CN107832616B - 计算机预启动安全验证、实施和修复 - Google Patents
计算机预启动安全验证、实施和修复 Download PDFInfo
- Publication number
- CN107832616B CN107832616B CN201610710311.6A CN201610710311A CN107832616B CN 107832616 B CN107832616 B CN 107832616B CN 201610710311 A CN201610710311 A CN 201610710311A CN 107832616 B CN107832616 B CN 107832616B
- Authority
- CN
- China
- Prior art keywords
- computer
- operating system
- state
- boot
- repair
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/18—Payment architectures involving self-service terminals [SST], vending machines, kiosks or multimedia terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
在此处的各实施例中,每个实施例包括计算机预启动安全验证的系统、方法和软件中的至少一种。一些实施例在控制自助服务终端(102)操作的计算机(210)在计算机(210)的主操作系统(OS)载入之前的启动序列期间加以实施。方法(300)形式的一个此类实施例包括在启动控制SST操作的计算机时,启动预启动OS(步骤302),在预启动OS计算环境内识别计算机当前状态与代表某个参考状态的数据之间的差异(步骤304)。该示例方法进一步包括当识别到任何差异时,执行至少一项修复行动(步骤306),当未识别到任何差异时,启动主OS,停止和退出预启动OS(步骤308)。
Description
技术领域
本发明涉及计算机预启动安全验证、实施和修复。
背景技术
自助服务终端(SST)(例如自动柜员机(ATM)和自助服务结账台(SSC))配有计算机(有时称为PC内核),用于控制与其连接的各种设备(包括出钞器)的操作。因此,需要确保SST计算机的安全,防止欺诈,例如未经授权出钞。但是,SST仍然可通过操作SST计算机配置和恶意软件而受到攻击。这种攻击造成每台ATM平均损失150000美元,而且通常多台ATM同时受到攻击,因此,后果非常严重。然而,并非所有SST的损失都是攻击造成的。有些损失是因技术人员未将SST完全返回到安全状态(例如未将启动设备顺序或其他配置设置返回到正常安全设置)所造成的。
发明内容
在此处的各实施例中,每个实施例包括计算机预启动安全验证的系统、方法和软件中的至少一种,例如,在载入计算机主操作系统(OS)之前,在控制SST操作的计算机的启动序列期间开展这种预启动安全验证。
方法形式的一个此类实施例包括在启动控制SST操作的计算机时,启动预启动OS,在预启动OS计算环境内识别计算机当前状态与代表某个参考状态的数据之间的差异。该示例方法进一步包括当识别到任何差异时,执行至少一项修复行动,当未识别到任何差异时,启动主OS,停止和退出预启动OS。
另一个方法实施例包括在启动SST的主操作系统(其在激活时控制SST的操作以开展交易)之前,在SST的计算设备上从平台层系统(例如,基本输入/输出系统(BIOS)或统一可扩展固件接口(UEFI))启动预启动OS。所述方法进一步包括在预启动OS内启动验证程序。在一些实施例中,验证程序可由SST计算设备的处理器执行,从而执行数据处理活动,包括识别当前SST计算设备状态和代表某个参考状态的数据之间的任何差异。当验证程序识别到当前SST计算设备状态和参考状态之间存在差异时,数据处理活动进一步包括执行至少一项修复行动。当验证程序未识别到当前SST计算设备状态和参考状态之间存在任何差异时,数据处理活动启动主OS,停止和退出预启动OS。
另一个实施例以SST形式呈现。这些实施例的SST包括控制SST操作的计算机。计算机包括配备至少一个处理器和位于其上的至少一个存储设备的母板。至少一个存储设备储存平台层系统、预启动OS、主OS、差异识别程序、至少一个SST控制程序及其配置设置。平台层系统(例如,BIOS或UEFI)按照至少一个处理器上的配置设置执行,从而控制计算机的启动,在启动主OS和其内执行的至少一个SST控制程序之前,启动计算机上的预启动OS。在一些此类实施例中,差异识别程序可由至少一个处理器执行,从而执行数据处理,包括识别计算机当前状态和代表某个参考状态的数据之间的任何差异。数据处理活动进一步包括当识别到任何差异时,执行至少一项修复行动,当未识别到任何差异时,启动主OS,停止和退出预启动OS。
根据本发明的第一个方面,提供一种方法,包括:在启动控制自助服务终端(SST)操作的计算机之后,启动预启动操作系统(OS);在预启动OS计算环境内识别计算机当前状态与代表某个参考状态的数据之间的任何差异;当识别到任何差异时,执行至少一项修复行动;及当未识别到任何差异时,启动主OS,停止和退出预启动OS。
任选至少部分地根据当前计算机的配置设置和特性(包括平台层系统、主操作系统、计算机储存数据、与计算机连接的设备、防火墙和威胁检测程序的多个配置设置和特性)来识别差异。
任选代表某个参考状态的数据包括预期配置设置和特性(包括平台层系统、主操作系统、储存数据、设备、防火墙和威胁检测程序的多个配置设置和特性)的数据表示;任选识别当前计算机状态和参考状态之间的任何差异包括将当前计算机的配置设置和特性与代表某个参考状态的数据进行比较。
任选代表某个参考状态的数据中的至少一部分经由计算机网络接口设备通过网络进行检索。
任选至少一项修复行动包括:确定修复数据处理行动,解决识别到的差异,根据识别到的差异确定修复数据处理行动;执行修复数据处理行动;重新识别当前计算机状态和代表某个参考状态的数据之间的任何差异;当验证程序识别到当前计算机状态和参考状态之间存在相同或不同的差异时,执行至少一项修复行动;当验证程序未重新识别到当前计算机状态和参考状态之间存在差异时,启动主OS,停止和退出预启动OS。
根据本发明的第二个方面,提供一种自助服务终端(102),包括:预启动操作系统;主操作系统;安全程序,其经操作首先启动预启动操作系统,确保在启动主操作系统之前满足符合性条件。
所述终端任选进一步包括:包含安全程序的平台层系统。
所述终端任选进一步包括:存储器,所述存储器储存与终端安全有关的终端配置设置。
预启动操作系统可经配置,让只有削减了的终端功能通过预启动操作系统来实现,从而当执行预启动操作系统时,让交易不得在终端执行,或至少不让该终端提供出钞。
安全程序可经操作从远程位置访问终端的代表某个参考状态的数据。远程位置可以是安全可信的主机。安全程序可让安全、可信的主机的位置预先设定,从而不能对其进行更改。安全程序可利用远程可信主机实施加密控制,确保不存在中间人攻击或其它欺诈性攻击。
安全程序可包括差异识别模块,经操作,该模块将终端的代表某个参考状态的数据与终端的配置设置进行比较。
差异识别模块可经操作,当识别到任何差异时,执行修复行动;当未识别到任何差异时,启动主操作系统,停止和退出预启动操作系统。
符合性条件可包括识别计算机当前状态和代表某个参考状态的数据之间的符合性。
安全程序可经操作访问一组参考特性,利用这些参考特性将自助服务终端重新配置到参考状态。
安全程序经操作,若终端的当前状态与已知高风险状态相符时,禁止自助服务终端的操作。已知高风险状态可包括,例如,从可移动媒体实现启动、让BIOS密码失效等。
根据本发明的第三个方面,提供一种自助服务终端(SST),包括:控制SST操作的计算机,所述计算机包括配备至少一个处理器和位于其上的至少一个存储设备的母板,所述至少一个存储设备储存平台层系统、预启动操作系统(OS)、主OS、差异识别程序、至少一个SST控制程序及其配置设置,平台层系统可由至少一个处理器按照配置设置执行,从而控制计算机的启动,在启动主OS和其内执行的至少一个SST控制程序之前,启动计算机上的预操作系统(OS),差异识别程序可由至少一个处理器执行,从而执行数据处理活动,包括:识别计算机当前状态和代表某个参考状态的数据之间的任何差异;当识别到任何差异时,执行至少一项修复行动,当未识别到任何差异时,启动主OS,停止和退出预启动OS。
任选至少部分地根据当前计算机的配置设置和特性(包括平台层系统、主操作系统、计算机储存数据、与计算机连接的设备、防火墙和威胁检测程序的多个配置设置和特性)来识别差异;任选代表某个参考状态的数据包括预期配置设置和特性(包括平台层系统、主操作系统、储存数据、设备、防火墙和威胁检测程序的多个配置设置和特性)的数据表示;任选识别当前计算机状态和参考状态之间的任何差异包括将当前计算机的配置设置和特性与代表某个参考状态的数据进行比较。
计算机任选进一步包括网络接口设备;代表某个参考状态的数据中的至少一部分经由网络接口设备通过网络进行检索。
至少一项修复行动任选包括:确定修复数据处理行动,解决识别到的差异,根据识别到的差异确定修复数据处理行动;执行修复数据处理行动;重新识别当前计算机状态和代表某个参考状态的数据之间的任何差异;当验证程序识别到当前计算机状态和参考状态之间存在相同或不同的差异时,执行至少一项修复行动;当验证程序未重新识别到当前计算机状态和参考状态之间存在任何差异时,启动主OS,停止和退出预启动OS。
平台层系统任选是基本输入/输出系统(BIOS)。
根据本发明的第四个方面,提供一种方法,包括:在启动SST的主操作系统(激活时控制SST的操作以开展交易)之前,在自助服务终端(SST)的计算设备上从平台层系统启动预启动操作系统(OS);在预启动OS内启动验证程序,验证程序可执行,从而执行数据处理活动,包括:识别当前SST计算设备状态和代表某个参考状态的数据之间的任何差异;当验证程序识别到当前SST计算设备状态和参考状态之间存在差异时,执行至少一项修复行动;当验证程序未识别到当前SST计算设备状态和参考状态之间存在任何差异时,启动主OS,停止和退出预启动OS。
任选至少部分地根据当前SST配置设置和特性(包括平台层系统、主操作系统、SST计算设备储存的数据、与SST计算设备连接的设备、防火墙和威胁检测程序的多个配置设置和特性)来识别差异。
任选代表某个参考状态的数据包括预期配置设置和特性(包括平台层系统、主操作系统、储存数据、与SST计算设备连接的设备、防火墙和威胁检测程序的多个配置设置和特性)的数据表示;任选验证程序通过将当前SST配置设置和特性与代表某个参考状态的数据进行比较,以识别当前SST计算设备状态和代表某个参考状态的数据之间的差异。
任选代表某个参考状态的数据经由SST计算设备的网络接口设备通过网络进行检索。
任选至少一项修复行动包括防止SST为开展交易而启动。
任选至少一项修复行动进一步包括将识别出当前SST计算设备状态和参考状态之间存在差异的通知传输给通知储存库。
任选至少一项修复行动包括:确定修复数据处理行动,解决差异,根据识别到的差异确定修复数据处理行动;执行修复数据处理行动;重新识别当前SST计算设备状态和代表某个参考状态的数据之间的任何差异;当验证程序识别到当前SST计算设备状态和参考状态之间存在相同或不同的差异时,执行至少一项修复行动;当验证程序未重新识别到当前SST计算设备状态和参考状态之间存在差异时,启动主OS,停止和退出预启动OS。
计算机平台层系统任选是基本输入/输出系统(BIOS)。
计算机平台层系统任选是统一可扩展固件接口(UEFI)。
SST任选是自动柜员机(ATM)。
根据本发明的第一个方面,提供一种自助服务终端,包括:启动预启动操作系统(OS)的手段;识别终端当前状态和终端的代表某个参考状态的数据之间任何差异的手段;当识别到任何差异时,执行至少一项修复行动的手段;及当未识别到任何差异时,启动主OS,停止和退出预启动OS的手段。
附图说明
以下通过举例并参照附图,对本发明的上述内容和其他方面加以具体说明:
根据一个示例实施例,图1是系统的逻辑方框图;
按照一个示例实施例,图2是计算设备的方框图。
根据一个示例实施例,图3是方法的流程方框图。
具体实施方式
在此处的各实施例中,每个实施例包括计算机预启动安全验证的系统、方法和软件中的至少一种,例如,在载入计算机主操作系统(OS)之前,在控制SST操作的计算机的启动序列期间开展这种预启动安全验证。一些此类实施例包括在计算机主OS载入并控制计算机以使SST(如ATM)进入开展交易的操作状态之前,在计算机上执行过程或程序。执行过程或程序,获得有关计算机当前状态的信息,将当前状态信息与全部或部分地从计算机数据储存和网络储存位置或服务之中的一个或两个所检索到的预期状态信息进行比较。当这种比较成功时,即这种比较得出不存在差异或差异可以接受时,载入主OS,停止运行该过程或程序。然而,当这种比较不成功时,即这种比较得出计算机当前状态和预期状态不符时,可以执行各种数据处理活动。
在一些实施例中,数据处理活动可包括不允许载入计算机主OS,从而防止计算机使SST进入开展交易的操作状态。在一些此类实施例中,可发送报警,以电子邮件、文本信息、企业SST管理系统或其它系统储存库内数据储存等形式表明所述比较失败,通知负责人员或启动维护工作流程。然而,在一些实施例中,所述过程或程序可以执行或启动进一步的修复数据处理活动。这些进一步的修复数据处理活动可包括将SST计算机恢复到上次成功通过比较的已知状态;下载SST计算机的全部或部分软件和数据图像,覆盖当前图像,使SST计算机进入比较-相符状态;执行恶意软件清除过程等。在一些此类实施例中,然后,可以重启启动程序、重新执行SST计算机的启动程序,以及通过比较来验证SST计算机更新的当前状态与预期状态相符。
一些此类实施例可包括在载入控制SST和操作软件的主OS之前,通过SST计算机的平台层系统(如BIOS或UEFI)载入预启动OS,例如
衍生OS。在此类实施例中,只有当其内启动或执行的预启动OS过程或程序表明比较成功时,才允许载入和执行主OS。在预启动OS环境中还可以存在和执行其它程序或过程,例如,用于病毒和恶意软件检查和清除等。因此,将当前状态信息与预期状态信息比较可包括将(如用于病毒和恶意软件检查和清除的)程序或过程的结果与预期结果进行比较,表明SST计算机上不存在任何此类威胁。
本文参照图形对该等及其他实施例加以描述。
在下文的详细描述中,引用了构成本文组成部分的附图,并在所述附图中以图示方式显示了其中可以实施发明主旨事项的特定实施例。该等实施例乃以足够的细节予以描述,以确保本领域的技术人员能够实施它们,并且需要了解的是,可以利用其他实施例,且可以在不偏离发明主旨事项范围的情况下做出结构、逻辑及电气改变。该等发明主旨事项的实施例在本文中可以单独及/或共同地被称为“发明”,其仅仅是为了方便而无意将本申请的范围主动限制为任何单个发明或发明概念(如果实际披露的多于一个的话)。
因此,下文的描述不应被视为具有限制意义,并且发明主旨事项的范围由所附权利要求予以界定。
在一个实施例中,本文描述的功能或算法可以以硬件、软件或软件和硬件的组合来实现。软件包括存储在诸如存储器或其他类型的存储设备等计算机可读媒体上的计算机可执行指令。此外,所描述的功能可对应于模块,其可以是软件、硬件、固件或其任何组合。多个功能以所期望的一个或多个模块来执行,并且所描述的实施例仅仅是示例。软件在数字信号处理器、ASIC、微处理器或在系统(例如个人计算机、服务器、路由器或能够处理数据的其他设备,包括网络互连设备)上操作的其他类型的处理器上执行。
某些实施例实现其中相关控制及数据信号在模块之间及通过模块传送的两个或多个具体互连的硬件模块或设备中的功能,或作为应用程序专用集成电路的一部分。因此,示范流程可适用于软件、固件及硬件实现。
平台层系统是计算设备(例如控制SST操作的个人计算机)初始化时首先执行的软件系统。平台层系统的实例包括BIOS和UEFI。当与SST一起部署时,所述平台层系统通常用于防止更改或控制SST的操作、实施盗窃、欺诈和其它非法行为的篡改。
根据一个示例实施例,图1是系统100的逻辑方框图。系统100包括经由安全网络104与银行业务系统106和企业管理系统108连接的SST,例如ATM102。
安全网络104通常是至少部分与SST,例如ATM网络通信的网络。安全网络104可依赖允许安全数据在其他网络,例如因特网上传输的安全联网协议。但是,在一些实施例中,安全网络104至少部分是物理安全网络。银行业务系统106通常是参与处理经由SST(例如,ATM102和SSCS)执行的交易的至少金融部分业务的系统。企业管理系统108是监控SST(例如,ATM102)性能的系统。
在操作中,首先在控制ATM102或其它SST类型的计算机上载入平台层系统,使计算机初始化,载入其主OS,例如
操作系统,软件在开展交易过程中在主OS上控制ATM102的操作。然而,此处的各实施例引入了预启动OS,预启动OS由平台层系统首先载入到控制ATM102的计算机上。在一些实施例中,预启动OS是至少提供计算机基本功能的OS,用于访问储存在计算机上的数据,与和计算机连接的各设备进行通信。所述设备可包括读卡器、出钞器、钞票和支票接收器这两者中的一种或两种、打印机、加密个人身份识别码(PIN)、显示器(可以是触摸屏显示器)和其它设备。在一些实施例中,从预启动OS只能操作或执行这些设备的一些数据或功能,例如,以防止出钞器出钞,从而防止预启动OS环境内的欺诈攻击。在一些实施例中,预启动OS可以是基于
的操作系统。
预启动OS一旦载入,即执行验证过程,可以是预启动OS模块或预启动OS计算环境内执行的程序。执行验证过程或程序,以验证控制ATM102的计算机的当前状态是预期的安全状态。在载入控制ATM102的计算机的主OS之前,执行验证过程或程序,不载入在开展交易中控制ATM102的操作的软件,无法为破坏ATM102而操作软件。例如,作为对ATM102计算机、主OS和与其连接的设备(例如,通用串行总线(USB)存储设备)的攻击和不安全配置设置的一部分的、出现于ATM102上的流氓软件,在其利用主OS的计算环境之前,就可以被识别出。
在一些实施例中,执行验证过程或程序,从而识别出当前ATM102计算机状态和代表预期状态的数据之间的任何差异。当前ATM102计算机状态可以是ATM102计算机、主OS、防火墙、与ATM102计算机连接的一个或多个设备、平台层系统等的配置设置和特性子集。考虑的配置设置和特性可以是验证过程或程序中硬编码的固定集,或可以是储存在ATM102计算机上的配置设置或经由网络可检索的配置设置。当前ATM102的状态还可以包括验证过程或程序可调出的另一个程序或过程所确定或收集的信息或数据。例如,可调出在预启动OS内执行的病毒和恶意软件检测和清除程序,以识别ATM102计算机上存在的病毒和恶意软件,并将它们清除。
一旦识别出ATM102计算机的当前状态,然后,验证过程或程序将当前状态数据与预期状态数据(此处亦称为参考状态或参考状态数据)进行比较。预期状态数据可从ATM102计算机的存储设备或从一个或多个网络位置或从这两者进行检索。预期状态数据可以是ATM102计算机、主OS、防火墙、与ATM102计算机连接的一个或多个设备、平台层系统等的一个或多个配置设置和特性及它们的组合。预期状态数据还可以是验证过程或程序所调出的过程或程序的预期结果,例如,病毒和恶意软件检测和清除程序的输出。
当验证过程或程序未识别出当前SST计算设备状态和预期状态之间存在差异时,验证过程或程序启动主OS,停止和退出预启动OS。
但是,当验证过程或程序识别出ATM102当前状态和预期状态之间存在差异时,验证过程或程序执行至少一项修复行动。修复行动可以只是关掉控制ATM102的计算机。一些实施例还包括向个人或负责人员可以访问的报警消息储存库发送报警消息。报警消息可以是电子邮件、文本消息、语音邮件等。报警消息还可以或替代地传输给企业管理系统108。传输给企业管理系统108的报警消息可在企业管理系统108或其它系统内启动工作流程,安排ATM102的维护。
在其它一些实施例中,修复行动还可以或替代地包括将不符合的配置设置或特性恢复到ATM102计算机的存储设备上缓存的或通过安全网络104或其它网络检索的上一次已知相符值。由于可能存在多种差异类型,一些实施例包括差异类型数据库,每种类型都对应一项或多项可执行的数据处理行动,执行这些数据处理行动是为了修复相应的差异类型。因此,当识别到差异时,可以查询数据库,确定需要执行的一项或多项修复行动,将ATM102计算机恢复到符合状态。差异类型数据库可由ATM102计算机本地储存,或经由安全网络104或其它网络访问。
在一些实施例中,修复行动可包括从储存在另一个存储设备上的图像,或可通过安全网络104或其它网络检索(例如,从企业管理系统108或其它联网储存位置或通过企业管理系统或其它联网储存位置进行检索)的图像来对ATM102计算机的全部或部分存储设备进行重新成像。在修复行动不仅为传输消息和关掉控制ATM102的计算机的实施例中,然后,可以重启控制ATM102的计算机,重启启动过程之后载入预启动OS并执行验证过程或程序。当在随后的启动期间,验证过程或程序未识别到当前SST计算设备状态和预期状态之间存在任何差异时,载入主OS,将ATM102置于开展交易的准备状态。
按照一个示例实施例,图2是计算设备的方框图。在一个实施例中,在分布式网络中采用多个计算机系统,执行交易环境中,例如图1ATM102、企业管理系统108和银行业务系统106中的多个活动。计算设备也是其它SST类型(如SSCS)可以部署的计算机的实例。一个面向对象、面向服务或面向其他的架构可能被用以实现该等功能,并在多个系统及组件之间进行通信。以计算机210形式存在的一个示例计算设备(可置于ATM102内并控制它)可能包括处理单元202、存储器204、可移动存储设备212,以及非可移动存储设备214。存储器204可能包括易失性存储器206和非易失性存储器208。计算机210可能包括—或者能够存取包括各种计算机可读媒体的计算环境,例如易失性存储器206和非易失性存储器208,可移动存储设备212和非可移动存储设备214。计算机存储包括随机存取存储器(RAM)、只读存储器(ROM)、可擦可编程只读存储器(EPROM)及电可擦可编程只读存储器(EEPROM)、闪存或其他存储器技术、光盘只读存储器(CD ROM)、数码多功能光碟(DVD)或其他光盘存储器、盒式磁带、磁带、磁盘存储器或其他磁存储设备,或者能够存储计算机可读指令的任何其他媒体。计算机210可包括或能够存取包含输入216、输出218,以及通信连接220(亦称为网络接口设备)的计算环境。计算机可使用通信连接与一个或多个远程计算机连接,例如数据库服务器,从而在网络环境中操作。远程计算机可包括个人计算机(PC)、服务器、路由器、网络个人计算机、对等设备或其他共用网络节点等等。通信连接可包括局域网(LAN)、广域网(WAN)或其它网络。
存储在计算机可读媒体上的计算机可读指令可由计算机210的处理单元202执行。硬盘(磁盘或固态盘)、CD-ROM和RAM是包括永久性计算机可读媒体的物品的一些实例。例如,预启动OS,各种计算机程序225或应用程序,例如调出的验证程序和一个或多个其它应用和模块(用以实施此处所示和所述的一种或多种方法),可以储存在永久性计算机可读媒体上。
根据一个示例实施例,图3是方法300的流程方框图。方法300是启动SST计算机后SST计算机可以执行的方法实例。示例方法300包括在启动控制自助服务终端SST操作的计算机后,启动302预启动OS。然后,方法300在预启动OS计算环境内识别304计算机当前状态和代表某个参考状态的数据之间的任何差异。值得指出的是,在预启动OS环境内,不仅识别这些差异,而且还识别计算机上储存的关于主OS和其内执行程序以及关于计算机的设备及与其连接的其他设备的数据中表示的配置设置和特性的差异。方法300进一步包括当识别到任何差异时,执行306至少一项修复行动,当未识别到任何差异时,启动308主OS,停止和退出预启动OS。
在方法300的一些实施例中,至少部分地根据当前计算机配置设置和特性(包括平台层系统、主操作系统、计算机储存数据、与计算机连接的设备、防火墙和威胁检测程序的多个配置设置和特性)来识别304差异。在一些此类实施例中,代表某个参考状态的数据包括代表预期配置设置和特性的数据。代表预期配置设置和特性的数据可包括平台层系统、主操作系统、储存数据、设备、防火墙和威胁检测程序的多个配置设置和特性。在此类实施例中,304识别当前计算机状态和参考状态之间的任何差异包括将当前计算机配置设置和特性与代表某个参考状态的数据进行比较。在一些此类实施例中,代表某个参考状态的数据中的至少一部分经由计算机网络接口设备通过网络进行检索。
在方法300的其它一些实施例中,至少一项修复行动包括确定修复数据处理行动、解决识别到的差异、根据识别到的差异确定修复数据处理行动。然后,这些实施例可执行修复数据处理活动,然后重新识别当前计算机状态和代表某个参考状态的数据之间的任何差异。然后,当验证程序识别到当前计算机状态和参考状态之间存在相同或不同的差异时,方法300可再次执行至少一项修复行动。一旦所有差异都得到了解决,或认为识别到的差异可以接受,然后,此类实施例可以启动主OS,停止和退出预启动OS。
本领域的技术人员将容易理解,可以在不偏离如所附权利要求中表达的本发明主旨事项的原理和范围的情况下,在已经描述或图示的细节、材料及部件的布置和方法阶段方面作出各种其他改变,以便解释发明主旨事项的本质。
Claims (9)
1.一种计算机预启动安全验证的方法(300),包括:
在启动控制自助服务终端(102)操作的计算机之后,启动预启动操作系统(步骤302);
在预启动操作系统的计算环境内,识别计算机当前状态和代表参考状态的数据之间的任何差异(步骤304),其中至少部分地根据当前计算机的配置设置和特性来识别差异,当前计算机的配置设置和特性包括平台层系统、主操作系统、计算机储存数据、与计算机连接的设备、防火墙和威胁检测程序的多个配置设置和特性;
当识别到任何差异时,执行至少一项修复行动(步骤306),其中至少一项修复行动包括:
确定修复数据处理行动以解决识别到的差异,其中修复数据处理行动根据识别到的差异来确定;
执行修复数据处理行动;
重新识别当前计算机状态和代表参考状态的数据之间的任何差异;
当验证程序识别到当前计算机状态和参考状态之间存在相同或不同的差异时,执行至少一项修复行动;和
当验证程序未重新识别到当前计算机状态和参考状态之间存在任何差异时,启动主操作系统并且停止和退出预启动操作系统;以及
当未识别到任何差异时,启动主操作系统并且停止和退出预启动操作系统(步骤308)。
2.根据权利要求1所述的方法,其中:代表参考状态的数据包括预期的配置设置和特性,预期的配置设置和特性包括平台层系统、主操作系统、储存数据、设备、防火墙和威胁检测程序的多个配置设置和特性;及
识别当前计算机状态和参考状态之间的任何差异包括将当前计算机的配置设置和特性与代表参考状态的数据进行比较。
3.根据权利要求2所述的方法,其中代表参考状态的数据中的至少一部分经由计算机(210)的网络接口设备(220)通过网络(104)进行检索。
4.一种自助服务终端(102),包括:
预启动操作系统;
主操作系统;及
安全程序,其经操作以:
在启动控制自助服务终端(102)操作的计算机之后,启动预启动操作系统(步骤302);
在预启动操作系统的计算环境内,识别计算机当前状态和代表参考状态的数据之间的任何差异(步骤304),其中至少部分地根据当前计算机的配置设置和特性来识别差异,当前计算机的配置设置和特性包括平台层系统、主操作系统、计算机储存数据、与计算机连接的设备、防火墙和威胁检测程序的多个配置设置和特性;
当识别到任何差异时,执行至少一项修复行动(步骤306),其中至少一项修复行动包括:
确定修复数据处理行动以解决识别到的差异,其中修复数据处理行动根据识别到的差异来确定;
执行修复数据处理行动;
重新识别当前计算机状态和代表参考状态的数据之间的任何差异;
当验证程序识别到当前计算机状态和参考状态之间存在相同或不同的差异时,执行至少一项修复行动;和
当验证程序未重新识别到当前计算机状态和参考状态之间存在任何差异时,启动主操作系统并且停止和退出预启动操作系统;以及
当未识别到任何差异时,启动主操作系统并且停止和退出预启动操作系统(步骤308)。
5.根据权利要求4所述的终端,进一步包括:包含安全程序的平台层系统。
6.根据权利要求4所述的终端,进一步包括存储器,所述存储器储存与终端安全有关的终端配置设置。
7.根据权利要求4所述的终端,其中预启动操作系统经配置,让只有削减了的终端功能通过预启动操作系统来实现,从而让交易不得执行。
8.根据权利要求4所述的终端,其中:
所述终端进一步包括网络接口设备;以及
代表参考状态的数据的至少一部分经由网络接口设备通过网络进行检索。
9.根据权利要求5所述的终端,其中所述平台层系统是基本输入/输出系统(BIOS),并且所述终端包括自动柜员机(ATM)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/838,711 | 2015-08-28 | ||
| US14/838,711 US10467418B2 (en) | 2015-08-28 | 2015-08-28 | Computer pre-boot security verification, enforcement, and remediation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107832616A CN107832616A (zh) | 2018-03-23 |
| CN107832616B true CN107832616B (zh) | 2021-05-28 |
Family
ID=56617995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610710311.6A Active CN107832616B (zh) | 2015-08-28 | 2016-08-23 | 计算机预启动安全验证、实施和修复 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10467418B2 (zh) |
| EP (1) | EP3136281B1 (zh) |
| CN (1) | CN107832616B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10154023B1 (en) * | 2014-12-18 | 2018-12-11 | EMC IP Holding Company LLC | Method and system for secure instantiation of an operation system within the cloud |
| US10445712B2 (en) * | 2015-12-17 | 2019-10-15 | Ncr Corporation | Basic input/output system (BIOS) credential management |
| US10475034B2 (en) | 2016-02-12 | 2019-11-12 | Square, Inc. | Physical and logical detections for fraud and tampering |
| US11257072B1 (en) | 2018-03-29 | 2022-02-22 | Square, Inc. | Detecting unauthorized devices |
| US11182794B1 (en) * | 2018-03-29 | 2021-11-23 | Square, Inc. | Detecting unauthorized devices using proximity sensor(s) |
| US11704411B2 (en) * | 2020-12-10 | 2023-07-18 | Ncr Corporation | Operating system encryption system and method |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100037312A1 (en) * | 2008-08-08 | 2010-02-11 | Anahit Tarkhanyan | Secure computing environment to address theft and unauthorized access |
| US7849011B1 (en) * | 2002-07-16 | 2010-12-07 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Automated banking machine bootable media authentication |
| CN101965570A (zh) * | 2008-02-29 | 2011-02-02 | 先进微装置公司 | 具有安全启动机制的计算机系统 |
| CN102693379A (zh) * | 2011-03-01 | 2012-09-26 | 微软公司 | 保护操作系统配置值 |
| US20140195792A1 (en) * | 2011-10-03 | 2014-07-10 | Intel Corporation | Hiding boot latency from system users |
| CN103996005A (zh) * | 2014-06-05 | 2014-08-20 | 四川九成信息技术有限公司 | 一种终端设备启动的监测方法 |
| CN104221325A (zh) * | 2012-04-30 | 2014-12-17 | 思科技术公司 | 用于网络环境中虚拟化镜像的安全配置的系统和方法 |
| US20150081829A1 (en) * | 2013-09-13 | 2015-03-19 | American Megatrends, Inc. | Out-of-band replicating bios setting data across computers |
-
2015
- 2015-08-28 US US14/838,711 patent/US10467418B2/en active Active
-
2016
- 2016-07-20 EP EP16180355.6A patent/EP3136281B1/en active Active
- 2016-08-23 CN CN201610710311.6A patent/CN107832616B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7849011B1 (en) * | 2002-07-16 | 2010-12-07 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Automated banking machine bootable media authentication |
| CN101965570A (zh) * | 2008-02-29 | 2011-02-02 | 先进微装置公司 | 具有安全启动机制的计算机系统 |
| US20100037312A1 (en) * | 2008-08-08 | 2010-02-11 | Anahit Tarkhanyan | Secure computing environment to address theft and unauthorized access |
| CN102693379A (zh) * | 2011-03-01 | 2012-09-26 | 微软公司 | 保护操作系统配置值 |
| US20140195792A1 (en) * | 2011-10-03 | 2014-07-10 | Intel Corporation | Hiding boot latency from system users |
| CN104221325A (zh) * | 2012-04-30 | 2014-12-17 | 思科技术公司 | 用于网络环境中虚拟化镜像的安全配置的系统和方法 |
| US20150081829A1 (en) * | 2013-09-13 | 2015-03-19 | American Megatrends, Inc. | Out-of-band replicating bios setting data across computers |
| CN103996005A (zh) * | 2014-06-05 | 2014-08-20 | 四川九成信息技术有限公司 | 一种终端设备启动的监测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3136281B1 (en) | 2020-09-09 |
| US10467418B2 (en) | 2019-11-05 |
| US20170061130A1 (en) | 2017-03-02 |
| EP3136281A1 (en) | 2017-03-01 |
| CN107832616A (zh) | 2018-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107832616B (zh) | 计算机预启动安全验证、实施和修复 | |
| US9043889B2 (en) | Method and apparatus for secure and reliable computing | |
| EP3486824B1 (en) | Determine malware using firmware | |
| EP2681689B1 (en) | Protecting operating system configuration values | |
| US20180101678A1 (en) | Method and System for Countering Ransomware | |
| US9916451B2 (en) | Information handling system boot pre-validation | |
| KR101700552B1 (ko) | 보안 운영 체제 환경으로의 콘텍스트 기반 전환 | |
| US9129114B2 (en) | Preboot environment with system security check | |
| CN107038817B (zh) | 输入外围装置安全性 | |
| US10803176B2 (en) | Bios security | |
| US10133869B2 (en) | Self-service terminal (SST) secure boot | |
| US9448888B2 (en) | Preventing a rollback attack in a computing system that includes a primary memory bank and a backup memory bank | |
| US10733300B2 (en) | Basic input/output system (BIOS)/unified extensible firmware interface (UEFI) hard drive authentication | |
| US11792184B2 (en) | Autopilot re-enrollment of managed devices | |
| US10909516B2 (en) | Basic input/output system (BIOS) credential management | |
| US10742412B2 (en) | Separate cryptographic keys for multiple modes | |
| EP3136280B1 (en) | Self-service terminal technical state monitoring and alerting | |
| US10929827B2 (en) | Basic input/output system (BIOS) and unified extensible firmware interface (UEFI) one-time boot | |
| US11275817B2 (en) | System lockdown and data protection | |
| US20200267158A1 (en) | Invariant detection using distributed ledgers | |
| CN117494197A (zh) | 电子控制器的文件加载后的授权使用方法以及装置 | |
| CN117235818A (zh) | 基于固态硬盘的加密认证方法、装置、计算机设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |