[发明专利]一种网上支付方法及系统

说明书

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网上支付方法及系统。

背景技术

随着网络技术的不断发展，人们通过网络进行工作、生活或者学习各方面的活动越来越多。基于网络实现的各种功能和服务极大地方便了人们的工作、生活以及学习的各个方面，但是在网络给人们带来便利的同时，也存在着许多安全隐患，例如目前日益猖獗的“网络钓鱼”。

现有的网络钓鱼的虚假交易的一般过程是：首先登录一个真实的电子商务网站，建立一笔交易(通常为虚拟货币的交易，比如：游戏点卡、QQ币之类)，在真实电子商务网站将交易请求参数签名后打包发往电子支付平台的过程中通过网络监听装置窃取到这个交易请求参数，然后通过多种手段，对该交易请求参数进行包装，比如伪造一个电子商务网站(钓鱼网站)，再通过诱惑性的语言使得受害者通过该钓鱼网站进行购物，用户在点击支付该钓鱼网站的商品时，电子商务网站将之前在真实电子商务网站上所建立的交易请求参数提交给真实的电子支付平台，这样用户实际上是用自己的钱帮助钓鱼者在电子支付平台上完成了支付，从而让钓鱼者获得商品，钓鱼者再通过销售这些商品从中获利。

发明人通过研究发现，由于现有电子商务网站请求电子支付平台进行电子支付时，必须使用重定向技术将客户的浏览器重定向到电子支付平台进行支付操作。现有电子商务中涉及到的重定向技术主要为外部重定向。外部重定向用于跨系统的页面跳转，这种跳转发生时通过改变当前URL来实现的，用户浏览器的地址栏中的地址就会变为跳转后的新页面的URL。例如在电子商务中，由于需要从电子商务网站页面的URL1跳转到电子支付平台页面URL2，即要进行跨系统的页面跳转，所以必然会涉及到外部重定向，因此会使得URL曝露。正是由于请求参数在不同系统之间的传输，才造成请求参数泄露。虽然钓鱼者无法篡改经过签名的请求参数(由于没有签名的私钥)，但是却可以将这组请求参数包进行包装以骗取消费者完成替钓鱼者买单的行为。

发明内容

有鉴于此，本申请实施例的目的是提供一种网上支付方法及系统，避免交易过程中用户参数被挪用的情况，提高网络交易的安全性。

为实现上述目的，本申请实施例提供了如下技术方案：

一种网上支付方法，包括：

支付服务器接收由电子商务服务器发起的电子支付请求，获取电子商务服务器发送的请求参数；

支付服务器根据所述请求参数中指定的签名值对请求参数进行签名校验，如果签名校验未通过则中断当前请求，上述请求参数中包括交易参数及反钓鱼参数，上述反钓鱼参数包括一时间戳；

在通过所述签名校验后，支付服务器获取反钓鱼参数中的时间戳，并将该时间戳与当前系统时间戳进行比较，如果时间差超过预设的时间戳阈值则中断当前请求；否则，进入支付流程；

所述支付流程包括：支付服务器根据请求参数中的交易参数完成支付。

上述时间戳是电子商务平台在发起支付请求时向电子商务平台查询所得。

在通过所述签名校验后，支付服务器获取请求来源白名单，判断所述电子支付请求的请求来源是否在所述请求来源白名单中；若在，则请求来源校验通过继续当前流程，否则中断当前请求。

所述请求来源白名单中记录的内容包括网页的一级域名。

所述反钓鱼参数还包括当前电子支付交易的外部调用IP地址，在通过所述签名校验后，所述方法还包括：

所述支付服务器获取反钓鱼参数中的外部调用IP地址，并获取当前用户的IP地址，比较外部调用IP地址与当前用户的IP地址是否相同，如果相同则继续当前请求，否则警告当前用户当前请求可能被钓鱼网站利用。

所述当前用户的IP地址为TCP层的IP地址。

一种网上支付系统，包括：

接收单元，用于接收由电子商务服务器发起的电子支付请求，获取电子商务服务器发送的请求参数；

签名校验单元，用于根据所述请求参数中指定的签名值对请求参数进行签名校验，如果签名校验未通过则中断当前请求，上述请求参数中包括交易参数及反钓鱼参数，上述反钓鱼参数包括一时间戳；

时间戳校验单元，用于在通过所述签名校验后，获取反钓鱼参数中的时间戳，并将该时间戳与当前系统时间戳进行比较，如果时间差超过预设的时间戳阈值则中断当前请求；否则，将本次交易的请求参数送入支付单元；

支付单元，用于根据请求参数中的交易参数完成支付。

可选地，该系统还包括：

请求来源校验单元，用于在签名校验通过后，获取请求来源，获取请求来源白名单，判断所述电子支付请求的请求来源是否在所述请求来源白名单中；若在，则请求来源校验通过，否则中断当前请求；