2.1. Network Endpoint Assessment (网络端点评估)

网络运营商希望获得可信的报告, 其中包括有关连接到其网络的机器上的硬件和软件的身份和版本信息。报告的示例包括目的 (如库存摘要)、审计结果和异常通知 (通常包括日志记录或趋势报告的维护)。网络运营商还可能希望有一个策略, 根据该策略, 只有满足某些卫生定义的设备才能获得完全访问权限, 因此希望获取有关此类信息的声明并验证其有效性。需要远程认证来防止易受攻击或受损的设备访问网络并可能伤害其他设备。

通常, 解决方案从特定组件 (有时称为 "信任根", root of trust) 开始, 该组件通常提供可信的设备身份, 并执行一系列操作, 以便对其他组件进行可信度评估。此类组件通过收集、保护或签名测量值来执行有助于确定其他组件可信度的操作。由此类组件签名的测量值包含证据, 在评估时要么支持要么反驳可信度声明。测量值可以描述系统组件的各种属性, 例如硬件、固件、BIOS、软件等, 以及它们如何被加固。