新型网络接入控制技术

1 NAC技术

1.1 简介

网络接入控制(Network Access Control，简称NAC)是由思科(Cisco)主导的产业级协同研究成果，NAC可以协助保证每一个终端在进入网络前均符合网络安全策略。

NAC技术可以提供保证端点设备在接入网络前完全遵循本地网络内需要的安全策略，并可保证不符合安全策略的设备无法接入该网络、并设置可补救的隔离区供端点修正网络策略，或者限制其可访问的资源。

1.2 必要组成部分

1. Communications agent － Cisco Trust Agent（简称CTA）是一个软件工具，负责搜集端点的安全讯息与设定等信息，例如防毒软件、OS及Cisco Security Agent（CSA），并把这些讯息传递到网络存取装置（Network access devices）。

2. Network access devices － 每一个设备在一开始寻求网络服务时将先与一个网络存取装置（router、switch、VPN concentrator、or firewall）联系。这些装置能要求端点必须提供由CTA产生的「安全凭证」，并且将这些讯息转送至政策服务器（policy server）以取得该端点存取网络之「允许权」。

3. Policy servers － 思科安全存取控制服务器（Cisco Secure Access Control Server，简称ACS）或其它供货商政策服务器检查从网络存取装置转送至的端点安全凭证，判定并给予其适当的存取权限（permit, deny, quarantine, restrict）。

4. Management systems － CiscoWorks VPN/Security Management Solution（VMS）、 CiscoWorks Security Information Manager Solution（SIMS）、以及NAC cosponsor management solutions规范了NAC的要素，并提供监控和报告工具，以及管理端点安全的应用服务。

5. Advance service － 进阶服务提供了结合计划、设计、以及建置咨询服务，用以帮助IT人员快速部署NAC解决方案，以落实Cisco NAC所提供的承诺。

1.3 NAC的好处

在网络拓墣最靠近端点的地方管控网络存取安全政策，可有效降低花费、增加网络使用弹性和提高生产力。

NAC为以现有的基础设备，增加些许投资来扩大思科网络设备、CSA及和其它安全软件，包括防毒与其它端点安全软件的价值。

1.4 NAC的运作方式

1. Host向底层网络设备提出验证

2. 底层网络设备向后传递验证予Policy Server

3. Policy Server确认使用者认证及权限

4. 将使用者权限传递予各节点网络设备

5. 各节点网络设备强制执行控管该使用者权限

6. 底层网络设备告知使用者可否联机，若为否则将其导向Quarantine Zone(政策非最新者)或告知其无权使用网络

2 NAP技术

网络访问保护NAP技术(Network Access Protection)是为微软下一代操作系统Windows Vista和Windows Server Longhorn设计的新的一套操作系统组件，它可以在访问私有网络时提供系统平台健康校验。NAP平台提供了一套完整性校验的方法来判断接入网络的客户 端的健康状态，对不符合健康策略需求的客户端限制其网络访问权限。

为了校验访问网络的主机的健康，网络架构需要提供如下功能性领域:

• 健康策略验证:判断计算机是否适应健康策略需求。

• 网络访问限制:限制不适应策略的计算机访问。

• 自动补救:为不适应策略的计算机提供必要的升级，使其适应健康策略。

• 动态适应:自动升级适应策略的计算机以使其可以跟上健康策略的更新。

NAP 中囊括了广泛的技术，需要进行全面的规划和测试，尤其是在较复杂的应用方案中。尽管我重点介绍的应用方案并不复杂，但 NAP 网站可提供更为详细的指导准则，所有规模的部署皆可参考。该网站还包括基于 802.1X 和 Ipsec 的强制技术的规划帮助信息，与基于 DHCP 的强制相比，这些技术通常更适合企业的需求。

NAP 为评估连接到网络的计算机的运行状况提供了一个强有力的可扩展平台。对中小型组织而言，基于 DHCP 的强制具有诸多好处，而且实现和管理的成本较低。NAP 是使用 Windows Server“Longhorn”所获得的一个主要好处，它能帮助您的组织增强安全性，改善规则遵从状况。

3 TNC技术

3.1 概念

TNC ( Trusted Network Connect)即可信网络接入，作为TCG（TrustedComputing Group）中的一个分支，专门负责网络终端入网的可信任务。

TCG的前身是1999年10月成立的TCPA组织，TCPA最初是为了解决PC机结构上的不安全，从基础上提高其可信性，由几大IT巨头Compaq、HP、IBM、Intel和Microsoft牵头组织的可信计算平台联盟TCPA(Trusted Computing Platform Alliance)，成员达190家。

2003年3月TCPA改组为“可信计算组织”TCG(Trusted Computing Group)，TCG 在原TCPA 强调安全硬件平台构建的宗旨之外，更进一步增加了对软件安全性的关注，旨在从跨平台和操作环境的硬件组件和软件接口两方面，促进不依赖特定厂商开发可信计算环境。

在讨论TNC之前，我们先要对“可信”下一个定义：“一个实体在实现给定目标时，若其行为总是如同预期，则该实体是可信的”。而对于“行为“是否符合”预期”，可能在不同的应用场景有着 不同的结果，据此TNC V1.0的目标明确为：定义一个开放的解决框架，是网络人员能够根据终端的安全状况分配不同的网络访问权限。对于终端安全状况的评估需要定义一套完整的终端完整性检查策略，而该策略可能涉及硬件、固件、软件和应用等整个运行环境，“may or may not include evidence of a Trusted Platform Module (TPM)”。TNC实质上是把终端可信概念延伸到网络上，从而来完善整个系统的安全性。

3.2 目标

2008年TNC工作组把TNC目标描述为：

1. 给不同的网络访问者不同的访问权限

2. 保证端点符合安全要求

3. 能应对各种接入设备的联网要求，如电话、PDA、无线设备等

4. 协助解决企业资产监控和软件升级的难题

TNC对这些目标的实现是通过一系列的接口标准来完成的。这其中包括软件直接的接口标准比如：IF-IMC/IF-IMV/IF-TNCC/IF-TNCS 等；还包括一些硬件设备直接的流程规范比如：IF-PEP；当然还包括一些数据访问接口如：IF-MAP。

3.3 结构

框架中定义了5种实体（entity）、3个层次（layer）、10个组件（components）。图中的5列是TNC的5个实体：接入请求者（Access Requester-AR）、策略执行者（Policy Enforcement Point-PEP）、策略决策者（PolicyDecision Point-PDP）、元数据存取点（Metadata Access Point-MAP）、网络流控制和监控点（Flow Controllers Sensors, etc.），3个水平层是网络访问层（The network access layer）、完整性评估层（Theintegrity evaluation layer）和完整性度量层（The integrity measurement layer），这其中包含了10个组件，实体、层、组件间由相关的接口连接。

注意：TNC结构并不排斥网络访问控制中没有定义的组件，TNC的组件并不是实现安全与网络连接的唯一组件，如在802.1X应用环境中RADIUS Server可以实现 Network Access Authority(NAA) ，也可以从其它设备或系统中获得策略决策相关的信息。

3.4 实体与组件

在TNC结构中所有实体与组件都是逻辑的，不一定是独立的物理设备，也可以是单独的软件程序或功能，可以是其它设备的一个功能或设备的集合等等。

在TNC结构中有2个实体是必须的，3个是可选的。必须的实体是接入请求者（Access Requester-AR）和策略决策者（Policy Decision Point-PDP）。5个实体如下：

1. 接入请求者（Access Requester-AR）：指运行于接入端点设备上的各种安全组件，用于完成端点设备各种安全状态信息的收集和提交接入认证请求。

2. 策略执行者（Policy EnforcementPoint-PEP）：指完成端点设备接入网络的各种接入设备，包括802.1x的交换机、防火墙、VPN网关等。主要完成接受端点接入请求 信息，转发端点安全状态信息给后台策略服务器，并执行策略服务器下发的安全接入策略。

3. 策略决策者（Policy DecisionPoint-PDP）：指安全策略服务器，主要根据接入请求设备提交的安全状态信息执行平台完整性认证，并根据策略对其进行授权。

4. 元数据存取点（Metadata AccessPoint-MAP）：指独立的元数据服务器，用规范格式的集中存储网络和终端的各种安全状态信息、策略信息，构成网络中安全信息的交换平台。通过MAP，其它TNC组件都可以发布、订阅与检索与自身的状态和与策略决策相关的数据。MAP允许没有参与初始化网络接入的组件（如流控）执行策略，也允许不直接与AR相连的组件发布信息，如网路实时状态、服务类型等。

5. 网络流控制和监控点（Flow Controllers ，Sensors, etc.）：指网络中部署的其它各种安全设备（比如IDS、防火墙、流量控制等），它向MAP实时提交端点设备的动态安全信息，并根据MAP中的安全策略信息动态调整对网络访问行为的控制策略。网络流控制组件包括内部防火墙、QOS设备、代理等，可以控制访问特定的服务、特定的区域和限制带宽等。检测组件包括入侵检测设备、病毒检测设备、认证状态、DHCP等服务的广播请求、服务通告等等。

4 对比分析

以上可以看出，NAC、NAP和TNC技术的目标和实现技术具有很大相似性。

首先，其目标都是保证主机的安全接入，即当PC或笔记本接入本地网络时，通过特殊的协议对其进行校验，除了验证用户名密码、用户证书等用户身份信息 外，还验证终端是否符合管理员制定好的安全策略，如:操作系统补丁、病毒库版本等信息。并各自制定了自己的隔离策略，通过接入设备(防火墙、交换机、路由 器等)，强制将不符合要求的终端设备隔离在一个指定区域，只允许其访问补丁服务器进行下载更新。在验证终端主机没有安全问题后，再允许其接入被保护的网 络。

其次，三种技术的实现思路也比较相似。都分为客户端、策略服务以及接入控制三个主要层次。NAC分为:Hosts Attempting Network Access、Network Access Device、Police Decision Points三层;NAP分为:NAP客户端、NAP服务器端、NAP接入组件(DHCP、***、IPsec、802.1x);TNC分为AR、 PEP、PDP三层。

同时，由于三种技术的发布者自身的背景，三种技术又存在不同的偏重性。NAC由于是CISCO发布的，所以其构架中接入设备的位置占了很大的比例，或 者说NAC自身就是围绕着思科的设备而设计的;NAP则偏重在终端agent以及接入服务(***、DHCP、802.1x、IPsec组件)，这与微软 自身的技术背景也有很大的关联;而TNC技术则重点放在与TPM绑定的主机身份认证与主机完整性验证，或者说TNC的目的是给TCG发布的TPM提供一种 应用支持。

从发展上来说，目前NAC与NAP已经结为同盟，即网络接入设备上采用思科的NAC技术，而主机客户端上则采用微软的NAP技术，从而达到了两者互补 的局面，有利于其进一步发展。而TNC则是由TCG组织成员Intel、HP、DELL、Funk等企业提出的，目标是解决可信接入问题，其特点是只制定 详细规范，技术细节公开，各个厂家都可以自行设计开发兼容TNC的产品，并可以兼容安全芯片TPM技术。
补 的局面，有利于其进一步发展。而TNC则是由TCG组织成员Intel、HP、DELL、Funk等企业提出的，目标是解决可信接入问题，其特点是只制定 详细规范，技术细节公开，各个厂家都可以自行设计开发兼容TNC的产品，并可以兼容安全芯片TPM技术。