Information technology. Security techniques. Evaluation criteria for it security Security functional requirements

Вид материалаДокументы
К.2 Псевдонимность (FPR_PSE)
Подобный материал:
1   ...   62   63   64   65   66   67   68   69   ...   78

К.2 Псевдонимность (FPR_PSE)



Семейство FPR_PSE обеспечивает, чтобы пользователь мог использовать ресурс или услугу без раскрытия своего идентификатора, оставаясь в то же время ответственны# за это использование. Пользователь может быть ответственным, будучи прямо связан со ссылкой (псевдонимом), предоставляемой ФБО, или с псевдонимом, используемым для целей обслуживания, таким как номер банковского счета.

Замечания для пользователя

В некотором отношении псевдонимность походит на анонимность. В обоих случаях защищается идентификатор пользователя, но в псевдонимности поддерживается ссылка на идентификатор пользователя как для сохранения его ответственности, так и для других целей.

Компонент FPR_PSE.1 не специфицирует требований, относящихся к ссылке на идентификатор пользователя. Эти требования имеются в компонентах FPR_PSE.2 и FPR_PSE.3.

Одним из путей использования этой ссылки является возможность получения первоначального идентификатора пользователя. Например, если компьютеризованная касса несколько раз выдает абсолютно одинаковые чеки (т. е. происходит мошенничество), было бы предпочтительно иметь возможность отследить идентификатор пользователя. В общем случае необходимость восстановления идентификаторов пользователей определяется конкретными условиями. Для описания такой услуги автору ПЗ/ЗБ можно воспользоваться компонентом FPR_PSE.2 "Обратимая псевдонимность".

Ссылка может также использоваться в качестве псевдонима пользователя. Например, пользователь, не желающий быть идентифицированным, может предоставить номер счета, с которого следует оплачивать использование ресурсов. В таком случае ссылка на идентификатор пользователя - это его псевдоним, который другие пользователи или субъекты могут использовать для выполнения своих функций, без получения при особых обстоятельствах идентификатора пользователя (например, при сборе статистических данных использования системы). В этом случае для определения правил, которым ссылкам необходимо удовлетворять, автор ПЗ/ЗБ может воспользоваться компонентом FPR_PSE.3 "Альтернативная псевдонимность".

Применяя упомянутые выше конструкции, с помощью FPR_PSE.2 можно ввести электронные деньги, установив требование защиты идентификатора пользователя от наблюдения при условии, что одна и та же электронная сумма не тратится дважды. В последнем случае идентификатор пользователя будет отслеживаться. Следовательно, когда пользователь ведет себя честно, его идентификатор защищается, когда же он пытается мошенничать, его идентификатор может быть отслежен.

Другим видом системы электронных платежей являются электронные кредитные карточки, когда пользователь предоставляет псевдоним, который указывает на счет, с которого могут быть сняты деньги. В подобном случае можно использовать, например, компонент FPR_PSE.3, определив, что идентификатор пользователя будет защищен и что этот пользователь только тогда получит требуемую сумму, когда на его счете есть деньги (если так оговорено в условиях).

Следует иметь в виду, что наиболее строгие компоненты этого семейства могут потенциально не сочетаться с другими возможными требованиями, такими как идентификация и аутентификация или аудит. Выражение "определить идентификатор" следует понимать в широком смысле: ФБО не предоставляют информацию при выполнении операции; нельзя определить создателя субъекта или владельца субъекта, вызвавшего операцию; ФБО не будут записывать такую информацию, доступную пользователям или субъектам, по которой в дальнейшем можно бы было узнать идентификатор пользователя.

Смысл заключается в том, чтобы ФБО не раскрывали без необходимости любую информацию, с помощью которой можно определить идентификатор пользователя, например идентификаторы субъектов, действующих от имени пользователя. Степень сохранности этой информации зависит от усилий, которые потребуются нарушителю для ее раскрытия. Следовательно, в компонентах семейства FPR_PSE необходимо учитывать требования стойкости функций.

Возможные применения включают в себя оплату телефонных услуг по льготному тарифу без раскрытия идентификатора абонента или оплату анонимного использования системы электронных платежей.

Примерами потенциально враждебных пользователей являются провайдеры, системные операторы, абоненты связи и пользователи, скрытно вводящие в систему опасные элементы (например, "троянских коней")#. Все они могут изучать, какие пользователи какие услуги заказывают, и злоупотреблять этой информацией. В дополнение к семейству "Анонимность" услуги предоставляемые семейством "Псевдонимность", содержат методы авторизации без идентификации, особенно при анонимной оплате "(электронные деньги"). Это помогает провайдерам получать платежи безопасным способом, поддерживая при этом анонимность клиентов.

FPR_PSE.1 Псевдонимность

Замечания по применению для пользователя

Компонент FPR_PSE.1 обеспечивает защиту пользователя от раскрытия его идентификатора другими пользователями. При этом пользователь останется ответственным за свои действия.

Операции

Назначение

В FPR_PSE.1.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.

В FPR_PSE.1.1 автору ПЗ/ЗБ следует идентифицировать список субъектов и/или операций, и/или объектов, для которых подлинное имя пользователя данного субъекта следует защитить, например "доступ к предложениям трудоустройства". Отметим, что к "объектам" относят любые атрибуты, позволяющие другим пользователям или субъектам раскрыть действительный идентификатор данного пользователя.

В FPR_PSE.1.2 автору ПЗ/ЗБ следует идентифицировать число псевдонимов (один или более), которое ФБО способны предоставить.

FPR_PSF.1.2 автору ПЗ/ЗБ следует идентифицировать список субъектов, которым ФБО способны предоставлять псевдонимы.

Выбор

В FPR_PSE.1.3 автору ПЗ/ЗБ следует специфицировать, создаются псевдонимы функциями безопасности ОО или выбираются самими пользователями.

Назначение

В FPR_PSE.1.3 автору ПЗ/ЗБ следует идентифицировать метрику, которой удовлетворял бы псевдоним, созданный ФБО или выбранный пользователем.

FPR_PSE.2 Обратимая псевдонимность

Замечания по применению для пользователя

В компоненте FPR_PSE.2 ФБО должны обеспечить, чтобы при специфицированных условиях по предоставленной ссылке мог быть определен идентификатор пользователя.

В этом компоненте ФБО должны вместо идентификатора пользователя предоставить его псевдоним. При удовлетворении специфицированных условий идентификатор пользователя, которому принадлежит псевдоним, может быть определен. Для электронных денег примером таких условий может служить: "ФБО должны предоставить нотариусу возможность определить идентификатор пользователя по представленному псевдониму только в том случае, если чек был выдан дважды".

Операции

Назначение

В FPR_PSE.2.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.

В FPR_PSE.2.1 автору ПЗ/ЗБ следует идентифицировать список субъектов и/или операций, и/или объектов, для которых подлинное имя пользователя данного субъекта следует защитить, например "доступ к предложениям трудоустройства". Отметим, что к "объектам" относят любые атрибуты, позволяющие другим пользователям или субъектам раскрыть действительный идентификатор данного пользователя.

В FPR_PSE.2.2 автору ПЗ/ЗБ следует идентифицировать число псевдонимов (один или более), которое ФБО способны предоставить.

В FPR_PSE.2.2 автору ПЗ/ЗБ следует идентифицировать список субъектов, которым ФБО способны предоставлять псевдонимы.

Выбор

В FPR_PSE.2.3 автору ПЗ/ЗБ следует специфицировать, создаются псевдонимы функциями безопасности ОО или выбираются самими пользователями.

Назначение

В FPR_PSE.2.3 автору ПЗ/ЗБ следует идентифицировать метрику, которой удовлетворял бы псевдоним, созданный ФБО или выбранный пользователем.

Выбор

В FPR_PSE.2.4 автору ПЗ/ЗБ следует идентифицировать, могут ли уполномоченный пользователь и/или доверенные субъекты определить подлинное имя пользователя.

Назначение

В FPR_PSE.2.4 автору ПЗ/ЗБ следует идентифицировать список доверенных субъектов (например, "нотариус" или "пользователь, имеющий специальное разрешение"), которые могут при определенных условиях узнать подлинное имя пользователя.

В FPR_PSE.2.4 автору ПЗ/ЗБ следует идентифицировать список условий, при которых доверенные субъекты и уполномоченный пользователь могут определить подлинное имя пользователя на основе предоставленной ссылки. Такими условиями может быть "время суток" или же правовое условие, например предъявление судебного постановления.

FPR_PSE.3 Альтернативная псевдонимность

Замечания по применению для пользователя

В компоненте FPR_PSE.3 ФБО должны обеспечивать, чтобы предоставленная ссылка отвечала определенным правилам ее создания и вследствие этого могла использоваться потенциально опасными субъектами без нарушения безопасности.

Если пользователь хочет использовать ресурсы, не раскрывая свой идентификатор, то может применяться псевдонимность. Обычно на всем протяжении доступа к системе пользователь обязан использовать один и тот же псевдоним. Такое условие можно специфицировать в этом компоненте.

Операции

Назначение

В FPR_PSE.3.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.

В FPR_PSE.3.1 автору ПЗ/ЗБ следует идентифицировать список субъектов и/или операций, и/или объектов, для которых подлинное имя пользователя данного субъекта следует защитить, например "доступ к предложениям трудоустройства". Отметим, что к "объектам" относят любые атрибуты, позволяющие другим пользователям или субъектам раскрыть действительный идентификатор данного пользователя.

В FPR_PRS.3.2 автору ПЗ/ЗБ следует идентифицировать число псевдонимов (один или более), которое ФБО способны предоставить.

В FPR_PSE.3.2 автору ПЗ/ЗБ следует идентифицировать список субъектов, которым ФБО способны предоставлять псевдонимы.

Выбор

В FPR_PSE.3.3 автору ПЗ/ЗБ следует специфицировать, создаются псевдонимы функциями безопасности ОО или выбираются самими пользователями.

Назначение

В FPR_PSE.3.3 автору ПЗ/ЗБ следует идентифицировать метрику, которой удовлетворял бы псевдоним, созданный ФБО или выбранный пользователем.

В FPR_PSE.3.4 автору ПЗ/ЗБ следует идентифицировать список условий, указывающих, в каких случаях ссылки на подлинное имя пользователя должны быть одинаковы, а в каких должны быть различными, например "когда пользователь осуществляет многократный вход в узел сети, он будет использовать один и то же псевдоним".