgenommen wird. Zusätzlich zu SIP gibt es weitere Standards wie: Network Working Group RFC 8446 „The Transport Layer Security (TLS) Protocol Version 1.3“ August 2018; Network Working Group RFC 5939 „Session Description Protocol (SDP) Capability Negotiation“ September 2010; und Network Working Group RFC 7414 „A Roadmap for Transmission Control Protocol (TCP) Specification Documents“ Februar 2015; einschließlich aller darin zitierten Verweise, ad infinitum, sind hierin durch Verweis in ihrer Gesamtheit für alles, was sie lehren, enthalten.
  • Trotz der Vorteile, die der Stand der Technik bietet, gibt es nach wie vor Probleme und Möglichkeiten, den Stand der Technik zu verbessern.
  • ZUSAMMENFASSUNG
  • Die Parteien verlassen sich oft auf veraltete Geräte und Methoden, um zumindest für einen Teil der Kommunikation ungesicherte (d. h. nicht verschlüsselte) Gespräche zu führen. Die Sicherung eines Anrufs wird oft nicht als notwendig erachtet, wenn überhaupt in Betracht gezogen, wenn der Anruf eingeleitet wird, da anfangs vielleicht nur banale Themen besprochen werden. Ist das Gespräch jedoch erst einmal im Gange, können heikle Themen zur Sprache kommen, ohne dass die mangelnde Sicherheit des laufenden Gesprächs berücksichtigt wird, oder es wird beschlossen, das Gespräch in der Hoffnung fortzusetzen, dass niemand anderes (ob Mensch oder Maschine) mithört. Infolgedessen enthalten Anrufe auf nicht gesicherten Leitungen häufig Diskussionen oder andere Inhalte, die sensible Informationen enthalten, und stellen somit ein Risiko für diese Informationen dar. Wenn ein Anruf mit Ende-zu-Ende-Verschlüsselung eingeleitet wird, ist die Sicherheit weniger problematisch. Wenn jedoch ein Anruf ohne Übertragungssicherheit eingeleitet wird, besteht auf mindestens einem Teil des Anrufweges die Möglichkeit, die Sicherheit „on the fly“ zu aktivieren, ohne die Verbindung zu unterbrechen und neu aufzubauen.
  • Diese und andere Anforderungen werden durch die verschiedenen Ausführungsformen und Konfigurationen der vorliegenden Erfindung erfüllt. Die vorliegende Erfindung kann eine Reihe von Vorteilen in Abhängigkeit von der jeweiligen Konfiguration bieten. Diese und andere Vorteile werden aus der Offenbarung der hierin enthaltenen Erfindung(en) ersichtlich sein.
  • In einer Ausführungsform werden Systeme und Verfahren bereitgestellt, die die Weiterentwicklung eines ungesicherten Anrufs zu einem gesicherten Anruf erleichtern. Sobald dies abgeschlossen ist, kann der Benutzer sensible Informationen mit mehr Vertrauen weitergeben. Wenn keine Sicherheit erforderlich ist, kann der Anruf ungesichert fortgesetzt werden, ohne dass eine Entscheidung im Vorfeld des Anrufs getroffen werden muss.
  • Geräte nach dem Stand der Technik ermöglichen es Kommunikationsgeräten, einschließlich, aber nicht beschränkt auf Telefone, einen Sicherheitsstatus des Anrufs anzuzeigen. Mit den hier vorgestellten Ausführungsformen wird dem Benutzer jedoch die Möglichkeit gegeben, einen ungesicherten Anruf zu sichern, z. B. durch eine Taste oder einen Funktionscode. Wenn ein Benutzer der Meinung ist, dass ein Anruf gesichert werden sollte, kann er/sie die Taste drücken oder den Zugangscode für die Funktion wählen. Ein Anrufserver sichert dann den Anruf mit einem der verfügbaren Verschlüsselungsverfahren. Sobald der gesamte Anruf Ende-zu-Ende gesichert ist, informiert der Anrufserver die Benutzer über ihr Kommunikationsgerät. Sensible Daten können mit mehr Vertrauen ausgetauscht werden.
  • In einer Ausführungsform wird ein Endpunkt über eine TCP-Verbindung (Transmission Control Protocol) registriert. Die Sicherung des Anrufs durch Senden einer RE-INVITE würde jedoch den Zweck der Sicherheit zunichte machen, da ein Hacker die Signalisierung ausspähen und die Schlüssel direkt einsehen kann. Um einen Anruf wirklich sicher zu machen, wird die Signalisierung daher auf einen sicheren Modus umgestellt, nämlich TLS. Dazu meldet sich der Endpunkt über TLS neu an und sendet dann ein INVITE mit einem „Replaces“-Header und „Capacity Negotiation/Simplified Data Encryption Standard Session Description Protocol“ (CAPNEG/SDES SDP), um den bestehenden ungesicherten Anruf durch den gesicherten zu ersetzen. Wenn ein Anruf als Ende-zu-Ende-gesichert gilt, informiert der Anrufserver den Endpunkt des anfragenden Teilnehmers mit einer UPDATE-Nachricht. Nach dieser UPDATE-Meldung kann auf dem Bildschirm des Endgeräts des Nutzers angezeigt werden, dass der Anruf nun sicher ist. Der Benutzer kann dann die sensiblen Daten mit mehr Vertrauen weitergeben.
  • In einer anderen Ausführungsform wird dem Telefonnetz ein „Schnüffler“ zur Verfügung gestellt, um zu erkennen, ob sich eine externe Stelle in den Anruf einmischt. Wenn ein Sniffer ein Spoofing feststellt, ergreift er Maßnahmen, zu denen die proaktive Auslösung einer Weiterentwicklung des unsicheren Anrufs zu einem gesicherten Anruf gehören kann. Der Sniffer kann eine PUBLISH-Nachricht außerhalb des Dialogs an den/die Endpunkt(e) senden, ohne dass eine Änderung des restlichen Anrufablaufs erforderlich ist.
  • Es sei darauf hingewiesen, dass sich die hier beschriebenen Ausführungsformen auf Sprachanrufe beziehen. In anderen Ausführungsformen können zusätzliche oder alternative Formen der Kommunikation (z. B. Text, Video, Dateiübertragung, E-Mail usw.) verwendet werden, ohne dass dies vom Anwendungsbereich der hier beschriebenen Ausführungsformen abweicht.
  • Beispielhafte Aspekte beziehen sich auf:
    • Ein Verfahren zum Sichern eines laufenden ungesicherten Anrufs wird offenbart, das Folgendes umfasst: Aufbauen eines Anrufs über ein Netzwerk zwischen einem ersten Endpunkt und einem zweiten Endpunkt, wobei der Anruf einen Signalisierungskanal und einen ersten Datenkanal umfasst, wobei der Signalisierungspfad mindestens einen Teil umfasst, der nicht durch eine Ende-zu-Ende-Verschlüsselung gesichert ist; Empfangen eines Signals am ersten Endpunkt, um den Anruf zu sichern; als Reaktion auf das Signal, Senden einer ersten Session Initiation Protocol (SIP)-Nachricht an den zweiten Endpunkt; Empfangen einer zweiten SIP-Nachricht als Antwort auf die erste SIP-Nachricht, die die erste Nachricht akzeptiert; und als Antwort auf die zweite SIP-Nachricht, Überleiten des Anrufs von dem ersten Datenkanal zu dem zweiten Datenkanal, wobei der zweite Datenkanal eine Ende-zu-Ende-Verschlüsselung zwischen dem ersten Endpunkt und dem zweiten Endpunkt verwendet.
    • Ein System zur Sicherung eines laufenden ungesicherten Anrufs wird offenbart, das Folgendes umfasst: einen ersten Endpunkt, der einen Prozessor und eine erste Netzwerkschnittstelle zu einem Netzwerk umfasst; einen zweiten Endpunkt, der einen Prozessor und eine zweite Netzwerkschnittstelle zu dem Netzwerk umfasst, und wobei der erste und der zweite Endpunkt an einem Anruf über das Netzwerk beteiligt sind und wobei der Anruf anfänglich ohne Ende-zu-Ende-Verschlüsselung aufgebaut wird; wobei einer von dem ersten Endpunkt oder dem zweiten Endpunkt ein Signal empfängt, um den Anruf zu sichern; wobei als Reaktion auf das Signal eine erste SIP-Nachricht (Session Initiation Protocol) an den zweiten Endpunkt gesendet wird; als Reaktion auf die erste SIP-Nachricht eine zweite SIP-Nachricht empfangen wird, die die erste Nachricht akzeptiert; und als Reaktion auf die zweite SIP-Nachricht der Anruf von dem ersten Datenkanal auf den zweiten Datenkanal umgeschaltet wird, wobei der zweite Datenkanal eine Ende-zu-Ende-Verschlüsselung zwischen dem ersten Endpunkt und dem zweiten Endpunkt verwendet.
    • Es wird ein Kommunikationsendpunkt offenbart, der Folgendes umfasst: einen Prozessor, der Anweisungen umfasst, die in einem nicht transitorischen Speicher gehalten werden; eine Netzwerkschnittstelle zu einem Netzwerk, um darüber zu kommunizieren; und wobei der Prozessor: ein Signal empfängt, um einen Anruf zu sichern, der den Austausch von Datenpaketen mit einem zweiten Endpunkt umfasst, und wobei der Anruf keine Ende-zu-Ende-Verschlüsselung aufweist; als Reaktion auf das Signal eine erste SIP-Nachricht (Session Initiation Protocol) an den zweiten Endpunkt sendet; als Reaktion auf die erste SIP-Nachricht eine zweite SIP-Nachricht empfängt, die die erste Nachricht akzeptiert; und als Reaktion auf die zweite SIP-Nachricht den Anruf von dem ersten Datenkanal auf den zweiten Datenkanal umleitet, wobei der zweite Datenkanal eine Ende-zu-Ende-Verschlüsselung zwischen dem ersten Endpunkt und dem zweiten Endpunkt verwendet.
  • Jeder der oben genannten Aspekte:
    • Wobei die erste SIP-Nachricht vom ersten Endpunkt zum zweiten SIP-Endpunkt gesendet wird, indem die erste SIP-Nachricht an einen im Signalisierungspfad befindlichen Server gesendet wird, der wiederum die erste SIP-Nachricht an den zweiten SIP-Endpunkt weiterleitet.
    • Wobei der erste Datenkanal aus einem Real-Time Transport Protocol (RTP) besteht.
    • Der zweite Datenkanal besteht vollständig aus einem Secure Real-Time Transport Protocol (SRTP).
    • Wobei der zum Aufbau des ersten Datenkanals verwendete Signalisierungskanal ein Transmission Control Protocol (TCP) umfasst.
    • Der nach der zweiten SIP-Nachricht genutzte Signalisierungskanal besteht vollständig aus einer Transport Layer Security (TLS)-Verbindung.
    • Wobei das Signal als Antwort auf eine am ersten Endpunkt empfangene Benutzerauswahl bereitgestellt wird.
    • Weiter umfassend: eine Sniffer-Anwendung, die so betrieben werden kann, dass sie feststellt, dass ein gefälschter Endpunkt ein Knoten des Anrufs ist; und wobei der Sniffer das Signal an den ersten Endpunkt liefert, wenn er feststellt, dass ein gefälschter Endpunkt gegenwärtig in dem Anruf vorhanden ist.
    • Ferner umfasst es: einen Sniffer mit einer dritten Netzwerkschnittstelle zum Netzwerk; und
    • wobei der Sniffer bei der Erkennung des Vorhandenseins eines gefälschten Endpunkts bei dem Anruf das Signal an den ersten oder zweiten Endpunkt liefert.
    • Wobei die erste SIP-Nachricht vom ersten Endpunkt an den zweiten SIP-Endpunkt gesendet wird, indem die erste SIP-Nachricht an einen im Signalisierungspfad befindlichen Server gesendet wird, der wiederum die erste SIP-Nachricht an den zweiten SIP-Endpunkt weiterleitet.
    • Wobei der erste Datenkanal aus einem Real-Time Transport Protocol (RTP) besteht.
    • Der zweite Datenkanal besteht vollständig aus einem Secure Real-Time Transport Protocol (SRTP).
    • Wobei der zum Aufbau des ersten Datenkanals verwendete Signalisierungskanal ein Transmission Control Protocol (TCP) umfasst.
    • Der nach der zweiten SIP-Nachricht genutzte Signalisierungskanal besteht vollständig aus einer Transport Layer Security (TLS)-Verbindung.
    • Ferner mit einer Benutzereingabekomponente an dem ersten Endpunkt und/oder dem zweiten Endpunkt, wobei das Signal als Reaktion auf eine durch die Benutzereingabe empfangene Benutzerauswahl bereitgestellt wird.
    • Wobei das Signal vom zweiten Endpunkt empfangen wird.
    • Wobei das Signal von einem Sniffer empfangen wird, der den Anruf überwacht, und als Reaktion darauf, dass der Sniffer feststellt, dass ein gefälschter Endpunkt an dem Anruf beteiligt ist.
    • Weiter umfassend: eine Benutzereingabekomponente; und wobei das Signal von der Benutzereingabekomponente als Reaktion auf den Empfang einer Eingabe an die Benutzereingabekomponente empfangen wird.
  • Ein System auf einem Chip (SoC), das eine oder mehrere der oben genannten Ausführungsformen oder Aspekte der hier beschriebenen Ausführungsformen enthält.
  • Ein oder mehrere Mittel zur Durchführung einer oder mehrerer der oben beschriebenen Ausführungsformen oder Aspekte der hier beschriebenen Ausführungsformen.
  • Jeder Aspekt in Kombination mit einem oder mehreren anderen Aspekten.
  • Eines oder mehrere der hier offengelegten Merkmale.
  • Eines oder mehrere der hier im Wesentlichen dargelegten Merkmale.
  • Ein oder mehrere der hier im Wesentlichen offengelegten Merkmale in Kombination mit einem oder mehreren anderen, hier im Wesentlichen offengelegten Merkmalen.
  • Jeder der Aspekte/Merkmale/Verkörperungen in Kombination mit einem oder mehreren anderen Aspekten/Merkmalen/Verkörperungen.
  • Verwendung eines oder mehrerer der hier offengelegten Aspekte oder Merkmale.
  • Jede der obigen Ausführungsformen oder Aspekte, wobei der Datenspeicher eine nicht transitorische Speichervorrichtung umfasst, die ferner mindestens eines der folgenden Elemente umfassen kann: einen On-Chip-Speicher innerhalb des Prozessors, ein Register des Prozessors, einen On-Board-Speicher, der sich zusammen mit dem Prozessor auf einer Verarbeitungsplatine befindet, einen Speicher, auf den der Prozessor über einen Bus zugreifen kann, ein magnetisches Medium, ein optisches Medium, ein Festkörpermedium, einen Eingabe-Ausgabe-Puffer, einen Speicher einer Eingabe-Ausgabe-Komponente, die mit dem Prozessor kommuniziert, einen Netzwerk-Kommunikationspuffer und eine vernetzte Komponente, die über eine Netzwerkschnittstelle mit dem Prozessor kommuniziert.
  • Jedes hier beschriebene Merkmal kann in Kombination mit einem oder mehreren anderen hier beschriebenen Merkmalen beansprucht werden, unabhängig davon, ob die Merkmale aus derselben beschriebenen Ausführungsform stammen.
  • Die Ausdrücke „mindestens eines“, „eines oder mehrere“, „oder“ und „und/oder“ sind unbestimmte Ausdrücke, die sowohl konjunktiv als auch disjunktiv verwendet werden können. Zum Beispiel bedeutet jeder der Ausdrücke „mindestens eines von A, B und C“, „mindestens eines von A, B oder C“, „eines oder mehrere von A, B und C“, „eines oder mehrere von A, B oder C“, „A, B und/oder C“ und „A, B oder C“ A allein, B allein, C allein, A und B zusammen, A und C zusammen, Bund C zusammen oder A, B und C zusammen.
  • Der Begriff „eine“ oder „eine“ Einheit bezieht sich auf eine oder mehrere dieser Einheiten. Die Begriffe „eine“ (oder „ein“), „eine oder mehrere“ und „mindestens eine“ können hier austauschbar verwendet werden. Es ist auch zu beachten, dass die Begriffe „umfassend“, „einschließlich“ und „mit“ austauschbar verwendet werden können.
  • Der Begriff „automatisch“ und Variationen davon, wie er hier verwendet wird, bezieht sich auf jeden Prozess oder Vorgang, der typischerweise kontinuierlich oder halbkontinuierlich ist und ohne materielle menschliche Eingaben durchgeführt wird, wenn der Prozess oder Vorgang ausgeführt wird. Ein Prozess oder Vorgang kann jedoch automatisch sein, auch wenn die Durchführung des Prozesses oder Vorgangs materielle oder immaterielle menschliche Eingaben erfordert, wenn die Eingaben vor der Durchführung des Prozesses oder Vorgangs empfangen werden. Menschliche Eingaben gelten als wesentlich, wenn sie die Durchführung des Prozesses oder Vorgangs beeinflussen. Menschlicher Input, der der Durchführung des Verfahrens oder Vorgangs zustimmt, gilt nicht als „wesentlich“.
  • Aspekte der vorliegenden Offenbarung können die Form einer Ausführungsform annehmen, die vollständig aus Hardware besteht, einer Ausführungsform, die vollständig aus Software besteht (einschließlich Firmware, residenter Software, Mikrocode usw.) oder einer Ausführungsform, die Software- und Hardwareaspekte kombiniert, die hier allgemein als „Schaltung“, „Modul“ oder „System“ bezeichnet werden können. Jede Kombination aus einem oder mehreren computerlesbaren Medien kann verwendet werden. Das computerlesbare Medium kann ein computerlesbares Signalmedium oder ein computerlesbares Speichermedium sein.
  • Ein computerlesbares Speichermedium kann beispielsweise, aber nicht ausschließlich, ein elektronisches, magnetisches, optisches, elektromagnetisches, Infrarot- oder Halbleitersystem, ein Apparat oder eine Vorrichtung oder jede geeignete Kombination der vorgenannten sein. Zu den spezifischeren Beispielen (eine nicht erschöpfende Liste) für das computerlesbare Speichermedium gehören: eine elektrische Verbindung mit einem oder mehreren Drähten, eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Festwertspeicher (ROM), ein löschbarer programmierbarer Festwertspeicher (EPROM oder Flash-Speicher), eine optische Faser, ein tragbarer Compact-Disc-Festwertspeicher (CD-ROM), eine optische Speichervorrichtung, eine magnetische Speichervorrichtung oder jede geeignete Kombination der vorgenannten. Im Zusammenhang mit diesem Dokument kann ein computerlesbares Speichermedium jedes greifbare, nicht-übertragbare Medium sein, das ein Programm zur Verwendung durch oder in Verbindung mit einem Befehlsausführungssystem, einem Gerät oder einer Vorrichtung enthalten oder speichern kann.
  • Ein computerlesbares Signalmedium kann ein übertragenes Datensignal mit einem darin verkörperten computerlesbaren Programmcode enthalten, beispielsweise im Basisband oder als Teil einer Trägerwelle. Ein solches übertragenes Signal kann eine beliebige Form annehmen, einschließlich, aber nicht beschränkt auf, elektromagnetische oder optische Signale oder eine geeignete Kombination davon. Ein computerlesbares Signalmedium kann ein beliebiges computerlesbares Medium sein, das kein computerlesbares Speichermedium ist und das ein Programm zur Verwendung durch oder in Verbindung mit einem Befehlsausführungssystem, - apparat oder -gerät übermitteln, verbreiten oder transportieren kann. Programmcode, der auf einem computerlesbaren Medium verkörpert ist, kann über jedes geeignete Medium übertragen werden, einschließlich, aber nicht beschränkt auf drahtlose, drahtgebundene, optische Faserkabel, RF, etc. oder jede geeignete Kombination der vorgenannten Medien.
  • Die Begriffe „bestimmen“, „berechnen“, „rechnen“ und Abwandlungen davon werden hier austauschbar verwendet und umfassen jede Art von Methodik, Prozess, mathematischer Operation oder Technik.
  • Der Begriff „Mittel“, wie er hier verwendet wird, ist gemäß 35 U.S.C., Abschnitt 112(f) und/oder Abschnitt 112, Absatz 6 so weit wie möglich auszulegen. Dementsprechend umfasst ein Anspruch, der den Begriff „Mittel“ enthält, alle hierin dargelegten Strukturen, Materialien oder Handlungen sowie alle Äquivalente davon. Ferner umfassen die Strukturen, Materialien oder Handlungen und deren Äquivalente alle in der Zusammenfassung, der Kurzbeschreibung der Zeichnungen, der detaillierten Beschreibung, der Zusammenfassung und den Ansprüchen selbst beschriebenen.
  • Das Vorstehende ist eine vereinfachte Zusammenfassung der Erfindung, um ein Verständnis für einige Aspekte der Erfindung zu vermitteln. Diese Zusammenfassung ist weder ein umfassender noch ein erschöpfender Überblick über die Erfindung und ihre verschiedenen Ausführungsformen. Es ist weder beabsichtigt, wichtige oder kritische Elemente der Erfindung zu identifizieren noch den Umfang der Erfindung abzugrenzen, sondern ausgewählte Konzepte der Erfindung in vereinfachter Form als Einführung in die nachfolgende detailliertere Beschreibung darzustellen. Es wird deutlich, dass auch andere Ausführungsformen der Erfindung möglich sind, bei denen eines oder mehrere der oben dargelegten oder unten im Detail beschriebenen Merkmale allein oder in Kombination verwendet werden. Auch wenn die Offenbarung in Form von beispielhaften Ausführungsformen dargestellt wird, sollte man sich darüber im Klaren sein, dass ein einzelner Aspekt der Offenbarung separat beansprucht werden kann.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die vorliegende Offenbarung wird in Verbindung mit den beigefügten Figuren beschrieben:
    • In 1 ist ein System gemäß den Ausführungsformen der vorliegenden Offenbarung dargestellt;
    • 2 zeigt eine Interaktion in Übereinstimmung mit Ausführungsformen der vorliegenden Offenbarung;
    • 3 zeigt eine Interaktion in Übereinstimmung mit Ausführungsformen der vorliegenden Offenbarung; und
    • In 4 ist ein System gemäß den Ausführungsformen der vorliegenden Offenbarung dargestellt.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die nachfolgende Beschreibung enthält lediglich Ausführungsbeispiele und soll den Umfang, die Anwendbarkeit oder die Ausgestaltung der Ansprüche nicht einschränken. Vielmehr soll die nachfolgende Beschreibung dem Fachmann eine Anleitung zur Umsetzung der Ausführungsformen geben. Es versteht sich, dass verschiedene Änderungen in der Funktion und Anordnung der Elemente vorgenommen werden können, ohne vom Geist und Umfang der beigefügten Ansprüche abzuweichen.
  • Jeder Verweis in der Beschreibung, der eine numerische Referenznummer ohne eine alphabetische Unterreferenzkennung enthält, wenn eine Unterreferenzkennung in den Figuren vorhanden ist, ist, wenn er im Plural verwendet wird, ein Verweis auf zwei oder mehr Elemente mit der gleichen Referenznummer. Wird ein solcher Verweis in der Einzahl, jedoch ohne Angabe der Unterreferenzkennung, gemacht, so ist dies ein Verweis auf eines der gleich nummerierten Elemente, jedoch ohne Einschränkung hinsichtlich des bestimmten der Elemente, auf die verwiesen wird. Jede gegenteilige ausdrückliche Verwendung in diesem Dokument oder eine weitere Qualifizierung oder Identifizierung hat Vorrang.
  • Die beispielhaften Systeme und Methoden dieser Offenbarung werden auch in Bezug auf Analysesoftware, Module und zugehörige Analyse-Hardware beschrieben. Um die vorliegende Offenbarung jedoch nicht unnötig zu vernebeln, wird in der folgenden Beschreibung auf bekannte Strukturen, Komponenten und Geräte verzichtet, die in den Figuren weggelassen oder vereinfacht dargestellt oder anderweitig zusammengefasst werden können.
  • Zu Erklärungszwecken werden zahlreiche Details aufgeführt, um ein umfassendes Verständnis der vorliegenden Offenbarung zu ermöglichen. Es sollte jedoch gewürdigt werden, dass die vorliegende Offenbarung über die hier dargelegten spezifischen Details hinaus auf vielfältige Weise praktiziert werden kann.
  • 1 zeigt das System 100 in Übereinstimmung mit Ausführungsformen der vorliegenden Offenbarung. In einer Ausführungsform führen der erste Endpunkt 102 und der zweite Endpunkt 104 zunächst ein nicht sicheres Gespräch miteinander. Der erste Endpunkt 102 ist beim Server 108 über den TCP-Signalisierungspfad 110 registriert und der zweite Endpunkt 104 ist beim Server 108 über den TLS-Signalisierungspfad 112 registriert. Da der Signalisierungspfad (d. h. der TCP-Signalisierungspfad 110 und der TLS-Signalisierungspfad 112) teilweise oder vollständig unsicher ist, wird der Anruf als unsicher betrachtet. Während der erste Endpunkt 102 und der zweite Endpunkt 104 jeweils als digitale Telefone dargestellt sind, können auch andere Formfaktoren verwendet werden, ohne den Rahmen der dargestellten Ausführungsformen zu sprengen, wie z. B. ein PC, Laptop usw. mit einem Voice-over-IP-Client (VoIP). In einer anderen Ausführungsform können auch andere Kommunikationsgeräte, wie z. B. Mobiltelefone mit Prozessoren und Netzwerkverbindungen, die eine Datenverbindung zum Internet nutzen, in ähnlicher Weise einen VoIP-Client verwenden und von den hier vorgestellten Ausführungsformen profitieren, um einen zuvor unsicheren Anruf zu sichern.
  • Wie bei SIP bekannt, werden Datenpakete, z. B. solche, die paketierte Sprachkommunikation umfassen, über einen separaten Echtzeit-Datenkanal, nämlich den RTP-Datenkanal 106, ausgetauscht. Optional kann der erste Endpunkt 102 oder der zweite Endpunkt 104 oder beide während des Anrufs ein Licht, eine Nachricht oder ein anderes Zeichen anzeigen, dass der Anruf unsicher ist, um die Benutzer über den aktuellen unsicheren Zustand zu informieren, in der Hoffnung, dass die Benutzer keine sensiblen Informationen besprechen werden.
  • 2 zeigt die Interaktion 200 in Übereinstimmung mit Ausführungsformen der vorliegenden Offenbarung. Die Interaktion 200 veranschaulicht die Operationen des ersten Endpunkts 102, des Servers 108 und des zweiten Endpunkts 104, die jeweils eine Netzwerkschnittstelle und mindestens einen Prozessor mit Anweisungen in einem nichttransitorischen Speicher umfassen, um den mindestens einen Prozessor zu veranlassen, die Operationen der Interaktion 200 durchzuführen.
  • Die Interaktion 200 beginnt mit dem Austausch von Datenpaketen zwischen dem ersten Endpunkt 102 und dem zweiten Endpunkt 104 über einen Datenkanal, nämlich RTP 202. Der erste Endpunkt 102 ist beim Server 108 als Teil des Signalisierungspfads unter Verwendung von TCP (unsicher) registriert, während der zweite Endpunkt 104 unter Verwendung von TLS registriert ist. Da zumindest ein Teil des Signalisierungspfads unsicher ist, ist der Anruf ungesichert und abhörgefährdet. Ein Benutzer des ersten Endpunkts 102 initiiert die Sicherheit in Schritt 204. Infolgedessen sendet Schritt 206 eine TLS-Registrierungsnachricht an den Server 108 und erhält als Antwort die Antwortnachricht 208 „200 OK“ für die TLS-Nachricht. In Schritt 210 ist der erste Endpunkt 102 nun für TLS registriert. In einer anderen Ausführungsform sendet Schritt 206 die Registrierungsnachricht direkt an den zweiten Endpunkt 104, und ohne die TLS-Registrierungsnachricht an den Server 108 zu senden, wird die Antwortnachricht 208 vom zweiten Endpunkt 104 an den ersten Endpunkt 102 zurückgesendet, der den Server 108 ebenfalls auslässt.
  • Als Nächstes sendet Schritt 212 eine „INVITE-Replace-SRTP“-Nachricht an den Server 108, der die Nachricht verarbeitet und in Schritt 214 an den zweiten Endpunkt 104 weiterleitet, um den Übergang zu einer Secure Real-Time Transport Protocol (SRTP)-Verbindung einzuleiten, die als SIP-„INVITE“-Nachricht mit Header-Informationen, die entweder neu sind oder aktuelle Header-Werte nutzen, die „Replace-SRTP“ anzeigen, verkörpert werden kann. In Ausführungsformen, in denen der Server 108 weggelassen wird, z. B. wenn die Schritte 206 und 208 Nachrichten direkt zwischen dem ersten Endpunkt 102 und dem zweiten Endpunkt 104 austauschen und den Server 108 weglassen, werden die Schritte 212 und 214 kombiniert, so dass eine „INVITE-Replace-SRTP“-Nachricht vom ersten Endpunkt 102 direkt an den zweiten Endpunkt 104 gesendet wird und der Server 108 weggelassen wird. Der zweite Endpunkt 104 antwortet dem ersten Endpunkt 102 in Schritt 216 mit „200 OK-SRTP“. Zu diesem Zeitpunkt ist der Anruf in Schritt 218 nun sicher, und der erste Endpunkt 102 und optional der zweite Endpunkt 104 können Anzeichen dafür anzeigen, dass der Anruf sicher ist. Der Datenkanal ist nun im Gange und verwendet ein sicheres Echtzeit-Transportprotokoll, nämlich den SRTP-Datenkanal 220, der eine Punkt-zu-Punkt-Verschlüsselung zwischen dem ersten Endpunkt 102 und dem zweiten Endpunkt 104 umfasst.
  • 3 zeigt die Interaktion 300 in Übereinstimmung mit Ausführungsformen der vorliegenden Offenbarung. Die Interaktion 300 veranschaulicht die Operationen des ersten Endpunkts 102, des Servers 108 und des zweiten Endpunkts 104, die jeweils eine Netzwerkschnittstelle und mindestens einen Prozessor mit Anweisungen in einem nichttransitorischen Speicher umfassen, um den mindestens einen Prozessor zu veranlassen, Operationen der Interaktion 300 durchzuführen.
  • Die Interaktion 300 beginnt mit dem Austausch von Datenpaketen zwischen dem ersten Endpunkt 102 und dem zweiten Endpunkt 104 über einen Datenkanal, nämlich RTP 304. Ein Schnüffler („Sniffer“) 302 überwacht das Netzwerk, das zumindest einen Teil der Verbindungen umfasst, die RTP 304 unterstützen, und stellt fest, dass ein gefälschter Endpunkt in der Kommunikation vorhanden ist und der Anruf wahrscheinlich von einer nicht autorisierten Stelle überwacht wird. Daraufhin sendet der Sniffer 302 in Schritt 306 ein Signal an den zweiten Endpunkt 104, um den Anruf zu sichern.
  • Als Antwort sendet der zweite Endpunkt 104 in Schritt 308 „INVITE Replace-SRTP“ an den ersten Endpunkt 102, um die Übertragung zu einem sicheren Kanal einzuleiten. In Schritt 310, der als eine SIP-„INVITE“-Nachricht mit Header-Informationen zur Anzeige der TLS-Registrierung ausgeführt werden kann, die weiterhin bestehende SIP-Nachrichtenformate nutzen oder einen neuen Header enthalten kann, z. B. zur Anzeige von „Replace-SRTP“. Der erste Endpunkt 102 sendet dann in Schritt 310 „REGISTER-TLS“ an den Server 108 und erhält in Schritt 312 die Antwortnachricht „200 OK-TLS“. In Schritt 314 ist der erste Endpunkt 102 nun auf TLS.
  • In einer anderen Ausführungsform, z. B. einer Peer-to-Peer-Verbindung, bei der der Server 108 weggelassen wird, können die Schritte 310, 312 und 316/318 den Server 108 weglassen und Nachrichten direkt zwischen dem ersten Endpunkt 102 und dem zweiten Endpunkt 104 austauschen, wobei der Server 108 weggelassen wird.
  • Als Reaktion auf TLS sendet der erste Endpunkt 102 in Schritt 316/318 die Nachricht „INVITE Replaces-SRTP“ mit Headern, die einen Identifikator enthalten, der ausreicht, um den Anruffluss zu identifizieren, der zumindest teilweise Identifikatoren zur Aufrechterhaltung des Anrufs auf Nicht-SIP-Teilen umfassen kann. Dementsprechend werden ein oder mehrere Bezeichner wie Global Session Identifier (GSID), Universal Call Identifier (UCID), Associated-Global Session Identifier („A-GSID“) verwendet, um dem zweiten Endpunkt 104, dem Server 108 und/oder jeder anderen Komponente zu ermöglichen, den Anruffluss zu identifizieren. Der Server 108 verarbeitet die Nachricht und leitet sie in Schritt 318 an den zweiten Endpunkt 104 weiter, was den zweiten Endpunkt 104 veranlasst, dem ersten Endpunkt 102 mit der Nachricht „200 OK-SRTP“ zu antworten, die die alte UCID, GSID und/oder A-GSID enthält, um den Anruffluss in Schritt 320 zu identifizieren. Dann, in Schritt 322, ist der Anruf sicher und der Datenkanal zwischen dem ersten Endpunkt 102 und dem zweiten Endpunkt 104 nutzt den SRTP-Kanal 324 und stellt RTP 304 ein.
  • In 4 ist das System 400 gemäß den Ausführungsformen der vorliegenden Offenbarung dargestellt. In einer Ausführungsform können der erste Endpunkt 102, der zweite Endpunkt 104 und der Server 108 ganz oder teilweise als Gerät 402 mit verschiedenen Komponenten und Verbindungen zu anderen Komponenten und/oder Systemen ausgeführt sein. Die Komponenten sind unterschiedlich ausgestaltet und können einen Prozessor 404 umfassen. Der Begriff „Prozessor“, wie er hier verwendet wird, bezieht sich ausschließlich auf elektronische Hardwarekomponenten, die elektrische Schaltkreise mit Verbindungen (z. B. Pinouts) umfassen, um kodierte elektrische Signale zu und von den elektrischen Schaltkreisen zu übertragen. Der Prozessor 404 kann ferner als ein einzelner elektronischer Mikroprozessor oder ein Multiprozessorgerät (z. B. Multicore) mit einer elektrischen Schaltung ausgeführt werden, die ferner eine oder mehrere Steuereinheiten, Eingabe-/Ausgabeeinheiten, arithmetische Logikeinheiten, Register, einen Primärspeicher und/oder andere Komponenten umfassen kann, die auf Informationen (z. B. Daten, Befehle usw.) zugreifen, die beispielsweise über den Bus 414 empfangen werden, Befehle ausführen und Daten ausgeben, wiederum beispielsweise über den Bus 414. In anderen Ausführungsformen kann der Prozessor 404 ein gemeinsam genutztes Verarbeitungsgerät sein, das von anderen Prozessen und/oder Prozesseigentümern genutzt werden kann, wie z. B. in einer Verarbeitungsanordnung innerhalb eines Systems (z. B. Blade, Multiprozessorplatine usw.) oder eines verteilten Verarbeitungssystems (z. B. „Cloud“, Farm usw.). Es ist zu beachten, dass der Prozessor 404 ein nicht transitorisches Rechengerät ist (z. B. eine elektronische Maschine mit Schaltkreisen und Verbindungen zur Kommunikation mit anderen Komponenten und Geräten). Der Prozessor 404 kann einen virtuellen Prozessor betreiben, z. B. um Maschinenbefehle zu verarbeiten, die dem Prozessor nicht eigen sind (z. B. das VAX-Betriebssystem und den VAX-Maschinenbefehlscode in Intel® 9xx-Chipsatzcode übersetzen, um VAX-spezifische Anwendungen auf einem virtuellen VAX-Prozessor ausführen zu können), doch sind derartige virtuelle Prozessoren nach allgemeinem Verständnis Anwendungen, die von der Hardware ausgeführt werden, genauer gesagt von den zugrunde liegenden elektrischen Schaltungen und anderer Hardware des Prozessors (z. B. Prozessor 404). Der Prozessor 404 kann von virtuellen Prozessoren ausgeführt werden, z. B. wenn Anwendungen (d. h. Pod) von Kubernetes orchestriert werden. Virtuelle Prozessoren ermöglichen es, dass eine Anwendung mit einem scheinbar statischen und/oder dedizierten Prozessor dargestellt wird, der die Anweisungen der Anwendung ausführt, während die zugrunde liegenden nicht-virtuellen Prozessoren die Anweisungen ausführen und dynamisch und/oder auf eine Reihe von Prozessoren aufgeteilt sein können.
  • Zusätzlich zu den Komponenten des Prozessors 404 kann die Vorrichtung 402 einen Speicher 406 und/oder einen Datenspeicher 408 für die Speicherung von zugänglichen Daten wie Anweisungen, Werten usw. verwenden. Die Kommunikationsschnittstelle 410 erleichtert die Kommunikation mit Komponenten wie dem Prozessor 404 über den Bus 414 mit Komponenten, die nicht über den Bus 414 zugänglich sind. Die Kommunikationsschnittstelle 410 kann in Form eines Netzwerkanschlusses, einer Karte, eines Kabels oder eines anderen konfigurierten Hardwaregeräts ausgeführt sein. Zusätzlich oder alternativ kann die menschliche Eingabe-/Ausgabeschnittstelle 412 mit einer oder mehreren Schnittstellenkomponenten verbunden werden, um Informationen (z. B. Anweisungen, Daten, Werte usw.) zu und/oder von einem menschlichen und/oder elektronischen Gerät zu empfangen und/oder zu präsentieren. Beispiele für Eingabe-/Ausgabegeräte 430, die an die Eingabe-/Ausgabeschnittstelle angeschlossen werden können, sind unter anderem Tastatur, Maus, Trackball, Drucker, Anzeigen, Sensoren, Schalter, Relais, Lautsprecher, Mikrofon, Standbild- und/oder Videokamera usw. In einer anderen Ausführungsform kann die Kommunikationsschnittstelle 410 die menschliche Eingabe-/Ausgabeschnittstelle 412 umfassen oder von ihr umfasst sein. Die Kommunikationsschnittstelle 410 kann so konfiguriert sein, dass sie direkt mit einer vernetzten Komponente kommuniziert oder ein oder mehrere Netzwerke nutzt, wie z. B. das Netzwerk 420 und/oder das Netzwerk 424.
  • Ein Netzwerk, das den ersten Endpunkt 102, den zweiten Endpunkt 104 und den Server 108 miteinander verbindet, kann ganz oder teilweise als Netzwerk 420 ausgeführt werden. Das Netzwerk 420 kann ein kabelgebundenes Netzwerk (z. B. Ethernet), ein drahtloses Netzwerk (z. B. WiFi, Bluetooth, Mobilfunk usw.) oder eine Kombination davon sein und ermöglicht es dem Gerät 402, mit der/den vernetzten Komponente(n) 422 zu kommunizieren. In anderen Ausführungsformen kann das Netzwerk 420 ganz oder teilweise als Telefonnetz (z. B. öffentliches Telefonnetz (PSTN), private Nebenstellenanlage (PBX), Mobilfunknetz usw.) ausgeführt sein.
  • Zusätzlich oder alternativ können ein oder mehrere andere Netzwerke verwendet werden. So kann beispielsweise das Netz 424 ein zweites Netz darstellen, das die Kommunikation mit den von der Vorrichtung 402 verwendeten Komponenten erleichtern kann. Beispielsweise kann das Netzwerk 424 ein internes Netzwerk eines Unternehmens oder einer anderen Organisation sein, in dem die Komponenten vertrauenswürdig sind (oder zumindest vertrauenswürdiger) als die vernetzten Komponenten 422, die mit dem Netzwerk 420 verbunden sein können, das ein öffentliches Netzwerk (z. B. das Internet) umfasst, das möglicherweise nicht so vertrauenswürdig ist.
  • Zu den an das Netzwerk 424 angeschlossenen Komponenten können Speicher 426, Datenspeicher 428, Eingabe-/Ausgabegerät(e) 430 und/oder andere Komponenten gehören, auf die der Prozessor 404 zugreifen kann. Beispielsweise kann der Speicher 426 und/oder der Datenspeicher 428 den Speicher 406 und/oder den Datenspeicher 408 ganz oder für eine bestimmte Aufgabe oder einen bestimmten Zweck ergänzen oder ersetzen. Als weiteres Beispiel kann der Speicher 426 und/oder der Datenspeicher 428 ein externer Datenspeicher sein (z. B. eine Serverfarm, ein Array, eine „Cloud“ usw.) und es der Vorrichtung 402 und/oder anderen Vorrichtungen ermöglichen, auf die darauf befindlichen Daten zuzugreifen. In ähnlicher Weise kann der Prozessor 404 über die menschliche Eingabe-/Ausgabeschnittstelle 412 und/oder über die Kommunikationsschnittstelle 410 entweder direkt, über das Netzwerk 424, über das Netzwerk 420 allein (nicht dargestellt) oder über die Netzwerke 424 und 420 auf die Eingabe-/Ausgabevorrichtung(en) 430 zugreifen. Der Speicher 406, der Datenspeicher 408, der Speicher 426 und der Datenspeicher 428 umfassen jeweils einen nicht-übertragbaren Datenspeicher, der eine Datenspeichereinrichtung umfasst.
  • Es ist zu beachten, dass computerlesbare Daten von einer Vielzahl von Komponenten gesendet, empfangen, gespeichert, verarbeitet und dargestellt werden können. Es sollte auch beachtet werden, dass die dargestellten Komponenten andere Komponenten steuern können, unabhängig davon, ob sie hierin dargestellt sind oder nicht. Zum Beispiel kann ein Eingangs-/Ausgangsgerät 430 ein Router, ein Schalter, ein Port oder eine andere Kommunikationskomponente sein, so dass ein bestimmter Ausgang des Prozessors 404 das Eingangs-/Ausgangsgerät 430, das mit dem Netzwerk 420 und/oder dem Netzwerk 424 verbunden sein kann, aktiviert (oder deaktiviert), um die Kommunikation zwischen zwei oder mehreren Knoten im Netzwerk 420 und/oder im Netzwerk 424 zu ermöglichen (oder zu verbieten). Gewöhnliche Fachleute wissen, dass andere Kommunikationsgeräte zusätzlich oder alternativ zu den hier beschriebenen verwendet werden können, ohne dass dies den Rahmen der Ausführungsformen sprengen würde.
  • In der vorangegangenen Beschreibung wurden die Verfahren zur Veranschaulichung in einer bestimmten Reihenfolge beschrieben. Es sei darauf hingewiesen, dass die Methoden in alternativen Ausführungsformen in einer anderen Reihenfolge als der beschriebenen durchgeführt werden können, ohne dass dies den Anwendungsbereich der Ausführungsformen beeinträchtigt. Es sollte auch beachtet werden, dass die oben beschriebenen Methoden als Algorithmen ausgeführt werden können, die von Hardwarekomponenten (z. B. Schaltkreisen) ausgeführt werden, die speziell für die Ausführung eines oder mehrerer der hier beschriebenen Algorithmen oder Teile davon entwickelt wurden. In einer anderen Ausführungsform kann die Hardwarekomponente einen Allzweck-Mikroprozessor (z. B. CPU, GPU) umfassen, der zunächst in einen Spezial-Mikroprozessor umgewandelt wird. In den Spezialmikroprozessor werden dann kodierte Signale geladen, die den nunmehrigen Spezialmikroprozessor veranlassen, maschinenlesbare Befehle zu erhalten, um den Mikroprozessor in die Lage zu versetzen, den maschinenlesbaren Satz von Befehlen zu lesen und auszuführen, die von den hier beschriebenen Algorithmen und/oder anderen Befehlen abgeleitet sind. Die maschinenlesbaren Anweisungen, die zur Ausführung des/der Algorithmus(s) oder von Teilen davon verwendet werden, sind nicht unbegrenzt, sondern verwenden einen endlichen Satz von Anweisungen, die dem Mikroprozessor bekannt sind. Die maschinenlesbaren Befehle können im Mikroprozessor als Signale oder Werte in signalerzeugenden Komponenten kodiert werden, und zwar in einer oder mehreren Ausführungsformen durch Spannungen in Speicherschaltungen, Konfiguration von Schaltkreisen und/oder durch selektive Verwendung bestimmter Logikgatterschaltungen. Zusätzlich oder alternativ können die maschinenlesbaren Anweisungen dem Mikroprozessor zugänglich sein und in einem Medium oder einer Vorrichtung als Magnetfelder, Spannungswerte, Ladungswerte, reflektierende/nicht reflektierende Teile und/oder physikalische Zeichen kodiert sein.
  • In einer anderen Ausführungsform umfasst der Mikroprozessor außerdem einen oder mehrere Mikroprozessoren, einen Multi-Core-Prozessor, mehrere Mikroprozessoren, ein verteiltes Verarbeitungssystem (z. B. Array(s), Blade(s), Serverfarm(s), „Cloud“, Mehrzweck-Prozessor-Array(s), Cluster usw.) und/oder kann mit einem Mikroprozessor, der andere Verarbeitungsvorgänge durchführt, zusammen untergebracht sein. Ein oder mehrere Mikroprozessoren können in ein einziges Verarbeitungsgerät (z. B. Computer, Server, Blade usw.) integriert sein oder sich ganz oder teilweise in einer separaten Komponente befinden und über eine Kommunikationsverbindung (z. B. Bus, Netzwerk, Backplane usw. oder eine Vielzahl davon) verbunden sein.
  • Beispiele für Allzweck-Mikroprozessoren können eine Zentraleinheit (CPU) mit Datenwerten umfassen, die in einem Befehlsregister (oder einem anderen Schaltkreis, der Befehle speichert) kodiert sind, oder Datenwerte, die Speicherplätze umfassen, die ihrerseits Werte enthalten, die als Befehle verwendet werden. Die Speicherplätze können ferner einen Speicherplatz außerhalb der CPU umfassen. Solche CPU-externen Komponenten können in Form eines oder mehrerer feldprogrammierbarer Gate-Arrays (FPGA), Festwertspeicher (ROM), programmierbarer Festwertspeicher (PROM), löschbarer programmierbarer Festwertspeicher (EPROM), Direktzugriffsspeicher (RAM), buszugänglicher Speicher, netzzugänglicher Speicher usw. ausgeführt sein.
  • Diese maschinenausführbaren Anweisungen können auf einem oder mehreren maschinenlesbaren Medien gespeichert werden, wie CD-ROMs oder anderen Arten von optischen Platten, Disketten, ROMs, RAMs, EPROMs, EEPROMs, magnetischen oder optischen Karten, Flash-Speicher oder anderen Arten von maschinenlesbaren Medien, die zur Speicherung von elektronischen Anweisungen geeignet sind. Alternativ können die Verfahren auch durch eine Kombination von Hardware und Software durchgeführt werden.
  • In einer anderen Ausführungsform kann ein Mikroprozessor ein System oder eine Sammlung von Verarbeitungshardwarekomponenten sein, z. B. ein Mikroprozessor auf einem Client-Gerät und ein Mikroprozessor auf einem Server, eine Sammlung von Geräten mit ihrem jeweiligen Mikroprozessor oder ein gemeinsam genutzter oder entfernter Verarbeitungsdienst (z. B. ein „cloud“-basierter Mikroprozessor). Ein System von Mikroprozessoren kann eine aufgabenspezifische Zuweisung von Verarbeitungsaufgaben und/oder gemeinsame oder verteilte Verarbeitungsaufgaben umfassen. In einer weiteren Ausführungsform kann ein Mikroprozessor Software ausführen, um die Dienste zur Emulation eines anderen Mikroprozessors oder anderer Mikroprozessoren bereitzustellen. Infolgedessen kann ein erster Mikroprozessor, der aus einem ersten Satz von Hardwarekomponenten besteht, virtuell die Dienste eines zweiten Mikroprozessors bereitstellen, wobei die dem ersten Mikroprozessor zugeordnete Hardware mit einem dem zweiten Mikroprozessor zugeordneten Befehlssatz arbeiten kann.
  • Während maschinenausführbare Anweisungen lokal auf einer bestimmten Maschine (z. B. einem Personalcomputer, einem mobilen Computer, einem Laptop usw.) gespeichert und ausgeführt werden können, kann die Speicherung von Daten und/oder Anweisungen und/oder die Ausführung zumindest eines Teils der Anweisungen über eine Verbindung zu einer entfernten Datenspeicher- und/oder Verarbeitungsvorrichtung oder einer Sammlung von Vorrichtungen erfolgen, die allgemein als „die Cloud“ bekannt ist, aber auch ein öffentliches, privates, dediziertes, gemeinsam genutztes und/oder ein anderes Servicebüro, einen Computerdienst und/oder eine „Serverfarm“ umfassen kann.
  • Beispiele für die hier beschriebenen Mikroprozessoren sind unter anderem Qualcomm® Snapdragon® 800 und 801, Qualcomm® Snapdragon® 610 und 615 mit 4G LTE-Integration und 64-Bit-Computing, Apple® A7 Mikroprozessor mit 64-Bit-Architektur, Apple® M7-Mikroprozessoren, Samsung® Exynos®-Serie, die Intel® Core™-Mikroprozessorfamilie, die Intel® Xeon®-Mikroprozessorfamilie, die Intel® Atom™-Mikroprozessorfamilie, die Intel Itanium®-Mikroprozessorfamilie, Intel® Core® i5-4670K und i7-4770K 22nm Haswell, Intel® Core® i5-3570K 22nm Ivy Bridge, die AMD® FX™ Mikroprozessorfamilie, AMD® FX-4300, FX-6300 und FX-8350 32nm Vishera, AMD® Kaveri Mikroprozessoren, Texas Instruments® Jacinto C6000™ Automobil-Infotainment-Mikroprozessoren, Texas Instruments® OMAP™ mobile Mikroprozessoren für den Automobilbereich, ARM® Cortex™-M-Mikroprozessoren, ARM® Cortex-A und ARM926EJ-S™-Mikroprozessoren, andere industrieäquivalente Mikroprozessoren, und können Rechenfunktionen unter Verwendung aller bekannten oder künftig entwickelten Standards, Befehlssätze, Bibliotheken und/oder Architekturen ausführen.
  • Alle hier beschriebenen Schritte, Funktionen und Vorgänge können kontinuierlich und automatisch durchgeführt werden.
  • Die beispielhaften Systeme und Verfahren der vorliegenden Erfindung wurden in Bezug auf Kommunikationssysteme und -komponenten sowie Verfahren zur Überwachung, Verbesserung und Verschönerung von Kommunikationen und Nachrichten beschrieben. Um die vorliegende Erfindung jedoch nicht unnötig zu vernebeln, werden in der vorangehenden Beschreibung eine Reihe bekannter Strukturen und Vorrichtungen ausgelassen. Diese Auslassung ist nicht als Einschränkung des Umfangs der beanspruchten Erfindung zu verstehen. Spezifische Details werden dargelegt, um das Verständnis der vorliegenden Erfindung zu erleichtern. Es sollte jedoch gewürdigt werden, dass die vorliegende Erfindung in einer Vielzahl von Möglichkeiten über die hier dargelegten spezifischen Details hinaus praktiziert werden kann.
  • Auch wenn in den hier dargestellten Beispielen die verschiedenen Komponenten des Systems zusammen angeordnet sind, können sich bestimmte Komponenten des Systems an entfernten Stellen eines verteilten Netzes, z. B. in einem LAN und/oder im Internet, oder in einem eigenen System befinden. So können die Komponenten oder Teile davon (z. B. Mikroprozessoren, Speicher, Schnittstellen usw.) des Systems in einem oder mehreren Geräten wie einem Server, Servern, Computer, Rechengerät, Terminal, einer „Cloud“ oder einer anderen verteilten Verarbeitung kombiniert oder an einem bestimmten Knoten eines verteilten Netzes wie einem analogen und/oder digitalen Telekommunikationsnetz, einem paketvermittelten Netz oder einem leitungsvermittelten Netz untergebracht werden. In einer anderen Ausführungsform können die Komponenten physisch oder logisch auf eine Vielzahl von Komponenten verteilt sein (z. B. kann ein Mikroprozessor einen ersten Mikroprozessor auf einer Komponente und einen zweiten Mikroprozessor auf einer anderen Komponente umfassen, wobei jeder einen Teil einer gemeinsamen Aufgabe und/oder einer zugewiesenen Aufgabe ausführt). Aus der vorangegangenen Beschreibung und aus Gründen der Recheneffizienz wird deutlich, dass die Komponenten des Systems an jedem beliebigen Ort innerhalb eines verteilten Netzwerks von Komponenten angeordnet werden können, ohne den Betrieb des Systems zu beeinträchtigen. Beispielsweise können sich die verschiedenen Komponenten in einer Vermittlungsstelle wie einer Telefonanlage und einem Medienserver, einem Gateway, in einem oder mehreren Kommunikationsgeräten, in den Räumlichkeiten eines oder mehrerer Benutzer oder einer Kombination davon befinden. In ähnlicher Weise können ein oder mehrere funktionale Teile des Systems zwischen einem oder mehreren Telekommunikationsgeräten und einem zugehörigen Computergerät verteilt sein.
  • Darüber hinaus kann es sich bei den verschiedenen Verbindungen, die die Elemente miteinander verbinden, um drahtgebundene oder drahtlose Verbindungen oder eine beliebige Kombination davon oder um andere bekannte oder später entwickelte Elemente handeln, die in der Lage sind, Daten an die und von den verbundenen Elementen zu liefern und/oder zu übermitteln. Bei diesen drahtgebundenen oder drahtlosen Verbindungen kann es sich auch um sichere Verbindungen handeln, über die verschlüsselte Informationen übertragen werden können. Als Übertragungsmedien für die Verbindungen können beispielsweise alle geeigneten Träger für elektrische Signale verwendet werden, einschließlich Koaxialkabel, Kupferdraht und Glasfaserkabel, und sie können die Form von akustischen oder Lichtwellen haben, wie sie bei der Datenkommunikation über Funk und Infrarot erzeugt werden.
  • Auch wenn die Flussdiagramme in Bezug auf eine bestimmte Abfolge von Ereignissen erörtert und illustriert wurden, sollte man sich darüber im Klaren sein, dass Änderungen, Ergänzungen und Auslassungen dieser Abfolge auftreten können, ohne den Betrieb der Erfindung wesentlich zu beeinträchtigen.
  • Eine Reihe von Variationen und Modifikationen der Erfindung können verwendet werden. Es wäre möglich, einige Merkmale der Erfindung vorzusehen, ohne andere vorzusehen.
  • In einer weiteren Ausführungsform können die Systeme und Verfahren dieser Erfindung in Verbindung mit einem Spezialcomputer, einem programmierten Mikroprozessor oder Mikrocontroller und peripheren integrierten Schaltungselementen, einem ASIC oder einer anderen integrierten Schaltung, einem Digitalsignal-Mikroprozessor, einer fest verdrahteten elektronischen oder logischen Schaltung wie einer Schaltung mit diskreten Elementen, einem programmierbaren Logikbaustein oder Gate-Array wie PLD, PLA, FPGA, PAL, einem Spezialcomputer, einem vergleichbaren Mittel oder dergleichen implementiert werden. Im Allgemeinen können alle Geräte oder Mittel, die in der Lage sind, die hier dargestellte Methodik zu implementieren, zur Umsetzung der verschiedenen Aspekte dieser Erfindung verwendet werden. Beispielhafte Hardware, die für die vorliegende Erfindung verwendet werden kann, umfasst Computer, Handheld-Geräte, Telefone (z. B. zellulare, internetfähige, digitale, analoge, hybride und andere) und andere im Fachgebiet bekannte Hardware. Einige dieser Geräte umfassen Mikroprozessoren (z. B. einen einzelnen oder mehrere Mikroprozessoren), Speicher, nichtflüchtige Speicher, Eingabegeräte und Ausgabegeräte. Darüber hinaus können alternative Software-Implementierungen, einschließlich, aber nicht beschränkt auf, verteilte Verarbeitung oder komponenten-/objektverteilte Verarbeitung, parallele Verarbeitung oder Verarbeitung durch virtuelle Maschinen, konstruiert werden, um die hier beschriebenen Methoden zu implementieren, wie sie von einer oder mehreren Verarbeitungskomponenten bereitgestellt werden.
  • In einer weiteren Ausführungsform können die offengelegten Methoden leicht in Verbindung mit Software unter Verwendung von objekt- oder objektorientierten Softwareentwicklungsumgebungen implementiert werden, die portablen Quellcode bereitstellen, der auf einer Vielzahl von Computer- oder Workstation-Plattformen verwendet werden kann. Alternativ dazu kann das offengelegte System teilweise oder vollständig in Hardware unter Verwendung von Standard-Logikschaltungen oder VLSI-Design implementiert werden. Ob Software oder Hardware verwendet wird, um die Systeme gemäß der vorliegenden Erfindung zu implementieren, hängt von den Geschwindigkeits- und/oder Effizienzanforderungen des Systems, der jeweiligen Funktion und den jeweiligen Software- oder Hardwaresystemen oder Mikroprozessor- oder Mikrocomputersystemen ab, die verwendet werden.
  • In einer weiteren Ausführungsform können die offengelegten Methoden teilweise in Software implementiert werden, die auf einem Speichermedium gespeichert und auf einem programmierten Mehrzweckcomputer in Zusammenarbeit mit einem Controller und einem Speicher, einem Spezialcomputer, einem Mikroprozessor oder ähnlichem ausgeführt werden kann. In diesen Fällen können die Systeme und Methoden dieser Erfindung als ein in einen Personalcomputer eingebettetes Programm, wie z. B. ein Applet, ein JAVA®- oder CGI-Skript, als eine auf einem Server oder einer Computer-Workstation befindliche Ressource, als eine in ein spezielles Messsystem, eine Systemkomponente oder ähnliches eingebettete Routine implementiert werden. Das System kann auch implementiert werden, indem das System und/oder die Methode physisch in ein Software- und/oder Hardwaresystem integriert wird.
  • Die hierin enthaltenen Ausführungsformen, die Software umfassen, werden von einem oder mehreren Mikroprozessoren ausgeführt oder zur späteren Ausführung gespeichert und als ausführbarer Code ausgeführt. Der ausführbare Code wird so ausgewählt, dass er die Befehle ausführt, aus denen die jeweilige Ausführungsform besteht. Bei den ausgeführten Befehlen handelt es sich um einen begrenzten Satz von Befehlen, die aus dem diskreten Satz nativer Befehle ausgewählt werden, die der Mikroprozessor versteht und die vor der Ausführung in einem für den Mikroprozessor zugänglichen Speicher abgelegt werden. In einer anderen Ausführungsform wird menschenlesbare „Quellcode“-Software vor der Ausführung durch den einen oder die mehreren Mikroprozessoren zunächst in Systemsoftware umgewandelt, die einen plattformspezifischen (z. B. Computer, Mikroprozessor, Datenbank usw.) Satz von Befehlen enthält, die aus dem nativen Befehlssatz der Plattform ausgewählt wurden.
  • Obwohl die vorliegende Erfindung Komponenten und Funktionen beschreibt, die in den Ausführungsformen unter Bezugnahme auf bestimmte Standards und Protokolle implementiert sind, ist die Erfindung nicht auf solche Standards und Protokolle beschränkt. Andere ähnliche, hier nicht erwähnte Standards und Protokolle sind vorhanden und werden als Teil der vorliegenden Erfindung betrachtet. Darüber hinaus werden die hier erwähnten Normen und Protokolle und andere ähnliche, hier nicht erwähnte Normen und Protokolle regelmäßig durch schnellere oder effektivere Äquivalente ersetzt, die im Wesentlichen die gleichen Funktionen haben. Solche Ersatznormen und -protokolle mit denselben Funktionen gelten als Äquivalente im Sinne der vorliegenden Erfindung.
  • Die vorliegende Erfindung umfasst in verschiedenen Ausführungsformen, Konfigurationen und Aspekten Komponenten, Verfahren, Prozesse, Systeme und/oder Vorrichtungen im Wesentlichen wie hierin dargestellt und beschrieben, einschließlich verschiedener Ausführungsformen, Unterkombinationen und Untergruppen davon. Diejenigen, die auf dem Gebiet der Technik bewandert sind, werden verstehen, wie man die vorliegende Erfindung herstellt und verwendet, nachdem sie die vorliegende Offenbarung verstanden haben. Die vorliegende Erfindung umfasst in verschiedenen Ausführungsformen, Konfigurationen und Aspekten die Bereitstellung von Vorrichtungen und Verfahren in Abwesenheit von Elementen, die hierin nicht dargestellt und/oder beschrieben sind, oder in verschiedenen Ausführungsformen, Konfigurationen oder Aspekten hiervon, einschließlich in Abwesenheit solcher Elemente, die in früheren Vorrichtungen oder Verfahren verwendet worden sein können, z. B. zur Verbesserung der Leistung, zur Erzielung von Einfachheit und zur Verringerung der Kosten der Implementierung.
  • Die vorstehende Erörterung der Erfindung dient der Veranschaulichung und Beschreibung. Es ist nicht beabsichtigt, die Erfindung auf die hierin offenbarte(n) Form(en) zu beschränken. In der vorstehenden detaillierten Beschreibung sind beispielsweise verschiedene Merkmale der Erfindung in einer oder mehreren Ausführungsformen, Konfigurationen oder Aspekten zusammengefasst, um die Offenbarung zu vereinfachen. Die Merkmale der Ausführungsformen, Konfigurationen oder Aspekte der Erfindung können in alternativen Ausführungsformen, Konfigurationen oder Aspekten kombiniert werden, die von den oben beschriebenen abweichen. Diese Art der Offenbarung ist nicht so zu verstehen, dass die beanspruchte Erfindung mehr Merkmale erfordert, als in den einzelnen Ansprüchen ausdrücklich angegeben sind. Wie aus den folgenden Ansprüchen hervorgeht, liegen erfinderische Aspekte vielmehr in weniger als allen Merkmalen einer einzigen oben offengelegten Ausführungsform, Konfiguration oder eines Aspekts. Daher werden die folgenden Ansprüche hiermit in diese detaillierte Beschreibung aufgenommen, wobei jeder Anspruch für sich genommen eine separate bevorzugte Ausführungsform der Erfindung darstellt.
  • Obwohl in der Beschreibung der Erfindung eine oder mehrere Ausführungsformen, Konfigurationen oder Aspekte sowie bestimmte Variationen und Modifikationen beschrieben sind, fallen auch andere Variationen, Kombinationen und Modifikationen in den Anwendungsbereich der Erfindung, z. B. solche, die nach dem Verständnis der vorliegenden Offenbarung dem Fachmann bekannt sind. Es ist beabsichtigt, Rechte zu erlangen, die alternative Ausführungsformen, Konfigurationen oder Aspekte im zulässigen Umfang einschließen, einschließlich alternativer, austauschbarer und/oder äquivalenter Strukturen, Funktionen, Bereiche oder Schritte zu den beanspruchten, unabhängig davon, ob solche alternativen, austauschbaren und/oder äquivalenten Strukturen, Funktionen, Bereiche oder Schritte hier offenbart sind oder nicht, und ohne die Absicht, irgendeinen patentierbaren Gegenstand öffentlich zu widmen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 8942671 [0004]

Claims (10)

  1. Verfahren zur Sicherung einer laufenden ungesicherten Forderung, das Folgendes umfasst: Aufbau eines Anrufs über ein Netzwerk zwischen einem ersten Endpunkt und einem zweiten Endpunkt, wobei der Anruf einen Signalisierungskanal und einen ersten Datenkanal umfasst, wobei der Signalisierungspfad mindestens einen nicht durch eine Ende-zu-Ende-Verschlüsselung gesicherten Teil umfasst; Empfang eines Signals am ersten Endpunkt zur Sicherung des Anrufs; als Reaktion auf das Signal Senden einer ersten SIP-Nachricht (Session Initiation Protocol) an den zweiten Endpunkt; als Antwort auf die erste SIP-Nachricht eine zweite SIP-Nachricht zu empfangen, die die erste Nachricht akzeptiert; und als Antwort auf die zweite SIP-Nachricht, Übergang des Anrufs vom ersten Datenkanal zum zweiten Datenkanal, wobei der zweite Datenkanal eine Ende-zu-Ende-Verschlüsselung zwischen dem ersten Endpunkt und dem zweiten Endpunkt verwendet.
  2. System zur Sicherung eines laufenden ungesicherten Anrufs, bestehend aus: einen ersten Endpunkt mit einem Prozessor und einer ersten Netzschnittstelle zu einem Netz; einen zweiten Endpunkt, der einen Prozessor und eine zweite Netzschnittstelle zu dem Netz umfasst, und wobei der erste und der zweite Endpunkt an einem Anruf über das Netz beteiligt sind und wobei der Anruf anfänglich ohne Ende-zu-Ende-Verschlüsselung aufgebaut wird; wobei entweder der erste Endpunkt oder der zweite Endpunkt ein Signal zur Sicherung des Anrufs empfängt; wobei als Reaktion auf das Signal eine erste Session Initiation Protocol (SIP)-Nachricht an den zweiten Endpunkt gesendet wird; als Antwort auf die erste SIP-Nachricht eine zweite SIP-Nachricht zu empfangen, die die erste Nachricht akzeptiert; und als Antwort auf die zweite SIP-Nachricht, Übergang des Anrufs vom ersten Datenkanal zum zweiten Datenkanal, wobei der zweite Datenkanal eine Ende-zu-Ende-Verschlüsselung zwischen dem ersten Endpunkt und dem zweiten Endpunkt verwendet.
  3. System nach Anspruch 2, das ferner umfasst: einen Sniffer mit einer dritten Netzwerkschnittstelle zum Netzwerk; und wobei der Sniffer bei der Erkennung des Vorhandenseins eines gefälschten Endpunkts bei dem Anruf das Signal an den ersten oder zweiten Endpunkt liefert.
  4. System nach Anspruch 2, wobei die erste SIP-Nachricht von dem ersten Endpunkt an den zweiten SIP-Endpunkt gesendet wird, indem die erste SIP-Nachricht an einen Server gesendet wird, der sich in dem Signalisierungspfad befindet, der wiederum die erste SIP-Nachricht an den zweiten SIP-Endpunkt liefert.
  5. System nach Anspruch 2, wobei der erste Datenkanal aus einem Echtzeit-Transportprotokoll (RTP) besteht.
  6. System nach Anspruch 2, wobei der zweite Datenkanal vollständig aus einem Secure Real-Time Transport Protocol (SRTP) besteht.
  7. System nach Anspruch 2, wobei der Signalisierungskanal, der zum Aufbau des ersten Datenkanals verwendet wird, ein Transmission Control Protocol (TCP) umfasst.
  8. System nach Anspruch 2, wobei der nach der zweiten SIP-Nachricht verwendete Signalisierungskanal vollständig aus einer Transport Layer Security (TLS)-Verbindung besteht.
  9. System nach Anspruch 2, das ferner eine Benutzereingabekomponente an dem ersten Endpunkt und/oder dem zweiten Endpunkt umfasst, und wobei das Signal als Reaktion auf eine Benutzerauswahl bereitgestellt wird, die durch die Benutzereingabe empfangen wird.
  10. Kommunikationsendpunkt, bestehend aus: einen Prozessor mit Anweisungen, die in einem nicht-übertragbaren Speicher gespeichert sind; eine Netzwerkschnittstelle zu einem Netzwerk, um darüber zu kommunizieren; und wobei der Prozessor: ein Signal zur Sicherung eines Anrufs empfängt, der den Austausch von Datenpaketen mit einem zweiten Endpunkt umfasst und bei dem der Anruf keine Ende-zu-Ende-Verschlüsselung aufweist; sendet als Reaktion auf das Signal eine erste Session Initiation Protocol (SIP)-Nachricht an den zweiten Endpunkt; als Antwort auf die erste SIP-Nachricht eine zweite SIP-Nachricht empfängt, die die erste Nachricht akzeptiert; und als Reaktion auf die zweite SIP-Nachricht den Anruf von dem ersten Datenkanal auf den zweiten Datenkanal umleitet, wobei der zweite Datenkanal eine Ende-zu-Ende-Verschlüsselung zwischen dem ersten Endpunkt und dem zweiten Endpunkt verwendet.
DE102023103966.0A 2022-03-08 2023-02-17 Echtzeit-umschaltung von ungesichertem zu gesichertem signalingkanal Pending DE102023103966A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/689,714 2022-03-08
US17/689,714 US20230291828A1 (en) 2022-03-08 2022-03-08 Real time switching from unsecured to secured signaling channel

Publications (1)

Publication Number Publication Date
DE102023103966A1 true DE102023103966A1 (de) 2023-09-14

Family

ID=85980105

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023103966.0A Pending DE102023103966A1 (de) 2022-03-08 2023-02-17 Echtzeit-umschaltung von ungesichertem zu gesichertem signalingkanal

Country Status (4)

Country Link
US (1) US20230291828A1 (de)
BR (1) BR102023004282A2 (de)
DE (1) DE102023103966A1 (de)
GB (1) GB2618648A (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8942671B2 (en) 2008-12-31 2015-01-27 Verizon Corporate Resources Group Llc Methods, systems, and apparatus for handling secure-voice-communication sessions

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101547269A (zh) * 2009-05-14 2009-09-30 杭州华三通信技术有限公司 呼叫控制方法和语音终端
CN104753889A (zh) * 2013-12-31 2015-07-01 北京大唐高鸿软件技术有限公司 利用sip协议实现加密切换的方法
GB2569772B (en) * 2017-10-11 2023-01-18 Pci Pal U K Ltd Processing sensitive information over VOIP

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8942671B2 (en) 2008-12-31 2015-01-27 Verizon Corporate Resources Group Llc Methods, systems, and apparatus for handling secure-voice-communication sessions

Also Published As

Publication number Publication date
US20230291828A1 (en) 2023-09-14
BR102023004282A2 (pt) 2023-11-07
GB2618648A (en) 2023-11-15
GB202303350D0 (en) 2023-04-19

Similar Documents

Publication Publication Date Title
DE102009043276B4 (de) Multimedia-Kommunikationssitzungskoordination über heterogene Transportnetze hinweg
US10516532B2 (en) Session key repository
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE60133241T2 (de) Mehranwendung-sicherheitsrelais
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE60200451T2 (de) Herstellung einer gesicherten Verbindung mit einem privaten Unternehmensnetz über ein öffentliches Netz
EP3518492B1 (de) Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE202016008885U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
DE102015104863A1 (de) Client-Server-Kommunikationsauswertungs- und -diagnosetool
CN105007272A (zh) 一种具有安全隔离的信息交换系统
DE112018003798T5 (de) Erzeugen und analysieren von netzprofildaten
DE112012005564T5 (de) Sichere Peer-Ermittlung und Authentifizierung unter Verwendung eines gemeinsamen Geheimnisses
DE112022003743T5 (de) Sichere frame-verschlüsselung als dienst
DE102017210721A1 (de) Verfahren und Kommunikationssystem zum effizienten Aufbau einer sicheren Datenverbindung zwischen einem Client-Rechner und einem Server-Rechner
CN103152328B (zh) 一种基于无线网络的会议信息控制系统及其控制方法
DE102017212474A1 (de) Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
DE102023103966A1 (de) Echtzeit-umschaltung von ungesichertem zu gesichertem signalingkanal
DE102022205863A1 (de) Cloud-automatisierungs-erfüllungsbefähigung
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
DE102018208059B4 (de) Computer-Telefonie-Integration-(CTI)-Steuerung mehrerer Geräte mit einer einzigen eingetragenen Adresse
EP3318033A1 (de) Verfahren zum freischalten externer computersysteme in einer computernetz-infrastruktur, verteiltes rechnernetz mit einer solchen computernetz-infrastruktur sowie computerprogramm-produkt
DE102020118411A1 (de) Verfahren und systeme zum übertragen eines bildes in sätzen
DE102018208768A1 (de) Hinzufügung einer kommunikationssitzung über einen host im denynew-service-modus
DE102018117611B3 (de) Verschlüsselungssystem für Telefongespräche

Legal Events

Date Code Title Description
R012 Request for examination validly filed