案例分析:支付宝安全解决方案

   1.项目背景 P05N-030PT-A-G

   阿里巴巴是全球最领先的网上贸易市场。旗下的支付宝(www,dim≯com)是国内领先的独立第三方支付平台,致力于为中国电子商务提供“简单、安全、快速”的在线支付解决方案。支付宝不仅要从产品上确保用户在线支付的安全,同时让用户通过支付宝在网络间建立起相互信任。随着支付宝业务的发展,其安全性变得越来越重要。一开始使用的单向SSI'认证方式,解决了支付宝网站真实性和防止网络窃取等安全需求.没有真正解决对支付宝用户的身份认证,非法用户仍然可以通过各种途径.盗取或猜氵则罔户的登录E-mail地址和登录密码,假冒合法用户身份,登录支付宝进行消费:

   2.解决方案

   为了解决支付宝平台面临的安全隐患.支付宝公司决定采用成熟的客户端和服务器端双向sSI'认证方式,启动了Ⅱ支付宝系统安全证书项目”,即在单向SSL认证的基础上,增加客户端数字证书认证方式,支付宝用户登录支付宝账户时可通过数字证书来认证用户的身份。通过“支付宝系统安全证书项目”的实施,希望实现:凡是能引起账户变动和交易状态变化的关键的业务上实现SsI冫双向认证;虑系统的可扩充性原则,在今后增加数字签名功能时,保证现有的CA系统能够满足需求,方便灵活的进行扩充。