一种访问控制方法与相关设备与流程

1.本技术涉及通信
技术领域：
：，尤其涉及一种访问控制方法与相关设备。
背景技术：
：：2.传统的电信系统通过各种专用的硬件设备组成，不同的业务采用不同专业硬件设备。随着网络规模的增长，系统越来越复杂，带来了诸多的挑战，包括新增业务的开发上线、系统的运维、资源利用率等。为了应对这些挑战，传统电信系统与云计算结合，利用网络功能虚拟化(networkfunctionvirtualization，nfv)技术将电信网络中各个网络设备的功能从专用硬件平台迁移至通用硬件上，实现硬件设备资源池化及虚拟化，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享。这种传统电信系统与云计算的结合被称为电信云或电信云架构。3.电信云架构包括一个或多个网络平面，网络平面可以是物理通信平面或者逻辑通信界面，而且，一个网络平面内所有端口可达，即可以相互访问。这种网络平面会影响网络信息的安全性，比如，入侵者一旦进入某个网络平面，该网络平面内的所有端口都可以被入侵者访问到，安全性较低。技术实现要素：4.本技术提供了一种访问控制方法与相关设备，用于提升网络访问的安全性。5.第一方面，提供一种访问控制方法。该方法可以由服务(server)端执行。示例性的，server端可以是电信云架构中的nfv编排器(nfvorchestrator，nfvo)。所述方法包括确定第一清单，所述第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问；其中，所述第一端口和所述第二端口属于同一网络平面，所述同一网络平面对应同一类业务，且所述第一端口和所述第二端口对应所述同一类业务中的不同业务；发送所述第一清单。6.需要说明的是，目前，处于同一网络平面内的端口可达，即同一个网络平面内的所有端口之间可以相互访问。这样的话，入侵者一旦进入某个网络平面内，则该网络平面内的所有端口都可以被访问。因此，本技术中，以业务为隔离粒度将一个网络平面内的不同业务之间隔离。这样的话，入侵者进入某个网络平面，无法访问该网络平面内的所有端口，比如有些业务对应的端口入侵者无法访问到，如此，可以提升网络信息安全性。7.在一种可能的设计中，所述确定第一清单包括：基于第二清单确定所述第一业务和所述第二业务之间允许或禁止访问；其中，所述第二清单中包括允许访问的业务和/或禁止访问的业务；基于资产信息确定所述第一业务对应所述第一端口，所述第二业务对应所述第二端口，且所述第一端口和所述第二端口处于同一网络平面内；其中，所述资产信息中包括网络平面内的所有端口，以及每个端口对应的业务；生成所述第一清单。8.也就是说，server端根据资产信息和第二清单确定第一清单。其中，资产信息是可以动态变化的，比如，有的端口由上线状态变为下线状态，有的端口由下线状态变为上线状态；或者，有的端口对应的业务由业务a转移到业务b。第二清单中包括哪些业务之间允许访问。因此，通过资产信息和第二清单确定出的第一清单较为准确。9.在一种可能的设计中，所述第二清单是预配置的。10.需要说明的是，电信云架构与其它云架构不同。其它云架构作为云提供商为租户提供的能够使用的vm或容器。租户租赁vm或容器之后，可进行数据计算、数据存储等。租户可以根据自己的业务需求设计vm或容器所需要实现的业务，比如，企业租赁一个vm，可以设计该vm实现企业的财务汇总、行政管理等。而且该企业还可以自定义访问策略，比如，哪些业务之间可以访问和/或哪些业务之间禁止访问，比如财务汇总业务与行政管理业务之间禁止访问。总之，其它云架构作为云提供商允许租户根据自己的业务需求对其所租赁的vm或容器进行访问策略的调整。然而，租户自定义访问策略的方式不适用于电信云架构，因为，电信云架构中网络平面不直接面向租户。租户无法获知有哪些网络平面以及每个网络平面内包括哪些业务。换言之，租户无法自定义网络平面这个层级的访问策略。因此，本技术实施例中，第二清单可以是预先配置好的。比如，开发人员事先设定好哪些业务之间可以访问和/或哪些业务之间禁止访问，将这些业务记录于第二清单中。所述开发人员是具有搭建电信云架构能力的组织单位的人员，不是租户的工作人员。11.在一种可能的设计中，所述网络平面包括base平面、fabric平面、o&m平面、external平面中的至少一种。需要说明的是，此处列举的网络平面是举例，还可以是其它的网络平面。也就是说，在base平面内，或者在fabric平面内，或者在o&m平面内，或者在external平面内不同业务之间隔离，这样的话，入侵者进入某个网络平面，无法访问该网络平面内的所有端口，可以提升网络信息安全性。12.在一种可能的设计中，所述第一端口和所述第二端口满足如下条件中的至少一种：13.位于所述同一网络平面内的不同网元上；14.位于所述同一网络平面内的不同虚拟机上；15.位于所述同一网络平面内的不同容器上；16.位于同一网元上处于所述同一网络平面内的不同端口；17.位于同一虚拟机上处于所述同一网络平面内的不同端口；18.位于同一容器上处于所述同一网络平面内的不同端口。19.总之，第一端口和第二端口处于同一网络平面内，但不限定第一端口和第二端口位于同一网元还是不同网元、或者，位于同一虚拟机或不同虚拟机、或者位于同一容器或不同容器。以第一端口和第二端口位于同一网元为例，假设第一端口和第二端口对应不同业务，即第一端口和第二端口之间隔离，这样的话，即便入侵者攻入该网元，也无法均访问到第一端口和第二端口，提升网络信息安全性。20.在一种可能的设计中，所述第一端口对应第一业务，所述第二端口对应第二业务，所述第一业务和所述第二业务的业务类型、业务产生地中的至少一项不同。21.举例来说，以网络平面base平面为例，第一业务和第二业务的业务类型不同，比如，第一业务可以是base平面中的时钟同步业务，第二业务可以是base平面中的健康检查业务。再例如，以网络平面是fabric平面为例，第一业务和第二业务的业务产生地不同，比如，第一业务的产生地为上海(比如上海上计费业务)，第二业务的产生地为浙江(比如浙江的计费业务)。22.也就是说，本技术可以将一个网络平面内的业务类型不同的两个业务之间隔离，和/或，将一个网络平面内业务产生地不同的两个业务之间隔离。这样的话，入侵者进入某个网络平面，无法访问该网络平面内的所有业务，可以提升网络信息安全性。23.在一种可能的设计中，所述第一端口的信息包括：所述第一端口的端口号、所述第一端口的ip地址、所述第一端口对应业务的业务标识、所述第一端口所在网元的标识、所述第一端口所在虚拟机的标识、所述第一端口所在容器的标识中的至少一项；24.所述第二端口的信息包括：所述第二端口的端口号、所述第二端口的ip地址、所述第二端口对应业务的业务标识、所述第二端口所在网元的标识、所述第二端口所在虚拟机的标识、所述第二端口所在容器的标识中的至少一项。25.总之，第一端口的信息可以包括能够用于识别第一端口的任何信息，第二端口的信息可以包括能够用于识别第二端口的任何信息。这样的话，agent端可以根据第一清单中的第一端口的信息确定第一端口，根据第二端口的信息确定第二端口，准确的确定不同端口之间的访问关系。26.在一种可能的设计中，在所述指示信息用于指示所述第一端口与所述第二端口之间禁止访问的情况下，所述方法还包括：如果获取到所述第一端口与所述第二端口之间的访问请求，输出告警信息。也就是说，如果存在一个访问请求，该访问请求中的源端和目的端是第一清单中禁止访问的两个端口，那么server端输出告警信息。通过这种方式，当出现异常访问时告警，提升安全性。27.在一种可能的设计中，所述输出告警信息包括：显示所述第一端口的信息和所述第二端口的信息，以及第一选项；所述第一选项用于设置所述第一端口和所述第二端口之间允许访问。也就是说，原本禁止访问的第一端口和第二端口，也可以设置为允许访问。换言之，第一清单可以不断更新。28.在一种可能的设计中，所述输出告警信息包括：显示拓扑关系；所述拓扑关系中包括第一网元的标识和第二网元的标识，在所述第一网元与所述第二网元之间显示所述警告信息；其中，所述第一网元是所述第一端口所在网元，所述第二网元是所述第二端口所在位于网元。通过展示拓扑关系，可以直观的感知到哪两个网元之间存在异常访问。29.第二方面，提供一种访问控制方法。该方法可以由agent端执行。示例性的，所述agent端可以是网元、虚拟机或容器中的agent。该方法包括：接收第一清单，所述第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问；其中，所述第一端口和所述第二端口属于同一网络平面，所述同一网络平面对应同一类业务，且所述第一端口和所述第二端口对应所述同一类业务中的不同业务；接收访问请求，所述访问请求中包括源端口信息和目的源端信息；基于所述第一清单，确定所述源端口和所述目的端口之间是否允许访问。30.在一种可能的设计中，所述网络平面包括base平面、fabric平面、o&m平面、external平面中的至少一种。31.在一种可能的设计中，所述第一端口和所述第二端口满足如下条件中的至少一种：32.位于所述同一网络平面内的不同网元上；33.位于所述同一网络平面内的不同虚拟机上；34.位于所述同一网络平面内的不同容器上；35.位于同一网元上处于所述同一网络平面内的不同端口；36.位于同一虚拟机上处于所述同一网络平面内的不同端口；37.位于同一容器上处于所述同一网络平面内的不同端口。38.在一种可能的设计中，所述第一端口对应第一业务，所述第二端口对应第二业务，所述第一业务和所述第二业务的业务类型、业务产生地中的至少一项不同。39.在一种可能的设计中，所述第一端口的信息包括：所述第一端口的端口号、所述第一端口的ip地址、所述第一端口对应业务的业务标识、所述第一端口所在网元的标识、所述第一端口所在虚拟机的标识、所述第一端口所在容器的标识中的至少一项；40.所述第二端口的信息包括：所述第二端口的端口号、所述第一端口的ip地址、所述第二端口对应业务的业务标识、所述第二端口所在网元的标识、所述第二端口所在虚拟机的标识、所述第二端口所在容器的标识中的至少一项。41.在一种可能的设计中，所述方法还包括：基于所述第一清单，确定所述源端口和所述目的端口之间禁止访问时，上报所述访问请求。42.第三方面，还提供一种电子设备，包括：43.处理单元，用于确定第一清单，所述第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问；其中，所述第一端口和所述第二端口属于同一网络平面，所述同一网络平面对应同一种业务类型，且所述第一端口和所述第二端口对应所述同一种业务类型中的不同业务；44.收发单元，用于发送所述第一清单。45.第四方面，还提供一种电子设备，包括：46.收发单元，用于接收第一清单，所述第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问；其中，所述第一端口和所述第二端口属于同一网络平面，所述同一网络平面对应同一种业务类型，且所述第一端口和所述第二端口对应所述同一种业务类型中的不同业务；47.收发单元，用于接收访问请求，所述访问请求中包括源端口信息和目的源端信息；48.处理单元，用于基于所述第一清单，确定所述源端口和所述目的端口之间是否允许访问。49.第五方面，还提供一种电子设备，包括：50.处理器，存储器，以及，一个或多个程序；51.其中，所述一个或多个程序被存储在所述存储器中，所述一个或多个程序包括指令，当所述指令被所述处理器执行时，使得所述电子设备执行如上述第一方面或第二方面提供的方法步骤。52.第六方面，还提供一种通信系统，包括：第一电子设备和第二电子设备；53.所述第一电子设备包括：处理器；存储器；其中，所述存储器存储有一个或多个计算机程序，所述一个或多个计算机程序包括指令，当所述指令被所述处理器执行时，使得所述第一电子设备执行如上述第一方面所提供的步骤；54.所述第二电子设备包括：处理器；存储器；其中，所述存储器存储有一个或多个计算机程序，所述一个或多个计算机程序包括指令，当所述指令被所述处理器执行时，使得所述第二电子设备执行如上述第二方面所提供的步骤。55.第七方面，还提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如上述第一方面或第二方面所述的方法。56.第八方面，提供一种计算机程序产品，包括计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如上述第一方面或第二方面提供的方法。57.第九方面，本技术实施例还提供一种芯片或芯片系统，所述芯片或芯片系统与电子设备中的存储器耦合，用于调用存储器中存储的计算机程序并执行本技术实施例第一方面或第二方面的技术方案，本技术实施例中“耦合”是指两个部件彼此直接或间接地结合。58.上述第二方面至第六方面的有益效果，参见第一方面的有益效果，不重复赘述。附图说明59.图1为本技术一实施例提供的电信云架构的示意图；60.图2为本技术一实施例提供的隔离方案的示意图；61.图3为本技术一实施例提供的通信系统的示意图；62.图4为本技术一实施例提供的访问控制方法的流程示意图；63.图5至图6为本技术一实施例提供的拓扑关系的示意图；64.图7为本技术一实施例提供的通信系统的另一种示意图；65.图8为本技术一实施例提供的电子设备的一种示意图；66.图9为本技术一实施例提供的电子设备的另一种示意图。具体实施方式67.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。其中，在本技术实施例的描述中，除非另有说明，“/”表示或的意思，例如，a/b可以表示a或b；本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，在本技术实施例的描述中，“多个”是指两个或多于两个。此外，以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。68.为了便于理解本技术的技术方案，下面介绍与本技术相关的技术名称。69.(1)网元(netelement，ne)70.网元，或称为网络设备，例如包括接入网网元，或称为接入网设备，例如基站(例如，接入点)等。其中，基站可以是指接入网中在空中接口上通过一个或多个小区与无线终端装置通信的设备。网元可用于将收到的空中帧与网络之间互连的协议(internetprotocol，ip)分组进行相互转换，作为终端装置与接入网的其余部分之间的路由器，其中接入网的其余部分可包括ip网络。网元还可协调对空中接口的属性管理。例如，网元可以包括长期演进(longtermevolution，lte)系统或演进的lte系统(lte-advanced，lte-a)中的演进型基站(nodeb或enb或e-nodeb，evolutionalnodeb)，或者也可以包括第五代移动supportsystem/businesssupportsystem，oss/bss)层3，以及网络功能虚拟化管理和编排系统(networkfunctionvirtualizationmanagementandorchestration，nfv-mano)4。79.基础设施层1中包括硬件(hardware)层15和虚拟化层16。硬件层15中包括各种硬件资源。比如，计算硬件、存储硬件和网络硬件。示例性的，计算硬件可以是市场上现成的硬件和/或用户定制的硬件，用来提供处理和计算资源，比如可以是服务器。存储硬件可以是各种磁盘或磁盘阵列等。可以理解的是，计算硬件和存储硬件可以集中在一起，比如位于同一个服务器中，计算硬件是该服务器中用于计算和处理的模块，存储硬件是该服务器中用于信息存储的磁盘等。当然，计算硬件和存储硬件也可以是彼此独立的两个硬件，比如计算硬件是一个服务器，存储硬件是另一个服务器。网络硬件包括由一个或一个以上用于实现网络互联的设备，包括但不限定于机柜、交换机、同城多机房、异地多机房等等。虚拟化层16用于将硬件层15中的硬件资源抽象为虚拟资源，以便向上层(比如网元层2)提供虚拟化资源。比如，虚拟化层16中包括虚拟计算、虚拟存储和虚拟网络。示例性的，虚拟计算可以是对硬件层15中计算硬件虚拟化后的虚拟资源。虚拟存储可以是对硬件层15中存储硬件虚拟化后的虚拟资源。虚拟网络可以是对硬件层15中网络硬件虚拟化后的虚拟资源。80.网元层2内可以包括一个或多个网元ne(图中未示出)，和/或，一个或多个虚拟网络功能(virtualnetworkfunction，vnf)。其中，关于网元的介绍请参见前文名词解释部分。vnf可以理解为，使用虚拟化技术将网元功能转变成的独立应用，可以灵活部署在基于各种硬件设备上。图1中示例性的画出两个vnf，即vnf11和vnf12，应理解，可以包括更多或更少的vnf。81.以vnf11为例，vnf11中包括一个或多个虚拟机(virtualmachine，vm)。其中，关于虚拟机的介绍请参见前文名词解释部分。图1中以vnf11中包括两个vm为例，即vm111和vm112，应理解的是，vnf11中可以包含更多或更少个vm。82.以vnf12为例，vnf12中包括一个或多个pod，比如，图1中以vnf12中包括一个pod，即pod1为例，应理解，可以包括更多个pod。pod中包括一个或多个容器。比如，图1以pod1中包括两个容器，即容器121和容器122为例。关于pod、容器可以参见前文名词解释部分。83.可以理解的是，一个vnf中可以只包括vm(比如，上面的vnf11)，或者，只包括容器(比如，上面的vnf12)，或者，既包括vm又包括容器。84.网元层2中还可以包括一个或多个网元管理(elementmanagement，em)13。图1中以网元层2包括一个em13为例，应理解，还可以包括更多的em。其中，一个em可以用于管理一个或多个网元(图中未示出)，或者用于管理一个或多个vnf，或者用于管理一个或多个vm，或者用于管理一个或多个pod，或者用于管理一个或多个容器，等等。85.oss/bss层3主要面向运营商，提供综合的网络管理和业务运营功能等。其中，网络管理，例如包括故障监控和网络信息收集等。业务运营功能例如包括计费管理以及客户服务管理等。以计费管理为例，计费管理用于实时的根据不同套餐资费标准计算手机、固定电话等用户通话时的消费金额，并实时及定期计算用户帐单、余额，实时或定期结算用户漫游费用等等。以客户服务管理为例，例如对欠费用户实施的停机、用户套餐变更，等等。其中，关于oss/bss层3的具体功能参见etsigsnfv002v1.1.1标准中的介绍，本文不展开描述。86.nfv-mano4用于管理基础设施层1、网元层2和oss/bss层3等。nfv-mano4中包括nfv编排器(nfvorchestrator，nfvo)41、一个或多个vnf管理器(vnfmanager，vnfm)42、以及虚拟基础设施管理器(virtualizedinfrastructuremanager，vim)43。示例性的，nfvo41用于管理ns的描述信息(又可以称为网络服务描述模板(networkservicedescriptor，nsd))和虚拟网络功能转发图(vnfforwardinggraph，vnffg)，管理ns的生命周期，以及，与vnfm42配合实现vnf的生命周期管理和虚拟资源的全局视图功能。全局视图功能可以理解为以图形形式展示相应的虚拟资源。vnf的生命周期管理包括虚拟化网络功能描述模板(vnfdescriptor，vnfd)的管理、vnf的实例化、节点实例的弹性伸缩(包括扩容(scalingout/up)和缩容(scalingin/down))、节点实例的治愈(healing)以及节点实例的终止等。vnfm42用于管理和监控网元层2中的vnf。其中，一个vnfm42可以管理和监控一个或多个vnf。比如，vnfm42可以从nfvo41接收弹性伸缩(scaling)策略，以实现vnf弹性伸缩自动化。vim43主要负责基础设施层1中的硬件资源和虚拟化资源的管理，例如，虚拟化资源的预留和分配、虚拟资源状态的监控和故障上报、以及面向上层应用提供虚拟化资源池。示例性的，vim43用于控制和管理vnf与基础设施层1中的虚拟资源之间的交互，和/或，vnf与基础设施层1中的硬件资源的交互。又例如，vim43可以用于执行为vnf分配虚拟资源或硬件资源的操作。87.应当理解的是，电信云架构与其它云(比如、公有云、私有云、it云)架构不同。比如，电信云架构是面向运营商的，运营商用于向用户提供服务(比如，各类通话套餐等)还提供计费功能等。公有云、私有云或it云等其它云作为云提供商面向企业、学校等组织单位，为租户(如，企业)分配硬件资源或虚拟资源用于企业数据的存储与计算。88.电信云架构是多网络平面的架构。网络平面可以理解为，一个主机(比如，vm或容器)上设置多个物理网络接口或者虚拟网络接口(或称为端口)，这些接口分别连接到不同的网络，这些网络被称为网络平面。例如，继续参见图1，vm111、vm112、容器121或容器122上设置一个或多个端口(图中使用黑色小方格表示)，这些端口可以处于一个或多个网络平面内。比如，vm111上的端口101、容器121上的端口103、容器122上的端口104处于同一网络平面a内。又例如，vm111上的端口101、vm112上的端口102与容器121上的端口105处于同一网络平面b内。89.处于同一网络平面内的端口可达，即同一个网络平面内的所有端口之间可以相互访问。90.在一些实施例中，一个网络平面对应一种类型的业务，比如有负责管理的网络平面，有负责业务的网络平面、有负责运维服务的网络平面、有负责外部通信的网络平面等等。其中，同一网络平面内的端口之间可以访问。以网络平面a为例，端口101、端口103和端口104之间可以互相访问。假设网络平面a对应的业务类型是负责管理并且以网络平面a中vm111用于管理其它vm为例，vm111通过端口101和端口103管理容器121，通过端口101和端口104管理容器122。91.在一些实施例中，不同网络平面之间隔离。比如网络平面a与网络平面b之间设置有防火墙。一些情况下，同时处于网络平面a和网络平面b内的vm可以具有穿过防火墙，实现跨网络平面访问的功能。比如图1中，vm111的端口101既处于网络平面a内，又处于网络平面b内，vm111的端口101可以穿过防火墙，既访问网络平面a内的其它端口(比如，端口103、端口104)，又访问网络平面b内的其它端口(比如，端口102、端口105)。92.然而，随着黑客技术的提升，这种不同网络平面之间的隔离技术已经无法满足安全性需求。比如，以图1为例，入侵者一旦控制了vm111，那么对于网络平面a或网络平面b内的所有端口，入侵者都可以访问到。或者，入侵者原本在网络平面a内，一旦攻破网络平面a和网络平面b之间的防火墙进入网络平面b内部之后，该网络平面b内的所有信息都将暴露给该入侵者，安全性较低。因此，需要提出一种解决方案，即便入侵者攻入某个网络平面内部，也能够保护该网络平面内部的端口不被轻易访问。93.一种解决方案为，一个网络平面内的不同vnf之间隔离。以图1为例，vnf11与vnf12之间隔离。比如，vnf11和vnf12中均设置防火墙。示例性的，以vnf11为例，请参见图2中的(a)，vnf11中的防火墙可以设置于vnf11中的hypervisor层中。如此，可以实现以vnf为粒度的隔离。94.或者，一个网络平面内不同vm之间隔离。以图1中的vnf11为例，vnf11中包括vm111和vm112，vm111和vm112之间隔离。比如，vm111和vm112上均设置防火墙。示例性的，请参见图2中的(b)，vm111中设置防火墙，vm112中设置防火墙。比如，所述防火墙可以设置于guestos中或其它进程中。如此，可以实现以vm为粒度的隔离。95.或者，一个网络平面内不同容器之间隔离。以图1中的vnf12为例，vnf12中包括容器121和容器122。容器121和容器122之间隔离。比如，容器121中设置防火墙，容器122中设置防火墙。如此，可以实现以容器为粒度的隔离。96.当然，隔离粒度还可以更细，比如一个vm内或一个容器内不同进程之间隔离。以vm111内不同进程隔离为例，请参见图2中的(c)，vm111中包括进程1和进程2。进程1中设置有防火墙，进程2中设置有防火墙。如此，可以实现以进程为粒度的隔离。97.以上是不同的隔离粒度的举例，然而，每个vnf、vm、容器或进程中设置防火墙会导致资源浪费，比如，有的vm、容器或进程的私密性不高，如果设置防火墙或浪费资源。98.本技术实施例提供一种访问控制方法，该方法中，一个网络平面内的不同业务之间可以隔离，即以业务为隔离粒度，与前面提到的vm、容器或进程的隔离粒度不同。99.比如，同一网络平面内包括第一端口和第二端口，第一端口对应第一业务，第二端口对应第二业务，第一端口与第二端口之间可以禁止访问。以图1中的网络平面a为例，比如端口103与端口104之间设置防火墙，当入侵者控制容器121时，无法通过端口103访问端口104。这样的话，入侵者进入某个网络平面，无法访问该网络平面内的所有端口，提升信息安全性。100.图3为本技术一实施例提供的通信系统的示意图。图3包括图1中的部分设备。比如，图3中包括网管平台，以及vnf11和vnf12。其中，网管平台可以是图1中的nfvo41、vnfm42或vim43，比如，网管平台是位于nfvo41、vnfm42或vim43中的一个硬件和/或软件模块。或者，网管平台还可以是独立于nfvo41、vnfm42或vim43之外的单独设备，本技术实施例不作限定。为了方便描述，图3中以网管平台是nfvo41为例。继续如图3，各个vm或容器中部署有agent，用于与网管平台即nfvo41通信。比如，nfvo41用于向agent发送第一清单，第一清单中包括同一网络平面内哪些端口之间可以访问，哪些端口之间禁止访问，以使vnf11和vnf12中的vm或容器基于该第一清单进行访问控制。比如，以图3中网络平面a为例，端口103与端口104之间设置防火墙，以网络平面b为例，端口102与端口105之间设置防火墙。具体的实现过程将在图4中介绍。101.图4为本技术实施例提供的一种访问控制方法的流程示意图。该方法适用于通信系统，所述通信系统例如可以是图3所示的通信系统。比如，图4可以理解为图3中网管平台与各个vm或容器中agent之间的交互示意图。如图4所示，所述方法包括：102.s1，网管平台确定第一清单。第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问。第一端口和第二端口属于同一网络平面，该同一网络平面对应同一种业务类型，且第一端口和第二端口对应所述同一种类型中的不同业务。103.示例性的，所述网络平面包括：base平面、fabric平面、o&m平面和external平面中的至少一种。其中，base平面、fabric平面、o&m平面和external平面对应不同种业务类型。比如，base平面对应的业务类型为管理类；管理类包括对vm/容器的监控和管理，比如时钟同步、健康检查等。fabric平面对应的业务类型为业务通信类；业务通信类可以理解为与客户服务相关的通信，比如客户的身份认证、账单记录等业务的通信。o&m平面对应的业务类型为运维类；运维类包括对vm/容器或客户服务的维护。external平面对应的业务类型为外部通信类；外部通信类包括与网元层以外的节点通信。104.第一业务和第二业务是同一网络平面内的不同业务。比如，第一业务和第二业务可以是同一网络平面内的产生地不同或业务/应用类型不同的业务。以同一网络平面是base平面为例，第一业务和第二业务的业务/应用类型不同，比如，第一业务可以是base平面中的时钟同步业务，第二业务可以是base平面中的健康检查业务，则第一业务和第二业务是该网络平面内的不同业务。再比如，第一业务的业务/应用类型是域名解析，第二业务的业务/应用类型是虚拟机或容器的资源监控或生命周期管理，那么第一业务和第二业务属于不同业务。以同一网络平面是fabric平面为例，第一业务的产生地为上海(比如上海上计费业务)，第二业务的产生地为浙江(比如浙江的计费业务)，则第一业务和第二业务属于fabric平面内不同业务。105.可选的，步骤s1的一种实现方式为，网管平台基于第二清单和资产信息确定第一清单。其中，第二清单用于指示哪些业务之间可以访问和/或哪些业务之间禁止访问。资产信息内包括网络平面内所包含的端口以及端口与业务之间的对应关系，关于资产信息将在后文介绍。假设网管设备基于第二清单确定第一业务和第二业务之间禁止访问，基于资产信息中某个网络平面内端口与业务之间的对应关系，确定该网络平面内第一业务对应第一端口，第二业务对应第二端口，那么确定第一端口与第二端口之间禁止访问。因此，网管平台生成第一清单，第一清单中包括第一端口的信息和第二端口的信息以及指示信息，该指示信息用于指示第一端口与第二端口之间禁止访问。106.可以理解的是，在网管平台基于第二清单和资产信息确定第一清单之前，还可以包括步骤：配置第二清单。其中，网管平台“配置”第二清单可以是“预配置”第二清单，比如，开发人员事先设定好哪些业务之间可以访问和/或哪些业务之间禁止访问，将这些业务记录于第二清单中，然后将第二清单写入网管平台中。107.值得说明的是，前面提到过，电信云架构与其它云架构不同。其它云架构作为云提供商为租户提供的能够使用的vm或容器。租户租赁vm或容器之后，可进行数据计算、数据存储等。租户可以根据自己的业务需求设计vm或容器所需要实现的业务，比如，企业租赁一个vm，可以设计该vm实现企业的财务汇总、行政管理等。而且该企业还可以自定义访问策略，比如，哪些业务之间可以访问和/或哪些业务之间禁止访问，比如财务汇总业务与行政管理业务之间禁止访问。当然，还可以使用自学习方式得到访问策略，比如，获取到多个访问请求，确定多个访问请求中包括业务a访问业务b的请求，那么认为业务a有访问业务b的需求，在访问策略中添加业务a与业务b之间允许访问。总之，其它云架构作为云提供商允许租户根据自己的业务需求对其所租赁的vm或容器进行访问策略的调整。然而，租户自定义访问策略或者自学习得到访问策略的方式不适用于电信云架构，因为，电信云架构面向运营商，而且电信云架构中网络平面内的信息不直接面向租户(即运营商)。因此，租户无法获知有哪些网络平面、以及每个网络平面内包括哪些业务。换言之，租户无法自定义网络平面这个层级的访问策略，也无法通过自学习方式得到网络平面这个层级的访问策略。因此，本技术实施例中，第二清单可以是预先配置好的。当然，第二清单也可以是用户设置的，所述用户是具有搭建电信云架构能力的组织单位。108.可以理解的是，在网管平台基于第二清单和资产信息确定第一清单之前，还可以包括步骤：获取资产信息。其中，资产信息中包括网络平面内所包含的端口以及端口与业务之间的对应关系。示例性的，资产信息中包括网络平面标识、网络平面内的网元的标识、虚拟机的标识、容器的标识、网元上包含的端口的信息、虚拟机上包含的端口的信息、容器上包含的端口的信息；其中，端口的信息包括端口的端口号、ipd地址、对应的业务等等。在一些实施例中，各个vm或容器中的agent可以主动向网管平台发送资产信息，比如周期性的发。或者。agent在接收到网管平台的查询请求时，向网管平台发送资产信息。109.需要说明的是，以上是四种是对网络平面的举例，可以包括更多或更少的网络平面，比如，在未来的云架构中，还可以包括除上述四种网络平面以外的其它网络平面，那么对于除上述四种网络平面以外的其它网络平面也可以使用本技术的技术方案实现一个网络平面内不同业务之间的隔离。110.如前文所述，第一清单中包括第一端口的信息和第二端口的信息，在一些实施例中，第一端口和第二端口满足如下条件中的至少一种：111.位于同一网络平面内的不同网元上；112.位于同一网络平面内的不同虚拟机上；113.位于同一网络平面内的不同容器上；114.属于同一网元上处于同一网络平面内的不同端口；115.属于同一虚拟机上处于同一网络平面内的不同端口；116.属于同一容器上处于同一网络平面内的不同端口。117.示例性的，第一端口的信息包括：第一端口所在的网络平面的标识、第一端口的端口号、ip地址；第一业务对应的业务标识、第一端口所在的网元的标识、第一端口所在虚拟机的标识、第一端口所在容器的标识等中的至少一种。示例性的，第二端口的信息包括：第二端口所在的网络平面的标识、第二端口的端口号、ip地址；第二业务对应的业务标识、第二端口所在的网元的标识、第二端口所在虚拟机的标识、第二端口所在容器的标识等中的至少一种。118.作为一种示例，请参见下表1，为第一清单的一种示例：119.表1[0120][0121]如表1，其中“动作”这一列即第一清单中的指示信息，如果这一项是“允许”，则用于指示允许第一端口访问第二端口，如果这一项是“不允许”，则用于指示禁止第一端口访问第二端口。可以理解的是，第一清单可以是白名单，即第一清单中所有指示信息(即“动作”一列)都是允许，或者，第一清单也可以是黑名单，即第一清单中所有指示信息(即“动作”一列)都是禁止，或者，第一清单也可以是白名单和黑名单的结合，即指示信息中包括允许和禁止。[0122]s2，网管平台下发第一清单。[0123]以图3为例，网管平台(即nfvo41)向vnf11中的各个vm下发第一清单，向vnf12中的各个容器下发第一清单。具体的，可以是向vm或容器中的agent下发第一清单。[0124]s3，agent获取到访问请求。访问请求中包括源端口信息和目的端口信息。所述agent可以是图3中任一vm或容器中的agent。[0125]s4，agent基于所述第一清单判断是否阻断所述访问请求。[0126]以agent是图3中vm111中的agent为例，该agent中存储有第一清单，第一清单中包括哪些端口之间允许或禁止访问。如果agent基于所述第一清单确定访问请求中所包含的源端口和目的端口之间禁止访问，确定该访问请求是非法的，则阻断该访问请求；如果agent基于第一清单确定访问请求中所包含的源端口和目的端口之间允许访问，确定该访问请求是合法的，则不阻断该访问请求。[0127]在一些实施例中，agent确定访问请求是非法的之后，还可以向网管平台上报该访问请求。网管平台输出告警信息，用于提示有非法访问。示例性的，所述告警信息中包括访问时间、访问请求的源端信息、目的端信息，还可以包括处理选项。所述处理选项包括加入第一清单、忽略等等。示例性的，所述告警信息可以是如下表2：[0128]表2：告警信息[0129][0130][0131]以表2中第一条访问请求为例，如果人为触发“加入第一清单”的处理选项，则在第一清单中加入该源端和目的端，且指示允许该源端访问该目的端。由于第一清单更新，所以网管平台可以向agent发送更新后的第一清单，这样的话，agent再次获取到包括所述源端和所述目的端的访问请求时，不会再阻断。[0132]在另一些实施例中，网管平台确定发生如下至少一种情况下，也会更新第一清单，然后下发更新后的第一清单。所述情况包括：虚拟机漂移、容器漂移、虚拟机上线或下线、容器上线或下线，增加业务、删减业务。比如，某个网络平面内的虚拟机下线时，则将第一清单中该虚拟机对应的端口信息删除。[0133]在另一些实施例中，网管平台可以输出拓扑关系。所述拓扑关系中包括不同网元、虚拟机或容器之间的访问关系。以不同网元之间的访问关系为例，拓扑关系中可以指示出哪些网元之间发生了访问关系。[0134]在一些实施例中，可以按照地理位置将网元划分为不同的资源池。比如，地理位置相同的网元被划分为同一个资源池。如此，拓扑关系中可以指示出不同资源池内的网元之间的访问关系。比如，浙江区域内的网元属于一个资源池，上海区域内的网元属于一个资源池，拓扑关系中可以指示出浙江区域对应的资源池与上海区域对应的资源池之间的访问关系。可以理解的是，多个区域对应的多个资源池，为了方便管理所述多个资源池，将所述多个区域对应的多个资源池作为i类资源池，使用ii类资源池管理多个i类资源池。ii类资源池可以理解为图3中的网管平台，i类资源池中的网元可以理解为图3中的各个虚拟机、容器等。示例性的，请参见图5，ii类资源池中包括网管平台，用于管理浙江、上海等区域对应的i类资源池。[0135]可选的，一个区域对应的资源池可以包括多种类型，比如，对接商户(tobusiness，tob)类型和对接终端买家(tocustomer，toc)类型等。不同类型的资源池提供的业务不同。比如，tob类型的资源池用于向商户提供业务，比如店铺上线、商品上线等等。toc类型的资源池用于向买家提供业务，比如支付费用等等。以图5中浙江区域对应的资源池为例，该资源池可以包括tob类型的资源池，也可以包括toc类型的资源池。[0136]如图5所示，两个网元之间显示有连接箭头，则代表这两个网元之间可以访问。比如，网管与i类资源池-tob中的网元1之间有箭头，即网管可以访问该网元1。[0137]在本技术实施例中，同一网络平面内的不同业务之间无法访问，比如，图5中，网元1和网元2处于同一网络平面且对应不同业务，所以网元1和网元2无法访问，所以网元1和网元2之间没有连接线。如果接收到访问请求，该访问请求的源端为网元1上的端口，目的端为网元2上的端口，那么该访问请求被阻断，此时，拓扑关系中网元1和网元2之间显示虚线连线，如图6所示，代表二者之间出现异常访问。因此，通过拓扑关系也可以清晰的确定出那两个网元之间出现异常访问。[0138]图7为本技术一实施例提供的通信系统的另一种示意图。图7可以理解为是图3中管理平台与某个网元、虚拟机或容器之间的交互图。如图7所示，网管平台中包括微隔离模块。微隔离模块中包括策略清单配置模块、拓扑关系管理模块、告警管理模块、资产管理模块、策略计算模块。其中，资产管理模块用于获取各个虚拟机或容器的资产信息。策略清单配置模块用于配置第二清单，策略计算模块用于基于资产信息和第二清单确定第一清单，即用于指示图4中的s1。拓扑关系管理模块用于展示拓扑关系。告警管理模块用于输出告警信息。图7以网管平台与网元之间通过平台即服务(platformasaservice，paas)实现通信为例，比如，paas中包括通信服务模块，该通信服务模块用于实现管理平台与网元之间的通信。比如，网管平台通过paas中的通信服务模块向网元下发第一清单。[0139]网元中包括用户态和内核态。其中，用户态中包括代理(agent)，agent中包括数据采集模块和策略执行模块。数据采集模块用于采集资产信息。策略执行模块用于获取访问请求并基于第一清单判断是否需要阻断该访问请求。内核态中包括阻断模块，用于执行策略执行模块下发的策略，比如策略执行模块下发的策略是阻断，那么使用阻断模块使用包过滤(extendedberkeleypacketfilter，ebpf)技术阻断该访问请求。当然，除去ebpf技术以外还可以使用其它技术，比如，iptable技术，本技术不作限定。[0140]图8示出了一种电子设备800的结构示意图。其中，电子设备800能够实现本技术实施例提供的方法中的server端(即网管平台)或agent端的功能。电子设备800可以是硬件结构、软件模块、或硬件结构加软件模块。电子设备800可以由芯片系统实现。本技术实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。[0141]电子设备800可以包括处理单元801。可选的，电子设备800还包括收发单元802。[0142]当电子设备100是server端时，处理单元801可以用于执行图4所示的实施例中的s1，还可以用于支持本文所描述的技术的其它过程。收发单元802用于图4所示的实施例中s2，还可以用于支持本文所描述的技术的其它过程。收发单元802可以是电路、器件、接口、总线、软件模块、收发器或者其它任意可以实现通信的装置。[0143]当电子设备100是agent端时，处理单元801可以用于执行图4所示的实施例中的s4，还可以用于支持本文所描述的技术的其它过程。收发单元802用于图4所示的实施例中s3，还可以用于支持本文所描述的技术的其它过程。收发单元802可以是电路、器件、接口、总线、软件模块、收发器或者其它任意可以实现通信的装置。[0144]其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。[0145]本技术实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本技术各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。[0146]图9为本技术实施例提供的电子设备900的结构示意图。电子设备900可以是前文中的server端(即网管平台)或agent端。如图9所示，电子设备900可以包括：一个或多个处理器901；一个或多个存储器902；通信接口903，以及一个或多个计算机程序904，上述各器件可以通过一个或多个通信总线905连接。其中该一个或多个计算机程序904被存储在上述存储器902中并被配置为被该一个或多个处理器901执行，该一个或多个计算机程序904包括指令。比如，上述指令可以用于执行如上面相应实施例中server端(即网管平台)或agent端的相关步骤。通信接口903用于实现与其他设备的通信，比如通信接口可以是收发器。[0147]本技术实施例还提供一种通信系统。所述通信系统中包括第一电子设备和第二电子设备。其中，第一电子设备可以是前文中的网管平台，第二电子设备可以是前文中的agent端。其中，第一电子设备和第二电子设备的结构可以参见图8或图9所示。比如，当图9所示的电子设备900是第一电子设备时，当一个或多个计算机程序904的指令被处理器执行时，使得所述第一电子设备执行如前文中网管平台的步骤。当图9所示的电子设备900是第二电子设备时，当一个或多个计算机程序904的指令被所述处理器执行时，使得所述第二电子设备执行如前文中agent端的步骤。[0148]上述本技术提供的实施例中，从电子设备作为执行主体的角度对本技术实施例提供的方法进行了介绍。为了实现上述本技术实施例提供的方法中的各功能，电子设备可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。[0149]以上实施例中所用，根据上下文，术语“当…时”或“当…后”可以被解释为意思是“如果…”或“在…后”或“响应于确定…”或“响应于检测到…”。类似地，根据上下文，短语“在确定…时”或“如果检测到(所陈述的条件或事件)”可以被解释为意思是“如果确定…”或“响应于确定…”或“在检测到(所陈述的条件或事件)时”或“响应于检测到(所陈述的条件或事件)”。另外，在上述实施例中，使用诸如第一、第二之类的关系术语来区份一个实体和另一个实体，而并不限制这些实体之间的任何实际的关系和顺序。[0150]在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本技术的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。[0151]在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。在不冲突的情况下，以上各实施例的方案都可以组合使用。[0152]需要指出的是，本专利申请文件的一部分包含受著作权保护的内容。除了对专利局的专利文件或记录的专利文档内容制作副本以外，著作权人保留著作权。当前第1页12当前第1页12
技术特征：
1.一种访问控制方法，其特征在于，包括：确定第一清单，所述第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问；其中，所述第一端口和所述第二端口属于同一网络平面，所述同一网络平面对应同一类业务，且所述第一端口和所述第二端口对应所述同一类业务中的不同业务；发送所述第一清单。2.根据权利要求1所述的方法，其特征在于，所述确定第一清单包括：基于第二清单确定所述第一业务和所述第二业务之间允许或禁止访问；其中，所述第二清单中包括允许访问的业务和/或禁止访问的业务；基于资产信息确定所述第一业务对应所述第一端口，所述第二业务对应所述第二端口，且所述第一端口和所述第二端口处于同一网络平面内；其中，所述资产信息中包括网络平面内的所有端口，以及每个端口对应的业务；生成所述第一清单。3.根据权利要求2所述的方法，其特征在于，所述第二清单是预配置的。4.根据权利要求1所述的方法，其特征在于，所述网络平面包括base平面、fabric平面、o&m平面、external平面中的至少一种。5.根据权利要求1所述的方法，其特征在于，所述第一端口和所述第二端口满足如下条件中的至少一种：位于所述同一网络平面内的不同网元上；位于所述同一网络平面内的不同虚拟机上；位于所述同一网络平面内的不同容器上；位于同一网元上处于所述同一网络平面内的不同端口；位于同一虚拟机上处于所述同一网络平面内的不同端口；位于同一容器上处于所述同一网络平面内的不同端口。6.根据权利要求1所述的方法，其特征在于，所述第一端口对应第一业务，所述第二端口对应第二业务，所述第一业务和所述第二业务的业务类型、业务产生地中的至少一项不同。7.根据权利要求1所述的方法，其特征在于，所述第一端口的信息包括：所述第一端口的端口号、所述第一端口的ip地址、所述第一端口对应业务的业务标识、所述第一端口所在网元的标识、所述第一端口所在虚拟机的标识、所述第一端口所在容器的标识中的至少一项；所述第二端口的信息包括：所述第二端口的端口号、所述第二端口的ip地址、所述第二端口对应业务的业务标识、所述第二端口所在网元的标识、所述第二端口所在虚拟机的标识、所述第二端口所在容器的标识中的至少一项。8.根据权利要求1所述的方法，其特征在于，在所述指示信息用于指示所述第一端口与所述第二端口之间禁止访问的情况下，所述方法还包括：如果获取到所述第一端口与所述第二端口之间的访问请求，输出告警信息。9.根据权利要求8所述的方法，其特征在于，所述输出告警信息包括：显示所述第一端口的信息和所述第二端口的信息，以及第一选项；所述第一选项用于
设置所述第一端口和所述第二端口之间允许访问。10.根据权利要求8所述的方法，其特征在于，所述输出告警信息包括：显示拓扑关系；所述拓扑关系中包括第一网元的标识和第二网元的标识，在所述第一网元与所述第二网元之间显示所述警告信息；其中，所述第一网元是所述第一端口所在网元，所述第二网元是所述第二端口所在位于网元。11.一种访问控制方法，其特征在于，包括：接收第一清单，所述第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问；其中，所述第一端口和所述第二端口属于同一网络平面，所述同一网络平面对应同一类业务，且所述第一端口和所述第二端口对应所述同一类业务中的不同业务；接收访问请求，所述访问请求中包括源端口信息和目的源端信息；基于所述第一清单，确定所述源端口和所述目的端口之间是否允许访问。12.根据权利要求11所述的方法，其特征在于，所述网络平面包括base平面、fabric平面、o&m平面、external平面中的至少一种。13.根据权利要求11所述的方法，其特征在于，所述第一端口和所述第二端口满足如下条件中的至少一种：位于所述同一网络平面内的不同网元上；位于所述同一网络平面内的不同虚拟机上；位于所述同一网络平面内的不同容器上；位于同一网元上处于所述同一网络平面内的不同端口；位于同一虚拟机上处于所述同一网络平面内的不同端口；位于同一容器上处于所述同一网络平面内的不同端口。14.根据权利要求11所述的方法，其特征在于，所述第一端口对应第一业务，所述第二端口对应第二业务，所述第一业务和所述第二业务的业务类型、业务产生地中的至少一项不同。15.根据权利要求11所述的方法，其特征在于，所述第一端口的信息包括：所述第一端口的端口号、所述第一端口的ip地址、所述第一端口对应业务的业务标识、所述第一端口所在网元的标识、所述第一端口所在虚拟机的标识、所述第一端口所在容器的标识中的至少一项；所述第二端口的信息包括：所述第二端口的端口号、所述第一端口的ip地址、所述第二端口对应业务的业务标识、所述第二端口所在网元的标识、所述第二端口所在虚拟机的标识、所述第二端口所在容器的标识中的至少一项。16.根据权利要求11所述的方法，其特征在于，所述方法还包括：基于所述第一清单，确定所述源端口和所述目的端口之间禁止访问时，上报所述访问请求。17.一种电子设备，其特征在于，包括：处理器，存储器，以及，一个或多个程序；其中，所述一个或多个程序被存储在所述存储器中，所述一个或多个程序包括指令，当所述指令被所述处理器执行时，使得所述电子设备执行如权利要求1至16中任意一项所述
的方法步骤。18.一种通信系统，其特征在于，包括：第一电子设备和第二电子设备；所述第一电子设备包括：处理器；存储器；其中，所述存储器存储有一个或多个计算机程序，所述一个或多个计算机程序包括指令，当所述指令被所述处理器执行时，使得所述第一电子设备执行如权利要求1至10任一项所述的方法中第一电子设备的步骤；所述第二电子设备包括：处理器；存储器；其中，所述存储器存储有一个或多个计算机程序，所述一个或多个计算机程序包括指令，当所述指令被所述处理器执行时，使得所述第二电子设备执行如权利要求11至16任一项所述的方法中第二电子设备的步骤。19.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储计算机程序，当所述计算机程序在计算机上运行时，使得所述计算机执行如权利要求1至16中任意一项所述的方法。

技术总结
一种访问控制方法与相关设备。方法包括：确定第一清单，所述第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问；其中，所述第一端口和所述第二端口属于同一网络平面，所述同一网络平面对应同一种业务类型，且所述第一端口和所述第二端口对应所述同一种业务类型中的不同业务；发送所述第一清单。通过这种方式，同一个网络平面内不同业务对应的端口隔离开，这样即便入侵者进入该网络平面内，也无法轻易访问所有端口。口。口。


技术研发人员：阮玲宏 焦成伟
受保护的技术使用者：华为技术有限公司
技术研发日：2022.01.25
技术公布日：2023/8/5