BRPI0721399B1

BRPI0721399B1 - method to create a synthetic bridge and synthetic bridge

Info

Publication number: BRPI0721399B1
Application number: BRPI0721399-9A
Authority: BR
Inventors: Ted Beers; Mark E. Gorzynski; Bill Wickes; Jon A. Brewster; Garrett Gargan; Jeffrey Thielman; Scott Grasley
Original assignee: Hewlett-Packard Development Company, L.P
Priority date: 2007-03-14
Filing date: 2007-07-31
Publication date: 2020-10-13
Also published as: BRPI0721399A2

Abstract

MÉTODO PARA CRIAR UMA PONTE SINTÉTICA E PONTE SINTÉTICA. O método para criar uma ponte sintética (100) utiliza dados selecionados (406) extraídos logicamente a partir de uma camada de aplicativo de uma primeira rede (12A) que contém um ou mais primeiros fluxos de dados a serem transportados para uma segunda rede (12B). Os dados selecionados (406) são extraídos logicamente a partir de uma camada de aplicativo da segunda rede (12B) que contém um ou mais segundos fluxos de dados a serem transportados para a primeira rede (12A). Os dois ou mais primeiros e segundos fluxos de dados são transportados através de conjuntos separados de interfaces de link de mídia, que não seja rede (130-133), que permitem apenas uma limitada codificação de informação, e inerentemente impedem que qualquer informação de protocolo de rede passe com os dois ou mais primeiros e segundos fluxos de dados até depois que os dois ou mais primeiros e segundos fluxos de dados estejam no controle da rede oposta, a partir da qual foram transportados.METHOD FOR CREATING A SYNTHETIC BRIDGE AND SYNTHETIC BRIDGE. The method for creating a synthetic bridge (100) uses selected data (406) logically extracted from an application layer of a first network (12A) that contains one or more first data streams to be transported to a second network (12B ). The selected data (406) is extracted logically from an application layer of the second network (12B) that contains one or more second data streams to be transported to the first network (12A). The two or more first and second data streams are transported through separate sets of media link interfaces, other than network (130-133), which allow only limited information encoding, and inherently prevent any protocol information of network pass with the two or more first and second data streams until after the two or more first and second data streams are in control of the opposite network, from which they were transported.

Description

History of the Invention

Os negócios em nivel mundial exigem cada vez mais agilidade com respeito a projeto e desenvolvimento de novos produtos e serviços. Com a continua expansão da economia global, os negócios requerem transferir e alavancar conhecimento através de suas organizações e parceiros, sem importar onde se encontrem. No entanto, a necessidade de proteger tal conhecimento compartilhado torna sua proteção tão importante quanto do fluxo livre de capital. O compartilhamento de conhecimento através das fronteiras das nações restringe a capacidade de se agir legalmente contra roubo da propriedade intelectual quanto ao conhecimento transferido. Portanto, para ser competitivo em termos globais, é necessário ser pró- ativo, com respeito à proteção de propriedade intelectual de competidores, e todos aqueles que perturbem o sistema econômico mundial.World-class businesses are increasingly demanding agility with respect to the design and development of new products and services. With the continued expansion of the global economy, businesses require transferring and leveraging knowledge through their organizations and partners, no matter where they are. However, the need to protect such shared knowledge makes its protection as important as the free flow of capital. Knowledge sharing across the borders of nations restricts the ability to take legal action against theft of intellectual property in relation to transferred knowledge. Therefore, in order to be globally competitive, it is necessary to be proactive, with respect to the protection of intellectual property from competitors, and all those who disturb the world economic system.

No entanto, a formação de grandes departamentos de tecnologia de informação (IT) para suportar intercâmbio de idéias através das fronteiras é especialmente dificil devido à necessidade de se ter um grande e variado grupo IT, que considere a linguagem, cultura, e intimidade dos vários departamentos estrangeiros dentro da própria companhia. A dificuldade é ampliada ainda mais quando os departamentos de várias companhias devem entrar em acordo com respeito a compartilhamento de dados através de redes corporativas separadas e seguras, conquanto o uso de uma trajetória IT comum, tal como, a Internet, que expõe a propriedade intelectual a ameaças desconhecidas, e também coloca o risco de um ataque externo à rede corporativa por intrusos ("hackers") (conhecidos ou desconhecidos). Freqüentemente, a inércia à mudança de fazer que os departamentos IT de duas companhias diferentes concordem com um firewall comum e outros protocolos de rede para compartilhar dados entre suas redes, dificulta ou impede a pretendida colaboração. Assim, a maior parte dos departamentos IT requer uma trajetória IT entre diferentes sitios ("sites") de rede, que requer um pré- acordo entre diferentes departamentos IT para sua implementação e administração.However, the formation of large information technology (IT) departments to support the exchange of ideas across borders is especially difficult due to the need to have a large and varied IT group, which considers the language, culture, and intimacy of the various foreign departments within the company itself. The difficulty is further amplified when the departments of several companies must agree on data sharing through separate and secure corporate networks, although the use of a common IT trajectory, such as the Internet, which exposes intellectual property to unknown threats, and also poses the risk of an external attack on the corporate network by intruders ("hackers") (known or unknown). Often, the inertia to change to make the IT departments of two different companies agree with a common firewall and other network protocols to share data between their networks, hinders or prevents the intended collaboration. Thus, most IT departments require an IT trajectory between different network sites ("sites"), which requires a pre-agreement between different IT departments for its implementation and administration.

Por conseguinte, é necessário trazer uma nova solução que propicie um meio demonstravelmente seguro para trocar dados entre diferentes grupos dentro e entre companhias ao redor do mundo, que proteja e isole as infra- estruturas das várias companhias. Preferivelmente, esta nova solução pode ser conseguida envolvendo os diversos grupos colaborativos, requerendo apenas um pequeno ou mesmo nenhum envolvimento de departamentos IT, uma vez a nova solução implementada e aprovada. Por conseguinte, há necessidade de se prover um transporte de conhecimento confiável e seguro entre dois ou mais sitios globais, sem precisar uma trajetória IT customizada entre as redes.Therefore, it is necessary to bring a new solution that provides a demonstrably secure way to exchange data between different groups within and between companies around the world, which protects and isolates the infrastructures of the various companies. Preferably, this new solution can be achieved by involving the various collaborative groups, requiring only little or no involvement of IT departments, once the new solution is implemented and approved. Therefore, there is a need to provide a reliable and safe knowledge transport between two or more global sites, without needing a customized IT path between networks.

Brief Description of Drawings

A presente invenção será mais bem entendida fazendo referência aos desenhos anexos. Os elementos dos desenhos não se encontram necessariamente em escala, ao invés, preferiu-se dar ênfase a uma ilustração mais clara da presente invenção. Adicionalmente, números iguais de referência se referem a partes correspondentes e similares nas diversas vistas. A figura 1 é uma configuração exemplar de um sistema de video-conferência por tele-presença, incorporando uma Ponte Sintética; A figura 2 é um projeto exemplar de uma configuração ilustrando uma solução para implementar uma Ponte Sintética; A figura 3 é uma configuração exemplar de uma Ponte Sintética com dispositivos de nó de conteúdo e nó de colaboração para prover interfaces a suas respectivas redes; A figura 4 é um diagrama de blocos exemplar de uma configuração de Ponte Sintética Estendida (Synthetic Bridge Spanning) que incorpora duas Pontes Sintéticas encadeadas em margarida acopladas a uma rede de colaboração segura; A figura 5 é um diagrama de blocos exemplar de uma configuração de uma Ponte Sintética Estendida que incorpora um componente adicional ou alternativo à Ponte Sintética Estendida da figura 4; e A figura 6 é uma representação abstrata de pacotes de rede mostrando a remoção das informações de cabeçalho, que reduz as camadas de modelo OSI à medida que os pacotes progridem na pilha de modelo OSI.The present invention will be better understood with reference to the accompanying drawings. The elements of the drawings are not necessarily to scale, instead, it was preferred to emphasize a clearer illustration of the present invention. In addition, equal reference numbers refer to corresponding and similar parts in the different views. Figure 1 is an exemplary configuration of a video conference system by tele-presence, incorporating a Synthetic Bridge; Figure 2 is an exemplary design of a configuration illustrating a solution for implementing a Synthetic Bridge; Figure 3 is an exemplary configuration of a Synthetic Bridge with content node and collaboration node devices to provide interfaces to their respective networks; Figure 4 is an exemplary block diagram of an Synthetic Bridge Spanning configuration that incorporates two daisy-chained Synthetic Bridges coupled to a secure collaboration network; Figure 5 is an exemplary block diagram of an Extended Synthetic Bridge configuration that incorporates an additional or alternative component to the Extended Synthetic Bridge of figure 4; and Figure 6 is an abstract representation of network packets showing the removal of header information, which reduces the layers of the OSI model as the packets progress through the OSI model stack.

Detailed Description of the Invention

Deve ser notado que os desenhos não foram providos em escala. Ademais, as várias partes dos elementos descritos não foram desenhados em escala. Certas dimensões foram exageradas em relação a outras, para propiciar uma ilustração mais clara e um pleno entendimento da presente invenção.It should be noted that the drawings were not provided to scale. Furthermore, the various parts of the elements described were not designed to scale. Certain dimensions have been exaggerated in relation to others, to provide a clearer illustration and a full understanding of the present invention.

Ademais, embora a presente invenção seja ilustrada por configurações preferidas, não se pretende que tais ilustrações limitem o escopo ou aplicabilidade da presente invenção. Ademais, não se pretende que a presente invenção se limite às estruturas lógicas, elétricas, e fisicas ilustradas. Estas estruturas são incluídas apenas com propósito de demonstrar a utilidade e aplicação da presente invenção às configurações preferidas presentemente apresentadas. Assim, conquanto os fluxos de dados de áudio/video (A/V) sejam considerados os fluxos de dados mais tipicos, quaisquer fluxos de dados, a despeito de se destinar a áudio, video, ou qualquer outro propósito, também estão englobados na presente invenção.Furthermore, although the present invention is illustrated by preferred configurations, such illustrations are not intended to limit the scope or applicability of the present invention. Furthermore, it is not intended that the present invention be limited to the illustrated logical, electrical, and physical structures. These structures are included only for the purpose of demonstrating the utility and application of the present invention to the preferred configurations presently presented. Thus, while audio / video (A / V) data streams are considered to be the most typical data streams, any data streams, regardless of whether they are intended for audio, video, or any other purpose, are also included in the present invention.

Esta descrição descreve uma ponte de dados inerentemente segura (a chamada "Ponte Sintética") entre duas redes separadas seguras, provendo um mecanismo de "transporte" para colaboração e outros fluxos de dados de midia. A citada Ponte Sintética provê uma proteção e isolação entre infraestruturas de rede para sessões de colaboração e recursos de mídia associados. A Ponte Sintética provê o transporte de fluxos de dados, tal como de mídia Áudio/ Visual (A/V) de/para sessões de colaboração, i.e. video- conferência. No entanto, quaisquer dados e conteúdos de aplicação relativos do tipo non-network, tais como sinais para acionamento remoto de aplicativos de computador entre dois sítios, podem ser compartilhados, de modo geral, através de uma Ponte Sintética. Configurações da invenção incluem rede de transporte de colaboração especialmente projetada e confiável (rede c-tran) conectando dois ou mais nós de conteúdo. Um dos nós de conteúdo pode ser conectado a uma rede separada e diferente da rede c-tran que não é segura para os usuários da rede segura c-tran. Cada nó de conteúdo é conectado ao nó de colaboração que interfaceia o nó de conteúdo com a rede c-tran.This description describes an inherently secure data bridge (called a "Synthetic Bridge") between two separate secure networks, providing a "transport" mechanism for collaboration and other media data streams. The aforementioned Synthetic Bridge provides protection and isolation between network infrastructures for collaboration sessions and associated media resources. The Synthetic Bridge provides the transport of data streams, such as Audio / Visual (A / V) media to / from collaboration sessions, i.e. video conferencing. However, any data and relative application content of the non-network type, such as signals for remote activation of computer applications between two sites, can be shared, in general, through a Synthetic Bridge. Configurations of the invention include a specially designed and reliable collaborative transport network (c-tran network) connecting two or more content nodes. One of the content nodes can be connected to a separate and different network than the c-tran network which is not secure for users on the c-tran secure network. Each content node is connected to the collaboration node that interfaces the content node with the c-tran network.

A rede c-tran provê qualidade de garantia de serviço, estendendo o alcance através do mundo inteiro com melhor desempenho em termos de baixa latência, largura de banda, e outros valores relativos a redes individuais conectadas através da Ponte Sintética.The c-tran network provides quality of service guarantee, extending reach across the world with better performance in terms of low latency, bandwidth, and other values relating to individual networks connected via the Synthetic Bridge.

O nó de colaboração pode incluir conectores para prover entrada de dados de/ para o nó de colaboração, assim como conectores para prover o controle do aplicativo relativo do tipo non-network de/para o nó de colaboração. O nó de colaboração pode incluir um mecanismo de codificação/ decodificação para traduzir/ converter dados de colaboração e dados de controle de/ para o formato da rede c-tran. O nó de colaboração também pode incluir conectores para conexão com a rede c-tran. Diversos itens adicionais poderiam ser conectados ou apresentados em um nó de colaboração para aumentar a capacidade de colaboração. Itens adicionais podem fazer parte da "mídia de colaboração", como câmaras, alto-falantes, microfones, telas de vídeo, ou equipamentos de A/V integrados, tal como um estúdio de colaboração, por exemplo, estúdio Halo da Hewlett Packard Co.The collaboration node can include connectors to provide data entry to / from the collaboration node, as well as connectors to provide control of the relative non-network application to / from the collaboration node. The collaboration node may include an encoding / decoding mechanism for translating / converting collaboration data and control data to / from the c-tran network format. The collaboration node can also include connectors for connection to the c-tran network. Several additional items could be connected or presented in a collaboration node to increase the capacity for collaboration. Additional items may be part of the "collaborative media", such as cameras, speakers, microphones, video screens, or integrated A / V equipment, such as a collaboration studio, for example, Halo studio by Hewlett Packard Co.

A ponte sintética apresenta diversas vantagens em relação às portas, switchs, firewalls da técnica anterior, que são tradicionalmente usadas para prover interfaceamento similar entre diferentes redes. A Ponte Sintética permite uma transferência inteligivelmente e demonstravelmente segura de fluxos de midia de colaboração entre redes. A Ponte Sintética também provê uma conexão IP de Internet ou customizada entre as redes para controle de aplicativo relacionado do tipo non-network. A Ponte Sintética pode prover um mecanismo de customização para ambiente de colaboração para ser usado, por exemplo, por integradores de A/V, para uma customização flexivel e eficiente de um desejado ambiente de colaboração, sem precisar de suporte IT em base continua. Em adição, a interoperabilidade de uma rede virtual com a Ponte Sintética pode incluir aspectos adicionais, tais como serviços de tradução, para permitir sessões colaborativas, que são incompatíveis com padrões de administração de sessão ou formatos de fluxo de midia.The synthetic bridge has several advantages over ports, switches, firewalls of the prior art, which are traditionally used to provide similar interfacing between different networks. The Synthetic Bridge allows an intelligently and demonstrably secure transfer of collaborative media flows between networks. The Synthetic Bridge also provides an Internet or customized IP connection between networks for controlling non-network related applications. The Synthetic Bridge can provide a customization mechanism for a collaboration environment to be used, for example, by A / V integrators, for flexible and efficient customization of a desired collaboration environment, without needing IT support on a continuous basis. In addition, the interoperability of a virtual network with the Synthetic Bridge may include additional aspects, such as translation services, to allow collaborative sessions, which are incompatible with session management standards or media stream formats.

Antes de discutir os aspectos únicos e desenho da Ponte Sintética, algumas discussões e definições de redes tradicionais e seus termos devem ser apreciadas para propiciar um melhor entendimento da proposição de valor único da Ponte Sintética e das várias oportunidades que a mesma apresenta.Before discussing the unique aspects and design of the Synthetic Bridge, some discussions and definitions of traditional networks and their terms should be appreciated to provide a better understanding of the Synthetic Bridge's unique value proposition and the various opportunities it presents.

Definition of Network Terms

A grande maioria da população está familiarizada com a Internet, que é entidade que conecta as várias redes corporativas e permite que indivíduos acessem outros computadores ou servidores conectados à mesma, quando acessam a rede através de um provedor. A Internet per se é mais que uma coleção de software "protocolos de rede" que se comunica através de uma ou mais "redes" de hardware. Há uma pluralidade de diferentes redes, mas a Ethernet é a rede de área local (LAN) mais difundida, que, per si, conta com diversos protocolos de software para definir como os dados devem se organizar para serem transportados. No entanto, mesmo a Ethernet pode contar com muitas midias de transmissão, tal como, cabo de par torcido, cabo de fibra óptica, ou cabo coaxial. As várias midias de transmissão são conectadas com "hubs", portas (gateways), "pontes"(bridges), ou switchs. Vários dispositivos de dados ou hospedeiros (hosts) (tais como, computadores, servidores, e periféricos) são conectados a várias midias de transmissão usando hubs, portas, pontes, e switchs. Assim, os hubs, portas, pontes, e switchs podem ser usados para interconectar as várias taxas de dados, protocolos de software, e midias de transmissão entre redes separadas para formar a Internet global.The vast majority of the population is familiar with the Internet, which is an entity that connects the various corporate networks and allows individuals to access other computers or servers connected to it, when they access the network through a provider. The Internet per se is more than a collection of software "network protocols" that communicate through one or more hardware "networks". There are a plurality of different networks, but Ethernet is the most widespread local area network (LAN), which, in itself, has several software protocols to define how data must be organized to be transported. However, even Ethernet can rely on many transmission media, such as twisted pair cable, fiber optic cable, or coaxial cable. The various transmission media are connected with "hubs", ports (gateways), "bridges" (bridges), or switches. Various data devices or hosts (such as computers, servers, and peripherals) are connected to various transmission media using hubs, ports, bridges, and switches. Thus, hubs, ports, bridges, and switches can be used to interconnect the various data rates, software protocols, and transmission media between separate networks to form the global Internet.

Para lidar com a interoperabilidade de rede, a_"International Organization for Standardization"(ISO) desenvolveu a suite de rede "Open System Interconnection" (OSI) que inclui um modelo abstrato de rede (modelo de 7 camadas) e um conjunto de propostas concretas. Embora a Internet não siga exatamente o modelo de 7 camadas, seu desenvolvimento foi influenciado pelo mesmo. O modelo de 7 camadas divide o sistema de rede em camadas, permitindo que uma ou mais entidades implementem a funcionalidade designada de camada. Uma entidade pode combinar uma ou mais funcionalidades de camada.To deal with network interoperability, the_ "International Organization for Standardization" (ISO) developed the "Open System Interconnection" (OSI) network suite that includes an abstract network model (7-layer model) and a set of concrete proposals . Although the Internet does not exactly follow the 7-layer model, its development was influenced by it. The 7-layer model divides the network system into layers, allowing one or more entities to implement the so-called layer functionality. An entity can combine one or more layer functionality.

Cada entidade interage apenas com a camada imediatamente abaixo e provê facilidades para uso pela camada imediatamente superior. Os protocolos de rede permitem que uma entidade em um dispositivo de dados interaja com a correspondente entidade na mesma camada em outro dispositivo de dados, através de pontes, portas, ou switchs. A Camada 1 é a camada fisica. Esta camada define as especificações elétricas e fisicas dos dispositivos. Esta camada define quais cabos, cabos coaxiais, fibras ópticas, ou protocolos sem-fio, serão usados. A Camada 2 é a camada de link de dados (freqüentemente chamada camada Ethernet). Esta camada provê técnicas funcionais e procedurals para transferir dados entre entidades, e detectar erros que ocorram na Camada 1 (e possivelmente corrigi-los) - tradicionalmente a camada onde pontes e switchs operam. A Camada 3 é a camada de rede (freqüentemente chamada camada de protocolo Internet IP). Esta camada provê técnicas funcionais e procedurals para transferir seqüências de dados de extensão variável de uma origem para um destino, através de uma ou mais redes, mantendo a qualidade de serviço requerida pela Camada 4 (camada de transporte). A Camada 3 realiza a função de roteamento de rede - tradicionalmente a camada onde roteadores operam para enviar dados através de uma rede estendida. A Camada 4 é a camada de transporte (freqüentemente chamada camada de protocolo de controle de transmissão) ou camada TCP (de Transmission Control Protocol) . Esta camada provê uma transferência transparente de dados entre usuários, assim aliviando as camadas superiores e provendo uma transferência de dados confiável. Ademais, esta camada segue os pacotes de dados e retransmite os pacotes que falham. A Camada 5 é a camada de sessão (freqüentemente chamada camada de controle). A camada 5 controla as sessões entre computadores. A camada 5 cria, administra, e termina as conexões entre aplicativos locais e remotos. A Camada 6 é a camada de apresentação. Esta camada transforma dados para prover uma interface padrão para camada de Aplicativo. Incluídas nesta camada, usualmente se encontram as funções de compressão, codificação e decodificação, assim como outras técnicas requeridas para manipulação de dados. Outras manipulações de dados podem se referir a conversões de arquivos codificados ASCII para EBCDIC. A camada 7 é a camada de Aplicativo. Esta camada provê uma técnica para um usuário acessar informações na rede através de um aplicativo. Alguns protocolos de aplicativo standard que permitem uma comunicação entre aplicativos incluem protocolos de transferência de dados (FTP de File Transfer Protocol), protocolos de transferência de correspondência simples (STMP de Simple Mail Transfer Protocol), e protocolos de transferência hipertexto (HTTP Hypertext Transfer Protocol) usados com navegadores (browsers) de Internet.Each entity interacts only with the layer immediately below and provides facilities for use by the layer immediately above. Network protocols allow an entity on one data device to interact with the corresponding entity on the same layer on another data device, via bridges, ports, or switches. Layer 1 is the physical layer. This layer defines the electrical and physical specifications of the devices. This layer defines which cables, coaxial cables, optical fibers, or wireless protocols, will be used. Layer 2 is the data link layer (often called the Ethernet layer). This layer provides functional and procedural techniques for transferring data between entities, and detecting errors that occur at Layer 1 (and possibly correcting them) - traditionally the layer where bridges and switches operate. Layer 3 is the network layer (often called the Internet IP protocol layer). This layer provides functional and procedural techniques to transfer sequences of variable length data from a source to a destination, through one or more networks, maintaining the quality of service required by Layer 4 (transport layer). Layer 3 performs the network routing function - traditionally the layer where routers operate to send data over an extended network. Layer 4 is the transport layer (often called the transmission control protocol layer) or TCP layer (Transmission Control Protocol). This layer provides a transparent transfer of data between users, thus easing the upper layers and providing a reliable data transfer. In addition, this layer follows the data packets and retransmits the packets that fail. Layer 5 is the session layer (often called the control layer). Layer 5 controls sessions between computers. Layer 5 creates, manages, and terminates connections between local and remote applications. Layer 6 is the presentation layer. This layer transforms data to provide a standard interface for the Application layer. Included in this layer are usually the functions of compression, encoding and decoding, as well as other techniques required for data manipulation. Other data manipulations may refer to conversions from ASCII encoded files to EBCDIC. Layer 7 is the Application layer. This layer provides a technique for a user to access information on the network through an application. Some standard application protocols that allow communication between applications include data transfer protocols (File Transfer Protocol FTP), simple mail transfer protocols (Simple Mail Transfer Protocol STMP), and hypertext transfer protocols (HTTP Hypertext Transfer Protocol ) used with Internet browsers.

As Camadas 4 a 7 são usualmente chamadas "Camadas de Hospedeiro", e as Camadas 1 a 3 "Camadas de Midia". Os dados transferidos em uma rede OSI são usualmente quebrados em termos de unidades de Dados para cada camada e função. Assim, na Camada 1 (fisica), os dados são chamados "Bits" e representam e função de transmissão binária, sinal, e midia. Na Camada 2 (link de dados), os dados são chamados "Quadros"(Frames) e permitem a função de endereçamento fisico nas subcamadas de controle de acesso de midia (MAC de Media Access Control) e controle de link lógico (LLC de Logical Link Control) da Camada 2. Na Camada 3 (rede), os dados são chamados "Pacotes" e provêem a função de encaminhamento lógico e determinação de trajetória para o protocolo Internet (IP de Internet Protocol). Na Camada 4 (transporte), os dados são chamados "Segmentos" e provêem uma funcionalidade de confiabilidade e conexões de ponta a ponta para o protocolo de controle de transmissão (TCP de Transmission Control Protocol) . Nas Camadas 5 a 7, os dados são simplesmente chamados "Dados" (Data) e provêem a funcionalidade de comunicação inter-hospedeiro na camada de sessão, codificação, e representação de dados na camada de aplicativo, e o processo de rede para aplicativo na camada de aplicativo. As portas de rede podem operar em qualquer nivel do modelo OSI da camada de aplicativo para as camadas inferiores, incluindo a camada fisica.Layers 4 to 7 are usually called "Host Layers", and Layers 1 to 3 "Media Layers". Data transferred on an OSI network is usually broken down in terms of data units for each layer and function. Thus, in Layer 1 (physical), the data is called "Bits" and represents the function of binary transmission, signal, and media. In Layer 2 (data link), the data is called "Frames" (Frames) and allows the function of physical addressing in the media access control sub-layers (MAC of Media Access Control) and logical link control (LLC de Logical Link Control) of Layer 2. In Layer 3 (network), the data are called "Packets" and provide the function of logical routing and path determination for the Internet protocol (Internet Protocol IP). In Layer 4 (transport), the data is called "Segments" and provides reliability functionality and end-to-end connections for the Transmission Control Protocol (TCP). In Layers 5 to 7, the data is simply called "Data" (Data) and provides inter-host communication functionality at the session layer, encoding, and data representation at the application layer, and the network to application process at application layer. Network ports can operate at any level of the OSI model from the application layer to the lower layers, including the physical layer.

Deve ser notado que, no entanto, a arquitetura TCP/IP usada na Internet não segue exatamente o modelo OSI e se estabeleceu na indústria uma controvérsia a respeito do que deveria ser descrito a respeito do modelo em camadas OSI. Na prática, o protocolo de rede TCP/IP Internet omite alguns aspectos do modelo OSI, combina outros aspectos de camadas adjacentes, e separa outras camadas. Quando um aplicativo envia dados para a rede, cada camada trata as informações que recebe da camada superior, como dados, e adiciona um cabeçalho como informação de controle na frente dos dados e transfere os dados para a camada imediatamente inferior. Quando uma camada recebe os dados da camada inferior, a camada processa e remove o cabeçalho antes de transferir os dados remanescentes para a camada superior subseqüente.It should be noted that, however, the TCP / IP architecture used on the Internet does not exactly follow the OSI model and a controversy has been established in the industry as to what should be described about the OSI layered model. In practice, the TCP / IP Internet network protocol omits some aspects of the OSI model, combines other aspects of adjacent layers, and separates other layers. When an application sends data to the network, each layer treats the information it receives from the upper layer, as data, and adds a header as control information in front of the data and transfers the data to the immediately lower layer. When a layer receives data from the lower layer, the layer processes and removes the header before transferring the remaining data to the subsequent upper layer.

A arquitetura TCP/IP em um modelo pode ser descrita como tendo 4 camadas ou entidades hibridizadas: Aplicativo, Transporte, Rede, e Acesso a Rede. A camada de Aplicativo TCP/IP agrupa as Camadas de Sessão, Apresentação, e Aplicativo OSI. TCP/IP usa os termos "soquete" e "porta" para descrever as trajetórias através da quais aplicativos os dispositivos hospedeiros se comunicam. A maior parte dos protocolos de nivel aplicativo é associada a um ou mais números de porta. A Camada de transporte TCP/IP efetivamente usa dois protocolos de rede para enviar/ receber dados úteis para os diferentes aplicativos. No entanto, o protocolo de controle de transmissão (TCP) garante a transmissão de informações. No entanto, Protocolo de Datagrama de Usuário (UDP de User Datagram Protocol) transporta datagramas sem verificá-los cabo a cabo. A camada de rede do protocolo TCP/IP inclui diversos protocolos, dos quais os protocolos Internet (IP) e ICMP são os mais importantes. Todas comunicações de camadas, inferior e superior, viajam através de IP. O protocolo ICMP é usado para facilitar e administrar o roteamento de pacotes na rede. As Camadas de Acesso a Rede agrupam Link de Dados OSI e Camadas Fisicas na arquitetura TCP/IP. TCP/IP usa standards de Camada Fisica e Link de Dados existentes, ao invés de defini-los per se.The TCP / IP architecture in a model can be described as having 4 layers or hybridized entities: Application, Transport, Network, and Network Access. The TCP / IP Application layer groups the Session, Presentation, and OSI Application Layers. TCP / IP uses the terms "socket" and "port" to describe the paths through which applications host devices communicate. Most application-level protocols are associated with one or more port numbers. The TCP / IP transport layer effectively uses two network protocols to send / receive useful data to different applications. However, the transmission control protocol (TCP) guarantees the transmission of information. However, User Datagram Protocol (UDP) carries datagrams without checking them cable to cable. The network layer of the TCP / IP protocol includes several protocols, of which the Internet (IP) and ICMP protocols are the most important. All lower and upper layer communications travel over IP. The ICMP protocol is used to facilitate and manage packet routing on the network. The Network Access Layers group OSI Data Link and Physical Layers in the TCP / IP architecture. TCP / IP uses existing Physical Layer and Data Link standards, rather than defining them per se.

Para abranger duas redes separadas, foram desenvolvidos diversos métodos em função da organização de rede. Como alguns exemplos podem ser citados: firewall, pontes, portas, switchs, e roteadores.To cover two separate networks, several methods have been developed depending on the network organization. As some examples can be mentioned: firewall, bridges, ports, switches, and routers.

Um firewall é um dispositivo de segurança implementado por hardware, software, firmware, ou uma combinação destes, que é configurado para permitir, rejeitar, ou intermediar conexões. A tarefa básica do firewall é controlar tráfego e redes em diferentes zonas seguras. Freqüentemente, um firewall é chamado "filtro de pacote". Para implementar um firewall, requer-se um considerável entendimento de segurança, e protocolos complexos de rede, que demanda uma expertise considerável do administrador de rede para prover a configuração apropriada. Um pequeno erro pode inutilizar o firewall, como ferramenta de segurança.A firewall is a security device implemented by hardware, software, firmware, or a combination of these, which is configured to allow, reject, or broker connections. The basic task of the firewall is to control traffic and networks in different secure zones. Often, a firewall is called a "packet filter". To implement a firewall, a considerable understanding of security and complex network protocols is required, which requires considerable expertise from the network administrator to provide the appropriate configuration. A small error can render the firewall unusable as a security tool.

Uma rede conecta (serve de ponte) múltiplos segmentos na camada de link de dados (Camada 2 no modelo OSI, Camada de Acesso à Rede no modelo TCP/IP). Uma ponte é diferente de hub, que simplesmente retransmite pacotes a segmentos de rede adjacentes. Uma ponte administra o tráfego de uma rede a outra, processando informações a partir de cada quadro de dados recebido. Para um quadro Ethernet, a ponte provê o endereço MAC da origem e destino do quadro, que é usado para resolver o segmento de rede apropriado a qual pertence o endereço MAC. Dois diferentes métodos são usados para resolver como rotear pacotes. "Conexão de Ponte Transparente"(Transparent Bridging) usa um banco de dados para enviar quadros através de segmentos de rede. Uma Conexão de Ponte de Rota de Origem (Source Route Bridging) emprega dois tipos de quadro - Uma Rota (SR - Single Route) e Todas Rotas (AR - All Routes) - para encontrar a rota para o segmento de rede de destino. Os quadros AR são usados para encontrar rotas e os quadros SR para rotear dados, desde que conhecida a rota. De acordo com standard IEEE 802.ID, a ponte de rede freqüentemente é chamada "switch de rede". Embora as pontes de rede permitam o controle de acesso e controle de desempenho entre redes, as pontes de rede são difíceis de se adequarem a grandes redes (de crescerem para um tamanho adequado). Adicionalmente, a acumulação de dados requer um dispositivo de armazenamento e produz atrasos, que podem ser imprevisíveis em grandes redes, tornando a latência um parâmetro difícil de garantir. Muitas vezes, a conexão de diferentes protocolos MAC implica em erros, assim sendo necessária a especificação ou designação formal do equipamento para uso na rede.A network connects (serves as a bridge) multiple segments in the data link layer (Layer 2 in the OSI model, Network Access Layer in the TCP / IP model). A bridge is different from a hub, which simply relays packets to adjacent network segments. A bridge manages traffic from one network to another, processing information from each data frame received. For an Ethernet frame, the bridge provides the MAC address of the frame's source and destination, which is used to resolve the appropriate network segment to which the MAC address belongs. Two different methods are used to resolve how to route packets. "Transparent Bridging" uses a database to send frames across network segments. A Source Route Bridging Connection employs two frame types - One Route (SR - Single Route) and All Routes (AR - All Routes) - to find the route for the destination network segment. AR frames are used to find routes and SR frames to route data, as long as the route is known. According to the IEEE 802.ID standard, the network bridge is often called a "network switch". Although network bridges allow access control and performance control between networks, network bridges are difficult to adapt to large networks (to grow to an adequate size). Additionally, data accumulation requires a storage device and produces delays, which can be unpredictable on large networks, making latency a difficult parameter to guarantee. Often, the connection of different MAC protocols implies errors, so it is necessary to specify or formally designate the equipment for use on the network.

Para lidar com grandes itens de rede, devem ser incluídos roteadores e pontes para controlar dados. No entanto, como a experiência mostrou, na Internet as ligações de Camada 3 (roteadores) e Camada 2 (pontes e switchs) são fracas em termos de segurança. Várias formas de ataques, como fraude de endereço MAC, míngua (starvation) DHCP, manipulação de protocolo por difusão em árvore (spanning- tree), antecipação (hoping) VLA, e outros, implicam em sérias restrições impostas pelos departamentos IT, em relação a como as redes são implementadas e configuradas.To handle large network items, routers and bridges must be included to control data. However, as experience has shown, Layer 3 (routers) and Layer 2 (bridges and switches) connections on the Internet are weak in terms of security. Various forms of attacks, such as MAC address fraud, DHCP starvation, spanning tree manipulation, VLA expectation (VLA), and others, imply serious restrictions imposed by IT departments in relation to how networks are implemented and configured.

Para conectar (em ponte) duas redes com sucesso, freqüentemente é criada uma porta a partir de roteadores, pontes, e switchs, como entrada para outra rede. Uma porta freqüentemente é associada a um roteador que sabe para onde direcionar um dado pacote que chega na porta, e a um switch que dá a trajetória efetiva de/ para uma porta de um dado pacote. Em uma rede corporativa, tipicamente um servidor é usado como nó de porta. Este servidor freqüentemente também atua como ambos servidor proxy e servidor firewall e, portanto, sua supervisão requer implementação e administração muito complexa.To successfully connect (bridge) two networks, a port is often created from routers, bridges, and switches as an input to another network. A port is often associated with a router that knows where to direct a given packet that arrives at the port, and a switch that gives the effective trajectory to / from a port in a given packet. In a corporate network, a server is typically used as a port node. This server often also acts as both a proxy server and a firewall server and, therefore, its supervision requires very complex implementation and administration.

No entanto, muitos aplicativos (tal como video- conferência) requerem fluxos de áudio e vídeo de parceiros fora da rede corporativa para prover um valor efetivo. Portanto, a presente invenção provê imagens e aparelhos para propiciar fluxos de dados inerentemente seguros, tal como fluxos de dados de áudio/ video A/V para programas aplicativos, sem os problemas inerentes à implementação e administração de conexões tradicionais de rede.However, many applications (such as video conferencing) require audio and video streams from partners outside the corporate network to provide effective value. Therefore, the present invention provides images and devices to provide inherently secure data streams, such as A / V audio / video data streams for application programs, without the problems inherent in the implementation and administration of traditional network connections.

Synthetic Bridging Connection

As configurações descritas provêem segurança inerente através de uma técnica definida como "Conexão de Ponte Sintética", que inclui os seguintes aspectos: a- um primeiro método ou dispositivo para extrair dados selecionados de camadas de apresentação ou aplicativo de uma primeira rede contendo um primeiro conjunto desejado de segundos fluxos de dados para serem transportados para uma segunda rede; b- um segundo método ou dispositivo para extrair dados selecionados de camadas de apresentação ou aplicativo da segunda rede, contendo um conjunto desejado de segundos fluxos de dados para serem transportados para a primeira rede, permitindo uma operação duplex-total; c- transportar os primeiros e segundos fluxos de dados através de um conjunto de interfaces de link de midia do tipo non-network, que somente permita uma codificação limitada de informação e inerentemente impeça que qualquer informação que não esteja nos conjuntos de primeiros e segundos fluxos de dados que sejam modificados até depois que os primeiros e segundos fluxos de dados estiverem no controle da rede oposta, a partir da qual estes dados foram transportados. "Codificação Limitada de Informação" se refere a forçar todas informações (dados) nos respectivos fluxos de dados a serem codificadas em um formato do tipo non-network limitado e enviá-las através de uma interface de link de midia do tipo non-network, que apenas aceite este formato limitado antes de ser decodificado do formato limitado de volta para um formato aceitável para os pacotes de rede. Assim, em uma configuração, as informações nos fluxos de dados de uma primeira rede são codificadas de MPEG2 para uma codificação limitada de video tipo RGB RS 170, e enviadas por uma interface de link de midia do tipo non- network, tal como um cabo VGA. O video RGB RS 170 tem um formato limitado que se caracteriza por ser inerentemente incapaz de executar um protocolo de rede ou de ser manipulado pelo tráfego de rede em uma primeira ou segunda rede. O sistema RGB RS 170 então pode voltar para MPEG2 ou para outro formato codificado de video para ser controlado e integrado na segunda rede para transporte. Em outra configuração, a codificação limitada de informação pode manter o fluxo de dados em formato digital, mas codifica o fluxo de dados para um tipo diferente de barramento de dados (tal como, SDI, DVI etc.) para prover uma interface de link de midia do tipo non-network, que não corresponde à rede, para inerentemente impedir a transmissão de controle de rede ou a modificação de qualquer informação não incluída no fluxo de dados até que o fluxo de dados esteja no controle da segunda rede.The described configurations provide inherent security through a technique defined as "Synthetic Bridge Connection", which includes the following aspects: a- a first method or device to extract selected data from presentation or application layers of a first network containing a first set desired second data streams to be transported to a second network; b- a second method or device to extract selected data from presentation or application layers of the second network, containing a desired set of second data streams to be transported to the first network, allowing for a full-duplex operation; c- transport the first and second data streams through a set of media links of the non-network type, which only allows limited encoding of information and inherently prevents any information that is not in the sets of first and second streams of data that are modified until after the first and second data streams are in control of the opposite network, from which this data has been transported. "Limited Information Coding" refers to forcing all information (data) in the respective data streams to be encoded in a limited non-network format and sending it through a non-network media link interface, that only accepts this limited format before being decoded from the limited format back to an acceptable format for network packets. Thus, in a configuration, the information in the data streams of a first network is encoded from MPEG2 to a limited video encoding type RGB RS 170, and sent over a non-network media link interface, such as a cable VGA. RGB RS 170 video has a limited format that is characterized by being inherently incapable of executing a network protocol or being manipulated by network traffic on a first or second network. The RGB RS 170 system can then switch back to MPEG2 or another encoded video format to be controlled and integrated into the second network for transport. In another configuration, limited information encoding can maintain the data flow in digital form, but encodes the data flow to a different type of data bus (such as, SDI, DVI etc.) to provide a data link interface. non-network media, which does not correspond to the network, to inherently prevent the transmission of network control or the modification of any information not included in the data flow until the data flow is in control of the second network.

Com certeza, outros aspectos podem ser adicionados para aumentar ainda mais a capacidade da Ponte Sintética. Assim, em virtude apenas de os dados selecionados serem extraídos das camadas de sessão, apresentação, ou aplicativo, uma interface adicional independente da trajetória de dados pode ser provida para controle de aplicativo ou de outras informações de aplicativo para ser transportado para a segunda rede. Ademais, uma vez extraídas dos dados selecionados todas informações relativas à rede das camadas TCP/IP ou OSI inferiores, uma interface adicional pode ser provida para permitir serviços de diretório na rede oposta, dai permitindo a seleção de onde obter ou para onde rotear os primeiros e segundos fluxos de dados. Uma solução com respeito a prover serviços de controle ou diretório, é prover apenas serviços unidirecionais de controle e diretório. Um modo no qual os serviços unidirecionais de controle/ diretório podem ser providos, é permitir que os serviços de controle e diretório unidirecionais sejam providos através de uma trajetória separada, tal como por e mail. Em outras palavras, um usuário em um sitio na primeira rede pode enviar um e mail para um endereço de e mail conhecido, com a apropriada autenticação de emitente. 0 e mail pode incluir informações com respeito a qual sitio na segunda rede acessar, e quais fluxos de dados receber e enviar. Outra solução é permitir que um sitio de Internet seja acessado por senha ou controle biométrico para configurar uma Ponte Sintética.Certainly, other aspects can be added to further increase the capacity of the Synthetic Bridge. Thus, because only the selected data is extracted from the session, presentation, or application layers, an additional interface independent of the data path can be provided for application control or other application information to be transported to the second network. In addition, once all the network information of the lower TCP / IP or OSI layers is extracted from the selected data, an additional interface can be provided to allow directory services on the opposite network, thus allowing the selection of where to obtain or where to route the first ones. and second data streams. One solution with respect to providing control or directory services is to provide only one-way control and directory services. One way in which unidirectional control / directory services can be provided is to allow unidirectional control and directory services to be provided through a separate path, such as by email. In other words, a user at a site on the first network can send an email to a known email address, with the appropriate issuer authentication. The e-mail may include information regarding which site on the second network to access, and which data streams to receive and send. Another solution is to allow an Internet site to be accessed by password or biometric control to configure a Synthetic Bridge.

Adicionalmente aos aspectos de uma Ponte Sintética, podem ser configuráveis múltiplas Pontes Sintéticas em uma configuração quer serial ou "encadeada em margarida" (serial). Portanto, uma trajetória bidirecional de fluxo de dados inerentemente segura pode ser transferida de uma primeira para uma terceira rede por uma segunda rede (rede c-tran) com segurança e requerendo um suporte IT minimo para implementar e configurar.In addition to the aspects of a Synthetic Bridge, multiple Synthetic Bridges can be configurable in either a serial or "daisy chained" (serial) configuration. Therefore, a bidirectional path of inherently secure data flow can be transferred from a first to a third network over a second network (c-tran network) securely and requiring minimal IT support to implement and configure.

Para prover segurança e compatibilidade ainda maior entre redes e aplicativos, os dados selecionados desejados podem ser encapsulados com hyperdata (tal como, usando linguagem de descrição de colaboração) que descreva o propósito do fluxo de dados, o formato em que se encontra, a quem pertence, e outras informações relevantes, que podem ser úteis a diferentes aplicativos. Assim, provendo um recipiente de camada colaborativa melhorado em torno dos fluxos de dados selecionados, os fluxos de dados podem ser compartilhados em meio a diferentes aplicativos depois de feitas várias transformações nos fluxos de dados usando hyperdata encapsulado. Mais detalhes a respeito destes componentes de várias configurações serão descritos mais adiante em relação aos desenhos anexos e suas descrições.To provide even greater security and compatibility between networks and applications, the desired selected data can be encapsulated with hyperdata (such as using collaboration description language) that describes the purpose of the data flow, the format in which it is located, to whom belongs, and other relevant information, that can be useful to different applications. Thus, by providing an improved collaborative layer container around the selected data streams, the data streams can be shared among different applications after making various transformations to the data streams using encapsulated hyperdata. More details regarding these components of various configurations will be described later in relation to the accompanying drawings and their descriptions.

A figura 1 é uma configuração exemplar de um sistema de video-conferência de ponte 10 que compartilha informações tais como video áudio e outros fluxos de dados através de uma rede de Internet confiável 12A, (rede c-tran). A Internet, que, na verdade, é um protocolo de rede operado em várias redes privadas e públicas, não é considerada uma rede segura, ainda que seja usada muitas vezes como rede de colaboração. Um sistema de conferência por telepresença 20 pode incluir diversos fluxos de video, tal como a partir das câmaras 22, 24, 26, e dai para os monitores 32, 34, 36. Também são incluidos os fluxos de áudio a partir dos microfones 52, 54, 56, que seguem para os falantes 44, 46, 48 e sub-woofer 50. Fluxos de dados adicionais podem ser transportados por rede segura 12A, tal como scanner local 18 ou monitor de dados 38, via servidor local 14. O servidor 14 também pode cumprir outras tarefas, tal como prover interface gráfica de usuário (GUI) para o monitor 18. A GUI permite implementação e operação simples de video-conferência, e também serviços de diretório e outras tarefas. O servidor 14 pode ser controlado com mouse 16 com interface GUI por um participante no local.Figure 1 is an exemplary configuration of a bridge video conferencing system 10 that shares information such as video audio and other data streams over a reliable Internet network 12A, (c-tran network). The Internet, which is actually a network protocol operated on several private and public networks, is not considered to be a secure network, although it is often used as a collaborative network. A telepresence conference system 20 can include several video streams, such as from cameras 22, 24, 26, and from there to monitors 32, 34, 36. Audio streams from microphones 52, 54, 56, which go to speakers 44, 46, 48 and sub-woofer 50. Additional data streams can be transported over secure network 12A, such as local scanner 18 or data monitor 38, via local server 14. The server 14 can also perform other tasks, such as providing a graphical user interface (GUI) for monitor 18. The GUI allows simple implementation and operation of video conferencing, as well as directory services and other tasks. Server 14 can be controlled with mouse 16 with GUI interface by an on-site participant.

Os fluxos de áudio de/ para o sistema de video- conferência por telepresença 20 podem ser misturados e processados para reduzir ecos e permitir sua adaptação à acústica ambiente, usando um circuito de mixagem e eliminação de eco. A clareza do som nos falantes pode ser melhorada por meio de amplificadores 32 para permitir uma melhor direcionalidade, provendo a separação de tons graves para o sub-woofer 50 e tons agudos para falantes 44, 46, 48. Todos os fluxos de dados de áudio e video podem ser comprimidos, codificados, decodificados, descomprimidos, reformatados, ou convertidos para diferentes formatos usando uma circuitagem codec 28.The audio streams to / from the telepresence video conference system 20 can be mixed and processed to reduce echoes and allow them to adapt to ambient acoustics, using a mixing and echo elimination circuit. The clarity of sound in the speakers can be improved by means of amplifiers 32 to allow a better directionality, providing the separation of low tones for sub-woofer 50 and high tones for speakers 44, 46, 48. All audio data streams and video can be compressed, encoded, decoded, decompressed, reformatted, or converted to different formats using codec 28 circuitry.

Embora uma rede segura 12A permita que um sistema de video-conferência de telepresença 20 interfaceie outros sistemas similares 20 na rede segura 12A, há outros tipos de sistemas video-conferência 11 através dos quais se prefere compartilhar informações entre e com sistemas video-conferência por telepresença 20. No entanto, estes outros sistemas de video-conferência 11 tipicamente se encontram em intranets corporativas ou em redes públicas/ privadas 12B, que não são confiáveis a usuários na rede segura 12A, assim tornando as redes 12B não- seguras. Ademais, embora os usuários na rede 12B possam se confiar mutuamente pode não haver um conhecimento suficiente das pessoas na rede segura 12A com os usuários na rede 12B, por conseguinte, a rede segura 12A também pode passar a ser percebida como rede não-segura.Although a secure network 12A allows a telepresence video conference system 20 to interface with similar systems 20 on secure network 12A, there are other types of video conference systems 11 through which it is preferred to share information between and with video conference systems over telepresence 20. However, these other video conferencing systems 11 typically are found on corporate intranets or on public / private networks 12B, which are not trusted by users on secure network 12A, thus making networks 12B insecure. In addition, although users on network 12B may trust each other, there may not be sufficient knowledge of people on secure network 12A with users on network 12B, therefore, secure network 12A can also come to be perceived as non-secure network.

Portanto, as configurações descritas permitem uma conexão entre duas ou mais sessões colaborativas diferentes em diferentes redes de modo demonstravelmente seguro para prover um transporte confiável e seguro entre dois ou mais sitios. Estas configurações eliminam a necessidade de uma trajetória Internet privada ou não-confiável entre duas redes de sitio. Ou seja, ao invés de prover uma ponte switch IP convencional ou roteador que opera em niveis baixos (2-4) do arranjo (framework) OSI, a invenção provê uma Ponte Sintética 100 entre as redes 12A e 12B para fluxos de dados de aplicativos. Esta Ponte Sintética 100 retira e assim impede que todos protocolos de rede (tal como protocolo IP) sejam compartilhados entre as redes, enquanto permite que os fluxos de dados de aplicativo e controle de aplicativo sejam transportados. Uma segurança inerente é provida em parte por uma seleção lógica dos fluxos de dados (usando hardware ou software, ou uma combinação destes) e por uma codificação limitada de informação dos fluxos de dados, que permite que os fluxos de dados passem através de uma interface de link de midia do tipo non-network que fisicamente não permite que quaisquer informações de protocolo de rede passe entre as redes. Ademais, em algumas configurações, a interface de link de midia do tipo non-network é apenas compatível com o transporte de fluxos de dados de aplicativos. Assim, uma interface de link de midia do tipo non-network para um fluxo de dados de video é um link de video analógico, que é incapaz de conduzir informações de protocolo de rede. Um segundo link de midia do tipo non-network para um fluxo de dados analógico pode ser um cabo de áudio analógico, que é incapaz de conduzir informações de protocolo de rede. Assim, usando interfaces de link de midia convencionais para conduzir fluxos de dados que são inerentemente incapazes de conduzir informações de protocolo de midia, a segurança é demonstravelmente segura.Therefore, the described configurations allow a connection between two or more different collaborative sessions in different networks in a demonstrably secure way to provide a reliable and safe transport between two or more sites. These configurations eliminate the need for a private or unreliable Internet path between two site networks. That is, instead of providing a conventional IP switch bridge or router that operates at low levels (2-4) of the OSI framework, the invention provides a Synthetic Bridge 100 between networks 12A and 12B for application data flows . This Synthetic Bridge 100 removes and thus prevents all network protocols (such as IP protocol) from being shared between networks, while allowing application data and application control flows to be transported. Inherent security is provided in part by a logical selection of data streams (using hardware or software, or a combination of these) and by a limited encoding of information from the data streams, which allows data streams to pass through an interface non-network media link that physically does not allow any network protocol information to pass between networks. In addition, in some configurations, the non-network media link interface is only compatible with the transport of application data streams. Thus, a non-network media link interface for a video data stream is an analog video link, which is unable to carry network protocol information. A second non-network media link to an analog data stream can be an analog audio cable, which is unable to carry network protocol information. Thus, using conventional media link interfaces to conduct data streams that are inherently incapable of conducting media protocol information, security is demonstrably secure.

A rede segura 12A pode ser uma rede de aplicativo dedicada, tal como uma rede c-tran e não uma rede geral como a Internet, que opera em várias redes, públicas ou privadas. A rede 12A é designada especificamente para otimizar bandas largas de baixa latência para ser capaz de transmissões ao vivo, interativas, de áudio, video, e outros fluxos de midia com muitos dados. Preferivelmente, a rede 12A tem um link menor de 45 Mbps para evitar um atraso de serialização mais significativo. Para manter a latência minimizada, utiliza-se uma topologia de rede continua. Para manter uma experiência alta qualidade para os usuários, a latência total em um sentido entre dois sitios é mantida menor que 1/4 de segundo. Esta latência total abrange todos aspectos de codificação/ decodificação, encapsulamento/ desencapsulamento, captura e apresentação, filtragem, processamento, compressão/ descompressão, e latências de transporte através das trajetórias de transmissão. Como diminui a contribuição de cada componente para a latência total (à medida que a tecnologia se desenvolve) , aumenta a distância de "alcance" de onde diferentes sitios podem ser fisicamente localizados.The secure network 12A can be a dedicated application network, such as a c-tran network and not a general network like the Internet, which operates on multiple networks, public or private. The 12A network is specifically designed to optimize low-latency broadband to be capable of live, interactive, audio, video, and other media streams with lots of data. Preferably, network 12A has a link less than 45 Mbps to avoid a more significant serialization delay. To keep latency minimized, a continuous network topology is used. To maintain a high quality experience for users, the total latency in one direction between two sites is kept below 1/4 of a second. This total latency covers all aspects of encoding / decoding, encapsulation / decapsulation, capture and presentation, filtering, processing, compression / decompression, and transport latencies across the transmission paths. As each component's contribution to total latency decreases (as the technology evolves), the "reach" distance from where different sites can be physically located increases.

Para preservar melhor as trajetórias mais curtas, que são capazes de prover uma entrega confiável com perda de poucos pacotes, são usados mecanismos de recurso de rede e largura de banda para garantir sessões de alta qualidade durante toda a sessão. Como a maior parte dos fluxos de dados presumivelmente ocorre conectando um par ou um pequeno número de sitios para uma dada sessão, há pouca presunção de preferência de sessão, quando do inicio de sessões autorizado.To better preserve the shorter trajectories, which are capable of providing reliable delivery with the loss of a few packets, network resource and bandwidth mechanisms are used to ensure high quality sessions throughout the session. Since most data flows presumably occur by connecting a pair or a small number of sites for a given session, there is little presumption of session preference when authorized sessions start.

Sessões tolerantes a latência e/ou perdas podem ser providas na rede. Tais serviços incluem diretório, presença, envio de mensagens, verificação de credencial, e serviços tempo/ nome, por exemplo. O interior da rede se concentra em permitir maiores velocidades aos fluxos de tráfego. Qualquer controle de acesso, codificação, decodificação, e outros serviços proxy, se necessários, ocorrem na borda da rede, tal como na Ponte Sintética 100, e não no interior da rede 12A. Esta solução ajuda a prover um backbone de rede 12A de expansão e manutenção simples, estável e rápido.Latency and / or loss tolerant sessions can be provided on the network. Such services include directory, presence, messaging, credential verification, and time / name services, for example. The interior of the network focuses on allowing greater speeds to traffic flows. Any access control, encryption, decryption, and other proxy services, if necessary, occur at the edge of the network, such as on Synthetic Bridge 100, and not within network 12A. This solution helps provide a simple, stable and fast expansion and maintenance 12A network backbone.

A figura 2 é um desenho exemplar de uma configuração ilustrando uma solução para implementar a Ponte Sintética 100. Nesta configuração a Ponte Sintética 100 tem três componentes principais: nó de conteúdo 120, conjunto de interfaces de link de midia do tipo non-network 130-135, e nó de colaboração 110. O nó de conteúdo 120 é conectado à rede 12B, tal como com uma linha arrendada 140 (por exemplo, um cabo óptico, T3 ou através de um link sem-fio) que provê um grande duto de/ para o nó de conteúdo 120. Embora a rede 12B possa ser conectada a vários produtos no tipo colaborativo, tal como dispositivos de video-conferência, videogames, telas interativas, e sistemas de telepresença, uns poucos exemplos representativos, não-limitantes, são mostrados. Assim, um dispositivo móvel 115, com webcam incorporado (não mostrado) , é conectado à rede 12B por meio de uma conexão quer cabeada, óptica, ou sem-fio. Também é mostrado um computador PC compatível IBM™ 113 ou Apple™ 116 (Imac™), com sistema de web-conferência e video- conferência pessoal dedicado 114. O nó de colaboração 110 é conectado a uma rede segura 12A. A rede segura 12A é adicionalmente conectada a outros sistemas de video-conferência (VCS) 20. O VCS 20 pode ser um sistema de telepresença, como mostrado em vista explodida. O VCS S20 inclui um gabinete (rack) de interface 21 que conecta os monitores de video 32, 34, 36 e interface GUI/ tela de colaboração 38. Outras conexões, por exemplo, de áudio, câmaras, e outras ferramentas de colaboração, são omitidas, para efeito de clareza. Os monitores de video são arranjados em torno de uma mesa de conferência 60 com cadeiras 62 para propiciar uma sensação de realidade. O conjunto de interfaces de link de midia do tipo non- network 130-135 permite que apenas informações de codificação limitada sejam transportadas entre o nó de conteúdo 120 e o nó de colaboração 110. Nesta configuração particular, utilizam-se quatro interfaces de link de midia do tipo non-network 130-135 para transportar dois fluxos de video em direções opostas e dois fluxos de áudio em direções opostas, embora qualquer número de interfaces de link de midia do tipo non-network também possa ser usado. Também é mostrada a condição de compartilhamento de outros dados, tal como conteúdo de video e conteúdo de áudio de DVD, HD-DVD™, Blue-Ray™, ou outros aparelhos (players) de midia óptica. Com certeza, outros equipamentos A/V ou outras interfaces de banda estreita podem ser conectados através de interfaces de link de midia do tipo non-network para prover segurança inerente às redes.Figure 2 is an exemplary drawing of a configuration illustrating a solution to implement Synthetic Bridge 100. In this configuration, Synthetic Bridge 100 has three main components: content node 120, a set of non-network media link interfaces 130- 135, and collaboration node 110. Content node 120 is connected to network 12B, such as with a leased line 140 (for example, an optical cable, T3 or via a wireless link) that provides a large / for content node 120. Although network 12B can be connected to various products in the collaborative type, such as video conferencing devices, video games, interactive screens, and telepresence systems, a few representative, non-limiting examples are shown. Thus, a mobile device 115, with a built-in webcam (not shown), is connected to the 12B network via either a wired, optical, or wireless connection. Also shown is an IBM ™ 113 or Apple ™ 116 (Imac ™) compatible PC computer, with dedicated personal web conferencing and video conferencing system 114. Collaboration node 110 is connected to a secure network 12A. The secure network 12A is additionally connected to other video conferencing systems (VCS) 20. The VCS 20 can be a telepresence system, as shown in an exploded view. The VCS S20 includes an interface 21 rack that connects video monitors 32, 34, 36 and GUI interface / collaboration screen 38. Other connections, for example, audio, cameras, and other collaboration tools, are omitted for clarity. Video monitors are arranged around a conference table 60 with chairs 62 to provide a sense of reality. The set of non-network media link interfaces 130-135 allows only limited encoding information to be transported between content node 120 and collaboration node 110. In this particular configuration, four network link interfaces are used. non-network media 130-135 to carry two video streams in opposite directions and two audio streams in opposite directions, although any number of non-network media link interfaces can also be used. Also shown is the condition of sharing other data, such as video content and audio content from DVD, HD-DVD ™, Blue-Ray ™, or other optical media players. Certainly, other A / V equipment or other narrowband interfaces can be connected via non-network media link interfaces to provide security inherent in networks.

A figura 3 é uma configuração exemplar de uma Ponte Sintética 100 tendo nó de conteúdo 120 e nó de colaboração 110, que são dispositivos que provêem interfaces de pilha de modelo OSI para as respectivas redes 12B e 12A para o conjunto de interfaces de link de midia do tipo non-network 130-133. Embora apenas quatro interfaces de link de midia do tipo non-network sejam mostradas, é possível o uso de qualquer número de interfaces de link de midia do tipo non-network. O nó de conteúdo 120 recebe o conteúdo da rede 12B por uma camada fisica, tal como conexão Ethernet incluindo uma linha arrendada 140, tal como conexão T3, embora quaisquer outros tipos fisicos sejam possíveis. Convencionalmente, a troca de dados entre duas redes próximas é feita na Camada 2 ou Camada de Link de Dados no modelo OSI, quando se usa um dispositivo de ponte ou switch. Se a distância entre as duas redes for grande, então o roteamento dos dados no Nivel 3 do modelo OSI convencionalmente é feito por um roteador. No entanto, as práticas de técnica anterior para formar um link de dados nestes niveis, tradicionalmente eram (e continuam sendo) sobrecarregadas para prover segurança efetiva contra virus. Assim, fica dificil efetivamente prover uma conexão de ponte entre duas redes separadas locais ou distantes, sem um enorme volume de suporte IT, quando se usam técnicas convencionais nas Camadas de Nivel 2 e 3 do modelo OSI ou firewalls de programação com portas.Figure 3 is an exemplary configuration of a Synthetic Bridge 100 having content node 120 and collaboration node 110, which are devices that provide OSI model stack interfaces for the respective networks 12B and 12A for the set of media link interfaces. non-network type 130-133. Although only four non-network media link interfaces are shown, it is possible to use any number of non-network media link interfaces. Content node 120 receives the content of network 12B through a physical layer, such as an Ethernet connection including a leased line 140, such as connection T3, although any other physical types are possible. Conventionally, data exchange between two nearby networks is done at Layer 2 or Data Link Layer in the OSI model, when using a bridge or switch device. If the distance between the two networks is large, then the routing of data on Level 3 of the OSI model is conventionally done by a router. However, prior art practices to form a data link at these levels have traditionally (and continue to be) overloaded to provide effective security against viruses. Thus, it is difficult to effectively provide a bridge connection between two separate networks, local or distant, without a huge volume of IT support, when using conventional techniques in Level 2 and 3 layers of the OSI model or programming firewalls with ports.

Em contraste, na configuração de Ponte Sintética, permite-se que os fluxos de dados de interesse transitem através de Camadas 1-7 no modelo OSI (ou camadas IP 1-4, dependendo de como foi descrito, como mencionado acima) antes de alcançar uma Camada de Colaboração ou Camada de Nivel 8, que permite extrair ou transferir fluxos de dados para a Camada 7 de Aplicativo. Em adição aos fluxos de dados A/V, fluxos de dados na forma de controle de aplicativo também podem ser transferidos através das Camadas de Nivel 8 e Nivel 7. Outras informações que podem ser transferidas são dados que descrevam formato, tamanho, codificação, conteúdo, uso, restrições, etc. que são aplicadas a cada fluxo de dados transportado para a outra rede 12A. Estas outras informações podem ter uma codificação limitada, e serem transportadas em uma interface de link de midia do tipo non-network para manter a segurança inerente. Filtrando ou selecionando seletivamente logicamente o aplicativo desejado A/V e fluxos de dados de controle a partir da camada de aplicativo e codificando os mesmos, em codificação limitada, para interfaces de link de midia do tipo non- network, todas informações de protocolo de rede (tal como endereços MAC, endereços IP, portas, e informações de roteamento) são impedidas de se transferir para a outra rede 12A. Usando interfaces de link de midia do tipo non- network em adição à seleção lógica, se impede que o protocolo de rede seja ocasionalmente modificado por um virus Trojans ou por outros programas de outra rede. Portanto, a Ponte Sintética 100 é uma combinação de hardware, software, e firmware que remove todas informações de protocolo de rede, antes de transferir os dados de aplicativo através de um conjunto inerentemente seguro de interfaces de link de midia do tipo non- network.In contrast, in the Synthetic Bridge configuration, data flows of interest are allowed to pass through Layers 1-7 in the OSI model (or IP layers 1-4, depending on how it was described, as mentioned above) before reaching a Collaboration Layer or Level 8 Layer, which allows you to extract or transfer data streams to Application Layer 7. In addition to A / V data streams, data streams in the form of application control can also be transferred through Level 8 and Level 7 Layers. Other information that can be transferred is data that describes format, size, encoding, content , usage, restrictions, etc. which are applied to each data stream transported to the other network 12A. This other information may have a limited encoding, and be carried over a non-network media link interface to maintain inherent security. Filtering or selectively selecting the desired A / V application and control data streams from the application layer and encoding them, in limited encoding, for non-network media link interfaces, all network protocol information (such as MAC addresses, IP addresses, ports, and routing information) are prevented from being transferred to the other 12A network. Using non-network media link interfaces in addition to the logical selection, it prevents the network protocol from being occasionally modified by a virus Trojans or other programs on another network. Therefore, the Synthetic Bridge 100 is a combination of hardware, software, and firmware that removes all network protocol information, before transferring application data through an inherently secure set of non-network media link interfaces.

Para ajudar a prover segurança adicional por um departamento IT da companhia, o nó de conteúdo 120 pode ser suprido, controlado, pré-configurado, ou inspecionado pelo departamento IT para garantir que apenas os fluxos de dados desejados sejam transportados pela Camada de Colaboração 8 para as interfaces de link de midia do tipo non-network. No entanto, não se requer um suporte IT continuo significativo. Idealmente, os fluxos de midia são logicamente selecionados a partir da saida do Aplicativo sem qualquer modificação do Aplicativo. Assim, a Camada de Colaboração 8 pode ser adicionada independentemente dos aplicativos existentes, dai aumentando a chance de manter a segurança.To help provide additional security for a company's IT department, content node 120 can be provisioned, controlled, pre-configured, or inspected by the IT department to ensure that only the desired data streams are carried over Collaboration Layer 8 to non-network media link interfaces. However, significant ongoing IT support is not required. Ideally, media streams are logically selected from the exit of the Application without any modification to the Application. Thus, Collaboration Layer 8 can be added independently of existing applications, thereby increasing the chance of maintaining security.

Além de ajudar a proteger o sistema de codificação/ decodificação na rede 12B, a Camada de Colaboração 8 pode ser usada para prover a decodificação dos fluxos de dados codificados antes de apresentá-los ao conjunto de interfaces de link de midia do tipo non-network 130-133 para acrescentar mais segurança. Assim, não apenas os protocolos de rede não são transferidos com os fluxos de dados, mas também as chaves públicas ou privadas não precisam ser transferidas para permitir a decodificação a jusante dos fluxos de dados nos sitios receptores. O nó de colaboração 120, depois de receber o fluxo de dados de codificado do nó de conteúdo 120, pode adicionar sua própria codificação antes de apresentar o fluxo de dados para transporte na rede 12A.In addition to helping to protect the encoding / decoding system on the 12B network, Collaboration Layer 8 can be used to provide decoding of the encoded data streams before presenting them to the set of non-network media link interfaces. 130-133 to add more security. Thus, not only are network protocols not transferred with data flows, but also public or private keys do not need to be transferred to allow decoding downstream of data flows at the receiving sites. Collaboration node 120, after receiving the encoded data stream from content node 120, can add its own encoding before presenting the data stream for transport on network 12A.

Similarmente, nos fluxos de dados transferidos do nó de colaboração 110 para o nó de conteúdo 120, o nó de colaboração 110 também pode remover sua codificação (se houver) e transferir um fluxo de dados decodificado para o nó de conteúdo 120, que então adiciona sua própria codificação na Camada de Colaboração 8 antes de apresentar o fluxo de dados para a rede 12B. Novamente, aqui não será preciso compartilhar chaves de codificação entre redes, assim provendo maior confiança e segurança entre as redes 12A e 12B.Similarly, in data streams transferred from collaboration node 110 to content node 120, collaboration node 110 can also remove its encoding (if any) and transfer a decoded data flow to content node 120, which then adds its own encoding at Collaboration Layer 8 before presenting the data stream to the 12B network. Again, here it is not necessary to share encryption keys between networks, thus providing greater confidence and security between networks 12A and 12B.

Embora ambos, nó de conteúdo 120 e nó de colaboração 110, sejam mostrados como blocos abstratos implementando as várias funções das Camadas OSI, aqueles habilitados na técnica deverão perceber que estas funções poderiam ser implementadas através de uma circuitagem lógica usando hardware ou memória (ou uma combinação destes) programados para executar instruções legíveis por computador em uma unidade de processamento. O conjunto de interfaces de link de midia do tipo non- network pode ser implementado através de qualquer combinação de interfaces digital ou analógica standard convencional, tal como, DVI, HDMI, RGB RS170, VGA, etc. Em adição, uma interface de link de midia do tipo non- network customizada pode ser implementada para prover segurança adicional, construindo a mesma, de modo que não possa ser acessada sem um acesso fisico autorizado. No entanto, uma vez não sendo transferida nenhuma informação de protocolo de rede através da interface de link de midia do tipo non-network, qualquer um com acesso não-autorizado pode conseguir sua ruptura, monitoramento, substituição dos fluxos de dados. Estas ações não afetariam o roteamento de fluxo de dados pelo fato de ser administrado pela rede segura 12A. O nó de colaboração 110 funciona similarmente como descrito para o nó de conteúdo 120, mas provê seus serviços para aplicativos transportados na rede segura 12A. O nó de colaboração 110 se comunica através de uma segunda linha arrendada de banda larga 150 ou outra interface de alta velocidade, tal como fibra óptica para a rede 12A. Ademais, conquanto a figura 3 ilustre um fluxo simétrico de informações entre o nó de conteúdo 120 e o nó de colaboração 110, o fluxo de informações pode ser assimétrico. Assim, o nó de colaboração 110 pode prover mais fluxos de dados A/V para o nó de conteúdo 120 receptor. Como exemplo de conexão de ponte, um sistema de telepresença para uma estação de video-conferência, o nó de conteúdo 120 pode prover fluxos de video e áudio. No entanto, o nó de colaboração 110 pode prover três fluxos de video e um fluxo de áudio para seu sitio de reunião local e três fluxos de video e um fluxo de áudio adicionais para a reunião combinada junto com um link de colaboração A/V, tal como para um aparelho DVD, ou outro equipamento A/V.Although both content node 120 and collaboration node 110 are shown as abstract blocks implementing the various functions of the OSI Layers, those skilled in the art should realize that these functions could be implemented through logical circuitry using hardware or memory (or a combination of these) programmed to execute computer-readable instructions in a processing unit. The set of non-network media link interfaces can be implemented through any combination of conventional standard digital or analog interfaces, such as DVI, HDMI, RGB RS170, VGA, etc. In addition, a custom non-network media link interface can be implemented to provide additional security, building it so that it cannot be accessed without authorized physical access. However, once no network protocol information is transferred through the non-network media link interface, anyone with unauthorized access can achieve its disruption, monitoring, replacement of data flows. These actions would not affect the data flow routing as it is managed by the secure 12A network. Collaboration node 110 works similarly as described for content node 120, but provides its services for applications transported on secure network 12A. Collaboration node 110 communicates via a second broadband leased line 150 or other high-speed interface, such as optical fiber to network 12A. Furthermore, while figure 3 illustrates a symmetrical flow of information between the content node 120 and the collaboration node 110, the information flow can be asymmetric. Thus, collaboration node 110 can provide more A / V data streams to the receiving content node 120. As an example of bridge connection, a telepresence system for a video conferencing station, the content node 120 can provide video and audio streams. However, collaboration node 110 can provide three video streams and one audio stream to your local meeting site and three additional video streams and audio stream for the combined meeting together with an A / V collaboration link, such as a DVD player, or other A / V equipment.

Em resumo, a ponte sintética inclui um conjunto de interface de link de midia do tipo non-network que conecta um nó de conteúdo a um nó de colaboração. O nó de conteúdo inclui uma circuitagem para extrair dados selecionados da camada de aplicativo de uma primeira rede. Os dados selecionados contêm um conjunto de primeiros fluxos de dados sem protocolo de rede para ser transportado para uma segunda rede. O nó de conteúdo também inclui uma circuitagem para receber um conjunto de segundos fluxos de dados, de codificação limitada, para ser incorporado na camada de aplicativo da primeira rede, e uma circuitagem para codificar, em codificação limitada, o conjunto de primeiros fluxos de dados nas interfaces de link de midia do tipo non-network.In summary, the synthetic bridge includes a set of non-network media link interfaces that connect a content node to a collaboration node. The content node includes circuitry to extract selected data from the application layer of a first network. The selected data contains a set of first data streams without a network protocol to be transported to a second network. The content node also includes a circuit to receive a set of second data streams, of limited encoding, to be incorporated into the application layer of the first network, and a circuit to encode, in limited encoding, the set of first data streams. on non-network media link interfaces.

A colaboração inclui uma circuitagem para extrair dados selecionados a partir de uma camada de aplicativo da segunda rede que contém um conjunto de segundos fluxos de dados sem protocolo de rede para ser transportado para a primeira rede. O nó de colaboração também inclui uma circuitagem para receber um conjunto de primeiros fluxos de dados de codificação limitada para ser incorporado na camada de aplicativo da segunda rede, e uma circuitagem para codificar, em codificação limitada, o conjunto de segundos fluxos de dados no conjunto de interfaces de link de midia do tipo non-network.The collaboration includes circuitry to extract selected data from an application layer of the second network that contains a set of second data streams without a network protocol to be transported to the first network. The collaboration node also includes circuitry to receive a set of first encoded data streams to be incorporated into the application layer of the second network, and a circuit to encode, in limited encoding, the set of second data streams in the set non-network media link interfaces.

A figura 4 é um diagrama de blocos exemplar de uma configuração de "Ponte Sintética Estendida" 200 que incorpora duas Pontes Sintéticas 100A e 100B acopladas à rede segura 12A em modo "Margarida"(Daisy Chained). A Ponte Sintética 200 permite flexibilidade adicional e conexões remotas de longa distância. Outro aspecto possivel, se desejado, é o controle remoto para a Ponte Sintética 200.Figure 4 is an exemplary block diagram of an "Extended Synthetic Bridge" configuration 200 that incorporates two Synthetic Bridges 100A and 100B coupled to the secure network 12A in "Daisy" mode (Daisy Chained). The Synthetic Bridge 200 allows additional flexibility and long distance remote connections. Another possible aspect, if desired, is the remote control for the Synthetic Bridge 200.

Nesta configuração, uma primeira rede 12B é conectada ao computador 113A, VCS 114A, e dispositivo móvel 115A, Novamente, quaisquer das conexões pode ser cabeada, óptica, ou sem-fio, como desejado. Uma segunda rede 12C pode ser similarmente configurada com um computador 113B, VCS 114B, e dispositivo móvel 115B.In this configuration, a first network 12B is connected to computer 113A, VCS 114A, and mobile device 115A. Again, any of the connections can be wired, optical, or wireless, as desired. A second network 12C can be similarly configured with a computer 113B, VCS 114B, and mobile device 115B.

Neste arranjo pelo menos um dos dispositivos da primeira rede 12B, da segunda rede 12C, ou da rede segura 12A, ou uma combinação destas, pode acessar uma interface de controle 202 da Ponte Sintética 200. A interface de controle pode ser feita manualmente diretamente conectada ou conectada pela Internet 204 como mostrado na figura 4. A interface de controle 202 pode ser acionada por comando, interface gráfica de usuário (GUI), seleção por menu, capaz de aceitar comandos remotos, ou qualquer combinação destes. Uma opção adicional para controle por Internet é feita por comandos enviados por e mail. Esta solução permite uma filtragem adicional dos comandos recebidos para garantir que os mesmos procedem de fontes autorizadas e reputáveis. Ademais, a GUI pode ser apresentada através da interface de página web para a interface de controle 202.In this arrangement at least one of the devices from the first network 12B, the second network 12C, or the secure network 12A, or a combination of these, can access a control interface 202 from Synthetic Bridge 200. The control interface can be made manually directly connected or connected via the Internet 204 as shown in figure 4. The control interface 202 can be activated by command, graphical user interface (GUI), menu selection, capable of accepting remote commands, or any combination of these. An additional option for Internet control is made by commands sent by email. This solution allows additional filtering of the commands received to ensure that they come from authorized and reputable sources. In addition, the GUI can be presented via the web page interface to the 202 control interface.

A Ponte Sintética Estendida 200 inclui rede segura 12A, uma primeira Ponte Sintética 100A, e uma segunda Ponte Sintética 100B. A rede segura 12A pode incluir um ou mais sítios de video-conferência 20. Em adição, o controle da Ponte Sintética Estendida 200 pode ser provido por uma interface de controle separada 202, por exemplo, baseada em servidor. A interface de controle 202 pode permitir entrada manual, tal como através de interface GUI 38 e mouse 16 (figura 1) ou conectar outra rede compartilhada, tal como a Internet 204, como mostrado. A interface de controle 202 pode incluir sinais para permitir que a rede segura 12A configure várias conexões para colaboração entre dispositivos nas redes 12A, 12B, 12C.The Extended Synthetic Bridge 200 includes secure network 12A, a first Synthetic Bridge 100A, and a second Synthetic Bridge 100B. The secure network 12A may include one or more video conferencing sites 20. In addition, control of the Extended Synthetic Bridge 200 may be provided by a separate control interface 202, for example, server-based. The control interface 202 may allow manual entry, such as via GUI interface 38 and mouse 16 (figure 1) or connect to another shared network, such as the Internet 204, as shown. Control interface 202 may include signals to allow secure network 12A to configure multiple connections for collaboration between devices on networks 12A, 12B, 12C.

A primeira Ponte Sintética 100A inclui um primeiro nó de controle 120A e um primeiro nó de colaboração 110A para interfacear a rede 12B e rede segura 12A, respectivamente. O primeiro nó de conteúdo 120A e o primeiro nó de colaboração 110A se interconectam através de pelo menos uma primeira interface de link de mídia do tipo non-network 130A, através da qual os sinais de codificação limitada são transportados.The first Synthetic Bridge 100A includes a first control node 120A and a first collaboration node 110A for interfacing network 12B and secure network 12A, respectively. The first content node 120A and the first collaboration node 110A interconnect via at least one first non-network type media link interface 130A, through which the encoded signals are carried.

A segunda Ponte Sintética Estendida 100B é construída como a primeira Ponte Sintética 100A, no entanto, programada, ou designada, para interfacear a rede 12C com a rede segura 12A. Um nó de conteúdo 120B é conectado à rede 12C através de uma linha dedicada, tal como a linha arrendada 150 que pode ser remota da rede 12C. O segundo nó de colaboração 110B é conectado à rede 12A e ao segundo nó de conteúdo 120B, através de pelo menos uma segunda interface de link de mídia do tipo non-network 130B.The second 100B Extended Synthetic Bridge is constructed as the first 100A Synthetic Bridge, however, programmed, or designated, to interface the 12C network with the secure 12A network. A content node 120B is connected to network 12C via a dedicated line, such as leased line 150 which can be remote from network 12C. The second collaboration node 110B is connected to network 12A and the second content node 120B, through at least one second non-network media link interface 130B.

Os nós de conteúdo 120A e 120B podem ser programados ou configurados para converter os fluxos de A/V recebidos para uma codificação limitada standard e enviar estes fluxos A/V através das respectivas interfaces de link de mídia do tipo non-network 130A e 130B respectivamente para os nós de colaboração 110A e 110B. Os nós de colaboração 110A e 110B podem converter ou recodificar a codificação limitada standard recebida para um formato de colaboração especial reconhecido pelos nós de colaboração 110 na rede segura 12A. Similarmente, fluxos de colaboração A/V formatados especiais recebidos pelos nós de colaboração 110A e 110B podem ser convertidos para um formato codificado limitado e respectivamente transportados através das interfaces de link de midia do tipo non-network 130A e 130B, e convertidos ou recodifiçados para o formato requerido para as redes 12B e 12C.The content nodes 120A and 120B can be programmed or configured to convert the received A / V streams to a standard limited encoding and send these A / V streams through the respective non-network media link interfaces 130A and 130B respectively for collaboration nodes 110A and 110B. Collaboration nodes 110A and 110B can convert or recode the received standard limited encoding to a special collaboration format recognized by collaboration nodes 110 on the secure network 12A. Similarly, special formatted A / V collaboration streams received by collaboration nodes 110A and 110B can be converted to a limited encoded format and transported respectively through the non-network media link interfaces 130A and 130B, and converted or recoded to the format required for networks 12B and 12C.

Por conseguinte, provendo uma formatação codificada limitada e transportando através de uma interface de link de midia do tipo non-network, os nós de colaboração 110A e 110B e os nós de conteúdo 120A e 120B podem prover serviços de conversão com respeito a vários fluxos de dados para garantir interoperabilidade sem afetar a segurança de codificação. Conquanto as Pontes Sintéticas 100A e 100B provêem uma segurança inerente à rede segura 12A, a Ponte Sintética Estendida 20 também provê uma isolação de rede com alto nivel de segurança.Therefore, by providing limited encoded formatting and transporting via a non-network media link interface, collaboration nodes 110A and 110B and content nodes 120A and 120B can provide conversion services with respect to various streams of data to ensure interoperability without affecting encryption security. While Synthetic Bridges 100A and 100B provide safety inherent in the secure network 12A, the Extended Synthetic Bridge 20 also provides network insulation with a high level of safety.

A figura 5 é um diagrama de blocos exemplar de uma configuração de Ponte Sintética Estendida 400 que incorpora um aspecto adicional ou alternativo para a Ponte Sintética Estendida 200 da figura 4. Nesta configuração, os nós de colaboração 110A e 110B incluem lógica para acrescentar uma informação de "Linguagem de Descrição de Colaboração" (CDL) aos fluxos de dados transportados, para encapsulá-los, e permitir que outros nós de colaboração 110 na rede segura 12A processem melhor o fluxo de dados. A CDL consiste de informações diferentes daquelas que constam nos cabeçalhos de protocolo de rede, que normalmente acompanham os fluxos de dados através de uma rede. Ao invés de conter endereço MAC e portas e endereços IP de destino, a CDL descreve fluxos de dados encapsulados com respeito às propriedades subscritas para prover decodificação, decodificação, conversão, ou modificação, fáceis e rápidas dos fluxos de dados, e prover que os mesmos se adaptem a diferentes A/V ou a outros sistemas conectados às redes 12A, 12B, 12C.Figure 5 is an exemplary block diagram of an Extended Synthetic Bridge configuration 400 that incorporates an additional or alternative aspect to the Extended Synthetic Bridge 200 of figure 4. In this configuration, collaboration nodes 110A and 110B include logic for adding information from "Collaboration Description Language" (CDL) to transported data streams, to encapsulate them, and to allow other collaboration nodes 110 on the secure network 12A to better process the data stream. The CDL consists of information different from that contained in the network protocol headers, which normally accompany data flows over a network. Rather than containing MAC addresses and destination ports and IP addresses, the CDL describes encapsulated data streams with respect to subscribed properties to provide fast and easy decoding, decoding, converting, or modifying the data streams, and providing that they adapt to different A / V or other systems connected to networks 12A, 12B, 12C.

Assim, com um fluxo de video, a CDL pode descrever o formato de video, sua relação com outros fluxos de video e áudio, tal como dados de sincronização, ou correlação (quanto a telepresença ou multiconferência) com outros fluxos de dados, formato de cor, e profundidade de bit, standard de compressão usado, tecnologia de codificação usada, proprietário do fluxo, localização fisica de onde o fluxo se originou, fuso horário de onde o fluxo se originou, ângulo de captura de video da câmara, fator de zoom de câmara, quais participantes aparecem no video, e outros parâmetros com respeito a conteúdo e formato do video, que pode ser útil para outros nós de colaboração. A CDL pode parecer uma vez no começo do transporte do fluxo de video através de rede segura 12A ou também pode ser enviado periodicamente para permitir a resincronização de fluxo A/V, se houver dificuldades de rede. A CDL também pode ser interrompida, de modo que algumas informações relacionadas à sessão sejam transmitidas no começo da sessão de fluxo de dados e outras informações em tempo real sejam transmitidas em pacotes individuais. A CDL também pode ser usada com transmissão de chave pública e privada para garantir que fluxos codificados de CDL encapsulados sejam recebidos apenas pelo respectivo nó de colaboração 110 para prover ainda mais segurança.Thus, with a video stream, the CDL can describe the video format, its relationship with other video and audio streams, such as synchronization data, or correlation (in terms of telepresence or multiconference) with other data streams, video format color, bit depth, compression standard used, encoding technology used, owner of the stream, physical location from which the stream originated, time zone from which the stream originated, camera video capture angle, zoom factor of camera, which participants appear in the video, and other parameters regarding the content and format of the video, which can be useful for other collaborative nodes. The CDL can appear once at the start of transporting the video stream over the secure 12A network or it can also be sent periodically to allow resynchronization of the A / V stream, if there are network difficulties. The CDL can also be interrupted, so that some session related information is transmitted at the beginning of the data flow session and other information in real time is transmitted in individual packets. The CDL can also be used with public and private key transmission to ensure that encoded encoded CDL streams are received only by the respective collaboration node 110 to provide even more security.

A CDL pode ser adicionada para encapsular o fluxo de dados no nó de conteúdo 120, ou alternativamente no nó de colaboração 110. As informações na CDL podem ser pré- configuradas para cada sessão e/ou adaptadas em tempo real enquanto progride a sessão VCS.The CDL can be added to encapsulate the data flow in the content node 120, or alternatively in the collaboration node 110. The information in the CDL can be pre-configured for each session and / or adapted in real time as the VCS session progresses.

A figura 6 se trata de uma representação abstrata de pacotes de rede que mostra a remoção da informação de cabeçalho de camadas de modelo OSI inferiores à medida que os pacotes progridem na pilha do modelo OSI. Assim, na Camada 2, um pacote de link de dados 42 6 inclui um primeiro cabeçalho 242 e um pacote de dados de camada de rede 420 que encapsula um pacote de dados 414, que é parte de um fluxo de dados maior. Informações de cabeçalho adicionais usadas em camadas superiores da pilha de modelo OSI, tal como segundo e terceiro cabeçalhos 422, 418, são mostradas encapsuladas no primeiro pacote de dados 420. Depois de a Camada 2 retirar o primeiro cabeçalho 424 do pacote de link de dados 426, o pacote de camada de rede 420, incluindo parte de dados de rede 412, é transferido para a Camada 3 da pilha de modelo OSI. A Camada 3 retira o segundo cabeçalho 422 e transfere o pacote de camada de transporte 416 para a Camada 4 da pilha de modelo OSI. A Camada 4 retira o terceiro cabeçalho 418 e realiza decodificação ou qualquer outro processamento no pacote de dados de camada de Transporte 410, antes de transferir o pacote de dados de camada de Sessão 408 para a Camada 5 da pilha de modelo OSI. Este pacote de dados de camada de Sessão 408 pode ser usado na Camada são Sessão, Apresentação, e Aplicação (Camadas 5-7) da Pilha de Modelo OSI, como requerido. Informações a partir de um desejado fluxo de dados são removidas do pacote de dados de camada de Sessão 408 nas Camadas 5-7 e transmitidas para a Camada 8 (Camada de Colaboração) que pode traduzir, codificar, converter, formatar, ou manipular o pacote de dados da camada de colaboração 406 para apresentar para a rede segura. Em uma configuração, as informações de CDL 404 são anexadas ao pacote de dados de camada de colaboração 406 para criar um pacote de colaboração de rede segura 402 a ser transportado através da rede 12A.Figure 6 is an abstract representation of network packets that shows the removal of header information from lower OSI model layers as the packets progress in the OSI model stack. Thus, at Layer 2, a data link packet 426 includes a first header 242 and a network layer data packet 420 that encapsulates a data packet 414, which is part of a larger data stream. Additional header information used in upper layers of the OSI model stack, such as second and third headers 422, 418, is shown encapsulated in the first data packet 420. After Layer 2 removes the first header 424 from the data link packet 426, the network layer packet 420, including part of network data 412, is transferred to Layer 3 of the OSI model stack. Layer 3 removes second header 422 and transfers the transport layer packet 416 to Layer 4 of the OSI model stack. Layer 4 removes the third header 418 and performs decoding or any other processing on the Transport layer data packet 410, before transferring the Session layer data packet 408 to Layer 5 of the OSI model stack. This Session 408 layer data package can be used on the Session, Presentation, and Application Layer (Layers 5-7) of the OSI Model Stack, as required. Information from a desired data stream is removed from the Session 408 layer data packet in Layers 5-7 and transmitted to Layer 8 (Collaboration Layer) which can translate, encode, convert, format, or manipulate the packet data from collaboration layer 406 to present to the secure network. In one configuration, CDL information 404 is attached to collaboration layer data packet 406 to create a secure network collaboration packet 402 to be transported over network 12A.

Similarmente, os pacotes de colaboração de um ou mais rede segura 402 recebidos pela Camada 8 retiram o pacote CDL 404, e usam as informações para traduzir, decodificar, reconverter, reformar, ou manipular o pacote de dados de camada de colaboração 406 para criar um pacote de dados de camada de Sessão 408 para uso em um dispositivo receptor, tal como um sistema de video- conferência. O pacote de dados de camada de Sessão 408 é baixado na pilha de modelo OSI e adicionadas informações de protocolo de rede, tal como primeiro, segundo, terceiro, cabeçalhos 424, 422, 418 para criar um pacote de rede de link de dados 426 para ser transportado por uma rede para o dispositivo receptor.Similarly, collaboration packages from one or more secure network 402 received by Layer 8 take the CDL 404 packet, and use the information to translate, decode, reconvert, reformat, or manipulate the collaboration layer data packet 406 to create a Session layer data packet 408 for use on a receiving device, such as a video conferencing system. The Session layer data packet 408 is downloaded to the OSI model stack and network protocol information added, such as first, second, third, headers 424, 422, 418 to create a data link network packet 426 for be transported over a network to the receiving device.

Conquanto a presente invenção tenha sido particularmente descrita e mostrada com referência a configurações preferidas e alternativas, aqueles habilitados na técnica deverão entender que muitas variações poderão ser feitas sem sair do espirito e escopo da presente invenção, como somente definido nas reivindicações que se seguem. A descrição da presente invenção deve ser entendida ainda como incluindo combinações novas e não-óbvias destes elementos. As configurações acima têm um caráter meramente ilustrativo, e nenhum elemento ou aspecto deve ser considerado como essencial a todas combinações, que sejam reivindicadas nesta ou em outras especificações. Quando as reivindicações usam os termos "UM" ou "PRIMEIRO" elemento de seu equivalente, tais reivindicações devem ser entendidas como incluindo a incorporação de um ou mais destes elementos, mas sem requerer nem excluir dois ou mais dos mesmos.While the present invention has been particularly described and shown with reference to preferred and alternative configurations, those skilled in the art should understand that many variations can be made without departing from the spirit and scope of the present invention, as only defined in the claims that follow. The description of the present invention should also be understood as including new and non-obvious combinations of these elements. The above configurations are for illustrative purposes only, and no element or aspect should be considered as essential to all combinations, which are claimed in this or other specifications. When claims use the terms "ONE" or "FIRST" element of its equivalent, such claims should be understood as including the incorporation of one or more of these elements, but without requiring or excluding two or more of them.

Claims

1- Method for creating a synthetic bridge (100; 200; 100A, 100B; 400), characterized by the fact that it comprises the steps of: logically extracting first data from an application layer of one or more first data streams from a first network (12B), said first data to be transported to a second network (12A); logically extracting second data from an application layer of one or more second data stream from the second network (12A), said second data to be transported to the first network (12B); transport said first and second data from the two or more first and second data streams through separate sets of media link interface (130-135; 130A, 130B), of the non-network type, allowing only limited information encoding and preventing any network protocol information from being added with said first and second data from the two or more first and second data streams until after the two or more first and second data streams are in control of the opposite network, from which they were transported.

2- Method, according to claim 1, characterized by the fact that it additionally comprises the step of controlling the configuration of the synthetic bridge (100; 200; 100A, 100B; 400) from a separate network.

3- Method, according to claim 2, characterized by the fact that the step of controlling the configuration of the synthetic bridge (100; 200; 100A, 100B; 400) is done using email.

4- Method, according to claim 1, characterized in that it additionally comprises the step of converting at least one of the one or more first and second data streams from a first video format to a second video format.

5- Method, according to claim 1, characterized by the fact that the media link interfaces (130-135; 130A, 130B), of the non-network type, in order to prevent any network protocol information from being transferred between opposite networks.

6- Method, according to claim 1, characterized by the fact that it additionally comprises the steps of: transporting the two or more first and second data streams through a collaborative transport network having a smaller data link of 45 Mbps; logically extract third data from an application layer of one or more first data streams of the collaborative transport network, to be transported to the second network (12A); and logically extracting fourth data from an application layer of one or more second data streams from the collaborative transport network to be transported to the first network (12B).

7- Method, according to claim 6, characterized by the fact that the total latency in one sense of carrying the one or more first and second data streams between the first network and the second network (12B, 12A) is less than one quarter of a second.

8- Method, according to claim 6, characterized by the fact that it additionally comprises the steps of: encapsulating at least one of the first or second and second data streams using a collaborative description language, before transporting on the transport network of collaboration; and processing at least one of the one or more of the first and second data streams with the collaboration description language, encapsulating the at least one of the one or more first and second data streams before passing through the processed at least one of the one or more first and second data streams to the first network or second network (12B, 12A).

9- Method, according to claim 6, characterized by the fact that it additionally comprises the step of providing directory services for the collaborative transport network to only allow unidirectional control of the collaborative transport network from the first and second network network (12B, 12A).

10- Synthetic bridge (100; 200; 100A, 100B; 400), characterized by the fact that it comprises: a set of media link interfaces, of the non-network type (130-135; 130A, 130B); a content node (120; 120A, 120B) connected to the set of media interfaces (130-135; 130A, 130B), of the non-network type, the content node (120; 120A, 120B) including: a circuit for extract first data without network protocol information from a set of first data streams from an application layer of a first network (12B), said first data to be transported to a second network (12A), and receive a set of second encoded data streams to be incorporated into the application layer of the first network (12B); and circuitry to provide limited encoding of said first data from the set of first data streams in the set of media link interfaces, of the non-network type (130-135; 130A, 130B); and a collaboration node (110; 110A, 110B) connected to the set of media link interfaces, of the non-network type (130-135; 130A, 130B), the collaboration node (110; 110A, 110B) including: a circuit to extract the second data without network protocol information from a set of second data streams from an application layer of the second network (12A), said second data to be transported to the first network (12B), and to receive a set of first encoded data streams to be incorporated into the application layer of the second network (12A); and a circuit to provide limited encoding of said second data from the set of second data streams in the set of media link interfaces, of the non-network type (130-135; 130A, 130B).

11- Synthetic bridge (100; 200; 100A, 100B; 400), according to claim 10, characterized in that it additionally comprises a circuit to control the configuration of the synthetic bridge (100; 200; 100A, 100B; 400) a from a separate network.

12- Synthetic bridge (100; 200; 100A, 100B; 400), according to claim 11, characterized in that the control of the configuration of the synthetic bridge (100; 200; 100A, 100B; 400) is done using email .

13. Synthetic bridge (100; 200; 100A, 100B; 400), according to claim 10, characterized in that it additionally comprises circuitry to convert at least one data stream in the set of the first and second data streams from from a first video format to a second video format.

14- Synthetic bridge (100; 200; 100A, 100B; 400), according to claim 10, characterized by the fact that the number of media link interfaces (130-135; 130A, 130B), of the non-network type , within the set of media link interfaces (130-135; 130A, 130B), of the non-network type, be asymmetrical between the content node (120; 120A, 120B) and the collaboration node (110; 110A, 110B).

15- Synthetic bridge (100; 200; 100A, 100B; 400), according to claim 10, characterized by the fact that it additionally comprises: where the second network (12A) is a collaborative transport network to transport the first sets and second data flows between the first network (12B) and a third network (12C); a second content node (120B) connected to a second set of media link interfaces (130B), of the non-network type, the content node (120; 120A, 120B) including: circuitry to extract third data without a network information protocol from the set of the first data streams from an application layer of the second network (12A), said third data to be transported to the third network (12C) and receive a set of second data streams limited encoding data to be incorporated into the application layer of the second network (12A); and a circuit for limited encoding said third data from the set of first data streams in the second set of media link interfaces (130B), of the non-network type; and a second collaboration node (110B) connected to the second set of media link interfaces (130B), of the non-network type, the collaboration node (110B) including: a circuit to extract fourth data without network protocol information a from the set of second data streams from an application layer of the third network (12C), said fourth data to be transported to the second network (12A), and to receive a set of first encoded data streams to be incorporated into the application layer of the third network; and circuitry to provide limited encoding of the fourth data from the second set of data streams in the second set of media link interfaces (130B), of the non-network type.

16- Synthetic bridge (100; 200; 100A, 100B; 400), according to claim 15, characterized by the fact that the total latency in one direction of the transport of the sets of the first and second data flows between the first network and the third network (12B, 12C) is less than a quarter of a second.

17- Synthetic bridge (100; 200; 100A, 100B; 400), according to claim 15, characterized by the fact that it additionally comprises: circuitry to encapsulate at least one of the data streams in the sets of first and second data streams using a collaboration description language before transporting on the collaboration transport network; and a circuit to process at least one of the data streams in the sets of the first and second data streams with the collaboration description language encapsulating the at least one data stream of the first and second data streams sets before passing the at least one data stream processed to the first network or second network (12B, 12A).

18- Synthetic bridge (100; 200; 100A, 100B; 400), according to claim 15, characterized by the fact that it additionally comprises means to provide directory services for the collaborative transport network to only allow unidirectional control of the network collaborative transport from the first network and second network (12B, 12A).

19-Synthetic bridge (100; 200; 100A, 100B; 400), according to claim 15, characterized by the fact that the collaborative transport network has a smaller data link of 45 Mbps.