Trong chương này, các tiêu chuẩn kỹ thuật được chỉ định cho các yếu tố riêng rẽ của mô hình kiến trúc đã được giới thiệu trong bài “Kiến trúc ứng dụng CPĐT”. Hơn nữa, chương này cũng đưa ra những mô tả ngắn gọn của các tiêu chuẩn kỹ thuật đó. Nếu không có sốphiên bản nào của các tiêu chuẩn được công bố, thì phiên bản ổn định nhất từ quan điểm của thị trường sẽ được sử dụng, thậm chí dù điều đó không nhất thiết là phiên bản mới nhất.
1 Giao tiếp
Trong yếu tố “giao tiếp”, một sự phân biệt giữa ứng dụng, phần mềm trung gian và các giao thức mạng cũng như các dịch vụ thư mục.
1.1 Giao tiếp của phần mềm trung gian
Trong trường hợp giao tiếp của phần mềm trung gian, sự phân biệt được thực hiện giữa các ứng dụng máy chủ giao tiếp trong một cơ quan hành chínhvà các ứng dụng máy trạm bên ngoài cơ quan hành chính mà giao tiếp với một máy chủ của cơ quan hành chính đó.
Đang được theo dõi: Ngôn ngữ Đánh dấu siêu văn bản mở rộng (XHTML) Cơ bản v1.0
1.1.1 Giao tiếp của phần mềm trung gian trong cơ quan hành chính
Java RMI đặc biệt phù hợp cho các giao tiếp giữa các đối tượng Java. Thông qua RMI, một đối tượng trong một Máy ảo Java (VM - Virtual Machine), có thể làm bật dậy các phương pháp của một đối tượng chạy trong một Java VM khác. RMI
là một phần của Java 2 Xuất bản Tiêu chuẩn (Java SE) và vì thế cũng là một phần của Java Xuất bản Doanh nghiệp (Java EE).
SOAP nên được sử dụng cho các giao tiếp giữa bên cung cấp máy chủ và người sử dụng của một máy chủ trong ý nghĩa về mô hình tham chiếu SOA. SOAP có thể được sử dụng để trao đổi các dữ liệu có cấu trúc như các đối tượng XML giữa các ứng dụng hoặc các thành phần của chúng thông qua một giao thức Internet (như thông qua HTML).
WSDL nên được sử dụng cho các mục đích xác định các dịch vụ. WSDL là một ngôn ngữđược tiêu chuẩn hóa mô tả các dịch vụ web theo một cách thức mà chúng có thể được các ứng dụng khác sử dụng mà không cần biết xa hơn các chi tiết của việc triển khai hoặc sử dụng ngôn ngữ lập trình y hệt như nhàu.
JMS được sử dụng để tạo, gửi, nhận và đọc các thông điệp. JMS API xác định một giao diện thống nhất cho phép các chương trình Java truyền các thông điệp sang cho các hệ thống thông điệp khác. Ưu thế truyền thông với các thông điệp là liên kết lỏng lẻo. JMS đảm bảo rằng các thông điệp được gửi theo một cách thức không đồng bộ và tin cậy.
JMS sau đó nên được sử dụng khi các thành phần giao tiếp với nhau sẽ không được mở ra với các giao diện của chúng (khả năng trao đổi dễ dàng hơn) và khi giao tiếp giữa các thành phần thường sẽ là không đồng bộ và chịu lỗi được.
JCA nên được sử dụng để tích hợp các hệ thống đang tồn tại vào trong các ứng dụng Java và/hoặc để giao tiếp với chúng. Điều này có nghĩa là các hệ thống phải cung cấp cái gọi là bộ thích nghi (adapter) với nguồn sử dụng thường xuyên các thông điệp, như JMS, để giao tiếp với các hệ thống đã có trước đó (legacy systems).
Bắt buộc: Phương pháp Gọi Từ xa (RMI - Remote Method Invocation)
Bắt buộc: Giao thức Truy cập Đối tượng Đơn giản (SOAP) v1.1
Bắt buộc: Ngôn ngữ Mô tả Dịch vụ Web (WSDL) v1.1 (Web Services Description Language)
Bắt buộc: Dịch vụ Thông điệp Java (JMS) v1.1 (Java Message Service)
Bắt buộc: Kiến trúc bộ Kết nối của J2EE (JCA) v1.5 (J2EE Connector Architecture) Triển khai nổi tiếng nhất của đặc tả Ánh xạ Ngôn ngữ Java sang OMG IDL, đã được OMG xuất bản, là RMI qua Giao thức ORB trong Internet (RMI-IIOP [Remote Method Invocation over Internet Inter ORB Protocol]) từ Sun.
Java RMI-IIOP là một phần không thể thiếu của Java SE và vì thế cũng là một phần của Java EE.
Các ứng dụng Java phân tán có thể giao tiếp thông qua RMI-IIOP với các ứng dụng ở xa thông qua CORBA. Giao tiếp của RMI-IIOP có thể được triển khai với tất cả các Moi giới Yêu cầu Đối tượng (Object Request Brokers) tuân thủ đặc tả CORBA mới nhất 2.3.1. Các ứng dụng ở xa vì thế không bị hạn chế đối với ngôn ngữ Java.
WS-Security là một tiêu chuẩn của OASIS cho các dịch vụ web an ninh. Nó xác định các nang cấp của giao thức SOAP để cung cấp và đảm bảo tính bí mật, tính toàn vẹn và tác dụng ràng buộc của các thông điệp SOAP dựa vào Chữ ký XML
và Mã hóa XML. Sử dụng các mô hình an ninh khác nhau và phương pháp mật mã khác nhau phải là có khả năng.
WS-Security cũng cho phép “các thẻ token an ninh” khác nhau, nghĩa là các định dạng dữ liệu đảm bảo cho các nhận diện hoặc thuộc tính đặc thù, như các chứng thực X.509, Kerberos Tickets, SAML token hoặc các khóa được mã hóa.
Đặc tả của WS-Security cấu tạo từ “Đặc tả lõi WS-Security 1.1 (WS-Security Core Specification 1.1)” và các hồ sơ sau đây:
a) Tên người sử dụng hồ sơ thẻ Token 1.1 (Usename Token Profile)
b) Hồ sơ thẻ Token X.509 (X.509 Token Profile) 1.1
c) Hồ sơ thẻ Token SAML 1.1 (SAML Token profile)
d) Hồ sơ thẻ Token Kerberos 1.1 (Kerberos Token Profile)
e) Ngôn ngữ Thể hiện các Quyền (REL - Rights Expression Language) Hồ sơ thẻ Token 1.1 (Token Profile)
f) SOAP với các Gắn kem (SWA - SOAP with Attachments) Hồ sơ 1.1 Các hồ sơ thẻ token chỉ định cách mà các thẻ token khác nhau có thể được sử dụng trong SOAP.
Giao thức UDDI là cơ sở cho việc thiết kế một nền tảng được tiêu chuẩn hóa, tương hợp được ma cho phép tìm kiếm đơn giản, nhành và động đối với các dịch vụ web. Sự phát triển tiếp theo của UDDI đang được thúc đẩy trong Phạm vi của OASIS. UDDI dựa vào các tiêu chuẩn được W3C và Đội Đặc nhiệm Thiết kế Internet (IETF - Internet Engineering Task Force) đưa ra, như XML, HTTP, DNS và SOAP.
Được khuyến cáo: An ninh các Dịch vụ Web (WS Security) v1.1 (Web Services Security)
Đang được theo dõi: Mô tả, Phát hiện và Tích hợp Vạn năng (UDDI) v2.0 (Universal Description, Discovery and Integration)
Được khuyến cáo: Ánh xạ Ngôn ngữ Java sang OMG IDL (Java Language Mapping to OMG IDL)
1.1.2 Giao tiếp của phần mềm trung gian với các ứng dụng bên ngoài cơ quan hành chính
Các dịch vụ web nên được sử dụng để các ứng dụng máy trạm truy cập qua Internet tới các ứng dụng máy chủ tại các cơ quan hành chính.
Bằng việc cung cấp một lớp dịch vụ web cho một ứng dụng máy chủ đang tồn tại, các hệ thống may trạm được phép làm bật lên các chức năng của các ứng dụng thông qua Giao thức Truyền Siêu văn bản (HTTP). Một dịch vụ web là một dịch vụ có thể được tạo ra từ các thành phần và sử dụng SOAP để giao tiếp với các thành phần khác thông qua giao thức tiêu chuẩn HTML. XML được sử dụng cho bản thân nội dung thông điệp. XML là một tiêu chuẩn vạn năng và ban đầu cho việc trao đổi các dữ liệu giữa tất cả các hệ thống thông tin phù hợp tương ứng cho các mục đích hành chính.
Tổ chức Tính tương hợp Dịch vụ Web (WS-I [Web Service Interoperability Organization]) xác định các hồ sơ các tiêu chuẩn đang tồn tại để tạo thuận lợi cho sự biên dịch các tiêu chuẩn được yêu cầu.
Hồ sơ sẽ được áp dụng là WS-I-Basic v1.1 và bao gồm Sơ đồ XML v1.0, SOAP v1.1, WSDL v1.1 và UDDI v2.0.
Bắt buộc: Giao thức Truy cập Đối tượng Đơn giản (SOAP) v1.1 (Simple Object Access Protocol)
Được khuyến cáo: An ninh các Dịch vụ Web (WS - Security) v1.1
Đang được theo dõi: Mô tả, Phát hiện và Tích hợp Vạn năng (UDDI) v2.0 (Universal Description, Discovery and Integration)
Bắt buộc: Ngôn ngữ Mô tả Dịch vụ Web (WSDL) v1.1 (Web Services Description Language)
Bắt buộc: Giao thức Internet (IP) v4 (Internet Protocol) Môi trường CNTT của hành chính liên bang hiện đang sử dụng IPv4 (RFC 791, RFC 1700) trong sự kết hợp với Giao thức Kiểm soat Truyền TCP (Transmission Control Protocol, RFC 793) và Giao thức Lược đồ Người sử dụng UDP (User Datagram Protocol, RFC 768).
1.2 Các giao thức mạng
Khi các thành phần mới của một hệ thống sẽ được giới thiệu, thì những thành phần mới đó nên hỗ trợ cả IPv4 và IPv6 để cho phép chuyển đổi trong tương lai.
Kể từ giữa những năm 1980, Hệ thống Tên Miền (DNS, RFC 1034, RFC 1035) đã là tiêu chuẩn trên Internet. DNS tham chiếu tới một dịch vụ máy chủ tên có ton ti trật tự ở các điểm trung tâm của Internet. Đây là nơi mà một tên máy chủ được đưa vào sẽ được chuyển đổi sang địa chỉ IP phù hợp.
IPv6 là phiên bản tiếp sau của giao thức IP mà cho tới nay còn chưa được sử dụng rộng rãi. Một trong những thay đổi so với phiên bản 4 hiện hành là sự mở rộng của địa chỉ IP tới 128 bit để cho phép đanh địa chỉ cho các hệ thống nhiều thiết bị nhúng và di động dựa vào IP trong tương lai.
IPv6 bao gồm Giao thức An ninh IP (IPsec [IP-Security Protocol]) mà chủ yếu được sử dụng trong lĩnh vực các Mạng Riêng Ảo VPN (Virtual Privàte Network) và cũng có thể được sử dụng độc lập với IPv6. Nhờ sử dụng các VPN với các phương pháp mã hóa an ninh, kênh giao thông và xác thực của các hệ thống may đầu cuối được đảm bảo theo cách thức được yêu cầu, ví dụ, cho các mạng cục bộ không dây WLÀN (Wireless Local Area Network) và các Văn phòng ở nhà hoặc các địa điểm có kết nối mạng. Thông tin về IPsec và VPN là sẵn sàng, ví dụ, từ Văn phòng về An ninh Thông tin của Liên bang Đức.
1.3 Giao tiếp thư điện tử
Các giao thức thư điện tử mà tuân thủ với các đặc tả của SMTP/MIME cho việc trao đổi các thông điệp (RFC 2821, RFC 2045 tới RFC 2049) được yêu cầu cho giao thông của thư điện tử.
Bắt buộc: Hệ thống Tên Miền (DNS - Domain Name System)
Đang được theo dõi: Giao thức Internet (IP) v6 (Internet Protocol)
Bắt buộc: Giao thức Truyền thư Đơn giản (SMTP - Simple Mail Transfer Protocol)/Mở rộng Thư Internet Đã Mục đích (MIME - Multipurpose Internet Mail Extênsions) v1.0
Trong các trường hợp ngoại lệ, có thể cần thiết đưa ra các hộp thư điện tử. Trong trường hợp này, POP3 hoặc IMAP nên được sử dụng như là các tiêu chuẩn được sử dụng phổ biến.
Sự trao đổi có an ninh các thư điện tử là một ứng dụng có khả năng cho giai đoạn tương tác “giao tiếp”. Giao tiếp thư điện tử an ninh bao gồm việc đảm bảo an ninh cho các thư điện tử trong khi truyền từ một người gửi cho tới một người nhận. Ứng dụng này xem xét các thư điện tử trong trạng thái nguyên trạng của chúng.
Việc nắm lấy các chức năng cơ bản của chữ ký điện tử, mã hóa và xác thực, đặc tả ISIS-MTT xem xét một loạt các ứng dụng đối với các qui trình để đảm bảo an ninh cho nghiệp vụ điện tử (ví dụ như, tệp, thư, giao dịch và thời gian “bảo vệ”).
Các Phần 1 tới 6 đặc biệt phù hợp cho việc đảm bảo an ninh cho các giao tiếp của thư điện tử.
1.4 Điện thoại IP
Tiếng nói và điện thoại là một kênh quan trọng và mạnh mẽ của giao tiếp cho các công dân, doanh nghiệp và các cơ quan nhà nước. Các cơ quan nhà nước cũng đang quản lý các trung tâm gọi và đôi khi sử dụng các hệ thống điện thoại với Tiếng nói - qua - IP (VoIP). Với dạng giao tiếp này, các giao diện trong lĩnh vực trình diễn phải được đưa ra thế giới bên ngoài và các giao diện ở phần nền tảng phụ trợ (backend) với các ứng dụng CPĐT phải được làm cho sẵn sàng (Tích hợp điện thoại máy tính - CTI). Điều này có nghĩa là các kết nối VoIP có liên quan tới các ngữ cảnh tới các công chức chuyên trách tương ứng hoặc các nhân viên của trung tâm gọi có thể được đưa ra tới các khách hàng trên các website và dữ liệu nhận được sẽ được hiển thị tới nhân viên mà không có những sự không nhất quán nào ở các phương tiện trung gian.
Giao thức cho việc đanh tin hiệu theo tiêu chuẩn H.323 của ITU-T cùng với các giao thức thuộc về họ này nên được sử dụng để truyền các dữ liệu cho điện thoại IP.
SIP là một tiêu chuẩn cho việc đanh tin hiệu với điện thoại IP (RFC 3261) đã được thiết kế từ IETF. Nó có thể được sử dụng cùng với các giao thức bổ sung cho sự truyền dữ liệu như một lựa chọn thay thế cho H.323.
Bắt buộc: Giao thức Bưu Điện (POP - Post Office Protocol) v3/Giao thức Truy cập Thông điệp Internet (IMAP - Internet Message Access Protocol) v4rev1
Bắt buộc: Đặc tả Tính tương hợp Chữ ký Công nghiệp - MailTrust (ISIS-MTT) v1.1, Phần 1 tới Phần 6 (Industrial Signature Interoperability Specification – MailTrust)
Được khuyến cáo: H.323
Đang được theo dõi: Giao thức Khởi tạo Phiên (SIP) v2.0 (Session Initiation Protocol)
1.5 Các giao thức ứng dụng
Giao thức Truyền Tệp (FTP, RFC 959) được xem xét cho tiêu chuẩn để truyền tệp. FTP là một trong những dịch vụ Internet làu đời nhất. FTP cho phép sử dụng được việc chia sẻ các tệp, nó đưa ra cho những người sử dụng các giao diện người sử dụng được tiêu chuẩn hóa cho các dạng hệ thống tệp khác nhau, và truyền các dữ liệu theo một cách thức có hiệu quả và tin cậy. FTP thường nhành hơn một chut so với HTTP khi các tệp lớn hơn sẽ được tải về.
Vì FTP không mã hóa bất kỳ dữ liệu nào, bao gồm cả các mật khẩu, trước khi gửi đi, nên nó không nên được sử dụng cho các ứng dụng với yêu cầu an ninh cao. Trong những trường hợp như vậy, các phương pháp được đảm bảo an ninh, như SSH-2 và TLS, mà cũng được mô tả trong phần này, phải được sử dụng.
HTTP v1.1 (RFC 2616) nên được sử dụng cho các giao tiếp giữa máy trạm và máy chủ web. Tuy nhiên, các máy chủ web cũng nên hỗ trợ HTTP v1.0 (RFC 1945) để bổ sung cho phiên bản 1.1.
Tiêu chuẩn về Cơ chế Quản lý Tính trạng HTTP (HTTP State Management Mechanism) (RFC 2965) nên được sử dụng khi Quản lý Phiên HTTP và các cookies được sử dụng. Đối nghịch với phiên bản 1.0, chức năng tải lên và tải về của HTTP v1.1 đưa ra lựa chọn được gọi là “các thư mục web”. Các hệ thống Chat có thể khởi tạo việc tải lại các website thông qua HTTP v1.1.
OSCI là kết quả của sự cạnh tranh của MEDIA@Komm. OSCI bao trùm một loạt các giao thức phù hợp cho các yêu cầu CPĐT và được nhóm chỉ đạo OSCI triển khai. Mục tiêu là để hỗ trợ các giao dịch ở dạng các dịch vụ web và việc quản lý chúng hoàn toàn thông qua Internet.
OSCI Transport 1.2 là một phần của “OSCI” có trách nhiệm cho các nhiệm vụ liên khu vực trong lĩnh vực an ninh. Sự tồn tại của một trung gian trung tâm có thể thực hiện được các dịch vụ giá trị gia tăng mà không làm hại tới tính bí mật ở mức dữ liệu các trường hợp nghiệp vụ là một tính năng đặc trưng của triển khai an ninh các qui trình CPĐT có sử dụng OSCI.
Như một giao thức truyền an ninh, nó cho phép các giao dịch trực tuyến ràng buộc (thậm chí tuân thủ với Luật về Chữ ký Số của Đức).
Bắt buộc: Giao thức Truyền Tệp (FTP - File Transfer Protocol)
Bắt buộc: Giao thức Truyền Siêu văn bản (HTTP) v1.1 (Hypertext Transfer Protocol)
Bắt buộc: Giao diện Máy tính Dịch vụ Trực tuyến (OSCI - Online Service Computer Interface) Transport v1.2
OSCI Transport hỗ trợ giao tiếp không đồng bộ thông qua một trung gian cũng như mã hóa từ đầu này tới đầu kia để truyền các dữ liệu bí mật. OSCI Transport tiêu chuẩn hóa cả các nội dung thông điệp cũng như các chức năng truyền và an ninh và dựa vào các tiêu chuẩn quốc tế (bao gồm, ví dụ, Chữ ký XML, DES, AES, RSA và X.509) mà đối với chúng thì các nội dung phù hợp, cụ thể được phát triển theo yêu cầu.
Các tiêu chí thiết kế trọng tâm cho OSCI Transport, v1.2, từng là như sau: a) Tham chiếu tới các tiêu chuẩn (SOAP, Chữ ký XML, Mã hóa XML) b) Độc lập về kỹ thuật, như truyền có sử dụng bất kỳ giao thức giao tiếp kỹ thuật nào mà không có bất kỳ yêu cầu đặc thù nào về các nền tảng hoặc các ngôn ngữ lập trình c) Khả năng mở rộng Phạm vi các mức an ninh (các chữ ký tiên tiến hoặc các chữ ký điện tử đủ khả năng và/hoặc được thừa nhận theo yêu cầu của ứng dụng đặc thù)
TLS là một giao thức mật mã đảm bảo tính toàn vẹn và tính bí mật của một kết nối giao tiếp trên World Wide Web. Nó đã được phát triển từ giao thức của Tầng Khe cắm An ninh (SSL - Secure Socket Layer). Tiêu chuẩn SSLv3, vẫn còn là bắt buộc trong SAGA phiên bản 2.1, được liệt kê trong Danh sách đung đang tiếp tục. Vì những lý do an ninh, các tiêu chuẩn SSL cũ hơn không nên được sử dụng nữa cho các ứng dụng hiện hành.
TLS dựa vào TCP/IP và các giao thức giao tiếp an ninh cho các ứng dụng, như HTTP, IIOP, RMI, ..., theo một cách thức minh bạch. Các trang web được bảo an bằng TLS được biết tới như với https:// thay vì http://.
TLS đưa ra các cơ chế mật mã sau:
a) Xác thực không đồng bộ các đối tác giao tiếp (thông qua các chứng thực X.509)
b) Trao đổi an ninh các khóa phiên (thông qua mã hóa RSA hoặc thỏa thuận khóa Diffie- Hellman)
c) Mã hóa đồng bộ các nội dung giao tiếp
d) Xác thực thông điệp đồng bộ (thông qua MACs) và bảo vệ chống lại các cuộc phản tấn công
Các nguyên lý vận hành của TLS được mô tả chi tiết trong phần 5.2.2 của Chỉ dẫn về Giới thiệu Chữ ký và Mã hóa Điện tử trong Hành chính được Ủy ban Hợp tác Xử lý Dữ liệu Tự động cho Chính phủ Liên bang, Chính quyền các Bang của Liên bang và Khu vực Hành chính tự trị (KoopA ADV) phát hành. Trong TLS, sự kết hợp các phương pháp khác nhau được tham chiếu tới như một “bộ mật mã”. Một bộ mật mã TLS luôn chứa 4 thuật toán mật mã: một phương pháp chữ ký, một phương pháp trao đổi khóa, một phương pháp mã hóa đối xứng cũng như một hàm băm.
Giao thức SSH-2 là một phiên bản được cải tiến của SSH đã tồn tại từ 1995. Sử dụng một thủ tục xác thực được tiêu chuẩn hóa, nó cho phép mở một đường hầm được mã hóa giữa máy trạm và hệ thống máy chủ và sau đó cho phép dữ liệu của người sử dụng được mã hóa sẽ được gửi và được nhận thông qua tầng vận tải. Những triển khai cài đặt nguồn mở và thương mại khác nhau của giao thức này cho phép mã hóa mạnh các dữ liệu của người sử dụng và cho phep, ví dụ, kiểm soat từ xa các máy tính ở xa và truyền tệp (SSH-FTP). Điều này có nghĩa rằng có một lựa chọn thay thế an ninh cho FTP.
Bắt buộc: An ninh Tầng Vận tải (TLS) v1.0 (Transport Layer Security)
Được khuyến cáo: Trình biên dịch An ninh v2 (SSH-2) (Secure Shell)
WebDAV là một tiêu chuẩn được Đặc Nhiệm Kỹ thuật Internet (IETF) phác thảo có thể được sử dụng như một mở rộng của HTTP cho việc ghi và thay đổi các tệp trong các mạng. Nó vì thế là một lựa chọn thay thế cho FTP. Đối nghịch với FTP, khi dữ liệu được truyền với WebDAV, không cổng bổ sung nào được đưa ra vì WebDAV sử dụng HTTP cổng 80. Truy cập ghi dựa vào các mật khẩu nên được mã hóa, như thông qua HTTPS hoặc TLS. Tuy nhiên, không phải tất cả các ứng dụng hỗ trợ WebDAV cũng hỗ trợ cái gọi là các cơ chế mã hóa.
Được phê chuẩn vào tháng 04/2006, TLS v1.1 là một phát triển tiếp tục của TLS v1.0 đặc trưng cho an ninh được cải thiện. Hỗ trợ TLS v1.1 được lên kế hoạch cho thế hệ tiếp sau của các trình duyệt web.
1.6 Các dịch vụ địa lý
Tất cả các tiêu chuẩn trong phần này hoặc là các đặc tả của Nhóm Không gian Địa lý Mở (OGC) hoặc dựa vào các đặc tả đó. Những phân loại được đồng ý với Hạ tầng dữ liệu địa lý của Đức (GDIDE) và được hướng tới GDI-DE 2007. Định nghĩa về các định dạng cho việc trao đổi thông tin địa lý.
Đặc tả các Dịch vụ Catalogue v1.0 - Hồ sơ Ứng dụng Siêu dữ liệu của ISO là một hồ sơ các ứng dụng cho các dịch vụ catalogue đã được OGC phê chuẩn. Hồ sơ này tham chiếu tới đặc tả cơ bản CSW của OGC và những đặc tả siêu dữ liệu của ISO (ISO 19115, ISO 19119). Nó nên được sử dụng để triển khai các tìm kiếm siêu dữ liệu tuân thủ các tiêu chuẩn. Mục tiêu của hồ sơ WMS-DE là để xác định theo một cách thức ràng buộc các yêu cầu của GDIDE cho một Dịch vụ Bản đồ Web (WMS). Với các dịch vụ WMS sử dụng hồ sơ này, người sử dụng có thể đạt được một trình diễn rộng khắp quốc gia bằng việc kết hợp các bản đồ số và các dữ liệu của một loạt các dịch vụ WMS. Các tham số ràng buộc trong Phạm vi của GDI-DE sẽ làm lợi cho cả các nhà cung cấp trong khi thiết lập các dịch vụ cũng như những người sử dụng khi yêu cầu.
Được khuyến cáo: Tác giả và Phiên bản Phân tán WWW (WebDAV - WWW Distributed Authoring and Versioning)
Đang được theo dõi: An ninh Tầng Vận tải (TLS) v1.1 (Transport Layer Security)
Được khuyến cáo: Đặc tả các Dịch vụ Catalogue v2.0 - Hồ sơ Ứng dụng Siêu dữ liệu của ISO v1.0 (Catalogue Services Specification v2.0 - ISO Matadata Application Profile v1.0)
Được khuyến cáo: Dịch vụ Bản đồ Web của Đức (WMS-DE) v1.0 (Web Map
WCS cho phép truy cập tới các dữ liệu của lưới đã chiều. Dịch vụ này đặc biệt phù hợp cho việc đệ trình các dữ liệu của lưới, như trong các giải pháp cửa hàng, cho việc cung cấp các giá trị được đo đếm ở dạng loạt thời gian, và cho việc cung cấp các mô hình địa hình số.
WFS v1.0.0 cho phép truy cập tới các đối tượng dữ liệu địa lý (các tính năng), thường ở dạng các dữ liệu vector. Dữ liệu được trao đổi theo Ngôn ngữ Đánh dấu Địa lý (GML - Geography Markup Language) v2.1.2.
So sánh với phiên bản tiền bối của nó 1.0.0, WFS v1.1.0 còn chưa được sử dụng rộng rãi. Các dữ liệu được trao đổi theo Ngôn ngữ Đánh dấu Địa lý (GML) v3.1.1.
SFA-2 xác định các giao diện cho việc truy cập các đối tượng dữ liệu địa lý (các tính năng). Cung với OGC, tiêu chuẩn này đã được ISO tiêu chuẩn hóa và vì thế cũng được gọi là ISO 19125-2.
2 Nền tảng phụ trợ
Nền hành chính Đức sử dụng vài hệ thống đã có từ trước mà rất có khả năng giữ lại sử dụng thậm chi trong tương lai (như ERP, xử lý giao dịch máy chủ lớn mainframe, các hệ thống cơ sở dữ liệu và các ứng dụng khác đã có trước đó). Phụ thuộc vào các phương thức vận hành được hỗ trợ, những hệ thống đã có trước đó này có thể được chia thành 3 chủng loại như sau:
a) Xử lý giao dịch có an ninh của những người sử dụng đầu cuối thông qua các hệ thống hội thoại đang tồn tại,
b) Xử lý theo bo dữ liệu không đồng bộ (xử lý dữ liệu theo bộ) và
c) Giao tiếp chương trình với chương trình trên cơ sở các giao thức sở hữu độc quyền.
Được khuyến cáo: Dịch vụ Báo trùm Web (WCS) v1.0.0 (Web Coverage Service)
Được khuyến cáo: Dịch vụ Đặc tính Web (WFS) v1.0 (Web Feature Service)
Được khuyến cáo: Dịch vụ Đặc tính Web (WFS) v1.1 (Web Feature Service)
Được khuyến cáo: Truy cập Đặc tính Đơn giản - Phần 2: Lựa chọn SQL (SFA-2) v1.1.0 (Simple Feature Access - Part 2: SQL option)
Hai lựa chọn thường là sẵn sàng cho việc tích hợp các hệ thống đã có từ trước là:
a) Tích hợp trực tiếp thông qua cái gọi là “các giao diện đã có từ trước” hoặc
b) Tích hợp thông qua một tầng tích hợp tach bạch, với sự gói ghém theo module đối với sự truy cập thực tế tới các hệ thống đã có từ trước.
Các khái niệm giải pháp chi tiết phải được đánh giá và so sánh với quan điểm hướng tới các mục tiêu sẽ đạt được, thời gian và ngan sách sẵn sàng, cũng như các chức năng sẽ được hỗ trợ khi tích hợp hệ thống đã có trước đó.
Các phần sau đây thảo luận về các khái niệm giải pháp khác nhau đã chứng minh được là phù hợp với 3 phương thức vận hành được nhắc tới ở trên.
2.1 Các dịch vụ thư mục và đăng ký
LDAP v3 (RFC 4510 - 4519) là một giao thức Internet dựa vào X.500 được tối ưu hóa cho thông tin có cấu trúc theo tôn ti trật tự và thông tin được sử dụng cho sự truy cập dịch vụ thư mục.
DSML là một ngôn ngữ dựa vào XML được sử dụng để trao đổi các dữ liệu với các dịch vụ thư mục trong quá trình truy vấn và cập nhật. Sử dụng đặc tả này làm cho nó dễ dàng truy cập được tới các dịch vụ thư mục. DSML v2 đã được xuất bản vào năm 2001 như một tiêu chuẩn của OASIS.
ebXML RS mô tả các dịch vụ và giao thức được một đăng ký tuân thủ ebXML đưa ra. Một đăng ký ebXML là một hệ thống mà quản trị một cách an toàn nội dung đặc thù và siêu dữ liệu được tiêu chuẩn hóa, có liên quan. ebXML RIM mô tả mô hình thông tin thích ứng. Các công nghệ này nên được sử dụng cùng nhau.
Bắt buộc: Giao thức Truy cập Thư mục Nhẹ (LDAP) v3 (Lightweight Directory Access Protocol)
Đang được theo dõi: Mô tả, Phát hiện và Tích hợp Vạn năng (UDDI) v2.0 (Universal Description, Discovery and Integration)
Đang được theo dõi: Ngôn ngữ Đánh dấu Dịch vụ Thư mục (DSML) v2 (Directory Services Markup Language)
Đang được theo dõi: Các Dịch vụ và Giao thức Đăng k. ebXML (ebXML RS) v3.0/ Mô hình Thông tin Đăng ký (ebXML RIM) v3.0 (ebXML Registry Services and Protocols / ebXML Registry Information Model)
ebXML RS v3.0 và ebXML RIM v3.0 đã được OASIS phê chuẩn vào ngày 01/05/2005 như là các tiêu chuẩn của OASIS. So sánh với phiên bản v2.0 thì phiên bản v3.0 bổ sung nhiều tính năng hữu dụng, như lập phiên bản cho các nội dung của kho.
2.2 Truy cập các sơ sở dữ liệu
JDBC nên được sử dụng để truy cập tới các cơ sở dữ liệu.
2.3 Truy cập các hệ thống đã có từ trước
Bắt buộc: Kết nối Cơ sở dữ liệu Java (JDBC) v3.0 (Java Database Connectivity)
Bắt buộc: Phương pháp Gọi Từ xa (RMI - Remote Method Invocation)
Bắt buộc: Giao thức Truy cập Đối tượng Đơn giản (SOAP) v1.1 (Simple Object Access Protocol)
Bắt buộc: Ngôn ngữ Mô tả Dịch vụ Web (WSDL) v1.1 (Web Services Description Language)
Bắt buộc: Dịch vụ Thông điệp Java (JMS) v1.1 (Java Message Service)
Bắt buộc: Kiến trúc Bộ kết nối J2EE (JCA) v1.5 (J2EE Connector Architecture)
Được khuyến cáo: Ánh xạ Ngôn ngữ Java tới OMG IDL (Java Language Mapping to OMG IDL).
3 Mã hóa
Các thuật toán mật mã cho mã hóa có thể được áp dụng cho dữ liệu và/hoặc các khóa để đảm bảo sự truyền bí mật của chúng.
3.1 Các phương pháp mã hóa không đối xứng
Các phương pháp mã hóa không đối xứng được yêu cầu, ví dụ, để trao đổi cái gọi là khóa phiên giữa các đối tác giao tiếp. Một khóa phiên là một khóa đối xứng.
Phương pháp RSA là phương pháp không đối xứng quan trọng nhất; nó cũng được tham chiếu tới như là phương pháp khóa công khai. Trong khi mã hóa, bit tiếp nối được mã hóa có sử dụng khóa công khai của đối tác giao tiếp. Sau đó, kết quả văn bản bí mật được mã hóa chỉ có thể được giải mà thành văn bản thông thường từ người nắm giữ khóa cá nhân. An ninh của phương pháp này dựa vào sự khó khăn để tìm thừa số cho các còn số tự nhiên lớn. Các độ dài khóa thông thường là 2048 và 4096 bit. Cơ quan Mạng Liên bang không còn khuyến cáo các khóa 1024 bit nữa. RSA được sử dụng trong khi mã hóa, giống hệt như khi ký.
3.2 Các phương pháp mã hóa đối xứng
Các phương pháp đối xứng, khi được áp dụng, sử dụng cùng y hệt khóa cá nhân để mã hóa và giải mã. Các phương pháp này thường đặc trưng cho hiệu năng rất cao.
AES là một mật mã khối đối xứng với một độ dài khối cố định 128 bit và một độ dài khóa có thể là 128, 192 hoặc 256 bit dài. AES đã được Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) xuất bản vào tháng 10/2000.
Tiêu chuẩn Mã hóa Dữ liệu Ba phần (Triple-DES, còn gọi là 3DES - Triple Data Encryption Standard), vẫn còn được khuyến cáo trong SAGA v2.1, bây giờ trong Danh sách đung đang tiếp tục.
4 Chữ ký điện tử
An ninh của một chữ ký điện tử trước hết phụ thuộc vào độ dài của thuật toán mật mã nằm bên dưới. Đối với vấn đề “chữ ký điện tử.
Được khuyến cáo: Dịch vụ Web (WS) Security v1.1 (Web Service Security)
Bắt buộc: RSA Bắt buộc: Tiêu chuẩn M. hóa Tiên tiến (AES - Advanced Encryption Standard)
Mỗi năm, Cơ quan Mạng liên bang xuất bản Tạp chí liên bang (Federal Gazette) các thuật toán mật mã mà có thể được xem xét sẽ là phù hợp cho it nhất 6 năm tiếp theo với quan điểm về các yêu cầu của Luật Chữ ký Số (SigG) và Chỉ thị về Chữ ký Số (SigV). Để có hiệu lực này, các chiều tối thiểu của các tham số, như kích thước khối và các độ dài khóa, được công bố sẽ cần để đảm bảo an ninh đủ.
Văn phòng Liên bang Đức về An ninh Thông tin (BSI) có thể làm rõ hơn các phương pháp phù hợp.
Một chữ ký số cho các mục đích của Luật bao gồm các thuật toán mật mã sau.
4.1 Dữ liệu băm
Một hàm băm làm giảm các dữ liệu sẽ được ký tới một giá trị băm, nghĩa là một bit liên tục với một độ dài cố định. Điều này sau đó có nghĩa rằng giá trị băm hơn là bản thân dữ liệu đó sẽ được ký.
SHA-256, như một phát triển tiếp của SHA-1 (160 bit dài giá trị băm), là một hàm băm mật mã tạo ra một giá trị băm có độ dài 256 bit.
SHA-224, SHA-384 và SHA-512 (Thuật toán Băm An ninh) là những phát triển của SHA-1 (160 bit dài giá trị băm) và cấu tạo thành các chức năng băm mật mã mà tạo ra các giá trị băm dài hơn (độ dài tương ứng với con số được nêu).
4.2 Các phương pháp ký không đối xứng
Một phương pháp ký không đối xứng cấu thành từ một việc ký và một thuật toán kiểm tra hợp lệ.
Phương pháp ký phụ thuộc vào một cặp khóa cấu thành từ một khóa cá nhân (bí mật) để ký (tạo) và một khóa công khai tương ứng để kiểm tra hợp lệ (kiểm tra) chữ ký đó.
RSA nên được sử dụng cho phương pháp ký không đối xứng.
Bắt buộc: Các thuật toán mật mã cho chữ ký điện tử phù hợp với Cơ quan Mạng Liên bang.
Bắt buộc: Thuật toán Băm An ninh (SHA) - 256 (Secure Hash Algorithm)
Được khuyến cáo: Thuật toán Băm An ninh (SHA) - 224/Thuật toán Băm An ninh (SHA) - 384/Thuật toán Băm An ninh (SHA) -512 (Secure Hash Algorithm)
Bắt buộc: RSA
Được khuyến cáo: Thuật toán Chữ ký Số (DSA - Digital Signature Algorithm) DSA là phương pháp ký được chỉ định trong Tiêu chuẩn Chữ ký Số của Mỹ (DSS) vào năm 1999.
DSA là một thuật toán ký thuần túy. Dù Chính phủ Mỹ đã giành được bằng sánh chế về DSA, thì sử dụng nó là tự do. DSA ít phổ biến hơn RSA. Catalogue thuật toán của Cơ quan Mạng Liên bang đã nhìn thấy trước được các chữ ký điện tử đủ điều kiện từ năm 2008 là ngược với tiêu chuẩn với độ dài các tham số lớn hơn.
Các độ dài khóa thông thường là 2048 và 4096 bit. Cơ quan Mạng Liên bang không còn khuyến cáo các khóa 1024 bit nữa.
4.3 Quản lý khóa
Như một điều kiện tiên quyết cho các ứng dụng để sử dụng các chữ ký số, nó phải có khả năng chỉ định các khóa điện tử công khai (các khóa công khai) cho các cá nhân hoặc cơ quan thực sự. Để đạt được tính tương hợp giữa các ứng dụng khác nhau, các định dạng dữ liệu y hệt nhau phải được diễn ra, và các cơ chế tiêu chuẩn hóa phải được sử dụng để đọc và ghi các dữ liệu.
XKMS chỉ định các giao thức để đăng ký và phân phối các khóa công khai. Các giao thức đã được thiết kế cho sự tương tác với Chữ ký XML và Mã hóa XML và vì thế được sử dụng cho các giao tiếp dựa trên XML, như các dịch vụ web. Đặc tả này có 2 phần, là Đặc tả Dịch vụ Đăng ký Khóa XML (X-KRSS [XML Key Registration Service Specification]) và Đặc tả Dịch vụ Thông tin Khóa XML (X-KISS [XML Key Information Service Specification]).
Các máy trạm có thể sử dụng các yêu cầu XKMS đơn giản tương ứng để tìm và kiểm tra tính hợp lệ các khóa công khai, với việc truy cập của các máy chủ có độ trễ tới các hạ tầng LDAP và OCSP để trả lời những yêu cầu đó. Điều này có nghĩa là sử dụng song song các dịch vụ thư mục khác nhau là có khả năng với chỉ một giao thức.
5 Thẻ thông minh
Các thẻ thông minh là những thẻ chíp với một vi xử lý được tích hợp; chúng cũng được tham chiếu tới như là các thẻ vi xử lý. Đối nghịch với các thẻ chip mà được sử dụng chỉ để lưu dữ liệu (các thẻ nhớ), các thẻ thông minh cũng có thể xử lý các dữ liệu. Các thẻ thông minh có thể phục vụ như một Môi trường An ninh Cá nhân (PSE - Personal Security Environment), để lưu trữ an toàn các chứng thực và các khóa đáng tin cậy, và cũng như một đơn vị tạo chữ ký (an ninh).
Một sự khác biệt được làm giữa các thẻ thông minh tiếp xúc và các thẻ thông minh không tiếp xúc.
Trong khi các thẻ thông minh tiếp xúc đặc trưng cho một bề mặt tiếp xúc bên ngoài, nhìn thấy được, thì các thẻ thông minh không tiếp xúc thiết lập tiếp xúc với các thiết bị đầu đọc bằng giao tiếp không dây (Nhận diện Tần số Radio - Radio Frequency IDentification – RFID).
Được khuyến cáo: Đặc tả Quản l. Khóa XML (XKMS) v2 (XML Key Management Specification)
5.1 Thẻ thông minh tiếp xúc
Các thẻ thông minh tiếp xúc nên tuân thủ tiêu chuẩn ISO/IEC 7816. Tiêu chuẩn này mô tả, ví dụ, các chiều, vị tri các tiếp xúc và nhàn, các thuộc tính cũng như các giao thức truyền.
5.2 Thẻ thông minh không tiếp xúc
Các thẻ thông minh không tiếp xúc với một tỷ lệ truyền tới khoảng 847 kbps - tương ứng với một dải tới 0.1m - nên tuân thủ tiêu chuẩn ISO/IEC 14443. Tiêu chuẩn này mô tả trong 4 phần thiết kế, chức năng và hoạt động của các thẻ thông minh đó. Hộ chiếu điện tử dựa vào tiêu chuẩn này.
Thẻ ID điện tử, hiện đang trong pha lên kế hoạch, cũng đựa vào tiêu chuẩn này.
5.3 Các đầu đọc và các giao diện cho thẻ thông minh
Các ứng dụng thẻ thông minh mà sử dụng các phương pháp mật mã nên xem xét các yêu cầu an ninh để sử dụng các phương pháp mật mã trong các dự án eCard của chính phủ liên bang được mô tả trong chỉ dẫn kỹ thuật BSI TR-03116 từ Văn phòng Liên bang về An ninh Thông tin (BSI).
Các thành phần hỗ trợ cho “Giao diện thẻ Token Mật mã” (Cryptoki) vạn năng nên tuân thủ ISISMTT v1.1, Phần 7 (Giao diện thẻ Token Mật mã).
PC/SC chỉ định một giao diện giữa các đầu đọc thẻ và các ứng dụng.
Bắt buộc: Các thẻ nhận diện - Các thẻ mạch tích hợp (Identification Cards - Integrated circuit cards)
Bắt buộc: Các thẻ Nhận diện - Các thẻ mạch tích hợp không tiếp xúc (Identification Cards - Contactless Integrated Circuit Cards)
Bắt buộc: Chỉ dẫn kỹ thuật cho các dự án eCard của chính phủ liên bang (BSI TR-03116) v1.0
Bắt buộc: Đặc tả Tính tương hợp Chữ k. Công nghiệp - MailTrust (ISIS-MTT) v1.1, Phần 7
Đang được theo dõi: Đặc tả Tính tương hợp cho các ICC và các Hệ thống Máy tính Các nhân (PC/SC) v2.0
Đang được theo dõi: Khung Thẻ Mở (OCF) v1.2 (OpenCard Framework) OCF chỉ định một giao diện giữa đầu đọc thẻ và các ứng dụng.
SICCT mô tả một khái niệm cơ bản cho các thiết bị đầu cuối độc lập với các ứng dụng cho các thẻ thông minh dựa vào các tiêu chuẩn ISO/IEC 7816 và ISO/IEC 14443. Các ứng dụng với các yêu cầu an ninh cao hoặc rất cao có thể muốn tuân thủ SICCT.
6 Lưu trữ lâu dài
Với các tài liệu điện tử đang trở nên ngày một phổ biến trong các cơ quan hành chính, thì lưu trữ dài hạn và bền vững đòi hỏi các tiêu chuẩn cho sự lưu trữ mà đảm bảo tính xác thực và trọn vẹn của các tài liệu đó.
TIFF v6.0 nên được sử dụng cho việc lưu trữ dài hạn các đồ họa và các ảnh đen trắng.
Tính tương hợp tối đa là đặc biệt quan trọng trong lĩnh vực ứng dụng này. Điều này giải thích vì sao chỉ các thuộc tính từ “TIFF Đường cơ bản” (Baseline TIFF) sẽ được sử dụng ở đây.
JPEG nên được sử dụng cho việc lưu trữ dài hạn các ảnh, đặc biệt, các ảnh chụp.
XML phù hợp cho lưu trữ dài hạn, tuy nhiên, các sơ đồ có liên quan và các tệp XSL cũng phải được lưu trữ.
Những ví dụ về các ngôn ngữ dựa vào XML cho việc lưu trữ dài hạn bao gồm Mô tả Lưu trữ Mã hóa (EAD - Encoded Archival Description), Ngữ cảnh Lưu trữ Mã hóa (EAC - Encoded Archivàl Context) và Tiêu chuẩn Mã hóa và Truyền Siêu dữ liệu (METS - Metadata Encoding and Transmission Standard).
Đang được theo dõi: Thiết bị đầu cuối Thẻ Chip Tương hợp An ninh (SICCT) v1.10 (Secure Interoperable ChipCard Terminal)
Được khuyến cáo: Định dạng tệp Ảnh được Gắn thẻ (TIFF) v6.0 (Tagged Image File Format)
Được khuyến cáo: Nhóm các Chuyên gia Chụp ảnh Chúng (JPEG - Joint Photographic Experts Group)
Được khuyến cáo: Ngôn ngữ Đánh dấu Mở rộng (XML) v1.0
Được khuyến cáo: ArchiSig, các nguyên tắc cho việc lưu trữ dài hạn an ninh và thuyết phục các tài liệu được ký điện tử.
Dự án ArchiSig đã được nhiều người tham gia triển khai trên thế giới khóa học và công nghiệp cũng như với những người sử dụng dưới sự lành đạo của Trung tâm Khóa học Máy tính Hạ Saxon (Lower Saxon) và cơ quan lưu trữ bang Hạ Saxon. Nó xác định các nguyên tắc nên được giám sát cho việc lưu trữ dài hạn các tài liệu được ký điện tử.
Tiêu chuẩn PDF/A-1 (ISO 19005-1:2005) dựa vào PDF v1.4, với những hạn chế rằng các script được nhúng và siêu dữ liệu được giữ và không có mật khẩu, mà có khả năng chạy được hoặc các dữ liệu âm thanh hoặc video được sử dụng.
Tuân thủ theo ISO 19005-1:2005 có thể được mô tả ở 2 mức khác nhau:
1. PDF/A-1b (cũng được tham chiếu tới như là Mức Tuân thủ B) đại diện cho sự tuân thủ tối thiểu đối với yêu cầu mà sự xuất hiện được sinh ra của tập PDF phải là tái tạo được trên cơ sở dài lâu.
2. PDF/A-1a (cũng được tham chiếu tới như Mức Tuân thủ A) dựa vào Mức B và đòi hỏi bổ sung rằng tệp PDF có thể tìm được (trich được văn bản). PDF/A-1a tuân thủ đầy đủ với các yêu cầu của tiêu chuẩn ISO (tuân thủ đầy đủ).
Tiêu chuẩn này nên được sử dụng cho việc lưu trữ dài hạn các văn bản và trình chiếu. Tiêu chuẩn này đã được ISO thừa nhận có thể được sử dụng để lưu nội dung các tài liệu, mẫu biểu của tài liệu và siêu dữ liệu của tài liệu trong một tệp lưu trữ. Tệp đó cũng có thể được hiển thị mà không có ứng dụng gốc. Một trình chiếu nội dung tự do không rào cản cũng được cung cấp.
Được khuyến cáo: Định dạng Tài liệu Khả chuyển cho Lưu trữ - 1 (PDF/A-1)
Đang được theo dõi: Ngôn ngữ Đánh dấu Mở rộng (XML) v1.1.