访问控制方法、设备及系统与流程

本技术涉及网络，特别涉及一种访问控制方法、设备及系统。

背景技术：

1、访问控制列表(access control lists，acl)是一种应用在路由器等网络设备上的指令列表，该指令列表也可以称为访问控制规则或接入控制规则。网络设备可以基于该指令列表对接收到的业务报文进行过滤，从而有效地控制用户设备对网络的访问，保障网络安全。

2、相关技术中，网络管理员可以为每个待管控的用户设备配置至少一个acl，并为每个acl分配标识。网络设备可以基于标识指示的acl对用户设备发送的业务报文进行访问控制。但是，上述访问控制方法的灵活性较低。

技术实现思路

1、本技术提供了一种访问控制方法、设备及系统，可以解决相关技术中的访问控制方法的灵活性较低的技术问题。

2、一方面，提供了一种访问控制方法，应用于第一网络设备，该方法包括：确定第二网络设备的目标用户标识，该目标用户标识指示第二网络设备在多级用户组中的层级位置，该多级用户组包括多个层级的用户组；基于该目标用户标识确定至少一个层级访问控制规则，该至少一个层级访问控制规则与多级用户组中的至少一个层级的用户组一一对应；基于该至少一个层级访问控制规则，对第二网络设备发送的业务报文进行访问控制。

3、由于第一网络设备基于一个目标用户标识即可确定出一个或多个层级访问控制规则，因此实现了对业务报文的灵活且高效的访问控制。

4、可选地，第一网络设备基于该目标用户标识确定至少一个层级访问控制规则的过程可以包括：基于该目标用户标识，确定至少一个层级的目标用户组，该至少一个层级的目标用户组包括第一层级用户组；基于该第一层级用户组，确定对应的第一层级访问控制规则，该至少一个层级访问控制规则包括该第一层级访问控制规则；相应的，基于该至少一个层级访问控制规则，对第二网络设备发送的业务报文进行访问控制的过程可以包括：基于该第一层级访问控制规则，对第二网络设备发送的业务报文进行第一访问控制。

5、其中，该至少一个层级的目标用户组可以是第二网络设备所属的某一层级的用户组，或者可以包括第二网络设备所属的各个层级的用户组。也即是，第一网络设备可以基于第二网络设备所属的部分或全部层级的用户组所对应的层级访问控制规则，对第二网络设备发送的业务报文进行第一访问控制。

6、可选地，该至少一个层级的目标用户组还可以包括第二层级用户组，该第二层级用户组为第一层级用户组的上级用户组；第一网络设备基于该目标用户标识确定至少一个层级访问控制规则的过程还可以包括：基于该第二层级用户组，确定对应的第二层级访问控制规则，该至少一个层级访问控制规则包括该第二层级访问控制规则；相应的，基于该至少一个层级访问控制规则，对第二网络设备发送的业务报文进行访问控制的过程还可以包括：基于该第二层级访问控制规则，对第二网络设备发送的业务报文进行第二访问控制；其中，该第二访问控制在第一访问控制之前或之后执行。

7、若第二访问控制在第一访问控制之前执行，则表明第一网络设备能够按照层级由高到低的顺序，依次基于各个层级的用户组对应的层级访问控制规则对第二网络设备发送的业务报文进行访问控制。若第二访问控制在第一访问控制之后执行，则表明第一网络设备能够按照层级由低到高的顺序，依次基于各个层级的用户组对应的层级访问控制规则对第二网络设备发送的业务报文进行访问控制。第一网络设备按照用户组的层级顺序，依次执行各个层级的用户组对应的层级访问控制规则，可以实现对第二网络设备发送的业务报文的有序控制。

8、可选地，基于该目标用户标识确定至少一个层级访问控制规则的过程可以包括：基于该目标用户标识，确定至少一个层级的目标用户组，该至少一个层级的目标用户组包括第一层级用户组和第二层级用户组，该第二层级用户组为第一层级用户组的上级用户组；基于该至少一个层级访问控制规则，对该第二网络设备发送的业务报文进行访问控制的过程可以包括：若未获取到第一层级用户组对应的层级访问控制规则，则基于第二层级用户组对应的层级访问控制规则，对该第二网络设备发送的业务报文进行访问控制。

9、本技术提供的方案中，第二网络设备所属的某一层级的用户组可能未配置对应的层级访问控制规则，此时第一网络设备可以基于上一层级的用户组对应的层级访问控制规则，对该第二网络设备发送的业务报文进行访问控制。由此，实现了对第二网络设备发送的业务报文的灵活控制，且有效确保了网络安全。

10、可选地，第一网络设备基于目标用户标识确定至少一个层级访问控制规则的过程可以包括：基于目标用户标识和目标掩码链确定标识链，该标识链包括至少一个子标识，该标识链指示第二网络设备在多级用户组中的层级位置，且该至少一个子标识与至少一个层级的用户组一一对应；基于该至少一个子标识，确定至少一个层级访问控制规则；其中，该目标掩码链包括与至少一个子标识一一对应的至少一个掩码，每个掩码用于指示对应的一个子标识的长度。

11、其中，该第一网络设备所获取到的目标用户标识可以是编码态的用户标识，该编码态的用户标识可以由多个x进制数组成，x可以为2、8或16等。由于目标掩码链能够指示目标用户标识中各个子标识的长度，因此第一网络设备可以基于该目标掩码链准确地识别目标用户标识所包括的各个子标识。

12、可选地，该标识链可以包括多个子标识；基于该至少一个子标识，确定至少一个层级访问控制规则的过程可以包括：确定多个子标识所组成的多个子标识链，其中每个子标识链包括一个子标识或多个连续的子标识，不同子标识链包括的子标识的个数不同，且每个子标识链指示一个层级的用户组；确定每个子标识链指示的一个层级的用户组所对应的一个层级访问控制规则。

13、由于目标用户标识包括多个子标识能够组成不同的子标识链，不同的子标识链能够指示不同层级的用户组，因此第一网络设备基于目标掩码链识别出目标用户标识包括的各个子标识后，即可确定出该第二网络设备所属的多个不同层级的用户组。

14、可选地，在基于目标用户标识确定至少一个层级访问控制规则之前，该方法还可以包括：接收认证服务器下发的该目标掩码链；或者，接收该认证服务器下发的该目标用户标识的层级标识，并基于该层级标识从基准掩码链中确定该目标掩码链；其中，该层级标识用于指示标识链所包括的子标识的个数，该基准掩码链包括多个掩码，且该基准掩码链包括的掩码的个数大于或等于该标识链包括的子标识的个数。

15、其中，认证服务器是用于对第二网络设备进行接入认证的服务器。该基准掩码链可以是第一网络设备中预先配置的，例如可以是由认证服务器或控制器预先下发至第一网络设备的。由于第一网络设备中预先配置有基准掩码链，因此认证服务器在下发目标用户标识时，无需再携带该目标用户标识的目标掩码链，而仅需携带该目标用户标识的层级标识即可。由此，有效减少了认证服务器和第一网络设备之间所需交互的数据的数据量。

16、可选地，第一网络设备确定第二网络设备的目标用户标识的过程可以包括：向认证服务器上报该第二网络设备的接入认证信息；接收该认证服务器下发的第二网络设备的目标用户标识，该目标用户标识是认证服务器在确定该接入认证信息认证通过后下发的。

17、认证服务器在确定第二网络设备的接入认证信息认证通过后，再下发该第二网络设备的目标用户标识，可以确保第二网络设备接入网络时的安全性和可靠性。

18、可选地，在接收该认证服务器下发的第二网络设备的目标用户标识之后，该方法还可以包括：记录报文标识与该目标用户标识的第一对应关系，该报文标识由第二网络设备发送的报文所携带；基于该第一对应关系，以及基于该目标用户标识确定出的至少一个层级访问控制规则，记录该报文标识与该至少一个层级访问控制规则的第二对应关系；相应的，基于该至少一个层级访问控制规则对第二网络设备发送的业务报文进行访问控制的过程可以包括：在接收到第二网络设备发送的业务报文后，从该第二对应关系中确定该业务报文的报文标识所对应的至少一个层级访问控制规则；基于该至少一个层级访问控制规则，对第二网络设备发送的业务报文进行访问控制。

19、由于第一网络设备可以记录第二对应关系，因此后续再接收到第二网络设备发送的业务报文时，即可直接基于业务报文的报文标识，从该第二对应关系中获取对应的至少一个层级访问控制规则，并基于获取到的至少一个层级访问控制规则对业务报文进行访问控制。由此，有效提高了对业务报文进行访问控制的效率。

20、可选地，第一网络设备确定第二网络设备的目标用户标识的过程可以包括：接收认证服务器下发的报文标识与目标用户标识的第一对应关系；在接收到第二网络设备发送的业务报文后，基于该业务报文的报文标识，从该第一对应关系中确定第二网络设备的目标用户标识。

21、其中，该第一网络设备可以是访问控制系统中的汇聚层设备或核心层设备。访问控制系统中的接入层设备可以向认证服务器上报携带有第二网络设备的接入认证信息的认证报文，认证服务器在确定第二网络设备的接入认证信息认证通过后，可以向第一网络设备下发该认证报文的报文标识与目标用户标识的第一对应关系。

22、可选地，基于该目标用户标识确定至少一个层级访问控制规则的过程可以包括：基于用户标识与层级访问控制规则的第三对应关系，确定该目标用户标识对应的至少一个层级访问控制规则。

23、第一网络设备中可以预先存储有用户标识与层级访问控制规则的第三对应关系，第一网络设备可以基于该第三对应关系，快速地确定出目标用户标识所对应的至少一个层级访问控制规则。

24、可选地，在基于该目标用户标识确定至少一个层级访问控制规则之前，该方法还可以包括：接收第三网络设备下发的该用户标识与层级访问控制规则的第三对应关系。其中，该第三网络设备可以是认证服务器或控制器。

25、可选地，该目标用户标识包括：一级子标识和二级子标识；其中，该一级子标识用于指示至少一个层级的用户组中的一级用户组，该一级子标识和二级子标识的组合用于指示该至少一个层级的用户组中的二级用户组，且该一级用户组为二级用户组的上一层级的用户组。

26、由于目标用户标识中包括的两个子标识可以指示两个不同层级的用户组，因此第一网络设备基于该一个目标用户标识，即可确定出两个不同层级的用户组的层级访问控制规则。

27、可选地，该目标用户标识还包括：三级子标识；该一级子标识、二级子标识和三级子标识的组合用于指示该至少一个层级的用户组中的三级用户组，且该二级用户组为三级用户组的上一层级的用户组。

28、可以理解的是，该目标用户标识还可以包括更多级别的子标识，例如四级子标识和五级子标识等。

29、可选地，该第一网络设备可以属于一级用户组，该第二网络设备可以属于二级用户组；相应的，第一网络设备基于该至少一个层级访问控制规则，对第二网络设备发送的业务报文进行访问控制的过程可以包括：基于该一级用户组对应的层级访问控制规则，对该第二网络设备发送的业务报文进行访问控制。

30、本技术提供的方案中，访问控制系统可以包括多个不同层级的第一网络设备，每个层级的第一网络设备可以基于多级用户组中部分层级范围的层级访问控制规则对第二网络设备发送的业务报文进行访问控制。例如，第一网络设备可以基于其所属层级的用户组的层级访问控制规则对业务报文进行访问控制。由此，实现了对第二网络设备的分级或分区管控，可以满足各类差异化的安全管控要求，有效提高了管控的灵活性。

31、另一方面，提供了一种访问控制方法，应用于认证服务器，该方法包括：确定第二网络设备的目标用户标识，该目标用户标识指示第二网络设备在多级用户组中的层级位置，该多级用户组包括多个层级的用户组；将该目标用户标识和/或至少一个层级访问控制规则下发至第一网络设备；其中，该目标用户标识用于供第一网络设备确定该至少一个层级访问控制规则，并基于该至少一个层级访问控制规则对第二网络设备发送的业务报文进行访问控制。

32、可选地，认证服务器确定第二网络设备的目标用户标识的过程可以包括：接收该第一网络设备发送的第二网络设备的接入认证信息；若确定该第二网络设备的接入认证信息认证通过，则基于该接入认证信息确定第二网络设备的目标用户标识。

33、可选地，将目标用户标识下发至第一网络设备的过程可以包括：若确定第二网络设备的认证报文中的接入认证信息认证通过，则将该认证报文的报文标识与该目标用户标识的对应关系下发至第一网络设备。

34、可选地，在将该目标用户标识下发至第一网络设备之前，该方法还可以包括：向第一网络设备下发用户标识与层级访问控制规则的对应关系，该对应关系用于供第一网络设备基于该目标用户标识确定该至少一个层级访问控制规则。

35、可选地，在将该至少一个层级访问控制规则下发至第一网络设备之前，该方法还可以包括：基于该目标用户标识确定该至少一个层级访问控制规则。

36、又一方面，提供了一种第一网络设备，该第一网络设备包括至少一个模块，该至少一个模块可以用于实现上述方面所提供的应用于第一网络设备的访问控制方法。

37、再一方面，提供了一种认证服务器，该认证服务器包括至少一个模块，该至少一个模块可以用于实现上述方面所提供的应用于认证服务器的访问控制方法。

38、再一方面，提供了一种第一网络设备，该第一网络设备包括：存储器，处理器及存储在该存储器上并可在该处理器上运行的计算机程序，该处理器执行该计算机程序时实现如上述方面所提供的应用于第一网络设备的访问控制方法。

39、再一方面，提供了一种认证服务器，该认证服务器包括：存储器，处理器及存储在该存储器上并可在该处理器上运行的计算机程序，该处理器执行该计算机程序时实现如上述方面所提供的应用于认证服务器的访问控制方法。

40、再一方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当该指令在计算机上运行时，使得计算机执行如上述任一方面所提供的访问控制方法。

41、再一方面，提供了一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行如上述任一方面所提供的访问控制方法。

42、再一方面，提供了一种访问控制系统，该系统可以包括如上述方面提供的第一网络设备以及至少一个第二网络设备。

43、可选地，该系统还可以包括如上述方面提供的认证服务器。

44、综上所述，本技术提供了一种访问控制方法、设备及系统。本技术提供的方案中，由于第二网络设备的目标用户标识能够指示该第二网络设备在多级用户组中的层级位置，因此第一网络设备能够基于该第二网络设备的目标用户标识，确定出与至少一个层级的用户组一一对应的至少一个层级访问控制规则。由此，第一网络设备即可基于确定出的至少一个层级访问控制规则，对第二网络设备发送的业务报文进行精确地访问控制。在该访问控制的过程中，由于第一网络设备基于一个目标用户标识即可确定出一个或多个层级访问控制规则，因此实现了对业务报文的灵活且高效的访问控制。