通过

InterAct 适配器安全体系结构

  • 项目

消息传输和接收的安全性是使用 SWIFTNet Link (SNL) 和 SWIFTAlliance Gateway (SAG) 固有的证书和加密功能实现的。 SWIFT 建议为 InterAct 设计的服务应用“端到端”签名,即对请求和响应消息进行签名。

加密操作由 SWIFTNet Link 的安全模块实现。 此模块允许使用 PKI 密钥进行签名和加密。 加密操作的性质和范围指定为传递给 API 的请求和响应控制数据结构的一部分。

SWIFTNet 支持 RequestPayload 或 ResponsePayload 的签名/加密。 还可以对 RequestHeader 或 ResponseHeader 进行签名。

对请求和响应进行签名/加密

在 SWIFTNet InterAct 请求元素上应用加密操作的规则如下:

  • RequestControl:它仅发往 SWIFTNet。 SWIFTNet 将 RequestDescriptor 传递给响应方 (,某些元素也传递给请求者) 。 因此,不能对客户端进程到服务器进程执行加密操作。

  • RequestE2EControl:此元素包含可确保可靠的端到端消息传送的信息。 不能对它执行任何加密操作。

  • RequestHeader:它由 SWIFTNet 使用,未更改地传达给响应方。 因此,只能对此进行签名。

  • RequestPayload:可以对此执行任何加密操作。

  • Crypto 元素 () :它们与以前对此请求激活的加密操作相关。 不能对这些加密操作执行任何加密操作。

    在 SWIFTNet InterAct 响应上应用加密函数的规则如下:

  • ResponseControl:它仅发往 SWIFTNet。 SWIFTNet 将 ResponseDescriptor 传递给请求者。 因此,不能对服务器进程执行客户端进程加密操作。

  • ResponseE2EControl:此元素包含可确保可靠的端到端消息传送的信息。 不能对它执行任何加密操作。

  • ResponseHeader:此元素可以签名, (它未更改地传输到请求者) 。

  • ResponsePayload:可以加密和/或签名。

  • Crypto 元素 () :它们与以前对此请求激活的加密操作相关。 不能对这些加密操作执行任何加密操作。

使用加密接收请求

服务器进程可能会收到请求方执行加密操作的请求。 传入请求包含用于启用反向加密操作的所有相关信息。 CryptoInternal 信息使得解密和验证功能现在可以有效运行。

服务器进程需要激活需要进行解密的 DN 的安全上下文

然后,反向加密操作将修改请求, (验证、解密) ,使原始请求可以不受更改地提供给服务器进程,因为它最初由客户端进程传递到加密操作。 对于响应,将进行类似的处理。 请务必认识到,对签名的验证不仅会验证签名的内容是否未更改,而且还会验证签名者是否为正版。 这要求 SignDN 使用有效的证书。 有效证书是尚未吊销证书 (证书吊销列表中的查找,该列表中集中保存在 SWIFTNet) 中。

激活

SWIFTNet Link 可以在自动模式下为所有传入请求和传入响应运行验证和解密。 这意味着 SWIFTNet Link 将自动处理 (验证和解密) 服务器端 (所有传入请求的最后一个加密块, (客户端) ) 或传入响应。 先决条件是,如果打开) 请求解密,并且 SWIFTNet Link 已在自动模式下初始化, (解密所需的安全上下文, (此设置在 Sw:InitRequest 或 Sw:HandleInitResponse 上完成,方法是将 CryptoMode 设置为“Automatic”或更好的 InterAct 仍为“高级”。 (我们将始终对 InterAct 适配器使用“高级”,因为这样客户端或服务器应用程序就可以通过远程端或从过期的证书中恢复表单意外加密。

如果在请求 (响应) 的 RequestControl (ResponseControl) 中将字段 RequestCrypto (ResponseCrypto) 初始化为“TRUE”,SWIFTNet Link 会自动对一个传出请求 (或一个传出响应) 操作签名和加密。

在这种情况下,SWIFTNet Link 处理最后一个加密块。 先决条件是签名所需的安全上下文 (如果请求签名) 打开,加密块存在于请求中,并指示所需的签名和加密,并且 RequestCrypto (ResponseCrypto) 标志在 RequestControl (ResponseControl) 设置为“TRUE”。 无论客户端或服务器初始化时使用哪种 CryptoMode,这始终都是完成的。

另请参阅

InterAct 适配器体系结构
InterAct 适配器组件
Business Exchange 的 InterAct 适配器消息
InterAct 适配器客户端应用程序
InterAct 适配器服务器应用程序
InterAct 适配器存储和转发
InterAct 适配器端到端可靠传递
InterAct 适配器状态监视
InterAct 适配器不可否认性