专利名称:自助终端的进程控制方法及系统的制作方法
技术领域:
本发明涉及计算机技术领域,尤其涉及一种自助终端的进程控制方法及系统。
背景技术:
自动柜员机(Automatic Teller Machine,简称ATM)广泛应用于各银行、邮政储 蓄中,其24小时自助式的金融服务给人们带来了极大的便利,但同时也伴随了日益增多的 ATM纠纷案件及ATM金融犯罪。尤其随着ATM病毒的出现,ATM终端软件的犯罪逐步发展, 软件安全已成为终端安全的一个重要部分。如何保证ATM终端软件系统安全已迫在眉睫, 并越来越为广大银行业人士及ATM厂商所重视。 目前,进程控制是一种非常有效地提高自助终端软件安全的方法,然而现有市场 上的类似产品并不适合ATM自助终端使用,若使用这些产品,常常会导致错误阻止系统、业 务软件部分进程,给ATM自助终端的运行带来不少麻烦。
发明内容
本发明实施例提出一种自助终端的进程控制方法及系统,能有效防止自助终端上
的非法进程的运行,保障自助终端的系统运行安全。
本发明实施例提供一种自助终端进程控制方法,包括 运行自助终端所必需的进程文件,所述进程文件包括自助终端所应用的操作系统 以及支撑所述自助终端正常工作的业务软件; 对所述进程文件进行扫描,将安全的进程文件记录到白名单列表中,生成白名单 注册表文件; 将所述白名单注册表文件导入所述自助终端的注册表中; 根据所述自助终端的注册表中的白名单列表,对所述自助终端上运行的进程文件 进行控制,允许安全的进程文件运行。
相应地,本发明实施例还提供一种自助终端的进程控制系统,包括 进程部署模块,用于运行自助终端所必需的进程文件,所述进程文件包括自助终
端所应用的操作系统以及支撑该自助终端正常工作的业务软件; 白名单生成模块,用于对所述进程部署模块所运行的进程文件进行扫描,将安全 的进程文件记录到白名单列表中,生成白名单注册表文件; 白名单导入模块,用于将所述白名单生成模块所生成的白名单注册表文件导入自 助终端的注册表中; 进程控制模块,用于根据自助终端的注册表中的白名单列表,对所述自助终端上 所运行的进程文件进行控制,允许安全的进程文件运行。
实施本发明实施例,具有如下有益效果 本发明实施例提供的自助终端的进程控制方法及系统,先运行自助终端所必需的 进程文件,在系统环境中对所述进行文件进行扫描,生成记录有安全进程的白名单注册表文件;再将所述白名单注册表文件导入自助终端的注册表中,根据注册表中的进程白名单 来对自助终端上运行的进程文件进行控制管理,允许安全的进程文件运行。本发明实施例 可应用到自动柜员机等自助终端中,能有效防止自助终端上的非法进程的运行,保障自助 终端的系统运行安全。
图1是本发明提供的自助终端的进程控制方法的第一实施例的流程示意图; 图2是本发明提供的自助终端的进程控制方法的第二实施例的流程示意图; 图3是本发明提供的自助终端的进程控制方法的第三实施例的流程示意图; 图4是本发明提供的自助终端的进程控制系统的结构示意图; 图5是本发明提供的白名单生成模块的结构示意图; 图6是本发明提供的进程控制模块的结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。 参见图l,是本发明提供的自助终端的进程控制方法的第一实施例的流程示意图, 该方法包括以下步骤 S101,运行自助终端所必需的进程文件,所述进程文件包括自助终端所应用的操 作系统以及支撑所述自助终端正常工作的业务软件; S102,对所述进程文件进行扫描,将安全的进程文件记录到白名单列表中,生成白 名单注册表文件; S103,将所述白名单注册表文件导入所述自助终端的注册表中; S104,根据所述自助终端的注册表中的白名单列表,对所述自助终端上运行的进
程文件进行控制,允许安全的进程文件运行。 本发明实施例提供的自助终端的进程控制方法,可应用到ATM等自助终端中,能
有效防止自助终端上的非法进程的运行,保障自助终端的系统运行安全。 下面仅以ATM自助终端为例,结合图2、图3对本发明提供的自助终端的进程控制
方法进行详细描述。 参见图2,是本发明提供的自助终端的进程控制方法的第二实施例的流程示意图。 该方法具体包括以下步骤 S201,在后台服务器上运行自助终端所必需的进程文件,所述进程文件包括自助 终端所应用的操作系统以及支撑该自助终端正常工作的业务软件。 具体的,所述后台服务器为独立于ATM自助终端之外的终端设备,其与一般ATM自 助终端应用的工控机的配置相同。在该后台服务器上所运行的初始操作系统及业务软件, 与ATM自助终端上部署的操作系统及ATM业务软件完全一致,以便完全仿真ATM自助终端 的系统环境。其中,该初始操作系统可以是Windows XP、2000、 NT或其他系统,其系统类型
5及版本均与ATM自助终端所应用的系统类型及版本一致;该业务软件是支撑ATM自助终端 正常工作的进程文件,其安装在后台服务器的干净系统环境中。 S202,在后台服务器的系统环境中逐个扫描系统的进程文件,对非法的进程文件 进行过滤,将安全的进程文件记录到白名单列表中。 具体实施时,在后台服务器上安装有白名单生成工具,用于收集后台服务器系统 环境中的安全进程,并生成进程白名单注册表文件。 所述白名单生成工具是一个独立运行在后台服务器的系统环境中的应用程序,该 应用程序根据预先配置的ini文件(即配置文件)中的扫描规则,逐个扫描后台服务器的 系统环境中的进程文件(例如扩展名为exe的文件),并将安全的进程文件记录到一个列表 中,即白名单列表。其中,该ini文件中的扫描规则可根据实际需要进行配置,例如配置扫 描规则为对文件名中带有明显"病毒"、"木马"称呼字样的文件进行过滤,如Trojan, xxx 等;并对含有特定的特征码(如某木马特征码为6DF36GT34*********************D3)的 文件进行过滤;还可以对一些特定的进程文件(例如聊天软件)进行过滤;此外,该ini文 件中还可配置白名单列表的保存路径。 S203,根据信息摘要算法逐一计算所述白名单列表中的进程文件的信息摘要值, 记录各个进程文件名与信息摘要值的对应关系,生成白名单注册表文件。
在本发明实施例中,可以采用MD5 (Message-Digest Algorithm 5)信息摘要算法 计算进程文件的信息摘要值。MD5是一种不可逆的字符串变换算法,可以将一个任意长度 的字节串变换成唯一的32位字符的值,是目前比较常用的文件加密和数字摘要生成算法。 MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest),通过唯一的32 位字符来标识某一个特定的文件。本领域的普通技术人员可以理解,本发明实施例也可以 采用其他的信息摘要算法计算进程文件的信息摘要值,例如MD3、MD4信息摘要算法。
白名单生成工具对所收集的白名单列表中的进程文件逐一计算其信息摘要值,并 对各个进程文件名及其信息摘要值的对应关系进行记录,最终将所有白名单进程的内容生 成一个*. reg注册表文件,即白名单注册表文件。 S204,将"白名单注册表文件"集成到"进程管理工具"的安装文件中,当"进程管 理工具"安装到ATM自助终端时,同时将"白名单注册表文件"导入ATM自助终端的注册表 中。 S205,根据所述自助终端的注册表中的白名单列表,对所述自助终端上运行的进 程文件进行控制,允许安全的进程文件运行。"进程管理工具"是运行于ATM自助终端中的程序,其结合ATM自助终端注册表中 的白名单列表,对ATM自助终端的进程进行管理,防止非法进程运行,保障终端应用安全。 具体的,"进程管理工具"获取ATM自助终端上的将要运行的进程文件,判断所述进程文件是 否记录在白名单列表中;若是,则确定所述进程文件为安全进程,允许所述进程文件运行; 若否,则确定所述进程文件为非法进程,阻止所述进程文件运行。 可选的,若有特殊的进程文件需要在自助终端上运行,也可以通过进程管理工具 对该进程进行放开处理,允许该进程文件运行。具体如下 当"进程管理工具"发现未知的进程文件(即该进程文件未记录在白名单列表中) 试图在ATM自助终端的系统环境中运行时,请求用户对所述进程文件的安全性进行验证,例如,发送信息询问用户是否同意该进程文件运行。若接收到用户反馈的验证结果为同意 运行时,则允许该进程文件进行,否则阻止该进程文件运行。并且,还可进一步发送信息询 问用户是否同意记住运行规则,若接收用户反馈的记住运行规则的信息时,则将所述进程 文件记录到白名单列表中,否则,仅本次运行该进程文件。 上述的自助终端的进程控制方法的第二实施例,先在后台服务器上运行自助终端 所必需的进程文件,完全仿真自助终端的系统环境;通过扫描该后台服务器系统环境中的 进程文件,将安全的进程文件记录在白名单列表上,生成白名单注册表文件。再将"白名单 注册表文件"集成到"进程管理工具"的安装文件中,并将该"进程管理工具"安装到ATM自 助终端上,同时将"白名单注册表文件"导入ATM自助终端的注册表中。该"进程管理工具" 将结合ATM自助终端注册表中的白名单列表,对ATM自助终端的进程进行实时管理,防止非 法进程的运行,保障ATM自助终端的系统运行安全。 参见图3,是本发明提供的自助终端的进程控制方法的第三实施例的流程示意图。 该方法具体包括以下步骤 S301,在ATM自助终端系统初始化时,在该ATM自助终端上运行初始操作系统,并 部署支撑该ATM自助终端正常工作所必需的业务软件。 S302,在ATM自助终端的系统环境中,逐个扫描系统的进程文件,对非法的进程文 件进行过滤,将安全的进程文件记录到白名单列表中。 S303,根据信息摘要算法逐一计算所述白名单列表中的进程文件的信息摘要值,
记录各个进程文件名与信息摘要值的对应关系,生成白名单注册表文件。 需要说明的是,上述步骤S302、 S303在具体实施时,可通过在ATM自助终端的系
统环境中运行白名单生成工具来实现,其具体的实施方式与上述第二实施例的步骤S202、
S203相同,在此不再赘述。 S304,将"白名单注册表文件"导入自助终端的注册表中。 S305,在ATM自助终端的运行过程中,根据自助终端的注册表中的白名单列表,对 所述ATM自助终端上运行的进程文件进行控制,允许安全的进程文件运行。本步骤S305的 进程控制方法,可通过在ATM自助终端的系统环境中运行进程管理工具来实现,其具体的 实施方式与上述第二实施例的步骤S205相同,在此不再赘述。 上述的自助终端的进程控制方法的第三实施例,在ATM自助终端系统初始化时,
在ATM自助终端上运行初始操作系统及业务软件,通过扫描该系统环境中的进程文件,将
安全的进程文件记录在白名单列表上,生成白名单注册表文件,再将"白名单注册表文件"
导入该ATM自助终端的注册表中。之后,在该ATM自助终端上运行"进程管理工具",该"进
程管理工具"将结合ATM自助终端注册表中的白名单列表,对ATM自助终端的进程进行实时
管理,防止非法进程的运行,保障ATM自助终端的系统运行安全。 参见图4,是本发明提供的自助终端的进程控制系统中的结构示意图。 需要说明的是,本实施例提供的自助终端的进程控制系统,能够用于实现上述的
自助终端的进程控制方法的步骤。如图4所示,该系统具体包括 进程部署模块l,用于运行自助终端所必需的进程文件,所述进程文件包括自助终 端所应用的操作系统以及支撑该自助终端正常工作的业务软件; 白名单生成模块2,用于对所述进程部署模块1所运行的进程文件进行扫描,将安
7全的进程文件记录到白名单列表中,生成白名单注册表文件; 白名单导入模块3,用于将所述白名单生成模块2所生成的白名单注册表文件导 入自助终端的注册表中; 进程控制模块4,用于根据自助终端的注册表中的白名单列表,对所述自助终端上 所运行的进程文件进行控制,允许安全的进程文件运行。 参见图5,是本发明提供的白名单生成模块的结构示意图。该白名单生成模块2具 体包括 进程扫描单元201,用于在系统环境中逐个扫描所述进程部署模块所运行的进程
文件,对非法的进程文件进行过滤,将安全的进程文件记录到白名单列表中; 白名单注册表文件生成单元202,用于根据信息摘要算法逐一计算所述白名单列
表中的进程文件的信息摘要值,并对各个进程文件名与信息摘要值的对应关系进行记录,
生成白名单注册表文件。 需要说明的是,具体实施时,本实施例中的白名单生成模块2的功能,可以通过运 行白名单生成工具应用程序来实现,该白名单生成工具已通过上述实施例进行详细描述, 在此不再赘述。 参见图6,是本发明提供的进程控制模块的结构示意图。该进程控制4具体包括
第一进程管理单元401,用于获取自助终端上的将要运行的进程文件,判断所述进 程文件是否记录在注册表的白名单列表中;若是,则确定所述进程文件为安全进程,允许所 述进程文件运行。 第二进程管理单元402,用于在确定自助终端上将要运行的进程文件未记录在注 册表的白名单列表中时,阻止所述进程文件运行。 可选的,该进程控制模块4还包括第三进程管理单元403,用于在确定自助终端上 将要运行的进程文件未记录在注册表的白名单列表中时,发送信息请求用户对所述进程文 件的安全性进行验证;并在接收到用户反馈的验证结果为安全时,允许所述进程文件进行, 并将所述进程文件记录到所述白名单列表中。 需要说明的是,具体实施时,本实施例中的进程控制模块4的功能,可以通过在自 助终端上运行进程管理工具应用程序来实现,该进程管理工具已通过上述实施例进行详细 描述,在此不再赘述。 本发明实施例提供的自助终端的进程控制方法及系统,先运行自助终端所必需的 进程文件,在系统环境中对所述进行文件进行扫描,生成记录有安全进程的白名单注册表 文件;再将所述白名单注册表文件导入自助终端的注册表中,根据注册表中的进程白名单 来对自助终端上运行的进程文件进行控制管理,允许安全的进程文件运行。本发明实施例 可应用到自动柜员机等自助终端中,能有效防止自助终端上的非法进程的运行,保障自助 终端的系统运行安全。 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory,廳)等。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员 来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为 本发明的保护范围。
9
权利要求
一种自助终端的进程控制方法,其特征在于,包括运行自助终端所必需的进程文件,所述进程文件包括自助终端所应用的操作系统以及支撑所述自助终端正常工作的业务软件;对所述进程文件进行扫描,将安全的进程文件记录到白名单列表中,生成白名单注册表文件;将所述白名单注册表文件导入所述自助终端的注册表中;根据所述自助终端的注册表中的白名单列表,对所述自助终端上运行的进程文件进行控制,允许安全的进程文件运行。
2. 如权利要求1所述的自助终端的进程控制方法,其特征在于,所述对所述进程文件 进行扫描,将安全的进程文件记录到白名单列表中,生成白名单注册表文件,具体包括在系统环境中逐个扫描所述进程文件,对非法的进程文件进行过滤,将安全的进程文 件记录到白名单列表中;根据信息摘要算法逐一计算所述白名单列表中的进程文件的信息摘要值,并对各个进 程文件名与信息摘要值的对应关系进行记录,生成白名单注册表文件。
3. 如权利要求1或2所述的自助终端的进程控制方法,其特征在于,所述根据所述自助 终端的注册表中的白名单列表,对所述自助终端上运行的进程文件进行控制,允许安全的 进程文件运行,具体包括获取所述自助终端上的将要运行的进程文件,判断所述进程文件是否记录在注册表的 白名单列表中;若是,则确定所述进程文件为安全进程,允许所述进程文件运行。
4. 如权利要求3所述的自助终端的进程控制方法,其特征在于,所述方法还包括 若所述进程文件未记录在白名单列表中,则确定所述进程文件为非法进程,阻止所述进程文件运行。
5. 如权利要求3所述的自助终端的进程控制方法,其特征在于,所述方法还包括 若所述进程文件未记录在白名单列表中,则确定所述进程文件为未知进程,发送信息请求用户对所述进程文件的安全性进行验证;在接收到用户反馈的验证结果为安全时,允许所述进程文件进行,并将所述进程文件 记录到所述白名单列表中。
6. —种自助终端的进程控制系统,其特征在于,包括进程部署模块,用于运行自助终端所必需的进程文件,所述进程文件包括自助终端所 应用的操作系统以及支撑该自助终端正常工作的业务软件;白名单生成模块,用于对所述进程部署模块所运行的进程文件进行扫描,将安全的进 程文件记录到白名单列表中,生成白名单注册表文件;白名单导入模块,用于将所述白名单生成模块所生成的白名单注册表文件导入自助终 端的注册表中;进程控制模块,用于根据自助终端的注册表中的白名单列表,对所述自助终端上所运 行的进程文件进行控制,允许安全的进程文件运行。
7. 如权利要求6所述的自助终端的进程控制系统,其特征在于,所述白名单生成模块 具体包括进程扫描单元,用于在系统环境中逐个扫描所述进程部署模块所运行的进程文件,对 非法的进程文件进行过滤,将安全的进程文件记录到白名单列表中;白名单注册表文件生成单元,用于根据信息摘要算法逐一计算所述白名单列表中的进 程文件的信息摘要值,并对各个进程文件名与信息摘要值的对应关系进行记录,生成白名 单注册表文件。
8. 如权利要求6或7所述的自助终端的进程控制系统,其特征在于,所述进程控制模块 具体包括第一进程管理单元,用于获取自助终端上的将要运行的进程文件,判断所述进程文件 是否记录在注册表的白名单列表中;若是,则确定所述进程文件为安全进程,允许所述进程 文件运行。
9. 如权利要求8所述的自助终端的进程控制系统,其特征在于,所述进程控制模块还 包括第二进程管理单元,用于在确定自助终端上将要运行的进程文件未记录在注册表的白 名单列表中时,阻止所述进程文件运行。
10. 如权利要求8所述的自助终端的进程控制系统,其特征在于,所述进程控制模块还包括第三进程管理单元,用于在确定自助终端上将要运行的进程文件未记录在注册表的白 名单列表中时,发送信息请求用户对所述进程文件的安全性进行验证;并在接收到用户反 馈的验证结果为安全时,允许所述进程文件进行,并将所述进程文件记录到所述白名单列 表中。
全文摘要
本发明公开了一种自助终端的进程控制方法及系统,该方法包括运行自助终端所必需的进程文件,所述进程文件包括自助终端所应用的操作系统以及支撑所述自助终端正常工作的业务软件;对所述进程文件进行扫描,将安全的进程文件记录到白名单列表中,生成白名单注册表文件;将所述白名单注册表文件导入所述自助终端的注册表中;根据所述自助终端的注册表中的白名单列表,对所述自助终端上运行的进程文件进行控制,允许安全的进程文件运行。采用本发明实施例,能有效防止自助终端上的非法进程的运行,保障自助终端的系统运行安全。
文档编号G06F21/00GK101706851SQ200910193629
公开日2010年5月12日 申请日期2009年11月3日 优先权日2009年11月3日
发明者唐键, 杨蔚峰, 谢文超 申请人:广州广电运通金融电子股份有限公司