У нас есть требование передавать документы (HL7 / FHIR и другие) через HTTP (REST), но там, где сетевая архитектура включает несколько переходов через прокси-серверы, которые распаковывают и переупаковывают TLS. Таким образом, шифрование TLS нам не очень помогает, поскольку мы нарушаем закон, если промежуточные прокси-серверы могут видеть данные. (Все это находится в защищенной получастной сети, но это нам не помогает, потому что разные организации владеют разными ящиками, и нам необходимо использовать сквозное шифрование).
Поэтому нам нужно шифрование полезной нагрузки документов, передаваемых с помощью HTTP / REST. Обычный способ сделать это здесь - использовать протокол SOAP и зашифровать конверт.
Каков наилучший механизм для шифрования содержимого / полезной нагрузки данных, транспортируемых с помощью REST? Есть ли для него стандартная или открытая спецификация? В сфере здравоохранения или какой-либо другой отрасли?
Я предполагаю, что одним из возможных способов может быть добавление специального типа контента, который запрашивает зашифрованный контент (на основе S / MIME?) В заголовок HTTP-запроса. После этого FHIR / REST-сервер должен понять из заголовка Accept HTTP-запроса, что контент должен быть зашифрован перед ответом. Думаю, это должно сработать, если сам URL-адрес нечувствителен?
Я также предполагаю, что, возможно, даже открытый ключ для шифрования контента может быть передан в специальном заголовке HTTP-запроса, и сервер может использовать его для шифрования? Или ключи могут быть переданы при настройке системы?
Это осуществимый и приемлемый подход? Обсуждалось ли шифрование полезной нагрузки в работе HL7-FHIR?