CHƯƠNG 1 : GIỚI THIỆU VỀ THƯƠNG MẠI ĐIỆN TỬ
2.7. Bảo mật cho ứng dụng Thương mại điện tử dạng Web-based
Các ứng dụng Web-based dựa trên mơ hình Client/Sever chạy trên
môi trường Internet và các mạng Intranet với giao thức TCP/IP. Những thách thức đối với việc bảo mật các ứng dung Web-based đã trở thành cần
thiết hơn bao giờ hết nhất là trong bối cảnh các mạng máy tính và các dịch vụ kết nối Internet ngày càng phát triển. Internet như con dao hai lưỡi, không giống như những môi trường truyền thống như hệ thống điện tín, đàm thoại, fax, các Web-Sever ln có nguy cơ phải hứng chịu các cuộc tấn cơng trên tồn bộ mạng Internet.
Có nhiều giải pháp cho vấn đề bảo mật ứng dụng Web-based cũng
như cho Web-Sever. Nội dung của các ứng dụng Web-based ngày càng
phong phú, phản ánh tính đa dạng của thơng tin và tất nhiên không loại trừ những Webside ẩn dưới những lớp vỏ được che chắn một cách khéo léo. Có
nhiều giải pháp cho vấn đề bảo mật đã được đua ra, các nhà nghiên cứu chủ yếu tập trung vào việc cải tiến các dịch vụ đã cung cấp và các kỹ thuật đã được sử dụng. Cách tiếp cận mới cho thấy sự khác biệt này chính là cung
cấp cơ chế bảo mật cho IP. Tiến bộ này của IPSec thể hiện ở chỗ nó tạo một kênh thông suốt, kênh sạch, giữa người sử dụng cuối với ứng dụng. IPSec
còn chứa một bộ lọc đặc biệt để lựa chọn tuyến giao vận tránh hiện tượng
tràn bộ nhớ trong quá trình xử lý của IPSec.
Một giải pháp nữa là cải tiến cơ chế bảo mật trên giao thức TCP, một trong những ý tưởng dẫn đến sự ra đời của giao thức Secure Sockets Layer (SSL) và Transprot Layer Security (TLS). Ở tầng này, có hai sự lựa chọn là SSL hoặc TLS. SSL được cung cấp như một giao thức hỗ trợ nên hồn tồn có thể bảo mật bất kì giao thức ứng dụng nào được xếp trên lớp TCP một
cách trong suốt. Ngồi ra, SSL cịn có thể được gắn vào các ứng dụng. Ví dụ các trình duyệt IE và Netscape đều được tích hợp SSL, các Web-Server cũng
đều đã được bổ sung giao thức này.
Một đặc trưng khác của các dịch vụ bảo mật là việc chúng được
nhúng bên trong các dịch vụ bảo mật. Sự đổi mới này thể hiện ở chỗ các
dịch vụ có thể thích ứng với các thành phần cần thiết nhất định của ứng
dụng. Trong bối cảnh chung của vấn đề bảo mật ứng dụng Web-based thì