У нас есть требование о передаче документов (HL7/FHIR и других) через HTTP (REST), но где сетевая архитектура включает в себя несколько переходов через прокси, которые распаковывают и переупаковывают TLS. Таким образом, шифрование TLS не очень помогает нам, так как мы нарушаем закон, если прокси-серверы могут видеть данные. (Все это находится в безопасной полу-частной сети, но это не помогает нам, потому что разные организации владеют разными блоками, и нам необходимо иметь сквозное шифрование).Как я могу защитить содержимое FHIR/REST
Для этого нам необходимо шифрование данных документов, переданных с помощью HTTP/REST. Общий способ сделать это здесь - использовать SOAP и шифровать конверт.
Каков наилучший механизм для передачи данных с помощью REST-контента? Существует ли стандартная или открытая спецификация? В здравоохранении или в какой-то другой отрасли?
Я полагаю, что одним из возможных способов может быть добавление специального типа содержимого, который запрашивает зашифрованный контент (на основе S/MIME?) В заголовок запроса HTTP. Затем сервер FHIR/REST сможет понять из заголовка Accept-HTTP HTTP-запроса, что контент должен быть зашифрован перед ответом. До тех пор, пока сам URL-адрес не чувствителен, я думаю, это должно сработать?
Я полагаю, что, возможно, даже открытый ключ для шифрования содержимого может быть передан в специальном заголовке HTTP-запроса, и сервер может использовать его для шифрования? Или ключи могут использоваться для настройки системы?
Насколько это возможно и подходит? Шифрование полезной нагрузки обсуждалось в работе HL7-FHIR?