保障基于互联网的支付安全的方法、系统和平台

1.一种保障基于互联网的支付安全的方法，其特征在于包括以下步骤：
客户机访问支付平台并下载一个安全插件；
所述安全插件获取其所在的客户机的主机信息并连同合法性验证请求发送至所述支付平台中的安全插件后台；
所述安全插件后台响应于所述合法性验证请求，对所述安全插件的合法性进行验证，获取并记录客户机信息；
所述安全插件判断所述客户机是否采用了代理或者被远程控制，在得到判断结果后，客户机中的浏览器将用户输入的支付请求提交给所述支付平台，其中支付请求携带有安全插件得到的所述判断结果；
所述支付平台中的安全插件后台基于所述安全插件的判断结果、所述记录的客户机信息和所述支付请求判断所述客户机是否采用了代理或者被远程控制，如果是，则所述支付平台拒绝支付请求。
2.如权利要求1所述的方法，其特征在于，所述安全插件执行的判断代理的步骤包括：
对所述安全插件到所述安全插件后台的连接的目的地址与所述安全插件后台的IP地址进行比较，如果二者不一致，则判断所述客户机采用了代理。
3.如权利要求2所述的方法，其特征在于，所述安全插件执行的判断代理的步骤还包括：对客户机的浏览器的注册表进行检查，以检查在浏览器中是否设置了HTTP或Socket代理。
4.如权利要求1所述的方法，其特征在于，所述安全插件执行的判断远程控制的步骤包括：判断所述支付请求是否是通过物理键盘或物理鼠标输入的，如果不是，则判断所述客户机被远程控制。
5.如权利要求1所述的方法，其特征在于，所述安全插件还执行下述操作：在支付时，切断所述客户机对除了所述支付平台的白名单的IP地址以外的所有TCP连接。
6.如权利要求1所述的方法，其特征在于，所述安全插件后台执行的判断步骤包括：对所述记录的客户机信息中包含的客户机IP地址与提出所述支付请求的实际请求源的IP地址进行比较，如果二者不一致，则判断所述客户机采用了代理。
7.如权利要求6所述的方法，其特征在于，所述安全插件后台执行的判断步骤还包括：
对所述记录的客户机信息中包含的下列信息中的至少一个与提出所述支付请求的实际请求源的相应信息进行比较，如果二者不一致，则判断所述客户机采用了代理，所述的这些信息包括：宽带接入物理线路、MAC地址、硬盘ID和CPU系列号。
8.如权利要求6所述的方法，其特征在于，所述安全插件后台执行的判断步骤还包括：
通过识别HTTP包头的特征字段来识别HTTP代理。
9.一种基于互联网的安全支付系统，包括支付平台和客户机，其特征在于：
所述客户机包括一浏览器，该浏览器用于与所述支付平台通信，并从所述支付平台下载一个安全插件，
所述安全插件包括：
主机信息获取模块，用于获取其所在的客户机的主机信息并连同合法性验证请求发送至所述支付平台，和
木马程序识别处理模块，用于判断所述客户机是否采用了代理或者被远程控制；
所述支付平台包括用于接收支付请求的支付接口页面和安全插件后台，
所述安全插件后台包括：
安全插件生成单元，用于生成所述安全插件，
安全插件验证单元，用于响应于所述合法性验证请求，对下载到所述客户机的安全插件的合法性进行验证，并获取客户机信息；
客户机信息存储单元，用于记录所述客户机信息，和
木马程序识别单元，用于基于所述安全插件中的木马程序识别处理模块的判断结果、所述记录的客户机信息和用户的支付请求判断所述客户机是否采用了代理或者被远程控制，如果是，则拒绝支付请求。
10.如权利要求9所述的系统，其特征在于，所述安全插件中的木马程序识别处理模块执行的判断代理的操作包括：对所述安全插件到所述安全插件后台的连接的目的地址与所述安全插件后台的IP地址进行比较，如果二者不一致，则判断所述客户机采用了代理。
11.如权利要求10所述的系统，其特征在于，所述安全插件中的木马程序识别处理模块执行的判断代理的操作还包括：对客户机的浏览器的注册表进行检查，以检查在浏览器中是否设置了HTTP或Socket代理。
12.如权利要求9所述的系统，其特征在于，所述安全插件中的木马程序识别处理模块执行的判断远程控制的操作包括：判断所述支付请求是否是通过物理键盘或物理鼠标输入的，如果不是，则判断所述客户机被远程控制。
13.如权利要求9所述的系统，其特征在于，所述安全插件中的木马程序识别处理模块还执行下述操作：在支付时，切断所述客户机对除了所述支付平台的白名单的IP地址以外的所有TCP连接。
14.如权利要求9所述的系统，其特征在于，所述安全插件后台中的木马程序识别单元执行的判断操作包括：对所述记录的客户机信息中包含的客户机IP地址与提出所述支付请求的实际请求源的IP地址进行比较，如果二者不一致，则判断所述客户机采用了代理。
15.如权利要求14所述的系统，其特征在于，所述安全插件后台中的木马程序识别单元执行的判断操作还包括：对所述记录的客户机信息中包含的下列信息中的至少一个与提出所述支付请求的实际请求源的相应信息进行比较，如果二者不一致，则判断所述客户机采用了代理，所述的这些信息包括：宽带接入物理线路、MAC地址、硬盘ID和CPU系列号。
16.如权利要求14所述的系统，其特征在于，所述安全插件后台中的木马程序识别单元执行的判断操作还包括：通过识别HTTP包头的特征字段来识别HTTP代理。
17.一种基于互联网的支付平台，其特征在于包括：
支付接口页面，用于接收支付请求；和
安全插件后台，其包括：
安全插件生成单元，用于生成一安全插件，该安全插件被下载到客户机，并判断所述客户机是否采用了代理或者被远程控制，所述判断的结果连同用户输入的支付请求被提交给所述安全插件后台；
安全插件验证单元，基于与下载到所述客户机的安全插件的交互，对该安全插件的合法性进行验证，并获取客户机信息；
客户机信息存储单元，用于记录所述客户机信息，和
木马程序识别单元，用于基于所述安全插件的判断结果、所述记录的客户机信息和用户的支付请求判断所述客户机是否采用了代理或者被远程控制，如果是，则拒绝支付请求。

保障基于互联网的支付安全的方法、系统和平台\n技术领域\n[0001] 本发明涉及在基于互联网的支付中使用的方法、系统和平台。更具体地，涉及在通过互联网进行支付时保证支付安全的方法、系统和平台。\n背景技术\n[0002] 近年来，随着互联网宽带应用的不断发展，由银行、电信等部门提供的宽带收费平台给用户提供了极大的便利。但是，由于出现了通过帐号窃取以及通过利用木马(Trojan horse)程序进行盗用消费的情况，严重地威胁了互联网支付安全，给后续的宽带业务良性发展带来了很大的隐患。针对帐号窃取情况，可以采用将帐号与物理线路绑定的方式应对。\n而对于“木马程序”盗用消费的情况，还没有根本的防范方式。\n[0003] 目前最为普遍的木马程序是代理型木马和远程控制型木马。图1中示意性地说明了黑客使用代理型木马和远程控制型木马进行盗用的情况。黑客通过其计算机101，使用端口扫描程序来对需要盗取的IP网段进行大范围的漏洞扫描，以试图找到一台存在安全漏洞的互联网用户主机。在黑客成功找到一台存在安全漏洞(例如存在管理员账号弱口令、系统安装的SQLServer数据库的管理员SA默认空口令等安全漏洞)的用户主机102后，黑客向该用户主机(受害者机器)102上传代理型木马程序或者远程控制型木马程序。在代理的情况下，黑客将其本机101的浏览器中的代理地址设为受害者机器102的地址，然后黑客就可以通过受害者机器102使用宽带应用平台103提供的所有服务，并进行消费。由于黑客的消费IP为受害者机器102的IP，消费的费用一般被记在受害者的账户上。而在远程控制的情况下，黑客通过网络远程控制受害者机器102，使用宽带应用平台103提供的服务进行消费，而将消费的费用记在受害者的账户上。\n[0004] 目前，针对代理型木马和远程控制型木马盗用的情况，在客户端102侧和宽带应用平台103侧分别采取了一些防范方法。在宽带应用平台103侧，通过检查HTTP(HyperTextTransferProtocol，超文本传输协议)头部的某些字段特征，例如Pragma、Via、X-Forwarded-For、Cache-Control字段，对代理型木马进行识别检测。具体地说，如果平台103从HTTP包头的特征字段看到的是机器102，而实际请求支付的却是另一台机器\n101，则判断存在采用代理的方式进行消费的情况从而拒绝支付请求。但是，这种通过宽带应用平台103识别HTTP包头的特征字段的方法只能检测HTTP代理，而无法防范其他类型的代理如SOCKET代理、SocksCap+Socks等等。在客户端102侧，通常是通过查杀木马工具对远程控制型和代理型木马程序进行识别和处理。这种方法的缺陷是，目前大部分用户的安全防范意识薄弱，仅靠用户采取安全措施效果不理想。另外，所有的木马查杀工具只能识别常见的已知木马程序，而无法防范未知的木马程序，因而不能从根本上抑制宽带应用中的利用木马程序进行盗用消费的现象。\n发明内容\n[0005] 本发明的目的是在通过互联网进行支付的过程中，对远程控制型和代理型木马程序进行有效的检测和处理，以防止通过木马程序进行盗用的情况，从而保证支付安全。\n[0006] 为实现上述目的，根据本发明的一个方面，提供一种保障基于互联网的支付安全的方法，其中包括以下步骤：客户机访问支付平台并下载一个安全插件；所述安全插件获取其所在的客户机的主机信息并连同合法性验证请求发送至所述支付平台中的安全插件后台；所述安全插件后台响应于所述合法性验证请求，对所述安全插件的合法性进行验证，获取并记录客户机信息；所述安全插件判断所述客户机是否采用了代理或者被远程控制，所得到的判断结果连同用户输入的支付请求被提交给所述支付平台；所述支付平台中的安全插件后台基于所述安全插件的判断结果、所述记录的客户机信息和所述支付请求判断所述客户机是否采用了代理或者被远程控制，如果是，则所述支付平台拒绝支付请求。\n[0007] 根据本发明的另一个方面，提供一种基于互联网的安全支付系统，包括支付平台和客户机，其中：所述客户机包括一浏览器，该浏览器用于与所述支付平台通信，并从所述支付平台下载一个安全插件，所述安全插件包括：主机信息获取模块，用于获取其所在的客户机的主机信息并连同合法性验证请求发送至所述支付平台，和识别处理模块，用于判断所述客户机是否采用了代理或者被远程控制；所述支付平台包括用于接收支付请求的支付接口页面和安全插件后台，所述安全插件后台包括：安全插件生成单元，用于生成所述安全插件，安全插件验证单元，用于响应于所述合法性验证请求，对下载到所述客户机的安全插件的合法性进行验证，并获取客户机信息；客户机信息存储单元，用于记录所述客户机信息，和识别处理单元，用于基于所述安全插件中的识别处理模块的判断结果、所述记录的客户机信息和用户的支付请求判断所述客户机是否采用了代理或者被远程控制，如果是，则拒绝支付请求。\n[0008] 根据本发明的另一个方面，提供一种基于互联网的支付平台，其中包括：支付接口页面，用于接收支付请求；和安全插件后台，其包括：安全插件生成单元，用于生成一安全插件，该安全插件被下载到客户机，并判断所述客户机是否采用了代理或者被远程控制，所述判断的结果连同用户输入的支付请求被提交给所述安全插件后台；安全插件验证单元，基于与下载到所述客户机的安全插件的交互，对该安全插件的合法性进行验证，并获取客户机信息；客户机信息存储单元，用于记录所述客户机信息，和识别处理单元，用于基于所述安全插件的判断结果、所述记录的客户机信息和用户的支付请求判断所述客户机是否采用了代理或者被远程控制，如果是，则拒绝支付请求。\n[0009] 本发明的一个优点是，通过客户机侧的安全插件和宽带应用平台侧的插件后台自动双重检测远程控制型和代理型木马的情况，可以从根本上有效防范基于木马程序的盗用消费。\n[0010] 本发明的另一个优点是，通过浏览器主动推送防木马安全插件，易于安装、推广和维护管理。\n[0011] 另外，根据本发明的一种优选实施方式，可以通过动态的白名单方式，在对用户上网行为影响最小的情况下，有效抑制黑客利用木马程序进行盗用消费。\n附图说明\n[0012] 从下面结合附图对本发明优选实施例的描述，本领域的技术人员可以更清楚地理解本发明的进一步目的、特征和优点。在这些附图中，相同或相似的附图标记表示相同或相似的部件，其中：\n[0013] 图1是说明黑客使用木马程序进行盗用的情况的示意图；\n[0014] 图2A是根据本发明的支付系统的客户机侧的框图；\n[0015] 图2B是根据本发明的支付系统的宽带应用平台侧的框图；\n[0016] 图3是根据本发明对代理型木马进行检测的示意图；\n[0017] 图4是根据本发明对远程控制型木马进行检测的示意图；\n[0018] 图5是根据本发明的方法的流程图；\n[0019] 图6是说明在根据本发明的一个优选实施例中，客户机侧的安全插件对代理型木马进行识别的方法的流程图；\n[0020] 图7是说明在根据本发明的一个优选实施例中，客户机侧的安全插件对远程控制型木马进行识别的方法的流程图；\n[0021] 图8是说明在根据本发明的一个优选实施例中，客户机侧的安全插件通过切断合法支付链路以外的所有链路来防范木马程序的方法的流程图；\n[0022] 图9是说明在根据本发明的一个优选实施例中，宽带应用平台侧的安全插件后台对木马程序进行识别和处理的方法的流程图。\n具体实施方式\n[0023] 图2A和图2B分别概略地示出了根据本发明的支付系统的客户机侧和宽带应用平台侧的框图。\n[0024] 如图2A中所示，客户机201包括一个浏览器211，例如微软公司的IE浏览器，用于与宽带应用平台进行通信，并从该平台下载一个安全插件212。在支付的过程中，该安全插件212通过与平台侧的安全插件后台(后面将说明)的交互作用，在客户机201侧对木马程序进行检测和处理。该安全插件212包括以下组成部分：主机信息获取模块241和木马程序识别处理模块242。关于该安全插件212的各组成模块及其子模块(图中未示出)的功能将在下文中进行更详细的说明。\n[0025] 如图2B中所示，宽带应用平台203，例如中国电信互联网宽带业务平台即VNET平台，包括支付接口页面231，用于接收用户通过客户机201上的浏览器211发出的支付请求。\n宽带应用平台203还包括一个安全插件后台232，用于通过与客户机201侧的安全插件212的交互作用，在平台侧实现对木马程序进行检测和处理。该安全插件后台232包括以下组成部分：安全插件生成单元251，安全插件验证单元252，木马程序识别单元253，安全插件文件存储单元255，和客户机信息存储单元256。\n[0026] 需要说明的是，在图2B中，将插件后台232示为平台203的功能模块。但是，本领域的技术人员可以理解，插件后台232也可作为独立的功能实体实现。另外，为了避免模糊本发明的内容，宽带应用平台203中的那些与现有支付平台相同的部分以及那些并非与本发明密切相关的部分在图2B中没有示出。\n[0027] 根据本发明的支付系统通过在请求支付的客户机上安装安全插件，并通过安全插件和宽带应用平台侧的插件后台之间的交互作用，实现木马程序的检测、识别和处理。下面结合图5详细说明根据本发明的方法。\n[0028] 首先是安全插件检测、安装阶段。\n[0029] 在步骤S1，用户利用浏览器211访问宽带应用平台203的支付接口页面231。\n[0030] 在步骤S2，宽带应用平台203的支付接口页面231的脚本程序检查浏览器211中是否已经安装了防木马安全插件。如果不存在安全插件或安全插件的完整性被破坏，则在步骤S3a，该支付接口页面231提示用户通过浏览器211下载安装安全插件212。该安全插件212由图2B中所示的安全插件后台232中的安全插件生成单元251生成。如果浏览器\n211中已经安装了安全插件212，则在步骤S3b激活该安全插件212。\n[0031] 接下来，进行到安全插件合法性检查及用户端口定位阶段。\n[0032] 在步骤S4，安全插件212向宽带应用平台203发送插件合法性验证请求。具体地说，该安全插件212向安全插件后台232中的安全插件验证单元252发送一个插件合法性验证请求Question，其中包括由安全插件212生成的随机字符串k和由安全插件212中的主机信息获取模块241获得的关于客户机201的主机信息HostInfo，以及按照预定算法计算的Answer值。所述的随机字符串k例如可以只包含数字。所述的主机信息HostInfo例如可以包括客户机201的MAC地址、CPU系列号和硬盘ID。所述的预定算法例如可以为3DES算法，其中采用用户密码的SHA1值为密钥。\n[0033] 接着进行到步骤S5。在宽带应用平台203侧，安全插件后台232中的安全插件验证单元252对安全插件212的合法性进行验证。具体地说，安全插件验证单元252提取插件合法性验证请求Question中的随机字符串k和主机信息HostInfo，与保存在插件后台232中的安全插件文件存储单元255中的安全插件文件一起作为输入参数，按照与安全插件212在客户机201侧相同的算法计算Answer值。如果安全插件验证单元252计算的Answer值与从插件合法性验证请求Question中提取的Answer值一致，则判断安全插件212合法，否则为不合法。另外，验证单元252还获取客户机201的端口信息。例如，验证单元252可以根据安全插件后台232与客户机201的TCP/IP连接数据包中的源IP地址向宽带接入认证系统查询客户机201的宽带接入物理线路、接入帐号等信息，或者，验证单元252可以直接获取插件合法性验证请求Question中的主机信息HostInfo作为客户机201的端口信息。\n[0034] 在验证单元252判断安全插件212合法的情况下，则为获得此安全插件212的客户机201的publicIP建立一个SessionID，并将所述的客户机201的端口信息和SessionID记录在客户机信息存储单元256中。\n[0035] 接着，在步骤S6，插件后台232向客户机201侧的安全插件212返回合法性请求验证结果，该结果中包含宽带应用平台203获取到的安全插件212所在的客户机201的IP地址和为其建立的SessionID。在本发明的一个实施例中，在该步骤S6，插件后台232还向客户机201侧的安全插件212返回宽带应用平台203的IP地址白名单，后面将对其进行说明。\n[0036] 接下来，进行到安全插件和宽带应用平台中的安全插件后台对远程控制及代理型木马进行识别和处理的阶段。\n[0037] 在步骤S7，安全插件212中的木马程序识别处理模块242按照一定的策略对代理型和远程控制型木马程序分别进行防范处理。\n[0038] 对代理型木马的判断及处理\n[0039] 在黑客利用代理型木马进行盗用消费的情况下，上面结合图2和图5描述的客户机201作为黑客机器运行。更具体地，如图3中所示，黑客机器201通过受害者机器302作为代理访问宽带应用平台203并请求支付。在这种情况下，按照本发明，安全插件212被下载到黑客机器201中并在其中运行。安全插件212需要对这种情况(即，该安全插件212所在的客户机201是一台采用了代理的黑客机器)进行识别和处理。\n[0040] 图6示出了根据本发明的一个优选实施例，通过客户机201侧的安全插件212对代理型木马进行识别和处理的方法的流程图。\n[0041] 在步骤601，安全插件212对浏览器211的注册表进行检查，以检查浏览器211中是否设置了HTTP或Socket代理。在步骤602中，如果该检查的结果为“是”，则直接提示用户“代理方式下不允许用户消费”，并将检查结果返回给平台。也就是说，此时安全插件212认为其所在的客户机201是一台通过代理方式进行盗用消费的黑客机器，则用户的支付请求被拒绝。\n[0042] 如果在步骤602中，该检查的结果为“否”，即不存在HTTP或Socket代理，则继续进行步骤603-606，以对其他类型的代理例如SocksCap+Socks代理进行检查。具体来讲，当黑客使用了代理型木马时，安全插件212和浏览器211到宽带应用平台203或插件后台232的请求都会通过受害者机器302(图3)的代理进行。当安全插件212对插件后台232发出SOAP(Simple Object Access Protocol，简单对象访问协议)请求时，这个请求的目的地址肯定不会是插件后台203的IP地址，而是受害者机器302的地址。为此，在步骤603中，安全插件212对从该安全插件212到插件后台232的连接的目的地址进行检查，并在步骤604中对检查到的目的地址与插件后台203的IP地址进行比较。如果在步骤604中的比较结果是二者一致，则判断不存在代理(步骤606)。而如果在步骤604中的比较结果是二者不一致，则判断存在代理型木马(步骤605)，也就是说，此时安全插件212认为其所在的客户机201是通过代理方式进行盗用消费的黑客机器，则用户的支付请求将会被拒绝。\n[0043] 需要说明的是，以上结合图6描述的识别方法是本发明的一种优选的实施方式。\n其中，通过首先采用步骤601和602，可以简单地对HTTP或Socket代理进行识别。在判断出存在这两种代理的情况下，则无需再执行下面的检查连接目的地址和比较的步骤。但是，本领域的技术人员可以理解的是，本发明的识别代理型木马的方法不限于此。例如，在本发明的另一个实施例中，可以省去步骤601和602，直接执行步骤603-606中的操作。\n[0044] 另外，本领域技术人员可以理解，上面描述的识别、处理过程可以由安全插件212的木马程序识别处理模块242中一个相应的子模块完成。为了简明起见，没有在附图中示出该子模块。\n[0045] 对远程控制型木马的处理\n[0046] 利用远程控制型木马进行盗用消费的情况与代理型木马的情况有所不同。在远程控制型木马的情况中，上面结合图2和图5描述的客户机201作为受害者机器运行。更具体地，如图4中所示，黑客机器401通过网络对受害者机器201进行远程控制，访问宽带应用平台203并请求进行支付。在这种情况下，安全插件212被下载到受害者机器201中并在其中运行。安全插件212需要对这种情况(即，该插件212所在的客户机201是一台被黑客远程控制的受害者机器)进行防范和处理。\n[0047] 以上结合图6描述的通过检查目的地址的识别方法不足以防范远程控制型木马。\n因为，在远程控制的情况下，从安全插件212到插件后台232的连接的目的地址就是插件后台232的IP地址，如图4中所示。\n[0048] 为了对远程控制型木马进行防范，根据本发明的一个实施例，安全插件212采用了只允许用户通过物理键盘或物理鼠标输入支付帐号和密码的方式，而对于不是通过物理键盘或物理鼠标输入的支付帐号和密码，安全插件212将其判断为由黑客通过远程控制输入的信息。\n[0049] 更具体地，以物理键盘输入识别为例，如图7中所示，在步骤701中，安全插件212提供一个输入框来代替浏览器211的输入框，并调用Windows的SDK中的API函数SetWindowsHookEx()来安装键盘钩子函数。在步骤702，当该密码输入框所在的窗体获得焦点时(此时用户输入支付帐号和密码)，系统就会调用键盘钩子的回调函数。在步骤703，回调函数可首先截获系统发给窗体的键盘输入的消息，得到对此消息的控制权。在步骤704，钩子函数识别支付帐号和密码是否是通过物理键盘输入的。关于物理键盘识别的更具体的描述，例如可参见微软公司的Knowledge Base的文章“Q320583HOW TO：TrapKeystrokes in.NET Controls by Using Visual Basic.NET：http://support.microsoft.com/kb/320583/en-us)。如果步骤704中的判断结果为“是”，则认为不存在远程控制(步骤706)。如果步骤704中的判断结果为“否”，则认为存在远程控制(步骤705)。\n也就是说，在这种情况下，该安全插件212认为其所在的客户机201是一台被黑客远程控制的受害者机器。\n[0050] 同样，本领域技术人员可以理解，上面描述的识别、处理过程可以由安全插件212的木马程序识别处理模块242中一个相应的子模块完成，而为了简明起见，没有在附图中示出该子模块。\n[0051] 对远程控制型和代理型木马的同时处理\n[0052] 根据本发明的一个优选实施例，安全插件212的木马程序识别处理模块242还包括另一个子模块(图中没有示出)，其可以对远程控制型和代理型木马同时进行处理。\n[0053] 如图4所示，当黑客机器401对受害者机器201进行远程控制时，由于黑客需要操纵受害者机器201上的浏览器211来进行消费，因此必然要在黑客机器401和受害者机器\n201之间建立网络连接。同时，黑客还要捕捉受害者机器201的远程屏幕，这就要求有稳定的连接进行数据传输。黑客机器401与受害者机器201之间的传输链路在图4中表示为链路411。目前能够进行远程屏幕控制的远程控制工具都使用了TCP(Transmission Control Protocol，传输控制协议)。基于这一考虑，根据本发明的一个优选实施例，安全插件212在用户进行支付时切断所有不是到宽带应用平台203的活动的TCP连接。也就是说，在支付过程中，安全插件212只允许客户机201保持连接至宽带应用平台203的链路412，而切断包括链路411在内的其他一切链路。\n[0054] 这一方案的流程图如图8中所示。安全插件212被激活后，通过HTTP请求从插件后台232动态下载宽带应用平台203的IP地址白名单文件(结合参照图5，该获取步骤是在对S4步骤的响应即步骤S6中完成的)。然后，安全插件212启动一条线程，该线程例如每隔50毫秒把客户机201对所述白名单以外的所有TCP连接全部关闭。该切断链路的方案例如可以采用防火墙的包过滤的方式实现。另外，根据本发明的一种优选实施方式，在TCP/IP协议栈的Socket层有选择地关闭部分TCP Socket连接。因此，一方面可以不用针对不同操作系统安装不同的驱动程序，另一方面可以动态灵活地更新控制策略。更具体地说，根据本发明，通过组合使用Windows的多个API函数，例如通过操作系统Netstat API获取当前活动的TCP/UDP链接，通过Closesocket API关闭当前非白名单的活动链接来实现TCP链路的切断。应该注意的是，该线程是在图5中的步骤S7启动的，但该线程在整个支付请求处理中一直持续，直到支付请求处理结束，浏览器211退出支付页面，该线程才终止。通过这种方式，在黑客机器401企图通过链路411对客户机(受害者机器)201进行远程控制并请求支付的情况下，有效地切断了该控制链路411，使得支付不能进行。\n[0055] 上面所述的通过切断除合法支付链路以外的所有链路的方案同样适用于防范代理型木马。如图3中所示，在代理型木马的情况下，黑客机器201是通过链路311、经由受害者机器302连接到平台203的。所以，在支付请求处理中，当安装在黑客机器201内的安全插件212启动上述线程来切断对白名单以外的所有TCP连接时，有效地切断了链路311，使得支付不能进行。\n[0056] 现在回到图5，继续描述步骤S8。浏览器211向支付接口页面231提交用户输入的支付请求，包括前面所述的支付帐号和密码，并携带安全插件212在前面描述的过程中得到的判断结果(图6中的步骤605和606；图7中的步骤705和706)。接着，在步骤S9，支付接口页面231向安全插件后台232提交支付请求。\n[0057] 在步骤S10，插件后台232中的木马程序识别单元253根据支付请求中携带的安全插件212的判断结果以及平台203侧的代理型木马判断策略，确定是否同意支付请求。图\n9中示出了在根据本发明的一个实施例中，插件后台232对木马程序的判断及处理方法。\n[0058] 在步骤901，插件后台232接收支付接口页面231提交的支付请求。在步骤902，插件后台232对该支付请求进行分析，以检查安全插件212的判断结果是否为存在木马(代理型和远程控制型)。如果步骤902的检查结果为“是”，则进行到步骤905，即拒绝支付请求。如果步骤902的检查结果为“否”，则继续执行步骤903-906，以便基于平台203侧的代理型木马识别策略对代理型木马进行进一步判断，以进一步提高系统的安全性。更具体地，如图3所示，当黑客机器201通过受害者机器302的代理访问宽带应用平台203时，只要受害者机器302与黑客机器201不在同一LAN下，受害者机器302的外部IP地址与黑客机器\n201的外部IP地址不可能一致。所以，通过对这两个地址进行比较，可以识别出代理的情形。为此，在图9中的步骤903，宽带应用平台203从客户机信息存储单元256中提取在图\n5中的步骤S5获得并记录的安全插件212所在的客户机201的合法IP地址(公有IP地址)，并从支付请求中分析提出该支付请求的实际请求源的IP地址，然后对这二者进行比较。如果在步骤903中判断这二者不相符，则说明此请求是通过代理发送到宽带应用平台\n203的，于是拒绝支付请求(步骤905)。如果在步骤903中的判断结果是这二者相符，则进入步骤904。通过实际请求源与安全插件后台232的TCP/IP连接数据包中的源IP地址向宽带接入认证系统查询实际请求源的宽带接入物理线路、接入帐号等信息，或者获取由实际请求源的MAC地址、硬盘ID和CPU系列号等特征组成的主机信息，并与客户机信息存储单元256中存储的相应信息进行比较，如果一致则接受支付请求(步骤906)，否则认为用户客户机漫游或存在代理，于是拒绝支付请求(步骤905)。\n[0059] 本领域的技术人员可以理解的是，在平台203侧识别代理型木马的方法不限于上面描述的示例性的实施方式。例如，在本发明的另一个实施例中，可以将现有技术中采用的识别HTTP包头的特征字段的步骤与图9中所示的步骤相结合来进行代理型木马的判断。\n[0060] 最后在步骤S11，宽带应用平台203返回处理结果，即接受或拒绝支付请求，从而结束整个支付请求处理过程。\n[0061] 从上面的描述可以看出，根据本发明，在处理用户的支付请求的过程中，下载到客户机的安全插件与宽带应用平台中的插件后台进行交互作用。在此基础上，安全插件和插件后台各自识别处理远程控制型和代理型木马，有效地防止了采用木马软件进行盗用支付，保证了支付安全。另外，该方法对用户上网行为影响小，部署及升级维护方便。本发明的适用场合包括但不限于以下所述的场景：黑客或受害者浏览器设置了HTTP或Socket代理的方式；当黑客机器以公有地址上网并通过任何HTTP代理或Socket代理的方式；当黑客以私有地址上网，受害者上网的公有出口IP地址与黑客的上网的公有出口IP地址不相同时，使用任何HTTP代理或Socket代理的方式；当黑客和受害者在同一NAT内，浏览器和其它应用均采用HTTP代理或Socket代理的方式；黑客远程控制受害者机器方式；等等。\n[0062] 在本申请中，使用IE浏览器和VNET宽带应用平台作为例子来描述本发明的方法和系统。但是，本领域的技术人员可以理解，该例子仅仅是用于说明的目的而非用于限制。\n本发明同样可以应用于其他浏览器和平台。\n[0063] 另外，本发明提供了针对代理型木马、远程控制型木马和针对所有木马的单独的识别处理方法。本领域的技术人员可以理解，在本发明的实际实施过程中，可以对这些方法进行组合来识别处理多种木马。\n[0064] 以上已经结合优选实施例对本发明的进行了说明。本领域技术人员很清楚，这些实施例仅仅是用于说明的目的而非对本发明的限制。在不偏离本发明的精神和范围的情况下可以对这些实施例作出各种修改。