Transportmodell Utökad-bas

Specifikation av Transportmodell Utökad bas.

Anslutning för leverantörer av meddelandesystem

Sammanfattning

Sammanfattning beskrivning av transportmodell Utökad bas

Detta dokument innehåller en specifikation av transportmodellen:

Identitet: base-ext-sigenc

Version: 1.1

Livscykelstatus: Fastställd

Ägare: Digg

Arkitekturstil: CEF eDelivery 4-hörnsmodell

Transportmodell Utökad bas är en utökning av Transportmodell bas. Utökningen innebär att meddelanden som ställs ut av Deltagaren ska krypteras och signeras redan i Deltagarens system och dekrypteras i den mottagande Deltagarens system. Det innebär att accesspunktsoperatörerna inte har tillgång till nyttolasten i klartext.

Inledning

Inledande beskrivning av transportmodellen. Detta dokument specificerar de aspekter av transportmodellen som skiljer sig från Transportmodell bas.

Beroenden till specifikationer

Utöver de specifikationer som Transportmodell bas använder ska implementationer även vara följsamma gentemot:

  • Certifikatspublicering – REST-bindning mot SMP

Utöver de tjänster som Transportmodell bas använder behöver även följande komponenter eller tjänster finns tillgängliga:

  • Certifikatspubliceringstjänsten

För Verksamhetsutvecklare

Information som är riktad till verksamhetsutvecklare

Inledning

Denna transportmodell bygger vidare på Transportmodell bas genom att införa krav på signering av meddelandet och kryptering av dess innehåll. Meddelandekvittenser ska signeras men inte krypteras. Arkitekturstil

CEF eDelivery 4-hörnsmodell ger möjlighet för deltagare i en federation att nyttja leverantörer som tillhandahåller accesspunktsfunktioner.

Figur 1 Illustration av 4-hörnsmodellen och dess roller. Se bilden i ett större format.

Nyttor med användning

Nedan följer exempel på nyttor som möjliggörs vid användningen av de funktioner och tjänster som Transportmodellen bas stipulerar.

CEF eDelivery 4-hörsmodell ger

  • möjlighet för deltagare att använda en accesspunktsoperatör för den tekniska kommunikationen (överföringen)
  • möjlighet för accesspunktsoperatör att etablera stordriftsfördelar då de kan erbjuda samma tjänst till flera kunder
  • asynkron överföring gör det möjligt att ha en lösare koppling mellan Deltagarnas system vilket ställer lägre krav på tillgänglighet

Användning av SML/SMP ger

  • automatiserad inhämtning av tekniska adressuppgifter från aktuell och säker källa
  • möjlighet att kontrollera om mottagaren har stöd för aktuell meddelandetyp och samverkansprocess
  • dynamisk adressering gör det enkelt för Deltagare att byta lösning inga statiska/hårdkodade behöver ändras hos motparterna

Obligatorisk meddelandekvittens ger

  • tydlighet avseende ett meddelandes mottagningsstatus
  • enklare identifiering av felorsak
  • automatiserad återkoppling om fel som avsändaren behöver åtgärda (och där mottagaren inte behöver lägga tid på manuell återkoppling)
  • möjlighet att kontrollera att avsändande deltagare finns i SMP och därmed är en del i aktuell federation

Användning av kuverteringsprofil XHE ger

  • accesspunktsoperatören möjlighet att ha en rationell hantering av inkommande och utgående meddelanden
  • ett standardiserat sätt att identifiera de parametrar som behövs vid slagning i SMP

Nyttor som Transportmodell utökad bas stipulerar:

Användning av Deltagares signering/kryptering av meddelande ger

  • utökad kontroll av ett meddelandes ursprung
  • utökad försäkran om att Deltagarens tjänsteleverantör inte får tillgång till meddelandet i klartext.

Användning av Certifikatspubliceringstjänsten ger

  • förenklad distribution av de publika certifikat som används för kryptering och för autentisering av motparten (den Deltagare man utväxlar meddelanden med)

Hur transportmodellen fungerar

Transportmodellen baseras på en 4-hörnsmodell där Deltagare kan utväxla meddelanden genom användning av accesspunktsfunktioner som kan tillhandahållas av leverantörer (accesspunktsoperatörer).

Nyttolast (verksamhetsmeddelandet) kuverteras i enlighet med XHE-standarden och överförs via accesspunktsfunktioner med AS4-protokollet. Avsändande accesspunktsfunktion gör en adressuppslagning mot SMP-tjänsten. I tjänstemetadatat framgår det vilken transportmodell som stöds. Därefter överförs meddelandet till mottagarens accesspunktsfunktion som omedelbart kvitterar (synkront) att meddelandet tagits emot. Meddelandet överlämnas därefter till Deltagarens verksamhetssystem som kontrollerar att meddelandet är följsamt enligt aktuell meddelandespecifikation. Utifrån resultatet av kontrollen returneras en meddelandekvittens som indikerar om meddelandet accepterats eller avvisats (med hänvisning till orsaken). Returen av meddelandekvittensen görs alltså asynkront som en ny meddelandeöverföring.

Transportmodell Utökad bas har utökad funktionalitet för signering och kryptering av meddelanden redan i Deltagarens verksamhetssystem/tjänst.

Villkor och förutsättningar för användning

Transportmodellen ska endast användas för de meddelandetyper och samverkansprocesser där modellen bedömts som lämplig. Transportmodellen baseras på ett asynkront utväxlingsmönster som gör att det lämpar sig för situationer där Deltagarnas verksamhetssystem bör/måste vara löst kopplade till varandra.

Deltagarna måste vara överens (genom princip inom federation eller bilateralt) om vilka slags certifikat och certifikatsutgivare som ska användas för signering och kryptering av meddelanden.

I federationens anpassningar mot eDelivery plattformen (federationsdeklarationen) regleras huruvida certifikatspubliceringstjänsten ska användas eller om certifikat ska utväxlas/distribueras manuellt mellan Deltagarna.

Om Certifikatspubliceringstjänsten används måste Deltagarens verksamhetssystem/meddelandetjänst som ska kryptera och/eller kontrollera avsändares certifikat ha access till tjänsten.

Aktörer och roller

Roll

Beskrivning

Deltagare

Den organisation som i en samverkansprocess med en annan Deltagare utväxlar meddelanden

Accesspunktsoperatör

Den organisation som utför accesspunktsfunktioner för förmedling av meddelanden på uppdrag av Deltagare

Översiktliga användningsfall

Se Transportmodell Bas med följande tillägg:

Exempel på användningsfall då denna transportmodell kan användas är:

Överföring av sekretessbelagd information som kan innehålla integritetskänsliga och känsliga personuppgifter.Tranportmodellen

Händelser

Accesspunktsoperatörer sänder, mottager och kvitterar meddelanden på respektive Deltagares uppdrag.

Deltagare utfärdar, sänder, mottager, validerar och kvitterar (acceptans eller avvisning) meddelanden som utväxlats via sin Accesspunktsoperatör.

Deltagare krypterar, dekrypterar, signerar meddelanden samt kontrollerar att signatur gjorts av avsändande Deltagare

Loggning och spårning

Loggning ska utföras i enlighet med definierade regler och rutiner för accesspunktsoperatör.

Validering

[a] Validering av meddelanden ska utföras i enlighet med de principer som gäller för samverkansprocess och meddelandespecifikation. (Exempelvis kan en meddelandespecifikation ha XSD, Schematron eller motsvarande valideringsartefakter samt regler om i vilket läge de ska användas)

[b] Meddelandekvittens ska valideras innan den skickas.

Felhantering

Felhantering ska utföras i enlighet med de regler och rutiner som är definierade för accesspunktsoperatörer, infrastrukturen och deltagare.

Incidenthantering

Incidenter ska hanteras i enlighet med de regler och rutiner som är definierade för accesspunktsoperatörer och deltagare.

Tillämpning av Meddelandemodellen

[a] Meddelanden som utväxlas med Transportmodell bas måste ha nödvändig metadata associerad till sig så att det går att identifiera mottagare, avsändare, typ av meddelande och samverkansprocess samt uppgift om tidpunkt när det skapats.

Tillämpning av Kuverteringsmodellen

[a] Nyttolast i det meddelande som utväxlas med denna transportmodell ska krypteras av avsändande Deltagare enligt de principer som beskrivs i Kuverteringsprofil XHE.

[b] Meddelandekvittens som utväxlas med denna transportmodell ska inte krypteras

[c] Meddelande (och meddelandekvittens) som utväxlas med denna transportmodell ska krypteras av avsändande Deltagare enligt de principer som beskrivs i Kuverteringsprofil XHE.

Tillämpning av Adresseringsmodellen

[a] Transportmodell baskräver att accesspunkters tekniska adressering baseras på uppgifter som hämtats från SMP.

Tillämpning av Informationssäkerhets- och tillitmodellen

Säkerhetsåtgärder

Denna transportmodell baseras på tjänster och tekniska specifikationer som etablerar en rad säkerhetsmekanismer.

Säkerhetsåtgärd

Security Function (CEF/EU)

Definition/Omfattning

Förändringsskydd under transport

Transport Integrity

AP till AP genom AS4 kryptering och signering samt TLS

 

Deltagare till Deltagare genom kryptering av nyttolast

Identifiering/ Ursprungskontroll av avsändare

Authentication Sender

AP till AP genom matchning av AP-certifikatet subjekt och transportkuvertets identifierare för avsändande AP.

 

Deltagare till Deltagare genom avsändande Deltagares signatur och slagning i Certifikatspubliceringstjänsten för att verifiera att avsändaren använder rätt certifikat.

Auktorisation av Sändning

Authorisation of Sending

AP till AP genom att certifikat visar att AP är godkänd för aktuell federation och miljö

 

Deltagare till Deltagare genom slagning i SMP och tillit till att denna information är korrekt.

Identifiering av mottagare

Receiver Authentication

AP till AP genom att certifikat i tjänstemetadatat visar att AP är godkänd för aktuell federation och miljö. Kontroll av att den synkrona kvittensens signatur överensstämmer med certifikat från tjänstemetadata.

 

Deltagare till Deltagare genom slagning i SMP och tillit till att denna information är korrekt samt genom slagning i Certifikatspubliceringstjänst för att verifiera mottagarens certifikat

Förändringsskydd av meddelande

Message Integrity

AP till AP genom AS4 kryptering och signering samt TLS

 

Deltagares integration med sin AP genom inre säkerhet

 

Deltagare till Deltagare genom kryptering och signering av nyttolast

Insynsskydd för kommunikation

Message Confidentiality – non-persistent

AP till AP genom AS4 kryptering samt TLS

 

Deltagare till Deltagare genom kryptering av nyttolast

Insynsskydd för lagrade meddelanden

Message Confidentiality – persistent

Deltagare till Deltagare genom kryptering av nyttolast

Tidstämpel på meddelande

Message Timestamp

AP till AP genom AS4 tidsstämpel (signerad av avsändande AP)

 

Deltagare till Deltagare genom att kuvert är tidsstämplat (och signerat)

Ursprungskontroll av (av)sändare

Addressee Identification / Party Identification

AP till AP genom matchning av AP-certifikatet subjekt och transportkuvertets identifierare för avsändande AP.

 

Deltagare till Deltagare genom slagning i Certifikatspubliceringstjänsten för att kontrollera att avsändarens signatur är i överenstämmelse avsändarens publicerade certifikat

Oavvislighet av meddelande

Non Repudiation of Origin

AP till AP genom att meddelande signeras med avsändandes APs certifikat.

 

Deltagare till Deltagare genom att meddelandet är signerat

Oavvislighet av kvittens

Non-Repudiation of Receipt

AP till AP genom att transportkvittens signeras med mottagande APs certifikat.

 

Deltagare till Deltagare genom att meddelandet är signerat

Robust meddelandeutväxling

Reliable Message

AP till AP genom synkron transportkvittens

 

Deltagare till Deltagare genom asynkron meddelandekvittens

 

För IT-arkitekter

Information som är riktad till IT-arkitekter

Inledning

Nedan beskrivs i mer detalj de tekniska aspekterna för denna transportmodell.

Tekniska villkor och förutsättningar för användning

Transportmodell bas med följande tillägg för Transportmodell Utökad bas:

Villkor och förutsättningar för användning – transportmodell bas

Villkor och förutsättningar för användning – transportmodell bas

[a] Deltagare ska vara registrerade i SMP med ett DocumentIdentifier som indikerar att Transportmodell Bas används.

[b] En Deltagare som skickar meddelande enligt Transportmodell Bas ska vara registrerad i SMP för att kunna ta emot meddelandekvittens enligt samma transportmodell.

[c] Då ett meddelande mottagits enligt Transportmodell Bas ska meddelandekvittens returernas enligt samma Transportmodell.

[d] Meddelandekvittens som tagits emot ska inte i sin tur kvitteras med en meddelandekvittens.

Följande tillägg för Transportmodell Utökad bas:

 

[a] Om federationen använder Certifikatspubliceringstjänsten ska Deltagares certifikat vara publicerad där

[b] Om federationen inte använder Certifikatspubliceringstjänsten ska Deltagares certifikat i förväg vara ömsesidigt kända/utväxlade

[c] En Deltagare som skickar meddelande enligt Transportmodell Utökad Bas ska vara registrerad i SMP för att kunna ta emot meddelandekvittens enligt samma transportmodell.

[d] Då ett meddelande mottagits enligt Transportmodell Utökad Bas ska meddelandekvittens returernas enligt samma Transportmodell.

Översiktliga tekniska användningsfall

Nedan beskrivs två typiska användningsfall av denna transportmodell. Båda användningsfallen kan överskådligt illustreras med hjälp av detta sekvensdiagram.

Figur 2 Illustration av sekvensen av aktiviteter. Se figuren i större format.

Tekniskt AF: Översändning av meddelande med positiv kvittens

Detta användningsfall beskriver hur ett meddelande transporteras och kvitteras enligt Transportmodell Utökad bas.

De antaganden och moment i flödet som skiljer sig från Transportmodell bas är markerade nedan med fet stil.

Användningsfall


Beskrivning

Lyckad överföring av krypterat och signerat meddelande som tas emot, dekrypteras, valideras, accepteras och kvitteras.

Roller

Deltagare (D1 och D2), Accesspunktsoperatör (AP1 och AP2)

Antaganden

Båda Deltagare är registrerad på korrekt sätt i SMP. Båda Deltagare har publicerat sina publika certifikat i Certifikatspubliceringstjänsten.

Flöde

A. Förbereda, validera, kryptera, kuvertera, signera och initiera överföring (Deltagare 1)

1. Deltagare (D1) avser sända meddelande till en annan Deltagare (D2).

2. D1 skapar och validerar meddelandet utifrån de principer som beskrivs i aktuell meddelandespecifikation.

3. D1 gör slagning mot Certifikatspubliceringstjänsten för att hämta D2 publika nyckel

4. D1 krypterar meddelandets nyttolast

5. D1 förpackar meddelandet i ett kuvert i enlighet med Kuverteringsprofil XHE. I kuvertet framgår bland annat identifierare för avsedd mottagare (D2), samverkansprocess och meddelandetyp.

6. D1 signerar meddelandet med sitt certifikat

7. D1 överlämnar meddelandet till sin accesspunktsoperatör (AP1).

B. Adressuppslagning, transportkuvertering och överföring av meddelande (Accesspunktsoperatör 1)

8. AP1 gör, baserad på kuvertets uppgifter, slagning i SMP för att hämta nödvändiga parametrar för att utföra en överföring enligt Transportprofil AS4.

9. AP1 kontrollerar att AP2:s certifikat som hämtats från SMP är utfärdat till en för federationen godkänd accesspunkt.

10. AP1 använder AP2:s publika nyckel som hämtats från SMP för att kryptera innehållet i AS4-försändelsen.

11. AP1 etablerar en säker anslutning (enligt de principer för TLS som används i federationen) till AP2 och sänder meddelandet.

C. Mottagning av meddelande, transportkvittering och loggning (Accesspunktsoperatör 2)

12. AP2 tar emot AS4-försändelsen och kontrollerar att dess signatur är korrekt och att certifikatet är utfärdat till en för federationen godkänd accesspunkt.

13. AP2 returnerar en synkron AS4-kvittens på att meddelandet tagits emot.

14. AP1 och AP2 loggar händelsen.

15. AP2 kontrollerar att kuvertet är i överensstämmelse med vad som gäller för den avsedda mottagaren och överlämnar meddelandet till D2.

D. Mottagning av meddelande, validering och skapande av meddelandekvittens (Deltagare 2)

16. D2 gör slagning i Certifikatspubliceringstjänsten för att hämta D1 certifikat

17. D2 kontrollerar att certifikat är giltigt och validerar signaturen

18. D2 dekrypterar meddelandets nyttolast med sin privata nyckel.

19. D2 validerar att meddelandets nyttolast är följsamt gentemot dess specifikations regler.

20. D2 konstaterar att nyttolasten är korrekt och accepterar mottagningen.

21. D2 skapar en meddelandekvittens med referens till det mottagna meddelandet och med statuskod som visar att det accepterats

22. D2 validerar, kuverterar och signerar meddelandekvittensen i enlighet med Kuverteringsprofil XHE och överlämnar meddelandet till AP2.

E. Adressuppslagning, transportkuvertering och överföring av meddelandekvittens (Accesspunktsoperatör 2)

23. AP2 kontrollerar kuvert, gör slagning i SMP och överför meddelandet till AP1 enligt Transportprofil AS4.

F. Mottagning av meddelandekvittens, transportkvittering och loggning (Accesspunktsoperatör 1)

24. AP1 tar emot AS4-försändelsen och kontrollerar att dess signatur är korrekt och att certifikatet är utfärdat till en för federationen godkänd accesspunkt.

25. AP1 returnerar en synkron AS4-kvittens på att meddelandet tagits emot.

26. AP1 och AP2 loggar händelsen.

27. AP1 kontrollerar kuvert och överlämnar meddelandet till D1.

G. Mottagning av meddelandekvittens (Deltagare 1)

28. D1 gör slagning i Certifikatspubliceringstjänsten för att hämta D2 certifikat

29. D1 kontrollerar att certifikat är giltigt och validerar meddelandekvittensens signaturen

30. D1 läser meddelandekvittensen och kan konstatera att D2 tagit emot och accepterat meddelandet.

31. Flödet klart.

Resultat

Meddelande överfört från D1 till D2 och kvittens om att det accepterats har returnerats till D1.

Exempel

Överföring av meddelande som bär känslig information såsom en orosanmälan eller registerutdrag

Tekniskt AF: Översändning av meddelande som ej accepteras på grund av valideringsfel av nyttolast

Detta användningsfall beskriver hur ett meddelande transporteras och där meddelandet inte accepterats då avsändaren oavsiktligt modifierat meddelandet efter att det signerats och på så sätt brutit förändringsskyddet. Meddelandekvittens innehåller orsakskod som kan hjälpa avsändande deltagare i sin felsökning.

De antaganden och moment i flödet som skiljer sig från Transportmodell bas är markerade nedan med fet stil.

Användningsfall


Beskrivning

Överföring av krypterat och signerat meddelande som innehåller fel då förändringsskyddet brutits innan det skickas. Meddelanden tas emot, dekrypteras, valideras, accepteras ej och kvitteras.

Roller

Deltagare (D1 och D2), Accesspunktsoperatör (AP1 och AP2)

Antaganden

Båda Deltagare är registrerad på korrekt sätt i SMP.

Båda Deltagare har publicerat sina publika certifikat i Certifikatspubliceringstjänsten.

Flöde

A. Förbereda, validera, kryptera, kuvertera, signera och initiera överföring (Deltagare 1)

1. Deltagare (D1) avser sända meddelande till en annan Deltagare (D2).

2. D1 skapar och validerar meddelandet utifrån de principer som beskrivs i aktuell meddelandespecifikation.

3. D1 gör slagning mot Certifikatspubliceringstjänsten för att hämta D2 publika nyckel

4. D1 krypterar meddelandets nyttolast

5. D1 förpackar meddelandet i ett kuvert i enlighet med Kuverteringsprofil XHE. I kuvertet framgår bland annat identifierare för avsedd mottagare (D2), samverkansprocess och meddelandetyp.

6. D1 signerar meddelandet med sitt certifikat

7. D1 gör oavsiktligt en förändring av meddelandets XML-struktur och bryter därmed förändringsskyddet

8. D1 överlämnar meddelandet till sin accesspunktsoperatör (AP1).

B. Adressuppslagning, transportkuvertering och överföring av meddelande (Accesspunktsoperatör 1)

9. AP1 gör, baserad på kuvertets uppgifter, slagning i SMP för att hämta nödvändiga parametrar för att utföra en överföring enligt Transportprofil AS4.

10. AP1 kontrollerar att AP2:s certifikat som hämtats från SMP är utfärdat till en för federationen godkänd accesspunkt.

11. AP1 använder AP2:s publika nyckel som hämtats från SMP för att kryptera innehållet i AS4-försändelsen.

12. AP1 etablerar en säker anslutning (enligt de principer för TLS som används i federationen) till AP2 och sänder meddelandet.

C. Mottagning av meddelande, transportkvittering och loggning (Accesspunktsoperatör 2)

13. AP2 tar emot AS4-försändelsen och kontrollerar att dess signatur är korrekt och att certifikatet är utfärdat till en för federationen godkänd accesspunkt.

14. AP2 returnerar en synkron AS4-kvittens på att meddelandet tagits emot.

15. AP1 och AP2 loggar händelsen.

16. AP2 kontrollerar att kuvertet är i överensstämmelse med vad som gäller för den avsedda mottagaren och överlämnar meddelandet till D2.

D. Mottagning av meddelande, validering av signatur och skapande av meddelandekvittens (Deltagare 2)

17. D2 gör slagning i Certifikatspubliceringstjänsten för att hämta D1 certifikat

18. D2 kontrollerar att certifikat är giltigt och validerar signaturen

19. D2 upptäcker att signaturen inte validerar korrekt då meddelandet

20. D2 dekrypterar inte meddelandets nyttolast

21. D2 skapar en meddelandekvittens med referens till det mottagna meddelandet och med statuskod som visar att det ej accepterat och med orsakskod att signaturen inte stämmer

22. D2 validerar och kuverterar och signerar meddelandekvittensen i enlighet med Kuverteringsprofil XHE och överlämnar meddelandet till AP2.

E. Adressuppslagning, transportkuvertering och överföring av meddelandekvittens (Accesspunktsoperatör 2)

23. AP2 kontrollerar kuvert, gör slagning i SMP och överför meddelandet till AP1 enligt Transportprofil AS4.

F. Mottagning av meddelandekvittens, transportkvittering och loggning (Accesspunktsoperatör 1)

24. AP1 tar emot AS4-försändelsen och kontrollerar att dess signatur är korrekt och att certifikatet är utfärdat till en för federationen godkänd accesspunkt.

25. AP1 returnerar en synkron AS4-kvittens på att meddelandet tagits emot.

26. AP1 och AP2 loggar händelsen.

27. AP1 kontrollerar kuvert och överlämnar meddelandet till D1.

G. Mottagning av meddelandekvittens och validering av signatur (Deltagare 1)

28. D1 gör slagning i Certifikatspubliceringstjänsten för att hämta D2 certifikat

29. D1 kontrollerar att certifikat är giltigt och validerar meddelandekvittensens signaturen

30. D1 läser meddelandekvittensen och kan konstatera att D2 inte accepterat meddelandet.

31. D1 kan med ledning av meddelandekvittensens orsakskoder förstå varför avvisning skett och kan rätta/korrigera sin lösning.

Flödet klart.

Resultat

Meddelande överfört från D1 till D2 och kvittens om att det inte accepterats har returnerats till D1.

Exempel

Överföring av meddelande som bär känslig information såsom en orosanmälan eller registerutdrag

 

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: