TNC-可信网络接入介绍（一）

1.概念

  TNC ( Trusted Network Connect)即可信网络接入，作为TCG（TrustedComputing Group）中的一个分支，专门负责网络终端入网的可信任务。

TCG的前身是1999年10月成立的TCPA组织，TCPA最初是为了解决PC机结构上的不安全，从基础上提高其可信性，由几大IT巨头Compaq、HP、IBM、Intel和Microsoft牵头组织的可信计算平台联盟TCPA(Trusted Computing Platform Alliance)，成员达190家。

2003年3月TCPA改组为“可信计算组织”TCG(Trusted Computing Group)，TCG 在原TCPA 强调安全硬件平台构建的宗旨之外，更进一步增加了对软件安全性的关注，旨在从跨平台和操作环境的硬件组件和软件接口两方面，促进不依赖特定厂商开发可信计算环境。

在讨论TNC之前，我们先要对“可信”下一个定义：“一个实体在实现给定目标时，若其行为总是如同预期，则该实体是可信的”。而对于“行为“是否符合”预期”，可能在不同的应用场景有着 不同的结果，据此TNC V1.0的目标明确为：定义一个开放的解决框架，是网络人员能够根据终端的安全状况分配不同的网络访问权限。对于终端安全状况的评估需要定义一套完整的终端完整性检查策略，而该策略可能涉及硬件、固件、软件和应用等整个运行环境，“may or may not include evidence of a Trusted Platform Module (TPM)”。TNC实质上是把终端可信概念延伸到网络上，从而来完善整个系统的安全性。

2. 目标：

2008年TNC工作组把TNC目标描述为：

(1)、给不同的网络访问者不同的访问权限

(2)、保证端点符合安全要求

(3)、能应对各种接入设备的联网要求，如电话、PDA、无线设备等

(4)、协助解决企业资产监控和软件升级的难题

        TNC对这些目标的实现是通过一系列的接口标准来完成的。这其中包括软件直接的接口标准比如：IF-IMC/IF-IMV/IF-TNCC/IF-TNCS 等；还包括一些硬件设备直接的流程规范比如：IF-PEP；当然还包括一些数据访问接口如：IF-MAP。

3. 结构：

TNC的结构如下：

框架中定义了5种实体（entity）、3个层次（layer）、10个组件（components）。图中的5列是TNC的5个实体：接入请求者（Access Requester-AR）、策略执行者（Policy Enforcement Point-PEP）、策略决策者（PolicyDecision Point-PDP）、元数据存取点（Metadata Access Point-MAP）、网络流控制和监控点（Flow Controllers Sensors, etc.），3个水平层是网络访问层（The network access layer）、完整性评估层（Theintegrity evaluation layer）和完整性度量层（The integrity measurement layer），这其中包含了10个组件，实体、层、组件间由相关的接口连接。

注意：TNC结构并不排斥网络访问控制中没有定义的组件，TNC的组件并不是实现安全与网络连接的唯一组件，如在802.1X应用环境中RADIUS Server可以实现 Network Access Authority(NAA) ，也可以从其它设备或系统中获得策略决策相关的信息。

4. 实体与组件

在TNC结构中所有实体与组件都是逻辑的，不一定是独立的物理设备，也可以是单独的软件程序或功能，可以是其它设备的一个功能或设备的集合等等。

在TNC结构中有2个实体是必须的，3个是可选的。必须的实体是接入请求者（Access Requester-AR）和策略决策者（Policy Decision Point-PDP）。5个实体如下：

(1).接入请求者（Access Requester-AR）：指运行于接入端点设备上的各种安全组件，用于完成端点设备各种安全状态信息的收集和提交接入认证请求。

        (2).策略执行者（Policy EnforcementPoint-PEP）：指完成端点设备接入网络的各种接入设备，包括802.1x的交换机、防火墙、VPN网关等。主要完成接受端点接入请求     信息，转发端点安全状态信息给后台策略服务器，并执行策略服务器下发的安全接入策略。

      (3). 策略决策者（Policy DecisionPoint-PDP）：指安全策略服务器，主要根据接入请求设备提交的安全状态信息执行平台完整性认证，并根据策略对其进行授权。

(4).元数据存取点（Metadata AccessPoint-MAP）：指独立的元数据服务器，用规范格式的集中存储网络和终端的各种安全状态信息、策略信息，构成网络中安全信息的交换平台。通过MAP，其它TNC组件都可以发布、订阅与检索与自身的状态和与策略决策相关的数据。MAP允许没有参与初始化网络接入的组件（如流控）执行策略，也允许不直接与AR相连的组件发布信息，如网路实时状态、服务类型等。

(5) 网络流控制和监控点（Flow Controllers ，Sensors, etc.）：指网络中部署的其它各种安全设备（比如IDS、防火墙、流量控制等），它向MAP实时提交端点设备的动态安全信息，并根据MAP中的安全策略信息动态调整对网络访问行为的控制策略。网络流控制组件包括内部防火墙、QOS设备、代理等，可以控制访问特定的服务、特定的区域和限制带宽等。检测组件包括入侵检测设备、病毒检测设备、认证状态、DHCP等服务的广播请求、服务通告等等。