(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111415901.3 (22)申请日 2021.11.25 (71)申请人 郑州信大信息技 术研究院有限公司 地址 450000 河南省郑州市高新 技术产业 开发区莲花街55号D座1号楼1-5层、 2 号楼5层 (72)发明人 周伟　王亚琛　荆晓亮　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 代理人 周艳巧 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/44(2013.01) G06F 21/60(2013.01) G06F 21/72(2013.01) (54)发明名称 基于用户态协议栈实现数据安全可靠传输 的方法及系统 (57)摘要 本发明属于网络安全技术领域， 特别涉及一 种基于用户态协议栈实现数据安全可靠传输的 方法及系统， 在用户态协议栈中通过设置调用函 数来封装用于对应用服务请求数据包进行加密 认证及分片处理的安全通信协议； 确定应用服务 请求的用户态协议栈， 并创建接口数据调用函 数； 利用该接口数据调用函数与对应用户态协议 栈中调用函数进行关联， 将应用服务数据包发送 至确定的用户态协议栈； 用户态协议栈依据关联 的调用函数对接收到的应用服务报文进行入栈 和出栈数据包处理， 并将处理后的数据包转发至 用户态协议栈对应的应用服务。 本发 明通过在用 户态协议栈中集成安全通信协议， 在满足数据传 输过程可靠性、 可用性需求同时， 为高性能数据 转发提供安全性保护。 权利要求书2页 说明书7页 附图2页 CN 114143061 A 2022.03.04 CN 114143061 A 1.一种基于用户态 协议栈实现数据安全可靠传输的方法， 其特 征在于， 包 含如下内容： 在用户态协议栈中通过设置调用函数来封装用于对应用服务请求数据包进行加密认 证及分片处 理的安全通信协议； 针对应用服务请求， 确定用户态协议栈， 并创建接口数据调用函数； 利用该接口数据调 用函数与对应用户态协 议栈中调用函数进 行关联， 将 应用服务数据包发送至确定的用户态 协议栈进行处 理； 用户态协议栈依据关联的调用函数对接收到的应用服务报文进行入栈和出栈数据包 处理， 并将处理后的数据包转 发至用户态协议栈对应的应用服务， 其中， 入栈和出栈数据包 处理至少包 含数据包认证、 分片重组、 加解密 及封装和解封装处 理。 2.根据权利要求1所述的基于用户态协议栈实现数据安全可靠传输的方法， 其特征在 于， 安全通信协议至少包含： 用于为通信实体双方提供协商共享密钥参数服务的认证与密 钥交换协议， 用于为通信实体双方提供数据包认证、 加密封装和 解除封装服务的传输安全 协议， 用于为通信实体双方提供在密钥更新周期 内更新密钥服务的密钥更新协议， 用于为 通信实体双方提供数据分片重组服务的数据传输协 议， 用于为通信实体双方提供数据分片 重组及超时重传确认 服务的可靠数据传输协 议， 用于为通信实体双方提供计算报文往 返时 间服务的RTT测量协议， 及用于为通信实体双方提供通信链路连接异常检查服务的心跳协 议， 且安全通信协 议中每个协 议对应一个调用函数， 其中， 密钥更新协 议和认证与密钥交换 协议的调用函数均与传输安全协 议、 数据传输协 议及可靠数据传输协议三者的调用函数中 相关联， 以提供数据传输过程中校验认证和加解密过程中的密钥和加解密参数， RTT测量协 议通过调用函数为可靠数据传输协 议提供超时重传确认服务延时参考， 心跳协 议通过调用 函数为可靠数据传输协议 提供通信链路状态。 3.根据权利要求2所述的基于用户态协议栈实现数据安全可靠传输的方法， 其特征在 于， 传输安全协议包含： 为通信实体双方提供源认证服务和抗重放攻击服务的包安全认证 协议SPA， 及通过采用加密和验证机制为通信实体双方数据包提供数据机密性和完整性服 务的封装安全载荷协议ES P。 4.根据权利要求2所述的基于用户态协议栈实现数据安全可靠传输的方法， 其特征在 于， 所述安全通信协 议还包含： 用于为通信实体双方提供传输异常报警服务的告警协议， 及 用于为通信实体双方提供数据传输流量控制服务的流量控制协 议， 在通信实体双方之 间的 信道两端通过告警协议和流 量控制协议的调用函数来对数据传输异常和流 量进行监控。 5.根据权利要求1所述的基于用户态协议栈实现数据安全可靠传输的方法， 其特征在 于， 所述用户态协议栈依据ISO  7498中OSI模型对链路层、 网络层、 传输层、 会话层、 表示层 及应用层中的协议进行封装。 6.根据权利要求1～5任一项所述的基于用户态协议栈实现数据安全可靠传输的方法， 其特征在于， 在数据传输转发过程中， 所述用户态协议栈位于上层负载协议和下层承载协 议之间， 同时用户态协 议栈对上层负载协 议屏蔽掉下层 承载协议， 其中， 上层负载协议为封 装应用数据和网络层且用于承担用户态协议栈载荷部分的协 议， 下层承载协议为处理用户 态协议承载业 务数据包的协议。 7.根据权利要求6所述的基于用户态协议栈实现数据安全可靠传输的方法， 其特征在 于， 用户态协议栈对 数据包进 行出栈处理中， 首先， 根据通信实体双方之 间出栈数据包中的权　利　要　求　书 1/2 页 2 CN 114143061 A 2安全关联标识查找通信连接中的安全关联， 若查找到安全关联， 则依据通信安全性要求通 过调用函数提取用户态协议栈安全通信协议中的数据传输协议或可靠数据传输协议对出 栈数据包进行分片， 并利用用户态协议栈安全通信协议中传输安全协议对分片处理后的出 栈数据包添加头部认证和密码封装处理； 若未查找到安全关联， 则丢弃数据包； 其中， 安全 关联标识包含源标识和目的标识。 8.根据权利要求7所述的基于用户态协议栈实现数据安全可靠传输的方法， 其特征在 于， 依据通信安全性要求通过调用函数提取用户态协议栈安全通信协议中的可靠数据传输 协议对出栈数据包进 行分片和超时重传确认处理， 然后再对分片处理后的出栈数据包添加 认证头部和密码封装处理， 其中， 超时重传确认处理包含： 入栈接收到出栈发出的数据包 时， 向出栈端发送确认包， 若 出栈端在预设时间长度内未收到确认包， 则重传出栈发出的数 据包。 9.根据权利要求6所述的基于用户态协议栈实现数据安全可靠传输的方法， 其特征在 于， 用户态协议栈进 行入栈处理中， 首先， 根据通信实体双方之间入栈数据包中安全关联标 识查找通信连接中的安全关联， 若查找到安全关联， 则利用用户态协议栈安全通信协议中 传输安全协 议对出栈端发来的入栈数据包进 行协议栈处理， 提取出栈端 添加的认证头部进 行认证并解除密码封装， 并依据入栈数据包数据传输类型， 通过调用函数提取用户态协议 栈安全通信协议中的数据传输协议对 入栈数据包进行分片重组， 并转交相应 应用服务。 10.一种基于用户态协议栈实现数据安全可靠传输的系统， 其特征在于， 包含： 协议设 置模块、 数据处 理模块和数据传输模块， 其中， 协议设置模块， 用于在用户态协议栈中通过设置调用函数来封装用于对应用服务请求 数据包进行加密认证及分片处 理的安全通信协议； 数据处理模块， 用于针对应用服务请求， 创建接口数据调用函数； 利用该接口数据调用 函数与对应用户态协 议栈中调用函数进行关联， 将应用服务数据包发送至用户态协 议栈进 行处理； 数据传输模块， 用于用户态协议栈依据关联的调用函数对接收到的应用服务报文进行 入栈和出栈数据包处理， 并将处理后的数据包转 发至用户态协 议栈对应的应用服务， 其中， 入栈和出栈数据包处 理至少包 含数据包认证、 分片重组、 加解密 及封装和解封装处 理。权　利　要　求　书 2/2 页 3 CN 114143061 A 3