Единая система идентификации физических и юридических лиц

1.

Единая система
идентификации физических
и юридических лиц
Оперативно-аналитический центр при
Президенте Республики Беларусь
Государственное предприятие «НИИ ТЗИ»
1

2.

ЕС ИФЮЛ ПРЕДНАЗНАЧЕН:
1. Строгая аутентификация
(пользователей).
физических
лиц
2. Предоставление
аутентификационных
атрибутов в прикладную систему (ПС).
3. Запрос полномочий пользователей в ЦАС.
4. Запрос атрибутов пользователей в ОАИС.
-
2

3.

СОСТАВ ЕС ИФЮЛ
1. Сервер идентификации.
2. Сервер ресурсов.
3. Набор криптографических сервисов.
4. Терминал.
5. Сервис взаимодействия с ОАИС.
-
3

4.

ЕС ИФЮЛ выполняет
аутентификацию
1. Протокол BAUTH.
2. Протокол SAUTH.
-
4

5.

ПРОТОКОЛ BAUTH
1. Аутентификация происходит с
использованием идентификационной карты
гражданина Республики Беларусь.
2. Необходим считыватель смарт-карт.
3. Должна быть установлена КП.
-
5

6.

ПРОТОКОЛ SAUTH
1. Аутентификация происходит с использованием
личного ключа ЭЦП, имеющегося у гражданина
Республики Беларусь.
2. Необходим USB-токен.
3. Должна быть установлена КП.
4. Должен быть установлен криптопровайдер,
взаимодействующий с USB-токеном.
-
6

7.

ЕС ИФЮЛ в результате аутентификации
выпускает
1. Код авторизации.
2. Билет доступа.
3. Билет аутентификации.
4. Билет обновления.
5. Аутентификационные атрибуты пользователя.
-
7

8.

БИЛЕТ АУТЕНТИФИКАЦИИ
-
8

9.

БИЛЕТ ДОСТУПА
-
9

10.

АТРИБУТЫ ПОЛЬЗОВАТЕЛЯ
"serialNumber":"3150585А086PB3",
"surname":"Шуманский",
"name":"Дмитрий",
"givenName":"Игоревич",
"certificate":"<значение атрибутного сертификата>",
“reg_place":"<адрес регистрации>"
-
10

11.

СЕРВЕР РЕСУРСОВ
1.
Хранение регистрационных данных прикладных систем
2.
Хранение атрибутов пользователей
3.
Протоколирование событий аутентификации и издания
билетов
4.
Взаимодействие с ОАИС для дозапроса атрибутов
пользователей
5.
Ведение классификатора ресурсов и адресного
справочник
-
11

12.

КПСИС предназначен
1.
Предоставление прикладным системам интерфейсов
взаимодействия с ЕС ИФЮЛ.
2.
Защита передаваемых сообщений с применением
криптографических алгоритмов, стандартизованных в
Республике Беларусь.
3.
Предоставление
сервисов
выработки
ЭЦП
применением ID-карты в терминальном режиме.
4.
Предоставление сервисов проверки ЭЦП.
5.
Предоставления сервисов контроля целостности.
6.
Предоставление
соединения.
сервисов
защищенного
с
TLS-
12

13.

СОСТАВ КПСИС
1.
Модуль поддержки OpenID connect.
2.
Сервис контроля целостности.
3.
Сервис выработки ЭЦП.
4.
Сервис проверки ЭЦП.
5.
Сервис предварительного шифрования.
6.
Терминал.
7.
Программный TLS-сервер.
8.
Сервис генерации личного ключа и запроса на выпуск
СОК КА.
-
13

14.

КЛИЕНТСКАЯ ПРОГРАММА
1.
Взаимодействует с идентификационной картой через
считыватель смарт-карт, считыватель документов
«Регула» (протестирована модель 7024.110).
2.
Взаимодействует с криптопровайдером по Windows
Crypto API.
3.
Устанавливает
TLS-соединение
с
TLS-сервером на КПСИС в соответствии СТБ 34.101.65.
4.
Взаимодействует с ЕС ИФЮЛ и КПСИС.
-
14

15.

КЛИЕНТСКАЯ ПРОГРАММА
1.
Выработка ЭЦП с помощью ID-карты в базовом режиме.
2.
Выработка ЭЦП с помощью ID-карты в терминальном
режиме.
3.
Выработка
ЭЦП
с
помощью
криптопровайдера и USB-токена.
4.
Проверка ЭЦП, выработанного ID-картой.
5.
Проверка ЭЦП, выработанного USB-токеном.
установленного
-
15

16.

КЛИЕНТСКАЯ ПРОГРАММА
функционирует под управлением
1.
Windows 7 х 32/64, Windows 8 х 32/64, Windows 8.1 х
32/64, Windows 10 х 32/64.
2.
RedHat Linux Enterprise 7, Linux Enterprise Server 11,
Linux Mint (17 и выше), CentOS (7.x.x и выше), Debian (8
и выше), Ubuntu (16 и выше), Xubuntu 16.04 LTS,
Lubuntu 16.04 LTS, Kubuntu 17.04.
3.
MacOS 10.15 Catalina.
-
16

17.

Подключение к ЕС ИФЮЛ
1.
Установка программного обеспечения КПСИС на сервер ПС.
2.
Получение СОК в РУЦ ГосСУОК.
3.
Регистрация терминала в Центре управления терминалами.
4.
Получение в ЦУТ облегченного сертификата для терминала.
5.
Интеграция модуля поддержки OpenID Connect КПСИС в ПС.
6.
Интеграция терминала для выработки ЭЦП и считывания
групп данных.
-
17

18.

СПАСИБО ЗА ВНИМАНИЕ!
-
17