Inhaltsverzeichnis. 1. Gesamtarchitektur mit Stand vom 31. August Netzwerkspezifikation mit Stand vom 31. August 2009

Transkript

1 Inhaltsverzeichnis 1. Gesamtarchitektur mit Stand vom 31. August Netzwerkspezifikation mit Stand vom 31. August 2009 Bibliografische Informationen digitalisiert durch

2 Inhaltsverzeichnis Inhaltsverzeichnis 2 1 Zusammenfassung 11 2 Einführung Abgrenzung und Einordnung des Dokuments Zielsetzung und Struktur des Dokuments Zielgruppe Geltungsbereich Arbeitsgrundlagen Methodik Anforderungssicht - Use Cases und Kommunikationsmuster Design View- Logische Architektur Realisierungs-Views - Physische Architektur Verwendung von Schlüsselworten und Konventionen Verwendung von Schüsselworten Konventionen zur Kennzeichnung von Referenzen und Abkürzungen Konventionen zur Kennzeichnung von Architektur-Tiers Konventionen zur Kennzeichnung von offenen Punkte 22 3 Anforderungen und Rahmenbedingung der Architektur Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels Einordnung der Telematikinfrastruktur in die Gesundheitstelematik Übersicht Gesamtarchitektur Primärsysteme (Rot) Telematikinfrastruktur (Gelb) Fachdienste (Grün) Mehrwertanwendungen (Grau) Releases und Funktionsabschnitte Funktionsabschnitte (FA) Releases (Rel) Beziehung zwischen Funktionsabschnitten und Releases Ausbaustufen der Telematikinfrastruktur Anforderungen Funktionale Anforderungen Nicht-funktionale Anforderungen Sicherheits-und Datenschutzanforderungen 44 Seite 2 von 338

3 3.7 Weitere Annahmen 50 4 Architektureckpunkte und Erweiterungsstrategien Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels Webservices und Serviceorientierte Architekturen Eckpunkte Erweiterungsstrategie Intermediäre und Discovery/Invocation-Interaktionsmuster Eckpunkte Erweiterungsstrategie Request/Response-Kommunikationsmuster Eckpunkte Erweiterungsstrategie XML als grundlegendes Datenformat Perimetergrenzen und Sicherheitsprotokolle Eckpunkte Erweiterungsstrategien Hybrides Rechtekonzept der Telematik Konzeptionelle Eckpunkte Technologiegetriebene Eckpunkte für C2C und C2S Message-und Sessionauthentisierung Eckpunkte Erweiterungsstrategie Einbindung von Mehrwertanwendungen und informationstechnische Trennung von 291a-Anwendungen und Mehrwertanwendungen Typ1 - Lokale Mehrwertanwendungen Typ2 - Netzwerktechnisch von der Tl getrennte Mehrwertanwendungen Typ3 - Nachnutzung von Infrastrukturdiensten durch Mehrwertanwendungen Typ4 - Mehrwertanwendungen als Fachanwendungen in der Tl Bereitstellung von Mehrwert-Modulen durch Hersteller Konnektoridentität Hintergrund zur Bauart- und Gerätezulassung Hintergrund zum Zugang von Institutionen Infrastrukturelle Einordnung Eckpunkte Bemerkungen zur Identität von Kartenterminals Accounting in der Telematikinfrastruktur 74 5 Logische Architektur - Tier- und Systemgrenzen Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels 76 Seite 3 von 338

4 5.3 Architektur-Tiers und Systemgrenzen Service Consumer Tier Consumer Adapter Telematik Tier (Consumer/Provider Interaction Tier) Provider Adapter Inhalte Service Provider Tier Legacy and Existing Applications Detaillierte Systemgrenzen und Interfaces der Telematik Tier Connector Service und Connector Management IBroker Service und Broker Service Provider Adapter (IServiceProvider) Infrastruktur PKI-Services Infrastruktur Netzwerk-Services Kartenterminal-Services (KTS) 83 6 Logische Architektur - Konzept Sicherheitsarchitektur Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels Einleitung Anlehnung an ISO ; Part 2: Security Architecture Grundlegende Sicherheitsziele und Sicherheitsbasisservices Weitere Sicherheitsziele Performance, Skalierbarkeit und Verfügbarkeit Konformität mit 291a: Zweistufigkeit der Sicherheitsservices Prozesssicht: Rollenspezifische Autorisierung Datensicht: Identitätsspezifische Sicherheitsservices Synthese: Hybrides Sicherheitskonzept der Telematik Anlehnung des Hybriden Rechtekonzeptes an das OSI Access Control Framework und ISO Datenschutz und identitätsspezifische Rechte Normative Sicherheitsservices und -mechanismen der Netzwerk- und Transportschichten Sicherheitsservices und -mechanismen Network Layer Security Sicherheitsservices und -mechanismen Transport Layer Security Relevante kryptographische Identitäten NLS und TLS Normative Sicherheitsstandards NLS und TLS Normative Sicherheitsservices der Applikationsschicht Offline C2C Security: Sicherheitsservices und -mechanismen Webservice Security: Sicherheitsservices und -mechanismen Online C2S Security: Sicherheitsservices und -mechanismen Logische Architektur - Identitätsbasiertes Autorisierungskonzept für das Webservice-Kommunikationsmuster Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels 117 Seite 4 von 338

5 7.3 Einleitung Grundlegende Eckpunkte der Datenzugriffsarchitektur für Webservices Überblick der Umsetzung des identitätsbasierten Autorisierungskonzeptes für das Webservicekommunikationsmuster Informationsmodell des Webservice Kommunikationsmusters Übergreifendes Informationsmodell der Datenzugriffsschicht für Webservice Kommunikationsmuster ObjektTicket ServiceTicket Zuordnung von Informationsobjekten zu Sicherheitszielen Detaillierung der Kommunikations-Muster Vereinfachung der Darstellung Klassifizierung von Anwendungsfällen Datensicherheit und Datenschutz Logische Architektur - Public-Key-Infrastruktur Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels Verwendung der Public-Key-Funktionalität Zertifikats- und CA-Typisierung X.509-Netzzertifikate und Netz-CA X-509-Service-Zertifikate und Service-CA Personen zugeordnete X.509-Zertifikate Card-verifiable-certificates (CVC, CV-Zertifikate) Vertrauensmodell der PKI Statusabfrageüberprüfung für Zertifikate Normative PKI-Basisservices Certificate Retrieval Basisservice Directory Proxy Basisservice Directory Service Certificate Validation Basisservice OCSP-Client Basisservice OCSP-Requestor Service OCSP-Responder Service CRL Validation, CRL Provider Proxy und CRL Provider Basisservices TSL Retrieval Basisservice TSL Provider Service (Infrastruktur und Personen) TSL Creator Basisservice Logische Architektur - Konzepte verteilter Verarbeitung Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels Telematik-Sequenzen und verteilte Festschreibung von Daten 151 Seite 5 von 338

6 9.4 Telematik-Sequenzen, C2C- und C2S-Kommunikation Fehlerbehandlung für C2C-Kommunikation Fehlerbehandlung für C2S-Kommunikation Logische Architektur- Komponentenüberblick Abgrenzung und Einordnung des Kapitels Komponentenmodell Anwendungsservices Basisservices Administrations-, Monitoring-, Test- und Wartungsservices Chipkarten Service Consumer Tier (Rot) Telematik Tier (Gelb) Dezentrale Anwendungsinfrastrukturservices Zentrale Anwendungsinfrastrukturservices Service Provider Tier (Grün) Serviceübergreifende Sicherheits- und Datenschutzanforderungen Zulassungspflicht für Fachdienste Mehrwertfachdienste Anwendungsfälle und Kommunikationsmuster Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels Kommunikationsmuster für den Direktzugriff im Basis-Rollout (Release R0.5) Kommunikationsmuster für Offline Card-to-Card-Anwendungsfälle Kommunikationsmuster für Webservice-Anwendungsfälle Kommunikationsmuster für Card-to-Server-Anwendungsfälle Logische Architektur - Komponentenmodell Abgrenzung und Einordnung des Kapitels Struktur der Servicespezifikation XML-Schemasprache Wiederkehrende Typen Serviceübergreifende Festlegungen Kompatibilität mit WS-I Profilen Fehlerbehandlungen und Fehlercodes PKI-Basisservices Sicherheits-Basisservices Authentifizierungsservice Autorisierungsservice Vertraulichkeitsservice Signatur- und Integritätsservice 183 Seite 6 von 338

7 Nichtabstreitbarkeitsservice Datenzugriffsbasisservices Basisservice Ticket Basisservice optimistisches Sperren Basisservice Nachrichtensequentialisierung Gemeinsame Basisservices Fehlerbehandlung, Logging und Tracing Basisservice Webservice Fehlerbehandlung und Wiederaufnahme Basisservice Logging und Tracing Basisservice egk Restart/Recovery Querschnitts-Basisservices Objectl D-Service {OBIDS} Basisservice Komprimierung Basisservice Zeit Anwendungen der Service Consumer Tier Übersicht Client-Services für Anwendungen der egk durch Versicherte Verwaltung von Zugriffsrechten Datenzugriffsaudit-Log-einsehen Versichertenstammdaten-anzeigen everordnungen-verwalten PIN-ändern-und-entsperren Anwendungen der Consumer Adapter Tier IConnector Service Anwendungsinfrastrukturservices der Telematik Tier Connector Service Kartenterminal-Services (KTS) Extended Trusted Viewer (xtv) Broker Service (Brokers) Service Directory Service (SDS) Trusted Service (TrustedS) Zentraler Datenzugriffauditservice für Webservices (AuditS) Anwendungen der Provider Adapter Tier Fachdienste der Telematik Service Provider Tier Serviceübergreifende Sicherheits- und Datenschutzanforderungen Update Flag Service {UFS} Card Management System {CMS} Administrations-und Monitoringservices Konfigurationsservice Software-Verteilservice Systemmonitoringservice Servicemonitoring Test-und Wartungsservices Service-Test-Anwendungen Service Stub Logische Architektur - TelematikTransport-Details 212 Seite 7 von 338

8 13.1 Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels TelematikTransport - Einordnung und Ziele TelematikTransport-Details Logische Datenstruktur des TelematikTransports SOAP-Header SOAP-Body Performance Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels Laufzeitberechnung Modellierung Eckpunkte von Performance-Vorgaben Nutzung des Modells als Grundlage für Optimierungen Simulation durch Referenzimplementierung Mengengerüste Personen Lokationen Vorgangszahlen Verfügbarkeits- und Performance-Überwachung Segmentierung der Service Level Objectives Abdeckung der Überwachung Anforderungen an die Überwachung Prinzipien Werkzeuge Managementschnittstelle Informationstechnische Trennung von 291 a-anwendungen und Mehrwertanwendungen sowie Integration von Mehrwertanwendungen in die Telematikinfrastruktur Abgrenzung und Einordnung des Kapitels Zielsetzung und Struktur des Kapitels Integration von Mehrwertanwendungen in die Telematikinfrastruktur und Umsetzung der informationstechnischen Trennung Technische Umsetzung der Trennung Trennung der Mehrwert- und 291a-Anwendungen auf Netzwerkebene Trennung der Mehrwert- und der 291a-Anwendungen im Konnektor Mandantenfähigkeit Dezentrale Komponenten Fachdienste Physische Architektur-Deployment View 250 Seite 8 von 338

9 16.1 Abgrenzung und Einordnung des Kapitels Überblick physische Architektur: Deployment View Arbeitsstationen der Leistungserbringer Konnektoren Netzwerk-Gateways Anwendungs-Gateways Fachdienste Überblick physische Architektur: Deployment View Basisservices Überblick physische Architektur: Deployment View Sicherheits- und Datenzugriffsbasisservices Überblick physische Architektur: Deployment View PKI-Basisservices Physische Architektur - Operations View Abgrenzung und Einordnung des Kapitels Telematiknetzwerke und verbundene Netze LAN der Leistungserbringer Zugangsnetz (rot) Telematik Backbone - Frontend-VPN (pink) Telematik Backbone - Backend-VPN (violett) LAN der Telematik-Rechenzentren Failover von Instanzen in der Telematik Tier Ziele der Failover-Architektur Überblick Failover-Architektur Failoverarchitektur und paralleles SLO-Monitoring der Broker-Instanzen Failoverarchitektur und paralleles SLO-Monitoring der Zugangsnetze Sicherheitsarchitektur Zone 1 - Dezentral Extern Zone 2 - Zentral Extern Zone 3 - Zentral Intern Zone 4 - Zentral Backend Intern Zone 5 - Dezentral Backend Extern Zone 6 - Mehrwertdienste Typ Service Consumer Dezentrale Systeme Applikations-Gateways: Broker und Security Übersicht physische Architektur Netzwerkanbindung von Broker- und Security-Instanzen Verfügbarkeitsstrategie für Broker- und Security-Instanzen Skalierungsstrategie für Broker-und Security-Instanzen Service Directory Übersicht physische Architektur Service Directory Netzwerkanbindung und Sicherheitszonen Service Directory Verfügbarkeitsstrategie Service Directory 278 Seite 9 von 338

10 Skalierungsstrategie Service Directory Datenzugriffsaudit Übersicht physische Architektur Datenzugriffsaudit Netzwerkanbindung Datenzugriffsaudit Verfügbarkeitsstrategie Datenzugriffsaudit Skalierungsstrategie Datenzugriffsaudit Fachdienste 282 Anhang A 283 Anhang B 284 Anhang C 291 Anhang D 305 Anhang E 321 Seite 10 von 338

11 Netzwerkspezifikation Inhaltsverzeichnis Inhaltsverzeichnis 2 1 Zusammenfassung 8 2 Einführung Zielsetzung und Gliederung des Dokuments Zielgruppe Geltungsbereich Arbeitsgrundlagen Abgrenzung des Dokumentes Methodik Verwendung von Schlüsselworten Kennzeichnung von Referenzen und Abkürzungen Referenzen Nomenklatur für Anforderungen, Annahmen und offene Punkte Abkürzungen und Akronyme Kennzeichnung von offenen Punkten 12 3 Eingangsanforderungen 13 4 Netzwerkinfrastruktur Telematikinfrastruktur und Typ2-Netz Sicherheitszonen Sicherheitszonen im Sicherheitskonzept Firewalls zwischen und innerhalb von Sicherheitszonen Funktionsbereiche auf Netzwerkebene Netzwerkstrukturen Zugangsnetz Zugangnetz zur Telematikinfrastruktur Zugangsnetz zum Typ2-Netz Frontend-VPN Backend-VPN Zentrales Typ2-Netz Typ2-Mehrwertdienst Dezentrales Typ2-Netz Netzwerk-Komponenten Router Aufgaben Anforderungen KPIs. 25 Seite 2 von 141

12 Netzwerkspezifikation VPN-Konzentratoren Aufgaben Anforderungen KPI Layer 2 Switches Aufgaben Anforderungen KPIs für Switches WLAN Firewalls Aufgaben Anforderungen Intrusion Detection-/Prevention-Systeme Intrusion Prevention IDS in den Funktionsbereichen der Telematikinfrastruktur Netze und Netzadministration Überwachungsparameter Betrieb Honeypots IPSec L2TP über IPSec Ausblick Sicherheit auf der Transportschicht - SSL/TLS Aufgaben Anforderungen Authentisierung Server-Authentisierung Client-Authentisierung Session-Resumption Anforderungen an Server Anforderungen an Clients Sonderfälle Zertifikatsprüfung zwischen dezentralen Komponenten Internet Protocol (IP) Transmission Control Protocol (TCP) Timeouts Flusssteuerung Monitoring und Administration Versionswechsel und Migrationen 39 Zugangsnetz zur Tl Basisdienste VPN-Konzentrator Migration Performance-Anforderungen Schnittstelle zwischen Konnektor und Primärsysteme LAN Firewall Adresskonflikte beim Leistungserbringer 42 Seite 3 von 141

13 Netzwerkspezifikation 5.4 Verbindung zwischen Konnektor und VPN-Konzentratoren Verbindungsaufbau IPSec-Authentifizierung IPSec-Betriebsparameter Adressierung L2TP L2TP-Authentisierung L2TP-Adressen des Konnektors Infrastrukturdienste im Zugangsnetz der Tl..' Paketkapselung Fragmentierung IP-Paketgröße Schnittstelle zwischen Konnektor und WAN-Router Schnittstelle zwischen WAN-Router und ISP Leitungsarten Informationstechnische Trennung im Zugangsnetz Firewall-Einsatz in Funktionsbereich Anbindung zwischen Internet und Zugangsprovider Anbindung Zugangsrouter zum Internet Anbindung Zugangsrouter zur Firewall Bandbreiten und Skalierbarkeit Firewall-Einsatz in Funktionsbereich FW-Regeln Transportnetz -> TI-ZGN Interface-Definitionen Servicedefinitionen Netzwerkdefinitionen Regelsätze (Ruleset) FW-Regeln DMZ-TI-ZGN -> Tl Interface-Definitionen Servicedefinitionen Netzwerkdefinitionen Regelsätze (Ruleset) 59 6 MPLS-Technologie MPLS-Grundlagen Anforderungen 62 7 TI-MPLS-Backbone IP-Adressen-Schema für Dienste und Anwendungen IP-Adressen für zentrale Infrastrukturdienste Adressen-Fachanwendungen Adressen-Netzwerkmanagement Ausblick MPLSIP-VPN Skalierung, Redundanz und Verfügbarkeit Quality of Service 65 Seite 4 von 141

14 Netzwerkspezifikation IP-Adressen im MPLS-Netzwerk Inter AS IP-VPN i.".""!..""'.!!!"' WAN-Schnittstelle PE-Router [ \ KPIs für den MPLS-Backbone Performance-Anforderungen Customer Premise Equipment Quality of Service Skalierung CE-Router Anbindungsvarianten CE-Router Schnittstelle Routing-Protokolle Statisch RIPv OSPFv Border Gateway Protocol 4 (BGP-4) BGP/MPLS IP Virtual Private Networks (VPNs) KPIs für CE-Router und Zugangsleitungen Firewall-Einsatz in Funktionsbereich FW-Regeln MPLS-Frontend-VPN -> DMZ ZD Interface-Definitionen Servicedefinitionen Netzwerkdefinitionen Regelsätze (Rulesets) FW-Regeln DMZ ZD -> MPLS Backend-VPN Interface-Definitionen Servicedefinitionen Netzwerkdefinitionen Regelsätze (Rulesets) Broker Failoverfür Broker Halbautomatisches Umschalten über DNS Manuelles Umschalten über Routing Automatisches Umschalten über Loadbalancer Firewall-Einsatz in Funktionsbereich FW-Regeln MPLS-Frontend-VPN -> DMZ Broker MPLS-Frontend-VPN Interface-Definitionen Servicedefinitionen Netzwerkdefinitionen Regelsätze (Rulesets) FW-Regeln DMZ-Broker MPLS Backend-VPN -> MPLS-Backend-VPN- Fachdienst Interface-Definitionen Servicedefinitionen Netzwerkdefinitionen Regelsätze (Rulesets) Firewall-Einsatz in Funktionsbereich FW-Regeln für die Anbindung MPLS-Backend-VPN-Fachdienst -> DMZ Interface-Definitionen Servicedefinitionen 90 Seite 5 von 141

15 Netzwerkspezifikation Netzwerkdefinitionen Regelsätze (Rulesets) Firewalls für die Anbindung DMZ -> Intranet Fachdienst-Provider Firewall-Einsatz in Funktionsbereich Verschlüsselung im Backbone 93 8 Typ2-Netz Funktionalität Anbieter und Teilnehmer Accounting, Qualitätsanforderungen und Verfügbarkeiten IP-Adressen Adresskonflikt Mehrwertanwendung - Backendsystem Adresskonflikt dezentrales Typ2-Netz - Konnektor Routing im Typ2-Netz DNS Router im Typ2-Netz Zugangsnetz Firewalls Firewall-Einsatz in Funktionsbereich PKI Konnektoren VPN-Konzentratoren für das Typ2-Netz Integration bestehender Strukturen Anbindung bestehender Dienstnetze Anbindung bestehender Zugangsnetze 103 Anhang A 104 A1 - Abkürzungen 104 A2- Glossar 107 A3 -Abbildungsverzeichnis 107 A4 - Tabellenverzeichnis 108 A5 - Referenzierte Dokumente 110 A6 - Ausgangsanforderungen 117 A7 - Mitgeltende Anforderungen 133 A8- Klärungsbedarf 138 Anhang B - IP-Adressbereiche 139 B1 - Private dynamische L2TP-Adressen der Konnektoren 139 B2 - Private IP-Adressen für das Zugangsnetz und MPLS-Frontend 139 B3 - Private IP-Adressen im MPLS-Backend 140 Seite 6 von 141

16 Netzwerkspezifikation B4 - Private IP-Adressen in der MPLS-CE-Router 140 B5 - Private IP-Adressen für das System Service Level Management 141 B6 - Private IP-Adressen für das zentrale Typ2-Netz 141 Seite 7 von 141