一种通信安全处理方法、装置及系统的制作方法

一种通信安全处理方法、装置及系统的制作方法
【专利摘要】本发明实施例公开了一种通信安全处理方法、相关装置及系统，其中，所述方法包括：安全网关接收主机转发的报文，所述报文是源设备发送给目标设备的报文；根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域；若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理；若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理。本发明实施例能够根据用户信息确定用户所属的安全域，然后根据安全域是否相同来执行不同的安全处理策略，实现了安全隔离，保证了用户间的通信安全。
【专利说明】一种通信安全处理方法、装置及系统
【技术领域】
[0001]本发明涉及通信【技术领域】，尤其涉及一种通信安全处理方法、装置及系统。
【背景技术】
[0002]在传统的通信系统中，对于不同的用户之间通信所使用的隔离方式是物理隔离，即:对于每个部门用户的流量数据都会通过某个接口或者子接口传输，直接将这些接口或者子接口加入该部门对应的安全域，然后基于接口或者子接口配置安全策略进行安全隔离即可。
[0003]随着电子技术和互联网技术的发展，实现通信系统的方式越来越复杂，云计算逐渐兴起，云计算是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算的特点为:“共享”、“无边界”、“动态”，在此情况下，在云计算系统中，接口和子接口的天然物理屏障不存在了，从而无法基于接口或者子接口来进行通信过程中的安全隔离。

【发明内容】

[0004]本发明实施例提供一种通信安全处理方法、装置及系统，可以对报文进行安全隔离，实现用户间的通信安全。
[0005]一方面，本发明实施例提供了一种通信安全处理方法，包括:
[0006]安全网关接收主机转发的报文，所述报文是源设备发送给目标设备的报文；
[0007]根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域；
[0008]若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理；
[0009]若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理。
[0010]结合第一方面，在第一种可能的实现方式中，所述根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域包括:
[0011]所述安全网关提取所述报文中的源设备标识和目标设备标识；
[0012]根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，获得所述第一用户的用户信息和所述第二用户的用户信息；
[0013]根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域，以及所述第二用户所属的安全域。
[0014]结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括:
[0015]所述安全网关从认证服务器中获取用户的用户信息及用户登录设备的设备标识，所述认证服务器用于对用户信息进行认证，
[0016]所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息，所述用户登录设备的设备标识包括所述源设备标识和所述目标设备标识；
[0017]所述安全网关根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
[0018]第二方面，本发明实施例还提供了另一种通信安全处理方法，包括:
[0019]主机接收源虚拟机发送给目标虚拟机的报文；
[0020]提取所述报文中包括的源虚拟机标识和目标虚拟机标识；
[0021]如果所述主机承载的虚拟机中包括所述目标虚拟机，则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息；
[0022]根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域；
[0023]若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行处理；
[0024]若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则向安全网关转发所述报文。
[0025]结合第二方面，在第一种可能的实现方式中，所述方法还包括:
[0026]所述主机根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机；
[0027]若所述主机承载的虚拟机中不包括所述目标虚拟机，则向所述安全网关转发所述报文。
[0028]结合第二方面，或者第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括:
[0029]所述主机接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
[0030]第三方面，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质可存储有程序，该程序执行时包括第一方面所述的方法步骤。
[0031]第四方面，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质可存储有程序，该程序执行时包括第二方面所述的方法步骤。
[0032]第五方面，本发明实施例还提供了一种通信安全处理装置，包括:
[0033]接收模块，用于接收主机转发的报文，所述报文是源设备发送给目标设备的报文；
[0034]检测模块，用于根据所述报文以及用户信息与安全域的映射关系确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域；
[0035]安全处理模块，用于当所述第一用户所属的安全域与所述第二用户所属的安全域相同时，根据域内安全策略对所述报文进行安全处理；当所述第一用户所属的安全域与所述第二用户所属的安全域不同时，根据域间安全策略对所述报文进行安全处理。
[0036]结合第五方面，在第一种可能的实现方式中，所述检测模块包括:
[0037]标识提取单元，用于提取所述报文中的源设备标识和目标设备标识；[0038]查找单元，用于根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，查找所述第一用户的用户信息和所述第二用户的用户信息；
[0039]判断单元，用于根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域以及所述第二用户所属的安全域。
[0040]结合第五方面或者第五方面的第一种可能的实现方式，在第二种可能的实现方式中，所述装置还包括:
[0041]获取模块，用于从认证服务器中获取用户的用户信息及用户登录设备的设备标识，所述认证服务器用于对用户信息进行认证，其中，所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息，所述用户登录设备的设备标识包括所述源设备标识和所述目标设备标识；
[0042]建立模块，用于根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
[0043]第六方面，本发明实施例还提供了一种主机，包括:
[0044]第一接收模块，用于接收源虚拟机发送给目标虚拟机的报文；
[0045]标识提取模块，用于提取所述报文中包括的源虚拟机标识和目标虚拟机标识；
[0046]确定模块，用于当所述主机承载的虚拟机中包括所述目标虚拟机时，根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息，并根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域；
[0047]处理模块，用于在所述第一用户所属的安全域与所述第二用户所属的安全域相同时，根据域内安全策略对所述报文进行处理；在所述第一用户所属的安全域与所述第二用户所属的安全域不同时，向安全网关转发所述报文。
[0048]结合第六方面，在第一种可能的实现方式中，所述主机还包括:
[0049]判断模块，用于根据所述目标虚拟机标识，以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机；
[0050]所述处理模块还用于当所述判断模块判断在所述主机承载的虚拟机中不包括所述目标虚拟机时，向安全网关转发所述报文。
[0051]结合第六方面或者第六方面的第一种可能的实现方式，在第二种可能的实现方式中，所述装置还包括:
[0052]预置模块，用于接收并存储所述安全网关发送的所述用户信息与安全域的映射关系O
[0053]第七方面，本发明实施例还提供了一种网络设备，包括处理器、通信接口和存储器，其中，
[0054]所述通信接口，用于与主机进行通信；
[0055]所述存储器用于存储程序；
[0056]所述处理器用于执行所述程序，以实现
[0057]接收所述主机转发的报文，所述报文是源设备发送给目标设备的报文；[0058]根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域；
[0059]若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理；
[0060]若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理。
[0061]结合第七方面，在第一种可能的实现方式中，所述处理器具体用于:
[0062]提取所述报文中的源设备标识和目标设备标识；
[0063]根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，获得所述第一用户的用户信息和所述第二用户的用户信息；
[0064]根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息确定所述第一用户所属的安全域，以及所述第二用户所属的安全域。
[0065]结合第七方面，或者第七方面的第一种可能的实现方式，在第二种可能的实现方式中，所述处理器还用于:
[0066]从认证服务器中获取用户的用户信息及用户登录设备的设备标识，所述认证服务器用于对用户信息进行认证，其中，所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息，所述用户登录设备的设备标识包括所述源设备标识和所述目标设备标识；
[0067]根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
[0068]第八方面，本发明实施例还提供了一种主机，包括处理器、通信接口和存储器，其中，
[0069]所述通信接口，用于与虚拟机及安全网关进行通信；
[0070]所述存储器用于存储程序；
[0071]所述处理器用于执行所述程序，以实现
[0072]接收源虚拟机发送给目标虚拟机的报文；
[0073]提取所述报文中包括的源虚拟机标识和目标虚拟机标识；
[0074]如果所述主机承载的虚拟机中包括所述目标虚拟机，则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息；
[0075]根据确定的所述第一用户的用户信息和第二用户的用户信息以及设置的用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域；
[0076]若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行处理；
[0077]若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则向安全网关转发所述报文。
[0078]结合第八方面，在第一种可能的实现方式中，所述处理器还用于实现:
[0079]根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机；
[0080]若所述主机承载的虚拟机中不包括所述目标虚拟机，则向所述安全网关转发所述报文。
[0081]结合第八方面，或者第八方面的第一种可能的实现方式，在第二种可能的实现方式中，所述处理器还用于实现:
[0082]接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
[0083]第九方面，本发明实施例还提供了一种通信系统，包括安全网关和主机；
[0084]所述主机，用于接收源虚拟机发送给目标虚拟机的报文；提取所述报文中包括的源虚拟机标识和目标虚拟机标识；如果所述主机承载的虚拟机中包括所述目标虚拟机，则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息；根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域；若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行处理；若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则向所述安全网关转发所述报文；
[0085]所述安全网关，用于接收所述主机转发的所述报文，根据所述报文以及用户信息与安全域的映射关系确定所述第一用户所属的安全域以及所述第二用户所属的安全域；若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理；若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理。
[0086]结合第九方面，在第一种可能的实现方式中，所述主机还用于:
[0087]根据所述目标虚拟机标识，以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机；
[0088]如果所述主机承载的虚拟机中不包括所述目标虚拟机，则向所述安全网关转发所述报文。
[0089]本发明实施例能够在源设备与目标设备之间传输报文时，根据用户信息与安全域的映射关系，确定登录源设备的第一用户和登录目标设备的第二用户是否属于相同安全域，并根据判断结果以及设置的安全策略对所述报文进行相应处理。由于安全域是与用户信息对应的，而用户信息一旦经过认证服务器等设备鉴权后就不会发生变化，尤其在使用虚拟机的场景下，即使虚拟机可能在不同的物理位置迁移，使用虚拟机的用户的用户信息也不会变化，因此，不论是在传统由物理机组成的通信系统中还是在使用虚拟机等云计算系统中，本发明实施例所述方法均可以有效地对用户间的通信报文进行安全隔离，保证用户之间的通信安全。
【专利附图】

【附图说明】
[0090]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
[0091]图1是本发明实施例的一种通信安全处理方法的应用场景图；[0092]图2是本发明实施例的一种通信安全处理方法的流程示意图；
[0093]图3是本发明实施例的另一种通信安全处理方法的流程示意图；
[0094]图4是本发明实施例的又一种通信安全处理方法的流程示意图；
[0095]图5是本发明实施例的再一种通信安全处理方法的流程示意图；
[0096]图6是本发明实施例的一种通信安全处理装置的结构示意图；
[0097]图7是本发明实施例的另一种通信安全处理装置的结构示意图；
[0098]图8是图7中的检测模块的其中一种具体结构示意图；
[0099]图9是图7中的检测模块的其中另一种具体结构示意图；
[0100]图10是本发明实施例的一种主机的结构示意图；
[0101]图11是本发明实施例的另一种主机的结构示意图；
[0102]图12是本发明实施例的一种网络设备的结构示意图；
[0103]图13是本发明实施例的一种主机的结构组成示意图；
[0104]图14是本发明实施例的一种安全通信系统的结构组成示意图。
【具体实施方式】
[0105]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
[0106]本发明实施例的通信安全处理方法可应用于各类通信系统中设备之间的通信，特别是目前的云计算系统中各虚拟机、物理机之间的通信。
[0107]图1是本发明实施例的一种通信安全处理方法的应用场景图，如图1所示，该应用场景的系统中包括主机21、22、31和32、安全网关I，主机包括计算机等物理设备，主机上可以承载运行多个虚拟机，也就是说，主机是虚拟机运行的物理载体。具体在图1中，在主机21上承载运行有虚拟机211、虚拟机212，主机22上承载运行有虚拟机221和虚拟机222，主机31和主机32为两个物理机(计算机)，可以理解的是，在主机31或主机32上也可以承载运行有虚拟机，在此不再赘述。
[0108]用户可以通过其注册的用户信息登录到该通信系统，通过其登录的主机或者虚拟机与网络中的其他用户通信，例如，用户可以通过其登录的虚拟机211与登录虚拟机212的用户通信，也可以与当前登录虚拟机221或222的用户进行通信，还可以与当前登录主机
31、主机32的用户进行通信。
[0109]由于不同用户之间所处的安全级别、工作部门等因素并不相同，因此，登录到系统的用户与系统其他用户通信的过程中，需要通过对报文进行安全处理从而达到对用户的通信行为进行安全隔离。
[0110]请参见图2，图2是本发明实施例的一种通信安全处理方法的流程示意图，可应用在云计算系统中，该方法可以由图1中所示的安全网关I来执行，该方法可以包括:
[0111]SlOl:安全网关接收主机转发的报文，所述报文是源设备发送给目标设备的报文；
[0112]其中，主机包括计算机等物理设备，所述主机上可以承载运行多个虚拟机。所述源设备或目标设备可以为虚拟机、也可以为物理机。
[0113]S102:根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域。
[0114]本发明实施例中，安全域是与用户信息对应的，也即安全域是根据用户的用户信息进行设置的。
[0115]登录设备的用户，是指使用该设备的用户、或者通过该设备访问系统的用户、或者接入该设备的用户，本发明对此不作限定。
[0116]通信系统中通常会基于安全域的划分来保证用户之间的通信安全，其中，安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。
[0117]安全域通常可以包括:非受信区域(Untrust)、非军事化区域(DMZ)、受信区域(Trust)以及本地区域(Local),如下表1所示:
[0118]表1:
[0119]
【权利要求】
1.一种通信安全处理方法，其特征在于，包括: 安全网关接收主机转发的报文，所述报文是源设备发送给目标设备的报文； 根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域； 若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理； 若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理。
2.如权利要求1所述的方法，其特征在于，所述根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域包括: 所述安全网关提取所述报文中的源设备标识和目标设备标识； 根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，获得所述第一用户的用户信息和所述第二用户的用户信息； 根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域，以及所述第二用户所属的安全域。
3.如权利要求2所述的方法，其特征在于，还包括: 所述安全网关从认证服务器中获取用户的用户信息及用户登录设备的设备标识，所述认证服务器用于对用户信息进·行认证，其中，所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息，所述用户登录设备的设备标识包括所述源设备标识和所述目标设备标识； 所述安全网关根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
4.一种通信安全处理方法，其特征在于，包括: 主机接收源虚拟机发送给目标虚拟机的报文； 提取所述报文中包括的源虚拟机标识和目标虚拟机标识； 如果所述主机承载的虚拟机中包括所述目标虚拟机，则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息； 根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域； 若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行处理； 若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则向安全网关转发所述报文。
5.如权利要求4所述的方法，其特征在于，还包括: 所述主机根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机； 若所述主机承载的虚拟机中不包括所述目标虚拟机，则向所述安全网关转发所述报文。
6.如权利要求4或5所述的方法，其特征在于，还包括: 所述主机接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
7.一种通信安全处理装置，其特征在于，包括: 接收模块，用于接收主机转发的报文，所述报文是源设备发送给目标设备的报文； 检测模块，用于根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域； 安全处理模块，用于当所述第一用户所属的安全域与所述第二用户所属的安全域相同时，根据域内安全策略对所述报文进行安全处理；当所述第一用户所属的安全域与所述第二用户所属的安全域不同时，根据域间安全策略对所述报文进行安全处理。
8.如权利要求7所述的装置，其特征在于，所述检测模块包括: 标识提取单元，用于提取所述报文中的源设备标识和目标设备标识； 查找单元，用于根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，查找所述第一用户的用户信息和所述第二用户的用户信息； 判断单元，用于根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域以及所述第二用户所属的安全域。
9.如权利要求7或8所述的装置，其特征在于，还包括: 获取模块，用于从认证服务器`中获取用户的用户信息及用户登录设备的设备标识，所述认证服务器用于对用户信息进行认证，其中，所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息，所述用户登录设备的设备标识包括所述源设备标识和所述目标设备标识； 建立模块，用于根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
10.一种主机，其特征在于，包括: 第一接收模块，用于接收源虚拟机发送给目标虚拟机的报文； 标识提取模块，用于提取所述报文中包括的源虚拟机标识和目标虚拟机标识； 确定模块，用于当所述主机承载的虚拟机中包括所述目标虚拟机时，根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息，并根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域； 处理模块，用于在所述第一用户所属的安全域和第二用户所属的安全域相同时，根据域内安全策略对所述报文进行处理；在所述第一用户所属的安全域和第二用户所属的安全域不同时，向安全网关转发所述报文。
11.如权利要求10所述的主机，其特征在于，还包括: 判断模块，用于根据所述目标虚拟机标识，以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机； 所述处理模块还用于当所述判断模块判断在所述主机承载的虚拟机中不包括所述目标虚拟机时，向安全网关转发所述报文。
12.如权利要求10或11所述的主机，其特征在于，还包括: 预置模块，用于接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
13.—种网络设备，其特征在于，包括处理器、通信接口和存储器，其中， 所述通信接口，用于与主机进行通信； 所述存储器用于存储程序； 所述处理器用于执行所述程序，以实现 接收所述主机转发的报文，所述报文是源设备发送给目标设备的报文； 根据所述报文以及用户信息与安全域的映射关系，确定登录所述源设备的第一用户所属的安全域，以及登录所述目标设备的第二用户所属的安全域； 若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理； 若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理。
14.如权利要求13所述的网络设备，其特征在于，所述处理器具体用于: 提取所述报文中的源设 备标识和目标设备标识； 根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，获得所述第一用户的用户信息和所述第二用户的用户信息； 根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息确定所述第一用户所属的安全域，以及所述第二用户所属的安全域。
15.如权利要求13或14所述的网络设备，其特征在于，所述处理器还用于:从认证服务器中获取用户的用户信息及用户登录设备的设备标识，所述认证服务器用于对用户信息进行认证，其中，所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息，所述用户登录设备的设备标识包括所述源设备标识和所述目标设备标识；根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
16.一种主机，其特征在于，包括处理器、通信接口和存储器，其中， 所述通信接口，用于与虚拟机及安全网关进行通信； 所述存储器用于存储程序； 所述处理器用于执行所述程序，以实现 接收源虚拟机发送给目标虚拟机的报文； 提取所述报文中包括的源虚拟机标识和目标虚拟机标识； 如果所述主机承载的虚拟机中包括所述目标虚拟机，则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息； 根据确定的所述第一用户的用户信息和第二用户的用户信息以及设置的用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域； 若所述第一用户所属的安全域和所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行处理； 若所述第一用户所属的安全域和所述第二用户所属的安全域不同，则向安全网关转发所述报文。
17.如权利要求16所述的主机，其特征在于，所述处理器还用于实现: 根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机； 若所述主机承载的虚拟机中不包括所述目标虚拟机，则向所述安全网关转发所述报文。
18.如权利要求16或17所述的主机，其特征在于，所述处理器还用于实现: 接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
19.一种通信系统，其特征在于，包括安全网关和主机； 所述主机，用于接收源虚拟机发送给目标虚拟机的报文；提取所述报文中包括的源虚拟机标识和目标虚拟机标识；如果所述主机承载的虚拟机中包括所述目标虚拟机，则根据设备标识与用户信息的映射关系、 以及所述源虚拟机标识和所述目标虚拟机标识，确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息；根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息，确定所述第一用户所属的安全域与所述第二用户所属的安全域；若所述第一用户所属的安全域和第二用户所属的安全域相同，则根据域内安全策略对所述报文进行处理；若所述第一用户所属的安全域和第二用户所属的安全域不同，则向所述安全网关转发所述报文； 所述安全网关，用于接收所述主机转发的所述报文，根据所述报文以及用户信息与安全域的映射关系确定所述第一用户所属的安全域以及所述第二用户所属的安全域；若所述第一用户所属的安全域与所述第二用户所属的安全域相同，则根据域内安全策略对所述报文进行安全处理；若所述第一用户所属的安全域与所述第二用户所属的安全域不同，则根据域间安全策略对所述报文进行安全处理。
20.如权利要求19所述的通信系统，其特征在于，所述主机还用于: 根据所述目标虚拟机标识，以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机； 如果所述主机承载的虚拟机中不包括所述目标虚拟机，则向所述安全网关转发所述报文。
【文档编号】H04L29/06GK103718527SQ201380000388
【公开日】2014年4月9日 申请日期:2013年3月30日 优先权日:2013年3月30日
【发明者】赵鸽 申请人:华为技术有限公司