(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111420431.X (22)申请日 2021.11.26 (71)申请人 郑州信大信息技 术研究院有限公司 地址 450000 河南省郑州市高新 技术产业 开发区莲花街55号D座1号楼1-5层、 2 号楼5层 (72)发明人 周伟　田炜　袁喜凤　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 代理人 周艳巧 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0896(2022.01) H04L 41/0631(2022.01) H04L 45/00(2022.01)H04L 47/50(2022.01) H04L 12/04(2006.01) H04L 12/46(2006.01) H04L 69/22(2022.01) (54)发明名称 软件定义路由器及基于该软件定义路由器 的数据转发方法 (57)摘要 本发明属于网络安全技术领域， 特别涉及一 种软件定义路由器及基于该软件定义路由器的 数据转发方法， 通过在两个或多个软件定义路由 器间建立透明安全传输隧道， 利用策略引擎实时 接收远程控制器的控制策略， 利用轻量级协议栈 根据策略对转发数据进行分析、 处理， 有效提高 网络系统的安全性； 通过在转发策略表项中添加 转发标识， 针对路由器待转发的每一数据包通过 获取待转发数据包中的IP对或ID对来查找对应 转发策略表项， 根据查找的表项内容执行数据包 的二或三层数据转发， 满足交换机和路由器的功 能应用， 能够大幅提升 路由器设备的数据传输性 能， 实现内部网络间的数据在外网上的安全转 发， 有效保障数据传输过程中的安全性， 具有较 好的应用前 景。 权利要求书2页 说明书8页 附图1页 CN 114039795 A 2022.02.11 CN 114039795 A 1.一种软件定义路由器， 用于内网和/或外网间数据在网络上的安全传输， 其特征在 于， 包含： 远程控制器， 所述远程控制器部署在远程服务器上， 用于依据网络事件制定和调整控 制策略， 并通过安全隧道将存储有与设备列表对应的控制策略的策略集合下发至策略引 擎， 其中， 控制策略至少包含： 数据包的认证过滤策略， 网络流量的监测控制策略， 隧道层协 议封装解封的隧道安全策略， 及负载层数据加解密策略； 网络适配器， 包含用于作为内网物 理网卡的西向网络适配器和用于作为外网物理网卡 的东向网络适配器， 通过西向网络适配器和东向网络适配器来提供与内外网之 间的数据通 路； 交换机， 包含与西向网络适配器连接的西向交换机和与东向网络适配器连接的东向交 换机， 西向交换机和东向交换机依据转 发策略表将入栈数据包和转 发策略表项提交至流处 理单元， 并针对流处理单元反馈的出栈数据包通过查找转发策略表并经由网络适配器提供 的数据通路实现二层和/或三层转发， 所述转发策略表中表项指针利用ID对或IP对作为索 引来映射 二层和/或三层转发所需参数的内存块 地址； 策略引擎， 用于动态加载策略集合， 依据设备任务请求将策略集合中控制策略加载至 交换机或流处 理单元目标位置， 并汇聚设备网络事 件， 将网络事 件上报至远程控制器； 流处理单元， 依据控制策略对入栈数据包进行流处理， 将流处理后的数据包作为出栈 数据包反馈至交换机， 其中， 流处理至少包含： 对数据包的过滤和 签名认证， 及对数据包的 加解密； 及设备管理器， 用于从策略集合中读取设备列表并管理设备启停， 同时依据设备任务 请求为其分配运行资源、 设备 标识及访问接口。 2.根据权利要求1所述的软件定义路由器， 其特征在于， 隧道安全策略中， 依据系统安 全配置， 生成策略引擎和远程控制 器之间的安全策略， 通过安全策略对策略引擎和远程控 制器进行互相认证授权， 通过安全关联建立两者之间的安全隧道， 利用安全隧道从远程控 制器上加载 策略集合。 3.根据权利要求1所述的软件定义路由器， 其特征在于， 在西向交换机和西向网络适配 器之间、 及东向交换机和东向网络适配器之 间均设置有用于创建接收队列、 发送队列、 接收 处理线程和发送处理线程的XNET， 其中， 接收队列和发送队列用于交换机和网络适配器之 间的数据包的入栈和出栈排队处理， 接收处理线程用于将网络适配器抓取的数据包放入接 收队列以进行入栈处理， 发送处理线程用于将发送队列中出栈数据包通过网络适配器进 行 发送转发。 4.根据权利要求1所述的软件定义路由器， 其特征在于， 还包含： 用于提供人机交互的 管理工具箱， 管理工具箱上设置有用于对设备和网络状态进 行管理的图形管理界面， 其中， 利用图形管理界面对设备和网络状态进行管理的操作至少包含： 用于软件定义路由器网络 参数配置的配置操作、 用于软件定义路由器状态启停的启停操作、 用于软件定义路由器状 态检查的状态检查操作及用于软件定义路由器日志分析的日志分析操作。 5.根据权利要求1所述的软件定义路由器， 其特征在于， 转发策略表项中设置转发标 识， 该标识由隧道两端的路由器的西向交换机和流处理单元使用， 作为判断二层转发或三 层转发的依据； 对于西向入栈数据包， 流处理单元根据转发策略表项中的转发标识来判定权　利　要　求　书 1/2 页 2 CN 114039795 A 2对入栈数据包执行二层转发或三层转发； 对于西向出栈数据包， 西向交换机根据转发策略 表项中的转发标识来判定对出栈数据包进行二层转发或三层转发。 6.根据权利要求1所述的软件定义路由器， 其特征在于， 还包含： 利用预设的流量管理 策略对实时网络流 量进行控制和协调的流 量管理模块。 7.根据权利要求6所述的软件定义路由器， 其特征在于， 流量管理模块中的流量管理策 略， 利用预先设置的安全隧道优先级来控制对应安全隧道流量带宽， 并依据预设带宽预警 值， 将安全隧道流量带宽超过该预警值的事件上报远程控制 器， 利用远程控制 器调整发送 端发送速率来协调安全隧道流量， 其中， 对安全隧道流量带宽的控制包含： 对带宽的关闭、 增加和恢复。 8.一种软件定义路由数据转发方法， 其特征在于， 基于权利要求1所述的软件定义路由 器实现， 包 含如下内容： 将内网和/或外网中设置的各软件定义路由器与远程控制器建立安全连接， 通过策略 引擎从远程控制器上获取策略集合， 软件定义路由器之 间依据策略集合中隧道安全策略进 行安全关联并建立 安全隧道； 以缓冲区为载体从网络适配器抓取由源 网络转发至目标网络的数据包 并缓存， 通知源 网络交换机做入 栈处理； 针对入栈处理数据包， 源网络西向交换机查找转发策略表， 将本地数据发给对应网络 适配器， 将远程数据包和查找匹配的对应策略表项传输 至流处理单元； 流处理单元解析入栈数据包和策略表项， 若解析策略表项中包含二层转发的转发标 识， 则依据控制策略对入栈数据包进行二层转发的流处理， 若解析策略表项中包含三层转 发的转发标识则依据控制策略对入栈数据包进行三层转 发的流处理， 并将二层转 发或三层 转发流处 理后的数据包作为出栈数据包反馈 至源网络东向交换机； 源网络东向交换机通过查找转发策略表， 获取与目标网络对应的隧道信息， 通过隧道 将出栈数据包投递至目标网络， 由目标网络路由器对出隧道的数据包做反向处理后转发至 接收端。 9.根据权利要求8所述的软件定义路由器数据转发方法， 其特征在于， 各软件定义路由 器统一分配各自所辖网络的整体带宽， 并依据预先设置的安全隧道优先级来控制对应安全 隧道流量带宽， 将安全隧道流量带宽超过预设带宽预警值的事件上报远程控制 器， 利用远 程控制器调整发送端的发送速率来协调安全隧道流量， 其中， 对安全隧道流量带宽的控制 包含： 对带宽的关闭、 增 加和恢复。 10.根据权利要求8所述的软件定义路由数据转发方法， 其特征在于， 软件定义路由器 与内网、 外网及软件定义路由器之间通过物理网线或无线方式进行 连接。权　利　要　求　书 2/2 页 3 CN 114039795 A 3