Аутентификация и идентификация пользователей ГИЦ

доступ

Интернет
(публичная телекоммуникационная
инфраструктура)

информирование
публикация официальных документов
обращения в ОГВ

Население, организации

пользователи ведомств

Программно-технические комплексы

Защищенный канал связи

информирование
публикация официальных документов
обращения в ОГВ

Население, организации

TLS с использованием российских криптографических алгоритмов
Kerberos аутентификация (терминальный доступ, и т. д.)
RADIUS (EAP-TLS) (PPTP, беспроводные точки доступа, и т. д.)

иерархическая территориально-распределенная подсистема Регистрации Пользователей ФИЦ (LDAP, MS Active Directory), реализованная в виде связанного "леса" ("дерева") Центров Регистрации компонент ФИЦ (федерального, территориальных)

Процедуры аутентификации с использованием сертификатов
открытых ключей (ГОСТ)

Единое, общее пространство идентификаторов пользователей

handshake)

4

Портал проверяет сертификат,
идентифицирует пользователя,
направляет запрос о его правах

5

Возвращает атрибуты (права) пользователя

6

с поддержкой российских криптоалгоритмов
каждая из компонент ФИЦ использует одну или несколько независимых точек входа (проблема централизованного аудита, биллинга)
жесткие требования к формату (шаблонам) сертификатов открытых ключей пользователей
механизмы обеспечения распределенности реализуются только через единый связанный каталог (LDAP, MS AD)
ограниченность информации, предоставляемой сервису в результате идентификации (только аутентифицирующая информация)

- паспорт (вы гражданин некоторой страны)
ГИБДД - водительское удостоверение (регион, категория и т.д.)
Услуги - кредитная карта (ФИО, счет, банк)

Кто вы в реальной жизни?

Развитие системы идентификации

Разные ситуации (услуги) требуют разных удостоверений с разной информацией
Каждое из удостоверений:
выдано разными поставщиками удостоверений
содержит разный набор информации
ему доверяют разные доверяющие стороны

хранящийся на электроном идентификаторе (социальной карте) подтверждение правомерности обладания электронным "паспортом"
цифровое удостоверение - маркер доступа единого формата (XML)
метасистема - единообразный способ работы с разными цифровыми удостоверениями, независимо от типа доступа и информации в удостоверении
веб-сервисы (WS-Security, WS-Trust, WS-MetadataExchange, WS-SecurityPolicy)

Единое цифровое удостоверение

перечень
поставщиков "доверия"

1

2

Пользователь

3

Предъявляет
смарткарту

5

Запрашивает цифровое
удостоверение, предъявляя
сертификат пользователя
(TLS handshake)

6

Возвращает цифровое удостоверение,
содержащее атрибуты/права пользователя и дополнительную информацию

Предъявляет цифровое удостоверение

Авторизованный доступ ГИЦ

4

(доверенная третья сторона) и получение цифрового удостоверения для доступа к конкретному сервису
решение о доступе к конкретному ресурсу принимается в результате проверки полученного цифрового удостоверения

Центр Идентификации позволяет использовать различные типы сертификатов для аутентификации и создания цифрового удостоверения, обеспечивается уникальность идентификатора пользователя
Сервис получает с цифровым удостоверением идентификатор, атрибуты пользователя и необходимую ему информацию в стандартизированном виде

Развитие системы аутентификации и идентификации

Процедуры аутентификации с использованием сертификатов
открытых ключей

Единое, общее пространство идентификаторов пользователей

и услугам в соответствии с устанавливаемыми регламентами
доступ посредством идентификации пользователей с помощью единых универсальных цифровых идентификаторов
гарантированная криптографическая аутентификация
предоставление новым сервисам необходимой только им информации, выданной доверенной третьей стороной
возможность использование информации из цифрового идентификатора для обеспечения юридической значимости электронного документа, заверенного ЭЦП
возможность масштабируемости сервисов за счет расширения Центров Идентификации
использование унифицированной электронной карты в качестве идентификатора пользователя ГИЦ

Решаемые задачи

с ГОСТ Р34.11-94
Алгоритм шифрования в соответствии с ГОСТ 28147-89
Физическая защищенность микроконтроллера
Аппаратные средства контроля целостности данных и разграничения доступа к областям памяти микроконтроллера
Аппаратные средства защиты от динамических и статических методов исследования
Защита методами полиграфии
Надежность
Выпускаемый серийно современный микроконтроллер от мирового лидера STMicroelectronics
Сертификация на соответствие стандарту ISO/IEC 15408 (Common criteria) с уровнем доверия EAL 5+
Сертификация криптомодуля операционной системы в ФСБ РФ с
уровнем доверия КС2
Универсальность
Соответствие международным стандартам
Соответствие российским требованиям в области информационной
безопасности
Поддержка контактного и бесконтактного (радио) интерфейсов

Электронный идентификатор

и достоверности данных, хранящихся в памяти карты
Подтверждение операций с применением ЭЦП
Осуществление безналичных электронных платежей
Реализацию функций корпоративных и региональных систем
Защищенную эмиссию

Приложения идентификационной карты
Социальное идентификационное приложение
Аутентификация с использованием карты
Аутентификация персональных идентификационных и
социальных данных
Идентификация держателя карты
Приложение ЭЦП
Юридически значимый документооборот
Дополнительные приложения
Платежное приложение
Транспортное приложение
Медицинское приложение
Приложение ЖКХ
...

Электронный идентификатор