CN115277033A - 访问策略管理方法、装置、设备及计算机可读存储介质 - Google Patents

Abstract

本申请提供了访问策略管理方法、装置、设备及计算机可读存储介质。方法包括：控制设备获取网络中的多个访问设备组和该多个访问设备组之间的访问关系，访问设备组是基于网络的组织架构的关系确定的，访问设备组内包括至少一个访问设备；该控制设备根据获取的多个访问设备组和获取的多个访问设备组之间的访问关系确定该多个访问设备组的访问策略。该方法能够自动确定访问设备组的访问策略，访问策略管理的效率较高，准确性较高。其次，在更新访问设备组或更新访问关系时，能够对多个访问设备组之间的访问关系重新梳理，更新多个访问设备组之间的访问关系。该更新后的多个访问设备组之间的访问关系的准确性较高，避免访问关系之间出现冲突的情况。

Description

访问策略管理方法、装置、设备及计算机可读存储介质

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种访问策略管理方法、装置、设备及计算机可读存储介质。

背景技术

随着通信技术和网络技术的发展，用户可能在任意位置以任意方式接入网络，访问资源。例如，用户1可能在本地以无线的方式接入网络，访问资源，也可能在本地以有线的方式接入网络，访问资源。又例如，用户2可能在和用户1相同的位置以相同的方式接入网络，访问资源。由于不同用户能够访问的资源可能不同，需要对用户的访问策略进行管理。

相关技术中，通过人工配置的方式，将用户按照位置或者所在部门进行分组，将用户组与具有访问策略的安全组相关联，同一用户组的用户能够访问与该用户组关联的安全组中的访问策略对应的资源，由此实现对用户的访问策略管理。

然而，相关技术中人工配置的效率较低。由于访问策略对应的资源较多，且同一个资源可能与多个访问策略相对应，访问策略与资源的对应关系较为复杂，人工配置的准确性较低。

发明内容

本申请提出一种访问策略管理方法、装置、设备及计算机可读存储介质，用于实现访问策略的自动配置，提高了访问策略管理的效率和准确性。

第一方面，提供了一种访问策略管理方法，该方法包括：控制设备获取网络中的多个访问设备组以及所述多个访问设备组之间的访问关系，所述访问设备组基于所述网络的组织架构的关系确定，所述访问设备组内包括至少一个访问设备；所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略。

该方法基于获取的多个访问设备组之间的访问关系，能够自动确定访问设备组的访问策略，访问策略管理的效率较高，准确性较高。其次，对于一个访问设备组来说，由于该访问设备组的访问策略是根据该访问设备组和获取的多个访问设备组中其他的访问设备组之间的访问关系确定的，在更新访问设备组或更新访问关系时，该控制设备能够对多个访问设备组之间的访问关系重新梳理，从而更新多个访问设备组之间的访问关系。该更新后的多个访问设备组之间的访问关系的准确性较高，避免访问关系之间出现冲突的情况。

在一种可能的实现方式中，所述访问策略为基于用户控制列表UCL的访问策略，所述访问设备组中的一个访问设备对应一个用户名；或者，所述访问策略为基于访问控制列表ACL的访问策略，所述访问设备组中的一个访问设备对应一个网际协议IP地址。

在一种可能的实现方式中，所述控制设备获取网络中的多个访问设备组以及所述多个访问设备组之间的访问关系，包括：所述控制设备确定网络中的待管理的多个访问设备；对所述多个访问设备分组，得到多个候选设备组，所述多个候选设备组中的任一候选设备组内包括所述多个访问设备中的至少一个访问设备；确定所述多个候选设备组之间的访问关系；根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系。

在一种可能的实现方式中，所述根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系，包括：所述控制设备合并所述多个候选设备组中的多个指定设备组为第一设备组；根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系。

在一种可能的实现方式中，所述多个指定设备组包括主设备组，所述主设备组为所述多个指定设备组中的一个指定设备组；所述根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系，包括：将所述主设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。

在一种可能的实现方式中，所述根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系，包括：将所述多个指定设备组中的各个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。

在一种可能的实现方式中，所述多个候选设备组包括第二设备组，所述第二设备组为所述多个候选设备组中的一个候选设备组；所述根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系，包括：所述控制设备拆分所述第二设备组为多个子设备组；根据所述第二设备组与第三设备组之间的访问关系，获取所述多个子设备组和所述第三设备组之间的访问关系，所述第三设备组为所述多个候选设备组中除所述第二设备组之外的候选设备组。

在一种可能的实现方式中，所述根据所述第二设备组与第三设备组之间的访问关系，获取所述多个子设备组和所述第三设备组之间的访问关系，包括：对于所述多个子设备组中的任一子设备组，将所述第二设备组与所述第三设备组之间的访问关系，确定为所述任一子设备组与所述第三设备组之间的访问关系。

在一种可能的实现方式中，所述多个子设备组中的各个子设备组具有相互访问的权限。通过合并具有相互访问的权限的多个候选设备组，减少了获取的多个访问设备组的数量，进而减少了确定的访问策略的数量。其次，能够降低多个访问设备组之间的访问关系的复杂程度，提高了确定访问设备组的访问策略的效率。

在一种可能的实现方式中，所述多个指定设备组为具有相互访问的权限的多个候选设备组。

在一种可能的实现方式中，所述控制设备合并所述多个候选设备组中的多个指定设备组为第一设备组之前，所述方法还包括：所述控制设备获取第一指令，所述第一指令用于指示需要进行合并的多个指定设备组；基于所述第一指令，所述控制设备执行合并所述多个指定设备组为第一设备组的操作。基于获取的第一指令，该方法能够合并指定设备组，进而获取多个访问设备组，该方法获取多个访问设备组的方式较为灵活。

在一种可能的实现方式中，所述控制设备拆分所述第二设备组为多个子设备组之前，所述方法还包括：所述控制设备获取第二指令，所述第二指令用于指示需要拆分的第二设备组；基于所述第二指令，所述控制设备执行拆分所述第二设备组为多个子设备组的操作。基于获取的第二指令，该方法能够拆分第二设备组，进而获取多个访问设备组，该方法获取多个访问设备组的方式较为灵活。

在一种可能的实现方式中，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之前，所述方法还包括：所述控制设备获取第三指令，所述第三指令用于指示多个目标设备组之间的访问关系为指定访问关系，所述目标设备组为所述多个访问设备组中的任一访问设备组；基于所述第三指令，所述控制设备将所述多个目标设备组之间的访问关系更新为所述指定访问关系。基于获取的第三指令，该方法能够将多个目标设备组之间的访问关系更新为指定访问关系，该方法获取多个访问设备组之间的访问关系的方式较为灵活，准确性较高。

在一种可能的实现方式中，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之后，所述方法还包括：对于所述多个访问设备组中的任一访问设备组，所述控制设备根据所述任一访问设备组的访问策略生成所述任一访问设备组的策略配置，所述策略配置用于所述任一访问设备组对应的网络设备根据所述策略配置执行所述任一访问设备组的访问策略。

在一种可能的实现方式中，所述控制设备根据所述任一访问设备组的访问策略生成所述任一访问设备组的策略配置，包括：响应于所述策略配置包括ACL规则，所述控制设备根据所述任一访问设备组的访问策略确定所述任一访问设备组对应的疏密关系，所述疏密关系用于指示所述任一访问设备组能够访问的访问设备组的数量和不能访问的访问设备的数量之间的大小关系；根据所述疏密关系生成所述任一访问设备组的ACL规则。通过根据访问设备组对应的疏密关系生成该访问设备组的ACL规则，能够减少ACL规则包括的指令的数量，从而降低存储指令占用的设备开销。

在一种可能的实现方式中，对于所述多个访问设备组中的任一访问设备组，所述任一访问设备组对应的网络设备存储有所述任一访问设备组的初始策略；所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之后，所述方法还包括：对于所述多个访问设备组中的任一访问设备组，所述控制设备根据所述访问策略和所述初始策略获取差异策略；所述控制设备将所述差异策略发送至所述任一访问设备组对应的网络设备，以使所述网络设备根据所述初始策略和所述差异策略获取所述访问策略。通过发送差异策略，能够降低传输访问策略所需的流量，还能够提高传输访问策略的速度。

在一种可能的实现方式中，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之前，所述方法还包括：所述控制设备获取所述多个访问设备组的数量；响应于所述多个访问设备组的数量大于参考数量，所述控制设备显示提示信息，所述提示信息用于提示减小所述多个访问设备组的数量；响应于所述多个访问设备组的数量不大于所述参考数量，所述控制设备执行根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略的操作。通过确定访问设备组的数量与参考数量的关系，能够控制访问设备组的数量；进而能够控制确定的访问策略的数量在一定数量范围之内，从而能够降低存储访问策略占用的存储空间。

在一种可能的实现方式中，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之后，所述方法还包括：所述控制设备根据所述多个访问设备组的访问策略生成访问路径网络，所述访问路径网络用于指示所述多个访问设备组的访问策略；所述控制设备显示所述访问路径网络。通过显示访问路径网络，用户获取多个设备组的访问策略的方式更直观。因此，当用户需要验证确定的访问策略的准确性时，验证效率较高。

第二方面，提供了一种访问策略管理装置，该装置包括：

第一获取模块，用于获取网络中的多个访问设备组以及所述多个访问设备组之间的访问关系，所述访问设备组基于所述网络的组织架构的关系确定，所述访问设备组内包括至少一个访问设备；

确定模块，用于根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略。

在一种可能的实现方式中，所述访问策略为基于用户控制列表UCL的访问策略，所述访问设备组中的一个访问设备对应一个用户名；或者，所述访问策略为基于访问控制列表ACL的访问策略，所述访问设备组中的一个访问设备对应一个网际协议IP地址。

在一种可能的实现方式中，所述第一获取模块包括：第一获取子模块和第二获取子模块；所述第一获取子模块，用于确定网络中的待管理的多个访问设备；对所述多个访问设备分组，得到多个候选设备组，所述多个候选设备组中的任一候选设备组内包括所述多个访问设备中的至少一个访问设备；确定所述多个候选设备组之间的访问关系；所述第二获取子模块，用于根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系。

在一种可能的实现方式中，所述第二获取子模块，用于合并所述多个候选设备组中的多个指定设备组为第一设备组；根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系。

在一种可能的实现方式中，所述多个指定设备组包括主设备组，所述主设备组为所述多个指定设备组中的一个指定设备组；所述第二获取子模块，用于将所述主设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。

在一种可能的实现方式中，所述第二获取子模块，用于将所述多个指定设备组中的各个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。

在一种可能的实现方式中，所述多个候选设备组包括第二设备组，所述第二设备组为所述多个候选设备组中的一个候选设备组；所述第二获取子模块，用于拆分所述第二设备组为多个子设备组；根据所述第二设备组与第三设备组之间的访问关系，获取所述多个子设备组和所述第三设备组之间的访问关系，所述第三设备组为所述多个候选设备组中除所述第二设备组之外的候选设备组。

在一种可能的实现方式中，所述第二获取子模块，用于对于所述多个子设备组中的任一子设备组，将所述第二设备组与所述第三设备组之间的访问关系，确定为所述任一子设备组与所述第三设备组之间的访问关系。

在一种可能的实现方式中，所述多个子设备组中的各个子设备组具有相互访问的权限。

在一种可能的实现方式中，所述多个指定设备组为具有相互访问的权限的多个候选设备组。

在一种可能的实现方式中，所述装置还包括：第二获取模块，用于获取第一指令，所述第一指令用于指示需要进行合并的多个指定设备组；基于所述第一指令，所述第二获取子模块执行合并所述多个指定设备组为第一设备组的操作。

在一种可能的实现方式中，所述装置还包括：第三获取模块，用于获取第二指令，所述第二指令用于指示需要拆分的第二设备组；基于所述第二指令，所述第二获取子模块执行拆分所述第二设备组为多个子设备组的操作。

在一种可能的实现方式中，所述装置还包括：第四获取模块，用于获取第三指令，所述第三指令用于指示多个目标设备组之间的访问关系为指定访问关系，所述目标设备组为所述多个访问设备组中的任一访问设备组；更新模块，用于基于所述第三指令，将所述多个目标设备组之间的访问关系更新为所述指定访问关系。

在一种可能的实现方式中，所述装置还包括：第一生成模块，用于对于所述多个访问设备组中的任一访问设备组，根据所述任一访问设备组的访问策略生成所述任一访问设备组的策略配置，所述策略配置用于所述任一访问设备组对应的网络设备根据所述策略配置执行所述任一访问设备组的访问策略。

在一种可能的实现方式中，所述第一生成模块，用于响应于所述策略配置包括ACL规则，根据所述任一访问设备组的访问策略确定所述任一访问设备组对应的疏密关系，所述疏密关系用于指示所述任一访问设备组能够访问的访问设备组的数量和不能访问的访问设备的数量之间的大小关系；根据所述疏密关系生成所述任一访问设备组的ACL规则。

在一种可能的实现方式中，对于所述多个访问设备组中的任一访问设备组，所述任一访问设备组对应的网络设备存储有所述任一访问设备组的初始策略；所述装置还包括：第五获取模块，用于对于所述多个访问设备组中的任一访问设备组，根据所述访问策略和所述初始策略获取差异策略；发送模块，用于将所述差异策略发送至所述任一访问设备组对应的网络设备，以使所述网络设备根据所述初始策略和所述差异策略获取所述访问策略。

在一种可能的实现方式中，所述装置还包括：第六获取模块，用于获取所述多个访问设备组的数量；第一显示模块，用于响应于所述多个访问设备组的数量大于参考数量，显示提示信息，所述提示信息用于提示减小所述多个访问设备组的数量；响应于所述多个访问设备组的数量不大于所述参考数量，所述确定模块执行根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略的操作。

在一种可能的实现方式中，所述装置还包括：第二生成模块，用于根据所述多个访问设备组的访问策略生成访问路径网络，所述访问路径网络用于指示所述多个访问设备组的访问策略；第二显示模块，用于显示所述访问路径网络。

第三方面，提供了一种访问策略管理设备，该设备包括：处理器，处理器与存储器耦合，存储器中存储有至少一条程序指令或代码，至少一条程序指令或代码由处理器加载并执行，以使设备实现如第一方面或第一方面中任一的访问策略管理方法。

第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有至少一条程序指令或代码，程序指令或代码由处理器加载并执行，以使计算机实现如第一方面或第一方面中任一的访问策略管理方法。

第五方面，提供了一种计算机程序(产品)，所述计算机程序(产品)包括：计算机程序代码，当所述计算机程序代码被计算机运行时，使得所述计算机执行上述第一方面或第一方面中任一的访问策略管理方法。

第六方面，提供了一种通信装置，该装置包括：收发器、存储器和处理器。其中，该收发器、该存储器和该处理器通过内部连接通路互相通信，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，以控制收发器接收信号，并控制收发器发送信号，并且当该处理器执行该存储器存储的指令时，使得该处理器执行第一方面或第一方面的任一种可能的实施方式中的访问策略管理方法。

作为一种示例性实施例，所述处理器为一个或多个，所述存储器为一个或多个。

作为一种示例性实施例，所述存储器可以与所述处理器集成在一起，或者所述存储器与处理器分离设置。

在具体实现过程中，存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，ROM)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。

第七方面，提供了一种芯片，包括处理器，用于从存储器中调用并运行所述存储器中存储的指令，使得安装有所述芯片的设备执行上述第一方面或第一方面的任一种可能的实施方式中的访问策略管理方法。

第八方面，提供另一种芯片，包括：输入接口、输出接口、处理器和存储器，所述输入接口、输出接口、所述处理器以及所述存储器之间通过内部连接通路相连，所述处理器用于执行所述存储器中的代码，当所述代码被执行时，所述处理器用于执行上述第一方面或第一方面的任一种可能的实施方式中的访问策略管理方法。

附图说明

图1是本申请实施例提供的一种访问策略管理方法的网络场景示意图；

图2是本申请实施例提供的一种访问策略管理方法的流程图；

图3是本申请实施例提供的一种多个候选设备组的示意图；

图4是本申请实施例提供的另一种多个候选设备组的示意图；

图5是本申请实施例提供的另一种多个候选设备组的示意图；

图6是本申请实施例提供的另一种多个候选设备组的示意图；

图7是本申请实施例提供的另一种多个候选设备组的示意图；

图8是本申请实施例提供的另一种多个候选设备组的示意图；

图9是本申请实施例提供的另一种多个候选设备组的示意图；

图10是本申请实施例提供的一种获取的多个访问设备组和多个访问设备组之间的关系的示意图；

图11是本申请实施例提供的另一种获取的多个访问设备组和多个访问设备组之间的关系的示意图；

图12是本申请实施例提供的另一种获取的多个访问设备组和多个访问设备组之间的关系的示意图；

图13是本申请实施例提供的另一种获取的多个访问设备组和多个访问设备组之间的关系的示意图；

图14是本申请实施例提供的一种更新指定访问关系的示意图；

图15是本申请实施例提供的一种访问策略管理装置的结构示意图；

图16是本申请实施例提供的一种访问策略管理设备的结构示意图。

具体实施方式

本申请的实施方式部分使用的术语仅用于对本申请的实施例进行解释，而非旨在限定本申请。下面结合附图，对本发明的实施例进行描述。

本申请实施例用于对网络中的访问设备进行访问策略管理，基于网络的组织架构的关系，确定网络中的多个访问设备组，进而获取多个访问设备组之间的访问关系，基于该多个访问设备组和多个访问设备组之间的访问关系确定该多个访问设备组的访问策略。从而根据确定的访问策略，访问设备组中的访问设备能够通过网络访问其他访问设备组的访问设备。

例如，以园区网络为例，网络的组织架构关系为园区网络的组织架构关系，网络中的访问设备为该园区网络中的访问设备。也就是说，在园区网络场景中，本申请实施例基于园区网络的组织架构关系确定园区网络中的多个访问设备组，进而获取该多个访问设备组之间的访问关系，基于该多个访问设备组和多个访问设备组确定该多个访问设备组的访问策略。从而根据确定的访问策略，一个访问设备组中的访问设备能够在园区网络中访问其他访问设备组中的访问设备。在园区网络场景中，用户控制列表(user control list，UCL)和访问控制列表(access control list，ACL)用于提供访问设备的访问规则，以实现对访问设备之间的访问进行管理。示例性地，确定的访问策略为基于UCL的访问策略，或基于ACL的访问策略。

本申请实施例提供的访问策略管理方法可应用于图1所示的网络场景中。如图1所示，该网络场景为园区网络场景，该网络场景包括控制设备101、第一访问设备102、第二访问设备103和第三访问设备104。例如，第一访问设备102与第二访问设备103之间具有相互访问的关系，第一访问设备102和第二访问设备103不能访问第三访问设备104，第三访问设备104也不能访问第一访问设备102和第二访问设备103。又例如，第一访问设备102单向访问第二访问设备103，第一访问设备102单向访问第三访问设备104，第二访问设备103不能访问第三访问设备104，第三访问设备104不能访问第二访问设备103。需要说明的是，上述访问关系仅为本申请实施例举例说明的访问关系，第一访问设备102、第二访问设备103和第三访问设备104之间可能具有其他访问关系，本申请实施例对此不加以限定。

控制设备101通过园区网络能够分别与第一访问设备102、第二访问设备103和第三访问设备104进行通信，因此，控制设备101能够发送访问策略，以使第一访问设备102、第二访问设备103和第三访问设备104能够根据该访问策略访问对应的资源。示例性地，控制设备101为域控制器(domain controller，DC)，或者为具有控制器功能的其他网络设备。第一访问设备102、第二访问设备103和第三访问设备104包括但不限于终端和服务器。当访问设备为终端时，该访问设备具有用户资源；当访问设备为服务器时，该访问设备具有服务器资源。需要说明的是，图1中示出的访问设备的数量仅为本申请实施例举例说明的数量，如图1所示的网络场景可以包括更多或更少的访问设备，本申请实施例对此不加以限定。

结合图1所示的网络场景，本申请实施例提供的访问策略管理方法如图2所示，包括但不限于步骤201和步骤202。

步骤201、控制设备获取网络中的多个访问设备组以及该多个访问设备组之间的访问关系，访问设备组基于网络的组织架构的关系确定，访问设备组内包括至少一个访问设备。

在一种可能的实现方式中，控制设备获取网络中的多个访问设备组以及该多个访问设备组之间的访问关系包括但不限于步骤2011至步骤2014。

步骤2011，控制设备确定网络中的待管理的多个访问设备。

示例性地，控制设备确定需要管理访问策略的网络，该需要管理访问策略的网络具有多个访问设备，确定该多个访问设备为待管理的多个访问设备。

步骤2012，对该多个访问设备分组，得到多个候选设备组，该多个候选设备组中的任一候选设备组内包括多个访问设备中的至少一个访问设备。

其中，控制设备获取网络的组织架构，该组织架构包括多个访问设备所属的部门或多个访问设备具有的访问权限，确定该网络的组织架构的关系；控制设备根据该网络的组织架构的关系对多个访问设备分组，得到多个候选设备组。示例性地，控制设备获取网络的组织架构及确定网络的组织架构的关系的方式包括但不限于：获取用户输入的组织架构及该网络的组织架构的关系，或获取知识图谱或配置管理数据库(configurationmanagement database，CMDB)中网络的组织架构及该网络的组织架构的关系。示例性地，输入组织架构及网络的组织架构的关系的方式包括但不限于：根据活动目录(activedirectory，AD)输入或根据轻量级目录访问协议(lightweight directory accessprotocol，LDAP)输入。

在一种可能的实现方式中，控制设备根据网络的组织架构的关系对多个访问设备分组的方式包括但不限于如下两种方式。

方式一、控制设备根据多个访问设备所属的部门对多个访问设备分组。

针对方式一，根据需要管理访问策略的资源的情况，控制设备根据多个访问设备所属的部门对多个访问设备分组包括但不限于如下两种情况。

情况一、需要管理用户资源和服务器资源。

针对情况一，无论访问设备具有用户资源还是具有服务器资源，控制设备将属于同一个部门的访问设备确定为一个候选设备组。例如，如图3所示，该组织包括4个访问设备；其中，访问设备1、访问设备2和访问设备3属于部门1，访问设备4属于部门2。则确定的候选设备组包括候选设备组1和候选设备组2；其中，候选设备组1包括访问设备1、访问设备2和访问设备3，候选设备组2包括访问设备4。上述访问设备的数量和访问设备所属的部门仅为本申请实施例举例说明的数量和部门，本申请实施例对此不加以限定。

又例如，如图4所示，待管理的多个访问设备包括访问设备1至访问设备11；获取的组织架构关系包括：董事会、人力资源(human resources，HR)部、财经部、市场部和研发部；其中，市场部包括营销部、产品部和销售部，研发部包括开发部、测试部和运维部。访问设备1属于董事会，访问设备2属于HR部，访问设备3属于财经部，访问设备4至访问设备7属于市场部，访问设备8至访问设备11属于研发部。其次，访问设备5属于营销部，访问设备6属于产品部，访问设备7属于销售部，访问设备9属于开发部，访问设备10属于测试部，访问设备11属于运维部。因此，确定的候选设备组包括候选设备组1至候选设备组11。候选设备组1对应董事会，包括访问设备1。候选设备组2对应HR部，包括访问设备2。候选设备组3对应财经部，包括访问设备3。候选设备组4对应市场部，包括访问设备4。候选设备组5对应营销部，包括访问设备5。候选设备组6对应产品部，包括访问设备6。候选设备组7对应销售部，包括访问设备7。候选设备组8对应研发部，包括访问设备8。候选设备组9对应开发部，包括访问设备9。候选设备组10对应测试部，包括访问设备10。候选设备组11对应运维部，包括访问设备11。

情况二、仅需要管理服务器资源。

针对情况二，对于任一部门的访问设备，控制设备将该任一部门的具有服务器资源的访问设备确定为第一候选设备组；根据该第一候选设备组，确定访问该第一候选设备组的服务器资源的第二候选设备组，该第二候选设备组包括至少一个具有用户资源的访问设备。示例性地，根据具有用户资源的访问设备访问的第一候选设备组的数量，第二候选设备组的数量与第一候选设备组的数量的关系包括但不限于：第二候选设备组的数量与第一候选设备组的数量相等，或第二候选设备组的数量大于第一候选设备组的数量。

例如，具有用户资源的访问设备访问的第一候选设备组的数量为1，则第二候选设备组的数量与第一候选设备组的数量相同。示例性地，如图5所示，待管理的多个访问设备包括访问设备1至访问设备7。其中，访问设备1和访问设备2属于部门1，访问设备1具有服务器资源，访问设备2具有用户资源，访问设备2仅访问部门1的服务器资源。访问设备3至访问设备7属于部门2，访问设备3具有服务器资源，访问设备4至访问设备7具有用户资源，访问设备4至访问设备7仅访问部门2的服务器资源。则确定的第一候选设备组包括：候选设备组1和候选设备组3，其中，候选设备组1包括访问设备1，候选设备组3包括访问设备3。确定的第二候选设备组包括：候选设备组2和候选设备组4，其中，候选设备组2访问候选设备组1，包括访问设备2；候选设备组4访问候选设备组3，包括访问设备4至访问设备7。

又例如，具有用户资源的访问设备访问的第一候选设备组的数量大于1，则第二候选设备组的数量大于第一候选设备组的数量。示例性地，如图6所示，待管理的多个访问设备包括访问设备1至访问设备15。其中，访问设备1属于董事会，访问设备2和访问设备3属于HR部，访问设备4和访问设备5属于财经部，访问设备6至访问设备10属于市场部，访问设备11至访问设备15属于研发部。其次，访问设备3、访问设备5、访问设备7和访问设备12属于具有服务器资源的访问设备，其余的访问设备为具有用户资源的访问设备。属于董事会的访问设备访问HR部、财经部、市场部和研发部的服务器资源，属于HR部的访问设备访问HR部的服务器资源，属于财经部的访问设备访问财经部的服务器资源，属于市场部、营销部、产品部和销售部的访问设备访问市场部的服务器资源，属于研发部、开发部、测试部和运维部的访问设备访问研发部的服务器资源。则确定的第一候选设备组的数量为4个，包括：候选设备组1至候选设备组4，其中，候选设备组1包括访问设备3，候选设备组2包括访问设备5，候选设备组3包括访问设备7，候选设备组4包括访问设备12。确定的第二候选设备组的数量为5个，包括：候选设备组5至候选设备组9，其中，候选设备组5包括访问设备1，候选设备组6包括访问设备2，候选设备组7包括访问设备4，候选设备组8包括访问设备6、访问设备8、访问设备9和访问设备10，候选设备组9包括访问设备11、访问设备13、访问设备14和访问设备15。

方式二、控制设备根据多个访问设备的访问权限对多个访问设备分组。

针对方式二，控制设备将具有相同的访问权限的访问设备确定为一个候选设备组。例如，如图7所示，该组织包括4个访问设备；其中，访问设备1的访问权限为对访问设备3单向访问，访问设备2的访问权限为对访问设备3单向访问，访问设备3的访问权限为对访问设备4单向访问。则确定的候选设备组包括候选设备组1至候选设备组3；其中，候选设备组1包括访问设备1和访问设备2，候选设备组2包括访问设备3，候选设备组3包括访问设备4。又例如，如图8所示，该组织包括4个访问设备；其中，访问设备1的访问权限为对访问设备3单向访问，访问设备2的访问权限为对访问设备3单向访问和对访问设备4单向访问，访问设备3的访问权限为对访问设备4单向访问。则确定的候选设备组包括候选设备组1至候选设备组4；其中，候选设备组1包括访问设备1，候选设备组2包括访问设备2，候选设备组3包括访问设备3，候选设备组4包括访问设备4。又例如，如图9所示，该组织包括4个访问设备；其中，访问设备1的访问权限为对访问设备3单向访问，访问设备2和访问设备3具有相互访问的权限，并且访问设备3的访问权限还包括对访问设备4单向访问。则确定的候选设备组包括候选设备组1至候选设备组4；其中，候选设备组1包括访问设备1，候选设备组2包括访问设备2，候选设备组3包括访问设备3，候选设备组4包括访问设备4。上述访问设备的数量和访问设备的权限仅为本申请实施例举例说明的数量和权限，本申请实施例对此不加以限定。

步骤2013，确定多个候选设备组之间的访问关系。

在一种可能的实现方式中，响应于确定的候选设备组为步骤2012中方式一中情况一确定的候选设备组，确定多个候选设备组之前，检查属于同一候选设备组中的访问设备访问的候选设备组是否相同；响应于同一候选设备组中的访问设备访问的候选设备组不同，拆分该候选设备组为多个候选设备组；对于拆分后的多个候选设备组中的任一候选设备组，该候选设备组中的访问设备访问的候选设备组相同。拆分候选设备组为多个候选设备组的过程与步骤2012中方式二中对多个访问设备分组的原理相同，此处不再赘述。例如，候选设备组1中包括访问设备1和访问设备2，候选设备组2包括访问设备3，其中，访问设备1对访问设备3单向访问，访问设备2和访问设备3具有相互访问的权限。则将候选设备组1拆分为候选设备组3和候选设备组4，候选设备组3包括访问设备1，候选设备组4包括访问设备2。

需要说明的是，由于步骤2012中方式一中情况二以及方式二中确定的候选设备组为根据访问设备之间的访问关系确定的候选设备组，因此，情况二以及方式二中确定的候选设备组中访问设备访问的候选设备组相同。

示例性地，确定多个候选设备组之间的访问关系包括：对于多个候选设备组中的任意两个候选设备组，将这两个候选设备组中的访问设备之间的访问关系确定为这候选设备组之间的访问关系。例如，访问设备1属于候选设备组1，访问设备3属于候选设备组2；访问设备1对访问设备3单向访问，则候选设备组1与候选设备组2之间的访问关系为候选设备组1对候选设备组2单向访问。又例如，访问设备2属于候选设备组2，访问设备3属于候选设备组3，访问设备2和访问设备3具有相互访问的权限，则候选设备组1和候选设备组2具有相互访问的权限。示例性地，访问关系通过有向图表示。例如，候选设备组1单向访问候选设备组2，则有向图表示为候选设备组1和候选设备组2之间的单向箭头，该单向箭头由候选设备组1指向候选设备组2。

步骤2014，根据多个候选设备组获取多个访问设备组，根据多个候选设备组之间的访问关系获取多个访问设备组之间的访问关系。

在一种可能的实现方式中，根据多个候选设备组获取多个访问设备组的方式包括但不限于如下两种方式。

方式一、控制设备合并多个候选设备组中的多个指定设备组为第一设备组。

针对方式一，获取的多个访问设备组包括第一设备组和多个候选设备组中的未指定设备组。示例性地，指定设备组的类型包括但不限于如下两种类型。

类型一、多个指定设备组为具有相互访问的权限的多个候选设备组。

例如，如图10所示，得到的多个候选设备组包括候选设备组1至候选设备组4；其中，候选设备组1与候选设备组2为具有相互访问的权限的两个候选设备组。则该候选设备组1和候选设备组2为指定设备组，候选设备组3和候选设备组4为未指定设备组；控制设备合并候选设备组1和候选设备组2为第一设备组。通过合并具有相互访问的权限的多个候选设备组，减少了获取的多个访问设备组的数量，进而减少了确定的访问策略的数量。其次，能够降低多个访问设备组之间的访问关系的复杂程度，提高了确定访问设备组的访问策略的效率。

类型二、多个指定设备组为第一指令指示的需要进行合并的多个候选设备组。

示例性地，控制设备合并多个候选设备组中的多个指定设备组为第一设备组之前，该方法还包括：控制设备获取第一指令，第一指令用于指示需要进行合并的多个指定设备组；基于该第一指令，控制设备执行合并多个指定设备组为第一设备组的操作。例如，如图11所示，得到的多个候选设备组为候选设备组1至候选设备组4。控制设备获取第一指令，第一指令指示了需要合并的候选设备组为候选设备组1和候选设备组2；基于该第一指令，控制设备合并候选设备组1和候选设备组2为第一设备组。从而，获取的多个访问设备组包括第一设备组、候选设备组3和候选设备组4；其中，候选设备组3和候选设备组4为未指定设备组。基于获取的第一指令，本申请实施例能够合并指定设备组，进而获取多个访问设备组，获取多个访问设备组的方式较为灵活。

无论多个指定设备组为上述哪种类型，控制设备合并多个指定设备组为第一设备组之后，根据多个指定设备组与未指定设备组之间的访问关系，获取第一设备组与未指定设备组之间的访问关系。

在一种可能的实现方式中，根据多个指定设备组与未指定设备组之间的访问关系，获取第一设备组与未指定设备组之间的访问关系，包括但不限于如下两种情况。

情况一、多个指定设备组包括主设备组，主设备组为多个指定设备组中的一个指定设备组；将主设备组与未指定设备组之间的访问关系确定为第一设备组与未指定设备组之间的访问关系。

示例性地，该主设备组为第一指令指示的主设备组。仍以图11为例进行说明，多个指定设备组包括候选设备组1和候选设备组2；其中，候选设备组1为第一指令指示的主设备组，候选设备组1单向访问候选设备组3，候选设备组2单向访问候选设备组4。则将候选设备组1与候选设备组3之间的访问关系确定为第一设备组与候选设备组3之间的访问关系，也即，第一设备组单向访问候选设备组3。当然，第一指令也可以指示候选设备组2为多个指定设备组中的主设备组，则第一设备组与未指定设备组之间的访问关系为：第一设备组单向访问候选设备组4。

情况二、将多个指定设备组中的各个指定设备组与未指定设备组之间的访问关系确定为第一设备组与未指定设备组之间的访问关系。

示例性地，可以将各个指定设备组与未指定设备组之间的访问关系叠加，将叠加后的访问关系确定为第一设备组与未指定设备组之间的访问关系。例如，如图12所示，得到的多个候选设备组为候选设备组1至候选设备组4；其中，多个指定设备组包括候选设备组1和候选设备组2，未指定设备组包括候选设备组3和候选设备组4。候选设备组1单向访问候选设备组3，候选设备组2单向访问候选设备组4；则第一设备组与未指定设备组之间的访问关系为：第一设备组单向访问候选设备组3，第一设备组单向访问候选设备组4。

方式二、控制设备拆分第二设备组为多个子设备组，第二设备组为多个候选设备组中的一个候选设备组。

针对方式二，由于第二设备组被拆分为多个子设备组，因而获取的多个访问设备组包括多个子设备组和多个候选设备组中除第二设备组之外的候选设备组。示例性地，控制设备拆分第二设备组为多个子设备组之前，该方法还包括：控制设备获取第二指令，第二指令用于指示需要拆分的第二设备组；基于该第二指令，控制设备执行拆分第二设备组为多个子设备组的操作。基于获取的第二指令，本申请实施例能够拆分第二设备组，进而获取多个访问设备组，获取多个访问设备组的方式较为灵活。

在一种可能的实现方式中，第二指令还用于指示拆分得到的子设备组的数量。例如，如图13所示，得到的多个候选设备组包括候选设备组1至候选设备组3，控制设备获取第二指令，该第二指令指示了需要拆分的第二设备组为候选设备组1，子设备组的数量为2；基于该第二指令，控制设备拆分候选设备组1为2个子设备组。示例性地，拆分得到的子设备组的数量还可以为控制设备中存储的指定数量。

控制设备拆分第二设备组为多个子设备组之后，根据第二设备组与第三设备组之间的访问关系，获取多个子设备组和第三设备组之间的访问关系，该第三设备组为多个候选设备组中除第二设备组之外的候选设备组。需要说明的是，该第三设备组的数量可以大于1。也就是说，对于多个候选设备组中除第二设备组之外的任一候选设备组，将该任一候选设备组作为第三设备组，执行根据第二设备组与第三设备组之间的访问关系，获取多个子设备组和第三设备组之间的访问关系的操作。

示例性地，根据第二设备组与第三设备组之间的访问关系，获取多个子设备组和第三设备组之间的访问关系，包括：对于多个子设备组中的任一子设备组，将第二设备组与第三设备组之间的访问关系，确定为该任一子设备组与第三设备组之间的访问关系。仍以图13为例进行说明，第二设备组为候选设备组1，第三设备组包括候选设备组2和候选设备组3，获取的多个子设备组包括子设备组1和子设备组2。其中，候选设备组1单向访问候选设备组2，候选设备组1不访问候选设备组3。对于子设备组1，确定该子设备组1与第三设备组之间的访问关系为：子设备组1单向访问候选设备组2，不访问候选设备组3；对于子设备组2，确定该子设备组2与第三设备组之间的访问关系为：子设备组2单向访问候选设备组2，不访问候选设备组3。示例性地，多个子设备组中的各个子设备组具有相互访问的权限。也即，如图13示出的，子设备组1和子设备组2具有相互访问的权限。

在一种可能的实现方式中，无论是采用上述方式一还是采用上述方式二根据多个候选设备组获取多个访问设备组，根据多个候选设备组之间的访问关系获取多个访问设备组之间的访问关系，该方法还包括对获取的访问关系进行更新的过程。示例性地，该方法还包括：控制设备获取第三指令，第三指令用于指示多个目标设备组之间的访问关系为指定访问关系，目标设备组为多个访问设备组中的任一访问设备组；基于该第三指令，控制设备将多个目标设备组之间的访问关系更新为指定访问关系。其中，指定访问关系为相互访问，或者为单向访问，或者为不访问。

例如，如图14所示，获取的多个访问设备组包括子设备组1、子设备组2、候选设备组2和候选设备组3。其中，子设备组1和子设备组2具有相互访问的权限；子设备组1单向访问候选设备组2，不访问候选设备组3；子设备组2单向访问候选设备组2，不访问候选设备组3；候选设备组2不访问多个访问设备组中的访问设备组，候选设备组3也不访问多个访问设备组中的访问设备组。控制设备获取第三指令，第三指令用于指示子设备组1和子设备组2之间不具有访问权限。也就是说，目标设备组包括子设备组1和子设备组2，指令访问关系为子设备组1不访问子设备组2，子设备组2不访问子设备组1。则基于该第三指令，控制设备将子设备组1和子设备组2之间的访问关系更新为该指定访问关系。基于获取的第三指令，本申请实施例能够将多个目标设备组之间的访问关系更新为指定访问关系，获取多个访问设备组之间的访问关系的方式较为灵活，准确性较高。

需要说明的是，响应于目标设备组之间的更新后的访问关系为具有相互访问的权限，控制设备可以将该目标设备组合并为一个新的访问设备组。其中，控制设备合并目标设备组的原理与上述步骤2014的方式一中合并具有相互访问的权限的指定设备组的原理相同，此处不再赘述。

步骤202、控制设备根据多个访问设备组和多个访问设备组之间的访问关系确定多个访问设备组的访问策略。

其中，对于多个访问设备组中的任一访问设备组，根据该任一访问设备组与多个访问设备组中其余的访问设备组之间的访问关系确定该访问设备组的访问策略。示例性地，多个访问设备组之间的访问关系如下述表一所示。

表一

访问设备组	1	2	3	4	5
						1	/	◆	◆
2		/
						3		◆	/	◆	◆
4				/	◆
						5					/

在上述表一中，表一的行中的访问设备组用于表示进行访问的访问设备组，表一的列中的访问设备组用于表示被访问的访问设备组，“◆”表示能够访问。由于访问设备组不会访问该访问设备组本身，因此，使用“/”表示不考虑该访问设备组同时为进行访问的访问设备组和被访问的访问设备组的情况。在上述表一中，多个访问设备组的数量为5。对于访问设备组1，该访问设备组1与其余的访问设备组之间的访问关系包括：访问设备组1对访问设备组2和访问设备组3单向访问，访问设备组1对访问设备组4和访问设备组5不能访问。上述表一中的其余的访问设备组对应的访问关系与访问设备组1对应的访问关系原理相同，此处不再赘述。需要说明的是，上述表一所示的访问设备组的数量和访问关系仅为本申请实施例举例说明的数量和访问关系，本申请实施例对此不加以限定。

以表一中示出的多个访问设备组之间的访问关系为例，则访问设备组1的访问策略为访问设备组1对访问设备组2单向访问，访问设备组1对访问设备组3单向访问，访问设备组1对访问设备组4不能访问，访问设备组1对访问设备组5不能访问。对于多个访问设备组中其余的访问设备组，确定访问策略的原理与确定访问设备组1的访问策略的原理相同，此处不再赘述。

示例性地，访问设备对应用户名或网际协议(internet protocol，IP)地址；若访问策略为基于UCL的访问策略，访问设备组中的一个访问设备对应一个用户名；若访问策略为基于ACL列表的访问策略，访问设备组中的一个访问设备对应一个IP地址。

本申请实施例基于获取的多个访问设备组之间的访问关系，能够自动确定访问设备组的访问策略，访问策略管理的效率较高，准确性较高。其次，对于一个访问设备组来说，由于该访问设备组的访问策略是根据该访问设备组和获取的多个访问设备组中其他的访问设备组之间的访问关系确定的，在更新访问设备组或更新访问关系时，该控制设备能够对多个访问设备组之间的访问关系重新梳理，从而更新多个访问设备组之间的访问关系。该更新后的多个访问设备组之间的访问关系的准确性较高，避免访问关系之间出现冲突的情况。

在一种可能的实现方式中，控制设备根据多个访问设备组和多个访问设备组之间的访问关系确定多个访问设备组的访问策略之后，该方法还包括：对于多个访问设备组中的任一访问设备组，控制设备根据该任一访问设备组的访问策略生成该任一访问设备组的策略配置，该策略配置用于该任一访问设备组对应的网络设备根据该策略配置执行该任一访问设备组的访问策略。

示例性地，控制设备生成该任一访问设备组的策略配置之后，将该策略配置发送给该任一访问设备组对应的网络设备，该网络设备接收并存储该策略配置，进而根据该存储的策略配置执行该任一访问设备组的访问策略。可选地，控制设备生成该任一访问设备组的策略配置之后，该策略配置存储在控制设备中，该任一访问设备组对应的网络设备获取控制设备中存储的该任一访问设备组的策略配置，进而根据该获取的策略配置执行该任一访问设备组的访问策略。

其中，该策略配置包括UCL，或者ACL规则。示例性地，控制设备根据该任一访问设备组的访问策略生成该任一访问设备组的策略配置，包括：响应于策略配置包括ACL规则，控制设备根据该任一访问设备组的访问策略确定该任一访问设备组对应的疏密关系，该疏密关系用于指示该任一访问设备组能够访问的访问设备组的数量和不能访问的访问设备的数量之间的大小关系；根据该疏密关系生成该任一访问设备组的ACL规则。

例如，当能够访问的访问设备组的数量小于不能访问的访问设备的数量时，疏密关系为疏；当能够访问的访问设备组的数量小于不能访问的访问设备的数量时，疏密关系为相等；当能够访问的访问设备组的数量大于不能访问的访问设备的数量时，疏密关系为密。仍以上述表一所示的多个访问设备组之间的访问关系为例进行说明。对于访问设备组1，该访问设备组1能够访问的访问设备组的数量与不能访问的访问设备组的数量均为2，也即能够访问的访问设备组的数量与不能访问的访问设备组的数量相等，则该访问设备组1对应的疏密关系为相等。对于访问设备组3，该访问设备组3能够访问的访问设备组的数量为3，不能访问的访问设备组的数量为1，能够访问的访问设备组的数量大于不能访问的访问设备的数量，则该访问设备组3对应的疏密关系为密。对于访问设备组4，该访问设备组4能够访问的访问设备组的数量为1，不能访问的访问设备组的数量为3，能够访问的访问设备组的数量小于不能访问的访问设备的数量，则该访问设备组4对应的疏密关系为疏。

示例性地，根据访问设备组对应的疏密关系的情况，生成的访问设备组的ACL规则包括但不限于如下三种情况。

情况一、访问设备组对应的疏密关系为疏。

针对情况一，生成的该访问设备组的ACL规则包括至少一条放通指令和一条阻断指令，其中，放通指令的条数与能够访问的访问设备组的数量相对应。

例如，对于访问设备组4，访问设备组4对应的疏密关系为疏，生成的ACL规则包括一条放通指令和一条阻断指令，其中，该条放通指令指示对访问设备组5单向访问，该条阻断指令指示对其余的访问设备组不能访问。

情况二、访问设备组对应的疏密关系为密。

针对情况二，生成的该访问设备组的ACL规则包括一条放通指令和至少一条阻断指令，其中，阻断指令的条数与不能访问的访问设备组的数量相对应。

例如，对于访问设备组3，访问设备组3对应的疏密关系为密，生成的ACL规则包括一条放通指令和一条阻断指令，其中，该条阻断指令指示对访问设备组5不能访问，该条放通指令指示对其余的访问设备组单向访问。

情况三、访问设备组对应的疏密关系为相等。

针对情况三，生成的该访问设备组的ACL规则可以如上述情况一中生成的ACL规则，即包括至少一条放通指令和一条阻断指令，其中，放通指令的条数与能够访问的访问设备组的数量相对应。也可以如上述情况二中生成的ACL规则，即包括一条放通指令和至少一条阻断指令，其中，阻断指令的条数与不能访问的访问设备组的数量相对应。

本申请实施例基于获取的多个访问设备组之间的访问关系，能够自动确定访问设备组的访问策略，访问策略管理的效率较高，准确性较高。其次，在更新访问设备组或更新访问关系时，该控制设备能够对多个访问设备组之间的访问关系重新梳理，从而更新多个访问设备组之间的访问关系。该更新后的多个访问设备组之间的访问关系的准确性较高，避免出现访问关系之间出现冲突的情况。此外，通过根据访问设备组对应的疏密关系生成该访问设备组的ACL规则，能够减少ACL规则包括的指令的数量，从而降低存储指令占用的设备开销。

在一种可能的实现方式中，对于多个访问设备组中的任一访问设备组，该任一访问设备组对应的网络设备存储有该任一访问设备组的初始策略；控制设备根据多个访问设备组和多个访问设备组之间的访问关系确定多个访问设备组的访问策略之后，该方法还包括：对于多个访问设备组中的任一访问设备组，控制设备根据该访问策略和该初始策略获取差异策略；控制设备将该差异策略发送至该任一访问设备组对应的网络设备，以使该网络设备根据该初始策略和该差异策略获取该访问策略。

可选地，控制设备根据多个访问设备组和多个访问设备组之间的访问关系确定多个访问设备组的访问策略之后，对于多个访问设备组中的任一访问设备组，控制设备也可以将确定的访问策略直接发送至该访问设备组对应的网络设备。通过发送差异策略，能够降低传输访问策略所需的流量，还能够提高传输访问策略的速度。

示例性地，控制设备根据多个访问设备组和多个访问设备组之间的访问关系确定多个访问设备组的访问策略之前，该方法还包括：控制设备获取多个访问设备组的数量；响应于多个访问设备组的数量大于参考数量，控制设备显示提示信息，该提示信息用于提示减小多个访问设备组的数量；响应于多个访问设备组的数量不大于参考数量，控制设备执行根据多个访问设备组和多个访问设备组之间的访问关系确定多个访问设备组的访问策略的操作。

其中，参考数量为根据经验或实际需求设置的数量，本申请实施例对此不加以限定。通过确定访问设备组的数量与参考数量的关系，能够控制访问设备组的数量；进而能够控制确定的访问策略的数量在一定数量范围之内，从而能够降低存储访问策略占用的存储空间。

可选地，控制设备根据多个访问设备组和多个访问设备组之间的访问关系确定多个访问设备组的访问策略之后，该方法还包括：控制设备根据多个访问设备组的访问策略生成访问路径网络，该访问路径网络用于指示多个访问设备组的访问策略；控制设备显示该访问路径网络。其中，访问路径网络包括但不限于是网络层的访问路径网络。示例性地，控制设备通过仿真验证工具生成访问路径网络。关于仿真验证工具的类型，本申请实施例对此不加以限定。控制设备显示访问路径网络的方式，可以是通过可视化图像显示，也可以是文字描述，还可以是其他呈现方式，本申请实施例对此不加以限定。通过显示访问路径网络，用户获取多个设备组的访问策略的方式更直观。因此，当用户需要验证确定的访问策略的准确性时，验证效率较高。

本申请实施例还提供了一种访问策略管理装置。图15是本申请实施例提供的一种访问策略管理装置的结构示意图。基于图15所示的如下多个模块，该图15所示的访问策略管理装置能够执行控制设备所执行的全部或部分操作。应理解到，该装置可以包括比所示模块更多的附加模块或者省略其中所示的一部分模块，本申请实施例对此并不进行限制。如图15所示，该装置包括：第一获取模块1501和确定模块1502。

在一种可能的实现方式中，第一获取模块1501，用于获取网络中的多个访问设备组以及多个访问设备组之间的访问关系，访问设备组基于网络的组织架构的关系确定，访问设备组内包括至少一个访问设备；确定模块1502，用于根据多个访问设备组和多个访问设备组之间的访问关系确定多个访问设备组的访问策略。

在一种可能的实现方式中，访问策略为基于UCL的访问策略，访问设备组中的一个访问设备对应一个用户名；或者，访问策略为基于ACL的访问策略，访问设备组中的一个访问设备对应一个IP地址。

在一种可能的实现方式中，第一获取模块1501包括：第一获取子模块15011和第二获取子模块15012；第一获取子模块15011，用于确定网络中的待管理的多个访问设备；对多个访问设备分组，得到多个候选设备组，多个候选设备组中的任一候选设备组内包括多个访问设备中的至少一个访问设备；确定多个候选设备组之间的访问关系；第二获取子模块15012，用于根据多个候选设备组获取多个访问设备组，根据多个候选设备组之间的访问关系获取多个访问设备组之间的访问关系。

在一种可能的实现方式中，第二获取子模块15012，用于合并多个候选设备组中的多个指定设备组为第一设备组；根据多个指定设备组与多个候选设备组中的未指定设备组之间的访问关系，获取第一设备组与未指定设备组之间的访问关系。

在一种可能的实现方式中，多个指定设备组包括主设备组，主设备组为多个指定设备组中的一个指定设备组；第二获取子模块15012，用于将主设备组与多个候选设备组中的未指定设备组之间的访问关系确定为第一设备组与未指定设备组之间的访问关系。

在一种可能的实现方式中，第二获取子模块15012，用于将多个指定设备组中的各个指定设备组与多个候选设备组中的未指定设备组之间的访问关系确定为第一设备组与未指定设备组之间的访问关系。

在一种可能的实现方式中，多个候选设备组包括第二设备组，第二设备组为多个候选设备组中的一个候选设备组；第二获取子模块15012，用于拆分第二设备组为多个子设备组；根据第二设备组与第三设备组之间的访问关系，获取多个子设备组和第三设备组之间的访问关系，第三设备组为多个候选设备组中除第二设备组之外的候选设备组。

在一种可能的实现方式中，第二获取子模块15012，用于对于多个子设备组中的任一子设备组，将第二设备组与第三设备组之间的访问关系，确定为任一子设备组与第三设备组之间的访问关系。

在一种可能的实现方式中，多个子设备组中的各个子设备组具有相互访问的权限。

在一种可能的实现方式中，多个指定设备组为具有相互访问的权限的多个候选设备组。

在一种可能的实现方式中，该装置还包括：第二获取模块，用于获取第一指令，第一指令用于指示需要进行合并的多个指定设备组；基于该第一指令，第二获取子模块15012执行合并多个指定设备组为第一设备组的操作。

在一种可能的实现方式中，该装置还包括：第三获取模块，用于获取第二指令，第二指令用于指示需要拆分的第二设备组；基于该第二指令，第二获取子模块15012执行拆分第二设备组为多个子设备组的操作。

在一种可能的实现方式中，该装置还包括：第四获取模块，用于获取第三指令，第三指令用于指示多个目标设备组之间的访问关系为指定访问关系，目标设备组为多个访问设备组中的任一访问设备组；更新模块，用于基于该第三指令，将多个目标设备组之间的访问关系更新为该指定访问关系。

在一种可能的实现方式中，该装置还包括：第一生成模块，用于对于多个访问设备组中的任一访问设备组，根据该任一访问设备组的访问策略生成该任一访问设备组的策略配置，该策略配置用于该任一访问设备组对应的网络设备根据该策略配置执行该任一访问设备组的访问策略。

在一种可能的实现方式中，第一生成模块，用于响应于策略配置包括ACL规则，根据任一访问设备组的访问策略确定该任一访问设备组对应的疏密关系，疏密关系用于指示该任一访问设备组能够访问的访问设备组的数量和不能访问的访问设备的数量之间的大小关系；根据该疏密关系生成该任一访问设备组的ACL规则。

在一种可能的实现方式中，对于多个访问设备组中的任一访问设备组，该任一访问设备组对应的网络设备存储有该任一访问设备组的初始策略；该装置还包括：第五获取模块，用于对于多个访问设备组中的任一访问设备组，根据访问策略和初始策略获取差异策略；发送模块，用于将该差异策略发送至该任一访问设备组对应的网络设备，以使该网络设备根据该初始策略和该差异策略获取该访问策略。

在一种可能的实现方式中，该装置还包括：第六获取模块，用于获取多个访问设备组的数量；第一显示模块，用于响应于多个访问设备组的数量大于参考数量，显示提示信息，提示信息用于提示减小多个访问设备组的数量；响应于多个访问设备组的数量不大于参考数量，确定模块1502执行根据多个访问设备组和多个访问设备组之间的访问关系确定多个访问设备组的访问策略的操作。

在一种可能的实现方式中，该装置还包括：第二生成模块，用于根据多个访问设备组的访问策略生成访问路径网络，访问路径网络用于指示多个访问设备组的访问策略；第二显示模块，用于显示该访问路径网络。

应理解的是，上述图15提供的装置在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的装置与方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

参见图16，图16示出了本申请一个示例性实施例提供的访问策略管理设备2000的结构示意图。图16所示的访问策略管理设备2000用于执行上述图2-14所示的访问策略管理方法所涉及的操作。该访问策略管理设备2000例如是交换机、路由器等，该访问策略管理设备2000可以由一般性的总线体系结构来实现。

如图16所示，访问策略管理设备2000包括至少一个处理器2001、存储器2003以及至少一个通信接口2004。

处理器2001例如是通用中央处理器(central processing unit，CPU)、数字信号处理器(digital signal processor，DSP)、网络处理器(network processer，NP)、图形处理器(graphics processing unit，GPU)、神经网络处理器(neural-network processingunits，NPU)、数据处理单元(data processing unit，DPU)、微处理器或者一个或多个用于实现本申请方案的集成电路。例如，处理器2001包括专用集成电路(application-specificintegrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。PLD例如是复杂可编程逻辑器件(complex programmable logic device，CPLD)、现场可编程逻辑门阵列(field-programmable gate array，FPGA)、通用阵列逻辑(generic array logic，GAL)或其任意组合。其可以实现或执行结合本发明实施例公开内容所描述的各种逻辑方框、模块和电路。所述处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，DSP和微处理器的组合等等。

可选的，访问策略管理设备2000还包括总线。总线用于在访问策略管理设备2000的各组件之间传送信息。总线可以是外设部件互连标准(peripheral componentinterconnect，简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture，简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图16中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器2003例如是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其它类型的静态存储设备，又如是随机存取存储器(random access memory，RAM)或者可存储信息和指令的其它类型的动态存储设备，又如是电可擦可编程只读存储器(electrically erasable programmable read-only Memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备，或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器2003例如是独立存在，并通过总线与处理器2001相连接。存储器2003也可以和处理器2001集成在一起。

通信接口2004使用任何收发器一类的装置，用于与其它设备或通信网络通信，通信网络可以为以太网、无线接入网(RAN)或无线局域网(wireless local area network，WLAN)等。通信接口2004可以包括有线通信接口，还可以包括无线通信接口。具体的，通信接口2004可以为以太(ethernet)接口、快速以太(fast ethernet，FE)接口、千兆以太(gigabit ethernet，GE)接口，异步传输模式(asynchronous transfer mode，ATM)接口，无线局域网(wireless local area networks，WLAN)接口，蜂窝网络通信接口或其组合。以太网接口可以是光接口，电接口或其组合。在本申请实施例中，通信接口2004可以用于访问策略管理设备2000与其他设备进行通信。

在具体实现中，作为一种实施例，处理器2001可以包括一个或多个CPU，如图16中所示的CPU0和CPU1。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，访问策略管理设备2000可以包括多个处理器，如图16中所示的处理器2001和处理器2005。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，访问策略管理设备2000还可以包括输出设备和输入设备。输出设备和处理器2001通信，可以以多种方式来显示信息。例如，输出设备可以是液晶显示器(liquid crystal display，LCD)、发光二级管(light emitting diode，LED)显示设备、阴极射线管(cathode ray tube，CRT)显示设备或投影仪(projector)等。输入设备和处理器2001通信，可以以多种方式接收用户的输入。例如，输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。

在一些实施例中，存储器2003用于存储执行本申请方案的程序代码2010，处理器2001可以执行存储器2003中存储的程序代码2010。也即是，访问策略管理设备2000可以通过处理器2001以及存储器2003中的程序代码2010，来实现方法实施例提供的访问策略管理方法。程序代码2010中可以包括一个或多个软件模块。可选地，处理器2001自身也可以存储执行本申请方案的程序代码或指令。

在具体实施例中，本申请实施例的访问策略管理设备2000可对应于上述各个访问策略管理方法实施例中的控制设备，访问策略管理设备2000中的处理器2001读取存储器2003中的指令，使图16所示的访问策略管理设备2000能够执行控制设备所执行的全部或部分操作。

具体的，处理器2001用于获取多个访问设备组以及多个访问设备组之间的访问关系。其他可选的实施方式，为了简洁，在此不再赘述。

访问策略管理设备2000还可以对应于上述图15所示的访问策略管理装置，访问策略管理装置中的每个功能模块采用访问策略管理设备2000的软件实现。换句话说，访问策略管理装置中包括的功能模块为访问策略管理设备2000的处理器2001读取存储器2003中存储的程序代码2010后生成的。

其中，图2-14所示的访问策略管理方法的各步骤通过访问策略管理设备2000的处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤，为避免重复，这里不再详细描述。

本申请实施例还提供了一种通信装置，该装置包括：收发器、存储器和处理器。其中，该收发器、该存储器和该处理器通过内部连接通路互相通信，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，以控制收发器接收信号，并控制收发器发送信号，并且当该处理器执行该存储器存储的指令时，使得该处理器执行显示界面所需执行的访问策略管理方法。

应理解的是，上述处理器可以是中央处理器(central processing unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signal processing，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现场可编程门阵列(field-programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是，处理器可以是支持进阶精简指令集机器(advanced RISC machines，ARM)架构的处理器。

进一步地，在一种可选的实施例中，上述存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据。存储器还可以包括非易失性随机存取存储器。例如，存储器还可以存储设备类型的信息。

该存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用。例如，静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic random access memory，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data dateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(directrambus RAM，DR RAM)。

本申请实施例还提供了一种计算机可读存储介质，存储介质中存储有至少一条指令，指令由处理器加载并执行以实现如上任一所述的访问策略管理方法。

本申请实施例还提供了一种计算机程序(产品)，当计算机程序被计算机执行时，可以使得处理器或计算机执行上述方法实施例中对应的访问策略管理方法的各个步骤和/或流程。

本申请实施例还提供了一种芯片，包括处理器，用于从存储器中调用并运行所述存储器中存储的指令，使得安装有所述芯片的通信设备执行上述各方面中的访问策略管理方法。

本申请实施例还提供另一种芯片，包括：输入接口、输出接口、处理器和存储器，输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连，处理器用于执行存储器中的代码，当代码被执行时，处理器用于执行上述各方面中的访问策略管理方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘)等。

本领域普通技术人员可以意识到，结合本文中所公开的实施例中描述的各方法步骤和模块，能够以软件、硬件、固件或者其任意组合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各实施例的步骤及组成。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，该程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机程序指令。作为示例，本申请实施例的方法可以在机器可执行指令的上下文中被描述，机器可执行指令诸如包括在目标的真实或者虚拟处理器上的器件中执行的程序模块中。一般而言，程序模块包括例程、程序、库、对象、类、组件、数据结构等，其执行特定的任务或者实现特定的抽象数据结构。在各实施例中，程序模块的功能可以在所描述的程序模块之间合并或者分割。用于程序模块的机器可执行指令可以在本地或者分布式设备内执行。在分布式设备中，程序模块可以位于本地和远程存储介质二者中。

用于实现本申请实施例的方法的计算机程序代码可以用一种或多种编程语言编写。这些计算机程序代码可以提供给通用计算机、专用计算机或其他可编程的数据处理装置的处理器，使得程序代码在被计算机或其他可编程的数据处理装置执行的时候，引起在流程图和/或框图中规定的功能/操作被实施。程序代码可以完全在计算机上、部分在计算机上、作为独立的软件包、部分在计算机上且部分在远程计算机上或完全在远程计算机或服务器上执行。

在本申请实施例的上下文中，计算机程序代码或者相关数据可以由任意适当载体承载，以使得设备、装置或者处理器能够执行上文描述的各种处理和操作。载体的示例包括信号、计算机可读介质等等。

信号的示例可以包括电、光、无线电、声音或其它形式的传播信号，诸如载波、红外信号等。

机器可读介质可以是包含或存储用于或有关于指令执行系统、装置或设备的程序的任何有形介质。机器可读介质可以是机器可读信号介质或机器可读存储介质。机器可读介质可以包括但不限于电子的、磁的、光学的、电磁的、红外的或半导体系统、装置或设备，或其任意合适的组合。机器可读存储介质的更详细示例包括带有一根或多根导线的电气连接、便携式计算机磁盘、硬盘、随机存储存取器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光存储设备、磁存储设备，或其任意合适的组合。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、设备和模块的具体工作过程，可以参见前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，该模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、设备或模块的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

该作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以是两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

该集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例中方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请中术语“第一”“第二”等字样用于对作用和功能基本相同的相同项或相似项进行区分，应理解，“第一”、“第二”、“第n”之间不具有逻辑或时序上的依赖关系，也不对数量和执行顺序进行限定。还应理解，尽管以下描述使用术语第一、第二等来描述各种元素，但这些元素不应受术语的限制。这些术语只是用于将一元素与另一元素区别分开。例如，在不脱离各种所述示例的范围的情况下，第一图像可以被称为第二图像，并且类似地，第二图像可以被称为第一图像。第一图像和第二图像都可以是图像，并且在某些情况下，可以是单独且不同的图像。

还应理解，在本申请的各个实施例中，各个过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本申请中术语“至少一个”的含义是指一个或多个，本申请中术语“多个”的含义是指两个或两个以上，例如，多个第二报文是指两个或两个以上的第二报文。本文中术语“系统”和“网络”经常可互换使用。

应理解，在本文中对各种所述示例的描述中所使用的术语只是为了描述特定示例，而并非旨在进行限制。如在对各种所述示例的描述和所附权利要求书中所使用的那样，单数形式“一个(“a”“，an”)”和“该”旨在也包括复数形式，除非上下文另外明确地指示。

还应理解，本文中所使用的术语“和/或”是指并且涵盖相关联的所列出的项目中的一个或多个项目的任何和全部可能的组合。术语“和/或”，是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本申请中的字符“/”，一般表示前后关联对象是一种“或”的关系。

还应理解，术语“包括”(也称“includes”、“including”、“comprises”和/或“comprising”)当在本说明书中使用时指定存在所陈述的特征、整数、步骤、操作、元素、和/或部件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元素、部件、和/或其分组。

还应理解，术语“若”和“如果”可被解释为意指“当...时”(“when”或“upon”)或“响应于确定”或“响应于检测到”。类似地，根据上下文，短语“若确定...”或“若检测到[所陈述的条件或事件]”可被解释为意指“在确定...时”或“响应于确定...”或“在检测到[所陈述的条件或事件]时”或“响应于检测到[所陈述的条件或事件]”。

应理解，根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。

还应理解，说明书通篇中提到的“一个实施例”、“一实施例”、“一种可能的实现方式”意味着与实施例或实现方式有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”、“一种可能的实现方式”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。

以上描述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (30)

1.一种访问策略管理方法，其特征在于，所述方法包括：

控制设备获取网络中的多个访问设备组以及所述多个访问设备组之间的访问关系，所述访问设备组基于所述网络的组织架构的关系确定，所述访问设备组内包括至少一个访问设备；

所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略。

2.根据权利要求1所述的方法，其特征在于，所述访问策略为基于用户控制列表UCL的访问策略，所述访问设备组中的一个访问设备对应一个用户名；

或者，所述访问策略为基于访问控制列表ACL的访问策略，所述访问设备组中的一个访问设备对应一个网际协议IP地址。

3.根据权利要求1或2所述的方法，其特征在于，所述控制设备获取网络中的多个访问设备组以及所述多个访问设备组之间的访问关系，包括：

所述控制设备确定网络中的待管理的多个访问设备；

对所述多个访问设备分组，得到多个候选设备组，所述多个候选设备组中的任一候选设备组内包括所述多个访问设备中的至少一个访问设备；

确定所述多个候选设备组之间的访问关系；

根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系。

4.根据权利要求3所述的方法，其特征在于，所述根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系，包括：

所述控制设备合并所述多个候选设备组中的多个指定设备组为第一设备组；

根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系。

5.根据权利要求4所述的方法，其特征在于，所述多个指定设备组包括主设备组，所述主设备组为所述多个指定设备组中的一个指定设备组；

所述根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系，包括：

将所述主设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。

6.根据权利要求4所述的方法，其特征在于，所述根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系，包括：

将所述多个指定设备组中的各个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。

7.根据权利要求3所述的方法，其特征在于，所述多个候选设备组包括第二设备组，所述第二设备组为所述多个候选设备组中的一个候选设备组；

所述根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系，包括：

所述控制设备拆分所述第二设备组为多个子设备组；

根据所述第二设备组与第三设备组之间的访问关系，获取所述多个子设备组和所述第三设备组之间的访问关系，所述第三设备组为所述多个候选设备组中除所述第二设备组之外的候选设备组。

8.根据权利要求7所述的方法，其特征在于，所述根据所述第二设备组与第三设备组之间的访问关系，获取所述多个子设备组和所述第三设备组之间的访问关系，包括：

对于所述多个子设备组中的任一子设备组，将所述第二设备组与所述第三设备组之间的访问关系，确定为所述任一子设备组与所述第三设备组之间的访问关系。

9.根据权利要求8所述的方法，其特征在于，所述多个子设备组中的各个子设备组具有相互访问的权限。

10.根据权利要求4-6任一所述的方法，其特征在于，所述多个指定设备组为具有相互访问的权限的多个候选设备组。

11.根据权利要求4-6任一所述的方法，其特征在于，所述控制设备合并所述多个候选设备组中的多个指定设备组为第一设备组之前，所述方法还包括：

所述控制设备获取第一指令，所述第一指令用于指示需要进行合并的多个指定设备组；

基于所述第一指令，所述控制设备执行合并所述多个指定设备组为第一设备组的操作。

12.根据权利要求7-9任一所述的方法，其特征在于，所述控制设备拆分所述第二设备组为多个子设备组之前，所述方法还包括：

所述控制设备获取第二指令，所述第二指令用于指示需要拆分的第二设备组；

基于所述第二指令，所述控制设备执行拆分所述第二设备组为多个子设备组的操作。

13.根据权利要求1-12任一所述的方法，其特征在于，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之前，所述方法还包括：

所述控制设备获取第三指令，所述第三指令用于指示多个目标设备组之间的访问关系为指定访问关系，所述目标设备组为所述多个访问设备组中的任一访问设备组；

基于所述第三指令，所述控制设备将所述多个目标设备组之间的访问关系更新为所述指定访问关系。

14.根据权利要求1-13任一所述的方法，其特征在于，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之后，所述方法还包括：

对于所述多个访问设备组中的任一访问设备组，所述控制设备根据所述任一访问设备组的访问策略生成所述任一访问设备组的策略配置，所述策略配置用于所述任一访问设备组对应的网络设备根据所述策略配置执行所述任一访问设备组的访问策略。

15.根据权利要求14所述的方法，其特征在于，所述控制设备根据所述任一访问设备组的访问策略生成所述任一访问设备组的策略配置，包括：

响应于所述策略配置包括ACL规则，所述控制设备根据所述任一访问设备组的访问策略确定所述任一访问设备组对应的疏密关系，所述疏密关系用于指示所述任一访问设备组能够访问的访问设备组的数量和不能访问的访问设备的数量之间的大小关系；

根据所述疏密关系生成所述任一访问设备组的ACL规则。

16.根据权利要求1-15任一所述的方法，其特征在于，对于所述多个访问设备组中的任一访问设备组，所述任一访问设备组对应的网络设备存储有所述任一访问设备组的初始策略；

所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之后，所述方法还包括：

对于所述多个访问设备组中的任一访问设备组，所述控制设备根据所述访问策略和所述初始策略获取差异策略；

所述控制设备将所述差异策略发送至所述任一访问设备组对应的网络设备，以使所述网络设备根据所述初始策略和所述差异策略获取所述访问策略。

17.根据权利要求1-16任一所述的方法，其特征在于，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之前，所述方法还包括：

所述控制设备获取所述多个访问设备组的数量；

响应于所述多个访问设备组的数量大于参考数量，所述控制设备显示提示信息，所述提示信息用于提示减小所述多个访问设备组的数量；

响应于所述多个访问设备组的数量不大于所述参考数量，所述控制设备执行根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略的操作。

18.根据权利要求1-17任一所述的方法，其特征在于，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之后，所述方法还包括：

所述控制设备根据所述多个访问设备组的访问策略生成访问路径网络，所述访问路径网络用于指示所述多个访问设备组的访问策略；

所述控制设备显示所述访问路径网络。

19.一种访问策略管理装置，其特征在于，所述装置包括：

第一获取模块，用于获取网络中的多个访问设备组以及所述多个访问设备组之间的访问关系，所述访问设备组基于所述网络的组织架构的关系确定，所述访问设备组内包括至少一个访问设备；

确定模块，用于根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略。

20.根据权利要求19所述的装置，其特征在于，所述访问策略为基于用户控制列表UCL的访问策略，所述访问设备组中的一个访问设备对应一个用户名；

或者，所述访问策略为基于访问控制列表ACL的访问策略，所述访问设备组中的一个访问设备对应一个网际协议IP地址。

21.根据权利要求19或20所述的装置，其特征在于，所述第一获取模块包括：第一获取子模块和第二获取子模块；

所述第一获取子模块，用于确定网络中的待管理的多个访问设备；对所述多个访问设备分组，得到多个候选设备组，所述多个候选设备组中的任一候选设备组内包括所述多个访问设备中的至少一个访问设备；确定所述多个候选设备组之间的访问关系；

所述第二获取子模块，用于根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系。

22.根据权利要求21所述的装置，其特征在于，所述第二获取子模块，用于合并所述多个候选设备组中的多个指定设备组为第一设备组；根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系。

23.根据权利要求22所述的装置，其特征在于，所述多个指定设备组包括主设备组，所述主设备组为所述多个指定设备组中的一个指定设备组；

所述第二获取子模块，用于将所述主设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。

24.根据权利要求22所述的装置，其特征在于，所述第二获取子模块，用于将所述多个指定设备组中的各个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。

25.根据权利要求21所述的装置，其特征在于，所述多个候选设备组包括第二设备组，所述第二设备组为所述多个候选设备组中的一个候选设备组；

所述第二获取子模块，用于拆分所述第二设备组为多个子设备组；根据所述第二设备组与第三设备组之间的访问关系，获取所述多个子设备组和所述第三设备组之间的访问关系，所述第三设备组为所述多个候选设备组中除所述第二设备组之外的候选设备组。

26.根据权利要求25所述的装置，其特征在于，所述第二获取子模块，用于对于所述多个子设备组中的任一子设备组，将所述第二设备组与所述第三设备组之间的访问关系，确定为所述任一子设备组与所述第三设备组之间的访问关系。

27.根据权利要求22-24任一所述的装置，其特征在于，所述多个指定设备组为具有相互访问的权限的多个候选设备组。

28.根据权利要求22-24任一所述的装置，其特征在于，所述装置还包括：

第二获取模块，用于获取第一指令，所述第一指令用于指示需要进行合并的多个指定设备组；基于所述第一指令，所述第二获取子模块执行合并所述多个指定设备组为第一设备组的操作。

29.一种访问策略管理设备，其特征在于，所述设备包括：处理器，所述处理器与存储器耦合，所述存储器中存储有至少一条程序指令或代码，所述至少一条程序指令或代码由所述处理器加载并执行，以使所述设备实现如权利要求1-18中任一所述的访问策略管理方法。

30.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有至少一条程序指令或代码，所述程序指令或代码由处理器加载并执行，以使计算机实现如权利要求1-18中任一所述的访问策略管理方法。

Images