Add to collection(s) Add to saved
  1. Engineering
  2. Informatica
  3. Java (programmeertaal)

UZI-pas in gebruik

advertisement 
UZI-pas in gebruik
Maarten Schmidt
Risk en Security manager
22 november 2012
Remco Schaar
Consultant
UL Transaction Security service
Inhoud
Agenda
 Gebruik UZI-pas, wat gaat er wijzigen
 Alternatief gebruik UZI-pas
 Alternatieven UZI-pas
 Implementatie gebruik UZI-pas
 UZI-pas & software
Waarom UZI-pas?
Identificatie
Authenticatie
wie ben je?
wat ben je?
UZI-register
Autorisatie
Patiëntendossier
wat mag je?
Systemen
Processen
Logging
wat heb je
gedaan?
Wat voor UZI-pas?
A Authenticiteit
V Vertrouwelijkheid
Abonnee / Zorgaanbieder
A
A
Zorgverlener V
Medewerker V
op naam
H
H
A
Medewerker
niet op naam V
Servercertificaat
H Handtekening
Persoon
A
V
Organisatie
Wat gebruikt AORTA?
A Authenticiteit
V Vertrouwelijkheid
Abonnee / Zorgaanbieder
A
A
Zorgverlener V
Medewerker V
op naam
H
PKIO en UZI
H
A
Medewerker
niet op naam V
Servercertificaat
PKIO en UZI
H Handtekening
Persoon
Binnen AORTA
worden
hoofdzakelijk het
servercertificaat en
medewerker op
naam gebruikt.
A
V
Organisatie
Gebruik UZI-pas
 Geen nieuwe techniek in 2012
voor XIS-leveranciers
Inpassing in het werkproces
 Lage administratieve belasting aanvraagproces
 Meerdere gebruikers per werkstation
 Wisselende werkplekken
Alternatief gebruik UZI-pas
 RFID, contactloze interface icm met huidige
UZI-pas niet mogelijk.
 Meer functies op één pas lijken mogelijk maar
moeilijk verenigbaar met ETSI en wettelijke
bepalingen.
Alternatieven UZI-pas
 Onderzoek naar:
 Wijzigen aantal certificaten op UZI-pas
 Meerdere functies op een pas integreren
(draadloze interface /aparte chip)
Bluetooth UZI-Paslezer
 Resultaat het werkt al in de praktijk (HAP)
 Meer proeven met Bluetooth UZI-paslezer om
alternatief gebruik te verbreden
Biometrie en de UZI-pas?
Pincode
Koppeling biometrische
gegevens lijkt mogelijk
 Hiermee wordt vast gehouden aan zgn twee
factor authenticatie:
1. Iets dat je hebt (UZI-pas) en
2. Iets dat
 Je weet (PIN-code) of
 Je bent (vingerafdruk)
 Eisen aan implementatie en biometrie devices
Pasbatterij +
biometrische gegevens?
Pasbatterij
Implementatie UZI-pas
Gebruik UZI-pas als authenticatiemiddel
 Controle geldigheid pas (niet ingetrokken en
nog geldig)
 Controle geldigheid hiërarchie van CA’s tot Staat
der Nederlanden Root CA
 Controle PIN versus persoonlijke key op pas
 Hoort de PIN bij de betreffende persoon die
ingelogd is!
UZI-pas & software
Remco Schaar
Technisch Consultant
22 november 2012
Inhoud
Introductie
UZI-pas en software
Architectuur scenario’s
Voorbeeld code
Demo
16
Introductie: use cases
 Authenticatie
 Inloggen (lokaal)
 Smartcard logon
 Web applicaties
 Authenticatie LSP (token authenticatie)
 Elektronische handtekening
 Wettelijk (onweerlegbaarheid)!
 EMD+
 Intern
 Vertrouwelijkheid (encryptie)
 Email
 Bestanden
17
Introductie: functioneel
 Identificatie




UZI-nummer
Rolcode
URA
Naam (formeel) + titel
 Type




Zorgvelener
Medewerker
Medewerker niet op naam
(Server)
18
Introductie: techniek
 UZI-pas standaarden




ISO 7816 (PKCS#11)
PC/SC
X509
Windows certificate store
 Toepassingen





SSL / TLS
XML-signature / WS-Signature (token authenticatie)
Smartcard logon
S/MIME (e-mail encryptie)
Overig: RSA, SHA-1/SHA-2, random
19
Introductie: server certificaten
 Authenticatie
 Encryptie (vertrouwelijkheid)
 = 1 certificaat
 Software token
 Bescherming vereist
 HSM mogelijk
20
Inhoud
Introductie
UZI-pas en software
Architectuur scenario’s
Voorbeeld code
Demo
21
UZI-pas en software
 3-lagen:
 PC/SC (bytes)
 PKCS#11 (crypto functie calls)
 Hoger niveau libraries
 Java keystore
 .Net certificate store
22
UZI-pas en software:
hiërarchie
23
UZI-pas en software:
Windows Certificate Store
 Waar komen de CA-certificaten?
 2 groepen
 Root CA’s
 = Staat der Nederlanden (G1/G2)
 Intermediate CA’s
 Overheid CA (G1 / G2)
 Zorg CSP (G1 / G2 / G21)
 Zorgverlener CA (G1 / G2 / G21)
 Medewerker op naam CA (G1 / G2 / G21)
 Medewerker niet op naam CA (G1 / G2 / G21)
 Server CA (G1 / G2 / G21)
 GetronincsPinkRocade/KPN (LSP certificaat)
24
Inhoud
Introductie
UZI-pas en software
Architectuur scenario’s
Voorbeeld code
Demo
25
Architectuur:
single user “desktop”
Desktop
applicatie
26
Architectuur:
single user “desktop” + ZIM
Token
Desktop
applicatie
ZIM
X509
server
27
Architectuur:
client-server
Desktop
client
Server
applicatie
28
Architectuur:
client-server + ZIM
Token
Desktop
client
Server
applicatie
ZIM
X509
server
29
Architectuur:
web-based
Browser
Webserver
applicatie
30
Architectuur:
web-based + ZIM
Applet
Token
Browser
Webserver
applicatie
ZIM
X509
server
31
Architectuur:
thin-clients
Thin
client
Applicatie
?
32
Architectuur:
thin-clients + ZIM
Thin
client
Applicatie
?
ZIM
X509
server
Token
Inhoud
Introductie
UZI-pas en software
Architectuur scenario’s
Voorbeeld code
Demo
34
Voorbeeld code: 3x
 Java TA / EMD+
 Token Authenticatie
 Elektronische handtekening
 .Net EMD+
 Elektronische handtekening
 Java TA, ART-DECOR geïntegreerd
 Token Authenticatie
 Single user desktop, pin invoer
 C-code direct ISO 7816
 Voorbeeldcode:
http://www.nictiz.nl/page/Standaarden/AORTA/AORTA-2011-Html
35
Voorbeeld: Java TA / EMD+
 Java KeyStore
 Building & signing (TA / EH) tokens:
 String + crypto function calls
 XML-Signature library
 WS-Signature library
36
Voorbeeld: .Net EMD+
 Windows certificate Store
 Microsoft crypto-API
 Visual basic .Net
 WS-Signature
37
Voorbeeld: Java ART-DECOR
 Basis: andere Java voorbeeld
 Single user / desktop applicatie
 Integratie als eXist-plugin
 Pincode popup (AWT)
38
Inhoud
Introductie
UZI-pas en software
Architectuur scenario’s
Voorbeeld code
Demo
39
Vragen?
“Distrust and caution are the parents of security.”
Benjamin Franklin
40
Related documents
De voordelen van een client-server applicatie
De voordelen van een client-server applicatie
UZI-passen en mandatering - Huisartsenposten Nijmegen en Boxmeer
UZI-passen en mandatering - Huisartsenposten Nijmegen en Boxmeer
Taakomschrijving rollen NEN informatiebeveiliging
Taakomschrijving rollen NEN informatiebeveiliging
Hoi Steven
Hoi Steven
Rijnlands kapitalisme in crisistijd
Rijnlands kapitalisme in crisistijd
doelgroep - WordPress.com
doelgroep - WordPress.com
handleiding werken op afstand op afstand
handleiding werken op afstand op afstand
PO spelen met vorm (2014)
PO spelen met vorm (2014)
Unieke Zorgverlener Identificatie Register (UZI
Unieke Zorgverlener Identificatie Register (UZI
Architecture and social change
Architecture and social change
Download
advertisement