一种访问控制方法与相关设备技术

一种访问控制方法与相关设备。方法包括：确定第一清单，所述第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问；其中，所述第一端口和所述第二端口属于同一网络平面，所述同一网络平面对应同一种业务类型，且所述第一端口和所述第二端口对应所述同一种业务类型中的不同业务；发送所述第一清单。通过这种方式，同一个网络平面内不同业务对应的端口隔离开，这样即便入侵者进入该网络平面内，也无法轻易访问所有端口。口。口。

【技术实现步骤摘要】
一种访问控制方法与相关设备


[0001]本申请涉及通信
，尤其涉及一种访问控制方法与相关设备。

技术介绍

[0002]传统的电信系统通过各种专用的硬件设备组成，不同的业务采用不同专业硬件设备。随着网络规模的增长，系统越来越复杂，带来了诸多的挑战，包括新增业务的开发上线、系统的运维、资源利用率等。为了应对这些挑战，传统电信系统与云计算结合，利用网络功能虚拟化(Network Function Virtualization，NFV)技术将电信网络中各个网络设备的功能从专用硬件平台迁移至通用硬件上，实现硬件设备资源池化及虚拟化，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享。这种传统电信系统与云计算的结合被称为电信云或电信云架构。
[0003]电信云架构包括一个或多个网络平面，网络平面可以是物理通信平面或者逻辑通信界面，而且，一个网络平面内所有端口可达，即可以相互访问。这种网络平面会影响网络信息的安全性，比如，入侵者一旦进入某个网络平面，该网络平面内的所有端口都可以被入侵者访问到，安全性较低。

技术实现思路

[0004]本申请提供了一种访问控制方法与相关设备，用于提升网络访问的安全性。
[0005]第一方面，提供一种访问控制方法。该方法可以由服务(Server)端执行。示例性的，Server端可以是电信云架构中的NFV编排器(NFV Orchestrator，NFVO)。所述方法包括确定第一清单，所述第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问；其中，所述第一端口和所述第二端口属于同一网络平面，所述同一网络平面对应同一类业务，且所述第一端口和所述第二端口对应所述同一类业务中的不同业务；发送所述第一清单。
[0006]需要说明的是，目前，处于同一网络平面内的端口可达，即同一个网络平面内的所有端口之间可以相互访问。这样的话，入侵者一旦进入某个网络平面内，则该网络平面内的所有端口都可以被访问。因此，本申请中，以业务为隔离粒度将一个网络平面内的不同业务之间隔离。这样的话，入侵者进入某个网络平面，无法访问该网络平面内的所有端口，比如有些业务对应的端口入侵者无法访问到，如此，可以提升网络信息安全性。
[0007]在一种可能的设计中，所述确定第一清单包括：基于第二清单确定所述第一业务和所述第二业务之间允许或禁止访问；其中，所述第二清单中包括允许访问的业务和/或禁止访问的业务；基于资产信息确定所述第一业务对应所述第一端口，所述第二业务对应所述第二端口，且所述第一端口和所述第二端口处于同一网络平面内；其中，所述资产信息中包括网络平面内的所有端口，以及每个端口对应的业务；生成所述第一清单。
[0008]也就是说，Server端根据资产信息和第二清单确定第一清单。其中，资产信息是可以动态变化的，比如，有的端口由上线状态变为下线状态，有的端口由下线状态变为上线状
态；或者，有的端口对应的业务由业务A转移到业务B。第二清单中包括哪些业务之间允许访问。因此，通过资产信息和第二清单确定出的第一清单较为准确。
[0009]在一种可能的设计中，所述第二清单是预配置的。
[0010]需要说明的是，电信云架构与其它云架构不同。其它云架构作为云提供商为租户提供的能够使用的VM或容器。租户租赁VM或容器之后，可进行数据计算、数据存储等。租户可以根据自己的业务需求设计VM或容器所需要实现的业务，比如，企业租赁一个VM，可以设计该VM实现企业的财务汇总、行政管理等。而且该企业还可以自定义访问策略，比如，哪些业务之间可以访问和/或哪些业务之间禁止访问，比如财务汇总业务与行政管理业务之间禁止访问。总之，其它云架构作为云提供商允许租户根据自己的业务需求对其所租赁的VM或容器进行访问策略的调整。然而，租户自定义访问策略的方式不适用于电信云架构，因为，电信云架构中网络平面不直接面向租户。租户无法获知有哪些网络平面以及每个网络平面内包括哪些业务。换言之，租户无法自定义网络平面这个层级的访问策略。因此，本申请实施例中，第二清单可以是预先配置好的。比如，开发人员事先设定好哪些业务之间可以访问和/或哪些业务之间禁止访问，将这些业务记录于第二清单中。所述开发人员是具有搭建电信云架构能力的组织单位的人员，不是租户的工作人员。
[0011]在一种可能的设计中，所述网络平面包括base平面、Fabric平面、O&M平面、External平面中的至少一种。需要说明的是，此处列举的网络平面是举例，还可以是其它的网络平面。也就是说，在base平面内，或者在Fabric平面内，或者在O&M平面内，或者在External平面内不同业务之间隔离，这样的话，入侵者进入某个网络平面，无法访问该网络平面内的所有端口，可以提升网络信息安全性。
[0012]在一种可能的设计中，所述第一端口和所述第二端口满足如下条件中的至少一种：
[0013]位于所述同一网络平面内的不同网元上；
[0014]位于所述同一网络平面内的不同虚拟机上；
[0015]位于所述同一网络平面内的不同容器上；
[0016]位于同一网元上处于所述同一网络平面内的不同端口；
[0017]位于同一虚拟机上处于所述同一网络平面内的不同端口；
[0018]位于同一容器上处于所述同一网络平面内的不同端口。
[0019]总之，第一端口和第二端口处于同一网络平面内，但不限定第一端口和第二端口位于同一网元还是不同网元、或者，位于同一虚拟机或不同虚拟机、或者位于同一容器或不同容器。以第一端口和第二端口位于同一网元为例，假设第一端口和第二端口对应不同业务，即第一端口和第二端口之间隔离，这样的话，即便入侵者攻入该网元，也无法均访问到第一端口和第二端口，提升网络信息安全性。
[0020]在一种可能的设计中，所述第一端口对应第一业务，所述第二端口对应第二业务，所述第一业务和所述第二业务的业务类型、业务产生地中的至少一项不同。
[0021]举例来说，以网络平面Base平面为例，第一业务和第二业务的业务类型不同，比如，第一业务可以是Base平面中的时钟同步业务，第二业务可以是Base平面中的健康检查业务。再例如，以网络平面是Fabric平面为例，第一业务和第二业务的业务产生地不同，比如，第一业务的产生地为上海(比如上海上计费业务)，第二业务的产生地为浙江(比如浙江
的计费业务)。
[0022]也就是说，本申请可以将一个网络平面内的业务类型不同的两个业务之间隔离，和/或，将一个网络平面内业务产生地不同的两个业务之间隔离。这样的话，入侵者进入某个网络平面，无法访问该网络平面内的所有业务，可以提升网络信息安全性。
[0023]在一种可能的设计中，所述第一端口的信息包括：所述第一端口的端口号、所述第一端口的IP地址、所述第一端口对应业务的业务标识、所述第一端口所在网元的标识、所述第一端口所在虚拟机的标识、所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，其特征在于，包括：确定第一清单，所述第一清单中包括第一端口的信息、第二端口的信息以及指示信息，所述指示信息用于指示所述第一端口与所述第二端口之间允许或禁止访问；其中，所述第一端口和所述第二端口属于同一网络平面，所述同一网络平面对应同一类业务，且所述第一端口和所述第二端口对应所述同一类业务中的不同业务；发送所述第一清单。2.根据权利要求1所述的方法，其特征在于，所述确定第一清单包括：基于第二清单确定所述第一业务和所述第二业务之间允许或禁止访问；其中，所述第二清单中包括允许访问的业务和/或禁止访问的业务；基于资产信息确定所述第一业务对应所述第一端口，所述第二业务对应所述第二端口，且所述第一端口和所述第二端口处于同一网络平面内；其中，所述资产信息中包括网络平面内的所有端口，以及每个端口对应的业务；生成所述第一清单。3.根据权利要求2所述的方法，其特征在于，所述第二清单是预配置的。4.根据权利要求1所述的方法，其特征在于，所述网络平面包括base平面、Fabric平面、O&M平面、External平面中的至少一种。5.根据权利要求1所述的方法，其特征在于，所述第一端口和所述第二端口满足如下条件中的至少一种：位于所述同一网络平面内的不同网元上；位于所述同一网络平面内的不同虚拟机上；位于所述同一网络平面内的不同容器上；位于同一网元上处于所述同一网络平面内的不同端口；位于同一虚拟机上处于所述同一网络平面内的不同端口；位于同一容器上处于所述同一网络平面内的不同端口。6.根据权利要求1所述的方法，其特征在于，所述第一端口对应第一业务，所述第二端口对应第二业务，所述第一业务和所述第二业务的业务类型、业务产生地中的至少一项不同。7.根据权利要求1所述的方法，其特征在于，所述第一端口的信息包括：所述第一端口的端口号、所述第一端口的IP地址、所述第一端口对应业务的业务标识、所述第一端口所在网元的标识、所述第一端口所在虚拟机的标识、所述第一端口所在容器的标识中的至少一项；所述第二端口的信息包括：所述第二端口的端口号、所述第二端口的IP地址、所述第二端口对应业务的业务标识、所述第二端口所在网元的标识、所述第二端口所在虚拟机的标识、所述第二端口所在容器的标识中的至少一项。8.根据权利要求1所述的方法，其特征在于，在所述指示信息用于指示所述第一端口与所述第二端口之间禁止访问的情况下，所述方法还包括：如果获取到所述第一端口与所述第二端口之间的访问请求，输出告警信息。9.根据权利要求8所述的方法，其特征在于，所述输出告警信息包括：显示所述第一端口的信息和所述第二端口的信息，以及第一选项；所述第一选项用于
设置所述第一端口和所述第二端口之间允许访问。10.根据权利要求8所述的方法，其特征在于，所述输出告警信息包括：显示拓扑关系；所述拓扑关系中包括第一网元的标识和第二网元的标识，在所述第一网元与所述第二网元之间显示所述警告信息；其中，所述第一网元是所述第一端口所在网元，所述第二网元是所述第二端口所在位于网元。11.一种访问控制方法，其特征在于，包括：接收第一清单，所...

【专利技术属性】
技术研发人员：阮玲宏，焦成伟，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：