Wap商户移动平台调用支付插件进行下单的方法

Wap商户移动平台调用支付插件进行下单的方法
【专利摘要】本发明提供一种WAP商户移动平台调用支付插件进行下单的方法，向WAP商户移动平台嵌入支付插件；WAP商户移动平台与商户业务系统对接，支付插件与插件后台系统对接；商户业务系统为商户后台订单处理系统；插件后台系统为支付机构的订单处理系统，包括支付前置系统、订单处理系统和支付处理系统；本发明在后台下单的基础上，对WAP商户移动平台发起的支付，采用在调用支付插件前，布置一道防火墙，即WAP支付页面，WAP支付页面携带订单特征码对应的WAP验证码，在提交支付后，对订单特征码和WAP验证码进行订单验证，再进入支付处理，防止在WAP商户移动平台到支付插件的信息交互过程中出现订单钓鱼和页面钓鱼的风险。
【专利说明】WAP商户移动平台调用支付插件进行下单的方法
【技术领域】
[0001]本发明属于在线支付【技术领域】，具体涉及一种WAP商户移动平台调用支付插件进行下单的方法。
【背景技术】
[0002]在目前的电子支付行业内，主要存在以下两种电子支付方式:第一种，在WAP商户移动平台中嵌入收银插件API，当WAP商户移动平台接收到支付信息时，调用收银插件API进行相关的支付操作；第二种，将WAP商户移动平台与WAP网银对接，直接通过WAP网银进行支付操作。对于上述第一种支付方式，在整体支付交易过程中，存在大量从移动设备网页端发起的交易请求，在处理支付方式上，是直接从浏览器页面调用收银插件API，该种方式存在订单钓鱼和页面钓鱼风险，从而为客户造成损失。

【发明内容】

[0003]针对现有技术存在的缺陷，本发明提供一种WAP商户移动平台调用支付插件进行下单的方法，能够有效降低订单钓鱼和页面钓鱼风险，保证交易安全。
[0004]本发明采用的技术方案如下:
[0005]本发明提供一种WAP商户移动平台调用支付插件进行下单的方法，向WAP商户移动平台嵌入支付插件；所述WAP商户移动平台与商户业务系统对接，所述支付插件与插件后台系统对接；其中，所述商户业务系统为商户后台订单处理系统，用于处理订单；所述插件后台系统为支付机构的订单处理系统，包括支付前置系统、订单处理系统和支付处理系统；包括以下步骤:
[0006]SI，所述WAP商户移动平台接收到初始订单信息后，将所述初始订单信息发送到所述商户业务系统，所述商户业务系统将所述初始订单信息生成为订单信息，判断该初始订单信息为新订单后，并将所述订单信息返回给所述WAP商户移动平台，所述订单信息经所述WAP商户移动平台确认后，再返回给所述商户业务系统，然后，所述商户业务系统保存所述订单信息；
[0007]S2，所述商户业务系统将所述订单信息使用预分发的商户私钥签名并加密后通过专线网络传输到所述插件后台系统中的订单处理系统；
[0008]S3，所述订单处理系统判断该订单信息为安全的订单信息后，记录所述订单信息，保存订单副本；并生成与所述订单信息唯一对应的订单特征码，将所述订单特征码返回给所述商户业务系统；
[0009]S4，所述商户业务系统保存所述订单特征码，更新订单信息，然后将所述订单特征码和订单签名发送到所述WAP商户移动平台；
[0010]S5，所述WAP商户移动平台调用所述支付插件，向所述支付插件提交支付请求，其中，所述支付请求中携带所述订单特征码和订单签名；
[0011]S6，所述支付插件判断所述支付请求来源于所述WAP商户移动平台后，则向所述插件后台系统上传所述支付请求；所述支付请求中携带所述订单特征码和订单签名；
[0012]S7，所述插件后台系统根据所述订单特征码生成临时的具有一定时间有效期的WAP验证码，然后调用WAP支付页面并将所述WAP验证码隐藏反馈到所述WAP支付页面；其中，所述WAP支付页面为WAP商户移动平台的一个页面；
[0013]S8，所述WAP支付页面展示订单信息；
[0014]S9，所述WAP支付页面所展示的订单信息经确认后，向所述支付插件提交支付请求；所述支付请求携带所述订单特征码和所述WAP验证码；
[0015]S10，所述支付插件接收客户输入的支付信息，然后将所述支付信息、所述订单特征码和所述WAP验证码发送到所述插件后台系统；
[0016]S11，所述插件后台系统验证所述订单特征码和所述WAP验证码后，进行具体支付处理。
[0017]优选的，S2中，加密方式为:使用SSL协议加密。
[0018]优选的，S3中，所述订单处理系统判断该订单信息为安全的订单信息具体为:
[0019]所述订单处理系统验证预分发的商户公钥、商户绑定IP、判断订单生成频率是否超过阈值。
[0020]优选的，Sll之后，在进行支付之后，还包括:订单同步通知过程，具体包括:
[0021]S12，所述前置系统将订单支付结果发送到所述订单处理系统；
[0022]S13，所述订单处理系统将所述订单支付结果通知所述商户业务系统；
[0023]S14，所述商户业务系统确认订单已支付并销账后，向所述订单处理系统返回订单已支付的通知消息；
[0024]S15，所述订单处理系统向所述前置系统发送订单已支付的通知消息，然后，所述前置系统向所述支付插件转发订单已支付的通知消息；
[0025]S16,所述支付插件显示订单已支付的通知消息；同时,所述支付插件向所述WAP商户移动平台发送订单已支付的通知消息，所述WAP商户移动平台在接收到该通知消息后，向所述商户业务系统发送支付完成的验证消息，验证成功后，显示订单已支付的通知消
肩、O
[0026]本发明提供的WAP商户移动平台调用支付插件进行下单的方法，具有以下优点:
[0027](I)终端不传递订单信息:订单信息需要通过商户业务系统，再传递至插件后台系统的订单处理系统，由订单处理系统生成订单特征码后传回商户业务系统，最终在前台只传递订单特征码进行支付操作，以订单特征码为确认要素，避免出现泄露订单信息和订单被钓鱼的可能，确保订单信息的安全。
[0028](2)本发明在后台下单的基础上，对WAP商户移动平台发起的支付，采用在调用支付插件前，布置一道防火墙，即WAP支付页面，WAP支付页面携带订单特征码对应的WAP验证码，在提交支付后，对订单特征码和WAP验证码进行订单验证，再进入支付处理，防止在WAP商户移动平台到支付插件的信息交互过程中出现订单钓鱼和页面钓鱼的风险。
【专利附图】

【附图说明】
[0029]图1为本发明提供的WAP商户移动平台调用支付插件进行下单的方法流程示意图。【具体实施方式】
[0030]以下结合附图对本发明进行详细说明:
[0031]为方便理解本发明，首先介绍本发明涉及的主要名称的含义:
[0032](I)移动设备:使用无线网络如 WIFI / WIMAX.GPRS / EDGE / WCDMA / TD-SCDMA,CDMA / CDMA2000 / LTE / TD-LTE等进行网络通信的手持设备，如手机、平板电脑等；
[0033]⑵APP:即application，是运行于移动设备上的应用软件；
[0034](3)支付插件:是指独立运行在移动设备的APP广品；
[0035](4)WAP:即 Wireless Application Protocol,泛指基于 WML 语言的、运行在移动设备上的网站，不同于电脑端网站；
[0036](5)WAP商户移动平台:是指运行于移动设备上的为客户提供消费、缴费等支付类服务的平台；
[0037](6)插件后台系统:是指支付机构或银行的订单处理系统，含支付前置系统、订单处理系统、支付处理系统、加解密系统、用户系统等核心系统模块。
[0038](7)前置系统，即支付前置系统，是指存在于支付插件与支付处理系统之间的中间处理平台，包含插件认证、订单处理与转发、支付路由转发、信道加密处理等功能；
[0039](8)订单处理系统:含清结算的功能，连接前置系统，完成对订单的处理，并负责退款处理、对账清结算的任务；
[0040](9)支付处理系统:是指对支付请求进行处理的系统，一般直接对接银行系统，或本身就是银行系统；
[0041](10)加解密系统:是指对整个交易通信过程更新、分配密钥的系统；
[0042](11)用户系统:是指对客户进行客户信息管理的系统，常见功能有:注册、登录、查询交易等；
[0043](12)订单特征码:是指由插件后台系统中的订单处理系统为每一笔来自商户后台的订单信息分配的订单识别特征码，订单识别特征码含:时间戳、订单信息、随机码。其中，时间戳:时间戳是自1970年I月I日(00:00:00GMT)以来的秒数。它也被称为Unix时间戮(Unix Timestamp)。
[0044]如图1所示，本发明提供一种WAP商户移动平台调用支付插件进行下单的方法，涉及到的信息交互主体关系为:向商户移动平台嵌入支付插件；所述商户移动平台与商户业务系统对接，所述支付插件与插件后台系统对接；其中，所述商户业务系统为商户后台订单处理系统，用于处理订单；所述插件后台系统为支付机构的订单处理系统，包括支付前置系统、订单处理系统和支付处理系统。整体流程可分为三个阶段:下单阶段、支付阶段和支付通知阶段。包括以下步骤:
[0045](一 )下单阶段
[0046]SI，所述WAP商户移动平台接收到初始订单信息后，将所述初始订单信息发送到所述商户业务系统，所述商户业务系统将所述初始订单信息生成为订单信息，判断该初始订单信息为新订单后，并将所述订单信息返回给所述WAP商户移动平台，所述订单信息经所述WAP商户移动平台确认后，再返回给所述商户业务系统，然后，所述商户业务系统保存所述订单信息；[0047]具体实现上，本步骤可通过以下方法实现:
[0048]S1.1，WAP商户移动平台接收初始订单信息；
[0049]S卩，客户在WAP商户移动平台选购商品并提交订单，形成初始订单信息；通常情况下，本步骤中，WAP商户移动平台还需接收客户选择的支付机构。
[0050]S1.2, WAP商户移动平台针对此初始订单向支付插件发送支付预请求；
[0051]S1.3，支付插件判断支付预请求的来源，对来源进行分类处理，针对不同的来源，返回对应的处理结果给商户移动平台；
[0052]通常情况下，来源包括以下三种类别:APP商城、WAP商城、短信/ 二维码订单。
[0053]APP商城:客户在移动设备使用WAP商户移动平台进行消费/缴费，支付时调用移动设备上的支付插件完成支付。
[0054]WAP商城:客户在移动设备上通过浏览器访问商户平台进行消费/缴费，支付时调用移动设备上的支付插件完成支付。
[0055]短信/ 二维码:客户在PC等互联网上下单，由商户发送短信或二维码到客户手机，或通过致电商户进行订购/缴费，由商户发送短信或二维码到客户手机，客户根据手机短信收到的支付链接或二维码，发起支付，调用移动设备上的支付插件完成支付。
[0056]S1.4，WAP商户移动平台将初始订单信息提交到商户业务系统；
[0057]S1.5,商户业务系统将初始订单信息生成为订单信息，判断该初始订单信息为新订单后，并将订单信息返回给WAP商户移动平台，订单信息经WAP商户移动平台确认后，再返回给商户业务系统；然后，商户业务系统保存订单信息；
[0058]其中，如果商户业务系统判断该初始订单信息为历史未支付订单，则直接将订单信息发送到商户业务系统。如果商户业务系统确认订单失败，则直接返回商户移动平台，提示错误信息。
[0059]S2，所述商户业务系统将所述订单信息使用预分发的商户私钥签名并加密后通过专线网络传输到所述插件后台系统中的订单处理系统；加密方式可以使用SSL协议加密。
[0060]S3，所述订单处理系统判断该订单信息为安全的订单信息后，记录所述订单信息，保存订单副本；并生成与所述订单信息唯一对应的订单特征码，将所述订单特征码返回给所述商户业务系统；
[0061]其中，基于订单生成频率判断订单是否安全的原理为:木马程序在商户移动平台调用支付插件时，将该调用拦截或关闭支付插件，并在后台连接另一合法商户订单系统，生成另一合法订单，替换用户需要支付的订单，一般这样的过程具有与原订单时间相近、金额相同、发起终端相同等显著特点，业务处理后台可根据这些特征甄别是否有被钓鱼风险，给用户相关的风险提示，由用户最终确认是否需要支付、支付哪一笔订单。
[0062]S4，所述商户业务系统保存所述订单特征码，更新订单信息，然后将所述订单特征码和订单签名发送到所述WAP商户移动平台。
[0063]从上述流程可以看出，整个下单过程中，后台的订单处理系统保存订单副本，即直接推送到后台下单，然后在后续支付过程中，前台的支付插件以特征码提交支付，而不需要直接提交订单内容，然后直接推送至后台的订单处理系统，由于不需要通过互联网传输订单信息，从而确保订单信息的安全。
[0064]( 二)支付阶段[0065]S5，所述WAP商户移动平台调用所述支付插件，向所述支付插件提交支付请求，其中，所述支付请求中携带所述订单特征码和订单签名；
[0066]S6，所述支付插件判断所述支付请求来源于所述WAP商户移动平台后，则向所述插件后台系统上传所述支付请求；所述支付请求中携带所述订单特征码和订单签名；
[0067]S7，所述插件后台系统根据所述订单特征码生成临时的具有一定时间有效期的WAP验证码，例如，有效期为5分钟；然后调用WAP支付页面并将所述WAP验证码隐藏反馈到所述WAP支付页面；其中,所述WAP支付页面为插件后台系统的一个WAP页面；
[0068]S8，所述WAP支付页面展示订单信息；
[0069]S9，所述WAP支付页面所展示的订单信息经确认后，向所述支付插件提交支付请求；所述支付请求携带所述订单特征码和所述WAP验证码；
[0070]具体实现上，可以在WAP支付页面上增加按钮，通过点击该按钮调用支付插件。
[0071]S10，所述支付插件接收客户输入的支付信息，然后将所述支付信息、所述订单特征码和所述WAP验证码发送到所述插件后台系统；
[0072]客户输入的支付信息包括银行卡信息，卡密等敏感信息；另外，使用密码键盘加密，整个支付过程卡密不落地，支付验证码等，保证支付安全性。
[0073]另外，支付插件接收客户输入的支付信息的同时，还会显示订单详细信息，该订单详细信息来源方式为:在S6中，插件后台系统的订单处理系统接收到支付插件上传的订单特征码后，使用订单特征码查找订单副本数据库，获得与订单特征码对应的特定订单副本，进而获得订单详细信息，然后将订单详细信息发送给前置系统；前置系统将订单详细信息加密后发送给支付插件，进而支付插件显示订单详细信息。
[0074]现有支付过程中，用户在输入支付信息时，支付页面并不显示订单详情，而本发明中，通过上述方式，使支付页面显示订单详细，防止订单钓鱼对用户造成的损失。
[0075]S11，所述插件后台系统验证所述订单特征码和所述WAP验证码后，进行具体支付处理。
[0076]整个支付流程中，订单信息来自后台的订单处理系统，排除了从移动前台传送订单信息的风险；在整个交易过程中，凡是支付插件与插件后台系统的通信均采取了加密通信的方式，保证通信过程中不被窃取敏感信息；支付密码等关键信息输入时，采用密码键盘对信息进行了 RSA非对称加密，保证整个过程支付密码不落地。因此，有效杜绝互联网普遍存在的订单钓鱼的支付安全性问题。
[0077](三)支付通知阶段
[0078]在进行支付之后，还包括:订单同步通知过程，具体包括:
[0079]S12，所述前置系统将订单支付结果发送到所述订单处理系统；
[0080]S13，所述订单处理系统将所述订单支付结果通知所述商户业务系统；
[0081]S14，所述商户业务系统确认订单已支付并销账后，向所述订单处理系统返回订单已支付的通知消息；
[0082]S15，所述订单处理系统向所述前置系统发送订单已支付的通知消息，然后，所述前置系统向所述支付插件转发订单已支付的通知消息；
[0083]S16，所述支付插件显示订单已支付的通知消息；同时,所述支付插件向所述WAP商户移动平台发送订单已支付的通知消息，所述WAP商户移动平台在接收到该通知消息后，向所述商户业务系统发送支付完成的验证消息，验证成功后，显示订单已支付的通知消
肩、O
[0084]从上述流程可以看出，同步的支付结果反馈机制有利于保持商户业务系统和支付插件订单状态的一致性，减少客户对订单支付的误解和不信任，提高支付体验，避免用户产生顾虑和不安全的担忧。
[0085]由此可见，本发明提供的WAP商户移动平台调用支付插件进行下单的方法，具有以下优点:
[0086](I)终端不传递订单信息:订单信息需要通过商户业务系统，再传递至插件后台系统的订单处理系统，由订单处理系统生成订单特征码后传回商户业务系统，最终在前台只传递订单特征码进行支付操作，以订单特征码为确认要素，避免出现泄露订单信息和订单被钓鱼的可能，确保订单信息的安全。
[0087](2)本发明在后台下单的基础上，对WAP商户移动平台发起的支付，采用在调用支付插件前，布置一道防火墙，即WAP支付页面，WAP支付页面携带订单特征码对应的WAP验证码，在提交支付后，对订单特征码和WAP验证码进行订单验证，再进入支付处理，防止在WAP商户移动平台到支付插件的信息交互过程中出现订单钓鱼和页面钓鱼的风险。
[0088]以上所述仅是本发明的优选实施方式，应当指出，对于本【技术领域】的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。
【权利要求】
1.一种WAP商户移动平台调用支付插件进行下单的方法，其特征在于，向WAP商户移动平台嵌入支付插件；所述WAP商户移动平台与商户业务系统对接，所述支付插件与插件后台系统对接；其中，所述商户业务系统为商户后台订单处理系统，用于处理订单；所述插件后台系统为支付机构的订单处理系统，包括支付前置系统、订单处理系统和支付处理系统；包括以下步骤: SI，所述WAP商户移动平台接收到初始订单信息后，将所述初始订单信息发送到所述商户业务系统，所述商户业务系统将所述初始订单信息生成为订单信息，判断该初始订单信息为新订单后，并将所述订单信息返回给所述WAP商户移动平台，所述订单信息经所述WAP商户移动平台确认后，再返回给所述商户业务系统，然后，所述商户业务系统保存所述订单信息； S2，所述商户业务系统将所述订单信息使用预分发的商户私钥签名并加密后通过专线网络传输到所述插件后台系统中的订单处理系统； S3，所述订单处理系统判断该订单信息为安全的订单信息后，记录所述订单信息，保存订单副本；并生成与所述订单信息唯一对应的订单特征码，将所述订单特征码返回给所述商户业务系统； S4，所述商户业务系统保存所述订单特征码，更新订单信息，然后将所述订单特征码和订单签名发送到所述WAP商户移动平台； S5，所述WAP商户移动平台调用所述支付插件，向所述支付插件提交支付请求，其中，所述支付请求中携带所述订单特征码和订单签名； S6，所述支付插件判断所述支付请求来源于所述WAP商户移动平台后，则向所述插件后台系统上传所述支付请求；所述支付请求中携带所述订单特征码和订单签名； S7，所述插件后台系统根据所述订单特征码生成临时的具有一定时间有效期的WAP验证码，然后调用WAP支付页面并将所述WAP验证码隐藏反馈到所述WAP支付页面；其中，所述WAP支付页面为WAP商户移动平台的一个页面； S8，所述WAP支付页面展示订单信息； S9，所述WAP支付页面所展示的订单信息经确认后，向所述支付插件提交支付请求；所述支付请求携带所述订单特征码和所述WAP验证码； S10，所述支付插件接收客户输入的支付信息，然后将所述支付信息、所述订单特征码和所述WAP验证码发送到所述插件后台系统； S11，所述插件后台系统验证所述订单特征码和所述WAP验证码后，进行具体支付处理。
2.根据权利要求1所述的WAP商户移动平台调用支付插件进行下单的方法，其特征在于，S2中，加密方式为: 使用SSL协议加密。
3.根据权利要求1所述的WAP商户移动平台调用支付插件进行下单的方法，其特征在于，S3中，所述订单处理系统判断该订单信息为安全的订单信息具体为: 所述订单处理系统验证预分发的商户公钥、商户绑定IP、判断订单生成频率是否超过阈值。
4.根据权利要求1所述的WAP商户移动平台调用支付插件进行下单的方法，其特征在于，Sll之后，在进行支付之后，还包括:订单同步通知过程，具体包括:S12，所述前置系统将订单支付结果发送到所述订单处理系统； S13，所述订单处理系统将所述订单支付结果通知所述商户业务系统； S14，所述商户业务系统确认订单已支付并销账后，向所述订单处理系统返回订单已支付的通知消息； S15，所述订单处理系统向所述前置系统发送订单已支付的通知消息，然后，所述前置系统向所述支付插件转发订单已支付的通知消息； S16，所述支付插件显示订单已支付的通知消息；同时，所述支付插件向所述WAP商户移动平台发送订单已支付的通知消息，所述WAP商户移动平台在接收到该通知消息后，向所述商户业务系统发送支付完成的验证消息，验证成功后，显示订单已支付的通知消息。
【文档编号】G06Q20/38GK103745352SQ201310744929
【公开日】2014年4月23日 申请日期:2013年12月30日 优先权日:2013年12月30日
【发明者】杜江, 朱烨东, 金雪丹 申请人:北京中科金财电子商务有限公司