as2 in10 schritten
TRANSCRIPT
Alexander KükenAlexander KükeneMaileMail: : alexanderalexander@@kuekenkueken..netnet
AS2 in zehn SchrittenAS2 in zehn Schritten
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 22
AS2 steht für:AS2 steht für:
MIME-based Secure Peer-to-PeerBusiness Data Interchange over the Internet
Using HTTP
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 33
Einordnung der ThematikEinordnung der Thematik
ERP ERP
Konverter Konverter
AS2 Server AS2 ServerInternet (HTTP)
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 44
AS2 HistorieAS2 Historie• 1996: Gründung der IETF Working Group for EDI over the
Internet (EDIINT)• August 1996: erster Spezifikationsentwurf für AS1• Dezember 1996: erster Spezifikationsentwurf für AS2• 1997: Start der Kompatibilitätstests für AS1, die dann alle 6 - 12
Monate wiederholt wurden• 2000: Start der Kompatibilitätstests für AS2, die bis heute
wiederholt werden• September 2002: Erhebung des 17. Spezifikationsentwurfs von
AS1 zum IETF-Standard RFC 3335• 2003: Anerkennung der S/MIME 3.1 Spezifikation als Standard
RFC2633• Februar 2004: Veröffentlichung des 15. Spezifikationsentwurfs
von AS2
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 55
AS2 in zehn SchrittenAS2 in zehn Schritten
Vom EDI-Interchange zurAS2-Kommunikationen in zehn Schritten
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 66
Schritt 1: Generieren einesSchritt 1: Generieren eines Message Message-Digest-DigestUm die Integrität der übermittelten Daten zu verifizierenbenötigt man einen so genannten Message-Digest, derzusammen mit den Daten übermittelt und in einer MDNwieder empfangen wird. Abweichung zwischen Originalund empfangenem Digest zeigen Änderungen währenddes Transfers auf.
EDIInterchange
MD5, SHA1Hash
MessageDigest
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 77
Schritt 2: Komprimieren der DatenSchritt 2: Komprimieren der DatenIn diesem optionalem Schritt wird der Interchange miteinem GZIP oder LZ77 kompatiblen Algorithmuskomprimiert. Dadurch können die Daten schnellerübermittelt werden und die Kryptoanalyse wird erschwert.
EDIInterchange GZIP / LZ77 Komprimierter
Interchange
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 88
Schritt 3: MIMESchritt 3: MIME Header Header voranstellenvoranstellenInnerhalb der EDIINT Standards wird ein Daten-Objektals MIME-Objekt übertragen. So muss jedes zuübertragene Objekt mit einem oder mehreren RFC-822kompatiblen Headern ausgestattet werden.
KomprimierterInterchange
MIMEHeader
Content-Type: application/edi-x12Content-Transfer-Encoding: base64Content-Length: 605
H7654+Rg2h24f...HRKJfur78G-fg...
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 99
Schritt 4: Generieren der SignaturSchritt 4: Generieren der SignaturWiederum wird ein Message Digest generiert, diesmal aufBasis der MIME-Nachricht. Dieser wird dann mit Hilfeeines Private-Keys über RSA/DSA verschlüsselt und überASN.1 als „signedData“ CMS Objekt abgelegt.
MIMENachricht
MD5, SHA1Hash
„signedData“ CMS
RSA/DSA
ASN.1Private Key
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 1010
Schritt 5: MIMESchritt 5: MIME Header Header voranstellenvoranstellenNun wird die Signatur auf base64 umcodiert und derentsprechende MIME-Header vorangestellt.
„signed data“CMS
MIMEHeader
Content-Type: application/pkcs7-signatur; name=smime.p7s
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=„smime.p7s“Content-Length: 496
gj5g7gujg/Tgbjgf67trjh.6FFGHFTZ...
base64
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 1111
Schritt6: Daten und Signatur zusammenfügenSchritt6: Daten und Signatur zusammenfügenDie EDI-Daten und die Signatur können jetzt unter einemMultipart-MIME-Header zusammengefasst werden.
Interchange mitMIME-Header
Content-Type: multipart/signed;protocol=„application/pkcs7-signature“;micalg=sha1; boundary=„boundary1“
--boundary1Content-Type: application/edi-x2...
H7654+Rg2h24f...--boundary1Content-Type: application/pkcs7-signatur...
gj5g7gujg/Tgbjgf67trjh.6FFGHFTZ...--boundary1--
Sigantur mitMIME-Header
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 1212
Schritt 7: Nachricht verschlüsseln 1/2Schritt 7: Nachricht verschlüsseln 1/2Soll die Nachricht verschlüsselt übertragen werden, sokommt ein Einweg-Block-Chiffre wie Triple DES oderRS2 zum Einsatz.
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 1313
Schritt 7: Nachricht verschlüsseln 2/2Schritt 7: Nachricht verschlüsseln 2/2
MIMENachricht
ZufälligerKey
Triple DESRC2
PublicKeyEmpfänger
RSAVerschlüsselter
Key
VerschlüsselteNachricht
ZertifikatAbsender
ASN.1
EnvelopedData
MIMEHeader
Content-Type: application/pkcs7-mime;Smime-type=enveloped-data; name=smime.p7m;Content-Transfer-Encoding: base64Content-Disposition: inline; filename=„smime.p7m“Content-Length: 2962
MDHUIDI8754nfunjt...
Alexander KükenAlexander Küken AS2 - In zehn SchrittenAS2 - In zehn Schritten 1414
Schritt 8: HTTP Schritt 8: HTTP Request Request erstellenerstellenFür die Übertragung muss nun die S/MIME Nachricht miteinem entsprechendem HTTP-Header versehen werden
S/MIMENachricht
HTTPHeader
POST http://www.empfaenger.de/edi HTTP/1.1Host: www.absender.deAS2-From: absenderAS2-To: empfaengerDate: Son, June 20, 2004Subject: EDI MessageMessage-Id: <20040620175400001>Content-Type: application/pkcs7-mime;Smime-type=enveloped-data; name=smime.p7m;Content-Transfer-Encoding: base64Content-Disposition: inline; filename=„smime.p7m“Content-Length: 2962
MDHUIDI8754nfunjt...
Alexander KükenAlexander Küken AS2 - In zehn SchrittenAS2 - In zehn Schritten 1515
Schritt 9: Übermittlung der AS2-NachrichtSchritt 9: Übermittlung der AS2-NachrichtDie nun fertig generierte AS2-Nachricht kann jetzt je nachAngaben im HTTP-Header über HTTP oder HTTPSübermittelt werden.
Alexander KükenAlexander Küken AS2 - In zehn SchrittenAS2 - In zehn Schritten 1616
Schritt 10: Empfang der AS2-MDNSchritt 10: Empfang der AS2-MDNEgal ob eine synchrone oder asynchrone Kommunikationvorliegt, erhält der Absender früher oder später eine MDNvom AS2-Server des Empfängers.
Ein Abgleich der Message-Digest aus der MDN und demin Schritt 1 generierten Message-Digest gibt Aufschluss,ob die Daten korrekt übermittelt wurden.
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 1717
Synchrone AS2 KommunikationSynchrone AS2 Kommunikation
AS2 ServerHandelspartner 1
AS2 ServerHandelspartner 2
HTTP(S) Connect
HTTP(S) Request [AS2-Message]
HTTP(S) Response [AS2-MDN]
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 1818
Vor- und Nachteile des VerfahrensVor- und Nachteile des Verfahrens• Direkte, verifizierte Antwort innerhalb eines
logischen Ablaufs
• Große Nachrichten können zu einemVerbindungs-TimeOut führen
• Blockieren der Abarbeitung, wenn Verbindungs-Maximum erreicht ist.
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 1919
Asynchrone AS2 KommunikationAsynchrone AS2 Kommunikation
AS2 ServerHandelspartner 1
AS2 ServerHandelspartner 2
HTTP(S) Response
HTTP(S) Connect
AS2 ServerHandelspartner 1
AS2 ServerHandelspartner 2
HTTP(S) Connect
HTTP(S) Request [AS2-Message]
HTTP(S) Response
HTTP(S) Request [AS2-MDN]
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 2020
Vor- und Nachteile des VerfahrensVor- und Nachteile des Verfahrens• Direkte Antwort auf Transport-Schicht, wodurch
geringe Verbindungszeiten ermöglicht werden.
• Sender der AS2-Nachricht muss nicht zwingendEmpfänger des AS2-MDN sein.
• Zur Übermittlung des MDN kann auch AS1, alsoSMTP verwendet werden
• Höherer Aufwand um Nachricht und MDNzusammenzuführen
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 2121
Vorteile von AS2Vorteile von AS2• Kann (fast) jede Art von Geschäftsdokumenten
übermitteln• Flexibel einsetzbar• Nutzt durchgängig Standard-Technologie• Hoher Sicherheitsstandard• Schnelle Refinanzierung, durch geringe laufende
Kosten• Schnell zu implementieren• „Eier legende Wollmilchsau“ ?
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 2222
ROI: Return of InvestmentROI: Return of InvestmentErgebnisse einer Untersuchung der Drummond Group zum ThemaReturn of Investment bei EDI over the Internet vom Januar 2002
Großes Unternehmen Kleines Unternehmen
Jahresumsatz $25 - $50 Milliarde $160 Millionen
Handelpartner 500+ 5
Bestellungen/Tag 80%+ elektronisch (geschätzt 250K) ca. 250
Rechnung/Tag 80%+ elektronisch (geschätzt 375K) ca. 375
Dauer der Umstellung 2Monate für die Einführung AS1 Einführung in wenigen Tagen
Paralleler Testbetrieb für ein paar Monate
Umstellung eines Partners innerhalb eines Tages
AS2 gerade in Erprobung
Ausfallsicherheit sehr sicher ca. 2 Service-Fehler/Monat bei Asynch VAN
AS1: ca. 2 Service-Fehler innerhalb von 14 Monaten
Kosten geringer als VAN, bei gleichen netto 75% Einsparung gegenüber VAN-Lösung
Softwarekosten ROI: innerhalb der ersten 10 Monate
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 2323
Problem: ZertifizierungProblem: Zertifizierung• AS2 Produkte müssen einem Interoperabilitäts-Test
unterzogen werden• Das UCC hat die Verantwortung für die Tests an die
Drummond Group übergeben.• Rik Drummond ist verantwortlich für die AS2-
Spezifikation bei der IETF Working Group EDIINT
ÞHohe Zertifizierungskosten durch hohenTestaufwand, die auf die Lizenzen umgeschlagenwerden müssen.
ÞMonopolstellung der Drummond Group
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 2424
Alternative: OpenAS2Alternative: OpenAS2• Bei OpenAS2 handelt es um eine Open-Source
Implementierung eines AS2-Servers in Java• Kompatibilitäts-Tests durch Anwender• Zur Zeit ist OpenAS2 interoperabel mit iSoft v3.1.5,
Cyclone Interchange v4.2.2.1, Cleo Lexicom v2.0.11und IPNet BizConnect v2.3.1.217
• OpenAS2 befindet sich noch im Beta-Stadium
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 2525
Wo geht die Reise hin?Wo geht die Reise hin?• Die Thematik AS2 wird primär von Wal-Mart,
als „global Player“, in Zusammenarbeit mit IBMvorangetrieben
• März 2004: Veröffentlichung des zweitenSpezifikationsentwurfs von AS3 (FTP)
• Bis August 2004: Neuer AS2Spezifikationsentwurf oder Ernennung zum RFC
• ASx hat das Potential, neuer de-facto Standardfür Messaging im B2B-Bereich zu werden, auchwenn es Konkurrenzverfahren gibt
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 2626
QuellenQuellenMIME-based Secure Peer-to-Peer Business Data Interchange over the
Internet Using HTTP (draft-ietf-ediint-as2-15)Compressed Data for EDIINT(draft-ietf-ediint-compression-03)FTP Transport for Secure Peer-to-Peer Business Data Interchange over the
Internet (draft-ietf-ediint-as3-02)IETF RFCs: MIME-based Secure EDI (RFC3335), MIME Encapsulation of
EDI Objects(RFC1767), S/MIME 3.1 (RFC2633)EDI over the Internet Return on Investment Two surveys included January
2002 By Drummond Group Inc.Brockmann B2B Blogging (http://www.brockmann.com/B1325096589/)The 5 Keys to AS2 and The B2B Process Architecture by Peter Brockmann,
Vice-President Marketing bTrade (www.btrade.com)EDI: Alive and Well After All These Years by Carol Sliwa, Computerworld
(http://www.computerworld.com/printthis/2004/0,4814,93808,00.html)OpenAS2 Compatability by David Pittman (http://openas2.sourceforge.net)iSoftTM EDI-INT AS2 Steps by iSoftTM Corporation
(http://www.isoft.com/iSoft_EDI_Demo/)
29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 2727
CopyrightCopyrightAttribution-NonCommercial-ShareAlike 2.0 Germany
You are free:• to copy, distribute, display, and perform the work• to make derivative works
Under the following conditions:• Attribution. You must give the original author credit.• Noncommercial. You may not use this work for commercial purposes.• Share Alike. If you alter, transform, or build upon this work, you may distribute the resulting
work only under a license identical to this one.
• For any reuse or distribution, you must make clear to others the license terms of this work.• Any of these conditions can be waived if you get permission from the copyright holder.
Your fair use and other rights are in no way affected by the above.
Copyright 2004 by Alexander KükenThis work is licensed under the Creative Commons Attribution-NonCommercial ShareAlike License. To view a copy of this license,visit http://creativecommons.org/licenses/by-nc-sa/2.0/de/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford,California 94305, USA.