基于可信網(wǎng)絡(luò)連接的安全接入技術(shù)

在網(wǎng)絡(luò)訪問控制中，驗(yàn)證終端實(shí)體的完整性狀態(tài)，對(duì)于網(wǎng)絡(luò)安全具有十分重要的意義。
而傳統(tǒng)的網(wǎng)絡(luò)安全解決方案對(duì)此卻無能為力。利用可信網(wǎng)絡(luò)連接技術(shù)，可以評(píng)估并認(rèn)證終端實(shí)體的完整性狀態(tài)和安全級(jí)別，當(dāng)終端的完整性及其它安全屬性達(dá)到系統(tǒng)安全策略的要求時(shí)，方可允許該終端接入網(wǎng)絡(luò)，這就增強(qiáng)了網(wǎng)絡(luò)系統(tǒng)的安全性和可信性。
關(guān)鍵詞：網(wǎng)絡(luò)安全；可信網(wǎng)絡(luò)連接；網(wǎng)絡(luò)訪問控制
伴隨著網(wǎng)絡(luò)應(yīng)用的深入，網(wǎng)絡(luò)安全問題也愈演愈烈，包括拒絕服務(wù)攻擊，病毒、黑客入
侵、間諜軟件、網(wǎng)絡(luò)釣魚等在內(nèi)的安全問題發(fā)生的概率越來越大，而且?guī)淼奈：σ踩找鎳?yán)重，成為互聯(lián)網(wǎng)安全最大的威脅。盡管各類安全產(chǎn)品及解決方案層出不窮，所謂“道高一尺，魔高一丈”，隨著黑客制造攻擊的難度降低，以及桌面計(jì)算速度和網(wǎng)絡(luò)帶寬飛速的發(fā)展，都給病毒和攻擊者提供了更多的機(jī)會(huì)。
傳統(tǒng)網(wǎng)絡(luò)通過分層安全性防止安全攻擊，為網(wǎng)絡(luò)周邊、關(guān)鍵網(wǎng)絡(luò)段和面向應(yīng)用的授權(quán)提
供級(jí)別越來越高的安全保護(hù)。這種模式提供全面的網(wǎng)絡(luò)接入，可以保護(hù)資源，防止外部威脅和非法應(yīng)用接入，但也存在不足之處。
事實(shí)上，僅靠網(wǎng)絡(luò)邊緣的外圍設(shè)備已無法保證網(wǎng)絡(luò)的安全性。邊緣安全措施無法保護(hù)內(nèi)
部網(wǎng)絡(luò)段，也無法替代主機(jī)安全措施。即便運(yùn)行著防火墻等網(wǎng)絡(luò)周邊安全機(jī)制，病毒和電子郵件蠕蟲、特洛伊木馬、拒絕服務(wù)攻擊和其他惡意行為仍頻繁利用最終用戶設(shè)備滲入內(nèi)部網(wǎng)絡(luò)環(huán)境。在不安全或不夠安全的端點(diǎn)的用戶，也會(huì)不經(jīng)意間將以上威脅帶入網(wǎng)絡(luò)，而自己對(duì)此卻毫不覺察。其中某些威脅隨后可能會(huì)迅速蔓延，以致造成網(wǎng)絡(luò)中斷。
傳統(tǒng)的網(wǎng)絡(luò)解決方案無法解決這些問題，用戶身份識(shí)別和驗(yàn)證必須與端點(diǎn)評(píng)估結(jié)合在一
起，且必須應(yīng)用于每個(gè)會(huì)話及會(huì)話內(nèi)部?，F(xiàn)在面臨的挑戰(zhàn)是要找到盡可能利用現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的適當(dāng)方法，同時(shí)為各類用戶接入資源和應(yīng)用提供簡單安全的模式。
針對(duì)于此，業(yè)界提出了幾種安全接入技術(shù)，目前具有代表性的技術(shù)包括：思科的網(wǎng)絡(luò)接
入控制NAC(Network Admission Control)技術(shù)，微軟的網(wǎng)絡(luò)接入保護(hù)技術(shù) NAP(Network
Access Protection)以及TCG 組織的可信網(wǎng)絡(luò)連接TNC(Trusted Network Connect)技術(shù)等。這些技術(shù)的主要思路都是從終端著手，通過事先制定的安全策略，對(duì)接入網(wǎng)絡(luò)的主機(jī)進(jìn)行安全性檢測，自動(dòng)拒絕不安全的主機(jī)接入，保護(hù)網(wǎng)絡(luò)直到這些主機(jī)符合網(wǎng)絡(luò)的安全策略為止。限于篇幅，本文將重點(diǎn)探討TNC 安全接入技術(shù)。