【IT168 专稿】1.引言

　　2008年4月可信计算联盟(TCG)的TNC工作组在interop 2008大会上公布了其最新的可信网络连接协议IF-MAP(Interface for Metadata Access Point)，并宣布其可信网络连接架构从TNC1.2升级到TNC1.3。业内对这个TNC工作组耗费18个月才正式公布的协议给予了高度关注和充分的肯定，认为它将可信网络连接的架构推向了一个新的高度。IF-MAP协议定义了传统的网络安全设备(如防火墙、IDS、流量控制等)与可信网络连接组件之间信息交互与共享的平台，在网络安全状态和安全策略层面实现了信息共享;它实现了网络终端安全状态的多点、分布式检查与监控，网络安全策略的动态调整和统一执行;标志着多个厂商的网络安全设施通过开放的标准协议进行有机整合，进而形成结构化的安全防御体系成为可能。下面对IF-MAP协议在TNC架构中的作用、应用模式和发展现状进行简要描述。

　　2.IF-MAP协议与TNC架构

　　在TNC1.2架构中，主要定义了网络终端设备接入时的准入控制框架、接口和相关协议，实现了在框架协议下不同厂商的准入控制组件和设备能够协同工作，共同完成终端设备的平台完整性认证、安全状态评估、安全策略的制定和执行、不合规端点的隔离与矫正，从而保证整个网络环境的安全可信。其架构如下：

　　图1 TNC 1.2架构示意

　　框架中定义了3种实体(entity)、3个层次(layer)、7个组件(components)，其中3个实体分别为：

　　接入请求者(Access Requester-AR)：指运行于接入端点设备上的各种安全组件，用于完成端点设备各种安全状态信息的收集和提交接入认证请求;

　　策略执行者(Policy Enforcement Point-PEP)：指完成端点设备接入网络的各种接入设备，包括802.1x的交换机、防火墙、VPN网关等，主要完成接受端点接入请求信息，转发端点安全状态信息给后台策略服务器，并执行策略服务器下发的安全接入策略;

　　策略决策者(Policy Decision Point-PDP)：指安全策略服务器，主要完成根据接入请求设备提交的安全状态信息执行平台完整性认证，并根据策略对其进行授权;