安全接入技術(shù)能夠保證用戶的網(wǎng)絡不被惡意攻擊，特別是企業(yè)的網(wǎng)絡系統(tǒng)，一旦癱瘓，后果想不堪設(shè)想，于是新興的安全接入技術(shù)隨踵而來，下面就給大家介紹幾種安全接入技術(shù)，希望對大家有所幫助。當傳統(tǒng)的終端安全技術(shù)(Antivirus、Desktop Firewall…etc.)努力保護被攻擊的終端時，它們對于保障企業(yè)網(wǎng)絡的可使用性卻無能為力，更不要說能確保企業(yè)的彈性與損害恢復能力。

針對于此，目前出現(xiàn)了幾種安全接入技術(shù)，這些技術(shù)的主要思路是從終端著手，通過管理員指定的安全策略，對接入私有網(wǎng)絡的主機進行安全性檢測，自動拒絕不安全的主機接入保護網(wǎng)絡直到這些主機符合網(wǎng)絡內(nèi)的安全策略為止。目前具有代表性的技術(shù)包括:思科的網(wǎng)絡接入控制NAC技術(shù)，微軟的網(wǎng)絡接入保護技術(shù)NAP以及TCG組織的可信網(wǎng)絡連接TNC技術(shù)等。

綜上所述，NAC和NAP的優(yōu)勢在于其背后擁有思科、微軟這樣的網(wǎng)絡與操作系統(tǒng)的巨頭，這些技術(shù)將隨著其下一代產(chǎn)品同時綁定發(fā)布。NAC目前已經(jīng)隨思科的新一代網(wǎng)絡設(shè)備一起，在2004年開始推向市場，而NAP則計劃于2006年年底，隨微軟的Windows Vista操作系統(tǒng)一起，推向市場。而TNC的優(yōu)勢在于其開放性，目前TNC規(guī)范已經(jīng)發(fā)展到1.1版本，TCG組織的成員都可以對其提出自己的意見，并且由于技術(shù)的開放，所以國內(nèi)廠商也可以自主研發(fā)相關(guān)產(chǎn)品，例如之前的TPM一樣，可以擁有自主知識產(chǎn)權(quán)。

NAC技術(shù)
網(wǎng)絡接入控制(Network Access Control，簡稱NAC)是由思科(Cisco)主導的產(chǎn)業(yè)級協(xié)同研究成果，NAC可以協(xié)助保證每一個終端在進入網(wǎng)絡前均符合網(wǎng)絡安全策略。NAC技術(shù)可以提供保證端點設(shè)備在接入網(wǎng)絡前完全遵循本地網(wǎng)絡內(nèi)需要的安全策略，并可保證不符合安全策略的設(shè)備無法接入該網(wǎng)絡、并設(shè)置可補救的隔離區(qū)供端點修正網(wǎng)絡策略，或者限制其可訪問的資源。

NAP技術(shù)
網(wǎng)絡訪問保護NAP技術(shù)(Network Access Protection)是為微軟下一代操作系統(tǒng)Windows Vista和Windows Server Longhorn設(shè)計的新的一套操作系統(tǒng)組件，它可以在訪問私有網(wǎng)絡時提供系統(tǒng)平臺健康校驗。NAP平臺提供了一套完整性校驗的方法來判斷接入網(wǎng)絡的客戶端的健康狀態(tài)，對不符合健康策略需求的客戶端限制其網(wǎng)絡訪問權(quán)限。

為了校驗訪問網(wǎng)絡的主機的健康，網(wǎng)絡架構(gòu)需要提供如下功能性領(lǐng)域:
健康策略驗證:判斷計算機是否適應健康策略需求；
網(wǎng)絡訪問限制:限制不適應策略的計算機訪問；
自動補救:為不適應策略的計算機提供必要的升級，使其適應健康策略；
動態(tài)適應:自動升級適應策略的計算機以使其可以跟上健康策略的更新。

TNC技術(shù)
可信網(wǎng)絡連接技術(shù)TNC(Trusted Network Connection)是建立在基于主機的可信計算技術(shù)之上的，其主要目的在于通過使用可信主機提供的終端技術(shù)，實現(xiàn)網(wǎng)絡訪問控制的協(xié)同工作。又因為完整性校驗被終端作為安全狀態(tài)的證明技術(shù)，所以用TNC的權(quán)限控制策略可以估算目標網(wǎng)絡的終端適應度。TNC網(wǎng)絡構(gòu)架會結(jié)合已存在的網(wǎng)絡訪問控制策略(例如802.1x、IKE、Radius協(xié)議)來實現(xiàn)訪問控制功能。

TNC構(gòu)架的主要目的是通過提供一個由多種協(xié)議規(guī)范組成的框架來實現(xiàn)一套多元的網(wǎng)絡標準，它提供如下功能:
平臺認證:用于驗證網(wǎng)絡訪問請求者身份，以及平臺的完整性狀態(tài)；
終端策略授權(quán):為終端的狀態(tài)建立一個可信級別，例如:確認應用程序的存在性、狀態(tài)、升級情況，升級防病毒軟件和IDS的規(guī)則庫的版本，終端操作系統(tǒng)和應用程序的補丁級別等，從而使終端被給予一個可以登錄網(wǎng)絡的權(quán)限策略從而獲得在一定權(quán)限控制下的網(wǎng)絡訪問權(quán)；
訪問策略:確認終端機器以及其用戶的權(quán)限，并在其連接網(wǎng)絡以前建立可信級別，平衡已存在的標準、產(chǎn)品及技術(shù)；
評估、隔離及補救:確認不符合可信策略需求的終端機能被隔離在可信網(wǎng)絡之外，如果可能執(zhí)行適合的補救措施。

對比分析
以上可以看出，NAC、NAP和TNC技術(shù)的目標和實現(xiàn)技術(shù)具有很大相似性。
首先，其目標都是保證主機的安全接入技術(shù)，即當PC或筆記本接入本地網(wǎng)絡時，通過特殊的協(xié)議對其進行校驗，除了驗證用戶名密碼、用戶證書等用戶身份信息外，還驗證終端是否符合管理員制定好的安全策略，如:操作系統(tǒng)補丁、病毒庫版本等信息。并各自制定了自己的隔離策略，通過安全接入技術(shù)設(shè)備(防火墻、交換機、路由器等)，強制將不符合要求的終端設(shè)備隔離在一個指定區(qū)域，只允許其訪問補丁服務器進行下載更新。在驗證終端主機沒有安全問題后，再允許其接入被保護的網(wǎng)絡。

其次，三種技術(shù)的實現(xiàn)思路也比較相似。都分為客戶端、策略服務以及安全接入技術(shù)控制三個主要層次。NAC分為:Hosts Attempting Network Access、Network Access Device、Police Decision Points三層;NAP分為:NAP客戶端、NAP服務器端、NAP接入組件(、VPN、IPsec、802.1x);TNC分為AR、PEP、PDP三層。

同時，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同的偏重性。NAC由于是CISCO發(fā)布的，所以其構(gòu)架中安全接入設(shè)備的位置占了很大的比例，或者說NAC自身就是圍繞著思科的設(shè)備而設(shè)計的;NAP則偏重在終端agent以及接入服務(VPN、DHCP、802.1x、IPsec組件)技術(shù)，這與微軟自身的技術(shù)背景也有很大的關(guān)聯(lián);而TNC技術(shù)則重點放在與TPM綁定的主機身份認證與主機完整性驗證，或者說TNC的目的是給TCG發(fā)布的TPM提供一種應用支持。