【IT168 专稿】1.引言

　　2008年4月可信计算联盟(TCG)的TNC工作组在interop 2008大会上公布了其最新的可信网络连接协议IF-MAP(Interface for Metadata Access Point)，并宣布其可信网络连接架构从TNC1.2升级到TNC1.3。业内对这个TNC工作组耗费18个月才正式公布的协议给予了高度关注和充分的肯定，认为它将可信网络连接的架构推向了一个新的高度。IF-MAP协议定义了传统的网络安全设备(如防火墙、IDS、流量控制等)与可信网络连接组件之间信息交互与共享的平台，在网络安全状态和安全策略层面实现了信息共享;它实现了网络终端安全状态的多点、分布式检查与监控，网络安全策略的动态调整和统一执行;标志着多个厂商的网络安全设施通过开放的标准协议进行有机整合，进而形成结构化的安全防御体系成为可能。下面对IF-MAP协议在TNC架构中的作用、应用模式和发展现状进行简要描述。

　　2.IF-MAP协议与TNC架构

　　在TNC1.2架构中，主要定义了网络终端设备接入时的准入控制框架、接口和相关协议，实现了在框架协议下不同厂商的准入控制组件和设备能够协同工作，共同完成终端设备的平台完整性认证、安全状态评估、安全策略的制定和执行、不合规端点的隔离与矫正，从而保证整个网络环境的安全可信。其架构如下：

　　图1 TNC 1.2架构示意

　　框架中定义了3种实体(entity)、3个层次(layer)、7个组件(components)，其中3个实体分别为：

　　接入请求者(Access Requester-AR)：指运行于接入端点设备上的各种安全组件，用于完成端点设备各种安全状态信息的收集和提交接入认证请求;

　　策略执行者(Policy Enforcement Point-PEP)：指完成端点设备接入网络的各种接入设备，包括802.1x的交换机、防火墙、VPN网关等，主要完成接受端点接入请求信息，转发端点安全状态信息给后台策略服务器，并执行策略服务器下发的安全接入策略;

　　策略决策者(Policy Decision Point-PDP)：指安全策略服务器，主要完成根据接入请求设备提交的安全状态信息执行平台完整性认证，并根据策略对其进行授权;

　　在TNC1.2的体系结构中整合了端点安全系统、网络接入设备、AAA平台和策略管理平台，初步形成结构化的防御体系。但是，在这个架构中没有整合网络中的安全检测设备(如IDS)和安全控制设备(如内网防火墙、流控)，这使得传统的网络安全防护手段与可信网络连接系统之间无法进行信息交互和共享，形成两种安全防御体系各自为战的局面。正是为了解决这个问题，TNC工作组开发了IF-MAP协议，并升级了TNC架构，如下图所示：

　　图2 TNC 1.3架构示意

　　在TNC1.3框架中，增加了两个实体：

　　元数据存取点(Metadata Access Point-MAP)：指独立的元数据服务器，用于统一集中存储网络终端的各种安全状态信息、策略信息，构成网络中安全信息的交换平台;

　　网络行为控制和监控点(Flow Controllers Sensors, etc.)：指网络中部署的其他各种安全设备(比如IDS、防火墙、流量控制等)，完成向MAP实时提交端点设备的动态安全信息，并根据MAP中的安全策略信息动态调整对网络访问行为的控制策略。

　　在新的架构中，TNC1.2中的缺点被很好的弥补了，通过IF-MAP协议和MAP服务器在传统网络安全设备与TNC组件之间建立起了信息沟通桥梁和信息共享的平台，系统防御的整体性得到突出，防护效果倍增。下面通过一个实际应用场景分析来简要描述IF-MAP协议是如何完成这个功能。

　　3.IF-MAP协议的应用场景

　　假设如下的网络环境：

　　图3 IF-MAP协议应用环境

　　1) 用户john通过一台终端(device-x)登录到内部网络

　　John通过TNC客户端向PEP设备(一台802.1x的交换机)请求接入，并提交device-x的完整性信息(ip地址、mac地址、操作系统版本、防病毒软件版本等等);

　　PEP向PDP(一台RADIUS服务器)转发客户端信息，PDP通过了用户身份和平台完整性验证，并以finance manager的角色给john授权，通知PEP可以接入;

　　PDP通过IF-MAP协议向MAP服务器发布device-x的状态信息、用户信息和授权信息;

　　2) John需要访问内部的finance server

　　内部防火墙检测到device-x的访问请求，由于其可能是动态IP地址，因此没有静态的访问控制策略，此时防火墙通过IF-MAP协议向MAP服务器进行搜索;

　　通过搜索发现device-x设备当前的用户授权为finance manager，而且设备状态可信，于是防火墙通过添加动态策略允许该访问请求;

　　3) IDS设备发现device-x正在被木马控制

　　虽然device-x上的防病毒软件已经是最新版本，但其仍然被木马控制(这种情况常常发生)，好在木马通讯数据流被IDS检测到;

　　IDS马上通过IF-MAP协议向MAP服务发布该安全事件;

　　MAP服务立刻通过IF-MAP协议通知PDP有安全事件发生，PDP通过判断立刻修改device-x的可信状态，通知PEP对device-x进行隔离处理，删除device-x的finance manager授权，并将新的状态和授权信息发布到MAP服务器;

　　由于授权信息发生改变，MAP服务器立刻通过IF-MAP协议通知防火墙更新device-x的授权，从而删除内部的动态策略;

　　4.IF-MAP协议的发展情况

　　虽然IF-MAP协议在今年4月份才正式公布其1.0版本，但由于它通过开发的协议整合了各种已有的安全产品形态，为用户提供理想的整体安全防护效果的同时，又可以有效避免用户只能采购同一家安全产品的限制，保护投资，因此其已经引起安全厂商和客户的强烈兴趣。在08年4月interop 2008大会上公布协议正本的同时，TNC还推出了一套整合多家厂商产品的演示系统，如下图：

　　图4 IF-MAP演示系统结构

　　从中可以看到juniper和ArcSight等TCG的成员已经开始着手支持这个协议。

　　5.结束语

　　为用户提供整体安全解决方案和结构化的防御体系是公司长期以来产品发展的方向。2004年天融信公司率先提出TOPSEC联动协议和TNA可信网络架构，引领了国内安全厂商之间互动与整合的潮流，在业内产生了深远的影响。随着TCG/TNC等国际组织的不断发展，更为开放的可信网络架构和信息交换协议已经被制定出来，这使得更为广泛的安全厂商、通讯厂商、操作系统厂商的产品整合成为可能，构建结构化防御体系和可信网络的步伐越来越快。公司会一如既往地站在信息安全发展的潮头，不断跟踪研究最新的安全协议和标准，完善我的产品和方案，在激励的市场竞争中立于不败之地。

　　附：TCG与TNC简介

　　可信计算的概念开始在世界范围内被广泛接受是1999年。由Intel、IBM、HP、Compaq及Microsoft发起组织一个可信赖计算平台联盟(Trusted Computing Platform Alliance, TCPA)，该联盟致力于促成新一代具有安全且可信赖的硬件运算平台。2003年4月8日TCPA扩展其宗旨与目标，重新组成现在的可信计算组织(Trusted Computing Group, TCG)。TCG将原来TCPA强调建构安全硬件平台的宗旨上，进一步将焦点投注到软件安全性的问题，其目的是希望从操作环境的硬件组件和软件接口两方面制定可信计算相关标准与规范。

　　2004年5月，可信计算组织TCG成立了可信网络连接(Trusted Network Connect, TNC)分组(TNC Sub Group，TNC-SG)。作为TCG中基础设施工作组(Infrastructure Work Group)的一部分，它将TCG的视野延展到了保证网络的安全性和完整性方面。一些重要网络和安全公司如Foundry、 Extreme、Funk Software、InfoExpress、iPass、Juniper、Meetinghouse Data Communications、Trend Micro、Network Associates、Sygate、Symantec和Zone Labs等参加了TNC联盟，发展至今已经拥有了100多家联盟成员的庞大组织。