WO2020114336A1

WO2020114336A1 - 信息同步方法、认证方法及装置

Info

Publication number: WO2020114336A1
Application number: PCT/CN2019/122252
Authority: WO
Inventors: 黄忠金
Original assignee: 华为技术有限公司
Priority date: 2018-12-04
Filing date: 2019-11-30
Publication date: 2020-06-11
Also published as: US20210185039A1; CN111277543B; CN111277543A; EP3817272A4; EP3817272A1

Abstract

本申请提供了一种信息同步方法、认证方法及装置，属于网络技术领域。本申请通过将安全组关联信息从认证节点同步至执行节点上，可以让执行节点得到终端的安全组关联信息，则执行节点根据安全组关联信息，即可感知到终端所属的安全组，从而能够按照安全组策略对终端的报文进行处理，可以实现认证节点和执行节点的分离，打破了对组网的约束，扩展了应用范围，提高了兼容性。

Description

信息同步方法、认证方法及装置

本申请要求于2018年12月4日提交中国国家知识产权局、申请号为201811476240.3、发明名称为“信息同步方法、认证方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络技术领域，特别涉及一种信息同步方法、认证方法及装置。

背景技术

随着无线网络的建设和推广以及远程接入技术的成熟应用，无线网络的边界正在消失，无线网络终端的接入位置经常出现大范围的移动。为了保证终端的业务得到正常处理，可以通过实施业务随行技术，来保证无论终端从什么地点接入，该终端的接入权限都是一致的。在业务随行技术中，各个节点设备按照其功能的不同，至少可以分为认证节点以及执行节点。当终端发起认证时，由认证节点对终端进行认证，以确定终端所属的安全组；当终端发送报文时，由执行节点确定终端所属的安全组匹配的安全组策略，按照安全组策略处理报文。其中，为了让执行节点感知终端所属的安全组，需要将认证节点确定出的安全组同步给执行节点。

目前，通常采用内联安全组标签(英文：inline security group tag，简称inline SGT)技术,将认证节点确定的安全组同步给执行节点。具体地，当认证节点对终端认证通过时，会存储终端所属的安全组；当认证节点接收到终端的报文时，认证节点会根据该终端所属的安全组，生成安全组标签，该安全组标签用于标识终端所属的安全组；认证节点会在报文的头部插入安全组标签，从而通过对报文进行扩展，让报文携带安全组标签；认证节点会将携带了安全组标签的报文发送给执行节点；执行节点接收到携带了安全组标签的报文时，会解析该安全组标签，以确定终端所属的安全组，按照安全组策略处理报文。

采用上述方法进行信息同步时，需要对终端的报文进行私有扩展，而很多节点设备并不支持对报文私有扩展的功能，导致无法实施该方法来进行信息同步，可见该方法兼容性较差，应用范围狭窄。

发明内容

本申请实施例提供了一种信息同步方法、认证方法及装置，能够解决相关技术中兼容性较差的技术问题。所述技术方案如下：

第一方面，提供了一种信息同步方法，所述方法包括：

接收认证节点发送的终端的安全组关联信息，所述安全组关联信息用于指示所述终端的网络地址与所述终端所属的安全组之间的映射关系；

确定包括目标执行节点的至少一个执行节点，所述目标执行节点用于按照安全组策略处理所述终端的报文；

将所述安全组关联信息发送至所述至少一个执行节点。

本实施例提供的方法，达到的效果至少可以包括：同步节点通过将安全组关联信息从认证节点同步至执行节点上，可以让执行节点得到终端的安全组关联信息，则执行节点根据安全组关联信息，即可感知到终端所属的安全组，从而能够按照安全组策略对终端的报文进行处理，可以实现认证节点和执行节点的分离，打破了对组网的约束，扩展了应用范围，提高了兼容性。

可选地，所述确定包括目标执行节点的至少一个执行节点，包括：

根据所述网络地址所属的目标网段，从网段与执行节点之间的对应关系中，确定所述目标网段对应的所述目标执行节点；

通过这种可选方式，达到的效果至少可以包括：当同步节点接收到不同网段的终端的安全组信息时，可以将各个安全组信息分别发送至对应网段的执行节点，可以实现每个执行节点接收本端网段的终端的安全组信息的功能，达到精细化推送的效果，可以避免执行节点由于频繁接收安全组信息，对运行资源的消耗。同时，可以节约执行节点的存储资源，避免单个执行节点待存储的安全组关联信息的数据量过大。尤其是，在接入网络的终端数量庞大的场景中，同步节点待同步的安全组信息数据量庞大，而通过精细化的发送安全组信息，可以提高整个系统的运行效率。

确定网络中的每个执行节点。

可选地，所述根据所述网络地址所属的目标网段，从网段与执行节点之间的对应关系中，确定所述目标网段对应的所述目标执行节点之前，所述方法还包括：

接收配置指令，所述配置指令用于指示网段与执行节点之间的对应关系。

通过这种可选方式，达到的效果至少可以包括：可以支持安全组订阅配置的功能，满足用户的自定义需求。

可选地，所述接收认证节点发送的终端的安全组关联信息，包括：

接收第一认证节点发送的第一终端的第一安全组关联信息，所述第一安全组关联信息用于指示所述第一终端的网络地址与所述第一终端所属的第一安全组之间的映射关系；

接收第二认证节点发送的第二终端的第二安全组关联信息，所述第二认证节点与所述第一认证节点不同，所述第二安全组关联信息用于指示所述第二终端的网络地址与所述第二终端所属的第二安全组之间的映射关系；

相应地，所述确定包括目标执行节点的至少一个执行节点，包括：

确定包括第一目标执行节点的至少一个执行节点，所述第一目标执行节点用于按照安全组策略处理所述第一终端与所述第二终端之间传输的报文。

可选地，所述接收所述认证节点发送的所述终端的安全组关联信息，包括：

接收第三认证节点发送的第三终端的第三安全组关联信息，所述第三安全组关联信息用于指示所述第三终端的网络地址与所述第三终端所属的第三安全组之间的映射关系；

确定包括第二目标执行节点的至少一个执行节点，所述第二目标执行节点用于按照安全组策略处理所述第三终端与网络资源之间传输的报文。

接收授权设备发送的终端的安全组关联信息；或者，

接收认证点设备发送的终端的安全组关联信息，所述终端的安全组关联信息由授权设备发送至所述认证点设备。

可选地，所述接收授权设备发送的终端的安全组关联信息，包括：

接收第一授权设备发送的终端的安全组关联信息，所述第一授权设备为支持目标功能的授权设备，所述目标功能为将安全组关联信息发送至同步节点的功能。

可选地，所述终端的安全组关联信息由授权设备发送至所述认证点设备，包括：

所述终端的安全组信息由第二授权设备发送至所述认证点设备，所述第二授权设备为不支持目标功能的授权设备。

可选地，所述方法还包括：

接收所述认证节点发送的所述终端的更新后的安全组关联信息；

将所述更新后的安全组关联信息发送至所述至少一个执行节点；

其中，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述安全组之间的映射关系，或者，所述更新后的安全组关联信息用于指示所述终端的网络地址与所述终端所属的更新后的安全组之间的映射关系，或者，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述终端所属的更新后的安全组之间的映射关系。

通过这种可选方式，达到的效果至少可以包括:如果终端的当前位置发生变化，则终端的网络地址或安全组可以发生更新，使得认证节点能够随着终端的当前位置的更新，更新安全组关联信息，并将更新后的安全组关联信息上报该同步节点，使得同步节点能够得到更新后的终端的安全组关联信息，保证同步节点存储的终端的安全组关联信息的准确性。

可选地，所述将所述安全组关联信息发送至所述目标执行节点之前，所述方法还包括：

按照结构化数据格式，对所述安全组关联信息进行编码；

相应地，所述将所述安全组关联信息发送至所述目标执行节点，包括：

将编码后的安全组关联信息发送至所述目标执行节点。

可选地，所述结构化数据格式为协议缓存protocol buffer格式；

对所述安全组关联信息进行压缩；

将压缩后的安全组关联信息发送至所述目标执行节点。

接收编码后的安全组关联信息；

所述方法还包括：

对所述编码后的安全组关联信息进行解码，得到所述安全组关联信息；

接收压缩后的安全组关联信息；

所述方法还包括：

对所述压缩后的安全组关联信息进行解压缩，得到所述安全组关联信息。

可选地，所述接收认证节点的安全组关联信息，包括：

通过第一网络连接，接收认证节点的安全组关联信息，所述第一网络连接属于长连接以及加密通道中的至少一种。

可选地，所述接收认证节点的安全组关联信息之前，所述方法还包括：

接收所述认证节点的第一网络连接请求，所述第一网络连接请求用于请求建立所述第一网络连接；

向所述认证节点发送第一网络连接响应，所述第一网络连接响应用于确认建立所述第一网络连接。

通过上述方式以建立第一网络连接的过程达到的效果至少可以包括：第一网络连接可以为双向连接，即，任一个认证节点和同步节点之间进行数据传输时，认证节点和同步节点同客户端和服务端的模式，只需配置一条网络连接即可，极大地减少了配置操作的工作量，并且进少了维护网络连接带来的后期运维的工作量。尤其是，在认证节点数量较多的场景，也只需要在认证节点和同步节点之间配置连接，不会形成网状拓扑(英文：full-mesh)的连接配置，减少了部署和维护工作量。

可选地，所述向所述目标执行节点发送所述安全组关联信息，包括：

通过第二网络连接，向所述目标执行节点发送所述安全组关联信息，所述第二网络连接属于长连接以及加密通道中的至少一种。

接收所述认证节点的第二网络连接请求，所述第二网络连接请求用于请求建立所述第二网络连接；

向所述认证节点发送第二网络连接响应，所述第二网络连接响应用于确认建立所述第二网络连接。

通过上述方式建立第二网络连接，达到的效果至少可以包括：第二网络连接可以为双向连接，即，同步节点和任一个执行节点之间进行数据传输时，同步节点和认证节点通过客户端和服务端的模式，只需配置一条网络连接即可，极大地减少了配置操作的工作量，并且进少了维护网络连接带来的后期运维的工作量。尤其是，在执行节点数量较多的场景，也只需要在执行节点和同步节点之间配置连接，不会形成网状拓扑(英文：full-mesh)的连接配置，减少了部署和维护工作量。

可选地，所述方法还包括：

接收所述第一认证节点发送的所述第一终端的更新后的第一安全组关联信息；

将所述更新后的第一安全组关联信息发送至所述至少一个执行节点；

其中，所述更新后的第一安全组关联信息用于指示所述第一终端的更新后的网络地址与所述第一安全组之间的映射关系，或者，所述更新后的第一安全组关联信息用于指示所述第一终端的网络地址与所述第一终端所属的更新后的第一安全组之间的映射关系，或者，所述更新后的第一安全组关联信息用于指示所述第一终端的更新后的网络地址与所述第一终端所属的更新后的第一安全组之间的映射关系。

可选地，所述方法还包括：

接收所述第二认证节点发送的所述第二终端的更新后的第二安全组关联信息；

将所述更新后的第二安全组关联信息发送至所述至少一个执行节点；

其中，所述更新后的第二安全组关联信息用于指示所述第二终端的更新后的网络地址与所述第二安全组之间的映射关系，或者，所述更新后的第二安全组关联信息用于指示所述第二终端的网络地址与所述第二终端所属的更新后的第二安全组之间的映射关系，或者，所述更新后的第二安全组关联信息用于指示所述第二终端的更新后的网络地址与所述第二终端所属的更新后的第二安全组之间的映射关系。

第二方面，提供了一种报文处理方法，所述方法包括：

接收同步节点发送的终端的安全组关联信息，所述同步节点用于将所述安全组关联信息从认证节点同步至执行节点，所述安全组关联信息用于指示所述终端的网络地址与所述终端所属的安全组之间的映射关系；

接收所述终端的报文；

根据所述报文携带的所述网络地址，从所述安全组关联信息中，获取所述网络地址对应的所述安全组；

按照所述安全组匹配的安全组策略，处理所述报文。

本实施例提供的方法，达到的效果至少可以包括：执行节点可以通过同步节点下发的安全组关联信息，得到终端的安全组关联信息，从而能够感知终端所属的安全组，当终端的流量到达执行节点时，执行节点可以按照安全组策略对终端的报文进行处理，实现了认证节点和执行节点的分离，打破了对组网的约束，扩展了应用范围，提高了兼容性。

可选地，所述接收同步节点发送的终端的安全组关联信息，包括：

接收所述同步节点发送的所述第一终端的第一安全组关联信息，所述同步节点用于将所述第一安全组关联信息从第一认证节点同步至所述执行节点，所述第一安全组关联信息用于指示所述第一终端的网络地址与所述第一终端所属的第一安全组之间的映射关系；

接收所述同步节点发送的所述第二终端的第二安全组关联信息，所述同步节点用于将所述第二安全组关联信息从第二认证节点同步至所述执行节点，所述第二认证节点与所述第一认证节点不同，所述第二安全组关联信息用于指示所述第二终端的网络地址与所述第二终端所属的第二安全组之间的映射关系；

相应地，所述接收所述终端的报文，包括：

接收所述第一终端与所述第二终端之间传输的报文；

所述按照所述安全组匹配的安全组策略，处理所述报文，包括：

按照与所述第一安全组匹配、且与所述第二安全组匹配的安全组策略，处理所述报文。

可选地，所述根据所述报文携带的所述网络地址，从所述安全组关联信息中，获取所述网络地址对应的所述安全组，包括：

根据所述报文携带的源网络地址，从所述第一安全组关联信息中，获取所述源网络地址对应的所述第一安全组，所述源网络地址为所述第一终端的网络地址；

根据所述报文携带的目的网络地址，从所述第二安全组关联信息，获取所述目的网络地址对应的所述第二安全组，所述目的网络地址为所述第二终端的网络地址。

可选地，所述接收同步节点发送的所述终端的安全组关联信息，包括：

接收所述同步节点发送的第三终端的第三安全组关联信息，所述第三安全组关联信息用于指示所述第三终端的网络地址与所述第三终端所属的第三安全组之间的映射关系；

所述接收所述终端的报文，包括：

接收所述第三终端与网络资源之间传输的报文；

相应地，所述按照所述安全组匹配的安全组策略，处理所述报文，包括：

按照与所述第三安全组匹配、且与所述网络资源所属的第四安全组匹配的安全组策略，处理所述报文。

可选地，所述方法还包括：

接收所述同步节点发送的所述终端的更新后的安全组关联信息；

基于所述终端的更新后的安全组关联信息，执行获取安全组以及处理报文的步骤；

可选地，所述接收同步节点发送的所述终端的安全组关联信息之前，所述方法还包括：

建立与所述同步节点之间的第二网络连接，所述第二网络连接属于长连接、加密通道、连接复用中的至少一种；

相应地，所述接收同步节点发送的所述终端的安全组关联信息，包括：

通过所述第二网络连接，接收同步节点发送的所述终端的安全组关联信息。

接收同步节点发送的所述终端的编码后的安全组关联信息；

所述方法还包括：

对所述编码后的安全组关联信息进行解码，得到安全组关联信息。

接收压缩后的安全组关联信息；

所述方法还包括：

可选地，所述方法还包括：

接收所述同步节点发送的所述第一终端的更新后的第一安全组关联信息；

基于所述第一终端的更新后的第一安全组关联信息，执行获取第一安全组以及处理报文的步骤；

可选地，所述方法还包括：

接收所述同步节点发送的所述第二终端的更新后的第二安全组关联信息；

基于所述第二终端的更新后的第二安全组关联信息，执行获取第二安全组以及处理报文的步骤；

第三方面，提供了一种认证方法，所述方法包括：

接收终端的认证请求；

对所述终端进行认证，得到所述终端所属的安全组；

根据所述终端的网络地址以及所述安全组，获取所述终端的安全组关联信息，所述安全组关联信息用于指示所述网络地址与所述终端所属的安全组之间的映射关系；

将所述安全组关联信息发送至同步节点，所述同步节点用于将所述安全组关联信息同步至包括目标执行节点的至少一个执行节点，所述目标执行节点用于按照安全组策略处理所述终端的报文。

本实施例提供的方法，达到的效果至少可以包括：认证节点通过根据终端的网络地址以及安全组，获取终端的安全组关联信息，将安全组关联信息发送至同步节点，能够让同步节点将终端的安全组关联信息同步至执行节点，以便执行节点可以得到终端的安全组关联信息，则执行节点根据安全组关联信息，即可感知到终端所属的安全组，从而能够按照安全组策略对终端的报文进行处理，可以实现认证节点和执行节点的分离，打破了对组网的约束，扩展了应用范围，提高了兼容性。

可选地，所述将所述安全组关联信息发送至同步节点，包括：

将所述安全组关联信息发送至认证点设备，所述安全组关联信息用于供所述认证点设备用于发送至所述同步节点。

可选地，所述方法还包括：

获取所述终端的更新后的网络地址；

根据所述更新后的网络地址以及所述安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述安全组之间的映射关系；

将所述终端的更新后的安全组关联信息发送至所述同步节点。

可选地，所述方法还包括：

获取所述终端所属的更新后的安全组；

根据所述网络地址以及所述终端所属的更新后的安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述终端的网络地址与所述终端所属的更新后的安全组之间的映射关系；

可选地，所述方法还包括：

获取所述终端的更新后的网络地址以及所述终端所属的更新后的安全组；

根据所述终端的更新后的网络地址以及所述终端所属的更新后的安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述终端所属的更新后的安全组之间的映射关系；

可选地，所述方法应用于授权设备以及认证点设备中的至少一项。

可选地，所述授权设备为认证授权付费AAA服务器；

可选地，所述方法应用于第二授权设备，所述第二授权设备为不支持目标功能的授权设备，所述目标功能为将安全组关联信息发送至同步节点的功能。

可选地，所述方法应用于第一授权设备，所述第一授权设备为支持目标功能的授权设备。

接收同步节点发送的所述终端的编码后的安全组关联信息；

所述方法还包括：

接收压缩后的安全组关联信息；

所述方法还包括：

可选地，所述将所述安全组关联信息发送至同步节点之前，所述方法还包括：

建立与所述同步节点之间的第一网络连接，所述第一网络连接属于长连接、加密通道、连接复用中的至少一种；

相应地，所述将所述安全组关联信息发送至同步节点，包括：

通过所述第一网络连接，将所述安全组关联信息发送至所述同步节点。

第四方面，提供了一种信息同步装置，所述装置用于执行上述信息同步方法。具体地，该信息同步置包括用于执行上述第一方面或第一方面的任一种可选方式所述的信息同步方法的功能模块。

第五方面，提供了一种报文处理装置，所述装置用于执行上述报文处理方法。具体地，该报文处理装置包括用于执行上述第二方面或第二方面的任一种可选方式所述的报文处理方法的功能模块。

第六方面，提供了一种认证装置，所述装置用于执行上述认证方法。具体地，该认证装置包括用于执行上述第三方面或第三方面的任一种可选方式所述的认证方法的功能模块。

第七方面，提供了一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现上述第一方面或第一方面的任一种可选方式所述的信息同步方法所执行的操作。

第八方面，提供一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现上述第二方面或第二方面的任一种可选方式所述的报文处理方法所执行的操作。

第九方面，提供一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现上述第三方面或第三方面的任一种可选方式所述的认证方法所执行的操作。

第十方面，提供一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述指令由所述处理器加载并执行以实现上述第一方面或第一方面的任一种可选方式所述的信息同步方法所执行的操作。

第十一方面，提供一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述指令由所述处理器加载并执行以实现上述第二方面或第二方面的任一种可选方式所述的报文处理方法所执行的操作。

第十二方面，提供一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述指令由所述处理器加载并执行以实现上述第三方面或第三方面的任一种可选方式所述的认证方法所执行的操作。

第十三方面，提供了一种包含指令的计算机程序产品，当其在计算机设备上运行时，使得该计算机设备能够实现上述第一方面或第一方面的任一种可选方式所述的信息同步方法所执行的操作。

第十四方面，提供了一种包含指令的计算机程序产品，当其在计算机设备上运行时，使得该计算机设备能够实现上述第二方面或第二方面的任一种可选方式所述的报文处理方法所执行的操作。

第十五方面，提供了一种包含指令的计算机程序产品，当其在计算机设备上运行时，使得该计算机设备能够实现上述第三方面或第三方面的任一种可选方式所述的认证方法所执行的操作。

第十六方面，提供了一种计算机设备集群，包括至少一个计算机设备，每个计算机设备包括处理器和存储器，所述至少一个计算机设备的处理器用于执行以实现上述第一方面或第一方面的任一种可选方式所述的信息同步方法所执行的操作。

第十七方面，提供了一种计算机设备集群，包括至少一个计算机设备，每个计算机设备包括处理器和存储器，所述至少一个计算机设备的处理器用于执行以实现上述第二方面或第二方面的任一种可选方式所述的报文处理方法所执行的操作。

第十八方面，提供了一种计算机设备集群，包括至少一个计算机设备，每个计算机设备包括处理器和存储器，所述至少一个计算机设备的处理器用于执行以实现上述第三方面或第三方面的任一种可选方式所述的认证方法所执行的操作。

第十九方面，提供一种业务处理系统，在一种可能的实现方式中，所述系统包括：第四方面所述的信息同步装置、第五方面所述的报文处理装置和第六方面所述的认证装置。

在另一种可能的实现方式中，所述系统包括：第七方面所述的计算机设备、第八方面所述的计算机设备和第九方面所述的计算机设备。

在另一种可能的实现方式中，所述系统包括：第十六方面所述的计算机设备、第十七方面所述的计算机设备和第十八方面所述的计算机设备。

第二十方面，提供了一种芯片，所述芯片包括处理器和/或程序指令，当所述芯片运行时，实现上述第一方面或第一方面的任一种可选方式所述的信息同步方法所执行的操作。

第二十一方面，提供了一种芯片，所述芯片包括处理器和/或程序指令，当所述芯片运行时，实现上述第二方面或第二方面的任一种可选方式所述的报文处理方法所执行的操作。

第二十二方面，提供了一种芯片，所述芯片包括处理器和/或程序指令，当所述芯片运行时，实现上述第三方面或第三方面的任一种可选方式所述的认证方法所执行的操作。

附图说明

图1是本申请实施例提供的一种实施环境的架构图；

图2是本申请实施例提供的另一种实施环境的架构图；

图3是本申请实施例提供的另一种实施环境的架构图；

图4是本申请实施例提供的另一种实施环境的架构图；

图5是本申请实施例提供的另一种实施环境的架构图；

图6是本申请实施例提供的一种计算机设备的结构示意图；

图7是本申请实施例提供的一种计算机设备集群的系统架构图；

图8是本申请实施例提供的另一种计算机设备集群的系统架构图；

图9是本申请实施例提供的一种认证方法的流程图；

图10是本申请实施例提供的一种信息同步方法的流程图；

图11是本申请实施例提供的一种信息同步方法的示意图；

图12是本申请实施例提供的一种报文处理方法的流程图；

图13是本申请实施例提供的一种业务处理方法的流程图；

图14是本申请实施例提供的一种信息同步方法的示意图；

图15是本申请实施例提供的一种报文处理方法的流程图；

图16是本申请实施例提供的一种业务处理方法的流程图；

图17是本申请实施例提供的一种信息同步方法的示意图；

图18是本申请实施例提供的一种报文处理方法的流程图；

图19是本申请实施例提供的一种业务处理方法的流程图；

图20是本申请实施例提供的一种业务处理方法的流程图；

图21是本申请实施例提供的一种业务处理方法的流程图；

图22是本申请实施例提供的一种信息同步装置的结构示意图；

图23是本申请实施例提供的一种报文处理装置的结构示意图；

图24是本申请实施例提供的一种认证装置的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

以下对本申请涉及的术语进行解释。

安全组：是指通过组的形式来描述或组织的一个或多个终端和/或一个或多个网络资源。以数学的形式表述，任一安全组可以包括n个终端；或者，任一安全组可以包括m个网络资源；或者，任一安全组可以包括n个终端以及m个网络资源。其中，n和m为正整数。安全组可以与安全组策略对应，安全组中的终端和/或网络资源发送的报文、安全组中的终端和/或网络资源接收的报文、不同安全组中的终端和/或网络资源之间相互传输的报文，可以按照安全组对应的安全组策略进行处理。

终端：也称用户终端或用户设备(User Equipment，缩写：UE)。示例性地，终端可以包括手机、平板电脑、个人电脑、笔记本电脑、电话等。可选地，终端可以为移动终端。移动终端的位置可以改变，随着移动终端的位置改变，移动终端的网络地址可以发生改变。移动终端可以包括手机、平板电脑、或者笔记本电脑等。

网络资源：可以包括计算资源、存储资源、网络环境资源、数据库、网络安全资源、应用服务资源、物联网资源、机器学习资源、软件开发资源等。例如，计算资源可以包括服务器、镜像服务、容器实例等，存储资源可以包括对象存储服务、硬盘等。网络资源的网络地址可以固定，相应地，网络资源可以称为静态资源。网络资源可以为本地资源，也可以为云端资源。该云端资源可以为云计算服务提供的资源，例如云端资源可以为弹性云服务器、虚拟私有云(英文：Virtual Private Cloud)、对象存储服务(英文：Object-Based Storage System，缩写：OBS)、分布式缓存服务、云数据库、应用性能管理(英文：Application Performance Management，缩写：APM)、区块链服务(英文：Blockchain Service)、机器学习(英文：Machine Learning，缩写：ML)服务、分布式消息服务、图像识别服务、自然语言处理(英文：natural language processing，缩写：NLP)服务等。

安全组策略：用于对终端的报文进行处理，从而控制终端的访问权限或者为终端提供的服务质量。安全组策略可以包括访问权限控制策略以及体验保证策略中的至少一项。

访问权限控制策略：用于对任一安全组中的终端和/或网络资源访问其他安全组中的终端和/或网络资源的行为进行控制。例如，可以用于对安全组1中的终端a访问安全组b中的终端2的行为进行控制。访问权限控制策略可以包括允许访问策略以及禁止访问策略中的至少一项。

允许访问策略：用于允许任一安全组中的终端和/或网络资源访问其他安全组中的终端和/或网络资源的行为。当执行节点按照允许访问策略处理报文时，执行节点会将报文转发至被访问设备，以使访问设备能够将报文发送至被访问的设备，实现允许访问设备访问被访问设备的功能。例如，假设安全组1中的终端a要访问安全组2中的终端b，则执行节点接收到终端a向终端b发送的报文时，若匹配安全组1到安全组2的安全组策略时，匹配到允许访问策略，则会向终端b转发终端a的报文。

禁止访问策略：用于禁止任一安全组中的终端和/或网络资源访问其他安全组中的终端和/或网络资源的行为。当执行节点按照禁止访问策略处理报文时，执行节点会丢弃报文，以使访问设备无法将报文发送至被访问的设备，实现禁止访问设备访问被访问设备的功能。例如，假设安全组1中的终端a要访问安全组2中的终端b，则执行节点接收到终端a向终端b发送的报文时，若匹配安全组1到安全组2的安全组策略时，匹配到禁止访问策略，则会丢弃终端a的报文。

体验保证策略：用于对为终端提供的服务质量进行控制。体验保证策略可以包括限速策略、优先调度策略、网关优先接入策略中的至少一项。

限速策略：用于对终端的流量的大小进行控制。例如，限速策略可以包括终端的带宽的阈值，可以通过将终端的带宽控制在不超过该带宽阈值的范围内，以避免网络拥塞。

优先调度策略：用于对转发终端的报文的优先程度进行控制。例如，优先调度策略以包括终端对应的转发优先级，执行节点可以按照该转发优先级，转发终端的报文。例如，假设安全组1中的终端a要访问安全组2中的终端b，则执行节点接收到终端a向终端b发送的报文时，若匹配安全组1到安全组2的安全组策略时，匹配到高优先级的优先调度策略，则会优先转发终端a的报文。

网关优先接入策略：用于对终端接入网关的优先程度进行控制。例如，网关优先接入策略可以包括终端接入网关的优先级，如果某个终端的接入网关的优先级较高，执行节点可以优先将该终端接入网关。

认证节点：用于对终端进行认证，并确定终端所属的安全组。可选地，认证节点可以包括认证点设备以及授权设备中的至少一项。该授权设备以及认证点设备可以进行通信，通过交互以完成认证过程。

认证点设备：用于响应终端的认证请求，将认证请求发送至授权设备，接收授权设备的认证结果，根据认证结果确定是否允许终端接入网络。举例来说，认证点设备的物理实体可以包括无线访问接入点(WirelessAccessPoint，缩写：AP)、防火墙、路由器、交换机等网络设备。具体地，认证点设备可以为接入层交换机。认证点设备可以部署在本地，也可以部署在云端，例如，认证点设备可以为云计算服务提供的虚拟化资源。认证点设备可以通过网络协议与授权设备保持通信。例如，认证点设备可以通过远程用户拨号认证系统(Remote Authentication Dial In User Service，缩写：Radius)协议与授权设备通信。

关于认证点设备的具体形态，可选地，认证点设备的处理逻辑可以封装为具有认证功能的任意软件的客户端，该客户端可以安装在接入层的一个或多个网络设备上，以使一个或多个网络设备运行该客户端后，成为认证点设备。

授权设备：用于接收认证点设备的认证请求，根据认证请求对终端进行认证，将认证结果发送至认证点设备。另外，授权设备可以在认证过程中或认证通过后，确定终端所属的安全组。可选地，授权设备可以为网络中的控制器节点，可以为网络中认证、授权以及业务策略管理的核心，可以通过与认证点设备交互，以完成对终端认证以及策略下发的功能授权设备可以通过网络协议与认证点设备保持通信。例如，授权设备可以通过Radius协议与认证设备通信。

关于授权设备的具体形态，可选地，授权设备可以为服务器，例如授权设备可以为认证授权计费(Authentication Authorization Accounting，简称：AAA或3A)服务器，授权设备可以部署在园区网络的数据中心。可选地，授权设备可以通过软件实现，例如授权设备的处理逻辑可以为一个软件包，该软件包可以安装在一个或多个物理服务器上，以使一个或多个物理服务器运行该软件包时实现授权设备的功能。

执行节点：也可以称为执行点设备或策略执行点设备。执行节点用于按照安全组策略，处理终端的报文。

关于执行节点的具体形态，可选地，执行节点的物理实体可以包括交换机、防火墙、路由器、无线控制器(Wireless Access Point Controller，缩写：AC)等。可选地，执行节点的处理逻辑可以封装为具有安全组策略执行功能的任意软件的客户端，该客户端可以安装在汇聚层或核心层的一个或多个网络设备上，以使该一个或多个网络设备运行该客户端后，成为执行节点。执行节点可以位于本地，也可以位于云端，例如，执行节点可以为云计算服务提供的虚拟化资源。

同步节点：用于将终端的安全组关联信息同步至至少一个执行节点。如此，认证节点与执行节点可以均存储终端的安全组关联信息，从而令网络转发平面上，执行节点也可以持有终端的授权安全组信息，以便执行节点根据终端的授权安全组信息对终端的报文匹配对应的安全组策略进而按照安全组策略处理报文。

关于同步节点的具体形态，可选地，同步节点可以通过软件实现，例如，同步节点可以通过镜像、应用、服务、微服务、模块、子模块、类或函数中的一项或多项实现；示例性地，同步节点的处理逻辑可以封装为一个软件包，当任一台或多台设备运行该软件包时，即可作为同步节点，以实现同步节点的功能。示例性地，该软件包可以安装在服务器集群上，则该服务器集群运行该软件包时，该服务器集群可以作为同步节点。当然，集群式安装仅是举例，该软件包可以安装在单台服务器上，则该服务器运行该软件包时，该服务器可以作为同步节点。当然，同步节点也可以通过硬件实现，例如同步节点的处理逻辑可以封装在一个或多个芯片上，当任一台或多台设备运行该一个或多个芯片时，即可作为同步节点，以实现同步节点的功能，其中，该芯片可以为单片机、可编程逻辑器件或者其他处理器等。可选地，同步节点的物理实体可以包括服务器、个人计算机、防火墙、路由器、交换机等。可选地，同步节点可以部署在本地，也可以部署在云端。举例来说，同步节点可以部署在园区网络的数据中心，本实施例对同步节点的地理位置不做限定。可选地，同步节点可以独立部署，例如，同步节点可以为一个或多个专门的物理实体，该物理实体无需提供同步节点以外的其他节点设备的功能。当然，同步节点也可以和其他节点设备共同部署，例如，可以令一个或多个物理实体同时提供同步节点以及同步节点以外的其他节点设备的功能。本实施例对同步节点的部署方式不做限定。可选地，同步节点可以为提供为单机、集群、分布式系统或主从系统，本申请对同步节点的运行方式不做限定。

图1是本申请实施例提供的一种实施环境的架构图，该实施环境包括：终端、认证节点、同步节点以及执行节点，该实施环境中的不同设备可以通过网络连接，其中，认证节点可以用于执行下述实施例中的认证方法；该同步节点可以用于执行下述各个实施例中的信息同步方法；该执行节点可以用于执行下述实施例中的报文处理方法；终端、认证节点、同步节点以及执行节点可以通过交互以执行下述实施例中的业务处理方法。

图1提供的实施环境中的认证节点可以分为认证点设备以及授权设备，认证节点执行的不同步骤可以分别由认证点设备以及授权设备执行，也即是，认证点设备以及授权设备可以通过信息交互，共同实现认证节点的功能。具体地，参见图2，图2是本申请实施例提供的另一种实施环境的架构图，该实施环境包括：终端、认证点设备、同步节点、授权设备以及执行节点。其中，认证点设备以及授权设备可以通过交互执行下述各个实施例中的认证方法；终端、认证点设备、同步节点、授权设备以及执行节点可以通过交互以执行下述各个实施例中的业务处理方法。

图1提供的实施环境中，认证节点以及终端的数量可以为多个，不同终端可以通过不同的认证节点进行认证。具体地，参见图3，图3是本申请实施例提供的另一种实施环境的架构图，该实施环境包括：第一终端、第二终端、第一认证节点、第二认证节点、同步节点、执行节点。其中，第一终端与第一认证节点通过网络连接，第二终端与第二认证节点通过网络连接，第一认证节点以及第二认证节点均可以通过网络和同步节点连接。其中，第一终端、第二终端、第一认证节点、第二认证节点、同步节点、执行节点可以通过交互执行下述各个实施例中的信息同步方法。其中，下述图14至图16实施例可以应用于该图3所示的实施环境中。

图3提供的实施环境中的认证节点也可以分为认证点设备以及授权设备，具体地，参见图4，图4是本申请实施例提供的另一种实施环境的架构图，该实施环境包括：第一终端、第二终端、第一认证点设备、第二认证点设备、同步节点、执行节点以及授权设备。

图1提供的实施环境中，还可以包括一个或多个网络资源。具体地，参见图5，图5是本申请实施例提供的另一种实施环境的架构图，该实施环境包括：终端、认证节点、同步节点、执行节点以及网络资源。其中，下述图17至图19实施例可以应用于该图5所示的实施环境中，相应地，图5实施环境中的终端可以称为第三终端，图5实施环境中的认证节点可以分为第三认证节点以及第四认证节点。

图6是本申请实施例提供的一种计算机设备的结构示意图，该计算机设备600可以提供为下述方法实施例中的同步节点、执行节点、认证节点中的至少一项。

该计算机设备600可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(英文：central processing units，缩写：CPU)601和一个或一个以上的存储器602，其中，该存储器602中存储有至少一条指令，该至少一条指令由该处理器601加载并执行以实现下述方法实施例提供的信息同步方法、报文处理方法以及认证方法中的至少一项。当然，该计算机设备还可以具有有线或无线网络接口以及输入输出接口等部件，以便进行输入输出，该计算机设备还可以包括其他用于实现设备功能的部件，在此不做赘述。其中，计算机设备600可以为云环境中的计算机设备，或边缘环境中的计算机设备，或终端环境中的计算机设备，对此不做限定。

该计算机设备600上运行的操作系统可以是Linux操作系统，当然也可以是其他操作系统，例如为Windows操作系统等，本实施例对此不做限定。

图7是本申请实施例提供的一种计算机设备集群的系统架构图，该计算机设备集群可以提供为下述方法实施例中的同步节点、执行节点、认证节点中的至少一项。

如图7所示，该计算机设备集群包括至少一个计算机设备700，每个计算机设备700可以执行下述方法实施例提供的信息同步方法、报文处理方法以及认证方法中的至少一项中的任一个步骤或任多个步骤，不同的步骤可以由不同的计算机设备700执行。其中，每个计算机设备700的结构与图6实施例中计算机设备600的结构相同。具体来说，每个计算机设备700可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器701和一个或一个以上的存储器702，其中，该存储器702中存储有至少一条指令，该至少一条指令由该处理器701加载并执行以实现下述方法实施例提供的信息同步方法、报文处理方法以及认证方法中的至少一项中的任一个步骤或任多个步骤。每个计算机设备700可以为云环境中的计算机设备，或边缘环境中的计算机设备，或终端环境中的计算机设备，对此不做限定。

图8是本申请实施例提供的另一种计算机设备集群的系统架构图，该计算机设备集群可以提供为下述方法实施例中的同步节点、执行节点、认证节点中的至少一项。

如图8所示，该计算机设备集群包括云计算系统以及至少一个计算机设备800。其中，该云计算系统可以执行下述方法实施例提供的信息同步方法、报文处理方法、认证方法中的任一个步骤或任多个步骤，每个计算机设备800也可以执行下述方法实施例提供的信息同步方法、报文处理方法以及认证方法中的至少一项中的任一个步骤或任多个步骤。图8中的云计算系统可以通过云端的服务器集群实现，该云计算系统可以通过虚拟化技术扩展运算的计算能力，以实现共享软、硬件资源和信息，按需提供给云计算系统中的各个节点设备，使得每个节点设备发挥最大的效能。其中，每个计算机设备800的结构与图6实施例中计算机设备600的结构相同。每个计算机设备800可以为云环境中的计算机设备，或边缘环境中的计算机设备，或终端环境中的计算机设备，对此不做限定。

在示例性实施例中，还提供了一种计算机可读存储介质，例如包括指令的存储器，上述指令可由同步节点的处理器加载并执行以完成下述实施例中的信息同步方法。例如，该计算机可读存储介质可以是只读存储器(Read-Only Memory，简称：ROM)、随机存取存储器(Random Access Memory，RAM)、只读光盘(Compact Disc Read-Only Memory，简称：CD-ROM)、磁带、软盘和光数据存储设备等。

在示例性实施例中，还提供了一种计算机可读存储介质，例如包括指令的存储器，上述指令可由执行节点的处理器加载并执行以完成下述实施例中的报文处理方法。例如，该计算机可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。

在示例性实施例中，还提供了一种计算机可读存储介质，例如包括指令的存储器，上述指令可由认证节点的处理器加载并执行以完成下述实施例中的认证方法。例如，该计算机可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。

图9是本申请实施例提供的一种认证方法的流程图，该方法的执行主体可以为认证节点，包括以下步骤：

901、认证节点接收终端的认证请求。

当终端接入网络时，终端可以生成认证请求，该认证请求用于对终端进行认证，终端可以将认证请求发送至认证节点，认证节点可以接收终端的认证请求，以便根据认证请求对终端进行认证。

902、认证节点对终端进行认证，得到终端所属的安全组。

关于安全组的确定过程，可选地，认证节点可以根据终端的认证信息，从认证信息与安全组之间的对应关系中，获取终端所属的安全组。

终端的认证信息可以包括用户信息、位置信息以及其他信息中的至少一项。终端的认证信息可以携带在认证请求中，则认证节点可以解析该认证请求，得到认证请求携带的认证信息。当然，认证节点也可以通过其他方式得到终端的认证信息，例如，认证节点可以接收核心网网元下发的终端的认证信息，或者从某一存储设备中查询终端的认证信息，本实施例对认证信息的获取方式不做限定。

举例来说，用户信息可以包括用户所属的部门、用户的角色、用户标识中的至少一项；位置信息可以为终端当前所处的位置。举例来说，位置信息可以包括终端的接入设备组、终端当前的网络地址的范围、终端的服务集标识(Service Set Identifier，缩写：SSID)中的至少一项。该其他信息可以为用户信息以及位置信息以外的用于认证的任意信息，例如，其他信息可以包括当前时间点所属的时间段、终端所属的终端设备组、定制条件等。关于获取认证信息的方式，可选地，认证节点可以解析终端的认证请求，从认证请求中，获取终端的认证信息，当然也可以通过其他方式获取终端的认证信息，本实施例对获取终端的认证信息的方式不做限定。

认证信息与安全组之间的对应关系可以包括至少一个认证信息以及对应的至少一个安全组。关于获取认证信息与安全组之间的对应关系的方式，可选地，认证节点可以接收配置指令，从配置指令中，获取认证信息与安全组之间的对应关系。其中，该配置指令可以通过配置操作触发，该配置指令可以携带认证信息与安全组之间的对应关系。

需要说明的是，在程序中，认证节点得到的安全组可以通过安全组的组标识来表示，组标识用于标识对应的安全组，可以通过数字、字母、字符串或其他任意数据形式表示。可选地，组标识可以记录为“Group id(组的身份标识号)”。

903、认证节点根据终端的网络地址以及安全组，获取终端的安全组关联信息。

终端的网络地址可以为终端的网络互连协议(Internet Protocol，缩写：IP)地址。关于网络地址的获取方式，可选地，认证节点可以从终端的认证请求或其他请求中获取终端的网络地址。另外，如果认证节点分为认证点设备以及授权设备，认证点设备可以将终端的网络地址发送至授权设备，例如，认证点设备可以在认证过程中，将终端的网络地址发送至授权设备，又如，认证点设备可以在对终端认证通过后，获取终端的网络地址并将终端的网络地址发送至授权设备。

安全组关联信息用于指示终端的网络地址与终端所属的安全组之间的映射关系。在一种可能的实现中，安全组关联信息可以包括终端的网络地址以及安全组的组标识。可选地，安全组关联信息的数据形式可以为一个表项，示例性地，安全组关联信息可以如下表1所示。表1中终端的网络地址为“128.107.162.22”，安全组的标识为“100”。当然，表项仅是安全组关联信息的数据形式的举例，本实施例对安全组关联信息的具体数据形式不做限定。

表1

128.107.162.22

100

可选地，关于安全组关联信息的获取方式，可以对终端的网络地址以及安全组的组标识进行封装，得到安全组关联信息。举例来说，认证节点可以生成一个空白的表项，向该空白的表项写入终端的网络地址以及安全组的组标识，则承载了终端的网络地址以及安全组的组标识的表项即可作为安全组关联信息。当然，这种获取安全组关联信息的方式仅是举例描述，本实施例对获取安全组关联信息的方式不做限定。

可选地，如果认证节点分为认证点设备以及授权设备，可以由授权设备根据终端的网络地址以及安全组，获取终端的安全组关联信息。可选地，授权设备获取安全组关联信息后，可以将安全组关联信息发送至认证点设备。

904、认证节点将安全组关联信息发送至同步节点。

可选地，认证节点在将安全组关联信息发送至同步节点之前，可以建立与同步节点之间的第一网络连接，则可以通过第一网络连接，将安全组关联信息发送至同步节点。其中，第一网络连接是指认证节点与同步节点之间的网络连接。

可选地，第一网络连接属于加密通道、长连接、连接复用中的至少一种。

如果第一网络连接为加密通道，则认证节点与同步节点在通过加密通道传输任一信息时，认证节点与同步节点可以采用加密算法，对传输的信息进行加密，从而提高信息传输的安全性。其中，该加密算法可以包括对称加密算法、非对称加密算法等。可选地，在建立第一网络连接的过程中，认证节点与同步节点可以进行双向证书认证，即认证节点可以对同步节点的数字证书进行认证，同步节点可以对认证节点的数字证书进行认证。其中，数字证书用于验证公钥的真实性，数字证书是一个包含公钥以及公钥的拥有者的信息的文件。数字证书可以由证书授权(英文：Certificate Authority，简称：CA)中心或企业系统中自定义的可信机构产生。

如果第一网络连接为长连接，则认证节点与同步节点可以通过第一网络连接持续发送多次安全组关联信息，从而节约多次连接时的性能开销。

如果第一网络连接为连接复用，则认证节点与同步节点之间传输的多个请求和/或响应可以复用一个连接，从而减少连接次数，提高信息传输效率。

可选地，第一网络连接可以为基于超文本传输协议2.0(英文：HyperText Transfer Protocol，缩写：HTTP2.0)协议建立的网络连接。当然，基于HTTP2.0协议建立的网络连接仅是对第一网络连接的举例描述，认证节点与同步节点可以通过任一种网络通信协议建立网络连接，例如认证节点与同步节点可以通过某一应用层协议建立网络连接，该应用层协议包括而不限于网络配置(英文：netcof)协议、实时消息传输(英文：Real Time Messaging Protocol，缩写：RTMP)协议等，本实施例对认证节点与同步节点之间的网络通信协议不做限定。

可选地，关于第一网络连接的建立过程，认证节点可以为第一网络连接的客户端，同步节点可以为第一网络连接的服务端。认证节点可以生成第一网络连接请求，向同步节点发送第一网络连接请求，该第一网络连接请求用于请求建立认证节点与同步节点之间的第一网络连接；同步节点可以接收到第一网络连接请求时，向认证节点发送第一网络连接响应，第一网络连接响应用于确认建立第一网络连接。认证节点可以接收同步节点的第一网络连接响应。当然，认证节点为第一网络连接的客户端，同步节点为第一网络连接的服务端的方式仅是举例描述，也可以由认证节点为第一网络连接的服务端，同步节点为第一网络连接的客户端，本实施例对建立第一网络连接的过程不做限定。

可选地，认证节点可以按照结构化数据格式，对安全组关联信息进行编码。举例来说，该结构化数据格式可以为协议缓存(英文：protocol buffer)格式。相应地，则本步骤可以包括：将编码后的安全组关联信息发送至同步节点，即将结构化的安全组关联信息发送至同步节点。例如，认证节点可以将protocol buffer格式的安全组关联信息发送至同步节点。通过按照结构化数据格式，对安全组关联信息进行编码，可以令安全组关联信息的传输过程更加轻便高效，从而提高安全组关联信息的传输效率。

可选地，认证节点可以对安全组关联信息进行压缩。具体地，可以采用任意压缩算法，对安全组关联信息进行压缩。举例来说，该压缩算法可以包括拉链(英文：Zip)压缩算法。相应地，本步骤可以包括将压缩后的安全组关联信息发送至同步节点。例如，认证节点可以将Zip格式的安全组关联信息发送至同步节点。通过对安全组关联信息进行压缩，可以减少安全组关联信息的数据量，从而提高安全组关联信息的传输速度。

可选地，认证节点可以实时将终端的安全组关联信息发送至同步节点。具体地，认证节点可以每当获取任一终端的安全组关联信息时，即将终端的安全组关联信息发送至同步节点，以使终端的安全组策略尽快生效。

可选地，终端的安全组关联信息可以进行更新，相应地，认证节点可以将终端的更新后的安全组关联信息发送至同步节点。具体地，安全组关联信息进行更新的情况可以包括下述情况(1)至情况(3)中的至少一项。

情况(1)终端的网络地址进行更新，相应地，本实施例提供的方法还可以包括下述步骤(1.1)至步骤(1.3)：

步骤(1.1)认证节点获取终端的更新后的网络地址。

可选地，当终端的网络地址更新时，终端可以将更新后的网络地址发送至认证节点，认证节点可以接收终端的更新后的网络地址，从而得到更新后的网络地址。具体地，当终端的网络地址更新时，终端可以将更新后的网络地址发送至认证点设备，认证点设备可以接收终端的更新后的网络地址，将更新后的网络地址发送至授权设备。其中，认证点设备可以根据终端的更新后的网络地址，生成网络地址更新请求，该网络地址更新请求携带更新后的网络地址，则授权设备可以接收网络地址更新请求，对网络地址更新请求进行解析，得到更新后的网络地址。

步骤(1.2)认证节点根据更新后的网络地址以及安全组，获取终端的更新后的安全组关联信息。

更新后的安全组关联信息用于指示更新后的网络地址与终端所属的安全组之间的映射关系。例如，更新后的安全组关联信息可以包括终端的更新后的网络地址以及安全组的组标识。

步骤(1.3)认证节点将更新后的安全组关联信息发送至同步节点。

通过上述步骤(1.1)至步骤(1.3)，达到的效果至少可以包括:如果终端的当前位置发生变化，则终端的网络地址可以发生更新，而认证节点能够随着终端的网络地址的更新，更新安全组关联信息，并将更新后的安全组关联信息上报该同步节点，使得同步节点能够得到更新后的终端的安全组关联信息，保证同步节点存储的终端的安全组关联信息的准确性。

情况(2)终端所属的安全组进行更新。相应地，本实施例提供的方法还可以包括下述步骤(2.1)至步骤(2.3)：

步骤(2.1)认证节点获取终端的更新后的安全组。

具体来说，认证节点可以获取终端的更新后的认证信息，根据终端的更新后的认证信息，从认证信息与安全组之间的对应关系中，获取终端所属的更新后的安全组。

更新后的认证信息可以包括更新后的位置信息、更新后的其他信息、更新后的用户信息等。该更新后的位置信息用于指示终端更新后的位置，该更新后的其他信息可以包括更新后的时间段、更新后的终端组，该更新后的用户信息可以包括更新后的部门、更新后的角色、更新后的账号等，

可选地，更新后的安全组的获取方式可以包括以下方式一至方式二中的任一项或多项的组合。

方式一、认证节点可以获取终端的更新后的位置信息，根据更新后的位置信息，从位置信息与安全组之间的对应关系中，获取终端所属的更新后的安全组。

可选地，位置信息与安全组之间的对应关系可以包括至少一个位置信息以及至少一个安全组的标识，位置信息与安全组之间的对应关系可以在认证节点上预先配置，例如在3A服务器上预先配置。作为一个示例，位置信息与安全组之间的对应关系可以如下表2所示：

表2

位置信息

安全组

办公区	A1
访客区	A2
食堂	A3
宿舍	A4
会议室	A5

在一个示例性场景中，在终端接入网络的期间，假设某一终端当前处于办公区，认证节点从表1所示的位置信息与安全组之间的对应关系中，获取终端所属的安全组为A1，当终端从办公区移动至访客区后，认证节点从表1所示的位置信息与安全组之间的对应关系中，可以获取终端所属的更新后的安全组为A2。

方式二、认证节点可以获取更新后的时间段，根据更新后的时间段，从时间段与安全组之间的对应关系中，获取终端所属的更新后的安全组。

可选地，时间段与安全组之间的对应关系可以包括至少一个时间段以及至少一个安全组的标识。时间段与安全组之间的对应关系可以在认证节点上预先配置，例如在3A服务器上预先配置。作为一个示例，时间段与安全组之间的对应关系可以如下表3所示：

表3

时间段	安全组
07:00至09:00	A1
09:00至11:30	A2
11:30至14:00	A3
14:00至18:00	A4
18:00至21:00	A5

在一个示例性场景中，在终端接入网络的期间，假设某一终端在10:00时接入网络，认证节点从表3所示的时间段与安全组之间的对应关系中，获取终端所属的安全组为A2，在当前时间到达11:30后，认证节点从表3所示的时间段与安全组之间的对应关系中，可以获取终端所属的更新后的安全组为A3。

步骤(2.2)认证节点根据终端的网络地址以及终端所属的更新后的安全组，获取终端的更新后的安全组关联信息。

更新后的安全组关联信息用于指示终端的网络地址与终端所属的更新后的安全组之间的映射关系。例如，更新后的安全组关联信息可以包括终端的网络地址以及更新后的安全组的组标识。

步骤(2.3)认证节点将终端的更新后的安全组关联信息发送至同步节点。

通过上述步骤(2.1)至步骤(2.3)，达到的效果至少可以包括:如果终端的认证信息发生变化，则终端所属的安全组可以发生更新，而认证节点能够随着终端所属的安全组的更新，更新安全组关联信息，并将更新后的安全组关联信息上报该同步节点，使得同步节点能够得到更新后的终端的安全组关联信息，保证同步节点存储的终端的安全组关联信息的准确性。

可选地，当授权设备获取到终端所属的更新后的安全组后，可以将终端所属的更新后的安全组发送至认证点设备。其中，授权设备可以向任一报文写入终端所属的更新后的安全组，将携带了更新后的安全组的报文发送至认证点设备。举例来说，该报文可以为Radius协议中的授权变更(英文：Change-of-Authorization，缩写：CoA)报文。

情况(3)终端的网络地址以及终端所属的安全组均进行更新。相应地，本实施例提供的方法还可以包括下述步骤(3.1)至步骤(3.3)：

步骤(3.1)认证节点获取终端的更新后的网络地址以及终端所属的更新后的安全组。

步骤(3.1)与上述步骤(1.1)以及步骤(2.1)同理，在此不做赘述。

步骤(3.2)认证节点根据终端的更新后的网络地址以及终端所属的更新后的安全组，获取终端的更新后的安全组关联信息。

步骤(3.2)与上述步骤(1.2)以及步骤(2.2)同理，在此不做赘述。

更新后的安全组关联信息用于指示终端的更新后的网络地址与终端所属的更新后的安全组之间的映射关系。例如，更新后的安全组关联信息可以包括终端的更新后的网络地址以及更新后的安全组的组标识。

步骤(3.3)认证节点将更新后的安全组关联信息发送至同步节点。

步骤(3.3)与上述步骤(1.3)同理，在此不做赘述。

本实施例提供的方法，认证节点通过根据终端的网络地址以及安全组，获取终端的安全组关联信息，将安全组关联信息发送至同步节点，能够让同步节点将终端的安全组关联信息同步至执行节点，以便执行节点可以得到终端的安全组关联信息，则执行节点根据安全组关联信息，即可感知到终端所属的安全组，从而能够按照安全组策略对终端的报文进行处理，可以实现认证节点和执行节点的分离，打破了对组网的约束，扩展了应用范围，提高了兼容性。

图10是本申请实施例提供的一种信息同步方法的流程图，如图10所示，该方法的执行主体可以为同步节点，包括以下步骤：

1001、同步节点接收认证节点发送的终端的安全组关联信息。

可选地，同步节点接收到终端的安全组关联信息后，可以存储终端的安全组关联信息，在一种可能的实现中，同步节点可以包括存储器，可以将终端的安全组关联信息写入该存储器，以使存储器存储终端的安全组关联信息。其中，该存储器可以包括内存以及外部存储器。内存可以是动态随机存取存储器(英文：dynamic random access memory，简称：DRAM)。外部存储器可以包括硬盘、磁盘以及光盘。例如，存储器可以是快闪存储器、NVMe固态硬盘(英文：solid state drives，简称：SSD)。在另一种可能的实现中，同步节点可以将安全组关联信息发送至存储节点，存储节点可以接收安全组关联信息，存储安全组关联信息，同步节点后续可以从存储节点查询安全组关联信息。其中，该存储节点可以包括本地存储设备以及网络存储设备，该网络存储设备可以为云存储系统。

可选地，同步节点在接收认证节点发送的终端的安全组关联信息之前，可以建立与同步节点之间的第一网络连接，则同步节点可以通过第一网络连接，接收认证节点发送的终端的安全组关联信息。其中，第一网络连接的建立过程请参见上述图9实施例，在此不做赘述。

可选地，如果安全组关联信息进行了编码，则同步节点可以接收编码后的安全组关联信息；对编码后的安全组关联信息进行解码，得到安全组关联信息。例如，同步节点可以接收protocol buffer格式的安全组信息，对protocol buffer格式的安全组信息进行解析，得到安全组关联信息。

可选地，如果安全组关联信息进行了压缩，则同步节点可以接收压缩后的安全组关联信息；对压缩后的安全组关联信息进行解压缩，得到安全组关联信息。举例来说，同步节点可以接收Zip格式的安全组信息，对Zip格式的安全组信息进行解压缩，得到安全组关联信息。

1002、同步节点确定至少一个执行节点。

同步节点确定的至少一个执行节点至少包括目标执行节点。具体地，该至少一个执行节点可以仅包括目标执行节点，也可以不仅包括目标执行节点，还包括目标执行节点以外的其他执行节点。其中，目标执行节点是指用于按照安全组策略，处理步骤1001中提及的终端的报文的执行节点。也即是，当得到终端的安全组关联信息后，同步节点至少能够确定出后续该终端的报文会到达的目标执行节点，将终端的安全组关联信息同步至目标执行节点，当然，也不排除还确定出了其他执行节点的情况，本实施例对此不做限定。

可选地，同步节点可以预先存储至少一个执行节点的网络地址，则同步节点确定至少一个执行节点，可以包括：同步节点读取已存储的至少一个执行节点的网络地址。关于同步节点存储执行节点的网络地址的方式，在一种可能的实现中，同步节点可以将网络地址请求发送至执行节点，执行节点可以接收网络地址请求，将本端的网络地址发送至同步节点，同步节点可以接收执行节点的网络地址，存储执行节点的网络地址。如此，同步节点能够主动发现每个接入网络的执行节点的网络地址。在另一种可能的实现中，当任一执行节点接入网络时，该执行节点可以将本端的网络地址发送至同步节点，同步节点可以接收该执行节点的网络地址，存储执行节点的网络地址。当然，这两种实现方式仅是举例描述，还可以通过其他方式存储执行节点的网络地址，例如，管理员可以在同步节点上触发配置操作，相应地，同步节点可以接收配置指令，从配置指令中得到执行节点的网络地址，本实施例对同步节点存储执行节点的网络地址的方式不做限定。

可选地，同步节点可以预先存储至少一个执行节点的标识，则同步节点确定至少一个执行节点，可以包括：同步节点读取已存储的至少一个执行节点的标识。同步节点存储执行节点的标识的方式与上一段同理，在此不做赘述。

可选地，同步节点确定至少一个执行节点的过程可以包括下述实现方式一至实现方式二：

实现方式一、同步节点确定目标执行节点。

具体地，同步节点可以根据终端的网络地址所属的目标网段，从网段与执行节点之间的对应关系中，确定目标网段对应的目标执行节点。

目标网段是指终端的网络地址所属的网段。同步节点可以根据终端的网络地址，获取该该目标网段。

网段与执行节点之间的对应关系可以包括至少一个网段以及至少一个执行节点的标识。网段与执行节点之间的对应关系中任一执行节点可以对应一个或多个网段。其中，执行节点的标识用于标识对应的执行节点，例如，执行节点的标识可以为执行节点的身份标识号(identification，缩写：ID)、编号、名称、序列号等。举例来说，网段与执行节点之间的对应关系可以如下表4所示。

表4

执行节点	网段
执行节点1	202.178.100.0/24
执行节点2	202.178.200.0/24
执行节点3	202.178.300.0/24

可选地，关于网段与执行节点之间的对应关系的获取方式，可选地，同步节点可以接收配置指令，配置指令用于指示网段与执行节点之间的对应关系。同步节点可以解析该配置指令，得到网段与执行节点之间的对应关系。其中，该配置指令可以通过管理员的配置操作触发。同步节点可以支持安全组订阅配置的功能，满足用户的自定义需求。

实现方式二、同步节点确定网络中的每个执行节点。

可选地，同步节点确定网络中的每个执行节点，可以包括：同步节点确定网络中的每个执行节点的网络地址。例如，同步节点可以预先存储网络中的每个执行节点的网络地址，则可以读取已存储的每个执行节点的网络地址。

可选地，同步节点确定网络中的每个执行节点，可以包括：同步节点确定网络中的每个执行节点的。例如，同步节点可以读取已存储的网络中的每个执行节点的标识。例如，同步节点可以预先存储网络中的每个执行节点的标识，则可以读取已存储的每个执行节点的标识。

通过实现方式二，由于网络中的每个执行节点会包括后续终端的报文会到达的目标执行节点，因此将安全组关联信息推送至网络中的每个执行节点，可以达到将安全组关联信息推送至网络中的目标执行节点的效果，可以保证目标执行节点可以得到安全组关联信息。

可选地，同步节点可以按照结构化数据格式，对安全组关联信息进行编码。举例来说，该结构化数据格式可以为protocol buffer格式。

可选地，同步节点可以对安全组关联信息进行压缩。具体地，可以采用任意压缩算法，对安全组关联信息进行压缩。举例来说，该压缩算法可以包括Zip(拉链)压缩算法。

1003、同步节点将安全组关联信息发送至至少一个执行节点。

结合上述实现方式一，同步节点可以将终端的安全组关联信息发送至目标网段对应的目标执行节点。进一步地，可选地，同步节点可以接收多个终端的安全组关联信息，根据网段与执行节点之间的对应关系，将不同网段的终端的安全组关联信息发送至不同的目标执行节点。例如，参见图11，假设网段1对应执行节点1，网段2对应执行节点2，网段3对应执行节点3，同步节点可以将网络地址属于网段1的所有终端的安全组关联信息发送至执行节点1，将网络地址属于网段2的所有终端的安全组关联信息发送至执行节点2，将网络地址属于网段3的所有终端的安全组关联信息发送至执行节点3，依次类推。

通过实现方式一，达到的效果至少可以包括：当同步节点接收到不同网段的终端的安全组信息时，可以将各个安全组信息分别发送至对应网段的执行节点，可以实现每个执行节点接收本端网段的终端的安全组信息的功能，达到精细化推送的效果，可以避免执行节点由于频繁接收安全组信息，对运行资源的消耗。同时，可以节约执行节点的存储资源，避免单个执行节点待存储的安全组关联信息的数据量过大。尤其是，在接入网络的终端数量庞大的场景中，同步节点待同步的安全组信息数据量庞大，而通过精细化的发送安全组信息，可以提高整个系统的运行效率。

结合上述实现方式二，同步节点可以将终端的安全组关联信息发送至网络的每个执行节点。进一步地，可选地，同步节点可以每当接收到任一终端的安全组关联信息，将该终端的安全组关联信息发送至网络的每个执行节点。

可选地，同步节点在将安全组关联信息发送至至少一个执行节点之前，可以建立与至少一个执行节点之间的第二网络连接，则可以通过第二网络连接，将安全组关联信息发送至至少一个执行节点。其中，第二网络连接是指同步节点与至少一个执行节点之间的网络连接。该第二网络连接响应用于确认建立第二网络连接。

可选地，第二网络连接属于加密通道、长连接、连接复用中的至少一种。

如果第二网络连接为加密通道，则认证节点与至少一个执行节点在通过加密通道传输任一信息时，认证节点与至少一个执行节点可以采用加密算法，对传输的信息进行加密，从而提高信息传输的安全性。其中，该加密算法可以包括对称加密算法、非对称加密算法等。可选地，在建立第二网络连接的过程中，认证节点与至少一个执行节点可以进行双向证书认证，即认证节点可以对至少一个执行节点的数字证书进行认证，至少一个执行节点可以对认证节点的数字证书进行认证。

如果第二网络连接为长连接，则认证节点与至少一个执行节点可以通过第二网络连接持续发送多次安全组关联信息，从而节约多次连接时的性能开销。

如果第二网络连接为连接复用，则认证节点与至少一个执行节点之间传输的多个请求和/或响应可以复用一个连接，从而减少连接次数，提高信息传输效率。

可选地，第二网络连接可以为基于HTTP2.0协议建立的网络连接。当然，基于HTTP2.0协议建立的网络连接仅是对第二网络连接的举例描述，同步节点与至少一个执行节点可以通过任一种网络通信协议建立网络连接，例如通过某一应用层协议建立网络连接，该应用层协议包括而不限于netcof协议、 RTMP协议等，本实施例对同步节点与至少一个执行节点之间的网络通信协议不做限定。

可选地，关于第二网络连接的建立过程，同步节点可以为第二网络连接的客户端，至少一个执行节点可以为第二网络连接的服务端。同步节点可以生成第二网络连接请求，向至少一个执行节点发送第二网络连接请求，该第二网络连接请求用于请求建立同步节点与至少一个执行节点之间的第二网络连接；至少一个执行节点可以接收到第二网络连接请求时，向同步节点发送第二网络连接响应，第二网络连接响应用于确认建立第二网络连接。同步节点可以接收至少一个执行节点的第二网络连接响应。当然，同步节点为第二网络连接的客户端，至少一个执行节点为第二网络连接的服务端的方式仅是举例描述，也可以由同步节点为第二网络连接的服务端，至少一个执行节点为第二网络连接的客户端，本实施例对建立第二网络连接的过程不做限定。

可选地，如果同步节点在步骤1003中，按照结构化数据格式，对安全组关联信息进行编码，则本步骤可以包括：将编码后的安全组关联信息发送至同步节点，即将结构化的安全组关联信息发送至至少一个执行节点。例如，同步节点可以将protocol buffer格式的安全组关联信息发送至至少一个执行节点。

可选地，如果同步节点在步骤1003中，对安全组关联信息进行压缩，则本步骤可以包括：将压缩后的安全组关联信息发送至至少一个执行节点。例如，同步节点可以将Zip格式的安全组关联信息发送至至少一个执行节点。

可选地，如果终端的网络地址和/或安全组进行更新，则终端的安全组关联信息可以进行更新，相应地，本实施例提供的方法还可以包括下述步骤一至步骤三：

步骤一、同步节点接收认证节点发送的终端的更新后的安全组关联信息，更新后的安全组关联信息用于指示终端的更新后的网络地址与安全组之间的映射关系，或者，更新后的安全组关联信息用于指示终端的网络地址与终端所属的更新后的安全组之间的映射关系，或者，更新后的安全组关联信息用于指示终端的更新后的网络地址与终端所属的更新后的安全组之间的映射关系。

可选地，同步节点可以将已存储的终端的安全组关联信息更新为该更新后的安全组关联信息，从而保证存储的终端的安全组关联信息的精确性。

步骤二、同步节点确定至少一个执行节点。

步骤三、同步节点将更新后的安全组关联信息发送至至少一个执行节点。

通过上述步骤一至步骤三，达到的效果至少可以包括:如果终端的当前位置发生变化，则终端的网络地址可以发生更新，而同步节点能够随着终端的网络地址的更新，将更新后的安全组关联信息下发给执行节点，使得执行节点能够得到更新后的终端的安全组关联信息，保证执行节点存储的终端的安全组关联信息的准确性。

本实施例提供的方法，同步节点通过将安全组关联信息从认证节点同步至执行节点上，可以让执行节点得到终端的安全组关联信息，则执行节点根据安全组关联信息，即可感知到终端所属的安全组，从而能够按照安全组策略对终端的报文进行处理，可以实现认证节点和执行节点的分离，打破了对组网的约束，扩展了应用范围，提高了兼容性。

图12是本申请实施例提供的一种报文处理方法的流程图，如图12所示，该方法的执行主体可以为执行节点，包括以下步骤：

1201、执行节点接收同步节点发送的终端的安全组关联信息。

可选地，执行节点接收到终端的安全组关联信息后，可以存储终端的安全组关联信息，在一种可能的实现中，执行节点可以包括存储器，可以将终端的安全组关联信息写入该存储器，以使存储器存储终端的安全组关联信息。在另一种可能的实现中，执行节点可以将安全组关联信息发送至存储节点，存储节点可以接收安全组关联信息，存储安全组关联信息，执行节点后续可以从存储节点查询安全组关联信息。

可选地，执行节点在接收同步节点发送的终端的安全组关联信息之前，可以建立与同步节点之间的第二网络连接，则可以通过第二网络连接，接收同步节点发送的终端的安全组关联信息。关于建立第二网络连接的过程请参见上述图10实施例，在此不做赘述。

可选地，如果安全组关联信息进行了编码，则执行节点可以接收编码后的安全组关联信息；对编码后的安全组关联信息进行解码，得到安全组关联信息。举例来说，执行节点可以接收结构化数据格式的安全组信息，对结构化数据格式的安全组关联信息进行解析，得到安全组关联信息。例如，执行节点可以接收protocol buffer格式的安全组信息，对protocol buffer格式的安全组信息进行解析，得到安全组关联信息。

可选地，如果安全组关联信息进行了压缩，则执行节点可以接收压缩后的安全组关联信息；对压缩后的安全组关联信息进行解压缩，得到安全组关联信息。举例来说，执行节点可以接收Zip格式的安全组信息，对Zip格式的安全组信息进行解压缩，得到安全组关联信息。

1202、执行节点接收终端的报文。

终端的报文用于承载终端的业务数据，报文可以由终端生成，并发送至执行节点。需要说明的是，网络的不同层次中传输的数据可以具有不同的名称，相应地，报文这一术语可以等同替换为其他术语，例如在传输层，报文也可以称为数据包、packet(包)、数据分组等，在数据链路层，报文也可以称为帧等。

终端的报文可以包括两个不同终端之间传输的报文以及终端与网络资源之间传输的报文中的至少一项。其中，两个不同终端之间传输的报文可以视为两个终端之间的访问行为产生的报文，例如，可以包括一个终端向另一个终端发送的报文以及一个终端接收另一个终端发送的报文中的至少一项。终端与网络资源之间传输的报文可以视为终端与网络资源之间的访问行为产生的报文，例如，可以包括一个终端向网络资源发送的报文以及一个终端接收网络资源发送的报文中的至少一项。

可选地，执行节点接收终端的报文可以包括：执行节点接收终端的流量。该流量也称数据流或报文流，是指连续的多个报文，同一流量的五元组可以相同。可选地，执行节点与终端之间的报文可以通过认证节点转发，相应地，执行节点接收终端的报文可以包括：认证节点接收终端的报文，认证节点将终端的报文发送至执行节点，执行节点接收认证节点发送的终端的报文。

1203、执行节点根据报文携带的网络地址，从安全组关联信息中，获取网络地址对应的安全组。

执行节点可以解析报文，得到报文携带的网络地址，根据网络地址查询安全组关联信息，得到安全组关联信息中网络地址对应的安全组。例如，假设安全组关联信息如上表1所示，则如果执行节点接收到携带有网络地址为“128.107.162.22”的报文，可以从安全组关联信息中，获取网络地址对应的安全组为安全组100。

报文携带的网络地址可以包括源网络地址以及目的网络地址，相应地，本步骤1203可以包括下述(1)至(2)中任一项或多项的组合。其中，为了区分描述，将源网络地址对应的安全组关联信息称为第一安全组关联信息，将目的网络地址对应的安全组关联信息称为第二安全组关联信息，将源网络地址对应的安全组称为第一安全组，将目的网络地址对应的安全组称为第二安全组。其中，术语“第一安全组关联信息”以及“第一安全组关联信息”用于区分不同的安全组关联信息，而不应理解为明示或暗示不同安全组关联信息在时间或逻辑上的关系，例如不应理解为明示或暗示不同安全组关联信息的生成时间、接收时间、存储时间的早晚顺序以及相对重要性。同理地，术语“第一安全组”以及“第二安全组”用于区分不同的安全组，而不应理解为明示或暗示不同安全组在时间或逻辑上的关系，例如不应理解为明示或暗示不同安全组的生成时间、接收时间、存储时间的早晚顺序以及相对重要性。

(1)根据报文携带的源网络地址，从第一安全组关联信息中，获取源网络地址对应的第一安全组。

该源网络地址可以为报文的源IP地址，终端可以根据源网络地址查询安全组关联信息，得到源网络地址对应的安全组。其中，由于第一安全组为源网络地址对应的安全组，则第一安全组可以称为源安全组。

(2)根据报文携带的目的网络地址，从第二安全组关联信息，获取目的网络地址对应的第二安全组，目的网络地址为第二终端的网络地址。

该目的网络地址可以为报文的目的IP地址，终端可以根据目的网络地址查询安全组关联信息，得到目的网络地址对应的安全组。其中，由于第二安全组为目的网络地址对应的安全组，则第二安全组可以称为目的安全组。

需要说明的第一点是，先描述步骤1203中的(1)再描述步骤1203中的(2)仅是为了表述方便，本实施例对步骤1203中的(1)和(2)并没有时序上的限定。例如，可以先执行步骤1203中的(1)，再执行步骤1203中的(2)；又如，可以先执行步骤1203中的(2)，再执行步骤1203中的(1)；再如，可以同时执行步骤1203中的(1)和步骤1203中的(2)。

需要说明的第二点是，步骤1203中的(1)和步骤1203中的(2)可以择一执行也可以均执行，举例来说，在两个终端互相访问的场景中，两个终端的安全组可以均通过安全组关联信息确定，则执行节点可以执行(1)和(2)，该场景的具体实现方式可以参见下述图14实施例至图16实施例。在终端与网络资源交互的场景中，终端的安全组可以通过安全组关联信息确定，而网络资源的安全组可以通过配置信息确定，则执行节点可以执行(1)和(2)中的任一项，该场景的具体实现方式可以参见下述图17实施例至图19实施例。

1204、执行节点按照安全组匹配的安全组策略，处理报文。

可选地，执行节点可以根据终端所属的安全组，匹配安全组对应的安全组策略。关于安全组策略的匹配方式，在一种可能的实现中，执行节点可以根据终端所属的安全组，从安全组与安全组策略之间的对应关系中，得到安全组匹配的安全组策略。

安全组与安全组策略之间的对应关系用于指示任一安全组对应的安全组策略。例如，安全组与安全组策略之间的对应关系可以包括至少一个安全组的标识以及至少一个安全组策略的标识。该安全组策略的标识用于指示对应的安全组策略，可以为安全组的名称、编号、关键字、序列号等。

可选地，安全组与安全组策略之间的对应关系用于指示源安全组对应的安全组策略以及目的安全组对应的安全组策略。其中，源安全组是指报文的源网络地址对应的安全组，可以视为访问设备所属的安全组。目的安全组是指报文的目的网络地址对应的安全组，可以视为被访问设备所属的安全组。

可选地，安全组与安全组策略之间的对应关系可以为安全组策略矩阵，安全组策略矩阵的行和列可以指代一个或多个安全组。例如，安全组策略矩阵的行可以指代一个或多个源安全组，安全组策略矩阵的行可以指代一个或多个目的安全组。示例性地，安全组与安全组策略之间的对应关系可以如下表5所示。

表5

可选地，关于安全组与安全组策略之间的对应关系的获取方式，安全组与安全组策略之间的对应关系可以在执行节点上预先存储，执行节点可以读取已存储的安全组与安全组策略之间的对应关系。例如，安全组与安全组策略之间的对应关系可以根据用户的配置操作确定。具体地，执行节点可以接收配置指令，该配置指令用于指示安全组与安全组策略之间的对应关系，该配置指令可以根据用户的配置操作触发，执行节点可以根据配置指令，获取安全组与安全组策略之间的对应关系，存储安全组与安全组策略之间的对应关系。

关于根据安全组与安全组策略之间的对应关系匹配安全组策略的方式，执行节点可以根据报文的源网络地址对应的第一安全组以及目的网络地址对应的第二安全组，从安全组与安全组策略之间的对应关系中，得到与第一安全组匹配、且与第二安全组匹配的安全组策略。在一种可能的实现中，执行节点可以从安全组与安全组策略之间的对应关系中，获取源安全组为第一安全组、目的安全组为第二安全组的安全组策略，该安全组策略即为与第一安全组匹配、且与第二安全组匹配的安全组策略安全组匹配的安全组策略。

结合上述各种可选实施方式，在终端与任一设备交互的场景中，假设终端要访问另一设备，则终端为报文的发送设备，被访问设备为报文的接收设备，在这种情况下，执行节点可以根据终端的网络地址对应的第一安全组以及被访问设备的网络地址对应的第二安全组，从安全组与安全组策略之间的对应关系中，得到源安全组为第一安全组、目的安全组为第二安全组的安全组策略，该安全组策略即为报文匹配的安全组策略。同理地，假设另一设备要访问终端，则终端为报文的接收设备，被访问设备为报文的发送设备，在这种情况下，执行节点可以根据终端的网络地址对应的第一安全组以及被访问设备的网络地址对应的第二安全组，从安全组与安全组策略之间的对应关系中，得到目的安全组为第一安全组匹配、源安全组为第二安全组的安全组策略，该安全组策略即为报文匹配的安全组策略。

在一个示例性场景中，假设安全组与安全组策略之间的对应关系如上表3所示，假设管理员的终端1要访问外包员工的终端2，则终端1会向终端2发起报文，执行节点会接收到终端1至终端2的报文，可以根据终端1的网络地址，得到第一安全组为管理员，根据终端2的网络地址，得到第二安全组为外包员工，则可以从表3中，得到安全组策略为允许访问、高优先级。

关于报文的处理方式，可选地，按照安全组策略处理报文的方式可以包括：转发报文、丢弃报文、控制报文的传输带宽、控制报文的传输速率、控制报文的转发优先级、为报文分配传输资源，将报文存入指定优先级队列中的一项或多项。

举例来说，按照安全组策略处理报文的方式可以包括下述(1)至(2)：

(1)如果安全组匹配的安全组策略为访问权限控制策略，则执行节点可以按照访问权限控制策略，可以对终端的报文进行转发，或者丢弃终端的报文。具体地，如果访问权限控制策略为允许访问策略，则执行节点可以按照允许访问策略，对终端的报文进行转发。如果访问权限控制策略为禁止访问策略，则执行节点可以按照禁止访问策略，丢弃终端的报文。

(2)如果安全组匹配的安全组策略为体验保证策略，则执行节点可以按照体验保证策略，对终端的报文的流量大小进行控制，例如将终端的带宽控制在不超过该带宽阈值的范围内，以避免网络拥塞，又如按照该转发优先级，转发终端的报文。

在一个示例性场景中，假设出差员工a要访问外包员工b，则出差员工a的终端发送的报文中，源网络地址为出差员工a的终端的网络地址，目的网络地址为出差员工a的终端的网络地址。执行节点可以根据报文的源网络地址，得到第一安全组为出差员工，第二安全组为外包员工；从安全组与安全组策略之间的对应关系中，得到与出差员工匹配、且与外包员工匹配的安全组策略，即“允许访问高优先级”，按照该安全组策略，会允许出差员工a访问外包员工b，并优先转发出差员工a的终端与外包员工b的终端之间传输的报文。

可选地，终端的网络地址和/或安全组进行更新，则终端的安全组关联信息可以进行更新，相应地，本实施例提供的方法还可以包括下述步骤一至步骤四：

步骤一、执行节点接收同步节点发送的终端的更新后的安全组关联信息，更新后的安全组关联信息用于指示终端的更新后的网络地址与安全组之间的映射关系，或者，更新后的安全组关联信息用于指示终端的网络地址与终端所属的更新后的安全组之间的映射关系，或者，更新后的安全组关联信息用于指示终端的更新后的网络地址与终端所属的更新后的安全组之间的映射关系。

可选地，执行节点可以将已存储的终端的安全组关联信息更新为该更新后的安全组关联信息，从而保证存储的终端的安全组关联信息的精确性。

步骤二、执行节点接收终端的报文。

步骤三、执行节点根据报文携带的网络地址，从更新后的安全组关联信息中，获取网络地址对应的安全组。

步骤四、执行节点按照安全组匹配的安全组策略，处理报文。

通过上述步骤一至步骤四，达到的效果至少可以包括:如果终端的当前位置发生变化，则终端的网络地址和/或安全组可以发生更新，而执行节点能够随着终端的网络地址和/或安全组可的更新，更新已存储的终端的安全组关联信息，保证执行节点存储的终端的安全组关联信息的准确性。

本实施例提供的方法，执行节点可以通过同步节点下发的安全组关联信息，得到终端的安全组关联信息，从而能够感知终端所属的安全组，当终端的流量到达执行节点时，执行节点可以按照安全组策略对终端的报文进行处理，实现了认证节点和执行节点的分离，打破了对组网的约束，扩展了应用范围，提高了兼容性。

图13是本申请实施例提供的一种业务处理方法的流程图，如图13所示，该方法的交互主体包括终端、认证节点、同步节点以及执行节点，包括以下步骤：

1301、终端向认证节点发送认证请求。

1302、当认证节点接收到终端的认证请求时，认证节点对终端进行认证，得到终端所属的安全组。

步骤1302可以与上述图9实施例中的步骤901至步骤902同理，在此不做赘述。

1303、认证节点根据终端的网络地址以及安全组，获取终端的安全组关联信息。

步骤1303可以与上述图9实施例中的步骤903同理，在此不做赘述。

1304、认证节点将安全组关联信息发送至同步节点。

步骤1304可以与上述图9实施例中的904同理，在此不做赘述。

1305、当同步节点接收认证节点发送的终端的安全组关联信息，同步节点确定包括目标执行节点的至少一个执行节点，目标执行节点用于按照安全组策略处理终端的报文。

步骤1305可以与上述图10实施例中的1001至步骤1002同理，在此不做赘述。

1306、同步节点将安全组关联信息发送至至少一个执行节点。

步骤1306可以与上述图10实施例中的1003同理，在此不做赘述。

1307、执行节点接收同步节点发送的终端的安全组关联信息。

步骤1307可以与上述图12实施例中的1201同理，在此不做过多赘述。

1308、终端向执行节点发送报文。

1309、当执行节点接收到终端的报文时，执行节点根据报文携带的网络地址，从安全组关联信息中，获取网络地址对应的安全组。

步骤1309可以与上述图12实施例中的1202至步骤1203同理，在此不做过多赘述。

1310、执行节点按照安全组匹配的安全组策略，处理报文。

步骤1310可以与上述图12实施例中的1204同理，在此不做过多赘述。

可选地，本申请实施例提供的方法可以应用于跨认证节点接入的终端之间互访的场景中，具体实现可以如下述图14实施例至图16实施例所示。

为了区分描述，在图14实施例至图16实施例中，将任两个不同的认证节点分别称为第一认证节点以及第二认证节点，将通过第一认证节点认证的终端称为第一终端，将通过第二认证节点认证的终端称为第二终端，将第一终端所属的安全组称为第一安全组，将第二终端所属的安全组称为第二安全组，将接收到第一终端与第二终端之间传输的报文的执行节点称为第一目标执行节点。

图14是本申请实施例提供的一种信息同步方法的流程图，如图14所示，该方法的执行主体可以为同步节点，包括以下步骤：

1401、同步节点接收第一认证节点发送的第一终端的第一安全组关联信息。

第一安全组关联信息用于指示第一终端的网络地址与第一终端所属的第一安全组之间的映射关系。例如，第一安全组关联信息可以包括第一终端的网络地址以及第一安全组的组标识。第一安全组关联信息可以在第一认证节点对第一终端认证的过程中生成。

具体地，第一认证节点对第一终端认证的过程可以包括：第一认证节点接收第一终端的认证请求，第一认证节点对第一终端进行认证，得到第一终端所属的第一安全组；根据第一终端的网络地址以及第一安全组，获取第一终端的第一安全组关联信息；将第一安全组关联信息发送至同步节点。其中，该过程可以参见上述图9实施例，在此不做赘述。

可选地，如果第一安全组关联信息进行了编码，则同步节点可以接收编码后的第一安全组关联信息；对编码后的第一安全组关联信息进行解码，得到第一安全组关联信息；

可选地，如果第一安全组关联信息进行了压缩，则同步节点可以接收压缩后的安全组关联信息；对压缩后的第一安全组关联信息进行解压缩，得到第一安全组关联信息。

1402、同步节点接收第二认证节点发送的第二终端的第二安全组关联信息。

第二认证节点与第一认证节点不同，第二认证节点与第一认证节点可以为网络中任两个不同的认证节点。举例来说，第二认证节点与第一认证节点可以部署在不同的地理位置。

第二安全组关联信息用于指示第二终端的网络地址与第二终端所属的第二安全组之间的映射关系。例如，第二安全组关联信息可以包括第二终端的网络地址以及第二安全组的组标识。第二安全组关联信息可以在第二认证节点对第二终端认证的过程中生成。

具体地，第二认证节点对第二终端认证的过程可以包括：第二认证节点接收第二终端的认证请求，第二认证节点对第二终端进行认证，得到第二终端所属的第二安全组；根据第二终端的网络地址以及第二安全组，获取第二终端的第二安全组关联信息；将第二安全组关联信息发送至同步节点。其中，该过程可以参见上述图10实施例，在此不做赘述。

需要说明的是，先描述步骤1401再描述步骤1402仅是为了表述方便，本实施例对步骤1401和步骤1402这两个步骤不做时序上的限定。例如，可以先执行步骤1401，再执行步骤1402；又如，可以先执行步骤1402，再执行步骤1401；再如，可以同时执行步骤1401和步骤1402。

可选地，如果第二安全组关联信息进行了编码，则同步节点可以接收编码后的第二安全组关联信息；对编码后的第二安全组关联信息进行解码，得到第二安全组关联信息。

可选地，可选地，如果第二安全组关联信息进行了压缩，则同步节点可以接收压缩后的安全组关联信息；对压缩后的第二安全组关联信息进行解压缩，得到第二安全组关联信息。

1403、同步节点确定包括第一目标执行节点的至少一个执行节点，第一目标执行节点用于按照安全组策略处理第一终端与第二终端之间传输的报文。

实现方式一、同步节点确定第一目标执行节点。

可选地，实现方式一可以包括：同步节点根据第一终端的网络地址所属的第一目标网段，从网段与执行节点之间的对应关系中，获取第一目标网段对应的第一目标执行节点；根据第二终端的网络地址所属的第二目标网段，从网段与执行节点之间的对应关系中，获取第二目标网段对应的第一目标执行节点。

其中，第一目标网段是指第一终端的网络地址所属的网段，第二目标网段是指第二终端的网络地址所属的网段。可选地，第一目标网段和第二目标网段可以不同，而第一目标网段对应的执行节点以及第二目标网段对应的执行节点相同，第一目标网段以及第二目标网段对应的执行节点均为该第一目标执行节点。可选地，第一目标网段和第二目标网段可以相同，第一目标网段以及第二目标网段对应的执行节点均为该第一目标执行节点。

实现方式二、确定网络中的每个执行节点。

可选地，同步节点可以按照结构化数据格式，对第一安全组关联信息进行编码，得到编码后的第一安全组关联信息。

可选地，同步节点可以对第一安全组关联信息进行压缩，得到压缩后的第一安全组关联信息。

1404、同步节点将第一安全组关联信息发送至至少一个执行节点。

步骤1404可以与上述图10实施例中的1003同理，在此不做赘述。

可选地，同步节点可以将编码后的第一安全组关联信息发送至至少一个执行节点。可选地，同步节点可以将压缩后的第一安全组关联信息发送至至少一个执行节点。

可选地，第一终端以及第二终端中的至少一项的安全组关联信息可以发生更新，相应地，认证节点可以将第一终端的更新后的安全组关联信息发送至同步节点，也可以将第二终端的更新后的安全组关联信息发送至同步节点。

具体地，第一终端的安全组关联信息进行更新的情况可以包括下述情况(1)至情况(3)中的至少一项。

情况(1)第一终端的网络地址进行更新，则认证节点执行的方法还可以包括下述步骤(1.1)至步骤(1.3)：

步骤(1.1)第一认证节点获取第一终端的更新后的网络地址。

可选地，当第一终端的网络地址更新时，第一终端可以将更新后的网络地址发送至第一认证节点，第一认证节点可以接收第一终端的更新后的网络地址，从而得到更新后的网络地址。具体地，当第一终端的网络地址更新时，第一终端可以将更新后的网络地址发送至认证点设备，第一认证点设备可以接收第一终端的更新后的网络地址，将更新后的网络地址发送至授权设备。其中，第一认证点设备可以根据第一终端的更新后的网络地址，生成网络地址更新请求，该第一网络地址更新请求携带更新后的网络地址，则授权设备可以接收第一网络地址更新请求，对第一网络地址更新请求进行解析，得到更新后的网络地址。

步骤(1.2)第一认证节点根据更新后的网络地址以及第一安全组，获取第一终端的更新后的第一安全组关联信息。

更新后的第一安全组关联信息用于指示更新后的网络地址与第一终端所属的第一安全组之间的映射关系。例如，更新后的第一安全组关联信息可以包括第一终端的更新后的网络地址以及第一安全组的组标识。

步骤(1.3)第一认证节点将更新后的第一安全组关联信息发送至同步节点。

与情况(1)对应的，本实施例提供的方法可以包括下述步骤a至步骤b：

步骤a、同步节点接收第一认证节点发送的第一终端的更新后的第一安全组关联信息；

步骤b、同步节点将更新后的第一安全组关联信息发送至至少一个执行节点；

其中，更新后的第一安全组关联信息用于指示第一终端的更新后的网络地址与第一安全组之间的映射关系。

情况(2)第一终端所属的安全组进行更新。相应地，认证节点执行的方法还可以包括下述步骤(2.1)至步骤(2.3)：

步骤(2.1)第一认证节点获取第一终端的更新后的第一安全组。

具体来说，第一认证节点可以获取第一终端的更新后的认证信息，根据第一终端的更新后的认证信息，从认证信息与第一安全组之间的对应关系中，获取第一终端所属的更新后的第一安全组。

更新后的认证信息可以包括更新后的位置信息、更新后的其他信息、更新后的用户信息等。该更新后的位置信息用于指示第一终端的更新后的位置，该更新后的其他信息可以包括更新后的时间段、更新后的第一终端组，该更新后的用户信息可以包括更新后的部门、更新后的角色、更新后的账号等，

可选地，更新后的第一安全组的获取方式可以包括以下方式一至方式二中的任一项或多项的组合。

方式一、第一认证节点可以获取第一终端的更新后的位置信息，根据更新后的位置信息，从位置信息与第一安全组之间的对应关系中，获取第一终端所属的更新后的第一安全组。

可选地，位置信息与第一安全组之间的对应关系可以包括至少一个位置信息以及至少一个第一安全组的标识，位置信息与第一安全组之间的对应关系可以在第一认证节点上预先配置，例如在3A服务器上预先配置。

方式二、第一认证节点可以获取更新后的时间段，根据更新后的时间段，从时间段与第一安全组之间的对应关系中，获取第一终端所属的更新后的第一安全组。

可选地，时间段与第一安全组之间的对应关系可以包括至少一个时间段以及至少一个第一安全组的标识。时间段与第一安全组之间的对应关系可以在第一认证节点上预先配置。

步骤(2.2)第一认证节点根据第一终端的网络地址以及第一终端所属的更新后的第一安全组，获取第一终端的更新后的第一安全组关联信息。

更新后的第一安全组关联信息用于指示第一终端的网络地址与第一终端所属的更新后的第一安全组之间的映射关系。例如，更新后的第一安全组关联信息可以包括第一终端的网络地址以及更新后的第一安全组的组标识。

步骤(2.3)第一认证节点将第一终端的更新后的第一安全组关联信息发送至同步节点。

与情况(2)对应的，本实施例提供的方法可以包括下述步骤a至步骤b：

其中，更新后的第一安全组关联信息用于指示第一终端的网络地址与第一终端所属的更新后的第一安全组之间的映射关系。

情况(3)第一终端的网络地址以及第一终端所属的安全组均进行更新。相应地，本实施例提供的方法还可以包括下述步骤(3.1)至步骤(3.3)：

步骤(3.1)第一认证节点获取第一终端的更新后的网络地址以及第一终端所属的更新后的第一安全组。

步骤(3.1)与上述步骤(1.1)以及步骤(1.2)同理，在此不做赘述。

步骤(3.2)、第一认证节点根据第一终端的更新后的网络地址以及第一终端所属的更新后的第一安全组，获取第一终端的更新后的第一安全组关联信息。

更新后的第一安全组关联信息用于指示第一终端的更新后的网络地址与第一终端所属的更新后的第一安全组之间的映射关系。例如，更新后的第一安全组关联信息可以包括第一终端的更新后的网络地址以及更新后的第一安全组的组标识。

步骤(3.3)、第一认证节点将更新后的第一安全组关联信息发送至同步节点。

与情况(3)对应的，本实施例提供的方法可以包括下述步骤a至步骤b：

其中，更新后的第一安全组关联信息用于指示第一终端的更新后的网络地址与第一终端所属的更新后的第一安全组之间的映射关系。

同理地，可选地，第二终端的第二安全组关联信息也可以进行更新，第二安全组关联信息进行更新的情况可以包括下述情况(1)至情况(3)中的至少一项。

情况(1)第二终端的网络地址发生更新，则认证节点执行的方法还可以包括下述步骤(1.1)至步骤(1.3)：

步骤(1.1)第二认证节点获取第二终端的更新后的网络地址。

可选地，当第二终端的网络地址更新时，第二终端可以将更新后的网络地址发送至第二认证节点，第二认证节点可以接收第二终端的更新后的网络地址，从而得到更新后的网络地址。具体地，当第二终端的网络地址更新时，第二终端可以将更新后的网络地址发送至第二认证点设备，认证点设备可以接收第二终端的更新后的网络地址，将更新后的网络地址发送至授权设备。其中，认证点设备可以根据第二终端的更新后的网络地址，生成网络地址更新请求，该网络地址更新请求携带更新后的网络地址，则授权设备可以接收网络地址更新请求，对网络地址更新请求进行解析，得到更新后的网络地址。

步骤(1.2)第二认证节点根据更新后的网络地址以及第二安全组，获取第二终端的更新后的第二安全组关联信息。

更新后的第二安全组关联信息用于指示更新后的网络地址与第二终端所属的第二安全组之间的映射关系。例如，更新后的第二安全组关联信息可以包括第二终端的更新后的网络地址以及第二安全组的组标识。

步骤(1.3)第二认证节点将更新后的第二安全组关联信息发送至同步节点。

步骤a、同步节点接收第二认证节点发送的第二终端的更新后的第二安全组关联信息；

步骤b、同步节点将更新后的第二安全组关联信息发送至至少一个执行节点；

其中，更新后的第二安全组关联信息用于指示第二终端的更新后的网络地址与第二安全组之间的映射关系。

情况(2)第二终端所属的安全组进行更新。相应地，本实施例提供的方法还可以包括下述步骤(2.1)至步骤(2.3)：

步骤(2.1)第二认证节点获取第二终端的更新后的第二安全组。

具体来说，第二认证节点可以获取第二终端的更新后的认证信息，根据第二终端的更新后的认证信息，从认证信息与第二安全组之间的对应关系中，获取第二终端所属的更新后的第二安全组。

更新后的认证信息可以包括更新后的位置信息、更新后的其他信息、更新后的用户信息等。该更新后的位置信息用于指示第二终端的更新后的位置，该更新后的其他信息可以包括更新后的时间段、更新后的第二终端组，该更新后的用户信息可以包括更新后的部门、更新后的角色、更新后的账号等，

可选地，更新后的第二安全组的获取方式可以包括以下方式一至方式二中的任一项或多项的组合。

方式一、第二认证节点可以获取第二终端的更新后的位置信息，根据更新后的位置信息，从位置信息与第二安全组之间的对应关系中，获取第二终端所属的更新后的第二安全组。

可选地，位置信息与第二安全组之间的对应关系可以包括至少一个位置信息以及至少一个第二安全组的标识，位置信息与第二安全组之间的对应关系可以在第二认证节点上预先配置，例如在3A服务器上预先配置。

方式二、第二认证节点可以获取更新后的时间段，根据更新后的时间段，从时间段与第二安全组之间的对应关系中，获取第二终端所属的更新后的第二安全组。

可选地，时间段与第二安全组之间的对应关系可以包括至少一个时间段以及至少一个第二安全组的标识。时间段与第二安全组之间的对应关系可以在第二认证节点上预先配置。

步骤(2.2)第二认证节点根据第二终端的网络地址以及第二终端所属的更新后的第二安全组，获取第二终端的更新后的第二安全组关联信息。

更新后的第二安全组关联信息用于指示第二终端的网络地址与第二终端所属的更新后的第二安全组之间的映射关系。例如，更新后的第二安全组关联信息可以包括第二终端的网络地址以及更新后的第二安全组的组标识。

步骤(2.3)、第二认证节点将第二终端的更新后的第二安全组关联信息发送至同步节点。

情况(3)第二终端的网络地址以及第二终端所属的第二安全组均进行更新。相应地，本实施例提供的方法还可以包括下述步骤(3.1)至步骤(3.3)：

步骤(3.1)第二认证节点获取第二终端的更新后的网络地址以及第二终端所属的更新后的第二安全组。

步骤(3.1)与上述步骤(1.1)以及步骤(1.2)同理，在此不做赘述。

步骤(3.2)第二认证节点根据第二终端的更新后的网络地址以及第二终端所属的更新后的第二安全组，获取第二终端的更新后的第二安全组关联信息。

更新后的第二安全组关联信息用于指示第二终端的更新后的网络地址与第二终端所属的更新后的第二安全组之间的映射关系。例如，更新后的第二安全组关联信息可以包括第二终端的更新后的网络地址以及更新后的第二安全组的组标识。

步骤(3.3)第二认证节点将第二终端的更新后的第二安全组关联信息发送至同步节点。

其中，更新后的第二安全组关联信息用于指示第二终端的更新后的网络地址与第二终端所属的更新后的第二安全组之间的映射关系。

本实施例提供的方法，同步节点通过将第一终端的第一安全组关联信息以及第二终端的第二安全组关联信息同步至执行节点，可以让执行节点同时持有从两个不同认证节点认证的终端的安全组关联信息，以使执行节点能够感知从两个不同认证节点认证的终端所属的安全组，那么当执行节点接收到从两个不同认证节点认证的终端之间传输的报文时，可以按照两个终端所属的安全组匹配的安全组策略处理报文，能够对跨认证节点接入的终端之间互访的权限进行控制。

图15是本申请实施例提供的一种报文处理方法的流程图，如图15所示，执行主体可以为执行节点，包括以下步骤：

1501、执行节点接收同步节点发送的第一终端的第一安全组关联信息。

步骤1501可以与上述图12实施例中的1201同理，在此不做赘述。

可选地，如果第一安全组关联信息进行了编码，则执行节点可以接收编码后的第一安全组关联信息；对编码后的第一安全组关联信息进行解码，得到第一安全组关联信息。

可选地，如果第一安全组关联信息进行了压缩，则执行节点可以接收压缩后的第一安全组关联信息；对压缩后的第一安全组关联信息进行解压缩，得到第一安全组关联信息。

1502、执行节点接收同步节点发送的第二终端的第二安全组关联信息。

步骤1502可以与上述图12实施例中的1201同理，在此不做赘述。

需要说明的是，先描述步骤1501再描述步骤1502仅是为了表述方便，本实施例对步骤1501和步骤1502这两个步骤不做时序上的限定。例如，可以先执行步骤1501，再执行步骤1502；又如，可以先执行步骤1502，再执行步骤1501；再如，可以同时执行步骤1501和步骤1502。

可选地，如果第二安全组关联信息进行了编码，则执行节点可以接收编码后的第二安全组关联信息；对编码后的第二安全组关联信息进行解码，得到第二安全组关联信息。可选地，如果第二安全组关联信息进行了压缩，则执行节点可以接收压缩后的第二安全组关联信息；对压缩后的第二安全组关联信息进行解压缩，得到第二安全组关联信息。

1503、执行节点接收第一终端与第二终端之间传输的报文。

第一终端与第二终端之间传输的报文可以包括第一终端向第二终端发送的报文以及第二终端向第一终端发送的报文中的至少一项。

对于第一终端向第二终端发送的报文来说，报文的源网络地址可以为第一终端的网络地址，报文的目的网络地址可以为第二终端的网络地址；相应地，步骤1503可以包括：执行节点接收到第一终端发送的、待发送至第二终端的报文。

对于第二终端向第一终端发送的报文来说，报文的源网络地址可以为第二终端的网络地址，报文的目的网络地址可以为第一终端的网络地址。相应地，步骤1503可以包括：执行节点接收到第二终端发送的、待发送至第一终端的报文。

1504、执行节点根据报文携带的网络地址，从安全组关联信息中，获取网络地址对应的第一安全组以及第二安全组。

通过执行步骤1501以及步骤1502，执行节点既得到了通过第一认证节点认证的第一终端的安全组关联信息，又得到了通过第二认证节点认证的第二终端的安全组关联信息，从而同时持有了从不同认证节点接入的终端的安全组关联信息，因此，当不同终端之间传输的报文到达执行节点时，执行节点可以通过不同终端的安全组关联信息，控制不同终端之间的互访权限。

如果报文为第一终端向第二终端发送的报文，则步骤1504可以包括下述(1.1)和(1.2)。

(1.1)根据报文携带的源网络地址，从第一安全组关联信息中，获取源网络地址对应的第一安全组。具体地，如果报文的源网络地址为第一终端的网络地址，则根据第一终端的网络地址以及第一终端的第一安全组关联信息，即可确定第一终端所属的第一安全组。

(1.2)根据报文携带的目的网络地址，从第二安全组关联信息，获取目的网络地址对应的第二安全组，目的网络地址为第二终端的网络地址。具体地，如果报文的目的网络地址为第二终端的网络地址，则根据第二终端的网络地址以及第二终端的第二安全组关联信息，即可确定第二终端所属的第二安全组。

如果报文为第二终端向第一终端发送的报文，则步骤1504可以包括下述(2.1)和(2.2)。

(2.1)根据报文携带的源网络地址，从第二安全组关联信息中，获取源网络地址对应的第二安全组。具体地，如果报文的源网络地址为第二终端的网络地址，则根据第二终端的网络地址以及第二终端的第二安全组关联信息，即可确定第二终端所属的第二安全组。

(2.2)根据报文携带的目的网络地址，从第一安全组关联信息，获取目的网络地址对应的第一安全组。具体地，如果报文的目的网络地址为第一终端的网络地址，则根据第一终端的网络地址以及第一终端的第一安全组关联信息，即可确定第一终端所属的第一安全组。

1505、执行节点按照与第一安全组匹配、且与第二安全组匹配的安全组策略，处理报文。

可选地，执行节点可以根据第一终端所属的第一安全组以及第二终端所属的第二安全组，匹配第一安全组以及第二安全组对应的安全组策略。在一种可能的实现中，执行节点可以根据第一终端所属的第一安全组以及第二终端所属的第二安全组，从安全组与安全组策略之间的对应关系中，得到第一安全组以及第二安全组对应的安全组策略。其中，安全组与安全组策略之间的对应关系的描述请参见上述图12实施例中的1204，在此不做赘述。

关于根据安全组与安全组策略之间的对应关系匹配安全组策略的方式，假设源安全组为第一安全组、目的安全组为第二安全组的安全组策略称为第一安全组策略，源安全组为第二安全组、目的安全组为第一安全组的安全组策略称为第二安全组策略，匹配安全组策略的方式可以参见下述情况一以及情况二：

情况一、如果报文为第一终端向第二终端发送的报文，则匹配安全组策略的方式可以包括：从安全组与安全组策略之间的对应关系中，获取第一安全组策略。示例性地，参见上表3，假设报文为出差员工的终端向外包员工的终端发送的报文，则源安全组为出差员工，目的安全组为外包员工，匹配安全组策略的方式可以包括：从安全组与安全组策略之间的对应关系中，获取源安全组为出差员工，且目的安全组为外包员工的安全组策略，即“允许访问低优先级”。

情况二、如果报文为第二终端向第一终端发送的报文，则匹配安全组策略的方式可以包括：从安全组与安全组策略之间的对应关系中，获取第二安全组策略。示例性地，参见上表3，假设报文为外包员工的终端向出差员工的终端发送的报文，则源安全组为外包员工，目的安全组为出差员工，匹配安全组策略的方式可以包括：从安全组与安全组策略之间的对应关系中，获取源安全组为外包员工且目的安全组为出差员工的安全组策略，即“禁止访问”。

可选地，第一安全组策略与第二安全组策略可以不同。如此，对第一终端向第二终端发送的报文的处理方式、对第二终端向第一终端发送的报文的处理方式可以不同。具体来讲，可以包括下述实现(1) 以及实现(2)中的任一项或多项。

实现(1)第一安全组策略中的访问权限控制策略与第二安全组策略中的访问权限控制策略可以不同，从而实现第一终端访问第二终端的权限与第二终端访问第一终端的权限不同的功能，例如可以允许第一终端访问第二终端，禁止第二终端访问第一终端。在一个示例性场景中，可以允许管理员的终端访问外包员工的终端，禁止外包员工的终端访问管理员的终端。

实现(2)第一安全组策略中的体验保证策略与第二安全组策略中的体验保证策略可以不同，从而实现第一终端访问第二终端的服务质量与第二终端访问第一终端的服务质量不同的功能，例如可以高优先转发第一终端访问第二终端的报文，低优先转发第二终端访问第一终端的报文。

当然，第一安全组策略与第二安全组策略不同仅是可选方式，第一安全组策略与第二安全组策略也可以相同，本实施例对此不做限定。

可选地，第一终端以及第二终端中的至少一项的网络地址和/或安全组进行更新，则第一终端以及第二终端中的至少一项的安全组关联信息可以进行更新。相应地，本实施例提供的方法还可以包括下述步骤(1.1)至步骤(1.4)：

步骤(1.1)执行节点接收同步节点发送的第一终端的更新后的第一安全组关联信息，更新后的第一安全组关联信息用于指示第一终端的更新后的网络地址与第一安全组之间的映射关系，或者，更新后的第一安全组关联信息用于指示第一终端的网络地址与第一终端所属的更新后的第一安全组之间的映射关系，或者，更新后的第一安全组关联信息用于指示第一终端的更新后的网络地址与第一终端所属的更新后的第一安全组之间的映射关系。

可选地，执行节点可以将已存储的第一终端的第一安全组关联信息更新为该更新后的第一安全组关联信息。

步骤(1.2)执行节点接收第一终端与第二终端之间传输的报文。

其中，对于第一终端向第二终端发送的报文来说，报文的源网络地址可以为第一终端的更新后的网络地址，报文的目的网络地址可以不变，仍为第二终端的网络地址。对于第二终端向第一终端发送的报文来说，报文的源网络地址可以不变，仍为第二终端的网络地址，报文的目的网络地址可以为第一终端的更新后的网络地址。

步骤(1.3)执行节点根据报文携带的网络地址，从更新后的第一安全组关联信息，以及第二安全组关联信息中，获取第一终端的更新后的网络地址对应的第一安全组，以及第二终端的网络地址对应的第二安全组。

步骤(1.4)执行节点按照与第一安全组匹配、且与第二安全组匹配的安全组策略，处理报文。

如果第二终端的安全组关联信息发生更新，则本实施例提供的方法还可以包括下述步骤(2.1)至步骤(2.4)：

步骤(2.1)执行节点接收同步节点发送的第二终端的更新后的第二安全组关联信息，更新后的第二安全组关联信息用于指示第二终端的更新后的网络地址与第二安全组之间的映射关系，或者，更新后的第二安全组关联信息用于指示第二终端的网络地址与第二终端所属的更新后的第二安全组之间的映射关系，或者，更新后的第二安全组关联信息用于指示第二终端的更新后的网络地址与第二终端所属的更新后的第二安全组之间的映射关系。

可选地，执行节点可以将已存储的第二终端的第二安全组关联信息更新为该更新后的第二安全组关联信息。

步骤(2.2)执行节点接收第一终端与第二终端之间传输的报文。

其中，对于第一终端向第二终端发送的报文来说，报文的源网络地址可以不变，仍为第一终端的网络地址，报文的目的网络地址可以为第二终端的更新后的网络地址。对于第二终端向第一终端发送的报文来说，报文的源网络地址可以为第二终端的更新后的网络地址，报文的目的网络地址可以不变，仍为第一终端的网络地址。

步骤(2.3)执行节点根据报文携带的网络地址，从第一安全组关联信息，以及更新后的第二安全组关联信息中，获取第一终端的网络地址对应的第一安全组，以及第二终端的更新后的网络地址对应的第二安全组。

步骤(2.4)执行节点按照与第一安全组匹配、且与第二安全组匹配的安全组策略，处理报文。

需要说明的是，上述步骤(1.1)至步骤(1.4)、步骤(2.1)至步骤(2.4)仅是可选步骤，而非必选步骤。另外，上述步骤(1.1)至步骤(1.4)、步骤(2.1)至步骤(2.4)可以择一执行，也可以均执行。

本实施例提供的方法，执行节点通过接收同步节点发送的第一终端的第一安全组关联信息以及第二终端的第二安全组关联信息，可以同时持有从两个不同认证节点认证的终端的安全组关联信息，从而能够感知从两个不同认证节点认证的终端所属的安全组，那么当执行节点接收到从两个不同认证节点认证的终端之间传输的报文时，可以按照与两个终端所属的安全组匹配的安全组策略，处理报文，从而能够对跨认证节点接入的终端之间互访的权限进行控制。

图16是本申请实施例提供的一种业务处理方法的流程图，如图16所示，交互主体包括第一终端、第二终端、第一认证节点、第二认证节点、同步节点以及执行节点，包括以下步骤：

1601、第一终端向第一认证节点发送认证请求。

1602、当第一认证节点接收第一终端的认证请求时，第一认证节点对第一终端进行认证，得到第一终端所属的第一安全组。

1603、第一认证节点根据第一终端的网络地址以及安全组，获取第一终端的安全组关联信息，第一安全组关联信息用于指示网络地址与终端所属的安全组之间的映射关系；

1604、第一认证节点将第一安全组关联信息发送至同步节点。

1605、第二终端向第二认证节点发送认证请求。

1606、当第二认证节点接收第二终端的认证请求时，第二认证节点对第二终端进行认证，得到第二终端所属的第二安全组。

1607、第二认证节点根据终端的网络地址以及安全组，获取第二终端的第二安全组关联信息。

1608、第二认证节点将第二安全组关联信息发送至第二同步节点。

需要说明的是，先描述步骤1601至步骤1604，再描述步骤1605至步骤1608，仅是为了表述方便，本实施例对步骤1601至步骤1604、步骤1605至步骤1608这两种过程不做时序上的限定。例如，可以先执行步骤1601至步骤1604，后执行步骤1605至步骤1608；又如，可以后执行步骤1601至步骤1604，先执行步骤1605至步骤1608，再执行步骤1601至步骤1604；再如，可以同时执行步骤1601至步骤1604以及执行步骤1605至步骤1608。其中，该先执行步骤1601至步骤1604，再执行步骤1605至步骤1608可以包括：步骤1601至步骤1604的执行时间段早于步骤1605至步骤1608的执行时间段的情况，也可以包括：步骤1601至步骤1604的执行时间段与步骤1605至步骤1608的执行时间段重叠，且步骤1604的执行时间点早于步骤1605的执行时间点等情况；同理地，该后执行步骤1601至步骤1604，先执行步骤1605至步骤1608可以包括：步骤1601至步骤1604的执行时间段晚于步骤1605至步骤1608的执行时间段的情况，也可以包括：步骤1601至步骤1604的执行时间段与步骤1605至步骤1608的执行时间段重叠，且步骤1601的执行时间点晚于步骤1608的执行时间点等情况。

1609、同步节点接收第一认证节点发送的第一终端的第一安全组关联信息以及第二认证节点发送的第二终端的第二安全组关联信息。

1610、同步节点确定包括第一目标执行节点的至少一个执行节点，第一目标执行节点用于按照安全组策略处理终端的报文。

1611、同步节点将第一终端的第一安全组关联信息以及第二终端的第二安全组关联信息发送至至少一个执行节点。

1612、执行节点接收第一终端的第一安全组关联信息以及第二终端的第二安全组关联信息。

以下，通过步骤1613至步骤1615，描述第一终端访问第二终端时的报文处理流程，通过步骤1616至步骤1618，描述第二终端访问第一终端时的报文处理流程。需要说明的是，先描述步骤1613至步骤1615，再描述步骤1616至步骤1618，仅是为了表述方便，本实施例对步骤1613至步骤1615、步骤1616至步骤1618这两种过程不做时序上的限定。

1613、第一终端将报文发送至执行节点。

第一终端可以将本端的网络地址作为报文的源网络地址，将第二终端的网络地址作为报文的目的网络地址，根据源网络地址以及目的网络地址，生成待发送至第二终端的报文，将报文发送至执行节点。可选地，第一终端可以将报文发送至认证节点，认证节点可以接收第一终端发送的报文，将报文发送至执行节点。

1614、当执行节点接收第一终端的报文时，执行节点根据第一终端的报文携带的源网络地址，从第一安全组关联信息中，获取源网络地址对应的第一安全组，根据第一终端的报文携带的目的网络地址，从第二安全组关联信息中，获取目的网络地址对应的第二安全组。

1615、执行节点按照与源安全组为第一安全组、目的安全组为第二安全组的安全组策略，处理报文。

1616、第二终端将报文发送至执行节点。

第二终端可以将本端的网络地址作为报文的源网络地址，将第一终端的网络地址作为报文的目的网络地址，根据源网络地址以及目的网络地址，生成待发送至第一终端的报文，将报文发送至执行节点。可选地，第二终端可以将报文发送至认证节点，认证节点可以接收第二终端发送的报文，将报文发送至执行节点。

1617、当执行节点接收第二终端的报文时，执行节点根据第二终端的报文携带的源网络地址，从第二安全组关联信息中，获取源网络地址对应的第二安全组，根据第二终端的报文携带的目的网络地址，从第一安全组关联信息中，获取目的网络地址对应的第一安全组。

1618、执行节点按照源安全组为第二安全组、目的安全组为第一安全组的安全组策略，处理报文。

可选地，本申请实施例提供的方法可以应用于终端和网络资源之间互访的场景中，具体实现可以参见下述图17实施例至图19实施例。

为了与图14实施例至图16实施例区分描述，将图17实施例中的认证节点称为第三认证节点，将通过第三认证节点认证的终端称为第三终端，将第三终端所属的安全组称为第三安全组，将网络资源所属的安全组称为第四安全组，将接收到第三终端与网络资源之间传输的报文的执行节点称为第二目标执行节点。

图17是本申请实施例提供的一种信息同步方法的流程图，如图17所示，该方法的执行主体为同步节点，包括以下步骤：

1701、同步节点接收第三认证节点发送的第三终端的第三安全组关联信息。

第三安全组关联信息用于指示第三终端的网络地址与第三终端所属的第三安全组之间的映射关系。例如，第三安全组关联信息可以包括第三终端的网络地址以及第三安全组的组标识。第三安全组关联信息可以在第三认证节点对第三终端认证的过程中生成。

具体地，第三认证节点对第三终端认证的过程可以包括：第三认证节点接收第三终端的认证请求，第三认证节点对第三终端进行认证，得到第三终端所属的第三安全组；根据第三终端的网络地址以及第三安全组，获取第三终端的第三安全组关联信息；将第三安全组关联信息发送至同步节点。其中，该过程可以参见上述图9实施例，在此不做赘述。

可选地，如果第三安全组关联信息进行了编码，则同步节点可以接收编码后的第三安全组关联信息；对编码后的第三安全组关联信息进行解码，得到第三安全组关联信息；

可选地，如果第三安全组关联信息进行了压缩，则同步节点可以接收压缩后的安全组关联信息；对压缩后的第三安全组关联信息进行解压缩，得到第三安全组关联信息。

1702、同步节点确定包括第二目标执行节点的至少一个执行节点，第二目标执行节点用于按照安全组策略处理第三终端与网络资源之间传输的报文。

实现方式一、同步节点确定第二目标执行节点。

可选地，实现方式一可以包括：同步节点根据第三终端的网络地址所属的第三目标网段，从网段与执行节点之间的对应关系中，获取第三目标网段对应的第二目标执行节点。其中，第三目标网段是指第三终端的网络地址所属的网段。

实现方式二、确定网络中的每个执行节点。

可选地，同步节点可以按照结构化数据格式，对第三安全组关联信息进行编码，得到编码后的第三安全组关联信息。

可选地，同步节点可以对第三安全组关联信息进行压缩，得到压缩后的第三安全组关联信息。

1703、同步节点将第三安全组关联信息发送至至少一个执行节点。

步骤1704可以与上述图9实施例中的903同理，在此不做赘述。

可选地，同步节点可以将编码后的第三安全组关联信息发送至至少一个执行节点。可选地，同步节点可以将压缩后的第三安全组关联信息发送至至少一个执行节点。

本实施例提供的方法，同步节点通过将第三终端的第三安全组关联信息同步至执行节点，可以让执行节点持有从第三认证节点认证的第三终端的安全组关联信息，以使执行节点能够感知第三终端所属的第三安全组，那么当执行节点接收到第三终端与网络资源之间传输的报文时，可以按照第三终端与网络资源所属的第三安全组匹配的安全组策略处理报文，能够对第三终端与网络资源之间互访的权限进行控制。

图18是本申请实施例提供的一种报文处理方法的流程图，如图18所示，该方法的执行主体可以为执行节点，包括以下步骤：

1801、执行节点接收同步节点发送的第三终端的第三安全组关联信息。

步骤1801可以与上述图12实施例中的1201同理，在此不做赘述。

可选地，如果第三安全组关联信息进行了编码，则执行节点可以接收编码后的第三安全组关联信息；对编码后的第三安全组关联信息进行解码，得到第三安全组关联信息。

可选地，如果第三安全组关联信息进行了压缩，则执行节点可以接收压缩后的第三安全组关联信息；对压缩后的第三安全组关联信息进行解压缩，得到第三安全组关联信息。

1802、执行节点接收第三终端与网络资源之间传输的报文。

第三终端与网络资源之间传输的报文可以包括第三终端向网络资源发送的报文以及网络资源向第三终端发送的报文中的至少一项。

对于第三终端向网络资源发送的报文来说，报文的源网络地址可以为第三终端的网络地址，报文的目的网络地址可以为网络资源的网络地址；相应地，步骤1802可以包括：执行节点接收到第三终端发送的、待发送至网络资源的报文。

对于网络资源向第三终端发送的报文来说，报文的源网络地址可以为网络资源的网络地址，报文的目的网络地址可以为第三终端的网络地址。步骤1802可以包括：执行节点接收到网络资源发送的、待发送至第三终端的报文。

1803、执行节点从第三安全组关联信息中，获取第三终端的网络地址对应的第三安全组，从配置信息中，获取网络资源的网络地址对应的第四安全组。

通过执行步骤1802，执行节点得到了通过第三认证节点认证的第三终端的安全组关联信息，另外执行节点可以预先存储配置信息，当第三终端与网络资源之间传输的报文到达执行节点时，执行节点可以通过第三终端以及网络资源的安全组关联信息，控制第三终端与网络资源之间的互访权限。

配置信息用于指示网络资源所属的安全组，该配置信息可以包括至少一个网络资源的网络地址以及至少一个安全组的组标识。例如，配置信息可以如下表6所示。执行节点可以网络资源的网络地址，查询配置信息，得到网络资源对应的安全组，即第四安全组。该配置信息可以通过配置指令生成。例如在部署阶段，管理员可以在授权节点上触发配置操作，授权节点可以接收配置指令，根据配置指令生成配置信息，将配置信息发送至执行节点。当然，执行节点也可以向授权节点发送查询请求，以便从授权节点获取配置信息，本实施例对执行节点获取配置信息的方式不做限定。

表6

网络资源的网络地址	安全组的组标识
202.178.100.1	100
202.178.100.2	200
202.178.100.3	300

如果报文为第三终端向网络资源发送的报文，则步骤1804可以包括下述(1.1)和(1.2)。

(1.1)根据报文携带的源网络地址，从第三安全组关联信息中，获取源网络地址对应的第三安全组。具体地，如果报文的源网络地址为第三终端的网络地址，则根据第三终端的网络地址以及第三终端的第三安全组关联信息，即可确定第三终端所属的第三安全组。

(1.2)根据报文携带的目的网络地址，从第四安全组关联信息，获取目的网络地址对应的第四安全组，目的网络地址为网络资源的网络地址。具体地，如果报文的目的网络地址为网络资源的网络地址，则根据网络资源的网络地址以及配置信息，即可确定网络资源所属的第四安全组。

如果报文为网络资源向第三终端发送的报文，则步骤1804可以包括下述(2.1)和(2.2)。

(2.1)根据报文携带的源网络地址，从第四安全组关联信息中，获取源网络地址对应的第四安全组。具体地，如果报文的源网络地址为网络资源的网络地址，则根据网络资源的网络地址以及配置信息，即可确定网络资源所属的第四安全组。

(2.2)根据报文携带的目的网络地址，从第三安全组关联信息，获取目的网络地址对应的第三安全组。具体地，如果报文的目的网络地址为第三终端的网络地址，则根据第三终端的网络地址以及第三终端的第三安全组关联信息，即可确定第三终端所属的第三安全组。

1804、执行节点按照与第三终端的第三安全组匹配、且与网络资源所属的第四安全组匹配的安全组策略，处理报文。

可选地，执行节点可以根据第三终端所属的第三安全组以及网络资源所属的第四安全组，匹配第三安全组以及第四安全组对应的安全组策略。在一种可能的实现中，执行节点可以根据第三终端所属的第三安全组以及网络资源所属的第四安全组，从安全组与安全组策略之间的对应关系中，得到第三安全组以及第四安全组对应的安全组策略。其中，安全组与安全组策略之间的对应关系的描述请参见上述图12实施例中的1204，在此不做赘述。

关于根据安全组与安全组策略之间的对应关系匹配安全组策略的方式，假设源安全组为第三安全组、目的安全组为第四安全组的安全组策略称为第三安全组策略，源安全组为第四安全组、目的安全组为第三安全组的安全组策略称为第四安全组策略，匹配安全组策略的方式可以参见下述情况一以及情况二：

情况一、如果报文为第三终端向网络资源发送的报文，则匹配安全组策略的方式可以包括：从安全组与安全组策略之间的对应关系中，获取第三安全组策略。

情况二、如果报文为网络资源向第三终端发送的报文，则匹配安全组策略的方式可以包括：从安全组与安全组策略之间的对应关系中，获取第四安全组策略。。

可选地，第三安全组策略与第四安全组策略可以不同。如此，对第三终端向网络资源发送的报文的处理方式、对网络资源向第三终端发送的报文的处理方式可以不同。具体来讲，可以包括下述实现(1)以及实现(2)中的任一项或多项。

实现(1)第三安全组策略中的访问权限控制策略与第四安全组策略中的访问权限控制策略可以不同，从而实现第三终端访问网络资源的权限与网络资源访问第三终端的权限不同的功能，例如可以允许第三终端访问网络资源，禁止网络资源访问第三终端。在一个示例性场景中，可以允许管理员的终端访问弹性云服务器，禁止弹性云服务器访问管理员的终端。

实现(2)第三安全组策略中的体验保证策略与第四安全组策略中的体验保证策略可以不同，从而实现第三终端访问网络资源的服务质量与网络资源访问第三终端的服务质量不同的功能，例如可以高优先转发第三终端访问网络资源的报文，低优先转发网络资源访问第三终端的报文。

当然，第三安全组策略与第四安全组策略不同仅是可选方式，第三安全组策略与第四安全组策略也可以相同，本实施例对此不做限定。

本实施例提供的方法，执行节点通过接收同步节点发送的第三终端的第三安全组关联信息，可以持有从认证节点认证的终端的安全组关联信息，从而能够感知终端所属的安全组，那么当执行节点接收到终端与网络资源之间传输的报文时，可以按照与终端所属的安全组以及网络资源所属的安全组匹配的安全组策略，处理报文，从而能够对终端与网络资源之间互访的权限进行控制。

图19是本申请实施例提供的一种业务处理方法的流程图，如图19所示，交互主体包括认证节点、第三终端、同步节点、执行节点，包括以下步骤：

1901、第三终端向第三认证节点发送认证请求。

1902、当第三认证节点接收第三终端的认证请求时，第三认证节点对第三终端进行认证，得到第三终端所属的第三安全组。

1903、第三认证节点根据第三终端的网络地址以及第三安全组，获取第三终端的第三安全组关联信息。

1904、第三认证节点将第三安全组关联信息发送至同步节点。

1905、当同步节点接收认证节点发送的第三终端的第三第三安全组关联信息时，同步节点确定包括目标执行节点的至少一个执行节点，目标执行节点用于按照第三安全组策略处理终端的报文。

1906、同步节点将第三安全组关联信息发送至至少一个执行节点。

1907、执行节点接收同步节点发送的第三终端的第三安全组关联信息。

1908、第三终端将第三终端与网络资源之间传输的报文发送至执行节点。

1909、当执行节点接收第三终端与网络资源之间传输的报文时，执行节点根据报文携带的网络地址，从第三安全组关联信息中，获取网络地址对应的第三安全组。

1910、执行节点按照与第三安全组匹配、且与网络资源所属的第四安全组匹配的第三安全组策略，处理报文。

可选地，本申请实施例提供的方法可以应用于授权设备支持目标功能的场景中，该目标功能为将安全组关联信息发送至同步节点的功能，具体实现可以如下述图20实施例所示。

图20是本申请实施例提供的一种业务处理方法的流程图，如图20所示，该方法的交互主体包括第一授权设备，终端、同步节点、执行节点，包括以下步骤：

2001、终端向第一授权设备发送认证请求。

第一授权设备为支持目标功能的授权设备。例如，第一授权设备可以支持将安全组关联信息发送至认证节点，也支持将安全组关联信息还发送至认证节点以外的其他设备。举例来说，第一授权设备可以为自研设备。例如，第一授权设备可以为自研AAA服务器。

2002、当第一授权设备接收终端的认证请求时，第一授权设备对终端进行认证，得到终端所属的安全组。

步骤2002与上述图9实施例中的步骤901至步骤902同理，在此不做过多赘述。

2003、第一授权设备根据终端的网络地址以及安全组，获取终端的安全组关联信息。

步骤2003与上述图9实施例中的步骤903同理，在此不做过多赘述。

可选地，在将安全组关联信息发送至同步节点之前，第一授权设备可以按照结构化数据格式，对安全组关联信息进行编码，得到编码后的安全组关联信息。

可选地，将安全组关联信息发送至同步节点之前，第一授权设备可以对安全组关联信息进行压缩，得到压缩后的安全组关联信息。

2004、第一授权设备将安全组关联信息发送至同步节点。

步骤2004与上述图9实施例中的步骤904同理，在此不做过多赘述。

可选地，如果第一授权设备在步骤2004中，按照结构化数据格式，对安全组关联信息进行编码，则本步骤可以包括：第一授权设备将编码后的安全组关联信息发送至同步节点。

可选地，如果第一授权设备在步骤2004中，对安全组关联信息进行压缩，则本步骤可以包括：第一授权设备将压缩后的安全组关联信息发送至同步节点。

2005、同步节点接收第一授权设备发送的终端的安全组关联信息。

步骤2005可以与上述图10实施例中的1001同理，在此不做过多赘述。

2006、同步节点确定包括目标执行节点的至少一个执行节点，目标执行节点用于按照安全组策略处理终端的报文。

步骤2006可以与上述图10实施例中的步骤1001至1002同理，在此不做过多赘述。

2007、同步节点将安全组关联信息发送至至少一个执行节点。

步骤2007可以与上述图10实施例中的1003同理，在此不做过多赘述。

2008、执行节点接收同步节点发送的终端的安全组关联信息。

步骤2008可以与上述图12实施例中的1201同理，在此不做过多赘述。

2009、终端将报文发送至执行节点。

2010、当执行节点接收终端的报文时，执行节点根据报文携带的网络地址，从安全组关联信息中，获取网络地址对应的安全组。

步骤2010可以与上述图12实施例中的1202至步骤1203同理，在此不做过多赘述。

2011、执行节点按照安全组匹配的安全组策略，处理报文。

步骤2011可以与上述图12实施例中的1204同理，在此不做过多赘述。

可选地，本申请实施例提供的方法也可以应用于授权设备不支持目标功能的场景，具体实现可以如下述图21实施例所示。

图21是本申请实施例提供的一种业务处理方法的流程图，如图21所示，该方法的交互主体包括认证点设备，第二授权设备，终端、同步节点、执行节点，包括以下步骤：

2101、终端向第二授权设备发送认证请求。

第二授权设备为不支持目标功能的授权设备。举例来说，第二授权设备可以为第三方设备。例如，第二授权设备可以为第三方AAA服务器。

2102、当第二授权设备接收终端的认证请求时，第二授权设备对终端进行认证，得到终端所属的安全组。

步骤2102与上述图9实施例中的步骤901至步骤902同理，在此不做过多赘述。

2103、第二授权设备根据终端的网络地址以及安全组，获取终端的安全组关联信息。

步骤2103与上述图9实施例中的步骤903同理，在此不做过多赘述。

可选地，在将安全组关联信息发送至同步节点之前，第二授权设备可以按照结构化数据格式，对安全组关联信息进行编码。

可选地，将安全组关联信息发送至同步节点之前，第二授权设备可以对安全组关联信息进行压缩。

2104、第二授权设备将安全组关联信息发送至认证点设备。

步骤2104与上述图9实施例中的步骤904同理，在此不做过多赘述。

可选地，如果第二授权设备在步骤2104中，按照结构化数据格式，对安全组关联信息进行编码，则本步骤可以包括：第二授权设备将编码后的安全组关联信息发送至认证点设备。

可选地，如果第二授权设备在步骤2104中，对安全组关联信息进行压缩，则本步骤可以包括：第二授权设备将压缩后的安全组关联信息发送至认证点设备。

2105、认证点设备接收安全组关联信息。

步骤2105可以与上述图10实施例中的1001同理，在此不做过多赘述。

2106、认证点设备将安全组关联信息发送至同步节点。

步骤2106可以与上述图10实施例中的1002同理，在此不做过多赘述。

可选地，如果第二授权设备在步骤2104中，按照结构化数据格式，对安全组关联信息进行编码，则本步骤可以包括：认证点设备将编码后的安全组关联信息发送至同步节点。

可选地，如果第二授权设备在步骤2104中，对安全组关联信息进行压缩，则本步骤可以包括：认证点设备将压缩后的安全组关联信息发送至同步节点。

2107、同步节点接收认证点设备发送的终端的安全组关联信息。

步骤2107可以与上述图10实施例中的1001同理，在此不做过多赘述。

2108、同步节点确定包括目标执行节点的至少一个执行节点，目标执行节点用于按照安全组策略处理终端的报文。

步骤2108可以与上述图10实施例中的1002同理，在此不做过多赘述。

2108、同步节点将安全组关联信息发送至至少一个执行节点。

2109、终端将报文发送至执行节点。

2110、当执行节点接收终端的报文时，执行节点根据报文携带的网络地址，从安全组关联信息中，获取网络地址对应的安全组。

步骤2110可以与上述图12实施例中的1202至步骤1203同理，在此不做过多赘述。

2111、执行节点按照安全组匹配的安全组策略，处理报文。

步骤2111可以与上述图12实施例中的1204同理，在此不做过多赘述。

本实施例提供的方法，第二授权设备通过将安全组关联信息发送至认证点设备，认证点设备将安全组关联信息上报给同步节点，由同步节点将安全组关联信息发送至执行节点，可在授权设备不支持目标功能的场景下，实现安全组关联信息的同步，可以打破第三方设备通常不支持向认证点设备以外的其他网络设备下发安全组关联信息的技术壁垒，从而实现支持和第三方设备对接的功能，提高网络的兼容性。

图22是本申请实施例提供的一种信息同步装置的结构示意图。参见图22，该信息同步装置包括：

接收模块2201，用于执行上述步骤1001、步骤1401、步骤1402、步骤1701、步骤2005、步骤2105中的任一项或多项；

确定模块2202，用于执行上述步骤1002、步骤1305、步骤1403、步骤1610、步骤1702、步骤1905、步骤2006、步骤2107中的任一项或多项；

发送模块2203，用于执行上述步骤1003、步骤1306、步骤1404、步骤1703、步骤1906、步骤2007、步骤2108中的任一项或多项。

可选地，该确定模块2202，用于执行上述步骤1002中的实现方式一、实现方式二中的任一项或多项。

可选地，该接收模块2201，还用于接收配置指令。

需要说明的第一点是：图22实施例该的各个模块具体可以是软件中执行相应功能的软件模块，即，“模块”可以是一组计算机程序构成的功能模块，该计算机程序可以是源程序或目标程序，该计算机程序可以通过任意编程语言实现。通过上述各个模块，计算机设备可以基于处理器加存储器的硬件来实现信息同步的功能，也即是，可以通过计算机设备的处理器，运行存储在计算机设备的存储器中的软件代码，来执行相应的软件来实现信息同步的功能。

需要说明的第二点是：图22实施例提供的信息同步装置在同步信息时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将信息同步装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的信息同步装置与信息同步方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图23是本申请实施例提供的一种报文处理装置的结构示意图。参见图23，该报文处理装置包括：

接收模块2301，用于执行步骤1201、步骤1202、步骤1307、步骤1501、步骤1502、步骤1612、步骤1503、步骤1801、步骤1802、步骤1907、步骤2008中的任一项或多项；

获取模块2302，用于执行步骤1203、步骤1309、步骤1504、步骤1614、步骤1803、步骤1909、步骤2010中的任一项或多项；

处理模块2303，用于执行步骤1204、步骤1310、步骤1505、步骤1615、步骤1617、步骤1618、步骤1804、步骤1910、步骤2011中的任一项或多项。

需要说明的第一点是：图23实施例中的各个模块具体可以是软件中执行相应功能的软件模块，即，“模块”可以是一组计算机程序构成的功能模块，该计算机程序可以是源程序或目标程序，该计算机程序可以通过任意编程语言实现。通过上述各个模块，计算机设备可以基于处理器加存储器的硬件来实现报文处理的功能，也即是，可以通过计算机设备的处理器，运行存储在计算机设备的存储器中的软件代码，来执行相应的软件来实现报文处理的功能。

需要说明的第二点是：图23实施例提供的报文处理装置在处理报文时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将报文处理装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的报文处理装置与报文处理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图24是本申请实施例提供的一种认证装置的结构示意图。参见图24，该认证装置包括：

接收模块2401，用于执行步骤901、步骤1701、步骤2105中的任一项或多项；

认证模块2402，用于执行步骤902、步骤1302、步骤1602、步骤1602、步骤1902、步骤2002、步骤2102中的任一项或多项；

获取模块2403，用于执行步骤903、步骤1303、步骤1603、步骤1605、步骤1903、步骤2003、步骤2103中的任一项或多项；

发送模块2404，用于执行步骤904、步骤1304、步骤1604、步骤1607、步骤1904、步骤2004、步骤2104、步骤2106中的任一项或多项。

需要说明的第一点是：图24实施例中的各个模块具体可以是软件中执行相应功能的软件模块，即，“模块”可以是一组计算机程序构成的功能模块，该计算机程序可以是源程序或目标程序，该计算机程序可以通过任意编程语言实现。通过上述各个模块，计算机设备可以基于处理器加存储器的硬件来实现认证的功能，也即是，可以通过计算机设备的处理器，运行存储在计算机设备的存储器中的软件代码，来执行相应的软件来实现认证的功能。

需要说明的第二点是：图24实施例提供的认证装置在进行认证时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将认证装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的认证装置与认证方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

在一个示例性实施例中，本申请还提供了一种包含指令的计算机程序产品，当其在计算机设备上运行时，使得计算机设备能够实现上述实施例中信息同步方法所执行的操作。

在一个示例性实施例中，本申请还提供了一种包含指令的计算机程序产品，当其在计算机设备上运行时，使得计算机设备能够实现上述实施例中报文处理方法所执行的操作。

在一个示例性实施例中，本申请还提供了一种包含指令的计算机程序产品，当其在计算机设备上运行时，使得计算机设备能够实现上述实施例中认证方法所执行的操作。

在一个示例性实施例中，本申请还提供了一种业务处理系统，在一种可能的实现方式中，该系统包括：上述图22实施例中的信息同步装置、图23实施例中的报文处理装置和图24实施例中的认证装置。

在另一种可能的实现方式中，该系统包括：

上述方法实施例中的同步节点、执行节点以及认证节点。

在一个示例性实施例中，本申请还提供了一种芯片，该芯片包括处理器和/或程序指令，当该芯片运行时，实现上述实施例中信息同步方法所执行的操作。

在一个示例性实施例中，本申请还提供了一种芯片，该芯片包括处理器和/或程序指令，当该芯片运行时，实现上述实施例中报文处理方法所执行的操作。

在一个示例性实施例中，本申请还提供了一种芯片，该芯片包括处理器和/或程序指令，当该芯片运行时，实现上述实施例中认证方法所执行的操作。

上述所有可选技术方案，可以采用任意结合形成本申请的可选实施例，在此不再一一赘述。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机程序指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本申请实施例该的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机程序指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，DVD)、或者半导体介质(例如固态硬盘)等。

本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本申请中的字符“/”，一般表示前后关联对象是一种“或”的关系。

本申请中术语“多个”的含义是指两个或两个以上，例如，多个数据包是指两个或两个以上的数据包。

本申请中术语“第一”“第二”等字样用于对作用和功能基本相同的相同项或相似项进行区分，本领域技术人员可以理解，“第一”“第二”等字样不对数量和执行顺序进行限定。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，该的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上该仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种信息同步方法，其特征在于，所述方法包括：

接收认证节点发送的终端的安全组关联信息，所述安全组关联信息用于指示所述终端的网络地址与所述终端所属的安全组之间的映射关系；

确定包括目标执行节点的至少一个执行节点，所述目标执行节点用于按照安全组策略处理所述终端的报文；

将所述安全组关联信息发送至所述至少一个执行节点。
根据权利要求1所述的方法，其特征在于，所述确定包括目标执行节点的至少一个执行节点，包括：

根据所述网络地址所属的目标网段，从网段与执行节点之间的对应关系中，确定所述目标网段对应的所述目标执行节点；或者，

确定网络中的每个执行节点。
根据权利要求2所述的方法，其特征在于，所述根据所述网络地址所属的目标网段，从网段与执行节点之间的对应关系中，确定所述目标网段对应的所述目标执行节点之前，所述方法还包括：

接收配置指令，所述配置指令用于指示网段与执行节点之间的对应关系。
根据权利要求1至3任一项所述的方法，其特征在于，所述接收认证节点发送的终端的安全组关联信息，包括：

接收第一认证节点发送的第一终端的第一安全组关联信息，所述第一安全组关联信息用于指示所述第一终端的网络地址与所述第一终端所属的第一安全组之间的映射关系；

接收第二认证节点发送的第二终端的第二安全组关联信息，所述第二认证节点与所述第一认证节点不同，所述第二安全组关联信息用于指示所述第二终端的网络地址与所述第二终端所属的第二安全组之间的映射关系；

相应地，所述确定包括目标执行节点的至少一个执行节点，包括：

确定包括第一目标执行节点的至少一个执行节点，所述第一目标执行节点用于按照安全组策略处理所述第一终端与所述第二终端之间传输的报文。
根据权利要求1至3任一项所述的方法，其特征在于，所述接收认证节点发送的终端的安全组关联信息，包括：

接收第三认证节点发送的第三终端的第三安全组关联信息，所述第三安全组关联信息用于指示所述第三终端的网络地址与所述第三终端所属的第三安全组之间的映射关系；

相应地，所述确定包括目标执行节点的至少一个执行节点，包括：

确定包括第二目标执行节点的至少一个执行节点，所述第二目标执行节点用于按照安全组策略处理所述第三终端与网络资源之间传输的报文。
根据权利要求1至5任一项所述的方法，其特征在于，所述接收认证节点发送的终端的安全组关联信息，包括：

接收授权设备发送的终端的安全组关联信息；或者，

接收认证点设备发送的终端的安全组关联信息，所述终端的安全组关联信息由授权设备发送至所述认证点设备。
根据权利要求1至6任一项所述的方法，其特征在于，所述方法还包括：

接收所述认证节点发送的所述终端的更新后的安全组关联信息；

将所述更新后的安全组关联信息发送至所述至少一个执行节点；

其中，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述安全组之间的映射关系，或者，所述更新后的安全组关联信息用于指示所述终端的网络地址与所述终端所属的更新后的安全组之间的映射关系，或者，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述终端所属的更新后的安全组之间的映射关系。
一种认证方法，其特征在于，所述方法包括：

接收终端的认证请求；

对所述终端进行认证，得到所述终端所属的安全组；

根据所述终端的网络地址以及所述安全组，获取所述终端的安全组关联信息，所述安全组关联信息用于指示所述网络地址与所述终端所属的安全组之间的映射关系；

将所述安全组关联信息发送至同步节点，所述同步节点用于将所述安全组关联信息同步至包括目标执行节点的至少一个执行节点，所述目标执行节点用于按照安全组策略处理所述终端的报文。
根据权利要求8所述的方法，其特征在于，所述将所述安全组关联信息发送至同步节点，包括：

将所述安全组关联信息发送至认证点设备，所述安全组关联信息用于供所述认证点设备用于发送至所述同步节点。
根据权利要求8至9任一项所述的方法，其特征在于，所述方法还包括：

获取所述终端的更新后的网络地址，根据所述更新后的网络地址以及所述安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述更新后的网络地址与所述安全组之间的映射关系，将所述更新后的安全组关联信息发送至所述同步节点；或者，

获取所述终端所属的更新后的安全组，根据所述终端的网络地址以及所述更新后的安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述终端的网络地址与所述更新后的安全组之间的映射关系，将所述终端的更新后的安全组关联信息发送至所述同步节点；或者，

获取所述终端更新后的网络地址以及所述终端所属的更新后的安全组，根据所述更新后的网络地址以及所述更新后的安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述更新后的网络地址与所述更新后的安全组之间的映射关系，将所述终端的更新后的安全组关联信息发送至所述同步节点。
一种信息同步装置，其特征在于，所述装置包括：

接收模块，用于接收认证节点发送的终端的安全组关联信息，所述安全组关联信息用于指示所述终端的网络地址与所述终端所属的安全组之间的映射关系；

确定模块，用于确定包括目标执行节点的至少一个执行节点，所述目标执行节点用于按照安全组策略处理所述终端的报文；

发送模块，用于将所述安全组关联信息发送至所述至少一个执行节点。
根据权利要求11所述的装置，其特征在于，所述确定模块，用于：根据所述网络地址所属的目标网段，从网段与执行节点之间的对应关系中，确定所述目标网段对应的所述目标执行节点；或者，确定网络中的每个执行节点。
根据权利要求12所述的装置，其特征在于，所述接收模块，还用于：接收配置指令，所述配置指令用于指示网段与执行节点之间的对应关系。
根据权利要求11至13任一项所述的装置，其特征在于，所述接收模块，用于：接收第一认证节点发送的第一终端的第一安全组关联信息，所述第一安全组关联信息用于指示所述第一终端的网络地址与所述第一终端所属的第一安全组之间的映射关系；接收第二认证节点发送的第二终端的第二安全组关联信息，所述第二认证节点与所述第一认证节点不同，所述第二安全组关联信息用于指示所述第二终端的网络地址与所述第二终端所属的第二安全组之间的映射关系；

相应地，所述确定模块，用于：确定包括第一目标执行节点的至少一个执行节点，所述第一目标执行节点用于按照安全组策略处理所述第一终端与所述第二终端之间传输的报文。
根据权利要求11至13任一项所述的装置，其特征在于，所述接收模块，用于：接收第三认证节点发送的第三终端的第三安全组关联信息，所述第三安全组关联信息用于指示所述第三终端的网络地址与所述第三终端所属的第三安全组之间的映射关系；

相应地，所述确定模块，用于：确定包括第二目标执行节点的至少一个执行节点，所述第二目标执行节点用于按照安全组策略处理所述第三终端与网络资源之间传输的报文。
根据权利要求11至15任一项所述的装置，其特征在于，所述接收模块，用于：接收授权设备发送的终端的安全组关联信息；或者，接收认证点设备发送的终端的安全组关联信息，所述终端的安全组关联信息由授权设备发送至所述认证点设备。
根据权利要求11至16任一项所述的装置，其特征在于，所述接收模块，还用于：接收所述认证节点发送的所述终端的更新后的安全组关联信息；

所述发送模块，还用于：将所述更新后的安全组关联信息发送至所述至少一个执行节点；

其中，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述安全组之间的映射关系，或者，所述更新后的安全组关联信息用于指示所述终端的网络地址与所述终端所属的更新后的安全组之间的映射关系，或者，所述更新后的安全组关联信息用于指示所述终端的更新后的网络地址与所述终端所属的更新后的安全组之间的映射关系。
一种认证装置，其特征在于，所述装置包括：

接收模块，用于接收终端的认证请求；

认证模块，用于对所述终端进行认证，得到所述终端所属的安全组；

获取模块，用于根据所述终端的网络地址以及所述安全组，获取所述终端的安全组关联信息，所述安全组关联信息用于指示所述网络地址与所述终端所属的安全组之间的映射关系；

发送模块，用于将所述安全组关联信息发送至同步节点，所述同步节点用于将所述安全组关联信息同步至包括目标执行节点的至少一个执行节点，所述目标执行节点用于按照安全组策略处理所述终端的报文。
根据权利要求18所述的装置，其特征在于，所述发送模块，用于：将所述安全组关联信息发送至认证点设备，所述安全组关联信息用于供所述认证点设备用于发送至所述同步节点。
根据权利要求18至19任一项所述的装置，其特征在于，

所述获取模块，还用于：获取所述终端的更新后的网络地址，根据所述更新后的网络地址以及所述安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述更新后的网络地址与所述安全组之间的映射关系；或者，

所述获取模块，还用于：获取所述终端所属的更新后的安全组，根据所述终端的网络地址以及所述更新后的安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述终端的网络地址与所述更新后的安全组之间的映射关系；或者，

所述获取模块，还用于：获取所述终端更新后的网络地址以及所述终端所属的更新后的安全组，根据所述更新后的网络地址以及所述更新后的安全组，获取所述终端的更新后的安全组关联信息，所述更新后的安全组关联信息用于指示所述更新后的网络地址与所述更新后的安全组之间的映射关系；

所述发送模块，用于：将所述终端的更新后的安全组关联信息发送至所述同步节点。
一种计算机设备，其特征在于，所述计算机设备包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现如权利要求1至权利要求7任一项所述的信息同步方法所执行的操作，或者如权利要求8至权利要求10任一项所述的认证方法所执行的操作。
一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条指令，所述指令由处理器加载并执行以实现如权利要求1至权利要求7任一项所述的信息同步方法所执行的操作，或者如权利要求8至权利要求10任一项所述的认证方法所执行的操作。