Міжнародная канферэнцыя распрацоўнікаў і карыстальнікаў свабодных праграм

Протокол IF-MAP

Олег Орел, Минск, Беларусь, EPAM Systems

The Interface for Metadata Access Points (IF-MAP) is an open standard client/server protocol developed as one of the core protocols of the Trusted Network Connect (TNC) open architecture. IF-MAP provides a common interface between the database server acting as a clearinghouse for information about security events and objects, and other elements of the TNC architecture.

TNC (Trusted Network Connect) – архитектура, описывающая возможную реализацию подхода к сетевой компьютерной безопасности, унифицирующего решения по обеспечению безопасности на конечных узлах (такие как антивирусное ПО, системы обнаружения вторжений и т. д.), пользовательскую аутентификацию, элементы обеспечения безопасности. Компьютер, подключившийся в сеть, получает уровень доступа к ресурсам по результатам анализа таких его параметров, как уровень защищенности от вредоносных программ, конфигурации, роли пользователя, обновлений ОС. По любому параметру доступ может быть разграничен: например, пользователь, чей компьютер не обладает свежими антивирусными базами, не будет допущен в Интернет. IF-MAP – открытый стандарт, описывающий клиент-серверный протокол обмена данных между элементами (MAP) в TNC-архитектуре. IF-MAP сервер – это централизованное хранилище метаданных (например, о состоянии узлов сети, пользователях и т. д.), предоставляющее механизмы для публикации данных, поиска и подписок всем заинтересованным MAP-клиентам. Модель данных, предусмотренная для IF-MAP сервиса, представляет собой граф, вершины которого – идентификаторы (device, ip-address, mac-address, access-request, …), а ребра – метаданные. Например, метаданные типа ip-mac, которые публикует MAP-клиент, работающий совместно с DHCP сервером, соединяют идентификаторы типа ip-address и mac-address (DHCP lease) и содержат дополнительную информацию (время действия адреса). MAP-клиентам доступен поиск на этом графе, а система подписок на изменения позволяет выполнять отложенный поиск.