Zapewnienie tożsamości

Zapewnienie tożsamości w kontekście federacyjnego zarządzania tożsamością to zdolność strony do ustalenia, z pewnym poziomem pewności, że elektroniczne dane uwierzytelniające reprezentujące jednostkę (człowieka lub maszynę), z którą wchodzi w interakcję w celu przeprowadzenia transakcji, mogą być zaufane faktycznie należą do podmiotu.

W przypadku, gdy podmiotem jest osoba, zapewnienie tożsamości to poziom, na którym można ufać, że przedstawiane poświadczenie jest pełnomocnikiem osoby, której zostało wydane, a nie kogoś innego. Poziomy pewności (AL lub LoA) to poziomy zaufania związane z danymi uwierzytelniającymi, mierzone za pomocą powiązanej technologii, procesów oraz oświadczeń dotyczących zasad i praktyk.

Opis

Zapewnienie tożsamości, w kontekście online, to zdolność strony ufającej do ustalenia, z pewnym poziomem pewności, że można ufać, że roszczenie do określonej tożsamości złożone przez jakiś podmiot faktycznie jest „prawdziwą” tożsamością wnioskodawcy. Roszczenia dotyczące tożsamości są składane poprzez przedstawienie poświadczeń tożsamości stronie ufającej . W przypadku gdy podmiotem jest osoba, dane uwierzytelniające mogą przybierać różne formy, w tym: a) informacje umożliwiające identyfikację osoby , takie jak imię i nazwisko, adres, data urodzenia itp.; (b) proxy tożsamości, takie jak nazwa użytkownika, identyfikator logowania (nazwa użytkownika) lub adres e-mail; oraz (c) X.509 certyfikat cyfrowy.

Zapewnienie tożsamości odnosi się w szczególności do stopnia pewności potwierdzenia tożsamości dokonanego przez dostawcę tożsamości poprzez przedstawienie poświadczeń tożsamości stronie ufającej. Aby wystawić to twierdzenie, dostawca tożsamości musi najpierw ustalić, czy wnioskodawca posiada i kontroluje odpowiedni token , używając predefiniowanego protokołu uwierzytelniania . W zależności od wyniku tej procedury uwierzytelniania potwierdzenie zwrócone stronie ufającej przez dostawcę tożsamości pozwala stronie ufającej zdecydować, czy ufać, że tożsamość powiązana z poświadczeniem rzeczywiście „należy” do osoby przedstawiającej poświadczenie.

Stopień pewności, jaki strona ufająca może mieć co do prawdziwej tożsamości osoby przedstawiającej dane uwierzytelniające, jest nazywany poziomem pewności (AL). W dokumencie z 2006 roku wydanym przez amerykański Narodowy Instytut Standardów i Technologii określono cztery poziomy gwarancji . Poziom pewności jest mierzony na podstawie siły i rygoru procesu potwierdzania tożsamości, siły tokena używanego do uwierzytelnienia żądania tożsamości oraz procesów zarządzania, które stosuje dostawca tożsamości. Te cztery poziomy zostały przyjęte przez rządy Wielkiej Brytanii, Kanady i Stanów Zjednoczonych dla elektronicznych usług rządowych.

Zamiar

Aby prowadzić działalność online, podmioty muszą mieć możliwość zdalnej i niezawodnej identyfikacji. W większości przypadków nie wystarcza jednak typowe uwierzytelnienie elektroniczne (zwykle para podstawowa nazwa użytkownika i hasło lub certyfikat cyfrowy) po prostu stwierdzić: „Jestem tym, za kogo się podaję – uwierzcie mi”. Strona ufająca (RP) musi być w stanie wiedzieć z pewnym stopniem pewności, że przedstawione poświadczenie tożsamości elektronicznej naprawdę reprezentuje osobę przedstawiającą poświadczenie. W przypadku poświadczeń wystawionych samodzielnie nie jest to możliwe. Jednak większość elektronicznych poświadczeń tożsamości jest wydawana przez dostawców tożsamości (IdP): administratora sieci w miejscu pracy , usługę sieci społecznościowej , administratora gry online, jednostkę rządową lub zaufaną stronę trzecią, która sprzedaje certyfikaty cyfrowe. Większość ludzi ma wiele poświadczeń od wielu dostawców. Transakcja dotyczy czterech odbiorców — i związanego z nią zaufania:

  1. Użytkownicy elektronicznych danych uwierzytelniających,
  2. Podmioty, które polegają na poświadczeniach wydanych przez dostawców tożsamości elektronicznej (IdP),
  3. Dostawcy usług IdP oraz audytorzy lub asesorzy, którzy dokonują przeglądu procesów biznesowych IdP oraz
  4. Strony ufające (RP) ufają elektronicznym poświadczeniom tożsamości dostarczonym przez dostawców tożsamości

Różni dostawcy tożsamości stosują różne zasady i procedury wydawania elektronicznych poświadczeń tożsamości. W świecie biznesu, a zwłaszcza w rządzie, im bardziej wiarygodne jest poświadczenie, tym bardziej rygorystyczne są zasady dotyczące sprawdzania tożsamości, zarządzania poświadczeniami i rodzaju wydawanych poświadczeń. Jednak podczas gdy różni dostawcy tożsamości kierują się własnymi zasadami, coraz więcej użytkowników końcowych (często nazywanych abonentami) i usług online (często nazywanych stronami ufającymi) chce ufać istniejącym poświadczeniom i nie wydawać kolejnego zestawu identyfikatora użytkownika/hasła lub innych poświadczeń w celu uzyskania dostępu jedna usługa. Stąd koncepcja tożsamości federacyjnej staje się ważny. Tożsamość federacyjna zapewnia dostawcom tożsamości i stronom ufającym wspólny zestaw konwencji zaufania tożsamości, które wykraczają poza indywidualnych dostawców usług tożsamości, użytkowników lub sieci, tak aby strona ufająca wiedziała, że ​​może ufać poświadczeniom wydanym przez dostawcę tożsamości „A” na poziomie pewności porównywalny ze wspólnym standardem, który zostanie również uzgodniony przez dostawców tożsamości „B”, „C” i „D”.

Konkretne implementacje i proponowane implementacje

Australia

Główny artykuł: Tożsamość cyfrowa w Australii

Holandia

Główny artykuł: DigiD

DigiD to system, za pomocą którego holenderskie agencje rządowe mogą weryfikować tożsamość osoby przez Internet, rodzaj paszportu cyfrowego dla instytucji rządowych.

Polska

W ramach wspólnej inicjatywy ministerstw spraw wewnętrznych , spraw cyfrowych i zdrowia od pierwszego kwartału 2019 r. zostaną wprowadzone nowe dowody tożsamości z chipem, które zastąpią istniejące dowody tożsamości w okresie dziesięciu lat.

Zjednoczone Królestwo

Główny artykuł: Weryfikacja GOV.UK

Brytyjski program zapewniania tożsamości, GOV.UK Verify, jest dostarczany przez rządową usługę cyfrową we współpracy z dostawcami tożsamości z sektora prywatnego. GOV.UK Verify to oparta na standardach, federacyjna usługa zapewniania tożsamości, wspierająca cyfrową transformację administracji centralnej i lokalnej. Usługa umożliwia obywatelom korzystanie z federacyjnego modelu tożsamości w celu udowodnienia, że ​​są tym, za kogo się podają, kiedy logują się do usług rządowych. Użytkownicy mogą wybrać dostawcę zapewniania tożsamości spośród szeregu certyfikowanych dostawców i mogą zarejestrować się u jednego lub większej liczby tych dostawców. Usługa działa od maja 2016 roku.

Stany Zjednoczone

Główny artykuł: Narodowa strategia na rzecz zaufanych tożsamości w cyberprzestrzeni

Rząd Stanów Zjednoczonych po raz pierwszy opublikował projekt ram oceny poświadczeń Federacji E-Authentication (CAF) w 2003 r., a ostateczna publikacja została opublikowana w marcu 2005 r.

Kantara Initiative (IAWG) została utworzona w 2009 r. Kontynuowała ramy zapewniania tożsamości Liberty Alliance , które były częściowo oparte na ramach partnerstwa zaufania elektronicznego uwierzytelniania i CAF, aby umożliwić interoperacyjność między elektronicznymi systemami uwierzytelniania. Zdefiniowano ramy zaufania wokół jakości oświadczeń wydanych przez dostawcę tożsamości w oparciu o język, reguły biznesowe, kryteria oceny i certyfikaty. Prace rozpoczęły się w ramach Liberty Alliance na początku 2007 r., a pierwszy publiczny projekt został opublikowany w listopadzie 2007 r., a wersja 1.1 została wydana w czerwcu 2008 r. Grupa ekspertów ds. zapewniania tożsamości w ramach Liberty Alliance współpracowała z ITU-T (za pośrednictwem ITU-T SG17Q6 Grupa korespondencyjna ds. X.EAA w sprawie harmonizacji i międzynarodowej standaryzacji ram zapewniania tożsamości --- prace rozpoczęto we wrześniu 2008 r.); ISOC (między innymi ISO SC27 29115 Harmonization with Identity Assurance Framework); oraz American Bar Association (współpraca w celu opracowania modelowej umowy handlowej dotyczącej tożsamości federacyjnej).

Kantara Initiative Identity Assurance Framework (IAF), opublikowane w grudniu 2009 r., zawiera szczegółowe poziomy pewności i program certyfikacji, które wprowadzają ramy na rynek. IAF składa się z zestawu dokumentów, który obejmuje publikację przeglądową, glosariusz IAF, podsumowanie poziomów zaufania oraz schemat oceny wiarygodności (AAS), który obejmuje powiązany program oceny i certyfikacji, a także kilka dokumentów podrzędnych, m.in. im Kryteria oceny usług (SAC), które określają podstawowe kryteria ogólnej zgodności organizacyjnej, usług sprawdzania tożsamości, siły poświadczeń i usług zarządzania poświadczeniami, na podstawie których będą oceniane wszystkie CSP.

Różne organizacje, w tym Wells Fargo i Fidelity Investments, przedstawiły kilka prezentacji na temat zastosowania Identity Assurance Framework, dostępne są również studia przypadków dotyczące Aetna i Citigroup.

W 2009 r. South East Michigan Health Information Exchange (SEMHIE) przyjęła Kantara IAF. [ potrzebne źródło ]

Konsorcjum World Wide Web

Główny artykuł: Zdecentralizowane identyfikatory

Zdecentralizowane identyfikatory (DID) to rodzaj identyfikatora, który umożliwia weryfikowalną, zdecentralizowaną tożsamość cyfrową.

Zobacz też

Pobrano z „ https://en.wikipedia.org/w/index.php?title=Identity_assurance&oldid=1076845726