规范 - OpenNHP

云安全领域的权威机构

CSA 零信任规范

云安全联盟 (CSA) —— 全球领先的云安全标准组织，拥有 500 多家企业成员，包括 AWS、Google、Microsoft 和阿里巴巴 —— 已发布关于"零信任网络基础设施隐身模式 SDP"的综合指南，介绍了 NHP。

组织云安全联盟 (CSA)

工作组 ZT5 - 支柱：网络（零信任研究）

主要作者 Benfeng Chen, Justin Posey, Yuanyuan Liu

贡献者 Michael Roza, Leon Zeng, Jason Garbis

审阅者 Justin Bowen, George Chi, Xinpi Du, Philip Griffiths, Matias Katz, Prashant Khanwale, Vaibhav Malik, Dr. Victor Monga, Surendra Narang, Dharnisha Narasappa, Chinaza Obidike, Srinivasa Ravi Teja Peri, Venkataramana Ragothaman, Shashank Shelat, Jen Trahan, Washima Tuleun

CSA 工作人员 Erik Johnson

文档内容

✓
AI 驱动的威胁态势
AI 驱动的扫描、侦察和零日漏洞利用威胁分析
✓
NHP 架构与工作流
核心组件（NHP-Agent、NHP-Server、NHP-AC）和完整的协议工作流
✓
密码学框架
Noise 协议、消息头格式和 18 种消息类型规范
✓
集成指南
SDP、DNS 和 FIDO 集成模式及实施注意事项
✓
日志与合规
日志类型、格式、传输和合规审计要求

"TCP/IP 默认的网络可见性助长了当今大量的恶意活动。鉴于当前的威胁态势以及零信任作为一套原则和最佳实践的广泛采用，我们认为现在必须将核心网络技术转向默认拒绝的立场——这与 Gartner 提出的先发制人网络安全等新兴概念一致，该概念强调在威胁发起或得逞之前对其进行拒绝、欺骗和瓦解。"

—— CSA 隐身模式 SDP 规范，摘要

互联网背后的标准制定机构

IETF 互联网草案

互联网工程任务组 (IETF) —— 定义了 TCP/IP、HTTP、TLS、DNS 及几乎所有核心互联网协议的组织 —— 正在对 NHP 进行标准化。IETF 已发布超过 9,000 个 RFC，是互联网协议标准的首要权威机构。

状态活跃互联网草案

工作组 SAAG（安全领域咨询组）

发布日期 2026 年 1 月 1 日

过期日期 2026 年 7 月 5 日

作者 Benfeng Chen

文档在 IETF Datatracker 上查看 →

参与标准化工作

加入 IETF NHP 标准化工作。欢迎贡献！

RFC 开发 SAAG 邮件列表

规范亮点

🏗️

协议架构

定义了 NHP-Agent、NHP-Server、NHP-AC 和 ASP 组件，职责分离清晰，确保可扩展性和安全性。

🔐

密码学框架

基于 Noise 协议框架，支持 XX、IK 和 K 握手模式。使用 Curve25519、ChaCha20-Poly1305 和 HKDF。

📦

消息格式

NHP-KNK（敲门）、NHP-ACK、NHP-AOP、NHP-ACC 及其他消息类型的完整规范，采用二进制编码。

🔗

集成模式

与 SDP、DNS、FIDO 认证和零信任策略引擎集成的指南。

基础

基于行业标准构建

NHP 基于并参考了已建立的安全标准和协议。

📋

NIST SP 800-207

美国国家标准与技术研究院发布的零信任架构指南。

🔒

RFC 8446 (TLS 1.3)

NHP 通过提供连接前认证和服务隐藏来补充 TLS。

⚡

RFC 9000 (QUIC)

NHP 可以为基于 QUIC 的服务提供与 TCP 相同的隐藏能力保护。

🔐

RFC 9180 (HPKE)

混合公钥加密，用于高级密钥封装场景的参考。

🎵

Noise Protocol Framework

NHP 握手模式和密钥交换的密码学基础。

🏢

CSA SDP Spec v2.0

由 Garbis、Koilpillai、Islam、Flores、Bailey、Chen 等人编写的软件定义边界规范（2022 年 3 月）。

参与 NHP 标准化

帮助塑造零信任网络的未来。审阅规范、提交反馈并参与 IETF 流程。

阅读 IETF 草案在 GitHub 上贡献

协议标准化