Identity Assurance Framework (IAF) to ustandardyzowana podstawa do budowy wymagań dla różnych poziomów bezpieczeństwa, zwłaszcza identyfikacji i uwierzytelnienia użytkownika, w usługach publicznych i komercyjnych. Celem IAF jest dostarczenie ustawodawcom oraz projektantom systemów wykorzystywanych do świadczenia usług elektronicznych standardowej metodyki budowania wymagań wobec mechanizmów uwierzytelnienia oraz weryfikacja ich poprawności. Podstawowym założeniem IAF jest zróżnicowanie poziomów pewności uwierzytelnienia w zależności od poziomu ryzyka procesu, do którego użytkownik uzyskuje dostęp.
IAF definiuje cztery poziomy pewności (assurance levels, AL):
Poziom | Siła uwierzytelnienia | Dane uwierzytelniające | Przykład użycia </theader> |
---|---|---|---|
AL 1 | Niska - deklaracja użytkownika | PIN, hasło | Rejestracja w popularnym portalu |
AL 2 | Średnia - poświadczenie tożsamości przez organ publiczny | Jednoskładnikowe, dowód kontroli nad danymi za pomocą protokołu kryptograficznego | Zmiana adresu osoby uposażonej w ubezpieczeniach społecznych |
AL 3 | Wysoka - poświadczenie tożsamości przez organ publiczny i weryfikacja uprawnień | Wieloskładnikowe z użyciem protokołu kryptograficznego, tokenów sprzętowych lub programowych, haseł jednorazowych | Dostęp do konta w funduszu inwestycyjnym |
AL 4 | Najwyższy poziom poświadczenia tożsamości przez organ publicznyc i weryfikacja uprawnień | Wieloskładnikowe z użyciem protokołu kryptograficznego oraz danych uwierzytelniających przechowywanych wyłącznie w tokenach sprzętowych | Wypisywanie recept na kontrolowane substancje psychotropowe, autoryzacja przelewów na kwoty rzędu 1 mln dolarów </tbody> </table> Projekt IAF wywodzi się z wcześniejszych wytycznych Liberty Alliance pod tą samą nazwą oraz poziomów opisanych przez NIST w SP 800-63 (Electronic Authentication Guide). Więcej informacji: http://kantarainitiative.org/confluence/display/certification/Home |