一种适用于电力监控系统的单向图闸系统和装置

技术领域

本发明属于工控网络安全技术领域，具体涉及一种适用于电力监控系统的单向图闸系统和装置。

背景技术

电力监控系统，即数据采集与监视控制系统，是以计算机为基础的自动化监控系统，是火电厂、水电站、风电场、光伏电站负责对现场的运行设备进行监视和控制，以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能的信息化系统。

按照国家信息系统等级保护制度的要求，电力监控系统采用“网络分区、专网专用、横向隔离、纵向认证”的安全策略，将电力监控系统分为具有高安全级别的用于生产控制的生成控制大区和安全级别较低的用于运行监视、数据报表等功能的管理信息大区，两个区分别处于不同的网络，使用单向隔离网闸进行连接，提供两个区的数据传输服务。

目前的单向隔离网闸由两个通用的光传输模块，模块之间采用单根光纤连接组成。传统认为，光传输模块通过两根光纤完成通信，一根用于接收数据，一根用于发送数据，从物理上，即无法通过单根光纤实现既进行接受又进行发送数据。但随着网络技术的发展，单纤双向即BiDi(Bidirectional)技术的出现，打破了这种设计，BiDi技术能够在一根光纤里可以同时传输收发两个方向的光信号,对目前的单向隔离网闸的安全性提出了挑战，而且，只要由物理线路存在，现有的网络安全技术已经出现可以绕过单向网闸的技术，网闸的安全不再是牢不可破。

二维码又称二维条码，常见的二维码为QR Code，是一个近几年来移动设备上超流行的一种编码方式，它自身在不联网的情况下就能存储信息，因此，如果用在电力监控系统中，将需要传递的信息存储到二维码中，然后通过扫描二维码得到存储数据，就能够实现真正意义上的没有物理线路的单向隔离装置，本发明把这种装置命名为“图闸”。但传统的二维码存储的信息量比较少，常见的双色单层(如黑白)的一般存储数十K的信息，彩色(24色)单层的能够达到1～2MB的信息，而PM-Code是以QR Code为基础发展出来的3D二维码，具有存储容量高的特点，理论上可以容纳约1.236GB的信息，能够解决传输速率、效率的问题。

发明内容

本发明针对以上不足，提供一种适用于电力监控系统的单向图闸系统和装置,实现了电力监控系统真正意义上的无物理线路的单向隔离装置。

为了达到上述目的，本发明是通过以下技术方案来实现的：

一种适用于电力监控系统的单向图闸系统和装置，该系统包括数据采集单元1、数据类型识别模块2、图形生成模块3、正向图闸4、反向图闸7、图形解码模块10和数据展示模块11；所述正向图闸4包括单向显示模块5和单向扫描模块6；所述反向图闸7包括单向重传扫描模块8和单向重传显示模块9；其中：

所述数据采集单元1负责从电力监控系统的服务器端的数据库采集数据；

所述数据类型识别模块2负责对数据采集单元1采集的数据进行类型识别，然后将不同类型的数据封装成不同的数据包；

所述图形生成模块3负责生成能存储大容量数据的二维码图片，然后将数据类型识别模块2发送的数据包封装到二维码图片中；

所述正向图闸4负责通过控制显示屏、摄像头，在电力监控系统网络的高安全级网络和低安全级网络之间，建立完全无物理线路的数据传输通道，然后正向图闸4将包含有大量数据的二维码图片从高安全级网络传输到低安全级网络；

所述反向图闸7负责当正向图闸4传输的数据出现丢失、数据损坏等错误情况时，提供数据重传机制；

所述图形解码模块10负责对正向网闸4传输过来的图片数据进行解码、压缩包提取、差错校验和数据提取。

所述数据展示模块11负责对图形解码模块10发送过来的数据进行类型识别，然后根据不同类型采用不同的显示方式向用户进行展示。

所述数据类型识别模块2负责对数据采集单元1采集的数据进行类型识别，然后将不同类型的数据封装成不同的数据包的过程具体包括以下步骤：

A、数据类型识别：根据数据采集单元1采集的数据的用途，将数据类型分为操作日志数据、报警数据、文件数据和机组运行数据，不同的数据类型对应以下的数据类型识别编码：

操作日志数据对应的类型识别编码为：ASCII字符O

报警数据对应的类型识别编码为：ASCII字符A

文件数据对应的类型识别编码为：ASCII字符F

机组运行数据对应的类型识别编码为：ASCII字符R

B、数据封装：将数据转换为二进制代码D1，将数据类型识别编码转换为1个字节的二进制编码D2，将代表数据头部的“VHeader”字符转换为4个字节的二进制编码D3，将数据结束识别码“VTail”字符转换为4个字节的二进制编码D4，然后按照D3、D2、D1、D4的顺序，将三个编码组合起来，封装为数据包Data。

所述图形生成模块3负责生成能存储大容量数据的二维码图片，然后将数据类型识别模块2发送的数据包封装到二维码图片中的过程具体包括以下步骤：

A、数据分页：将接收到的数据包按照1GB的计量单位，拆分为N个1GB大小的数据包，如果数据包小于1GB，则单独为1个数据包，不再拆分，拆分后的数据包按照D1、D2、D3……Dn的顺序进行排列；

B、数据校验：分别对D1、D2……Dn数据包进行CRC冗余校验计算，然后将计算后的CRC数值分别附加到每个数据包后面，形成数据包D1R1、D2R2、D3R3……DnRn；

C、数据压缩：将D1R1、D2R2、D3R3……DnRn每个数据包分别采用zip压缩技术，压缩为zip格式的文件R1、R2、R3……Rn；

D、二维码生成：采用开源的PM-Code三层二维码技术，生成对应的N个彩色三层二维码图片P1、P2、P3……Pn；

E、二维码封装：分别将数据包编码为二进制代码，然后插入对应的二维码图片中，如将R1插入P1的数据字段中、R2插入P2的数据字段中……以此类推。

所述的正向图闸4将包含有大量数据的二维码图片从高安全级网络传输到低安全级网络的过程的具体步骤包括：

A、二维码显示：正向图闸4调用单向显示模块5，单向显示模块5具备显示屏功能，能够将图形生成模块3发送过来的二维码图片进行显示；

B、二维码识别：正向图闸4调用单向扫描模块6，单向扫描模块6安装有高清摄像头，能够对单向显示模块5显示的彩色三层二维码图片进行读取，并存储为JPEG格式的图片。

所述的图形解码模块10负责对正向网闸4传输过来的图片数据进行解码、压缩包提取、差错校验和数据提取的过程具体步骤包括：

A、图片解码：将正向图闸4识别出来的JPEG格式的二维码图片转换为二进制代码，判断其中是否有zip压缩包头标识存在，如果有，则提取其中的zip压缩包Rn(n表示当前收到的第n个压缩包)，如果不存在，启动重传机制；

B、压缩包提取：将提取的zip压缩包Rn进行解压，得到DnRn数据包，然后提取DnRn中的Dn数据；

C、数据校验：对提取的Dn数据进行CRC计算，计算结果和DnRn末尾的CRC校验值比较，如果不一致，则说明数据存在破坏，则启动重传机制；如果一致，则将Dn数据放入数据队列Queue，然后进入下一个图片解码过程，直到没有图片需要识别停止；

D、数据提取：从数据队列Queue中取出所有的D1、D2、D3……Dn数据包，然后按照数字顺序，组合为一个Data数据包，然后将Data数据包进行ASCII解码，查找其中的“VHeader”头部标识和数据结束识别码“VTail”，将两者之间的数据提取出来，即为带有数据类型识别码的数据。

所述的反向图闸7负责当正向图闸4传输的数据出现丢失、数据损坏等错误情况时，提供数据重传机制的过程具体步骤包括：

A、接收数据重传通知：当图形解码模块10发出数据重传的通知时，反向图闸7调用单向重传显示模块9负责接收图形解码模块10发送的数据重传通知，识别出其中需要重传的数据包为Dn；

B、数据重传图片生成：单向重传显示模块9采用普通的双层二维码QR Code技术，生成灰度二维码图片，将需要重传的Dn数据包的序号插入二维码图片的数据字段中；

C、数据重传显示：反向图闸7调用单向重传显示模块9，单向重传显示模块9具有显示屏功能，能够将带有重传数据包序号的二维码显示在屏幕上；

D、数据重传二维码识别：反向图闸7调用单向重传扫描模块8，单向重传扫描模块8安装有高清摄像头，能够对单向重传显示模块9显示的灰度二维码图片进行读取，并直接扫描出二维码中的重传数据包序号；

E、数据重传：图形生成模块3接收到反向图闸7发送过来的重传数据包序号Dn后，重新将Dn数据包生成PM-Code彩色二维码图片，然后重新执行正向图闸4的传输过程。

所述的数据展示模块11负责对图形解码模块10发送过来的数据进行类型识别，然后根据不同类型采用不同的显示方式向用户进行展示的过程的具体步骤包括：

A、数据类型识别：数据展示模块11接收图形解码模块10发送过来的数据，提取出数据前部的数据类型识别编码，然后根据该数据类型识别编码将数据判断为操作日志数据、报警数据、文件数据、机组运行数据；

B、数据展示方式配对：根据数据类型识别结果，根据以下展示方式配对策略，匹配不同的显示控件：

1)日志数据对应的显示控件为：列表控件；

2)报警数据对应的显示控件为：表格控件；

3)文件数据对应的显示控件为：链接控件；

4)机组运行数据对应的显示控件为：图形控件；

C、数据显示：数据展示模块11生成不同的控件，展示相应的数据。

一种适用于电力监控系统的单向图闸装置，包括接收单元12、处理单元13和发送单元14，其中：

所述接收单元12包括所述的数据采集单元1、数据类型识别模块2和图形生成模块3，用于从电力监控系统数据库采集数据，然后对采集数据的类型进行识别、二进制转换、数据包封装，然后插入到生成的PM-Code三层二维码图片中，交给处理单元进行处理；

所述处理单元13包括所述的正向图闸4和反向图闸7，用于显示、传输、识别包含有数据的PM-Code三层二维码图片，并根据传输结果启动数据重传机制；

所述发送单元14包括所述的图形解码模块10和数据展示模块11，用于对发送过来的PM-Code二维码图片进行压缩包提取、数据校验和数据提取，并根据数据类型选用不同的展示方式展示给用户。

本发明的有益效果在于：

1)使电力监控系统具有高安全级别的生产控制大区和安全级别较低的管理信息大区之间的数据传输完全通过具有单向传输性质的图片识别进行，完全不需要经过物理线路(包括任何以线缆、无线信号等形式存在的光纤、电缆、网线等)，解决了当前电力监控系统常用的单向隔离网闸仍然存在物理线路连接，存在会被当前最新的网络攻击技术绕过的风险，进一步提高了电力监控系统的安全性；

2)本发明采用能存储大容量的二维码识别技术，能一次性传输大量的数据，优于当前的单向隔离设备采用单比特字节传输数据的传输性能，同时，本发明不需要对电力监控系统的服务器进行调整，不会对生产设备造成任何影响，保证了生成过程的安全、稳定运行。

附图说明

图1是本发明系统的系统架构图。

图2是本发明装置的结构示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明所述方案做进一步地详细说明。

图1为一种适用于电力监控系统的单向图闸系统架构图，所述系统适用在具有电力监控系统的火电厂、水电厂、风电场、光伏电场等各类电厂。

如图1所示，所述一种适用于电力监控系统的单向图闸系统，该系统包括数据采集单元1、数据类型识别模块2、图形生成模块3、正向图闸4、反向图闸7、图形解码模块10和数据展示模块11；所述正向图闸4包括单向显示模块5和单向扫描模块6；所述反向图闸7包括单向重传扫描模块8和单向重传显示模块9；其中：

所述数据采集单元1负责从电力监控系统的服务器端的数据库采集数据；

所述数据类型识别模块2负责对数据采集单元1采集的数据进行类型识别，然后将不同类型的数据封装成不同的数据包；

所述图形生成模块3负责生成能存储大容量数据的二维码图片，然后将数据类型识别模块2发送的数据包封装到二维码图片中；

所述正向图闸4负责通过控制显示屏、摄像头，在电力监控系统网络的高安全级网络和低安全级网络之间，建立完全无物理线路的数据传输通道，然后正向图闸4将包含有大量数据的二维码图片从高安全级网络传输到低安全级网络；

所述反向图闸7负责当正向图闸4传输的数据出现丢失、数据损坏等错误情况时，提供数据重传机制；

所述图形解码模块10负责对正向网闸4传输过来的图片数据进行解码、压缩包提取、差错校验和数据提取；

所述数据展示模块11负责对图形解码模块10发送过来的数据进行类型识别，然后根据不同类型采用不同的显示方式向用户进行展示。

作为本发明的优选实施方式，所述数据类型识别模块2负责对数据采集单元1采集的数据进行类型识别，然后将不同类型的数据封装成不同的数据包的过程具体包括以下步骤：

A、数据类型识别：根据数据采集单元1采集的数据的用途，将数据类型分为操作日志数据、报警数据、文件数据和机组运行数据，不同的数据类型对应以下的数据类型识别编码：

操作日志数据对应的类型识别编码为：ASCII字符O

报警数据对应的类型识别编码为：ASCII字符A

文件数据对应的类型识别编码为：ASCII字符F

机组运行数据对应的类型识别编码为：ASCII字符R

B、数据封装：将数据转换为二进制代码D1，将数据类型识别编码转换为1个字节的二进制编码D2，将代表数据头部的“VHeader”字符转换为4个字节的二进制编码D3，将数据结束识别码“VTail”字符转换为4个字节的二进制编码D4，然后按照D3、D2、D1、D4的顺序，将三个编码组合起来，封装为数据包Data。

作为本发明的优选实施方式，所述图形生成模块3负责生成能存储大容量数据的二维码图片，然后将数据类型识别模块2发送的数据包封装到二维码图片中的过程具体包括以下步骤：

A、数据分页：将接收到的数据包按照1GB的计量单位，拆分为N个1GB大小的数据包，如果数据包小于1GB，则单独为1个数据包，不再拆分，拆分后的数据包按照D1、D2、D3……Dn的顺序进行排列；

B、数据校验：分别对D1、D2……Dn数据包进行CRC冗余校验计算，然后将计算后的CRC数值分别附加到每个数据包后面，形成数据包D1R1、D2R2、D3R3……DnRn；

C、数据压缩：将D1R1、D2R2、D3R3……DnRn每个数据包分别采用zip压缩技术，压缩为zip格式的文件R1、R2、R3……Rn；

D、二维码生成：采用开源的PM-Code三层二维码技术，生成对应的N个彩色三层二维码图片P1、P2、P3……Pn；

E、二维码封装：分别将数据包编码为二进制代码，然后插入对应的二维码图片中，如将R1插入P1的数据字段中、R2插入P2的数据字段中……以此类推。

作为本发明的优选实施方式，所述的正向图闸4将包含有大量数据的二维码图片从高安全级网络传输到低安全级网络的过程的具体步骤包括：

A、二维码显示：正向图闸4调用单向显示模块5，该模块具备显示屏功能，能够将图形生成模块3发送过来的二维码图片进行显示；

B、二维码识别：正向图闸4调用单向扫描模块6，该模块安装有高清摄像头，能够对单向显示模块5显示的彩色三层二维码图片进行读取，并存储为JPEG格式的图片。

作为本发明的优选实施方式，所述的图形解码模块10负责对正向网闸4传输过来的图片数据进行解码、压缩包提取、差错校验和数据提取的过程具体步骤包括：

A、图片解码：将正向图闸4识别出来的JPEG格式的二维码图片转换为二进制代码，判断其中是否有zip压缩包头标识存在，如果有，则提取其中的zip压缩包Rn(n表示当前收到的第n个压缩包)，如果不存在，启动重传机制；

B、压缩包提取：将提取的zip压缩包Rn进行解压，得到DnRn数据包，然后提取DnRn中的Dn数据；

C、数据校验：对提取的Dn数据进行CRC计算，计算结果和DnRn末尾的CRC校验值比较，如果不一致，则说明数据存在破坏，则启动重传机制；如果一致，则将Dn数据放入数据队列Queue，然后进入下一个图片解码过程，直到没有图片需要识别停止；

D、数据提取：从数据队列Queue中取出所有的D1、D2、D3……Dn数据包，然后按照数字顺序，组合为一个Data数据包，然后将Data进行ASCII解码，查找其中的“VHeader”头部标识和数据结束识别码“VTail”，将两者之间的数据提取出来，即为带有数据类型识别码的数据。

作为本发明的优选实施方式，所述的反向图闸7负责当正向图闸4传输的数据出现丢失、数据损坏等错误情况时，提供数据重传机制的过程具体步骤包括：

A、接收数据重传通知：当图形解码模块10发出数据重传的通知时，反向图闸7调用单向重传显示模块9负责接收图形解码模块10发送的数据重传通知，识别出其中需要重传的数据包为Dn；

B、数据重传图片生成：单向重传显示模块9采用普通的双层二维码QR Code技术，生成灰度二维码图片，将需要重传的Dn数据包的序号插入二维码图片的数据字段中；

C、数据重传显示：反向图闸7调用单向重传显示模块9，该模块具有显示屏功能，能够将带有重传数据包序号的二维码显示在屏幕上；

D、数据重传二维码识别：反向图闸7调用单向重传扫描模块8，该模块安装有高清摄像头，能够对单向重传显示模块9显示的灰度二维码图片进行读取，并直接扫描出二维码中的重传数据包序号；

E、数据重传：图形生成模块3接收到反向图闸7发送过来的重传数据包序号Dn后，重新将Dn数据包生成PM-Code彩色二维码图片，然后重新执行正向图闸4的传输过程。

作为本发明的优选实施方式，所述的数据展示模块11负责对图形解码模块10发送过来的数据进行类型识别，然后根据不同类型采用不同的显示方式向用户进行展示的过程的具体步骤包括：

A、数据类型识别：数据展示模块11接收图形解码模块10发送过来的数据，提取出数据前部的数据类型识别编码，然后根据该数据类型识别编码将数据判断为操作日志数据、报警数据、文件数据、机组运行数据；

B、数据展示方式配对：根据数据类型识别结果，根据以下展示方式配对策略，匹配不同的显示控件：

1)日志数据对应的显示控件为：列表控件；

2)报警数据对应的显示控件为：表格控件；

3)文件数据对应的显示控件为：链接控件；

4)机组运行数据对应的显示控件为：图形控件；

C、数据显示：数据展示模块11生成不同的控件，展示相应的数据。

本发明实施例提供了一种适用于电力监控系统的单向图闸装置，参阅图2所示，该装置包括接收单元12、处理单元13和发送单元14。其中：

所述接收单元12包括所述的数据采集单元1、数据类型识别模块2和图形生成模块3，用于从电力监控系统数据库采集数据，然后对采集数据的类型进行识别、二进制转换、数据包封装，然后插入到生成的PM-Code三层二维码图片中，交给处理单元进行处理；

所述处理单元13包括所述的正向图闸4和反向图闸7，用于显示、传输、识别包含有数据的PM-Code三层二维码图片，并根据传输结果启动数据重传机制；

所述发送单元14包括所述的图形解码模块10和数据展示模块11，用于对发送过来的PM-Code二维码图片进行压缩包提取、数据校验和数据提取，并根据数据类型选用不同的展示方式展示给用户。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。