T_CCF 0002-2024 零信任网络隐身协议规范.docxVIP

ICS35.100.50CCSL70

团体标准

T/CCF0002—2024

零信任网络隐身协议规范

ZeroTrustNetwork-infrastructureHidingProtocolSpecification

2024-09-05发布2024-09-05实施

中国计算机学会发布

T/CCF0002—2024

I

目次

零信任网络隐身协议规范 1

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5NHP协议技术架构 3

6NHP协议实现过程 4

6.1敲门交互流程 4

6.2敲门申请 5

6.3双向身份验证 6

6.4访问授权 6

7NHP协议消息定义 6

7.1NHP协议包头 6

7.2NHP协议消息 9

8日志记录 11

8.1概述 12

8.2日志消息格式 12

8.3运维日志 12

8.4安全日志 12

8.5流量日志 13

9测试验证方法 13

9.1隐身能力验证 13

9.2噪声算法验证 13

9.3可用性测试验证 13

9.4扩展性测试 13

9.5兼容性测试 14

附录A（资料性）与GB/T43696-2024中定义的零信任参考体系架构的对应关系 15

A.1与GB/T43696-2024零信任参考体系架构的对应关系 15

附录B（资料性）NHP协议的主要应用场景与部署 16

B.1NHP协议的应用场景 16

B.2NHP协议部署建议 18

B.3与现有网络隐身协议兼容和平滑升级 21

B.4用户身份认证和设备身份认证 22

附录C（资料性）噪声协议框架及算法 24

C.1RSA与ECC的安全强度与开销对比 24

C.2NHP协议使用的噪声协议算法及流程 24

附录D（规范性）NHP协议消息定义 27

D.1NHP协议消息列表 27

D.2敲门与验证 27

D.3密钥分发 29

D.4服务发现 32

D.5DDoS防范与二次敲门 34

D.6NHP报文的中继 35

D.7保活机制 36

D.8真实访问的源地址 36

D.9门禁日志上报 37

参考文献 39

T/CCF0002—2024

III

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国计算机学会抗恶劣环境计算机专业委员会提出并归口。

本文件起草单位：西塞数字安全研究院、中国电子科技集团公司第十五研究所、中电科发展规划研究院有限公司、航天科工706所、中电科太极计算机股份有限公司、中科院空天信息研究院、中科边缘智慧信息科技（苏州）有限公司、中移（苏州）软件技术有限公司、中电科人大金仓信息技术股份有限公司、联通数字科技有限公司、中国电信上海研究院、中国电子科技集团公司第五十四研究所、苏州云至深技术有限公司、北京芯盾时代科技有限公司、北京蔷薇灵动科技有限公司、北京天空卫士网络安全技术有限公司、南昌大学网络空间安全学院、中信云网有限公司、中国铁塔信息研究院、北京大学、中电科普华基础软件股份有限公司、华为技术有限公司、麒麟软件有限公司、统信软件技术有限公司、浪潮电子信息产业股份有限公司、湖州市安全运营中心、北京航空航天大学软件学院、上海交通大学、中国科技大学网络安全学院、中国信息通信研究院、公安部第三研究所、中国电子信息产业发展研究院（赛迪研究院）、北京邮电大学网络安全学院、中国软件评测中心、中广宽带网络有限公司、北京交通大学、北京双湃智安科技有限公司、山东大学、浙江大学、飞诺门阵（北京）科技有限公司、北京东方通网信科技有限公司、国网思极网安科技（北京）有限公司。

本文件主要起草人：陈本峰、陈珊、许木娣、张先国、张冰姿、刘健、艾中良、刘凌旗、何山、袁晓光、赵慧、张雨、陈小鹏、张洪明、王一、郑仰樵、李新明、王志淋、张春生、厉海燕、王浩硕、冯尧、熊嵩、陈栋、齐骥、谢洁意、刘俊杰、宋瑞、赵海蕾、胡一鸣、麻付强、宋桂香、鲁