規範 - OpenNHP

雲端安全的領導權威

CSA 零信任規範

雲端安全聯盟（CSA）——全球領先的雲端安全標準組織，擁有超過 500 家企業會員，包括 AWS、Google、Microsoft 和 Alibaba——已發布關於「零信任網路基礎設施隱身模式 SDP」的全面指導文件，介紹了 NHP。

組織雲端安全聯盟（CSA）

工作小組 ZT5 - 支柱：網路（零信任研究）

主要作者 Benfeng Chen, Justin Posey, Yuanyuan Liu

貢獻者 Michael Roza, Leon Zeng, Jason Garbis

審稿人 Justin Bowen, George Chi, Xinpi Du, Philip Griffiths, Matias Katz, Prashant Khanwale, Vaibhav Malik, Dr. Victor Monga, Surendra Narang, Dharnisha Narasappa, Chinaza Obidike, Srinivasa Ravi Teja Peri, Venkataramana Ragothaman, Shashank Shelat, Jen Trahan, Washima Tuleun

CSA 工作人員 Erik Johnson

文件內容

✓
AI 驅動的威脅態勢
分析 AI 驅動的掃描、偵察及零日漏洞利用威脅
✓
NHP 架構與工作流程
核心元件（NHP-Agent、NHP-Server、NHP-AC）及完整協定工作流程
✓
密碼學框架
Noise Protocol、訊息標頭格式及 18 種訊息類型規範
✓
整合指南
SDP、DNS 和 FIDO 整合模式及實作注意事項
✓
日誌記錄與合規
日誌類型、格式、傳輸及合規稽核要求

「TCP/IP 預設的網路可見性助長了當今大量的惡意活動。鑑於目前的威脅態勢以及零信任原則和最佳實踐的廣泛採用，我們認為現在有必要將核心網路技術轉向預設拒絕的姿態—— 這與 Gartner 提出的先制式網路安全等新興概念一致，強調在威脅發動或得逞之前就予以拒絕、欺騙和瓦解。」

— CSA 隱身模式 SDP 規範，摘要

網際網路背後的標準制定機構

IETF 網際網路草案

網際網路工程任務組（IETF）——定義了 TCP/IP、HTTP、TLS、DNS 及幾乎所有核心網際網路協定的組織——現正對 NHP 進行標準化。IETF 已發布超過 9,000 篇 RFC，是網際網路協定標準的首要權威機構。

狀態有效網際網路草案

工作小組 SAAG（安全領域諮詢小組）

發布日期 2026 年 1 月 1 日

到期日期 2026 年 7 月 5 日

作者 Benfeng Chen

文件在 IETF Datatracker 上檢視 →

參與標準化

加入 IETF NHP 標準化工作。歡迎貢獻！

RFC 開發 SAAG 郵件列表

規範重點

🏗️

協定架構

定義 NHP-Agent、NHP-Server、NHP-AC 和 ASP 元件，職責分離清晰，兼具可擴展性與安全性。

🔐

密碼學框架

基於 Noise Protocol Framework，採用 XX、IK 和 K 握手模式，使用 Curve25519、ChaCha20-Poly1305 和 HKDF。

📦

訊息格式

完整規範 NHP-KNK（Knock）、NHP-ACK、NHP-AOP、NHP-ACC 及其他訊息類型的二進位編碼。

🔗

整合模式

與 SDP、DNS、FIDO 認證及零信任策略引擎整合的指導方針。

基礎

建構於業界標準之上

NHP 建構並參考了既有的安全標準與協定。

📋

NIST SP 800-207

美國國家標準暨技術研究院發布的零信任架構指南。

🔒

RFC 8446 (TLS 1.3)

NHP 透過提供連線前認證和服務隱藏來補充 TLS。

⚡

RFC 9000 (QUIC)

NHP 能以與 TCP 相同的隱藏能力保護基於 QUIC 的服務。

🔐

RFC 9180 (HPKE)

混合公鑰加密，用於進階金鑰封裝場景的參考。

🎵

Noise Protocol Framework

NHP 握手模式與金鑰交換的密碼學基礎。

🏢

CSA SDP Spec v2.0

由 Garbis、Koilpillai、Islam、Flores、Bailey、Chen 等人撰寫的軟體定義邊界規範（2022 年 3 月）。

為 NHP 標準化做出貢獻

協助塑造零信任網路的未來。審閱規範、提交回饋，並參與 IETF 流程。

閱讀 IETF 草案在 GitHub 上貢獻

協定標準化