Identity Assurance Framework czyli jaka pewność tożsamości?

2010-10-08 00:00:00 +0100


Identity Assurance Framework (IAF) to ustandardyzowana podstawa do budowy wymagań dla różnych poziomów bezpieczeństwa, zwłaszcza identyfikacji i uwierzytelnienia użytkownika, w usługach publicznych i komercyjnych. Celem IAF jest dostarczenie ustawodawcom oraz projektantom systemów wykorzystywanych do świadczenia usług elektronicznych standardowej metodyki budowania wymagań wobec mechanizmów uwierzytelnienia oraz weryfikacja ich poprawności. Podstawowym założeniem IAF jest zróżnicowanie poziomów pewności uwierzytelnienia w zależności od poziomu ryzyka procesu, do którego użytkownik uzyskuje dostęp.

IAF definiuje cztery poziomy pewności (assurance levels, AL):

PoziomSiła uwierzytelnieniaDane uwierzytelniającePrzykład użycia </theader>
AL 1Niska - deklaracja użytkownikaPIN, hasłoRejestracja w popularnym portalu
AL 2Średnia - poświadczenie tożsamości przez organ publicznyJednoskładnikowe, dowód kontroli nad danymi za pomocą protokołu kryptograficznegoZmiana adresu osoby uposażonej w ubezpieczeniach społecznych
AL 3Wysoka - poświadczenie tożsamości przez organ publiczny i weryfikacja uprawnieńWieloskładnikowe z użyciem protokołu kryptograficznego, tokenów sprzętowych lub programowych, haseł jednorazowychDostęp do konta w funduszu inwestycyjnym
AL 4Najwyższy poziom poświadczenia tożsamości przez organ publicznyc i weryfikacja uprawnieńWieloskładnikowe z użyciem protokołu kryptograficznego oraz danych uwierzytelniających przechowywanych wyłącznie w tokenach sprzętowychWypisywanie recept na kontrolowane substancje psychotropowe, autoryzacja przelewów na kwoty rzędu 1 mln dolarów </tbody> </table> Projekt IAF wywodzi się z wcześniejszych wytycznych Liberty Alliance pod tą samą nazwą oraz poziomów opisanych przez NIST w SP 800-63 (Electronic Authentication Guide). Więcej informacji: http://kantarainitiative.org/confluence/display/certification/Home