Скачать презентацию Способы аутентификации и идентификации пользователей на примере Общероссийского Скачать презентацию Способы аутентификации и идентификации пользователей на примере Общероссийского

86b3abfdaa8814a8bf62ff34b8837b85.ppt

  • Количество слайдов: 13

Способы аутентификации и идентификации пользователей на примере Общероссийского государственного информационного центра ООО «КРИПТО-ПРО» коммерческий Способы аутентификации и идентификации пользователей на примере Общероссийского государственного информационного центра ООО «КРИПТО-ПРО» коммерческий директор Маслов Юрий Геннадьевич [email protected] ru

Архитектура публичного контура Общероссийского государственного информационного центра Публичный контур ОГИЦ Открытый сегмент Защищенный сегмент Архитектура публичного контура Общероссийского государственного информационного центра Публичный контур ОГИЦ Открытый сегмент Защищенный сегмент публичный доступ авторизованный доступ информирование публикация официальных документов обращения в ОГВ Интернет (публичная телекоммуникационная инфраструктура) Защищенный канал связи пользователи ведомств Население, организации Программно-технические комплексы

Подсистема Аутентификации и Регистрации ОГИЦ Процедуры аутентификации с использованием сертификатов открытых ключей (ГОСТ) • Подсистема Аутентификации и Регистрации ОГИЦ Процедуры аутентификации с использованием сертификатов открытых ключей (ГОСТ) • • • взаимная двухсторонняя строгая аутентификация для Web-служб по протоколу TLS с использованием российских криптографических алгоритмов Kerberos аутентификация (терминальный доступ, и т. д. ) RADIUS (EAP-TLS) (PPTP, беспроводные точки доступа, и т. д. ) Единое, общее пространство идентификаторов пользователей • иерархическая территориально-распределенная подсистема Регистрации Пользователей ОГИЦ (LDAP, MS Active Directory), реализованная в виде связанного "леса" ("дерева") Центров Регистрации компонент ОГИЦ (федерального, территориальных)

Авторизованный доступ Пользователь Клиент 3 5 Пользователь предъявляет смарткарту Портал проверяет сертификат, идентифицирует пользователя, Авторизованный доступ Пользователь Клиент 3 5 Пользователь предъявляет смарткарту Портал проверяет сертификат, идентифицирует пользователя, направляет запрос о его правах 1 Клиент запрашивает ресурс 2 Возвращает атрибуты (права) пользователя Портал просит "представиться" 4 Сертификат пользователя (TLS handshake) 6 Центр Регистрации пользователей Web-портал

Развитие системы идентификации Проблемы существующих систем • отсутствие реализации процедур первичной аутентификации на некоторых Развитие системы идентификации Проблемы существующих систем • отсутствие реализации процедур первичной аутентификации на некоторых платформах с поддержкой российских криптоалгоритмов • каждая из компонент ОГИЦ использует одну или несколько независимых точек входа (проблема централизованного аудита, биллинга) • жесткие требования к формату (шаблонам) сертификатов открытых ключей пользователей • механизмы обеспечения распределенности реализуются только через единый связанный каталог (LDAP, MS AD) • ограниченность информации, предоставляемой сервису в результате идентификации (только аутентифицирующая информация)

Развитие системы идентификации Кто вы в реальной жизни? Способ идентификации меняется в зависимости от Развитие системы идентификации Кто вы в реальной жизни? Способ идентификации меняется в зависимости от жизненной ситуации. Государство - общегражданский паспорт Граница - паспорт (вы гражданин некоторой страны) ГИБДД - водительское удостоверение (регион, категория и т. д. ) Услуги - кредитная карта (ФИО, счет, банк) Разные ситуации (услуги) требуют разных удостоверений с разной информацией Каждое из удостоверений: • выдано разными поставщиками удостоверений • содержит разный набор информации • ему доверяют разные доверяющие стороны

Развитие системы идентификации Единое цифровое удостоверение • сертификат ключа подписи - единый идентифицирующий гражданина Развитие системы идентификации Единое цифровое удостоверение • сертификат ключа подписи - единый идентифицирующий гражданина электронный "паспорт" • закрытый ключ, хранящийся на электроном идентификаторе (социальной карте) подтверждение правомерности обладания электронным "паспортом" • цифровое удостоверение - маркер доступа единого формата (XML) • метасистема - единообразный способ работы с разными цифровыми удостоверениями, независимо от типа доступа и информации в удостоверении • веб-сервисы (WS-Security, WS-Trust, WS-Metadata. Exchange, WS-Security. Policy)

Авторизованный доступ ОГИЦ Пользователь 3 Предъявляет смарткарту Клиент 4 Запрашивает цифровое удостоверение, предъявляя сертификат Авторизованный доступ ОГИЦ Пользователь 3 Предъявляет смарткарту Клиент 4 Запрашивает цифровое удостоверение, предъявляя сертификат пользователя (TLS handshake) 1 Клиент запрашивает ресурс 2 Портал просит представиться с помощью цифрового удостоверения, определяя перечень поставщиков "доверия" 5 Возвращает цифровое удостоверение, содержащее атрибуты/права пользователя и дополнительную информацию 6 Предъявляет цифровое удостоверение Центр Идентификации (Identity Provider) доверенная третья сторона Web-портал

Авторизованный доступ ОГИЦ Развитие системы аутентификации и идентификации Процедуры аутентификации с использованием сертификатов открытых Авторизованный доступ ОГИЦ Развитие системы аутентификации и идентификации Процедуры аутентификации с использованием сертификатов открытых ключей • • аутентификация с использованием сертификата пользователя (TLS handshake) на Центре Идентификации (доверенная третья сторона) и получение цифрового удостоверения для доступа к конкретному сервису решение о доступе к конкретному ресурсу принимается в результате проверки полученного цифрового удостоверения Единое, общее пространство идентификаторов пользователей • • Центр Идентификации позволяет использовать различные типы сертификатов для аутентификации и создания цифрового удостоверения, обеспечивается уникальность идентификатора пользователя Сервис получает с цифровым удостоверением идентификатор, атрибуты пользователя и необходимую ему информацию в стандартизированном виде

Авторизованный доступ ОГИЦ Решаемые задачи • авторизованный доступ населения, организаций и ведомств к информационным Авторизованный доступ ОГИЦ Решаемые задачи • авторизованный доступ населения, организаций и ведомств к информационным ресурсам и услугам в соответствии с устанавливаемыми регламентами • доступ посредством идентификации пользователей с помощью единых универсальных цифровых идентификаторов • гарантированная криптографическая аутентификация • предоставление новым сервисам необходимой только им информации, выданной доверенной третьей стороной • возможность использование информации из цифрового идентификатора для обеспечения юридической значимости электронного документа, заверенного ЭЦП • возможность масштабируемости сервисов за счет расширения Центров Идентификации • использование унифицированной карты в качестве идентификатора пользователя ОГИЦ

Электронный идентификатор Защищенность информации криптографическими методами • ЭЦП в соответствии с ГОСТ Р 34. Электронный идентификатор Защищенность информации криптографическими методами • ЭЦП в соответствии с ГОСТ Р 34. 10 -2001 Надежность • Алгоритм хэширования в соответствии с ГОСТ Р 34. 11 -94 • Выпускаемый серийно современный микроконтроллер от • Алгоритм шифрования в соответствии с ГОСТ 28147 -89 мирового лидера STMicroelectronics Универсальность Физическая защищенность микроконтроллера • Сертификация на соответствиестандартам ISO/IEC 15408 стандарту • Соответствиесредства контроля целостности данных и Аппаратные международным (Common criteria) с уровнем доверия EAL 5+ разграничения доступа к областям памяти микроконтроллера • Соответствие российским требованиям в области информационной • Сертификация криптомодуля от динамических и статических Аппаратные • безопасностисредства защитыоперационной системы в ФСБ РФ с методов исследования уровнем доверия КС 2 • Поддержка контактного и бесконтактного (радио) интерфейсов Защита методами полиграфии

Электронный идентификатор Применение микропроцессорной карты обеспечивает • Идентификацию держателя карты Приложения идентификационной карты • Электронный идентификатор Применение микропроцессорной карты обеспечивает • Идентификацию держателя карты Приложения идентификационной карты • Юридически значимую аутентификацию Социальное идентификационное приложение • Подтверждение целостности и достоверности данных, хранящихся в Аутентификация с использованием карты памяти карты Аутентификация персональных идентификационных и • Подтверждение операций с применением ЭЦП социальных данных Идентификация держателя карты • Осуществление безналичных электронных платежей • Реализацию функций корпоративных и региональных систем Приложение ЭЦП Юридически значимый документооборот • Защищенную эмиссию Дополнительные приложения Платежное приложение Транспортное приложение Медицинское приложение Приложение ЖКХ. . .

Заключение Реализованы • в 2006 году - подсистема Аутентификации и Регистрации ГИЦ, которая в Заключение Реализованы • в 2006 году - подсистема Аутентификации и Регистрации ГИЦ, которая в данный момент функционирует и обеспечивает использование сервисов; • в 2007 - системный проект территориально распределенной системы аутентификации и идентификации пользователей ГИЦ, который определяет пути дальнейшего развития в русле современных информационных технологий. В 2008 с использованием результатов проекта планируется реализация системы аутентификации и идентификации пользователей ГИЦ.