資訊安全管理 通路控制技術

資訊安全管理 通路控制技術

通路控制技術，指防止對任何資源進行未授權的通路，進而使計算機系統在合法的範圍内使用。意指使用者身份及其所歸屬的某項定義組來限制使用者對某些資訊項的通路，或限制對某些控制功能的使用的一種技術，如UniNAC網絡準入控制系統的原理就是基于此技術之上。

通路控制通常用于系統管理者控制使用者對伺服器、目錄、檔案等網絡資源的通路。

中文名通路控制技術要 素主體、客體功能包括合法使用者通路受權保護網絡資源層 次實體通路控制和邏輯通路控制

通路控制的概念及要素

通路控制（Access Control）指系統對使用者身份及其所屬的預先定義的政策組限制其使用資料資源能力的手段。通常用于系統管理者控制使用者對伺服器、目錄、檔案等網絡資源的通路。通路控制是系統保密性、完整性、可用性和合法使用性的重要基礎，是網絡安全防範和資源保護的關鍵政策之一，也是主體依據某些控制政策或權限對客體本身或其資源進行的不同授權通路。

通路控制的主要目的是限制通路主體對客體的通路，進而保障資料資源在合法範圍内得以有效使用和管理。為了達到上述目的，通路控制需要完成兩個任務：識别和确認通路系統的使用者、決定該使用者可以對某一系統資源進行何種類型的通路。

通路控制包括三個要素：主體、客體和控制政策。

（1）主體S（Subject）。是指提出通路資源具體請求。是某一操作動作的發起者，但不一定是動作的執行者，可能是某一使用者，也可以是使用者啟動的程序、服務和裝置等。

（2）客體O（Object）。是指被通路資源的實體。所有可以被操作的資訊、資源、對象都可以是客體。客體可以是資訊、檔案、記錄等集合體，也可以是網絡上硬體設施、無限通信中的終端，甚至可以包含另外一個客體。

（3）控制政策A（Access Control Policy）。是主體對客體的相關通路規則集合，即屬性集合。通路政策展現了一種授權行為，也是客體對主體某些操作行為的預設。

通路控制的功能及原理

通路控制的主要功能包括：保證合法使用者通路受權保護的網絡資源，防止非法的主體進入受保護的網絡資源，或防止合法使用者對受保護的網絡資源進行非授權的通路。通路控制首先需要對使用者身份的合法性進行驗證，同時利用控制政策進行選用和管理工作。當使用者身份和通路權限驗證之後，還需要對越權操作進行監控。是以，通路控制的内容包括認證、控制政策實作和安全審計。

（1）認證。包括主體對客體的識别及客體對主體的檢驗确認。

（2）控制政策。通過合理地設定控制規則集合，確定使用者對資訊資源在授權範圍内的合法使用。既要確定授權使用者的合理使用，又要防止非法使用者侵權進入系統，使重要資訊資源洩露。同時對合法使用者，也不能越權行使權限以外的功能及通路範圍。

（3）安全審計。系統可以自動根據使用者的通路權限，對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證，并做出相應評價與審計。

通路控制可以分為兩個層次：實體通路控制和邏輯通路控制。實體通路控制如符合标準規定的使用者、裝置、門、鎖和安全環境等方面的要求，而邏輯通路控制則是在資料、應用、系統、網絡和權限等層面進行實作的。對銀行、證券等重要金融機構的網站，資訊安全重點關注的是二者兼顧，實體通路控制則主要由其他類型的安全部門負責。

通路控制的類型

主要的通路控制類型有3種模式：自主通路控制（DAC）、強制通路控制（MAC）和基于角色通路控制（RBAC）。

1）自主通路控制

自主通路控制（Discretionary Access Control，DAC）是一種接入控制服務，通過執行基于系統實體身份及其到系統資源的接入授權。包括在檔案，檔案夾和共享資源中設定許可。使用者有權對自身所建立的檔案、資料表等通路對象進行通路，并可将其通路權授予其他使用者或收回其通路權限。允許通路對象的屬主制定針對該對象通路的控制政策，通常，可通過通路控制清單來限定針對客體可執行的操作。

①每個客體有一個所有者，可按照各自意願将客體通路控制權限授予其他主體。

②各客體都擁有一個限定主體對其通路權限的通路控制清單（ACL）。

③每次通路時都以基于通路控制清單檢查使用者标志，實作對其通路權限控制。

④DAC的有效性依賴于資源的所有者對安全政策的正确了解和有效落實。

DAC提供了适合多種系統環境的靈活友善的資料通路方式，是應用最廣泛的通路控制政策。然而，它所提供的安全性可被非法使用者繞過，授權使用者在獲得通路某資源的權限後，可能傳送給其他使用者。主要是在自由通路政策中，使用者獲得檔案通路後，若不限制對該檔案資訊的操作，即沒有限制資料資訊的分發。是以DAC提供的安全性相對較低，無法對系統資源提供嚴格保護。

2）強制通路控制

強制通路控制（MAC）是系統強制主體服從通路控制政策。是由系統對使用者所建立的對象，按照規定的規則控制使用者權限及操作對象的通路。主要特征是對所有主體及其所控制的程序、檔案、段、裝置等客體實施強制通路控制。在MAC中，每個使用者及檔案都被賦予一定的安全級别，隻有系統管理者才可确定使用者群組的通路權限，使用者不能改變自身或任何客體的安全級别。系統通過比較使用者和通路檔案的安全級别，決定使用者是否可以通路該檔案。此外，MAC不允許通過程序生成共享檔案，以通過共享檔案将資訊在程序中傳遞。MAC可通過使用敏感标簽對所有使用者和資源強制執行安全政策，一般采用3種方法：限制通路控制、過程控制和系統限制。MAC常用于多級安全軍事系統，對專用或簡單系統較有效，但對通用或大型系統并不太有效。

MAC的安全級别有多種定義方式，常用的分為4級：絕密級（Top Secret）、秘密級（Secret）、機密級（Confidential）和無級别級（Unclas sified），其中T>S>C>U。所有系統中的主體（使用者，程序）和客體（檔案，資料）都配置設定安全标簽，以辨別安全等級。

通常MAC與DAC結合使用，并實施一些附加的、更強的通路限制。一個主體隻有通過自主與強制性通路限制檢查後，才能通路其客體。使用者可利用DAC來防範其他使用者對自己客體的攻擊，由于使用者不能直接改變強制通路控制屬性，是以強制通路控制提供了一個不可逾越的、更強的安全保護層，以防範偶然或故意地濫用DAC。

3）基于角色的通路控制

角色（Role）是一定數量的權限的集合。指完成一項任務必須通路的資源及相應操作權限的集合。角色作為一個使用者與權限的代理層，表示為權限和使用者的關系，所有的授權應該給予角色而不是直接給使用者或使用者組。

基于角色的通路控制（Role-Based Access Control，RBAC）是通過對角色的通路所進行的控制。使權限與角色相關聯，使用者通過成為适當角色的成員而得到其角色的權限。可極大地簡化權限管理。為了完成某項工作建立角色，使用者可依其責任和資格分派相應的角色，角色可依新需求和系統合并賦予新權限，而權限也可根據需要從某角色中收回。減小了授權管理的複雜性，降低管理開銷，提高企業安全政策的靈活性。

RBAC模型的授權管理方法，主要有3種：

①根據任務需要定義具體不同的角色。

②為不同角色配置設定資源和操作權限。

③給一個使用者組（Group，權限配置設定的機關與載體）指定一個角色。

RBAC支援三個著名的安全原則：最小權限原則、責任分離原則和資料抽象原則。前者可将其角色配置成完成任務所需要的最小權限集。第二個原則可通過調用互相獨立互斥的角色共同完成特殊任務，如核對賬目等。後者可通過權限的抽象控制一些操作，如财務操作可用借款、存款等抽象權限，而不用作業系統提供的典型的讀、寫和執行權限。這些原則需要通過RBAC各部件的具體配置才可實作。

通路控制機制

通路控制機制是檢測和防止系統未授權通路，并對保護資源所采取的各種措施。是在檔案系統中廣泛應用的安全防護方法，一般在作業系統的控制下，按照事先确定的規則決定是否允許主體通路客體，貫穿于系統全過程。

通路控制矩陣（Access Contro1 Matrix）是最初實作通路控制機制的概念模型，以二維矩陣規定主體和客體間的通路權限。其行表示主體的通路權限屬性，清單示客體的通路權限屬性，矩陣格表示所在行的主體對所在列的客體的通路授權，空格為未授權，Y為有操作授權。以確定系統操作按此矩陣授權進行通路。通過引用監控器協調客體對主體通路，實作認證與通路控制的分離。在實際應用中，對于較大系統，由于通路控制矩陣将變得非常大，其中許多空格，造成較大的存儲空間浪費，是以，較少利用矩陣方式，主要采用以下2種方法。

1）通路控制清單

通路控制清單（Access Control List，ACL）是應用在路由器接口的指令清單，用于路由器利用源位址、目的位址、端口号等的特定訓示條件對資料包的抉擇。是以檔案為中心建立通路權限表，表中記載了該檔案的通路使用者名和權隸屬關系。利用ACL，容易判斷出對特定客體的授權通路，可通路的主體和通路權限等。當将該客體的ACL置為空，可撤消特定客體的授權通路。

基于ACL的通路控制政策簡單實用。在查詢特定主體通路客體時，雖然需要周遊查詢所有客體的ACL，耗費較多資源，但仍是一種成熟且有效的通路控制方法。許多通用的作業系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式，以少量工作組的形式，而不許單個個體出現，可極大地縮減清單大小，增加系統效率。

2）能力關系表

能力關系表（Capabilities List）是以使用者為中心建立通路權限表。與ACL相反，表中規定了該使用者可通路的檔案名及權限，利用此表可友善地查詢一個主體的所有授權。相反，檢索具有授權通路特定客體的所有主體，則需查遍所有主體的能力關系表。

單點登入的通路管理

通過介紹單點登入SSO的基本概念和優勢，主要優點是，可集中存儲使用者身份資訊，使用者隻需一次向伺服器驗證身份，即可使用多個系統的資源，無需再向各客戶機驗證身份，可提高網絡使用者的效率，減少網絡操作的成本，增強網絡安全性。根據登入的應用類型不同，可将SSO分為3種類型。

1）對桌面資源的統一通路管理

對桌面資源的通路管理，包括兩個方面：

①登入Windows後統一通路Microsoft應用資源。Windows本身就是一個“SSO”系統。随着.NET技術的發展，“Microsoft SSO”将成為現實。通過Active Directory的使用者組政策并結合SMS工具，可實作桌面政策的統一制定和統一管理。

②登入Windows後通路其他應用資源。根據Microsoft的軟體政策，Windows并不主動提供與其他系統的直接連接配接。現在，已經有第三方産品提供上述功能，利用Active Directory存儲其他應用的使用者資訊，間接實作對這些應用的SSO服務。

2）Web單點登入

由于Web技術體系架構便捷，對Web資源的統一通路管理易于實作。在目前的通路管理産品中，Web通路管理産品最為成熟。Web通路管理系統一般與企業資訊門戶結合使用，提供完整的Web SSO解決方案。

3）傳統C/S 結構應用的統一通路管理

在傳統C/S 結構應用上，實作管理前台的統一或統一入口是關鍵。采用Web用戶端作為前台是企業最為常見的一種解決方案。

在背景內建方面，可以利用基于內建平台的安全服務元件或不基于內建平台的安全服務API，通過調用資訊安全基礎設施提供的通路管理服務，實作統一通路管理。

在不同的應用系統之間，同時傳遞身份認證和授權資訊是傳統C/S結構的統一通路管理系統面臨的另一項任務。采用內建平台進行認證和授權資訊的傳遞是目前發展的一種趨勢。可對C/S結構應用的統一通路管理結合資訊總線（EAI）平台建設一同進行。

安全政策

通路控制的安全政策是指在某個自治區域内（屬于某個組織的一系列處理和通信資源範疇），用于所有與安全相關活動的一套通路控制規則。由此安全區域中的安全權力機建構立，并由此安全控制機構來描述和實作。通路控制的安全政策有三種類型：基于身份的安全政策、基于規則的安全政策和綜合通路控制方式。

安全政策實施原則

通路控制安全政策原則集中在主體、客體和安全控制規則集三者之間的關系。

（1）最小特權原則。在主體執行操作時，按照主體所需權利的最小化原則配置設定給主體權力。優點是最大限度地限制了主體實施授權行為，可避免來自突發事件、操作錯誤和未授權主體等意外情況的危險。為了達到一定目的，主體必須執行一定操作，但隻能做被允許的操作，其他操作除外。這是抑制特洛伊木馬和實作可靠程式的基本措施。

（2）最小洩露原則。主體執行任務時，按其所需最小資訊配置設定權限，以防洩密。

（3）多級安全政策。主體和客體之間的資料流向和權限控制，按照安全級别的絕密（TS）、秘密（S）、機密（C）、限制（RS）和無級别（U）5級來劃分。其優點是避免敏感資訊擴散。具有安全級别的資訊資源，隻有高于安全級别的主體才可通路。

在通路控制實作方面，實作的安全政策包括8個方面：入網通路控制、網絡權限限制、目錄級安全控制、屬性安全控制、網絡伺服器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制和防火牆控制。

基于身份和規則的安全政策

授權行為是建立身份安全政策和規則安全政策的基礎，兩種安全政策為：

1）基于身份的安全政策

主要是過濾主體對資料或資源的通路。隻有通過認證的主體才可以正常使用客體的資源。這種安全政策包括基于個人的安全政策和基于組的安全政策。

（1）基于個人的安全政策。是以使用者個人為中心建立的政策，主要由一些控制清單組成。這些清單針對特定的客體，限定了不同使用者所能實作的不同安全政策的操作行為。

（2）基于組的安全政策。基于個人政策的發展與擴充，主要指系統對一些使用者使用同樣的通路控制規則，通路同樣的客體。

2）基于規則的安全政策

在基于規則的安全政策系統中，所有資料和資源都标注了安全标記，使用者的活動程序與其原發者具有相同的安全标記。系統通過比較使用者的安全級别和客體資源的安全級别，判斷是否允許使用者進行通路。這種安全政策一般具有依賴性與敏感性。

綜合通路控制政策

綜合通路控制政策（HAC）繼承和吸取了多種主流通路控制技術的優點，有效地解決了資訊安全領域的通路控制問題，保護了資料的保密性和完整性，保證授權主體能通路客體和拒絕非授權通路。HAC具有良好的靈活性、可維護性、可管理性、更細粒度的通路控制性和更高的安全性，為資訊系統設計人員和開發人員提供了通路控制安全功能的解決方案。綜合通路控制政策主要包括：

1）入網通路控制

入網通路控制是網絡通路的第一層通路控制。對使用者可規定所能登入到的伺服器及擷取的網絡資源，控制準許使用者入網的時間和登入入網的工作站點。使用者的入網通路控制分為使用者名和密碼的識别與驗證、使用者賬号的預設限制檢查。該使用者若有任何一個環節檢查未通過，就無法登入網絡進行通路。

2）網絡的權限控制

網絡的權限控制是防止網絡非法操作而采取的一種安全保護措施。使用者對網絡資源的通路權限通常用一個通路控制清單來描述。

從使用者的角度，網絡的權限控制可分為以下3類使用者：

（1）特殊使用者。具有系統管理權限的系統管理者等。

（2）一般使用者。系統管理者根據實際需要而配置設定到一定操作權限的使用者。

（3）審計使用者。專門負責審計網絡的安全控制與資源使用情況的人員。

3）目錄級安全控制

目錄級安全控制主要是為了控制使用者對目錄、檔案和裝置的通路，或指定對目錄下的子目錄和檔案的使用權限。使用者在目錄一級制定的權限對所有目錄下的檔案仍然有效，還可進一步指定子目錄的權限。在網絡和作業系統中，常見的目錄和檔案通路權限有：系統管理者權限（Supervisor）、讀權限（Read）、寫權限（Write）、建立權限（Create）、删除權限（Erase）、修改權限（Modify）、檔案查找權限（File Scan）、控制權限（Access Control）等。一個網絡系統管理者應為使用者配置設定适當的通路權限，以控制使用者對伺服器資源的通路，進一步強化網絡和伺服器的安全。

4）屬性安全控制

屬性安全控制可将特定的屬性與網絡伺服器的檔案及目錄網絡裝置相關聯。在權限安全的基礎上，對屬性安全提供更進一步的安全控制。網絡上的資源都應先标示其安全屬性，将使用者對應網絡資源的通路權限存入通路控制清單中，記錄使用者對網絡資源的通路能力，以便進行通路控制。

屬性配置的權限包括：向某個檔案寫資料、複制一個檔案、删除目錄或檔案、檢視目錄和檔案、執行檔案、隐含檔案、共享、系統屬性等。安全屬性可以保護重要的目錄和檔案，防止使用者越權對目錄和檔案的檢視、删除和修改等。

5）網絡伺服器安全控制

網絡伺服器安全控制允許通過伺服器控制台執行的安全控制操作包括：使用者利用控制台裝載和解除安裝操作子產品、安裝和删除軟體等。操作網絡伺服器的安全控制還包括設定密碼鎖定伺服器控制台，主要防止非法使用者修改、删除重要資訊。另外，系統管理者還可通過設定伺服器的登入時間限制、非法通路者檢測，以及關閉的時間間隔等措施，對網絡伺服器進行多方位地安全控制。

6）網絡監控和鎖定控制

在網絡系統中，通常伺服器自動記錄使用者對網絡資源的通路，如有非法的網絡通路，伺服器将以圖形、文字或聲音等形式向網絡管理者報警，以便引起警覺進行審查。對試圖登入網絡者，網絡伺服器将自動記錄企圖登入網絡的次數，當非法通路的次數達到設定值時，就會将該使用者的賬戶自動鎖定并進行記載。

7）網絡端口和結點的安全控制

網絡中伺服器的端口常用自動回複器、靜默數據機等安全設施進行保護，并以加密的形式來識别結點的身份。自動回複器主要用于防範假冒合法使用者，靜默數據機用于防範黑客利用自動撥号程式進行網絡攻擊。還應經常對伺服器端和使用者端進行安全控制，如通過驗證器檢測使用者真實身份，然後，使用者端和伺服器再進行互相驗證。

AAA技術概述

在資訊化社會新的網絡應用環境下，虛拟專用網（VPN）、遠端撥号、移動辦公室等網絡移動接入應用非常廣泛，傳統使用者身份認證和通路控制機制已經無法滿足廣大使用者需求，由此産生了AAA認證授權機制。

AAA認證系統的功能，主要包括以下3個部分：

（1）認證：經過對網絡使用者身份進行識别後，才允許遠端登入通路網絡資源。

（2）鑒權：為遠端通路控制提供方法，如一次性授權或給予特定指令或服務的鑒權。

（3）審計：主要用于網絡計費、審計和制作報表。

AAA一般運作于網絡接入伺服器，提供一個有力的認證、鑒權、審計資訊采集和配置系統。網絡管理者可根據需要選用适合需要的具體網絡協定及認證系統。

遠端鑒權撥入使用者服務

遠端鑒權撥入使用者服務（Remote Authentication Dial In User Service，RADIUS）主要用于管理遠端使用者的網絡登入。主要基于C/S架構，用戶端最初是NAS（Net Access Server）伺服器，現在任何運作RADIUS用戶端軟體的計算機都可成為其用戶端。RADIUS協定認證機制靈活，可采用PAP、CHAP或Unix登入認證等多種方式。此協定規定了網絡接入伺服器與RADIUS伺服器之間的消息格式。此伺服器接受使用者的連接配接請求，根據其賬戶和密碼完成驗證後，将使用者所需的配置資訊傳回網絡接入伺服器。該伺服器同時根據使用者的動作進行審計并記錄其計費資訊。

1）RADIUS協定主要工作過程

（1）遠端使用者通過PSTN網絡連接配接到接入伺服器，并将登入資訊發送到其伺服器；

（2）RADIUS伺服器根據使用者輸入的賬戶和密碼對使用者進行身份認證，并判斷是否允許使用者接入。請求準許後，其伺服器還要對使用者進行相應的鑒權；

（3）鑒權完成後，伺服器将響應資訊傳遞給網絡接入伺服器和計費伺服器，網絡接入伺服器根據目前配置來決定針對使用者的相應政策。

RADIUS協定的認證端口号為1812或1645，計費端口号為1813或1646。RADIUS通過統一的使用者資料庫存儲使用者資訊進行驗證與授權工作。

2）RADIUS的加密方法

對于重要的資料包和使用者密碼，RADIUS協定可使用MD5算法對其進行加密，在其用戶端（NAS）和伺服器端（RADIUS Server）分别存儲一個密鑰，利用此密鑰對資料進行算法加密處理，密鑰不宜在網絡上傳送。

3）RADIUS的重傳機制

RADIUS協定規定了重傳機制。如果NAS向某個RADIUS伺服器送出請求沒有收到傳回資訊，則可要求備份伺服器重傳。由于有多個備份伺服器，是以NAS進行重傳時，可采用輪詢方法。如果備份伺服器的密鑰與以前密鑰不同，則需重新進行認證。

終端通路控制系統

終端通路控制（Terminal Access Controller Access Control System，TACACS）的功能是通過一個或幾個中心伺服器為網絡裝置提供通路控制服務。與上述RADIUS差別是，TACACS是Cisco專用的協定，具有獨立的身份認證、鑒權和審計等功能。

準入控制技術

企事業機構網絡系統，在安裝防火牆、漏洞掃描系統、入侵檢測系統和病毒檢測軟體等安全設施後，仍可能遭受惡意攻擊。其主要原因是一些使用者不能及時安裝系統漏洞更新檔和更新病毒庫等，為網絡系統帶來安全隐患。

思科（Cisco）公司在2003年11月，為了應對網絡安全中出現的這種情況，率先提出了網絡準入控制（Network Admission Control，NAC）和自防禦網絡（SDN）的概念，并聯合Network Associates、Symantec、 Trend Micro及IBM等廠商共同開發和推廣NAC。微軟公司也迅速做出反應，提供了具有同樣功能的網絡準許接入保護方案（Network Access Protection，NAP）。思科公司的NAC和微軟的NAP其原理和本質是一緻的，不僅對使用者身份進行認證，還對使用者的接入裝置進行安全狀态評估（包括防病毒軟體、系統更新檔等），使每個接入點都具有較高的可信度和健壯性，進而保護網絡基礎設施。

随後，國内外廠商在準入控制技術産品開發方面進行一場激烈的競争。思科公司于2004年推出準入控制産品解決方案之後，華為公司也緊随其後，于2005年上半年推出了端點準入防禦（Endpoint Admission Defense，EAD）産品，SYGATE也于2005年6月公布了SNAC通用解決方案。

準入控制技術方案比較

思科公司的NAC或微軟公司的NAP，還是華為公司的EAD，都是專用的準入控制系統。不同廠商的準入控制方案雖然在原理上基本類似，但是，具體實作方式各不相同。主要差別展現在以下4個方面。

1）選取協定

思科公司及華為公司選擇的是EAP協定、RADIUS協定和802.1x協定實作準入控制。微軟則選擇DHCP和RADIUS協定來實作。

2）身份認證管理方式

思科公司、華為公司和微軟公司在背景都選擇使用RADIUS伺服器作為認證管理平台；華為公司主要以使用者名和密碼方式進行身份認證，思科公司選擇了采用證書方式管理使用者身份方式；微軟暫時還沒有推出具體的産品。

3）政策管理

各廠家都選擇了集中式控制管理方式。政策控制和應用政策伺服器（通常是RADIUS伺服器）和第三方的軟體産品（病毒庫管理及系統更新檔等）協作進行；使用者資料和準入政策由統一的管理平台負責。

4）準入控制

思科和華為的準入控制原理大同小異，利用本公司特定的網絡裝置來實作；微軟由于沒有控制網絡基礎設施的産品，選擇了通過DHCP伺服器來控制準入流程。

準入控制技術中的身份認證

身份認證技術的發展過程，從軟體到軟硬體結合，從單一因子認證到雙因素認證，從靜态認證到動态認證。目前常用的身份認證方式包括：使用者名/密碼方式、公鑰證書方式、動态密碼方式等。無論單獨采用哪種方式，都有其優劣。如采用使用者名/密碼方式，使用者名及弱密碼容易被竊取或攻擊；而采用公鑰證書，又涉及到證書生成、發放、撤銷等複雜的管理問題；私鑰的安全性也取決于個人對私鑰的保管。

身份認證技術的安全性，關鍵在于組織采取的安全政策。身份認證技術必須滿足組織機構的對網絡安全的具體實際需求，并能夠認真完整地執行安全管理政策。

身份認證是網絡準入控制的基礎。在各種準入控制方案中，都采用了身份認證技術。目前，身份認證管理技術和準入控制進一步融合，向綜合管理和集中控制方向發展。

準入控制技術的現狀與發展

準入控制技術發展很快，并出現各種方案整合的趨勢。各主要廠商在突出發展本身準入控制方案的同時也加大了廠商之間的合作力度。思科和微軟都承諾支援對方的準入控制計劃，并開放自己的API。準入控制标準化工作也在加快進行。在2004年5月，可信計算組織（Trusted Computing Group，TCG）成立了可信網絡連接配接（Trusted Network Connect，TNC）分組，TNC計劃為端點準入強制政策開發一個對所有開發商開放的架構規範，進而保證各個開發商端點準入産品的可互操作性。這些規範将利用現存的工業标準，并在需要的時候開發新的标準和協定。

TNC的成立促進了标準化的快速發展，許多重要的網絡和安全公司如Foundry、Sygate、Juniper、Trend Micro、Symantec和Zone Labs等都加入了TNC組織。TNC希望通過建構架構和規範保證互操作性，這些規範将包括端點的安全建構之間、端點主機和網絡裝置之間，以及網絡裝置之間的軟體接口和通信協定。現在，準入控制正在向标準化、軟硬體相結合的方向發展。