Arquitetura da Plataforma X-Via
1. Serviços Centrais (Central Services)
Os Serviços Centrais constituem o núcleo de governança e distribuição de configuração da infraestrutura X-Via, sendo compostos pelos componentes Servidor Central (Central Server) e Proxy de Configuração (Configuration Proxy).
O Servidor Central é responsável por manter o registro autoritativo dos membros da instância X-Via e de seus respectivos Servidores de Segurança. Adicionalmente, armazena e gerencia a política de segurança da instância, incluindo:
• Lista de Autoridades Certificadoras (CAs) confiáveis;
• Lista de Autoridades de Carimbo de Tempo (TSAs) confiáveis;
• Parâmetros globais de configuração.
Essas informações são disponibilizadas aos Servidores de Segurança por meio de distribuição periódica via HTTP, compondo a chamada configuração global (global configuration). Essa configuração é essencial para o correto funcionamento da federação, pois orienta a validação de identidades, confiança e o roteamento seguro de mensagens.
O Operador da instância X-Via é responsável pela administração e operação do Servidor Central.
O Proxy de Configuração é um componente opcional que atua como um ponto intermediário para distribuição da configuração global. Seu funcionamento consiste em:
1 . Obter a configuração global a partir do Servidor Central;
2 . Redistribuí-la de forma segura aos Servidores de Segurança.
Esse mecanismo melhora a resiliência e disponibilidade da infraestrutura, reduzindo a carga sobre o Servidor Central e introduzindo redundância no fornecimento da configuração.
2. Servidor de Segurança (Security Server)
O Servidor de Segurança representa o elemento operacional fundamental da X-Via, funcionando como gateway de interoperabilidade seguro entre sistemas de informação.
Ele é obrigatório tanto para provedores quanto para consumidores de serviços, sendo responsável por:
• Mediação de requisições e respostas entre sistemas;
• Garantia de comunicação segura (TLS mútuo);
• Assinatura digital e autenticação de mensagens;
• Geração de evidências criptográficas (não repúdio);
• Carimbo de data/hora e registro de transações (logging auditável).
O Servidor de Segurança abstrai a complexidade da infraestrutura, oferecendo interfaces padronizadas baseadas em:
• REST
• SOAP
Essa padronização garante transparência para aplicações, que interagem de forma homogênea independentemente do papel (consumidor ou provedor).
Multi-tenancy
Um único Servidor de Segurança pode operar em regime multi-inquilino (multi-tenant), permitindo que múltiplas organizações sejam hospedadas. Nesse modelo:
• O operador do servidor é o proprietário (owner);
• As organizações atendidas são clientes (clients).
Gestão de Chaves e Certificados
O modelo criptográfico distingue dois tipos de chaves:
• Chaves de autenticação: associadas ao Servidor de Segurança, utilizadas para estabelecer canais seguros entre servidores;
• Chaves de assinatura: associadas aos clientes, utilizadas para assinatura das mensagens.
Os certificados correspondentes devem ser emitidos exclusivamente por Autoridades Certificadoras confiáveis, previamente registradas no Servidor Central.
Dependência da Configuração Global
Para operar, o Servidor de Segurança mantém uma cópia local da configuração global, atualizada periodicamente. Esse mecanismo permite:
• Operação contínua mesmo em cenários de indisponibilidade temporária do Servidor Central;
• Redução de latência na validação de confiança.
Da mesma forma, informações de validade de certificados (via OCSP) são armazenadas em cache local, reforçando a resiliência operacional.
Alta Disponibilidade e Escalabilidade
O componente suporta:
• Balanceamento de carga interno (client-side load balancing);
• Balanceamento externo, para cenários de alta escalabilidade.
3. Sistemas de Informação (Information Systems)
Os Sistemas de Informação são os participantes funcionais da X-Via, responsáveis por produzir e/ou consumir serviços interoperáveis no ecossistema estadual.
Cada sistema pertence a um membro da rede X-Via e interage com a infraestrutura exclusivamente por meio do Servidor de Segurança.
A X-Via suporta:
• Serviços REST , descritos via OpenAPI 3 ;
• Serviços SOAP , descritos via WSDL.
Não há suporte nativo para transformação automática entre protocolos.
Publicação e Descoberta de Serviços
• Provedores expõem serviços através do Servidor de Segurança;
• Consumidores utilizam o protocolo de metadados da X-Via para descoberta de serviços e membros disponíveis.
Serviços REST podem ser publicados sem alteração estrutural, enquanto serviços SOAP devem aderir ao protocolo específico da X-Via.
4. Autoridade de Carimbo de Tempo (Time-Stamping Authority - TSA)
A TSA é responsável pela emissão de carimbos de tempo confiáveis, garantindo a prova de existência temporal das mensagens trocadas.
Todos os eventos transacionais (requisições e respostas) são:
• Carimbados temporalmente;
• Registrados de forma auditável.
A X-Via utiliza carimbo de tempo em lote (batch timestamping) , o que otimiza a carga operacional, tornando-a proporcional ao número de Servidores de Segurança - e não ao volume de mensagens.
A utilização é restrita a TSAs previamente definidas como confiáveis no Servidor Central.
5. Autoridade Certificadora (Certification Authority - CA)
A Autoridade Certificadora (CA) é responsável pela emissão dos certificados digitais utilizados na infraestrutura X-Via, incluindo:
• Certificados de autenticação (para Servidores de Segurança);
• Certificados de assinatura (para membros da rede).
Esses certificados viabilizam:
• Estabelecimento de canais seguros;
• Garantia de integridade e autenticidade das mensagens.
A validação de certificados é realizada por meio do protocolo OCSP (Online Certificate Status Protocol), sendo responsabilidade de cada Servidor de Segurança:
• Consultar o status de validade dos certificados;
• Compartilhar essas informações durante o processo de troca de mensagens.
Somente entidades com certificados válidos e emitidos por CAs confiáveis podem participar da comunicação na X-Via, assegurando um modelo robusto de confiança federada e interoperabilidade segura.