可信網(wǎng)絡(luò)連接及相關(guān)架構(gòu)研究.pdf

1、隨著互聯(lián)網(wǎng)的快速發(fā)展和日益普及，網(wǎng)絡(luò)對(duì)安全保障提出了非常高的要求，網(wǎng)絡(luò)安全已經(jīng)成為人們關(guān)注的焦點(diǎn)。傳統(tǒng)的網(wǎng)絡(luò)安全防范體系主要是指通過(guò)防火墻、入侵檢測(cè)、防病毒等被動(dòng)的防御手段來(lái)抗擊來(lái)自計(jì)算機(jī)外部的病毒、黑客攻擊與入侵，但這些并不能從根源上解決計(jì)算機(jī)網(wǎng)絡(luò)的安全。實(shí)際上，一切計(jì)算機(jī)入的侵攻擊都是從個(gè)人計(jì)算機(jī)終端上發(fā)起的。因此，網(wǎng)絡(luò)安全技術(shù)提出直接保護(hù)終端計(jì)算機(jī)的安全，從終端出發(fā)確保網(wǎng)絡(luò)資源的安全從而來(lái)實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的安全。而網(wǎng)絡(luò)訪問(wèn)控制技術(shù)的提

2、出很好的滿足了此理論。
　　 在保障網(wǎng)絡(luò)安全方面，網(wǎng)絡(luò)訪問(wèn)控制技術(shù)具有非常重要的作用。它采用現(xiàn)有的解決方案或一些新技術(shù)，來(lái)確保任何一臺(tái)欲連接受保護(hù)網(wǎng)絡(luò)的設(shè)備，必須經(jīng)過(guò)身份驗(yàn)證而且服從于該網(wǎng)絡(luò)的安全策略，才能允許訪問(wèn)。否則，該設(shè)備將被隔離，直到它們符合受保護(hù)網(wǎng)絡(luò)的安全策略為止。
　　 本論文首先對(duì)網(wǎng)絡(luò)訪問(wèn)控制領(lǐng)域的三種主流技術(shù)進(jìn)行了初步的比較研究，在比較TNC、NAP、C-NAC這三種技術(shù)時(shí)，重點(diǎn)放在它們的架構(gòu)及功能方面。

3、文章核心把TNC的相關(guān)內(nèi)容單獨(dú)列為一章，詳細(xì)介紹，為最后的帶有TPM的TNC原型系統(tǒng)實(shí)現(xiàn)奠定了基礎(chǔ)。
　　 本論文主要分析研究了以下方面的內(nèi)容：
　　 1.論文首先對(duì)網(wǎng)絡(luò)訪問(wèn)控制的定義、功能、組成元素進(jìn)行了概述，緊接著分析研究了三種主流技術(shù)NAP、C-NAC以及TNC技術(shù)，分別研究分析了它們的技術(shù)思想，構(gòu)成組件，及各組件的功能。其中重點(diǎn)介紹了TNC的信息交互基本流程以及涉及到的相關(guān)技術(shù)。
　　 2.其次對(duì)TNC，

4、NAP，C-NAC三種網(wǎng)絡(luò)訪問(wèn)控制技術(shù)進(jìn)行了分析比較，總結(jié)了它們的相似性與差異性，歸納得出了TNC技術(shù)的獨(dú)特性。
　　 3.對(duì)TNC架構(gòu)進(jìn)行了擴(kuò)展分析，詳細(xì)闡述了帶有TPM的可信網(wǎng)絡(luò)連接架構(gòu)。對(duì)涉及的可信平臺(tái)做了簡(jiǎn)單介紹。在帶有TPM芯片的可信網(wǎng)絡(luò)接入認(rèn)證模型中，TNC-SG小組并未給出TNC架構(gòu)與TPM之間交互的IF-PTS接口具體的實(shí)現(xiàn)細(xì)節(jié)。本論文提出在客戶端(即在客戶端可信平臺(tái)的基礎(chǔ)上)開(kāi)發(fā)一個(gè)java程序，來(lái)提取訪問(wèn)請(qǐng)求

5、者即客戶端的信息，從而實(shí)現(xiàn)管理員對(duì)客戶端的自行評(píng)估即用戶的自我決斷，從而提高了接入的認(rèn)證效率。
　　 4.客戶端利用開(kāi)源軟件TPM_Emulator，IAIK jTSS，libtnc，實(shí)現(xiàn)帶有TPM的TNC原型系統(tǒng)，然后在其上運(yùn)行java程序，提取客戶端信息。服務(wù)器端以freeradius-server為基礎(chǔ)構(gòu)建TNC-server。
　　 通過(guò)以上分析與實(shí)現(xiàn)，得出以下結(jié)論：TNC可以結(jié)合可信計(jì)算技術(shù)因而可靠，同時(shí)其由于