Spécification

Normalisation du protocole

OpenNHP est en cours de normalisation à l'IETF et au sein de la CSA afin de garantir l'interopérabilité, la relecture de sécurité et l'adoption à l'échelle du secteur.

L'autorité de référence en sécurité du cloud

Spécification Zero Trust de la CSA

La Cloud Security Alliance (CSA) — la principale organisation mondiale pour les standards de sécurité du cloud, avec plus de 500 membres d'entreprise dont AWS, Google, Microsoft et Alibaba — a publié un guide complet intitulé « Stealth Mode SDP for Zero Trust Network Infrastructure » qui présente NHP.

📘

Stealth Mode SDP for Zero Trust Network Infrastructure

Document Voir sur CSA →
Organisation Cloud Security Alliance (CSA)
Groupe de travail ZT5 - Pilier : Networks (Zero Trust Research)
Auteurs principaux Benfeng Chen, Justin Posey, Yuanyuan Liu
Contributeurs Michael Roza, Leon Zeng, Jason Garbis
Relecteurs Justin Bowen, George Chi, Xinpi Du, Philip Griffiths, Matias Katz, Prashant Khanwale, Vaibhav Malik, Dr. Victor Monga, Surendra Narang, Dharnisha Narasappa, Chinaza Obidike, Srinivasa Ravi Teja Peri, Venkataramana Ragothaman, Shashank Shelat, Jen Trahan, Washima Tuleun
Équipe CSA Erik Johnson

Contenu du document

  • Paysage des menaces pilotées par l'IA

    Analyse des menaces de scan, de reconnaissance et d'exploitation de zero-day pilotées par l'IA

  • Architecture et flux de travail NHP

    Composants principaux (NHP-Agent, NHP-Server, NHP-AC) et flux de protocole complet

  • Cadre cryptographique

    Noise Protocol, format d'en-tête de message et spécification de 18 types de messages

  • Guide d'intégration

    Modèles d'intégration SDP, DNS et FIDO avec considérations de mise en œuvre

  • Journalisation et conformité

    Types de journaux, format, transmission et exigences d'audit de conformité

« La visibilité réseau par défaut de TCP/IP est à l'origine d'une grande partie de l'activité malveillante d'aujourd'hui. Compte tenu du paysage actuel des menaces et de l'adoption généralisée du Zero Trust comme ensemble de principes et de bonnes pratiques, nous pensons qu'il est désormais impératif de faire évoluer nos technologies réseau fondamentales vers une posture de refus par défaut — en phase avec des concepts émergents tels que la cybersécurité préventive de Gartner, qui met l'accent sur le refus, la tromperie et la perturbation des menaces avant qu'elles ne puissent se lancer ou aboutir. »
— Spécification CSA Stealth Mode SDP, résumé
L'organisme de normalisation d'Internet

Internet-Draft de l'IETF

L'Internet Engineering Task Force (IETF) — l'organisation qui a défini TCP/IP, HTTP, TLS, DNS, et pratiquement tous les protocoles fondamentaux d'Internet — normalise désormais NHP. Avec plus de 9 000 RFC publiées, l'IETF est l'autorité de référence pour les normes de protocole Internet.

📄

draft-opennhp-ztcpp-nhp

Statut Internet-Draft actif
Groupe de travail Zero Trust Control and Policy Protocol (ZTCPP)
Publié le 1er janvier 2026
Auteurs Benfeng Chen
Document Voir sur le Datatracker IETF →

Participer à la normalisation

Rejoignez l'effort de normalisation NHP à l'IETF. Les contributions sont les bienvenues !

Développement de la RFC Liste de diffusion ZTCPP

Points forts de la spécification

🏗️

Architecture du protocole

Définit les composants NHP-Agent, NHP-Server, NHP-AC et ASP avec une séparation claire des responsabilités pour la montée en charge et la sécurité.

🔐

Cadre cryptographique

Basé sur le Noise Protocol Framework avec les motifs de handshake XX, IK et K. Utilise Curve25519, ChaCha20-Poly1305 et HKDF.

📦

Formats de message

Spécification complète de NHP-KNK (Knock), NHP-ACK, NHP-AOP, NHP-ACC et d'autres types de messages avec encodage binaire.

🔗

Modèles d'intégration

Recommandations pour l'intégration avec SDP, DNS, l'authentification FIDO et les moteurs de politiques Zero Trust.

Fondations

Bâti sur des standards du secteur

NHP s'appuie sur des standards et protocoles de sécurité éprouvés et y fait référence.

📋

NIST SP 800-207

Lignes directrices sur l'architecture Zero Trust du National Institute of Standards and Technology.

🔒

RFC 8446 (TLS 1.3)

NHP complète TLS en fournissant l'authentification pré-connexion et la dissimulation des services.

RFC 9000 (QUIC)

NHP peut protéger les services basés sur QUIC avec les mêmes capacités de dissimulation que TCP.

🔐

RFC 9180 (HPKE)

Hybrid Public Key Encryption, référencé pour les scénarios avancés d'encapsulation de clés.

🎵

Noise Protocol Framework

Fondement cryptographique des motifs de handshake et de l'échange de clés de NHP.

🏢

CSA SDP Spec v2.0

Spécification Software Defined Perimeter par Garbis, Koilpillai, Islam, Flores, Bailey, Chen, et al. (mars 2022).

Contribuez à la normalisation de NHP

Aidez à façonner l'avenir du réseau Zero Trust. Relisez la spécification, soumettez vos retours et participez au processus IETF.

Lire le draft IETF Contribuer sur GitHub