ผู้ให้บริการรับรองคุณสมบัติ

Q: ข้อมูลสำคัญเกี่ยวกับ ผู้ให้บริการรับรองคุณสมบัติ

ผู้ให้บริการข้อมูลประจำตัว ( CSP ) คือหน่วยงานที่เชื่อถือได้ซึ่งออกโทเค็นความปลอดภัยหรือข้อมูลประจำตัวอิเล็กทรอนิกส์ให้กับผู้สมัครใช้บริการ CSP เป็นส่วนหนึ่งของ ระบบ

ผู้ให้บริการข้อมูลประจำตัว ( CSP ) คือหน่วยงานที่เชื่อถือได้ซึ่งออกโทเค็นความปลอดภัยหรือข้อมูลประจำตัวอิเล็กทรอนิกส์ให้กับผู้สมัครใช้บริการ^{[ 1 ]} CSP เป็นส่วนหนึ่งของ ระบบ การตรวจสอบสิทธิ์โดยทั่วไปจะถูกระบุว่าเป็นหน่วยงานแยกต่างหากในระบบการตรวจสอบสิทธิ์แบบรวมศูนย์ CSP อาจเป็นบุคคลที่สามที่เป็นอิสระ หรืออาจออกข้อมูลประจำตัวเพื่อใช้เอง^{[ 1 ]}คำว่า CSP ถูกใช้บ่อยครั้งในบริบทของโครงการ eGov และการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ ของรัฐบาลสหรัฐฯ ตัวอย่างของ CSP คือเว็บไซต์ออนไลน์ที่มีวัตถุประสงค์หลัก เช่น การธนาคารทางอินเทอร์เน็ต แต่ผู้ใช้สามารถตรวจสอบสิทธิ์ไปยังเว็บไซต์ แอปพลิเคชัน หรือบริการอื่นๆ ได้โดยไม่ต้องดำเนินการใดๆ เพิ่มเติม

ประวัติศาสตร์

ในระบบการตรวจสอบสิทธิ์ใดๆ ก็ตาม จำเป็นต้องมีหน่วยงานใดหน่วยงานหนึ่งทำหน้าที่ตรวจสอบสิทธิ์ผู้ใช้ในนามของแอปพลิเคชันหรือบริการเป้าหมาย เป็นเวลานานแล้วที่ความเข้าใจเกี่ยวกับผลกระทบของความปลอดภัยและความหลากหลายของบริการและแอปพลิเคชันที่จะต้องมีการตรวจสอบสิทธิ์นั้นยังไม่ดีพอ ผลที่ตามมาคือ ไม่เพียงแต่ผู้ใช้ จะต้องจดจำหรือพก ข้อมูลประจำตัว จำนวนมาก ติดตัวเท่านั้น แต่แอปพลิเคชันและบริการต่างๆ ก็ต้องทำการลงทะเบียนและตรวจสอบสิทธิ์ในระดับหนึ่งสำหรับผู้ใช้เหล่านั้นด้วยเช่นกัน ด้วยเหตุนี้ จึงได้มีการสร้างผู้ให้บริการข้อมูลประจำตัว (Credential Service Providers หรือ CSP) ขึ้นมา CSP จะแยกฟังก์ชันเหล่านั้นออกจากแอปพลิเคชันหรือบริการ และโดยทั่วไปจะให้ความน่าเชื่อถือแก่แอปพลิเคชันหรือบริการนั้นๆ ผ่านเครือข่าย (เช่นอินเทอร์เน็ต )

กระบวนการ CSP

CSP สร้างกลไกเพื่อระบุตัวตนสมาชิกแต่ละรายและโทเค็นและข้อมูลประจำตัวที่เกี่ยวข้องซึ่งออกให้กับสมาชิกนั้นอย่างเฉพาะเจาะจง CSP ลงทะเบียนหรือให้โทเค็นแก่สมาชิกเพื่อใช้ในโปรโตคอลการตรวจสอบสิทธิ์และออกข้อมูลประจำตัวตามความจำเป็นเพื่อเชื่อมโยงโทเค็นนั้นกับตัวตน หรือเพื่อเชื่อมโยงตัวตนกับคุณลักษณะที่ได้รับการตรวจสอบแล้วที่มีประโยชน์อื่นๆ สมาชิกอาจได้รับข้อมูลประจำตัวอิเล็กทรอนิกส์พร้อมกับโทเค็นในขณะลงทะเบียน หรืออาจสร้างข้อมูลประจำตัวในภายหลังตามความจำเป็น สมาชิกมีหน้าที่ต้องควบคุมโทเค็นของตนและปฏิบัติตามความรับผิดชอบต่อ CSP CSP เก็บรักษาบันทึกการลงทะเบียนสำหรับสมาชิกแต่ละรายเพื่อให้สามารถกู้คืนบันทึกการลงทะเบียนได้^{[ 1 ]}

ในแบบจำลองการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ ผู้เรียกร้องในโปรโตคอลการตรวจสอบสิทธิ์คือผู้สมัครสมาชิกของ CSP บางราย ณ จุดใดจุดหนึ่ง ผู้สมัครจะลงทะเบียนกับหน่วยงานลงทะเบียน (RA) ซึ่งจะตรวจสอบตัวตนของผู้สมัคร โดยทั่วไปผ่านการแสดงเอกสารประจำตัวที่เป็นกระดาษและบันทึกในฐานข้อมูล กระบวนการนี้เรียกว่าการพิสูจน์ตัวตน RA จะรับรองตัวตนของผู้สมัคร (และอาจรวมถึงคุณลักษณะที่ได้รับการตรวจสอบอื่นๆ) ให้กับ CSP จากนั้นผู้สมัครจะกลายเป็นผู้สมัครสมาชิกของ CSP CSP จะสร้างกลไกเพื่อระบุตัวตนผู้สมัครแต่ละรายและโทเค็นและเอกสารประจำตัวที่เกี่ยวข้องที่ออกให้กับผู้สมัครนั้นอย่างไม่ซ้ำกัน มีความสัมพันธ์ระหว่าง RA และ CSP เสมอ^{[ 1 ]}

ความสำคัญ

CSP สามารถสร้างความเชื่อมั่นในตัวตนของผู้ใช้ผ่าน กระบวนการ ตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ส่งผลให้หน่วยงานกำกับดูแลบางแห่งสามารถขอให้บุคคลพิสูจน์ตัวตนผ่าน CSP ได้ ปัจจุบัน หน่วยงานกำกับดูแลกำหนดให้แพทย์ต้องได้รับการตรวจสอบสิทธิ์ทางอิเล็กทรอนิกส์ก่อนที่แพทย์จะสามารถออกใบสั่งยาสำหรับสารอันตรายที่ควบคุม (CDS) ได้ แพทย์ต้องแสวงหา CSP ที่ได้รับการอนุมัติจากรัฐบาลกลางเพื่อรับข้อมูลประจำตัวการตรวจสอบสิทธิ์แบบสองปัจจัยหรือใบรับรองดิจิทัล [ ^{2 ] CSP}ดำเนินการพิสูจน์ตัวตนที่ตรงตามมาตรฐาน National Institute of Standards and Technology Special Publication 800-63-1 Assurance Level 3 ^{[ 2 ]}

CSP และรัฐบาลสหรัฐอเมริกา

ปัจจุบันรัฐบาลกลางเป็น CSP สำหรับธุรกรรม e-government อย่างไรก็ตาม รัฐบาลวางแผนที่จะมุ่งเน้นความสนใจทั้งหมดไปที่แอปพลิเคชันและปล่อยให้ธุรกิจการจัดการข้อมูลประจำตัวเป็นของอุตสาหกรรมอื่น^{[ 3 ]}

ในปี 2547 รัฐบาลสหรัฐฯ ได้เสนอโครงการยืนยันตัวตนทางอิเล็กทรอนิกส์ (E-authentication) โดยมีเป้าหมายดังนี้:

สร้างและส่งเสริมความไว้วางใจซึ่งกันและกันที่จำเป็นต่อการสนับสนุนการใช้งานสื่ออิเล็กทรอนิกส์อย่างแพร่หลายระหว่างประชาชนและรัฐบาลสหรัฐฯ
ลดภาระให้แก่ประชาชนในการขอรับบริการอิเล็กทรอนิกส์ที่น่าเชื่อถือจากภาครัฐ
นำเสนอโซลูชันการตรวจสอบสิทธิ์ที่ทำงานร่วมกันได้ทั่วไป โดยจับคู่ระดับความเสี่ยงและความเสี่ยงทางธุรกิจให้เหมาะสม^{[ 3 ]}

ผลจากโครงการริเริ่มนี้ วิทยาเขตอาจเริ่มเสนอให้นักศึกษา คณาจารย์ และเจ้าหน้าที่เข้าถึงแอปพลิเคชันของรัฐบาลกลางบางรายการได้^{[ 4 ]}อย่างไรก็ตาม ก่อนที่จะเกิดขึ้น รัฐบาลจะกำหนดข้อกำหนดต่อไปนี้: ^{[ 5 ]}

ข้อกำหนดการเป็นสมาชิก FedFed สำหรับระดับ 1 และ 2

การประเมินคุณวุฒิ
การลงนามในข้อบังคับทางธุรกิจและการดำเนินงาน
ความสามารถในการทำงานร่วมกันทางเทคนิคใน SAML 1.0

ข้อกำหนดการเป็นสมาชิก FedFed สำหรับระดับ 3 และ 4

การรับรองข้ามระบบกับ PKI ของรัฐบาลกลาง

ข้อกำหนดสำหรับผู้ให้บริการในการเข้าร่วมสหพันธ์โดยตรง

ผู้ให้บริการที่ประสงค์จะเข้าร่วมสหพันธ์โดยตรงจะต้องตกลงตามข้อตกลงดังต่อไปนี้:

กฎทางธุรกิจและการดำเนินงานของ eAuthentication ใน
- การวิเคราะห์ความเสี่ยง
- ระดับการบริการ
- ระดับความปลอดภัย"
- การปฏิบัติตามมาตรฐาน FIPS และ NIST SPs
- ข้อกำหนดการรายงาน
ข้อกำหนดด้านขั้นตอน การตรวจสอบ และเอกสารประกอบ

ผู้ให้บริการ

ด้านล่างนี้คือรายชื่อผู้ให้บริการคลาวด์ (CSP) บางส่วน พร้อมคำอธิบายสั้น ๆ เกี่ยวกับบริการที่พวกเขาให้บริการ

อีควิแฟกซ์

Equifaxให้บริการโซลูชันการรับรองที่ได้รับการรับรองว่าตรงตามข้อกำหนดด้านความปลอดภัยและความเป็นส่วนตัวของรัฐบาลกลาง Equifax นำเสนอมากกว่าแค่การระบุชื่อและที่อยู่พื้นฐาน Equifax มีวิธีการตรวจสอบตัวตนทางอิเล็กทรอนิกส์เพื่อให้แน่ใจว่ามีเพียงผู้ใช้ที่เชื่อถือได้เท่านั้นที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนและเครือข่ายที่ปลอดภัยได้^{[ 6 ]}

เมดิควิน

MediQuin เป็นผู้ให้บริการด้านการรับรองคุณสมบัติที่ตั้งอยู่ในเมืองเออร์ไวน์ รัฐแคลิฟอร์เนีย MediQuin ให้บริการด้านการรับรองคุณสมบัติทางการแพทย์ ใบสมัครผู้ให้บริการ แบบฟอร์มการลงทะเบียน บริการตรวจสอบ และบริการรับรองคุณสมบัติทางการแพทย์อื่นๆ^{[ 7 ]}

เมด แอนทีค

Med Advantage ให้บริการตรวจสอบมากมาย^{[ 8 ]}

การรับรองโดยคณะกรรมการ - ตรวจสอบระดับใบรับรองปัจจุบัน
ประวัติอาชญากรรม - ตรวจสอบประวัติอาชญากรรมระดับรัฐและ/หรือระดับสหรัฐฯ
การลงทะเบียน DEA/CDS - ตรวจสอบโดย NTIS และ/หรือใบรับรอง
การศึกษา - ตรวจสอบประวัติการศึกษาด้านการแพทย์และการศึกษาระดับสูงกว่าปริญญาตรี
FSMB - สอบถามข้อมูลจากสหพันธ์คณะกรรมการแพทย์ประจำรัฐ
ใบอนุญาต - ตรวจสอบใบอนุญาตจากรัฐที่เกี่ยวข้อง
การเรียกร้องค่าเสียหายจากการประมาททางการแพทย์ - ตรวจสอบกับบริษัทประกันภัย
ประกันความรับผิดทางการแพทย์ - ตรวจสอบจากบริษัทประกันหรือใบรับรอง
NPDB - ค้นหาข้อมูลจากฐานข้อมูลผู้ประกอบวิชาชีพแห่งชาติ
HIPDB - ค้นหาข้อมูลจากฐานข้อมูลความสมบูรณ์และการคุ้มครองด้านการดูแลสุขภาพ (Healthcare Integrity and Protection Databank)
สิทธิพิเศษ - ตรวจสอบสิทธิพิเศษในการรับผู้ป่วยเข้าโรงพยาบาลและการกำหนดขอบเขตของสิทธิพิเศษ
ข้อมูลอ้างอิง - ตรวจสอบข้อมูลอ้างอิงจากผู้เชี่ยวชาญ
มาตรการลงโทษ - ตรวจสอบข้อมูล Medicare/Medicaid และใบอนุญาตของรัฐ
ประวัติการทำงาน - ดึงประวัติการทำงานจากประวัติย่อ

โครงการคันทารา

โครงการรับรองและอนุมัติการรับรองตัวตนตามความคิดริเริ่มเป็น โครงการ ริเริ่มของ Kantaraที่พยายามใช้ CSP เพื่อมอบข้อมูลประจำตัวดิจิทัลที่น่าเชื่อถือยิ่งขึ้นให้กับภาคเอกชน^{[ 9 ]}

วินโดวส์

Windowsใช้ CSP เพื่อใช้งานโปรโตคอลการตรวจสอบสิทธิ์^{[ 10 ]}ในWindows Vistaได้มีการแนะนำแพ็คเกจการตรวจสอบสิทธิ์ใหม่ที่เรียกว่า Credential Security Service Provider (CredSSP) CredSSP ใช้ CSP ฝั่งไคลเอ็นต์เพื่อเปิดใช้งานแอปพลิเคชันให้สามารถมอบหมายข้อมูลประจำตัวของผู้ใช้ให้กับเซิร์ฟเวอร์เป้าหมายได้

[ 1 ]

2 ] CSP

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]