首页 > 大客户服务中心 > 支付宝项目

企业信息应用安全

支付宝项目

 

        阿里巴巴集团经营多元化的互联网业务,包括B2B国际贸易、网上零售和支付平台,以及以数据为中心的云计算服务,致力为全球所有人创造便捷的网上交易渠道。阿里巴巴创建于1998年年底,总部设在杭州,并在海外设立美国硅谷、伦敦等分支机构。
        旗下的支付宝(www.alipay.com)致力为上亿计的个人及企业用户提供安全可靠、方便快捷的网上支付和收款服务,目前是中国领先的第三方网上支付平台,拥有最大的市场份额。截至2010年10月,支付宝的注册用户数已超越4.7亿,每天在支付宝上完成的网上交易约有700万笔。支付宝不仅要从产品上确保用户在线支付的安全,同时让用户通过支付宝在网络间建立起相互信任。
        随着第三方支付业务的快速发展,《非金融机构支付服务管理办法》等管理办法的出台,非金融机构无论从行政管理还是技术角度均有了相应的标准。其中,明确要求支付机构应当按规定核对客户的有效身份证件或其他有效身份证明文件,并登记客户身份基本信息,这实际上就是要求非金融支付机构必须实行实名支付。
        早在该办法颁布前几年,天威诚信实际就同支付宝在身份认证方面进行了有益的尝试。在最初发展阶段,支付宝没有真正解决对支付宝用户的身份认证问题,非法用户可以通过各种途径,盗取或猜测用户的登录Email地址和登录密码,假冒合法用户身份,登录支付宝进行消费。为了解决支付宝平台面临的安全隐患,支付宝公司在综合比较了动态口令双因素认证等安全认证方式后,最终决定采用成熟的基于PKI/CA技术的数字认证系统来保证平台安全。2005年,天威诚信与支付宝达成合作协议,启动了“支付宝系统安全证书项目”,即在目前支付宝单向SSL认证的基础上,增加客户端数字证书认证方式,支付宝用户登录支付宝帐户时,可通过数字证书完成身份认证。

解决方案

\

        最初,支付宝采用的是天威诚信iTrusCA2.0系统,支付宝应用该系统建设了一套完整的CA系统,面向支付宝当前的业务应用,提供用于支付宝登录身份认证的用户证书服务。并于2006年春,完成系统开发,天威诚信为阿里巴巴开发建设的CA系统正式签发证书,支付宝用户在线签发的第一张软证书诞生。
        继软证书项目基础上,双方进一步针对软证书的局限性,针对支付宝、淘宝平台的商户卖家、企业、常卖家,尤其是账户资金余额较大的用户,联合开发推出了第三方支付市场上首个硬证书——支付盾。自2009年2月12日正式推出该服务产品以来,经过一段时间的运行,仍然保持着支付盾用户的账户零被盗率。
        但随着行业发展和法律法规的健全,特别是2010年以后,原有iTrusCA(自建模式)已逐渐无法满足支付宝的需要。支付宝为了增强其支付业务领域,同时规避潜在安全认证风险,为日后数字签名技术在支付领域的应用打下基础,支付宝决定逐渐过渡为iTrusCA(服务模式),使用法律认可的第三方CA认证中心发放的数字证书。天威诚信为此制定了相应的过渡策略,帮助支付宝平稳完成此次认证系统迁移。

总部地址:北京市海淀区上地八街7号院4号楼4层(100085)总部电话:010-50947500 总部传真:010-50947517/50947516

Copyright©2001-2013北京天威诚信电子商务服务有限公司 版权所有 京ICP备06042509号