电子商务认证中心的信任危机.docxVIP

电子商务认证中心的信任危机 0 电子商务的安全及防范模式 ca（certicgentration，验证中心）的目标是在互联网、办公室网络、网络上提供服务提供商、用户、各种网络设备、服务器、用户终端等的数字证书服务，支持各种电子商务模式和电子信息网络。为电子商务和电子纳音化活动提供安全可靠的平台，电子商务和政务活动应顺利进行。本文仅讨论CA在电子商务环境下的发展。 众所周知, 目前电子商务在全球取得了突飞猛进的发展, 然而电子商务在快速发展的同时也带来了交易安全问题的日益突出。可以说网上交易的安全问题是能否促使更多的人加入电子商务大军的最核心的问题之一。目前电子商务的安全措施主要是通过数字证书及数字签名。而数字签名的应用是离不开数字证书的, 因此可以说是由认证中心CA来签发和管理的数字证书在电子商务中有举足轻重的作用。那么CA的重要性也就不言而喻了。 1 国内ca目前现状 自从2000年6月29日, 中国第一家金融认证中心—中国金融认证中心 (CFCA) 的正式挂牌, 标志着中国正式开始了CA的认证工作。中国CA认证市场犹如雨后春笋, 全国各地有几十家CA认证中心, 目前我国主要的CA认证中心有70多个。其中, 有行业性的、有区域性的。行业性的CA有中国金融认证中心 (CFCA) 、中国电信认证中心 (C TCA) 、海关认证中心 (SCCA) 等等。其中CFCA和CTCA又是行业性CA中影响最大的两个。区域性的CA大多以地方政府为背景, 以公司机制来运作, 如上海、广东等CA认证中心。目前这两类CA认证中心还在不断增长。除了前面两种具有浓厚政府背景的CA认证中心以外, 还有少数非政府色彩的商业CA。这些CA多是自主筹资, 比如德达创新、天威诚信等公司。 目前, 不仅国内CA中心众多, 国际认证市场的三巨头Baltimore、Entrust、Verisign也早已把触角伸进了中国, 通过代理体系在国内建立了机构, 其中在上海安家的Trust Asia是Veri Sign在中国的联盟伙伴。目前国内CA中心大多是各个政府部门主办, 真正进入市场化运作且能赢利的极少, 这将为国外一些“第三方信誉服务商”如Trust Asia提供商机。目前, Trust Asia主要是通过生产、制造和销售网络安全产品以及提供完美的服务来赚钱。将来他们还有可能选择一些有政府背景的企业实施合作, 以此来渗透、占有信息安全认证市场。 在无力迎击国外CA的挑战之时, 国内CA就己开始了窝里斗。当前建立的众多CA中心除了在采用X.509证书标准上一致外, 其他的共同标准和规范很少。更为糟糕的是, 中国各CA认证中心发放的证书甚至不能相互兼容。而CFCA作为中国金融业的统一认证中心, 其证书甚至不能与国际权威的CA认证接轨, 而随着WTO的到来, 具有全球性交易特征的国外金融CA机构将在市场上通行无阻。 2 ca之间存在严格的互认 尽管我国目前CA中心众多, 但是在严格意义却没有符合电子商务规定, 特别是安全电子交易 (SET) 协议规定中认证中心。根据SET标准, 对证书通过信任级联关系用分层结构进行管理。SET定义了一套完备的证书信任链, 每个证书连接一个实体的数字签名证书。沿着信任树可以得到一个众所周知的信任机构, 用户可以确认证书的有效性。例如, 一个持卡人的证书上联到发卡行证书 (CCA) , CCA又通过区域性CA (GCA) 上联到品牌 (BCA) 直到根 (RCA) 。所有的基于SET协议的软件都知道根证书的数字签名公钥, 可用于验证每个证书。其体系结构如图1所示。 对照图1我们不难发现, 虽然我国有为数众多的认证中心, 但是充其量能达到品牌CA的层次, 而品牌CA之间无法相互认证, 品牌CA之间的认证必须通过那个惟一的根CA, 但是我国并没有自己的根CA, 这就导致了不同品牌CA间各自为政, 缺乏互联互通, 相互认证困难, 从某种意义上讲造成了重复建设, 导致资金的浪费。不仅如此, 由于各品牌CA所签发的证书只能在自己的领域内使用, 用户将需要多个数字证书以便在不同的领域证明自己的身份, 这样不仅增加了用户的负担和我国CA的运行成本, 也将失去数字证书作为网络时代数字身份证的意义, 将失去用户对认证中心的信任。这将带来CA的信任危机, 也将阻碍电子商务的进一步健康快速的发展。 摆在我们面前的只有两条路: (1) 国家相关机关出面强制现有CA之间交叉认证; (2) 由国家相关机关出面建立一个国家级的CA, 并对对现有的CA资源进行整合, 将整合后的CA作为根CA的品牌C A。 到底采取哪种方法可行呢? 如果我们采取第一种方法, 假设目前只有70家CA, 并且以后CA的个数也不会增加, 那么这些CA之间为了打破壁垒, 相互之间能够较好的沟通, 他们