Hintergrund

Die vollständig neu konzipierte Version 2.0 des OSCI-Protokolls adressiert das Bedürfnis für sichere Kommunikation in E-Government-Anwendungen. Die Neuauflage des Protokolls setzt vollständig auf internationale Webservice-Standards und ergänzt diese um Funktionalitäten wie asynchrone Kommunikation, Quittungen und um einheitliche Sicherheitsprofile. Damit werden Entwickler von komplizierten Sicherheitskonfigurationen der Webservice-Frameworks entlastet und es muss im Rahmen von Projekten kein Kommunikationsprotokoll spezifiziert werden. Über Kommunikationsprofile können die Sicherheitsmerkmale des Protokolls projektspezifisch konfiguriert werden.

Vollständigkeit

Das Protokoll wurde vollständig implementiert. Somit sind alle Funktionen für das Senden und Empfangen von OSCI 2.0-Nachrichten vorhanden, einschließlich Verschlüsselung, Signatur, Quittungen und asynchrone Mailbox-Funktionalität. Ebenfalls enthalten ist ein als Security Token Service (STS) bezeichneter Dienst, welcher für die verschlüsselte OSCI-Kommunikation zwingend notwendig ist. Ein Komplettpaket steht zum Download bereit. Es enthält die OSCI 2.0 REST-Bridge mit Dokumentation und Beispielen. Die Beispiele sind fertig paketiert und können per Befehl sofort gestartet werden.

Schnittstelle

Die offizielle Spezifikation von OSCI-Transport 2.0 ist, wie die meisten Spezifikationen, technisch umfangreich und sehr formal. Entsprechend aufwändig ist es, sich in die Spezifikation technisch einzuarbeiten. Die Schnittstelle zur Integration in Anwendungen unserer Implementierung legt deshalb besonderen Wert darauf, die komplizierten Details des OSCI-Protokolls und der zugrunde liegenden Webservice-Profilierung weitgehend intern zu behandeln und vor der Anwendungsprogrammierung zu verbergen. Zur weiteren Vereinfachung haben wir das OSCI-Protokoll in einer separaten Komponente gekapselt, welche über eine SOA-Schnittstelle (REST) angesprochen werden kann. Die Lösung kann deshalb mit Anwendungen aus beliebigen Programmierplattformen verwendet werden und ist nicht an Java gebunden wie eine Bibliothekslösung. Alle sicherheitsrelevanten Einstellungen sind an zentraler Stelle zusammengefasst. Dies fördert die Sicherheit und Fehlerfreiheit des integrierten Gesamtsystems.

OSCI 2.0 vs. Web-Services

Im Zusammenhang mit OSCI wird oft die Frage gestellt: Warum benötige ich eigentlich OSCI – ich kann doch ganz einfach Webservices nutzen. Es ist mit den meisten Programmierumgebungen sehr einfach, mithilfe von Webservices eine Funktion aufzurufen, eine Reihe von Parametern zu setzen und die Antwort zu verarbeiten. Aber: Sobald Verschlüsselung und Authentisierung benötigt werden, die Kommunikation asynchron über ein Mailbox-Prinzip erfolgen soll oder Quittungen notwendig sind, steigt der Aufwand erheblich und aus einer Stunde werden viele Wochen. OSCI 2.0 erfindet Technologie nicht neu. OSCI 2.0 nutzt vorhandene Technologie und präzisiert deren Verwendung, um Kommunikationsanforderungen moderner E-Government-Verfahren zu erfüllen. Die Sicherheitsmerkmale werden mithilfe von Profilen konfiguriert, es gibt definierte Quittungs- und Mailbox-Mechanismen. Aus diesem Grund lohnt es sich, einen Blick auf OSCI 2.0 zu werfen.