单向物理隔离网闸的利记博彩app

专利名称：单向物理隔离网闸的利记博彩app
技术领域：
单向物理隔离网闸是一种为了在两个互为隔离的网络间安全、高效、可控的进行应用层数据交换的产品。属于网络安全的电子技术领域。
背景技术：
计算机网络信息系统的发展，给人们的学习、生活、工作带来了很大的便利。但是同时，由于计算机网络信息系统本身的脆弱性，也给人们带来了巨大的安全威胁。信息安全和网络安全日益受到政府和社会的广泛关注，同时也受到计算机和网络技术专家的高度重视。
为了保护计算机网络信息系统，许多单位目前通常采用加密、病毒检测、防火墙、入侵检测等安全措施。这些措施都从一个或者多个方面保护了单位的计算机网络信息系统资源。
但是，每种安全技术不可避免均存在自身的局限性，都不可能完全解决安全问题。例如防火墙位于网络的信息出入口，它采取包过滤、网络地址转换、应用层代理等措施对网络进行保护。在很大程度上，防火墙能够使得单位内部网络达到相当高的安全级别，例如，可以限制源IP、目的IP、服务等。但是，防火墙本身也有着一定的局限性，例如，不能防范不通过它的连接、不能防止由于应用程序(例如CGI程序)的安全隐患而带来的安全问题等。同时，防火墙产品与所有的计算机软硬件产品一样，不可避免地存在着自身的安全性问题。由于防火墙程序正确性的不可证明性，很难保证防火墙不存在安全漏洞。当防火墙存在的漏洞被发现并被恶意利用时，防火墙就有可能被入侵者接管，从而防火墙规则将遭其篡改，而导致整个网络被攻破，造成数据泄密等严重后果，这对于重要的国家单位、部门是尤其不可接受的。
防病毒和入侵检测也各自有着各自的安全功能，但是，同样也存在着各自技术上的不足。目前的防病毒软件与入侵检测系统采用了类似的技术，及通过“特征库”的方式来匹配是否病毒或入侵行为，因而，如果该“特征库”中没有这种“特征”的话，这些攻击就不会被检测到。对于成指数发展的计算机网络领域而言，每天都有新的漏洞、新的病毒、新的攻击方法出现，这也就意味着“缓慢”的特征库更新无法赶上“飞速”的攻击发展，因而单纯使用这些技术来进行安全防护，对于安全防护体系而言，是远远不够的。
许多单位人员也已认识到了这些安全技术的不足，因此，在许多重要单位、或者不同的部门之间，采用建设两个完全物理隔离的计算机网络来保障关键应用。中办和国办在中办发 17号文件中明确提出“电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。”这种保护措施对于重要数据的保护是非常有效的。
但是，随着电子政务和电子商务活动的展开，为了向外发布或收集信息，要求在政府/企业的内部网络与互联网之间，或者政府/企业内部的不同网络之间进行信息交流。由于多个网络之间是完全物理隔离的，在目前，要实现不同网络之间的信息交流只能采用最原始的方式，即通过人为干预的方式来实现，定期将需要转移的数据拷贝到软盘等存储介质上，然后再将其复制到目标网络中。
随着电子政务、电子商务的开展，在不同网络之间交换数据的数量和频率呈几何级上升，而且不同网络的安全级别不同，对数据的流向也希望能有效的控制，因此，在网络之间的文件传输给管理人员带来了巨大的工作量，同时也带来了网络间信息流的迟滞，信息不能实现在网络间及时的共享。这种原始的解决方案已经越来越无法满足用户的需求。
实用新型内容本实用新型发明的目的在于克服现有技术的不足，发明一种单向物理隔离网闸，目标是在两个互为隔离的网络间安全、高效、可控的进行应用层数据交换。
为实现本实用新型的发明目的，单向物理隔离网闸所采用的技术方案是这样的单向物理隔离网闸在硬件上由内网主机模块、外网主机模块、数据交换模块和1+1热备双电源模块组成。
进一步地，单向物理隔离网闸的数据交换模块通过控制线分别与内网主机模块和外网主机模块对称连接，构成了双主机加内存交换模块的结构。
进一步地，单向物理隔离网闸的内网主机模块、外网主机模块、数据交换模块和1加1热备双电源模块放在1U标准机箱内。
进一步地，单向物理隔离网闸的数据交换模块以双端口RAM芯片为核心，双端口RAM通过内存总线分别连接左右两侧端口；双端口RAM两侧的A0----A12地址总线、I/O0----I/O15数据总线、R/W信号线、CE信号线、OE信号线、UB信号线、LB信号线、Busy信号线、SEM信号线、INTL信号线分别与内外网主机交换模块内存总线的A0----A12地址总线、I/O0----I/O15数据总线、R/W信号线、CE信号线、OE信号线、UB信号线、LB信号线、Busy信号线、SEM信号线、INTL信号线对应连接。
进一步地，单向物理隔离网闸中内、外网主机模块分别通过双排插针与数据交换模块双端口RAM卡紧密插接在一起，双排插针中的29--41管脚分别与地址总线A0--A12相连；双排插针中的7--22管脚分别与数据总线I/O0--I/O15相连；双排插针中的49--56管脚分别与R/W信号线、CE信号线、SEM信号线、OE信号线、UB信号线、LB信号线、INTL信号线、Busy信号线相连。
进一步地，内外网主机模块分别通过四个角的螺丝定位在机箱底板上，内外网主机模块分别通过双排插针与数据交换模块双端口RAM卡紧密插接在一起，构成一个整体；双端口RAM卡在通过四个角的螺丝定位在机箱底板上。
进一步地，1+1热备双电源模块并列排放在1U标准机箱内，其固定方式是通过四个弹簧螺丝拧在机箱上实现。
进一步地，单向物理隔离网闸的CPU选用国产方舟Arca-2芯片。
进一步地，通过机箱外部的锁，控制doc电子盘的写脚跳线，实现对doc允许写和禁止写的物理控制。
本实用新型的优点在于(1)将单向物理隔离网闸连接在两个物理隔离的网络之间，这两个网络在物理层依然是隔离的。
(2)单向物理隔离网闸具有高速的信息交换能力，在两个网络之间的信息交换速度达到200Mbps且具有进一步扩展能力。
(3)单向物理隔离网闸在1U机箱内采用热备电源，加上专门设计的连接方式和低功耗主板使得系统的可靠性大幅度提高。
(4)单向物理隔离网闸采用doc读写线控制技术，使得系统物理上具有单向传递性，提高系统的物理安全性。
(5)采用国产CPU为核心的专有主板设计，能防止利用Intel X86系统的漏洞进行攻击。


图1为本实用新型内部结构示意图；1为热备双电源模块，2为内网主机模块，3为外网主机模块，4为数据交换模块。
图2为本实用新型硬件体系结构图。
图3为本实用新型数据交换模块硬件控制逻辑图。
图4为双排插针中内存总线连接方式示意图。
图5为内网主机模块、外网主机模块、数据交换模块三模块连接方式示意图。
图6为为本实用新型电源连接俯视图。
具体实施方式
以下结合附图说明本实用新型的实施方式。
(1)整机硬件体系结构单向物理隔离网闸在功能逻辑上由三部分组成(如图1所示)，即内网主机模块2、外网主机模块3和数据交换模块4。系统电源采用1+1热备电源1，机箱采用标准1U机箱。
其整机特征为在1U标准机箱内，供电方式采用热备双电源设计，同时系统包含内网主机模块、外网主机模块和数据交换模块三个模块。数据交换模块分别连接内网主机模块和外网主机模块构成一个整体。
(2)双主机系统+内存交换模块的体系结构在内外网双主机系统和数据交换模块的体系结构中，内网主机模块和外网主机模块的硬件为国产自行设计专有主板主机系统，主板采用6层板设计，含有地层和抗干扰层，以提高系统的抗干扰性和可靠性。数据交换模块为双端口RAM卡，即采用内存交换方式实现数据交换模块的功能。基于内存交换方式的数据交换模块通过控制线和内外网主机模块相连，构成双主机系统+内存交换模块的体系结构。
单向物理隔离网闸通过两侧主机模块对数据交换模块互斥的读写完成内外主机系统在物理上隔离的同时，把数据从一侧交换到另一侧交换的工作。其连接示意图如图2所示，其中内网主机模块2和外网主机模块3为完全对称的两套主机系统。
内网主机模块其外部接口包括1、一个RJ45网络接口，作为内网管理端口，连接内网管理计算机。
2、一个RJ45网络接口，作为内网网络端口，连接内网网络。
3、一个DB9标准串口，作为串口管理登录口，连接内网管理计算机。
4、两个USB接口，作为系统扩展，用于用户身份认证、外接设备等用途。
外网主机模块其外部接口包括1、一个RJ45网络接口，作为外网管理端口，连接外网管理计算机。
2、一个RJ45网络接口，作为外网网络端口，连接外网网络。
3、一个DB9标准串口，作为串口管理登录口，连接外网管理计算机。
4、两个USB接口，作为系统扩展，用于用户身份认证、外接设备等用途。
数据交换模块4通过控制线分别于内网主机模块和外网主机模块对称连接。两侧主机模块通过对busy控制线的占用/释放实现对数据交换模块互斥的读写。
(3)数据交换模块的硬件控制逻辑数据交换模块以双端口RAM芯片为核心。双端口RAM通过内存总线分别连接左右两侧端口。其工作原理为通过CE片选信号，某侧选中双端口RAM，如果需要读写双端口RAM，则判断busy线空和闲，如果为闲，则获取控制权并禁止另一端获取控制权，然后根据应用层读或写指令置位R/W线，如果是写指令，通过数据线I/O0--I/O15把数据写到A0--A15地址线表达的地址空间中，如果是读指令，把A0--A15地址线表达的地址空间中的数据读到数据线I/O0----I/O15上来。
从上面工作原理可以看到，双端口RAM平时相当于空置在中间态，当两侧主机系统某一侧获取控制权时，另一侧禁止访问，反之亦然，从而使得两侧主机系统不可能同时访问双端口RAM，也就是物理上不可能同时连接在一起，更不可能同时读写双端口RAM，从而实现两侧网络物理上的隔离。
数据交换模块的硬件控制逻辑连接如图3所示，以左侧写数据到右侧为例，工作流程如下1)左侧系统采用轮询方式检测双端口RAM状态。
2)系统接到应用层发来的写指令请求，检测轮询的双端口RAM状态是否为空闲。
3)如果不空闲，则回到2直到空闲。如果空闲则获取控制权，同时置位另一侧busy线有效，禁止另一侧访问。
4)根据应用层协议，写应用层数据到指定的地址空间中。
5)发送写完成中断给双端口RAM，双端口RAM无效另一侧busy线，同时发送中断信号给另一侧系统。
6)另一侧系统相应中断，根据应用层协议，读指定空间的数据。
7)完成一次数据的读写交换。
其控制线的连接方式为双端口RAM两侧的“A0--A12地址总线”分别连接内外网主机交换模块内存总线的A0--A12地址总线。
双端口RAM两侧的“I/O0-I/O15数据总线”分别连接内外网主机交换模块内存总线的I/O0--I/O15数据总线。
双端口RAM两侧的“R/W”信号线分别连接内外网主机交换模块内存总线R/W信号线。
双端口RAM两侧的“CE”信号线分别连接内外网主机交换模块内存总线CE信号线。
双端口RAM两侧的“OE”信号线分别连接内外网主机交换模块内存总线OE信号线。OE信号线表示操作有效。
双端口RAM两侧的“UB”信号线分别连接内外网主机交换模块内存总线UB信号线。UB信号线表示传递的字节高位有效。
双端口RAM两侧的“LB”信号线分别连接内外网主机交换模块内存总线LB信号线。LB信号线表示传递的字节低位有效。
双端口RAM两侧的“Busy”信号线分别连接内外网主机交换模块内存总线Busy信号线。busy信号线表示系统忙。
双端口RAM两侧的“SEM”信号线分别连接内外网主机交换模块内存总线SEM信号线。
双端口RAM两侧的“INTL”信号线分别连接内外网主机交换模块内存总线INTL信号线。
双端口RAM两侧的A13--A15地址总线保留未用，可以通过对其的使用扩展双端口RAM芯片的带宽和容量，使系统能满足大容量、双通道内存交换的功能需求。
下面给出一个采用双排插针作为控制线连接方式的应用实例，双排插针为有上下两排插针孔位的接插件，假定以安装双排插针的一边为主板正面，则面对主板正面，左下角为图中的1号管脚，其管脚的连接方式如图4所示，地址总线A0--A12分别与双排插针中的29--41管脚相连，数据总线I/O0--I/O15分别与双排插针中的7--22管脚相连，R/W信号线、CE信号线、SEM信号线、OE信号线、UB信号线、LB信号线、INTL信号线、Busy信号线分别与双排插针中的49--56管脚相连。
双排插针的方式使得主板A和主板B与双端口RAM卡之间能紧密结合，提高了系统的可靠性。同时该设计还预留了42、43、44三根地址线没有用，在系统需要时，可以兼容并扩充A13、A14、A15三根地址线，使得系统达到16位地址线寻址的功能。
(4)三模块物理上的连接，紧固方式(如图5)内网主机模块A和外网主机模块B分别通过四个角的螺丝“◎”定位在机箱底板上，主板A和主板B分别通过双排插针与双端口RAM卡紧密插接在一起，双端口RAM卡在通过四个角的螺丝“◎”定位在机箱底板上，这样三个模块紧密连接，牢固的定位在机箱底板上，减少了板与板之间的接插件，使得系统抗震，防松脱的能力大幅度提高，有效的提高了系统的可靠性。
(5)1U标准机箱内，双电源热备的供电方式本实用新型在1U标准机箱内，采用双电源热备并排排列的供电方式。如图6为从上部俯视电源连接的示意图，左侧为产品正侧。虚线部分为机箱板，电源模块A、电源模块B为两个相同，但独立的电源模块，通过接口插槽和电源背板连接，组成互为热备的电源组，在1U机箱内并排排列。由于1U机箱高度有限，电源模块A和电源模块B并列排放，因此其固定方式是通过四个弹簧螺丝拧在机箱上实现，即拧紧螺丝则电源固定，拧松螺丝，弹簧使螺丝弹出，从而可以手捏螺丝拔出电源进行更换。这样的设计解决了1U机箱体积较小，而热备电源无法放入的问题，使得安全网闸能够满足一些可靠性要求比较高的行业和场合，同时1U机箱的设计使得机型美观，并能降低成本。
(6)采用国产CPU设计的本款主板本实用新型选用国产CPU设计专有主板用于安全网闸产品中。
下面给出选用国产方舟Arca-2芯片为系统CPU的应用实例。国产方舟2号是一款面向信息终端设备的高性能、低功耗、高集成度SOC芯片。集成了高性能CPU核心和PC架构南北桥中的大部分功能，是网络计算机和信息终端设备的理想解决方案。
方舟Arca-2号为非Intel指令系统的RISC处理器芯片，其CPU核心工作频率高达400MHz，最大功耗只有360毫瓦，具有完整的MMU功能，支持硬件调试，哈佛总线结构，集成了8K/16K指令高速缓存和8K/16K数据高速缓存。此外，方舟2号集成了32位PCI总线控制器，支持多种内存类型的外部存储器接口，USB1.1控制器，10/100Mbps自适应以太网控制器，符合AC97标准的音频控制器，串口通信控制器，红外控制器，智能卡控制器，以及直接访存控制器、时钟发生器、功耗管理器、中断控制器、时钟定时器、看门狗时钟、通用IO端口等大量外围模块。方舟2号是业界最具竞争力的高性能、低功耗微处理器产品。
(7)doc盘读写控制和物理上单向传递性doc(Disk on Chip)盘实质类为于硬盘，对以操作系统层面而言可以类似硬盘访问一样的透明操作。
由于doc盘是以芯片的形式出现，因此对其的写是通过相应的写控制线置位来完成，为了从物理上控制doc盘的写能力，系统通过跳线方式来实现doc盘的写控制。
系统通过机箱外部的锁，扭动锁到禁止档，则跳线不连接，写控制线悬空，doc不能写；扭动锁到允许档，则条线连接，写控制线连通，当有写信号过来时，doc可以响应并执行写操作。
由于系统的配置和程序均放置在doc上，因此当配置好机器时，扭动锁到禁止档，系统将按照配置运行，除非有人物理接近该机器，并且修改配置才能更改运行状态。而信息在两个网络之间的传递策略由配置决定，由于doc盘的不可写，相当于物理上固化了配置信息，当配置内容要求信息只能从一侧网络流向另一侧时，实际上从物理上决定了信息的单向传递性。
本实用新型采用的电源为65W*2热备电源，内、外网主机模块用CPU为方舟Arca-2，主板型号是专有主板，内存为HYNIX 128MB或以上，doc盘是M-systems MD2811-D16-V3 DOC TSOP；数据交换模块的双端口RAM是IDT IDT70V15S 8K X 16 DUAL-PORT SRAM。
权利要求1.一种单向物理隔离网闸，其特征在于该单向物理隔离网闸由内网主机模块、外网主机模块、数据交换模块和1加1热备双电源模块组成。
2.如权利要求1所述的单向物理隔离网闸，其特征在于所述数据交换模块通过控制线分别与内网主机模块和外网主机模块对称连接，构成了双主机加内存交换模块的结构。
3.如权利要求1所述的单向物理隔离网闸，其特征在于所述内网主机模块、外网主机模块、数据交换模块和1加1热备双电源模块放在1U标准机箱内。
4.如权利要求2所述的单向物理隔离网闸，所述数据交换模块以双端口RAM芯片为核心，双端口RAM通过内存总线分别连接左右两侧端口；双端口RAM两侧的A0-----A12地址总线、I/O0-----I/O15数据总线、R/W信号线、CE信号线、OE信号线、UB信号线、LB信号线、Busy信号线、SEM信号线、INTL信号线分别与内外网主机交换模块内存总线的A0----A12地址总线、I/O0----I/O15数据总线、R/W信号线、CE信号线、OE信号线、UB信号线、LB信号线、Busy信号线、SEM信号线、INTL信号线对应连接。
5.如权利要求4所述的单向物理隔离网闸，其特征在于所述内、外网主机模块分别通过双排插针与所述数据交换模块双端口RAM卡紧密插接在一起；双排插针中的29-41管脚分别与地址总线A0--A12相连，双排插针中的-7-22管脚分别与数据总线I/O0-I/O15相连，双排插针中的49-56管脚分别与R/W信号线、CE信号线、SEM信号线、OE信号线、UB信号线、LB信号线、INTL信号线、Busy信号线相连。
6.如权利要求3或5所述的单向物理隔离网闸，其特征在于所述内外网主机模块分别通过四个角的螺丝定位在机箱底板上，内外网主机模块分别通过双排插针与所述数据交换模块双端口RAM卡紧密插接在一起，构成一个整体；双端口RAM卡在通过四个角的螺丝定位在机箱底板上。
7.如权利要求3所述的单向物理隔离网闸，其特征在于所述1加1热备双电源模块并列排放在1U标准机箱内，其固定方式是通过四个弹簧螺丝拧在机箱上实现。
8.如权利要求1所述的单向物理隔离网闸，其特征在于单向物理隔离网闸的CPU可选用国产方舟Arca-2芯片。
9.如权利要求3所述的单向物理隔离网闸，其特征在于通过所述机箱外部的锁，控制doc电子盘的写脚跳线，实现对doc允许写和禁止写的物理控制。
专利摘要本实用新型公开了一种单向物理隔离网闸，该单向物理隔离网闸在硬件上由内网主机模块、外网主机模块、数据交换模块和1+1热备双电源模块组成。它能在两个互为隔离的网络间安全、高效、可控的进行应用层数据交换。它在1U机箱内采用1+1热备双电源，加上内、外网主机模块分别通过双排插针与数据交换模块双端口RAM卡紧密插接在一起，使得系统的可靠性大幅度提高。
文档编号H04L12/66GK2687972SQ20032012670
公开日2005年3月23日 申请日期2003年12月9日 优先权日2003年12月9日
发明者杨立志, 吴赣, 杨明, 童兆丰 申请人:北京京泰网络科技有限公司