一种设备管理的方法及设备与流程

本申请涉及互联网技术领域，尤其涉及一种设备管理的方法及设备。

背景技术

在企业的设备管理系统中，由于企业内部设备和用户较多，为便于集中管理，需要为这些设备分别进行策略的配置。在企业的设备数量庞大或者企业内的策略环境比较复杂时，则需要更为复杂的策略配置。

为简化管理，目前主要通过将属于同一组织架构下设备进行统一的策略配置，进而进行分类管理。虽然基于组织架构对设备进行管理的方式可以提高管理效率和优化管理机制，但对属于同一个组织架构的设备而言，由于设备的操作系统、网络类型、网络位置或者物理位置，甚至设备的用户级别等因素，会存在一些设备的策略需要和该组织架构下的其他设备的策略区分开，而基于组织架构的策略配置无法满足该需求。

技术实现要素：

本申请提供了一种设备管理的方法及设备，能够解决现有技术中无法对同一组织架构下的设备进行策略区分的问题。

本身请第一方面提供一种设备管理的方法，所述方法包括：

获取虚拟组的层级、设备参数集合和当前待分组设备的设备参数；

根据所述虚拟组的层级、所述当前待分组设备的设备参数和所述设备参数集合，将所述当前待分组设备划分为至少两个虚拟组，虚拟组与设备参数集合一一对应；

根据策略设置条件为划分的每个虚拟组内的设备分别设置对应的策略；

将设置的策略配置到与策略对应的虚拟组中。

本申请第二方面提供一种用于管理设备的装置，具有实现对应于上述第一方面提供的设备管理的方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块，所述模块可以是软件和/或硬件。一种可能的设计中，所述装置包括：

获取模块，用于获取虚拟组的层级、设备参数集合和当前待分组设备的设备参数；

处理模块，用于根据所述虚拟组的层级、所述当前待分组设备的设备参数和所述设备参数集合，将所述当前待分组设备划分为至少两个虚拟组，虚拟组与设备参数集合一一对应；

根据策略设置条件为划分的每个虚拟组内的设备分别设置对应的策略；

将设置的策略配置到与策略对应的虚拟组中。

本申请又一方面提供了一种用于管理设备的装置，其包括至少一个连接的处理器、存储器、发射器和接收器，其中，所述存储器用于存储程序代码，所述处理器用于调用所述存储器中的程序代码来执行上述各方面所述的方法。

本申请又一方面提供了一种计算机存储介质，其包括指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

本申请又一方面提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

相较于现有技术，本申请提供的方案中，在获取虚拟组的层级、设备参数集合和当前待分组设备的设备参数后，根据虚拟组的层级、设备参数集合和当前待分组设备的设备参数，将当前待分组设备划分为至少两个虚拟组，然后根据策略设置条件为划分的每个虚拟组内的设备分别设置对应的策略，再将设置的策略配置到与策略对应的虚拟组中。本申请基于设备参数和虚拟组的层级划分虚拟组，以及基于策略设置条件来设置策略，不局限于仅仅基于组织架构来划分虚拟组和设置策略。所以，能够将不属于同一组织架构下的设备划分到一个组，也能够对一个组内的各设备进行测不同策略的设置，相较于现有机制，既能够实现分组的扩展，又能满足特定组的策略需求。

附图说明

图1为本申请中设备管理平台的一种网络拓扑示意图；

图2为本申请中设备管理的方法的一种流程示意图；

图3为本申请中将来自不同虚拟组的员工划分到一个特定组的示意图；

图4为本申请中设备管理平台的一种网络拓扑结构示意图；

图5为本申请中心跳出发流程的一种示意图；

图6为本申请中定时通信流程的一种示意图；

图7为本申请中各虚拟组之间的层级关系的一种示意图；

图8为本申请中处于特定组的设备的策略的存储方式示意图；

图9为本申请中用于管理设备的一种结构示意图；

图10为本申请中服务器的另一种结构示意图。

具体实施方式

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块，本文中所出现的模块的划分，仅仅是一种逻辑上的划分，实际应用中实现时可以有另外的划分方式，例如多个模块可以结合成或集成在另一个系统中，或一些特征可以忽略，或不执行，另外，所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，模块之间的间接耦合或通信连接可以是电性或其他类似的形式，本文中均不作限定。并且，作为分离部件说明的模块或子模块可以是也可以不是物理上的分离，可以是也可以不是物理模块，或者可以分布到多个电路模块中，可以根据实际的需要选择其中的部分或全部模块来实现本发明实施例方案的目的。

本申请提供了一种设备管理的方法及装置，能够对设备和设备策略进行集中、有效的管理。图1为本申请中的设备管理系统的一种网络拓扑结构示意图，该设备管理系统包括设备管理平台、数据库、虚拟组1、虚拟组2和特定组1，虚拟组1包括终端设备1、终端设备2和终端设备3，虚拟组2包括终端设备4、终端设备5、终端设备6和终端设备7，特定组1包括终端设备2和终端设备4。设备管理平台可将策略下发到每个终端设备。

为解决上述技术问题，本发明实施例主要提供以下技术方案：

设备管理平台首先设置虚拟组之间的层级关系、虚拟组的组划分条件和虚拟组的策略设置条件，然后根据在获取虚拟组的层级、设备参数集合和当前待分组设备的设备参数后，根据层级关系和组划分条件将当前待分组设备划分为多个虚拟组，然后根据策略设置条件为划分的每个虚拟组内的设备分别设置对应的策略，再将设置的策略配置到与策略对应的虚拟组中。还可以继续在已经划分好的虚拟组基础之上，再加上设备参数作为组划分条件，划分出子虚拟组，以实现扩展。还可以对同一个虚拟组内的设备分别设置不同的策略，以将有些设备之间的策略区分开。

请参照图2，以下对本申请提供一种设备管理的方法进行举例说明，所述方法包括：

201、获取虚拟组的层级、设备参数集合和当前待分组设备的设备参数。

202、根据所述虚拟组的层级、所述当前待分组设备的设备参数和所述设备参数集合，将所述当前待分组设备划分为至少两个虚拟组。

其中，虚拟组与设备参数集合一一对应，每个虚拟组可对应一组设备参数集合，若划分的至少两个虚拟组之间存在父子关系，对于存在父子关系的两个虚拟组之间满足：

父虚拟组的设备参数集合中的设备参数必然为子虚拟组的设备参数集合中的设备参数，子虚拟组的设备参数集合为父虚拟组的设备参数集合的子集。

203、根据策略设置条件为划分的每个虚拟组内的设备分别设置对应的策略。

本申请中，为各设备设置的策略可包括如下项中的至少一项：

连接请求策略(英文全称：connectionrequestpolicies)、网络策略(英文全称：networkpolicies)和健康策略(英文全称：healthpolicies)。

其中，connectionrequestpolicies可指定哪些radius服务器对nps服务器从radius客户端接收的连接请求执行身份验证、授权和记帐的多组条件和设置。可以将连接请求策略配置为指定将哪些radius服务器用于radius记帐。

networkpolicies可指定谁被授权连接到网络以及能否连接网络的情况的多组条件、约束和设置。部署nap时，会将健康策略添加到网络策略配置中，使nps可以在授权过程中执行客户端健康检查，其中可包括防火墙策略，防火墙策略是指将防火墙配置为允许或阻止各种类型的ip通信来回于运行防火墙的计算机或设备。如果未将防火墙正确配置为允许在radius客户端、radius代理和radius服务器中进行radius通信，则网络访问身份验证可能会失败，从而阻止用户访问网络资源。

在一些实施方式中，还需要配置以下两种类型的防火墙，以允许radius通信：

(1)运行网络策略服务器(英文全称：networkpolicyserver，英文简称：nps)的本地服务器上的windows防火墙。

(2)运行于其他计算机或硬件设备的防火墙。

healthpolicies是指一个或多个系统健康验证程序(英文全称：systemhealthvalidator，英文简称：shv)和其他设置，可允许为支持网络访问保护(英文全称：networkaccessprotection，英文简称：nap)的计算机(尝试连接到网络)定义客户端计算机配置要求，健康策略仅与nap一同使用。

204、将设置的策略配置到与策略对应的虚拟组中。

与现有机制相比，本申请提供的方案中，在获取虚拟组的层级、设备参数集合和当前待分组设备的设备参数后，根据虚拟组的层级、设备参数集合和当前待分组设备的设备参数，将当前待分组设备划分为至少两个虚拟组，然后根据策略设置条件为划分的每个虚拟组内的设备分别设置对应的策略，再将设置的策略配置到与策略对应的虚拟组中。本申请基于设备参数和虚拟组的层级划分虚拟组，以及基于策略设置条件来设置策略，不局限于仅仅基于组织架构来划分虚拟组和设置策略。所以，能够将不属于同一组织架构下的设备划分到一个组，也能够对一个组内的各设备进行测不同策略的设置，相较于现有机制，既能够实现分组的扩展，又能满足特定组的策略需求。

可选的，在一些发明实施例中，所述设备参数集合的个数为多个，在所述根据所述虚拟组的层级、所述当前待分组设备的设备参数和所述设备参数集合，将所述当前待分组设备划分为至少两个虚拟组之前，所述方法还包括：

根据所述虚拟组的层级、所述当前待分组设备的设备参数和组划分条件，得到每个层级的虚拟组对应的设备参数集合。

可选的，在一些发明实施例中，所述至少两个虚拟组包括第一虚拟组和第二虚拟组，所述第一虚拟组为所述第二虚拟组的父虚拟组；所述根据所述虚拟组的层级、所述当前待分组设备的设备参数和所述设备参数集合，将所述当前待分组设备划分为至少两个虚拟组，包括：

根据第一虚拟组的层级和第一虚拟组对应的第一设备参数集合，从待分组设备中划分出第一虚拟组；

在所述第一设备参数集合中加入新的设备参数，得到第二设备参数集合；

根据第二虚拟组的层级和所述第二设备参数集合，从所述第一虚拟组中划分出第二虚拟组。通过采用每个虚拟组对应不同的设备参数集合，使得在划分虚拟组时按照设备参数集合来划分，这样能够实现在已有的虚拟组下，再次划分出新的子虚拟组，这样就能够实现即使同一个组织架构下，也能将某些设备的策略与其他设备的策略区分开。

可选的，在一些发明实施例中，设备参数集合至少包括以下设备参数中的一项：设备的操作系统、设备的网络位置、设备所处的网络类型、设备名称、设备所属的用户、设备的网际协议(英文全称：internetprotocol，英文简称：ip)地址以及所述设备所属的组织架构；

所述设备的操作系统、所述设备的网络位置、所述设备所处的网络类型、所述设备名称、设备所属的用户、所述设备的ip地址以及所述设备所属的组织架构按照设备参数等级降序，从左至右排列，设备参数的等级与虚拟组的层级对应；

所述至少两个虚拟组包括父虚拟组和子虚拟组，父虚拟组和子虚拟组按照设备参数等级降序和虚拟组的层级信息依次划分得到。

下面分别对划分虚拟组和特定组进行，举例来说，本申请中的虚拟组可以依据操作系统(英文全称：operationsystem，英文简称：os)、网络位置、网络类型、组织架构、设备名称、网际协议(英文全称：internetprotocol，英文简称：ip)地址或员工姓名这些条件来进行划分。虚拟组之间存在层级关系，例如将上述待分组设备划分到至少5个虚拟组后，这至少5个虚拟组之间存在层级关系，即父虚拟组和子虚拟组之间的关系。在划分虚拟组时，一级虚拟组可依据os来划分，二级虚拟组依据网络位置来划分，三级虚拟组依据网络类型来划分，四级虚拟组依据组织架构、五级及五级以上虚拟组可依据设备名称、ip、员工姓名来划分。其中，一级虚拟组、二级虚拟组、三级虚拟组、四级虚拟组、五级虚拟组和五级以上的虚拟组的层级从左至右，由高至低排列。

由于，子虚拟组对应的设备参数集合，与父虚拟组对应的设备参数集合之间的交集为非空集，所以，子虚拟组的设备必定满足父虚拟组的条件，也就是说，子虚拟组的设备的集合是父虚拟组的设备集合的一个子集。

另外，特定组的设备的划分可以由管理员加入设备名称(也可称之为机器名，可以是系统编号等)来进行设置实现。一个设备一定在一个虚拟组中，可具有至多一个特定组。本申请中，可以通过特定组的划分将那些在设备参数属性上(例如os、网络位置、网络类型、组织架构、设备名称、ip地址或员工姓名等)没有任何关联的设备划分到一个特定组中进行一些特殊的策略的管理。例如图3所示，深圳测试部分有员工a和员工b，广州开发部分有员工c和员工d，员工a、员工b、员工c和员工d没有任何关联，组织架构不同，设备属性也无关联，员工a和员工b在同一个虚拟组1中，员工c和员工d在同一个虚拟组2中，现在可以通过上述实施例中创建特定组的方式将虚拟组1的员工b和虚拟组2中的员工c划分到一个特定组中。

可选的，在一些发明实施例中，在将当前待分组设备划分为至少两个虚拟组之后，所述方法还包括：

根据设备名称将至少两个虚拟组中的至少两个设备划分到至少一个特定组，所述第一设备参数集合与所述第二设备参数集合的交集为空集或非空集。

可选的，在一些发明实施例中，特定组的策略以策略类别为单位，所述特定组的策略包括替换策略、删除策略和追加策略；

当第一设备被划分到第一特定组时，针对第一策略类别的策略，在所述第一特定组中，所述替换策略是指所述第一设备在所述第一特定组的策略来自所述第一特定组的策略，所述删除策略是指所述第一设备在所述第一特定组的策略为删除策略集合中的指定策略之后剩余的策略，所述追加策略是指所述第一设备在所述第一特定组的策略为将指定策略增加到所述策略集合中后的策略集合；所述第一设备属于所述第一虚拟组，所述策略集合为所述第一设备在所述第一虚拟组中对应所述第一策略类别的策略的集合。举例来说，如下表1所示：

表1

表1中，设备被划分至虚拟组1中，随后，将该设备继续划分到一个特定组1中，该设备在虚拟组1中的策略分为a、b和c三个类别的策略，在虚拟组1中，a类策略包括策略a、策略b和策略c，b类策略包括策略e和策略f，c类策略包括策略d和策略g。

若在特定组1中，a类策略为策略a，方式针对a类策略中策略a进行删除，那么，最终该设备在特定组1中a类策略下的策略则为策略b和策略c；若在特定组1中，b类策略为策略m，方式针对b类策略中追加策略m，那么，最终该设备在特定组1中b类策略下的策略则为策略e、策略f和策略m；若在特定组1中，c类策略为策略n，方式针对c类策略中策略d和策略g进行替换，那么，最终该设备在特定组1中c类策略下的策略则为策略n。最后，该设备的最终策略为策略b、策略c、策略e、策略f、策略m和策略n。

可选的，在一些发明实施例中，由于虚拟组的策略以策略类别为单位进行继承，每个虚拟组对应至少一个策略。

所以，下面针对第二策略类别的策略的继承关系进行说明：

当所述第一虚拟组的策略与所述第二虚拟组的策略之间的继承关系为继承时，所述第二虚拟组的策略全部来自作为父虚拟组的所述第一虚拟组；

当所述第一虚拟组的策略与所述第二虚拟组的策略之间的继承关系为不继承时，所述第二虚拟组的策略全部来自配置给所述第二虚拟组的策略。可见，针对每个策略类别的策略都可参考本申请中的第二策略类别的策略的继承关系的说明，具体本申请不再赘述。

由此可见，通过采用上述策略管理方式，能够有序、集中的管理各个虚拟组内的各设备的策略。

为便于理解，下面举一具体的应用场景，如图4中，整个设备管理平台主要分为三个组件：万维网(英文全称：worldwideweb，英文简称：web)管理端、组同步模块以及策略下发模块，web管理端、组同步模块以及策略同步模块可部署于相同的设备上，也可以分别部署与不同的设备上，具体本申请不作限定。设备管理平台的整体架构图可参考如图4所示的结构，下面分别为web管理端、组同步模块和策略同步模块分别进行说明：

web管理端用于提供可视化操作界面给管理员：

a、为虚拟组和特定组设置划分条件

b、给虚拟组和特定组下发策略

c、触发策略同步程序和组同步程序

同步模块可分为两部分：组同步模块和策略同步模块。

其中，组同步模块依据组划分条件将符合条件的设备圈到组中。策略同步程序计算每个设备的策略列表。组同步模块有两种方式运行：通过web管理端手动触发定时任务。

策略同步模块用于将从radis中获取的策略分别下发到各组内的设备，其可分为两个部分：心跳和定时拉取。其中，心跳是指客户端和服务器的定时通信，可定义1分钟一次通信一次，以及定义15分钟定时拉取一次。

举例来说，心跳和拉取流程分为心跳触发流程和定时通信流程。其中，心跳触发流程示意图可参考图5，心跳中的信息可命令字和命令序列号组成，每个心跳都会携带设备的本地策略序列号。图5中，客户端向服务器发送策略请求，该策略请求中携带策略序列号1，服务器收到该策略请求后，将该策略序列号与本地存储的策略序列号进行比较，若一致，则将该策略序列号1返回给客户端；若不一致，则将该策略序列号1加1后返回给客户端。

然后客户端将收到的策略序列号与本地存储的策略序列号1进行比对，若应答中的策略序列号大于本地的策略序列号1，则表明该策略已经变化，所以向服务器发送策略列表请求。服务器向客户端返回请求的策略列表，客户端将返回的策略列表与本地的策略列表进行比对，若返回的策略列表与本地的策略列表不一致，则找出不一致的策略a，或者找出本地策略列表中没有的策略a。然后，客户端向服务器请求获取策略a，服务器返回策略a，客户端将策略a存储在本地，并更新本地的策略列表。

定时通信流程如图6所示，可以定义15分钟一次，客户端会从服务器拉取该设备所有的策略列表，并将其与本地存储的策略列表进行对比，如果两个策略列表存在差异，则客户端会从服务器拉取差异的策略信息。客户端从服务器拉取到策略后，将本地策略的状态(拉取、正在执行、执行成功、执行失败)上报至服务器。图6中，客户端每隔一段时间就向服务器发送策略列表请求，服务器收到策略列表请求后，向客户端返回请求的策略列表，客户端将返回的策略列表与本地的策略列表进行比对，若返回的策略列表与本地的策略列表不一致，则找出不一致的策略a，或者找出本地策略列表中没有的策略a。然后，客户端向服务器请求获取策略a，服务器返回策略a，客户端将策略a存储在本地，并更新本地的策略列表。

下面对整个虚拟组和特定组的划分流程进行说明，管理员通过web管理端对虚拟组和特定组的组划分条件分别进行设置，可将待分组设备划分为特定组和虚拟组，虚拟组和特定组的组划分条件可存储在数据库(英文全称：database，英文简称：db)中。

可将虚拟组分为1,2,3…,n级，低级别的虚拟组和高级别的虚拟组可依据其父虚拟组标识组成一个树形结构，虚拟组的级数越高，其级别越低，虚拟组之间的层级关系也可存储在db中。

具体来说，本申请中的虚拟组可以依据os、网络位置、网络类型、组织架构、设备名称、设备的ip地址、员工姓名这些条件来进行划分的。第一层级虚拟组依据os来划分，第二层级虚拟组依据网络位置来划分，第三层级虚拟组依据网络类型来划分，第四层级及第四层级以上的虚拟组可依据组织架构、设备名称、ip、员工姓名来划分。子虚拟组的设备必定满足其父虚拟组的条件，也就是说，子虚拟组的设备集合是父虚拟组的设备集合的一个子集。

特定组的设备的划分可通过加入设备标识的方式进行设置，设备标识可以是设备名称(也可称之为机器名称)、mac地址等，具体本申请不作限定。本申请中，一个设备一定在一个虚拟组中，其可具有至多一个特定组，其是否具有特定组的前提是设备必须处属于一个虚拟组。划分特定组的目的主要是为了将那些在设备参数属性上(例如os、网络位置等)没有任何关联的设备划分到一个组中，以便对这些设备进行一些特殊的策略的管理。

在web管理端设置好组划分条件后，即可触发组同步模块来计算每个虚拟组的设备集合，设备以设备标识(英文全称：identify，英文简称：id)来标识。组同步模块从db中获取各虚拟组的层级信息，各个虚拟组的组划分条件和特定组的设备id等信息来计算每个虚拟组的设备集合，然后将信息写入redis。

举例来说，图7为是按照划分完成后的各虚拟组之间的架构示意图，图7中，所有的设备默认会在根虚拟组(defaultpolicy)中，计算虚拟组的设备集合是从第一层级虚拟组开始，然后一层一层的计算，例如先计算defaultpolicy的设备集合，然后计算linux，mac，windows和未知(第一层级虚拟组)的设备集合等。子虚拟组的设备集合等于父虚拟组的设备集合，或者子虚拟组的设备集合为父虚拟组的设备集合的子集。可知，第一层级的虚拟组按照os划分为liniux、mac、windows和未知，在windows作为父虚拟组的基础上，按照网络类型划分为虚拟专用网(英文全称：virtualprivatenetwork，英文简称：vpn)、外网和内网，以此类推，不再赘述，最终可得到如图7所示的具备层级关系的虚拟组结构示意图。

本申请中，管理员可通过web管理端来设置策略，策略以策略类别为单位进行管理，策略可以用策略序列号和版本号来唯一标识。一条策略只属于一个策略类别，一个策略类别可对应多条策略。

管理员可通过web管理端来对各个虚拟组分别下发策略，虚拟组的策略之间有继承关系，特定组之间没有继承关系。虚拟组的继承关系可以以策略类别为继承规则，如果某个策略类别a选择继承父虚拟组，那么对于子虚拟组而言，该策略类别a下的策略都来自于父虚拟组，而子虚拟组的自建策略(对该子虚拟组下发的策略)就会失效。如果子虚拟组选择不继承父虚拟组，那么对于该子虚拟组而言，该策略类别a下的策略都来自于该子虚拟组的自建策略。下面以一具体的例子对策略的继承关系进行说明，如下表2所示：

表2

表2中，父虚拟组1-父虚拟组3之间的层级关系如下：父虚拟组1—＞父虚拟组2—＞父虚拟组3，即父虚拟组3为父虚拟组2的下一子集，父虚拟组2为父虚拟组1的下一子集。下面以策略类别为例对策略的继承关系进行举例说明，表2中，父组策略为a、b和c，父虚拟组1的继承关系为继承，其自建策略为h和g，所以最终父虚拟组的策略为a、b和c。父虚拟组2的继承关系为不继承，其自建策略为s，所以最终父虚拟组2的策略为s。父虚拟组3的继承关系为继承，其自建策略为o，所以最终父虚拟组3继承父虚拟组2的策略s。其他策略类别类似，此处不再赘述。

web管理端将虚拟组或特定组的策略下发到数据库(英文全称：database，英文简称：db)后，可触发策略同步模块来计算每个设备的策略。策略同步模块可从db中获取每个虚拟组的策略、各虚拟组之间的层级关系，以及各虚拟组的策略类别继承规则来计算每个组或者设备的策略列表，设备的策略列表如图9所示。

由于每个设备都可属于至少一个虚拟组，还可属于一个特定组，对于具有特定组的设备而言：其会具有一个独立的设备缓存，该设备缓存可依据继承规则合成虚拟组的策略和特定组的策略。

对于没有特定组的设备而言：其策略全部来自其所属虚拟组的策略列表，其策略可直接从组缓存中获取，这样可以有效的避免数据重复，相应的，也能减少组缓存的内存消耗。

举例来说，图8中，首先判断设备a是否在特定组中，若其在特定组中，则，该设备a的策略存储与设备缓存中；若其不在特定组中，则表示其仅存在于虚拟组中，则设备a的策略存储与组缓存中。

在一些实施方式中，每个设备具有一个策略序列号，当配置给某个设备的策略发生变化时，策略同步模块会将该设备的策略序列号加上1。

以设备管理平台为服务器为例，在心跳和拉取流程中，每次心跳请求，服务器会将客户端上传的策略序列号和组缓存中的策略序列号进行对比。如果设备的策略发生变化，那么组缓存中的策略序列号会被加1后再与客户端上传的策略序列号进行比较。

a、如果两者不相等，则将客户端上传的策略序列号加1后再返回给客户端，并更新组缓存中的策略序列号。

b、如果两者相等，则将客户端上传的策略序列号直接返回给客户端。

通过a和b的两种做法，可以使得客户端去判断本地存储的策略序列号是否与服务器侧当前存储的策略序列号一致。若不一致，则表示服务器侧更新了该设备的策略，那么就会触发客户端去从服务器拉取新的策略；由于服务器比较的结果为一致时不需要在客户端上传的策略序列号加1，这样服务器返回给客户端的策略序列号就是客户端上传的策略序列号，就表示客户端本地存储的策略序列号与服务器侧当前存储的策略序列号一致，那么客户端就不需要去触发向服务器拉取最新的策略的流程。

需要说明的是，每个客户端有多个策略，但只有一个策略序列号，一个策略序列号可对应多个策略，策略序列号可动态变化。

当客户端收到应答包后，对比本地的策略序列号，如果应答包中的策略序列号大于本地的策略序列号，就会触发客户端从服务器拉取策略列表的请求，服务器返回该设备最新的策略列表，包含了策略标识和策略版本号。

随后，客户端收到服务器返回的策略列表list’后，将该策略列表和本地的策略列表list进行对比，例如比较策略标识和策略版本号，找到策略列表list中不在策略列表list’中的失效策略，然后删除这些失效的策略。在删除完策略后，客户端向服务器发起策略请求，以向服务器请求获取本地策略列表list中没有的策略，或者请求本地策略列表list中策略版本号发生变化的策略。

客户端从服务器拉取到请求的策略后，再向服务器上报本地策略的策略状态，策略状态可包括拉取、正在执行、执行成功或执行失败。

以上对本申请中一种设备管理的方法进行说明，以下对执行上述设备管理的方法的装置进行描述，该装置也可以是运行在设备上的交互式应用，也可以是安装了交互式应用的设备，例如服务器，具体本申请不作限定。

参照图9，对用于管理设备的装置90进行说明，所述装置90包括：

获取模块901，用于获取虚拟组的层级、设备参数集合和当前待分组设备的设备参数；

处理模块902，用于根据所述虚拟组的层级、所述当前待分组设备的设备参数和所述设备参数集合，将所述当前待分组设备划分为至少两个虚拟组，虚拟组与设备参数集合一一对应；

根据策略设置条件为划分的每个虚拟组内的设备分别设置对应的策略；

将设置的策略配置到与策略对应的虚拟组中。

可选的，在一些发明实施例中，所述设备参数集合的个数为多个，所述处理模块902在根据所述虚拟组的层级、所述当前待分组设备的设备参数和所述设备参数集合，将所述当前待分组设备划分为至少两个虚拟组之前，还用于：

根据所述虚拟组的层级、所述当前待分组设备的设备参数和组划分条件，得到每个层级的虚拟组对应的设备参数集合。

可选的，在一些发明实施例中，所述至少两个虚拟组包括第一虚拟组和第二虚拟组，所述第一虚拟组为所述第二虚拟组的父虚拟组；所述根据所述虚拟组的层级、所述处理模块902具体用于：

根据第一虚拟组的层级和第一虚拟组对应的第一设备参数集合，从待分组设备中划分出第一虚拟组；

在所述第一设备参数集合中加入新的设备参数，得到第二设备参数集合；

根据第二虚拟组的层级和所述第二设备参数集合，从所述第一虚拟组中划分出第二虚拟组。

可选的，在一些发明实施例中，设备参数集合至少包括以下设备参数中的一项：设备的操作系统、设备的网络位置、设备所处的网络类型、设备名称和设备所属的用户、所述设备的网际协议(英文全称：internetprotocol，英文简称：ip)地址以及设备所属的组织架构；

所述设备的操作系统、所述设备的网络位置、所述设备所处的网络类型、所述设备名称、所述设备所属的用户、所述设备的ip地址以及设备所属的组织架构按照设备参数等级降序，从左至右排列，设备参数的等级与虚拟组的层级对应；

所述至少两个虚拟组包括父虚拟组和子虚拟组，父虚拟组和子虚拟组按照设备参数等级降序和虚拟组的层级信息依次划分得到。

可选的，在一些发明实施例中，所述处理模块902在将当前待分组设备划分为至少两个虚拟组之后，还用于：

根据设备标识将至少两个虚拟组中的至少两个设备划分到至少一个特定组，所述第一设备参数集合与所述第二设备参数集合的交集为空集或非空集。

可选的，在一些发明实施例中，特定组的策略以策略类别为单位，所述特定组的策略包括替换策略、删除策略和追加策略；

当第一设备被划分到第一特定组时，针对第一策略类别的策略，在所述第一特定组中，所述替换策略是指所述第一设备在所述第一特定组的策略来自所述第一特定组的策略，所述删除策略是指所述第一设备在所述第一特定组的策略为删除策略集合中的指定策略之后剩余的策略，所述追加策略是指所述第一设备在所述第一特定组的策略为将指定策略增加到所述策略集合中后的策略集合；所述第一设备属于所述第一虚拟组，所述策略集合为所述第一设备在所述第一虚拟组中对应所述第一策略类别的策略的集合。

可选的，在一些发明实施例中，由于虚拟组的策略以策略类别为单位进行继承，每个虚拟组对应至少一个策略。

所以，下面针对第二策略类别的策略的继承关系进行说明：

当所述第一虚拟组的策略与所述第二虚拟组的策略之间的继承关系为继承时，所述第二虚拟组的策略全部来自作为父虚拟组的所述第一虚拟组；

当所述第一虚拟组的策略与所述第二虚拟组的策略之间的继承关系为不继承时，所述第二虚拟组的策略全部来自配置给所述第二虚拟组的策略。

上面从模块化功能实体的角度对本发明实施例中的服务器进行了描述，下面从硬件处理的角度分别对本发明实施例中的服务器进行描述。需要说明的是，在本发明图9所示的实施例中的发送模块对应的实体设备可以为输入/输出单元，处理模块对应的实体设备可以为处理器。图9所示的装置可以具有如图10所示的结构，当图9所示的装置具有如图10所示的结构时，图10中的中央处理器和输入输出接口能够实现前述对应该装置的装置实施例提供的处理模块和接收模块相同或相似的功能，图10中的存储器存储中央处理器执行上述设备管理的方法时需要调用的程序代码。

图10是本发明实施例提供的另一种服务器结构示意图，该服务器1000可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(英文全称：centralprocessingunits，英文简称：cpu)1022(例如，一个或一个以上处理器)和存储器1032，一个或一个以上存储应用程序1042或数据1044的存储介质1030(例如一个或一个以上海量存储设备)。其中，存储器1032和存储介质1030可以是短暂存储或持久存储。存储在存储介质1030的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器1022可以设置为与存储介质1030通信，在服务器1000上执行存储介质1030中的一系列指令操作。

服务器1000还可以包括一个或一个以上电源1026，一个或一个以上有线或无线网络接口1050，一个或一个以上输入输出接口1058，和/或，一个或一个以上操作系统1041，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm等等。

本发明实施例涉及的服务器可以具有比图10所示出的更多或更少的部件，可以组合两个或更多个部件，或者可以具有不同的部件配置或设置，各个部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件或硬件和软件的组合实现。

通过调用存储介质1030中存储的指令，中央处理器1022可用于执行下述操作：

通过输入输出接口1058获取虚拟组的层级、设备参数集合和当前待分组设备的设备参数；

根据所述虚拟组的层级、所述当前待分组设备的设备参数和所述设备参数集合，将所述当前待分组设备划分为至少两个虚拟组，虚拟组与设备参数集合一一对应；

根据策略设置条件为划分的每个虚拟组内的设备分别设置对应的策略；

将设置的策略配置到与策略对应的虚拟组中。

可选的，在一些发明实施例中，所述设备参数集合的个数为多个，通过调用存储介质1030中存储的指令，中央处理器1022在根据所述虚拟组的层级、所述当前待分组设备的设备参数和所述设备参数集合，将所述当前待分组设备划分为至少两个虚拟组之前，还用于执行下述操作：

根据所述虚拟组的层级、所述当前待分组设备的设备参数和组划分条件，得到每个层级的虚拟组对应的设备参数集合。

可选的，在一些发明实施例中，通过调用存储介质1030中存储的指令，中央处理器1022还用于执行下述操作：

根据第一虚拟组的层级和第一虚拟组对应的第一设备参数集合，从待分组设备中划分出第一虚拟组；

在所述第一设备参数集合中加入新的设备参数，得到第二设备参数集合；

根据第二虚拟组的层级和所述第二设备参数集合，从所述第一虚拟组中划分出第二虚拟组。

可选的，设备参数集合至少包括以下设备参数中的一项：设备的操作系统、设备的网络位置、设备所处的网络类型、设备名称、设备所属的用户、所述设备的ip地址以及所述设备所属的组织架构；

所述设备的操作系统、所述设备的网络位置、所述设备所处的网络类型、所述设备名称以及设备所属的用户、所述设备的ip地址以及所述设备所属的组织架构按照设备参数等级降序，从左至右排列，设备参数的等级与虚拟组的层级对应；

所述至少两个虚拟组包括父虚拟组和子虚拟组，父虚拟组和子虚拟组按照设备参数等级降序和虚拟组的层级信息依次划分得到。

可选的，在一些发明实施例中，通过调用存储介质1030中存储的指令，中央处理器1022在将当前待分组设备划分为至少两个虚拟组之后，还用于执行下述操作：

根据设备id将至少两个虚拟组中的至少两个设备划分到至少一个特定组，所述第一设备参数集合与所述第二设备参数集合的交集为空集或非空集。

可选的，在一些发明实施例中，虚拟组的策略和特定组的策略均以策略类别为单位，所述特定组的策略包括替换策略、删除策略和追加策略；

当第一设备被划分到第一特定组时，针对第一策略类别的策略，在所述第一特定组中，所述替换策略是指所述第一设备在所述第一特定组的策略来自所述第一特定组的策略，所述删除策略是指所述第一设备在所述第一特定组的策略为删除策略集合中的指定策略之后剩余的策略，所述追加策略是指所述第一设备在所述第一特定组的策略为将指定策略增加到所述策略集合中后的策略集合；所述第一设备属于所述第一虚拟组，所述策略集合为所述第一设备在所述第一虚拟组中对应所述第一策略类别的策略的集合。

可选的，在一些发明实施例中，由于虚拟组的策略以策略类别为单位进行继承，每个虚拟组对应至少一个策略。

所以，下面针对第二策略类别的策略的继承关系进行说明：

当所述第一虚拟组的策略与所述第二虚拟组的策略之间的继承关系为继承时，所述第二虚拟组的策略全部来自作为父虚拟组的所述第一虚拟组；

当所述第一虚拟组的策略与所述第二虚拟组的策略之间的继承关系为不继承时，所述第二虚拟组的策略全部来自配置给所述第二虚拟组的策略

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(英文全称：read-onlymemory，英文简称：rom)、随机存取存储器(英文全称：randomaccessmemory，英文简称：ram)、磁碟或者光盘等各种可以存储程序代码的介质。

以上对本申请所提供的技术方案进行了详细介绍，本申请中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。