【技术实现步骤摘要】
【国外来华专利技术】一种通信安全处理方法、装置及系统
本专利技术涉及通信
,尤其涉及一种通信安全处理方法、装置及系统。
技术介绍
在传统的通信系统中,对于不同的用户之间通信所使用的隔离方式是物理隔离,即:对于每个部门用户的流量数据都会通过某个接口或者子接口传输,直接将这些接口或者子接口加入该部门对应的安全域,然后基于接口或者子接口配置安全策略进行安全隔离即可。随着电子技术和互联网技术的发展,实现通信系统的方式越来越复杂,云计算逐渐兴起,云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算的特点为:“共享”、“无边界”、“动态”,在此情况下,在云计算系统中,接口和子接口的天然物理屏障不存在了,从而无法基于接口或者子接口来进行通信过程中的安全隔离。
技术实现思路
本专利技术实施例提供一种通信安全处理方法、装置及系统,可以对报文进行安全隔离,实现用户间的通信安全。一方面,本专利技术实施例提供了一种通信安全处理方法,包括:安全网关接收主机转发的报文,所述报文是源虚拟机发送给目标虚拟机的报文,所述报文中包括源虚拟机标识和目标虚拟机标识;根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标设备的第二用户所属的安全域;若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理;所述根据所述报文以及用户信息与安全域的映射关系,确定登录所述源 ...
【技术保护点】
一种通信安全处理方法,其特征在于,包括:安全网关接收主机转发的报文,所述报文是源设备发送给目标设备的报文;根据所述报文以及用户信息与安全域的映射关系,确定登录所述源设备的第一用户所属的安全域,以及登录所述目标设备的第二用户所属的安全域;若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理。
【技术特征摘要】
【国外来华专利技术】1.一种通信安全处理方法,其特征在于,包括:安全网关接收主机转发的报文,所述报文是源虚拟机发送给目标虚拟机的报文,所述报文中包括源虚拟机标识和目标虚拟机标识;根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标虚拟机的第二用户所属的安全域;若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理;所述根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标虚拟机的第二用户所属的安全域包括:所述安全网关提取所述报文中的所述源虚拟机标识和所述目标虚拟机标识;根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,获得所述第一用户的用户信息和所述第二用户的用户信息;根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域,以及所述第二用户所属的安全域。2.如权利要求1所述的方法,其特征在于,还包括:所述安全网关从认证服务器中获取用户的用户信息及用户登录设备的设备标识,所述认证服务器用于对用户信息进行认证,其中,所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息,所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识;所述安全网关根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。3.一种通信安全处理方法,其特征在于,包括:主机接收源虚拟机发送给目标虚拟机的报文;提取所述报文中包括的源虚拟机标识和目标虚拟机标识;所述主机根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;如果所述主机承载的虚拟机中不包括所述目标虚拟机,则向安全网关转发所述报文;如果所述主机承载的虚拟机中包括所述目标虚拟机,则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息;根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行处理;若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则向所述安全网关转发所述报文。4.如权利要求3所述的方法,其特征在于,还包括:所述主机接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。5.一种通信安全处理装置,其特征在于,包括:接收模块,用于接收主机转发的报文,所述报文是源虚拟机发送给目标虚拟机的报文,所述报文中包括源虚拟机标识和目标虚拟机标识;检测模块,用于根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标虚拟机的第二用户所属的安全域;安全处理模块,用于当所述第一用户所属的安全域与所述第二用户所属的安全域相同时,根据域内安全策略对所述报文进行安全处理;当所述第一用户所属的安全域与所述第二用户所属的安全域不同时,根据域间安全策略对所述报文进行安全处理;所述检测模块包括:标识提取单元,用于提取所述报文中的源虚拟机标识和目标虚拟机标识;查找单元,用于根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,查找所述第一用户的用户信息和所述第二用户的用户信息;判断单元,用于根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域以及所述第二用户所属的安全域。6.如权利要求5所述的装置,其特征在于,还包括:获取模块,用于从认证服务器中获取用户的用户信息及用户登录设备的设备标识,所述认证服务器用于对用户信息进行认证,其中,所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息,所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识;建立模块,用于根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。7.一种主机,其特征在于,包括:第一接收模块,用于接收源虚拟机发送给目标虚拟机的报文;标识提取模块,用于提取所述报文中包括的源虚拟机标识和目标虚拟机标识;判断模块,用于根据所述目标虚拟机标识,以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;确定模块,用于当所述判断模块确定所述主机承载的虚拟机中包括所述目标虚拟机时,根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息,并根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;处理模块,用...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。