一种内网数据访问管理方法和系统与流程

本发明涉及网络技术领域，并且更具体地，涉及一种内网数据访问管理方法和系统。

背景技术

内网通常指没有接入到互联网的局域网，如学校的校园网、企业的内部企业网等，而外网通常是与内网相对的概念，如对于学校A而言，学校A的内部局域网可以称为内网，学校之外的网络可以称之为外网。

通常，在内网的用户可以直接访问内网的资源，如学生使用学校的局域网可以直接访问学校的教务系统、下载图书馆的文献等，企业内部用户直接访问企业的共享资源等。为了防止内网资源被滥用，以及信息安全方面的考虑，外网用户通常不能直接访问内网。

为了满足内网外的用户能够访问内网的资料，如企业员工出差时访问企业的0A系统、学生放假在家时查询图书馆的资源等，通常使用VPN、正向代理、反向代理等手段，但这些手段通常有复杂的验证系统，如证书验证、用户名密码验证等，并且通常还需要使用浏览器、安装连接客户端等辅助工具。

当用户身在内网物理区域，但使用公用网络时，存在内网访问麻烦的问题。比如，当用户手机在教室内连接学校的网络时，此时手机是直接接入了学校的内网的，可以看成是内网用户，可以直接访问内网资源。当用户走出教室，走到操场等位置，走出了WIFI的连接范围，此时WIFI断开，手机切换到使用移动网络，此时手机使用的是公网，用户就变成了外网用户，此时是无法直接访问内网的。例如，当用户在寝室内通过校园WIFI访问教务处网站，用户拿着手机走到无WIFI的位置时，手机自动切换为移动网络，此时将无法继续访问教务处网站。如果想继续访问内网则需要使用前文所述的VPN、代理等手段；为了安全通常还需要重新验证用户名密码等，此时用户依然在学校的物理范围内，但不在学校的网络范围内，存在访问内网麻烦的问题。

技术实现要素：

为了解决用户在内网物理范围内，但不在内网网络内时访问内网麻烦的问题，本申请一种内网数据访问管理的方法。

根据本发明的一个方面，提供一种接入内网的方法，所述方法包括：服务器接收外网用户的访问请求；所述访问请求中包含用户的位置信息以及用户IP信息；服务器验证所述访问请求中包含的用户的位置信息以及用户IP信息，当所述位置信息在第一位置范围，并且所述IP信息在第一IP范围内时，直接将所述用户视为内网用户；其中，所述第一位置范围由内网组织物理范围确定。其中，所述第一IP范围确定方法包括：收集用户合法登录内网时的位置信息及IP信息；当所述位置信息在所述第一位置范围内时，确定所述位置信息与所述IP信息为一条有效数据对；当所述有效数据对数据超过第一阈值时，数量为前第二阈值个的IP为所述第一IP范围。

进一步地，当所述内网组织包括多个分区时，所述物理范围为所述多个分区物理范围的并集。

进一步地，第一IP范围确定方法包括：持续收集用户合法登录内网时的位置信息及IP信息，并且周期性地计算超过第一阈值的有效数据对，以及数量为前第二阈值个的IP以更新所述第一IP范围。

进一步地，所述服务器还验证所述用户的终端的终端标识，当所述位置信息在第一位置范围，并且所述IP信息在第一IP范围内时，并且所述终端标识通过验证后，直接将所述用户视为内网用户。

进一步地，所述服务器还验证所述用户的终端的终端标识包括：用户在外网合法登录内网后服务器记录所述用户的终端的终端标识，形成合法终端标识池；在用户访问服务器时，验证所述用户的终端的终端标识，当所述终端标识在所述合法终端标识池时通过验证。

根据本发明的一个方面，提供一种接入内网的系统，所述方法包括：

访问请求接收模块，用于服务器接收外网用户的访问请求；所述访问请求中包含用户的位置信息以及用户IP信息；验证模块，用于服务器验证所述访问请求中包含的用户的位置信息以及用户IP信息，当所述位置信息在第一位置范围，并且所述IP信息在第一IP范围内时，直接将所述用户视为内网用户；其中，所述第一位置范围由内网组织物理范围确定。确定模块，用于收集用户合法登录内网时的位置信息及IP信息；当所述位置信息在所述第一位置范围内时，确定所述位置信息与所述IP信息为一条有效数据对；当所述有效数据对数据超过第一阈值时，数量为前第二阈值个的IP为所述第一IP范围。

进一步地，当所述内网组织包括多个分区时，所述物理范围为所述多个分区物理范围的并集。

进一步地，所述确定模块持续收集用户合法登录内网时的位置信息及IP信息，并且周期性地计算超过第一阈值的有效数据对，以及数量为前第二阈值个的IP以更新所述第一IP范围。

进一步地，所述验证模块还验证所述用户的终端的终端标识，当所述位置信息在第一位置范围，并且所述IP信息在第一IP范围内时，并且所述终端标识通过验证后，直接将所述用户视为内网用户。

进一步地，所述验证模块还用于处理：用户在外网合法登录内网后服务器记录所述用户的终端的终端标识，形成合法终端标识池；在用户访问服务器时，验证所述用户的终端的终端标识，当所述终端标识在所述合法终端标识池时通过验证。

本发明提供的技术方案中，通过收集本发明提供的技术方案中，确定了内网IP的范围，从而减少物理范围在内网区域内的用户的验证步骤，实现这些用户的快速接入内网。

附图说明

图1为本发明的网络示意图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

如图1所示，为本申请的网络图，其中101为内网示意图，用户102在内网的物理范围内，通过基站103连接至内服务器104，欲访问内网服务器105上的内容。

服务器接收外网用户的访问请求。

这里的服务器是可以接收外网用户访问请求的服务器，通常在内网的边缘，其同时连接外网和内网，如图1所示，服务器104。当外网用户请求一个该服务器的网络资源时，通过域名服务器将请求指向该服务器。

如用户访问http：//www.xxxx.edu.cn/oa/stu.html时，域名服务器将xxxx.edu.cn指向该服务器，如果服务器发现请求的资源是外网用户可以直接访问的资源时，则直接将链接转到相应的资源，如果发现用户请求访问的资源是属于内网资源时则需要进一步的验证。

本领域中，进一步验证的方法通常是背景技术中所述的VPN、代理等方法，当用户无法直接访问内网资源时，服务器通常给用户返回相应访问方法的使用说明等，如果是合法用户，则用户可以通过使用说明进行操作，合法登录连接至内网。

进一步地，所述访问请求中包含用户的位置信息以及用户IP信息。

这里的访问请求可以是用户通过特定的移动终端APP、PC客户端、浏览器等发出的，本申请不做特别的限定。

用户的位置信息是指当前用户访问内网资源所使用的设备的位置的信息，比如使用手机访问时手机的当前位置等；该位置信息可以通过GPS、运营商等现有技术获取，本申请不做特别限定。

用户的IP信息是指用户在访问内网资源时所带的源IP，源IP信息通常默认包含在TCP访问的请求包中，这里通常不需要特别地附加该IP信息，而是直接包含在用户的请求信息中的。基于网络原理，这里的源IP通常是一个公网IP，一般是运营商所提供的IP。

例如，用户A通过手机的移动网络访问服务器时，手机会连接至附近的基站，基站或者基站所在的网络通常有公网IP，此公网IP通常就是服务器能够看到的源IP信息。

进一步地，服务器验证所述访问请求中包含的用户的位置信息以及用户IP信息，当所述位置信息在第一位置范围，并且所述IP信息在第一IP范围内时，直接将所述用户视为内网用户。

其中，所述第一位置范围由内网组织物理范围确定。

这里的内网组织是指拥有该内网的组织，利用A学校的校园网，则该A学校为该内肉组织，B企业的企业网，则B企业为该内网组织。

内网的物理范围可以是内网组织的物理范围或者管理员指定的范围，以学校为例，学校的网络范围为学校局域网的范围，学校的物理范围可以是学校的校园内部，比如学校的围墙内部的范围。当然，也可以由管理员指定范围，比如学校周围多少米以内，或者学校的主要区域，如操场等范围。

进一步地，当所述内网组织包括多个分区时，所述物理范围为所述多个分区物理范围的并集。例如，某学校有校区A、校区B、校区C，老师或学校可能会在多个校区之间穿梭活动，为了方便用户接入，所述的物理范围为A、B、C三个校园区域的范围。

所述第一IP范围通过用户合法登录的历史信息确定。

合法登录是指用户通过合法的途径从外网登录过学校的内网，如通过背景技术中的VPN、代理等技术接入，在登录时通常会验证用户的用户名、密码、证书等信息，当所有需要验证的信息都无误时用户就算合法地登录至内网。用户合法登录的历史信息，则是用户在登录成功后服务器记录的相关信息，在本发明中相关的历史信息至少包括位置信息和IP信息，另外，还可以包括终端标识等。

为了收集用户合法登录内网时的位置信息及IP信息；当所述位置信息在所述第一位置范围内时，确定所述位置信息与所述IP信息为一条有效数据对；当所述有效数据对数据超过第一阈值时，数量为前第二阈值个的IP为所述第一IP范围。

示例性地，用户的源IP是由运营确定的，因此服务器并不知道哪些IP是通过内网区域的基站发出来的，并且不知道IP的具体范围。例如，学校周围有若干基站对学校内的用户提供服务，学生的手机连接到不同的基站后在服务器端反映出来的源IP会不同，并且由于运营商的政策影响，源IP可能会经常变动，学校的服务器不太可能知道源IP的具体范围。

为了确定哪些源IP是由学校周围的基站发出的，需要先收集用户合法登录内网时的位置信息及IP信息。在初始时，由于没有历史数据的记录，当用户在学校内通过移动网络访问内网时会弹出验证窗口，用户验证通过后可以进行正常的内网访问，此时服务器收集用户的位置信息和源IP信息。当用户验证通过时说明这是一个正常的合法的用户，并且其位置信息在校园内，则其IP信息是周围的基站的公网IP，此时可以将该位置信息——IP信息对视为一条有效数据对。当收集到足够多的有效数据时，就得到一个IP信息池，选择其中数量最多的若干个IP为所述第一IP范围。例如，当收集到一万条数据时，a.b.c.d的IP有4000条，a.b.c.e的IP有3000条，其它IP若干条，则将a.b.c.d和a.b.c.e作为所述第一IP范围。

由于基站的IP可能经常变更，在一种更优的策略中，持续收集用户合法登录内网时的位置信息及IP信息，并且周期性地计算超过第一阈值的有效数据对，以及数量为前第二阈值个的IP以更新所述第一IP范围。

其中将所述用户视为内网用户，是指不再对用户进行其它的验证，将该用户等同接入局域网对待，用户可以通过服务器的转发直接访问内网资源，做到无感切换。例如，当用户在寝室内通过校园WIFI访问教务处网站，用户拿着手机走到无WIFI的位置时，手机自动切换为移动网络，用户依然可以不需要额外验证访问教务处，用户完全感觉不到有什么变化，实现快速的内网访问。

在上述实施方式的基础上，为了进一步加强安全性，所述服务器还验证所述用户的终端的终端标识，当所述位置信息在第一位置范围，并且所述IP信息在第一IP范围内时，并且所述终端标识通过验证后，直接将所述用户视为内网用户。

所述终端标识可以是终端的MAC地址、SN号等本领域中常用的标识信息，本申请不做特殊的限定，只要是能够标识出终端即可。

具体地，用户在外网合法登录内网后服务器记录所述用户的终端的终端标识，形成合法终端标识池；在用户访问服务器时，验证所述用户的终端的终端标识，当所述终端标识在所述合法终端标识池时通过验证。

另一方面，本申请还公开了一种内网数据访问管理系统，该应该应用于服务器104，所述系统包括如下模块：

访问请求接收模块，用于服务器接收外网用户的访问请求；

这里的服务器是可以接收外网用户访问请求的服务器，通常在内网的边缘，其同时连接外网和内网，如图1所示，服务器104。当外网用户请求一个该服务器的网络资源时，通过域名服务器将请求指向该服务器。

如用户访问http：//www.xxxx.edu.cn/oa/stu.html时，域名服务器将xxxx.edu.cn指向该服务器，如果服务器发现请求的资源是外网用户可以直接访问的资源时，则直接将链接转到相应的资源，如果发现用户请求访问的资源是属于内网资源时则需要进一步的验证。

本领域中，进一步验证的方法通常是背景技术中所述的VPN、代理等方法，当用户无法直接访问内网资源时，服务器通常给用户返回相应访问方法的使用说明等，如果是合法用户，则用户可以通过使用说明进行操作，合法登录连接至内网。

进一步地，所述访问请求中包含用户的位置信息以及用户IP信息。

这里的访问请求可以是用户通过特定的移动终端APP、PC客户端、浏览器等发出的，本申请不做特别的限定。

用户的位置信息是指当前用户访问内网资源所使用的设备的位置的信息，比如使用手机访问时手机的当前位置等；该位置信息可以通过GPS、运营商等现有技术获取，本申请不做特别限定。

用户的IP信息是指用户在访问内网资源时所带的源IP，源IP信息通常默认包含在TCP访问的请求包中，这里通常不需要特别地附加该IP信息，而是直接包含在用户的请求信息中的。基于网络原理，这里的源IP通常是一个公网IP，一般是运营商所提供的IP。

例如，用户A通过手机的移动网络访问服务器时，手机会连接至附近的基站，基站或者基站所在的网络通常有公网IP，此公网IP通常就是服务器能够看到的源IP信息。

进一步地，还包括验证模块，用于服务器验证所述访问请求中包含的用户的位置信息以及用户IP信息，当所述位置信息在第一位置范围，并且所述IP信息在第一IP范围内时，直接将所述用户视为内网用户；

其中，所述第一位置范围由内网组织物理范围确定。

这里的内网组织是指拥有该内网的组织，利用A学校的校园网，则该A学校为该内肉组织，B企业的企业网，则B企业为该内网组织。

内网的物理范围可以是内网组织的物理范围或者管理员指定的范围，以学校为例，学校的网络范围为学校局域网的范围，学校的物理范围可以是学校的校园内部，比如学校的围墙内部的范围。当然，也可以由管理员指定范围，比如学校周围多少米以内，或者学校的主要区域，如操场等范围。

进一步地，当所述内网组织包括多个分区时，所述物理范围为所述多个分区物理范围的并集。例如，某学校有校区A、校区B、校区C，老师或学校可能会在多个校区之间穿梭活动，为了方便用户接入，所述的物理范围为A、B、C三个校园区域的范围。

所述第一IP范围通过用户合法登录的历史信息确定。

合法登录是指用户通过合法的途径从外网登录过学校的内网，如通过背景技术中的VPN、代理等技术接入，在登录时通常会验证用户的用户名、密码、证书等信息，当所有需要验证的信息都无误时用户就算合法地登录至内网。用户合法登录的历史信息，则是用户在登录成功后服务器记录的相关信息，在本发明中相关的历史信息至少包括位置信息和IP信息，另外，还可以包括终端标识等。

还包括确定模块，用于收集用户合法登录内网时的位置信息及IP信息；当所述位置信息在所述第一位置范围内时，确定所述位置信息与所述IP信息为一条有效数据对；当所述有效数据对数据超过第一阈值时，数量为前第二阈值个的IP为所述第一IP范围。

示例性地，用户的源IP是由运营确定的，因此服务器并不知道哪些IP是通过内网区域的基站发出来的，并且不知道IP的具体范围。例如，学校周围有若干基站对学校内的用户提供服务，学生的手机连接到不同的基站后在服务器端反映出来的源IP会不同，并且由于运营商的政策影响，源IP可能会经常变动，学校的服务器不太可能知道源IP的具体范围。

为了确定哪些源IP是由学校周围的基站发出的，需要先收集用户合法登录内网时的位置信息及IP信息。在初始时，由于没有历史数据的记录，当用户在学校内通过移动网络访问内网时会弹出验证窗口，用户验证通过后可以进行正常的内网访问，此时服务器收集用户的位置信息和源IP信息。当用户验证通过时说明这是一个正常的合法的用户，并且其位置信息在校园内，则其IP信息是周围的基站的公网IP，此时可以将该位置信息——IP信息对视为一条有效数据对。当收集到足够多的有效数据时，就得到一个IP信息池，选择其中数量最多的若干个IP为所述第一IP范围。例如，当收集到一万条数据时，a.b.c.d的IP有4000条，a.b.c.e的IP有3000条，其它IP若干条，则将a.b.c.d和a.b.c.e作为所述第一IP范围。

由于基站的IP可能经常变更，在一种更优的策略中，所述确定模块持续收集用户合法登录内网时的位置信息及IP信息，并且周期性地计算超过第一阈值的有效数据对，以及数量为前第二阈值个的IP以更新所述第一IP范围。

其中将所述用户视为内网用户，是指不再对用户进行其它的验证，将该用户等同接入局域网对待，用户可以通过服务器的转发直接访问内网资源，做到无感切换。例如，当用户在寝室内通过校园WIFI访问教务处网站，用户拿着手机走到无WIFI的位置时，手机自动切换为移动网络，用户依然可以不需要额外验证访问教务处，用户完全感觉不到有什么变化，实现快速的内网访问。

在上述实施方式的基础上，为了进一步加强安全性，所述验证模块还验证还验证所述用户的终端的终端标识，当所述位置信息在第一位置范围，并且所述IP信息在第一IP范围内时，并且所述终端标识通过验证后，直接将所述用户视为内网用户。

所述终端标识可以是终端的MAC地址、SN号等本领域中常用的标识信息，本申请不做特殊的限定，只要是能够标识出终端即可。

具体地，所述验证模块还用于处理：用户在外网合法登录内网后服务器记录所述用户的终端的终端标识，形成合法终端标识池；在用户访问服务器时，验证所述用户的终端的终端标识，当所述终端标识在所述合法终端标识池时通过验证。

在上述方案上，由于源IP为运营商占用的IP，伪造的难度较大，同时还使用了位置信息，同时伪造位置信息和IP信息的难道也较大，因此该方法的安全性是有保证的。

在本申请中，术语“多个”则指两个或两个以上，除非另有明确的限定。术语“安装”、“相连”、“连接”、“固定”等术语均应做广义理解，例如，“连接”可以是固定连接，也可以是可拆卸连接，或一体地连接；“相连”可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本申请中的具体含义。

在本说明书的描述中，术语“一个实施例”、“一些实施例”、“具体实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或实例。而且，描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。