ZeroTrustNetwork-infrastructureHI零信任網(wǎng)絡隱身協(xié)議規(guī)范 2規(guī)范性引用文件 3術語和定義 4縮略語 25NHP協(xié)議技術架構(gòu) 36NHP協(xié)議實現(xiàn)過程 46.1敲門交互流程 46.2敲門申請 56.3雙向身份驗證 66.4訪問授權 67NHP協(xié)議消息定義 67.1NHP協(xié)議包頭 67.2NHP協(xié)議消息 9 8.1概述 8.2日志消息格式 8.3運維日志 8.4安全日志 8.5流量日志 9測試驗證方法 9.1隱身能力驗證 9.2噪聲算法驗證 9.3可用性測試驗證 9.4擴展性測試 9.5兼容性測試 附錄A（資料性）與GB/T43696-2024中定義的零信任參考體系架構(gòu)的對應關系 A.1與GB/T43696-2024零信任參考體系架構(gòu)的對應關系 附錄B（資料性）NHP協(xié)議的主要應用場景與部署 B.1NHP協(xié)議的應用場景 B.2NHP協(xié)議部署建議 B.3與現(xiàn)有網(wǎng)絡隱身協(xié)議兼容和平滑升級 21B.4用戶身份認證和設備身份認證 22附錄C（資料性）噪聲協(xié)議框架及算法 24C.1RSA與ECC的安全強度與開銷對比 24C.2NHP協(xié)議使用的噪聲協(xié)議算法及流程 24附錄D（規(guī)范性）NHP協(xié)議消息定義 27D.1NHP協(xié)議消息列表 27D.2敲門與驗證 27D.3密鑰分發(fā) 29D.4服務發(fā)現(xiàn) 32D.5DDoS防范與二次敲門 34D.6NHP報文的中繼 35D.7保活機制 36D.8真實訪問的源地址 36D.9門禁日志上報 37參考文獻 39本文件由中國計算機學會抗惡劣環(huán)境計算機專業(yè)委員會提出本文件起草單位：西塞數(shù)字安全研究院、中國電子科技集團公司第十五研究所、中電科發(fā)展規(guī)劃院有限公司、航天科工706所、中電科太極智慧信息科技（蘇州）有限公司、中移（蘇州）軟件技術有限公司、中電科人大金倉信息技術股份有限公司、聯(lián)通數(shù)字科技有限公司、中國電信上海研究院、中國電子科技集州云至深技術有限公司、北京芯盾時代科技有限公司、北京薔薇靈動科技有限公司、北京天空衛(wèi)士網(wǎng)絡安全技術有限公司、南昌大學網(wǎng)絡空間安全學院、中信云網(wǎng)有限公司、中國鐵塔信息研究院、北京大學、中電科普華基礎軟件股份有限公司、華為技術有限公司、麒麟軟件有限公司、統(tǒng)信軟件技術有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、湖州市安全運營中心、北京航空航天大學軟件學院、上海交通大學、中國科技大學網(wǎng)絡安全學院、中國信息通信研究院、公安部第三研究所、中國電子信息產(chǎn)業(yè)發(fā)展研究院（賽迪研究院）、北京郵電大學網(wǎng)絡安全學院、中國軟件評測中心、中廣寬帶網(wǎng)絡有限公司、北京交通大學、北京雙湃智安科技有限公司、山東大學、浙江大學、飛諾門陣（北京）科技有本文件主要起草人：陳本峰、陳珊、許木娣、張先國、張冰姿、劉健、艾中良、劉凌旗、何山、光、趙慧、張雨、陳小鵬、張洪明、王一、鄭仰樵、李新明、王志淋、堯、熊嵩、陳棟、齊驥、謝潔意、劉俊杰、宋瑞、趙海蕾、胡一鳴、麻付強、宋桂香、魯華偉、鄒艷鵬、諶鵬、何國鋒、司玄、吳巍、賈哲、楊曉鵬、董雁超、曾倞、畢寶剛敏杰、王世堯、楊明非、劉茜、何明瑤、饒泓、羅銘、張軍、楊曉斌、葉臻、張子浪、陳鐘、王江濤、余曉光、于繼萬、王震、萬慧星、胡波、馬紅斌、梅勇、舒俊海、穆琙博、任衛(wèi)紅、李安倫、杜武恭、陶耀東、李浥東、黃東華、徐書珩、任浩源、崔立真、紀守在零信任環(huán)境中，網(wǎng)絡隱身特性是保證數(shù)據(jù)可信通信的前置條件。零信任安全以“永不信任，持續(xù)驗證”為核心理念，假設數(shù)據(jù)通信的所在網(wǎng)絡環(huán)境是不可信的。因此，在數(shù)據(jù)通信連接建立前，零信任網(wǎng)絡隱身協(xié)議（ZeroTrustNetwork-infrastructureHidingProtocol，簡稱NHP協(xié)議）使數(shù)據(jù)資源提供方的服務器默認拒絕一切訪問，并隱藏其IP地址與端口，使其對未授權對象（如：外部攻擊者、內(nèi)部越權訪問者）始終保持不可見，有效收縮了網(wǎng)絡暴露面，避免漏洞利用、弱口令破解等網(wǎng)絡攻擊的前置手段，此特性實現(xiàn)了相對“網(wǎng)絡隱身”。數(shù)據(jù)資源訪問主體只有經(jīng)過身份認證和權限鑒別成功后，才可以與資源提供方建立連接，從而保證了數(shù)據(jù)通信連接的可信性。在數(shù)據(jù)通信連接建立之后，NHP協(xié)議保持對通信參與方的間隔性持續(xù)驗證，一旦風險被檢測到或者安全策略發(fā)生改變，通信可以被及時中斷，從而保障數(shù)據(jù)通信具備持續(xù)的可信性與可控性。在數(shù)據(jù)通信過程中，當數(shù)據(jù)資源提供方具備高可用架構(gòu)的前提下，NHP協(xié)議可為數(shù)據(jù)資源訪問主體動態(tài)指派安全可用的資源提供方服務器地址，并可以返回數(shù)據(jù)的完整性校驗、隱私計算等參數(shù)，使數(shù)據(jù)通信過程不受網(wǎng)絡故障以及惡意攻擊的影響，從而保證數(shù)據(jù)通信過程的可靠性。零信任網(wǎng)絡隱身協(xié)議作為零信任安全架構(gòu)中的一個通用基礎組件，具有分布式、可擴展等特性，可與目前主流的零信任技術架構(gòu)（即軟件定義邊界、微隔離等）融合，可用于南北向流量、東西向流量的安全防護；支持與任意第三方身份認證與訪問權限管理相關系統(tǒng)對接，也支持通過下一代防火墻進行邏輯微隔離；支持與第三方日志審計或區(qū)塊鏈平臺對接，以滿足數(shù)據(jù)流通的監(jiān)管合規(guī)要求。1零信任網(wǎng)絡隱身協(xié)議規(guī)范本文件適用于零信任網(wǎng)絡隱身協(xié)議信息系統(tǒng)的規(guī)劃、設計、開發(fā)、應用和測試。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括GB/T43696-2024網(wǎng)絡安全技術零信任參考體注：該理念認為對資源的訪問，無論主體和資源是否可信，主體和資源之零信任網(wǎng)絡隱身協(xié)議zerotrustnetwork-infrastructurehiding零信任環(huán)境下用于資源訪問控制的一種框架協(xié)議，簡稱NHP協(xié)議訪問主體在網(wǎng)絡上不可見，只對經(jīng)過身份認證和權限鑒定后的授權訪問主體開放網(wǎng)絡訪問，確保資源訪問符合可信、可控、可靠、可證四大安全原則。該訪問控制方法在業(yè)內(nèi)通常稱為“網(wǎng)絡隱身”。2資源訪問主體在建立數(shù)據(jù)通信連接之前，首先發(fā)送帶有身份、設備以及目一種引入隨機數(shù)并將其用于通信雙方一系列加解密的算法組合。它使通信雙方在處理免采用固定的計算范式，從而使攻擊者難以破解，為每一次數(shù)據(jù)傳輸提4縮略語AEAD：攜帶附加數(shù)據(jù)的認證加密（AuthenticatedEncryptionwithAssAES：高級加密標準（AdvancedEncryptionStandaASP：授權服務提供商（AuthorizationServiceProvider）ECC：橢圓曲線非對稱加密算法（EllipticCurveCryptograECDH：橢圓曲線DH密鑰交換（EllipticCuGCM：伽羅/計數(shù)器加密模式（Galois/CounterMoHTTPS：超文本傳輸安全協(xié)議（HypertextTransferIBC：基于標識的加密算法（IdentityBMAC：消息驗證碼（MessageAuthenticationCode）RSA：Rivest-Shamir-Adleman非對稱加密算法（RivesSHA：安全散列算法（SecureHashingAl3SPA：單包授權協(xié)議（SinglePacketAuthoTCP：傳輸控制協(xié)議（TransmissiUDP：用戶數(shù)據(jù)報文協(xié)議（UserDatagramProtocol）在服務器的在網(wǎng)絡上的安全隱藏與訪問控制。NHP協(xié)議技術架構(gòu)與GB/T43696-2024中定義的零信任參考體系架構(gòu)的對應關系參見附錄A。NH代表資源訪問主體發(fā)起敲門請求的模塊，形式可處理并驗證敲門請求的模塊，通常是服務器程序。其功能包括驗證敲門請求并與外部4NHP服務器作為NHP協(xié)議流程的中心處理單元，負責將整個協(xié)議流程中收按照會話記錄下來，可以用將來的安全研究授權服務提供商提供的服務包括身份認證服務、設備驗證服務、策略權限驗證服務all）的安全策略并確保被保護資源的網(wǎng)絡隱身狀態(tài)，通常位于被保護資源所在的同一主機上NHP門禁應記錄訪問授權與訪問事件、訪問流量等關鍵信息，e.被保護資源（ProtectedR5NHP代理訪問被保護資源時，事先并不知道被保護資源的真實地址，應進行資源訪問的6NHP協(xié)議采用輕量級的噪聲協(xié)議框架，支持資源訪問主體身份與權限驗證，實現(xiàn)雙向驗在具體實現(xiàn)時，需要記錄并計算各個交互環(huán)NHP協(xié)議報文由包頭與消息兩個部分組成。NHP協(xié)議包頭在協(xié)議交互流程中可使用UDP協(xié)議進行NHP協(xié)7算，使其不暴露明文。消息采用伽羅/計數(shù)器加密模式（GCM）攜帶附加數(shù)據(jù)的認證加密（），起、解析、確認與回復時，對包頭的驗證處理見），式。附加數(shù)據(jù)在加密時并不參與密文的生成，但是會影響最終的消息驗證碼，在解密時需要超過UDP報文的長度上限，即65536字節(jié)。NHP的消息在不同的邏輯組件中被創(chuàng)建和處理。如無特殊說明NHP協(xié)議包頭擴展長度見圖4所示。8字段（字節(jié)數(shù)）發(fā)起方維護的一個uint64計數(shù)器，作為GCM加密的隨機數(shù)（nonce（EllipticCurveCryptograp信雙方在不安全的通道上建立一個共同密鑰（sharedse9域名、ID或其他字符串）。此處的用戶、設備等信息應與外部授上報NHP代理對各條終端環(huán)境檢測參數(shù)的校驗結(jié)果，可以為[7.2.2NHP-ACK（Ackno訪問授權臨時訪問端口或者令牌等信息。NHP代理可以7.2.4NHP-AUT（Auth7.2.5NHP-AOP（ACO字段NHP服務器將日志記錄匯總之后，可以上傳至數(shù)據(jù)資源監(jiān)管機9測試驗證方法9.1隱身能力驗證2)資源訪問主體未經(jīng)過身份認證前，被保護的資源的主機端口是否可9.2噪聲算法驗證2)發(fā)起方與接收方必須使用ECDH算法將其中一方3)發(fā)起方與接收方必須使用ECDH算法將自身的9.3可用性測試驗證2)敲門驗證服務可以橫向彈性擴展成多臺主機，選擇其中任何一個服務器發(fā)送敲門數(shù)據(jù)包都可3)門禁與被保護資源的所在主機IP地址由NHP敲門驗證服務動態(tài)返回給NHP代理，而不是靜態(tài)9.4擴展性測試2)NHP消息的類型是可擴展的，新的擴展9.5兼容性測試2)NHP協(xié)議的實現(xiàn)代碼必須同時支持至少一種國產(chǎn)化的CPU硬件和操作系統(tǒng)平臺。與GB/T43696-2024中定義的零信任參考體系架構(gòu)的對應關系A.1與GB/T43696-2024零信任參考體系“資源管理”、“設備管理”、“身份管理”與“密碼服務和應用”等功能模塊）。GB/T39204-2022在主動防御方面，明確要求收斂暴露面：應識別和減少互聯(lián)網(wǎng)聯(lián)網(wǎng)協(xié)議地址、端口、應用服務等暴露面，壓縮互聯(lián)網(wǎng)出口數(shù)量。NHP協(xié)議是零輕量級的實現(xiàn)方案，能有效收縮暴露面，可用于各種數(shù)據(jù)通信交建設安全可信的數(shù)據(jù)基礎設施，讓數(shù)據(jù)要素“流得動”，是發(fā)展數(shù)字經(jīng)濟發(fā)展的必要條網(wǎng)絡安全范式通過建立靜態(tài)的邊界來提供安全隔離，不利于數(shù)據(jù)的流通共享。NHP全“永不信任，持續(xù)驗證”的核心理念，通過網(wǎng)絡隱身技術來保障數(shù)據(jù)資源提供對合法授權的訪問者開放，黑客無法通過軟件系統(tǒng)漏洞等攻擊手段來非法訪問數(shù)據(jù)，并且通過持續(xù)的驗證以及最小化授權原則，避免合法用戶的越權訪問，從而保障了數(shù)據(jù)交互過程靠、可證等四大核心安全原則。此外，NHP協(xié)議具備靈活的擴展能力，可以通監(jiān)管機構(gòu)的對接，為數(shù)據(jù)交易平臺提供數(shù)據(jù)訪問的計量計費依據(jù)，以及為監(jiān)管機構(gòu)提供數(shù)據(jù)要素流通與交易的合規(guī)監(jiān)管依據(jù)。數(shù)據(jù)要素流通與交易場數(shù)字化轉(zhuǎn)型的縱深和橫向發(fā)展，業(yè)務發(fā)展需要，遠程/移動辦公成為辦公常態(tài)，組織不得業(yè)務系統(tǒng)/網(wǎng)絡設備開放到公網(wǎng)上來，遠程/移動辦公/運維人員在公網(wǎng)可以連接業(yè)務系統(tǒng)為平衡業(yè)務發(fā)展和網(wǎng)絡資源安全防護，組織可使用NHP協(xié)議業(yè)務發(fā)展，相關人員可遠程/移動辦公連接企業(yè)的業(yè)務資源/網(wǎng)絡設備，同時組織的業(yè)務資源/云計算在國內(nèi)經(jīng)過多年的發(fā)展和沉淀，各組織對云計算的認知漸采用云服務或?qū)⑺接邢到y(tǒng)上云（私有云/公有云/混合云）以應對組織和業(yè)務發(fā)展需要。直接采用云直接采用云服務或?qū)⑾到y(tǒng)上云場景都可以采用NHP協(xié)議進行業(yè)務資源面，在兼顧業(yè)務發(fā)展需要，享受云計算技術帶來的便利，減少運維成本的同時，保護業(yè)務系統(tǒng)資大型企業(yè)、事業(yè)單位多擁有多個分支機構(gòu)（業(yè)務擴大，原組織自身發(fā)展壯大、衍生出多構(gòu)；業(yè)務發(fā)展需要，收購子組織或合并相關組織分支機構(gòu)擁有自己獨立的業(yè)務系統(tǒng)，為避免重復建設，分支機構(gòu)保留原來的業(yè)務系統(tǒng)，同時還有訪問總部或其他分支業(yè)務系統(tǒng)資源的需要，總部總部或分支機構(gòu)在共享自己的業(yè)務資源/網(wǎng)絡設備給其他分支時，可以采用NHP協(xié)議對需要開放共享的業(yè)務資源進行資源隱身，兼顧業(yè)務需要的同時，實現(xiàn)總部或分支機構(gòu)資源的隱身，保護業(yè)務除了提供安全防御能力，NHP協(xié)議框架全研究機構(gòu)進行攻擊樣本的研究。舉例來說，當NHP服務器證失敗，可以仍然給該NHP代理返回成功的消息，但同時返回目標資源址，以將攻擊者引流到指定的蜜罐系統(tǒng)，引誘攻擊者對蜜罐中的陷阱服務作出攻擊行為，從而由進行NHP協(xié)議系統(tǒng)中NHP代理部署在資源訪問主體使用的終端設別或者服務器上NHP協(xié)議系統(tǒng)采用Client/Server架構(gòu)模式進行部署，由三大組件組成：NHP代理、NHP服務器、NHP協(xié)議系統(tǒng)可采用私有化部署模式進行建設，參考合規(guī)要求及組織當前的網(wǎng)絡架構(gòu)融合，可部署在組織防火墻后、業(yè)務系統(tǒng)資源前，實現(xiàn)安全訪問接入組織網(wǎng)絡與資NHP協(xié)議系統(tǒng)在部署時可采用獨立客戶端模式，即NHP代端設備中。私有化獨立客戶端模式架構(gòu)圖如下圖所示。客戶端服務安裝在終端獨立客戶端模式可實現(xiàn)全局的安全防護，即終端上安裝NHP代理后，終端集成模式本身才存在一些缺點，SDK集成方式在NHP代理程序NHP協(xié)議也可以用于服務器間東西向數(shù)據(jù)流量的控制。通過私有部署的同時運行NHP代理程序?qū)σ呀?jīng)隱身的其它服務器進行授權訪NHP協(xié)議系統(tǒng)支持云化部署模式進行建設，結(jié)合云計算的特點和優(yōu)勢，更好的為組織云化部署模式下，獨立客戶端模式與私有化部署類似，只是將N將NHP服務器部署在云上，也可以將NHP協(xié)議用于私有或禁程序用來為自己后臺的業(yè)務應用隱身，也可以同時運行NHP代理程序?qū)σ呀?jīng)隱身對于已經(jīng)部署了零信任網(wǎng)絡隱身相關產(chǎn)品或服務的組織，根據(jù)自身數(shù)字化轉(zhuǎn)型規(guī)劃和當前進展以及安全規(guī)劃決定是否升級零信任網(wǎng)絡隱身服務。如組織當前有規(guī)劃升級安全服務，則組織選擇合適的具備的功能模塊，組織安全人員和業(yè)務系統(tǒng)人員做好規(guī)劃，充分測試后升級服務；如組織對當前隱身協(xié)議或安全廠商更換，則建議重新部署NHP協(xié)議相關服務，在新舊隱身服務，采用灰度發(fā)布的模式，逐步遷移用戶到新的服務，直到新如組織當前沒有規(guī)劃升級安全服務，則需要等待合適的時機進行升級服務，依舊使用身份認證的目的是鑒別通信中另一端的真實身份，防止偽造和假冒等情況發(fā)生，的可信。根據(jù)身份認證的對象不同，認證手段也不同，但法。身份認證的對象可以是人，也可以是網(wǎng)絡設備，也可以是機器，也可以是物聯(lián)網(wǎng)中的如果被認證的對象是自然人，則有三類信息可以用于身份認證，即“知道什么”12345678表中列舉了幾種常見的用戶身份認證的方式。組織在使用NHP協(xié)議進行安表中的認證方式進行身份認證。在訪問關鍵業(yè)務系統(tǒng)或含有敏感信息的系統(tǒng)時，應采用兩種或兩種以設備身份認證是指對用戶訪問業(yè)務資源時使用的設備進行身份認證，或終端設備作為對主體設備進行身份認證。設備身份認證也存在多種認證方式，如采用設備指紋的方式對設備進行標識和鑒別、采用公鑰密碼算法、內(nèi)嵌數(shù)字證書的方式進行鑒別等。終端設備類型見設備指紋是指用于唯一標識出該設備的設備特征或者獨特的設備標識。設備指紋包功能等）也可以采用一定的算法來綜合計算設備指紋。設備指紋需要做到唯一性，即唯一地設備，不會與其他設備重復、每次計算不會改變、也難以被仿冒。具備唯一性的設備指紋可數(shù)字證書是一種特殊的文件格式，包含用戶/設備身份信息、用戶/設備公鑰信私鑰的簽名。數(shù)字證書可作為數(shù)字身份證，在網(wǎng)絡世界中進行交互時，證書持有人/設備只需出證書，對方通過判斷該證書是否偽造、持證人是否擁有對應的私鑰、該證書是否被作廢或凍結(jié)等內(nèi)容即可驗證該持證人/設備的身份是否合法，從而很方便地實現(xiàn)高強度的身份認證功能。利用數(shù)字成設備（尤其是物聯(lián)網(wǎng)設備）身份認證是目前最為安全有效的一種技術噪聲協(xié)議是一種結(jié)合隨機ECC密鑰對和ECDH算法的密鑰協(xié)商協(xié)議。噪聲協(xié)議框架隱式實現(xiàn)了交互ECDH算法比使用RSA簽名在密鑰、密文長度和計算開銷上都小得多，安全性更高。特）公鑰的擴展長度，以適用未來加密算法C.1RSA與ECC的安全強度與開度。而由RSA消息簽名產(chǎn)生的密文尺寸和密鑰長度相當NHP-KPL0NHP-KNK1NHP-ACK2NHP-AOP3NHP-ART4NHP-LST5NHP-LRT6NHP-COK7NHP-RKN8NHP-RLY9NHP-AOLNHP-AAKNHP-OTPNHP-REGNHP-RAKNHP-ACCNHP-LOGNHP-LAK{"usrId":"9eb1e411-b7ab-4b78"aspId":"d0b0e0bd-7ad9"resId":"267ebdaa-52c}{"usrId":"9eb1e411-b7ab-4b78"aspId":"d0b0e0bd-7ad9"resId":"267ebdaa-52c}{"devId":"f7a0a672-8c7}{}（KGC）注冊公鑰。如果采用動態(tài)密鑰管理，在NHP代理每次生成新的密鑰后，也可以利用NHP-REG消此消息由NHP代理發(fā)起，NHP服務器接收，用作NHP代理向NH以是短信、郵箱驗證碼，或者二維碼的形式）信息向NHP服務器發(fā)起注冊，驗代理動態(tài)公鑰會被NHP服務器收錄，NHP服務器返回NHP-RAK包通知NHP代理密鑰注冊成功。字段NHP代理獲得的一次性的驗證密碼，由NHP服務器校驗。用于NHP代理向NHP服務器證明自己{"usrId":"9eb1e411-b7ab-4b78}D.3.2NHP-OTP（One-timePNHP協(xié)議提供一種可選申請一次性驗證碼的方法。此消息由NHP代理發(fā)起，NHP服務器或者密鑰生成中心服務器（KGC）接收，為NHP代理向服務器注冊自身密鑰的可選前置步驟。必須使用NHP協(xié)議包{"usrId":"9eb1e411-b7ab-4b78}D.3.3NHP-RAK（Register傳統(tǒng)的基于PKI體系的密鑰分發(fā)與驗證體系已經(jīng)很可能無法滿足零信任安全架構(gòu)對密鑰驗證中心的可達性、健壯性與性能的高要求，而使用基于標識的加密算法（IBC）能夠很好解決這個問題，遞并參與計算，大幅降低了密鑰中心對公鑰管理和分發(fā)流程上的復雜度。國內(nèi)常見的IBC算法有國密D.3.5無證書密鑰體系CL-PKC（CertificatelessPublicKeyCryp相同，但私鑰并不單獨依賴KGC計算生成，而需要由用戶側(cè)提供一部分密NHP代理在初始狀態(tài)時（非預配置或定制化的NHP代理開始并無法獲知系統(tǒng)中存在此消息由NHP代理發(fā)起，NHP服務器接收{(diào)"usrId":"9eb1e411-b7ab-4b78}D.4.2NHP-LRT（List{{"aspId":"d0b0e0bd-7ad9-4b94-b57c-c69{"aspId":"3c50fafd-b5e8-420e}），{{"aspId":"d0b0e0bd-7ad9-4b94-b57c-c6]}