Terveydenhuollon kansallisen tietojärjestelmäarkkitehtuurin määrittelyprojekti KANTA Tunnistaminen ja sähköinen allekirjoitus ARKKITEHTUURIMÄÄRITTELY

Transkriptio

1 Terveydenhuollon kansallisen tietojärjestelmäarkkitehtuurin määrittelyprojekti KANTA Tunnistaminen ja sähköinen ARKKITEHTUURIMÄÄRITTELY --- LUONNOS V Laatija: STM Konsultit Tarkistaja: Hyväksyjät:

2 ARKKKITEHTUURIMÄÄRITTELY DOKUMENTIN MUUTOSHISTORIA Huom. Muutoshistoriaan kirjataan vain päätösten pohjalta tehdyt muutokset, ei työversioita. Revnro Pvm / Tekijä Kappale / Kappaleet Muutoksen sisältö

3 ARKKITEHTUURIMÄÄRITTELY i SISÄLLYSLUETTELO 1 JOHDANTO Dokumentin sisältö SOVELLUSARKKITEHTUURI Sovellusarkkitehtuurin periaate Sovellusarkkitehtuurille osoitetut vaatimukset Sovellusarkkitehtuurin yleiskuvaus Käyttäjän tunnistamisen sovellusarkkitehtuuri Käyttöliittymäkerros ja esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros Järjestelmän tunnistamisen sovellusarkkitehtuuri Käyttöliittymäkerros ja esitystapakerros Järjestelmän tunnistamisen sovelluslogiikkakerros Tiedonhallintakerros Käyttäjän allekirjoituksen sovellusarkkitehtuuri Käyttöliittymäkerros ja esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros Järjestelmän allekirjoituksen sovellusarkkitehtuuri Käyttöliittymäkerros ja esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros Allekirjoituksen tarkistuksen sovellusarkkitehtuuri Käyttöliittymäkerros ja esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros KÄYTETTÄVÄT STANDARDIT Varmennepalvelu Mobiili Aikaleimapalvelu Sähköinen Tunnistus Standardit TEKNINEN ARKKITEHTUURI Tekninen arkkitehtuurikehikko Laitteistot ja varusohjelmistot Työasemat Päätelaitteet Palvelimet Ohjelmiston rakenne Tietoliikenneratkaisu SUORITUSKYKY Tunnistaminen Sähköinen... 32

4 ARKKITEHTUURIMÄÄRITTELY ii 6 PALVELUTUOTANNON ALUSTAVA SUUNNITELMA Varmenteiden uusiminen Järjestelmien päivitykset ja migraatiot Toteutusten hyväksyttäminen ja valvonta JATKOKEHITYSIDEAT Tupas tunnistaminen Käyttöliittymäkerros ja esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros Tupas Käyttöliittymäkerros ja esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros... 38

5 ARKKITEHTUURIMÄÄRITTELY 1/38 1 JOHDANTO 1.1 Dokumentin sisältö Sosiaali- ja terveysministeriö (STM) on käynnistänyt hankkeen kansallisen sähköisten potilastietojen arkistopalvelun perustamiseksi. Tässä dokumentissa kuvataan tämän arkistopalvelun tietojärjestelmäarkkitehtuuri sähköisen allekirjoituksen ja tunnistamisen osalta. 2 SOVELLUSARKKITEHTUURI 2.1 Sovellusarkkitehtuurin periaate Sovellusarkkitehtuurin kuvauksessa käytetty mallinnus jakaa sovelluksen arkkitehtuurin neljään kerrokseen. Nämä kerrokset ovat käyttöliittymäkerros, esitystapakerros, sovelluslogiikkakerros ja tiedonhallintakerros. Tässä määrityksessä sovellusarkkitehtuurin kuvastapana käytetään UML aktiviteettikaaviota (UML activity diagram). 2.2 Sovellusarkkitehtuurille osoitetut vaatimukset Tunnistamista ja sähköistä ta hyödynnetään hajautetusti sekä liitännäisjärjestelmissä että kansallisessa palvelussa. Liitännäisjärjestelmät ovat olemassa olevia järjestelmiä, joiden arkkitehtuurit ja tekniset ympäristöt vaihtelevat keskenään. Kansallisen palvelun toteutuksen arkkitehtuurissa tunnistaminen ja sähköinen on mahdollista toteuttaa useina hajautettuina toteutuksina ja/tai keskitettyinä palveluina. Vaatimukset on kuvattu vaatimusmäärittelydokumentissa. 2.3 Sovellusarkkitehtuurin yleiskuvaus Tunnistaminen ja sähköinen kuvataan modulaarisina toiminnallisuuksina. Nämä toiminnallisuudet ovat toteutettavissa liitännäisjärjestelmissä ja kansallisen palvelun osajärjestelmissä. Suositus on hyödyntää järjestelmän teknisen alustan menetelmiä ja tarjolla olevia valmiita palveluita ja komponentteja. Henkilökäyttäjien osalta sekä tunnistaminen että sähköinen ovat toimintoja, jotka vaikuttavat kaikkiin sovellusarkkitehtuurin kerroksiin. Sähköinen voi aiheuttaa muutostarpeita sovellusten toimintaprosesseihin, jollei sovelluksessa ole olemassa ta vastaavaa toiminnallisuutta kuten esimerkiksi lukitsemista. Järjestelmien osalta tunnistaminen ja sähköinen ovat arkkitehtuurikerroksilta rajatumpia toiminnallisuuksia.

6 ARKKITEHTUURIMÄÄRITTELY 2/38 Toiminnallisuudet ovat seuraavat: Käyttäjän tunnistaminen o PKI-tunnistaminen o Mobiili-tunnistaminen Käyttäjän o PKI- o Mobiili- Järjestelmän tunnistaminen o PKI-tunnistaminen Järjestelmän o PKI- Allekirjoituksen tarkistus o Käyttäjä tarkistaa allekirjoituksen o Järjestelmä tarkistaa allekirjoituksen Nämä toiminnallisuudet voidaan toteuttaa järjestelmissä hyödyntäen valmisohjelmistoja tai teknisen ympäristön palveluita. Esimerkiksi PKI -pohjainen tunnistaminen TLS -protokollalla on valmiiksi tuettu toiminnallisuus useimmissa teknisissä ympäristöissä. Alla olevassa taulukossa on kuvattu toiminnallisuuksien ja sovellusarkkitehtuurin kerroksien välinen suhde. Toiminnallisuus Käyttöliittymäkerros Esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros Käyttäjän tunnistaminen x x x x Järjestelmän tunnistaminen rajapinta x x Käyttäjän x x x x Järjestelmän x x Allekirjoituksen tarkistus käyttäjälle x x x x Allekirjoituksen tarkistus järjestelmälle x x

7 ARKKITEHTUURIMÄÄRITTELY 3/ Käyttäjän tunnistamisen sovellusarkkitehtuuri Kaaviossa [Kuva 1] on kuvattu julkisen avaimen järjestelmään (PKI ja mobiili) pohjautuvan käyttäjän tunnistamisen sovellusarkkitehtuuri. Käytettäessä valmisohjelmistoja tai palveluita tapahtuu suuri osa toiminnallisuudesta näiden toimesta.

8 ARKKITEHTUURIMÄÄRITTELY 4/38 Käyttöliittymäkerros & esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros Kirjautuminen Tunnistus-protokolla Varmenteen valinta Valitse varmenne Tunnistusrakenteen muodostus {OR} Tunnusluvun syöttö Tunnistus Tunnistus-protokolla Ok? Puhelinnumeron valinta OK Tarkistukset Tarkista tunnistusrakenne Tarkista tunnistus Tarkista varmenteen myöntäjä Hyväksytyt varmentajat Tarkista varmenteen eheys Tarkista varmenteen voimassaolo Aikapalvelu Tarkista sulkulistat Sulkulistat Tarkistukset OK? OK Yksilöinti Lue yksilöintitieto varmenteelta Epäonnistunut kirjautuminen Käytössä muu yksilöintitieto? Muu Hae käyttäjän yksilöintitieto Yksilöintitiedot Kutsu yksilöintipalvelua OK Yksilöinti OK? Auktorisoi käyttäjä Käytön rajaus Käyttäjien tiedot Käyttöoikeudet Onnistunut kirjautuminen OK Auktorisointi OK? Käyttäjäistunto alkaa Istunnon tila Kuva 1. Käyttäjän tunnistamisen sovellusarkkitehtuuri

9 2.4.1 Käyttöliittymäkerros ja esitystapakerros ARKKITEHTUURIMÄÄRITTELY 5/38 Tunnistautumisjärjestelmät noudattavat yleisesti kolmen käyttöliittymän järjestelyä, jossa käyttöliittymät ovat: Kirjautuminen o Käyttöliittymä, jonka kautta käyttäjä kirjautuu. Voi sisältää esimerkiksi tunnusten syöttö mahdollisuuden ja käyttöohjeita. Epäonnistunut kirjautuminen o Käyttöliittymä, joka esitetään käyttäjälle virhetilanteissa. Voi sisältää esimerkiksi mahdollisuuden yrittää kirjautua uudestaan ja ohjeita. Onnistunut kirjautuminen o Käyttöliittymä, joka esitetään käyttäjälle kirjautumisen jälkeen. Voi olla esimerkiksi sovelluksen pääsivu, tai ohjaus käyttäjän viimeksi käyttämään näkymään. PKI-tunnistamisessa tämän lisäksi mahdollisia käyttöliittymiä ovat: Varmenteen valinta o Käyttöliittymä, jolla käyttäjä valitsee millä varmenteella hän haluaa tunnistautua. Olennaista esimerkiksi siinä tilanteessa, että käyttäjän toimikortilla on useampi tunnistamisvarmenne. Voi olla esimerkiksi yksinkertainen listausnäkymä, josta käyttäjä voi valita varmenteen ja tarkastella varmenteen tietoja. o Vastaava käyttöliittymä on käytössä myös allekirjoituksessa. Tunnusluvun syöttö o Käyttöliittymä, jolla käyttäjä syöttää tunnuksensa. Voi olla esimerkiksi yksinkertainen syöttöikkuna, jossa käyttäjä voi joko syöttää tunnusluvun tai perua toiminnon. o Vastaava käyttöliittymä on käytössä myös allekirjoituksessa. Mobiili-tunnistamisessa on PKI-tunnistamisen kaltainen tunnusluvun syöttö käyttöliittymä, mutta varmenteen valinta käyttöliittymän sijasta tyypillisesti puhelinnumeron valinta -käyttöliittymä:

10 ARKKITEHTUURIMÄÄRITTELY 6/ Sovelluslogiikkakerros Puhelinnumeron valinta o Käyttöliittymä, jolla käyttäjä valitsee mihin puhelinnumeroon hän haluaa lähettää tunnistus-/pyynnön. Voi olla esimerkiksi yksinkertainen syöttöikkuna, jossa käyttäjä voi joko syöttää puhelinnumeron tai perua toiminnon. o Vastaava käyttöliittymä on käytössä myös allekirjoituksessa. Sovelluslogiikkakerroksen toiminnallisuus on jaettavissa seuraaviin osiin: Tunnistusprotokolla Tarkistukset Yksilöinti Auktorisointi Eri tunnistamisjärjestelmissä nämä osat voivat olla enemmän tai vähemmän kiinteästi sidoksissa toisiinsa. Auktorisoinnin osalta PKI- ja mobiili -tunnistaminen eivät eroa muista tunnistamisjärjestelyistä. Auktorisoinnin vaiheet ovat: Auktorisoi käyttäjä o Käyttäjän käyttöoikeuksien muodostaminen. Käytön rajaus o Käyttäjän käyttöoikeuksien avulla käytön rajaaminen. Käyttäjäistunto alkaa o Järjestelmän suorittamat toimenpiteet käyttäjäistunnon alkaessa. Voi pitää sisällään esimerkiksi istunnon hallintaan ja käytön valvontaan osallistuvien osajärjestelmien kutsumista. PKI-tunnistamisen sovelluslogiikkakerroksen toiminnallisuus on kuvattu kuvassa vaiheittain. Tunnistetut vaiheet ja niiden kuvaukset ovat: Valitse varmenne o Allekirjoitukseen käytettävän varmenteen valintakäyttöliittymän käynnistys.

11 ARKKITEHTUURIMÄÄRITTELY 7/38 Tunnistusrakenteen muodostus o Tunnistautumisprotokollan mukaisen rakenteen muodostaminen. Tunnistus o Tunnistamisprotokollan mukaisen allekirjoituksen ja rakenteen teettäminen käyttäjällä (hänen teknisellä ympäristöllään). Käynnistää tunnusluvun syöttö käyttöliittymän. Tarkista tunnistusrakenne o Tunnistautumisprotokollan mukaisen rakenteen tarkistus. Tarkista tunnistus o Tunnistautumisprotokollan mukaisen allekirjoituksen tarkistus. Tarkista varmenteen myöntäjä o Tarkistus, onko valittu varmenne määritelty hyväksyttäväksi. Tarkista varmenteen eheys o Tarkistus, onko varmentajan voimassa. Varmentajan varmenteen eheyden ja luotettavuuden. Tarkista varmenteen voimassaolo o Tarkistus, onko varmenne vielä / jo voimassa. Aikavertailu suoritetaan luotettua kelloa vasten. Tarkista sulkulistat o Tarkistus, ettei varmenne ole varmentajansa sulkulistalla. Yksilöinti on menettely, jossa tunnistautumisessa saatu yksilöintitieto muunnetaan tarvittaessa järjestelmän ymmärtämään yksilöintitietoon. Seuraavan kolmen vaiheen avulla kuvataan tilannetta, jossa käyttäjän yksilöintitieto muodostetaan usean eri vaiheen kautta. Tarvittavat vaiheet ja järjestys vaihtelevat järjestelmittäin. Lue yksilöintitieto varmenteelta o Varmenteen tietorakenteesta käyttäjän yksilöinnissä käytettävän tiedon muodostaminen. Voi olla suoraan järjestelmän käyttämä yksilöintitieto, tai yksilöintitieto jonka avulla seuraavissa vaiheissa järjestelmän käyttämä yksilöintitieto muodostetaan. Hae käyttäjän yksilöintitieto

12 2.4.3 Tiedonhallintakerros ARKKITEHTUURIMÄÄRITTELY 8/38 o Käyttäjän yksilöinnissä käytettävän tiedon muodostaminen tietorakenteiden avulla. Voi olla suoraan järjestelmän käyttämä yksilöintitieto, tai yksilöintitieto jonka avulla seuraavassa vaiheessa järjestelmän käyttämä yksilöintitieto muodostetaan. Kutsu yksilöintipalvelua o Käyttäjän yksilöinnissä käytettävän tiedon muodostaminen yksilöintipalvelun avulla. Mobiili-tunnistaminen ei eroa PKI-tunnistamisesta sovelluslogiikan osalta. Tiedonhallintakerroksessa käsitellään tyypillisesti kaikissa tunnistamisjärjestelmissä tietoja: Käyttäjien tiedot o Käyttäjään liittyvät tiedot, joita käytetään esimerkiksi esitäyttötietoina, tulosteissa, jne. Käyttöoikeudet o Käyttöoikeuksia koskevat tiedot. Tiedot, joiden perusteella käyttöä järjestelmässä rajataan. Istunnon tila o Tiedot, joita järjestelmä käyttää istunnon hallintaan. Tässä käytössä kuvaamaan kaikkia tietorakenteita, joita istunnon alustamisessa käytetään. Näiden tietojen osalta PKI- ja mobiili-tunnistaminen eivät eroa muista tunnistamisjärjestelyistä. PKI- ja mobiili-tunnistamisen tiedonhallintakerroksen toiminnallisuus on kuvattu kuvassa tietorakenteittain. Tunnistetut tietorakenteet ja niiden kuvaukset ovat: Hyväksytyt varmentajat o Tiedot varmentajista joiden myöntämät varmenteet hyväksytään. Aikapalvelu o Varmenteiden voimassaolon tarkistamisessa käytettävä ajan lähde..

13 ARKKITEHTUURIMÄÄRITTELY 9/38 Sulkulistat o Varmentajien julkaisemat tietorakenteet varmenteista, joihin ei saa luottaa. Yksilöintitiedot o Yksilöinnissä mahdollisesti käytettävät tietorakenteet 2.5 Järjestelmän tunnistamisen sovellusarkkitehtuuri Alla on kuvattu julkisen avaimen järjestelmään (PKI) pohjautuvan järjestelmien välisen yhteyden kahdensuuntaisen tunnistamisen sovellusarkkitehtuuri. Käytettäessä valmisohjelmistoja tai palveluita tapahtuu suuri osa toiminnallisuudesta näiden toimesta. Tunnistautuvan järjestelmän tiedonhallinta-kerros Tunnistautuvan järjestelmän sovelluslogiikkakerros Tunnistavan järjestelmän sovelluslogiikkakerros Tunnistavan järjestelmän tiedonhallintakerros Tunnistusrakenteen muodostus Tunnistusrakenteen muodostus Tunnistus Tunnistus Tarkista tunnistusrakenne Tarkista tunnistusrakenne Hyväksytyt varmentajat Tarkista tunnistus Tarkista tunnistus Hyväksytyt varmentajat Aikapalvelu Varmennetarkistukset Varmennetarkistukset Aikapalvelu Sulkulistat Tarkistukset OK? Sulkulistat OK Yksilöinti Yksilöintitiedot Yksilöinti OK? Epäonnistunut tunnistus OK Auktorisoi Järjestelmien tiedot Käyttöoikeudet Käyttön rajaus Auktorisointi OK? OK Onnistunut tunnistus Istunto alkaa Istunnon tila Kuva 2. Järjestelmän tunnistamisen sovellusarkkitehtuuri

14 2.5.1 Käyttöliittymäkerros ja esitystapakerros ARKKITEHTUURIMÄÄRITTELY 10/38 Järjestelmän tunnistamiseen ei liity käyttöliittymiä, vaan tunnistaminen tapahtuu tietoliikenneprotokollan mukaan. Mikäli järjestelmien tunnistaminen epäonnistuu, on loppukäyttäjälle tarpeen toteuttaa virhetilannesivustot järjestelmän normaalin toiminnan mukaisesti Järjestelmän tunnistamisen sovelluslogiikkakerros Tiedonhallintakerros Järjestelmän PKI-tunnistamisen sovelluslogiikkakerroksen toiminnallisuus on kuvattu kuvassa vaiheittain tunnistavan ja tunnistettavan järjestelmän osiin jaettuina. Tunnistamisen vaiheet ovat osittain vastaavat kuin käyttäjän tunnistamisessa. Käyttäjän tunnistamisesta eroavat tunnistetut vaiheet ja niiden kuvaukset ovat: Tunnistus o Järjestelmä allekirjoittaa tunnistusprotokollan mukaisesti tunnistamisrakenteen. Varmennetarkistukset o Koostettu vaihe, joka pitää sisällään käyttäjän tunnistamisessa auki kuvatut vaiheet: Tarkista varmenteen myöntäjä, Tarkista varmenteen eheys, Tarkista varmenteen voimassaolo ja Tarkista sulkulistat. Järjestelmän PKI-tunnistamisen tiedonhallintakerroksen toiminnallisuus on kuvattu kuvassa tietorakenteittain. Tunnistamisen tietorakenteet ovat osittain vastaavat kuin käyttäjän tunnistamisessa. Käyttäjän tunnistamisesta eroavat tunnistetut tietorakenteet ja niiden kuvaukset ovat: Järjestelmien tiedot o Vastaava kuin Käyttäjien tiedot, kun käyttäjät ovat järjestelmiä. 2.6 Käyttäjän allekirjoituksen sovellusarkkitehtuuri Alla on kuvattu julkisen avaimen järjestelmään (PKI) pohjautuvan käyttäjän allekirjoituksen sovellusarkkitehtuuri aktiviteettikaaviona. Käytettäessä valmisohjelmistoja tai palveluita tapahtuu suuri osa toiminnallisuudesta näiden toimesta.

15 ARKKITEHTUURIMÄÄRITTELY 11/38 Käyttöliittymäkerros & esitystapakerros Sovelluslogiikkakerros Tiedonhallinta-kerros Allekirjoituksen käynnistys Vahvistetaanko? Ei Tiedon vahvistus Esitä tiedot Onko varmenne tiedossa? Puhelinnumeron valinta Ei Vahvistetaanko käytettävä varmenne? {OR} Varmenteen valinta Valitse varmenne Varmennetarkistukset Hyväksytyt varmentajat Aikapalvelu Tarkistukset OK? Sulkulistat Varmenne ei kelpaa OK Allekirjoitettavan rakenteen muodostus Allekirjoitettava tieto Tiedon yhdenmukaistus Allekirjoita Allekirjoitusrakenteen muodostus Tunnusluvun syöttö Tarkista Allekirjoitus OK? Allekirjoitus epäonnistui OK Kokoa muoto Aikaleimaa muoto Onnistunut Tallenna muoto Allekirjoitus Kuva 3. Käyttäjän allekirjoituksen sovellusarkkitehtuuri Käyttöliittymäkerros ja esitystapakerros Käyttöliittymäkerroksen ja esitystapakerroksen osalta käyttäjän allekirjoituksessa on useita eri vaiheita. Seuraavat käyttöliittymät ovat mahdollisia: Allekirjoituksen käynnistys o Yksinkertaisimmillaan painike käyttöliittymässä, joka käynnistää näkyvissä olevien tietojen allekirjoituksen. Toiminnallisuus voi olla hyvinkin paljon tätä monimutkaisempi, jos halutaan allekirjoittaa laajoja kokonaisuuksia tai vain tiettyjä osia tiedoista.

16 ARKKITEHTUURIMÄÄRITTELY 12/38 Tiedon vahvistus o Vaihtoehtoinen käyttöliittymä, jossa käyttäjälle esitetään tiedot, joita hän on allekirjoittamassa. Tämän käyttöliittymän tarpeellisuus riippuu allekirjoituksen käynnistys -toiminnallisuuden toteutuksesta. Erään tulkinnan mukaan kaikki allekirjoitettava tieto tulisi aina vahvistaa käyttäjällä siinä muodossa, kuin se ollaan allekirjoittamassa, mutta käyttäjät itse toivovat yleisesti mahdollisimman virtaviivaista toiminnallisuutta. Varmenteen valinta o Käyttäjä voi valita millä varmenteella tapahtuu. Tämä käyttöliittymä on mahdollista ohittaa, jos järjestelmä voi päätellä käytettävän varmenteen. o Vastaava käyttöliittymä on käytössä myös tunnistamisessa. Varmenne ei kelpaa / virhe varmenteen valinnassa o Käyttöliittymä, joka esitetään käyttäjälle, mikäli varmenteen valinta epäonnistui. o Vastaava käyttöliittymä on käytössä myös tunnistamisessa. Tunnusluvun syöttö o Tunnusluvun syöttö käyttöliittymässä käyttäjä syöttää varmennetta vastaavan yksityisen avaimen suojauksen avaavan tunnuksen. o Vastaava käyttöliittymä on käytössä myös tunnistamisessa. Allekirjoitus epäonnistui o Käyttöliittymä, joka esitetään käyttäjälle, mikäli epäonnistui. Syy epäonnistumiseen voi olla esimerkiksi tunnusluvun väärin syöttäminen, toimikortin poistaminen lukijasta kesken operaation tai tekninen häiriö. Onnistunut o Käyttöliittymä, joka esitetään käyttäjälle kun on toteutunut onnistuneesti. Mobiili-allekirjoituksessa on PKI-tunnistamisen kaltainen tunnusluvun syöttö käyttöliittymä, mutta varmenteen valinta käyttöliittymän sijasta tyypillisesti puhelinnumeron valinta -käyttöliittymä:

17 ARKKITEHTUURIMÄÄRITTELY 13/ Sovelluslogiikkakerros Puhelinnumeron valinta o Käyttöliittymä, jolla käyttäjä valitsee mihin puhelinnumeroon hän haluaa lähettää tunnistus-/pyynnön. Voi olla esimerkiksi yksinkertainen syöttöikkuna, jossa käyttäjä voi joko syöttää puhelinnumeron tai perua toiminnon. o Vastaava käyttöliittymä on käytössä myös tunnistamisessa. Käyttäjän PKI -allekirjoituksen sovelluslogiikkakerroksen toiminnallisuus on kuvattu kuvassa vaiheittain. Tunnistetut vaiheet ja niiden kuvaukset ovat: Esitä tiedot o Allekirjoitettavaksi valittujen tietojen esittäminen käyttäjälle Valitse varmenne o Allekirjoitukseen käytettävän varmenteen valintakäyttöliittymän käynnistys. o Vastaava vaihe kuin tunnistamisessa Varmennetarkistukset o Koostettu vaihe, joka pitää sisällään käyttäjän tunnistamisessa auki kuvatut vaiheet: Tarkista varmenteen myöntäjä, Tarkista varmenteen eheys, Tarkista varmenteen voimassaolo ja Tarkista sulkulistat o Vastaava vaihe kuin tunnistamisessa Allekirjoitettavan rakenteen muodostus o Allekirjoitettavan tiedon muodostaminen standardin mukaiseen muotoon. Muoto voi olla esimerkiksi CDA R2. Tiedon yhdenmukaistus o Tiedon esitystavan vakiointi, koskee erityisesti XML-muotoa. Allekirjoitusrakenteen muodostus o Allekirjoituksen standardin mukaisen tietorakenteen muodostus

18 ARKKITEHTUURIMÄÄRITTELY 14/38 Allekirjoita o Allekirjoituksen standardin mukaisen allekirjoituksen teettäminen käyttäjällä (hänen teknisellä ympäristöllään), käynnistää tunnusluvun syöttö käyttöliittymän. Tarkista Tiedonhallintakerros o Allekirjoituksen standardin mukaisen allekirjoituksen tarkistus Kokoa muoto o Allekirjoituksen tallennusmuodon muodostaminen Aikaleimaa muoto o Allekirjoituksen tallennusmuodon aikaleimaaminen Tallenna muoto o Allekirjoituksen tallentaminen Mobiili- ei eroa PKI-allekirjoituksesta sovelluslogiikan osalta. PKI- ja mobiili-allekirjoituksen tiedonhallintakerroksen toiminnallisuus on kuvattu kuvassa tietorakenteittain. Tunnistetut tietorakenteet ja niiden kuvaukset ovat: Allekirjoitettava tieto o Tieto, johon kohdistetaan. Allekirjoitus o Tietorakenne, jonka avulla voidaan osoittaa allekirjoitettavan (allekirjoitetun) tiedon olevan muuttumatonta (eheää) ja yksilöidyn käyttäjän allekirjoittamaa. Kun on aikaleimattu, pitää sisällään myös todistusvoimaisen tiedon hetkestä. Hyväksytyt varmentajat o Tiedot varmentajista joiden myöntämät varmenteet hyväksytään. Aikapalvelu o Varmenteiden voimassaolon tarkistamisessa käytettävä ajan lähde.

19 ARKKITEHTUURIMÄÄRITTELY 15/38 Sulkulistat o Varmentajien julkaisemat tietorakenteet varmenteista, joihin ei saa luottaa. 2.7 Järjestelmän allekirjoituksen sovellusarkkitehtuuri Alla on kuvattu julkisen avaimen järjestelmään (PKI) pohjautuvan järjestelmän allekirjoituksen sovellusarkkitehtuuri. Käytettäessä valmisohjelmistoja tai palveluita tapahtuu suuri osa toiminnallisuudesta näiden toimesta. Sovelluslogiikkakerros Tiedonhallintakerros Allekirjoituksen käynnistys Allekirjoitettavan rakenteen muodostus Allekirjoitettava tieto Tiedon yhdenmukaistus Allekirjoitusrakenteen muodostus Allekirjoita Tarkista Hyväksytyt varmentajat Varmennetarkistukset Aikapalvelu Tarkistukset OK? Sulkulistat Allekirjoitus epäonnistui OK Allekirjoitus OK? Kokoa muoto Aikaleimaa muoto Onnistunut Tallenna muoto Allekirjoitus Kuva 4. Järjestelmän allekirjoituksen sovellusarkkitehtuuri Käyttöliittymäkerros ja esitystapakerros Järjestelmän allekirjoitukseen ei liity käyttöliittymiä. Mikäli epäonnistuu, on loppukäyttäjälle tarpeen toteuttaa virhetilannesivustot järjestelmän normaalin toiminnan mukaisesti.

20 ARKKITEHTUURIMÄÄRITTELY 16/ Sovelluslogiikkakerros Järjestelmän allekirjoituksen sovelluslogiikkakerroksen toiminnallisuus on kuvattu kuvassa vaiheittain. Vaiheet ovat vastaavat kuin käyttäjän allekirjoituksessa. Tunnistetut vaiheet ja niiden kuvaukset ovat: Allekirjoitettavan rakenteen muodostus o Allekirjoitettavan tiedon muodostaminen standardin mukaiseen muotoon. Muoto voi olla esimerkiksi CDA R2. Tiedon yhdenmukaistus o Tiedon esitystavan vakiointi, koskee erityisesti XML-muotoa. Allekirjoitusrakenteen muodostus o Allekirjoituksen standardin mukaisen tietorakenteen muodostus Allekirjoita o Allekirjoituksen standardin mukaisen allekirjoituksen tekeminen järjestelmän ympäristöllä Tarkista Tiedonhallintakerros o Allekirjoituksen standardin mukaisen allekirjoituksen tarkistus Varmennetarkistukset o Koostettu vaihe, joka pitää sisällään käyttäjän tunnistamisessa auki kuvatut vaiheet: Tarkista varmenteen myöntäjä, Tarkista varmenteen eheys, Tarkista varmenteen voimassaolo ja Tarkista sulkulistat Kokoa muoto o Allekirjoituksen tallennusmuodon muodostaminen Aikaleimaa muoto o Allekirjoituksen tallennusmuodon aikaleimaaminen Tallenna muoto o Allekirjoituksen tallentaminen Tiedonhallintakerros on vastaava kuin käyttäjän allekirjoituksessa.

21 ARKKITEHTUURIMÄÄRITTELY 17/38 Tunnistetut tietorakenteet ja niiden kuvaukset ovat: Allekirjoitettava tieto o Tieto, johon kohdistetaan. Allekirjoitus o Tietorakenne, jonka avulla voidaan osoittaa allekirjoitettavan (allekirjoitetun) tiedon olevan muuttumatonta (eheää) ja yksilöidyn käyttäjän allekirjoittamaa. Kun on aikaleimattu, pitää sisällään myös todistusvoimaisen tiedon hetkestä. Hyväksytyt varmentajat o Tiedot varmentajista joiden myöntämät varmenteet hyväksytään. Aikapalvelu Sulkulistat o Varmenteiden voimassaolon tarkistamisessa käytettävä ajan lähde.. o Varmentajien julkaisemat tietorakenteet varmenteista, joihin ei saa luottaa. 2.8 Allekirjoituksen tarkistuksen sovellusarkkitehtuuri Alla on kuvattu julkisen avaimen järjestelmään (PKI) pohjautuvan allekirjoituksen tarkistuksen sovellusarkkitehtuuri. Käytettäessä valmisohjelmistoja tai palveluita tapahtuu suuri osa toiminnallisuudesta näiden toimesta.

22 ARKKITEHTUURIMÄÄRITTELY 18/38 Käyttöliittymäkerros & esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros {OR} Tarkistuksen käynnistys Tarkistuksen käynnistys Allekirjoitettavan rakenteen muodostus Allekirjoitettava tieto Tiedon yhdenmukaistus Allekirjoitusrakenteen muodostus Tarkista Allekirjoitus Varmennetarkistukset Hyväksytyt varmentajat Tuloksen esitys Kokoa tarkistukset Aikapalvelu {OR} Sulkulistat Kuva 5. Allekirjoituksen tarkistuksen sovellusarkkitehtuuri Käyttöliittymäkerros ja esitystapakerros Järjestelmän käynnistämään allekirjoituksen tarkistukseen ei liity käyttöliittymiä. Mikäli tarkistus epäonnistuu, voi tämä aiheuttaa loppukäyttäjän käyttöliittymän kutsumisen järjestelmän normaalin toiminnan mukaisesti. Käyttäjän käynnistämän allekirjoituksen tarkistukseen liittyy Tarkistuksen käynnistys o Käyttöliittymä, joka on yksinkertaisimmillaan painike käyttöliittymässä, joka käynnistää näkyvissä olevien tietojen allekirjoituksen tarkistuksen. Tuloksen esitys o Käyttöliittymä, jossa esitetään käyttäjälle allekirjoituksen tarkistuksessa tehtyjen tarkistusten tulokset ja allekirjoituksen yksityiskohdat.

23 ARKKITEHTUURIMÄÄRITTELY 19/ Sovelluslogiikkakerros Allekirjoituksen tarkistuksen sovelluslogiikkakerroksen toiminnallisuus on kuvattu kuvassa vaiheittain. Vaiheet ovat vastaavat kuin allekirjoituksessa. Tunnistetut vaiheet ja niiden kuvaukset ovat: Allekirjoitettavan rakenteen muodostus o Allekirjoitettavan tiedon muodostaminen samaan standardin mukaiseen muotoon kuin jota käytettiin allekirjoituksen muodostuksessa.. Tiedon yhdenmukaistus o Tiedon esitystavan vakiointi, koskee erityisesti XML-muotoa. Allekirjoitusrakenteen muodostus o Allekirjoituksen standardin mukaisen tietorakenteen muodostus Tarkista o Allekirjoituksen, tiedon ja varmenteen keskinäisen vastaavuuden tarkistus. Tarkistaa tiedon eheyden ja osoittaa varmenteessa yksilöidyn tahon muodostaneen allekirjoituksen. Varmennetarkistukset o Koostettu vaihe, joka pitää sisällään käyttäjän tunnistamisessa auki kuvatut vaiheet: Tarkista varmenteen myöntäjä, Tarkista varmenteen eheys, Tarkista varmenteen voimassaolo ja Tarkista sulkulistat Kokoa tarkistukset Tiedonhallintakerros o Muodostaa tarkistuksista koosteen, joka esitettään käyttäjälle ja/tai tallennetaan lokeihin. Tiedonhallintakerros on vastaava kuin käyttäjän allekirjoituksessa. Tunnistetut tietorakenteet ja niiden kuvaukset ovat: Allekirjoitettava tieto o Tieto, johon kohdistetaan.

24 ARKKITEHTUURIMÄÄRITTELY 20/38 Allekirjoitus o Tietorakenne, jonka avulla voidaan osoittaa allekirjoitettavan (allekirjoitetun) tiedon olevan muuttumatonta (eheää) ja yksilöidyn käyttäjän allekirjoittamaa. Kun on aikaleimattu, pitää sisällään myös todistusvoimaisen tiedon hetkestä. Hyväksytyt varmentajat o Tiedot varmentajista joiden myöntämät varmenteet hyväksytään. Aikapalvelu Sulkulistat o Varmenteiden voimassaolon tarkistamisessa käytettävä ajan lähde.. o Varmentajien julkaisemat tietorakenteet varmenteista, joihin ei saa luottaa.

25 ARKKITEHTUURIMÄÄRITTELY 21/38 3 KÄYTETTÄVÄT STANDARDIT 3.1 Varmennepalvelu 3.2 Mobiili 3.3 Aikaleimapalvelu Varmennepalvelujen ja varmenteiden perustana olevat keskeiset kansainväliset standardit ovat ITU-T:n ja IETF:n laatimia [X.509] [RFC3280]. Eurooppalaista lainsäädäntöä tukevat varmennepalveluja ja laatuvarmenteita koskevat standardit, ohjeet ja tarkennukset ovat ETSI:n laatimia [TS102158]. Laatuvarmenteita myöntäviä varmentajia valvoo Suomessa Viestintävirasto. Varmennepalvelujen osalta toteutuksia on ollut tarjolla useita vuosia ja käytäntö on vakiintunut standardien mukaiseksi Mobiililaitteiden varmenteita koskevat standardit, ohjeet ja tarkennukset ovat ET- SI:n laatimia [TS102204, TR102206, TS102207]. Suomessa mobiililaitteiden varmenteita koskevat ohjeet ja tarkennukset ovat Ficom ry laatimia [Ficom2006]. Aikaleimapalvelun perustana oleva keskeinen kansainvälinen standardi on IETF:n laatima [RFC3161]. Eurooppalaista lainsäädäntöä tukevat aikaleimapalvelua koskevat standardit, ohjeet ja tarkennukset ovat ETSI:n laatimia [TS101861]. Väestörekisterikeskuksen palvelukuvaus aikaleimapalvelusta liitteenä [LIITE 2] 3.4 Sähköinen 3.5 Tunnistus Sähköisen allekirjoituksen suositellaan perustuvan XML--standardiin [XMLDsig]. Sähköisen allekirjoituksen toteutuksia on ollut tarjolla useita vuosia. Käytäntö vaihtelee, mutta julkisen avaimen järjestelmän tuki noudattaa standardeja [X.509, RFC3280]. XML--standardin tuki on yleistymässä. Tietoliikennetason tunnistus voi perustua TLS-protokollaan [RFC4346].

26 ARKKITEHTUURIMÄÄRITTELY 22/ Standardit Sanomatason tunnistus voi perustua XML-allekirjoituksiin [XMLDsig]. Tunnistamisen toteutuksia on ollut tarjolla useita vuosia. Käytäntö vaihtelee laajasti, mutta julkisen avaimen järjestelmä on yleisesti tuettu standardien mukaisesti [X.509, RFC3280]. Viittaus Asiakirjan nimi ja versio Lisätiedot (käyttötarkoitus) X.509 ITU-T Recommendation X.509: Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks, ITU-T 08/2005. RFC3280 PKCS#7 RFC 3280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, IETF 04/2002. PKCS#7: Cryptographic Message Syntax Standard, RSA 03/1998 Varmenteisiin liittyvä keskeinen tekninen määritys Sama kuin ISO/IEC Varmenteisiin liittyvä keskeinen tekninen määritys Sähköisiin allekirjoituksiin liittyvä tekninen määritys Sama kuin IETF RFC 2315 TR TS XMLDsig TR : Electronic Signatures and Infrastructures (ESI); Requirements for role and attribute certificates, ETSI 12/2002. TS : Electronic Signatures and Infrastructures (ESI); Policy requirements for Certification Service Providers issuing attribute certificates usable with Qualified certificates, ETSI 10/2003. RFC 3275: (Extensible Markup Language) XML- Signature Syntax and Processing, IETF 03/2002. Varmenteisiin liittyvä tekninen määritys Laatuvarmentajia koskeva määritys. Sähköisiin allekirjoituksiin liittyvä keskeinen tekninen määritys Sama kuin W3C XML Signature TS TS TS : XML Advanced Electronic Signatures (XAdES), ETSI 04/2004. TS : Electronic Signatures and Infrastructures (ESI); Electronic Signature Formats, ETSI 09/2002 CWA14365 CWA 14365: Guide on the Use of Electronic Signatures, CEN/ISSS 03/2004. Sähköisiin allekirjoituksiin liittyvä tekninen määritys Sähköisiin allekirjoituksiin liittyvä tekninen määritys Sähköisiin allekirjoituksiin liittyvä ohje

27 ARKKITEHTUURIMÄÄRITTELY 23/38 Viittaus Asiakirjan nimi ja versio Lisätiedot (käyttötarkoitus) Ficom2006 FICOM RY:N SOVELTAMISOHJE ETSI:N MSS- STANDARDEILLE V1.1, FiCom ry Mobiilivarmenteisiin ja - allekirjoituksiin liittyvä tekninen soveltamisohje TS TR TS RFC3161 TS : Mobile Commerce (M-COMM); Mobile Signature Service; Web Service Interface, ETSI 08/2003. TR : Mobile Commerce (M-COMM); Mobile Signature Service; Security Framework, ETSI 08/2003. TS : Mobile Commerce (M-COMM); Mobile Signature Service; Specifications for Roaming in Mobile Signature Services, ETSI 08/2003. RFC 3161: Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), IETF 08/2001. TS TS : Time stamping profile, ETSI 03/2002. Mobiilivarmenteisiin ja - allekirjoituksiin liittyvä tekninen määritys Mobiilivarmenteisiin ja - allekirjoituksiin liittyvä tekninen määritys Mobiilivarmenteisiin ja - allekirjoituksiin liittyvä tekninen määritys Aikaleimaamiseen liittyvä keskeinen tekninen määritys Aikaleimaamiseen liittyvä tekninen määritys PIDS Tupas RFC4346 Person Identification Service v1.1, Object Management Group 04/2001. Pankkien Tupas-varmennepalvelu palveluntarjoajille, Palvelukuvaus ja palveluntarjoajan ohje, Versio 2.1, Suomen Pankkiyhdistys RFC 4346: The Transport Layer Security (TLS) Protocol Version 1.1, IETF 05/2006 Potilaan yksiköintijärjestelmän tekninen määritys Tupas-palvelun tekninen määritys TLS tietoliikenne protokollan tekninen määritys

28 ARKKITEHTUURIMÄÄRITTELY 24/38 4 TEKNINEN ARKKITEHTUURI 4.1 Tekninen arkkitehtuurikehikko Tunnistaminen ja sähköinen toteutetaan hajautettuna. Tunnistaminen ja sähköinen eivät aseta vaatimuksia kokonaisarkkitehtuuriin liittyvien palvelinjärjestelmien osalta, koska kaikissa yleisissä ympäristöissä on valmiudet hyödyntää PKI-teknologiaa. Työasemien osalta alustojen valmiudet eivät ole yhtä kehittyneitä. 4.2 Laitteistot ja varusohjelmistot Työasemat Loppukäyttäjän työasema hyödynnettäessä varmenteita toimikorttipohjaisesti. Kortinlukija (Card reader) Kortinlukijan ajuri Kortinlukijaohjelmisto (Crypto Service Provider) o Tuki käytettävälle korttityypille Tuki PKI-toiminnallisuudelle o Esimerkiksi Microsoft Windows käyttöjärjestelmissä on olemassa tuki vakiona (versioista 95b ja NT4.0 asti). Tunnistamis- ja toiminnallisuuksien lisäys / kytkentä hyödyntävään sovellukseen. Loppukäyttäjän työasema hyödynnettäessä varmenteita USB-laitteilla. USB tuki USB-laitteen ajuri Kortinlukijaohjelmisto (Crypto Service Provider) o Tuki käytettävälle USB-laitetyypille Tuki PKI-toiminnallisuudelle Tunnistamis- ja toiminnallisuuksien lisäys / kytkentä hyödyntävään sovellukseen.

29 ARKKITEHTUURIMÄÄRITTELY 25/38 Loppukäyttäjän työasema hyödynnettäessä varmenteita matkapuhelimella. Tunnistamis- ja toiminnallisuuksien lisäys / kytkentä hyödyntävään sovellukseen. Käyttöjärjestelmä Tuki Valmiita sovelluksia Kommentti Microsoft Windows On On On olemassa useita eri kortinlukijaohjelmistoja. Tekninen PKI-ympäristö on vakaa ja vakiintunut. Citrix On On Kuten Windows, mutta kaikki komponentit tai komponenttien yhdistelmät eivät toimi virheettömästi. Linux On Ei Tarvittava toiminnallisuus on muodostettavissa palasista. Tekninen ympäristö ei ole vakiintunut. Tunnistautuminen on tuettu paremmin kuin sähköinen. Mac OS X On Ei Kuten Linux. Windows CE On Ei Kuten Windows Symbian, muut kämmenlaitteiden järjestelmät On ei Kuten Linux Päätelaitteet Palvelimet Käytettäessä mobiililaitetta tunnistamisen ja sähköisen allekirjoituksen välineenä, laitteelle ja ympäristölle asetettavat vaatimukset kuvataan varmentajan varmennepolitiikassa. Käytettäessä mobiililaitetta työasemana, koskevat sitä edellisen kohdan työaseman kuvaukset. Palvelin hyödynnettäessä varmenteita: Tuki PKI-toiminnallisuudelle Tunnistamis- ja toiminnallisuuksien lisäys / kytkentä hyödyntävään sovellukseen.

30 ARKKITEHTUURIMÄÄRITTELY 26/ Ohjelmiston rakenne Salauslaite (Hardware Security Module) o Tehostaa merkittävästi tunnistamista, salausta, varmenteiden tarkistuksia ja ten muodostamista. o Tarjoaa korkean teknisen suojauksen yksityisille avaimille. Laatuvarmennetasoinen allekirjoituksen muodostaminen edellyttää yksityisten avainten suojausta riittävällä teknisellä tasolla. Käytettävän varmentajan varmennepolitiikka yksilöi täsmälliset vaatimukset. Tunnistamisen ja sähköisen allekirjoituksen toiminnallisuuden toteuttaminen on mahdollista ilman salauslaitetta, jolleivät palvelimelle asetettavat nopeus- suojausvaatimukset sitä estä. Sovellusarkkitehtuurissa kuvattu toiminnallisuus voidaan toteuttaa eri tavoin riippuen sovelluksen arkkitehtuurista, teknisestä alustasta ja palveluiden käytöstä. sijoittuu eri tavalla. Seuraavassa on esitetty yksi mahdollinen sovellusarkkitehtuurin toteuttamistapa web-käyttöliittymää käyttävässä sovelluksessa. Tunnistaminen ja sähköinen on esitetty eri kuvissa. Työasema Selain HTTPS Palvelin Web-palvelin Kortinlukijaohjelmisto Varmennetarkistus Kortinlukija Salauslaite Kortti Sovellus Kuva 6. Tunnistamisen toteutuksen rakenne-esimerkki

31 ARKKITEHTUURIMÄÄRITTELY 27/38 Työasema Selain HTTPS Palvelin Web-palvelin Allekirjoitusohjelmisto Sovellus Kortinlukijaohjelmisto Allekirjoitustarkistus Kortinlukija Varmennetarkistus Kortti Järjestelmä Aikaleimaus Salauslaite Kuva 7. Sähköisen allekirjoituksen toteutuksen rakenne-esimerkki Työaseman kuvauksessa käytetyt osajärjestelmät ja niiden kuvaukset: Selain o Yleisimmät selaimet toteuttavat tietoliikenteen kahdensuuntaisen tunnistamisen sovellusarkkitehtuurin mukaisesti. o Tuettu teknologia on TLS Allekirjoitusohjelmisto o Osa ohjelmistoista toteuttaa sähköisen allekirjoituksen muodostuksen sovellusarkkitehtuurin mukaisesti. o Tuettu teknologia on XML- ja/tai PKCS#7 Kortinlukijaohjelmisto o Vakioitu ohjelmisto työasemassa, jota selain ja ohjelmisto hyödyntävät tunnistamisen ja allekirjoituksen toteutuksessa. o Tuettu teknologia on XML- ja PKCS#7

32 ARKKITEHTUURIMÄÄRITTELY 28/38 Kortinlukija Kortti o Laite, joka ajurinsa kanssa liittää kortin kortinlukijaohjelmiston käyttöön. o Tunniste, joka liitetään työasemaan kytkettyyn kortinlukijaan, ja jota voi kortinlukijaohjelmiston kautta käyttää tunnistamiseen ja allekirjoittamiseen. Palvelimen kuvauksessa käytetyt osajärjestelmät ja niiden kuvaukset: Web-palvelin o Yleisimmät web-palvelimet toteuttavat tietoliikenteen kahdensuuntaisen tunnistamisen sovellusarkkitehtuurin mukaisesti. o Tuettu teknologia on TLS Allekirjoitustarkistus o Osajärjestelmä joka tarkistaa allekirjoituksen. o Kaupallisia ja vapaan lähdekoodin toteutuksia on olemassa o Toiminnallisuus on tuettu useimmissa kehitys- ja palvelinympäristöissä o Mahdollista käyttää kutsuttavaa palvelua o Tuettu teknologia PKCS#7 ja/tai XML- Varmennetarkistus o Osajärjestelmä joka tarkistaa varmenteen o Kaupallisia ja vapaan lähdekoodin toteutuksia on olemassa o Toiminnallisuus on tuettu useimmissa kehitys- ja palvelinympäristöissä o Mahdollista käyttää kutsuttavaa palvelua o Tuettu teknologia X.509 Cerificate

33 ARKKITEHTUURIMÄÄRITTELY 29/38 Järjestelmä o Osajärjestelmä joka suorittaa järjestelmäallekirjoituksen o Kaupallisia ja vapaan lähdekoodin toteutuksia on olemassa o Toiminnallisuus on tuettu useimmissa kehitys- ja palvelinympäristöissä o Mahdollista käyttää kutsuttavaa palvelua o Tuettu teknologia PKCS#7 ja/tai XML- Aikaleimaus Salauslaite 4.4 Tietoliikenneratkaisu o Osajärjestelmä joka suorittaa aikaleimauksen o Kaupallisia ja vapaan lähdekoodin toteutuksia on olemassa o Toiminnallisuus on tuettu useimmissa kehitys- ja palvelinympäristöissä o Mahdollista käyttää kutsuttavaa palvelua o Tuettu teknologia X.509 TSP o Laite, jota voi käyttää tunnistamiseen ja allekirjoittamiseen. o Tuettu teknologia PKCS#7 ja/tai XML- Varmenteiden käyttö allekirjoituksissa ja tunnistamisessa edellyttää varmentajan sulkulistapalvelun käyttöä tunnistavissa ja allekirjoituksia tarkistavissa järjestelmissä. Sulkulistojen noutamisen tietoliikenne tapahtuu ldap(s) tai http(s) protokollalla kutsuvasta järjestelmästä palveluun. Täsmälliset käytettävät protokollat ja osoitteet on kuvattu varmentajan varmennepolitiikassa ja varmenteissa. Muunnoksen eri yksilöintitietojen välillä voidaan toteuttaa yksilöintipalvelua hyödyntämällä. Tietoliikenne tapahtuu (mahdollisesti) https protokollalla kutsuvan järjestelmän ja palvelun välillä. Täsmälliset käytettävät protokollat vaihtelevat yksilöintipalvelujen välillä. Sähköisien ten muodostamisessa hyödynnetään aikaleimapalvelua. Aikaleimapalvelun käyttö tapahtuu http(s) tietoliikenneprotokollalla kutsuvasta järjestelmästä palveluun. Täsmälliset käytettävät protokollat on kuvattu aikaleimapalvelun politiikassa.

34 ARKKITEHTUURIMÄÄRITTELY 30/38 Hyödynnettäessä mobiilivarmenteita tunnistamiseen tai allekirjoituksiin hyödynnetään mobiilioperaattorin palveluja. Tietoliikenne tapahtuu http(s) protokollalla kutsuvasta järjestelmästä palveluun ja takaisin. Tunnistaminen on mahdollista toteuttaa tunnistuspalvelun kautta. Tietoliikenne tapahtuu (mahdollisesti) https protokollalla työaseman, kutsuvan järjestelmän ja palvelun välillä. Tunnistuspalvelu kutsuu kutsuvan järjestelmän sijasta mahdollisia muita tunnistamisen palveluita. Tunnistamisen ja sähköisen allekirjoituksen yhteydessä tarvittava varmenteiden tarkistus on mahdollista toteuttaa varmennetarkistuspalvelun avulla. Tietoliikenne tapahtuu (mahdollisesti) https protokollalla kutsuvan järjestelmän ja palvelun välillä. Varmennetarkistuspalvelu kutsuu kutsuvan järjestelmän sijasta sulkulistapalvelua. Sähköisten ten toteuttamisessa on mahdollista hyödyntää palvelua. Tietoliikenne tapahtuu (mahdollisesti) https protokollalla kutsuvan järjestelmän, työaseman ja palvelun välillä. Allekirjoituspalvelua kutsuu kutsuvan järjestelmän sijasta mahdollisia muita sähköisen allekirjoituksen palveluita. Kuva 8. PKI-tunnistamisen ja allekirjoituksen tietoliikenne

35 ARKKITEHTUURIMÄÄRITTELY 31/38 Kuva 9. mobiili-tunnistamisen ja allekirjoituksen tietoliikenne

36 ARKKITEHTUURIMÄÄRITTELY 32/38 5 SUORITUSKYKY 5.1 Tunnistaminen Tunnistamiseen liittyvät keskeiset suorituskykyä vaativat operaatiot ovat: Tunnistautuminen Varmenteen tarkistus Tietoliikenteen salaus Kaksi ensimmäistä operaatiota perustuvat julkisen avaimen salaukseen ja niiden tehokkuuteen vaikuttaa käytettävä algoritmi ja avaimen pituus. Esimerkiksi RSAalgoritmin mukaisessa tunnistamisessa avaimen pituuden kasvaminen kaksinkertaiseksi hidastaa toimintoa noin viisinkertaisesti. Tietoliikenteen salaus perustuu symmetriseen salaukseen ja sen tehokkuuteen vaikuttaa käytettävä algoritmi ja avaimen pituus. Eri algoritmien välinen nopeusero on noin kaksinkertainen. Tunnistamisen operaatiot ovat nopeutettavissa salauslaitteella ja / tai salauskiihdyttimellä. 5.2 Sähköinen Sähköiseen allekirjoitukseen liittyvät keskeiset suorituskykyä vaativat operaatiot ovat: Allekirjoittaminen Varmenteen tarkistus Tiedon yhtenäistäminen (canonicalization, c14n) Kaksi ensimmäistä operaatiota perustuvat julkisen avaimen salaukseen ja niiden tehokkuuteen vaikuttaa käytettävä algoritmi ja avaimen pituus. Tiedon yhtenäistäminen perustuu XML-teknologiaan ja sen tehokkuuteen vaikuttaa käytettävä algoritmi ja rakenteen monimutkaisuus. Allekirjoituksen nopeuteen vaikuttaan sen muodostamiseen käytettävän ohjelmisto- ja laitteistokokonaisuuden yhteen toimivuus ja osien nopeus. Varmenteen tarkistusoperaatio on nopeutettavissa salauslaitteella ja / tai salauskiihdyttimellä. Tiedon yhtenäistämisen tehokkuuden optimointi liittyy yleiseen XML-rakenteen käsittelyn tehokkuuden optimointiin.

37 ARKKITEHTUURIMÄÄRITTELY 33/38 6 PALVELUTUOTANNON ALUSTAVA SUUNNITELMA 6.1 Varmenteiden uusiminen Sekä käyttäjien, järjestelmien että varmentajien varmenteet uusiutuvat säännöllisesti. Käyttäjien varmenteiden uusiutuminen tulee ottaa huomioon erityisesti jos varmenteen tietoja käytetään yksilöintiin. Järjestelmän ja varmentajan varmenteiden uusiminen tulee tehdä ajoissa ennen varmenteiden vanhenemista. Varmenteiden uusiminen edellyttää huolellista suunnittelua, erityisesti jotta päivitykset voidaan toteuttaa ilman käyttökatkoksia. 6.2 Järjestelmien päivitykset ja migraatiot Järjestelmien päivitykset ja migraatiot tulee toteuttaa suunnitellusti ja huolellisesti. Kansallisten palveluiden tuottajan on hyvä toteuttaa tuotantojärjestelmän kanssa yhdenmukainen testiympäristö ja valvoa että kaikki muutokset testataan hyväksytysti siinä ennen niiden käyttöönottoa. Tämän lisäksi voi olla hyvä toteuttaa kolmas erillinen kehitysympäristö, jossa toiminnallisuutta voi testata ennen hyväksymistestausta. 6.3 Toteutusten hyväksyttäminen ja valvonta Tunnistus ja sähköisen allekirjoituksen toteutusten luotettavuuden takaamiseksi niille on mahdollista toteuttaa hyväksyntäkäytäntö. Hyväksynnän ja valvonnan toteuttaminen voi olla perusteltua tehdä riippumattomalla taholla jota voi käyttää sekä liitännäisjärjestelmien että kansallisen palvelun auditointiin.

38 ARKKITEHTUURIMÄÄRITTELY 34/38 7 JATKOKEHITYSIDEAT 7.1 Tupas tunnistaminen Kaaviossa [Kuva 10] on kuvattu pankkien tunnistamispalveluun (Tupas) pohjautuvan käyttäjän tunnistamisen sovellusarkkitehtuuri. Tällä hetkellä pankkien tarjoamaa tunnistuspalvelua on lainsäädännön puitteissa mahdollista käyttää tunnistamiseen, mutta ei allekirjoitukseen. Se ei ole lain sähköisestä allekirjoituksesta mukainen laatuvarmenteeseen perustuva kehittynyt sähköinen. Allekirjoitusmahdollisuuden puuttuessa tätä menetelmää ei ole mielekästä käyttää terveydenhuollon ammattihenkilöiden tunnistamisvälineenä lainkaan vaan näiden käyttäjien osalta käytetään TEO-varmenteeseen perustuvaa PKI-tunnistusta. Kansalaisen katseluyhteys saattaisi olla mahdollista toteuttaa Tupas-tunnistuksen avulla. Jos jatkossa katseluyhteyksien kautta on mahdollista pelkän katselun lisäksi tehdä ta vaativia toimenpiteitä, kuten suostumusten ja kieltojen hallintaa, on käytettävä kehittynyttä sähköistä ta.

39 ARKKITEHTUURIMÄÄRITTELY 35/38 Käyttöliittymäkerros & esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros Kirjautuminen Tunnistus-protokolla Pankin valinta Valitse pankki Tunnistusrakenteen muodostus Hyväksytyt pankit Tunnusluvun syöttö Tunnistus-pyyntö Tunnistus-protokolla Ok? OK Tarkistukset Tarkista tunnistus-vastaus Tarkistukset OK? OK Yksilöinti Lue yksilöintitieto tunnistus-vastauksesta Epäonnistunut kirjautuminen Käytössä muu yksilöintitieto? Muu Hae käyttäjän yksilöintitieto Yksilöintitiedot Kutsu yksilöintipalvelua OK Yksilöinti OK? Auktorisoi käyttäjä Käytön rajaus Käyttäjien tiedot Käyttöoikeudet Onnistunut kirjautuminen OK Auktorisointi OK? Käyttäjäistunto alkaa Istunnon tila Kuva 10. Tupas-tunnistamisen sovellusarkkitehtuuri Käyttöliittymäkerros ja esitystapakerros Tupas-tunnistamisessa on PKI-tunnistamisen kaltainen tunnusluvun syöttö käyttöliittymä, mutta varmenteen valinta käyttöliittymän sijasta tyypillisesti pankin valinta -käyttöliittymä: Pankin valinta

40 7.1.2 Sovelluslogiikkakerros ARKKITEHTUURIMÄÄRITTELY 36/38 o Käyttöliittymä, jolla käyttäjä valitsee minkä pankin tunnuksilla hän haluaa tunnistautua / allekirjoittaa tiedon. Voi olla esimerkiksi yksinkertainen listausnäkymä, josta käyttäjä voi valita pankin tai perua toiminnon. o Vastaava käyttöliittymä on käytössä myös allekirjoituksessa. Tupas-tunnistaminen eroaa PKI-tunnistamisesta yksityiskohdiltaan, mutta ei periaatteeltaan. Tupas-tunnistamisen sovelluslogiikkakerroksen toiminnallisuus on kuvattu kuvassa vaiheittain. Tunnistetut eroavat vaiheet ja niiden kuvaukset ovat: Valitse pankki o Allekirjoitukseen käytettävän pankin valintakäyttöliittymän käynnistys. Tunnistus-pyyntö Tiedonhallintakerros o Tupas -protokollan mukaisen tunnistuksen teettäminen käyttäjällä (hänen pankillaan). Käynnistää tunnusluvun syöttö käyttöliittymän. Tarkista tunnistus-vastaus o Tupas -protokollan mukaisen paluusanoman rakenteen tarkistus Lue yksilöintitieto tunnistus-vastauksesta o Pankin palauttaman paluusanoman tietorakenteesta käyttäjän yksilöinnissä käytettävän tiedon muodostaminen. Voi olla suoraan järjestelmän käyttämä yksilöintitieto, tai yksilöintitieto jonka avulla järjestelmän käyttämä yksilöintitieto muodostetaan. Tupas -tunnistamisen tiedonhallintakerroksen toiminnallisuus on kuvattu kuvassa tietorakenteittain. Edellisten lisäksi tunnistettu tietorakenne ja sen kuvaus on: Hyväksytyt pankit o Tiedot pankeista joiden suorittama Tupas-tunnistus hyväksytään.

41 ARKKITEHTUURIMÄÄRITTELY 37/ Tupas Käyttöliittymäkerros & esitystapakerros Sovelluslogiikkakerros Tiedonhallintakerros Allekirjoituksen käynnistys Vahvistetaanko? Ei Tiedon vahvistus Esitä tiedot Allekirjoitus-protokolla Pankin valinta Valitse pankki Allekirjoitussanoman muodostus Hyväksytyt pankit Tunnusluvun syöttö Allekirjoitus-pyyntö Allekirjoitus-protokolla Ok? OK Tarkistukset Tarkista -vastaus Tarkistukset OK? Allekirjoitus epäonnistui OK Kokoa muoto Järjestelmäallekirjoita Aikaleimaa muoto Onnistunut Tallenna muoto Allekirjoitus Kuva 11. Tupas -allekirjoituksen sovellusarkkitehtuuri Käyttöliittymäkerros ja esitystapakerros Tupas-allekirjoituksessa on PKI-tunnistamisen kaltainen tunnusluvun syöttö käyttöliittymä, mutta varmenteen valinta käyttöliittymän sijasta tyypillisesti pankin valinta -käyttöliittymä:

42 ARKKITEHTUURIMÄÄRITTELY 38/38 Pankin valinta Sovelluslogiikkakerros o Käyttöliittymä, jolla käyttäjä valitsee minkä pankin tunnuksilla hän haluaa tunnistautua / allekirjoittaa tiedon. Voi olla esimerkiksi yksinkertainen listausnäkymä, josta käyttäjä voi valita pankin tai perua toiminnon. o Vastaava käyttöliittymä on käytössä myös tunnistamisessa. Tupas- eroaa PKI- allekirjoituksesta yksityiskohdiltaan ja periaatteeltaan. Tupas- allekirjoituksen sovelluslogiikkakerroksen toiminnallisuus on kuvattu kuvassa vaiheittain. Tunnistetut eroavat vaiheet ja niiden kuvaukset ovat: Valitse pankki o Allekirjoitukseen käytettävän pankin valintakäyttöliittymän käynnistys. o Vastaava vaihe kuin tunnistamisessa Allekirjoitussanoman muodostus o Tupas -protokollan mukaisen sanoman muodostus Allekirjoitus-pyyntö Tiedonhallintakerros o Tupas -protokollan mukaisen tunnistuksen / vahvistuksen / allekirjoituksen teettäminen käyttäjällä (hänen pankillaan), käynnistää tunnusluvun syöttö käyttöliittymän. Tarkista -vastaus o Tupas -protokollan mukaisen paluusanoman rakenteen tarkistus Järjestelmäallekirjoita o Järjestelmä allekirjoittaa pankin palauttaman käyttäjän yksilöivän paluusanoman, sen tarkistustietojen ja allekirjoituksen kohteena olleen tiedon. Tupas-allekirjoituksen tiedonhallintakerroksen toiminnallisuus on kuvattu kuvassa tietorakenteittain. Edellisten lisäksi tunnistettu tietorakenne ja sen kuvaus on: Hyväksytyt pankit o Tiedot pankeista joiden suorittama Tupas- hyväksytään