WikiDer > Провайдер учетных данных

Credential service provider

А провайдер учетных данных (CSP) является доверенным лицом, которое выдает токены безопасности или электронные учетные данные для подписчиков.[1] CSP является частью аутентификация система, чаще всего идентифицируемая как отдельный объект в системе федеративной аутентификации. CSP может быть независимой третьей стороной или может выдавать учетные данные для собственного использования.[1] Термин CSP часто используется в контексте Правительство США eGov и инициативы по электронной аутентификации. Примером CSP может быть онлайн-сайт, основной целью которого может быть, например, интернет-банкинг, но пользователи которого могут впоследствии аутентифицироваться на других сайтах, в приложениях или службах без дальнейших действий с их стороны.

История

В любой системе аутентификации требуется, чтобы какой-то объект аутентифицировал пользователя от имени цели. заявление или сервис. В течение многих лет было плохое понимание влияния безопасность и множество сервисов и приложений, которые в конечном итоге потребуют аутентификации. В результате этого не только пользователи обременены множеством реквизиты для входа что они должны помнить или носить с собой, но также приложения и службы должны выполнять некоторый уровень регистрации, а затем некоторый уровень аутентификации этих пользователей. В результате были созданы поставщики услуг учетных данных. CSP отделяет эти функции от приложения или службы и обычно обеспечивает доверие к этому приложению или службе по сети (например, Интернет).

Процесс CSP

CSP устанавливает механизм для уникальной идентификации каждого подписчика и связанных с ним жетоны и учетные данные, выданные этому подписчику. CSP регистрирует или дает подписчику токен, который будет использоваться в протокол аутентификации и выдает учетные данные по мере необходимости для привязки этого токена к удостоверению или для привязки удостоверения к другому полезному проверенному атрибуту. Подписчику могут быть предоставлены электронные учетные данные для использования с токеном во время регистрации, или учетные данные могут быть сгенерированы позже по мере необходимости. Подписчики обязаны поддерживать контроль над своими токенами и выполнять обязательства перед CSP. CSP ведет регистрационные записи для каждого подписчика, чтобы можно было восстановить регистрационные записи.[1]

В модели электронной аутентификации заявитель в протоколе аутентификации является подписчиком некоторого CSP. В какой-то момент заявитель регистрируется в Орган регистрации (RA), который проверяет личность заявителя, как правило, путем представления бумажных документов и записей в базах данных. Этот процесс называется проверкой личности. RA, в свою очередь, подтверждает личность заявителя (и, возможно, другие проверенные атрибуты) перед CSP. Затем заявитель становится подписчиком CSP. CSP устанавливает механизм для уникальной идентификации каждого подписчика и связанных маркеров и учетных данных, выданных этому подписчику. Между RA и CSP всегда существует связь.[1]

Важность

CSP могут установить уверенность в идентичности пользователя через электронная аутентификация процесс. В результате некоторые регулирующие органы могут попросить людей подтвердить свою личность через CSP. Сегодня регулирующие органы требуют, чтобы врачи прошли электронную проверку подлинности, прежде чем врачи смогут выписать рецепт на контролируемые опасные вещества (CDS). Чтобы получить учетные данные для двухфакторной аутентификации или цифровые сертификаты, врачи должны искать утвержденных на федеральном уровне поставщиков услуг связи.[2] CPS проводят проверку личности в соответствии со специальной публикацией 800-63-1 Национального института стандартов и технологий, уровень гарантии 3.[2]

CSP и правительство США

Федеральное правительство в настоящее время является поставщиком услуг электронного правительства. Однако правительство планирует сосредоточить все свое внимание на приложениях и передать управление учетными данными другим отраслям.[3]

В 2004 году правительство США предложило инициативу электронной аутентификации. Цели инициативы включают:

  • Создавать и обеспечивать взаимное доверие, необходимое для поддержки широкого использования электронных взаимодействий между общественностью и правительством США.
  • Сведите к минимуму нагрузку на общественность при получении доверенных электронных услуг от государства.
  • Предоставлять общие совместимые решения для аутентификации, соответствующие уровням риска и бизнес-рискам.

[3]

В результате этой инициативы университетские городки могут начать предлагать студентам, преподавателям и сотрудникам доступ к определенным федеральным приложениям.[4] Однако до того, как это произойдет, правительство предъявит следующие требования:[5]

Требования к членству в FedFed для уровней 1 и 2

  • Оценка полномочий
  • Подписание деловых и операционных правил
  • Техническая совместимость в SAML 1.0

Требования к членству в FedFed для уровней 3 и 4

  • Перекрестная сертификация с федеральной PKI

Требования к поставщику услуг для прямого присоединения к Федеральной Федерации

Те услуги, которые предоставляют желающие присоединиться к Федеральной Федерации напрямую, должны будут согласиться с:

  • Деловые и операционные правила eAuthentication в
    • Анализ риска
    • Уровни обслуживания
    • Уровни безопасности ″
    • Соответствие стандартам FIPS и NIST SP
    • Требования к отчетности
  • Требования к процедурам, аудиту и документации.

Провайдеры

Ниже приводится краткий список некоторых CSP с кратким описанием предоставляемых ими услуг.

Equifax

Equifax предоставляет решения для аутентификации, сертифицированные в соответствии с федеральными требованиями безопасности и конфиденциальности. Equifax предлагает не только базовые учетные данные для идентификации имени и адреса. Equifax предоставляет методы распознавания электронной идентичности, чтобы гарантировать, что только доверенные пользователи имеют доступ к конфиденциальным данным и безопасным сетям.[6]

MediQuin

MediQuin - поставщик услуг по учетным данным, расположенный в Ирвине, Калифорния. MediQuin предоставляет медицинские учетные данные, приложения для поставщиков, регистрационные формы, услуги проверки и другие медицинские услуги по учетным данным.[7]

Med Advantage

Med Advantage предоставляет многочисленные услуги по проверке.[8]

  • Сертификация совета - проверьте текущий уровень сертификата
  • Криминальное прошлое - проверьте государственную и / или федеральную уголовную историю
  • Регистрация DEA / CDS - Подтверждение NTIS и / или сертификатом
  • Образование - Подтверждение медицинского образования и последипломного образования
  • ФСМБ - Запрос в Федерацию государственных медицинских комиссий
  • Лицензия - проверка государственной лицензии (-ий)
  • Претензии о халатности - Подтвердите у оператора связи
  • Страхование от халатности - подтверждение у перевозчика или сертификата
  • NPDB - запрос в базу данных национальных практикующих врачей
  • HIPDB - запрос в банк данных целостности и защиты здравоохранения
  • Привилегии - проверка допуска больницы к привилегиям и разграничение привилегий
  • Ссылки - Проверить профессиональные ссылки
  • Санкции - запросить Medicare / Medicaid и государственную лицензию
  • История работы - Извлеките историю работы из резюме

Расходы

Ниже приведена таблица, в которой указана приблизительная стоимость поставщика услуг учетных данных в различных категориях.

УровеньОбразовательное учреждениеНекоммерческаяL0: 1-100 сотрудниковL1: 101-1000 сотрудниковL2: 10001-25000 сотрудниковL3:> 25000 сотрудников
Подписчик поставщика услуг учетных данных$2,000$2,000$4,000$9,000$16,500$21,500
Продление срока действия поставщика учетных данных$1,000$1,000$3,000$8,000$15,500$20,500
Подписчик на аккредитацию оценщика$1,500$2,000$5,000$11,000$17,000$25,000
Продление аккредитации оценщика$1,000$1,500$4,000$10,000$16,000$24,000

[9]

Инициатива Кантара

Программа аккредитации и утверждения Initiative Identity Assurance - это программа Kantara, которая пытается использовать CPS для предоставления частному сектору более надежных цифровых учетных данных.[9]

Windows

Windows использует CSP для реализации протоколы аутентификации.[10] С Виндоус вистабыл представлен новый пакет аутентификации под названием Credential Security Service Provider (CredSSP). CredSSP использует CSP на стороне клиента, чтобы позволить приложениям делегировать учетные данные пользователя на целевой сервер.

Рекомендации

  1. ^ а б c d Специальная публикация NIST 800-63, редакция 3, Рекомендации по цифровой идентификации, Pages.nist.gov, июнь 2017 г.
  2. ^ а б «Архивная копия» (PDF). Архивировано из оригинал (PDF) на 2012-10-01. Получено 2012-04-27.CS1 maint: заархивированная копия как заголовок (связь)
  3. ^ а б [1][мертвая ссылка]
  4. ^ «Архивная копия». Архивировано из оригинал на 13.08.2010. Получено 2012-05-21.CS1 maint: заархивированная копия как заголовок (связь)
  5. ^ [2][мертвая ссылка]
  6. ^ «Предотвращение мошенничества - Бизнес - Equifax». Equifax.com. Получено 24 февраля 2019.
  7. ^ "MediQuin.com - Служба медицинской сертификации". Mediquin.com. Получено 24 февраля 2019.
  8. ^ «Архивная копия». Архивировано из оригинал на 2012-05-08. Получено 2012-05-07.CS1 maint: заархивированная копия как заголовок (связь)
  9. ^ а б «Архивная копия». Архивировано из оригинал на 2012-05-03. Получено 2012-04-27.CS1 maint: заархивированная копия как заголовок (связь)
  10. ^ Тара Мейер. «Поставщик службы безопасности учетных данных и единый вход для входа в службы терминалов». Docs.microsoft.com. Получено 24 февраля 2019.