США: Национальный институт стандартов и технологий (NIST) опубликовал окончательную редакцию отчёта NISTIR 8403 «Использование технологий блокчейна в системах контроля и управления доступом»

26 мая 2022 года сайт и новостная рассылка американского Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) сообщили о публикации окончательной редакции внутреннего отчёта (NIST Internal Report) NISTIR 8403 «Использование технологий блокчейна в системах контроля и управления доступом» (Blockchain for Access Control Systems), объёмом 28 страниц, см. https://csrc.nist.gov/publications/detail/nistir/8403/final (прямая ссылка на PDF-файл: https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8403.pdf ). Автор отчёта – сотрудник NIST Винсент Ху (Vincent Hu).

Ранее я уже рассказывала о работе над этим документом здесь: http://rusrim.blogspot.com/2022/01/nist-nistir-8403.html

В новости о публикации отчёта говорится:

«Национальный институт стандартов и технологий (NIST) опубликовал внутренний отчет NIST IR 8403 «Блокчейн для систем контроля доступа» (Blockchain for Access Control Systems). Защита системных ресурсов от несанкционированного доступа является основной задачей системы контроля и управления доступом. По мере быстрого развития информационных систем возрастает потребность в усовершенствованных механизмах контроля доступа, которые поддерживают децентрализацию, масштабируемость и доверие – обеспечение всех этих свойств представляет собой большие проблемы для традиционных механизмов.

Технология блокчейна обеспечивает высокую степень уверенности и защиту от несанкционированного вмешательства (tamper resistance), реализованную распределенным образом в отсутствие центрального органа управления, - это означает, что она может быть заслуживающей доверия альтернативой при обеспечении соблюдения политик контроля и управления доступом. В настоящем документе дан анализ систем контроля и управления доступом на основе технологии блокчейна с точки зрения свойств, компонентов, архитектур и поддержки моделей; а также обсуждаются вопросы, связанные с внедрением.»

В аннотации на документ отмечается:

«Быстрое развитие и широкое применение распределенных сетевых систем сделали ещё более важным обеспечение сетевой безопасности - особенно контроля над доступом и конфиденциальности данных (data privacy). Технология блокчейна обеспечивает такие свойства, как децентрализация, высокая степень уверенности и устойчивость к несанкционированному вмешательству (tamper-resistance), которые полезны для решения вопросов контролируемости (auditability), потребления ресурсов, масштабируемости, наличия центрального органа управления и доверия - все они представляют собой проблемы для контроля и управления доступом к сети на основе традиционных механизмов.

В данном документе приводятся общие сведения о системах контроля и управления доступом на основе технологии блокчейна с точки зрения свойств, компонентов, функций блокчейн-систем и поддержки моделей политики контроля и управления доступом. Также в документ включено обсуждение вопросов внедрения систем контроля и управления доступом на основе технологии блокчейна.»

В свою очередь в кратком резюме для руководства сказано:

«Контроль над доступом предусматривает определение допустимых действий легальных пользователей и модерирование каждой попытки пользователя получить доступ к ресурсу в системе. Цели системы контроля и управления доступом часто описываются в терминах защиты системных ресурсов от ненадлежащего или нежелательного доступа пользователей. С деловой точки зрения эту цель можно было бы также описать в понятиях оптимального коллективного использования информации. По мере того, как современные информационные системы и сетевые архитектуры эволюционируют и становятся все более «лёгкими», повсеместно распространёнными и интерактивными, - примерами могут служить облако и Интернет вещей (IoT), - возникает потребность в механизме контроля и управления доступом, поддерживающего требования к децентрализации, масштабируемости и доверию при доступе к объектам, обеспечить выполнение которых с помощью традиционных механизмов сложно.

Блокчейны - это устойчивые к несанкционированному вмешательству (tamper-resistant) и обеспечивающие обнаружение такого вмешательства (tamper-evident) цепочки криптографически связанных друг с другом блоков данных (которые образуют цифровые реестры), реализованные распределенным образом (т. е. в отсутствие центрального хранилища) и обычно в отсутствие центрального органа управления (например, банка, компании или правительства). В них используются реплицированные, распространяемые среди пользователей частной или публичной распределённой компьютерной сети (которые могут находиться в разных местах и принадлежать к разным организациям) и синхронизированные цифровые блоки.

Блокчейны можно использовать в архитектуре систем контроля и управления доступом в качестве заслуживающей доверия альтернативы обеспечению соблюдения политик контроля доступа силами отдельного лица/организации или отдельного участника крупномасштабной системы. Устойчивый, распределенный характер технологии блокчейна позволяет преодолеть ограничения традиционных систем контроля и управления доступом эффективным децентрализованным образом. Он поддерживается следующими инфраструктурными свойствами, которые отсутствуют в традиционных механизмах контроля и управления доступом, - если только эти свойства не были реализованы целенаправленно:

• Устойчивая к несанкционированному вмешательству и обеспечивающая обнаружение такого вмешательства архитектура предотвращает изменение данных управления доступом (т.е. атрибутов, правил политик, условий среды и запросов на доступ) и журналов операций доступа (т.е. запросов разрешений и предыдущих данные управления доступом) и снижает вероятность мошенничества.
  
  
• Выполнение процессов контроля над авторизацией децентрализовано, а хранение данных/журналов управления доступом не имеет «единой точки отказа», что обеспечивает большую устойчивость и доступность системы.
  
  
• Прослеживаемость блоков позволяет просматривать и прослеживать данные/журналы управления доступом, а также состояния системы.
  
  
• Выполнение произвольных программ в рамках смарт-контрактов позволяет реализовать контроль и управление распределенными данными управления доступом и процессами авторизации.
  
  
• Механизмы и протоколы консенсуса совместно регулируют то, как участвующие в управление и контроле доступа лица/организации определяют правила политики посредством блоков или смарт-контрактов.»

Содержание документа следующее:

Краткое резюме для руководства
1. Введение
2. Компоненты блокчейн-систем и их полезность для систем контроля и управления доступом
3. Функция контроля и управления доступом систем контроля и управления доступом на основе блокчейна
4. Поддержка модели контроля и управления доступом (Access Control Model)
5. Соображения по внедрению
5.1. Вопросы управления
5.2. Вопросы безопасности
5.3. Вопросы обеспечения неприкосновенности частной жизни
5.4. Вопросы эффективности
5.5. Вопросы стандартизации
6. Выводы
Литература

Источник: сайт NIST
https://csrc.nist.gov/News/2022/blockchain-for-access-control-systems-nist-ir-8403
https://csrc.nist.gov/publications/detail/nistir/8403/final