Техническа спецификация обща информация



страница1/3
Дата03.04.2017
Размер360.73 Kb.
#18375
  1   2   3
Приложение №1

ТЕХНИЧЕСКА СПЕЦИФИКАЦИЯ


  1. Обща информация - в съответствие с осъществяваните от МВР дейности по поддържането на инфраструктурата на PKI за издаване на български документи за самоличност и необходимостта за проверка на българските и документите на гражданите на други страни на граничните пунктове при пътуване, този проект трябва да направи разширение на системите за "публичен частен ключ" (PKI) за използването им в АИС "Граничен контрол".

 С въвеждането на PKI в документите за пътуване се дава възможност за автоматично, без човешка намеса потвърждение, че лицето, което представя документ за задгранично пътуване, е едно и също лице, показано на страницата с данни, както и върху чипа с уверението, че данните са били поставени там от издаващия орган и че данните не са променени.

При проверка на граничен контрол трябва да може да се провери автентичността, целостта, сигурността и оригиналността на е-документ, т.е. дали:



    1. Чипът е истински, издаден от оторизиран орган и данните в него, са непроменени;

    2. Чувствителните данни, записани в чипът са защитени срещу неоторизиран достъп и комуникацията между чипа и устройството за четене са защитени срещу подслушване;

    3. Чипът е заменен от копие.

  1. Използвани термини и съкращения

име

Съкращение

Роля/обяснение

е-документ





документи за пътуване с електронен носител на информация

чип




електронен носител на информация в е-документ

АИС „ГК”




Автоматизирана информационна система „Граничен контрол”

Basic Access Control

BAC

Основен контрол за достъп до данни, съхранени в електронния носител на информация (чипа), вграден в документа на национални и чужди документи за пътуване

Brussels Interoperability Group

BIG

Брюкселска оперативна група за съвместимост

Federal Office for Information Security in Germany

BSI

Германската федерална служба за информационна сигурност

Certificate Authorities

СА


Институция, която е упълномощена да издава цифрови сертификати и да ги подписва със своя частен ключ;

Осигурява доверие между непознати страни; Наричан още сертифициращ (удостоверяващ) орган



Country Signing Certification Authority Certificate

CSCAC

Сертификат издаден от CSCA; Самоподписан, носи Публичния ключ на държавата;

Document Signer Certificate

DSC

Сертификат на органа за подпис на документи, издаден от CSCA;

Съхранява се в инспек. система и/или в чипа на документа



Country Signing Certification Authority

CSCA

Сертифициращ oрган удостоверяващ цифров подпис на държавата;

  1. - Издава и управлява сертификата на органа за подпис на документи (DS)




Country Signing Registration Authority

CSRA

Регистриращ орган на държавата за подписване

Certificate Policy

CP

Политика за предоставяне на удостоверителни услуги

Certificate Revocation List

CRL

Списък с анулирани сертификати


Country Verifying Certificate Authority

CVCA

Орган удостоверяващ цифров подпис на държавата за проверка на документи;

Издава и управлява сертификата на вътрешните и външни DVCAs



Country Verifying Registration Authority

CVRA

Регистриращ орган на държавата за проверка

Distinguished Encoding Rules

DER

Орган за подписване на документи

Diffie-Hellman

DH

Хеш алгоритъм

Distinguished Name

DN

Уникално име

Digital Signature Algorithm

DSA

Вид криптографски алгоритъм за създаване на подпис

Document Verifier

DV

Верификатор на документи

Document Verifier Certificate Authority

DVCA

Издава и управлява сертификатът на Система за проверка – IS

Document Verifier Registration Authority

DVRA

За регистрация на свързваните към системата Инспекционни системи (IS) и за обработка на постъпващите от тях заявки за издаване на сертификати

Extended Access Control

EAC

Разширен контрол за достъп на Системата за проверка до биометричните данни (изображения на пръстови отпечатъци) съхранени в електронния носител на информация(чипа), вграден в документа на национални и чужди документи за пътуване

Elliptic Curves Digital Signature Algorithm

ECDSA

Вид криптографски алгоритъм за създаване на подпис

EUCertificate Policy

EUCP

Политика за предоставяне на

удостоверителни услуги на ЕС



Hardware Security Modul

HSM

Хардуерен криптографски модул за съхранение на частни ключове

International Civil Aviation Organization

ICAO

Международна организация за гражданска авиация

ICAO Public Key Directory

ICAO PKD

Публичната директория за ключове на ICAO

Inspection system

IS

Инспекционна система

Document Signer Public Key

KPuDS

Публичен ключ за проверка на автентичността на Document Security Object (SOD)

Lightweight Directory Access Protocol

LDAP

Протокол за опростен достъп до регистър

Logical Data Structure

LDS

Логическа структура на данните

Machine Readable Travel Documents

MRTDs

Машинно читаеми документи за пътуване

Machine Readable Zone

MRZ

MRZ се състои от лични данни, отпечатани върху долната част на страницата на данни на Е-паспорта. Информация може да бъде прочетена като се прекара страница на OCR четец (скенер). MRZ се използва за отключване на информацията, съдържаща се във вградения чип.

National Public Key Directory

NPKD

Директория, съдържаща български и чужди сертификати, CRL и др.

Optical Character

Recognition



OCR

Оптично разпознаване на символи

Online Certificate Status Protocol

OCSP

Протокол за on-line проверка на статуса на сертификати;

За публикуване на издадените сертификати на DS и CRL



Passive Authentication

PA

Механизъм за установяване на автентичността на документ чрез проверка на електронния подпис;

Password Authenticated Connection Establishment

PACE



Изграждане на връзка с използването на парола



Public Key Cryptography Standards

PKCS

Криптографски стандарт за пренос на публичен ключ

Public Key Infrastructure

PKI

Инфраструктура на публичния ключ

Registration Authority

RA

Регистриращ орган

Radio Frequency Identifcation

RFID

Радиочестотната идентификация - метод за автоматично идентифициране на обекти, при който от идентификатори върху обекта се четат или записват данни чрез радиовълни

Rivest-Shamir-Adelman

RSA

Вид криптографски алгоритъм

за създаване на подпис



Secure Hash Algorithm

SHA

Хеш-функция за извличане

на хеш-идентификатор



Secure/Multipurpose Internet Mail Extensions

S/MIME

Протокол за сигурно предаване на данни през Интернет

Document Security Object

SOD

С RFC3369 CMS Signed Data Structure, подписана от DS;

Файл - съхранява хеш стойностите на всички файлове, съхранявани в чипа (снимка, пръстов отпечатък и др.) и цифров подпис на тези хешове;

Записва се в чипа на електронния документ


Supplemental Access Control

SAC

Допълнителен контрол на достъпа за машинно четене на документи за пътуване.

Secure Hash Algorithm

SHA

Алгоритъм за хеширане

Secure Socket Layer

SSL

Мрежови протокол, който се използва за сигурен пренос на данни по TCP/IP мрежи;

Осигурява защитени от подслушване тунели за поточно-ориентиран пренос на информация;



Използва криптографски алгоритми, PKI и цифрови сертификати

Single Point of Contact

SPOC

Единно звено за контакт - за обмен на български и чужди сертификати и съобщения от и към страните чл. на ЕС, от и към трети страни




  1. Обхват на дейностите:

    1. Описание на основните дейности

      1. Изграждане на система за съхранение, използване и предоставяне на български и чужди сертификати за изпълнение на функциите по автентикация на издателя на документите - Passive Authentication (PA).

      2. Изграждане на система, разрешаваща на работните места на АИС "Граничен контрол" достъп до изображения на пръстови отпечатъци, записани в електронния носител на информация на национални и чужди документи за пътуване - Extended Access Control (EAC).

    2. Описание на съществуващите системи за публичен-частен ключ (PKI) изградени за обслужване процеса на издаване на документи за самоличност с електронен носител

Към момента МВР разполага с изградена инфраструктура за публичен-частен ключ (PKI):

      1. Описание на софтуера:

        1. За всички СА, Document Signer, OCSP и DVRA:

          1. Операционна система Microsoft Windows Server 2008 Standard Edition

          2. СУБД Microsoft SQL Server 2008 Standard Edition

          3. JDK version 6 Update 13

          4. REDHat Jboss Enterprise Application Platform version 4.2.3

          5. ANT version 1.7.1

        2. За всички СА, Document Signer:

          1. HSM - Utimaco SafeGuard CryptoServer за съхранение на частния ключ.

        3. За всички СА и OCSP:

          1. EJBCA version 3.9.0

        4. За всички Document Signer:

          1. Sign Server version 3.0

        5. За OCSP:

          1. OpenDS version 2.0.0

      2. Описание на средата:

        1. CSCA – функционира offline. Типа на ключа е RSA с дължина 4096. Срокът на валидност на сертификата е 15 години и три месеца. Срокът за използване на ключа е 5 години.

        2. Има регистрирани два Document Signer – съответно за паспорти и разрешения за пребиваване на чужденци. Валидността на сертификата на Document Signer за паспорти е 5 години и 3 месеца, а на сертификата на Document Signer за разрешения за пребиваване е 10 години и 3 месеца. Срокът за използване на ключ за двата Document Signer е три месеца.

        3. При подновяване на ключа на двата Document Signer CSCA издава CRL (Certificate Revocation List) със срок на валидност 3 месеца. CSCA сертификата, CRL и издадените сертификати на DS се публикуват в OCSP, който функционира offline на сървъра на CSCA и в online OCSP за обслужване на производството - подписването и проверка на документите при качествен контрол и при връчване на документите.

Информацията в online OCSP се актуализира при подновяване на ключа на DS.

        1. При издаване на нов CRL, той се публикува, заедно със сертификата на CSCA на Internet страницата на МВР.

        2. CVCA – функционира offline. Типа на ключа е ECDSA 256. Срокът на валидност на сертификата е 3 години.Срокът за използване на ключа е 3 години. При подновяване на сертификата се издава и Linked сертификат, за връзка с предходния. CVCA не издава CRL със сертификатите за DVCA

        3. Има регистрирани две DVCA – DVCA-P и DVCA-R. Типа на ключа за двете DVCA, съобразно изискванията на TR-03110 на BSI съвпада с типа на ключа на CVCA и е ЕCDSA 256. Срокът на валидност на сертификатите на DVCA е 3 месеца. Срокът на използване на ключа на DVCA e 2 месеца

        4. За проверка на документите с електронен носител при призводството – качествен контрол и връчване, се използват инспекционните системи, регистрирани в DVCA-P. За поддържане на инспекционните системи в DVCA-P функционира DVRA-P

        5. Срокът на валидност на сертификатите на инспекционните системи в DVCA-P е 1 месец, а техния тип – ECDSA 256. Частният им ключ се съхранява в смарт- карта.

        6. В момента в DVCA-R няма регистрирани инспекционни системи.

    1. Цел на изпълнение на проекта

  1.       Изграждане на разширение на системите за публичен частен ключ (PKI), изградени за обслужване на процеса на издаване на документи за самоличност с електронен носител, върху системата за Граничен контрол, с чиято помощ да може на граничните пунктове да се проверяват както българските е-документи за пътуване, така и тези на чуждестранните граждани. Разширението на системите за PKI цели да бъдат изпълнени и задълженията, произтичащи от Решения на ЕК С (2009) 7476 от 5 октомври 2009 за обмен на информация на сертификати за паспорти и други документи за пътуване, издавани от държавите - членки и ЕК С (2011) 5478 от 4 август 2011г. за обмен на сертификати за разрешителни за пребиваване за граждани на трети страни.

  1. Функционалности, които да се предлагат от техническото решение за разширение на изградения PKI:



    1. Разширениe на съществуващите системи на CSCA/CSRA и CVCA/CVRA с цел осигуряване на новата функционалност към системата за Граничен контрол.

      1. CSCA - сертифициращ oрган удостоверяващ цифров подпис на държавата, издава и управлява сертификатите на органа за подписване на документи (DS);

        1. За издадените CSCA сертификати да бъде осигурена функционалност за предоставянето им на:

          1. NPKD,

          2. ICAO - PKD

        2. При генериране на списък с анулирани сертификати (revocationlist) да бъде осигурена функционалност за предоставянетона този списък на ICAO - PKD и NPKD в рамките на 48 часа.

В случай на липса на инциденти горният обмен да се извършва най-малко веднъж на 90 дни.

      1. DS - Орган за подписване на документи

        1. За издадените DS сертификати да бъде осигурена функционалност за предоставянето им на ICAO - PKD и NPKD.

      2. CSRA (Country Signing Registration Authority)

        1. Да се осигури функционалност, позволяваща автоматизирано получаване на CSCA, DS сертификати и CRLs от ICAO – PKD в NPKD.

      3. CVCA - Орган удостоверяващ цифровия подпис на държавата за проверка на документи - издава и управлява сертификата на вътрешните и външни DVCAs;

        1. Да се осигури функционалност, позволяваща управление на механизмите за обмен на CV сертификати (автоматично и ръчно);

      4. CVRA - национален орган за регистрация на чужда държава в система за валидиране (EAC PKI), за валидиране на е-документи на чужда държава.

        1. Действа чрез SPOC за страните от ЕС.

        2. Да се осигури функционалност, позволяваща, одобряване на заявка за цифров сертификат за верификация. Тази заявка трябва да бъде заверена от националния CVCA и изпратена през SPOC на държава-членка на ЕС;

        3. Да се изгради административен интерфейс, чрез който да се конфигурира SPOC за връзка със SPOC на държава-членка на ЕС ;

        4. Инсталирането и последователното подновяване на получените цифрови сертификати за верификация да се извършва автоматично.

      5. IS – инспекционна система.

    1. Проверката за автентичност на е-документи с помощта на PKI ще се изпълнява на съществуващите работни места на АИС „Граничен контрол”, които да бъдат интегрирани в изградени инспекционни системи от 2 типа:

        1. - тип 1 – обслужва множество терминали (работни места), които четат цялата информация от чипа, в т.ч. биометрична (EAC);

        2. - тип 2 – чете информация от чипа, без биометрична (изпълнява PA) и обслужва едно работно място;

    1. Разширение на системите за PKI - изграждане на DV, DVRA и IS.

Да включва изграждане на DV (Document Verifier) – „Граничен контрол”, като част от on-line сертифициращи вериги (със съответни криптиращи алгоритми) CVCA – DV – IS - T(1)… – T(n), както и на прилежащ Document Verifier Registration Authority (DVRA) за регистрация на свързваните към системата Инспекционни системи (IS) и за обработка на постъпващите от тях заявки за издаване на сертификати.

      1. Проектиране на Инспекционни системи от тип 1 с централизиран криптомодул – HSM като част от сертифициращите вериги CVCA-DV-IS–Т(1)… – Т(n)

      2. DV(Document Verifier)

        1. Създаване отношения на доверие с CVCAs на собственото и на другите държави;

        2. Заявка за DV сертификати, като процедура за издаване, използвана от CVCAs;

        3. Създаване отношения на доверие с IS в държавата;

        4. Получаване IS и DV сертификат заявен от IS;

        5. Предоставяне на IS и DV сертификати, спазвайки политиката за управление на сертификати;

      3. DVCA - издава и управлява сертификатите на Система за проверка (IS);

        1. Сертифициращ орган за проверка на документи (DVCA)

          1. Заявка за генериране на ключове и сертификати;

          2. Въвеждане на вече издаден (import) на DV сертификат;

          3. Интерфейс за издаванe на сертификат за IS;

          4. Интерфейс за отмяна на IS;

          5. Интерфейс за подновяване на IS.

        2. Регистриращ орган - DVRA

          1. Придобиване на данни за IS;

          2. Изменение на данните за IS;

          3. Заявка за сертификат за IS;

          4. Подновяване на сертификат за IS;

          5. Списък на DV сертификати.

      4. IS - Инспекционни системи (тип 1)

        1. Създаване отношения на доверие с DV в рамките на държавата;

        2. Да се осигури интерфейс за връзка между NPKD и системата за проверка IS итерминали на IS на ГКПП:

          1. Предоставяне сертификатите на DSsиCRLs изтеглени от ICAO на IS и терминали на IS за граничен контрол;

        3. Изтегляне на всички DV Сертификати чрез DVRA. Те ще са от взаимен обмен между държaви членки през SPOC или да са заредени ръчно за страни извън ЕС;

        4. Създаване отношения на доверие с устройствата за четене към работните станции(терминали на IS) (и забрана, ако е необходимо);

        5. При издаване на нов DV сертификат, автоматично да се изтрива стария сертификат на DV върху IS.

        6. Прилагане на тази информация, при управление работата на устройствата за четене към работните места, свързани с IS;

      5. Упълномощаване на работните места на АИС "Граничен контрол" за достъп до информацията записана в чипа чрез Extended Access Control (EAC)

        1. Да се разработи система за упълномощаване на работните места на АИС "Граничен контрол" за достъп до изображения на пръстови отпечатъци, записани в електронния носител на информация на национални и чужди документи за пътуване, чрез Extended Access Control (EAC).

          1. Да се предостави програмен интерфейс към разширението на PKI във вид на динамична програмна библиотека за удостоверяване от страна на работното място на АИС „ГК” като терминал на сертифицирана Инспекционна система за нуждите на изпълнение на EAC и пасивна автентикация.

      6. Терминално устройство за четене на документи / работната станция

        1. Създава отношения на доверие с IS – тип 1;

        2. Четене на предоставени документи, като се прилагат правилните протоколи (PA, EAC) от IS – тип 1;

        3. Терминалните устройства са минимум 60 бр. и се обслужват от поне 3 бр. IS от тип 1 (с възможност за увеличаване на броя на инспекционните системи).

      7. Работно място на АИС „ГК“ за четене на документи - IS тип 2. Броят на работните места е минимум 600.

       Работата на техническото приложение да бъде съобразена с наличната вече в Гранична полиция техника (четци, скенери за пръстови отпечатаци, софтуер, налични компютърни конфигурации, с които работи граничния полицай) а също и автоматичните гейтове на аерогарите за извършване на PA и ЕАC.

    1. Каталог: rdonlyres
      rdonlyres -> Областна дирекция на мвр – р а з г р а д районно управление на мвр – р а з г р а д
      rdonlyres -> Република българия министерство на вътрешните работи а н а л и з
      rdonlyres -> Стара Загора Дата Време
      rdonlyres -> „развитие на човешките ресурси” Ч
      rdonlyres -> Дипломна работа за получаване на образователно-квалификационна степен „Магистър" по специалността „Стратегическо ръководство и управление на сигурността и обществения ред"
      rdonlyres -> Наредба за условията и реда за функциониране на националната система за ранно предупреждение и оповестяване на органите на изпълнителната власт и населението при бедствия и за оповестяване при въздушна опасност
      rdonlyres -> Решение за откриване на процедура за възлагане на обществена поръчка
      rdonlyres -> Закон за движението по пътищата в сила от 01. 09. 1999 г. Отразена деноминацията от 05. 07. 1999 г
      rdonlyres -> Наредба №8121з-968 от 10 декември 2014 Г. За правилата и нормите за пожарна безопасност при извършване на дейности в земеделските земи


      Сподели с приятели:
  1   2   3




©obuch.info 2024
отнасят до администрацията

    Начална страница