名操作指令的执行结果或身份信息验证结果反馈给所述上层业务软件。
[0044]通过结果反馈使发起签名操作指令的上层业务软件了解所述签名操作指令的执行结果或身份信息验证结果。
[0045]实施例二
[0046]图3是本发明实施例二提供的一种自动柜员机出钞设备控制方法的流程图,在本实施例中,所述签名操作指令为出钞指令,该方法具体包括如下步骤:
[0047]步骤310,合法性验证模块接收上层业务软件发起的签名操作指令。
[0048]其中,所述签名操作指令为出钞指令。
[0049]当所述签名操作指令为出钞指令时,上层业务软件为ATMC上层。
[0050]步骤320,合法性验证模块从机芯安全服务模块获取所述签名操作指令的发送者的身份信息。
[0051]其中,机芯安全服务模块是为了保证合法性验证模块的正常工作,在操作系统中注册的与机芯安全相关的服务。
[0052]机芯安全服务模块获取所述签名操作指令的发送者的身份信息,即获取发送所述签名操作指令的上层业务软件的身份信息,将获取到的所述签名操作指令的发送者的身份信息报告给合法性验证模块。
[0053]步骤330,合法性验证模块将所述签名操作指令的发送者的身份信息与所述发送者发送的签名信息进行对比。
[0054]合法性验证模块通过将所述签名操作指令的发送者的身份信息与所述发送者发送的签名信息进行对比,以确定发送者的签名信息是否被伪造。
[0055]步骤340,当所述签名操作指令的发送者的身份信息与所述发送者发送的签名信息一致时,合法性验证模块确定所述签名操作指令的发送者的身份合法。
[0056]当所述签名操作指令的发送者的身份信息与所述发送者发送的签名信息一致时,确定所述签名操作指令的发送者的身份合法,即发送者的签名信息没有被伪造。
[0057]步骤350,当所述签名操作指令的发送者的身份信息与所述发送者发送的签名信息不一致时,合法性验证模块确定所述签名操作指令的发送者的身份不合法。
[0058]当所述签名操作指令的发送者的身份信息与所述发送者发送的签名信息不一致时,确定所述签名操作指令的发送者的身份不合法,即发送者的签名信息是被伪造的。
[0059]步骤360,当所述签名操作指令的发送者的身份不合法时,合法性验证模块禁止将所述签名操作指令发送至机芯介质模块。
[0060]当确定所述签名操作指令的发送者的身份合法时,执行以下步骤:
[0061]步骤370,合法性验证模块获取所述签名操作指令中包含的证书信息。
[0062]步骤380,合法性验证模块根据自身保存的证书信息,验证所述签名操作指令中包含的证书?目息是否合法。
[0063]步骤390,当所述签名操作指令中包含的证书信息合法时,将所述签名操作指令发送至机芯介质模块。
[0064]当所述签名操作指令中包含的证书信息合法时,将所述签名操作指令发送至机芯介质模块,以使机芯介质模块执行出钞;当所述签名操作指令中包含的证书信息不合法时,合法性验证模块通知上层业务软件更新证书。
[0065]本实施例通过机芯安全服务模块获取发起签名操作指令的上层业务软件的身份信息,并报告给合法性验证模块,合法性验证模块将所述签名操作指令的发送者的身份信息与所述发送者发送的签名信息进行对比,当对比一致时确定所述签名操作指令的发送者的身份合法,当对比不一致时确定所述签名操作指令的发送者的身份不合法,当所述签名操作指令的身份不合法时,禁止将所述签名操作指令发送至机芯介质模块,从而保证了机芯出钞行为的合法性和要求机芯出钞的源程序的合法性,实现了自动柜员机出钞的合法性验证,使得自动柜员机每次出钞,均受到安全控制,提高了自动柜员机的安全性。
[0066]在上述技术方案的基础上,还优选包括:
[0067]当所述签名操作指令的发送者的身份不合法时,合法性验证模块将所述签名操作指令的发送者的身份信息与所述发送者发送的签名信息不一致的消息发送给机芯安全服务模块;
[0068]机芯安全服务模块获取所述签名操作指令的发送者创建的进程的进程名;
[0069]机芯安全服务模块强行结束所述进程名所表示的进程,并强行删除所述进程名所表示的进程。
[0070]所述签名操作指令的发送者的身份信息与所述发送者发送的签名信息不一致,则说明发送者的签名信息是伪造的,机芯安全服务模块获取伪造者的地址信息,得到伪造者创建的进程的进程名,强行结束伪造者所创建的进程,并将其强制删除,从而保证发起出钞指令的源程序的合法性,当发现源程序非法时,对其进行强制删除。
[0071]实施例三
[0072]图4是本发明实施例三提供的一种自动柜员机出钞设备控制方法的流程图,在本实施例中,所述签名操作指令为同步密钥指令、证书操作指令或机芯测试指令,该方法具体包括如下步骤:
[0073]步骤410,合法性验证模块接收上层业务软件发起的签名操作指令。
[0074]其中,所述签名操作指令为同步密钥指令、证书操作指令或机芯测试指令。
[0075]当所述签名操作指令为同步密钥指令、证书操作指令或机芯测试指令时,由于这些行为大多具有较大风险,因此,这些行为的发起程序都放在授权U盘或者加密键盘上,发起签名操作指令的上层业务软件为授权U盘或者加密键盘。而针对有些使用者由于使用习惯,可能会将授权U盘或者加密键盘上的程序复制到系统中运行,甚至一些使用者可能恶意地将风险程序复制,针对这种行为,本实施例不允许上述风险程序脱离授权U盘或者加密键盘,采用下述步骤420和步骤430对发起这些程序的发起者进行身份验证。
[0076]步骤420,授权模块检验授权U盘或者加密键盘是否插入外部接口。
[0077]其中,所述授权模块配置于授权U盘或者加密键盘中,即发起所述签名操作指令的发起者。授权模块检验授权U盘或者加密键盘是否插入外部接口,保证授权模块即发起所述签名操作指令的发起程序没有脱离授权U盘或者加密键盘。
[0078]步骤430,当所述授权U盘或者加密键盘已经插入时,合法性验证模块验证所述授权U盘或者加密键盘上的授权信息是否正确,并根据验证结果确定身份信息是否合法。
[0079]合法性验证模块自身会保存所述授权U盘或者加密键盘的授权信息,当通过机芯安全服务模块获取到的所述授权U盘或者加密键盘的授权信息与自身保存的授权信息相同时,确定身份信息合法;当通过机芯安全服务模块获取到的所述授权U盘或者加密键盘的授权信息与自身保存的授权信息不相同时,确定身份信息不合法。
[0080]步骤440,当所述授权U盘或者加密键盘没有插入时,授权模块删掉自身并且退出。
[0081]当所述授权U盘或者加密键盘没有插入时,表明发起所述签名操作指令的发起程序即授权模块已经脱离所述授权U盘或者加密键盘,则授权模块会删掉自身并且退出程序。
[0082]为了保证发起同步密钥指令、证书操作指令或机芯测试指令的发起程序不脱离授权U盘或者加密键盘,即发起同步密钥指令、证书操作指令或机芯测试指令的发起程序与授权U盘或者加密键盘是绑定的,这样就赋予了授权U盘或者加密键盘极大的权限,正因为授权U盘或者加密键盘的权限过大,一旦授权U盘遗失或者授权U盘或加密键盘上的文件泄露,可能会导致很大的风险。为了避免这种风险,可以为授权U盘或者加密键盘添加读写权限控制。图5是本发明实施例提供的自动柜员机出钞设备控制方法中的授权U盘或者加密键盘的结构图,如图5所示,将授权U盘或者加密键盘分为3个分区:分区I为登录区,在此分区放置登录程序,如果不登录,则第二个分区处于禁用状态,无法获取到此授权U盘或者加密键盘上的授权验证信息,授权校验无法通过,不能执行风险操作,同时也无法获取到授权U盘或者加密键盘上的同步密钥、制作证书、执行机芯测试等风险操