Komplett - SSEK
Transcript of Komplett - SSEK
![Page 1: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/1.jpg)
���������� �� ���� ���� ������ ����� ���� ���� �������
��������� ��� ������
� � � � �����
���� ���� �������� �!���� �!
Magnus Karlsson - SPP Liv
Peter Danielsson - Skandia Liv
Ola Tullsten - SEB Trygg Liv
Mats Andersson - Skandia Liv
Håkan Sjödin - Skandia Liv
Johan Lidö - SEB Trygg Liv
Gustaf Nyman - Skandia Liv
Gustaf Nyman - Skandia Liv
"#$""�%����
"#$&"������� ����� ��
"#$'"�(����
"#$)*�+������
"#$*"������
&"$"*�,�� �����-��.�
&"$'"�/�� �� �������0 � ��� ���� �� �� �1���� �� � ���������� ���
&"$)*�,�� �����-��.��� ��� � ��
&&$""�(��� � �����������
&&$)*�/��
&&$2*�� &'$)"�3����� �� ����.��� �1���� �� � �������4���
![Page 2: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/2.jpg)
SSEKIntroduktion
![Page 3: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/3.jpg)
3
SSEK 2.0
– Deltagit i arbetet med framtagandet av SSEK sedan starten 2002
– Projektledare vid framtagande av Skandia Livs plattformar för elektronisk kommunikation
– Systemansvarig för Skandia Livs plattform för Elektronisk Kommunikation
Peter Danielsson, Skandia Liv
![Page 4: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/4.jpg)
4
SSEK 2.0
– 2001, Krav från kundföretag och distributörer på enkel administration och elektronisk informationsöverföring.
– Flera olika kommunikationslösningar användes initialt.
– 2002, SEB och Skandia påbörjar arbetet med att definiera en standard för försäkringsbranschen.
– SSEK 1.0 släpps 2002-09-10
– SSEK 1.1 släpps 2003-04-28
– Ökad användning och behov, nya internetstandarder
– SSEK 2.0 släpps 2006-05-10 !
Historik
![Page 5: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/5.jpg)
5
SSEK 2.0
– SSEK är en specifikation som definierar hur affärskritisk information ska kommuniceras säkert mellan organisationer över internet.
– SSEK är bransch-neutral, definierar inte vilka affärsmeddelanden som kan kommuniceras.
– SSEK är baserad på vedertagna internetstandarder som stöds av moderna utvecklingsplattformar
Vad är SSEK?
![Page 6: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/6.jpg)
6
SSEK 2.0
– SSEK är väl etablerat inom försäkringsbranschen och används av försäkringsbolag, mäklare och Min Pension i Sverige.
– Kommersiella produkter för SSEK-kommunikation finns tillgängliga på marknaden.
Vad är SSEK, forts...
![Page 7: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/7.jpg)
7
SSEK 2.0
– Interoperabilitet, många använder SSEK
– SSEK möjliggör för affär och IT att kunna koncentrera sig påaffärsmässiga lösningar mot sina affärspartners.
– SSEK ger tekniskt säker lösning för kommunikation av affärskritisk information.
– Tekniken tillsammans med juridiska avtal ger affärsmässig och juridisk hållbar lösning som fungerar i praktiken.
Fördelar med att använda SSEK.
![Page 8: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/8.jpg)
8
SSEK 2.0
– Vid signering används OASIS WS-security 1.0/1.1
– Timestamp hanteras i WS-Security header vid signering
– Omsändning av meddelande tillåts under vissa förutsättningar
– Standardiserad felhantering
– Förenklat asynkront meddelandeflöde för små organisationer.
– Stöd för Policies
– För ökad interoperabilitet, anpassning till Basic Profile och Basic Security Profile
– http://schemas.ssek.org/ssek/2006-05-10/
– Nytt format på specifikationen
Nytt i SSEK 2.0
![Page 9: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/9.jpg)
SSEKAffären
![Page 10: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/10.jpg)
10
SSEK 2.0SSEK – Ola Tullsten, SEB Trygg Liv
Mäklarenheten SEB Trygg Liv
![Page 11: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/11.jpg)
11
SSEK 2.0SSEK - Verksamhet i begynnelsen
Försäkringsbolag
Mäklare
Kund Med post skickasoffertprogramansökningarändringarinformation
Med post/fax skickas kundförfrågningar & fullmakter
![Page 12: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/12.jpg)
12
SSEK 2.0SSEK - Några ”milstolpar”
• Max Matthiessens UIG (Upphandling I Grupp), 2000
• Bolagens SSEK samarbete, 2003
• Min Pension, 2004-2005
• Kraftig ökning av antalet mäklare/företag som vill arbeta elektroniskt, 2005-2006
![Page 13: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/13.jpg)
13
SSEK 2.0
Innan SSEK
OrganisationA
OrganisationB
OrganisationC
OrganisationD
![Page 14: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/14.jpg)
14
SSEK 2.0
OrganisationA
OrganisationB
OrganisationC
OrganisationD
Efter införandet av SSEK
![Page 15: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/15.jpg)
15
SSEK 2.0
Fördelar för verksamheten
• Standarden har blivit etablerad
• Försäkringsbolag och Min Pension använder sig av SSEK
• Behöver inte diskutera olika säkerhetslösningar
• Verksamheten kan koncentrera sig på att göra affärer
![Page 16: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/16.jpg)
16
SSEK 2.0Framtid
• Snabbare sammanställningar av försäkrings-uppgiftertill kund
• Fler säkra elektroniska nytecknings- & ändringsmöjligheter
• Snabbare riskbedömning med säker överföring av hälsouppgifter från sjukhus och försäkringskassor
![Page 17: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/17.jpg)
SSEKJuridiska frågeställningarHåkan Sjödin
![Page 18: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/18.jpg)
18
SSEK 2.0SSEK - Juridiska frågeställningar
• Hur överförs viljeyttring från A till C via Uppdragstagaren B?– Elektroniskt signerade "dokument" – Filöverföring
![Page 19: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/19.jpg)
19
SSEK 2.0SSEK - Juridiska frågeställningar
– Förutsättning: – Elektronisk signatur är rent kommersiellt tillgängligt i
begränsad utsträckning, inte på individnivå– Filer kan inte "vidarebefordras" elektroniskt eftersom
kommunikationskanalerna går mellan två punkter (A och B)– organisationscertifikat används i dagens tillämpningar– grunduppgifter (förändringar i lönesystem) överförs från A– Detta kräver bearbetning följt av ny överföring (B och C)
![Page 20: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/20.jpg)
20
SSEK 2.0SSEK - Juridiska frågeställningar
– Lösning– Elektroniska kommunikationskanaler kopplas ansvars- och– avtalsmässigt mellan två punkter i taget:– Uppdragstagaren B överför grunduppgifter från Kundföretaget
A enligt uppdragsavtal– B bearbetar inkomna uppgifter och överför dessa till
Försäkringsgivaren C med bindande verkan för A med stöd av fullmakt
![Page 21: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/21.jpg)
21
SSEK 2.0SSEK - Juridiska frågeställningar
• Ansvarsreglering Försäkringsgivare - Kundföretag• Försäkringsgivaren ansvarar för försäkringsavtalet, hantering av
den information som mottagits och för lämnad information• Kundföretaget ansvarar för att gjorda utfästelser till anställd
tryggas på överenskommet sätt• Kundföretaget ansvarar för egen behandling av information och
för information som skickas - direkt eller av Uppdragstagare.• Vald teknik är avtalad att vara bevis nog vid tvist• Kundföretaget ansvarar för anlitad Uppdragstagare och för att
denne har fullmakt som täcker den elektroniska hanteringen
• Den anställdes eventuella valmöjligheter – en intern fråga som dokumenteras inom Kundföretaget!
![Page 22: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/22.jpg)
22
SSEK 2.0SSEK - Juridiska frågeställningar
• Ansvarsreglering Uppdragstagare - Kundföretag• Ansvarar gentemot Kundföretaget för hanteringen av mottagna
uppgifter - bearbetning resp överföring till Försäkringsgivaren• Särskilt avtal träffas om rådgivning, bearbetning, överföring och
ansvar• Ansvarsförsäkring som täcker detta tecknas• Fullmakt för Uppdragstagaren att binda Kundföretaget vid
uppgifter som överförs av Uppdragstagaren till Försäkringsgivaren• Skötselfullmakt täcker ej detta!
– Om individuell valrätt skall administreras krävs fullmakt från varje individ att binda denne vid överförd information
![Page 23: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/23.jpg)
23
SSEK 2.0SSEK - Juridiska frågeställningar
• Ansvarsreglering Administratör • Kan avtala med Försäkringsgivare om affärsvillkor samt
elektronisk kommunikation - Kundföretag ansluter sig• Skall ha fullmakt, som Uppdragstagare, att binda Kundföretaget
vid uppgifter som överförs till Försäkringsgivaren • Ansvarar gentemot Kundföretaget för hanteringen av mottagna
uppgifter: bearbetning resp inleverans till Försäkringsgivaren• Ansvarar mot Försäkringsgivaren för att fullmakt finns• Ansvarsförsäkring som täcker agerande utan fullmakt• Om individuell valrätt skall administreras krävs fullmakt från varje
individ att binda denne vid överförd information– Individuellt val dokumenteras då av Administratören enligt
uppdragsavtal med individen
![Page 24: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/24.jpg)
SSEKSäkerhet
![Page 25: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/25.jpg)
25
SSEK 2.0Mats Andersson
• IT-Säkerhetsarkitekt på Skandia Liv
• Ordförande för SSEK-gruppen hos SFM
• Deltagit i arbetet med SSEK 1.1 och 2.0
![Page 26: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/26.jpg)
26
SSEK 2.0SSEK uppfyller krav från affär och juridik
• "Säkra webbtjänster för affärskritisk kommunikation"
• Affär som i den manuella världen hade krävt signatur på papper ska kunna ske elektroniskt
• Säkerhetsmodellen i SSEK uppfyller ställda krav
![Page 27: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/27.jpg)
27
SSEK 2.0Vad som krävs
• Identifiering av kommunicerande parter (autentisering)
• Skydd mot obehörigas insyn (sekretess)
• Förändringsskydd av information (integritet)
• Binda information till avsändaren (oavvislighet)
![Page 28: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/28.jpg)
28
SSEK 2.0PKI (Public Key Infrastructure)
• Identifiering av kommunicerande partermed digitala certifikat
• Skydd mot obehörigas insynskapas med kryptering av kommunikationen
• Förändringsskydd av information skapas med elektroniska signaturer
• Oavvislighetskapas med elektroniska signaturer– Genom att arkivera signerade dokumenten kan information
säkert kopplas till avsändaren
![Page 29: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/29.jpg)
29
SSEK 2.0Digitalt certifikat för organisationer
• Är en digital legitimation för företag– Innehåller publik information om företaget– Innehåller publik nyckel för kryptering och
verifiering av signatur• Till certifikatet hör en privat nyckel som används för
signering och för att dekryptera information• Certifikatet är utformat enligt X509v3
Public Key: WQEQ35S%A2FD
Orgnr: 123 456 Namn: ACME
Sign
![Page 30: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/30.jpg)
30
SSEK 2.0Att lita på digitala certifikat
• Certifikatets äkthet garanteras av en betrodd, tredje part - en CA (Certificate Authority)
• En CA ger ut certifikatet och kontrollerar dåorganisationens identitet
• CA signerar certifikatet elektroniskt• En CA publicerar även revokeringslistor (CRL) • SSEK specificerar inte vilken CA som ska utnyttjas
Public Key: WQEQ35S%A2FD
Orgnr: 123 456 Namn: ACME
Sign
![Page 31: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/31.jpg)
31
SSEK 2.0Nivåer i säkerhetsmodellen
• Transportsäkerhet– Sekretess och autentisering av mottagaren– Sekretess och autentisering av avsändare och mottagare
• Meddelandesäkerhet– Ingen meddelandesäkerhet– Oavvislighet och integritet
![Page 32: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/32.jpg)
32
SSEK 2.0PKI i SSEK - Transportsäkerhet
A B
Ger ut information om revokerade certifikat
(via OCSP eller CRL)
ProducentKonsument
Manuell revokering
Kryptering enligt SSL
Klientcertifikat
Public Key:WQEQ35S%A2FD
Orgnr: 123 456 Namn: ACME
Sign
Privat nyckel
Servercertifikat
Public Key:WQEQ35S%A2FD
Orgnr: 123 456 Namn: ACME
Sign
Privat nyckel
CA
![Page 33: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/33.jpg)
33
SSEK 2.0PKI i SSEK - Meddelandesäkerhet
A
Public Key:WQEQ35S%A2FD
Orgnr: 123 456 Namn: ACME
Sign
Public Key:WQEQ35S%A2FD
Orgnr: 123 456 Namn: ACME
Sign
B
Ger ut information om revokerade certifikat
(via OCSP eller CRL)
ServercertifikatKlientcertifikat
ProducentKonsument
Manuell revokering
Kryptering enligt SSL
Stämpelcertifikat
Public Key:WQEQ35S%A2FD
Orgnr: 123 456 Namn: ACME
Sign
Privat nyckel
Privat nyckelPrivat nyckel
CA
![Page 34: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/34.jpg)
34
SSEK 2.0Att komma överens om
• CA och certifikattyp
• Säkerhetsnivåer i meddelande och transportsäkerhet– Tjänsten avgör lämpligen vilken säkerhetsnivå som bör
användas
• Revokeringsmodell
• Komma överrens om namnsättningen av de kommunicerande parterna
![Page 35: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/35.jpg)
35
SSEK 2.0Sammanfattning
• SSEK uppfyller krav från affär och juridik
• SSEK utnyttjar PKI för sin säkerhetsmodell
• Högre säkerhet än kryptering av kommunikationen och autentisering av mottagaren är valfri.
![Page 36: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/36.jpg)
SSEKTeknisk överblick
![Page 37: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/37.jpg)
37
SSEK 2.0SSEK – Johan Lidö, SEB Trygg Liv
UtvecklareMed i SSEK gruppen sedan starten
![Page 38: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/38.jpg)
38
SSEK 2.0SSEK – Meddelandeflöden
• Enkelriktat meddelandeflöde
• Synkront meddelandeflöde
• Asynkront meddelandeflöde med leverans
• Asynkront meddelandeflöde med hämtning
![Page 39: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/39.jpg)
39
SSEK 2.0SSEK – Enkelriktat flöde
Informationslämning därkonsument inte behöverkvitto eller svar.
Ex:Loggning på serverStatusinfo från klient.
![Page 40: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/40.jpg)
40
SSEK 2.0SSEK – Synkront flöde
Tjänst där konsument villha svar och resultat direkt.
Ex:Nyteckning av försäkring
![Page 41: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/41.jpg)
41
SSEK 2.0SSEK – Asynkront flöde med leverans
Effektivt sätt att behandladata, behandlingen skernär producent tycker det ärlämpligt. Server behövs ibåda ändar.
Ex:Nyteckning av försäkring
������������
����
����� ����
�����
�������
������
�������
������
![Page 42: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/42.jpg)
42
SSEK 2.0SSEK – Asynkront flöde med hämtning
Effektivt sätt att behandladata, behandlingen skernär producent tycker det ärlämpligt. Dock behövsingen server hos Part A.
Ex:Nyteckning av försäkring
������������
���� �����
������������������� �
������
���� �����
��������������������� �
���� �!"���������#�
���� �����
��������������������� �
����"���
![Page 43: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/43.jpg)
43
SSEK 2.0SSEK – Policy och WSDL ( I )
• WSDL Vad som kommuniceras.
• Policy Hur det kommuniceras.
![Page 44: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/44.jpg)
44
SSEK 2.0SSEK – Policy och WSDL ( ex: )
<definitions name="SSEK_Demo" xmlns:wsp="..."><wsp:UsingPolicy/>
<wsp:Policy wsu:Id="SSEK"><sp:ServiceAssertion>
<sp:IdType>CN</sp:IdType> <sp:UseTxId/><sp:TransportLevelSecurity>SSL</sp:TransportLevelSecurity><sp:MessageLevelSecurity>Signature</sp:MessageLevelSecurity>
</sp:ServiceAssertion></wsp:Policy>
<wsp:Policy wsu:Id="SSEKPullPush"><sp:OperationAssertion>
<sp:SupportsAsynchPull /><sp:SupportsAsynchPush />
</sp:OperationAssertion></wsp:Policy><wsp:Policy wsu:Id="SSEKResend"/>
<types><xsd:schema> <xsd:element name="Nyteckning">
<xsd:element name="personnummer"/><xsd:element name="premie"/></xsd:element> </xsd:schema>
</types><message name=”Nyteckning_Request/><portType/>
<binding name="SSEK_Binding"><wsp:PolicyReference URI="#SSEK"/><soap:binding style="document" transport="http://schemas.xmlsoap.org/soap/http" /><soap:operation name="Nyteckning">
<wsp:PolicyReference URI="#SSEKPullPush" /><soap:operation />
</binding>
</definitions>
![Page 45: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/45.jpg)
45
SSEK 2.0SSEK – AMH exempel
<ssek:SSEK xmlns:ssek=“…“ xmlns:soap=“…” xmlns=“…” ssek:AsynchMethod=“AsynchPull”><ssek:SenderID type=“CN”>Broker</ssek:SenderID><ssek:ReceiverID type=“CN”>SEB</ssek:Receiver><ssek:TxId>E50321E0-BA38-45C5-85D3-C71435B1ACC4</ssek:TxId>
</ssek:SSEK><soap:Body>
<Nyteckning><personnummer>710319-0123</personnummer><premie>3000</premie>
</ Nyteckning ></soap:Body></soap:Envelope>--------<ssek:SSEK xmlns:ssek=“…“xmlns:soap=“…” >
<ssek:TxId>E50321E0-BA38-45C5-85D3-C71435B1ACC4</ssek:TxId></ssek:SSEK><soap:Body>
<ssek:PullMessage/></soap:Body>--------<soap:Fault xmlns:ssek=“…” xmlns:soap=“…”>
<ssek:faultcode>NoResultAvailable</ssek:faultcode></soap:Fault>--------<soap:Body xmlns:soap=“…” xmlns=“…”>
<NyteckningResponse><fnr>97001232221</fnr>
</NyteckningResponse></soap:Body>
![Page 46: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/46.jpg)
SSEKTeknisk översikt del 2Arkitektur för SSEK
![Page 47: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/47.jpg)
47
SSEK 2.0Gustaf Nyman, Skandia Liv
• Systemprogrammerare och arkitekt.• Arbetat med soap/webservices/soa sedan 1999.• Deltagit i arbetet med SSEK 1.1 och 2.0.• Utvecklat system för SSEK 1.1 och 2.0.• Anställd på Pluvia Konsult AB.• Representerar Skandia Liv i SSEK-arbetet
![Page 48: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/48.jpg)
48
SSEK 2.0SSEK 2.0 designmål
• Tekniskt säkert informationsutbyte mellan organisationer.
• Enkelt omsätta avtalade tjänster i praktiskt tjänsteutnyttjande.
• Interoperabilitet mellan implementationer och plattformar.
![Page 49: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/49.jpg)
49
SSEK 2.0SSEK 2.0 designkriterier
• Använda befintliga specifikationer om möjligt• Egna tillägg där specifikationer saknas• Enkelt att implementera med befintliga verktyg för
utveckling av webservices• Leverantörsoberoende.• Betona långsiktighet och stabilitet• Ta till vara erfarenheter från SSEK 1.1, bland annat:
– Mer formell specifikation– Omsändning– Asynkront meddelandeflöde med hämtning
![Page 50: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/50.jpg)
50
SSEK 2.0SSEK
• Grundläggande specifikationer• Meddelandestrukturer• Meddelandeflöden• Säkerhet• Metadata
![Page 51: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/51.jpg)
51
SSEK 2.0Grundläggande specifikationer
• Baseras på etablerade standards:– XML, XML schema, SOAP 1.1, HTTPS, WSDL, PKI,
WS-I Basic Profile, WS-I Basic Security Profile, WS-Security 1.0/1.1, WS-Policy, MTOM med flera
• Fördel:– Enkelt implementera med befintliga verktyg.
![Page 52: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/52.jpg)
52
SSEK 2.0Meddelandestrukturer
• SSEK-header (TxHeader i v1.1)• Standardiserade felkoder• Standardiserat felmeddelande• Standardkvitto• Bilagor med MTOM
![Page 53: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/53.jpg)
53
SSEK 2.0SSEK-headern
• Soap-header element
• SenderId – avsändande organisation• ReceiverId – mottagande organisation• TxId – eventuellt meddelandeflöde meddelandet ingår i• AsynchMethod – begärd asynkron meddelandeflödestyp
• Organisationer kan identifieras på flera sätt, viket styrs av attributet Type på SenderId och ReceiverId.
![Page 54: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/54.jpg)
54
SSEK 2.0
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Header><ssek:SSEK xmlns:ssek="http://schemas.ssek.org/ssek/2006-05-10/"
ssek:AsynchMethod="AsynchPush" soap:mustUnderstand="1"><ssek:SenderId ssek:Type="CN">Mäklare</ssek:SenderId><ssek:ReceiverId>Skandia Liv</ssek:ReceiverId><ssek:TxId>c615da82-e3d1-4e82-9520-938b9a0568b9</ssek:TxId>
</ssek:SSEK></soap:Header><soap:Body><TEST_REQUEST xmlns="http://schemas.skandia.se/test/2006-05"><name>Gustaf Wasa</name>
</TEST_REQUEST></soap:Body>
</soap:Envelope>
Exempel på SSEK-header
![Page 55: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/55.jpg)
55
SSEK 2.0SSEK-header
• SSEK-headern fyller tre syften:– Adressering. Innehåller information om avsändande
och mottagande organisationer.– Identifiering av meddelandeflöde.– Val av asynkron metod.
![Page 56: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/56.jpg)
56
SSEK 2.0SSEK adressering
• SSEK handlar om kommunikation mellan organisationer– Avsändare och mottagare i SSEK avser
organisationer, inte någon specifik resurs– Ointressant ur affärsperspektiv vilken URL en viss
tjänst finns på
• SSEK-meddelanden innehåller i sig all viktig information
![Page 57: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/57.jpg)
57
SSEK 2.0Identifiering av organisationer
• Distinguished Name (DN)– Skall matcha organisations certifikat. Ex
C=SE, O=Skandia Liv, OU=Skandia Liv, CN=Skandia Liv, L=Stockholm, S=Sverige
• Common Name (CN) - grundvärde– Skall matcha organisations certifikat. Ex
Skandia Liv• Organisationsnummer (ORGNR)• Applikation (APP)
– För internt bruk
• Policy kan styra på vilket sätt identifiering skall ske.
![Page 58: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/58.jpg)
58
SSEK 2.0Identifiering av meddelandeflöde
• TxId identifierar ett meddelandes meddelandeflöde.
• 128-bitars automatgenererad identifierare (UUID), exc615da82-e3d1-4e82-9520-938b9a0568b9
• Genereras TxId enligt specificerad algoritm är de alltid unika.
• Policy styr om en tjänst använder TxId.
![Page 59: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/59.jpg)
59
SSEK 2.0Felhantering
• Fel returneras alltid som SoapFault• FaultData-struktur för mer detaljerad felinformation• Omsändning
![Page 60: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/60.jpg)
60
SSEK 2.0Omsändning av meddelanden
• Omsändning definieras som att ett meddelande med samma innehåll och SSEK-header med Txid skickas på nytt.
• Omsändning är tillåten när felmeddelande mottagits med undantag för ssek:Timeout– Mottagaren måste backa ur alla transaktioner om
felmeddelande returneras.• Omsändning är inte tillåten när inget svarsmeddelande
har mottagits (timeout). Manuell hantering istället.• En tjänsts policy kan styra så att omsändning alltid är
tillåtet.
![Page 61: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/61.jpg)
61
SSEK 2.0Felkoder
• faultcode skall alltid vara ett QName• SSEK definierar ett antal felkoder i sin namespace:
http://schemas.ssek.org/ssek/2006-05-10/• Andra felkoder finns definierade i bland annat SOAP-
och WS-Security-specifikationerna.
![Page 62: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/62.jpg)
62
SSEK 2.0Exempel på felmeddelande
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><soap:Fault><faultcode xmlns:p="http://schemas.ssek.org/ssek/2006-05-10/">p:ContentInvalid</faultcode><faultstring>Personnummer skall innehålla 12 tecken</faultstring>
</soap:Fault></soap:Body>
</soap:Envelope>
![Page 63: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/63.jpg)
63
SSEK 2.0Felkoder definierade för SSEK
• AsynchMethodUnsupported• ContentInvalid• IncorrectContext• MessageNotProcessed• NoResultAvailable• ReceiverIdUnknown• SenderIdUnknown• Timeout• TxIdInvalid• TxIdMissing• TxIdNotAllowed• WebServiceUnavailable• WebServiceUnsupported
![Page 64: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/64.jpg)
64
SSEK 2.0FaultData
• För mer detaljerad felinformation• FaultData placeras under detail-element och kan
innehålla:– Det felande meddelande i sin helhet– Det felande meddelandets TxId– Detaljerade beskrivningar av ett eller flera fel (Code,
Description, Location, System)
![Page 65: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/65.jpg)
65
SSEK 2.0Exempel på felmeddelande med FaultData
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><soap:Fault><faultcode xmlns:p="http://schemas.ssek.org/ssek/2006-05-10/">p:ContentInvalid</faultcode><faultstring>Personnummer skall innehålla 12 tecken</faultstring><detail><ssek:FaultData xmlns:ssek="http://schemas.ssek.org/ssek/2006-05-10/"><ssek:FaultingMessage>...</ssek:FaultingMessage><ssek:TxId>7820EAE1-31CE-4648-B70B-A3C065005E17</ssek:TxId><ssek:FaultItems><ssek:FaultItem xmlns:p="http://schemas.skandia.se/faults/2006-05-31/"><ssek:Code>p:IllegalPnr</ssek:Code><ssek:Description></ssek:Description><ssek:Location xmlns:m="http://schemas.skandia.se/engagemang/2006-05-31/">
//m:GET_ENGAGEMANG/m:PNR</ssek:Location></ssek:FaultItem>
</ssek:FaultItems></ssek:FaultData>
</detail></soap:Fault>
</soap:Body></soap:Envelope>
![Page 66: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/66.jpg)
66
SSEK 2.0Standardiserat kvitto
• Receipt kvitterar mottagandet av ett meddelande• Användbart vid asynkrona meddelandeflöden.• Vid signering returneras även det kvitterade
meddelandets signatur, som även det signeras,vilket innebär att mottagaren har 'oavvisligen' mottagit avsändarens meddelande.
![Page 67: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/67.jpg)
67
SSEK 2.0Exempel på standardkvitto
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Header><ssek:SSEK xmlns:ssek="http://schemas.ssek.org/ssek/2006-05-10/" soap:mustUnderstand="1"><ssek:SenderId>Skandia Liv</ssek:SenderId><ssek:ReceiverId>Mäklare</ssek:ReceiverId><ssek:TxId>c615da82-e3d1-4e82-9520-938b9a0568b9</ssek:TxId>
</ssek:SSEK><wsse:Security xmlns:wsse="....">...</wsse:Security>
</soap:Header><soap:Body><ssek:Receipt xmlns:ssek="http://schemas.ssek.org/ssek/2006-05-10/"><ssek:ResponseCode>OK</ssek:ResponseCode><ssek:ResponseMessage>Thank you, please call again</ssek:ResponseMessage><ssek:RequestSignatureValue>KBxr9Fchqie.....qv1tiVtEzTObUdI=</ssek:RequestSignatureValue>
</ssek:Receipt></soap:Body>
</soap:Envelope>
![Page 68: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/68.jpg)
68
SSEK 2.0Signaturer
• All väsentlig information signeras– SSEK-header– Timestamp– Eventuell SignatureConfirmation– SoapBody
• Certifikat bifogas meddelandet• Signering sker enligt OASIS-standard: Web Services
Security: SOAP Message Security 1.0/1.1• Policy styr om en tjänst använder signaturer.
• Arkivering
![Page 69: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/69.jpg)
69
SSEK 2.0Signera/verifiera meddelande
Signering av meddelande1. Konvertera XML till kanonisk form (canonicalization).2. Beräkna hashvärden på de delar som skall signeras3. Beräkna hashvärde på beräknade hashvärden4. Skapa signatur genom att transformera hashvärde
med privat nyckel som hör till certifikat5. Lagra signatur och certifikat i meddelandet
Verifiering sker med steg 1-3 varefter publik nyckel i bifogat certifikat används för att transformerameddelandets signatur som därefter jämförs medberäknat hashvärde
![Page 70: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/70.jpg)
70
SSEK 2.0Signerade meddelandeflöden
• Om signering används så signeras både fråge- och svarsmeddelanden
• Signerat kvitto returneras där frågemeddelandets signatur ingår i meddelandet
FrågemeddelandeSenderId=AReceiverId=BA:s certifikat
Frågesignatur
Frågesignatur
ReceiptSenderId=BReceiverId=AB:s certifikat
Svarssignatur
![Page 71: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/71.jpg)
71
SSEK 2.0Signering av frågemeddelandets signatur
• Två alternativ– RequestSignatureValue (från SSEK 1.1)– SignatureConfirmation (från WS-Security 1.1)
• Policy styr vilka varianter en tjänst stöder• RequestSignatureHandling kan vara en av:
– Receipt– SignatureConfirmation– ReceiptAndSignatureConfirmation
![Page 72: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/72.jpg)
72
SSEK 2.0SSEK-Policy
• Per tjänst kan anges:– IdType (CN, DN, ORGNR. APP)– TransportLevelSecurity (SSL, SSLWithClientCertificate)– MessageLevelSecurity (None, Signature)– RequestSignatureHandling (Receipt,
SignatureConfirmation, ReceiptAndSignatureConfirmation)
• Per operation kan anges:– ResendAllowedOnTimeout– SupportsAsynchPull– SupportsAsynchPush
![Page 73: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/73.jpg)
73
SSEK 2.0Vad som inte definieras i SSEK-spec
• SSEK fokuserar på protokollet• Viktiga implementationsaspekter och best-practices:
– Arkivering– Administration– Driftstöd– Infrastrukturfrågor– Säkerhetsaspekter som hantering av privata nycklar– Test- och verifieringsmiljöer
![Page 74: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/74.jpg)
74
SSEK 2.0Arkivering av meddelanden
• Med arkivering ger SSEK spårbarhet över tiden.• SSEK-meddelanden innehåller i sig all viktig information:
– Meddelandets informationsinnehåll.– Avsändande organisations identitet– Mottagande organisations identitet– Avsändande organisations signatur– Avsändande organisations certifikat– Frågemeddelandets signatur vid kvittering– Tidpunkt för meddelandet.– Identitet för relaterade meddelanden.
• SSEK-meddelanden kan arkiveras utan metadata.– Undantag CA-certifikat och avtalsrelaterade dokument.
![Page 75: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/75.jpg)
75
SSEK 2.0Framtiden för SSEK
• SSEK 2.0 finns idag!• Troligt tillägg till SSEK 2.0 för WS-Reliable Messaging
när denna spec väl är fastställd. Oasis har draft idag.• Visst arbete kring certifikat.• Diskussionsforum kommer.
• Hur vill ni att SSEK skall utvecklas vidare? • Vilka behov ser ni?
![Page 76: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/76.jpg)
76
SSEK 2.0Arkitekturer för SSEK
• SSEK i webbläsare• SSEK för enstaka tjänst• SSEK för extern kommunikation• SSEK för extern och intern kommunikation
![Page 77: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/77.jpg)
77
SSEK 2.0SSEK-konsument i webbläsare
• 'Upload' med SSEK-funktionalitet. Signering sker i webbläsare. Krav:– Certifikat med privata nycklar installerade på klient– Webbläsare som kan exekvera komponenter
• Alternativt skapa XML från webbformulär som skickas på samma sätt.
• Asynkront meddelandeflöde med hämtning ger full funktionalitet
![Page 78: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/78.jpg)
78
SSEK 2.0Typisk arkitektur
.Net zOS
Webb
Java
annat
.Net
.Net
Java
Java
![Page 79: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/79.jpg)
79
SSEK 2.0Enklare SSEK-arkitektur
.Net zOS
Webb
Java
annat
.Net
.Net
Java
Java
SSEK
SSEK
![Page 80: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/80.jpg)
80
SSEK 2.0SSEK för enstaka tjänst
• Utveckla klienten eller tjänsten i ditt favoritverktyg• Använd SSEK-toolkit för exempelvis Axis, WCF eller
WSE3.0.
• Fördelar:– Snabbt komma igång med SSEK för användning
mot affärspartners utan större investeringar.• Nackdelar
– Inget generellt stöd för arkivering, felsökning etc.– Enskilda system måste ha kunskap om mottagares
certifikat, urler etc.– Inga synergieffekter av SSEK.
![Page 81: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/81.jpg)
81
SSEK 2.0Enklare SSEK-arkitektur
.Net zOS
Webb
Java
annat
.Net
.Net
Java
Java
SSEK
SSEK
![Page 82: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/82.jpg)
82
SSEK 2.0Extern SSEK-arkitektur
.Net zOS
Webb
Java
annat
.Net
.Net
Java
Java
SSEK
SSEK
SSEK Message BrokerDB
![Page 83: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/83.jpg)
83
SSEK 2.0Använda SSEK externt
• En ingång för all SSEK-kommunikation.• Signering, arkivering och loggning sker på ett ställe• Kan outsourcas.
• Fördelar:– Komplett stöd för SSEK.– Enskilda system behöver endast ha kunskap om
mottagande organisations identitet.• Nackdelar
– Initialt större investering
![Page 84: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/84.jpg)
84
SSEK 2.0Extern SSEK-arkitektur
.Net zOS
Webb
Java
annat
.Net
.Net
Java
Java
SSEK
SSEK
SSEK Message BrokerDB
![Page 85: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/85.jpg)
85
SSEK 2.0Integrerad SSEK-arkitektur
.NetzOS
Webb
Java.Net
.Net
Java
Java
SSEK
SSEK
SSEK Message BrokerDB
SSEK
SSEK
SSEK
annat
![Page 86: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/86.jpg)
86
SSEK 2.0Använda SSEK externt och internt
• Kommunikation mellan både externa och interna system sker enligt SSEK.
• Signering, arkivering och loggning sker på ett ställe
• Fördelar:– Maximal nytta av SSEK.– Förenklar intern kommunikation mellan affärssystem– Bra bas för SOA-arkitektur
![Page 87: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/87.jpg)
87
SSEK 2.0SSEK Message Broker
• Integrering av affärssystem• Katalogfunktion• Signering/verifiering• Arkivering• Loggning• En administrationspunkt för tjänster, system och
organisationer
![Page 88: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/88.jpg)
88
SSEK 2.0SSEK Message Broker
• Exempel på administrativa funktioner:– Skapa tjänster genom import av WSDL-filer
inklusive SSEK-policy.– Konfigurering av tillåtna avsändare/mottagare– Starta/stoppa tjänster– Söka i arkiv efter meddelanden från viss avsändare– Granska loggar, tidmätningar
• Mer att tänka på– Test- och verifieringsmiljöer med testcertifikat etc– Lastbalansering, redundans
![Page 89: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/89.jpg)
89
SSEK 2.0Skandia Liv - erfarenheter
• Skandia Liv använder SSEK för extern och intern kommunikation sedan 3 år.
• Alla webservice-anrop (även till stordator) passerar genom SSEK Message Broker.
• Viktigt med låg fördröjning i systemet (5-45 ms)• Nödvändigt med funktioner för loggning och felsökning• Administrativt gränssnitt med integrerad behörighet
och audit-funktion ger skalbarhet i en stor organisation.
• Slutsats: SSEK mycket bra bas för SOA
![Page 90: Komplett - SSEK](https://reader033.fdocuments.in/reader033/viewer/2022042802/62681102d9722906205d409e/html5/thumbnails/90.jpg)
90
SSEK 2.0SSEK
Frågor om teknik och arkitektur?
Öppen diskussion följer efter 10 minuters paus.