W sieciach komputerowych istotnym problemem jest bezpieczna komunikacja, odporna na zagrożenia poufności i autentyczności przesyłanych informacji. Zagrożenia poufności i autentyczności informacji są związane z możliwością odczytu informacji lub modyfikacji danych przez osoby niepowołane. Oprócz autentyczności informacji ważna jest autentyczność nadawcy - pewność co do tożsamości osoby, z którą się komunikujemy. Do zapewnienia bezpieczeństwa danych w sieciach komputerowych stosowane są protokoły uwierzytelniania.

Na poziomie technicznym sprowadza się to do:

• identyfikacji,
• uwierzytelniania,
• autoryzacji (upoważniania).

Identyfikacja zapewnia rozpoznawanie unikatowych cech przypisanych osobie lub obiektowi - to proces umożliwiający rozpoznawanie użytkownika lub obiektu opisanego w zautomatyzowanym systemie przetwarzania danych.

Uwierzytelnianie zapewnia korelację tej elektronicznej tożsamości z realnym światem i jest procesem mającym na celu upewnienie co najmniej jednej z dwóch stron biorących w nim udział co do tożsamości drugiej strony. Uwierzytelnianie to pozytywna identyfikacja w stopniu wystarczającym do przyznania odpowiednich uprawnień czy przywilejów osobie lub obiektowi pozytywnie zidentyfikowanemu.

Klasyczne metody korelacji wirtualnych i fizycznych tożsamości w sieciach komputerowych są zbliżone do metod używanych do uwierzytelniania osób w świecie realnym. Podstawowe kategorie informacji uwierzytelniającej to:

• Coś, o czym wiesz (What you know) - hasło, fraza itp.
• Coś, co możesz wykonać (What you do) - np. podpis.
• Cecha osobnicza (What you are) - twarz, cechy biometryczne - odcisk palca itp.
• Coś, co posiadasz (What you have) - token, certyfikat (np. dokument tożsamości).

Wszystkie te kategorie są używane także w sieciach komputerowych, a niektóre z nich są dużo łatwiejsze i precyzyjniejsze w implementacji niż w świecie rzeczywistym (np. certyfikaty).

Autoryzacja zapewnia przyznawanie osobie, programowi lub procesowi uprawnień (prawa dostępu lub korzystania z zasobów), związanych z uwierzytelnionym obiektem.

Identyfikacja, uwierzytelnianie i autoryzacja są normalnymi elementami każdej transakcji biznesowej i muszą być zagwarantowane przez system komunikacyjny oraz oprogramowanie pośredniczące w związkach pomiędzy stronami transakcji.

Z uwierzytelnianiem jest związana cecha niezaprzeczalności. Formalna definicja określa ją jako metodę, dzięki której nadawca danych ma mechanizm sprawdzania dostarczenia, a odbiorca jest zapewniony o tożsamości nadawcy. W rezultacie żaden z nich nie może zaprzeczyć wymianie danych.

Identyfikacja i uwierzytelnianie zaczynają się wtedy, gdy jest inicjowana sesja. Sesja to z kolei działanie w określonym przedziale czasowym. Działaniem takim jest dostęp do zasobów sieci czy komputera, a przedział jest wyznaczany przez inicjację sesji (np. logowanie) i zakończenie sesji (wylogowanie). W środowisku webowym większość interakcji nie opiera się na sesji - brak np. identyfikacji i uwierzytelniania, gdy anonimowy użytkownik odwiedza publiczną stronę webową. Nie funkcjonuje też wyraźne pojęcie logowania ani wylogowania. Jednak bezpieczne transakcje webowe wymagają pewnych form logowania i wylogowania, zazwyczaj na poziomie aplikacyjnym.

Integralność sesji i uwierzytelnianie mogą być naruszane na wiele różnych sposobów: przejęcie otwartej sesji przez nieautoryzowanych użytkowników (np. przejęcie stacji roboczej z sesją otwartą przez innego użytkownika) lub „uprowadzenie sesji” (hijacking).

Identyfikacja, uwierzytelnianie i autoryzacja są elementami każdej transakcji biznesowej i muszą być zagwarantowane przez system komunikacyjny i oprogramowanie pośredniczące w związkach pomiędzy dostawcami i klientami.

Zobacz także

• Biometryka
• Metody ścisłego uwierzytelniania
• Podpisy cyfrowe i certyfikaty
• Podpis elektroniczny w praktyce
• Szyfrowanie i podpisy cyfrowe XML
• Tożsamość w środowisku mobilnym
• TSP (Time Stamp Protocol)
• Zarządzanie hasłami
• Zarządzanie tożsamością