Techniczny opis rozwiązania dla wymiany komunikatów z wykorzystaniem standardu AS2

Transkrypt

1 Techniczny opis rozwiązania dla wymiany komunikatów z wykorzystaniem standardu AS2 Strona 1 z 10

2 Lista załączników Numer załącznika Opis załącznika 1. Nomination and Matching 3 Process 2. Opis atrybutów: NOMINT, NOMRES, ACKNOW, DELORD, DELRES (Edig@s 5.1) Załącznik Strona 2 z 10

3 Spis treści 1 WPROWADZENIE CEL PROJEKTU ZAŁOŻENIA OGÓLNE SPECYFIKACJA KOMUNIKACJI PRZY UŻYCIU AS ENDPOINT AS2 DLA PODMIOTÓW ZEWNĘTRZNYCH OBSŁUGIWANE WZORCE KOMUNIKACJI Komunikaty HTTP w standardzie AS BEZPIECZEŃSTWO PRZESYŁANYCH DANYCH Zabezpieczenia komunikacji na poziomie warstwy transportu Zabezpieczenia komunikacji na poziomie wiadomości INNE WYMAGANIA DOTYCZĄCE KOMUNIKACJI... 9 PROCEDURA PRZYŁĄCZENIA NOWEGO PODMIOTU PO STRONIE GAZ-SYSTEM PO STRONIE PRZYŁĄCZANEGO PODMIOTU Strona 3 z 10

4 1 Wprowadzenie 1.1 Cel projektu Udostępnienie interfejsu HTTP umożliwiającego wymianę dokumentów Nomination and Matching Process documents z wykorzystaniem standardu AS2. Strona 4 z 10

5 2 Założenia ogólne 1. Do komunikacji szyny danych z podmiotami zewnętrznymi wykorzystywany będzie standard EDIINT AS2, który zapewni bezpieczną komunikację przy użyciu protokołu HTTP, niezależną od wymienianych danych. 2. Interfejs umożliwiający składanie nominacji udostępniony podmiotom zewnętrznym będzie oparty na komunikatach EDIG@S 5.1: NOMINT, NOMRES, DELORD, DELRES i ACKNOW oraz EDIG@S 4.0 NOMINT, NOMRES, DELORD, DELRES i ACKNOW. W dokumencie wskazane są najnowsze obowiązujące releasy wersji standardów (5.1.3 i 4.0.9). Numery releasów wersji 5.1 i 4.0 zostaną dopasowane do wymagań klienta przed etapem implementacji, co będzie skutkowało odpowiednimi zmianami nazewnictwa folderów i dokumentów. 3. Sekwencje i semantyka wymienianych komunikatów NOMINT, NOMRES, DELORD, DELRES i ACKNOW jest zdefiniowana przez proces EDIG@AS 5.1: Nomination and Matching 3 Process v2. Strona 5 z 10

6 3 Specyfikacja komunikacji przy użyciu AS2 3.1 Endpoint AS2 dla podmiotów zewnętrznych Lokalizacja endpoint u obsługującego standard AS2 do wykorzystania przez podmioty zewnętrzne dla środowiska produkcyjnego i testowego zostanie przekazana przez stronę GAZ-SYSTEM w ramach procedury przyłączenia nowego podmiotu 3.2 Obsługiwane wzorce komunikacji EDIINT AS2 wspiera jednokierunkową komunikację z wykorzystaniem protokołu HTTP. Dane biznesowe (payload) mogą znajdować się jedynie w żądaniach HTTP (HTTP request) przesyłanych od partnera inicjującego komunikację. W odpowiedzi HTTP (HTTP response), partner odbierający komunikat AS2 zwraca jedynie kod statusu HTTP i opcjonalnie synchroniczne potwierdzenia odebrania wiadomości MDN (Message Disposition Notification). Komunikaty MDN mogą być też wysyłane asynchronicznie, w niezależnym żądaniu HTTP Komunikaty HTTP w standardzie AS2 Komunikaty w standardzie AS2 to żądanie HTTP POST składające się z załączników (MIME parts). Biznesowa zawartość komunikatów w poniższych przykładach jest skrócona. Specyfikacja komunikatów NOMINT, NOMRES, DELORD, DELRES i ACKNOW zawarta jest w załącznikach 1-4. Komunikat ACKNOW jest komunikatem opcjonalnym dla procesu Edigas 5.1 Nomination and Matching Processes. Jego wykorzystanie jest kwestią uzgodnienia między Gaz-Systemem, a podmiotem zewnętrznym Przykładowy komunikat AS2 przychodzący (Partner -> B2B, obsługiwane komunikaty: NOMINT, DELORD, DELRES i ACKNOW) Bez zabezpieczeń w warstwie wiadomości (z Basic Security): POST HTTP/1.1 Accept-Encoding: gzip,deflate Content-Type: multipart/mixed; boundary="----=_part_68_ " MIME-Version: 1.0 Disposition-Notification-To: 21X S Message-ID: 2c1kkjhg49 AS2-To: 21X-PL-A-A0A0A-B_TMP AS2-Version: 1.2 AS2-From: 21X S Content-Length: =_Part_68_ Content-Type: application/xml; name="delres 27G v5.1.xml" Content-Transfer-Encoding: binary Content-Disposition: form-data; name="delres 27G v5.1.xml"; filename="delres 27G v5.1.xml" <?xml version="1.0" encoding="utf-8"?> <DeliveryResponse_Document release="3" xmlns="urn:easeegas.eu:edigas:nominationandmatching:deliveryresponsedocument:5:1">... </DeliveryResponse_Document> =_Part_68_ Z włączonymi zabezpieczeniami w warstwie wiadomości (podpisywanie): POST HTTP/1.1 Content-type: multipart/signed; micalg=sha-1; protocol="application/pkcs7- signature"; boundary="----=_part_0_ " Disposition-notification-to: Disposition-notification-options: signed-receipt-protocol=optional, pkcs7- Strona 6 z 10

7 signature; signed-receipt-micalg=optional, SHA-1 AS2-From: AS2-To: Message-ID: Content-Length: =_Part_0_ Content-Type: application/xml Content-Transfer-Encoding: binary <?xml version="1.0" encoding="utf-8"?> <DeliveryResponse_Document release="3" xmlns="urn:easeegas.eu:edigas:nominationandmatching:deliveryresponsedocument:5:1">... </DeliveryResponse_Document> =_Part_0_ Content-Type: application/pkcs7-signature; name=smime.p7s webmethods Module for EDIINT Installation and User s Guide Version 8.2 SP Processing Inbound EDIINT Documents and MDNs Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=smime.p7s MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQEHAQAAMYIBuDCCAbQC AQEwXjBZMQswCQYDVQQGEwJVUzEXMBUGA1UEChMOd2ViTWV0aG9kcyBJbmMxDzANBgNVBAsTBlBE IEVESTEgMB4GA1UEAxMXRURJSU5UIHNhbXBsZSBTZW5kZXIgQ0ECAQEwCQYFKw4DAhoFAKCBsTAY BgkqhkiG9w0BCQMxCwYJKoZIhvcNAQcBMBwGCSqGSIb3DQEJBTEPFw0wMjAxMTcyMDM4MDhaMCMG CSqGSIb3DQEJBDEWBBQKbJZgrh/bit8BFmv1fuaWf40PjzBSBgkqhkiG9w0BCQ8xRTBDMAoGCCqG SIb3DQMHMA4GCCqGSIb3DQMCAgIAgDANBggqhkiG9w0DAgIBQDANBggqhkiG9w0DAgIBKDAHBgUr DgMCBzANBgkqhkiG9w0BAQEFAASBgKRrXO1tX3oFfLTgJwuoWKhygMQzdyNpX1Z4xU7kjDqYS8gs yvarsl0s7d4wa3n1clgquk87yrcfqojpygrxyci0kagh1ny61gxkphuq2cp54m11wzgq9ogharba TJu8HWB1ETFBML+wIBGunkRcR3s5mEpxINmflEYNZlxmf78ZAAAAAAAA =_Part_0_ Minimalny zestaw nagłówków AS2 dla poprawnego rozpoznania komunikatu EDIINT AS2 po stronie B2B to Content-Type, AS2-To, AS2-From, AS2-Version i Message-ID. W zależności od parametrów nagłówkowych zapytania (obecność nagłówka Content-disposition-to) serwer B2B zwróci potwierdzenie odebrania komunikatu (MDN) lub nie (niezalecane). Fragment MIME z zawartością biznesową (dokumenty NOMINT, NOMRES, DELORD, DELRES lub ACKNOW) muszą mieć ustawiony nagłówek Content-Type: application/xml (lub application/zip) Przykładowy komunikat AS2 MDN wychodzący (B2B -> Partner) Dla powyższego komunikatu przychodzącego: AS2-From: 21X-PL-A-A0A0A-B_TMP AS2-To: 21X S AS2-Version: 1.2 Message-ID: < JavaMail.WROB2B11$@WROB2B11> Content-Type: multipart/report; Report-Type=disposition-notification; =_Part_6859_ " boundary=" =_Part_6859_ Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit MDN for - Message ID: 2c1kkjhg49 From: 21X S To: 21X-PL-A-A0A0A-B_TMP Received on: at 14:56:09 (CET) Status: processed Comment: This is not a guarantee that the message has been completely processed or understood by the receiving translator =_Part_6859_ Content-Type: message/disposition-notification Content-Transfer-Encoding: 7bit Reporting-UA: webmethods Integration Server Original-Recipient: rfc822; 21X-PL-A-A0A0A-B_TMP Final-Recipient: rfc822; 21X-PL-A-A0A0A-B_TMP Original-Message-ID: 2c1kkjhg49 Received-content-MIC: mhx+/od5x6s5zjozyqfrtqbqrxc=, sha1 Disposition: automatic-action/mdn-sent-automatically; processed =_Part_6859_ Strona 7 z 10

8 Możliwe jest zarówno synchroniczne jak i asynchroniczne odsyłanie komunikatów MDN Przykładowy komunikat AS2 wychodzący (B2B -> Partner, obsługiwane komunikaty: NOMRES, DELORD, DELRES i ACKNOW) POST HTTP/1.1 Disposition-notification-to: 21X-PL-A-A0A0A-B AS2-From: 21X-PL-A-A0A0A-B AS2-To: 12X W AS2-Version: 1.2 ediint-features: multiple-attachments Message-ID: cb dc-4cee e88d3d27fe0@gaz-system.pl Content-Type: application/xml <ns:acknowledgement_document release="2" xmlns:ns="urn:easeegas.eu:edigas:general:acknowledgementdocument:5:1">... </ns:acknowledgement_document Przykładowy komunikat AS2 MDN przychodzący (Partner -> B2B) Dla powyższego komunikatu wychodzącego: Message-ID: 1234 AS2-To: 21X-PL-A-A0A0A-B AS2-From: 12X W Content-Type: multipart/report; Report-Type=disposition-notification; =_Part_1753_ " Content-Length: 927 Server: Jetty(6.1.26) boundary=" =_Part_1753_ Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit MDN for - Message ID: cb dc-4cee e88d3d27fe0@gaz-system.pl From: 21X-PL-A-A0A0A-B To: 12X W Received on: at 12:33:17 (CET) Status: processed Comment: This is not a guarantee that the message has been completely processed or understood by the receiving translator =_Part_1753_ Content-Type: message/disposition-notification Content-Transfer-Encoding: 7bit Reporting-UA: webmethods Integration Server Original-Recipient: rfc822; 12X W Final-Recipient: rfc822; 12X W Original-Message-ID: cb dc-4cee e88d3d27fe0@gaz-system.pl Received-content-MIC: +tceczop9ryqvxvflkrg+ds15cw=, sha1 Disposition: automatic-action/mdn-sent-automatically; processed =_Part_1753_ Minimalny zestaw nagłówków AS2 dla poprawnego rozpoznania komunikatu EDIINT AS2 MDN po stronie B2B to Content-Type, AS2-To, AS2-From, AS2-Version i Message-ID oraz fragment MIME z Content- Type: text/plain (zawierający strukturę MDN for -) i z Content-Type: message/dispositionnotification. 3.3 Bezpieczeństwo przesyłanych danych Zabezpieczenia komunikacji na poziomie warstwy transportu Usługa umożliwiająca wymianę komunikatów w standardzie AS2 udostępniona będzie podmiotom zewnętrznych jedynie poprzez protokół HTTPS. Strona 8 z 10

9 Komunikacja podmiotu zewnętrznego z Gaz-Systemem w warstwie transportu zabezpieczona będzie przy pomocy protokołu min. TLS 1.1 z szyfrowaniem i autentykacją serwera z użyciem certyfikatu X.509 z kluczem o długości min bit i sygnaturą SHA256. Klient (podmiot zewnętrzny) nie musi być autentykowany w warstwie transportu (tylko jeśli zastosowane będzie podpisywanie wiadomości) W ramach komunikacji HTTPS wykorzystane zostaną Cipher Suites o kluczu min. 128 bit, z zaimplementowaniem mechanizmu Forward Secrecy, bez wykorzystania RC4 i algorytmu Diffiego-Hellmana. Dodatkowo niedozwolona jest renegocjacja inicjowana przez klienta Zabezpieczenia komunikacji na poziomie wiadomości Komunikaty AS2 zabezpieczone będą z wykorzystaniem standardu S/MIME wersja 2. Usługa AS2 udostępniona przez Gaz-System umożliwia: Podpisywanie wiadomości przychodzących (do Gaz-Systemu) i wychodzących (do partnera) Szyfrowanie wiadomości przychodzących i wychodzących (dostępne algorytmy: RC2 40, RC2 64, RC2 128, DES, TripleDES) Podpisywanie i szyfrowanie wiadomości przychodzących do Gaz-Systemu i wychodzących do partnera Podpisywanie potwierdzeń MDN przychodzących do Gaz-Systemu i wychodzących do partnera Zakres zastosowanego poziomu zabezpieczeń w tej warstwie musi zostać uzgodniony z Gaz-Systemem. Jeśli w warstwie transportu nie zostanie wykorzystana autentykacja klienta w oparciu o certyfikat X.509 (Two-way SSL), należy zastosować co najmniej podpisywanie wiadomości i potwierdzeń MDN. 3.4 Inne wymagania dotyczące komunikacji Wiadomości mogą być kompresowane przy pomocy ZIP (application/zip). Strona 9 z 10

10 4 Procedura przyłączenia nowego podmiotu 4.1 Po stronie Gaz-System 1. Utworzenie profilu TN dla partnera wraz z definicją certyfikatów służących do szyfrowania i weryfikacji komunikatów (zadanie administracyjne): a. Ustawienie kodu EIC podmiotu jako ExternalID partnera (typ identyfikatora: EIC). b. Ustawienie kodu EIC podmiotu jako ExternalID partnera (typ identyfikatora: EDIINT AS2). c. Import certyfikatu (wystawionego dla Gaz-System) i klucza prywatny do podpisywania komunikatów S/MIME wysyłanych przez Gaz-System d. Import certyfikatu (wystawionego dla Gaz-System) i klucza prywatnego do deszyfrowania komunikatów S/MIME odbieranych przez Gaz-System e. Import certyfikatu (wystawionego dla podmiotu) do weryfikacji podpisu komunikatów AS2 odbieranych przez Gaz-System f. Import certyfikatu (wystawionego dla podmiotu) do szyfrowania komunikatów SOAP wysyłanych przez Gaz-System 2. Przekazanie do podmiotu zewnętrznego certyfikatu zapewniającego poufność komunikacji z usługą AS2 (i jej autentyczność) po stronie Gaz-Systemu (bezpieczeństwo warstwy transportu). 3. Przekazanie podmiotowi zewnętrznemu certyfikatów którymi wiadomości S/MIME będą podpisywane i szyfrowane (bezpieczeństwo warstwy wiadomości). 4. Przekazanie podmiotowi zewnętrznemu adresu usługi AS Po stronie przyłączanego podmiotu 1. Przekazanie do Gaz-Systemu kodu EIC podmiotu, uzgodnienie parametrów komunikacji: a. Tryb odsyłania MDN b. Wykorzystanie kompresji komunikatów c. Poziom zabezpieczenia komunikatów MDN d. Poziom zabezpieczenia komunikatów e. Algorytmy generowania skróty wiadomości i szyfrowania 2. Upewnienie się że certyfikat serwera Gaz-Systemu lub jego CA jest zaufanym certyfikatem 3. Przekazanie do Gaz-Systemu certyfikatów którymi komunikaty S/MIME będą podpisywane i szyfrowane (bezpieczeństwo komunikatów S/MIME). 4. Implementacja klienta i usługi AS2 obsługującej komunikaty NOMINT, NOMRES, DELORD, DELRES i ACKNOW 5. Przekazanie do Gaz-Systemu adresu usługi AS2. Strona 10 z 10