CA认证的信任危机CA认证历来就被认为是决定电子商务发展进程的关键环节之一，然而事实却表明，作为第三方认证机构的CA中心也开始面临信任危机。问题在于，CA中心在认证别人的时候又被谁来认证呢？本刊记者刘杰前不久，北京、广东两地发生多起股民股票被盗卖盗买事件一些股民帐户上的绩优股被换成了垃圾股“银广夏”，涉及金额100多万元。事情发生后，舆论一片哗然，证券机构中究竟是哪里出了问题？发生如此事件的原因是多方面的，但基于信息安全的问题主要有两点：一、基于用户名+密码这种身份验证方式的脆弱性；二、证券公司业务系统和内部管理中存在安全漏洞。证券行业的网上交易，尽管已发展得如火如荼，但存在的隐患还很多：如传统的基于单一密码的身份验证方式，其用户名和密码本身就容易泄露；委托信息容易被篡改；对于交易造成的责任，由于无法确认用户身份，用户可以拒绝承担；无法保证委托信息确实发送到券商服务器；用户的交易信息传输于网上极易被他人窃取......包括网上证券交易在内的电子商务和电子政务运行，如何才能保证信息传输的机密性、真实性、完整性、不可抵赖性呢？目前普遍采用的方法是基于PKI体系的身份认证（CA）。例如在网上证券交易过程中，券商与用户通过Internet互相交换从CA申请到的数字证书，并验证其真实性（包括验证数字签名、证书有效性等）。如任何一方发现对方数字证书有误，则立刻停止交易。可以说，CA应用的序幕已经拉开，作为信息基础设施的有利保障，CA认证历来被认为是决定电子商务发展进程的关键环节之一，此文的初衷也是希望在采访几家CA中心和做CA系统集成的厂商后，进一步挖掘出CA在网上证券、网上银行和电子政务中不断深化的应用和存在的问题。然而事实却表明，一直沿用国外技术标准的PKI/CA体系已经开始不堪重负，国内的CA认证机构的运营、保障还存在诸多缺失。蓦然回首，发现新的身份技术已登堂入室，并且在当前的市场条件下，这些简单、快速、价廉的身份认证系统将会有越来越多的需求并得到迅速发展。尴尬的CA随着电子商务的不断发展，如何在目前尚缺乏信任的网络活动中确保公平快捷的网上交易，建立一个权威的第三方认证机构来实现身份确认显得尤为重要。CA中心本是作为能够颁发、管理和认证数字证书的第三方机构，但现在的情况则是CA机构建设过剩。自1998年第一家CA认证中心（CTCA）成立以来，全国已经有超过30家CA中心，目前规模较大的包括上海CA中心（SHECA）、中国金融认证中心（CFCA）、国际电子商务认证中心、中国电信在长沙启动的电信CA以及包括其他部委和地方性的CA中心，甚至还包括德达创新和天威诚信等纯粹的民间CA中心。CA中心虽多，但发出的证书却寥寥。在尚未建立服务于电子政务的国家级PKI体系结构的情况下，各行业、各区域的CA中心打乱了原来严谨、有序的层次关系。而且，CA中心建设的管理缺位也助长了CA数量的膨胀。公安部、保密局、国家机要局和国家安全部，好象谁都能管，好象谁又都说了不算，应用却因此而进展缓慢。同时，作为第三方认证机构的权威性、公正性、广泛性也大打折扣。中国工程院院士沈昌祥在提到信任体系的建立时，指出了存在的两大问题：一是目前我国还没有关于电子签名之类的法规、条例，造成对CA的信任缺乏基础。二是很多CA建设基本上是一种企业行为，多以赢利为目的。政府没有一个明确的部门对已建的CA进行评测、认证、监管，况且怎么管还不清楚。目前，国际认证市场的三巨头Baltimore、Entrust、Verisign也早已把触角伸进了中国，通过代理体系在国内建立了机构，其中在上海安家的TrustAsia是VeriSign在中国的联盟伙伴。TrustAsia的中国区总经理林祖宁谈到，目前国内CA中心大多是各个政府部门主办，真正进入市场化运作且能赢利的极少，这将为国外一些“第三方信誉服务商”如TrustAsia提供商机。目前，TrustAsia主要是通过生产、制造和销售网络安全产品以及提供完美的服务来赚钱。他还透露，将慎重地选择一些有政府背景的企业实施合作，以此来渗透、占有信息安全认证市场。在还无力迎击国外CA的挑战之时，国内---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---◁文笔...