Komunikacja A2A - KDPW

Komunikacja A2A

Informacje podstawowe

Komunikacja elektroniczna z KDPW w ramach interfejsu A2A odbywa się w oparciu o połączenia IBM MQ zestawiane z dedykowanym menadżerem kolejek MQ oraz dedykowane kolejki komunikacyjne służące do wymiany komunikatów pomiędzy systemem uczestnika a usługami KDPW (usługi csd *, ARM, RT EMIR, RT SFTR, LEI).


Model komunikacji A2A zakłada separację wymiany komunikatów w ramach poszczególnych usług, co oznacza, że dla każdej z usług przewidziane są odrębne kolejki MQ identyfikowane poprzez nazwę. W związku z tym, że zasady komunikacji A2A dopuszczają wprowadzenie na poziomie poszczególnych usług określonego (jednego lub wielu) protokołu wymiany informacji z uczestnikami, separacja obejmuje również obsługę poszczególnych protokołów w ramach pojedynczej usługi. Jako protokół komunikacyjny należy w tym wypadku rozumieć zbiór ścisłych reguł oraz formatów zapisu danych, które są wymagane do skutecznego nawiązania komunikacji na bazie standardowego połączenia MQ.

Komunikacja A2A przewidziana jest zarówno w ramach środowiska produkcyjnego (PRD) jak i środowisk testowych (TST, EDU). Zasady funkcjonowania komunikacji we wszystkich tych środowiskach są jednakowe, natomiast w obszarze komunikacyjnym parametry konfiguracyjne umożliwiające połączenie mogą się od siebie różnić. Parametry połączenia są określane indywidualnie według ustalonego schematu.

Ustanowienie komunikacji z wykorzystaniem interfejsu A2A jest możliwe wyłącznie w przypadku, gdy przewidują to zasady dotyczące komunikacji określone w regulaminie danej usługi. Zasady dotyczące nawiązywania komunikacji A2A zostały określone jednolicie dla wszystkich usług w Regulaminie ustanawiania komunikacji elektronicznej poprzez połączenia systemowe.

* w okresie przejściowym (do czasu przełączenia na nowe zasady komunikacji) uczestników bezpośrednich KDPW obowiązują dotychczasowe zasady ustanawiania komunikacji A2A w ramach systemu SWI


Jak ustanowić komunikację poprzez interfejs A2A? 

Krok 1: Warunki formalne
Uczestnik
Uczestnikiem jest podmiot, który na podstawie regulaminu danej usługi zawarł z KDPW umowę o uczestnictwo i któremu został nadany czteroznakowy kod instytucji. W ramach komunikacji A2A uczestnik może uzyskać dostęp zarówno do środowiska produkcyjnego, jak i środowisk testowych (TST, EDU).

Podmiot wnioskujący o uczestnictwo
W przypadku podmiotu, który zamierza zostać uczestnikiem usługi KDPW, ale nie otrzymał jeszcze tego statusu, możliwe jest uzyskanie dostępu do interfejsu A2A wyłącznie w zakresie korzystania ze środowisk testowych aplikacji (TST, EDU). Udostępnienie komunikacji A2A takiemu podmiotowi wymaga uzyskania przez ten podmiot od KDPW czteroznakowego kodu instytucji. Ostatecznie uzyskanie przez podmiot statusu uczestnika, przy jednoczesnym pozostawieniu przypisania kodu instytucji, pozwoli na utrzymanie ustanowionych wcześniej połączeń A2A do środowisk testowych oraz o wystąpienie o ustanowienie połączeń do środowiska produkcyjnego.

Dostawca rozwiązań informatycznych (deweloper)
W przypadku podmiotu wytwarzającego oprogramowanie dla uczestników usług KDPW, możliwe jest uzyskanie dostępu do interfejsu A2A wyłącznie w zakresie korzystania ze środowisk testowych aplikacji KDPW. Udostępnienie komunikacji A2A takiemu podmiotowi wymaga uzyskania przez ten podmiot od KDPW czteroznakowego kodu instytucji.

W przypadku podmiotów wnioskujących o uczestnictwo lub dostawców rozwiązań informatycznych uzyskanie kodu instytucji możliwe jest po spełnieniu określonych wymagań formalnych: Dostęp do środowisk testowych aplikacji KDPW dla podmiotów nie będących uczestnikami KDPW.
Krok 2: Pobranie certyfikatu elektronicznego do komunikacji A2A
Za podstawowy mechanizm uwierzytelniania drugiej strony w połączeniach MQ przyjęto protokół TLS z wykorzystaniem certyfikatów PKI wystawianych przez urząd certyfikacji KDPW. Do zestawienia połączenia A2A niezbędne jest pobranie certyfikatu elektronicznego dla posiadanego kodu instytucji. Uzyskany certyfikat pozwala na ustanowienie szyfrowanego połączenia TLS oraz uwierzytelnienie się systemu uczestnika do dedykowanego kanału komunikacyjnego w ramach MQ.
Certyfikat można pobrać z wykorzystaniem aplikacji Certyfikaty A2A dostępnej w Portalu usług KDPW, po otwarciu konta dostępowego oraz uzyskaniu dostępu do tej aplikacji, zgodnie z zasadami wskazanymi w ramach opisu dostępu do interfejsu U2A.

Aplikacja Certyfikaty A2A pozwala na zarządzanie certyfikatami elektronicznymi wykorzystywanymi do uwierzytelnienia się systemów do komunikacji opartej o kolejki MQ. Aplikacja pozwala uzyskać certyfikaty zarówno do środowiska produkcyjnego (PRD) jak i testowego (TST lub EDU). Z wykorzystaniem jednego pobranego certyfikatu uczestnik może uwierzytelniać kanały komunikacyjne do wszystkich usług KDPW, w których komunikacja A2A jest dostępna oraz, w których uczestnik występuje lub w przyszłości będzie występował pod tym samym kodem instytucji.

Instrukcja sposobu pobrania oraz zarzadzania certyfikatami znajduje się bezpośrednio w aplikacji Certyfikaty A2A w zakładce „Pomoc”.
Krok 3: Wniosek o ustanowienie połączenia sieciowego
Połączenie sieciowe ustanawiane jest w kontekście posiadanego kodu instytucji oraz wybranej metody połączenia wraz z przyjętymi dla niego parametrami sieciowymi.

Ustanowienia połączenia A2A w ramach określonej usługi wymaga:

  • złożenia w KDPW wniosku o ustanowienie komunikacji A2A oraz dodatkowych wymogów, jeśli są przewidziane dla danej usługi

    Wniosek o ustanowienie komunikacji A2A

    a następnie
  • wymiany informacji technicznych dotyczących nawiązania połączenia wraz ze wskazaniem parametrów połączeniowych.

Uwaga: Parametry połączeniowe niezbędne do poprawnego zestawienia połączenia z menadżerami kolejek MQ po stronie KDPW są udostępniane w ramach procesu budowy tego połączenia. Informacje te, jak również schemat nazewnictwa dla konfiguracji MQ, są również dostępne w aplikacji Certyfikaty A2A w zakładce „Parametry połączeń MQ”.
Krok 4: Konfiguracja łącza telekomunikacyjnego
KDPW umożliwia tożsame podłączenie do swojej infrastruktury zarówno w swojej lokalizacji podstawowej jak i zapasowej. Możliwe jest skorzystanie z infrastruktury dwóch niezależnych operatorów sieci MPLS w każdej z wymienionych lokalizacji oraz z globalnej sieci Internet.

Dostęp KDPW do sieci MPLS oraz Internet zrealizowany jest w oparciu o protokół BGP, przy wykorzystaniu łącz teletransmisyjnych podłączonych do dwóch niezależnych operatorów telekomunikacyjnych. Rozwiązanie takie zapewnia wysoki poziom odporności na awarie sieci. W celu zapewnienia bezpieczeństwa transmisji danych, komunikacja A2A odbywa się za pośrednictwem bezpiecznych kanałów TLS.

Ze względu na wysoką niezawodność oraz gwarancję pasma, MPLS jest preferowaną technologią przy wymianie danych z KDPW.

Przy wyborze sieci Internet, dodatkowo, stosowany jest tunel VPN realizowany w oparciu o protokół IPSec z uwierzytelnianiem za pomocą klucza wstępnego PSK. Wykorzystanie protokołów TLS i IPSec zapewnia możliwość uwierzytelnienia obydwu stron połączenia oraz gwarantuje zachowanie poufności i integralności danych na poziomie warstwy transportowej. Należy mieć na uwadze, że dostęp za pomocą sieci Internet nie zapewnia określonej przepustowości ani czasu odpowiedzi. Techniczne parametry połączenia takie jak: dostępne pasmo, chwilowa przepustowość, czy też bezawaryjność dostępu do sieci, zależne są od jakości usługi oferowanej przez danego operatora telekomunikacyjnego oraz chwilowego obciążenia sieci.
Krok 5: Nawiązanie i weryfikacja połączenia
Weryfikacja poprawności ustanowienia połączenia jest przeprowadzana na urządzeniach sieciowych, w ramach systemów informatycznych KDPW. Ze względu na różne rozwiązania po stronie kontrahenta nawiązującego połączenie, a także różne polityki bezpieczeństwa, KDPW nie dokonuje weryfikacji połączenia poza własną infrastrukturą, podobnie jak nie diagnozuje ewentualnych źródeł problemów w ramach systemów własnych kontrahentów.

Weryfikacja połączenia (dotyczy warstw od L1 do L4 określonych w ramach modelu OSI) i obejmuje sprawdzenie poprawności zestawienia sesji w ramach połączenia z systemem KDPW, z uwzględnieniem zestawienia tunelu VPN (w przypadku połączenia IPSec over Internet ) lub sesji BGP (przy użyciu MPLS).

Po potwierdzeniu poprawnego działania połączenia sieciowego KDPW, przekazuje kontrahentowi informacje o utworzeniu konfiguracji MQ zawierającej w szczególności nazwy obiektów MQ zastosowanych w danej usłudze. Pozwala to na zweryfikowanie połączenia MQ.

Sprawdzenie połączenia z MQ (warstwy L5-L7 modelu OSI) inicjowane jest przez kontrahenta i polega na zweryfikowaniu możliwości połączenia ze wskazaną kolejką MQ oraz wysłania komunikatu testowego i odebrania odpowiedzi.
Wymogi w zakresie komunikacji A2A dla poszczególnych usług
Usługi csd:
Wskazanie osoby upoważnionej do przesyłania informacji poprzez połączenie systemowe z KDPW - oświadczenie, które należy złożyć z wnioskiem o ustanowienie komunikacji A2A w ramach środowiska produkcyjnego do usług csd