IF-MAP协议开启可信网络连接

【51CTO.com 综合报道】1.引言2008年4月可信计算联盟(TCG)的TNC工作组在interop 2008大会上公布了其最
新的可信网络连接协议IF-MAP(Interface for Metadata Access Point),并宣布其可信网络连接架构从TNC1.2升级到TNC1.3。业内对这个TNC工作组耗费18个月才正式公布的协议给予了高度关注和充分的
肯定,
认为它将可信网络连接的架构推向了一个新的高度。IF-MAP协议定义了传统的网络安全设备(如防火墙、IDS、流量控制等)与可信网络连接组件之间信息交互与共享的平台,在网络安全状态和安全策略层面实现了信息共享;它实现了网络终端安全状态的多点、分布式检查与监控,网络安全策略的动态调整和统一执行;标志着多个厂商的网络安全设施通过开放的标准协议进行有机整合,进而形成结构化的安全防御体系成为可能。下面对IF-MAP协议在TNC架构中的作用、应用模式和发展现状进行简要描述。2.IF-MAP协议与TNC架构在TNC1.2架构中,主要定义了网络终端设备接入时的准入控制框架、接口和相关协议,实现了在框架协议下不同厂商的准入控制组件和设备能够协同工作,共同完成终端设备的平台完整性认证、安全状态评估、安全策略的制定和执行、不合规端点的隔离与矫正,从而保证整个网络环境的安全可信。其架构如下:498)this.width=498;' onmousewheel = 'javascript:return big(this)' alt="" src="/files/uploadimg/20080729/1202280.gif" border=0>图1 TNC 1.2架构示意框架中定义了3种实体(entity)、3个层次(layer)、7个组件(components),其中3个实体分别为:接入请求者(Access Requester-AR):指运行于接入端点设备上的各种安全组件,用于完成端点设备各种安全状态信息的收集和提交接入认证请求;策略执行者(Policy Enforcement Point-PEP):指完成端点设备接入网络的各种接入设备,包括802.1x的交换机、防火墙、VPN网关等,主要完成接受端点接入请求信息,转发端点安全状态信息给后台策略服务器,并执行策略服务器下发的安全接入策略;策略决策者(Policy Decision Point-PDP):指安全策略服务器,主要完成根据接入请求设备提交的安全状态信息执行平台完整性认证,并根据策略对其进行授权;在TNC1.2的体系结构中整合了端点安全系统、网络接入设备、AAA平台和策略管理平台,初步形成结构化的防御体系。
但是,在这个架构中没有整合网络中的安全检测设备(如IDS)和安全控制设备(如内网防火墙、流控),这使得传统的网络安全防护手段与可信网络连接系统之间无法进行信息交互和共享,形成两种安全防御体系各自为战的局面。正是为了解决这个问题,TNC工作组开发了IF-MAP协议,并升级了TNC架构,如下图所示:498)this.width=498;' onmousewheel = 'javascript:return big(this)' alt="" src="/files/uploadimg/20080729/1202281.gif" border=0>图2 TNC 1.3架构示意在TNC1.3框架中,增加了两个实体:元数据存取点(Metadata Access Point-MAP):指独立的元数据服务器,用于统一集中存储网络终端的各种安全状态信息、策略信息,构成网络中安全信息的交换平台;网络行为控制和监控点(Flow Controllers Sensors, etc.):指网络中部署的其他各种安全设备(比如IDS、防火墙、流量控制等),完成向MAP实时提交端点设备的动态安全信息,并根据MAP中的安全策略信息动态调整对网络访问行为的控制策略。在新的架构中,TNC1.2中的缺点被很好的弥补了,通过IF-MAP协议和MAP服务器在传统网络安全设备与TNC组件之间建立起了信息沟通桥梁和信息共享的平台,系统防御的
整体性得到突出,防护效果倍增。下面通过一个实际应用场景分析来简要描述IF-MAP协议是如何完成这个功能。3.IF-MAP协议的应用场景假设如下的网络环境:498)this.width=498;' onmousewheel = 'javascript:return big(this)' alt="" src="/files/uploadimg/20080729/1202282.gif" border=0>图3 IF-MAP协议应用环境1)用户john通过一台终端(device-x)登录到内部网络John通过TNC客户端向PEP设备(一台802.1x的交换机)请求接入,并提交device-x的完整性信息(ip地址、mac地址、操作系统版本、防病毒软件版本等等);PEP向PDP(一台RADIUS服务器)转发客户端信息,PDP通过了用户身份和平台完整性验证,并以finance manager的角色给john授权,通知PEP可以接入;PDP通过IF-MAP协议向MAP服务器发布device-x的状态信息、用户信息和授权信息;2)John需要访问内部的finance server内部防火墙检测到device-x的访问请求,由于其可能是动态IP地址,因此没有静态的访问控制策略,此时防火墙通过IF-MAP协议向MAP服务器进行搜索;通过搜索发现device-x设备当前的用户授权为finance manager,而且设备状态可信,
于是防火墙通过添加动态策略允许该访问请求;3)IDS设备发现device-x正在被木马控制虽然device-x上的防病毒软件已经是最新版本,但其仍然被木马控制(这种情况常常发生),好在木马通讯数据流被IDS检测到;IDS马上通过IF-MAP协议向MAP服务发布该安全事件;MAP服务立刻通过IF-MAP协议通知PDP有安全事件发生,PDP通过判断立刻修改device-x的可信状态,通知PEP对device-x进行隔离处理,删除device-x的finance manager授权,并将新的状态和授权信息发布到MAP服务器;由于授权信息发生改变,MAP服务器立刻通过IF-MAP协议通知防火墙更新device-x的授权,从而删除内部的动态策略;4.IF-MAP协议的发展情况虽然IF-MAP协议在今年4月份才正式公布其1.0版本,但由于它通过开发的协议整合了各种已
有的安全产品形态,为用户提供理想的整体安全防护效果的同时,又可以有效避免用户只能采购同一家安全产品的限制,保护投资,因此其已经引起安全厂商和客户的强烈兴趣。在08年4月interop 2008大会上公布协议正本的同时,TNC还推出了一套整合多家厂商产品的演示系统,如下图:498)this.width=498;' onmousewheel = 'javascript:return big(this)' alt="" src="/files/uploadimg/20080729/1202283.gif" border=0>图4 IF-MAP演示系统结构结束语为用户提供整体安全解决方案和结构化的防御体系是公司长期以来产品发展的方向。2004年天融信公司率先
提出TOPSEC联动协议和TNA可信网络架构,引领了国内安全厂商之间互动与整合的潮流,在业内产生了深远的影响。随着TCG/TNC等国际组织的不断发展,更为开放的可信网络架构和信息交换协议已经被制定出来,这使得更为广泛的安全厂商、通讯厂商、操作系统厂商的产品整合成为可能,构建结构化防御体系和可信网络的步伐越来越快。公司会一如既往地站在信息安全发展的潮头,不断跟踪研究最新的安全协议和标准,完善我的产品和方案,在激励的市场竞争中立于不败之地。【责任编辑:于捷 TEL:(010)68476606】 原文:IF-MAP协议开启可信网络连接 返回网络安全首页

时间: 2024-09-20 23:15:04

IF-MAP协议开启可信网络连接的相关文章

Win7无线网络连接受限的解决方法

  日常计算机使用中,我们会经常遇到网络故障,而网络故障的特点是原因复杂而现象一致,所以解决起来很棘手.本文总结一些Win7/Win8.1下无线网络受限故障的解决思路,供大家一试: 思路一:检查网络及路由器信号是否畅通 首先,确认网络是否欠费,无线路由器线路连接是否良好,无线网络信号发射是否正常. 如果确定是路由器的问题,不妨重启路由器或者恢复路由器的设置为出厂状态. 同时,如果可以,请更新无线路由器固件和计算机的无线网络适配器驱动程序为最新版本. 思路二:检查网络服务状态 按Winkey+R启

Win7/Win8.1的无线网络连接受限的解决方法

  日常计算机使用中,我们会经常遇到网络故障,而网络故障的特点是原因复杂而现象一致,所以解决起来很棘手.本文总结一些Win7/Win8.1下无线网络受限故障的解决思路,供大家一试: 思路一:检查网络及路由器信号是否畅通 首先,确认网络是否欠费,无线路由器线路连接是否良好,无线网络信号发射是否正常. 如果确定是路由器的问题,不妨重启路由器或者恢复路由器的设置为出厂状态. 同时,如果可以,请更新无线路由器固件和计算机的无线网络适配器驱动程序为最新版本. 思路二:检查网络服务状态 按Winkey+R启

动车上的书摘-java网络 连接服务器

一.服务器初试-telnet工具     当我们编写网络程序时,我们应该认识telnet的小工具(unix 和 win 自带).Telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式.它为用户提供了在本地计算机上完成远程主机工作的能力.win自带的telnet要去开启,开启的步骤如下:                                   注意:第一:打开控制面板,打开程序和功能,看到左边有个"打开或关闭Windows功能 ,打开找到tel

Win8.1系统连接应用商店提示“网络连接超时”怎么办

  Win8.1系统连接应用商店提示"网络连接超时"怎么办?下面小编告诉大家解决方法. 解决方法: 1.手动设置DNS 右键网络连接图标,选择"打开网络和共享中心",点击现在连接的网络名称,打开网络状态窗口,点击"属性",在网络属性窗口中双击"Internet协议版本4,将DNS服务器手动设置为"4 2 2 2"和"4 2 2 1",确定后重试. 2.清理应用商店缓存 按下Win+R键输入&quo

电脑网络连接不上怎么办

  电脑网络连接不上怎么办 应检查无线网卡的驱动是否安装正确.右键点击"我的电脑"-属性-硬件-设备管理器,查看是否存在标有问号或叹号的网络设备,如果有,则说明无线网卡驱动安装不正确.使用金山卫士的"硬件检测"功能对无线网卡型号进行检测,然后使用有网络的电脑下载相应的驱动程序拷贝到问题电脑进行安装.(如果笔记本可以连接到有线网络,可以直接使用金山卫士的"装驱动"功能进行驱动的检测及修复). 打开金山卫士,点击主界面上的"重装系统&quo

无线网络连接上但上不了网怎么办?

  1.检查是否密码错误 输入无线连接密码的时候,如果密码比较长有可能会输错密码,所以建议大家再输入一次密码.如果有可能,直接使用复制粘贴的方式输入密码.复制粘贴的时候,注意别选中无关字符了哟,多加一两个空格是最常见的错误. 2.无线路由器是否已经和MAC地址绑定 为了防止别人蹭网,很多家庭用户都设置了无线Mac地址过滤,但是当更换电脑或者无线网卡之后,就上不了网了,所以需要在路由器设置中添加新的MAC地址. 3.服务设置是否完全正确 检查电脑端的服务设置,例如DHCP Client.Wirel

无线网络连接上但上不了网怎么办

下面就常见的几种原因分别来排查无线网络连接上但上不了网的原因以及相应的解决办法. 一.检查是否密码错误 输入无线连接密码的时候,如果密码比较长有可能会输错密码,所以建议大家再输入一次密码.如果有可能,直接使用复制粘贴的方式输入密码.复制粘贴的时候,注意别选中无关字符了哟,多加一两个空格是最常见的错误. 二.无线路由器是否已经和MAC地址绑定 为了防止别人蹭网,很多家庭用户都设置了无线Mac地址过滤,但是当更换电脑或者无线网卡之后,就上不了网了,所以需要在路由器设置中添加新的MAC地址. 三.服务

无线网络连接上但上不了网的原因和解决办法

最近有关于很多无线网络连接上但上不了网的问题,很多学员都来邮件提问,例如: 问1:这几天无线网络一直不稳定,有时候可以上有时候不能上,即使上了也不到多久就掉了.很多时候是无线网络显示已连接上,且信号是非常好.但上Q或者上网都上不了,后根据路由器的状态显示,修改了IP地址和DNS地址,还是上不了....很郁闷!现在是路由器用网线直接拉是可以上的,但是无线就用不来,显示连接上,但上不了网,IP和DNS地址都是选择自动获得的. 今天查看了路由日志那显示, 问2:昨晚,无意间打开无线网络wi-fi发现了

笔记本无线网络连接不上怎么办

  第一步:应检查无线网卡的驱动是否安装正确.右键点击"我的电脑"-属性-硬件-设备管理器,查看是否存在标有问号或叹号的网络设备,如果有,则说明无线网卡驱动安装不正确.使用金山卫士的"硬件检测"功能对无线网卡型号进行检测,然后使用有网络的电脑下载相应的驱动程序拷贝到问题电脑进行安装.(如果笔记本可以连接到有线网络,可以直接使用金山卫士的"装驱动"功能进行驱动的检测及修复). 第二步:打开金山卫士,点击主界面上的"重装系统"按钮