一种通信安全处理方法、装置及系统制造方法及图纸

本发明专利技术实施例公开了一种通信安全处理方法、相关装置及系统，其中，所述方法包括：安全网关接收主机转发的报文，所述报文是源设备发送给目标设备的报文；根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域；若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理；若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理。本发明专利技术实施例能够根据用户信息确定用户所属的安全域，然后根据安全域是否相同来执行不同的安全处理策略，实现了安全隔离，保证了用户间的通信安全。

【技术实现步骤摘要】
【国外来华专利技术】一种通信安全处理方法、装置及系统
本专利技术涉及通信
，尤其涉及一种通信安全处理方法、装置及系统。
技术介绍
在传统的通信系统中，对于不同的用户之间通信所使用的隔离方式是物理隔离，即：对于每个部门用户的流量数据都会通过某个接口或者子接口传输，直接将这些接口或者子接口加入该部门对应的安全域，然后基于接口或者子接口配置安全策略进行安全隔离即可。随着电子技术和互联网技术的发展，实现通信系统的方式越来越复杂，云计算逐渐兴起，云计算是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算的特点为：“共享”、“无边界”、“动态”，在此情况下，在云计算系统中，接口和子接口的天然物理屏障不存在了，从而无法基于接口或者子接口来进行通信过程中的安全隔离。
技术实现思路
本专利技术实施例提供一种通信安全处理方法、装置及系统，可以对报文进行安全隔离，实现用户间的通信安全。一方面，本专利技术实施例提供了一种通信安全处理方法，包括：安全网关接收主机转发的报文，所述报文是源虚拟机发送给目标虚拟机的报文，所述报文中包括源虚拟机标识和目标虚拟机标识；根据所述报文以及用户信息与安全域的映射关系，确定登录所述源虚拟机的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域；若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理；若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理；所述根据所述报文以及用户信息与安全域的映射关系，确定登录所述源虚拟机的第一用户所属的安全域，以及登录所述目标虚拟机的第二用户所属的安全域包括：所述安全网关提取所述报文中的源虚拟机标识和目标虚拟机标识；根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，获得所述第一用户的用户信息和所述第二用户的用户信息；根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域，以及所述第二用户所属的安全域。结合第一方面，在第一种可能的实现方式中，所述方法还包括：所述安全网关从认证服务器中获取用户的用户信息及用户登录设备的设备标识，所述认证服务器用于对用户信息进行认证，所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息，所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识；所述安全网关根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。第二方面，本专利技术实施例还提供了另一种通信安全处理方法，包括：主机接收源虚拟机发送给目标虚拟机的报文；提取所述报文中包括的源虚拟机标识和目标虚拟机标识；所述主机根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机；如果所述主机承载的虚拟机中不包括所述目标虚拟机，则向所述安全网关转发所述报文；如果所述主机承载的虚拟机中包括所述目标虚拟机，则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息；根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域；若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行处理；若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则向安全网关转发所述报文。结合第二方面，在第一种可能的实现方式中，所述方法还包括：所述主机接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。第三方面，本专利技术实施例还提供了一种计算机存储介质，所述计算机存储介质可存储有程序，该程序执行时包括第一方面所述的方法步骤。第四方面，本专利技术实施例还提供了一种计算机存储介质，所述计算机存储介质可存储有程序，该程序执行时包括第二方面所述的方法步骤。第五方面，本专利技术实施例还提供了一种通信安全处理装置，包括：接收模块，用于接收主机转发的报文，所述报文是源虚拟机发送给目标虚拟机的报文，所述报文中包括源虚拟机标识和目标虚拟机标识；检测模块，用于根据所述报文以及用户信息与安全域的映射关系确定登录所述源虚拟机的第一用户所属的安全域，以及登录所述目标虚拟机的第二用户所属的安全域；安全处理模块，用于当所述第一用户所属的安全域与所述第二用户所属的安全域相同时，根据域内安全策略对所述报文进行安全处理；当所述第一用户所属的安全域与所述第二用户所属的安全域不同时，根据域间安全策略对所述报文进行安全处理；所述检测模块包括：标识提取单元，用于提取所述报文中的源虚拟机标识和目标虚拟机标识；查找单元，用于根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，查找所述第一用户的用户信息和所述第二用户的用户信息；判断单元，用于根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域以及所述第二用户所属的安全域。结合第五方面，在第一种可能的实现方式中，所述装置还包括：获取模块，用于从认证服务器中获取用户的用户信息及用户登录设备的设备标识，所述认证服务器用于对用户信息进行认证，其中，所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息，所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识；建立模块，用于根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。第六方面，本专利技术实施例还提供了一种主机，包括：第一接收模块，用于接收源虚拟机发送给目标虚拟机的报文；标识提取模块，用于提取所述报文中包括的源虚拟机标识和目标虚拟机标识；判断模块，用于根据所述目标虚拟机标识，以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机；确定模块，用于当所述判断模块确定所述主机承载的虚拟机中包括所述目标虚拟机时，根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息，并根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域；处理模块，用于在所述第一用户所属的安全域与所述第二用户所属的安全域相同时，根据域内安全策略对所述报文进行处理；在所述第一用户所属的安全域与所述第二用户所属的安全域不同时，向安全网关转发所述报文；所述处理模块还用于当所述判断模块确定在所述主机承载的虚拟机中不包括所述目标虚拟机时，向安全网关转发所述报文。结合第六方面，在第一种可能的实现方式中，所述主机还包括：预置模块，用于接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。第七方面，本专利技术实施例还提供了一种网络设备，包括处理器、通信接口和存储器，其中，所述通信接口，用于与主机进行通信；所述存储器用于存储程序；所述处理器用于执行所述程序，以实现接本文档来自技高网...

【技术保护点】
一种通信安全处理方法，其特征在于，包括：安全网关接收主机转发的报文，所述报文是源设备发送给目标设备的报文；根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域；若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理；若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理。

【技术特征摘要】
【国外来华专利技术】1.一种通信安全处理方法，其特征在于，包括：安全网关接收主机转发的报文，所述报文是源虚拟机发送给目标虚拟机的报文，所述报文中包括源虚拟机标识和目标虚拟机标识；根据所述报文以及用户信息与安全域的映射关系，确定登录所述源虚拟机的第一用户所属的安全域，以及登录所述目标虚拟机的第二用户所属的安全域；若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理；若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理；所述根据所述报文以及用户信息与安全域的映射关系，确定登录所述源虚拟机的第一用户所属的安全域，以及登录所述目标虚拟机的第二用户所属的安全域包括：所述安全网关提取所述报文中的所述源虚拟机标识和所述目标虚拟机标识；根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，获得所述第一用户的用户信息和所述第二用户的用户信息；根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域，以及所述第二用户所属的安全域。2.如权利要求1所述的方法，其特征在于，还包括：所述安全网关从认证服务器中获取用户的用户信息及用户登录设备的设备标识，所述认证服务器用于对用户信息进行认证，其中，所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息，所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识；所述安全网关根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。3.一种通信安全处理方法，其特征在于，包括：主机接收源虚拟机发送给目标虚拟机的报文；提取所述报文中包括的源虚拟机标识和目标虚拟机标识；所述主机根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机；如果所述主机承载的虚拟机中不包括所述目标虚拟机，则向安全网关转发所述报文；如果所述主机承载的虚拟机中包括所述目标虚拟机，则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息；根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域；若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行处理；若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则向所述安全网关转发所述报文。4.如权利要求3所述的方法，其特征在于，还包括：所述主机接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。5.一种通信安全处理装置，其特征在于，包括：接收模块，用于接收主机转发的报文，所述报文是源虚拟机发送给目标虚拟机的报文，所述报文中包括源虚拟机标识和目标虚拟机标识；检测模块，用于根据所述报文以及用户信息与安全域的映射关系，确定登录所述源虚拟机的第一用户所属的安全域，以及登录所述目标虚拟机的第二用户所属的安全域；安全处理模块，用于当所述第一用户所属的安全域与所述第二用户所属的安全域相同时，根据域内安全策略对所述报文进行安全处理；当所述第一用户所属的安全域与所述第二用户所属的安全域不同时，根据域间安全策略对所述报文进行安全处理；所述检测模块包括：标识提取单元，用于提取所述报文中的源虚拟机标识和目标虚拟机标识；查找单元，用于根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，查找所述第一用户的用户信息和所述第二用户的用户信息；判断单元，用于根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域以及所述第二用户所属的安全域。6.如权利要求5所述的装置，其特征在于，还包括：获取模块，用于从认证服务器中获取用户的用户信息及用户登录设备的设备标识，所述认证服务器用于对用户信息进行认证，其中，所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息，所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识；建立模块，用于根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。7.一种主机，其特征在于，包括：第一接收模块，用于接收源虚拟机发送给目标虚拟机的报文；标识提取模块，用于提取所述报文中包括的源虚拟机标识和目标虚拟机标识；判断模块，用于根据所述目标虚拟机标识，以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机；确定模块，用于当所述判断模块确定所述主机承载的虚拟机中包括所述目标虚拟机时，根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息，并根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域；处理模块，用...

【专利技术属性】
技术研发人员：赵鸽，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44