Identity Assurance Framework czyli jaka pewność tożsamości?

Submitted by Paweł Krawczyk on pt., 2010-10-08 08:36

Identity Assurance Framework (IAF) to ustandardyzowana podstawa do budowy wymagań dla różnych poziomów bezpieczeństwa, zwłaszcza identyfikacji i uwierzytelnienia użytkownika, w usługach publicznych i komercyjnych.

Celem IAF jest dostarczenie ustawodawcom oraz projektantom systemów wykorzystywanych do świadczenia usług elektronicznych standardowej metodyki budowania wymagań wobec mechanizmów uwierzytelnienia oraz weryfikacja ich poprawności. Podstawowym założeniem IAF jest zróżnicowanie poziomów pewności uwierzytelnienia w zależności od poziomu ryzyka procesu, do którego użytkownik uzyskuje dostęp.

IAF definiuje cztery poziomy pewności (assurance levels, AL):

Poziom	Siła uwierzytelnienia	Dane uwierzytelniające	Przykład użycia
AL 1	Niska - deklaracja użytkownika	PIN, hasło	Rejestracja w popularnym portalu
AL 2	Średnia - poświadczenie tożsamości przez organ publiczny	Jednoskładnikowe, dowód kontroli nad danymi za pomocą protokołu kryptograficznego	Zmiana adresu osoby uposażonej w ubezpieczeniach społecznych
AL 3	Wysoka - poświadczenie tożsamości przez organ publiczny i weryfikacja uprawnień	Wieloskładnikowe z użyciem protokołu kryptograficznego, tokenów sprzętowych lub programowych, haseł jednorazowych	Dostęp do konta w funduszu inwestycyjnym
AL 4	Najwyższy poziom poświadczenia tożsamości przez organ publicznyc i weryfikacja uprawnień	Wieloskładnikowe z użyciem protokołu kryptograficznego oraz danych uwierzytelniających przechowywanych wyłącznie w tokenach sprzętowych	Wypisywanie recept na kontrolowane substancje psychotropowe, autoryzacja przelewów na kwoty rzędu 1 mln dolarów

Projekt IAF wywodzi się z wcześniejszych wytycznych Liberty Alliance pod tą samą nazwą oraz poziomów opisanych przez NIST w SP 800-63 (Electronic Authentication Guide).

Więcej informacji:

http://kantarainitiative.org/confluence/display/certification/Home