可信网络访问控制技术及系统.pdfVIP

观察与交流 可信网络访问控制技术及系统 黎泽良。余健。刘高锦 (迈普通信技术股份有限公司 成都610041) 网络技术的高速发展给使．}}I者带来高效信息交互的同时，也带来了网络安全和管理上的新问题，本 摘要 文在分析可信网络连接规范的基础上，结合各种网络访问控制技术，对此规范进行了扩展，形成了可 信网络访问控制模型。同时基于此模型对可信网络访问控制系统的关键技术进行了分析，为可信网 络访问控制系统的设计和部署提供参考。 关键词 可信网络连接；可信网络访问；网络安全 1 引言 2 可信网络访问控制模型 随着网络技术的迅猛发展．网络已经渗透到社会生 要构建一个安全可信的网络环境．必须从信息安全的 活的各个方面。网络给我们带来便捷高效的信息交互的 源头着手．内外共防来构造安全的可信网络连接环境。可 network 同时．也带来了一系列安全和管理上的新问题。由于网 信计算组织(trustedgroup)下属可信网络连接小组 network 络的开放性。致使网络中的身份识别、攻击源查找闲难。 发布了可信网络连接(trustedconnect，TNC)规范， 诸如病毒、木马、入侵、IP欺骗、DNS欺骗、虚假身份和有该规范提出了一个开放的网络连接体系结构，通过提供一 害信息等层出不穷。严重威胁着网络稳定运行和可持续 致的安全服务体系结构来为网络提供安全性保障。 发展。 TNC规范描述了可信网络连接的3部分执行主体：访 如何构建一个安全可信的网络．越来越成为人们关注 问请求者(终端)、策略执行点和策略决策点。TNC规范的 的焦点。因此，各种入侵检测、网络隔离、访问控制和病毒 主要思想是：在访问请求者访问网络之前，策略决策点对 防范的网络安全技术也随之蓬勃发展起来。然而，据统计 终端的身份进行识别。同时对其安全性、完整性状态进行 数据表明，网络安全威胁的60％来自网络内部．也就是网 检测并与系统的安全策略进行比较。如果满足安全策略要 络内部的终端结构和操作系统的不安全所引起的．仅仅关 求．策略执行点则允许终端接入网络；如果不满足要求，则 注来自外部威胁的防火墙、人侵检测系统等传统安全措 拒绝或是对该终端进行隔离。 施，对来自内部的威胁硅得无能为力。因此．如何确保网络 TNC规范从网络准人和终端安全要求的角度出发，保 内部的安全已经越来越受到人们的重视．成为网络安全领 证了接人用户的安全性、可信性。从一定程度上减少了来 域中的一个应用和实践的热点。 自内网的安全威胁。但TNC规范有一定的局限性，其只关 115 万方数据 硬察与交流 注了网络准入和终端接入前的安全，而未关注终端接入后 该系统主要包括RADIUS认证服务器、策略服务器、 的安全性和网络行为、安全审计，从而在网络安全建设中 安全补丁服务器、接入设备(策略执行点)，接入终端等。可 留下了安全隐患。 信网络访问控制系统实现用户准人控制原理如图2所示。 依据TNC规范的可信网络连接框架概念，结合各种 现有网络安全管理技术和多年网络安全应用实践，我们将 TNC框架分解和扩展为可信网络访问(trustednetwork acce$s。TNA)