Аутентификация и идентификация пользователей ГИЦ
Архитектура публичного контура Государственного информационного центра Публичный контур ГИЦ Открытый сегмент публичный доступ Защищенный сегмент авторизованный доступ Интернет (публичная телекоммуникационная инфраструктура) информирование публикация официальных документов обращения в ОГВ Население, организации пользователи ведомств Программно-технические комплексы Защищенный канал связи информирование публикация официальных документов обращения в ОГВ Население, организации
Подсистема Аутентификации и Регистрации ФИЦ взаимная двухсторонняя строгая аутентификация для Web-служб по протоколу TLS с использованием российских криптографических алгоритмов Kerberos аутентификация (терминальный доступ, и т. д.) RADIUS (EAP-TLS) (PPTP, беспроводные точки доступа, и т. д.) иерархическая территориально-распределенная подсистема Регистрации Пользователей ФИЦ (LDAP, MS Active Directory), реализованная в виде связанного "леса" ("дерева") Центров Регистрации компонент ФИЦ (федерального, территориальных) Процедуры аутентификации с использованием сертификатов открытых ключей (ГОСТ) Единое, общее пространство идентификаторов пользователей
Авторизованный доступ Центр Регистрации пользователей Web-портал Клиент Клиент запрашивает ресурс Портал просит "представиться" 1 2 Пользователь Пользователь предъявляет смарткарту 3 Сертификат пользователя (TLS handshake) 4 Портал проверяет сертификат, идентифицирует пользователя, направляет запрос о его правах 5 Возвращает атрибуты (права) пользователя 6
Развитие системы идентификации Проблемы существующих систем отсутствие реализации процедур первичной аутентификации на некоторых платформах с поддержкой российских криптоалгоритмов каждая из компонент ФИЦ использует одну или несколько независимых точек входа (проблема централизованного аудита, биллинга) жесткие требования к формату (шаблонам) сертификатов открытых ключей пользователей механизмы обеспечения распределенности реализуются только через единый связанный каталог (LDAP, MS AD) ограниченность информации, предоставляемой сервису в результате идентификации (только аутентифицирующая информация)
Способ идентификации меняется в зависимости от жизненной ситуации. Государство - общегражданский паспорт Граница - паспорт (вы гражданин некоторой страны) ГИБДД - водительское удостоверение (регион, категория и т.д.) Услуги - кредитная карта (ФИО, счет, банк) Кто вы в реальной жизни? Развитие системы идентификации Разные ситуации (услуги) требуют разных удостоверений с разной информацией Каждое из удостоверений: выдано разными поставщиками удостоверений содержит разный набор информации ему доверяют разные доверяющие стороны
Развитие системы идентификации сертификат ключа подписи - единый идентифицирующий гражданина электронный "паспорт" закрытый ключ, хранящийся на электроном идентификаторе (социальной карте) подтверждение правомерности обладания электронным "паспортом" цифровое удостоверение - маркер доступа единого формата (XML) метасистема - единообразный способ работы с разными цифровыми удостоверениями, независимо от типа доступа и информации в удостоверении веб-сервисы (WS-Security, WS-Trust, WS-MetadataExchange, WS-SecurityPolicy) Единое цифровое удостоверение
Центр Идентификации (Identity Provider) доверенная третья сторона Web-портал Клиент Клиент запрашивает ресурс Портал просит представиться с помощью цифрового удостоверения, определяя перечень поставщиков "доверия" 1 2 Пользователь 3 Предъявляет смарткарту 5 Запрашивает цифровое удостоверение, предъявляя сертификат пользователя (TLS handshake) 6 Возвращает цифровое удостоверение, содержащее атрибуты/права пользователя и дополнительную информацию Предъявляет цифровое удостоверение Авторизованный доступ ГИЦ 4
аутентификация с использованием сертификата пользователя (TLS handshake) на Центре Идентификации (доверенная третья сторона) и получение цифрового удостоверения для доступа к конкретному сервису решение о доступе к конкретному ресурсу принимается в результате проверки полученного цифрового удостоверения Центр Идентификации позволяет использовать различные типы сертификатов для аутентификации и создания цифрового удостоверения, обеспечивается уникальность идентификатора пользователя Сервис получает с цифровым удостоверением идентификатор, атрибуты пользователя и необходимую ему информацию в стандартизированном виде Развитие системы аутентификации и идентификации Процедуры аутентификации с использованием сертификатов открытых ключей Единое, общее пространство идентификаторов пользователей
Авторизованный доступ ГИЦ авторизованный доступ населения, организаций и ведомств к информационным ресурсам и услугам в соответствии с устанавливаемыми регламентами доступ посредством идентификации пользователей с помощью единых универсальных цифровых идентификаторов гарантированная криптографическая аутентификация предоставление новым сервисам необходимой только им информации, выданной доверенной третьей стороной возможность использование информации из цифрового идентификатора для обеспечения юридической значимости электронного документа, заверенного ЭЦП возможность масштабируемости сервисов за счет расширения Центров Идентификации использование унифицированной электронной карты в качестве идентификатора пользователя ГИЦ Решаемые задачи
Защищенность Защищенность информации криптографическими методами ЭЦП в соответствии с ГОСТ Р Алгоритм хэширования в соответствии с ГОСТ Р Алгоритм шифрования в соответствии с ГОСТ Физическая защищенность микроконтроллера Аппаратные средства контроля целостности данных и разграничения доступа к областям памяти микроконтроллера Аппаратные средства защиты от динамических и статических методов исследования Защита методами полиграфии Надежность Выпускаемый серийно современный микроконтроллер от мирового лидера STMicroelectronics Сертификация на соответствие стандарту ISO/IEC (Common criteria) с уровнем доверия EAL 5+ Сертификация криптомодуля операционной системы в ФСБ РФ с уровнем доверия КС2 Универсальность Соответствие международным стандартам Соответствие российским требованиям в области информационной безопасности Поддержка контактного и бесконтактного (радио) интерфейсов Электронный идентификатор
Применение микропроцессорной карты обеспечивает Идентификацию держателя карты Юридически значимую аутентификацию Подтверждение целостности и достоверности данных, хранящихся в памяти карты Подтверждение операций с применением ЭЦП Осуществление безналичных электронных платежей Реализацию функций корпоративных и региональных систем Защищенную эмиссию Приложения идентификационной карты Социальное идентификационное приложение Аутентификация с использованием карты Аутентификация персональных идентификационных и социальных данных Идентификация держателя карты Приложение ЭЦП Юридически значимый документооборот Дополнительные приложения Платежное приложение Транспортное приложение Медицинское приложение Приложение ЖКХ... Электронный идентификатор
Заключение Реализованы в 2006 году - подсистема Аутентификации и Регистрации ФИЦ, которая в данный момент функционирует и обеспечивает использование сервисов; в системный проект территориально распределенной системы аутентификации и идентификации пользователей ФИЦ, который определяет пути дальнейшего развития в русле современных информационных технологий. В 2008 с использованием результатов проекта планируется реализация системы аутентификации и идентификации пользователей ГИЦ.