金融终端应用的安全管理监控系统及其方法技术方案

本发明专利技术揭示了金融终端应用的安全管理监控系统及其方法，该方法提供一个应用权限列表；当检测到应用安装请求时，将金融终端接收的应用包进行拆包为应用、应用权限列表、摘要、签名，并判定应用和应用权限列表是否完整，并检验摘要的签名是否一致；根据金融终端收集的应用监控信息，判断是否包含金融终端应用的安装信息，若包含金融终端应用的安装信息，提供给实时监控模块处理，若不包含金融终端应用的安装信息，提供给批量监控模块定时处理；根据不同情况确定是否报警。本发明专利技术的监控系统和方法可以通过获取金融终端应用的安装信息可以监控金融终端的应用是否正常更新、金融终端的应用是否正常安装、是否安装了未经授权的应用以及何时安装了应用及监控。

【技术实现步骤摘要】

本专利技术涉及金融终端的
，特别是一种金融终端应用的安全管理方法和监控系统及其方法。
技术介绍
随着收单受理市场逐步开放，越来越多的金融终端设备和非金机构进入这个领域，金融终端的应用也日渐丰富，应用在受理各类支付需求时需要获取敏感数据，如磁道信息、卡密码等，故市面上存在部分终端，被植入未经授权的应用，恶意获取交易的敏感数据，采用的手段包括但不限于：第一，伪造模式，将伪造的应用包装的与合法的应用相同，安装到金融终端上，替换或掩盖了合法的应用，诱导用户在伪造的应用上进行输入，从而获取到敏感信息。第二，木马模式，将木马应用安装到合法的金融终端上，通过监听服务调用，从而获取用户在终端上输入的敏感信息。
技术实现思路
针对上述问题，本专利技术通过一种包含应用安全管理、监控系统的整体方法来解决上述问题。通过签名机制审核应用安装的合法性，阻止非法应用的安装。通过服务审核机制审核应用调用服务的权限，组织应用非法获取服务数据。通过监控系统获取系统的信息，监控应用的执行情况。为了实现上述专利技术目的，本申请提供了一种金融终端应用的安全管理监控系统，配合使用一含商户信息数据库的金融终端交易系统，包括：一移动智能金融终端，包括一操作系统和一金融应用模块，所述操作系统进一步包括一监控采集模块、一服务管理模块和一应用管理模块；其中，所述操作系统中的所述应用管理模块对所述金融应用模块提供的应用包拆包为应用、应用权限列表、摘要和签名，检验所述应用和所述应用权限列表是否完整，并检验所述摘要的签名是否一致；一金融终端应用监控系统，包括一监控模块、一地理信息数据库模块和一报警模块，所述监控模块包括一实时监控模块和一批量监控模块；所述金融终端应用监控系统接受所述监控采集模块采集的应用监控信息，并判断是否包含所述金融终端的应用安装信息，若包含所述金融终端的应用安装信息，提供给所述实时监控模块实时处理，若不包含所述金融终端的应用安装信息，提供给所述批量监控模块定时处理，所述实时监控模块和所述批量监控模块根据不同情况决定是否需要报警。比较好的是，本申请提供的金融终端应用的安全管理监控系统，其特征在于，所述服务管理模块在接收到所述金融应用模块发起的应用申请的服务，根据所述应用的名称查找所述应用权限列表，并根据所述应用权限列表审核所述应用申请的服务的权限，并据此判断决定是否提供所述应用申请的服务；其中，所述监控采集模块用于采集所述金融终端的应用监控信息，所述应用监控信息包括所述金融终端应用的安装信息、使用服务信息、关键性能信息和设备信息；其中，所述应用权限列表主要包含所述应用申请的服务使用的服务名称，包括密码键盘服务、磁条卡读卡器服务、IC卡读卡器服务、网络通讯服务、基站定位服务、数据存储服务、屏幕显示服务、应用更新服务。比较好的是，本申请提供的金融终端应用的安全管理监控系统，其特征在于，所述报警条件包括：所述应用的名称不在所述金融终端应用监控系统的白名单；拆包后的所述应用的摘要与所述金融终端应用监控系统不一致；所述应用申请的服务的执行情况与所述金融终端应用监控系统的预期不一致；所述金融终端的关键性能信息超过阈值。比较好的是，本申请提供的金融终端应用的安全管理监控系统，其特征在于，所述金融终端的应用监控信息进一步包括：所述金融终端应用的安装信息、所述金融终端应用使用的服务信息、所述金融终端的关键性能信息、所述金融终端的设备信息；所述述金融终端应用的安装信息进一步包括应用个数、应用名称、安装时间、卸载时间、最近一次更新时间、应用关键模块信息摘要；所述金融终端应用使用的服务信息进一步包括服务名称、服务发起时间、服务状态、服务发起时终端的地理位置；所述金融终端的关键性能信息进一步包括磁盘空间、应用空间、内存负荷、CPU负荷；所述金融终端的设备信息进一步包括设备编号、型号、生产日期。比较好的是，本申请提供的金融终端应用的安全管理监控系统，其特征在于，当满足报警条件时，通过所述金融终端交易系统的所述商户信息数据库获得对应商户信息，所述监控模块将所述应用监控信息、所述对应的商户信息和地址信息发送给所述报警模块；所述实时监控模块和所述批量监控模块根据所述应用监控信息访问所述商户信息数据库，并获得设备编号对应的商户信息，以及根据设备经纬度获取真实经纬度地址信息。本申请还提供了一种应用上述监控系统的方法，包括：步骤一，提供一个应用权限列表，所述应用权限列表是经审核后在应用安装时提供；步骤二，当检测到一金融终端有发出应用安装请求时，将所述金融终端接收的应用包进行拆包为应用、应用权限列表、摘要、签名，并判定所述应用和所述应用权限列表是否完整，并检验所述摘要的签名是否一致；步骤三，根据所述金融终端收集的应用监控信息，判断是否包含所述金融终端应用的安装信息，若包含所述金融终端应用的安装信息，提供给所述实时监控模块处理，若不包含所述金融终端应用的安装信息，提供给所述批量监控模块定时处理；步骤四，根据不同情况确定是否报警。比较好的是，本申请提供的安全管理监控方法，其特征在于，所述步骤二和步骤三之间进一步包括：步骤二一，当发起一个应用申请的服务后，根据所述应用权限列表中查找所述应用申请的服务的权限，并据此判断决定所述是否提供所述应用申请的服务；步骤二二，如果所述应用权限列表中具有所述应用的服务权限，提供所述应用申请的服务；步骤二三，如果所述应用权限列表中不具有所述应用的服务权限，拒绝提供所述应用申请的服务。比较好的是，本申请提供的安全管理监控方法，其特征在于，所述报警条件包括：所述应用的名称不在所述金融终端应用监控系统的白名单；所述应用关键模块信息摘要与所述金融终端应用监控系统不一致；服务的执行情况与所述金融终端应用监控系统预期不一致；所述金融终端的关键性能信息超过阈值。比较好的是，本申请提供的安全管理监控方法，其特征在于，所述金融终端的应用监控信息进一步包括：所述金融终端应用的安装信息、所述金融终端应用使用的服务信息、所述金融终端的关键性能信息、所述金融终端的设备信息；所述述金融终端应用的安装信息进一步包括应用个数、应用名称、安装时间、卸载时间、最近一次更新时间、应用关键模块信息摘要；所述金融终端应用使用的服务信息进一步包括服务名称、服务发起时间、服务状态、服务发起时终端的地理位置；所述金融终端的本文档来自技高网...

【技术保护点】
金融终端应用的安全管理监控系统，配合使用一含商户信息数据库的金融终端交易系统，包括：一移动智能金融终端，包括一操作系统和一金融应用模块，所述操作系统进一步包括一监控采集模块、一服务管理模块和一应用管理模块；其中，所述操作系统中的所述应用管理模块对所述金融应用模块提供的应用包拆包为应用、应用权限列表、摘要和签名，检验所述应用和所述应用权限列表是否完整，并检验所述摘要的签名是否一致；一金融终端应用监控系统，包括一监控模块、一地理信息数据库模块和一报警模块，所述监控模块包括一实时监控模块和一批量监控模块；所述金融终端应用监控系统接受所述监控采集模块采集的应用监控信息，并判断是否包含所述金融终端的应用安装信息，若包含所述金融终端的应用安装信息，提供给所述实时监控模块实时处理，若不包含所述金融终端的应用安装信息，提供给所述批量监控模块定时处理，所述实时监控模块和所述批量监控模块根据不同情况决定是否需要报警。

【技术特征摘要】
1.金融终端应用的安全管理监控系统，配合使用一含商户信息数据库的
金融终端交易系统，包括：
一移动智能金融终端，包括一操作系统和一金融应用模块，所述操作系统
进一步包括一监控采集模块、一服务管理模块和一应用管理模块；
其中，所述操作系统中的所述应用管理模块对所述金融应用模块提供的应
用包拆包为应用、应用权限列表、摘要和签名，检验所述应用和所述应用权限
列表是否完整，并检验所述摘要的签名是否一致；
一金融终端应用监控系统，包括一监控模块、一地理信息数据库模块和一
报警模块，所述监控模块包括一实时监控模块和一批量监控模块；
所述金融终端应用监控系统接受所述监控采集模块采集的应用监控信息，
并判断是否包含所述金融终端的应用安装信息，若包含所述金融终端的应用安
装信息，提供给所述实时监控模块实时处理，若不包含所述金融终端的应用安
装信息，提供给所述批量监控模块定时处理，所述实时监控模块和所述批量监
控模块根据不同情况决定是否需要报警。
2.根据权利要求1所述的金融终端应用的安全管理监控系统，其特征在
于，
所述服务管理模块在接收到所述金融应用模块发起的应用申请的服务，根
据所述应用的名称查找所述应用权限列表，并根据所述应用权限列表审核所述
应用申请的服务的权限，并据此判断决定是否提供所述应用申请的服务；
其中，所述监控采集模块用于采集所述金融终端的应用监控信息，所述
应用监控信息包括所述金融终端应用的安装信息、使用服务信息、关键性能信
息和设备信息；
其中，所述应用权限列表主要包含所述应用申请的服务使用的服务名称，
包括密码键盘服务、磁条卡读卡器服务、IC卡读卡器服务、网络通讯服务、基
站定位服务、数据存储服务、屏幕显示服务、应用更新服务。
3.根据权利要求2所述的金融终端应用的安全管理监控系统，其特征在于，
所述报警条件进一步包括：
所述应用的名称不在所述金融终端应用监控系统的白名单；拆包后的所述
应用的摘要与所述金融终端应用监控系统不一致；所述应用申请的服务的执行
情况与所述金融终端应用监控系统的预期不一致；所述金融终端的关键性能信
息超过阈值。
4.根据权利要求3所述的金融终端应用的安全管理监控系统，其特征在
于，
所述金融终端的应用监控信息进一步包括：所述金融终端应用的安装信
息、所述金融终端应用使用的服务信息、所述金融终端的关键性能信息、所述
金融终端的设备信息；所述述金融终端应用的安装信息进一步包括应用个数、
应用名称、安装时间、卸载时间、最近一次更新时间、应用关键模块信息摘要；
所述金融终端应用使用的服务信息进一步包括服务名称、服务发起时间、服务
状态、服务发起时终端的地理位置；所述金融终端的关键性能信息进一步包括
磁盘空间、应用空间、内存负荷、CPU负荷；所述金融终端的设备信息进一步
包括设备编号、型号、生产日期。
5.根据权利要求4所述的金融终端应用的安全管理监控系统，其特征在
于，
当满足报警...

【专利技术属性】
技术研发人员：陈建，康建明，付小兵，赵凯，李斌，
申请(专利权)人：上海富友支付服务有限公司，
类型：发明
国别省市：上海;31