Notes de cours

Sites de commerce électronique
Tous les sites de commerce électronique
reposent sur les mêmes fondements
technologiques:
–
–
–
–
Structures de réseau
Protocoles de communication
Standards Web
Systèmes de sécurité
Modèle fonctionnel de l'interconnexion
des systèmes ouverts
Modèle TCP/IP
• Le modèle TCP/IP est constitué de 4 couches
• Il est équivalent au modèle générique OSI à 7 couches
Flux de données
• Chaque couche du modèle TCP/IP ajoute de l'information
de contrôle (en-tête)
• Les couches ne traitent pas le contenu de l'information
encapsulée à leur niveau; ils les traitent uniquement
comme données
Les couches du modèle TCP/IP
• Couche accès au réseau
– Fonction: cette couche est responsable de la transmission fiable des
trames de données à travers les supports de communication
physiques
– Un hôte peut supporter plusieurs protocoles de réseau
– La transformation des adresses IP en adresses physiques se fait à ce
niveau
Couche application
Couche transport
Couche inter-réseau
Ethernet
FDDI
ATM
PPP
Les couches du modèle TCP/IP
(suite)
• Couche inter-réseau: le protocole IP
– Le protocole IP est basé sur un modèle de commutation
de paquets
– Il s'agit d'un protocole en mode sans connexion
– Fonctions:
• Définition d'une méthode d'adressage pour le réseau entier
• Acheminement des données entre la couche transport et les
couches réseaux
• Routage des datagrammes vers les destinataires
• Fragmentation et réassemblage des datagrammes
Les couches du modèle TCP/IP
(suite)
• Couche transport
– Il existe deux protocoles principaux à ce niveau:
• TCP et UDP
– TCP: « Transmission Control Protocol »
• Ce protocole fournit une
communication fiable en mode connexion (et duplex)
– UDP: « User Datagram Protocol »
• Ce protocole fournit une communication non fiable en mode
sans connexion
Les couches du modèle TCP/IP
(suite)
• Couche application
– Cette couche inclut les programmes d'application, tels
que:
• FTP: « File Transfer Protocol »
• Telnet: émulation de terminal pour la connexion à un autre
hôte
• SMTP: « Simple Mail Transfer Protocol »; protocole de
messagerie électronique
• HTTP: « Hypertext Transfer Protocol »; Applications World
Wide Web: Netscape, Explorer, etc.
• News: bulletins électroniques
• etc.
Architecture Internet
• Il existe une multitude de protocoles de la famille de
protocoles TCP/IP aux différentes couches
Protocole IP
• Le protocole IP est la
colle de l'Internet
– Il offre un service sans
connexion et non fiable
– Chaque paquet ou
datagramme porte
l'adresse du destinataire
et est acheminé
indépendamment à
travers le réseau IP
• Il existe deux versions:
IPv4 et IPv6
– IPv4 est la version
habituellement utilisée
aujourd'hui
Paquet IP
• Le paquet IP est
composé
– d'un en-tête (20 octets)
– des options (0 ou
plusieurs (max 10) mots
de 4 octets)
– le datagramme
(données)
• La longueur totale d'un
paquet IP est limitée à
64 Koctets
Adresses IP
• Les adresses IP (version 4) ont une longueur de 32
bits (128 bits, version 6). Elles sont écrites en 4
chiffres decimaux séparés par un point (« dotted
decimal »)
• Exemples:
– unicast: destiné à un hôte particulier:
132.203.120.76
– broadcast: destiné à tous les hôtes d'un réseau:
132.203.120.255
– multicast: destiné aux hôtes d'un groupe « multicast »:
224.0.0.1
Classes d'adresses IP
<128
• Adresse de réseau: l'adresse dont le numéro de la machine
est 0
• Example
– 132.104.0.0 est l'adresse d'un réseau de la classe B
Couche transport hôte – hôte
• Paquet IP: Les émetteurs et récepteurs sont des hôtes (machines)
• Segment TCP/datagramme UDP: Les émetteurs et récepteurs sont
des processus associés à des ports
• TCP: « Transmission Control Protocol »: Ce protocole fournit une
communication fiable en mode connexion et duplex intégral
• UDP: « User Datagram Protocol »: Ce protocole fournit une
communication non fiable en mode sans connexion
• Les protocoles UDP et TCP adressent la source et la destination à l'aide
de numéros de port
• Ces ports sont associés à des applications
– Exemple: FTP: 20/21, Telnet: 23, HTTP: 80, DNS: 53
• La combinaison d'une adresse IP avec un numéro de port est souvent
appelée socket
UDP
En-tête UDP
• Source/destination port: Identification du processus de
l'émetteur et du destinataire
• UDP length: Longueur totale du datagramme (nombre
d'octets)
• UDP checksum: Somme de contrôle couvrant l'en-tête et
les données
Segment TCP
• Le segment TCP est composé d'un en-tête (20 octets), des
options (0 ou plusieurs) et des données (optionnel)
• La longueur totale (en-tête et données) ne peut dépassée
65515 octets
Architecture Internet
ISP
ISP
ISP
ISP
NAP
NAP
ISP
ISP
NAP
NAP
ISP
ISP
ISP
ISP: Internet Service Provider
NAP: Network Access Provider
ISP
Backbone (réseau fédérateur)
The Intranets
An intranet is a corporate LAN and/or Wide Area
Network (WAN) that is secured behind company’s
firewalls and it uses Internet technologies.
Although intranets are developed using the same TCP/IP
protocol as the Internet, they operate as private networks with
limited access. Only employees who are issued passwords
and access codes are able to use them. So, intranets are
limited to information pertinent to the company and contain
exclusive and often proprietary and sensitive information.
Firewalls protect intranets from unauthorized outside access.
©©Prentice
PrenticeHall,
Hall,2000
2000
18
Intranet
Servers
ERP
Clients
IP
IP
Public/External
Internet Users
Intranet
E-mail
servers
Web
servers
Firewalls
Databases
© Prentice Hall, 2000
Legacy
systems
The Extranet
An extranet implies an “extended intranet”, which uses TCP/IP
protocol networks (like the Internet) to link intranets in
different locations.
Extranet transmissions are conducted over the Internet to save
money. But it offers no a priori privacy or transmission
security. By creating tunnels of secure data flows using
cryptography and authorization algorithms, called VPNs, the
security can be improved.
Extranets provide secure connectivity between a corporation’s
intranets and intranets of its business partners, material
suppliers, financial services, and customers.
©©Prentice
PrenticeHall,
Hall,2000
2000
20
Extranet
Extranet
Suppliers
Intranet
VPN
Distributors
VPN
Firewall
Tunneling Internet
Intranet
VPN
Customers
Firewall
© Prentice Hall, 2000
Summary : Internet, Intranet, and Extranet
Network
Type
Internet
Typical
Users
Any individual
with dial-up
access or LAN
Type of
Access
Unlimited,
public; no
restrictions
Intranet
Authorized
employees
ONLY
Authorized
groups from
collaborating
companies
Private and
restricted
Extranet
Private and
outside
authorized
partners
©©Prentice
PrenticeHall,
Hall,2000
2000
Information
General, public
and advertisement
Specific,
corporate and
proprietary
Shared in
authorized
collaborating
group
22
Sécurité informatique
La sécurité informatique est un ensemble de
tactiques retardant l'accès non-autorisée à des
données
Politique de sécurité
Services de sécurité
Mécanismes de sécurité
Services de sécurité
Authenticité
Assure que l’identité d’une personne ou l’origine des
données est indéniable et véridique
Confidentialité
Assure que seulement les personnes autorisées peuvent
comprendre les données protégées
Intégrité
Assure qu’aucune modification est apportée au données
par des personnes non-autorisées
Non-répudiation
Assure qu’une personne ne peut pas refuser d’avoir
effectué une opération sur des données
Contrôle d’accès
Assure que seulement des personnes autorisées
peuvent obtenir accès à des ressources protégées
Mécanismes de sécurité
spécifiques
•Chiffrement (cryptographie)
•Signature digitale, biométrie, tatouage
•Certification
•Contrôle d’accès
•Protection physique
•Sécurisation de transmission
Encryption
– Private Key Encryption (Symmetrical Key Encryption)
• Data Encryption Standard (DES) is the most widely
used symmetrical encryption algorithm
Private Key
Message
Text
Sender
Encryption
Private Key
Ciphered
Text
Decryption
Message
Text
Receiver
Encryption
– Public Key Encryption (asymmetrical key encryption)
Public Key of
Recipient
Message
Text
Sender
Encryption
Private Key of
Recipient
Ciphered
Text
Decryption
Message
Text
Receiver
Encryption
– Digital Envelope — combination of symmetrical
and public key encryption
Public key of
Recipient
Session Key
Session Key
Digital Envelope
Private key of
Recipient
Session Key
Session Key
Message
Ciphered
Message
Text
Text
Text
Encryption
Decryption
Sender
Receiver
Encryption
– Digital Signatures : Authenticity and Non-Denial
Public Key of
Recipient
Message
Text
Signature
Sender
Encryption
Private Key of
Recipient
Ciphered
Text
Private Key
of Sender
Decryption
Public Key
of Sender
Message
Text
Signature
Receiver
Digital Certificates and
Certifying Authorities
• Digital Certificates
– Verify the holder of a public and private key is who he,
she or it claims to be
• Certifying Authorities (CA)
– Issue digital certificates
– Verify the information and creates a certificate that
contains the applicant’s public key along with
identifying information
– Uses their private key to encrypt the certificate and
sends the signed certificate to the applicant
Sécurité de la transmission
Protocoles
HTTP, E-mail
TCP, UDP
application
transport
S/MIME, S-HTTP, PGP
Secure Telnet
SASL, SSH
SSL/TSL
IPsec (AH, ESP)
réseau
IP
Ethernet, PPP
physique
PAP, CHAP, EAP
Encryption du lien
Filtrage adr MAC
Authenticité, confidentialité, intégrité, non-répudiation, contrôle d’accès
Protocoles sécurisés (cryptographie), Firewalls
Examples
Message Digest, clé asym. (->signature digitale)
Clé symetr., certificat, signature (-> message encr.)
Clé asym., certificat (->enveloppe digitale)
Secure Socket Layer (SSL)
• A protocol that operates at the TCP/IP layer
• Encrypts communications between browsers
and servers
• Supports a variety of encryption algorithms
and authentication methods
• Encrypts credit card numbers that are sent from
a consumer’s browser to a merchants’ Web site
Secure Electronic Transactions (SET)
• A cryptographic protocol to handle the complete
transaction
• Provides authentication, confidentiality, message
integrity, and linkage
• Supporting features
–
–
–
–
–
Cardholder registration
Merchant registration
Purchase requests
Payment authorizations
Payment capture
–
–
–
–
Chargebacks
Credits
Credit reversal
Debit card transactions
What is Microsoft .NET
Passport?
Key features:
Internet scale
authentication service
available to any web site

Single sign in across
multiple sites

Enables easy, secure
commerce

Enables parents to make
informed decisions for kids
(Kids .NET Passport)

User in control, data
stored is minimal
Key issues
• Authentication for secure, customized
experience and transaction integrity
• Privacy for trusted data management
• Security for controlled data access and
transmission
.NET Passport Sign In
Browser
(4) Auth Response
Cookies:
In pp.com
Redirect URL:
Includes site specific
t=ticket and p=profile
on the query string
(SSL, Javascript, Cookies)
(1) Initial
Page Request
(3) Authentication
Request
Microsoft .NET Passport
Microsoft .NET Passport
Domain Authority
Microsoft
.NET Passport
UserDomain
Registration andAuthority
Authentication
Web
Servers andand
Databases
Domain
Authority
User
Registration
Authentication
(2) Redirect for
Authentication
Id=site-id,
ru=return URL
Participating
Participating
Web
Site
Participating
Web
Site
.NET Passport Manager
Object
(encryption
library,
authentication
Web
Site
Passport Manager
Object
WebRegistration
Servers andand
Databases
User
Authentication
Web Servers and Databases
and
data
access
interfaces)
(encryption
library,
authentication
.NET
.NET
Passport
Manager Object
and data access
interfaces)
(encryption
library,
authentication
and data access interfaces)
Registration and Login
Servers
Configuration and
Database Servers
(5) Authenticated
Page Request
T=ticket, P=profile
(6) Page including
Set cookie for
MSPAuth and MSPProf
Central Config
Service
‘Nexus’
Valid Domains, Schema, URLs
•No server-to-server communication at
authentication
•Central Configuration Service
•.NET Passport Manager server object
resident at SSI Site
•Alternative Interfaces (not shown)
•Digest security packages for nonHTML clients
•XML interfaces for clients