专利名称:防止cp模拟订购的方法及系统的制作方法
技术领域:
本发明涉及WAP订购业务,尤其涉及防止CP模拟订购的方法及系统。
技术背景WAP (无线应用协议)平台包括WAP门户、计费网关等模块,计费网关 中设置有数据库。现有WAP平台的订购流程如下WAP用户在手机上点击 相应的链接请求,经过WAP网关到达WAP平台,WAP平台的BG (Billing Gateway计费网关)对用户进行判断,判断用户是否订购这个业务,如果没有 订购,就会弹出计费页面,让用户订购,订购之后可以使用;如果判断用户订 购了,就可以允许用户访问。伴随着WAP业务的发展,WAP平台出现越来越多的非法访问和订购的 情况,其中一种是内容提供商(CP)模拟订购通过在用户终端部署非法应 用程序,模拟用户进行订购。现有技术中,可以通过防火墙等手段判断请求来源是否合法,来限制非法 请求的访问。该方案能够在网络的某些环节加强访问来源安全性,但是对于 CP模拟的恶意订购无法进行有效控制。专利申请"WAP网关服务器的业务处理方法"(申请号200610161852.4) 公开了可以防止非法订购的技术方案,在该方案中通过WAP浏览请求URL (统一资源定位符)或IP的黑名单和白名单达到防止非法订购的目的,但该 方案不能用于防止上述提到的CP模拟订购行为。发明内容为了解决上述的技术问题,本发明提供了防止CP模拟订购的方法及系统, 其目的在于,防止CP模拟订购。本发明提供了防止CP模拟订购的方法,包括 步骤IOI,用户将订购请求发送至WAP门户;步骤102, WAP门户在其订购提示页面上标注页面元素标记,并将包含页面元素标记的订购提示页面发送至用户;步骤103,用户确认后,手机浏览器会根据页面元素标记在确认订购请求 中拼接头文件,该头文件中包含标识用户确认订购行为的参数;步骤104, WAP门户收到包含所述头文件的确认订购请求后,验证所述 头文件中标识用户确认订购行为的参数,进行订购,并返回订购成功提示。步骤103和步骤104之间还包括用户将确认订购请求通过WAP网关和 计费网关发送至WAP门户。步骤104中,WAP门户通过计费网关、WAP网关向用户返回订购成功提示。步骤102中,页面元素标记为甩户可订购业务的页面链接后面加入的 sendreferer=''true"步骤105中,标识用户确认订购行为的参数为业务资费页面链接。本发明提供了防止CP模拟订购的系统,包括WAP网关、计费网关、WAP 门户、手机,手机上安装有浏览器,WAP门户,还用于在订购提示页面上标注页面元素标记,以及验证头文 件是否包含标识用户确认订购行为的参数;浏览器,还用于用户确认后,根据页面元素标记在确认订购请求中拼接头 文件,该头文件中包含标识用户确认订购行为的参数。所述页面元素标记为用户可订购业务的页面链接后面加入的 sendreferer="true"。所述标识用户确认订购行为的参数为业务资费页面链接。本发明保证了发起的订购请求完全来自于用户终端,而不是来自于终端 的脚本程序,杜绝了在用户不知情的情况下就被扣费的现象发生,保护了消费 者的合法权益。
图1为本发明提供的防止CP模拟订购的详细流程图; 图2为本发明提供的防止CP模拟订购的总体流程图; 图3为本发明提供的防止CP模拟订购的系统结构示意图。
具体实施方式
对于CP模拟订购,由于实际还是从手机发起的请求,因此很难和真实用户请求区分开。本发明中,在用户进行订购确认的页面上,标志了特定的页面元素标记(sendreferer)。当正常用户手机点击页面发起确认的时候,手机浏 览器会根据此标记,在请求中拼接特殊Header,即用户确认标记,并传递给 WAP门户。而装载于手机上模拟用户请求的脚本,没有拼接请求Header的功 能,因此WAP门户可以根据此项标记来判别是否是用户真正点击的请求。基于上述理由,本发明提供的防止CP模拟订购的解决方案是在手机浏 览器看到的页面链接中,WAP门户增加了 sendreferer元素,当用户确认订购 即点击此链接的时候,HTTP (超文本传输协议)请求包中将自动拼接名称为 Referer的Header,值为业务资费页面地址URL,称此Header为用户确认标记, WAP门户通过校验Header以及Header值,确认用户是从这个页面点击发起 的正常订购请求,如果用户请求包中没有该参数时,WAP门户则认为是脚本 程序模拟用户发起的非法订购。WAP门户进行验证时,如果验证通过则返回 订购成功提示,如果验证失败,则返回订购失败提示。比如订购提示页面http:〃wap.uni-info.com.cn/home.aspx中原有一个用户可 订贝勾业务的页面url是<go href="http:〃wap.uni-info.com.cn/test.aspx" >。本发 明中将在该url中力卩入特殊标记<go href="http:〃wap.uni-info.com.cn/test.aspx" sendreferer="tme" >,这是点击这个链接,用户点击确认后,浏览器在HTTP 的确认请求包拼接一个Header,即Referer: http:〃wap uni-info.com.cn/test.aspx 。 http:〃wap.uni-info.com.cn/test.aspx即业务资费页面。而如果CP是将恶意访问 脚本装载到用户手机上,由脚本发起请求,脚本没有拼接Header的功能,因 此无法产生正常请求时的这个Header。例如,手机用户打算订购一种音乐下载业务,该音乐下载业务分为包月业 务和按次计费业务。用户通过点击音乐的URL地址进行下载,WAP门户接收 到请求后,将向手机用户返回订购提示页面地址(如上面的 http:〃wap.uni-info.com.cn/home.aspx),同时还要返回用户可订购业务的URL 地址(例如上面的go href=http:〃wap.uni-info,com.cn/test.aspx,可订购的包月 业务和按次计费业务的URL不同)。为了实现本发明的目的,需要后面增加Sendreferer="tme",以供用户选择时点击。用户点击后,手机上的浏览器拼接 一个Header (如上面的Referer: http:〃wap.uni-info.com.cn/test.aspx) 。 WAP 门户接收到用户确认的请求后,会对Header的值进行验证,验证通过后,向 用户返回订购成功提示。下面结合附图进行详细说明。防止CP模拟订购的流程如图1所示,包括步骤l,用户点击某业务URL,发起请求;步骤2, WAP网关获取请求后,将请求转发给计费网关;步骤3,计费网关BG判断用户是否订购过此业务,发现没有订购过,执 行步骤4,如果用户订购过该业务,则用户直接使用该业务;步骤4,计费网关发起跳转,将请求转向WAP门户上的订购提示页面;步骤5, WAP门户在订购提示页面上标注特定的页面元素标记(即 sendreferer="true");步骤6, WAP门户返回订购的提示页面;步骤7,计费网关返回订购的提示页面;步骤8, WAP网关返回订购的提示页面;步骤9,用户看到页面后,选择喜欢的产品类型,点击确认,向WAP门 户发起确认请求,手机浏览器会根据页面元素标记,在请求中拼接特殊Header (即Referer),作为用户确认标记;步骤IO, WAP网关获取请求后,将包含用户确认标记的确认请求转发给 计费网关;步骤ll,计费网关看到此包含用户确认标记的确认请求非业务URL,直 接转发给WAP门户;步骤12, WAP门户收到订购确认请求,验证该请求头文件中是否有用户 确认标记即校验Header是否存在,它的值是否为业务资费页面地址;步骤13,验证通过,执行订购逻辑;步骤14, WAP门户返回订购成功提示页面;步骤15,计费网关将订购成功提示页面返回;步骤16, WAP网关将订购成功提示页面返回;步骤17,用户看到订购成功提示,点击进入业务,发起业务URL请求;步骤18, WAP网关获取请求后,将请求转发给计费网关; 步骤19,计费网关判断用户是否订购过此业务,这时用户己经订购,用 户可以访问;步骤20,计费网关直接转发给业务站点; 步骤21,业务站点返回页面响应; 步骤22,计费网关将页面响应返回;步骤23, WAP网关将页面响应返回。图2是本发明提供的总体流程图,包括步骤201,计费网关接收到用户的订购请求后,将请求转向WAP门户上 的订购提示页面;步骤202, WAP门户在其订购提示页面上标注页面元素标记;步骤2(B, WAP门户将包含页面元素标记的订购提示页面发送至用户;步骤204,用户确认后,手机浏览器会根据页面元素标记在确认订购请求 中拼接头文件,该头文件中包含标识用户确认订购行为的参数;步骤205, WAP门户收到确认订购请求后,验证所述头文件中标识用户 确认订购行为的参数,进行订购,并返回订购成功提示。为了实现本发明提供的方法,本发明提供了防止CP模拟订购的系统,如 图3所示,包括WAP网关301,计费网关302, WAP门户303,手机305, 手机305通过无线通信网络304与上述几个模块进行通信。其中手机305上安 装有浏览器;WAP门户303,还用于在订购提示页面上标注页面元素标记, 以及验证头文件是否包含标识用户确认订购行为的参数;浏览器,还用于用户 确认后,根据页面元素标记在确认订购请求中拼接头文件,该头文件中包含标 识用户确认订购行为的参数。页面元素标记为用户可订购业务的页面链接后面加入的 sendreferer=''tme"。标识用户确认订购行为的参数为业务资费页面链接。本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条 件下,还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于 以上的说明,而是由权利要求书的范围来确定的。
权利要求
1. 防止CP模拟订购的方法,其特征在于,包括步骤101,用户将订购请求发送至WAP门户;步骤102,WAP门户在其订购提示页面上标注页面元素标记,并将包含页面元素标记的订购提示页面发送至用户;步骤103,用户确认后,手机浏览器会根据页面元素标记在确认订购请求中拼接头文件,该头文件中包含标识用户确认订购行为的参数;步骤104,WAP门户收到包含所述头文件的确认订购请求后,验证所述头文件中标识用户确认订购行为的参数,进行订购,并返回订购成功提示。
2、 如权利要求1所述的防止CP模拟订购的方法,其特征在于,步骤103 和步骤104之间还包括用户将确认订购请求通过WAP网关和计费网关发送 至WAP门户。
3、 如权利要求1所述的防止CP模拟订购的方法,其特征在于,步骤104 中,WAP门户通过计费网关、WAP网关向用户返回订购成功提示。
4、 如权利要求l、 2或3所述的防止CP模拟订购的方法,其特征在于, 步骤102中,页面元素标记为用户可订购业务的页面链接后面加入的 sendreferer^"tme"。
5、 如权利要求4所述的防止CP模拟订购的方法,其特征在于,步骤105 中,标识用户确认订购行为的参数为业务资费页面链接。
6、 防止CP模拟订购的系统,包括WAP网关、计费网关、WAP门户、 手机,手机上安装有浏览器,其特征在于,WAP门户,还用于在订购提示页面上标注页面元素标记,以及验证头文 件是否包含标识用户确认订购行为的参数;浏览器,还用于用户确认后,根据页面元素标记在确认订购请求中拼接头 文件,该头文件中包含标识用户确认订购行为的参数。
7、 如权利要求6所述的防止CP模拟订购的系统,其特征在于,所述页 面元素标记为用户可订购业务的页面链接后面加入的sendreferer="tme"。
8、 如权利要求7所述的防止CP模拟订购的方法,其特征在于,所述标 识用户确认订购行为的参数为业务资费页面链接。
全文摘要
本发明涉及防止CP模拟订购的方法及系统。该方法包括步骤101,用户将订购请求发送至WAP门户;步骤102,WAP门户在其订购提示页面上标注页面元素标记,并将包含页面元素标记的订购提示页面发送至用户;步骤103,用户确认后,手机浏览器会根据页面元素标记在确认订购请求中拼接头文件,该头文件中包含标识用户确认订购行为的参数;步骤104,WAP门户收到包含所述头文件的确认订购请求后,验证所述头文件中标识用户确认订购行为的参数,进行订购,并返回订购成功提示。本发明保证了发起的订购请求完全来自于用户终端,而不是来自于终端的脚本程序,杜绝了在用户不知情的情况下就被扣费的现象发生,保护了消费者的合法权益。
文档编号H04L29/08GK101267456SQ20081010312
公开日2008年9月17日 申请日期2008年3月31日 优先权日2008年3月31日
发明者宇 孙, 孟祥森, 兵 李, 野 林, 鹏 梁, 欧阳秀平, 越 董, 蓝曾威 申请人:中国联合通信有限公司