1.4 电子商务安全应用

为保障电子商务交易安全和规范电子交易过程,人们在电子商务规范方面做了大量的工作,制定了一系列电子商务安全服务标准。特别是在网络层、传输层和应用层的角度设计了一些常用的、著名的安全服务方案与协议来保障电子商务信息系统的安全。

1.4.1 网络层安全服务

网络层的安全服务主要保障安全的通信服务。一般使用IPSec方案,IPSec可以使一个系统选择需要的安全协议,确定服务使用的算法,并在适当的位置放置所请求服务所需要的任意加密密钥,从而在IP层提供安全服务,防止窃听、篡改、伪造、拒绝服务攻击等。

1.4.2 传输层安全服务

传输层的安全服务主要保障客户端和服务器之间的安全通信,提供保密性和数据完整性。一般使用SSL/TLS方案。SSL是在客户和服务器通信之前,在Internet上建立的一个秘密传输信息的信道,提供加密、认证服务和报文的完整性验证;安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。用于在两个通信应用程序之间提供保密性和数据完整性SSL(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。

1.4.3 应用层安全服务

应用层的安全服务,通常都是对每个应用(包括应用协议)分别进行修改和扩充,集成到应用协议上,常用的应用层安全协议有:安全超文本传输协议(S-HTTP)、安全电子交易协议(SET)、Kerberos协议、S/Mime和PGP安全电子邮件协议等。

1.4.4 提供计算机信息安全服务的组织

自从在1988年莫里斯“蠕虫”病毒横扫互联网之后,各国IT行业陆续出现了一些提供信息安全服务的组织,彼此分享计算机系统威胁的信息。这些组织认为共享攻击及防卫信息可以帮助大家提高计算机安全,这些组织有些由大学组建,有些由政府机构组建。第一个计算机安全应急响应组(Computer Emergency Response Team,简称CERT)是在美国联邦政府资助下,在卡内基梅隆大学成立的。目前一些国家级的CERT组织有:卡内基梅隆大学CERT(Coordination Center)、美国国土安全部(US-CERT)、中国国家计算机网络应急技术处理协调中心(国家互联网应急中心,CNCERT/CC)等。