當(dāng)傳統(tǒng)的終端安全技術(shù)（Antivirus、Desktop Firewall…etc.）努力保護(hù)被攻擊的終端時(shí)，它們對(duì)于保障企業(yè)網(wǎng)絡(luò)的可使用性卻無(wú)能為力，更不要說(shuō)能確保企業(yè)的彈性與損害恢復(fù)能力。針對(duì)于此，目前出現(xiàn)了幾種安全接入技術(shù)，這些技術(shù)的主要思路是從終端著手，通過(guò)管理員指定的安全策略，對(duì)接入私有網(wǎng)絡(luò)的主機(jī)進(jìn)行安全性檢測(cè)，自動(dòng)拒絕不安全的主機(jī)接入保護(hù)網(wǎng)絡(luò)直到這些主機(jī)符合網(wǎng)絡(luò)內(nèi)的安全策略為止。目前具有代表性的技術(shù)包括：思科的網(wǎng)絡(luò)接入控制NAC技術(shù)，微軟的網(wǎng)絡(luò)接入保護(hù)技術(shù)NAP以及TCG組織的可信網(wǎng)絡(luò)連接TNC技術(shù)等。綜上所述，NAC和NAP的優(yōu)勢(shì)在于其背后擁有思科、微軟這樣的網(wǎng)絡(luò)與操作系統(tǒng)的巨頭，這些技術(shù)將隨著其下一代產(chǎn)品同時(shí)綁定發(fā)布。NAC目前已經(jīng)隨思科的新一代網(wǎng)絡(luò)設(shè)備一起，在2004年開(kāi)始推向市場(chǎng)，而NAP則計(jì)劃于2006年年底，隨微軟的Windows Vista操作系統(tǒng)一起，推向市場(chǎng)。而TNC的優(yōu)勢(shì)在于其開(kāi)放性，目前TNC規(guī)范已經(jīng)發(fā)展到1.1版本，TCG組織的成員都可以對(duì)其提出自己的意見(jiàn)，并且由于技術(shù)的開(kāi)放，所以國(guó)內(nèi)廠商也可以自主研發(fā)相關(guān)產(chǎn)品，例如之前的TPM一樣，可以擁有自主知識(shí)產(chǎn)權(quán)。

NAC技術(shù)

網(wǎng)絡(luò)接入控制（Network Access Control，簡(jiǎn)稱(chēng)NAC）是由思科（Cisco）主導(dǎo)的產(chǎn)業(yè)級(jí)協(xié)同研究成果，NAC可以協(xié)助保證每一個(gè)終端在進(jìn)入網(wǎng)絡(luò)前均符合網(wǎng)絡(luò)安全策略。NAC技術(shù)可以提供保證端點(diǎn)設(shè)備在接入網(wǎng)絡(luò)前完全遵循本地網(wǎng)絡(luò)內(nèi)需要的安全策略，并可保證不符合安全策略的設(shè)備無(wú)法接入該網(wǎng)絡(luò)、并設(shè)置可補(bǔ)救的隔離區(qū)供端點(diǎn)修正網(wǎng)絡(luò)策略，或者限制其可訪問(wèn)的資源。

NAP技術(shù)

網(wǎng)絡(luò)訪問(wèn)保護(hù)NAP技術(shù)(Network Access Protection)是為微軟下一代操作系統(tǒng)Windows Vista和Windows Server Longhorn設(shè)計(jì)的新的一套操作系統(tǒng)組件，它可以在訪問(wèn)私有網(wǎng)絡(luò)時(shí)提供系統(tǒng)平臺(tái)健康校驗(yàn)。NAP平臺(tái)提供了一套完整性校驗(yàn)的方法來(lái)判斷接入網(wǎng)絡(luò)的客戶(hù)端的健康狀態(tài)，對(duì)不符合健康策略需求的客戶(hù)端限制其網(wǎng)絡(luò)訪問(wèn)權(quán)限。為了校驗(yàn)訪問(wèn)網(wǎng)絡(luò)的主機(jī)的健康，網(wǎng)絡(luò)架構(gòu)需要提供如下功能性領(lǐng)域：健康策略驗(yàn)證：判斷計(jì)算機(jī)是否適應(yīng)健康策略需求。網(wǎng)絡(luò)訪問(wèn)限制：限制不適應(yīng)策略的計(jì)算機(jī)訪問(wèn)。自動(dòng)補(bǔ)救：為不適應(yīng)策略的計(jì)算機(jī)提供必要的升級(jí)，使其適應(yīng)健康策略。

動(dòng)態(tài)適應(yīng)：自動(dòng)升級(jí)適應(yīng)策略的計(jì)算機(jī)以使其可以跟上健康策略的更新。

TNC技術(shù)

可信網(wǎng)絡(luò)連接技術(shù)TNC（Trusted Network Connection）是建立在基于主機(jī)的可信計(jì)算技術(shù)之上的，其主要目的在于通過(guò)使用可信主機(jī)提供的終端技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制的協(xié)同工作。又因?yàn)橥暾孕ｒ?yàn)被終端作為安全狀態(tài)的證明技術(shù)，所以用TNC的權(quán)限控制策略可以估算目標(biāo)網(wǎng)絡(luò)的終

端適應(yīng)度。TNC網(wǎng)絡(luò)構(gòu)架會(huì)結(jié)合已存在的網(wǎng)絡(luò)訪問(wèn)控制策略（例如802.1x、IKE、Radius協(xié)議）來(lái)實(shí)現(xiàn)訪問(wèn)控制功能。TNC構(gòu)架的主要目的是通過(guò)提供一個(gè)由多種協(xié)議規(guī)范組成的框架來(lái)實(shí)現(xiàn)一套多元的網(wǎng)絡(luò)標(biāo)準(zhǔn)，它提供如下功能：平臺(tái)認(rèn)證：用于驗(yàn)證網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者身份，以及平臺(tái)的完整性狀態(tài)。

終端策略授權(quán)：為終端的狀態(tài)建立一個(gè)可信級(jí)別，例如：確認(rèn)應(yīng)用程序的存在性、狀態(tài)、升級(jí)情況，升級(jí)防病毒軟件和IDS的規(guī)則庫(kù)的版本，終端操作系統(tǒng)和應(yīng)用程序的補(bǔ)丁級(jí)別等。從而使終端被給予一個(gè)可以登錄網(wǎng)絡(luò)的權(quán)限策略從而獲得在一定權(quán)限控制下的網(wǎng)絡(luò)訪問(wèn)權(quán)。訪問(wèn)策略：確認(rèn)終端機(jī)器以及其用戶(hù)的權(quán)限，并在其連接網(wǎng)絡(luò)以前建立可信級(jí)別，平衡已存在的標(biāo)準(zhǔn)、產(chǎn)品及技術(shù)。評(píng)估、隔離及補(bǔ)救：確認(rèn)不符合可信策略需求的終端機(jī)能被隔離在可信網(wǎng)絡(luò)之外，如果可能執(zhí)行適合的補(bǔ)救措施。

對(duì)比分析

以上可以看出，NAC、NAP和TNC技術(shù)的目標(biāo)和實(shí)現(xiàn)技術(shù)具有很大相似性。首先，其目標(biāo)都是保證主機(jī)的安全接入，即當(dāng)PC或筆記本接入本地網(wǎng)絡(luò)時(shí)，通過(guò)特殊的協(xié)議對(duì)其進(jìn)行校驗(yàn)，除了驗(yàn)證用戶(hù)名密碼、用戶(hù)證書(shū)等用戶(hù)身份信息外，還驗(yàn)證終端是否符合管理員制定好的安全策略，如：操作系統(tǒng)補(bǔ)丁、病毒庫(kù)版本等信息。并各自制定了自己的隔離策略，通過(guò)接入設(shè)備（防火墻、交換機(jī)、路由器等），強(qiáng)制將不符合要求的終端設(shè)備隔離在一個(gè)指定區(qū)域，只允許其訪問(wèn)補(bǔ)丁服務(wù)器進(jìn)行下載更新。在終端主機(jī)沒(méi)有安全問(wèn)題后，再允許其接入被保護(hù)的網(wǎng)絡(luò)。其次，三種技術(shù)的實(shí)現(xiàn)思路也比較相似。都分為客戶(hù)端、策略服務(wù)以及接入控制三個(gè)主要層次。NAC分為：Hosts Attempting Network Access、Network Access Device、Police Decision Points三層；NAP分為：NAP客戶(hù)端、NAP服務(wù)器端、NAP接入組件（DHCP、VPN、IPsec、802.1x）；TNC分為AR、PEP、PDP三層。同時(shí)，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同的偏重性。NAC由于是CISCO發(fā)布的，所以其構(gòu)架中接入設(shè)備的位置占了很大的例，或者說(shuō)NAC自身就是圍繞著思科的設(shè)備而設(shè)計(jì)的；NAP則偏重在終端agent以及接入服務(wù)組件），這與微軟自身的技術(shù)背景也有很大的關(guān)聯(lián)；而TNC技術(shù)則重點(diǎn)放在與TPM綁定的主機(jī)身份認(rèn)證與主機(jī)完整性驗(yàn)證，或者說(shuō)TNC的目的是給TCG發(fā)布的TPM提供一種應(yīng)用支持。從發(fā)展上來(lái)說(shuō)，目前NAC與NAP已經(jīng)結(jié)為同盟，即網(wǎng)絡(luò)接入設(shè)備上采用思科的NAC技術(shù)，而主機(jī)客戶(hù)端上則采用微軟的NAP技術(shù)，從而達(dá)到了兩者

互補(bǔ)的局面，有利于其進(jìn)一步發(fā)展。而TNC則是由TCG組織成員Intel、HP、DELL、Funk等企業(yè)提出的，目標(biāo)是解決可信接入問(wèn)題，其特點(diǎn)是只制定詳細(xì)規(guī)范，技術(shù)細(xì)節(jié)公開(kāi)，各個(gè)廠家都可以自行設(shè)計(jì)開(kāi)發(fā)兼容TNC的產(chǎn)品，并可以兼容安全芯片TPM技術(shù)。