三九宝宝网宝宝百科宝宝知识

IFMAP协议开启可信网络连接

12月08日 编辑 39baobao.com

[坊间杀精说法可信吗]民间流传着各式各样的 杀精 说法,其中有真有假。近日,美国广播公司 男性健康 栏目就请专家,为读者去伪存真。坊间 杀精 说法可信吗?三角内裤和平脚裤差别不大。许多人认为与...+阅读

1.引言

2008年4月可信计算联盟(TCG)的TNC工作组在interop 2008大会上公布了其最新的可信网络连接协议IF-MAP(Interface for Metadata Access Point),并宣布其可信网络连接架构从TNC1.2升级到TNC1.3。

业内对这个TNC工作组耗费18个月才正式公布的协议给予了高度关注和充分的肯定,认为它将可信网络连接的架构推向了一个新的高度。IF-MAP协议定义了传统的网络安全设备(如防火墙、IDS、流量控制等)与可信网络连接组件之间信息交互与共享的平台,在网络安全状态和安全策略层面实现了信息共享;它实现了网络终端安全状态的多点、分布式检查与监控,网络安全策略的动态调整和统一执行;标志着多个厂商的网络安全设施通过开放的标准协议进行有机整合,进而形成结构化的安全防御体系成为可能。下面对IF-MAP协议在TNC架构中的作用、应用模式和发展现状进行简要描述。

2.IF-MAP协议与TNC架构

在TNC1.2架构中,主要定义了网络终端设备接入时的准入控制框架、接口和相关协议,实现了在框架协议下不同厂商的准入控制组件和设备能够协同工作,共同完成终端设备的平台完整性认证、安全状态评估、安全策略的制定和执行、不合规端点的隔离与矫正,从而保证整个网络环境的安全可信。

框架中定义了3种实体(entity)、3个层次(layer)、7个组件(ponents),其中3个实体分别为:

接入请求者(Access Requester-AR):指运行于接入端点设备上的各种安全组件,用于完成端点设备各种安全状态信息的收集和提交接入认证请求;

策略执行者(Policy Enforcement Point-PEP):指完成端点设备接入网络的各种接入设备,包括802.1x的交换机、防火墙、VPN网关等,主要完成接受端点接入请求信息,转发端点安全状态信息给后台策略服务器,并执行策略服务器下发的安全接入策略;

策略决策者(Policy Decision Point-PDP):指安全策略服务器,主要完成根据接入请求设备提交的安全状态信息执行平台完整性认证,并根据策略对其进行授权;

在TNC1.2的体系结构中整合了端点安全系统、网络接入设备、AAA平台和策略管理平台,初步形成结构化的防御体系。但是,在这个架构中没有整合网络中的安全检测设备(如IDS)和安全控制设备(如内网防火墙、流控),这使得传统的网络安全防护手段与可信网络连接系统之间无法进行信息交互和共享,形成两种安全防御体系各自为战的局面。正是为了解决这个问题,TNC工作组开发了IF-MAP协议,并升级了TNC架构。

在TNC1.3框架中,增加了两个实体:

元数据存取点(Metadata Access Point-MAP):指独立的元数据服务器,用于统一集中存储网络终端的各种安全状态信息、策略信息,构成网络中安全信息的交换平台;

网络行为控制和监控点(Flow Controllers Sensors, etc.):指网络中部署的其他各种安全设备(比如IDS、防火墙、流量控制等),完成向MAP实时提交端点设备的动态安全信息,并根据MAP中的安全策略信息动态调整对网络访问行为的控制策略。

在新的架构中,TNC1.2中的缺点被很好的弥补了,通过IF-MAP协议和MAP服务器在传统网络安全设备与TNC组件之间建立起了信息沟通桥梁和信息共享的平台,系统防御的整体性得到突出,防护效果倍增。下面通过一个实际应用场景分析来简要描述IF-MAP协议是如何完成这个功能。

3.IF-MAP协议的应用场景

假设如下的网络环境:

1)用户john通过一台终端(device-x)登录到内部网络

John通过TNC客户端向PEP设备

(一台802.1x的交换机)请求接入,并提交device-x的完整性信息(ip地址、mac地址、操作系统版本、防病毒软件版本等等);

PEP向PDP

(一台RADIUS服务器)转发客户端信息,PDP通过了用户身份和平台完整性验证,并以finance manager的角色给john授权,通知PEP可以接入;

PDP通过IF-MAP协议向MAP服务器发布device-x的状态信息、用户信息和授权信息;

2)John需要访问内部的finance server

内部防火墙检测到device-x的访问请求,由于其可能是动态IP地址,因此没有静态的访问控制策略,此时防火墙通过IF-MAP协议向MAP服务器进行搜索;

通过搜索发现device-x设备当前的用户授权为finance manager,而且设备状态可信,于是防火墙通过添加动态策略允许该访问请求;

3)IDS设备发现device-x正在被木马控制

虽然device-x上的防病毒软件已经是最新版本,但其仍然被木马控制(这种情况常常发生),好在木马通讯数据流被IDS检测到;

IDS马上通过IF-MAP协议向MAP服务发布该安全事件;

MAP服务立刻通过IF-MAP协议通知PDP有安全事件发生,考试大提示PDP通过判断立刻修改device-x的可信状态,通知PEP对device-x进行隔离处理,删除device-x的finance manager授权,并将新的状态和授权信息发布到MAP服务器;

由于授权信息发生改变,MAP服务器立刻通过IF-MAP协议通知防火墙更新device-x的授权,从而删除内部的动态策略;

4.IF-MAP协议的发展情况

虽然IF-MAP协议在今年4月份才正式公布其1.0版本,但由于它通过开发的协议整合了各种已有的安全产品形态,为用户提供理想的整体安全防护效果的同时,又可以有效避免用户只能采购同一家安全产品的限制,保护投资,因此其已经引起安全厂商和客户的强烈兴趣。在08年4月interop 2008大会上公布协议正本的同时,TNC还推出了一套整合多家厂商产品的演示系统。

结束语

为用户提供整体安全解决方案和结构化的防御体系是公司长期以来产品发展的方向。2004年天融信公司率先提出TOPSEC联动协议和TNA可信网络架构,引领了国内安全厂商之间互动与整合的潮流,在业内产生了深远的影响。随着TCG/TNC等国际组织的不断发展,更为开放的可信网络架构和信息交换协议已经被制定出来,这使得更为广泛的安全厂商、通讯厂商、操作系统厂商的产品整合成为可能,构建结构化防御体系和可信网络的步伐越来越快。公司会一如既往地站在信息安全发展的潮头,不断跟踪研究最新的安全协议和标准,完善我的产品和方案,在激励的市场竞争中立于不败之地。

以下为关联文档:

让孩子更快乐,让自己被开启美丽的三月,伴随着温暖的春风悄然而来,准眼又到了一个月的尾巴。和孩子们在一起的时间总能够激发起内心的波澜,因为总是在游戏中寻觅着快乐的气息。对于我们黄幼中一班的孩子而...

你知道胎儿听力在什么时候开启怀孕后,准爸准妈们都迫不及待的想要和尚在子宫内的宝宝交流,第一次胎动带个他们的兴奋程度不亚于刚得知怀孕了的心情,那么腹中的宝宝又是什么时候开始有听力了呢?有位美国蓍名...

开启“特殊”孩子的心灵之窗我班有个孩子名叫一维,黑黑的皮肤,大大的眼睛。刚进入小班时,绝大多数的孩子都有一个哭闹期,而后慢慢地来适应幼儿园的集体生活,但他却不哭不闹,独自玩耍,给人感觉是个乖孩子。可是...

材料是开启孩子智慧之门的金钥匙皮亚杰提出: 儿童的智慧源于材料。 充满魔力的探索区则给了孩子一把开启智慧之门的金钥匙。大家都知道探索区域活动的教育功能主要通过材料来表现。不同的材料蕴涵不同的教育...

和孩子一起开启改变之门魏丽红谁也无法说服她人改变。我们每个人都守着一扇只能从内开启的改变之门,不论动之以情或晓之以理,我们都不能替别人开门 ,这句话曾经模糊的寄存在我脑海里的某个角落,但今天,我能将...

土茯苓可以治宝宝湿疹吗?可信土茯苓可以治宝宝湿疹关于土茯苓,在《生草药性备要》中说:“消毒疮、疔疮,炙汁涂敷之,煲酒亦可。”所以土茯苓可以治湿疹。2土茯苓治疗宝宝湿疹的方法:外敷患处当小儿发生湿疹...

年前面试年后发offer,可信#求职者:我年前面试的一家公司,各方面条件都符合我的要求。面试我的老总也表示基本没什么问题且可以确定录用了,并让我在年前把离职手续办好。新公司的总部还需要进行薪资审核,...

《绘画开启儿童的创造力》读后感大班心情绘画活动进行了一学期的时间了,在这一学期里,我们深深感受到绘画心情日记活动的开展,对于大班幼儿在语言表达,绘画表征以及认知能力的发展都有很大的促进作用。而《绘画...

一个开启读书模式的小朋友假期里经常去健身房,认识了一位教练的女儿 7岁的可爱的小姑娘。或许是一种缘分,看到她就很喜欢,也或许是教师的职业习惯,总是在人群中最先看到小朋友、关注小朋友。 这小姑娘活...

推荐阅读
图文推荐