一种服务器黑白名单保护方法、装置、终端及存储介质与流程

1.本发明涉及服务器黑白名单领域，具体涉及一种服务器黑白名单保护方法、装置、终端及存储介质。


背景技术：

2.在服务器系统中，凡是涉及到控制方面几乎都应用了黑白名单规则。黑名单启用后，被列入到黑名单的用户、ip地址、ip包、邮件或病毒等不能通过。如果设立了白名单，则在白名单中的用户、ip地址、ip包或邮件等会优先通过，如不会被当成垃圾邮件拒收，安全性和快捷性都大大提高。
3.然而如今的服务器黑白名单，仅仅是对用户权限进行了限制，而没有其他的保护措施。一旦被黑客攻击，则会对服务器系统造成重大损失。


技术实现要素：

4.为解决上述问题，本发明提供一种服务器黑白名单保护方法、装置、终端及存储介质，对黑白名单的存储区域加密，通过密码验证阻止非法操作。
5.第一方面，本发明的技术方案提供一种服务器黑白名单保护方法，包括以下步骤：将黑白名单单独放置在硬盘中一特定区域内，记为黑白名单存放区域；为该黑白名单存放区域设置安全密码，并将该安全密码保存；当超级管理员请求修改黑白名单时，在请求中附带修改密码；判断请求中附带的修改密码是否与已保存的安全密码一致，若一致，则接受修改黑白名单修改请求，允许进行黑白名单修改；若不一致，则不接受修改黑白名单修改请求，不允许进行黑白名单修改。
6.进一步地，将该安全密码保存，具体为：使用服务器的安全加密模块中存储的加密密钥对该安全密码进行加密生成安全密文；将生成的安全密文存储到平台配置寄存器中。
7.进一步地，判断请求中附带的修改密码是否与已保存的安全密码一致，具体包括：使用服务器的安全加密模块中存储的加密密钥对修改密码进行加密生成修改密文；判断该修改密文与已存储的安全密文是否一致。
8.进一步地，该方法还包括以下步骤：记录修改密码与安全密码比对结果为不一致的次数；若连续n次比对修改密码与安全密码不一致，则预设时间内不允许再发出修改黑白名单请求；其中n≥2。
9.第二方面，本发明的技术方案提供一种服务器黑白名单保护装置，包括，黑白名单存储单元：将黑白名单单独放置在硬盘中一特定区域内，记为黑白名单
存放区域；密码设置保存单元：为该黑白名单存放区域设置安全密码，并将该安全密码保存；黑白名单修改请求单元：供超级管理员发出黑白名单修改请求，当超级管理员请求修改黑白名单时，在请求中附带修改密码；密码判断单元：判断请求中附带的修改密码是否与已保存的安全密码一致，若一致，则接受修改黑白名单修改请求，允许进行黑白名单修改；若不一致，则不接受修改黑白名单修改请求，不允许进行黑白名单修改。
10.进一步地，密码设置保存单元将该安全密码保存，具体为：使用服务器的安全加密模块中存储的加密密钥对该安全密码进行加密生成安全密文；将生成的安全密文存储到平台配置寄存器中。
11.进一步地，密码判断单元判断请求中附带的修改密码是否与已保存的安全密码一致，具体包括：使用服务器的安全加密模块中存储的加密密钥对修改密码进行加密生成修改密文；判断该修改密文与已存储的安全密文是否一致。
12.进一步地，该装置还包括，比对错误结果记录单元：记录修改密码与安全密码比对结果为不一致的次数；请求锁定单元：若连续n次比对修改密码与安全密码不一致，则预设时间内不允许再发出修改黑白名单请求；其中n≥2。
13.第三方面，本发明的技术方案提供一种终端，包括：处理器；用于存储处理器的执行指令的存储器；其中，所述处理器被配置为执行上述任一项所述的方法。
14.第四方面，本发明的技术方案提供一种存储有计算机程序的计算机可读存储介质，该程序被处理器执行时实现如上述任一项所述的方法。
15.本发明提供的一种服务器黑白名单保护方法、装置、终端及存储介质，相对于现有技术，具有以下有益效果：将黑白名单单独放置在硬盘中的某区域，对该区域加密，在修改黑白名单时需要附带修改密码，系统通过判断附带的修改密码是否与存放黑白名单区域的密码一致，在一致的情况下才可允许进行黑白名单修改。本发明通过加密存放黑白名单的区域，增加密码验证阻止异常操作，避免非法修改黑白名单，有效保障服务器黑白名单的安全。
附图说明
16.为了更清楚的说明本技术实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
17.图1是本发明实施例一所提供一种服务器黑白名单保护方法流程示意图；
图2是本发明实施例二所提供一种服务器黑白名单保护方法流程示意图；图3是本发明实施例三所提供一种服务器黑白名单保护装置结构示意图；图4为本发明实施例提供的一种终端的结构示意图。
具体实施方式
18.以下对本发明涉及的英文术语进行解释。
19.tcm：trusted cryptography module，安全加密模块；pcr：platform configuration register，平台配置寄存器。
20.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
21.实施例一在服务器系统中，凡是涉及到控制方面几乎都应用了黑白名单规则。黑名单启用后，被列入到黑名单的用户、ip地址、ip包、邮件或病毒等不能通过。如果设立了白名单，则在白名单中的用户、ip地址、ip包或邮件等会优先通过，如不会被当成垃圾邮件拒收，安全性和快捷性都大大提高。然而如今的服务器黑白名单，仅仅是对用户权限进行了限制，而没有其他的保护措施。一旦被黑客攻击，则会对服务器系统造成重大损失。
22.因此，本实施例提供一种服务器黑白名单保护方法，将黑白名单单独存放在一区域，对该区域加密，需要修改黑白名单时，需填写正确的密码，否则判定为异常操作，拒绝修改，通过密码验证的方式提高黑白名单的安全性。
23.如图1所示，本实施例提供的一种服务器黑白名单保护方法，包括以下步骤：s1，将黑白名单单独放置在硬盘中一特定区域内，记为黑白名单存放区域；s2，为该黑白名单存放区域设置安全密码，并将该安全密码保存；s3，当超级管理员请求修改黑白名单时，在请求中附带修改密码；s4，判断请求中附带的修改密码是否与已保存的安全密码一致，若一致，则接受修改黑白名单修改请求，允许进行黑白名单修改；若不一致，则不接受修改黑白名单修改请求，不允许进行黑白名单修改。
24.本实施例的服务器黑白名单保护方法将黑白名单单独放置在硬盘中的某区域，对该区域加密，在修改黑白名单时需要附带修改密码，系统通过判断附带的修改密码是否与存放黑白名单区域的密码一致，在一致的情况下才可允许进行黑白名单修改。本发明通过加密存放黑白名单的区域，增加密码验证阻止异常操作，避免非法修改黑白名单，有效保障服务器黑白名单的安全。
25.实施例二本实施例提供一种服务器黑白名单保护方法，为提高黑白名单存放区域安全密码的有效性，提高安全保护力度，在将安全密码保存时对安全密码进行加密生成密文，之后对于修改黑白名单请求中附带的修改密码同样进行加密生成密文，比对两个密文是否一致以判断是否接受修改黑白名单请求。同时，对于多次比对失败的情况，即时锁定系统，进一步提高系统安全性。
26.如图2所示，本实施例提供的一种服务器黑白名单保护方法，包括以下步骤。
27.s101，将黑白名单单独放置在硬盘中一特定区域内，记为黑白名单存放区域。
28.硬盘中的该特定区域可根据需要自行设定，为黑白名单划出一定区域即可。
29.s102，为该黑白名单存放区域设置安全密码。
30.所设置的安全密码只有超级管理员知晓，避免泄漏造成破坏。
31.s103，使用服务器的安全加密模块中存储的加密密钥对该安全密码进行加密生成安全密文。
32.本实施例对安全密码进行加密，之后保存生成的密文，代替直接保存安全密码，可提高安全密码的安全性，避免被恶意获取。
33.s104，将生成的安全密文存储到平台配置寄存器中。
34.将安全密文进行保存，以便后续进行比对。
35.s105，当超级管理员请求修改黑白名单时，在请求中附带修改密码。
36.超级管理员发出修改黑白名单请求时，需在请求中附带修改密码，以对该请求进行安全性验证。正常情况下，修改密码应与步骤s102所设置的安全密码一致，才允许进行黑白名单修改。异常情况下，如操作人员不是超级管理员，不知晓安全密码，则会输入错误的密码，此时修改密码与安全密码不一致，禁止黑白名单修改，从而避免非法入侵。
37.需要说明的是，对黑白名单的修改包括添加和删除等。
38.s106，使用服务器的安全加密模块中存储的加密密钥对修改密码进行加密生成修改密文。
39.本实施例是将安全密码加密后生成密文进行保存，同样的，在安全性验证时，本实施例用同样的方法和规则对修改密码进行加密生成修改密文，后续进行密文之间的比对判定。
40.s107，判断该修改密文与已存储的安全密文是否一致，若一致，则接受修改黑白名单修改请求，允许进行黑白名单修改；若不一致，则不接受修改黑白名单修改请求，不允许进行黑白名单修改。
41.两个密文一致，则说明输入的修改密码与安全密码相同，是知晓安全密码的工作人员进行的操作，此时可运行黑白名单的修改。两个密文不一致，则说明输入的修改密码与安全密码不同，进行操作的工作人员不知晓安全密码，为非法入侵，此时禁止运行黑白名单修改。
42.s108，记录修改密码与安全密码比对结果为不一致的次数。
43.s109，若连续n次比对修改密码与安全密码不一致，则预设时间内不允许再发出修改黑白名单请求；其中n≥2。
44.若修改密码与安全密码不一致，则记录比对失败的次数，在比对识别次数超过上限时，锁定系统。
45.为进一步对本发明进行解释，以下提供一具体实施例，该具体实施例的核心是：在包含tcm芯片的可信服务器中，黑白名单被单独存放在硬盘中的一块区域，当超级管理员首次登录该系统时，系统会提示超级管理员，对这个区域设置一个访问密码，然后系统使用加密密钥对该密码加密，并将加密后的密文和加密密钥一同放进tcm芯片的pcr中保存。仅超级管理员知晓该密码。当超级管理员需要修改黑白名单时，必须在请求中同时附上该密码。
系统收到该请求后，先使用tcm芯片中的加密密钥对该密码进行加密，将加密后的密文和tcm芯片中存储的密文进行比对，如若一致则继续修改黑白名单，否则强制退出。
46.该具体实施例包括以下步骤：步骤一，在包含tcm芯片的可信服务器中，将硬盘中的某一块地方单独用来存放黑白名单；步骤二，当超级管理员首次登录该服务器系统时，系统提示超级管理员给该区域设置一个访问密码，该密码仅超级管理员知晓；步骤三，系统使用tcm芯片中存储的加密密钥对该密码加密，并将密文存入tcm芯片的pcr中；步骤四，当超级管理员请求修改黑白名单时，必须在请求中附上该密码；步骤五，系统收到超级管理员的请求后，先提取请求中的密码，再使用tcm芯片中存储的加密密钥对该密码加密；步骤六，系统将加密后的密文和tcm芯片中存储的密文进行比对，如果比对一致，则允许修改黑白名单，否则强制退出，如果比对结果连续三次失败则锁定系统30分钟，之后自动解锁。
47.实施例三本实施例提供一种服务器黑白名单保护装置，用于实现前述的服务器黑白名单保护方法。
48.如图3所示，本实施例提供的一种服务器黑白名单保护装置，包括以下功能单元。
49.黑白名单存储单元101：将黑白名单单独放置在硬盘中一特定区域内，记为黑白名单存放区域。
50.密码设置保存单元102：为该黑白名单存放区域设置安全密码，并将该安全密码保存。
51.可选的，本实施例对安全密码的保存以密文形式保存，具体为：使用服务器的安全加密模块中存储的加密密钥对该安全密码进行加密生成安全密文；将生成的安全密文存储到平台配置寄存器中。
52.黑白名单修改请求单元103：供超级管理员发出黑白名单修改请求，当超级管理员请求修改黑白名单时，在请求中附带修改密码。
53.密码判断单元104：判断请求中附带的修改密码是否与已保存的安全密码一致，若一致，则接受修改黑白名单修改请求，允许进行黑白名单修改；若不一致，则不接受修改黑白名单修改请求，不允许进行黑白名单修改。
54.因本实施例对安全密码的保存是以密文形式保存，因此密码判断单元104对密码一致的比对是对密文的比对，具体包括：使用服务器的安全加密模块中存储的加密密钥对修改密码进行加密生成修改密文；判断该修改密文与已存储的安全密文是否一致。
55.比对错误结果记录单元105：记录修改密码与安全密码比对结果为不一致的次数。
56.请求锁定单元106：若连续n次比对修改密码与安全密码不一致，则预设时间内不
允许再发出修改黑白名单请求；其中n≥2。
57.本实施例的服务器黑白名单保护装置用于实现前述的服务器黑白名单保护方法因此该装置中的具体实施方式可见前文中的服务器黑白名单保护方法的实施例部分，所以，其具体实施方式可以参照相应的各个部分实施例的描述，在此不再展开介绍。
58.另外，由于本实施例的服务器黑白名单保护装置用于实现前述的服务器黑白名单保护方法，因此其作用与上述方法的作用相对应，这里不再赘述。
59.实施例四图4为本发明实施例提供的一种终端装置300的结构示意图，该终端装置300可以用于执行本发明实施例提供的服务器黑白名单保护方法。
60.其中，该终端装置300可以包括：处理器310、存储器320及通信单元330。这些组件通过一条或多条总线进行通信，本领域技术人员可以理解，图中示出的服务器的结构并不构成对本发明的限定，它既可以是总线形结构，也可以是星型结构，还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
61.其中，该存储器320可以用于存储处理器310的执行指令，存储器320可以由任何类型的易失性或非易失性存储终端或者它们的组合实现，如静态随机存取存储器（sram），电可擦除可编程只读存储器（eeprom），可擦除可编程只读存储器（eprom），可编程只读存储器（prom），只读存储器（rom），磁存储器，快闪存储器，磁盘或光盘。当存储器320中的执行指令由处理器310执行时，使得终端300能够执行以下上述方法实施例中的部分或全部步骤。
62.处理器310为存储终端的控制中心，利用各种接口和线路连接整个电子终端的各个部分，通过运行或执行存储在存储器320内的软件程序和/或模块，以及调用存储在存储器内的数据，以执行电子终端的各种功能和/或处理数据。所述处理器可以由集成电路(integrated circuit，简称ic) 组成，例如可以由单颗封装的ic 所组成，也可以由连接多颗相同功能或不同功能的封装ic而组成。举例来说，处理器310可以仅包括中央处理器(central processing unit，简称cpu)。在本发明实施方式中，cpu可以是单运算核心，也可以包括多运算核心。
63.通信单元330，用于建立通信信道，从而使所述存储终端可以与其它终端进行通信。接收其他终端发送的用户数据或者向其他终端发送用户数据。
64.实施例五本发明还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可包括本发明提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体（英文：read
‑
only memory，简称：rom）或随机存储记忆体（英文：random access memory，简称：ram）等。
65.本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中如u盘、移动硬盘、只读存储器（rom，read
‑
only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质，包括若干指令用以使得一台计算机终端（可以是个人计算机，服务器，或者第二终端、网络终端等）执行本发明各个实施例所述方法的全部或部分步骤。
66.本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于终端实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。
67.在本发明所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
68.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
69.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
70.以上公开的仅为本发明的优选实施方式，但本发明并非局限于此，任何本领域的技术人员能思之的没有创造性的变化，以及在不脱离本发明原理前提下所作的若干改进和润饰，都应落在本发明的保护范围内。