Redes II Comércio Eletrônico

Slides:



Advertisements
Apresentações semelhantes
Sistemas Distribuídos Baseados na Web
Advertisements

Alex Coletta Rafael Curi
André Oliveira Castro Marcelo Siqueira Pereira Filho
KS Consulting Palestrante: Odair Ricci
Sistemas da Informação e Tecnologia Prof. Luciel Henrique de Oliveira Tecnologias e Ferramentas para Garantir a segurança Trabalho 6 – Adriano Montico.
Trabalho 6 – Tecnologias e Ferramentas para garantir a Segurança
Bruno Rafael de Oliveira Rodrigues
Teorias de Sistemas de Informação
Professor: Alex Avellar
1 Segurança em Redes de Computadores Referência: Slides extraídos do material dos professores Jim Kurose e Keith Ross relativos ao livro Redes de Computadores.
1 Segurança na Web Principais problemas e soluções.
Segurança da Camada de Transporte
Certificação Eletrônica e Assinatura Digital ANVISA
Criptografia e segurança de redes Capítulo 17
Simple Network Management Protocol (SNMP)
Arquitetura. Transferência de Arquivos – FTP Transferência de arquivos em sistemas remotos Utiliza o protocolo FTP sobre uma conexão TCP Estabelece conexão.
SSL (Secure Sockets Layer) SET (Secure Eletronic Transactions)
GERENCIAMENTO DE REDES
Emitindo seu Certificado Digital
Emitindo seu Certificado Digital
A solução completa para pagamentos online.
TCP/IP básico e outros protocolos
Introdução às Redes Privadas Virtuais - VPN
Pense bem, pense grande. Pense BIG.
SEGURANÇA NO E-COMMERCE.
Sistemas Distribuídos
Manual Cartão Pesquisa /CNPq Atualizado em 02/06/09.
SSL/TLS Universidade Federal do Rio de Janeiro Escola Politécnica
A → B : k * M ( k = fator de ocultação )
Funcionalidades e Protocolos da Camada de Aplicação
Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.
GERENCIAMENTO DE CHAVES PÚBLICAS. Gerenciamento de chaves públicas Abril de 2006 Criptografia de Chave Pública 2 Problema: Se Alice e Bob não se conhecem.
Faculdade de engenharia química Gestão estratégica da produção Sistemas de Informação e tecnologia Trabalho 6 Tecnologias e Ferramentas para Garantir a.
TRABALHO 6: Tecnologias e Ferramentas para Garantir a Segurança
Hash HTTPS SSL Certificados.
Dispositivos de Segurança
O que é o .
Inserir crédito para cliente
Secure Sockets Layer (SSL) e Transport Layer Security (TLS)
O que é, exemplos de esquemas, cuidados a ter e como agir.
GERENCIAMENTO DE REDES UTILIZANDO O PROTOCOLO SNMP
Rafael Alcantara de Paula SSL e Certificado Digital Belo Horizonte, 31 de Janeiro de 2012.
1. Infra-estrutura Hardware (várias alternativas: TV, Celular, PC) Software (deve evitar complexidade de uso) Acesso –Maior barreira é custo de telefonia.
PKI – Public key infrastructure Infra-estrutura de Chaves Públicas Trabalho de Redes de Computadores II Nome: Délio Silva Nunes.
Defesa do Consumidor- Ótica do Mercado ABRANET- Eduardo Parajo.
LUCAS DE ANDRADE VINICIUS BERNARDINO DA SILVA
Segurança e Auditoria de Sistemas
CERTIFICADO DE ATRIBUTOS
SIT – T9 Tecnologias e Ferramentas para Garantir a Segurança Marcio Luiz Angeli.
Segurança e Auditoria de Sistemas
LUIZ DANIEL DE AZEVEDO BORGES Trabalho 9. Pesquisar sobre o modelo de certificação digital estabelecido pelo governo, através da ICP-Brasil (sistema de.
CURSO GESTÃO ESTRATÉGICA DA PRODUÇÃO SISTEMAS DE INFORMAÇÃO E TECNOLOGIA RAFAEL F P BRIARD TRABALHO 9.
IIS Web Server.
Sistemas de Informação
Controle de Acesso Kerberos
PGP – Pretty Good Privacy Privacidade Bastante Boa
Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.
Tópicos Avançados em Redes de Computadores
WSJET são serviços que ficam disponíveis na Internet para os clientes autorizados pela Jet Tecnologia, ou seja, são Web Services. Os Web Services são.
Segurança Online Entenda e aprenda a driblar os perigos de compartilhar informações pessoais online.
Apache Autenticação por usuário e senha. Introdução O princípio da autenticação é simples. O cliente envia o seu login e sua senha para o servidor Apache.
Segurança de Redes de Computadores Prof. Paulo Fernando da Silva Faculdades SENAC Florianópolis Pós-Graduação em Segurança da Informação.
Universidade Federal de Alagoas Instituto de Computação - IC Redes de Computadores 2 Serviços Web Felipe Santos José Oswaldo.
SSL / TLS.
Tema 08: Segurança em Redes
5 – Distribuição de chaves
Aula: Arquiteturas de redes: modelo de referência OSI 04/12/2010.
Segurança em Comércio Eletrônico Comércio tradicional realizado de maneira centralizada cercado de restrições legais Comércio eletrônico realização de.
Curso Superior em Redes de Computadores SSH Prof. Sales Filho.
E-Commerce - Meios de Pagamento. Apresentação Eduardo Feijó Gerente de Produtos Bacharel em Ciência da Computação - USP.
Transcrição da apresentação:

Redes II Comércio Eletrônico Protocolos SSL e SET Raul Baldin 02088243 Renato Stringassi 02172070

Introdução A popularização da internet fez com que surgisse um grande mercado virtual. Devido à suas facilidades e comodidade de acesso. No Brasil, no ano de 2004, o comércio eletrônico movimentou cerca de 1,7 bilhões de reais.

Faturamento do e-commerce no Brasil

Dificuldades Democratização da internet no Brasil. Ainda existem muitas pessoas sem acesso à internet. Medo da má utilização dos dados dos clientes na internet. Receio de fraudes.

Comércio Eletrônico Compra de bens pela Internet Envolve três participantes: Consumidores (compra o produto) Comerciantes (vende o produto) Instituições Financeiras (autoriza compra)

Comércio Eletrônico usando SSL/TLS SSL (secure sockets layer) – Camada de Portas de Segurança TLS (transport layer security) – Segurança da Camada de Transporte Geralmente só a sigla SSL é usada para representar ambos

Comércio Eletrônico usando SSL/TLS (cont.) Inicialmente desenvolvido pela Netscape Fornece criptografia de dados entre um cliente e um servidor Implementado em quase todos os clientes (navegadores) e servidores Várias implementações, bibliotecas (ex: OpenSSL)

Comércio Eletrônico usando SSL/TLS (cont.) Pode ser vista como uma camada entre a camada de aplicação e a de transporte Não é limitado apenas a aplicações Web: pode ser usado em correio Imap, POP3, e por praticamente qualquer aplicação rodando sobre TCP Fornece: Confiabilidade Integridade de conexão e mensagens Autenticação do servidor e opcionalmente do cliente Camada de Aplicação TLS Camada de Transporte

Problemas de uma transação de comércio eletrônico Bob Trudy Alice Ordem pagamento (Senha + #Cartão) Intruso interceptando ordem de pagamento: Um intruso (Trudy) pode interceptar a ordem de pagamento de um cliente (Bob), obter o número do cartão de crédito e senha para realizar outras compras em nome de Bob

Problemas de uma transação de comércio eletrônico Bob Trudy se passando por Alice Ordem pagamento (Senha + #Cartão) Intruso se passando por comerciante: O site do comerciante (Alice) pode ser falso e estar sendo mantido pelo intruso (Trudy) só para conseguir obter o número do cartão e a senha de seus clientes (no caso, Bob)

Autenticação do servidor SSL Permite que o usuário confirme a autenticidade do servidor: Autenticação feita pelo navegador que mantém uma lista de CAs de confiança com suas respectivas chaves públicas. Navegador autentica servidor antes do usuário informar seus dados sigilosos Bob verifica que ele está realmente enviando dados a Alice, e não a alguém se passando por Alice (Trudy)

Autenticação do cliente SSL Permite que o servidor confirme a identidade do usuário: Análogo a autenticação de servidor Servidor mantém lista de certificados de clientes emitidos por CAs Suportada pelo SSL, porém opcional Usado, por exemplo, se um Banco quiser enviar dados confidenciais a um cliente

Uma sessão SSL criptografada Toda informação trocada entre navegador e servidor é criptografada por software (navegador ou servidor) Confidencialidade importante para o cliente e comerciante Fornece mecanismo de detecção de alteração (por um intruso) das informações trocadas

Solução para uma transação segura, usando SSL Bob consulta (com navegador) a página segura de Alice Alice envia seu certificado a Bob Bob obtém chave pública de Alice Bob cria uma chave simétrica aleatória e a criptografa usando a chave pública de Alice Alice obtém a chave simétrica de Bob

Limitações do SSL no comércio eletrônico Muito simples e genérico Não foi produzido visando transações com cartões de pagamentos, e sim para comunicação segura entre cliente e servidor Certificado não mostra se estabelecimento comercial é de confiança ou se o mesmo está autorizado a aceitar compras usando cartões de pagamento Certificado não mostra se cliente está autorizado a fazer compra com cartões de pagamento Abertura para diversos tipos de fraudes: Compra com cartões de crédito roubado Recusa de bens comprados

Protocolo SET (secure eletronic transactions ) Originalmente desenvolvido pela Visa International e MasterCard International em 1996, conjuntamente com outras empresas (IBM, Microsoft, Netscape). SETCo, em 1997 reconhecido como uma entidade legal para administrar e promover a adoção global do protocolo SET.

Características do Protocolo SET Diferente do SSL, ele foi projetado para criptografar tipos específicos de mensagens relacionadas ao cartões de pagamento, não podendo criptografar texto ou imagens. Envolve três participantes: Cliente Comerciante Banco Todos as informações importantes envolvidas na transação são criptografadas. Os três participantes devem ter certificados. O banco fornece certificados para o cliente representando o cartão de pagamento do cliente com informações sobre sua conta a instituição financeira que emitiu o certificado e outras informações cifradas. O mesmo ocorre para o comerciante contendo informações sobre ele, o banco do comerciante e a instituição que emitiu o certificado.

Características do Protocolo SET O protocolo especifica o significado legal do certificado em poder de cada participante e a atribuição de responsabilidades vinculadas à transação. O número do cartão de pagamento do cliente é passado diretamente ao banco do comerciante, sem que ele tenha posse desses dados, evitando com quem acidentalmente esses dados vão parar em mãos erradas.

Componentes de Software Carteira do browser: É integrada ao browser e fornece ao cliente armazenagem e administração de cartões de pagamento e certificado durante as compras Servidor do comerciante: Ele processa as transações do portador do cartão e se comunica com o banco do comerciante para aprovação e subseqüente captura do pagamento. Gateway do adquirinte: Componente de software no banco do comerciante, processa a transação do cartão de pagamento do comerciante referente à aprovação e ao pagamento.

Estágios de uma compra Cliente informa a intenção de compra O comerciante envia ao cliente uma fatura e um identificador de transação exclusivo Comerciante envia seu certificado com sua chave pública juntamente com a chave pública do banco e ambos criptografados com uma chave privada de uma CA. O cliente usa a chave pública de CA para decifrar os dois certificados.

Estágios de uma compra O cliente gera dois pacotes de informação: - informação de ordem -> contém o identificador da transação e informação sobre a bandeira do cartão que está sendo usado (destinado ao comerciante). Criptografado com a chave pública do comerciante. - instruções de compra -> contém o identificador da transação, o número do cartão do cliente e o valor da compra (destinado ao banco). Criptografado com a chave pública do banco do comerciante. Ambos os pacotes são enviados ao comerciante. O comerciante gera uma solicitação do cartão de pagamento, junto como o identificador da transação.

Estágios de uma compra O comerciante envia uma mensagem criptografada com a chave pública do banco contendo um pedido de autenticação, o pacote IC do cliente e seu certificado. O banco do comerciante decifra a mensagem verificando se houve alguma falsificação e se o identificador de transação contido no pedido de autorização bate com o contido no pacote de IC do cliente. O banco do comerciante envia uma solicitação de autorização de pagamento ao cartão de pagamento do cliente através de uma rede bancária (exatamente como cartões). Após receber a autorização, o banco do comerciante envia uma resposta criptografada, contendo o número identificador da transação. Se a transação for aprovada o comerciante envia sua própria mensagem ao cliente, que servirá de recibo, informando que o pagamento foi efetuado.

Estágios de uma compra

Objetivos do SET Oferecer confidencialidade sobre as informações relacionadas a pagamentos e pedidos de compra. Assegurar a integridade das informações trafegadas. Oferecer a autenticação de que o proprietário de cartão é um usuário legítimo de uma conta em uma administradora de cartões. Oferecer a autenticação de que o comerciante está habilitado para aceitar pagamentos da administradora de cartões em questão, através do seu relacionamento com uma instituição financeira. Assegurar o uso das melhores práticas de segurança e técnicas de projeto de sistemas, a fim de proteger todas as partes envolvidas na transação de compra eletrônica. Criar um protocolo que não dependa de mecanismos de segurança no nível de transporte e não “previna seu uso”. Facilitar e encorajar a interoperabilidade entre provedores de software e serviços de rede.

Bibliografia http://ltodi.est.ips.pt/nribeiro/Lecturing/SD_00-01/sd_00-01.html#Objectivos http://www.inf.ufrgs.br/pos/SemanaAcademica/Semana98/alexis.html http://www-306.ibm.com/software/genservers/commerce/payment/support/overview.html Redes de Computadores e a Internet (James F. Kurose, Keith W. Ross)

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.