Сеть, управляемая идентификацией

скрывать В этой статье есть несколько проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалять эти шаблонные сообщения ) Эта статья нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты на надежные источники . Неиспользованный материал может быть оспорен и удален. Найдите источники:   «Сеть, основанная на идентичности» – новости   · газеты   · книги   · ученые   · JSTOR ( январь 2021 г. ) ( Узнайте, как и когда удалить это сообщение ) Эта статья или раздел, возможно, содержит обобщение материала не , который достоверно и не относится упоминает основную тему к ней. Соответствующее обсуждение можно найти на странице обсуждения . ( декабрь 2007 г. ) ( Узнайте, как и когда удалить это сообщение ) Эта статья , возможно, содержит оригинальные исследования . Пожалуйста, улучшите его сделанные , проверив утверждения и добавив встроенные цитаты . Заявления, состоящие только из оригинальных исследований, следует удалить. ( Октябрь 2014 г. ) ( Узнайте, как и когда удалить это сообщение ) ( Узнайте, как и когда удалить это сообщение )

Сеть на основе идентификации ( IDN ) — это процесс применения сетевого контроля к доступу к сетевому устройству на основе личности отдельного лица или группы лиц, ответственных за устройство или эксплуатирующих его. ^[1] Индивидуумы идентифицируются, и сеть настраивается так, чтобы реагировать на их присутствие в зависимости от контекста.

Модель OSI предоставляет метод доставки сетевого трафика не только в систему, но и в приложение, которое запрашивало или прослушивало данные. Эти приложения могут работать либо как системный процесс пользовательского демона , либо как пользовательское приложение, такое как веб-браузер .

Интернет-безопасность построена на идее, что возможность запрашивать запросы или отвечать на них должна подвергаться определенной степени аутентификации , проверки , авторизации и применения политик . Сеть, управляемая идентификацией, стремится объединить политику, основанную на пользователях и системе, в единую парадигму управления .

Поскольку Интернет включает в себя широкий спектр устройств и приложений, существует также множество границ и, следовательно, идей о том, как обеспечить возможность подключения пользователей в этих границах. Попытка наложить на систему структуру идентификации должна сначала решить, что такое Идентичность, определить ее, и только затем использовать существующие элементы управления, чтобы решить, для чего предназначена эта новая информация.

Цифровая идентичность представляет собой связь между реальностью и некоторой проекцией идентичности; и он может включать ссылки на устройства, а также на ресурсы и политики .

В некоторых системах политики предоставляют права, на которые личность может претендовать в любой конкретный момент времени и пространства. Например, человек может иметь право на некоторые привилегии во время работы на своем рабочем месте , в которых ему может быть отказано, находясь дома в нерабочее время .

Прежде чем пользователь попадает в сеть, обычно происходит некоторая форма аутентификации компьютера, которая, вероятно, проверяет и настраивает систему для некоторого базового уровня доступа. Если не считать сопоставления пользователя с MAC-адресом до или во время этого процесса (802.1x), на этом этапе обеспечить аутентификацию пользователей непросто. Обычно пользователь пытается пройти аутентификацию после запуска системных процессов (демонов), и для этого вполне может потребоваться уже выполненная настройка сети.

Отсюда следует, что, в принципе, сетевая идентичность устройства должна быть установлена ​​до разрешения сетевого подключения, например, с помощью цифровых сертификатов вместо аппаратных адресов, которые легко подделать под идентификаторы устройств. Более того, согласованная модель идентификации должна учитывать типичные сетевые устройства, такие как маршрутизаторы и коммутаторы, которые не могут зависеть от идентификации пользователя, поскольку с устройством не связан ни один отдельный пользователь. Однако при отсутствии этой возможности на практике надежная идентичность не утверждается на сетевом уровне.

Первая задача при попытке применить элементы управления сетью, управляемой идентификацией, включает в себя некоторую форму аутентификации, если не на уровне устройства, то дальше по стеку. Поскольку первой частью инфраструктуры, размещенной в сети, часто является сетевая операционная система (NOS), часто существует центр идентификации, который контролирует ресурсы, содержащиеся в NOS (обычно принтеры и общие файловые ресурсы). Также будут процедуры аутентификации пользователей на нем. Включение той или иной формы единого входа означает, что переход к другим элементам управления может быть плавным.

Многие сетевые возможности могут быть основаны на технологиях аутентификации для обеспечения политики контроля доступа.

Например; Фильтрация пакетов — межсетевой экран , программное обеспечение для управления контентом , системы управления квотами и системы качества обслуживания (QoS) — хорошие примеры того, где элементы управления могут быть поставлены в зависимость от аутентификации.

• Протоколы AAA, такие как RADIUS
• ЛДАП
• EAP