1.2. X-tee toimimine andmeteenuse arendaja vaates

Kuna X-teel toimub andmevahetus andmeteenuste (veebiteenuste) vahendusel, siis alati on üks liige andmeteenuse osutaja ja teine andmeteenuse kasutaja.

Turvalise andmevahetuse saavutamiseks peab iga liige läbima järgmised etapid:

  • X-teega liitumine;
  • andmeteenuste kirjeldamine ja pääsuõiguste andmine;
  • andmevahetus;
  • tehingu pikaajaline kinnitamine.

Järgnevalt vaatame iga etapi samme täpsemalt.

1.2.1        X-teega liitumine

  1. Liige (organisatsioon) hangib endale tarvilikud sertifikaadid (turvaserverite omavaheliseks autentimiseks ning sõnumite e-tembeldamiseks liikmete poolt) ja usaldusteenused, sealhulgas OCSP teenus, mis tagab piisavalt värske sertifikaadi kehtivuskinnituse.
  2. Sertifikaadi sidumine turvaserveri abil X-teega ja infosüsteemi registreerimine X-tee keskuses.
  3. Ajatempli teenuse hankimine.

X-teega liitumise osapooled on esitatud joonisel 2.

Joonis 2 X-teega liitumise osapooled

1.2.2        Andmeteenuste kirjeldamine ja pääsuõiguste andmine

Andmeteenuse kirjeldamine:

a)  andmeteenuse osutaja arendab ja kirjeldab pakkumiseks X-tee andmeteenuse;

b)  andmeteenuse kasutaja arendab tarviliku andmeteenuse klientrakenduse.

Pääsuõiguste andmine:

a)  andmeteenuse kasutaja küsib tarvilikule andmeteenusele pääsuõiguse;

b)  andmeteenuse osutaja annab teistele liikmetele andmeteenuse kasutamise pääsuõigused.

Andmeteenuste kirjeldamise ja pääsuõiguste andmise osapooled on näidatud joonisel 3.

Joonis 3 Andmeteenuste kirjeldamise ja pääsuõiguste andmise osapooled

1.2.3        Andmevahetus

1. Andmeteenuse kasutaja koostab SOAP sõnumi oma infosüsteemi alamsüsteemis[1]  ning see signeeritakse kasutaja turvaserveris (digitembeldatakse) kasutades OCSP kinnitust.
2. Andmeteenuse kasutaja ja osutaja turvaserverite vahel luuakse ajutine kahepoolselt autenditud krüpteeritud (TLS) kanal üle avaliku interneti. Selle kanali kaudu edastab andmeteenuse kasutaja sõnumi osised MIME elementidena, sealhulgas SOAP sõnumi.

3. Andmeteenuse osutaja turvaserver kontrollib sõnumi signeeringut (e-tempel) ning lisab SOAP sõnumi keha osa päringulogisse, mida ettenähtud intervalli tagant ajatembeldatakse. Seejärel annab andmeteenuse osutaja sõnumi oma infosüsteemi töötlemiseks.

4. Andmeteenust osutava asutuse liidestuskomponent teisendab X-teelt tuleva SOAP päringu sellisele kujule, et asutuse infosüsteem saaks seda töödelda. Infosüsteemist tulnud vastus teisendatakse liidestuskomponendi poolt samuti X-teele sobivale kujule (SOAP vastuseks).

5. Vastussõnum signeeritakse osutaja turvaserveris ja tagastatakse ajutise kanali kaudu andmeteenuse kasutajale.

6. Krüpteeritud kanal suletakse pärast vastuse saatmist. (Tegelikult on krüpteeritud kanal puhverdatud ning seda saab kasutada järgmistes päringutes sama liikme suunas, kuid see fakt ei ole arendaja jaoks oluline).

7. Andmeteenuse kasutaja turvaserver verifitseerib vastussõnumi signeeringut (e-templit) ja ning edastab saadud andmed oma infosüsteemile töötlemiseks.

Andmevahetuse osapooled on näidatud joonisel 4.

Joonis 4 Andmevahetuse osapooled

X-tee toimimist arendaja vaates ning kasutatavaid tehnoloogiaid illustreerib joonis 5. Kriipsjoonega on esitatud organisatsioonide piirid. X-tee versioonis 6 ei eristata liikmeid andmeteenuste kasutamise ja osutamise mõttes. Liidestuskomponent ja MISP suhtlevad turvaserveritega kasutades SOAP-protokolli. Turvaserverid edastavad sõnumid MIME osistena üle kahepoolselt autenditud krüpteeritud kanali.

Joonis 5 X-tee toimimine arendaja vaates ja kasutatavad tehnoloogiad

1.2.4        Tehingu pikaajaline kinnitamine

1. Mõistliku aja möödudes (30 korda päevas) ajatembeldab kumbki pool laekunud sõnumid tagamaks pikaajalist tervikluse garantiid. Ajatempel pannakse igas turvaserveris nii päringutele kui ka vastustele.

2. Liikmete turvaserverid raporteerivad keskse monitooringu komponendi poolt küsitud teenuste kasutamise metainfo X-tee keskusele.

Joonisel 6 on näidatud tehingu pikaajalise kinnitamise osapooled.

Joonis 6 Tehingu pikaajalise kinnitamise osapooled


[1] asutuse infosüsteemi osa, mis on X-teel registreeritud, nimetatakse alamsüsteemiks


Last modified: Tuesday, 16 May 2017, 10:17 AM