[发明专利]介入式工业设备边缘计算系统

摘要

介入式工业设备边缘计算系统，包括处理设备数据上行监控的设备数据采集模块、异构的数据存储模块、智能分析与预测性维护模块和数据可视化模块，对外部用户请求进行隔离化分析的独立的权限管理模块和网络安全管理模块，达成多种需求接入的动态端口策略端口映射模块和远程接入模块。本发明进行动态匹配设备协议进行通信协议匹配加强兼容性；对每个设备生成特异性模型进行分析维护；分离常规监控和介入控制；对接入请求建立基本风险评估，并对端口数据进行分流分析，提高数据有效性。本发明可以远程采集工业网络中的设备将数据规范化并上传云端进行智能分析和预测性维护，同时根据需求进行设备的数据监控或介入式控制，给予用户如同本地的设备连接。

主权项

1.一种介入式工业设备边缘计算系统，其特征在于：包括处理设备数据上行监控的设备数据采集模块、异构的数据存储模块、智能分析与预测性维护模块和数据可视化模块，对外部用户请求进行隔离化分析的独立的权限管理模块和网络安全管理模块，达成多种需求接入的动态端口策略端口映射模块和远程接入模块；设备信息采集模块输入为设备状态的相关信息，筛选统一化后将数据上传至云端；此模块分三部分，第一部分为设备信息的初步分析，不同的工业设备需要进行不同的协议通信，因此前期需要进行设备校准；用户先设定指定设备的设备类型，通过特定传输协议与目标设备进行初步的设备信息校对，并反馈后台，将设备信息加以绑定，其次建立socket连接，获取目标设备特定寄存器的值，然后进行二次解析，将设备反馈信息统一化；第二部分为与云端数据库进行连接，通过系统下位机自身出厂密码和算法综合获取的账号进行登录，并根据设备信息、时间信息等条件将采集的信息存放至指定的位置；第一部分为外置摄像头支持，利用下位机本身自带的接口连接摄像头进行图像采集，上传至云端，同时提供视频流接口供用户调用；数据存储模块：输入下层的设备信息采集模块所上传的各个设备的相关信息以及部分用于存放来自智能分析与预测性维护模块的设备状态分析建议；数据存储模块存放下位机设备所采集的设备信息以及图像信息，并提供大量接口供智能分析与预测性维护模块，数据可视化模块进行数据读取；存储结构为异构系统，分为Redis和数据库；Redis对实时性要求较高的模块进行实时数据调用；数据库存放历史数据，可视化显示后台数据、对运行模型建立解析；同时数据存储模块提供了给予智能分析与预测性维护模块的数据调用的输出接口和数据可视化模块相关数据调用智能分析与预测性维护模块：以数据存储模块的设备信息为输入，以对设备的预测性维护建议为输出；，分为两部分，第一为智能分析部分，会对不同种的设备导入由专家设计的基本运行模型，基本运行模型集成了多种常见错误，；，并且利用数据存储模块内的数据进行针对每一个载入的设备进行特异性分析；，且在多次分析后形成新的有效模型，供给第二部分进行实时数据分析；第二部分为预测性维护，在智能分析部分生成设备运行匹配模型后会实时分析Redis内相应设备的数据，并对其和模型参数进行匹配；若出现警告会上报至存储空间的警告信息存储区，用于用户确认，在用户判定后会更新相应的设备运行匹配模型，进一步加强设备的适应性；若出现错误会直接调用错误通知策略实时通知用户，若用户设定权限，通过内部通信协议直接对设备作出关停等措施；在应对多设备联合的情况下用户对设备设定组态，简化运行模型，加强对这个系统的拟合度；数据可视化模块：输入为用户数据监控请求和数据存储模块中用户权限内所能读取的各项数据；将设备采集的数据进行图形化展示，方便用户直观地进行设备观察；其中用户可以在其控制权限内通过设备的UUID和连接密码进行设备添加，从而获取设备相关数据；还提供设备介入式控制连接证书下载按键，在现场运维人员开启远程连接许可后，系统会生成相应的登录证书并发放给用户；同时用户能够查看当前账号的历史登录数据、进行何种操作；权限管理模块：输出为对用户的请求进行审核；其内部存储用户的各项相关权限，包括动态码发放，行为合法性验证，连接证书生成及发放策略，其中保存了所有设备的基础证书，并会根据链接需求以及其权限程度基于不同的客户生成连接证书并给予发放；网络安全管理模块：输入来自外部网络的请求信号和权限管理模块的审核确认信号，输出各项合法请求；网络安全管理模块分为防火墙接入策略、权限验证策略和动态端口连接策略；防火墙接入策略为对用户的可视化界面登录和介入控制进行分流，可视化界面请求的数据量较小，对流控分析时要求较严格，限制其访问数量和请求；在此遇到高量请求许可时将其转移至其他主机，进行分流分析，如出现恶意登录，则记录在用户的警告信息存储空间，并封禁发送请求的端口，若出现误封的情况可由用户联系现场设备维护人员重新开放端口，若此为固定的访问地址则将其添加至白名单防止误禁；权限验证策略是利用权限管理模块对用户的请求进行验证，包括登录系统时需要进行账号密码认证或动态码认证；在自身监控系统添加设备时加入设备信息核对，审核用户操作的合法性；动态端口连接策略主要是用于介入式控制请求时客户所需要的连接端口，若连接端口固定，则很容易受到外部持续性攻击，导致端口无法正常使用，从而用户连接失败；动态端口策略会将目前可用端口制表，并生成随机值挑选端口，进行证书组合，并下发给用户；端口映射模块：输入外部介入式控制信号，输出至介入式控制网关中的远程控制模块；将下位机设备上的端口信息封装，并同步到云端主机的某一端口地址，利用了反向代理的原理，同时可以根据用户需求同步转发内网内其他设备所需要转发的端口，如用户希望开放工业网络中的网络附属存储，则可将此端口开放；由于加密转发会影响数据传输速度，因此另外提供了P2P转发的服务，使用户和设备在网络状况良好的情况下进行直接通信，增加数据传输的有效性；远程接入模块：输入为来自云端服务的端口映射模块的介入控制请求，输出为将远程用户的各项请求发送至本地工业网络；用于用户在介入控制时为用户提供一个虚拟的网络地址；在接收到用户的远程连接请求时会核对用户连接权限并生成连接所需的加密证书，用户下载后可通过特定软件进行连接，用户在连接时接入模块会对证书的有效性并利用TAP网卡获取额外的虚拟网络地址，在二层进行设备信息交换，由此对设备协议进行支持；并且为了节省网路资源，远程接入模块利用LZO算法对传输的数据进行压缩，并在客户的界面再进行数据还原；同时根据接入权限的回调仅开放特定地址和特定端口，加强设备的保密性。