(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210864616.8 (22)申请日 2022.07.21 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 李仁江　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 吕爱霞 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种安全域通信方法、 装置、 电子设备及存 储介质 (57)摘要 本申请提供一种安全域通信方法、 装置、 电 子设备及存储介质， 该方法包括： 获取从第一安 全域单向传输至第二安全域的传输报文， 第一安 全域的密级低于第二安全域的密级； 从传输报文 中解析出随机数值； 判断随机数值是否是在第二 安全域内生成的； 若是， 则将随机数值从第二安 全域单向传输至第一安全域， 以使第一安全域根 据该随机 数值确认无需重新发送该传输报文。 通 过在随机 数值是第二安全域内生 成的情况下， 才 将随机数值从第二安全域单向传输至第一安全 域， 以使第一安全域根据该随机数值来确定无需 重新发送该传输报文， 避免了由人工反馈确认无 需重传的文件导致反馈效率较低的问题， 从而提 高了不同安全等级的网络之间的通信效率。 权利要求书2页 说明书13页 附图3页 CN 115277149 A 2022.11.01 CN 115277149 A 1.一种安全域 通信方法， 其特 征在于， 包括： 获取从第一安全域单向传输至第 二安全域的传输报文， 所述第 一安全域的密级低于所 述第二安全域的密级； 从所述传输报文中解析 出随机数值； 判断所述随机数值是否是在所述第二 安全域内生成的； 若是， 则将所述随机数值从所述第二安全域单向传输至所述第一安全域， 以使所述第 一安全域根据所述随机数值确认无需重新发送所述传输报文。 2.根据权利要求1所述的方法， 其特征在于， 所述判断所述随机数值是否是在所述第 二 安全域内生成的， 包括： 判断是否在数值缓存表中查询到所述随机数值， 所述数值缓存表中存储有预先生成的 随机数值； 若是， 则确定所述随机数值是在所述第二安全域内生成的， 否则， 确定所述随机数值不 是在所述第二 安全域内生成的。 3.根据权利要求1所述的方法， 其特征在于， 所述将所述随机数值从所述第 二安全域单 向传输至所述第一 安全域， 包括： 从所述传输报文中解析出安全随机数， 所述安全随机数是使用预先存储的私钥对所述 随机数值进行加密后获得的； 使用所述私钥对应的公钥对所述 安全随机数进行解密， 获得解密后的随机数； 判断所述 解密后的随机数与所述随机数值是否相同； 若是， 则将所述随机数值从所述第二 安全域单向传输 至所述第一 安全域。 4.根据权利要求3所述的方法， 其特 征在于， 还 包括： 从所述传输报文中解析出数字签名， 所述数字签名是使用所述传输报文的发送设备私 钥对所述 安全随机数的哈希值进行加密获得的； 使用所述传输报文的发送设备私钥对应的公钥对所述数字签名进行解密， 获得解密出 来的哈希值； 判断所述 解密出来的哈希值与所述 安全随机数的哈希值是否相同； 若否， 则阻断所述随机数值的单向传输 。 5.一种安全域 通信方法， 其特 征在于， 应用于第一 安全域的电子设备， 包括： 接收第二安全域单向传输的随机数值， 所述第 一安全域的密级低于所述第 二安全域的 密级； 判断是否在随机序列表中查找到所述随机数值对应的第 一报文序列， 所述随机序列表 中存储有随机数值与报文序列的对应关系； 若是， 则确认无需重新发送所述第一报文序列的传输报文， 并从随机序列表中删除所 述随机数值和所述随机数值对应的第一报文序列。 6.根据权利要求5所述的方法， 其特征在于， 在所述判断是否在随机序列表中查找到所 述随机数值对应的第一报文序列之后， 还 包括： 若没有在随机序列表中查找到所述随机数值对应的第 一报文序列， 则根据所述随机数 值将第二报文序列的传输报文从第一安全域单向传输至第二安全域， 所述第一报文序列的 传输报文与所述第二报文序列的传输报文是不同报文。权　利　要　求　书 1/2 页 2 CN 115277149 A 27.根据权利要求6所述的方法， 其特征在于， 所述根据所述随机数值将第 二报文序列的 传输报文从第一 安全域单向传输 至第二安全域， 包括： 判断所述第二报文序列是否满足重新传输条件， 所述重新传输条件包括： 所述第二报 文序列的数值小于所述第一报文序列的数值， 或者， 所述第二报文序列的存储时长超过预 设时长； 若是， 则将所述随机数值和所述第二报文序列的传输报文封装为重传报文， 并将所述 重传报文从所述第一 安全域单向传输 至所述第二 安全域。 8.一种安全域 通信装置， 其特 征在于， 包括： 传输报文获取模块， 用于获取从第一安全域单向传输至第二安全域的传输报文， 所述 第一安全域的密级低于所述第二 安全域的密级； 随机数值 解析模块， 用于从所述传输报文中解析 出随机数值； 随机数值判断模块， 用于判断所述随机数值是否是在所述第二 安全域内生成的； 随机数值传输模块， 用于若所述随机数值是在所述第二安全域内生成的， 则将所述随 机数值从所述第二安全域单向传输至所述第一安全域， 以使 所述第一安全域根据所述随机 数值确认无需重新发送所述传输报文。 9.一种电子设备， 其特征在于， 包括： 处理器和存储器， 所述存储器存储有所述处理器 可执行的机器可读指 令， 所述机器可读指令被所述处理器执行时执行如权利要求1至7任一 所述的方法。 10.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程 序， 该计算机程序被处 理器运行时执 行如权利要求1至7任一所述的方法。权　利　要　求　书 2/2 页 3 CN 115277149 A 3