www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 西電捷通:可信網(wǎng)絡(luò)連接技術(shù)TCA和TNC架構(gòu)對比

    2018-04-19 16:11:00 sohu 首席安全技術(shù)官  點擊量: 評論 (0)
    伴隨著互聯(lián)網(wǎng)的迅速普及,人們與網(wǎng)絡(luò)的關(guān)系也越來越緊密,然而開放互聯(lián)的互聯(lián)網(wǎng),也存在著很多不安全因素,惡意軟件、木馬病毒、黑客破壞等

    伴隨著互聯(lián)網(wǎng)的迅速普及,人們與網(wǎng)絡(luò)的關(guān)系也越來越緊密,然而開放互聯(lián)的互聯(lián)網(wǎng),也存在著很多不安全因素,惡意軟件、木馬病毒、黑客破壞等行為嚴(yán)重威脅著網(wǎng)絡(luò)安全和人們的利益安全,需要一套完整的安全解決方案。可信網(wǎng)絡(luò)連接技術(shù)在此背景下應(yīng)運而生。可信網(wǎng)絡(luò)連接技術(shù)通過利用身份鑒別、平臺鑒別、完整性度量、訪問控制等技術(shù)實現(xiàn)了安全連接。目前全球范圍內(nèi)主要的兩大可信網(wǎng)絡(luò)連接技術(shù)是:可信網(wǎng)絡(luò)連接TNC(Trusted Network Connect,簡稱TNC)和可信連接架構(gòu)TCA(Trusted Connect Architecture,簡稱TCA)。TNC是由2004年可信計算組織(Trusted Computing Group,簡稱TCG)成立的可信網(wǎng)絡(luò)連接分組(Trusted Network Connection Sub Group,TCG-SG)負責(zé)研究提出,TCA是2007年由中國可信計算標(biāo)準(zhǔn)網(wǎng)絡(luò)組組長單位西電捷通主導(dǎo)研究提出。

    TNC是對可信平臺應(yīng)用的擴展,也是可信計算機制與網(wǎng)絡(luò)連接控制機制的結(jié)合。它是指在終端連接網(wǎng)絡(luò)之前,對用戶的身份進行鑒別。如果鑒別通過,對終端平臺的身份進行鑒別,如果鑒別通過,對終端的平臺可信狀態(tài)進行度量,如果度量結(jié)果滿足網(wǎng)絡(luò)連接的安全策略,則允許終端連接網(wǎng)絡(luò),否則將終端連接到指定的隔離區(qū)域,對其進行安全性修補和升級。

    TCA是我國自主創(chuàng)新的一套三元(訪問請求者、訪問控制器、策略管理者)三層(完整性度量層、可信平臺評估層、網(wǎng)絡(luò)訪問控制層)的可信網(wǎng)絡(luò)連接架構(gòu),通過基于身份鑒別、平臺鑒別來實現(xiàn)基于端口的訪問控制。其身份鑒別可提供對身份合法性的驗證,其平臺鑒別可提供對平臺安全狀態(tài)的評估,包括對平臺中各個組件的完整性、運行狀態(tài)、端口狀態(tài)、補丁狀態(tài)等的評估,支持對連接兩端設(shè)備的隔離/修補,可確保網(wǎng)絡(luò)連接兩端設(shè)備的平臺是可信賴的。

    TNC 的基本架構(gòu)如圖1所示,主要包括三個實體、三個層次和若干個接口組件等,三個層次包括網(wǎng)絡(luò)訪問層、完整性評估層和完整性度量層,而三個實體包括訪問請求者(Access Requestor,簡稱AR)、PEP策略執(zhí)行者(Policy Enforcement Point,簡稱PEP)和策略決策者(Policy Decision Point,簡稱PDP)。仔細分析該架構(gòu),不難發(fā)現(xiàn)其是在傳統(tǒng)的網(wǎng)絡(luò)接入層次上增加了兩層,可實現(xiàn)平臺間的完整性驗證,具體講是對具有可信平臺模塊(Trusted Platform Module,簡稱TPM)AR的平臺鑒別,屬于單向鑒別,并不涉及對網(wǎng)絡(luò)側(cè)設(shè)備的平臺鑒別問題,存在一定的安全缺陷。

    圖1 TNC基本架構(gòu)

    TCA采用了三元三實體的可信連接架構(gòu),其架構(gòu)如圖2所示。三元結(jié)構(gòu)中有訪問請求者AR、訪問控制器(Access Controller,簡稱AC)和策略管理器(Policy Manager,簡稱PM)三個實體, 而且根據(jù)組件的功能把不同實體中的組件分為三個抽象層次,分別為:

    網(wǎng)絡(luò)訪問層(Network Access Layer)、可信平臺評估層(Trusted Platform Evaluation Layer)和完整性度量層(Integrity Measurement Layer)。涉及用戶鑒別和平臺鑒別兩個核心機制,其中AR和AC都具有可信平臺控制模塊(TPCM,Trusted Platform Control Module),支持AR和AC之間的雙向平臺鑒別,AC參與身份鑒別和平臺鑒別協(xié)議處理,同時架構(gòu)也對用戶鑒別與平臺鑒別進行了綁定處理,提供了原子性安全。

    圖2 可信連接架構(gòu)(TCA)

    相比之下,TCA的三元三層可信連接架構(gòu)讓它的安全可信性能更勝一籌。這一架構(gòu)在縱向上把網(wǎng)絡(luò)訪問、可信評估和可信度量分層處理,使得系統(tǒng)的結(jié)構(gòu)清晰,控制有序。在橫向上則進行訪問請求者、訪問控制者和策略仲裁者之間的三重控制和鑒別,實現(xiàn)了服務(wù)器集中控管的網(wǎng)絡(luò)可信連接模式,提高了架構(gòu)的策略和可管理性。同時對訪問請求者和訪問控制者實現(xiàn)統(tǒng)一的策略管理,提高了系統(tǒng)整體的可信性。

    TCA和TNC對比分析表:

    需要指出的是TCA在身份鑒別和平臺鑒別中所采用的三元對等架構(gòu)是TePA國際標(biāo)準(zhǔn)ISO/IEC 9798-3:1998/Amd.1:2010中給出安全機制,該安全機制也是近10年來全球范圍內(nèi)在實體鑒別-非對稱機制領(lǐng)域內(nèi)惟一新技術(shù),TePA國際標(biāo)準(zhǔn)則是中國在信息安全基礎(chǔ)共性技術(shù)領(lǐng)域提交并獲通過的第一個國際標(biāo)準(zhǔn)。

    總體來說,從以上的對比可以看出,雖然TNC也采用了三層架構(gòu),也有三個實體,但在架構(gòu)設(shè)計上并沒有考慮對網(wǎng)絡(luò)接入端PEP的平臺鑒別和平臺完整性評估,在TNC架構(gòu)的安全性設(shè)計上實質(zhì)等同于是一個兩元的架構(gòu),雖然對接入網(wǎng)絡(luò)的終端進行了身份及平臺的鑒別,確認(rèn)了終端身份的合法性和平臺環(huán)境的完整性,但往往是從方便網(wǎng)絡(luò)提供者進行識別、計費等管理出發(fā)考慮的;對網(wǎng)絡(luò)側(cè)則并沒有相同的要求,從棱鏡門事件可知,構(gòu)建網(wǎng)絡(luò)的大量的無人值守的交換機、路由器等網(wǎng)絡(luò)設(shè)備,其本身的合法性和安全性也是同等重要的。因此,TNC并不適用于重要信息系統(tǒng)的安全,因為重要信息系統(tǒng)一般要求符合等級保護的集中式安全管理模式,這一模式防內(nèi)重于防外,防范內(nèi)部人員作案是重中之重。而TNC的可信鑒別方式無法防范內(nèi)外勾結(jié)的合謀攻擊行為。

    綜合而言,TCA三元三層的可信網(wǎng)絡(luò)連接架構(gòu)在集中管理的應(yīng)用場合,如局域網(wǎng)辦公自動化環(huán)境、工控系統(tǒng)、云計算、物聯(lián)網(wǎng)等領(lǐng)域具有廣泛的適用性。

    大云網(wǎng)官方微信售電那點事兒

    責(zé)任編輯:售電衡衡

    免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
    我要收藏
    個贊
    ?
    JAPANESEHD熟女熟妇伦| 大地资源高清在线视频播放| 久久精品国产久精国产| 国产精品不卡无码AV在线播放| 无码aⅴ精品一区二区三区浪潮| 高清对白精彩国产国语| 久久久久自慰网站| 国产精品久久久久亚洲av成人| 最近最新的字幕mv| 中文字幕久久久久久精品|