[发明专利]一种免密支付的签约方法、装置、计算机设备及介质

说明书

本发明公开了一种免密支付的签约方法、装置、计算机设备及介质，包括：在接收到客户端发送的关于免密支付合约的验证请求时，根据与免密支付合约对应的合约索引以及合约关键信息，完成与验证请求匹配的验证过程；将与验证请求对应的验证结果反馈至客户端，并按照预设的验证流程，记录与免密支付合约对应的当前认证状态；在接收到客户端发送的关于免密支付合约的签约请求时，根据与免密支付合约对应的当前认证状态，确定签约反馈信息，并将签约反馈信息发送至客户端。本发明实施例的技术方案可以避免出现用户逃逸验证流程的情形，提高免密支付签约过程的安全性。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种免密支付的签约方法、装置、计算机设备及介质。

背景技术

为了增强小额免密支付产品在签约过程中的安全性，正式签约前通常需要对客户端进行身份识别认证，以保证合约是在用户本人自愿的情况下签订。

现有技术中在对小额免密支付产品进行签约时，用户身份认证与产品签约流程通常由客户端进行控制。图1a可以为现有技术中关于小额免密支付产品的签约方法，如图1a所示，客户端向服务端发起人脸验证请求后，服务端会根据客户端发送的报文进行人脸验证，并将人脸验证结果反馈至客户端；如果人脸验证成功，客户端则向服务端发起短信验证码校验请求，由服务端根据对应的报文对短信验证码进行校验；如果短信验证码校验成功，客户端则向服务端发起支付密码校验请求，由服务端根据对应的报文对支付密码进行校验；如果支付密码校验成功，客户端则向服务端发起签约请求，如果服务端对签约请求进行了确认，则客户端对应的用户可以完成对所述小额免密支付产品的签约。

但是，现有技术中是由客户端通过控制与服务端之间的信息交互顺序，来限制整个签约流程。整体的流程安全性主要依赖于数据的加密传输，服务端并没有对流程进行有效的监控，无法保障整体流程的完整性。例如，当客户端与服务端信息交互报文被截获并破译时，攻击者可以在用户A进行到短信验证时，将报文中的手机号修改为用户B的手机号，此时由于服务端缺少对整体工作流的控制，将会通过用户B手机号的短信验证，用户A可以继续流程直至完成产品签约。在这种情况下，用户A逃逸了短信验证码流程。此外，攻击者可还以在用户A按顺序进行身份认证流程后，修改最后签约请求的报文，比如将客户账户信息修改为用户B的，而服务端在收到请求后，认为接收了签约请求报文即已经完成了前置的校验流程，将根据被篡改的报文进行产品签约操作。在这种情况下，客户B逃逸了全部前置校验流程。因此，现有的免密支付的签约方法中服务端缺乏对整体工作流的掌控，存在流程逃逸风险，同时也对客户的资金安全造成一定风险。

发明内容

本发明实施例提供一种免密支付的签约方法、装置、计算机设备及介质，可以避免出现用户逃逸验证流程的情形，提高免密支付签约过程的安全性。

第一方面，本发明实施例提供了一种免密支付的签约方法，应用于服务端，所述方法包括：

在接收到客户端发送的关于免密支付合约的验证请求时，根据与所述免密支付合约对应的合约索引以及合约关键信息，完成与所述验证请求匹配的验证过程；

将与所述验证请求对应的验证结果反馈至客户端，并按照预设的验证流程，记录与所述免密支付合约对应的当前认证状态；

在接收到客户端发送的关于免密支付合约的签约请求时，根据与所述免密支付合约对应的当前认证状态，确定签约反馈信息，并将所述签约反馈信息发送至客户端。

第二方面，本发明实施例还提供了一种免密支付的签约装置，该装置包括：

验证模块，用于在接收到客户端发送的关于免密支付合约的验证请求时，根据与所述免密支付合约对应的合约索引以及合约关键信息，完成与所述验证请求匹配的验证过程；

状态记录模块，用于将与所述验证请求对应的验证结果反馈至客户端，并按照预设的验证流程，记录与所述免密支付合约对应的当前认证状态；