可信网络连接技术指南：基于TPM的设备管理

"Architects-Guide-Comply-to-Connect-Using-TNC-Technology.pdf" 本文档是可信计算组织（Trusted Computing Group, TCG）发布的一份指南，主要介绍如何利用基于可信平台模块（Trusted Platform Module, TPM）的可信网络连接（Trusted Network Connect, TNC）技术来实现设备接入网络的合规性管理。TNC技术旨在为企业提供一种标准方法，用于管理和控制多设备接入公司网络，无论设备位于内部还是外部，只要能够验证设备的安全状态和健康状况。 **执行摘要与行动要点** 1. **合规连接（Comply to Connect）**是一种基于标准的方法，它允许企业根据设备和用户的状态，设定细粒度的访问策略。这种策略不仅考虑了是否允许接入，还考虑了接入的程度，以确保网络的安全性。 2. **持续监控**：TNC技术使得组织可以对设备安全进行持续监控，确保设备在接入网络时符合预设的策略，这包括对设备的健康状态、操作系统完整性、恶意软件检测等进行实时检查。 3. **政策定义**：组织可以使用TNC解决方案定义一系列政策，这些政策可以针对不同的资源设定不同的访问权限，确保只有符合安全标准的设备才能访问敏感信息。 4. **商业与开源支持**：TNC工作小组的技术得到了商业和开源开发者的广泛采用，他们构建的产品能够很好地支持实施持续设备安全监控，同时保持移动性和灵活性。 5. **移动性和灵活性**：TNC技术不仅强调安全性，也关注用户体验，允许用户在保持安全的同时，能够在不同设备和位置无缝地接入网络。 **TNC技术详解** TNC技术的核心是TPM，这是一个硬件安全模块，它存储并保护密钥、证书和其他敏感信息，以确保设备的初始状态和运行过程中的完整性。TNC通过以下组件实现其功能： 1. **TPM模块**：提供硬件级别的安全基础，用于生成和存储密钥，以及执行安全操作，如验证系统启动过程的完整性。 2. **网络访问控制器（Network Access Controller, NAC）**：负责执行接入策略，决定设备是否可以接入网络，以及允许的访问级别。 3. **身份验证和健康检查代理**：运行在设备上，与NAC通信，提供设备状态信息，如操作系统版本、安全补丁级别和潜在的恶意活动。 4. **管理框架**：允许管理员配置和管理TNC策略，定义哪些设备和用户可以接入网络，以及它们的访问权限。 5. **互操作性**：TNC标准确保不同供应商的解决方案能够协同工作，提高整个网络环境的安全性。 通过TNC技术，企业可以建立一个动态的、适应性的安全架构，能够应对不断变化的威胁环境，并确保网络资源只被安全的设备和用户访问。同时，由于TNC是基于标准的，因此可以降低厂商锁定的风险，提高系统的可扩展性和兼容性。