一种基于新能源电力系统服务器隔离架构

技术领域

本发明属于计算机技术领域，尤其涉及一种基于新能源电力系统服务器隔离架构。

背景技术

风能、太阳能等可再生能源作为一次能源具有的不可储存及波动特性，使得风电等新能源发电具有较大的不确定性，电力系统供应侧可调控性降低，新能源电力系统需要实时对电力系统的运行情况及时做出调整，以保障新能源电力系统安全稳定运行。另一方面，现代电力系统使用计算机网络技术取代了传统分布式厂站自动化设备技术，云计算、大数据和物联网等新兴技术在电力系统中得到广泛应用。作为云计算技术的核心载体，数据中心一方面联系着整个数字和信息网络，另一方面又与传统行业融合发展、密不可分，数据中心可以通过改变计算任务的处理时间和处理节点实现用电负荷调控。然而，现有的电力系统的数据中心同时接入多个新能源发电站的数据信息，大量用户共享统一网络和服务器，如何在这种环境下保证电力数据的安全和隐私，是一个比较严峻的问题。

目前，阻止网络攻击还未有良好的解决办法即便部署了数据防泄露系统，也无法阻止云服务上的敏感信息泄露。技术手段的缺乏肯能会导致来自内部的恶意攻击，如何控制、保护和监视电力数据，成为电力系统需面对的重要问题，因此迫切需要一套有效控制的数据安全隔离办法。

发明内容

本发明要解决的技术问题是：提供一种基于新能源电力系统服务器隔离架构，使得云服务提供商可以把安全作为服务提供给各个新能源发电站用户，即便这个变电站自身运行的软件和服务不安全，该方法也能确保各点边站数据安全，以解决阻止网络攻击还未有良好的解决办法即便部署了数据防泄露系统，也无法阻止云服务上的敏感信息泄露等技术问题。

本发明的技术方案是：

一种基于新能源电力系统服务器隔离架构，所述架构采用虚拟程序 Xen实现，Xen有一层以上，最底层和最高特权层是 Xen 程序本身；所述架构依据下列位置部署：两个在特权域 Domain0 中的软件模块，一个针对数据隔离，一个针对网络隔离；一个标记服务(Labeling Service) 部署在云服务提供商的存储设备上；Pedigree 操作系统级信息流追踪组件，安装在使用OmniSep 的新能源发电站用户虚拟机实例上。

所述架构运行方法为：服务提供商启动云服务器，新能源发电站用户向服务器发送注册请求；服务器收到注册请求后通过域名名称验证唯一性，如果验证通过则允许登录服务器，云服务器提供商在服务器端设置授权给用户对电力系统操作权限；启动 Xen 程序，通过 xm list发现有一个 Domain0 的虚拟机，Domain0 作为剩下的虚拟主机的管理者和控制者。

Domain0 构建Domain并管理虚拟设备，虚拟程序中Xend 的服务器进程通过Domain0 来管理系统，Xend 负责管理各个虚拟主机，并且提供进入这些系统的控制台。

命令经一个命令行的工具通过一个HTTP 的接口被传送到 Xend；运行 Pedigree的新能源发电站用户指定安全策略并运用部署在云服务提供商的标记服务来自动分配标记到的数据，这样，Pedigree 就可以追踪所有在虚拟机实例内进程和文件之间的信息流，当新能源发电站的数据不符合规定地流向了云外的网络，Domain0 里的执行组件即终止类似的数据交换。

特权域 Domain0 中针对网络隔离的模块用于对共享硬件资源的新能源发电站用户数据进行探测。

探测方法为：通过服务器数据库重写虚拟机实例的 IP 地址，首先阻止其他新能源发电站用户探测另一用户的真实 IP 地址，同时调节 ping值返回时间，使得同一台物理主机上虚拟机之间的 ping时间值和不同物理主机之间的 ping 时间值是相同的。

本发明的有益效果：

本发明提出基于OmniSep 的解决方案，该架构包含了一系列针对云计算多个新能源发电站用户环境增强数据和网络隔离的技术。OmniSep 通过部署在云中不同位置的组件实现了按照用户意愿的数据和网络隔离，充分保障了用户的数据安全。

使得云服务提供商可以把安全作为服务提供给各个新能源发电站用户，即便这个变电站自身运行的软件和服务不安全，该方法也能确保各点边站数据安全，解决了阻止云服务上的敏感信息泄露等技术问题。

附图说明

图1为本发明运行逻辑结构框图。

具体实施方式

本发明提出一种基于新能源电力系统服务器隔离架构，使得云服务提供商可以把安全作为服务提供给各个新能源发电站用户，即便这个变电站自身运行的软件和服务不安全，该方法也能确保各点边站数据安全。

实施例1：基于新能源电力系统服务器隔离架构，该架构采用虚拟程序 Xen实现，Xen 有多个层，最底层和最高特权层是 Xen 程序本身，该架构依据下列位置部署：

1) 两个在特权域 Domain0 中的软件模块，一个针对数据隔离，一个针对网络隔离；

2) 一个标记服务 (Labeling Service) 部署在云服务提供商的存储设备上；

3) Pedigree 操作系统级信息流追踪组件，安装在使用OmniSep 的新能源发电站用户虚拟机实例上；

当 Xen 启动运行后，通过 xm list发现有一个 Domain0 的虚拟机，Domain0 作为其他虚拟主机的管理者和控制者，Domain0 可以构建其他更多的 Domain并管理虚拟设备，虚拟程序中Xend 的服务器进程通过 Domain0 来管理系统，Xend 负责管理众多的虚拟主机，并且提供进入这些系统的控制台；命令经一个命令行的工具通过一个HTTP 的接口被传送到 Xend。运行 Pedigree 的新能源发电站用户指定安全策略并运用部署在云服务提供商那里的标记服务来自动分配标记到他们的数据，这样，Pedigree 就可以追踪所有在虚拟机实例内进程和文件之间的信息流，当新能源发电站的数据不符合规定地流向了云外的网络，Domain0 里的执行组件即终止类似的数据交换。

特权域 Domain0 中针对网络隔离的模块用于对共享硬件资源的新能源发电站用户数据进行探测，通过服务器数据库重写虚拟机实例的 IP 地址，首先阻止其他新能源发电站用户探测另一用户的真实 IP 地址，同时调节 ping值返回时间，使得同一台物理主机上虚拟机之间的 ping时间值和不同物理主机之间的 ping 时间值是相同的。

本发明架构包含了一系列针对云计算多个新能源发电站用户环境增强数据和网络隔离的技术，OmniSep 通过部署在云中不同位置的组件实现了按照用户意愿的数据和网络隔离，充分保障了用户的数据安全。