T-CCF 0002-2024 零信任網(wǎng)絡(luò)隱身協(xié)議規(guī)范

ZeroTrustNetwork-infrastructureHI零信任網(wǎng)絡(luò)隱身協(xié)議規(guī)范 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 25NHP協(xié)議技術(shù)架構(gòu) 36NHP協(xié)議實(shí)現(xiàn)過程 46.1敲門交互流程 46.2敲門申請 56.3雙向身份驗(yàn)證 66.4訪問授權(quán) 67NHP協(xié)議消息定義 67.1NHP協(xié)議包頭 67.2NHP協(xié)議消息 9 8.1概述 8.2日志消息格式 8.3運(yùn)維日志 8.4安全日志 8.5流量日志 9測試驗(yàn)證方法 9.1隱身能力驗(yàn)證 9.2噪聲算法驗(yàn)證 9.3可用性測試驗(yàn)證 9.4擴(kuò)展性測試 9.5兼容性測試 附錄A（資料性）與GB/T43696-2024中定義的零信任參考體系架構(gòu)的對(duì)應(yīng)關(guān)系 A.1與GB/T43696-2024零信任參考體系架構(gòu)的對(duì)應(yīng)關(guān)系 附錄B（資料性）NHP協(xié)議的主要應(yīng)用場景與部署 B.1NHP協(xié)議的應(yīng)用場景 B.2NHP協(xié)議部署建議 B.3與現(xiàn)有網(wǎng)絡(luò)隱身協(xié)議兼容和平滑升級(jí) 21B.4用戶身份認(rèn)證和設(shè)備身份認(rèn)證 22附錄C（資料性）噪聲協(xié)議框架及算法 24C.1RSA與ECC的安全強(qiáng)度與開銷對(duì)比 24C.2NHP協(xié)議使用的噪聲協(xié)議算法及流程 24附錄D（規(guī)范性）NHP協(xié)議消息定義 27D.1NHP協(xié)議消息列表 27D.2敲門與驗(yàn)證 27D.3密鑰分發(fā) 29D.4服務(wù)發(fā)現(xiàn) 32D.5DDoS防范與二次敲門 34D.6NHP報(bào)文的中繼 35D.7?；顧C(jī)制 36D.8真實(shí)訪問的源地址 36D.9門禁日志上報(bào) 37參考文獻(xiàn) 39本文件由中國計(jì)算機(jī)學(xué)會(huì)抗惡劣環(huán)境計(jì)算機(jī)專業(yè)委員會(huì)提出本文件起草單位：西塞數(shù)字安全研究院、中國電子科技集團(tuán)公司第十五研究所、中電科發(fā)展規(guī)劃院有限公司、航天科工706所、中電科太極智慧信息科技（蘇州）有限公司、中移（蘇州）軟件技術(shù)有限公司、中電科人大金倉信息技術(shù)股份有限公司、聯(lián)通數(shù)字科技有限公司、中國電信上海研究院、中國電子科技集州云至深技術(shù)有限公司、北京芯盾時(shí)代科技有限公司、北京薔薇靈動(dòng)科技有限公司、北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司、南昌大學(xué)網(wǎng)絡(luò)空間安全學(xué)院、中信云網(wǎng)有限公司、中國鐵塔信息研究院、北京大學(xué)、中電科普華基礎(chǔ)軟件股份有限公司、華為技術(shù)有限公司、麒麟軟件有限公司、統(tǒng)信軟件技術(shù)有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、湖州市安全運(yùn)營中心、北京航空航天大學(xué)軟件學(xué)院、上海交通大學(xué)、中國科技大學(xué)網(wǎng)絡(luò)安全學(xué)院、中國信息通信研究院、公安部第三研究所、中國電子信息產(chǎn)業(yè)發(fā)展研究院（賽迪研究院）、北京郵電大學(xué)網(wǎng)絡(luò)安全學(xué)院、中國軟件評(píng)測中心、中廣寬帶網(wǎng)絡(luò)有限公司、北京交通大學(xué)、北京雙湃智安科技有限公司、山東大學(xué)、浙江大學(xué)、飛諾門陣（北京）科技有本文件主要起草人：陳本峰、陳珊、許木娣、張先國、張冰姿、劉健、艾中良、劉凌旗、何山、光、趙慧、張雨、陳小鵬、張洪明、王一、鄭仰樵、李新明、王志淋、堯、熊嵩、陳棟、齊驥、謝潔意、劉俊杰、宋瑞、趙海蕾、胡一鳴、麻付強(qiáng)、宋桂香、魯華偉、鄒艷鵬、諶鵬、何國鋒、司玄、吳巍、賈哲、楊曉鵬、董雁超、曾倞、畢寶剛敏杰、王世堯、楊明非、劉茜、何明瑤、饒泓、羅銘、張軍、楊曉斌、葉臻、張子浪、陳鐘、王江濤、余曉光、于繼萬、王震、萬慧星、胡波、馬紅斌、梅勇、舒俊海、穆琙博、任衛(wèi)紅、李安倫、杜武恭、陶耀東、李浥東、黃東華、徐書珩、任浩源、崔立真、紀(jì)守在零信任環(huán)境中，網(wǎng)絡(luò)隱身特性是保證數(shù)據(jù)可信通信的前置條件。零信任安全以“永不信任，持續(xù)驗(yàn)證”為核心理念，假設(shè)數(shù)據(jù)通信的所在網(wǎng)絡(luò)環(huán)境是不可信的。因此，在數(shù)據(jù)通信連接建立前，零信任網(wǎng)絡(luò)隱身協(xié)議（ZeroTrustNetwork-infrastructureHidingProtocol，簡稱NHP協(xié)議）使數(shù)據(jù)資源提供方的服務(wù)器默認(rèn)拒絕一切訪問，并隱藏其IP地址與端口，使其對(duì)未授權(quán)對(duì)象（如：外部攻擊者、內(nèi)部越權(quán)訪問者）始終保持不可見，有效收縮了網(wǎng)絡(luò)暴露面，避免漏洞利用、弱口令破解等網(wǎng)絡(luò)攻擊的前置手段，此特性實(shí)現(xiàn)了相對(duì)“網(wǎng)絡(luò)隱身”。數(shù)據(jù)資源訪問主體只有經(jīng)過身份認(rèn)證和權(quán)限鑒別成功后，才可以與資源提供方建立連接，從而保證了數(shù)據(jù)通信連接的可信性。在數(shù)據(jù)通信連接建立之后，NHP協(xié)議保持對(duì)通信參與方的間隔性持續(xù)驗(yàn)證，一旦風(fēng)險(xiǎn)被檢測到或者安全策略發(fā)生改變，通信可以被及時(shí)中斷，從而保障數(shù)據(jù)通信具備持續(xù)的可信性與可控性。在數(shù)據(jù)通信過程中，當(dāng)數(shù)據(jù)資源提供方具備高可用架構(gòu)的前提下，NHP協(xié)議可為數(shù)據(jù)資源訪問主體動(dòng)態(tài)指派安全可用的資源提供方服務(wù)器地址，并可以返回?cái)?shù)據(jù)的完整性校驗(yàn)、隱私計(jì)算等參數(shù)，使數(shù)據(jù)通信過程不受網(wǎng)絡(luò)故障以及惡意攻擊的影響，從而保證數(shù)據(jù)通信過程的可靠性。零信任網(wǎng)絡(luò)隱身協(xié)議作為零信任安全架構(gòu)中的一個(gè)通用基礎(chǔ)組件，具有分布式、可擴(kuò)展等特性，可與目前主流的零信任技術(shù)架構(gòu)（即軟件定義邊界、微隔離等）融合，可用于南北向流量、東西向流量的安全防護(hù)；支持與任意第三方身份認(rèn)證與訪問權(quán)限管理相關(guān)系統(tǒng)對(duì)接，也支持通過下一代防火墻進(jìn)行邏輯微隔離；支持與第三方日志審計(jì)或區(qū)塊鏈平臺(tái)對(duì)接，以滿足數(shù)據(jù)流通的監(jiān)管合規(guī)要求。1零信任網(wǎng)絡(luò)隱身協(xié)議規(guī)范本文件適用于零信任網(wǎng)絡(luò)隱身協(xié)議信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、開發(fā)、應(yīng)用和測試。下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括GB/T43696-2024網(wǎng)絡(luò)安全技術(shù)零信任參考體注：該理念認(rèn)為對(duì)資源的訪問，無論主體和資源是否可信，主體和資源之零信任網(wǎng)絡(luò)隱身協(xié)議zerotrustnetwork-infrastructurehiding零信任環(huán)境下用于資源訪問控制的一種框架協(xié)議，簡稱NHP協(xié)議訪問主體在網(wǎng)絡(luò)上不可見，只對(duì)經(jīng)過身份認(rèn)證和權(quán)限鑒定后的授權(quán)訪問主體開放網(wǎng)絡(luò)訪問，確保資源訪問符合可信、可控、可靠、可證四大安全原則。該訪問控制方法在業(yè)內(nèi)通常稱為“網(wǎng)絡(luò)隱身”。2資源訪問主體在建立數(shù)據(jù)通信連接之前，首先發(fā)送帶有身份、設(shè)備以及目一種引入隨機(jī)數(shù)并將其用于通信雙方一系列加解密的算法組合。它使通信雙方在處理免采用固定的計(jì)算范式，從而使攻擊者難以破解，為每一次數(shù)據(jù)傳輸提4縮略語AEAD：攜帶附加數(shù)據(jù)的認(rèn)證加密（AuthenticatedEncryptionwithAssAES：高級(jí)加密標(biāo)準(zhǔn)（AdvancedEncryptionStandaASP：授權(quán)服務(wù)提供商（AuthorizationServiceProvider）ECC：橢圓曲線非對(duì)稱加密算法（EllipticCurveCryptograECDH：橢圓曲線DH密鑰交換（EllipticCuGCM：伽羅/計(jì)數(shù)器加密模式（Galois/CounterMoHTTPS：超文本傳輸安全協(xié)議（HypertextTransferIBC：基于標(biāo)識(shí)的加密算法（IdentityBMAC：消息驗(yàn)證碼（MessageAuthenticationCode）RSA：Rivest-Shamir-Adleman非對(duì)稱加密算法（RivesSHA：安全散列算法（SecureHashingAl3SPA：單包授權(quán)協(xié)議（SinglePacketAuthoTCP：傳輸控制協(xié)議（TransmissiUDP：用戶數(shù)據(jù)報(bào)文協(xié)議（UserDatagramProtocol）在服務(wù)器的在網(wǎng)絡(luò)上的安全隱藏與訪問控制。NHP協(xié)議技術(shù)架構(gòu)與GB/T43696-2024中定義的零信任參考體系架構(gòu)的對(duì)應(yīng)關(guān)系參見附錄A。NH代表資源訪問主體發(fā)起敲門請求的模塊，形式可處理并驗(yàn)證敲門請求的模塊，通常是服務(wù)器程序。其功能包括驗(yàn)證敲門請求并與外部4NHP服務(wù)器作為NHP協(xié)議流程的中心處理單元，負(fù)責(zé)將整個(gè)協(xié)議流程中收按照會(huì)話記錄下來，可以用將來的安全研究授權(quán)服務(wù)提供商提供的服務(wù)包括身份認(rèn)證服務(wù)、設(shè)備驗(yàn)證服務(wù)、策略權(quán)限驗(yàn)證服務(wù)all）的安全策略并確保被保護(hù)資源的網(wǎng)絡(luò)隱身狀態(tài)，通常位于被保護(hù)資源所在的同一主機(jī)上NHP門禁應(yīng)記錄訪問授權(quán)與訪問事件、訪問流量等關(guān)鍵信息，e.被保護(hù)資源（ProtectedR5NHP代理訪問被保護(hù)資源時(shí)，事先并不知道被保護(hù)資源的真實(shí)地址，應(yīng)進(jìn)行資源訪問的6NHP協(xié)議采用輕量級(jí)的噪聲協(xié)議框架，支持資源訪問主體身份與權(quán)限驗(yàn)證，實(shí)現(xiàn)雙向驗(yàn)在具體實(shí)現(xiàn)時(shí)，需要記錄并計(jì)算各個(gè)交互環(huán)NHP協(xié)議報(bào)文由包頭與消息兩個(gè)部分組成。NHP協(xié)議包頭在協(xié)議交互流程中可使用UDP協(xié)議進(jìn)行NHP協(xié)7算，使其不暴露明文。消息采用伽羅/計(jì)數(shù)器加密模式（GCM）攜帶附加數(shù)據(jù)的認(rèn)證加密（），起、解析、確認(rèn)與回復(fù)時(shí)，對(duì)包頭的驗(yàn)證處理見），式。附加數(shù)據(jù)在加密時(shí)并不參與密文的生成，但是會(huì)影響最終的消息驗(yàn)證碼，在解密時(shí)需要超過UDP報(bào)文的長度上限，即65536字節(jié)。NHP的消息在不同的邏輯組件中被創(chuàng)建和處理。如無特殊說明NHP協(xié)議包頭擴(kuò)展長度見圖4所示。8字段（字節(jié)數(shù)）發(fā)起方維護(hù)的一個(gè)uint64計(jì)數(shù)器，作為GCM加密的隨機(jī)數(shù)（nonce（EllipticCurveCryptograp信雙方在不安全的通道上建立一個(gè)共同密鑰（sharedse9域名、ID或其他字符串）。此處的用戶、設(shè)備等信息應(yīng)與外部授上報(bào)NHP代理對(duì)各條終端環(huán)境檢測參數(shù)的校驗(yàn)結(jié)果，可以為[7.2.2NHP-ACK（Ackno訪問授權(quán)臨時(shí)訪問端口或者令牌等信息。NHP代理可以7.2.4NHP-AUT（Auth7.2.5NHP-AOP（ACO字段NHP服務(wù)器將日志記錄匯總之后，可以上傳至數(shù)據(jù)資源監(jiān)管機(jī)9測試驗(yàn)證方法9.1隱身能力驗(yàn)證2)資源訪問主體未經(jīng)過身份認(rèn)證前，被保護(hù)的資源的主機(jī)端口是否可9.2噪聲算法驗(yàn)證2)發(fā)起方與接收方必須使用ECDH算法將其中一方3)發(fā)起方與接收方必須使用ECDH算法將自身的9.3可用性測試驗(yàn)證2)敲門驗(yàn)證服務(wù)可以橫向彈性擴(kuò)展成多臺(tái)主機(jī)，選擇其中任何一個(gè)服務(wù)器發(fā)送敲門數(shù)據(jù)包都可3)門禁與被保護(hù)資源的所在主機(jī)IP地址由NHP敲門驗(yàn)證服務(wù)動(dòng)態(tài)返回給NHP代理，而不是靜態(tài)9.4擴(kuò)展性測試2)NHP消息的類型是可擴(kuò)展的，新的擴(kuò)展9.5兼容性測試2)NHP協(xié)議的實(shí)現(xiàn)代碼必須同時(shí)支持至少一種國產(chǎn)化的CPU硬件和操作系統(tǒng)平臺(tái)。與GB/T43696-2024中定義的零信任參考體系架構(gòu)的對(duì)應(yīng)關(guān)系A(chǔ).1與GB/T43696-2024零信任參考體系“資源管理”、“設(shè)備管理”、“身份管理”與“密碼服務(wù)和應(yīng)用”等功能模塊）。GB/T39204-2022在主動(dòng)防御方面，明確要求收斂暴露面：應(yīng)識(shí)別和減少互聯(lián)網(wǎng)聯(lián)網(wǎng)協(xié)議地址、端口、應(yīng)用服務(wù)等暴露面，壓縮互聯(lián)網(wǎng)出口數(shù)量。NHP協(xié)議是零輕量級(jí)的實(shí)現(xiàn)方案，能有效收縮暴露面，可用于各種數(shù)據(jù)通信交建設(shè)安全可信的數(shù)據(jù)基礎(chǔ)設(shè)施，讓數(shù)據(jù)要素“流得動(dòng)”，是發(fā)展數(shù)字經(jīng)濟(jì)發(fā)展的必要條網(wǎng)絡(luò)安全范式通過建立靜態(tài)的邊界來提供安全隔離，不利于數(shù)據(jù)的流通共享。NHP全“永不信任，持續(xù)驗(yàn)證”的核心理念，通過網(wǎng)絡(luò)隱身技術(shù)來保障數(shù)據(jù)資源提供對(duì)合法授權(quán)的訪問者開放，黑客無法通過軟件系統(tǒng)漏洞等攻擊手段來非法訪問數(shù)據(jù)，并且通過持續(xù)的驗(yàn)證以及最小化授權(quán)原則，避免合法用戶的越權(quán)訪問，從而保障了數(shù)據(jù)交互過程靠、可證等四大核心安全原則。此外，NHP協(xié)議具備靈活的擴(kuò)展能力，可以通監(jiān)管機(jī)構(gòu)的對(duì)接，為數(shù)據(jù)交易平臺(tái)提供數(shù)據(jù)訪問的計(jì)量計(jì)費(fèi)依據(jù)，以及為監(jiān)管機(jī)構(gòu)提供數(shù)據(jù)要素流通與交易的合規(guī)監(jiān)管依據(jù)。數(shù)據(jù)要素流通與交易場數(shù)字化轉(zhuǎn)型的縱深和橫向發(fā)展，業(yè)務(wù)發(fā)展需要，遠(yuǎn)程/移動(dòng)辦公成為辦公常態(tài)，組織不得業(yè)務(wù)系統(tǒng)/網(wǎng)絡(luò)設(shè)備開放到公網(wǎng)上來，遠(yuǎn)程/移動(dòng)辦公/運(yùn)維人員在公網(wǎng)可以連接業(yè)務(wù)系統(tǒng)為平衡業(yè)務(wù)發(fā)展和網(wǎng)絡(luò)資源安全防護(hù)，組織可使用NHP協(xié)議業(yè)務(wù)發(fā)展，相關(guān)人員可遠(yuǎn)程/移動(dòng)辦公連接企業(yè)的業(yè)務(wù)資源/網(wǎng)絡(luò)設(shè)備，同時(shí)組織的業(yè)務(wù)資源/云計(jì)算在國內(nèi)經(jīng)過多年的發(fā)展和沉淀，各組織對(duì)云計(jì)算的認(rèn)知漸采用云服務(wù)或?qū)⑺接邢到y(tǒng)上云（私有云/公有云/混合云）以應(yīng)對(duì)組織和業(yè)務(wù)發(fā)展需要。直接采用云直接采用云服務(wù)或?qū)⑾到y(tǒng)上云場景都可以采用NHP協(xié)議進(jìn)行業(yè)務(wù)資源面，在兼顧業(yè)務(wù)發(fā)展需要，享受云計(jì)算技術(shù)帶來的便利，減少運(yùn)維成本的同時(shí)，保護(hù)業(yè)務(wù)系統(tǒng)資大型企業(yè)、事業(yè)單位多擁有多個(gè)分支機(jī)構(gòu)（業(yè)務(wù)擴(kuò)大，原組織自身發(fā)展壯大、衍生出多構(gòu)；業(yè)務(wù)發(fā)展需要，收購子組織或合并相關(guān)組織分支機(jī)構(gòu)擁有自己獨(dú)立的業(yè)務(wù)系統(tǒng)，為避免重復(fù)建設(shè)，分支機(jī)構(gòu)保留原來的業(yè)務(wù)系統(tǒng)，同時(shí)還有訪問總部或其他分支業(yè)務(wù)系統(tǒng)資源的需要，總部總部或分支機(jī)構(gòu)在共享自己的業(yè)務(wù)資源/網(wǎng)絡(luò)設(shè)備給其他分支時(shí)，可以采用NHP協(xié)議對(duì)需要開放共享的業(yè)務(wù)資源進(jìn)行資源隱身，兼顧業(yè)務(wù)需要的同時(shí)，實(shí)現(xiàn)總部或分支機(jī)構(gòu)資源的隱身，保護(hù)業(yè)務(wù)除了提供安全防御能力，NHP協(xié)議框架全研究機(jī)構(gòu)進(jìn)行攻擊樣本的研究。舉例來說，當(dāng)NHP服務(wù)器證失敗，可以仍然給該NHP代理返回成功的消息，但同時(shí)返回目標(biāo)資源址，以將攻擊者引流到指定的蜜罐系統(tǒng)，引誘攻擊者對(duì)蜜罐中的陷阱服務(wù)作出攻擊行為，從而由進(jìn)行NHP協(xié)議系統(tǒng)中NHP代理部署在資源訪問主體使用的終端設(shè)別或者服務(wù)器上NHP協(xié)議系統(tǒng)采用Client/Server架構(gòu)模式進(jìn)行部署，由三大組件組成：NHP代理、NHP服務(wù)器、NHP協(xié)議系統(tǒng)可采用私有化部署模式進(jìn)行建設(shè)，參考合規(guī)要求及組織當(dāng)前的網(wǎng)絡(luò)架構(gòu)融合，可部署在組織防火墻后、業(yè)務(wù)系統(tǒng)資源前，實(shí)現(xiàn)安全訪問接入組織網(wǎng)絡(luò)與資NHP協(xié)議系統(tǒng)在部署時(shí)可采用獨(dú)立客戶端模式，即NHP代端設(shè)備中。私有化獨(dú)立客戶端模式架構(gòu)圖如下圖所示?？蛻舳朔?wù)安裝在終端獨(dú)立客戶端模式可實(shí)現(xiàn)全局的安全防護(hù)，即終端上安裝NHP代理后，終端集成模式本身才存在一些缺點(diǎn)，SDK集成方式在NHP代理程序NHP協(xié)議也可以用于服務(wù)器間東西向數(shù)據(jù)流量的控制。通過私有部署的同時(shí)運(yùn)行NHP代理程序?qū)σ呀?jīng)隱身的其它服務(wù)器進(jìn)行授權(quán)訪NHP協(xié)議系統(tǒng)支持云化部署模式進(jìn)行建設(shè)，結(jié)合云計(jì)算的特點(diǎn)和優(yōu)勢，更好的為組織云化部署模式下，獨(dú)立客戶端模式與私有化部署類似，只是將N將NHP服務(wù)器部署在云上，也可以將NHP協(xié)議用于私有或禁程序用來為自己后臺(tái)的業(yè)務(wù)應(yīng)用隱身，也可以同時(shí)運(yùn)行NHP代理程序?qū)σ呀?jīng)隱身對(duì)于已經(jīng)部署了零信任網(wǎng)絡(luò)隱身相關(guān)產(chǎn)品或服務(wù)的組織，根據(jù)自身數(shù)字化轉(zhuǎn)型規(guī)劃和當(dāng)前進(jìn)展以及安全規(guī)劃決定是否升級(jí)零信任網(wǎng)絡(luò)隱身服務(wù)。如組織當(dāng)前有規(guī)劃升級(jí)安全服務(wù)，則組織選擇合適的具備的功能模塊，組織安全人員和業(yè)務(wù)系統(tǒng)人員做好規(guī)劃，充分測試后升級(jí)服務(wù)；如組織對(duì)當(dāng)前隱身協(xié)議或安全廠商更換，則建議重新部署NHP協(xié)議相關(guān)服務(wù)，在新舊隱身服務(wù)，采用灰度發(fā)布的模式，逐步遷移用戶到新的服務(wù)，直到新如組織當(dāng)前沒有規(guī)劃升級(jí)安全服務(wù)，則需要等待合適的時(shí)機(jī)進(jìn)行升級(jí)服務(wù)，依舊使用身份認(rèn)證的目的是鑒別通信中另一端的真實(shí)身份，防止偽造和假冒等情況發(fā)生，的可信。根據(jù)身份認(rèn)證的對(duì)象不同，認(rèn)證手段也不同，但法。身份認(rèn)證的對(duì)象可以是人，也可以是網(wǎng)絡(luò)設(shè)備，也可以是機(jī)器，也可以是物聯(lián)網(wǎng)中的如果被認(rèn)證的對(duì)象是自然人，則有三類信息可以用于身份認(rèn)證，即“知道什么”12345678表中列舉了幾種常見的用戶身份認(rèn)證的方式。組織在使用NHP協(xié)議進(jìn)行安表中的認(rèn)證方式進(jìn)行身份認(rèn)證。在訪問關(guān)鍵業(yè)務(wù)系統(tǒng)或含有敏感信息的系統(tǒng)時(shí)，應(yīng)采用兩種或兩種以設(shè)備身份認(rèn)證是指對(duì)用戶訪問業(yè)務(wù)資源時(shí)使用的設(shè)備進(jìn)行身份認(rèn)證，或終端設(shè)備作為對(duì)主體設(shè)備進(jìn)行身份認(rèn)證。設(shè)備身份認(rèn)證也存在多種認(rèn)證方式，如采用設(shè)備指紋的方式對(duì)設(shè)備進(jìn)行標(biāo)識(shí)和鑒別、采用公鑰密碼算法、內(nèi)嵌數(shù)字證書的方式進(jìn)行鑒別等。終端設(shè)備類型見設(shè)備指紋是指用于唯一標(biāo)識(shí)出該設(shè)備的設(shè)備特征或者獨(dú)特的設(shè)備標(biāo)識(shí)。設(shè)備指紋包功能等）也可以采用一定的算法來綜合計(jì)算設(shè)備指紋。設(shè)備指紋需要做到唯一性，即唯一地設(shè)備，不會(huì)與其他設(shè)備重復(fù)、每次計(jì)算不會(huì)改變、也難以被仿冒。具備唯一性的設(shè)備指紋可數(shù)字證書是一種特殊的文件格式，包含用戶/設(shè)備身份信息、用戶/設(shè)備公鑰信私鑰的簽名。數(shù)字證書可作為數(shù)字身份證，在網(wǎng)絡(luò)世界中進(jìn)行交互時(shí)，證書持有人/設(shè)備只需出證書，對(duì)方通過判斷該證書是否偽造、持證人是否擁有對(duì)應(yīng)的私鑰、該證書是否被作廢或凍結(jié)等內(nèi)容即可驗(yàn)證該持證人/設(shè)備的身份是否合法，從而很方便地實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證功能。利用數(shù)字成設(shè)備（尤其是物聯(lián)網(wǎng)設(shè)備）身份認(rèn)證是目前最為安全有效的一種技術(shù)噪聲協(xié)議是一種結(jié)合隨機(jī)ECC密鑰對(duì)和ECDH算法的密鑰協(xié)商協(xié)議。噪聲協(xié)議框架隱式實(shí)現(xiàn)了交互ECDH算法比使用RSA簽名在密鑰、密文長度和計(jì)算開銷上都小得多，安全性更高。特）公鑰的擴(kuò)展長度，以適用未來加密算法C.1RSA與ECC的安全強(qiáng)度與開度。而由RSA消息簽名產(chǎn)生的密文尺寸和密鑰長度相當(dāng)NHP-KPL0NHP-KNK1NHP-ACK2NHP-AOP3NHP-ART4NHP-LST5NHP-LRT6NHP-COK7NHP-RKN8NHP-RLY9NHP-AOLNHP-AAKNHP-OTPNHP-REGNHP-RAKNHP-ACCNHP-LOGNHP-LAK{"usrId":"9eb1e411-b7ab-4b78"aspId":"d0b0e0bd-7ad9"resId":"267ebdaa-52c}{"usrId":"9eb1e411-b7ab-4b78"aspId":"d0b0e0bd-7ad9"resId":"267ebdaa-52c}{"devId":"f7a0a672-8c7}{}（KGC）注冊公鑰。如果采用動(dòng)態(tài)密鑰管理，在NHP代理每次生成新的密鑰后，也可以利用NHP-REG消此消息由NHP代理發(fā)起，NHP服務(wù)器接收，用作NHP代理向NH以是短信、郵箱驗(yàn)證碼，或者二維碼的形式）信息向NHP服務(wù)器發(fā)起注冊，驗(yàn)代理動(dòng)態(tài)公鑰會(huì)被NHP服務(wù)器收錄，NHP服務(wù)器返回NHP-RAK包通知NHP代理密鑰注冊成功。字段NHP代理獲得的一次性的驗(yàn)證密碼，由NHP服務(wù)器校驗(yàn)。用于NHP代理向NHP服務(wù)器證明自己{"usrId":"9eb1e411-b7ab-4b78}D.3.2NHP-OTP（One-timePNHP協(xié)議提供一種可選申請一次性驗(yàn)證碼的方法。此消息由NHP代理發(fā)起，NHP服務(wù)器或者密鑰生成中心服務(wù)器（KGC）接收，為NHP代理向服務(wù)器注冊自身密鑰的可選前置步驟。必須使用NHP協(xié)議包{"usrId":"9eb1e411-b7ab-4b78}D.3.3NHP-RAK（Register傳統(tǒng)的基于PKI體系的密鑰分發(fā)與驗(yàn)證體系已經(jīng)很可能無法滿足零信任安全架構(gòu)對(duì)密鑰驗(yàn)證中心的可達(dá)性、健壯性與性能的高要求，而使用基于標(biāo)識(shí)的加密算法（IBC）能夠很好解決這個(gè)問題，遞并參與計(jì)算，大幅降低了密鑰中心對(duì)公鑰管理和分發(fā)流程上的復(fù)雜度。國內(nèi)常見的IBC算法有國密D.3.5無證書密鑰體系CL-PKC（CertificatelessPublicKeyCryp相同，但私鑰并不單獨(dú)依賴KGC計(jì)算生成，而需要由用戶側(cè)提供一部分密NHP代理在初始狀態(tài)時(shí)（非預(yù)配置或定制化的NHP代理開始并無法獲知系統(tǒng)中存在此消息由NHP代理發(fā)起，NHP服務(wù)器接收{(diào)"usrId":"9eb1e411-b7ab-4b78}D.4.2NHP-LRT（List{{"aspId":"d0b0e0bd-7ad9-4b94-b57c-c69{"aspId":"3c50fafd-b5e8-420e}），{{"aspId":"d0b0e0bd-7ad9-4b94-b57c-c6]}