CN103718527B - 一种通信安全处理方法、装置及系统 - Google Patents
一种通信安全处理方法、装置及系统 Download PDFInfo
- Publication number
- CN103718527B CN103718527B CN201380000388.9A CN201380000388A CN103718527B CN 103718527 B CN103718527 B CN 103718527B CN 201380000388 A CN201380000388 A CN 201380000388A CN 103718527 B CN103718527 B CN 103718527B
- Authority
- CN
- China
- Prior art keywords
- user
- virtual machine
- security
- user profile
- security domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种通信安全处理方法、相关装置及系统,其中,所述方法包括:安全网关接收主机转发的报文,所述报文是源设备发送给目标设备的报文;根据所述报文以及用户信息与安全域的映射关系,确定登录所述源设备的第一用户所属的安全域,以及登录所述目标设备的第二用户所属的安全域;若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理。本发明实施例能够根据用户信息确定用户所属的安全域,然后根据安全域是否相同来执行不同的安全处理策略,实现了安全隔离,保证了用户间的通信安全。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种通信安全处理方法、装置及系统。
背景技术
在传统的通信系统中,对于不同的用户之间通信所使用的隔离方式是物理隔离,即:对于每个部门用户的流量数据都会通过某个接口或者子接口传输,直接将这些接口或者子接口加入该部门对应的安全域,然后基于接口或者子接口配置安全策略进行安全隔离即可。
随着电子技术和互联网技术的发展,实现通信系统的方式越来越复杂,云计算逐渐兴起,云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算的特点为:“共享”、“无边界”、“动态”,在此情况下,在云计算系统中,接口和子接口的天然物理屏障不存在了,从而无法基于接口或者子接口来进行通信过程中的安全隔离。
发明内容
本发明实施例提供一种通信安全处理方法、装置及系统,可以对报文进行安全隔离,实现用户间的通信安全。
一方面,本发明实施例提供了一种通信安全处理方法,包括:
安全网关接收主机转发的报文,所述报文是源虚拟机发送给目标虚拟机的报文,所述报文中包括源虚拟机标识和目标虚拟机标识;
根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标设备的第二用户所属的安全域;
若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;
若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理;
所述根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标虚拟机的第二用户所属的安全域包括:
所述安全网关提取所述报文中的源虚拟机标识和目标虚拟机标识;
根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,获得所述第一用户的用户信息和所述第二用户的用户信息;
根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域,以及所述第二用户所属的安全域。
结合第一方面,在第一种可能的实现方式中,所述方法还包括:
所述安全网关从认证服务器中获取用户的用户信息及用户登录设备的设备标识,所述认证服务器用于对用户信息进行认证,
所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息,所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识;
所述安全网关根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
第二方面,本发明实施例还提供了另一种通信安全处理方法,包括:
主机接收源虚拟机发送给目标虚拟机的报文;
提取所述报文中包括的源虚拟机标识和目标虚拟机标识;
所述主机根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;
如果所述主机承载的虚拟机中不包括所述目标虚拟机,则向所述安全网关转发所述报文;
如果所述主机承载的虚拟机中包括所述目标虚拟机,则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息;
根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;
若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行处理;
若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则向安全网关转发所述报文。
结合第二方面,在第一种可能的实现方式中,所述方法还包括:
所述主机接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
第三方面,本发明实施例还提供了一种计算机存储介质,所述计算机存储介质可存储有程序,该程序执行时包括第一方面所述的方法步骤。
第四方面,本发明实施例还提供了一种计算机存储介质,所述计算机存储介质可存储有程序,该程序执行时包括第二方面所述的方法步骤。
第五方面,本发明实施例还提供了一种通信安全处理装置,包括:
接收模块,用于接收主机转发的报文,所述报文是源虚拟机发送给目标虚拟机的报文,所述报文中包括源虚拟机标识和目标虚拟机标识;
检测模块,用于根据所述报文以及用户信息与安全域的映射关系确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标虚拟机的第二用户所属的安全域;
安全处理模块,用于当所述第一用户所属的安全域与所述第二用户所属的安全域相同时,根据域内安全策略对所述报文进行安全处理;当所述第一用户所属的安全域与所述第二用户所属的安全域不同时,根据域间安全策略对所述报文进行安全处理;
所述检测模块包括:
标识提取单元,用于提取所述报文中的源虚拟机标识和目标虚拟机标识;
查找单元,用于根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,查找所述第一用户的用户信息和所述第二用户的用户信息;
判断单元,用于根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域以及所述第二用户所属的安全域。
结合第五方面,在第一种可能的实现方式中,所述装置还包括:
获取模块,用于从认证服务器中获取用户的用户信息及用户登录设备的设备标识,所述认证服务器用于对用户信息进行认证,其中,所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息,所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识;
建立模块,用于根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
第六方面,本发明实施例还提供了一种主机,包括:
第一接收模块,用于接收源虚拟机发送给目标虚拟机的报文;
标识提取模块,用于提取所述报文中包括的源虚拟机标识和目标虚拟机标识;
判断模块,用于根据所述目标虚拟机标识,以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;
确定模块,用于当所述判断模块确定所述主机承载的虚拟机中包括所述目标虚拟机时,根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息,并根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;
处理模块,用于在所述第一用户所属的安全域与所述第二用户所属的安全域相同时,根据域内安全策略对所述报文进行处理;在所述第一用户所属的安全域与所述第二用户所属的安全域不同时,向安全网关转发所述报文;
所述处理模块还用于当所述判断模块确定在所述主机承载的虚拟机中不包括所述目标虚拟机时,向安全网关转发所述报文。
结合第六方面,在第一种可能的实现方式中,所述主机还包括:
预置模块,用于接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
第七方面,本发明实施例还提供了一种网络设备,包括处理器、通信接口和存储器,其中,
所述通信接口,用于与主机进行通信;
所述存储器用于存储程序;
所述处理器用于执行所述程序,以实现
接收所述主机转发的报文,所述报文是源虚拟机发送给目标虚拟机的报文;
根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标虚拟机的第二用户所属的安全域;
若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;
若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理;
所述处理器具体用于:
提取所述报文中的源虚拟机标识和目标虚拟机标识;
根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,获得所述第一用户的用户信息和所述第二用户的用户信息;
根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息确定所述第一用户所属的安全域,以及所述第二用户所属的安全域。
结合第七方面,在第一种可能的实现方式中,所述处理器还用于:
从认证服务器中获取用户的用户信息及用户登录设备的设备标识,所述认证服务器用于对用户信息进行认证,其中,所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息,所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识;
根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
第八方面,本发明实施例还提供了一种主机,包括处理器、通信接口和存储器,其中,
所述通信接口,用于与虚拟机及安全网关进行通信;
所述存储器用于存储程序;
所述处理器用于执行所述程序,以实现
接收源虚拟机发送给目标虚拟机的报文;
提取所述报文中包括的源虚拟机标识和目标虚拟机标识;
根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;
如果所述主机承载的虚拟机中不包括所述目标虚拟机,则向所述安全网关转发所述报文;
如果所述主机承载的虚拟机中包括所述目标虚拟机,则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息;
根据确定的所述第一用户的用户信息和第二用户的用户信息以及设置的用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;
若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行处理;
若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则向安全网关转发所述报文。
结合第八方面,在第一种可能的实现方式中,所述处理器还用于实现:
接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
第九方面,本发明实施例还提供了一种通信系统,包括安全网关和主机;
所述主机,用于接收源虚拟机发送给目标虚拟机的报文;提取所述报文中包括的源虚拟机标识和目标虚拟机标识;根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;如果所述主机承载的虚拟机中不包括所述目标虚拟机,则向所述安全网关转发所述报文;如果所述主机承载的虚拟机中包括所述目标虚拟机,则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息;根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行处理;若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则向所述安全网关转发所述报文;
所述安全网关,用于接收所述主机转发的所述报文,提取所述报文中的源虚拟机标识和目标虚拟机标识;根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,获得所述第一用户的用户信息和所述第二用户的用户信息;根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息确定所述第一用户所属的安全域,以及所述第二用户所属的安全域;若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理。
本发明实施例能够在源设备与目标设备之间传输报文时,根据用户信息与安全域的映射关系,确定登录源设备的第一用户和登录目标设备的第二用户是否属于相同安全域,并根据判断结果以及设置的安全策略对所述报文进行相应处理。由于安全域是与用户信息对应的,而用户信息一旦经过认证服务器等设备鉴权后就不会发生变化,尤其在使用虚拟机的场景下,即使虚拟机可能在不同的物理位置迁移,使用虚拟机的用户的用户信息也不会变化,因此,不论是在传统由物理机组成的通信系统中还是在使用虚拟机等云计算系统中,本发明实施例所述方法均可以有效地对用户间的通信报文进行安全隔离,保证用户之间的通信安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1是本发明实施例的一种通信安全处理方法的应用场景图;
图2是本发明实施例的一种通信安全处理方法的流程示意图;
图3是本发明实施例的另一种通信安全处理方法的流程示意图;
图4是本发明实施例的又一种通信安全处理方法的流程示意图;
图5是本发明实施例的再一种通信安全处理方法的流程示意图;
图6是本发明实施例的一种通信安全处理装置的结构示意图;
图7是本发明实施例的另一种通信安全处理装置的结构示意图;
图8是图7中的检测模块的其中一种具体结构示意图;
图9是图7中的检测模块的其中另一种具体结构示意图;
图10是本发明实施例的一种主机的结构示意图;
图11是本发明实施例的另一种主机的结构示意图;
图12是本发明实施例的一种网络设备的结构示意图;
图13是本发明实施例的一种主机的结构组成示意图;
图14是本发明实施例的一种安全通信系统的结构组成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
本发明实施例的通信安全处理方法可应用于各类通信系统中设备之间的通信,特别是目前的云计算系统中各虚拟机、物理机之间的通信。
图1是本发明实施例的一种通信安全处理方法的应用场景图,如图1所示,该应用场景的系统中包括主机21、22、31和32、安全网关1,主机包括计算机等物理设备,主机上可以承载运行多个虚拟机,也就是说,主机是虚拟机运行的物理载体。具体在图1中,在主机21上承载运行有虚拟机211、虚拟机212,主机22上承载运行有虚拟机221和虚拟机222,主机31和主机32为两个物理机(计算机),可以理解的是,在主机31或主机32上也可以承载运行有虚拟机,在此不再赘述。
用户可以通过其注册的用户信息登录到该通信系统,通过其登录的主机或者虚拟机与网络中的其他用户通信,例如,用户可以通过其登录的虚拟机211与登录虚拟机212的用户通信,也可以与当前登录虚拟机221或222的用户进行通信,还可以与当前登录主机31、主机32的用户进行通信。
由于不同用户之间所处的安全级别、工作部门等因素并不相同,因此,登录到系统的用户与系统其他用户通信的过程中,需要通过对报文进行安全处理从而达到对用户的通信行为进行安全隔离。
请参见图2,图2是本发明实施例的一种通信安全处理方法的流程示意图,可应用在云计算系统中,该方法可以由图1中所示的安全网关1来执行,该方法可以包括:
S101:安全网关接收主机转发的报文,所述报文是源设备发送给目标设备的报文;
其中,主机包括计算机等物理设备,所述主机上可以承载运行多个虚拟机。所述源设备或目标设备可以为虚拟机、也可以为物理机。
S102:根据所述报文以及用户信息与安全域的映射关系,确定登录所述源设备的第一用户所属的安全域,以及登录所述目标设备的第二用户所属的安全域。
本发明实施例中,安全域是与用户信息对应的,也即安全域是根据用户的用户信息进行设置的。
登录设备的用户,是指使用该设备的用户、或者通过该设备访问系统的用户、或者接入该设备的用户,本发明对此不作限定。
通信系统中通常会基于安全域的划分来保证用户之间的通信安全,其中,安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。
安全域通常可以包括:非受信区域(Untrust)、非军事化区域(DMZ)、受信区域(Trust)以及本地区域(Local),如下表1所示:
表1:
在实际应用中,可以根据设置的域内安全策略或域间安全策略对用户之间的通信报文进行安全处理,其中,域内安全策略包括相同的安全区域之间的通信策略,例如:Trust域与Trust域的用户之间的通信策略,或UnTrust域与UnTrust域的用户之间的通信策略;域间安全策略包括不同的安全区域之间的通信策略,例如:Trust域与UnTrust域的用户之间的通信策略,或Trust域与Local域的用户之间的通信策略。例如,域内安全策略可以为:直接转发报文;域间安全策略可以为:对报文进行过滤后转发或两个安全域间不可通信。具体的,例如,可以设置Trust域内的用户之间可以相互通信,直接对Trust域内的用户之间的通信报文进行转发;可以设置Trust域内的用户与UnTrust域内的用户之间不能通信;或者可以设置Trust域内的用户与DMZ域内的用户之间的通信报文需要经过过滤后转发。实际应用中,可以根据实际需要对安全域内及安全域间的安全策略进行设定,例如,可以分别设置多个域内安全策略,设置的域内安全策略可以包括但不限于:Trust域与Trust域的用户之间的安全策略、UnTrust域与UnTrust域的用户之间的安全策略、Local域与Local域的用户之间的安全策略。也可以在不同的安全域之间分别设置多个不同的域间安全策略,例如,设置的域间安全策略可以包括但不限于:Trust域的用户访问UnTrust域的用户的安全策略、UnTrust域的用户访问Trust域的用户的安全策略、Trust域的用户访问DMZ域的用户的安全策略、DMZ域的用户访问Trust域的用户的安全策略、Trust域的用户访问Local域的用户的安全策略、DMZ域的用户访问UnTrust域的用户的安全策略、DMZ域的用户访问Local域的用户的安全策略等等。
需要说明的是,上述对安全域、域内安全策略及域间安全策略的描述仅仅是一种示例,实际应用中还可以设置其他安全域、域内安全策略及域间安全策略,在此不做限定。
由于报文中携带有源设备的设备标识和目标设备的设备标识,其中,设备标识可以为物理机的IP地址、MAC(Media Access Control,介质访问控制)地址、或虚拟机的VMAC(Virtual Media Access Control,虚拟的介质访问控制)地址等。因此,安全网关可以根据预置的设备标识与用户信息的映射关系、以及报文中携带的源设备标识和目标设备标识,确定出使用源设备的第一用户的用户信息和使用目标设备的第二用户的用户信息,并在预置的用户信息与安全域的映射关系中查找确定所述第一用户和所述第二用户所属的安全域,从而确定第一用户所属的安全域和第二用户所属的安全域是否相同。
在本发明实施例中,安全域是根据用户的用户信息进行设置的,可以预先在安全网关设置用户信息与安全域的映射关系,具体的,可以根据用户所处的部门或级别等信息对用户进行分组,还可以根据用户的部门以及级别等信息对用户进行分组,将不同分组的用户信息加入到不同的安全域中,与安全域进行关联,从而形成用户信息与安全域的映射关系。其中,用户信息可以包括该用户登录通信系统的用户名以及所属的用户组等信息,用户组可以包括用户所处的部门或级别等信息。用户信息用于唯一标识用户,且用户信息一旦经过认证服务器等设备鉴权后,通常不会发生变化。
需要说明的是,所述报文不仅包括初次通信时的通信建立请求,也可以为两个设备在通信过程中传输的数据等。
S103:若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;
所述第一用户所属的安全域与所述第二用户所属的安全域相同,举例来说,第一用户属于Trust域,且第二用户也属于Trust域;或者,第一用户属于UnTrust域,且第二用户也属于UnTrust域;或者,第一用户属于Local域,且第二用户也属于Local域。
在相同安全域内,表明两个用户之间的安全级别相同,安全网关根据预置的域内安全策略对所述报文进行处理,例如,如果两个用户均属于Trust域,则可以直接将报文转发给目标设备。
S104:若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理。
所述第一用户所属的安全域与所述第二用户所属的安全域不同,举例来说,第一用户属于Trust域,第二用户属于UnTrust域;或者,第一用户属于UnTrust域的用户,第二用户属于Trust域;或者,第一用户属于Trust域,第二用户属于DMZ域;或者第一用户属于DMZ域,第二用户属于Trust域;或者,第一用户属于Trust域,第二用户属于Local域;或者,第一用户属于DMZ域,第二用户属于UnTrust域;或者,第一用户属于DMZ域,第二用户属于Local域。
如果所述第一用户所属的安全域与所述第二用户所属的安全域不同,则表明两个用户之间的安全级别不相同,需要根据预置的相应的域间安全策略对报文进行处理,例如:对所述报文进行安全过滤后再转发给目标设备,或者拒绝将所述报文转发给所述目标设备。例如,当第一用户属于UnTrust域,第二用户属于Trust域时,若设置的UnTrust域的用户访问Trust域的用户的安全策略为拒绝转发报文,则安全网关可以按照该策略拒绝将报文转发给目标设备。
本发明实施例能够在源设备与目标设备之间传输报文时,根据用户信息与安全域的映射关系,确定登录源设备的第一用户和登录目标设备的第二用户是否属于相同安全域,并根据判断结果以及设置的安全策略对所述报文进行相应处理。由于本发明实施例中安全域是与用户信息对应的,而用户信息一旦经过认证服务器等设备鉴权后就不会发生变化,尤其在使用虚拟机的场景下,即使虚拟机可能在不同的物理位置迁移,使用虚拟机的用户的用户信息也不会变化,因此,不论是在传统由物理机组成的通信系统中还是在使用虚拟机等云计算系统中,本发明实施例所述方法均可以有效地对用户间的通信报文进行安全隔离,保证用户之间的通信安全。
再请参见图3,图3为本发明实施例的另一种通信安全处理方法的流程示意图;本发明实施例所述的方法包括:
S201:在安全网关中预置用户信息与安全域的映射关系。
用户可通过填写包括用户名、所属用户组等用户信息的方式完成申请注册。认证服务器中记录该用户的用户信息,以便于对用户后续登录时的鉴权认证。
所述安全域是根据用户的用户信息进行设置的,管理员可通过人工的方式将用户对应的用户信息与已设置的安全域关联,实现在安全网关中完成用户信息与安全域的映射关系的预置。
S202:在安全网关中预置域内安全策略和域间安全策略。
对于域内安全策略,可预置较为简单的、对CPU(Central Processing Unit,中央处理器)等硬件资源消耗较小的安全策略,例如直接转发等安全策略。而对于不同的安全域之间的域间安全策略,可以设置为对所述报文进行安全过滤后再转发给目标设备,或者拒绝将所述报文转发给所述目标设备等。需要说明的是,可以根据设置的安全域的情况分别设置多个不同的域内安全策略以及域间安全策略,具体如上述实施例所述,在此不再赘述。
S203:安全网关从认证服务器中获取用户的用户信息及用户登录设备的设备标识。
具体的,用户需要使用云计算系统时,需要输入用户信息,由认证服务器对其用户信息进行鉴权认证,认证通过后,认证服务器会记录该用户的用户信息以及该用户登录设备的设备标识,设备标识可以包括IP地址、物理机设备的MAC或者虚拟机的VMAC等。其中,所述用户包括登录源设备的第一用户和登录目标设备的第二用户,所述用户登录的设备包括源设备和目标设备,相应地,所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息,所述用户登录设备的设备标识包括所述源设备标识和所述目标设备标识,且源设备或目标设备可以为虚拟机也可以为物理机。
安全网关可以从认证服务器中读取当前登录的每一个用户的用户信息以及登录设备的设备标识。可以理解的,安全网关可以周期性地从认证服务器中获取用户信息及设备标识;认证服务器也可以在对每一个用户信息鉴权通过后将该用户信息以及其登录设备的设备标识主动通知给所述安全网关。
S204:安全网关根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
其中,设备标识与用户信息的映射关系可以为安全网关中维护的映射表。
S205:接收主机转发的报文,所述报文是源设备发送给目标设备的报文。
S206:根据所述报文以及用户信息与安全域的映射关系,确定登录所述源设备的第一用户所属的安全域,以及登录所述目标设备的第二用户所属的安全域。
具体的,所述S206可以包括:安全网关提取所述报文中的源设备标识和目标设备标识;根据源设备标识,查找设备标识与用户信息的映射关系,获得所述第一用户的用户信息;根据目标设备标识,查找设备标识与用户信息的映射关系,获得所述第二用户的用户信息;根据所述第一用户的用户信息以及预设的用户信息与安全域的映射关系确定所述第一用户所属的安全域;根据所述第二用户的用户信息以及预设的用户信息与安全域的映射关系确定所述第二用户所属的安全域;根据确定的所述第一用户所属的安全域和确定的所述第二用户所属的安全域判定所述第一用户和所述第二用户是否属于相同的安全域。
在另一种情形下,所述S206还可以包括:安全网关提取所述报文中携带的安全域指示信息,所述安全域指示信息用于指示所述第一用户和所述第二用户属于不同安全域;根据所述安全域指示信息,确定所述第一用户和所述第二用户属于不同的安全域。
在这种情形下,主机可以根据所述报文检测所述报文的源设备的第一用户和目标设备的第二用户是否属于相同的安全域,并在确定属于不同的安全域后将安全域指示信息携带在报文中发送给安全网关。
S207:若所述第一用户所属的安全域与所述第二用户所属的安全域相同,安全网关则根据域内安全策略对所述报文进行安全处理;
S208:若所述第一用户所属的安全域与所述第二用户所属的安全域不同,安全网关则根据域间安全策略对所述报文进行安全处理。
若所述第一用户与所述第二用户在相同安全域内,表明两个用户之间的安全级别相同,安全网关根据预置的域内安全策略对所述报文进行处理,例如将报文直接转发给目标设备。如果所述第一用户所属的安全域与所述第二用户所属的安全域不同,则表明两个用户之间的安全级别不相同,需要根据预置的域间安全策略对报文进行处理,例如:对所述报文进行安全过滤后再转发给目标设备,或者拒绝将所述报文转发给所述目标设备。
实际应用中,可以在不同的安全域之间分别设置不同的域间安全策略。在本发明实施例中,例如,设置的域间策略可以包括:Trust域与UnTrust域之间的安全策略、Trust域与DMZ域之间的安全策略、Trust域与Local域之间的安全策略、DMZ域与UnTrust域之间的安全策略、DMZ域与Local域之间的安全策略等等。具体的域内安全策略与域间安全策略的设置的描述请参见图2所示实施例,在此不再赘述。
本发明实施例所述的方法在源设备与目标设备进行通信时,无论是虚拟机之间的通信、物理机之间的通信或虚拟机与物理机之间的通信,均能够直接根据配置的映射关系表,确定登录源设备的第一用户和登录目标设备的第二用户是否属于相同安全域,以执行不同的安全策略,由于用户的用户信息一旦经过认证服务器等设备鉴权后就不会发生变化,尤其在使用虚拟机的场景下,即使虚拟机可能在不同的物理位置迁移,使用虚拟机的用户的用户信息也不会变化,因此,不论是在传统由物理机组成的通信系统中还是在使用虚拟机等云计算系统中,可以有效地对用户间的通信报文进行安全隔离,保证用户之间的通信安全。
再请参见图4,是本发明实施例的又一种通信安全处理方法的流程示意图;本发明实施例从承载有多个虚拟机的主机侧对本发明的通信安全处理方法进行详细描述,本发明实施例中的主机承载有多个虚拟机,也就是说,该主机是其承载的多个虚拟机运行的物理载体。本发明实施例的所述方法包括:
S301:主机接收源虚拟机发送给目标虚拟机的报文。
用户在采用现有的登录方式登录到云计算系统中的虚拟机后,可以通过其登录的虚拟机及主机向系统中的其他用户发送报文。
需要说明的是,在本发明实施例中,在一种情况下,主机可以对接收的所述报文不做任何处理,直接转发给安全网关,则安全网关可以按照上述图2-图3所示的实施例的方法对报文进行处理。在另一种情况下,主机也可以进入S302,按照下面描述的方法对接收的报文进行处理。
S302:提取所述报文中包括的源虚拟机标识和目标虚拟机标识。
S303:如果所述主机承载的虚拟机中包括所述目标虚拟机,则根据设置的设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息。
主机可以通过虚拟机设备标识表记录其所承载运行的每一个虚拟机的虚拟机标识(如虚拟机的VMAC)。因此,在接收到源虚拟机发送的报文时,主机能够根据报文中携带的目标虚拟机标识判断该报文的目标虚拟机是否也是由本主机承载运行。若是,则分别确定第一用户和第二用户的用户信息。
具体地,主机可以根据所述源虚拟机标识,查找所述设备标识与用户信息的映射关系,确定登录所述源虚拟机的第一用户的用户信息;根据所述目标虚拟机标识,查找所述设备标识与用户信息的映射关系,确定登录所述目标虚拟机的第二用户的用户信息。
S304:根据确定的所述第一用户的用户信息和第二用户的用户信息以及设置的用户信息与安全域的映射关系,确定所述第一用户所属的安全域与所述第二用户所属的安全域。
具体地,根据所述第一用户的用户信息以及预设的用户信息与安全域的映射关系确定所述第一用户所属的安全域;根据所述第二用户的用户信息以及预设的用户信息与安全域的映射关系确定所述第二用户所属的安全域;根据确定的所述第一用户所属的安全域和确定的所述第二用户所属的安全域判定所述第一用户和所述第二用户是否属于相同的安全域。
其中,本发明实施例所述的安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。本发明实施例中,安全域是根据用户的用户信息进行设置的,安全域的设置以及说明具体可以参见图2所示的实施例。
所述设备标识与用户信息的映射关系、用户信息与安全域的映射关系可以由人工手动配置到主机中,或者,所述设备标识与用户信息的映射关系可以到认证服务器中获取得到。所述用户信息与安全域的映射关系则可以由安全网关设置后发送给主机,主机接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
S305:若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对报文进行处理。
实际应用中,可以按照安全域的设置情况在主机中也设置多个域内安全策略,例如,若主机判断第一用户和第二用户属于相同的安全域,可以根据目标虚拟机标识将所述报文转发给目标虚拟机。需要说明的是,主机侧设置的域内安全策略可以与网关侧设置的域内安全策略相同,所述第一用户和所述第二用户属于相同的安全域,也可以认为所述第一用户所属的安全域与所述第二用户所属的安全域相同。
S306:若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则向安全网关转发所述报文。
所述第一用户所属的安全域与所述第二用户所属的安全域不同,也可以认为所述第一用户和所述第二用户属于不同的安全域。
另外,当所述源虚拟机发生漂移时,对于当前承载运行所述源虚拟机的其他主机有可能还并没有设置关于第一用户和第二用户的用户信息与安全域的映射关系,因此,其他主机并不能确定第一用户和第二用户所属安全域。当其他主机接收到源虚拟机发送的报文,且不能确定第一用户和第二用户所属安全域时,可以直接将该报文转发至安全网关,由安全网关采用如上述图2至图3对应的方法对该报文进行安全处理。其中,虚拟机的漂移是指虚拟机从其当前所处的主机迁移到其他主机中,使用其他主机的资源实现虚拟机功能,在其迁移过程中,该虚拟机的IP并不会发生变化。
本发明实施例能够在虚拟机之间发送报文时,虚拟机的主机能够根据源虚拟机和目标虚拟机的用户的用户信息所属的安全域对报文进行不同的转发处理,可以在源虚拟机和目标虚拟机均由同一个主机承载且源虚拟机端的第一用户与目标虚拟机端的第二用户所属的安全域相同时,直接按照设置的域内策略对报文进行处理,若主机确定所述第一用户与所述第二用户属于不同的安全域,则可以转发给安全网关,由安全网关侧根据报文进行安全隔离以保证不同部门或者不同级别用户之间通信的安全。从而能在一定程度上,提高报文的处理速度,减轻网关的处理负担。
再请参见图5,是本发明实施例的再一种通信安全处理方法的流程示意图;本发明实施例从承载运行有多个虚拟机的主机侧对本发明的通信安全处理方法进行详细描述。本发明实施例的所述方法包括:
S401:主机接收并存储安全网关发送的用户信息与安全域的映射关系。
主机接收到的用户信息与安全域的映射关系是所述安全网关在得到了用户信息与安全域的映射关系后,发送给本主机的。
S402:主机接收源虚拟机发送给目标虚拟机的报文。
登录源虚拟机的用户在需要发送报文时,将报文通过源虚拟机发送至承载运行该源虚拟机的主机,以便于在主机处理后,转发给目标虚拟机或者转发给安全网关。
S403:主机提取所述报文中包括的源虚拟机标识和目标虚拟机标识。
虚拟机标识可以为虚拟机的IP地址,或者虚拟机的VMAC。报文中可以携带源虚拟机标识和目标虚拟机标识。
S404:主机根据报文中包括的目标虚拟机标识,以及预置的虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机,如果该主机承载的虚拟机中包括所述目标虚拟机,进入S405,否则,进入S409;
所述虚拟机设备标识表可以是在模拟生成多个虚拟机后,根据虚拟机的VMAC等标识生成得到。在判断结果为包括所述目标虚拟机时,执行S405,在判断结果为不包括所述目标虚拟机时,执行S409。
S405:如果所述主机承载的虚拟机中包括所述目标虚拟机,主机则根据设置的设备标识与用户信息的映射关系,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息,进入S406。
所述设备标识与用户信息的映射关系可以从认证服务器中获取,由于认证服务器用于对用户信息进行认证,在认证服务器中会保存有登录用户的用户信息以及登录的虚拟机的标识。
主机可以根据设备标识与用户信息的映射关系以及报文中携带的源虚拟机标识和目标虚拟机标识确定所述第一用户和所述第二用户的用户信息。
S406:主机根据确定的所述第一用户的用户信息和第二用户的用户信息以及设置的用户信息与安全域的映射关系,分别确定所述第一用户所属的安全域与所述第二用户所属的安全域;
S407:若所述第一用户所属的安全域与所述第二用户所属的安全域相同,主机根据域内安全策略对所述报文进行处理;
实际应用中,可以按照安全域的设置情况在主机中也设置多个域内安全策略,例如,若主机判断第一用户和第二用户属于相同的安全域,可以根据目标虚拟机标识将所述报文转发给目标虚拟机。需要说明的是,主机侧设置的域内安全策略可以与网关侧设置的域内安全策略相同。
S408:若所述第一用户所属的安全域与所述第二用户所属的安全域不同,主机向安全网关转发所述报文。
在实际应用中,主机向安全网关转发所述报文之前,还包括:在所述报文中携带安全域指示信息,所述安全域指示信息用于指示所述第一用户和所述第二用户属于不同的安全域。
S409:若所述主机承载的虚拟机中不包括所述目标虚拟机,主机向安全网关转发所述报文。
进一步的,本发明实施例还公开了一种计算机存储介质,所述计算机存储介质可存储有程序,所述程序执行上述图4或者图5对应实施例的所述的方法步骤。
本发明实施例能够在虚拟机访问其他设备时,承载该虚拟机的主机能够根据虚拟机标识、用户信息以及安全域之间的关系,执行不同的转发处理,当源虚拟机和目标虚拟机均由同一主机承载,且第一用户与第二用户所属的安全域相同时,直接向目标虚拟机转发报文,快速完成报文的传输;若所述源虚拟机与所述目标虚拟机不属于同一个主机承载时、或者两用户属于不同的安全域时,将报文转发给安全网关处理,以便于安全网关对报文的安全处理实现用户通信行为的安全隔离。因此,本发明实施例在实现通信行为的安全隔离、保证通信安全的同时,在一定程度上提高了报文转发的效率,且主机侧的处理也分担了安全网关的负担。
下面对本发明实施例的相关系统和装置进行详细描述。
请参见图6,是本发明实施例的一种通信安全处理装置的结构示意图;本发明实施例的通信安全处理装置可设置在如图1中的安全网关等网络设备中,具体的,所述装置包括:
接收模块11,用于接收主机转发的报文,所述报文是源设备发送给目标设备的报文;
检测模块12,用于根据所述报文以及用户信息与安全域的映射关系确定登录所述源设备的第一用户所属的安全域,以及登录所述目标设备的第二用户所属的安全域;安全处理模块13,用于当所述第一用户所属的安全域与所述第二用户所属的安全域相同时,根据域内安全策略对所述报文进行安全处理;当所述第一用户所属的安全域与所述第二用户所属的安全域不同时,根据域间安全策略对所述报文进行安全处理。
其中,主机包括计算机等物理设备,所述主机上可以承载运行多个虚拟机。所述源设备或目标设备可以为虚拟机、也可以为物理机。
通信系统中通常会基于安全域的划分来保证用户之间的通信安全,其中,安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。
安全域通常可以包括:非受信区域(Untrust)、非军事化区域(DMZ)、受信区域(Trust)以及本地区域(Local),具体可以参见图2所示实施例中的描述。
本发明实施例中,安全域是与用户信息对应的,也即安全域是根据用户的用户信息进行设置的。
登录设备的用户,是指使用该设备的用户、或者通过该设备访问系统的用户、或者接入该设备的用户,本发明对此不作限定。
所述接收模块11接收的报文中携带有源设备的设备标识和目标设备的设备标识,其中,设备标识可以为物理机的IP地址、MAC地址、或虚拟机的VMAC地址等。因此,所述检测模块12可以先根据预置的设备标识与用户信息的映射关系、以及报文中携带的源设备标识和目标设备标识,确定出使用源设备的第一用户的用户信息和使用目标设备的第二用户的用户信息;然后,所述检测模块12在预置的用户信息与安全域的映射关系中查找确定所述第一用户和所述第二用户所属的安全域,从而确定第一用户所属的安全域和第二用户所属的安全域是否相同。
在本发明实施例中,安全域是根据用户的用户信息进行设置的,可以预先在安全网关设置用户信息与安全域的映射关系,具体的,可以根据用户所处的部门或级别等信息对用户进行分组,还可以根据用户的部门以及级别信息等信息对用户进行分组,将不同分组的用户信息加入到不同的安全域中,与安全域进行关联,从而形成用户信息与安全域的映射关系。其中,用户信息可以包括该用户登录通信系统的用户名以及所属的用户组等信息,用户组可以包括用户所处的部门或级别等信息。用户信息用于唯一标识用户,且用户信息一旦经过认证服务器等设备鉴权后,通常不会发生变化。
需要说明的是,所述报文不仅包括初次通信时的通信建立请求,也可以为两个设备在通信过程中传输的数据等。
所述第一用户所属的安全域与所述第二用户所属的安全域相同,举例来说,第一用户属于Trust域,且第二用户也属于Trust域;或者,第一用户属于UnTrust域,且第二用户也属于UnTrust域;或者,第一用户属于Local域,且第二用户也属于Local域。在相同安全域内,表明两个用户之间的安全级别相同,所述安全处理模块13根据预置的域内安全策略对所述报文进行处理,例如,如果两个用户均属于Trust域,则可以直接将报文转发给目标设备。
所述第一用户所属的安全域与所述第二用户所属的安全域不同,举例来说,第一用户属于Trust域,第二用户属于UnTrust域;或者,第一用户属于UnTrust域的用户,第二用户属于Trust域;或者,第一用户属于Trust域,第二用户属于DMZ域;或者第一用户属于DMZ域,第二用户属于Trust域;或者,第一用户属于Trust域,第二用户属于Local域;或者,第一用户属于DMZ域,第二用户属于UnTrust域;或者,第一用户属于DMZ域,第二用户属于Local域。
如果所述第一用户所属的安全域与所述第二用户所属的安全域不同,则表明两个用户之间的安全级别不相同,所述安全处理模块13需要根据预置的相应的域间安全策略对报文进行处理,例如,当第一用户属于UnTrust域,第二用户属于Trust域时,若设置的UnTrust域的用户访问Trust域的用户的安全策略为拒绝转发报文,则安全网关可以按照该策略拒绝将报文转发给目标设备。关于域内安全策略与域间安全策略的描述详见上述图2所示实施例,在此不再赘述。
本发明实施例能够在源设备与目标设备之间传输报文时,根据根据用户信息与安全域的映射关系,确定登录源设备的第一用户和登录目标设备的第二用户是否属于相同安全域,并根据判断结果以及设置的安全策略对所述报文进行相应处理。由于本发明实施例中安全域是根据用户的用户信息进行设置的,而用户的用户信息一旦经过认证服务器等设备鉴权后就不会发生变化,尤其在使用虚拟机的场景下,即使虚拟机可能在不同的物理位置迁移,使用虚拟机的用户的用户信息也不会变化,因此,不论是在传统由物理机组成的通信系统中还是在使用虚拟机等云计算系统中,本发明实施例所述方法均可以有效地对用户间的通信报文进行安全隔离,保证用户之间的通信安全。
进一步的,再请参见图7,是本发明实施例的另一种通信安全处理装置的结构示意图,本发明实施例所述的通信安全处理装置包括上述图6对应实施例中的接收模块11、检测模块12以及安全处理模块13。
在本发明实施例中,可以在所述通信安全处理装置中通过一个预置模块预置用户信息与安全域的映射关系、预置域内安全策略以及域间安全策略。需要说明的是,可以根据设置的安全域的情况分别设置多个不同的域内安全策略以及域间安全策略,具体可参见上述图2所述实施例的相关描述。
进一步的,在本发明实施例中,所述装置还可以包括:
获取模块14,用于从认证服务器中获取用户的用户信息及用户登录设备的设备标识,所述认证服务器用于对用户信息进行认证,其中,所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息,所述用户登录设备的设备标识包括所述源设备标识和所述目标设备标识;
建立模块15,用于根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
具体的,用户需要使用云计算系统时,需要输入用户信息,由认证服务器对其用户信息进行鉴权认证,认证通过后,认证服务器会记录该用户的用户信息以及该用户登录设备的设备标识,设备标识可以包括IP地址、物理机设备的MAC或者虚拟机的VMAC等。其中,所述用户包括登录源设备的第一用户和登录目标设备的第二用户,所述用户登录的设备包括源设备和目标设备,且源设备或目标设备可以为虚拟机也可以为物理机。
所述获取模块14可以从认证服务器读取当前登录的每一个用户的用户信息以及登录设备的设备标识。可以理解的,所述获取模块14可以周期性地从认证服务器中获取用户信息及设备标识;认证服务器也可以在对每一个用户信息鉴权通过后,将该用户信息以及其登录设备的设备标识主动通知给所述安全网关。其中,所述建立模块15设置的设备标识与用户信息的映射关系可以为安全网关中维护的映射表。
进一步的,请参见图8,图8是图7中的检测模块的其中一种具体结构示意图,所述检测模块12包括:
标识提取单元121,用于提取所述报文中的源设备标识和目标设备标识;
查找单元122,用于根据设备标识与用户信息的映射关系,查找所述第一用户的用户信息和所述第二用户的用户信息;
具体的,根据标识提取单元121从报文中提取的源设备标识和目标设备标识,并根据建立模块15设置的设备标识与用户信息的映射关系,确定源设备的第一用户的用户信息和目标设备的第二用户的用户信息。
判断单元123,用于根据用户信息与安全域的映射关系确定所述第一用户所属的安全域以及所述第二用户所属的安全域。
判断单元123可以根据所述第一用户的用户信息以及预设的用户信息与安全域的映射关系确定所述第一用户所属的安全域;根据所述第二用户的用户信息以及预设的用户信息与安全域的映射关系确定所述第二用户所属的安全域;根据确定的所述第一用户所属的安全域和确定的所述第二用户所属的安全域判定所述第一用户所属的安全域和所述第二用户所属的安全域是否相同。
在另一种情形下,请参见图9,图9是图7中的检测模块的其中另一种具体结构示意图;所述检测模块12还可以包括:
信息提取单元124,用于提取所述报文中携带的安全域指示信息,所述安全域指示信息用于指示所述第一用户和所述第二用户属于不同的安全域;
实际应用中,当主机根据该报文已经判断过所述第一用户所属的安全域与所述第二用户所属的安全域不同时,主机可以在转发给安全网关的报文中,携带安全域指示信息以指示所述第一用户和所述第二用户属于不同的安全域。
指示信息判断单元125,用于根据所述安全域指示信息,确定所述第一用户和所述第二用户属于不同的安全域。
本发明实施例所述的方法在源设备与目标设备进行通信时,无论是虚拟机之间的通信、物理机之间的通信或虚拟机与物理机之间的通信,均能够直接根据配置的映射关系,确定登录源设备的第一用户和登录目标设备的第二用户是否属于相同安全域,以执行不同的安全策略,由于用户的用户信息一旦经过认证服务器等设备鉴权后就不会发生变化,尤其在使用虚拟机的场景下,即使虚拟机可能在不同的物理位置迁移,使用虚拟机的用户的用户信息也不会变化,因此,不论是在传统由物理机组成的通信系统中还是在使用虚拟机等云计算系统中,可以有效地对用户间的通信报文进行安全隔离,保证用户之间的通信安全。
请参见图10,是本发明实施例的一种主机的结构示意图,本发明实施例的所述主机上承载运行有多个虚拟机,也就是说,该主机是其承载的多个虚拟机运行的物理载体。所述主机具体包括:
第一接收模块21,用于接收源虚拟机发送给目标虚拟机的报文;
用户在采用现有的登录方式登录到云计算系统中的虚拟机后,可以通过其登录的虚拟机及主机向系统中的其他用户发送报文。
标识提取模块22,用于提取所述报文中包括的源虚拟机标识和目标虚拟机标识;
确定模块23,用于当所述主机承载的虚拟机中包括所述目标虚拟机时,根据设置的设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息,并根据确定的所述第一用户的用户信息和第二用户的用户信息以及设置的用户信息与安全域的映射关系,确定所述第一用户所属的安全域与所述第二用户所属的安全域。
具体地,主机可以根据所述源虚拟机标识,查找所述设备标识与用户信息的映射关系,确定登录所述源虚拟机的第一用户的用户信息;根据所述目标虚拟机标识,查找所述设备标识与用户信息的映射关系,确定登录所述目标虚拟机的第二用户的用户信息;根据所述第一用户的用户信息以及预设的用户信息与安全域的映射关系确定所述第一用户所属的安全域;根据所述第二用户的用户信息以及预设的用户信息与安全域的映射关系确定所述第二用户所属的安全域;根据确定的所述第一用户所属的安全域和确定的所述第二用户所属的安全域判定所述第一用户和所述第二用户是否属于相同的安全域。
处理模块24,用于在所述第一用户所属的安全域和所述第二用户所属的安全域相同时,根据域内安全策略对所述报文进行处理;在所述第一用户所属的安全域和所述第二用户所属的安全域不同时,向所述安全网关转发所述报文。
需要说明的是,在本发明实施例中,在一种情况下,主机可以对接收的所述报文不做任何处理,直接转发给安全网关,则安全网关可以按照上述图6-图9所示的实施例的方法对报文进行处理。在另一种情况下,主机也可以通过上述的第一接收模块21、标识提取模块22、确定模块23以及处理模块24报文进行处理。
其中,本发明实施例所述的安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。本发明实施例中,安全域是根据用户的用户信息进行设置的,安全域、域内安全策略以及域间安全策略的设置以及说明具体可以参见图2所示的实施例。
主机可以通过虚拟机设备标识表记录其所承载运行的每一个虚拟机的虚拟机标识(如虚拟机的VMAC地址)。因此,在接收到源虚拟机发送的报文时,主机能够根据报文中携带的目标虚拟机标识判断源该报文的目标虚拟机是否也由本主机承载运行。若是,则所述确定模块23分别确定第一用户和第二用户的用户信息。并根据第一用户和第二用户的用户信息确定所述第一用户所属的安全域与所述第二用户所属的安全域是否相同。
所述设备标识与用户信息的映射关系、用户信息与安全域的映射关系可以由人工手动配置到主机中。或者,所述设备标识与用户信息的映射关系可以到认证服务器中获取得到,所述用户信息与安全域的映射关系则可以是主机接收并存储的安全网关发送的用户信息与安全域的映射关系。
实际应用中,可以按照安全域的设置情况在主机中也设置多个域内安全策略,例如,若判断第一用户和第二用户属于相同的安全域,所述处理模块24可以根据设置的域内安全策略对报文进行处理,例如,根据目标虚拟机标识将所述报文转发给目标虚拟机。需要说明的是,主机侧设置的域内安全策略可以与网关侧设置的域内安全策略相同。
另外,当所述源虚拟机发生漂移时,对于当前承载运行所述源虚拟机的其他主机有可能并没有设置关于第一用户和第二用户的用户信息与安全域的映射关系,因此,其他主机并不能确定第一用户和第二用户所属安全域。当其他主机接收到源虚拟机发送的报文,且不能确定第一用户和第二用户所属安全域时,可以直接将该报文转发至安全网关,由安全网关对该报文的传输进行安全处理。其中,虚拟机的漂移是指虚拟机从其当前所处的主机迁移到其他主机中,使用其他主机的资源实现虚拟机功能,在其迁移过程中,该虚拟机的IP并不会发生变化。
本发明实施例能够在虚拟机之间发送报文时,虚拟机的主机能够根据源虚拟机和目标虚拟机的用户的用户信息所属的安全域对报文进行不同的转发处理,可以在源虚拟机和目标虚拟机均由同一个主机承载且源虚拟机端的第一用户与目标虚拟机端的第二用户所属的安全域相同时,直接按照设置的域内策略对报文进行处理,若主机确定所述第一用户与所述第二用户不属于相同的安全域,则可以转发给安全网关,由安全网关侧根据报文进行安全隔离以保证不同部门或者不同级别用户之间通信的安全。从而能在一定程度上,提高报文的处理速度,减轻网关的处理负担。
请参见图11,图11是本发明实施例的另一种主机的结构示意图,本发明实施例的所述主机包括图10对应实施例中的第一接收模块21、标识提取模块22、确定模块23以及处理模块24。进一步的,在本发明实施例中,所述主机还包括:
判断模块25,用于根据报文中包括的目标虚拟机标识,以及预置的虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;
所述虚拟机设备标识表可以是在模拟生成虚拟机后,根据虚拟机的VMAC等标识生成得到。
所述处理模块24还用于当所述判断模块25判断在所述主机承载的虚拟机中不包括所述目标虚拟机时,向安全网关转发所述报文。
如果所述判断模块25的判断结果不包括所述目标虚拟机,则由所述处理模块24向安全网关转发接收到的报文,由安全网关对该报文进行进一步的安全处理。
进一步的,所述处理模块24,还用于在向安全网关转发的所述报文中携带安全域指示信息,所述安全域指示信息用于指示所述第一用户和所述第二用户属于不同的安全域。
在处理模块24向安全网关转发报文之前,还可以将指示所述第一用户和所述第二用户属于不同安全域的安全域指示信息添加到报文中。具体可以在现有的报文格式中扩展一个安全域指示标志位,通过赋值为1指示第一用户和所述第二用户不属于相同安全域的方式实现。
进一步的,所述主机还可以包括:
预置模块26,用于接收并存储安全网关发送的用户信息与安全域的映射关系。
所述预置模块26接收到的用户信息与安全域的映射关系是所述安全网关在得到了用户信息与安全域的映射关系后,发送给本主机的。
本发明实施例中的主机在上述实施例的基础上,能够在判断所述源虚拟机和所述目标虚拟机不属于同一个主机承载运行时,直接将报文转发给安全网关处理,以便于安全网关对报文的安全处理实现安全隔离。
图12为本发明实施例提供的一种网络设备的物理结构示意图,该网络设备可以是一台安全网关、防火墙或其他具有计算处理能力的计算节点,在此并不做特别限定。如图所示,所述网络设备包括:
处理器(processor)100,通信接口(Communications Interface)200,存储器(memory)300以及通信总线。
处理器100、通信接口200以及存储器300通过通信总线完成相互间的通信。
通信接口200,用于与主机通信。
处理器100,用于执行程序,具体可以执行上述图2至图3所示的方法实施例中的相关步骤。
具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。
处理器100可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器300,用于存放程序。存储器300可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序中各功能模块的具体实现可以参见上述图6-9所示实施例中的相应模块,在此不再赘述。
请参见图13,是本发明实施例的一种主机的结构组成示意图,本发明实施例的主机上承载运行有多个虚拟机,该主机可以是计算机或其他具有计算处理能力的计算节点,在此并不做特别限定。如图13所示,所述主机包括:
处理器(processor)400,通信接口(Communications Interface)500,存储器(memory)600以及通信总线800。
处理器400、通信接口500以及存储器600通过通信总线800完成相互间的通信。
通信接口500,用于与虚拟机及安全网关通信。
处理器400,用于执行程序700,具体可以执行上述图4至图5所示的方法实施例中的相关步骤。
具体地,程序700可以包括程序代码,所述程序代码包括计算机操作指令。
处理器400可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器600,用于存放程序700。存储器600可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序中各功能模块的具体实现可以参见上述图10-11所示实施例中的相应模块,在此不再赘述。
请参见图14,是本发明实施例的一种安全通信系统的结构组成示意图,本发明实施例的系统可以包括:安全网关01和主机02,所述主机02承载有至少两个虚拟机;所述系统还可以包括多个主机。
所述主机02,用于接收源虚拟机发送给目标虚拟机的报文;提取所述报文中包括的源虚拟机标识和目标虚拟机标识;如果所述主机承载的虚拟机中包括所述目标虚拟机,则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息;根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行处理;若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则向安全网关转发所述报文;
所述安全网关01,用于接收所述主机02转发的所述报文,根据所述报文以及用户信息与安全域的映射关系确定所述第一用户所属的安全域以及所述第二用户所属的安全域;若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理。
进一步可选地,所述主机02还可以用于在向安全网关01转发的报文中携带安全域指示信息,所述安全域指示信息用于指示所述第一用户所属的安全域与所述第二用户所属的安全域不同;
所述安全网关01还可以用于提取所述报文中携带的安全域指示信息;根据所述安全域指示信息确定所述第一用户所属的安全域与所述第二用户所属的安全域不同。
进一步可选地,所述主机02还用于:
根据报文中包括的目标虚拟机标识,以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;
如果所述主机承载的虚拟机中不包括所述目标虚拟机,则向安全网关01转发所述报文。
本发明实施例能够在源设备与目标设备之间传输报文时,根据所述报文检测登录源设备的第一用户与登录目标设备的第二用户是否属于相同安全域,并根据判断结果以及设置的安全策略对所述报文进行相应处理。由于本发明实施例中安全域是根据用户的用户信息进行设置的,而用户的用户信息一旦经过认证服务器等设备鉴权后就不会发生变化,尤其在使用虚拟机的场景下,即使虚拟机可能在不同的物理位置迁移,使用虚拟机的用户的用户信息也不会变化,因此,不论是在传统由物理机组成的通信系统中还是在使用虚拟机等云计算系统中,本发明实施例所述方法均可以有效地对用户间的通信报文进行安全隔离,保证用户之间的通信安全。
需要说明的是,为描述的方便和简洁,上述装置和系统的实施例中某些模块和设备的具体工作过程,可以参考前述方法实施例中的对应描述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个设备中,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部,模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (13)
1.一种通信安全处理方法,其特征在于,包括:
安全网关接收主机转发的报文,所述报文是源虚拟机发送给目标虚拟机的报文,所述报文中包括源虚拟机标识和目标虚拟机标识;
根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标虚拟机的第二用户所属的安全域;
若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;
若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理;所述根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标虚拟机的第二用户所属的安全域包括:
所述安全网关提取所述报文中的所述源虚拟机标识和所述目标虚拟机标识;
根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,获得所述第一用户的用户信息和所述第二用户的用户信息;
根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域,以及所述第二用户所属的安全域。
2.如权利要求1所述的方法,其特征在于,还包括:
所述安全网关从认证服务器中获取用户的用户信息及用户登录设备的设备标识,所述认证服务器用于对用户信息进行认证,其中,所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息,所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识;
所述安全网关根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
3.一种通信安全处理方法,其特征在于,包括:
主机接收源虚拟机发送给目标虚拟机的报文;
提取所述报文中包括的源虚拟机标识和目标虚拟机标识;
所述主机根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;
如果所述主机承载的虚拟机中不包括所述目标虚拟机,则向安全网关转发所述报文;
如果所述主机承载的虚拟机中包括所述目标虚拟机,则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息;
根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;
若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行处理;
若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则向所述安全网关转发所述报文。
4.如权利要求3所述的方法,其特征在于,还包括:
所述主机接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
5.一种通信安全处理装置,其特征在于,包括:
接收模块,用于接收主机转发的报文,所述报文是源虚拟机发送给目标虚拟机的报文,所述报文中包括源虚拟机标识和目标虚拟机标识;
检测模块,用于根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标虚拟机的第二用户所属的安全域;
安全处理模块,用于当所述第一用户所属的安全域与所述第二用户所属的安全域相同时,根据域内安全策略对所述报文进行安全处理;当所述第一用户所属的安全域与所述第二用户所属的安全域不同时,根据域间安全策略对所述报文进行安全处理;所述检测模块包括:
标识提取单元,用于提取所述报文中的源虚拟机标识和目标虚拟机标识;
查找单元,用于根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,查找所述第一用户的用户信息和所述第二用户的用户信息;
判断单元,用于根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域以及所述第二用户所属的安全域。
6.如权利要求5所述的装置,其特征在于,还包括:
获取模块,用于从认证服务器中获取用户的用户信息及用户登录设备的设备标识,所述认证服务器用于对用户信息进行认证,其中,所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息,所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识;
建立模块,用于根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
7.一种主机,其特征在于,包括:
第一接收模块,用于接收源虚拟机发送给目标虚拟机的报文;
标识提取模块,用于提取所述报文中包括的源虚拟机标识和目标虚拟机标识;
判断模块,用于根据所述目标虚拟机标识,以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;
确定模块,用于当所述判断模块确定所述主机承载的虚拟机中包括所述目标虚拟机时,根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息,并根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;
处理模块,用于在所述第一用户所属的安全域和第二用户所属的安全域相同时,根据域内安全策略对所述报文进行处理;在所述第一用户所属的安全域和第二用户所属的安全域不同时,向安全网关转发所述报文;
所述处理模块还用于当所述判断模块确定在所述主机承载的虚拟机中不包括所述目标虚拟机时,向所述安全网关转发所述报文。
8.如权利要求7所述的主机,其特征在于,还包括:
预置模块,用于接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
9.一种网络设备,其特征在于,包括处理器、通信接口和存储器,其中,
所述通信接口,用于与主机进行通信;
所述存储器用于存储程序;
所述处理器用于执行所述程序,以实现
接收所述主机转发的报文,所述报文是源虚拟机发送给目标虚拟机的报文,所述报文中包括源虚拟机标识和目标虚拟机标识;
根据所述报文以及用户信息与安全域的映射关系,确定登录所述源虚拟机的第一用户所属的安全域,以及登录所述目标虚拟机的第二用户所属的安全域;
若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;
若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理;所述处理器具体用于:
提取所述报文中的所述源虚拟机标识和所述目标虚拟机标识;
根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,获得所述第一用户的用户信息和所述第二用户的用户信息;
根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息确定所述第一用户所属的安全域,以及所述第二用户所属的安全域。
10.如权利要求9所述的网络设备,其特征在于,所述处理器还用于:
从认证服务器中获取用户的用户信息及用户登录设备的设备标识,所述认证服务器用于对用户信息进行认证,其中,所述用户信息包括所述第一用户的用户信息和所述第二用户的用户信息,所述用户登录设备的设备标识包括所述源虚拟机标识和所述目标虚拟机标识;
根据获取的所述用户的用户信息和所述用户登录设备的设备标识建立所述设备标识与用户信息的映射关系。
11.一种主机,其特征在于,包括处理器、通信接口和存储器,其中,
所述通信接口,用于与虚拟机及安全网关进行通信;
所述存储器用于存储程序;
所述处理器用于执行所述程序,以实现
接收源虚拟机发送给目标虚拟机的报文;
提取所述报文中包括的源虚拟机标识和目标虚拟机标识;
根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;
如果所述主机承载的虚拟机中不包括所述目标虚拟机,则向所述安全网关转发所述报文;
如果所述主机承载的虚拟机中包括所述目标虚拟机,则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息;
根据确定的所述第一用户的用户信息和第二用户的用户信息以及设置的用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和所述第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;
若所述第一用户所属的安全域和所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行处理;
若所述第一用户所属的安全域和所述第二用户所属的安全域不同,则向所述安全网关转发所述报文。
12.如权利要求11所述的主机,其特征在于,所述处理器还用于实现:
接收并存储所述安全网关发送的所述用户信息与安全域的映射关系。
13.一种通信系统,其特征在于,包括安全网关和主机;
所述主机,用于接收源虚拟机发送给目标虚拟机的报文;提取所述报文中包括的源虚拟机标识和目标虚拟机标识;根据所述目标虚拟机标识以及虚拟机设备标识表判断所述主机承载的虚拟机中是否包括所述目标虚拟机;如果所述主机承载的虚拟机中不包括所述目标虚拟机,则向所述安全网关转发所述报文;如果所述主机承载的虚拟机中包括所述目标虚拟机,则根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,确定登录所述源虚拟机的第一用户的用户信息和登录所述目标虚拟机的第二用户的用户信息;根据用户信息与安全域的映射关系、以及确定的所述第一用户的用户信息和第二用户的用户信息,确定所述第一用户所属的安全域与所述第二用户所属的安全域;若所述第一用户所属的安全域和第二用户所属的安全域相同,则根据域内安全策略对所述报文进行处理;若所述第一用户所属的安全域和第二用户所属的安全域不同,则向所述安全网关转发所述报文;
所述安全网关,用于接收所述主机转发的所述报文,提取所述报文中的源虚拟机标识和目标虚拟机标识;根据设备标识与用户信息的映射关系、以及所述源虚拟机标识和所述目标虚拟机标识,获得所述第一用户的用户信息和所述第二用户的用户信息;根据用户信息与安全域的映射关系、以及所述第一用户的用户信息和所述第二用户的用户信息确定所述第一用户所属的安全域,以及所述第二用户所属的安全域;若所述第一用户所属的安全域与所述第二用户所属的安全域相同,则根据域内安全策略对所述报文进行安全处理;若所述第一用户所属的安全域与所述第二用户所属的安全域不同,则根据域间安全策略对所述报文进行安全处理。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013073531 | 2013-03-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103718527A CN103718527A (zh) | 2014-04-09 |
| CN103718527B true CN103718527B (zh) | 2017-01-18 |
Family
ID=50409500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380000388.9A Active CN103718527B (zh) | 2013-03-30 | 2013-03-30 | 一种通信安全处理方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103718527B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105429998A (zh) * | 2015-01-06 | 2016-03-23 | 李先志 | 网络安全区登录方法及装置 |
| CN106411818B (zh) * | 2015-07-30 | 2020-07-17 | 中国移动通信集团河北有限公司 | 安全域结构检查方法及装置 |
| CN106874309B (zh) * | 2015-12-14 | 2020-06-09 | 阿里巴巴集团控股有限公司 | 设备与对象之间映射关系的建立方法及装置 |
| CN105912892B (zh) * | 2016-04-08 | 2018-09-04 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的进程保护系统及其方法 |
| CN106341399A (zh) * | 2016-08-29 | 2017-01-18 | 锐捷网络股份有限公司 | 一种用户访问的控制方法及系统 |
| CN110063045B (zh) * | 2016-12-08 | 2020-09-08 | 华为技术有限公司 | 云计算系统中的报文处理方法及设备 |
| CN107343008A (zh) * | 2017-07-17 | 2017-11-10 | 山东超越数控电子有限公司 | 一种抗访问模式泄露的数据安全隔离与共享实现方法 |
| CN108494755B (zh) * | 2018-03-13 | 2020-04-03 | 华为技术有限公司 | 一种传输应用程序编程接口api请求的方法及装置 |
| CN111277543B (zh) * | 2018-12-04 | 2022-08-26 | 华为技术有限公司 | 信息同步方法、认证方法及装置 |
| CN111526189A (zh) * | 2020-04-13 | 2020-08-11 | 恒安嘉新(北京)科技股份公司 | 一种设备监控方法、装置、计算机设备及存储介质 |
| CN112214518B (zh) * | 2020-11-09 | 2021-06-11 | 广东新禾道信息科技有限公司 | 一种基于区块链的地理空间基础数据共享方法及系统 |
| CN113810420A (zh) * | 2021-09-18 | 2021-12-17 | 北京天融信网络安全技术有限公司 | 一种安全防护方法及安全防护系统 |
| CN113965401B (zh) * | 2021-11-01 | 2023-09-19 | 新华三技术有限公司合肥分公司 | 一种报文转发方法、装置及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1731720A (zh) * | 2005-08-31 | 2006-02-08 | 北京电子科技学院 | 一种透明的全向安全网络方法 |
| CN101197795A (zh) * | 2007-12-26 | 2008-06-11 | 华为技术有限公司 | 网络业务保护方法和业务网关 |
| CN101764742A (zh) * | 2009-12-30 | 2010-06-30 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
-
2013
- 2013-03-30 CN CN201380000388.9A patent/CN103718527B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1731720A (zh) * | 2005-08-31 | 2006-02-08 | 北京电子科技学院 | 一种透明的全向安全网络方法 |
| CN101197795A (zh) * | 2007-12-26 | 2008-06-11 | 华为技术有限公司 | 网络业务保护方法和业务网关 |
| CN101764742A (zh) * | 2009-12-30 | 2010-06-30 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103718527A (zh) | 2014-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103718527B (zh) | 一种通信安全处理方法、装置及系统 | |
| CN103118149B (zh) | 同一租户内服务器间的通信控制方法及网络设备 | |
| Moraes et al. | FITS: A flexible virtual network testbed architecture | |
| CN107113219A (zh) | 虚拟环境中的vlan标记 | |
| CN103441932B (zh) | 一种主机路由表项生成方法及设备 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN105791402B (zh) | 一种云计算平台网络虚拟化实现方法及相应插件和代理 | |
| EP3466014B1 (en) | Method and arrangement for configuring a secure domain in a network functions virtualization infrastructure | |
| CN105100026A (zh) | 一种报文安全转发方法及装置 | |
| CN105577702A (zh) | 一种虚拟机级安全防护系统及方法 | |
| CN105049412A (zh) | 一种不同网络间数据安全交换方法、装置及设备 | |
| CN104506614B (zh) | 一种基于云计算的分布式多活数据中心的设计方法 | |
| CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
| CN106850459A (zh) | 一种实现虚拟网络负载均衡的方法及装置 | |
| CN104951354A (zh) | 一种基于动态迁移的虚拟机调度算法安全性验证方法 | |
| CN106878343A (zh) | 一种云计算环境下提供网络安全即服务的系统 | |
| CN106533973A (zh) | 分发业务消息的方法、设备和系统 | |
| CN114978697A (zh) | 一种网络信息系统内生安全防御方法、装置、设备及介质 | |
| CN105262753A (zh) | 一种基于sdn虚拟交换机的安全策略的系统及方法 | |
| CN106161396A (zh) | 一种实现虚拟机网络访问控制的方法及装置 | |
| CN111818081A (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN104050038B (zh) | 一种基于策略感知的虚拟机迁移方法 | |
| CN109728989A (zh) | 用于实现安全接入的方法、装置和系统 | |
| CN114422196B (zh) | 一种网络靶场安全管控系统和方法 | |
| Chen et al. | Research and practice of dynamic network security architecture for IaaS platforms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |