校验支付数据的方法及设备技术

本发明专利技术提供一种校验支付数据的方法及设备，所述方法包括：接收客户端发送的支付数据；读取与所述支付数据对应的校验数据的值；校验所述支付数据的值与所述校验数据的值是否一致；若一致，则确定对所述支付数据的校验通过。实施本发明专利技术，可以通过将客户端所发送的支付数据与校验数据进行校验来防止支付数据被篡改。

【技术实现步骤摘要】

本专利技术涉及通信领域，更为具体而言，涉及校验支付数据的方法及设备。
技术介绍
随着电子商务的推动，我国网上支付的市场规模发展迅速。伴随着市场的飞速发展，安全威胁也正在呈现上升趋势。《2014移动安全报告》显示，截至2014年12月，我国存在支付风险的用户占比达到21.8％，超过5800万户，平均每5个使用移动支付的用户中就有1个面临着支付安全风险。其中最为常见的支付风险为篡改支付数据：在缺乏必要的安全防范措施的情况下，攻击者可以通过修改互联网传输中的支付数据，譬如修改付款银行卡号、修改支付金额、修改收款人账号等，以达到谋利目的。
技术实现思路
为解决上述技术问题，本专利技术提供一种校验支付数据的方法及设备。一方面，本专利技术的实施方式提供了一种校验支付数据的方法，所述方法包括：接收客户端发送的支付数据；读取与所述支付数据对应的校验数据的值；校验所述支付数据的值与所述校验数据的值是否一致；若一致，则确定对所述支付数据的校验通过。相应地，本专利技术实施方式提供了一种服务器，所述服务器包括：接收模块，用于接收客户端发送的支付数据；读取模块，用于读取与所述接收模块接收到的支付数据对应的检验数据的值；校验模块，用于执行下述处理：校验所述接收模块接收到的支付数据的值与所述读取模块读取到的校验数据的值是否一致，在识别为一致的情形下，确定对所述支付数据的校验通过。实施本专利技术提供的校验支付数据的方法及设备，可以通过将客户端所发送的支付数据与校验数据进行校验来防止支付数据被篡改。附图说明图1是根据本专利技术实施方式的一种校验支付数据的方法的流程图；图2是根据本专利技术实施方式的另一种校验支付数据的方法的流程图；图3是根据本专利技术实施方式的一种服务器的结构示意图；图4是根据本专利技术实施方式的另一种服务器的结构示意图；图5示出了图4所示的生成模块100’的一种实施方式；图6示出了图4所示的生成模块100’的另一种实施方式。具体实施方式为使本专利技术的实施例的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术作进一步地详细描述。图1是根据本专利技术实施方式的一种校验支付数据的方法的流程图。参见图1，所述方法包括：S100：接收客户端发送的支付数据。其中，所述支付数据的属性例如为支付金额、付款银行卡号、收款人账号或者订单号等，参与校验的关键支付数据可以由支付系统根据需要动态配置。S200：读取与所述支付数据对应的校验数据的值。S300：校验所述支付数据的值与所述校验数据的值是否一致，若是，则执行S400，若否，则执行S500。S400：确定对所述支付数据的校验通过。S500：确定对所述支付数据的校验不通过。图2是根据本专利技术实施方式的另一种校验支付数据的方法的流程图。如图2所示，所述方法包括：S100’：生成与所述支付数据的属性对应的支付数据采集页面。S200’：将所述支付数据采集页面发送给所述客户端以便于所述客户端通过该支付数据采集页面采集用户输入的支付数据。S300’至S700’：同上述的S100至S500，在此不再赘述。在本专利技术的一种实施方式中，上述处理S100’可以通过以下方式实现：获取与所述支付数据采集页面对应的初始页面，对获取到的初始页面中至少两项输入域的名称进行修改以生成所述支付数据采集页面。在本专利技术的另一种实施方式中，上述处理S100’也可以通过以下方式实现：获取与所述支付数据采集页面对应的初始页面；向获取到的初始页面中插入一个或多个无效输入域以生成所述支付数据采集页面。在本专利技术的实施方式中，在执行处理S200(或S400’)之前，预先获取所述校验数据，具体可以通过以下方式实现：接收商户应用发送的支付请求，从所述支付请求中解析出所述校验数据。为了提高安全性，该校验数据可以以密文的形式进行存储。为降低支付风险，在本专利技术的一种实施方式中，在从所述支付请求中解析出所述校验数据之前，可以对所述支付请求进行风险评估以获得风险评估值，将所述风险评估值与预定阈值进行比较，在所述风险评估值小于或等于所述预定阈值的情形下执行处理：从所述支付请求中解析出所述校验数据。在本专利技术的另一种实施方式中，在从所述支付请求中解析出所述校验数据之前，也可以识别所述支付请求是否过期，在所述支付请求未过期的情形下执行处理：从所述支付请求中解析出所述校验数据。其中，识别所述支付请求是否过期的处理例如可以通过以下方式实现：从所述支付请求中解析出时间戳信息，识别当前时间点和解析出的时间戳信息所标识的时间点之间的间隔时长是否小于或等于预定阈值，在所述间隔时长小于或者等于所述预定阈值的情形下，识别出所述支付请求未过期。下面结合具体例子对本专利技术的实施方式进行具体说明。步骤1：商户应用向支付系统的服务器发送支付请求。为提高安全性，在本专利技术的一种实施方式中可以对该支付请求进行全参数加密，加密密钥为该商户应用私有且可随时更新。支付请求中包括：域名、IP(InternetProtocol，网络之间互连的协议)、时间戳以及一种或多种支付数据(例如：订单号、金额或者账号等)。其中，该时间戳用于控制支付请求的有效期，有效期例如为1分钟，当然本领域的技术人员可以根据实际需要对所述有效期进行其他合理设置。在本专利技术的一种实施方式中，所述商户应用例如可以在发起支付请求前先从支付系统获取当前的时间戳。步骤2：该服务器在接收支付请求后，通过该时间戳来识别该支付请求是否过期，若识别为已过期，则结束，若识别为未过期，则执行步骤3。该步骤2可以通过以下方式实现：将当前时间点与时间戳所标识的时间点之间的间隔时长与预定阈值(例如1分钟)进行比较，若所述间隔时长小于或者等于所述预定阈值，则识别为未过期，若所述间隔时长大于所述预定阈值，则识别为已过期。步骤3：该服务器对该支付请求进行风险评估以获得风险评估值，将获得的风险评估值与预定阈值进行比较，若所述风险评估值大于所述预定阈值，则结束，若所述风险评估值小于或等于所述预定阈值，则执行步骤4。步骤4：该服务器从该支付请求中解析出关键的支付数据并据此生成校验串作为后续客户端所发送的相应支付数据的校验数据。在本专利技术的一种实施方式中可以将解析出的支付数据以密文的形式进行存储。步骤5：该服务器根据该支付请求获取相应的页面(一级页面)。步骤6：该服务器对获取到的页面执行下述处理中的任何一种或者本文档来自技高网...

【技术保护点】
一种校验支付数据的方法，其特征在于，所述方法包括：接收客户端发送的支付数据；读取与所述支付数据对应的校验数据的值；校验所述支付数据的值与所述校验数据的值是否一致；若一致，则确定对所述支付数据的校验通过。

【技术特征摘要】
1.一种校验支付数据的方法，其特征在于，所述方法包括：
接收客户端发送的支付数据；
读取与所述支付数据对应的校验数据的值；
校验所述支付数据的值与所述校验数据的值是否一致；
若一致，则确定对所述支付数据的校验通过。
2.如权利要求1所述的方法，其特征在于，
所述支付数据的属性包括：金额、订单号或者账号。
3.如权利要求2所述的方法，其特征在于，所述方法还包括：
在执行所述接收客户端发送的支付数据的处理前，生成与所述支付数据
的属性对应的支付数据采集页面；
将所述支付数据采集页面发送给所述客户端。
4.如权利要求3所述的方法，其特征在于，生成与所述支付数据的属性
对应的支付数据采集页面包括：
获取与所述支付数据采集页面对应的初始页面；
对获取到的初始页面中至少两项输入域的名称进行修改以生成所述支付
数据采集页面。
5.如权利要求3所述的方法，其特征在于，生成与所述支付数据的属性
对应的支付数据采集页面包括：
获取与所述支付数据采集页面对应的初始页面；
向获取到的初始页面中插入一个或多个无效输入域以生成所述支付数据
采集页面。
6.如权利要求1至5中任一项所述的方法，其特征在于，所述方法还包
括：
在执行所述读取与所述支付数据对应的校验数据的值的处理前，获取所
述校验数据。
7.如权利要求6所述的方法，其特征在于，获取所述校验数据包括：
接收商户应用发送的支付请求；
从所述支付请求中解析出所述校验数据。
8.如权利要求7所述的方法，其特征在于，获取所述校验数据还包括：
在执行所述从所述支付请求中解析出所述校验数据的处理前，对所述支
付请求进行风险评估以获得风险评估值；
将所述风险评估值与预定阈值进行比较；
若所述风险评估值小于或等于所述预定阈值，则执行下述处理：从所述
支付请求中解析出所述校验数据。
9.如权利要求7所述的方法，其特征在于，获取所述校验数据还包括：
在执行所述从所述支付请求中解析出所述校验数据的处理前，识别所述
支付请求是否过期；
若所述支付请求未过期，则执行下述处理：从所述支付请求中解析出所
述校验数据。
10.如权利要求9所述的方法，其特征在于，识别所述支付请求是否过
期包括：
从所述支付请求中解析出时间戳信息；
识别当前时间点和所述时间戳信息所标识的时间点之间的间隔时长是否
小于或者等于预定阈值；
若所述间隔时长小于或者等于所述预定阈值，则识别出所述支付请求未
过期。
11.一种服务器，其特征在于，所述服务器包括：
接收模块，用于接收客户端发送的支付数据；
读取模...

【专利技术属性】
技术研发人员：杨妙，何睿，程浩，胡璇，肖群，谢艳文，
申请(专利权)人：中国建设银行股份有限公司，
类型：发明
国别省市：北京;11