。。 先请各位电子支付服务提供商相关人士看一则有关电子支付服务业的领先者 PayPal 的新闻：

。。 【赛迪网讯】 2005 年 10 月 11 日消息 据路透社报道， eBay 和 VeriSign 周一宣布建立战略联盟，双方将就电子商务的支付服务和安全性进行协作。根据双方签署的协议， eBay 下属的 PayPal 公司将支付 3.7 亿美元左右收购 VeriSign 的在线支付平台，并把它整合到 PayPal 的交易商服务业务中。此外， VeriSign 这家领先的在线安全软件提供商还将向 eBay 和 PayPal 提供一套安全服务，其中包括所谓的 “ 双重认证 ”(two-factor authentication) 技术的使用权，该技术有助于防范在线身份盗窃事件的发生。

。。 再请看下面这则即将发布的新闻：

。。 【某某网讯】 200x 年 x 月 x日消息 据某某社报道，中国领先的电子支付服务提供商某某公司已经与WoTrust合作免费为每个电子支付服务用户颁发全球通用的单位数字证书用于安全登录电子支付服务提供商系统的双重身份认证和电子邮件加密与数字签名，这一合作将使得该电子支付服务提供商成为全球继 PayPal 宣布采用“双重认证”技术来防范在线身份盗窃之后的第二家宣布采用“双重认证”技术但全球第一家率先实施该技术的电子支付服务提供商，将大大增强用户对该电子支付服务提供商系统安全的信任，也必将进一步促进和巩固该电子支付服务提供商在中国市场的领先地位。

。。相信各位热爱电子支付服务事业的人士更喜欢看到第二条即将发布的新闻， WoTrust 作为中国领先的信息安全解决方案，有能力在 3 天内使电子支付服务提供商能快速实施“双重认证”技术来防范在线身份盗窃事件的发生以及防范由于电子邮件泄密而导致资金被盗的恶性事件发生，请关心电子支付服务业发展的人士尽快与我们联系，以便能真正抢在 PayPal 之前实施“双重认证”技术，为中国的电子支付服务业抢得市场先机，为中国人争光。

。。 一、机遇与挑战

。。 从第一则新闻可以看出两点实质：第一，电子支付服务前途广阔， PayPay 愿意支付 3.7 亿美元左右收购 VeriSign 的在线支付平台就是证明，而目前的风险投资积极投资中国的电子支付服务业也是一个很好的明证；第二，电子支付服务提供商已经到了必须解决电子支付系统的在线身份盗窃问题的时候了，简单的用户名 / 密码方式的身份认证已经不能适应电子支付业务的快速发展。联想到以前的一则新闻：一个美国用户控告美国一家电子支付服务提供商的在线身份被盗而造成损失的官司严重地打击了用户对该服务提供商的信心，使得该服务提供商已经到了破产的边缘。

。。 这就是电子支付服务业面临的发展机遇和挑战，所幸的是，电子支付业的领导者 PayPal 已经开始采取技术措施解决面临的安全问题，这对于快速发展中的中国电子支付服务业给出了一个非常明确的解决问题的技术方向。

。。 目前中国所有电子支付服务提供商都还是使用简单的用户名 / 密码认证机制，虽然某些电子支付服务提供商增加了一个安全控件，但还是存在以下两大严重安全问题：

。。 •  用户的身份认证问题：由于涉及到资金问题，越来越多的黑客和木马软件就盯上了电子支付服务，而电子支付服务提供商现有的用户登录系统是简单的用户名 / 密码单一认证机制，可以说毫无安全性可言，非常容易被非法窃取而导致用户的资金被盗；而资金被盗不能是简单的“你敢用，我敢赔”问题，以上美国的案件的直接金钱损失也就是几百美元，但是由于打官司让大家都知道了该服务商的系统不安全而导致用户失去了信任从而失去了用户而面临倒闭！用户的信心对电子支付服务提供商非常重要，而信心是建立在系统安全基础上的。

。。 •  电子邮件泄密问题：由于电子支付服务提供商的电子支付服务的原理是通过电子邮件通知来收款和付款的，而电子邮件在互联网上是明文传输的，非常容易被非法窃取，而一旦用户的电子邮件内容被非法窃取，则此笔交易款就极有可能也非常容易被非法盗走。

。。 相信 PayPal 已经充分认识到以上两大问题，开始采用“双重认证 (two-factor authentication) ”技术来解决电子支付的在线身份盗窃问题，其实就是使用用户的单位数字证书来实现安全的身份认证和电子邮件加密。

。。 二、解决方案

。。 WoSign 推出了基于 PKI 技术的电子支付系统身份认证和信息安全解决方案，完全解决了以上两大严重的安全问题：

。。 •  电子支付服务提供商为每个用户颁发一个全球通用的单位数字证书用于登录电子支付服务系统的真实身份认证和用于每个交易的数字签名，从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。而为了达到万无一失，还可以推荐使用公用电脑的用户使用 USB Key 型硬件移动数字证书来确保用户的真实身份 ( 需要登录和交易时就把移动数字证书插入电脑的 USB 口，交易完毕就拔下 ) 。

。。 •  由于每个用户都有全球通用的单位数字证书，不仅可以用于身份认证快速安全登录电子支付服务系统，还可以用于电子邮件数字签名和电子邮件内容加密，所有电子支付服务提供商与用户之间的电子邮件通信内容都是使用数字证书加密的，只有用户本人使用其单位数字证书才能阅读，而其他人即使在电子邮件服务器端或电子邮件传输过程中非法窃取电子邮件支付内容，但由于需要使用用户的单位数字证书才能阅读而无法阅读其内容，从而保证了用户的资金收付安全。而一般的往来电子邮件也可以使用单位数字证书进行数字签名，从而确保了确实是用户本人发电子邮件给电子支付服务提供商。

。。 三、优势分析

。。 目前电子支付服务提供商的 Web 服务器都已经部署了 VeriSign 的全球通用的支持所有浏览器的 SSL数字证书(SSL证书)，但这只能保证用户输入的机密信息从用户端浏览器到服务器之间的传输是高强度加密传输的，从而有效地防止了银行卡信息、网上购物帐号、密码和交易数据不会在传输过程中被非法窃取和篡改，保证了机密信息的机密性和完整性，而并没有解决到底是否是合法用户在使用电子支付服务系统的问题和电子支付服务提供商与用户之间往来电子邮件泄密问题。也就是说，只解决了服务器端安全问题，而整个系统中最薄弱的环节 — 客户端安全问题并没有解决。

。。 我们的解决方案是客户端使用 WoSign颁发的全球通用的个人/单位数字证书来进行身份认证和电子邮件加密与数字签名，而客户端数字证书的颁发可以是通过WoSign ，也可以是直接购买超管CA-企业版来颁发，超管 CA-企业版是一个 PKI 外包解决方案，使得企业无需投资昂贵的软硬件系统和网络安全系统以及配备专业的 PKI 人才来管理和维护自己的 CA 系统 。

。。 当然，从技术上来讲，电子支付服务提供商也可以自己设立一个私用 CA 来颁发单位数字证书给用户，但不同于银行的封闭和专用系统，单位数字证书将不仅用于登录电子支付服务提供商系统，还将用于电子邮件安全通信，而私用 CA 颁发的数字证书不支持浏览器和 OUTLOOK 等，不仅 用户需要安装私用 CA 的根证书，非常麻烦，而且用户每次使用浏览器和电子邮件时，浏览器和 OUTLOOK 都会不友好地提示用户说此证书由不可信任的机构颁发，往往会影响用户的使用和信任；更何况，还需要投资昂贵的软硬件系统和网络安全系统以及配备专业的 PKI 人才来管理和维护自己的 CA 系统。我们认为：建立私用 CA 是得不偿失的选择，就象现在电子支付服务提供商选择使用 VeriSign 或 WoSign 的全球通用的服务器端SSL证书而不是自己颁发SSL证书一样，也没有理由不选择使用 WoSign 的全球通用的客户端数字证书。

。。 WoSign 超管 CA-企业版更是让电子支付服务提供商无需投资任何软硬件设备和专业 PKI 技术人才就可以自己在线为其用户颁发单位数字证书 ( 作为 RA) ，在用户的数字证书中还可以包含电子支付服务提供商的名称和其他内容等；当然，电子支付服务提供商也可以选择 WoSign 作为 RA 来为用户提供单位数字证书，我们将免费为电子支付服务提供商提供相关技术支持。

。。 同时， WoSign 愿意给电子支付服务提供商一个非常好的价格，所以，选择WoSign 的解决方案是电子支付服务提供商最明智的选择， WoSign将为中国用户提供最优质的服务和免费的相关技术支持，我们有能力 在 3 天内使电子支付服务提供商能快速实施“双重认证”技术来防范在线身份盗窃事件的发生以及防范由于电子邮件泄密而导致资金被盗的恶性事件发生。

。。 四、解决方案免费体验

。。 为了让各位对使用数字证书作为身份认证安全登录有一个感性认识，您可以 下载 和安装一个仅供公共测试登录认证用的数字证书(导入密码：1234)来快速登录以下演示网站： https://www.wosign.com/logindemo/ ，左边为不需要输入密码的数字证书登录方式，中间为还需要输入密码的数字证书登录方式，而右边为目前电子支付服务提供商正在使用的传统的基于用户名 / 密码的登录方式 ( 不能点击 ) ，在您的浏览器没有安装数字证书之前，您是无法登录左边和中间的要求数字证书认证的登录方式的。而一旦有了单位数字证书，则可以实现一键式安全登录了，您会发现 在线身份盗窃问题就怎么容易地解决了 ，您真的可以轻松地放心地拓展贵公司电子支付业务了！

    以上解决方案涉及到的产品有：服务器 SSL 证书、客户端数字证书，请浏览以下页面了解产品详情，我们不仅提供产品，而且免费提供开发和应用指导：

    服务器 SSL 证书： http://www.wosign.com/products/ssl/

    客户端数字证书：http://www.wosign.com/products/clientcert.htm

    强身份认证技术选型指南：http://www.wosign.com/advisories/twofactor.htm

    使用客户端数字证书实现强身份认证登录演示：https://www.wosign.com/logindemo/