一种高度集成的基于云边协同的边缘智能网关的制作方法

1.本发明属于边缘网关技术领域，具体为一种高度集成的基于云边协同的边缘智能网关。


背景技术：

2.边缘网关在云计算、大数据、人工智能、物联网等新型信息技术广泛应用的当下备受关注，可以通俗的理解成在网络的边缘处借助各种网络节点设备进行计算，包括数据分析、应用部署等。随着物联网不断发展，网络带宽、数据时延、安全性等实际应用问题促使边缘网关迅速被认可关注并被重点研究。
3.边缘网关是一种对工业互联网领域ot层和it层技术高度整合的产品，其中的边缘计算与传统现场数据分析处理方法不同，又与消费互联网中的云计算与大数据分析不同，具有特殊的优势与价值。边缘网关有效解决了工业互联网在落地过程中，用户越来越关注的敏感数据保护，数据实时处理效率低，云、边、端有效协同等问题。
4.边缘网关主要提供对工业现场的信息进行汇集、处理、存储、分析和传输等服务。作为连接现场设备与数据存储平台的纽带，边缘网关一方面要对工业现场异构网络中大量的静态信息和实时性动态信息进行采集、通信协议转换和数据包传输；另一方面更侧重于数据处理、整合、分析、决策和共享利用等核心服务。
5.边缘智能网关不仅需要支持多种工业协议，而且需要支持tcp/ip协议。由于不同的通信协议对应的数据包传输格式不同，只有实现异构网络转换才能满足支撑平台大规模、高速度的安全传输和信息处理的应用要求。
6.边缘智能网关需要向现场设备和支撑平台提供数据推送服务，包括数据的采集和交互。现场设备不断地产生实时数据，边缘智能网关接收到这些数据后，先进行预处理和计算分析，再发送给支撑平台，从而服务于大数据、ai计算、云仿真等平台应用。反之，边缘智能网关也可连接支撑工业互联网平台对现场设备进行反向控制。
7.现场设备会频繁地上传大量数据，这些数据中包括正常数据、无效数据和紧急数据。其中部分数据不需要上传到支撑平台中进行存储和分析，而另一部分数据则需要进行及时的处理和反馈。边缘智能网关提供本地数据的计算和智能在线分析服务，提供数据的过滤和聚合等预处理计算服务，并聚合空间和时间上互补或冗余的信息，然后再将处理后的有效数据发送至支撑平台。对于数据量巨大的现场设备，预处理计算服务能够降低大量数据上传导致的网络传输压力大、存储空间浪费等问题。
8.1、现有技术中，边缘网关的扩展性较差，只涵盖rs232、usb、can等工业常见硬件通讯端口。只支持有线通讯方式；没有预留扩展接口，不可对通讯模块、存储模块进行扩展；不支持边缘计算，不可支撑边缘侧ai应用；而且工业设计较差，结构复杂，密封、防尘、散热与抗震等性能较弱。
9.2、现有技术中，边缘网关在操作系统方面，采用开源操作系统，安全保障能差；在应用功能方面，内置工业软件资源匮乏，不支持云服务、云化配置、远程更新等多种云边协
同应用。同时，当前网关仅支持数据采集和数据传输，不可通过边缘智能服务平台对边缘智能网关进行纳管，以及轻量化应用的下载、部署和状态监测，以及不支持5g、网关安全性较差。


技术实现要素：

10.针对现有技术的不足，本发明提供了一种高度集成的基于云边协同的边缘智能网关，以解决上述背景技术中提出的问题。
11.为实现上述目的，本发明提供如下技术方案：一种高度集成的基于云边协同的边缘智能网关，包括技术架构单元、业务架构单元、部署架构单元以及安全防护架构单元；
12.所述技术架构单元包括连接层、数据层、应用层、通信层、链路层以及边-云协同层；
13.所述业务架构单元包括运行环境组件、设备交互组件、数据服务组件、网络连接组件、安全防护组件和智能应用；
14.所述部署架构单元包括系统部署、容器化部署、镜像制作、仓库、容器以及边缘智能服务平台部署；
15.所述安全防护架构单元包括内核层、系统层以及应用防护层。
16.进一步优化本技术方案，所述技术架构单元中的连接层用于和底层设备进行通信，包括modbus tcp、modbus rtu、s7、profinet、opc ua在内的通信协议；数据层用于负责存储和处理设备数据、系统数据、计算数据，并负责与设备进行交互，同时通过分布式存储数据和命令，并对指令进行实时处理。
17.进一步优化本技术方案，所述技术架构单元中的应用层用于提供边缘的数据智能分析与计算功能，为边缘智能网关提供计算规则引擎、实时算法模型、时间预警的基本数据计算功能，并为用户自定义的数据计算服务提供运行环境。
18.进一步优化本技术方案，所述技术架构单元中的通信层用于建立、处理和维护边缘智能网关与云计算之间的关系，云平台中的应用通过通信层与边缘智能网关进行计算任务与计算结果的交互，边缘智能网关中的其他层为本层收集数据并发布至在本层执行的服务功能中，服务功能至少包括mqtt、http、https、modbus server、snmp。
19.进一步优化本技术方案，所述技术架构单元中的链路层支持5g链路；所述边-云协同层通过边缘端服务管理系统将函数计算、流数据分析、事件管理、机理/训练模型及其他应用以容器的方式下发部署到边缘节点，边缘节点通过各种组件对数据进行初步处理后将处理结果与数据上传到云平台进行进一步分析和管理。
20.进一步优化本技术方案，所述业务架构单元支持docker、node.js、python、tensorflow的运行环境并内置有支持modbus、opcua、s7的工业通信协议的设备交互模块和支持数据存储分发服务的数据池模块、支持https、mqtt的通信协的网络连接模块，提供可视化编程工具、计算公式编辑排、时间管理和网关管理应用，各模块之间通过api接口进行数据交互共享，部分api接口对外开放，为物联网边缘应用提供基础服务。
21.进一步优化本技术方案，所述部署架构单元中系统部署用于将边缘智能网关功能相关的所有文件打包成压缩文件，通过部署脚本一键部署在网关中，将lib文件、可执行二进制文件拷贝到指定工作目录，然后设置程序的自启动功能。
22.进一步优化本技术方案，所述署架构单元中边缘智能服务平台部署用于在云平台上建设对边缘智能网关节点统一管理的边缘服务产品，基于容器技术构建与容器云产品一致的边缘侧应用全生命周期管理，并提供开放接口，在边缘侧承载云平台应用部署、网关缺省应用以及第三方应用。
23.进一步优化本技术方案，所述安全防护架构单元中内核层用于提供包括对内核的安全增加，以及网络报文的安全管理；系统层负责提供基础的安全服务，以及对应用的安全支撑；应用防护层用于提供系统应用完成对系统配置、身份认证的管理，为业务应用提供安全通信组件。
24.进一步优化本技术方案，所述安全防护架构单元用于实现内核层安全、网络防护、安全审计、完整性检测、系统升级以及应用管理的安全防护功能。
25.与现有技术相比，本发明提供了一种高度集成的基于云边协同的边缘智能网关，具备以下有益效果：
26.1、该高度集成的基于云边协同的边缘智能网关，通过设置技术架构单元，基于kubeedge技术实现云边协同功能，使用者可通过边缘智能服务平台对边缘智能网关进行纳管，以及轻量化应用的下载、部署和状态监测。
27.2、该高度集成的基于云边协同的边缘智能网关，通过设置安全防护架构单元，在边缘侧提供多重的安全保障能力：支持系统多用户管理，使用强用户密码策略；数据通讯采用tls加密，数据加密存储和传输采用高强度加密算法；通过防火墙对网路端口、连接、服务进行安全防护；提供审计日志接口、保存审计日志和管理审计日志的功能。
附图说明
28.图1为本发明提出的一种高度集成的基于云边协同的边缘智能网关的技术架构示意图；
29.图2为本发明提出的一种高度集成的基于云边协同的边缘智能网关的业务架构示意图。
具体实施方式
30.下面将结合本发明的实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
31.实施例：
32.一种高度集成的基于云边协同的边缘智能网关，包括技术架构单元、业务架构单元、部署架构单元以及安全防护架构单元。
33.所述技术架构单元包括连接层、数据层、应用层、通信层、链路层以及边-云协同层。
34.进一步的，如图1所示，连接层(即图1中的连接池)在边缘智能网关内部清晰地分割出北向(边缘智能网关与云平台交互)和南向(边缘智能网关与设备交互)的功能及服务。本层主要是用于和底层设备进行通信，主要包含modbus tcp、modbus rtu、s7、profinet、
opc ua等通信协议。
35.进一步的，数据层(即图1中的数据池)主要负责存储和处理设备数据、系统数据、计算数据。并负责与设备进行交互，是与设备交互的边缘连接器。同时通过分布式存储数据和命令，并对指令进行实时处理。
36.进一步的，应用层(即图1中的应用池)包含大量的数据计算服务功能，提供边缘的数据智能分析与计算功能。本层不仅为边缘智能网关提供计算规则引擎、实时算法模型、时间预警等基本数据计算功能，还可以为用户自定义的数据计算服务提供运行环境。
37.进一步的，通信层(即图1中的通讯池)用于建立、处理和维护边缘智能网关与云计算之间的关系，云平台中的应用通过通信层与边缘智能网关进行计算任务与计算结果的交互，边缘智能网关中的其他层为本层收集数据并发布至在本层执行的服务功能中。这些服务功能至少包括：mqtt、http、https、modbus server、snmp。
38.其中，所示技术架构单元中的链路层支持5g链路，5g具有低延时高可靠性、支持海量连接、大宽带高速率的特点。随着5g的规模部署，网络传输时延、带宽、连接密度均得到数量级的提升，给端-边-云协同提供了基础保障；5g为边缘计算产业的落地和发展提供了良好的网络基础。
39.其中，所示技术架构单元中的边-云协同层，通过边缘端服务管理系统将函数计算、流数据分析、事件管理、机理/训练模型及其他应用以容器的方式下发部署到边缘节点，边缘节点通过各种组件对数据进行初步处理后将处理结果与数据上传到云平台进行进一步分析和管理。
40.所述业务架构单元包括运行环境组件、设备交互组件、数据服务组件、网络连接组件、安全防护组件和智能应用。
41.进一步的，边缘智能网关网关一方面要对传感网络中大量的静态信息和实时性动态信息进行采集、通信协议转换和数据包传输；另一方面更侧重于数据处理、整合、分析、决策和共享利用等核心服务。如图2所示，边缘智能网关支持docker、node.js、python、tensorflow等运行环境并内置有支持modbus、opcua、s7等工业通信协议的设备交互模块和支持数据存储分发服务的数据池模块、支持https、mqtt等通信协的网络连接模块，提供可视化编程工具、计算公式编辑排、时间管理和网关管理等应用。各模块之间通过api接口进行数据交互共享，部分api接口对外开放，为物联网边缘应用提供基础服务。
42.使得该边缘智能网关总体业务主要包括以下部分：
43.1)支持工业总线协议、远程服务协议、硬件端口协议、无线通讯协议、数据传输协议等通信协议，共计26种。工业总线协议:modbusrtu、modbustcp、s7、opcua；远程服务协议:ssh、ftp、tel-net、vpn；硬件端口通讯协议:rs232、rs485、rs422、usb、lan；无线通讯协议:wifi、gprs、4g、nb-iot、wia；数据传输协议:http、httpcm0tt、tcp、udp、ipv4,ipv6.
44.2)支持云边协同模式,云平台对网关和应用进行全生命周期管理(创建、配置、卸载、更新、监控)，通过云平台进行网关配置、边缘侧数据处理策略编排和模型训练,之后将配置信息、模型和应用等下发到边缘智能网关进行更新和执行。
45.3)提供多种通用运算模型,支持可视化规则引擎编辑工具编排数据的本地实时处理逻辑，同时具备c\c 、go,python等多种高级编程语言解析和运行环境,支撑本地数据的更高阶应用数据分析。
46.4)具备多重安全保障功能，支持多系统用户管理，使用强用户密码策略；数据通讯采用tls加密，通过防火墙对网络端口、连接、服务进行安全防护；提供审计日志接口、保存审计日志和管理审计日志的功能。
47.所述部署架构单元包括系统部署、容器化部署、镜像制作、仓库、容器以及边缘智能服务平台部署。
48.进一步的，部署架构单元包括以下具体内容：
49.1.系统部署
50.将边缘智能网关功能软件相关的所有文件打包成一个压缩文件，通过部署脚本一键部署在网关中，主要将lib文件、可执行二进制文件拷贝到指定工作目录，然后设置程序的自启动功能。
51.2.容器化部署
52.容器化部署技术，它主要作用在于通过运行容器来实现应用部署，而容器基于镜像运行。即将项目和依赖包(基础镜像)打成一个带有启动指令的项目镜像，然后在服务器创建一个容器，让镜像在容器内运行，从而实现项目的部署。服务器就是容器的宿主机，docker容器与宿主机之间是相互隔离的。
53.3.镜像制作
54.docker镜像是使用dockerfile脚本，将应用以及应用的依赖包构建而成的一个应用包，它通常带有该应用的启动命令。而这些命令会在容器启动时被执行，即应用在启动容器时被启动。镜像的创建，需要通过配置dockerfile脚本，然后执行dockerbuild命令来创建。
55.4.仓库
56.将制作完成docker镜像通过push命令推送到docker仓库，然后就可以在任何能使用docker命令的地方通过pull命令把这个镜像拉取下来。
57.5.容器
58.容器是独立于宿主机(服务器)的沙箱，可以理解为一个带有特殊结构的盒子，它在创建时会自动执行镜像自带的一些指令，从而实现该应用的运行。容器的主要作用就在于给镜像提供运行空间和环境，并执行镜像的指令。
59.6.边缘智能服务平台部署
60.在应用部署方面，在本实施例中，航天云网云平台上建设对边缘智能网关节点统一管理的边缘服务产品，基于容器技术构建与容器云产品一致的边缘侧应用全生命周期管理，并提供开放接口，在边缘侧承载云平台应用部署、网关缺省应用以及第三方应用。通过边缘智能服务平台可以将函数计算、流数据分析、事件管理、机理/训练模型及其他应用以容器的方式下发部署到边缘节点，边缘节点通过各种组件对数据进行初步处理后将处理结果与数据上传到云平台进行进一步分析和管理。
61.所述安全防护架构单元包括内核层、系统层以及应用防护层。
62.进一步的，安全防护架构单元采用自主可控的安全操作系统，在边缘侧提供多重的安全保障能力：支持系统多用户管理，使用强用户密码策略；数据通讯采用tls加密，数据加密存储和传输采用高强度加密算法；通过防火墙对网路端口、连接、服务进行安全防护；提供审计日志接口、保存审计日志和管理审计日志的功能。内核层主要包括对内核的安全
增加，以及网络报文的安全管理；系统层负责提供一些基础的安全服务，以及对应用的安全支撑；应用防护层主要提供系统应用完成对系统配置、身份认证的管理，为业务应用提供安全通信组件。
63.基于三层的边缘智能网关安全功能设计，用于实现主要有如下功能：
64.1.内核层安全：
65.主要通过内核模块完整性验证和进程内存保护方面来实现内核层的安全。
66.2.网络防护：
67.防火墙，支持根据ip报文的源ip地址、源端口、目标ip地址、目标端口的安全策略配置。支持黑白名单安全机制。
68.系统支持多种形式的vpn，主要包括ipsec vpn、ssl vpn。
69.3.安全审计
70.定期采集各种设备和应用的安全日志并进行存储和分析，发现应用的违规、越权和异常行为，对违规操作预测报警并进行事后追溯。
71.4.完整性检测
72.完整性检测模块，主要提供对操作系统的周期性的完整性检测，提供对应用的周期性完整性检测。
73.5.系统升级
74.系统升级模块，主要负责对升级包进行完整性验证，并对系统进行升级。
75.6.应用管理
76.应用管理包括应用包管理和权限管理。其中应用包管理模块，主要负责应用的安装，并在应用安装过程中对应用包进行完整性验证；应用权限管理模块，网关中的应用分为系统应用和三方应用，系统应用可以修改终端的安全配置，三方应用不具备这样的权限。应用权限管理模块，主要负责对三防应用的权限管理。
77.基于上述的高度集成的基于云边协同的边缘智能网关，在进行应用时，平台用户可以包括设备生产企业、设备服务企业、开发者以及各行业企业单位等。可以面向不同行业的智能制造转型升级企业以及智能制造系统集成服务商，通过边缘智能网关提供先进的产品与服务开展现场智能化改造，结合工业互联网平台云服务与边缘侧服务为用户提供整体解决方案。同时积极响应国家、地方政府政策引导，自身没有基于云计算、大数据、人工智能等新一代信息技术的复杂信息系统建设能力、亟需实现企业上云的广泛中小企业。通过应用边缘智能网关接入设备、产品等实现企业上云，提高企业生产管理效率。
78.本发明与现有技术相比，具有以下优点：
79.1.解决接口不丰富问题，涵盖rs232、usb、can等工业常见硬件通讯端口，支持有线和无线通讯方式；预留扩展接口，可对通讯模块、存储模块进行扩展；紧凑的整机工业设计，结构简单，具有优良的密封防尘、散热与抗震性能。
80.2.解决操作系统问题，采用自主可控的安全操作系统，在边缘侧提供多重的安全保障能力：支持系统多用户管理，使用强用户密码策略；数据通讯采用tls加密，数据加密存储和传输采用高强度加密算法；通过防火墙对网路端口、连接、服务进行安全防护；提供审计日志接口、保存审计日志和管理审计日志的功能。
81.3.解决应用功能数量少问题，预装smartiot主程序使其可作为边缘智能网关，接
入灵活，下可连设备，上可连云平台；软件应用预装航天云网公司indics边缘平台，可作为边缘服务器搭建私有云环境，预装主流工业应用软件、可与航天云网应用商店互动，扩充云端应用，内置丰富的工业软件资源，可支持云服务、云化配置、远程更新等多种云边协同应用；为企业提供车间级解决方案：在边缘侧即可实现车间级应用闭环。
82.4.通过在边缘智能网关上集成5g模块，对下实现与设备的低时延、高可靠无线数据采集，对上实现与云平台的超快速、大容量的数据协同。
83.5.解决云边协同集成问题，基于kubeedge技术实现云边协同功能，使用者可通过边缘智能服务平台对边缘智能网关进行纳管，以及轻量化应用的下载、部署和状态监测。
84.6.解决docker容器化技术集成问题，通过使用docker技术，实现对边缘智能网关功能组件的容器化封装，从而实现对各功能组件的独立剪裁、配置、运行和更新。
85.本发明的有益效果是：
86.1、该高度集成的基于云边协同的边缘智能网关，通过设置技术架构单元，基于kubeedge技术实现云边协同功能，使用者可通过边缘智能服务平台对边缘智能网关进行纳管，以及轻量化应用的下载、部署和状态监测。
87.2、该高度集成的基于云边协同的边缘智能网关，通过设置安全防护架构单元，在边缘侧提供多重的安全保障能力：支持系统多用户管理，使用强用户密码策略；数据通讯采用tls加密，数据加密存储和传输采用高强度加密算法；通过防火墙对网路端口、连接、服务进行安全防护；提供审计日志接口、保存审计日志和管理审计日志的功能。
88.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
89.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。