专利名称:合成桥接的制作方法
合成桥接
对相关申请的交叉引用
本申请涉及并要求2007年7月31日同时提交的共同未决的题为 "Connecting Collaboration Nodes" 的HP代理人案号No.
200700790-1、美国专利序列号_____的权益,并且该美国申请的全部内
容通过引用结合于此。本申请要求2007年3月14日提交的美国临时申 请No. 60/894,802的权益,该临时申请的全部内容通过引用结合于此。
背景技术:
企业在他们如何设计和开发新产品和服务方面正需要更多的灵活 性。随着全球经济的不断发展,这些企业要求从他们的组织或伙伴那边 传递并利用知识,而不管他们的雇员或他们伙伴的雇员位于世界的什么 地方。然而,保护任何共享知识的需求变得越来越重要,因为资金、知 识和人员的跨国界的自由流动限制了企业采取救济法律行动来保护所 传递的知识免于知识产权盗窃的能力。由此,为了保持全球竟争力,企 业在保护他们的人员和知识产权免受竟争者和想要破坏世界经济系统 的其它人的破坏方面,必须变得更加主动。
然而,建立大的信息技术(IT)部门来支持跨地理边界的思想协作是 特别困难的,因为需要能够理解他们自己公司内的各个外国IT部门的 语言、文化和亲密度的巨大的各种IT劳动力。当来自各个公司的IT部 门必须在如何通过分开且安全的公司数据网络共享数据方面达成共识 时,这种困难更加复杂了。使用通用IT路径(诸如因特网)将使企业 的知识产权受到未知的威胁,并且还开放了未知或已知黑客从外部攻击 公司网络的可能性。时常,试图让两个不同公司的IT部门在他们的两 个数据网络之间共享数据方面对防火墙和其它网络协议达成一致的纯 粹惯性甚至阻止了期望协作的发生。由此,大多数IT部门需要不同网 络站点之间的定制IT路径,其中所述定制IT路径需要不同IT部门之 间对i殳置和管理达成共识。
因此,需要一种新方法来提供一种在全世界的企业内的不同团体之并隔离各个企业的网络基础设施。优选地, 一旦设置并批准了这种新方
法,该新方法就可以在IT部门极少介入或者不介入的情况下由必要协 作团体来实现。由此,需要在两个或更多全球站点之间的安全、可靠的 知识传输,其中这些全球站点不需要在所述站点的数据网络之间的定制 IT路径。
参考以下附图更好地理解本发明。附图的各元件不一定是相对彼此 按比例绘制的。相反,重点已经改为放在清楚地图解说明本发明上。而 且,相同的参考数字表示这几个视图中对应的相似部分。
图1是合并有合成网桥(Synthetic Bridge)的远程呈现 (telepresence)碎见频会议系统的示例性实施例。
图2是图解说明实现合成网桥的 一种方法的实施例的示例性设计。
图3是合成网桥的一个示例性实施例,其中所述合成网桥具有内容 节点和协作(collaboration)节点装置,所述节点装置提供到它们相 应网络的接口。
图4是"跨越(spanning)合成网桥"的实施例的示例性框图,其 中所述"跨越合成网桥,,合并有以菊花链方式耦合到可信协作网络的两 个合成网桥。。
图5是将附加或可替换的特征合并到图4中的跨越合成网桥的跨越 合成网桥的实施例的示例性框图。
图6是网络分组的抽象表示,示出了当所述分组沿0SI模型栈向上 前进时从较低的0SI模型层去除报头信息。
具体实施例方式
应该注意,附图未按真实比例绘制。另外,所公开元件的各个部分 也未按比例绘制。某些尺寸相对于其它尺寸已经被放大了,以便提供对 本发明的更清楚的说明和理解。
此外,虽然通过优选实施例说明了本发明,但这些说明并不打算对 本发明范围或适用性进行限制。本发明并不打算限于所说明的物理、电 气或逻辑结构。包含这些结构以论证本发明对现在给出的优选实施例的 效用和应用。例如,虽然强调了作为本发明大多数协作实施例所遇到的较典型数据流的音频/视频(A/V)数据流,但是任何数据流,不管它的目 的是用于音频、视频、控制还是其它目的,都被视为被本发明所涵盖。
本说明描述了两个分开的安全网络之间的固有地(inherently)安 全的数据网桥(本文定义为"合成网桥"),由此为协作和其它媒体数据 流提供"传输"机构。合成网桥允许协作会话参加者的网络基础设施和 相关联的媒体资源之间的保护和隔离。合成网桥提供了将诸如音频/视 觉(A/V)媒体的数据流传输到协作会话(即视频会议)中并将诸如音频/ 视觉(A/V)媒体的数据流从协作会话中传输出。然而, 一般可以通过合 成网桥在两个站点之间共享任何数据以及非网络相关的应用控制内容,
诸如远程驱动计算机应用的控制信号。本发明的实施例包含连接两个或 更多内容节点的专门设计的并且可信的协作传输(本文是c-tran网络)
网络。其中一个内容节点可连接到分开的且不同于c-tran网络的网络, 并且因此该网络对于可信c-tran网络的用户可能是不可信的。每个内 容节点连接到将该内容节点对接到c-tran网络的协作节点。
c-tran网络可以提供服务质量保证、全世界的扩展范围、在带宽和 低延时方面改善的性能、以及相对于经由合成网桥连接的单独的网络的 其它附加价值。
协作节点可包含用于提供进出该协作节点的数据输入的连接器; 以及用于提供进出该协作节点的非网络相关的(non-network related) 应用控制装备输入的连接器。协作节点可包含用于将协作数据和控制数 据转变成c-tran网络格式以及从该c-tran网络格式转变成所述协作数 据和控制数据的编码和解码机构。协作节点还可包含用于连接到c-tran 网络的连接器。几个附加项可连接到或存在于协作节点中以允许增强的 协作能力。这些附加项可以是"协作媒介,,,诸如摄相机、麦克风、扬 声器和视频屏幕或集成的A/V装备,比如协作工作室(例如由惠普公司 提供的"Halo工作室,,),其仅仅作为一个示例。
该合成网桥与传统上用于提供不同网络之间类似对接的现有技术 的网络网关、交换机、网桥或防火墙相比具有若干优点。该合成网桥允 许网络之间协作媒体流的可论证地且可理解地安全的传输。该合成网桥 还可允许网络之间的定制的或因特网IP连接以用于非网络相关的应用 控制。为了更有效的所期望协作环境的灵活定制而不需要以连续使用为基 础的IT支持,该合成网桥可提供协作环境定制机制以供例如A/V集成器(integrator ) 4吏用。除了虛拟网络互操作性,该合成网桥还可包含附 加特征,诸如转变(translation)服务,以允许在它们的会话管理标 准或媒体流格式方面不兼容的协作会话。
在讨论合成网桥的独特方面和设计之前,对传统网络和它们的术语 进行一些讨论和定义,以便更好地理解合成网桥的独特价值主张(value proposition)和它提供的各种才几会。 网络术语的定义
大多数人都熟悉因特网,其将各种公司网络连接在一起,并通过使 个体通过网络提供商进行访问而允许这些个体访问连接到因特网的其 它计算机或服务器。因特网本身更是通过一个或多个硬件"网络"通信 的软件"网络协议"的集合。存在几种不同的硬件网络,但是以太网是 在全世界范围实施的最流行的局域网(LAN),其本身具有几个软件协议 来定义如何组织数据以进行传输。然而,甚至以太网也采取了许多物理 形式的传输介质,诸如双绞线、光缆或同轴电缆。使用"集线器"、"网 关"、"网桥"或"交换机"来连接各种传输介质。使用集线器、网关、 网桥或交换机利用各种传输介质将各种数据装置或主机(诸如计算机、 服务器和外围设备)彼此连接。所述各种传输介质可操作在不同的数据 率。由此,集线器、网关、网桥和交换机被用于在分开的网络之间互连 各种数据率、软件协议和传输介质,以形成整个因特网。
为了处理网络互操作性,国际标准化组织(ISO)开发了它的开放系 统互连(0SI)连网套件,其包含连网的抽象模型(7层模型)和一组具体方 案。虽然因特网不严密遵循该7层才莫型,但是其开发受到该7层模型的 影响。该7层模型将连网系统分成若干层,这允许一个或多个实体实现 该层的所分配的功能性。实体可组合一个或多个层的所分配的功能性。
每个实体仅与它紧接着的下方的那层直接交互作用,并提供功能 (facilities)以供其上面那层使用。软件协议使得一个数据装置中的 实体能够通过网桥、网关或交换机与另 一个数据装置中的处于同一层的 对应实体交互作用。层1是物理层。该层定义装置的所有电气规范和物 理规范。该层定义将使用什么电缆、同轴电缆、光纤或无线协议。
层2是数据链路层,并且经常称为以太网层。该层提供用于在网络 实体之间传输数据并检测以及可能校正层1中可能出现的错误的功能性
技术和程序技术。该层传统上是网桥和交换机运行的层。
9层3是网络层,并且经常称为网际协议(IP)层。该层提供用于在维 持层4 (传输层)所请求的服务质量的同时通过一个或多个网络将可变 长度数据序列从源传输到目的地的功能性技术和程序技术。该层3执行 网络路由功能,由此传统上该层是路由器运行在其上以在整个扩展网络 中发送数据的地方。
层4是传输层,并且经常称为TCP(传输控制协议)层。该层提供数 据在终端用户之间的透明传输,由此在提供可靠的数据传输的同时免除 了上面各层的任何顾虑。该层跟踪数据分组,并重新传送失败的那些数 据分组。
层5是会话层,并且经常称为控制层。该层控制计算机之间的会话。 该层创建、管理和终止本地与远程应用之间的连接。
层6是表示层。该层变换数据以给应用层提供标准接口。该层中所 包含的通常是压缩和加密/解密功能以及所需的任何其它数据操纵。所 述其它数据操纵中的一些可以是ASCII到EBCDIC编码文件转化。
层7是应用层。该层为用户提供通过应用访问网络上的信息的技术。 允许应用之间通信的某些标准应用协议包括与web浏览器 一起使用的超 文本传输协议(HTTP)、文件传输协议(FTP)、和简单邮件传输协议 (STMP)。
层4-7通常称为主机层,而层1-3通常称为介质层。在0SI网络上 传输的数据通常针对每个层和功能按照数据单元进行分解。例如,在层 l(物理层)中,通常按"比特"来提及数据,并且该数据表示媒体、信 号和二进制传输功能。在层2(数据链路层)中,数据通常称为"帧", 所述帧允许在层2的介质访问控制(MAC)和逻辑链路控制(LLC)子层中进 行物理寻址的功能。在层3(网络层)中,通常以"分组"为单位来提及 数椐,所述"分组,,为网际协议(IP)提供路径确定和逻辑寻址的功能。 在层4(传输层)中,以"段,,为单位来提及数据,所述"段"为传输控 制协议(TCP)提供可靠性和端到端连接的功能性。在层5-7,数据简单地 称为"数据",并提供会话层中的主机间通信、表示层中的数据表示和 力口密、以及应用层中的网络过程到应用的(network process to the application)功能性。网络网关可运行在从应用层到包含物理层的较 低层的OSI模型的任何层级。然而,注意,因特网中所用的TCP/IP体系结构并不严密遵循OSI 模型,并且对于应该如何关于OSI分层模型来描述该体系结构存在工业 分歧。在实际使用中,因特网TCP/IP网络协议省略了 OSI模型的某些 特征,并组合了相邻层的其它特征,并将其它层分开。当应用向网络发 送数据时,每个层将它从上层接收的所有信息当作数据,并将报头作为 控制信息添加到该数据的前面,然后将它传给紧挨着的下层。当层从下 层接收到数据时,该层处理并移除其报头,之后将剩余数据传到紧挨着 的上层。
一个模型中的TCP/IP体系结构可描述为具有4个杂混 (hybridized)的层或实体应用、传输、网络和网络接入。TCP/IP的 应用层组合了 OSI的应用层、表示层和会话层。TCP/IP使用术语"套接 字"和"端口"来描述主机装置上的应用进行通信所通过的路径。大多 数应用层级的协议都与一个或多个端口号相关联。TCP/IP传输层实际上 使用两个网络协议来发送/接收数据,这两个网络协议对于不同应用都 是有用的。传输控制协议(TCP)保证信息传输。然而,用户数据报协议 (UDP)在不进行端到端检查的情况下传输数据报。TCP/IP协议的网络层 具有几个网络协议,其中最重要的是网际协议(IP)和ICMP。所有上层和 下层通信都必须通过IP来传送。ICMP协议用于促进和管理分组通过网 络的路由。在TCP/IP体系结构中网络接入层组合了 OSI的数据链路层 和物理层。TCP/IP利用现有的数椐链路层和物理层标准,而不是定义它 自己的标准。
为了跨越两个分开的网络,已经根据网络的组织开发了几种不同的 方法。 一些例子是防火墙、网桥、网关、交换机和路由器。
"防火墙"是用硬件、软件、固件或它们的组合实现的安全装置, 其配置成允许、拒绝或代理(proxy)数据连接。防火墙的基本任务是 控制具有不同信任区的网络之间的通信量。防火墙时常称为"分组过滤 器"。设置防火墙需要相当了解复杂的网络协议和计算机安全,并由此 要求防火墙管理者有相当的技巧以保证正确的配置。配置中非常小的错 误都可能使得防火墙作为安全工具毫无价值。
网络"网桥"连接数据链路层(OSI模型中的层2、 TCP/IP模型中的 网络接入层)上的多个段。网桥不同于集线器,集线器只是将分组重新 广播给相邻的网络段。网桥通过处理来自所接收的每个数据帧的信息来管理从一个网络到另一个网络的通信量。对于以太网帧,这提供了该帧
的源和目的地的MAC地址,其用于解析MAC地址所属的适当网络段。使 用两种不同的方法来解决如何对分组进行路由。"透明桥接"使用转发 数据库在各网络段上发送帧。"源路由桥接"使用两种帧类型,即单路
由(SR)帧和全路由(AR)帧,以找出到目的地网络段的路由。AR帧用于找 出路由,而一旦路由已知,则使用SR帧对数据进行路由。当遵循 IEEE802. 1D标准时,网络网桥经常称为网络交换机。虽然网络网桥允许 网络之间的接入控制和性能管理,但它们极其难以扩展到大的网络。另 外,对数据的緩沖引入了存储和转发延迟,所述延迟在大网络上可能变 得不可预测,这使延时成为难以保证的参数。不同MAC协议的桥接多次 引入误差,由此需要在网络上使用适当设备的正式名称(designation) 或规范。
为了处理大网络问题,通常包含路由器和桥接来执行数据控制。然 而,如关于因特网的经验已经证实的,层3(路由器)和层2(网桥和交换 机)桥接在安全方面非常脆弱。各种形式的攻击(诸如MAC地址欺骗、 DHCP耗尽、生成树(spanning-tree)协议操纵、VLAN跳跃攻击以及其 他攻击)已经导致IT部门对如何设置和配置网络施加了严格的限制。
为了成功连接或"桥接"两个网络,通常由路由器、网桥和交换机 创建网关,以充当到另一个网络的入口。网关经常与路由器和交换机两 者相关联,所述路由器知道将到达网关的给定数据分组引导到哪里,而 所述交换机为给定分组提供进出网关的实际路径。在企业公司网络中, 通常将计算机服务器用作网关节点。这个计算机服务器也经常充当代理 服务器和防火墙服务器,并且由此,对其管理的设置和支配 (administer )相当复杂。
然而,许多应用(诸如视频会议)都需要来自公司网络外部的各方 的音频和视觉流,以便具有实际价值。因此,本发明提供了用于通过绕 过(bypass)在设置和管理传统网络桥接方面的固有问题而向应用程序 提供固有地安全的数据流(诸如音频和视觉数据流)的方法和设备。
合成桥接
所公开的实施例通过在此被定义为"合成桥接"的技术来提供这种 固有安全性。合成桥接包括如下特征a) 第一方法或装置,用于从第一网络的表示层或应用层提取选择 数据,其中所述选择数据包含要传输到第二网络的一组期望的(一个或
多个)第一数据流;
b) 第二方法或装置,用于从所述第二网络的表示层或应用层提取选 择数据,由此允许全双工操作,其中所述选择数据包含要传输到所述第 一网络的一组期望的(一个或多个)第二数椐流;以及
c) 通过一组分开的非网络相关的媒体链路接口来传输所述第 一和 第二数据流,这些接口仅允许有限信息编码并且固有地防止不在所述第 一和第二数据流组中的任何信息被修改,直到所述第 一和第二数据流处 于从其传输它们的相对网络(opposite network)的控制下之后。
"受限信息编码(limited information encoding)"是指强迫相 应数据流中的所有信息(数据)都被编码成受限非网络格式,并且通过仅 接受这种受限格式的非网络媒体链路接口进行发送,之后从该受限格式 解码回到网络分組可接受的格式。例如,在一个实施例中,来自第一网 络的数据流中的信息被从MPEG2编码到受限编码的RGB RS17 0类型视频, 并通过诸如VGA电缆的非网络媒体链路接口进行发送。RGB RS170类型 视频是受限格式,因为其固有地不能承栽网络协议或由第一或第二网络 上的网络通信量操纵。RGB RS170信号然后可以被解码回MPEG2或另一 视频编码格式,以允许由第二网络控制并整合到第二网络中以进行传 输。在另一个实施例中,受限信息编码可将数据流保持为数字格式,但 将其编码到不同类型的数椐总线(诸如SDI、 DVI等)上,以提供与网络
无关的非网络媒体链路接口,以便固有地防止网络控制的传输,或防止 不在该数据流中的任何信息被修改,直到该数据流处于第二网络的控制 之下为止。
当然,可以添加其它特征以进一步增加合成网桥的能力。例如,因 为仅从会话层、表示层或应用层提取期望的选择数据,所以可以提供独 立于该数据路径的附加的分开路径,以允许应用控制或其它应用信息被 传输到第二网络。此外,由于已经从选择数据提取了来自OSI或TCP/IP 下层的所有网络有关的信息,所以可以提供附加接口以允许在对立 (opposing)网络上的目录服务,由此允许选择从何处获得第一和第二 数据流或将第一和第二数据流路由到何处。提供目录服务或控制服务的 一种方法是仅允许单向的控制/目录服务。可以执行该单向控制/目录服
13务的一种方式是允许通过分开的路径(诸如利用电子邮件)来提供控制 /目录服务。换句话说,在第一网络中的站点处的用户可以向具有对发 送者的适当认证的已知电子邮件地址发送电子邮件。该电子邮件将包含 关于要访问第二网络上的什么站点、要接收什么数据流、以及要发送的
数据流要用于什么(what the data stream to be sent is to be used) 的信息。另 一种方法是允许可以通过适当密码或生物计量控制来访问的 网站配置合成网桥。
除了单个合成网桥的特征之外,多个合成网桥也可被配置成菊花链 式(串行)配置或星形配置。从而,固有地安全的数据流的双向路径都可 从第一网络通过第二网络(即c-tran网络)而传到第三网络,同时保持 安全性并需要最小限度的IT支持来进行设置和配置。
为了提供网络与应用之间的更进一步的安全性和兼容性,期望的选 择数椐在从第 一 网络传到第二网络的控制之后可用超数据(诸如用协作 描述语言)进行封装,该超数据描述数椐流的目的是什么、其格式是什 么、谁拥有它以及可能对不同应用有益的其它相关信息。这样,通过在 选择数据流周围具有这样的增强的协作层容器,可在使用所封装的超数 据对数椐流执行各种变换之后在不同应用间共享该数椐流。关于附图和 它们以下的描述来进一步说明与各种实施例的这些特征有关的更多细 节。
图1是通过非因特网可信网络12A (c-tran网络)共享诸如视频、 音频和其它数据流等信息的桥接^f见频会议系统10的示例性实施例。因 特网(实际上是运行在各种私有和公共网络上的网络协议)不被认为是 可信网络,即使它有时用于协作的目的。远程呈现^L频会议系统20可 包含几个不同的一见频流、诸如来自照相才几22、 24、 26的那些—见频流和 去往视频监视器32、 34、 36的那些视频流。还包含来自麦克风52、 54、 56和去往扬声器44、 46、 48及亚低音扬声器 (sub-woofer ) 50的音 频数据流。附加数据流可通过可信网络12A进行传输,诸如从本地高架 扫描仪(overhead scanner) 18经由室内服务器14通过可信网络12A 传输,或通过可信网络12A经由室内服务器14传输到数椐监视器38。 服务器14可执行其它任务,诸如在数据监视器38上提供图形用户接口 (GUI)。 GUI允许简单设置和操作视频会议以及目录服务和其它任务。本 地参与者可使用GUI接口利用鼠标16容易地控制服务器14。去往和来自远程呈现视频会议系统20的音频数据流可以被混合和 处理以减少回声,并且可允许使用回声消除和混合电路40来适应于室 内音响效果(room acoustics)。可通过使用放大器32来改善扬声器 的声音清晰度,该放大器还允许通过提供到亚低音扬声器50的低音音 调和到扬声器44、 46和48的较高音调的分离来实现更好的方向性。可 使用编解码(codec)电路28对所有视频和音频流进行压缩、加密、解 密、解压缩、重新格式化(reformat)或将其转换成不同的格式。
虽然可信网络12A允许远程呈现视频会议系统20与可信网络12A 上的其它类似视频会议系统20对接,但是存在其它类型的视频会议系 统11,某些人或公司想要在这些会议系统11之间共享信息并与远程呈 现视频会议系统20共享信息。然而,这些其它视频会议系统11通常驻 留在公司内联网或其它私有和公共网络12B上,可信网络12A上的用户 可能不信任这些网络12B,由此使12B成为不可信网络。另外,虽然网 络12B上的用户实际上可以彼此信任,但是他们可能不具有关于可信网 络12A上的人们的足够知识,并且由此对于网络12B上的那些用户而言, 可信网络12A也可能被认为是对他们是不可信的。
因此,本文中所描述的实施例允许以可论证地安全的方式交叉连接 不同网络上的两个或更多不同的协作会话,以提供两个或更多站点之间 的安全、可靠传输。这些实施例消除了对站点的网络之间的传统私有或 不可信因特网路径的需要。也就是说,不是提供运行在0SI框架的较低 层级(2-4)的传统IP交换机、网桥或路由器,本发明为应用数据流提供 网络12A与12B之间的"合成网桥,,100。这个合成网桥100除去(strip) 了所有网络协议并由此防止所有网络协议(诸如IP协议)在网络之间共 享,同时允许传输应用数据流和应用有关控制。固有安全性部分地通过 (使用硬件、软件或它们的组合)对数据流的逻辑选择以及通过对数据流 的受限信息编码来提供,其中该受限信息编码允许这些数据流通过非网 络媒体链路接口传递,所述非网络媒体链路接口在物理上不能允许任何 网络协议信息在网络之间传递。另外,在一些实施例中,非网络媒体链 路接口仅与传输应用数据流相兼容。例如,用于视频数据流的非网络媒
体链路接口是不能承载网络协议信息的模拟视频链路。用于模拟数据流 的第二非网络媒体链路可以是不能承载网络协议信息的模拟音频电缆。
15由此,通过使用固有地不能够承载网络协议信息的常规媒体链路接口来 承载数据流,安全性是可论证地安全的。
可信网络12A可以是诸如c-tran网络的专用应用网络,并且不是 通用网络协议,如运行在各种公共和私有网络上的因特网。网络12A被 专门设计为优化具有低延时的高带宽,以能够传输现场的、交互的、音 频、视频和其它数据密集的媒体流。优选地,网络12A的最小链路为45 Mbps,以避免任何明显的序列化延迟。为了保持延时最小化,利用非常 扁平的网络拓朴。为了保持高质量终端用户体验,保持两个站点之间的 总单向延时小于l/4秒。这个总延时包括传输路径上的传输延时、编码 /解码、封装/解封装、捕获和呈现、过滤、处理、以及压缩和解压缩的 所有方面。随着每个部件对总延时的贡献降低(随着技术的改进),"到 达"不同站点物理上可能位于的地方的长度可能会增加。
为了更好地保持能够在很少的分组丢失的情况下进行可靠传递的最 短路径,带宽和网络资源机构被用来对于会话的持续时间保证高质量会 话。由于对于任何给定的会话,假定发生的大多数通信流都将一对或小 数量的终端站点链接在一起,因此一旦授权的会话开始,就几乎不存在 会话预占(preemtion)的假设。
可通过该网络提供一些较长延时和/或丢失容忍会话。这种服务例 如包括目录、存在、消息收发、证书验证和时间/名称服务。
该网络的内部集中于通信流的快速传递。任何接入控制、加密/解 密和其它代理服务如果需要的话都发生在该网络的边缘处,诸如合成网 桥100中而不是网络12A的内部。这种设计倾向于使得网络12A的核心
骨干更容易增长、维护,并使其更稳定且非常快速。
图2是说明实现合成网桥100的 一种方法的实施例的示例性设计。 在该实施例中,合成网桥100具有三个主要部件,即内容节点120、 一 组非网络々某体链路接口 130-135和协作节点110。
内容节点120比如利用租用线路140(即T3、光纤(optical)、电 缆或无线高速链路)连接到网络12B,其中租用线路140提供去往和来自 内容节点120的大数椐管道。虽然网络12B可连接到各种协作类型产品, 诸如视频会议装置、视频游戏、交互式屏幕和远程呈现系统,但是示出 的只是几个代表,而不是限制性的示例。例如,具有嵌入式网络摄像头 (未示出)的移动装置115通过有线连接、光学连接或无线连接而连接到网络12B。还示出了 IBMTM兼容个人计算机113、 AppleTM计算机116, 诸如具有内置web会议系统的IMacTM、以及专用个人^见频会议系统114。
协作节点110连接到可信网络12A。可信网络12A还连接到其它视 频会议系统(VCS)20。 VCS 20可以是如在一个分解图中所示的远程呈现 系统。VCS 20包括接口机架21,其连接到视频监视器32、 34、 36和协 作屏幕/GUI接口 38。为了简洁起见,省略了其它连接,诸如音频、照 相机和其它协作工具。视频监视器以围绕会议桌60和椅62的这种方式 布置,以允许凝视感知和完全沉浸的感觉。
该组非网络媒体链路接口 130-1 35仅允许在内容节点120与协作节 点IIO之间传输受限编码信息。在这个特定实施例中,四个非网络媒体 链路接口 1 30-1 33用于以相反方向传输两个^L频流和以相反方向传输两 个音频流,然而,可以存在任何数量的非网络媒体链路接口。还示出了 共享其它数据(诸如来自DVD、 HD-DVDtm、蓝光tm或其它光学媒体播放
器的视频和音频内容)的能力。当然,其它A/V设备或其它高和低带宽 装置可以通过非网络媒体链路接口而被连接,这些接口提供受限信息编 码以实现这些网络的固有安全性。
图3是合成网桥100的一个示例性实施例,其中内容节点120和协 作节点IIO是提供到它们相应网络12B和12A的OSI模型栈接口以及到 该组非网络媒体链路接口 1 30-1 33的OSI模型栈接口的装置。虽然只示 出了四个非网络媒体链路接口 ,但是可以提供任何数量的非网络媒体链
路接口。
内容节点120通过物理层(诸如包括租用线路140的以太网连接(比 如T3连接))从网络12B接收内容,但是任何其它物理层都是可能的。 常规上,当使用网桥或交换机装置时,在两个靠近的网络之间交换的数 据将发生在OSI模型中的层2或数据链路层。如果这两个网络之间的距 离很大,则在OSI模型层级3对数据进行路由常规上利用路由器完成。 然而,在这些层级上形成数据链路的过去实践在传统上充满了并将继续 充满对防止病毒、木马、拒绝服务和其它网络攻击发生的安全性的担忧。 由此,当在OSI模型的层级2和层级3层处使用常规技术或用网关对防 火墙编程时,在没有大量的IT支持的情况下难以有效地在本地或远距 离桥接两个分开的网络。相反,在合成网桥的这个实施例中,允许所关注的数据流在到达"协
作层,,或"层级8层,,以前穿越通过0SI模型层1-7 (或IP层1-4,取 决于之前所提到的描述它的方式),这允许数据流提取或传递到层7应 用。除了A/V数据流,应用控制形式的数4居流也可在层级8与层级7层 之间传递。可传递的其它信息是描述施加到要传输到另 一 网络12 A的每 个数据流的格式、大小、编码、内容、使用、限制等的数据。该其它信 息可以是受限编码的,并在非网络媒体链路接口上传输以保持固有的安 全性。通过如下方式来防止所有网络协议信息(诸如MAC地址、IP地址、 端口和路由信息)被传递到另一网络12A:有选择地在逻辑上过滤或选 择期望的来自应用层的应用A/V数据流和应用控制数据流,并针对非网 络媒体链路接口对所述数据流进行受限编码。除了逻辑选择之外,通过 使用非网络媒体链路接口,网络协议数据不能被病毒、木马或来自其它 网络的其它恶意程序(rouge program)意外j奮改。因此,合成网桥IOO 是硬件、软件/固件的组合,其在通过一组固有安全的非网络媒体链路 接口传递应用数据之前移除了所有网络协议信息,。
为了帮助由公司的IT部门提供附加的信任,IT部门可提供、控制、 预先配置或检查内容节点120,以保证协作层8只将期望的数据流传输 到非网络媒体链路接口。然而,不需要重大的正在进行的IT支持。理 想地,逻辑上从应用层的输出中选择媒体流而不对应用层进行任何修 改。由此,可独立于现有应用来添加协作层8,由此使得更有可能保持 安全性。
附加地,为了帮助保护在网络12B上所使用的加密/解密系统,协 作层8还可用于在将加密数据流提供给该组非网络媒体链路接口 1 30-133之前提供所述加密数据流的解密,以进一步提升安全性。由此, 不仅网络协议不与数椐流一起传递,而且不需要传递公共或私有密钥, 以允许在接收站点处对数据流进行下游解密。在从内容节点120接收到 解密数据流后,协作节点110可以在提供该数据流以在网络12A上传输 之前添加其自己的编码。类似地,对于从协作节点110传递到内容节点 120的反向数据流,协作节点110也可移除其编码(如果存在的话),并 将解码数据流传到内容节点120,内容节点120然后会在将数据流提供 给网络12B之前将其自己的编码添加在协作层8中。再者,不需要在网络之间共享加密密钥,由此允许网络12A与12B之间的提升的信任和更 大的安全性。
虽然内容节点120和协作节点IIO都被示出为实现OSI各层的各种 功能的抽象块,但是本领域普通技术人员将认识到,可以利用使用硬件、 或者被编程为在处理单元上执行计算机可读指令的存储器、或其组合的 逻辑电路来实现这些功能。
可使用常规标准数字接口和模拟接口 (诸如DVI、 HDMI、 RGBRS170、 VGA等)或类似接口的任意组合来实现该组非网络媒体链路接口 。此外, 可实施定制的非网络媒体链路接口 ,以通过设计它使得在没有授权物理 接入的情况下不能接进该接口来提供进一步的安全性。然而,由于并不 通过非网络媒体链路接口传递网络协议信息,所以利用未授权接入最多 能实现的是数据流的破坏、监视或代替。这些动作不会影响数据流的路 由,因为那是由可信网络12A处理的。
协作节点110类似地如针对内容节点120所描述的那样运行,但是 把它的服务提供给在可信网络12A上传输的应用。协作节点110通过通 往网络12A中的第二高带宽租用线路150或其它高速接口 (诸如光缆) 来通信。还有,虽然图3说明了信息在内容节点120与协作节点IIO之 间的对称流动,但是信息的流动也可以是不对称的。例如,协作节点110 可以把比它所接收的更多的A/V数据流提供给内容节点120。作为将远 程呈现系统桥接到单个视频会议工作站的一个示例,内容节点120可提 供单个音频和单个视频数据流。然而,协作节点IIO可为其本地会晤站 点提供三个视频和 一个音频数据流,并为组合会晤提供附加的三个视频 和一个音频流,并且还提供协作A/V链路(比如用于DVD播放器或其它 A/V装置)。
总之,合成网桥包括连接在内容节点与协作节点之间的 一组非网络 媒体链路接口 。内容节点包括用于从第 一网络的应用层提取选择数据的 电路。该选择数据包含要传输到第二网络的不带有网络协议的 一组第一 数据流。内容节点还包括用于接收一组受限编码的第二数据流以合并到 第一网络的应用层中的电路,以及用于将该组第一数据流受限编码到该 组非网络媒体链路接口上的电路。
协作节点包括用于从第二网络的应用层提取选择数据的电路,其中 所述选择数据包含要传输到第一网络的不带有网络协议的 一组第二数
19据流。协作节点还包括用于接收一组受限编码的第一数据流以合并到第 二网络的应用层中的电路,以及将该组第二数据流受限编码到该组非网 络媒体链路接口上的电路。
图4是"跨越合成网桥"200的实施例的示例性框图,其中"跨越 合成网桥"200合并有以菊花链方式耦合到可信网络12A的两个合成网 桥100A和IOOB。这个合成网桥200允许附加的灵活性以及长距离远程 连接。另一个可用特征(如果期望的话)是合成网桥200的远程控制。
在这个实施例中,第一网络12B连接到计算机U3A、 VCS 114A和 移动装置115A。再者,所述连接的任意之一根据需要都可以是有线、光 学或无线的。第二网络12C可以类似地被配置为具有类似的计算机 113B、 VCS 114B和移动装置115B。
在这个布置中,第一网络12B、第二网络12C或可信网络12A上的 装置的至少一个或其任意组合可访问合成网桥200的控制接口 202。该 控制接口可人工操作、直接连接、或通过因特网204连接,如图4所示。 控制接口 202可以是命令驱动的、图形用户接口(GUI)、菜单选择、或 能够接受远程命令或它们的任意组合。通过因特网控制的一个附加选项 是通过经由电子邮件发送的命令。这种方法允许对所接收的命令进行附 加过滤,以保证它们来自信誉好的且授权的来源。此外,GUI可通过网 页接口呈现给控制接口 202。
跨越合成网桥200包括可信网络12A以及第一合成网桥100A和第 二合成网桥IOOB。可信网络12A可包含一个或多个一见频会议站点20。 此外,可通过分开的控制接口 202 (其例如可以是基于服务器的)来提 供对跨越合成网桥200的控制。控制接口 202可允许诸如利用GUI接口 38和鼠标16(见图l)的人工输入,或者它可连接到另一个共享网络,诸 如所示出的因特网204。控制接口 202可包含信号以允许可信网络12A 配置用于网络12A-C上的装置之间的协作的各种连接。
第一合成网桥100A包含第一控制节点120A和第一协作节点110A 以分别与网络12B和可信网络12A对接。第一内容节点120A和第一协 作节点110A与受限编码信号通过其传输的至少一个第一非网络媒体链 路接口 130A互连。
第二合成网桥IOOB类似于第一合成网桥IOOA构建,然而,它被编 程或者以其他方式被设计成将网络12C与可信网络12A对接。第二内容节点120B通过专用线路(诸如租用线路150)连接到网络12C,并由此 能够远离网络12C定位。第二协作节点110B通过至少一个第二非网络 媒体链路接口 130B连接到第二内容节点120B并连接到网络12A。
内容节点120A和120B可被编程或者以其他方式被配置成将引入的 A/V流转变成标准受限编码,并通过相应的非网络媒体链路接口 130A和 130B分别发送到协作节点IIOA和IIOB。协作节点IIOA和IIOB然后可 将所接收的标准受限编码转变或重新编码成特殊协作格式,其中所述特 殊协作格式可被可能驻留在可信网络12A上的其它协作节点110识别。 类似地,协作节点IIOA和IIOB接收的特殊协作格式的A/V流可被转换 成标准受限编码才各式,并分别通过非网络+某体链路接口 130A和130B传 输,并且然后^f皮转变或重新编码成相应网络12B和12C所需的格式。
因此,通过提供受限编码格式化和通过非网络媒体链路接口进行传 输,协作节点IIOA和110B以及内容节点120A和120B可提供对各种数 椐流的转化服务,以在不损害加密安全性的情况下保证互操作性。因为 合成网桥100A和100B向可信网络12A提供固有安全性,所以跨越合成 网桥200还提供网络隔离和高级别的安全性。
图5是将附加或可替换特征合并到图4中的跨越合成网桥200的跨 越合成网桥400的实施例的示例性框图。在这个实施例中,协作节点 IIOA和110B包括逻辑,用于将"协作描述语言"(CDL)信息添加到传输 的数据流以封装它们并允许可信网络12A上的其它协作节点110更好地 处理所述数据流。CDL由不同于网络协议报头的信息组成,其中所述报 头通常伴随着通过网络的数据流。不是包含MAC地址和目的地IP地址 和端口,而是CDL按照所封装数据流的底层属性(underlining property )来描述所封装数据流,以允许更容易且更快速地解码、编码、 转换或修改数据流,从而允许将它们适配到连接到网络12A-C的不同 A/V或其它系统。例如,对于视频流,CDL可以描述视频格式、其与其 它视频/音频流的关系(诸如时间同步数据或与其它视频流的相关性(对 于远程呈现或多方会议))、颜色格式和比特深度、所用的压缩标准、 所用的加密技术、流的所有者、流起源的物理位置、流起源的时区、照 相机捕获视频的角度、照相机的缩放因子(zoom factor)、视频中的 参与者是谁、以及对其它协作节点可能有益的关于视频流的内容和格式 的其它参数。CDL可在视频流在可信网络12A上传输开始时出现一次,或者它可以被周期性地发送以允许在存在网络问题的情况下重新同步
A/V流。CDL也可被分解,使得某些会话有关信息在数据流会话开始时 被传送,而其它实时有关信息利用各个分组被传输。CDL也可与公共/ 私有密钥传输一起使用以保证封装的CDL编码流仅能够由相应的协作节 点110接收,以进一步保证高安全性。
可在内容节点120中或可替换地在协作节点110中添加CDL来封装 数据流。CDL中的信息可以对于每个会话预先配置,和/或随着VCS会话 的进^f亍而实时适配。
图6是示出随着网络分组沿着OSI模型栈向上前进从OSI模型下层 移除报头信息的所述分组的抽象表示。例如,在层2中,数据链路分组 426包含第一报头424和网络层数据分组420,其中网络层数据分组420 封装有数据分组414,数椐分组414是较大数据流中的一块。在OSI模 型栈的上层中所使用的附加报头信息(诸如第二报头422和第三报头 418)被示为封装在笫一数据分组420中。在层2从数据链路分组426 除去第一报头424之后,包含网络数据分组412的网络层分组420被传 递到OSI模型栈的层3。层3除去第二报头422,并将传输层分组416 传到OSI模型栈的层4。层4除去第三报头418并对传输层数据分组410 执行任何解密或其它处理,之后将会话层数椐分组408传到OSI模型栈 的层5。该会话层数据分组408可根据需要用在OSI ;溪型栈的会话层、 表示层和应用层(层5-7)。来自期望数据流的信息在层5-7中被从会话 层数据分组408移除,并被传到层8(协作层),层8可转变、编码、转
在一个实施例中,CDL信息404被附加到协作层数据分组406以创建可 信网络协作分组402,以便通过网络12A进行传输。
同样,层8接收的可信网络协作分组402除去CDL分组404并使用 该信息转变、解码、重新转换、重新格式化或者以其他方式操纵协作层 数据分组406以创建会话层数据分组408,以便用在诸如视频会议系统 的接收装置上。会话层数据分组408被沿着OSI模型栈向下传递,并且 网络协议信息(诸如第一、第二和第三报头"4、 422、 418)被添加以 创建数据链路网络分组426以通过网络传输到接收装置。
虽然已经参考上述优选和可替换实施例具体示出和描述了本发明, 但本领域技术人员能够理解,在不偏离如下权利要求书定义的本发明的
22精神和范围的情况下,可在对其作出多种修改。应该将本发明的该描述 理解为包含在此描述的要素的所有新颖且非显而易见的组合,并且在本 申请中或以后的申请中可对这些要素的任何新颖且非显而易见的组合 提出权利要求。上述实施例是说明性的,并且没有单个特征或要素对于 在本申请或后面的申请中所要求保护的所有可能组合是必要的。虽然权 利要求陈述了其等效方案的"一"或"第一"要素,但应该将该权利要 求理解为包含一个或多个这种要素的结合,不要求也不排除两个或更多 这种要素。
权利要求
1.一种创建合成网桥的方法,包括如下步骤逻辑上从第一网络的应用层提取包含要传输到第二网络的一个或多个第一数据流的选择数据;逻辑上从所述第二网络的应用层提取包含要传输到所述第一网络的一个或多个第二数据流的选择数据;以及通过分开的非网络媒体链路接口组传输所述两个或更多第一和第二数据流,所述非网络媒体链路接口仅允许受限信息编码并且固有地防止与所述两个或更多第一和第二数据流一起传递任何网络协议信息,直到所述两个或更多第一和第二数据流处于从其传输它们的相对网络的控制下之后。
2. 如权利要求1所述的方法,还包括步骤从分开的网络控制所 述合成网桥的配置。
3. 如权利要求2所述的方法,其中使用电子邮件来完成控制所述 合成网桥的配置的步骤。
4. 如权利要求1所述的方法,还包括步骤将所述一个或多个第 一或第二数据流中的至少一个从第一视频格式转变成第二视频格式。
5. 如权利要求1所述的方法,其中所述非网络媒体链路接口不是与网络相关的,以便固有地防止在相对网络之间传输任何网络协议信 自
6. 如权利要求l所述的方法,还包括如下步骤通过具有45 Mbps的最小数椐链路的协作传输网络传输所述两个或 更多第一和第二数据流;网络的该一个或多个第一数据流的选择数据;以及网络的该一个或多个第二数据流的选择数据。
7. 如权利要求6所述的方法,其中在所述第一与第二网络之间传 输所述一个或多个第一和第二数椐流的总单向延时小于1/4秒。
8. 如权利要求6所述的方法,还包括如下步骤 在所述协作传输网络上进行传输之前,使用协作描述语言封装所述一个或多个第一和第二数据流中的至少一个;以及利用封装所述一个或多个笫一和第二数据流中的所迷至少一个的 所述协作描述语言来处理所述一个或多个第一和第二数据流中的所述 至少一个,之后将经过处理的至少一个或多个第一和第二数据流传递到 所述第一或第二网络。
9. 如权利要求6所述的方法,还包括如下步骤为所述协作传输 网络提供目录服务,以仅允许从所述第一和第二网络单向控制所述协作 传输网络。
10. —种合成网桥,包括 一组非网络媒体链路接口;内容节点,其连接到该组非网络媒体链路接口 ,所述内容节点包括 电路,其用于从第一网络的应用层提取包含要传输到第二网络的不带有网络协议的一组第一数据流的选择数据,并接收一组受限编码 的第二数据流以合并到所述第一网络的应用层中,以及电路,其用于将该组第一数据流受限编码到该组非网络媒体链 路接口上;以及协作节点,其连接到该组非网络媒体链路接口 ,所述协作节点包括 电路,其用于从所述第二网络的应用层提取包含要传输到所述 第 一 网络的不带有网络协议的 一组第二数据流的选择数据,并接收一组 受限编码的第一数据流以合并到所述第二网络的应用层中,以及电路,其用于将该组第二数椐流受限编码到该组非网络媒体链路接口上。
11.如权利要求10所述的合成网桥,还包括用于从分开的网络控 制所述合成网桥的配置的电路。
12. 如权利要求11所述的合成网桥,其中使用电子邮件完成对所 述合成网桥的配置的控制。
13. 如权利要求10所述的合成网桥,还包括用于将该组第一或第 二数据流中的至少一个数据流从第一视频格式转变成第二视频格式的 电路。
14. 如权利要求10所述的合成网桥,其中在该组非网络媒体链路 接口内的非网络媒体链路接口的数目在所述内容节点与所迷协作节点 之间是不对称的。
15. 如权利要求10所迷的合成网桥,还包括其中所述第二网络是用于在所述第一网络与第三网络之间传输该组第 一 和第二数据流的协作传输网络;第二内容节点,其连接到第二组非网络媒体链路接口,所述内容节点包括电路,其用于从所述第二网络的应用层提取包含要传输到所迷 第三网络的不带有网络协议的该组第一数据流的选择数据,并接收一组 受限编码的第二数据流以合并到所述第二网络的应用层中,以及电路,其用于将该组第一数椐流受限编码到所述第二组非网络 媒体链路接口上;以及第二协作节点,其连接到所迷第二组非网络媒体链路接口,所述协作节点包括电路,其用于从所迷第三网络的应用层提取包含要传输到所述 第二网络的不带有网络协议的该组第二数据流的选择数据,并接收一组 受限编码的第一数据流以合并到所述第三网络的应用层中,以及电路,其用于将该组第二数据流受限编码到所述第二组非网络 媒体链路接口上。
16. 如权利要求15所述的合成网桥,其中在所迷第一与第三网络 之间传输该组第一和第二数据流的总单向延时小于1/4秒。
17. 如权利要求15所述的合成网桥,还包括电路,其用于在所述协作传输网络上传输之前,使用协作描述语言 封装该组第 一和第二数据流中的至少其中 一 个数据流;以及电路,其用于利用封装该组第一和第二数据流中的所迷至少一个数据流的所述协作描述语言来处理该组第 一和第二数据流中的所述至少 其中一个数据流,之后将经过处理的至少一个数据流传递到所述第一或 第二网络。
18. 如权利要求15所述的合成网桥,还包括用于为所述协作传输 网络提供目录服务以仅允许从所述第 一和第二网络单向控制所述协作 传输网络的装置。
19. 如权利要求15所迷的合成网桥,其中所述协作传输网络具有 45 Mbps的最小数据链路。
20. —种合成网桥,包括不能够传输网络协议的一组非网络媒体链路接口 ;内容节点,所述内容节点具有用于对接到包含应用层的第一网络的装置,用于从所述第一网络的应用层提取来自所述第一网络的至少 一个第一数据流并用于将受限编码的第二数据流传递到所述第一网络 的应用层的装置,用于将提取的至少 一 个第 一 数据流受限编码到该组非网络媒体链路接口上的装置,以及用于从该组非网络媒体链路接口接收所述受限编码的第二数 据流的装置;以及协作节点,所述协作节点具有用于对接到包含应用层的第二网络的装置,用于从所述第二网络的应用层提取来自所述第二网络的至少 一个第二数据流并用于将受限编码的第一数据流传递到所述第二网络的应用层的装置,用于将提取的至少 一 个第二数据流受限编码到该组非网络媒体链路接口上的装置,以及用于从该组非网络媒体链路接口接收所述受限编码的第 一数据流 的装置。
全文摘要
一种创建合成网桥(100)的方法在逻辑上从第一网络(12A)的应用层提取包含要传输到第二网络(12B)的一个或多个第一数据流的选择数据(406)。逻辑上从第二网络(12B)的应用层中提取选择数据(406)。逻辑上从第二网络(12B)的应用层中提取选择数据(406),选择数据(406)包含要传输到第一网络(12A)的一个或多个第二数据流。所述两个或更多第一和第二数据流通过分开的非网络媒体链路接口(130-133)组传输,这些接口仅允许受限信息编码,并且固有地防止任何网络协议信息与所述两个或更多第一和第二数据流一起被传递,直到所述两个或更多第一和第二数据流处于传输它们的相对网络的控制下之后。
文档编号H04L12/46GK101669330SQ200780052990
公开日2010年3月10日 申请日期2007年7月31日 优先权日2007年3月14日
发明者B·维克斯, G·加甘, J·A·布鲁斯特, J·蒂尔曼, M·E·戈日恩斯基, S·格拉斯利, T·比尔斯 申请人:惠普开发有限公司