[发明专利]一种核电专用安全网闸系统及数据处理方法

权利要求书

1.一种核电专用安全网闸系统，其特征在于，包括内网主机、外网主机和数据摆渡模块；

所述内网主机用于接收数据包并传输至数据摆渡模块；

所述外网主机用于对从数据摆渡模块接收到的数据包进行数据转发；

所述数据摆渡模块分为外网侧数据摆渡模块和内网侧数据摆渡模块，

所述内网侧数据摆渡模块与内网主机之间，所述外网侧数据摆渡模块和外网主机之间通过PCIE接口进行通讯，所述内网侧数据摆渡模块和外网侧数据摆渡模块之间通过两路单向光纤进行通信，无其他物理反馈通路；

所述内网侧数据摆渡模块用于将内网主机通过PCIE接口传送的数据包进行缓存，解析缓存的数据包并将数据包通过单向光纤传输至外网侧数据摆渡模块；

所述外网侧数据摆渡模块用于将内网侧数据摆渡模块通过两路单向光纤传输过来的数据包缓存，并对两路数据包进行一致性对比及CRC校验，对比一致则根据预设规则对任一路数据包进行检测、过滤，将符合要求的数据包通过PCIE接口写入到外网主机；对比不一致则进行CRC校验，然后根据预设规则将CRC校验正确的数据包进行检测、过滤，将符合要求的数据包通过PCIE接口写入到外网主机，如果两路数据包CRC校验全错，则丢弃此数据包。

2.根据权利要求1所述的一种核电专用安全网闸系统，其特征在于，所述内网主机和外网主机采用国产CPU平台龙芯3A3000处理器，主频1.2G Hz，搭配龙芯自主7A1000桥片，板载DDR3 4G内存，6个千兆网口，支持两路PCIE X8扩展。

3.根据权利要求1所述的一种核电专用安全网闸系统，其特征在于，所述内网主机和外网主机内均嵌入Z32H320TC可信计算模块，通过LPC接口与CPU通信，并以此可信计算模块为可信根，逐步构建从固件、操作系统到应用系统的信任链。

4.根据权利要求1所述的一种核电专用安全网闸系统，其特征在于，所述外网侧数据摆渡模块和内网侧数据摆渡模块均由硬件控制模块、光电转换模块和光纤组成，所述硬件控制模块均采用XC7A100T FPGA芯片，支持4对Serdes收发器，预留两对Serdes收发器作为光口使用后，最多支持一个PCIE x2 Lane核，每个Lane线速5Gbps。

5.根据权利要求4所述的一种核电专用安全网闸系统，其特征在于，所述数据摆渡模块使用XILINX公司的VIVADO软件开发FPGA芯片的逻辑程序，内网侧FPGA芯片逻辑程序包括配置PCIE IP核，DMA控制器，Serdes收发器和数据收发模块；所述内网侧FPGA芯片的DMA控制器用于将内网主机内存中的数据通过PCIE接口读入到内网侧FPGA芯片内部的FIFO缓存中；所述内网侧FPGA芯片中的数据收发模块用于将FIFO中缓存的数据进行解析并通过Serdes收发器和两路单向光纤传输至数据摆渡模块的外网侧FPGA芯片；外网侧FPGA芯片逻辑程序包括配置PCIE IP核，DMA控制器， 数据过滤检测模块，Serdes收发器和数据收发模块；所述外网侧FPGA芯片的数据收发模块和Serdes收发器用于接收内网侧FPGA芯片通过两路光纤传输过来的数据并写入外网侧FPGA芯片的FIFO中缓存；所述外网侧FPGA芯片的数据过滤检测模块读取FIFO中的两路数据并对两路数据进行一致性对比及CRC校验。

6.根据权利要求1所述的一种核电专用安全网闸系统，其特征在于，所述内网主机和外网主机上配置内核安全增强套件TMAC-3000，限定主体对客体的访问权限，抵御漏洞攻击，防止文件被篡改。