 |
アイデンティティ駆動型ネットワーキング(IDN )は、デバイスに責任を持つ、またはデバイスを操作する個人または個人のグループのアイデンティティに基づいて、ネットワークデバイスアクセスにネットワーク制御を適用するプロセスです。 [ 1 ]個人が識別され、ネットワークはコンテキストに応じてその存在に対応するように調整されます。
OSIモデルは、ネットワークトラフィックをシステムだけでなく、データを要求またはリッスンしているアプリケーションにも配信する方法を提供します。これらのアプリケーションは、システムベースのユーザーデーモンプロセスとして、またはWebブラウザなどのユーザーアプリケーションとして動作できます。
インターネットセキュリティは、リクエストの要求やそれに対する応答には、ある程度の認証、検証、認可、そしてポリシーの適用が必要であるという考えに基づいて構築されています。アイデンティティ駆動型ネットワーキングは、ユーザーとシステムに基づくポリシーを単一の管理パラダイムに統合することを目指しています。
インターネットは多種多様なデバイスとアプリケーションで構成されているため、多くの境界が存在し、それらの境界内でユーザーへの接続をどのように解決するかについても様々な考え方があります。システムにアイデンティティ・フレームワークを重ね合わせる試みは、まずアイデンティティとは何かを決定し、それを決定した上で、既存の制御を用いてこの新しい情報の目的を決定する必要があります。
アイデンティティ
デジタルアイデンティティは、実際のアイデンティティとアイデンティティの投影との間の接続性を表します。また、デバイス、リソース、ポリシーへの参照が組み込まれることもあります。
一部のシステムでは、ポリシーによって、特定の時間と空間においてアイデンティティが主張できる権利が規定されています。例えば、職場では勤務時間中に認められる特権が、勤務時間外には自宅では認められない場合があります。
どのように機能するか
ユーザーがネットワークにアクセスする前に、通常は何らかのマシン認証が行われます。この認証によって、システムの基本レベルのアクセス権限が検証・設定されます。この認証プロセス(802.1x)の前または最中にユーザーをMACアドレスにマッピングしない限り、この時点でユーザー認証を行うのは容易ではありません。システムプロセス(デーモン)が起動した後にユーザーが認証を試みる方が一般的であり、そのためにはネットワーク設定が既に行われている必要がある場合もあります。
したがって、原則として、ネットワーク接続を許可する前に、デバイスのネットワークIDを確立する必要があります。例えば、デバイス識別子として容易に偽装できるハードウェアアドレスの代わりに、デジタル証明書を使用するなどです。さらに、一貫したIDモデルは、ルーターやスイッチなどの一般的なネットワークデバイスを考慮する必要があります。これらのデバイスは、特定のユーザーがデバイスに関連付けられていないため、ユーザーIDに依存できません。しかしながら、実際にはこの機能がなければ、ネットワークレベルで強力なIDを確立することはできません。
IDドリブンネットワーク制御の適用を目指す際の最初のタスクは、デバイスレベルでなくても、スタックのさらに上位レベルで何らかの認証を行うことです。ネットワーク上に最初に配置されるインフラストラクチャは多くの場合ネットワークオペレーティングシステム(NOS)であるため、NOSに含まれるリソース(通常はプリンターやファイル共有)を管理するID認証局(Identity Authority)が存在します。また、NOS上でユーザーを認証するための手順も存在します。何らかのシングルサインオンを組み込むことで、他の制御へのスムーズな連携が可能になります。
多くのネットワーク機能は、アクセス制御ポリシーのプロビジョニングのために認証テクノロジに依存するようにすることができます。
たとえば、パケット フィルタリング (ファイアウォール) 、コンテンツ制御ソフトウェア、クォータ管理システム、サービス品質(QoS) システムは、認証に応じて制御できる良い例です。
参照
参考文献
- ^リサーチ、ジェフ・ウィルソン、Infonetics (2007年9月17日). 「アイデンティティベースネットワーキングとは何か?」 Network World . 2020年11月22日閲覧。
{{cite web}}: CS1 maint: 複数の名前: 著者リスト (リンク)
