BR112019020749A2 - método de transmissão de pacotes de dados de um dispositivo cliente para a nuvem. - Google Patents

Abstract

são descritas uma variedade de técnicas para ocultar o conteúdo de uma comunicação entre um dispositivo cliente, tais como um telefone celular ou um laptop, e uma rede ou uma nuvem de nós de mídia. dentre as técnicas estão roteamento de pacotes de dados na comunicação para diferentes nós de porta de comunicação na nuvem, envio dos pacotes através de diferente mídia física, tais como um cabo ethernet ou um canal wifi, e disfarce dos pacotes dando aos mesmos diferentes endereços fontes. também são descritos uma técnica para silenciar certos participantes em uma chamada de conferência e um método altamente seguro de armazenamento de arquivos de dados.

Description

MÉTODO DE TRANSMISSÃO DE PACOTES DE DADOS DE UM DISPOSITIVO CLIENTE PARA A NUVEM

Referências Cruzadas a Aplicativos Correlatos [001] Este pedido reivindica a prioridade do Pedido Provisório de

Patente dos E.U.A. 62/480.696, protocolado em 3 de abril de 2017, e é uma continuação-em-parte do Pedido de Patente n° 14/803.869 dos E.U.A., intitulado Rede e Protocolo de Comunicação Dinâmica Segura, protocolado em 20 de julho de 2015, que, por sua vez, reivindicou a prioridade do Pedido Provisório de Patente dos E.U.A. n° 62/107.650, protocolado em 26 de janeiro de 2015.

[002] Cada um dos pedidos acima é incorporado aqui por referência em sua totalidade.

Campo da Invenção [003] A presente invenção se refere aos métodos e aparelhos para facilitar a comunicação HyperSecure da última milha entre um dispositivo e um gateway para uma rede ou nuvem.

Fundamentos da Invenção [004] A melhoria dos meios de comunicação alimentou o progresso da civilização desde os primórdios da humanidade. Desde o uso de correios e mensageiros que viajam a pé ou a cavalo; passando por entrega postal por trem, caminhão e avião; até o advento do telegrama e telégrafo, telefone, rádio, televisão, computadores, telefone celular; Internet, e-mail e World Wide Web; e mais recentemente, através das mídias sociais, telefonia IP, da conectividade máquina-máquina (M2M), da Internet das Coisas (loT) e da Internet de Tudo (loE), a comunicação sempre liderou o caminho na exploração das mais recentes tecnologias da época. Com cada nova geração de tecnologia de telecomunicações empregada, o número de pessoas conectadas e a velocidade de transferência de informações entre elas também aumentou.

Petição 870190124250, de 27/11/2019, pág. 7/571

2/381 [005] O efeito dessa tendência é que a humanidade está mais conectada do que em qualquer momento da história, com as pessoas que confiam e contam com as tecnologias de comunicação para fornecer de forma segura e confiável suas informações privadas, pessoais, familiares e financeiras apenas para aqueles a quem pretendem contatar. O conhecimento e a informação agora podem ser distribuídos em segundos para milhões de pessoas, e amigos e familiares podem entrar em contato uns com os outros do outro lado do mundo, apenas pressionando um botão. Costuma-se dizer, “o mundo tomou-se um lugar muito pequeno”.

[006] Embora tal progresso seja tremendamente benéfico para todos, também há consequências negativas de nossa forte dependência de tecnologia. Não é surpreendente que, quando o sistema de comunicação não consegue funcionar, por exemplo, durante um terremoto ou um clima severo, as pessoas ficam desorientadas ou até entram em pânico por estarem “desconectadas”, mesmo que temporariamente. A qualidade do serviço, ou QoS, de um sistema de comunicação ou mídia é então uma medida crítica do desempenho de uma rede de comunicação. A paz de espírito dos povos, os ativos financeiros, a identidade e até mesmo suas próprias vidas dependem de uma comunicação confiável e segura.

[007] Outra consideração chave de uma rede de comunicação é a sua capacidade de garantir privacidade, segurança e proteção ao cliente que a usa. A medida que a tecnologia da comunicação evoluiu, também evoluiu a sofisticação dos criminosos e dos “hackers” que pretendem causar prejuízos, perturbar sistemas, roubar dinheiro e prejudicar acidentalmente ou maliciosamente os outros. Fraudes de cartão de crédito, senhas roubadas, roubo de identidade e divulgação não autorizada de informações confidenciais, imagens privadas, arquivos, e-mails, mensagens de texto e tweets privados (roubados para envergonhar ou chantagear as vítimas) são apenas alguns exemplos de crimes cibernéticos modernos.

Petição 870190124250, de 27/11/2019, pág. 8/571

3/381 [008] Exemplos notáveis de violações da privacidade e crimes cibernéticos no momento deste pedido de patente estão listados abaixo para destacar a proporção epidêmica do problema de segurança nas redes de comunicação abertas de hoje (organizados cronologicamente):

[009] “Alvo: Informações roubadas envolveram pelo menos 70 milhões de pessoas”, CNBC, 10 de janeiro de 2014 [0010] “Hackers fizeram geladeira e TV inteligentes enviar e-mails maliciosos”, BGR (www.bgr.com), 20 de janeiro de 2014 [0011] “A Política de Privacidade do Nest Google retoma como termostato hackeado,” Slash Gear (www.slashgear.com), 24 de junho de 2014 [0012] “Sequestro de contas questionam a segurança dos dados do Line. Line, o aplicativo gratuito de chamadas e mensagens, foi abalado por uma recente onda de falhas de segurança de dados. O aplicativo viu centenas de contas de usuários serem acessadas ilegalmente por partes que não os usuários das contas,” Nikkei Asian Review, 2 de julho de 2014 [0013] “Americanos comuns pegos na varredura de dados da NSA, afirma relatório,” AP 6 de julho de 2014 [0014] “Lâmpadas de LED inteligentes vazam senhas de Wi-Fi,” BBC News, 8 de julho de 2014 [0015] “Seis pessoas acusadas de esquema da StubHub para ingressos de jogos. A StubHub foi alvo de hackers que usaram senhas roubadas e números de cartão de crédito para comprar e vender milhares de ingressos para concertos de música pop e jogos dos Yankees, disseram autoridades de Nova York”, Bloomberg, 24 de julho de 2014 [0016] “‘Internet das Coisas’ é muito suscetível a hackeamento, mostra estudo,” International Business Times (www.ibtimes.com), 4 de agosto de 2014 [0017] “Hackers russos acumulam mais de um bilhão de senhas de Internet”, New York Times, 5 de agosto de 2014

Petição 870190124250, de 27/11/2019, pág. 9/571

4/381 [0018] “Novo vazador está divulgando segredos dos EUA, conclui governo,” CNN, 6 de agosto de 2014 [0019] “Hackers invadem termostato Nest do Google em 15 segundos,” The Enquirer (www.theinquirer.net), 11 de agosto de 2014 [0020] “Dairy Queen hackeada pelo mesmo malware que atingiu o Target,” Christian Science Monitor, 29 de agosto de 2014 [0021] “Celebridades vítimas de vazamento de fotos nuas Vulnerabilidade de segurança em contas do iCloud,” CBS News, 1 de setembro de 2014 [0022] “Home Depot pode ser o alvo mais recente de fraude de cartão de crédito... O ataque da Home Depot pode ser muito maior que o da Target (40M de cartões roubados em 3 semanas),” Fortune, 2 de setembro de 2014 [0023] “Misteriosas torres de telefonia celular falsas estão interceptando ligações em todos os EUA,” Business Insider, 3 de setembro de 2014 [0024] “Ataque informático: de bancos a varejistas, sinais de guerra cibernética?” Yahoo Finance, 3 de setembro de 2014 [0025] “Home Depot confirma hackeamento de sistema de pagamento em lojas dos EUA e Canadá,” Fox News, 9 de setembro de 2014 [0026] “Yahoo trava batalha judicial com o governo americano contra vigilância,” CBS/AP, 11 de setembro de 2014 [0027] “Seus dados médicos valem mais para os hackers do que seu cartão de crédito,” Reuters, 24 de setembro de 2014 [0028] Alerta Vermelho: HTTPS foi hackeado. A exploração do navegador contra ataque SSL/TLS (BEAST) será classificada entre as piores invasões [sic] porque compromete conexões do navegador das quais centenas de milhões de pessoas dependem todos os dias,” InfoWorld, 26 de setembro de 2014 [0029] “Ataque cibernético à Sony, antes um incômodo, rapidamente

Petição 870190124250, de 27/11/2019, pág. 10/571

5/381 se tomou um incêndio,” New York Times, 30 de dezembro de 2014 [0030] No que parece ser um ritmo crescente de crimes cibernéticos, falhas de segurança, roubos de identidade e invasões de privacidade, surge a questão: “Como todos esses ataques cibernéticos são possíveis e o que pode ser feito para detê-los?” Ao mesmo tempo em que a sociedade procura maior privacidade e segurança, os consumidores também querem uma maior conectividade, uma comunicação de maior qualidade mais barata e uma maior conveniência na realização de transações financeiras.

[0031] Para entender as limitações e vulnerabilidades de desempenho em redes modernas de comunicação, armazenamento de dados e dispositivos conectados, é primeiramente importante compreender como a comunicação eletrônica, de rádio e óptica de hoje em dia opera, transporta e armazena dados, incluindo arquivos, e-mail, texto, áudio e imagens de vídeo.

Operação de Rede Telefônica com Comutação de Circuitos [0032] A comunicação eletrônica envolve uma variedade de componentes de hardware ou dispositivos conectados em redes de fios, rádio, micro-ondas ou enlaces de fibra óptica. A informação é passada de um dispositivo para outros enviando energia elétrica ou eletromagnética através dessa rede, usando vários métodos para incorporar ou codificar “conteúdo” informativo no fluxo de dados. Teoricamente, as leis da física estabelecem a taxa máxima de dados de tais redes à velocidade da luz, mas, na maioria dos casos, limitações práticas na codificação de dados, roteamento e controle de tráfego, qualidade de sinal para ruído e superação de ruído elétrico, magnético e óptico e parasitas indesejados perturbam ou inibem o fluxo de informações, limitando a capacidade da rede de comunicação a uma fração de seu desempenho ideal.

[0033] Historicamente, a comunicação eletrônica de dados foi realizada pela primeira vez usando conexões elétricas dedicadas “fisicamente conectadas” formando um “circuito” de comunicação entre dois ou mais

Petição 870190124250, de 27/11/2019, pág. 11/571

6/381 dispositivos conectados eletricamente. No caso de um telégrafo, um comutador mecânico foi usado para armar e desamar manualmente um circuito elétrico de corrente contínua (CC), magnetizando um solenoide que, por sua vez, movia uma alavanca metálica, fazendo com que o dispositivo de escuta ou o “relé” clicassem no mesmo padrão que o remetente pressionou o comutador. O remetente usou então uma linguagem acordada, isto é, código Morse, para codificar informações no fluxo de pulso. O ouvinte também precisaria entender o código Morse, uma série de pulsos longos e curtos, chamados de pontos e traços, para interpretar a mensagem.

[0034] Mais tarde, Alexander Graham Bell desenvolveu o primeiro telefone usando o conceito de “corrente ondulada”, agora denominada corrente alternada (CA), para transportar o som através de uma conexão elétrica. A rede telefônica compreendia dois transdutores magnéticos conectados por um circuito elétrico em que cada transdutor magnético compreendia um diafragma e uma bobina móveis, ou “bobina de voz”, circundados por um invólucro de ímã permanente fixo. Ao falar no transdutor, as mudanças na pressão do ar do som fazem com que a bobina de voz se mova para frente e para trás dentro do campo magnético circundante induzindo uma corrente CA na bobina. Na extremidade do ouvinte, a corrente variável no tempo que flui na bobina de voz induz uma forma de onda idêntica e um campo magnético variável no tempo que se opõe ao campo magnético circundante, fazendo com que a bobina de voz se mova para frente e para trás da mesma maneira que o transdutor que captura o som. O movimento resultante reproduz o som de maneira similar ao dispositivo que captura o som. No vernáculo moderno, quando o transdutor está convertendo o som em corrente elétrica, ele está funcionando como um microfone e quando o transdutor está convertendo a corrente elétrica em som, ele está funcionando como alto-falante. Além disso, como o sinal elétrico conduzido é análogo à forma de onda de áudio transportada como uma onda de pressão

Petição 870190124250, de 27/11/2019, pág. 12/571

7/381 elementar no ar, isto é, som, hoje tais sinais elétricos são chamados de sinais analógicos ou formas de onda analógicas.

[0035] Uma vez que o transdutor, conforme descrito, é usado tanto para falar quanto para ouvir, na conversa, ambas as partes têm que saber quando falar e quando ouvir. Semelhante a duas latas conectadas por um barbante, em tal sistema, um chamador não pode falar e ouvir ao mesmo tempo. Embora essa operação unidirecional, denominada modo “half-duplex”, possa parecer arcaica, na verdade ainda é comumente usada na comunicação de rádio hoje em radiocomunicadores e na telefonia moderna com o nome “push-to-talk” ou PTT.

[0036] Mais tarde, os telefones full-duplex (isto é, bidirecionais ou de envio e recebimento) com microfones e alto-falantes separados tomaram-se comuns, onde as partes podiam falar e ouvir ao mesmo tempo. Mas mesmo hoje é necessário um cuidado no funcionamento da comunicação telefônica full-duplex para evitar a realimentação, uma condição em que o som do receptor é captado pelo microfone e é alimentado de volta para o chamador, resultando em ecos confusos e, às vezes, sons de assobio incômodos problemas que afetam especialmente comunicação telefônica de longa distância.

[0037] Os primeiros sistemas telegráficos e telefônicos sofreram outro problema: privacidade. Nessas primeiras encarnações de redes de comunicação, todos os conectados à rede ouvem tudo o que se comunicou no circuito, mesmo que não o desejem. Nas redes telefônicas rurais, esses circuitos compartilhados eram conhecidos como “linhas partilhadas”. O sistema de telefone evoluiu rapidamente para redes de múltiplas linhas onde os circuitos dedicados conectavam um escritório de ramal telefônico diretamente aos telefones dos clientes individuais. Dentro do escritório de troca de ramais, um operador de sistema conectaria os chamadores manualmente entre si através de uma central telefônica usando pontes e

Petição 870190124250, de 27/11/2019, pág. 13/571

8/381 também tinha a capacidade de conectar um ramal a outros para formar os primeiros serviços de chamada telefônica de “longa distância”. Grandes bancos de relés que formam redes de “comutadores” telefônicos substituíram gradualmente os operadores humanos, que posteriormente foram substituídos por comutadores eletrônicos que compreendem tubos de vácuo.

[0038] Depois que os Laboratórios da Bell desenvolveram o transistor no final da década de 1950, os comutadores telefônicos e as trocas de ramal substituíram seus tubos de vácuo frágeis e quentes por dispositivos de estado sólido de funcionamento a frio que usavam transistores e, finalmente, circuitos integrados. A medida que a rede crescia, os números de telefone aumentavam em dígitos de um prefixo de sete dígitos e número privado para incluir códigos de área e, finalmente, códigos de país para lidar com chamadas internacionais. Os cabos de cobre que carregavam chamadas de voz logo tomaram o mundo e atravessaram os oceanos. Apesar da magnitude da rede, o princípio da operação permaneceu constante, de que as chamadas representam uma conexão elétrica direta ou “circuito” entre os chamadores com voz carregada por sinais analógicos e o roteamento da chamada determinado por comutadores telefônicos. Esse sistema telefônico acabou por ser conhecido como uma “rede telefônica com comutação de circuitos”, ou coloquialmente como o sistema telefônico antigo ou POTS. A telefonia com comutação de circuitos atingiu sua máxima adoção na década de 1980 e, em seguida, foi implacavelmente substituída por “telefonia com comutação de pacotes”, descrita na próxima seção.

[0039] Evoluindo quase paralelamente à rede telefônica, a comunicação de rádio regular começou com a radiodifusão na década de 1920. A difusão era unidirecional, emanada de estações de difusão de rádio em frequências específicas licenciadas pelo governo, e recebida por qualquer número de receptores de rádio sintonizados a essa frequência de difusão específica ou estação de rádio. O sinal difundido transportava um sinal

Petição 870190124250, de 27/11/2019, pág. 14/571

9/381 analógico usando modulação de amplitude (AM) ou posteriormente por métodos de modulação de frequência (FM), cada um em porções dedicadas do espectro de rádio licenciado. Nos Estados Unidos, a Comissão Federal de Comunicações ou FCC evoluíram para gerenciar a atribuição e regulamentação de tais bandas licenciadas. O conceito de difusão foi expandido para a exibição de programas de televisão usando transmissão de rádio, compreendendo inicialmente conteúdo em preto e branco, em seguida, em cores. Posteriormente, os sinais de televisão também puderam ser transportados para as casas das pessoas, seja por antenas parabólicas de micro-ondas ou através de cabos coaxiais. Como qualquer ouvinte sintonizado para a frequência de difusão específica pode receber a difusão, o termo “multidifusão” agora é usado para essa comunicação unidirecional de múltiplos ouvintes.

[0040] Paralelamente ao advento da radiodifusão, a primeira comunicação bidirecional começou com os navios comerciais e militares do oceano e, na época da Segunda Guerra Mundial, os rádios evoluíram para transceptores de rádio portáteis com radiocomunicador, dispositivos que combinavam transmissores e receptores em uma única unidade. Como a telefonia, a transmissão de rádio bidirecional inicial, operava no modo “simplex”, permitindo que apenas um rádio difundisse em um único canal de rádio enquanto outros ouviam. Ao combinar transmissores e receptores em diferentes frequências, a transmissão e a recepção simultâneas tomaram-se possíveis em cada extremidade do enlace de rádio, permitindo a comunicação de modo full-duplex entre duas partes.

[0041] Para evitar a sobreposição de transmissões de múltiplas partes, no entanto, um protocolo chamado half-duplex ou push-to-talk é comumente usado para o gerenciamento de canais, permitindo que qualquer um transmita exclusivamente em um canal específico com base em ordem de chegada. Os tipos de rádio padrão da indústria usando modulação analógica incluem rádio

Petição 870190124250, de 27/11/2019, pág. 15/571

10/381 amador (ham ou CB), rádio VHF marinho, UNICOM para controle de tráfego aéreo e FRS para comunicação pessoal com radiocomunicador. Nessas redes de rádio bidirecionais, os rádios enviam seus dados através de “canais” de frequência específicos para uma torre de rádio central, onde a torre amplifica e repete o sinal, enviando-o para toda a rede de rádio. O número de frequências disponíveis que transportam informações através da área de difusão define a largura de banda total do sistema e o número de usuários capazes de se comunicarem de forma independente na rede de rádio ao mesmo tempo.

[0042] A fim de expandir a capacidade total da rede de rádio para lidar com um maior número de chamadores, o conceito de uma rede celular, onde uma grande área é dividida em pedaços menores ou “células” de rádio, foi demonstrado na década de 1970 e alcançou uma ampla adoção dentro de uma década depois. O conceito de celular era limitar a faixa de difusão de uma torre de rádio a uma área menor, ou seja, a uma distância mais curta e, portanto, ser capaz de reutilizar as mesmas bandas de frequência para lidar simultaneamente com diferentes chamadores presentes em diferentes células. Para fazer isso, criou-se um software para gerenciar a transferência de um chamador que passa de uma célula para uma célula adjacente sem “cair” e, de repente, desconectar a chamada. Como POTS, rádio bidirecional, assim como difusão de rádio e televisão, as redes celulares iniciais eram de natureza analógica. Para controlar o roteamento de chamadas, o sistema de número de telefone foi adotado para determinar a conexão elétrica sem fio apropriada. Essa opção também teve o benefício de conectar de forma perfeita a nova rede celular sem fio ao sistema telefônico antigo “com fios”, provendo interconexão e interoperabilidade entre os dois sistemas.

[0043] A partir da década de 1980, a comunicação telefônica e de rádio, juntamente com a difusão de rádio e TV, iniciou uma migração inexorável de métodos e formatos de comunicação analógicos para digitais,

Petição 870190124250, de 27/11/2019, pág. 16/571

11/381 impulsionada pela necessidade de reduzir o consumo de energia e aumentar a vida da batería, para melhorar a qualidade com melhor desempenho de sinal para ruído e para começar a abordar a necessidade de carregar dados e texto com voz. Formatos de rádio como EDACS e TETRA surgiram capazes de permitir simultaneamente modos de comunicação um para um, um para muitos e muitos para muitos. A comunicação celular também migrou rapidamente para formatos digitais, como o GPRS, assim como a difusão de TV.

[0044] Em 2010, a maioria dos países tinha cessado, ou estava em processo de cessação, toda transmissão de TV analógica. Ao contrário da televisão difundida, as operadoras de TV a cabo não eram obrigadas a mudar para o formato digital, mantendo um composto híbrido de sinais analógicos e digitais até 2013. A sua migração final para o digital foi motivada não pelos padrões governamentais, mas por razões comerciais para expandir o número de canais disponíveis de sua rede, para poder fornecer conteúdo HD e UHD, para oferecer mais programação pay-per-view (PPV, também conhecido como “unidifusão”) e para permitir serviços de conectividade digital de alta velocidade para seus clientes.

[0045] Embora seja comum equiparar a migração de redes globais de comunicação de formatos analógicos para formatos digitais com o advento da Internet e mais especificamente com a adoção generalizada do protocolo Internet (IP), a mudança para formatos digitais precedeu a aceitação comercial de IP em telefonia, possibilitando, se não catalisando, a migração universal de comunicação para IP e “redes com comutação de pacotes” (descrita na próxima seção).

[0046] A evolução resultante da telefonia com comutação de circuitos é esquematicamente como uma rede telefônica pública comutada, ou PSTN, compreendendo um amalgamado de conexões e sub-redes de rádio, celular, PBX e POTS, cada uma envolvendo tecnologias diferentes. A rede inclui os

Petição 870190124250, de 27/11/2019, pág. 17/571

12/381 gateways PSTN conectados por linhas tronco de alta largura de banda e, por exemplo, conectadas através de conexões com fios a gateways POTS, rede celular, estações-base de rede celular, PBX e rede de rádio bidirecional. Cada sub-rede funciona de forma independente, acionando dispositivos semelhantes.

[0047] A PSTN também se conecta a redes celulares com comutação de circuitos sobre estações-base 17 que executam protocolos analógicos e digitais AMPS, CDMA e GSM. Através de torres celulares, as estações-base de redes celulares com comutação de circuitos se conectam usando radiofrequências de celular padronizadas de enlaces celulares para dispositivos móveis, tais como telefones celulares. No caso das redes GPRS, um aprimoramento para GSM, as estações-base de redes celulares com comutação de circuitos também podem se conectar a tablets, fornecendo simultaneamente dados e voz de baixa velocidade. As redes de rádio bidirecionais, como a TETRA e a EDACS, conectam a PSTN a rádios portáteis e rádios maiores integrados e de mesa através de torres de rádio de alta potência e enlaces celulares. Essas redes de rádio bidirecionais, comumente usadas por policiais, ambulâncias, paramédicos, departamentos de bombeiros e até mesmo autoridades portuárias, também são conhecidas como redes e serviços de comunicação profissional, e alvejam governos, municípios e respondentes de emergência em vez de consumidores. (Observação: Conforme usado no presente, os termos “desktop”, “tablet” e “notebook” são usados como referência abreviada para os computadores com esses nomes.) [0048] Ao contrário do gateway de POTS, as estações-base de rede celular e PBX que usam números de telefone tradicionais para completar o roteamento de chamadas, a rede de rádio bidirecional usa canais de rádio RF dedicados (em vez de números de telefone) para estabelecer enlaces de rádio entre a torre e os dispositivos móveis por ela servidos. Como tal, os serviços profissionais de comunicação por rádio permanecem distintos e

Petição 870190124250, de 27/11/2019, pág. 18/571

13/381 exclusivamente diferentes das redes de telefonia celular dos clientes.

[0049] Como tal, as redes PSTN interligam flexivelmente sub-redes de diversas tecnologias. E essa diversidade que define um ponto fraco intrínseco das redes com comutação de circuitos de hoje - a interoperabilidade entre sub-redes. Como as várias sub-redes não se comunicam com nenhum protocolo de controle comum ou linguagem, e como cada tecnologia administra o transporte de dados e voz de forma diferente, os vários sistemas são essencialmente incompatíveis, exceto pela capacidade limitada de fazer uma ligação telefônica através da linha principal PSTN ou linhas troncos. Por exemplo, durante o ataque terrorista de 11 de setembro no World Trade Center na cidade de Nova York, muitos respondentes de emergência de todos os Estados Unidos foram para Manhattan em uma tentativa de ajudar a combater o desastre, apenas para descobrir que seu sistema de comunicação por rádio e radiocomunicadores eram incompatíveis com voluntários de outros estados e cidades, tomando impossível gerenciar um comando centralizado e controle do esforço de socorro. Sem padronização no protocolo de comunicação de seu rádio, seus rádios simplesmente não conseguiam se conectar uns aos outros.

[0050] Além disso, com as conexões elétricas diretas e de RF de redes telefônicas com comutação de circuitos, especialmente usando protocolos digitais analógicos ou não seguros, é uma questão simples para um hacker com um varredor de RF encontrar canais de comunicação ativos e detectar, amostrar, ouvir ou interceptar as conversas ocorrendo no momento. Como a PSTN forma um enlace ou circuito “continuamente ligado” entre as partes que se comunicam, há tempo suficiente para que um hacker identifique a conexão e “escute-a”, legalmente por governos que operam sob um grampo telefônico ordenado por tribunal federal ou criminalmente por criminosos cibernéticos ou governos que realizam vigilância ilegal, proibida ou não autorizada. A definição de espionagem e vigilância legal e ilegal e qualquer

Petição 870190124250, de 27/11/2019, pág. 19/571

14/381 obrigação de conformidade com a cooperação por parte de um operador de rede varia dramaticamente por país e tem sido um ponto de disputa aquecido entre empresas globais como Google, Yahoo e Apple operando em inúmeros limites internacionais. As redes de comunicação e a Internet são globais e não conhecem fronteiras ou limites, mas as leis que regem essas informações eletrônicas são locais e estão sujeitas à autoridade jurisdicional do governo que controla a comunicação e o comércio nacionais e internacionais na época. [0051] Independentemente da sua legalidade ou ética, a espionagem e a vigilância eletrônica hoje são comuns, desde o monitoramento de câmeras de segurança ubíquas localizadas em cada canto da rua e suspensas em cada estrada ou metrô, até o sofisticado hackeamento e quebra de código executado pelas divisões e órgãos de segurança nacional de vários países. Embora todas as redes sejam vulneráveis, a antiguidade e as precárias disposições de segurança das PSTNs tomam-nas especialmente fáceis de serem hackeadas. Como tal, uma PSTN conectada mesmo a uma rede segura e moderna representa um ponto fraco no sistema geral, criando vulnerabilidade para violações de segurança e crimes cibernéticos. No entanto, ainda demorará muitos anos, senão décadas, para retirar a rede global da PSTN e a substituí-la completamente por uma comunicação com comutação de pacotes baseada em IP. Essas redes baseadas em pacotes (descritas abaixo), embora mais modernas que as PSTNs, ainda não são seguras e estão sujeitas a falhas de segurança, hacks, ataques de negação de serviço e invasões de privacidade.

Operação de rede de comunicação com comutação de pacotes [0052] Se duas latas conectadas por um barbante representam uma metáfora para a operação da moderna telefonia com comutação de circuitos, então o correio representa a metáfora semelhante para redes de comunicação com comutação de pacotes. Em tal abordagem, texto, dados, voz e vídeo são convertidos em arquivos e fluxos de dados digitais, e esses dados são posteriormente separados em “pacotes” quantizados de dados a serem

Petição 870190124250, de 27/11/2019, pág. 20/571

15/381 entregues na rede. O mecanismo de entrega é baseado em endereços eletrônicos que identificam de maneira exclusiva onde o pacote de dados está indo e de onde ele vem. O formato e o protocolo de comunicação também são projetados para incluir informações sobre a natureza dos dados contidos no pacote, incluindo conteúdo específico para o programa ou aplicativo para o qual ele será usado, e o hardware que facilita os enlaces físicos e conexões elétricas ou de rádio que transportam os pacotes.

[0053] Nascido na década de 1960, o conceito de redes com comutação de pacotes foi criado na era paranoica da guerra fria pós-Sputnik. Naquela época, o Departamento de Defesa dos Estados Unidos (DoD) expressou a preocupação de que um ataque de mísseis nuclear espacial podería destruir toda a infraestrutura de comunicação dos Estados Unidos, desativando sua capacidade de responder a uma greve preventiva da URSS e que a vulnerabilidade a tal ataque podería realmente provocar um. Assim, o DoD patrocinou a criação de um sistema de comunicação redundante ou de uma “rede” tipo grade, em que a capacidade da rede de fornecer informações entre instalações militares não podería ser impedida destruindo qualquer enlace de dados específico ou mesmo inúmeros enlaces dentro da rede. O sistema, conhecido como ARPANET, tomou-se o pai da Internet e a Eva proverbial das comunicações digitais modernas.

[0054] Apesar da criação da rede com comutação de pacotes, o crescimento explosivo da Internet não ocorreu até a década de 1990, quando o primeiro navegador web fácil de usar Mosaic, o advento de páginas da web definidas com hipertexto, a rápida adoção da World Wide Web e o uso generalizado de e-mail impulsionaram coletivamente a aceitação global da plataforma da Internet. Um dos seus princípios fundamentais, a falta de controle central ou a necessidade de um mainframe central, impulsionou a Internet à onipresença em parte porque nenhum país ou governo podería detêla (ou mesmo estavam plenamente conscientes de suas implicações globais) e

Petição 870190124250, de 27/11/2019, pág. 21/571

16/381 também porque sua base de usuários compreendia consumidores usando seus computadores pessoais recentemente adquiridos.

[0055] Outra implicação de grande alcance do crescimento da Internet foi a padronização do Protocolo de Internet (IP) usado para rotear pacotes de dados através da rede. Em meados da década de 1990, os usuários da Internet perceberam que a mesma rede com comutação de pacotes que transporta dados também poderia ser usada para transportar voz e, logo depois, nasceu o “protocolo de voz sobre a Internet” ou VoIP. Embora o conceito tenha permitido teoricamente que qualquer pessoa com acesso à Internet se comunicasse gratuitamente por voz pela Internet, os atrasos de propagação em toda a rede, ou seja, latência, tomaram a qualidade da voz pior e muitas vezes ininteligível. Embora os tempos de atraso tenham melhorado com a adoção de enlaces Ethernet de alta velocidade, conectividade Wi-Fi de alta velocidade e dados 4G para melhorar a qualidade da conexão na “última milha”, a própria Internet foi criada para garantir uma entrega precisa de pacotes de dados, mas não para garantir o tempo necessário para entregar os pacotes, ou seja, a Internet não foi criada para funcionar como uma rede em tempo real.

[0056] Assim, o sonho de usar a Internet para substituir as caras operadoras de telecomunicações de longa distância ou “companhias telefônicas” permaneceu em grande parte não realizado apesar da disponibilidade de provedores “over-the-top” (OTT), como Skype, Line, KakaoTalk, Viper e outros. A telefonia OTT sofre de má qualidade de serviço (QoS) resultante de latência de rede não controlada, qualidade de som fraca, chamadas descartadas, eco, reverberação, realimentação, som intermitente e, muitas vezes, a incapacidade até mesmo de iniciar uma chamada. O desempenho ruim da comunicação OTT é intrinsecamente não uma fraqueza do protocolo baseado em VoIP, mas da própria rede, onde as operadoras OTT não têm controle sobre o trajeto que os dados tomam ou os atrasos na comunicação. Em essência, as operadoras OTT não podem garantir o

Petição 870190124250, de 27/11/2019, pág. 22/571

17/381 desempenho ou a QoS porque a comunicação OTT funciona como um carona na Internet. Ironicamente, as empresas capazes de utilizar melhor as comunicações baseadas em VoIP hoje são as operadoras de telefonia de longa distância com redes dedicadas de baixa latência baseadas em hardware , as mesmas companhias telefônicas que têm a menor motivação para fazê-lo.

[0057] Além da redundância de rede intrínseca, uma das maiores forças da comunicação com comutação de pacotes é a capacidade de transportar informações de qualquer fonte para qualquer destino desde que os dados estejam arranjados em pacotes consistentes com o Protocolo de Internet e desde que os dispositivos de comunicação sejam conectados e ligados à Internet. O Protocolo de Internet gerencia a capacidade da rede de entregar a carga útil ao seu destino, sem qualquer cuidado ou preocupação com a informação que está sendo transportada ou sobre o aplicativo que irá usá-la, evitando qualquer necessidade de interfaces de software personalizadas e hardware proprietário caro. Em muitos casos, mesmo as cargas úteis relacionadas ao aplicativo estabeleceram formatos predefinidos, por exemplo, para ler e-mails, para abrir uma página da Web em um navegador, para visualizar uma imagem ou vídeo, para assistir um arquivo flash ou ler um documento PDF, etc.

[0058] Como o seu formato de arquivo versátil evita qualquer dependência de software proprietário ou específico de empresa, a Internet pode ser considerada uma plataforma de comunicação de “fonte aberta”, capaz de se comunicar com a mais ampla gama de dispositivos já conectados, desde computadores até telefones celulares, desde carros a eletrodomésticos. A frase mais recente que descreve essa conectividade universal é a “Internet de tudo” ou loE.

[0059] Como mostrado, uma grande matriz de computadores inclui servidores de nuvem de alta velocidade e armazenamento de dados em nuvem interligados por conexões de largura de banda alta, tipicamente fibra óptica,

Petição 870190124250, de 27/11/2019, pág. 23/571

18/381 entre outros inúmeros servidores (não mostrados) para formar a nuvem de Internet. A metáfora da nuvem é apropriada porque não existe uma fronteira bem definida que define quais servidores são considerados parte da nuvem e quais não são. Em uma base diária e até de minuto a minuto, os servidores ficam online enquanto outros podem ser desconectados para manutenção, tudo sem qualquer impacto na funcionalidade ou desempenho da Internet. Esse é o benefício de um sistema distribuído verdadeiramente redundante não há um único ponto de controle e, portanto, nenhum ponto de falha.

[0060] A nuvem pode estar conectada ao usuário ou ao dispositivo conectado através de qualquer variedade de enlaces com fio, Wi-Fi ou sem fio. A comunicação telefônica capaz com comutação de pacotes sem fio compreende protocolos celulares 3G, incluindo HSUPA e HSDPA, bem como 4G/LTE. LTE, ou evolução a longo prazo, refere-se aos padrões de rede para assegurar a interoperabilidade com uma variedade de protocolos celulares, incluindo a capacidade de transferir perfeitamente chamadas telefônicas de uma célula para outra, mesmo que as células estejam operando com diferentes protocolos. Observação: Por uma questão de definição, como aqui usado, “última milha” refere-se ao enlace entre qualquer tipo de dispositivo cliente, como um tablet, desktop ou telefone celular, e um servidor de nuvem. Direcionalmente, o termo “primeira milha” às vezes também é usado para especificar o enlace entre o dispositivo que origina a transmissão de dados e o servidor da nuvem. Nesses casos, o enlace de “última milha” também é o enlace de “primeira milha”.

[0061] Para uma comunicação de curta distância, pontos de acesso Wi-Fi se conectam a smartphone, tablet, notebook, desktop ou aparelho conectado e podem ser usados em aplicativos sem fio localizados em residências, cafés, restaurantes e escritórios. O Wi-Fi compreende a comunicação operando de acordo com os padrões definidos pelo IEEE para as especificações de frequência de portadora única 802.11a, 802.11b, 802.11g,

Petição 870190124250, de 27/11/2019, pág. 24/571

19/381

802.11η e, mais recentemente, para o formato de banda de frequência dupla 802.11ac. A segurança Wi-Fi, com base em uma simples chave de login estático, é usada principalmente para impedir o acesso não autorizado da conexão, mas não se destina a proteger dados indefinidamente de detecção ou hackeamento.

[0062] A unidade de distribuição com fio, ou seja, roteadores, pode se conectar por fibra, cabo coaxial ou Ethernet a uma variedade de dispositivos, inclusive notebooks, desktops, telefones, televisores ou por linhas de telefone de fio de cobre de par trançado ao terminal de ponto de venda para atender mercados conectados com linhas fixas, incluindo hotéis, fábricas, escritórios, centros de atendimento, bancos e residências. A conexão com fio pode incluir distribuição por cabo de fibra ou coaxial para residência, escritório, fábrica ou empresa conectada localmente através de um modem para converter conexão de dados de alta velocidade (HSD) em Wi-Fi, Ethernet ou fio de cobre de par trançado. Em áreas remotas onde a fibra ou o cabo não está disponível, as conexões de linha de assinante digital (DSL) ainda são usadas, mas com taxas de dados e confiabilidade de conexão dramaticamente comprometidas. No total, contando o acesso através de conexões sem fio, Wi-Fi e com fio, o número de objetos conectados à Internet deverá chegar a 20 bilhões globalmente até o ano 2020.

[0063] Em contraste com as redes com comutação de circuitos que estabelecem e mantêm uma conexão direta entre dispositivos, as comunicações com comutação de pacotes usam um endereço para “rotear” o pacote através da Internet para o seu destino. Como tal, em redes de comunicação com comutação de pacotes, não há um único circuito dedicado que mantenha uma conexão entre os dispositivos de comunicação, nem os dados que viajam através da Internet viajam em um único trajeto consistente. Cada pacote deve encontrar o caminho através do labirinto de computadores interligados para alcançar seu destino.

Petição 870190124250, de 27/11/2019, pág. 25/571

20/381 [0064] No roteamento de um pacote IP de um notebook para um desktop usando comunicação de rede com comutação de pacotes, por exemplo, o primeiro pacote de dados enviado do notebook para um roteador Wi-Fi via conexão sem fio é direcionado para a matriz de servidores DNS, sendo DNS um acrônimo para domain name servers (servidores de nomes de domínio). A finalidade da matriz de servidores DNS é converter o nome textual ou o número de telefone do dispositivo de destino, neste caso o desktop, em um endereço IP. Uma vez identificado, o endereço IP é passado da matriz de servidores DNS de volta para o endereço de origem, ou seja, para o notebook. Esse endereço, que identifica claramente o dispositivo de comunicação, é usado para rotear os pacotes de dados através da rede.

[0065] A partir disso, o notebook monta seus pacotes de dados IP e começa a enviá-los sequencialmente para o seu destino, primeiro através do rádio Wi-Fi para um roteador Wi-Fi local e, depois, através de toda a rede de roteadores e servidores que atuam como roteadores intermediários e servidores de computadores até o seu destino. Juntos, os roteadores e servidores de computadores que operam ou como nós na Internet ou como um ponto de presença, ou POP, ou seja, gateways de conectividade limitada capazes de acessar a Internet. Enquanto alguns roteadores ou servidores que atuam como um POP se conectam à Internet através de apenas um pequeno número de dispositivos adjacentes, outros servidores são interconectados a vários dispositivos, e às vezes chamados de “super POP”. Por razões de clareza, deve-se notar que o termo POP no vernáculo de rede não deve ser confundido com o nome do aplicativo POP, ou correio antigo, usado em aplicativos de e-mail.

[0066] Cada roteador, ou servidor que atua como roteador, contém em seus arquivos de memória uma tabela de roteamento que identifica os endereços IP que ele pode abordar e, possivelmente, também os endereços que os roteadores acima podem abordar. Essas tabelas de roteamento são

Petição 870190124250, de 27/11/2019, pág. 26/571

21/381 baixadas e instaladas automaticamente em cada roteador quando são conectadas pela primeira vez à Internet e geralmente não são carregadas como parte do roteamento de um pacote através da rede. Quando um pacote IP entra em um roteador, POP ou super POP, o roteador lê o suficiente do endereço IP, geralmente os dígitos mais significativos do endereço, para saber para onde direcionar o pacote em sua jornada até seu destino. Por exemplo, um pacote dirigido a Tóquio a partir de Nova York pode ser roteado primeiro através de Chicago, em seguida, através de servidores em São Francisco, Los Angeles ou Seattle antes de continuar para Tóquio. Uma vez que o número de roteadores que um pacote atravessa e a taxa de dados disponível de cada uma das conexões entre os roteadores varia de acordo com a infraestrutura e com o tráfego e o carregamento da rede, não há como determinar a princípio qual trajeto é mais rápido ou melhor.

[0067] Ao contrário da comunicação telefônica com comutação de circuitos que estabelece e mantém uma conexão direta entre os clientes, com dados com comutação de pacotes, não há inteligência universal olhando para a Internet para decidir qual trajeto é o trajeto melhor, ideal ou mais rápido para rotear o pacote nem há garantia de que dois pacotes sucessivos irão mesmo seguir a mesma rota. Como tal, o pacote “descobre” o trajeto através da Internet com base nas prioridades das empresas que operam os roteadores e servidores que o pacote atravessa. Cada roteador, em essência, contém certas tabelas de roteamento e algoritmos de roteamento que definem suas rotas preferidas com base na condição da rede. Por exemplo, as preferências de um roteador podem priorizar o envio de pacotes para outros roteadores pertencentes à mesma empresa, equilibrando o tráfego entre conexões para roteadores adjacentes, encontrando o menor atraso para o próximo roteador, direcionando negócios a parceiros de negócios estratégicos ou criando uma via expressa para clientes VIP ignorando o maior número possível de roteadores intermediários. Quando um pacote entra em um roteador, não há

Petição 870190124250, de 27/11/2019, pág. 27/571

22/381 como saber se as opções de roteamento feitas pelo POP específico foram feitas no melhor interesse do remetente ou do operador do servidor de rede.

[0068] Então, em algum sentido, a rota que um pacote toma é uma questão de tempo e de sorte. No exemplo anterior de roteamento de Nova York para Tóquio, o roteamento e a QoS resultante podem variar substancialmente com base em uma pequena perturbação no trajeto, isto é, em equações não lineares, o chamado “efeito borboleta”. Considere o caso em que o pacote de Nova York passa pelo “roteador A” em Chicago e devido ao alto tráfego temporário na Califórnia, é encaminhado para a Cidade do México e não para a Califórnia. O roteador da Cidade do México, em seguida, envia o pacote IP para Cingapura, de onde finalmente é enviado para Tóquio. O próximo pacote enviado é roteado pelo “roteador B” de Chicago, que por causa do baixo tráfego nesse momento dirige o pacote para São Francisco e depois diretamente para Tóquio em apenas dois saltos. Nesse caso, o segundo pacote pode chegar a Tóquio antes que o primeiro roteie por um trajeto mais tortuoso. Esse exemplo destaca a problemática de usar a Internet para comunicação em tempo real, como transferência contínua de vídeo ao vivo ou VoIP, ou seja, a Internet não foi projetada para garantir o tempo de entrega ou para controlar os atrasos da rede na execução da entrega. A latência pode variar de 50 ms a mais de 1 segundo, apenas dependendo se um pacote é roteado através de apenas dois servidores ou através de quinze.

[0069] A falta de controle de roteamento da Internet é problemática para aplicativos em tempo real e é especialmente uma questão de QoS baixa para operadoras OTT - operadoras que tentam fornecer telefonia baseada na Internet, pegando uma carona na infraestrutura da Internet. Uma vez que a operadora OTT não controla o roteamento, elas não podem controlar o atraso ou a latência da rede. Outro problema com a comunicação com comutação de pacotes, é que é fácil sequestrar dados sem ser detectado. Se um pirata intercepta um pacote e identifica seu endereço IP de origem ou de destino, ele

Petição 870190124250, de 27/11/2019, pág. 28/571

23/381 pode usar uma variedade de métodos para interceptar dados de roteadores intervenientes e detectar ou redirecionar o tráfego através de sua própria rede de piratas para espiar a conversa e até mesmo quebrar arquivos encriptados.

[0070] Os endereços IP de origem e destino e outras informações importantes usadas para rotear um pacote (e também usadas por piratas para hackear um pacote) são especificados como uma sequência de dados digitais chamada de pacote IP, datagrama IP ou pacote TCP/IP. O pacote IP contém informações digitais que definem a conexão física entre dispositivos, a forma como os dados são organizados para ligar os dispositivos em conjunto, o roteamento da rede do pacote, um meio para garantir que os dados úteis (carga útil) foram entregues com precisão e que tipo de dados está na carga útil e, em seguida, os dados da carga útil propriamente ditos para serem usados por vários programas de aplicativos.

[0071] O pacote IP é enviado e recebido em sequência como uma sequência de bits digitais seriais, organizados de maneira específica chamada de Protocolo de Internet, conforme estabelecido por vários comitês de normas, incluindo o Internet Engineering Task Force, ou IETF, entre outros. O padrão assegura que qualquer pacote IP que acompanha o protocolo prescrito possa se comunicar com e ser entendido por qualquer dispositivo conectado que cumpra o mesmo padrão de IP. Garantir a comunicação e a interoperabilidade de dispositivos e aplicativos conectados à Internet são características da Internet e representam um princípio orientador da Iniciativa de Código Aberto ou OSI, para evitar que qualquer empresa, governo ou pessoa tome o controle da Internet ou limite sua acessibilidade ou sua funcionalidade.

[0072] O modelo OSI, uma abstração que compreende sete camadas de funcionalidade, prescreve precisamente o formato de um pacote IP e para que cada segmento do pacote é usado. Cada parte ou “segmento” do pacote IP corresponde a dados que se aplicam a função da camada 4 OSI específica. Os

Petição 870190124250, de 27/11/2019, pág. 29/571

24/381 papéis das sete camadas OSI são os seguintes:

[0073] Camada 1, a camada física ou PHY, compreende informações específicas de hardware que articulam a natureza física da comunicação como sinais elétricos, de RF e ópticos e a maneira como esses sinais podem ser convertidos em bits para uso no sistema de comunicação. A conversão de um meio de comunicação específico, como rádio Wi-Fi, Ethernet, portas seriais, fibra óptica, rádio celular 3G ou 4G, DSL em fio de cobre de par trançado, USB, Bluetooth, TV a cabo ou por satélite ou difusões digitais de áudio, vídeo ou multimídia em um fluxo de bits é a tarefa da camada PHY. No pacote IP, o preâmbulo representa os dados da Camada 1 e é usado para sincronizar todo o pacote de dados ou “quadro”, para o hardware que faz sua transcepção.

[0074] A Camada 2, a camada de enlace de dados, compreendendo bits arranjados como quadros, define as regras e os meios através dos quais os fluxos de bits entregues à Camada PHY 1 são convertidos em dados interpretáveis. Por exemplo, os fluxos de bits baseados em rádio Wi-Fi podem atender a qualquer número de normas definidas pelo IEEE, incluindo 802.11 a, b, g, n e ac; a comunicação de rádio 3G pode ser modulada usando-se métodos HSDPA ou HSUPA de acesso a pacotes de alta velocidade; a luz modulada em uma fibra óptica ou sinais elétricos em um cabo coaxial podem ser decodificados em dados de acordo com o padrão DOCSIS 3; etc. No pacote IP, os dados da Camada 2 encapsulam sua carga útil em um datagrama com um “cabeçalho de enlace de dados” de ataque e um “trailer de enlace de dados” de fuga, que juntos definem quando a carga útil encapsulada que está sendo entregue começa e para, bem como para garantir que nada tenha sido perdido no processo de transmissão. Um elemento-chave dos dados da Camada 2 é o endereço de acesso de mídia ou MAC, usado para direcionar o tráfego de dados para e de endereços Ethernet específicos, enlaces de RF ou enlaces de transceptores específicos de hardware.

[0075] A Camada 3, a camada de rede ou Internet, compreende

Petição 870190124250, de 27/11/2019, pág. 30/571

25/381 pacotes chamados “datagramas” que contêm informações de Protocolo de Internet (IP) usadas para rotear um pacote IP, incluindo se o pacote contém dados IPv4 ou IPv6 e os correspondentes endereços IP de origem e destino, bem como informações sobre a natureza da carga útil contida no pacote, ou seja, se o tipo de protocolo de transporte usado compreende Protocolo de Controle de Transmissão (TCP), Protocolo de Datagrama de Usuário (UDP) ou outro. A Camada 3 também inclui uma função para evitar imortais pacotes IP que nunca são entregues, mas que nunca morrem. Usa-se um tipo específico de pacote da Camada 3, o ICMP, para diagnosticar a condição de uma rede, incluindo a conhecida função “ping”. No pacote IP, a Camada 3 compreende o “cabeçalho IP” e encapsula sua carga útil compreendendo segmentos de transporte e camada superior.

[0076] A Camada 4, a camada de transporte, compreende segmentos de dados que definem a natureza da conexão entre dispositivos de comunicação, onde UDP define uma descrição mínima da carga útil para comunicação sem conexão, a saber, quão grande é a carga útil, se houve perda de bits e qual serviço de aplicativo (porta) usará os dados entregues. O UDP é considerado sem conexão porque não confirma a entrega da carga útil, dependendo, em vez disso, do aplicativo para verificar erros ou dados perdidos. O UDP normalmente é usado para comunicação sensível ao tempo, como difusão, multidifusão e transferência contínua onde o reenvio de um pacote não é uma opção. Em contraste, o TCP assegura uma conexão virtual, confirmando que o pacote e a carga útil são entregues de forma confiável antes do envio do pacote seguinte e reenvia pacotes descartados. O TCP também verifica a integridade dos dados dos pacotes entregues usando uma soma de verificação e inclui disposições para remontar pacotes fora de sequência em sua ordem original. Tanto TCP como UDP definem as portas de origem e de destino, uma descrição de um serviço ou aplicativo de camada superior, por exemplo, um servidor web ou um servidor de e-mail,

Petição 870190124250, de 27/11/2019, pág. 31/571

26/381 preocupado com as informações contidas na carga útil da Camada 4. No pacote IP, a Camada 4 compreende o cabeçalho TCP / UDP e encapsula seus dados/carga útil que compreendem o conteúdo pelas camadas OSI superiores 5, 6e7.

[0077] As Camadas 5, 6 e 7, as camadas superiores ou de aplicativo, descrevem o conteúdo entregue pela Internet como dados/carga útil. A Camada 7, a camada de “aplicativo”, representa o nível mais alto no modelo OSI e depende das seis camadas OSI subjacentes para aceitar softwares de aplicativos tanto de código aberto quanto proprietários. Os aplicativos do Nível 7 comumente usados incluem e-mails usando SMTP, POP ou IMAP, navegação na web usando HTTP (Chrome, Safari, Explorer, Firefox), transferências de arquivos usando FTP e emulação de terminal usando Telnet. Os aplicativos proprietários incluem o conjunto de produtos do Microsoft Office (Word, Excel, PowerPoint), Adobe Illustrator e Photoshop; aplicativos de banco de dados Oracle e SAP; software financeiro Quicken, Microsoft Money e QuickBooks; além de reprodutores de áudio e vídeo (como iTunes, QuickTime, Real Media Player, Windows Media Player, Flash), bem como leitores de documentos como Adobe Acrobat Reader e Apple Preview. Os aplicativos de Nível 7 geralmente também utilizam objetos incorporados definidos sintaticamente pelo Nível 6, a camada de “apresentação”, que inclui texto, gráficos e imagens, som e vídeo, apresentações de documentos como XML ou PDF, além de funções de segurança, como encriptação. O Nível 5, a camada de “sessão”, estabelece conectividade de aplicativo cruzada, como importar um objeto para outro arquivo de programa e controlar o início e término de uma sessão.

[0078] Conforme descrito, o modelo de sete camadas OSI define as funções de cada camada e o pacote IP correspondente encapsula os dados relativos a cada camada, uma dentro da outra de maneira análoga à boneca Babushka ou russa, as bonecas de madeira com uma dentro da outra, dentro

Petição 870190124250, de 27/11/2019, pág. 32/571

27/381 da outra e assim por diante. O pacote externo ou Camada 1 PHY define todo o quadro IP que contém informações relativas a todos os níveis superiores. Dentro desses dados PHY, o quadro de dados da Camada 2 descreve a camada de enlace de dados e contém o datagrama da rede da Camada 3. Esse datagrama, por sua vez, descreve a camada de Internet como sua carga útil, com os dados do segmento da Camada 4 descrevendo a camada de transporte. A camada de transporte carrega os dados da camada superior como uma carga útil incluindo o conteúdo da Camada 5, 6 e 7. O encapsulamento de sete camadas também é às vezes referido pelo mnemônico “All People Seem To Need Data Processing” (todo mundo parece precisar de processamento de dados), que ordena as sete camadas OSI sucessivamente de cima para baixo como camadas de aplicação, apresentação, sessão, transporte, rede, enlace de dados e física.

[0079] Embora as camadas física e de enlace inferiores sejam específicas do hardware, as camadas OSI médias encapsuladas dentro do pacote IP, que descrevem a rede e as informações de transporte, são completamente agnósticas para o hardware usado para se comunicar e entregar o pacote IP. Além disso, as camadas superiores encapsuladas como a carga útil da camada de transporte são específicas apenas para os aplicativos aos quais elas se aplicam e operam de forma totalmente independente de como o pacote foi roteado ou entregue pela Internet. Esse particionamento permite que cada camada seja essencialmente supervisionada de forma independente, dando suporte a uma miríade de combinações possíveis de tecnologias e usuários sem a necessidade de aprovação gerencial da formatação dos pacotes ou verificação da viabilidade da carga útil do pacote. Pacotes IP incompletos ou impróprios são simplesmente descartados. Dessa maneira, as redes com comutação de pacotes são capazes de rotear, transportar e entregar diversas informações relacionadas ao aplicativo em diferentes meios de comunicação, de forma coerente, entre todos os

Petição 870190124250, de 27/11/2019, pág. 33/571

28/381 dispositivos ou objetos conectados à Internet.

[0080] Em conclusão, as redes de circuitos comutadas requerem uma única conexão direta entre duas ou mais partes que se comunicam (similar ao sistema telefônico simples antigo de um século atrás), enquanto a comunicação de rede com comutação de pacotes envolve a fragmentação de documentos, som, vídeo e texto em múltiplos pacotes, e entrega esses pacotes através de vários trajetos de rede (similar ao correio usando os melhores esforços para realizar a entrega de forma precisa e a tempo), então, remontando o conteúdo original e confirmando que nada foi perdido ao longo do caminho. Uma comparação entre PSTNs com comutação de circuitos

versus VoIP com comul	tação de pacotes é resumida na tabela a seguir:
Rede	PSTN	Internet
Tecnologia	Comutação de circuitos	Comutação de pacotes
Conexão	Conexão elétrica dedicada	Cada pacote roteado pela Internet
Entrega de dados	Em tempo real (circuito)	Melhor esforço (pacote)
Sinal	Analógico ou digital	Digital, IP, VoIP
Conteúdo	Voz	Voz, texto, dados, vídeo
Taxa de Dados	Baixa	Alta
Verificação de Erros	Nenhuma, ou mínima	Extensa
Efeito de Linha Quebrada	Chamada interrompida ou cortada	Chamada re-roteada
Efeito da Falta de Energia	Rede fornece a energia	Necessária batería de reserva

[0081] Deve ser mencionado aqui que, enquanto as PSTNs operam usando conexões de circuitos elétricos em tempo real, as redes com comutação de pacotes entregam conteúdo usando métodos de “melhor esforço” para encontrar uma maneira de entregar um pacote e uma carga útil, não diferente do correio usando caminhões e mensageiros de cartas diferentes para afinal entregar as correspondências, mesmo que esteja atrasado para chegar. A operação de redes e comunicação comutadas por pacotes é explicada com mais detalhes na seção de fundo de um pedido de patente relacionado intitulado Rede e Protocolo de Comunicação Dinâmica Segura, do qual esta divulgação é uma Continuação em Parte.

[0082] Ao considerar o desempenho de uma rede, vários fatores são considerados, a saber,

Petição 870190124250, de 27/11/2019, pág. 34/571

29/381

Taxa de dados, ou seja, largura de banda Qualidade de serviço Segurança de rede e dados Privacidade do usuário [0083] Das considerações acima, as taxas de dados são facilmente quantificadas em milhões de bits por segundo, ou Mbps. A qualidade do serviço ou QoS, por outro lado, inclui vários fatores, incluindo latência, qualidade de som, estabilidade da rede, operação intermitente ou interrupções frequentes do serviço, falhas de sincronização ou conexão, baixa potência do sinal, aplicativos travados e redundância funcional da rede durante condições de emergência. A segurança cibernética e a privacidade cibernética tratam da prevenção de ataques à rede e de frustrar o acesso não autorizado ao tráfego e ao conteúdo de dados, incluindo os crimes cibernéticos, a vigilância cibernética, detecção de pacotes IP, interrogação de portas e ataques de negação de serviço, perfis, impostores, sequestro de pacotes, infecções cibernéticas, vigilância, administração e infiltração piratas.

Qualidade de Serviço [0084] A Qualidade do Serviço descreve o desempenho da rede em termos de capacidade, largura de banda, latência, taxa de dados, escalabilidade, integridade de dados de qualidade de som, taxas de erro de bits de dados e outros parâmetros baseados em desempenho. Para programas, arquivos e verificações relacionadas à segurança, a precisão dos dados é um fator crítico. Os fatores que são importantes dependem da natureza da carga útil que está sendo transportada em uma rede com comutação de pacotes. Em contraste, para voz e vídeo que compreendem aplicações em tempo real, os fatores que afetam o tempo de entrega de pacotes são fundamentais. Fatores de qualidade e como eles afetam vários aplicativos, como vídeo, voz, dados e texto variam dependendo do aplicativo. Uma boa condição de rede tipificada por uma forma de onda de pacote IP de taxa de dados consistentemente alta é

Petição 870190124250, de 27/11/2019, pág. 35/571

30/381 aquela em que há atrasos mínimos de tempo, uma potência de sinal forte e clara, sem distorção de sinal, operação estável e nenhuma perda de transmissão do pacote.

[0085] Redes intermitentes com formas de onda de pacotes de taxa de dados mais baixas sofrem intermitências ocasionais, afetam as funções de vídeo de forma mais significativa, causando downloads de vídeo dolorosamente lentos e tomando inaceitável o streaming de vídeo. As redes congestionadas que operam taxas de transmissão de dados efetivas mais baixas com interrupções de curto prazo regulares exemplificadas pela forma de onda de pacotes IP não só degradam severamente o vídeo com movimentos intermitentes irregulares, imagens difusas e cor e brilho impróprios, mas também começam a degradar a comunicação de som ou voz com distorção, eco e até frases inteiras perdidas de uma conversa ou trilha sonora. Em redes congestionadas, no entanto, os dados ainda podem ser entregues usando TCP por solicitações repetidas de redifusões. No extremo, as redes instáveis apresentam baixas taxas de transferência de dados com inúmeras interrupções de dados de durações imprevisíveis. As redes instáveis também incluem pacotes IP corrompidos, representados pelos pacotes sombreados em cor escura na forma de onda 610D, que no transporte baseado em TCP devem ser reenviados e no transporte UDP são simplesmente descartados como dados corrompidos ou impróprios. Em algum nível de degradação da rede, mesmo os e-mails tomam-se intermitentes e a sincronização de arquivo IMAP falha. Devido ao seu formato de dados leve, a maioria dos SMS e mensagens de texto serão entregues, embora com algum atraso na entrega, mesmo com grave congestionamento da rede, mas os anexos não conseguirão fazer o download. Em redes instáveis, todo aplicativo falhará e pode até resultar em congelamento de uma operação normal de computador ou celular, esperando que um arquivo esperado seja entregue. Nesses casos, o vídeo congela, o som toma-se tão picotado que se toma ininteligível, as conexões VoIP caem

Petição 870190124250, de 27/11/2019, pág. 36/571

31/381 repetidamente, até mais de uma dúzia de vezes, em uma chamada de alguns minutos e, em alguns casos, não conseguem se conectar completamente. Da mesma forma, os e-mails ficam travados ou congelados com ícones de computador girando e girando interminavelmente. As barras de progresso param totalmente. Mesmo as mensagens de texto são rejeitadas e “não entregues”.

[0086] Embora muitos fatores possam contribuir para a instabilidade da rede, incluindo falhas de energia em servidores chave e super POPs, volumes de chamadas sobrecarregados, transmissão de arquivos de dados enormes ou filmes UHD e durante ataques significativos de negação de serviço em servidores ou redes selecionados, os principais fatores usados para rastrear a QoS de uma rede são a taxa de queda de pacotes e latência de pacotes. Os pacotes descartados ocorrem quando um pacote IP não pode ser entregue e “esgota” como um imortal, ou quando um roteador ou servidor detecta um erro de soma de verificação no cabeçalho do pacote IP. Se o pacote usar UDP, o pacote é perdido e o aplicativo da Camada 7 deve ser inteligente o suficiente para saber que algo foi perdido. Se for usado TCP para o transporte da Camada 4, o pacote será solicitado para a retransmissão, além de adicionar o carregamento a uma rede potencialmente já sobrecarregada.

[0087] O outro fator que determina a QoS, atraso de propagação, pode ser medido quantitativamente de várias maneiras, seja como um atraso de pacote IP de nó para nó, ou unidirecionalmente de origem para destino, ou, altemativamente, como o atraso de ida e volta de origem para destino e de volta à origem. Os efeitos do atraso de propagação na entrega do pacote diferem se usam protocolos de transporte UDP e TCP. A medida que o atraso da propagação da rede intermodal aumenta, o tempo necessário para realizar uma comunicação de ida e volta, como na conversa via VoIP, aumenta. No caso do transporte UDP, o atraso de ida e volta aumenta linearmente com o atraso de propagação. Uma vez que longos atrasos de propagação se

Petição 870190124250, de 27/11/2019, pág. 37/571

32/381 correlacionam com taxas de erro de bit mais altas, o número de pacotes UDP perdidos aumenta, mas, como o UDP solicita o reenvio de pacotes descartados, o tempo de ida e volta permanece linear com atraso aumentado. O transporte TCP exibe um tempo de ida e volta substancialmente mais longo para cada pacote enviado do que o UDP devido ao handshaking necessário para confirmar a entrega do pacote. Se a taxa de erro de bits permanece baixa e a maioria dos pacotes não requer reenvio, então o atraso de propagação TCP aumenta linearmente com o atraso de propagação intermodal. Se, no entanto, a rede de comunicação se tomar instável à medida que o atraso de propagação aumenta, então o tempo de ida e volta resultante do transporte TCP cresce exponencialmente devido à necessidade do protocolo de retransmissão de pacotes descartados. Como tal, o TCP é contraindicado para aplicativos sensíveis ao tempo, como VoIP e transferência contínua de vídeo.

[0088] Uma vez que toda a comunicação de pacotes é estatística, sem dois pacotes com o mesmo tempo de propagação, a melhor forma de estimar a latência de única direção de uma rede é a medição do tempo de ida e volta de um grande número de pacotes IP de tamanho similar e dividindo-se por dois para estimar a latência num único sentido. Latências inferiores a 100 ms são excelentes, até 200 ms são consideradas muito boas, e até 300 ms ainda são consideradas aceitáveis. Para atrasos de propagação de 500 ms, facilmente encontrados por aplicativos OTT em execução na internet, os atrasos tomamse desconfortáveis para os usuários e interferem em conversas normais. Na comunicação de voz, em particular, tais atrasos de propagação longos soam “ruins” e podem resultar em reverberação, criando um áudio de som “vibrante” ou metálico, interrompendo a conversa normal enquanto a outra parte aguarda para obter sua resposta ao seu último comentário e possivelmente resultando em uma fala distorcida ou ininteligível.

[0089] Para ser claro, a latência de única direção de uma comunicação é diferente do teste de ping realizado pelo utilitário ICMP da Camada 3 (como

Petição 870190124250, de 27/11/2019, pág. 38/571 /381 o teste de rede livre em http://www.speedtest.net) em parte porque os pacotes ICMP são geralmente leves em relação aos pacotes IP reais, porque o teste de ping não emprega o recurso de “solicitação para reenviar” do TCP e, por não haver garantia através de uma rede pública da Internet de que a rota do teste de ping coincidirá com a rota de pacotes real. Em essência, quando o ping experimenta um longo atraso, algo está errado com a rede ou algum enlace entre o dispositivo e a rede, por exemplo, no roteador Wi-Fi, ou na última milha, mas um bom resultado de ping, por si só, não pode garantir um baixo atraso de propagação de um pacote real.

[0090] A fim de melhorar a segurança da rede, os métodos de encriptação e verificação são frequentemente empregados para evitar hackear, detectar ou espionar. Mas encriptação pesada e vários protocolos de encriptação de chaves constantemente reconfirmando a identidade de partes de conversas criam atrasos adicionais e, assim, aumentam a latência efetiva da rede, degradando a QoS à custa de melhorar a segurança.

Segurança cibernética e privacidade cibernética [0091] As outras duas principais considerações nas comunicações são a segurança cibernética e a privacidade cibernética. Embora relacionados, os dois problemas são um pouco diferentes. “A segurança cibernética, incluindo segurança de rede, segurança do computador e comunicações seguras, compreende métodos empregados para monitorar, interceptar e impedir acesso não autorizado, uso indevido, modificação ou negação de um computador ou rede de comunicações, recursos acessíveis pela rede ou os dados contidos nos dispositivos conectados à rede. Esses dados podem incluir informações pessoais, dados biométricos, registros financeiros, registros de saúde, comunicações privadas e gravações, bem como imagens fotográficas privadas e gravações de vídeo. Os dispositivos conectados à rede incluem telefones celulares, tablets, notebooks, desktops, servidores de arquivos, servidores de e-mail, servidores web, bancos de dados, armazenamento de

Petição 870190124250, de 27/11/2019, pág. 39/571

34/381 dados pessoais, armazenamento em nuvem, aparelhos conectados à Internet, carros conectados, bem como dispositivos publicamente compartilhados usados por um indivíduo como terminais de ponto de venda ou POS, bombas de gás, caixas eletrônicos, etc.

[0092] Claramente, criminosos cibernéticos e hackers de computador que tentam obter acesso não autorizado a informações seguras estão cometendo um crime. Se os dados obtidos ilegalmente contiverem informações privadas pessoais, o ataque também é uma violação da privacidade pessoal da vítima. Por outro lado, no entanto, as violações da privacidade podem ocorrer sem a necessidade de crime cibernético e, na verdade, podem ser imparáveis. No mundo conectado à rede de hoje, o uso não autorizado de informações privadas de uma pessoa pode ocorrer sem a necessidade de uma violação de segurança. Em muitos casos, as empresas que coletam dados para um propósito podem optar por vender sua base de dados para outros clientes interessados em usar os dados para outra finalidade. Mesmo quando a Microsoft comprou o Hotmail, era bem sabido que a lista de correspondência foi vendida para anunciantes interessados em enviar spam para clientes potenciais. Se essas ações devem ser consideradas como uma violação da privacidade cibernética é uma questão de opinião.

[0093] A “privacidade cibernética”, incluindo a privacidade da Internet, a privacidade do computador e a comunicação privada envolve o direito ou o mandato pessoal de um indivíduo de controlar suas informações pessoais e privadas e seu uso, incluindo a coleta, armazenamento, exibição ou compartilhamento de informações com outros. A informação privada pode envolver informações de identidade pessoal, incluindo altura, peso, idade, impressões digitais, tipo de sangue, número da carteira de motorista, número de passaporte, número de seguridade social ou qualquer informação pessoal útil para identificar um indivíduo, mesmo sem saber o nome deles. No futuro, mesmo o mapa de DNA de um indivíduo pode se tomar uma questão de

Petição 870190124250, de 27/11/2019, pág. 40/571

35/381 registro legal. Além de informações de identificação pessoal, informações privadas não pessoais podem incluir quais marcas de roupas que compramos, quais sites frequentamos, se fumamos, bebemos ou possuímos uma arma, que tipo de carro conduzimos, quais doenças podemos ter contraído em nossa vida, se a nossa família tem um histórico de certas doenças ou dores e até mesmo por que tipo de pessoas somos atraídos.

[0094] Essas informações privadas, quando combinadas com registros públicos relacionados a renda pessoal, impostos, ações de propriedade, registros criminais, violações de trânsito e qualquer informação publicada em sites de redes sociais, constituem um conjunto de dados poderoso para as partes interessadas. A coleção intencional de grandes conjuntos de dados que capturam informações demográficas, pessoais, financeiras, biomédicas e comportamentais e minando os dados para padrões, tendências e correlações estatísticas de hoje são conhecidos como “grandes dados”. O setor de saúde, incluindo companhias de seguros, prestadores de cuidados de saúde, empresas farmacêuticas e até mesmo advogados de negligência, estão intensamente interessados em informações pessoais armazenadas como big data. As empresas de produtos automotivos e de consumo também querem acesso a essas bases de dados para direcionar sua estratégia de mercado e orçamentos publicitários. Em eleições recentes, até mesmo os políticos começaram a procurar dados importantes para entender melhor as opiniões dos eleitores e os pontos de controvérsia política a serem evitados.

[0095] A questão da privacidade cibernética não é se o big data hoje captura informações pessoais (já é procedimento padrão), mas se o conjunto de dados retém seu nome ou informações de identidade pessoal suficientes para identificá-lo mesmo sem saber seu nome. Por exemplo, originalmente, o governo dos EUA declarou que as informações pessoais coletadas pelo site health.gov usadas para se inscrever na Lei de Cuidado ao Paciente serão destruídas uma vez que as contas médicas privadas foram configuradas. Em

Petição 870190124250, de 27/11/2019, pág. 41/571

36/381 seguida, em uma revelação recente, divulgou-se que uma corporação terceirizada que facilitava a coleta de dados para o governo dos Estados Unidos havia assinado anteriormente um contrato do governo que lhe concedia o direito de reter e usar os dados coletados, o que significa que os dados privados pessoais divulgados ao governo dos EUA não são, de fato, privados.

[0096] Como ponto final, deve-se mencionar que a vigilância é praticada tanto pelos governos como pelos sindicatos do crime usando métodos tecnológicos similares. Embora os criminosos claramente não tenham o direito legal de reunir esses dados, o caso da vigilância não autorizada do governo é mais sombrio, variando dramaticamente de país para país. A NSA dos Estados Unidos, por exemplo, aplicou repetidamente pressão sobre a Apple, Google, Microsoft e outros para fornecer acesso a suas nuvens e bancos de dados. Mesmo os funcionários do governo tiveram conversas e comunicados ouvidos e interceptados. Quando perguntado se o Skype, uma divisão da Microsoft, monitora o conteúdo de seus chamadores, o diretor de informática da empresa respondeu abruptamente “sem comentários”.

Métodos de crime cibernético e vigilância cibernética - Concentrando-se no tema da segurança cibernética, existem inúmeros meios para obter acesso não autorizado a dados de dispositivos, rede e computador, incluindo uma variedade de tecnologias de hackers e de malware usadas para cometer crimes cibernéticos e conseguir intrusões não autorizadas em redes supostamente seguras.

[0097] Por exemplo, um indivíduo usando um tablet conectado à Internet pode querer fazer uma chamada para um telefone de escritório de negócios, enviar uma mensagem para uma TV, ligar para um amigo no país que ainda usa uma rede POTS com comutação de circuitos, baixar arquivos do armazenamento da web ou enviar e-mails através do servidor de e-mail. Embora todos os aplicativos representem aplicativos normais da internet e

Petição 870190124250, de 27/11/2019, pág. 42/571

37/381 interconectividade global, muitas oportunidades de vigilância, crime cibernético, fraude e roubo de identidade existem através de toda a rede.

[0098] Por exemplo, para um tablet conectado à rede através de uma antena de rádio celular e estação-base celular LTE ou através de antena de rádio de curto alcance e estação-base Wi-Fi pública, um intruso não autorizado pode monitorar o enlace de rádio. Da mesma forma, chamadas LTE sobre enlace celular podem ser monitoradas ou detectadas por um receptor de rádio interceptador ou detector. O mesmo detector pode ser ajustado para monitorar enlaces Wi-Fi e na ponta de recepção no cabo entre o CMTS a cabo e modem a cabo.

[0099] Em alguns casos, a chamada LTE também pode ser interceptada por uma torre falsa pirata, estabelecendo um caminho de comunicação desviado entre um tablet e uma torre celular. As comunicações enviadas através da rede de comu8tação de pacotes para um roteador, servidor e armazenamento em nuvem também estão sujeitas a ataques man-in-themiddle. As escutas podem interceptar chamadas na linha POTS de gateway PSTN para telefones e também em uma linha PBX corporativa entre servidores PBX e telefones de escritório.

[00100] Através de uma série de violações de segurança, um spy ware pode instalar-se em um tablet ou notebook, em um roteador, em uma ponte PSTN, em armazenamento na nuvem, em um CMTS a cabo, ou em um computador desktop. O software cavalo de Troia pode instalar-se em um tablet ou em um desktop para fazer phishing de senhas. Um verme também pode ser usado para atacar um desktop, especialmente se o computador executa o sistema operacional Microsoft com capacidade X ativa habilitada. Finalmente, para lançar ataques de negação de serviço, um vírus pode atacar qualquer número de dispositivos conectados à rede, incluindo servidores, desktops e tablets.

[00101] O malware pode, portanto, operar em diferentes partes da rede

Petição 870190124250, de 27/11/2019, pág. 43/571

38/381 de comunicação e infraestrutura, onde os ataques cibernéticos podem incluir vírus, ataques de man-in-the-middle, vigilância do governo e ataques de negação de serviço. A última milha da rede de comunicação oferece uma oportunidade ainda maior para malwares e ataques cibernéticos, divididos em três seções, a rede/companhia telefônica local, o último enlace e o dispositivo. A companhia telefônica/rede local, conforme mostrado, compreende enlaces de alta velocidade com fio ou fibra, roteadores, CMTS a cabo, cabo/fibra, modems a cabo, antenas Wi-Fi e redes de rádio LTE. Nesta parte da rede, são possíveis detectores de rádio, spyware, vírus e ataques do tipo man-in-themiddle.

[00102] No último enlace, a conexão local com o dispositivo, a conexão de rede compreende conexões de telefonia fixa, enlaces Wi-Fi e enlaces LTE/celulares de rádio sujeitos a spyware, detectores de rádio, escutas telefônicas e torres falsas. O dispositivo em si, incluindo, por exemplo, tablets, notebooks, smartphones, desktops, TVs inteligentes, terminais PDV, etc. estão sujeitos a uma série de ataques, incluindo spy ware, cavalos de Tróia, vírus e “worms” (vermes). Tais métodos de vigilância e dispositivos espiões estão prontamente disponíveis no mercado comercial e on-line, incluindo dispositivos usados para monitorar o tráfego nas redes de área local de Ethernet, dispositivos para monitoramento de dados Wi-Fi e vigilância de comunicações de celulares. Embora a detecção de conexões de nuvem de fibra óptica não fosse inicialmente identificada como uma ameaça, surgiram detectores de dados não invasivos para comunicações ópticas, ou seja, já existe agora um esquema em que a fibra não precisa ser cortada nem sua operação normal prejudicada, mesmo que temporariamente.

[00103] Além de usar métodos de hackeamento e vigilância, uma grande variedade de spyware comercial está prontamente disponível para monitorar conversas de telefone celular e comunicações na Internet. Hoje, programas de spyware comercialmente disponíveis anunciam uma série de

Petição 870190124250, de 27/11/2019, pág. 44/571

39/381 recursos, como a capacidade de espionar beneficamente seus funcionários, seus filhos e seu cônjuge. O conjunto de recursos é surpreendentemente abrangente, incluindo espionagem de chamadas, fotos e vídeos, mensagens SMS/MMS, mensagens instantâneas de terceiros, e-mails, rastreamento de localização GPS, uso da Internet, caderno de endereços, eventos do calendário, erros, aplicativos de controle e até recursos de controle remoto, juntamente com um número assustadoramente convincente de formas de violar a privacidade cibernética. Na verdade, os ataques cibernéticos agora se tomaram tão frequentes que são rastreados diariamente.

[00104] O lançamento de um ataque cibernético geralmente envolve várias etapas ou combinação de técnicas, incluindo:

Detecção de pacote IP Interrogação de portas Perfilagem Impostores

Sequestro de pacotes

Infecções cibernéticas Vigilância

Administração pirata [00105] Detecção de Pacote IP - Usando dispositivos de monitoramento de rádio, um criminoso cibernético pode obter informações significativas sobre um usuário, suas transações e suas contas. Na detecção de pacotes, os conteúdos de um pacote IP podem ser obtidos ou “detectados” em qualquer lugar no trajeto entre dois usuários. Por exemplo, quando um usuário envia um arquivo, digamos, uma foto ou texto, num pacote IP do seu notebook para o telefone celular de seu amigo, o pirata cibernético pode descobrir o pacote IP em qualquer número de lugares, interceptando o último enlace do remetente, interceptando a rede local do remetente, monitorando a nuvem, interceptando a companhia telefônica local do destinatário, ou

Petição 870190124250, de 27/11/2019, pág. 45/571

40/381 interceptando o último enlace do receptor. Os dados observáveis contidos no pacote IP interceptado incluem os endereços MAC da Camada 2 dos dispositivos usados na comunicação, os endereços da Camada 3 do remetente da parte receptora, isto é, o destino do pacote, incluindo o protocolo de transporte, por exemplo, UDP, TCP, etc. sendo usados. O pacote IP também contém o número da porta da Camada 4 dos dispositivos de envio e recepção que potencialmente definem o tipo de serviço que está sendo solicitado e o próprio arquivo de dados. Se o arquivo não estiver encriptado, os dados contidos no arquivo também podem ser lidos diretamente pelo pirata cibernético.

[00106] Se a carga útil não estiver encriptada, informações de texto como números de conta, sequências de login e senhas podem ser lidas e, se valiosas, roubadas e pervertidas para fins criminosos. Se a carga útil contiver informações de vídeo ou pictográficas, é necessário algum trabalho adicional para determinar qual formato de aplicativo de Camada 6 o conteúdo emprega, mas, uma vez identificado, o conteúdo pode ser visualizado, postado publicamente ou possivelmente usado para chantagear uma ou ambas as partes da comunicação. Tais ataques cibernéticos são chamados de “ataque man-in-the-middle” (homem no meio) porque o pirata cibernético não conhece pessoalmente nenhuma das partes da comunicação.

[00107] Conforme descrito anteriormente, uma vez que o roteamento de pacotes IP na nuvem é imprevisível, o monitoramento da nuvem é mais difícil porque o pirata cibernético deve capturar a informação importante do pacote IP quando ele o encontra pela primeira vez, porque os pacotes subsequentes podem não seguir a mesma rota e o pacote detectado. Interceptar dados na última milha tem maior probabilidade de observar uma sucessão de pacotes relacionados que compõem a mesma conversa, porque os roteadores locais normalmente seguem uma tabela de roteamento prescrita, pelo menos até que os pacotes atinjam um POP fora do próprio operador do

Petição 870190124250, de 27/11/2019, pág. 46/571

41/381 cliente. Por exemplo, um cliente da Comcast provavelmente passará os pacotes IP até a cadeia de roteamento usando uma rede inteiramente Comcast até que o pacote se mova geograficamente para além do alcance da Comcast e da região do serviço ao cliente.

[00108] Se uma sucessão de pacotes entre os mesmos dois endereços IP ocorrer por um tempo suficientemente longo, uma conversa inteira pode ser recriada de forma fragmentada. Por exemplo, se as mensagens de texto SMS forem passadas pela mesma rede na última milha, um pirata cibernético pode identificar através dos endereços IP e dos números de porta que vários pacotes IP que transportam o texto representam uma conversa entre os mesmos dois dispositivos, ou seja, o celular e o notebook. Assim, mesmo que um número de conta e uma senha fossem enviados por mensagens de texto em mensagens diferentes ou enviados de forma incompleta por vários pacotes, a consistência dos identificadores de pacotes ainda permite que um pirata cibernético remonte a conversa e roube as informações da conta. Uma vez que as informações da conta são roubadas, eles podem transferir dinheiro para um banco fora da costa ou mesmo usurpar a autoridade da conta alterando a senha da conta e questões de segurança, ou seja, usando roubo de identidade temporariamente.

[00109] Mesmo que a carga útil esteja encriptada, o resto do pacote IP, incluindo os endereços IP e os números da porta, não está. Depois de detectar repetidamente uma grande quantidade de pacotes IP, um pirata cibernético com acesso a um poder de computação suficiente pode, através da força bruta, tentar sistematicamente cada combinação até quebrar a senha de encriptação. Uma vez que a chave for quebrada, o pacote e todos os pacotes subsequentes podem ser desencriptados e usados pelo pirata cibernético. A probabilidade de quebrar uma senha de login por “adivinhação de senha” melhora grandemente se a detecção de pacotes for combinada com a “perfilagem” de conta e usuário descrita abaixo. Observa-se que nos “ataques man-in-the-middle”, os

Petição 870190124250, de 27/11/2019, pág. 47/571

42/381 dispositivos de comunicação normalmente não estão envolvidos porque o pirata cibernético não tem acesso direto a eles.

[00110] Interrogação de Porta - Outro método para invadir um dispositivo é usar seu endereço IP para interrogar muitas portas da Camada 4 e ver se qualquer solicitação recebe uma resposta. Uma vez que um pirata cibernético identifica o endereço IP de um dispositivo-alvo a partir de detecção de pacote ou outros meios, o pirata cibernético pode lançar uma sequência de interrogações de portas no dispositivo à procura de qualquer porta insegura ou aberta, porta de serviço e manutenção, ou backdoor de aplicativo. Embora um programa de interrogação de um hacker possa sistematicamente fazer um ciclo de operação por cada n° de porta, os ataques geralmente se concentram em portas notoriamente vulneráveis, como a porta n° 7 para ping, a porta n° 21 para FTP, a porta n° 23 para a emulação de terminal de companhia telefônica, a porta n° 25 para e-mail simples e assim por diante. Toda vez que um pirata envia pacotes, aos quais o dispositivo responde, o pirata aprende algo mais sobre o sistema operacional do dispositivo-alvo.

[00111] No processo de interrogação de porta, um pirata cibernético não quer expor sua identidade real, então usam um pseudoendereço disfarçado para receber mensagens, mas que não é rastreável até ele pessoalmente. Altemativamente, os criminosos cibernéticos podem usar um computador e uma conta roubados, então parece que outra pessoa está tentando hackear o dispositivo alvejado e, se rastreado, leva os investigadores a uma pessoa inocente e não a eles.

[00112] Perfilagem - A perfilagem de usuário e conta é o processo em que um pirata cibernético executa pesquisa usando informações publicamente disponíveis para aprender sobre um alvo, suas contas e seu histórico pessoal, a fim de quebrar senhas, identificar contas e determinar ativos. Uma vez que um hacker obtém o endereço IP de um alvo usando detecção ou outros meios,

Petição 870190124250, de 27/11/2019, pág. 48/571

43/381 o utilitário traceroute pode ser usado para encontrar o servidor DNS da conta do dispositivo. Então, utilizando a função “Quem é” na Internet, o nome do proprietário da conta pode ser descoberto. No perfil, um criminoso cibernético pesquisa na Internet para reunir todas as informações disponíveis sobre o proprietário da conta. As fontes de informação incluem registros públicos, tais como escrituras públicas, cadastro de automóveis, casamentos e divórcios, ônus fiscais, bilhetes de estacionamento, violações de trânsito, registros criminais, etc. Em muitos casos, sites de universidades e sociedades profissionais também incluem endereço residencial, endereços de e-mail, números de telefone e data de nascimento de um indivíduo. Ao pesquisar sites de redes sociais como Facebook, Linkedln, Twitter e outros, um criminoso cibernético pode acumular informações detalhadas e significativas, incluindo familiares e amigos, nomes de animais de estimação, endereços domésticos anteriores, colegas de classe, eventos importantes na vida de alguém, bem como arquivos fotográficos e de vídeo, incluindo eventos embaraçosos, segredos de família e inimigos pessoais.

[00113] O próximo passo do pirata cibernético é usar este perfil para “adivinhar” as senhas de um usuário com base em seu perfil para hackear o dispositivo alvo e outras contas do mesmo indivíduo. Uma vez que um criminoso cibernético quebra a senha de um dispositivo, a probabilidade é grande de que consigam invadir outras contas porque as pessoas tendem a reutilizar suas senhas para facilitar a memorização. Nesse ponto, pode ser possível roubar a identidade de uma pessoa, transferir dinheiro, tomá-la alvo de investigações policiais e, essencialmente, destruir a vida de alguém ao roubar toda a sua riqueza. Por exemplo, conforme descrito na seção de abertura desta descrição, acumulando uma longa lista de senhas de contas roubadas, os criminosos cibernéticos usaram as mesmas senhas para comprar ilegalmente milhões de dólares de ingressos premium para concertos e eventos esportivos usando as mesmas senhas e informações de login.

Petição 870190124250, de 27/11/2019, pág. 49/571

44/381 [00114] Impostores - Quando um pirata cibernético personifica alguém que não é ou usa credenciais de segurança cibernética obtidas ilegalmente para obter acesso à comunicação e a arquivos sob a falsa pretensão de ser um agente ou dispositivo autorizado, o pirata cibernético está agindo como um “impostor”. O tipo impostor de ataque cibernético pode ocorrer quando um criminoso cibernético tem informações suficientes ou acessa a conta de um indivíduo para usurpar a conta de uma vítima, enviando mensagens em seu nome e falseando-as como o proprietário da conta hackeada. Recentemente, por exemplo, um amigo pessoal de um dos inventores teve sua conta de mensagens pessoais do “Line” hackeada. Depois de assumir a conta, o criminoso cibernético enviou mensagens falseadas a seus amigos dizendo que “ela tinha sofrido um acidente de carro e precisava de dinheiro como um empréstimo de emergência”, incluindo instruções de transferência para onde enviar o dinheiro. Não sabendo que a conta havia sido hackeada, seus amigos achavam que o pedido era real e se apressaram em ajudá-la financeiramente. Para evitar suspeitas, o pedido enviado a cada amigo era inferior a $1.000. Felizmente, pouco antes da transferência de dinheiro, uma de suas amigas a ligou para verificar as informações de transferência, e a fraude foi descoberta. Sem a ligação, ninguém nunca sabería que os pedidos eram de um impostor e o proprietário da conta Line nunca saberia que a transferência tinha sido enviada ou mesmo solicitada.

[00115] Outra forma de deturpação ocorre quando um dispositivo concedeu privilégios de segurança e está habilitado para trocar informações com um servidor ou outro dispositivo conectado à rede e, por algum meio, um dispositivo pirata cibernético se disfarça como o servidor autorizado, pelo qual o dispositivo da vítima entrega voluntariamente arquivos e informações para o servidor pirata que não percebeu que o servidor é um impostor. Esse método foi supostamente usado para atrair celebridades a fazer backup de arquivos de imagens particulares com iCloud, exceto que a nuvem de backup

Petição 870190124250, de 27/11/2019, pág. 50/571

45/381 era um impostor.

[00116] Outra forma de o impostor ocorre quando alguém com acesso físico ao telefone de uma pessoa ou navegador aberto realiza uma transação de impostor, como enviar um e-mail, atender uma chamada telefônica, enviar uma mensagem de texto da conta ou dispositivo de outra pessoa. A parte receptora presume que está conectada a um dispositivo ou conta conhecida, que a pessoa que opera esse dispositivo ou conta é seu dono. O impostor pode ser um gozador, como um amigo publicando comentários embaraçosos do Facebook ou pode ser de natureza mais pessoal, onde o cônjuge de alguém responde chamadas pessoais ou intercepta mensagens de texto privadas de natureza privada. O resultado do acesso não autorizado pode levar ao ciúme, ao divórcio e aos processos legais vingativos. Deixar um dispositivo temporariamente sem supervisão em um escritório ou cafeteria, por exemplo, para correr para o banheiro, apresenta outro risco para um impostor acessar rapidamente informações pessoais ou corporativas, enviar e-mails não autorizados, transferir arquivos ou baixar algum tipo de malware no dispositivo, conforme descrito na seção a seguir intitulada “infecções”.

[00117] O ataque cibernético baseado em impostores também é significativo quando um dispositivo é roubado. Em tais casos, mesmo que o dispositivo esteja desconectado, o ladrão tem muito tempo para quebrar o código de login. O recurso “encontrar o meu computador”, que deve localizar o dispositivo roubado na rede e limpar os arquivos de um computador na primeira vez que o pirata cibernético faz logon no dispositivo, já não funciona porque os criminosos experientes em tecnologia hoje sabem ativar o dispositivo apenas onde não houver conexão celular ou Wi-Fi. Esse risco é especialmente grande no caso dos telefones celulares, onde a segurança da linha é um número de identificação pessoal simples de quatro dígitos ou PIN. E apenas uma questão de tempo para quebrar um PIN, pois existem apenas 9999 combinações possíveis.

Petição 870190124250, de 27/11/2019, pág. 51/571

46/381 [00118] O problema principal ao proteger qualquer dispositivo é impedir o acesso a impostores. Evitar impostores requer um meio robusto para autenticar a identidade de um usuário em intervalos regulares e para garantir que eles só estão autorizados a acessar as informações e os privilégios de que precisam. A segurança do dispositivo muitas vezes é o elo mais fraco da cadeia. Quando a segurança de um dispositivo é derrotada, a necessidade de segurança de rede robusta é um ponto de discussão.

[00119] Sequestro de Pacotes - O sequestro de pacotes compreende um ataque cibernético onde o fluxo normal de pacotes através da rede é desviado através de um dispositivo hostil.

[00120] Se, por exemplo, a integridade de um roteador for comprometida por um ataque cibernético de um pirata cibernético, os pacotes IP que atravessam o roteador podem ser reescritos em um pacote IP revisado, desviando o pacote IP para um endereço de destino diferente e a porta # do dispositivo do pirata cibernético. O dispositivo do pirata cibernético obtém qualquer informação que precisa da carga útil do pacote IP e possivelmente altera o conteúdo da carga útil do pacote IP. A carga útil fraudulenta pode ser usada para cometer qualquer número de crimes fraudulentos, para coletar informações ou para baixar malware no celular, descrito posteriormente no tópico “infecções”.

[00121] O pacote sequestrado é então adaptado para se parecer com o endereço IP de origem e o n° da porta de origem do pacote IP original, exceto que o pacote viaja através de um trajeto novo e diferente. Altemativamente, o pacote IP sequestrado pode ser retomado ao roteador comprometido e depois enviado para a nuvem como antes. Para maximizar o benefício criminal do sequestro de pacotes, um pirata cibernético 630 precisa ocultar sua identidade no sequestro de pacotes e por isso eles disfarçam o verdadeiro roteamento do pacote IP, então, mesmo a função ICMP da Camada 3 “traceroute” teria dificuldade em identificar o verdadeiro trajeto da comunicação. Se, no

Petição 870190124250, de 27/11/2019, pág. 52/571

47/381 entanto, o sequestro adiciona um atraso notável no roteamento de pacotes, a latência incomum pode levar a uma investigação por um operador de rede.

[00122] Infecções Cibernéticas - Uma das categorias mais insidiosas de ataque cibernético é a de “infecções cibernéticas”, a instalação de malwares em dispositivos alvejados ou a rede pela qual coletar informações, cometer fraudes, redirecionar o tráfego, infectar outros dispositivos, prejudicar ou desligar sistemas, ou causar falhas de negação de serviço. As infecções cibernéticas podem ser espalhadas por e-mails, arquivos, sites, extensões de sistema, programas de aplicativos ou através de redes. Uma classe geral de malware, “spyware”, reúne todos os tipos de informações transacionais e transmite-as a um pirata cibernético. No caso de “phishing”, uma página da Web ou um shell de aplicativo que aparece como uma página de login familiar pede login ou informações pessoais, em seguida, encaminha a informação para um pirata cibernético. Ainda outras infecções de malware podem assumir o controle de hardware, por exemplo, controlar um roteador para executar o sequestro de pacotes mencionado acima. Nesses casos, o pirata cibernético está tentando obter informações ou controlar de forma benéfica para seus próprios propósitos.

[00123] Outra classe de infecções cibernéticas que compõem vírus, worms e cavalos de Troia é projetada para substituir arquivos críticos ou para executar funções sem sentido repetidamente para evitar que um dispositivo faça suas tarefas normais. Basicamente para negar serviços, degradar o desempenho ou matar completamente um dispositivo. Essas infecções malévolas são intrinsecamente destrutivas e usadas para fins vingativos, para desativar os negócios de um concorrente da operação normal, ou simplesmente motivados por diversão por um hacker que quer ver se é possível.

[00124] Vigilância - Interceptação e vigilância vão além do crime cibernético. Em tais casos, um detetive particular ou um conhecido é

Petição 870190124250, de 27/11/2019, pág. 53/571

48/381 contratado ou coagido para instalar um dispositivo ou programa nos dispositivos pessoais do alvo para monitorar suas conversas de voz, troca de dados e localização. O risco de ser pego é maior porque o detetive deve ter acesso temporário ao dispositivo alvo sem que o sujeito saiba. Por exemplo, estão comercialmente disponíveis cartões SIM que podem copiar os privilégios de acesso à rede de um telefone, mas simultaneamente transmitem informações para um criminoso cibernético que monitora as chamadas do alvo e o tráfego de dados.

[00125] Outras formas de vigilância envolvem o uso de câmeras de vídeo clandestinas para monitorar todas as ações e chamadas telefônicas de uma pessoa, bem como as localizadas nos cassinos. Através do monitoramento de vídeo, a senha ou o PIN de um dispositivo podem ser aprendidos simplesmente observando os pressionamentos de teclas de um usuário durante seu processo de login. Com câmeras suficientes no lugar, eventualmente, uma vez será gravado o processo de login. Para acessar uma rede de câmeras sem levantar suspeitas, um pirata cibernético pode hackear um sistema de vigilância de câmera existente em edifícios, lojas ou nas ruas, e através do acesso à rede de outra pessoa monitorar o comportamento de vítimas inocentes. A combinação de vigilância por vídeo com a detecção de pacotes fornece um conjunto de dados ainda mais abrangente para subsequentemente iniciar ataques cibernéticos.

[00126] Administração Pirata (Infiltração) - Outro meio pelo qual os piratas cibernéticos são capazes de obter informações é hackeando e obtendo acesso aos direitos de administração do sistema de um dispositivo, servidor ou rede. Então, ao invés de obter acesso não autorizado a uma conta de um usuário, ao hackear o login do administrador do sistema, acesso e privilégios significativos ficam disponíveis para o pirata cibernético sem o conhecimento daqueles que usam o sistema. Uma vez que o administrador do sistema atua como uma polícia do sistema, não há ninguém para pegar sua atividade

Petição 870190124250, de 27/11/2019, pág. 54/571

49/381 criminosa - em essência; em um sistema ou rede com administração corrompida, não há ninguém capaz de policiar a polícia.

[00127] Conclusão - A onipresença e a interoperabilidade que a Internet, as redes com comutação de pacotes e a adoção quase universal do modelo de rede de iniciativa de código aberto de sete camadas tem nos últimos vinte anos permitiu que a comunicação global se expandisse em uma escala sem paralelo, conectando uma ampla gama de dispositivos que vão desde telefones inteligentes a tablets, computadores, TVs inteligentes, carros e até aparelhos domésticos e lâmpadas. A adoção global do Protocolo de Internet ou IP como base para conectividade Ethernet, celular, Wi-Fi e TV a cabo não só tem comunicação unificada, mas simplificou muito o desafio para hackers e criminosos cibernéticos que tentam invadir tantos dispositivos e sistemas quanto possível. Dada a multiplicidade de métodos de software e hardware agora disponíveis para atacar as redes de comunicação de hoje, claramente nenhum método de segurança é suficiente como uma única defesa. Em vez disso, o que é necessário é uma abordagem sistemática para proteger cada dispositivo, último enlace, rede/companhia telefônica local e rede em nuvem para garantir sua proteção contra ataques cibernéticos sofisticados. Os métodos utilizados devem fornecer a segurança cibernética intrínseca e a privacidade cibernética sem sacrificar QoS, latência de rede, vídeo ou qualidade de som. Embora a encriptação continue a ser um elemento importante para desenvolver esta próxima geração em comunicação e armazenamento de dados seguros, a segurança da rede não deve depender unicamente de metodologias de encriptação.

Resumo da Invenção [00128] De acordo com esta invenção, os dados (que são definidos de forma ampla para incluir texto, áudio, vídeo, gráficos e todos os outros tipos de informações ou arquivos digitais) são transmitidos através de uma rede ou “nuvem” de Rede e Protocolo de Comunicação Dinâmica Segura (SDNP). A

Petição 870190124250, de 27/11/2019, pág. 55/571

50/381 nuvem SDNP inclui uma pluralidade de “nós”, às vezes denominados “nós de mídia”, que são hospedados individualmente em servidores ou outros tipos de computadores ou equipamentos digitais (coletivamente chamados aqui de “servidores”) localizados em qualquer lugar do mundo. E possível que dois ou mais nós estejam localizados em um único servidor. Normalmente, os dados são transmitidos entre os nós de mídia por luz transportada por cabos de fibra óptica, por ondas de rádio no espectro de micro-ondas ou rádio, por sinais elétricos conduzidos em fios de cobre ou cabo coaxial, ou por comunicação por satélite, mas a invenção inclui amplamente quaisquer meios pelos quais os dados digitais podem ser transmitidos de um ponto para outro. A rede SDNP inclui a nuvem SDNP, bem como os enlaces de “Ultima Milha” entre a nuvem SDNP e dispositivos cliente, como telefones celulares, tablets, notebooks e computadores, dispositivos eletrônicos de cliente móvel, bem como dispositivos e aparelhos de Internet das Coisas, automóveis e outros veículos. A comunicação de Ultima Milha também inclui torres de telefone celular, cabo ou fibra em casa e roteadores Wi-Fi públicos. Dentro da Ultima Milha, o enlace entre o dispositivo cliente e a torre de telefone celular mais próxima ou outro retransmissor é mencionado como o Ultimo Enlace”.

[00129] Enquanto em trânsito entre os nós de mídia na nuvem SDNP, os dados são na forma de “pacotes”, cadeias discretas de bits digitais que podem ser de comprimento fixo ou variável, e os dados são disfarçados empregando as seguintes técnicas: embaralhamento, encriptação ou divisão — ou seus processos inversos, desembaralhamento, desencriptação e mistura. (Observação: Conforme usado aqui, a menos que o contexto indique o contrário, a palavra “ou” é usada em seu sentido conjuntivo (e/ou).) [00130] Embaralhamento implica reordenar os dados dentro de um pacote de dados; por exemplo, os segmentos de dados A, B e C que aparecem nessa ordem no pacote são reorganizados na sequência C, A e B. O inverso da operação de embaralhamento é chamado de “desembaralhamento” e envolve

Petição 870190124250, de 27/11/2019, pág. 56/571

51/381 a reorganização dos dados dentro de um pacote para a ordem em que apareceu originalmente - A, B e C no exemplo acima. A operação combinada de desembaralhamento e, em seguida, embaralhamento de um pacote de dados é chamada de “re-embaralhamento”. Ao re-embaralhar um pacote que foi anteriormente embaralhado, o pacote pode ser embaralhado de uma maneira que é igual ou diferente da operação anterior de embaralhamento.

[00131] A segunda operação, “encriptação”, é a codificação dos dados em um pacote em uma forma, chamada texto cifrado, que pode ser entendida apenas pelo remetente e outras partes autorizadas, e por quem deve executar a operação inversa - “desencriptação” - para fazê-lo. A operação combinada de desencriptar um pacote de dados de texto cifrado e, em seguida, encriptá-lo novamente, normalmente, mas não necessariamente, usando um método diferente do método usado na encriptação anteriormente, é aqui chamada de “re-encriptação”.

[00132] A terceira operação, “divisão”, como o nome indica, envolve dividir o pacote em dois ou mais pacotes menores. A operação inversa, “mistura”, é definida como a recombinação de dois ou mais pacotes de volta em um único pacote. A divisão de um pacote que foi dividido anteriormente e, em seguida, misturado pode ser feita de uma maneira que é igual ou diferente da operação de divisão anterior. A ordem das operações é reversível, pelo que a divisão pode ser desfeita por mistura e, inversamente, a mistura de múltiplas entradas em uma saída pode ser desfeita por divisão para recuperar os componentes constituintes. (Observação: Uma vez que o embaralhamento e desembaralhamento, encriptação e desencriptação, e divisão e mistura são processos inversos, o conhecimento do algoritmo ou método que foi usado para executar um é tudo o que é necessário para executar o inverso. Portanto, ao se referir a um algoritmo particular de embaralhamento, encriptação ou divisão aqui, será entendido que o conhecimento desse algoritmo permite executar o processo inverso.)

Petição 870190124250, de 27/11/2019, pág. 57/571

52/381 [00133] De acordo com a invenção, um pacote de dados que passa através de uma nuvem SDNP é embaralhado ou encriptado, ou está sujeito a uma ou a ambas as operações em combinação com a divisão. Além disso, os dados de “lixo” (isto é, sem sentido) podem ser adicionados ao pacote, quer para tomar o pacote mais difícil de decifrar ou para fazer o pacote se conformar a um comprimento requerido. Além disso, o pacote pode ser analisado, isto é, separado em pedaços distintos. Na linguagem computacional, analisar é dividir uma declaração de linguagem de computador, instrução de computador ou arquivo de dados em partes que podem ser úteis para o computador. A separação também pode ser usada para obscurecer a finalidade de uma instrução ou pacote de dados, ou para organizar dados em pacotes de dados com comprimentos de dados especificados.

[00134] Embora o formato dos pacotes de dados siga o Protocolo de Internet, dentro da nuvem SDNP, os endereços dos nós de mídia não são endereços de Internet padrão, ou seja, eles não podem ser identificados por nenhum servidor DNS da Internet. Assim, embora os nós de mídia possam tecnicamente receber pacotes de dados pela Internet, os nós de mídia não reconhecerão os endereços ou responderão a consultas. Além disso, mesmo que os usuários da Internet entrem em contato com um nó de mídia, eles não poderíam acessar ou examinar os dados dentro do nó de mídia porque o nó de mídia pode reconhecê-los como impostores sem as credenciais de identificação necessárias como nó de mídia SDNP. Especificamente, a menos que um nó de mídia seja registrado como um nó SDNP válido executado em um servidor qualificado no servidor de nomes SDNP ou sua função equivalente, os pacotes de dados enviados desse nó para outros nós de mídia SDNP serão ignorados e descartados. De maneira semelhante, apenas clientes registrados em um servidor de nomes SDNP podem entrar em contato com um nó de mídia SDNP. Como servidores não registrados, os pacotes de dados

Petição 870190124250, de 27/11/2019, pág. 58/571

53/381 recebidos de fontes diferentes dos clientes SDNP registrados serão ignorados e descartados imediatamente.

[00135] Em uma modalidade relativamente simples, chamada de “única rota”, o pacote de dados atravessa um único trajeto através de uma série de nós de mídia na nuvem SDNP e é codificado no nó de mídia onde ele entra na nuvem e desembaralhado no nó de mídia onde o pacote sai da nuvem (esses dois nós são chamados de “nós de gateway” ou “nós de mídia de gateway”). Em uma modalidade um pouco mais complexa, o pacote é reembaralhado em cada nó de mídia usando um método de embaralhamento diferente do que foi usado no nó de mídia anterior. Em outras modalidades, o pacote também é encriptado no nó de gateway onde ele entrar na nuvem e desencriptado no nó de gateway onde ele sair da nuvem e, além disso, o pacote pode ser re-encriptado em cada nó de mídia pelo qual passar na nuvem. Uma vez que um determinado nó usa o mesmo algoritmo cada vez que embaralha ou encripta um pacote, esta modalidade é descrita como embaralhamento e encriptação “estático”.

[00136] Em um caso em que o pacote é submetido a duas ou mais operações, por exemplo, é embaralhado e encriptado, as operações inversas são preferencialmente realizadas em uma ordem oposta às próprias operações, isto é, na sequência inversa. Por exemplo, se o pacote é embaralhado e encriptado antes de deixar um nó de mídia, ele primeiro é desencriptado e depois desembaralhado quando ele chega ao seguinte nó de mídia. O pacote é recriado em sua forma original somente enquanto ele está dentro de um nó de mídia. Enquanto o pacote está em trânsito entre nós de mídia, ele é embaralhado, dividido ou misturado, ou encriptado.

[00137] Em outra modalidade, chamada de transporte de dados “multirrotas”, o pacote é dividido no nó de gateway e os pacotes múltiplos resultantes atravessam a nuvem em uma série de trajetos “paralelos”, sem nenhum dos trajetos compartilharem um nó de mídia com outro trajeto, exceto

Petição 870190124250, de 27/11/2019, pág. 59/571

54/381 nos nós de gateway. Os vários pacotes são então misturados para recriar o pacote original, normalmente no modo de saída de gateway. Assim, mesmo se um hacker pudesse entender o significado de um único pacote, eles teriam apenas uma parte de toda a mensagem. O pacote também pode ser embaralhado e encriptado no nó de gateway, antes ou depois de ser dividido, e os vários pacotes podem ser re-embaralhados ou re-encriptados em cada nó de mídia que eles passam.

[00138] Ainda em outra modalidade, os pacotes não percorrem apenas um único trajeto ou uma série de trajetos paralelos na nuvem SDNP, mas em vez disso os pacotes podem percorrer uma grande variedade de trajetos, muitos dos quais se cruzam entre si. Uma vez que nesta modalidade, uma imagem dos trajetos possíveis se assemelha a uma malha, é chamado de “transporte em malha”. Tal como com as modalidades descritas acima, os pacotes podem ser embaralhados, encriptados e divididos ou misturados à medida que eles passam através dos nós de mídia individuais na nuvem SDNP.

[00139] As rotas dos pacotes através da rede SDNP são determinadas por uma função de sinalização, que pode ser realizada por segmentos dos próprios nós de mídia ou, preferivelmente, em modalidades de “bicanal” ou “tricanal”, por nós de sinalização separados executados em servidores de sinalização dedicados. A função de sinalização determina a rota de cada pacote à medida que ele sai do dispositivo cliente transmissor (por exemplo, um telefone celular), com base na condição (por exemplo, atrasos de propagação) da rede e a prioridade e urgência da chamada, e informa cada um dos nós de mídia ao longo da rota que receberá o pacote e instruirá o nó onde enviá-lo. Cada pacote é identificado por uma etiqueta e a função de sinalização instrui cada nó de mídia qual etiqueta aplicar a cada um dos pacotes que envia. Em uma modalidade, a etiqueta de dados está incluída em um cabeçalho ou subcabeçalho SDNP, um campo de dados anexado a cada

Petição 870190124250, de 27/11/2019, pág. 60/571

55/381 subpacote de dados usado para identificar o subpacote. Cada subpacote pode conter segmentos de dados de uma ou várias fontes armazenadas em “slots” de dados específicos no pacote. Múltiplos subpacotes podem estar presentes dentro de um pacote de dados maior durante o transporte de dados entre dois nós de mídia.

[00140] A função de roteamento está alinhada com as funções de divisão e mistura, uma vez que um pacote é dividido, as rotas respectivas de cada um dos subpacotes em que está dividido devem ser determinadas e o nó onde os subpacotes são recombinados (misturados) deve ser instruído para misturá-los. Um pacote pode ser dividido uma vez e, em seguida, misturado, como em modalidades multirrotas, ou pode ser dividido e misturado várias vezes à medida que ele prossegue através da rede SDNP para o nó de gateway de saída. A determinação de em qual nó um pacote será dividido, em quantos subpacotes serão divididos, as rotas respectivas dos subpacotes e em que nó os subpacotes serão misturados para recriar o pacote original estão sob o controle da função de sinalização, seja executada ou não por servidores de sinalização separados. Um algoritmo de divisão pode especificar quais segmentos de dados em uma comunicação devem ser incluídos em cada um dos subpacotes e a ordem e posições dos segmentos de dados nos subpacotes. Um algoritmo de mistura inverte esse processo no nó onde os subpacotes são misturados para recriar o pacote original. Claro, se assim for instruído pela função de sinalização, esse nó também pode dividir o pacote de novo de acordo com um algoritmo de divisão diferente correspondente ao tempo ou estado quando ocorre o processo de divisão.

[00141] Quando um nó de mídia é instruído pela função de sinalização para enviar uma pluralidade de pacotes para um nó de mídia de destino específico no “próximo salto” através da rede, se estes pacotes são pacotes divididos (subpacotes) ou se pertencem a diferentes mensagens, o nó de mídia pode combinar os pacotes em um único pacote maior, especialmente quando

Petição 870190124250, de 27/11/2019, pág. 61/571

56/381 vários subpacotes compartilham um nó de mídia de destino comum para o próximo salto (análogo aos correios colocando um grupo de letras destinado a um único endereço em uma caixa e enviando a caixa para o endereço).

[00142] Em modalidades “dinâmicas” da invenção, os nós de mídia individuais na nuvem SDNP não usam os mesmos algoritmos ou métodos de embaralhamento, encriptação ou divisão em pacotes sucessivos que passam por eles. Por exemplo, um determinado nó de mídia pode embaralhar, encriptar ou dividir um pacote usando um algoritmo de embaralhamento, encriptação ou divisão, e então embaralhar, encriptar ou dividir o próximo pacote usando um algoritmo diferente de embaralhamento, encriptação ou divisão. A operação “dinâmica” aumenta consideravelmente as dificuldades enfrentadas pelos potenciais hackers, porque eles têm apenas um curto período de tempo (por exemplo, lOOmsec) para entender o significado de um pacote, e mesmo que sejam bem-sucedidos, a utilidade de seus conhecimentos seria de curta duração.

[00143] Em modalidades dinâmicas, cada nó de mídia está associado ao que é conhecido como “servidor DMZ”, que pode ser visto como uma parte do nó que está isolado da parte de transporte de dados e que possui um banco de dados contendo listas ou tabelas (“seletores”) de possíveis algoritmos de embaralhamento, encriptação e divisão que o nó de mídia pode aplicar aos pacotes de saída. O seletor faz parte de um conjunto de informações chamadas de “segredos compartilhados”, uma vez que a informação não é conhecida até mesmo para os nós de mídia e que todos os servidores DMZ têm os mesmos seletores em um determinado momento.

[00144] Quando um nó de mídia recebe um pacote que foi embaralhado, em modalidades dinâmicas, ele também recebe uma “semente” que é usada para indicar ao nó de recepção qual algoritmo deve ser usado para desembaralhamento do pacote. A semente é um valor numérico disfarçado que não tem significado por si só, mas é baseado em um estado em constante

Petição 870190124250, de 27/11/2019, pág. 62/571

57/381 mudança, como o tempo em que o pacote foi codificado pelo nó de mídia anterior. Quando o nó anterior embaralhou o pacote, o servidor DMZ associado gerou a semente com base no estado. Claro, esse estado também foi usado pelo seu servidor DMZ associado ao selecionar o algoritmo a ser usado no embaralhamento do pacote, que foi enviado para o nó de mídia de envio na forma de uma instrução sobre como embaralhar o pacote. Assim, o nó de envio recebeu tanto as instruções sobre como embaralhar o pacote quanto a semente a ser transmitida para o próximo nó de mídia. Um gerador de sementes que opera dentro do servidor DMZ gera a semente usando um algoritmo baseado no estado no momento em que o processo é executado. Embora o gerador de sementes e seus algoritmos façam parte dos segredos compartilhados do nó de mídia, a semente gerada não é secreta porque, sem acesso aos algoritmos, a semente numérica não tem significado.

[00145] Assim, o próximo nó de mídia na rota do pacote recebe o pacote embaralhado e a semente que é derivada do estado associado ao pacote (por exemplo, o tempo em que foi embaralhado). A semente pode ser incluída no próprio pacote ou pode ser enviada para o nó de recepção antes do pacote, na mesma rota que o pacote ou através de outra rota, como por exemplo através de um servidor de sinalização.

[00146] Independentemente de como ele recebe a semente, o nó de recepção envia a semente para seu servidor DMZ. Uma vez que esse servidor DMZ tem um seletor ou tabela de algoritmos de embaralhamento que fazem parte dos segredos compartilhados e, portanto, é o mesmo que o seletor no servidor DMZ do nó de envio, ele pode usar a semente para identificar o algoritmo que foi usado no embaralhamento do pacote e pode instruir o nó de recepção como desembaralhar o pacote. O nó de recepção, assim, recria o pacote em sua forma desembaralhada, recuperando assim os dados originais. Tipicamente, o pacote será embaralhado novamente de acordo com um algoritmo de embaralhamento diferente antes de ser transmitido para o

Petição 870190124250, de 27/11/2019, pág. 63/571

58/381 próximo nó. Em caso afirmativo, o nó de recepção funciona com o seu servidor DMZ para obter um algoritmo de embaralhamento e semente, e o processo é repetido.

[00147] Assim, à medida que o pacote atravessa a rede SDNP, ele é embaralhado de acordo com um algoritmo de embaralhamento diferente por cada nó, e uma nova semente é criada em cada nó que permite que o próximo nó desembaralhe o pacote.

[00148] Em uma modalidade alternativa da invenção, o estado real (por exemplo, tempo) pode ser transmitido entre nós (isto é, o nó de envio não precisa enviar uma semente para o nó de recepção). Os servidores DMZ associados aos nós de mídia de envio e recepção contêm geradores de números ocultos (novamente, parte dos segredos compartilhados) que contêm algoritmos idênticos em qualquer momento. O servidor DMZ associado ao nó de envio usa o estado para gerar um número oculto e o número oculto para determinar o algoritmo de embaralhamento de um seletor ou tabela de possíveis algoritmos de embaralhamento. O nó de envio transmite o estado para o nó de recepção. Ao contrário das sementes, os números ocultos nunca são transmitidos pela rede, mas continuam sendo uma comunicação exclusivamente privada entre o nó da mídia e seu servidor DMZ. Quando o nó de mídia de recepção recebe o estado de um pacote de dados de entrada, o gerador de números oculto em seu servidor DMZ associado usa o estado para gerar um número oculto idêntico, que é usado com o seletor ou tabela para identificar o algoritmo a ser usado no desembaralhamento do pacote. O estado pode ser incluído no pacote ou pode ser transmitido do nó de envio ao nó de recepção antes do pacote ou através de outra rota.

[00149] As técnicas usadas em encriptação dinâmica e divisão são semelhantes às usadas no processo de embaralhamento dinâmico, mas em encriptação dinâmica são usadas “chaves” e também sementes. Os segredos compartilhados detidos pelos servidores DMZ incluem seletores ou tabelas de

Petição 870190124250, de 27/11/2019, pág. 64/571

59/381 algoritmos de encriptação e divisão e geradores de chaves. No caso da encriptação de chave simétrica, o nó de envio transmite uma chave para o nó de mídia de recepção que pode ser usada pelo servidor DMZ do nó de recepção para identificar o algoritmo usado na encriptação do pacote e assim desencriptar o arquivo. No caso da encriptação de chave assimétrica, o nó de mídia solicitando informações, ou seja, o nó de recepção primeiro envia uma chave de encriptação ao nó que contém o pacote de dados a ser enviado. O nó de mídia de envio então encripta os dados de acordo com essa chave de criptografia. Somente o nó de mídia de recepção que gera a chave de encriptação mantém a chave de desencriptação correspondente e a capacidade de desencriptar o texto cifrado criado usando a chave de encriptação. De forma importante, na encriptação assimétrica, o acesso à chave de encriptação usada para encriptação não provê nenhuma informação sobre como desencriptar o pacote de dados.

[00150] No caso da divisão, o nó de mídia onde o pacote foi dividido transmite uma semente para o nó de mídia onde os subpacotes resultantes serão misturados e o servidor DMZ associado ao nó de mistura usa essa semente para identificar o algoritmo de divisão e, portanto, o algoritmo a ser usado na mistura dos subpacotes.

[00151] Como indicado acima, em modalidades bicanal ou tricanal, a função de sinalização é realizada por um nó de sinalização que opera em um grupo separado de servidores conhecido como servidores de sinalização. Em tais modalidades, as sementes e as chaves podem ser transmitidas através dos servidores de sinalização em vez do nó de mídia de envio diretamente para o nó de mídia de recepção. Assim, o nó de mídia de envio pode enviar uma semente ou chave para um servidor de sinalização, e o servidor de sinalização pode encaminhar a semente ou a chave para o nó de mídia de recepção. Conforme observado acima, os servidores de sinalização são responsáveis por projetar as rotas do pacote, de modo que o servidor de sinalização conhece o

Petição 870190124250, de 27/11/2019, pág. 65/571

60/381 próximo nó de mídia ao qual cada pacote é direcionado.

[00152] Para tomar as coisas mais difíceis para os potenciais hackers, a lista ou a tabela de possíveis métodos de embaralhamento, divisão ou encriptação em um seletor podem ser “reorganizadas” periodicamente (por exemplo, por hora ou diariamente) de tal forma que os métodos correspondentes a sementes ou chaves particulares sejam alterados. Assim, o algoritmo de encriptação aplicado por um dado nó de mídia a um pacote criado no tempo ti no Dia 1 pode ser diferente do algoritmo de encriptação que aplica a um pacote criado ao mesmo tempo ti no Dia 2.

[00153] Cada um dos servidores DMZ normalmente está fisicamente associado a um ou mais nós de mídia no mesmo “farm de servidores”. Conforme mencionado acima, um nó de mídia pode solicitar instruções sobre o que fazer com um pacote recebido ao prover seu servidor DMZ associado com uma semente ou chave (com base, por exemplo, no tempo ou no estado em que o pacote foi criado), mas o nó de mídia não pode acessar os segredos compartilhados ou qualquer outro dado ou código dentro do servidor DMZ. O servidor DMZ responde a tais solicitações usando a semente ou a chave para determinar o método que o nó de mídia deve usar no desembaralhamento, desencriptação ou mistura de um pacote. Por exemplo, se o pacote foi embaralhado e o nó de mídia quiser saber como desembaralhálo, o servidor DMZ pode examinar uma lista (ou seletor) de algoritmos de embaralhamento para encontrar o algoritmo particular que corresponde à semente. A DMZ então instrui o nó de mídia a desembaralhar o pacote de acordo com esse algoritmo. Em suma, a mídia transmite consultas incorporadas em sementes ou chaves para o servidor DMZ, e o servidor DMZ responde a essas consultas com instruções.

[00154] Enquanto os nós de mídia são acessíveis através da Internet (embora eles não tenham endereços IP reconhecidos pelo DNS), os servidores DMZ estão completamente isolados da Internet tendo apenas conexões de

Petição 870190124250, de 27/11/2019, pág. 66/571

61/381 rede locais através de fios ou fibra óptica para os servidores de mídia conectados à rede.

[00155] Em modalidades de “monocanal”, as sementes e as chaves são transmitidas entre o nó de mídia de envio e o nó de mídia de recepção como parte do próprio pacote de dados ou podem ser transmitidas em um pacote separado antes do pacote de dados na mesma rota como o pacote de dados. Por exemplo, ao encriptar um pacote, o nó de mídia n° 1 pode incluir no pacote uma chave de encriptação com base na hora em que a encriptação foi realizada. Quando o pacote chega ao nó de mídia ri 2, o nó de mídia n° 2 transmite a chave ao seu servidor DMZ associado e o servidor DMZ pode usar a chave para selecionar um método de desencriptação em seu seletor e para executar a desencriptação. O nó de mídia n° 2 pode então perguntar ao seu servidor DMZ como ele deve encriptar o pacote novamente, antes de transmiti-lo ao nó de mídia n° 3. Mais uma vez, o servidor DMZ consulta o seletor, informa o nó de mídia ri 2 qual método deve usar na encriptação do pacote e entrega ao nó de mídia n° 2 uma chave que reflete um estado correspondente ao método de encriptação. O nó de mídia n° 2 executa a encriptação e transmite o pacote encriptado e a chave (separadamente ou como parte do pacote) para o nó de mídia n° 3. A chave pode então ser usada de maneira similar pelo nó de mídia n° 3 para desencriptar o pacote, e assim por diante. Como resultado, não existe um único método de desencriptação estática que um hacker possa usar na decifração dos pacotes.

[00156] O uso de tempo ou uma condição de “estado” dinâmico no exemplo acima como o determinante do método de embaralhamento, encriptação ou divisão a ser incorporado na semente ou na chave é apenas ilustrativo. Qualquer parâmetro de mudança, por exemplo, o número de nós através dos quais o pacote passou, também pode ser usado como o “estado” na semente ou chave para selecionar o método particular de embaralhamento, encriptação ou divisão a ser usado.

Petição 870190124250, de 27/11/2019, pág. 67/571

62/381 [00157] Em modalidades “de bicanal”, as sementes e as chaves podem ser transmitidas entre os nós de mídia através de um segundo canal de “comando e controle” composto por servidores de sinalização em vez de serem transportados diretamente entre os nós de mídia. Os nós de sinalização também podem fornecer aos nós de mídia informações de roteamento e informar os nós de mídia ao longo da rota de um pacote como este deve ser dividido ou misturado com outros pacotes, e eles instruem cada nó de mídia a aplicar uma “etiqueta” de identificação para cada pacote transmitido para que o(s) próximo(s) nó(s) de mídia possam reconhecer o(s) pacote(s). Os servidores de sinalização preferivelmente fornecem um dado nó de mídia com apenas o último e o próximo nó de mídia de um pacote que atravessa a rede. Nenhum nó de mídia individual conhece toda a rota do pacote através da nuvem SDNP. Em algumas modalidades, a função de roteamento pode ser dividida entre dois ou mais servidores de sinalização, com um servidor de sinalização determinando a rota para um nó de mídia particular, um segundo servidor de sinalização determinando a rota a partir de lá para outro nó de mídia e, assim, para o nó de gateway de saída. Dessa maneira, nenhum servidor de sinalização único conhece o roteamento completo de um pacote de dados.

[00158] Em modalidades de “tricanal”, um terceiro grupo de servidores - chamados “servidores de nomes” - é usado para identificar elementos dentro da nuvem SDNP e para armazenar informações sobre a identidade de dispositivos conectados à nuvem SDNP e seus correspondentes endereços IP ou SDNP. Além disso, os servidores de nomes monitoram constantemente os nós de mídia na nuvem SDNP, mantendo, por exemplo, uma lista atual de nós de mídia ativos e uma tabela de atrasos de propagação entre cada combinação de nós de mídia na nuvem. Na primeira etapa na realização da chamada, um dispositivo cliente, como um tablet, pode enviar um pacote IP para um servidor de nomes, solicitando um endereço e outras informações para o

Petição 870190124250, de 27/11/2019, pág. 68/571

63/381 destino ou pessoa a ser chamada. Além disso, um servidor de nomes dedicado separado é usado para operar como um primeiro contato sempre que um dispositivo se conecta pela primeira vez, ou seja, se registra, na nuvem.

[00159] Como um benefício de segurança adicional, as “zonas” de segurança separadas, que possuem diferentes seletores, geradores de sementes e chaves e outros segredos compartilhados podem ser estabelecidas dentro de uma única nuvem SDNP. As zonas adjacentes são conectadas por nós de mídia de ponte, que possuem os segredos compartilhados de ambas as zonas e têm a capacidade de traduzir dados formatados de acordo com as regras de uma zona em dados formatados de acordo com as regras para a outra zona e vice-versa.

[00160] Da mesma forma, para a comunicação entre diferentes nuvens SDNP, hospedadas por diferentes provedores de serviços, o enlace de comunicação full-duplex (ou seja, bidirecional) é formado entre servidores de ponte de interface em cada nuvem. Cada servidor de ponte de interface tem acesso aos segredos compartilhados relevantes e outros itens de segurança para cada nuvem.

[00161] Uma vantagem importante da invenção descrita é que não existe um único ponto de controle na rede SDNP e que nenhum nó ou servidor na rede possui uma imagem completa sobre como uma determinada comunicação está ocorrendo ou como ela pode estar mudando dinamicamente.

[00162] Por exemplo, os nós de sinalização que funcionam em servidores de sinalização conhecem a rota (ou, em alguns casos, apenas uma parte de uma rota) pela qual uma comunicação está ocorrendo, mas eles não têm acesso ao conteúdo de dados que está sendo comunicado e não sabem quem são os reais chamadores ou clientes. Além disso, os nós de sinalização não têm acesso aos segredos compartilhados nos servidores DMZ de um nó de mídia, então eles não sabem como os pacotes de dados em trânsito são

Petição 870190124250, de 27/11/2019, pág. 69/571

64/381 encriptados, embaralhados, divididos ou misturados.

[00163] Os servidores de nomes SDNP conhecem os números de telefone ou os endereços IP dos chamadores, mas não têm acesso aos dados que estão sendo comunicados ou ao roteamento dos vários pacotes e subpacotes. Como os nós de sinalização, os servidores de nomes não têm acesso aos segredos compartilhados nos servidores DMZ de um nó de mídia, então eles não sabem como os pacotes de dados em trânsito são encriptados, embaralhados, divididos ou misturados.

[00164] Os nós de mídia SDNP realmente transportando o conteúdo de mídia não tem ideia de quem são os chamadores se comunicando nem sabem a rota que os vários subpacotes fragmentados estão tomando através da nuvem SDNP. Na verdade, cada nó de mídia sabe apenas quais pacotes de dados esperar chegar (identificados por suas etiquetas ou cabeçalhos) e onde enviá-los em seguida, ou seja, o “próximo salto”, mas os nós de mídia não sabem como os dados são encriptados, embaralhados, misturados ou divididos, nem sabem como selecionar um algoritmo ou desencriptar um arquivo usando um estado, uma semente numérica ou uma chave. O knowhow necessário para processar corretamente os segmentos de dados dos pacotes de dados de entrada é conhecido apenas pelo servidor DMZ, usando seus segredos compartilhados, algoritmos não acessíveis pela rede ou pelo próprio nó de mídia.

[00165] Outro aspecto inventivo da invenção descrita é a sua capacidade de reduzir a latência da rede e minimizar o atraso de propagação para prover qualidade superior de serviço (QoS) e eliminar chamadas com eco ou descartadas controlando o tamanho dos pacotes de dados, ou seja, enviar mais pacotes de dados menores em paralelo através da nuvem, em vez de depender de uma conexão de alta largura de banda. O roteamento dinâmico da rede SDNP usa seu conhecimento dos atrasos de propagação nó-para-nó da rede para selecionar dinamicamente a melhor rota para qualquer comunicação

Petição 870190124250, de 27/11/2019, pág. 70/571

65/381 nesse momento. Em outra modalidade, para clientes de alta prioridade, a rede pode facilitar o roteamento de corrida, enviando mensagens duplicadas em forma fragmentada através da nuvem SDNP selecionando apenas os dados mais rápidos para recuperar o som original ou conteúdo de dados.

[00166] Entre as muitas vantagens de um sistema SDNP de acordo com a invenção, em modalidades paralelas e de “transporte em malha”, os pacotes podem ser fragmentados à medida que transitam a nuvem SDNP, impedindo que potenciais hackers entendam uma mensagem, mesmo que sejam capazes de decifrar um subpacote individual ou grupo de subpacotes, e em modalidades “dinâmicas”, os métodos de embaralhamento, encriptação e divisão aplicados aos pacotes estão em constante mudança, negando a um potencial hacker qualquer benefício significativo de decifrar com sucesso um pacote em um determinado momento. Inúmeras vantagens adicionais de modalidades da invenção serão facilmente evidentes para os versados na técnica a partir de uma revisão da descrição a seguir.

[00167] Técnicas de segurança semelhantes podem ser aplicadas na “última milha” entre uma nuvem SDNP e um dispositivo cliente, como um telefone celular ou um tablet. O dispositivo cliente normalmente é colocado em uma zona de segurança separada da nuvem, e primeiro pode se tomar um cliente SDNP autorizado, uma etapa que envolve a instalação no dispositivo cliente de um pacote de software específico para a zona de segurança do dispositivo, geralmente via download de um servidor de administração SDNP. O dispositivo cliente está vinculado à nuvem SDNP através de um nó de mídia de gateway (as vezes chamado apenas de “gateway”) na nuvem. O nó de mídia de gateway tem acesso aos segredos compartilhados pertencentes à zona de segurança tanto da nuvem quanto do dispositivo do cliente, mas o dispositivo cliente não tem acesso aos segredos compartilhados pertencentes à nuvem SDNP.

[00168] Como um nível adicional de segurança, os dispositivos clientes

Petição 870190124250, de 27/11/2019, pág. 71/571

66/381 podem trocar sementes e chaves diretamente entre si através dos servidores de sinalização. Assim, um dispositivo cliente transmissor pode enviar uma semente e/ou uma chave diretamente para o dispositivo cliente receptor. Em tais modalidades, o pacote recebido pelo dispositivo cliente receptor estará na mesma forma embaralhada ou encriptada que o pacote deixando o dispositivo cliente emissor. O dispositivo cliente receptor pode, portanto, usar a semente ou a chave que recebe do dispositivo cliente emissor para desembaralhar ou desencriptar o pacote. A troca de sementes e chaves diretamente entre dispositivos clientes agrega ainda mais ao próprio embaralhamento e encriptação dinâmicos da rede SDNP e criptografia, e isso representa um nível adicional de segurança chamado segurança aninhada.

[00169] Além disso, um dispositivo cliente ou o nó de gateway com o qual se comunica pode misturar pacotes que representam o mesmo tipo de dados — por exemplo, pacotes de voz, arquivos de mensagens de texto, documentos, peças de software ou que representam tipos de informação diferentes, por exemplo, um pacote de voz e um arquivo de texto, um pacote de texto e uma imagem de vídeo ou foto — antes que os pacotes atinjam a rede SDNP e o nó de gateway de saída ou o dispositivo cliente de destino possam dividir o pacote misturado para recuperar os pacotes originais. Isso é adicional a qualquer embaralhamento, encriptação ou divisão que ocorre na rede SDNP. Nesses casos, o dispositivo cliente emissor pode enviar ao dispositivo cliente receptor uma semente instruindo-o como dividir o pacote de modo a recriar os pacotes originais que foram misturados no dispositivo cliente emissor ou no nó de mídia de gateway. A realização de misturas e divisões sucessivas pode incluir uma sequência linear de operações ou, altemativamente, utilizar uma arquitetura aninhada, onde os clientes executam suas próprias medidas de segurança, assim como a nuvem SDNP.

[00170] Para confundir ainda mais os possíveis hackers, um dispositivo cliente pode transmitir pacotes sucessivos (ou subpacotes) em uma única

Petição 870190124250, de 27/11/2019, pág. 72/571

67/381 comunicação para diferentes nós de gateway e/ou pode transmiti-los através de diferentes enlaces de mídia física (celular, Wi-Fi, Ethernet a cabo, etc.) um processo às vezes mencionado no presente como transmissão MultiPHY. Para aumentar a confusão, pode igualmente incluir endereços de origem diferentes nos pacotes sucessivos, impedindo assim que um hacker identifique os pacotes como originários do mesmo dispositivo cliente.

[00171] A invenção também inclui avanços únicos no tratamento de chamadas de conferência telefônica. Em uma teleconferência normal, os pacotes são enviados para todos os participantes na chamada. De acordo com esta invenção, alguns participantes designados podem ser silenciados, ou seja, excluídos da chamada, impedindo que um dispositivo cliente ou outro nó transmita pacotes para os participantes ou participantes que devam ser silenciados. Em uma modalidade alternativa, pacotes de dados são enviados em modo de transmissão para todos os participantes na chamada de grupo, mas usando diferentes métodos de encriptação. No caso das teleconferências normais, os pacotes de dados são enviados para todos os usuários usando uma encriptação na qual todos os participantes têm uma cópia da chave de desencriptação. No modo privado ou modo silenciado, os pacotes de dados transmitidos para os usuários utilizam uma encriptação diferente, na qual apenas usuários selecionados compartilham a chave de desencriptação.

[00172] Os mecanismos de segurança intrínsecos à comunicação que usam a rede e protocolo SDNP também a tomam perfeitamente adequada para o armazenamento seguro de arquivos e dados. Como uma comunicação normal através da rede SDNP normalmente envolve o transporte anônimo de dados fragmentados de dados embaralhados e encriptados de um dispositivo cliente para outro dispositivo cliente, o armazenamento de arquivos e dados pode, na verdade, ser realizado interrompendo-se uma comunicação em trânsito e armazenando-a em um ou mais buffers indefinidamente até que o dispositivo cliente originário deseje recuperá-lo. Esse armazenamento

Petição 870190124250, de 27/11/2019, pág. 73/571

68/381 distribuído de arquivos às vezes é denominado no presente como Armazenamento Desagregado de Dados.

Breve Descrição dos Desenhos [00173] Nos desenhos listados abaixo, componentes que são geralmente semelhantes recebem os mesmos números de referência. No entanto, nota-se que nem todos os componentes a que um determinado número de referência é atribuído são necessariamente idênticos a outro componente com o mesmo número de referência. Por exemplo, uma operação de encriptação com um número de referência particular não é necessariamente idêntica a outra operação de encriptação com o mesmo número de referência. Além disso, grupos de componentes, por exemplo, servidores em uma rede que são identificados coletivamente por um único número de referência não são necessariamente idênticos um ao outro.

[00174] A Fig. 1 é um diagrama esquemático que mostra o transporte convencional de pacotes em uma rede.

[00175] A Fig. 2A é um diagrama esquemático que mostra o processo de embaralhamento de pacotes.

[00176] A Fig. 2B é um diagrama esquemático que mostra o processo de desembaralhamento de pacotes.

[00177] A Fig. 2C é um diagrama esquemático que mostra vários algoritmos de embaralhamento de pacotes.

[00178] A Fig. 2D é um diagrama esquemático que mostra embaralhamento paramétrico estático de pacotes.

[00179] A Fig. 2E é um diagrama esquemático que mostra o embaralhamento dinâmico com um número oculto.

[00180] A Fig. 3 é um diagrama esquemático que mostra o processo de re-embaralhamento de pacotes.

[00181] A Fig. 4A é um diagrama esquemático que mostra o processo de encriptação de pacotes.

Petição 870190124250, de 27/11/2019, pág. 74/571

69/381 [00182] A Fig. 4B é um diagrama esquemático que mostra o processo de desencriptação de pacotes.

[00183] A Fig. 5 é um diagrama esquemático que mostra o processo de embaralhamento encriptado e sua função inversa.

[00184] A Fig. 6 é um diagrama esquemático que mostra o processo de re-empacotamento DUSE que compreende re-embaralhamento e reencriptação.

[00185] A Fig. 7A é um diagrama esquemático que mostra o processo de divisão de pacotes de comprimento fixo.

[00186] A Fig. 7B é um diagrama esquemático que mostra o processo de mistura de pacotes de comprimento fixo.

[00187] A Fig. 8 é um diagrama esquemático que mostra vários métodos de mistura de pacotes.

[00188] A Fig. 9A é uma tabela que resume funções de segurança e antifunções SDNP.

[00189] A Fig. 9B é um diagrama de blocos que ilustra operações de segurança SDNP realizadas em pacotes de dados de entrada e de saída para comunicação de Ultima Milha de rota única.

[00190] A Fig. 9C é um diagrama de blocos que ilustra operações de segurança SDNP realizadas em pacotes de dados de entrada e de saída para comunicação de Ultima Milha de múltiplas rotas.

[00191] A Fig. 9D é um diagrama de blocos que ilustra a criação de conteúdo de arquivo de áudio, vídeo, de texto, preparação de pacote de dados, reconhecimento de pacote de dados e reprodução de conteúdo em um dispositivo cliente SDNP.

[00192] A Fig. 9E é uma representação gráfica de um pacote de dados SDNP usando o modelo OSI de Camada 7 para ilustrar o encapsulamento hierárquico de dados.

[00193] A Fig. 9F é uma representação gráfica e tabular de uma carga

Petição 870190124250, de 27/11/2019, pág. 75/571

70/381 útil SDNP.

[00194] A Fig. 9G é um diagrama de blocos que ilustra o processamento de pacotes de dados de entrada de Ultima Milha em gateway SDNP usando comunicação tricanal.

[00195] A Fig. 9H é um diagrama de blocos que ilustra o processamento de pacotes de dados de entrada de Ultima Milha em gateway SDNP usando comunicação monocanal.

[00196] A Fig. 91 é um diagrama de blocos que ilustra o processamento de pacotes de dados de saída de Ultima Milha em gateway SDNP usando comunicação tricanal.

[00197] A Fig. 10 é uma representação esquemática de nuvem SDNP.

[00198] A Fig. 11 representa esquematicamente exemplos de comunicação de Ultima Milha insegura sem verificação de identidade.

[00199] A Fig. 12 ilustra comunicação de Ultima Milha insegura sobre um sistema de telefone velho simples (POTS) que não possui verificação de identidade dos chamadores.

[00200] A Fig. 13 representa esquematicamente exemplos de comunicação de Ultima Milha insegura com verificação de identidade.

[00201] A Fig. 14 ilustra comunicação de Ultima Milha insegura através de uma rede telefônica de serviço público analógico (PSTN) com verificação de identidade baseada na operadora.

[00202] A Fig. 15 ilustra comunicação de Ultima Milha insegura através de uma rede digital de linha fixa com verificação de identidade baseada em login ou token.

[00203] A Fig. 16 ilustra comunicação de Ultima Milha insegura através de uma rede analógica de linha fixa com verificação de identidade baseada em PIN ou cartão de crédito.

[00204] A Fig. 17 representa esquematicamente exemplos de comunicação de Ultima Milha HyperSecure capaz de aceitar verificação de

Petição 870190124250, de 27/11/2019, pág. 76/571

71/381 identidade.

[00205] A Fig. 18 ilustra comunicação HyperSecure da Ultima Milha com identificação de identidade através de uma rede Wi-Fi sem fio.

[00206] A Fig. 19 ilustra comunicação HyperSecure da Ultima Milha com identificação de identidade através de uma rede celular sem fio.

[00207] A Fig. 20 ilustra comunicação HyperSecure da Ultima Milha com identificação de identidade através de uma rede Ethernet com fio.

[00208] A Fig. 21 ilustra comunicação HyperSecure da Ultima Milha com identificação de identidade através de uma rede fixa a cabo.

[00209] A Fig. 22 ilustra comunicação HyperSecure da Ultima Milha com identificação de identidade sobre redes combinadas fixa a cabo e Wi-Fi sem fio.

[00210] A Fig. 23 representa esquematicamente um exemplo de comunicação de Ultima Milha que compreende uma seção de comunicação HyperSecure com verificação de identidade conectada a um último enlace de LAN segura com emparelhamento de identidade.

[00211] A Fig. 24 ilustra comunicação de Ultima Milha que compreende uma seção de comunicação fixa HyperSecure com verificação de identidade conectada por fio a dispositivos seguros com emparelhamento de identidade e a dispositivos não seguros não identificados.

[00212] A Fig. 25 ilustra comunicação de Ultima Milha que compreende uma seção de comunicação fixa HyperSecure com verificação de identidade conectada por LAN Wi-Fi a dispositivos de computação e comunicação garantidos por WPA com emparelhamento de identidade para residência e trabalho.

[00213] A Fig. 26 ilustra comunicação de Ultima Milha que compreende uma seção de comunicação fixa HyperSecure com verificação de identidade conectada por LAN Wi-Fi a dispositivos loT residenciais garantidos por WPA com emparelhamento de identidade.

Petição 870190124250, de 27/11/2019, pág. 77/571

72/381 [00214] A Fig. 27 ilustra comunicação de Ultima Milha que compreende uma seção de comunicação fixa HyperSecure com verificação de identidade conectada por Ethernet ou por LAN Wi-Fi a dispositivos comerciais garantidos por WPA com emparelhamento de identidade.

[00215] A Fig. 28 representa esquematicamente um exemplo de comunicação de Ultima Milha que compreende seções de comunicação HyperSecure com verificação de identidade conectadas a últimos enlaces de LAN segura sem fio ou segura com fio com emparelhamento de identidade.

[00216] A Fig. 29A representa esquematicamente pontes HyperSecure de telefonia fixa e sem fio que compreendem Ethernet e Wi-Fi aplicáveis em comunicação de Ultima Milha.

[00217] A Fig. 29B representa esquematicamente pontes HyperSecure de telefonia fixa e sem fio que utilizam redes de satélite e automotivas aplicáveis em comunicação de Ultima Milha.

[00218] A Fig. 29C representa esquematicamente pontes HyperSecure de telefonia fixa e sem fio que utilizam redes a cabo e celulares aplicáveis em comunicação de Ultima Milha.

[00219] A Fig. 30 ilustra comunicação de Ultima Milha que compreende comunicação HyperSecure sem fio com verificação de identidade via uplinks e downlinks de satélite para vários dispositivos, incluindo telefones via satélite, aviões, trens, navios e receptores de satélite residenciais (conversores digitais).

[00220] A Fig. 31A é um exemplo de comunicação HyperSecure de último enlace entre dispositivos em uma rede de comunicação a bordo de avião com conectividade via satélite.

[00221] A Fig. 31B é um exemplo de um módulo de antena e comunicação por satélite de avião.

[00222] A Fig. 32 é um exemplo de comunicação HyperSecure de último enlace entre dispositivos em uma rede de comunicação a bordo de

Petição 870190124250, de 27/11/2019, pág. 78/571

73/381 cruzeiro oceânico com múltiplos canais de conectividade via satélite.

[00223] A Fig. 33 é um exemplo de comunicação HyperSecure de Ultimo Enlace entre dispositivos em uma rede de comunicação a bordo de trem com conectividade via satélite e rádio.

[00224] A Fig. 34 ilustra comunicação HyperSecure da Ultima Milha com um módulo de telemática automotiva que inclui conectividade celular de último enlace.

[00225] A Fig. 35 é um exemplo de comunicação de último enlace entre os módulos de telemática em uma rede de comunicação automotiva com conectividade celular e dispositivos conectados Wi-Fi dentro do veículo.

[00226] A Fig. 36 é um exemplo de comunicação HyperSecure interveicular com conectividade celular.

[00227] A Fig. 37 ilustra a comunicação HyperSecure de linha tronco sobre redes de microondas, satélite e fibra.

[00228] A Fig. 38 ilustra uma comparação de segurança, verificação de identidade e recursos de anonimato do chamador para redes de comunicação HyperSecure, seguras e inseguras.

[00229] A Fig. 39 é uma representação esquemática de comunicação HyperSecure de Ultima Milha de rota única com endereços IP estáticos.

[00230] A Fig. 40A é uma representação esquemática de pilha IP de comunicação HyperSecure da Ultima Milha de rota única usando endereços IP estáticos.

[00231] A Fig. 40B é uma representação simplificada de comunicação HyperSecure da Ultima Milha de rota única usando endereços IP estáticos.

[00232] A Fig. 41 é uma representação esquemática de comunicação HyperSecure da Ultima Milha de rota única com endereços IP dinâmicos de cliente.

[00233] A Fig. 42A é uma representação de pilha IP de comunicação HyperSecure da Ultima Milha de rota única que usa endereços IP dinâmicos

Petição 870190124250, de 27/11/2019, pág. 79/571

74/381 de cliente.

[00234] A Fig. 42B é uma representação alternativa de pilha IP de comunicação HyperSecure da Ultima Milha de rota única que emprega endereços IP dinâmicos de cliente.

[00235] A Fig. 43 é uma representação esquemática de comunicação HyperSecure da Ultima Milha de múltiplas rotas com endereços IP estáticos.

[00236] A Fig. 44A é uma representação de pilha IP de comunicação HyperSecure da Ultima Milha de múltiplas rotas com endereços IP estáticos que utiliza um último enlace de PHY único.

[00237] A Fig. 44B é uma representação de pilha IP de comunicação HyperSecure da Ultima Milha de múltiplas rotas com endereços IP estáticos que utiliza últimos enlaces de múltiplos PHY.

[00238] A Fig. 45 é uma representação esquemática de comunicação HyperSecure da Ultima Milha de múltiplas rotas com endereços IP dinâmicos de cliente.

[00239] A Fig. 46A é uma representação de pilha IP de comunicação HyperSecure da Ultima Milha de múltiplas rotas com endereços IP dinâmicos de cliente que utiliza um último Enlace de PHY único.

[00240] A Fig. 46B é uma representação de pilha IP de comunicação HyperSecure da Ultima Milha de múltiplas rotas com endereços IP dinâmicos de cliente que utiliza últimos enlaces de múltiplos PHY.

[00241] A Fig. 47 é uma representação esquemática de uma versão alternativa de comunicação HyperSecure da Ultima Milha de múltiplas rotas com endereços IP dinâmicos de cliente.

[00242] A Fig. 48 é uma representação de pilha IP de uma versão alternativa de comunicação HyperSecure da Ultima Milha de múltiplas rotas com endereços IP dinâmicos de cliente.

[00243] A Fig. 49 é uma representação gráfica de datagramas IPv4 e IPv6 para comunicação Ethernet carregando uma carga útil SDNP.

Petição 870190124250, de 27/11/2019, pág. 80/571

75/381 [00244] A Fig. 50A é uma representação gráfica de pacotes Ethernet de Ultimo Enlace IPv4 e IPv6 usados em comunicação de cliente para nuvem SDNP.

[00245] A Fig. 50B é uma representação gráfica de pacotes Ethernet de Enlace de Gateway IPv4 e IPv6 usados no cliente para comunicação de nuvem SDNP.

[00246] A Fig. 50C é uma representação gráfica de pacotes Ethernet de Enlace de Gateway IPv4 e IPv6 usados para comunicação da nuvem SDNP para o cliente.

[00247] A Fig. 50D é uma representação gráfica de pacotes Ethernet de Ultimo Enlace IPv4 e IPv6 usados em comunicação da nuvem SDNP para o cliente.

[00248] A Fig. 51A ilustra sucessivos pacotes de dados Ethernet (abreviados) usados em comunicação de Ultima Milha de rota única com endereçamento estático do cliente.

[00249] A Fig. 51B ilustra sucessivos pacotes de dados Ethernet (abreviados) usados em comunicação de Ultima Milha de rota única com endereçamento dinâmico do cliente.

[00250] A Fig. 51C ilustra sucessivos pacotes de dados Ethernet (abreviados) usados em comunicação de Ultima Milha de múltiplas rotas com endereçamento estático do cliente.

[00251] A Fig. 51D ilustra sucessivos pacotes de dados Ethernet (abreviados) usados em comunicação de Ultima Milha de múltiplas rotas com endereçamento dinâmico do cliente.

[00252] A Fig. 52A é uma tabela que resume o roteamento de Ultima Milha SDNP sobre Ethernet.

[00253] A Fig. 52B são descrições topológicas de comunicação de Ultima Milha de rota única sobre Ethernet.

[00254] A Fig. 52C são descrições topológicas de comunicação de

Petição 870190124250, de 27/11/2019, pág. 81/571

76/381

Última Milha de múltiplas rotas sobre Ethernet.

[00255] A Fig. 52D são descrições topológicas adicionais de comunicação de Última Milha de múltiplas rotas sobre Ethernet.

[00256] A Fig. 53 é uma representação gráfica de datagramas IPv4 e IPv6 para comunicação Wi-Fi carregando uma carga útil SDNP.

[00257] A Fig. 54A é uma representação gráfica de pacotes Wi-Fi de Último Enlace IPv4 e IPv6 usados em comunicação de cliente para nuvem SDNP.

[00258] A Fig. 54B é uma representação gráfica de pacotes Wi-Fi de Enlace de Gateway IPv4 e IPv6 usados em comunicação de cliente para nuvem SDNP.

[00259] A Fig. 54C é uma representação gráfica de pacotes Wi-Fi de Enlace de Gateway IPv4 e IPv6 usados para comunicação da nuvem SDNP para o cliente.

[00260] A Fig. 54D é uma representação gráfica de pacotes Wi-Fi de Último Enlace IPv4 e IPv6 usados em comunicação da nuvem SDNP para o cliente.

[00261] A Fig. 55 é uma representação gráfica de datagramas IPv4 e IPv6 para comunicação celular 4G carregando uma carga útil SDNP.

[00262] A Fig. 56A é uma representação gráfica de pacotes de dados de celular 4G de Último Enlace IPv4 e IPv6 usados em comunicação do cliente para nuvem SDNP.

[00263] A Fig. 56B é uma representação gráfica de pacotes de celular 4G de Último Enlace IPv4 e IPv6 usados em comunicação da nuvem SDNP para o cliente.

[00264] A Fig. 57A é uma representação gráfica da comunicação Último Enlace multi-PHY de mídia única.

[00265] A Fig. 57B é uma representação gráfica da comunicação Último Enlace multi-PHY de mídia mista.

Petição 870190124250, de 27/11/2019, pág. 82/571

77/381 [00266] A Fig. 57C é uma representação gráfica de implementações alternativas de comunicação de Ultimo Enlace multi-PHY.

[00267] A Fig. 58 é uma representação gráfica de comunicações sucessivas de Ultimo Enlace de cliente para nuvem SDNP usando datagramas IPv6 entregues sobre Ethernet multi-PHY.

[00268] A Fig. 59 é uma representação gráfica de comunicações sucessivas de Ultimo Enlace de cliente para nuvem SDNP usando datagramas IPv6 entregues sobre Wi-Fi multi-PHY.

[00269] A Fig. 60 é uma representação gráfica de comunicações sucessivas de Ultimo Enlace de cliente para nuvem SDNP usando datagramas IPv6 entregues sobre redes celulares 4G multi-PHY.

[00270] A Fig. 61 é uma representação gráfica de comunicações sucessivas de Ultimo Enlace de cliente para nuvem SDNP usando datagramas IPv6 que usam entrega multi-PHY sobre Ethernet e Wi-Fi.

[00271] A Fig. 62 é uma representação gráfica de comunicações sucessivas de Ultimo Enlace de cliente para nuvem SDNP usando datagramas IPv6 usando entrega Multi PHY sobre redes celulares 4G e Wi-Fi.

[00272] A Fig. 63 é uma representação esquemática de uma construção de pilha de camada OSI de uma rede de comunicação de modem a cabo DOCSIS que ilustra a funcionalidade das Camadas de 1 a 7.

[00273] A Fig. 64 é uma representação gráfica de pacotes de comunicação baseados em DOCSIS3 para sistemas carregando uma carga útil SDNP.

[00274] A Fig. 65A é uma representação gráfica da alocação de espectro e métodos de modulação de portadora para vários protocolos DOCSIS3.

[00275] A Fig. 65B é uma representação gráfica de uma sequência de comunicação DOCSIS3.1 entre CTMS e CM.

[00276] A Fig. 65C é uma representação gráfica da comunicação

Petição 870190124250, de 27/11/2019, pág. 83/571

78/381

D0CSIS3.1 upstream.

[00277] A Fig. 65D é uma representação gráfica da comunicação DOCSIS3.1 downstream.

[00278] A Fig. 66 é uma representação esquemática de uma rede SDNP de rota tripla para comunicação de Ultima Milha.

[00279] A Fig. 67 é uma representação esquemática de uma operação de “solicitação de chamada” em comunicação de Ultima Milha SDNP tricanal.

[00280] A Fig. 68 é uma representação esquemática de uma operação de “solicitação de endereço” em comunicação de Ultima Milha SDNP tricanal.

[00281] A Fig. 69 é uma representação esquemática de uma operação de “entrega de endereço” em comunicação de Ultima Milha SDNP tricanal.

[00282] A Fig. 70 é um fluxograma que ilustra a síntese do pacote de comando e controle SDNP.

[00283] A Fig. 71 é uma representação esquemática de uma operação de “instruções de roteamento” em comunicação de Ultima Milha SDNP tricanal de rota única.

[00284] A Fig. 72 é uma representação esquemática de uma operação de “chamada SDNP” em comunicação de Ultima Milha SDNP tricanal de rota única de um cliente SDNP para a nuvem SDNP.

[00285] A Fig. 73A é uma representação esquemática de comunicação de Ultima Milha de rota tripla e nuvem SDNP para um cliente SDNP em uma chamada SDNP.

[00286] A Fig. 73B é uma representação esquemática de comunicação de Ultima Milha de rota tripla e nuvem SDNP como uma “chamada fora” para um cliente não SDNP.

[00287] A Fig. 74 é uma representação esquemática de uma operação de “instruções de roteamento” em comunicação de Ultima Milha SDNP

Petição 870190124250, de 27/11/2019, pág. 84/571

79/381 tricanal de múltiplas rotas.

[00288] A Fig. 75A é uma representação esquemática de uma operação de “chamada SDNP” em comunicação de Ultima Milha SDNP tricanal de múltiplas rotas no sentido de um cliente SDNP para a nuvem SDNP.

[00289] A Fig. 75B é uma representação esquemática de uma operação de “chamada SDNP” em comunicação de Ultima Milha SDNP tricanal de múltiplas rotas no sentido da nuvem SDNP para o cliente SDNP.

[00290] A Fig. 76 é uma representação esquemática de uma operação de “instruções de roteamento” de chamada de grupo em comunicação de Ultima Milha SDNP tricanal de rota única.

[00291] A Fig. 77A é uma representação esquemática de uma “chamada de grupo SDNP” usando transporte em nuvem de múltiplas rotas SDNP e comunicação de Ultima Milha SDNP no sentido de um cliente de zona UI para clientes em outras zonas.

[00292] A Fig. 77B é uma representação esquemática de uma “chamada de grupo SDNP” usando transporte em nuvem de múltiplas rotas SDNP e comunicação de Ultima Milha SDNP no sentido de um cliente de zona U7 para clientes em outras zonas.

[00293] A Fig. 77C é uma representação esquemática de uma “chamada de grupo SDNP” usando transporte em nuvem de múltiplas rotas SDNP e comunicação de Ultima Milha SDNP no sentido de um cliente de zona U9 para outros clientes na mesma zona e em outras zonas.

[00294] A Fig. 78 é uma representação esquemática de uma “chamada de grupo SDNP” usando transporte em nuvem de múltiplas rotas SDNP e comunicação de Ultima Milha tanto para clientes SDNP como para dispositivos PSTN inseguros.

[00295] A Fig. 79A é uma representação tabular de operação de chamada regular e de chamada privada em chamadas de grupo SDNP.

[00296] A Fig. 79B é uma representação tabular de operação de

Petição 870190124250, de 27/11/2019, pág. 85/571

80/381 chamada regular e de chamada hiper privada em chamadas de grupo SDNP.

[00297] A Fig. 80A é uma representação tabular de operação push-totalk de chamada regular e privada em chamadas de grupo PTT SDNP.

[00298] A Fig. 80B é uma representação tabular de operação push-totalk de chamada regular e hiper privada em chamadas de grupo PTT SDNP.

[00299] A Fig. 81 é uma representação esquemática do transporte de dados para uma operação de escrita em armazenamento de arquivos HyperSecure de dados fragmentados.

[00300] A Fig. 82A é uma representação esquemática do fluxo de dados para uma operação de escrita em armazenamento de arquivos HyperSecure de dados fragmentados.

[00301] A Fig. 82B é uma representação esquemática do fluxo de dados para uma operação de leitura em armazenamento de arquivos HyperSecure de dados fragmentados.

[00302] A Fig. 83 é uma representação esquemática do transporte de dados para uma operação de leitura em armazenamento de arquivos HyperSecure de dados fragmentados.

[00303] A Fig. 84A ilustra vários exemplos de soluções de armazenamento de arquivos conectados em nuvem SDNP.

[00304] A Fig. 84B é uma representação esquemática de uma rede de armazenamento de arquivos HyperSecure distribuída composta por servidores de armazenamento conectados locais e em nuvem.

[00305] A Fig. 85A é um mapeamento de arquivos para armazenamento de arquivos HyperSecure não redundante (RRF = 0).

[00306] A Fig. 85B é um mapeamento de arquivos para armazenamento de arquivos HyperSecure não redundante (RRF = 1).

[00307] A Fig. 85C é um mapeamento de arquivos para armazenamento de arquivos HyperSecure não redundante (RRF = 2).

[00308] A Fig. 86 é um mapa de rede para um sistema de

Petição 870190124250, de 27/11/2019, pág. 86/571

81/381 armazenamento de arquivos HyperSecure distribuído usando comunicação de rede tricanal.

[00309] A Fig. 87A ilustra a operação de solicitação de escrita de arquivo em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00310] A Fig. 87B ilustra a operação de solicitação do nome do servidor de arquivos em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00311] A Fig. 87C ilustra a operação de planejamento do servidor de sinalização em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00312] A Fig. 87D ilustra a Ultima Milha do servidor de sinalização do lado do cliente e a instrução de roteamento de escrita na nuvem SDNP em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00313] A Fig. 87E ilustra a Ultima Milha do servidor de sinalização do lado de armazenamento e a instrução de roteamento de escrita na nuvem SDNP em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00314] A Fig. 88 ilustra a transferência de arquivos em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00315] A Fig. 89A ilustra a resposta do enlace confirmando o armazenamento do arquivo e operação de escrita em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00316] A Fig. 89B ilustra transferências do enlace de servidor de armazenamento de arquivos em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00317] A Fig. 89C ilustra o pacote de dados de confirmação de escrita do servidor de armazenamento de arquivos contendo o enlace FS.

[00318] A Fig. 89D ilustra a síntese de um enlace de leitura de

Petição 870190124250, de 27/11/2019, pág. 87/571

82/381 armazenamento de arquivos no mensageiro SDNP de um cliente [00319] A Fig. 90A é um mapeamento de arquivos de armazenamento de arquivos HyperSecure não redundante (RRF = 0) com enlaces FS não redundantes (LRF = 0).

[00320] A Fig. 90B é um mapeamento de arquivos de armazenamento de arquivos HyperSecure não redundante (RRF = 0) com enlaces FS redundantes (LRF = 1).

[00321] A Fig. 90C é um mapeamento de arquivos de armazenamento de arquivos HyperSecure não redundante (RRF = 1) com enlaces FS redundantes (LRF = 1).

[00322] A Fig. 91 é um gráfico que representa a resiliência de armazenamento em função do número de servidores de armazenamento de arquivos e enlaces FS do cliente.

[00323] A Fig. 92 é uma representação esquemática das funções de codificação SDNP e Decodificação SDNP.

[00324] A Fig. 93 A é uma representação esquemática do armazenamento distribuído de arquivos SDNP com segurança de arquivos do lado do cliente e transporte de arquivos HyperSecure.

[00325] A Fig. 93B é uma representação esquemática do armazenamento distribuído de arquivos SDNP com segurança de arquivos aninhada e transporte de arquivos HyperSecure.

[00326] A Fig. 94 é uma representação esquemática simplificada de codificação HyperSecure em operações de escrita de armazenamento distribuído de arquivos SDNP.

[00327] A Fig. 95 é uma representação esquemática simplificada de decodificação HyperSecure em operações de leitura de armazenamento distribuído de arquivos SDNP.

[00328] A Fig. 96A é um fluxograma que descreve as operações de AAA em uma operação de leitura de arquivo HyperSecure.

Petição 870190124250, de 27/11/2019, pág. 88/571

83/381 [00329] A Fig. 96B é um fluxograma que descreve o acesso ao arquivo e transporte SDNP em uma operação de leitura de arquivo HyperSecure.

[00330] A Fig. 97A ilustra a operação de solicitação de leitura de arquivo em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00331] A Fig. 97B ilustra a operação de solicitação do nome do servidor de armazenamento de arquivos em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00332] A Fig. 97C ilustra a operação de solicitação de entrega do nome do servidor de armazenamento de arquivos e planejamento do servidor de sinalização em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00333] A Fig. 97D ilustra a Ultima Milha do lado de armazenamento do servidor de sinalização e a instrução de escrita de roteamento na nuvem SDNP em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00334] A Fig. 97E ilustra a Ultima Milha do servidor de sinalização do lado do cliente e a instrução de roteamento de leitura na nuvem SDNP em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00335] A Fig. 98 ilustra a decodificação de arquivos do lado de armazenamento durante uma operação de leitura em um sistema de armazenamento de arquivos HyperSecure distribuído.

[00336] A Fig. 99 ilustra transferências de dados de arquivos em um sistema de armazenamento de arquivos HyperSecure distribuído durante uma operação de leitura.

[00337] A Fig. 100 ilustra transferências de dados de arquivos em um sistema de armazenamento de arquivos HyperSecure distribuído durante uma atualização de enlace.

[00338] A Fig. 101 ilustra transferências de dados de arquivos em um

Petição 870190124250, de 27/11/2019, pág. 89/571

84/381 sistema de armazenamento de arquivos HyperSecure distribuído usado para redistribuir arquivos.

[00339] A Fig. 102 ilustra carimbos de tempo em mensagens de texto SDNP.

[00340] A Fig. 103 é um fluxograma de comunicação registrada pela SDNP.

[00341] A Fig. 104A ilustra encriptação de ponta a ponta na comunicação OTT internet.

[00342] A Fig. 104B ilustra encriptação de ponta a ponta na comunicação HyperSecure.

[00343] A Fig. 105A é uma representação esquemática de uma operação de chamada SDNP com um agente de segurança SDNP realizando monitoramento invisível de uma chamada de saída.

[00344] A Fig. 105B é uma representação esquemática de uma operação de chamada SDNP com um agente de segurança SDNP realizando monitoramento invisível de uma chamada de entrada.

[00345] A Fig. 106 ilustra transferências de enlace de servidor de armazenamento de arquivos em um sistema de armazenamento distribuído de arquivos HyperSecure com um agente de segurança SDNP realizando monitoramento invisível de roteamento de enlace FS.

[00346] A Fig. 107 é uma representação esquemática de uma operação de chamada SDNP com um agente de segurança SDNP realizando monitoramento invisível de uma chamada de saída que utiliza comunicação de Ultima Milha de múltiplas rotas.

[00347] A Fig. 108 é um fluxograma das etapas para designar e autorizar um agente de segurança SDNP.

[00348] A Fig. 109 ilustra comunicação de telefone celular para torre sujeita a vulnerabilidades SS7.

[00349] A Fig. 110 ilustra comunicação SDNP que usa camuflagem do

Petição 870190124250, de 27/11/2019, pág. 90/571

85/381 número de telefone para repelir os ataques SS7.

[00350] A Fig. 111 ilustra conectividade de nuvens baseadas em

SoftSwitch SDNP hospedadas em servidores separados.

[00351] A Fig. 112 ilustra conectividade de nuvens baseadas em SoftSwitch SDNP hospedadas em servidores compartilhados.

[00352] A Fig. 113 ilustra conectividade de nuvens baseadas em SoftSwitch SDNP hospedadas em redes sobrepostas.

[00353] A Fig. 114 ilustra conectividade de nuvens baseadas em

SoftSwitch SDNP que acessam companhia telefônica SDNP global.

[00354] A Fig. 115 é um exemplo de uma sub-rede SDNP aninhada.

Descrição da Invenção [00355] Após quase um século e meio de telefonia com comutação de circuitos, os sistemas e redes de comunicação de hoje, em apenas uma década, migraram todos para a comunicação com comutação de pacotes usando o protocolo de Internet transportado por dados Ethernet, Wi-Fi, 4G/LTE e DOCSIS3 sobre cabo e fibra óptica. Os benefícios de misturar voz, texto, imagens, vídeo e dados são muitos, incluindo o uso de trajetos redundantes para garantir a entrega confiável de pacotes IP, ou seja, a razão pela qual a Internet foi criada em primeiro lugar, além de um nível incomparável de interoperabilidade do sistema e conectividade em todo o mundo. Com qualquer inovação, no entanto, a magnitude dos desafios que a nova tecnologia cria geralmente corresponde aos benefícios derivados.

Desvantagens dos Provedores de Comunicação Existentes [00356] Conforme detalhado ao longo da seção de fundamentos desta descrição, a comunicação atual possui muitas desvantagens. Os sistemas de comunicação de alto desempenho hoje, que compreendem hardware digital personalizado pertencente às principais operadoras de longa distância do mundo, como AT&T, Verizon, NTT, Vodaphone, etc., geralmente oferecem qualidade de voz superior, mas com alto custo, incluindo taxas de assinatura

Petição 870190124250, de 27/11/2019, pág. 91/571

86/381 mensais caras, tarifas de conexão, tarifas de longa distância, planos complexos de taxa de dados, taxas de roaming de longa distância e inúmeras tarifas de serviço. Como essas redes são privadas, a segurança real dos dados não é conhecida publicamente, e infrações de segurança, hacks e invasões geralmente não são relatadas ao público. Dado o número de grampos telefônicos e invasões de privacidade relatadas na imprensa hoje, a segurança da comunicação da portadora privada continua suspeita, senão na sua nuvem privada, pelo menos em suas conexões de última milha.

[00357] “Provedores de serviços de Internet” ou ISPs formam outro elo na cadeia global de comunicações. Conforme descrito nos fundamentos desta invenção, a voz transmitida pela Internet usando VoIP, ou “protocolo de voz sobre a Internet” sofre de numerosos problemas de qualidade de serviço ou QoS, incluindo [00358] A Internet, uma rede com comutação de pacotes, não foi projetada para entregar pacotes IP em tempo hábil ou para suportar aplicativos em tempo real com baixa latência e alta QoS [00359] O roteamento de um pacote IP toma um trajeto imprevisível, resultando em atrasos em constante mudança, rajadas de altas taxas de erro de dados e chamadas descartadas inesperadas [00360] O roteamento de pacotes IP é feito a critério do provedor de serviços de Internet, que controla a rede dentro do qual o pacote é roteado e pode ajustar o roteamento para equilibrar o carregamento de sua própria rede ou para servir melhor seus clientes VIP às custas de qualidade de conexão degradante de tráfego geral que atravessa sua rede.

[00361] Os provedores superiores ou OTT, como Line, KakaoTalk, Viber, etc., que pegam uma carona na internet, agem como caroneiros na Internet e não têm controle sobre a rede ou fatores que afetam a QoS.

[00362] Usar CODECs de áudio pesados que não proporcionam áudio de qualidade de voz compreensível, mesmo com taxas de dados moderadas

Petição 870190124250, de 27/11/2019, pág. 92/571

87/381 [00363] VoIP baseado no protocolo de transporte TCP sofre de alta latência e áudio degradado causado por atrasos induzidos durante o handshaking e redifusão de pacotes IP. O transporte UDP não auxiliado não garante a integridade da carga útil.

[00364] Além das questões de QoS, a segurança dos dispositivos e das redes de hoje é abismai, representando um nível totalmente inaceitável para suportar as necessidades futuras da comunicação global. Como detalhado na seção de fundo do pedido de Patente dos EUA intitulado Rede e Protocolo de Comunicação Dinâmica Segura, a segurança da rede é propensa a uma grande variedade de ataques cibernéticos em dispositivos de comunicação, incluindo spy ware, cavalos de Troia, infecções e phishing; no último enlace, incluindo spyware, detecção de pacotes IP, grampeamentos e interceptação de chamadas de torres de celulares “falsas” de piratas cibernéticas; e na porção de rede ou companhia telefônica local da conectividade de última milha, envolvendo spyware, detecção de pacotes IP, infecções como vírus e ataques “man-in-the-middle” de piratas cibernéticos. A própria nuvem está sujeita a acesso não autorizado ao quebrar a segurança em qualquer gateway da nuvem, por infecções como vírus, de piratas cibernéticos que lançam ataques man-in-the-middle, ataques de negação de serviço e vigilância governamental não autorizada. Em resumo, a segurança da comunicação de hoje está comprometida por inúmeras vulnerabilidades facilmente exploradas por piratas cibernéticos e úteis para cometer crime cibernético e violações da privacidade cibernética, incluindo:

[00365] Revelar o destino de um pacote IP, incluindo o endereço IP de destino, o n° de porta de destino e o endereço MAC de destino.

[00366] Revelar a origem de um pacote IP, incluindo o endereço IP de origem, o n° de porta de origem e o endereço MAC de origem.

[00367] Revelar o tipo de transporte da Camada 4 empregado e pelo n° de porta o tipo de serviço solicitado e os dados do aplicativo encapsulados na

Petição 870190124250, de 27/11/2019, pág. 93/571

88/381 carga útil do pacote IP.

[00368] Em arquivos não criptografados, todos os dados de aplicativos e arquivos encapsulados na carga útil do pacote IP, incluindo informações pessoais e confidenciais, informações de login, senhas de aplicativos, registros financeiros, vídeos e fotografias.

[00369] Um diálogo de comunicações, dando a uma parte cibernética a oportunidade repetida de quebrar arquivos criptografados [00370] Inúmeras oportunidades para instalar malwares, incluindo programas de spyware e phishing e cavalos de Troia em dispositivos e roteadores de comunicação usando FTP, e-mail e infecções baseadas em páginas da Web [00371] Reiterando um ponto-chave, a fraqueza fundamentalmente intrínseca das redes de comunicação com comutação de pacotes usando o Protocolo de Internet é que qualquer parte hostil ou pirata cibernético que intercepte um pacote IP pode ver quais dispositivos estavam envolvidos na criação dos dados contidos no pacote IP, de onde veio o pacote IP, aonde o pacote IP está sendo enviado, como os dados estão sendo transportados, ou seja, UDP ou TCP, e que tipo de serviço está sendo solicitado, ou seja, que tipo de dados do aplicativo estão contidos na carga útil. A esse respeito, um pirata cibernético pode determinar o “contexto” de uma conversa, melhorando a oportunidade de quebrar encriptação, quebrar a segurança da senha e obter acesso não autorizado a arquivos, dados e conteúdo de carga útil.

[00372] Encriptação - Para se defender contra a diversidade de ataques cibernéticos conforme descrito, os gerentes de rede atuais, os profissionais de TI e os programas de aplicativos dependem principalmente de uma única proteção - encriptação. A encriptação é um meio pelo qual converter conteúdo reconhecível também conhecido como “texto simples”, seja texto legível, programas executáveis, vídeos e imagens visíveis, ou áudio inteligível, em um tipo de arquivo alternativo conhecido como “texto

Petição 870190124250, de 27/11/2019, pág. 94/571

89/381 cifrado”, que aparece como uma cadeia de caracteres textuais sem sentido.

[00373] O processo de encriptação, convertendo um arquivo desprotegido em um arquivo encriptado, envolve o uso de um algoritmo lógico ou matemático, chamado de cifra, para mudar os dados em elementos textuais equivalentes sem revelar nenhum padrão aparente do processo de conversão da encriptação. O arquivo encriptado é então enviado através da rede ou do meio de comunicação até que seja recebido pelo dispositivo de destino. Ao receber o arquivo, o dispositivo receptor, usando um processo conhecido como “desencriptação”, subsequentemente decodifica a mensagem codificada para revelar o conteúdo original. O estudo de encriptação e desencriptação, conhecido como “criptografia”, combina elementos de matemática, incluindo teoria de números, teoria de conjuntos e projeto de algoritmos, com informática e engenharia elétrica.

[00374] Em tecnologias de encriptação simples de “chave única” ou “chave simétrica”, uma única palavra-chave ou frase conhecida a priori por ambas as partes pode ser usada para desbloquear o processo para encriptar e desencriptar um arquivo. Na Segunda Guerra Mundial, por exemplo, submarinos e navios oceânicos comunicados em canais de rádio abertos usavam mensagens encriptadas. Inicialmente, as encriptações eram baseadas em uma única chave. Ao analisar o padrão de código, criptólogos aliados às vezes eram capazes de revelar a palavra-chave ou padrão da encriptação e, posteriormente, conseguiam ler arquivos criptografados sem descoberta. A medida que os métodos de encriptação se tomaram mais complexos, quebrar o código manualmente tomou-se mais difícil.

[00375] O código evoluiu para cifras mecânicas baseadas em máquinas, uma forma inicial de computação. Na época, a única maneira de quebrar o código era roubar uma máquina de cifra e usar as mesmas ferramentas para decifrar uma mensagem como as que encriptavam os arquivos. O desafio era como roubar uma máquina de cifra sem que o roubo

Petição 870190124250, de 27/11/2019, pág. 95/571

90/381 fosse detectado. Se soubesse que uma máquina de código tinha sido comprometida, o inimigo simplesmente mudaria seu código e atualizaria suas máquinas de cifra já em operação. Esse princípio é praticado ainda hoje - o ataque cibernético mais eficaz é aquele que não é detectado.

[00376] Com o advento da computação e da Guerra Fria, a encriptação tomou-se mais complexa, mas a velocidade dos computadores usados para quebrar códigos de encriptação também melhorou. Em cada etapa no desenvolvimento de comunicações seguras, a tecnologia e o know-how para encriptar informações e a capacidade de quebrar o código de encriptação evoluíram quase ao mesmo tempo. O principal passo evolutivo seguinte na encriptação ocorreu na década de 1970 com a inovação da encriptação de chave dupla, um princípio ainda em uso hoje. Um dos métodos de encriptação de chave dupla mais conhecidos é o criptossistema de chave pública RSA, que leva o nome de seus desenvolvedores Rivest, Shamir e Adleman. Apesar do reconhecimento publicado para o RSA, desenvolvedores contemporâneos conceberam de forma independente o mesmo princípio. O RSA emprega duas chaves criptográficas com base em dois grandes números primos mantidos em segredo do público. Um algoritmo é usado para converter esses dois números primos em uma chave de encriptação, aqui chamada de chave E, e um algoritmo matemático diferente é usado para converter os mesmos dois números primos secretos em uma chave secreta de desencriptação, aqui chamada também de chave D. O usuário de RSA que selecionou os números primos secretos, aqui chamado de “editor de chave”, distribui ou “publica” essa chave E gerada de forma algorítmica, compreendendo tipicamente entre 1024b e 4096b de tamanho, a qualquer pessoa que deseje encriptar um arquivo. Como essa chave possivelmente é distribuída para muitas partes em uma forma não encriptada, a chave E é conhecida como uma “chave pública”. [00377] As partes que desejam se comunicar com o editor de chave usam essa chave E pública em conjunto com um algoritmo disponível

Petição 870190124250, de 27/11/2019, pág. 96/571

91/381 publicamente, geralmente oferecido sob a forma de software comercial, para encriptar qualquer arquivo a ser enviado para o editor de chave específico. Ao receber um arquivo criptografado, o editor de chave usa sua chave D secreta para desencriptar o arquivo, retornando-o ao texto simples. A característica única do método de chave dupla em geral e o algoritmo RSA em particular é que a chave E pública usada para encriptar um arquivo não pode ser usada para desencriptação. Somente a chave D secreta possuída pelo editor de chave tem a capacidade de desencriptar arquivos.

[00378] O conceito de troca de chave dupla, chave dividida ou múltiplas chaves na encriptação e desencriptação de arquivos não está limitado especificamente a RSA ou a qualquer método algorítmico, mas especifica metodologicamente um método de comunicação como uma sequência de etapas. Por exemplo, em uma troca de chave dupla através de uma rede de comunicação de comutação de pacotes, um dispositivo, por exemplo, um notebook que deseje receber um arquivo seguro de um telefone celular, primeiro gera duas chaves, uma chave E para encriptação e uma chave D para desencriptação usando algum algoritmo. O notebook, em seguida, envia a chave E para o telefone celular usando uma comunicação de rede pública carregando um pacote IP. O pacote IP em forma não criptografada contém o endereço MAC, o endereço IP de origem NB e o endereço da porta do notebook, juntamente com o endereço IP de destino CP e a porta correspondente do telefone celular, bem como o protocolo de transporte TCP e uma cópia encriptada de uma chave E como sua carga útil.

[00379] Usando um algoritmo de encriptação acordado ou um pacote de software, o telefone celular então processa um arquivo de texto simples usando um algoritmo de encriptação e a Chave E de encriptação para produzir um arquivo encriptado, ou seja, texto cifrado, transportado como uma carga útil de pacote IP em uma comunicação segura do telefone celular para o notebook. Ao receber o pacote IP, o algoritmo desencripta o arquivo usando a

Petição 870190124250, de 27/11/2019, pág. 97/571

92/381 chave secreta de desencriptação, isto é, a chave D Uma vez que a chave D é feita de acordo com a chave E correspondente, o algoritmo, em essência, emprega o conhecimento de ambas as chaves para desencriptar o texto cifrado de volta ao texto simples não encriptado. Enquanto a carga útil do pacote IP é protegida na forma de um arquivo encriptado, ou seja, o texto cifrado, o resto do pacote IP ainda não está encriptado, detectável e legível por qualquer pirata cibernético, incluindo o endereço IP de origem “CP” e a porta e o endereço IP de destino “NB” e a porta associada. Portanto, mesmo se a própria carga não puder ser aberta, a comunicação pode ser monitorada.

[00380] Redes Privadas Virtuais - Outro método de segurança que depende também da encriptação é o de uma “rede privada virtual” (VPN). Em uma VPN, um túnel ou um tubo seguro é formado em uma rede usando pacotes IP encriptados. Em vez de apenas encriptar a carga útil, em uma VPN o pacote IP inteiro é encriptado e, em seguida, encapsulado em outro pacote IP não encriptado atuando como uma mula ou uma portadora transmitindo o pacote encapsulado de um gateway de VPN para outro. Originalmente, as VPNs foram usadas para conectar diferentes redes de área local em uma longa distância, por exemplo, quando as empresas que operavam redes privadas em Nova York, Los Angeles e Tóquio desejavam interconectar suas várias LANs com a mesma funcionalidade como se compartilhassem uma rede privada global.

[00381] O conceito básico de VPN pode ser vislumbrado como comunicação encriptada entre dois dispositivos, por exemplo, quando um primeiro servidor, como parte de uma LAN que compreende inúmeros dispositivos sem fio através de RF e conexões com fio é conectado por uma “rede privada virtual” (VPN) que compreende conteúdo encriptado que atravessa o túnel da VPN para um segundo servidor que possui conexões com fio para desktops, notebooks e para outra estação-base Wi-Fi. Além desses enlaces de largura de banda relativamente baixa, o primeiro servidor também

Petição 870190124250, de 27/11/2019, pág. 98/571

93/381 se conecta a um supercomputador através de uma conexão de alta largura de banda. As comunicações de dados resultantes compreendem uma sequência de pacotes de dados que compreendem um pacote VPN interno embutido em um pacote IP externo. Em operação, um pacote IP externo do servidor A, que especifica uma fonte de endereço IP e o n° da porta de origem é enviado para o servidor B no endereço IP de destino e n° de porta de destino. Esse pacote IP externo estabeleceu comunicações entre o primeiro e segundo servidores para formar um túnel encriptado entre eles para que os dados passem dentro. A carga útil da VPN transportada pelo pacote externo contém um pacote IP de última milha, que fornece comunicação direta entre um dispositivo de término, por exemplo, um desktop com endereço IP de origem DT e seu n° de porta ad hoc correspondente, e outro dispositivo de término, por exemplo, um notebook com endereço IP de origem NB e seu n° de porta ad hoc correspondente. Embora qualquer sessão de comunicação possa ser iniciada, em um exemplo, uma solicitação de transferência de arquivo é realizada através do túnel VPN.

[00382] Para estabelecer esta transferência de forma segura usando uma rede privada virtual, o túnel de VPN é criado e a sessão iniciada antes de a comunicação real ser enviada. Em aplicativos corporativos, o túnel de VPN pode não ser transportado pela Internet, mas, em vez disso, geralmente é carregado por um ISP dedicado ou operadora que possua sua própria rede de fibra e hardware. Esta operadora geralmente faz um acordo contratual anual ou de longo prazo com a empresa que exige serviços de VPN para garantir uma quantidade específica de largura de banda por um determinado custo. Idealmente, a comunicação servidor-a-servidor ocorre sobre um enlace dedicado de alta velocidade e se conecta diretamente sem nenhum intermediário ou conexões de “última milha” para perturbar o desempenho da VPN, QoS ou segurança.

[00383] Em operação, as VPNs tradicionais requerem um processo em

Petição 870190124250, de 27/11/2019, pág. 99/571

94/381 duas etapas - um para criar ou fazer “login” à VPN e uma segunda etapa para transferir dados dentro do tubo ou túnel seguro. O conceito de tunelamento pode ser imaginado hierarquicamente como pacotes IP externos transportados por pilhas de comunicação de Camada 7 (usadas para carregar a conexão VPN) compreendendo de Camada à Camada 4, onde a Camada 5 é usada para criar uma sessão VP virtual 723 e na qual a Camada 6, a camada de apresentação, é usada para facilitar a encriptação necessária para formar um tubo de gateway-a-gateway VPN entre servidores. Enquanto a conexão VPN usa o Protocolo de Internet para enviar os pacotes IP, a Camada PHY 1 e a Camada 2 de enlace de dados da VPN geralmente têm o suporte de uma operadora dedicada para minimizar o roteamento imprevisível pela Internet. Os dados da camada de aplicativo 7 transferidos como comunicação de dispositivo para dispositivo entre desktops comunicantes, por exemplo, são fornecidos como dados tunelados, incluindo todas as sete camadas OSI necessárias para estabelecer a comunicação como se a VPN não estivesse presente. Desta forma, a VPN pode ser imaginada como um protocolo de comunicação operando dentro da Camada 7 usada para transportar pacotes internos VPN.

[00384] Em operação, o pacote IP externo uma vez passado de uma pilha de comunicação para outra é aberto para revelar dados encapsulados, a verdadeira mensagem do pacote. Dessa forma, a comunicação de ponta a ponta ocorre ignorando os detalhes usados para criar o túnel de VPN, exceto que o túnel de VPN deve ser formado antes de qualquer tentativa de comunicação e fechado após a conclusão da conversação. A falha em abrir o túnel de VPN primeiro resultará na transmissão não encriptada do pacote IP suscetível à detecção de pacotes IP, ao sequestro, à infecção e outros mais. A falha em fechar a VPN depois de uma conversa estar completa pode fornecer a um criminoso cibernético a oportunidade de ocultar sua atividade ilegal dentro do túnel de VPN de outra pessoa, e se interceptada, pode resultar em

Petição 870190124250, de 27/11/2019, pág. 100/571

95/381 possíveis acusações criminais contra uma pessoa inocente.

[00385] Embora as VPNs sejam formas comuns para que múltiplas redes privadas de área local se interconectem entre si usando conexões privadas com capacidade dedicada e largura de banda, o uso de VPNs em redes públicas e na Internet é problemático para comunicações de duas partes. Um problema com as VPNs é que a conexão VPN deve ser estabelecida com antecedência, antes que possa ser usada, não em uma base pacote por pacote. Por exemplo, em uma chamada VoIP conectada através de uma rede com comutação de pacotes, antes que um telefone celular possa entrar em contato com o destinatário da chamada pretendido em um segundo celular, ele deve primeiro estabelecer uma sessão VPN. Para isso, o telefone celular do chamador deve primeiro ser carregado com o aplicativo de conexão VPN. O chamador, em seguida, deve enviar pacotes IP para o hospedeiro da VPN, normalmente um provedor de serviços. Esses pacotes são transportados através de qualquer roteamento disponível de última milha, por exemplo, comunicação de rádio do telefone celular para uma estação-base Wi-Fi nas proximidades, seguido de comunicação de telefonia fixa para um roteador local, então por comunicação de telefonia fixa para o hospedeiro da VPN. Uma vez estabelecida a sessão entre o telefone celular do chamador e o hospedeiro da VPN, o telefone celular do chamador deve instruir o hospedeiro da VPN para criar um túnel VPN do telefone celular do chamador para o hospedeiro da VPN. Essa seção do túnel VPN é facilitada como uma sessão de Camada 5 com o túnel encriptado pela Camada 6.

[00386] Uma vez configurada a conexão VPN, o telefone celular do chamador pode, então, fazer uma chamada através de qualquer aplicativo de telefone VoIP para qualquer outro telefone. Se o telefone que estiver sendo chamado não estiver conectado à mesma VPN, o aplicativo deve estabelecer um enlace de chamada fora através da Ultima Milha do hospedeiro da VPN mais próximo do telefone celular de destino, ou seja, a pessoa que estiver

Petição 870190124250, de 27/11/2019, pág. 101/571

96/381 sendo chamada. Se o aplicativo VoIP não conseguir ou não for autorizado para tal, a chamada falhará e terminará imediatamente. Caso contrário, o pacote IP interno estabelecerá uma sessão da Camada 5 de aplicativo entre os s telefones celulares de chamada e de destino, confirmando que os pacotes de teste IP estão devidamente desencriptados e inteligíveis.

[00387] Para fazer uma chamada, a chamada necessariamente vem de um aplicativo de Camada 7 executado no telefone do chamador, ou seja, um aplicativo de telefone celular que usa o plano de dados da operadora, e não das funções de discagem normais do telefone, porque o cartão SIM da operadora telefônica no telefone não é compatível com o túnel de VPN. Uma vez que a chamada for iniciada, o telefone celular do chamador transmite uma sucessão de pacotes IP que representam pequenos pedaços ou “trechos” de som de acordo com seu aplicativo de comunicação. Esses pacotes são enviados a partir do aplicativo no telefone celular do chamador através da rede, p. ex., através de um enlace Wi-Fi para uma estação-base Wi-Fi próxima e então através de uma conexão com fio para um roteador e, finalmente, através da conexão com fio para o hospedeiro da VPN. Os dados são então enviados com segurança para o hospedeiro da VPN através de um túnel VPN para o dispositivo terminal da rede VPN, o gateway VPN de destino. Nesse exemplo, o túnel VPN não se estende por todo o trajeto até o telefone celular de destino, mas, ao invés disso, para antes do dispositivo que está sendo chamado. Além do gateway de destino da VPN, os dados não são mais encriptados porque a operadora de VPN não está mais envolvida. Para pacotes de dados que saem do túnel VPN, o hospedeiro da VPN encaminha os dados adiante através da conexão de última milha do dispositivo de destino, p. ex., uma conexão de telefonia fixa para um roteador próximo, em seguida, por conexão de telefonia fixa para o sistema e torre de telefonia celular local, transmitindo a chamada como um chamada telefônica celular normal usando telefonia 2G, 3G ou 4G. O processo de chamada de um aplicativo de celular

Petição 870190124250, de 27/11/2019, pág. 102/571

97/381 para um telefone que não estiver executando o mesmo aplicativo é chamado de recurso de “chamada fora”.

[00388] O exemplo anterior destaca outro problema com a conexão a uma VPN através de uma rede pública - o enlace de última milha do hospedeiro de VPN para a pessoa que está sendo chamada não faz parte da VPN e, portanto, não garante segurança, desempenho ou QoS da chamada. Especificamente, a última milha do chamador compreende conexões que estão todas abertas a detecção e sujeitas a assaltos cibernéticos. Uma vez concluída a chamada e o telefone celular do chamador desligar, o enlace da VPN deve ser encerrado, quando as coordenadas da Camada 5 da VPN fecham a sessão VPN e o telefone celular do chamador se desconecta do hospedeiro da VPN.

[00389] A adaptação da rede privada virtual, uma tecnologia originalmente criada para transferências de dados entre computadores, sofre vários problemas importantes.

[00390] A comunicação de última milha do gateway VPN de destino para o telefone celular de destino não é segura e está sob risco de detecção e vigilância.

[00391] A comunicação de última milha entre o telefone celular do chamador e o gateway VPN só é segura se o chamador usar um aplicativo baseado em comunicação de dados. Se o chamador se conectar ao gateway VPN usando um enlace telefônico, ou seja, um recurso de discagem, então as comunicações de última milha do telefone celular de um chamador para o gateway VPN mais próximo não é segura e está sob risco de detecção e vigilância.

[00392] A chamada só pode ser assegurada de ponta a ponta se ambas as partes empregarem comunicação de dados e não telefonia entre seus respectivos enlaces de última milha e contanto que ambas as partes saibam aderir à mesma VPN antes de iniciar a chamada.

Petição 870190124250, de 27/11/2019, pág. 103/571

98/381 [00393] O último marcador destaca o paradoxo da comunicação VPN segura - a pessoa que está sendo chamada precisa saber que está sendo chamada antes de ser chamada, a fim de aderir à rede. Para informar a pessoa que ela está prestes a ser chamada, ela deve primeiro ser contatada e instruída a entrar na VPN antes que a chamada possa começar. Em essência, ela deve receber um telefonema não protegido para se conectar a uma chamada telefônica segura. O telefonema inseguro é facilmente hackeado, detectado e vigiado. Além disso, os metadados da chamada insegura expõem quem está chamando, quem está sendo chamado, e que horas a chamada ocorre. Os metadados de chamadas são extremamente úteis para rastrear a atividade de uma pessoa ou para perfilá-la como um alvo para criminosos.

[00394] Mesmo ignorando as etapas prescritas, não há garantia de que a realização de uma chamada ou o envio de documentos através de uma VPN pode não falhar por qualquer número de outras razões, incluindo:

A VPN pode não funcionar com latência baixa suficiente para suportar aplicativos em tempo real, VoIP ou vídeo;

A conexão de última milha da VPN do chamador para o gateway de VPN ou do gateway de VPN para o destinatário da chamada pode não funcionar com baixa latência suficiente para suportar aplicativos em tempo real, VoIP ou vídeo;

O gateway de VPN mais próximo para o chamador ou para o destinatário pretendido, ou seja, “a última milha” pode estar muito longe, possivelmente ainda mais longe do que a distância para o destinatário da chamada sem a VPN, expondo a conexão a latência excessiva, instabilidade de rede, roteamento descontrolado através de redes desconhecidas, QoS variável e inúmeras oportunidades para ataques man-in-the-middle na porção desprotegida da conexão;

A conexão de última milha da VPN do gateway de VPN para o destinatário da chamada pode não suportar conexões de “chamada fora” e

Petição 870190124250, de 27/11/2019, pág. 104/571

99/381 encaminhamento de pacotes ou enlaces de suporte para companhias telefônicas locais;

As operadoras locais ou censores governamentais podem bloquear chamadas ou conexões que chegam e que saem de gateways de VPN conhecidos por motivos de segurança nacional ou conformidade regulatória;

Usando VPNs corporativas, as chamadas VoIP podem ser limitadas somente entre funcionários da empresa e usuários autorizados especificados, transações financeiras e transferência contínua de vídeo podem ser bloqueadas, e-mail privado para servidores públicos de e-mail, como Yahoo, Google, etc. podem ser bloqueados e inúmeros sites como YouTube, programas de bate-papo ou Twitter podem ser bloqueados de acordo com a política da empresa.

[00395] Em casos de redes instáveis, uma VPN pode ficar aberta e manter uma sessão permanente conectada ao dispositivo de um chamador até que seja reinicializada manualmente pelo operador da VPN. Isso pode levar à perda de largura de banda para conexões subsequentes ou tarifas de conexão caras.

[00396] Redes Corporativas - A comparação entre a comunicação oferecida pelos provedores “over-the top” (OTT) e a de sistemas de comunicação que empregam redes públicas para se conectarem a uma VPN ad hoc revela rapidamente que, além do próprio enlace da VPN, a maioria dos dois sistemas de comunicação tem componentes e conexões quase idênticos. Especificamente, a última milha do chamador que compreende um telefone celular, conexão de rádio Wi-Fi, estação-base Wi-Fi, conexões com fio e roteador representam a mesma conectividade de última milha em ambas as implementações. Da mesma forma, na última milha da outra parte, o telefone celular do chamador, a conexão do telefone celular, a estação-base e a torre celular, as conexões com fio e roteador são idênticos tanto para as versões de Internet como de VPN. A principal diferença é que, em uma rede pública, o

Petição 870190124250, de 27/11/2019, pág. 105/571

100/381 túnel de VPN que oferece comunicação segura entre os hospedeiros da VPN é substituído por servidores/roteadores que possuem conexão de comunicação insegura. Outra diferença é nas comunicações OTT; a chamada está instantaneamente disponível e, quando for necessário usar uma VPN, são necessárias etapas adicionais para configurá-la e finalizar a sessão VPN antes e depois da chamada.

[00397] Em ambos os exemplos, as conexões de última milha oferecem QoS de chamada imprevisível, exposição à detecção de pacotes e risco de ataques cibernéticos. Como o servidor/roteadores que transportam uma chamada são provavelmente administrados por diferentes ISPs em diferentes locais, pode-se interpretar os servidores como nuvens existentes diferentes. Por exemplo, as redes publicamente abertas possuídas e operadas por Google, Yahoo, Amazon e Microsoft podem ser consideradas como nuvens diferentes, por exemplo, a “nuvem da Amazon”, apesar de estarem todas interligadas pela Internet.

[00398] Uma topologia de rede concorrente, mas menos popular, a rede peer-to-peer (PPN), que compreende uma rede feita de um grande número de pares com roteamento de pacotes gerenciados pela PPN e não pelo roteador ou ISP. Embora as redes peer-to-peer existam no hardware há décadas, foi o Napster que popularizou o conceito como um meio para evitar o controle, os custos e a regulamentação dos provedores de serviços de Internet. Quando processado pelos reguladores governamentais dos EUA por violações de direitos autorais de música, os fundadores da Napster pularam do barco, invadindo a operadora OTT inicial, Skype. Naquela época, a rede do Skype converteu-se de um OTT tradicional em uma PPN tipo Napster.

[00399] Na operação da PPN, cada dispositivo que faz uma conexão de login com a PPN toma-se mais um nó na PPN. Por exemplo, se em uma geografia um telefone celular com software de PPN instalado entra na rede peer-to-peer, é como se todos os outros dispositivos conectados na região se

Petição 870190124250, de 27/11/2019, pág. 106/571

101/381 tomem parte da rede. As chamadas feitas por qualquer dispositivo saltam de um dispositivo para outro para chegar ao destino, outro dispositivo conectado à PPN. Por exemplo, se o celular de um chamador usa sua conexão PPN para chamar outro dispositivo conectado à PPN, por exemplo, o celular de destino, a chamada segue um trajeto tortuoso através de qualquer dispositivo(s) localizado(s) fisicamente na PPN entre as duas partes. Conforme mostrado, a chamada que emana do celular de um chamador se conecta por Wi-Fi através de uma estação-base Wi-Fi a um desktop próximo, depois ao notebook de uma outra pessoa, a um desktop diferente, depois a um outro desktop e, finalmente, para o celular de destino através da estação-base e torre local de um celular. Desta maneira, todo o roteamento foi controlado pela PPN e a Internet não estava envolvida no gerenciamento do roteamento. Uma vez que ambas as partes o utilizam, o software PPN usado para se conectar à rede também atua como o aplicativo para comunicação de voz baseada em VoIP.

[00400] No caso em que um celular tente chamar um telefone celular de dispositivo não PPN do outro lado do mundo, o roteamento pode necessariamente incluir a Internet em alguns enlaces, especialmente para enviar pacotes através de oceanos ou montanhas. A primeira parte do roteamento na geografia local prossegue de maneira semelhante à do exemplo anterior, começando do celular do chamador e roteado através de uma estação-base Wi-Fi, desktop, notebook, mais desktops e assim por diante. Nesse ponto, se o notebook mais próximo estiver conectado à rede, a chamada será roteada através dele, caso contrário, a chamada deve ser roteada através de uma estação-base e torre celular local para o celular de destino e, em seguida, de volta para a estação-base e torre do celular antes de enviá-lo para a frente.

[00401] Se a chamada for transpacífica, os computadores e os telefones celulares não podem transportar o tráfego através do oceano; então a chamada é necessariamente roteada para a Internet para um servidor/roteador de

Petição 870190124250, de 27/11/2019, pág. 107/571

102/381 terceiros numa nuvem hospedada e em frente através de conexões com servidor/roteadores de terceiros numa nuvem diferente. Por exemplo, ao se aproximar do destino, a chamada deixa a Internet e entra na PPN na geografia local, primeiro através de um desktop, que, por sua vez, conecta-se ao Wi-Fi, a um notebook e a uma estação-base. Como o Wi-Fi não roda o aplicativo PPN, o pacote real que entra no Wi-Fi deve viajar para um tablet ou telefone celular na sub-rede Wi-Fi e voltar para Wi-Fi antes de ser enviado para a estação-base e torre do telefone celular através de uma conexão por fio. Finalmente, a chamada do telefone celular do chamador se conecta ao telefone celular de destino, que não é um dispositivo habilitado para PPN. A conexão constitui, portanto, uma “chamada fora” para o PPN porque ele sai da rede PPN. Usando essa abordagem de PPN, como uma VPN, fazer uma chamada envolve primeiro registrar um dispositivo de chamada na rede PPN ao completar um login PPN. Posteriormente, a chamada pode ser feita usando-se o aplicativo PPN. A vantagem da abordagem PPN é que pouco ou nenhum hardware é necessário para transportar uma chamada por uma longa distância, e que, como cada dispositivo conectado à PPN atualiza regularmente o operador de PPN quanto ao status, o carregamento e a latência, o operador de PPN pode decidir o roteamento de um pacote para minimizar o atraso.

[00402] As desvantagens de tal abordagem são que os pacotes atravessam uma rede que compreende muitos nós desconhecidos que representam uma potencial ameaça de segurança e que têm um impacto imprevisível na latência de chamada e QoS de chamadas. Como tal, com exceção do Skype, as redes peer-to-peer operando na Camada 3 e superior não são comumente empregadas em redes de comunicação com comutação de pacotes.

[00403] Um resumo comparativo de provedores VPN ad hoc, provedores OTT da Internet e redes de pares PPN é contrastado abaixo.

Petição 870190124250, de 27/11/2019, pág. 108/571

103/381

Rede	VPN Privada Virtual	OTT Internet	PPN Par-a-Par
Nós	Servidores Públicos/Hospedados	Servidores/Roteadores Públicos	Usuários PPN
Capacidade do nó	Infraestrutura conhecida	Infraestrutura conhecida	Mista, desconhecida
Largura de banda da nuvem	Garantida	Imprevisível	Imprevisível
Largura de banda da Última Milha	Dependente do Provedor	Dependente do Provedor	Dependente de PPN
Latência	Incontrolável	Incontrolável	Melhor esforço
Estabilidade da rede	Incontrolável	Incontrolável, redundante	Melhor esforço
Configuração de chamada	Login complexo	Nenhum necessário	Login
Identidade do usuário	Nome do usuário	Número de telefone	Nome do usuário
QoS do VoIP	Variável para Bom	Variável	Variável
Segurança da nuvem	Apenas carga útil encriptada	Desencriptado	Desencriptado
Segurança da Última Milha	Desencriptado	Desencriptado	Desencriptado
Detectável	Cabeçalho do Pacote (Nuvem) Pacote inteiro (Ultima Milha)	Pacote inteiro	Pacote inteiro

[00404] Conforme mostrado, enquanto a VPN e a Internet compreendem infraestrutura fixa, os nós de uma rede peer-to-peer variam de acordo com quem está logado e quais dispositivos estão conectados à PPN. A largura de banda da nuvem, definida no contexto desta tabela como as conexões de longa distância de alta velocidade das redes, por exemplo, as redes que cruzam oceanos e serras, são garantidas contratualmente somente no caso de VPNs e, de outra forma, são imprevisíveis. A largura de banda de última milha é dependente do provedor local para provedores de Internet e VPN, mas a PPN é totalmente dependente de quem está logado.

[00405] Latência, o atraso de propagação de pacotes de IP enviados sucessivamente não é gerenciável para OTTs e VPNs, porque o provedor não controla o roteamento na última milha, mas sim depende de operadores de rede ou companhia telefônica local, enquanto os PPNs têm capacidade limitada usando os melhores esforços para direcionar o tráfego entre os nós que estão online no momento em uma determinada geografia. Da mesma forma, para a estabilidade da rede, as PPNs têm a capacidade de redirecionar o tráfego para manter uma rede, mas dependem inteiramente de quem está

Petição 870190124250, de 27/11/2019, pág. 109/571

104/381 logado. A Internet, por outro lado, é intrinsecamente redundante e quase certamente garante a entrega, mas não necessariamente em tempo hábil. A estabilidade da rede para uma VPN ad hoc depende do número de nós autorizados a se conectar ao hospedeiro de VPN. Se esses nós se desligam, a VPN é paralisada.

[00406] Do ponto de vista de uma configuração de chamada, a Internet está sempre disponível, as PPNs exigem a etapa extra de fazer logon na PPN antes de fazer uma chamada e as VPNs podem envolver um procedimento de login complexo. Além disso, a maioria dos usuários considera o uso do OTT de números de telefone em vez de IDs de login separados usados por VPNs e PPNs como uma característica benéfica importante na facilidade de uso. Todas as três redes listadas sofrem de QoS de VoIP variável, geralmente com retardamentos bem maiores que as operadoras de telefonia comerciais.

[00407] Do ponto de vista da segurança, as três opções são ruins com a última milha completamente exposta à detecção de pacotes com endereços e cargas úteis legíveis. As VPNs oferecem encriptação da conexão da nuvem, mas ainda expõem os endereços IP dos hospedeiros de VPN. Como tal, nenhuma opção de rede mostrada é considerada segura. Como tal, a encriptação é usada por vários aplicativos para tentar evitar hackers e ataques cibernéticos, seja como um protocolo de Camada 6 ou como uma porção incorporada do próprio aplicativo da Camada 7.

[00408] Confiança Excessiva na Encriptação - Independentemente de ser usada para encriptar pacotes IP ou estabelecer VPNs, a segurança de rede de hoje depende quase exclusivamente da encriptação e representa uma fraqueza nas redes de comunicação baseadas em comutação de pacotes. Por exemplo, vários estudos foram realizados em métodos para atacar encriptação RSA. Embora a limitação dos números primos a tamanhos grandes reduza grandemente o risco de quebrar o código de chave D de desencriptação usando métodos de força bruta, os métodos do fator polinomial foram

Petição 870190124250, de 27/11/2019, pág. 110/571

105/381 demonstrados com sucesso para quebrar chaves com base em chaves menores com base em números primos. Existem preocupações de que a evolução da “computação quântica” acabará por conduzir a métodos práticos de quebrar chaves baseadas em RSA e outras chaves de encriptação em tempos razoáveis de ataque cibernético.

[00409] Para combater o risco sempre presente de quebra de código, surgiram novos algoritmos e métodos de encriptação de “chave maior”, como o “padrão avançado de encriptação” ou a cifra AES adotada pelo US NIST em 2001. Com base na cifra de Rijndael, o princípio de projeto conhecido como rede de permuta de substituição combina a substituição de caracteres e a permutação usando diferentes tamanhos de chave e bloco. Na sua atual encarnação, o algoritmo compreende tamanhos de blocos fixos de 128 bits com chaves compreendendo comprimentos variáveis de 128 bits, 192 bits e 256 bits, com o número correspondente de repetições usadas na transformação do arquivo de entrada variando em rodadas de 10, 12, e 14 ciclos, respectivamente. Como uma questão prática, a cifra AES pode ser executada de forma eficiente e rápida em qualquer software ou hardware para qualquer tamanho de chave. No vernáculo de criptografia, uma encriptação baseada em AES usando uma chave de 256 b é chamada de encriptação AES256. A encriptação AES512 empregando uma chave de 512 b também está disponível.

[00410] Embora cada nova geração suba o nível em criptografia para criar melhores métodos de encriptação e para quebrá-los mais rapidamente, os criminosos cibernéticos com fins lucrativos geralmente se concentram em seus alvos, em vez de simplesmente usar a computação para quebrar um arquivo encriptado. Conforme descrito anteriormente, usando a detecção de pacotes e a interrogação de portas, um pirata cibernético pode obter informações valiosas sobre uma conversa, um servidor corporativo ou mesmo um gateway de VPN. Através da perfilagem cibernética, pode ser mais fácil

Petição 870190124250, de 27/11/2019, pág. 111/571

106/381 lançar um ataque cibernético nos computadores pessoais, notebooks e telefones celulares de um CFO ou CEO, em vez de atacar a própria rede. Enviar e-mails para os funcionários que instalam automaticamente malware e spyware ao abrir um enlace incorporado contorna completamente a segurança do firewall porque eles entram na rede a partir de “dentro”, onde os funcionários necessariamente devem se conectar e trabalhar.

[00411] A chance de quebrar a encriptação também melhora se os dados se movem através de uma rede sem alteração, isto é, estaticamente. Na rede da Figura 1, por exemplo, os dados subjacentes nos pacotes 790, 792, 794 e 799 permanecem inalterados à medida que os pacotes se movem através da rede. Cada pacote de dados mostrado compreende uma sequência de dados ou som arranjado de forma sequencial no tempo ou páginas inalteradas da sua ordem original quando foi criada. Se o conteúdo de um pacote de dados for textual, ler o arquivo de texto simples não encriptado na sequência 1A-1B1C-1D-1E-1F resultará em texto “legível” para o comunicado número “1”. Se o conteúdo de um pacote de dados é áudio, converter, ou seja, “reproduzir”, o arquivo de texto simples não encriptado na sequência 1A-1B-1C-1D-1E-1F através de um CODEC de áudio correspondente, essencialmente um conversor D/A baseado em software, resultará em som para o arquivo de áudio número “1”.

[00412] Em ambos os casos, ao longo desta descrição, cada slot de dados representado por caixas de tamanho fixo compreende um número prescrito de bits, por exemplo, dois bytes (2B) de comprimento. O número exato de bits por slot é flexível, desde que cada nó de comunicação em uma rede saiba qual é o tamanho de cada slot de dados. Contido dentro de cada slot de dados estão os dados de áudio, vídeo ou texto, identificados nos desenhos como um número seguido de uma letra. Por exemplo, como mostrado, o primeiro slot do pacote de dados 790 contém o conteúdo IA onde o número “1” indica a comunicação específica n° 1 e a letra “A” representa a primeira

Petição 870190124250, de 27/11/2019, pág. 112/571

107/381 parte dos dados na comunicação n° 1. Similarmente, o segundo slot do pacote de dados 790 contém o conteúdo IB onde o número “1” indica que faz parte da mesma comunicação n° 1 e a letra “B” representa a segunda parte dos dados na comunicação n° 1, sequencialmente após IA.

[00413] Se, por exemplo, o mesmo pacote de dados incluísse hipoteticamente o conteúdo “2A”, os dados representariam o primeiro pacote “A” em uma comunicação diferente, especificamente para a comunicação n° 2, não relacionada à comunicação n° 1. Pacotes de dados que contêm comunicações homogêneas, por exemplo, onde todos os dados são para a comunicação n° 1, são mais fáceis de analisar e ler do que aqueles que misturam diferentes comunicações. Os dados arranjados de forma sequencial na ordem apropriada facilitam que um invasor cibernético interprete a natureza dos dados, seja áudio, texto, gráficos, fotos, vídeo, código executável, etc.

[00414] Além disso, no exemplo mostrado, uma vez que os endereços IP de origem e de destino do pacote permanecem constantes, ou seja, onde os pacotes permanecem inalterados durante o transporte através da rede da mesma forma que os dados que entram ou saem dos servidores de gateway 21A e 21F, como os dados subjacentes não mudam, um hacker tem mais chances de interceptar os pacotes de dados e uma melhor chance de analisar e abrir os arquivos ou ouvir a conversa. O simples transporte e a segurança unidimensional, ou seja, confiar apenas na encriptação para proteção, aumenta o risco de um ataque cibernético porque a probabilidade de sucesso é maior em uso tão simplificado da Internet como uma rede com comutação de pacotes.

Segurança de Redes e Dispositivos Conectados em Tempo Real [00415] Para melhorar a qualidade do serviço (QoS) de comunicação telefônica, de vídeo e de dados, enquanto aborda a abundância de vulnerabilidades de segurança que afligem as redes com comutação de

Petição 870190124250, de 27/11/2019, pág. 113/571

108/381 pacotes de hoje, é necessária uma nova e inovadora abordagem sistêmica para o controle do roteamento de pacotes IP, que gerencie uma rede global que compreende tecnologias diferentes e simultaneamente facilite a segurança de extremidade a extremidade. Os objetivos de uma rede com comutação de pacotes tão criativa incluem os seguintes critérios:

Garantir a segurança e QoS de uma rede global ou de um operador de longa distância, incluindo o gerenciamento dinâmico de roteamento de tráfego de voz, vídeo e dados em tempo real em toda a rede;

Garantir a segurança e QoS da “rede ou companhia telefônica local” na última milha da rede de comunicação;

Garantir a segurança e QoS do “último enlace” da rede de comunicação, incluindo a comunicação segura sobre linhas não protegidas;

Garantir a segurança dos dispositivos de comunicação e autenticar os usuários para impedir o acesso ou uso não autorizado ou fraudulento;

Facilitar um meio seguro para armazenar dados em um dispositivo ou online em armazenamento em rede ou na nuvem para impedir o acesso não autorizado;

Prover segurança e proteção de privacidade de todas as informações pessoais não públicas, incluindo todos os dados e registros financeiros, pessoais, médicos e biométricos;

Prover segurança e proteção de privacidade de todas as transações financeiras envolvendo bancos e compras on-line, cartões de crédito e pagamento eletrônico; e

Prover segurança, privacidade e como requisito, anonimato, na troca de informações e transações envolvendo comunicação máquina-amáquina (M2M), veículo-a-veículo (V2V) e veículo-a-infraestrutura (V2X).

[00416] Dos objetivos acima declarados, o assunto inventivo contido nesta divulgação diz respeito ao segundo tópico descrito no item n° 2, ou seja,

Petição 870190124250, de 27/11/2019, pág. 114/571

109/381 para a segurança e QoS da rede local ou telco na Ultima Milha da rede de comunicação. Este tema pode ser considerado como conectividade segura de Ultima Milha sem sacrificar o desempenho de comunicação em tempo real.

Glossário [00417] A menos que o contexto exija ao contrário, os termos usados na descrição da Rede e Protocolo de Comunicação Dinâmica Segura têm os seguintes significados:

[00418] Pacotes de Dados Anônimos: Pacotes de dados sem informações quanto à sua origem original ou destino final.

[00419] Cliente ou Dispositivo Cliente: Um dispositivo, normalmente um telefone celular, tablet, notebook, desktop ou dispositivo de loT conectado a uma nuvem SDNP através de uma Ultima Milha.

[00420] Ocultação: O processo de codificação pelo qual o conteúdo ou porções de um pacote SDNP são tomados irreconhecíveis usando-se qualquer combinação sequencial de operação de segurança, como embaralhamento, divisão, inserções de dados de lixo e encriptação. A recuperação de dados ocultos requer a execução das antifunções ou processos de decodificação na ordem inversa, por exemplo, desencriptação, remoção de dados de lixo, mistura e desembaralhamento.

[00421] Desencriptação: Uma operação matemática usada para converter pacotes de dados de texto cifrado em texto simples.

[00422] Armazenamento Desagregado de Dados : O processo de fragmentação de arquivos de dados e ocultação de seu conteúdo antes de armazenar os vários arquivos fragmentados em diferentes nós de armazenamento de dados.

[00423] Servidor DMZ: Um servidor de computador não acessível diretamente da rede SDNP ou da Internet usado para armazenar seletores, geradores de sementes, geradores de chaves e outros segredos compartilhados. Um DMZ também pode ser mencionado como um servidor

Petição 870190124250, de 27/11/2019, pág. 115/571

110/381 com lacuna de ar” (“air gapped”), ou seja, um computador sem conexão de rede com fio ou acesso a ela.

[00424] Encriptação / Desencriptação Dinâmica: Encriptação e desencriptação baseadas em chaves que mudam dinamicamente à medida que um pacote de dados atravessa a rede SDNP.

[00425] Mistura Dinâmica: O processo de mistura em que os algoritmos de mistura (o inverso dos algoritmos de divisão) mudam dinamicamente em função de uma semente baseada em um estado, como o tempo, o estado e a zona quando um pacote de dados misturados é criado.

[00426] Embaralhamento / Desembaralhamento Dinâmico: Embaralhamento e desembaralhamento baseados em algoritmos que mudam dinamicamente em função de um estado, como o momento em que um pacote de dados é criado ou a zona em que é criado.

[00427] Divisão Dinâmica: O processo de divisão em que os algoritmos de divisão mudam dinamicamente em função de uma semente baseada em um estado, como o tempo, o estado e a zona quando um pacote de dados é dividido em múltiplos subpacotes.

[00428] Encriptação: Uma operação matemática usada para converter pacotes de dados de texto cifrado em texto simples.

[00429] Transporte Fragmentado de Dados: O roteamento de dados divididos e misturados através da rede SDNP.

[00430] Remoção de Dados de Lixo (ou De-junking): A remoção de dados de lixo dos pacotes de dados a fim de restaurar os dados originais ou recuperar o comprimento original do pacote de dados.

[00431] Inserções de Dados de Lixo (ou Junking): A introdução intencional de dados sem sentido em um pacote de dados, seja para fins de ofuscar o conteúdo real dos dados ou para gerenciar o comprimento de um pacote de dados.

[00432] Chave: Um valor digital disfarçado que é gerado inserindo-se

Petição 870190124250, de 27/11/2019, pág. 116/571

111/381 um estado, como o tempo, em um gerador de chaves que usa um algoritmo secreto para gerar a chave. Usa-se uma chave para selecionar um algoritmo para encriptar ou desencriptar os dados em um pacote de um seletor. Pode-se usar uma chave para transmitir com segurança informações em relação a um estado através de linhas públicas ou inseguras.

[00433] Servidor de Troca de Chaves: Um servidor de computador, frequentemente hospedado por terceiros e independente do operador de rede SDNP, usado para distribuir chaves públicas de encriptação para os clientes e, opcionalmente, para servidores que usem chave de encriptação simétrica, especialmente para gerenciamento de chaves administrado pelo cliente, ou seja, encriptação ponta a ponta baseada em clientes para evitar qualquer possibilidade de espionagem do operador da rede.

[00434] Ultimo Enlace: A conexão de rede entre o dispositivo de um cliente e o primeiro dispositivo na rede com a qual ele se comunica, normalmente uma torre de rádio, um roteador Wi-Fi, um modem a cabo, um conversor digital ou uma conexão Ethernet. No caso da comunicação Ethernet, o Ultimo Enlace compreende uma conexão física amarrada (ou seja, com fio) a um modem a cabo ou modem por fibra óptica. Para conectividade Wi-Fi (por exemplo, em uma cafeteria), o Ultimo Enlace inclui um roteador Wi-Fi conectado a uma rede DSL, a cabo ou por fibra. Em uma rede celular, o Ultimo Enlace compreende o enlace de rádio entre a torre celular e o telefone celular, que pode incluir, por exemplo, uma conexão 3G ou 4G/LTE.

[00435] Ultima Milha: A conexão de rede entre um Cliente e um nó de mídia de gateway em uma SDNP ou outro tipo de rede ou nuvem, incluindo o Ultimo Enlace. A Ultima Milha normalmente compreende comunicação através de redes de propriedade e operadas por empresas locais de telecomunicações e cabo, por exemplo, cabo Comcast, celular Verizon, Korean Telecom, British Telecom, etc.

Petição 870190124250, de 27/11/2019, pág. 117/571

112/381 [00436] Mistura: A combinação de pacotes de dados de diferentes fontes, que podem incluir diferentes tipos de dados, para produzir um pacote de dados mais comprido (ou uma série de subpacotes menores) com conteúdo irreconhecível. Em alguns casos, pacotes de dados previamente divididos são misturados para recuperar o conteúdo original dos dados. A operação de mistura também pode incluir inserções, remoções de dados de lixo e separação.

[00437] Múltiplos PHY ou Multi-PHY: Comunicação envolvendo transporte alternado de pacotes de dados sequenciais relacionados através de vários meios físicos, por exemplo, fibra óptica e 4G, diferentes canais e frequências de Wi-Fi, 4G e Wi-Fi, Wi-Fi por Ethernet, etc.

[00438] Separação: Uma operação numérica em que um pacote de dados é dividido em subpacotes mais curtos para armazenamento ou para transmissão.

[00439] Roteador: Um dispositivo que direciona o roteamento de um datagrama para o endereço de destino especificado em seu cabeçalho IP. Para roteamento de pacotes fora da rede SDNP, o endereço IP empregado pode representar um endereço IP válido de Internet (reconhecido por um servidor DNS) ou pode representar o endereço NAT atribuído por um tradutor de endereços de rede operado pelo provedor de rede local (por exemplo, a Comcast atribui seus próprios endereços IP internos para comunicação dentro da rede de cabo/fibra Comcast).

[00440] Embaralhamento: Uma operação em que a ordem ou sequência de segmentos de dados em um pacote de dados é alterada de sua ordem natural para uma forma irreconhecível.

[00441] Divisão: Uma operação em que um pacote de dados (ou uma sequência de pacotes de dados em série) é dividido em vários subpacotes, que são encaminhados para vários destinos. Uma operação de divisão também pode incluir inserções e remoções de dados de lixo.

Petição 870190124250, de 27/11/2019, pág. 118/571

113/381 [00442] SoftSwitch: Software composto por código executável que executa a função de um comutador e roteador de telecomunicações.

[00443] SDNP: Um acrônimo para Secure Dynamic Communication Network and Protocol, que significa uma rede de comunicações hiper-segura feita de acordo com a presente invenção.

[00444] Endereço SDNP: Um endereço usado para roteamento de pacotes SDNP através da nuvem SDNP ou da Ultima Milha que compreende o endereço IP ad hoc do próximo dispositivo de destino, ou seja, apenas informações suficientes para executar um único salto.

[00445] Servidor de Administração SDNP: Um servidor de computador usado para distribuir código executável e segredos compartilhados para servidores SDNP globalmente ou em zonas específicas.

[00446] Nó de Ponte SDNP: Um nó SDNP que conecta uma Zona ou Nuvem SDNP a outra zona ou nuvem SDNP com credenciais de segurança diferentes.

[00447] Cliente ou Dispositivo Cliente SDNP: Um dispositivo, normalmente um telefone celular, tablet, notebook, desktop ou dispositivo de loT que executa um aplicativo SDNP para se conectar a uma nuvem SDNP, geralmente através de uma Ultima Milha.

[00448] Nuvem SDNP: Uma rede de Servidores SDNP interconectados que roda código executável SoftSwitch para realizar operações do Nó de Comunicações SDNP.

[00449] Nó de Gateway SDNP: Um nó de mídia que conecta uma nuvem SDNP a um dispositivo cliente através de uma Ultima Milha. Nós de Gateway SDNP precisam de acesso a pelo menos duas Zonas - a da Nuvem SDNP e a da Última Milha.

[00450] Nó de Mídia SDNP: Código executável SoftSwitch que processa pacotes de dados de entrada com etiquetas específicas de identificação de acordo com instruções do servidor de sinalização ou de outro

Petição 870190124250, de 27/11/2019, pág. 119/571

114/381 computador que executa a função de sinalização, incluindo encriptação / desencriptação, embaralhamento / desembaralhamento, mistura / divisão, etiquetamento e geração de cabeçalho e sub-cabeçalho SDNP. Um Nó de Mídia SDNP é responsável por identificar pacotes de dados de entrada que tenham etiquetas específicas e por encaminhar pacotes de dados recémgerados para seu próximo destino.

[00451] Servidor de Mídia SDNP: Um servidor de computador que hospeda um SoftSwitch que desempenha as funções de um Nó de Mídia SDNP em comunicações bicanal e tricanal e também realiza as tarefas de um Nó de Sinalização SDNP e de um Nó de Servidor de Nomes SDNP em comunicações de canal único.

[00452] Servidor de Nomes SDNP: Um servidor de computador que hospeda um SoftSwitch que executa as funções de um Nó de Servidor de Nomes SDNP em comunicações tricanal.

[00453] Nó de Servidor de Nomes SDNP: Código executável SoftSwitch que gerencia uma lista dinâmica de cada dispositivo SDNP conectado à nuvem SDNP.

[00454] Rede SDNP: Toda a rede de comunicação hiper-segura que se estende de cliente para cliente, incluindo comunicação de último enlace e de última milha, bem como a nuvem SDNP.

[00455] Nó SDNP: Um nó de comunicação SDNP composto por um SoftSwitch baseado em software que roda em um servidor de computador ou, altemativamente, um dispositivo de hardware conectado à rede SDNP, que funciona como um nó SDNP, seja como Nó de Mídia, Nó de Sinalização ou Nó de Servidor de Nomes.

[00456] Servidor SDNP: Um servidor de computador composto por um Servidor de Mídia SDNP, um Servidor de Sinalização SDNP ou um Servidor de Nomes SDNP e que hospeda as funções SoftSwitch aplicáveis para operar como um nó SDNP.

Petição 870190124250, de 27/11/2019, pág. 120/571

115/381 [00457] Nó de Sinalização SDNP: O código executável SoftSwitch que inicia uma chamada ou comunicação entre partes, determina todas ou partes das múltiplas rotas para o transporte fragmentado de dados com base nos critérios do chamador e numa tabela dinâmica de atrasos de propagação de nó a nó e instruindo a mídia SDNP como gerenciar a os pacotes de dados de entrada e de saída.

[00458] Servidor de Sinalização ou de Sinal SDNP: Um servidor de computador que hospeda um SoftSwitch que desempenha as funções de um Nó de Mídia SDNP em comunicações bicanal e tricanal e também realiza as tarefas de um Nó de Sinalização SDNP e de um Nó de Servidor de Nomes SDNP em comunicações de canal único.

[00459] Etiqueta SDNP: Um endereço de origem, CEP SDNP, ou qualquer outro código usado para identificar um pacote de dados de entrada ou um subpacote do referido.

[00460] Operação de Segurança: O processo de modificação de um pacote de dados para realizar ocultação (ou para recuperar o conteúdo de um pacote oculto) que usa as credenciais de segurança dependentes do estado relacionadas à zona e ao estado de onde o pacote é criado.

[00461] Configurações de Segurança ou Credenciais de Segurança: Valores digitais, como sementes e chaves, que são gerados por geradores de sementes ou geradores de chaves usando algoritmos secretos em conjunto com um estado de entrada em constante mudança, como o tempo de rede, e que, portanto, podem ser transmitidos com segurança através de linhas públicas ou inseguras.

[00462] Semente: Um valor digital disfarçado que é gerado inserindose um estado, como o tempo, em um gerador de sementes que usa um algoritmo secreto para gerar a semente. Usa-se uma semente para selecionar um algoritmo para embaralhar, encriptar ou dividir os dados em um pacote de um seletor. Pode-se usar uma semente para transmitir com segurança

Petição 870190124250, de 27/11/2019, pág. 121/571

116/381 informações em relação a um estado através de linhas públicas ou inseguras. [00463] Seletor: Uma lista ou tabela de possíveis algoritmos de embaralhamento, encriptação ou divisão que fazem parte dos segredos compartilhados e que são usados em conjunto com uma semente ou chave para selecionar um algoritmo específico para embaralhamento, desembaralhamento, encriptação, desencriptação, divisão ou mistura de um pacote ou pacotes.

[00464] Segredos Compartilhados: Informações confidenciais sobre a operação de nó SDNP, incluindo tabelas ou seletores de algoritmos de embaralhamento /desembaralhamento, encriptação / desencriptação e mistura / divisão, bem como os algoritmos usados por geradores de sementes, geradores de chaves, informações de zona, e processos de embaralhar algoritmos armazenados localmente em servidores DMZ não acessíveis através da rede SDNP ou da Internet.

[00465] PHY Único: Comunicação de pacotes de dados relacionados transportados através de um único meio físico, p. ex., exclusivamente através de fibra óptica, ou Ethernet, ou Wi-Fi, ou uma rede celular.

[00466] Estado: Uma entrada, como localização, zona ou tempo de rede que é usado para gerar dinamicamente configurações de segurança tais como sementes ou chaves ou para selecionar algoritmos para operações específicas da SDNP, como mistura, divisão, embaralhamento e encriptação. [00467] Tempo: O tempo universal de rede utilizado para sincronizar a comunicação em toda a rede SDNP.

[00468] Desembaralhamento: Um processo usado para restaurar os segmentos de dados em um pacote de dados embaralhados à sua ordem ou sequência original. O desembaralhamento é a função inversa do embaralhamento.

[00469] Zona: Uma rede de servidores interconectados específicos que compartilham credenciais de segurança comuns e segredos compartilhados.

Petição 870190124250, de 27/11/2019, pág. 122/571

117/381

As conexões de Ultima Milha compreendem zonas separadas daquelas em uma nuvem SDNP.

Design de Rede e Protocolo de Comunicação Dinâmica Segura (SDNP) [00470] Para evitar ataques cibernéticos e hackeamento de comunicação com comutação de pacotes e minimizar a latência do pacote em tempo real, garantir a conectividade estável de chamadas e oferecer a mais alta integridade de comunicação de voz e streaming de vídeo, a Rede e Protocolo de Comunicação Dinâmica Segura (SDNP) é projetada com base em uma série de princípios orientadores, incluindo:

[00471] A comunicação em tempo real deve ocorrer sempre usando o caminho de latência mais baixo.

[00472] A inspeção ou detecção não autorizada de um pacote de dados não deve fornecer nenhum contexto a respeito de onde o pacote veio, para onde está indo ou o que está nele.

[00473] As cargas úteis dos pacotes de dados devem ser dinamicamente re-encriptadas, ou seja, desencriptadas e, em seguida, encriptadas novamente usando um algoritmo de encriptação diferente, sem risco de serem hackeadas em qualquer tempo razoável.

[00474] Mesmo depois de terem sido desencriptadas, as cargas úteis dos pacotes de dados ainda podem conter cargas úteis incompreensíveis que compreende uma mistura dinamicamente embaralhada de múltiplas conversas e dados não relacionados misturados com preenchimentos de pacotes com lixo.

[00475] A implementação das diretrizes acima envolve uma variedade de métodos, funções, recursos e implementações exclusivos, incluindo em várias incorporações, algumas ou todas as seguintes.

[00476] A SDNP emprega uma ou mais nuvens dedicadas que incluem companhias telefônicas, ou seja, sistema de telecomunicações, funções de softswitch realizadas usando-se software proprietário de comando e controle

Petição 870190124250, de 27/11/2019, pág. 123/571

118/381 não acessível através da Internet.

[00477] Toda a comunicação intra-nuvem ocorre usando-se o roteamento de pacotes SDNP dedicados dentro de nuvens proprietárias com base em endereços SDNP e portas dinâmicas (ou seja, endereços NAT proprietários), não em endereços IP reconhecidos pelo DNS. Os endereços SDNP não são utilizáveis ou roteáveis através da Internet ou fora da nuvem SDNP.

[00478] A rede SDNP identifica constantemente e roteia dinamicamente toda a comunicação em tempo real através dos trajetos de latência mais baixos disponíveis.

[00479] Nenhuma comunicação segura ou em tempo real é encaminhada para fora da nuvem SDNP ou através da Internet, exceto na comunicação nuvem-nuvem e de última milha, e, em seguida, geralmente usando roteamento de salto único com endereços invisíveis.

[00480] Os dados de roteamento contidos em um pacote de dados identificam o roteamento para um único salto entre dois dispositivos adjacentes, identificando apenas os endereços SDNP ou IP do último e próximo servidor.

[00481] O número de telefone ou endereços IP do chamador e do destinatário da chamada, ou seja, os respectivos endereços de fonte e destino dos clientes, não estão presentes nos cabeçalhos do pacote IP nem estão presentes na carga útil encriptada.

[00482] Os segredos compartilhados relacionados a comando e controle existem em software de sistema instalado em servidores DMZ seguros não acessíveis através da Internet.

[00483] A comunicação do pacote SDNP pode ocorrer através de três canais independentes - um servidor de nomes, usado para identificar elementos dentro da nuvem SDNP, servidores de mídia, usados para roteamento de conteúdo e dados, e servidores de sinalização, usados para

Petição 870190124250, de 27/11/2019, pág. 124/571

119/381 comando e controle de pacote e de chamada.

[00484] Informações de roteamento, juntamente com chaves e sementes numéricas (conforme necessário) podem ser fornecidas a todos os servidores de mídia participantes através de um canal de sinalização independente antes da chamada ou comunicado e não com conteúdo. O servidor de sinalização fornece aos servidores de mídia somente o último e próximo destino de um pacote que atravessa a rede.

[00485] Os pacotes de mídia contêm dados fragmentados que representam apenas uma parte de uma chamada, documento, texto ou arquivo, dinamicamente misturados e remisturados com outros pacotes contendo dados fragmentados de outras fontes e de diferentes tipos.

[00486] Empregam-se métodos especiais de segurança para proteger a comunicação da primeira e última milha, incluindo a separação das comunicações relacionadas ao servidor de sinalização dos pacotes relacionados a conteúdo e mídia.

[00487] O transporte de pacotes é dependente do tipo de conteúdo, com voz e vídeo em tempo real ou streaming baseados em um UDP aprimorado, enquanto pacotes de sinalização, pacotes de comando e controle, arquivos de dados, arquivos de aplicativos, arquivos de sistemas e outros arquivos que são sensíveis à latência ou perda de pacotes utilizam o transporte TCP.

[00488] Utilizam-se métodos especiais de segurança e autenticação para confirmar que um dispositivo é o cliente real e não um clone, e para autenticar que a pessoa que se comunica é o verdadeiro proprietário do dispositivo e não um impostor.

[00489] Para garantir uma comunicação segura com baixa latência e QoS elevado em aplicativos VoIP e em tempo real, a rede e protocolo de comunicação dinâmica segura ou SDNP, divulgada utiliza uma rede inventiva de malha dinâmica composta por [00490] Roteamento adaptativo e dinâmico em malha e de múltiplos

Petição 870190124250, de 27/11/2019, pág. 125/571

120/381 trajetos com latência mínima [00491] Embaralhamento dinâmico de pacotes [00492] Fragmentação dinâmica usando divisão, mistura, separação de pacotes e preenchimentos de pacotes com bits de lixo [00493] Encriptação dinâmica de carga útil intra-nós por toda uma rede ou nuvem [00494] Protocolo de rede dinâmico com disfarçamento de endereços e informações de roteamento do tipo “precisar saber” [00495] Comunicação multicanal que separa a mídia e conteúdo da sinalização, comando e controle e endereços de rede [00496] Protocolo de transporte adaptativo dinâmico em tempo real com características específicas do tipo de dados e roteamento contextual [00497] Suporte de cargas úteis encriptadas pelo cliente com gerenciamento de chave de usuário [00498] CODEC de áudio leve para QoS alta em redes congestionadas [00499] Conforme descrito, a comunicação SDNP depende de comunicação de malha e de múltiplas rotas para direcionar dinamicamente pacotes de dados. Contrastando a comunicação de pacotes de trajeto único usada para comunicações OTT e VoIP por Internet, na comunicação SDNP, de acordo com esta invenção, o conteúdo de pacotes de dados não é transportado em série por pacotes coerentes que contêm informações de uma fonte comum ou chamador, mas de forma fragmentada, misturando e remisturando dinamicamente o conteúdo emanado de várias fontes e chamadores, onde esses dados aglomeram trechos incompletos de dados, conteúdo, voz, vídeo e arquivos de tipos de dados diferentes com preenchimentos de dados de lixo. A vantagem da realização divulgada de fragmentação e transporte de dados é que mesmo os pacotes de dados desencriptados e desembaralhados são quase impossíveis de serem interpretados porque representam a combinação de dados e tipos de dados não

Petição 870190124250, de 27/11/2019, pág. 126/571

121/381 relacionados.

[00500] Ao combinar mistura e divisão de pacotes fragmentados com embaralhamento e encriptação dinâmica de pacotes, esses pacotes hibridizados de dados dinamicamente encriptados, embaralhados e fragmentados compreendem pacotes de bobagem sem sentido, completamente ininteligíveis para qualquer parte ou observador que não tenha os segredos compartilhados, chaves, sementes numéricas e variáveis de tempo e estado usados para criar, empacotar e dinamicamente re-empacotar os dados.

[00501] Além disso, o conteúdo fragmentado de cada pacote e os segredos usados para criá-lo permanecem válidos por apenas uma fração de segundo antes que o pacote seja reconstituído com novos fragmentos e novas disposições de segurança, como sementes, chaves, algoritmos e segredos revisados. A duração limitada em que um pirata cibernético tem disponível para quebrar e abrir o pacote de dados SDNP dependente do estado aumenta ainda mais a segurança do SDNP, exigindo que dezenas de milhares de anos de computação sejam processados em um décimo de segundo, um desafio de doze ordens de grandeza maior do que o tempo disponível para quebrá-lo.

[00502] A combinação dos métodos acima mencionados facilita a segurança multidimensional muito além da segurança obtida a partir da encriptação estática. Como tal, a rede e protocolo de comunicação dinâmica segura divulgada é mencionada no presente como uma rede HyperSecure.

[00503] Embaralhamento de Pacote de Dados - De acordo com a invenção divulgada, a comunicação segura através de uma rede com comutação de pacotes depende de vários elementos para evitar a pirataria e garantir a segurança, um dos quais envolve o embaralhamento do pacote SDNP. O embaralhamento do pacote SDNP envolve a reorganização dos segmentos de dados fora de sequência, tomando as informações incompreensíveis e inúteis. Na FIG. 2A, um pacote de dados desembaralhados, pacote de dados 923, processado através da operação de

Petição 870190124250, de 27/11/2019, pág. 127/571

122/381 embaralhamento 924, resulta no pacote de dados embaralhados 925. A operação de embaralhamento pode usar qualquer algoritmo, método numérico ou método de sequenciamento. O algoritmo pode representar uma equação estática ou incluir variáveis dinâmicas ou sementes numéricas baseadas em estados, como o tempo 920 quando ocorreu o embaralhamento, e uma semente numérica 929 gerada pelo gerador de sementes 921, que pode gerar sementes 929 usando um algoritmo que também é dependente de um estado como o tempo 920 no momento do embaralhamento. Por exemplo, se cada data é convertida em um número único que cresce monotonamente, então toda semente 929 é única. Pode-se usar o tempo 920 e a semente 929 para selecionar um algoritmo específico e também para selecionar ou calcular uma operação de embaralhamento específica 924, escolhida a partir de uma lista de métodos disponíveis de embaralhamento, ou seja, a partir dos algoritmos de embaralhamento 922. Em fluxogramas de dados, é conveniente ilustrar esta operação e sequência de embaralhamento de pacotes usando uma representação esquemática ou simbólica, conforme descrito no presente pelo símbolo 926.

[00504] A operação de desembaralhamento, mostrada na FIG. 2B, ilustra a função inversa da operação de embaralhamento 924, especificamente a operação de desembaralhamento 927, na qual o estado ou tempo 920 e a semente correspondente 929 usados para criar o pacote de dados embaralhados 925 são reutilizados para desfazer o embaralhamento para produzir dados não embaralhados, especificamente o pacote de dados desembaralhados 923. Usando o mesmo estado ou tempo 920 empregado quando o pacote de embaralhamento ocorreu pela primeira vez, deve-se usar o mesmo método de embaralhamento novamente na operação de desembaralhamento 927, conforme selecionada na lista de algoritmos de embaralhamento 922. Embora a lista de algoritmos de embaralhamento 922 faça referência ao termo embaralhamento, usa-se a mesma tabela de

Petição 870190124250, de 27/11/2019, pág. 128/571

123 /381 algoritmos para identificar e selecionar a função inversa necessária para a realização do desembaralhamento, ou seja, a lista de algoritmos de embaralhamento 922 contém as informações necessárias tanto para o embaralhamento como para o desembaralhamento de pacotes de dados. Como as duas funções envolvem as mesmas etapas realizadas em ordem inversa, a lista 922 também pode ser renomeada como lista de algoritmos de embaralhamento / desembaralhamento” 922. Entretanto, por questão de clareza, a tabela é rotulada somente pela função e não por sua antifunção.

[00505] Se o algoritmo de embaralhamento selecionado para implementar a operação de desembaralhamento 927 não corresponder ao algoritmo original empregado no pacote de desembaralhamento, ou se a semente 929 ou estado ou tempo 920 não corresponderem ao tempo em que ocorreu o embaralhamento, então a operação de desembaralhamento não conseguirá recuperar o pacote de dados original desembaralhado 923, e os dados do pacote se perderão. Em fluxogramas de dados, é conveniente ilustrar esse processo de desembaralhamento de pacotes usando uma representação esquemática ou simbólica, conforme descrito no presente pelo símbolo 928.

[00506] De acordo com a invenção divulgada, pode-se utilizar inúmeros algoritmos para executar a operação de embaralhamento na medida em que o processo é reversível, o que significa que repetir os passos na ordem contrária à do processo original faz cada segmento de dados retomar ao seu local próprio e original em um determinado pacote de dados. Matematicamente, algoritmos de embaralhamento aceitáveis são aqueles que são reversíveis, ou seja, onde uma função F (A) tem uma antifunção F¹ (A) ou, alternativamente, uma transformação tem uma antifunção correspondente de tal forma que

F¹ [F (A)] = A significando que um dado arquivo, sequência, sequência de caracteres, arquivo ou vetor A processado por uma função F irá, após o

Petição 870190124250, de 27/11/2019, pág. 129/571

124/381 processamento subsequente usando a antifunção F’¹, devolver a entrada A original intacta em termos de valor ou sequência.

[00507] Exemplos de tais funções reversíveis são ilustrados pelos algoritmos de embaralhamento estático mostrados na FIG. 2C, incluindo algoritmos de espelhamento e de mudança de fase. Nos algoritmos de espelhamento, os segmentos de dados são trocados com outros segmentos de dados como uma imagem espelhada em torno de uma linha de simetria definida pelo módulo, ou mod, do processo de espelhamento. No espelhamento mod-2 conforme mostrado, cada dois segmentos do pacote de dados de entrada original 930 são trocados, ou seja, IA e 1B são trocados de posição, assim como ICe ID, lEe IFe assim por diante, para produzir pacote de dados embaralhados de saída 935, com uma linha de simetria centrada entre o primeiro e o segundo segmentos de dados, entre o terceiro e quarto segmentos de dados, e assim por diante, ou matematicamente como 1,5^a 3,5^a, 5,5^a,..., (5 + 2n)^a posição.

[00508] No espelhamento mod-3, o primeiro e o terceiro segmentos de dados de cada três segmentos de dados são trocados, enquanto o pacote do meio de cada trio permanece em sua posição original. Assim, os segmentos de dados IA e 1C são trocados enquanto ο 1B permanece no centro do trio, os segmentos de dados ID e 1F são trocados enquanto ο 1E permanece no centro do trio e, assim por diante, para produzir a saída de pacotes de dados embaralhados 936. No espelhamento mod-3, a linha de simetria está centrada na 2^a, 5^a, 8^a,..., (2+3n)^a posição.

[00509] No espelhamento mod-4, o primeiro e o quarto segmentos de dados e o segundo e o terceiro de cada quatro segmentos de dados são trocados, e assim por diante, para produzir o pacote de dados embaralhados de saída 937 a partir do pacote de dados de entrada 931. Assim, o segmento de dados IA é trocado com o ID; segmento de dados 1B é trocado com o 1C; e assim por diante. No espelhamento mod-4, a linha de simetria está centrada

Petição 870190124250, de 27/11/2019, pág. 130/571

125/381 entre o segundo e o terceiro segmentos de dados de cada quarteto, por exemplo, entre os segmentos de dados 2^o e 3^o, os segmentos de dados 6^o e 7^o, e assim por diante, ou matematicamente como 2,5^a, 6,5^a, ... , (2,5 + 4n)^a posição. No espelhamento mod-m, o segmento de dados m^ésimo do pacote de dados de entrada 932 é trocado com o primeiro, ou seja, o 0^o segmento de dados; o 0^o segmento de dados é trocado com o elemento m^esimo; e da mesma forma, o n^esimo elemento é trocado com o segmento de dados (m-n)^esimo para produzir o pacote de dados embaralhados de saída 938.

[00510] Outro método de embaralhamento também mostrado na FIG. 2C é uma mudança de quadros, onde cada segmento de dados é deslocado para a esquerda ou para a direita em um, dois ou mais quadros. Por exemplo, em uma mudança de fase de quadro único, cada segmento de dados é deslocado em um quadro, onde o primeiro segmento de dados é deslocado para a segunda posição; o segundo segmento de dados é deslocado para o terceiro quadro e assim por diante, para produzir o pacote de dados embaralhados de saída 940. O último quadro do pacote de dados de entrada 930, o quadro IF no exemplo mostrado, é deslocado para o primeiro quadro anteriormente ocupado pelo segmento de dados IA.

[00511] Em uma mudança de fase de 2 quadros, o primeiro segmento de dados IA do pacote de dados de entrada 930 é deslocado em dois quadros para a posição anteriormente ocupada pelo segmento de dados 1C, o 4^o quadro 1D é deslocado para a última posição do pacote de dados embaralhados de saída 941, o penúltimo segmento de dados 1E é deslocado para a primeira posição e a última posição 1F é deslocada para a segunda posição. Da mesma forma, em uma mudança de fase de 4 quadros, os segmentos de dados do pacote de dados de entrada 930 são deslocados em quatro casas com o primeiro quadro IA substituindo o quadro anteriormente detido por IE, 1B substituindo IF, 1C substituindo IA e assim por diante, para produzir o pacote de dados embaralhados de saída 942. No caso da

Petição 870190124250, de 27/11/2019, pág. 131/571

126/381 mudança de fase máxima, o primeiro quadro substitui o último, o segundo quadro originalmente detido por 1B toma-se o primeiro quadro do pacote de dados de saída 943, o segundo elemento é deslocado para a primeira posição, a terceira posição para o segundo lugar, e assim por diante. A mudança de fase em um quadro além da mudança de fase máxima resulta em dados de saída inalterados em relação à entrada. Os exemplos mostrados compreendem mudanças de fase em que os dados foram deslocados para a direita. O algoritmo também funciona para mudanças de fase para a esquerda, mas com resultados diferentes.

[00512] Os algoritmos acima mencionados e métodos semelhantes aos divulgados são mencionados como algoritmos estáticos de embaralhamento porque a operação de embaralhamento ocorre num único tempo, convertendo um conjunto de dados de entrada em uma saída única. Além disso, os algoritmos mostrados anteriormente não dependem do valor de um pacote de dados para determinar como o embaralhamento deve ocorrer. Como ilustrado na FIG. 2D, de acordo com a invenção divulgada, o embaralhamento paramétrico significa que o método de embaralhamento é escolhido a partir de uma tabela de possíveis algoritmos de embaralhamento, por exemplo, tipo # A, tipo # B, etc., com base em um valor derivado de dados contidos no próprio pacote de dados. Por exemplo, suponha que cada segmento de dados possa ser convertido em um valor numérico com base em um cálculo dos dados contidos dentro do segmento de dados. Uma possível abordagem para determinar o valor numérico de um segmento de dados é empregar o equivalente decimal ou hexadecimal dos dados de bit no segmento de dados. Se o segmento de dados contiver múltiplos termos, pode-se encontrar o equivalente numérico somando-se os números no segmento de dados. Os dados do segmento de dados são então combinados em um único número ou parâmetro e então usados para selecionar qual método de embaralhamento será empregado.

Petição 870190124250, de 27/11/2019, pág. 132/571

127/381 [00513] No exemplo mostrado, o pacote de dados não embaralhados 930 é convertido parametricamente na etapa 950 em uma tabela de dados 951, contendo um valor numérico para cada segmento de dados. Conforme mostrado, o segmento de dados IA, o 0^o quadro, tem um valor numérico de 23, o segmento de dados 1B, o I^o quadro, tem um valor numérico de 125, e assim por diante. Um único valor do pacote de dados é extraído então na etapa 952 para todo o pacote de dados 930. No exemplo mostrado, a soma 953 representa a soma linear de todos os valores do segmento de dados da tabela 951, totalizando parametricamente 1002. Na etapa 954 esse valor paramétrico, ou seja, a soma 953, é comparado com uma tabela de condição, ou seja, em software um conjunto de declarações se-então-senão predefinidas, para comparar a soma 953 contra uma série de faixas numéricas não sobrepostas na tabela 955 para determinar qual tipo de rotina deve ser empregado. Neste exemplo, o valor paramétrico de 1002 cai na faixa de 1000 a 1499, o que significa que se deve empregar a classificação # C. Uma vez selecionada a rotina de classificação, o valor paramétrico não é mais necessário. A entrada de dados não embaralhados 930 é então embaralhada pelo método selecionado na etapa 956 para produzir a saída do pacote de dados embaralhados 959. No exemplo mostrado, a Classificação # C, resumido na tabela 957, compreende um conjunto de movimentos relativos para cada segmento de dados. O primeiro segmento de dados do pacote de dados embaralhados 959, o 0^o quadro, é determinado movendo-se o segmento de dados ID para a esquerda por três movimentos, ou seja, uma mudança de

3. O I^o quadro compreende o segmento de dados 1B, inalterado em relação à sua posição original, ou seja, um movimento de 0 casas. O 2^o quadro é composto por 1E, um segmento de dados deslocado para a esquerda em dois movimentos de sua posição original. O mesmo é verdadeiro para o 3^o quadro, composto pelo segmento de dados 1F deslocado para a esquerda em dois movimentos de sua posição original. O 4^o quadro de saída de pacotes de

Petição 870190124250, de 27/11/2019, pág. 133/571

128/381 dados embaralhados 959 compreende o segmento de dados 1C deslocado para a direita, ou seja, +2 movimentos, de sua posição original. O 5^o quadro é composto pelo segmento de dados IA, deslocado cinco movimentos para a direita, ou seja, +5, de sua posição original.

[00514] Dessa forma, resumido na tabela 957 para a classificação # C, cada segmento de dados é movido exclusivamente para uma nova posição para criar um pacote de dados embaralhados parametricamente determinado 959. Para desembaralhar o pacote de dados embaralhados, inverte-se o processo, usando-se o mesmo método de classificação, classificação # C. Para garantir que se selecione o mesmo algoritmo para realizar a operação de desembaralhamento, o valor paramétrico 953 do pacote de dados não pode ser alterado como consequência da operação de embaralhamento. Por exemplo, o uso de uma soma linear do valor paramétrico de cada segmento de dados produz o mesmo valor numérico, independentemente da ordem dos números. [00515] O embaralhamento dinâmico utiliza um estado do sistema, p. ex. tempo, para poder identificar as condições quando um pacote de dados foi embaralhados, permitindo que se selecione o mesmo método para realizar a operação de desembaralhamento. No sistema mostrado na FIG. 2E, usa-se o estado para gerar uma semente numérica disfarçada, que é transmitida ao remetente ou ao receptor do pacote, que usa então a semente para selecionar um algoritmo de embaralhamento de uma tabela. Alternativamente, o próprio estado pode ser transmitido para o remetente ou destinatário, o estado pode ser usado por um gerador de números ocultos localizado no remetente ou destinatário para gerar um número oculto, onde o número oculto é usado para selecionar um algoritmo de embaralhamento/desembaralhamento. Assim, na FIG. 2E, um estado, por exemplo, o tempo 920, é usado para gerar um número oculto 961, usando o gerador de números ocultos 960, e o número oculto 861 é usado para selecionar um método de embaralhamento da lista de algoritmos de embaralhamento 962. O gerador de números ocultos 960

Petição 870190124250, de 27/11/2019, pág. 134/571

129/381 também pode fornecer o número oculto HN 961b diretamente para a operação de embaralhamento 963, onde o HN (número oculto) pode servir como variável na execução da operação de embaralhamento. Depois disso, a operação de embaralhamento 963 converte o pacote de dados desembaralhados 930 no pacote de dados embaralhados 964. Na FIG. 2F, o estado 920 pode ser transmitido diretamente ao gerador de número oculto 960, ou o estado 920 pode ser transmitido para o gerador de número oculto através do gerador de sementes 921.

[00516] O benefício de usar um número oculto para selecionar um algoritmo de embaralhamento em vez de apenas uma semente numérica é que isso elimina qualquer possibilidade de um criminoso cibernético recriar a tabela de embaralhamento ao analisar o fluxo de dados, ou seja, correlacionando estatisticamente conjuntos repetidos de dados embaralhados com as sementes numéricas correspondentes. Embora a semente possa ser visível no fluxo de dados e, portanto, sujeita à espionagem, o gerador de números ocultos e o número oculto HN que ele cria são baseados em um segredo compartilhado. O número oculto HN não está, portanto, presente no fluxo de dados ou sujeito a espionagem ou detecção, o que significa que não é transmitido através da rede, mas gerado localmente a partir da semente numérica. Essa operação matemática de um gerador de números ocultos dessa forma confere uma camada adicional de segurança para frustrar hackers, porque o propósito da semente numérica é disfarçado.

[00517] Uma vez selecionado o algoritmo, pode-se usar a semente numérica também como uma variável de entrada no algoritmo do processo de embaralhamento 963. O uso duplo da semente numérica confunde ainda mais a análise porque a semente não escolhe diretamente o algoritmo, mas funciona em conjunto com ele para determinar a sequência final dos segmentos de dados embaralhados. De forma semelhante, para desembaralhar um pacote de dados dinamicamente embaralhados, a semente 929 (ou, altemativamente, o

Petição 870190124250, de 27/11/2019, pág. 135/571

130/381 estado ou o tempo 920) deve ser passada do nó de comunicação, dispositivo ou software que estiver inicialmente realizando o embaralhamento para qualquer nó ou dispositivo que pretenda desembaralhá-lo.

[00518] De acordo com a invenção divulgada, o algoritmo da geração de sementes 921, o gerador de números ocultos 960 e a lista de algoritmos de embaralhamento 962 representam segredos compartilhados, informações armazenadas em um servidor DMZ (conforme descrito abaixo) e não conhecidas pelo remetente ou pelo destinatário de um pacote de dados. O segredo compartilhado é estabelecido com antecedência e não está relacionado com os pacotes de dados de comunicação que estão sendo enviados, possivelmente durante a instalação do código, quando se emprega uma variedade de procedimentos de autenticação para garantir que o segredo não vaze. Conforme descrito abaixo, segredos compartilhados podem ser limitados a zonas para que o conhecimento de um conjunto de segredos roubados ainda não permita que um hacker acesse toda a rede de comunicação ou intercepte comunicados em tempo real.

[00519] Além de quaisquer segredos compartilhados, no embaralhamento dinâmico, no qual o algoritmo de embaralhamento varia durante o trânsito de pacotes de dados, é necessária uma semente baseada em um estado para embaralhar ou desembaralhar os dados. Esse estado em que a semente se baseia pode compreender qualquer parâmetro físico, como o tempo, número do nó de comunicação, identidade de rede, ou mesmo localização de GPS, desde que não haja ambiguidade quanto ao estado utilizado na geração da semente e desde que haja alguns meios para informar o próximo nó que estado foi usado para embaralhar pela última vez o pacote de dados. O algoritmo usado pelo gerador de sementes para produzir uma semente faz parte dos segredos compartilhados e, portanto, o conhecimento da semente não permite determinar o estado em que a semente se baseia. A semente pode ser passada de um nó de comunicação para o próximo ao

Petição 870190124250, de 27/11/2019, pág. 136/571

131/381 incorporá-lo dentro do pacote de dados em si, enviando-o através de outro canal ou trajeto, ou alguma combinação desses. Por exemplo, o estado usado na geração de uma semente pode incluir um número aleatório gerado por um contador e, posteriormente, incrementado por um número fixo cada vez que um pacote de dados atravessar um nó de comunicação, com cada contagem representando um algoritmo específico de embaralhamento.

[00520] Em uma modalidade de embaralhamento dinâmico, gera-se durante a primeira instância de embaralhamento um número aleatório para selecionar o método de embaralhamento usado. Esse número aleatório é incorporado no pacote de dados em um cabeçalho ou parte do pacote de dados reservado para comando e controle e não sujeito a embaralhamento. Quando o pacote de dados chega ao próximo nó, o número incorporado é lido pelo nó de comunicação e usado pelo software para selecionar o algoritmo adequado para desembaralhar o pacote de dados de entrada. O número, ou seja, a contagem, é em seguida incrementado em uma contagem ou algum outro inteiro predeterminado; o pacote é embaralhado de acordo com o algoritmo associado a esse novo número, e a nova contagem é armazenada na saída do pacote de dados substituindo o número anterior. O próximo nó de comunicação repete o processo.

[00521] Em uma modalidade alternativa do método divulgado baseado em contador para selecionar um algoritmo de embaralhamento, gera-se um número aleatório para selecionar o algoritmo inicial de embaralhamento e esse número é encaminhado para cada nó de comunicação usado para transportar o pacote de dados específico como um segredo compartilhado. Uma contagem, p. ex., começando com 0, é incorporada no pacote de dados em um cabeçalho ou parte do pacote de dados reservado para comando e controle e não sujeito a embaralhamento. O pacote de dados é então encaminhado para o próximo nó de comunicação. Quando o pacote chega ao próximo nó de comunicação, o servidor lê o valor da contagem, adiciona a

Petição 870190124250, de 27/11/2019, pág. 137/571

132/381 contagem ao número aleatório inicial, identifica o algoritmo de embaralhamento usado por último para embaralhar o pacote de dados e desembaralha o pacote de acordo. A contagem é então incrementada em um ou qualquer inteiro predeterminado e a contagem é novamente armazenada no cabeçalho do pacote de dados ou qualquer parte do pacote de dados reservada para comando e controle e não sujeita a embaralhamento, substituindo a contagem anterior. O número aleatório que serve como um segredo compartilhado não é comunicado no pacote de dados de comunicação. Quando o pacote de dados chega ao próximo nó de comunicação, o servidor então adiciona o segredo compartilhado do número aleatório adicionado ao valor revisado do contador extraído do pacote de dados. Esse novo número identifica de forma única o algoritmo de embaralhamento empregado pelo último nó de comunicação para embaralhar o pacote de entrada. Nesse método, apenas um número de contagem sem sentido pode ser interceptado a partir da parte não embaralhada de um pacote de dados por um pirata cibernético, que não tem ideia do que os dados significam.

[00522] Em outro método alternativo, pode-se empregar um número oculto para comunicar o estado do pacote e qual algoritmo foi empregado para embaralhá-lo. Um número oculto combina um estado que varia o tempo ou uma semente, com um segredo compartilhado geralmente compreendendo um algoritmo numérico, usados juntos para produzir um número confidencial, ou seja, um número oculto, que nunca é comunicado entre os nós de comunicação e, portanto, não é detectável ou passível de ser descoberto por qualquer ataque do tipo man-in-the-middle ou pirata cibernético. Usa-se então o número oculto para selecionar o algoritmo de embaralhamento empregado. Uma vez que o estado ou a semente não faz sentido sem saber o algoritmo usado para calcular o número oculto e como o algoritmo secreto compartilhado pode ser armazenado atrás de um firewall inacessível através da rede ou internet, então nenhuma quantidade de monitoramento da rede

Petição 870190124250, de 27/11/2019, pág. 138/571

133 /381 tráfego irá revelar um padrão. Para complicar ainda mais as coisas, a localização da semente também pode representar um segredo compartilhado. Em uma modalidade, um número transportado por uma parte não embaralhada de um pacote de dados e observável por detecção de dados, por exemplo, 27482567822552213, compreende um número longo no qual apenas uma parte do número representa a semente. Se, por exemplo, o terceiro até o oitavo dígitos representam a semente, então a semente real não é o número inteiro, mas apenas os números em negrito 27482567822552213, ou seja, a semente é 48256. Essa semente é combinada com um algoritmo secreto compartilhado para gerar um número oculto, e o número oculto é usado para selecionar o algoritmo de embaralhamento, variando dinamicamente em toda uma rede.

[00523] A aplicação de embaralhamento de pacotes de dados em uma rede SDNP é descrita no Pedido de Patente dos EUA n° 14/803.869, protocolado em 20 de julho de 2015, intitulado Rede e Protocolo de Comunicação Dinâmica Segura. A aplicação do embaralhamento de pacote de dados em comunicação de Ultima Milha será descrita com mais detalhes nesta divulgação.

[00524] Conforme descrito, os dados que atravessam a rede, embora embaralhados, podem ser mencionados como texto simples porque os dados reais estão presentes nos pacotes de dados, ou seja, os pacotes não foram encriptados em texto cifrado. Em contraste, em texto cifrado, a sequência de caracteres que compreende os dados originais, sejam embaralhados ou não, é traduzida em uma série sem sentido de caracteres absurdos usando uma chave de encriptação e não pode ser restaurada à sua forma original de texto simples sem uma chave de desencriptação. O papel da encriptação na comunicação baseada em SDNP divulgada é discutido mais adiante na seguinte cláusula sobre Encriptação.

[00525] A fim de alterar a sequência de pacotes de dados durante o

Petição 870190124250, de 27/11/2019, pág. 139/571

134/381 transporte através da rede, é necessário o re-embaralhamento” do pacote, conforme mostrado na FIG. 3. O processo de re-embaralhamento do pacote retorna um pacote de dados embaralhados para seu estado desembaralhado antes de embaralhá-lo novamente com um novo algoritmo de embaralhamento. Assim, o termo re-embaralhamento, conforme usado no presente, significa desembaralhar um pacote de dados e, em seguida, embaralhá-lo novamente, normalmente com um algoritmo ou método diferente de embaralhamento. Essa abordagem evita o risco de corrupção de dados que poderia ocorrer pelo embaralhamento de um pacote anteriormente embaralhado e perda do controle da sequência necessária para restaurar os dados originais. Conforme mostrado, uma vez inicialmente embaralhado pela operação de embaralhamento de pacote 926, o pacote de dados embaralhados 1008 é re-embaralhado, primeiro desembaralhando-o com a operação de desembaralhamento 928, usando a operação inversa do algoritmo de embaralhamento usado para embaralhar os dados, e depois embaralhando o pacote de dados de novo com a operação de embaralhamento 926, usando um algoritmo de embaralhamento diferente do usado na operação anterior de embaralhamento 926. O pacote de dados re-embaralhados resultante 1009 difere do pacote de dados embaralhados anterior 1008. A operação de reembaralhamento 1017 compreende a aplicação sucessiva de desembaralhamento seguido de embaralhamento, mencionada no presente como re-embaralhamento US, onde US é um acrônimo para desembaralhamento-embaralhamento. Para recuperar o pacote de dados original 930, a operação final de desembaralhamento do pacote 928 requer o uso da função inversa do mesmo algoritmo usado por último para reembaralhar o pacote de dados.

[00526] De acordo com a invenção divulgada, o embaralhamento estático e dinâmico de dados toma a interpretação dos dados desembaralhados sem sentido, reordenando som em um ruído irreconhecível, reordenando texto

Petição 870190124250, de 27/11/2019, pág. 140/571

135 /381 em coisas irreconhecíveis, reordenando vídeo em chuvisco de vídeo e embaralhando o código sem conserto. Por si só, o embaralhamento proporciona um grande grau de segurança. No método SDNP divulgado no presente, no entanto, o embaralhamento é apenas um elemento utilizado para fornecer e garantir uma comunicação segura livre de hackers, ataques cibernéticos, pirataria cibernética e ataques do tipo man-in-the-middle.

[00527] Embaralhamento de Pacote de Dados - De acordo com a invenção divulgada, a comunicação segura através de uma rede com comutação de pacotes depende de vários elementos para evitar a pirataria e garantir a segurança, um dos quais envolve o embaralhamento do pacote SDNP. Conforme descrito anteriormente, encriptação, do significado grego esconder, ocultar, obscurecer, representa um meio de converter informações ou dados normais, comumente chamados de texto simples, em texto cifrado, que compreende um formato incompreensível, tornando os dados ilegíveis sem o conhecimento secreto. Na comunicação moderna, esse conhecimento secreto geralmente envolve o compartilhamento de uma ou mais chaves usadas para encriptar e desencriptar os dados. As chaves geralmente compreendem números pseudoaleatórios gerados algoritmicamente. Estão disponíveis hoje numerosos artigos e textos que discutem os méritos e pontos fracos de várias técnicas de encriptação, como Cryptonomicon, de Neal Stephenson, © 1999, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, de Simon Singh © 1999, Practical Cryptography de Niels Ferguson © 2013, e Cryptanalysis: A Study of Ciphers and Their Solution, publicado pela primeira vez em 1939.

[00528] Embora o conceito de encriptação ou texto cifrado seja antigo e bem conhecido por aqueles qualificados na arte, a aplicação da criptografia na rede e protocolo de comunicação dinâmica segura divulgada é única, facilitando tanto a encriptação de ponta a ponta quanto a encriptação dinâmica

Petição 870190124250, de 27/11/2019, pág. 141/571

136/381 de nó a nó de salto único até a arquitetura de rede em si, independentemente da encriptação do próprio cliente. A comunicação de SDNP é arquitetada com o preceito básico de que, dado um tempo suficiente, qualquer arquivo ou mensagem estática encriptada pode no final ser quebrada e suas informações roubadas, não importa quão sofisticado seja o texto cifrado. Embora essa suposição possa, de fato, estar incorreta, não há necessidade de provar ou refutar a proposição porque o inverso, ou seja, esperar até que um método específico de encriptação falhe, pode resultar em danos consequentes inaceitáveis e irreversíveis.

[00529] Em vez disso, a comunicação SDNP se baseia na premissa de que todos os arquivos encriptados têm um prazo de validade” limitado, significando metaforicamente que dados encriptados são bons (seguros) por apenas um período finito de tempo e que os dados confidenciais devem ser reencriptados dinamicamente em intervalos regulares, idealmente com frequência muito maior do que as melhores estimativas do tempo necessário para quebrar a sua encriptação com computadores de última geração. Por exemplo, se os criptólogos estimam que uma grande fazenda de servidores de motores de criptografia pode quebrar uma determinada mensagem cifrada em um ano, então na comunicação SDNP um pacote de dados será re-encriptado a cada segundo ou mesmo a cada 100 ms, intervalos muitas ordens de grandeza mais curtos do que a melhor tecnologia é capaz de quebrá-la. Como tal, a encriptação SDNP é necessariamente dinâmica, ou seja, varia com o tempo, e também pode variar em termos de espaço, ou seja, dependendo da localização de um nó de comunicação em uma rede com comutação de pacotes ou geografia. Assim, conforme usado no presente, os termos reencriptação ou re-encriptar se referem a desencriptar um pacote de dados e, em seguida, encriptá-lo novamente, em geral com um algoritmo ou método diferente de encriptação.

[00530] Portanto, a encriptação SDNP envolve a conversão de dados

Petição 870190124250, de 27/11/2019, pág. 142/571

137/381 de texto simples não encriptado em texto cifrado repetidamente e com frequência, tomando as informações incompreensíveis e inúteis. Mesmo que a encriptação de dados de um determinado pacote seja milagrosamente quebrada, ao empregar os métodos dinâmicos de encriptação da SDNP, o próximo pacote de dados utiliza uma chave ou cifra completamente diferente de encriptação e requer um esforço completamente novo para quebrar sua encriptação. Ao limitar o total conteúdo de cada pacote de dados exclusivamente encriptado, atenua-se o dano potencial do acesso não autorizado porque um pacote de dados expostos contém, por si só, um arquivo de dados pequeno demais para ser significativo ou útil para um pirata cibernético. Além disso, ao combinar encriptação dinâmica com os métodos de embaralhamento SDNP acima mencionados, aprimora-se tremendamente a segurança da comunicação. Mesmo em sua forma desencriptada, o arquivo de dados interceptado contém apenas um pequeno trecho de dados, voz ou vídeo embaralhados em uma sequência sem sentido e incompreensível de segmentos de dados.

[00531] Para evitar as preocupações de segurança de vida útil, a encriptação SDNP é dinâmica e dependente do estado. Na FIG. 4A, um pacote de dados não encriptado que compreende o texto simples 930, processado através da operação de encriptação 1020, resulta em um pacote de dados encriptados composto por texto cifrado 1024 ou 1025. No caso do texto cifrado 1024, todo o pacote de dados de texto simples 930 é encriptados in toto, tratando os segmentos de dados IA a 1F como um único arquivo de dados. No caso do texto cifradol025, cada segmento de dados IA a 1F de texto simples 930 é encriptado separada e distintamente e não é fundido com outros segmentos de dados. O primeiro segmento de dados IA é encriptado em um primeiro segmento de dados de texto cifrado correspondente mostrado para fins de ilustração por uma série de caracteres começando com 7$ e que compreende uma longa sequência de caracteres ou dígitos não mostrados. Da

Petição 870190124250, de 27/11/2019, pág. 143/571

138/381 mesma forma, o segundo segmento de dados de texto simples 1B é encriptado em um segundo segmento de dados de texto cifrado que compreende uma longa sequência de caracteres mostrados para fins ilustrativos que começam com *^Λ. Os caracteres 7$ e *^Λ se destinam a ilustrar o início de sequências de símbolos, dígitos e caracteres alfanuméricos sem sentido e não para limitar ou implicar qualquer coisa sobre os dados específicos na fonte de texto simples ou o comprimento das sequências de caracteres que estão sendo encriptados.

[00532] A operação de encriptação 1020 pode usar qualquer algoritmo, método criptográfico ou texto cifrado disponível. Embora o algoritmo possa representar uma equação estática, em uma modalidade a operação de encriptação utiliza variáveis dinâmicas, ou estados, como o tempo 920 quando ocorre a encriptação, e um gerador de encriptação 1021 para produzir a “chave E” 1022, que também pode depender de um estado como o tempo 920 no qual foi realizada a encriptação. Por exemplo, a data e a hora de encriptação podem ser usadas como uma semente numérica para gerar uma chave de encriptação que não pode ser recriada mesmo que o algoritmo de encriptação fosse descoberto. Pode-se usar também o tempo 920 ou outros estados para selecionar um algoritmo específico de uma lista de algoritmos de encriptação 1023, que é uma lista de algoritmos de encriptação disponíveis. Em fluxogramas de dados, é conveniente ilustrar essa operação e sequência de embaralhamento de pacotes usando uma representação esquemática ou simbólica, conforme descrito no presente pelo símbolo mostrado para a operação de encriptação 1026. Ao longo desta divulgação de invenção, um cadeado também pode simbolicamente representar dados seguros e encriptados. Cadeados com um mostrador de relógio localizado em cima do cadeado indicam especificamente um mecanismo de entrega seguro, p. ex., arquivos encriptados que, se não forem recebidos dentro de um intervalo específico ou até um horário específico, se autodestroem e são perdidos para sempre.

Petição 870190124250, de 27/11/2019, pág. 144/571

139/381 [00533] A operação de desencriptação mostrada na FIG. 4B ilustra a função inversa da operação de encriptação 1020, especificamente a operação de desencriptação 1031, onde o estado ou o tempo 920 e outros estados costumavam criar o texto cifrado 1024, juntamente com uma chave de desencriptação, ou chave D 1030 gerada pelo gerador de chave D 1029 são reutilizados para desfazer a encriptação, ou seja, desencriptar o arquivo, para produzir dados desencriptados s que compreendem o pacote de dados de texto simples original 990. Usando o mesmo estado ou tempo 920 empregado quando ocorreu pela primeira vez o pacote de encriptação, a mesma operação de encriptação que foi selecionada da lista de algoritmos de encriptação 1023 pode ser usada novamente na operação de desencriptação 1031. Embora a lista de algoritmos de encriptação 1023 faça referência ao termo encriptação, usa-se a mesma tabela de algoritmos para identificar e selecionar a função inversa necessária para a realização da desencriptação, ou seja, a lista de algoritmos de encriptação 1023 contém as informações necessárias tanto para a encriptação como para a desencriptação de pacotes de dados. Como as duas funções envolvem as mesmas etapas realizadas em ordem inversa, a lista 1023 também pode ser renomeada como lista de algoritmos de encriptação / desencriptação” 1023. Entretanto, por questão de clareza, a tabela é rotulada somente pela função e não por sua antifunção.

[00534] Se o algoritmo de encriptação selecionado para implementar a operação de desencriptação 1031 não corresponder ao inverso do algoritmo original empregado na operação de encriptação de pacotes 1020, se o estado ou tempo 920 não corresponder ao tempo em que ocorreu a encriptação, ou se a chave D 1030 não tiver uma relação numérica predefinida com a chave E 1022 usada durante a encriptação, então a operação de desencriptação 1031 não conseguirá recuperar os dados originais não encriptados 990, e os dados do pacote serão perdidos. Em fluxogramas de dados, é conveniente ilustrar essa operação e sequência de desencriptação de pacotes usando uma

Petição 870190124250, de 27/11/2019, pág. 145/571

140/381 representação esquemática ou simbólica, conforme descrito no presente pelo símbolo mostrado para a operação de desencriptação 1032.

[00535] Conforme descrito anteriormente nesta divulgação, o conhecimento sobre o uso de chaves de encriptação e desencriptação em criptografia e de algoritmos comuns de encriptação, como a encriptação por chave pública simétrica, encriptação RSA, e encriptação AES256, entre outras, são comuns e bem conhecidos dos especialistas do ramo. A aplicação desses métodos criptográficos tão conhecidos no sistema de comunicação SDNP divulgado, no entanto, não é facilmente suscetível a hackeamento ou desencriptação por causa de informações ocultas, segredos compartilhados e variáveis dinâmicas dependentes do tempo e estados exclusivos da comunicação SDNP divulgada.

[00536] Assim, mesmo no caso improvável em que um pirata cibernético tenha poder de computador suficiente para acabar quebrando um método robusto de encriptação, ele não tem certas informações embutidas na rede SDNP como segredos não-públicos ou compartilhados necessários para realizar a operação de desencriptação e também deve quebrar a encriptação em uma fração de segundo antes que a encriptação mude. Além disso, todo pacote de dados que atravessa a rede SDNP divulgada utiliza um método diferente de encriptação com chaves e estados dinâmicos únicos. A combinação de falta de informações, estados dinâmicos e conteúdo informativo limitado contidos em qualquer determinado pacote toma a obtenção de roubo significativo de dados de qualquer pacote de dados tanto desafiador quanto pouco gratificante para um pirata cibernético.

[00537] A aplicação de encriptação e desencriptação dinâmica de pacotes de dados em uma rede SDNP está descrita no Pedido de Patente dos EUA dos EUA n° 14/803.869 acima mencionado intitulado Rede e Protocolo de Comunicação Dinâmica Segura. A aplicação de criptografia de pacote de dados na comunicação de Ultima Milha será descrita com mais detalhes nesta

Petição 870190124250, de 27/11/2019, pág. 146/571

141/381 divulgação.

[00538] Para interceptar um documento inteiro, stream de vídeo ou conversa de voz para reconstruir uma sequência de dados coerente, um ataque cibernético deve sucessivamente quebrar e desencriptar não um, mas milhares de sucessivos pacotes SDNP. O desafio assustador de hackear continuamente uma sucessão de pacotes SDNP é ainda mais exacerbado pela combinação de encriptação dinâmica com os métodos previamente descritos referentes ao embaralhamento de pacotes de dados. Como ilustrado na FIG. 5, a criação de um pacote de dados embaralhados encriptados 1024 envolve a combinação sucessiva da operação de embaralhamento 926 e operação de encriptação 1026 para converter o pacote de dados de texto simples desembaralhado 990 primeiro no pacote de dados de texto simples embaralhado 1008 e depois no texto cifrado 1024 do pacote de dados embaralhados. Para desfazer o pacote embaralhado encriptado, deve-se aplicar as funções inversas na sequência inversa primeiro pela operação de desencriptação 1032 para recuperar o pacote de dados de texto simples embaralhado 1035, depois pela operação de desembaralhamento 928 para recuperar o pacote de dados desembaralhados de texto simples 990.

[00539] Conforme mostrado, o embaralhamento e encriptação representam técnicas complementares para alcançar uma comunicação segura. Conforme descrito, os dados que atravessam a rede, embora embaralhados, podem ser mencionados como texto simples porque os dados reais estão presentes nos pacotes de dados, ou seja, os pacotes não foram encriptados em texto cifrado. Pacotes de dados encriptados, ou texto cifrado, compreendem sequências de caracteres embaralhadas ou desembaralhadas traduzidas em uma série sem sentido de caracteres absurdos que usam uma chave de encriptação e não podem ser restaurados à sua forma original de texto simples sem uma chave de desencriptação correspondente. Dependendo do algoritmo empregado, as chaves de encriptação e desencriptação podem incluir a mesma

Petição 870190124250, de 27/11/2019, pág. 147/571

142/381 chave ou chaves distintas matematicamente relacionadas por uma relação matemática predefinida. Como tal, o embaralhamento e a encriptação representam técnicas complementares para alcançar uma comunicação segura de acordo com a invenção divulgada para comunicação SDNP.

[00540] Os dois métodos, embaralhamento e encriptação, podem ser considerados de forma independente, mesmo quando usados em combinação, exceto que a sequência usada para restaurar o pacote de dados original de um pacote de dados encriptados embaralhados deve ocorrer na sequência inversa à usada para criá-lo. Por exemplo, se o pacote de dados 990 foi primeiro embaralhado usando a operação de embaralhamento 926 e depois encriptado usando a operação de encriptação 1026, então, para restaurar o pacote de dados original, o pacote de dados encriptados embaralhados 1024 deve primeiro ser desencriptado usando a operação de desencriptação 1032 e, em seguida, desembaralhado usando a operação de desembaralhamento 928. Matematicamente, se uma operação de embaralhamento F embaralha uma sequência de bits ou caracteres para uma versão embaralhada equivalente e uma operação de desembaralhamento F¹ desfaz o embaralhamento, na qual

F^-1[F(A)] = A e da mesma forma, se uma operação de encriptação G encripta uma sequência de texto simples para texto cifrado equivalente e uma operação de desencriptação G¹ desfaz a encriptação, na qual

G^_|[G(A)] = A então, em combinação, a operação sucessiva de embaralhamento e, em seguida, encriptação seguida de desencriptação e, em seguida, desembaralhamento retoma o argumento original A, o pacote de dados de texto simples desembaralhado. Da mesma forma,

F¹ (G-¹ [G (F (A))]) = A como a sequência ocorre em ordem inversa, especificamente desencriptar [G'¹] o pacote encriptado embaralhado [G(F(A))] restaura o

Petição 870190124250, de 27/11/2019, pág. 148/571

143/381 pacote de dados embaralhados de texto simples F(A). A operação subsequente de desembaralhamento F¹ do pacote de texto simples embaralhado F(A) restaura o pacote de dados original A.

[00541] Desde que sejam empregados métodos lineares, a sequência é reversível. Por exemplo, se o pacote de dados for primeiro encriptado e depois embaralhado, então para restaurar o pacote de dados original, o texto cifrado embaralhado deve primeiro ser desembaralhado e depois desencriptado. Da mesma forma,

G-¹{F’¹[F(G(A))]} = A [00542] Mudar a sequência não funciona. Desencriptar um pacote de dados que foi anteriormente encriptado e então embaralhado sem primeiro desembaralhá-lo não recuperará o pacote de dados original, ou seja

F^GWWA [00543] Da mesma forma, desembaralhar um pacote que foi embaralhado e, em seguida, encriptado também não irá restaurar o pacote de dados original, porque

G-^F-WCA))]}^ [00544] Para resumir, se o pacote de texto simples for embaralhado antes de ser encriptado, ele deve ser desencriptado antes de ser desembaralhado; se o pacote de texto simples for encriptado antes de ser embaralhado, ele deve ser desembaralhado antes de ser desencriptado.

[00545] Embora se entenda que o embaralhamento e a encriptação podem ser realizados em qualquer sequência, em um modalidade dos métodos SDNP de acordo com esta invenção, a encriptação e desencriptação ocorrem com mais frequência durante o transporte de rede do que o embaralhamento e, portanto, a encriptação deve ocorrer após embaralhamento, e a desencriptação deve ocorrer antes do desembaralhamento, conforme ilustrado na FIG. 5, e não ao contrário. Por conveniência, definimos a combinação da operação de embaralhamento de pacote 926 seguida pela operação de encriptação 1026

Petição 870190124250, de 27/11/2019, pág. 149/571

144/381 como operação de encriptação de pacote embaralhado 1041, e seu inverso, a combinação da operação de desencriptação 1032 seguida pela operação de desembaralhamento de pacote 928 como operação de desembaralhamento de pacote desencriptado 1042. Pode-se empregar essas operações hibridizadas na comunicação estática e dinâmica da SDNP de acordo com esta invenção.

[00546] Um dos meios para melhorar a segurança em qualquer implementação que use encriptação estática de embaralhamento é garantir que cada pacote de dados enviado seja submetido a diferentes métodos de embaralhamento e/ou encriptação, inclusive alterações de estado, sementes e/ou chaves no momento t¹ quando cada pacote de dados entra na rede de comunicação.

[00547] No entanto, uma alternativa mais robusta envolve a alteração dinâmica da encriptação ou embaralhamento de um pacote de dados, ou ambos, à medida que o pacote atravessa a rede no tempo. A fim de facilitar o processamento de dados necessário para realizar uma versão totalmente dinâmica da comunicação SDNP, é necessário combinar os processos previamente definidos, a fim de re-embaralhar (ou seja, desembaralhar e então embaralhar) e re-encriptar (ou seja, desencriptar e então encriptar) cada pacote à medida que passe por cada nó de comunicação em uma rede de comunicação com comutação de pacotes. Conforme usado no presente, o termo re-empacotar ou re-empacotamento às vezes será usado para se referir à combinação de re-embaralhamento e re-encriptação, se o pacote for inicialmente desencriptado antes de ser desembaralhado ou desembaralhado antes de ser desencriptado. Em ambos os casos, as operações de desembaralhamento e desencriptação em um determinado nó devem ser realizadas em uma ordem que seja o inverso das operações de embaralhamento e encriptação quando o pacote deixou o nó anterior, ou seja, se o pacote foi embaralhado e então encriptado no nó anterior, ele deve primeiro ser desencriptado e depois desembaralhado no nó atual.

Petição 870190124250, de 27/11/2019, pág. 150/571

145/381

Normalmente, o pacote será então embaralhado e depois encriptado ao deixar o nó atual.

[00548] A operação de re-empacotar em um nó de comunicação é ilustrada na FIG. 6, na qual um pacote de dados de texto cifrado de entrada 1040 é primeiro desencriptado pela operação de desencriptação 1032, em seguida desembaralhado pela operação de desembaralhamento 928 para recuperar o pacote de dados de texto simples desembaralhado 990 que contém o conteúdo do pacote original. Se algumas informações dentro do pacote deverem ser inspecionadas, separadas, divididas ou redirecionadas, o arquivo de texto simples desembaralhado é o melhor formato no qual realizar tais operações. O pacote de dados de texto simples 990 é, então, novamente embaralhado usando-se a operação de embaralhamento 926 seguida por uma nova encriptação realizada pela operação de encriptação 1026 para produzir um novo pacote de dados de texto cifrado embaralhado 1043. Uma vez que a operação de re-empacotamento do pacote de dados de texto cifrado embaralhado de entrada 1040 ocorre sucessivamente por desencriptação, desembaralhamento, embaralhamento e encriptação, utiliza-se a operação de re-empacotamento 1045 com o acrônimo DUSE no presente para denotar a técnica divulgada de acordo com esta invenção. Em uma rede segura dinâmica, o estado ou tempo, a chave de desencriptação e quaisquer sementes usadas para executar a operação de desencriptação 1032 e operação de desembaralhamento 928 são de preferência diferentes do estado ou tempo, sementes ou chaves de encriptação usados para executar a operação de embaralhamento 926 e a operação de encriptação 1026.

[00549] A aplicação de encriptação e desencriptação de pacotes de dados em uma rede SDNP está descrita no Pedido de Patente dos EUA n° 14/803.869 acima mencionado intitulado Rede e Protocolo de Comunicação Dinâmica Segura. A aplicação de re-empacotamento de pacotes de dados na comunicação de Ultima Milha será descrita com mais detalhes nesta

Petição 870190124250, de 27/11/2019, pág. 151/571

146/381 divulgação.

[00550] Mistura e divisão de pacotes - Outro elemento-chave da rede e protocolo de comunicação dinâmica segura divulgada no presente é a sua capacidade de dividir pacotes de dados em subpacotes, de direcionar esses subpacotes em múltiplas rotas, e de misturar e recombinar os subpacotes para reconstruir um pacote de dados completo. O processo de divisão de pacotes é ilustrado na FIG. 7A, na qual o pacote de dados 1054 é dividido, usando-se a operação de divisão 1051 combinada com a operação algorítmica de separação 1052 e com a operação de lixo 1053, que tem a capacidade de inserir ou remover segmentos de dados de lixo que não são dados. Análogo ao DNA lixo presente no genoma humano, a operação de lixo 1053 insere segmentos de dados de lixo para estender ou controlar o comprimento de um pacote de dados ou, conforme necessário, para removê-los. A operação de lixo 1053 é especialmente importante quando houver uma quantidade inadequada de dados para preencher um pacote. A presença de segmentos de dados de lixo inseridos em um pacote de dados também dificulta que os piratas cibernéticos diferenciem dados reais de ruído. Conforme usado no presente, um pacote ou segmento de dados de lixo” é um pacote ou segmento de dados que consiste inteiramente em dados (bits) sem sentido. Esses bits de lixo podem ser introduzidos em uma sequência de pacotes de dados que ofuscam os dados reais em um mar de bits sem sentido.

[00551] O objetivo da operação de separação 1052 é dividir o pacote de dados 1054 em pacotes de dados menores, por exemplo, subpacotes de dados 1055 e 1056, para processamento de cada um dos componentes constituintes. Quebrar o pacote de dados 1054 em peças menores oferece vantagens únicas, como o suporte ao transporte por múltiplos trajetos, ou seja, transmitir os pacotes de dados através de múltiplos e diferentes trajetos e facilitar a encriptação única dos subpacotes constituintes usando diferentes métodos de encriptação.

Petição 870190124250, de 27/11/2019, pág. 152/571

147/381 [00552] A operação de divisão pode usar qualquer algoritmo, método numérico ou método de separação. O algoritmo pode representar uma equação estática ou incluir variáveis ou sementes numéricas ou estados” dinâmicos, como o tempo 920, quando o pacote de dados de entrada 1054 foi formado pela primeira vez por uma série de subpacotes, e uma semente numérica 929 gerada pelo gerador de sementes 921, que também pode ser dependente de um estado como o tempo 920 no momento da criação do pacote de dados. Por exemplo, se cada data é convertida em um número único que cresce monotonamente, então toda semente 929 é única. Pode-se usar o tempo 920 e a semente 929 para identificar um algoritmo específico escolhido de uma lista de métodos disponíveis, ou seja, o algoritmo 1050. A divisão de pacotes, ou desmistura, compreende o procedimento inverso de mistura, usando-se o mesmo algoritmo executado na sequência exatamente reversa usada anteriormente para criar o pacote específico. Em última análise, tudo o que é feito é desfeito, mas não necessariamente tudo em um passo. Por exemplo, um pacote de dados embaralhados encriptados pode ser desencriptado mas permanecer embaralhado. Processado pela operação de divisão 1051, o pacote de dados de entrada não dividido 1054 é convertido em múltiplos pacotes de dados, por exemplo, pacotes de comprimento fixo divididos 1055 e 1056 usando a operação de separação 1052 para executar algoritmicamente a operação. Em fluxogramas de dados, é conveniente ilustrar essa operação de divisão de pacotes 1051, incluindo a operação de separação 1052 e a operação de lixo 1053 usando uma representação esquemática ou simbólica, conforme descrito no presente, pelo símbolo mostrado para a operação de divisão 1057.

[00553] Assim, conforme usado no presente, o termo divisão pode incluir separação, que se refere à separação de um pacote em dois ou mais pacotes ou subpacotes, e também pode incluir a inserção de pacotes ou subpacotes de lixo nos pacotes ou subpacotes “separados” resultantes ou o

Petição 870190124250, de 27/11/2019, pág. 153/571

148/381 exclusão de pacotes ou subpacotes de lixo dos pacotes ou subpacotes separados” resultantes.

[00554] A função inversa, operação de mistura de pacotes 1060 mostrada na FIG. 7B, combina múltiplos pacotes 1055 e 1056 para formarem juntos o pacote misturado 1054. Como a divisão de pacotes, a operação de mistura de pacotes pode usar qualquer algoritmo, método numérico ou método de mistura. O algoritmo pode representar uma equação estática ou incluir variáveis ou sementes numéricas ou estados” dinâmicos, como o tempo 920 usados para especificar as condições quando os pacotes de dados de entrada 1055 e 1056 são misturados. A operação de mistura utilizada para criar o pacote de dados pode utilizar a semente numérica 929 gerada pelo gerador de sementes 921, que também pode depender de um estado como o tempo 920. Pode-se usar o tempo 920 e a semente 929 para identificar um algoritmo específico de mistura escolhido de uma lista de métodos de mistura disponíveis, ou seja, dos algoritmos de mistura 1050. Em fluxogramas de dados, é conveniente ilustrar essa operação de mistura de pacotes usando uma representação esquemática ou simbólica, conforme descrito no presente pelo símbolo mostrado para a operação de mistura 1061.

[00555] De acordo com esta invenção, mistura e divisão de pacotes pode utilizar qualquer um de um grande número de algoritmos possíveis. A FIG. 8 ilustra três das muitas técnicas de mistura possíveis que compreendem concatenação, intercalação ou métodos algorítmicos. Na concatenação, a sequência de segmentos de dados do pacote de dados 1056 é anexada no final do pacote de dados 1055 para criar o pacote misturado 1054. Na intercalação, os segmentos de dados dos pacotes de dados 1055 e 1056 são misturados em forma alternada, ou seja, como IA, 2A, IB, 2B, etc. para formar o pacote de dados misturados 1065. Outros métodos usados para a mistura de pacotes envolvem um algoritmo. No exemplo mostrado, um algoritmo composto por simetria reflexiva intercalada alterna os segmentos de dados na ordem de IA,

Petição 870190124250, de 27/11/2019, pág. 154/571

149/381

2A, IB, 2B, IC, 2C na primeira metade do pacote misturado 1066, e na ordem inversa para a segunda metade, ou seja, 2D, 1D, 2E, 1E, 2F, 1F.

[00556] O aplicativo de mistura e embaralhamento de pacote de dados em uma rede SDNP é descrito no supracitado Pedido de Patente n° 14/803.869 dos E.U.A., intitulado Rede e Protocolo de Comunicação Dinâmica Segura. A FIG. 9A resume os elementos funcionais de SDNP, incluindo funções e sua operação inversa correspondente, ou seja, antifunções, bem como componentes dinâmicos das funções correspondentes, ou seja, o estado ou horário de cada função quando executada em um pacote de dados. Função SDNP que inclui operações de embaralhamento que compreendem embaralhamento do 926 e seu desembaralhamento de pacote antifunção 928; operações de fragmentação compreendendo a divisão 1057 e sua mistura antifunção 1061, operações de engano que compreendem a inserção de lixo 1053A e a eliminação de lixo 1053B, juntamente com operações de encriptação que compreendem a encriptação 1026 e a desencriptação 1032. Todas essas funções ocorrem de forma única de acordo com as variáveis de tempo ou estado 920.

[00557] A aplicação da mistura e divisão de pacotes de dados, juntamente com embaralhamento, desembaralhamento, encriptação, desencriptação e engano na comunicação de Ultima Milha coletivamente compõem a operação de segurança Ultima Milha SDNP. Esta operação de segurança de Ultima Milha SDNP é “direcional”, significando que a operação executada em e sobre todos os pacotes de dados de saída é diferente das operações executadas nos pacotes de dados de entrada.

[00558] A operação de segurança de Ultima Milha SDNP também é simétrica e reversível através da Ultima Milha, significando que usando credenciais de segurança locais como chaves, sementes, segredos compartilhados específicos da Ultima Milha específica, as operações executadas em um pacote de dados de saída em um dispositivo cliente são

Petição 870190124250, de 27/11/2019, pág. 155/571

150/381 desfeitas no gateway SDNP, geralmente executando-se a antifunção, isto é, ο inverso matemático, ou cada operação funcional originalmente executada pelo dispositivo cliente mas na sequência inversa. Como tal, o gateway SDNP está habilitado para recuperar o conteúdo original em preparação para o roteamento através da nuvem SDNP. Da mesma forma, para pacotes de dados recebidos num dispositivo do cliente usando credenciais de segurança específicas da zona para a Ultima Milha, a operação de segurança de Ultima Milha SDNP executada no dispositivo do cliente desfaz cada operação de segurança executada pelo gateway SDNP ao executar a antifunção em sequência inversa. Dessa forma, o dispositivo do cliente pode recuperar os dados originais em todos os pacotes de dados recebidos.

[00559] A operação de segurança de Ultima Milha SDNP é dinâmica e localizada, ou seja, específica da zona, usando condições dependentes do estado, p. ex., localização, tempo, etc. para determinar quais parâmetros foram usados no momento em que o pacote de dados foi preparado e para qual região, geografia ou localidade específica para uma determinada Ultima Milha. Por ser localizada, a preparação de pacotes de dados realizada em diferentes regiões e em diferentes conexões de Ultima Milha nunca tem a mesma codificação ou usa credenciais de segurança idênticas. Além disso, essas credenciais de segurança de Ultima Milha sempre diferem daquelas usadas na nuvem SDNP. Além disso, por ser dinâmica, o estado usado para criar os pacotes de dados muda constantemente, ofuscando ainda mais o processo de segurança real executado em cada pacote de dados e nunca deixando dois pacotes de dados iguais.

[00560] Pela aplicação combinacional singular de operações de segurança localizadas dinâmicas reversíveis simétricas direcionais específicas para cada comunicação de Ultima Milha, a aplicação algorítmica de embaralhamento dinâmico, fragmentação dinâmica, engano dinâmico e encriptação dinâmica feita de acordo com esta invenção assegura a

Petição 870190124250, de 27/11/2019, pág. 156/571

151/381 comunicação HyperSecure não alcançável com o uso de métodos simples de encriptação estática. A aplicação generalizada de métodos dinâmicos válidos para durações de apenas dezenas de milissegundos não só toma a interpretação quase impossível, mas não dá a um hacker tempo para decifrar ou interpretar o pacote de dados antes que outro chegue. Na prática, as operações de segurança Ultima Milha SDNP podem ser executadas utilizando-se software, firmware, hardware, CIs de segurança dedicados ou qualquer combinação dos referidos.

[00561] Embora seja possível uma infinidade de sequências combinatórias, um exemplo de operação de segurança de Ultima Milha SDNP é ilustrado na FIG. 9B especificamente para cargas úteis SDNP usadas na comunicação de Ultima Milha de rota única, ou seja, quando o dispositivo de um cliente se comunica com um único gateway SDNP. O processo envolve duas sequências operacionais direcionais, uma para pacotes de dados enviados, a outra para pacotes de dados recebidos. No caso de pacotes de dados enviados, mostrado na metade superior da ilustração, os dados a serem enviados são primeiro embaralhados usando a operação 926 de embaralhamento de pacote, e então o engano é executado pela inserção de dados de lixo 1053A. Em alguns casos, um pacote inteiro pode incluir dados totalmente de lixo, confundindo ainda mais as tentativas de mineração de dados pelos hackers.

[00562] Esses pacotes são então divididos em múltiplas partes pela operação de divisão 1057 usando-se a operação de separação 1052 e enviados separadamente para a operação de encriptação 1026. Cada parte é então encriptada usando-se chaves comuns ou distintas de encriptação, e o texto cifrado resultante é arranjado em uma carga útil SDNP mostrada como pacote de dados 1199A. O pacote é então formatado em pacotes de dados IP, isto é, preparação do pacote IP, em preparação para a comunicação no Ultimo Enlace e na Ultima Milha. Todas as operações executadas são dinâmicas,

Petição 870190124250, de 27/11/2019, pág. 157/571

152/381 ocorrendo em um determinado momento ou com um estado específico 920A durante a execução do processo de segurança.

[00563] No caso de pacotes de dados recebidos mostrado na metade inferior da ilustração, os dados recebidos do Ultimo Enlace compreendendo uma carga útil serial SDNP 1199B, isto é, de reconhecimento de pacotes IP são primeiro desencriptados em pedaços ou como um todo pela operação de desencriptação 1032 seguida pela operação de mistura 1061 para recuperar o fluxo de dados verdadeiro. Os pacotes de dados são então limpos, isto é, os dados de lixo são removidos dos pacotes de dados usando a operação 1053B de limpeza, seguida pela operação de desembaralhamento do pacote 928 para recuperar os dados recebidos. Todas as operações executadas nos pacotes de dados recebidos devem usar o estado 920B usado quando o gateway SDNP criou o pacote de dados, isto é, contendo informações de uma determinada hora ou com um estado específico 920B no nascimento do pacote. Essas informações de estado podem ser enviadas através de uma comunicação diferente por um servidor de sinalização ou pode ser carregada no pacote de dados de entrada como texto simples ou alternativamente como texto cifrado estático, isto é, com uma chave de desencriptação já conhecida pela operação de segurança de Ultima Milha SDNP. Os detalhes de estado 920B, no entanto, não podem ser encriptados usando-se uma chave que exija as informações de estado contidas no estado 920B, caso contrário o código será incapaz de abrir e usar suas próprias credenciais de segurança.

[00564] Outro exemplo de operação de segurança de Ultima Milha SDNP é ilustrado na FIG. 9C especificamente para cargas úteis paralelas SDNP usadas na comunicação de Ultima Milha de múltiplas rotas, isto é, quando o dispositivo de um cliente se comunica com múltiplos gateways SDNP. Como sua contraparte de rota única descrita anteriormente, o processo envolve duas sequências operacionais direcionais, uma para pacotes de dados enviados, a outra para pacotes de dados recebidos. No caso de pacotes de

Petição 870190124250, de 27/11/2019, pág. 158/571

153 /381 dados enviados, mostrado na metade superior da ilustração, os dados a serem enviados são primeiro embaralhados usando a operação 926 de embaralhamento de pacote, e então o engano é executado pela inserção de dados de lixo 1053C. Em alguns casos, um pacote inteiro pode incluir dados totalmente de lixo, confundindo ainda mais as tentativas de mineração de dados pelos hackers.

[00565] Esses pacotes são então divididos em múltiplos subpacotes pela operação de divisão 1057 usando-se a operação de separação 1052 e enviados separadamente para a operação de encriptação 1026. Cada parte é então encriptada usando-se chaves comuns ou distintas de encriptação, e o texto cifrado resultante é arranjado em múltiplas cargas úteis SDNP mostradas como pacote de dados 1199C, 1199D e 1199E. Os pacotes são então formatados em pacotes de dados IP separados e distintos, isto é, preparação do pacote IP, em preparação para a comunicação no Ultimo Enlace e na Ultima Milha. Todas as operações executadas são dinâmicas, ocorrendo em um determinado momento ou com um estado específico 920C durante a execução do processo de segurança.

[00566] No caso de pacotes de dados recebidos mostrado na metade inferior da ilustração, os dados recebidos do Ultimo Enlace compreendendo cargas úteis paralelas SDNP 1199F, 1199G e 1199H, isto é, de reconhecimento de pacotes IP são primeiro desencriptados em pedaços pela operação de desencriptação 1032 seguida pela operação de mistura 1061 para recuperar o fluxo de dados verdadeiro. Os pacotes de dados são então limpos, isto é, os dados de lixo são removidos dos pacotes de dados usando a operação 1053D de limpeza, seguida pela operação de desembaralhamento do pacote 928 para recuperar os dados recebidos. Todas as operações executadas nos pacotes de dados recebidos devem usar o estado 920D usado quando o gateway SDNP criou o pacote de dados, isto é, contendo informações de uma determinada hora ou com um estado específico 920D no

Petição 870190124250, de 27/11/2019, pág. 159/571

154/381 nascimento do pacote. Essas informações de estado podem ser enviadas através de uma comunicação diferente por um servidor de sinalização ou pode ser carregada no pacote de dados de entrada como texto simples ou altemativamente como texto cifrado estático, isto é, com uma chave de desencriptação já conhecida pela operação de segurança de Ultima Milha SDNP.

[00567] A operação de segurança de Ultima Milha SDNP não precisa usar os mesmos algoritmos ou métodos para os pacotes de dados tanto de entrada como de saída. Conforme exemplificado na FIG. 9D, os pacotes de dados enviados usam a operação 1190A de segurança de Ultima Milha SDNP enquanto os pacotes de dados recebidos usam operação 1190B de segurança de Ultima Milha SDNP. Referindo-se à metade superior da ilustração, os pacotes de dados de saída podem transportar dados que representem qualquer combinação de fontes de dados em tempo real de transdutores ou sensores, ou podem conter arquivos feitos antes da comunicação. Por exemplo, o som 1198A convertido em sinais elétricos pelo microfone 1180 e os sinais de vídeo da câmera 1181 são convertidos para um formato digital equivalente pelo CODEC 1182A de áudio e vídeo. Os formatos criados geralmente envolvem padrões como png, pic, mpeg, mov, etc. interpretáveis e interoperáveis com dispositivos padrão de acordo com a Camada 6 OSI, a camada de apresentação. O uso de formatos de vídeo e áudio padrão evita a necessidade de transmitir código proprietário para abrir um arquivo entre endereços de origem e destino.

[00568] A saída digital do CODEC 1182A de áudio vídeo é então misturada com dados de texto do teclado virtual 1183 (um teclado mostrado em uma tela sensível ao toque) e com arquivos de dados 1179A usando o misturador de conteúdo 1184. Este misturador, por sua vez, envia arquivos de dados para a operação 1190A de segurança de Ultima Milha SDNP e fornece informações do cabeçalho SDNP à operação de preparação do pacote IP

Petição 870190124250, de 27/11/2019, pág. 160/571

155 /381

119IA a fim identificar e etiquetar pacotes de dados em tempo real de arquivos estáticos. A operação 1190A de segurança de Ultima Milha SDNP então passa os pacotes de dados seguros à operação 1191A de preparação do pacote IP, que em seguida incorpora as cargas úteis SDNP em pacotes de dados IP de acordo com as instruções de roteamento recebidas pelo servidor de sinalização SDNP 1603. Os pacotes de dados podem ser distribuídos em múltiplos pacotes IP para múltiplas rotas de comunicação de Ultima Milha ou podem ser concatenados em uma sequência de dados seriais e incorporados e encaixados em um ou mais pacotes de dados seriais para rota simples de comunicação de Ultima Milha. Estes pacotes são então passados para a operação 1192A do cliente PHY para adicionar dados da Camada 1 e da Camada 2 para completar o pacote de dados IP.

[00569] Na operação inversa mostrada na metade inferior da ilustração, os dados de entrada do Ultimo Enlace recebidos pelo cliente PHY 1192B são passados à operação 1191B de reconhecimento de pacote IP, que identifica os dados de entrada como uma mensagem válida ou como um pacote de dados desconhecido e possivelmente mal-intencionado. As mensagens válidas são identificadas usando etiquetas SDNP, sementes, chaves e outros identificadores comunicados de antemão para o dispositivo cliente e para a operação 1191B de reconhecimento de pacotes IP pelo servidor de sinalização 1603. Antropomorficamente, a operação 1191B do reconhecimento de pacote IP espera e até prevê pacotes de dados recebidos válidos. Pacotes de dados inesperados sem identificação apropriada são descartados e nunca abertos ou processados ainda mais. Dessa forma, um hacker não pode se disfarçar e enviar dados válidos para qualquer nó SDNP sem primeiro registrar sua identidade na nuvem SDNP.

[00570] A operação 1191B do reconhecimento de pacote IP passa os pacotes de dados válidos para a operação 1190B de segurança de Ultima Milha SDNP, que, por sua vez, executa todas as operações necessárias para

Petição 870190124250, de 27/11/2019, pág. 161/571

156/381 reconstruir o conteúdo verdadeiro do pacote de dados - os dados que compreendem um amalgamado serialmente arranjado de arquivos de vídeo, áudio, texto e dados. O de-mux de conteúdo 1193, um desmultiplexador que desfaz a operação de mistura usada na criação do pacote de dados, p. ex., desmisturar o arquivo de dados serial criado pela operação 1184 do misturador executada no telefone do outro chamador, é então usado para separar os múltiplos tipos de arquivo. As saídas do de-mux de conteúdo 1193 incluem texto mostrado exibido na janela do Messenger 1196, arquivos de dados 1179A e dados em tempo real enviados para o CODEC de vídeo e áudio 1182B. O CODEC de vídeo e áudio 1182B converte os dados digitais da camada de apresentação em imagens vídeo ao vivo 1195 ou através do alto-falante 1194 em som 1198B.

[00571] Para o transporte de dados da Ultima Milha, os dados devem ser incorporados ou embalados em um arranjo de múltiplas camadas mostrado na FIG. 9E semelhante ao modelo de bonecas russas aninhadas Babushka mencionado anteriormente. Condizentemente, a carga útil SDNP 438 representa a carga útil de transporte 437, que, junto com o cabeçalho 436 de transporte, compreende a carga útil IP 435. A combinação da carga útil IP 435 com o cabeçalho IP 434 representa um datagrama IP, equivalente à carga útil MAC 432. Envolver a carga útil MAC 432 dentro do cabeçalho MAC 431 e rodapé MAC 433 resulta no “quadro” MAC, sendo o quadro equivalente à camada física 490, também conhecida como o conteúdo da Camada 1 PHY, compreendendo uma mídia física, como sinais elétricos, luz, ondas de rádio ou microondas.

[00572] No roteamento SDNP, o cabeçalho MAC 431 na Camada 2 descreve a conexão MAC para o Ultimo Enlace, ou seja, a conexão entre o dispositivo cliente e o primeiro dispositivo no enlace da Ultima Milha. Ao usar endereços de origem e destino do dispositivo cliente e o gateway SDNP, o cabeçalho 434 na Camada 3 especifica os pontos finais de roteamento

Petição 870190124250, de 27/11/2019, pág. 162/571

157/381 através da Última Milha. Entretanto, como a Última Milha não faz parte da nuvem SDNP, a rota precisa que os pacotes de dados usam através da Última Milha não é explicitamente indicada ou controlável. Na comunicação de Última Milha SDNP, o cabeçalho de transporte 436 na Camada 4 especifica que o UDP é usado para carga útil SDNP em tempo real e também especifica o endereço de porta SDNP ad hoc atribuído usado em cada pacote - um endereço que muda dinamicamente para frustrar as estratégias de ataque cibernético de interrogatório de porta.

[00573] A carga útil SDNP 438, carga útil do pacote IP da Última Milha, contém o preâmbulo 1198 SDNP que contém informações de zona, chaves e sementes, e o campo de dados SDNP 1199A, uma sequência serial de múltiplos segmentos de texto cifrado independentemente encriptado. A forma desencriptada do texto cifrado compreende arquivos de texto simples 1197A, 1997B e 1197C, cada um contendo seu próprio cabeçalho exclusivo SDNP e arquivos de dados correspondentes dados 91, dados 92 e dados 93, respectivamente. Os subcabeçalhos individuais incluem informações envolvendo etiquetas, CEPs, endereços, urgência e dados de QoS, conforme aplicável.

[00574] Os papéis do preâmbulo e cabeçalhos SDNP variam dependendo do comando e dos métodos de controle empregados. Na comunicação tripartite da Última Milha, um servidor de sinalização instrui o dispositivo cliente e o gateway ou gateways SDNP como se comunicar uns com os outros para fazer uma chamada, enviar um arquivo ou abrir uma sessão. Como tal, as instruções são comunicadas a ambos os dispositivos usando um pacote de dados de comando e controle com transporte TCP antes de enviar quaisquer pacotes de dados de mídia. Como tal, os dados mínimos exigidos na comunicação da Última Milha entre o cliente e o gateway SDNP são uma etiqueta ou um endereço usado para identificar o pacote recebido. Em alguns casos, por exemplo, se um servidor de sinalização não puder ser

Petição 870190124250, de 27/11/2019, pág. 163/571

158/381 alcançado, então em uma modalidade alternativa, o pacote de dados SDNP pode transportar dados adicionais em seu preâmbulo e cabeçalhos de pacotes. [00575] O pacote de dados e a tabela de acompanhamento 1177 mostrados na FIG. 9F ilustram um formato exemplar usado para transportar informações SDNP dentro da carga útil SDNP 438. O pacote de dados compreende o preâmbulo SDNP 1198 e um a oito cabeçalhos de campo de dados 1178X com seus campos de dados correspondentes Campo de Dados X. Cada campo de dados, como campo de dados 1, campo de dados 2 etc. é precedido por seu próprio cabeçalho correspondente Hdr 1, Hdr 2, etc. e transporta o conteúdo de um comunicado, incluindo voz, texto, vídeo, imagens, filmes, arquivos, etc. O número de campos de dados pode variar de um a oito, conforme determinado pelo n° de campo longo 4b, ou seja, do binário 0001 ao binário 1111. O comprimento do preâmbulo SDNP 1198 e carga útil SDNP 438 é afetado pela especificação do n° do campo. Se apenas um campo for selecionado, ou seja, quando o n° do campo = 0001 binário, o preâmbulo SDNP 1198 conterá apenas L Fid 1 (L Fld 2 até L Fld 8 serão eliminados) e carga útil SDNP 438 incluirá apenas Hdr 1 e o campo de dados

1. Se for selecionado o máximo de oito campos, ou seja, quando o n° do campo = 1111 binário, então o preâmbulo SDNP 1198 conterá oito especificações de comprimento L campo 1 até L campo 8 e a carga útil SDNP 438 incluirá oito campos de dados e cabeçalhos em sequência como Hdr 1, campo de dados 1, Hdr 2, campo de dados 2,... Hdr 8, campo de dados 8. Conforme mostrado, o preâmbulo SDNP 1198 contém as especificações do comprimento de campo L Fld 1, L Fld 2 e L Fld 8. A pequena lacuna entre L Fld 2 e L Fld 8 destina-se a representar a sequência continuar e não representa uma lacuna nos dados.

[00576] O comprimento de cada campo de dados especificado por L Fld X pode variar de zero ou 0B (um campo de dados nulo) até um comprimento hexadecimal máximo de FFFF ou 65,535B. Por razões práticas

Petição 870190124250, de 27/11/2019, pág. 164/571

159/381 de compatibilidade com Ethernet, o comprimento máximo do pacote de dados para qualquer campo é preferencialmente limitado a 1500B ou 05DC hexadecimal, e o comprimento agregado de todos os campos de dados não deve exceder o tamanho de pacote Jumbo de 9000B ou hexadecimal 2328. O comprimento especificado de cada campo de dados pode variar de forma independente. Um comprimento de campo zero, por exemplo, quando L Fld 8 = 0000 hexadecimal, resulta na eliminação do campo de dados 8 correspondente, mas não elimina o cabeçalho correspondente Hdr 8. Os cabeçalhos são eliminados apenas pela especificação n° do Campo.

[00577] De acordo com este protocolo SDNP, o rateio de conteúdo pelos vários campos de dados é extremamente flexível. Os dados direcionados para um único destino podem estar contidos em um único campo de dados, ou para fins de engano podem ser divididos em múltiplos campos de dados e mesclados com dados de lixo. O tamanho dos campos de dados pode variar de forma independente. Também podem ser incluídos campos de dados contendo dados puramente de lixo ou, altemativamente, podem ser gerados pacotes de dados inteiros contendo apenas dados de lixo. Entretanto, para o roteamento eficiente de pacotes, os dados direcionados para destinos diferentes devem ser particionados em campos de dados separados, cada um com seus próprios cabeçalhos exclusivos.

[00578] O formato de pacote SDNP é aplicável para o transporte de ponta a ponta por toda a rede SDNP, inclusive em múltiplas nuvens e zonas, como a nuvem SDNP ou em comunicação de Ultima Milha. Embora o conteúdo dos pacotes de dados SDNP mude à medida que percorre a rede, o formato de pacote SDNP permanece inalterado. Uma vez que esse formato inclui sobrecarga de dados mínima, o formato do pacote de dados SDNP é igualmente aplicável para grandes cargas úteis ou para a comunicação de tempo crítico em tempo real. O formato do pacote é aplicável para o fluxo de dados bidirecional, isto é, para o fluxo de dados da Ultima Milha para um

Petição 870190124250, de 27/11/2019, pág. 165/571

160/381 gateway SDNP e através da nuvem SDNP, ou inversamente para a entrega dos pacotes de dados que emanam da nuvem, saindo de um gateway SDNP para o transporte através da Ultima Milha ao dispositivo cliente do destino.

[00579] Na operação, a direção do roteamento de dados SDNP é determinada pelos endereços de origem e de destino da Camada-3 da Rede descritos no cabeçalho IP 434 da FIG. 9E. Cada pacote é carregado com seus endereços de origem e de destino no momento em que o nó de mídia prepara o pacote para transmissão para o próximo nó de mídia em sua rota. Na comunicação tricanal, o endereço SDNP ou IP do destino de um pacote é entregue de um servidor de sinalização aos nós de mídia como um pacote de comando e controle (C&C) antes da preparação do pacote de saída. Em geral, o servidor de sinalização é capaz de enviar instruções C&C para cada nó em um trajeto de comunicação, incluindo os dispositivos tanto de envio (chamador) como de destino (receptor). No caso de estar disponível apenas uma comunicação de canal único, por exemplo, em um enlace com longos atrasos de propagação, então o servidor de sinalização é incapaz de pré-avisar um nó de mídia de um pacote de entrada ou o que fazer com ele. Em tal evento, os endereços de roteamento são carregados dentro do pacote de dados de entrada na carga útil SDNP 438. Nesses casos, o servidor de mídia segue as instruções padrão sobre como processar o pacote de entrada usando campos de dados contidos no pacote SDNP de entrada, incluindo informações de roteamento e estado, bem como credenciais de segurança.

[00580] A carga útil 438 é composta por duas partes, uma parte legível compreendendo o preâmbulo 1198, e uma parte ilegível 1199a contendo dados em uma forma oculta. O conteúdo desse pacote pode empregar qualquer número de técnicas de ocultação para obscurecer seu conteúdo, como encriptação, embaralhamento e possivelmente contendo dados de lixo. O método de ocultação deve ser desfeito para extrair o conteúdo utilizável 1197a, 1997b e 1197c. Esses pacotes contêm os endereços de destino dos

Petição 870190124250, de 27/11/2019, pág. 166/571

161/381 futuros pacotes de saída. Os endereços existem somente em uma forma não oculta ou desencriptada por somente um breve momento antes que os próximos pacotes possam ser preparados e encriptados.

[00581] Conforme descrito, o preâmbulo SDNP 1198 compreende informações relevantes ao pacote inteiro. Além das especificações de campo de dados, a FIG. 9F ilustra o preâmbulo SDNP 1198, que também inclui a zona SDNP onde o pacote SDNP foi criado, por exemplo, zona Ul, duas sementes numéricas e duas chaves. Essas chaves e sementes podem ser usadas como credenciais de segurança específicas da zona no processo de embaralhamento/desembaralhamento, inserção/exclusão de lixo, mistura/divisão e encriptação/desencriptação. As sementes e as chaves podem ser usadas como os meios exclusivos para a entrega das credenciais de segurança necessárias para abrir e ler os campos de dados, ou podem ser usadas conjuntamente com os pacotes de comando e controle enviados ao dispositivo do cliente e ao gateway SDNP a partir do servidor de sinalização, uma rede de computadores de comando e controle não envolvidos no transporte de conteúdo de comunicado em pacotes de mídia.

[00582] As sementes e as chaves podem ser entregues com segurança em forma pública, isto é, não encriptada, porque os dados carecem das informações necessárias para usá-los - eles compreendem somente a parte da credencial de segurança. As outras partes das credenciais de segurança, as partes faltantes, podem ser enviadas anteriormente em outro pacote de dados ou podem incluir segredos compartilhados de algoritmos, tabelas de consulta e códigos não entregues pela rede e que não fazem parte da mensagem. As teclas de encriptação podem ser chaves simétricas, quando tanto o remetente quanto o destinatário mantêm a chave ou chaves públicas, quando o público, incluindo o remetente, tem acesso à chave de encriptação, mas apenas o destinatário, ou seja, a parte que gera a chave de encriptação, guarda a chave de desencriptação. Além disso, todas as credenciais de segurança são

Petição 870190124250, de 27/11/2019, pág. 167/571

162/381 limitadas a uma zona de segurança específica, por exemplo, Ul, e são dinâmicas, limitadas a um tempo ou estado específico que expira se não forem utilizadas dentro de um tempo especificado. Se os campos de dados da semente e da chave não forem usados como credenciais de segurança, por exemplo, porque o servidor de sinalização instrui de forma independente os dispositivos SDNP referentes a operações de segurança, então esses campos podem ser preenchidos com valores numéricos que aparecem falsamente como chaves de encriptação, desorientando um invasor cibernético ao fazê-lo perder tempo analisando uma chave de segurança de chamariz.

[00583] Em comunicação de Ultima Milha, os roteadores intermediários entre o dispositivo do cliente e o gateway SDNP não processam, nem interpretam ou abrem os pacotes de dados transportados porque não fazem parte da rede SDNP e carecem da capacidade de consultar ou interpretar os dados do pacote SDNP neles contidos. Em vez disso, todas as operações de segurança são executadas exclusivamente nos dois pontos finais, o cliente SDNP e o gateway SDNP, porque apenas esses dispositivos operam como nós de comunicação SDNP. Uma vez que cada ponto final executa protocolos SDNP dinamicamente, a comunicação de Ultima Milha é hipersegura na Ultima Milha inteira. Se a outra parte chamadora também executa o software SDNP, então a Ultima Milha da segunda parte também é obtida pelos métodos SDNP acima mencionados e a comunicação HyperSecure fica garantida de ponta a ponta” - de um chamador para o outro.

[00584] Entretanto, no caso em que o dispositivo final não for um cliente SDNP, então o roteador mais próximo do chamador, ou seja, o roteador do Ultimo Enlace, pode ser ativado com firmware SDNP, e o Ultimo Enlace pode ser razoavelmente conseguido a partir de funções especiais executadas pelo roteador habilitado SDNP, embora não esteja habilitado pelo SDNP. Esse método alternativo de segurança do Ultimo Enlace é descrito em

Petição 870190124250, de 27/11/2019, pág. 168/571

163 /381 maior detalhe em seções subsequentes desta divulgação e não será esmiuçado nesta seção. O método descrito, quando aplicável para garantir comunicação do Ultimo Enlace, não é suficiente para proteger outras partes da Ultima Milha.

[00585] Referindo-se novamente à FIG. 9F, cada campo de dados SDNP é acompanhado por um cabeçalho de campo de dados SDNP 1178X contendo informações singularmente aplicáveis ao seu campo de dados associado, mas não úteis para outros campos de dados. Especificamente, na modalidade divulgada, cada cabeçalho contém um campo de tipo de dados que descreve que tipo de dados está contido dentro do campo de dados associado, um campo de endereço de destino usado para identificar o campo de dados específico e seu destino, uma zona de campo usada para transportar informações de zona de uma zona para outra, bem como informações de urgência e de entrega. Conforme mostrado, cada carga útil de dados SDNP 438 contém um preâmbulo SDNP 1198 e um ou mais cabeçalhos de campo de dados SDNP 1178x e campos de dados x correspondentes, onde x descreve o número de cargas úteis separadas que pode variar de 5 a 50, dependendo do tamanho e da urgência das cargas úteis.

[00586] Embora o servidor de sinalização possa fornecer a maioria das informações descritas ao cliente SDNP e ao gateway SDNP, um componente fundamental necessariamente transportado pelo pacote de dados da Ultima Milha é um campo de endereço ou etiqueta necessária para identificar o pacote de dados. O campo, conhecido como o endereço de destino da carga útil SDNP (abreviado na ilustração como Dest Addr), pode incluir qualquer identificador exclusivo suficiente para distinguir a identidade de um campo de dados de outro. Sua finalidade é similar à função dos códigos de barra usados para etiquetar e controlar a bagagem em aeroportos ou em caixas enviadas por um serviço de encomendas. Os tipos de endereço podem, por exemplo, incluir uma etiqueta numérica, um CEP SDNP, um endereço IPv4 ou IPv6, um

Petição 870190124250, de 27/11/2019, pág. 169/571

164/381 endereço NAT ou até mesmo um número de telefone regular POTS, contanto que o identificador seja exclusivo para evitar conflitos na identificação do pacote de dados. O tamanho do campo de endereço de destino varia de acordo com o tipo de tipo de endereço selecionado.

[00587] Para manter o anonimato do pacote durante o roteamento, é preferível empregar códigos confidenciais como um CEP SDNP como o endereço de destino SDNP em vez de usar números de telefone verdadeiros ou endereços IP. Em operação, sempre que um pacote de dados de um cliente SDNP chegar em um gateway SDNP, a carga útil SDNP é desencriptada e então cada cabeçalho de campo de dados é inspecionado quanto aos endereços de destino de identificação. Antes que o cabeçalho dos dados possa ser inspecionado, o pacote de dados deve ser desencriptado ou processado para desfazer os métodos de ocultação usados na criação do pacote. No caso de comunicação de canal duplo ou triplo, conforme mostrado na FIG. 9G, o servidor de sinalização 1603 informou previamente o gateway SDNP sobre a chegada planejada do pacote de dados e suas respectivas marcações de identificação e credenciais de segurança. Como tal, quando o gateway SDNP recebe o pacote de dados 43 8A que compreende comunicação de Ultima Milha enviada de um cliente de a carga útil SDNP de texto cifrado para pacote de dados 438B de texto simples. Uma operação de segurança descreve o processamento de modificar um pacote de dados de saída para ocultar seu conteúdo e o processo para modificar um pacote de dados de entrada para revelar seu conteúdo. Especificamente, a operação de segurança executada em um pacote de dados de entrada é usada para recuperar seu conteúdo ao desfazer operações de ocultação executadas nele antes de seu transporte, incluindo o uso de desencriptação para desfazer encriptação, desembaralhamento para desfazer embaralhamento, eliminação de lixo para remover inserções de lixo eletrônico e mistura para desfazer a divisão. Esses processos são executados de acordo com o estado e a zona do pacote de dados

Petição 870190124250, de 27/11/2019, pág. 170/571

165 /381 quando ele foi criado. Para pacotes de dados enviados, uma operação de segurança envolve ocultar o conteúdo de um pacote de dados antes do transporte ao executar encriptação, embaralhamento, inserções de lixo eletrônico e divisão de pacotes de acordo com o estado e a zona quando o pacote de dados for criado. Os campos de dados de chave e semente não encriptados no pacote de dados 438A podem ser negligenciados ou opcionalmente usados em conjunto com as informações do servidor de sinalização para desencriptar o texto cifrado. A operação resultante revela o campo de dados 1 e seu cabeçalho de campo de dados associado 117D rotulado como Hdr 1 contendo informações do endereço de destino do campo de dados, o tipo de dados, a urgência e a entrega. Nesses casos, o endereço de destino não é um endereço de roteamento, mas apenas um CEP SDNP, ou seja, uma etiqueta usada para identificar que o pacote faz parte de uma conversa específica.

[00588] Uma vez que se constatar que um campo de dados específico contém o endereço de destino identificado, por exemplo, um CEP SDNP, com instruções compatíveis do servidor de sinalização 1603, o campo de dados é extraído, opcionalmente misturado com outro conteúdo relacionado pelo misturador 1184Z e re-embalado em um novo datagrama IP ou SDNP pela operação 1191Z de preparação do pacote SDNP para a entrega a seu destino seguinte. O novo pacote de dados dirigido para a nuvem inclui um cabeçalho SDNP 434Z que contém o destino do novo pacote e conteúdo de dados, carga útil SDNP 435Z. O destino fornecido pelo servidor de sinalização 1603 para o nó de mídia do gateway como um endereço IP ou endereço SDNP pode incluir outro servidor SDNP operando como um nó de nuvem SDNP ou pode envolver comunicação de Ultima Milha para outro cliente SDNP. Em tais casos de comunicação de canal triplo, o endereço de destino não é realmente um endereço, mas um meio de identificar o pacote, onde seu próximo destino já é conhecido pelo gateway SDNP. No caso em que o destino do pacote for

Petição 870190124250, de 27/11/2019, pág. 171/571

166/381 para o roteamento da nuvem SDNP, o pacote de dados é então processado pela operação 1190Z de segurança da nuvem SDNP de acordo com as credenciais de segurança Z1 para a nuvem, não as credenciais UI usadas na Última Milha.

[00589] Na comunicação de canal único, conforme mostrado na FIG. 9H, um servidor de sinalização não consegue aconselhar o gateway SDNP antes da chegada iminente de um pacote de dados e seus campos de dados, seja porque (i) não há nenhum servidor de sinalização operando na rede local, (ii) os servidores de sinalização estão temporariamente off-line, ou (iii) o servidor de sinalização está muito ocupado e incapaz de rotear preventivamente os pacotes a tempo. Em tais casos, o pacote de dados 438A do cliente SDNP deve carregar as credenciais de segurança necessárias de zona Ul, semente 1, semente 2, chave 1 e chave 2 para desencriptar o pacote de dados usando a operação 1190D de segurança de Última Milha SDNP que converte o pacote de dados de texto cifrado 438A para o pacote de dados 438B de texto simples. O formato do pacote de dados SDNP padrão reserva esses campos de dados, mesmo se o conteúdo do campo não for exigido por um nó de mídia específico. Por exemplo, se um processo de ocultação específico usado para criar um pacote de dados não usar o campo de Chave 2, os dados nesse campo não têm sentido e não são usados pelo nó de destino. Não obstante, o pacote de dados reserva o mesmo número de bytes para o campo usado ou não, de modo que todos os pacotes de dados SDNP são homogêneos em termos de formato. Uma vez que tiver desencriptado o texto cifrado no pacote de dados 438A, o gateway SDNP extrai o conteúdo do campo de dados 1 do pacote de dados e o cabeçalho de seu campo associado Hdr 1 1178D do pacote de dados 438B do texto simples. Desse pacote de dados, o processo 1191D de reconhecimento de pacote IP combina os campos de dados para Tipo A e Endereço de Destino do cabeçalho de campo Hdr 1 1178D por duas razões - primeiro em comunicações de canal triplo para

Petição 870190124250, de 27/11/2019, pág. 172/571

167/381 confirmar que o pacote recebido é esperado, e em segundo lugar a produzir um novo endereço SDNP. Esse novo endereço SDNP é combinado com os campos Tipo D, Urgência e Entrega e processado pela operação 1191Z de preparação de pacotes SDNP para criar o cabeçalho SDNP 434Z no pacote de dados de saída. O conteúdo do Campo de Dados 1 também é extraído do pacote de dados de entrada de texto simples 438B e seu conteúdo é opcionalmente misturado 1184Z com outro conteúdo enviado para criar carga útil de saída SDNP 435Z. O pacote é então processado pela segurança 1190Z da nuvem SDNP na preparação para o encaminhamento. Dessa forma, o campo de endereço executa múltiplas funções, tanto para identificar um pacote de dados de entrada como para fornecer um endereço de encaminhamento quando necessário.

[00590] Se um nó de mídia receber um pacote de dados sem primeiro receber instruções de um servidor de sinalização, o nó de mídia reassumirá instruções padrão sobre como processar o pacote de dados de entrada e como preparar pacotes de dados enviados. Caso o nó de mídia não possua nenhuma instrução sobre como manipular pacotes recebidos não anunciados, o pacote de dados será descartado. Se o nó de mídia for habilitado com instruções sobre como processar pacotes não identificados, o nó de mídia primeiro confirmará de acordo com as credenciais de segurança que o pacote é um pacote SDNP válido e o processará adequadamente. Entretanto, se o remetente não puder ser identificado, por exemplo, se um código de encriptação, semente ou endereço de origem for inválido, então o pacote será descartado como fraude.

[00591] Retornando à FIG. 9F, o campo de pacote rotulado Zona de Campo descreve a zona onde um campo específico foi criado, ou seja, se foi realizada uma encriptação ou embaralhamento com, por exemplo, configurações de zona UI ou U2. Em casos de protocolos de segurança aninhados ou outros métodos de ocultação aninhados, o desembaralhar,

Petição 870190124250, de 27/11/2019, pág. 173/571

168/381 desencriptar ou desfazer a ocultação de um pacote de dados requer informações adicionais, por exemplo, uma chave, semente, tempo ou estado, caso em que se pode usar o campo de pacote rotulado Campo Outros para transportar as informações específicas do campo. Em geral, esses campos não são empregados, exceto em protocolos de segurança aninhados, por exemplo, quando um campo de dados encriptados for então embaralhado ou encriptado uma segunda vez. Deve-se ter cuidado ao empregar métodos de segurança aninhados para executar a recuperação de dados precisamente na ordem inversa da preparação do pacote de dados, ou o conteúdo será perdido para sempre.

[00592] O campo de pacote rotulado como Tipo de Dados, se usado, facilita o roteamento específico do contexto, diferenciando dados, vídeo prégravado, texto e arquivos de computador que não exigem comunicação em tempo real de pacotes de dados que contém informações de tempo sensível como voz e vídeo ao vivo, ou seja, para distinguir roteamento em tempo real de dados não em tempo real. Os tipos de dados incluem voz, texto, vídeo em tempo real, dados, software, etc.

[00593] Os campos de pacote rotulados como Urgência e Entrega são usados juntos para determinar a melhor maneira de rotear os dados em um campo de dados específico. A Urgência inclui as categorias de lesma, normal, prioritária e urgente. A entrega inclui vários marcadores de QoS para categorias normais, redundantes, especiais e VIP. Em uma modalidade desta invenção, o tamanho binário dos vários campos de dados, conforme mostrado na tabela 1177, é escolhido para minimizar a largura de banda de comunicação necessária. Por exemplo, os campos de dados conforme mostrado podem variar de 0 a 200B nos quais oito campos de dados de 200B por campo de dados significa que um pacote SDNP pode transportar 1,600B de dados.

[00594] Tanto a FIG. 9G como a FIG. 9H ilustram o caso em que um

Petição 870190124250, de 27/11/2019, pág. 174/571

169/381 dispositivo cliente envia pacotes de dados na zona UI através da Última Milha para um nó de gateway. O nó de gateway então processa os pacotes de dados recebidos para desfazer os métodos de segurança e ocultação da Última Milha empregados utilizando as credenciais de segurança da zona Ul. O nó do gateway pode então misturar o conteúdo do pacote com o conteúdo de outros pacotes no processo de mistura 1184Z para criar um novo pacote (ou pacotes) destinado(s) para transporte através da nuvem SDNP usando as credenciais de segurança da zona Zl.

[00595] Emprega-se um processo semelhante quando o gateway SDNP recebe um pacote de dados da nuvem (incluindo de outro gateway) e envia o pacote de dados para um dispositivo cliente, por exemplo, da nuvem SDNP para o telefone do cliente (o receptor). Conforme mostrado na FIG. 91, no caso de comunicação de canal duplo ou triplo, o servidor de sinalização 2603 informou previamente o gateway SDNP sobre a chegada planejada do pacote de dados e suas respectivas marcações de identificação e credenciais de segurança. Como tal, quando o gateway SDNP recebe o pacote de dados 2438A da nuvem SDNP, o gateway executa a operação 2190D de segurança da nuvem SDNP para converter a carga útil SDNP de texto cifrado para pacote de dados 2438B de texto simples. Os campos de dados de chave e semente não encriptados no pacote de dados 2438A podem ser negligenciados ou opcionalmente usados em conjunto com as informações do servidor de sinalização para desencriptar o texto cifrado. O uso dos campos de dados depende dos algoritmos empregados para ocultar a carga útil do pacote. Por exemplo, se não se utilizar encriptação, os campos que contêm chaves de encriptação serão desprezados.

[00596] A operação resultante extrai um número de campos de dados. Uma operação subsequente divide esses campos de dados na operação 2184Z de divisão de conteúdo para extrair conteúdo específico compreendendo o campo de dados 1 e seu cabeçalho associado de campo de dados 2117D

Petição 870190124250, de 27/11/2019, pág. 175/571

170/381 rotulado como Hdr 1 usando a operação de reconhecimento 2191D. O cabeçalho Hdr 1 contém as informações do endereço de destino, tipo de dados, urgência e entrega do campo de dados. O campo de dados extraído é então re-embalado em um novo datagrama IP ou SDNP pela operação 1191Z de preparação de pacotes SDNP para entrega ao seu próximo destino. O novo pacote de dados dirigido para a nuvem inclui um cabeçalho SDNP 2434Z que contém o destino do novo pacote (o endereço IP correspondente ao número de telefone da pessoa) e o conteúdo de dados, carga útil SDNP 2435Z. O pacote enviado então processado pela operação de segurança de Ultima Milha SDNP 2190Z de acordo com as credenciais de segurança UI para a Ultima Milha, não as credenciais Z1 usadas na nuvem.

[00597] Se um servidor de sinalização não estiver disponível, ou seja, na comunicação de canal único, o nó de mídia deverá processar um pacote de dados de entrada usando instruções fornecidas anteriormente como uma instrução padrão. Nesses casos, o pacote de dados de entrada é verificado em relação aos critérios necessários para confirmar que o remetente é um cliente SDNP válido (como um CEP SDNP ou um código de autenticação fornecido anteriormente como um segredo compartilhado predeterminado). Se for constatado que o pacote é válido, o pacote é processado de acordo com as instruções padrão. Caso contrário, o pacote é descartado.

[00598] Os métodos acima mencionados são exemplares e não se destinam a limitar o processamento e o roteamento de pacotes de dados a um formato específico de pacote de dados.

Segurança e Privacidade na Comunicação [00599] Uma consideração importante na comunicação de Ultima Milha é a capacidade de uma rede de acomodar tanto comunicação segura como comunicação privada. Embora privacidade e segurança sejam frequentemente associadas, elas não são a mesma coisa. Segurança, como o termo é usado em comunicação, é considerada a disciplina para impedir o

Petição 870190124250, de 27/11/2019, pág. 176/571

171/381 acesso não autorizado aos dados de uma comunicação em forma reconhecível. No entanto, a segurança não abrange casos em que um indivíduo ou agência tenha o direito de acessar ou monitorar uma comunicação. Define-se privacidade como o estado ou condição de ser livre de ser observado ou perturbado por outras pessoas e de ser livre da atenção do público. Em termos jurídicos, define-se privacidade como o direito de uma pessoa de controlar o acesso às suas informações.

[00600] Em comunicação, os direitos de privacidade de um indivíduo em suas chamadas de voz, vídeo, texto, e-mails, mensagens pessoais, etc. variam dramaticamente de um país para outro. O papel no cumprimento das regulamentações governamentais aplicáveis para legalmente fornecer acesso válido à comunicação é discutido em uma seção subsequente. Isto posto, um sistema ideal de rede e comunicação deve ser capaz de evitar a pirataria de comunicação, ou seja, deve ser absolutamente seguro e deve ser capaz de assegurar que todas as comunicações se limitem àqueles com o direito de saber, ou seja, devem ser privadas.

[00601] Ao avaliar os recursos de privacidade e segurança de uma rede, a Ultima Milha da rede e seus dispositivos conectados devem ser considerados com cuidado. Dependendo das credenciais de segurança usadas para estabelecer os privilégios de acesso às informações, a Ultima Milha e seus dispositivos conectados frequentemente determinam a segurança e a privacidade de uma rede, ou seja, a Ultima Milha representa o elo mais fraco. Deve-se considerar quatro combinações possíveis de redes de comunicação: [00602] Redes seguras e privadas. Da perspectiva de um indivíduo, este caso representa o desempenho ideal da rede, um que garanta tanto a segurança das informações quanto a privacidade para o indivíduo. Em seu extremo, uma rede privada verdadeiramente segura significa que nenhum indivíduo, governo, agência ou corporação pode interceptar comunicação significativa nem obter dados privados sobre o comportamento de uma

Petição 870190124250, de 27/11/2019, pág. 177/571

172/381 pessoa, suas ações, contatos e associados, suas preferências pessoais e atividades, etc. Embora os defensores dos direitos de privacidade considerem uma rede privada segura e idealizada como o padrão-ouro em comunicação confidencial, os governos, organizações de segurança e corporações consideram a autonomia absoluta na comunicação como problemática, permitindo que pessoas participem de atividades criminosas e terroristas com absoluto sigilo e impunidade.

[00603] Redes inseguras que carecem de privacidade. Uma rede que não seja segura e não tenha nenhuma cláusula de privacidade (como as operadoras de OTT de Internet atualmente) representa um grave risco para qualquer indivíduo, grupo, clube, empresa ou governo que utilize o canal de comunicação. Como um invasor cibernético pode facilmente acessar chamadas e dados, qualquer parte mal-intencionada pode usar essas informações para qualquer finalidade que desejarem. Para importunadores práticos e spammers, canais de comunicação inseguros podem ser utilizados para criar o caos, inundar redes com spam, iniciar ataques de negação de serviço e criar danos prejudiciais. Para ideólogos, ativistas políticos e cultos religiosos, a comunicação insegura pode ser usada para vazar informações sensíveis para precipitar mudança política, desacreditar funcionários do governo, estimular motins ou até mesmo derrubar governos (ver o filme de ficção histórica O Quinto Poder” (DreamWorks © 2013) como um exemplo que narra a divulgação do WikiLeaks de centenas de milhares de documentos governamentais sensíveis que precipitou uma avalanche de repercussões internacionais). Para criminosos cibernéticos financeiramente motivados, como os associados ao crime organizado e à máfia, os ataques se concentram em crimes financeiros, por exemplo, roubo, desvio de fundos, fraude, roubo de identidade, lavagem de dinheiro, extorsão, chantagem e outros delitos. Para os envolvidos em casos de amedrontamento e intimidação, como os cartéis de drogas, gangues e terroristas, a comunicação insegura pode ser monitorada

Petição 870190124250, de 27/11/2019, pág. 178/571

173 /381 para rastrear a localização, os movimentos e as ações de seus concorrentes, inimigos e vítimas escolhidas para fins de planejamento e implementação de crimes violentos como assaltos, sequestro, assassinatos, atentados ou atos terroristas. Finalmente, no caso de ataques cibernéticos pessoais, pode-se usar as comunicações inseguras para hackear ilegalmente bancos de dados que contenham informações particulares, inclusive números de seguridade social, passaportes, informações bancárias, informações de cartão de crédito, prontuários médicos e outras informações confidenciais.

[00604] Redes seguras que carecem de privacidade. Exemplos de redes seguras com falta de privacidade comumente incluem contas corporativas onde o gerente de TI (Tecnologia da Informação) ou o departamento de segurança têm o direito e autoridade para monitorar todas as comunicações corporativas para garantir que não ocorra nenhuma comunicação inadequada ou ilegal na rede da empresa. Mesmo que a rede seja segura contra hackers e criminosos cibernéticos, as comunicações nesse tipo de rede não são privadas e podem ser monitoradas por agentes autorizados para detectar irregularidades, incluindo uso pessoal não autorizado da infraestrutura de comunicação da empresa, espionagem corporativa, violação de acordos de confidencialidade, divulgação não autorizada de prioridade intelectual (vazamentos de IP), assédio sexual, violações do regulamento de divulgação justa (reg. FD), informações privilegiadas, violação da FCPA (lei de práticas corruptas estrangeiras), corrupção, suborno, fraude, violações de relatórios financeiros, violações de valores mobiliários e muito mais. Na comunicação corporativa, um indivíduo é informado ao ingressar na empresa que suas comunicações corporativas não são privadas e podem ser monitoradas, incluindo telefonemas da empresa, e-mail, texto, mensagens pessoais e SMS e outros comunicados. No caso de processos judiciais, sejam civis ou criminais, esses comunicados também podem ser submetidos a intimação e inscritos como provas judiciais, mesmo que informações pessoais sejam misturadas

Petição 870190124250, de 27/11/2019, pág. 179/571

174/381 com informações da empresa. Em essência, se um funcionário de uma empresa utiliza a comunicação, dispositivos e redes da empresa para uso pessoal, então (exceto no caso de prerrogativa advogado-cliente) todas as informações estão disponíveis e não devem ser consideradas privadas. Por esse e outros motivos, o uso misto de aplicativos de mensagens pessoais, como Line e KakaoTalk para uso pessoal e empresarial é especialmente problemático porque um funcionário não pode invocar direitos de privacidade para evitar a inspeção de seus chats de texto, imagens e arquivos.

[00605] Redes quase privadas e inseguras. Uma rede quase-privada insegura é aquela em que a rede que transporta os dados pode ser hackeada, por exemplo, grampeada, mas as transações privadas podem ser realizadas confidencialmente, apesar da falta de segurança, desde que determinadas condições sejam atendidas. Dessa forma, a privacidade é estabelecida confirmando-se a identidade de um chamador (ou chamadores) por vários meios pelo uso de segredos compartilhados, indetectável até mesmo por um hacker que intercepte a chamada. Um exemplo comum de uma comunicação privada insegura é uma transação bancária por voz. O chamador confirma a sua identidade ao responder uma série de perguntas em constante mudança para que seja improvável que um impostor saiba as respostas, por exemplo, nós vemos que você jantou ontem à noite e pagou com o nosso cartão de crédito. Podería me dizer em que cidade você jantou? Ou, você recebe uma fatura regular de uma vinícola. Que vinícola é? Outro exemplo de pergunta é você podería me dizer o sobrenome do seu professor favorito da escola de ensino fundamental? Para que esses métodos de verificação de identidade funcionem, o banco deve ter ou acesso a informações não pública (como extratos de cartão de crédito) ou o banco e seus clientes devem estabelecer um conjunto de segredos compartilhados quando a conta foi configurada pela primeira vez, geralmente em pessoa e não eletronicamente. Após a identidade do chamador ser confirmada, o cliente poderá instruir a instituição a realizar

Petição 870190124250, de 27/11/2019, pág. 180/571

175 /381 determinadas ações que não beneficiariam um criminoso cibernético. Por exemplo, por favor, transfira $10.000 das minhas economias para minha conta corrente. Entretanto, se a transferência de dinheiro for referente a outro banco, até mesmo uma verificação mais rigorosa deve ocorrer para garantir a privacidade do cliente. Em qualquer caso, a privacidade depende de cumprir a condição de que a comunicação não pode revelar segredos compartilhados eletrônica ou oralmente, caso contrário perde-se toda a privacidade e as contas podem estar em risco. Como tal, a comunicação autenticada em uma linha insegura é denominada quase privada, significando privacidade condicional. Um outro exemplo de comunicação quase-privada através de uma rede insegura pode ser executado utilizando-se um token de segurança, um dispositivo emitido pelo banco que somente o cliente possui. O número pseudoaleatório gerado pelo dispositivo é informado ao operador do banco, que confirma que o número é consistente com os números autorizados do banco. Uma vez que o número tem 8 ou mais algarismos, a possibilidade de adivinhar o código na primeira vez é mínima. Se for fornecido o número de token incorreto, a chamada será encerrada, a conta será congelada e o departamento de fraude será alertado para investigar. Em qualquer caso, a importância de garantir a privacidade através de uma rede insegura depende de se poder comunicar sem revelar verbalmente quaisquer detalhes confidenciais, tais como números de conta, PINs, informações de cartão de crédito, etc., ou seja, a comunicação é apenas quase-privada.

[00606] Verificação de identidade e AAA - Os conceitos de segurança e privacidade dependem de uma verificação de identidade precisa e confiável, ou seja, que um chamador seja quem ele diz que é. A verificação de identidade, também conhecida como autenticação, é importante para permitir o uso válido de dados e de comunicação e para impedir o acesso ilegal ou não aprovado. A verificação confiável de identidade é importante na segurança nacional, aplicação da lei, propriedade de IP, empresa comercial e

Petição 870190124250, de 27/11/2019, pág. 181/571

176/381 em direitos individuais. Exemplos da importância da verificação de identidade incluem o seguinte:

[00607] Para a segurança nacional de um país, a verificação de identidade do chamador é importante para rastrear a identidade de criminosos, espiões, terroristas, traficantes de drogas e qualquer pessoa que divulgue segredos nacionais ou ameace a segurança nacional. E igualmente importante ser capaz de identificar indivíduos que estão autorizados a acessar, ler ou enviar comunicados, dados e arquivos confidenciais, secretos ou extremamente secretos.

[00608] Para a aplicação da lei, a verificação de identidade do chamador é importante na identificação de indivíduos ou organizações envolvidas em atividades criminosas, como roubos, incêndio, tráfico de drogas, contrabando, prostituição e tráfico de pessoas, extorsão, chantagem e outros crimes. E igualmente importante ser capaz de identificar indivíduos que sejam agentes policiais autorizados, incluindo serviços de polícia, bombeiros, paramédicos, guardas florestais, agente de segurança aérea, TSA e segurança aeroportuária, autoridades portuárias, alfândega e de guarda costeira.

[00609] Para os proprietários de IP, como estúdios de cinema, a identificação de identidade é importante para a identificação de indivíduos, organizações e entidades envolvidas em pirataria e a distribuição não autorizada de material protegido por direitos autorais, como música, filmes, livros, vídeos, etc. E igualmente importante para confirmar a distribuição válida e legal de IP e material protegido por direitos autorais.

[00610] Para as empresas comerciais, a verificação de identidade de seus funcionários é importante para rastrear a liberação intencional ou acidental de informações importantes não públicas, para identificar aqueles envolvidos em espionagem comercial, para identificar indivíduos envolvidos na divulgação ilegal de propriedade intelectual, e os que cometem outros

Petição 870190124250, de 27/11/2019, pág. 182/571

177/381 crimes, tais como fraude ou uso pessoal da comunicação da empresa. É igualmente importante confirmar a identidade daqueles para os quais estão disponíveis informações confidenciais da empresa, e especificamente para autorizar a que tipos específicos de dados eles têm acesso. Por exemplo, o departamento de engenharia de uma empresa não deve ter acesso aos registros de pessoal do departamento de marketing para comparar quanto o pessoal de marketing está recebendo.

[00611] Para os indivíduos, a verificação de identidade é importante para garantir a privacidade do chamador, ao confirmar que a pessoa ou pessoas com quem você está se comunicando não é/são impostor(es).

[00612] Assim, o papel da verificação de identidade é confirmar a identidade de uma pessoa, ou seja, para autenticar que ela é quem afirma ser, e para identificar, bloquear e, finalmente, apreender aqueles que falsificam sua identidade. A autenticação é o primeiro A do modelo de segurança Triplo-A, onde AAA significa autenticação, autorização e administração. Vários métodos, como um código PIN, senhas, impressões digitais, tokens e métodos de resposta de consulta podem ser usados para verificar a identidade de uma pessoa e para autenticar que ela tem uma conta no sistema.

[00613] Uma vez autenticada, a identidade de um usuário válido é então usada para determinar os direitos de acesso e privilégios para comunicados, dados, arquivos, operação do sistema, etc. Esses privilégios e direitos de acesso coletivamente são chamados de autorização do usuário conforme concedido pelo sistema, ou seja, um usuário autenticado só pode acessar as comunicações, dados, arquivos e recursos do sistema para os quais ele estiver autorizado. A autorização é, portanto, sinônimo de privilégios ou acesso.

[00614] O terceiro A do AAA significa administração. A administração é a escrituração da gravação de acesso autorizado à rede e aos arquivos, por exemplo, para fins de administração de cobrança pelo uso feito,

Petição 870190124250, de 27/11/2019, pág. 183/571

178/381 e para monitorar e relatar tentativas de acesso não autorizado à rede, aos arquivos e à operação do sistema. A administração também é importante para rastrear alterações nas credenciais de segurança, PINs, senhas, etc. necessários na operação de autenticação.

[00615] A capacidade de uma rede de executar procedimentos AAA é primordial para garantir a privacidade e para evitar a corrupção da rede por usuários não autorizados ou operadores de rede. Qualquer rede incapaz de assegurar a identidade de seus usuários pode ser corrompida para fins ilegais. A corrupção de rede por usuários não autorizados é inevitavelmente problemática na comunicação OTT porque não há meios existentes para validar a identidade do chamador. O acesso e comunicação de rede não autorizados por usuários não identificados, ou seja, em anonimato, é um risco significativo na comunicação moderna.

[00616] Anonimato - O princípio do anonimato na comunicação é a prática de ocultar intencionalmente a identidade de um chamador, a fim de se comunicar sem rastreabilidade. Um exemplo quase simbólico de comunicação anônima é um telefone público. Em uma chamada de telefone público, o pagamento é feito através de dinheiro indetectável, o número do telefone público é público, e qualquer um pode usar o telefone, significando que a identidade do chamador é desconhecida e não há nenhum meio certo de determinar se um chamador é quem ele ou ela alega ser. Como o número de telefone não está listado, nenhum indivíduo é dono do número e (exceto através do software sofisticado de reconhecimento de voz) não há nenhuma maneira de identificar a identidade do chamador. No caso de um dispositivo registrado, como um telefone celular, a identidade do proprietário do dispositivo pode ser rastreada através do número de telefone, mas a identidade do chamador ainda pode permanecer desconhecida. Por exemplo, o telefone pode ser roubado ou pode-se usar um cartão SIM de pagamento por uso para ocultar a identidade verdadeira do chamador. Alternativamente, um notebook,

Petição 870190124250, de 27/11/2019, pág. 184/571

179/381 tablet ou telefone celular pode ser conectado através de Wi-Fi em uma cafeteria pública, oferecendo anonimato semelhante a qualquer telefone público ou cabine telefônica.

[00617] Algumas operadoras de OTT optaram por operar um serviço telefônico VoIP como um telefone público, sem verificação da identidade de seus assinantes. Por exemplo, em uma reportagem on-line recente (http://money.enn.eom/2015/l 1/17/technology/isis-telegram/) o programa CNN Money revelou “Um aplicativo chamado Telegram é a coisa “mais quente” entre os jihadistas. A pesquisa confirma que a aplicativo Telegram foi instrumental para o planejamento secreto do ataque dos terroristas do ISIS em Paris. No artigo Fundador do Telegram sabia que o Isis estava usando o aplicativo para se comunicar antes dos ataques de Paris, (http://www.independent.co.uk/life-style/gadgets-and-tech/news/telegramknew-isis-communicate-paris-pavel-durov-a6742126.html), Pavel Durov, fundador do Telegram, disse: “O direito à privacidade é mais importante do que o nosso medo de coisas ruins acontecerem, como o terrorismo.

[00618] Outro exemplo do uso de privacidade e anonimato para cometer crimes relatados na imprensa é o do BitTorrent - um aplicativo e rede de dados frequentemente usado para baixar ilegalmente ou compartilhar material com direitos autorais. Na notícia do CNN Money Tech (http://money.cnn.com/2011/06/10/teehnology/bittorrent_lawsuits/) intitulada “50.000 usuários do BitTorrent processados por alegados downloads ilegais”, os usuários foram supostamente processados segundo novas leis antipirataria por baixar ilegalmente o filme The Hurt Locker e outros materiais protegidos por direitos autorais. O operador de rede BitTorrent assumiu a posição do telefone público, segundo a qual eles não são responsáveis pelo que as pessoas fazem ao usarem sua rede para suas atividades privadas. Os defensores da liberdade de expressão defendem essa posição, enquanto os aplicadores da lei e os governos, a segurança nacional e os direitos de PI

Petição 870190124250, de 27/11/2019, pág. 185/571

180/381 defendem essa atitude como imprudente e irresponsável. Independentemente da política do assunto, enquanto os sistemas de comunicação não conseguirem realizar a verificação do chamador, a discussão para parar a chamada anônima é puramente acadêmica.

[00619] A verificação e a autenticação do chamador são especialmente importantes para corporações e empresas comerciais para controlar o acesso a dados confidenciais da empresa, incluindo propriedade intelectual, desenvolvimentos de engenharia, avaliações de produtos, know-how de manufatura, relatórios e projeções financeiras confidenciais, status de negócios, previsões de vendas, estoques e trabalho em processo, auditorias de qualidade, contratos de negócios e de IP, listas de clientes, registros de funcionários e outros segredos comerciais. Ao acessar as comunicações da empresa, os privilégios de acesso concedidos a qualquer funcionário, empreiteiro ou dirigente dependem da confirmação de sua identidade. Em teleconferências, incluindo chamadas de investidores, a verificação de identidade é importante para confirmar quem está presente na chamada e para garantir que ninguém está ouvindo sem a necessidade de saber.

[00620] Ironicamente, embora a verificação do chamador possa ser usada para frustrar criminosos e impedir a espionagem corporativa, a mesma verificação de identidade é benéfica para garantir a privacidade de um chamador. Se ambas as partes em uma chamada ou chat de texto confirmarem sua identidade por meio de algum procedimento de autenticação prescrito, os impostores não terão acesso a uma chamada ou a seus dados, protegendo a chamada de ataques criminosos.

[00621] Por fim, deve-se fazer uma distinção para distinguir chamadores anônimos de chamadas anônimas. Um chamador anônimo é um indivíduo que disfarça sua verdadeira identidade da rede em que eles estão se comunicando. Uma chamada anônima, no entanto, não exige que o chamador tenha anonimato da rede, apenas que sua verdadeira identidade durante a

Petição 870190124250, de 27/11/2019, pág. 186/571

181/381 comunicação fique ofuscada nos pacotes de dados de chamada. Um detentor da conta registrada na rede SDNP pode, de acordo com esta divulgação, fazer uma chamada ou enviar dados utilizando transporte de dados anônimo, mesmo que a rede conheça a sua identidade e número de telefone. Dessa forma, os cidadãos cumpridores da lei podem comunicar-se anonimamente sem a necessidade de esconder a sua identidade do operador da rede SDNP. Se um chamador estiver envolvido em chamadas privadas normais, entretenimento ou negócio, sua chamada SDNP permanecerá privada e segura, mesmo que a rede conheça sua identidade conforme armazenada no banco de dados do servidor de nomes SDNP.

[00622] Exemplos da necessidade de comunicação anônima legal incluem jogos globais onde é importante proteger a identidade de um jogador, especialmente a de crianças. Um outro caso que potencialmente se beneficia do anonimato está na comunicação veículo-a-veículo (V2V) para impedir que motoristas com raiva de estrada se vinguem ao identificar os dados pessoais de outros motoristas que perturbem o seu dirigir. Em contrapartida, se um chamador estiver envolvido em criminalidade ou outra atividade nefasta em sua comunicação, os agentes da lei podem (de acordo com a legislação aplicável) ter acesso às suas chamadas e transmissões de dados. Dessa forma, o operador de rede pode atender os requisitos das sentenças judiciais e intimações judiciais sem expor a identidade nem abrir as chamadas de cidadãos cumpridores da lei.

[00623] Em resumo, ao usar os métodos de comunicação SDNP divulgados, somente assinantes identificáveis do SDNP podem fazer chamadas anônimas. Chamadores não identificados não têm acesso à rede SDNP nem a capacidade de fazer chamadas anônimas.

[00624] Segurança nacional e privacidade - A natureza da comunicação segura e privada é ainda mais confundida quando se consideram os papéis e as leis dos governos. Cada país declara o seu direito soberano para

Petição 870190124250, de 27/11/2019, pág. 187/571

182/381 controlar as comunicações dentro das suas fronteiras. No entanto, com o advento da Internet e as redes de comutação de pacotes de dados dinamicamente, a vigilância e monitoramento da rede enfrenta uma infinidade de desafios técnicos e jurídicos. Uma preocupação é a questão do monitoramento do tráfego “que atravessa” a rede servidor-servidor - pacotes de dados que cruzam um país sem nunca parar. Como o tráfego da Internet é roteado dinamicamente, um operador de rede não tem ideia de quais pacotes de dados sua rede de servidores está transportando. Qualquer nação pode, é claro, tentar interceptar e decodificar esse alto volume de dados em massa, mas por causa da encriptação, o acesso sem saber as chaves de encriptação é desafiador, especialmente para monitoramento em tempo real. E como os chamadores podem não residir no país, uma determinada nação não tem nenhuma jurisdição para intimar ou exigir as chaves de encriptação usadas para fazer a chamada. Esses dados “que atravessam” a rede são análogos ao tráfego das ondas de rádio que atravessam a atmosfera da Terra. Mesmo que as ondas de rádio possam passar por cima, não há nenhuma maneira prática de detê-las. Da mesma forma, exceto isolando-se totalmente a infraestrutura de um país da Internet, não há uma maneira realista de interromper o tráfego de dados que atravessam a rede.

[00625] Uma solução mais pragmática para governar as comunicações é concentrar-se no monitoramento das comunicações da Ultima Milha, ou seja, interceptar e monitorar chamadas e dados de chamadas quando a origem e/ou destino de uma chamada ocorrer dentro das fronteiras de um país. Essa abordagem tem diversas vantagens em relação a interceptar o tráfego de dados em massa, incluindo (i) a magnitude dos dados é menor, ou seja, mais gerenciável para analisar, (ii) a operadora de comunicação da Ultima Milha ou operadora da rede está sujeita às leis do país em que reside (iii) a operadora da Ultima Milha ou operadora da rede pode ser intimada a fornecer quaisquer chaves de encriptação disponíveis, (iv) o dispositivo do chamador

Petição 870190124250, de 27/11/2019, pág. 188/571

183 /381 deve eletronicamente registrar-se para se conectar à rede da Última Milha e, ao fazê-lo, renunciar a informações sobre o chamador, e (v) pode-se determinar a localização de qualquer dispositivo conectado à rede usando-se endereços de rede, dados de GPS ou triangulação de sinal de rádio.

[00626] Ao contrário dos desafios jurídicos e técnicos de impor a regulamentação dos dados que atravessam a rede, as leis que regem a comunicação da Última Milha e a terminação de chamadas são totalmente de direito da nação na qual reside o operador de rede da Última Milha. Dependendo das leis de privacidade de uma nação, o seu governo pode insistir no nível de acesso que exige nas comunicações da Última Milha, incluindo combinações dos seguintes:

[00627] Nenhum direito de monitorar quaisquer dados ou chamadas sem que um tribunal emita uma intimação com base em causa provável. Com uma ordem judicial, o direito de monitorar secretamente qualquer chamada ou comunicação de dados.

[00628] O direito de monitorar metadados de qualquer chamada sem uma ordem judicial.

[00629] O direito de monitorar todas as chamadas e comunicações de dados sem uma ordem judicial.

[00630] O direito de interceptar, monitorar e, conforme necessário, bloquear toda e qualquer comunicação.

[00631] Por exemplo, vários governos, como os Estados Unidos, assumiram a posição de que se reservam o direito de monitorar metadados de chamadas sem uma ordem judicial. Os metadados incluem informações do pacote de dados a respeito de quem está chamando quem, quanto tempo durou a chamada, onde os chamadores estavam situados no momento da chamada, etc. sem realmente acessar os dados da chamada propriamente ditos. Na essência, os metadados compreendem o cabeçalho de dados de um pacote IP, mas não sua carga útil. Em contrapartida, o monitoramento de chamadas e

Petição 870190124250, de 27/11/2019, pág. 189/571

184/381 comunicação de dados envolve o acesso à carga útil em si, não apenas aos dados do cabeçalho. Nos casos em que se puder encriptar a carga útil, o governo pode insistir em que o operador da rede lhe forneça chaves de encriptação, se existirem. Uma questão levantada pelos defensores da privacidade é o abuso de poder do governo. Especificamente, se uma rede depender de um único conjunto de chaves-mestre de encriptação, então abandonar essas chaves em resposta a uma ordem judicial para permitir a vigilância por parte do governo de um indivíduo específico de fato permite que o governo monitore as chamadas de todos, mesmo que a ordem tenha sido limitada a um indivíduo ou grupo. Essa questão às vezes é chamada de o dilema de quem deve policiar a polícia?.

[00632] Outra consideração se refere aos direitos de privacidade dos indivíduos que fazem uma chamada internacional. Nesses casos, os chamadores devem estar cientes de que as leis relevantes para o acesso do governo dependem da localização de ambos os chamadores, ou seja, onde ocorrem as duas redes de última milha. Uma chamada dos Estados Unidos para a China estaria sujeita à lei dos EUA para o chamador nos Estados Unidos e para a lei chinesa para o outro chamador na China. Em tais situações, o acesso de chamada por um governo pode ser maior do que o do outro. Dessa forma, um chamador no país com maiores direitos de privacidade pode considerar a sua privacidade violada pelo governo do outro país, mas uma vez que chamaram esse país, não têm nenhuma razão jurídica para reclamar.

[00633] No caso de comunicação usando a rede e protocolo de comunicação dinâmica segura divulgada, a intercepção dos dados que atravessam a rede em comunicação em nuvem HyperSecure de pacotes de dados dinamicamente encriptados embaralhados fragmentados transportados anonimamente através da rede SDNP é virtualmente impossível. Como tal, a privacidade e a segurança de uma chamada Hyper-Secure são determinadas

Petição 870190124250, de 27/11/2019, pág. 190/571

185 /381 pelo dispositivo e pela comunicação de Última Milha. Ao adaptar os métodos divulgados SDNP para comunicação de Última Milha, uma Última Milha capaz de comunicações HyperSecure e de alta integridade de privacidade pode ser realizada conforme aqui divulgado.

[00634] Além disso, divulgam-se mecanismos que ajustam as configurações de segurança e privacidade da rede SDNP para acomodar a lei local que rege a comunicação de Última Milha para cada nação. Esses métodos incluem salvaguardas que permitem que uma autoridade de segurança autorizada monitore a comunicação de acordo com a lei e ações judiciais sem expor os dados de chamada a hackers e criminosos cibernéticos. Como tal, na comunicação HyperSecure de Última Milha aqui divulgada, não se utilizam back doors vulneráveis a ataques cibernéticos.

Métodos e Aparelhos de Comunicação HyperSecure de Última Milha [00635] Para garantir a HyperSecurity de ponta a ponta, a aplicação dos métodos divulgados anteriormente para o roteamento de pacotes de dados anônimos fragmentados encriptados embaralhados dentro de uma nuvem SDNP deve também ser adaptado para comunicação dentro da Última Milha. Proteger a comunicação da Última Milha é particularmente problemático porque os dados podem ser transportados em redes não hospedadas pelo operador SDNP, o roteamento de pacotes pode envolver o roteamento de pacotes IP convencional e a segurança intrínseca da rede da Última Milha pode ficar inconscientemente comprometida por um criminoso cibernético, possivelmente cúmplice de um operador de rede da Última Milha.

[00636] De acordo com esta invenção, a comunicação de Última Milha envolve necessariamente o transporte de datagramas IP fora da rede da nuvem de dados usando um formato de pacote diferente dos pacotes de dados dentro da nuvem SDNP. Conforme ilustrado na FIG. 10, a nuvem SDNP que compreende servidores 1201 (representados esquematicamente por nós SDNP Mo,o a Mo,f habilitados por softswitch) transporta VoIP, vídeo, texto e dados

Petição 870190124250, de 27/11/2019, pág. 191/571

186/381 usando datagramas SDNP mostrados em pacotes de dados exemplares 1222B, 1222C e 1222F. Um datagrama SDNP contém endereços de origem e destino de Camada 3 SDNP, não endereços IP da Internet. Os endereços SDNP diferem dos endereços IP no sentido de que são reconhecíveis apenas por servidores de nome SDNP ou outros servidores que executem a função de servidores de nome SDNP, e não os servidores de nome DNS da Internet. [00637] Conforme descrito no acima citado Pedido de Patente dos E.U.A. n° 14/803.869, os pacotes SDNP mudam dinamicamente ao se moverem pela rede, com endereços de roteamento atualizados e cargas úteis em constante mudança executados de acordo com segredos compartilhados e estados dinâmicos (como o tempo). Por exemplo, o pacote de dados 1222B enviado pelo nó Mo,o compreende o datagrama B da Camada 3 SDNP com endereços SDNP exclusivos e carga útil encriptada de forma exclusiva. A saída 1222C do pacote de dados downstream do nó Mo,i compreende o datagrama C da Camada 3 SDNP com endereços SDNP diferentes e uma carga útil re-encriptada. Diversas dezenas de milissegundos mais tarde, a mesma carga útil alcança o nó Mo,f, que processa os dados e encaminha o pacote de dados 1223G, que compreende o datagrama G IP através da Ultima Milha.

[00638] Uma vez que as mudanças são executadas de acordo com estados definidos, os dados originais do pacote podem ser recuperados realizando-se uma série de operações antifunção executadas na ordem inversa da que foram executadas. Por exemplo, a sequência funcional SDNP que compreende as etapas de embaralhamento, inserção de lixo (engano) e encriptação pode ser desfeita pela sequência inversa de desencriptação, exclusão de lixo e desembaralhamento, desde que o mesmo estado usado para executar a função seja utilizado para executar a antifunção correspondente. Os dados de estado para um pacote podem ser transportados como um tempo, uma semente ou uma chave incorporados na carga útil do pacote ou enviados

Petição 870190124250, de 27/11/2019, pág. 192/571

187/381 antecipadamente ao pacote. O transporte e o processamento de dados dentro da nuvem SDNP funcionam usando segredos compartilhados específicos da nuvem SDNP e credenciais de segurança. Os nós de mídia que compartilham um conjunto comum de segredos compartilhados e credenciais de segurança podem ser chamados de zona de segurança. A zona usada para credenciais de segurança que operam dentro da nuvem SDNP não pode ser revelada à comunicação de nenhum usuário fora da nuvem SDNP. Como tal, toda comunicação de Ultima Milha deve incluir uma zona de segurança SDNP diferente da nuvem SDNP.

[00639] No exemplo mostrado, o Servidor 1201A e o Servidor 1201F, que hospedam os nós correspondentes Mo,o e Mo,f, funcionam como gateways SDNP, isto é, comunicam-se com dispositivos fora da nuvem SDNP assim como com outros nós intra-nuvem SDNP. A comunicação desses gateways para dispositivos de comunicação fora da nuvem representa a comunicação de Ultima Milha. Consequentemente, os nós de gateway devem compreender as credenciais de segurança tanto da zona da nuvem SDNP quanto da rede da Ultima Milha à qual se conectam, agindo como um tradutor durante o roteamento de pacotes. Semanticamente, o termo Ultima Milha é uma abstração que significa comunicação fora da nuvem SDNP, não se referindo especificamente a uma distância de uma milha. Em vez disso, o termo Ultima Milha abrange qualquer comunicação entre um dispositivo cliente e a nuvem SDNP de qualquer distância, independentemente de o dispositivo cliente estar operando como um cliente SDNP, ou seja, executando software de aplicativo SDNP ou firmware, ou não.

[00640] O termo Ultima Milha também se aplica tanto ao dispositivo cliente que inicia a chamada e o dispositivo cliente que está sendo chamado. Embora literalmente falando, os dados do chamador representam a primeira milha da chamada em vez da última - a distinção entre a primeira e a última milha é arbitrária. Especificamente, em qualquer conversão duplex ou em

Petição 870190124250, de 27/11/2019, pág. 193/571

188/381 qualquer sessão” de comunicação IP, o dispositivo que recebe a chamada necessariamente responde à solicitação de chamada ou sessão enviando uma resposta para o chamador. Em qualquer comunicação bidirecional, a conexão de primeira milha está, portanto, invariavelmente funcionando como a Ultima Milha no trajeto de dados de resposta. Em essência, a primeira milha para o chamador é simultaneamente a última milha para a resposta. Como tal, o termo definido Ultima Milha é usado por todo este aplicativo para significar tanto a primeira milha quanto a última milha, independentemente de qual dispositivo iniciou a chamada ou sessão de comunicação.

[00641] A comunicação fora da nuvem SDNP para qualquer dispositivo que não seja um cliente SDNP necessariamente ocorre usando datagramas IP e não por datagramas SDNP. Por exemplo, referindo-se novamente à FIG. 10, o pacote de dados 1223A compreende datagrama A IP construído usando-se uma carga útil SDNP com um endereço IP, não um endereço SDNP. Similarmente, o datagrama G IP compreende um pacote de dados 1223G que contém uma carga útil SDNP roteada usando-se um endereço IP. Os endereços de origem e destino IP representam qualquer endereço IPv4 ou IPv6 reconhecível pela rede na qual ele é roteado. Os endereços IP podem incluir endereços da Internet reconhecidos pelos servidores DNS da Internet ou, altemativamente, podem incluir endereços NAT usados para roteamento entre redes locais definidas por um provedor de serviços de rede local.

[00642] Como o hardware e o firmware usados em comunicação de Ultima Milha podem variar significativamente e podem incluir linhas telefônicas, comunicação de fibra, redes de TV a cabo, redes de rádio 3G e 4G, torres de comunicação de microondas e satélites, a análise da comunicação de Ultima Milha deve ser considerada para uma variedade de redes físicas de Camada 1 e seus formatos correspondentes do enlace de dados de Camada 2 utilizados. Os formatos podem, por exemplo, incluir

Petição 870190124250, de 27/11/2019, pág. 194/571

189/381 analógicos (POTS), Ethernet, Wi-Fi, 3G, 4G/LTE e DOCSIS3. A capacidade de segurança e privacidade correspondente de cada implementação de Ultima Milha é considerada caso a caso na seguinte seção na comunicação de chamada fora” SDNP.

[00643] Chamada Fora SDNP através de Linhas Inseguras - Como um termo específico, qualquer chamada que saia de uma rede definida para ser transportada através de uma rede separada (e geralmente dissimilar) é comumente chamada de chamada fora, termo que significa que dados ou voz saem de uma rede para serem transportados para outra. Por exemplo, a comunicação entre clientes que executam aplicativos do Skype é comumente conhecida como uma chamada de Skype, mas fazer uma chamada de um cliente Skype para um número de telefone normal ou celular é conhecido como um recurso de chamada fora do Skype, ou chamada Skype Out. Em geral, as “chamadas fora” para telefones regulares envolvem algum custo adicional, seja como uma assinatura ou como uma taxa de pagamento por uso. [00644] No contexto desta divulgação, a comunicação da nuvem SDNP através de uma conexão de Ultima Milha não segura para qualquer dispositivo que não um cliente SDNP é aqui mencionada pelo termo definido chamada fora SDNP. A FIG. 11 esquematicamente representa dois exemplos de roteamento de Chamada Fora SDNP para uma Ultima Milha insegura. No exemplo superior, a comunicação ocorre usando sinais analógicos para um dispositivo analógico, como um telefone ou telefone público 6A. Nesses casos, o gateway SDNP tem de incluir um conversor digital-analógico. Caso contrário, pode-se adicionar um modem ou dispositivo de conversão no gateway. As informações são transportadas por um sinal analógico 1221, não por um pacote de dados. Os sinais de telefone analógico, embora eficientes para transportar voz, não são bem equipados para comunicações de dados de alta velocidade.

[00645] No caso inferior, a Chamada Fora SDNP ocorre através de

Petição 870190124250, de 27/11/2019, pág. 195/571

190/381 uma rede digital para qualquer dispositivo digital (como telefone celular 32) não habilitado como um cliente SDNP, ou seja, não habilitado com software ou firmware SDNP. Em tais casos, o pacote de dados 1223 carrega a chamada ou os dados, geralmente utilizando de acordo com o protocolo da Internet, isto é, formato do pacote IP consistente com o modelo do OSI de 7 Camadas. O datagrama IP inclui endereços IP ou NAT em seus campos de endereço de origem e destino, e dados IP ou VoIP como sua carga útil. O trajeto digital pode envolver várias formas de dados digitais, tais como Ethernet, Wi-Fi ou 4G/LTE que variam ao longo da conexão da Ultima Milha.

[00646] Em qualquer um dos esquemas de exemplo, uma vez que os dados de comunicação de Ultima Milha são transportados fora da rede SDNP através de um canal ou rede de comunicação não seguros, então a chamada não é segura e está sujeita a hackeamento, espionagem, grampos e outros ataques cibernéticos. Conforme descrito na seção de fundo desta aplicação, as linhas e conexões inseguras para a Ultima Milha, sejam de fios de cobre de par trançado, cabo coaxial, fibra, Ethernet, Wi-Fi, celular ou satélite, são intrinsecamente inseguras a menos que sejam inseridos métodos especiais da segurança tais como encriptação no trajeto de dados de ponta a ponta. A segurança da nuvem de dados ou VPN mais segura fica, portanto, comprometida pelo seu elo mais fraco - neste exemplo, a Ultima Milha. Mesmo a encriptação não garante segurança, especialmente em uma conexão única elétrica, de microondas ou de onda de rádio bem definida. Além da falta de segurança, os exemplos esquemáticos não incluem nenhum mecanismo para verificação de identidade. Incapaz de autenticação, a Ultima Milha não tem garantia de privacidade. Os esquemas exemplares, portanto, representam redes de Ultima Milha inseguras sem privacidade do chamador.

[00647] A FIG. 12 ilustra um gateway SDNP 1201A executando uma chamada fora SDNP para uma Ultima Milha insegura com falta de privacidade, conectando-se a uma rede telefônica pública comutada ou

Petição 870190124250, de 27/11/2019, pág. 196/571

191/381 gateway PSTN IA através do enlace 24 de fibra ou fio hospedado no provedor de serviços de rede digital NSP. O gateway PSTN IA é então roteado a um sistema de telefone antigo de comutador POTS 3 sobre uma conexão de comunicação analógica 4. O comutador POTS 3 então faz chamadas telefônicas convencionais através do par trançado de cobre 7 para o telefone residencial 6, para o sistema de telefone sem fio 5 ou para o telefone público 6A. A Ultima Milha inteira não é nem privada nem segura. Embora a comunicação do pacote de dados 1222A contendo datagrama SDNP A use endereçamento SDNP e cargas úteis SDNP dentro da rede SDNP, uma vez que os dados entram na Ultima Milha, perdem-se os benefícios do HyperSecurity. Por exemplo, o pacote de dados 1223B compreendendo o datagrama B IP transportado pelo enlace 24 de fibra ou fio hospedado na rede NSP emprega o endereçamento IP convencional reconhecível pelos servidores DNS da Internet e contém uma carga útil convencional IP detectável por qualquer pirata cibernético. As linhas analógicas 4 e 7 são igualmente vulneráveis uma vez que carregam sinais de áudio analógico simples como dados de chamada analógica 1221. Embora o gateway SDNP possa suportar chamadas fora não-privadas inseguras, não se aconselha ligar chamadas seguras SDNP a redes de Ultima Milha inseguras que careçam de recursos de privacidade.

[00648] Pode-se alcançar uma ligeira melhoria na implementação da Ultima Milha insegura acima mencionada utilizando-se a validação de identidade. A FIG. 13 ilustra esquematicamente exemplos de roteamento de Chamada Fora SDNP para uma Ultima Milha insegura mas com dois tipos de autenticação diferentes. O exemplo superior ilustra uma Chamada Fora SDNP do gateway SDNP 1220A sobre uma linha analógica ou POTS para um telefone de mesa 9 de escritório de negócios. Conforme mostrado, o operador 1225 executa a autenticação manualmente para confirmar a identidade do titular da conta e para confirmar seu ID de conta. Embora autenticada, a

Petição 870190124250, de 27/11/2019, pág. 197/571

192/381 chamada transportada pelo som analógico 1221 não é segura e permanece privada somente se não for revelado auditivamente nenhum segredo ou informações de conta na conversa, isto é, se nenhum segredo for revelado a informação é confidencial, mas se forem reveladas informações, então a comunicação não é mais privada. Como tal, o termo quase-confidencial é usado aqui para se referir a comunicação autenticada através de linhas inseguras, isto é, uma comunicação condicionalmente privada.

[00649] O esquema inferior ilustra uma chamada fora SDNP do gateway SDNP 1220A para uma Ultima Milha digital insegura. Dados transportados pelo datagrama IP 1223 para um dispositivo eletrônico como PC desktop 36, embora inseguro, podem ser autenticados usando-se um método eletrônico de verificação de ID, como o token 1226 ao qual um invasor cibernético não tem acesso. Como a linha é insegura e detectável, deve-se ter cuidado no diálogo digital para não revelar números de conta ou dados confidenciais.

[00650] Exemplos específicos de chamadas inseguras quase-privadas são mostrados em vários exemplos a seguir. Na FIG. 14, ilustra-se a comunicação de Ultima Milha insegura com identidade verificada entre a rede SDNP e um telefone de mesa de escritório 9, por exemplo, o telefone de um banqueiro privado. A chamada do titular da conta, se feita intemacionalmente, por exemplo, seria roteada por todo o mundo usando-se a comunicação HyperSecure na rede SDNP e finalmente conectada à Ultima Milha como uma chamada fora SDNP através do gateway SDNP 1201 A. A parte de longa distância da chamada ocorre usando datagramas SDNP mudados dinamicamente, como o pacote de dados 1222A contendo datagrama SDNP A com uma carga útil SDNP. O pacote de dados 1222A é então convertido pelo gateway SDNP 1201A do datagrama A SDNP em datagrama B IP mostrado pelo pacote de dados 1223B. Ao contrário do datagrama A SDNP, o datagrama B IP contém uma carga útil detectável IP. O pacote de dados

Petição 870190124250, de 27/11/2019, pág. 198/571

193 /381

1223B é transportado pelo enlace 24 de fibra ou fio operado pelo provedor de serviço de rede NSP para rede telefônica pública comutada ou gateway PSTN IA. Esse gateway é conectado por sua vez à central telefônica 8A da companhia através da linha 4 POTS que carrega a chamada analógica 1221. A central telefônica 8A da empresa conecta-se ao telefone de mesa 9 através da central de comutação privada analógica ou linha de PBX 7A com o telefone de mesa 9 e também com o operador de autenticação pessoal 1225. Durante a chamada, o titular da conta contata o gerente do banco no telefone de mesa 9, mas antes que eles possam começar a se envolver em qualquer transação, o operador de autenticação pessoal 1225 junta-se à chamada para confirmar a identidade do chamador e, posteriormente, abandona a chamada para que seja mantida a privacidade do chamador. Entretanto, como a chamada não é segura, é necessário cuidado tanto pelo gerente do banco como pelo titular da conta para não revelar verbalmente informações confidenciais, como números de conta, senhas ou PINs. Como tal, a chamada é quase-privada, isto é, condicionalmente privada.

[00651] Na FIG. 15, a comunicação de Ultima Milha insegura com identidade verificada é ilustrada entre a rede SDNP e o computador desktop 36. Em uma sessão de comunicação digital, o computador desktop 36 comunica-se com o gateway SDNP 1201A usando o datagrama B IP transportado sobre diversos meios digitais. Na primeira perna, a Ethernet 106A transporta o pacote de dados 1223D compreendendo o datagrama B IP do computador desktop 36 ao roteador local baseado em Ethernet 27B. O roteador Ethernet local por sua vez se comunica com o roteador de rede 27 através do enlace de fibra ou fio 24A do provedor de serviços de Internet (ISP) usando o pacote de dados 1223C compreendendo o datagrama B IP. O enlace de fibra ou fio 24 da linha do provedor de serviço de rede (NSP) transporta o pacote de dados 1223B compreendendo o datagrama B IP na etapa final da Ultima Milha entre o roteador de rede 27 e gateway SDNP

Petição 870190124250, de 27/11/2019, pág. 199/571

194/381

120IA. Como são empregados datagramas IP, a Última Milha é insegura. Pode-se usar métodos digitais para verificação de ID, como a janela de login 1227 e o token de segurança 1228, para autenticação para garantir que as comunicações permaneçam quase privadas. Essas autenticações digitais devem ser limitadas a um uso único para impedir o uso por impostores. Por exemplo, uma vez que um token gera um número e ele é usado para obter acesso, a combinação não é mais válida para uso, portanto, se um hacker interceptar o token, isso é inútil porque ele expirou e não é mais válido.

[00652] Outros exemplos de comunicação de Última Milha insegura com identidade verificada são ilustrados na FIG. 16, em que o gateway SDNP 1201A se comunica como uma chamada fora SDNP com o terminal de ponto de venda (POS) 38 e o terminal POS 38A da bomba de gasolina. A comunicação de Última Milha conforme mostrado é um amalgamado de conexões digitais e analógicas, incluindo o enlace 24 com fibra ou fio NSP carregando o pacote de dados 1223B compreendendo o datagrama B IP para o roteador de rede 27, seguido pelo enlace de fibra ou fio 24A carregando o datagrama B IP dentro de pacote de dados 1223C para a ponte PSTN 3 A, e POTS ou linhas analógicas 30B carregando dados digitais de PCM (modulação por código de pulso) como chamadas analógicas 1221A conectado ao terminal de ponto de venda (POS) 38 e terminal POS da bomba de gasolina 38A. A autenticação em transações financeiras baseia-se em dados do cartão bancário 1229 que podem incluir a validação eletrônica baseada em circuitos integrados de SmartCard e por PIN dinâmico 1228. A autenticação envolve a confirmação com a instituição financeira 1230 conectada à rede SDNP através do gateway SDNP 1201A ou através de uma Última Milha diferente.

[00653] Comunicação HyperSecure de Última Milha - Ao adaptar técnicas da rede e protocolo de comunicação dinâmica segura, pode-se conseguir a comunicação HyperSecure através da Última Milha. Para facilitar

Petição 870190124250, de 27/11/2019, pág. 200/571

195 /381 a HyperSecurity, o dispositivo conectado deve executar código SDNP como um cliente SDNP. O cliente SDNP compreende instruções de operação, segredos compartilhados e informações de conectividade SDNP, hospedado no dispositivo de comunicação conectado. O cliente SDNP pode incluir software que roda em um sistema operacional, firmware que roda em um microcontrolador ou Cl programável, ou em um hardware ou circuito integrado dedicado. A FIG. 17 representa esquematicamente um exemplo de comunicação HyperSecure através da Ultima Milha usando uma conexão SDNP. Conforme mostrado, o gateway de SDNP 1201A se conecta a um dispositivo que executa um cliente SDNP; neste exemplo o aplicativo SDNP 1335 rodando no computador desktop 36. O cliente SDNP é específico do hardware e do sistema operacional. Para dispositivos móveis, são necessários aplicativos separados para diferentes plataformas de dispositivo móvel que usam Android, iOS e Windows Mobile. Da mesma forma, são necessários aplicativos distintos específicos do sistema operacional para notebooks, computadores desktop e servidores, incluindo Windows 10, MacOS, UNIX e Linux, etc. A hospedagem de hardware de clientes SDNP em dispositivos sem sistemas operacionais de nível superior, como terminais POS, hotspots, ΙοΤ, etc, deve ser adaptada ao dispositivo programável que executa o código. Circuitos integrados programáveis frequentemente exigem programação em um ambiente de desenvolvimento exclusivo específico do chip para o fornecedor do Cl, por exemplo, Qualcomm, Broadcom, Intel, AMD, NVidia, Microchip, etc.

[00654] Como o gateway SDNP 1201A e o aplicativo SDNP 1335 se comunicam usando uma carga útil SDNP 1222, identidades de chamador e cargas úteis de chamada são incompreensíveis para detecção de pacotes, especificamente a carga útil SDNP 1222 contém pseudoendereços de origem e destino SDNP não reconhecidos pelos servidores DNS e a carga útil compreende os dados SDNP que podem ser embaralhados, fragmentados,

Petição 870190124250, de 27/11/2019, pág. 201/571

196/381 misturados com inserções de dados de lixo e dinamicamente encriptados. A carga útil SDNP 1222 é incorporada no datagrama IP 1223, que direciona o roteamento através da Ultima Milha usando endereços IP ou endereços NAT da rede de celular, de cabo ou da operadora de ISP usados para conectividade da Ultima Milha em vez de um endereço SDNP.

[00655] Um outro aspecto de comunicação HyperSecure de Ultima Milha baseada em SDNP é que todo o cliente SDNP é intrinsecamente capaz da verificação da autenticação e da identidade. Portanto, os recursos de privacidade não se baseiam na capacidade da rede de alcançar a privacidade para acomodar AAA, mas no fato de o software ou firmware do cliente serem ou não projetados para facilitar o processo de verificação. Como qualquer Ultima Milha HyperSecure é capaz de verificação de identidade, deve-se entender que os seguintes exemplos de Ultima Milha HyperSecure se aplicam tanto à comunicação segura privada quanto à não privada. Assim, ao contrário de redes de Ultima Milha inseguras com características de quase-privacidade, a comunicação privada sobre uma Ultima Milha HyperSecure é determinada pelo cliente SDNP, não pela rede, e capaz de suportar qualquer grau de procedimento de autenticação de fator único ou múltiplo desejado pelo cliente.

[00656] Exemplos específicos de chamadas HyperSecure são mostrados em vários exemplos a seguir. Na FIG. 18, a comunicação HyperSecure de Ultima Milha é ilustrada entre a rede SDNP e vários dispositivos móveis celulares com um Ultimo Enlace de Wi-Fi. Conforme mostrado, o pacote de dados 1222A que compreende o datagrama A SDNP e que contém uma carga útil SDNP é convertido pelo gateway SDNP 1201A para comunicação de Ultima Milha no pacote de dados 1223B que compreende o datagrama B IP que também contém uma carga útil SDNP. Uma vez que a Ultima Milha HyperSecure utiliza segredos compartilhados, sementes numéricas, chaves de encriptação e outras credenciais de segurança

Petição 870190124250, de 27/11/2019, pág. 202/571

197/381 específicas da zona diferentes do que a nuvem SDNP emprega, a carga útil SDNP no datagrama B IP é diferente da carga útil SDNP no datagrama A SDNP. Em outras palavras, o gateway SDNP 1201A converte os datagramas SDNP em datagramas IP, alterando a carga útil de uma zona de segurança para outra, e ao incorporar informações de roteamento SDNP como endereços SDNP de origem e destino não reconhecíveis pelos servidores DNS.

[00657] Esta carga útil SDNP específica da zona em seguida é envolvida em um pacote de datagrama IP com um cabeçalho IP contendo endereços IP específicos da rede da Ultima Milha, sejam endereços de Internet ou NAT, para facilitar o roteamento de pacotes entre o gateway SDNP 1201A e os dispositivos comunicantes, ou seja, tablet 33 e telefone celular 32 atuando como clientes SDNP. Como os dispositivos intermediários no roteamento da Ultima Milha não são clientes SDNP, a construção da carga útil SDNP dentro do datagrama B IP continua fixo enquanto percorre a Ultima Milha. Em outras palavras, os pacotes de dados 1223B, 1223C e 1223D são datagramas construídos de forma idêntica, todos compreendendo o datagrama B SDNP com cargas úteis SDNP idênticas - cargas úteis que não mudam à medida que os pacotes pulam de dispositivo para dispositivo ao longo da Ultima Milha. Resumindo de forma simples, apenas um nó da rede SDNP ou um cliente SDNP pode reconstruir uma carga útil SDNP incorporada em um datagrama de Nível 3, seja um datagrama IP ou um datagrama SDNP.

[00658] Conforme mostrado, o pacote de dados 1223B compreendendo o datagrama B IP é transportado pelo enlace 24 de fibra ou fio operado por NSP para o roteador de rede 27, seguido pelo pacote de dados 1223C também compreendendo o datagrama B IP transportado pelo enlace 24A de fibra ou fio operado por ISP para o roteador Wi-Fi 26. O roteador Wi-Fi 26 então facilita a comunicação do Ultimo Enlace usando o pacote de dados 1223D que compreende o datagrama B IP através do Enlace 29 de Wi-Fi com

Petição 870190124250, de 27/11/2019, pág. 203/571

198/381 dispositivos móveis, como telefone celular 32 e tablet 33, ambos rodando o aplicativo SDNP 1335A. Como tal, esses dispositivos funcionam como um cliente SDNP capaz de interpretar os dados contidos no pacote de dados 1223D que compreende o datagrama B IP, incluindo a desencriptação, remoção de lixo, desembaralhamento e mistura do conteúdo da carga útil com fragmentos de dados de outros pacotes de dados para recriar a mensagem ou som original.

[00659] Na FIG. 19, a comunicação HyperSecure de Ultima Milha é ilustrada entre a rede SDNP e vários dispositivos móveis celulares com um Ultimo Enlace de rádio celular. Conforme mostrado, o pacote de dados 1223B que compreende o datagrama B IP é transportado pelo enlace 24 de fibra ou fio operado pelo NSP para o roteador de rede 27, seguido pelo pacote de dados 1223C que também compreende o datagrama B IP transportado pelo enlace 24B de fibra ou fio do operador de rede móvel (MNO) para a estaçãobase celular 17 para criar a rede celular 25. A estação-base celular 17 então facilita a comunicação do Ultimo Enlace usando o pacote de dados 1223D que compreende o datagrama B IP através do enlace celular 28 3G, 4G/LTE com dispositivos móveis, como telefone celular 32 e tablet 33, ambos rodando o aplicativo SDNP 1335A.

[00660] Como no exemplo anterior, uma vez que os dispositivos intermediários no roteamento da Ultima Milha não são clientes SDNP, a construção da carga útil SDNP dentro do datagrama B IP continua fixa enquanto percorre a Ultima Milha. Em outras palavras, os pacotes de dados 1223B, 1223C e 1223D são datagramas construídos de forma idêntica, todos compreendendo o datagrama B SDNP com cargas úteis SDNP idênticas cargas úteis que não mudam à medida que os pacotes pulam de dispositivo para dispositivo ao longo da Ultima Milha.

[00661] Na FIG. 20, a comunicação HyperSecure de Ultima Milha é ilustrada entre a rede SDNP e vários dispositivos fixos (não móveis) com um

Petição 870190124250, de 27/11/2019, pág. 204/571

199/381

Último Enlace de Ethernet. Conforme mostrado, o pacote de dados 1223B que compreende o datagrama B IP é transportado pelo enlace 24 de fibra ou fio operado por NSP para o roteador de rede 27, seguido pelo pacote de dados 1223C que também compreende o datagrama B IP transportado pelo enlace 24A de fibra ou fio operado pelo provedor de serviço de Internet (ISP) para o roteador 103A de Ethernet. O roteador de Ethernet 103A então facilita a comunicação do Último Enlace usando o pacote de dados 1223D que compreende o datagrama B IP sobre Ethernet 106A com dispositivos amarrados, como o computador desktop 36 que roda o aplicativo SDNP 1335C e o telefone de mesa 37 que roda o firmware SDNP 1335B. Ausentes os nós de rede SDNP ou os clientes SDNP na Última Milha, os pacotes de dados 1223B, 1223C e 1223D são datagramas construídos de forma idêntica, todos compreendendo o datagrama B SDNP com cargas úteis SDNP idênticas - cargas úteis que não mudam à medida que os pacotes pulam de dispositivo para dispositivo ao longo da Última Milha.

[00662] Na FIG. 21, a comunicação HyperSecure de Última Milha é ilustrada entre a rede SDNP e clientes de serviço de cabo. Conforme mostrado, o pacote de dados 1223A que compreende o datagrama B IP é transportado pelo enlace 24 de fibra ou fio operado por NSP ao cabo CMTS 101, o centro de comando, comunicação e distribuição de conteúdo de um operador de cabo. Esses operadores de cabo fornecem serviços amplos, como TV a cabo, Pay-Per-View, serviços de telefonia, conectividade com a Internet, serviços corporativos e muito mais. A unidade principal do CMTS 101 então se conecta aos clientes através do cabo 106 usando fibra ou coaxial modulado de acordo com DOCSIS3 e formatação de treliça (descrita na seção de fundo desta divulgação) para aperfeiçoar a largura de banda e os serviços em tempo real. Transparente para os clientes, o operador de cabo pode manter o formato de datagrama ou, alternativamente, empacotar os datagramas IP em um formato de datagrama proprietário. Esses pacotes de dados, mencionados aqui

Petição 870190124250, de 27/11/2019, pág. 205/571

200/381 como datagrama C de CMTS, usam o endereçamento NAT específico do cabo e encapsulam a carga útil SDNP como carga útil n-aninhada dentro do pacote de dados 1224C para entrega no cabo 106.

[00663] Conforme mostrado, o cabo CMTS 101 roteia o datagrama C do CMTS para o modem a cabo 103, que por sua vez extrai o pacote de dados 1223B de carga útil que compreende o datagrama B IP com a carga útil inalterada SDNP para entrega no Ultimo Enlace. O Ultimo Enlace para dispositivos habilitados para cliente SDNP pode ocorrer em vários formatos, incluindo sobre Ethernet 106A para computador desktop 36 que rode o aplicativo cliente 1335C SDNP, ou sobre par trançado de cobre 7 para telefone sem fio 5A que rode firmware 1335B de cliente SDNP. O cabo 101 CMTS também roteia o datagrama C de CMTS para o modem a cabo 103, que por sua vez extrai o datagrama IP original, p. ex., datagrama B IP, e envia esse datagrama e outro conteúdo de vídeo para um conversor digital de TV a cabo através do cabo 106. O conversor digital a cabo então encaminha o datagrama B IP e conteúdo via HDMI-2 107 para a TV UHD interativa 39, que roda o aplicativo 1335D SDNP. Altemativamente, o firmware SDNP pode ser hospedado pelo conversor digital de TV a cabo 102.

[00664] Na FIG. 22, a comunicação HyperSecure de Ultima Milha é ilustrada entre a rede SDNP e uma rede Wi-Fi doméstica conectada através de um provedor de serviço a cabo. Conforme mostrado, o pacote de dados 1223B que compreende o datagrama B IP é transportado pelo enlace 24A de fibra ou fio operado por NSP ao cabo CMTS 101, o centro de comando, comunicação e distribuição de conteúdo de um operador de cabo. A unidade principal de CMTS 101 então se conecta usando um enlace 24A de fibra ou fio sobre coaxial ou fibra a um roteador de modem a cabo (Wi-Fi) de um cliente específico para criar o ponto de acesso 26 de Wi-Fi. O roteamento de um pacote de dados 1224C pode incluir um datagrama IP com endereços de Internet ou conter um datagrama proprietário C de CMTS com endereçamento

Petição 870190124250, de 27/11/2019, pág. 206/571

201/381

NAT. O roteamento entre o gateway 120ΙΑ do SDNP e o roteador 26 de modem a cabo (Wi-Fi) representa a seção com fio da comunicação HyperSecure de Ultima Milha.

[00665] A Ultima Seção em uma rede doméstica compreende o enlace 29 de Wi-Fi que conecta o roteador 26 de modem a cabo (Wi-Fi) a vários dispositivos domésticos pelo pacote de dados 1223D que compreende datagrama B IP sem fio. Para facilitar a HyperSecurity de ponta a ponta, esses dispositivos devem operar como um cliente SDNP usando software ou firmware carregados no dispositivo. Por exemplo, o notebook 35 e o computador desktop 36 operam como clientes SDNP usando o aplicativo de computador 1335C, o telefone celular 32 e o tablet 33 operam como clientes SDNP usando o aplicativo móvel 1335A. Os dispositivos de loT, neste caso o refrigerador 34K, podem operar como um cliente SDNP se seu sistema de controle for carregado com o firmware SDNP 1335E. Se, no entanto, esses dispositivos não incorporarem o software do cliente SDNP (ou não conseguirem fazê-lo), a segurança de ponta a ponta deve ser alcançada por outros meios.

[00666] Segurança do Último Enlace Emparelhado por Identidade Nos casos em que um dispositivo conectado não puder atuar como um cliente SDNP, não se consegue garantir a HyperSecurity de ponta a ponta. Nesse caso, o uso de um gateway remoto SDNP pode estender a comunicação HyperSecure para cobrir a Ultima Milha de comunicação, exceto pelo Ultimo Enlace. Se o Ultimo Enlace, a parte da Ultima Milha que se conecta diretamente a um dispositivo de comunicação, não for ativada como hospedeiro SDNP, então deve-se garantir a segurança do Ultimo Enlace através da rede de área local (LAN) usada para facilitar a comunicação do Ultimo Enlace. A FIG. 23 esquematicamente representa o uso do gateway remoto SDNP 1350 na comunicação de Ultima Milha. O gateway remoto 1350 SDNP compreende qualquer dispositivo de comunicação permitido pelo

Petição 870190124250, de 27/11/2019, pág. 207/571

202/381 firmware 1335H SDNP para funcionar como um gateway remoto. Como tal, uma conexão SDNP entre o gateway SDNP 1201A e o gateway remoto SDNP 1350 compreende o datagrama 1223A IP incluindo endereços de origem e destino IP ou NAT e carga útil SDNP 1222. A carga útil 1222 SDNP inclui um endereço SDNP não reconhecível por servidores DNS e uma carga útil aninhada SDNP que usa credenciais de segurança de Ultima Milha específicas da zona. Essa conexão SDNP é HyperSecure capaz de acomodar verificação de identidade e privacidade do chamador.

[00667] Entre o gateway remoto 1350 SDNP e qualquer dispositivo conectado que não seja um cliente SDNP (como o computador desktop 36), a comunicação é realizada por uma conexão de rede de área local (LAN), como Ethernet, Wi-Fi ou outros protocolos. A segurança é facilitada por protocolos de segurança LAN e emparelhamento de dispositivos entre o dispositivo de comunicação e o gateway remoto SDNP. O emparelhamento de dispositivos é o processo pelo qual uma sequência de autenticação entre dois dispositivos comunicantes estabelece a identidade dos dois dispositivos, impedindo o acesso não autorizado.

[00668] Na FIG. 24, o uso de um roteador permitido SDNP 1351, isto é, um roteador que rode o firmware SDNP 1335H, executa a função de um gateway remoto SDNP. Esse gateway converte o pacote de dados 1223A que compreende o datagrama A IP no pacote de dados 1223B que compreende o datagrama B IP. Embora o firmware 1335H SDNP possa interpretar a carga útil SDNP contida no datagrama A IP, os dispositivos conectados não são clientes SDNP. Em vez disso, o roteador SDNP 1351 converte carga útil SDNP em uma carga útil convencional IP. A menos que se introduzam métodos de segurança adicionais em um dispositivo, este Ultimo Enlace é inseguro. Para uso doméstico, essa conexão de dispositivo insegura muitas vezes não é uma preocupação porque o Ultimo Enlace ocorre dentro da casa. A menos que um hacker invada fisicamente uma casa para instalar um

Petição 870190124250, de 27/11/2019, pág. 208/571

203/381 grampo, tais conexões por fio não são detectáveis. Exemplos de Últimos Enlaces domiciliares por fio para dispositivos não-SDNP incluem Ethernet 106A, mostrado pelo exemplo conectado ao computador desktop 36 e ao modem 103C ou HDMI-2 conectado a uma TV 39.

[00669] Como a conexão SDNP e a comunicação HyperSecure se estendem somente até o roteador SDNP 1351, o Último Enlace deve confiar na autenticação e encriptação para conseguir a segurança em conexões por fio. Para Ethernet, essa segurança pode utilizar qualquer número de métodos de segurança (http://www.computerweekly.com/feature/iSCSI-securityNetworking-and-security-options-available), incluindo iSCSI operando nas Camadas 1 até Camada 3, como operação de rede de área local virtual (VLAN) utilizando encriptação entre dispositivos autenticados. Alternativamente, pode-se obter segurança usando-se métodos da Camada 4 até Camada 6 que utilizam a estrutura de segurança IP (IPSec). Originalmente desenvolvida para armazenamento de dados e promovida pela Cisco como um padrão do setor, a IPSec oferece dois modos de segurança. No modo Cabeçalho de Autenticação, o dispositivo receptor é capaz de autenticar o remetente dos dados. Nesse modo, o campo de dados é encriptado, mas o cabeçalho usa um endereço IP reconhecível. A Carga Útil de Segurança de Encapsulamento (ESP), também conhecida como modo de túnel, o pacote IP inteiro, incluindo o cabeçalho IP é encriptado e aninhado em um novo pacote IP desencriptado para que o roteamento possa funcionar corretamente e o pacote possa alcançar seu destino de rede correto.

[00670] Em ambos os casos, a segurança depende de dispositivos de autenticação para permitir que eles se conectem à rede. Em redes doméstica, por exemplo, redes pessoais que se conectam a computadores, unidades de armazenamento compartilhado, loT e outras conexões de dispositivos, o hardware conectado à rede não é alterado com frequência. Nesses casos, a autenticação envolve essencialmente um processo de registro de um

Petição 870190124250, de 27/11/2019, pág. 209/571

204/381 dispositivo que obtém acesso a uma rede ou roteador. Em vez de identificar a identidade de um usuário específico, esse tipo de autenticação é entre dispositivos, ou seja, de dispositivo para dispositivo, geralmente usando alguma etiqueta, nome ou número de identificação de dispositivo para identificar e reconhecer os dispositivos aprovados para conexão. Estabelecer uma conexão de rede envolve uma fase de configuração em que os dispositivos são apresentados um ao outro pela primeira vez e aprovados pelo usuário para conexão, seguida de uma sequência de autenticação automatizada cada vez que um dispositivo por fio for fisicamente conectado ao outro ou por Wi-Fi sempre que os dois dispositivos estiverem dentro do alcance um do outro. A fase de configuração, aqui mencionada como emparelhamento de identidade, também pode ser conhecida como registro de dispositivo, vinculação de dispositivo, emparelhamento de dispositivo, emparelhamento ou vinculação por emparelhamento. Utiliza-se um processo semelhante com dispositivos para conectar um fone de ouvido Bluetooth a um telefone celular ou fazer vínculo por emparelhamento entre um telefone celular Bluetooth e um sistema de áudio veicular por viva-voz. Os protocolos incluem protocolo de autenticação de aperto-de-mão de desafio (CHAP), Kerberos V5, Interface de Programação de Aplicativo de Serviços de Segurança Genérica de Chave Pública Simples (GSSAPI), Senha Remota Segura (SRP) e Serviço de Usuário Discado de Autenticação Remota (RADIUS). Alguns métodos, como o RADIUS, dependem de métodos de encriptação que foram quebrados, mas ainda são usados em combinação com outras técnicas.

[00671] Embora a comunicação Ethernet proteja dispositivos emparelhados por identidade, tais como modem Ethernet 103C, a saída do modem, que compreende sinais de telefone analógico conduzidos sobre condutores de par trançado de cobre 7 para telefone sem fio 5A e para telefone de mesa 37, o Ultimo Enlace não é seguro. Além disso, o formato de

Petição 870190124250, de 27/11/2019, pág. 210/571

205/381 comunicação do telefone sem fio 5A não é seguro e sujeito a interceptação e monitoramento. Por essa razão, não se recomenda o uso de telefones domésticos em comunicação segura.

[00672] A distribuição de conteúdo de vídeo é outro assunto de interesse em segurança. Por exemplo, na comunicação do roteador 1351 SDNP para HDTV 39, um formato de comunicação de vídeo, como Interface Multimídia de Alta Definição (HDMI), DisplayPort (DP), Interface Digital Visual (DVI), e as menos populares Interface de Vídeo Gigabit (GVIF) ou Interface Digital Unificada (UDI) geralmente compreende a conexão física com a HDTV ou monitor de exibição. Originalmente a segurança dessa conexão e de seus dados era a preocupação dos estúdios de cinema e provedores de conteúdo, com foco na prevenção da cópia e distribuição ilegal de material protegido por direitos autorais. Um protocolo de segurança desenvolvido pela Intel Corp, para manter a segurança do enlace de vídeo é a Proteção de Conteúdo Digital de Alta Largura de Banda (HDCP) (https://en.wikipedia.org/wiki/High-bandwidth_Digital_Content_Protection). Originalmente, o sistema foi concebido para impedir que conteúdo encriptado por HDCP fosse jogado em dispositivos não autorizados. O sistema verifica a autorização do receptor de TV ou mostrador antes de enviar o conteúdo. Portanto, o DHCP usa a autenticação para impedir que não licenciados recebam dados; ele encripta os dados para evitar espionagem de informações e a revogação de chave de dispositivos comprometidos.

[00673] Com o HDCP, pode-se proteger o fluxo do conteúdo de um modem para a TV por autenticação, ou seja, usando-se o emparelhamento de identidade. Entretanto, com o advento de TVs inteligentes, o fluxo de dados é bidirecional. Como um meio para facilitar o fluxo de dados upstream, ou seja, da TV para o modem ou conversor digital, a partir da revisão 1.4, o HDMI agora incorpora um canal de dados bidirecional de alta velocidade conhecido como Canal Ethernet HDMI (HEC). Esse canal de dados significa que os

Petição 870190124250, de 27/11/2019, pág. 211/571

206/381 dispositivos conectados por HDMI podem enviar e receber dados através da Ethernet 100MC/s, deixando-os prontos para aplicativos baseados em IP, como a TV por IP. O Canal Ethernet HDMI permite que dispositivos HDMI habilitados para Internet compartilhem uma conexão de Internet através do enlace HDMI, sem a necessidade de um cabo Ethernet separado. Como tal, a comunicação segura pode ser facilitada através de HDMI usando-se os mesmos protocolos de segurança e emparelhamento de identidade disponíveis na Ethernet.

[00674] Na FIG. 25, o uso de um roteador Wi-Fi 1352 habilitado para SDNP, isto é, um roteador que rode o firmware 1335J SDNP, desempenha a função de um gateway remoto SDNP. Esse gateway converte o pacote de dados 1223A que compreende o datagrama A IP no pacote de dados 1223B que compreende o datagrama B IP. Embora o firmware 1335J SDNP possa interpretar a carga útil SDNP contida no datagrama A IP, os dispositivos conectados não são clientes SDNP. Em vez disso, o roteador Wi-Fi SDNP 1352 converte a carga útil SDNP em uma carga útil convencional IP e se comunica sem fio com os dispositivos conectados usando o ponto de acesso Wi-Fi 26 para facilitar a comunicação através do enlace Wi-Fi 29. A menos que se introduzam métodos de segurança adicionais em um dispositivo, este Ultimo Enlace é inseguro. No caso de comunicações Wi-Fi em casa ou no escritório, a segurança é uma preocupação porque os pacotes de dados podem ser detectáveis à distância. Exemplos de dispositivos domésticos e de escritório conectados por Wi-Fi incluem computador desktop 36, notebook 35, tablet 33, telefone celular 32, alto-falantes 34B, impressora/scanner 34A e unidade de dados compartilhados 34C.

[00675] Obtém-se segurança entre o gateway SDNP, ou seja, roteador Wi-Fi SDNP 1352, e o dispositivo conectado usando-se qualquer número de protocolos padrão do setor, tais como Acesso por Wi-Fi Protegido WPA-II ou WPA2 (IEEE 802.11Í-2004), uma substituição para o WPA mais velho e seu

Petição 870190124250, de 27/11/2019, pág. 212/571

207/381 antecessor inseguro WPE. A comunicação WPA2 é protegida usando-se o CCMP, uma abreviatura para Counter Mode Cipher Block Chaining Message Authentication Code Protocol baseado em processamento AES com uma chave de 128 bits e um tamanho de bloco de 128 bits. O CCMP fomece confidencialidade de dados, exige autenticação e estabelece controle de acesso. A autenticação envolve o emparelhamento de identidade na configuração. O re-emparelhamento deve ser feito manualmente. A segurança CCMP, embora boa, não é HyperSecure, carecendo de pacotes de dados anônimos e da natureza dinâmica da comunicação SDNP fornecida a partir de um cliente SDNP.

[00676] No exemplo da FIG. 26 de dispositivos loT conectados em uma rede doméstica, o uso de um roteador Wi-Fi 1352 habilitado para SDNP, isto é, um roteador que rode o firmware 1335J SDNP, desempenha a função de um gateway remoto SDNP. Esse gateway converte o pacote de dados 1223A, que compreende o datagrama A IP, no pacote de dados 1223B, que compreende o datagrama B IP. Embora o firmware 1335J SDNP possa interpretar a carga útil SDNP contida no datagrama A IP, os dispositivos loT conectados não são clientes SDNP. Em vez disso, o roteador Wi-Fi SDNP 1352 converte a carga útil SDNP em uma carga útil convencional IP e se comunica sem fio com os dispositivos conectados usando o enlace Wi-Fi 29 do ponto de acesso Wi-Fi 26. A menos que sejam implementados métodos de segurança adicionais, este Ultimo Enlace é inseguro - principalmente porque os pacotes de dados Wi-Fi podem ser detectados à distância. Exemplos de dispositivos loT conectados por Wi-Fi em casa incluem aquecimento central e ar condicionado 34D, iluminação 34G, persianas 34F, aparelhos grandes 34K, aparelhos portáteis e de parede de AVAC 34E, portas de garagem 34L, monitoramento de casa 34J, e sistema de segurança doméstico central 34H.

[00677] A segurança entre o gateway SDNP, ou seja, roteador de WiFi SDNP 1352 e o dispositivo conectado é obtida usando-se qualquer número

Petição 870190124250, de 27/11/2019, pág. 213/571

208/381 de protocolos padrão do setor, tais como o supracitado protocolo de Acesso Protegido Wi-Fi WPA2 usando-se confidencialidade de dados facilitadora de CCMP, exige autenticação e estabelece o controle de acesso. O WPA2 obtém a segurança usando emparelhamento de identidade e verificação de dispositivo implementados como um protocolo de Camada 2. O método é complicado e envolve métodos de autenticação manual.

[00678] Um protocolo alternativo usado para redes de área local recentemente introduzido para comunicações de loT é uma rede proximal chamada estrutura AllJoyn. A estrutura descobre dispositivos, cria sessões e facilita a comunicação segura. A estrutura foi projetada para oferecer suporte à conectividade de dispositivo loT usando várias camadas de transporte da Camada 2, incluindo Wi-Fi, Ethernet, comunicação de barramento serial e linha de energia PLC. Os aplicativos podem ser baseados em C, C++, Obj. C e Java operando em inúmeras plataformas, incluindo Linux, Windows, MacOS, Android, iOS, sistema operacional RTOS em tempo real, e ambiente de desenvolvimento de código aberto Arduino.

[00679] Os aplicativos compatíveis com AllJoyn autenticam um ao outro e trocam dados encriptados para habilitar a segurança de nível de aplicativo de ponta a ponta. A autenticação e a encriptação de dados são executadas na Camada 7 do aplicativo. A camada de transporte 2, também conhecida como camada de roteador, transmite mensagens relacionadas à segurança entre pontos finais do aplicativo, mas não implementa nenhuma lógica de segurança propriamente dita. Uma função de retomo de chamada conhecida como Ouvinte de Autenticação, também implementada na Camada 7 do aplicativo, facilita a autenticação usando PINs, senhas ou certificados de autenticação. A segurança é conseguida usando-se encriptação AES128 peer-to-peer. Como o WPA, a AllJoyn emprega o emparelhamento de identidade em um processo da autenticação antes de executar as sequências de comando e controle. Os métodos de autenticação aceitos incluem uma

Petição 870190124250, de 27/11/2019, pág. 214/571

209/381 chave pré-compartilhada (PSK), troca de chaves de senha remota segura (SRP) ou logon com nome de usuário e senha. O protocolo também aceita troca de chave efêmera (curva elíptica Diffe-Hellman) (i) sem autenticação, (ii) autenticada com uma chave pré-intercambiada e (iii) autenticada com um certificado ECDSA X.509.

[00680] A mesma tecnologia pode ser aplicada a empresas comerciais. No exemplo da FIG. 27 de dispositivos loT conectados em uma rede doméstica, o uso de um roteador Ethernet e Wi-Fi 1352Z habilitado para SDNP, isto é, um roteador Ethernet e Wi-Fi que rode o firmware 1335J SDNP, desempenha a função de um gateway remoto SDNP. Esse gateway converte o pacote de dados 1223A, que compreende o datagrama A IP, no pacote de dados 1223B, que compreende o datagrama B IP. Embora o firmware 1335J SDNP possa interpretar a carga útil SDNP contida no datagrama A IP, os dispositivos loT conectados não são clientes SDNP. Em vez disso, o roteador SDNP e Ethernet Wi-Fi 1352Z converte a carga útil SDNP em uma carga útil convencional IP e se comunica com os dispositivos conectados usando tanto o enlace Wi-Fi 29 como o Ethernet 106A.

[00681] A menos que sejam implementados métodos de segurança adicionais, este Ultimo Enlace é inseguro - principalmente para pacotes de dados Wi-Fi que podem ser detectados à distância. Exemplos de dispositivos de negócios loT conectados por Wi-Fi incluem aquecimento e ar condicionado central 34D, iluminação 34G, sistemas de vigilância 34J, sistemas de segurança 34H, terminais POS 38 e dispositivos conectados por hotspot Wi-Fi, como o tablet 33. Os dispositivos corporativos conectados por fio dependem da natureza do negócio. Nos bancos, os dispositivos incluem a máquina ATM conectada por Ethernet 38D. Em postos de gasolina, os dispositivos incluem, por exemplo, a bomba de gasolina conectada por Ethernet 38A.

[00682] Em resumo, pode-se proteger o Ultimo Enlace com os clientes

Petição 870190124250, de 27/11/2019, pág. 215/571

210/381 não-SDNP comunicando-se com um gateway remoto SDNP. Dessa maneira, a maioria da Ultima Milha é HyperSecure, enquanto o Ultimo Enlace emprega segurança encriptada com emparelhamento de identidade.

[00683] Comunicação de Ponte SDNP - Conforme descrito acima, o transporte de dados da Ultima Milha fora da nuvem SDNP necessariamente emprega datagramas IP, ou seja, pacotes de dados que usam endereços de origem e destino da Internet ou, altemativamente, usam endereços NAT do operador de rede. No caso de redes privadas, por exemplo, aquelas que operam dentro de prédios de escritórios, ou em cooperação com prestadores de serviços de rede local dispostos a hospedar softswitches SDNP em seus servidores, é possível também utilizar datagramas SDNP para alcançar comunicações HyperSecure em partes da Ultima Milha.

[00684] Conforme descrito anteriormente, a comunicação HyperSecure confia em servidores para hospedar o software ou o firmware de softswitch SDNP e para comunicar-se usando datagramas SDNP e endereços anônimos, não com datagramas IP. Dentro da nuvem SDNP, esses servidores habilitados por softswitch SDNP são chamados nós SDNP, conforme designados pela notação de nós SDNP Mo,ο, Μο,ι, Mi,o, Mij, etc. O Pedido de Patente dos E.U.A. acima mencionado de n° 14/803.869 também divulgou a comunicação entre múltiplas nuvens independentes SDNP conectadas por pontes SDNP gateways SDNP que roteiam datagramas IP para outras nuvens SDNP.

[00685] Pode-se também adaptar o conceito de uma ponte SDNP para partes da comunicação de Ultima Milha. Para criar uma sub-rede SDNP ou uma mini-nuvem dentro da Ultima Milha, dois ou mais servidores devem ser habilitados por software ou firmware de ponte SDNP. Ao contrário de firmware ou software cliente SDNP, que opera em um dispositivo final, ou seja, em um dispositivo de chamada, a operação de ponte SDNP é usada para roteamento de dados, não para funcionar como a conexão final. Como tal, duas ou mais pontes SDNP adjacentes podem funcionar como uma rede

Petição 870190124250, de 27/11/2019, pág. 216/571

211/381 autônoma de ponte SDNP, mini-nuvem SDNP ou rede SDNP ad hoc. A função da ponte SDNP, conforme divulgada, representa um constructo de Camada 3 análogo à descrição de Camada 2 da operação em modo de ponte de um roteador Wi-Fi. Dentro da ponte SDNP ou rede de ponte SDNP, a comunicação ocorre usando-se datagramas SDNP. A comunicação com a ponte SDNP de fora da ponte SDNP ou rede da ponte SDNP usa datagramas IP com cargas úteis SDNP.

[00686] A operação de uma ponte SDNP dentro da comunicação de Ultima Milha é exemplificada na representação esquemática mostrada na FIG. 28, que compreende uma rede SDNP com gateway SDNP 1201 A, uma ponte SDNP que compreende os roteadores de ponte SDNP 1350 e 1352Z, que rodam firmware SDNP 1335H e 1335J, respectivamente, e um dispositivo cliente conectado que não é um cliente SDNP, mostrado aqui como notebook 35. Conforme mostrado, a comunicação entre o gateway SDNP 1201A e a ponte SDNP 1350 compreende uma conexão segura que utiliza o datagrama IP 1223A com endereço IP e carga útil SDNP. A carga útil SDNP 1222A, por sua vez, contém informações de roteamento SDNP e carga útil SDNP segura codificadas usando-se credenciais de segurança específicas da zona. Dessa forma, consegue-se HyperSecurity usando-se a carga útil SDNP mesmo que se empregue o roteamento do endereço IP.

[00687] Dentro da conexão de ponte SDNP, isto é, entre o roteador de ponte SDNP 1350 e o roteador de ponte 1352Z SDNP habilitado por Wi-Fi, a comunicação HyperSecure ocorre usando o datagrama 1222B SDNP. As informações de roteamento SDNP são extraídas do endereçamento SDNP contido na carga útil SDNP 1222A. Juntos, a ponte SDNP e a conexão SDNP compreendem uma seção com fio HyperSecure de comunicação de Ultima Milha, capaz de aceitar a verificação de identidade e de conta e de aceitar privacidade.

[00688] A conexão do roteador de ponte SDNP 1352Z para o

Petição 870190124250, de 27/11/2019, pág. 217/571

212/381 dispositivo cliente não SDNP, ou seja, notebook 35, utiliza o datagrama 1223B IP com um endereço IP e carga útil IP através de uma rede de área local, Wi-Fi ou Ethernet. A segurança deste Ultimo Enlace, embora não HyperSecure, é garantida por qualquer um dos protocolos de segurança Ethernet e Wi-Fi acima mencionados, como iSCSI, IPSec, WPA, AllJoyn e outros.

[00689] A implementação da ponte SDNP pode ocorrer entre quaisquer dois dispositivos habilitados SDNP executada por qualquer número de meios físicos, significando que a ponte SDNP é um protocolo de Camada 3 que opera agnosticamente das realizações da Camada 1 PHY e da de transporte da Camada 2. Por exemplo, no esquema superior mostrado na FIG. 29A, dois roteadores Ethernet de ponte SDNP 1351 A, cada um rodando firmware SDNP 1335H, comunicam-se sobre uma ponte Ethernet (wireline) usando o datagrama 1222 SDNP. No esquema do centro, dois roteadores de ponte SDNP 1352Z, cada um capaz de comunicação Ethernet e Wi-Fi e rodando firmware SDNP 1335J, comunicam-se através de uma ponte Wi-Fi (sem fio) usando o datagrama 1222 SDNP. No esquema mais abaixo, o roteador Ethernet 1351A de ponte SDNP, que roda firmware SDNP 1335H, comunicase através de uma ponte Ethernet (por fio) usando datagrama 1222 SDNP com roteador de ponte SDNP 1352Z, capaz de comunicação Ethernet e Wi-Fi rodando firmware SDNP 1335J. Dessa maneira, a ponte SDNP, que compreende dois ou mais roteadores habilitados para SDNP, pode rotear ou distribuir datagramas SDNP por todo um edifício ou através de uma rede privada mesmo que operem fora da nuvem SDNP na Ultima Milha.

[00690] Pode-se estender a ponte SDNP a sistemas que utilizem hardware proprietário, tal como sistemas de TV a cabo. Por exemplo, no esquema superior mostrado na FIG. 29B, dois servidores “cabeça” CMTS a cabo são modificados para rodar firmware ou software SDNP 1335L para operar como pontes SDNP de CMTS a cabo 101 e se comunicarem através de

Petição 870190124250, de 27/11/2019, pág. 218/571

213/381 uma ponte de cabo ou fibra (por fio) usando datagrama 1222 SDNP. Pode-se estender a ponte SDNP da cabeça do CMTS até a residência do assinante. Conforme mostrado no esquema central, a ponte SDNP 101 do CMTS a cabo, que roda firmware ou software SDNP 1335L, comunica-se usando o datagrama 1222 SDNP sobre ponte a cabo (coaxial) com o conversor digital de TV a cabo ou modem a cabo 102 rodando firmware SDNP 1335M. Dessa maneira, a ponte SDNP estende a comunicação HyperSecure para a residência ou escritório.

[00691] Os métodos de ponte SDNP divulgados também podem ser utilizados para transportar dados através de redes de rádio. No esquema inferior da FIG. 29B, duas estações-base celulares e torres de rádio rodando firmware ou software 1335N SDNP funcionam como pontes SDNP 17X e 17Y de estação-base celular para se comunicarem sem fio através de rede celular que compreende pontes celulares 25X e 25Y usando datagramas 1222 SDNP. No esquema superior da FIG. 29C, uma estação-base de microondas terrestre que roda firmware ou software 13350 SDNP funciona como uma ponte 92C de enlace terra-satélite SDNP para se comunicar como uma ponte de satélite de microondas que usa datagramas 1222 SDNP com um satélite em órbita que roda o firmware ou o software 1335P SDNP, isto é, para a ponte SDNP 93 de satélite. O satélite, por sua vez, se comunica com os assinantes ou com outros satélites.

[00692] A comunicação da ponte SDNP pode ser adaptada a aplicativos automobilísticos que empregam automóveis como uma rede ad hoc de comunicação peer-to-peer. No esquema inferior da FIG. 29C, o módulo telemático no carro 1390A, que roda firmware 1335F SDNP, comunica-se através de uma ponte de rádio automotiva usando o datagrama 1222 SDNP com um carro próximo 1390B, que também roda firmware 1335F SDNP. Cada carro habilitado com firmware SDNP forma outro nó de comunicação em uma rede de ponte SDNP telemática dinâmica. Essa

Petição 870190124250, de 27/11/2019, pág. 219/571

214/381 comunicação não representa informações que são enviadas para um determinado carro ou motorista, mas, em vez disso, forma uma rede de comunicação capaz de passar informações ao longo de uma rodovia, mesmo quando não houver nenhuma torre de celular presente localmente.

[00693] O conceito de redes de ponte SDNP é especialmente benéfico para a comunicação sobre grandes territórios e no transporte e embarques envolvendo carros, caminhões, veículos de emergência, trens, aviões, barcos e navios oceânicos. Em particular, para alcançar uma ampla cobertura de área para comunicação, são necessárias redes de satélites. O sistema normalmente envolve conectividade de rede com o operador de satélite conhecido como ponte de satélite ou backhaul, e os satélites se conectam a seus clientes e assinantes, também conhecida como distribuição por satélite. A FIG. 30 esquematicamente representa uma variedade de conexões de satélite adaptadas para comunicação HyperSecure SDNP. Conforme mostrado, o gateway SDNP 1201A comunica-se com a antena parabólica terrestre de satélite 92C, que roda firmware ou software 13350 SDNP, usando a conexão por fio 94A, que transmite o pacote de dados 1222A, que compreende o datagrama A SDNP e carga útil SDNP que, por sua vez, retransmite o mesmo datagrama SDNP A como pacote de dados 1222B através da ponte de satélite 95A ao satélite 93, que roda firmware ou software 1335P SDNP.

[00694] A distribuição de pacotes de dados de comunicação

HyperSecure aos vários clientes do satélite 93 habilitado para SDNP compreende o pacote de dados 1222C e o pacote de dados SDNP A, que contêm uma carga útil SDNP. A comunicação por satélite é bidirecional, com o downlink do satélite 93 para clientes terrestres capaz de uma força de sinal mais alta e taxa de dados mais veloz do que a conexão uplink. Em outras palavras, um satélite pode transmitir taxas de dados mais elevadas e com intensidade de sinal mais forte para um cliente terrestre do que a resposta do cliente. Exemplos de enlaces de satélite 93 para assinantes incluem o enlace

Petição 870190124250, de 27/11/2019, pág. 220/571

215/381 de satélite 95B para assinante de Internet por antena 92G, que roda firmware SDNP 1335T, para o telefone via satélite 92F, que roda firmware SDNP 1335S, para uma série de antenas de satélite 92H localizadas no teto de trem de alta velocidade 1360C, que rodam firmware SDNP 1335G, para uma série de antenas de satélite 92E localizadas em cima do navio oceânico 1360B, que rodam firmware SDNP 1335R, e para uma série de antenas de satélite 92D em cima de aeronave 1360A, que rodam firmware SDNP 1335Q.

[00695] No caso de veículos grandes, como navios, aeronaves e trens, cada sistema conecta esse enlace de comunicação HyperSecure via satélite ao seu próprio sistema interno de comunicação ou rede de área local. A FIG. 31 A, por exemplo, ilustra uma aeronave comercial em que o módulo de antena de satélite 92D, que roda firmware SDNP 1335X, montado no topo da fuselagem da aeronave 1360A, se conecta ao servidor central de comunicação 1361, que roda software SDNP 1335Z. O servidor central de comunicação 1361 se conecta com uma variedade de sistemas, incluindo a instrumentação 1367, gravador de dados e caixa preta 1368, módulo de armazenamento de mídia 1363, e módulo de roteador Wi-Fi 1362, que opcionalmente roda firmware SDNP 1335L. O módulo de roteador Wi-Fi 1362 se conecta a uma série de antenas Wi-Fi 1361 localizadas por todo o avião para dar suporte a comunicações de HotSpot Wi-Fi. Todas as comunicações, exceto para o controle de voo baseado em rádio, ocorrem através de um enlace comum de comunicação via satélite, que usa o módulo de antena 92D mostrado no exemplo na FIG. 31B. O módulo de antena inclui a antena de transmissão de satélite 1360A, a antena de recepção de satélite 1360A, a unidade de controle de antena 1369 e o regulador de tensão de 40 W 1370. A antena de recepção de satélite 1368A é menor do que a antena de transmissão de satélite 1360A porque a potência de transmissão e força de sinal via satélite é maior do que a força de transmissão e capacidade de uplink da antena.

[00696] A comunicação do navio oceânico via satélite utiliza faixas

Petição 870190124250, de 27/11/2019, pág. 221/571

216/381 múltiplas de comunicações de satélite incluindo satélites de órbita de alta altitude e próximos da terra. A FIG. 32, por exemplo, ilustra o uso de uma comunicação de múltiplas bandas, incluindo antena de satélite de banda Ku 1383A e antenas de satélite de órbita terrestre baixa 1383B e 1383C. Os satélites de alta altitude oferecem capacidade de uplink limitada ou nenhuma, mas são capazes de cobrir amplas áreas de grandes altitudes, incluindo órbitas geossíncronas. Por causa de sua alta altitude, a área de cobertura de cada satélite é substancial, conforme mostrado no mapa 1384. Conforme mostrado no mapa 1385, os satélites de baixa órbita terrestre cobrem áreas menores, exigindo mais satélites e, portanto, um custo mais alto para cobrir uma área de transmissão. Dependendo da rota de um navio, o acesso a satélites de baixa órbita terrestre pode ser intermitente com base no posicionamento orbital dos satélites.

[00697] Uma vez que a antena de satélite 1383A de banda Ku é usada basicamente para a distribuição de conteúdo de TV e filmes, geralmente não é necessária a segurança SDNP. O rastreamento e o posicionamento são realizados pelo controle de antena 1383. Os dados multicanal da antena de satélite 1383A são alimentados para multiswitches de banda L 1381 que separam os sinais em dados de transmissão de vídeo fixos roteados para receptores de TV e sintonizadores 1382 e dados de transmissão de vídeo digital (DVB). O conteúdo de vídeo é alimentado para servidores centrais de comunicação 1380. Se, entretanto, for necessária comunicação segura, a antena de satélite 1383A de banda Ku pode ser adaptada para rodar software SDNP.

[00698] Os dados de antenas de satélite de baixa órbita terrestre 1383B e 1383C, que rodam o firmware SDNP correspondente 1335U e 1335V, repassam informações das antenas de satélite aos servidores centrais de comunicação 1380, que rodam software SDNP 1335Z. Dentro da faixa de terra, o sistema de comunicação também é capaz de comunicação usando rede

Petição 870190124250, de 27/11/2019, pág. 222/571

217/381 celular 4G/LTE 25 hospedada pela estação-base celular 17, que roda o firmware SDNP 1335N. As comunicações através dos servidores 1380 são distribuídas por todo o navio usando o roteador Wi-Fi SDNP 1362, que roda o firmware SDNP 1335L. A comunicação do Hotspot Wi-Fi do ponto de acesso Wi-Fi 26 é distribuída por todo o navio usando antenas Wi-Fi 1361. A comunicação para clientes SDNP como o celular 32, que roda o aplicativo SDNP 1335, facilita a comunicação HyperSecure de ponta a ponta. Os dispositivos não habilitados como clientes SDNP precisam depender do emparelhamento de identidade usando WAP, AllJoyn ou outros protocolos de segurança.

[00699] A FIG. 33 ilustra a aplicação da comunicação multibanda aplicada a trens de alta velocidade. Conforme mostrado, o servidor de data center de trem 1380, que roda software SDNP 1335Z conectado ao gateway SDNP 1201A se comunica com o trem de alta velocidade 1360C através de múltiplas conexões PHY, incluindo microondas via satélite 95B, rádio de 400 MHz 1372 e microondas de 60 GHz 1373. Durante a comunicação SDNP, o data center SDNP 1380 retransmite dados através da antena de satélite 92C, que roda o firmware SDNP 1335D, para o satélite 93, que roda o firmware SDNP 1335P. O satélite comunica-se com a série de antenas do trem 1383V conectadas ao servidor 1361, que roda o software SDNP 1335Y. A comunicação alternativa ocorre do data center SDNP 1380 através da antena 1381 de 400 MHz ou da antena 1382 de 60 GHz posicionada a intervalos regulares ao longo dos trilhos do trem. Esses satélites também se comunicam com a série de antenas 1383B conectadas ao servidor de comunicação SDNP 1361 do trem, que roda o software SDNP 1335Y. A comunicação recebida pelo servidor SDNP 1361 é então distribuída por todo o trem por pontes WiFi 1335Z e para clientes como hotspots Wi-Fi.

[00700] A função de comunicação no setor automotivo e em caminhões profissionais é multifacetada envolvendo

Petição 870190124250, de 27/11/2019, pág. 223/571

218/381 [00701] Comunicação de voz [00702] Navegação, mapas, informações da estrada, alertas [00703] Entretenimento, serviços de Hotspot, informações de entretenimento [00704] Pagamentos sem fio, pedágios [00705] Serviços de emergência, assistência na estrada [00706] Prevenção de colisão [00707] Agendamento de controladores (profissional, caronas) [00708] Também são necessárias funções adicionais para veículos autônomos, ou seja, carros sem motorista. Baseado fundamentalmente em redes celulares mais antigas tais como uma unidade central controlada CDMA (2,5 G) conhecida como módulo telemático, tem-se mostrado que os sistemas automotivos existentes estão extremamente sujeitos a hackeamento, ataques cibernéticos e ataques contra a privacidade. Para eliminar essa vulnerabilidade, deve-se proteger toda a rede sem despesa significativa, ou seja, a instalação de uma nova rede não é fiscalmente uma opção. Em vez disso, a infraestrutura de segurança deve ser sobreposta no topo da rede de hardware como métodos de segurança implantados da Camada 3 até a Camada 7. Essa estratégia é compatível com as implementações da Ultima Milha do SDNP aqui divulgadas.

[00709] A FIG. 34 ilustra um exemplo de conexão HyperSecure de Ultima Milha entre um veículo e a nuvem SDNP. Como nas conexões anteriores de Ultima Milha, os transportadores de dados específicos envolvidos no transporte de pacotes através da Ultima Milha podem variar dramaticamente de um local para outro. Como tal, o exemplo é mostrado para representar a comunicação HyperSecure independentemente dos transportadores de dados envolvidos. Conforme mostrado, o gateway SDNP 1201A conecta-se a um roteador de rede 67 A através de um enlace de fibra ou fio 24 gerenciado pelo provedor do serviço de rede (NSP), que converte o

Petição 870190124250, de 27/11/2019, pág. 224/571

219/381 pacote de dados 1222A, que compreende o datagrama SDNP A, no pacote de dados 1223A, que compreende o datagrama B IP, que contém uma carga útil SDNP. O roteador de rede 67 A então roteia o datagrama B IP como pacote de dados 1223B a uma estação-base celular 17 através de um enlace de fibra ou fio 24A de propriedade de ou operado por um operador de rede móvel (MNO). O pacote de dados B IP é então comunicado sem fio através da rede celular 25 como pacote de dados 1223C, que compreende o datagrama B SDNP, que contém a carga útil SDNP para o módulo telemático dentro do automóvel 1390A usando o enlace celular 28, usando ou 2,5 G, 3G, 3,5 G ou 4G/LTE, dependendo do operador da rede móvel na região. O firmware 1335F SDNP, que opera dentro do módulo telemático, então interpreta a carga útil SDNP embutida dentro do pacote de dados de entrada 1223C para completar o enlace de comunicação HyperSecure. Como tal, um Ultimo Enlace celular automotivo funciona como parte da comunicação HyperSecure da Última Milha.

[00710] Conforme mostrado na FIG. 35, o módulo telemático no automóvel 1390A então utiliza as informações seguras para uma variedade de funções controladas pela interface de informações de entretenimento 1377. O Hotspot Wi-Fi interno 1362D também distribui pacotes de dados 1223B e 1223C, que contêm datagrama IP B e datagrama IP C, respectivamente. O datagrama IP B contém uma carga útil SDNP que facilita a comunicação HyperSecure de ponta-a-ponta para qualquer cliente SDNP, como o telefone celular 32B, que roda o aplicativo 1335 SDNP. O datagrama IP C, que usa apenas uma carga útil convencional IP, é menos seguro, mas funciona com dispositivos que não operam como clientes SDNP como o telefone celular 32A e o tablet 33A. Pode-se usar o emparelhamento de identidade para melhorar a segurança do Último Enlace para dispositivos não SDNP usandose WPA, AllJoyn ou outros protocolos.

[00711] Uma outra função importante na comunicação automotiva é a

Petição 870190124250, de 27/11/2019, pág. 225/571

220/381 da comunicação veículo-a-veículo, também conhecida como comunicação V2V. O objetivo da comunicação V2V é basicamente a prevenção de colisão. Mas de acordo com os métodos SDNP aqui divulgados, as comunicações V2V também podem funcionar como uma rede HyperSecure ad hoc peer-topeer. Tal comunicação SDNP entre veículos é ilustrada na FIG. 36, na qual os automóveis 1390A, 1390B e 1390C, que rodam o firmware 1335F SDNP, formam uma rede peer-to-peer entre si e com a estação-base celular 17 conectada ao gateway 1201A SDNP. Pode-se realizar a comunicação entre os veículos usando-se datagramas IP ou datagramas SDNP.

[00712] No caso em que um cliente ou gateway SDNP se comunica com um dispositivo não SDNP, a comunicação ocorre usando datagramas IP. Por exemplo, o gateway 1201A SDNP converte o datagrama SDNP A com uma carga útil SDNP no pacote de dados 1223A, que compreende o datagrama IP B com uma carga útil SDNP incorporada. Conforme mostrado, a estação-base celular 17 comunica-se com o automóvel 1390A sobre um enlace celular de 2,5G ou 3G 28A usando o pacote de dados 1223B, que contém o datagrama IP B com uma carga útil SDNP incorporada mas pode comunicar-se com o automóvel 1390C sobre um enlace celular 3,5 G ou 4G/LTE 28B usando o pacote de dados 1223C, que também contém o datagrama IP B com uma carga útil SDNP incorporada. Dessa maneira, a carga útil SDNP é distribuída independente da rede usada para transportar os pacotes de dados.

[00713] Os automóveis habilitados com o firmware SDNP 1335F podem também formar uma ponte SDNP ad hoc peer-to-peer ou rede de ponte. Por exemplo, o automóvel 1390A comunica-se com o automóvel 1390B através de um enlace de rádio V2V 1391A usando o pacote de dados 1222B, que contém o datagrama SDNP C em vez de um datagrama IP. Similarmente, o automóvel 1390B comunica-se com o automóvel 1390C através de um enlace de rádio V2V 1391B usando o pacote de dados 1222C,

Petição 870190124250, de 27/11/2019, pág. 226/571

221/381 que contém o datagrama SDNP D, e não se baseia em datagramas IP. Independentemente do tipo de datagrama empregado, o conteúdo incorporado permanece HyperSecure usando cargas úteis SDNP.

[00714] Uma outra característica da rede ad hoc V2V SDNP é sua capacidade de executar funções de tunelamento, isto é, passar dados através de um veículo para outro sem que o carro interveniente possa monitorar ou interpretar os dados que ele está passando. No caso em que o enlace celular 28B falhar porque o automóvel 1390C está fora do alcance, como num trajeto alternativo, a estação-base celular 17 pode utilizar a rede da ponte SDNP para alcançar o mesmo chamador, no exemplo mostrado, através do enlace celular 28A, enlace de rádio V2V 1391 A, e, finalmente, através do enlace de rádio V2V 1391B. Durante o transporte de dados, os pacotes de dados 1223B, 1222B e 1222C mudam de datagrama IP B para datagrama SDNP C e, finalmente, para datagrama SDNP D. Uma vez que a carga útil SDNP destinada ao automóvel 1390C é criada singularmente para o automóvel de destino, o automóvel 1390B e seus ocupantes não podem hackear ou monitorar o conteúdo do datagrama SDNP C mesmo que estejam retransmitindo o pacote de dados 1222B através da rede ad hoc.

[00715] Com exceção da comunicação convencional da Ultima Milha, pode-se usar a mesma tecnologia de ponte SDNP para enviar grandes quantidades de dados usando-se HyperSecurity sobre distâncias longas, isto é, comunicação de tronco digital. A FIG. 37 mostra três exemplos, ou seja, tronco de microondas 98, tronco de fibra 90 e troncos de satélite 95A e 95B. Embora essa função possa ser considerada como parte de uma nuvem SDNP, a rota de dados única é semelhante à de comunicação da Ultima Milha e, portanto, emprega métodos semelhantes para garantir a HyperSecurity. Por exemplo, os servidores 21A e 21B, que operam software SDNP 1335Z, podem-se comunicar através do tronco de microondas 98 via torres de microondas 96A e 96B, que rodam firmware SDNP 1335W, usando o pacote

Petição 870190124250, de 27/11/2019, pág. 227/571

222/381 de dados 1222, que compreende datagramas SDNP ou, altemativamente, os servidores 21A e 21B podem-se comunicar diretamente através do tronco de fibra 98, também usando o pacote de dados 1222, que compreende datagramas SDNP. Na comunicação global, por exemplo, em um enlace de dados transpacífico, os servidores 21A e 21B podem comunicar-se com o satélite 93, que roda o firmware 1335V SDNP, por meio dos troncos 95A e 95B de satélite de microondas, usando as antenas de satélite de base terrestre 92A e 92B, ambas rodando o firmware SDNP 1335U. Como nos exemplos da torre de fibra e de microondas, a comunicação por tronco de satélite utiliza o pacote de dados 1222, que compreende datagramas SDNP.

[00716] Como conclusão, os recursos de segurança e privacidade oferecidos na comunicação de Ultima Milha dependem dos dois dispositivos comunicantes. A FIG. 38 contrasta quatro combinações diferentes representando, em ordem de baixo para cima, segurança e privacidade crescentes. Em cada caso, consideram-se três fatores, (i) a segurança, a capacidade de impedir o acesso não autorizado aos comunicados, (ii) a verificação de identificação, a capacidade de autenticar o usuário e ajustar o acesso e privilégios com base em sua identidade, e (iii) anonimato, a capacidade de ocultar da vigilância a identidade dos chamadores.

[00717] No exemplo inferior, o gateway SDNP 1395 comunica-se abertamente com um cliente não SDNP que não possui nenhum recurso de segurança, usa o pacote de dados 1223C, que compreende um datagrama IP com um endereço IP detectável e uma carga útil IP. Como tal, a conexão da Ultima Milha não é segura e não privada. No segundo exemplo de baixo para cima, o gateway SDNP 1395 se comunica com um cliente não SDNP oferecendo recursos de autorização de dispositivo e emparelhamento de identidade. A comunicação é por meio do pacote de dados 1223B, que compreende um datagrama IP com um endereço IP detectável, mas usando uma carga útil encriptada que compreende texto cifrado em que somente o

Petição 870190124250, de 27/11/2019, pág. 228/571

223/381 dispositivo emparelhado por identidade pode executar a desencriptação. Embora a comunicação não seja privada ou anônima, ela oferece segurança aprimorada, pelo menos para durações limitadas.

[00718] O exemplo ao lado do topo ilustra que o gateway SDNP 1395 pode rotear comunicações através de qualquer ponte ou roteador 1397 e ainda conseguir HyperSecurity, desde que o pacote de dados 1223A compreenda uma carga útil SDNP dentro do datagrama IP. O nível de segurança alcançado depende apenas do dispositivo final, não do roteador. No exemplo superior, a comunicação entre um gateway SDNP 1395 e um cliente SDNP 1396 que usa pacotes de dados 1222, que compreende datagramas SDNP com endereçamento SDNP, ou seja, que usa endereços de origem e destino não reconhecíveis pelos servidores de nome DNS de Internet, e que usa cargas úteis seguras SDNP, é HyperSecure, oferecendo segurança superior, recursos de privacidade completa e roteamento anônimo de pacotes.

[00719] Roteamento de Pacotes HyperSecure de Última Milha Independente do hardware físico da Camada 1 e dos algoritmos e dos métodos e algoritmos de enlace de dados da Camada 2 empregados, o roteamento dos pacotes entre um cliente SDNP ou ponte SDNP e o gateway SDNP depende de datagramas IP para transportar e rotear os pacotes de dados através da Ultima Milha. Ao contrário do roteamento de dados dentro da nuvem SDNP dirigido por servidores de sinalização SDNP, a nuvem SDNP ou seus servidores de sinalização não controlam datagramas IP que atravessam a Ultima Milha. Como tal, deve-se esperar alguma variabilidade nos atrasos de propagação da Ultima Milha. Felizmente, como as distâncias de comunicação da Ultima Milha e o número de rotas possíveis são limitados, essa incerteza é pequena em comparação com o atraso total de propagação de ponta a ponta de uma comunicação global. Estima-se que a variação nos atrasos de propagação total devidos à variabilidade da Ultima Milha seja inferior a 10 % do atraso agregado.

Petição 870190124250, de 27/11/2019, pág. 229/571

224/381 [00720] A FIG. 39 ilustra a comunicação de Ultima Milha de rota única entre o cliente SDNP 1400 e o gateway SDNP 1401, que usa endereços IP fixos. O Datagrama IP 1405 inclui o endereço IP de destino Mo,o (o gateway SDNP) e o endereço IP da origem do pacote de dados Ci,i, o cliente SDNP. A comunicação do Ultimo Enlace ocorre através de uma única rota 1404 ao roteador 1402A. Os dados são roteados através de qualquer número de roteadores R, por exemplo, roteador 1402B, para o gateway SDNP Mo,o.

[00721] Uma representação alternativa da conexão de rede da Ultima Milha descreve cada dispositivo de comunicação como uma pilha IP representando o PHY, o enlace de dados e as conexões de rede como Camadas OSI 1, 2 e 3. Por exemplo, a Fig. 40A é uma representação de pilha IP da comunicação HyperSecure de rota única da Ultima Milha usando endereços IP estáticos. Como tal, o dispositivo cliente que compreende o cliente Ci,i SDNP estabelece uma conexão de Ultima Milha de rota única 1409 com o gateway SDNP 1401, que compreende o gateway SDNP Mo,o através dos roteadores 1402A e 1402B, onde o roteador 1402A compreende um roteador Wi-Fi e o roteador 1402B é um roteador Ethernet. O dispositivo cliente 1400 se conecta ao roteador 1402A através do Ultimo Enlace 1404 em que a conexão física da Camada 1 PHY e a Camada 2 do enlace de dados correspondente da pilha IP do cliente 1411 conectam-se à Camada 1 e Camada 2 correspondentes na pilha IP 1412A do roteador.

[00722] Por sua vez, o roteador 1402A conecta-se ao roteador 1402B usando Ethernet, onde a conexão física da Camada 1 PHY e a Camada 2 do enlace de dados correspondente da pilha IP 1412A do roteador Wi-Fi se conecta à Camada 1 e Camada 2 correspondentes na pilha IP 1412B do roteador Ethernet. Finalmente, o roteador 1402B se conecta ao servidor do gateway SDNP 1401 usando Ethernet, onde a conexão física da Camada 1 PHY e a Camada 2 do enlace de dados correspondente da pilha IP 1412B do roteador Ethernet se conecta à Camada 1 e Camada 2 correspondentes na

Petição 870190124250, de 27/11/2019, pág. 230/571

225/381 pilha IP 1422 do gateway. Na operação, os roteadores carregam dados não perturbados, de modo que os datagramas IP da Camada 3 da rede fluam de uma pilha IP para outra de forma transparente, especificamente da Camada 3 na pilha IP 1411 para 1412A, 1412B e finalmente para 1422. Dessa forma, a rede carrega os datagramas IP como dados de rota única através de uma conexão virtual 1409 de Ultima Milha mesmo se os dados passarem fisicamente através de múltiplos dispositivos.

[00723] Em outras palavras, os dados da rede da Camada 3 fluem através da Ultima Milha independentemente das conexões físicas usadas para transportar os datagramas IP, isto é, a comunicação de Ultima Milha da Camada 3 opera agnosticamente das implementações subjacentes da Camada 1 e da Camada 2 usadas para a transferência de dados. Esse princípio pode ser representado de forma simplificada removendo-se os nós intermediários do esquema conforme mostrado na FIG. 40B, onde o dispositivo cliente 1400 e servidor de gateway SDNP 1401 incluindo as pilhas IP de comunicação 1411 e 1422, transportam dados de e para as funções correspondentes de computação e armazenamento de dados 1410 e 1421. O datagrama IP 1405 flui através da conexão de Ultima Milha 1409 independentemente da mídia ou do número de roteadores usados no processo de entrega de pacotes de dados. Portanto, pode-se considerar a Ultima Milha como um constructo de dados, ou seja, uma abstração para significar quaisquer e todos os meios físicos pelos quais o datagrama IP é transportado entre dispositivos. Entretanto, o Ultimo Enlace tem mais um significado físico porque o dispositivo conectado do chamador deve ser capaz de se conectar ao roteador upstream do enlace de comunicação. Por exemplo, se um chamador tiver um computador tablet com apenas uma conexão Wi-Fi e estiver sentado em um café com Wi-Fi, mas o chamador não tiver a senha WPA da rede Wi-Fi, então não se pode estabelecer o Ultimo Enlace, e o chamador não pode se conectar à Ultima Milha, à nuvem SDNP nem fazer uma chamada.

Petição 870190124250, de 27/11/2019, pág. 231/571

226/381 [00724] Uma outra consideração da comunicação de Última Milha é que a carga útil do datagrama IP 1405 contém todas as informações para as camadas OSI superiores, incluindo os dados da Camada 4 de transporte, dados da Camada 5 da sessão, dados da Camada 6 de apresentação e dados da Camada 7 do aplicativo. Além dos dados da Camada 4 necessários para selecionar os protocolos de transporte UDP ou TCP, os dados restantes da carga útil do datagrama IP são específicos para a comunicação SDNP divulgada e não podem ser interpretados por roteadores que operem ao longo da Última Milha, a menos que eles próprios rodem software ou firmware SDNP. Condizentemente, somente os dispositivos finais, isto é, o chamador ou cliente SDNP e o gateway SDNP, podem interpretar a comunicação de Última Milha, mesmo que a própria rede da Última Milha possa incluir um amalgamado de diferentes dispositivos, transportadores e operadores de rede.

[00725] Embora a carga útil SDNP seja garantida por inúmeros segredos, incluindo embaralhamento, fragmentação, inserções e eliminações de dados de lixo, formatação dependente do estado e encriptação dinâmica, os endereços IP de um datagrama IP que passam por uma rede de Última Milha necessariamente revelam os endereços de origem e de destino do dispositivo cliente 1400 e do servidor de gateway SDNP 1401. A fim de fornecer um grau de anonimato através da Última Milha, o engano do endereço é benéfico, isto é, desorientando os criminosos cibernéticos ao mudar dinamicamente os endereços de origem e destino no datagrama IP. Pode-se fazer o engano de IP alterando-se dinamicamente o endereço IP do dispositivo conectado do chamador, aqui chamado de endereçamento dinâmico de cliente, ou comunicando-se com múltiplos gateways SDNP, ou seja, comunicação de Última Milha por múltiplas rotas.

[00726] O primeiro método de enganar o endereço IP descrito envolve alterar dinamicamente o endereço de origem de pacotes de dados sequenciais. Conforme mostrado na FIG. 41, os datagramas IP A, B e C enviados

Petição 870190124250, de 27/11/2019, pág. 232/571

227/381 sucessivamente compreendem três endereços de origem diferentes. Especificamente, o datagrama A IP 1405A inclui endereço de origem IP C14, o datagrama IP B 1405B inclui endereço de origem IP Ci,2 e o datagrama IP C 1405C inclui endereço de origem IP C13. Assim, embora os pacotes que entram no roteador 1402A emanem todos do cliente 1400 SDNP, o endereço de origem dos clientes Ci,_n muda dinamicamente ofuscando o endereço IP verdadeiro e aparentando ser mais de um dispositivo de comunicação. Para concluir a charada, o endereço MAC do dispositivo comunicante também deve mudar condizentemente com o endereço de origem dinâmico.

[00727] Esse método é ilustrado usando pilhas IP na FIG. 42A, onde os dispositivos 1400, 1402A, 1402B, 1401 se comunicam através das pilhas IP correspondentes 141 IN, 1412A, 1412B e 1422 usando Wi-Fi e Ethernet, mas onde a identidade da Camada 3 da rede do cliente SDNP compreende múltiplos endereços IP Ci,i, Ci,2 e C13. O resultado é que os pacotes de dados sequenciais que entram no roteador 1402A parecem ser enviados de três dispositivos clientes diferentes, nenhum deles conforme representado na representação esquemática do Ultimo Enlace mostrado na FIG. 42B. A camada PHY compartilhada compreende frequências padrão de Wi-Fi, e a camada do enlace de dados que conecta os dispositivos segue padrões estabelecidos tais como 802.1 lac ou 802.1 In.

[00728] Os datagramas IP 1405N enviados para o dispositivo roteador 1402A ao longo da conexão de rede 1408 compreendem um endereço IP de destino fixo IP Mo,o e endereços de origem sequencial IP Ci,i, IP Ci,2, IP C13, etc., representados em notação matemática como IP Ci,_n onde n = 1, 2, 3,... identificando de forma singular cada pacote sequencial. Cada pacote IP sequencial também inclui uma carga útil correspondente SDNP 1, SDNP 2, SDNP 3 e assim por diante. Observe que, embora essa descrição se refira a cada endereço IP usando notação matemática abreviada IP Ci,_n, entende-se que os endereços IP compreendem endereços IP reais feitos de acordo com as

Petição 870190124250, de 27/11/2019, pág. 233/571

228/381 normas internacionais IPv4 ou IPv6 e excluem quaisquer endereços IP reservados.

[00729] Outra opção para melhorar a segurança é empregar o transporte de pacotes de múltiplas rotas na Ultima Milha. De uma maneira similar ao transporte de dados dentro da nuvem SDNP, na comunicação de múltiplas rotas da Ultima Milha, os dados de áudio e sequenciais são separados e fragmentados, então divididos em pacotes separados e endereçados a diferentes gateways SDNP. Um exemplo de transporte de dados de múltiplas rotas usando endereços IP estáticos é mostrado na FIG. 43, no qual o cliente SDNP 1400 se comunica com múltiplos gateways 1401A, 1401B e 1401C. Conforme mostrado, o primeiro pacote de dados 1405A compreende a carga útil SDNP 1 com endereço de origem IP Ci,i e endereço de destino Mo,o· O pacote de dados 1405A é então roteado através do Ultimo Enlace 1404A através dos roteadores 1402A e 1402B para o gateway SDNP 1401 A. De modo semelhante, um segundo pacote de dados 1405B compreende a carga útil SDNP 2 com endereço de origem IP Ci,i e endereço de destino Μο,ι. O pacote de dados 1405B é então roteado através do Ultimo Enlace 1404B através do roteador 1402C para o gateway SDNP 1401B. Um terceiro pacote de dados 1405C compreende a carga útil SDNP 3 com endereço de origem IP Ci,i e endereço de destino Mo,3. O pacote de dados 1405C é então roteado através do Ultimo Enlace 1404C através do roteador 1402D e 1402E para o gateway SDNP 1401C.

[00730] No trajeto entre o dispositivo cliente 1400 e um dos três gateways 1401A, 1401B ou 1401C mostrados, os datagramas IP são roteados através de múltiplos Últimos Enlaces 1404A, 1404B e 1404C para múltiplos roteadores 1402A, 1402B e 1402C. Esses roteadores podem incluir (i) roteadores completamente independentes que empregam meios físicos idênticos, como Wi-Fi ou Ethernet, (ii) múltiplos canais de roteador em um dispositivo de hardware comum, por exemplo, múltiplos canais de treliça em

Petição 870190124250, de 27/11/2019, pág. 234/571

229/381 um modem a cabo DOCSIS3 ou (iii) diferentes meios físicos para comunicação, por exemplo, um roteado através de Wi-Fi, outro através de 3G, etc.

[00731] Por exemplo, a FIG. 44A ilustra uma representação da pilha IP da referida comunicação HyperSecure de múltiplas rotas da Ultima Milha através de um Ultimo Enlace PHY comum 1404 usando endereços IP estáticos. Na operação, o cliente SDNP Ci,i comunica-se com os roteadores 1401 A, 1402B e 1402C como uma conexão de dispositivo único usando camadas comuns de PHY, de enlace de dados e de rede. O engano do endereço é feito usando-se datagramas IP sucessivos que compreendem um endereço de cliente estático IP Ci,i mas com a mudança de endereços de gateway SDNP IP Mo,o, IP Mo,i e IP Mo,3· A desorientação do pacote pode ocorrer algorítmica ou aleatoriamente. Por exemplo, se cada 10° datagrama enviado do dispositivo cliente 1400 for direcionado para o servidor SDNP 1401C, então o 10° datagrama de saída do dispositivo cliente 1400 incluirá um endereço de destino IP Mo,3 e um endereço de origem IP Ci,i. As respostas do servidor de gateway SDNP 1401C retornam ao dispositivo cliente 1400 no trajeto inverso, ou seja, com um endereço IP de origem Mo,3 e endereço de destino IP C 1,1.

[00732] Conforme mostrado, o PHY e o enlace de dados entre o dispositivo cliente 1400 e os roteadores 1402A, 1402D e 1402C compreendem um único meio, por exemplo, Wi-Fi. Embora as conexões do Ultimo Enlace sejam representadas como linhas únicas dividindo-se em três, deve-se entender que as conexões físicas são todas feitas ponto-a-ponto e não por conectores Y elétricos usados para criar fios paralelos. Em vez disso, a representação significa que as conexões são para indicar o efeito da conexão, ou seja, a camada PHY da pilha IP do cliente 1411 expande uma conexão PHY para três, ou seja, conectando-se à camada PHY das pilhas IP 1412A, 1412C e 1412D. Funcionalmente, este Ultimo Enlace funciona como uma

Petição 870190124250, de 27/11/2019, pág. 235/571

230/381 única saída para três expansores de entrada, onde um cliente se conecta a três funções de roteador, independentemente de as funções do roteador estarem contidas em um aparelho eletrônico comum ou embutidas em roteadores distintos e separados; Note-se que, conforme mostrado, o Ultimo Enlace 1404 constitui um único tipo de mídia de comunicação - cabo, fibra, Wi-Fi, Ethernet ou celular.

[00733] Entretanto, as partes restantes da Ultima Milha podem incluir qualquer mídia, não necessariamente a mesma que a do Ultimo Enlace. Um Ultimo Enlace alternativo envolve múltiplas camadas PHY diferentes que se conectam a roteadores independentes. Tal implementação, uma pilha IP que executa múltiplas rotas de comunicação HyperSecure de Ultima Milha usando endereços IP estáticos sobre múltiplos últimos enlaces PHY, é ilustrada na FIG. 44B. Especificamente o dispositivo cliente 1400 opera usando uma interface de Camada 3 de rede com um de endereço estático de cliente IP Ci,i, mas usando interfaces separadas e distintas da Camada 1 e Camada 2 representadas pelas pilhas IP 1411 A, 1411B e 1411C. Em operação, a pilha IP 1411A conecta-se ao roteador 1402A através do Ultimo Enlace 1404A direcionando o datagrama IP, que compreende o endereço de origem IP Ci,i e o endereço de destino IP Mo,o que atravessa o roteador 1402B. Da mesma forma, a pilha IP 1411B se conecta ao roteador 1402C através do Ultimo Enlace 1404B direcionando datagramas IP que compreendem o endereço de origem IP Ci,i e o endereço de destino IP Μο,ι. A pilha IP 1411C conecta-se ao roteador 1402D através do Ultimo Enlace 1404C direcionando datagramas IP que compreendem o endereço de origem IP Ci,i e o endereço de destino IP Mo,3 que atravessa o roteador 1402E.

[00734] A combinação de endereçamento dinâmico de origem e transporte de dados de múltiplas rotas é ilustrada na FIG. 45, onde o cliente SDNP 1400 se comunica com múltiplos gateways 1401 A, 1401B e 1401C usando endereços de origem dinâmicos. Neste método, o primeiro pacote de

Petição 870190124250, de 27/11/2019, pág. 236/571

231/381 dados 1405A compreende a carga útil SDNP 1 com endereços IP dinâmicos de origem Ci,i e de destino Μο,ο· O pacote de dados 1405A é então roteado através do Ultimo Enlace 1404A através dos roteadores 1402A e 1402B para o gateway SDNP 1401 A. De modo semelhante, um segundo pacote de dados 1405B compreende a carga útil SDNP 2 com endereço dinâmico de origem IP Ci,2 e endereço de destino Μο,ι. O pacote de dados 1405B é então roteado através do Ultimo Enlace 1404B através do roteador 1402C para o gateway SDNP 1401B. Um terceiro pacote de dados 1405C compreende a carga útil SDNP 3 com endereço dinâmico de origem IP C13 e endereço de destino Mo,3. O pacote de dados 1405C é então roteado através do Ultimo Enlace 1404C através dos roteadores 1402D e 1402E para o gateway SDNP 1401C.

[00735] Como tal, cada pacote sucessivo de dados contém cargas úteis SDNP que mudam, emprega endereços de origem que mudam dinamicamente, roteados através de Últimos Enlaces diferentes para gateways SDNP únicos. A fim de transportar dados sobre múltiplos Últimos Enlaces, a saber, Últimos Enlaces 1404A, 1404B e 1404C, seja um único roteador com múltiplas entradas IP, tal como um modem a cabo DOCSIS3 com codificação de treliça, seja sobre múltiplas formas de mídia, por exemplo, múltiplas bandas de Wi-Fi, combinações de rádio e Wi-Fi ou outras combinações de comunicação on-line e sem fio são utilizadas. Em um exemplo, a FIG. 46A retrata uma pilha IP de múltiplas rotas de comunicação HyperSecure de Última Milha usando endereços dinâmicos IP de cliente sobre um único último enlace PHY 1404. O dispositivo cliente 1400 ilustra uma interface física compartilhada que compreende a comunicação de Camada 1 e de Camada 2 mostrada na pilha IP 1411 A. Na Camada 3 da rede, a pilha IP 1411A gera o endereço de cliente Ci,i direcionado para o gateway SDNP Μο,ο, a pilha IP 1411B gera o endereço de cliente Ci,2 direcionado para o gateway SDNP Μο,ι, e a pilha IP 1411C gera o endereço de cliente Ci,3 direcionado ao gateway SDNP Mo,3·

Petição 870190124250, de 27/11/2019, pág. 237/571

232/381 [00736] Pode-se combinar a mesma abordagem de múltiplas rotas com o endereçamento dinâmico do cliente e múltiplas últimas camadas PHY conforme mostrado na representação de pilha IP da FIG. 46B. Conforme mostrado, o dispositivo cliente 1400 contém três pilhas IP 141 IA, 1411B e 1411C que transportam datagramas IP com endereços IP correspondentes IP Ci,i, IP Ci,2 e IP C13 através dos correspondentes Últimos Enlaces 1404A, 1404B e 1404C para o gateway SDNP com endereços IP a saber, IP Mo,o, IP Mo,i e IP Mo,3.

[00737] Em muitos casos, o Último Enlace compreende uma única rota, onde se utiliza transporte de dados de múltiplas rotas para além do primeiro roteador. Na FIG. 47, o cliente SDNP 1400 comunica-se com um único roteador 1402A através do Último Enlace 1404. Além do roteador 1402A, os pacotes de dados são direcionados para múltiplos gateways 1401 A, 1401B e 1401C usando endereços de origem dinâmicos. Nesta implementação, o primeiro pacote de dados 1405A compreende a carga útil SDNP 1 com endereços IP dinâmicos de origem Ci,i e de destino Μο,ο· O pacote de dados 1405A é roteado através do Último Enlace 1404 e através dos roteadores 1402A e 1402B para o gateway SDNP 1401 A.

[00738] De modo semelhante, um segundo pacote de dados 1405B compreende a carga útil SDNP 2 com endereço de origem dinâmico IP Ci,2 e endereço de destino Μο,ι. O pacote de dados 1405B é roteado através do Último Enlace 1404 e através dos roteadores 1402A e 1402C para o gateway SDNP 1401B. Um terceiro pacote de dados 1405C compreende a carga útil SDNP 3 com endereço de origem IP C13 e endereço de destino Mo,3· O pacote de dados 1405C é sucessivamente roteado através do Último Enlace 1401 e através dos roteadores 1402A, 1402D e 1402E para o gateway SDNP 1401C. Como tal, cada pacote sucessivo de dados contém cargas úteis SDNP que mudam, emprega endereços de origem que mudam dinamicamente, roteados através de Últimos Enlaces comuns para gateways SDNP únicos.

Petição 870190124250, de 27/11/2019, pág. 238/571

233 /381 [00739] Essa conexão de Última Milha é ilustrada usando pilhas IP na FIG. 48, onde a pilha IP 1411 no dispositivo cliente SDNP 1400 com um Último Enlace 1404 exclusivamente com roteador 1402A envia pacotes de dados na Camada 3 da rede para a pilha 1412A, que compreende três endereços de rede diferentes, especificamente IP Ci,i, IP Ci,2 e IP C13. Como tal, o dispositivo cliente 1400 aparece para o roteador 1402A como três clientes separados, embora realmente compreenda um único cliente. Uma vez que os datagramas IP atingem o roteador 1402A, eles se dividem e tomam rotas diferentes para diferentes gateways de destino. Pacotes com endereço de origem IP Ci,i podem, por exemplo, ser roteados através do roteador 1402B para IP de destino Mo,o, pacotes com endereço de origem IP Ci,2 podem ser roteados através do roteador 1402C para o IP de destino Mo,i, e pacotes com endereço de origem IP C13 podem ser roteados através dos roteadores 1402D e 1402E para o IP de destino Mo,3· A tabela de roteamento para direcionar um pacote de dados com um determinado endereço dinâmico de cliente Ci,_n para um gateway SDNP específico não é pré-fixado e pode ser variado dinamicamente. Os endereços IP podem ser atribuídos pacote por pacote, ofuscando ainda mais o fato de que os pacotes de dados aparentemente não relacionados são todos parte de uma única comunicação fragmentada entre dois chamadores.

[00740] Realização Física do Roteamento da Última Milha - A realização física da Última Milha pode incluir comunicação através de uma variedade de meios de comunicação, incluindo Ethernet, Wi-Fi, celular ou enlaces de fibra e cabo habilitados para DOCSIS3. Independentemente do meio utilizado, o roteamento de pacotes de dados através da Última Milha é controlado basicamente por três variáveis, a saber, [00741] Os endereços de controle de acesso à mídia (MAC) dos dispositivos de comunicação,

O endereço IP de origem do datagrama IP,

Petição 870190124250, de 27/11/2019, pág. 239/571

234/381

O endereço IP de destino do datagrama IP.

[00742] Como tal, endereços MAC controlam a mídia física usada para realizar cada salto na comunicação da Ultima Milha, ou seja, informações de Camada 1 e Camada 2, enquanto os endereços IP identificam o dispositivo cliente e o gateway SDNP, ou seja, os dispositivos nas duas pontas da Ultima Milha. Embora a carga útil usada na comunicação HyperSecure siga os protocolos definidos de acordo com a rede e protocolo de comunicação dinâmica segura, dispositivos intermediários na Ultima Milha, ou seja, roteadores e outros dispositivos na rota de um pacote entre o dispositivo cliente e o gateway, geralmente não estão habilitados para executar funções SDNP por causa da falta de código executável SDNP em tais dispositivos. Portanto, a carga útil SDNP não tem qualquer influência sobre o roteamento dos pacotes de dados HyperSecure da Ultima Milha.

[00743] Um exemplo é o uso de Ethernet para comunicação da Ultima Milha. Adaptando o pacote de dados Ethernet descrito anteriormente na FIG. 9E para comunicações SDNP da Ultima Milha, a FIG. 49 é uma representação gráfica dos datagramas IPv4 e IPv6 para comunicação Ethernet carregando uma carga útil SDNP. Conforme mostrado, o pacote 188 Ethernet de Camada 1 compreende o cabeçalho de quadro de dados, ou seja, preâmbulo 180, delimitador de quadro de início SFD 181 e Pacote 189 Ethernet de Camada 2. O pacote Ethernet 189 inclui endereços MAC de destino e origem 182 e 183, uma etiqueta opcional 802.1Q 184 para implementação de VLAN, campo Ethertype 185 usado para especificar o tipo de enlace de dados empregado (Ethernet II ou a especificação de comprimento de acordo com IEEE802.3), e verificação de quadro 186, que compreende uma checksum CRC de 32 bits de todo o pacote de enlace de dados. O pacote Ethernet 189 também contém a carga útil MAC 187 de comprimento variável usada para encapsular o conteúdo SDNP 1430 do datagrama IP. Especificamente, a carga útil MAC 187 contém um cabeçalho

Petição 870190124250, de 27/11/2019, pág. 240/571

235 /381

IP 434 e uma carga útil IP 435, que compreende o cabeçalho de transporte 436 e a carga útil SDNP 1430.

[00744] O cabeçalho IP 434 varia dependendo de o datagrama IP seguir o protocolo IPv4 ou IPv6 conforme determinado pelo campo de protocolo 447, que compreende o binário 4, ou o campo de protocolo 448, que compreende o binário 6. Os preâmbulos 440 e 444 contêm, ambos, um sinalizador de cabeçalho de transporte 470 usado para determinar o método de transporte da Camada 4 empregado, por exemplo, TCP, UDP, ou as funções de manutenção ICMP e IGMP. Especificamente, de acordo com a rede e protocolo de comunicação dinâmica segura, emprega-se o transporte TCP para arquivos de software e dados, enquanto se emprega o UDP para dados em tempo real, como VoIP e vídeo. O comprimento e o formato do cabeçalho de transporte 436 variam de acordo com o cabeçalho de transporte 470. O cabeçalho IP 434 contém os endereços IPv4 de origem 441 e de destino 442 ou os endereços IPv6 de origem 445 e de destino 446.

[00745] O roteamento de Ultima Milha dos pacotes Ethernet depende tanto dos endereços IP quanto dos endereços MAC, representados por nomes exemplares dos dispositivos aos quais o endereço IP ou MAC se refere, por exemplo, MAC Ci,i ou IP Mo,o· Por questão de clareza, utilizam-se nomes simbólicos, que representam um endereço numérico feito de acordo com o protocolo Internet formatado para Ethernet, em vez de endereços numéricos. Observe que o endereço IP Ci,i segue diferentes formatos e emprega um número diferente de bytes para os nomes IPv4 e IPv6. Além disso, o formato para o endereço MAC varia de acordo com o protocolo de enlace de dados da Camada 2. Como tal, o endereço MAC Ci,i para rádio celular não é o mesmo que o endereço MAC para o mesmo dispositivo que se comunica usando WiFi ou Ethernet. Endereços MAC não têm relação com endereços IP, ou seja, o endereço IP e o endereço MAC para o mesmo cliente não têm relação.

[00746] O roteamento sequencial de pacotes Ethernet da Ultima Milha

Petição 870190124250, de 27/11/2019, pág. 241/571

236/381 é mostrado nos exemplos das FIG. 50A até FIG. 50D. Cada ilustração contém dois pacotes Ethernet - um superior, composto por um datagrama IPv4, e um inferior, composto por um datagrama IPv6. Como o IPv4 e o IPv6 usam formatos diferentes com diferentes comprimentos de campo, os dois pacotes Ethernet mostrados geralmente não são do mesmo comprimento, mesmo quando carregarem cargas úteis idênticas. Na primeira etapa da sequência de comunicação, a carga útil SDNP A viaja do cliente SDNP 1400 para o roteador 1402A através do Ultimo Enlace 1404 e então através do enlace de gateway 1414 para o gateway SDNP 1401. Uma resposta do gateway SDNP para o cliente envolve a carga útil SDNP G viajar do gateway SDNP 1401 através do enlace de gateway 1414 para o roteador 1402A e então através do Ultimo Enlace 1404 para o cliente 1400. O cliente SDNP 1400 tem endereços numéricos MAC Ci,i e IP Ci,i, o roteador 1402A tem o endereço numérico MAC R, e o gateway SDNP tem endereços numéricos MAC Mo,o e IP Μο,ο· O endereço IP do roteador 1402A não é usado nos pacotes de dados. [00747] Ao contrário da nuvem SDNP, onde o roteamento de pacotes de datagramas SDNP é completamente controlado pela rede SDNP, na comunicação de Ultima Milha que usa datagramas IP, a carga útil SDNP não pode ser interpretada ou afetar o roteamento, o que significa que cada comunicação transportada através da Ultima Milha contém endereços IP fixos de origem e de destino. A mídia ou canais físicos usados para direcionar os pacotes Ethernet é regida pelos endereços MAC que conectam cada nó de comunicação na Ultima Milha. Por exemplo, a FIG. 50A ilustra os pacotes de Ultimo Enlace Ethernet IPv4 e IPv6 usados para roteamento de PHY único para o roteador 1402A que compreende o endereço de origem MAC Ci,i, o endereço de destino MAC R, o endereço IP de origem IP Ci,i, o endereço IP de destino IP Μο,ο e uma carga útil SDNP. A FIG. 50B ilustra os pacotes Ethernet correspondentes transportando a carga útil SDNP A através do enlace de gateway 1414. Conforme descrito, os endereços IP de origem e

Petição 870190124250, de 27/11/2019, pág. 242/571

237/381 destino permanecem inalterados no IP Ci,i e IP Mo,o, enquanto os endereços MAC de origem e de destino mudam de seus valores originais para MAC R e MAC M_o,o.

[00748] Na comunicação de resposta do gateway SDNP 1401 para o cliente 1400, a carga útil SDNP G atravessa a mesma rede em sequência inversa, ou seja, os endereços de origem e destino são trocados. Conforme mostrado na FIG. 50C, os endereços IP de origem e destino compreendem IP Mo,o e IP Ci,i, respectivamente, enquanto os endereços MAC incluem endereço de origem MAC Mo,o e de destino MAC R. Na comunicação do Ultimo Enlace mostrada na FIG. 50D, os endereços MAC mudam para endereço de origem MAC R e de destino MAC Ci,i, enquanto os endereços IP de origem e destino permanecem inalterados como IP Mo,o e IP Ci,i.

[00749] Um meio conveniente para representar a comunicação de Ultima Milha de um cliente SDNP é utilizar pacotes de dados abreviados contendo campos de dados que contêm endereços MAC de origem e destino, endereços IP de origem e destino e a carga útil SDNP. O formulário abreviado é conveniente para ilustrar o fluxo de dados em qualquer sessão” de comunicação, ou seja, a construção de sucessivos pacotes de dados transmitidos através da Ultima Milha para o gateway SDNP, e as respostas a isso. Por exemplo, pacotes Ethernet sucessivos (mostrados em forma abreviada) enviados de um cliente SDNP para o gateway SDNP são ilustrados na parte superior da FIG. 51 A. Cada linha representa sucessivos pacotes de dados contendo cargas úteis SDNP A, B e C. A coluna mais à esquerda ilustra os pacotes de dados no Ultimo Enlace, enquanto a coluna à direita ilustra pacotes de dados que carregam as mesmas cargas úteis através do enlace do gateway. Conforme mostrado, todos os pacotes especificam o IP Ci,i como o endereço IP de origem e o IP Mo,o como o endereço IP de destino. Uma vez que é empregado apenas um par de endereços IP, a Ultima Milha é mencionada aqui como uma comunicação de Ultima Milha SDNP de rota

Petição 870190124250, de 27/11/2019, pág. 243/571

238/381 única. Além disso, uma vez que o endereço IP de origem usado pelo cliente SDNP 1400 para transportar pacotes de dados sucessivos é imutável, o Ultimo Enlace emprega endereçamento estático de cliente.

[00750] Para facilitar a interconexão da Camada 2 entre cada nó de comunicação com seus vizinhos, os endereços MAC em diferentes segmentos da Ultima Milha necessariamente mudam. Conforme mostrado, todos os pacotes sucessivos que viajam através do Ultimo Enlace do cliente para o roteador empregam endereços MAC de origem e de destino MAC Ci,i e MAC R. Como se utiliza um único endereço MAC para o cliente em pacotes de dados sucessivos, o Ultimo Enlace compreende um único meio físico, ou seja, um Ultimo Enlace de PHY único. O transporte através do enlace do gateway emprega os endereços MAC de origem e de destino MAC R e MAC Mo,o, respectivamente.

[00751] Assim, embora o pacote de dados mostrado encerre uma carga útil SDNP, o roteamento através da Ultima Milha necessariamente usa endereços MAC e IP detectáveis - endereços que podem ser interpretados e monitorados por ouvintes não autorizados. Ao rastrear pacotes com endereços IP de origem e destino idênticos, um ouvinte não autorizado pode deduzir que os pacotes de dados são provavelmente parte da mesma conversa ou sessão e, embora não consiga abrir a carga útil SDNP, ele ainda pode coletar metadados, como horários de chamada, tamanhos de arquivos, taxas de dados, etc. para desenvolver um perfil do chamador. Além disso, ao seguir os endereços MAC e IP, metaforicamente como um rastro de migalhas de pão, um hacker pode potencialmente rastrear a origem de uma chamada até o dispositivo final, ou seja, o dispositivo do cliente e, a partir daí, identificar pessoalmente o chamador.

[00752] Conforme aqui divulgado, uma maneira superior de evitar o rastreamento de dispositivos do cliente, ofuscar pacotes de chamadas relacionados e inibir a coleta de metadados é alterar dinamicamente os

Petição 870190124250, de 27/11/2019, pág. 244/571

239/381 endereços MAC e IP na comunicação da Última Milha e do Último Enlace. Esses métodos inventivos de engano incluem:

[00753] Envio de pacotes de dados através de meios de comunicação que mudam, ao alterar dinamicamente os endereços MAC do Último Enlace, aqui mencionados como comunicação de Último Enlace de múltiplos PHY, [00754] Disfarçar o chamador ao alterar dinamicamente a identidade do endereço IP do dispositivo do cliente, mencionado como endereçamento dinâmico do cliente, [00755] Alterar o trajeto de comunicação de sucessivos pacotes de dados através da Última Milha ao alterar dinamicamente o endereço IP da comunicação de e para diferentes endereços IP de gateway SDNP, aqui mencionado como comunicação de “Última Milha por múltiplas rotas .

[00756] A combinação de comunicação de Última Milha por múltiplos PHY, endereçamento dinâmico do cliente e por múltiplas rotas toma o rastreamento da Comunicação de Última Milha e de Último Enlace extremamente desafiador, porque apenas o chamador SDNP e os gateway SDNP sabem quais pacotes fazem parte da mesma chamada ou sessão. Esses métodos podem ser utilizados separadamente ou em combinação.

[00757] Por exemplo, a metade inferior da FIG. 51A ilustra o uso de comunicação de Último Enlace por múltiplos PHY em uma comunicação de Última Milha de rota única com endereçamento estático do cliente. Conforme mostrado, cada linha compreende um par de pacotes de dados usados em uma comunicação de um cliente SDNP para o gateway SDNP - o lado esquerdo representando o pacote de dados do Último Enlace, o lado direito descrevendo o pacote de dados do enlace do gateway. As três linhas representam três mensagens sucessivas, a linha superior contendo o primeiro conjunto de dados “carga útil SDNP A, a linha do meio contendo a carga útil SDNP B, e a linha inferior descrevendo o terceiro pacote de dados sucessivo contendo a carga útil SDNP C. Para uma comunicação de Última Milha de rota única

Petição 870190124250, de 27/11/2019, pág. 245/571

240/381 com endereçamento estático do cliente, todos os pacotes de dados sucessivos usam um endereço estático de cliente IP Ci,i e endereço IP fixo de destino Mo,o· [00758] Para executar comunicação de Ultimo Enlace de múltiplos PHY, ou seja, para rotear dados no Ultimo Enlace sobre múltiplos meios físicos, o endereço MAC do cliente SDNP deve ser dinamicamente alterado em pacotes de dados sequenciais. Cada endereço MAC corresponde a uma Camada PHY específica, por exemplo, conexões Ethernet 100BASE-T e 1000BASE-T. No caso de três meios físicos, o endereço MAC do cliente são os pacotes dinamicamente alterados sucessivamente MAC Ci,i para MAC Ci,2, e então para MAC C13. Se apenas dois meios estiverem disponíveis, os endereços MAC podem ser variados em um padrão aleatório para evitar o reconhecimento de padrões, como MAC Ci,i, MAC Ci,2, MAC Ci,2, MAC Ci,i, MAC Ci,2, MAC Ci,i, MAC Ci,2, MAC Ci,i,... Embora o endereço MAC de origem seja variado, o destino MAC para o Ultimo Enlace pode permanecer constante, ou seja, como MAC R. Como todos os trajetos de Ultimo Enlace de múltiplos PHY terminam no mesmo roteador, o trajeto dos dados pelo restante da Ultima Milha permanece fixo como uma comunicação de rota única. Em outras palavras, embora o Ultimo Enlace utilize uma conexão de múltiplos PHY, a Ultima Milha entra na nuvem SDNP através de um único gateway, e a Ultima Milha compreende uma comunicação de rota única.

[00759] Embora a abordagem de múltiplos PHY forneça um grau de engano, ainda podem ser identificados pacotes de dados detectores de pacotes da chamada específica porque compartilham de um endereço IP comum de cliente. Esse método de detecção é frustrado usando-se o endereçamento dinâmico do cliente - uma operação onde o cliente muda seu endereço IP a cada pacote que envia. Como exemplo, a FIG. 51B ilustra o uso de endereçamento dinâmico IP do cliente em comunicação de Ultima Milha de

Petição 870190124250, de 27/11/2019, pág. 246/571

241/381 rota única. O conjunto superior de pacotes de dados ilustra uma conexão de Ultimo Enlace de PHY único, enquanto o conjunto inferior de pacotes de dados descreve uma implementação de múltiplos PHY. Na comunicação de Ultima Milha SDNP de rota única, o endereço IP de destino 442 do gateway SDNP permanece fixo com um valor numérico IP Mo,o em todos os pacotes de dados, independentemente de serem utilizados métodos de PHY único ou múltiplos.

[00760] Conforme mostrado, no endereçamento dinâmico do cliente, os pacotes de dados que transportam uma carga útil SDNP A empregam um endereço IP de origem dinamicamente selecionado 441 que compreende IP Ci,i, enquanto os pacotes de dados que transportam a carga útil SDNP B empregam um endereço IP de origem dinamicamente selecionado que compreende IP Ci,2, e os pacotes de dados que transportam carga útil SDNP C usam um endereço IP de origem dinamicamente selecionado que compreende IP Ci,3 e assim por diante. O número de endereços dinamicamente selecionados é quase ilimitado, especialmente no IPv6. Além disso, os endereços IP podem ser reutilizados contanto que transcorra um certo tempo, por exemplo, 1 segundo, antes que o endereço seja reciclado. No caso de endereços dinâmicos de clientes com um Ultimo Enlace de PHY único, o valor do endereço MAC de origem 183 permanece constante, neste exemplo em MAC Ci,i, embora o endereço IP de origem mude. No caso de endereços dinâmicos de clientes com um Ultimo Enlace de múltiplos PHY, o valor do endereço MAC de origem 183 varia sucessivamente, mudando de MAC Ci,i para MAC Ci; e então para MAC Ci,3. Não há correspondência matemática específica entre o endereço MAC em mudança do cliente e seu endereço IP dinâmico.

[00761] Embora o endereçamento dinâmico do cliente pareça incluir mensagens enviadas de diferentes usuários, os pacotes de dados ainda atravessam a maior parte da Ultima Milha (que não o Ultimo Enlace em

Petição 870190124250, de 27/11/2019, pág. 247/571

242/381 implementações de múltiplos PHY) em uma única rota. Um método mais avançado para confundir a detecção da embalagem de comunicação de Ultima Milha é empregar uma comunicação de múltiplas rotas”. Na comunicação de múltiplas rotas, emprega-se mais de um endereço IP do gateway SDNP para conectar o cliente à nuvem SDNP. Como o roteamento da rede SDNP é prescrito por servidores de sinalização e usa etiquetas identificadoras SDNP em cada pacote, a nuvem SDNP é capaz de rotear pacotes para um destino independentemente de os dados entrarem na nuvem SDNP através de um único gateway ou através de múltiplos gateways. A FIG. 51C ilustra o uso de comunicação de Ultima Milha por múltiplas rotas com endereçamento estático do cliente. Em cada pacote de dados mostrado no Ultimo Enlace, o endereço IP de origem do cliente 441 permanece estático com um valor numérico IP Ci,i, enquanto pacotes de dados sucessivos contendo cargas úteis SDNP A, B e C variam dinamicamente o endereço IP de destino 442 de IP Mo,o, para IP Mo,i para IP Mo,3· Os endereços IP dos gateways SDNP não são selecionados aleatoriamente, mas escolhidos pelos servidores de sinalização SDNP para representar gateways temporalmente próximos do chamador, ou seja, os gateways com um mínimo de atraso estatístico de propagação entre o cliente SDNP e o gateway SDNP específico. Neste exemplo, os endereços dinâmicos de destino mudam, independentemente das conexões PHY. Por exemplo, o conjunto superior de pacotes de dados ilustra uma conexão de Ultimo Enlace de PHY único com um endereço MAC de origem de cliente 183 para o Ultimo Enlace com um valor numérico MAC Ci,i, enquanto o conjunto inferior de pacotes de dados descreve uma implementação de múltiplos PHY que varia o endereço MAC de origem através de diferentes meios, por exemplo, MAC Ci,i, MAC Ci,2 e MAC C13. Não há um padrão correspondente ou relação matemática entre a mudança de endereços MAC do cliente e os endereços IP de destino dos gateways SDNP.

[00762] O grau mais eficaz de engano é combinar o endereçamento

Petição 870190124250, de 27/11/2019, pág. 248/571

243/381 dinâmico do cliente com a comunicação de Ultima Milha de múltiplas rotas. Essa nova combinação de recursos de segurança é mostrada na FIG. 51D tanto para implementação de Ultimo Enlace de PHY único (mostrada na metade superior da ilustração) quanto para uma versão de Ultimo Enlace de múltiplos PHY mostrada na metade inferior. Nessa versão totalmente dinâmica mostrada na metade inferior, o endereço IP de origem 441 muda dinâmica e aleatoriamente de IP Ci,i, para IP Ci,2, e para IP Ci,3, enquanto independentemente o endereço IP de destino 442 do gateway SDNP muda de IP Mo,o para IP Mo,i para IP Mo,3. O endereço do gateway SDNP é selecionado pelos servidores de sinalização SDNP para minimizar o atraso de propagação, enquanto o endereço dinâmico do cliente muda de uma forma não relacionada. Como nos exemplos anteriores, o conjunto superior de pacotes de dados ilustra uma conexão de Ultimo Enlace de PHY único com um endereço MAC de origem de cliente 183 para o Ultimo Enlace com um valor numérico MAC Ci,i, enquanto o conjunto inferior de pacotes de dados descreve uma implementação de múltiplos PHY que varia o endereço MAC de origem através de diferentes meios, por exemplo, MAC Ci,i, MAC Ci,2 e MAC C13. Não há um padrão correspondente ou relação matemática entre a mudança dos endereços MAC do cliente e a mudança dos endereços IP do cliente ou gateway SDNP. No entanto, na comunicação de Ultima Milha de múltiplas rotas, um Ultimo Enlace de múltiplos PHY pode-se conectar vantajosamente a três roteadores distintos Ri, R2 e R3 em vez de afunilar todos os dados para um único roteador R.

[00763] O engano de Ultima Milha, conforme descrito anteriormente, representa dez casos diferentes, conforme resumido na tabela da FIG. 52A, que vão desde a implementação menos segura (mostrada na parte inferior da tabela como linha n° 10), que compreende uma Ultima Milha de rota única com um endereço estático de cliente e um Ultimo Enlace de PHY único até o engano máximo oferecido por um Ultimo Enlace de múltiplos PHY com

Petição 870190124250, de 27/11/2019, pág. 249/571

244/381 endereçamento dinâmico de origem e comunicação de Última Milha de múltiplas rotas na linha superior n° 1. As combinações intermediárias são classificadas por ordem de segurança. As notações Ci,_n, Mo,_n e R_n se referem a endereços que mudam dinamicamente para clientes SDNP, gateways SDNP e o roteador do Último Enlace. Os endereços dinâmicos não estão correlacionados. As linhas de 7 a 10 descrevem uma comunicação de Última Milha de rota única, ou seja, empregando um único gateway Mo,o, enquanto as linhas de 1 a 6 descrevem comunicação de Última Milha de múltiplas rotas com múltiplos gateways. Com exceção das linhas sombreadas de 1 e 4, a comunicação de Último Enlace se conecta a um único roteador de endereço MAC R. Em contraste, na comunicação de múltiplas rotas, as linhas sombreadas de 1 e 4 descrevem a comunicação de Último Enlace de múltiplos PHY para múltiplos roteadores com endereços MAC dinâmicos R_n.

[00764] A operação da comunicação de Última Milha de rota única é mostrada topologicamente na FIG. 52B em quatro combinações endereçamento estático de cliente com Último Enlace de PHY único, endereçamento estático de cliente com Último Enlace de múltiplos PHY, endereçamento dinâmico do cliente com Último Enlace de PHY único, e endereçamento dinâmico de cliente com Último Enlace de múltiplos PHY. Cada caixa ilustra três comunicações sucessivas do pacote de dados que mostram o trajeto de dados empregado. As linhas cheias representam o fluxo de pacotes de dados, enquanto as linhas pontilhadas ilustram possíveis trajetos que não estão sendo utilizados. Os círculos sombreados ilustram nós de comunicação empregados na comunicação de Última Milha, enquanto os círculos vazios ilustram nós de comunicação não utilizados. Conforme mostrado, todos os exemplos terminam o roteamento de dados da Última Milha através de uma única conexão entre o roteador R e o gateway SDNP Mo,o· [00765] No caso do endereçamento estático de cliente através de um

Petição 870190124250, de 27/11/2019, pág. 250/571

245/381

Último Enlace de PHY único mostrado no canto superior esquerdo, cada pacote sucessivo segue o mesmo trajeto ao longo de toda a Última Milha usando endereços IP imutáveis. No caso do endereçamento estático de cliente sobre um Último Enlace de múltiplos PHY mostrado no canto inferior esquerdo, cada pacote sucessivo segue um trajeto diferente através da Última Milha usando endereços MAC que mudam dinamicamente. O restante da Última Milha compreende uma única rota, conforme especificado por endereços IP imutáveis. Apesar do transporte de rota única, mudar a mídia física do Último Enlace toma o rastreamento do chamador mais difícil. No caso do endereçamento dinâmico de cliente sobre um Último Enlace de PHY único mostrado no canto superior direito, cada pacote sucessivo segue o mesmo trajeto ao longo de toda a Última Milha usando um endereço IP imutável e um endereço MAC constante de cliente para o Último Enlace. Ao contrário, obtém-se o engano alterando-se a identidade do cliente por meio de mudanças no endereço IP de origem dinâmico. No caso da comunicação de rota única tanto com endereçamento dinâmico do cliente quanto um Último Enlace de múltiplos PHY, mostrado no canto inferior direito, o endereço MAC do cliente e o endereço IP de origem mudam de forma dinâmica e aleatória, embora todos os pacotes sejam roteados para um único gateway SDNP.

[00766] O endereçamento dinâmico do cliente é o processo pelo qual um dispositivo cliente emprega um ou mais endereços IP temporários ad hoc. O processo envolve duas etapas. Na primeira etapa, quando um dispositivo faz logon na rede pela primeira vez, ele registra sua presença na sub-rede local ao entrar em contato com o roteador mais próximo. O roteador então redireciona a conexão para o servidor DHCP mais próximo na mesma subrede. DHCP, uma abreviação para protocolo dinâmico de configuração de hospedeiro (DHCP), é um protocolo de gerenciamento de rede usado para atribuir dinamicamente endereços IP. No processo de registro, o dispositivo

Petição 870190124250, de 27/11/2019, pág. 251/571

246/381 cliente baixa um ou mais endereços IP e os armazena em seu registro de dados de comunicação. Até o momento em que os endereços IP atribuídos forem renovados pelo servidor DHCP local, iniciando uma nova sessão ou solicitando novos endereços, sempre que o dispositivo do cliente se comunicar, ele usa esses endereços IP. Como os endereços são emitidos dinamicamente dentro de uma sub-rede específica, os endereços IP do dispositivo do cliente não são endereços de Internet.

[00767] Na segunda fase, quando o dispositivo do cliente fizer uma chamada ou fizer logon na rede SDNP, o dispositivo entra em contato automaticamente com o servidor de sinalização SDNP com base em um endereço IP estático do servidor SDNP. O servidor SDNP, ao receber a mensagem de entrada, carrega o endereço ou endereços IP ad hoc para o servidor de nomes SDNP. O servidor de nomes SDNP então atribui endereços SDNP como pseudocódigo para cada um dos endereços IP temporários. Em operação, pouco antes do roteamento, o endereço de origem SDNP do pacote é substituído por seu endereço IP local ad hoc. No caso do endereçamento dinâmico SDNP, a identidade do dispositivo cliente é camuflada, ao se enviarem repetidamente pacotes com endereços de origem que mudam. Dessa forma, o engano dinâmico obscurece a verdadeira identidade do dispositivo cliente.

[00768] Ao chegar a um gateway SDNP, os endereços de origem para pacotes de saída descartam os endereços IP do cliente e substituem pelo endereço SDNP do servidor de gateway. Cada pacote SDNP de saída então troca o endereço IP local do dispositivo por seu endereço IP ad hoc local pouco antes do transporte. Ao contrário do transporte de pacotes de Internet, onde os endereços IP de origem e destino permanecem constantes e são necessários para respostas, no transporte SDNP cada salto usa novos endereços IP. Assim, quando uma mensagem SDNP finalmente chega ao seu destino, o endereço de origem do dispositivo cliente não está incluído no

Petição 870190124250, de 27/11/2019, pág. 252/571

247/381 pacote de dados. Em vez disso, o servidor de sinalização informa o dispositivo de destino sobre o trajeto de retomo para respostas.

[00769] A operação de comunicação de Ultima Milha de múltiplas rotas” é mostrada topologicamente na FIG. 52C em quatro combinações de endereçamento estático e dinâmico do cliente, bem como últimos enlaces de PHY único e de múltiplos PHY. Em cada comunicação de múltiplas rotas, o endereço IP de destino, ou seja, o gateway SDNP, muda constantemente, o que significa que a rota da Ultima Milha se conecta a diferentes entradas para a nuvem SDNP. Na coluna esquerda, os endereços do cliente permanecem estáticos, o que significa que a identidade do chamador permanece inalterada. O exemplo do canto superior esquerdo usa uma conexão de PHY único para o Ultimo Enlace, o que significa que o endereço MAC para o cliente também permanece estático. Embora a comunicação ocorra para diferentes gateways de destino, o meio físico imutável do Ultimo Enlace e o endereço IP imutável do cliente tornam a Ultima Milha suscetível a rastreamento de chamadas. Pode-se corrigir esse ponto fraco alterando-se o meio do Ultimo Enlace usado para transportar os pacotes de dados ou disfarçando-se a verdadeira identidade do endereço IP do chamador.

[00770] O exemplo do canto inferior esquerdo usa uma conexão de múltiplos PHY para o Ultimo Enlace, o que significa que o endereço MAC para o cliente muda dinamicamente. Tal abordagem compensa o fato de a identidade do cliente manter um endereço IP estático. Como parte da comunicação de Ultima Milha de múltiplas rotas de ponta a ponta, cada Ultimo Enlace único se conecta a roteadores separados em viagens de pacotes sucessivos para gateways SDNP distintos. Como tal, um primeiro pacote é roteado de um cliente com endereço estático IP Ci,i para o roteador com endereço MAC Ri através de um meio PHY único antes de finalmente ser roteado para o gateway SDNP com endereço IP Mo,o· Um segundo pacote, com endereço de cliente IP Ci,i idêntico é roteado para um roteador diferente

Petição 870190124250, de 27/11/2019, pág. 253/571

248/381 com endereço de mídia MAC R2 através de um meio PHY único antes de finalmente ser roteado para 0 gateway SDNP com endereço IP Mo,i. Da mesma forma, um terceiro pacote também com endereço IP estático de cliente Ci,i é roteado para um roteador com um endereço de mídia MAC R3 sobre um meio PHY único, onde é posteriormente roteado para o gateway SDNP Mo,3. O uso de múltiplos roteadores utiliza oportunisticamente o Ultimo Enlace de múltiplos PHY para entregar pacote de Ultima Milha em trajetórias totalmente separadas, apesar de utilizar um cliente com um endereço IP de origem singular.

[00771] Em outra modalidade mostrada no canto superior direito, a identidade do cliente muda dinamicamente, embora apenas um único endereço MAC e conexão PHY seja usado. O endereço IP do cliente mostrado muda dinamicamente de IP C 1,1 para IP C 1,2 para IP C 1,3, enquanto o meio físico permanece constante com um endereço de mídia de origem MAC Ci,i e um endereço de destino MAC R. Os dados são então roteados para os gateways Μο,ο, Μο,ι e Mo,3 em ordem aleatória, conforme determinado pelos servidores de sinalização SDNP.

[00772] Consegue-se uma segurança superior combinando-se todos os três métodos de engano de Ultima Milha, a saber, uma comunicação de múltiplas rotas usando um Ultimo Enlace de múltiplos PHY e endereçamento dinâmico de cliente. Esse caso é ilustrado no canto inferior direito da FIG. 52C, onde pacotes de dados enviados usando-se um Ultimo Enlace de múltiplos PHY e múltiplos roteadores são entregues a partir de um cliente com endereços IP dinâmicos para múltiplos gateways SDNP em múltiplas rotas. Conforme mostrado, um primeiro pacote de um cliente com endereço dinâmico de rede de origem IP Ci,i é enviado ao longo de múltiplas rotas para um IP Μο,ο de destino usando um Ultimo Enlace de múltiplos PHY definido por endereços de mídia de origem MAC Ci,i e de destino MAC Ri. Um segundo pacote de dados de um cliente com um endereço de rede de origem

Petição 870190124250, de 27/11/2019, pág. 254/571

249/381 dinamicamente selecionado IP Ci,2 é enviado através de múltiplas rotas para um IP Mo,i de destino usando um Ultimo Enlace de múltiplos PHY definido por endereços de mídia de origem e de destino MAC Ci,2 e MAC R2. Finalmente, um terceiro pacote de dados de um cliente com um endereço de rede de origem dinamicamente selecionado IP Ci,₃ é enviado através de múltiplas rotas para um IP Mo,3 de destino usando um Ultimo Enlace de múltiplos PHY definido por endereços de mídia de origem e de destino MAC Ci,3 e MAC R3. Dessa forma, a combinação de endereço IP do cliente, endereço IP de gateway SDNP, endereço MAC do cliente e endereço MAC do roteador mudam todos dinamicamente de forma aleatória, tomando o rastreamento de chamadas e a coleta de metadados quase impossíveis.

[00773] A camuflagem do endereço IP do dispositivo do cliente e a ofuscação do roteamento de Ultima Milha por meio de endereço IP dinâmico, transporte de múltiplos PHY e transporte de múltiplas rotas para múltiplos gateways podem ser determinados ou pelo dispositivo do cliente ou pelo servidor de sinalização. Pode-se alcançar o processo de desorientação usandose geração de números aleatórios ou outros algoritmos pseudoaleatórios. Um princípio fundamental é que as mudanças de roteamento e de transporte sejam imprevisíveis.

[00774] Duas versões ligeiramente menos robustas do transporte de dados de Ultima Milha de pacotes Ethernet em múltiplas rotas são mostradas na FIG. 52D, onde a ilustração do lado esquerdo emprega endereçamento estático do cliente e conectividade de Ultimo Enlace por múltiplos PHY enquanto os gráficos do lado direito representam endereçamento dinâmico do cliente, também com conectividade de Ultimo Enlace por múltiplos PHY. A diferença entre essas implementações e as versões por múltiplos PHY mostradas na FIG. 52C anteriormente é que essas versões empregam um único roteador R em vez de espalhar o transporte de dados por múltiplos roteadores. Em suma, no transporte de múltiplas rotas usando um único

Petição 870190124250, de 27/11/2019, pág. 255/571

250/381 roteador para conectividade do Último Enlace, dados sequenciais do cliente são distribuídos por múltiplos meios físicos, ou seja, um Último Enlace por múltiplos PHY, então recoletados por um único roteador R e enviados através do restante da Última Milha, incluindo múltiplos enlaces de gateway e quaisquer outras seções paralelas da Última Milha (não mostradas) a partir desse roteador comum para múltiplos gateways SDNP definidos por distintos endereços IP de destino.

[00775] Como complemento à Ethernet, pode-se também empregar a comunicação sem fio Wi-Fi para comunicação de Última Milha entre um cliente SDNP e um gateway SDNP. A comunicação Wi-Fi requer um pacote de dados com três ou quatro endereços MAC, dois para o enlace de rádio, um ou dois para a conexão de rede com fio, usando especificamente pacotes de dados Ethernet. A Fig. 53 ilustra o mesmo formato de pacote Wi-Fi adaptado para comunicação SDNP de Última Milha e Último Enlace. Como ponto de acesso aplicável para comunicação de Último Enlace, são necessários apenas três endereços MAC de 6 B de comprimento, especificamente o endereço MAC 1 campo 235 para a estação-base de rádio receptora, ou receptor, endereço MAC 2 campo 236 para a estação-base de rádio transmissora ou transmissor, e endereço MAC 3 campo 237, que compreende o endereço MAC da conexão de rede com fio para o roteador Wi-Fi, ou seja, Ethernet ou rede. Em operação, os valores numéricos dos endereços MAC carregados nos campos de dados receptor e transmissor dependem da configuração direcional Para DS / De DS para determinar que (i) é o pacote de dados que está sendo recebido no rádio e encaminhado para Ethernet ou (ii) são dados de entrada na Ethernet que estão sendo convertidos em comunicação de rádio. O campo de dados 239 do endereço MAC 4 é opcional, usado somente quando o dispositivo de Wi-Fi estiver sendo empregado como uma ponte de rádio na modalidade de distribuição sem fio. Embora tal modo possa ser usado na comunicação de Última Milha em longas distâncias como uma alternativa às

Petição 870190124250, de 27/11/2019, pág. 256/571

251/381 redes celulares ou de microondas, por exemplo, no deserto, em geral o uso de uma comunicação Wi-Fi na Ultima Milha SDNP normalmente é focado na conexão do Ultimo Enlace com o cliente SDNP. Como tal, a discussão a seguir se concentrará no modo de ponto de acesso para roteadores Wi-Fi com o entendimento de que as técnicas SDNP aqui são igualmente aplicáveis no roteamento do modo de distribuição sem fio.

[00776] Semelhante aos pacotes de dados Ethernet, o preâmbulo 230 e o delimitador de quadros de início (SFD) 232 contêm dados de Camada 1 para sincronizar os dados e o dispositivo. O procedimento de convergência de camada física PLCP 232 compreende uma mistura de informações de Camada 1 e Camada 2 (comprimento do pacote relacionado, taxas de dados, verificação de erros no cabeçalho, etc.). De acordo com as normas IEEE 802.11, os campos de dados restantes compreendem informações do enlace de dados da Camada 2, incluindo Controle de Quadros 233 que especifica o tipo de pacote de versão Wi-Fi como gerenciamento, controle, reservado, ou dados, o tipo usado na entrega de cargas úteis SDNP.

[00777] Duração e ID 234 contém a duração NAV, a menos que o dispositivo Wi-Fi esteja no modo de economia de energia, caso em que o campo inclui a ID da estação. O NAV, ou vetor de alocação de rede, é um mecanismo virtual de detecção de operadora usado para economizar energia em sistemas de comunicação sem fio. A duração do NAV pode ser considerada como um contador, contando até zero a uma taxa uniforme, o qual detecta o meio para determinar se o rádio está ocioso ou ainda está se comunicando. No modo ocioso, o contador conta a duração do NAV repetidamente, verificando se é detectada alguma atividade de comunicação de rádio que exija atenção. O controle de sequência ou campo de Sequência 238 descreve a sequência do pacote e número de fragmentos que define o quadro do pacote da Camada 2. A verificação de quadro 240 contém uma checksum CRC de 32 bits de todo o pacote de dados, ou seja, um código de

Petição 870190124250, de 27/11/2019, pág. 257/571

252/381 fim de enlace de dados de verificação de erros.

[00778] A carga útil de Wi-Fi 241 é um campo de dados de 0 B a 2.312 B de comprimento usado para transportar a carga útil de Wi-Fi. Na comunicação de Ultima Milha SDNP, esse campo contém o datagrama IP usado na comunicação de Ultima Milha, que inclui o cabeçalho IP 434, cabeçalho de transporte 436 e carga útil SDNP 435.

[00779] O cabeçalho IP 434 varia dependendo de o datagrama IP seguir o protocolo IPv4 ou IPv6 conforme determinado pelo campo de protocolo 447, que compreende o binário 4, ou o campo de protocolo 448, que compreende o binário 6. Os preâmbulos 440 e 444 contêm, ambos, um sinalizador de cabeçalho de transporte 470 usado para determinar o método de transporte da Camada 4 empregado, por exemplo, TCP, UDP, ou as funções de manutenção ICMP e IGMP. Especificamente, de acordo com a rede e protocolo de comunicação dinâmica segura, emprega-se o transporte TCP para arquivos de software e dados, enquanto se emprega o UDP para dados em tempo real, como VoIP e vídeo. O comprimento e o formato do cabeçalho de transporte 436 variam de acordo com o sinalizador do cabeçalho de transporte 470. O cabeçalho IP 434 contém os endereços IPv4 de origem 441 e de destino 442 ou os endereços IPv6 de origem 445 e de destino 446.

[00780] Semelhante aos pacotes de dados Ethernet, o roteamento de Ultima Milha de pacotes Wi-Fi depende tanto dos endereços IP como dos endereços MAC, representados simbolicamente pelos nomes dos dispositivos aos quais o endereço IP ou MAC se refere. O roteamento sequencial da Ultima Milha de pacotes Wi-Fi é mostrado nos exemplos das FIG. 54A a FIG. 54D. Cada ilustração contém dois pacotes Wi-Fi - um superior, composto por um datagrama IPv4, e um inferior, composto por um datagrama IPv4. Como o IPv4 e o IPv6 usam formatos diferentes com diferentes comprimentos de campo, os dois pacotes Wi-Fi mostrados geralmente não são do mesmo comprimento, mesmo quando carregam cargas úteis idênticas.

Petição 870190124250, de 27/11/2019, pág. 258/571

253 /381 [00781] Na primeira etapa da sequência de comunicação, a carga útil SDNP A viaja do cliente SDNP 1400 para a estação-base / roteador Wi-Fi 1402W através do Ultimo Enlace 1404 como meio de rádio Wi-Fi, e por linha com fio para o roteador 1402X através do enlace BS 1415. O roteador 1402X então entrega o pacote de dados através do enlace do gateway 1414 para o gateway SDNP 1401. Uma resposta do gateway SDNP para o cliente envolve a carga útil SDNP G viajar do gateway SDNP 1401 por fio através do enlace do gateway 1414 para o roteador 1402X, através do enlace BL 1415 para o roteador Wi-Fi 1402W, e através do Ultimo Enlace 1404 para o cliente 1400 usando rádio Wi-Fi como meio de comunicação. O cliente SDNP tem endereços numéricos MAC e IP MAC Ci,i e IP Ci,i, o roteador Wi-Fi 1402W tem endereço MAC numérico MAC W, o roteador 1402A tem endereços MAC numéricos MAC R, e o gateway SDNP tem endereços MAC e IP numéricos MAC Mo,o e IP Mo,o· Os endereços IP do roteador Wi-Fi 1402W e roteador com fio 1402X não são necessários na comunicação de Ultima Milha mostrada.

[00782] Ao contrário da nuvem SDNP, na qual o roteamento de pacotes dos datagramas SDNP é completamente controlado pela rede SDNP, na comunicação de Ultima Milha, que usa datagramas IP, a carga útil SDNP não pode ser interpretada nem afetar o roteamento, o que significa que cada comunicação transportada através da Ultima Milha contém endereços IP fixos de origem e de destino. A mídia física ou canais usados para direcionar os pacotes Wi-Fi na comunicação de rádio e para direcionar os pacotes Ethernet na comunicação com fio é regida pelos endereços MAC que conectam cada nó de comunicação na Ultima Milha.

[00783] Por exemplo, a FIG. 54A ilustra os pacotes Wi-Fi IPv4 e IPv6 de Ultimo Enlace usados para o roteamento de rádio de PHY único para o roteador Wi-Fi 1402W através do Ultimo Enlace 1404, que compreende o endereço MAC Ci,i do transmissor e o endereço MAC W do receptor. O

Petição 870190124250, de 27/11/2019, pág. 259/571

254/381 roteador Wi-Fi 1402W também fornece o roteamento com fio 1414 do enlace BS para o roteador Ethernet 1402X com um endereço MAC de destino de rede MAC R. O roteamento de rede de Camada 3 compreende apenas os dispositivos finais, ou seja, cliente SDNP 1400 com endereço IP de origem IP Ci,i, e gateway SDNP 1401 com endereço de destino IP Mo,o· Ao contrário de um pacote de dados Ethernet, um pacote Wi-Fi contém três endereços - um endereço MAC de transmissor ou origem de rádio MAC Ci,i, um endereço MAC de receptor ou destino de rádio MAC W, e um endereço “rede” Ethernet MAC R. Nessa direção de transmissão de dados, o roteador com fio 1402X atua como o destino de rede do dispositivo roteador Wi-Fi. Como tal, o pacote de dados Wi-Fi especifica dois meios, o Ultimo Enlace de rádio WiFi 1404 e o enlace BS Ethernet com fio 1415. A FIG. 54B ilustra os pacotes Ethernet correspondentes transportando a carga útil SDNP A através do enlace de gateway 1414. Conforme descrito, os endereços IP de origem e destino permanecem inalterados como IP Ci,i e IP Mo,o, enquanto os endereços MAC de origem e de destino mudam de seus valores originais para MAC R e MAC M_o,_o.

[00784] A comunicação de resposta envolve a troca dos endereços IP de destino e de origem e o ajuste dos endereços MAC de forma condizente. A FIG. 54C ilustra pacotes Ethernet IPv4 e Ipv6 para transporte de dados do gateway SDNP 1401 para o roteador com fio 1402X através do enlace de gateway 1414. Para as informações do datagrama da Camada 3, o endereço IP de origem 441 contém o endereço de rede do gateway SDNP 1401, ou seja, IP Mo,o, e o endereço IP de destino contém o valor IP Ci,i, o endereço do cliente. Os endereços MAC para o pacote de Ethernet do enlace de gateway são MAC Mo,o para o endereço de origem 183 e MAC R para o endereço MAC de destino 182.

[00785] A FIG. 54D ilustra os pacotes Wi-Fi IPv4 e IPv6 para enlace BS com fio 1415 e Ultimo Enlace por Wi-Fi baseado em rádio 1404. O

Petição 870190124250, de 27/11/2019, pág. 260/571

255 /381 roteamento da Camada 3 da rede compreende o endereço IP Mo,o do gateway SDNP 1401 e o endereço de cliente SDNP IP Ci,i como endereços de origem e de destino 445 e 446. A função do campo de endereço MAC 237 rotulado rede muda de acordo com o modo de rádio. No modo de transmissão mostrado aqui, esse campo contém o endereço MAC Ethernet da origem da linha com fio dos dados de entrada do rádio, ou seja, o valor numérico MAC R do roteador 1402X que envia pacotes de dados para o ponto de acesso WiFi. No modo receptor, mostrado anteriormente na FIG. 54A, esse campo define o destino Ethernet de dados recebidos como pacotes de rádio e convertidos para pacotes Ethernet. No exemplo mostrado, o campo rede 237 contém o mesmo endereço MAC do roteador 1402X, ou seja, MAC R, para modos tanto de transmissão como de recepção, o que significa que o ponto de acesso Wi-Fi usa um único roteador Ethernet para conectividade da Ultima Milha.

[00786] Opcionalmente, na comunicação de múltiplas rotas através da Ultima Milha, o roteador com fio usado para roteamento de pacotes de dados recebidos pelo ponto de acesso Wi-Fi, ou seja, no modo de recepção, pode ser diferente do usado para roteamento de pacotes de dados a serem transmitidos pelo ponto de acesso Wi-Fi, ou seja, no modo de transmissão. Por exemplo, o endereço MAC de rede 237 para pacotes de rádio no modo de recepção pode ter um endereço MAC numérico MAC Ri, enquanto que, no modo de transmissão, os dados podem ser alterados para uma conexão de roteador diferente MAC R2, o que significa que o enlace BS pode opcionalmente compreender uma implementação de múltiplos PHY direcionalmente dependente. No modo de transmissão, os pacotes Wi-Fi do Ultimo Enlace usados para o roteamento de Ultimo Enlace 1404 de rádio de PHY único do roteador Wi-Fi 1402W para o cliente SDNP 1400 contêm o endereço MAC do transmissor 236 com um valor numérico MAC W e um endereço MAC do receptor 235 contendo o valor numérico MAC Ci,i. Nessa direção de

Petição 870190124250, de 27/11/2019, pág. 261/571

256/381 transmissão de dados, o roteador com fio 1402A atua como a origem de dados a serem transmitidos pelo dispositivo roteador Wi-Fi. Como tal, o pacote de dados Wi-Fi especifica dois meios, o Ultimo Enlace de rádio Wi-Fi 1404 e o enlace BS Ethernet com fio 1415.

[00787] As redes celulares representam outra forma de comunicação sem fio adaptável para a comunicação de Ultima Milha SDNP. Redes celulares reparticionam os pacotes Ethernet de entrada em pacotes de controle de acesso de mídia (MAC) específicos de rádio. Os dados podem ser transmitidos e recebidos por multiplexação de tempo (TDMA), por divisão de código (CDMA) ou espalhando o conteúdo por múltiplas frequências de subcanal (OFDM). No caso da comunicação 4G/LTE com base na multiplexação ortogonal por divisão de frequência (OFDM), os pacotes de dados da Camada 2 são empilhados em três níveis diferentes de unidades de dados de serviço (SDUs) incorporadas, todas dentro da Camada 2; especificamente, o nível mais baixo compreende o PHY PDU 299, que contém o MAC de quadro único SDU 304, juntamente com o cabeçalho MAC 303 e preenchimento 305 espalhados por 20 intervalos de tempo 300 que compreendem os dados da Camada 1 PHY. O SDU MAC 304, por sua vez, contém o controle de enlace de rádio (RLC) SDU 308.

[00788] O controle de enlace de rádio (RLC) é um protocolo de Camada 2 usado em telefonia 3G (UMTS) e 4G/LTE (OFDM). A função de controle de enlace de rádio é reagir a solicitações da camada superior em um de três modos, ou seja, modo reconhecido, modo não reconhecido e modo transparente, bem como fornecer detecção de erros, correção de erros, detecção de duplicatas e empacotamento de dados de acordo com formatos especificados. A coleta dos dados inclui concatenação, segmentação e remontagem de SDUs RLC, juntamente com reordenação e ressegmentação de PDUs de dados RLC. Por exemplo, depois de alocar tempo para executar funções de overhead de rádio, o SDU RLC 308 de quadro único é

Petição 870190124250, de 27/11/2019, pág. 262/571

257/381 inevitavelmente limitado na duração e tamanho do arquivo de dados disponível para transportar uma carga útil. O SDU RLC 308 de quadro único deve, portanto, ser dividido em segmentos e mapeado num formato diferente de Camada 2 RLC - SDUs RLC 319 de múltiplos quadros.

[00789] Conforme ilustrado na FIG. 55, o mapeamento do SDU RLC 308 de quadro único nos vários segmentos K, K+l, K+2 313, 314, 315, etc. dos SDUs RLC 319 de múltiplos quadros não ocorre em termos individuais. Conforme mostrado como exemplo, o mapeamento do SDU RLC 308 de quadro único termina no meio do segmento K+2 315. A parte não transmitida do segmento K+l restante é transmitida, em vez disso, em um novo SDU RLC 312 de quadro único, mas somente depois de permitir o tempo de preenchimento 310 necessário para sincronização do relógio do rádio e após o processamento do cabeçalho RLC 311. Nesse método, a transmissão de dados encapsulados no intervalo K+2 recomeça precisamente de onde parou como se o fluxo de dados nunca tivesse sido interrompido. Operacionalmente, o 4G é análogo a pausar a reprodução de um filme codificado em DVD no meio de um capítulo do DVD, esperando um momento para executar algumas outras funções, e então retomar a reprodução precisamente de onde foi pausado. Como tal, não se perde nenhum conteúdo de dados e a taxa de entrega de dados de RF do sistema celular é maximizada sem desperdiçar nenhuma largura de banda de rádio que não o overhead do pacote (como cabeçalhos PDU) e degradação mínima da taxa de dados resultante do tempo de preenchimento de sincronização do relógio 310.

[00790] Os SDUs RLC 319 de múltiplos quadros encapsulam os PDUs PDCP 320 em uma correspondência de um-para-um com cada segmento K. Por exemplo, o K^esimo segmento 313 carrega o cabeçalho PDCP 321A e uma carga útil IP que compreende os dados 323, o (K+l)^ésimo segmento 314 carrega o cabeçalho PDCP 321B e uma carga útil IP que compreende os dados 324, o (K +2)^ésimo segmento 315 carrega o cabeçalho PDCP 321C e

Petição 870190124250, de 27/11/2019, pág. 263/571

258/381 uma carga útil IP que compreende os dados 325, e assim por diante. O termo PDCP é um acrônimo para Protocolo de Convergência de Dados de Pacotes, conforme especificado no protocolo de comunicação 3G e 4G/LTE, desempenhando funções como compressão, encriptação, garantia de integridade, bem como transferência de dados de controle e usuário. Os cabeçalhos do PDCP variam de acordo com o tipo de dados transportados, por exemplo, dados de usuário, dados de controle, etc.

[00791] Como o transporte de dados em pacotes de dados 4G carrega um fluxo de dados continuamente concatenados, o tamanho da carga útil não é quantificado em blocos de comprimento definido como nos pacotes de dados de Ethernet e Wi-Fi. Em vez disso, os campos de dados 323, 324, 325... transportados pelos segmentos de dados correspondentes da Camada 2 313, 314, 315... podem suportar incrementalmente qualquer tamanho de carga útil, conforme mostrado, compreendendo o cabeçalho IP 434 e carga útil IP 435 contendo o cabeçalho de transporte 436 e carga útil SDNP 1430. Além disso, na comunicação baseada em OFDM, cada intervalo de tempo carrega simultaneamente dados em subportadoras de múltipla frequência, o que significa que o volume total de dados não é simplesmente determinado pela duração de tempo em um canal único, como ocorre no TDMA. Entretanto, por conveniência, muitas vezes é conveniente manter o tamanho do datagrama IP para corresponder ao tamanho dos padrões Ethernet ou Wi-Fi.

[00792] Conforme mostrado, o cabeçalho IP 434 varia dependendo de o datagrama IP seguir o protocolo IPv4 ou IPv6, conforme determinado pelo campo de protocolo 447, que compreende o binário 4, ou o campo de protocolo 448, que compreende o binário 6. Os preâmbulos 440 e 444 contêm, ambos, um sinalizador de cabeçalho de transporte 470 usado para determinar o método de transporte da Camada 4 empregado, por exemplo, TCP, UDP, ou as funções de manutenção ICMP e IGMP. Especificamente, de acordo com a rede e protocolo de comunicação dinâmica segura, emprega-se

Petição 870190124250, de 27/11/2019, pág. 264/571

259/381 o transporte TCP para arquivos de software e dados, enquanto se emprega o UDP para dados em tempo real, como VoIP e vídeo. O comprimento e o formato do cabeçalho de transporte 436 variam de acordo com o bit do cabeçalho de transporte 470. O cabeçalho IP 434 contém os endereços IPv4 de origem 441 e de destino 442 ou os endereços IPv6 de origem 445 e de destino 446.

[00793] Como exemplo de comunicação 4G usando datagramas IPv6, a FIG. 56A ilustra o roteamento de Ultimo Enlace de rádio celular 1404 para a torre de celular e estação-base 1402Q. Especificamente, no campo de origem MAC 300A, o PDU RLC define o endereço de mídia de origem celular como MAC Ci,i, o dispositivo do cliente. Da mesma forma, o campo de destino MAC 300B especifica o endereço de mídia do receptor celular como MAC B, que descreve a torre celular e a estação-base. O roteamento da rede de Camada 3 compreende apenas os dispositivos finais da Ultima Milha, ou seja, o cliente SDNP 1400 com endereço IP de origem IP Ci,i, mostrado no campo de dados de origem e gateway SDNP 1401 com endereço de destino IP Μο,οConforme descrito anteriormente, os campos de dados 323, 324 e 325 não correspondem necessariamente a seções específicas da carga útil de dados do datagrama IPv6, em que o campo de dados 323 inclui o endereço IP de origem 445, o endereço IP de destino 446 e uma parte da carga útil SDNP A 435, que inclui o cabeçalho de transporte 436. Os campos de dados 324 e 325 carregam a parcela restante não transmitida da carga útil SDNP 435.

[00794] A FIG. 56B ilustra os pacotes de dados para a carga útil SDNP da mensagem de resposta G através do Ultimo Enlace celular 1404 da torre de celular e estação-base 1402Q para um dispositivo cliente móvel 1400, no qual os endereços de origem e de destino dos pacotes de dados anteriores foram trocados, a saber, o endereço de mídia de origem celular 300A é carregado com o endereço de mídia MAC BS, o endereço de mídia de destino celular 300B é definido como MAC Ci,i, o endereço MAC do cliente, o campo IP de

Petição 870190124250, de 27/11/2019, pág. 265/571

260/381 origem 445 no datagrama IPV6 é definido como IP Mo,o e o campo IP de destino 445 é definido como IP Ci,i. O roteamento entre o roteador de rede 1402X e a torre celular e a estação-base 1402Q através do enlace BS 1415 usa pacotes de dados Ethernet consistentes com exemplos anteriores.

[00795] A comunicação de múltiplos PHY através do Ultimo Enlace pode incluir qualquer um dos meios acima mencionados usados em várias combinações. As implementações de múltiplos PHY podem incluir múltiplas conexões com fio que transportam dados com taxas de dados idênticas ou diferentes e empregam protocolos comuns ou distintos de Camada 2, como USB, Ethernet 10BASE-T, 100BASE-T, 1000BASE-T ou DOCSIS3. A mídia física com fio pode incluir cabos de rede compatíveis com Ethernet ou USB, cabos coaxiais, fibra óptica ou até mesmo conexões de par torcido de cobre para DSL, embora em um nível degradado de desempenho.

[00796] A comunicação de múltiplos PHY sem fio pode incluir combinações de formatos de Wi-Fi, celular, satélite ou de rádio proprietários que funcionam nas bandas de radiofrequência e microondas. A comunicação de Ultimo Enlace sem fio também pode incluir tecnologias de curto alcance, como Bluetooth ou redes micro-celulares, como o PHS no Japão. Protocolos sem fio podem incluir formatos celulares para 2G, 2,5G, 3G e 4G/LTE, incluindo, por exemplo, analógico, TDMA, GSM, CDMA, UMTS e OFDM, protocolos Wi-Fi como 802.11a, 802.11b, 802.11g, 802.11η e 802.1 lac, bem como formatos proprietários para comunicação por satélite ou enlaces de rádio personalizados. Como os protocolos da Camada 2 variam de acordo com os meios físicos da Camada 1, o termo comunicação de múltiplos PHY usado no contexto desta divulgação significará a combinação tanto de camadas físicas OSI como de enlace de dados, ou seja, Camada 1 e Camada 2 juntas, e não deve ser interpretado como reivindicações limitantes para significar exclusivamente mídia física de Camada 1.

[00797] Exemplos de comunicação de múltiplos PHY usando um

Petição 870190124250, de 27/11/2019, pág. 266/571

261/381 protocolo comum da Camada 2 são mostrados na FIG. 57A incluindo implementações de Ethernet, Wi-Fi e celulares. No exemplo superior de Ethernet de múltiplos PHY, o roteador 27 comunica-se com o computador desktop 36 usando dois cabos Ethernet que compreendem enlaces com fio ou fibra 24A e 24B que rodam 100BASE-T e 1000BASE-T, respectivamente. Para facilitar a comunicação HyperSecure através da Ultima Milha, mostra-se o desktop 36 rodando o software SDNP 1335C.

[00798] No exemplo do meio de Wi-Fi de múltiplos PHY, o roteador Wi-Fi 100 comunica-se com o notebook 35 através de dois canais Wi-Fi mostrados como enlaces Wi-Fi 29A e 29B, o primeiro executando protocolo 801.11η a 2,4 GHz, e o outro usando 802.1 lac para se comunicar através de um canal de 5 GHz. Para operar no modo de múltiplos PHY, o notebook 35 deve ser habilitado para enviar e receber sinais simultaneamente em múltiplas frequências usando uma antena multibanda 26B interna do notebook. Da mesma forma, o roteador Wi-Fi deve ser capaz de enviar e receber sinais em múltiplas frequências simultaneamente usando antenas multi-banda 26. Para facilitar a comunicação HyperSecure através da Ultima Milha, mostra-se o notebook 35 rodando o software SDNP 1335C.

[00799] No exemplo inferior mostrando comunicação celular de múltiplos PHY, a estação-base celular 17 comunica-se simultaneamente através da torre celular multi-banda 18A com o tablet 39 usando dois canais de rádio diferentes, que compreendem os enlaces celulares 28A e 28B com as frequências correspondentes 1,8 GHz e 900 MHz. No exemplo mostrado, o enlace celular compreende uma rede 4G/LTE. Conforme mostrado, o tablet 39 deve ser habilitado para enviar e receber sinais simultaneamente em múltiplas frequências usando uma antena interna multi-banda 18B. Para facilitar a comunicação HyperSecure através da Ultima Milha, mostra-se o tablet 39 executando o aplicativo SDNP 1335A.

[00800] Essa comunicação de múltiplos PHY usando um protocolo

Petição 870190124250, de 27/11/2019, pág. 267/571

262/381 comum de Camada 2 confunde os ataques cibernéticos porque o hacker precisa obter acesso físico a dois enlaces de dados diferentes da Camada 2, cada um dos quais pode incluir sua própria segurança. Além disso, contanto que o cliente esteja executando o software SDNP 1335C, o aplicativo SDNP 1335A ou o firmware SDNP 1335B (não mostrado), o roteamento das cargas úteis SDNP através das conexões de múltiplos PHY utiliza credenciais de segurança dinâmicas únicas que tornam a interceptação e interpretação do pacote SDNP em tempo real muito trabalhosas para o hackeamento em tempo real.

[00801] Exemplos de comunicação de múltiplos PHY usando mídia e protocolos mistos de Camada 1 e Camada 2 são mostrados na FIG. 57B. Nesses exemplos, os dados do Ultimo Enlace são transportados usando-se combinações de sistemas celulares, Wi-Fi e de satélite. No exemplo superior de comunicação de meios mistos de múltiplos PHY, o roteador Wi-Fi 100 se comunica com o computador desktop 36 usando uma combinação de enlace 24B de Ethernet 100BASE-T com fio ou fibra e enlace Wi-Fi 802.11 ac 29B operando em 5 GHz. Para garantir a comunicação HyperSecure através da Ultima Milha, mostra-se o desktop 36 executando o software SDNP 1335C. Esse exemplo representa a combinação de comunicação de telefonia com fio e sem fio, na qual a detecção de pacotes sem fio não consegue interceptar ou observar os dados de telefonia com fio. Esse método misto de distribuição de Ultimo Enlace Ethernet + Wi-Fi de múltiplos PHY é particularmente adequado para a implantação de redes de escritórios corporativos que compreendem computadores desktop seguros dentro de um edifício ou campus comunicando-se com servidores privados trancados em salas de servidor de acesso restrito.

[00802] No esquema do meio de uma comunicação de mídia mista de múltiplos PHY mostrada na FIG. 57B, o telefone celular 32 com antena multi-banda interna 18C comunica-se usando duas técnicas sem fio diferentes.

Petição 870190124250, de 27/11/2019, pág. 268/571

263/381

Numa conexão PHY, o enlace Wi-Fi 29C se comunica com o roteador Wi-Fi 100 e antena 26 usando, por exemplo, um protocolo 802.11η em 5 GHz. Na segunda conexão PHY, o enlace celular 28C emprega uma transportadora de 1,8 GHz que roda um protocolo 4G/LTE para facilitar a conectividade do Ultimo Enlace com a torre celular 25 e a estação-base 17. Como a torre celular 25 e a antena Wi-Fi 26 operam em sistemas não relacionados, essa abordagem de múltiplos PHY obscurece completamente qualquer relação entre os pacotes de dados transportados pelos múltiplos meios físicos no Ultimo Enlace. Para garantir a comunicação HyperSecure através da Ultima Milha, mostra-se o telefone celular 32 executando o aplicativo SDNP 1335A. [00803] Um método semelhante para alcançar a comunicação do Ultimo Enlace com múltiplos PHY combinando celular e satélite é mostrado na ilustração inferior da FIG. 57B, em que o telefone por satélite / celular 32Z, que roda o aplicativo SDNP 1335A, comunica-se através de duas redes de rádio de longa distância - enlace celular 28D com a torre celular 25 e estação-base 17 em 1,8 GHz, e enlace de satélite 95W para satélite de comunicação 92 a, por exemplo, 1,9 GHz. O Satélite 92, por sua vez, comunica-se com a antena e estação-base de satélite terrestre 92B através do enlace de largura de banda ampla 95X, não necessariamente na mesma frequência que a comunicação do cliente.

[00804] A FIG. 57C ilustra outra variedade de comunicação de múltiplos PHY - múltiplos meios físicos compartilhando protocolos comuns, mas capazes de múltiplos canais simultâneos de comunicação usando divisão de frequência. Tal sistema exige um meio de alta largura de banda para operar sem efeitos graves de carregamento, ou seja, onde o desempenho se degrada à medida que mais usuários ocupam a largura de banda e a capacidade de tráfego do meio. Apenas três desses meios estão prontamente disponíveis com tanta largura de banda, a saber, (i) sistemas de cabo DOCSIS3 usando cabo coaxial (ii) sistemas de cabo DOCSIS 3 usando fibra óptica e (iii) sistemas de

Petição 870190124250, de 27/11/2019, pág. 269/571

264/381 comunicação via satélite de múltiplos GHz em órbitas terrestres baixas. Especificamente a ilustração superior de um sistema de cabo de múltiplos PHY mostra o conversor digital ou modem a cabo 102B executando o firmware SDNP 1335M comunicando-se com o cabo CMTS 101 usando múltiplas bandas sobre fio coaxial ou fibra 105 executando o protocolo DOCSIS3.

[00805] A ilustração inferior representa uma rede de satélite de múltiplos PHY na qual o telefone celular habilitado para satélite 32Z executando o aplicativo SDNP 1335A comunica-se com o satélite de comunicação 92 usando múltiplas bandas transportadoras 95Z formatadas com um protocolo de comunicação proprietário. A comunicação entre o satélite 92 e a antena e estação-base de satélite terrestre 92B usa um protocolo de linha tronco 95X misturando milhares de chamadas, tomando problemática a identificação e interceptação de uma chamada específica por um hacker, enquanto o uso de comunicação de múltiplos PHY sobre múltiplas bandas no enlace de cliente 95Z garante comunicação HyperSecure para o cliente.

[00806] Outro exemplo dos pacotes de dados utilizados no roteamento de Ultimo Enlace de múltiplos PHY é mostrado na FIG. 58, onde o cliente SDNP 1400 se comunica com o roteador 1402A através de duas conexões PHY separadas que compreendem enlaces Ethernet de fibra ou com fio 24A e 24B que rodam, por exemplo, protocolos 100BASE-T e 1000BASE-T, respectivamente. O roteador 1402A, por sua vez, conecta-se ao gateway SDNP 1401 através do enlace de gateway 1414. Ambos os pacotes Ethernet definem o endereço IP de origem 445, ou seja, o dispositivo do cliente, como IP Ci,i e o endereço IP de destino 446 do gateway SDNP como IP Mo,o· O pacote A de Ethernet, roteado sobre um PHY realizado por um enlace com fio ou fibra 24A, inclui um endereço de destino MAC 182 composto por MAC R e um endereço de origem MAC 183 composto por MAC Ci,i. O pacote B de Ethernet, roteado sobre um PHY realizado por um enlace com fio ou fibra

Petição 870190124250, de 27/11/2019, pág. 270/571

265/381

24BA, inclui um endereço de destino MAC 182 composto por MAC R e um endereço de origem MAC 183 diferente composto por MAC Ci,2 que define a conexão PHY alternativa.

[00807] A mudança no endereço de mídia de origem de MAC Ci,i para MAC Ci,2 redireciona a comunicação Ethernet da conexão 100BASE-T de 2,6 GHz para a conexão 1000BASE-T. Em operação, os pacotes de dados do dispositivo cliente SDNP 1400 são fragmentados e então são repartidos entre a carga útil SDNP A e a carga útil SDNP B de acordo com algoritmos SDNP e segredos compartilhados. O transporte de dados fragmentados através do Ultimo Enlace de múltiplos PHY ocorre com a carga útil SDNP A transportada pelo pacote Ethernet A através do enlace com fio ou fibra 24A e a carga útil SDNP B transportada pelo pacote Ethernet B no enlace com fio ou fibra 24B.

[00808] Outro exemplo dos pacotes de dados usados no roteamento de Ultimo Enlace de múltiplos PHY é mostrado na FIG. 59, no qual o cliente SDNP se comunica com o roteador Wi-Fi 1402W através de duas conexões PHY separadas que compreendem os enlaces Wi-Fi 29A e 29B usando, por exemplo, os protocolos 802.11η a 2,4 GHz e 802.1 lac a 5 GHz, respectivamente. O roteador 1402W, por sua vez, conecta-se ao roteador 1402X através do enlace BS 1415,eo roteador 1402X se conecta ao gateway SDNP 1401 através do enlace de gateway 1414. Os dois pacotes Ethernet definem o endereço IP de origem 445, ou seja, o dispositivo do cliente, como IP Ci,i e o endereço IP de destino 446 do gateway SDNP como IP Mo,o· O pacote Wi-Fi A, roteado sobre um PHY realizado pelo enlace Wi-Fi 29A, inclui o endereço de origem de rádio MAC do transmissor 236, que compreende o MAC Ci,i, o endereço de destino do receptor de rádio MAC 235, que compreende o MAC W, e o destino de rede MAC 237, que compreende o MAC R. O pacote Wi-Fi B, roteado através do PHY realizado pelo enlace Wi-Fi 29B, inclui o endereço de origem de rádio MAC do

Petição 870190124250, de 27/11/2019, pág. 271/571

266/381 transmissor 236, que compreende o MAC Ci,2, o endereço de destino do receptor de rádio MAC 235, que compreende o MAC W, e o destino de rede MAC 237, que compreende o MAC R.

[00809] A mudança no endereço de mídia de origem de MAC Ci,i para MAC Ci,2 redireciona a transmissão do rádio Wi-Fi de 2,6 GHz para o transceptor de 5 GHz. Em operação, os pacotes de dados do dispositivo cliente SDNP 1400 são fragmentados e então repartidos entre a carga útil SDNP A e a carga útil SDNP B de acordo com algoritmos SDNP e segredos compartilhados. O transporte de dados fragmentado através do Ultimo Enlace de múltiplos PHY ocorre com a carga útil SDNP A transportada pelo pacote Wi-Fi A através do enlace Wi-Fi 29A e a carga útil SDNP B transportada pelo pacote Wi-Fi B no enlace Wi-Fi 29B.

[00810] Um outro exemplo dos pacotes de dados usados no roteamento de Ultimo Enlace de múltiplos PHY é mostrado na FIG. 60, no qual o cliente SDNP se comunica com a torre celular 1402Q sobre duas conexões PHY separadas que compreendem os enlaces celulares 28A e 28B usando, por exemplo, protocolos 4G/LTE a 1,8 GHz e 4G/LTE a 900 MHz, respectivamente. O roteador 1402Q, por sua vez, conecta-se ao roteador 1402X através do enlace BS 1415,eo roteador 1402X se conecta ao gateway SDNP 1401 através do enlace do gateway 1414. Os dois pacotes de rádio celular definem o endereço IP de origem 445, ou seja, o dispositivo do cliente, como IP Ci,i e o endereço IP de destino 446 do gateway SDNP como IP Mo,o. O pacote celular A roteado sobre PHY realizado pelo enlace celular 28A inclui o endereço de origem de rádio MAC de transmissor 300A, que compreende MAC Ci,i, e o destino de torre celular MAC 300B que compreende MAC BS. O pacote celular B roteado sobre PHY realizado como enlace celular 28B inclui o endereço de origem de rádio MC de transmissor 300A, que compreende MAC Ci,2, e o destino de torre celular MAC 300B que compreende MAC BS.

Petição 870190124250, de 27/11/2019, pág. 272/571

267/381 [00811] A mudança no endereço de mídia de origem de MAC Ci,i para MAC Ci,2 redireciona a transmissão do rádio celular 4G/LTE de 1,8 GHz para 900 MHz. Em operação, os pacotes de dados do dispositivo cliente SDNP 1400 são fragmentados e então repartidos entre a carga útil SDNP A e a carga útil SDNP B de acordo com algoritmos SDNP e segredos compartilhados. O transporte de dados fragmentado através do Ultimo Enlace de múltiplos PHY ocorre com a carga útil SDNP A transportada pelo pacote celular A através do enlace Wi-Fi 28A e carga útil SDNP B transportada pelo pacote celular B no enlace Wi-Fi 28B.

[00812] Conforme descrito anteriormente, a comunicação por múltiplos PHY também pode incluir meios de comunicação diferentes. Nesses casos, o pacote de dados para cada conexão deve ser formatado de acordo com os protocolos da Camada 2 para os meios físicos correspondentes. Por exemplo, a FIG. 61 ilustra uma comunicação híbrida de Ultimo Enlace composta por Ethernet e Wi-Fi na qual o cliente SDNP 1400 se comunica com o roteador Wi-Fi 1402W através de duas conexões PHY separadas que compreendem enlace Ethernet com fio ou fibra 24A e enlace Wi-Fi 29B usando, por exemplo, 100BASE-T e 802.1 lac a 5 GHz, respectivamente. O roteador 1402W, por sua vez, conecta-se ao roteador 1402X através do enlace BS 1415, e o roteador 1402X se conecta ao gateway SDNP 1401 através do enlace de gateway 1414. Os dois pacotes Ethernet definem o endereço IP de origem 445, ou seja, o dispositivo do cliente, como IP Ci,i e o endereço IP de destino 446 do gateway SDNP como IP Mo,o· O pacote Wi-Fi A, roteado sobre um PHY realizado pelo enlace Wi-Fi 24A, inclui o endereço de origem MAC 183, que compreende o MAC Ci,i, o endereço de destino MAC 182, que compreende o MAC W. O pacote Wi-Fi B, roteado através do PHY realizado pelo enlace Wi-Fi 29B, inclui o endereço de origem de rádio MAC do transmissor 236, que compreende o MAC Ci,2, o endereço de destino do receptor de rádio MAC 235, que compreende o MAC W, e o destino de rede

Petição 870190124250, de 27/11/2019, pág. 273/571

268/381

MAC 237, que compreende o MAC R.

[00813] A alteração no endereço de mídia de origem de MAC Ci,i para MAC Ci,2 redireciona a transmissão de Ethernet para Wi-Fi. Em operação, os pacotes de dados do dispositivo cliente SDNP 1400 são fragmentados e então repartidos entre a carga útil SDNP A e a carga útil SDNP B de acordo com algoritmos SDNP e segredos compartilhados. O transporte de dados fragmentados através do Ultimo Enlace de múltiplos PHY ocorre com a carga útil SDNP A transportada pelo pacote Ethernet A através do enlace com fio ou fibra 24A e a carga útil SDNP B transportada pelo pacote Wi-Fi B no enlace Wi-Fi 29B.

[00814] A FIG. 62 ilustra comunicação híbrida de Ultimo Enlace composta por comunicação Wi-Fi e celular na qual o cliente SDNP 1400 se comunica através de duas conexões PHY separadas com duas estações-base sem fio diferentes, especificamente enlace Wi-Fi 29A para roteador Wi-Fi 1402W operando 802.11η a 2,4GHz e enlace celular 28B para a estação-base celular 1402Q operando 4G/LTE sobre uma frequência de portadora de 900 MHz. Os roteadores 1402W e 1402Q, por sua vez, se conectam ao roteador 1402X sobre enlaces BS 1415A e 1415B, respectivamente, e o roteador 1402X se conecta ao gateway SDNP 1401 através do enlace de gateway 1414. Os pacotes tanto de Wi-Fi quanto de celular 4G definem o endereço IP de origem 445, ou seja, o dispositivo do cliente, como IP Ci,i e o endereço IP de destino 446 do gateway SDNP como IP Mo,o· O pacote Wi-Fi A, roteado na Camada PHY por uma conexão composta por enlace Wi-Fi 29A, inclui o endereço de origem de rádio MAC do transmissor 236, que compreende MAC Ci,i, o endereço de destino do receptor de rádio MAC 235, que compreende MAC W, e o destino de rede MAC 237, que compreende MAC R. O celular B, roteado como a conexão de camada PHY realizada pelo enlace Wi-Fi 29B, inclui o endereço de origem MAC 300B, que compreende o MAC Ci,2, e o destino MAC 33OB, que compreende o MAC BS.

Petição 870190124250, de 27/11/2019, pág. 274/571

269/381 [00815] A mudança no endereço de mídia de origem do MAC Ci,i para MAC Ci,2 redireciona a transmissão da LAN Wi-Fi para uma rede celular. Em operação, os pacotes de dados do dispositivo cliente SDNP 1400 são fragmentados e então repartidos entre a carga útil SDNP A e a carga útil SDNP B de acordo com algoritmos SDNP e segredos compartilhados. O transporte de dados fragmentados através do Ultimo Enlace de múltiplos PHY ocorre com a carga útil SDNP A transportada pelo pacote Wi-Fi A através do enlace Wi-Fi 29A e a carga útil SDNP B transportada pelo pacote celular B no enlace celular 28B.

[00816] Outra forma de comunicação por múltiplos PHY envolve meios físicos capazes de suportar muitos canais em diferentes frequências e usando protocolos distintos para diferentes pacotes de dados. Tal implementação pode ser facilitada usando-se um sistema de distribuição de cabo baseado em DOCSIS3 rodando o software SDNP. A pilha de comunicação OSI para um sistema de distribuição de cabo DOCSIS3 habilitado pelo SDNP é ilustrada na FIG. 63, incluindo conectividade PHY de Camada 1, o enlace de dados da Camada 2, e uma rede de Camada 3 sobrejacente tanto para o dispositivo de terminação de modem por cabo CMTS 101, como para exemplos de dispositivos conectados a cabo, por exemplo, modem por cabo CM 103 ou conversor digital STB 102. Especificamente, o dispositivo de sistema de terminação de modem a cabo CMTS 101 e sua pilha associada 378 contém uma interface de rede PHY 361 de Camada 1 conectada a servidores de nuvem 22 e Internet 20, ou, altemativamente, a uma central de recepção de vídeo, sistema IPTV ou sistema VoIP (não mostrado). A combinação da interface de rede 361 e da Camada de enlace de dados 366 está incluída na pilha de comunicação de interface do dispositivo 378 do CMTS 101. Na Camada 2 do enlace de dados, os dados são passados da pilha de comunicação da interface de rede para a pilha de comunicação da interface de rede de cabo através da função de

Petição 870190124250, de 27/11/2019, pág. 275/571

270/381 encaminhamento 370, especificamente para o controle de nível do enlace LLC 369. O controle de nível do 802.2 LLC 369 compreende um protocolo independente de hardware definido de acordo com a especificação IEEE

802.2. Os dados do pacote são então modificados pela segurança do enlace 368 para fornecer segurança rudimentar do pacote, principalmente para evitar visualização não autorizada de conteúdo como transmissões unicast pay-perview.

[00817] A interface a cabo PHY da Camada 1 362 envia então os quadros de dados através da rede de distribuição 102, que compreende o cabo coaxial 104 ou a fibra óptica 91 para a interface a cabo PHY da Camada 1 correspondente 363 dentro do modem a cabo CM 103 ou do conversor digital STB 102. A interface a cabo 363 representa a Camada PHY da interface de rede de cabo mostrada como pilha de comunicação OSI 379 do modem a cabo CM 103 ou conversor digital STB 102. Ao receber um pacote de dados, a interface MAC a cabo 371 então interpreta os endereços MAC de cabo, passando sua carga útil para segurança de enlace 372 para desencriptação e, finalmente, para o controle de camada do enlace independente de hardware

802.2 LLC 373 para interpretação. Os dados de entrada para a pilha de comunicação de rede de cabo CM ou STB são então passados através de uma ponte transparente 374 para a pilha de comunicação de interface de dispositivo CM ou STB, especificamente para o controle de camada do enlace independente de dispositivo 802.2 LLC 375 de acordo com a especificação para IEEE 802.2. O pacote é então passado ou para o bloco HSD e IPTV MAC 376 ou para o bloco MAC Wi-Fi 802.11 377 para atualizar os endereços MAC do pacote. No caso de comunicação Wi-Fi, o pacote de dados é então passado do bloco MAC 802.11 377 para a interface de rádio de Camada 1 PHY Wi-Fi 365 para transmissão na antena Wi-Fi 26. No caso de conexões de linha com fio, o pacote de dados é então passado do bloco MAC HSD e IPTV 376 para o bloco de interface Ethernet ou HDMI 364 para

Petição 870190124250, de 27/11/2019, pág. 276/571

271/381 conexão com a TV 39 on desktop 36.

[00818] A camada PHY e de enlace de dados conforme descrito estabelece conexões de um CMTS para qualquer número de modems a cabo (CMs). Dentro da pilha de comunicação CMTS 378 e dentro da pilha de comunicação CM 379, são preparados pacotes de dados dentro das camadas 360A e 360B da Camada 3 OSI, respectivamente, como datagramas IP IPv4, IPv6 ou ICMPvó usando endereços IP reconhecidos pela rede a cabo ou pelos servidores de nomes DNS da Internet. Na comunicação de Ultima Milha, os datagramas SDNP que usam pacotes de dados IPv4 ou IPv6 com endereço IP de origem e destino SDNP geralmente não são usados porque dispositivos conectados não habilitados por software ou firmware SDNP não têm capacidade de interpretar os endereços de roteamento de datagramas SDNP.

[00819] A operação de transporte da Camada 4 dentro da rede de modem a cabo varia de acordo com o dispositivo. No caso do CMTS 101, a camada de transporte 1420 de Camada 4 da pilha de comunicação OSI 378 emprega exclusivamente UDP porque seu funcionamento requer comunicação em tempo real, por exemplo, o streaming de dados de vídeo. A partir dessa perspectiva, a comunicação por cabo 102 é mais parecida com a rede SDNP em tempo real do que a Internet. Como o modem a cabo tem interoperabilidade tanto com a Internet como com a rede de cabo como cliente, ou seja, dispositivo de comunicação final, a camada de transporte 1420B de Camada 4 na pilha de comunicação OSI 379 de CM 103 ou STB 102 usa UDP para operações em tempo real e emprega TCP para dados de Internet. Esse uso é problemático para as operadoras de OTT que usam VoIP pela Internet, já que a rede a cabo interpretará os datagramas IP como dados, empregando automaticamente o TCP e o protocolo de transporte e degradando a comunicação QoS em tempo real, latência e atraso de propagação. Essa questão não ocorre em modems a cabo habilitados pelo SDNP - nos casos em que o CM ou o STB estiverem operando firmware ou

Petição 870190124250, de 27/11/2019, pág. 277/571

272/381 software SDNP, o software SDNP decide contextualmente quando é garantido o uso do TCP (para software e arquivos) e quando não é, ou seja, para dados em tempo real.

[00820] As camadas de aplicação, a saber as Camadas OSI de 5 até 7, ficam em cima das operações de transporte de Camada 1420A no CMTS 101 e em cima da camada de transporte 1420B em CM 103 ou STB 102. No CMTS 101, esses aplicativos geralmente envolvem tarefas de comunicação como SNMP 143IA, protocolo de padrão Internet para coleta e organização de informações de dispositivos conectados em redes IP. Outras funções incluem DHCPv4 1432A e DHCPvó 1433A. DHCP, um acrônimo para protocolo de configuração dinâmica de hospedeiro é um protocolo tanto para clientes como para servidores para fornecer a um hospedeiro IP as informações de roteamento necessárias, inclusive endereço IP (não estático) gerado dinamicamente, gateway padrão e máscara de sub-rede. Embora específica de geração de Internet, ou seja, para IPv4 ou IPv6, a função de geração dinâmica de endereço IP, como um gateway NAT ou SNMP, é genérica e igualmente aplicável em sistemas a cabo DOCSIS3 para CMTS 101 e CM 103 ou STB 102.

[00821] A implementação da camada de aplicativo da rede e protocolo de comunicação dinâmica segura divulgada aqui, quando realizada como firmware SDNP 1430A rodando em cima do sistema operacional CMTS 101, pode executar qualquer número de tarefas únicas, incluindo:

[00822] Operar como uma passagem sem interpretar a carga útil SDNP 1430, caso em que se deve habilitar o CM 103 para abrir e ler a carga útil SDNP, ou seja, o CM 103 deve ser um cliente SDNP.

[00823] Operar como um gateway remoto SDNP de Ultima Milha, ou seja, interpretar o conteúdo de uma carga útil SDNP e converter o conteúdo em uma mensagem específica de DOCSIS3 (incluindo segurança de enlace) para encaminhar para o CM 103. Nesses casos, o CM 103 não precisa estar

Petição 870190124250, de 27/11/2019, pág. 278/571

273/381 executando software ou firmware de cliente SDNP.

[00824] Operar como uma ponte SDNP de Ultima Milha, convertendo datagramas IP em datagramas SDNP e comunicando os datagramas SDNP para o CM 103. Nesses casos, o CM 103 deve estar executando software ou firmware de cliente SDNP para se conectar à ponte SDNP, ou seja, formando uma rede flutuante” SDNP ad hoc.

[00825] Conforme mostrado, a pilha de comunicação OSI 379 para CM 103 e STB 102 inclui inúmeras aplicações classificadas como Camada 5 OSI até Camada 7, incluindo os aplicativos relacionados à comunicação acima mencionados SNMP 143IB, DHCPv4 1432B e DHCPvó 1433B. Outra função, o utilitário TFTP 1434B ou protocolo de transferência de arquivos triviais, é usada principalmente no DOCSIS3 como um meio de baixar atualizações de software e software do CMTS para modems a cabo e definir conversores digitais por toda a rede a cabo. Nas redes a cabo, o HTTP 1435B, ou protocolo de transferência de hipertexto, é basicamente para pintar menus dinâmicos úteis em TVs inteligentes. Outros aplicativos (rotulados pela notação taquigráfica Otr 1436B) incluem aplicativos de jogos, diagnósticos, aplicativos IPTV, funções de gravação de vídeo e muito mais. O firmware SDNP 1430B, que roda em CM 103 ou STB 102, estende a comunicação HyperSecure da Ultima Milha até o usuário e Ultimo Enlace independentemente de o CMTS 101 estar executando software SDNP ou não. [00826] A Fig. 64 ilustra a construção de um pacote de dados DOCSIS3 adaptado para a entrega da carga útil SDNP 1430. Conforme mostrado, a Camada 1 PHY compreende o quadro de dispositivo de mídia física 390 de comprimento e duração variáveis, que contém o enlace de dados MAC de Camada 2, que compreende o preâmbulo 391, carga útil de comprimento variável ou senhas 392 e tempo de proteção 393. O preâmbulo 391 contém um preâmbulo upstream ou um preâmbulo downstream, dependendo do sentido da comunicação. No caso de um preâmbulo upstream,

Petição 870190124250, de 27/11/2019, pág. 279/571

274/381 o preâmbulo 391 contém o cabeçalho PMD (dispositivo de mídia física) 398, o cabeçalho MAC 399A e PDU de dados 400A. No caso do preâmbulo downstream, o preâmbulo 391 contém o cabeçalho MPEG 401, cabeçalho MAC 399B e dados PDU 400B. Tanto os dados PDU 400A no preâmbulo upstream como os dados PDU 400B no preâmbulo downstream contêm endereço de destino (DA) MAC 403B e endereço de origem (SA) MAC 403A. O conteúdo da carga útil de comprimento variável 392 pode compreender uma senha curta 394 ou uma senha longa 397.

[00827] A senha curta 394 contém a carga útil 395A, que compreende os dados A, e a correção de erros 396A, que contém FEC A. No caso da senha longa 397, a carga útil é dividida em múltiplos blocos de carga útil 395A, 395B e 395C que carregam dados A, dados B e dados C, respectivamente, com cada carga útil contendo seus próprios blocos de verificação de erros 396A, 396B e 396C, incluindo os dados correspondentes FEC A, FEC B e FEC C. Após a verificação de erros, os dados entregues do DOCSIS3 compreendem os blocos de dados 395A, 395B e 395C no caso de uma senha longa, e apenas o bloco de dados 395A no caso de uma senha curta. A combinação de dados A, dados B e dados C se funde em um datagrama IP contíguo, neste exemplo um datagrama IPv6, que contém o endereço IP de origem 445, o endereço IP de destino 446 e o campo de dados 435, que contém a carga útil SDNP 1430, e o cabeçalho de transporte 436, que contém dados de Camada 4. Dessa forma, o DOCSIS3 fornece dados de forma flexível através de uma rede a cabo usando o protocolo de dados de comutação de pacotes.

[00828] Conforme mostrado na FIG. 65A, os pacotes de dados são transportados em múltiplos canais sobre uma rede híbrida de fibra e cabo, ou seja, em diferentes frequências. No DOCSIS 3.0, os canais de dados variam de 5 MHz a 1.002 MHz, incluindo sinais de TV analógica 1440 (triângulos), dados QAM 1441 e canal de controle diplexador 1443. Na fase 1 do

Petição 870190124250, de 27/11/2019, pág. 280/571

275/381

DOCSIS 3.1, a faixa de frequência é estendida para 1.218 MHz e são adicionados os canais de dados DOCSIS3.1 1442 para facilitar a modulação do OFDM, principalmente em uma banda de frequência acima da dos canais existentes atribuídos ao QAM.

[00829] O OFDM é preferido aos métodos de modulação QAM porque os canais podem ser espaçados mais juntos. Comparando-se os esquemas de modulação, a distribuição de frequência QAM 1445A exibe uma cauda mais larga em conteúdo espectral do que a distribuição de frequência OFDM 1445B. Especificamente, a largura de banda lateral espectral de fo a f-50, ou seja, a largura da borda da portadora até a frequência onde o sinal cai em -50 dB, é de 4,3 unidades de frequência normalizadas de largura na distribuição de frequência QAM 1445A, mas apenas 0,4 unidades de frequência normalizadas de largura no caso da distribuição de frequência OFDM 1445B. Como a largura espectral é mais estreita, pode-se incluir mais canais de comunicação no mesmo espectro aumentando-se a largura de banda geral e a taxa de dados total máxima da rede. Na fase 2 de implantação do DOCSIS 3.1, a faixa de frequência é estendida para 1.794 MHz. Muitas das bandas originalmente atribuídas aos dados do QAM 1441 são substituídas por novos canais designados explicitamente para dados OFDM 1442.

[00830] Em uma rede de cabo habilitada para DOCSIS, uma unidade CMTS comporta muitos CMs gerenciando os canais disponíveis. Embora o CMTS possa alocar a comunicação downstream e a seleção de canais dinamicamente conforme necessário, a comunicação upstream exige gerenciamento de contenção para facilitar o caso em que múltiplos CMs tentem enviar dados simultaneamente. Como tal, cada modem deve solicitar um canal de uplink do CMTS antes de enviar dados. Esse processo é mostrado na FIG. 65B, que compreende uma sequência de operações de comunicação entre o CMTS 101, que roda o aplicativo SDNP 1335L, e o CM 103, que opera o firmware SDNP 1335M. O roteamento de datagramas IP em

Petição 870190124250, de 27/11/2019, pág. 281/571

276/381 comunicação por múltiplos PHY utiliza os endereços IP IP CMTS e IP CM1 e múltiplos endereços MAC, por exemplo MAC CM1 para CM 103 e MAC CMTS1, MAC CMTS2, MAC CMTS3 e MAC CMTS4 para CMTS 101. Na ilustração superior, que mostra um gráfico de frequência versus tempo, o CM 103 envia uma solicitação para transmitir RQST 1445A em um canal dedicado.

[00831] Depois de não receber nenhuma resposta, um segundo RQST 1445B é enviado resultando em uma resposta do CMTS 101 em um canal diferente, na forma do pacote de dados MAP 1446. O conteúdo do pacote de dados MAP 1446 instrui o CM 103 a quando transmitir e quais canais pode usar para sua comunicação upstream. Depois de receber o pacote de dados MAP 1446, o CM 103 envia seus dados upstream simultaneamente espalhados por dois canais nos pacotes de dados uplink 1447A e 1447B. A divisão dos dados enviados simultaneamente sobre dois canais mostrada na ilustração central é denominada uma vinculação de canal. A vinculação de canal é um meio pelo qual se pode aumentar a largura de banda de comunicação e a taxa de dados entre o CMTS e o CM. E também um método dinâmico para garantir que nenhuma largura de banda disponível deixe de ser utilizada. Na ilustração inferior, o CMTS 101 responde ao vincular quatro canais, ou seja, 1448A, 1448B, 1448C, e 1448D e enviar dados simultaneamente, mas de diferentes durações.

[00832] Na comunicação tanto upstream como downstream através da rede híbrida de fibra-cabo, a largura de banda é alocada dinamicamente entre múltiplos canais, divididos em pequenos segmentos de tempo denominados mini-intervalos. A Fig. 65C ilustra a comunicação upstream do CM 103 ao CMTS 101. Essas comunicações upstream geralmente compreendem uma mensagem ou uma solicitação para transmitir. Neste exemplo, os dados são enviados através das frequências f i e fj compreendendo cinco mini-intervalos de tempo no total. Conforme mostrado, os mini-intervalos 1, 2 e 3 são

Petição 870190124250, de 27/11/2019, pág. 282/571

277/381 enviados na frequência fi durante os intervalos K, (K+l) e (K +2), enquanto os mini-intervalos 4 e 5 são enviados na frequência fi durante os intervalos K e (K +1), mas não durante o intervalo (K +2). O pacote de dados upstream 1450A, mostrado em forma abreviada, especifica o endereço IP de origem IP CM1 e o endereço IP de destino de comunicação da Ultima Milha, ou seja, IP Mo,o, o nó de entrada da rede SDNP hospedado pelo servidor 1201A.

[00833] Para comunicação de Ultimo Enlace, o pacote de dados upstream 1450A especifica MAC CM1 como o endereço MAC de origem do modem a cabo e especifica o meio PHY, neste caso o canal de frequência fi como o destino MAC MAC CMTS1. O pacote de dados 1450A, que contém a carga útil SDNP A, ocupa três mini-intervalos no total, a saber, mini-intervalos 1, 2 e 3, embora juntos eles carreguem um único pacote de dados e carga útil. Em contraste, o mini-intervalo 4 e mini-intervalo 5 cada um contém apenas um único pacote de dados, ou seja, 1450B e 1450C com os dados correspondentes de carga útil SDNP B e carga útil SDNP C. Assim como o pacote de dados 1450A, os dois pacotes 1450B e 1450C especificam um endereço IP de destino da nuvem SDNP, especificamente o nó de gateway SDNP M_o,o.

[00834] Entretanto, para o endereço de destino MAC, em vez de especificar o mesmo endereço MAC e mídia física como o primeiro pacote, os dois pacotes 1450B e 1450C estipulam um endereço de destino MAC de MAC CMTS2. Pode-se usar esse endereço para especificar que os pacotes de dados 1450B e 1450C devem ser transportados em uma frequência diferente da do pacote de dados 1450A - neste caso, frequência Í2, e não a frequência fi. Os valores reais das frequências são mapeados dinamicamente pelo CMTS 101 e não especificamente identificados. Um sistema habilitado pelo DOCSIS3 representa assim uma solução de múltiplos PHY em que uma única unidade CMTS pode se comunicar simultaneamente com um modem a cabo ou conversor digital em múltiplas frequências e usar múltiplos

Petição 870190124250, de 27/11/2019, pág. 283/571

278/381 protocolos, como 256 QAM ou OFDM.

[00835] Em vez de permitir que o CM e o CMTS determinem quais pacotes de dados usam uma frequência ou canal de companhia telefônica comum, como é o caso normal dos sistemas DOCSIS3, de acordo com a rede e protocolo de comunicação dinâmica segura divulgados para comunicação da Ultima Milha, o cliente CM 103 SDNP especifica diferentes endereços de destino MAC para forçar a comunicação através de múltiplas frequências e canais, ou seja, para forçar a operação de múltiplos PHY. Como os pacotes de dados CM 103 1450A e 1450B/C estipulam diferentes endereços MAC de destino, ou seja, MAC CMTS1 e MAC CMTS2, respectivamente, os pacotes de dados invocam automaticamente a operação de múltiplos PHY através do Ultimo Enlace. Altemativamente, se o CMTS facilitar outro meio pelo qual solicitar a alocação exclusiva de canais, por exemplo, usando uma solicitação de comando e controle, o uso do endereço MAC para invocar a comunicação por múltiplos PHY pode ser substituído pelos meios alternativos.

[00836] A Fig. 65D ilustra o fluxo de dados downstream do CMTS 101 para o CM 103 ilustrando o uso de vinculação para alcançar altas taxas de dados na comunicação downstream de múltiplos PHY. Conforme mostrado, todos os pacotes de dados especificam um endereço IP de origem de IP CMTS, um endereço IP de destino de IP CM1 e um endereço de destino MAC de MAC CM1. A comunicação por múltiplos PHY é controlada por especificação do endereço de origem MAC do CMTS 101. Conforme mostrado, o pacote de dados 1450G que contém a carga útil SDNP G especifica o endereço MAC de origem MAC CMTS6 correspondente à comunicação na frequência fô carregando dados nos mini-intervalos 15 e 16. O pacote de dados 1450H contém a carga útil SDNP H e especifica o endereço MAC de origem MAC CMTS7 correspondente à comunicação na frequência f? carregando dados nos mini-intervalos de 17 a 20. O pacote de dados 14501, que contém a carga útil SDNP I, especifica o endereço MAC de

Petição 870190124250, de 27/11/2019, pág. 284/571

279/381 origem MAC CMTS8 correspondente à comunicação na frequência fs carregando dados nos mini-intervalos 21, 22 e 23. Finalmente, o pacote de dados 1450J, que contém a carga útil SDNP J, especifica o endereço MAC de origem MAC CMTS9 correspondente à comunicação na frequência fo carregando dados nos mini-intervalos de números 24 e 25. Dessa forma, pacotes de dados relacionados e não relacionados podem ser enviados simultaneamente do CMTS 101 para o CM 103 usando métodos de múltiplos PHY sem disputa de canal ou colisões de dados com dados upstream simultâneos.

[00837] Roteamento de Chamada HyperSecure - O roteamento de chamada HyperSecure feito de acordo com a rede e protocolo de comunicação dinâmica segura divulgada pode ser realizado usando-se um dos três métodos de comando e controle [00838] A comunicação tricanal, na qual o roteamento de uma chamada ou comunicado é controlado usando-se três conjuntos de servidores, a saber, os servidores de mídia SDNP para transportar arquivos de áudio, vídeo ou dados; os servidores de sinalização SDNP para selecionar o roteamento de uma chamada e um servidor de nomes SDNP para armazenar o mapeamento dinâmico de números de telefone para seus endereços SDNP correspondentes, [00839] A comunicação bicanal, na qual o controle de roteamento de uma chamada ou comunicado usa dois conjuntos de servidores, a saber, os servidores de mídia SDNP para transportar arquivos de áudio, vídeo ou dados; e os servidores de sinalização SDNP para roteamento da chamada, e para executar a função de um mapeamento de servidor de nomes SDNP de números de telefone para seus endereços SDNP correspondentes, [00840] A comunicação monocanal, na qual o transporte de dados, o planejamento de rota e o mapa de endereço SDNP são todos executados por um único conjunto de servidores.

Petição 870190124250, de 27/11/2019, pág. 285/571

280/381 [00841] Em geral, as comunicações tricanal oferecem maior imunidade a ataques cibernéticos, porque nenhum conjunto de servidores contém todas as informações sobre uma chamada. Entretanto, em todos os casos, a rede SDNP utiliza processamento distribuído para limitar as informações contidas em qualquer servidor específico. Além disso, durante o transporte de dados na comunicação mono, bi ou tricanal, os servidores de mídia SDNP se conectam a um quarto tipo de servidor - os servidores DMZ. Os servidores DMZ são usados para alojar segredos compartilhados SDNP necessários para o processamento de cargas úteis de dados SDNP, incluindo embaralhamento, divisão, mistura, inserções e remoções de dados de lixo e encriptação. Em operação, os pacotes de dados de entrada recebidos por um servidor de mídia são entregues ao servidor DMZ, onde os pacotes de dados são modificados e repassados para o servidor de mídia. O servidor de mídia não sabe como os pacotes de dados foram modificados ou qual lógica ou algoritmo foi usado para processar os dados. O código executável e as tabelas armazenadas em um servidor DMZ são encriptados para evitar a análise do código. Além disso, os servidores DMZ operam offline sem conexão com a rede ou Internet. [00842] Os gráficos a seguir ilustram um exemplo de implementação de comunicações SDNP tricanal e a sequência usada para iniciar uma chamada ou enviar um arquivo pela rede. A operação de comunicação bicanal pode ser considerada como uma pequena modificação da comunicação tricanal, na qual as funções do servidor de nomes SDNP são mescladas nos servidores de sinalização. A comunicação monocanal compreende a integração de todas as três operações em uma rede de servidores multifuncionais operando como nós de comunicação SDNP.

[00843] Embora o transporte de dados fragmentado dentro da nuvem SDNP seja geralmente realizado usando-se roteamento de malha dinâmico, as comunicações da Ultima Milha oferecem menos opções de roteamento, especificamente quando os pacotes de dados sucessivos puderem ser ou (i)

Petição 870190124250, de 27/11/2019, pág. 286/571

281/381 roteados para um único gateway SDNP, ou seja, como comunicação de Ultima Milha de rota única, ou altemativamente (ii) roteado para múltiplos gateways SDNP, ou seja, como comunicação de Ultima Milha de múltiplas rotas. Outras opções de roteamento de Ultima Milha incluem ο endereçamento dinâmico de origem e a conectividade de Ultimo Enlace de múltiplos PHY. Essas opções de entrega são especificadas nos pacotes de dados IP gerados nos servidores de sinalização. Apesar do fato de que esses pacotes de dados SDNP especificam seus endereços IP e MAC de origem e destino, não se sabe o trajeto preciso que um determinado pacote de dados percorre na Ultima Milha. Em vez disso, o trajeto intermediário é determinado pela operação dos roteadores, dispositivos de propriedade das operadoras de rede locais, operadoras de rede móvel e provedores de serviços de rede que atendem a Ultima Milha, e não pelos servidores de sinalização SDNP. A comunicação de Ultima Milha é, portanto, análoga a uma corda de pular cujas duas extremidades são fixas, mas na qual uma infinidade de trajetos de forma única as conectam.

[00844] Reiterado por questão de clareza, o termo comunicação de rota única, de múltiplas rotas, e de rota de malha refere-se ao trajeto dos pacotes de mídia, ou seja, o conteúdo do trajeto viaja entre os chamadores, enquanto os termos de comunicação tricanal, bicanal e monocanal referem-se ao sistema de comando e controle usado para governar o transporte através da rede de nós SDNP. Isto posto, o seguinte conjunto de ilustrações retrata a sequência de etapas, ou seja, o processo, usado para realizar uma chamada ou iniciar um comunicado de acordo com a rede e protocolo de comunicação dinâmica segura divulgada.

[00845] A FIG. 66 ilustra uma representação abstrata de uma rede de Ultima Milha de rota única para comunicação tricanal composta por um cliente SDNP 1600, roteadores IP 1602A, 1602B e 1602C, servidor de sinalização 1603A, servidor de nomes SDNP 1604A e gateway SDNP 1601.

Petição 870190124250, de 27/11/2019, pág. 287/571

282/381

Esses servidores de computador hospedam nós de comunicação SDNP usados para facilitar a comunicação de rede com nomes de nós de rede e endereços IP, conforme mostrado, compreendendo o cliente SDNP Ci,i, roteadores R, o nó S do servidor de nomes SDNP e o nó do gateway SDNP Mo,o· A conexão de rede 1610 facilita um Ultimo Enlace entre o cliente Cy e seu roteador mais próximo 1602A; a conexão de rede 1611 facilita um enlace de gateway entre o gateway SDNP Mo,o e seu roteador mais próximo 1602B; a conexão de rede 1612 facilita um enlace de gateway entre o servidor de sinalização SDNP 1603A e seu roteador mais próximo 1602C; e a conexão de rede 1616 se conecta aos roteadores topologicamente adjacentes 1602A e 1602C. Como os endereços IP dos roteadores não são usados em datagramas IP como endereço de origem ou de destino, o nominativo R é compartilhado por todos os roteadores na Camada 3. No caso das descrições de Camada 1 e de Camada 2, cada roteador tem uma identidade única, mas esse aspecto não é relevante para descrever o roteamento de chamadas da Camada 3 da rede IP. O servidor de sinalização SDNP 1603A (nó S) conecta-se ao servidor de nomes SDNP 1604A (nó NS) através da conexão de rede 1613 e com os nós de nuvem SDNP Mo,_n através de uma série de conexões de rede 1614. O servidor de sinalização 1603A também se conecta a outros servidores de sinalização (não mostrados) através da conexão de rede 1615.

[00846] Usando a rede SDNP, fazer uma chamada, ou seja, estabelecer uma sessão, envolve a seguinte sequência de etapas iniciadas pelo cliente SDNP que faz a chamada, ou seja, o chamador [00847] Solicitação de chamada (ou chamada fora) SDNP [00848] Solicitação de endereço SDNP [00849] Entrega de endereços SDNP [00850] Instruções de roteamento SDNP [00851] Iniciar chamada SDNP (ou chamada fora) [00852] O primeiro passo, a “solicitação de chamada, é ilustrado

Petição 870190124250, de 27/11/2019, pág. 288/571

283 /381 graficamente na FIG. 67, na qual o chamador, cliente 1600 com endereço IP Ci,i, contata o servidor de sinalização 1603A no endereço IP S através dos trajetos 1610, 1616 e 1612 com datagrama IP 1620. A carga útil de comando e controle do datagrama 621 contém o transporte de dados da Camada 4 usando TCP para garantir a exatidão dos dados e especifica uma série de parâmetros de chamada solicitados que incluem entrega, urgência, credenciais de segurança e as informações de contato do receptor, a parte que está sendo chamada. No caso de uma chamada para outro cliente SDNP, ou seja, uma “chamada SDNP, essas informações de contato compreendem uma identificação confidencial (CID) do cliente que está sendo chamado, dados presentes no diretório telefônico SDNP do cliente. No caso de uma chamada fora, uma chamada para uma parte que não é cliente SDNP, as informações de contato compreendem um número de telefone. Embora o CID de um cliente SDNP seja intrinsecamente anônimo e conhecido apenas pelo servidor de nomes SDNP, o número de telefone não é disfarçado. Para proteger a privacidade da parte que está sendo chamada, o número de telefone na carga útil de C&C é encriptado. Altemativamente, toda a carga útil C&C 1621 pode ser encriptada. Embora a carga útil C&C 1621 possa ser na forma de texto cifrado, os endereços IP do datagrama IP 1620 não podem ser encriptados, caso contrário os roteadores 1602A e 1602C não podem encaminhar o datagrama.

[00853] O segundo passo, a solicitação de endereço SDNP, é ilustrado na FIG. 68, na qual o servidor de sinalização SDNP com endereço IP S contata o servidor de nomes SDNP no endereço IP NS através do trajeto 1613 com datagrama IP 1622. A carga útil de comando e controle do datagrama define o transporte de dados de Camada 4 como TCP e contém ou o CID ou número de telefone encriptado da parte que está sendo chamada. No caso de uma chamada SDNP, o servidor de nomes 1604A converte o CID em um endereço SDNP do cliente que está sendo chamado. No caso de uma

Petição 870190124250, de 27/11/2019, pág. 289/571

284/381 chamada fora, o servidor de nomes 1604A desencripta e converte o número de telefone da parte que está sendo chamada para o endereço SDNP do gateway SDNP mais próximo da localização do receptor. Conforme mostrado na FIG. 69, o usuário de nome 1604A então passa o endereço SDNP do cliente ou gateway no datagrama IP 1623 do endereço de origem IP NS para o servidor de sinalização 1603A no endereço IP S.

[00854] O servidor de sinalização 1603A então utiliza os endereços SDNP do chamador e do receptor para rotear uma chamada entre eles, seja como uma conexão HyperSecure se o receptor for um cliente SDNP, seja para o gateway SDNP mais próximo se o receptor não for um cliente SDNP. O processo usado para preparar instruções de roteamento e distribuí-las a todos os nós de mídia necessários para completar a conexão do chamador é mostrado na FIG. 70. Conforme mostrado, a solicitação de entrega do chamador contida nos campos de entrega e urgência da carga útil C&C 1621 A, uma vez validada contra as informações da conta, é usada para selecionar o método de entrega do datagrama, conforme mostrado pela operação 1650. Os métodos de entrega que compreendem entrega normal, VIP, garantida ou especial, afetam o roteamento de pacotes ou subpacotes (se os pacotes forem divididos ou fragmentados). Na entrega VIP, por exemplo, utilizam-se as rotas mais rápidas para o transporte de dados, enquanto se minimiza o carregamento das mesmas rotas por outros clientes. Na entrega garantida, fragmentos de pacotes de dados em duplicata são enviados por toda a rede, ou seja, usando redundância, para garantir a entrega oportuna dos pacotes mais rápidos e ignorando as chegadas tardias. Combinada com os dados de endereço SDNP da carga útil C&C 1623A, a operação 1651 então mapeia as rotas ideais do chamador para o endereço SDNP do receptor ou para o gateway mais próximo se o receptor não for um cliente SDNP. Utilizam-se os dados de solicitação de urgência contidos na carga útil C&C 1621A para selecionar a operação de urgência do pacote 1652, inclusive para

Petição 870190124250, de 27/11/2019, pág. 290/571

285 /381 diminuir os atrasos de propagação - entrega tipo lesma (não há necessidade de pressa), entrega normal, entrega prioritária e entrega urgente.

[00855] As informações de solicitação de urgência são então usadas para selecionar roteamento e zonas para o roteamento de subpacotes pela operação 1653. Esses parâmetros, juntamente com quaisquer credenciais de segurança aplicáveis 1621B, são combinados para sintetizar os pacotes de controle e comando de roteamento através da operação 1660. Esses pacotes de dados C&C são entregues aos nós de comunicação participantes da Ultima Milha, usando o transporte de Camada 4 especificado pelo TCP, mas contêm informações de roteamento que, quando usadas na entrega de dados em tempo real, empregam o UDP como protocolo de transporte da Camada 4. Por exemplo, o roteamento da Ultima Milha feito de acordo com as credenciais de segurança da zona Ul é gerado como datagrama IP 1625 contendo a carga útil C&C 1626 usada para dados de roteamento do nó do cliente Ci,i para o nó do gateway SDNP Mo,o· O datagrama IP 1625 é entregue ao cliente SDNP usando o transporte de dados TCP, mas a carga útil C&C 1626 intitulada roteamento Ul da Ultima Milha contém dados usados para encaminhar pacotes em tempo real, necessitando o uso do UDP como seu mecanismo de transporte de Camada 4. A operação de síntese de pacotes C&C SDNP 1660 também gera inúmeras outras mensagens C&C entregues como pacotes de dados TCP para nós dentro da nuvem SDNP. Um exemplo de um pacote de dados de instrução em nuvem é o datagrama IP 1627A, que contém a carga útil C&C 1628A, usado para roteamento de dados do SDNP Mo,o para o SDNP Mo,i. Conforme mostrado na FIG. 71, esses pacotes de instruções de roteamento SDNP são distribuídos para os nós de mídia, incluindo o nó de cliente Ci,i, através das conexões seriais 1612, 1616 e 1610 e para o nó de gateway SDNP Mo,o e para outros nós dentro da nuvem SDNP sobre conexões 1614.

[00856] O início da chamada é mostrado na FIG. 72, na qual o

Petição 870190124250, de 27/11/2019, pág. 291/571

286/381 datagrama 1630 de mídia SDNP, que contém dados SDNP, p. ex., som, video, texto, etc., é anexado a um cabeçalho IP composto pelo pacote de dados C&C 1626 e roteado do IP Ci,i para o IP Mo,o do cliente SDNP 1600 através da conexão de rede do Ultimo Enlace 1601 para os roteadores 1602A e 1602B e finalmente para o gateway SDNP 1601 através do enlace de gateway 1611. Juntos, os campos de dados de etiqueta identificadora, zona de segurança, preâmbulo e SDNP constituem a carga útil de um pacote de mídia SDNP contido no datagrama SDNP de mídia 1630 da mídia.

[00857] O roteamento da chamada SDNP acima mencionada, ou seja, uma chamada HyperSecure do gateway SDNP Mo,o para um cliente SDNP C?,i que compreende o telefone celular 32 rodando o aplicativo SDNP 1335A, é mostrado no diagrama de rede simplificado da FIG. 73A. O datagrama SDNP 1631 A, que contém carga útil SDNP de mídia A e o cabeçalho 1628A, é roteado entre os nós de mídia com endereços SDNP Mo,o e Mo,i. Note que o gateway SDNP 1601 tem dois endereços - endereço IP IP Mo,o para comunicação de Ultima Milha e endereço SDNP SDNP Mo,o para comunicação dentro da nuvem SDNP. O conteúdo de cada datagrama SDNP muda à medida que o pacote atravessa a nuvem SDNP de forma que os conteúdos - som, vídeo e texto contidos na carga útil de mídia SDNP A, B e C - são distintamente diferentes e podem incluir conteúdo de vinte conversas ou comunicados diferentes. Os mecanismos de roteamento de dados e segurança de pacotes dentro da nuvem SDNP são divulgados no Pedido de Patente dos E.U.A. acima mencionado de n° 14/803.869, intitulado Rede e Protocolo de Comunicação Dinâmica Segura, que descreve como o conteúdo e a encriptação dos pacotes de dados que se movem anonimamente através da nuvem SDNP mudam dinâmica e continuamente, convergindo apenas no dispositivo do cliente.

[00858] Da mesa forma, o datagrama SDNP 1631B, que contém carga útil B de mídia SDNP e cabeçalho 1628B, é distribuído entre nós de mídia

Petição 870190124250, de 27/11/2019, pág. 292/571

287/381 com endereços IP Mo,4 e Mo,f. Os dados que saem da nuvem SDNP através do gateway SDNP 160IB são convertidos de um datagrama SDNP para um datagrama IP 1632. O datagrama IP 1632 com cabeçalho 1628C e carga útil C de mídia SDNP utiliza credenciais de segurança para a zona U2, que é a zona que compreende a Ultima Milha. O datagrama IP 1632 é então roteado através da Ultima Milha através do enlace com fio ou fibra 24 para o roteador de rede 27, e depois roteado através da rede celular 25 e enlace celular 28 para o telefone celular 32. Como o telefone celular 32 é um cliente SDNP, as comunicações através da Ultima Milha permanecem HyperSecure. Neste exemplo simplificado, todos os pacotes de dados que saem da nuvem para a Ultima Milha são roteados de um único gateway SDNP 1601B. Na realidade, pode-se empregar mais de um gateway SDNP em roteamento de dados de Última Milha.

[00859] Comunicação de Última Milha para uma chamada fora é mostrada na FIG. 73B. Embora o roteamento através da nuvem SDNP empregue os mesmos datagramas SDNP 163IA e 1631B usados em uma chamada para um cliente SDNP, o gateway SDNP 1601B é o último servidor que executa o software SDNP. A comunicação de Última Milha em uma chamada fora, portanto, usa datagramas IP com cargas úteis não-SDNP, ou seja, o datagrama IP 1635 é roteado do gateway IP Mo,o para o PSTN no endereço IP C?,9 que transporta som na forma de VoIP. O PSTN então converte o formato de chamada VoIP em um telefonema convencional usando um n° de telefone e som analógico no pacote de som 1636. Nesses casos, a Última Milha não constitui comunicação HyperSecure.

[00860] Na comunicação de Última Milha por múltiplas rotas, mostrada na FIG. 74, os pacotes de dados de comando e controle distribuídos pelo servidor de sinalização SDNP 1603A incluem o pacote de dados C&C 1625X enviado ao cliente 1600 através dos enlaces de dados 1612 e 1610, pacote de dados C&C 1627X enviado para o gateway SDNP 160IX através

Petição 870190124250, de 27/11/2019, pág. 293/571

288/381 do enlace de dados 1614X, e o pacote de dados C&C 1627Y enviado para o gateway SDNP 1601Y através do enlace de dados 1614Y. Outros pacotes de dados C&C (não mostrados) são enviados através de enlaces de dados 1614X para outros servidores que hospedam nós de mídia. O pacote de dados C&C 1625X enviado de um endereço IP S para o endereço IP C14 que contém uma carga útil C&C que compreende o roteamento de Ultima Milha Ul. O roteamento de Ultima Milha Ul inclui duas instruções de roteamento diferentes - uma de IP Ci,i para IP Mo,o com etiqueta 1 e preâmbulo 1, e outra de IP Ci,i para IP Mo,i com etiqueta 2 e preâmbulo 2. Mostrados pelo exemplo, os pacotes de dados C&C enviados para nós de comunicação dentro da nuvem SDNP incluem os enviados de IP S para IP Mo,o contendo instruções de Roteamento de Nuvem SDNP 1, e os enviados para IP Mo,i contendo Roteamento de Nuvem SDNP 2.

[00861] Chamadas de Grupo SDNP - O roteamento de pacotes de mídia de Ultima Milha do cliente SDNP 1600 para múltiplos gateways SDNP, mostrado na FIG. 75A, inclui dois pacotes de dados 1630X e 1630Y, que compreendem os respectivos cabeçalhos 1626X e 1626Y e dados SDNP X e dados SDNP Y de cargas úteis de mídia SDNP. O cabeçalho de dados 1626X com etiqueta 1 e preâmbulo 1 é roteado do endereço IP Ci,i para o endereço IP Mo,o, enquanto o cabeçalho de dados 1626Y com etiqueta 2 e preâmbulo 2 é roteado do endereço IP Ci,i para o endereço IP Mo,i.

[00862] Os dados que fluem no sentido inverso da nuvem SDNP para o cliente usando comunicação de múltiplas rotas, conforme ilustrado na FIG. 75B, incluem o pacote de dados 1630U, que contém o cabeçalho 1626U, etiqueta 8, preâmbulo 8, Dados SDNP U, endereço de origem SDNP, endereço de gateway Mo,o e endereço de destino IP Co,o· Simultaneamente, os dados também incluem o pacote de dados 1630V, que contém o cabeçalho 1626V, etiqueta 9, preâmbulo 9, Dados SDNP V, endereço de origem SDNP, endereço de gateway Μο,ι e endereço de destino IP Co,o· O programa

Petição 870190124250, de 27/11/2019, pág. 294/571

289/381 aplicativo SDNP, que roda no cliente SDNP 1600, então combina os pacotes de dados de entrada SDNP de dados U e SDNP de dados V e outros para recriar o texto ou voz (som) da mensagem.

[00863] A entrega do pacote de dados C&C de instruções de roteamento pode ser estendida para iniciar chamadas de três partes ou em grupo, mensagens de grupo e outras comunicações de múltiplos clientes. Em tais comunicados de grupo ou teleconferências, uma mensagem do cliente é enviada a múltiplos destinatários simultaneamente. Essa função de grupo é invocada pelo chamador cuja solicitação para uma chamada de grupo define primeiro o grupo de clientes a serem contatados, depois pelo servidor de sinalização, que instrui os nós de mídia necessários sobre como tratar o roteamento de pacotes de dados associados com a chamada em grupo específica. Um exemplo de instruções de roteamento de chamada em grupo é mostrado na FIG. 76, onde o servidor de sinalização 1603P comunica instruções de roteamento através do enlace de dados 1614A para o cliente SDNP 1600A e através dos enlaces de dados 1614Z para inúmeros servidores de mídia 1600Z dentro da nuvem SDNP.

[00864] Como tal, o pacote de dados TCP 1627A, que contém o roteamento de Ultima Milha Ul, é entregue do servidor de sinalização 1603P no endereço IP Sl para o cliente SDNP no endereço IP Ci,i para configurar a chamada de grupo com o chamador. Os pacotes de dados C&C representados pelo exemplo de pacote de dados TCP 1627Z são distribuídos simultaneamente por toda a nuvem SDNP para a zona Z1 através dos enlaces de dados 1614Z do endereço de servidor de sinalização IP Sl para vários endereços de destino IP Mo,_y onde y representa uma variável inteira. Coletivamente, as instruções de roteamento de nuvem SDNP estabelecem o roteamento do pacote do gateway do chamador por toda a nuvem SDNP para dois ou mais outros gateways SDNP localizados mais próximos dos clientes SDNP que estiverem sendo chamados.

Petição 870190124250, de 27/11/2019, pág. 295/571

290/381 [00865] Conforme mostrado pelo exemplo, os outros clientes SDNP podem estar localizados em diferentes regiões geográficas e podem estar dentro de zonas de segurança separadas, por exemplo, zonas U7 e U9. Em alguns casos, esses clientes podem estar suficientemente longe do servidor de sinalização 1603P que se pode usar outro servidor de sinalização 1603Q para planejar o roteamento de pacotes para esses clientes SDNP. O servidor de sinalização 1603Q comunica instruções de roteamento na zona U9 para o cliente SDNP 1600M através do enlace de dados 1614M e para o cliente SDNP 1600L através do enlace de dados 1614L. O pacote de dados C&C 1625M, por exemplo, comunica as instruções de roteamento de Ultima Milha U9 do servidor de sinalização no IP S4 para o cliente SDNP 1600M em seu endereço IP Cç>,i. Outro pacote de dados C&C (não mostrado) é enviado da mesma forma ao cliente SDNP no endereço IP C^· O pacote de dados 1627H, que contém instruções para o Roteamento de Ultima Milha U7, é enviado através do enlace de dados 1614H do servidor de sinalização 1603Q em IP S4 para o cliente 1600H no endereço IP Ογ,ι.

[00866] Os servidores de sinalização 1603P e 1603Q nos nós SI e S4 também trocam informações como pacotes de dados C&C através do enlace de dados 1613Z. Utilizam-se essas informações para estabelecer quais partes do roteamento devem ser realizadas pelo servidor de sinalização 1603P e quais partes serão executadas pelo servidor de sinalização 1603Q, essencialmente dividindo a tarefa de roteamento em múltiplos servidores de sinalização. No exemplo mostrado, o nó do servidor de sinalização SI gerencia o roteamento da Ultima Milha para a zona UI e para a nuvem SDNP, enquanto o nó de servidor de sinalização S4 gerencia a comunicação de Ultima Milha nas zonas U7 e U9.

[00867] O roteamento de dados durante uma chamada ou comunicado é mostrado na FIG. 77A, onde a voz transportada pelos dados SDNP 1 no pacote de dados 1630A é roteada pelo cabeçalho 1626A do chamador com

Petição 870190124250, de 27/11/2019, pág. 296/571

291/381 endereço IP IP Ci,i para o nó de mídia de gateway SDNP Μο,ο· O pacote de dados é re-enviado para o transporte de nuvem SDNP e enviado para os nós de mídia de gateway Mo,4 e Mo,8· O trajeto que o roteamento de pacote percorre dentro da nuvem SDNP é desconhecido para qualquer um dos participantes da teleconferência, sem qualquer controle central e variando dinamicamente com as condições da rede. Neste exemplo, todos os pacotes de dados SDNP dentro da nuvem SDNP utilizam o transporte de dados em malha fragmentados com endereçamento anônimo e encriptação dinâmica, além de usar embaralhamento dinâmico, mistura, divisão, com inserções e eliminações de dados de lixo. No exemplo mostrado, o transporte de nuvem direciona a comunicação de entrada no nó do gateway SDNP Μο,ο para outros gateways, neste caso nós de gateway SDNP Mo,4 e Mo,8· [00868] O pacote de dados 1630H, que carrega a voz do chamador, ou seja, dados SDNP 1, sai do nó de gateway Mo,4 e é roteado usando o cabeçalho 1626H do nó de mídia em IP Mo,4 para o cliente 1600H no IP C7,i usando credenciais de segurança da zona U7. O cabeçalho 1626H foi fornecido ao cliente 1600A dentro do pacote de dados C&C 1627A antes de preparar o pacote de dados de mídia, conforme descrito na FIG. 76. Dessa forma, todo pacote de mídia que transporte dados em tempo real pode ser preparado sem demora quando o conteúdo estiver pronto para o transporte de dados. Em redes em tempo real, um QoS alto depende de roteamento oportuno de dados dinâmicos. Caso contrário, podem ocorrer atrasos de propagação inaceitavelmente longos.

[00869] Uma vez roteados através da nuvem SDNP, a carga útil SDNP de dados 1 é entregue aos participantes da teleconferência da zona U9, a saber, clientes SDNP 1600M e 1600L, do nó de mídia de gateway Mo,8 para os endereços IP de cliente IP Cç>,i e IP 69,4· Esses pacotes de dados de Última Milha 1630M e 1630L contêm cabeçalhos 1626M e 1626L que especificam as etiquetas de identificação de pacotes tag8 e tag9 usadas para

Petição 870190124250, de 27/11/2019, pág. 297/571

292/381 reconhecer conteúdo associados à mesma conversa, informações de preâmbulo 9 usadas para o transporte de instruções incorporadas SDNP, chaves, sementes, etc. e um campo de dados L4 usado para estipular o transporte de Camada 4 como UDP. Embora as instruções de roteamento de dados entregues pelo servidor de sinalização utilizem um protocolo de transporte TCP para garantir a precisão, o conteúdo do pacote de mídia representa dados em tempo real e, portanto, utiliza protocolos UDP de Camada 4 em vez de TCP.

[00870] A FIG. 77B ilustra a mesma conversa na qual ocorre o conteúdo do cliente 1600H da zona U7 - isto é, quando o cliente C?,i começa a falar. Para contrastar esses dados com o conteúdo de voz do cliente Ci,i, a carga útil é identificada em todos os pacotes de dados como dados SDNP 5. Além de uma carga útil única, a única mudança em relação ao esquema anterior é que os endereços IP de origem e destino da Ultima Milha para os pacotes de dados 1630H e 1630A são trocados. Especificamente, para o usuário da zona U7 SDNP o endereço IP de origem para o pacote de dados 1630H muda para IP C?,i e seu destino toma-se o endereço de gateway SDNP IP Mo,4· Para a zona UI, o endereço IP de destino do receptor para o pacote de dados 1630A muda para IP Ci,i, e seu endereço de origem toma-se o endereço de gateway SDNP IP Mo,o· Deve-se entender que vários participantes da teleconferência podem estar falando simultaneamente e que os pacotes de dados do nó de cliente SDNP Ci,i enviados aos outros participantes da chamada, incluindo o nó de cliente C?,i, podem ocorrer simultaneamente à resposta do nó de cliente C?,i ao nó do cliente Ci,i.

[00871] No nível de rede 3 de comunicação de Ultima Milha, não ocorrem colisões de dados com o tráfego no sentido oposto. Nas camadas 1 e 3 de enlace de dados e físico, contudo, a comunicação de Ultima Milha pode envolver multiplexação de tempo para evitar a disputa pelo mesmo enlace de comunicação. Entretanto, essa mediação ocorre com tal rapidez que a

Petição 870190124250, de 27/11/2019, pág. 298/571

293/381 comunicação provavelmente pareça ser totalmente duplex, sem atraso nos pacotes de voz. Note-se que, tanto na FIG. 77A quanto na FIG. 77B, o sentido do fluxo de dados mostrado para os clientes da zona U9 permanece inalterado, ou seja, os dados fluem da nuvem para o cliente. Na FIG. 77C, no entanto, o nó de cliente Cç,i da zona U9 começa a falar. Nesse caso, os nós de cliente C94, Ci,i e C?,i tomam-se destinatários da voz, ou seja, dados de voz SDNP 6.

[00872] Em uma modalidade alternativa mostrada na FIG. 78, uma chamada de grupo pode incluir uma mistura de chamadas SDNP para clientes SDNP e de chamadas fora para números de telefone normal. De uma forma semelhante à chamada ou comunicado mostrado na FIG. 77A, a voz transportada pelos dados SDNP 1 no pacote de dados 1630A é roteada pelo cabeçalho 1626A do chamador com endereço IP IP Ci,i para o gateway SDNP mais próximo que compreende o nó de mídia Μο,ο· O pacote de dados é re-enviado para o transporte de nuvem SDNP e enviado para os nós de mídia de gateway Mo,4 e Mo,8· [00873] No exemplo mostrado, o transporte de nuvem direciona a comunicação de entrada no nó de gateway SDNP Μο,ο para outros gateways, neste caso nós de gateway SDNP Mo,4 e Mo,8· O pacote de dados 1630H, que carrega a voz do chamador, ou seja, dados SDNP 1, sai do nó de gateway Mo,4 e é roteado usando o cabeçalho 1626H do nó de mídia em IP Mo,4 para o cliente 1600H no IP Ογ,ι usando credenciais de segurança da zona U7. A carga útil de dados SDNP 1 também é entregue aos participantes da teleconferência por meio do nó de mídia Mo,8· A comunicação de Ultima Milha desse gateway SDNP compreende dois tipos diferentes de conexões, especificamente uma conexão HyperSecure ao Cliente SDNP 1600M e uma conexão de “chamada fora” insegura para PSTN 1 que compreende um sistema telefônico convencional que não emprega VOIP ou protocolos de pacotes. O pacote de dados de Ultima Milha 1630M entregue ao cliente

Petição 870190124250, de 27/11/2019, pág. 299/571

294/381

SDNP da zona U9 no endereço “IP Cç>,i“ contém o cabeçalho 1626M, que especifica o identificador de pacotes de identificação tag 9 usado para reconhecer conteúdo associado à mesma conversa, informações de preâmbulo 9 usadas para transportar instruções incorporadas SDNP, chaves, sementes, etc. e um campo de dados L4 usado para estipular o transporte de Camada 4 como UDP.

[00874] O nó de gateway Mo,8 também envia um pacote IP 1635 para o PSTN 1 no endereço IP C?,9- Ao invés de carregar a carga útil que compreende os dados SDNP 1, neste caso a carga útil IP foi convertida em um pacote de som VoIP, que poderia ser interceptado por detecção de pacotes. O sistema de comutação telefônica, PSTN 1, então converte esse pacote IP inseguro em uma conexão de telefone POTS analógico para o telefone 37 mostrado pelos dados POTS 1636, que compreende o número de telefone que está sendo chamado seguido por uma conexão de circuito analógico contínua entre o telefone 37 e o PSTN 1. Como essa e quaisquer outras conexões de chamada fora não são HyperSecure, o conteúdo carregado pelo Ultimo Enlace da chamada fora está sob risco de hackeamento, escutas telefônicas e outras técnicas de vigilância. A menos que se implemente alguma estrutura hierárquica que defina os privilégios de acesso dos clientes, a segurança de toda a chamada é comprometida pelo elo mais fraco, o que significa que todos em uma chamada de grupo podem ouvir tudo.

[00875] Esse ponto é exemplificado na tabela mostrada na FIG. 79A, na qual uma chamada de grupo compreende participantes HyperSecure em nós de cliente de rede SDNP Ci,i, C?,i, Cç,i e C94, juntamente com os participantes nos números de telefone Ph #1 e Ph #2. Conforme mostrado, o cliente SDNP Ci,i é o hospedeiro do grupo, os clientes C74, Cç,i são participantes, o que significa que podem ouvir e falar, e o cliente SDNP C94 é um ouvinte, o que significa que pode ouvir a chamada, mas não pode falar ou ser ouvido pelos participantes. O participante no número de telefone de

Petição 870190124250, de 27/11/2019, pág. 300/571

295/381 chamada fora Ph #1 também é um participante capaz de ouvir e falar, enquanto o chamador do Ph #2 é autorizado apenas como um ouvinte” de chamada fora, não habilitado para falar na chamada de grupo. O hospedeiro do grupo prescreve esses privilégios de fala e de escuta, ou seja, a autorização do usuário, no momento em que a chamada é configurada.

[00876] Referindo-se novamente à tabela na coluna intitulada chamada regular, note que todos na chamada de grupo, ou seja, os chamadores aprovados pelo hospedeiro, têm a capacidade de ouvir a chamada. Os chamadores que tentarem invadir a chamada e não forem aprovados pelo hospedeiro não têm meios para se conectar ou forçar sua entrada na chamada nem mesmo a capacidade de determinar se uma chamada está acontecendo. Os mesmos métodos são aplicáveis aos bate-papos em grupo em que os participantes podem ler e escrever mensagens, mas os membros apenas de leitura só podem ler os comentários, mas não podem interpor seu próprio texto no bate-papo.

[00877] Usando autenticação e verificação de identidade para controlar o acesso à rede feito de acordo com esta divulgação, o sistema SDNP oferece recursos de privacidade não disponíveis em bate-papos em grupo e chamadas em grupo convencionais. Esse recurso é invocado ao se selecionar o modo privado, por exemplo, clicando-se em um símbolo de cadeado ou outro ícone de privacidade antes de enviar mensagens de texto ou de voz. Nesses casos, a comunicação é enviada apenas para clientes SDNP que sejam autenticados e não para clientes SDNP que ainda não confirmaram suas identidades através de autenticação e não para nenhum ouvinte de chamada fora ou participantes em dispositivos inseguros. Esse ponto é esclarecido na tabela acima mencionada na qual, em uma chamada privada na coluna rotulada “Cliente SDNP não autenticado”, todos os clientes de chamadas de grupo têm seu microfone e alto-falante silenciados, enquanto na coluna rotulada “Cliente SDNP autenticado”, todos os clientes SDNP podem ouvir, os participantes

Petição 870190124250, de 27/11/2019, pág. 301/571

296/381

Ci,i, C?,i e C₉,i também podem falar, mas todos os dispositivos de chamada fora têm seus microfones e alto-falantes silenciados, o que significa que apenas um cliente SDNP autenticado pode ouvir ou comentar em modo privado. Dessa forma, uma chamada de grupo com uma mistura de clientes SDNP de identidade assegurada, e com conexões de chamada fora com partes desconhecidas, podem participar mutuamente na parte pública de uma chamada, mas sem revelar informações confidenciais para os dispositivos de chamada fora. Os chamadores de chamada fora são removidos das discussões privadas bastando a qualquer participante SDNP clicar em seu ícone privado antes de falar ou enviar mensagens de texto. No final da discussão privada, o botão privado é liberado e eles são reconectados. Durante o tempo em que os chamadores de chamada fora estiverem desconectados, ou seja, essencialmente colocados em espera, o sistema SDNP pode tocar música de espera, ficar em silêncio ou tocar ruído branco (como som de mar ou de chuva).

[00878] Mensagens de texto em um grupo de bate-papo também podem ser gerenciadas da mesma maneira. Em um bate-papo em grupo normal, todas as mensagens de texto são enviadas para o aplicativo SDNP em dispositivos clientes SDNP e enviadas por mensagem de texto SMS para todos os membros do bate-papo de chamada fora. As mensagens de texto só podem ser enviadas pelos participantes. As mensagens de texto enviadas dos membros Ouvintes ou Somente leitura do bate-papo são ignoradas e não serão encaminhadas para o grupo de bate-papo. Se um participante clicar no ícone de cadeado ou de privacidade antes de enviar uma mensagem, a mensagem será enviada apenas para clientes SDNP e não para nenhum cliente de chamada fora. Para os clientes SDNP que receberem uma mensagem privada, se tiverem autenticado sua identidade, a mensagem ficará visível para leitura. Se não tiverem autenticado sua identidade, a mensagem será obscurecida, coberta, oculta ou representada por um ícone, por exemplo, um

Petição 870190124250, de 27/11/2019, pág. 302/571

297/381 cadeado, até que o leitor realize uma autenticação para confirmar sua identidade.

[00879] Ao combinar autenticação de identidade com privilégios de privacidade regulados pela autorização do sistema de rede SDNP, hackear o dispositivo é insuficiente para abrir um texto privado ou ouvir uma chamada privada, mesmo em bate-papos em grupo e chamadas em grupo. Não se pode garantir esse recurso confiando apenas em parâmetros de segurança do dispositivo - informações que podem ser hackeadas localmente. Os parâmetros do sistema são muito mais difíceis de enganar porque credenciais falsas de segurança e identidade não corresponderão aos registros do sistema e serão rejeitadas como clientes SDNP inválidos.

[00880] Pode-se acrescentar também um grau adicional de privacidade na execução de chamadas em grupo e bate-papos em grupo. Essa modalidade única da Ultima Milha HyperSecure descrita na tabela mostrada na FIG. 79B é mencionada aqui como uma chamada hiper-privada ou um bate-papo hiperprivado. A hiperprivacidade requer que um chamador ou mensagem esteja em conformidade com quatro critérios:

Todos os destinatários do comunicado na chamada de grupo devem ser um cliente SDNP, não um dispositivo de chamada fora,

A chamada ou texto deve ser selecionado a priori como um comunicado hiper-privado, seja uma chamada, texto, imagem, etc.

[00881] O destinatário do comunicado na chamada ou bate-papo de grupo deve ter autenticado sua conexão para garantir sua identidade

O destinatário de qualquer comunicado hiper-privado deve ser pré-selecionado como um participante privado ou ouvinte privado.

[00882] Embora os três primeiros critérios sejam essencialmente os mesmos que os do exemplo acima mencionado de partes privadas em uma chamada de grupo, o quarto critério, a exigência de que qualquer chamador elegível para receber chamadas ou texto hiper-privados deve ser inserido em

Petição 870190124250, de 27/11/2019, pág. 303/571

298/381 uma lista de clientes pré-definida como um cliente SDNP privado, é única e limita ainda mais o acesso a informações sensíveis. Por exemplo, conforme mostrado em forma tabular, os clientes participantes SDNP Ci,i e C?,i e o cliente SDNP ouvinte C94 são todos designados como partes privadas na chamada de grupo. Em contraste, o cliente SDNP Cç>,i é designado apenas como participante, mas não como participante privado. Por definição, nenhum participante ou ouvinte da chamada pode ser registrado como uma parte privada.

[00883] Como no exemplo anterior, durante uma chamada regular, todos os participantes, ou seja, os clientes SDNP Ci,i, C74 e Cç,i e o participante de chamada fora Ph #1, podem ouvir todas as conversas e ler todas as mensagens de texto, bem como falar ou enviar texto a qualquer momento, enquanto os ouvintes, composto por clientes C93 e Ph #2, podem ouvir todas as conversas e ver textos, mas não podem falar ou enviar mensagens na chamada ou bate-papo de grupo. Contudo, em uma chamada hiper-privada, a seleção de um interruptor ou ícone para designar um comunicado hiper-privado automaticamente bloqueia não apenas todas as partes não autenticadas na chamada ou bate-papo de grupo, mas também desativa qualquer outra parte que não as partes privadas. Isso também desativa todas as conexões de chamada fora e todos os usuários não autenticados. Assim, em operação, quando qualquer participante privado selecionar o ícone da privacidade, apenas os participantes privados (incluindo o hospedeiro do grupo privado), podem ver, ler, conversar ou enviar mensagens para o grupo. Todas as outras partes têm seus microfones e altofalantes silenciados e também não conseguem receber ou enviar textos ou anexos para o grupo. Especificamente, em modo hiper-privado, uma vez autenticados, apenas os clientes Ci,i, e C?,i podem ouvir e falar, bem como ler e enviar texto, ao passo que o cliente privado C94 só pode ouvir uma conversa ou ler texto do grupo.

Petição 870190124250, de 27/11/2019, pág. 304/571

299/381 [00884] Com os recursos de controle de roteamento de Ultima Milha acima, as chamadas em grupo e os bate-papos em grupo podem ser gerenciados de inúmeras maneiras. Por exemplo, o hospedeiro da chamada de grupo pode determinar quem pode participar da chamada ou do grupo, quem pode falar e enviar mensagens de texto e quem só pode ouvir e ler. Em uma chamada privada padrão, a seleção do modo privado permite que todos os clientes SDNP, uma vez autenticados, se envolvam em comunicados com os mesmos privilégios que tinham durante a comunicação padrão em grupo não privado. No modo hiper-privado, apenas os clientes SDNP definidos como participantes privados e ouvintes privados podem se comunicar durante a operação de modo hiper-privado.

[00885] A seleção de quem está qualificado para fazer parte de um comunicado hiper-privado, ou seja, quem está identificado como um participante ou ouvinte privado e quem não está pode ser estabelecida de diversas maneiras. Na comunicação ad hoc do grupo hiper-privado, o hospedeiro do grupo decide quem é um chamador privado e quem não é. Na comunicação de grupo hiper-privada definida pelo sistema SDNP, o operador de rede SDNP decide antecipadamente quem é chamador privado e quem não é. Na comunicação de grupo hiper-privada baseada em regras, a rede SDNP definiu regras para determinar quem é elegível para ser um chamador privado e quem não é. Essas regras podem basear-se numa lista de empregos da empresa, por exemplo, na qual apenas o vice-presidente e acima podem participar numa chamada hiper-privada. Em organizações governamentais e de segurança, os critérios podem ser definidos por autorização de segurança nacional, número de passaporte, número de crachá da polícia, etc. Os métodos de comunicação de Ultima Milha habilitados por SDNP definidos aqui podem apoiar qualquer um desses cenários exemplares, ou empregar quaisquer outros critérios para dividir uma população em dois grupos, estabelecendo assim os que têm acesso de comunicado hiper-privado

Petição 870190124250, de 27/11/2019, pág. 305/571

300/381 e os que não o têm.

[00886] Embora se possa estender o conceito a mais de um grupo, os critérios hierárquicos de acesso são geralmente mais aplicáveis aos sistemas de comunicação profissional baseados em controladores do que à telefonia. Portanto, a aplicação de métodos SDNP para comunicações profissionais não será abordada nesta aplicação.

[00887] Um desafio para as chamadas de grupo é o problema de todos tentarem falar ao mesmo tempo. A sobreposição da fala é confusa, difícil de ouvir e também pode resultar em estática indesejada. Essa questão pode ser sanada usando-se o recurso de apertar-para-falar (PTT), uma função que emula um walkie-talkie ou um rádio CB (faixa do cidadão). Na operação apertar-para-falar, apenas um participante pode falar de cada vez. Quando um participante desejar falar, apertar um interruptor silencia todos os outros nos microfones da rede, colocando todas as outras partes da chamada de grupo em um modo de apenas ouvir. Conforme mostrado na tabela da FIG. 80A, em uma conversa PTT regular, quando o hospedeiro aperta o botão PTT, conforme mostrado na coluna rotulada PTT Hospedeiro, ele tem prioridade sobre a chamada de grupo e suplanta todos os outros chamadores, mesmo aqueles que apertaram seu botão de conversa. Todos os outros chamadores, incluindo as conexões telefônicas de chamada fora, automaticamente têm seus microfones silenciados e se tomam apenas ouvintes. Contanto que o hospedeiro não aperte o botão PPT deles, então conforme mostrado na coluna rotulada PTT outros, a capacidade PTT é entregue a qualquer outro participante SDNP pelo método de primeiro a chegar, primeiro a ser servido. Os nós SDNP designados como ouvintes e dispositivos de chamada fora como C9.4 e Ph #1 podem ouvir a conversa PTT, mas têm seus microfones silenciados durante toda a chamada de grupo.

[00888] Usando a capacidade de Ultima Milha SDNP para identificar os chamadores que autenticaram sua identidade na rede, pode-se estender o

Petição 870190124250, de 27/11/2019, pág. 306/571

301/381 recurso PTT a funções privadas de apertar-para-falar. Sempre que o recurso ou ícone de privacidade for selecionado, todas as partes não autenticadas são removidas da chamada de grupo, silenciando seus alto-falantes e microfones. As conexões de chamada fora, por definição, não podem ser autenticadas e, portanto, são silenciadas também. O silenciar é bidirecional, impedindo que as partes excluídas ouçam a conversa, mas também desconectando os microfones do participante excluído. Para as partes que forem autenticadas, a operação prossegue do mesmo modo que um PTT regular, no qual o hospedeiro tem prioridade para falar e, de outra forma, qualquer participante autenticado pode invocar o recurso de conversa PTT pelo método de primeiro a chegar, primeiro a ser servido.

[00889] A tabela na FIG. 80B ilustra o conceito de uma chamada de grupo hiper-privada poder ser estendida à função PTT. Em operação regular, a funcionalidade PTT é idêntica ao caso previamente descrito. Mas no modo hiper-privado, apenas as partes autenticadas que foram previamente designadas como participantes privados ou ouvintes privados podem se envolver em conversas hiper-privadas. Por exemplo, no modo hiper-privado, os clientes SDNP Cç,i e Cç>,5 são impedidos de falar ou ouvir porque não foram listados anteriormente como participantes ou ouvintes privados. Da mesma forma, todos os dispositivos conectados de chamada fora são silenciados durante a operação de modo hiper-privado. Dessa forma, o acesso às múltiplas partes em uma chamada de grupo PTT pode ser explicitamente controlado. Silenciar é o processo de impedir alguns participantes (p. ex., os ouvintes de chamada fora) de receberem pacotes de dados que carregam o som da conversa enquanto continua a fornecer os pacotes de dados para os participantes que não forem silenciados. Nesse método divulgado, pacotes de dados são enviados individualmente a todos os participantes em conversa normal e apenas para um subconjunto da lista quando o silenciamento for ativado pelo usuário do cliente.

Petição 870190124250, de 27/11/2019, pág. 307/571

302/381 [00890] Em uma modalidade alternativa, pacotes de dados são enviados em modo de transmissão para todos os participantes na chamada de grupo, mas usando diferentes métodos de encriptação. No caso das teleconferências normais, os pacotes de dados são enviados para todos os usuários usando uma encriptação na qual todos os participantes têm uma cópia da chave de desencriptação. No modo privado ou modo silenciado, os pacotes de dados transmitidos para o usuários utilizam uma encriptação diferente, na qual apenas usuários selecionados compartilham a chave de desencriptação. Os que tiverem a chave conseguem participar na chamada, e os que não a tiverem são excluídos. A vantagem de usar um pacote de transmissão é que ele requer menos largura de banda para comunicação de Ultima Milha do que o envio de pacotes exige. Em uma outra modalidade, um único pacote é enviado para o gateway, e o servidor de sinalização clona o pacote para distribuição a todos os participantes no modo de chamada normal e para chamadores selecionados em modo privado ou silenciado.

[00891] Armazenamento HyperSecure de Arquivos - Embora a rede e protocolo de comunicação dinâmica segura tenha sido inventada e desenvolvida como um sistema de comunicação HyperSecure para telefonia e transporte de dados em tempo real, os mecanismos de segurança intrínsecos à rede e protocolo SDNP a tomam perfeitamente adequada para armazenamento HyperSecure de arquivos e dados. Em sua descrição mais simples, se uma chamada HyperSecure envolver o transporte de dados fragmentados anônimos de dados embaralhados e encriptados de um chamador para outro, ou seja, comunicação de ponta a ponta de um cliente SDNP para outro cliente SDNP, então o armazenamento HyperSecure de arquivos e dados pode ser imaginado como uma comunicação que é interrompida no meio do caminho e armazenada em um buffer indefinidamente até que seja recuperada. Outro nome para armazenamento distribuído HyperSecure de arquivos é Armazenamento Desagregado de

Petição 870190124250, de 27/11/2019, pág. 308/571

303 /381

Dados.

[00892] Essa descrição simplificada, de que o armazenamento é uma comunicação que é interrompida no meio da entrega do pacote, é tecnicamente mais exata do que pode parecer de início. No acima citado Pedido de Patente dos EUA n° 14/803.869, o armazenamento temporário de pacotes de dados em buffers até que outros pacotes cheguem foi explicitamente divulgado e operacionalmente descrito. Embora o buffer dentro dos nós da nuvem SDNP ocorra em uma escala de milissegundos em vez de meses, o sistema SDNP tem a capacidade de esperar ou reter dados sem perder as informações armazenadas para recuperar o conteúdo original. E claro que essa implementação simplificada carece de certos recursos necessários para a gestão de arquivos de longo prazo, como diretórios, menus, reciclagem de arquivos, atualização de credenciais de segurança e outros recursos desse tipo.

[00893] Um exemplo do transporte de dados de um cliente para uma rede de armazenamento fragmentado de dados é mostrado na FIG. 81. Conforme mostrado, o cliente SDNP 1700A com um endereço IP Ci,i transporta uma série de pacotes de dados através da nuvem SDNP para os servidores de armazenamento de arquivos SDNP 1700H, 1700M e 1700L com respectivos endereços IP Εγ,ι, IP Fgj e IP Fçq. Em operação, o nó de cliente Ci,i envia uma série de pacotes de dados 1730X com cabeçalhos correspondentes 1726X do endereço IP Ci,i para o gateway SDNP Mo,o· Os pacotes de dados 1730X são exemplificados por pacotes de dados 1730H, 1730L e 1730M com cabeçalhos correspondentes 1726H, 1726L e 1726M. Para garantir a precisão, o transporte de Camada 4 usa TCP em vez de UDP. Os pacotes incluem um CEP SDNP ou outra etiqueta X de ID rotulada usada para identificá-los para roteamento, no caso dos pacotes de dados 1730H, 1730L e 1730M, etiqueta 1, etiqueta 2 e etiqueta 3. A parte de carga útil de cada pacote carrega dados únicos, por exemplo, em um arquivo fragmentado

Petição 870190124250, de 27/11/2019, pág. 309/571

304/381 de três partes, arquivo SDNP 1, arquivo SDNP 2 e arquivo SDNP 3. As credenciais de segurança nessa Ultima Milha usam informações de zona Ul com um preâmbulo correspondente 1.

[00894] Uma vez que entram na nuvem SDNP, os pacotes de dados são roteados para destinos diferentes de acordo com sua identidade e as instruções de um servidor de sinalização (não mostrado). O pacote de dados 1730H com cabeçalho 1626H e etiqueta 1 que carrega o arquivo SDNP 1 é roteado para o nó de gateway SDNP Mo,4· O nó de gateway SDNP Mo,4 então roteia o pacote 1730H para o nó de armazenamento de arquivos F?,i usando credenciais de segurança para a zona U7. Enquanto isso, o pacote 1730L com sua identificação como etiqueta 2 carregando o arquivo SDNP 2 é roteado de forma independente para o nó de gateway SDNP Mo,8· O nó de gateway SDNP Mo,8 então roteia o pacote 1730L para o nó de armazenamento de arquivos F9.4 usando credenciais de segurança para a zona U9.

[00895] Quase concomitantemente, o pacote 1730M com seu ID como etiqueta 3 carregando o arquivo SDNP 3 também é roteado de forma independente para o nó de gateway SDNP Mo,8, não necessariamente usando o mesmo trajeto de roteamento em malha como pacote de dados 1730L com um ID de etiqueta 2. O nó de gateway SDNP Mo,8 também roteia o pacote 1730M com etiqueta 3 para o nó de armazenamento de arquivo Fç>,i também usando credenciais de segurança para a zona U9.

[00896] Dessa forma, o arquivo SDNP 1 é entregue ao nó de armazenamento de arquivos F?,i usando credenciais de segurança para a zona U7, enquanto o arquivo SDNP 2 e o arquivo SDNP 3 são entregues para os nós de armazenamento de arquivos F94 Fçj, respectivamente, com ambos usando credenciais de segurança para a zona 9. Embora os arquivos sejam de propriedade do nó de cliente Ci,i, o cliente não tem acesso às credenciais de segurança usadas para codificar e proteger o conteúdo dos arquivos. Como nenhum nó de armazenamento de arquivos contém todos os dados e como o

Petição 870190124250, de 27/11/2019, pág. 310/571

305 /381 cliente que possui os dados não tem acesso às credenciais de segurança usadas para armazenar os dados, é difícil para um hacker roubar o conteúdo dos arquivos porque (i) eles são fragmentados em pedaços incongruentes e inutilizáveis, (ii) todos os arquivos usam diferentes credenciais de segurança para embaralhar e encriptar os dados, (iii) eles são armazenados em locais diferentes e em diferentes redes de Ultima Milha e (iv) não há nenhuma maneira de saber se os vários dados armazenados vêm do mesmo arquivo de origem SDNP. As zonas que contêm os servidores de armazenamento de arquivos também podem ser mencionadas como zonas do lado de armazenamento para distingui-las da zona onde se localiza o proprietário do arquivo, ou seja, em lados opostos da nuvem SDNP. Por essa definição, a zona UI é a zona do cliente SDNP, também conhecida como zona do proprietário do arquivo, enquanto as zonas U7 e U9 são zonas do lado do armazenamento.

[00897] A aplicação dos protocolos de comunicação de rede SDNP no armazenamento de arquivos é ilustrada ainda mais no fluxograma da FIG. 82A, que ilustra a operação de escrita, as etapas gerais em que um cliente SDNP e proprietário do arquivo armazena, ou seja, escreve seus dados em servidores HyperSecure de armazenamento de arquivos. Conforme mostrado, o cliente SDNP 1700A divide o arquivo não separado 1705 usando a operação SDNP 1057 e a função de separação 1052 para produzir um arquivo ou documento de múltiplas partes; no exemplo mostrado, um arquivo de três partes composto pelos arquivos separados 1706A, 1706B e 1706C. Opcionalmente, o conteúdo do arquivo pode ser embaralhado antes de ser dividido. Esses três arquivos são então transportados através da rede SDNP como dados ou comunicados não relacionados. As etapas envolvidas em seu roteamento através da rede SDNP para seus destinos finais utilizam os mesmos métodos aqui divulgados para comunicação HyperSecure da Ultima Milha e descritos anteriormente para roteamento em malha na nuvem SDNP.

Petição 870190124250, de 27/11/2019, pág. 311/571

306/381

Especificamente, o transporte HyperSecure da Última Milha 1707 usa credenciais de segurança de acordo com a Zona Ul. O transporte HyperSecure de malha 1708 na nuvem SDNP emprega credenciais de segurança da zona Zl. Embora essas operações de transporte de dados HyperSecure sejam representadas como grandes blocos, o transporte de pacotes na verdade ocorre em uma rede de roteadores, servidores e softswitches, conforme descrito nesta divulgação, usando um sistema distribuído sem chave mestra, sem controle central e sem acesso ao conteúdo do pacote.

[00898] Embora o roteamento da Última Milha da zona Ul possa envolver o envio dos pacotes de dados sobre uma infraestrutura que envolve um número limitado de opções de roteamento, os métodos descritos para comunicação HyperSecure da Última Milha, incluindo o roteamento de último enlace de múltiplos PHY, o roteamento de pacotes sequenciais para múltiplos gateways SDNP e o uso de endereço dinâmico de origem, ou seja, alterar o nome do endereço IP do cliente, são igualmente aplicáveis às operações de armazenamento HyperSecure de arquivos. Uma vez que os pacotes de dados alcançarem a nuvem SDNP, seu transporte utiliza roteamento anônimo em malha com dados encriptados embaralhados dinamicamente que impedem o monitoramento do conteúdo do arquivo ou até mesmo dos metadados associados à comunicação. Em última análise, todos os três pacotes de dados chegam a diferentes servidores de armazenamento de arquivos SDNP 1700H, 1700M e 1700L com os respectivos nomes de nó SDNP Εγ,ι, F9,i e Fç>,4 localizados em diferentes zonas de segurança. Após o transporte de rede, o arquivo 1 separado é processado de acordo com a operação de segurança de arquivos 1709A da zona U7 e armazenado no nó de armazenamento de arquivos SDNP Ργ,ι. Os arquivos separados 2 e 3 são processados de acordo com as operações de segurança de arquivos 1709B e 1709C da zona U9 e armazenados nos nós de armazenamento de arquivos

Petição 870190124250, de 27/11/2019, pág. 312/571

307/381

SDNP Fç>,i e F94. Dessa forma, nenhum arquivo contém todos os dados, e nenhuma credencial de segurança pode desbloquear todos os arquivos componentes para recriar o original.

[00899] Na operação de leitura de um arquivo armazenado HyperSecure mostrado na FIG. 82B, inverte-se a sequência de transferências de dados entre os servidores de armazenamento de arquivos e o cliente SDNP, ou seja, o proprietário do arquivo. A leitura de um arquivo HyperSecure envolve desfazer o processo pelo qual o arquivo foi originalmente salvo em ordem inversa envolvendo (i) identificar os arquivos separados em cada servidor de armazenamento, (ii) remover as disposições locais de segurança de armazenamento de cada arquivo separado (iii) transportar cada arquivo separado recuperado de volta para o cliente SDNP através da nuvem SDNP e Ultima Milha HyperSecure, (iv) coletar os arquivos separados dos vários comunicados relacionados, e (v) fundir (desfazer a divisão) e, conforme aplicável, desembaralhar os arquivos separados usando as credenciais de segurança locais do cliente para recuperar o arquivo original.

[00900] Para detalhar ainda mais a “operação de leitura” do arquivo HyperSecure descrita, o conteúdo relevante do servidor de armazenamento de arquivos 1700H salvo no nó de armazenamento de arquivos F74 é processado usando-se as operações de segurança de arquivos 1709A da Zona U7 para recuperar o arquivo separado 1. Independentemente dos arquivos separados 2 ou 3, o arquivo separado 1 é comunicado de volta ao nó de cliente SDNP Ci,i usando-se a nuvem SDNP mostrada de forma simplificada pela operação de transporte HyperSecure 1708 usando as credenciais de segurança da zona Z1 e então pela operação de transporte de Ultima Milha HyperSecure 1707 da zona U1. Simultaneamente, o conteúdo relevante do servidor de armazenamento de arquivos 1700M salvo no nó de armazenamento de arquivos F94 é processado usando-se as operações de segurança de arquivos 1709B da Zona U9 para recuperar o arquivo separado 2. Independentemente

Petição 870190124250, de 27/11/2019, pág. 313/571

308/381 dos arquivos separados 1 ou 3, o arquivo separado 2 é comunicado de volta ao nó de cliente SDNP Ci,i usando-se a nuvem SDNP mostrada de forma simplificada pela operação de transporte HyperSecure 1708 usando as credenciais de segurança da zona Z1 e então pela operação de transporte de Ultima Milha HyperSecure 1707 da zona Ul. Nesse ínterim, o conteúdo relevante do servidor de armazenamento de arquivos 1700L salvo no nó de armazenamento de arquivos Fç>,4 é processado usando-se as operações de segurança de arquivos 1709C da Zona U9 para recuperar o arquivo separado

3. Independentemente dos arquivos separados 1 ou 2, o arquivo separado 3 é comunicado de volta ao nó de cliente SDNP Ci,i usando-se a nuvem SDNP mostrada de forma simplificada pela operação de transporte HyperSecure 1708 usando as credenciais de segurança da zona Z1 e então pela operação de transporte de Ultima Milha HyperSecure 1707 da zona Ul.

[00901] O roteamento independente de pacotes dos três arquivos constituintes separados durante a operação de leitura é exemplificado na FIG. 83, na qual o nó de servidor 1700H envia o pacote de dados 1731H que carrega o arquivo SDNP 1 e com etiqueta 7 de ID usando o transporte TCP do endereço de armazenamento de arquivos IP F?,i para o servidor de gateway SDNP no endereço IP Mo,4. O pacote 1731H inclui o cabeçalho 1727H contendo o preâmbulo 7 e outras informações que na comunicação tricanal foram fornecidos anteriormente em um pacote de comando e controle entregue pelo servidor de sinalização.

[00902] Enquanto isso, o nó de servidor 1700L envia o pacote de dados 1731L, que carrega o arquivo SDNP 2 e com etiqueta 9 de ID usando o transporte TCP do endereço de armazenamento de arquivos IP F9.4 para o servidor de gateway SDNP no endereço IP Mo,8· O pacote 1731L inclui o cabeçalho 1727L contendo o preâmbulo 9 e outras informações que na comunicação tricanal foram fornecidos anteriormente em um pacote de comando e controle entregue pelo servidor de sinalização. De forma

Petição 870190124250, de 27/11/2019, pág. 314/571

309/381 independente e simultânea, o nó de servidor 1700M envia o pacote de dados 1731M, que carrega o arquivo SDNP 3 e com etiqueta 8 de ID usando o transporte TCP do endereço de armazenamento de arquivos IP F₉,i para o servidor de gateway SDNP no endereço IP Mo,8.

[00903] O pacote 1731M inclui o cabeçalho 1727M, que contém o preâmbulo 9 e outras informações fornecidas previamente na comunicação tricanal usando um pacote de comando e controle entregue pelo servidor de sinalização. Os três pacotes de dados 1731H, 1731L e 1731M atravessam a nuvem SDNP usando credenciais de segurança da zona Z1 até finalmente saírem do gateway SDNP Mo,o hospedado pelo servidor de nuvem SDNP 1701U, no qual os pacotes de dados são sequencialmente enviados por sucessivos pacotes de dados 173IX usando os cabeçalhos de zona correspondente 1727X e credenciais de segurança da zona UI para o dispositivo cliente 1700A no endereço IP Ci,i.

[00904] Referindo-se novamente à FIG. 82B, após os três arquivos separados 1, 2 e 3, a saber, 1706A, 1706B e 1706C serem entregues ao dispositivo cliente SDNP 1700A usando roteamento independente, eles são fundidos em um único arquivo não separado 1705 usando a operação de mistura 1061 e, conforme aplicável, seguido por uma operação de desembaralhamento (não mostrada) realizada de acordo com as credenciais de segurança da zona U1.

[00905] Em vez de adicionar operações extras de servidor de arquivos para proteger dados armazenados, as operações de segurança 1709A, 1709B e 1709C na verdade compreendem comunicação HyperSecure de Ultima Milha entre a nuvem SDNP e os servidores de armazenamento correspondentes 1700H, 1700M e 1700L. Como um artefato da conectividade de rede de Camada 3 usando o protocolo de comunicação SDNP, o armazenamento de arquivos SDNP é intrinsecamente HyperSecure, compreendendo dados embaralhados, fragmentados e encriptados armazenados em unidades de

Petição 870190124250, de 27/11/2019, pág. 315/571

310/381 dados não voláteis distribuídos, incluindo o uso de métodos de engano de dados como inserções de dados de lixo e arquivos de lixo. Além dos métodos de segurança de dados anteriores, o armazenamento HyperSecure, conforme divulgado aqui, utiliza nomes de arquivos anônimos que carecem de metadados significativos, rastreabilidade do proprietário do arquivo, roteamento pelo qual o arquivo foi entregue ou a identidade de qualquer outro servidor de armazenamento de arquivos que detenha componentes ausentes do arquivo de origem original.

[00906] Apesar da interoperabilidade na rede SDNP, a realização física dos servidores de armazenamento, ou seja, sua implementação de PHY de Camada 1 e transporte de Camada 2, os protocolos podem variar substancialmente sem afetar a funcionalidade de armazenamento, tempos de acesso ou acessibilidade global. A FIG. 84A ilustra, como exemplo, a realização física de servidores de armazenamento de arquivos SDNP, incluindo o desenho superior, que mostra o gateway SDNP 1701B conectado ao servidor de armazenamento de arquivos SDNP 1740A via roteador 27. Para maior desempenho da rede e maior resiliência ao ataque, a ilustração do meio mostra uma conexão direta entre o gateway SDNP 1701B e o servidor de armazenamento de arquivos SDNP 1740A usando fibra óptica 91 sem nenhum roteador interveniente. Conforme mostrado no exemplo inferior, o servidor de armazenamento de arquivos pode incluir uma matriz de memória maior com um controlador de servidor 1740B e as unidades de armazenamento 1740C e 1740D. As unidades podem incluir qualquer mídia, incluindo memória não volátil baseada em flash drive ou unidade de disco rígido. Para limitar ainda mais o acesso, o servidor de armazenamento de arquivos SDNP e o gateway SDNP podem estar fisicamente localizados no mesmo local e instalação com apenas um enlace de fibra conectando-os. Eles podem até compartilhar uma sala comum, por exemplo, fisicamente trancados em uma sala-cofre, com controle de acesso estritamente gerenciado e

Petição 870190124250, de 27/11/2019, pág. 316/571

311/381 monitoramento de vigilância de qualquer pessoa que entrar na instalação.

[00907] A FIG. 84B ilustra ainda mais que alguma parte do arquivo de dados fragmentados pode ser armazenada localmente no local do proprietário do arquivo. Conforme mostrado, o desktop 36 do proprietário do arquivo pode armazenar um arquivo distribuído entre vários dispositivos, incluindo (i) servidor de armazenamento local de arquivos 1740A acessado através do roteador Wi-Fi 1352, que está conectado ao nó de gateway SDNP Mo,o no servidor 1701 A, (ii) servidor de armazenamento de arquivos 1740B conectado ao nó de gateway SDNP Mo,4, e (iii) servidor de armazenamento de arquivos 1740C conectado ao nó de gateway SDNP Mo,8· Como os dados são fragmentados ao serem salvos em unidades distribuídas 1740A, 1740B e 1740C, outros dispositivos, incluindo o notebook 35, o tablet 33 e o telefone celular 29, não têm acesso ao arquivo salvo, embora o servidor de arquivos local 1740A e o desktop do proprietário do arquivo 36 compartilhem o mesmo Wi-Fi 1352.

[00908] O processo de armazenamento de cada parte separada de um arquivo exclusivamente em servidores de armazenamento de arquivos separados, mencionados no mapeamento de arquivos HyperSecure não redundante, é ilustrado na FIG. 85A. Conforme mostrado, o dispositivo cliente 1700A, que compreende o nó de cliente SDNP Ci,i armazena o arquivo separado 1706A exclusivamente no servidor de armazenamento de arquivos 1700H, o arquivo separado 1706B exclusivamente no servidor de armazenamento de arquivos 1700M, e o arquivo separado 1706C exclusivamente no servidor de armazenamento de arquivos 1700L, correspondentes a um mapeamento de arquivos um-para-um entre os arquivos separados 1, 2 e 3 com os nós de armazenamento Ργ,ι, Fç,i e Fç,4, respectivamente. A entrega dos arquivos utiliza comunicação HyperSecure da Ultima Milha, protegendo a transferência dos dados, bem como seu armazenamento. Uma desvantagem do mapeamento de arquivos não

Petição 870190124250, de 27/11/2019, pág. 317/571

312/381 redundante é que a perda de qualquer um dos servidores de armazenamento de arquivos, temporária ou permanentemente, põe em risco o acesso ao arquivo e sua recuperação. No contexto desta aplicação, utilizam-se os termos resiliência e resiliente para definir acesso garantido e oportuno aos dados armazenados, ou seja, a confiança de que os dados armazenados não sejam perdidos ou seu acesso seja prejudicado por uma duração substancial. Nesse sentido, o mapeamento de arquivos HyperSecure não redundante mostrado exibe baixa resiliência porque uma falha de um único ponto impede o acesso ao arquivo. Pode-se superar a má resiliência com um sistema redundante, no qual os mesmos dados são salvos em mais de um servidor de armazenamento de arquivos.

[00909] Outra métrica que descreve ou avalia a resiliência do sistema de armazenamento de dados é uma métrica definida aqui como fator de redundância de leitura (RRF), termo esse que define o número de sistemas de backup que fornecem acesso de dados caso o armazenamento de dados primário não esteja disponível. No exemplo mostrado, há um local para cada porção única de dados. Isso resulta em um fator de redundância de leitura de zero ou, matematicamente, RRF = 0, o que significa que a falha de uma conexão de um único ponto ou do servidor de arquivos pode resultar em perda temporária ou permanente de dados porque o arquivo não pode ser lido pelo proprietário do arquivo.

[00910] Um mapeamento alternativo de arquivos com um fator de redundância de leitura de RRF = 1 é mostrado na FIG. 85B. Nesse exemplo, o arquivo 1 separado é armazenado nos nós de servidor de armazenamento de arquivos F94 e Ργ,ι, o arquivo 2 separado é armazenado nos nós de servidor de armazenamento de arquivos Fy eFjj, e o arquivo 3 separado é armazenado nos nós de servidor de armazenamento de arquivos F9.4 e F9 ,1. Em tal implementação, se o nó de servidor de armazenamento de arquivos Fçj ficou prejudicado ou indisponível, o arquivo 3 separado ainda pode ser acessado a

Petição 870190124250, de 27/11/2019, pág. 318/571

313/381 partir do nó de servidor de armazenamento de arquivos F94 e o arquivo 2 separado ainda pode ser acessado a partir do nó de servidor de armazenamento de arquivos Εγ,ι. Como tal, qualquer falha do nó de armazenamento único não impedirá o acesso de leitura ao arquivo HyperSecure. A FIG. 85C ilustra o mapeamento de Arquivo HyperSecure com um RRF = 2. O mapeamento de arquivos retém os servidores de armazenamento de arquivos 1700L, 1700M e 1700H mas adiciona um segundo conjunto de servidores de armazenamento de arquivos 1700J, 1700E e 1700F para realizar os nós de servidor de armazenamento de arquivos Fs,2, F44 e Fô,8, respectivamente. Como tal, o servidor de armazenamento de arquivos 1700J atua como um backup para o servidor de armazenamento de arquivos 1700L, o servidor de armazenamento de arquivos 1700E atua como um backup para o servidor de armazenamento de arquivos 1700M e o servidor de armazenamento de arquivos 1700F atua como um backup para o servidor de armazenamento de arquivos 1700H. Embora os exemplos mostrados incluam um arquivo separado em 3 seções, entende-se que um documento possa ser separado em um número maior de seções, se assim desejado. Para garantir o armazenamento HyperSecure, o arquivo original nunca deve ser separado em menos de duas e, idealmente, em não menos do que três seções.

[00911] Para ilustrar o processo pelo qual arquivos redundantes são armazenados e lidos usando o armazenamento de arquivos HyperSecure, é benéfico ilustrar a sequência transacional de comunicados e funções de transferência de arquivos sobrepostas à rede SDNP usada para facilitar o processo de armazenamento. A rede mostrada na FIG. 86, por exemplo, inclui o dispositivo cliente 1700A, que implementa o nó de cliente Ci,i, o roteador 1702G, o servidor de sinalização 1715, que implementa o nó SDNP S, o servidor de nomes 1714, que implementa o nó SDNP NS, os servidores de nuvem 1701U, que implementam os nós de nuvem SDNP Mo,o, Mo,4 e Mo,8,

Petição 870190124250, de 27/11/2019, pág. 319/571

314/381 e os servidores de armazenamento de arquivos SDNP 1700H, 1700L e 1700M, que realizam os nós de armazenamento de arquivos SDNP F74, F94 e F94, respectivamente.

[00912] Na FIG. 87A, o dispositivo cliente 1700A no endereço IP Ci,i faz uma solicitação de escrever arquivo para o servidor de sinalização 1715 no endereço IP S” por meio do pacote de dados 1710A, que inclui a carga útil C&C 1711 A, que por sua vez compreende uma descrição do tamanho do arquivo e nível solicitado de segurança e redundância. Na FIG. 87B, o servidor de sinalização 1715 envia o pacote de dados 1710B para o servidor de nomes 1714 solicitando os endereços IP ou SDNP dos nós do servidor de armazenamento de arquivos F74, F94 e F94. A seleção dos nós do servidor de endereço de arquivos a serem usados pode ser feita aleatoriamente a partir de uma lista de nós de armazenamento, ou selecionadas com base geográfica em um nó disponível perto do cliente ou naqueles em regiões livres de desastres. A seleção também pode ser baseada em um parâmetro de desempenho, como capacidade de memória não utilizada do nó, tempo de propagação para o nó de armazenamento de arquivos, classificação de confiabilidade de tempo de atividade do nó ou outras considerações. Na FIG. 87C, o servidor de nomes 1714 envia ao servidor de sinalização 1715 o pacote de dados 1710C, que contém os endereços IP ou SDNP dos nós do servidor de armazenamento de arquivos F74, F94 e F94. O servidor de sinalização 1715 então calcula a Ultima Milha e entrega da nuvem em malha dos arquivos separados para os servidores de armazenamento de arquivos 1700H, 1700L e 1700M.

[00913] Na FIG. 87D, o servidor de sinalização 1715 envia o pacote de dados 1710D para o dispositivo cliente 1700A, sendo o pacote roteado do endereço IP S para IP Ci,i através do roteador 1702G. O pacote de dados 1711D contém a carga útil C&C 1711 D, que contém o roteamento de Ultima Milha para a transferência iminente de arquivo na zona U1, a zona do cliente,

Petição 870190124250, de 27/11/2019, pág. 320/571

315/381 especificamente roteando múltiplos pacotes de endereço IP Ci,i para o gateway SDNP em IP Μο,ο com identificação de etiqueta 1, etiqueta 2 e etiqueta 3 de cada pacote (rotuladas como etiqueta X para simplificar). Simultaneamente, o servidor de sinalização 1715 também envia o pacote de dados 1710E para o gateway SDNP 1701U, o pacote que está sendo roteado do endereço IP S para IP Μο,ο· Este pacote inclui a carga útil C&C 1711E, que mostra o roteamento de nuvem SDNP usando credenciais de segurança da zona Z1 para um pacote com etiqueta de ID X, neste caso do endereço de gateway SDNP Μο,ο para o próximo nó na nuvem, por exemplo, no endereço SDNP Mo,5 (não mostrado). De acordo com a Rede e Protocolo de Comunicação Dinâmica Segura, o roteamento de pacotes de dados em toda a nuvem SDNP usando transporte fragmentado anônimo de malha é selecionado dinamicamente com base na condição atual da rede em tempo real. Especificamente, o roteamento dentro da nuvem SDNP de pacotes de dados em tempo real que chegam a qualquer gateway SDNP depende de atrasos de propagação de nó a nó dentro da nuvem SDNP e da urgência de cada pacote de dados em tempo real atribuída pelos servidores de sinalização. [00914] Na FIG. 87E, o servidor de sinalização 1715 envia pacotes de dados C&C para os nós de Ultima Milha localizados no lado de armazenamento, ou seja, para as zonas U7 e U9. Conforme mostrado, o pacote de dados 1710F é enviado para o gateway SDNP Mo,4, sendo o pacote roteado do endereço IP S para IP Mo,4, que contém a carga útil C&C 1711F, comunicando que um pacote de dados com etiqueta 1 deve ser previsto pelo nó de gateway Mo,4 e, quando recebido, encaminhado para o endereço de Ultima Milha IP Ργ,ι. Um segundo pacote de dados 1710G é encaminhado do servidor de sinalização 1715 para o servidor de armazenamento de arquivos 1700H no endereço IP Εγ,ι. A carga útil C&C para armazenamento na zona U7 define o pacote de entrada com etiqueta de ID 1 a partir do endereço de origem IP Mo,4, mas como a função do nó é de

Petição 870190124250, de 27/11/2019, pág. 321/571

316/381 armazenamento e não de comunicação, o campo de destino é deixado em branco, ou seja, preenchido com um valor nulo. Uma vez que os pacotes de dados de comando e controle forem distribuídos para a rede, a transferência de arquivos pode começar.

[00915] A FIG. 88 ilustra o transporte de dados fragmentados durante o armazenamento HyperSecure do arquivo, no qual o dispositivo cliente 1700A envia uma série de pacotes de dados 1712X, que carrega os arquivos de dados SDNP 1, 2 e 3 do endereço IP Ci,i para o gateway SDNP no endereço IP Mo,o usando o transporte de dados TCP. Cada pacote de dados tem um identificador de ID único, a saber, etiqueta 1, etiqueta 2 e etiqueta 3. Esses arquivos são então transportados através da nuvem SDNP para outros gateways, a saber, nós de gateway SDNP Mo,4 e Mo,8· O pacote contendo dados SDNP 1, ao chegar no nó de gateway Mo,4, é transportado no pacote de dados 1712A do endereço IP Mo,4 para o IP Ργ,ι usando TCP com credenciais de segurança da zona U7, enquanto os pacotes de dados 2 e dados 3, que chegam no nó de gateway Mo,8, são transportados com credenciais de segurança da zona U9 nos pacotes de dados 1712B e 1712C do endereço IP Mo,s para os endereços IP Fçq e IP F94, respectivamente. O armazenamento também pode incluir encriptação local no servidor de arquivos para evitar o escaneamento de dados da unidade. Esse processo de encriptação é local e não está relacionado com as disposições de segurança SDNP. O conteúdo dos pacotes de dados SDNP 1, SDNP 2 e SDNP 3 contém os arquivos fragmentados reais que estão sendo armazenados.

[00916] O preâmbulo em cada pacote de dados, por exemplo, preâmbulo 1 no pacote de dados 1712A, também pode conter uma chave de encriptação fornecida pelo cliente como parte de uma operação de encriptação de chave simétrica. Usando a encriptação de chave simétrica, o nó de cliente SDNP Ci,i gera uma chave dividida, uma para encriptação e seu complemento para desencriptação. A chave de encriptação simétrica é então fornecida ao nó

Petição 870190124250, de 27/11/2019, pág. 322/571

317/381 de armazenamento de arquivos Εγ,ι entregue pelo pacote de dados 1712A neste exemplo. No futuro, sempre que o cliente solicitar leitura ou acesso do conteúdo do arquivo armazenado, o nó do servidor de armazenamento de arquivos Εγ,ι encripta o arquivo solicitado usando essa chave de encriptação antes de devolver o arquivo para o cliente. Como somente o cliente possui a chave de desencriptação associada, apenas o cliente pode abrir o arquivo de leitura. Embora esse método forneça uma camada extra de proteção, ele tem a desvantagem de que apenas um único cliente pode acessar o arquivo como uma operação de leitura, impedindo o uso de múltiplos proprietários de arquivos de clientes necessários para facilitar o acesso redundante no caso de o dispositivo original do cliente ser roubado, danificado ou perdido.

[00917] Por volta do momento do processo de transferência de dados e armazenamento de arquivos, o servidor de sinalização 1715 também envia instruções para os servidores de armazenamento de arquivos 1700H, 1700L e 1700M sobre o roteamento de mensagens de resposta de enlace. Uma resposta de enlace é um pacote de dados e carga útil C&C confirmando ao cliente que a operação de escrita foi bem-sucedida e o armazenamento de cada arquivo separado está completo. Essas mensagens são enviadas ao proprietário do arquivo do cliente independentemente de cada servidor de armazenamento de arquivos envolvido no armazenamento dos arquivos separados transferidos. Os servidores de arquivos enviam suas respostas de confirmação de escrita ao cliente de forma independente, sem conhecimento um do outro, e as respostas de comunicação de escrita são transmitidas usando-se credenciais de segurança independentes, incluindo estados únicos diferentes dos estados em operação no momento da operação de escrita. O roteamento dessas mensagens de resposta de enlace não necessariamente utiliza um sentido inverso do mesmo trajeto de roteamento que o usado para transferir os arquivos. Tal resposta poderia potencialmente ser usada por criminosos cibernéticos como um rastro de volta para encontrar o proprietário

Petição 870190124250, de 27/11/2019, pág. 323/571

318/381 de um arquivo. Em vez disso, a resposta de enlace utiliza um ID de pacote para identificar ao cliente que os arquivos armazenados fazem parte do mesmo arquivo e armazenados como parte da mesma operação de escrita fragmentada.

[00918] Em operação, o servidor de sinalização envia roteamento para as mensagens de resposta de enlace para os servidores de armazenamento de arquivos, para o proprietário do arquivo do cliente e para todos os nós SDNP intermediários envolvidos no roteamento de mensagens de resposta de enlace. O servidor de sinalização 1715 coordena o roteamento de mensagens de resposta de enlace conforme mostrado pelo exemplo na FIG. 89A usando pacotes de dados contendo cargas úteis de comando e controle, por exemplo, o servidor de armazenamento de arquivos 1700H recebe o pacote de dados 1721G contendo a carga útil C&C 1722G, que contém dados de cabeçalho para roteamento da resposta do enlace 1 do endereço IP Ργ,ι para o endereço IP Mo,4· O nó de gateway SDNP Mo,4 recebe o pacote de dados 1712F contendo a carga útil C&C 1722F, que descreve o roteamento do pacote de dados da etiqueta 1 do endereço SDNP Mo,4 para outro nó dentro da nuvem SDNP (não mostrado), neste caso no endereço SDNP Mo,14· Da mesma forma, o servidor de sinalização 1715 envia o pacote de dados 1721M do servidor de armazenamento de arquivos 1700M contendo instruções de roteamento de Ultima Milha do pacote de etiqueta 3 da resposta do enlace 3 do endereço IP Fçj para o IP Mo,s. Embora o roteamento de Ultima Milha do lado de armazenamento para pacotes de dados de arquivos e suas mensagens de resposta de enlace correspondentes possam ser idênticos ou similares, o roteamento das mensagens de resposta através da nuvem SDNP provavelmente é diferente devido à natureza dinâmica da nuvem SDNP.

[00919] O roteamento real das mensagens de resposta de enlace dos nós participantes do servidor de armazenamento de arquivos é mostrado na FIG. 89B. Conforme mostrado, o servidor de armazenamento de arquivos

Petição 870190124250, de 27/11/2019, pág. 324/571

319/381

1700H responde com o pacote de dados 1720A identificado pela etiqueta 1 e carregando uma carga útil enlace FS 1. O pacote é roteado do endereço IP F7,i para o gateway SDNP no endereço IP Mo,4 usando credenciais de segurança da zona U7. Do gateway SDNP, o pacote de dados de etiqueta 1 é roteado através da nuvem SDNP para o gateway do lado do cliente no endereço SDNP Μο,ο, no qual o endereço é convertido no pacote de dados de Ultima Milha 1720X e roteado do endereço IP Μο,ο para o endereço IP Ci,i usando o transporte TCP, que usa as credenciais de segurança da zona Ul, e carregando dados de etiqueta 1, a saber, preâmbulo 1 e enlace FS 1.

[00920] De forma semelhante, o servidor de armazenamento de arquivos 1700L responde com o pacote de dados 1720B identificado pela etiqueta 2 e carregando uma carga útil enlace FS 2. O pacote é roteado do endereço IP Fç/' para o gateway SDNP no endereço IP Mo,s usando credenciais de segurança da zona U9. Do gateway SDNP, o pacote de dados identificado pela etiqueta 2 é roteado através da nuvem SDNP (roteamento não mostrado) para o gateway do lado do cliente no endereço SDNP Μο,ο, no qual o endereço é convertido no pacote de dados de Ultima Milha 1720X e roteado do endereço IP Μο,ο para o endereço IP Ci,i usando o transporte TCP, que usa as credenciais de segurança da zona U1, e carregando dados de etiqueta 2, a saber, preâmbulo 2 e enlace FS 2.

[00921] A terceira parte do arquivo separado identificado pela etiqueta 3 e que carrega uma carga útil enlace FS 3 é enviada do servidor de armazenamento de arquivos 1700M via o pacote de dados 1720C. Esse pacote de etiqueta 3 é roteado do endereço IP Fç>,i para o gateway SDNP no endereço IP Mo,s usando credenciais de segurança da zona U9. Do gateway SDNP, o pacote de dados identificado pela etiqueta 3 é roteado através da nuvem SDNP para o gateway do lado do cliente no endereço SDNP Μο,ο, no qual o endereço é convertido para o pacote de dados de Ultima Milha 1720X e roteado do endereço IP Μο,ο para o endereço IP Ci,i usando o

Petição 870190124250, de 27/11/2019, pág. 325/571

320/381 transporte TCP, que usa as credenciais de segurança da zona Ul, e carregando os dados de etiqueta 3, a saber, preâmbulo 3 e enlace FS 3.

[00922] A FIG. 89C ilustra um exemplo de conteúdo do pacote de dados do enlace FS 1720A roteado do servidor de armazenamento de arquivos 1700H de volta para o cliente e proprietário do arquivo. Conforme mostrado, o pacote de dados compreende o roteamento de Ultima Milha do endereço IP Ργ,ι para o gateway SDNP no endereço IP Mo,4 usando TCP em um pacote com etiqueta de ID 1 criado na zona de segurança U7. O preâmbulo de resposta 1719A contém uma descrição da carga útil de dados 1741A e também contém credenciais de segurança opcionais usadas para executar ou melhorar a segurança do pacote de dados do enlace 1720A que estiver sendo entregue ao cliente. No entanto, na comunicação tricanal, as credenciais de segurança de resposta contidas no preâmbulo de resposta 1719A geralmente não são necessárias e não relacionadas às usadas pelo cliente para subsequentemente acessar e abrir o arquivo armazenado HyperSecure. As credenciais de acesso necessárias para criar um enlace do cliente para o arquivo armazenado no nó de armazenamento de arquivos F?,i estão, em vez disso, contidas no campo de dados 1741 A, incluindo [00923] Uma etiqueta de rede única, endereço SDNP ou pseudoendereço necessários para identificar o servidor de armazenamento de arquivos onde essa parte do arquivo fragmentado for armazenada.

[00924] Uma descrição da zona que define as credenciais de segurança usadas para codificar o arquivo na zona de segurança do lado de armazenamento (não a zona do cliente).

[00925] Semente 1, que pode conter uma semente numérica ou o tempo ou estado 920 usado durante a codificação do arquivo antes do armazenamento.

[00926] Semente 2, que pode conter uma semente numérica 929 usada para executar a codificação de arquivos como parte da operação de

Petição 870190124250, de 27/11/2019, pág. 326/571

321/381 armazenamento.

[00927] Chave 1, contendo uma chave de desencriptação 1030 para desencriptar a encriptação do lado de armazenamento da zona U7. Essa chave pode ser usada em conjunto com segredos compartilhados mantidos em um servidor DMZ que opera como parte do servidor de armazenamento de arquivos, ou pode representar uma chave de desencriptação parcial que só pode ser operada em conjunto com outra credencial de segurança, como uma semente numérica.

[00928] Chave 2, contendo uma chave de encriptação 1022 enviada ao cliente e usada para enviar instruções seguras do cliente para o servidor de armazenamento de arquivos usando a chave simétrica de encriptação.

[00929] Um nome de arquivo ou outras informações usadas para ajudar um cliente a identificar o arquivo armazenado sem revelar como ele é armazenado.

[00930] O pacote de dados anterior é usado para fins ilustrativos e não deve ser visto como que limitando o conteúdo do pacote de dados aos elementos ou formatos precisos conforme mostrado no exemplo. Os enlaces FS 1720X recebidos pelo nó de cliente SDNP Ci,i, uma vez recebidos dos servidores de armazenamento de arquivos que participam no armazenamento do arquivo fragmentado, são então processados para criar um enlace de arquivo para o dispositivo do cliente. Conforme ilustrado na FIG. 89D, essa operação combina os enlaces FS 1741A, 1741B e 1741C usando a operação de mistura 1753 para criar um enlace de leitura de armazenamento de arquivos 1754. O enlace de armazenamento de arquivos 1754 é postado no mensageiro de texto HyperSecure ou no sistema de gerenciamento de arquivos do cliente para fácil recuperação do arquivo HyperSecure com uma simples tecla. As operações HyperSecure são invisíveis para o usuário. O proprietário do arquivo não precisa se preocupar com o fato de que o arquivo é realmente fragmentado, codificado e armazenado em um sistema de

Petição 870190124250, de 27/11/2019, pág. 327/571

322/381 armazenamento distribuído de arquivos. A recuperação do arquivo parece como se o arquivo estivesse residente localmente. Portanto, o enlace FS é um elemento-chave para acessar qualquer arquivo armazenado em um sistema de armazenamento distribuído de arquivos.

[00931] Uma representação simplificada da comunicação de Enlace FS é mostrada na FIG. 90A, na qual todos os três servidores de armazenamento de arquivos enviam seus respectivos enlaces FS para o nó de cliente C14 e o dispositivo cliente correspondente 1700A; especificamente, o servidor de armazenamento de arquivos 1700H envia o enlace FS 1, o servidor de armazenamento de arquivos 1700M envia o enlace FS 2, e o servidor de armazenamento de arquivos 1700L envia o enlace FS 3. Dentro do dispositivo cliente 1700A, o software de aplicativo SDNP no nó do cliente Ci,i combina os três enlaces FS de entrada 1, 2 e 3 para formar um enlace para o arquivo armazenado. Esse enlace combinado aparece no mensageiro SDNP como uma confirmação de armazenamento de arquivos. Na gestão de arquivos não redundantes, as informações do enlace FS são enviadas apenas para o dispositivo do cliente. Para o gerenciamento de arquivos do usuário, o enlace do arquivo pode ser nomeado no momento em que o armazenamento de arquivos foi solicitado ou ao receber a mensagem de confirmação.

[00932] Como o enlace de armazenamento de arquivos é enviado ao cliente diretamente dos servidores de armazenamento de arquivos e não por meio de um servidor de sinalização, apenas o cliente com o enlace tem acesso ao arquivo. Esse enlace FS é necessário para recuperar e ler o arquivo fragmentado. Sem o enlace FS, o arquivo armazenado e seu conteúdo serão perdidos para sempre e se tomarão irrecuperáveis. Para reduzir o risco de que se possa perder o enlace FS, uma abordagem alternativa envia o enlace FS para dois dispositivos de cliente - o dispositivo cliente e um dispositivo auxiliar. O dispositivo auxiliar pode ser um segundo dispositivo de propriedade do cliente ou, em casos de negócios, um segundo dispositivo de

Petição 870190124250, de 27/11/2019, pág. 328/571

323 /381 propriedade da empresa. Altemativamente, o segundo dispositivo pode incluir outro servidor com sua própria segurança de login e verificação de identidade do usuário.

[00933] O acesso de enlace redundante a arquivos armazenados distribuídos fragmentados feito de acordo com esta invenção pode ser aplicado a sistemas de armazenamento de arquivos tanto redundantes, ou seja, RRF > 1, quanto não redundantes. O uso de um enlace redundante em um sistema de memória distribuída HyperSecure que careça de redundância de leitura (RRF = 0) é ilustrado na FIG. 90B. Nesse tipo de sistema, o mapeamento de arquivos entre os arquivos separados 1706A, 1706B e 1706C e os servidores de armazenamento de arquivos correspondentes 1700H, 1700M e 1700L não é redundante. Conforme mostrado, os enlaces FS 1, 2 e 3 são enviados para dois dispositivos clientes, a saber, 1700A, que hospeda o nó de cliente SDNP Ci,i, e o dispositivo cliente auxiliar 1700B, que hospeda um nó de cliente de backup C2,i. No caso de um dos enlaces FS se perder ou ficar indisponível por qualquer motivo, pode-se usar o enlace FS no backup cliente para recuperação de arquivos. Nesse sentido, o sistema de armazenamento distribuído SDNP descreve uma implementação de leitura não redundante com redundância de enlace único, ou seja, RRF = 0 e LRF = 1.

[00934] Um exemplo de memória HyperSecure que compreende redundância tanto de leitura como de enlace é mostrado na FIG. 90C, na qual os arquivos separados 1, 2 e 3 são mapeados cada um para dois servidores de armazenamento de arquivos, ou seja, para realizar um fator de redundância de leitura RRF = 1, e com cada enlace FS enviado a dois clientes para alcançar um fator de redundância de enlace LRF = 1. A imunidade do sistema de armazenamento a falhas relacionadas tanto a leitura quanto a enlace significa que o sistema pode ser considerado como um verdadeiro sistema redundante de gerenciamento de arquivos HyperSecure com um fator geral de redundância de armazenamento SRF = 1. Nós aqui definimos o fator de

Petição 870190124250, de 27/11/2019, pág. 329/571

324/381 redundância de armazenamento SRF como um fator de redundância igual ao menor dentre RRF e LRF. Por exemplo, se RRF = 0 e LRF = 1, o SRF = 0. Se, em vez disso, RRF = 3 e LRF = 2, então a redundância de armazenamento global é SRF = 2. Para implementar um sistema global de SRF = 3, cada arquivo separado deve ser armazenado em quatro servidores de armazenamento separados de arquivos (conforme mostrado anteriormente na FIG. 85C) e os enlaces FS devem ser enviados para quatro clientes separados. [00935] Como tal, o fator de redundância de armazenamento global SRF é uma medida direta da resiliência do sistema de armazenamento distribuído contra falhas. Esse princípio é resumido no gráfico da FIG. 91, onde a abscissa descreve o n° de servidores de armazenamento de arquivos usados em um sistema de armazenamento de arquivos e a ordenada descreve o número de enlaces FS enviados para clientes separados. Conforme mostrado, um único servidor de armazenamento de arquivos não tem redundância, ou seja, RRF = 0. Aumentar o número de dispositivos de armazenamento de arquivos melhora a redundância de leitura, mas não afeta a redundância de enlace. Por outro lado, o envio de um enlace para um único cliente não oferece redundância de enlace, ou seja, LRF = 0, independentemente do número de servidores de armazenamento de arquivos disponíveis. Em ambos os casos, ou seja, para um servidor de armazenamento ou um enlace de cliente, o fator de redundância de armazenamento global SRF = 0 significa que o sistema de armazenamento de arquivos não tem resiliência conforme mostrado graficamente pela região em forma de L.

[00936] Conforme mostrado, armazenar um arquivo separado de três partes em 3 servidores de armazenamento de arquivos conforme mostrado anteriormente resulta em um fator de redundância de leitura RRF = 1. Desde que pelo menos dois clientes recebam o enlace FS, a redundância de enlace LRF > 1 é alcançada. A combinação de LRF = 1 ou RRF = 1 produz a região em forma de L 1724B, onde SRF = 1, ou seja, fornecendo algum grau de

Petição 870190124250, de 27/11/2019, pág. 330/571

325 /381 resiliência do sistema. Note-se que, mesmo quando forem empregados 6 servidores, se os enlaces FS forem enviados para apenas dois clientes, o sistema ainda exibe apenas um grau limitado de resiliência, ou seja, SRF = 1.

[00937] Ao enviar os enlaces FS para 3 clientes e armazenar dados redundantemente em 6 servidores de armazenamento, a região 1724C define as condições em que SRF = 2, oferecendo um grau bastante robusto de resiliência de armazenamento. A Região 1724D ilustra um outro aprimoramento na resiliência onde SRF = 3, usando seis servidores de armazenamento de arquivos e 4 clientes recebendo chaves. Assim, a linha mais baixa e a coluna mais à esquerda têm a menor resiliência de armazenamento, e o canto superior direito tem a melhor resiliência de armazenamento.

[00938] O armazenamento distribuído de arquivos HyperSecure feito de acordo com esta divulgação atinge segurança sustentável a longo prazo ao adaptar, isto é, criar novas finalidade para inúmeros elementos inventivos da comunicação SDNP. Estes elementos inventivos incluem:

Analisar um arquivo e distribuir seu fragmentado conteúdo em vários servidores de armazenamento de arquivos conectados de rede não relacionados,

Transporte de arquivos entre servidores de armazenamento de clientes e arquivos usando comunicação HyperSecure de ponta a ponta, que compreende transporte de dados fragmentados anônimos dinamicamente embaralhados e encriptados SDNP sem chave mestra,

Armazenar os arquivos fragmentados em servidores de armazenamento de arquivos de uma maneira em que os servidores de armazenamento não tenham acesso às credenciais de segurança do cliente usadas para fragmentar e codificar inicialmente os dados armazenados, ou seja, quando o servidor de armazenamento de arquivos não possuir credenciais de segurança da Ultima Milha do lado do cliente necessárias

Petição 870190124250, de 27/11/2019, pág. 331/571

326/381 para decodificar, acessar ou ler o arquivo,

Opcionalmente codificar arquivos fragmentados em servidores de armazenamento de uma maneira em que um cliente (proprietário do arquivo) não tenha as credenciais de segurança necessárias para decodificar os dados armazenados, exceto através de um enlace seguro, ou seja, quando a Ultima Milha do lado do cliente não possuir as credenciais de segurança da Ultima Milha do lado de armazenamento” usadas para codificar localmente os arquivos,

Limitar o número de enlaces de armazenamento de arquivos necessário para localizar e abrir o arquivo e restringir o acesso do usuário a esses enlaces para o dispositivo cliente do proprietário do arquivo, juntamente com quaisquer dispositivos redundantes ou de backup,

Exigir a autenticação e a verificação de identidade de vários fatores do cliente para executar um enlace de arquivo e invocar uma operação de leitura ou de apagar,

Utilizar roteamento de pacotes de dados anônimos e nomes de arquivos anônimos pelos quais o uso do enlace de arquivo para recuperação de dados não fornece nenhuma informação quanto à localização ou codificação do armazenamento de arquivos HyperSecure e no qual, com exceção do enlace do arquivo, nenhuma informação de roteamento é armazenada na rede SDNP ou no sistema de armazenamento de arquivos HyperSecure,

Distribuir um arquivo fragmentado por inúmeros servidores de armazenamento usando locais não revelados do servidor de arquivos e, exceto através do enlace de armazenamento de arquivos, usando identidades anônimas desconhecidas para o cliente, para a rede SDNP ou para outros servidores de armazenamento,

Empregar comunicação tricanal, na qual os servidores de sinalização SDNP usados para planejar o roteamento de arquivos para

Petição 870190124250, de 27/11/2019, pág. 332/571

327/381 armazenamento distribuído não tenham acesso ao conteúdo dos arquivos fragmentados ou às credenciais de segurança usadas para codificar os arquivos e na qual os nós de mídia SDNP usados para transportar o conteúdo do arquivo utilizam pacotes de dados SDNP de salto único sem a identidade ou endereço do cliente ou do servidor de armazenamento de arquivos,

Empregar renomeação dinâmica de arquivos e realocação de dados em intervalos regulares e após o acesso repetido ao arquivo, regenerar a codificação de credenciais de segurança no momento da operação de reescrita do arquivo, e

Criptografar localmente o diretório do servidor de armazenamento de arquivos para impedir a análise de arquivos.

[00939] Usando o acima mencionado, a falta de qualquer identidade de arquivo discemível; o uso de arquivos fragmentados distribuídos por uma rede (possivelmente em escala global); e o uso de credenciais de segurança específicas de zona tomam inconcebíveis o acesso a um arquivo armazenado HyperSecure e sua reconstrução sem acesso ao enlace de armazenamento de arquivos. Esses enlaces FS, limitados em número e distribuídos apenas através do sistema de comunicação SDNP, são ulteriormente protegidos pela verificação de identidade.

[00940] A execução dos recursos precedentes para armazenamento HyperSecure de arquivos pode ser representada esquematicamente da mesma forma que a comunicação HyperSecure usando os símbolos funcionais mostrados anteriormente na FIG. 9A. Por uma questão de simplicidade, conforme mostrado na ilustração superior da FIG. 92, pode-se representar qualquer combinação de embaralhamento 926, inserção de dados de lixo 1053, separação 1052 e divisão 1057 e encriptação 1026 usando estado ou tempo 926C como uma função de codificação SDNP 1750. Da mesma forma, a função de decodificação 1751 compreende desencriptação 1032, mistura 1061, remoção de dados de lixo 1053B e desembaralhamento 928 usando

Petição 870190124250, de 27/11/2019, pág. 333/571

328/381 estado ou tempo 926B.

[00941] Usando as funções de segurança acima mencionadas, a ilustração superior da FIG. 93A ilustra o processo de armazenamento distribuído de arquivos com codificação do lado do cliente. Conforme mostrado, o arquivo 1705 é separado 1052 e dividido 1057 para criar o arquivo separado 1706 dentro do dispositivo cliente 1700A usado para realizar o cliente SDNP Ci,i. Os arquivos fragmentados resultantes são então codificados usando credenciais de segurança da zona Ul pela operação de codificação SDNP 1750B para comunicação de Ultima Milha realizada de acordo com os métodos divulgados neste aplicativo. Os fragmentos de arquivo entregues na comunicação de Ultima Milha serial ou de múltiplas rotas são então recebidos pelo gateway SDNP Mo,o e decodificados usando-se a operação de decodificação SDNP 1751C de acordo com as credenciais de segurança da zona Ul recuperando o arquivo separado 1706. O arquivo separado 1706 é então recodificado pela operação de codificação SDNP 1750C de acordo com as credenciais de segurança da zona Z1 da nuvem SDNP. Durante o transporte em malha, após uma série de operações de decodificação e codificação de zona Z1 na nuvem SDNP (não mostrada), os pacotes de dados finais chegam aos seus respectivos gateways SDNP, incluindo, por exemplo, o gateway Mo,8, no qual a operação de decodificação SDNP 1751D recupera o arquivo separado 1706 e então o recodifica usando a operação de codificação SDNP 1750D de acordo com as credenciais de segurança da zona U9. No exemplo mostrado, o arquivo separado 1706 é então fragmentado (dividido) em dois arquivos, e os arquivos fragmentados 2 e 3 do arquivo separado 1706 são então recuperados usando a função de decodificação SDNP 1751E e armazenados nos servidores de armazenamento de arquivos 1740B e 1740C, respectivamente. Nesse método, os arquivos de dados armazenados nos servidores de armazenamento de arquivos são fragmentados, mas, caso contrário (exceto para encriptação da unidade local),

Petição 870190124250, de 27/11/2019, pág. 334/571

329/381 os arquivos ficam acessíveis a ataque cibernético aos dados da unidade. Como tal, alcança-se a segurança pela fragmentação do arquivo e armazenamento distribuído.

[00942] Obtém-se um maior grau de segurança do arquivo usando-se o processo mostrado na ilustração inferior da FIG. 93A, que ilustra o processo de armazenamento distribuído de arquivos com codificação completa do lado do cliente. Conforme mostrado, o arquivo 1705 é processado pela operação de codificação SDNP 1750A para criar o arquivo embaralhado, encriptado e separado 1706 dentro do dispositivo cliente 1700A usado para realizar o cliente SDNP Ci,i. A Operação 1750A também inclui a divisão do arquivo 1706 em três arquivos fragmentados 1, 2 e 3. Os arquivos fragmentados 1, 2 e 3 são então codificados com o uso de credenciais de segurança da zona U1 pela operação de codificação SDNP 1750B para comunicação de Ultima Milha realizada de acordo com os métodos divulgados neste aplicativo. Os fragmentos de arquivo entregues na comunicação de Ultima Milha serial ou de múltiplas rotas são então recebidos pelo gateway SDNP Mo,o e decodificados usando-se a operação de decodificação SDNP 1751C de acordo com as credenciais de segurança da zona UI recuperando o arquivo embaralhado, encriptado e separado 1706. O arquivo separado 1706 é então recodificado pela operação de codificação SDNP 1750C de acordo com as credenciais de segurança da zona Z1 da nuvem SDNP.

[00943] Durante o transporte em malha, após uma série de operações de decodificação e codificação de zona Z1 na nuvem SDNP (não mostrada), os pacotes de dados finais chegam aos seus respectivos gateways SDNP, incluindo, por exemplo, o gateway Mo,8, no qual a operação de decodificação SDNP 1751D recupera o arquivo embaralhado, encriptado e separado 1706 e então o recodifica usando a operação de codificação SDNP 1750D de acordo com as credenciais de segurança da zona U9. Os arquivos fragmentados 2 e 3 do arquivo embaralhado, encriptado e separado 1706 são então recuperados

Petição 870190124250, de 27/11/2019, pág. 335/571

330/381 usando-se a função de decodificação SDNP 175 IE e armazenados, respectivamente, nos servidores de armazenamento de arquivos 1740B e 1740C. O arquivo é, portanto, protegido não só pelo armazenamento distribuído fragmentado, mas por alguma combinação de embaralhamento, dados de lixo, e encriptação conhecida apenas pela zona de segurança do cliente. De forma semelhante, o arquivo 1 é transportado através da nuvem SDNP para o gateway Mo,4, no qual é armazenado no armazenamento de arquivos 1700H na zona U7 conforme mostrado para o pacote 1712A na FIG. 88.

[00944] Em ambos os exemplos descritos, pode-se alcançar um maior grau de segurança eliminando-se a operação final de codificação SDNP 1751E mostrada nas ilustrações da FIG. 93B. Dessa forma, os arquivos armazenados nos servidores de armazenamento de arquivos permanecem codificados pela operação de codificação SDNP 1750D usando credenciais de segurança da zona U9. Na ilustração superior, os arquivos são fragmentados pelo cliente mas codificados de acordo com as credenciais de segurança do lado de armazenamento para a zona U9. Na ilustração inferior, os arquivos são codificados de acordo com as credenciais de segurança do lado do cliente UI e então codificados uma segunda vez de acordo com credenciais de segurança do lado de armazenamento para a zona U9. Esse arquivo duplamente codificado, além de ser protegido pelo armazenamento distribuído de arquivos fragmentados, representa um armazenamento HyperSecure aninhado porque o arquivo codificado pelas credenciais de segurança da zona U9 contém um arquivo codificado por credenciais de segurança UI. A vantagem da segurança aninhada, conforme divulgado, é que nem o cliente nem o servidor de armazenamento têm as informações necessárias para abrir o arquivo armazenado.

[00945] Um resumo dos métodos exemplares de implementação de armazenamento de arquivos HyperSecure desagregados é mostrado na FIG.

Petição 870190124250, de 27/11/2019, pág. 336/571

331/381

94. Nos exemplos mostrados, a codificação e decodificação usadas para a comunicação HyperSecure e o roteamento de nuvem SDNP são removidas, revelando-se apenas o efeito líquido da codificação de arquivos. O canto superior esquerdo revela o caso da fragmentação da zona do cliente, em que o documento é fragmentado de acordo com as credenciais de segurança da zona Ul, mas sem quaisquer disposições de segurança adicionais impostas pelo lado de armazenamento da rede. O canto inferior esquerdo revela o caso da codificação da zona do cliente, em que o documento é codificado pela operação 1750B, ou seja, embaralhado, com inclusão de lixo, fragmentado e encriptado de acordo com as credenciais de segurança da zona Ul, mas sem introduzir quaisquer disposições de segurança no lado de armazenamento da rede.

[00946] O canto superior direito revela o caso da fragmentação da zona do cliente Ul, mas no qual a etapa extra de codificação SDNP, ou seja, embaralhamento, inserções de lixo, fragmentação e encriptação, é introduzida no lado de armazenamento de acordo com a zona U9. O canto inferior direito representa um exemplo de armazenamento de arquivos HyperSecure totalmente aninhado, no qual o arquivo é codificado e fragmentado de acordo com a operação de codificação SDNP 1750B com as credenciais de segurança do lado do cliente da zona Ul, e então é codificado uma segunda vez de acordo com as credenciais de segurança da zona U9 do lado de armazenamento da Ultima Milha.

[00947] Para recuperar e ler o arquivo, a recuperação de dados deve utilizar operações de segurança que incluam antifunções executadas na ordem inversa precisa da codificação, conforme ilustrado na FIG. 95. No caso do canto superior esquerdo para recuperar dados fragmentados da zona do cliente, o arquivo separado 1706 recuperado de diferentes servidores de armazenamento de arquivos é recombinado usando a operação de fusão 1061 para recuperar o arquivo original 1705. No caso do canto inferior esquerdo

Petição 870190124250, de 27/11/2019, pág. 337/571

332/381 para recuperar os dados codificados da zona do cliente, o arquivo separado 1706 recuperado de diferentes servidores de armazenamento de arquivos é recuperado para se acessar o arquivo original 1705 usando a operação de decodificação SDNP 1751H, a antifunção exata da operação de divisão 1750B que compreende a mistura, desencriptação e desembaralhamento. No caso do canto superior direito de arquivos fragmentados na zona do cliente, codificados na zona de armazenamento, a operação inversa compreende executar primeiro a operação de decodificação SDNP 1751F para desfazer os efeitos das operações de segurança da zona U9 para recuperar o arquivo separado 1706, seguida pela operação de fusão de arquivos 1061 para cancelar o efeito da operação de divisão de arquivos 1057 feita de acordo com as credenciais de segurança da zona Zl.

[00948] No exemplo do canto inferior direito para ler um arquivo HyperSecure totalmente aninhado, os dados armazenados em diferentes servidores de armazenamento de arquivos são decodificados pela operação de decodificação SDNP 1751D usando credenciais de segurança da zona U9 para reconstituir o arquivo 1706, um arquivo de múltiplas partes ainda embaralhado, com lixo, separado e encriptado de acordo com as credenciais de segurança da zona Zl. A operação de decodificação SDNP 1751H específica da Zona Zl então executa as antifunções sequenciais do codificador 1750B, uma operação que compreende a mistura, desencriptação e desembaralhamento para recuperar o arquivo original 1705. A operação de executar uma antifunção sequencial para recuperar um arquivo deve ocorrer na ordem inversa da sequência usada para criá-lo. Por exemplo, se a codificação envolver a divisão, depois embaralhamento e depois encriptação, o inverso ou antifunção, ou seja, a decodificação, deve incluir a sequência operacional de desencriptação, depois desembaralhamento e então mistura. Se, no entanto, a codificação sequencialmente envolver embaralhamento, depois encriptação e então divisão de um pacote, então o inverso ou

Petição 870190124250, de 27/11/2019, pág. 338/571

333 /381 antifunção, ou seja, a decodificação, deve incluir a sequência de mistura, depois desencriptação e, finalmente, desembaralhamento dos pacotes de dados [00949] Para invocar uma recuperação de arquivo ou operação de leitura de arquivo, o cliente invoca o enlace de arquivo agregado clicando no enlace de leitura do armazenamento de arquivos para iniciar as etapas necessárias para recuperar e ler um arquivo armazenado no sistema de armazenamento de arquivos HyperSecure do sistema. O processo de leitura envolve as seguintes etapas, conforme ilustrado na FIG. 96A:

[00950] O proprietário do arquivo e cliente 1700A ou o usuário autorizado clica no enlace de leitura do armazenamento de arquivos em um aplicativo SDNP, como um mensageiro HyperSecure habilitado pelo SDNP 1196, gerente de arquivos ou outra interface habilitada pelo SDNP.

[00951] Usando uma interface de diálogo 1765 ou, opcionalmente, uma instrução de linha de comando, o cliente 1700A especifica sua solicitação de arquivo 1761, incluindo ler arquivo, editar arquivo (fazer uma cópia do arquivo com privilégios de escrita), apagar (excluir) arquivo, atualizar enlace (re-emitir credenciais de segurança), ou redistribuir arquivo (mover os fragmentos de arquivo para diferentes servidores de armazenamento de arquivos e emitir um novo enlace de leitura de armazenamento de arquivos para o cliente ou clientes proprietários do arquivo).

[00952] Na operação verificar clientes 1762, o servidor de sinalização SDNP 1715 confirma a identidade do cliente ou clientes solicitando o arquivo (autenticação). Usando a caixa de diálogo 1767, o cliente deve confirmar sua identidade usando um PIN e, opcionalmente, um segundo fator, como detectar um dispositivo ou token de segurança. Alternativamente, pode-se enviar um texto SMS para outro dispositivo de propriedade do mesmo cliente. Nos arquivos que exigem aprovação de acesso

Petição 870190124250, de 27/11/2019, pág. 339/571

334/381 por múltiplos clientes, a identidade de cada usuário deve ser verificada (multiautenticação).

[00953] Na operação verificar privilégios 1763, o servidor de sinalização 1715 confirma que o cliente solicitante 1700A está autorizado a acessar o arquivo solicitado com privilégios (autorização) de leitura ou leitura/apagar. O resultado é exibido na caixa de diálogo 1768 antes de confirmar se o usuário ainda deseja baixar ou ler o arquivo. Se a identidade não for confirmada, o solicitante poderá ser instruído a tentar novamente. Depois de um número especificado de tentativas fracassadas, o administrador do arquivo 1700Z (se houver um) será informado das tentativas fracassadas e da conta bloqueada. A caixa de diálogo pode informar o usuário do problema pedindo-lhe para entrar em contato com o administrador do arquivo ou, altemativamente, se houver suspeita de hackeamento, a caixa pode ficar em branco ou até mesmo retirar totalmente o usuário do aplicativo SDNP.

[00954] Na operação de administração de solicitação de documento 1764, o servidor de sinalização SDNP 1715 informa o administrador de armazenamento de arquivos 1700Z sobre a solicitação de acesso ao arquivo e a natureza da solicitação (administração). Essa etapa administrativa pode (i) ser ignorada completamente, (ii) registrar a solicitação de acesso ao arquivo na conta do administrador de armazenamento de arquivos, (iii) enviar uma mensagem para o administrador de armazenamento de arquivos informando-o imediatamente da tentativa de acesso ao arquivo, ou (iv) exigir a aprovação do administrador de armazenamento de arquivos através da caixa de diálogo 1769 antes que o cliente que solicita o arquivo receba autorização de acesso.

[00955] Após essas etapas de autenticação, autorização e administração (AAA), após a aprovação, o cliente faz uma solicitação para acessar o arquivo usando as etapas ilustradas no fluxograma mostrado na FIG. 96B, mostrado aqui apenas para fins ilustrativos como uma solicitação de leitura. Essas etapas envolvem o seguinte:

Petição 870190124250, de 27/11/2019, pág. 340/571

335 /381 [00956] Na operação de solicitação de leitura 1770, o cliente solicitante 1700A envia uma solicitação de leitura de arquivo para o servidor de sinalização SDNP 1715.

[00957] Na operação de solicitação de nome do servidor de armazenamento 1771, o servidor de sinalização SDNP 1715 envia uma solicitação de nome de servidor de armazenamento de arquivos para o servidor de nomes SDNP 1714 solicitando os endereços SDNP atuais dos servidores de armazenamento de arquivos relacionados, por exemplo, o servidor de armazenamento de arquivos 1700M. De acordo com o método SDNP, o endereço SDNP para clientes SDNP (incluindo servidores de arquivos) muda pelo menos uma vez por dia para evitar a rastreabilidade a longo prazo do cliente.

[00958] Na operação de entrega de nome de armazenamento 1772, o servidor de nomes SDNP 1714 entrega os endereços FS” dos nomes de arquivos solicitados para o servidor de sinalização SDNP 1715, pelo qual o servidor de sinalização SDNP mapeia o roteamento de recuperação de arquivos.

[00959] Na operação de instruções de roteamento 1773, o servidor de sinalização SDNP envia instruções de roteamento de arquivos para o cliente 1700A, para nós na nuvem SDNP, como o servidor 1700U, e para servidores de armazenamento de arquivos com credenciais de segurança específica de zona, como o servidor de armazenamento de arquivos 1700M com credenciais de segurança de zona U9, incluindo estado ou tempo 920, semente numérica 923, chave de desencriptação 1030 e chave opcional de encriptação 1022 (usada em comunicação encriptada de chave simétrica).

[00960] Na operação local de recuperação de arquivos 1774, que utiliza credenciais de segurança aplicáveis, incluindo informações específicas de estado ou tempo para a criação do arquivo, o servidor DMZ em cada Ultima Milha do lado de armazenamento decodifica e recupera o arquivo

Petição 870190124250, de 27/11/2019, pág. 341/571

336/381 separado e organiza os dados em um ou mais pacotes de dados em preparação para o transporte.

[00961] Na operação de entrega de arquivos 1775, cada arquivo separado é entregue ao cliente solicitante usando entrega independente através da rede SDNP de acordo com as instruções de roteamento do servidor de sinalização SDNP, por exemplo, quando o servidor de armazenamento de arquivos 1700M envia seu arquivo para o cliente 1700A [00962] Os arquivos de dados de entrada separados são ainda decodificados de acordo com as credenciais de segurança da zona do cliente, e os arquivos separados são fundidos para recriar o arquivo original não separado pronto para visualização ou transferência.

[00963] Os passos são representados na seguinte sequência de ilustrações. Na FIG. 97A, o dispositivo cliente no endereço IP Ci,i faz uma solicitação de leitura de arquivo para o servidor de sinalização 1715 no endereço IP S” usando o pacote de dados 1810A, que inclui a carga útil C&C 1811A que especifica o transporte TCP, informações de cabeçalho relacionadas ao arquivo, e dois ou mais enlaces FS. Os enlaces FS descrevem os locais dos fragmentos de arquivo armazenados anonimamente usando etiquetas ou pseudoendereços que devem ser convertidos em endereços SDNP ou endereços IP para roteamento. Entretanto, o servidor de sinalização 1715 não conhece os endereços atuais SDNP para esses IDs de usuário nomeados e deve solicitar as informações atuais do servidor de nomes SDNP 1714. Na FIG. 97B, o servidor de sinalização 1715 envia o pacote de dados 1810B para o servidor de nomes 1714 solicitando os endereços IP ou SDNP dos nós do servidor de armazenamento de arquivos Εγ,ι, Fç>,4 e Fç>,i. Na FIG. 97C, o servidor de nomes 1714 envia ao servidor de sinalização 1715 o pacote de dados 1810C contendo os endereços IP ou SDNP dos nós do servidor de armazenamento de arquivos Εγ,ι, Fç>,4 e Fç>,i. O servidor de sinalização 1715 então calcula a Ultima Milha e entrega da nuvem em malha dos arquivos

Petição 870190124250, de 27/11/2019, pág. 342/571

337/381 separados para os servidores de armazenamento de arquivos 1700H, 1700L e 1700M.

[00964] Na FIG. 97D, o servidor de sinalização 1715 envia pacotes de dados C&C para os nós de Ultima Milha localizados no lado de armazenamento, ou seja, para as zonas U7 e U9. Conforme mostrado, o pacote de dados 1810G é encaminhado do servidor de sinalização 1715 no endereço S para o servidor de armazenamento de arquivos 1700H no endereço IP Εγ,ι, que carrega uma carga útil C&C composta pela Instrução de Leitura do Arquivo 1 1811G. Esse pacote instrui o servidor de armazenamento de arquivos a enviar o arquivo com a etiqueta de ID 1 de seu endereço IP Ργ,ι para o gateway SDNP no endereço IP Mo,4 usando as credenciais de segurança U7. Simultaneamente, o pacote de dados 1810F é enviado para o gateway SDNP Mo,4, sendo o pacote roteado do endereço IP S para o IP Mo,4, que contém a carga útil C&C 1811F comunicando que um pacote de dados com etiqueta 1 deve ser previsto pelo nó de entrada Mo,4 e, quando recebido, encaminhado na nuvem SDNP usando as credenciais de segurança Zl, por exemplo, para o endereço SDNP M031.

[00965] Um segundo pacote de dados 18101 é enviado do servidor de sinalização SDNP 1715 no endereço IP S para o servidor de armazenamento de arquivos 1700M no endereço IP F94, que contém uma carga útil C&C 18111 contendo uma Instrução de Leitura do Arquivo 3. Essa instrução ordena ao servidor de armazenamento de arquivos 1700M que envie um arquivo com a etiqueta de ID 3 ao gateway SDNP no IP Mo,8 usando credenciais de segurança da zona U9. Outros pacotes C&C (não mostrados) são enviados da mesma forma para outros servidores de armazenamento de arquivos e gateways, como os nós F94 e Mo,8, bem como os nós na nuvem SDNP.

[00966] Na FIG. 97E, o servidor de sinalização 1715 envia o pacote de dados 1810D para o dispositivo cliente 1700A, sendo o pacote roteado do

Petição 870190124250, de 27/11/2019, pág. 343/571

338 /381 endereço IP S para IP Ci,i através do roteador 1702G. O pacote de dados 1810D contém a carga útil C&C 1811D, que informa ao cliente para esperar vários pacotes de dados de entrada com etiqueta 1, etiqueta 2, etc. do gateway SDNP 1701U no endereço IP Mo,o usando credenciais de segurança da zona Ul. Simultaneamente, o servidor de sinalização 1715 também envia o pacote de dados 1810E para o gateway SDNP 1701U, o pacote que está sendo roteado do endereço IP S para IP Mo,o· Esse pacote inclui a carga útil C&C 1811E para roteamento da Ultima Milha na zona Ul aplicável para pacotes de dados de entrada identificados como pacotes com etiqueta 1, etiqueta 2 e etiqueta 3 transportados de dentro da nuvem SDNP.

[00967] Uma vez que os pacotes de dados de comando e controle forem distribuídos para a rede, a transferência de arquivos pode começar. O primeiro passo na transferência é mostrado na FIG. 98, na qual o pacote de dados 1741R, que compreende o Enlace FS 3, fornece informações para a operação de decodificação SDNP 175IR, incluindo o estado exemplar 920, semente numérica 929, chave de desencriptação 1030 e chave de encriptação 1022. Em nome da operação de decodificação SDNP 175 IR, essas informações são processadas pelo servidor DMZ 1752 para executar função envolvendo segredos compartilhados, como o pacote de desencriptação 1032R, de mistura 1061R, de remoção de lixo 1053R e de desembaralhamento 928R, todos realizados no estado 920, estado no qual o arquivo separado foi codificado pela última vez. Observe que a chave de encriptação 1022 não é especificamente necessária para decodificar o arquivo, mas pode ser usada em encriptação de chave simétrica para transportar o arquivo separado de volta para o cliente e proprietário do arquivo.

[00968] O roteamento de arquivos e o transporte de dados são mostrados na FIG. 99, incluindo o pacote de dados TCP 1720A, que carrega o arquivo 1 do endereço IP Ργ,ι para o IP Mo,4 usando credenciais de segurança U7, o pacote de dados TCP 1720B, que carrega o arquivo 2 do

Petição 870190124250, de 27/11/2019, pág. 344/571

339/381 endereço IP Fçq para o IP Mo,s usando credenciais de segurança U9, e o pacote de dados TCP 1720C, que carrega o arquivo 3 do endereço IP Fçj para o IP Mo,s usando credenciais de segurança U9. Após o transporte através da nuvem SDNP (não mostrado), a série de pacotes de dados 1720X é entregue do gateway SDNP no endereço IP Mo,o para o endereço do cliente IPCi,i.

[00969] Na operação de leitura, os dados são carregados no aplicativo SDNP em sua forma de apenas leitura. Enquanto permanecer “circunscrito” dentro de um aplicativo SDNP, o arquivo fica protegido pelos recursos do aplicativo e da rede SDNP e não depende dos procedimentos de login e disposições de segurança fracas do sistema operacional do dispositivo. A necessidade de acesso apenas para leitura de documentos privados é generalizada nos negócios. Os arquivos gerados pelos departamentos financeiro, jurídico, de produção, de engenharia e da qualidade de uma empresa ilustram exemplos de material que frequentemente representa conteúdo apenas de leitura. Em muitos casos, esses arquivos privados da empresa devem ser roteados, isto é, distribuídos eletronicamente, para executivos corporativos para revisão antes de sua divulgação.

[00970] A divulgação acidental ou prematura das informações comunicadas pode ser devastadora, levando a graves consequências econômicas e até legais para uma empresa e responsabilidade pessoal para seus diretores. Por exemplo, o relatório financeiro não publicado de uma empresa pública é estritamente confidencial até ser publicado. Nos Estados Unidos, a regulamentação FD ou divulgação justa significa que as informações devem ser disponibilizadas publicamente a todos ao mesmo tempo sem preferência. Se alguma parte externa obtiver acesso a essas informações antes de seu lançamento público, isso é uma violação da regulamentação FD. Se um tribunal determinar que a violação à regulamentação FD ocorreu porque a empresa foi negligente em seu dever de

Petição 870190124250, de 27/11/2019, pág. 345/571

340/381 manter e garantir a confidencialidade do documento, então a empresa pode ser penalizada por sua infração, e seus funcionários podem ser responsabilizados pessoalmente, mesmo se não tiver ocorrido nenhuma informação privilegiada em decorrência da divulgação seletiva.

[00971] Dentro do aplicativo SDNP, um arquivo recuperado é compartimentalizado (“circunscrito na caixa de areia”) para evitar a transferência dos dados de uma identidade de conta para outra; por exemplo, os arquivos não podem ser trocados entre contas comerciais e pessoais. Dependendo dos privilégios de autorização do leitor, um usuário pode ou não ser autorizado a baixar o arquivo recuperado do aplicativo SDNP e para um armazenamento não codificado na memória do dispositivo. O download do arquivo fora de um aplicativo habilitado pelo SDNP compromete a segurança do arquivo e os dados que ele contém. Para dados residentes em um aplicativo SDNP, o acesso é controlado, as ações de um usuário são limitadas e tanto o dispositivo quanto a rede SDNP devem verificar a identidade do usuário. Essa autenticação multi-camadas e multifatorial é muito mais difícil de superar do que quebrar a senha de 4 números necessária para destravar um telefone. Em contraste, uma vez que um arquivo for baixado em um computador, tablet ou telefone celular, é quase impossível impedir o acesso não autorizado, determinar quem tem acesso ou quem fez uma cópia do arquivo.

[00972] Assim, usando a comunicação SDNP, um proprietário de arquivo pode bloquear, ou seja, compartimentalizar, documentos e arquivos sensíveis para que outros possam lê-los, mas não baixá-los em seu telefone. Pode-se usar passos adicionais para evitar capturas de tela ou fotografias da tela LCD. Em outros casos em que a segurança ou privacidade não forem necessárias, a transferência de arquivos recuperados do aplicativo SDNP para a memória do telefone fica habilitada e disponível para uso irrestrito.

[00973] Em uma operação de editar, uma forma editável do arquivo é baixada para o dispositivo e passada para um programa de aplicativo

Petição 870190124250, de 27/11/2019, pág. 346/571

341/381 necessário para editar o arquivo. Para executar uma solicitação de arquivo e troca de dados, não há diferença fundamental na operação da rede SDNP entre uma solicitação de leitura de arquivo e uma solicitação de edição de arquivo que não na operação do aplicativo SDNP do cliente - do ponto de vista transferência de dados da rede SDNP, as operações são funcionalmente equivalentes. Portanto, pode-se considerar que as diferenças entre as operações de leitura e edição residem principalmente na execução da Camada 5 até a Camada 7, compreendendo arquivos específicos de aplicativos.

[00974] Para editar o arquivo recuperado, o aplicativo pode ser (i) um aplicativo incorporado num dispositivo (como Simpletext) nativo do sistema operacional do dispositivo, mas operando fora do aplicativo SDNP, (ii) um aplicativo de terceiros que rode no sistema operacional do dispositivo mas fora do aplicativo SDNP, por exemplo, Microsoft Word, Adobe Acrobat, etc., ou (iii) um aplicativo seguro executado dentro do aplicativo SDNP e não diretamente acessível pelo dispositivo ou seu sistema operacional. Por exemplo, um comunicado de imprensa corporativo pode ser editado dentro da “caixa de areia” do aplicativo SDNP, mas não pode ser baixado para a memória do celular. Como um recurso adicional para manter a segurança empresarial, qualquer arquivo de propriedade de uma empresa, ou seja, circunscrito ao compartimento da conta comercial SDNP, não pode ser transferido para a conta pessoal SDNP do usuário, embora os perfis tanto pessoal como de negócios estejam funcionando dentro do mesmo aplicativo SDNP.

[00975] Após a edição, o armazenamento do arquivo editado de volta nos servidores de armazenamento de arquivos SDNP não substitui o existente, a menos que o proprietário do arquivo especificamente assim o solicite. Em vez disso, a segunda versão é armazenada em acréscimo à primeira, e a eliminação da versão anterior exige que o usuário execute uma operação de apagar. Como o armazenamento de arquivos HyperSecure invariavelmente

Petição 870190124250, de 27/11/2019, pág. 347/571

342/381 requer verificação de identidade, o processo de salvar o arquivo editado pode incluir recursos exclusivos do sistema não disponíveis no armazenamento de arquivos que não tenha comunicação de rede HyperSecure dedicada. Uma vez que tal recurso singular é uma função de verificação da assinatura usada para assinar e datar (ou na Ásia para carimbar/cortar e datar) o arquivo. A função de assinatura pode incluir um recibo registrado enviado ao titular do documento e ao criador do documento original.

[00976] Para o armazenamento de dados HyperSecure feito de acordo com esta invenção, uma operação de apagar envolve sobrescrever todos os arquivos separados existentes com números aleatórios e, opcionalmente, fazêlo novamente uma hora depois para obscurecer ainda mais variações analógicas pequenas, mas potencialmente detectáveis, na carga elétrica ou campo magnético do bit armazenado. O registro do arquivo também é sobrescrito para confundir o registro de arquivo da unidade de dados. Depois de apagar o registro de dados e de arquivos, o enlace de dados do cliente é destruído no dispositivo cliente usando o recurso de mensagem autodestrutiva do sistema SDNP, e qualquer remanescente do enlace FS é expurgado do sistema SDNP. Se, no entanto, um administrador do sistema de arquivos vier rastreando a atividade de sua base de usuários com software de terceiros, o administrador ainda pode reter metadados no histórico do arquivo, incluindo seu proprietário, sua data de criação, quem acessou o arquivo e quando, e quando apagado, mesmo que ele não tenha acesso ao arquivo em si.

[00977] A rede SDNP e as funções de Ultima Milha HyperSecure também podem acomodar recursos e procedimentos operacionais diferentes para contas corporativas em relação a perfis de contas pessoais. Conforme descrito anteriormente, a operação de apagar em uma conta pessoal envolve re-escrever dados de lixo no arquivo, purgar o registro de índice da unidade da existência do arquivo e destruir todos os enlaces FS para os locais de armazenamento fragmentados anteriores do arquivo usando mensagens

Petição 870190124250, de 27/11/2019, pág. 348/571

343 /381 autodestrutivas. Para contas corporativas, no entanto, um administrador de armazenamento de arquivos pode exigir sua aprovação prévia para destruir permanentemente um arquivo, por exemplo, usando um processo de aprovação semelhante à caixa de diálogo 1769 na FIG. 96A, mas enviado para o administrador, em vez de para o proprietário do arquivo.

[00978] Se o administrador do arquivo da empresa optar por não permitir a exclusão dos arquivos, podem ocorrer vários cenários, incluindo (i) o proprietário do arquivo ser notificado de que o arquivo não será excluído e o enlace de leitura do arquivo ser mantido em seu aplicativo SDNP ou histórico de mensagem do comunicador SDNP, ( ii) o proprietário do arquivo ser notificado de que o arquivo não será excluído, por exemplo, ele será preservado para fins de arquivo, mas seu enlace de leitura de arquivo pessoal será removido de seu aplicativo SDNP usando o recurso de mensagens de autodestruição do sistema SDNP, ou seja, uma vez que o proprietário tentar excluir o arquivo, apenas o administrador de armazenamento de arquivos pode recuperá-lo, ou (iii) o enlace de leitura de arquivo pessoal do proprietário do arquivo ser removido de seu aplicativo SDNP usando o recurso de mensagens de autodestruição do sistema SDNP, mas ele não ser informado de que o arquivo foi retido pela empresa.

[00979] Por causa da HiperSegurança da Ultima Milha intrínseca à operação do sistema de armazenamento distribuído anônimo de arquivos fragmentados divulgado, sem um enlace de leitura de armazenamento de arquivos, os arquivos armazenados ficam irrecuperáveis, mesmo pelo administrador de armazenamento de arquivos. Para que o administrador tenha acesso a um arquivo, ele deve ser o enlace de leitura do armazenamento de arquivos correspondente sempre que um arquivo for salvo ou editado. Embora seja possível esse nível de monitoramento para uma conta corporativa, as grandes quantidades de dados gerados no rastreamento de cada alteração em cada arquivo invariavelmente sobrecarregarão qualquer sistema de

Petição 870190124250, de 27/11/2019, pág. 349/571

344/381 gerenciamento de arquivos. Um filtro inteligente possível com o sistema SDNP da forma que foi divulgado é rastrear apenas as tentativas de apagar arquivos. Nessa abordagem, o administrador não monitora a criação de arquivos, mas rastreia apenas as tentativas de excluí-los. Sempre que um proprietário de arquivo tentar excluir um arquivo, então e só então, o enlace de leitura do armazenamento de arquivo correspondente é transferido para o banco de dados ou console do administrador para aprovação ou arquivamento. [00980] O tamanho do banco de dados pode ainda ser minimizado, ao se identificarem funcionários e contratados específicos para os quais é necessário monitoramento. Por exemplo, se uma empresa se envolver em uma auditoria financeira ou uma ação judicial de patentes, normalmente as partes são informadas para não apagar nenhum dado relevante ou apagar nenhum arquivo. Usando recursos de gerenciamento de arquivos habilitados pelo sistema de armazenamento de arquivos SDNP divulgado, quaisquer tentativas de apagar arquivos por parte de pessoal relacionado à investigação podem ser rastreadas registrando-se a tentativa de apagar, e nesse momento enviar uma cópia do enlace de armazenamento de arquivos para o administrador de armazenamento de arquivos ou para o investigador independente, conforme o caso. Tal método é benéfico porque limita a quantidade de dados a serem monitorados e, naturalmente, alerta a administração sobre atividades suspeitas que sugerem uma tentativa de encobrimento de irregularidades. Para evitar a perda acidental ou maliciosa de um enlace de nome de armazenamento de arquivos pela destruição do próprio dispositivo do cliente e do proprietário do arquivo, toma-se imperativo o uso de enlaces de armazenamento de arquivos redundantes, conforme divulgado anteriormente. Em casos corporativos, pode-se manter a cópia de backup no computador localizado dentro de um escritório seguro ou em um servidor centralizado da empresa.

[00981] Em casos de extrema segurança, por exemplo, em casos de segurança nacional, apagar um arquivo pode envolver um método de vários

Petição 870190124250, de 27/11/2019, pág. 350/571

345 /381 passos, incluindo (i) sobrescrever o arquivo com dados aleatórios, (ii) copiar todos os outros arquivos fora da unidade de armazenamento para algum outro dispositivo de armazenamento (iii) realizar uma exclusão em massa da unidade, (iv) reformatar a unidade, (v) substituir os campos de armazenamento da unidade por números aleatórios, e opcionalmente (vi) copiar de volta os arquivos preservados, conforme necessário. Ao contrário de uma sobreposição convencional dos dados de um arquivo, um processo de exclusão em massa afeta o próprio meio de armazenamento de leitura e gravação ao naturalmente randomizar suas propriedades elétricas, magnéticas ou ópticas no nível molecular. Pode-se utilizar um grande eletroímã para apagar em massa uma unidade magnética; a operação de apagar em massa uma unidade flash pode envolver elevar os CIs a uma alta temperatura e, possivelmente, submetê-los à radiação ionizante com tensões de operação elevadas. As unidades magneto-ópticas podem ser apagadas em massa usando-se campos magnéticos elevados. As unidades ópticas regraváveis podem ser apagadas em massa usando-se um laser brilhante de escaneamento operado transversalmente às trilhas de formatação do disco. Em qualquer caso, o apagar em massa representa o caso extremo em que a mídia de armazenamento após o apagar fica completamente desprovida de dados, mesmo com o risco de danificar a mídia de armazenamento de modo que nunca possa ser usada novamente.

[00982] Outro fator importante em um sistema HyperSecure de armazenamento distribuído de arquivos é manter a integridade dos dados do arquivo e o acesso ao enlace. Para garantir que o enlace não seja perdido acidentalmente, de tempos em tempos é benéfico restabelecer, ou seja, reconfirmar, o enlace de leitura do armazenamento de arquivos e re-emitir as credenciais de segurança. Esse processo, aqui mencionado como um comando de atualização de enlace pode ser iniciado a partir do cliente de forma manual ou automática e também pode ser iniciado a partir de um servidor de

Petição 870190124250, de 27/11/2019, pág. 351/571

346/381 armazenamento de arquivos após um certo intervalo predefinido. Para solicitações iniciadas pelo cliente, o servidor de sinalização SDNP comunica um pacote de comando e controle para os servidores correspondentes. Uma vez iniciada uma atualização de enlace conforme mostrado na FIG. 100, os arquivos são lidos e decodificados pela operação de decodificação SDNP 175 IF no estado 320X, o estado antigo no momento ti em que eles foram criados anteriormente usando credenciais de segurança da zona U9. O arquivo é então recodificado pela operação de codificação SDNP 1750D usando o novo estado 920Y no tempo t2 e salvo na unidade de armazenamento. O enlace de armazenamento atualizado, por exemplo, enlace FS 3, é então enviado através da rede SDNP de volta para o proprietário do arquivo, o dispositivo cliente 1700A. O arquivo resultante inclui dados codificados atualizados com credenciais de segurança da zona U9 no tempo t2. No entanto, as credenciais de segurança do cliente na zona Ul usadas para originalmente criar e analisar o arquivo não são atualizadas. Para ler o arquivo, a operação de leitura deve primeiro decodificar o arquivo usando credenciais de segurança da zona U9 no estado correspondentes ao tempo t2 e então, após o transporte para o nó do cliente Ci,i, decodificar o arquivo usando credenciais de segurança da zona Z1 associadas ao tempo em que o arquivo foi feito pela primeira vez.

[00983] Como um outro recurso para maior segurança, a operação de redistribuir arquivo move cada arquivo separado para um enlace de armazenamento de arquivos selecionado para servidores de armazenamento de arquivos novos ou diferentes. A operação pode enviar os arquivos separados para servidores completamente novos ou, alternativamente, pode-se redistribuir os arquivos entre os nós de armazenamento existentes. Em cada caso, as credenciais de segurança são atualizadas e um novo enlace FS do arquivo emitido e enviado ao cliente ou clientes com acesso ao arquivo. Esta operação é mostrada como exemplo na FIG. 101, na qual o conteúdo do nó de

Petição 870190124250, de 27/11/2019, pág. 352/571

347/381 armazenamento de arquivos SDNP F?,i na zona U7 é decodificado pela operação de decodificação SDNP 1751H usando o estado 920X, o estado no momento ti no qual o arquivo foi criado. O arquivo é então transportado através da rede SDNP (não mostrado) para arquivar o nó de armazenamento de arquivos SDNP F₉,4, onde é codificado pela operação de codificação SDNP 1750L usando a credencial de segurança da zona U9 como estado 920Y correspondente ao tempo t2. O arquivo é então armazenado, e um enlace FS 2 atualizado é enviado para o proprietário do arquivo e outros clientes com acesso a arquivos.

[00984] Simultaneamente à transferência de arquivos acima mencionada, o conteúdo do nó de armazenamento de arquivos SDNP F9.4 na zona U9 é decodificado pela operação de decodificação SDNP 1751L usando o estado 920X, o estado no tempo ti no qual o arquivo foi criado. O arquivo é então transportado através da rede SDNP (não mostrado) para arquivar o nó de armazenamento de arquivos SDNP F₉,i, onde é codificado pela operação de codificação SDNP 1750M usando a credencial de segurança da zona U9 como estado 920Y correspondente ao tempo t2. O arquivo é então armazenado, e um enlace FS 3 atualizado é enviado para o proprietário do arquivo e outros clientes com acesso a arquivos. De forma semelhante, o conteúdo do nó de armazenamento de arquivos SDNP F₉,i na zona U9 é decodificado pela operação de decodificação SDNP 1751M usando o estado 920X, o estado no tempo ti no qual o arquivo foi criado. O arquivo é então transportado através da rede SDNP (não mostrado) para arquivar o nó de armazenamento de arquivos SDNP Ργ,ι, onde é codificado pela operação de codificação SDNP 1750H usando a credencial de segurança da zona U7 como estado 920Y correspondente ao horário t2. O arquivo é então armazenado, e um enlace FS 1 atualizado é enviado para o proprietário do arquivo e outros clientes com acesso a arquivos. Dessa forma, todos os três arquivos são realocados, novas credenciais de segurança são emitidas e são emitidos aos

Petição 870190124250, de 27/11/2019, pág. 353/571

348/381 clientes com acesso autorizado novos enlaces de armazenamento de arquivos com base nos enlaces FS 1, 2 e 3 atualizados.

[00985] Outra função de manutenção necessária realizada pelo sistema de armazenamento HyperSecure de arquivos é a operação usada para verificar se há arquivos sem enlaces ativos, ou seja, arquivos zumbis. A operação é semelhante à da operação de atualização de enlace, exceto que é o servidor de armazenamento de arquivos que inicia, e não o cliente ou proprietário do arquivo. Em operação, cada servidor de armazenamento de arquivos rastreia o tempo desde que um arquivo foi acessado pela última vez. Se a última operação no arquivo exceder um intervalo especificado, por exemplo, um mês sem atividade, o servidor de armazenamento de arquivos contata o cliente ou os clientes para confirmar se o enlace ainda está ativo. O servidor de armazenamento de arquivos é capaz de entrar em contato com o cliente usando o mesmo método empregado para enviar o enlace FS para o cliente. No momento em que um arquivo é armazenado, o servidor de armazenamento de arquivos retém um CEP SDNP ou pseudoendereço do cliente.

[00986] Caso não ocorra nenhuma atividade durante o intervalo especificado, o servidor de armazenamento de arquivos entra em contato com o servidor de sinalização SDNP com uma solicitação para confirmar novamente que o enlace permanece ativo. O servidor de sinalização SDNP então planeja a rota de entrega da solicitação de verificação do enlace FS para cada servidor de armazenamento de arquivos participante. Cada servidor de armazenamento de arquivos envia sua solicitação ao cliente através da rede SDNP. Cada nó de cliente SDNP participante responde com uma confirmação de que o enlace do arquivo ainda está presente no dispositivo. Se o enlace do arquivo for confirmado, nesse momento o cliente tem a opção de realizar uma atualização do enlace. Se, no entanto, nenhum dispositivo responder, ou seja, se não restar nenhum enlace de leitura de arquivo, então o servidor de armazenamento de arquivos informa ao administrador que um enlace do

Petição 870190124250, de 27/11/2019, pág. 354/571

349/381 arquivo ficou obsoleto ou está faltando, e depois de um certo intervalo, como de um a três meses, o arquivo zumbi não reivindicado é permanente e irrevogavelmente apagado.

[00987] Comunicação Registrada - Outra característica da comunicação SDNP feita de acordo com a presente invenção é a capacidade da rede de entregar ou armazenar comunicações registradas. A comunicação registrada envolve a entrega HyperSecure de comunicados ou o armazenamento HyperSecure de arquivos como mensagens assinadas com carimbo de tempo, incluindo a capacidade de assinar e cortar eletronicamente a comunicação para fins de estabelecer validade jurídica. A comunicação registrada também inclui a capacidade de enviar uma mensagem certificada, um método de aperto de mão confirmando o recebimento de um documento ou arquivo que use uma resposta cortada ou com carimbo de tempo. Toda comunicação registrada, embora iniciada pelo aplicativo SDNP em um dispositivo cliente, é certificada por meio de comunicação de Ultima Milha, ou seja, comunicação através da Ultima Milha da rede SDNP. Qualquer tentativa de um cliente de alterar fraudulentamente uma confirmação de carimbo de tempo resultará em uma inconsistência entre a mensagem e o registro da rede da confirmação do carimbo, ou seja, o recibo de devolução.

[00988] Devido ao uso de estado na comunicação SDNP, ou seja, quando se utilizam o tempo e outras variáveis únicas para estabelecer as credenciais de segurança específicas da mensagem em comunicados e no armazenamento de arquivos, o carimbo de tempo é uma característica intrínseca da comunicação SDNP. Esse ponto é exemplificado na janela do aplicativo comunicador SDNP 1800 mostrado na FIG. 102, na qual cada mensagem de texto enviada e recebida tem um conjunto correspondente de carimbos de tempo 1801A e 1801B mostrando quando a mensagem foi enviada, quando foi recebida e quando foi lida. As informações de tempo que compreendem uma referência de tempo global estabelecida pelo servidor de

Petição 870190124250, de 27/11/2019, pág. 355/571

350/381 sinalização SDNP são entregues ao cliente através da rede de Última Milha. O aplicativo do cliente SDNP então integra o carimbo de tempo na exibição de informações.

[00989] Em uma comunicação registrada, o comunicado gera um carimbo oficial como parte do processo. Um exemplo de um processo de comunicação registrado é mostrado na FIG. 103, na qual uma mensagem HyperSecure é executada começando com o passo opcional de anexar arquivo 1802, que envolve a caixa de diálogo 1803, em que o cliente que envia a mensagem ou arquivo, ou seja, o remetente, escolhe se anexa um arquivo à mensagem e, em caso afirmativo, usando um navegador de diretório para encontrar o arquivo. O diálogo de comando 1804 é usado em seguida para enviar a mensagem registrada de acordo com a caixa de diálogo 1805, escolhendo se deve usar a entrega regular ou registrada. A mensagem é então enviada usando a comunicação HyperSecure feita de acordo com a presente invenção.

[00990] No passo mensagem aceita 1806, a parte receptora completa uma série de passos necessários para confirmar sua identidade para acessar a mensagem e enviar um recibo autenticado confirmando sua aceitação da mensagem e arquivo de entrada. Esse processo começa com a operação de autenticação de recebimento 1807, na qual o cliente receptor é solicitado a confirmar sua identidade. Sem autenticar sua identidade, a parte receptora não poderá acessar a mensagem, a mensagem será destruída e o remetente será notificado do passo de autenticação fracassado. Dessa forma, o remetente pode ser alertado da possibilidade de a parte receptora ter tido seu dispositivo roubado. Uma vez confirmada a identidade, a parte receptora é solicitada na operação de autorização de recebimento 1808 se deseja aceitar a mensagem e o anexo de entrada ou rejeitá-los. Se a mensagem for rejeitada, o remetente será informado.

[00991] Se aceitar a mensagem ao escolher sim, a parte receptora deve

Petição 870190124250, de 27/11/2019, pág. 356/571

351/381 completar o passo de administração de recebimento 1809 para assinar o aceite da mensagem, seja escolhendo uma assinatura eletrônica (e-sig) e/ou selecionando um carimbo/chop (e-chop). O remetente pode especificar as opções necessárias. Em alguns países, é necessário que tanto um chop quanto uma assinatura sejam juridicamente vinculantes. Uma caixa de diálogo subsequente (não mostrada) direciona o usuário a localizar sua assinatura ou chop no diretório de arquivos do dispositivo. Altemativamente, pode-se usar uma gravação de áudio/vídeo como confirmação. O destinatário será instruído sobre o que ler durante a gravação. Uma vez assinada, a mensagem então toma-se visível para o destinatário, e o arquivo anexado fica disponível para visualização e, possivelmente, para download, dependendo dos requisitos do remetente.

[00992] Ao aceitar o documento, um recibo de mensagem assinado com o carimbo de tempo 1811 identificando o destinatário da mensagem, o texto incorporado e o nome de arquivo anexado recebido, a data e hora em que a mensagem foi recebida e uma assinatura que inclui uma assinatura eletrônica, um chop eletrônico, uma gravação de áudio, uma gravação de áudio-vídeo ou alguma combinação desses é enviada para o remetente na operação de reconhecimento 1810. Na opção de recibo de arquivo 1812, o remetente tem a oportunidade de salvar uma cópia do recibo de mensagem assinado com carimbo de tempo 1811 no sistema de armazenamento de arquivos HyperSecure do sistema, pelo qual o remetente receberá o enlace de leitura de arquivo 1813 necessário para recuperar a mensagem. Altemativamente, o recibo de mensagem 1811 pode estar disponível para download no dispositivo do remetente.

[00993] Problemas com Segurança Baseada em Encriptação - As agências governamentais de segurança argumentam que no mundo atual de fraude corporativa, roubo de IP, crimes cibernéticos, hackers, gangues criminosas, cartéis de drogas, mafiosos, yakuza, jihadistas e terroristas,

Petição 870190124250, de 27/11/2019, pág. 357/571

352/381 qualquer sistema de comunicação que forneça chamadas com comunicação anônima não rastreável, ou seja, sistemas que usem encriptação para proteger dados e ocultar a identidade do chamador (metaforicamente, um telefone público), representa uma prática comercial imprudente e irresponsável para o operador de rede, desenvolvedor de aplicativos e fabricante de dispositivos.

[00994] Infelizmente, é verdade que a comunicação que depende de encriptação para alcançar a segurança protege tanto os criminosos como os cidadãos cumpridores da lei. Conforme mencionado anteriormente, esse assunto tomou-se o foco de inúmeras notícias sobre a atividade criminosa dos terroristas do ISIS e seus ataques em Paris e na Bélgica usando um programa de aplicativo de celular chamado Telegram. Esse aplicativo facilita a comunicação segura usando encriptação de ponta a ponta, também conhecida como encriptação baseada no usuário final. Como as chaves de desencriptação são mantidas apenas pelas duas partes comunicantes e não pela rede interveniente ou pelo seu operador, a encriptação de ponta a ponta é especialmente problemática para os órgãos de segurança. Os órgãos de segurança que se mobilizam contra o Telegram argumentam que a encriptação de chave grande de ponta a ponta representa um risco de segurança nacional e até mesmo global que permite que os terroristas operem secretamente usando comunicações abertas. Os argumentos a favor do Telegram apoiam a privacidade pessoal a qualquer custo.

[00995] O debate sobre privacidade surgiu novamente em relação ao tiroteio de 2 de dezembro de 2015 em San Bernardino, Califórnia, que matou 14 pessoas e feriu 22, quando um juiz federal decidiu a favor do FBI ao ordenar que a Apple ajudasse a abrir um telefone bloqueado supostamente de propriedade do atirador. Em um artigo de 17 de fevereiro de 2016 do Washington Post intitulado Apple promete resistir à demanda do FBI para desbloquear o iPhone ligado a ataques de San Bernardino. A Apple e seu CEO citaram várias razões para sua recusa em cumprir a ordem judicial. O

Petição 870190124250, de 27/11/2019, pág. 358/571

353 /381 artigo está disponível online em (https://www.washingtonpost.com/world /national-security/us-wants-apple-to-help-unlock-iphone-used-by-sanbemardino-shooter/2016/02/16/69b903ee-d4d9-lle5-9823-02b905009f99_ story.html), [00996] Notavelmente, a Apple sustentou firmemente que era incapaz de desbloquear seus iPhones mais recentes para a aplicação da lei, mesmo quando os oficiais obtiverem um mandado, porque eles são projetados de tal forma que a Apple não detém a chave de desencriptação - essencialmente levantando o espectro de ainda outro exemplo do desafio da encriptação de ponta a ponta. A Apple alegou que apenas o usuário do telefone - ou alguém que conhecesse a senha - seria capaz de desbloquear o telefone. O governo refutou que não precisa deles para desbloquear o recurso de encriptação; basta desativar os recursos que limpam a memória do telefone após dez tentativas malsucedidas de login. Em uma declaração on-line, o CEO da Apple, Tim Cook, rebateu que tal passo enfraqueceria perigosamente a segurança do iPhone. Uma vez criada, escreveu ele, a técnica podería ser usada repetidas vezes, em qualquer número de dispositivos. No mundo físico, seria o equivalente a uma chave-mestra, capaz de abrir centenas de milhões de fechaduras - de restaurantes e bancos até lojas e casas. Nenhuma pessoa razoável acharia isso aceitável. Ele continuou: Opormo-nos a essa ordem não é algo que encaramos levianamente. Sentimos que devemos nos pronunciar diante do que consideramos como um exagero do governo dos EUA.

[00997] O último ponto mencionado pela Apple, de que o Departamento de Justiça dos EUA estava ultrapassando sua autoridade, é um argumento jurídico e não uma posição técnica, ecoando os sentimentos dos constitucionalistas e defensores da privacidade de que o Estado não tem o direito legal de monitorar as comunicações ou invadir a privacidade de uma pessoa sem causa provável. Embora o caso particular de San Bernardino

Petição 870190124250, de 27/11/2019, pág. 359/571

354/381 claramente atenda o argumento de causa provável, a ideia de criar uma porta dos fundos universal que possa abrir qualquer dispositivo de comunicação que seja contestado convida ao abuso por parte das autoridades. Em seu artigo de 23 de fevereiro de 2016, a publicação The Atlantic concordou: A Apple tem razão: o FBI quer penetrar em muitos telefones. No mesmo dia, o The Guardian informou que o FBI busca acesso a uma dúzia de iPhones, afirma a Apple.

[00998] Estranhamente, a mesma posição pró-privacidade foi tomada pelo Congresso dos Estados Unidos. Em I^o de março, em uma continuação da estória pelo The Guardian intitulada Congresso diz ao FBI que forçar a Apple a desbloquear iPhones é ‘um trabalho de um tolo’, legisladores dos EUA acusaram o Departamento de Justiça dos EUA de ultrapassar limites e solapar a privacidade. O caminho para o inferno começa na porta dos fundos, disse o advogado geral da Microsoft, Brad Smith, à Conferência RSA em São Francisco. Smith desafiou o setor de segurança de informática presente à reunião a juntar-se à Apple neste caso importante.

[00999] Durante o evento, numerosos especialistas em segurança, incluindo o denunciante da NSA Edward Snowden, expressaram a opinião de que desbloquear o telefone não é tão difícil como o FBI alegava. Falando via enlace de vídeo de Moscou para a conferência Projeto de Causa Comum para uma Grande Democracia (8 e 9 de março), Snowden disse: O FBI diz que a Apple tem os meios técnicos exclusivos para desbloquear o telefone. Respeitosamente, isso é besteira. Antes mesmo que o caso pudesse chegar aos tribunais, o FBI relatou que já tinham encontrado uma maneira de entrar no iPhone bloqueado. Em 29 de março de 2016, o artigo da Fortune Magazine relatou FBI pode não contar à Apple como conseguiu desbloquear o iPhone. [001000] As consequências jurídicas e geopolíticas do caso Apple-FBI são de amplo alcance. Seguindo a iniciativa do FBI, espera-se que outras nações insistam em backdoors para todos os dispositivos de comunicação

Petição 870190124250, de 27/11/2019, pág. 360/571

355 /381 conectados à sua rede - incluindo telefones transportados por cidadãos dos EUA que viajem para o exterior. Além disso, agora que o iPhone foi hackeado com sucesso, os criminosos invariavelmente descobrirão ou reinventarão esses métodos para se envolver em novas formas de crime cibernético e roubo de identidade. Para não serem suplantados por criminosos, os governos podem buscar empregar os mesmos métodos para expandir a vigilância e a espionagem, e até mesmo vários departamentos dentro do mesmo governo podem usar esses métodos para espionar as atividades uns dos outros. Em estórias relacionadas, vários governos estão considerando limitar o nível de encriptação usado na comunicação de ponta a ponta.

[001001] Coletivamente, esses eventos reforçam claramente a percepção de que nenhuma combinação óbvia de métodos de segurança existentes atualmente disponíveis de domínio público garante tanto a segurança quanto a privacidade, pelo menos não sem ajudar também os criminosos e terroristas. O problema decorre da dependência exclusiva de encriptação para alcançar tanto a segurança da rede quanto a segurança de ponta a ponta e sua privacidade de chamador associada. Aumentar a segurança de texto, voz ou arquivos pelo aumento do tamanho de uma chave de encriptação toma qualquer comunicado mais seguro e difícil de quebrar. A segurança reforçada protege as empresas e cidadãos cumpridores da lei ao manter segurança e privacidade e ao combater o roubo de identidade. Infelizmente, a mesma segurança reforçada protege indiscriminadamente os criminosos e os terroristas contra a detecção, permitindo-lhes operar com impunidade e invisibilidade.

[001002] Este ponto é ilustrado na FIG. 104A, na qual o chamador 1825A se comunica com o receptor 1825Q através de uma rede insegura, como a Internet 1821, que sofre de muitas vias de ataques cibernéticos, ou seja, a rede tem uma grande superfície de ataque de vulnerabilidade. Para reduzir a superfície de ataque, utilizam-se a encriptação 1026 e a

Petição 870190124250, de 27/11/2019, pág. 361/571

356/381 desencriptação 1032 para formar um tubo ou túnel encriptado 1820 com uma superfície de ataque menor do que a da rede 1821. O problema é determinar o tamanho de uma chave de encriptação que se deve usar. Conforme mostrado na tabela 1824, quanto maior a chave de encriptação, mais combinações existem e mais difícil é quebrar a encriptação. A encriptação é usada para dois propósitos: (i) fornecer segurança de rede para evitar ataques man-in-themiddle, e (ii) garantir a privacidade do chamador através de segurança de ponta a ponta. Conforme mostrado pela linha 1823, qualquer melhoria na segurança da rede resulta em um aumento equivalente na segurança de ponta a ponta. Embora a alta segurança da rede seja benéfica para evitar ataques mal-intencionados de fora, a encriptação excessiva de ponta a ponta é uma faca de dois gumes. Se for utilizado um tamanho de chave grande, por exemplo, AES256 ou AES512, o sistema oferece um desempenho de rede ultrassecreto e, naturalmente, fornece o mesmo grau de segurança para os chamadores. Entretanto, no caso em que o chamador seja um suspeito criminoso ou terrorista, nem o operador de rede nem o governo podem detectar ou monitorar as atividades do chamador.

[001003] O dilema do tamanho da chave é complexo. Se a chave de encriptação for pequena demais, os criminosos podem atacar a rede e seus usuários como alvos. Se a chave de encriptação for grande demais, os criminosos podem usar a rede para esconder suas atividades ilegais e frustrar os esforços dos investigadores para detectar fraudes e má conduta em curso. Em ambientes corporativos, a política de segurança da empresa pode rejeitar completamente a encriptação de ponta a ponta porque impede o monitoramento das atividades dos funcionários ou a conformidade com investigações corporativas e ações judiciais de IP.

[001004] Até mesmo determinar qual tamanho da chave é quebrável e o que é seguro é um desafio que muda com a evolução da tecnologia. Referindo-se novamente à tabela 1824, o número de combinações possíveis

Petição 870190124250, de 27/11/2019, pág. 362/571

357/381 que devem ser analisadas em um ataque de força bruta é calculado em função do tamanho da chave de uma cifra. Enquanto uma chave de 16 bits tem apenas 65.000 combinações, uma chave de 56 bits tem 10¹⁶ combinações, e uma chave de 128 bits tem mais de 10³⁸ combinações. Uma chave de 256 bits tem combinações 39 ordens de grandeza maiores do que a chave de 128 bits. Ignorando o uso do reconhecimento de padrões, um ataque de força bruta tenta cada combinação até conseguir quebrar um código. Em um artigo do EETimes intitulado Quão segura é a AES contra ataques de força bruta? (http://www.eetimes.com/document.asp?doc_id= 1279619), os autores estimam o tempo necessário para um supercomputador com tecnologia de 2012 capaz de 10,5 petaflops realizar um ataque de força bruta. Um petaflop são mil trilhões ou 10¹⁵ operações de ponto flutuante por segundo, ou mil teraflops. Como tal, uma chave de 56 bits requer apenas 399 segundos, uma chave de 128 bits requer 1,02 x 10¹⁸ anos, uma chave de 192 bits requer 1.872 x 10³⁷ anos, e uma chave de 256 bits requer 3,31 x 10⁵⁶ anos.

[001005] O tempo necessário para montar um ataque de força bruta também está mudando. Desde que o artigo foi escrito, o computador mais rápido do mundo já triplicou de velocidade. Segundo o artigo de notícias da BBC de 30 de julho de 2015, intitulado Supercomputadores: Obama pede o computador mais rápido do mundo, os investigadores relatam que a velocidade pretendida da próxima geração de supercomputadores é vinte vezes mais rápida que o detentor do recorde, ou seja, uma máquina capaz de um exaflop, ou um bilhão de bilhões de operações de ponto flutuante por segundo. Isso significa que o tempo necessário para quebrar encriptação continua a diminuir a cada ano que passa. Outra abordagem mais nova para quebrar a encriptação é empregar processamento maciçamente paralelo, o mesmo método que na mineração de Bitcoin. Em vez de ter um supercomputador, o uso de milhares ou milhões de computadores em paralelo permite que um ataque prossiga simultaneamente reduzindo

Petição 870190124250, de 27/11/2019, pág. 363/571

358/381 proporcionalmente o tempo. Os microprocessadores mais rápidos de hoje já rompem 1,1 teraflops, então trinta mil microprocessadores do tipo melhor-daclasse operando conjuntamente equivalem ao computador mais rápido do mundo no momento. Apenas um milhão de microprocessadores são necessários para criar um computador exaflop. ASICs dedicados podem diminuir ainda mais a segurança, enquanto a computação quântica promete mudar o poder da computação em muitas ordens de grandeza.

[001006] Em conclusão, a encriptação de chave grande de ponta a ponta não é uma boa solução para alcançar privacidade e segurança nas comunicações. A abordagem alternativa possibilitada pela rede SDNP e comunicação HyperSecure da Ultima Milha conforme divulgada aqui separa a encriptação de ponta a ponta da segurança da rede. Na FIG. 104B, a comunicação entre os clientes SDNP 1700A e 1700Q, representando chamador e receptor, respectivamente, é realizada pela rede SDNP 1831. A pequena superfície de ataque da rede é realizada pelo transporte de dados anônimo de múltiplas rotas em malha usando embaralhamento dinâmico, fragmentação, inserções de lixo e encriptação salto a salto, roteada usando-se comunicação tricanal para controle. Embora a comunicação de Ultima Milha e cada salto dentro da nuvem SDNP envolvam mudanças dinâmicas das credenciais de segurança, o processo é representado de forma simplificada pela operação de codificação SDNP 1832 e operação de decodificação SDNP 1833.

[001007] Conforme descrito pela tabela 1834 e ilustrado pelo segmento de linha 1830, esses métodos em várias combinações atingem a segurança equivalente a padrões de encriptação secretos ou ultrassecretos sem depender exclusivamente da encriptação. Como o segmento de linha 1830 é plano, isso significa que não há interdependência entre a encriptação de ponta a ponta mostrada no eixo y e a segurança da rede mostrada no eixo x. Em vez disso, pode-se ajustar o nível de segurança da rede do caso A para o caso D,

Petição 870190124250, de 27/11/2019, pág. 364/571

359/381 aplicando-se uma variedade de métodos de segurança SDNP. Essas operações de segurança são realizadas pelo software SDNP de uma forma em que o chamador e o receptor desconhecem as credenciais de segurança usadas para transportar os pacotes de dados através da rede SDNP 1831 e suas várias zonas de segurança. Em particular, os clientes da conversa não participam conscientemente da troca de chaves de nenhuma rede de encriptação de Ultima Milha. Como uma rede distribuída, o uso de encriptação dentro da nuvem SDNP não está relacionado à segurança da Ultima Milha, e não existem chaves-mestras para o sistema. Como tal, a segurança da rede SDNP 1831 não depende de encriptação de ponta a ponta realizada pela encriptação 1026 e desencriptação 1032 para produzir a tubulação ou túnel encriptados 1820.

[001008] A encriptação usada pela rede SDNP 1831 não precisa utilizar chaves de mesmo tamanho que o túnel encriptado de ponta a ponta 1820. Conforme mostrado no gráfico, aplicações de segurança comercial e corporativa de encriptação de ponta a ponta podem empregar a encriptação de chave de 128b (como AES128) ilustrada pela linha pontilhada 1835, mesmo que a encriptação dinâmica de salto único dentro da nuvem SDNP empregue AES256. Na verdade, a encriptação de ponta a ponta pode utilizar RSA ou outras alternativas cifradas sem comprometer a segurança da rede. A rede SDNP 1831 ainda está protegida pela encriptação AES compatível com a segurança de grau militar FIPS140-2, mesmo que o túnel de encriptação de ponta a ponta 1820 não esteja. Conforme descrito, a rede SDNP 1831 protege contra todos os ataques cibernéticos externos e ataques man-in-the-middle. O túnel de encriptação de ponta a ponta 1820 protege os chamadores contra a intervenção do operador de rede e outros trabalhos de hackers internos. A esse respeito, a encriptação de ponta a ponta na presente divulgação é usada principalmente para assegurar a privacidade do chamador, não para alcançar a segurança do transporte de pacotes de dados.

Petição 870190124250, de 27/11/2019, pág. 365/571

360/381 [001009] Como a encriptação de ponta a ponta pode ser aumentada ou diminuída em termos de potência ou até mesmo eliminada sem arriscar a segurança da rede, o método é adaptável para uma ampla gama de aplicativos. Por exemplo, se a chave de encriptação de 128b ilustrada pela linha pontilhada 1835 for muito rigorosa para pequenas empresas ou uso pessoal, pode-se diminuir o número de bits sem abrir mão da privacidade pessoal. Em aplicações militares ou governamentais, pode-se aumentar o comprimento da chave de encriptação para 192b, 256b ou mesmo 512b, conforme necessário. A esse respeito, o sistema SDNP divulgado supera as deficiências com a comunicação atual baseada em encriptação, oferecendo recursos indisponíveis em qualquer aplicativo, dispositivo ou rede alternativos.

[001010] Administração de Segurança - Outra característica fundamental da comunicação SDNP é sua abordagem única à administração de segurança. A administração de segurança é necessária em várias situações, incluindo:

Monitoramento das comunicações dos funcionários realizada de acordo com as políticas de RH ou investigações de funcionários,

Monitoramento e registro de comunicações dos funcionários em apoio a auditorias financeiras, contabilidade forense ou relatórios fiscais,

Documentação das comunicações entre empresas como parte de uma transação de fusão e aquisição,

Documentação da comunicação entre empresas como parte de litígios corporativos ou de IP,

Cumprimento das exigências de comunicados e documentos de acordo com intimações e investigações criminais,

O cumprimento de mandados legais para informações de conta, monitoramento de chamadas e mensagens e acesso a arquivos em questões de segurança nacional.

[001011] Com a devida autorização, um administrador de rede SDNP

Petição 870190124250, de 27/11/2019, pág. 366/571

361/381 pode facilitar o acesso do tráfego da rede SDNP a um agente de segurança SDNP designado com a finalidade de monitoramento de comunicação e vigilância de dados. O processo pelo qual se estabelece e habilita um agente de segurança SDNP envolve um processo de aprovação e autenticação de múltiplos níveis necessariamente realizado antes da atividade de monitoramento. Para evitar abusos, nenhum indivíduo é capaz de iniciar o monitoramento de forma independente, nem mesmo um administrador de rede SDNP. Devido à natureza dinâmica da comunicação SDNP como uma rede distribuída sem controle central, sem chaves-mestras de rede e empregando codificação e decodificação dinâmica SDNP executada usando-se credenciais de segurança específicas da zona que operam off-line em servidores DMZ, não há mecanismo para recuperar dados ou recuperar conversas ex post facto. Os dados residem dentro da rede SDNP por apenas curtos períodos, normalmente menos de 100 milissegundos. Como um sistema distribuído, por projeto a rede SDNP intrinsecamente carece de controle central, sem o qual até mesmo metadados de chamadas anteriores não estão disponíveis. Como tal, a rede SDNP suporta apenas um monitoramento de segurança a priori, o que significa que se deve estabelecer o monitoramento por um agente de segurança designado SDNP antes da interceptação de comunicados.

[001012] Além disso, devido à natureza dinâmica da comunicação fragmentada em malha dentro da nuvem SDNP, nenhum nó SDNP dentro da nuvem, ou seja, além do gateway SDNP, carrega os pacotes de dados de uma conversa completa. A maioria dos nós não carregam mais de 5 % dos dados e normalmente apenas por 10 ms de cada vez antes que o roteamento mude. De acordo com a comunicação SDNP, o roteamento dinâmico redireciona constantemente a comunicação através de diferentes servidores de mídia. Como tal, o acesso à nuvem não é útil para recuperação ou monitoramento de comunicados. Embora possam ser capturados, os pacotes de dados da nuvem SDNP compreendem uma confusão inútil de sons, dados, conversas e dados

Petição 870190124250, de 27/11/2019, pág. 367/571

362/381 de lixo. Em vez disso, o monitoramento por um agente de segurança designado SDNP só pode ocorrer produtivamente na Ultima Milha, por onde o conjunto completo de pacotes de dados relacionados necessariamente atravessa, seja dentro do dispositivo cliente ou de preferência no gateway SDNP.

[001013] Um exemplo de roteamento de pacotes de dados no monitoramento de segurança é mostrado esquematicamente na FIG. 105A, no qual o agente de segurança SDNP 1840 monitora uma conversa entre o dispositivo cliente SDNP 1600A e o dispositivo cliente SDNP 1600H. Embora a conversa ocorra usando pacotes de dados enviados do dispositivo cliente SDNP 1600A através do roteador de Ultima Milha 1602G para o gateway SDNP 1701U e através da nuvem SDNP, os pacotes de dados enviados do dispositivo cliente 1600A são fechados pelo gateway SDNP 1700U e roteados com segurança para o agente de segurança SDNP designado 1840. Especificamente, durante o transporte UDP, o pacote de dados da Ultima Milha 1630A carrega os dados SDNP 1 do cliente SDNP no endereço IP Ci,i para o gateway SDNP no endereço IP Mo,o que emerge do gateway SDNP no endereço IP Mo,4 e é entregue na Ultima Milha da zona U7 para o endereço do cliente SDNP IP 67,1. Durante o monitoramento autorizado, os dados clonados SDNP 1 são entregues com segurança ao agente de segurança SDNP 1840 no endereço IP SA. O pacote de dados de monitoramento clonado 1841 opera da mesma forma que uma chamada de grupo SDNP, exceto que os clones de dados duplicados são invisíveis para os chamadores. Portanto, os chamadores não têm consciência de que estão sendo monitorados.

[001014] O monitoramento de segurança também funciona para chamadas de entrada. Na FIG. 105B, os dados SDNP 7 são enviados do dispositivo do cliente 1600H com endereço IP ©7,1 para o gateway SDNP no endereço IP Mo,4· Após o transporte de nuvem SDNP, os dados são

Petição 870190124250, de 27/11/2019, pág. 368/571

363 /381 entregues do gateway SDNP no endereço IP Μο,ο para dois destinos. O primeiro destino, cliente 1600A no endereço IP Ci,i, recebe o pacote de dados de resposta 1640A contendo os dados SDNP 7. O segundo destino, o agente de segurança SDNP 1840, recebe uma carga útil idêntica contendo os dados clonados Dados SDNP 7 via pacote de dados 1842. A entrega do pacote de dados 1842 é invisível para os chamadores, de modo que eles não sabem que estão sendo monitorados.

[001015] O mesmo método é aplicável para o monitoramento do armazenamento distribuído de arquivos fragmentados. Entretanto, ao invés de capturar os arquivos de dados fragmentados, o agente de segurança só precisa receber uma cópia dos enlaces FS relacionados. Como no exemplo mostrado na FIG. 106, no qual o dispositivo de armazenamento de arquivos SDNP 1700H envia o pacote de dados 1740H contendo o enlace FS 1 do endereço IP Fi,i para o endereço de gateway IP Mo,4, que, depois de ser roteado através da nuvem SDNP, é encaminhado ao cliente 1600A pelo pacote de dados 1740A. A carga útil clonada enlace FS 1 também é entregue ao agente de segurança SDNP 1840 no endereço IP SA pelo pacote de dados 1843 enviado a partir do endereço de gateway IP Μο,ο· Como no caso da comunicação em tempo real, o proprietário do arquivo, cliente 1600A, não tem conhecimento de estar sendo monitorado pelo agente de segurança SDNP.

[001016] O mesmo mecanismo de monitoramento funciona para comunicação de Ultima Milha de múltiplas rotas, na qual os pacotes de dados entram e saem da nuvem SDNP através de mais de um gateway SDNP. Esse caso é ilustrado na FIG. 107, no qual a comunicação de Ultima Milha do dispositivo cliente 1600A compreende os pacotes de dados divididos 1630A contendo os dados SDNP da carga útil 1 e o pacote de dados 1630B carregando os dados SDNP da carga útil 2 entrando na nuvem através dos gateways SDNP 1701U e 1701V, respectivamente. Após o roteamento da

Petição 870190124250, de 27/11/2019, pág. 369/571

364/381 nuvem SDNP, os pacotes de dados se recombinam e são mostrados emergindo da nuvem como um único pacote de dados 1630L com uma carga útil contendo os dados SDNP combinados 3. Em operação, os gateways SDNP com endereços IP Mo,o e IP Mo,n são instruídos pelo servidor de sinalização para criar clones de dados SDNP de entrada 1 e dados SDNP 2 do nó do cliente Ci,i e direcioná-los ao agente de segurança SDNP 1840 no endereço IP SA. Os dados clonados são enviados nos pacotes de dados 1841Ae 1841B usando os mesmos métodos HyperSecure usados para todo o transporte de dados SDNP, exceto que o agente de segurança opera em sua própria zona de segurança única, ou seja, zona SA usando credenciais indisponíveis para qualquer outro dispositivo. Como tal, não há registro ou prova de que um agente de segurança designado jamais monitorou uma conversa particular.

[001017] Como as atividades de monitoramento SDNP são clandestinas e essencialmente equivalentes a uma teleconferência invisível indetectável, é fundamental que o sistema SDNP empregue verificações independentes para aprovar e confirmar o uso do monitoramento de rede e para designar e confirmar o agente de segurança SDNP autorizado a executar o monitoramento. O agente de segurança SDNP pode ser qualquer cliente SDNP, exceto o administrador da rede. Como salvaguarda contra a corrupção do sistema, nenhum operador de rede SDNP ou administrador SDNP está autorizado a agir como agente de segurança SDNP, ou seja, os que administram a rede não podem subverter suas capacidades para seu próprio uso, mesmo que sejam ameaçados ou chantageados.

[001018] O agente de segurança SDNP pode constituir um indivíduo, um agente do governo, um representante designado pelo governo ou um oficial da lei. As qualificações necessárias particulares de um agente de segurança designado variam de acordo com a empresa ou o país em conformidade com a legislação local aplicável. O hardware de monitoramento

Petição 870190124250, de 27/11/2019, pág. 370/571

365 /381 de um agente de segurança SDNP pode incluir um dispositivo de comunicação ou um servidor de computador com capacidade de registro, armazenamento de dados e desencriptação sofisticada. Todas as comunicações enviadas da rede SDNP ao agente de segurança designado SDNP são transportadas com a mesma comunicação HyperSecure que os próprios comunicados do cliente e, portanto, o monitoramento de segurança não compromete a confidencialidade da chamada ou a privacidade do chamador, exceto para o monitoramento realizado pelo agente de segurança autorizado.

[001019] Além disso, a implementação do monitoramento e as capacidades permitidas de um agente autorizado SDNP não comprometem de modo algum a integridade e a segurança da rede em um meio. Nenhum detalhe operacional ou segredos compartilhados DMZ são revelados ao operador de rede ou a quaisquer agentes de segurança - a operação do sistema SDNP ocorre de forma automática e autônoma sem a intervenção ou envolvimento de operadores humanos, enquanto os servidores DMZ fornecem segurança usando credenciais específicas da zona não disponíveis através de acesso on-line. Portanto, o monitoramento de segurança não degrada a segurança do sistema nem torna a rede SDNP vulnerável a ataques cibernéticos.

[001020] As cargas úteis de dados são entregues ao agente de segurança SDNP da mesma forma que são criadas pelo chamador. Como parte da entrega ao agente de segurança SDNP, toda a codificação SDNP da rede é decodificada para que não haja disposições de segurança de rede presentes nos pacotes de dados entregues. Se, no entanto, o cliente empregar encriptação de ponta a ponta, o agente de segurança SDNP terá que quebrar a encriptação de ponta a ponta do cliente a menos que o cliente concorde antecipadamente em compartilhar chaves de desencriptação de ponta a ponta com a rede ou usar um utilitário de servidor de chave independente acessível

Petição 870190124250, de 27/11/2019, pág. 371/571

366/381 pela rede SDNP. Para reiterar, essas chaves de encriptação e desencriptação de ponta a ponta são basicamente incluídas no método SDNP para fins de privacidade e não estão relacionadas a nenhuma encriptação usada na função de codificação dinâmica SDNP.

[001021] Para minimizar o risco de abuso de monitoramento, a administração SDNP usada para estabelecer e autorizar um agente de segurança designado SDNP a monitorar um cliente ou grupo de clientes é um processo de várias etapas. Embora o sistema SDNP inclua disposições para a realização de monitoramento, a aplicação jurídica desse recurso é de responsabilidade do operador da rede, do administrador da rede e da agência ou agentes autorizadores. Juntas, essas partes são pessoalmente responsáveis por garantir que o monitoramento seja realizado legalmente e em conformidade com as leis do país em que o monitoramento for realizado.

[001022] A necessidade de monitoramento pode surgir de várias situações. Em uma empresa, uma denúncia de denunciante ou uma alegação de assédio sexual pode desencadear uma investigação de RH ou precipitar a contabilidade pericial. Uma intimação judicial associada a uma questão litigiosa (potencialmente incluindo uma ordem de sigilo) também pode exigir monitoramento. Em assuntos corporativos, a comunicação que usa a rede SDNP da empresa é geralmente limitada aos comunicados da empresa e não abrange comunicações privadas e pessoais. Na maioria dos países, a comunicação privada é protegida a menos que se suspeite de intenção criminosa. Em casos de ações de segurança nacional ou de aplicação da lei, as contas SDNP públicas e privadas de um chamador podem estar sujeitas a monitoramento. Nesses casos, o operador de rede SDNP corporativo para a empresa implementaria o processo de monitoramento das comunicações da empresa, enquanto o operador de rede de telecomunicações SDNP independente seria o único provedor em posição de executar o monitoramento das comunicações privadas do chamador. Em alguns países, o governo deve

Petição 870190124250, de 27/11/2019, pág. 372/571

367/381 apresentar uma intimação aprovada pelo juiz para iniciar o monitoramento de cidadãos privados, enquanto em outros países um governo pode afirmar a autoridade para monitorar toda e qualquer comunicação privada em uma base de fato. Em casos de comunicação internacional, é mais difícil determinar quais leis são aplicáveis e qual deve ser a posição da rede sobre a habilitação do monitoramento de chamadas.

[001023] Um exemplo do processo AAA usado para habilitar o monitoramento é ilustrado na FIG. 108. O processo de aprovação do monitoramento de um cliente envolve o administrador da rede 1850 usado para configurar a operação de monitoramento, o agente de segurança 1840 encarregado de monitorar o cliente e três agentes autorizadores 1851A 1851B e 1851C usados para aprovar o processo de monitoramento, de preferência operando de forma autônoma e independente do operador de rede ou da administração da rede. O processo começa com o administrador da rede 1850 buscando solicitação de monitoração 1862 em resposta a uma investigação ou ordem judicial. Usando uma caixa de diálogo de comando 1862, o administrador identifica o número de telefone do indivíduo para o qual está sendo solicitado o monitoramento. Se a solicitação for para monitorar um grupo de pessoas, ela pode ser inserida uma a uma no sistema de um arquivo listando todas as partes, e seus respectivos números de telefone podem ser enviados para o sistema.

[001024] No passo de autorização 1863, o administrador da rede 1850 identifica um candidato a agente de segurança 1840 recomendado para executar a função de monitoramento usando a caixa de diálogo exemplar 1864. Em casos corporativos, o indivíduo pode ser diretor de RH, consultor jurídico, membro do comitê de auditoria e representante de uma empresa de contabilidade independente ou um investigador independente. Em casos legais, o agente de segurança pode ser um agente da lei, promotor, agente do FBI ou outro membro do comitê de investigação devidamente nomeado, por

Petição 870190124250, de 27/11/2019, pág. 373/571

368/381 exemplo, em casos de má conduta do governo, como um painel especial de investigações do comitê de acusação. Em seguida, o sistema verifica com o servidor de nomes SDNP 1714 para garantir que o agente de segurança tenha uma conta SDNP e que cumpra as regras especificadas pela empresa ou pelo operador de rede. Em alguns casos, envolvendo segurança nacional, uma investigação de acompanhamento das credenciais e antecedentes criminais dos agentes de segurança propostos pode ser realizada antes de eles serem aprovados.

[001025] Uma vez aprovado o agente de segurança, no passo de autorização 1865, a solicitação de monitoramento é roteada aos agentes autorizadores 1851 A, 1851B e 1851C, que revisam as informações apresentadas na caixa de diálogo 1866, incluindo o nome de descrição do assunto, o nome ou cargo do agente de segurança encarregado de realizar o monitoramento, a duração esperada da investigação de monitoramento, e a razão para a investigação. Cada agente autorizador pode aceitar ou rejeitar a solicitação. As regras do operador de rede ou empresa então determinam se a operação de monitoramento é aprovada com base na aprovação unânime dos agentes autorizadores ou por maioria simples. A identidade dos agentes autorizadores pode ser conhecida, como em casos corporativos; nos casos criminais, suas identidades podem permanecer anônimas protegidas pelos recursos de comunicação anônima da rede SDNP.

[001026] Uma vez aprovado o monitoramento, no passo de administração 1867, o banco de dados 1868 de clientes é atualizado no servidor de nomes 1714 para etiquetar o cliente SDNP a ser monitorado e identificar o cliente SDNP autorizado como agente de segurança, neste exemplo a linha sombreada de dados. Os endereços SDNP neste banco de dados são atualizados juntos em termos diários, quando os endereços SDNP são embaralhados para manter a mesma relação entre o cliente que está sendo monitorado e o agente de segurança designado. Uma vez que a data da

Petição 870190124250, de 27/11/2019, pág. 374/571

369/381 investigação expire, o enlace de monitoramento é automaticamente cortado. No passo administrativo 1869, o agente de segurança SDNP 1840 recebe um enlace permitindo que ele receba toda a comunicação contínua do cliente identificado que está sendo monitorado. Seu uso dessas informações não é uma questão de operação da rede SDNP. A liberação não autorizada das informações privadas de uma pessoa pelo agente de segurança pode constituir um crime pelo qual o agente de segurança é totalmente responsável.

[001027] Através desse método inventivo de monitoramento, a rede SDNP é, assim, capaz de apoiar as investigações criminais de má conduta e potenciais atividades terroristas, mantendo um meio de comunicação seguro para os cidadãos cumpridores da lei. A rede SDNP é capaz de entregar com segurança às autoridades a comunicação do cliente privado em conformidade com as ordens judiciais legais sem arriscar a privacidade de civis inocentes ou comprometer a segurança da rede de comunicação global SDNP. Uma vez que não foi empregada nenhuma chave-mestre ou de backdoor em cumprimento da ordem judicial, a comunicação futura através da rede SDNP permanece anônima e HyperSecure. Dessa forma, a rede e protocolo de comunicação dinâmica segura e sua comunicação HyperSecure da Ultima Milha é capaz de oferecer recursos de segurança não disponíveis por nenhum outro meio e evita completamente o risco de ajudar a criminalidade e o terrorismo criado pela dependência excessiva de encriptação de ponta a ponta empregada por OTTs e praticamente todos os aplicativos de mensagens e comunicação.

[001028] Superação de Vulnerabilidades SS7 - Se a controvérsia Apple-FBI não foi problema suficiente para os setores de comunicações e segurança, um episódio do programa 60 Minutes (http://www.cbsnews.com/news/60-minutes-hacking-your-phone/) revelou grave vulnerabilidade de segurança com o Sistema de Sinalização 7 (SS7), o canal de controle de sinal para telefonia sem fio convencional. Como

Petição 870190124250, de 27/11/2019, pág. 375/571

370/381 claramente demonstrado no programa, a vulnerabilidade do SS7 potencialmente expõe todos os smartphones e dispositivos conectados à detecção de pacotes e ataques cibernéticos, permitindo a espionagem de conversas sem fio e visualização de texto SMS, arquivos anexados e fotos simplesmente sabendo o número de telefone de uma pessoa.

[001029] O Sistema de Sinalização 7 é um protocolo de sinalização de telefonia desenvolvido em 1975 usado em todas as formas de telefonia digital globalmente. Ele compreende uma parte de transferência de mensagens ou MTP operando na camada PHY 1, enlace de dados camada 2 e camada de rede 3 para lidar com o roteamento de chamadas. O roteamento de ponta a ponta é gerenciado usando-se uma parte de controle de conexão de sinalização (SCCP) operando na Camada 4 de transporte. O protocolo também inclui uma série de funções de aplicativo da Camada 7 envolvidas no faturamento, roaming e autorização de chamadas. O protocolo SS7, embora inevitavelmente necessário, é extremamente vulnerável a ataques e representa um risco grave para garantir a telefonia convencional.

[001030] Em abril de 2016 (https://en.wikipedia.org/wiki/Signa lling_System_No._7) um comitê de supervisão do Congresso dos EUA informou que as aplicações para essa vulnerabilidade são aparentemente ilimitadas, desde criminosos que monitoram alvos individuais a entidades estrangeiras que realizam espionagem econômica sobre empresas americanas até estados-nação que monitoram funcionários do governo dos EUA. ... A vulnerabilidade tem sérias ramificações não só para a privacidade individual, mas também para a inovação, competitividade e segurança nacional americanas. Muitas inovações em segurança digital - como a autenticação multifatorial usando mensagens de texto - podem ser inúteis.

[001031] Os ataques cibernéticos do SS7 essencialmente estão na categoria de detecção de pacotes, interceptando tanto conteúdo quanto metadados usando a formatação específica das informações SS7 como guia. O

Petição 870190124250, de 27/11/2019, pág. 376/571

371/381 protocolo SS7 fornece essencialmente um modelo de informações pelo qual as informações do pacote podem ser interpretadas. Conforme mostrado na FIG. 109, o problema começa com o cartão SIM ou módulo de identidade do assinante, que contém vários tipos de informações pessoais sobre um assinante e sua conta. Conforme mostrado, usa-se o cartão SIM 1880 da operadora, geralmente emitido por um provedor de rede, para identificar um telefone 32 para uma rede celular ilustrada pelas antenas 25 A, 25B e 25C com enlaces de rádio correspondentes 28A, 28B e 28C. Cada cartão SIM inclui um identificador exclusivo, o ICCID ou documento de identificação de cartão de circuito integrado, um número de 18 ou 19 dígitos usado para identificar intemacionalmente o cartão SIM. A identidade internacional de assinantes móveis (IMSI) identifica a rede de operadores individuais, ou seja, a rede doméstica em que o cartão SIM funciona. O provedor de rede local usa o número IMSI para se comunicar com o cartão SIM para estabelecer chamadas.

[001032] O cartão SIM também inclui um código móvel de país (MCC), um número de três dígitos para identificar o país onde o cartão SIM se originou. Ao fazer chamadas telefônicas internacionais de um telefone celular, é necessário o MCC como parte da sequência de discagem. Exemplos de MCCs incluem 310-316 para os Estados Unidos, 234 - 235 para o Reino Unido, 460 para a China, 208 para a França, 250 para a Rússia, 262 para a Alemanha, 302 para o Canadá e 724 para o Brasil. O MCC é usado em conjunto com um código de rede móvel (MNC) para identificar o provedor de rede que emitiu o cartão SIM. Uma lista completa de códigos está listada on-line em https://en.wikipedia.org/wiki/Mobile_country_code. O cartão SIM também inclui um número de diretório de assinante internacional de estação móvel (MSISDN) de 15 dígitos para definir de forma única o assinante e o tipo de rede em que o SIM opera. O cartão SIM também possui um número de telefone do usuário e um diretório de texto SMS, incluindo um registro de

Petição 870190124250, de 27/11/2019, pág. 377/571

372/381 chamadas de entrada e de saída e textos enviados juntamente com informações de hora e data. Nos últimos anos, as operadoras começaram a usar cartões SIM especializados com os chamados elementos seguros para armazenar credenciais de cartão de crédito, a fim de facilitar os pagamentos móveis.

[001033] Como os códigos MCC, MNC e MSISDN são transmitidos como parte do processo de conexão, o país de origem e a operadora de qualquer cartão SIM e o número de telefone associado do assinante podem ser facilmente identificados por intrusões SS7 e detector de pacotes. Os dados transmitidos 1881 podem ser facilmente usados para rastrear a identidade do chamador através de diretórios de telefone, informações on-line ou mídia social, ou seja, através de perfis. Uma vez identificado e correlacionado, o número de telefone e o SIM podem ser usados para monitorar as atividades do assinante, não importa para onde possam viajar globalmente. A encriptação não obscurece as informações ou metadados da chamada subjacente. Mesmo com a encriptação de ponta a ponta, os pacotes de dados podem ser facilmente identificados como sendo da mesma conversa, capturados e armazenados para tentativas subsequentes de decifrar.

[001034] Além de metadados e conteúdo, a localização de um chamador também é comprometida pela vulnerabilidade SS7. Em qualquer rede celular, o telefone envia mensagens para as torres de celular locais identificando que está disponível na célula particular. Esses pacotes de registro são enviados a intervalos regulares. Monitorar esses pacotes permite que a localização de um telefone com um cartão SIM específico seja descoberta, mesmo que o telefone não esteja em uma chamada e mesmo que o GPS esteja desligado. De tal maneira, a localização e o deslocamento de um assinante podem ser rastreados sem o seu conhecimento.

[001035] Apesar das vulnerabilidades intrínsecas do SS7, a comunicação HyperSecure da Ultima Milha feita de acordo com a rede e

Petição 870190124250, de 27/11/2019, pág. 378/571

373 /381 protocolo de comunicação dinâmica segura repele os ataques SS7 ao obscurecer dados de chamadas significativos no Ultimo Enlace. Em particular, a comunicação HyperSecure da Ultima Milha oferece vantagens significativas de segurança em relação à telefonia convencional ou comunicações na Internet OTT, incluindo o seguinte:

[001036] A comunicação HyperSecure da Ultima Milha não revela o número de telefone ou endereço IP da parte que está sendo chamada ou recebendo mensagem, mesmo que essa parte não seja um cliente SDNP.

[001037] A comunicação HyperSecure da Ultima Milha não identifica se os pacotes de dados sequenciais fazem parte da mesma chamada ou representam pacotes de dados não relacionados com destinos diferentes.

[001038] Ao esconder a especificidade de chamada dos pacotes de dados, a comunicação HyperSecure da Ultima Milha obscurece metadados em relação aos horários de chamada.

[001039] A comunicação HyperSecure da Ultima Milha codifica dinamicamente as cargas úteis, impedindo o acesso não autorizado ao conteúdo do pacote e protegendo a privacidade da comunicação de voz, vídeo e texto, bem como imagens, arquivos e outros conteúdos.

[001040] Assim conforme descrito, a comunicação que usa a rede e protocolo de comunicação dinâmica segura divulgadas e a comunicação HyperSecure da Ultima Milha não é afetada pela vulnerabilidade SS7. Como a comunicação SDNP ocorre usando seu próprio protocolo e é transportada por cargas úteis codificadas, nenhum dado de chamada ou conteúdo pode ser extraído de um pacote de dados SDNP mesmo para pacotes transportados por um canal aberto não encriptado, como telefonia 2G, 3G e 4G/LTE. O detector de pacotes é, portanto, ineficaz no lançamento de ataques cibernéticos contra a codificação SDNP e o transporte de dados fragmentado.

[001041] Camuflagem SDNP - Dado o acima, o único impacto que a vulnerabilidade SS7 tem na comunicação SDNP é revelar a localização de um

Petição 870190124250, de 27/11/2019, pág. 379/571

374/381 chamador. Como o número de telefone no SIM de uma operadora está ligado à identidade de cada usuário, sempre que o telefone celular for ativado, ele necessariamente se comunica com as torres de telefonia celular mais próximas, mesmo quando não estiver ocorrendo nenhuma chamada telefônica. Essas informações de torre de celular podem então ser usadas para triangular a localização de um usuário e rastrear as viagens de um assinante, mesmo com o GPS desligado. Como esse rastreamento não autorizado depende do SS7, os dispositivos que usam os cartões SIM de uma operadora convencional são vulneráveis ao rastreamento de localização, mesmo aqueles que operam como clientes SDNP.

[001042] Conforme mostrado no esquema de rede simplificado da FIG. 110, um aprimoramento para a Comunicação HyperSecure de Ultima Milha aqui mencionado como camuflagem SDNP frustra completamente o rastreamento do assinante. Para implementar esse recurso, o cartão SIM 1880 de operadora normal é substituído por um cartão SIM SDNP 1882. O cartão Sim SDNP está registrado para o operador de rede SDNP, não para o assinante, de modo que nenhuma informação pessoal do assinante fica contido no cartão SIM SDNP 1882. O cartão SIM SDNP 1882 é semelhante a um cartão SIM pré-pago na medida em que tem acesso à rede, mas não tem nenhuma informação pessoal. Em vez disso, as informações pessoais do titular da conta estão todas contidas com segurança nos servidores de nomes da rede SDNP e não são acessíveis a hackers ou suscetíveis a ataques cibernéticos.

[001043] Em operação, a camuflagem SDNP esconde a verdadeira identidade do proprietário, empregando um cartão SIM 1882 conhecido apenas pelo operador da rede SDNP. Como tal, usa-se o número de telefone contido no cartão SIM para estabelecer uma Camada PHY 1 e conexão 28B de Camada 2 de enlace de dados entre o telefone celular 32 e a torre de celular 25B, mas não para fornecer roteamento. Em vez disso, os endereços de

Petição 870190124250, de 27/11/2019, pág. 380/571

375 /381 origem e destino do pacote de dados para roteamento de Última Milha são gerenciados pelo aplicativo SDNP 1335A e o gateway SDNP 1601A de acordo com as instruções do servidor de sinalização SDNP 1603A.

[001044] Roteadas através do gateway SDNP 1601 A, as chamadas do aplicativo SDNP aparecem com um número diferente do número do cartão SIM. Essa tradução do número de cartão SIM físico para o número de telefone SDNP é realizada pelo servidor de nomes SDNP 1604A, que, durante o encaminhamento de chamadas traduz o número de telefone SDNP para o número de telefone SIM de acordo com a tabela de tradução 1885, dessa forma camuflando o número físico do cartão SIM para quaisquer usuários. Usando a camuflagem SDNP, a verdadeira identidade do proprietário do telefone fica completamente oculta. Para fazer uma chamada para o cliente SDNP, os chamadores externos fazem sua chamada para o n° SDNP, mesmo que não sejam clientes SDNP. A rede SDNP roteia automaticamente a chamada para o cliente SDNP sem nunca revelar o número de telefone do cartão SIM. Analogamente, um cliente SDNP faz uma chamada para o receptor não-SDNP, o destinatário da chamada vê uma chamada de entrada do n° SDNP, e não do número do cartão SIM. Dessa forma, o SDNP desempenha uma função em telefonia semelhante à de um gateway NAT na comunicação via Internet, exceto que o sistema SDNP é uma rede em tempo real e a Internet não é.

[001045] Como a verdadeira identidade do usuário do telefone 32 nunca é revelada pela chamada 28B, triangular a localização do telefone não é útil porque seu usuário e toda a comunicação permanecem anônimos. Como tal, rastrear a localização de telefones celulares não identificados não é benéfico para os hackers e isso contorna as vulnerabilidades do SS7. No caso de um cliente SDNP estar viajando intemacionalmente, o viajante pode comprar um cartão SIM pré-pago local e vinculá-lo ao seu número SDNP. O assinante SDNP ainda receberá chamadas feitas para seu número de telefone SDNP,

Petição 870190124250, de 27/11/2019, pág. 381/571

376/381 mas o Ultimo Enlace ocorrerá usando o cartão SIM local, evitando assim as tarifas de roaming. Dessa forma, um único número de telefone SDNP funciona como um número global sem despesas de longa distância.

[001046] SDNP Sub-redes - Usando seus nós de comunicação baseados em software SoftSwitch exclusivos, a nuvem de comunicação SDNP pode ser implantada remotamente em qualquer rede de computadores interconectados, privados ou hospedados publicamente. Exemplos de redes de servidores incluem redes privadas alugadas publicamente, como as hospedadas pela Microsoft, Google e Amazon. A FIG. 111 ilustra duas nuvens SDNP implantadas em duas redes de servidores separadas. Conforme mostrado, a nuvem SDNP composta pelos servidores 1901 A, 1901B, 1901C e 1901D hospeda os nós de comunicação SDNP Mo,o, Mo,4, Mo,7 e Mo,8, respectivamente. Uma segunda nuvem SDNP composta pelos servidores 1902A, 1902B e 1902C hospeda os nós SDNP Μιο,ο, Μιο,ι e Mio,2, respectivamente. Como utilizam credenciais de segurança separadas, zona Z0 e zona Z10, respectivamente, as duas nuvens SDNP são completamente distintas e incapazes de compartilhar informações diretamente. Um único cliente SDNP mostrado como telefone celular 32 executando o aplicativo SDNP 1335 pode, no entanto, com autorização adequada, acessar ambas as nuvens, embora estejam hospedadas por diferentes provedores de locação de servidores de computador. Conforme mostrado pelo exemplo, o cliente SDNP Ci,i é capaz de acessar o nó de gateway SDNP Mo,7 na nuvem da zona Z0 usando a comunicação HyperSecure da Ultima Milha através do roteador 1910 e acessar o nó de gateway SDNP Μιο,ο na nuvem da zona Z10 usando a comunicação HyperSecure da Ultima Milha através do mesmo roteador 1910 sem risco de misturar as conversas ou pacotes de dados.

[001047] O acesso às duas nuvens independentes é feito através de um aplicativo comunicador comum UI/UX 1920. O acesso a cada nuvem é compartimentalizado em caixas de areia de diálogo separadas 1921A e

Petição 870190124250, de 27/11/2019, pág. 382/571

377/381

192IB. Embora se possa baixar informações da caixa de areia da conta pessoal 1921A para o telefone, exportar dados da caixa de areia da conta comercial 1921B depende do negócio e da administração de segurança da empresa.

[001048] Conectar um dispositivo às nuvens SDNP requer a instalação no dispositivo de um aplicativo SDNP, seja como software ou firmware. A instalação envolve (i) baixar o aplicativo (ii) confirmar a identidade do dispositivo com um código de autorização gerado pela rede SDNP (iii) estabelecer credenciais de identificação pessoal, e (iv) receber aprovação para participar de uma nuvem SDNP específica. Uma vez ativado, o aplicativo SDNP cria conexão HyperSecure de Ultima Milha com as nuvens SDNP independentes. Em muitos casos, a validação de identidade e a autenticação do usuário para a conta comercial são mais elaboradas do que as necessárias para o acesso à conta pessoal e podem implicar métodos de autenticação multifatoriais.

[001049] Como a comunicação SDNP é baseada em software, com credenciais de segurança distintas e separadas para cada nuvem de comunicação, não há interação entre nenhuma rede de comunicação SDNP instalada mesmo quando hospedadas pelos mesmos servidores. Com credenciais de segurança específicas da zona definindo exclusivamente cada nuvem SDNP personalizada, não há duas nuvens SDNP iguais e, portanto, são incapazes de compartilhar dados diretamente. De forma benéfica, várias nuvens SDNP podem coexistir dentro do mesmo servidor ou rede de servidores sem risco de vazamento de dados. O acesso a uma rede de negócios é controlado, conforme definido de acordo com a exigência do proprietário da nuvem. Como tal, é proibida a mistura das duas contas e nuvens de comunicação ao compartilhar servidores de hospedagem comuns, operando com a mesma segurança como se fossem necessários dois telefones diferentes para se conectar às duas redes separadas. A autonomia das nuvens

Petição 870190124250, de 27/11/2019, pág. 383/571

378/381

SDNP específicas da zona, on sub-redes, é demonstrada ainda mais na FIG. 112, na qual os servidores 1901 A, 1901B, 1901C e 1901D hospedam duas nuvens simultaneamente - uma nuvem composta pelos nós de comunicação de zona Z0 SDNP Mo,o, Mo,4, Mo,7 e Mo,8, respectivamente, e uma segunda composta pelos nós de comunicação de zona Z7 SDNP Μγ,ο, Μγ,4, M₇.₇ e Μ₇,8· Apesar de operar dentro dos mesmos servidores, a comunicação HyperSecure usando os protocolos estabelecidos pelo SDNP impede qualquer troca direta de dados. O acesso é, portanto, gerenciado por comunicação de Ultima Milha, não por meio da troca direta de dados entre nuvens.

[001050] A comunicação SDNP não se limita a servidores públicos alugados privadamente, mas também pode ser personalizada para diferentes tipos de empresas ou órgãos governamentais. Na verdade, as empresas privadas muitas vezes preferem hospedar suas próprias redes, especialmente em aplicações críticas de negócios. Exemplos de redes privadas incluem FedEx, Walmart, IBM, etc. Por razões de confidencialidade, as redes utilizadas por institutos de pesquisa, universidades e centros médicos também são frequentemente auto-hospedadas. Utilizam-se também redes de servidores privados para hospedar aplicativos globais de nuvem de negócios, como SalesForce.com, Box.com, Dropbox, eTrade, SAP, etc.; plataformas de comércio eletrônico e redes de comparação de compras como eBay, Amazon.com, Priceline.com, e-Insurance; serviços de streaming de mídia como YouTube, Amazon Prime, Netflix, Hulu, Comcast Xfinity; e mídias sociais, como Facebook, Twitter e Snapchat.

[001051] Em grandes empresas, o departamento de TI pode optar por operar redes separadas para a entidade-mãe e suas subsidiárias. Entretanto, em muitas empresas hospedadas privadamente, os custos de infraestrutura são considerados um fator importante no design da rede. Em vez de dar suporte a dois sistemas baseados em hardware completamente diferentes, o sistema SDNP oferece a uma empresa a capacidade de implantar suas redes usando

Petição 870190124250, de 27/11/2019, pág. 384/571

379/381 uma combinação de recursos de servidor separados e compartilhados. Conforme ilustrado na FIG. 113, duas pessoas jurídicas, por exemplo, uma empresa-mãe e sua subsidiária, co-hospedam uma rede de servidores composta por servidores separados e compartilhados. Em particular, os servidores 1903, 1904B, 1904C e 1904D hospedam os nós de comunicação de zona Z7 Μγ,ο, Μγ,4, Μγ,γ, e Μγ,8, respectivamente para a entidade-mãe corporativa, enquanto os servidores 1901 A, 1901B, 1901C e 1903 hospedam os nós de comunicação de zona Z0 correspondentes Μο,ο, Mo,4, Mo,7 e Mo,8 para a subsidiária local da empresa. Conforme ilustrado, o servidor 1903, por exemplo, hospeda dois nós de comunicação SDNP, a saber, o nó Μγ,ο, para a entidade-mãe e o nó Mo,8 para a subsidiária. Devido às suas credenciais de segurança distintas, nenhum dado é compartilhado diretamente entre as nuvens SDNP de mãe e subsidiária, embora o servidor 1903 e outros (não mostrados) sejam compartilhados por ambas as entidades. Embora os funcionários sejam geralmente limitados a acessar apenas a nuvem de seu empregador, no caso dos diretores corporativos, pode ser necessário o acesso a ambas as nuvens. Usuários devidamente autorizados como os mostrados pelo aplicativo comunicador SDNP UI/UX 1920 incluem caixas de areia de diálogo separadas 1921C e 1921D para as várias pessoas jurídicas. Dessa forma, um telefone celular ou tablet pode acessar várias nuvens SDNP de diferentes pessoas jurídicas, sem risco de mistura de dados, como se o usuário estivesse carregando vários telefones.

[001052] O recurso de multiperfis do aplicativo SDNP, que usa credenciais de segurança HyperSecure de Ultima Milha para habilitar ou proibir o acesso a várias nuvens SDNP, permite um número ilimitado de perfis de conta de um único aplicativo SDNP. Na FIG. 114 por exemplo, o cliente SDNP C14 é capaz de fazer chamadas globais sem taxas de longa distância através da companhia telefônica global SDNP da zona Z99, que compreende os servidores 1909A a 1909E, que hospedam os nós SDNP M994

Petição 870190124250, de 27/11/2019, pág. 385/571

380/381 a M99.5, respectivamente, mas também para ter acesso a outras nuvens, por exemplo, a nuvem corporativa da zona Z9 composta pelos servidores 1905A, 1905B e 1905C, que hospedam os nós SDNP Μθ,ο, Mg,4 e Mç,s e também para chamada para assinantes da nuvem da zona Z0 através dos servidores 1901 A, 1901B, e 1901C, que hospedam os nós SDNP Mo,o, Mo,4 e Mo,8, respectivamente. Os privilégios de acesso a qualquer nuvem são aplicados através da comunicação de Ultima Milha para o gateway SDNP e gerenciados pelo servidor de sinalização SDNP do sistema e pelo servidor de nomes SDNP usado para administrar os usuários autorizados.

[001053] A comunicação SDNP é igualmente aplicável em redes de alta segurança e acesso restrito necessários para o governo e a segurança. Por exemplo, nos Estados Unidos, a comunicação restrita de segurança é necessitada por uma variedade de departamentos, incluindo os de aplicação da lei local e estadual, FBI, Guarda Nacional dos EUA, Agência de Segurança Nacional dos EUA, forças armadas dos EUA (separada e conjuntamente), o Departamento de Estado dos EUA, juntamente com redes de servidores do Congresso e do legislativo. Outros países hospedam similarmente redes separadas para vários órgãos governamentais.

[001054] Para apoiar o acesso a uma nuvem específica em termos de precisar saber, pode-se implementar arquiteturas de sub-rede aninhadas usando-se métodos e tecnologia de comunicação SDNP. Por exemplo, na FIG. 115 uma estrutura de nuvem SDNP aninhada inclui uma nuvem segura composta pelos servidores de computador alugados 1907A a 1907D que hospedam os nós SDNP de comunicação Mo,o, Mo,4, Mo,5 e Mo,9, respectivamente. A comunicação nessa “concha” de rede externa envolve credenciais de segurança da zona Z0 e é exibida na caixa de areia de diálogo de nível secreto 1912E conforme exibido no comunicador SDNP 1920. A nuvem aninhada também inclui um núcleo interno de segurança aprimorado com credenciais de segurança da zona Z8 composto por servidores

Petição 870190124250, de 27/11/2019, pág. 386/571

381/381 hospedados pelo governo 1906A, 1906B e 1906C e os nós de servidor SDNP correspondentes Mg,o, Mg,2 e Mg,4. Para ter acesso ao núcleo da zona Z8, o cliente Ci,i deve ter autorização de segurança “ultra secreta” e se comunicar através de caixa de areia de comunicação endurecida 1921F. Uma aplicação governamental exemplar dessa tecnologia está no Departamento de Estado dos EUA, onde a comunicação ultrassecreta na zona Z8 se restringe ao acesso por embaixadores e pelo Secretário de Estado, enquanto outros funcionários de embaixada dos EUA em todo o mundo estão limitados a comunicação secreta HyperSecure usando credenciais de segurança da zona Z0.

Claims (9)

1. REIVINDICAÇÕES

   1. Método de transmissão de pacotes de dados de um dispositivo cliente para a nuvem, os pacotes de dados sendo compreendidos em uma comunicação, a nuvem compreendendo uma pluralidade de nós de mídia e uma pluralidade de nós de porta de comunicação, os nós de mídia e os nós de porta de comunicação sendo hospedados em servidores, caracterizado pelo fato de que o método compreende:

   transmitir um primeiro pacote de dados na comunicação do dispositivo cliente para um primeiro nó de porta de comunicação; e transmitir um segundo pacote de dados na comunicação do dispositivo cliente para um segundo nó de porta de comunicação.
2. 2. Método de acordo com a reivindicação 1, caracterizado pelo fato de que compreende transmitir o primeiro pacote de dados do dispositivo cliente para o primeiro nó de porta de comunicação através de uma primeira mídia física e transmitir o segundo pacote de dados do dispositivo cliente para o segundo nó de porta de comunicação através de uma segunda mídia física.
3. 3. Método de acordo com a reivindicação 2, caracterizado pelo fato de que a primeira mídia física compreende um enlace de telefone celular e a segunda mídia física compreende um canal WiFi.
4. 4. Método de acordo com a reivindicação 2, caracterizado pelo fato de que compreende prover o primeiro pacote de dados com um primeiro endereço fonte e prover o segundo pacote de dados com um segundo endereço fonte.
5. 5. Método de acordo com a reivindicação 1, caracterizado pelo fato de que compreende prover o primeiro pacote de dados com um primeiro endereço fonte e prover o segundo pacote de dados com um segundo endereço fonte.
6. 6. Método de transmissão de pacotes de dados de um dispositivo cliente para a nuvem, os pacotes de dados sendo compreendidos em uma comunicação, a nuvem compreendendo uma pluralidade de nós de mídia e uma pluralidade de nós de porta de comunicação, os nós de mídia e os

   Petição 870190124250, de 27/11/2019, pág. 388/571

   2/2 nós de porta de comunicação sendo hospedados em servidores, caracterizado pelo fato de que o método compreende:

   transmitir um primeiro pacote de dados do dispositivo cliente para o primeiro nó de porta de comunicação através de uma primeira mídia física; e transmitir um segundo pacote de dados do dispositivo cliente para o segundo nó de porta de comunicação através de uma segunda mídia física.
7. 7. Método de acordo com a reivindicação 6, caracterizado pelo fato de que a primeira mídia física compreende um enlace de telefone celular e a segunda mídia física compreende um canal WiFi.
8. 8. Método de acordo com a reivindicação 6, caracterizado pelo fato de que compreende prover o primeiro pacote de dados com um primeiro endereço fonte e prover o segundo pacote de dados com um segundo endereço fonte.
9. 9. Método de transmissão de pacotes de dados de um dispositivo cliente para a nuvem, os pacotes de dados sendo compreendidos em uma comunicação, a nuvem compreendendo uma pluralidade de nós de mídia e uma pluralidade de nós de porta de comunicação, os nós de mídia e os nós de porta de comunicação sendo hospedados em servidores, caracterizado pelo fato de que o método compreende:

   prover um primeiro pacote de dados com um primeiro endereço fonte; e prover um segundo pacote de dados com um segundo endereço fonte.