INI-9777: Systeemauthenticatie o.b.v. servercertificaat reagerend systemen

RFC	INI-9777: Systeemauthenticatie o.b.v. servercertificaat reagerend systemen
Probleemstelling	In de praktijk komt het voor dat een antwoord van een systeem wordt verstuurd via een beveiligd kanaal dat is opgezet met een andere certificaat dan geregistreerd staat in het APR van het LSP. Indien het LSP bijvoorbeeld een 'Ping' verstuurd, dan komt het in de praktijk voor dat een 'Pong' wordt teruggestuurd via een nieuw opgezet beveiligd kanaal, o.b.v. een ander servercertificaat dan geregistreerd staat in het APR. Dit is géén synchrone communicatie en bovendien is het beveiligingstechnisch niet toegestaan om met een voor het APR onbekend certificaat verbinding te maken met het LSP.
Oplossing	Er dient meer expliciet te worden gemaakt dat elke interactie (zorgtoepassing en infrastructurele berichten) met het LSP op basis van een beveiligde synchrone verbinding dient te worden opgezet met het certificaat zoals geregistreerd in het APR. Een antwoord dient altijd via deze zelfde verbinding te lopen. Het LSP zal hierbij ook het certificaat controleren van waar de antwoordberichten worden gestuurd.
Geraakte documenten	Ontwerp Authenticatie
Specifieke plaats	Hoofdstuk 5.1 aanpassing: "5.1 Primaire services De IeA component biedt de volgende authenticatiemogelijkheden: • authenticeren op basis van SAML-token; • systeem authenticatie op basis van een servercertificaat. Systeemauthenticatie gebeurt t.b.v. verschillende soorten systemen: • Systeemauthenticatie o.b.v. servercertificaat t.b.v. initiërende systemen; • Systeemauthenticatie o.b.v. servercertificaat t.b.v. reagerende systemen. Het ontvangen van berichten als gevolg van het versturen van gegevens door een initiërend systeem (specifiek een versturend systeem), volgt dezelfde afhandeling als systeemauthenticatie o.b.v. servercertificaat t.b.v. reagerende systemen. Er wordt geen onderscheid gemaakt tussen zorgtoepassings- en infrastructurele berichten. Systeemauthenticatie is in alle gevallen vereist." Hoofdstuk 5.1.2. aanpassing: "5.1.2 Systeemauthenticatie o.b.v. servercertificaat t.b.v. initiërende systemen Initiërende systemen beslaan zowel de opvragende als de versturende systemen." Hoofdstuk 5.1.3 toegevoegd: "5.1.3 Systeemauthenticatie o.b.v. servercertificaat t.b.v. reagerende systemen Ten behoeve van het adresseren van een bericht aan een systeem wordt er een beveiligde verbinding opgezet. Hierbij worden per systeem de volgende stappen doorlopen: • Er wordt een 2-weg TLS sessie opgezet tussen ZIM en GBX op basis van hun eigen certificaten (UZI en/of PKIO); • Er wordt via deze TLS-sessie een bevraging doorgestuurd naar het GBX; • Via dezelfde TLS-sessie (synchrone communicatie) worden de gevraagde gegevens opgestuurd naar de ZIM; • De IeA component controleert bij een reagerend bericht of de applicatie-id, genoemd als reagerend systeem in het bericht, bekend is binnen het applicatieregister (APR). In het APR worden de bijbehorende URA of Organisatie-naam en FQDN opgezocht; • In het geval van een bericht afkomstig van een GBZ wordt de uit het APR verkregen URA vergeleken met de URA van het UZI client servercertificaat van de TLS-sessie. Additioneel wordt bij een GBZ bericht de fully qualified domain name (FQDN) gecontroleerd en vergeleken met de in het APR aanwezige informatie; • In het geval van een bericht afkomstig van een GBO wordt de uit het APR verkregen organisatienaam en FQDN vergeleken met respectievelijk de O (organisationName) en de FQDN uit het PKIoverheid servercertificaat van de TLS-sessie. Additioneel voor het GBP wordt het commonName (CN) attribuut gecontroleerd. Bovenstaande verwerking geldt ook voor ontvangende systemen. In plaats van het terugsturen van de gevraagde gegevens wordt er een ontvangstbevestiging of een inhoudelijk antwoord teruggestuurd."