Приложение Б (справочное). Практические приемы управления идентичностью с использованием мандатов на основе атрибутов для улучшения защиты персональных данных. Национальный стандарт РФ ГОСТ Р 59382-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 412-ст)

Приложение Б
(справочное)

Практические приемы управления идентичностью с использованием мандатов на основе атрибутов для улучшения защиты персональных данных

Б.1 Общая информация

Система управления идентификационными данными может быть создана с использованием мандатов на основе атрибутов. Мандаты на основе атрибутов представляют собой ориентированный на пользователя подход в системе управления идентификационными данными, предназначенный для улучшения защиты персональных данных пользователя, но признающий также при этом многосторонние интересы всех сущностей.

Б.2 Действующие субъекты

Б.2.1 Обзор

Система управления идентификационными данными на основе атрибутов распознает следующих основных действующих субъектов:

- субъект, имеющий один или несколько мандатов, которые могут быть использованы для утверждения о том, что определенные атрибуты применимы при их представлении полагающейся стороне;

- полагающаяся сторона, которая принимает подтверждения из мандатов субъекта и доверяет органу, выпустившему мандат (поставщику идентификационной информации);

- поставщик идентификационной информации, который выпускает мандат(-ы) на основе атрибутов для субъекта, гарантируя правильность содержащейся в них информации;

- орган идентификационной информации, который отвечает за обеспечение уровня доверия идентификационной информации, предоставляемой полагающейся стороне.

На рисунке Б.1 представлен обзор действующих субъектов в рассмотренной архитектуре системы управления идентификационными данными.

Рисунок Б.1 - Действующие субъекты архитектуры управления идентичностью с использованием мандатов на основе атрибутов и их взаимодействия

Б.2.2 Субъект

Субъект - это центральный действующий субъект в архитектуре, интересы которого включают:

- использование услуг, предлагаемых полагающейся стороной,

- сохранение анонимности при использовании услуг полагающейся стороны;

- наличие возможности оставаться несвязываемым при различных взаимодействиях с полагающейся стороной (избегать копирования);

- исключение связывания полагающейся стороной применения своей идентификационной информации с выпуском атрибутов органом идентификационной информации;

- возможность создавать псевдонимы всякий раз, когда ему хочется создать профиль для определенной полагающейся стороны.

Субъект оперирует устройством, называемым в этом приложении "токеном субъекта", которое содержит мандаты и способно осуществлять обмен с оборудованием, которым оперирует полагающаяся сторона.

Б.2.3 Полагающаяся сторона

Полагающаяся сторона - это поставщик услуг, предоставляющий услуги субъекту. При этом полагающаяся сторона имеет целью предоставление услуг только аутентифицированным субъектам. Полагающаяся сторона публикует политику представления услуг, где определяет условия, которым должны удовлетворять субъекты для аутентификации, чтобы пользоваться ее услугами.

Полагающаяся сторона поддерживает установленные отношения с органом идентификационной информации, чьи подтверждения она принимает.

Интересы полагающейся стороны включают следующее:

- принимаемая идентификационная информация должна быть гарантированно правильной;

- только орган идентификационной информации имеет возможность выпускать/обрабатывать подтвержденную идентификационную информацию о субъектах;

- уверенность, что субъект не может манипулировать подтвержденными значениями атрибутов;

- использование синхронизированной с органом идентификационной информации последней версии реестра идентичностей, чтобы контролировать полученные мандаты и препятствовать принятию любых недействительных (аннулированных) мандатов в качестве действительных.

Б.2.4 Поставщик идентификационной информации

Поставщик идентификационной информации - это компонент системы предоставляющий субъектам подтвержденную идентификационную информацию, которая должна быть представлена по мере необходимости субъектом.

Поставщик идентификационной информации гарантирует правильность и достоверность предоставленной информации.

Этот действующий субъект может:

- выпускать мандаты для одного или нескольких атрибутов субъекта;

- определять, что ранее предоставленная идентификационная информация некой идентичности больше не является действительной.

Мандат, содержащий идентификационную информацию, которая больше не действительна, аннулируется.

Б.2.5 Орган идентификационной информации

Задачи органа идентификационной информации состоят:

- в упреждающем предоставлении полагающимся сторонам информации об аннулированных мандатах, которое заключается в:

- в синхронизации последней информации об аннулировании (признании недействительности) с поставщиком идентификационной информации;

- в синхронизации версий реестра идентичностей;

- в распространении последней версии реестра идентичностей среди полагающихся сторон;

- в содействии по запросу полагающейся стороны в подтверждении достоверности мандата;

- в предоставлении информации, которая будет включена в мандат, для обеспечения подтверждения его достоверности.

Б.3 Этапы управления

Б.3.1 Общая информация

Системой управления идентификационными данными на основе атрибутов реализуются следующие этапы управления:

- выпуск мандата, связанного с предоставленными субъекту атрибутами;

- представление мандата, когда субъект требует взаимодействия с системой;

- признание недействительности мандата; когда атрибуты субъекта аннулируются.

Б.3.2 Выпуск мандата

Выпуск мандата представляет собой интерактивный протокол между токеном субъекта и поставщиком идентификационной информации. В результате выпуска мандата субъект становится обладателем одного или нескольких атрибутных мандатов, каждый из которых представляет идентификационную информацию, относящуюся к субъекту.

Атрибутный мандат состоит из следующей информации:

- описание типа атрибута;

- зашифрованного представления значения атрибута;

- параметров для криптографической проверки достоверности идентификационной информации;

- указателя органа идентификационной информации, предоставляющего идентификационную информацию, которая подтверждается мандатом.

Б.3.3 Предъявление мандата

На рисунке Б.2 показаны участвующие в реализации компоненты системы управления идентификационными данными и их взаимодействие. Предъявление - это процесс обмена данными между токеном субъекта и оборудованием полагающейся стороны, выполняемый при запросе доступа к услуге, предлагаемой полагающейся стороной.

Предъявление мандата начинается, когда токен субъекта получает от полагающейся стороны информацию с описанием политики его представления. Политика представления определяет:

- информацию, которая должна предоставляться полагающейся стороне, включая:

- тип атрибута;

- уровень раскрытия значения атрибута;

- механизмы аутентификации, которые будут использоваться для проверки достоверности значения атрибута;

- органы идентификационной информации, признанные полагающейся стороной как обеспечивающие безопасность при проверке достоверности.

Рисунок Б.2 - Основные компоненты токена субъекта и оборудования полагающейся стороны

Со стороны токена субъекта процесс определяет, какие комбинации мандатов в его памяти будут удовлетворять политике полагающейся стороны, а в каких может потребоваться взаимодействие субъекта (в случае, если возможны различные комбинации, например, если субъект использует различные мандаты от разных поставщиков идентификационной информации). Затем субъект отправляет заполненный запрос полагающейся стороне в виде токена представления.

После получения токена представления полагающаяся сторона проверяет содержащиеся в нем утверждения на действительность (подлинные, полученные от одного из поставщиков идентификационной информации, которым она доверяет), а также то, являются ли они все еще актуальными.

Окончанием предъявления мандата будет результат верификации: "принять" или "отклонить" в зависимости от действительности токена представления.

Б.3.4 Признание недействительности мандата

В обязанности системы, использующей систему управления идентификационными данными, входит определение случаев, когда конкретные мандаты должны быть признаны недействительными (аннулированы). Это обычно происходит, когда определенные взаимосвязи субъекта с выпущенным мандатом (подтвержденной идентификационной информацией) не поддерживаются, например, в случаях нарушения субъектом условий использования, прекращения действия законного контракта между субъектом и поставщиком идентификационной информации и т.д.

В любом случае признание недействительности представляет собой важный процесс в жизненном цикле управления идентичностью с использованием мандатов на основе атрибутов. Когда атрибут становится недействительным, мандат, содержащий этот атрибут, также становится недействительным. При этом в вышеупомянутой архитектуре процесса будет выполнено обновление реестра идентичностей поставщиком идентификационной информации, тем самым прекращая действие ранее выпущенных мандатов. Затем это обновление будет синхронизировано с органом идентификационной информации.

Б.4 Уровни и компоненты архитектуры

Б.4.1 Общая информация

Сущности в системе управления идентификационными данными с мандатами на основе атрибутов могут иметь особые функциональные компоненты, необходимые для их взаимодействия с системой. Архитектура системы управления идентификационными данными с мандатами на основе атрибутов определяет для каждой сущности функциональные компоненты, необходимые для работы с мандатами на основе атрибутов. На рисунке Б.2 представлен обзор функциональных компонентов со стороны субъекта и полагающейся стороны, а более подробное представление компонентов со стороны субъекта показано на рисунке Б.3.

Рисунок Б.3 - Архитектура токена субъекта

Функциональные компоненты каждой стороны могут быть представлены на двух основных уровнях: уровень приложения и базовые компоненты - уровень генерации/верификации подтверждения.

Б.4.2 Уровень приложения

Уровень приложения не является частью архитектуры защиты персональных данных с использованием мандатов на основе атрибутов, но будет действовать поверх нее. Условно этот уровень содержит все компоненты прикладного уровня, которые в случае развертывания со стороны пользователя (субъекта) включают основное приложение и компонент "Выбор идентификационных данных" (см. описание ниже). Уровень приложения со стороны проверяющих и издателей будет также содержать хранилище политики и механизм управления доступом.

Компонент "Выбор идентификационных данных" обеспечивает методы, возможно представленные графическим пользовательским интерфейсом, для поддержки пользователя при выборе предпочтительной комбинации мандата и/или псевдонимов (если существуют разные возможности), удовлетворяющей политике представления. Кроме того, пользовательский интерфейс используется для получения согласия пользователя при раскрытии персональных данных.

Б.4.3 Базовые компоненты - уровень генерации/верификации подтверждения

Б.4.3.1 Общие положения

Уровень подтверждения содержит механизм мандатов на основе атрибутов и специальные компоненты лежащей в его основе технологии, как изображено на рисунке Б.3.

Механизм мандатов на основе атрибутов содержит все технологически независимые методы и функциональные компоненты системы управления идентификационными данными, базирующейся на мандатах на основе атрибутов. Он содержит функции для осуществления анализа полученной политики представления, выбора применимых мандатов для данной политики или запуска характерной для механизма генерации или верификации криптографических свидетельств. Верхний уровень (развертывание) затем взаимодействует с таким же уровнем со стороны другой сущности (полагающейся стороны или поставщика идентификационной информации).

Механизм мандатов на основе атрибутов активируется уровнем приложения и вызывает другие компоненты, как показано на рисунке Б.3:

- криптографический механизм;

- управление ключами;

- агент аннулирования;

- хранилище политики;

- интерфейс внешнего устройства.

Б.4.3.2 Криптографический механизм

Криптографический механизм представляет собой первый компонент, который вызывается механизмом мандатов на основе атрибутов для характерных для механизма криптографических данных. Он обеспечивает общие интерфейсы для генерации требуемой криптографической информации, например создания, представления, верификации или инспектирования токена представления/выпуска. Он обеспечивает реализацию криптографических функций, таких как создание электронной подписи, проверка электронной подписи, выработка общего ключа, доказательство с нулевым разглашением и т.д.

Б.4.3.3 Управление ключами

Компонент "Управление ключами" оперирует криптографическими ключами всех сторон и поддерживает их актуальность (в рамках управления жизненным циклом ключей). При вводе идентификатора для ключа, он возвращает криптографический ключ(и) (или их перечень), являющийся в данное время действительным для данного идентификатора. Данный компонент обеспечивает получение текущей (общедоступной) информации об аннулировании, которая необходима для поддержания актуальности мандатов и проверки того, является ли полученный токен представления все еще действительным.

Б.4.3.4 Агент аннулирования

Компонент "Агент аннулирования" управляет взаимодействием между криптографическим механизмом и органом, выполняющим аннулирования, для генерации или представления токенов/мандатов, которые подлежат аннулированию (признание недействительности). Конкретный шаблон взаимодействия зависит от конкретных механизмов аннулирования, которые могут быть выбраны.

Б.4.3.5 Интерфейс устройства

Компоненты "Интерфейсы устройства" предоставляют необязательные общие интерфейсы, облегчающие интеграцию внешних устройств, таких как смарт-карты, как для "аутсорсинга" вычислений, так и для получения данных, хранящихся на внешнем устройстве. Интеграция внешнего устройства может быть, например, необходима, если требуется привязка ключа к смарт-карте.

Б.4.3.6 Хранилище политики

Со стороны полагающейся стороны хранилище политик хранит политики представления, принятые сущностью, и может также сохранять полученные токены представления с целью архивирования или иных, связанных с обеспечением безопасности целей (см. рисунок Б.3).