可信IP列表的获取方法、系统和计算机设备与流程

本技术涉及ip访问控制领域，特别是涉及可信ip列表的获取方法、系统和计算机设备。

背景技术：

1、访问企业内部应用有多种方法，如何安全、稳定地访问企业内部应用成为员工在日常办公和公司保证内部信息安全需要解决的问题。

2、在现有专利cn117240539a公开了一种登录系统的方法，包括：接收第一终端发送的第一授权请求信息，所述第一授权请求信息指示第一系统请求授权用户的身份信息，所述第一系统包括：所述企业所集成的内部系统或第三方系统；根据所述第一授权请求信息，对所述第一系统进行鉴权；若鉴权通过，则向所述第一终端发送所述用户的第一标识和令牌，所述第一标识和所述令牌用于登录所述第一系统并获取所述身份信息。

3、现有技术仅在登录账户层面获取授权，通过企业的开放平台，可以在用户想登录企业所集成的内部系统或第三方系统时，将用户的身份信息进行授权。

4、内部登录界面可能无法被外部的安全扫描工具完全检测，这可能导致潜在的安全漏洞被忽视，攻击者可能会利用这些未被发现的漏洞来绕过安全机制，从而非法访问内部应用。将所有访问控制都集中在登录界面上，使得登录界面成为了一个单点故障点。如果登录界面出现故障或被攻击者成功攻击，那么整个内部应用的访问都将受到影响。

5、如果登录界面的安全策略不够强大(如使用弱密码策略、缺少多因素认证等)，那么攻击者可能会尝试使用暴力破解手段来猜测或破解用户的登录凭据。一旦成功，攻击者就能获得对内部应用的非法访问权限。

6、将接入企业内部应用的方式限制于登录层面，员工每次登陆企业内部应用时手动输入用户名、密码，不利于提高员工的办公效率。

7、但由于大量的企业基于成本和用户可访问性等多种原因无法使用专线而必须将应用发布到互联网，这样应用就将面临来自整个互联网的安全威胁。

技术实现思路

1、本技术实施例提供了一种可信ip列表的获取方法、系统和计算机设备，以至少解决相关技术中通过账户登录进入企业内部应用时存在安全隐患的问题。

2、第一方面，本技术实施例提供了一种可信ip列表的获取方法，包括：

3、白名单获取步骤，通过nginx服务器发布企业内部应用，并将企业内部应用的授权ip列表配置为nginx配置文件的白名单；

4、用户验证步骤，在一企业协同软件中配置所述企业内部应用接口，在所述企业协同软件中访问企业内部应用时，获取所述企业协同软件的身份标识至一白名单管理应用中进行验证，身份标识包括openid和令牌，所述白名单管理应用用于将所述身份标识发送至所述企业协同软件的服务器验证所述身份标识的合法性，提取验证通过的用户请求的ip地址并配置有效期；

5、ip列表维护步骤，将所述ip地址及其有效期更新至所述授权ip列表。

6、通过企业协同软件的服务器识别企业协同软件的身份标识，获得用户身份的合法性，具有合法性的人员才能被允许进入企业内部应用。通过维护白名单实现授权ip访问权限的粗粒度验证。从ip访问控制层面管理能够接入企业内部应用的ip，降低了应用在互联网的暴露面，使原本互联网上近43亿ip均可访问的应用降低到企业内部用户使用的几千个ip数量，应用在互联网上可直接访问的数量极大的降低，收缩暴露风险，保障了应用安全。

7、在其中一些实施例中，所述ip列表维护步骤还包括：

8、基于有效期，根据所述过期时间定时将已过期的ip地址在所述白名单中删除。

9、在白名单中定期清理已过期的ip地址，减少白名单中的无效数据。从而减轻白名单中ip列表的存储压力，通过管理白名单ip列表，提高ip访问的安全性。

10、在其中一些实施例中，所述白名单用于在用户访问企业内部应用时判断用户请求的ip地址是否在授权列表内若用户请求的ip地址在授权ip列表内，则可跳转至企业内部应用；否则进入所述用户验证步骤，在企业协同软件的服务器中验证。

11、用户访问企业内部应用时，先在授权ip列表中查找是否有用户当前ip。如果授权ip列表中已有用户当前ip，则会代理转发至企业内部应用地址，进而访问企业内部应用。先判断是否在授权ip列表中，可以减少验证的重复操作，优化用户体验和验证逻辑。如果授权ip列表中没有用户当前ip，则在企业协同软件的服务器中验证，验证失败会弹出错误提示页面，提醒用户验证失败。加入验证失败时跳转的提示页面，能够提示用户验证结果，便于用户查看。

12、在其中一些实施例中，所述用户验证步骤，进一步包括：

13、对比身份标识和企业协同软件的服务器的系统内部记录，验证用户身份；

14、企业协同软件的服务器反馈验证信息，验证信息包括用户是否具有合法性。

15、将企业协同软件的服务器反馈的验证信息作为依据，判断用户是否具有合法性。确保接入企业内部应用的用户是合法的，减少非法闯入的用户，进而提高企业内部应用的安全性。

16、在其中一些实施例中，初始的所述授权ip列表为空白列表。

17、初始的ip列表白名单为空白列表，便于根据实际情况和实际员工信息维护ip列表，提高ip列表维护的灵活性。

18、在其中一些实施例中，还包括：

19、在用户ip发生改变或超出有效期的情况下，发送验证提示，再次验证用户身份。

20、根据ip的改变和有效期，提示用户再次验证。避免非本企业的人员利用原ip进入企业内部应用，进而减少企业内部应用的暴露面，提高企业内部应用的安全性。

21、在其中一些实施例中，还包括：

22、所述企业内部应用的访问方式包括客户端、浏览器和三方应用。

23、通过多种方式进入企业内部应用，能够灵活接入企业内部应用，便于员工在多种情境下均可办公，提高员工的工作效率。

24、第二方面，本技术实施例提供了一种可信ip列表的获取系统，包括：

25、白名单获取模块，被配置为通过nginx服务器发布企业内部应用，并将企业内部应用的授权ip列表配置为nginx配置文件的白名单；

26、用户验证模块，被配置在一企业协同软件中配置所述企业内部应用接口，在所述企业协同软件中访问企业内部应用时，获取所述企业协同软件的身份标识至一白名单管理应用中进行验证，身份标识包括openid和令牌，所述白名单管理应用用于将所述身份标识发送至所述企业协同软件的服务器验证所述身份标识的合法性，提取验证通过的用户请求的ip地址并配置有效期；

27、ip列表维护模块，被配置为将所述ip地址及其有效期更新至所述授权ip列表。

28、在用户验证模块中，通过企业协同软件的服务器识别企业协同软件的身份标识，获得用户身份的合法性，具有合法性的人员才能被允许进入企业内部应用。ip列表维护模块维护白名单实现授权ip访问权限的粗粒度验证。从ip访问控制层面管理能够接入企业内部应用的ip，降低了应用在互联网的暴露面，使原本互联网上近43亿ip均可访问的应用降低到企业内部用户使用的几千个ip数量，应用在互联网上可直接访问的数量极大的降低，收缩暴露风险，保障了企业内部应用安全。

29、在其中一些实施例中，所述ip列表维护模块还包括：

30、删除单元，被配置为基于有效期，根据所述过期时间定时将已过期的ip地址在所述白名单中删除。

31、删除单元在白名单中定期清理已过期的ip地址，减少白名单中的无效数据。从而减轻白名单中ip列表的存储压力，通过管理白名单ip列表，提高ip访问的安全性。

32、通过已验证用户自助增加可访问应用白名单，在几乎不影响用户体验的前提下，降低了应用在互联网的暴露面，保障了应用安全。

33、第三方面，本技术实施例提供了一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的一种可信ip列表的获取方法。

34、相比于相关技术，本技术实施例提供的了一种可信ip列表的获取方法、系统和计算机设备，通过维护企业内部应用的授权ip列表，解决了通过账户登录进入企业内部应用时存在安全隐患的问题，实现了在ip访问控制层面管理能够接入企业内部应用的ip，使原本互联网上近43亿ip均可访问的应用降低到企业内部用户使用的几千个ip数量，应用在互联网上可直接访问的数量极大的降低，收缩暴露风险，保障了企业内部应用安全。

35、本技术的一个或多个实施例的细节在以下附图和描述中提出，以使本技术的其他特征、目的和优点更加简明易懂。