as2 in10 schritten

Alexander KükenAlexander KükeneMaileMail: : alexanderalexander@@kuekenkueken..netnet

AS2 in zehn SchrittenAS2 in zehn Schritten

29.05.200429.05.2004 AS2 - In zehn SchrittenAS2 - In zehn Schritten 22

AS2 steht für:AS2 steht für:

MIME-based Secure Peer-to-PeerBusiness Data Interchange over the Internet

Using HTTP


Einordnung der ThematikEinordnung der Thematik

ERP ERP

Konverter Konverter

AS2 Server AS2 ServerInternet (HTTP)


AS2 HistorieAS2 Historie• 1996: Gründung der IETF Working Group for EDI over the

Internet (EDIINT)• August 1996: erster Spezifikationsentwurf für AS1• Dezember 1996: erster Spezifikationsentwurf für AS2• 1997: Start der Kompatibilitätstests für AS1, die dann alle 6 - 12

Monate wiederholt wurden• 2000: Start der Kompatibilitätstests für AS2, die bis heute

wiederholt werden• September 2002: Erhebung des 17. Spezifikationsentwurfs von

AS1 zum IETF-Standard RFC 3335• 2003: Anerkennung der S/MIME 3.1 Spezifikation als Standard

RFC2633• Februar 2004: Veröffentlichung des 15. Spezifikationsentwurfs

von AS2


AS2 in zehn SchrittenAS2 in zehn Schritten

Vom EDI-Interchange zurAS2-Kommunikationen in zehn Schritten


Schritt 1: Generieren einesSchritt 1: Generieren eines Message Message-Digest-DigestUm die Integrität der übermittelten Daten zu verifizierenbenötigt man einen so genannten Message-Digest, derzusammen mit den Daten übermittelt und in einer MDNwieder empfangen wird. Abweichung zwischen Originalund empfangenem Digest zeigen Änderungen währenddes Transfers auf.

EDIInterchange

MD5, SHA1Hash

MessageDigest


Schritt 2: Komprimieren der DatenSchritt 2: Komprimieren der DatenIn diesem optionalem Schritt wird der Interchange miteinem GZIP oder LZ77 kompatiblen Algorithmuskomprimiert. Dadurch können die Daten schnellerübermittelt werden und die Kryptoanalyse wird erschwert.

EDIInterchange GZIP / LZ77 Komprimierter

Interchange


Schritt 3: MIMESchritt 3: MIME Header Header voranstellenvoranstellenInnerhalb der EDIINT Standards wird ein Daten-Objektals MIME-Objekt übertragen. So muss jedes zuübertragene Objekt mit einem oder mehreren RFC-822kompatiblen Headern ausgestattet werden.

KomprimierterInterchange

MIMEHeader

Content-Type: application/edi-x12Content-Transfer-Encoding: base64Content-Length: 605

H7654+Rg2h24f...HRKJfur78G-fg...


Schritt 4: Generieren der SignaturSchritt 4: Generieren der SignaturWiederum wird ein Message Digest generiert, diesmal aufBasis der MIME-Nachricht. Dieser wird dann mit Hilfeeines Private-Keys über RSA/DSA verschlüsselt und überASN.1 als „signedData“ CMS Objekt abgelegt.

MIMENachricht

MD5, SHA1Hash

„signedData“ CMS

RSA/DSA

ASN.1Private Key


Schritt 5: MIMESchritt 5: MIME Header Header voranstellenvoranstellenNun wird die Signatur auf base64 umcodiert und derentsprechende MIME-Header vorangestellt.

„signed data“CMS

MIMEHeader

Content-Type: application/pkcs7-signatur; name=smime.p7s

Content-Transfer-Encoding: base64

Content-Disposition: attachment; filename=„smime.p7s“Content-Length: 496

gj5g7gujg/Tgbjgf67trjh.6FFGHFTZ...

base64


Schritt6: Daten und Signatur zusammenfügenSchritt6: Daten und Signatur zusammenfügenDie EDI-Daten und die Signatur können jetzt unter einemMultipart-MIME-Header zusammengefasst werden.

Interchange mitMIME-Header

Content-Type: multipart/signed;protocol=„application/pkcs7-signature“;micalg=sha1; boundary=„boundary1“

--boundary1Content-Type: application/edi-x2...

H7654+Rg2h24f...--boundary1Content-Type: application/pkcs7-signatur...

gj5g7gujg/Tgbjgf67trjh.6FFGHFTZ...--boundary1--

Sigantur mitMIME-Header


Schritt 7: Nachricht verschlüsseln 1/2Schritt 7: Nachricht verschlüsseln 1/2Soll die Nachricht verschlüsselt übertragen werden, sokommt ein Einweg-Block-Chiffre wie Triple DES oderRS2 zum Einsatz.


Schritt 7: Nachricht verschlüsseln 2/2Schritt 7: Nachricht verschlüsseln 2/2

MIMENachricht

ZufälligerKey

Triple DESRC2

PublicKeyEmpfänger

RSAVerschlüsselter

Key

VerschlüsselteNachricht

ZertifikatAbsender

ASN.1

EnvelopedData

MIMEHeader

Content-Type: application/pkcs7-mime;Smime-type=enveloped-data; name=smime.p7m;Content-Transfer-Encoding: base64Content-Disposition: inline; filename=„smime.p7m“Content-Length: 2962

MDHUIDI8754nfunjt...

Alexander KükenAlexander Küken AS2 - In zehn SchrittenAS2 - In zehn Schritten 1414

Schritt 8: HTTP Schritt 8: HTTP Request Request erstellenerstellenFür die Übertragung muss nun die S/MIME Nachricht miteinem entsprechendem HTTP-Header versehen werden

S/MIMENachricht

HTTPHeader

POST http://www.empfaenger.de/edi HTTP/1.1Host: www.absender.deAS2-From: absenderAS2-To: empfaengerDate: Son, June 20, 2004Subject: EDI MessageMessage-Id: <20040620175400001>Content-Type: application/pkcs7-mime;Smime-type=enveloped-data; name=smime.p7m;Content-Transfer-Encoding: base64Content-Disposition: inline; filename=„smime.p7m“Content-Length: 2962

MDHUIDI8754nfunjt...


Schritt 9: Übermittlung der AS2-NachrichtSchritt 9: Übermittlung der AS2-NachrichtDie nun fertig generierte AS2-Nachricht kann jetzt je nachAngaben im HTTP-Header über HTTP oder HTTPSübermittelt werden.


Schritt 10: Empfang der AS2-MDNSchritt 10: Empfang der AS2-MDNEgal ob eine synchrone oder asynchrone Kommunikationvorliegt, erhält der Absender früher oder später eine MDNvom AS2-Server des Empfängers.

Ein Abgleich der Message-Digest aus der MDN und demin Schritt 1 generierten Message-Digest gibt Aufschluss,ob die Daten korrekt übermittelt wurden.


Synchrone AS2 KommunikationSynchrone AS2 Kommunikation

AS2 ServerHandelspartner 1


HTTP(S) Connect

HTTP(S) Request [AS2-Message]

HTTP(S) Response [AS2-MDN]


Vor- und Nachteile des VerfahrensVor- und Nachteile des Verfahrens• Direkte, verifizierte Antwort innerhalb eines

logischen Ablaufs

• Große Nachrichten können zu einemVerbindungs-TimeOut führen

• Blockieren der Abarbeitung, wenn Verbindungs-Maximum erreicht ist.


Asynchrone AS2 KommunikationAsynchrone AS2 Kommunikation



HTTP(S) Response

HTTP(S) Connect



HTTP(S) Connect

HTTP(S) Request [AS2-Message]

HTTP(S) Response

HTTP(S) Request [AS2-MDN]


Vor- und Nachteile des VerfahrensVor- und Nachteile des Verfahrens• Direkte Antwort auf Transport-Schicht, wodurch

geringe Verbindungszeiten ermöglicht werden.

• Sender der AS2-Nachricht muss nicht zwingendEmpfänger des AS2-MDN sein.

• Zur Übermittlung des MDN kann auch AS1, alsoSMTP verwendet werden

• Höherer Aufwand um Nachricht und MDNzusammenzuführen


Vorteile von AS2Vorteile von AS2• Kann (fast) jede Art von Geschäftsdokumenten

übermitteln• Flexibel einsetzbar• Nutzt durchgängig Standard-Technologie• Hoher Sicherheitsstandard• Schnelle Refinanzierung, durch geringe laufende

Kosten• Schnell zu implementieren• „Eier legende Wollmilchsau“ ?


ROI: Return of InvestmentROI: Return of InvestmentErgebnisse einer Untersuchung der Drummond Group zum ThemaReturn of Investment bei EDI over the Internet vom Januar 2002

Großes Unternehmen Kleines Unternehmen

Jahresumsatz $25 - $50 Milliarde $160 Millionen

Handelpartner 500+ 5

Bestellungen/Tag 80%+ elektronisch (geschätzt 250K) ca. 250

Rechnung/Tag 80%+ elektronisch (geschätzt 375K) ca. 375

Dauer der Umstellung 2Monate für die Einführung AS1 Einführung in wenigen Tagen

Paralleler Testbetrieb für ein paar Monate

Umstellung eines Partners innerhalb eines Tages

AS2 gerade in Erprobung

Ausfallsicherheit sehr sicher ca. 2 Service-Fehler/Monat bei Asynch VAN

AS1: ca. 2 Service-Fehler innerhalb von 14 Monaten

Kosten geringer als VAN, bei gleichen netto 75% Einsparung gegenüber VAN-Lösung

Softwarekosten ROI: innerhalb der ersten 10 Monate


Problem: ZertifizierungProblem: Zertifizierung• AS2 Produkte müssen einem Interoperabilitäts-Test

unterzogen werden• Das UCC hat die Verantwortung für die Tests an die

Drummond Group übergeben.• Rik Drummond ist verantwortlich für die AS2-

Spezifikation bei der IETF Working Group EDIINT

ÞHohe Zertifizierungskosten durch hohenTestaufwand, die auf die Lizenzen umgeschlagenwerden müssen.

ÞMonopolstellung der Drummond Group


Alternative: OpenAS2Alternative: OpenAS2• Bei OpenAS2 handelt es um eine Open-Source

Implementierung eines AS2-Servers in Java• Kompatibilitäts-Tests durch Anwender• Zur Zeit ist OpenAS2 interoperabel mit iSoft v3.1.5,

Cyclone Interchange v4.2.2.1, Cleo Lexicom v2.0.11und IPNet BizConnect v2.3.1.217

• OpenAS2 befindet sich noch im Beta-Stadium


Wo geht die Reise hin?Wo geht die Reise hin?• Die Thematik AS2 wird primär von Wal-Mart,

als „global Player“, in Zusammenarbeit mit IBMvorangetrieben

• März 2004: Veröffentlichung des zweitenSpezifikationsentwurfs von AS3 (FTP)

• Bis August 2004: Neuer AS2Spezifikationsentwurf oder Ernennung zum RFC

• ASx hat das Potential, neuer de-facto Standardfür Messaging im B2B-Bereich zu werden, auchwenn es Konkurrenzverfahren gibt


QuellenQuellenMIME-based Secure Peer-to-Peer Business Data Interchange over the

Internet Using HTTP (draft-ietf-ediint-as2-15)Compressed Data for EDIINT(draft-ietf-ediint-compression-03)FTP Transport for Secure Peer-to-Peer Business Data Interchange over the

Internet (draft-ietf-ediint-as3-02)IETF RFCs: MIME-based Secure EDI (RFC3335), MIME Encapsulation of

EDI Objects(RFC1767), S/MIME 3.1 (RFC2633)EDI over the Internet Return on Investment Two surveys included January

2002 By Drummond Group Inc.Brockmann B2B Blogging (http://www.brockmann.com/B1325096589/)The 5 Keys to AS2 and The B2B Process Architecture by Peter Brockmann,

Vice-President Marketing bTrade (www.btrade.com)EDI: Alive and Well After All These Years by Carol Sliwa, Computerworld

(http://www.computerworld.com/printthis/2004/0,4814,93808,00.html)OpenAS2 Compatability by David Pittman (http://openas2.sourceforge.net)iSoftTM EDI-INT AS2 Steps by iSoftTM Corporation

(http://www.isoft.com/iSoft_EDI_Demo/)


CopyrightCopyrightAttribution-NonCommercial-ShareAlike 2.0 Germany

You are free:• to copy, distribute, display, and perform the work• to make derivative works

Under the following conditions:• Attribution. You must give the original author credit.• Noncommercial. You may not use this work for commercial purposes.• Share Alike. If you alter, transform, or build upon this work, you may distribute the resulting

work only under a license identical to this one.

• For any reuse or distribution, you must make clear to others the license terms of this work.• Any of these conditions can be waived if you get permission from the copyright holder.

Your fair use and other rights are in no way affected by the above.

Copyright 2004 by Alexander KükenThis work is licensed under the Creative Commons Attribution-NonCommercial ShareAlike License. To view a copy of this license,visit http://creativecommons.org/licenses/by-nc-sa/2.0/de/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford,California 94305, USA.