Condividi tramite

Architettura di sicurezza dell'adapter InterAct

  • Articolo

La sicurezza per la trasmissione e la ricezione dei messaggi viene implementata usando il certificato e le funzionalità di crittografia intrinseche in SWIFTNet Link (SNL) e SWIFTAlliance Gateway (SAG). SWIFT consiglia ai servizi progettati per InterAct di applicare una firma "end-to-end", ovvero per firmare sia i messaggi di richiesta che di risposta.

Le operazioni di crittografia vengono implementate dal modulo di sicurezza di SWIFTNet Link. Questo modulo consente la firma e la crittografia usando le chiavi PKI. La natura e l'estensione delle operazioni di crittografia vengono specificate come parte delle strutture di dati Request and Response Control passate alle API.

SWIFTNet supporta la firma/crittografia del metodo RequestPayload o ResponsePayload. È anche possibile firmare RequestHeader o ResponseHeader.

Firma/crittografia di richieste e risposte

Di seguito sono riportate le regole per l'applicazione di operazioni di crittografia sugli elementi della richiesta SWIFTNet InterAct:

  • RequestControl: è destinato solo a SWIFTNet. SWIFTNet fornisce un RequestDescriptor al risponditore (e alcuni elementi anche al richiedente). Pertanto, non è possibile eseguire alcuna operazione di crittografia del processo client al server.

  • RequestE2EControl: questo elemento contiene informazioni per garantire la messaggistica end-to-end affidabile. Non è possibile eseguire alcuna operazione di crittografia.

  • RequestHeader: viene usato da SWIFTNet e trasmesso senza modifiche al risponditore. Pertanto, questo può essere firmato solo.

  • RequestPayload: è possibile eseguire tutte le operazioni di crittografia.

  • Elementi di crittografia: sono correlati alle operazioni di crittografia attivate in precedenza in questa richiesta. Non è possibile eseguire alcuna operazione crittografica su queste operazioni.

    Le regole per l'applicazione di funzioni di crittografia nelle risposte SWIFTNet InterAct sono:

  • ResponseControl: è destinato solo a SWIFTNet. SWIFTNet fornisce un ResponseDescriptor al richiedente. Pertanto, nessun processo server per l'operazione di crittografia del processo client può essere eseguito su di esso.

  • ResponseE2EControl: questo elemento contiene informazioni per garantire la messaggistica end-to-end affidabile. Non è possibile eseguire alcuna operazione di crittografia.

  • ResponseHeader: questo elemento può essere firmato (viene trasferito senza modifiche al richiedente).

  • ResponsePayload: può essere crittografato e/o firmato.

  • Elementi di crittografia: sono correlati alle operazioni di crittografia attivate in precedenza in questa richiesta. Non è possibile eseguire alcuna operazione crittografica su queste operazioni.

Ricezione di richieste con crittografia

Un processo server può ricevere richieste sottoposte a operazioni di crittografia da parte del richiedente. La richiesta in ingresso contiene tutte le informazioni pertinenti per abilitare le operazioni di crittografia inversa. Le informazioni CryptoInternal sono tali che la funzione di decrittografia e verifica ora funzionerà in modo efficace.

Il processo del server dovrà attivare i contesti di sicurezza del DN per cui deve essere eseguita la decrittografia

La richiesta verrà quindi modificata dalle operazioni di crittografia inversa (verifica, decrittografia) in modo che la richiesta originale venga resa disponibile senza modifiche al processo del server, come originariamente recapitato dal processo client alle operazioni di crittografia. Per Risposta, viene eseguita un'elaborazione simile. È importante rendersi conto che la verifica di una firma non solo verificherà ciò che è stato firmato non è stato modificato, ma che esegua l'autenticazione se il firmatario è autentico. Ciò richiede che signDN usi un certificato valido. Un certificato valido non è stato revocato (una ricerca nell'elenco di revoche di certificati, mantenuta centralmente all'interno di SWIFTNet).

Activation

SWIFTNet Link può operare la verifica e la decrittografia in modalità automatica per tutte le richieste in ingresso e le risposte in ingresso. Ciò significa che SWIFTNet Link elabora automaticamente (verifica e decrittografa) l'ultimo blocco di crittografia di tutte le richieste in ingresso (lato server) o risposte in ingresso (lato client). I prerequisiti sono che il contesto di sicurezza necessario per la decrittografia (se è richiesta la decrittografia) viene aperto e che SWIFTNet Link è stato inizializzato in modalità automatica (questa impostazione alla modalità automatica viene eseguita in Sw:InitRequest o Sw:HandleInitResponse, impostando CryptoMode su "Automatico" o meglio ancora "Advanced" per InterAct. Si userà sempre "Advanced" per l'adapter InterAct, in quanto ciò consente all'applicazione client o server di recuperare la crittografia imprevista dal lato remoto o da un certificato scaduto.

SWIFTNet Link gestisce automaticamente la firma e la crittografia in una richiesta in uscita (o una risposta in uscita) se il campo RequestCrypto (ResponseCrypto) viene inizializzato su "TRUE" in RequestControl (ResponseControl) della richiesta (risposta).

In questo caso SWIFTNet Link elabora l'ultimo blocco di crittografia. I prerequisiti sono che il contesto di sicurezza necessario per la firma (se richiesta la firma) viene aperto, che il blocco di crittografia è presente nella richiesta con indicazione sulla firma e la crittografia richiesta e che il flag RequestCrypto (ResponseCrypto) è impostato su "TRUE" in RequestControl (ResponseControl). Questa operazione viene sempre eseguita, indipendentemente dal CryptoMode usato all'inizializzazione del client o del server.

Vedere anche

Architettura dell'adapter InterAct
Componenti dell'adapter InterAct
Messaggi dell'adapter InterAct per lo scambio aziendale
Applicazione client dell'adapter InterAct
Applicazione server dell'adapter InterAct
Archiviazione e inoltro dell'adapter InterAct
Affidabilità del recapito end-to-end dell'adapter InterAct
Monitoraggio dello stato dell'adapter InterAct
Non ripudio dell'adapter InterAct