Sites de commerce électronique

Tous les sites de commerce électroniquereposent sur les mêmes fondements

technologiques:

– Structures de réseau– Protocoles de communication– Standards Web– Systèmes de sécurité

Modèle fonctionnel de l'interconnexion des systèmes ouverts

Modèle TCP/IP

• Le modèle TCP/IP est constitué de 4 couches

• Il est équivalent au modèle générique OSI à 7 couches

Flux de données

• Chaque couche du modèle TCP/IP ajoute de l'information de contrôle (en-tête)

• Les couches ne traitent pas le contenu de l'information encapsulée à leur niveau; ils les traitent uniquement comme données

Les couches du modèle TCP/IP

• Couche accès au réseau– Fonction: cette couche est responsable de la transmission fiable

des trames de données à travers les supports de communication physiques

– Un hôte peut supporter plusieurs protocoles de réseau

– La transformation des adresses IP en adresses physiques se fait à ce niveau

Couche application

Couche transport

Couche inter-réseau

Ethernet FDDI ATM PPP

Les couches du modèle TCP/IP (suite)

• Couche inter-réseau: le protocole IP– Le protocole IP est basé sur un modèle de commutation

de paquets

– Il s'agit d'un protocole en mode sans connexion

– Fonctions:• Définition d'une méthode d'adressage pour le réseau entier

• Acheminement des données entre la couche transport et les couches réseaux

• Routage des datagrammes vers les destinataires

• Fragmentation et réassemblage des datagrammes

Les couches du modèle TCP/IP (suite)

• Couche transport– Il existe deux protocoles principaux à ce niveau:

• TCP et UDP

– TCP: « Transmission Control Protocol »• Ce protocole fournit une

communication fiable en mode connexion (et duplex)

– UDP: « User Datagram Protocol »• Ce protocole fournit une communication non fiable en mode

sans connexion

Les couches du modèle TCP/IP (suite)

• Couche application– Cette couche inclut les programmes d'application, tels

que:• FTP: « File Transfer Protocol »• Telnet: émulation de terminal pour la connexion à un autre

hôte• SMTP: « Simple Mail Transfer Protocol »; protocole de

messagerie électronique• HTTP: « Hypertext Transfer Protocol »; Applications World

Wide Web: Netscape, Explorer, etc. • News: bulletins électroniques• etc.

Architecture Internet

• Il existe une multitude de protocoles de la famille de protocoles TCP/IP aux différentes couches

Protocole IP

• Le protocole IP est la colle de l'Internet– Il offre un service sans

connexion et non fiable– Chaque paquet ou

datagramme porte l'adresse du destinataire et est acheminé indépendamment à travers le réseau IP

• Il existe deux versions: IPv4 et IPv6– IPv4 est la version

habituellement utilisée aujourd'hui

Paquet IP

• Le paquet IP est composé– d'un en-tête (20 octets)– des options (0 ou

plusieurs (max 10) mots de 4 octets)

– le datagramme (données)

• La longueur totale d'un paquet IP est limitée à64 Koctets

Adresses IP

• Les adresses IP (version 4) ont une longueur de 32 bits (128 bits, version 6). Elles sont écrites en 4 chiffres decimaux séparés par un point (« dotted decimal »)

• Exemples:– unicast: destiné à un hôte particulier:

132.203.120.76– broadcast: destiné à tous les hôtes d'un réseau:

132.203.120.255– multicast: destiné aux hôtes d'un groupe « multicast »:

224.0.0.1

Classes d'adresses IP

• Adresse de réseau: l'adresse dont le numéro de la machine est 0• Example

– 132.104.0.0 est l'adresse d'un réseau de la classe B

<128

Couche transport hôte – hôte

• Paquet IP: Les émetteurs et récepteurs sont des hôtes (machines)• Segment TCP/datagramme UDP: Les émetteurs et récepteurs sont

des processus associés à des ports• TCP: « Transmission Control Protocol »: Ce protocole fournit une

communication fiable en mode connexion et duplex intégral• UDP: « User Datagram Protocol »: Ce protocole fournit une

communication non fiable en mode sans connexion• Les protocoles UDP et TCP adressent la source et la destination à

l'aide de numéros de port• Ces ports sont associés à des applications

– Exemple: FTP: 20/21, Telnet: 23, HTTP: 80, DNS: 53

• La combinaison d'une adresse IP avec un numéro de port est souvent appelée socket

UDP

• Source/destination port: Identification du processus de l'émetteur et du destinataire

• UDP length: Longueur totale du datagramme (nombre d'octets)• UDP checksum: Somme de contrôle couvrant l'en-tête et les

données

En-tête UDP

Segment TCP

• Le segment TCP est composé d'un en-tête (20 octets), des options (0 ou plusieurs) et des données (optionnel)

• La longueur totale (en-tête et données) ne peut dépassée 65515 octets

• TCP applique une stratégie go-back-N avec fenêtre d'anticipation pour le contrôle d'erreur et du flux de données

NAP

ISP

ISPISP

ISP

ISP ISP

ISP

ISP

ISP

ISP

NAP

NAP

NAP

Architecture Internet

ISP: Internet Service Provider

NAP: Network Access Provider Backbone (réseau fédérateur)

18

The IntranetsAn intranet is a corporate LAN and/or Wide Area

Network (WAN) that is secured behind company’s firewalls and it uses Internet technologies.

Although intranets are developed using the same TCP/IP protocol as the Internet, they operate as private networks with limited access. Only employees who are issued passwords and access codes are able to use them. So, intranets are limited to information pertinent to the company and contain exclusive and often proprietary and sensitive information. Firewalls protect intranets from unauthorized outside access.

© Prentice Hall, 2000© Prentice Hall, 2000

Public/ExternalInternet Users Intranet

Clients

Servers ERP

Legacy systems

Web servers

Databases

Firewalls

Intranet

© Prentice Hall, 2000

IP IP

E-mail servers

20

The ExtranetAn extranet implies an “extended intranet”, which uses TCP/IP

protocol networks (like the Internet) to link intranets in different locations.

Extranet transmissions are conducted over the Internet to save money. But it offers no a priori privacy or transmission security. By creating tunnels of secure data flows using cryptography and authorization algorithms, called VPNs, the security can be improved.

Extranets provide secure connectivity between a corporation’s intranets and intranets of its business partners, material suppliers, financial services, and customers.

© Prentice Hall, 2000© Prentice Hall, 2000

Extranet

Tunneling Internet

IntranetFirewall

Intranet

Firewall

SuppliersVPN

Distributors VPN

Customers

VPN

© Prentice Hall, 2000

Extranet

22

Summary : Internet, Intranet, and Extranet

Network Typical Type of Type Users Access Information

Internet Any individual with dial-up access or LAN

Unlimited, public; no restrictions

General, public and advertisement

Intranet Authorized employees ONLY

Private and restricted

Specific, corporate and proprietary

Extranet Authorized groups from collaborating companies

Private and outside authorized partners

Shared in authorized collaborating group

© Prentice Hall, 2000© Prentice Hall, 2000

Sécurité informatique

Politique de sécurité

Services de sécurité

Mécanismes de sécurité

La sécurité informatique est un ensemble de tactiques retardant l'accès non-autorisée à des

données

Services de sécuritéAuthenticité

Assure que l’identité d’une personne ou l’origine des données est indéniable et véridique

Confidentialité

Assure que seulement les personnes autorisées peuvent comprendre les données protégées

Intégrité

Assure qu’aucune modification est apportée au données par des personnes non-autorisées

Non-répudiation

Assure qu’une personne ne peut pas refuser d’avoir effectué une opération sur des données

Contrôle d’accès

Assure que seulement des personnes autorisées peuvent obtenir accès à des ressources protégées

Mécanismes de sécurité spécifiques

•Chiffrement (cryptographie)

•Signature digitale, biométrie, tatouage

•Certification

•Contrôle d’accès

•Protection physique

•Sécurisation de transmission

Private Key Private Key

Encryption– Private Key Encryption (Symmetrical Key Encryption)

• Data Encryption Standard (DES) is the most widely used symmetrical encryption algorithm

MessageText

CipheredText

MessageText

Sender Receiver

Encryption Decryption

MessageText

CipheredText

MessageText

Sender Receiver

Encryption Decryption

Public Key of Recipient

Private Key ofRecipient

– Public Key Encryption (asymmetrical key encryption)

Encryption

Encryption– Digital Envelope — combination of symmetrical

and public key encryption

Session Key Session Key

Public key of Recipient

Private key of RecipientSession Key Session Key

Digital Envelope

MessageText

CipheredText

MessageText

Sender Receiver

Encryption Decryption

Public Key of Recipient

Private Key ofRecipient

– Digital Signatures : Authenticity and Non-Denial

Signature Signature

Private Key of Sender

Public Key of Sender

Encryption

MessageText

CipheredText

MessageText

Sender Receiver

Encryption Decryption

Digital Certificates andCertifying Authorities

• Digital Certificates– Verify the holder of a public and private key is who he,

she or it claims to be

• Certifying Authorities (CA)– Issue digital certificates– Verify the information and creates a certificate that

contains the applicant’s public key along with identifying information

– Uses their private key to encrypt the certificate and sends the signed certificate to the applicant

Sécurité de la transmission

physique

réseau

transport

applicationHTTP, E-mail

TCP, UDP

IP

Ethernet, PPP

Authenticité, confidentialité, intégrité, non-répudiation, contrôle d’accès

Protocoles

Enc

apsu

lati

on

Protocoles sécurisés (cryptographie), Firewalls

S/MIME, S-HTTP, PGPSecure TelnetSASL, SSH

SSL/TSL

IPsec (AH, ESP)

PAP, CHAP, EAPEncryption du lienFiltrage adr MAC

Examples

Message Digest, clé asym. (->signature digitale)

Clé symetr., certificat, signature (-> message encr.)

Clé asym., certificat (->enveloppe digitale)

Secure Socket Layer (SSL)

• A protocol that operates at the TCP/IP layer• Encrypts communications between browsers

and servers• Supports a variety of encryption algorithms

and authentication methods• Encrypts credit card numbers that are sent from

a consumer’s browser to a merchants’ Web site

Secure Electronic Transactions (SET)

• A cryptographic protocol to handle the complete transaction

• Provides authentication, confidentiality, message integrity, and linkage

• Supporting features– Cardholder registration– Merchant registration– Purchase requests– Payment authorizations– Payment capture

– Chargebacks– Credits– Credit reversal– Debit card transactions

What is Microsoft .NET Passport?

Internet scale authentication service

available to any web site

Key features:Key features: Single sign in across Single sign in across

multiple sitesmultiple sites

Enables easy, secure Enables easy, secure commercecommerce

Enables parents to Enables parents to make informed make informed decisions for kids decisions for kids (Kids .NET Passport)(Kids .NET Passport)

User in control, data User in control, data stored is minimalstored is minimal

Key issues

• Authentication for secure, customized experience and transaction integrity

• Privacy for trusted data management

• Security for controlled data access and transmission

ParticipatingWeb Site

.NET .NET Passport Manager Object(encryption library, authentication

and data access interfaces)

ParticipatingWeb Site

Passport Manager Object(encryption library, authentication

and data access interfaces)

Microsoft .NET PassportDomain Authority

User Registration and AuthenticationWeb Servers and Databases

Microsoft .NET PassportDomain Authority

User Registration and AuthenticationWeb Servers and Databases

Microsoft .NET PassportDomain Authority

User Registration and AuthenticationWeb Servers and Databases

.NET Passport Sign In.NET Passport Sign InBrowser

(SSL, Javascript, Cookies)

ParticipatingWeb Site

.NET Passport Manager Object(encryption library, authentication

and data access interfaces)

(3) AuthenticationRequest

(4) Auth ResponseCookies:In pp.comRedirect URL:Includes site specifict=ticket and p=profileon the query string

(1) InitialPage Request

(2) Redirect forAuthenticationId=site-id, ru=return URL

(5) AuthenticatedPage RequestT=ticket, P=profile

(6) Page includingSet cookie for MSPAuth and MSPProf

•No server-to-server communication at authentication

•Central Configuration Service

•.NET Passport Manager server object resident at SSI Site

•Alternative Interfaces (not shown)

•Digest security packages for non-HTML clients

•XML interfaces for clients

Central Config Service‘Nexus’

Valid Domains, Schema, URLs

Configuration and Database Servers

Registration and Login Servers