随着阿里巴巴在美国上市,阿里巴巴已经火的一塌糊涂。但是有心的网民会发现,在美国上市的阿里巴巴,并没有包含支付宝业务,也就是说,支付宝业务未来可能在中国上市(还不知道哪个版上市,可以考虑持仓哦)。
其实支付宝业务,说到底还是在中国上市比较好,因为毕竟余额宝里面都是中国的人的钱。其实我觉得支付宝做的还是很牛的,上线这么长时间,没见支付宝出现过问题,(十几亿次下载安装都木有问题啊!)。其实这一切要归功于支付宝的年轻化团队,年轻的团队更了解网络,更知道软件下载安全的重要性。比如最近阿里巴巴支付宝安装了天威诚信的代码签名证书,就能说明这个问题。
代码签名证书能为支付宝软件提供了一个理想的网络软件安全解决方案,使得支付宝能对其软件代码进行数字签名。通过对代码的数字签名来标识软件来源以及软件开发者的真实身份,保证代码在签名之后不被恶意篡改。使用户在安装已经签名的支付宝代码时,能够有效的验证该代码的可信度。
现在很多软件代码开发商了解代码签名证书,但是却没有支付宝那样懂行的团队,那么,这里给大家做一个安装代码签名证书的简单的介绍:
代码签名的基础是PKI安全体系。代码签名证书由签名证书私钥和公钥证书两部分组成。私钥用于代码的签名,公钥用于私钥签名的验证和证书持有者的身份识别。
国内最好的代码签名证书服务商要数天威诚信,因为天威诚信是赛门铁克在中国的首要合作伙伴,赛门铁克证书市场份额中有95%来自天威诚信。他们可以为客户提供全方位的数字证书安全产品。一般在天威诚信安装代码签名证书,按照步骤如下:
申请数字证书:发布者从天威诚信申请数字证书;
发布者开发出代码:发布者开发出代码;借助代码签名工具,发布者将使用MD5或SHA算法产生代码的哈希值,然后用代码签名证书私钥对该哈希值签名,从而产生一个包含代码签名和软件发布者的签名证书的软件包;
运行环境访问到该软件包:用户的运行环境访问到该软件包,并检验软件发布者的代码签名数字证书的有效性。由于VeriSign根证书的公钥已经嵌入到用户的运行环境的可信根证书库,所以运行环境可验证发布者代码签名数字证书的真实性;
使用代码签名:用户的运行环境使用代码签名数字证书中含有的公钥解密被签名的哈希值;
新产生一个原代码的哈希值:用户的运行环境使用同样的算法新产生一个原代码的哈希值;
用户的运行环境比较两个哈希值:用户的运行环境比较两个哈希值。如果相同,将发出通知声明代码已验证通过。所以用户可以相信该代码确实由证书拥有者发布,并且未经篡改。
整个过程对用户完全透明,用户将可以看到软件发布者提示信息,并可以选择是否信任该软件发布者。在选择信任软件发布者之后,运行所有该软件发布者签名的程序时将可以不再收到任何提示信息。