对比分析

　　以上可以看出，NAC、NAP和TNC技术的目标和实现技术具有很大相似性。

　　首先，其目标都是保证主机的安全接入，即当PC或笔记本接入本地网络时，通过特殊的协议对其进行校验，除了验证用户名密码、用户证书等用户身份信息外，还验证终端是否符合管理员制定好的安全策略，如:操作系统补丁、病毒库版本等信息。并各自制定了自己的隔离策略，通过接入设备(防火墙、交换机、路由器等)，强制将不符合要求的终端设备隔离在一个指定区域，只允许其访问补丁服务器进行下载更新。在验证终端主机没有安全问题后，再允许其接入被保护的网络。

　　其次，三种技术的实现思路也比较相似。都分为客户端、策略服务以及接入控制三个主要层次。NAC分为:Hosts Attempting Network Access、Network Access Device、Police Decision Points三层;NAP分为:NAP客户端、NAP服务器端、NAP接入组件(DHCP、VPN、IPsec、802.1x);TNC分为AR、PEP、PDP三层。

　　同时，由于三种技术的发布者自身的背景，三种技术又存在不同的偏重性。NAC由于是CISCO发布的，所以其构架中接入设备的位置占了很大的比例，或者说NAC自身就是围绕着思科的设备而设计的;NAP则偏重在终端agent以及接入服务(VPN、DHCP、802.1x、IPsec组件)，这与微软自身的技术背景也有很大的关联;而TNC技术则重点放在与TPM绑定的主机身份认证与主机完整性验证，或者说TNC的目的是给TCG发布的TPM提供一种应用支持。

　　从发展上来说，目前NAC与NAP已经结为同盟，即网络接入设备上采用思科的NAC技术，而主机客户端上则采用微软的NAP技术，从而达到了两者互补的局面，有利于其进一步发展。而TNC则是由TCG组织成员Intel、HP、DELL、Funk等企业提出的，目标是解决可信接入问题，其特点是只制定详细规范，技术细节公开，各个厂家都可以自行设计开发兼容TNC的产品，并可以兼容安全芯片TPM技术。

　　作者:北京邮电大学信息安全中心副教授 徐国爱