網(wǎng)絡竊密、監(jiān)聽和防泄密技術(shù)課件

第13章安全接入和身份認證13.1可信計算技術(shù)13.2網(wǎng)絡安全接入13.3網(wǎng)絡身份認證第13章安全接入和身份認證13.1可信計算技術(shù) 13.1可信計算技術(shù)

可信計算組織(TrustedComputingGroup，TCG)對“可信”的定義是：一個實體在實現(xiàn)給定目標時，若其行為總是如同預期，則該實體是可信的。這個定義將可信計算和當前的安全技術(shù)分開，可信強調(diào)行為結(jié)果可預期，但并不等于確認行為是安全的，這是兩個不同的概念。從TCG的定義來看，可信實際上還包含了容錯計算里可靠性的概念?？煽啃员ＷC硬件或者軟件系統(tǒng)性能可預測。 13.1可信計算技術(shù)

可信計算組織(Trus13.1.1可信計算概述

1999年10月，為了解決PC機結(jié)構(gòu)上的不安全問題，從基礎上提高其可信性，由幾大IT巨頭Compaq、HP、IBM、Intel和Microsoft牽頭組織了可信計算平臺聯(lián)盟(TrustedComputingPlatformAlliance，TCPA)，成員包括190家公司。TCPA定義了具有安全存儲和加密功能的可信任平臺模塊(TrustedPlatformModule，TPM)，致力于數(shù)據(jù)安全的可信計算，包括研制密碼芯片、特殊的CPU、主板或操作系統(tǒng)安全內(nèi)核。2003年3月TCPA改組為TCG，TCG在原TCPA強調(diào)安全硬件平臺構(gòu)建的宗旨之外，更進一步增加了對軟件安全性的關(guān)注，旨在從跨平臺和操作環(huán)境的硬件組件和軟件接口兩方面，促進不依賴特定廠商開發(fā)可信計算環(huán)境。TCG組織以TPM為核心，逐步把可信由TPM推向網(wǎng)絡和各種應用。現(xiàn)在TCG組織分成下列幾個工作組：13.1.1可信計算概述

1999年10月，為了解決

(1)認證工作組。該組定義可信計算平臺的認證機制的規(guī)范，包括生物識別與認證、智能卡等。

(2)硬件復制工作組。該組定義用于硬件復制設備的、開放的、與廠商無關(guān)的規(guī)范，硬件復制設備可利用TCG組織構(gòu)建自己的可信根。

(3)基礎結(jié)構(gòu)工作組。該組定義結(jié)構(gòu)框架以及整合結(jié)構(gòu)的接口標準和元數(shù)據(jù)。

(4)移動工作組。該組定義可信的移動設備，包括手機、PDA等。

(5)?PC客戶端工作組。該組為使用TCG組織的PC客戶端提供公共的功能、接口及與安全性私密性相關(guān)的必要支撐條件。

(6)服務器工作組。該組為TCG技術(shù)實現(xiàn)服務器提供定義、規(guī)范、指南等。(1)認證工作組。該組定義可信計算平臺的認證機制的規(guī)范

(7)軟件棧工作組。該組為利用TPM的應用系統(tǒng)廠商提供一組標準的API接口，目標是對使用TPM功能的應用程序提供一個唯一入口：提供對TPM的同步訪問；管理TPM的資源；適當?shù)臅r候釋放TPM的資源等。

(8)存儲工作組。該組重點制定專用存儲系統(tǒng)的安全服務標準。

(9)可信網(wǎng)絡連接(TrustedNetworkConnect，TNC)工作組。該組負責制定在接入控制階段和接入后對端點進行完整性驗證的方法、策略、標準和協(xié)議。

(10)?TPM工作組。該組制定TPM規(guī)范。TPM是可信根，該根是其他工作組的基礎。

(11)虛擬化平臺工作組。該組著重虛擬化平臺上的可信計算。(7)軟件棧工作組。該組為利用TPM的應用系統(tǒng)廠商提供可信計算的主要手段是進行身份確認，使用加密進行存儲保護及使用完整性度量進行完整性保護?；舅枷胧窃谟嬎銠C系統(tǒng)中首先建立一個信任根，再建立一條信任鏈，一級測量認證一級，一級信任一級，把信任關(guān)系擴大到整個計算機系統(tǒng)，從而確保計算機系統(tǒng)的可信。

可信計算的主要思想是在硬件平臺上引入安全芯片架構(gòu)，提供硬件級底層安全保護、可靠身份識別、高強度加密等功能，從而將部分或整個計算平臺變?yōu)椤翱尚拧钡挠嬎闫脚_。可信計算平臺的安全性根植于具有一定安全防護能力的安全硬件，它基于安全硬件實現(xiàn)隔離計算、計算環(huán)境完整性保證和遠程安全性質(zhì)證明等服務，以保證平臺上計算實體行為的可信性，從而解決遠程信任問題。可信計算的主要手段是進行身份確認，使用加密進行存儲保護及基于以上的思想，TCG計算機使用TPM安全芯片對硬盤中的數(shù)據(jù)進行加密。TPM安全芯片可以插入主板或直接以焊接到主板上的方式進入主機，還可以將它們與BIOS集成在一起。TPM實際上就是在計算機系統(tǒng)中加入了一個可信第三方，通過可信第三方對系統(tǒng)的度量和約束來保證一個系統(tǒng)可信?；谝陨系乃枷?，TCG計算機使用TPM安全芯片對硬盤中的在硬件級底層安全保護方面，TCG計算機使用自主可信計算根技術(shù)，在計算機啟動時對操作系統(tǒng)進行校驗，使只有用戶設定的操作系統(tǒng)和應用軟件才能正常加載運行?？尚庞嬎愀鶗趩又鯇τ嬎銠C系統(tǒng)中所有的運行軟件進行可信性(完整性)分析，由此判定它們是否被非授權(quán)篡改。若判定不可信則阻止該軟件運行，并自動恢復其合法的版本。因此計算機一旦嵌入了該技術(shù)，即可在啟動操作系統(tǒng)時發(fā)現(xiàn)內(nèi)核已改，并根據(jù)用戶需求進行阻止和恢復。由此，不僅能從硬件安全基礎層面提升安全性，也能避免非法軟件自運行的情況發(fā)生。在硬件級底層安全保護方面，TCG計算機使用自主可信計算根13.1.2安全芯片的國內(nèi)外發(fā)展現(xiàn)狀

在可信計算理論的實現(xiàn)上，目前國內(nèi)外均致力于安全芯片的研制，主要分為國外的TPM和國內(nèi)的TCM兩大陣營。

TPM安全芯片是指符合TPM標準的安全芯片，TPM標準由TCG制定。TCG是專門致力于制定可信計算標準的非營利性機構(gòu)，它從安全的BIOS、安全的硬件、安全的操作系統(tǒng)、安全的網(wǎng)絡連接等PC平臺的各個方面入手來重新構(gòu)建一個可信的計算機平臺標準，作為安全產(chǎn)業(yè)基礎的TCG標準將滲透到IT各個領(lǐng)域，包括PC平臺(臺式和筆記本)、手持移動設備平臺、可信網(wǎng)絡接入及應用中間件、服務器平臺、存儲系統(tǒng)、應用軟件等所有環(huán)節(jié)。TCG提出了TPM標準。符合TPM標準的芯片首先必須具有產(chǎn)生加密密鑰和解密密鑰的功能，此外還必須能夠進行高速的資料加密和解密，以及充當保護BIOS和操作系統(tǒng)不被修改的輔助處理器。13.1.2安全芯片的國內(nèi)外發(fā)展現(xiàn)狀

在可信計算理論為避免影響國家戰(zhàn)略安全的核心技術(shù)控制在某些特定的國家/機構(gòu)手中，中國及很多其他的國家/組織也在同步進行可信計算平臺的研究和部署工作。其中，部署可信計算體系中，密碼技術(shù)是最重要的核心技術(shù)。具體的方案是以密碼算法為突破口，依據(jù)嵌入芯片技術(shù)，完全采用我國自主研發(fā)的密碼算法和引擎，來構(gòu)建一個安全芯片，稱為可信密碼模塊(TCM)。TCM安全芯片主要通過三個功能保護用戶計算環(huán)境的可信：為避免影響國家戰(zhàn)略安全的核心技術(shù)控制在某些特定的國家/機

(1)底層安全加固。安全芯片在開機時就會監(jiān)控系統(tǒng)程序的裝載，一旦發(fā)現(xiàn)某個程序狀態(tài)異常就發(fā)出警報乃至禁止其運行。

(2)用戶身份證明。TCM安全芯片中存儲有標識平臺身份的密鑰，會在必要時通過簽名或者數(shù)字證書的相關(guān)機制，向外界表明自己的身份，而且標識號是全球唯一的。

(3)數(shù)據(jù)加密。經(jīng)過TCM安全芯片進行加密的數(shù)據(jù)就只能在該平臺上進行解密和處理，從而把機密數(shù)據(jù)綁定在該平臺上，即使數(shù)據(jù)被盜，因為脫離了對應平臺而離開了解密密鑰，數(shù)據(jù)將無法被識別，從而實現(xiàn)機密數(shù)據(jù)盜走也看不到，看到也傳播不了的效果。(1)底層安全加固。安全芯片在開機時就會監(jiān)控系統(tǒng)程序的13.1.3可信任平臺模塊(TPM)

任何可信都是建立在某一個層次上的，如果能直接訪問更低的層次，那么上一個層次的保護將是毫無作用的。傳統(tǒng)的系統(tǒng)中，密鑰和授權(quán)信息都直接存儲在內(nèi)存和硬盤中，攻擊者有很多方法來獲取它們。在可信計算的體系中，所有這些機密數(shù)據(jù)都是由TPM來保護的。這樣，攻擊者只有攻破TPM才能攻破系統(tǒng)的防護。這樣，TPM成為系統(tǒng)可信的最低層次，它提供了整個系統(tǒng)可信的基礎。在TCG系統(tǒng)中，可信根(Rootoftrust)是無條件被信任的，系統(tǒng)并不檢測可信根的行為，因此可信根是否真正值得信任，是系統(tǒng)可信的關(guān)鍵。13.1.3可信任平臺模塊(TPM)

任何可信都是建

TPM安全芯片是可信根的基礎。TPM是一個含有密碼運算部件和存儲部件的小型片上系統(tǒng)，其規(guī)格往往是作為單個獨立芯片產(chǎn)品來提供的，但是也可以作為另一個芯片的一部分出現(xiàn)，比如以太網(wǎng)接口。如圖13-1所示，TPM安全芯片包含了分別實現(xiàn)RSA、SHA-1和HMAC算法的多個硬件處理引擎，以及一個隨機數(shù)字生成器。它既是密鑰生成器，又是密鑰管理器件，同時還提供了統(tǒng)一的編程接口。TPM通過提供密鑰管理和配置管理等特性，與配套的應用軟件一起，主要用于完成計算平臺的可靠性認證、防止未經(jīng)授權(quán)的軟件修改、用戶身份認證、數(shù)字簽名以及全面加密硬盤和可擦寫媒體的數(shù)據(jù)等功能。TPM安全芯片是可信根的基礎。TPM是一個含有密碼運算部圖13-1TPM內(nèi)部結(jié)構(gòu)圖13-1TPM內(nèi)部結(jié)構(gòu)將TPM安裝在輸入/輸出控制器(I/OController)，即連接外部設備與內(nèi)存的總線中，讓TPM可以監(jiān)視每一個從外存裝載入內(nèi)存的軟件。由于TPM處于硬件層，所以只要用戶選擇了打開TCG功能，任何行為都無法逃避監(jiān)視。TPM安全芯片首先驗證當前底層固件的完整性，如正確則完成正常的系統(tǒng)初始化，然后由底層固件依次驗證BIOS和操作系統(tǒng)完整性，如正確則正常運行操作系統(tǒng)，否則停止運行。之后，利用TPM安全芯片內(nèi)置的加密模塊生成系統(tǒng)中的各種密鑰，對應用模塊進行加密和解密，向上提供安全通信接口，以保證上層應用模塊的安全。將TPM安裝在輸入/輸出控制器(I/OControll

TPM會按照整個系統(tǒng)及應用軟件棧的裝載順序來監(jiān)視裝載到計算平臺上的所有軟件，TPM采用哈希擴展算法，以哈希值特征的形式來存儲所有能夠被平臺裝載的全部軟件。例如，在X86平臺運行過程中，從機器加電啟動開始，TPM將按照如下的順序監(jiān)視/度量軟硬件系統(tǒng)及應用軟件棧的裝載過程：BIOS、MBR(引導扇區(qū)內(nèi)容)、OS裝載器(MBR所指向的一個足夠大的磁盤區(qū)域，從其能夠?qū)胍粋€足夠大的程序來執(zhí)行OS的裝載)、OS、用戶應用程序1、用戶應用程序2……用戶應用程序n。如此順序裝載的程序叫做一個鏈(Chain)，監(jiān)視/度量的過程就是對該軟件哈希計算的過程。TPM將計算平臺上的整個軟件鏈的哈希值進行記錄，之后就能夠把該平臺上的軟件加載狀況向管理/安全中心報告。TPM可以對每個報告進行數(shù)字簽名，確保報告的真實性。TPM會按照整個系統(tǒng)及應用軟件棧的裝載順序來監(jiān)視裝載到計假定在這樣一個鏈中的這些程序都是正確的，則這個從底部BIOS開始到頂部用戶應用程序的鏈就叫做信任鏈(aChainofTrust)，而BIOS又叫做信任根(theRootofaChainofTrust)。通過TCG技術(shù)，管理/安全機構(gòu)可以通過TPM實時獲得平臺軟件狀況，據(jù)此判斷處于各邏輯層次軟件的合法性、安全性等，進而完成之后的管理和防御工作。假定在這樣一個鏈中的這些程序都是正確的，則這個從底部BI13.1.4TPM在關(guān)鍵行業(yè)的應用

1．軍隊應用

可信計算技術(shù)在軍隊的應用主要集中在“身份驗證”上。考慮到軍隊應用環(huán)境比較復雜，可以采取單機版和網(wǎng)絡版相結(jié)合的混合部署。網(wǎng)絡版掛接可信服務器，配合實施雙網(wǎng)隔離、并通過雙因素手段提高授權(quán)人身份可信度?，F(xiàn)代化的軍隊機動性很強，組網(wǎng)模式多變，可信安全方面的需求也會隨之發(fā)生較大變化。運用集成化的可信安全平臺，可實現(xiàn)動態(tài)、高效的可信管理。13.1.4TPM在關(guān)鍵行業(yè)的應用

1．軍隊應用

2．政府應用

各級政府職能部門主要使用可信計算的“數(shù)據(jù)加密”功能。政府部門每天都要面對公眾處理日常事務，對象相對復雜，增加了流失和泄露機密文件的概率，因此其數(shù)據(jù)交換的加密要硬件級的，而且密碼必須存于硬件中。應用于政府部門的安全計算機通常會實現(xiàn)基于TCM安全芯片的硬件級加密方案，保護計算機上的機密數(shù)據(jù)。2．政府應用

各級政府職能部門主要使用可信計算的“數(shù)

3．企業(yè)應用

大型企業(yè)內(nèi)部網(wǎng)絡結(jié)構(gòu)復雜，應用眾多，需要進行大量的跨部門信息傳遞。因此，它對可信計算技術(shù)的需求最為強烈，以解決底層安全、身份認證、數(shù)據(jù)加密、集成管理等一系列問題。伴隨著行業(yè)競爭的加劇，各級企業(yè)對非法竊取本公司商業(yè)機密的行為也都給予了足夠的重視，其中，利用可信應用進行數(shù)據(jù)保全無疑是最好的解決辦法。企業(yè)用戶的部門觀念都相對較強，有些甚至達到了各自為營的地步，而集成管理平臺可提供“授權(quán)密網(wǎng)”功能，為部門間的信息溝通與密文阻隔搭建平臺。域令牌被實時存儲于TCM芯片中，隨用隨取，而機要文件始終以域的方式存在。數(shù)據(jù)永遠都處于企業(yè)網(wǎng)域的授權(quán)控制下，以增加信息資料的保密程度。3．企業(yè)應用

大型企業(yè)內(nèi)部網(wǎng)絡結(jié)構(gòu)復雜，應用眾多，需

13.2網(wǎng)絡安全接入

13.2.1概念和原理

雖然多數(shù)用戶并沒有惡意企圖，但未授權(quán)的計算機會給機構(gòu)帶來巨大的安全風險。安全接入技術(shù)的主要思路是從終端著手，通過定義和管理安全策略，并引入性能評估和增強化的方法，對接入私有網(wǎng)絡的主機進行安全性檢測，自動拒絕不安全的主機接入保護網(wǎng)絡，同時還可以禁用或控制那些用戶計算機上的高風險應用程序，直到這些主機符合網(wǎng)絡內(nèi)的安全策略為止，從而可以減少機構(gòu)的漏洞，避免了某些含有較多安全漏洞的終端成為整個網(wǎng)絡的“安全短板”的可能。 13.2網(wǎng)絡安全接入

13.2.1概念和原網(wǎng)絡接入控制(NAC)關(guān)鍵要求是確認并阻止欺詐性計算機，它已成為阻止?jié)撛诘母Q探和攻擊者的一種重要工具，也可用于管理復雜的Web許可和授權(quán)，這些許可和授權(quán)可適應于不同的用戶組訪問不同的網(wǎng)絡部分。NAC還有助于企業(yè)與外部的規(guī)章和內(nèi)部的策略保持一致性，并可以保護網(wǎng)絡資源免受不斷發(fā)展的網(wǎng)絡威脅的危害。NAC的主要功能可分為以下三個部分：

(1)減少0天攻擊風險。此功能防止缺乏反病毒、補丁、主機入侵防御軟件的終端訪問網(wǎng)絡資源，并可阻止這種設備將其他計算機置于風險之中。網(wǎng)絡接入控制(NAC)關(guān)鍵要求是確認并阻止欺詐性計算機，

(2)增強策略。此功能允許網(wǎng)絡操作員定義策略，例如，具體指定允許訪問網(wǎng)絡的用戶角色或計算機類型，并在交換機、路由器等網(wǎng)絡設備中強化這些策略。

(3)身份和訪問管理。傳統(tǒng)的IP網(wǎng)絡根據(jù)IP地址增強訪問策略，而NAC環(huán)境根據(jù)用戶身份來增強安全性。

如圖13-2所示，安全接入系統(tǒng)的基本結(jié)構(gòu)包含三個基本部分：訪問請求者、策略決策點和策略執(zhí)行點。策略決策點和策略執(zhí)行點的單獨功能可包含在一臺服務器上，也可分散在多臺服務器之間。一般而言，訪問請求者負責請求訪問，策略決策點負責指定策略，而策略執(zhí)行點負責執(zhí)行策略。(2)增強策略。此功能允許網(wǎng)絡操作員定義策略，例如，具圖13-2安全接入技術(shù)理論模型圖13-2安全接入技術(shù)理論模型訪問請求者是試圖訪問網(wǎng)絡的節(jié)點，它可以是由安全接入系統(tǒng)管理的任何設備，包括工作站、服務器、打印機、照相機及具有IP功能的其他設備。訪問請求者可能自行執(zhí)行主機評估，也有可能由另外某個系統(tǒng)來評估主機。訪問請求者的評估結(jié)果被發(fā)送到策略決策點。策略決策點是核心部分。根據(jù)訪問請求者的狀況和定義的策略，策略決策點確定應當授予哪種訪問權(quán)。在許多情況下，安全接入產(chǎn)品管理系統(tǒng)可能充當策略決策點。策略決策點依賴后端系統(tǒng)(包括反病毒、補丁管理或者用戶目錄)，以便幫助確定主機的條件。舉例來說，反病毒軟件管理器會確定主機的反病毒軟件和特征版本是不是最新的，然后通知策略決策點。一旦策略決策點確定運用哪個策略，就會把訪問控制決策傳送給策略執(zhí)行點以便執(zhí)行。策略執(zhí)行點可能是網(wǎng)絡設備(如交換機、防火墻或者路由器)，可能是管理動態(tài)主機配置協(xié)議(DHCP)或者地址解析協(xié)議(ARP)的帶外設備，也可能是訪問請求者機器上安裝的訪問代理軟件。訪問請求者是試圖訪問網(wǎng)絡的節(jié)點，它可以是由安全接入系統(tǒng)管13.2.2安全接入技術(shù)實現(xiàn)方式分類

按部署的位置而言，安全接入控制技術(shù)主要分為兩大類：基于網(wǎng)絡的接入控制和基于主機的接入控制。基于網(wǎng)絡的接入控制主要有EAPOL(ExtensibleAuthenticationProtocolOverLAN)技術(shù)、EAPOU(ExtensibleAuthenticationProtocolOverUDP)技術(shù)；基于主機的接入控制主要有應用接入控制、客戶端接入控制。

1．基于網(wǎng)絡的接入控制

基于網(wǎng)絡的接入控制方案的典型代表是CiscoNAC技術(shù)。網(wǎng)絡接入的概念是由Cisco普及的，Cisco的NAC除了EAPOL，還有EAPOU(EAPOverUDP)。13.2.2安全接入技術(shù)實現(xiàn)方式分類

按部署的位置而

(1)?EAPOL。EAP是ExtensibleAuthenticationProtocol的縮寫，EAP最初作為PPP的擴展認證協(xié)議，使PPP的認證更具安全性。無線局域網(wǎng)興起后，人們在無線局域網(wǎng)接入領(lǐng)域引入了EAP認證，同時設計了專門封裝和傳送EAP認證數(shù)據(jù)的IEEE802.1x協(xié)議格式。802.1x協(xié)議除了支持WLAN外，也支持傳統(tǒng)的局域網(wǎng)類型，比如以太網(wǎng)、FDDI、TokenRing。EAP與802.1x的結(jié)合就是EAPOL(EAPOverLAN)，或者稱為EAPover802.1x。作為一種標準局域網(wǎng)的數(shù)據(jù)包協(xié)議，802.1x幾乎得到所有網(wǎng)絡設備廠商的支持。EAPOL不僅能用來解決終端計算機身份認證的問題，也可以用來認證計算機的安全狀態(tài)。在進行身份認證的同時檢查終端計算機的安全狀態(tài)，并能根據(jù)認證狀態(tài)設置端口狀態(tài)，動態(tài)切換VLAN，或者下載ACL列表。因為802.1x協(xié)議被網(wǎng)絡廠商廣泛支持，所以EAPOL是支持范圍最廣的網(wǎng)絡接入技術(shù)。EAPOL的優(yōu)點是它可以做到最嚴格的接入控制，控制點是網(wǎng)絡的接入層交換機，最接近終端計算機，對不符合策略的計算機可以完全禁止其訪問任何網(wǎng)絡，使其對網(wǎng)絡的危害最小。(1)?EAPOL。EAP是ExtensibleAu

(2)?EAPOU。與EAPOL國際標準協(xié)議不同的是，EAPOU是Cisco的專有協(xié)議，即獨家技術(shù)。EAPOU是CiscoNAC技術(shù)的第一個實現(xiàn)版本，2003年最早在Cisco的路由器上實現(xiàn)，后來在Cisco的3層交換機上也實現(xiàn)了EAPOU。EAPOL是在網(wǎng)絡接入層進行接入控制，而EAPOU則是在網(wǎng)絡的分布層或核心層進行接入控制。EAPOU的工作原理是當支持EAPOU的分布層設備接收到終端設備發(fā)來的數(shù)據(jù)包時，分布層EAPOU設備將要求終端設備進行EAP認證。EAP認證包封裝在UDP包內(nèi)，在EAP認證的內(nèi)容中，身份認證其實并不重要，重要的則是安全狀態(tài)認證。如果安全狀態(tài)不符合企業(yè)策略，分布層EAPOU設備將從策略服務器上下載ACL，限制不安全的客戶端的網(wǎng)絡訪問，并對其進行修復。EAPOU技術(shù)的優(yōu)點是它對網(wǎng)絡接入設備要求不高，因而覆蓋面較高，而且分布層設備一般明顯少于接入層設備，因此部署相對要容易一些。(2)?EAPOU。與EAPOL國際標準協(xié)議不同的是，思科的網(wǎng)絡接入控制NAC技術(shù)，微軟的網(wǎng)絡訪問保護技術(shù)NAP以及TCG組織的可信網(wǎng)絡連接TNC技術(shù)是很有代表性的安全接入技術(shù)，在目標和實現(xiàn)上具有很大相似性。

首先，其目標都是保證主機的安全接入，即當PC或筆記本接入本地網(wǎng)絡時，通過特殊的協(xié)議對其進行校驗。除驗證用戶名密碼、用戶證書等用戶身份信息外，還驗證終端是否符合管理員制定好的安全策略，如操作系統(tǒng)補丁、病毒庫版本等信息。并各自制定了自己的隔離策略，通過接入設備(防火墻、交換機、路由器等)，強制將不符合要求的終端設備隔離在一個指定區(qū)域，只允許其訪問補丁服務器進行下載更新。在終端主機沒有安全問題后，再允許其接入被保護的網(wǎng)絡。思科的網(wǎng)絡接入控制NAC技術(shù)，微軟的網(wǎng)絡訪問保護技術(shù)NA其次，三種技術(shù)的實現(xiàn)思路也比較相似，都分為客戶端、策略服務以及接入控制三個主要層次。NAC分為主機請求網(wǎng)絡接入(HostsAttemptingNetworkAccess)、網(wǎng)絡接入設備(NetworkAccessDevice)、策略決策點(PoliceDecisionPoints)三層；NAP分為NAP客戶端、NAP服務器端、NAP接入組件(DHCP、VPN、IPsec、802.1x)；TNC分為AR、PEP、PDP三層。其次，三種技術(shù)的實現(xiàn)思路也比較相似，都分為客戶端、策略服同時，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同的偏重性。NAC由于是Cisco發(fā)布的，所以更強調(diào)網(wǎng)絡接入硬件設備(如交換機等)在其架構(gòu)中的重要性；NAP則偏重在終端代理以及接入服務組件；而TNC技術(shù)則重點放在與TPM綁定的主機身份認證與主機完整性驗證上，TNC的目的是給TCG發(fā)布的TPM提供一種應用支持。表13-1對兩種典型的安全接入方式進行了比較。同時，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同網(wǎng)絡竊密、監(jiān)聽和防泄密技術(shù)課件從產(chǎn)品實現(xiàn)的角度而言，廠商提供的NAC產(chǎn)品類型有很多種。根據(jù)其使用的主要方法，可將NAC分為如下幾種類型：

(1)基于代理的NAC。這種NAC產(chǎn)品依賴于安裝到端點設備上的一個軟件，即所謂代理。此代理與一個具有網(wǎng)絡連接的NAC服務器或設備通信。這種方法相對簡單，但不太靈活，并要求在終端設備上安裝和運用特定的軟件。

(2)無代理的NAC。這種方法不要求在個人桌面和筆記本電腦等終端設備上安裝一個特別代理。與之相反，代理是被存儲在一個臨時目錄中的。不使用代理可使部署更簡單，并可簡化NAC的操作。從產(chǎn)品實現(xiàn)的角度而言，廠商提供的NAC產(chǎn)品類型有很多種。

(3)內(nèi)聯(lián)NAC。NAC的運行就如同一個網(wǎng)絡訪問層的防火墻一樣，它掌管著通過它的所有客戶端通信，并可以增強安全策略。這種方法相對簡單，但在較大的網(wǎng)絡中會產(chǎn)生吞吐量瓶頸。這種方法會隨著時間的推移而引起成本增加，因為在通信量增加時，會要求增加更多的內(nèi)聯(lián)設備。

(4)帶外NAC。這種方法使用現(xiàn)有的架構(gòu)來增強性能，典型情況下它是分布式的，因為客戶端要將數(shù)據(jù)傳輸給中心控制臺，控制臺根據(jù)獲得的實時信息，及時調(diào)整交換機的安全控制策略。相對而言，這種方法頗為復雜，不過它對網(wǎng)絡性能造成的負面影響更小一些。(3)內(nèi)聯(lián)NAC。NAC的運行就如同一個網(wǎng)絡訪問層的防

2．基于主機的接入控制

目前采用基于主機的接入控制技術(shù)的典型產(chǎn)品有微軟NAP。

如果用戶的網(wǎng)絡設備不支持網(wǎng)絡接入，或不想花費部署和管理時間，還可以進行基于主機的接入控制。主機的概念包含網(wǎng)絡中除網(wǎng)絡設備之外的計算機主機，包括服務器和計算機終端?；谥鳈C的接入控制最大特點就是容易部署。系統(tǒng)及應用接入是在服務器的操作系統(tǒng)中安裝接入控制軟件，當計算機終端訪問服務器時，接入控制軟件會檢查對方的安全狀態(tài)。如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，并給出相關(guān)提示。而客戶端接入控制是終端相互之間進行訪問時，安裝在終端上的軟件也會檢查對方的安全狀態(tài)。基于主機的接入控制點一般安裝在代理服務器、郵件服務器、內(nèi)網(wǎng)Web服務器、DNS服務器上或DHCP服務器上。這些服務器是企業(yè)內(nèi)部員工最常訪問的服務器，因此接入效果較好，覆蓋面廣。實際部署時，一般只需在一到兩個服務器上部署控制點即可做到對全局的接入控制。2．基于主機的接入控制

目前采用基于主機的接入控制技基于主機的接入控制優(yōu)點：

(1)容易部署。一般網(wǎng)絡接入配置起來都較復雜，不同型號的設備的配置都各不相同，如果網(wǎng)絡規(guī)模較大，配置的工作量極其巨大，而基于主機的接入控制只需要在對應的主機上安裝一個軟件，相對而言容易得多。

(2)適應性好，覆蓋面廣，不依賴任何網(wǎng)絡設備的支持。

(3)對網(wǎng)絡性能沒有影響?；诰W(wǎng)絡的接入控制在運行時會根據(jù)客戶端的認證狀態(tài)和安全狀態(tài)改變自己的狀態(tài)，比如VLAN切換和動態(tài)ACL加載，這或多或少都將影響設備或網(wǎng)絡的性能，特別是在大規(guī)模網(wǎng)絡環(huán)境下?；谥鳈C的接入控制將其控制分散到每個終端和主機，終端的狀態(tài)變化對網(wǎng)絡沒有任何影響?；谥鳈C的接入控制優(yōu)點：

(1)容易部署。一般網(wǎng)絡

(4)訪問控制功能最強?；谥鳈C的接入控制能夠做到基于進程的訪問控制，以及基于進程的帶寬管理，因此對蠕蟲、木馬的防治就能更加積極主動?；谥鳈C的接入控制的缺點主要是控制強度較弱，系統(tǒng)及應用接入控制點處于企業(yè)網(wǎng)絡的核心，遠離終端，而客戶端接入依賴于網(wǎng)絡中已經(jīng)廣泛部署的客戶端。(4)訪問控制功能最強?；谥鳈C的接入控制能夠做到基于13.2.3網(wǎng)絡安全接入的實現(xiàn)步驟

NAC方案通過評估并強化計算機的安全狀態(tài)而準許授權(quán)的計算機訪問。當終端計算機遵循企業(yè)的安全策略時，就允許其訪問；當不遵循時，就要對其進行隔離或禁止。通過使用基于網(wǎng)絡的和基于客戶端的增強組合(如DHCP、802.1X、無線局域網(wǎng)、SSL或者IPSecVPN，以及基于客戶端的增強等)，這些功能在執(zhí)行起來最為有效。在多數(shù)情況下，網(wǎng)絡和客戶端軟件提供了必須的增強和隔離機制。如圖13-3所示，網(wǎng)絡安全接入的實現(xiàn)步驟可分為四步：

(1)終端接入和識別。在連接到網(wǎng)絡時，即訪問資源之前發(fā)現(xiàn)端點。13.2.3網(wǎng)絡安全接入的實現(xiàn)步驟

NAC方案通過評

(2)評估和策略執(zhí)行。只有對系統(tǒng)進行評估并確認其遵從IT策略后，才準予該系統(tǒng)進行全面的網(wǎng)絡訪問。對于不遵從IT策略或不滿足企業(yè)最低安全要求的系統(tǒng)，將對其進行隔離，限制或拒絕其對網(wǎng)絡進行訪問。

(3)安全控制。對不遵從的端點自動采取補救措施使管理員能夠?qū)⑦@些端點快速變?yōu)樽駨臓顟B(tài)，隨后再改變網(wǎng)絡訪問權(quán)限。管理員可以將補救過程完全自動化，這樣會使該過程對最終用戶完全透明；也可以將信息提供給用戶，以便進行手動補救。

(4)持續(xù)監(jiān)視和評估。以預先設置的時間間隔主動監(jiān)視所有端點的遵從狀況。如果在某一時刻端點的遵從狀態(tài)發(fā)生了變化，那么該端點的網(wǎng)絡訪問權(quán)限也會隨之變化。(2)評估和策略執(zhí)行。只有對系統(tǒng)進行評估并確認其遵從I圖13-3網(wǎng)絡安全接入實現(xiàn)步驟圖13-3網(wǎng)絡安全接入實現(xiàn)步驟

13.3網(wǎng)絡身份認證

13.3.1新型多因素認證技術(shù)

為保證敏感信息受到保護，在用戶訪問資源之前，必須提供足夠強的身份識別信息。這些信息必須由多種識別和因素組成。一個用戶提供的因素越多，應用的安全性就越高。從理論上講，身份認證的主要判別標準有三種：

(1)用戶所知道的(Somethingyouknow)。此標準根據(jù)所知道的信息來證明身份，假設某些信息只有某人知道，比如暗號等，通過詢問這個信息就可以確認此人的身份。 13.3網(wǎng)絡身份認證

13.3.1新型多因

(2)用戶所擁有的(Somethingyouhave)。此標準根據(jù)所擁有的物品來證明身份，假設某一物品只有某人才有，比如印章等，通過出示該物品也可以確認個人的身份。

(3)用戶本來就是的(Somethingyouare)。此標準直接根據(jù)獨一無二的身體特征來證明身份，如指紋、虹膜等。而從信息化發(fā)展的進程來看，指紋、虹膜這樣的生物認證技術(shù)將是未來的潮流。(2)用戶所擁有的(Somethingyouhav目前，口令保護依然是主流的訪問認證方式?？诹钜呀?jīng)植根于社會和公司文化之中。在公司，用戶可能需要進入15～20個不同的應用才能完成工作，并且每進入一個應用，都得輸入一個密碼，此時，密碼認證不僅成了一種低級的認證方式，而且還會影響員工的工作效率。另外，對于那些不常用的應用程序，密碼很容易被忘記，從而造成時間的浪費。密碼保護很容易被破壞。面對如此多的密碼，許多用戶為了圖方便而忽視了安全性。往往選擇很容易被猜中的密碼，而且在多個賬戶上使用同一個密碼，甚至把密碼放在容易被復制或盜取的地方。所有這些不良習慣，都可能造成在線密碼的失竊。此外，各種間諜軟件、鍵盤記錄工具的泛濫，也給密碼保護帶來了新的威脅。目前，口令保護依然是主流的訪問認證方式?？诹钜呀?jīng)植根于社采用多因素認證可以保證客戶端登錄網(wǎng)絡的唯一性和高安全性。近幾年，多因素認證取得了巨大的發(fā)展，已經(jīng)有PIN碼認證、智能卡、生物識別、CHAP認證、多因素認證等多種認證體系，不同安全級別的認證方法有很大的區(qū)別。對于那些密碼保護不能提供足夠價值的應用而言，多因素認證技術(shù)不僅可以增強安全性，而且還可提高用戶的方便性，降低成本。一般可根據(jù)不同的安全需求，從以下認證方式中選擇一個或多個搭配口令使用：采用多因素認證可以保證客戶端登錄網(wǎng)絡的唯一性和高安全性。

(1)生物識別(Biometrics)。生物識別是一種基于個體的身體和行為特征對個體進行識別的自動化方法。比較通用的方法有指紋(fingerprint)、面孔(face)、虹膜(iris)、手型(handgeometry)、語音(voice)和簽名(dynamicsignature)等。生物識別系統(tǒng)對生物特征進行取樣，提取其唯一的特征并且轉(zhuǎn)化成數(shù)字代碼，并進一步將這些代碼組成特征模板，人們同識別系統(tǒng)交互進行身份認證時，識別系統(tǒng)獲取其特征并與數(shù)據(jù)中的特征模板進行比對，以確定是否匹配。典型的解決方案用于機場、海關(guān)等部門，使用一種叫做“移動虹膜”的生物識別方法，該方法在人們以正常步行速度移動時尋找人的面孔，能夠在遠距離和寬視野范圍內(nèi)捕捉虹膜圖像/面部圖像，快速完成對大量人群的自動化識別和檢查工作，提高檢查效率，避免出現(xiàn)出入境管制瓶頸，改善客戶體驗。(1)生物識別(Biometrics)。生物識別是一種

(2)?TPM安全芯片。TPM安全芯片技術(shù)通常與指紋識別模塊一起使用。普通的指紋識別技術(shù)一般是把指紋驗證信息儲存在硬盤中，而TPM安全芯片技術(shù)則是直接將指紋識別信息置于安全芯片中。一旦遭到破解，安全芯片就啟動自毀功能，企業(yè)的信息資料也就不會泄密了。安全芯片通過LPC總線下的系統(tǒng)管理總線來與處理器進行通信，安全芯片的密碼數(shù)據(jù)只能輸入而不能輸出。即關(guān)鍵的密碼加密與解密的運算將在安全芯片內(nèi)完成，而只將結(jié)果輸出到上層。安全芯片和指紋識別配合能達到最高的安全級別。

(3)智能卡。智能卡是一種用于存儲個人信息的硬件設備。除非智能卡的所有者通過口令或PIN碼登錄該卡，否則存儲在智能卡的信息無法被訪問，這與用戶輸入一個PIN碼來使用ATM卡的方法十分相似。智能卡在PKI及VPN體系中為私鑰和證書提供安全存儲的載體。(2)?TPM安全芯片。TPM安全芯片技術(shù)通常與指紋識

(4)?USBKey。安全證書的生成可以提取其一些信息，比如網(wǎng)卡MAC地址、客戶端CPU的序列號等，以便生成一個唯一對應的證書。所有的認證信息都可以導入認證服務器，從而在用戶登錄過程中可實現(xiàn)對客戶端唯一性的檢查。銀行已經(jīng)在網(wǎng)上銀行系統(tǒng)中采用安全數(shù)字證書，并通過USBKey的方式進行保存。USBKey中存放的是用戶個人的數(shù)字證書，銀行和用戶各有一份公鑰和私鑰，用戶僅需記憶一個密碼就可以使用。(4)?USBKey。安全證書的生成可以提取其一些信

(5)動態(tài)令牌。動態(tài)令牌根據(jù)基于時間的算法，每分鐘都產(chǎn)生一個5～6位的認證串號。在客戶端，用戶通過一個類似電子表的硬件，計算出每分鐘產(chǎn)生的令牌串號。那么用戶登錄系統(tǒng)，只要輸入用戶名和相應時間段的串號，就可以安全登錄。動態(tài)令牌避免了記憶密碼的過程，其壽命一般為三年。動態(tài)令牌分硬件令牌和軟件令牌，通常，建議使用傳統(tǒng)的、帶動態(tài)PIN生成器的硬件令牌(hardwaretoken)。這些硬件令牌效果明顯且容易擴展，但是部署困難，價格也很昂貴。在某些情況下，金融機構(gòu)傾向于使用軟件令牌(softtokens)，或者使用基于軟件的PIN生成工具，用戶能夠進行下載然后安裝在手持移動設備上。經(jīng)過一個簡單的注冊過程以后，用戶可以在他們的移動設備上生成PIN密碼，其實質(zhì)是把它們變成了個人的硬件令牌。這種方法性價比更高，可作為硬件令牌的替代方案。(5)動態(tài)令牌。動態(tài)令牌根據(jù)基于時間的算法，每分鐘都產(chǎn)

(6)一次性密碼(OTP)。一次性密碼有時也叫做交易認證數(shù)字(TAN)。在這種系統(tǒng)中，金融機構(gòu)會發(fā)給每個用戶一張?zhí)貏e的卡片，上面印有一次性密碼或者密碼短語列表。用戶每次進行身份認證時，需要使用其中的一個密碼或者短語(按順序)，然后把使用過的密碼從表格中劃掉。金融機構(gòu)建立并維護著一個用戶數(shù)據(jù)庫及其相應的密碼列表，還能追蹤哪個OTP正在被使用。(6)一次性密碼(OTP)。一次性密碼有時也叫做交易認

(7)特殊的“bingocards(類似填字圖)”。它們上面有一個網(wǎng)格，網(wǎng)格的一個軸上印有數(shù)字，另外一個軸上印有字母，在網(wǎng)格內(nèi)部還印有一些數(shù)據(jù)。當用戶要登錄銀行應用程序時，首先需要輸入用戶名和密碼，然后根據(jù)提示輸入一系列在網(wǎng)格上的數(shù)據(jù)進行認證。每個卡片都是獨一無二的，如果卡片丟失，重新辦理一個也很方便，而且價格便宜。其他的系統(tǒng)能夠生成OTP，并且把它們通過帶外(OOB)的方法(如SMS、電子郵件和電話等)發(fā)送給用戶。(7)特殊的“bingocards(類似填字圖)”。

(8)設備標識。由于網(wǎng)絡罪犯的目標是網(wǎng)上信用卡交易、新賬戶的注冊以及賬戶登錄，金融機構(gòu)如果想確認試圖使用賬戶的人是否是用戶本人，那么需要驗證的已不僅僅是用戶的IP地址和登錄/密碼了。設備標識是通過使用“設備指紋”來減少欺詐風險的。設備指紋就是一個設備標識符，它以用戶系統(tǒng)的IP位置以及配置的方式為基礎。這個指紋隨著時間的推移會允許金融機構(gòu)分配和跟蹤“信譽值(reputation)”，即分配給用戶系統(tǒng)的一個風險值，它取決于數(shù)字指紋數(shù)值，以及當這個設備不在終端用戶手中時金融機構(gòu)確定的風險值，這是一個從用戶交易歷史中提取的數(shù)值。(8)設備標識。由于網(wǎng)絡罪犯的目標是網(wǎng)上信用卡交易、新13.3.2統(tǒng)一身份認證

不少大型企業(yè)和機構(gòu)內(nèi)網(wǎng)計算機的數(shù)量已經(jīng)達到了相當?shù)囊?guī)模，網(wǎng)內(nèi)資源和應用也越來越多。各應用系統(tǒng)在建設時，根據(jù)系統(tǒng)的安全性要求，都建有各自的用戶管理和身份認證機制，這就導致了許多問題的產(chǎn)生，如：

(1)不同系統(tǒng)都采用自身的一套認證和用戶管理機制，不利于統(tǒng)一管理，更會帶來一些不可預料的紕漏。

(2)有些用戶離開部門以后，管理員需要逐個刪除每個系統(tǒng)的賬號。由于缺乏統(tǒng)一管理，經(jīng)常會有遺漏，用戶依然可以登錄一些業(yè)務系統(tǒng)。13.3.2統(tǒng)一身份認證

不少大型企業(yè)和機構(gòu)內(nèi)網(wǎng)計算

(3)一個用戶登錄不同系統(tǒng)就需要采用多個賬號，不容易記憶。因為怕麻煩，很多用戶在不同系統(tǒng)里面都采用同樣的賬號密碼，違背了安全的原則。

(4)系統(tǒng)管理員重復管理各應用系統(tǒng)的身份信息，并要保持身份信息的更新同步。這種繁雜的工作增加了管理員的工作強度，并容易造成系統(tǒng)中用戶身份管理機制的不統(tǒng)一，為系統(tǒng)安全管理留下隱患。(3)一個用戶登錄不同系統(tǒng)就需要采用多個賬號，不容易記各自為政的身份認證方式不能滿足網(wǎng)絡應用的擴展，統(tǒng)一身份認證體系正是在此情況下形成并發(fā)展的，滿足日益高漲的對信息安全、更高層次的服務及權(quán)限管理的要求。統(tǒng)一認證系統(tǒng)是一個集中的用戶認證管理和集成環(huán)境，可管理和分發(fā)用戶的權(quán)限和身份，為不同的應用系統(tǒng)提供用戶和權(quán)限管理服務。各應用系統(tǒng)只需保留角色和權(quán)限控制，用戶數(shù)據(jù)庫資源統(tǒng)一保存在認證服務器中，用戶和角色的管理由應用系統(tǒng)自行管理，從而簡化了應用系統(tǒng)中用戶管理模塊的建設。各自為政的身份認證方式不能滿足網(wǎng)絡應用的擴展，統(tǒng)一身份認統(tǒng)一身份認證的實現(xiàn)建立在單點登錄技術(shù)(SingleSign-On，SSO)和多因素認證技術(shù)的基礎上，減少了基于口令的訪問控制所帶來的管理負擔、成本及用戶煩惱。提供所有這些優(yōu)點的同時可以加強安全性并提高用戶的生產(chǎn)效率。內(nèi)網(wǎng)安全技術(shù)中的所有模塊都可以與其進行整合，使企業(yè)的VPN、動態(tài)VPN包括認證系統(tǒng)都可以使用相同的AD賬戶，從而實現(xiàn)單點登錄(SingleSignOn)。統(tǒng)一身份認證的實現(xiàn)建立在單點登錄技術(shù)(SingleSi感謝感謝謝謝，精品課件資料搜集謝謝，精品課件資料搜集第13章安全接入和身份認證13.1可信計算技術(shù)13.2網(wǎng)絡安全接入13.3網(wǎng)絡身份認證第13章安全接入和身份認證13.1可信計算技術(shù) 13.1可信計算技術(shù)

可信計算組織(TrustedComputingGroup，TCG)對“可信”的定義是：一個實體在實現(xiàn)給定目標時，若其行為總是如同預期，則該實體是可信的。這個定義將可信計算和當前的安全技術(shù)分開，可信強調(diào)行為結(jié)果可預期，但并不等于確認行為是安全的，這是兩個不同的概念。從TCG的定義來看，可信實際上還包含了容錯計算里可靠性的概念。可靠性保證硬件或者軟件系統(tǒng)性能可預測。 13.1可信計算技術(shù)

可信計算組織(Trus13.1.1可信計算概述

1999年10月，為了解決PC機結(jié)構(gòu)上的不安全問題，從基礎上提高其可信性，由幾大IT巨頭Compaq、HP、IBM、Intel和Microsoft牽頭組織了可信計算平臺聯(lián)盟(TrustedComputingPlatformAlliance，TCPA)，成員包括190家公司。TCPA定義了具有安全存儲和加密功能的可信任平臺模塊(TrustedPlatformModule，TPM)，致力于數(shù)據(jù)安全的可信計算，包括研制密碼芯片、特殊的CPU、主板或操作系統(tǒng)安全內(nèi)核。2003年3月TCPA改組為TCG，TCG在原TCPA強調(diào)安全硬件平臺構(gòu)建的宗旨之外，更進一步增加了對軟件安全性的關(guān)注，旨在從跨平臺和操作環(huán)境的硬件組件和軟件接口兩方面，促進不依賴特定廠商開發(fā)可信計算環(huán)境。TCG組織以TPM為核心，逐步把可信由TPM推向網(wǎng)絡和各種應用?，F(xiàn)在TCG組織分成下列幾個工作組：13.1.1可信計算概述

1999年10月，為了解決

(1)認證工作組。該組定義可信計算平臺的認證機制的規(guī)范，包括生物識別與認證、智能卡等。

(2)硬件復制工作組。該組定義用于硬件復制設備的、開放的、與廠商無關(guān)的規(guī)范，硬件復制設備可利用TCG組織構(gòu)建自己的可信根。

(3)基礎結(jié)構(gòu)工作組。該組定義結(jié)構(gòu)框架以及整合結(jié)構(gòu)的接口標準和元數(shù)據(jù)。

(4)移動工作組。該組定義可信的移動設備，包括手機、PDA等。

(5)?PC客戶端工作組。該組為使用TCG組織的PC客戶端提供公共的功能、接口及與安全性私密性相關(guān)的必要支撐條件。

(6)服務器工作組。該組為TCG技術(shù)實現(xiàn)服務器提供定義、規(guī)范、指南等。(1)認證工作組。該組定義可信計算平臺的認證機制的規(guī)范

(7)軟件棧工作組。該組為利用TPM的應用系統(tǒng)廠商提供一組標準的API接口，目標是對使用TPM功能的應用程序提供一個唯一入口：提供對TPM的同步訪問；管理TPM的資源；適當?shù)臅r候釋放TPM的資源等。

(8)存儲工作組。該組重點制定專用存儲系統(tǒng)的安全服務標準。

(9)可信網(wǎng)絡連接(TrustedNetworkConnect，TNC)工作組。該組負責制定在接入控制階段和接入后對端點進行完整性驗證的方法、策略、標準和協(xié)議。

(10)?TPM工作組。該組制定TPM規(guī)范。TPM是可信根，該根是其他工作組的基礎。

(11)虛擬化平臺工作組。該組著重虛擬化平臺上的可信計算。(7)軟件棧工作組。該組為利用TPM的應用系統(tǒng)廠商提供可信計算的主要手段是進行身份確認，使用加密進行存儲保護及使用完整性度量進行完整性保護?；舅枷胧窃谟嬎銠C系統(tǒng)中首先建立一個信任根，再建立一條信任鏈，一級測量認證一級，一級信任一級，把信任關(guān)系擴大到整個計算機系統(tǒng)，從而確保計算機系統(tǒng)的可信。

可信計算的主要思想是在硬件平臺上引入安全芯片架構(gòu)，提供硬件級底層安全保護、可靠身份識別、高強度加密等功能，從而將部分或整個計算平臺變?yōu)椤翱尚拧钡挠嬎闫脚_?？尚庞嬎闫脚_的安全性根植于具有一定安全防護能力的安全硬件，它基于安全硬件實現(xiàn)隔離計算、計算環(huán)境完整性保證和遠程安全性質(zhì)證明等服務，以保證平臺上計算實體行為的可信性，從而解決遠程信任問題?？尚庞嬎愕闹饕侄问沁M行身份確認，使用加密進行存儲保護及基于以上的思想，TCG計算機使用TPM安全芯片對硬盤中的數(shù)據(jù)進行加密。TPM安全芯片可以插入主板或直接以焊接到主板上的方式進入主機，還可以將它們與BIOS集成在一起。TPM實際上就是在計算機系統(tǒng)中加入了一個可信第三方，通過可信第三方對系統(tǒng)的度量和約束來保證一個系統(tǒng)可信?；谝陨系乃枷耄琓CG計算機使用TPM安全芯片對硬盤中的在硬件級底層安全保護方面，TCG計算機使用自主可信計算根技術(shù)，在計算機啟動時對操作系統(tǒng)進行校驗，使只有用戶設定的操作系統(tǒng)和應用軟件才能正常加載運行?？尚庞嬎愀鶗趩又鯇τ嬎銠C系統(tǒng)中所有的運行軟件進行可信性(完整性)分析，由此判定它們是否被非授權(quán)篡改。若判定不可信則阻止該軟件運行，并自動恢復其合法的版本。因此計算機一旦嵌入了該技術(shù)，即可在啟動操作系統(tǒng)時發(fā)現(xiàn)內(nèi)核已改，并根據(jù)用戶需求進行阻止和恢復。由此，不僅能從硬件安全基礎層面提升安全性，也能避免非法軟件自運行的情況發(fā)生。在硬件級底層安全保護方面，TCG計算機使用自主可信計算根13.1.2安全芯片的國內(nèi)外發(fā)展現(xiàn)狀

在可信計算理論的實現(xiàn)上，目前國內(nèi)外均致力于安全芯片的研制，主要分為國外的TPM和國內(nèi)的TCM兩大陣營。

TPM安全芯片是指符合TPM標準的安全芯片，TPM標準由TCG制定。TCG是專門致力于制定可信計算標準的非營利性機構(gòu)，它從安全的BIOS、安全的硬件、安全的操作系統(tǒng)、安全的網(wǎng)絡連接等PC平臺的各個方面入手來重新構(gòu)建一個可信的計算機平臺標準，作為安全產(chǎn)業(yè)基礎的TCG標準將滲透到IT各個領(lǐng)域，包括PC平臺(臺式和筆記本)、手持移動設備平臺、可信網(wǎng)絡接入及應用中間件、服務器平臺、存儲系統(tǒng)、應用軟件等所有環(huán)節(jié)。TCG提出了TPM標準。符合TPM標準的芯片首先必須具有產(chǎn)生加密密鑰和解密密鑰的功能，此外還必須能夠進行高速的資料加密和解密，以及充當保護BIOS和操作系統(tǒng)不被修改的輔助處理器。13.1.2安全芯片的國內(nèi)外發(fā)展現(xiàn)狀

在可信計算理論為避免影響國家戰(zhàn)略安全的核心技術(shù)控制在某些特定的國家/機構(gòu)手中，中國及很多其他的國家/組織也在同步進行可信計算平臺的研究和部署工作。其中，部署可信計算體系中，密碼技術(shù)是最重要的核心技術(shù)。具體的方案是以密碼算法為突破口，依據(jù)嵌入芯片技術(shù)，完全采用我國自主研發(fā)的密碼算法和引擎，來構(gòu)建一個安全芯片，稱為可信密碼模塊(TCM)。TCM安全芯片主要通過三個功能保護用戶計算環(huán)境的可信：為避免影響國家戰(zhàn)略安全的核心技術(shù)控制在某些特定的國家/機

(1)底層安全加固。安全芯片在開機時就會監(jiān)控系統(tǒng)程序的裝載，一旦發(fā)現(xiàn)某個程序狀態(tài)異常就發(fā)出警報乃至禁止其運行。

(2)用戶身份證明。TCM安全芯片中存儲有標識平臺身份的密鑰，會在必要時通過簽名或者數(shù)字證書的相關(guān)機制，向外界表明自己的身份，而且標識號是全球唯一的。

(3)數(shù)據(jù)加密。經(jīng)過TCM安全芯片進行加密的數(shù)據(jù)就只能在該平臺上進行解密和處理，從而把機密數(shù)據(jù)綁定在該平臺上，即使數(shù)據(jù)被盜，因為脫離了對應平臺而離開了解密密鑰，數(shù)據(jù)將無法被識別，從而實現(xiàn)機密數(shù)據(jù)盜走也看不到，看到也傳播不了的效果。(1)底層安全加固。安全芯片在開機時就會監(jiān)控系統(tǒng)程序的13.1.3可信任平臺模塊(TPM)

任何可信都是建立在某一個層次上的，如果能直接訪問更低的層次，那么上一個層次的保護將是毫無作用的。傳統(tǒng)的系統(tǒng)中，密鑰和授權(quán)信息都直接存儲在內(nèi)存和硬盤中，攻擊者有很多方法來獲取它們。在可信計算的體系中，所有這些機密數(shù)據(jù)都是由TPM來保護的。這樣，攻擊者只有攻破TPM才能攻破系統(tǒng)的防護。這樣，TPM成為系統(tǒng)可信的最低層次，它提供了整個系統(tǒng)可信的基礎。在TCG系統(tǒng)中，可信根(Rootoftrust)是無條件被信任的，系統(tǒng)并不檢測可信根的行為，因此可信根是否真正值得信任，是系統(tǒng)可信的關(guān)鍵。13.1.3可信任平臺模塊(TPM)

任何可信都是建

TPM安全芯片是可信根的基礎。TPM是一個含有密碼運算部件和存儲部件的小型片上系統(tǒng)，其規(guī)格往往是作為單個獨立芯片產(chǎn)品來提供的，但是也可以作為另一個芯片的一部分出現(xiàn)，比如以太網(wǎng)接口。如圖13-1所示，TPM安全芯片包含了分別實現(xiàn)RSA、SHA-1和HMAC算法的多個硬件處理引擎，以及一個隨機數(shù)字生成器。它既是密鑰生成器，又是密鑰管理器件，同時還提供了統(tǒng)一的編程接口。TPM通過提供密鑰管理和配置管理等特性，與配套的應用軟件一起，主要用于完成計算平臺的可靠性認證、防止未經(jīng)授權(quán)的軟件修改、用戶身份認證、數(shù)字簽名以及全面加密硬盤和可擦寫媒體的數(shù)據(jù)等功能。TPM安全芯片是可信根的基礎。TPM是一個含有密碼運算部圖13-1TPM內(nèi)部結(jié)構(gòu)圖13-1TPM內(nèi)部結(jié)構(gòu)將TPM安裝在輸入/輸出控制器(I/OController)，即連接外部設備與內(nèi)存的總線中，讓TPM可以監(jiān)視每一個從外存裝載入內(nèi)存的軟件。由于TPM處于硬件層，所以只要用戶選擇了打開TCG功能，任何行為都無法逃避監(jiān)視。TPM安全芯片首先驗證當前底層固件的完整性，如正確則完成正常的系統(tǒng)初始化，然后由底層固件依次驗證BIOS和操作系統(tǒng)完整性，如正確則正常運行操作系統(tǒng)，否則停止運行。之后，利用TPM安全芯片內(nèi)置的加密模塊生成系統(tǒng)中的各種密鑰，對應用模塊進行加密和解密，向上提供安全通信接口，以保證上層應用模塊的安全。將TPM安裝在輸入/輸出控制器(I/OControll

TPM會按照整個系統(tǒng)及應用軟件棧的裝載順序來監(jiān)視裝載到計算平臺上的所有軟件，TPM采用哈希擴展算法，以哈希值特征的形式來存儲所有能夠被平臺裝載的全部軟件。例如，在X86平臺運行過程中，從機器加電啟動開始，TPM將按照如下的順序監(jiān)視/度量軟硬件系統(tǒng)及應用軟件棧的裝載過程：BIOS、MBR(引導扇區(qū)內(nèi)容)、OS裝載器(MBR所指向的一個足夠大的磁盤區(qū)域，從其能夠?qū)胍粋€足夠大的程序來執(zhí)行OS的裝載)、OS、用戶應用程序1、用戶應用程序2……用戶應用程序n。如此順序裝載的程序叫做一個鏈(Chain)，監(jiān)視/度量的過程就是對該軟件哈希計算的過程。TPM將計算平臺上的整個軟件鏈的哈希值進行記錄，之后就能夠把該平臺上的軟件加載狀況向管理/安全中心報告。TPM可以對每個報告進行數(shù)字簽名，確保報告的真實性。TPM會按照整個系統(tǒng)及應用軟件棧的裝載順序來監(jiān)視裝載到計假定在這樣一個鏈中的這些程序都是正確的，則這個從底部BIOS開始到頂部用戶應用程序的鏈就叫做信任鏈(aChainofTrust)，而BIOS又叫做信任根(theRootofaChainofTrust)。通過TCG技術(shù)，管理/安全機構(gòu)可以通過TPM實時獲得平臺軟件狀況，據(jù)此判斷處于各邏輯層次軟件的合法性、安全性等，進而完成之后的管理和防御工作。假定在這樣一個鏈中的這些程序都是正確的，則這個從底部BI13.1.4TPM在關(guān)鍵行業(yè)的應用

1．軍隊應用

可信計算技術(shù)在軍隊的應用主要集中在“身份驗證”上?？紤]到軍隊應用環(huán)境比較復雜，可以采取單機版和網(wǎng)絡版相結(jié)合的混合部署。網(wǎng)絡版掛接可信服務器，配合實施雙網(wǎng)隔離、并通過雙因素手段提高授權(quán)人身份可信度。現(xiàn)代化的軍隊機動性很強，組網(wǎng)模式多變，可信安全方面的需求也會隨之發(fā)生較大變化。運用集成化的可信安全平臺，可實現(xiàn)動態(tài)、高效的可信管理。13.1.4TPM在關(guān)鍵行業(yè)的應用

1．軍隊應用

2．政府應用

各級政府職能部門主要使用可信計算的“數(shù)據(jù)加密”功能。政府部門每天都要面對公眾處理日常事務，對象相對復雜，增加了流失和泄露機密文件的概率，因此其數(shù)據(jù)交換的加密要硬件級的，而且密碼必須存于硬件中。應用于政府部門的安全計算機通常會實現(xiàn)基于TCM安全芯片的硬件級加密方案，保護計算機上的機密數(shù)據(jù)。2．政府應用

各級政府職能部門主要使用可信計算的“數(shù)

3．企業(yè)應用

大型企業(yè)內(nèi)部網(wǎng)絡結(jié)構(gòu)復雜，應用眾多，需要進行大量的跨部門信息傳遞。因此，它對可信計算技術(shù)的需求最為強烈，以解決底層安全、身份認證、數(shù)據(jù)加密、集成管理等一系列問題。伴隨著行業(yè)競爭的加劇，各級企業(yè)對非法竊取本公司商業(yè)機密的行為也都給予了足夠的重視，其中，利用可信應用進行數(shù)據(jù)保全無疑是最好的解決辦法。企業(yè)用戶的部門觀念都相對較強，有些甚至達到了各自為營的地步，而集成管理平臺可提供“授權(quán)密網(wǎng)”功能，為部門間的信息溝通與密文阻隔搭建平臺。域令牌被實時存儲于TCM芯片中，隨用隨取，而機要文件始終以域的方式存在。數(shù)據(jù)永遠都處于企業(yè)網(wǎng)域的授權(quán)控制下，以增加信息資料的保密程度。3．企業(yè)應用

大型企業(yè)內(nèi)部網(wǎng)絡結(jié)構(gòu)復雜，應用眾多，需

13.2網(wǎng)絡安全接入

13.2.1概念和原理

雖然多數(shù)用戶并沒有惡意企圖，但未授權(quán)的計算機會給機構(gòu)帶來巨大的安全風險。安全接入技術(shù)的主要思路是從終端著手，通過定義和管理安全策略，并引入性能評估和增強化的方法，對接入私有網(wǎng)絡的主機進行安全性檢測，自動拒絕不安全的主機接入保護網(wǎng)絡，同時還可以禁用或控制那些用戶計算機上的高風險應用程序，直到這些主機符合網(wǎng)絡內(nèi)的安全策略為止，從而可以減少機構(gòu)的漏洞，避免了某些含有較多安全漏洞的終端成為整個網(wǎng)絡的“安全短板”的可能。 13.2網(wǎng)絡安全接入

13.2.1概念和原網(wǎng)絡接入控制(NAC)關(guān)鍵要求是確認并阻止欺詐性計算機，它已成為阻止?jié)撛诘母Q探和攻擊者的一種重要工具，也可用于管理復雜的Web許可和授權(quán)，這些許可和授權(quán)可適應于不同的用戶組訪問不同的網(wǎng)絡部分。NAC還有助于企業(yè)與外部的規(guī)章和內(nèi)部的策略保持一致性，并可以保護網(wǎng)絡資源免受不斷發(fā)展的網(wǎng)絡威脅的危害。NAC的主要功能可分為以下三個部分：

(1)減少0天攻擊風險。此功能防止缺乏反病毒、補丁、主機入侵防御軟件的終端訪問網(wǎng)絡資源，并可阻止這種設備將其他計算機置于風險之中。網(wǎng)絡接入控制(NAC)關(guān)鍵要求是確認并阻止欺詐性計算機，

(2)增強策略。此功能允許網(wǎng)絡操作員定義策略，例如，具體指定允許訪問網(wǎng)絡的用戶角色或計算機類型，并在交換機、路由器等網(wǎng)絡設備中強化這些策略。

(3)身份和訪問管理。傳統(tǒng)的IP網(wǎng)絡根據(jù)IP地址增強訪問策略，而NAC環(huán)境根據(jù)用戶身份來增強安全性。

如圖13-2所示，安全接入系統(tǒng)的基本結(jié)構(gòu)包含三個基本部分：訪問請求者、策略決策點和策略執(zhí)行點。策略決策點和策略執(zhí)行點的單獨功能可包含在一臺服務器上，也可分散在多臺服務器之間。一般而言，訪問請求者負責請求訪問，策略決策點負責指定策略，而策略執(zhí)行點負責執(zhí)行策略。(2)增強策略。此功能允許網(wǎng)絡操作員定義策略，例如，具圖13-2安全接入技術(shù)理論模型圖13-2安全接入技術(shù)理論模型訪問請求者是試圖訪問網(wǎng)絡的節(jié)點，它可以是由安全接入系統(tǒng)管理的任何設備，包括工作站、服務器、打印機、照相機及具有IP功能的其他設備。訪問請求者可能自行執(zhí)行主機評估，也有可能由另外某個系統(tǒng)來評估主機。訪問請求者的評估結(jié)果被發(fā)送到策略決策點。策略決策點是核心部分。根據(jù)訪問請求者的狀況和定義的策略，策略決策點確定應當授予哪種訪問權(quán)。在許多情況下，安全接入產(chǎn)品管理系統(tǒng)可能充當策略決策點。策略決策點依賴后端系統(tǒng)(包括反病毒、補丁管理或者用戶目錄)，以便幫助確定主機的條件。舉例來說，反病毒軟件管理器會確定主機的反病毒軟件和特征版本是不是最新的，然后通知策略決策點。一旦策略決策點確定運用哪個策略，就會把訪問控制決策傳送給策略執(zhí)行點以便執(zhí)行。策略執(zhí)行點可能是網(wǎng)絡設備(如交換機、防火墻或者路由器)，可能是管理動態(tài)主機配置協(xié)議(DHCP)或者地址解析協(xié)議(ARP)的帶外設備，也可能是訪問請求者機器上安裝的訪問代理軟件。訪問請求者是試圖訪問網(wǎng)絡的節(jié)點，它可以是由安全接入系統(tǒng)管13.2.2安全接入技術(shù)實現(xiàn)方式分類

按部署的位置而言，安全接入控制技術(shù)主要分為兩大類：基于網(wǎng)絡的接入控制和基于主機的接入控制?；诰W(wǎng)絡的接入控制主要有EAPOL(ExtensibleAuthenticationProtocolOverLAN)技術(shù)、EAPOU(ExtensibleAuthenticationProtocolOverUDP)技術(shù)；基于主機的接入控制主要有應用接入控制、客戶端接入控制。

1．基于網(wǎng)絡的接入控制

基于網(wǎng)絡的接入控制方案的典型代表是CiscoNAC技術(shù)。網(wǎng)絡接入的概念是由Cisco普及的，Cisco的NAC除了EAPOL，還有EAPOU(EAPOverUDP)。13.2.2安全接入技術(shù)實現(xiàn)方式分類

按部署的位置而

(1)?EAPOL。EAP是ExtensibleAuthenticationProtocol的縮寫，EAP最初作為PPP的擴展認證協(xié)議，使PPP的認證更具安全性。無線局域網(wǎng)興起后，人們在無線局域網(wǎng)接入領(lǐng)域引入了EAP認證，同時設計了專門封裝和傳送EAP認證數(shù)據(jù)的IEEE802.1x協(xié)議格式。802.1x協(xié)議除了支持WLAN外，也支持傳統(tǒng)的局域網(wǎng)類型，比如以太網(wǎng)、FDDI、TokenRing。EAP與802.1x的結(jié)合就是EAPOL(EAPOverLAN)，或者稱為EAPover802.1x。作為一種標準局域網(wǎng)的數(shù)據(jù)包協(xié)議，802.1x幾乎得到所有網(wǎng)絡設備廠商的支持。EAPOL不僅能用來解決終端計算機身份認證的問題，也可以用來認證計算機的安全狀態(tài)。在進行身份認證的同時檢查終端計算機的安全狀態(tài)，并能根據(jù)認證狀態(tài)設置端口狀態(tài)，動態(tài)切換VLAN，或者下載ACL列表。因為802.1x協(xié)議被網(wǎng)絡廠商廣泛支持，所以EAPOL是支持范圍最廣的網(wǎng)絡接入技術(shù)。EAPOL的優(yōu)點是它可以做到最嚴格的接入控制，控制點是網(wǎng)絡的接入層交換機，最接近終端計算機，對不符合策略的計算機可以完全禁止其訪問任何網(wǎng)絡，使其對網(wǎng)絡的危害最小。(1)?EAPOL。EAP是ExtensibleAu

(2)?EAPOU。與EAPOL國際標準協(xié)議不同的是，EAPOU是Cisco的專有協(xié)議，即獨家技術(shù)。EAPOU是CiscoNAC技術(shù)的第一個實現(xiàn)版本，2003年最早在Cisco的路由器上實現(xiàn)，后來在Cisco的3層交換機上也實現(xiàn)了EAPOU。EAPOL是在網(wǎng)絡接入層進行接入控制，而EAPOU則是在網(wǎng)絡的分布層或核心層進行接入控制。EAPOU的工作原理是當支持EAPOU的分布層設備接收到終端設備發(fā)來的數(shù)據(jù)包時，分布層EAPOU設備將要求終端設備進行EAP認證。EAP認證包封裝在UDP包內(nèi)，在EAP認證的內(nèi)容中，身份認證其實并不重要，重要的則是安全狀態(tài)認證。如果安全狀態(tài)不符合企業(yè)策略，分布層EAPOU設備將從策略服務器上下載ACL，限制不安全的客戶端的網(wǎng)絡訪問，并對其進行修復。EAPOU技術(shù)的優(yōu)點是它對網(wǎng)絡接入設備要求不高，因而覆蓋面較高，而且分布層設備一般明顯少于接入層設備，因此部署相對要容易一些。(2)?EAPOU。與EAPOL國際標準協(xié)議不同的是，思科的網(wǎng)絡接入控制NAC技術(shù)，微軟的網(wǎng)絡訪問保護技術(shù)NAP以及TCG組織的可信網(wǎng)絡連接TNC技術(shù)是很有代表性的安全接入技術(shù)，在目標和實現(xiàn)上具有很大相似性。

首先，其目標都是保證主機的安全接入，即當PC或筆記本接入本地網(wǎng)絡時，通過特殊的協(xié)議對其進行校驗。除驗證用戶名密碼、用戶證書等用戶身份信息外，還驗證終端是否符合管理員制定好的安全策略，如操作系統(tǒng)補丁、病毒庫版本等信息。并各自制定了自己的隔離策略，通過接入設備(防火墻、交換機、路由器等)，強制將不符合要求的終端設備隔離在一個指定區(qū)域，只允許其訪問補丁服務器進行下載更新。在終端主機沒有安全問題后，再允許其接入被保護的網(wǎng)絡。思科的網(wǎng)絡接入控制NAC技術(shù)，微軟的網(wǎng)絡訪問保護技術(shù)NA其次，三種技術(shù)的實現(xiàn)思路也比較相似，都分為客戶端、策略服務以及接入控制三個主要層次。NAC分為主機請求網(wǎng)絡接入(HostsAttemptingNetworkAccess)、網(wǎng)絡接入設備(NetworkAccessDevice)、策略決策點(PoliceDecisionPoints)三層；NAP分為NAP客戶端、NAP服務器端、NAP接入組件(DHCP、VPN、IPsec、802.1x)；TNC分為AR、PEP、PDP三層。其次，三種技術(shù)的實現(xiàn)思路也比較相似，都分為客戶端、策略服同時，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同的偏重性。NAC由于是Cisco發(fā)布的，所以更強調(diào)網(wǎng)絡接入硬件設備(如交換機等)在其架構(gòu)中的重要性；NAP則偏重在終端代理以及接入服務組件；而TNC技術(shù)則重點放在與TPM綁定的主機身份認證與主機完整性驗證上，TNC的目的是給TCG發(fā)布的TPM提供一種應用支持。表13-1對兩種典型的安全接入方式進行了比較。同時，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同網(wǎng)絡竊密、監(jiān)聽和防泄密技術(shù)課件從產(chǎn)品實現(xiàn)的角度而言，廠商提供的NAC產(chǎn)品類型有很多種。根據(jù)其使用的主要方法，可將NAC分為如下幾種類型：

(1)基于代理的NAC。這種NAC產(chǎn)品依賴于安裝到端點設備上的一個軟件，即所謂代理。此代理與一個具有網(wǎng)絡連接的NAC服務器或設備通信。這種方法相對簡單，但不太靈活，并要求在終端設備上安裝和運用特定的軟件。

(2)無代理的NAC。這種方法不要求在個人桌面和筆記本電腦等終端設備上安裝一個特別代理。與之相反，代理是被存儲在一個臨時目錄中的。不使用代理可使部署更簡單，并可簡化NAC的操作。從產(chǎn)品實現(xiàn)的角度而言，廠商提供的NAC產(chǎn)品類型有很多種。

(3)內(nèi)聯(lián)NAC。NAC的運行就如同一個網(wǎng)絡訪問層的防火墻一樣，它掌管著通過它的所有客戶端通信，并可以增強安全策略。這種方法相對簡單，但在較大的網(wǎng)絡中會產(chǎn)生吞吐量瓶頸。這種方法會隨著時間的推移而引起成本增加，因為在通信量增加時，會要求增加更多的內(nèi)聯(lián)設備。

(4)帶外NAC。這種方法使用現(xiàn)有的架構(gòu)來增強性能，典型情況下它是分布式的，因為客戶端要將數(shù)據(jù)傳輸給中心控制臺，控制臺根據(jù)獲得的實時信息，及時調(diào)整交換機的安全控制策略。相對而言，這種方法頗為復雜，不過它對網(wǎng)絡性能造成的負面影響更小一些。(3)內(nèi)聯(lián)NAC。NAC的運行就如同一個網(wǎng)絡訪問層的防

2．基于主機的接入控制

目前采用基于主機的接入控制技術(shù)的典型產(chǎn)品有微軟NAP。

如果用戶的網(wǎng)絡設備不支持網(wǎng)絡接入，或不想花費部署和管理時間，還可以進行基于主機的接入控制。主機的概念包含網(wǎng)絡中除網(wǎng)絡設備之外的計算機主機，包括服務器和計算機終端?；谥鳈C的接入控制最大特點就是容易部署。系統(tǒng)及應用接入是在服務器的操作系統(tǒng)中安裝接入控制軟件，當計算機終端訪問服務器時，接入控制軟件會檢查對方的安全狀態(tài)。如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，并給出相關(guān)提示。而客戶端接入控制是終端相互之間進行訪問時，安裝在終端上的軟件也會檢查對方的安全狀態(tài)。基于主機的接入控制點一般安裝在代理服務器、郵件服務器、內(nèi)網(wǎng)Web服務器、DNS服務器上或DHCP服務器上。這些服務器是企業(yè)內(nèi)部員工最常訪問的服務器，因此接入效果較好，覆蓋面廣。實際部署時，一般只需在一到兩個服務器上部署控制點即可做到對全局的接入控制。2．基于主機的接入控制

目前采用基于主機的接入控制技基于主機的接入控制優(yōu)點：

(1)容易部署。一般網(wǎng)絡接入配置起來都較復雜，不同型號的設備的配置都各不相同，如果網(wǎng)絡規(guī)模較大，配置的工作量極其巨大，而基于主機的接入控制只需要在對應的主機上安裝一個軟件，相對而言容易得多。

(2)適應性好，覆蓋面廣，不依賴任何網(wǎng)絡設備的支持。

(3)對網(wǎng)絡性能沒有影響。基于網(wǎng)絡的接入控制在運行時會根據(jù)客戶端的認證狀態(tài)和安全狀態(tài)改變自己的狀態(tài)，比如VLAN切換和動態(tài)ACL加載，這或多或少都將影響設備或網(wǎng)絡的性能，特別是在大規(guī)模網(wǎng)絡環(huán)境下?；谥鳈C的接入控制將其控制分散到每個終端和主機，終端的狀態(tài)變化對網(wǎng)絡沒有任何影響?；谥鳈C的接入控制優(yōu)點：

(1)容易部署。一般網(wǎng)絡

(4)訪問控制功能最強?；谥鳈C的接入控制能夠做到基于進程的訪問控制，以及基于進程的帶寬管理，因此對蠕蟲、木馬的防治就能更加積極主動?；谥鳈C的接入控制的缺點主要是控制強度較弱，系統(tǒng)及應用接入控制點處于企業(yè)網(wǎng)絡的核心，遠離終端，而客戶端接入依賴于網(wǎng)絡中已經(jīng)廣泛部署的客戶端。(4)訪問控制功能最強?；谥鳈C的接入控制能夠做到基于13.2.3網(wǎng)絡安全接入的實現(xiàn)步驟

NAC方案通過評估并強化計算機的安全狀態(tài)而準許授權(quán)的計算機訪問。當終端計算機遵循企業(yè)的安全策略時，就允許其訪問；當