Опис
ERP/1 IAS (Identity and Authorization Service) координує життєвий цикл цифрових ідентичностей, сертифікатів та дозволів, об'єднуючи користувачів, пристрої та профілі безпеки в єдиний керований граф відношень. IAS виступає як інтегрована адміністративна консоль, що взаємодіє з Центром сертифікації (CA) для підписання сертифікатів та шлюзами VPN для застосування правил авторизації.
Система спроектована згідно з принципом наскрізної простежуваності вимог (traceability) від високорівневих корпоративних політик безпеки до конкретних елементів реалізації. Завдяки розділенню обов'язків, приватні ключі генеруються та зберігаються виключно локально на клієнтських пристроях, а доставка дозволів до VPN-шлюзів здійснюється у вигляді односторонніх транзакційних команд через розподілений Erlang RPC.
Ключові можливості та специфікації
Керування ідентичностями
- Граф зв'язків User $\rightarrow$ Device $\rightarrow$ Certificate
- Стійке транзакційне сховище Mnesia / KVS
- Реактивний інтерфейс N2O/NITRO
Життєвий цикл сертифікатів
- Автоматичний випуск (EST / CMP)
- Локальна генерація CSR (приватний ключ не передається)
- Перевірка та відкликання за списками CRL/OCSP
Політики доступу (ABAC)
- Контроль доступу на основі атрибутів
- Оцінка довіри пристрою (Ready/Blocked/Degraded)
- Двофакторна автентифікація та EUDI Wallet
Провіженінг та реконсиляція
- Односторонній Distributed Erlang RPC
- Фоновий моніторинг та виявлення сирітських профілів
- Аудит ревізій та логування інцидентів
Контролі безпеки та комплаєнс (NIST SP 800-53)
Керування обліковими записами та доступом (AC-2, AC-3)
- Життєвий цикл записів (AC-2): Автоматизоване створення, модифікація, блокування та видалення ідентичностей користувачів і пристроїв на основі корпоративних правил.
- Принцип найменших привілеїв (AC-3): Авторизація запитів та операцій здійснюється виключно відповідно до моделі ABAC (контроль доступу на рівні атрибутів).
Ідентифікація та автентифікація (IA-2, IA-4, IA-5)
- Mutual автентифікація (IA-2(11,12)): Обов'язкова двостороння автентифікація пристроїв та шлюзів на базі криптографічних сертифікатів.
- Керування автентифікаторами (IA-5): Централізована координація термінів дії сертифікатів, CRL та OCSP статусів.
Управління ключами (SC-12, SC-17)
- Автоматичний випуск (SC-12): Використання протоколів CMP та EST для безпечного отримання сертифікатів без передачі приватного ключа мережею.
- Перевірка криптографічних матеріалів (SC-17): Автоматичний контроль відповідності CSR та виданого CA сертифіката.
Аудит та невідкликаність (AU-10, SC-28)
- Журнал змін (AU-10(5)): Фіксація дій операторів та рішень провіженінгу із застосуванням міток часу (TSP) та цифрового підпису ноди.
- Захист у спокої (SC-28): Безпечне шифрування бази даних і метаданих сертифікатів у сховищі KVS.
Переваги виконання на Erlang/OTP
Стійке сховище KVS
База даних інтегрується безпосередньо з Mnesia, забезпечуючи миттєве відновлення зв'язків графу (rehydration) після перезапусків ноди.
Ізоляція процесів Майстра
Кожен wizard-процес випуску або транзакція провіженінгу виконується в окремому легкому Erlang-процесі з нульовим ризиком взаємного впливу.
Стійкі Supervision Trees
Автоматичне перепідключення CMP/EST клієнтів та Event Bridge сповіщень у разі тимчасової втрати зв'язку із зовнішніми CA чи VPN нодами.
Нормативні стандарти та регламенти
Нормативне проектування
- Постанова КМУ № 205 від 21.02.2025 — Порядок використання засобів інформатизації
- ДСТУ 3008:2015 — Документація на розроблення програмних засобів
- ДСТУ 34.201-89 — Вимоги до структури та оформлення ТЗ на створення систем
Міжнародна стандартизація
- ISO/IEC/IEEE 29148:2018 — Systems and software engineering — Life cycle processes — Requirements engineering
- ISO/IEC/IEEE 42010:2018 — Systems and software engineering — Architecture description
- ДСТУ 4145-2002 — Вітчизняний криптографічний стандарт цифрового підпису