关于校园网络安全接入技术与应用(2)
2016-01-14 01:03
导读:(二)NAP技术 网络访问保护NAP技术(Network AccessProtection)是微软为下一代操作系统Windows Vista和Windows Server Longhorn设计的新的一套操作系统组件,它可以在访问私
(二)NAP技术
网络访问保护NAP技术(Network AccessProtection)是微软为下一代操作系统Windows Vista和Windows Server Longhorn设计的新的一套操作系统组件,它可以在访问私有网络时提供系统平台健康校验。NAP平台提供了一套完整性校验的方法来判断接入网络的客户端的健康状态,对不符合健康策略需求的客户端限制其网络访问权限。
NAP主要有以下部分组成:
1.适用于动态主机配置协议和VPN、IPSec的NAP客户端;
2 Windows Longhorn Server(NAP Server):对于不符合当前系统运行状况要求的计算机进行强制受限网络访问,同时运行Internet身份验证服务(IAS),支持系统策略配置和NAP客户端的运行状况验证协调;
3.策略服务器:为IAS服务器提供当前系统运行情况,并包含可供NAP客户端访问以纠正其非正常运行状态所需的修补程序、配置和应用程序。策略服务器还包括防病毒隔离和软件更新服务器:
4.证书服务器:向基于IPSec的NAP客户端颁发运行状况证书。
(三)TNC技术
TNC是Trusted Network Connection的缩写,即可信网络连接技术,它是由可信计算组织TCG(Trusted Computing Group)制定的一组详细规范,作为TCG中基础设施工作组(Infrastructure Work Group)的一部分。TNC建立在基于主机可信
计算机技术,其通过使用可信主机提供的终端技术,实现网络访问控制的协同工作。同时,TNC的网络构架可以结合已存
在的网络访问控制策略(如例如IEEE 802.1x、IETF Radius等协议)实现访问控制功能,它的目标是解决网络端点安全接入问题。TNC主要思想是,制定一系列开放的规范。这些规范将包含端点安全构件之间、端点主机或网元之间的软件界面和协议。TNC通过认证和完整性校验检查端点的“健康度”,对不满足系统安全策略的端点提供隔离并尽可能加以矫正,从而保证整个网络系统的安全性及可信性。
(科教作文网 zw.nseac.com整理)
TNC是一个开放的通用架构,TNC体系可以简单地分为三纵三横结构。在纵向上被分成三部分实体(Entities):访问请求者AR(AccessRequestor)、策略执行点PEP(Policy Enforcement Point)、策略定义点PDP(Policy Decision Point),各部分实体可以分布在系统中的任意位置,他们可以是三个完整的设备。TNC体系在横向上也被上分为三层,分别为网络接入层、整体评估层和整体度量层,这三层只是由完成的功能作用而逻辑划分。
1.网络接入层:从属于传统的网络互联和安全层,支持现有的如VPN和802.1X等技术。这一层包括NAR(网络访问请求)、PEP(策略执行)和NAA(网络访问授权)3个组件:
2.完整性评估层:这一层依据一定的安全策略评估访问请求者AR的完整性状况;
3.完整性测量层:这一层负责搜集和验证AR的完整性信息。
可信网络连接技术TNC通过提供一个由多种协议规范组成的框架来实现一套多元的网络标准,主要功能和目标如下:
1.平台认证:用于验证网络访问请求者身份,以及平台的完整性状态。
2.终端策略授权:为终端的状态建立一个可信级别,例如:确认应用程序的存在性、状态、升级情况,升级防病毒软件和IDS的规则库的版本,终端操作系统和应用程序的补丁级别等。从而使终端被给予一个可以登录网络的权限策略,进而获得在一定权限控制下的网络访问权。
3.访问策略:确认终端机器以及其用户的权限,并在其连接网络以前建立可信级别,平衡已存在的标准、产品及技术。
4.评估、隔离及补救:确认不符合可信策略需求的终端机能被隔离在可信网络之外,执行适合的补救措施。
