Poimintatiedoston muodostuksessa noudatetaan AvoHILMO-oppaassa esitettyä määrittelyä.

Samankaltaiset tiedostot
Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

OnniSMS Rajapintakuvaus v1.1

Opus SMS tekstiviestipalvelu

K U U L A L A A K E R I LUOTTAMUKSELLINEN 1(6)

Pikaviestinnän tietoturva

Viestit-palvelun viranomaisliittymän ohjelmointiohje. Java-esimerkki

RSA-salakirjoitus. Simo K. Kivelä, Apufunktioita

SÄHKÖPOSTIN SALAUSPALVELU

Salakirjoitusmenetelmiä

Palvelukuvaus 1 (10) Handelsbankenin tunnistuspalvelun palvelukuvaus

Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke

T Hypermediadokumentin laatiminen. Sisältö. Tavoitteet. Mitä on www-ohjelmointi? Arkkitehtuuri (yleisesti) Interaktiivisuuden keinot

POP PANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?

WEB SERVICES RAJAPINTA SAMLINKIN TEKNINEN RAJAPINTAKUVAUS OHJELMISTOTALOILLE

Tiedonsiirto- ja rajapintastandardit

Maventa Connector Käyttöohje

NORDEAN WEB SERVICES YHTEYDEN KÄYTTÖÖNOTTO

Tiedostojen toimittaminen FINASiin 1(7)

Maksuturva-palvelun käyttöönottolomakkeen rajapintakuvaus verkkokauppaohjelmistolle

L7 8.8 Tulorekisteriaineistot: Aineistojen lähetys ja virhetilanteet, aineistojen korjaaminen

Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke

Ilmoitus saapuneesta turvasähköpostiviestistä

Varmennepalvelu Rajapintakuvaus Tulorekisteriyksikkö

T2V2 Turvallisuushavaintoilmoitussanomakuvaus

Ohjelmoinnin perusteet Y Python

sertifikaattiratkaisu Apitamopki

Koostanut Juulia Lahdenperä ja Rami Luisto. Salakirjoituksia

KServer Etäohjaus Spesifikaatio asiakaspuolen toteutuksille

TEKNINEN MÄÄRITTELY. Matkahuollon osoitekorttihaun rajapinta. Ismo Koskinen

Toimintaympäristön kuvaus. LTC-Otso Myyjän työkalu (POC)

VERKKOPANKKILINKKI. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun. Palvelun kuvaus ja palveluntarjoajan ohje

Maestro Sähköpostilähetys

Verkkopankkilinkki SUOMEN PANKKIYHDISTYS. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun

Kymenlaakson Kyläportaali

Varmennepalvelu - testipenkki. Kansallisen tulorekisterin perustamishanke

T2V2 Vaaratilanneilmoitussanomakuvaus

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

Sähköpostitilin käyttöönotto

VERKKOPANKKILINKKI. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun. Palvelun kuvaus ja palveluntarjoajan

OMA SÄÄSTÖPANKIN TUNNISTUSPALVELUN PALVELUKUVAUS

Valppaan asennus- ja käyttöohje

Kansalaisen asiointitilin sähköposti-integraatio. Ratkaisukuvaus

Sähköisen äänestyksen pilotti

TEKNINEN OHJE VAIHTOTASETIETOJEN TIEDOSTORAPORTOINTIIN EXCEL-TYÖKIRJALLA

Titan SFTP -yhteys mittaustietoja varten

Pilottipalvelun esittely johtopäätökset

Tekstiviestipalvelun rajapintakuvaus

Liite 1: KualiKSB skenaariot ja PoC tulokset. 1. Palvelun kehittäjän näkökulma. KualiKSB. Sivu 1. Tilanne Vaatimus Ongelma jos vaatimus ei toteudu

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Vaatimusmäärittely Ohjelma-ajanvälitys komponentti

Sosiaalihuollon asiakastiedon arkiston validointipalvelu. Käyttöohje

Visma L7 Visma Sign. Sähköinen allekirjoittaminen L7:ssä

Ohjeet vastaamiseen SFTP:llä. Yleistä Kirjautuminen Varmistus/sormenjälki Tiedostojen kopiointi Yhteystietojen antaminen

Luottamuksellinen sähköposti Trafissa

Ohjelmoinnin perusteet Y Python

Maksuturva- ja emaksut- palvelun integrointiohje

Yleinen ohjeistus Linux tehtävään

NÄIN TOIMII. alakirjoituksen historia ulottuu tuhansien

Visma Nova Webservice Versio 1.1 /

LoCCaM Riistakamerasovellus. Dimag Ky dimag.fi

LoCCaM. LoCCaM Cam laitteiston ohjaaminen. Dimag Ky dimag.fi

Tikon ostolaskujen käsittely

1 Visma L7 päivitysaineiston nouto

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

Tietoturva P 5 op

E-laskun linkki Palvelukuvaus

Osallistu julkisiin hankintoihin helposti ja turvallisesti. Tarjouspalvelu Pienhankintapalvelu Marketplace

Maksuturva-palvelun rajapintakuvaus verkkokaupalle / MAKSUN PERUUTUS

Yritysturvallisuuden perusteet

VIRANOMAISEN PALUUKANAVA WS API. Suomi.fi-viestit julkinen rajapinta

Visma Software Oy

PANKKILINJAN FTP - KUVAUS

Ylläpitodokumentti. Boa Open Access. Helsinki Ohjelmistotuotantoprojekti HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Excel-lomakkeen (syöttötaulukko) käyttäminen talousarvio- ja suunnitelmatietojen toimittamisen testaamisessa Kuntatalouden tietopalvelussa

LB-Sokopro projektipankki, Elementtisuunnitelmatiedostojen nimeäminen ja vienti projektipankkiin OSAAVA SUOMALAINEN PERHEYHTIÖ

Asiointitilin sähköpostiintegraatio. Ratkaisukuvaus

Tikon ostolaskujen käsittely

Ilmonet ja rajapinnat Pääkaupunkiseudun kansalais- ja työväenopistojen kurssit

Basware toimittajaportaali

SALAUSMENETELMÄT. Osa 2. Etätehtävät

TIEA241 Automaatit ja kieliopit, syksy Antti-Juhani Kaijanaho. 30. marraskuuta 2015

Web-palvelu voidaan ajatella jaettavaksi kahteen erilliseen kokonaisuuteen: itse palvelun toiminnallisuuden toteuttava osa ja osa, joka mahdollistaa k

Tietoturvan perusteita

Basware Portal palvelun ohje toimittajille

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac

Sonera Yrityssähköposti. Outlook 2013 lataus ja asennus

Käyttöohje. Ticket Inspector. Versio 1.0. Sportum Oy

Varmennepalvelu Rajapintakuvaus Kansallisen tulorekisterin perustamishanke

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen

Case VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori

Autentikoivan lähtevän postin palvelimen asetukset

Julkinen sanomarajapinta ja

Opintopolku/SOTELI-integraation rajapintamääritykset

Seuraavat tasot sisältävät alueita ja pisteitä samassa tasossa. o Asemakaavat o Kaavayksiköt o Kiinteistöt

Nimittäin, koska s k x a r mod (p 1), saadaan Fermat n pienen lauseen avulla

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Transkriptio:

1(7) AvoHILMO 2011, versio 2.0 Sähköisen tiedonsiirron ohje Periaatteet Kaikki arkaluonteinen ja henkilötunnuksellista tietoa sisältävä aineisto toimitetaan aina vahvasti salakirjoitettuna. Aineiston on oltava salakirjoitettuna koko toimitusprosessin ajan THL ottaa vastaan ainoastaan allekirjoitettuja aineistoja. Tiedonsiirtoratkaisuissa pyritään käyttämään standardeja, joiden avulla asiakasohjelmien ja reitityksen muodostus olisi mahdollisimman helppoa. Aineistojen toimitus ei ole kriittistä toimintaa: riittää, että aineisto saadaan jossain vaiheessa toimitetuksi Aineistoissa suositaan tiivistä päivitystahtia esimerkiksi kerran päivässä. Reaaliaikaisuutta ei vaadita. Poimintatiedoston muodostus Poimintatiedoston muodostuksessa noudatetaan AvoHILMO-oppaassa esitettyä määrittelyä. Poimintatiedoston salakirjoitus Poimintatiedostot sisältävät arkaluonteisia ja salassa pidettäviä tietoja. Tästä johtuen poimintatiedostot tulee salakirjoittaa aina ennen kuin ne toimitetaan THL:n. AvoHILMOn salakirjoitustavaksi on valittu OpenPGP-standardi RFC 4880. Salaus perustuu julkiseen avaimeen, jonka avulla salattu tiedosto voidaan avata vain ja ainoastaan julkista avainta vastaavan salaisen avaimen avulla. Kullekin toimijalle muodostetaan OpenPGPstandardin mukaiset julkinen ja salainen avain. Toimijat jakavat keskenään julkiset avaimensa. Erityisesti poimintatiedoston salaava taho noutaa THL:n julkisen avaimen ja rekisteröi oman julkisen avaimensa THL:n. Poimintatiedostojen salaukseen käytetään AES-256 salausalgoritmia. Avaimet ovat muodostettu 2048-bittisinä RSA-avaimina. Salausprosessi: 1. Potilastietojärjestelmästä muodostetaan AvoHILMO-poimintatiedosto 2. Poimintatiedosto syötetään salausohjelmalle tai komponentille 3. Salausohjelma tai -komponentti luo salakirjoitetun version poimintatiedostossa siten, että salausavaimena käytetään THL:n julkista avainta 4. Salausohjelma tai -komponentti luo allekirjoituksen poimintatiedostosta siten, että salausavaimena käytetään salaajan salaista avainta 5. Salakirjoitettu poimintatiedosto ja poimintatiedoston allekirjoitus toimitetaan THL:lle 6. THL:n vastaanottopalvelin purkaa salakirjoituksen oman salatun avaimensa avulla 7. THL:n vastaanottopalvelin tarkistaa poimintatiedoston allekirjoituksen salaajaan julkisen avaimen avulla

2(7) Huom. poimintatiedosto salakirjoitetaan kokonaisuudessaan; henkilötunnuksia tai muita kenttiä ei salakirjoiteta erikseen. Salakirjoitetun poimintatiedoston toimitus Poimintatiedostot voidaan toimittaa THL:lle automatisoidusti web-palvelun avulla. Web-palvelu on julkaistu WSDL-kuvauksena ja kommunikointi tapahtuu SOAP-protokollan mukaisesti. Palvelu ei ota kantaa siihen, mitä toimitettava aineisto sisältää. Viestien reititykseen käytetään versiosta 1.0 lähtien WS-Addressing -spesifikaatiota. Tämän avulla voidaan määritellä viestin yksilöintitunnus, lähettäjä, kohde sekä reitityksen seuraava välietappi. WS-Addressing korvaa pilottivaiheessa käytössä olleen ad-hoc -ratkaisun. Salakirjoitettu aineisto toimitetaan MTOM (Message Transmission Optimization Mechanism) - liitteenä. MTOM:n käyttö pienentää lähetettävien viestien kokoa, sillä ilman MTOM:a lähettävän aineiston koko kasvaa 33 %. Lisäksi MTOMin avulla aineisto voidaan toimittaa binäärivirtana (application/octet-stream), joka mahdollistaa viestien tehokkaamman käsittelyn. Jotta MTOM toimisi mahdollisimman tehokkaasti, sen on oltava tuettuna kaikissa reititykseen osallistuvissa pisteissä. Lisäksi viestin toimitusta tulisi ohjeistaa siten, että SOAP viesti toimitetaan HTTP/1.1 -protokollan mukaisesti siten, että lähetys toimitetaan osissa (Chunked Transfer Coding, RFC 2616 3.6.1). AvoHILMO-asiakasohjelma THL on kehittänyt asiakasohjelman, joka sisältää salaus-, allekirjoitus- ja viestinvälitystoiminnallisuuden. Aineistojen lähetys ei edellytä asiakasohjelman käyttöä. Ohjelma on julkaistu avoimen MIT-lisenssin mukaisesti; ohjelmaa voi käyttää ja laajentaa vapaasti. Sitä voi hyödyntää myös osittain esimerkiksi pelkkänä salausohjelmana. Asiakasohjelma edellyttää Java 5 ympäristön tai uudemman Java Cryptographic Extensionin salausvahvuusrajausten poiston (JCE Unlimited Strength Jurisdiction Policy tiedostot ovat saatavilla Javan kotisivuilta) HTTP, HTTPS portin auki siten, että viesti voidaan lähettää THL:n tai johonkin välittävään palveluun Asiakasohjelmassa on lisäksi riippuvuus JAX-WS:n standarditoteutukseen. Tarvittaessa asiakasohjelmasta voidaan muodostaa versio, jossa tätä riippuvuutta ei ole vaan SOAPviestit käsitellään Apache Axis 2 -kirjaston avulla. Jos asiakasohjelmaa käytetään, kunkin toimittajan kohdalla on luotava asiakasohjelman asetustiedosto, jossa määritellään käytettävän OpenPGP-avaimen identiteetti ja salasana sekä minne aineisto lähetetään. Esimerkkiasetustiedosto ja sen muokkausohjeet toimitetaan asiakasohjelman yhteydessä. Käytettävä asetustiedosto on parametrisoitavissa, mikäli samasta asennuksesta lähetetään useita eri tyyppisiä tiedostoja.

3(7) Asiakasohjelma toimii komentorivillä. Ohjelman käyttöä varten on luotu komentosarjatiedostot client.bat ja client.sh, joiden avulla ohjelma voidaan ajaa kutsulla client <lähetttävän aineiston nimi>. Asiakasohjelman kutsu johtaa seuraaviin askeleisiin Asiakasohjelma lukee viestinvälitysasetukset asetustiedostosta Jos määritellylle identiteetille ei ole avainnippua, asiakasohjelma luo identiteetille julkisen ja salaisen avaimen Jos THL:n julkista avainta ei ole julkisten avainten nipussa, asiakasohjelma rekisteröi lähettäjän julkisen avaimen THL:n ja noutaa THL:n julkisen avaimen Asiakasohjelma salakirjoittaa ja luo erillisen allekirjoituksen syötteeksi annetusta tiedostosta Jos ei ole erikseen kielletty, asiakasohjelma kutsuu SOAP-viestillä vastaanottopalvelua, joka on määritelty asetustiedostossa. Asiakasohjelman ensimmäinen ajo kannattanee suorittaa siten, että SOAP-viestiä ei reititetä kolmannen osapuolen kautta. Avainten jakoa ei ole testattu reititetyn yhteyden ylitse eikä sen toimintaa voida tällaisessa tilanteessa taata. Vastaanottorajapinta 1.0 Vastaanottorajapinnan versio 1.0 julkaistaan kesällä 2010. Vastaanottorajapinta ottaa vastaan lähetettyjä aineistoja sekä rekisteröi ja jakelee julkisia avaimia. Aineistot käsitellään asynkronisesti. Tiedon toimitus Palvelu tukee AvoHILMO -poimintatiedoston versioita 1.6, 1.7 ja 2.0. https://www2.thl.fi/avohilmo/1.0/receive?wsdl Pyyntö submitter kyllä Merkkijono Lähetettävän järjestelmän käyttötunnus, käytetään OpenPGP-identiteetin nimiä contenttype kyllä Merkkijono Lähetettävän aineiston tyyppi, AvoHILMOssa käytettään "avohilmo/versio" esim "avohilmo/2.0" signature ei 64-kantainen lukuarvo Aineiston OpenPGP:n mukainen allekirjoitus attributes ei Merkkijono Lista avain-arvo -pareja, joilla voidaan toimittaa sanomatason määreitä content ei Binääriliite (application/octetstream) Varsinainen aineisto

4(7) Content-type kentän tuetut arvot ovat http://thl.fi/avohilmo/1.6 - AvoHILMOn tietosisältöversio 1.6 http://thl.fi/avohilmo/1.7 - AvoHILMOn tietosisältöversio 1.7 http://thl.fi/avohilmo/2.0 - AvoHILMOn tietosisältöversio 2.0 echo Yhteyden tarkistusta varten Vastaus Vastausviestinä toimitetaan ServiceTicket-tyyppinen olio, jossa on seuraavat kentät identifier ei Numero Lähetetyn aineiston käsittelytunnus state ei Enumeraatio Lähetetyn aineiston tila (pending - otettu vastaan mutta ei käsitelty, completed - käsitelty, failed - epäonnistunut message ei Merkkijono Tilaa kuvaava viesti Virhetilanteet THL:n päässä Virhetilanne Syy Toiminta Palvelinta ei voida saavuttaa Proxy-virhe SOAP-virhe THL:n vastaanottopalvelin tai edustapalvelin ei ole päällä tai verkkoliikenne ei pääse jostain muusta syystä perille. Poimintatiedoston vastaanottoon on kulunut yli 20 minuuttia Poikkeustilanne vastaanotossa johtuen joko virheellisestä viestistä tai jostain muusta tilasta Pidetään poimintatiedosto tallessa ja yritetään myöhemmin uudelleen esimerkiksi seuraavana päivänä Voidaan yrittää uudestaan. Pyritään pitämään lähetettävien viestien koot pienempinä Tarkistetaan, että viesti on muodostettu oikein. Jos on, otetaan yhteyttä THL:n ja selvitetään, mistä on kyse Failed-tila Viestiä ei ole voitu ottaa vastaan syystä tai toisesta Tarkistetaan tilaa kuvaava viesti, toimitaan viestin ohjeiden mukaisesti Yhteyden tarkistus Yhteyttä palvelimeen voi kokeilla echo-viestien avulla. Viesti, jonka content-type -kentän arvo on "echo", käsitellään siten, että lähetetty sisältö liitetään vastausviestin message-kentän arvoksi. Käsittely tehdään ajastetusti samalla tavalla kuin muiden viestien kanssa, joten vastaus ei ole välitön.

5(7) Yhteyden tarkistusviesti ei saa sisältää arkaluonteista sisältöä. Käsittelytilan tarkistus https://www2.thl.fi/avohilmo/1.0/receive?wsdl Pyyntö identifier ei Numero Lähetetyn aineiston käsittelytunnus Vastaus Vastausviestinä toimitetaan ServiceTicket-tyyppinen olio, jossa on seuraavat kentät identifier ei Numero Lähetetyn aineiston käsittelytunnus state ei Enumeraatio Lähetetyn aineiston tila (pending - otettu vastaan mutta ei käsitelty, completed - käsitelty, failed - epäonnistunut message ei Merkkijono Tilaa kuvaava viesti Virhetilanteet THL:n päässä Virhetilanne Syy Toiminta Palvelinta ei voida saavuttaa Proxy-virhe SOAP-virhe Failed-tila THL:n vastaanottopalvelin tai edustapalvelin ei ole päällä tai verkkoliikenne ei pääse jostain muusta syystä perille. Poimintatiedoston vastaanottoon on kulunut yli 20 minuuttia Poikkeustilanne vastaanotossa johtuen joko virheellisestä viestistä tai jostain muusta tilasta Viestiä ei ole voitu ottaa vastaan syystä tai toisesta Pidetään poimintatiedosto tallessa ja yritetään myöhemmin uudelleen esimerkiksi seuraavana päivänä Voidaan yrittää uudestaan. Pyritään pitämään lähetettävien viestien koot pienempinä Tarkistetaan, että viesti on muodostettu oikein. Jos on, otetaan yhteyttä THL:n ja selvitetään, mistä on kyse Tarkistetaan tilaa kuvaava viesti, toimitaan viestin ohjeiden mukaisesti

6(7) OpenPGP-avainten rekisteröintipalvelu https://www2.thl.fi/avohilmo/register?wsdl Palvelun avulla voidaan rekisteröidä uusi OpenPGP-identiteetti ja sitä vastaava julkinen avain. Tätä palvelua käytetään vain kerran. Pyyntö identity ei Merkkijono Salaajan OpenPGP-identiteetti publickey ei Merkkijono Salaajan OpenPGP-julkinen avain Vastaus Jos onnistuu niin THL:n julkinen avain Jos ei onnistu niin tyhjä merkkijono. Mikäli rekisteröinti epäonnistuu, vastausviesti ei sisällä julkista avainta. Rekisteröinti voi epäonnistua jos Viesti on muodostettu väärin, esimerkiksi toinen tai molemmat parametreista puuttuvat Rekisteröitävä julkinen avain ei ole OpenPGP:n mukainen julkinen avain Samalla identiteetille on jo rekisteröity toinen OpenPGP:n mukainen julkinen avain Muu ennakoimaton virhe osuu kohdalle Virhetilanteet THL:n päässä Virhetilanne Syy Toiminta Palvelinta ei voida saavuttaa Proxy-virhe SOAP-virhe THL:n vastaanottopalvelin tai edustapalvelin ei ole päällä tai verkkoliikenne ei pääse jostain muusta syystä perille. Poimintatiedoston vastaanottoon on kulunut yli 20 minuuttia Poikkeustilanne vastaanotossa johtuen joko virheellisestä viestistä tai jostain muusta tilasta Pidetään poimintatiedosto tallessa ja yritetään myöhemmin uudelleen esimerkiksi seuraavana päivänä Voidaan yrittää uudestaan. Pyritään pitämään lähetettävien viestien koot pienempinä Tarkistetaan, että viesti on muodostettu oikein. Jos on, otetaan yhteyttä THL:n ja selvitetään, mistä on kyse Pilottivaiheen vastaanottorajapinta Pilottivaiheen vastaanottorajapinta pysyy käytettävissä niin kauan kuin sen kautta toimitetaan aineistoja.

7(7) Tiedon toimitus https://www2.thl.fi/avohilmo/receive?wsdl Palvelun kautta voi toimittaa ainoastaan AvoHILMO 1.6 ja 1.7 poimintatiedostoja. Muita tiedostomuotoja ei tulla tukemaan. Mikäli sähköistä tiedonsiirto ei ole toteutettu aiemmin THL:n suuntaan, tämän rajapinnan käyttöönottoa ei suositella. Tiedostomuoto esitetään version-kentässä. Ainoa sallittu arvo kentälle on 1.6, jonka perusteella otetaan vastaan AvoHILMO 1.6 ja 1.7 tietosisältömäärittelyjä noudattavia poimintatiedostoja. Rajapinta ei toimi tyydyttävällä tavalla, jos lähetettävät aineistot ovat suuria. OpenPGP-avainten rekisteröintipalvelu https://www2.thl.fi/avohilmo/register?wsdl Käytössä sellaisenaan rajapinnan versiossa 1.0.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute