[发明专利]用于动态确保SDK完整性的方法、系统和计算机程序产品

说明书

一种用于动态地确保SDK完整性的系统、方法和计算机程序产品：在商家系统上通过与所述商家系统相关联的商家网页从支付网关系统加载软件开发工具包(SDK)包装器；执行所述SDK包装器，所述SDK包装器在执行时加载SDK核心；确定所述SDK核心的完整性；响应于确定所述SDK核心的所述完整性而在所述SDK包装器与所述SDK核心之间执行握手，并使由所述SDK包装器导出的实函数过载；并且通过所述SDK核心从所述商家系统向支付网关系统提供安全支付容器请求。

技术领域

本公开大体上涉及用于软件开发工具包(SDK)的系统、装置、产品、设备和方法，并且在一些实施例或方面，涉及用于动态地确保SDK完整性的方法、系统和产品。

背景技术

Accept.js是用于将安全支付数据直接发送到支付网关系统(例如，Authorize.Net等)的JavaScript库。Accept.js捕获支付数据并将其直接提交给支付网关系统，以换取一次性使用令牌或支付随机数。此支付随机数可在后续createTransactionRequest API调用中用于代替支付数据。AcceptCore.js验证从商家网页传递到支付网关系统的信息，并且响应于信息被验证而调用安全支付容器请求。Accept.js和AcceptCore.js库由发布在https://developer.authorize.net/api/reference/上的Authorize.Net API参考描述，所述参考的全部内容以全文引用的方式并入本文中。

当商家网页通过将Accept.js和AcceptCore.js库作为脚本标签添加到商家网页来加载客户端侧软件开发工具包(SDK)，例如Authorize.Net提供的客户端侧SDK，则中间人攻击可能会更改SDK。因此，需要验证SDK的完整性。商家网站可包括W3C子资源完整性校验，其由2016年6月23日发布在https://www.w3.org/TR/SRI/上的W3C推荐标准定义，所述推荐标准的全部内容以全文引用的方式并入本文中，并且所述W3C推荐标准是一种机制，用户代理可通过这种机制来验证获取的资源是否在无意外操纵的情况下被交付。例如，来自W3C子资源完整性机制的完整性校验散列可作为脚本标签与AcceptCore.js库一起添加到商家网页，以校验AcceptCore.js库的完整性。但是，如果发布了新版本的AcceptCore.js库和/或更改了AcceptCore.js库，则散列也会发生更改，因此必须更新商家网页以反映所述更改，从而使AcceptCore.js库通过或满足完整性校验。因此，商家可从商家网页中完全除去完整性校验散列，以避免必须反复地更新商家网页而可能使商家网页上进行的交易遭受中间人攻击和/或类似情况。因此，本领域需要改进SDK完整性校验。

发明内容

因此，提供了用于动态地确保SDK完整性的改进系统、装置、产品、设备和/或方法。

根据一些非限制性实施例或方面，提供了一种计算机实施的方法，包括：用至少一个处理器在商家系统上通过与所述商家系统相关联的商家网页从支付网关系统加载软件开发工具包(SDK)包装器；用至少一个处理器来执行所述SDK包装器，其中所述SDK包装器在执行时加载SDK核心；用至少一个处理器来确定所述SDK核心的完整性；响应于确定所述SDK核心的所述完整性而用至少一个处理器在所述SDK包装器与所述SDK核心之间执行握手，并使由所述SDK包装器导出的实函数过载；并且用至少一个处理器通过所述SDK核心从所述商家系统向支付网关系统提供安全支付容器请求。

在一些非限制性实施例或方面，所述方法进一步包括：用至少一个处理器在所述商家系统上通过所述商家网页接收与用户的账户相关联的账户数据，其中响应于通过所述商家网页接收所述账户数据而加载所述SDK包装器，并且其中所述安全支付容器请求包括所述账户数据。

在一些非限制性实施例或方面，所述方法进一步包括：响应于提供所述安全支付容器请求而用至少一个处理器从所述支付网关系统接收与所述账户数据相关联的令牌。