隨著網際網路應用的迅速普及,人們與網路的關係變得越來越緊密。然而,由於網際網路具有開放性、互聯性等特徵,致使網路存在很多不安全因素,惡意軟體的肆意攻擊,黑客不軌的破壞行為都嚴重地威脅了人們的利益安全。因此,現在非常需要一套既能夠保護計算機不受惡意攻擊,又能夠為訪問網路提供安全保障的解決方案。
由可信計算組織(tcg)提出的可信網路連線(tnc)架構就是在這樣的背景下產生的。tnc能夠解決在網路環境下的終端安全問題,並且通過對終端進行完整性度量,來評估終端對於要訪問網路的適用性,以便確保只有合法並且自身安全的終端才能夠接入到網路。tnc利用結合終端完整性檢驗的訪問控制技術,來實現終端主機的安全連線。本文首先對tnc架構進行深入研究,分析其中的各種原理與設計思想,然後對tnc架構進行實現。
tnc架構研究
tnc是tcg提出的一種新概念的模型,同時它也是乙個開放的通用架構,tnc不依賴於具體的技術或者模型,但又能和各種技術進行良好的互操作。tnc架構將利用並且結合現存的網路訪問控制技術,例如802.1x來提供下面的功能。
a、平台認證:驗證乙個網路訪問請求者的平台身份和平台完整性驗證。
b、終端完整性認證(授權):建立乙個終端的可信等級,例如確保指令應用程式的表現,狀態和軟體版本,病毒簽名資料庫的完整性,入侵檢測和防禦系統程式,以及終端作業系統和程式的補丁等級。注意策略遵從性也可以被看作是授權,這種意義上終端完整性檢驗被當作授權決策的輸入來獲得對網路的訪問。
c、訪問策略:確保終端機器和/或它的使用者授權並且公開了他們的安全狀況在連線網路之前,利用一些現存的和出現的標準,產品或者技術。
d、評估,隔離和修補:確保那些要求訪問網路的系統,但是不滿足終端安全策略需求,能夠被隔離或者檢查從網路的其他部分,並且如果可能進行適當的修補,例如更新軟體或者病毒簽名資料庫來加強對安全策略的適應並且使與網路其他部分的連線變得合格。
通過上述方法,tnc允許檢驗合格的終端能夠接入網路,並且對檢驗不合格的終端,能夠進行隔離修補。另外,通過對使用者以及平台的認證,來確保使用者及使用平台的合法性。
tnc架構
tnc架構採用伺服器/客戶端模式,從縱向考慮,tnc包含三個邏輯實體:訪問請求者ar(access requestor),策略執行點pep(policy enforcement point)和策略決策點pdp(policy decision point)。訪問請求者是請求訪問受保護網路的邏輯實體。策略執行點是執行pdp的訪問授權決策的網路實體。策略決策點是根據特定的網路訪問策略檢查訪問請求者的訪問認證,決定是否授權訪問的網路實體。
從橫向考慮,tnc又分為完整性度量層、完整性評價層和網路訪問層。
在tnc架構的設計中,重點強調了接入終端的完整性和安全性,充分體現的乙個理念就是只有一台自身完整,並且具有很高安全度的終端主機才能接入到危險的網路環境中。所以,tnc在原有aaa架構的基礎上,力圖新增度量與報告終端完整性安全狀態的內容,把它作為進行認證和授權的一部分。這樣,在成熟的認證架構的基礎上,tnc新增了平台證書認證,完整性檢驗握手等內容在很大程度上提高了訪問網路的安全性。正是基於上述目的,tnc架構中的完整性度量層用來收集、度量、分析裝置完整性資訊,並把分析結果提供給完整性評價層使用,作為評價終端安全狀態的依據。
tnc訪問控制過程
TCL進軍全新領域 4 款時尚耳機即將發售
提到tcl,相信許多人會想到空調,電視等家電產品。儘管tcl已經成功躋身於全球家電知名品牌,但也仍未停止探索的腳步。近日,tcl推出了其自主研發設計的四大耳機產品系列,引來了不少 的關注。四款產品各有千秋,分別針對不同消費人群設計,其中有主打青春時尚的socl系列 主打強效低音的mtro系列 主打運...
CS研究生如何快速入門乙個全新領域?
該篇筆記主要分享入門新領域過程中的一些經驗,順帶整理目前已知的文獻搜尋方法。學位 是博士生研究工作的總結,博士生對自己研究領域研究得十分透徹,甚至還包括博士生本人對現有研究工作的觀點和看法,十分適合用作起點。然而這些領域在國內尚屬少數,大多數綜述都是以英文發表,但對於部分同學而言閱讀還是吃力,故而在...
上手全新領域的業務,資料分析師該有的技能
業務場景是資料分析的根本。接受新事物的能力,就是學習能力的體現。進入乙個全新行業的資料分析工作,該如何快速了解業務呢?1 行業背景 行業一些基本的東西,還是需要主動去了解一些,才能觸類旁通。從整個行業來看,關注這個行業的市場規模?增長趨勢?發展歷史及前景?企業在這個領域所佔份額以及未來的發展定位。從...