（二）可信网络国内研究

　　我国也有学者进行了可信网络的研究。林闯等进行了可信网络概念研究以及建立相关模型，提出网络可信属性的定量计算方法。期望基于网络体系结构自身来改善信息安全的方式来解决网络脆弱性问题，通过保护网络信息中的完整性、可用性、秘密性和真实性来保护网络的安全性、可控性以及可生存性。利用在网络体系结构中的`信任机制集成，使安全机制增强，在架构上对可信网络提出了相关设计原则。闵应骅认为能够提供可信服务的网络是可信网络，并且服务是可信赖和可验证的。这里的可信性包括健壮性、安全性、可维护性、可靠性、可测试性与可用性等。TNC进行设计过程中需要考虑架构的安全性，同时也要考虑其兼容性，在一定程度上配合现有技术，因此TNC在优点以外也有着局限性。TNC的突出优点是安全性和开放性。TNC架构是针对互操作的，向公众开放所有规范，用户能够无偿获得规范文档。此外，它使用了很多现有的标准规范，如EAP、802.1X等，使得TNC可以适应不同环境的需要，它没有与某个具体的产品进行绑定。TNC与NAC架构、NAP架构的互操作也说明了该架构的开放性。NC的扩展是传统网络接入控制技术用户身份认证的基础上增加的平台身份认证以及完整性验证。这使得连入网络的终端需要更高的要求，但同时提升了提供接入的网络安全性。虽然TNC具有上述的优点，但是它也有一定的局限性：

　　1.完整性的部分局限。TNC是以完整性为基础面对终端的可信验证。但这种可信验证只能保证软件的静态可信，动态可信的内容还处于研究中。因此TNC接入终端的可信还处于未完善的阶段。

　　2.可信评估的单向性。TNC的初衷是确保网络安全，在保护终端的安全上缺乏考虑。终端在接入网络之前，在提供自身的平台可信性证据的基础上，还需要对接入的网络进行可信性评估，否则不能确保从网络中获取的服务可信。

　　3.网络接入后的安全保护。TNC只在终端接入网络的过程中对终端进行了平台认证与完整性验证，在终端接入网络之后就不再对网络和终端进行保护。终端平台有可能在接入之后发生意外的转变，因此需要构建并加强接入后的控制机制。在TNC1.3架构中增加了安全信息动态共享，在一定程度上增强了动态控制功能。

　　4.安全协议支持。TNC架构中，多个实体需要进行信息交互，如TNCS与TNCC、TNCC与IMC、IMV与TNCS、IMC与IMV，都需要进行繁多的信息交互，但TNC架构并没有给出相对应的安全协议。

　　5.范围的局限性。TNC应用目前局限在企业内部网络，难以提供多层次、分布式、电信级、跨网络域的网络访问控制架构。在TNC1.4架构中增加了对跨网络域认证的支持，以及对无TNC客户端场景的支持，在一定程度上改善了应用的局限性。我国学者在研究分析TNC的优缺点的同时结合中国的实际情况，对TNC进行了一些改进，形成了中国的可信网络连接架构。我国的可信网络架构使用了集中管理、对等、三元、二层的结构模式。策略管理器作为可信的第三方，它可以集中管理访问请求者和访问控制器，网络访问控制层和可信平台评估层执行以策略管理器为基础的可信第三方的三元对等鉴别协议，实现访问请求者和访问控制器之间的双向用户身份认证和双向平台可信性评估。该架构采用国家自主知识产权的鉴别协议，将访问控制器以及访问请求者作为对等实体，通过策可信第三方的略管理器，简化了身份管理、策略管理和证书管理机制，同时进行终端与网络的双向认证，提供了一种新思路。在国家“863”计划项目的支持下，取得了如下成果:

　　（1）在对TNC在网络访问控制机制方面的局限性进行研究分析后，同时考虑可信网络连接的基本要求，提出了一种融合网络访问控制机制、系统访问控制机制和网络安全机制的统一网络访问控制LTNAC模型，对BLP模型进行动态可信性扩展，建立了TE-BLP模型，期望把可信度与统一网络访问控制模型结合起来。

　　（2）通过研究获得了一个完整的可信网络连接原型系统。该系统支持多样认证方式和基于完整性挑战与完整性验证协议的远程证明，来实现系统平台间双向证明和以远程证明为基础的完整性度量器和验证器，最后完成可信网络连接的整体流程。

　　三、可信网络模型分析

　　（一）网络与用户行为的可信模型