(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111357877.2 (22)申请日 2021.11.17 (71)申请人 青岛信大云谷信息科技有限公司 地址 266100 山东省青岛市崂山区香港东 路237号1号楼1单 元202户 (72)发明人 韩岷　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种结合边缘计算的网络安全策略决策方 法 (57)摘要 本发明涉及网络安全 策略决策技术领域， 尤 其为一种结合边缘计算的网络安全策略决策方 法， 包括以下步骤： 步骤1： 当策略引 擎和边缘转 发器启动的同时， 策略引擎首先从策略数据库中 获得网络传输协议属性策略， 并将其下发到边缘 转发器中； 步骤2： 边缘转发器将网络传输协议属 性策略配置到路由转发模块上； 通过设置边缘转 发器， 将网络传输协议属性策略决策下发到边缘 转发器进行边缘决策和执行， 根据决策结果决定 数据包的去向， 减少了策略引擎进行策略决策的 频率， 处理数据包更加灵活， 减少了边缘转发器 和策略引擎之间的请求数据包。 权利要求书2页 说明书6页 附图3页 CN 114070626 A 2022.02.18 CN 114070626 A 1.一种结合 边缘计算的网络安全策略决策 方法， 其特 征在于： 包括以下步骤： 步骤1： 当策略引擎和边缘转发器启动的同时， 策略引擎首先从策略数据库中获得网络 传输协议属性策略， 并将其下发到边 缘转发器中； 步骤2： 边 缘转发器将网络传输协议属性策略配置 到路由转发模块上； 步骤3： 当用户请求的资源数据包传输到边缘转发器时， 边缘转发器的路由转发模块根 据网络传输协议属性策略做边 缘策略决策； 步骤4： 决定数据包转发路径。 2.根据权利要求1所述的一种结合边缘计算的网络安全策略决策方法， 其特征在于： 所 述策略引擎与策略数据库相互通讯连接， 且所述策略引擎与边 缘转发器通讯连接； 其中， 所述策略引擎用于向所述策略数据库中查找对应的属性策略， 并进行 策略决策； 所述策略数据库用于存 储策略及策略属性。 3.根据权利要求1所述的一种结合边缘计算的网络安全策略决策方法， 其特征在于： 所 述边缘转发器包括路由转发模块、 原 始包丢弃模块、 原 始包转发模块和隧道加密转发模块； 其中， 所述路由转发模块用于做边 缘策略决策； 所述原始包丢弃模块、 原始包转发模块和隧道加密转发模块分别用于将数据包按照不 同的路径进行转发。 4.根据权利要求1所述的一种结合边缘计算的网络安全策略决策方法， 其特征在于： 所 述步骤3包括以下步骤： 步骤3.1： 用户通过用户设备向资源设备请求资源数据； 步骤3.2： 用户请求的资源数据包传输 到边缘转发器； 步骤3.3： 边 缘转发器的路由转发模块 根据网络传输协议属性策略做边 缘策略决策； 其中， 所述用户设备与边缘转发器通讯连接， 所述资源设备与转发器通讯连接， 所述转 发器与策略引擎 通讯连接； 所述用户设备用于请求资源数据； 所述资源设备用于提供资源数据； 所述边缘转发器用于接收资源访 问消息、 向策略引擎请求策略、 与转发器形成通信加 密隧道。 5.根据权利要求1所述的一种结合边缘计算的网络安全策略决策方法， 其特征在于： 所 述步骤1包括以下步骤： 步骤1.1： 策略数据库中存在四类属性策略， 当策略引擎启动后会向策略数据库中获得 四条策略； 步骤1.2： 策略数据库将策略传递到策略引擎； 步骤1.3： 策略引擎将网络传输协议属性下发给边 缘转发器。 6.根据权利要求1所述的一种结合边缘计算的网络安全策略决策方法， 其特征在于： 所 述步骤4中转发路径包括以下三种路径： 路径一： 原 始包丢弃路径， 即需要将数据包转发到原 始包丢弃模块执 行丢弃操作； 路径二： 原始包转发路径， 即需要将数据包转发到原始包转发模块进行原始包正常转 发； 路径三： 隧道加密转发路径， 即需要将数据包转发到隧道加密模块进行加密转发。权　利　要　求　书 1/2 页 2 CN 114070626 A 27.根据权利要求6所述的一种结合边缘计算的网络安全策略决策方法， 其特征在于： 所 述路径三中数据加密之前边缘转 发器需要向策略决策引擎发送其他策略请求消息， 待边缘 转发器收到策略引擎下发的策略后与另一台转发器生成加密隧道完成加密通信。 8.根据权利要求1所述的一种结合边缘计算的网络安全策略决策方法， 其特征在于： 所 述策略数据库中策略属性有四类属性， 分别是网络传输协 议属性、 时间属性、 用户ID属性以 及应用层属性。 9.根据权利要求3所述的一种结合边缘计算的网络安全策略决策方法， 其特征在于： 所 述原始包丢弃模块、 原 始包转发模块和隧道加密转发模块均 与路由转发模块电性连接 。 10.根据权利要求1所述的一种结合边缘计算的网络安全策略决策方法， 其特征在于： 所述边缘转发器与另一个转发器之间通过加密隧道进行加密通信。权　利　要　求　书 2/2 页 3 CN 114070626 A 3