Inhaltsverzeichnis. 1. Gesamtarchitektur mit Stand vom 31. August 2009. 2. Netzwerkspezifikation mit Stand vom 31. August 2009



Ähnliche Dokumente
Einführung der Gesundheitskarte Gesamtarchitektur

Einführung der Gesundheitskarte Gesamtarchitektur

r die Anbindung an die Telematikinfrastruktur

Architektur und Funktionsweise des Konnektors für Krankenhausinformationsund Arztpraxissysteme

Sicherheit der Komponenten der Telematik-Infrastruktur

Einführung in die Netzwerktechnik

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

VPN: Virtual-Private-Networks

TeleTrusT-Informationstag "IT-Sicherheit im Smart Grid"

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Aktuelle Telematikanwendungen

Architekturen verteilter Firewalls für IP-Telefonie-Plattformen

IPv6 in den Bereichen Internet Access und WAN

Firewalls illustriert

Aurorean Virtual Network

VPN-Technologien Alternativen und Bausteine einer erfolgreichen Lösung von Dipl.-Inform. Andreas Meder

Context based Cognitive Radio for LTE-Advanced Networks

Decus IT Symposium 2006

Inhalt. Vorwort 13. L.., ',...":%: " j.

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

Identitätsmanagement mit Open-Source-Software

VPN Virtual Private Networks

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

VPN - Virtual Private Networks

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Cloud Computing mit IT-Grundschutz

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Virtual Private Network. David Greber und Michael Wäger

Absicherung von Grid Services Transparenter Application Level Gateway

WLAN Konfiguration. Michael Bukreus Seite 1

Sicherheitsmechanismen für Voice over IP

2.1 Ist-Anwendungslandschaften Programme zur Gestaltung von Anwendungslandschaften

Programmierhandbuch SAP NetWeaver* Sicherheit

Diameter. KM-/VS-Seminar. Wintersemester 2002/2003. schulze_diameter.ppt Christian Schulze_03-Februar-07

EXCHANGE Neuerungen und Praxis

Storage Area Networks im Enterprise Bereich

Seminar: Konzepte von Betriebssytem- Komponenten

Mangelnde Interoperabilität führt dazu: EDA / Brussels EURELECTRIC

Lösungswege einer sicheren Datenübertragung in der Abwassertechnik

LAN Konzept Bruno Santschi. LAN Konzept. Version 1.0 März LAN Konzept.doc Seite 1 von 10 hehe@hehe.ch

Fachbereich Medienproduktion

Wireless & Management

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

Leveraging BitTorrent for End Host Measurements

Grid-Systeme. Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit Grid Systeme 1

PKI-Forum Schweiz, 15. Mai Erfahrungsbericht über den Aufbau der PKI der

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten

Netzwerktechnologie 2 Sommersemester 2004

Nutzen und Vorteile der Netzwerkvirtualisierung

Redundante Dienste Idealfall und Notfalllösungen. Präsentation von Matthias Müller

Profindis GmbH. Deutsch. IT-Fachinformatiker

Fachlogik umsetzen. Business Rules zwischen Konzept und IT-System. Dirk Ziegemeyer

Lastenheft. Beschreibung des Unternehmens. Ziele der Software-Einführung. Einführung einer Software zur Unterstützung eines Scrum-Prozesses in einer

LABS/QM. Durchgängige Integration vom Messgerät bis zum SAP QM mit Unterstützung vom OpenLab sowie LABS/QM

Rainer Janssen Wolfgang Schott. SNMP- Konzepte, Verfahren, Plattformen

HowTo: Einrichtung von L2TP over IPSec VPN

Web-Services - die GIS-Zukunft?

Microsoft.NET und SunONE

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

Cloud Computing mit OpenStack

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Technische Grundlagen von Internetzugängen

Gliederung. Zusammenfassung. Inhaltsverzeichnis. 1 Einführung i

Sicherheit - Dokumentation. Erstellt von James Schüpbach

Virtual Desktop Infrasstructure - VDI

Erfolgsgeschichten phion airlock ICAP Module

Kompetenz der GAIN-Gruppe im Gesundheitswesen. Kompetenz der GAIN-Gruppe im Gesundheitswesen 1

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Vorwort Azure Cloud Computing mit Microsoft Danksagungen Kontakt zum Autor... 13

ICENI: Eine JXTA-basierte Service-Oriented. Architecture. Im Rahmen des Seminars Services Computing und Service-Oriented Architectures

PROFILE BEI IPV6 HILFEN IM RFC-DSCHUNGEL. Uwe Kaiser, 24. November Matthias Heyde / Fraunhofer FOKUS

Talk 5: Technical and Economic Aspects of Inter-domain Service Provisioning

Werner Hornberger Jürgen Schneider Sicherheit und Datenschutz mit SAP-Systemen. Maßnahmen für die betriebliche Praxis.

Walther- Übungsaufgabe 24. Januar 2016 Rathenau- Routing Name: Gewerbeschule Freiburg DHCP Klasse: E3FI1T Seite 1 Punkte: /20 Note:

Collax PPTP-VPN. Howto

Fragenkatalog zum Versuch IP-Networking und Wireless LAN Praktikum Kommunikations- und Netzwerktechnik (I5) Inhaltsverzeichnis

ITIL Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert,

Secure Authentication for System & Network Administration

Grundlagen der Rechnernetze. Internetworking

57. DFN-Betriebstagung Überblick WLAN Technologien

Sicherheitsmanagement in TCP/IP-Netzen

Aufgabenstellung. Kunden sollen in Zukunft Onlinezugriff auf die Feri-Datenbank erhalten. über eine direkte Einwahlmöglichkeit über das Internet

Inhaltsverzeichnis. Teil I VPN-Technologie Danksagungen... XIII

Daten Monitoring und VPN Fernwartung

egk-zugriffsprofile: Datensicherheit durch Card-to-Card-Authentifizierung Dr. S. Buschner

Themen. Web Services und SOA. Stefan Szalowski Daten- und Online-Kommunikation Web Services

Aufbau einer hoch sicheren ehealth-infrastruktur in Baden- Württemberg

E-Services mit der Web-Service-Architektur

Aktuelle. Wireless LAN Architekturen

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

CORBA-Konzept. Ziele. Common Object Request Broker Architecture CORBA. Plattformunabhängige Kommunikation Transparente Verteilung von Objekten

Abbildungsverzeichnis. Tabellenverzeichnis. 1 Einleitung Motivation und Problemstellung Annahmen und Forschungsfragen 3

Routing-Protokolle und -Konzepte

Vorlesung SS 2001: Sicherheit in offenen Netzen

Ausgangslage. Mobile Kommunikation im SBB Rangierbetrieb Fallstudie einer dezentralen Applikation. Peter K. Brandt / Adrian Berger 10.

Transkript:

Inhaltsverzeichnis 1. Gesamtarchitektur mit Stand vom 31. August 2009 2. Netzwerkspezifikation mit Stand vom 31. August 2009 Bibliografische Informationen http://d-nb.info/1000775909 digitalisiert durch

Inhaltsverzeichnis Inhaltsverzeichnis 2 1 Zusammenfassung 11 2 Einführung 13 2.1 Abgrenzung und Einordnung des Dokuments 13 2.2 Zielsetzung und Struktur des Dokuments 14 2.3 Zielgruppe 16 2.4 Geltungsbereich 17 2.5 Arbeitsgrundlagen 18 2.6 Methodik 19 2.6.1 Anforderungssicht - Use Cases und Kommunikationsmuster 19 2.6.2 Design View- Logische Architektur 19 2.6.3 Realisierungs-Views - Physische Architektur 20 2.7 Verwendung von Schlüsselworten und Konventionen 20 2.7.1 Verwendung von Schüsselworten 20 2.7.2 Konventionen zur Kennzeichnung von Referenzen und Abkürzungen 21 2.7.3 Konventionen zur Kennzeichnung von Architektur-Tiers 21 2.7.4 Konventionen zur Kennzeichnung von offenen Punkte 22 3 Anforderungen und Rahmenbedingung der Architektur 23 3.1 Abgrenzung und Einordnung des Kapitels 23 3.2 Zielsetzung und Struktur des Kapitels 23 3.3 Einordnung der Telematikinfrastruktur in die Gesundheitstelematik 24 3.4 Übersicht Gesamtarchitektur 25 3.4.1 Primärsysteme (Rot) 25 3.4.2 Telematikinfrastruktur (Gelb) 26 3.4.3 Fachdienste (Grün) 28 3.4.4 Mehrwertanwendungen (Grau) 30 3.5 Releases und Funktionsabschnitte 31 3.5.1 Funktionsabschnitte (FA) 31 3.5.2 Releases (Rel) 32 3.5.3 Beziehung zwischen Funktionsabschnitten und Releases 33 3.5.4 Ausbaustufen der Telematikinfrastruktur 34 3.6 Anforderungen 35 3.6.1 Funktionale Anforderungen 35 3.6.2 Nicht-funktionale Anforderungen 41 3.6.3 Sicherheits-und Datenschutzanforderungen 44 Seite 2 von 338

3.7 Weitere Annahmen 50 4 Architektureckpunkte und Erweiterungsstrategien 53 4.1 Abgrenzung und Einordnung des Kapitels 53 4.2 Zielsetzung und Struktur des Kapitels 53 4.3 Webservices und Serviceorientierte Architekturen 54 4.3.1 Eckpunkte 54 4.3.2 Erweiterungsstrategie 55 4.4 Intermediäre und Discovery/Invocation-Interaktionsmuster 56 4.4.1 Eckpunkte 57 4.4.2 Erweiterungsstrategie 57 4.5 Request/Response-Kommunikationsmuster 57 4.5.1 Eckpunkte 57 4.5.2 Erweiterungsstrategie 58 4.6 XML als grundlegendes Datenformat 58 4.7 Perimetergrenzen und Sicherheitsprotokolle 59 4.7.1 Eckpunkte 59 4.7.2 Erweiterungsstrategien 59 4.8 Hybrides Rechtekonzept der Telematik 60 4.8.1 Konzeptionelle Eckpunkte 60 4.8.2 Technologiegetriebene Eckpunkte für C2C und C2S 60 4.9 Message-und Sessionauthentisierung 62 4.9.1 Eckpunkte 64 4.9.2 Erweiterungsstrategie 64 4.10 Einbindung von Mehrwertanwendungen und informationstechnische Trennung von 291a-Anwendungen und Mehrwertanwendungen 64 4.10.1 Typ1 - Lokale Mehrwertanwendungen 65 4.10.2 Typ2 - Netzwerktechnisch von der Tl getrennte Mehrwertanwendungen. 66 4.10.3 Typ3 - Nachnutzung von Infrastrukturdiensten durch Mehrwertanwendungen 66 4.10.4 Typ4 - Mehrwertanwendungen als Fachanwendungen in der Tl 67 4.10.5 Bereitstellung von Mehrwert-Modulen durch Hersteller 67 4.11 Konnektoridentität 67 4.11.1 Hintergrund zur Bauart- und Gerätezulassung 67 4.11.2 Hintergrund zum Zugang von Institutionen 68 4.11.3 Infrastrukturelle Einordnung 68 4.11.4 Eckpunkte 70 4.12 Bemerkungen zur Identität von Kartenterminals 73 4.13 Accounting in der Telematikinfrastruktur 74 5 Logische Architektur - Tier- und Systemgrenzen 76 5.1 Abgrenzung und Einordnung des Kapitels 76 5.2 Zielsetzung und Struktur des Kapitels 76 Seite 3 von 338

5.3 Architektur-Tiers und Systemgrenzen 77 5.3.1 Service Consumer Tier 77 5.3.2 Consumer Adapter 78 5.3.3 Telematik Tier (Consumer/Provider Interaction Tier) 78 5.3.4 Provider Adapter 79 5.3.5 Inhalte Service Provider Tier 79 5.3.6 Legacy and Existing Applications 80 5.4 Detaillierte Systemgrenzen und Interfaces der Telematik Tier 80 5.4.1 Connector Service und Connector Management 80 5.4.2 IBroker Service und Broker Service 81 5.4.3 Provider Adapter (IServiceProvider) 82 5.4.4 Infrastruktur PKI-Services 82 5.4.5 Infrastruktur Netzwerk-Services 82 5.4.6 Kartenterminal-Services (KTS) 83 6 Logische Architektur - Konzept Sicherheitsarchitektur 84 6.1 Abgrenzung und Einordnung des Kapitels 84 6.2 Zielsetzung und Struktur des Kapitels 86 6.3 Einleitung 86 6.4 Anlehnung an ISO 7498-2; Part 2: Security Architecture 87 6.4.1 Grundlegende Sicherheitsziele und Sicherheitsbasisservices 88 6.4.2 Weitere Sicherheitsziele 90 6.4.3 Performance, Skalierbarkeit und Verfügbarkeit 91 6.5 Konformität mit 291a: Zweistufigkeit der Sicherheitsservices 91 6.5.1 Prozesssicht: Rollenspezifische Autorisierung 92 6.5.2 Datensicht: Identitätsspezifische Sicherheitsservices 92 6.5.3 Synthese: Hybrides Sicherheitskonzept der Telematik 94 6.5.4 Anlehnung des Hybriden Rechtekonzeptes an das OSI Access Control Framework und ISO 7498-2 95 6.6 Datenschutz und identitätsspezifische Rechte 97 6.7 Normative Sicherheitsservices und -mechanismen der Netzwerk- und Transportschichten 100 6.7.1 Sicherheitsservices und -mechanismen Network Layer Security 101 6.7.2 Sicherheitsservices und -mechanismen Transport Layer Security 101 6.7.3 Relevante kryptographische Identitäten NLS und TLS 102 6.7.4 Normative Sicherheitsstandards NLS und TLS 103 6.8 Normative Sicherheitsservices der Applikationsschicht 103 6.8.1 Offline C2C Security: Sicherheitsservices und -mechanismen 105 6.8.2 Webservice Security: Sicherheitsservices und -mechanismen 106 6.8.3 Online C2S Security: Sicherheitsservices und -mechanismen 114 7 Logische Architektur - Identitätsbasiertes Autorisierungskonzept für das Webservice-Kommunikationsmuster 116 7.1 Abgrenzung und Einordnung des Kapitels 116 7.2 Zielsetzung und Struktur des Kapitels 117 Seite 4 von 338

7.3 Einleitung 117 7.4 Grundlegende Eckpunkte der Datenzugriffsarchitektur für Webservices 118 7.5 Überblick der Umsetzung des identitätsbasierten Autorisierungskonzeptes für das Webservicekommunikationsmuster 119 7.6 Informationsmodell des Webservice Kommunikationsmusters 120 7.6.1 Übergreifendes Informationsmodell der Datenzugriffsschicht für Webservice Kommunikationsmuster 120 7.6.2 ObjektTicket 121 7.6.3 ServiceTicket 122 7.7 Zuordnung von Informationsobjekten zu Sicherheitszielen 123 7.8 Detaillierung der Kommunikations-Muster 125 7.8.1 Vereinfachung der Darstellung 125 7.8.2 Klassifizierung von Anwendungsfällen 126 7.9 Datensicherheit und Datenschutz 138 8 Logische Architektur - Public-Key-Infrastruktur 140 8.1 Abgrenzung und Einordnung des Kapitels 140 8.2 Zielsetzung und Struktur des Kapitels 140 8.3 Verwendung der Public-Key-Funktionalität 141 8.4 Zertifikats- und CA-Typisierung 141 8.4.1 X.509-Netzzertifikate und Netz-CA 141 8.4.2 X-509-Service-Zertifikate und Service-CA 142 8.4.3 Personen zugeordnete X.509-Zertifikate 143 8.4.4 Card-verifiable-certificates (CVC, CV-Zertifikate) 143 8.5 Vertrauensmodell der PKI 143 8.6 Statusabfrageüberprüfung für Zertifikate 145 8.7 Normative PKI-Basisservices 145 8.7.1 Certificate Retrieval Basisservice 146 8.7.2 Directory Proxy Basisservice 146 8.7.3 Directory Service 147 8.7.4 Certificate Validation Basisservice 147 8.7.5 OCSP-Client Basisservice 148 8.7.6 OCSP-Requestor Service 148 8.7.7 OCSP-Responder Service 148 8.7.8 CRL Validation, CRL Provider Proxy und CRL Provider Basisservices 148 8.7.9 TSL Retrieval Basisservice 148 8.7.10 TSL Provider Service (Infrastruktur und Personen) 149 8.7.11 TSL Creator Basisservice 149 9 Logische Architektur - Konzepte verteilter Verarbeitung 150 9.1 Abgrenzung und Einordnung des Kapitels 150 9.2 Zielsetzung und Struktur des Kapitels 150 9.3 Telematik-Sequenzen und verteilte Festschreibung von Daten 151 Seite 5 von 338

9.4 Telematik-Sequenzen, C2C- und C2S-Kommunikation 154 9.4.1 Fehlerbehandlung für C2C-Kommunikation 154 9.4.2 Fehlerbehandlung für C2S-Kommunikation 154 10 Logische Architektur- Komponentenüberblick 155 10.1 Abgrenzung und Einordnung des Kapitels 155 10.2 Komponentenmodell 156 10.2.1 Anwendungsservices 157 10.2.2 Basisservices 157 10.2.3 Administrations-, Monitoring-, Test- und Wartungsservices 157 10.3 Chipkarten 158 10.4 Service Consumer Tier (Rot) 158 10.5 Telematik Tier (Gelb) 159 10.5.1 Dezentrale Anwendungsinfrastrukturservices 159 10.5.2 Zentrale Anwendungsinfrastrukturservices 161 10.6 Service Provider Tier (Grün) 164 10.6.1 Serviceübergreifende Sicherheits- und Datenschutzanforderungen 165 10.6.2 Zulassungspflicht für Fachdienste 165 10.6.3 Mehrwertfachdienste 165 11 Anwendungsfälle und Kommunikationsmuster 167 11.1 Abgrenzung und Einordnung des Kapitels 167 11.2 Zielsetzung und Struktur des Kapitels 167 11.3 Kommunikationsmuster für den Direktzugriff im Basis-Rollout (Release R0.5) 168 11.4 Kommunikationsmuster für Offline Card-to-Card-Anwendungsfälle...168 11.5 Kommunikationsmuster für Webservice-Anwendungsfälle 171 11.6 Kommunikationsmuster für Card-to-Server-Anwendungsfälle 174 12 Logische Architektur - Komponentenmodell 178 12.1 Abgrenzung und Einordnung des Kapitels 178 12.2 Struktur der Servicespezifikation 178 12.2.1 XML-Schemasprache 178 12.2.2 Wiederkehrende Typen 178 12.3 Serviceübergreifende Festlegungen 181 12.3.1 Kompatibilität mit WS-I Profilen 181 12.3.2 Fehlerbehandlungen und Fehlercodes 181 12.4 PKI-Basisservices 182 12.5 Sicherheits-Basisservices 182 12.5.1 Authentifizierungsservice 182 12.5.2 Autorisierungsservice 183 12.5.3 Vertraulichkeitsservice 183 12.5.4 Signatur- und Integritätsservice 183 Seite 6 von 338

12.5.5 Nichtabstreitbarkeitsservice 183 12.6 Datenzugriffsbasisservices 184 12.6.1 Basisservice Ticket 184 12.6.2 Basisservice optimistisches Sperren 184 12.6.3 Basisservice Nachrichtensequentialisierung 185 12.7 Gemeinsame Basisservices Fehlerbehandlung, Logging und Tracing 186 12.7.1 Basisservice Webservice Fehlerbehandlung und Wiederaufnahme 186 12.7.2 Basisservice Logging und Tracing 186 12.7.3 Basisservice egk Restart/Recovery 187 12.8 Querschnitts-Basisservices 187 12.8.1 Objectl D-Service {OBIDS} 187 12.8.2 Basisservice Komprimierung 189 12.8.3 Basisservice Zeit 189 12.9 Anwendungen der Service Consumer Tier 190 12.9.1 Übersicht Client-Services für Anwendungen der egk durch Versicherte 190 12.9.2 Verwaltung von Zugriffsrechten 190 12.9.3 Datenzugriffsaudit-Log-einsehen 190 12.9.4 Versichertenstammdaten-anzeigen 190 12.9.5 everordnungen-verwalten 190 12.9.6 PIN-ändern-und-entsperren 191 12.10 Anwendungen der Consumer Adapter Tier 191 12.10.1 IConnector Service 191 12.11 Anwendungsinfrastrukturservices der Telematik Tier 191 12.11.1 Connector Service 191 12.11.2 Kartenterminal-Services (KTS) 192 12.11.3 Extended Trusted Viewer (xtv) 192 12.11.4 Broker Service (Brokers) 193 12.11.5 Service Directory Service (SDS) 197 12.11.6 Trusted Service (TrustedS) 201 12.11.7 Zentraler Datenzugriffauditservice für Webservices (AuditS) 203 12.12 Anwendungen der Provider Adapter Tier 206 12.13 Fachdienste der Telematik Service Provider Tier 206 12.13.1 Serviceübergreifende Sicherheits- und Datenschutzanforderungen 206 12.13.2 Update Flag Service {UFS} 207 12.13.3 Card Management System {CMS} 207 12.14 Administrations-und Monitoringservices 210 12.14.1 Konfigurationsservice 210 12.14.2 Software-Verteilservice 210 12.14.3 Systemmonitoringservice 210 12.14.4 Servicemonitoring 211 12.15 Test-und Wartungsservices 211 12.15.1 Service-Test-Anwendungen 211 12.15.2 Service Stub 211 13 Logische Architektur - TelematikTransport-Details 212 Seite 7 von 338

13.1 Abgrenzung und Einordnung des Kapitels 212 13.2 Zielsetzung und Struktur des Kapitels 212 13.3 TelematikTransport - Einordnung und Ziele 212 13.4 TelematikTransport-Details 214 13.5 Logische Datenstruktur des TelematikTransports 214 13.5.1 SOAP-Header 215 13.5.2 SOAP-Body 216 14 Performance 217 14.1 Abgrenzung und Einordnung des Kapitels 217 14.2 Zielsetzung und Struktur des Kapitels 217 14.3 Laufzeitberechnung 218 14.3.1 Modellierung 218 14.3.2 Eckpunkte von Performance-Vorgaben 221 14.3.3 Nutzung des Modells als Grundlage für Optimierungen 222 14.4 Simulation durch Referenzimplementierung 222 14.5 Mengengerüste 223 14.5.1 Personen 224 14.5.2 Lokationen 224 14.5.3 Vorgangszahlen 224 14.6 Verfügbarkeits- und Performance-Überwachung 224 14.6.1 Segmentierung der Service Level Objectives 225 14.6.2 Abdeckung der Überwachung 227 14.6.3 Anforderungen an die Überwachung 228 14.6.4 Prinzipien 229 14.6.5 Werkzeuge 229 14.6.6 Managementschnittstelle 230 15 Informationstechnische Trennung von 291 a-anwendungen und Mehrwertanwendungen sowie Integration von Mehrwertanwendungen in die Telematikinfrastruktur 231 15.1 Abgrenzung und Einordnung des Kapitels 231 15.2 Zielsetzung und Struktur des Kapitels 231 15.3 Integration von Mehrwertanwendungen in die Telematikinfrastruktur und Umsetzung der informationstechnischen Trennung 231 15.4 Technische Umsetzung der Trennung 234 15.4.1 Trennung der Mehrwert- und 291a-Anwendungen auf Netzwerkebene 234 15.4.2 Trennung der Mehrwert- und der 291a-Anwendungen im Konnektor..234 15.5 Mandantenfähigkeit 247 15.5.1 Dezentrale Komponenten 247 15.5.2 Fachdienste 249 16 Physische Architektur-Deployment View 250 Seite 8 von 338

16.1 Abgrenzung und Einordnung des Kapitels 250 16.2 Überblick physische Architektur: Deployment View 250 16.2.1 Arbeitsstationen der Leistungserbringer 251 16.2.2 Konnektoren 251 16.2.3 Netzwerk-Gateways 252 16.2.4 Anwendungs-Gateways 252 16.2.5 Fachdienste 254 16.3 Überblick physische Architektur: Deployment View Basisservices...255 16.4 Überblick physische Architektur: Deployment View Sicherheits- und Datenzugriffsbasisservices 256 16.5 Überblick physische Architektur: Deployment View PKI-Basisservices 257 17 Physische Architektur - Operations View 259 17.1 Abgrenzung und Einordnung des Kapitels 259 17.2 Telematiknetzwerke und verbundene Netze 259 17.2.1 LAN der Leistungserbringer 260 17.2.2 Zugangsnetz (rot) 260 17.2.3 Telematik Backbone - Frontend-VPN (pink) 261 17.2.4 Telematik Backbone - Backend-VPN (violett) 261 17.2.5 LAN der Telematik-Rechenzentren 261 17.3 Failover von Instanzen in der Telematik Tier 263 17.3.1 Ziele der Failover-Architektur 263 17.3.2 Überblick Failover-Architektur 264 17.3.3 Failoverarchitektur und paralleles SLO-Monitoring der Broker-Instanzen 265 17.3.4 Failoverarchitektur und paralleles SLO-Monitoring der Zugangsnetze...266 17.4 Sicherheitsarchitektur 266 17.4.1 Zone 1 - Dezentral Extern 267 17.4.2 Zone 2 - Zentral Extern 268 17.4.3 Zone 3 - Zentral Intern 268 17.4.4 Zone 4 - Zentral Backend Intern 269 17.4.5 Zone 5 - Dezentral Backend Extern 270 17.4.6 Zone 6 - Mehrwertdienste Typ2 270 17.5 Service Consumer 270 17.6 Dezentrale Systeme 270 17.7 Applikations-Gateways: Broker und Security 270 17.7.1 Übersicht physische Architektur 270 17.7.2 Netzwerkanbindung von Broker- und Security-Instanzen 273 17.7.3 Verfügbarkeitsstrategie für Broker- und Security-Instanzen 274 17.7.4 Skalierungsstrategie für Broker-und Security-Instanzen 275 17.8 Service Directory 275 17.8.1 Übersicht physische Architektur Service Directory 275 17.8.2 Netzwerkanbindung und Sicherheitszonen Service Directory 277 17.8.3 Verfügbarkeitsstrategie Service Directory 278 Seite 9 von 338

17.8.4 Skalierungsstrategie Service Directory 278 17.9 Datenzugriffsaudit 278 17.9.1 Übersicht physische Architektur Datenzugriffsaudit 278 17.9.2 Netzwerkanbindung Datenzugriffsaudit 280 17.9.3 Verfügbarkeitsstrategie Datenzugriffsaudit 281 17.9.4 Skalierungsstrategie Datenzugriffsaudit 281 17.10 Fachdienste 282 Anhang A 283 Anhang B 284 Anhang C 291 Anhang D 305 Anhang E 321 Seite 10 von 338

Netzwerkspezifikation Inhaltsverzeichnis Inhaltsverzeichnis 2 1 Zusammenfassung 8 2 Einführung 9 2.1 Zielsetzung und Gliederung des Dokuments 9 2.2 Zielgruppe 10 2.3 Geltungsbereich 10 2.4 Arbeitsgrundlagen 10 2.5 Abgrenzung des Dokumentes 10 2.6 Methodik 11 2.6.2 Verwendung von Schlüsselworten 11 2.6.3 Kennzeichnung von Referenzen und Abkürzungen 11 2.6.3.1 Referenzen 11 2.6.3.2 Nomenklatur für Anforderungen, Annahmen und offene Punkte 12 2.6.3.3 Abkürzungen und Akronyme 12 2.6.4 Kennzeichnung von offenen Punkten 12 3 Eingangsanforderungen 13 4 Netzwerkinfrastruktur 18 4.1 Telematikinfrastruktur und Typ2-Netz 18 4.2 Sicherheitszonen 18 4.2.1 Sicherheitszonen im Sicherheitskonzept 19 4.2.2 Firewalls zwischen und innerhalb von Sicherheitszonen 20 4.2.3 Funktionsbereiche auf Netzwerkebene 20 4.3 Netzwerkstrukturen 21 4.3.1 Zugangsnetz 22 4.3.1.1 Zugangnetz zur Telematikinfrastruktur 22 4.3.1.2 Zugangsnetz zum Typ2-Netz 23 4.3.2 Frontend-VPN 23 4.3.3 Backend-VPN 23 4.3.4 Zentrales Typ2-Netz 23 4.3.5 Typ2-Mehrwertdienst 24 4.3.6 Dezentrales Typ2-Netz 24 4.4 Netzwerk-Komponenten 24 4.4.1 Router 25 4.4.1.1 Aufgaben 25 4.4.1.2 Anforderungen 25 4.4.1.3 KPIs. 25 Seite 2 von 141

Netzwerkspezifikation 4.4.2 VPN-Konzentratoren 26 4.4.2.1 Aufgaben 26 4.4.2.2 Anforderungen 26 4.4.2.3 KPI 27 4.4.3 Layer 2 Switches 28 4.4.3.1 Aufgaben 28 4.4.3.2 Anforderungen 28 4.4.3.3 KPIs für Switches 28 4.4.4 WLAN 28 4.4.5 Firewalls 28 4.4.5.1 Aufgaben 28 4.4.5.2 Anforderungen 29 4.4.6 Intrusion Detection-/Prevention-Systeme 29 4.4.6.1 Intrusion Prevention 30 4.4.6.2 IDS in den Funktionsbereichen der Telematikinfrastruktur 30 4.4.6.3 Netze und Netzadministration 30 4.4.6.4 Überwachungsparameter 31 4.4.6.5 Betrieb 32 4.4.6.6 Honeypots 33 4.5 IPSec 33 4.5.1 L2TP über IPSec 33 4.5.2 Ausblick 34 4.6 Sicherheit auf der Transportschicht - SSL/TLS 34 4.6.1 Aufgaben 34 4.6.2 Anforderungen 35 4.6.3 Authentisierung 35 4.6.3.1 Server-Authentisierung 35 4.6.3.2 Client-Authentisierung 35 4.6.4 Session-Resumption 36 4.6.4.1 Anforderungen an Server 36 4.6.4.2 Anforderungen an Clients 37 4.6.5 Sonderfälle Zertifikatsprüfung zwischen dezentralen Komponenten 37 4.7 Internet Protocol (IP) 37 4.8 Transmission Control Protocol (TCP) 37 4.8.1 Timeouts 38 4.8.2 Flusssteuerung 38 4.9 Monitoring und Administration 39 4.10 Versionswechsel und Migrationen 39 Zugangsnetz zur Tl 40 5.1 Basisdienste 40 5.2 VPN-Konzentrator 40 5.2.1 Migration 40 5.2.2 Performance-Anforderungen 41 5.3 Schnittstelle zwischen Konnektor und Primärsysteme LAN 42 5.3.1 Firewall 42 5.3.2 Adresskonflikte beim Leistungserbringer 42 Seite 3 von 141

Netzwerkspezifikation 5.4 Verbindung zwischen Konnektor und VPN-Konzentratoren 44 5.4.1 Verbindungsaufbau 44 5.4.2 IPSec-Authentifizierung 45 5.4.3 IPSec-Betriebsparameter 45 5.4.4 Adressierung 46 5.4.5 L2TP 46 5.4.6 L2TP-Authentisierung 46 5.4.7 L2TP-Adressen des Konnektors 47 5.4.8 Infrastrukturdienste im Zugangsnetz der Tl..' 48 5.4.9 Paketkapselung 48 5.4.10 Fragmentierung 49 5.4.10.1 IP-Paketgröße 49 5.5 Schnittstelle zwischen Konnektor und WAN-Router 51 5.6 Schnittstelle zwischen WAN-Router und ISP 51 5.6.1 Leitungsarten 51 5.7 Informationstechnische Trennung im Zugangsnetz 52 5.8 Firewall-Einsatz in Funktionsbereich 1 52 5.9 Anbindung zwischen Internet und Zugangsprovider 53 5.9.1 Anbindung Zugangsrouter zum Internet 54 5.9.2 Anbindung Zugangsrouter zur Firewall 54 5.9.3 Bandbreiten und Skalierbarkeit 54 5.10 Firewall-Einsatz in Funktionsbereich 2 54 5.10.1 FW-Regeln Transportnetz -> TI-ZGN 56 5.10.1.1 Interface-Definitionen 56 5.10.1.2 Servicedefinitionen 57 5.10.1.3 Netzwerkdefinitionen 57 5.10.1.4 Regelsätze (Ruleset) 57 5.10.2 FW-Regeln DMZ-TI-ZGN -> Tl 57 5.10.2.1 Interface-Definitionen 58 5.10.2.2 Servicedefinitionen 58 5.10.2.3 Netzwerkdefinitionen 58 5.10.2.4 Regelsätze (Ruleset) 59 6 MPLS-Technologie 60 6.1 MPLS-Grundlagen 60 6.2 Anforderungen 62 7 TI-MPLS-Backbone 64 7.1 IP-Adressen-Schema für Dienste und Anwendungen 64 7.1.1 IP-Adressen für zentrale Infrastrukturdienste 64 7.1.2 Adressen-Fachanwendungen 64 7.1.3 Adressen-Netzwerkmanagement 64 7.1.4 Ausblick 64 7.2 MPLSIP-VPN 65 7.2.1 Skalierung, Redundanz und Verfügbarkeit 65 7.2.2 Quality of Service 65 Seite 4 von 141

Netzwerkspezifikation 7.2.3 IP-Adressen im MPLS-Netzwerk 66 7.2.4 Inter AS IP-VPN i.".""!..""'.!!!"'. 66 7.2.5 WAN-Schnittstelle PE-Router [ \. 67 7.2.6 KPIs für den MPLS-Backbone 69 7.2.7 Performance-Anforderungen 69 7.3 Customer Premise Equipment 69 7.3.1 Quality of Service 70 7.3.2 Skalierung 71 7.3.3 CE-Router Anbindungsvarianten 72 7.3.4 CE-Router Schnittstelle 74 7.3.5 Routing-Protokolle 74 7.3.5.1 Statisch 75 7.3.5.2 RIPv2 76 7.3.5.3 OSPFv2 77 7.3.5.4 Border Gateway Protocol 4 (BGP-4) 78 7.3.5.5 BGP/MPLS IP Virtual Private Networks (VPNs) 79 7.3.6 KPIs für CE-Router und Zugangsleitungen 80 7.4 Firewall-Einsatz in Funktionsbereich 3 80 7.4.1 FW-Regeln MPLS-Frontend-VPN -> DMZ ZD 80 7.4.1.1 Interface-Definitionen 81 7.4.1.2 Servicedefinitionen 81 7.4.1.3 Netzwerkdefinitionen 81 7.4.1.4 Regelsätze (Rulesets) 82 7.4.2 FW-Regeln DMZ ZD -> MPLS Backend-VPN 82 7.4.2.1 Interface-Definitionen 83 7.4.2.2 Servicedefinitionen 83 7.4.2.3 Netzwerkdefinitionen 83 7.4.2.4 Regelsätze (Rulesets) 84 7.5 Broker 84 7.5.1 Failoverfür Broker 84 7.5.1.1 Halbautomatisches Umschalten über DNS 84 7.5.1.2 Manuelles Umschalten über Routing 84 7.5.1.3 Automatisches Umschalten über Loadbalancer. 84 7.6 Firewall-Einsatz in Funktionsbereich 4 85 7.6.1 FW-Regeln MPLS-Frontend-VPN -> DMZ Broker MPLS-Frontend-VPN 85 7.6.1.1 Interface-Definitionen 86 7.6.1.2 Servicedefinitionen 86 7.6.1.3 Netzwerkdefinitionen 86 7.6.1.4 Regelsätze (Rulesets) 87 7.6.2 FW-Regeln DMZ-Broker MPLS Backend-VPN -> MPLS-Backend-VPN- Fachdienst 87 7.6.2.1 Interface-Definitionen 87 7.6.2.2 Servicedefinitionen 88 7.6.2.3 Netzwerkdefinitionen 88 7.6.2.4 Regelsätze (Rulesets) 89 7.7 Firewall-Einsatz in Funktionsbereich 5 89 7.7.1 FW-Regeln für die Anbindung MPLS-Backend-VPN-Fachdienst -> DMZ...90 7.7.1.1 Interface-Definitionen 90 7.7.1.2 Servicedefinitionen 90 Seite 5 von 141

Netzwerkspezifikation 7.7.1.3 Netzwerkdefinitionen 91 7.7.1.4 Regelsätze (Rulesets) 91 7.7.2 Firewalls für die Anbindung DMZ -> Intranet Fachdienst-Provider 92 7.8 Firewall-Einsatz in Funktionsbereich 7 92 7.9 Verschlüsselung im Backbone 93 8 Typ2-Netz 94 8.1 Funktionalität 94 8.2 Anbieter und Teilnehmer 95 8.3 Accounting, Qualitätsanforderungen und Verfügbarkeiten 96 8.4 IP-Adressen 96 8.4.1 Adresskonflikt Mehrwertanwendung - Backendsystem 96 8.4.2 Adresskonflikt dezentrales Typ2-Netz - Konnektor 97 8.4.3 Routing im Typ2-Netz 98 8.5 DNS 98 8.6 Router im Typ2-Netz 98 8.7 Zugangsnetz 98 8.8 Firewalls 99 8.8.1 Firewall-Einsatz in Funktionsbereich 6 99 8.9 PKI 102 8.9.1 Konnektoren 102 8.9.2 VPN-Konzentratoren für das Typ2-Netz 102 8.10 Integration bestehender Strukturen 102 8.10.1 Anbindung bestehender Dienstnetze 102 8.10.2 Anbindung bestehender Zugangsnetze 103 Anhang A 104 A1 - Abkürzungen 104 A2- Glossar 107 A3 -Abbildungsverzeichnis 107 A4 - Tabellenverzeichnis 108 A5 - Referenzierte Dokumente 110 A6 - Ausgangsanforderungen 117 A7 - Mitgeltende Anforderungen 133 A8- Klärungsbedarf 138 Anhang B - IP-Adressbereiche 139 B1 - Private dynamische L2TP-Adressen der Konnektoren 139 B2 - Private IP-Adressen für das Zugangsnetz und MPLS-Frontend 139 B3 - Private IP-Adressen im MPLS-Backend 140 Seite 6 von 141

Netzwerkspezifikation B4 - Private IP-Adressen in der MPLS-CE-Router 140 B5 - Private IP-Adressen für das System Service Level Management 141 B6 - Private IP-Adressen für das zentrale Typ2-Netz 141 Seite 7 von 141

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback