一种用于煤矿重大设备感知数据联网的智能安全网关系统的制作方法

1.本技术涉及计算机技术领域，尤其涉及一种用于煤矿重大设备感知数据联网的智能安全网关系统。


背景技术：

2.在煤矿重大设备感知数据采集中，一般由工业控制计算机作为采集终端，通过rj45以太网接口，opc通讯协议采集重大设备监控子系统数据，将数据转化为mqtt、消息队列等通讯方式后写入到关系型数据库，然后按照重大设备感知数据联网接入细则所要求的数据格式对关系型数据中数据内容进行封装、转换和上传。但煤矿重大设备监控子系统一般为单独规划建设的，数据采集过程中需要对接多种类型的子系统通讯协议，单一的rj45以太网接口和单一的opc通讯协议难以满足重大设备感知数据采集的需要。且煤矿重大设备监控子系统一般位于工业环网环境中，而联网用前置服务器一般位于办公网络环境中，出于对生产子系统数据安全的考虑，需要在两端之间进行网络安全设计，单纯的数据采集、转换与上传不能满足网络安全防护的需要。


技术实现要素：

3.本技术的目的在于提供一种用于煤矿重大设备感知数据联网的智能安全网关系统，能够兼容多种协议，满足了各个煤矿重大设备监控子系统感知数据联网中数据对接的需要和网络安全防护的需要。
4.为达到上述目的，本技术提供一种用于煤矿重大设备感知数据联网的智能安全网关系统，包括：多个工业监控系统、智能安全网关和多个前置机；其中，工业监控系统：用于采集监控数据，并通过相应的通信协议将监控数据发送至智能安全网关；智能安全网关：用于接收通过多种不同的通信协议上传的监控数据，对监控数据进行过滤，获得过滤后的数据；前置机：用于向智能安全网关发送数据获取指令获取过滤后的数据。
5.如上的，其中，智能安全网关至少包括：隔离开关、内端机和外端机；隔离开关设置于内端机和外端机之间；其中，内端机：用于接收监控数据；隔离开关：用于对内端机和外端机进行隔离，令内端机中的数据不能直接传输至外端机；隔离开关中预先设置有过滤模块，通过过滤模块对内端机中的监控数据进行过滤，获得过滤后的数据，并存储；外端机：用于接收数据获取指令，并从隔离开关中获取过滤后的数据，并将过滤后的数据发送至前置机。
6.如上的，其中，外端机和内端机均设置有底层安全数据交互平台；底层安全数据交互平台至少包括：文件双向同步模块、数据库双向同步模块、应用协议代理模块、安全控制及过滤模块、定制协议代理模块、采集与转发模块、并发上传模块和智能化与稳定性模块；其中，文件双向同步模块：用于实现外端机和内端机的双向同步功能，并在传输过程中实现基于文件属性的安全控制；数据库双向同步模块：用于实现外端机的数据库和内端机的数据库之间的双向同步；支持同构数据库及异构数据库同步，并能对同步的数据库内容提供安全过滤和控制；其中，同步方式至少包括：全表复制、增量同步和字段级同步；应用协议代
理模块：用于通过服务地址映射机制将目标服务器映射到设备的另一端机供用户访问，提供常见应用协议的安全代理功能；安全控制及过滤模块：用于提供基于ip/mac及时间的网络访问控制功能；提供对各种协议应用的安全控制，支持对协议命令、数据的安全检查及过滤；提供交换文件的格式深度检查、内容过滤机病毒查杀功能；定制协议代理模块：用于提供基于tcp/udp的定制代理协议，实现内端机和外端机的非标准协议的代理，并实现协议代理中的源端认证，在受控情况下保证应用跨网访问；采集与转发模块：内端机用于获取支持工业现场的多种协议；外端机用于转发和支持各个行业标准的协议或者定制开发各种接口服务；并发上传模块：用于数据上报，外端机用于支持同时向多个前置机上传过滤后的数据；内端机用于支持同时接收多个工业监控系统上传的监控数据；智能化与稳定性模块：用于支持网关运行状态监控、工作日志查看和错误诊断；支持软件看门狗，用于保证系统稳定运行。
7.如上的，其中，文件双向同步模块支持的文件同步协议至少包括ftp、sftp、scp和nfs。
8.如上的，其中，文件双向同步模块支持的文件同步模式至少包括复制、移动和备份。
9.如上的，其中，支持工业现场的多种协议至少包括：modbus、opc、bacnet、iec60870、dnp及主流保护装置协议和plc通信协议。
10.如上的，其中，常见应用协议至少包括：http、https、smtp、pop3和sql。
11.如上的，其中，智能安全网关采用1u标准机架式结构。
12.如上的，其中，外端机和内端机均采用intel bay trail j1900低功耗主板。
13.如上的，其中，工业监控系统至少包括：主通风机监控系统、主排水监控系统、立井监控系统、斜井提升监控系统、空压机监控系统、绞车监控系统和供电监控系统。
14.本技术实现的有益效果如下：
15.(1)本技术的用于煤矿重大设备感知数据联网的智能安全网关系统，能够兼容多种协议，满足了各个煤矿重大设备监控子系统感知数据联网中数据对接的需要。
16.(2)本技术的用于煤矿重大设备感知数据联网的智能安全网关系统能够实现隔离网闸功能，能在工业环网与办公网络之间增加网络安全防护的功能，以增强监控数据在采集、转换与上传工程中的安全性能，避免对工业环网中的生产子系统带来误操作。
附图说明
17.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
18.图1为用于煤矿重大设备感知数据联网的智能安全网关系统一种实施例的结构示意图；
19.图2为智能安全网关一种实施例的结构示意图；
20.图3为智能安全网关另一种实施例的结构示意图。
具体实施方式
21.下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
22.如图1所示，本技术提供一种用于煤矿重大设备感知数据联网的智能安全网关系统，包括：多个工业监控系统110、智能安全网关120和多个前置机130。
23.其中，工业监控系统110：用于采集监控数据，并通过相应的通信协议将监控数据发送至智能安全网关120。
24.具体的，不同的工业监控系统110所使用的通信协议可以相同，也可以不同，工业监控系统110通过根据自身需求所设置的通信协议将监控数据发送至智能安全网关120。
25.智能安全网关120：用于接收通过多种不同的通信协议上传的监控数据，对监控数据进行过滤，获得过滤后的数据。
26.具体的，智能安全网关120兼容了多种通信协议，能够接收工业监控系统通过多种通信协议上传的监控数据，从而满足了各个煤矿重大设备监控子系统感知数据联网中数据对接的需要。智能安全网关120接收到监控数据后，将监控数据转换为符合《煤矿重大设备感知数据接入细则(试行)》要求的数据格式，并对转换后的数据进行过滤，过滤掉前置机不需要的数据，并将完成过滤的数据作为过滤后的数据。
27.前置机130：用于向智能安全网关发送数据获取指令获取过滤后的数据。
28.具体的，前置机130可以为省级煤监局在煤矿部署的前置服务器，但不仅限于省级煤监局在煤矿部署的前置服务器，本技术优选为省级煤监局在煤矿部署的前置服务器。前置机130从智能安全网关中获取过滤后的数据后，通过互联网专线将过滤后的数据回传至省级煤监局系统数据库，从而实现在省级煤监局平台的数据展示。
29.进一步的，如图2所示，智能安全网关120至少包括：隔离开关、内端机和外端机；隔离开关设置于内端机和外端机之间。
30.其中，内端机：用于接收监控数据。
31.隔离开关：用于对内端机和外端机进行隔离，令内端机中的数据不能直接传输至外端机；隔离开关中预先设置有过滤模块，通过过滤模块对内端机中的监控数据进行过滤，获得过滤后的数据，并存储。
32.具体的，在内端机和外端机之间设置隔离开关，隔离开关能够实现隔离网闸功能，能在工业环网与办公网络之间增加网络安全防护的功能，以增强监控数据在采集、转换与上传工程中的安全性能，避免对工业环网中的生产子系统带来误操作。
33.外端机：用于接收数据获取指令，并从隔离开关中获取过滤后的数据，并将过滤后的数据发送至前置机。
34.进一步的，外端机和内端机均设置有底层安全数据交互平台；底层安全数据交互平台至少包括：文件双向同步模块、数据库双向同步模块、应用协议代理模块、安全控制及过滤模块、定制协议代理模块、采集与转发模块、并发上传模块和智能化与稳定性模块。
35.其中，文件双向同步模块：用于实现外端机和内端机的双向同步功能，并在传输过程中实现基于文件属性的安全控制。
36.数据库双向同步模块：用于实现外端机的数据库和内端机的数据库之间的双向同步；支持同构数据库及异构数据库同步，并能对同步的数据库内容提供安全过滤和控制；其中，同步方式至少包括：全表复制、增量同步和字段级同步。
37.应用协议代理模块：用于通过服务地址映射机制将目标服务器映射到设备的另一端机供用户访问，提供常见应用协议的安全代理功能。
38.安全控制及过滤模块：用于提供基于ip/mac及时间的网络访问控制功能；提供对各种协议应用的安全控制，支持对协议命令、数据的安全检查及过滤；提供交换文件的格式深度检查、内容过滤机病毒查杀功能。
39.定制协议代理模块：用于提供基于tcp/udp的定制代理协议，实现内端机和外端机的非标准协议的代理，并实现协议代理中的源端认证，在受控情况下保证应用跨网访问。
40.采集与转发模块：内端机用于获取支持工业现场的多种协议；外端机用于转发和支持各个行业标准的协议或者定制开发各种接口服务。
41.并发上传模块：用于数据上报，外端机用于支持同时向多个前置机上传过滤后的数据；内端机用于支持同时接收多个工业监控系统上传的监控数据。
42.智能化与稳定性模块：用于支持网关运行状态监控、工作日志查看和错误诊断；支持软件看门狗，用于保证系统稳定运行。
43.进一步的，文件双向同步模块支持的文件同步协议至少包括ftp、sftp、scp和nfs。
44.进一步的，文件双向同步模块支持的文件同步模式至少包括复制、移动和备份。
45.进一步的，支持工业现场的多种协议至少包括：modbus、opc、bacnet、iec60870、dnp及主流保护装置协议和plc通信协议。
46.具体的，智能安全网关120兼容了modbus、opc、bacnet、iec60870、dnp及主流保护装置协议和plc通信协议等多种协议，能够接收工业监控系统通过modbus、opc、bacnet、iec60870、dnp及主流保护装置协议和plc通信协议等多种协议上传的监控数据，从而满足了各个煤矿重大设备监控子系统感知数据联网中数据对接的需要。
47.进一步的，常见应用协议至少包括：http、https、smtp、pop3和sql。
48.进一步的，智能安全网关120采用1u标准机架式结构。
49.进一步的，如图3所示，1u标准机架式结构的后侧设置有至少四个外端机的以太网口140和至少两个外端机的串口150，至少四个内端机的以太网口160和至少两个内端机的串口170。
50.进一步的，外端机和内端机均采用intel bay trail j1900低功耗主板。
51.进一步的，工业监控系统110至少包括：主通风机监控系统、主排水监控系统、立井监控系统、斜井提升监控系统、空压机监控系统、绞车监控系统和供电监控系统。
52.具体的，主通风监控系统(系统编码为30)的测点类型编码和名称字典表如表1所示。其中，测点类型编码说明：30000-30099表示开关量，30100-30199表示模拟量，30200-30299表示累计量。
[0053][0054][0055]
表1
[0056]
主排水监控系统(系统编码为31)的传感器类型如表2所示。测点类型编码说明：31000-31099表示开关量，31100-31199表示模拟量，31200-31299表示累计量。
[0057]
[0058][0059]
表2
[0060]
立井监控系统(系统编码为32)的传感器类型如表3所示。测点类型编码说明：32000-32099表示开关量，32100-32199表示模拟量，32200-32299表示累计量。
[0061]
[0062][0063]
表3
[0064]
斜井提升监控系统(系统编码为33)的传感器类型如表4所示。测点类型编码说明：33000-33099表示开关量，33100-33199表示模拟量，33200-33299表示累计量。
[0065]
[0066][0067]
表4
[0068]
空压机监控系统(系统编码为34)的传感器类型如表5所示。测点类型编码说明：34000-34099表示开关量，34100-34199表示模拟量，34200-34299表示累计量。
[0069]
[0070][0071]
表5
[0072]
绞车监控系统(系统编码为35)的传感器类型如表6所示。测点类型编码说明：35000-35099表示开关量，35100-35199表示模拟量。
[0073]
测点类型编码测点类型名称计量单位值说明采集约束35000其他(开关量) 按固有值类型描述 35001通讯状态 1表示运行，0表示故障必选35002就地模式 1表示开，0表示关必选35003远程模式 1表示开，0表示关必选35004检修模式 1表示开，0表示关必选35005集控方式 1表示开，0表示关必选35006单控方式 1表示开，0表示关必选35007运行状态 1表示运行，0表示停止必选35008制动状态 1表示投入，0表示切除必选35009提升方式 1表示双轨，0表示单轨可选35100其他(模拟量) 按固有值类型描述 35101运行速度m/sn..1可选35102电机电流an..4可选35103电机电压vn..4可选35104电机功率kwn..4可选
[0074]
表6
[0075]
供电监控系统(系统编码为36)的测点类型编码和名称字典表如表7所示。测点类型编码说明：36000-36099表示开关量，36100-36199表示模拟量，36200-36299表示累计量。
[0076]
[0077][0078]
表7
[0079]
进一步的，多个工业监控系统110和智能安全网关120均通过web界面的方式对煤矿重大设备监控子系统的数据采集以及对数据上传进行配置，简化了运维工作。
[0080]
本技术实现的有益效果如下：
[0081]
(1)本技术的用于煤矿重大设备感知数据联网的智能安全网关系统，能够兼容多种协议，满足了各个煤矿重大设备监控子系统感知数据联网中数据对接的需要。
[0082]
(2)本技术的用于煤矿重大设备感知数据联网的智能安全网关系统能够实现隔离网闸功能，能在工业环网与办公网络之间增加网络安全防护的功能，以增强监控数据在采集、转换与上传工程中的安全性能，避免对工业环网中的生产子系统带来误操作。
[0083]
尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，本技术的保护范围意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术保护范围及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。