用于新能源集控系统的密码应用平台及监测预警方法与流程

1.本发明属于电力物联网信息安全技术领域，更具体地，涉及一种用于新能源集控系统的密码应用平台及监测预警方法。


背景技术：

2.随着智能电网的高速发展，感知、计算、通信、控制等先进信息技术的深入应用，电力系统逐渐实现信息化、网络化与智能化。在促进电力资源实时分析、科学决策、高效配置的同时，开放的通信网络与设备终端接口也带来了潜在的安全隐患。
3.新能源电站相较于传统电站具有发电设备众多（光伏、风机等）、电站分布广、管理分散等特点，因此需要构建新能源集控系统，便于集中管理新能源电站。新能源集控系统涉及数据采集、补采、数据查询统计、监控、事件告警、控制调节等功能。需要既保证监控的实时性，又要满足远程集中管理，最终实现新能源电站无人值守、少人值班。但是，新能源集控系统高度依赖物联网及通信技术，因此通信安全至关重要。
4.国家电网公司开发建设统一密码服务单元，用于将密码基础设施资源集中统一建设、管理和维护，规范密码在各业务系统中的规范应用。该密码服务单元为各业务系统提供了密码机、微服务、数据库等软硬件设施，用于支撑数字证书颁发、用户身份鉴别、实名认证、业务数据加解密等密码服务。但由于电力系统和通信与信息系统自身内在原因，通信与信息系统依然存在安全隐患，仍存在网络攻击无法防御、或者可防御但代价太高的可能性。


技术实现要素：

5.本发明针对现有技术中存在的问题，旨在提供一种用于新能源集控系统的密码应用平台，能够检测到外源和内源的网络攻击行为发出告警信息，启动控制指令保护系统和安全认证接入系统更新秘钥，启动密码服务防御系统执行拟态异构防御模式，并且通过溯源查找到被攻击的设备，执行风险处置操作。
6.根据本发明的一个方面，提供一种用于新能源集控系统的密码应用平台，包括：控制指令保护系统，用于在集控侧、场站侧和现场侧网络之间实现控制指令的安全传输；安全认证接入系统，用于在集控侧、场站侧和现场侧实现人员安全认证接入新能源集控系统；密码服务防御系统，采用拟态防御的保护架构，用于对集控侧、场站侧和现场侧网络之间传输的密钥服务请求实时自动侦测及监控；密码应用预警系统，用于监测针对密码应用平台的攻击行为并及时作出预警及风险处置。
7.根据本发明的另一个方面，提供一种用于新能源集控系统的密码应用平台的监测预警方法，应用于所述的用于新能源集控系统的密码应用平台，所述方法包括：检测对集控侧、场站侧和现场侧网络的攻击行为，包括通过调用密码服务防御系统的异常报警模块的告警信息，获得外源攻击行为，并通过内源攻击检测子模块检测来自于所述集控侧、场站侧和现场侧网络内部的内源攻击行为；对于检测到的网络攻击行为，根据威胁程度进行信息分类并输出告警信息；对于检测到的网络攻击行为进行溯源，查找攻击的源头以及对被攻
击设备造成的损害程度；根据查找到的攻击源头以及被攻击设备的损害程度，启动控制指令保护系统更新秘钥，以及启动密码服务防御系统的拟态异构防御模式。
8.本发明的有益效果是：本发明的用于新能源集控系统的密码应用平台，能够检测到外源和内源的网络攻击行为发出告警信息，通过系统联动操作，启动控制指令保护系统及安全认证接入系统更新秘钥，启动密码服务防御系统执行拟态异构防御模式，并且通过溯源查找到被攻击的设备，执行风险处置操作。
9.本发明能基于拟态防御技术，对密码服务单元采用冗余备份的保护架构，对网络之间传输的密钥服务请求实时自动侦测，分析密钥服务请求是否带有威胁的数据，动态调度执行体使密钥服务请求存在的威胁处在动态变化当中，同时加上多模裁决的限制使得解密的数据被篡改的难度加大，设置拟态异构防御模块能直接动态转移攻击面并将密码服务单元系统切换至冗余备份子系统，攻击时很难找到固定的漏洞，避免整个系统暴露在安全威胁当中，大大增加了攻击成本、消耗攻击时间，使平台能够带菌生存，实现了系统的动态防御。
10.本发明中，一级密码服务监控子系统获取本地密钥机产生的密钥对，基于授权登入密码服务单元的不同用户标识赋予不同的操作等级并生成对应的签名证书，该签名证书用于将密钥服务请求进行签名加密保护，防止该密钥数据在前期被恶意窃取和篡改攻击，按照通信协议发送对应的签名证书和密钥服务请求数据，二级密码服务监控子系统利用签名证书对密钥服务请求进行解密，保证关键数据的正确性以及正常输出，保证了密码服务单元向智能物联网终端设备分发密钥的安全性。
附图说明
11.通过结合附图对本发明示例性实施方式进行更详细的描述，本发明的上述以及其它目的、特征和优势将变得更加明显，其中，在本发明示例性实施方式中，相同的参考标号通常代表相同部件。
12.图1示出了本发明实施例的新能源集控系统的结构示意图。
13.图2示出了本发明实施例的密码应用平台的结构示意图。
14.图3示出了本发明实施例的控制指令保护系统的结构示意图。
15.图4示出了本发明实施例的安全认证接入系统的结构示意图。
16.图5示出了本发明实施例的密码服务防御系统的结构示意图。
17.图6示出了本发明实施例的密码应用预警系统的结构示意图。
18.图7示出了本发明实施例的控制指令保护系统中集控侧指令传输装置的接口示意图。
19.图8示出了本发明实施例的控制指令保护系统中场站侧指令传输装置的接口示意图。
20.图9示出了本发明另一实施例的终端风机的结构示意图。
21.图10示出了本发明实施例的安全认证接入系统中集控侧接入认证装置的接口示意图。
22.图11示出了本发明实施例的安全认证接入系统中场站侧接入认证装置的接口示
意图。
23.图12示出了本发明实施例的基于拟态防御的密码服务防御系统的拟态异构防御模块的结构示意图。
24.附图标记说明：1、集控侧；11、集控系统客户端；12、集控系统服务器；13、集控侧接入认证装置；14、集控侧指令传输装置；2、场站侧；21、前置服务器；22、场站侧接入认证装置；23、场站管理系统；24、场站侧指令传输装置；3、现场侧；31、操作人员验证模块；32、风机；33、指令传输模块；34、plc模块；100、控制指令保护系统；200、安全认证接入系统；300、密码服务防御系统；400、密码应用预警系统；301、一级密码服务监控子系统；302、二级密码服务监控子系统；303、密码服务单元；304、身份认证模块；305、证书管理模块；306、密钥管理模块；307、数字验签模块；308、动态防御切换模块；309、安全分析模块；310、监听模块；311、拦截模块；312、密码服务模块；313、侦测模块；314、拟态异构防御模块；315、异常报警模块；316、防御策略更新模块；3141、分发单元；3142、调度单元；3143执行体单元；3144、裁决单元；3145、执行体池；401、攻击检测模块；402、风险预警模块；403、攻击溯源模块；404、系统联动模块；405、风险处置模块。
具体实施方式
25.下面将更详细地描述本发明的优选实施方式。虽然以下描述了本发明的优选实施方式，然而应该理解，可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本发明更加透彻和完整，并且能够将本发明的范围完整地传达给本领域的技术人员。
26.图1示出了本发明实施例提供的新能源集控系统的结构示意图。新能源集控系统包括通信连接的集控侧1、场站侧2和现场侧3。现场侧3主要包括各种新能源发电设备，例如光伏、风电、水电等设备。场站侧2主要为电站，每个电站包括多个新能源发电设备，每个发电设备与场站侧2通信连接，上传发电设备的运行数据，接收场站侧2的控制指令。集控侧1包括新能源集控系统，多个场站侧2与集控侧1通信连接，上传场站侧2的运行数据，接收集控侧1的控制指令。集控侧1的新能源集控系统包括数据库、生产运营管理平台、在线检测诊断平台、密码应用平台。生产运营管理平台、在线检测诊断平台、密码应用平台的数据存储在数据库中。生产运营管理平台用于生产管理调度，发送各种控制指令。在线检测诊断平台用于在线监控各场站侧2和现场侧3的设备运行状态，及时发现设备故障并分析故障原因，将故障信息发送至生产运营管理平台，由生产运营管理平台安排工程师线上或线下排除故障。密码应用平台，用于保护集控侧1、场站侧2和现场侧3之间网络的通信安全，设备及人员接入系统的安全验证，实时监测网络攻击，并及时做出应对措施。
27.如图2所示，用于新能源集控系统的密码应用平台包括：控制指令保护系统100，用于在集控侧1、场站侧2和现场侧3实现控制指令的安全传输；安全认证接入系统200，用于在集控侧1、场站侧2和现场侧3实现人员安全认证接入新能源集控系统；密码服务防御系统
300，采用拟态防御的保护架构，用于对集控侧1、场站侧2和现场侧3网络之间传输的密钥服务请求实时自动侦测及监控；密码应用预警系统400，用于监测针对密码应用平台的攻击行为并及时作出预警及风险处置。
28.如图3所示，控制指令保护系统100包括：通信连接的集控侧1、场站侧2和现场侧3，集控侧1管理有多条非对称密钥并将非对称密钥同步至场站侧2和现场侧3。集控侧1包括通信连接的集控系统客户端11、集控系统服务器12和集控侧指令传输装置14。如图7所示，集控侧指令传输装置14设置有集控侧验签接口、集控侧hash 接口、集控侧签名接口和集控侧加密接口。
29.集控系统客户端11用于对取得用户权限的操作人员下发的控制指令签名后发送至集控系统服务器12。集控系统服务器12调用集控侧指令传输装置14的集控侧验签接口，根据对应的集控侧公钥信息对控制指令进行集控侧验签，调用集控侧hash 接口用于对通过验签的控制指令进行完整性计算得到对应的指令数据和hash值，调用集控侧签名接口根据对应的集控侧私钥信息对hash值进行集控侧签名以及调用集控侧加密接口将hash值和指令数据进行加密运算，通过集控侧指令传输装置14下发至场站侧2。
30.场站侧2包括通信连接的前置服务器21、场站管理系统23和场站侧指令传输装置24。如图8所示，场站侧指令传输装置24设置有场站侧解密接口、场站侧验签接口、场站侧hash接口、场站侧签名接口。
31.场站侧指令传输装置24接收加密的hash值和指令数据后，调用场站侧解密接口对hash值和指令数据进行数据解密，调用场站侧验签接口根据对应的场站侧公钥信息对hash值进行验签，调用场站侧hash接口根据hash值对指令数据进行完整性校验，并将通过完整性校验的指令数据转换成控制指令后，调用场站侧签名接口对控制指令进行签名后发送至场站管理系统23。前置服务器21用于存储场站管理系统23的生产管理数据，也可用于存储接收到的控制指令。场站管理系统23用于调用场站侧验签接口根据对应的场站侧公钥信息对控制指令进行验签，以及调用场站侧验签接口对控制指令进行签名，通过场站侧指令传输装置24下发至现场侧3。现场侧3包括通信连接的指令传输模块33和风机32。指令传输模块33用于根据对应的现场侧公钥信息对控制指令进行现场侧验签后发送至风机32，通过风机的plc模块34运行控制指令。或者，如图9所示，现场侧3具有多个风机32，每个风机32设置有指令传输模块33、plc模块34和操作人员验证模块31。场站侧指令传输装置24将控制指令直接发送至每个风机32的指令传输模块33。
32.通过对在集控侧1、场站侧2和现场侧3之间传输的控制指令进行签名和验签操作、完整性操作和加解密操作直至最后在现场侧完成对控制指令的验签，将控制指令的安全需求嵌入到每个业务层的安全防护中，通过加解密机制防止控制指令以数据明文形式传输带来的泄露、窃取和篡改的风险，从而导致控制指令被篡改后对生产系统造成破坏，使传输的控制指令具有机密性。
33.作为一种优选的示例，在根据对应的集控侧公钥信息对控制指令进行验签之后还包括：集控系统服务器12调用集控侧指令传输装置14的集控侧加密接口将控制指令加密后保存在集控侧1的集控系统服务器12中。
34.具体地，集控系统服务器12调用集控侧指令传输装置14的集控侧加密接口，对控制指令进行加密后存储在集控系统服务器12中指定目录以用于备份。使用该控制指令前，
集控系统服务器12调用集控侧指令传输装置14的集控侧解密接口，对保存的控制指令进行解密后再使用数据，对控制指令重要业务数据加密后于集控侧1本地存储，防止系统遭到破坏后无法恢复，提高了数据的安全防护。
35.进一步地，集控侧指令传输装置14还包括hmac接口，通过调用集控侧指令传输装置14的hmac接口，对数据作hmac运算，得到hmac值后存储在本地。每次使用数据前，调用集控侧指令传输装置14的hmac接口，再次计算得到hmac`值，将本地存储的hmac值和再次运算的hmac值进行比对后，相同则为完整性校验通过，可以使用数据，以确保对于本地存储的控制指令的完整性。
36.如图4所示，本发明实施例的安全认证接入系统200包括：通信连接的集控侧1、场站侧2和现场侧3，集控侧1管理有多条非对称密钥并将非对称密钥同步至场站侧2和现场侧3，非对称密钥包括对应不同操作人员签名的私钥信息和公钥信息。集控侧1包括通信连接的集控系统客户端11、集控系统服务器12和集控侧接入认证装置13。
37.如图10所示，集控侧接入认证装置13设置有身份认证接口、集控侧验签接口、集控侧hash 接口、集控侧签名接口和集控侧加密接口。操作人员登录集控系统客户端11时，集控系统客户端11调用集控侧接入认证装置13的身份认证接口，对登录的操作人员进行身份认证。身份认证接口可以采用指纹、掌纹、虹膜、人脸识别、操作密码等多种方式或者多种组合方式进行认证。通过认证后，操作人员才能登录集控系统客户端11，但是操作人员通过集控系统客户端11发出控制指令，仍需要进一步认证。集控系统客户端11用于对取得用户权限的操作人员下发的控制指令签名后发送至集控系统服务器12。集控系统服务器12调用集控侧验签接口根据对应的集控侧公钥信息对控制指令进行集控侧验签，调用集控侧hash 接口用于对通过验签的控制指令进行完整性计算得到对应的指令数据和hash值，调用集控侧签名接口根据对应的集控侧私钥信息对hash值进行集控侧签名以及调用集控侧加密接口将hash值和指令数据进行加密运算后下发至场站侧2。
38.场站侧2包括通信连接的前置服务器21、场站侧接入认证装置22和场站管理系统23。如图11所示，场站侧接入认证装置22设置有场站侧解密接口、场站侧验签接口、场站侧hash接口、场站侧签名接口、身份认证接口。场站侧操作人员登录场站管理系统23，场站管理系统23调用场站侧接入认证装置22的身份认证接口，对操作人员进行身份认证。通过认证的操作人员可以访问场站管理系统23。
39.前置服务器21用于接收加密的hash值和指令数据后与场站侧接入认证装置22建立加密通道，并调用场站侧解密接口对hash值和指令数据进行数据解密，调用场站侧验签接口根据对应的场站侧公钥信息对hash值进行验签，调用场站侧hash接口根据hash值对指令数据进行完整性校验，并将通过完整性校验的指令数据转换成控制指令后调用场站侧签名接口对控制指令进行签名后发送至场站管理系统23。场站管理系统23调用场站侧验签接口根据对应的场站侧公钥信息对控制指令进行验签，以及调用场站侧验签接口对控制指令进行签名后下发至现场侧3。具体地，场站管理系统23对接场站侧接入认证装置22，同样可调用场站侧接入认证装置22的各个接口，确认发起方操作人员的身份可信，也可以在场站管理系统23端对操作人员的控制指令进行验签，验签通过后根据场站侧私钥信息将控制指令进行签名后下发至现场侧3。
40.作为一种优选的示例，前置服务器21调用场站侧接入认证装置22的场站侧加密接
口将通过完整性校验的控制指令加密后保存在前置服务器21的本地存储区域。场站管理系统23也可调用场站侧接入认证装置22的场站侧加密接口将操作人员的登录和操作日志以及控制指令加密后保存在场站管理系统23的本地存储区域。
41.具体地，前置服务器21和场站管理系统23分别调用场站侧接入认证装置22的场站侧加密接口，进行加密后分别存储于场站侧2的前置服务器21和场站管理系统23中。如需使用数据，则调用场站侧接入认证装置22的场站侧解密接口，对保存的控制指令进行解密。
42.作为一种优选的示例，现场侧3包括操作人员验证模块31和风机32，操作人员验证模块31根据对应的现场侧公钥信息对操作人员的身份进行验证，并对操作人员的控制指令进行现场侧验签，若验签通过则将控制指令发送至现场侧3的风机32，若验签不通过则丢弃该控制指令并生成指令验签失败信息。
43.作为一种优选的示例，集控系统建立有操作人员标识库，操作人员标识库可配置性地存储有合法签名的操作人员名单、生物识别特征以及人员权限。操作人员登录集控系统时，身份认证接口或操作人员验证模块可以获取操作人员标识，并在操作人员标识库进行比对，给出判断结果。此外，对于通过身份认证的操作人员，在其发出控制指令操作时，还需要经过二次识别，识别其身份及权限是否满足下发控制指令的要求，识别通过后才能下发控制指令。
44.如图5所示，本发明实施例的密码服务防御系统300包括多个密码服务单元303，其中至少具有二个冗余备份的密码服务单元303。密码服务单元303包括一级密码服务监控子系统301，一级密码服务监控子系统301通信连接至少一个二级密码服务监控子系统302，一级密码服务监控子系统301生成密钥服务请求通过预设的网络通信协议发送至二级密码服务监控子系统302.一级密码服务监控子系统301包括身份认证模块304、证书管理模块305、密钥管理模块306、数字验签模块307和动态防御切换模块308。身份认证模块304用于对登入密码服务单元303的操作人员进行安全认证并标识授权对应的操作等级。密钥管理模块306获取密码机产生的密钥对并对密钥对进行存储、加密和分发。证书管理模块305基于密钥对的公钥结合不同操作等级的用户标识生成对应的签名证书。数字验签模块307基于密钥对的私钥对密钥服务请求进行数字签名，以生成加密的密钥服务请求。
45.一级密码服务监控子系统301将具有用户标识签名的加密的密钥服务请求下发至二级密码服务监控子系统302。二级密码服务监控子系统302包括密码服务模块312、侦测模块313、拟态异构防御模块314。侦测模块313用于自动侦测并获取带有用户标识签名的加密的密钥服务请求。密码服务模块312获取签名证书中密钥对的公钥对密钥服务请求进行解密。如图12所示，拟态异构防御模块314包括分发单元3141、调度单元3142、执行体单元3143、裁决单元3144、执行体池3145和执行体池中多个执行体。执行体单元3143从执行体池3145中获取具有相同功能的执行体。分发单元3141将解密后的密钥服务请求动态随机分发至执行体单元3143的多个执行体进行归一化处理并将处理结果返回至裁决单元3144。裁决单元3144对归一化处理结果进行比较和裁决，输出裁决结果。调度单元3142基于动态调度算法和裁决结果从执行体池3145调度若干执行体至执行体单元3143，替换执行体单元3143中具有异常输出的执行体。动态防御切换模块308分析拟态异构防御模块314的裁决结果并结合防御策略，用于当密钥服务请求存在威胁攻击时直接动态转移攻击面并将系统切换至
冗余备份的密码服务单元303。
46.具体地，基于拟态防御技术，密码服务单元303采用冗余备份的保护架构，密码服务单元303包括相互通信的一级密码服务监控子系统301和至少一个二级密码服务监控子系统302。一级密码服务监控子系统301为全局级密码服务防御系统，二级密码服务监控子系统302为区域级密码服务防御系统（可以为多个，例如针对每个场站侧设置一个），两者采用预设的通信协议传输数据，通信协议包括rpc、tcp、udp、http、https等各类网络协议。侦测模块313对一级密码服务监控子系统301和二级密码服务监控子系统302之间传输的密钥服务请求实时自动侦测，分析密钥服务请求是否带有威胁的数据，拟态异构防御模块314动态调度执行体使密钥服务请求存在的威胁处在动态变化当中，执行体池3145为n变体结构，每个执行体结构设置的后门不同，威胁攻击无法摸清执行体单元3143中异构体属性而进行有效攻击，同时加上裁决单元3144的多模裁决的限制使得解密的数据被篡改的难度加大。
47.二级密码服务监控子系统302设置的拟态异构防御模块314能直接动态转移攻击面并将密码服务单元303系统切换至冗余备份的密码服务单元303，攻击时很难找到固定的漏洞，避免整个系统暴露在安全威胁当中，大大增加了攻击成本、消耗攻击时间，使平台能够带菌生存，实现了系统的动态防御。同时，调度单元3142会根据判决单元3144发送来的反馈控制消息对执行体池3145中发生异常的执行体进行清洗或者下线处理，确保了执行体池3145的纯洁性。
48.进一步地，一级密码服务监控子系统301获取本地密钥机产生的密钥对，基于授权登入密码服务单元303的不同用户标识赋予不同的操作等级并生成对应的签名证书，该签名证书用于将密钥服务请求进行签名加密保护，防止该密钥数据在前期被恶意窃取和篡改攻击，按照通信协议发送对应的签名证书和密钥服务请求数据，二级密码服务监控子系统302利用签名证书对密钥服务请求进行解密，保证关键数据的正确性以及正常输出，保证了密码服务单元303分发密钥的安全性。
49.作为一种优选的示例，二级密码服务监控子系统302根据密钥服务请求生成密钥获取请求并发送至一级密码服务监控子系统301，密钥管理模块306包括密钥分发单元，密钥分发单元根据密钥获取请求，确定密钥下发方式，将存储的密钥对下发至密码服务模块312，密码服务模块312对密钥对进行解析，并下发至使用该密钥对的终端。
50.具体地，密钥下发方式可采用在线下发和离线下发两种方式，密钥分发单元采用确定密钥下发方式对应的获取规则向密钥管理模块306提出密钥获取申请，按照既定的通信协议，将获取的密钥对传输至密码服务模块312，密码服务模块312的密钥分发软件对密钥对进行解析，下发至使用密钥对的终端。明确了密钥管理模块306和密码服务模块312之间密钥获取和分发的交互流程，使获得密钥对的终端安全接入。
51.作为一种优选的示例，二级密码服务监控子系统302还包括异常报警模块315，异常报警模块315根据具有相同功能的执行体产生的执行日志对密钥服务请求存在的威胁程度进行信息分类并输出告警信息。
52.具体地，异常报警模块315接收来自具有相同功能的执行体产生的所有执行日志进行关联分析，从拟态防御执行日志中提取出错误信息的关键特征信息，确定密钥服务请求存在的威胁程度，对存在的威胁程度进行信息分类并输出告警信息，告警信息记录关键特征信息的日志来源对应的执行体存在威胁及威胁程度，威胁程度分为高级威胁、中级威
胁、低级威胁、无威胁，如果所述目标用户请求产生高级威胁，则发送调度请求至调度单元，由调度单元对产生威胁的执行体进行下线和异常数据消除处理，基于动态调度算法和裁决结果从执行体池3145调度若干执行体至执行体单元3143，替换执行体单元3143中具有异常输出的执行体，基于威胁程度信息分类，避免过度告警而导致频繁调度清洗，节省系统开销。
53.作为一种优选的示例，一级密码服务监控子系统301还包括安全分析模块309，安全分析模块309设置于一级密码服务监控子系统301的前端，安全分析模块309预设特征信息规则库，对密码服务单元303通信网络的运行状态进行监控，采集网络报文提取特征信息，基于特征信息规则库对通信网络的运行状态进行安全评估并对异常网络报文进行响应。
54.具体地，安全分析模块309采集网络报文提取特征信息，对通信网络中出现的异常情况进行归纳整理并将其结果按规定格式记录至特征信息规则库，形成训练样本用于特征信息规则库训练，不断地对该规则库进行修正和完善，通过设置在一级密码服务监控子系统301的后台监控软件的网络端口可视化界面查询分析，尽可能地在一级密码服务监控子系统301的前端过滤非法访问流量，响应并抑制异常网络报文的发送和接收，对网络中产生的异常变化进行迅速预判并给出辅助处理策略（辅助处理策略例如：启动异常报文记录、上报异常告警、运行事件记录），保证了通行网络的正常运行。
55.作为一种优选的示例，一级密码服务监控子系统301还包括监听模块310和拦截模块311，监听模块310和拦截模块311设置于一级密码服务监控子系统301的后端，监听模块310捕获网络报文并解析该网络报文的数据包，拦截模块311预设异常拦截规则库，拦截模块311基于异常拦截规则库的异常判断规则，对解析后的数据包进行检测，以对异常网络报文进行捕获拦截。
56.具体地，拦截模块311预设的异常拦截规则库，由布置在全局网络监控主站的网络规则数据库，根据网络节点（服务器、工作站、路由器、交换机及hubs等）需要配置生成，并以文件形式存储至拦截模块311中。该异常拦截规则可以从逻辑上分为两个部分：规则头和规则选项。规则头定义了规则的行为、所匹配网络报文的协议、源地址、目标地址、源端口以及目标端口等信息；规则选项则包含了网络报文异常判断方法以及所需要的告警信息。安全分析模块309设置于一级密码服务监控子系统301的前端，监听模块310和拦截模块311设置于一级密码服务监控子系统301的后端，通过安全分析、主动监听与拦截，避免因被动防御而引起滞后性高的弊端，解决了在一级密码服务监控子系统301的全局侧缺乏网络攻击监测分析能力而导致网络攻击漏报的问题。
57.一种优选的示例，防御策略由区间端点分别为表示最高优先级的需要防御策略类型和表示最低优先级的不需要防御策略类型组成的防御策略集合区间，根据防御策略权重因子从防御策略集合区间选取对应可用的防御策略。
58.具体地，防御策略类型包括预防、监测、恢复，其重要性则以关键（c）或非关键（n）衡量。c是最高优先级，表示需要的防御策略类型；n是最低优先级，也就是不需要的防御策略类型。本示例中，基于拟态防御动态切换条件下，衡量各防御策略类型在不同恶意目标下的重要性，最终确定针对性的防御策略区间，选取对应可用的防御策略，采取主动防御的方式执行该防御策略。
59.作为一种优选的示例，二级密码服务监控子系统302还包括防御策略更新模块316，防御策略更新模块316实时监控并分析多个执行体生成的执行日志，用于更新防御策略权重因子，基于更新的防御策略权重因子从防御策略集合区间选取最优防御策略。
60.作为一种优选的示例，根据防御策略权重因子从防御策略集合区间选取防御策略的计算模型为：其中，d表示防御策略集合，为采用第i个防御策略的概率，n为攻击策略的总数，为根据多个执行体生成的执行日志计算生成对应的防御策略权重因子，α为当前防御策略与前一个防御策略的关联因子，为基于关联因子α与防御策略权重因子定义的防御策略，为防御策略的效用，为从防御策略集合中选取对应可用的防御策略的效用。
61.具体地，设置防御策略更新模块316实时监控并分析多个执行体生成的执行日志，根据防御策略权重因子从防御策略集合区间选取对应可用的防御策略。执行防御策略方案期间，系统可能仍会遭受新的攻击，因此，以确定是否有必要重新规划防御策略。当受到新的攻击时，由于拟态防御不会发生改变，所以新的攻击只会影响防御策略执行的顺序，因此通过引入防御策略权重因子、前后防御策略的关联因子α，建立防御策略选取的计算模型，选取具有最高效用的防御策略方案并执行。
62.作为一种优选的示例，密码服务单元303采用分布式微服务架构。具体地，密码服务单元303采用分布式微服务架构设计，密码服务单元303按功能模块拆分为不同的服务，独立开发、独立部署、独立维护。相对于传统的服务，微服务架构具有更高的可靠性、可伸缩性，且每个模块职责单一，维护和开发都变得更加容易，系统集群化部署。采用webservice技术实现一级密码服务监控子系统301后台和二级密码服务监控子系统302后台之间的数据交互，方便快捷。
63.如图6所示，密码应用预警系统400包括：攻击检测模块401、风险预警模块402、攻击溯源模块403、系统联动模块404、风险处置模块405。
64.攻击检测模块401，用于检测集控侧1、场站侧2和现场侧3网络的攻击行为。一种优选的示例，攻击检测模块401可包括外源攻击检测子模块和内源攻击检测子模块。外源攻击检测子模块可以检测报文攻击，通过对网络流量数据进行检测，若检测到报文攻击，输出报文攻击异常信息。还可以检测网络泛洪攻击，通过对网络流量统计数据进行检测，并输出流量统计数据异常度，若检测到泛洪攻击时输出泛洪攻击异常信息。报文攻击异常信息和泛洪攻击异常信息可以包括：原始攻击报文、攻击报文的捕获点位置的mac地址、攻击报文的捕获时间、受攻击终端的mac地址等。还可以检测恶意代码攻击，用于对终端文件进行检测，并输出终端异常度，若检测到存在泛洪攻击，输出恶意代码攻击异常信息，恶意代码攻击异常信息可以包括：恶意代码文件、受攻击终端的mac地址等。
65.此外，外源攻击检测子模块还能够调用密码服务防御系统300的异常报警模块315的告警信息，获得更多维度的网络攻击信息。
66.内源攻击检测子模块用于检测来自于集控侧1、场站侧2和现场侧3网络内部的攻击行为。内源攻击区别于外源攻击，攻击者来自于通信网络内部设备或用户，检测困难危害性大。内源攻击检测子模块对内部设备进行安全风险评估，评估来自于内部的网络攻击方式在当前内部网络环境发生的可能性及危害大小，对存在系统漏洞的设备进行升级更新，缓解被攻击风险。此外，内源攻击检测子模块实时监测内源攻击行为，通过设备监测信息、设备日志、人员登录及访问行为监测，对内源攻击行为进行基于行为的监测，可以针对特定内源攻击行文进行取证。
67.风险预警模块402，对于攻击检测模块401检测到的网络攻击行为，根据威胁程度进行信息分类并输出告警信息。告警信息可以区分内源攻击、外源攻击、威胁程度等信息。可以采用多种告警方式，例如系统界面告警、警报告警、向值班人员发送告警信息、根据威胁程度向不同层级的管理人员发送告警信息等。
68.攻击溯源模块403，对于攻击检测模块401检测到的网络攻击行为进行溯源，查找攻击的源头以及对被攻击设备造成的损害程度。例如，可以通过攻击异常信息中的受攻击终端的mac地址溯源，查找到被攻击的设备。并且评估攻击行为对被攻击设备造成的损害程度。
69.系统联动模块404，根据攻击溯源模块403查找到的攻击源头以及被攻击设备的损害程度，启动控制指令保护系统100、安全认证接入系统200以及密码服务防御系300的联动应对。系统联动模块404根据告警信息的威胁程度，可以向控制指令保护系统100和安全认证接入系统200发送系统联动指令，启动控制指令保护系统100和安全认证接入系统200更新秘钥，还可以向密码服务防御系统300发送系统联动指令，启动拟态异构防御模式。通过系统联动，可以针对攻击行为及时做出防御应对，避免攻击行为对新能源集控系统造成进一步损害。
70.风险处置模块405，对于受到攻击的集控侧1、场站侧2和现场侧3的设备，根据损害程度进行风险处置，将被攻击设备恢复至初始安全状态。在集控侧1和场站侧2分别设置有服务器，存储有各设备的备份数据，或者每个设备都存储有备份数据。风险处置模块405向被攻击的设备发送恢复指令，可以从服务器或者设备自身存储器中调用备份数据，使设备恢复到初始安全状态。此外，风险处置模块405还可以向新能源集控系统发送处置指令，包括攻击异常信息、被攻击设备id、风险处置策略等。例如，根据威胁程度采用不同的风险处置策略，对于高风险的攻击行为，可以采用对来自被攻击设备的数据隔离、拒绝接收被攻击设备的通信请求、物理断开与被攻击设备的通信互联等处置策略，从而保证新能源集控系统的安全，将攻击威胁限制在最小的范围。
71.此外，根据本发明的实施例提供一种用于新能源集控系统的密码应用平台的监测预警方法，应用于新能源集控系统的密码应用平台，所述方法包括：检测对集控侧、场站侧和现场侧网络的攻击行为，包括通过调用密码服务防御系统的异常报警模块的告警信息，获得外源攻击行为，并通过内源攻击检测子模块检测来自于所述集控侧、场站侧和现场侧网络内部的内源攻击行为；对于检测到的网络攻击行为，根据威胁程度进行信息分类并输出告警信息；
对于检测到的网络攻击行为进行溯源，查找攻击的源头以及对被攻击设备造成的损害程度；根据查找到的攻击源头以及被攻击设备的损害程度，启动控制指令保护系统更新秘钥，以及启动密码服务防御系统的拟态异构防御模式；对于受到攻击的集控侧、场站侧和现场侧的设备，根据损害程度进行风险处置，将被攻击设备恢复至初始安全状态。
72.根据查找到的攻击源头以及被攻击设备的损害程度，启动控制指令保护系统100和安全认证接入系统200更新秘钥。集控侧1管理有多条非对称密钥并将非对称密钥同步至场站侧2和现场侧3，非对称密钥包括对应不同操作人员签名的私钥信息和公钥信息，同时还存有多条备用秘钥，可以在受到攻击后，随时启动备用秘钥。
73.作为一种优选的示例，启动密码服务防御系统300的拟态异构防御模式包括：当密码服务请求存在威胁攻击时直接动态转移攻击面并将系统切换至冗余备份的密码服务单元303。
74.密码服务单元303至少具有二个冗余备份的密码服务单元303，当密码服务请求存在威胁攻击时直接动态转移攻击面并将系统切换至冗余备份的密码服务单元303。密码服务单元303配置有一级密码服务监控子系统301和至少一个二级密码服务监控子系统302。一级密码服务监控子系统301与二级密码服务监控子系统302建立通信连接，获取密码机产生的密钥对，将密钥对结合登入密码服务单元303的用户标识对应授权的操作等级生成对应的签名证书。生成密钥服务请求，基于密钥对的私钥对密码服务请求进行数字签名，以生成加密的密码服务请求，并下发至二级密码服务监控子系统。自动侦测并获取带有用户标识签名的加密的密码服务请求，基于签名证书中密钥对的公钥对密码服务请求进行解密。将解密后的密码服务请求动态随机分发至执行体单元中多个执行体进行归一化处理，对归一化处理结果进行比较和裁决，输出裁决结果。基于动态调度算法和裁决结果找出执行体单元中异常输出的执行体，从执行体池调度若干执行体替换具有异常输出的执行体；分析裁决结果并结合防御策略，直接动态转移攻击面并将系统切换至冗余备份的密码服务单元303。
75.作为一种优选的示例，集控侧1管理有多条非对称密钥，可根据不同场站的业务特性需求按照一定的规则形成规范的业务密钥。例如，相同的密钥数据可根据不同的分散因子分散出若干条不同业务密钥数据，存储在集控侧1和场站侧2的服务器中，以满足不同场站的业务特性需求。业务密钥的分散因子一般有序列号、设备编号等可变因子构成，保证密钥数据分散产生过程层层相扣、过程严密，具有较高的安全性和广泛的适用性。
76.优选地，在集控侧1的集控系统操作终端部署有符合usbkey及驱动， 为设备登录用户颁发证书，集控系统读取usbkey 证书，结合业务系统的身份权限机制基于sm2的数字证书技术对登录业务系统用户的身份进行鉴别。进行实际操作时，调用usbkey密码服务接口，对取得用户权限的操作人员下发的控制指令进行基于操作人员证书的签名。
77.例如，集控侧1将已签名的控制指令下发至场站侧2前，从集控侧1的服务器中找到与该操作人员签名所用私钥信息相同索引的公钥信息进行验签并记录验签信息（验签信息包括验签时间、操作人员id和验签结果等）。验签通过后调用集控侧hash 接口进行 hash计算，得到hash值，再调用集控侧签名接口进行 hash 值签名，最后调用集控侧加密接口对指
令数据和签名的hash值一起加密，向场站侧2进行发送。
78.场站侧2的前置服务器21接收到加密的签名hash值和指令数据后，调用场站侧接入认证装置22的场站侧解密接口进行数据解密，再调用场站侧接入认证装置22的场站侧验签接口，从场站侧2的前置服务器21中找到与该操作人员签名所用私钥信息相同索引的公钥信息进行验签并记录验签信息。验签通过后，再调用场站侧hash接口进行数据完整性校验，最后将指令数据进行协议格式转换成控制指令，前置服务器21调用场站侧接入认证装置22的签名接口将该控制指令签名后，发送到场站管理系统23。场站管理系统23接到签名的指令数据后调用场站侧接入认证装置22的场站侧验签接口进行验签，验签通过后，场站管理系统23调用场站侧接入认证装置22的场站侧签名接口将控制指令签名后，发送到现场侧3。
79.现场侧3的安全接入认证装置31根据场站侧前置服务器21中的公钥信息对控制指令进行验签，并从通过验签的控制指令中获取操作人员标识，判断该操作人员标识是否合法，将具有合法操作人员标识的控制指令发送至风机32中运行。
80.优选地，集控侧1的集控系统操作人员下发控制指令是基于操作人员的身份证书系统登录取得登录权限后对控制指令签名后下发，结合业务层具有的业务密钥的签名和验签以及现场侧的验证机制，确保每个控制指令操作可溯源，避免控制指令来源不可信，如发生生产事故，控制指令下发时操作人员未确权造成无法追溯等问题，使控制指令具有真实性和不可否认性，防止违规下发控制指令造成系统破坏。在集控侧1和场站侧2对控制指令做hash运算，确保传输的控制指令的完整性，从而实现控制指令从集控侧下发至现场侧的全流程安全，保障业务中控制指令等重要数据可管可控，确保控制指令的真实性、完整性、机密性和不可否认性。
81.优选地，采用sm4对称密码算法对传输的控制指令进行加密和解密；采用sm3密码杂凑算法，对集控侧1发送的控制指令进行完整性校验；采用sm2椭圆曲线公钥密码算法，使用对应的集控侧公钥信息或场站侧公钥信息对接收到的控制指令进行验签，以及使用对应的集控侧私钥信息或场站侧私钥信息进行签名。
82.优选地，操作人员登录系统需要身份认证，下发控制指令需要进一步运算以验证控制指令的真实性、完整性、机密性和不可否认性。例如，集控系统服务器12调用集控侧接入认证装置13的身份认证接口对操作人员进行身份认证，若身份认证通过则可进行系统登录，若身份认证不通过则禁止操作人员登录并生成报错信息返回至集控系统客户端11供操作人员查看。如果认证通过则集控系统客户端11根据该操作人员权限允许登录相关权限界面以取得下发控制指令的权限，以及调用集控侧接入认证装置13的集控侧验签接口根据对应的集控侧公钥信息对控制指令进行验签，防止控制指令被截取后存在数据泄露和篡改的风险，通过部署集控侧接入认证装置13加大操作权限认证的强度，降低操作人员违规下发控制指令的风险。
83.优选地，场站侧接入认证装置22初始化的时候产生加密通道使用的双证书，初次连接时，场站侧接入认证装置22通过加密通道接口将加密通道专用公钥发送给前置服务器21。前置服务器21每次调用场站侧接入认证装置22的加密通道接口之前，先调用加密通道，使用加密通道专用公钥进行加密后发送给场站侧接入认证装置22，场站侧接入认证装置22使用加密通道专用私钥解密。验证通过后，双方协商一个传输加密密钥，建立加密安全通
道，进行数据解密、完整性校验、签名验签等相关业务传递。
84.本发明的用于新能源集控系统的密码应用平台，能够检测到外源和内源的网络攻击行为发出告警信息，通过系统联动操作，启动控制指令保护系统及安全认证接入系统更新秘钥，启动密码服务防御系统执行拟态异构防御模式，并且通过溯源查找到被攻击的设备，执行风险处置操作。
85.以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。