CN113132326B

CN113132326B - 一种访问控制方法、装置及系统

Info

Publication number: CN113132326B
Application number: CN201911419109.8A
Authority: CN
Inventors: 黄忠金; 梁乾灯
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2019-12-31
Filing date: 2019-12-31
Publication date: 2022-08-09
Anticipated expiration: 2039-12-31
Also published as: US20220329566A1; CN113132326A; WO2021135485A1; EP4060957A1; EP4060957A4

Abstract

本申请公开了一种访问控制方法、装置及系统，涉及通信领域，在端到端VXLAN场景中实现与策略执行点设备规格无关的访问策略配置，提高组网灵活性。具体方案为：控制点获取多个组和多份访问策略的对应关系；确定第一组的用户通过第一策略执行点接入网络，其中第一组属于所述多个组；向第一策略执行点发送与第一组对应的第一访问策略，第一访问策略属于多份访问策略，第一访问策略用于确定第一组是否可以被第二组访问。

Description

一种访问控制方法、装置及系统

技术领域

本申请实施例涉及通信领域，尤其涉及一种访问控制方法、装置及系统。

背景技术

在网络通信中，通常由控制器选择网络设备作为策略执行点，向策略执行点部署访问策略，由策略执行点按照访问策略对流量报文进行权限和带宽控制。

访问策略通常静态部署，在控制器上统一指定策略执行点，并统一向策略执行点下发全量的访问策略(网络中配置的用于访问控制的大量的访问测量集合)。大规模的访问策略对策略执行点的规格要求高，组网上需要把策略执行点规划在汇聚层或者核心层的设备上。

随着虚拟扩展局域网(Virtual eXtensible Local Area Network，VXLAN)技术的发展，端到端部署VXLAN(即接入层到核心层建立VLAN隧道)的场景，接入层设备也将作为策略执行点。但是，接入层设备通常都是比较低端的设备(接入交换机，AP等)，难以统一部署大量的策略。

如何在端到端VXLAN场景中实现与策略执行点规格无关的访问策略配置，成为亟待解决的问题。

发明内容

本申请提供一种访问控制方法及装置，在端到端VXLAN场景中实现与策略执行点规格无关的访问策略配置，提高组网灵活性。

为达到上述目的，本申请实施例采用如下技术方案：

第一方面，本申请提供一种访问控制方法，该方法可以包括：控制点获取多个组和多份访问策略的对应关系；该控制点确定第一组的用户通过第一策略执行点接入网络，其中第一组属于上述多个组；控制点向第一策略执行点发送与第一组对应的第一访问策略，其中第一访问策略属于上述多份访问策略，第一访问策略用于确定第一组是否可以被第二组访问。

通过本申请提供的访问控制方法，控制点从选取策略执行点在进行策略控制时需用到的访问策略(该访问策略用于确定通过该策略执行点接入的网络的用户的组是否可以被访问)发送给策略执行点，实现按需配置，替代了在策略执行点布局全量访问策略，降低了对策略执行点的规格要求，在端到端VXLAN场景中实现了与策略执行点规格无关的访问策略配置，提高了组网灵活性。

其中，第一访问策略是第一组作为目的组对应的访问策略。第二组可以为一个或多个组。

需要说明的是，控制点可以与其管理的每个策略执行点通过本申请提供的访问控制方法实现访问策略配置，本申请仅描述控制点与其管理的一个策略执行点的交互过程，其他不再赘述。

结合第一方面，在一种可能的实现方式中，多个组和多份访问策略的对应关系中，一个访问策略有其对应的目的组及源组。本申请中，向策略执行点发送的访问策略，为通过该策略执行点接入的网络的用户的组是否可以被访问，即通过该策略执行点接入的网络的用户的组作为目的组在对应关系中对应的访问策略。

结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，本申请提供的访问控制方法还可以包括：控制点向第二策略执行点发送与第一组对应的第二访问策略，其中第二访问策略属于上述多份访问策略，第二访问策略用于确定第一组是否可以访问通过第二策略执行点接入网络的第三组。实现了对第二访问策略发送用于确定通过第二策略执行点接入的网络的用户的组是否可以被访问的访问策略，即通过第二策略执行点接入的网络的用户的组作为目的组在对应关系中对应的访问策略。

结合第一方面上述任一种可能的实现方式，在另一种可能的实现方式中，第一策略执行点可以为第一组的用户的认证点，在控制点向第一策略执行点发送与第一组对应的第一访问策略之前，本申请提供的访问控制方法还可以包括：控制点从第一策略执行点接收请求消息，该请求消息用于请求第一访问策略。相应的，控制点在接收到请求消息之后，向第一策略执行点发送第一访问策略，实现了作为认证点的策略执行点基于请求响应的模式实现访问策略配置。

结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，控制点向第一策略执行点发送第一访问策略，具体可以实现为：控制点通过无线接入点的控制和配置(control and provisioning of wireless access points protocolspecification，CAPWAP)协议或者边界网关协议(border gateway protocol，BGP)-以太网虚拟专用网(ethernet virtual private network，EVPN)协议，向第一策略执行点发送第一访问策略。

结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，第一策略执行点可以为接入层设备。

结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，控制点向第一策略执行点发送第一访问策略，具体可以实现为：控制点在获取到多个组和多份访问策略的对应关系时，向第一策略执行点发送第一访问策略。

结合第一方面或上述任一种可能的实现方式，在另一种可能的实现方式中，控制点向第一策略执行点发送第一访问策略，具体可以实现为：控制点在接收到发往第一策略执行点的流量报文时，向第一策略执行点发送第一访问策略。

第二方面，本申请提供另一种访问控制方法，该方法可以包括：策略执行点确定请求接入网络的用户属于第一组；策略执行点从控制点获得与第一组对应的第一访问策略，其中第一访问策略用于确定第一组是否可以被第二组访问；策略执行点接收到目的地为该用户的第一报文和表明第一报文的发送方属于第二组的组信息；策略执行点根据第一访问策略和该组信息确定是否将第一报文发送给该用户。

通过本申请提供的访问控制方法，策略执行点从控制点获取进行策略控制时需用到的访问策略，即获取用于确定通过该策略执行点接入的网络的用户的组是否可以被访问的访问策略，实现按需配置，替代了在策略执行点布局全量访问策略，降低了对策略执行点的规格要求，在端到端VXLAN场景中实现了与策略执行点设备规格无关的访问策略配置，提高了组网灵活性。

结合第二方面，在一种可能的实现方式中，表明第一报文的发送方属于第二组的组信息，可以包括：携带在第一报文中的源安全组标识(identity，ID)。

结合第二方面，在一种可能的实现方式中，本申请提供的访问控制方法还可以包括：策略执行点接收用户发送的第二报文；策略执行点根据第二报文的目的地发送第二报文和第一组的标识。

结合第二方面或上述任一种可能的实现方式，在另一种可能的实现方式中，策略执行点根据第二报文的目的地发送第二报文和第一组的标识，具体可以实现为：策略执行点通过VXLAN隧道发送第二报文和第一组的标识。

结合第二方面或上述任一种可能的实现方式，在另一种可能的实现方式中，第一策略执行点可以为第一组的用户的认证点，策略执行点从控制点获得与第一组对应的第一访问策略，具体可以实现为：策略执行点向控制点发送请求消息，该请求消息用于请求与第一组对应的访问策略；策略执行点从控制点接收与第一组对应的第一访问策略。通过该实现方式，实现了作为认证点的策略执行点基于请求响应的模式实现访问策略的配置。

结合第二方面或上述任一种可能的实现方式，在另一种可能的实现方式中，策略执行点从控制点获得与第一组对应的第一访问策略，具体可以实现为：策略执行点通过CAPWAP或者BGP-EVPN协议，从控制点接收与第一组对应的第一访问策略。

结合第二方面或上述任一种可能的实现方式，在另一种可能的实现方式中，该策略执行点可以为接入层设备。

第三方面，本申请提供再一种访问控制方法，应用于访问控制系统，该访问控制系统包括控制点及一个或多个策略执行点。该方法可以包括：控制点获取多个组和多份访问策略的对应关系；该控制点确定第一组的用户通过第一策略执行点接入网络，其中第一组属于上述多个组；控制点向第一策略执行点发送与第一组对应的第一访问策略，其中第一访问策略属于上述多份访问策略，第一访问策略用于确定第一组是否可以被第二组访问。第一策略执行点确定请求接入网络的用户属于第一组；第一策略执行点从控制点获得与第一组对应的第一访问策略；第一策略执行点接收到目的地为该用户的第一报文和表明第一报文的发送方属于第二组的组信息；第一策略执行点根据第一访问策略和该组信息确定是否将第一报文发送给该用户。

需要说明的是，第三方面提供的访问控制方法的具体实现，可以参考前述第一方面或第二方面的具体实现，此处不再进行赘述。

第四方面，本申请提供一种访问控制装置，用于实现上述第一方面描述的方法。该访问控制装置可以为控制点或支持控制点实现该第一方面描述的方法的装置，例如该装置包括芯片系统。例如，该访问控制装置可以包括：获取单元，确定单元和发送单元。

获取单元，用于获取多个组和多份访问策略的对应关系。

确定单元，用于确定第一组的用户通过第一策略执行点接入网络，其中第一组属于多个组。

发送单元，用于向第一策略执行点发送与第一组对应的第一访问策略，其中第一访问策略属于多份访问策略，第一访问策略用于确定第一组是否可以被第二组访问。

需要说明的是，第四方面的各个单元具体实现同第一方面中相应的方法描述，这里不再赘述。

第五方面，本申请提供另一种访问控制装置，该访问控制装置部署于策略执行点，用于实现上述第二方面描述的方法。该访问控制装置为策略执行点或支持策略执行点实现第二方面描述的方法的装置，例如该装置包括芯片系统。例如，该访问控制装置可以包括：确定单元，获得单元、第一接收单元和控制单元。

确定单元，用于确定请求接入网络的用户属于第一组。

获得单元，用于从控制点获得与第一组对应的第一访问策略，其中第一访问策略用于确定第一组是否可以被第二组访问。

第一接收单元，用于接收到目的地为第一组的用户的第一报文和表明第一报文的发送方属于第二组的组信息。

控制单元，用于根据第一访问策略和组信息确定是否将第一报文发送给该用户。

需要说明的是，第五方面的各个单元具体实现同第二方面中相应的方法描述，这里不再赘述。

需要说明的是，上述第四方面、第五方面的功能模块可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。例如，收发器，用于完成接收单元和发送单元的功能，处理器，用于完成处理单元的功能，存储器，用于处理器处理本申请实施例的方法的程序指令。处理器、收发器和存储器通过总线连接并完成相互间的通信。

第六方面，本申请提供一种访问控制系统，该访问控制系统包括控制点及一个或多个策略执行点。其中：

控制点用于：获取多个组和多份访问策略的对应关系；确定第一组的用户通过第一策略执行点接入网络，其中第一组属于上述多个组；向第一策略执行点发送与第一组对应的第一访问策略，其中第一访问策略属于上述多份访问策略，第一访问策略用于确定第一组是否可以被第二组访问。

策略执行点用于：确定请求接入网络的用户属于第一组；从控制点获得与第一组对应的第一访问策略，其中第一访问策略用于确定第一组是否可以被第二组访问；接收到目的地为该用户的第一报文和表明第一报文的发送方属于第二组的组信息；根据第一访问策略和该组信息确定是否将第一报文发送给该用户。

第七方面，本申请提供了一种访问控制装置，该访问控制装置可以实现上述方法示例中的控制点的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。该访问控制装置可以以芯片的产品形态存在。

结合第七方面，在一种可能的实现方式中，该访问控制装置的结构中包括处理器和收发器，该处理器被配置为支持该访问控制装置执行上述方法中相应的功能。该收发器用于支持该访问控制装置与其他设备之间的通信。该访问控制装置还可以包括存储器，该存储器用于与处理器耦合，其保存该访问控制装置必要的程序指令和数据。

第八方面，本申请提供了另一种访问控制装置，该访问控制装置的装置可以实现上述方法示例中的策略执行点的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。该访问控制装置可以以芯片的产品形态存在。

结合第八方面，在一种可能的实现方式中，该访问控制装置的结构中包括处理器和收发器，该处理器被配置为支持该访问控制装置执行上述方法中相应的功能。该收发器用于支持该访问控制装置与其他设备之间的通信。该访问控制装置还可以包括存储器，该存储器用于与处理器耦合，其保存该访问控制装置必要的程序指令和数据。

第九方面，本申请提供一种访问控制系统，包括用于执行上述方法中控制点功能的访问控制装置，及一个或多个用于执行上述方法中策略执行点功能的访问控制装置。

第十方面，提供了一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行上述任一方面或任一种可能的实现方式提供的访问控制方法。

第十一方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一方面或任一种可能的实现方式提供的访问控制方法。

第十二方面，本申请实施例提供了一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现上述方法中控制点或者策略执行点的功能。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

其中，需要说明的是，上述各个方面中的任意一个方面的各种可能的实现方式，在方案不矛盾的前提下，均可以进行组合。

附图说明

图1为一种局域网网络架构示意图；

图2为一种园区管理网络架构示意图；

图3为再一种局域网网络架构示意图；

图4为本申请实施例提供的一种访问控制装置的结构示意图；

图5为本申请实施例提供的一种访问控制方法的流程示意图；

图6为本申请实施例提供的另一种访问控制方法的流程示意图；

图7为本申请实施例提供的再一种局域网网络架构示意图；

图8为本发明实施例提供的另一种访问控制装置的结构示意图；

图9为本发明实施例提供的再一种访问控制装置的结构示意图；

图10为本发明实施例提供的又一种访问控制装置的结构示意图；

图11为本发明实施例提供的又一种访问控制装置的结构示意图。

具体实施方式

本申请说明书和权利要求书及上述附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象，而不是用于限定特定顺序。

在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

为了下述各实施例的描述清楚简洁，此处先对本文涉及的名词及相关技术做简要介绍。

组，也可以称为安全组，是对用户划分的集合，组内包括的用户称为这个组的用户。本申请描述的组，用于与访问策略对应。用户与组的关系，可以取决于用户的业务特点，例如类型、占用的带宽或者其他，本申请不予限定。用户所属的组，在用户认证阶段确定，用户接入的网络设备对用户所属的组已知。

组的ID用于唯一指示组，本申请对于其形式和内容不作限定。

控制点，可以指网络中作为统一控制点的网络设备。控制点可以分为无线控制点设备、有线控制点设备。

认证点，指用于进行终端用户认证的客户端设备。认证点通常可以是网络边缘的网络设备。

策略执行点(也可称为分布式策略执行点)，负责对流量进行权限和/或带宽控制的网络设备。策略执行点通常可以是网络边缘的网络设备。

访问策略(也可以称为安全策略)，是进行网络安全控制(权限控制或其他)的规则。一个访问策略具有其对应的目的组以及源组。

访问控制，当作为目的端策略执行点的网络设备接收到一个流量报文时，目的端策略执行点根据流量报文中携带的目的地的地址信息，在认证用户的表项中找到对应的目的组ID，将流量报文的发送方所属的组作为源组，策略执行点按照源组及目的组对应的访问策略，对流量报文进行策略控制，确定报文是否可以发送给目的用户。

在图1所示的局域网网络架构中，控制器通过可扩展消息处理和现场协议(extensible messaging and presence protocol，XMPP)协议，将全量访问策略下发到局域网交换机(local area network switch，LSW)1和LSW2上(LSW1和LSW2为策略执行点)。LSW1和LSW2同时作为用户的认证点，分别对各自区域下的用户进行认证。用户(在LSW1上认证的用户)的无线流量走隧道转发，由LSW1对流量作VXLAN封装得到VXLAN报文发往目的端，VXLAN报文中携带源组ID(用户所属的组的标识)。管理目的端终端的LSW2设备从VXLAN报文中获取源组ID，再根据VXLAN报文中携带的VXLAN报文的地址信息查找认证用户表项获取目的组信息，选取目的组信息及源组ID对应的访问策略，对VXLAN报文作策略控制。

在该过程中，统一指定策略执行点，并统一下发访问策略静态部署，策略执行点上一般部署全量的访问策略，策略规模会比较大，对策略执行点的规格要求高，组网上一般需要把策略执行点规划在汇聚层或者核心层的设备上才能实现。但在端到端部署VXLAN的场景，接入层设备也将作为策略执行点。

在图2所示的园区管理网络架构中，园区策略控制器向集中式网关Border和接入控制器(access controller，AC)设备下发有线/无线统一访问策略。Border作为集中式网关，负责流量集中转发和控制。Border和AC设备分别作为有线和无线的统一控制点，通过园区策略控制器同步部署访问策略。在图2示意的园区管理网络中，部署端到端的VXLAN(接入层到核心层建立VXLAN隧道)，实现有线和无线架构统一。其中，接入层设备无线接入点(access point，AP)和LSW作为策略执行点。AP和LSW部署于接入层，而接入层设备通常都是比较低端的设备(接入交换机，AP等)，由于接入层设备自身硬件规格限制，无法部署大量的策略。

容易想到的是，可以考虑通过控制器上，指定向不同的策略执行点下发不同的访问策略，但是这要求管理员人工进行大量规划，并且如果存在人员流动场景，由于策略是静态规划，需要根据管理员根据人员流动的情况不断的修改策略，维护成本高。

基于此，本申请实施例提供了一种访问控制方法，其基本原理是：控制点选取用于确定通过策略执行点接入的网络的用户的组是否可以被访问的访问策略，发送给该策略执行点，向策略执行执行点发送的访问策略，是策略执行点在进行策略控制时需用到的访问策略，实现了按需配置，替代了在策略执行点布局全量访问策略，降低了对策略执行点的规格要求，在端到端VXLAN场景中实现了与策略执行点规格无关的访问策略配置，提高了组网灵活性。

本申请提供的访问控制方法，可以应用于图3示意的局域网网络架构中。如图3所示，该局域网网络架构中包括控制点301、多个策略执行点302及终端303。

其中，控制点301用于管理多个策略执行点302，并通过本申请提供的方案向策略执行点302下发访问策略。

策略执行点302可以为接入层设备，或者可以为汇聚层设备，或者也可以为核心层设备，本申请实施例对此不进行具体限定。例如，当策略执行点302为接入层设备时，其产品形态可以为AP或LSW等，本申请不予限定。

终端303，即用户使用的通信设备，可以与本申请描述的用户等价替换。终端303可以为手机、平板电脑、笔记本电脑、超级移动个人计算机(Ultra-mobile PersonalComputer，UMPC)、上网本、个人数字助理(Personal Digital Assistant，PDA)、电子书、移动电视、穿戴设备、个人电脑(Personal Computer，PC)等等。在不同制式的通信系统中，终端可以有不同的称呼，但均可以理解为本申请中描述的终端。本申请实施例对于终端的类型也不进行具体限定。

例如，在图3所示的网络架构中，终端303在AP类型的策略执行点302或者控制点301进行认证以接入网络，其认证过程本申请不予赘述。终端303可以通过802.11协议，接入AP类型的策略执行点302访问网络。

进一步的，如图3所示，该局域网网络架构中还可以包括控制器304，作为管理员管理该局域网的设备。例如，控制器304可以为图2示意的园区管理网络架构中的园区策略控制器。

例如，在图3所示的网络架构中，控制器304负责统一业务编排，可以通过netconf协议将全局访问策略下发配置给控制点301(例如AC)。控制点301负责收集AP类型的策略执行点302的服务集标识(service set identifier，SSID)对应的子网和AP接入的终端303的媒体访问控制(media access control，MAC)地址、主机路由信息，生成对应路由注入给BGP-EVPN散播给LSW类型的策略执行点302；AP类型的策略执行点302通过控制点301和LSW类型的策略执行点302间接交互，散播EVPN路由，建立VXLAN隧道。

需要说明的是，图3中的各个网元之间的通信所采用的协议名称只是一个示例，本申请实施例对此不作具体限定。图3仅是示意了一种网络拓扑架构，在实际应用中，本申请方案应用的网络拓扑的规模、以及连接关系均可以根据实际配置，本申请实施例对此不进行具体限定。

还需要说明的是，本申请附图中各个网元的实际产品形态可以根据实际需求配置，附图中只是举例示意了各个网元的类型，并不是对此的具体限定。

下面结合附图，对本申请的实施例进行具体阐述。

一方面，本申请实施例提供一种访问控制装置。图4示出的是与本申请各实施例相关的一种访问控制装置40。访问控制装置40可以部署于图3示意的网络架构中的控制点301或策略执行点302中。如图4所示，访问控制装置40可以包括处理器401、存储器402以及收发器403。

下面结合图4对访问控制装置40的各个构成部件进行具体的介绍：

其中，存储器402可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)；或者非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，ROM)，快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；或者上述种类的存储器的组合，用于存储可实现本申请方法的程序代码、配置文件或其他内容。

处理器401是访问控制装置40的控制中心，可以是一个中央处理器(centralprocessing unit，CPU)，也可以是特定集成电路(application specific integratedcircuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital singnal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)。

收发器403用于与其他设备之间通信以及数据传输。

一种可能的实现中，访问控制装置40部署于控制点，处理器401通过运行或执行存储在存储器402内的软件程序和/或模块，以及调用存储在存储器402内的数据，执行如下功能：

获取多个组和多份访问策略的对应关系；确定第一组的用户通过第一策略执行点接入网络，其中第一组属于上述多个组；通过收发器403向第一策略执行点发送与第一组对应的第一访问策略，其中第一访问策略属于上述多份访问策略，第一访问策略用于确定第一组是否可以被第二组访问。

另一种可能的实现中，访问控制装置40部署于策略执行点，处理器401通过运行或执行存储在存储器402内的软件程序和/或模块，以及调用存储在存储器402内的数据，执行如下功能：

确定请求接入网络的用户属于第一组；从控制点获得与第一组对应的第一访问策略，其中第一访问策略用于确定第一组是否可以被第二组访问；接收到目的地为该用户的第一报文和表明第一报文的发送方属于第二组的组信息；根据第一访问策略和该组信息确定是否将第一报文发送给该用户。

另一方面，本申请实施例还提供一种访问控制方法，该方法应用于控制点与策略执行点的交互过程中。需要说明的是，控制点与其控制的每个策略执行点的交互过程相同，本申请下述实施例仅以控制点与其管理的一个策略执行点(第一策略执行点)的交互过程为例进行描述，其他不再一一赘述。

如图5所示，本申请实施例提供的访问控制方法可以包括：

S501、控制点获取多个组和多份访问策略的对应关系。

一种可能的实现方式中，S501中控制点可以从控制器接收多个组和多份访问策略的对应关系。对于控制点与控制器之间的交互协议及具体交互方式，本申请实施例不予限定。

例如，控制器可以通过netconf协议向控制点下发多个组和多份访问策略的对应关系。

例如，控制器可以为园区管理系统中的园区控制器，控制点可以为border或者AC设备。本申请实施例对于网元的实际产品形态不予限定。

另一种可能的实现方式中，S501中，控制点可以接收管理员配置的多个组和多份访问策略的对应关系。

具体的，S501中控制点获取的多个组和多份访问策略的对应关系中，包括了每个访问策略对应的源组及目的组，其中，源组、目的组可以通过源组ID、目的组ID用于指示，不再一一说明。

其中，访问策略对应的源组及目的组用于指示访问策略控制的报文。例如，当作为目的端策略执行点的网络设备接收到一个流量报文时，目的端策略执行点可以根据流量报文中携带的目的地的地址信息，在认证用户的表项中找到对应的目的组ID，同时获取流量报文的发送者所属的源组ID，目的端策略执行点选取源组ID及目的组ID对应的访问策略，确定流量报文是否可以发往目的用户。

示例性的，表1示意了S501中控制点获取的多个组和多份访问策略的对应关系，表1中一行表示一份访问策略与其源组ID及目的组ID的对应关系。

表1

访问策略	源组ID	目的组ID
			访问策略1	ID a	ID b
访问策略2	ID c	ID d
			访问策略3	ID e	ID f
……	……	……

需要说明的是，表1只是以举例的形式进行示例说明，并不是对多个组和多份访问策略的对应关系的形式及内容的具体限定。

还需要说明的是，S501中控制点获取的多个组和多份访问策略的对应关系，可以网络中部署的所有或部分访问策略与源组、目的组的对应关系，本申请对此不予限定。

S502、控制点确定第一组的用户通过第一策略执行点接入网络。

其中第一组属于上述多个组。第一策略执行点为该控制点管理的策略执行点设备。控制点与策略执行点的管理关系，可以由管理员配置或者其他方式确定，本申请实施例不予限定。

具体的，用户接入网络的策略执行点可以在用户接入网络认证阶段确定，该接入关系记录于控制点中，该接入关系中记录了通过控制点管理的每个策略执行点接入网络的用户及其所述的组。例如，S502中接入点根据该接入关系确定第一组的用户通过第一策略执行点接入网络。

进一步的，通过第一策略执行点接入网络的用户可以为一个或多个，该一个或多个用户可以属于一个或多个组，相应的，第一组可以有一个或多个。

S503、控制点向第一策略执行点发送与第一组对应的第一访问策略。

其中，第一访问策略属于上述多份访问策略，第一访问策略用于确定第一组是否可以被第二组访问。应理解，第一访问策略用于确定第一组是否可以被第二组访问，可以指第一访问策略是多个组和多份访问策略的对应关系中，源组为第二组，目的组为第一组对应的访问策略。第一访问策略可以为一份或多份。

其中，第二组可以为多个组和多份访问策略的对应关系中，目的组为第一组时的源组。

例如，在表1示意的多个组和多份访问策略的对应关系的基础上，假设通过某一策略执行点接入网络的所有的终端所属的组标识为ID f、ID b，S503中控制点可以向该策略执行点对应的第一访问策略可以为访问策略1和访问策略3。

具体的，在S503中，控制点可以通过与第一策略执行点之间的通信协议，向第一策略执行点发送第一访问策略。

例如，S503中控制点向第一策略执行点发送第一访问策略，具体可以实现为：控制点通过CAPWAP协议或者BGP-EVPN协议，向第一策略执行点发送第一访问策略。

可选的，第一策略执行点可以为接入层设备。当然，第一策略执行点也可以为汇聚层设备或者核心层设备或者其他。

S504、第一策略执行点确定请求接入网络的用户属于第一组。

其中，S504中第一策略执行点可以根据用户的业务或者所使用的终端配置或者其他内容，确定请求接入网络的用户所属的组别，本申请实施例对于具体的确定方案不做具体限定。

S505、第一策略执行点从控制点获得与第一组对应的第一访问策略。

其中，S505中第一策略执行点从控制点获得的第一访问策略，即S503中控制点向第一策略执行点发送的第一访问策略，此处不再赘述。

例如，S505中第一策略执行点从控制点接收第一访问策略，具体可以实现为：第一策略执行点通过CAPWAP协议或者BGP-EVPN协议，从控制点接收第一访问策略。

S506、第一策略执行点接收到目的地为第一组的用户的第一报文和表明第一报文的发送方属于第二组的组信息。

其中，第一报文可以包括该组信息，该组信息可以为第二组的ID，以表明第一报文的发送方属于第二组的组信息。

具体的，第一报文为源终端的用户发送的流量到达接入层设备，接入层设备对流量封装得到的报文。

进一步的，第一报文还可以包括目的地的标识，用于指示第一报文的目的地。

可选的，S506中第一策略执行点在接收到第一报文时，根据第一报文的目的地，判断目的终端是否接入自己。若第一策略执行点确定目的终端接入自己，则执行S507进行策略控制。若第一策略执行点确定目的终端未接入自己，则进行转发，本申请实施例对于转发过程不再赘述。

S507、第一策略执行点根据第一访问策略和表明第一报文的发送方属于第二组的组信息确定是否将第一报文发送给目的用户。

具体的，在S507中，第一策略执行点从第一访问策略中，选取源组ID(第二组的标识)以及目的组ID(目的地所属的组的ID，即第一组)对应的访问策略，对第一报文进行策略控制，确定是否将第一报文发送给目的用户。

需要说明的是，本申请实施例描述的第一组、第二组仅是从一个组的角度描述本申请的方案，并不构成具体限定。在实际应用中，每个组都可以看着第一组和/或第二组执行本申请的方案，具体实现类似，不再一一赘述。

进一步的，上述S501至S507的过程描述了第一策略执行点作为目的端设备时，控制点与第一策略执行点的交互过程。当然，在实际应用中，第一策略执行点也可以作为源端网络设备，控制点可以向第一策略执行点之外的策略执行点发送对应关系中第一组作为源组对应的访问策略。如图6所示，本申请提供的访问控制方法还可以包括S508。

S508、控制点向第二策略执行点发送与第一组对应的第二访问策略。

其中，第二访问策略属于多份访问策略，第二访问策略用于确定第一组是否可以访问通过第二策略执行点接入网络的第三组。

应理解，第二访问策略用于确定第一组是否可以访问通过第二策略执行点接入网络的第三组，可以指第二访问策略是多个组和多份访问策略的对应关系中，源组为第一组，目的组为第三组对应的访问策略。第二访问策略可以为一份或多份。

其中，第三组可以为多个组和多份访问策略的对应关系中，源组为第一组时的目的组。

进一步的，当第一策略执行点作为源端网络设备时，第一策略执行点还可以向目的地发送用户的报文。如图6所示，本申请提供的访问控制方法还可以包括S509和S510。

S509、第一策略执行点接收第一组的用户发送的第二报文。

其中，第一策略执行点接收到第一组的用户发送的第二报文，第二报文指示了其目的地，第一策略执行点对第二报文进行封装后执行S510发往目的地。

例如，第二报文可以包括目的地地址信息，以指示其目的地。

S510、第一策略执行点根据第二报文的目的地发送第二报文和第一组的标识。

具体的，第一策略执行点可以根据第二报文的目的地，按照到目的地的网络路径发送第二报文，同时发送第一组的标识，以便于目的地策略执行点可以根据第一组的标识选取访问策略，确定第二报文是否可以发往目的用户，目的地策略执行点的具体操作，可以参照前述第一策略执行点的策略控制过程，不再赘述。

例如，S510中第一策略执行点根据第二报文的目的地，发送携带第一组的标识的第二报文。

进一步的，终端用于可以在控制点进行认证，也可以在策略执行点进行认证。当第一策略执行点为第一组的用户的认证点时，如图6所示，本申请实施例提供的访问控制方法还可以包括S511和S512。

S511、第一策略执行点向控制点发送请求消息。

其中，该请求消息用于请求第一组对应的第一访问策略，即该请求消息用于请求目的组为通过第一策略执行点接入网络的终端所属组的访问策略。

一种可能的实现方式中，第一策略执行点可以在终端完成认证后，执行S511，本申请对于S511的执行时机不进行具体限定。

S512、控制点从第一策略执行点接收请求消息。

其中，S512中控制点从第一策略执行点接收的请求消息，即S512中第一策略执行点发送的请求消息，此处不再赘述。

进一步的，控制点可以在S512中接收到请求消息后，执行S503向第一策略执行点发送第一访问策略。

需要说明的是，本申请实施例提供的访问控制方法中包含的上述步骤的执行顺序，可以根据实际需求配置，图5或图6中仅示意了一种可能的执行顺序，不构成具体限定。

下面通过具体示例，对本申请提供的方案进行说明。

图7示意了一种局域网网络架构，控制器负责统一业务编排，通过netconf下发配置给AC，AC负责收集AP SSID对应的子网和AP接入的工作站(Station)的MAC、主机路由信息，生成对应路由注入给BGP-EVPN散播给LSW(网关(gateway，GW))；AP通过AC和LSW(GW)间接交互，散播EVPN路由，建立VXLAN隧道。

控制器通过netconf协议，对AC下发静态全局访问策略。AC通过扩展的BGP-EVPN协议，将目的组为LSW(GW)设备中接入的终端所属的组对应的访问策略，同步给LSW(GW)。AC通过CAPWAP通道，将目的组为station所属的组对应的访问策略给AP。

进一步的，AC作为无线用户的认证点，对无线终端进行认证，终端的授权安全组信息通过CAPWAP隧道同步给AP。

对于图7中方向1的流量报文，工作站的流量直接由AP做VXLAN封装为VXLAN报文，VXLAN报文中携带源组ID，发往目的端终端。LSW(GW)作为目的终端接入的网络设备，并且作为策略执行点，获取VXLAN报文中的源组ID，再根据VXLAN报文中携带的目的端地址信息查找认证用户表项获取目的组ID，选取源组ID及目的组ID对应的访问策略，确定该VXLAN报文是否可以发往目的端终端。

对于图7中方向2的流量报文，LSW(GW)设备对终端的流量做VXLAN封装为VXLAN报文，VXLAN报文中携带源组ID，发往目的端工作站。AP作为目的工作站接入的网络设备，并且作为策略执行点，获取VXLAN报文中的源组ID，再根据VXLAN报文中携带的目的端地址信息查找认证用户表项获取目的组ID，选取源组ID及目的组ID对应的访问策略，确定该VXLAN报文是否可以发往目的端终端。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，上述控制点、策略执行点为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。将控制点、策略执行点中实现上述访问控制方法的功能单元，称之为访问控制装置。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对访问控制装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图8示出了上述实施例中所涉及的控制点中部署的访问控制装置80的一种可能的结构示意图。该访问控制装置80可以为控制点，也可以为控制点中的功能模块或者芯片，也可以为与控制点匹配使用的装置。如图8所示，访问控制装置80可以包括：获取单元801、确定单元802及发送单元803。获取单元801用于执行图5或图6中的过程S501；确定单元802用于执行图5或图6中的过程S502；发送单元803执行图5或图6中的过程S503、S508。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

进一步的，如图8所示，访问控制装置80还可以包括接收单元804，用于执行图5或图6中的过程S512。

在采用集成的单元的情况下，图9示出了上述实施例中所涉及的控制点中部署的访问控制装置90的一种可能的结构示意图。该访问控制装置90可以为控制点，也可以为控制点中的功能模块或者芯片，也可以为与控制点匹配使用的装置。访问控制装置90可以包括：处理模块901、通信模块902。处理模块901用于对访问控制装置90的动作进行控制管理。例如，处理模块901用于执行图5或图6中的过程S501、S502，处理模块901还可以用于通过通信模块902执行图5或图6中的过程S503、S508。访问控制装置90还可以包括存储模块903，用于存储访问控制装置90的程序代码和数据。

其中，处理模块901可以为图4所示的访问控制装置40的实体结构中的处理器401，可以是处理器或控制器。例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理模块901也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块902可以为图4所示的访问控制装置40的实体结构中的收发器403，通信模块902可以是通信端口，或者可以是收发器、收发电路或通信接口等。或者，上述通信接口可以通过上述具有收发功能的元件，实现与其他设备的通信。上述具有收发功能的元件可以由天线和/或射频装置实现。存储模块903可以是图4所示的访问控制装置40的实体结构中的存储器402。

当处理模块901为处理器，通信模块902为收发器，存储模块903为存储器时，本申请实施例图9所涉及的访问控制装置90可以为图4所示的访问控制装置40。

如前述，本申请实施例提供的访问控制装置80或访问控制装置90可以用于实施上述本申请各实施例实现的方法中控制点的功能，为了便于说明，仅示出了与本申请实施例相关的部分，具体技术细节未揭示的，请参照本申请各实施例。

在采用对应各个功能划分各个功能模块的情况下，图10示出了上述实施例中所涉及的策略执行点中部署的访问控制装置100的一种可能的结构示意图。该访问控制装置100可以为策略执行点，也可以为策略执行点中的功能模块或者芯片，也可以为与策略执行点匹配使用的装置。如图10所示，访问控制装置100可以包括：确定单元1001、获得单元1002、第一接收单元1003及控制单元1004。确定单元1001用于执行图5或图6中的过程S504；获得单元1002执行图5或图6中的过程S505；第一接收单元1003用于执行图5或图6中的过程S506；控制单元1004用于执行图5或图6中的过程S507。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

进一步的，如图10所示，访问控制装置100还可以包括第二接收单元1005和发送单元1006。其中，第二接收单元1005用于执行图6中的过程S509；发送单元1006用于执行图6中的过程S510、S511。

在采用集成的单元的情况下，图11示出了上述实施例中所涉及的策略执行点中部署的访问控制装置110的一种可能的结构示意图。该访问控制装置110可以为策略执行点，也可以为策略执行点中的功能模块或者芯片，也可以为与策略执行点匹配使用的装置。访问控制装置110可以包括：处理模块1101、通信模块1102。处理模块1101用于对访问控制装置110的动作进行控制管理。例如，处理模块1101用于通过通信模块1102执行图5或图6中的过程S503、S504、S506；处理模块1101用于执行图5或图6中的过程S505。访问控制装置110还可以包括存储模块1103，用于存储访问控制装置110的程序代码和数据。

其中，处理模块1101可以为图4所示的访问控制装置40的实体结构中的处理器401，可以是处理器或控制器。例如可以是CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理模块1101也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块1102可以为图4所示的访问控制装置40的实体结构中的收发器403，通信模块1102可以是通信端口，或者可以是收发器、收发电路或通信接口等。或者，上述通信接口可以通过上述具有收发功能的元件，实现与其他设备的通信。上述具有收发功能的元件可以由天线和/或射频装置实现。存储模块1103可以是图4所示的访问控制装置40的实体结构中的存储器402。

当处理模块1101为处理器，通信模块1102为收发器，存储模块1103为存储器时，本申请实施例图11所涉及的访问控制装置110可以为图4所示的访问控制装置40。

如前述，本申请实施例提供的访问控制装置100或访问控制装置110可以用于实施上述本申请各实施例实现的方法中策略执行点的功能，为了便于说明，仅示出了与本申请实施例相关的部分，具体技术细节未揭示的，请参照本申请各实施例。

另一方面，本申请提供一种访问控制系统，包括用于执行上述方法中控制点功能的装置，及一个或多个用于执行上述方法中第一策略执行点功能的装置。

作为本实施例的另一种形式，提供一种计算机可读存储介质，其上存储有指令，该指令被执行时执行上述方法实施例中的访问控制方法。

作为本实施例的另一种形式，提供一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得该计算机执行时执行上述方法实施例中的访问控制方法。

本申请实施例再提供一种芯片系统，该芯片系统包括处理器，用于实现本发明实施例的技术方法。在一种可能的设计中，该芯片系统还包括存储器，用于保存本发明实施例必要的程序指令和/或数据。在一种可能的设计中，该芯片系统还包括存储器，用于处理器调用存储器中存储的应用程序代码。该芯片系统，可以由一个或多个芯片构成，也可以包含芯片和其他分立器件，本申请实施例对此不作具体限定。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

在本申请的各个实施例中，实线框对应的内容也可以是可选的。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims

1.一种访问控制方法，其特征在于，包括：

控制点获取多个组和多份访问策略的对应关系；

所述控制点确定第一组的用户通过第一策略执行点接入网络，其中所述第一组属于所述多个组；

所述控制点向所述第一策略执行点发送与所述第一组对应的第一访问策略，其中所述第一访问策略属于所述多份访问策略，所述第一访问策略用于确定所述第一组是否可以被第二组访问，所述第二组为一个或多个；

所述控制点向第二策略执行点发送与所述第一组对应的第二访问策略，其中所述第二访问策略属于所述多份访问策略，所述第二访问策略用于确定所述第一组是否可以访问通过所述第二策略执行点接入网络的第三组。

2.根据权利要求1所述的方法，其特征在于，所述第一策略执行点为所述第一组的用户的认证点，所述方法还包括：

所述控制点从所述第一策略执行点接收请求消息，所述请求消息用于请求所述第一访问策略。

3.根据权利要求1所述的方法，其特征在于，所述控制点向所述第一策略执行点发送与所述第一组对应的第一访问策略，包括：

所述控制点通过无线接入点的控制和配置协议CAPWAP或者边界网关协议BGP-以太网虚拟专用网EVPN协议，向所述第一策略执行点发送与所述第一组对应的第一访问策略。

4.根据权利要求1所述的方法，其特征在于，所述第一策略执行点为接入层设备。

5.一种访问控制方法，其特征在于，包括：

策略执行点确定请求接入网络的用户属于第一组；

所述策略执行点从控制点获得与所述第一组对应的第一访问策略，其中所述第一访问策略用于确定所述第一组是否可以被第二组访问，所述第二组为一个或多个；

所述策略执行点接收到目的地为所述用户的第一报文和表明所述第一报文的发送方属于所述第二组的组信息；

所述策略执行点根据所述第一访问策略和所述组信息确定是否将所述第一报文发送给所述用户；

所述控制点用于向第二策略执行点发送与所述第一组对应的第二访问策略，所述第二访问策略属于多份访问策略，所述第二访问策略用于确定所述第一组是否可以访问通过所述第二策略执行点接入网络的第三组。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

所述策略执行点接收所述用户发送的第二报文；

所述策略执行点根据所述第二报文的目的地发送所述第二报文和所述第一组的标识。

7.根据权利要求6所述的方法，其特征在于，所述策略执行点根据所述第二报文的目的地发送所述第二报文和所述第一组的标识包括：

所述策略执行点通过虚拟扩展局域网VXLAN隧道发送所述第二报文和所述第一组的标识。

8.根据权利要求5-7任一项所述的方法，其特征在于，所述策略执行点为所述第一组用户的认证点，所述策略执行点从控制点获得与所述第一组对应的第一访问策略，包括：

所述策略执行点向所述控制点发送请求消息，所述请求消息用于请求与所述第一组对应的访问策略；

所述策略执行点从控制点接收与所述第一组对应的第一访问策略。

9.根据权利要求5-7任一项所述的方法，其特征在于，所述策略执行点为接入层设备。

10.一种访问控制装置，其特征在于，包括：

获取单元，用于获取多个组和多份访问策略的对应关系；

确定单元，用于确定第一组的用户通过第一策略执行点接入网络，其中所述第一组属于所述多个组；

发送单元，用于向所述第一策略执行点发送与所述第一组对应的第一访问策略，其中所述第一访问策略属于所述多份访问策略，所述第一访问策略用于确定所述第一组是否可以被第二组访问，所述第二组为一个或多个；

所述发送单元还用于：向第二策略执行点发送与所述第一组对应的第二访问策略，其中所述第二访问策略属于所述多份访问策略，所述第二访问策略用于确定所述第一组是否可以访问通过所述第二策略执行点接入网络的第三组。

11.根据权利要求10所述的装置，其特征在于，所述第一策略执行点为所述第一组的用户的认证点，所述装置还包括：

接收单元，用于从所述第一策略执行点接收请求消息，所述请求消息用于请求所述第一访问策略。

12.根据权利要求10所述的装置，其特征在于，所述发送单元具体用于：

通过无线接入点的控制和配置协议CAPWAP或者边界网关协议BGP-以太网虚拟专用网EVPN协议，向所述第一策略执行点发送与所述第一组对应的第一访问策略。

13.根据权利要求10所述的装置，其特征在于，所述第一策略执行点为接入层设备。

14.一种访问控制装置，其特征在于，包括：

确定单元，用于确定请求接入网络的用户属于第一组；

获得单元，用于从控制点获得与所述第一组对应的第一访问策略，其中所述第一访问策略用于确定所述第一组是否可以被第二组访问，所述第二组为一个或多个；

第一接收单元，用于接收到目的地为所述用户的第一报文和表明所述第一报文的发送方属于所述第二组的组信息；

控制单元，用于根据所述第一访问策略和所述组信息确定是否将所述第一报文发送给所述用户；

15.根据权利要求14所述的装置，其特征在于，所述装置还包括：

第二接收单元，用于接收所述用户发送的第二报文；

发送单元，用于根据所述第二报文的目的地发送所述第二报文和所述第一组的标识。

16.根据权利要求15所述的装置，其特征在于，所述发送单元具体用于：

通过虚拟扩展局域网VXLAN隧道发送所述第二报文和所述第一组的标识。

17.根据权利要求14-16任一项所述的装置，其特征在于，所述装置所属的策略执行点为所述第一组用户的认证点，所述获得单元具体用于：

向所述控制点发送请求消息，所述请求消息用于请求与所述第一组对应的访问策略；

从控制点接收与所述第一组对应的第一访问策略。

18.根据权利要求14-16任一项所述的装置，其特征在于，所述装置所属的策略执行点为接入层设备。

19.一种控制点，其特征在于，所述控制点包括：处理器和存储器；

所述存储器与所述处理器连接，所述存储器用于存储计算机指令，当所述处理器执行所述计算机指令时，所述控制点执行如权利要求1-4中任意一项所述的访问控制方法。

20.一种策略执行点，其特征在于，所述策略执行点包括：处理器和存储器；

所述存储器与所述处理器连接，所述存储器用于存储计算机指令，当所述处理器执行所述计算机指令时，所述策略执行点执行如权利要求5-9中任意一项所述的访问控制方法。

21.一种访问控制系统，其特征在于，所述访问控制系统包括如权利要求19所述的控制点，以及一个或多个如权利要求20所述的策略执行点。

22.一种计算机可读存储介质，其特征在于，包括指令，当其在计算机上运行时，使得计算机执行权利要求1至9任一项所述的访问控制方法。