CN101378312B - 基于宽带网络的安全支付控制系统和方法 - Google Patents
基于宽带网络的安全支付控制系统和方法 Download PDFInfo
- Publication number
- CN101378312B CN101378312B CN2007101483381A CN200710148338A CN101378312B CN 101378312 B CN101378312 B CN 101378312B CN 2007101483381 A CN2007101483381 A CN 2007101483381A CN 200710148338 A CN200710148338 A CN 200710148338A CN 101378312 B CN101378312 B CN 101378312B
- Authority
- CN
- China
- Prior art keywords
- user
- access control
- bacp
- broadband access
- payment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于宽带网络的安全支付控制系统和方法,包括:应用支付平台收到用户终端的在线支付请求后,收集该用户终端的用户信息,并发送给宽带接入控制平台(BACP);BACP根据用户信息,验证该用户的接入帐号与接入物理线路是否对应,如果不对应,禁止该用户终端访问支付页面;否则,BACP向用户终端所属的宽带接入控制设备下发启动访问控制策略请求;宽带接入控制设备执行所述访问控制策略,用户进行在线支付。本发明彻底解决了黑客盗用用户帐号问题,提高了用户在线支付的安全性。
Description
技术领域
本发明涉及网络在线支付控制技术,特别是指一种基于宽带网络的安全支付控制系统和方法。
背景技术
随着互联网宽带应用的不断发展,宽带在线支付过程中出现了利用网络技术危害用户利益的情况,主要包括:帐号窃取、远程控制消费和木马代理消费等。
目前,针对帐号窃取情况,可以通过帐号与物理线路静态绑定的方式应对,但是其缺陷是现有网络精确绑定的实施难以一步到位。
对于远程控制消费和木马代理消费情况,目前最为常见的是通过代理型和远程控制型木马程序盗用用户帐户资金。
通常,黑客使用代理型和远程控制型木马进行盗用的过程如下:
1)黑客通过使用端口扫描程序来对需要盗取的互联网协议(IP,Internet Protocol)网段的进行大范围的漏洞扫描,试图找到一台存在安全漏洞的互联网用户终端。
2)在黑客成功找到一台存在安全漏洞(例如存在管理员账号弱口令、系统安装的SQLServer数据库的管理员默认空口令等安全漏洞)的用户终端后,黑客向用户终端上传相关的木马或其他代理程序。
3)黑客通过远程控制受害者的用户终端,并运行其上的木马程序,一方面可以直接控制受害者机器进行消费,消费的费用被记在受害者的账户上;另一方面也可仅启动代理,黑客将其本机浏览器的代理地址设为受害者机器,然后黑客就可以通过受害者机器使用宽带应用带来的所有服务,并进行消费,这样由于黑客的消费IP为受害者机器的IP,消费的费用被记在受害者的账户上。
现在针对代理型和远程控制型木马,比较常见的方法是通过查杀木马工具、安全插件、软键盘或物理键盘等方式进行识别检测,下面分别对这些方法加以说明:
木马查杀工具,通过查找用户机器的应用软件的特征确定是否存在可疑木马,通过清除这些可疑木马来确保支付应用的安全。这种方法通常不是仅针对支付安全的,并且木马查杀工具只能识别常见的已知木马,很多未知木马无法识别,因此不能从根本上抑制宽带应用上的木马盗用现象。
软键盘,通过在用户支付时由服务器或用户机器上安装的专用客户端软件提供一个专用的支付帐号/密码输入框,在该密码框内输入的信息,这样黑客很难通过键盘钩子偷取用户输入的密码,但该方式容易遭黑客暴力破解。
物理键盘,只有用户通过自己的物理键盘输入的帐号和密码才认为是可信的,而黑客通过网络远程通过鼠标点击输入的帐号和密码是不可信的,但目前服务器如何判断是从物理键盘输入的还是黑客从远程输入的,还没有很好的解决办法。
安全插件,在用户机器上安装一个客户端软件,在用户支付时,通过客户端软件收集用户机器的网卡/硬盘/中央处理器(CPU)机器信息、因特网浏览器(IE)设置和用户IP地址等信息发送给支付服务器,支付服务器根据这些信息判断用户是否存在代理或远程控制情形,但该客户端软件和软键盘一样也存在能够被黑客暴力破解的问题。
另外,目前大部分受害者的安全防范意识薄弱,仅靠用户采取安全措施效果十分有限。
发明内容
有鉴于此,本发明提出一种基于宽带网络的安全支付控制系统和方法,增加网络对各种盗用行为的防范能力,提高用户通过宽带网络进行在线支付的安全性。
基于上述目的本发明提供的一种基于宽带网络的安全支付控制系统,包括:
应用支付平台,用于接收用户终端的支付请求后,收集该用户终端的用户信息并发送至宽带接入控制平台BACP;
BACP,用于根据用户信息验证用户的接入帐号与接入物理线路是否对应,并在验证通过后,向用户终端所属的宽带接入控制设备发送启动访问控制策略的请求;
宽带接入控制设备,用于执行所述访问控制策略。
该系统所述BACP中还保存有用户信息与宽带接入控制设备对应表;BACP根据获取的用户信息,通过查询用户信息与宽带接入控制设备对应表确定用户所属的宽带接入控制设备。
该系统所述宽带接入控制设备为宽带接入服务器(BRAS)或业务路由器(SR);在用户上线时,BACP将用户动态获取的IP地址与宽带接入服务器的对应信息记录在用户信息与宽带接入控制设备对应表中;或者
所述宽带接入控制设备为用户住宅设备(CPE),所述用户信息与宽带接入控制设备对应表与综合终端管理系统中的用户IP与CPE对应表保持同步更新。
该系统所述BACP进一步用于发送取消访问控制策略请求消息至用户终端所属的宽带接入控制设备;宽带接入控制设备停止执行所述访问控制策略。
该系统所述BACP中进一步设置定时器,在BACP发送启动访问控制策略请求后定时器开始计时,在计时结束后触发BACP发送所述取消访问控制策略请求。
该系统所述BACP通过与宽带接入控制设备的动态策略控制接口向宽带接入控制设备发送信息。
该系统所述的宽带接入控制设备执行的所述访问控制策略为保留当前用户终端至支付页面和/或用户常用的逻辑通路,关闭其他逻辑通路。
该系统所述的宽带接入控制设备中还设置有白名单访问控制列表,应用支付平台的支付页面和用户常用的地址信息保存在该白名单访问控制列表中;
所述宽带接入控制设备执行的访问控制策略为仅保留至所述白名单访问控制列表中所列地址的逻辑通路,关闭其他逻辑通路。
基于上述目的本发明还提供了一种基于宽带网络的安全支付控制方法,包括:
A.应用支付平台收到用户终端的在线支付请求后,收集该用户终端的用户信息,将用户信息发送给宽带接入控制平台BACP;
B.BACP根据用户信息验证该用户的接入帐号与接入物理线路是否对应,如果对应,则执行步骤C,否则,禁止该用户终端访问支付页面;
C.BACP向用户终端所属的宽带接入控制设备下发启动访问控制策略请求;
D.宽带接入控制设备执行所述访问控制策略,用户进行在线支付。
该方法所述步骤B还包括:BACP根据获取的用户信息,通过查询用户信息与宽带接入控制设备对应表确定用户所属的宽带接入控制设备。
该方法所述宽带接入控制设备为BRAS、或SR、或用户住宅设备CPE,所述用户信息与宽带接入控制设备对应表中保存有用户IP地址与宽带接入服务器的对应信息。
该方法所述宽带接入控制设备为BRAS或SR;在用户上线时,BACP将用户动态获取的IP地址与宽带接入服务器的对应信息记录在该对应表中。
该方法所述宽带接入控制设备为用户住宅设备CPE;
所述用户信息与宽带接入控制设备对应表保存在综合终端管理系统中,BACP根据用户信息中的IP地址通过到综合终端管理系统中查询所述对应表确定用户所属的宽带接入设备;
或者BACP在本地保存所述用户信息与宽带接入控制设备对应表,并保持与综合终端管理系统中的用户信息与宽带接入控制设备对应表同步更新,BACP根据用户信息中的IP地址通过查询本地所述对应表确定用户所属的宽带接入设备。
该方法步骤D后进一步包括:BACP发送取消访问控制策略请求至用户终端所属的宽带接入控制设备;宽带接入控制设备收到该请求后停止执行所述访问控制策略。
该方法所述BACP发送取消访问控制策略的请求前进一步包括:用户支付完毕后支付页面向BACP发送取消访问控制策略请求;或者
BACP在发送完所述启动访问控制策略请求后,用于安全支付控制的定时器开始计时,当该定时器计时结束后,触发BACP发送取消访问控制策略请求。
该方法步骤D所述的宽带接入控制设备执行所述访问控制策略的过程包括:根据所述用户信息生成访问列表条目,仅保留当前用户终端至所述支付页面和/或用户常用的逻辑通路,关闭其他逻辑通路。
该方法设置白名单访问控制列表,将支付页面和用户常用的地址信息加入该白名单访问控制列表中;
步骤D所述的宽带接入控制设备执行所述访问控制策略的过程包括:根据所述白名单访问控制列表生成访问列表条目,仅保留到所述白名单访问控制列表中所列地址的逻辑通路,关闭其他逻辑通路。
该方法白名单访问控制列表中的内容由用户自行设置并动态更新。
该方法步骤A所述用户信息通过安全支付控制请求消息发送给宽带接入控制平台BACP。
该方法所述用户信息包括:用户IP、支付网关IP、TCP/UDP、应用协议类型。
从上面所述可以看出,和现有技术相比本发明基于宽带网络的安全支付控制实现系统和方法具有如下优点和特点:
现有的应用支付平台是直接验证用户帐号的合法性来决定是否允许支付,本发明实现的防止盗用的方法,是在应用支付平台支付时,增加一个与运营商的接入网络控制平台的交互流程启动网络防范能力。由于在运营商的接入网络层面实施控制,无需用户应用终端(如PC机)配合,黑客很难破解,因此是一种最彻底、效果最好的解决方案。
现有防木马病毒方法仅依靠用户机器单个物理点检测识别,并且只能防止已知的木马,本方法通过应用支付平台和宽带接入控制平台动态交互控制,可以从根本上有效防范基于木马的盗用情况;另外,本发明结合BRAS/SR的IP地址与接入物理线路的检查,可以切断黑客与远程控制木马之间的通信连接,因此能够同时防止帐号窃取、代理型和远程控制型木马的盗用情况。
现有通过在用户机器上安装一个专用的安全支付软件方式,容易遭黑客暴力破解,本发明在运营商控制的BACP平台和宽带接入服务器之间进行动态访问控制策略交互,对所有的用户设置为网络不可到达,黑客不可能进行攻击。在用户支付期间,BACP平台和宽带接入服务器之间进行动态访问控制策略交互,在支付期间仅保持用户与支付网关的通信,支付结束后则恢复用户与其他应用的正常通信。
综上,本发明通过BACP和应用支付平台的交互,在黑客较难攻击的网络层面实施控制,实现了对帐号窃取、远程控制型和代理型木马的盗用等情况的防范。
附图说明
图1为本发明实施例基于宽带网络的安全支付控制实现系统的结构示意图;
图2为本发明实施例基于宽带网络的安全支付控制实现方法流程示意图;
图3为本发明实施例基于VNET平台、宽带接入控制平台、宽带接入服务器的安全支付控制实现方法流程示意图;
图4为本发明实施例基于VNET平台、综合终端管理系统、CPE终端的安全支付控制实现方法流程示意图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。
本发明基于宽带网络的安全支付控制系统的结构,参见图1所示,主要包括:应用支付平台102、宽带接入控制平台(BACP)103和宽带接入控制设备。其中,
应用支付平台102,如支付服务器(Payment Server),主要用于通过支付页面处理用户终端101的在线支付,并且在本发明中应用支付台在平收到用户终端101的支付请求后,收集该用户终端101的用户信息,并发送包含有用户信息的安全支付控制请求至BACP 103;
BACP 103,用于在收到安全支付控制请求后,验证用户的接入帐号与接入物理线路是否对应,并在验证通过后,向用户终端101所属的宽带接入控制设备下发访问控制策略启动或取消请求;
宽带接入控制设备,是指控制用户终端宽带接入的网络设备,如宽带接入服务器(BRAS)104、业务路由器(SR)、用户住宅设备(CPE)105等,本发明中宽带接入控制设备负责在收到BACP 103的启动访问控制策略请求后,在用户支付期间执行所述访问控制策略,比如:除保证当前用户终端至支付页面、以及视为安全的用户常用逻辑通路的正常连接外,关闭其他逻辑通路,阻止黑客的入侵。
基于上述系统结构本发明安全支付控制实现方法的其较佳实施方案描述如下,参见图2所示。
(一)应用支付平台启动安全支付控制阶段,包括如下步骤:
步骤201,用户在本地通过浏览器访问应用支付平台的支付页面,向支付页面发送支付请求。
步骤202,支付页面收到来自用户终端的支付请求后,收集用户接入的IP地址、TCP/UDP端口和应用协议类型等用户信息。
步骤203,支付页面向BACP发送启动安全支付控制的请求,并在该请求消息中包含有上述的用户信息。
(二)宽带接入控制平台的安全支付控制阶段,包括如下步骤:
步骤204,BACP根据获取的用户信息查询用户信息与宽带接入控制设备对应表确定用户所属的宽带接入控制设备。
其中,宽带接入控制设备可以是BRAS、SR、CPE等。
如果是BRAS/SR,本发明在BACP中保存有用户IP与BRAS/SR的对应表,在用户上线时,BACP在该对应表中记录用户动态获取的IP与BRAS/SR的对应信息。BACP根据获取的用户IP地址通过查询用户IP与BRAS/SR对应表确定该用户所属的BRAS/SR。
如果是CPE,BACP可以根据获取的用户IP地址信息查询用户IP与用户住宅设备(CPE)对应表,确定用户所属的CPE。用户IP与CPE对应表一般保存在综合终端管理系统中,BACP可通过查询综合终端管理系统获取用户IP与CPE的对应关系信息。具体步骤为BACP向综合终端管理系统发送包含有该用户IP地址的查询请求;综合终端管理系统在本地用户IP与CPE对应表中查询该用户IP所属的CPE,并将查询结果返回给BACP。另外BACP也可自己存储一份用户IP与CPE对应表,并与综合终端管理系统中的对应表保持同步更新,这样BACP在本地查询即可。
步骤205,BACP根据用户接入帐号与物理线路的绑定信息,验证用户IP对应的接入帐号是否与接入物理线路对应,如果不对应,则禁止用户访问支付页面;如果对应,下发启动访问控制策略请求给在步骤204中确定的BRAS/SR或CPE设备。在所述启动访问控制策略请求消息中包括有用户IP、支付网关IP、TCP/UDP、应用协议类型等动态访问控制列表中所需的参数(Access List)。
BACP可以利用与BRAS/SR或CPE设备的动态策略控制接口,通过动态策略的形式,将所述启动访问控制策略请求发送至BRAS/SR或CPE设备。
其中,所述的用户接入帐号与物理线路的绑定信息保存在运营商的综合业务支撑系统(IBSS)中,BACP可以到IBSS中查询获得所述的绑定信息;另外,BACP也可以在本地保存该绑定信息,在本地查询即可。
步骤206,BRAS/SR设备或CPE设备根据收到的启动访问控制策略请求执行相应的访问控制策略,然后通知应用支付平台继续完成与用户终端的在线支付流程。
其中,本发明根据不同需要可以制定多种访问控制策略。比如:可以要求在用户支付期间,只保持用户终端至支付页面的一条逻辑通路。
根据这一策略,BRAS/SR或CPE设备根据启动访问控制策略请求中提供的用户IP、支付网关IP、TCP/UDP、应用协议类型等用户信息可生成一条访问控制列表条目,关闭当前用户终端的其他逻辑连接,使得在用户支付期间仅保持用户终端至支付页面的一条逻辑通路。
另外,还可以设置一个白名单访问控制列表,将支付页面和用户常用的域名或IP等地址信息加入白名单访问控制列表中,白名单访问控制列表中的内容可以由用户自行设置并动态更新。访问控制策略只允许用户访问包括支付页面在内的白名单访问控制列表。
BRAS/SR或CPE设备收到访问策略启动请求后,根据白名单访问控制列表生成访问控制列表条目,关闭白名单访问控制列表以外的其他逻辑连接,使得用户终端在用户支付期间只保持白名单访问列表中所列域名和IP地址之间的逻辑通路。
(三)应用支付平台取消安全支付控制阶段,包括如下步骤:
步骤207a,用户支付完毕,支付页面向BACP发送取消安全支付控制的请求消息,请求取消安全支付控制;或者,
步骤207b,BACP安全支付控制的定时器触发步骤208的取消安全支付控制。
该定时器是本发明为增强系统智能而增加的,其作用就是保证在支付请求页面出现故障或支付请求页面与BACP通信出现故障情况下,比如:支付页面仅向BACP发了申请安全支付请求后,出现故障导致无法向BACP发送取消安全支付请求,BACP可以在步骤204发送启动访问控制策略的请求后启动定时器开始计时,定时器计时结束后在定时器的触发下BACP向对应的BRAS/SR或CPE发送取消安全支付控制,以免长时间影响用户的正常上网。
步骤208,BACP下发取消当前访问控制策略的请求至相应的BRAS/SR设备或CPE设备上。
其中,BACP仍然可以利用与BRAS/SR的动态策略控制接口或与CPE设备的动态策略控制接口以动态策略的形式将所述取消访问控制策略请求发送给BRAS/SR设备或CPE设备。
步骤209,BRAS/SR设备或CPE设备执行该动态策略,即与步骤206相对应,BRAS/SR或CPE设备恢复之前关闭的其他逻辑通路,或者恢复白名单以外的其他逻辑通路。另外,还可以进一步关闭当前用户终端至支付页面的逻辑通路。
以下分别以中国电信互联星空(VNET)平台、中国电信的BACP、BRAS/SR的交互;中国电信VNET平台、中国电信的宽带接入控制平台、综合终端管理系统、CPE终端为例说明防止帐号窃取和木马代理的盗用支付的方法。
VNET平台、宽带接入控制平台、BRAS/SR的交互实施例:
步骤301,用户在本地通过浏览器访问VNET平台的VNET支付页面,向VNET支付页面发送支付请求消息。
步骤302,VNET支付页面收到来自用户终端的支付请求消息后,收集用户接入的IP地址、TCP/UDP端口和应用协议类型等用户信息。
步骤303,VNET支付页面利用简单对象访问协议(SOAP,Simple Object Access Protocol)向BACP发送启动安全支付控制的请求消息,并在请求消息中包含有步骤302中所述的用户信息。
步骤304,BACP根据获取的用户IP地址信息查询用户IP与BRAS/SR对应表,确定用户所属的BRAS/SR。
其中,在BACP中保存有用户IP与BRAS/SR的对应表,在用户上线时,BACP在该对应表中记录用户动态获取的IP与BRAS/SR的对应信息。
步骤305,BACP向宽带后台查询用户IP对应的帐号与中国电信的接入线路标识的对应表,验证用户IP对应的接入帐号是否与接入物理线路对应,如果不对应,则禁止用户访问支付页面;否则,利用与BRAS/SR的动态策略控制接口,通过CTC-COPS协议向BRAS/SR下发启动访问控制列表的动态策略消息。
步骤306,BRAS/SR执行相应的访问控制列表的动态策略,然后通知应用支付平台继续完成与用户终端的在线支付流程。
比如:BRAS/SR根据所述启动访问控制列表的动态策略消息中提供的用户IP、支付网关IP、TCP/UDP、应用协议类型等用户信息可生成一条访问控制列表条目,关闭当前用户终端的其他逻辑连接,使得在用户支付期间仅保持用户终端至支付页面的一条逻辑通路;或者,
BRAS/SR关闭白名单访问控制列表以外的其他逻辑连接,使得用户终端在用户支付期间只保持白名单访问列表中所列域名和IP地址之间的逻辑通路。
步骤307a,用户支付完毕,VNET支付页面通过SOAP协议向BACP发送取消安全支付控制的请求消息,请求取消安全支付控制;
或者,步骤307b,BACP安全支付控制的定时器触发取消安全支付控制。
步骤308,BACP利用与BRAS/SR的动态策略控制接口,通过CTC-COPS协议下发取消访问控制列表请求的动态策略消息至BRAS。
步骤309,BRAS/SR根据收到的动态策略消息恢复之前关闭的其他逻辑通路,或者恢复白名单以外的其他逻辑通路。还可以进一步关闭当前用户终端至支付页面的逻辑通路。
VNET平台、BACP、综合终端管理系统、CPE终端为例的交互实施例。
步骤401,用户在本地通过浏览器访问VNET平台的VNET支付页面,向支付页面发送支付请求消息。
步骤402,VNET支付页面收到来自用户终端的支付请求消息后,收集用户接入的IP地址、TCP/UDP端口和应用协议类型等用户信息。
步骤403,VNET支付页面利用SOAP协议向BACP发送启动安全支付控制的请求,并在请求中包含步骤402中所述的用户信息。
步骤404,BACP根据获取的用户IP地址信息查询用户IP与CPE对应表,确定用户所属的CPE,利用Web Service接口向综合终端管理系统请求控制用户IP所对应的CPE的消息。
其中,用户IP与CPE对应表一般保存在综合终端管理系统中,BACP可通过查询用户住宅设备的远程管理平台获取用户IP与CPE的对应关系信息;另外BACP也可自己存储一份用户IP与CPE对应表,并实时更新与综合终端管理系统中的对应表保持同步,这样BACP在本地查询即可。
步骤405,综合终端管理系统查询用户IP对应的帐号与CPE终端的对应表,验证用户IP对应的接入帐号是否与接入物理线路对应,如果不对应,则禁止用户访问支付页面;否则,利用与CPE的动态策略控制接口,通过TR069协议向相应的CPE下发启动访问控制列表的动态策略消息。
步骤406,CPE执行相应的访问控制列表的动态策略,然后通知应用支付平台继续完成与用户终端的在线支付流程。
比如:CPE根据所述启动访问控制列表的动态策略消息中提供的用户IP、支付网关IP、TCP/UDP、应用协议类型等参数可生成一条访问控制列表条目,关闭当前用户终端的其他逻辑连接,使得在用户支付期间仅保持用户终端至支付页面的一条逻辑通路。
或者,CPE关闭白名单访问控制列表以外的其他逻辑连接,使得用户终端在用户支付期间只保持白名单访问列表中所列域名和IP地址之间的逻辑通路。
步骤407a,用户支付完毕,VNET支付页面通过SOAP协议向BACP发送取消安全支付控制的请求消息,请求取消安全支付控制;
或者,步骤407b,BACP安全支付控制的定时器触发取消安全支付控制。
步骤408,BACP利用Web Service接口,下发取消控制用户IP所对应的CPE的消息至综合终端管理系统。
步骤409,综合终端管理系统利用与CPE的动态策略控制接口,通过远程管理协议(如TR069协议)向相应的CPE下发取消访问控制列表的动态策略消息。
步骤410,CPE根据收到的动态策略消息恢复之前关闭的其他逻辑通路,或者恢复白名单以外的其他逻辑通路。并还可进一步关闭当前用户终端至支付页面的逻辑通路。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (20)
1.一种基于宽带网络的安全支付控制系统,其特征在于,包括:
应用支付平台,用于接收用户终端的支付请求后,收集该用户终端的用户信息并发送至宽带接入控制平台BACP;
BACP,用于根据用户信息验证用户的接入帐号与接入物理线路是否对应,并在验证通过后,向用户终端所属的宽带接入控制设备发送启动访问控制策略的请求;
宽带接入控制设备,用于执行所述访问控制策略。
2.根据权利要求1所述的系统,其特征在于,所述BACP中还保存有用户信息与宽带接入控制设备对应表;BACP根据获取的用户信息,通过查询用户信息与宽带接入控制设备对应表确定用户所属的宽带接入控制设备。
3.根据权利要求2所述的系统,其特征在于,所述宽带接入控制设备为宽带接入服务器BRAS或业务路由器SR;在用户上线时,BACP将用户动态获取的IP地址与宽带接入服务器的对应信息记录在用户信息与宽带接入控制设备对应表中;或者
所述宽带接入控制设备为用户住宅设备CPE,所述用户信息与宽带接入控制设备对应表与综合终端管理系统中的用户IP与CPE对应表保持同步更新。
4.根据权利要求1所述的系统,其特征在于,所述BACP进一步用于发送取消访问控制策略请求至用户终端所属的宽带接入控制设备;宽带接入控制设备停止执行所述访问控制策略。
5.根据权利要求4所述的系统,其特征在于,所述BACP中进一步设置定时器,在BACP发送启动访问控制策略请求后定时器开始计时,在计时结束后触发BACP发送所述取消访问控制策略请求。
6.根据权利要求1或4或5所述的系统,其特征在于,所述BACP通过与宽带接入控制设备的动态策略控制接口向宽带接入控制设备发送信息。
7.根据权利要求1所述的系统,其特征在于,所述的宽带接入控制设备执行的所述访问控制策略为保留当前用户终端至支付页面和/或用户常用的逻辑通路,关闭其他逻辑通路。
8.根据权利要求7所述的系统,其特征在于,所述的宽带接入控制设备中还设置有白名单访问控制列表,应用支付平台的支付页面和用户常用的地址信息保存在该白名单访问控制列表中;
所述宽带接入控制设备执行的访问控制策略为仅保留至所述白名单访问控制列表中所列地址的逻辑通路,关闭其他逻辑通路。
9.一种基于宽带网络的安全支付控制方法,其特征在于,包括:
A.应用支付平台收到用户终端的在线支付请求后,收集该用户终端的用户信息,将用户信息发送给宽带接入控制平台BACP;
B.BACP根据用户信息验证该用户的接入帐号与接入物理线路是否对应,如果对应,则执行步骤C,否则,禁止该用户终端访问支付页面;
C.BACP向用户终端所属的宽带接入控制设备下发启动访问控制策略请求;
D.宽带接入控制设备执行所述访问控制策略,用户进行在线支付。
10.根据权利要求9所述的方法,其特征在于,所述步骤B还包括:BACP根据获取的用户信息,通过查询用户信息与宽带接入控制设备对应表确定用户所属的宽带接入控制设备。
11.根据权利要求10所述的方法,其特征在于,所述宽带接入控制设备为宽带接入服务器BRAS、或业务路由器SR、或用户住宅设备CPE,所述用户信息与宽带接入控制设备对应表中保存有用户IP地址与宽带接入服务器的对应信息。
12.根据权利要求11所述的方法,其特征在于,所述宽带接入控制设备为BRAS或SR;在用户上线时,BACP将用户动态获取的IP地址与宽带接入服务器的对应信息记录在该对应表中。
13.根据权利要求11所述的方法,其特征在于,所述宽带接入控制设备为用户住宅设备CPE;
所述用户信息与宽带接入控制设备对应表保存在综合终端管理系统中,BACP根据用户信息中的IP地址通过到综合终端管理系统中查询所述对应表确定用户所属的宽带接入设备;
或者BACP在本地保存所述用户信息与宽带接入控制设备对应表,并保持与综合终端管理系统中的用户信息与宽带接入控制设备对应表同步更新,BACP根据用户信息中的IP地址通过查询本地所述对应表确定用户所属的宽带接入设备。
14.根据权利要求9所述的方法,其特征在于,步骤D后进一步包括:BACP发送取消访问控制策略请求至用户终端所属的宽带接入控制设备;宽带接入控制设备收到该请求后停止执行所述访问控制策略。
15.根据权利要求14所述的方法,其特征在于,所述BACP发送取消访问控制策略请求前进一步包括:用户支付完毕后支付页面向BACP发送取消访问控制策略请求;或者
BACP在发送完所述启动访问控制策略请求后,用于安全支付控制的定时器开始计时,当该定时器计时结束后,触发BACP发送取消访问控制策略请求。
16.根据权利要求9所述的方法,其特征在于,步骤D所述的宽带接入控制设备执行所述访问控制策略的过程包括:根据所述用户信息生成访问列表条目,仅保留当前用户终端至所述支付页面和/或用户常用的逻辑通路,关闭其他逻辑通路。
17.根据权利要求16所述的方法,其特征在于,设置白名单访问控制列表,将支付页面和用户常用的地址信息加入该白名单访问控制列表中;
步骤D所述的宽带接入控制设备执行所述访问控制策略的过程包括:根据所述白名单访问控制列表生成访问列表条目,仅保留到所述白名单访问控制列表中所列地址的逻辑通路,关闭其他逻辑通路。
18.根据权利要求17所述的方法,其特征在于,白名单访问控制列表中的内容由用户自行设置并动态更新。
19.根据权利要求9所述的方法,其特征在于,步骤A所述用户信息通过安全支付控制请求消息发送给宽带接入控制平台BACP。
20.根据权利要求9至18任意一项所述的方法,其特征在于,所述用户信息包括:用户IP、支付网关IP、TCP/UDP、应用协议类型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101483381A CN101378312B (zh) | 2007-08-31 | 2007-08-31 | 基于宽带网络的安全支付控制系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101483381A CN101378312B (zh) | 2007-08-31 | 2007-08-31 | 基于宽带网络的安全支付控制系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101378312A CN101378312A (zh) | 2009-03-04 |
CN101378312B true CN101378312B (zh) | 2011-07-20 |
Family
ID=40421673
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101483381A Active CN101378312B (zh) | 2007-08-31 | 2007-08-31 | 基于宽带网络的安全支付控制系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101378312B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103856458B (zh) * | 2012-12-04 | 2018-12-11 | 腾讯科技(深圳)有限公司 | 页面认证方法及装置 |
KR101410948B1 (ko) * | 2013-03-13 | 2014-06-23 | 주식회사 하렉스인포텍 | 모바일 결제 처리 시스템 및 그 방법 |
CN103259805B (zh) * | 2013-06-09 | 2016-09-28 | 中国科学院计算技术研究所 | 基于用户评价的域名访问控制方法及系统 |
CN104519015A (zh) * | 2013-09-26 | 2015-04-15 | 中国电信股份有限公司 | 一种实现安全支付的方法和系统 |
CN104378346A (zh) * | 2014-06-30 | 2015-02-25 | 南京信风网络科技有限公司 | 一种防止帐号被盗用的方法 |
CN108462580B (zh) * | 2017-02-22 | 2020-07-07 | 腾讯科技(深圳)有限公司 | 数值转移方法及装置 |
CN109829821A (zh) * | 2019-01-16 | 2019-05-31 | 海南新软软件有限公司 | 一种数字资产地址转移异常的处理方法、装置及系统 |
CN111416772A (zh) * | 2020-03-17 | 2020-07-14 | 京东数字科技控股有限公司 | 路由路径匹配方法、装置、电子设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1592220A (zh) * | 2003-09-04 | 2005-03-09 | 华为技术有限公司 | 控制宽带网络用户接入网络的方法 |
CN101009005A (zh) * | 2006-01-24 | 2007-08-01 | 中国电信股份有限公司 | 保障基于互联网的支付安全的方法、系统和平台 |
-
2007
- 2007-08-31 CN CN2007101483381A patent/CN101378312B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1592220A (zh) * | 2003-09-04 | 2005-03-09 | 华为技术有限公司 | 控制宽带网络用户接入网络的方法 |
CN101009005A (zh) * | 2006-01-24 | 2007-08-01 | 中国电信股份有限公司 | 保障基于互联网的支付安全的方法、系统和平台 |
Also Published As
Publication number | Publication date |
---|---|
CN101378312A (zh) | 2009-03-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101378312B (zh) | 基于宽带网络的安全支付控制系统和方法 | |
US10417421B2 (en) | System and method for providing network security to mobile devices | |
US10419459B2 (en) | System and method for providing data and device security between external and host devices | |
CN101009005B (zh) | 保障基于互联网的支付安全的方法、系统和平台 | |
CN103391216B (zh) | 一种违规外联报警及阻断方法 | |
CN100571157C (zh) | 一种实现移动台安全控制的方法及其系统 | |
EP2132643B1 (en) | System and method for providing data and device security between external and host devices | |
KR101002421B1 (ko) | 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템 | |
KR20070103774A (ko) | 통신 제어 장치 및 통신 제어 시스템 | |
WO1999000720A2 (en) | Method and arrangement for detecting a non-authorised user access to a communications network | |
US8726384B2 (en) | Apparatus, and system for determining and cautioning users of internet connected clients of potentially malicious software and method for operating such | |
CN110493195A (zh) | 一种网络准入控制方法及系统 | |
CN101098227A (zh) | 一种宽带接入设备的用户安全防护方法 | |
CN101127634A (zh) | 一种移动台安全更新升级的方法及其系统 | |
KR20020027702A (ko) | 인터넷상에서 유해 사이트 접속을 차단하는 방법 | |
KR101518474B1 (ko) | 현재 시간 기준으로 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유의 현재 상태 검출 및 차단 시스템 | |
KR101910496B1 (ko) | 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법 | |
CN101277302A (zh) | 一种分布式网络设备安全集中防护的装置与方法 | |
JP2007310435A (ja) | 情報管理システム | |
CN109274638A (zh) | 一种攻击源接入自动识别处理的方法和路由器 | |
JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
KR20110006398A (ko) | 디도스 공격 감지 및 방어방법 | |
CN112134845A (zh) | 一种抗拒绝服务系统 | |
KR102148189B1 (ko) | 악성사이트 차단을 위한 장치 및 방법 | |
CN113452702B (zh) | 一种微服务流量检测系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |