CN102104589A

CN102104589A - 专有网系列

Info

Publication number: CN102104589A
Application number: CN201010004242XA
Authority: CN
Inventors: 刘文祥
Original assignee: Individual
Current assignee: Individual
Priority date: 2010-01-13
Filing date: 2010-01-13
Publication date: 2011-06-22
Also published as: CN103081411A; WO2011091558A1

Abstract

本发明任务涉及专有网系列以及其匹配的微示器和网写器。专有网是采用辨机通过路由器和公用网络，将一个单位的各个分散的优机网络或者各种内部单独的综合网络，连接成该单位专有网；实现这些异构或者同构的各个网络之间能够安全和精确的互联、互通和互操作，组建各种各样专有网系统。例如内联网系统、外联网系统、访问网系统、网络商务网、网络政务网、网络医疗保险网、金融银行网、物网、网络票务、流媒体、收费网、网络数控、面向对象等系统。微示器是新型无纸化的业务凭证。专有网、网络读写器和微示器，为各个领域(或单位)的业务或职责的信息流、交易流、资金流、物流等的交互与共享、全天候跨地区与低成本处理和传输提供了很好的技术支撑。

Description

专有网系列

技术领域本发明涉及网络技术(Network Technology)、信息技术(Information Technology，IT)、计算机技术(Computer Technology)、数据库技术(Database Technology)、互联网(Internet)、电信技术(Teleconmunication Technology)、有线电视(Community Antenna Television，CATV)技术、液晶显示器(Liquid Crystal Display，LCD)技术和集成电路(IC)技术等。

信息传输是在单个计算机内或内部专用的计算机网络中的某个领域(或单位)的业务或职责，称为该领域(或单位)的电子业务。例如电子机械、电子化工、电子石油、电子勘测、电子军工、电子制造、电子银行等。信息需要通过公用网络(一般为因特网)进行安全可靠传输的某个领域(或单位)的业务或职责，称为该领域(或单立)的网络业务。例如网络商务、网络政务、网络军务等。网络业务基于因特网(Internet)开展。

本发明广泛应用于网络政务、网络商务、网络军务、网络医务、网络社交、网络政府、网络银行金融系统、网络事务、网络财务、网络物流、网络收费、网络票务、网络机械、网络化工、网络石油、网络国防军事系统、网络制造、网络纺织、网络动画、网络数控、网络旅游、网络媒体、网络移动、网络数据库、网络游戏或电影、网络经济等以及各个数据库(DW)系统、电信系统、有线电视系统、证券保险系统、面向对象系统等各种网络业务；即应用于利用因特网(包括电信网、有线电视网等)组成单位的安全可靠的私有网的一切网络业务领域。

背景技术在局部地理区域内的若干台计算机或其资源设备等组件，通过接口电路与短距离的传输介质相连接而组成的并且由网络操作协议软件控制这些组件之间互相通信和共享资源的物理网络，称为局域网(LocalArea Network，LAN)。它的电缆长度超过固定的距离，便不能运行。故它覆盖范围很小；一般在10千米以内。

局域网、各种计算机或其资源设备等部件，通过接口电路与长距离的传输介质相连接而组成的，并且由网络操作协议系统软件控制这些部件之间互相通信和共享资源的物理网络，称为广域网(Wide Area Network，WAN)。这种接口电路通常有二种不同的集成电路芯片；分别被称为交换机(switch)和路由器(router)。路由器对所连接的每个网络都有一个单独的输入/输出接口。广域网能跨越几十千米以上远的距离，连接任意多台计算机。

采用中继(relay)、网桥(bridge)和交换(switching)等技术来扩展局域网，所形成的介于局域网和广域网之间的网络，称为城域网(Metropolitan Area Network，MAN)。它覆盖范围介于局域网和广域网之间。

计算机类设备包括主机、终端、终端设备控制器、业务或功能器件、连网外设和信息资源等。

主机是网络中主要的和重要的服务器(server)或通用计算机，其装有网络操作系统、业务或功能软件、用户应用系统等。它可以通过传输线路与其他网络或终端相连接。用户终端一般与主机共同连入网络。

终端具有用户访问网络的界面。它可以是简单的输入、输出终端，也可以是带有微处理器的智能终端。智能终端除了具有输入、输出信息的功能外，还具有存储和处理信息的能力。终端可以通过主机进入网络，也可以通过终端设备控制器、报文分组组装与拆卸装置或者通信交换机连入网络。

采用路由器承担网络互联工作(internetworking)，它无法实现相联的两个网络之间安全隔离；无法实现该两个网络之中的计算机之间过行安全和精确的信息互操作。

各种各样的集成电路(IC)卡或者光储卡，没有将其所代替的现有纸质凭证中包含的消息或者信息显示出来，不是真正意义上的凭证，其代替现有的纸质凭证是有缺陷的。

“单位”是指国家机关、军队、行政团体和事业企业等独立组织和机构，或者私人及其组织和机构等。

各行各业现有的支付结算方式不能充分满足现代化资金流的需求。现金、纸质支票等不但应用范围有限，结算速度慢，而且不太安全。即使一些现代化的电子支付结算方式，如信用卡支付、电子资金转账(ElectronicFunds Transfer)等，也只是应用在专用金融网络上，不但应用不方便，而且增加了很多不确定性与经营风险。

各单位的内联网络与外联网络所设置的防火墙(包括硬件设备、相关的软件代码和安全策略)，容易被黑客(HACK)采用“反端口”技术攻克，入侵到防火墙面的内部网络的计算机，会对内部网络造成严重的威胁。防火墙无法防止来自网络内部的攻击和破坏行为；不能进行病毒检测；无法防御各种攻击；都是主要缺陷之一。

入侵检测(Intrusion Detection)技术，无法完全自动地完成对所有攻击行为的检查；不能适应攻击技术的发展；很难实现对攻击的实时响应；无法弥补各种网络协议的缺陷；调整过程复杂；都是其主要缺陷之一。

虚拟专用网(Virtual Private Network，VPN)技术，主要基于近年发展的局域网交换技术(异步传输模式和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。

以太网采用广播技术(Broadcasting)，但应用了交换器和虚拟局域网(Virtual Local Area Network，VLAN)技术后，实际上转变为点对点通信。目前存在两种网络布局结构：中心辐射布局和全网络布局。中心辐射布局由一个中心部点同许多远程站点相连。位于中心站点位置的用户边缘路由器非常昂贵，其价格同相连的远程站点的数目有关。同时，其延迟时间大大超过两个站点之间直接通信时的数据包延迟时间。全网络布局需要支持的隧道(Tunnel)的数量，随着站点的数目呈几何级数增加。安全性是另一个重大问题。每个连接到互联网的用户边缘路由器，都必须采取诸如防火墙这样的安全措施，以便确保每个站点的安全。但每个防火墙必须对供应商开放，以便访问有关设备，这本身将是安全隐患。同时当网络规模较大时，管理每个防火墙将变得很困难。

安全套接字层(Secure Socket Layer，SSL)VPN只适合站点对网络的连接，无法实现多个网络之间的安全互操作。还有传统的防火墙，不能对VPN的加密连接进行解密检查，是不允许VPN信息通过的。

“云安全(Cloud Security”系统需要解决四大难点：需要海量的客户端、需要专业的反病毒技术和经验、需要大量的资金和技术投入、必须是开放的系统而且需要大量合作伙伴的加入。

为了有效地发挥计算机网络系统的各种功能，通常还必须采用集成电路卡和其电子读写器。

发明内容单位采用拓扑结构组成的某个计算机网络，其中配备最佳的或者人为指定的一台服务器类计算机(或通用计算机)，称为该网络中的优势功能计算机，简称优机。该网络称为优机网路。单位私有的分散于不同地点的各个单独的计算机网络，都称为优机网络。它们可以是局域网、城域网或广域网。

分别与一个优机(或与其网络)和一个公用网络(一般是因特网)互相连接的、并控制这两个网络安全和精确地互操作的通用计算机，称为在公用网络中能够辨别和认识身份的通用计算机，简称为辨机。它是控制不同的优机网络的计算机之间通过公用网络能够安全和精确地进行互操作的计算机。这个公用网络称为辨机网络。

本发明任务是将一个或若干单位的分散于不同地理位置的各个业务或/和职责的服务网络(一般是局域网)，分别通过辨机和路由器，与公用网络(特别是互联网)相连接，形成该单位专有(私有)互联网络(Internetwork)。它可以实现这些异构或者同构的优机网络之间，能够安全和精确的互联(Interconnection)、互通(Intercommunication)和互操作(Interoperability)。

在本发明的单位专有互联网络系统中，还应当采用由液晶显示器(Liquid Crystal Display，LCD)技术和集成电路卡(IC)技术巧妙相结合而制造的微示器和其网络读写器的技术。微示器是具有显示功能的集成电路卡。网络读写器既能够给微示器读写信息，也能够将微示器与专有互联网络系统相连接。专有互联网络既可以通过网络读写器给微示器读写信息；也可以通过其浏览器直接给微示器或网络读写器交互信息。

某个单位的各个优机网络通过辨机，与同一个公用网络的路由器相连接的系统，称为该单位的业务或/和职责的专用网络，简称专有网(Ptivate Network)(图1)。这种网络互联技术，使辨机处于优机网络和公用网络的唯一通道上。通过辨机的输入/输出控制功能，实现与其相连接的优机网络和公用网络之间的物理隔离；又通过辨机控制其接口的连接功能，实现各个优机网络中计算机及其设备之间进行安全和精确的信息互操作。

专有网、微示器和网络读写器可以组成各种各样的分布式业务或职责的网络系统；例如内联网系统、外联网系统、访问网系统、网络商务、网络政务、网络数据库(DW)、网络媒体、网络有线电视、网络电信和移动、网络医疗保险、网络金融银行、网络物流、物网、网络票务、网络收费、网络数控等。

在许多领域中专有互联网络、微示器和网络读写器只有紧密联系在一起，才能在各个行业的应用中发挥巨大作用。例如：票务专有网中，网络读写器能查检作为无纸化车票的微示器的真伪；银行专有网中，网络读写器能够给作为无纸化钱币的微示器读写款数；医疗专有网中，网络读写器能够给作为无纸化病历本的微示器读写病情和费用等；物流专有网中，网络读与器能给无纸化的货物标签读写相关的信息。

利用公用网络进行安全可靠的业务或/和职责的服务，就可以随时随地、方便易用、即时交互等。它为各个领域(或单位)的业务或职责的信息流、交易流、资金流、物流等的交互与共享、全天候跨地区与低成本的处理和传输，提供了很好的技术支撑。微示器是新型无纸化的业务凭证。

优机网络是物理分散在辨机网络的各结点上；而逻辑集中在同一个系统。物理分散指各站点(Site)或各结点(Node)分散在不同的地方；逻辑集中指各站点之间是一个逻辑整体，相互之间可互联、互通、互操作。

业务或职责系统是建立于优机网络操作系统之上。它可以驻留在一台主机上(集中式网络业务或功能系统)，也可分布在每台主机上(分布式网络业务或功能系统)。它向用户提供存取、修改业务和服务，实现业务共享。

优机网络内所有基本结构组件以及它们的组合形态均运行于同一个网络操作系统和业务系统的软件版本上，并随着版本的升级在优机网络内增加业务，同时对整个由同样辨机控制的优机网络业务提供新功能。

辨机是优机网络中各个计算机及设备跟外部计算机之间的第一道隔离屏障(图1)。它保护优机及其网络。

优机是其网络中除优机外的其他各个计算机与外部计算机之间的第二道隔离屏障；又是与辨机的联系纽带。

辨机设置的原理为：最小服务原则、监控预防原则、系统安全原则、功能灵活原则、配置方便原则。它的外存只需要安装操作系统和配置的标准程序。

优机如果为其网络提供更快的主页浏览服务，则需要较大的外存容量；同时还可以进行细粒度的日志记录。

辨机上安装支持路由协议接口，实现路由器的功能，可直接与互联网相连。它还有可扩展功能的模块插槽。

辨机可以有多个计算机接口和网络接口，分别与多个不同的单重或多重优机网络中的优机或网络相连接。

各种专有网的数据备份系统的结构图(图8)可以由备份客户端、备份服务器、介质服务器、备份存储单元和备份管理软件等组成。

优机能够识别优机网络中的各个计算机地址(或者名称)；是其网络中其他各个计算机和辨机网络中的计算机互操作的唯一通道；优机通过互相隔离的优机网络接口和辨机接口，实现优机网络和与其相连接的辨机网络之间的物理隔离；又通过优机和辨机的功能，实现该优机网络和辨机网络之中的合法计算机之间，能够互相识别对计算机地扯(或者名称)；并且支持所有的网络协议。

现有的防火墙堡垒主机技术，可以重配置路由器使信息直接进入内部网络，而完全绕过堡垒主机。内部人员有意的破坏行为，或者无意的非正常操作，都会对内部网络造成严重的威胁。防火墙无法防止来自网络内部的攻击和破坏。防火墙不适合进行病毒检测；无法防范数据驱动型攻击；无法完全防御各种新的攻击行为。

辨机主要作用是物理或逻辑隔离优机网络和辨机网络。它的特定功能不允许病毒进入被其保护的优机网络。

专有网采用套接字(Socket)、远程过程调用(Remote Procedure Call，RPC)或中间件(Middleware)。

微示器是微处理器(Microprocessor Unit，简称CPU)和显示器相结合的产物。它是集成电路卡的替代物。

现有的集成电路卡是计算机网络系统的开展业务所必须匹配的物品，但它没有显示功能。

网络读写器(以下称网写器)装有识别和控制软件的微处理器以及显示器等；是微示器行读写的设备。

网写器除了有各种标准接口外，还有专用接口，如与磁卡和IC卡的读写器、条码阅读器和电子枰等的接口。

1、某个单位按照网络拓扑结构连接计算机，可组成各个优机网络。各个优机通过其输入/输出接口，与相应辨机的一个计算机接口相连接；每个辨机的另一个网络接口，与同一个公用网络相连接；这些优机网络、辨机和公用网络，共同构建一个安全可靠和信息互操作的系统。它就是该单位专有网(图1)。

无论是单位的内部局域网、城域网或者广域网的各个优机网络，都可以分别与同一个公用网络，特别是因特网，构建该单位专有网；它具有可扩展、可剪裁、高可靠、高可信和复杂适应的功能。若该单位新增加一些内部网络，同样可以通过辨机接入公用网络，扩充其原来的专有网系统；该单位也可以减少某些内部网络，或者变更某个内部网络的计算机及设备；都不会影响与其相连接的专有网系统的性能。

单位专有网综合了优机网络的安全和服务质量，以及公用网络结构简单和成本低廉等优点，建立安全的信息通道。该系统的信息流，在公用网络上传输的信息是经过加密处理、完整检查和身份认证的。这就保证信息的保密性、完整性和真实性。单位专有网具有抵抗黑客通过公用网络攻击该网的能力；在网络的反计算机病毒、加密处理、完整检验和身份认证中，辨机可以采用各种各样的方法。例如：

1.1辨机装有《检查程序的程序》，它可以防止各种各样计算机病毒的攻击。

1.2装有《源端加密程序》和《宿端解密程序》等的辨机，可以在互联网协议栈的各层，特别是应用层，采用信息加密体制、数字签名和访问控制策略；保证在公用网络上信息和数据传输的安全性和精确性。

1.3身份验证(Authentication)最简单办法，是在辨机中建立一个用户名和密码数据库。

可利用访问控制列表(Access Control List，ACL)来进行身份验证。该用户名和密码数据库列表简单地对不同类型的源端或宿端的被保护网络(以其辨机IP地址为代表)身份进行识别。

单位的辨机访问控制列表，用来进行用户(指其他单位、合作伙伴单位或者远程客户或者组织)身份验证。该列表对不同类型的源端(用户名)辨要IP地址和用户的密码进行身份识别。只有用户名、IP地址和用户的密码，与该访问控制列表中相同，基于地址的身份验证才能保证生效。身份验证还可以采取其他的办法。

1.4授权(Authorization)则规定了用户在获得访问该网络资格后，能做什么。身份验证和授权新办法，是在辨机中建立一个用户或单位名、IP地址、密码和授权权限数据库。它在对用户进行身份验证时，对不同类型的源端(用户名)辨机IP地址和用户的密码进行身份识别。只有用户名、IP地址和用户的密码，与该数据库中相应信息相同时，基于地址的身份验证才能保证生效。用户在获得访问宿端网络资格后，该数据库确定用户被授权的操作功能，并允许该用户执行这些功能。

现有的计算机网络防火墙无法抵制计算机病毒或黑客(HACK)的“反端口”技术的攻击。

现有虚拟专用网，无法在互联网络的应用层采用信息加密体制、数字签名和访问控制策略。

单位的网络业务专有网应用现代网络互联技术、通信技术和因特网技术，能为客户提供方便、快捷的业务服务。它所提供的业务站或通过网络和电话线的自动化业务，充分体现公平、公开、公正。本系统各种加密防伪和安全保密技术，可以彻底防范信息不安全因素；对客户的个人信息和资金信息，确保安全可靠和不泄露。

2、微示器具有微处理器和存储器，并装有输入按键、小型液晶显示器等；能输入/输出和显示信息。它的存储器包含数据存储器(EEPROM)、工作存储器(RAM)和程序存储器(EPROM)的电路(图7)。微示器存储安全控制软件，本身具有检验身份、确认持有人合法性的功能。这就保证其信息的保密性、完整性和真实性。

微示器采用信息加密体制、数字签名和访问控制策略；并且借助应用层，对传输的各种信息实行安全性等级管理。它对于一个信息中的某些部分段落，还可以根据其不同的安全等级，进行相应的安全加密。微示器内存储的安全控制软件，具有检验个人身份证识别号(personal identification number)，而确定持有人合法性的功能。它可以含有并且显示个人二代身份证号和其中个人相片，实行实名制。由于其存储量高，足以将客户每次业务的记录，都保存在存储器中。微示器既需要联机进行信息网络处理，又不需要联机授权处理。因此允许它脱机使用。它不但能代替现有的信用卡、借记卡、复合卡和现金卡等各种各样IC卡；而且具有显示功能。

客户采用实名制微示器时，将第二代身份证刷过网络业务的浏览器上的身份证刷槽即可。浏览器可将客户身份证的号码和其个人本身相片等资料输入微示器中。这些资料只要刷一次即可；重复业务时，不用重新再刷。

每个微示器都有互相匹配的输入和输出接口。它们之间也可以直接通过信息交互，进行业务交易。它的硬件有电压和时钟检测器、曝光自动死机逻辑、防解剖等加密措施；软件有密码保护、安全加密算法等加密方法。

微示器解决了信息的安全性、真实性、匿名性和可分性四个关键的技术问题。它可应用于各行各业。例如：

微示器除了具有记录持有人的个人资料和密码信息外；它作为银行的IC卡，还可读写持有人的存款余额。这种微示器能够作为银行钱包，用作消费卡，作为支付手段；另一方面，它由密码方式保护，持有人的真正的钱是存储在银行账户上。如果微示器丢失或者受损坏，持有人的钱并没有丢失。它又可以作为借记卡。代替银行卡的微示器可以直接通过交互方式接受电子货币支付，而无需银行授权，具有纸质钱币的作用。它使“交易无纸化”和“减少现金流量”变为现实。这种代替银行卡的微示器中的“钱包”里的钱用完之后，可以通过银行浏览器或者网写器向钱包里充钱。微示器制作容易、成本低、使用寿命长，可重复使用。若它丢失可以补发。

现有的纸质凭证不但需要采用防伪工艺制作的特殊纸张，而且不能杜绝假凭证等象。

现有的IC卡凭证不但不能显示凭证的信息，而且不能杜绝伪造的IC卡等现象。

在没有网络的农村，计算机可以利用电话线进行业务处理。无论PC机、工作站、小型机、主机等均可作为业务计算机。由于使用电话(或者手机)进行业务，需要通过电话通信网络。因此调制解调器(Modem)是必备的硬件设备。Modem的功能与传输速度，应根据实际的业务需求来决定选择。一般常用的通信线路是电话线路。

现有的银行网络支付方法，在具体操作上存在较大困难，业务信息没有保密措施；电子支付手续复杂，需要认证中心；支付不安全等。微示器才是真正的可重复使用的无纸化凭证；其可以替代和种各样的集成电路卡。

3、网写器装有识别和控制软件的微处理器和存储器，并装有读写设备以及显示器等(图7)。其能够利用公用网络，对信息进行加码、加密、调制和解调、解密、解码处理以及完整检查和身份认证等。这就保证信息的保密性、完整性和真实性。它还可对传输的各种信息实行不同安全性等级管理和进行相应的安全加密。

网写器具有读、译微示器的所有逻辑功能，能独立检验微示器的合法性和持有人的身份。合法的微示器通过时，网写器会发出一种提示声音，并在液晶显示器上用文字表明。如果使用实名制的微示器，网写器还可以显示持有人的身份证上半身相片。伪造的或者失效的微示器通过时，网写器会发出警报声音，并在其显示器上显示是伪造或失效的文字。网写器可制成各种形状和不同尺寸；一般制成固定式的灵巧形状或者手提式网写器。

不带高能电池的非接触式网写器，可由微示器通过无线方式供电再经过网写器内的稳压电路产生集成电路芯片工作所需的直流电压。

内装高能电池的非接触式网写器工作时，微示器不用配备电池，由网写器通过无线方式向其供电。

微示器能够被网写器所识别，同时可以启动网写器。例如银行系统利用网写器，作为无人管理的自助的出纳装置，客户可直接在网写器上，以联机或者脱机方式，自行完成存取款和转账等金融交易。

网写器可用单独方式或者联机方式工作。网写器的单独或联机这两种工作方式都可避免骗子诈骗。

单独工作的网写器不与业务站(局域网)相连。网写器依靠其微控制器和软件独立运行。它与业务主机之间通过定时交换软盘来交互信息。这种网写器具有读、译微示器的所有逻辑功能，能独立检验微示器的合法性和持有人的身份。

联机工作的网写器，通过因特网(或专线、电话线路等)直接与业务站(优机机网络)相连。每笔业务均由网写器实时传输到业务站进行认证和处理，文件可以实时更新。为了确保网写器与业务站的优机进行数据传送、核对资料过程中的数据不被泄露和不被盗取，可以使用三重加密标准，并且经常变换解密的密钥。网写器的持有人的身份识别，还可以采用指纹扫描、声音确认和虹膜认证等生物测定技术。

网写器采用条码(Bar Code)技术，还可以应用于另售业、物流业、生产企业、金融保险、图书管理、仓库自动化管理等现有的一切利用条码技术的领域。现有的条码技术还无法与因特网进行安全可靠的相结合。

4、单位总部和其分布于不同地理位置的跨地区的若干个分支机构等的各个内部单独网络，其中每个优机分别通过辨机与互联网(Internet)的路由器连接起来，共同构建一个安全可靠和信息互操作的该单位的专有网，称为单位的内部互联网络(intranet internet)，简称内联网(图2)。单位优机网络的两台主机之间，安全和精确的信息所通过的专有网中的公用网络是特别指定为互联网(Internet)。内联网是单位的专有网的特例。

现有的内部虚拟专用网技术，无法根据一个文件中的部分段落不同的安全等级，进行相应的安全加密；对于许多通过伪装现有的内联网络地址进行非法的内部资源访问的地址欺骗，无能为力；无法避免黑客绕开身份认证和鉴别机制，伪装身份，破坏已有连接。

内联网的信息流在互联网上传输的信息是经过加密处理、完整检查和身份认证的；保证信息保密性、完整性和真实性；具有抵抗黑客攻击网络的能力。

5、单位的内联网可以与单位合作伙伴的一个或若干个单独优机网络之间，进行信息交流并提供一定程度的安全保护，防止对内联网的非法访问。为了达到这个目标，可以让合作伙伴的一个或者几个单独网络的优机，分别通过装有该单位辨机的标准程序或者其他身份认证和授权程序的辨机，与互联网相连接。该单位的内联网和这个合作伙伴的一个或者几个单独网络，各自辨机以及互联网，构建一个安全可靠和信息互通的专有网，称为单位的外部互联网络(extranet internet)，简称外联网(图3)。它不仅用于单位内联网的主机之间的安全和精确的通信；而且用于单位的内联网与单位合作伙伴指定的若干优机网络之间的安全和精确的信息交流。

与单位(或合作伙伴)的某个优机网络相连接的辨机，装有《检查程序的程序》、《源端加密程序》和《宿端解密程序》等，能够控制从互联网进来的各种信息，并且只允许该单位的其他(或指定的)优机网络和合作伙伴指定的若干优机网络中的计算机的信息，经过辨机的解密之后，进入到该优机网络中的接收计算机。

现有的外部虚拟专用网技术，对于许多通过伪装外联网络地址进行非法的内部资源访问的地址欺骗，无能为力；并且无法避免黑客绕开身份认证和鉴别机制，伪装身份，破坏已有内部计算机连接。

在互联网上传输的外联网的信息流是经过辨机加密处理的；保证信息保密性、完整性和真实性；并且具有抵抗黑客攻击网络的能力。它还具有信息完整检查和伙伴身份认证的功能。

6、单位的远程客户机，与互联网相连接后，能够登录单位内联网，实现安全可靠的信息互操作。这些客户机、内联网和互联网共同组成的系统，称为单位远程访问互联网络(access internet)，简称访问网(图4)。它是由装有《检查程序的程序》、《源端加密程序》和《宿端解密程序》等软件的单位远程客户机，连接到互联网之后和内联网共同组成的系统，用于提供远程移动用户对单位内联网的安全和精确信息访问。

远程客户机身份验证要实现的授权访问的方法；就是指互联网上的访问信息，要经过访问网的辨机对客户机的身份认证和授权。即访问网的辨机必须装有对远程客户机的身份验证和授权的控制列表或控制软件。

现有的远程访问虚拟专用网技术，对于许多通过伪装远程访问地址进行非法的内部资源访问的地址欺骗，无能为力；无法避免黑客绕开身份认证和鉴别机制，伪装身份，破坏已有连接。

在互联网上传输的访问网信息流是经过加密处理的信息；这些信息还需要经过辨机的信息完整检查和身份认证后，才能进入内联网；保证了信息的保密性、完整性和真实性；并具有抵抗黑客和病毒攻击网络的能力。

7、网络政务定义：利用计算机公用广域网(一般为互联网)超越时间、空间和部门的分隔，向社会快速、可靠性与有效性地提供国会或政府信息、优化的公共服务、优质与廉洁的政府职能和提高政府管理效能的系统。

国会和政府或者其所属的部门的网络政务优机网的基本框架结构为：政务外部网、内部网和核心网(图5)三个层次。核心网包含内部网和外部网；内部网包含外部网。互联网和外部网、外部网和内部网、内部网和核心网，都是由辨机实行物理隔离的。内部网的数据服务器和内部一般人员操作的计算机是逻辑隔离的；根据情况，可采用无盘工作站。即用户使用主机(客户机或者浏览器等)时，系统自动启动逻辑服务器，屏蔽该主机的硬盘、光盘驱动器和软盘驱动器等存储设备，由业务逻辑服务器分配镜像硬盘给主机，防止内部人员随意从内联网中复印重要的资源。同样核心网中也可采用无盘工作站，防止内部人员任意拷贝核心网中的重要资源。

分布于全国的许多各种不同的网络政务的优机网(分别为政务外部局域网、政务内部局域网或政务核心局域网)中优机，分别通过辨机与互联网相连接，构建成政务的专有网，称为网络政务互联网络，简称政务网。

政务网中，由国会和政府的工作人员操作直接连接在互联网上的服务器，可以在互联网上运行和公布国会和政府对外监管职能和服务职责，以及受理公民的各种申请等。它既保证与公众进行网上对话和服务；又保证内部信息不泄露。它具体的主要应用系统：政府公开信查询与发布、经济信息查询与发布、社会信息查询与发布、网上税务、网上工商、网上信访、网上社保、网络身份证注册、企业注册、城市交通信息、各类信息统计、面向全社会的各项计划的申报和申请，各类公用服务信息发布和实施等。

政务外部网主要是各级乡镇政府(部门的外部网之间，通过互联网，共同构建一个安全可靠和信息互通的政务专有网；它运行乡镇政府机关内部的行政办公网。其上分别运行各类相对独立的政府的政务管理应用系统其服务对象主要是政务一般工作人员和乡镇领导。各级乡镇政府(部门)只拥有外部网，它没有内部网和核心网。

政务内部网是各级市、县政府(部门的内部网之间，通过其外部网和互联网，共同构建一个安全可靠和信息互通的政务专有网；其涉及政府内部的公文流转、审核、处理和内部业务等；涉及从国家到市、县级政府之间内部网的公文传递、信息交换和多媒体信息应用等，其服务对象是市、县级领导和机要人员。它没有核心网。

政务核心网主要是国会、总统办公室和中央政府(部门的各个核心网，通过其内部网、外部网和互联网，共同构建一个安全可靠和信息互通的政务专有网；核心网涉及国会和中央政府的核心系统、国家的重大决策和指挥系统、应急系统、政务监督和各类核心数据的应用等系统。其服务体系：为领导事务安排；重大事件的分析、决策和指挥；国家安全、商业机密或个人隐私等信息的分析和保存等；服务对象是中央、省级领导和机要人员。

国会和中央政府同时拥有外部网、内部网和核心网；市县级政府拥有外部网和内部网，乡镇一级政府只拥有外部网，这些还可根据实际需要确定。当然还可设置这种形式的更多层的网络，以适应不同保密等级的需要。

政务网基于所承载的信息和应用系统的密级，其安全级别可分为多层，并采用辨机进行各层物理隔离措施。

在外部网(信息及服务发布层)采取统一的网络传输加密通道，建立内部的访问控制规则、动态内容监控和自动更新技术，确保信息的完整性和准确性。

内部网(保密应用层)采取统一的高强度的网络传输加密通道；建立各个应用系统内部的访问控制规则和覆盖整个内部网的计算机病毒控制和工作人员误操作的自动保护、预防机制和严格的内部网资源访问控制机制。

在核心网(高级保密应用层)采取很高强度的网络传输加密通道。

在政务网中还可建立各级政府的财政运行系统、公务员管理系统、企业事业管理系统和政府采购系统等。

现有的电子政务网络是封闭的系统，无法与公民通过互联网进行安全可靠的交流。现有的电子政务技术，无法对一个文件中的部分段落进行相应等级的安全加密；对于许多通过伪装远程访问地址进行非法的内部资源访问的地址欺骗，无能为力；无法避免黑客绕开身份认证和鉴别机制，伪装身份，破坏已有连接。

现有的政务网络无法保证信息保密性、完整性和真实性；没有抵抗黑客攻击网络的能力。

网络政务如果通过装有各级不同的《源端加密程序》、《宿端解密程序》和《检查程序的程序》等的多级辨机，可构建多层内部网络，以适应单位的不同等级机构的不同安全级别需要；其在互联网上传输的信息是经过多重加密处理、完整检查和身份认证的；具有抵抗黑客攻击网络的能力。它还可应用于大型企业和事业单位。

8、网络商务定义：利用计算机公用广域网(一般为互联网)超越时间、空间和部门的分隔，高速度、可靠性与有效性地提供商业贸易的信息互换、网络交易、网络支付等业务和商品的配送运输管理等的系统。

网络商务是若干个客户、商家的计算机与互联网直接连接起来，而企业和开户银行等的各个内部网络的优机，分别通过辨机与互联网连接，就构建一个安全可靠和信息互通的多单位专有网。这种客户和商家直接通过互联网，并利用银行或金融企业的内联网进行安全和精确的网上现金支付的商务，就是网络商务(ElectronicPayment)(图6)。它是网上商品交易和网络支付的商业运营模式。核心是实时、安全的网上交易和支付。

在因特网上客户和商家进行购物、销售商品、拍卖等交易和网上货币支付等；能够使用数字签名和不公开客产和商家的公钥等，对网上商务活动的各个方面的身份实现有效确认；并可以采用对称加密钥体制，进行信息的加密和解密；能够使用数字摘要(即数字指纹)算法，确认网络支付信息的完整性；能够保证参与网络商务的客户及其开户银行、商家及其开户银行，对业务或行为的不可否认性；商家不能读取客户的支付指令，银行也不能读取客户的购货信息；整个网上商品交易承诺和货款支付结算过程，对客户、商家和开户银行都是方便易用的，手续简便；现有的银行专用网通过辨机，与因特网相连接，可以保障银行专用网的安全；其体现客户资金的安全、客户利用网上银行进行交易的安全和客户隐私的安全。

在业务站(优机网络)的浏览器上可实施网络商务(图9)；直接通过因特网也可进行网络商务(图10)。

现有的电子商务技术，对于许多通过伪装远程访问地址进行非法的内部资源访问的地址欺骗，无能为力；无法避免黑客绕开身份认证和鉴别机制，伪装身份，破坏已有连接。

商务网的信息流通过因特网上传输，是经过加密处理、完整检查和身份认证的；因而保证信息保密性、完整性和真实性；并具有抵抗黑客攻击网络的能力和实时、安全的网上交易和支付。

9、专有网技术与微示器和网写器技术相结合组成的系统，广泛应用于使用因特网的各行各业。例如银行的专有网与钱币微示器，就构成网络银行；各种票务的专有网和票证微示器，就构成网络票务；医务医保的专有网和医序微示器，就构成网络医序医保；物流单位的专有网、传感器和微示器技术相结合，就构成网络物流等。

网络物流系统与网络商务、网络政务和网络智能交通系统等密切相关。

网络智能定义：将单位各个分散的优机网络，通过公用广域网(一般为互联网)组成该单位异构或者同构的优机网络之间互联、互通和互操作的并对网络应用层或操作系统的异常能作出策略性反应的智能化系统。

网络智能交通系统定义：将单位分散的交通运输优机网络(局域网)，通过公用广域网(一般为互联网)，组成该单位这些异构或者同构的网络之间互联、互通和互操作的智能化系统以及货物运输智能化管理的系统。

网络智能交通系统是一种信息化、智能化、社会化、全方位、定时、准确和高效的运输系统。

通过公用网络(互联网)，将物体自动化或智能化流通的物质流和网络信息流相结合的系统，称为物网。

物网基于网络商务技术、网络政务技术和网络智能交通系统等。为实现物网企业、工商企业、物网监管部门之间的物网信息和物网功能共享，必须建立综合物网信息平台。它的用户为：货主企业；物网企业(包括运输公司、仓储公司、码头、机场、货场等)；货代；金融机构等。它的监管部门为：政府机构(包括交通、工商行政管理、审查、商务、海关、城市规划、卫生检疫和统计等部门)。

借助于网络政务基础和网络物流系统构建网络物流综合信息平台，可以有效解决物网行业中工商企业、物流企业、政府监管部门和金融机构之间的物网信息综合集成问题。

单位或物网集团将其专有网中指定的若干优机网络，与政务网和商务网中指定的优机网络，能够通过互联网进行互操作而组成的网络智能系统；这种系统就是物网。物网是一种能将包括人在内的所有的单位物质，通过网络信息互相联系的网络智能系统。它涉及的技术庞杂，包括网络政务、网络商务和网络物流等；其采用射频识别技术、传感技术、智能嵌入技术和纳米技术等；在军事和民用领域都具有重大的战略应用和意义。

物网是网络商务、网络政务与网络物流相互整合的产物。物网是商务最终目的。所有商务活动中发生的信息流、资金流、物流，都是为商务主导和服务的。网络物流必须有网络商务。网络商务是网络物流的必要条件。

为了实现物网企业、工商企业和政府监管部门之间的物网信息和物网功能共享，物网必须与网络政务、网络商务之间能够互联、互通和互操作。借助于网络政务，可有效解决物肉中物网企业、工商企业、金融机构和政府监管部门之间的物网信息综合集成问题。网络政务也是物网的必要条件。

10、利用优机网络通过辨机与因特网连接而组成各种不同功能专有网，可形成满足各种需要的互联网络。

一台辨机还可以与被保护的几个优机网络或其优机相连接；其几个独立的输入/输出接口，分别与被保护的几个网络相连接。具有多个接口并可以连接多个优机网络的辨机，称为多穴(multihomed)辨机。

被保护的优机网络(图5为三级优机网络)，还可设置更多重辨机的安全级别更高的不同的多级优机网络。

这种利用辨机组合不同的专有网，是广泛满足各行各业的各个系统需要的不同功能和安全要求的网络。

形形色色的专有网，能过辨机功能，实现与其相连接的优机网络和因特网之间的逻辑隔离；又通过辨机的控制功能，实现各个优机网络之中的计算机之间，通过因特网的各栈在应用层进行安全和精确的信息互操作。

多媒体是融合两种或两种以上媒体(medium)元素的图像(包括文本、超文本、图形等)和声音的复媒体(media)。具有对活动图像和声音的信息进行实时的压缩和解压的处理、存储和显示并能使在时间上有相关性的多种复媒体保持同步的技术，称为多媒体技术。它通常运行在同一个优机网络或传送多媒体的专用的网络上。

多媒体技术使计算机能够将图像、文字、声音等多种信息存储和整合成多媒体信息，并实现方便的交互等。

在互联网的数据中存储数字化的活动的有时间顺序的连续多媒体，称为流媒体(Streaming Media)。

多媒体计算机通过因特网调用远程数据库中的多媒体并实现实时连续传输或交互的技术，称为流媒体技术。

专有网中优机网络的媒体服务器，将互联网数据库中的多媒体，编码压缩解析成多个数据压缩包，放在因特网上按顺序传输；另一个优机网络的辨机经病毒检查后转给用户端(一般是PC机，也称为播放器Player)，播放器利用其内存中一块一定容量的缓冲区来接收压缩包，缓冲区被充满只需几秒或数十秒钟的时间，之后用户端就可以解压缩缓冲区中的数据并开始播放其中的多媒体内容。用户端在播放内容消耗掉缓冲区内数据的同时，又下载后续的压缩包到空出的缓冲区空间；实现播放多媒体的效果。播放器采用录像机(VCR)控制操作。

流媒体远程监控专有网能将监控的视频、音频与控制信息从监控现场传送到专有网的每一个结点；可利用专有网在不同地点同时监视、遥控远程某一个或某些现场及其监控设备；并获得各种报警信号，进行远程指挥。

仿真协同网是利用计算机仿真技术的虚拟现实(Virtual Reality，VR)，实现计算机支持协同工作(ComputerSupported Cooperative Work，CSCW)的单位专有网。它可广泛应用在医疗、工业、娱乐、商业、国防军事等。辨机将各种不同功能的优机网络，通过互联网，组成能满足各种需要的互联网络。基在因特网上传输的信息是经过加密处理、完整检查和身份认证的；保证信息保密性、完整性和真实性；具有抵抗黑客攻击网络能力。

附图说明

图1专有网的示意图。按照网络拓扑结构组成优机网络，将分布于不同地理位置的某单位各个优机网络(局域网或者广域网等)中的优机，分别与相应辨机连接；每个辨机的另一个网络接口，与同一个公用网络相连接。

图2内联网示意图。单位的总部和其分布于不同地理位置的跨地区的若干个分支机构等各个优机网络，其中优机分别通过辨机(包括路由器)与因特网连接起来，构建一个安全可靠内联网。

图3外联网示意图。单位的合作伙伴的一个或者几个优机网络的优机，分别通过装有该单位的辨机标准程序和控制信息流程序的辨机，与因特网相连接。那么该单位的内联网和这个合作伙伴的一个或者几个内部网络，各自的辨机以及因特网，就构建一个安全可靠的联网。它可用于内联网与单位合作伙伴网络之间的信息交流。

图4访问网示意图。单位的远程客户机，与因特网相连接后，能够登录单位的内联网。这些客户机、内联网和因特网共同组成的系统，为该问网。客户机连接到因特网，对内联网可进行安全和精确的信息互操作。

图5网络政务的核心网(局域网)示意图。它的基本框架结构为：政务外部网、内部网和核心网三个层次。因特网和外部网、外部网和内部网、内部网和核心网，都是分别由不同安全等级的辨机实行物理隔离的。

图6网络商务示意图。它是若干个客户、商家与因特网连接起来；各自开户银行内部网络的各个优机等，分别通过辨机与因特网连接起来，构建一个安全可靠的互联网络；是网上商品交易和网络支付的商业运营模式。

图7微示器或网写器原理图。它们分别装有识别和控制软件的微处理器和存储器，并装有读、写设备以及液晶显示器等。微示器或者网写器中，定时电路和驱动控制电路驱动液晶显示器，在液晶显屏显示字符、图像。

图8各种有网系统的备份自动化方案图。专有网系统备份自动化解决方案结构可以由备份客户端、备份服务器、介质服务器、备份存储单元和备份管理软件等组成。备份存储单元为数据磁带、磁盘或者光盘。

图9在业务站(优机网络)的浏览器上实施网络商务的一般流程图。

图10直接通过因特网进行网络商务的一般流程图。

具体实施方式根据被连接的各种优机网络具体情况，采用辨机并通过因特网把这些优机网络相互联接，形成各种不同形式的专有网。辨机的输入接口和输出接口并联在其同一条总线上，但彼此独立、互不相关；只有通过辨机的控制功能，信息才能在与辨机连接的两个网络之间互通。

单位的内部网络按其地理分布范围而言，可以组建局域网、城域网和广域网。在这些网络中，根据网络对外服务功能的需要，可以指定其中的一台常规计算机为优机。这台计算机必须增加网络地址转换程序功能模块。为了内部网络安全，其中一部分工作站可以转变为无盘工作站。无盘工作站由一般工作员使用，而带盘工作站由指定的人员使用。

优机具有网络地址转换(Network Address Translation，NAT)程序，能识别其网络中各个计算机名称或者计算机的互联网协议(Internet Protocol，IP)址址。 NAT将优机网络中计算机的内部地址，转换成合法的IP地址在互联网上使用；也屏蔽优机网络的IP地址，对优机网络起到保护作用。NAT是优机的标准程序。

优机有两种物理隔离的接口，一种用来连接优机网络并处理信息传输与接收的细节，另一种用来直接连接另一台常规计算机(辨机)的接口。

由于优机网络不直接与其他网络连接，因此可以对优机采用先进技术，以提高该网络系统的效率和可靠性。优机也有可扩展功能的模块插槽。

专有网信息在公用网络传输，可采用数字加密机制。数字加密有三种：对称密钥、非对称密钥和单向函数。

装有《检查程序的程序》、《源端加密程序》和《宿端解密程序》的常规计算机或工作站，通过其输出/输入接口，直接与优机的输入/输出接口或优机网络相连接，并且通过其网络接口直接与公用网络(或其他网络)相连接。这种常规计算机就是辨机(图1)。优机网络可以根据需要，增加其他功能的设备或半算机类设备。

辨机的标准程序为：

《检查序的程序》功能；源端或缩端的辨机接收到明文信息后，对信息进行检查，发现其中的任意程序之后，把它们排列在一起，并且暂时存储在外存储器中，同时将第一道程序呈现在指定计算机的显示屏上。如果某些程序是允许其访问的合法程序；则用户在第一次出现提示时，选择“以后都允许”复选项，辨机以后碰到这些程序时，不会再次询问，并允许其该问。当用户在一定时间内没有答复或者选择“不允许”复选项，辨机就丢弃该程序。源端辨机和宿端辨机运行这个程序；可防止病毒攻击辨机保护的网络。

《源端加密程序》功能：源端辨机把欲通过公用网络发送的明文信息后面，添加对称加密的秘钥；将此组合数据输入单向散列函数(Message Digest)，得出散列(Hash)值(称为源端散列值)；然后将明文信息(不包含密钥)后面添加源端散列值，用密钥进行加密，变成密文；最后将该密文送行宿端辨机。

《宿端解密程序》功能：宿端辨机用单位或者企业事先约定的共享的密钥，将接收的密文解密变成明文，得到明文信息和源端散列值；把明文信息(不包含散列值)后面添加密钥；半此组合数据，输入事先约定的单向散列函数，得到散列值(宿端散列值)；该宿端散列值与接收到的源端散列值相比较；如果这两个散列值相同；则确认该信息是从合法源端辨机发出的，接受该信息；发送到该宿端优机网络中的宿端接收计算机上，否则丢弃该信息。

《检查程序的程序》、《源端加密程序》和《宿端解密程序》集成在一起，安装在辨机上。辨机运行时能够自动做出相应的选择，即可保证辨机在公用网络上安全传输信息。

辨机的隔离域名(Split Domain Name)技术，将受保护的优机网络的域名服务器与辨机网络的域名服务器隔离，以隐蔽优机网络中主机的IP地址；从而更进一步保护优机网络。

身份验证(Authentication)最简单办法，是各个辨机中建立一个用户名和密码的数据库(或业务功能库)。

《对用户的身份认证加密和授权程序》功能：用户(指其他单位、合作伙伴单位或者远程客户)对其在某单位留下的密码，用用户私钥加密；密文作为用户的数字签名；用单位公钥对数字签名和对称密钥加密，作为密件；将明文信息、用户名和用户公钥用对称密钥加密；源端辨机将该密文、密件；通过互联网，传给单位专有网的宿端辨机；单位用私鈅对密件进行解密；然后用对称密钥将该密文解密，得到用户发送的明文信息、用户名、用户公钥和用户数字签名；用户公鈅将用户数字签名解密；该宿端辨机将用户名、IP地址和用户密码与单位业务或功能中的相关信息对照。如果完全正确，单位确认该信息是用户发出的；该辨机通过访问其控制列表；确定用户权限；再通过宿端优机，转给相应权限的接收计算机。

《对单位身份认证加密和授权程序》功能：单位用其私钥对用户(指其他单位、合作伙伴单位或者远程客户)在该单位留下的密码加密，密文作为单位数字签名；把用户的公钥对单位数字签名和对称密钥加密，作为密件；将明文信息、单位名和单位公钥，用对称密钥加密；源端辨机将该密文、密件；通过互联网，传给用户的宿端客户机或者其他单位宿端辨机；用户用其私钥，对密件进行解密；用对称密钥将该密文解密，得到单位发送的明文信息、单位名和单位公钥；用单位公鈅将单位数字签名解密；得到用户在单位留下的密码；然后宿端用户或者其他单位辨机将密码与其预留在单位的密码对照。如果完全正确，用户则确认该信息是单位发出的。

本方法采用单位的公钥和用户的公钥不必公开。

辨机具有最灵活处理单个文件安全性的手段。例如，一个单位可以对其发出的文件的个别段落，实施加密或者数字签名。只有应用层是唯一能够提供这种安全服务的层次。它可以区分一个具体文件的不同的安全性要求。如果要对文件之中部分段落安全等级提高一级，则：

《源端加密分级程序》：明文信息中安全等级高一级的段落，首先用另一把共享的对称加密算法密钥，将该部分段落进行加密(也可用非对称密码等方法)；在该部分段落加密的明文后面，添加加密段落的指示位置的数列，再添加密钥，求出散列值(源端)；后面部分同《源端加密程序》功能程序。

《宿端解密分级程序》：前面部分同《宿端解密程序》功能程序；将部分段落加密的明文后面，添加的加密段落的指示位置数列，再添加另一把密钥，求出散列值(宿端)。该宿端散列值与接收到的源端散列值相比较；如果这两个散列值相同；则确认该信息是从合法源端辨机发出的，接受该信息；否则丢弃该信息。如果接受该信息；分别用另一把事先约定的共享的对称密钥，对相应位置的密文解密，就得出整个明文。

利用专有网实施业务或职责功能的单位、政府或集团，称为网络业务单位。利用现有的互联网协议中较低层的协议的防火墙等，一般不会知道任何文件的段落结构；从而不可能知道应对哪一部分进行分级加密。

专有网的不同优机网络中两台主机，通过公用网络的安全和精确的通信(图1)有如下两种方法：

1)优机监听来自优机网络内的计算机的服务请求。当请求到达源端优机时，其将请求的主机源地址改成与其相连接的源端辨机地址，到达源端辨机的信息，又经过《源端加密程序》的加密，变成秘文后，辨机通过公用网络，转发到公用网络上(一般为互联网)进行专输；到达宿端的辨机，密文信息在该处经过宿端辨机《宿端解密程序》的解密，变成明文信息。明文信息由宿端辨机转发给宿端优机；经宿端优机的网络地址转换程序，发送到该宿端优机网络中的宿端接收计算机上。这种信息传输是安全可靠的。

优机也监听来自优机网络内的服务应答。当应答到达源端优机时，其将应答的主机源地址改成与其相连接的源端辨机地址，到达源端辨机的信息，经过《源端加密程序》的加密，变成秘文后，通过公用网络，再转发到辨机网络的宿端辨机，收到的应答，将显示为来自源端辨机；《宿端解密程序》经过解密，变成明文信息。该明文信息由宿端辨机转给宿端优机；经宿端优机的网络地址转换程序，转发到优机网络中的接收计算机上。

2)优机监听来自优机网络内的计算机的服务请求。当请求到达源端优机时，其将请求的主机源地址改成与其相连接的源端辨机地址，到达源端辨机的明文信息，通过公用网络(一般为互联网)到达宿端的辨机，在此处经过《检查程序的程序》进行计算机指令和程序代码的检查和处理后，明文信息由宿端辨机转发给宿端优机；经宿端优机的网络地址转换程序，发送到该宿端优机网络中的宿端接收计算机上。这种信息传输是安全可靠的。

优机也监听来自优机网络内的服务应答。当应答到达源端优机时，其将应答的主机源地址改成与其相连接的源端辩机地址到达源端辨机的信息，通过公用网络，再转发到辨机网络的宿辨机，其收到的应答，将显示为来自源端辨机；在此处经过《检查程序的程序》进行病毒检查和处理后，由宿端辨机转发给宿端优机；经宿端优机的网络地址转换程序，转发送到该宿端优机网络中的接收计算机上。

装有相同的《对单位身份认证加密和授权程序》和《对用户的身份认证加密和授权程序》标准程序的各个辨机，其中都有这些辨机的IP地址表和优机网络中的主机名称(或者地址)的访问控制列表。辨机运行时能够自动做出相应的选择，即可保证辨机在公用网络上安全传输信息。备份和灾难恢复程序，也是辨机的标准程序。

上述各个辨机的标程序可以根据专有网的具体需要而设置。它们还可根据需要，联合进行设置。

辨机被病毒攻击，最多是辨机网络和优机网络的连接中断，不会出现信息泄漏。

辨机可以安装一些标准的功能程序。同时它根据不同功能网络的需要，还可增加安装一些其他功能的程序。

图8为各种专有网的数据备份系统的结构图。其中备份客户端通常是指应用程序、数据库端文件服务器；它也用来表示能从在线存储上读取数据并且将数据传送到备份服务器的软件组件。主备份服务器用于安排备份和恢复工作，并维护数据的存放介质。介质服务器是按照主备份服务器的指令，将数据复制到备份介质上。备份存储单元和介质服务器相连接。备份存储单元为数据磁带、磁盘或者光盘，通常由介质服务器控制和管理。网络单位的备份管理软件是控制和管理备份客户端、备份服务器、介质服务器和备份存储单元的各项工作。

集群和容灾技术可以保证专有网的可用性。它是保护系统的在线状态，保证数据和信息可以随时被访问。

各个优机网络都单独记录每笔业务的情况，每日进行最后汇总，由业务单位指定优机网络部站汇总和保存。

即使辨机被攻击死机，备份的辨机可以立即运行，不影响优机网络系统。工作辨机备份的辨机可以合并，它们的内存和外存，存有操作系统和应用程序等是共同的只读存储器；它们的中央处理器是可以独立的。其中只有一台工作；当一台瘫痪时，另一台自动启动工作。

1、某单位的若干个业务客户机、业务浏览器、业务工作站、业务或功能服务器、Web服务器等和优机，按照局域网或者广域网等网络技术，组建成单位散于各个不同地点的优机网络。单位的各个分散的优机网络或者其优机，与辨机相连接；每个辨机再与同一个公用网络相连接，就构建成单位专有网(图1)。

单位专有网的不同网络中两台主机，通过公用网络的安全(防御计算机病毒通信(图1)如下：

单位专有网的一个内部网络中端计算机信息，要送往另一个内部网络中的宿端计算机时，该信息先经过源端优机到达源端的辨机，转发到公用网络上(一般为互联网)进行传输；到达宿端的辨机，明文信息在此处经过《检查程序的程序》进行病毒检查和处理后，明文信息由宿端辨机转发给宿端优机；经宿端优机的网络地址换程序，发送到该宿端优机网络中的宿端接收计算机上。这种信息传输可避免病毒对优机网络的侵害。

2、微示器含有微控制器、输入按键和小型液晶显示器(图7)等实质是微处理器(简称单片机)技术和显示器技术相结合的产物。它还可以具有射频收发及其联电路。单片机具有讯写和处理信息等常规计算机的功能。小型液晶显示器的尺寸一般为4英寸至8英寸。

网络业务单位的专有网和微示器可以组成联机业务系统硬件。专有网的浏览器和微示器，都具有相同的加码、加密、调制和解调、解密、解码等软件。专有网的浏览器还具有对微示器的安全加密算法的识别软件。微示器采用个人标识码(PIN)来识别特有人的身份。微示器中的重要数据，经加密后还增加信息识别码MAC。

联机系统的网写器检验识别码，可辨认微示器是否被篡改，并在其液晶显示器上显示。

微示器的集成电路中含有微处理器、随机存贮器、只读存储器、中断系统、定时器/计数器和输入/输出等主要微型计算机的基本部件和电路等。所有部件的电路之间通过地址总线、数据总线和控制总线连接在一起，再通过输入/输出接口与外界计算机的电路联络。微示器上的微控制器具有控制液晶显示器显示字符和图像的重要作用，不但负责对微示器整体的协调与控制，而且负担微示器的数字和参数的读入和存储的控制。

专有网的微示器按读写方式与浏览器的外界数据交面不同，可分为接触式和非接触式两大类别。

接触式微示器的表面上，有若干镀金的触点。微示器将通过这些触点与专有网的浏览器进行信息交流和真伪的辨认。接触式微示器的插头插在专有网的浏览器的插槽上。

接触式微示器(或者专有网的浏览器读头)中的微控器的集成电路芯片，被连接到一块含有电路板的金属接触芯片上。它在使用时，通过芯片上的八个(或六个)接触点，与提供电源的浏览器(或者提供电源的微示器)上读头接触。专有网的浏览器读入微示器上的数据后，其微处理器判断微示器是否有效。经过相应的程序处理，微处理器对微示器发出读(写)指令；微示器收到指令后，经过自身的中央处理器运算，判断是否为非法专有网。若不是非法专有网，专有网的浏览器则对微示器进行读(写)。否则微示器拒绝该专有网的浏览器的读(写)指令，并发出警报声音，在其液晶显示器上出现“非法网络业务单位”等文字。

网络业务单位的微示器的存储容量高达64～256KB，足以存储所需的软件、一次业务的全部信息和多次业务的所有记录。它的硬件有电压和时钟检测器、曝光自动死机逻辑、防解剖等加密措施；软件有密码保护、安全加密算法等加密方法。它可以显示网络业务单位业务的所需信息。

网络业务单位的浏览器和微示器的最小化传输差分信号(Transition Minimized DifferentialSignaling，TMDS)不仅适应液晶显示器主板的数字信号接口(Digital Visual Interface，DVI)，而且进数字传输时也需要一个发送器和一个接收器。

图7中的网络业务单位的微示器需要和外界计算机互通。它需要提供其身份识别信号，给外界计算机检测识别。在其液晶显示器的输入/输出接口电路中，设置显示器数据通道(Display Data Chrmel，DDC)存储器电路。该存储器是一片可擦除及可编程式只读存储器(EEPROM)，存储了显示器的识别数据，即显示器的电子档案资料信息，例如可接收行/场频范围、生产厂商、日期、产品序列号、型号、标准显示器模式及其参数、设备数据和运行中所需要数据等等。

网络业务单位微示器的DDC存储器通过DDC串行数据脚、DDC串行时钟脚和外界计算机进行信息互通完成液晶显示器的身份识别。只有外界计算机识别液晶显示器，两者才能同步、协调、稳定地工作。

网络业务单位微示器的液晶显示器的数字输入接口，接收到外界计算机中TMDS发送器输出的TMDS数字信号；送到主板中的TMDS接收器；其输出的时钟信号送到时钟发生器。数字信号经解码送往主控中路的图像缩放处理器(SCALER)进行处理。主控电路对输入图像信号进进格式判断，对图像进行缩放处理、图像定位等操作。

在微示器的液晶显示器主控电路中经过处理的行同步信号，送往锁相环式时钟发生器电路，使其产生的时钟脉冲与输入行同步信号锁定；另一路送往屏显电路(On Screen Display，OSD)。屏显电路需要的行/场同步信号(HS、VS)，不是直接取自外部输入的行/场同步信号，而是取自主控电路输出的行/场同步信号。即使液晶显示器在没有信号输入时，其主控电路送往屏显电路的行/场同步信号，根据预先编程好的定时数据，在图像缩放处理器(SCALER)中产生的行/场同步信号，可以确保液晶显示器在没有信号输入时，也能有正常的屏显和菜单显示。

网络业务单位的微示器的数字信号经过液晶显示器的主控电路的图像缩放处理器(SCALER)处理，使之能够适合液晶板物理分辨率的数字信号，连同数字行/场同步信号，送往液晶板接口电路，将数字视频信号转换为符合液晶板接口电路要求的数字视频信号。

微示器的液晶板接口电路将转换后的数字视频信号，单独(如果本身包含显示行/场同步信号)或者连同显示行/场同步信号，送往液晶板的定时电路和驱动控制电路；驱动液晶显示器的液晶显屏上显示字符、图像。

微示器的数字输入接口接收到的行/场同步信号，还有一路送往微控制器，对液晶显示器进行节能管理，并且控制液晶显示器进入正常工作、待机、挂起、关闭状态等。

微示器的液晶显示器使用DisplayPort接口，可以实现低成本的直接驱动式液晶显示器，同时仅需要一条连接线就可以把所有信号都输入到主板的视频处理器中。

如果网络业务单位的某个业务站有多个业务浏览器同时办理业务手续时，其中一个进程访问数据库时，就用一把锁，锁住别的进程的执行，直到本进程完成并且把数据写回数据库后，再解锁，允许其他进程作业。这样就可以控制各个微示器互相排斥地访问专有网中的数据库，从而保证数据库中的数据的完整性。例如加锁函数RLOCK()和开锁命令UNLOCK，就是用来控制进程同步的。

3、网络业务单位的网写器(图7)和微示器的软件一样，都具有加码、加密、调制和解调、解密、解码等相同软件。网写器还具有对微示器的安全加密算法的加密和解密软件。它采用个人标识码(PIN)来识别持有人的身份。微示器中的重要数据，经加密后还增加信息识别码MAC。网写器检验识别码，可辨认微示器是否被篡改，并在网写器的液晶显示器上显示。网写器可以制成固定式的或者移动式的形状和不同尺寸；一般制成固定式的灵巧形状或者手提式网写器；手提式网写器一般尺寸为8英寸至14英寸；可以同时显示几个客户的相片。

网写器的微控制器，含有微处理器、随机存贮器、只读存储器、中断系统、定时器/计数器和输入/输出等主要微型计算机基本部件和电路等。它们的电路之间通过地址总线、数据总线和控制总线连接在一起，再通过输入/输出接口与外界计算机的电路联络。微处理器具有控制网写器上的液晶显示器显示字符和图像的重要作用，不但负责对整机的协调与控制，而且负担数字和参数的读写和存储。

网络业务单位的网写器的原理与微示器的原理基本相同(图7)。

接触式网写器主要由输入按键和含有单片机的液晶显示器等组成。

网写器中的集成电路芯片，被连接到一块含有电路板的金属接触片上。它在使用时，通过芯片上的八个(或六个)接触点，与提供电源的微示器上读头接触。网写器读入微示器上的数据后，由其微处理器判断微示器是否有效。它经过相应的程序处理，其微处理器对微示器发出读(写)指令；微示器收到指令后，经过自身的中央处理器运算，判断是否为非法网写器。若不是非法网写器，网写器则进行读(写)；否则微示器拒绝读(写)指令，并发出警报声音，在液晶显示器上出现“非法网络业务单位”等文字。

非接触式网写器和微示器增加无线射频识别 REID技术。网写器与微示器通过无线电进行信息交互处理。

网络业务单位的非接触式RFID技术的工作原理为：

网络业务单位的网写器将要发送的加码信号，经加密后调制在某一频率的载波上，通过天线向外发送信号。进入该网写器工作区域的微示器接收此脉冲信号。微示器中的有关电路对此信号进行解调、解密和解码，然后对命令、密码、权限等判断。若为读命令，微示器从存储器中读取有关信息，经编码、加密、调制后，通过天线再发送给网写器；网写器对接收到的信息进行解调、解密、解码后，送至其单片机进行处理。若为修改信息的写命令，有关控制信号引起的电荷泵提升工作电压，擦写EEPROM中的内容以进行修改。若经判断其对应的密码和权限不符，则返回出错信息。

非接触式网写器主要由射频天线、无线收发模块、输入按键和含有单片机的液晶显示器等组成。

不带高能电池的非接触式微示器，可由网络业务单位的网写器通过无线方式供电，再经过微示器内的稳压电路产生芯片工作所需的直流电压(2～3伏特)；并通过射频接口电路接收到(或发送至)网写器的无线信号。

对于内装高能电池的非接触式微示器，网写器可以不用配备电池，可由微示器通过无线方式供电。

射频芯片中的电路由接口电路、存取控制和存储器三个模块组成。

RFID技术通过网络业务位的网写器与相距十厘米至几十米的微示器间的无线通信；可自动化进行读取，整个过程无需人工干预；可工作在各种恶劣环境中；一般污垢盖在微示器上，不影响其中存储信息的识读。

RFID技术可识别高速运动物体，可同时识别多个微示器；操作快捷方便，保密性强。

在客户进行脱机独立业务时，网写器将要发送的信号，经编碼、加密后调制在某一频率的载波信息上，通过天线向外发送。进入该网写器工作区域的微示器接收此脉冲信号。微示器中的有关电路对此信号进行解调、解密和解码，并且判断为读命令。微示器从其存储器中读取有关信息，经编码、加密、调制后，通过天线再发送给网写器。网写器对接收到的信息进行解调、解密、解码后，送至其微型计算机进行处理。经过相应程序处理，网写器中微处理器对微示器发出读(写)指令；微示器收到指令后，经过自身的中央处理器运算，判断是否为非法网写器。若不是非法网写器，网写器可进行读(写)；否则它拒绝网写器的读(写)指令，并发出警报声音，在液晶显器上出现“非法网写器”等文字。如果网写器经判断对应的微示器密码和信息权限不符，则返回各种出错信息；并且在网写器上发出警报，显示警报内容。

4、单位的总部和其分布于不同地方的跨地区的若干个分支机构等各个分散的优机网络的优机，分别通过辨机，与互联网连接起来，构建一个安全可靠的单位内联网(图2)。内联网的组网方式和单位专有网一样；只不过内联网的公用网络是指定为互联网(Internet)的。单位专有网能够安全和精确地互操作信息。所以内联网也就能够安全和精确地互操作信息。内联网的两台主机之间通过因特网的安全和精确的通信，与专有网相同。

在单位内联网中，单位的各个辨机也可以装有相同的《对单位身份认证加密和授权程序》等标准程序，并且这些辨明都有各个辨机的IP地址表和每个优机网络中的各个主机名称(或者地址)的该问控制列表。这样，每台辨机都会对进出内联网的优机网络的信息进行监控，并且拒绝非法对单位优机网络的该问。

5、单位合作伙伴的一个或者个分散的优机网络的优机，分别通过装有该单位《检查程序的程序》、《源端加密程序》和《宿端解密程序》等标准程序的辨机，与互联网相连接。那么单位的内联网和这个单位合作伙伴的一个或者几个优机网络，各自的辨机以及互联网，就构建一个安全可靠的外联网(图3)。

在外联中，合作伙伴的辨机和单位的内联网辨机都装有相同的《检查程序的程序》、《源端加密程序》和《宿端解密程序》等标准程序。每台辨机都对进出优机网络的信息进行监控，并且拒绝非法对外联网的访问。

外联网的不同网络中两台主机之间，通过互联网的安全和精确的通信(图3)如下：

与单位优机网络相连接的辨机，或者与合作伙伴指定的网络相连接的辨机，装有《源端加密程序》和《宿端解密程序》等能够加密各种信息，并且只允许单位的该源端优机网络或者合作伙伴指定的源端优机网络中的计算机的信息，经过加密之后，进入互联网。

与单位优机网络相连接的辨机，装有《源端加密程序》和《宿端解密程序》等，能够解密从互联网进来的各种信息，并且只允许该单位的其他源端优机网络或者合作伙伴指定的源端优机网络中的计算机的信息，经过解密之后，进入到该宿端优机网络中的接收计算机。

与合作伙伴指定的网络相连接的辨机，装有《源端加密程序》和《宿端解密程序》功能等，能够解密从互联网进来的各种信息，并且只允许该单位的源端优机网络中的计算机信息，经过解密之后，进入到合作伙伴的宿端优机。再转发给接收计算机。

在外联网中，单位的各个辨机与合作伙伴指定的网络相连接的辨机，也可以装有相同的《对单位身份认证加密和授权程序》的标准程序，并且这些辨机中都有各个辨机的IP地址表和优机网络与合作伙伴指定的网络中的每个主机名称(或者地址)的访问控制列表。这样，每台辨机都会对进出外联网的优机网络的信息进行监控，并且拒绝非法对单位优机网络和合作伙伴网络的访问。

6、装有单位的《检查程序的程序》、《源端加密程序》和《宿端解密程序》等程序的远程客户机、内联网和互联网共同组成的系统，为该问网(图4)。远程客户机与互联网相连接，可登录单位内联网。远程客户机和单位内联网的辨机功能，使用户发送或接收的信息在互联网上被密文传送，保证信息传输的安全可靠性。

为了确保远程客户机和单位专有网之间，通过互联网进行安全和精确的信息互操作，也可以采用加密强度高的数据加密和身份认证方法。一般采用公钥密码算法(Public-Key Crypto-graphic Algorithms)技术进行身份认证和密钥交换；采用对称加密解密技术进行信息的加密和解密。

单位的各个辨机中都存有远程客户机的IP地址表和被允许该问的优机网络中的每个主机名称(或者地址)的该问控制列表。远程客户机装有《对单位身份认证加密和授权程序》；单位内联网的辨机装有《对用户的身份认证加密和授权程序》，使用户发送或接收的信息在互联网上被密文传送，保证信息传输的安全可靠性，防止重要数据在互联网上被窃。远程客户机和内联网中主机，安全和精确通信如下(图4)：

与单位内联网的优机网络相连接的装有《对用户的身份认证加密和授权程序》的辨机，或者装有《对单位的身份认证加密和授权程序》的远程客户机，能够加密各种信息，并且只允许该单位的源端优机网络和远程客户机的信息，经过加密之后，进入到互联网。

与单位优机网络相连接的辨机，装有《对用户的身份认证加密和授权程序》功能等，能够识别从互联网进来的各种信息，并且只允许远程客户机的信息，经过解密之后，进入到该宿端优机网络中的接收计算机。

远程客户机装有《对单位的身份认证加密和授权程序》功能等，能够识别从互联网进来的各种信息。它只允许该单位的源端优机网络中的计算机的信息，经过解密之后，进入到远程客户机。

用于提供远程移动用户对单位内联网的安全访问，是非固定线路的专有网；对于不同形式的访问技术，只要更新专有网的访问策略，就可以实现该技术。

7、各级政府或者其所属的部门的网络政务局域网的基本框架结构(图5)为：政务外部网、内部网和核心网三个层次；也可为多层次的。其中互联网和外部网、外部网和内部网、内部网和核心网，都是分别由辨机实行物理隔离的。有些网络政务局域网，只有外部网或者外部网和内部网；或多层次内部网结构。各个分散的政务优机网络或其优机与辨机相连；每个辨机再与同一个公用网络(一般为互联网)相连接，构建成政务网。

政务网的互联网线路上的一般内部工作人员服务器(图5)，是一般内部工作人员直接和公众进行互访的计算机。其包括万维网(Web)的应用服务门户、以及客户机/服务器(C/S)结构的各类服务应用模块。这些服务器直接与互联网上的公众浏览器、工作站和服务器互通，一般由内部工作人员用明文与公众进行信息互操作。

各个外部网之间的信息互操作的过程(图5)：

外部网源端发送计算机将发送信息，转给源端外部网优机、互联网源端辨机；经加密之后，通过互联网转给宿端的互联网辨机；该辨机解密之后，转给宿端外部网上的优机，再转给宿端外部网的接受计算机。

政务网上的各个外部网上的服务器，分别安装国会和政府的机关内部的办公程序。互联网上的辨机，装有标准的辨机程序模块和各个需要互操作的外部网系统共享的密钥、公开密钥和私有密钥等，只需对自己的密钥和私钥进行严格保密管理，就能提供各个外部网之间计算机的信息息安全和精确互操作。一旦发现私钥泄密，必须立即更换私钥和公钥。内部工作人员必须使用浏览器、工作站和服务器。

各个内部网之间的信息互操作的过程(图5)：

内部网的源端计算机将发送信息，转给源端优机、外部网源端辨机；源端辨机将信息加密，转给外部网上的源端优机、互联网源端辨机；经再次加密之后，通过互联网转给宿端的互联网辨机；该辨机第一次解密之后，转给宿端外网上的辨机；经第二次解密之后变成明文；转给内部网的优机，再转给宿端内部网的计算机。

内部网上数据服务器，业务逻辑服务器和一般内部人员操作的计算机，是多层的客户机/服务器体系结构。它使得政务网的内部网，具有很强的伸缩性、健壮性和维护性；可以实现应用服务的灵活配置；将业务逻辑独立出来单独部署，使该系统方便维护。

当某一级政府的内部业务和职能发生变动时，只要对中间层集中部署的业务逻辑组件，进行更新维护，就可实现该体系的维护。

这种多层的客户机/服务器体系结构，也可以应用于外部网或者核心网等。

政务网中内音网的机要人员服务器或者工作站，是内部机要人员直接和其他内部网人员进行互访的计算机。

各个核心网之间的信息互操作是确保绝对安全和精确的。各个核心网之间的信息互操作的过程(图5)：

源端计算机将发送信息，转给内部网的源端辨机；将信息加密，转给内部网的源端优机、外部网的源端辨机；该辨机将信息再次加密，转给外部网上的源端优机、互联网源端辨机；信息经第三次加密之后，通过互联网，转给宿端的互联网辨机；该宿端辨机第一次解密之后，转给外部网上的宿端辨机；经第二次解密之后，转给内部网的宿端辨机，第三次解密之后，变成明文；转给核心网宿端接收计算机。

外部网、内部网、核心网系统，分别共享的三个密钥和三对公开密钥和私有密钥等，只需对自己应用的密钥和私钥进行严格保密管理。

即使装有《检查程序的程序》、《源端加密程序》和《宿端解密程序》等的专有网的辨机被攻击死机，备份的辨机可以立即运行。

8、将客户、商家的计算机、单位或企业的专有网和各自开户银行的网络，分别与互联网相连，构成商务网(图6)。商家和客户也可通过辨机与互联网相连接。商务网在开放的互联网上进行网上交易和支付，应当采用数字加密和身份认证(数字签名)技术。一般采用公钥密码算法。其中常用的公钥加密算法是RSA算法。

8.1客户在网络业务单位的业务站(即优机网络)的浏览器(图9)，进行商务交易业务的一般流程如下：

8.1.1客户将网络业务单位的微示器的插头(也是浏览器的电源开关)，插在网络业务单位的业务站的浏览器上的微示转用插槽上，并且点击业务浏览器上的网页，进入业务站的网页，根据页面提示，输入进行商务业务的信息后，选择自己需要的有关信息。

8.1.2客户在网络业务单位的业务存款机上存款，转到第8.1.5项进行微示器内容写入或者选择网上支付的结算工具，如网络信用卡、电子钱包、电子现金、电子(网络)支票或网络(电子)银行账号等，并且得到银行的授权使用，在浏览器的页面上，依照网页的提示，输入银行账号和密码，并对银行支付信息进行加密。

8.1.3网络业务单位的业务站的优机对客户的业务信息进行检查、确认，并把相关的经过加密的客户网络支付信息等转发给支付网关，直到银行专用网络(或银行专有网)的银行后台业务服务器确认，以期从银行等电子货币(或网络货币)的发行机构，验证客户得到支付资金的授权。

8.1.4银行验证确认后，通过建立起来的经由支付网关的加密通道通信，给网络业务单位的业务站的优机(优机再给浏览器)发送确认业务及支付结算成功的信息。

8.1.5网络业务单位的业务站的优机确认客户已经在存款机交款(或者银行发来的网上结算成功信息)后，给客户的微示器输入业务信息，并且给业务浏览器发送客户已经付款；或者网络付款成功和业务完毕信息；通知客户拔掉微示器。至此，一次典型的网络商务交易和网上支付过程结束。商家和客户可查询自已的资金余额。

8.2客户在互联网上进行业务交易和支付的方法(即网络商务)，还可以采用业务站(即优机网络)、客户及其开户银行，各自都有一对密钥(公钥和私钥)。这些公钥和私钥都不公开的新方法。该方法必须具备客户在开户银行(下称客户银行)账号中，有一定的存款；业务站在开户银行(下称业务站银行)有账号，并且知道该银行公钥；业务站银行知道客户银行的公钥和业务站的公钥以及业务站密码。客户银行知道业务站银行和客户的公钥以及客户密码。业务站银行在客户银行有结算账号。

客户通过因特网进行网络商务(图10)，业务交易和电子支付(或网络支付)的基本流程；

8.2.1客户用客户机(或者浏览器)连接因特网，用Web浏览器进入网络业务单位的业务站(优机网络)的网页，根据页面提示，输入进行商务业务的信息后，选择自己需要的有关信息。然后再选择网上支付的结算工具，如网络信用卡、电子钱包、电子现金、电子(网络)支票或网络(电子)银行等。客户来输入自己的居住地址或者通讯地址；并且核对自己居住地址或者通讯地址信息。

8.2.2网络业务单位的业务站辨机对客户的商务信息，进行检查、确认，并且转给服务器(优机)，优机用业务站的私钥把业务站在业务站很行的帐号和密码加密，密文作为业务站数字签名，与业务的价格信息和业务站银行名称等，一起在网上传给客户。

8.2.3客户核对无误后，用私钥对其在客户银行的帐号和密码加密，密文作为客户数字签名，将客户数字签名和业务站数字签名、付款金额和业务站银行名称等，用客户银行的公钥加密，并将这些密文传给客户银行。

8.2.4客户银行用其私钥将密文解密，得到客户发送的明文、业务站数字签名和客户数签名；然后用客户公钥对客户数字签名进行解密。客户银行将解密后的客户账号、密码与客户留存的资料核对，无误后就确认是客户发出的信息。

8.2.5客户银行将业务站银行在客户银行的结算账号和密码，用自己的私钥加密，作为客户银行数字签名；然后将收款金额、客户银行数字签名和业务站的数字签名，用业务站银行公钥加密，发送给业务站银行。

8.2.6业务站银行收到客户银行的密文后，用自己的私钥将密文解密，得到客户银行发送的明文信息及其数字签名，然后用客户银行公钥对客户银行数字签名进行解密，如果成功，则确认是客户银行发出的。业务站银行再用业务站的公钥对业务站数字签名进行解密，如果成功，则确认是业务站发出的。

8.2.7业务站银行用业务站公钥对业务站账号、密码和业务站应收金额，一起加密之后传送给业务站。业务站收到信息后，用自己的私钥解密。若业务站确认自己应收金额和业务站帐号、密码正确；则按照客户居住地址或者通讯地址，通过快速隧系统或者配送中心给客户送达业务(货物)或者服务。

8.2.8客户收到业务(货物)或者服务，用其私钥将确认付款的信息和密码加密作为其数字签名，发送给客户银行。客户银行用客户的公钥将密文解密，得到客户发送的确认付款的信息。客户银行将客户在该银行的帐户中减去购物款，将业务站银行在客户银行的结算帐户中增加该笔款，并告知业务站银行在其业务站帐户上增加该笔款。业务站银行和客户银行在约定时间，进行结账。至此，一次典型的业务交易和网上支会过程结束。

8.3网络商务还可通过电话线进行。即客户及其开户银行，各自有一对密钥(公钥和私钥)；客户在开户银行(下称客户银行)账号中，有一定的存款和密码；并且知道该银行的公钥等。其通过电话线的一般流程为：

客户将计算机通过调制解调器(Modem)与电话线相连接，通过电话线另一端的调制解调器，将网络业务站的浏览器页面传输到自己的计算机屏幕上；然后根据自己的业务需求，按照该页面提示进行操作，决定选择自己需要的有关信息。客户再选择网上支付的结算工具，如网络信用卡、网络钱包、网络现金、网络支票、网络银行账号等。客户机输入并核对客户的居住地址或者通讯地址。其余步骤和网络业务和网络支付方式是一样的。

以上网络交易是企业与个人进行网络交易时采用的网络支付方式。即B2C型网络支付方式。稍微修改就可以适用于B2B型、C2C型、B2G型、G2G型、C2G型等网络业务和网络支付方式。

一些基于专用金融通信网络平台的电子支付结算方式，如电子汇票系统、SWIFT、CHIPS、CNAPS和金融EDI等都归结为B2B型网络业务和网络支付方式。

9.物网的传感器是显示标签和阅读器；它们分别有射频天线、无线收发模块、滤波器、放大器等组成的射频收发的相关电路；其余部分与微示器和网写器的结构和软件相同。物网系统收发的射频信号需要进行滤波和放大。滤波的目的是保证只让频带内的信号通过，抑制频带外的噪声；放大的目的是提高准备发射的功率或者放大接收到的微弱信号功率；将射频信号转成中频数字信号。显示标签或者阅读器中的单片式微型计算机(简称单片机)，含有识别和控制软件；液晶显示器的数字输入接口，接收TMDS发送器输出的TMDS数字信号；送到液晶显示器主板中的TMDS接收器；其输入的时钟信号送到时钟发生器。数字信号经解码送往主控电路的图像缩放处理器(SCALER)进行处理。在液晶显示器主控电路中经过处理的行同步信号，送往锁相环式时钟发生器电路，使其产生的时钟脉冲与输入行同步信号锁定；另一路送往屏显电路(On Screen Display，OSD)。数字信号经过显示器的主控电路的图像缩放处理器(SCALER)处理，使之能够适合液晶板物理分辩率的数字信号，连同数字行/场同步信号，送往液晶板接口电路，将数字视频信号转换为符合液晶板接口电路要求的数字视频信号。数字视频信号送往液晶板的定时电路和驱动控制电路；驱动液晶显示器；在其上显示字符、图像(图7)。

物网的识别设备中的阅读器和显示标签软件，都具有加密、加码、调制和解密、解码、解调等相同软件。识别设备还具有对显示标签的安全加密算法的加密和解密软件。它采用标识码(PIN)来识别货物的身份。显示标签中的重要数据，经加密后还增加信息识别码MAC。识别设备检验识别码，可辩认显示标签是否被篡改，并在识别设备的液晶显示器上显示。识别设备的阅读器(图7)中的微控器，含有微处理器、随机存贮器、只读存储器、中断系统、定时器/计数器和输入/输出等主要微型计算机基本部件和电路等，与网写器结构和软件相同。它们的电路之间通过地址总线、数据总线和控制总线连接在一起，再通过输入/输出接口与外界计算机或者微控制器的电路联络。单片式微型计算机具有控制识别设备上的液晶显示器显示字符和图像的重要作用，不但负责对整机的协调与控制，而且负担数字和参数的读入和存储。

识别设备中阅读器的液晶显示器采用的最小化传输差分信号，不仅适应液晶显示器上主板的数字信号接口，而且进行数字传输时也需要一个发送器和一个接收器。

由于识别设备中阅读器的液晶显示器需要和外界计算机互通，所以需要提供其身份识别信号，给外界计算机检测识别。在液晶显示器的输入/输出接口电路中，设置显示器数据通道存储器电路。该存储器是一片可擦除及可编程式只读存储器，存储扩展显示器识别数据，即显示器的电子档案资料信息，例如可接收行/场频范围、生产厂商、日期、产品序列号、型号、标准显示器模式及其参数、设备数据和运行中数据等。

物网的识别设备的非接触式RFID技术的工作原理为：识别设备将要发送的信息，经加密后调制在某一频率的载波信号上，通过天线向外发送。进入该装置工作区域的显示标签接收此脉冲信号。显示标签中的有关电路对此信号进行调制、解密和解码，然后对命令、密码、权限等判断。若为读命令，显示标签从存储器中读取有关信息，经编码、加密、调制后，通过天线再发送给识别设备；识别设备对接收到的信息进行解调、解密、解码后，送至其微型计算机进行处理。若为修改信息的写命令，有关控制信号此起的内部电荷泵提升工作电压，擦写EEPROM中的内容以进行修改。若经判断其对应的密码和权限不符，则返回出错信息。

非接触式识别设备主要由射频天线、无线收发模块、输入按键和含有单片机的液晶显示器等组成。

不带高能电池的非接触式显示标签，可由识别设备通过无线方式供电，再经过显示标签内的稳压电路产生芯片工作所需的直流电压(2～3伏特)；并通过射频接口电路接收来自(或发送至)识别设备的无线信号。

内装高能电池的非接触式显示标签在查检时，识别设备不用配备电池，可由显示标签通过无线方式供电。射频芯片中的电路由接口电路、存取控制和存储器三个模块组成。

10、被保护优机网络的结构和装有《检查程序的程序》、《源端加密程序》与《宿端解密程序》等软件的辨机的部署，是实现各个不同功能的单位优机网络安全的基础。辨机通过其物理隔离的计算机接口和网络接口，实现与其相连接的两个网络之间的物理隔离；又通过其计算机控制功能，实现该两个网络之中的计算机之间的逻辑连接，并具有进行安全和精确的信息互操作的功能。辨机输出接口和优机输入接口相连接。辨机的输入接口和优机输出接口相连接。辨机的输入口和输出接口，并联在其同一条总线上，但它们彼此独立、互不相关；只有通过辩机的控制，信息才能在其连接的两个网络之间互通。

辨机安装一些标准功能程序。同时它根据组建不同功能网络的需要，还可增加安装一些其他功能的程序。

多穴辨机有时用来增加网络可靠性——如果一个优机网络发生故障，辨机接口仍能将第二个优机网络，连接到达公用网络。它也可以用来增加网络性能——连接到多个优机网络，使它能直接发送信息和避开有时会阻塞的路由器。多穴辩机有多个网络协议地址，每个网络连接一个。每个网络协议地址，标识的是该辨机与一个网络的连接。辨机通过特殊的安全措施，保护优机网络中的系统免受有意的或无意的破坏。它主要为用户的账户和密码；为优机网络的应用程序和操作软件添加新的特性、改进功能、修改错误和弥补新发现的安全漏洞，从辨机的纪录日志检查出失败的攻击尝试以及比其他账户登录失败次数要多的账户等。

传输流媒体的专有网，就是流媒体网络；它是将源端数据库中的多媒体数据进行编码处理，转换成适合IP网络传输的数据形式，然后通过因特网传输，最后在接收端进行解码，再通过多媒体计算机播放。

多媒体采用高效视频压缩技术，如H.264、MPEG-4、AVS等。

传输流媒体的专有网的核心技术是数字音/视频业务的网络传送，主要有点播和广播两种接收方式。

点播的具体流程：专有网将流媒体内容从源数据库，通过优机复制到最靠近终端用户的优机网络中的数据库缓存区上，当用户请求某个业务时，由最靠近请求源地的缓存区服务器提供信息内容。如果缓存数据库没有用户访问的内容，专有网会根据配置，自动到源优机或服务器中获得相应的内容，提供给用户。

广播的具体流程：专有网的一个或多个发送者(广播源)一次同时发送单一的数据包到多个特定的优机网络的数据库缓存区中，只有属于该多个优机网络地址范围内的计算机才能接收到数据包。它提高了效率和质量。

Claims

1.单位的专有网技术与现有的虚拟专用网技术的共有的技术特征：

采用加密通信协议；保证信息的完整性、合法性，并能辨别用户的身份；提供访问控制，不同的用户有不同的访问权限；有可扩展、可剪裁、高可靠、高可信和复杂适应的功能；被保护的优机网络的计算机和与其相连接的其他优机网络计算机或外界的计算机之间，能进行安全和精确的信息互通；

单位的专有网技术特征：

单位的各个优机网络中的优机和辨机相连接；每个辨机网络接口再与同一个公用网络相连接，就构建成单位专有网；其中公用网络和各个优机网络可以为局域网、城域网或者广域网；其可以在互联网协议栈的应用层，采用信息加密体制、安全认证体制和访问控制策略；单位新增加的优机网络，可以通过辨机接入公用网络，扩充其系统；单位也可以减少某个优机网络，或者变更某个优机网络之中的计算机及设备，都不会影响其系统；辨机加密处理、完整检查和身份认证的新方法，保证在公用网络上传输的信息是安全性的和精确性的；对于一个文件中的某些段落，还可以根据其不同的安全等级，进行相应的安全加密；

1.1优机的技术特征：

能够识别优机网络中的各个计算机地址(或者名称)；是其网络中其他各个计算机和辨机网络中计算机互操作的唯一通道；优机通过互相隔离的网络接口和计算机接口，实现优机网络和与其相连接的辨机网络之间的物理隔离；又通过优机功能，实现该优机网络和辨机网络之中的合法计算机之间安全和精确互通；

1.2辨机的技术特征：

辨机装有《检查程序的程序》、《源端加密程序》和《宿端解密程序》等；还可以含有处理各种不同来源和类型的信息等程序；其主要作用之一，是物理隔离优机网络和辨机网络；被配置为直接与公用网络或者被保护网络相连接；可以有多个计算机接口；可分别与多个功能不同的优机网络中的优机相连接；其加密处理、完整检验和身份认证采用新方法；可以对不同等级优机网络实施不同级别的安全防护；被攻击死机，备份辨机可以立即运行，也不影响网络系统。

专有网系列可应用于需要通过因特网传输信息的各行各业。

2.微示器具有微处理器和存储器，并装有输入按键、小型液晶显示器等；它是专有网的匹配产物；能输入/输出和显示信息；微示器采用信息加密体制、数字签名和访问控制策略；并且借助应用层，对传输的各种信息实行安全性等级管理；它对于一个信息中的某些部分段落，还可以根据其不同的安全等级，进行相应的安全加密；它可以含有并且显示个人二代身份证号和其中个人相片，实行实名制；微示器既需要联机进行信息网络处理，又不需要联机授权处理；它的硬件有电压和时钟检测器、曝光自动死机逻辑、防解剖等加密措施；软件有密码保护、安全加密算法等加密方法。

3.网写器装有识别和控制软件的微处理器和存储器，并装有读写设备以及显示器等；它能够对微示器进行读写；其能够利用公用网络，对信息进行加码、加密、调制和解调、解密、解码处理以及完整检查和身份认证等；网写器具有读、译微示器的所有逻辑功能，能独立检验微示器的合法性和持有人的身份；

不带高能电池的非接触式网写器，可由微示器通过无线方式供电，再经过网写器内的稳压电路产生集成电路芯片工作所需的直流电压；

内装高能电池的非接触式网写器工作时，微示器不用配备电池，由网写器通过无线方式向其供电；

网写器可用单独方式或者联机方式工作；单独工作的网写器不与业务站(局域网)相连。网写器依靠其微控制器和软件独立运行；

网写器采用条码(Bar Code)技术，还可以应用于另售业、物流业、生产企业、金融保险、图书管理、仓库自动化管理等现有的一切利用条码技术的领域。

4.内联网技术与现有的内部虚拟专用网技术的共有技术特征：

将分布于不同地理位置的某单位各个优机网络(局域网)，与互联网相连接，构建成该单位内部专用的广域网。用于单位总部与各个分支机构或者各个分支机构之间的两台主机的安全通信；用于单位总部网络和分支机构网络的内部主机之间的安全和精确的通信；还用于单位的优机网络与单位优机网络之间的安全和精确的信息交流；

内联网的技术特征：

单位总部和其分布于不同地理位置的跨地区的若干个分支机构等的各个优机网络，其中每个优机分别通过辨机与互联网连接起来，构建一个安全可靠和信息互操作的内联网；用于单位总部网络和分支机构网络的内部主机之间的安全和精确的通信；该系统的不同网络的两台主机之间的信息互操作，之所以是安全和精确的，是因为内联网是单位专有网的特例；对于一个文件中的部分段落，还可以根据其不同的安全等级，进行相应的安全加密。

内联网可应用于需要通过因特网传输信息的各行各业。

5.外联网技术与现有的外部虚拟专用网技术的共有技术特征：

可用于单位的内联网与单位合作伙伴网络之间的信息交流，并提供安全保护；防止对优机网络信息的非法访问；

外联网的技术特征：

合作伙伴的一个或者几个优机网络的优机，分别通过装有该单位辨机的标准程序和识别加密地址程序的计算机，与互联网相连接；那么该单位的内联网和这个合作伙伴的一个或者几个优机网络，各自辨机以及互联网，构建一个安全可靠和信息互操作的外联网；它用于单位总部网络和分支机构网络的内部主机之间的安全和精确的通信；还用于单位的内联网与单位合作伙伴指定的网络之间的安全和精确的信息交流；

与单位优机网络相连接的辨机，装有《检查程序的程序》、《源端加密程序》和《宿端解密程序》等，能够识别从互联网进来的各种信息，并且只允许该单位的其他优机网络和合作伙伴指定的网络中的计算机的信息，经过解密之后，进入到该优机网络中的接收计算机；

与合作伙伴指定的网络相连接的辨机，装有《检查程序的程序》、《源端加密程序》和《宿端解密程序》等，能够识别从互联网进来的各种信息，并且只允许该合作单位的优机网络中的计算机的信息，经过解密之后，进入到合作伙伴的优机，再转发给接收计算机。

外联网可应用于需要通过因特网传输信息的各行各业。

6.访问网技术与现有的远程访问虚拟专用网技术的共有技术特征：

用于提供远程移动用户对单位内联网的安全访问，是非固定线路的专用网；对于新形式的访问技术，只要更新专用网络的访问策略，就可以实现；

访问网的技术特征：

具有《对单位的身份认证加密和授权程序》的单位远程客户机，与互联网相连接后，能够登录具有《对用户的身份认证加密和授权程序》功能的单位内联网。这些客户机、内联网和互联网共同组成的系统，为访问网；采用用户的公钥和单位的公钥不必公开的不对称算法。

访问网可应用于需要通过因特网传输信息的各行各业。

7.政务网技术与现有的电子政务网络技术的共有技术特征：

既保证政府与公众进行网上对话和服务；又保证内部信息不泄露；

政务网的技术特征：

国会和政府或者其所属的部门的政务局域网的基本框架结构为：政务外部网、内部网和核心网三个层次；互联网和外部网、外部网和内部网、内部网和核心网，分别由辨机实行物理隔离的；分布全国的各个政务优机网中的优机，通过辨机与互联网相连接，构建成政务网；政务网基于所承载的信息和应用系统的密级，其安全级别可分为多层，并采用辨机进行物理隔离措施；各个外部网上的信息可以互操作；各个内部网上的信息可以互操作；各个核心网上的信息可以互操作。

8.商务网技术与现有的电子商务网络技术的共有的技术特征：

在互联网上购物、销售商品、拍卖等交易和网上货币支付等；

商务网的技术特征：

将客户、商家的计算机、企业的优机网络和各自开户银行的网络，分别与互联网相连，构成商务网；能够使用数字签名和不公开客户和商家的公钥等方法，实现对网上商务交易各方身份的有效性认证；可以采用对称密钥体制，进行信息的加密和解密；能够使用数字摘要(即数字指纹)算法，确认支付电子信息的真伪性；能够保证参与电子商务的客户及其开户银行、商家及其开户银行，对业务或行为的不可否认性；商家不能读取客户的支付指令，银行也不能读取客户的购货信息；整个网上支付结算过程，对客户商家和开户银行都是方便易用的，手续简便；银行专有网和互联网通过辨机相连接，可以保障银行专有网的安全；其体现客户资金的安全、客户利用网上银行进行交易的安全和客户隐私的安全；

商务网上交易和支付，采用商家、客家和银行各自的一对密钥(公钥和私钥)都不公开的新方法；商务网中的买方在开户银行(下称客户银行)，有一定的存款、密码和客户的网址，并且知道该银行的公钥；客户银行知道商家银行的公钥；卖方在开户银行(下称商家银行)，事先存有商家的密码和网址，并且知道该银行的公钥；商家银行在客户银行有结算账号、密码，并且知道客户银行的公钥；以下三种方法可分别进行商务网的交易和网络支付。

8.1商务网的交易和支付的基本流程：

8.1.1客户机(或者浏览器)连接互联网，用Web浏览器进行商品的浏览、选择与订购，填写网络订单(包括客户银行名称)；在网上向商家提交订单；

8.1.2商家服务器对客户的订购信息，进行检查、确认，用商家银行的公钥把商家的公钥和商家银行帐号加密，密文作为商家数字签名，和各个商品价格、总价格、商家银行名称，一起在网上传给客户；

8.1.3客户核对无误后，用私钥对其在客户银行的帐号和密码加密，密文作为客户数字签名，将客户数字签名和商家数字签名、付款金额、商家银行、客户公钥等，用客户银行的公钥加密，并将这些密文传给客户银行；

8.1.4客户银行用自己的私钥将密文解密，得到客户发送的明文、商家的数字签名和客户的数字签名；然后用明文中的客户公钥对客户数字签名进行解密。客户银行将解密后的客户账号、密码与客户留存的资料核对，无误后就确认是客户发出的信息；

8.1.5客户银行将商家银行在客户银行的结算账号、密码，用自己的私钥加密，作为客户银行数字签名；然后将收款金额、客户银行数字签名、商家的数字签名等，用商家银行公钥加密，发送给商家银行；

8.1.6商家银行收到客户银行的密文后，用自己的私钥将密文解密，得到客户银行发送的明文信息及其数字签名，然后用客户银行公钥对客户数字签名进行解密，如果成功，则确认是客户银行发出的。商家银行用自己的私钥再对商家数字签名进行解密，如果成功，则确认是商家发出的；

8.1.7商家银行用商家公钥对商家账号、密码加密之后，和商家应收金额一起传送给商家。商家收到信息后，用自己的私钥解密。若商家确认自己应收金额和商家账号、密码正确，则将货物送达客户，或者提供服务；

8.1.8客户收到货物，或者接受服务后，用客户银行的公钥将确认付款的信息和密码加密之后，发送给客户银行；客户银行用自己的私钥将密文解密，得到客户发送的确认付款的信息和密码；客户银行将客户在该银行的帐户中减去购物款，将商家银行在客户银行的结算帐户中增加该笔款，并告知商家银行在其商家帐户上增加购物款。商家银行和客户银行在约定时间，进行结账；

至此，一次典型的商务交易和网上支付过程结束；商家和客户可以借助网络查询自己的资金余额；

8.2客户通过因特网进行网络商务，业务交易和电子支付(或网络支付)的基本流程：

8.2.1客户用客户机(或者浏览器)连接因特网，用Web浏览器进入网络业务单位的业务站(优机网络)的网页，根据页面提示，输入进行商务业务的信息后，选择自己需要的有关信息；然后再选择网上支付的结算工具，如网络信用卡、电子钱包、电子现金、电子(网络)支票或网络(电子)银行等；客户还输入自己的居住地址或者通讯地址；并且核对自己居住地址或者通讯地址信息；

8.2.2网络业务单位的业务站辨机对客户的商务信息，进行检查、确认，并且转给服务器(优机)，优机用业务站的私钥把业务站在业务站银行的帐号和密码加密，密文作为业务站数字签名，与业务的价格信息和业务站银行名称等，一起在网上传给客；

8.2.3客户核对无误后，用私钥对其在客户银行的帐号和密码加密，密文作为客户数字签名，将客户数字签名和业务站数字签名、付款金额和业务站银行名称等，用客户银行的公钥加密，并将这些密文传给客户银行；

8.2.4客户银行用其私钥将密文解密，得到客户发送的明文、业务站数字签名和客户数字签名；然后用客户公钥对客户数字签名进行解密；客户银行将解密后的客户账号、密码与客户留存的资料核对，无误后就确认是客户发出的信息；

8.2.5客户银行将业务站银行在客户银行的结算账号和密码，用自己的私钥加密，作为客户银行数字签名；然后将收款金额、客户银行数字签名和业务站的数字签名，用业务站银行公钥加密，发送给业务站银行；

8.2.6业务站银行收到客户银行的密文后，用自己的私钥将密文解密，得到客户银行发送的明文信息及其数字签名，然后用客户银行公钥对客户银行数字签名进行解密，如果成功，则确认是客户银行发出的；业务站银行再用业务站的公钥对业务站数字签名进行解密，如果成功，则确认是业务站发出的；

8.2.7业务站银行用业务站公钥对业务站账号、密码和业务站应收金额，一起加密之后传送给业务站；业务站收到信息后，用自己的私钥解密；若业务站确认自己应收金额和业务站账号、密码正确；则按照客户居住地址或者通讯地址，通过快速邮递系统或者配送中心给客户送达业务(货物)或者服务；

8.2.8客户收到业务(货物)或者服务，用其私钥将确认付款的信息和密码加密作为其数字签名，发送给客户银行；客户银行用客户的公钥将密文解密，得到客户发送的确认付款的信息；客户银行将客户在该银行的帐户中减去购物款，将业务站银行在客户银行的结算帐户中增加该笔款，并告知业务站银行在其业务站帐户上增加该笔款；业务站银行和客户银行在约定时间，进行结账；

至此，一次典型的业务交易和网上支付过程结束；

8.3网络商务还可通过电话线进行；即客户及其开户银行，各自有一对密钥(公钥和私钥)；客户在开户银行(下称客户银行)账号中，有一定的存款和密码；并且知道该银行的公钥等。其通过电话线的一般流程为：

客户将计算机通过调制解调器(Modem)与电话线相连接，通过电话线另一端的调制解调器，将网络业务站的浏览器页面传输到自己的计算机屏幕上；然后根据自己的业务需求，按照该页面提示进行操作，决定选择自己需要的有关信息；客户再选择网上支付的结算工具，如网络信用卡、网络钱包、网络现金、网络支票、网络银行账号等；客户机输入并核对客户的居住地址或者通讯地址；其余步骤和网络业务和网络支付方式是一样的；

以上三种网络交易方法是企业与个人进行网络交易时采用的网络支付方式；即B2C型网络支付方式；稍微修改就可以适用于B2B型、C2C型、B2G型、G2G型、C2G型等网络业务和网络支付方式；一些基于专用金融通信网络平台的电子支付结算方式，如电子汇票系统、SWIFT、CHIPS、CNAPS和金融EDI等都归结为B2B型网络业务和网络支付方式。

9.辨机和优机网络技术与现有的防火墙屏蔽主机技术的共有技术特征：

不同的网络或者安全域之间的双向信息流的唯一通道；只有经过授权的信息才可以通过；本身具有抗攻击能；。

辨机和优机网络的技术特征：

这些不同的网络互联和网络组合技术，体现了各个系统的不同功能和安全要求；通过辨机上互相隔离的优机接口和辨机网络接口，实现与其相连接的优机网络和辨机网络之间的物理隔离；又通过辨机的计算机功能，实现该优机网络和辨机网络之中的计算机之间进行安全和精确的信息互操作；可以防止病毒攻击优机网络；

专有网技术与微示器和网写器技术相结合组成的系统，广泛应用于使用因特网的各行各业。例如银行的专有网与钱币微示器，就构成网络银行；各种票务的专有网和票证微示器，就构成网络票务；医务医保的专有网和医疗微示器，就构成网络医疗医保；物流单位的专有网、传感器和微示器技术相结合，就构成网络物流等；

单位或物网集团将其专有网中指定的若干优机网络，与政务网和商务网中指定的优机网络，能够通过互联网进行互操作而组成的网络智能系统；这种系统就是物网；物网是一种能将包括人在内的所有的单位物质，通过网络信息互相联系的网络智能系统；它涉及的技术包括网络政务、网络商务和网络物流等；其采用射频识别技术、传感技术、智能嵌入技术和纳米技术等；在军事和民用领域都具有重大的战略应用和意义；

借助于网络政务，可有效解决物网中物网企业、工商企业、金融机构和政府监管部门之间的物网信息综合集成问题；

辨机和优机网络通过因特网组成的各种系统，可应用于需要通过因特网传输信息的各行各业。

10.利用优机网络通过辨机与因特网连接而组成各种不同功能的专有网，可形成满足各种需要的互联网；。

辨机还可以与被保护的几个优机网络中的优机相连接；其几个物理隔离的独立的输入接口或者输出接口，分别与被保护的几个网络相连接；被保护的优机网络，还可设置更多重辨机的安全级别更高的不同的多级优机网络；

不同的优机网络通过辨机与因特网线路组合的方式，可广泛满足各行各业的各个系统所需要网络的不同功能和安全的要求；

形形色色的专有网，通过辨机功能，实现与其相连接的优机网络和因特网之间的物理隔离；又通过辨机的控制功能，实现各个优机网络之中的计算机之间，通过因特网的各栈在应用层进行安全和精确的信息互通；

电子多媒体技术使计算机能够将图像、文字、声音等多种信息存储和整合成多媒体信息，并实现方便的交互等；

专有网中优机网络的媒体服务器，将互联网数据库中的多媒体，编码压缩解析成多个压缩包，放在因特网上按顺序传输；另一个优机网络的辨机经病毒检查后转给用户端(一般是PC机，也称为播放器Player)，播放器利用其内存中一块一定容量的缓冲区来接收压缩包，缓冲区被充满只需几秒或数十秒钟的时间，之后用户端就可以解压缩缓冲区中的数据并开始播放其中的多媒体内容；用户端在播放内容消耗掉缓冲区内数据的同时，又下载后续的压缩包到空出的缓冲区空间；从而实现通过因特网连续播放多媒体的效果；

流媒体远程监控专有网能将监控的视频、音频与控制信息从监控现场传送到专有网的每一个结点；可利用专有网在不同地点同时监视、控制远程某一或某些现场及其监控设备；并获得各种报警信号，进行远程指；

仿真协同网可广泛应用在医疗、工业、娱乐、商业、国防军事等各行各业。

辨机对各种不同功能的网络，通过互联网进行互联，组成满足各种需要的专有网。在因特网上传输的信息是经过加密处理、完整检查和身份认证的；保证信息保密性、完整性和真实性；具有抵抗黑客攻击网络能力；

各种不同形式的专有网，可应用于需要通过因特网传输信息的各个领域。