電子商務中的網絡安全中間件應用

電子商務中的網絡安全中間件應用

各機構必須根據自己的業(yè)務要求，自行在兩種基本的電子商務安全執(zhí)行策略中進行選擇。IP安全是用以保護IP網絡上兩點間通訊的一族行業(yè)標準協(xié)議，它更被人們熟悉的名字是VPN(虛擬專用網絡)。IP安全在IP層提供基于加密的認證、完整性和保密服務。IP安全對于電子商務的用戶、應用程序和協(xié)議來說是透明的。由于對上層信息沒有濾過性，IP安全也缺乏網絡安全的幾個基本要素，包括不能提供數字簽名、不能很好的檢查和識別應用程序的數據流以便采用適當的安全對策、不能在VPN的內部通過應用程序認證個人用戶的身份以及不能向特定個人授權使用特定電子商務資源等。相對而言，電子商務往往需要更強健的安全支持。對基于Web的應用程序而言，當前的安全標準是SSL(套接層安全)及其第三版——TSL(傳輸層安全)。SSL這一機制被絕大多數web瀏覽器和服務器所支持。SSL提供對私密性和完整性的保障，并支持可選的服務器認證和客戶認證。最適合采用SSL的，是那些無需嚴格驗證用戶身份的電子商務提供者。如同IP安全一樣，瀏覽器中使用的SSL也不支持電子商務所依賴的網絡安全的若干基本要素，如：客戶認證迫使用戶學習在web瀏覽器中使用數字證書的復雜流程，SSL不能提供用于電子商務事務認證的數字簽名SSL的證書認證并非行業(yè)標準。絕大多數web服務器沒有提供電子商務所要求的監(jiān)視、日志記錄和存取控制認證等防護措施。為了有效地在web框架下實現(xiàn)網絡安全的7點要求，下列的功能應當被補充進來：1.增加某種輔助web瀏覽器的客戶端軟件以便更透明地使用數字證書來進行客戶認證，同時具有提供數字簽名的能力2.增加某種輔助web服務器的服務器軟件來驗證證書、監(jiān)視和記錄日志，并實現(xiàn)在網頁或URL層的精細存取控制。SSL對web瀏覽器的支持盡管并不完備，但已經提供了web下電子商務安全的基礎框架。對于那些并非基于web的應用程序，要保證其電子商務安全性相比而言要困難得多，因為一個替代客戶端軟件必須在沒有web瀏覽器的前提下執(zhí)行其功能。有兩種途徑可以幫助我們達到目的：1.使用由開發(fā)商提供的PKI工具包來直接編寫提供SSL支持的軟件2.使用支持SSL的PKI中間件來代表應用程序以實現(xiàn)電子商務安全盡管工具包具有很大的靈活性，它也有一些弱點，它的全程開發(fā)和維護要花費大量勞力，推向市場節(jié)奏較慢，要求員工精通PKI和安全開發(fā)，不兼容大型主機，應用程序局限于特定的PKI開發(fā)商的許可、解釋和協(xié)同工作，并依賴與開發(fā)商的技術支持。因此，工具包最好用于PKI授權的廠商的商業(yè)軟件以及試驗，而并不十分適合大范圍推廣。網絡安全中間件與基于web的應用程序通過瀏覽器實施SSL安全服務有類似之處，然而，此時中間件的客戶端軟件將為所有的應用程序，包括基于web的應用程序來提供SSL服務。精心實現(xiàn)的網絡安全中間件并不要求用戶接受過培訓或自行配置參數，同時依然能夠提供支持各種應用程序協(xié)議的網絡安全服務，并支持數字簽名的使用和對所有桌面程序的適度監(jiān)控。網絡安全中間件解放了客戶，使他們不再需要親自處理復雜的基于PKI工具包的針對性解決方案，或是購買所需要的PKI授權的商用軟件。一行代碼