1.一种ATM安全认证服务端,其特征在于,包括:注册模块、安全信任管理模块、数据传输管理模块;
其中:
注册模块用于向可接入ATM终端的外接设备写入安全认证文件,并为每个写入安全认证文件的外接设备分配唯一的设备标识,并将设备标识信息也写入对应外接设备的安全认证文件中;
安全信任管理模块,用于保存并管理写入安全认证文件的外接设备信息和设备标识信息;
数据传输管理模块用于与ATM终端建立数据连接关系,并管理与ATM终端之间传输的数据。
2.如权利要求1所述的服务端,其特征在于,还包括云查杀模块,用于对ATM终端上传的指定数据进行云查杀。
3.如权利要求2所述的服务端,其特征在于,还包括模拟运行模块,用于对可接入ATM终端的外接设备中的指定文件进行模拟运行及检测。
4.如权利要求1所述的服务端,其特征在于,所述注册模块具体用于:将可接入ATM终端的外接设备接入ATM安全认证服务端后,获取接入的外接设备信息,并根据外接设备信息设定设备权限,将外接设备信息与设备权限信息整理成外接设备的安全认证文件,并将安全认证文件植入到接入的外接设备中。
5.如权利要求4所述的服务端,其特征在于,所述外接设备信息包括:设备生产厂家信息、设备容量信息、设备序列号;所述设备权限信息包括:设备使用范围、设备读写权限。
6.如权利要求1至5任一所述的服务端,其特征在于,所述ATM安全认证服务端与ATM终端分离部署。
7.一种ATM安全防护客户端,其特征在于,包括:部署在ATM终端的信息获取模块、判定执行模块、数据传输模块;
其中:
信息获取模块用于当有外接设备与ATM终端连接时,获取外接设备信息;
判定执行模块用于根据信息获取模块获取的信息判断外接设备是否包含安全认证文件,并根据判断结果对连接的外接设备进行接入或拦截操作;
数据传输模块用于与ATM安全认证服务端建立数据连接关系。
8.如权利要求7所述的客户端,其特征在于,所述判定执行模块具体用于:根据信息获取模块获取的信息判断外接设备是否包含安全认证文件,若不包含则执行拦截操作;若包含则通过数据传输模块将安全认证文件与ATM安全认证服务端中的安全认证文件进行匹配,若匹配成功则执行接入操作,否则执行拦截操作。
9.如权利要求8所述的客户端,其特征在于,所述判定执行模块还用于:当所述外接设备接入所述ATM终端后,动态监控外接设备的操作行为,并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作,若是则执行拦截操作,否则允许其继续使用。
10.如权利要求9所述的客户端,其特征在于,所述根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作,具体包括:根据外接设备包含的安全认证文件的内容,确定外接设备的使用范围,继而判断当前状态下外接设备的操作范围是否超出了使用范围,若是则视为外接设备进行了非法操作,否则视为外接设备的操作为合法操作;根据外接设备包含的安全认证文件的内容,确定外接设备的使用权限,继而判断当前状态下外接设备的操作是否超出了使用权限,若是则视为外接设备进行了非法操作,否则视为外接设备的操作为合法操作。
11.如权利要求9或10所述的客户端,其特征在于,所述判定执行模块还用于:对于成功接入ATM终端的外接设备,记录其驱动状态以及接入后的操作及使用信息,并整理成驱动记录写入相应的安全认证文件中,并通过数据传输模块将安全认证文件同步到ATM安全认证服务端中。
12.如权利要求11所述的客户端,其特征在于,所述判定执行模块还用于:当所述外接设备接入所述ATM终端后,读取外接设备包含的安全认证文件,判断安全认证文件是否被改写,和/或根据安全认证文件中的驱动记录判断外接设备是否存在非法操作的使用记录,若是则执行拦截操作,否则执行接入操作。
13.如权利要求7或8或9或10或12所述的客户端,其特征在于,针对被拦截的外接设备,将全网禁止其使用。
14.如权利要求13所述的客户端,其特征在于,还包括防御日志上传模块,具体用于:对于全网禁止使用的外接设备,记录ATM安全防护客户端对其防御的过程,并通过数据传输模块向ATM安全认证服务端上报防御检测日志,并将相应外接设备信息移出ATM安全认证服务端。
15.如权利要求7所述的客户端,其特征在于,所述判定执行模块具体用于:根据信息获取模块获取的信息判断外接设备是否包含安全认证文件,若不包含则获取外接设备内存文件的特征信息,并通过数据传输模块将特征信息上传给ATM安全认证服务端进行检测,并根据返回的检测结果对连接的外接设备进行接入或拦截操作;若包含则通过数据传输模块将安全认证文件与ATM安全认证服务端中的安全认证文件进行匹配,若匹配成功则执行接入操作,否则执行拦截操作。
16.一种ATM安全防御系统,其特征在于,包括如权利要求1或4或5所述的服务端,以及如权利要求7至14任一所述的客户端。
17.一种ATM安全检测系统,其特征在于,包括如权利要求3所述的服务端,以及如权利要求15所述的客户端;
其中:
服务端的云查杀模块具体用于接收由客户端上传的特征信息,并对特征信息进行云查杀,同时根据特征信息判断外接设备中是否存在可执行文件,若是则通过数据传输管理模块向外接设备获取完整的可执行文件,否则只对特征信息进行云查杀;
服务端的模拟运行模块具体用于接收外接设备中完整的可执行文件,并对可执行文件进行模拟运行及检测,判断可执行文件是否存在恶意行为;
由数据传输管理模块向ATM终端下发云查杀模块和模拟运行模块的检测结果。
18.如权利要求17所述的系统,其特征在于,所述恶意行为包括:更改设备权限、修改系统文件。
19.如权利要求17或18所述的系统,其特征在于,所述判定执行模块还用于:针对被拦截的外接设备,获取并向所述服务端上传其包含的恶意数据进行深度分析,并将恶意数据从外接设备中删除。
20.如权利要求17所述的系统,其特征在于,所述判定执行模块还用于:针对接入ATM终端的外接设备,实时监控其使用状态,判断是否存在敏感行为,若是则对外接设备进行拦截操作,否则视为外接设备安全;其中,所述敏感行为包括:写入操作、拷贝操作、联网操作。
21.如权利要求17或18或20所述的系统,其特征在于,还包括检测日志上传模块,用于将判定执行模块对外接设备进行拦截或接入操作的具体处理过程上报给服务端,且服务端针对被拦截的外接设备向网内ATM终端下发全网禁止其使用的指令。
22.一种ATM安全防御方法,其特征在于,包括:
向可接入ATM终端的外接设备写入安全认证文件,并为每个写入安全认证文件的外接设备分配唯一的设备标识,并将设备标识信息也写入对应外接设备的安全认证文件中;
当有外接设备与ATM终端连接时,获取外接设备信息,判断外接设备是否包含安全认证文件,若不包含则拒绝接入;若包含则将安全认证文件与原始保存的安全认证文件进行匹配,若匹配成功则允许接入,否则拒绝接入。
23.如权利要求22所述的方法,其特征在于,所述向可接入ATM终端的外接设备写入安全认证文件,具体为:获取外接设备信息,并根据外接设备信息设定设备权限,将外接设备信息与设备权限信息整理成外接设备的安全认证文件,并将安全认证文件植入到接入的外接设备中。
24.如权利要求23所述的方法,其特征在于,所述外接设备信息包括:设备生产厂家信息、设备容量信息、设备序列号;所述设备权限信息包括:设备使用范围、设备读写权限。
25.如权利要求22至24任一所述的方法,其特征在于,还包括:当所述外接设备接入所述ATM终端后,动态监控外接设备的操作行为,并根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作,若是则阻止其使用,否则允许其继续使用。
26.如权利要求25所述的方法,其特征在于,所述根据外接设备包含的安全认证文件判断外接设备是否进行了非法操作,具体包括:根据外接设备包含的安全认证文件的内容,确定外接设备的使用范围,继而判断当前状态下外接设备的操作范围是否超出了使用范围,若是则视为外接设备进行了非法操作,否则视为外接设备的操作为合法操作;根据外接设备包含的安全认证文件的内容,确定外接设备的使用权限,继而判断当前状态下外接设备的操作是否超出了使用权限,若是则视为外接设备进行了非法操作,否则视为外接设备的操作为合法操作。
27.如权利要求26所述的方法,其特征在于,还包括:对于成功接入ATM终端的外接设备,记录其驱动状态以及接入后的操作及使用信息,并整理成驱动记录写入相应的安全认证文件中。
28.如权利要求27所述的方法,其特征在于,还包括:当所述外接设备接入所述ATM终端后,读取外接设备包含的安全认证文件,判断安全认证文件是否被改写,和/或根据安全认证文件中的驱动记录判断外接设备是否存在非法操作的使用记录,若是则全网禁止相应外接设备的使用,否则允许其继续使用。
29.如权利要求28所述的方法,其特征在于,还包括:对于全网禁止使用的外接设备,记录对其防御的过程,并上报防御日志。
30.如权利要求22所述的方法,其特征在于,对于不包含安全认证文件的外接设备,还包括:获取外接设备内存文件的特征信息,对特征信息进行云查杀,判断外接设备是否存在恶意,并根据判断结果对外接设备进行拦截或放行处理,并上报处理日志。
31.如权利要求30所述的方法,其特征在于,还包括:在所述进行云查杀的过程中,判断外接设备是否存在可执行文件,若存在则获取完整可执行文件,并在虚拟环境中运行,实时监控运行状态,判断是否存在敏感行为,若是则视为对应外接设备存在恶意,否则视为外接设备安全;其中,所述敏感行为包括:更改设备权限、修改系统文件。
32.如权利要求30或31所述的方法,其特征在于,还包括:针对拦截的外接设备,获取并上传其包含的恶意数据进行深度分析,并将恶意数据从外接设备中删除。
33.如权利要求30所述的方法,其特征在于,还包括:针对被放行的外接设备,实时监控其使用状态,判断是否存在敏感行为,若是则对外接设备进行拦截,否则视为外接设备安全;其中,所述敏感行为包括:写入操作、拷贝操作、联网操作。
34.如权利要求30或31或33所述的方法,其特征在于,针对被拦截的外接设备,将全网禁止其使用。