ES2644338T3 - Procedimiento de segurización de un canal de transmisión de datos de voz y dispositivo de segurización asociado - Google Patents
Procedimiento de segurización de un canal de transmisión de datos de voz y dispositivo de segurización asociado Download PDFInfo
- Publication number
- ES2644338T3 ES2644338T3 ES13774093.2T ES13774093T ES2644338T3 ES 2644338 T3 ES2644338 T3 ES 2644338T3 ES 13774093 T ES13774093 T ES 13774093T ES 2644338 T3 ES2644338 T3 ES 2644338T3
- Authority
- ES
- Spain
- Prior art keywords
- data
- ipsec
- protocol
- network
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
Procedimiento de segurizacion de un canal de transmision de datos de voz y dispositivo de segurizacion asociado.
5 [0001] La presente invencion concierne a un procedimiento de segurizacion de un canal de transmision de
datos entre al menos una red de partida y una red de destino a traves de una red de transito de un nivel de seguridad mas debil que las redes de partida y destino,
[0002] Las redes de partida y de destino tienen como condicion previa una conexion protegida segun un 10 proceso de tratamiento IPsec que comprende una polftica de seguridad IPsec y que pone en marcha al menos un
protocolo de IPsec,
[0003] Los datos comprenden los primeros datos y los segundos datos. Los primeros datos comprenden datos de voz y estan protegidos por un protocolo de segurizacion diferente a los protocolos del proceso de
15 tratamiento IPsec,
[0004] El procedimiento que comprende las siguientes etapas, cuando los datos son transmitidos de la red de partida a la red de transito:
- Si los datos son los segundos datos, desvfo de los segundos datos hacia una etapa de encriptacion
20 segun al menos un protocolo de IPsec del proceso de tratamiento IPsec para obtener los segundos datos
encriptados; y
- Transmision de los segundos datos encriptados hacia la red de transito
[0005] La invencion se aplica, en particular, a la transmision de datos de voz, en medios restringidos como, 25 por ejemplo, las redes de radio a baja velocidad, tfpicamente a algunos kilobits por segundo, o las redes filiares
donde los datos transmitidos estan modulados como, por ejemplo, las redes RTC (Red Telefonica Conmutada).
[0006] En adelante, por “red de partida” y “red de destino” entendemos las redes informaticas que tienen niveles de seguridad elevados, como las redes locales, por ejemplo, las redes informaticas de tipo LAN (del ingles,
30 Local Area Network, o Red de Area Local)
[0007] En lo sucesivo, por “red de transito” entenderemos una red que tiene un nivel de seguridad mas debil que las redes de partida y de destino, como por ejemplo una red publica de un operador de telecomunicaciones.
35 [0008] Para asegurar un canal de comunicacion entre dos redes seguras, a traves de una red de transito de
nivel de seguridad mas debil, se sabe que, si se coloca un dispositivo de segurizacion en los alrededores de cada red segura, por ejemplo, un cifrador IP (del ingles, Internet Protocol), con objeto de cifrar y descifrar, respectivamente, los datos emitidos por estas redes. De esta forma, todos los datos emitidos por estas redes son transmitidos a traves de la red de transito en forma cifrada, y ningun dato final de estas redes seguras transitan de 40 forma clara, es decir, bajo una forma no cifrada en la red de transito.
[0009] Tambien se sabe igualmente como establecer una conexion segura entre dos redes seguras conforme a un proceso de tratamiento IPsec que comprende una polftica de seguridad IPsec (del ingles, Internet Protocol SECurity), poniendo en marcha al menos un protocolo IPsec.
45
[0010] Este proceso de tratamiento IPsec comprende un conjunto de protocolos y esta definidos en la norma IETF RFC 4301. El conjunto de protocolos IPsec esta destinado a asegurar que las comunicaciones esten protegidas en las redes IP. Mas concretamente, IPsec es un conjunto de protocolos que utilizan algoritmos que permiten el transporte de datos seguros en una red IP mediante la utilizacion de servicios de seguridad
50 criptograficos. IPsec es tfpicamente puesto en marcha por un dispositivo se segurizacion emplazado en los alrededores de cada red segura.
[0011] De ahora en adelante, entenderemos por “protocolo IPsec” un protocolo que forma parte de conjunto de protocolos IPsec. Los protocolos IPsec operan en la capa de red del modelo OSI (del ingles, Open System
55 Interconnection) es decir, en la capa 3.
[0012] En el protocolo IPsec, una base de datos, normalmente llamada SPD (del ingles Security Policy Database) reagrupa el conjunto de comportamientos que el dispositivo de segurizacion adopta en relacion con las comunicaciones externas tales como la transmision o no de datos entre redes seguras. Este conjunto de comportamientos es conocido como “polftica de seguridad de IPsec”.
5
[0013] Esta base de datos sirve para decidir, cuando se establece una comunicacion, si esta ultima debe o no utilizar un protocolo IPsec y de que forma debe ser segurizada esta ultima.
[0014] En la base de datos SPD, las comunicaciones que deben utilizar el conjunto de protocolos IPsec son 10 definidas por las informaciones disponibles a partir de la cabecera IP de los paquetes de la comunicacion.
[0015] Las funcionalidades IPsec, con frecuencia llamadas asociaciones de seguridad, son despues
asociadas a estas comunicaciones, siguiendo el tipo de segurizacion que se desee otorgar a la conexion. Por ejemplo, si los datos con confidenciales, la base de datos SPD especifica que hace falta utilizar la asociacion de
15 seguridad ESP (del ingles Encapsulating Security Payloads) de forma que los datos transmitidos sean cifrados. Si los la integridad de los datos debe ser protegida, se utiliza la asociacion de seguridad AH (del ingles, Authentication Headers).
[0016] El conjunto de asociaciones de seguridad IPsec, definidas en la base de datos SPD, con contenidas 20 en una base de datos comunmente llamada SAD (del ingles, Security Association Database).
[0017] En la base de datos SAD, se identifica una asociacion de seguridad de manera unica por un fndice de parametros de seguridad, comunmente llamado SPI (del ingles, Secutiry Parameter Index)
25 [0018] Por otra parte, con el fin de mejorar el rendimiento de las comunicaciones, es conocido por todos la
utilizacion de protocolos de segurizacion de comunicaciones diferentes siguiendo el tipo de datos intercambiados. Tfpicamente, para la transmision de datos de voz, se utiliza otro tipo de protocolos, como el protocolo SCIP (del ingles, Secure Communications Interoperability Porotocol), o el protocolo SRTP (del ingles, Secure Real-time Transport Protocol). Estos protocolos son adaptados para segurizar la transmision de datos de voz, y permiten una 30 comunicacion fiable y segura, en particular en las redes limitadas. La segurizacion de la transmision de datos de voz, por ejemplo, por SCIP, consiste, por ejemplo, en el cifrado de los datos de voz destinados a transitar entre las redes seguras. Este tipo de protocolos opera tfpicamente en la capa de aplicacion del modelo OSI, es decir, la capa7.
[0019] Cuando los datos de voz previamente segurizados por un protocolo de segurizacion como el SCIP son
35 emitidos por una red de partida y son transmitidos hacia una red de transito a traves de un dispositivo de segurizacion IPsec situado en la interfaz entre la red de partida y la red de transito, estas ultimas son enfrentadas con la polftica de seguridad IPsec contenida en el dispositivo de segurizacion. De manera tradicional, estos datos de voz segurizados son reconocidos por la polftica de seguridad IPsec como datos que no tienen que ser protegidos por un protocolo IPsec con el fin de evitar sobrecargar las tramas de datos. En consecuencia, estos datos de voz son 40 transmitidos a nivel de la capa de red en la cual opera IPsec hacia la red de destino. A la llegada a la red de destino, la polftica de seguridad IPsec conduce a transmitir sin tratamiento los datos de voz hacia la red de destino (polftica de seguridad IPsec “BYPASS”) o a suprimir estos datos de la pila IPsec y por tanto a no transmitirlos a la red de destino (polftica de seguridad IPsec “DISCARD”).
45 [0020] En la practica, los datos de voz son transmitidos hacia la red de destino, lo que constituye un fallo de
seguridad dado que el canal no esta controlado, antes de atravesar las capas superiores de la capa de red.
[0021] Existe por tanto una necesidad de un procedimiento de segurizacion de un canal de transmision de datos de voz segurizados entre dos redes seguras a traves de una red de transito de un nivel de seguridad mas debil
50 que las redes seguras, teniendo las redes seguras como condicion previa establecida una conexion segura segun un proceso de tratamiento IPsec.
[0022] A tal fin, esta definido en las reivindicaciones, 1,5,9, 10 y 11. Las formas de realizacion particulares estan definidas en las reivindicaciones dependientes. La invencion tiene como objeto un procedimiento del tipo
55 precitado anteriormente, caracterizado en que la polftica de seguridad IPsec prevea, en el proceso de tratamiento
IPsec, un protocolo de tratamiento IPsec propio a tratar los primeros datos y en que comprende ademas las siguientes etapas:
- Si los datos no son los primeros datos, desvfo de los primeros datos a una etapa de codificacion segun el protocolo de tratamiento IPsec del proceso de tratamiento IPsec para obtener los primeros datos
5 codificados; siendo dicho protocolo de tratamiento IPsec diferente del protocolo de tratamiento IPsec o de
cada uno de ellos, segun el cual los segundos datos son encriptados,
- Transmision de los primeros datos codificados hacia la red de transito.
[0023] El procedimiento de segurizacion segun la invencion comprende ademas las caractensticas 10 siguientes, consideradas separadamente o en combinacion:
- Comprende, cuando se transmite un paquete de primeros datos de la red de partida a la red de transito y previamente a la etapa de desvfo del paquete de primeros datos, una etapa de adicion de una cabecera de dicho paquete, correspondiendo dicho cabecera a un protocolo de segurizacion de los primeros datos;
15 - Todos los primeros datos pasan por la etapa de codificacion
- La etapa de codificacion comprende una etapa de adicion de una cabecera a los primeros datos para obtener los primeros datos codificados.
[0024] La invencion tiene igualmente por objeto un procedimiento de segurizacion del canal de transmision de 20 datos entre al menos una red de partida y una red de destino a traves de una red de transito de un nivel de
seguridad mas debil que las redes de partida y de destino.
Las redes de partida y de destino que tienen como condicion previa una conexion segura segun un proceso de tratamiento IPsec que comprende una polftica de seguridad IPsec que pone en marcha al menos un protocolo IPsec, los datos que comprenden los primeros datos y los segundo datos, los primeros datos comprenden los datos de voz 25 y estan segurizados por un protocolo de segurizacion diferente a los protocolos del proceso de tratamiento IPsec,
El procedimiento que comprende las siguientes etapas, cuando los datos son transmitidos a la red de transito hacia la red de destino:
- Si los datos son los segundos datos encriptados, el desvfo de los segundos datos encriptados hacia una etapa de descifrado segun al menos un protocolo IPsec del proceso de tratamiento IPsec para obtener
30 los segundos datos descifrados;
- Transmision de los segundos datos descifrados hacia la red de destino;
- El procedimiento se caracteriza en que la polftica de seguridad IPsec preve, en el proceso del tratamiento IPsec, un protocolo de tratamiento IPsec propio a tratar los primeros datos codificados, y en que
35 comprende ademas las siguientes etapas:
- Si los datos son los primeros datos codificados, el desvfo de los primeros datos codificados hacia una etapa de decodificacion segun el protocolo de tratamiento IPsec del proceso de tratamiento IPsec para obtener los primeros datos decodificados; dicho protocolo de tratamiento IPsec siendo diferente del protocolo IPsec segun el cual los segundos datos son descifrados;
40 - Transmision de los primeros datos decodificados hacia la red de destino
[0025] El procedimiento de segurizacion segun la invencion comprende ademas las caractensticas siguientes, consideradas por separado o en conjunto:
- Todos los primeros datos codificados pasan por la etapa de decodificacion;
45 - La etapa de decodificacion para obtener los primeros datos decodificados comprende una etapa de
supresion de una cabecera de los primeros datos codificados.
[0026] Asimismo, la invencion tiene como objeto un dispositivo de segurizacion de un canal de transmision de datos entre al menos una red de partida y una red de destino a traves de una red de transito con un nivel de
50 seguridad mas debil que las redes de partida y de destino,
Las redes de partida y destino tienen como condicion previa una conexion segura segun un proceso de tratamiento IPsec que comprende una polftica de seguridad IPsec y que pone en marcha al menos un protocolo IPsec, los datos que comprenden los primeros datos y los segundos datos, los datos primeros datos comprenden los datos de voz y estan segurizados por un protocolo de segurizacion diferente a los protocolos del proceso de tratamiento IPsec,
55 El dispositivo que comprende, cuando los datos son transmitidos de la red de partida a la red de transito:
- - si los datos son los segundos datos, los primeros medios de desvfo de los segundos datos hacia los medios de encriptacion segun al menos un protocolo IPsec del proceso de tratamiento IPsec para obtener los segundos datos encriptados; y
- - medios de transmision de los segundos datos encriptados hacia la red de transito;
5 - El dispositivo estando caracterizado en que la polftica de seguridad IPsec preve, en el proceso de
tratamiento IPsec, un protocolo de tratamiento IPsec propio a tratar los primeros datos y en que comprende, ademas:
- si los datos son los primeros datos, los primeros medios de desvfo de los primeros datos hacia los medios de codificacion segun el protocolo de tratamiento IPsec del proceso de tratamiento IPsec para
10 obtener los primeros datos codificados; dicho protocolo de tratamiento IPsec siendo diferente del protocolo
IPsec segun el cual los segundos datos estan encriptados,
- Los medios de transmision de los primeros datos hacia la red de transito.
[0027] El dispositivo de segurizacion segun la invencion comporta, igualmente, las caracterfsticas siguientes,
15 tomadas por separado o en conjunto:
- Los medios de codificacion comprenden medios de adicion de una cabecera a los primeros datos;
- Los medios de encriptacion comprenden medios de proteccion de la integridad de los segundos datos
y de los medios de cifrado de los segundos datos.
20 [0028] La invencion tiene igualmente como objeto un dispositivo de segurizacion de un canal de transmision
de datos entre al menos una red de partida y una red de destino a traves de una red de transito de un nivel de seguridad mas debil que las redes de partida y de destino,
Las redes de partida y de destino teniendo como condicion previa una conexion segura segun un proceso de tratamiento IPsec que comprende una polftica de seguridad IPsec y que pone en marcha al menos un protocolo 25 IPsec, siendo los primeros datos de voz y estando segurizados por un protocolo de segurizacion diferente de los protocolos del proceso de tratamiento IPsec,
El dispositivo que comprende, cuando los datos son transmitidos de la red de transito hacia la red de destino:
- Si los datos son los segundos datos cifrados, los segundos medios de desvfo de los segundos datos encriptados hacia los medios de desciframiento segun al menos un protocolo IPsec del proceso de
30 tratamiento IPsec para obtener los segundos datos descifrados.
- Los medios de transmision de los segundos datos descifrados hacia la red de destino
- El dispositivo estando caracterizado en que la polftica de seguridad de IPsec preve, en el proceso de tratamiento IPsec, un protocolo de tratamiento IPsec propio a tratar los primeros datos codificados, y en que comprende, ademas:
35 - Si los datos son los primeros datos codificados, los segundos medios de desvfo de los primeros datos
codificados hacia los medios de descodificacion segun el protocolo de tratamiento IPsec del proceso de tratamiento IPsec para obtener los primeros datos descodificados, dicho protocolo de tratamiento IPsec siendo diferente del protocolo IPsec segun el cual los segundos datos son descifrados;
- Los medios de transmision de los primeros datos descodificados hacia la red de destino.
40
[0029] El dispositivo de segurizacion segun la invencion comprende igualmente las caracterfsticas siguientes, tomadas por separado o en conjunto:
- Los medios de decodificacion comprenden medios de supresion de una cabecera de los primeros datos codificados;
45 - Los medios de descodificacion comprenden los medios de control de la integridad de los segundos
datos cifrados y de los medios de desciframiento de los segundos datos cifrados.
[0030] La invencion tiene igualmente por objeto un programa informatico caracterizado en que comprende las instrucciones propias a poner en marcha las etapas del procedimiento como se ha descrito arriba.
50
[0031] La invencion comporta un soporte de datos sobre los cuales esta guardado el programa informatico como se ha descrito arriba.
[0032] La invencion comporta igualmente una trama de datos propia a transitar en un canal de transmision de datos entre al menos una red de partida y una red de destino a traves de una red de transito de un nivel de seguridad mas debil que las redes de partida y destino,
Las redes de partida y de destino teniendo como condicion previa establecida una conexion segura segun un 5 proceso de tratamiento IPsec que comprende una polftica de seguridad IPsec y pone en marcha al menos un protocolo IPsec, los datos que comprenden los primeros datos y los segundos datos, los primeros datos que comprenden los datos de voz y que estan segurizados por un protocolo de segurizacion diferente del protocolo del proceso de tratamiento IPsec, dicha trama que comprende sucesivamente:
10 - Una cabecera IP que comprende las direcciones de origen y de destino de la trama;
- Una cabecera IPsec que corresponde a un protocolo IPsec del proceso de tratamiento IPsec;
- Una cabecera indicando al menos un puerto de destino de la trama, y
- Los datos.
- Dicha trama estando caracterizada en que la polftica de seguridad IPsec preve, en el proceso de
15 tratamiento IPsec, un protocolo de tratamiento IPsec propio a tratar los primeros datos y en que la cabecera
IPsec corresponde a dicho protocolo de tratamiento IPsec;
En que los datos de la trama son los primeros datos; y
En que la trama comprende ademas una cabecera correspondiente al protocolo de segurizacion de los primeros datos, situado entre el cabecera que indica cada puerto de destino y los primeros datos.
20
[0033] La trama de datos segun la invencion comporta igualmente la caracterfstica segun la cual la cabecera IPsec comporta:
- Un identificador del protocolo de tratamiento IPsec;
- Una identificacion correspondiente al puerto o a cada puerto de destino; y
25 - La longitud total de la trama.
[0034] La invencion sera ventajosamente comprendida en relacion con los ejemplos de realizacion de la invencion que seran ahora descritos haciendo referencia a las figuras anexadas entre las cuales:
- La figura 1 es un esquema que ilustra la arquitectura global de las redes adaptadas a la puesta en
30 marcha del procedimiento segun la invencion;
- La figura 2 es un esquema de un dispositivo de segurizacion segun la invencion, situada en un corte entre una red de partida y una red de transito o entre una red de transito y una red de destino y adaptado para poner en marcha las etapas del procedimiento segun la invencion;
- La figura 3 es un sinoptico que ilustra las etapas del procedimiento segun la invencion, cuando los
35 datos son transmitidos de la red de partida a la red de transito;
- La figura 4 es un sinoptico que ilustra las etapas del procedimiento segun la invencion, cuando los datos son transmitidos de la red de transito hacia la red de destino; y
- La figura 5 es una representacion simplificada de los formatos de una trama de un paquete de datos durante las etapas del procedimiento segun la invencion, cuando los datos son transmitidos de una red de
40 partida hacia una red de transito.
[0035] Se ha representado sobre la figura 1 la arquitectura global de las redes adaptadas a la puesta en marcha del procedimiento segun una forma de realizacion de la invencion.
45 [0036] Dos redes de telecomunicaciones seguras N1 y N3, llamadas tras la red de partida N1 y la red de
destino N3, son propias a comunicar a traves de una red de transito N2, de nivel de seguridad mas debil que las redes seguras N1 y N3. Se establece una conexion segura entre la red N1 y la red N3, segun un proceso de tratamiento IPsec. El proceso de tratamiento IPsec comprende una polftica de seguridad IPsec y pone en marcha al menos un protocolo IPsec.
50
[0037] Las redes seguras N1 y N3 son por ejemplo redes locales tales como las redes internas de las
empresas, y la red de transito N2, una red publica como una red publica de un operador de telecomunicaciones o como internet.
[0038] La red N1 de partida comprende al menos un terminal emisor 2 y un dispositivo de segurizacion 4, conectado por una union 6 con cableado o sin cableado al terminal emisor 2.
[0039] El terminal emisor 2, por ejemplo, un telefono movil, esta destinado a intercambiar datos, 5 principalmente datos de voz, con la red N2 de transito y la red N3 de destino por el intermediario del dispositivo de
segurizacion 4.
[0040] El dispositivo de segurizacion 4 esta en corte entre la red N1 de partida y la red N2 de transito, de forma que todos los datos intercambiados entre el terminal emisor 2 y la red N2 de transito pasan obligatoriamente
10 por el dispositivo de segurizacion 4.
[0041] El dispositivo de segurizacion 4 esta destinado a cifrar los datos emitidos por el terminal emisor 2 y a transmitir estos datos, una vez cifrados, hacia la red N3 de destino a traves de la red N2 de transito.
15 [0042] Ademas, el dispositivo de segurizacion 4 esta destinado a recibir los datos cifrados emitidos por la red
N3 de destino a traves de la red N2 de transito hacia el terminal emisor 2 y a transmitir esos datos al terminal emisor 2 despues de un desciframiento de esos datos. Mas concretamente, el dispositivo de segurizacion esta destinado a descifrar los datos cifrados emitidos por la red N3 de destino y a transmitir los datos descifrador al terminal emisor 2.
20 [0043] Este dispositivo de segurizacion 4 sera descrito en mas detalle en referencia a la figura 2.
[0044] La red N3 de destino comprende al menos un terminal receptor 8 y un dispositivo de segurizacion 10,
conectado por una union 12 de cableado o no al terminal recetor 8.
25 [0045] El terminal receptor 8, por ejemplo, un telefono movil, esta destinado a intercambiar los datos con la
red N2 de transito y la red N3 de destino por el intermediario del dispositivo de segurizacion 10.
[0046] El dispositivo de segurizacion 10 esta dispuesto en corte entre la red N2 de transito y la red N3 de destino, de forma que todos los datos intercambiados entre el terminal emisor 2 y la red N2 de transito pasan
30 obligatoriamente por el dispositivo de segurizacion 10. La estructura y el funcionamiento del dispositivo 10 son identicas a aquellos del dispositivo de segurizacion 4 de la red N1 de partida.
[0047] La figura 2 ilustra, de manera simplificada, la estructura de segurizacion 4 que pone en marcha el procedimiento segun la invencion.
35
[0048] El dispositivo 4 esta instalado en corte entre la red de partida N1 y la red de transito N2. Comporta, de la red N1 hacia la red N2, un primer modulo de desvfo 14 y un primer modulo de tratamiento IPsec 16 que comprende un modulo de codificacion 18 y un modulo de encriptacion 20.
40 [0049] Simetricamente, la red N2 hacia la red N1, el dispositivo 4 comporta un segundo modulo de
tratamiento IPsec 24 que comprende un modulo de decodificacion 26 y un modulo de encriptacion 20.
[0050] El modulo de encriptacion 20 comprende un modulo de proteccion en integridad 30 y un modulo de cifrado 32. El modulo de proteccion en integridad 30 pone en marcha el protocolo AH y el modulo de cifrado 32 pone
45 en marcha el protocolo ESP.
[0051] El modulo de descifrado 28 comprende un modulo de control de integridad 34 y un modulo de descifrado 36. El modulo de control de integridad pone en marcha el protocolo AH y el modulo de descifrado 36 pone en marcha el protocolo ESP.
50
[0052] El dispositivo comporta entre otros un modelo de supresion de datos 38.
[0053] El dispositivo de segurizacion 4 comporta una primera entrada 4a unida a una red de partida N1, una segunda entrada 4b unida a la red de transito N2, una primera salida 4c y una segunda salida 4d unidas a la red de
55 transito N2, una tercera salida 4e y una cuarta salida 4f unidas a una red de partida N1.
[0054] El primer modulo de desvfo 14 comprende una entrada 14a y tres salidas 14b, 14c, 14d, la entrada 14a siendo conectada a la primera entrada 4a del dispositivo 4. La segunda salida 14c del primer modulo de desvfo 14 esta directamente conectada a la segunda salida 4d del dispositivo 4. La tercera salida 14d del primer modulo de
5 desvfo 14 esta conectada al modulo de supresion de datos 38.
[0055] El segundo modulo de desvfo 22 comprende una entrada 22a y tres salidas 22b, 22c y 22d, siendo la entrada 22a conectada a la segunda entrada 4b del dispositivo 4. La segunda salida 22c del segundo modulo de desvfo 22 esta directamente conectada a la cuarta salida 4f del dispositivo 4. La tercera salida 22d del segundo
10 modulo de desvfo 22 esta conectada al modulo de supresion de datos 38.
[0056] El primer modulo de tratamiento IPsec 16 comprende una entrada 16a conectada a la primera salida 14b del primer modulo de desvfo 14, y una salida 16b conectada a la primera salida 4c del dispositivo 4.
15 [0057] EL segundo modulo de tratamiento 24 comprende una entrada 24a conectada a la primera salida 22b
del segundo modulo de desvfo 22, y una salida 24b conectada a la tercera salida 4e del dispositivo 4.
[0058] El modulo de supresion de datos 38 comprende dos entradas 38a y 38b, una primera entrada 38a conectada a la tercera salida 14d del primer modulo de desvfo 14, y una segunda entrada 38b conectada a la tercera
20 salida 22d del segundo modulo de desvfo 22.
[0059] El primer modulo de desvfo 14 esta destinado a recibir los datos emitidos por la red de partida N1 hacia la red de transito N2 en direccion de la red de destino N3, y a analizar estos datos para determinar si deben ser transmitidos o no con destino de la red de transito N2. Por ejemplo, el primer modulo de desvfo 14 esta
25 destinado a analizar los metadatos asociados a estos datos por el protocolo de transporte utilizado, y a determinar, a partir de estos metadatos, la naturaleza de los datos emitidos por la red de partida N1. Estos metadatos son por ejemplo los metadatos del protocolo IPsec relativos a la capa de red del modelo OSI, que comprende las direcciones IP, los numeros de protocolo de los terminales emisor 2 y receptor 8 y los puertos de comunicacion empleados.
30 [0060] El primer modulo de desvfo 14 comprende la base de datos SPD y los medios para la puesta en
marcha de la polftica de seguridad IPsec. El primer modulo de desvfo 14 determina que datos deben ser transmitidos hacia la red de transito N2 en funcion de la polftica de seguridad predefinida y contenida en la base de datos SPD.
[0061] El primer modulo de desvfo 14 esta destinado a desviar los datos hacia el modulo de supresion 38 de 35 datos si estos no deben alcanzar la red de transito N2.
[0062] Por otra parte, el primer modulo de desvfo 14 esta destinado a enviar los datos directamente hacia la segunda salida 4d del dispositivo 4, si estos deben ser transmitidos hacia la red de transito N2 sin tratamiento IPsec.
40 [0063] Finalmente, el primer modulo de desvfo 14 esta, por otra parte, destinado a desviar los datos hacia el
primer modulo de tratamiento IPsec 16 si estos deben ser tratados antes de ser transmitidos hacia la red de transito N2.
[0064] El modulo de codificacion 18 esta destinado a codificar los primeros datos que comprenden los datos 45 de voz. Mas concretamente, el modulo de codificacion esta destinado a aplicar una cabecera a los datos de voz.
Esta cabecera sera denominado de ahora en adelante “SVHP” (del ingles, “Secure Voice Header Protocol”).
[0065] El modulo de supresion 38 de datos esta destinado a suprimir los datos si ellos no deben ser transmitidos hacia la red de transito N2.
50
[0066] El segundo modulo de desvfo 22 esta destinado a recibir los datos emitidos, por ejemplo, por la red de destino N3 hacia la red de transito N2 en direccion de la red de partida N1. Estos datos son, por ejemplo, datos cifrados emitidos por la red de destino N3, a traves del dispositivo de segurizacion 4. El segundo modulo de desvfo 22 esta destinado asf a desviar los datos y a analizar estos datos para determinar si deben ser transmitidos o no
55 hacia la red N1.
[0067] El segundo modulo de desvfo 22 esta destinado asf a desviar los datos hacia el modulo de supresion de datos 38 si no debfan llegar a la red N1, a desviar los datos directamente hacia la cuarta salida 4f del dispositivo 4 si debfan ser transmitidos hacia la red N1 sin tratamiento IPsec, y a desviar los datos hacia el segundo modulo de
5 tratamiento IPsec 24 si estos debfan ser tratados antes de ser transmitidos hacia la red N1. El segundo modulo de tratamiento IPsec 24 comprende un modulo de decodificacion 26 y un modulo de descifrado 28. El modulo de decodificacion 26 esta destinado a decodificar los primeros datos que comprenden los datos de voz. Mas concretamente, el modulo de decodificacion esta destinado a suprimir la cabecera SVHP de los primeros datos. El modulo de descifrado 28 comprende un modulo de control de integridad 34 y un modulo de descifrado 36, 10 destinados respectivamente a controlar la integridad segun el protocolo AH y a descifrar segun le protocolo ESP los datos transmitidos despues de la red N2.
[0068] Se ha representado sobre la figura 3 un sinoptico que ilustra las etapas puestas en marcha por el dispositivo de segurizacion 4 cuando recibe un paquete de primeros datos que comprenden datos de voz, y un
15 paquete de segundos datos diferentes a los datos de voz, emitidos por la red de partida N1, por ejemplo, por el terminal emisor 2.
[0069] Inicialmente, los paquetes de los primeros datos presentan una trama como la representada y disenada por la referencia 200 en la figura 5. La trama 200 comprende una cabecera IP que comprende las
20 direcciones de origen y de destino de la trama, un cabecera que indica los puertos de comunicacion (TCP/UDP) empleados y los primeros datos.
[0070] Durante la primera etapa de cifrado 100, el paquete de primeros datos es encriptado, por ejemplo, por el terminal 2 segun un protocolo de segurizacion diferente a los protocolos IPsec y optimizado para proteger los
25 datos de voz en las redes limitadas, como el protocolo SCIP. Durante la primera etapa de cifrado, una cabecera SCIP es anadido a los primeros datos. La trama de un paquete de primeros datos encriptados por el protocolo SCIP es representado y disenado por la referencia 202 sobre la figura 5. Al principio de la trama 200, la trama 202 comprende una cabecera IP que comprende las direcciones de origen y de destino de la trama, una cabecera que indica los puertos de comunicacion (TCP/UDP) empleados y los primeros datos. La trama 202 comprende ademas 30 una cabecera SCIP.
[0071] Los datos de voz y los segundos datos son recibidos por el primer modulo de desvfo 14. En una etapa de desvfo 102, este ultimos analiza los datos para determinar si deben ser transmitidos o no hacia la red N2 y para determinar si debe aplicarse un protocolo IPsec o no a los datos antes de ser transmitidos a la red N2 segun la
35 polftica de seguridad memorizada en la SPD.
[0072] Segun la invencion, la polftica de seguridad IPsec preve, en el proceso de tratamiento IPsec, un protocolo de tratamiento IPsec, como el protocolo SVHP, destinado a tratar los primeros datos. El protocolo SVHP es diferente a los protocolos AH y ESP.
40
[0073] Si los datos son datos de voz encriptados previamente por el protocolo SCIP, el primer modulo de desvfo 14 los envfa, durante la etapa de desvfo 102, hacia el modulo de codificacion 18 del primer modulo de tratamiento IPsec 16.
45 [0074] Durante la etapa de tratamiento IPsec 104, los datos de voz segurizados son codificados segun el
protocolo IPsec SVHP por el modulo de codificacion 18 durante la etapa 106 de codificacion. Mas concretamente, durante la etapa 106 de codificacion, el modulo 18 anade una cabecera SVHP a los paquetes de datos de voz segurizados por el protocolo SCIP. No se efectua ningun otro tratamiento o cifrado siguiendo un protocolo IPsec puesto que los datos ya estan cifrados por el protocolo SCIP.
50
[0075] La trama de un paquete de primeros datos codificados esta representada y disenada por la referencia
204 de la figura 5. La trama de datos 204 esta destinada a transitar en el canal de transmision de datos entre la red N1 y la red N3 hacia la red N2.
[0076] Segun la invencion, la trama 204 comprende sucesivamente una cabecera IP que comprende las
direcciones de origen y de destino de la trama 204, un cabecera IPsec correspondiente al protocolo de tratamiento IPsec, un cabecera indicando al menos un puerto de destino de la trama 204 (TCP/UDP) y los primeros datos.
5 [0077] Ventajosamente, la cabecera IPsec comprende un identificador SPI del protocolo SVHP, una
identificacion correspondiente a cada puerto de destino, como un numero de identificacion y la longitud total de la trama.
[0078] Segun la invencion, todos los datos de voz emitidos por la red de partida N1 pasan por el modulo de 10 codificacion 18 para ser codificados y posteriormente transmitidos en la red de transito N2.
[0079] Los primeros datos codificados son despues transmitidos durante una etapa 114 de transmision hacia la red N2.
15 [0080] Si los datos son los segundos datos, es decir, todos aquellos datos que no son los datos de voz, el
primer modulo de desvfo 14 los envfa, durante una etapa de desvfo 102, hacia el modulo de cifrado 20 del primer modulo de tratamiento IPsec 16. Durante la etapa de cifrado 108, el modulo de cifrado 20 cifra los segundos datos durante una etapa cifrado, y/o protege la integridad de los segundos datos durante una etapa de 112 de proteccion en integridad. La trama de un paquete de segundos datos cifrados esta representada y disenada en la referencia 20 general 206 en la figura 5.
[0081] La etapa 110 de cifrado es realizada segun un protocolo IPsec como el protocolo ESP.
[0082] La etapa 112 de proteccion en integridad esta realiza segun un protocolo IPsec como el protocolo AH.
25
[0083] Despues, durante una etapa 114 de transmision de segundos datos cifrados, el primer modulo de tratamiento IPsec 16 transmite los segundos datos cifrados hacia la red N2 de transito.
[0084] Los datos que no deben ser transmitidos hacia la red de transito N2 son suprimidos durante una etapa 30 de supresion 116 de datos.
[0085] Los datos que deben ser transmitidos hacia la red de transito N2 sin pasar por la etapa de tratamiento IPsec 104 son directamente transmitidos hacia la red N2 durante una etapa 118 de transmision.
35 [0086] Por otra parte, se ha representado sobre la figura 4 un sinoptico que ilustra las etapas puestas en
marcha por el dispositivo de segurizacion 10 cuando recibe los datos emitidos por la red N1 hacia la red N3 a traves
de la red N2, despues de una emision de datos como la descrita en referencia a la figura 3.
[0087] Los datos son recibidos por el segundo modulo de desvfo 22. EN una etapa de desvfo 120, este 40 analiza los datos para determinar si deben ser transmitidos o no hacia la red N3 y para determinar si debe aplicarse
un protocolo IPsec o o a los datos antes de ser transmitidos hacia la red N3.
[0088] Segun la invencion, la polftica de seguridad IPsec preve, en el proceso de tratamiento IPsec, un protocolo de tratamiento IPsec propio a tratar los primeros datos codificados.
45
[0089] SI los datos son los primeros datos cifrados por el protocolo SCIP y codificados por el protocolo SVHP, estos ultimos contienen la cabecera SVHP. El segundo modulo de desvfo 22 envfa estos ultimos hacia el modulo de decodificacion 26 del segundo modulo de tratamiento IPsec 24 debido a la presencia de la cabecera SVHP. Durante una segunda etapa de tratamiento IPsec 122, los primeros datos codificados son decodificados segun el protocolo
50 IPsec SVHP por el modulo de decodificacion 26 durante una etapa de decodificacion 124. Mas concretamente, durante la etapa 124 de decodificacion, el modulo de decodificacion 26 suprime la cabecera SVHP de los primeros datos codificados y los envfa directamente hacia la capa de aplicacion del modelo OSI en la cual opera el protocolo de segurizacion SCIP.
55 [0090] Segun la invencion, todos los primeros datos codificados pasan por la etapa de decodificacion 124.
5
10
15
20
25
30
35
40
[0091] Una vez que los primeros datos decodificados son transmitidos en la red de destino N3, estos son descifrados durante una etapa de descifrado 126 segun el protocolo SCIP al nivel de la capa 7. Mas concretamente, durante la etapa de descifrado de los primeros datos, la cabecera correspondiente al protocolo SCIP esta suprimido de los primeros datos de forma que estos ultimos son seguidamente transmitidos en claro en la red de destino N3 durante una etapa 128 de transmision de los primeros datos descifrados.
[0092] Si los datos son los segundos datos, el primer modulo de desvfo 12 los envfa hacia el segundo modulo de tratamiento IPsec 24. Durante una etapa de descifrado 130, el modulo de descifrado 28 descifra los segundos datos durante una etapa 132 de descifrado y/o efectua un control de integridad, despues transmite estos datos descifrados hacia la red N3 de destino durante una etapa 136 de transmision. Asf, los segundos datos transitan en claro en la red N3.
[0093] Los datos que no deben ser transmitidos hacia la red de transito N3 son suprimidos durante una etapa de supresion 138 de datos.
[0094] Los datos que deben ser transmitidos hacia la red de transito N2 sin pasar por la etapa de tratamiento IPsec 122 son transmitidos directamente hacia la red N2 durante una etapa 142 de transmision.
[0095] El procedimiento de segurizacion segun la invencion es puesto en marcha de forma ventajosa por un solo y unico programa informatico. El programa informatico comprende las instrucciones propias a poner en marcha las etapas del procedimiento segun la invencion. Asimismo, el programa informatico es ventajosamente grabado sobre un soporte de datos.
[0096] Se comprende la descripcion que precede como el procedimiento y el dispositivo segun la invencion que permite mejorar la seguridad de la transmision de datos como los datos de voz entre redes seguras que comunican a traves de una red de seguridad mas debil.
[0097] Particularmente, la codificacion de cualquier dato de voz previamente segurizado por el protocolo de segurizacion, por ejemplo, SCIP, entre la red N1 y la red N2, permite orientar sistematicamente tras la capa red hacia la capa de aplicacion en la cual opera el protocolo de segurizacion. Asf se evita que estos datos de voz puedan ser considerados como un vector de ataque de capas comprendidas entre la capa red, en la cual opera el protocolo IPsec, y la capa de aplicacion, en la cual opera el protocolo de segurizacion.
[0098] Por otra parte, el procedimiento y el dispositivo segun la invencion permiten explotar el modo tunel de
IPsec, y de segurizar las comunicaciones tanto entre los terminales como en las redes que comprenden cada una de ellas una pluralidad de terminales.
[0099] Particularmente, segun otras formas de realizacion, el procedimiento de segurizacion es puesto en marcha entre mas de dos redes seguras, a traves de varias redes de niveles de seguridad mas debiles, estando cada una de las redes seguras equipadas de al menos un dispositivo de segurizacion segun la invencion.
Claims (8)
1. Procedimiento de segurizacion de un canal de transmision de datos entre al menos una red de partida 5 (N1) y una red de destino (N3) a traves de una red de transito (N2) de un nivel de seguridad mas debil que las redes
de partida y destino,
Las redes de partida y de destino teniendo como condicion previa establecida una conexion segura segun un proceso de tratamiento IPsec que comprende una polftica de seguridad IPsec que pone en marcha al menos un protocolo IPsec,
10 Los datos que comprenden los primeros datos y los segundos datos, los primeros datos comprenden datos de voz y estando segurizados por un protocolo de segurizacion diferente a los protocolos del proceso de tratamiento IPsec,
El procedimiento que comprende las siguientes etapas, cuando los datos son transmitidos de una red de partida (N1) hacia una red de transito (N2):
Si los datos son los segundos datos, desvfo (102) de los segundos datos hacia una etapa de cifrado (108) segun al 15 menos un protocolo IPsec del proceso de tratamiento IPsec para obtener los segundos datos cifrados; y Transmision (114) de los segundos datos cifrados hacia la red (N2) de transito;
El procedimiento que comprende una polftica de seguridad IPsec que preve en el proceso de tratamiento IPsec, un protocolo de tratamiento IPsec destinado a tratar los primeros datos, y el procedimiento que comprende ademas las 20 siguientes etapas, cuando los datos son los primeros datos:
Anadir una cabecera a los paquetes correspondientes a los primeros datos, dicho cabecera correspondiente al protocolo de segurizacion de los primeros datos para obtener los primeros datos seguros.
Desvfo (102) de los primeros datos seguros hacia una etapa (106) de codificacion segun el protocolo de tratamiento IPsec del proceso de tratamiento IPsec para obtener los primeros datos codificados, dicho protocolo de tratamiento 25 IPsec siendo diferente de o de cada protocolo IPsec segun el cual los segundos datos son cifrados y consistiendo en anadir una cabecera a los primeros datos seguros;
Transmision (114) de los primeros datos codificados hacia la red (N2) de transito.
2. Procedimiento segun la reivindicacion 1, caracterizado en que los primeros datos pasan por la etapa 30 de codificacion (106).
3. Procedimiento segun la reivindicacion 1 o la reivindicacion 2, caracterizado en que comprende las siguientes etapas, cuando los datos son transmitidos de la red de transito (N2) hacia la red de destino (N3):
Si los datos son los segundos datos cifrados, desvfo (120) de los segundos datos cifrados a una etapa de descifrado 35 (126) segun al menos un protocolo IPsec del proceso de tratamiento IPsec para obtener los segundos datos descifrados,
Transmision (136) de los segundos datos descifrados hacia la red de destino;
El procedimiento estando caracterizado en que la polftica de seguridad IPsec preve, en el proceso de tratamiento 40 IPsec un protocolo de tratamiento IPsec destinado a tratar los primeros datos codificados, y en que comprende ademas las siguientes etapas cuando los datos son los primeros datos codificados:
Desvfo (120) de los primeros datos codificados hacia una etapa de decodificacion (124) segun el protocolo de tratamiento IPsec del proceso de tratamiento IPsec para obtener los primeros datos decodificados, dicho protocolo de tratamiento IPsec siendo diferente del protocolo IPsec segun el cual los segundos datos son descifrados y que 45 consiste en suprimir la cabecera de los datos codificados;
Transmision (128) de los primeros datos decodificados hacia la red (N1) de destino.
4. Procedimiento segun la reivindicacion 3, caracterizado en que todos los primeros datos codificados pasan por la etapa de decodificacion (124).
50
5. Dispositivo de segurizacion (4) de un canal de transmision de datos entre al menos una red de partida (N1) y una red de destino (N3) a traves de una red de transito (N2) de un nivel de seguridad mas debil que las redes de partida y de destino, las redes de partida y de destino teniendo como condicion previa establecida una conexion segura segun un proceso de tratamiento IPsec que comprende una polftica de seguridad IPsec que pone en marcha
55 al menos un protocolo IPsec,
Los datos, que comprenden los primeros datos y los primeros datos, comprendiendo los primeros datos los datos de voz y estando segurizados por un protocolo de segurizacion diferente a los protocolos del proceso de tratamiento IPsec,
El dispositivo que comprende, cando los datos son transmitidos de la red de partida (N1) a la red de transito (N2):
5 Si los datos son los segundos datos, los primeros medios de desvfo (14) de los segundos datos hacia los medios de cifrado (20) segun al menos un protocolo IPsec del proceso de tratamiento IPsec para obtener los segundos datos encriptados, y
Los medios de transmision de los segundos datos encriptados hacia la red (N2) de transito;
10 El dispositivo que comprende una polftica de seguridad IPsec que preve en el proceso de tratamiento IPsec, un protocolo de tratamiento IPsec destinado a tratar los primeros datos, y el dispositivo que comprende, ademas, cuando los datos son los primeros datos:
Los medios de adicion de u cabecera a los paquetes correspondientes a los primeros datos de forma que se obtenga los primeros datos seguro;
15 Los primeros medios de desvfo (14) de los primeros datos seguros hacia los medios de codificacion (18) segun el protocolo de tratamiento IPsec del proceso de tratamiento IPsec para obtener los primeros datos codificados, dicho protocolo de tratamiento IPsec siendo diferente del protocolo IPsec segun el cual los segundos datos son cifrados y que consisten en anadir una cabecera a los primeros datos seguros;
Los medios de transmision de los primeros datos codificados hacia la red de transito (N2).
20
6. Dispositivo segun la reivindicacion 5, caracterizado en que los medios de cifrado (20) comprenden
los medios de proteccion en integridad (30) de los segundos datos y de los medios de cifrado (32) de los segundos datos.
25 7. Dispositivo segun la reivindicacion 6, cuando los datos son transmitidos de la red de transito (N2)
hacia la red de destino (N3):
Si los datos son los segundos datos encriptados, los segundos medios de desvfo (22) de los segundos datos encriptados hacia los medios de descifrado (28) segun al menos un protocolo IPsec del proceso de tratamiento IPsec para obtener los segundos datos descifrados;
30 Los medios de transmision de los segundos datos descifrados hacia la red de destino;
El dispositivo estando caracterizado en que la polftica de seguridad IPsec preve, en el proceso de tratamiento IPsec, un protocolo de tratamiento IPsec destinado a tratar los primeros datos codificados, y en que comprende, ademas, cuando los datos son los primeros datos codificados:
Los segundos medios de desvfo (22) de los primeros datos codificados hacia los medios de decodificacion (26) 35 segun el protocolo de tratamiento IPsec del proceso de tratamiento IPsec para obtener los primeros datos decodificados, dicho protocolo de tratamiento IPsec siendo diferente del protocolo IPsec segun el cual los segundos datos son descifrados y que consiste en suprimir el cabecera de los primeros datos codificados, los medios de decodificacion (26) comprenden los medios de supresion de un cabecera de los primeros datos codificados;
Los medios de transmision de los primeros datos decodificados hacia la red de destino (N1).
40
8. Dispositivo segun cualquiera de las reivindicaciones 5 a 7, caracterizado en que los medos de
descifrado (28) comprende los medios de control de la integridad (34) de los segundos datos encriptados y de los medios de descifrado (36) de los segundos datos encriptados.
45 9. Programa informatico caracterizado en que comprende las instrucciones propias a poner en marcha
las etapas del procedimiento segun cualquiera de las reivindicaciones 1 a 4.
10. Soporte de datos sobre los cuales se graba el programa informatico segun la reivindicacion 9.
50 11. Trama (204) de datos propia a transitar en un canal de datos entre al menos una red de partida (N1) y
una red de destino (N3) a traves de una red de transito (N2) de un nivel de seguridad mas bajo que las redes de partida y de destino,
Las redes de partida y de destino teniendo como condicion previa establecida una conexion segura segun un proceso de tratamiento IPsec que comprende una polftica de seguridad IPsec y que pone en marcha al menos un 55 protocolo IPsec,
Los datos que comprenden los primeros datos y los segundos datos los primeros datos que comprenden los datos de voz y que estan segurizados por un protocolo de segurizacion diferente del protocolo del proceso de tratamiento IPsec, dicha trama que comprende sucesivamente:
Una cabecera IP que comprende las direcciones de origen y de destino de la trama;
5 Una cabecera IPsec que corresponde a un protocolo IPsec del proceso de tratamiento IPsec;
Una cabecera que indica al menos un puerto de destino de la trama; y Los datos;
Dicha trama (204) estando como se preve en la polftica de seguridad IPsec, en el proceso de tratamiento IPsec, un 10 protocolo de tratamiento IPsec destinado a tratar los primeros datos y que el cabecera IPsec corresponde a dicho protocolo de tratamiento IPsec, los datos de la trama siendo los primeros datos; y la trama (204) que comprende ademas un cabecera que corresponde al protocolo de segurizacion de los primeros datos, situado entre el cabecera que indica el puerto o cada puerto de destino y los primeros datos.
15 12. Trama (204) de datos segun la reivindicacion 11, caracterizada en que la cabecera IPsec comprende:
Un identificador del protocolo de tratamiento IPsec;
Una identificacion correspondiente al puerto o a cada puerto de destino; y La longitud total de la trama (204).
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1202553A FR2996087B1 (fr) | 2012-09-26 | 2012-09-26 | Procede de securisation d'un canal de transmission de donnees de voix et dispostif de securisation associe |
| FR1202553 | 2012-09-26 | ||
| PCT/EP2013/069790 WO2014048900A1 (fr) | 2012-09-26 | 2013-09-24 | Procédé de sécurisation d'un canal de transmission de données de voix et dispositif de sécurisation associé |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2644338T3 true ES2644338T3 (es) | 2017-11-28 |
Family
ID=47878088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES13774093.2T Active ES2644338T3 (es) | 2012-09-26 | 2013-09-24 | Procedimiento de segurización de un canal de transmisión de datos de voz y dispositivo de segurización asociado |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP2901652B1 (es) |
| ES (1) | ES2644338T3 (es) |
| FR (1) | FR2996087B1 (es) |
| NO (1) | NO2901652T3 (es) |
| WO (1) | WO2014048900A1 (es) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070165638A1 (en) * | 2006-01-13 | 2007-07-19 | Cisco Technology, Inc. | System and method for routing data over an internet protocol security network |
| US8060058B2 (en) * | 2007-12-28 | 2011-11-15 | Airvana, Corp. | Secure mobile base station connections |
-
2012
- 2012-09-26 FR FR1202553A patent/FR2996087B1/fr active Active
-
2013
- 2013-09-24 NO NO13774093A patent/NO2901652T3/no unknown
- 2013-09-24 EP EP13774093.2A patent/EP2901652B1/fr active Active
- 2013-09-24 WO PCT/EP2013/069790 patent/WO2014048900A1/fr active Application Filing
- 2013-09-24 ES ES13774093.2T patent/ES2644338T3/es active Active
Also Published As
| Publication number | Publication date |
|---|---|
| FR2996087A1 (fr) | 2014-03-28 |
| EP2901652B1 (fr) | 2017-07-19 |
| EP2901652A1 (fr) | 2015-08-05 |
| NO2901652T3 (es) | 2017-12-16 |
| FR2996087B1 (fr) | 2014-10-31 |
| WO2014048900A1 (fr) | 2014-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3512291B1 (en) | Data transmission method, relevant device and system | |
| ES2717230T3 (es) | Control remoto de instalaciones seguras | |
| CN100493071C (zh) | 电信系统中的方法和设备 | |
| US8775790B2 (en) | System and method for providing secure network communications | |
| US9002016B2 (en) | Rekey scheme on high speed links | |
| TW201624960A (zh) | 用於下一代蜂巢網路的使用者面安全 | |
| EP2421293A1 (en) | Method enabling real-time data service realization, real-time data service system and mobile terminal | |
| WO2019096002A1 (zh) | 一种安全保护的方法及装置 | |
| US20120087356A1 (en) | Tunneled direct link setup through a tunnel | |
| CN102144370A (zh) | 发送装置、接收装置、发送方法及接收方法 | |
| CN110858822B (zh) | 媒体接入控制安全协议报文传输方法和相关装置 | |
| CN101572644B (zh) | 一种数据封装方法和设备 | |
| JP7395455B2 (ja) | 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム | |
| CN112600802B (zh) | 一种SRv6加密报文、SRv6报文的加解密方法及装置 | |
| KR20230019934A (ko) | 데이터 전송 방법 및 시스템, 전자 장치 및 컴퓨터 판독 가능 저장 매체 | |
| ES2710279T3 (es) | Procedimiento y dispositivo de transmisión de datos entre dos redes seguras de tipo Ethernet a través de una red enrutada | |
| CN108966217B (zh) | 一种保密通信方法、移动终端及保密网关 | |
| CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
| WO2016165277A1 (zh) | 一种实现IPsec分流的方法和装置 | |
| CN105635076B (zh) | 一种媒体传输方法和设备 | |
| CN116938642A (zh) | 一种高性能边缘安全网关实现方法 | |
| JP2010034860A (ja) | セキュリティ機能を有するipネットワーク通信方法及び通信システム | |
| CN110650476B (zh) | 管理帧加密和解密 | |
| ES2644338T3 (es) | Procedimiento de segurización de un canal de transmisión de datos de voz y dispositivo de segurización asociado | |
| CN115766339A (zh) | 移动端sslvpn安全隧道配置系统及配置方法 |