访问策略管理方法、装置、设备及计算机可读存储介质制造方法及图纸

本申请提供了访问策略管理方法、装置、设备及计算机可读存储介质。方法包括：控制设备获取网络中的多个访问设备组和该多个访问设备组之间的访问关系，访问设备组是基于网络的组织架构的关系确定的，访问设备组内包括至少一个访问设备；该控制设备根据获取的多个访问设备组和获取的多个访问设备组之间的访问关系确定该多个访问设备组的访问策略。该方法能够自动确定访问设备组的访问策略，访问策略管理的效率较高，准确性较高。其次，在更新访问设备组或更新访问关系时，能够对多个访问设备组之间的访问关系重新梳理，更新多个访问设备组之间的访问关系。该更新后的多个访问设备组之间的访问关系的准确性较高，避免访问关系之间出现冲突的情况。出现冲突的情况。出现冲突的情况。

【技术实现步骤摘要】
访问策略管理方法、装置、设备及计算机可读存储介质


[0001]本申请实施例涉及通信
，尤其涉及一种访问策略管理方法、装置、设备及计算机可读存储介质。

技术介绍

[0002]随着通信技术和网络技术的发展，用户可能在任意位置以任意方式接入网络，访问资源。例如，用户1可能在本地以无线的方式接入网络，访问资源，也可能在本地以有线的方式接入网络，访问资源。又例如，用户2可能在和用户1相同的位置以相同的方式接入网络，访问资源。由于不同用户能够访问的资源可能不同，需要对用户的访问策略进行管理。
[0003]相关技术中，通过人工配置的方式，将用户按照位置或者所在部门进行分组，将用户组与具有访问策略的安全组相关联，同一用户组的用户能够访问与该用户组关联的安全组中的访问策略对应的资源，由此实现对用户的访问策略管理。
[0004]然而，相关技术中人工配置的效率较低。由于访问策略对应的资源较多，且同一个资源可能与多个访问策略相对应，访问策略与资源的对应关系较为复杂，人工配置的准确性较低。

技术实现思路

[0005]本申请提出一种访问策略管理方法、装置、设备及计算机可读存储介质，用于实现访问策略的自动配置，提高了访问策略管理的效率和准确性。
[0006]第一方面，提供了一种访问策略管理方法，该方法包括：控制设备获取网络中的多个访问设备组以及所述多个访问设备组之间的访问关系，所述访问设备组基于所述网络的组织架构的关系确定，所述访问设备组内包括至少一个访问设备；所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略。
[0007]该方法基于获取的多个访问设备组之间的访问关系，能够自动确定访问设备组的访问策略，访问策略管理的效率较高，准确性较高。其次，对于一个访问设备组来说，由于该访问设备组的访问策略是根据该访问设备组和获取的多个访问设备组中其他的访问设备组之间的访问关系确定的，在更新访问设备组或更新访问关系时，该控制设备能够对多个访问设备组之间的访问关系重新梳理，从而更新多个访问设备组之间的访问关系。该更新后的多个访问设备组之间的访问关系的准确性较高，避免访问关系之间出现冲突的情况。
[0008]在一种可能的实现方式中，所述访问策略为基于用户控制列表UCL的访问策略，所述访问设备组中的一个访问设备对应一个用户名；或者，所述访问策略为基于访问控制列表ACL的访问策略，所述访问设备组中的一个访问设备对应一个网际协议IP地址。
[0009]在一种可能的实现方式中，所述控制设备获取网络中的多个访问设备组以及所述多个访问设备组之间的访问关系，包括：所述控制设备确定网络中的待管理的多个访问设备；对所述多个访问设备分组，得到多个候选设备组，所述多个候选设备组中的任一候选设
备组内包括所述多个访问设备中的至少一个访问设备；确定所述多个候选设备组之间的访问关系；根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系。
[0010]在一种可能的实现方式中，所述根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系，包括：所述控制设备合并所述多个候选设备组中的多个指定设备组为第一设备组；根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系。
[0011]在一种可能的实现方式中，所述多个指定设备组包括主设备组，所述主设备组为所述多个指定设备组中的一个指定设备组；所述根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系，包括：将所述主设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。
[0012]在一种可能的实现方式中，所述根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系，包括：将所述多个指定设备组中的各个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。
[0013]在一种可能的实现方式中，所述多个候选设备组包括第二设备组，所述第二设备组为所述多个候选设备组中的一个候选设备组；所述根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系，包括：所述控制设备拆分所述第二设备组为多个子设备组；根据所述第二设备组与第三设备组之间的访问关系，获取所述多个子设备组和所述第三设备组之间的访问关系，所述第三设备组为所述多个候选设备组中除所述第二设备组之外的候选设备组。
[0014]在一种可能的实现方式中，所述根据所述第二设备组与第三设备组之间的访问关系，获取所述多个子设备组和所述第三设备组之间的访问关系，包括：对于所述多个子设备组中的任一子设备组，将所述第二设备组与所述第三设备组之间的访问关系，确定为所述任一子设备组与所述第三设备组之间的访问关系。
[0015]在一种可能的实现方式中，所述多个子设备组中的各个子设备组具有相互访问的权限。通过合并具有相互访问的权限的多个候选设备组，减少了获取的多个访问设备组的数量，进而减少了确定的访问策略的数量。其次，能够降低多个访问设备组之间的访问关系的复杂程度，提高了确定访问设备组的访问策略的效率。
[0016]在一种可能的实现方式中，所述多个指定设备组为具有相互访问的权限的多个候选设备组。
[0017]在一种可能的实现方式中，所述控制设备合并所述多个候选设备组中的多个指定设备组为第一设备组之前，所述方法还包括：所述控制设备获取第一指令，所述第一指令用于指示需要进行合并的多个指定设备组；基于所述第一指令，所述控制设备执行合并所述多个指定设备组为第一设备组的操作。基于获取的第一指令，该方法能够合并指定设备组，进而获取多个访问设备组，该方法获取多个访问设备组的方式较为灵活。
[0018]在一种可能的实现方式中，所述控制设备拆分所述第二设备组为多个子设备组之
前，所述方法还包括：所述控制设备获取第二指令，所述第二指令用于指示需要拆分的第二设备组；基于所述第二指令，所述控制设备执行拆分所述第二设备组为多个子设备组的操作。基于获取的第二指令，该方法能够拆分第二设备组，进而获取多个访问设备组，该方法获取多个访问设备组的方式较为灵活。
[0019]在一种可能的实现方式中，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之前，所述方法还包括：所述控制设备获取第三指令，所述第三指令用于指示多个目标设备组之间的访问关系为指定访问关系，所述目标设备组为所述多个访问设备组中的任一访问设备组；基于所述第三指令，所述控制设备将所述多个目本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问策略管理方法，其特征在于，所述方法包括：控制设备获取网络中的多个访问设备组以及所述多个访问设备组之间的访问关系，所述访问设备组基于所述网络的组织架构的关系确定，所述访问设备组内包括至少一个访问设备；所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略。2.根据权利要求1所述的方法，其特征在于，所述访问策略为基于用户控制列表UCL的访问策略，所述访问设备组中的一个访问设备对应一个用户名；或者，所述访问策略为基于访问控制列表ACL的访问策略，所述访问设备组中的一个访问设备对应一个网际协议IP地址。3.根据权利要求1或2所述的方法，其特征在于，所述控制设备获取网络中的多个访问设备组以及所述多个访问设备组之间的访问关系，包括：所述控制设备确定网络中的待管理的多个访问设备；对所述多个访问设备分组，得到多个候选设备组，所述多个候选设备组中的任一候选设备组内包括所述多个访问设备中的至少一个访问设备；确定所述多个候选设备组之间的访问关系；根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系。4.根据权利要求3所述的方法，其特征在于，所述根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系，包括：所述控制设备合并所述多个候选设备组中的多个指定设备组为第一设备组；根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系。5.根据权利要求4所述的方法，其特征在于，所述多个指定设备组包括主设备组，所述主设备组为所述多个指定设备组中的一个指定设备组；所述根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系，包括：将所述主设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。6.根据权利要求4所述的方法，其特征在于，所述根据所述多个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系，获取所述第一设备组与所述未指定设备组之间的访问关系，包括：将所述多个指定设备组中的各个指定设备组与所述多个候选设备组中的未指定设备组之间的访问关系确定为所述第一设备组与所述未指定设备组之间的访问关系。7.根据权利要求3所述的方法，其特征在于，所述多个候选设备组包括第二设备组，所述第二设备组为所述多个候选设备组中的一个候选设备组；所述根据所述多个候选设备组获取多个访问设备组，根据所述多个候选设备组之间的访问关系获取所述多个访问设备组之间的访问关系，包括：
所述控制设备拆分所述第二设备组为多个子设备组；根据所述第二设备组与第三设备组之间的访问关系，获取所述多个子设备组和所述第三设备组之间的访问关系，所述第三设备组为所述多个候选设备组中除所述第二设备组之外的候选设备组。8.根据权利要求7所述的方法，其特征在于，所述根据所述第二设备组与第三设备组之间的访问关系，获取所述多个子设备组和所述第三设备组之间的访问关系，包括：对于所述多个子设备组中的任一子设备组，将所述第二设备组与所述第三设备组之间的访问关系，确定为所述任一子设备组与所述第三设备组之间的访问关系。9.根据权利要求8所述的方法，其特征在于，所述多个子设备组中的各个子设备组具有相互访问的权限。10.根据权利要求4
‑
6任一所述的方法，其特征在于，所述多个指定设备组为具有相互访问的权限的多个候选设备组。11.根据权利要求4
‑
6任一所述的方法，其特征在于，所述控制设备合并所述多个候选设备组中的多个指定设备组为第一设备组之前，所述方法还包括：所述控制设备获取第一指令，所述第一指令用于指示需要进行合并的多个指定设备组；基于所述第一指令，所述控制设备执行合并所述多个指定设备组为第一设备组的操作。12.根据权利要求7
‑
9任一所述的方法，其特征在于，所述控制设备拆分所述第二设备组为多个子设备组之前，所述方法还包括：所述控制设备获取第二指令，所述第二指令用于指示需要拆分的第二设备组；基于所述第二指令，所述控制设备执行拆分所述第二设备组为多个子设备组的操作。13.根据权利要求1
‑
12任一所述的方法，其特征在于，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之前，所述方法还包括：所述控制设备获取第三指令，所述第三指令用于指示多个目标设备组之间的访问关系为指定访问关系，所述目标设备组为所述多个访问设备组中的任一访问设备组；基于所述第三指令，所述控制设备将所述多个目标设备组之间的访问关系更新为所述指定访问关系。14.根据权利要求1
‑
13任一所述的方法，其特征在于，所述控制设备根据所述多个访问设备组和所述多个访问设备组之间的访问关系确定所述多个访问设备组的访问策略之后，所述方法还包括：对于所述多个访问设备组中的任一访问设备组，所述控制设备根据所述任一访问设备组的访问策略生成所述任一访问设备组的策略配置，所述策略配置用于所述任一访问设备组对应的网络设备根据所述策略配置执行所述任一访问设备组的访问策略。15.根据权利要求14所述的方法，其特征在于，所述控制设备根据所述任一访问设备组的访问策略生成所述任一访问设备组的策略配置，包括：响应于所述策略配置包括ACL规则，所述控制设备根据所述任一访问设备组的访问策略确定所述任一访问设备组对应的疏密关系，所述疏密关系用于指示所述任一访问设备组

【专利技术属性】
技术研发人员：周杨，张印熙，黄忠金，李艳民，
申请(专利权)人：北京华为数字技术有限公司，
类型：发明
国别省市：