[发明专利]数值转移方法及装置

说明书

本发明公开了一种数值转移方法及装置，属于信息安全领域。所述方法包括：在接收到网页页面发送的第一订单的订单参数和签名后，根据订单参数和签名检测签名是否正确；在签名正确时，检测订单参数中是否包含第一预定字段，且第一预定字段的值为预定数值；当订单参数中包含第一预定字段且第一预定字段的值为预定数值时，向网页页面发送第一错误码，并禁止继续执行第一订单对应的数值转移操作。本发明解决了实际支付场景中，使用代理工具跳过部分逻辑校验流程，继续调用支付CGI完成支付，导致用户的账户和资金得不到安全保障的问题，达到了在实际支付场景中使用代理工具时，禁止执行支付操作，保护用户的账户和资金安全的效果。

技术领域

本发明实施例涉及信息安全领域，特别涉及一种数值转移方法及装置。

背景技术

在进行支付操作时，通常在完成支付之前，支付系统需要对支付操作进行一些逻辑校验，比如手机号校验、验证码校验等，逻辑校验的目的是确认支付操作是否为用户本人操作。

支付系统在执行支付流程时，通常包括：终端上的网页页面和服务器上的各种CGI(Common Gateway Interface，通用网关接口)之间的多次交互操作。以CGI包括身份校验CGI和支付CGI为例，网页页面将用户输入的身份验证相关的参数发送至身份校验CGI，身份校验CGI对参数进行校验，校验成功后，身份校验CGI向网页页面返回确认消息，然后网页页面将支付相关的参数发送至支付CGI，支付CGI对参数进行校验，检验成功后完成支付操作，向网页页面返回支付已完成消息。在支付场景的开发或测试中，技术人员经常在终端中使用代理工具(比如Fiddler)通过抓包并修改网页页面的参数或各个CGI的参数来测试不同的支付场景，也就是说，代理工具通常被技术人员用于支付场景的开发或测试。但在实际支付场景中，若恶意用户使用代理工具，则网页页面在向身份校验CGI发送身份验证相关的参数时，代理工具可以截获网页页面发送给服务器的身份校验CGI请求，然后伪装成服务器向网页页面返回确认消息，这种情况下无论用于身份验证的参数是否正确，网页页面都能接收到确认消息，从而绕开了实际的身份验证过程，网页页面在向支付CGI发送支付相关的参数时，代理工具可以将输入给支付CGI的参数进行修改，让支付CGI在校验时认为之前的身份验证已经确认，从而使得网页页面成功调用支付CGI完成支付。

由于恶意用户将代理工具用在实际支付场景中时，支付系统可能会跳过一些类似身份验证的逻辑校验流程，继续调用支付CGI完成支付，从而导致普通用户的账户和资金得不到安全保障。

发明内容

为了解决现有技术中在实际支付场景中使用代理工具跳过类似身份验证的逻辑校验流程，继续调用支付CGI完成支付，导致用户的账户和资金得不到安全保障的问题，本发明实施例提供了一种数值转移方法及装置。所述技术方案如下：

第一方面，提供了一种数值转移方法，所述方法包括：

在接收到网页页面发送的第一订单的订单参数和签名后，根据所述订单参数和所述签名检测所述签名是否正确，所述订单参数包括签名前的各字段的参数值，所述签名是根据所述订单参数按照预定数字签名规则得到的；

在所述签名正确时，检测所述订单参数中是否包含第一预定字段，且所述第一预定字段的值为预定数值，所述第一预定字段用于指示是否使用代理工具，所述第一预定字段的值为所述预定数值时表示使用代理工具，所述代理工具是指将被访问的服务器的资源代理为本地资源的工具；

当所述订单参数中包含所述第一预定字段且所述第一预定字段的值为所述预定数值时，向所述网页页面发送第一错误码，并禁止继续执行所述第一订单对应的数值转移操作。

第二方面，提供了一种数值转移方法，所述方法包括：

在打开网页页面时，检测终端是否正在运行代理工具，所述代理工具是将被访问的服务器的资源代理为本地资源的工具，所述网页页面是需要检测是否运行所述代理工具的页面；