[发明专利]一种网上银行支付信息安全检测方法及装置

说明书

技术领域

本发明关于网上银行支付技术，特别是关于网上银行的B2C支付技术，具体的讲是一种网上银行支付信息安全检测方法及装置。

背景技术

在现有技术中，网上银行所采用的B2C第三方支付交易的基本流程为：第一步、买家在商城中选购商品；第二步、买家选购好商品以后，向商城或第三方支付平台提交订单和付款请求；第三步、商城或第三方支付平台引导买家到网上银行页面进行付款；第四步、买家付款成功后，银行通知商城或第三方支付平台支付结果，并由商城给买家发货。

如图1所示，为正常的B2C第三方支付交易流程图。在进行B2C交易之前，银行将相应的B2C支付接口提供给商城或第三方支付平台。买家在商城选购商品时，商城或第三方支付平台通过验证买家的用户名、登录密码等信息确认买家身份，并生成订单；买家通过网络终端点击包含交易号、商品编号、支付金额、商城签名等信息的订单页面向银行提交付款请求；银行通过账户、口令密码、U Key证书等软硬件机制对买家进行身份验证，并对订单真实性进行认证；待买家付款成功，银行将付款信息发送给商城或第三方支付平台；直到买家收到商品，整个交易结束。

然而，图1所示的B2C第三方支付交易流程存在以下弊端：银行虽然会检测买家的身份数据，也会检测商城或第三方支付平台的订单数据，但却无法检测买家与商品的关系数据。由于现有技术无法检测买家与商品的关系数据，因此存在如图2所示的非正常的B2C第三方支付交易流程。

如图2所示，非正常交易者首先作为虚拟商家建立虚拟网上商城销售商品；当真实买家在虚拟网上商城购买商品时，非正常交易者再作为虚拟买家在真实网上商城选定商品并向真实网上商城提交订单支付请求；真实网上商城向作为虚拟买家的非正常交易者下发支付请求报文；非正常交易者截取该支付请求报文的内容，并通过虚拟网上商城生成伪造的支付链接提供给真实买家；真实买家付款成功后，银行通知真实网上商城或第三方支付平台支付结果，真实网上商城或第三方支付平台将商品发给作为虚拟买家的非正常交易者，而真实买家在付款后并未得到所购商品。

发明内容

本发明实施例提供了一种网上银行支付信息安全检测方法及装置，以解决网上银行交易中卖家数据与交易数据的安全检测问题。

本发明的目的之一是，提供一种网上银行支付信息安全检测方法，该方法包括：客户终端根据商户服务器网页的商品销售信息，生成包含客户终端IP地址和Referer字段的订单请求信息，发送给商户服务器；商户服务器根据订单请求信息，生成包含订单号、商品编号和支付金额的订单信息发送给客户终端，并生成包含客户终端IP地址、Referer字段、商户ID、订单号、商品编号、支付金额和商户签名的网上交易信息发送给银行服务器；客户终端根据订单信息生成包含客户终端IP地址和Referer字段、银行卡号和订单信息的网上支付请求信息，发送给银行服务器；银行服务器根据网上支付请求信息，生成包含网上支付请求信息和网上交易信息的安全检测信息，发送给安全检测服务器；安全检测服务器将网上支付请求信息中的客户终端IP地址和Referer字段与网上交易信息中的客户终端IP地址和Referer字段进行匹配，生成安全检测结果信息，发送给银行服务器；银行服务器根据安全检测结果信息生成交易风险提示信息或交易成功信息，发送给客户终端和/或商户服务器。

本发明的目的之一是，提供一种网上银行支付信息安全检测装置，该装置包括：客户终端、商户服务器、银行服务器和安全检测服务器；客户终端、商户服务器和银行服务器通过网络相互连接；银行服务器与安全检测服务器相连接；

客户终端包括：订单请求生成单元，用于根据商户服务器网页的商品销售信息，生成并输出包含客户终端IP地址和Referer字段的订单请求信息；支付请求生成单元，用于接收订单信息，生成和输出包含客户终端IP地址和Referer字段、银行卡号和订单信息的网上支付请求信息；

商户服务器包括：订单信息生成单元，用于接收订单请求信息，生成和输出包含订单号、商品编号和支付金额的订单信息；交易信息生成单元，用于生成和输出包含客户终端IP地址、Referer字段、商户ID、订单号、商品编号、支付金额和商户签名的网上交易信息；

银行服务器包括：安全检测信息生成单元，用于接收所述的网上支付请求信息和网上交易信息，生成和输出包含网上支付请求信息和网上交易信息的安全检测信息；提示信息生成单元，用于接收安全检测结果信息，生成和输出交易风险提示信息或交易成功信息；