T-CCF 0002-2024 零信任网络隐身协议规范

ZeroTrustNetwork-infrastructureHI零信任网络隐身协议规范 2规范性引用文件 3术语和定义 4缩略语 25NHP协议技术架构 36NHP协议实现过程 46.1敲门交互流程 46.2敲门申请 56.3双向身份验证 66.4访问授权 67NHP协议消息定义 67.1NHP协议包头 67.2NHP协议消息 9 8.1概述 8.2日志消息格式 8.3运维日志 8.4安全日志 8.5流量日志 9测试验证方法 9.1隐身能力验证 9.2噪声算法验证 9.3可用性测试验证 9.4扩展性测试 9.5兼容性测试 附录A（资料性）与GB/T43696-2024中定义的零信任参考体系架构的对应关系 A.1与GB/T43696-2024零信任参考体系架构的对应关系 附录B（资料性）NHP协议的主要应用场景与部署 B.1NHP协议的应用场景 B.2NHP协议部署建议 B.3与现有网络隐身协议兼容和平滑升级 21B.4用户身份认证和设备身份认证 22附录C（资料性）噪声协议框架及算法 24C.1RSA与ECC的安全强度与开销对比 24C.2NHP协议使用的噪声协议算法及流程 24附录D（规范性）NHP协议消息定义 27D.1NHP协议消息列表 27D.2敲门与验证 27D.3密钥分发 29D.4服务发现 32D.5DDoS防范与二次敲门 34D.6NHP报文的中继 35D.7保活机制 36D.8真实访问的源地址 36D.9门禁日志上报 37参考文献 39本文件由中国计算机学会抗恶劣环境计算机专业委员会提出本文件起草单位：西塞数字安全研究院、中国电子科技集团公司第十五研究所、中电科发展规划院有限公司、航天科工706所、中电科太极智慧信息科技（苏州）有限公司、中移（苏州）软件技术有限公司、中电科人大金仓信息技术股份有限公司、联通数字科技有限公司、中国电信上海研究院、中国电子科技集州云至深技术有限公司、北京芯盾时代科技有限公司、北京蔷薇灵动科技有限公司、北京天空卫士网络安全技术有限公司、南昌大学网络空间安全学院、中信云网有限公司、中国铁塔信息研究院、北京大学、中电科普华基础软件股份有限公司、华为技术有限公司、麒麟软件有限公司、统信软件技术有限公司、浪潮电子信息产业股份有限公司、湖州市安全运营中心、北京航空航天大学软件学院、上海交通大学、中国科技大学网络安全学院、中国信息通信研究院、公安部第三研究所、中国电子信息产业发展研究院（赛迪研究院）、北京邮电大学网络安全学院、中国软件评测中心、中广宽带网络有限公司、北京交通大学、北京双湃智安科技有限公司、山东大学、浙江大学、飞诺门阵（北京）科技有本文件主要起草人：陈本峰、陈珊、许木娣、张先国、张冰姿、刘健、艾中良、刘凌旗、何山、光、赵慧、张雨、陈小鹏、张洪明、王一、郑仰樵、李新明、王志淋、尧、熊嵩、陈栋、齐骥、谢洁意、刘俊杰、宋瑞、赵海蕾、胡一鸣、麻付强、宋桂香、鲁华伟、邹艳鹏、谌鹏、何国锋、司玄、吴巍、贾哲、杨晓鹏、董雁超、曾倞、毕宝刚敏杰、王世尧、杨明非、刘茜、何明瑶、饶泓、罗铭、张军、杨晓斌、叶臻、张子浪、陈钟、王江涛、余晓光、于继万、王震、万慧星、胡波、马红斌、梅勇、舒俊海、穆琙博、任卫红、李安伦、杜武恭、陶耀东、李浥东、黄东华、徐书珩、任浩源、崔立真、纪守在零信任环境中，网络隐身特性是保证数据可信通信的前置条件。零信任安全以“永不信任，持续验证”为核心理念，假设数据通信的所在网络环境是不可信的。因此，在数据通信连接建立前，零信任网络隐身协议（ZeroTrustNetwork-infrastructureHidingProtocol，简称NHP协议）使数据资源提供方的服务器默认拒绝一切访问，并隐藏其IP地址与端口，使其对未授权对象（如：外部攻击者、内部越权访问者）始终保持不可见，有效收缩了网络暴露面，避免漏洞利用、弱口令破解等网络攻击的前置手段，此特性实现了相对“网络隐身”。数据资源访问主体只有经过身份认证和权限鉴别成功后，才可以与资源提供方建立连接，从而保证了数据通信连接的可信性。在数据通信连接建立之后，NHP协议保持对通信参与方的间隔性持续验证，一旦风险被检测到或者安全策略发生改变，通信可以被及时中断，从而保障数据通信具备持续的可信性与可控性。在数据通信过程中，当数据资源提供方具备高可用架构的前提下，NHP协议可为数据资源访问主体动态指派安全可用的资源提供方服务器地址，并可以返回数据的完整性校验、隐私计算等参数，使数据通信过程不受网络故障以及恶意攻击的影响，从而保证数据通信过程的可靠性。零信任网络隐身协议作为零信任安全架构中的一个通用基础组件，具有分布式、可扩展等特性，可与目前主流的零信任技术架构（即软件定义边界、微隔离等）融合，可用于南北向流量、东西向流量的安全防护；支持与任意第三方身份认证与访问权限管理相关系统对接，也支持通过下一代防火墙进行逻辑微隔离；支持与第三方日志审计或区块链平台对接，以满足数据流通的监管合规要求。1零信任网络隐身协议规范本文件适用于零信任网络隐身协议信息系统的规划、设计、开发、应用和测试。下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括GB/T43696-2024网络安全技术零信任参考体注：该理念认为对资源的访问，无论主体和资源是否可信，主体和资源之零信任网络隐身协议zerotrustnetwork-infrastructurehiding零信任环境下用于资源访问控制的一种框架协议，简称NHP协议访问主体在网络上不可见，只对经过身份认证和权限鉴定后的授权访问主体开放网络访问，确保资源访问符合可信、可控、可靠、可证四大安全原则。该访问控制方法在业内通常称为“网络隐身”。2资源访问主体在建立数据通信连接之前，首先发送带有身份、设备以及目一种引入随机数并将其用于通信双方一系列加解密的算法组合。它使通信双方在处理免采用固定的计算范式，从而使攻击者难以破解，为每一次数据传输提4缩略语AEAD：携带附加数据的认证加密（AuthenticatedEncryptionwithAssAES：高级加密标准（AdvancedEncryptionStandaASP：授权服务提供商（AuthorizationServiceProvider）ECC：椭圆曲线非对称加密算法（EllipticCurveCryptograECDH：椭圆曲线DH密钥交换（EllipticCuGCM：伽罗/计数器加密模式（Galois/CounterMoHTTPS：超文本传输安全协议（HypertextTransferIBC：基于标识的加密算法（IdentityBMAC：消息验证码（MessageAuthenticationCode）RSA：Rivest-Shamir-Adleman非对称加密算法（RivesSHA：安全散列算法（SecureHashingAl3SPA：单包授权协议（SinglePacketAuthoTCP：传输控制协议（TransmissiUDP：用户数据报文协议（UserDatagramProtocol）在服务器的在网络上的安全隐藏与访问控制。NHP协议技术架构与GB/T43696-2024中定义的零信任参考体系架构的对应关系参见附录A。NH代表资源访问主体发起敲门请求的模块，形式可处理并验证敲门请求的模块，通常是服务器程序。其功能包括验证敲门请求并与外部4NHP服务器作为NHP协议流程的中心处理单元，负责将整个协议流程中收按照会话记录下来，可以用将来的安全研究授权服务提供商提供的服务包括身份认证服务、设备验证服务、策略权限验证服务all）的安全策略并确保被保护资源的网络隐身状态，通常位于被保护资源所在的同一主机上NHP门禁应记录访问授权与访问事件、访问流量等关键信息，e.被保护资源（ProtectedR5NHP代理访问被保护资源时，事先并不知道被保护资源的真实地址，应进行资源访问的6NHP协议采用轻量级的噪声协议框架，支持资源访问主体身份与权限验证，实现双向验在具体实现时，需要记录并计算各个交互环NHP协议报文由包头与消息两个部分组成。NHP协议包头在协议交互流程中可使用UDP协议进行NHP协7算，使其不暴露明文。消息采用伽罗/计数器加密模式（GCM）携带附加数据的认证加密（），起、解析、确认与回复时，对包头的验证处理见），式。附加数据在加密时并不参与密文的生成，但是会影响最终的消息验证码，在解密时需要超过UDP报文的长度上限，即65536字节。NHP的消息在不同的逻辑组件中被创建和处理。如无特殊说明NHP协议包头扩展长度见图4所示。8字段（字节数）发起方维护的一个uint64计数器，作为GCM加密的随机数（nonce（EllipticCurveCryptograp信双方在不安全的通道上建立一个共同密钥（sharedse9域名、ID或其他字符串）。此处的用户、设备等信息应与外部授上报NHP代理对各条终端环境检测参数的校验结果，可以为[7.2.2NHP-ACK（Ackno访问授权临时访问端口或者令牌等信息。NHP代理可以7.2.4NHP-AUT（Auth7.2.5NHP-AOP（ACO字段NHP服务器将日志记录汇总之后，可以上传至数据资源监管机9测试验证方法9.1隐身能力验证2)资源访问主体未经过身份认证前，被保护的资源的主机端口是否可9.2噪声算法验证2)发起方与接收方必须使用ECDH算法将其中一方3)发起方与接收方必须使用ECDH算法将自身的9.3可用性测试验证2)敲门验证服务可以横向弹性扩展成多台主机，选择其中任何一个服务器发送敲门数据包都可3)门禁与被保护资源的所在主机IP地址由NHP敲门验证服务动态返回给NHP代理，而不是静态9.4扩展性测试2)NHP消息的类型是可扩展的，新的扩展9.5兼容性测试2)NHP协议的实现代码必须同时支持至少一种国产化的CPU硬件和操作系统平台。与GB/T43696-2024中定义的零信任参考体系架构的对应关系A.1与GB/T43696-2024零信任参考体系“资源管理”、“设备管理”、“身份管理”与“密码服务和应用”等功能模块）。GB/T39204-2022在主动防御方面，明确要求收敛暴露面：应识别和减少互联网联网协议地址、端口、应用服务等暴露面，压缩互联网出口数量。NHP协议是零轻量级的实现方案，能有效收缩暴露面，可用于各种数据通信交建设安全可信的数据基础设施，让数据要素“流得动”，是发展数字经济发展的必要条网络安全范式通过建立静态的边界来提供安全隔离，不利于数据的流通共享。NHP全“永不信任，持续验证”的核心理念，通过网络隐身技术来保障数据资源提供对合法授权的访问者开放，黑客无法通过软件系统漏洞等攻击手段来非法访问数据，并且通过持续的验证以及最小化授权原则，避免合法用户的越权访问，从而保障了数据交互过程靠、可证等四大核心安全原则。此外，NHP协议具备灵活的扩展能力，可以通监管机构的对接，为数据交易平台提供数据访问的计量计费依据，以及为监管机构提供数据要素流通与交易的合规监管依据。数据要素流通与交易场数字化转型的纵深和横向发展，业务发展需要，远程/移动办公成为办公常态，组织不得业务系统/网络设备开放到公网上来，远程/移动办公/运维人员在公网可以连接业务系统为平衡业务发展和网络资源安全防护，组织可使用NHP协议业务发展，相关人员可远程/移动办公连接企业的业务资源/网络设备，同时组织的业务资源/云计算在国内经过多年的发展和沉淀，各组织对云计算的认知渐采用云服务或将私有系统上云（私有云/公有云/混合云）以应对组织和业务发展需要。直接采用云直接采用云服务或将系统上云场景都可以采用NHP协议进行业务资源面，在兼顾业务发展需要，享受云计算技术带来的便利，减少运维成本的同时，保护业务系统资大型企业、事业单位多拥有多个分支机构（业务扩大，原组织自身发展壮大、衍生出多构；业务发展需要，收购子组织或合并相关组织分支机构拥有自己独立的业务系统，为避免重复建设，分支机构保留原来的业务系统，同时还有访问总部或其他分支业务系统资源的需要，总部总部或分支机构在共享自己的业务资源/网络设备给其他分支时，可以采用NHP协议对需要开放共享的业务资源进行资源隐身，兼顾业务需要的同时，实现总部或分支机构资源的隐身，保护业务除了提供安全防御能力，NHP协议框架全研究机构进行攻击样本的研究。举例来说，当NHP服务器证失败，可以仍然给该NHP代理返回成功的消息，但同时返回目标资源址，以将攻击者引流到指定的蜜罐系统，引诱攻击者对蜜罐中的陷阱服务作出攻击行为，从而由进行NHP协议系统中NHP代理部署在资源访问主体使用的终端设别或者服务器上NHP协议系统采用Client/Server架构模式进行部署，由三大组件组成：NHP代理、NHP服务器、NHP协议系统可采用私有化部署模式进行建设，参考合规要求及组织当前的网络架构融合，可部署在组织防火墙后、业务系统资源前，实现安全访问接入组织网络与资NHP协议系统在部署时可采用独立客户端模式，即NHP代端设备中。私有化独立客户端模式架构图如下图所示。客户端服务安装在终端独立客户端模式可实现全局的安全防护，即终端上安装NHP代理后，终端集成模式本身才存在一些缺点，SDK集成方式在NHP代理程序NHP协议也可以用于服务器间东西向数据流量的控制。通过私有部署的同时运行NHP代理程序对已经隐身的其它服务器进行授权访NHP协议系统支持云化部署模式进行建设，结合云计算的特点和优势，更好的为组织云化部署模式下，独立客户端模式与私有化部署类似，只是将N将NHP服务器部署在云上，也可以将NHP协议用于私有或禁程序用来为自己后台的业务应用隐身，也可以同时运行NHP代理程序对已经隐身对于已经部署了零信任网络隐身相关产品或服务的组织，根据自身数字化转型规划和当前进展以及安全规划决定是否升级零信任网络隐身服务。如组织当前有规划升级安全服务，则组织选择合适的具备的功能模块，组织安全人员和业务系统人员做好规划，充分测试后升级服务；如组织对当前隐身协议或安全厂商更换，则建议重新部署NHP协议相关服务，在新旧隐身服务，采用灰度发布的模式，逐步迁移用户到新的服务，直到新如组织当前没有规划升级安全服务，则需要等待合适的时机进行升级服务，依旧使用身份认证的目的是鉴别通信中另一端的真实身份，防止伪造和假冒等情况发生，的可信。根据身份认证的对象不同，认证手段也不同，但法。身份认证的对象可以是人，也可以是网络设备，也可以是机器，也可以是物联网中的如果被认证的对象是自然人，则有三类信息可以用于身份认证，即“知道什么”12345678表中列举了几种常见的用户身份认证的方式。组织在使用NHP协议进行安表中的认证方式进行身份认证。在访问关键业务系统或含有敏感信息的系统时，应采用两种或两种以设备身份认证是指对用户访问业务资源时使用的设备进行身份认证，或终端设备作为对主体设备进行身份认证。设备身份认证也存在多种认证方式，如采用设备指纹的方式对设备进行标识和鉴别、采用公钥密码算法、内嵌数字证书的方式进行鉴别等。终端设备类型见设备指纹是指用于唯一标识出该设备的设备特征或者独特的设备标识。设备指纹包功能等）也可以采用一定的算法来综合计算设备指纹。设备指纹需要做到唯一性，即唯一地设备，不会与其他设备重复、每次计算不会改变、也难以被仿冒。具备唯一性的设备指纹可数字证书是一种特殊的文件格式，包含用户/设备身份信息、用户/设备公钥信私钥的签名。数字证书可作为数字身份证，在网络世界中进行交互时，证书持有人/设备只需出证书，对方通过判断该证书是否伪造、持证人是否拥有对应的私钥、该证书是否被作废或冻结等内容即可验证该持证人/设备的身份是否合法，从而很方便地实现高强度的身份认证功能。利用数字成设备（尤其是物联网设备）身份认证是目前最为安全有效的一种技术噪声协议是一种结合随机ECC密钥对和ECDH算法的密钥协商协议。噪声协议框架隐式实现了交互ECDH算法比使用RSA签名在密钥、密文长度和计算开销上都小得多，安全性更高。特）公钥的扩展长度，以适用未来加密算法C.1RSA与ECC的安全强度与开度。而由RSA消息签名产生的密文尺寸和密钥长度相当NHP-KPL0NHP-KNK1NHP-ACK2NHP-AOP3NHP-ART4NHP-LST5NHP-LRT6NHP-COK7NHP-RKN8NHP-RLY9NHP-AOLNHP-AAKNHP-OTPNHP-REGNHP-RAKNHP-ACCNHP-LOGNHP-LAK{"usrId":"9eb1e411-b7ab-4b78"aspId":"d0b0e0bd-7ad9"resId":"267ebdaa-52c}{"usrId":"9eb1e411-b7ab-4b78"aspId":"d0b0e0bd-7ad9"resId":"267ebdaa-52c}{"devId":"f7a0a672-8c7}{}（KGC）注册公钥。如果采用动态密钥管理，在NHP代理每次生成新的密钥后，也可以利用NHP-REG消此消息由NHP代理发起，NHP服务器接收，用作NHP代理向NH以是短信、邮箱验证码，或者二维码的形式）信息向NHP服务器发起注册，验代理动态公钥会被NHP服务器收录，NHP服务器返回NHP-RAK包通知NHP代理密钥注册成功。字段NHP代理获得的一次性的验证密码，由NHP服务器校验。用于NHP代理向NHP服务器证明自己{"usrId":"9eb1e411-b7ab-4b78}D.3.2NHP-OTP（One-timePNHP协议提供一种可选申请一次性验证码的方法。此消息由NHP代理发起，NHP服务器或者密钥生成中心服务器（KGC）接收，为NHP代理向服务器注册自身密钥的可选前置步骤。必须使用NHP协议包{"usrId":"9eb1e411-b7ab-4b78}D.3.3NHP-RAK（Register传统的基于PKI体系的密钥分发与验证体系已经很可能无法满足零信任安全架构对密钥验证中心的可达性、健壮性与性能的高要求，而使用基于标识的加密算法（IBC）能够很好解决这个问题，递并参与计算，大幅降低了密钥中心对公钥管理和分发流程上的复杂度。国内常见的IBC算法有国密D.3.5无证书密钥体系CL-PKC（CertificatelessPublicKeyCryp相同，但私钥并不单独依赖KGC计算生成，而需要由用户侧提供一部分密NHP代理在初始状态时（非预配置或定制化的NHP代理开始并无法获知系统中存在此消息由NHP代理发起，NHP服务器接收{"usrId":"9eb1e411-b7ab-4b78}D.4.2NHP-LRT（List{{"aspId":"d0b0e0bd-7ad9-4b94-b57c-c69{"aspId":"3c50fafd-b5e8-420e}），{{"aspId":"d0b0e0bd-7ad9-4b94-b57c-c6]}