[发明专利]基于宽带网络的安全支付控制系统和方法

说明书

技术领域

本发明涉及网络在线支付控制技术，特别是指一种基于宽带网络的安全支付控制系统和方法。

背景技术

随着互联网宽带应用的不断发展，宽带在线支付过程中出现了利用网络技术危害用户利益的情况，主要包括：帐号窃取、远程控制消费和木马代理消费等。

目前，针对帐号窃取情况，可以通过帐号与物理线路静态绑定的方式应对，但是其缺陷是现有网络精确绑定的实施难以一步到位。

对于远程控制消费和木马代理消费情况，目前最为常见的是通过代理型和远程控制型木马程序盗用用户帐户资金。

通常，黑客使用代理型和远程控制型木马进行盗用的过程如下：

1)黑客通过使用端口扫描程序来对需要盗取的互联网协议(IP，Internet Protocol)网段的进行大范围的漏洞扫描，试图找到一台存在安全漏洞的互联网用户终端。

2)在黑客成功找到一台存在安全漏洞(例如存在管理员账号弱口令、系统安装的SQLServer数据库的管理员默认空口令等安全漏洞)的用户终端后，黑客向用户终端上传相关的木马或其他代理程序。

3)黑客通过远程控制受害者的用户终端，并运行其上的木马程序，一方面可以直接控制受害者机器进行消费，消费的费用被记在受害者的账户上；另一方面也可仅启动代理，黑客将其本机浏览器的代理地址设为受害者机器，然后黑客就可以通过受害者机器使用宽带应用带来的所有服务，并进行消费，这样由于黑客的消费IP为受害者机器的IP，消费的费用被记在受害者的账户上。

现在针对代理型和远程控制型木马，比较常见的方法是通过查杀木马工具、安全插件、软键盘或物理键盘等方式进行识别检测，下面分别对这些方法加以说明：

木马查杀工具，通过查找用户机器的应用软件的特征确定是否存在可疑木马，通过清除这些可疑木马来确保支付应用的安全。这种方法通常不是仅针对支付安全的，并且木马查杀工具只能识别常见的已知木马，很多未知木马无法识别，因此不能从根本上抑制宽带应用上的木马盗用现象。

软键盘，通过在用户支付时由服务器或用户机器上安装的专用客户端软件提供一个专用的支付帐号/密码输入框，在该密码框内输入的信息，这样黑客很难通过键盘钩子偷取用户输入的密码，但该方式容易遭黑客暴力破解。

物理键盘，只有用户通过自己的物理键盘输入的帐号和密码才认为是可信的，而黑客通过网络远程通过鼠标点击输入的帐号和密码是不可信的，但目前服务器如何判断是从物理键盘输入的还是黑客从远程输入的，还没有很好的解决办法。

安全插件，在用户机器上安装一个客户端软件，在用户支付时，通过客户端软件收集用户机器的网卡/硬盘/中央处理器(CPU)机器信息、因特网浏览器(IE)设置和用户IP地址等信息发送给支付服务器，支付服务器根据这些信息判断用户是否存在代理或远程控制情形，但该客户端软件和软键盘一样也存在能够被黑客暴力破解的问题。

另外，目前大部分受害者的安全防范意识薄弱，仅靠用户采取安全措施效果十分有限。

发明内容

有鉴于此，本发明提出一种基于宽带网络的安全支付控制系统和方法，增加网络对各种盗用行为的防范能力，提高用户通过宽带网络进行在线支付的安全性。

基于上述目的本发明提供的一种基于宽带网络的安全支付控制系统，包括：

应用支付平台，用于接收用户终端的支付请求后，收集该用户终端的用户信息并发送至宽带接入控制平台BACP；

BACP，用于根据用户信息验证用户的接入帐号与接入物理线路是否对应，并在验证通过后，向用户终端所属的宽带接入控制设备发送启动访问控制策略的请求；

宽带接入控制设备，用于执行所述访问控制策略。

该系统所述BACP中还保存有用户信息与宽带接入控制设备对应表；BACP根据获取的用户信息，通过查询用户信息与宽带接入控制设备对应表确定用户所属的宽带接入控制设备。

该系统所述宽带接入控制设备为宽带接入服务器(BRAS)或业务路由器(SR)；在用户上线时，BACP将用户动态获取的IP地址与宽带接入服务器的对应信息记录在用户信息与宽带接入控制设备对应表中；或者

所述宽带接入控制设备为用户住宅设备(CPE)，所述用户信息与宽带接入控制设备对应表与综合终端管理系统中的用户IP与CPE对应表保持同步更新。

该系统所述BACP进一步用于发送取消访问控制策略请求消息至用户终端所属的宽带接入控制设备；宽带接入控制设备停止执行所述访问控制策略。