专利名称:网络支付系统中订单数据的处理方法和处理系统的制作方法
技术领域:
本发明涉及网络在线订单及支付数据的处理技术领域,尤其涉及一种网络支付系 统中订单数据的处理方法和处理系统。
背景技术:
目前,随着网络的普及,网络在线支付系统也越来越普及,用户可以足不出户即可 通过网络在线支付购买产品。
但是,网络在线支付系统是一种数据处理系统,所有的流程和数据都是由计算机 或类似的数据设备进行处理,如果支付处理流程和相关的数据具有漏洞,就会给一些恶意 的数据程序(例如计算机木马、病毒等)提供了可乘之机,从而会对相关的支付数据进行破 环和篡改,造成相关用户的损失。
图1为现有技术中常用的一种在线支付处理过程的示意图。参见图1,该处理流程 包括,
步骤1、用户在商户系统(如商户网站)浏览商品信息,发送订单指令;
步骤2、商户系统按照网银系统的支付接口生成订单数据,并使用网银系统的API 和商户证书对订单数据进行签名,形成网页的form表单返回给用户终端(例如用户的浏览 器),表单的执行(action)地址指向网银系统接收商户订单信息的应用程序;
步骤3、用户点击确认,由用户终端提交此订单数据到网银系统;
步骤4、网络银行系统(简称为网银系统)接收所述订单数据,对订单商品信息和 商户信息进行校验;
步骤5、校验通过后则向用户终端展示网银系统的支付页面,提示用户输入交易卡 号;
步骤6、用户输入交易卡号后用户终端将交易卡号信息提交给网银系统;
步骤7、网银系统查询用户的相关信息;
步骤8、网银系统向用户终端返回用户在银行的预留信息;
步骤9、用户对所述预留信息进行确认;
步骤10、网银系统向用户终端返回交易确认页面;
步骤11、不同类型用户使用各自认证方式进行交易确认,支持静态支付密码、动态 口令卡、证书签名等;
步骤12、网银系统校验后进行支付处理;
步骤13、网银系统进行支付指令处理后,如果商户系统需要网银系统的实时通知, 则网银系统将处理结果使用超文本传输协议(HTTP)协议的post方式将通知消息数据提交 到商户系统,商户系统返回取货地址或关闭这个网银系统与其建立的连接后,网银系统才 显示交易结果页面给用户。
步骤14、网银系统进行支付指令处理后,如果商户系统不需要网银实时通知,则直 接显示交易结果给用户终端。
上述现有技术所述对订单数据的处理过程存在以下缺点
在上述过程中,商户系统或者网银系统为用户展示的所有相关页面数据中,并没 有与该订单关联的用户信息,网银系统也没有对与订单关联的用户信息进行校验,如果恶 意程序在上述处理过程中伪造一个订单指令给商户系统,该伪造的订单指令中可以伪造一 个用户信息,商户系统就会根据该伪造的订单指令为用户生成一个订单数据,在整个过程 中不会展示与该订单数据关联的用户信息给用户,且在处理过程进行步骤4的时候,已经 跳转到网银页面了,在这个支付环节中,由于网银系统只对订单数据和商户信息进行了校 验,而没有对用户和此订单的关联性做出校验,因此会导致当前用户帮所述伪造的用户支 付了款项,从而导致用户网银系统的账户金额数据被间接地、恶意地盗走。因此,现有的这 种对订单数据的处理过程存在很大的安全隐患。发明内容
有鉴于此,本发明提供一种网络支付系统中订单数据的处理方法和处理系统,以 提高现有网络支付系统的数据安全性。
本发明的技术方案是这样实现的
一种网络支付系统中订单数据的处理方法,包括
A、商户系统接收用户终端发出的订单指令;
B、商户系统根据所述订单指令生成包括关联用户信息的订单数据;
C、商户系统向用户终端发送该订单数据并提示确认,并通知用户终端在接收到用 户的确认指令后将该订单数据发送至网银系统;
D、网银系统对该订单数据进行校验,校验成功后向用户终端展示包括关联用户信 息的订单数据。
一种网络支付系统中订单数据的处理系统,该处理系统包括
设置在商户系统中的订单指令接收模块,用于接收用户终端发出的订单指令;
设置在商户系统中的订单数据生成模块,用于根据所述订单指令生成包括关联用 户信息的订单数据;
设置在商户系统中的订单提示模块,用于向用户终端发送该订单数据并提示确 认,并通知用户终端在接收到用户的确认指令后将该订单数据发送至网银系统;
设置在网银系统中的校验模块,用于对收到的订单数据进行校验;
设置在网银系统中的展示模块,用于在对所收到的订单数据校验成功后,向用户 终端展示包括关联用户信息的订单数据。
与现有技术相比,本发明所提供的方案通过在订单数据的处理过程中增加了对关 联用户信息的验证和展示,增强了商户系统、网银系统、以及用户三方之间的三方信息关联 性,并增强了对整个订单数据关联方的信息展示性,即使有恶意程序从中篡改或伪造某一 个步骤,也可以在后续的验证和展示中被用户发现,及时提醒用户阻止支付处理过程,防止 用户的账户金额数据被间接地盗取,提高了网络支付系统的数据安全性。
本发明还可以进一步由用户主动填写与订单关联的用户信息,并在网银系统中进 行验证,进一步防止了恶意程序对用户订单数据的篡改和伪造,因此进一步提高了系统的 数据安全性。
另外,本发明还可以进一步由网银系统和商户系统之间进行二次校验通信,双方 可以对比校验结果,只要订单数据被篡改或伪造,则会自动发现并停止相应的支付流程,从 而从根本上防止了恶意程序篡改行为导致的安全行问题。
图1为现有技术中常用的一种在线支付处理过程的示意图2为本发明所述网络支付系统中订单数据的处理方法的一种实施示意图3为本发明所述网络支付系统中订单数据的处理方法的另一种实施示意图4为本发明所述网络支付系统中订单数据的处理方法的再一种实施示意图5为本发明所述网络支付系统中订单数据处理系统的一种实施示意图6为本发明所述网络支付系统中订单数据处理系统的另一种实施示意图7为本发明所述网络支付系统中订单数据处理系统的再一种实施示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图2为本发明所述网络支付系统中订单数据的处理方法的一种实施示意图。参见 图2,该处理方法包括
步骤201、用户通过用户终端(如浏览器)选择商品,点击购买按钮后,用户终端发 出针对该商品的订单指令,商户系统接收用户终端发出的订单指令。
步骤202、商户系统根据所述订单指令,生成包括关联用户信息的订单数据。
具体的,商户系统通过网银系统的接口,将用户购买的订单商品信息以及该商品 关联的用户信息、以及商户信息一起生成一个表单形式的订单数据。所述订单商品信息包 括商品名称、价格等信息。所述关联用户信息包括与本订单关联的买方用户信息(即提交 本订单的买方用户信息)、和或与本订单关联的卖方用户信息。
步骤203、商户系统向用户终端发送该订单数据并提示确认;并通知用户终端在 接收到用户的确认指令后将该订单数据发送至网银系统。
此处,商户系统具体使用网银系统的应用程序编程接口(API)和商户证书对订单 数据进行签名,形成网页的form表单返回给用户终端(例如用户的浏览器),表单的执行 (action)地址指向网银系统接收商户订单信息的应用程序,也就是说利用该action地址 来通知用户终端在接收到用户的确认指令后将该订单数据发送至网银系统。
步骤204、用户终端在接收到用户的确认指令后将该订单数据发送至网银系统。
步骤205、网银系统对该订单数据进行校验。
步骤206、校验成功后向用户终端展示包括关联用户信息的订单数据,此处可以使 用非常醒目的强提示方式展示所述订单数据,包括用户购买的订单商品信息以及该商品关 联的用户信息、以及商户信息等。
由于将校验成功后的关联用户信息展示给用户,用户可以及时发现所展示的用户 信息是否为自己的用户信息,或者是否为自己购买产品的卖家用户信息,即便有恶意程序 从中篡改或伪造某一个步骤,用户也可以在展示中发现,从而及时提醒停止支付处理过程, 防止用户的账户金额数据被间接地盗取,提高了网络支付系统的数据安全性。
图3为本发明所述网络支付系统中订单数据的处理方法的另一种实施示意图;参 见图3,在本实施方式中
在步骤203中进一步包括商户系统进一步提示用户输入关联用户信息。在步骤 204中进一步将用户输入的关联用户信息发送至网银系统。此处的关联用户信息的类型可 以是与本订单关联的买方用户信息、或是与本订单关联的卖方用户信息,或者是与本订单 关联的买方用户信息和卖方用户信息,但是需要与步骤202中生成的关联用户信息的类型相一致。
网银系统在对订单数据校验成功后,进一步包括步骤2061 :将所述订单数据中包 括的关联用户信息与用户输入的关联用户信息比较。
在步骤206中,将所述比较结果和包括关联用户信息的订单数据展示给用户。
利用图3所示的实施方式,如果在用户终端侧恶意程序篡改导致商户系统自动生 成的订单数据被伪造,那么在网银系统中该伪造的订单数据中的关联用户信息就会与用户 手动输入的关联用户信息不同,这时用户就可以及时发现订单数据被伪造,因此进一步提 高了系统的数据安全性。
图4为本发明所述网络支付系统中订单数据的处理方法的再一种实施示意图。参 见图4,为了进一步从根本上防止恶意程序篡改行为导致的安全行问题,本实施例在网银系 统对收到的订单数据校验成功后,在向用户展示所述订单数据之前,进一步包括
步骤2051 :网银系统向商户系统发送所收到的订单数据。
步骤2052、商户系统收到该订单数据后采用与网银系统同样的校验方法对该订单 数据进行校验。
步骤2053、商户系统向网银系统返回校验结果。
步骤2054、网银系统收到所述校验结果后,向用户展示所收到的校验结果、以及所 述包括关联用户信息的订单数据。
当然,上述图3和图4的实施例也可以结合起来,即在图4的实施例中,在步骤203 中进一步由商户系统提示用户输入关联用户信息,并将用户输入的关联用户信息发送至网 银系统;网银系统在对订单数据校验成功后,进一步将所述订单数据中包括的关联用户信 息与用户输入的关联用户信息比较,并将比较结果展示给用户。
图5为本发明所述网络支付系统中订单数据处理系统的一种实施示意图。参见图 5,该处理系统包括
设置在商户系统中的订单指令接收模块501,用于接收用户终端发出的订单指令。
设置在商户系统中的订单数据生成模块502,用于根据所述订单指令生成包括关 联用户信息的订单数据;所述关联用户信息包括与本订单关联的买方用户信息、和/或与 本订单关联的卖方用户信息。
设置在商户系统中的订单提示模块503,用于向用户终端发送该订单数据并提示 确认,并通知用户终端在接收到用户的确认指令后将该订单数据发送至网银系统。
设置在网银系统中的校验模块504,用于对收到的订单数据进行校验。
设置在网银系统中的展示模块505,用于在对所收到的订单数据校验成功后,向用 户终端展示包括关联用户信息的订单数据。
采用图5所述的处理系统,由于将校验成功后的关联用户信息展示给用户,用户可以及时发现所展示的用户信息是否为自己的用户信息,或者是否为自己购买产品的卖家 用户信息,即便有恶意程序从中篡改或伪造某一个步骤,用户也可以在展示中发现,从而及 时提醒停止支付处理过程,防止用户的账户金额数据被间接地盗取,提高了网络支付系统 的数据安全性。
图6为本发明所述网络支付系统中订单数据处理系统的另一种实施示意图。参 见该图6,在本实施例中,所述订单提示模块503进一步用于通知用户终端提示用户输入关 联用户信息,并将用户输入的关联用户信息发送至网银系统;所述处理系统进一步包括设 置在网银系统中的比较模块506,用于在对订单数据校验成功后,进一步将所述订单数据中 包括的关联用户信息与用户输入的关联用户信息比较,并将比较结果发送给所述展示模块 505向用户终端进行展示。
采用图6所示的处理系统,如果在用户终端侧恶意程序篡改导致商户系统自动生 成的订单数据被伪造,那么在网银系统中该伪造的订单数据中的关联用户信息就会与用户 手动输入的关联用户信息不同,这时用户就可以及时发现订单数据被伪造,因此进一步提 高了系统的数据安全性。
图7为本发明所述网络支付系统中订单数据处理系统的再一种实施示意图,该处 理系统进一步包括
设置在网银系统中的二次校验收发模块507,用于在所述校验模块504对收到的 订单数据校验成功后,向商户系统发送所收到的订单数据以进行二次校验,并接收商户系 统返回的二次校验结果,将该二次校验结果发送给所述展示模块505向用户终端进行展 示;
设置在商户系统中的二次校验模块508,用于采用与网银系统相同的校验对来自 网银系统的订单数据进行二次校验,并向网银系统返回二次校验结果。
采用图7所示的实施例,可以实现商户系统和网银系统之间的对订单数据的相互 校验,可以从根本上防止恶意程序篡改行为导致的安全行问题。
当然,所述图6和图7所述的实施例可以结合起来,即在图7所述的实施例中增加 所述比较模块506,从而进一步增强网络支付系统的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种网络支付系统中订单数据的处理方法,其特征在于,包括 A、商户系统接收用户终端发出的订单指令; B、商户系统根据所述订单指令生成包括关联用户信息的订单数据; C、商户系统向用户终端发送该订单数据并提示确认,并通知用户终端在接收到用户的确认指令后将该订单数据发送至网银系统; D、网银系统对该订单数据进行校验,校验成功后向用户终端展示包括关联用户信息的订单数据。
2.根据权利要求1所述的方法,其特征在于, 所述步骤C中,商户系统进一步提示用户输入关联用户信息,并将用户输入的关联用户信息发送至网银系统; 所述步骤D中,网银系统在对订单数据校验成功后,进一步将所述订单数据中包括的关联用户信息与用户输入的关联用户信息比较,并将比较结果展示给用户。
3.根据权利要求1或2所述的方法,其特征在于,所述步骤D中,网银系统在对收到的订单数据校验成功后,进一步包括 网银系统向商户系统发送所收到的订单数据,商户系统收到该订单数据后采用与网银系统相同的校验方法对该订单数据进行校验,并向网银系统返回校验结果; 网银系统收到所述校验结果后,向用户展示所收到的校验结果。
4.根据权利要求1所述的方法,其特征在于,所述关联用户信息包括与本订单关联的买方用户信息、和/或与本订单关联的卖方用户信息。
5.一种网络支付系统中订单数据的处理系统,其特征在于,该处理系统包括 设置在商户系统中的订单指令接收模块,用于接收用户终端发出的订单指令; 设置在商户系统中的订单数据生成模块,用于根据所述订单指令生成包括关联用户信息的订单数据; 设置在商户系统中的订单提示模块,用于向用户终端发送该订单数据并提示确认,并通知用户终端在接收到用户的确认指令后将该订单数据发送至网银系统; 设置在网银系统中的校验模块,用于对收到的订单数据进行校验; 设置在网银系统中的展示模块,用于在对所收到的订单数据校验成功后,向用户终端展示包括关联用户信息的订单数据。
6.根据权利要求5所述的处理系统,其特征在于,所述订单提示模块进一步用于通知用户终端提示用户输入关联用户信息,并将用户输入的关联用户信息发送至网银系统; 所述处理系统进一步包括设置在网银系统中的比较模块,用于在对订单数据校验成功后,进一步将所述订单数据中包括的关联用户信息与用户输入的关联用户信息比较,并将比较结果发送给所述展示模块向用户终端进行展示。
7.根据权利要求5或6所述的处理系统,其特征在于,该处理系统进一步包括 设置在网银系统中的二次校验收发模块,用于在所述校验模块对收到的订单数据校验成功后,向商户系统发送所收到的订单数据以进行二次校验,并接收商户系统返回的二次校验结果,将该二次校验结果发送给所述展示模块向用户终端进行展示; 设置在商户系统中的二次校验模块,用于采用与网银系统相同的校验方法对来自网银系统的订单数据进行二次校验,并向网银系统返回二次校验结果。
8.根据权利要求5所述的处理系统,其特征在于,所述关联用户信息包括与本订单关联的买方用户信息、和/或与本订单关联的卖方用户信息。
全文摘要
本发明公开了一种网络支付系统中订单数据的处理方法和处理系统,所述方法包括A、商户系统接收用户终端发出的订单指令;B、商户系统根据所述订单指令生成包括关联用户信息的订单数据;C、商户系统向用户终端发送该订单数据并提示确认,并通知用户终端在接收到用户的确认指令后将该订单数据发送至网银系统;D、网银系统对该订单数据进行校验,校验成功后向用户终端展示包括关联用户信息的订单数据。所述系统包括设置在商户系统中的订单指令接收模块、订单数据生成模块、订单提示模块,以及设置在网银系统中的校验模块和展示模块。利用本发明,可以提高现有网络支付系统的数据安全性。
文档编号G06Q20/12GK102999838SQ20111027763
公开日2013年3月27日 申请日期2011年9月19日 优先权日2011年9月19日
发明者王松旭, 龙海 申请人:腾讯科技(深圳)有限公司