Transportmodell Utökad-bas
Specifikation av Transportmodell Utökad bas.
Anslutning för leverantörer av meddelandesystem
Sammanfattning
Sammanfattning beskrivning av transportmodell Utökad bas
Detta dokument innehåller en specifikation av transportmodellen:
Identitet: base-ext-sigenc
Version: 1.1
Livscykelstatus: Fastställd
Ägare: Digg
Arkitekturstil: CEF eDelivery 4-hörnsmodell
Transportmodell Utökad bas är en utökning av Transportmodell bas. Utökningen innebär att meddelanden som ställs ut av Deltagaren ska krypteras och signeras redan i Deltagarens system och dekrypteras i den mottagande Deltagarens system. Det innebär att accesspunktsoperatörerna inte har tillgång till nyttolasten i klartext.
Inledning
Inledande beskrivning av transportmodellen. Detta dokument specificerar de aspekter av transportmodellen som skiljer sig från Transportmodell bas.
Beroenden till specifikationer
Utöver de specifikationer som Transportmodell bas använder ska implementationer även vara följsamma gentemot:
- Certifikatspublicering – REST-bindning mot SMP
Utöver de tjänster som Transportmodell bas använder behöver även följande komponenter eller tjänster finns tillgängliga:
- Certifikatspubliceringstjänsten
För verksamhetsutvecklare
Information som är riktad till verksamhetsutvecklare
Inledning
Denna transportmodell bygger vidare på Transportmodell bas genom att införa krav på signering av meddelandet och kryptering av dess innehåll. Meddelandekvittenser ska signeras men inte krypteras. Arkitekturstil
CEF eDelivery 4-hörnsmodell ger möjlighet för deltagare i en federation att nyttja leverantörer som tillhandahåller accesspunktsfunktioner.
Figur 1 Illustration av 4-hörnsmodellen och dess roller. Se bilden i ett större format.
Nyttor med användning
Nedan följer exempel på nyttor som möjliggörs vid användningen av de funktioner och tjänster som Transportmodellen bas stipulerar.
CEF eDelivery 4-hörsmodell ger
- möjlighet för deltagare att använda en accesspunktsoperatör för den tekniska kommunikationen (överföringen)
- möjlighet för accesspunktsoperatör att etablera stordriftsfördelar då de kan erbjuda samma tjänst till flera kunder
- asynkron överföring gör det möjligt att ha en lösare koppling mellan Deltagarnas system vilket ställer lägre krav på tillgänglighet
Användning av SML/SMP ger
- automatiserad inhämtning av tekniska adressuppgifter från aktuell och säker källa
- möjlighet att kontrollera om mottagaren har stöd för aktuell meddelandetyp och samverkansprocess
- dynamisk adressering gör det enkelt för Deltagare att byta lösning inga statiska/hårdkodade behöver ändras hos motparterna
Obligatorisk meddelandekvittens ger
- tydlighet avseende ett meddelandes mottagningsstatus
- enklare identifiering av felorsak
- automatiserad återkoppling om fel som avsändaren behöver åtgärda (och där mottagaren inte behöver lägga tid på manuell återkoppling)
- möjlighet att kontrollera att avsändande deltagare finns i SMP och därmed är en del i aktuell federation
Användning av kuverteringsprofil XHE ger
- accesspunktsoperatören möjlighet att ha en rationell hantering av inkommande och utgående meddelanden
- ett standardiserat sätt att identifiera de parametrar som behövs vid slagning i SMP
Nyttor som Transportmodell utökad bas stipulerar:
Användning av Deltagares signering/kryptering av meddelande ger
- utökad kontroll av ett meddelandes ursprung
- utökad försäkran om att Deltagarens tjänsteleverantör inte får tillgång till meddelandet i klartext.
Användning av Certifikatspubliceringstjänsten ger
- förenklad distribution av de publika certifikat som används för kryptering och för autentisering av motparten (den Deltagare man utväxlar meddelanden med)
Hur transportmodellen fungerar
Transportmodellen baseras på en 4-hörnsmodell där Deltagare kan utväxla meddelanden genom användning av accesspunktsfunktioner som kan tillhandahållas av leverantörer (accesspunktsoperatörer).
Nyttolast (verksamhetsmeddelandet) kuverteras i enlighet med XHE-standarden och överförs via accesspunktsfunktioner med AS4-protokollet. Avsändande accesspunktsfunktion gör en adressuppslagning mot SMP-tjänsten. I tjänstemetadatat framgår det vilken transportmodell som stöds. Därefter överförs meddelandet till mottagarens accesspunktsfunktion som omedelbart kvitterar (synkront) att meddelandet tagits emot. Meddelandet överlämnas därefter till Deltagarens verksamhetssystem som kontrollerar att meddelandet är följsamt enligt aktuell meddelandespecifikation. Utifrån resultatet av kontrollen returneras en meddelandekvittens som indikerar om meddelandet accepterats eller avvisats (med hänvisning till orsaken). Returen av meddelandekvittensen görs alltså asynkront som en ny meddelandeöverföring.
Transportmodell Utökad bas har utökad funktionalitet för signering och kryptering av meddelanden redan i Deltagarens verksamhetssystem/tjänst.
Villkor och förutsättningar för användning
Transportmodellen ska endast användas för de meddelandetyper och samverkansprocesser där modellen bedömts som lämplig. Transportmodellen baseras på ett asynkront utväxlingsmönster som gör att det lämpar sig för situationer där Deltagarnas verksamhetssystem bör/måste vara löst kopplade till varandra.
Deltagarna måste vara överens (genom princip inom federation eller bilateralt) om vilka slags certifikat och certifikatsutgivare som ska användas för signering och kryptering av meddelanden.
I federationens anpassningar mot eDelivery plattformen (federationsdeklarationen) regleras huruvida certifikatspubliceringstjänsten ska användas eller om certifikat ska utväxlas/distribueras manuellt mellan Deltagarna.
Om Certifikatspubliceringstjänsten används måste Deltagarens verksamhetssystem/meddelandetjänst som ska kryptera och/eller kontrollera avsändares certifikat ha access till tjänsten.
Aktörer och roller
Roll | Beskrivning |
---|---|
Deltagare | Den organisation som i en samverkansprocess med en annan Deltagare utväxlar meddelanden |
Accesspunktsoperatör | Den organisation som utför accesspunktsfunktioner för förmedling av meddelanden på uppdrag av Deltagare |
Översiktliga användningsfall
Se Transportmodell Bas med följande tillägg:
Exempel på användningsfall då denna transportmodell kan användas är:
Överföring av sekretessbelagd information som kan innehålla integritetskänsliga och känsliga personuppgifter.Tranportmodellen
Händelser
Accesspunktsoperatörer sänder, mottager och kvitterar meddelanden på respektive Deltagares uppdrag.
Deltagare utfärdar, sänder, mottager, validerar och kvitterar (acceptans eller avvisning) meddelanden som utväxlats via sin Accesspunktsoperatör.
Deltagare krypterar, dekrypterar, signerar meddelanden samt kontrollerar att signatur gjorts av avsändande Deltagare
Loggning och spårning
Loggning ska utföras i enlighet med definierade regler och rutiner för accesspunktsoperatör.
Validering
[a] Validering av meddelanden ska utföras i enlighet med de principer som gäller för samverkansprocess och meddelandespecifikation. (Exempelvis kan en meddelandespecifikation ha XSD, Schematron eller motsvarande valideringsartefakter samt regler om i vilket läge de ska användas)
[b] Meddelandekvittens ska valideras innan den skickas.
Felhantering
Felhantering ska utföras i enlighet med de regler och rutiner som är definierade för accesspunktsoperatörer, infrastrukturen och deltagare.
Incidenthantering
Incidenter ska hanteras i enlighet med de regler och rutiner som är definierade för accesspunktsoperatörer och deltagare.
Tillämpning av Meddelandemodellen
[a] Meddelanden som utväxlas med Transportmodell bas måste ha nödvändig metadata associerad till sig så att det går att identifiera mottagare, avsändare, typ av meddelande och samverkansprocess samt uppgift om tidpunkt när det skapats.
Tillämpning av Kuverteringsmodellen
[a] Nyttolast i det meddelande som utväxlas med denna transportmodell ska krypteras av avsändande Deltagare enligt de principer som beskrivs i Kuverteringsprofil XHE.
[b] Meddelandekvittens som utväxlas med denna transportmodell ska inte krypteras
[c] Meddelande (och meddelandekvittens) som utväxlas med denna transportmodell ska krypteras av avsändande Deltagare enligt de principer som beskrivs i Kuverteringsprofil XHE.
Tillämpning av Adresseringsmodellen
[a] Transportmodell baskräver att accesspunkters tekniska adressering baseras på uppgifter som hämtats från SMP.
Tillämpning av Informationssäkerhets- och tillitmodellen
Säkerhetsåtgärder
Denna transportmodell baseras på tjänster och tekniska specifikationer som etablerar en rad säkerhetsmekanismer.
Säkerhetsåtgärd | Security Function (CEF/EU) | Definition/Omfattning |
---|---|---|
Förändringsskydd under transport | Transport Integrity | AP till AP genom AS4 kryptering och signering samt TLS
Deltagare till Deltagare genom kryptering av nyttolast |
Identifiering/ Ursprungskontroll av avsändare | Authentication Sender | AP till AP genom matchning av AP-certifikatet subjekt och transportkuvertets identifierare för avsändande AP.
Deltagare till Deltagare genom avsändande Deltagares signatur och slagning i Certifikatspubliceringstjänsten för att verifiera att avsändaren använder rätt certifikat. |
Auktorisation av Sändning | Authorisation of Sending | AP till AP genom att certifikat visar att AP är godkänd för aktuell federation och miljö
Deltagare till Deltagare genom slagning i SMP och tillit till att denna information är korrekt. |
Identifiering av mottagare | Receiver Authentication | AP till AP genom att certifikat i tjänstemetadatat visar att AP är godkänd för aktuell federation och miljö. Kontroll av att den synkrona kvittensens signatur överensstämmer med certifikat från tjänstemetadata.
Deltagare till Deltagare genom slagning i SMP och tillit till att denna information är korrekt samt genom slagning i Certifikatspubliceringstjänst för att verifiera mottagarens certifikat |
Förändringsskydd av meddelande | Message Integrity | AP till AP genom AS4 kryptering och signering samt TLS
Deltagares integration med sin AP genom inre säkerhet
Deltagare till Deltagare genom kryptering och signering av nyttolast |
Insynsskydd för kommunikation | Message Confidentiality – non-persistent | AP till AP genom AS4 kryptering samt TLS
Deltagare till Deltagare genom kryptering av nyttolast |
Insynsskydd för lagrade meddelanden | Message Confidentiality – persistent | Deltagare till Deltagare genom kryptering av nyttolast |
Tidstämpel på meddelande | Message Timestamp | AP till AP genom AS4 tidsstämpel (signerad av avsändande AP)
Deltagare till Deltagare genom att kuvert är tidsstämplat (och signerat) |
Ursprungskontroll av (av)sändare | Addressee Identification / Party Identification | AP till AP genom matchning av AP-certifikatet subjekt och transportkuvertets identifierare för avsändande AP.
Deltagare till Deltagare genom slagning i Certifikatspubliceringstjänsten för att kontrollera att avsändarens signatur är i överenstämmelse avsändarens publicerade certifikat |
Oavvislighet av meddelande | Non Repudiation of Origin | AP till AP genom att meddelande signeras med avsändandes APs certifikat.
Deltagare till Deltagare genom att meddelandet är signerat |
Oavvislighet av kvittens | Non-Repudiation of Receipt | AP till AP genom att transportkvittens signeras med mottagande APs certifikat.
Deltagare till Deltagare genom att meddelandet är signerat |
Robust meddelandeutväxling | Reliable Message | AP till AP genom synkron transportkvittens
Deltagare till Deltagare genom asynkron meddelandekvittens |
För IT-arkitekter
Information som är riktad till IT-arkitekter
Inledning
Nedan beskrivs i mer detalj de tekniska aspekterna för denna transportmodell.
Tekniska villkor och förutsättningar för användning
Transportmodell bas med följande tillägg för Transportmodell Utökad bas:
Villkor och förutsättningar för användning – transportmodell bas
Villkor och förutsättningar för användning – transportmodell bas
[a] Deltagare ska vara registrerade i SMP med ett DocumentIdentifier som indikerar att Transportmodell Bas används.
[b] En Deltagare som skickar meddelande enligt Transportmodell Bas ska vara registrerad i SMP för att kunna ta emot meddelandekvittens enligt samma transportmodell.
[c] Då ett meddelande mottagits enligt Transportmodell Bas ska meddelandekvittens returernas enligt samma Transportmodell.
[d] Meddelandekvittens som tagits emot ska inte i sin tur kvitteras med en meddelandekvittens.
Följande tillägg för Transportmodell Utökad bas:
[a] Om federationen använder Certifikatspubliceringstjänsten ska Deltagares certifikat vara publicerad där
[b] Om federationen inte använder Certifikatspubliceringstjänsten ska Deltagares certifikat i förväg vara ömsesidigt kända/utväxlade
[c] En Deltagare som skickar meddelande enligt Transportmodell Utökad Bas ska vara registrerad i SMP för att kunna ta emot meddelandekvittens enligt samma transportmodell.
[d] Då ett meddelande mottagits enligt Transportmodell Utökad Bas ska meddelandekvittens returernas enligt samma Transportmodell.
Översiktliga tekniska användningsfall
Nedan beskrivs två typiska användningsfall av denna transportmodell. Båda användningsfallen kan överskådligt illustreras med hjälp av detta sekvensdiagram.
Figur 2 Illustration av sekvensen av aktiviteter. Se figuren i större format.
Tekniskt AF: Översändning av meddelande med positiv kvittens
Detta användningsfall beskriver hur ett meddelande transporteras och kvitteras enligt Transportmodell Utökad bas.
De antaganden och moment i flödet som skiljer sig från Transportmodell bas är markerade nedan med fet stil.
Användningsfall | |
---|---|
Beskrivning | Lyckad överföring av krypterat och signerat meddelande som tas emot, dekrypteras, valideras, accepteras och kvitteras. |
Roller | Deltagare (D1 och D2), Accesspunktsoperatör (AP1 och AP2) |
Antaganden | Båda Deltagare är registrerad på korrekt sätt i SMP. Båda Deltagare har publicerat sina publika certifikat i Certifikatspubliceringstjänsten. |
Flöde | A. Förbereda, validera, kryptera, kuvertera, signera och initiera överföring (Deltagare 1) 1. Deltagare (D1) avser sända meddelande till en annan Deltagare (D2). 2. D1 skapar och validerar meddelandet utifrån de principer som beskrivs i aktuell meddelandespecifikation. 3. D1 gör slagning mot Certifikatspubliceringstjänsten för att hämta D2 publika nyckel 4. D1 krypterar meddelandets nyttolast 5. D1 förpackar meddelandet i ett kuvert i enlighet med Kuverteringsprofil XHE. I kuvertet framgår bland annat identifierare för avsedd mottagare (D2), samverkansprocess och meddelandetyp. 6. D1 signerar meddelandet med sitt certifikat 7. D1 överlämnar meddelandet till sin accesspunktsoperatör (AP1). B. Adressuppslagning, transportkuvertering och överföring av meddelande (Accesspunktsoperatör 1) 8. AP1 gör, baserad på kuvertets uppgifter, slagning i SMP för att hämta nödvändiga parametrar för att utföra en överföring enligt Transportprofil AS4. 9. AP1 kontrollerar att AP2:s certifikat som hämtats från SMP är utfärdat till en för federationen godkänd accesspunkt. 10. AP1 använder AP2:s publika nyckel som hämtats från SMP för att kryptera innehållet i AS4-försändelsen. 11. AP1 etablerar en säker anslutning (enligt de principer för TLS som används i federationen) till AP2 och sänder meddelandet. C. Mottagning av meddelande, transportkvittering och loggning (Accesspunktsoperatör 2) 12. AP2 tar emot AS4-försändelsen och kontrollerar att dess signatur är korrekt och att certifikatet är utfärdat till en för federationen godkänd accesspunkt. 13. AP2 returnerar en synkron AS4-kvittens på att meddelandet tagits emot. 14. AP1 och AP2 loggar händelsen. 15. AP2 kontrollerar att kuvertet är i överensstämmelse med vad som gäller för den avsedda mottagaren och överlämnar meddelandet till D2. D. Mottagning av meddelande, validering och skapande av meddelandekvittens (Deltagare 2) 16. D2 gör slagning i Certifikatspubliceringstjänsten för att hämta D1 certifikat 17. D2 kontrollerar att certifikat är giltigt och validerar signaturen 18. D2 dekrypterar meddelandets nyttolast med sin privata nyckel. 19. D2 validerar att meddelandets nyttolast är följsamt gentemot dess specifikations regler. 20. D2 konstaterar att nyttolasten är korrekt och accepterar mottagningen. 21. D2 skapar en meddelandekvittens med referens till det mottagna meddelandet och med statuskod som visar att det accepterats 22. D2 validerar, kuverterar och signerar meddelandekvittensen i enlighet med Kuverteringsprofil XHE och överlämnar meddelandet till AP2. E. Adressuppslagning, transportkuvertering och överföring av meddelandekvittens (Accesspunktsoperatör 2) 23. AP2 kontrollerar kuvert, gör slagning i SMP och överför meddelandet till AP1 enligt Transportprofil AS4. F. Mottagning av meddelandekvittens, transportkvittering och loggning (Accesspunktsoperatör 1) 24. AP1 tar emot AS4-försändelsen och kontrollerar att dess signatur är korrekt och att certifikatet är utfärdat till en för federationen godkänd accesspunkt. 25. AP1 returnerar en synkron AS4-kvittens på att meddelandet tagits emot. 26. AP1 och AP2 loggar händelsen. 27. AP1 kontrollerar kuvert och överlämnar meddelandet till D1. G. Mottagning av meddelandekvittens (Deltagare 1) 28. D1 gör slagning i Certifikatspubliceringstjänsten för att hämta D2 certifikat 29. D1 kontrollerar att certifikat är giltigt och validerar meddelandekvittensens signaturen 30. D1 läser meddelandekvittensen och kan konstatera att D2 tagit emot och accepterat meddelandet. 31. Flödet klart. |
Resultat | Meddelande överfört från D1 till D2 och kvittens om att det accepterats har returnerats till D1. |
Exempel | Överföring av meddelande som bär känslig information såsom en orosanmälan eller registerutdrag |
Tekniskt AF: Översändning av meddelande som ej accepteras på grund av valideringsfel av nyttolast
Detta användningsfall beskriver hur ett meddelande transporteras och där meddelandet inte accepterats då avsändaren oavsiktligt modifierat meddelandet efter att det signerats och på så sätt brutit förändringsskyddet. Meddelandekvittens innehåller orsakskod som kan hjälpa avsändande deltagare i sin felsökning.
De antaganden och moment i flödet som skiljer sig från Transportmodell bas är markerade nedan med fet stil.
Användningsfall | |
---|---|
Beskrivning | Överföring av krypterat och signerat meddelande som innehåller fel då förändringsskyddet brutits innan det skickas. Meddelanden tas emot, dekrypteras, valideras, accepteras ej och kvitteras. |
Roller | Deltagare (D1 och D2), Accesspunktsoperatör (AP1 och AP2) |
Antaganden | Båda Deltagare är registrerad på korrekt sätt i SMP. Båda Deltagare har publicerat sina publika certifikat i Certifikatspubliceringstjänsten. |
Flöde | A. Förbereda, validera, kryptera, kuvertera, signera och initiera överföring (Deltagare 1) 1. Deltagare (D1) avser sända meddelande till en annan Deltagare (D2). 2. D1 skapar och validerar meddelandet utifrån de principer som beskrivs i aktuell meddelandespecifikation. 3. D1 gör slagning mot Certifikatspubliceringstjänsten för att hämta D2 publika nyckel 4. D1 krypterar meddelandets nyttolast 5. D1 förpackar meddelandet i ett kuvert i enlighet med Kuverteringsprofil XHE. I kuvertet framgår bland annat identifierare för avsedd mottagare (D2), samverkansprocess och meddelandetyp. 6. D1 signerar meddelandet med sitt certifikat 7. D1 gör oavsiktligt en förändring av meddelandets XML-struktur och bryter därmed förändringsskyddet 8. D1 överlämnar meddelandet till sin accesspunktsoperatör (AP1). B. Adressuppslagning, transportkuvertering och överföring av meddelande (Accesspunktsoperatör 1) 9. AP1 gör, baserad på kuvertets uppgifter, slagning i SMP för att hämta nödvändiga parametrar för att utföra en överföring enligt Transportprofil AS4. 10. AP1 kontrollerar att AP2:s certifikat som hämtats från SMP är utfärdat till en för federationen godkänd accesspunkt. 11. AP1 använder AP2:s publika nyckel som hämtats från SMP för att kryptera innehållet i AS4-försändelsen. 12. AP1 etablerar en säker anslutning (enligt de principer för TLS som används i federationen) till AP2 och sänder meddelandet. C. Mottagning av meddelande, transportkvittering och loggning (Accesspunktsoperatör 2) 13. AP2 tar emot AS4-försändelsen och kontrollerar att dess signatur är korrekt och att certifikatet är utfärdat till en för federationen godkänd accesspunkt. 14. AP2 returnerar en synkron AS4-kvittens på att meddelandet tagits emot. 15. AP1 och AP2 loggar händelsen. 16. AP2 kontrollerar att kuvertet är i överensstämmelse med vad som gäller för den avsedda mottagaren och överlämnar meddelandet till D2. D. Mottagning av meddelande, validering av signatur och skapande av meddelandekvittens (Deltagare 2) 17. D2 gör slagning i Certifikatspubliceringstjänsten för att hämta D1 certifikat 18. D2 kontrollerar att certifikat är giltigt och validerar signaturen 19. D2 upptäcker att signaturen inte validerar korrekt då meddelandet 20. D2 dekrypterar inte meddelandets nyttolast 21. D2 skapar en meddelandekvittens med referens till det mottagna meddelandet och med statuskod som visar att det ej accepterat och med orsakskod att signaturen inte stämmer 22. D2 validerar och kuverterar och signerar meddelandekvittensen i enlighet med Kuverteringsprofil XHE och överlämnar meddelandet till AP2. E. Adressuppslagning, transportkuvertering och överföring av meddelandekvittens (Accesspunktsoperatör 2) 23. AP2 kontrollerar kuvert, gör slagning i SMP och överför meddelandet till AP1 enligt Transportprofil AS4. F. Mottagning av meddelandekvittens, transportkvittering och loggning (Accesspunktsoperatör 1) 24. AP1 tar emot AS4-försändelsen och kontrollerar att dess signatur är korrekt och att certifikatet är utfärdat till en för federationen godkänd accesspunkt. 25. AP1 returnerar en synkron AS4-kvittens på att meddelandet tagits emot. 26. AP1 och AP2 loggar händelsen. 27. AP1 kontrollerar kuvert och överlämnar meddelandet till D1. G. Mottagning av meddelandekvittens och validering av signatur (Deltagare 1) 28. D1 gör slagning i Certifikatspubliceringstjänsten för att hämta D2 certifikat 29. D1 kontrollerar att certifikat är giltigt och validerar meddelandekvittensens signaturen 30. D1 läser meddelandekvittensen och kan konstatera att D2 inte accepterat meddelandet. 31. D1 kan med ledning av meddelandekvittensens orsakskoder förstå varför avvisning skett och kan rätta/korrigera sin lösning. Flödet klart. |
Resultat | Meddelande överfört från D1 till D2 och kvittens om att det inte accepterats har returnerats till D1. |
Exempel | Överföring av meddelande som bär känslig information såsom en orosanmälan eller registerutdrag |
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: