Identitetsdrivet nätverkande

Identitetsdrivet nätverk ( IDN ) är processen att tillämpa nätverkskontroller på en nätverksenhetsåtkomst baserat på identiteten för en individ eller en grupp av individer som ansvarar för eller använder enheten. Individer identifieras och nätverket är inställt för att svara på deras närvaro genom sammanhang.

OSI -modellen tillhandahåller en metod för att leverera nätverkstrafik , inte bara till systemet utan till applikationen som begärde eller lyssnar efter data. Dessa applikationer kan fungera antingen som en systembaserad användardemonprocess eller som en användarapplikation som en webbläsare .

Internetsäkerhet bygger på idén att möjligheten att begära eller svara på förfrågningar bör utsättas för en viss grad av autentisering , validering , auktorisering och upprätthållande av policy . Identitetsdrivet nätverk strävar efter att lösa användar- och systembaserad policy i ett enda hanteringsparadigm .

Eftersom internet omfattar ett stort utbud av enheter och applikationer finns det också många gränser och därför idéer om hur man kan lösa uppkoppling till användare inom dessa gränser. En strävan att överlappa systemet med ett identitetsramverk måste först bestämma vad en identitet är, fastställa den och först sedan använda befintliga kontroller för att bestämma vad som är avsett med denna nya information.

Identiteten

En digital identitet representerar sambandet mellan den verkliga och någon projektion av en identitet; och den kan innehålla referenser till enheter såväl som resurser och policyer .

I vissa system tillhandahåller policyer de rättigheter som en identitet kan göra anspråk på vid en viss tidpunkt i tid och rum. Till exempel kan en person ha rätt till vissa privilegier under arbete från sin arbetsplats som kan nekas hemifrån utanför arbetstid .

Hur det kan fungera

Innan en användare kommer till nätverket finns det vanligtvis någon form av maskinautentisering, detta verifierar och konfigurerar förmodligen systemet för någon grundläggande åtkomstnivå. Utan att mappa en användare till en MAC-adress före eller under denna process (802.1x) är det inte enkelt att få användare att autentisera vid denna tidpunkt. Det är mer vanligt att en användare försöker autentisera när systemprocesserna (demoner) har startat, och detta kan mycket väl kräva att nätverkskonfigurationen redan har utförts.

Härav följer att en enhets nätverksidentitet i princip bör fastställas innan nätverksanslutning tillåts, till exempel genom att använda digitala certifikat i stället för hårdvaruadresser som är triviala att förfalska som enhetsidentifierare. Dessutom måste en konsekvent identitetsmodell ta hänsyn till typiska nätverksenheter som routrar och switchar som inte kan bero på användaridentitet, eftersom ingen distinkt användare är associerad med enheten. Utan denna förmåga i praktiken hävdas dock ingen stark identitet på nätverksnivå.

Den första uppgiften när man försöker tillämpa identitetsdrivna nätverkskontroller omfattar någon form av autentisering, om inte på enhetsnivå så längre upp i stacken. Eftersom den första delen av infrastrukturen som placeras på ett nätverk ofta är ett nätverksoperativsystem (NOS) kommer det ofta att finnas en identitetsmyndighet som kontrollerar de resurser som NOS innehåller (vanligtvis skrivare och filresurser). Det kommer också att finnas rutiner för att autentisera användare på den. Att införliva någon form av enkel inloggning innebär att effektflödet till andra kontroller kan vara sömlöst.

Många nätverksfunktioner kan fås att förlita sig på autentiseringstekniker för tillhandahållande av en åtkomstkontrollpolicy.

Till exempel; Paketfiltrering - brandvägg , mjukvara för innehållskontroll , Quota Management-system och Quality of Service (QoS)-system är bra exempel på där kontroller kan göras beroende av autentisering.

Se även

Hämtad från " https://en.wikipedia.org/w/index.php?title=Identity_driven_networking&oldid=1060665743 "