(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111409073.2 (22)申请日 2021.11.25 (65)同一申请的已公布的文献号 申请公布号 CN 113824643 A (43)申请公布日 2021.12.21 (73)专利权人 中国科学院信息 工程研究所 地址 100093 北京市海淀区闵庄路甲89号 (72)发明人 李凤华　房梁　李子孚　郭云川　 耿魁　张玲翠　陈操　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 代理人 程琛 (51)Int.Cl. H04L 45/02(2022.01) H04L 9/40(2022.01)(56)对比文件 CN 102946450 A,2013.02.27 CN 113572739 A,2021.10.2 9 CN 112104507 A,2020.12.18 CN 111949840 A,2020.1 1.17 CN 111934915 A,2020.1 1.13 CN 110618815 A,2019.12.27 CN 102571417 A,2012.07.1 1 CN 101882179 A,2010.1 1.10 CN 109977273 A,2019.07.0 5 CN 112134762 A,2020.12.25 CN 107659653 A,2018.02.02 CN 111860880 A,2020.10.3 0 CN 104063507 A,2014.09.24 CN 111460232 A,2020.07.28 US 2020336387 A1,2020.10.2 2 US 201412 2706 A1,2014.0 5.01 审查员 陈刚 (54)发明名称 泛在网络拓扑图构建方法及网络安全防护 方法 (57)摘要 本发明提供一种泛在网络拓扑图构建方法 及网络安全防护方法， 其中构建方法包括： 确定 待构建的泛在互联网络； 以泛在互联网络中的通 信主体为节点， 以通信主体间的关系为边， 基于 原子操作， 构建泛在网络拓扑图； 节点包括端节 点、 汇集接入节点和控制节点； 原子操作用于对 节点和/或边进行调整， 原子操作包括交运算、 并 运算和融合运算中的至少一种， 基于此可以进行 网络安全防护能力编排、 部署与管理， 威胁处置， 网络安全监管。 本发明提供的方法， 通过普适性、 最小性、 可 组合性的原子操作构建泛在网络拓扑 图， 使得泛在网络拓扑图可适应泛在互联网络的 大尺度高动态特性， 在此基础上进行网络安全防 护， 保证了网络安全防护的安全性和完备性。 权利要求书3页 说明书28页 附图7页 CN 113824643 B 2022.02.22 CN 113824643 B 1.一种泛在网络 拓扑图构建方法， 其特 征在于， 包括： 确定待构建的泛在互联网络； 以所述泛在互联网络 中的通信主体为节点， 以通信主体间的关系为边， 基于原子操作， 构建泛在网络 拓扑图， 所述泛在网络 拓扑图用于网络安全防护； 所述节点包括端节点、 汇集接入节点和控制节点； 所述原子操作用于对节点和/或边进行调整， 所述原子操作包括交运算、 并运算和融合 运算中的至少一种； 所述构建泛在网络 拓扑图， 之后还 包括： 若所述泛在互联网络 中存在节点变化， 则基于关系生成规则， 以及加运算操作和/或减 运算操作， 调整所述泛在网络 拓扑图； 所述关系生成规则 基于各通信主体的信号收发数据确定， 所述关系生成规则用于判断 各通信主体之间是否可以相互通信； 所述加运 算操作和所述减运 算操作基于所述原子操作实现； 所述泛在网络拓扑图基于所述泛在互联网络中各通信主体， 应用所述关系生成规则， 以及所述加运 算操作和/或所述减运 算操作构建； 所述交运算是针对通信主体双方或者多方存在或预期存在共同的通信链路的情况， 计 算存在共同或预期存在共同通信的链路， 以构建并维护所述泛在网络 拓扑图的运 算操作； 所述并运算是针对通信双方或多方不存在单中继可达的中继节点， 且存在若干条潜在 中继可达的通信链路的情况， 运 算构建通信链路， 并维护所述泛在网络 拓扑图的运 算操作； 所述融合运算是针对端节点不存在单中继可达的汇集接入节点， 但存在若干条中继可 达的汇集接入节点， 且多个汇 集接入节点共享同一控制节点的情况， 构建通信链路， 并维护 所述泛在网络 拓扑图的运 算操作。 2.根据权利要求1所述的泛在网络拓扑图构建方法， 其特征在于， 若所述泛在互联网络 中存在节点变化， 则基于关系生成规则， 以及加运算操作和/或减运算操作， 调整所述泛在 网络拓扑图， 包括： 若所述节点变化为新增任一节点， 则基于所述加运算操作， 在所述泛在网络拓扑图中 新建所述任一节点， 并基于所述关系生成规则， 生成所述任一节点在所述泛在 网络拓扑图 中的连接边； 若所述节点变化为下线任一节点， 则基于所述减运算操作， 在所述泛在网络拓扑图中 下线所述任一节点以及所述任一节点的连接边； 若所述节点变化为修改任一节点的连接关系， 则基于所述减运算操作， 在所述泛在网 络拓扑图中下线所述任一节点以及所述任一节点的连接边， 和/或基于加运算操作， 在所述 泛在网络拓扑图中新建所述任一节点， 并基于关系生成规则， 生成所述任一节点在所述泛 在网络拓扑图中的连接边。 3.根据权利要求1所述的泛在网络拓扑图构建方法， 其特征在于， 所述加运算操作基于 加点运算、 加边运算、 状态管理运算、 所述交运算、 所述并运算和所述融合运算中的至少一 种实现， 所述减运算操作基于减点运算、 减边运算、 状态管理运算、 所述交运算、 所述并运算 和所述融合 运算中的至少一种实现。 4.根据权利要求3所述的泛在网络拓扑图构建方法， 其特征在于， 所述加点运算用于在权　利　要　求　书 1/3 页 2 CN 113824643 B 2满足给定加 点条件下， 将新通信主体加入到所述泛在 网络拓扑图， 并维护泛在 网络运行状 态； 所述加边运算用于在满足给定加边条件下， 将新通信主体加入到所述泛在互联网络 时， 于所述泛在 网络拓扑图中新增新通信主体与网络的连接关系， 和/或， 所述泛在互联网 络中已有通信主体新增连接关系， 并维护网络运行状态； 所述减点运算用于在满足给定减点条件下， 将在网通信主体离开所述泛在互联网络， 并维护网络运行状态； 所述减边运算用于在满足给定减边条件下， 去掉待下线的通信主体与其他已在网的通 信主体的连接关系， 和/或， 减少所述泛在互联网络中的通信主体间的连接关系， 并维护网 络运行状态； 所述状态管理运 算用于管理节点和/或节点间连接的边的状态。 5.一种网络安全防护方法， 其特 征在于， 包括： 确定泛在网络拓扑图， 所述泛在网络拓扑图是基于如权利要求1至4中任一项所述的泛 在网络拓扑图构建方法构建的； 基于所述泛在网络 拓扑图， 进行网络安全防护。 6.根据权利要求5所述的网络安全防护方法， 其特征在于， 所述基于所述泛在网络拓扑 图， 进行安全防护， 包括： 从所述泛在网络 拓扑图中， 确定出防护所需的局部 视图； 基于所述局部 视图， 进行网络安全防护。 7.根据权利要求6所述的网络安全防护方法， 其特征在于， 所述从所述泛在网络拓扑图 中， 确定出防护所需的局部 视图， 包括： 基于防护所需的目标属性范围， 以及所述泛在网络拓扑图的多维索引， 从所述泛在网 络拓扑图中索引得到所述局部 视图； 所述多维索引基于所述泛在网络 拓扑图中各节点的节点属性构建。 8.根据权利要求6所述的网络安全 防护方法， 其特征在于， 所述基于所述局部视 图， 进 行网络安全防护， 包括： 基于日志信息、 系统运行异常信息、 报警信息、 预警信息和安全要求中的至少一种， 以 及所述局部 视图， 确定防护方案； 基于所述防护方案， 进行网络安全防护。 9.根据权利要求8所述的网络安全 防护方法， 其特征在于， 所述基于日志信息、 系统运 行异常信息、 报警信息、 预警信息和安全要求中的至少一种， 以及所述局部视图， 确定防护 方案， 包括： 基于所述日志信息、 系统运行异常信息、 报警信息、 预警信息和安全要求中的至少一 种， 构建源匹配子图； 对所述源匹配子图和所述局部 视图进行子图匹配， 得到所述防护方案； 所述安全要求包括： 节点/网络的防护要求、 策略配置、 采集要求、 处置指令分解要求、 处置响应要求、 柔性重构要求、 脱敏控制要求、 信息过滤要求、 分布式分析要求、 边缘管控要 求、 可用防护资源中的至少一种。 10.一种泛在网络 拓扑图构建装置， 其特 征在于， 包括：权　利　要　求　书 2/3 页 3 CN 113824643 B 3