基于零信任的网络数据安全保护框架与实现

doi:10.11772/j.issn.1001-9081.2024040526

《计算机应用》唯一官方网站 ›› 2025, Vol. 45 ›› Issue (4): 1232-1240.DOI: 10.11772/j.issn.1001-9081.2024040526

基于零信任的网络数据安全保护框架与实现

王作广, 李超(), 赵利

公安部第一研究所，北京 100048

收稿日期:2024-04-26 修回日期:2024-07-19 接受日期:2024-07-24 发布日期:2025-04-08 出版日期:2025-04-10
通讯作者: 李超
作者简介:王作广（1990—），男，河南新乡人，助理研究员，博士，CCF会员，主要研究方向：信息安全、社工安全、网络空间安全、工控安全
赵利（1973—），女，四川绵阳人，副研究员，硕士，主要研究方向：信息安全、数据恢复与取证。
基金资助:
国家重点研发计划项目(2021YFC3300102)

Framework and implementation of network data security protection based on zero trust

Zuoguang WANG, Chao LI(), Li ZHAO

First Research Institute of the Ministry of Public Security，Beijing 100048，China

Received:2024-04-26 Revised:2024-07-19 Accepted:2024-07-24 Online:2025-04-08 Published:2025-04-10
Contact: Chao LI
About author:WANG Zuoguang， born in 1990， Ph. D.， assistant research fellow. His research interests include information security， social work safety， cyberspace safety， industrial control safety.
ZHAO Li， born in 1973， M. S.， associate research fellow. Her research interests include information security， data recovery and forensics.
Supported by:
National Key Research and Development Program of China(2021YFC3300102)

摘要/Abstract

摘要：

为解决网络架构复杂化、动态化和碎片化演变导致的边界防护措施失效，应对非自主可控的系统、软硬件和密码算法不断呈现的脆弱性对网络数据安全造成的挑战，首先，基于零信任理念设计一个零信任网络架构实现模型；其次，提出一种零信任网络安全保护框架，在身份管理与认证、授权与访问、数据处理与传输等环节融合利用零信任安全理念、国密算法体系和可信计算技术，设计国密证书申请与签发、业务数据安全处理与传输等框架流程，并设计与实现身份与访问管理模块、终端可信网络访问代理设备等功能组件；最后，构建基于安全保护框架的网络平台，从而为网络数据安全保护和零信任安全实践提供新框架、技术和工具。安全分析与性能测试的结果显示，所提平台对SM2的签名与验签性能分别平均达到了每秒1 118.72次和每秒441.43次，对SM4的加密和解密性能分别平均达到了10.05 MB/s和9.96 MB/s，平台数据安全访问/响应性能为7.23 MB/s，表明所提框架可以提供稳定的数据安全支持。

关键词: 零信任, 数据保护, 安全框架, 国密算法, 可信计算

Abstract:

In order to address the failure of boundary protection measures caused by the evolution with complexity， dynamics and fragmentation of network architecture， and to cope with the challenge for network data security caused by the continuous emergence of vulnerabilities in non-autonomous controllable systems， software， hardware and cryptographic algorithms， the following tasks were performed. Firstly， a zero trust network architecture implementation model was designed on the basis of zero trust concept. Secondly， a zero trust network security protection framework was proposed， which integrated concept of zero trust security， Chinese cryptographic algorithm system， and trusted computing technology in links such as identity management and authentication， authorization and access， data processing and transmission， framework processes such as Chinese cryptographic certificate application and issuance， business data secure processing and transmission were designed， and functional components such as identity and access management module， terminal trusted network access proxy device were designed and implemented. Finally， a network platform based on the security protection framework was built， which provided new frameworks， technologies and tools for network data security protection and zero trust security practices. Security analysis and performance test results show that with the proposed platform， the signing and signature verification performance of the SM2 reaches 1 118.72 and 441.43 times per second respectively， the encryption and decryption performance of SM4 reaches 10.05 MB/s and 9.96 MB/s respectively， and the secure data access/response performance reaches 7.23 MB/s， demonstrating that the proposed framework can provide stable support for data security.

Key words: zero trust, data protection, security framework, Chinese cryptographic algorithm, trusted computing

中图分类号:

TP309

王作广, 李超, 赵利. 基于零信任的网络数据安全保护框架与实现[J]. 计算机应用, 2025, 45(4): 1232-1240.

Zuoguang WANG, Chao LI, Li ZHAO. Framework and implementation of network data security protection based on zero trust[J]. Journal of Computer Applications, 2025, 45(4): 1232-1240.

图/表 15

参考文献 23

1	Ponemon Institute， DTEX. 2023 cost of insider risks： global report［R/OL］. ［2024-02-28］..
2	Ponemon Institute. 2020 cost of insider threats global report［R/OL］. ［2024-02-28］..
3	CHARFEDDINE M， KAMMOUN H M， HAMDAOUI B， et al. ChatGPT’s security risks and benefits： offensive and defensive use-cases， mitigation measures， and future implications［J］. IEEE Access， 2024， 12： 30263-30310.
4	王作广，朱红松，孙利民. 社工概念演化分析［J］. 信息安全学报， 2021， 6（2）： 12-29.
	WANG Z G， ZHU H S， SUN L M. The concept evolution analysis of social engineering［J］. Journal of Cyber Security， 2021， 6（2）： 12-29.
5	AGHAO K R， TRIBHUVAN V. Hardware vulnerability： meltdown［C］// Proceedings of the 2023 International Conference on Communication， Electronics and Digital Technology， LNNS 676. Singapore： Springer， 2023： 217-228.
6	PATEL R. The final countdown： how much longer until quantum computers become the next cybersecurity threat［J］. The Canadian Science Fair Journal， 2022， 3（6）： 1-6.
7	CVE. CVE-2014-0160［EB/OL］. ［2024-02-21］..
8	BOJANOVA I， GALHARDO C E C. Heartbleed revisited： is it just a buffer over-read？［J］. IT Professional， 2023， 25（2）： 83-89.
9	BENCSÁTH B， PÉK G， BUTTYÁN L， et al. The cousins of Stuxnet： Duqu， Flame， and Gauss［J］. Future Internet， 2012， 4（4）： 971-1003.
10	全国信息安全标准化技术委员会. 网络安全标准实践指南——网络数据分类分级指引： TC260-PG-20212A ［S/OL］. ［2024-03-02］. .
	National Information Security Standardization Technical Committee. Network security standard practice guide — network data classification and grading guidelines： TC260-PG-20212A ［S/OL］. ［2024-03-02］. .
11	全国信息安全标准化技术委员会秘书处. 关于征求国家标准《信息安全技术网络数据分类分级要求》（征求意见稿）意见的通知［EB/OL］. ［2024-03-02］. .
	Secretariat of National Information Security Standardization Technical Committee. Notice on the soliciting opinions on national standard “Network security standard practice guide — network data classification and grading guidelines” （draft for comments）［EB/OL］. ［2024-03-02］. .
12	张宇，张妍. 零信任研究综述［J］. 信息安全研究， 2020， 6（7）： 608-614.
	ZHANG Y， ZHANG Y. A survey of zero trust research［J］. Journal of Information Security Research， 2020， 6（7）： 608-614.
13	ROSE S， BORCHERT O， MITCHELL S， et al. Zero trust architecture： NIST Special Publication 800-207［EB/OL］. ［2024-02-28］..
14	诸葛程晨，王群，刘家银，等. 零信任网络综述［J］. 计算机工程与应用， 2022， 58（22）： 12-29.
	ZHUGE C C， WANG Q， LIU J Y， et al. Survey of zero trust network［J］. Computer Engineering and Applications， 2022， 58（22）： 12-29.
15	王群，袁泉，李馥娟，等. 零信任网络及其关键技术综述［J］. 计算机应用， 2023， 43（4）： 1142-1150.
	WANG Q， YUAN Q， LI F J， et al. Review of zero trust network and its key technologies［J］. Journal of Computer Applications， 2023， 43（4）： 1142-1150.
16	BERTINO E. Zero trust architecture： does it help？［J］. IEEE Security and Privacy， 2021， 19（5）： 95-96.
17	GREENWOOD D. Applying the principles of zero-trust architecture to protect sensitive and critical data［J］. Network Security， 2021， 2021（6）： 7-9.
18	国家密码管理局——标准规范［EB/OL］. ［2024-02-28］..
	Standard Specification of State Cryptography Administration［EB/OL］. ［2024-02-28］..
19	国家密码管理局. 国家密码管理局关于发布《SM2椭圆曲线公钥密码算法》公告［EB/OL］. ［2024-02-28］..
	State Cryptography Administration. State Cryptography Administration’s notice about publishing “Public key cryptographic algorithm SM2 based on elliptic curves”［EB/OL］. ［2024-02-28］..
20	石孟鑫. 基于国密算法的安全芯片设计与实现［D］. 沈阳：辽宁大学， 2022.
	SHI M X. Design and implementation of security chip based on national secret algorithm［D］. Shenyang： Liaoning University， 2022.
21	冯登国，秦宇，汪丹，等. 可信计算技术研究［J］. 计算机研究与发展， 2011， 48（8）： 1332-1349.
	FENG D G， QIN Y， WANG D， et al. Research on trusted computing technology［J］. Journal of Computer Research and Development， 2011， 48（8）： 1332-1349.
22	孙铂. 基于国产平台的TCM应用研究［D］. 太原：中北大学， 2017.
	SUN B. Research of TCM applied on native platform［D］. Taiyuan： North University of China， 2017.
23	姚键. 国产商用密码算法研究及性能分析［J］. 计算机应用与软件， 2019， 36（6）： 327-333.
	YAO J. Domestic commercial cryptographic algorithm and its performance analysis［J］. Computer Applications and Software， 2019， 36（6）： 327-333.

接口名称	参数名称	参数说明
初始化Initialize	pincode［in］	可信模块中存储私钥文件的解密钥
	puccfgfilepath［in］	配置文件全路径
	phapphandle［out］	返回模块应用接口句柄
ZIAM模块反初始化Deinitialize	phapphandle［in］	模块应用接口句柄
配置ZTNA模块SetParam	phapphandle［in］	模块应用接口句柄
配置ZTNA模块SetParam	obj［in］	可信模块参数
下载证书链DownloadChain	phapphandle［in］	模块应用接口句柄
下载证书链DownloadChain	chainfilename［in］	带绝对路径的证书链文件
销毁证书链DestroyChain	phapphandle［in］	模块应用接口句柄
国密证书签发CertDownload	phapphandle［in］	模块应用接口句柄
国密证书签发CertDownload	certsubjectname［in］	证书主题
启动ZTNA模块的数据处理业务StartCS	phapphandle［in］	模块应用接口句柄
结束ZTNA模块的数据处理业务StopCS	phapphandle［in］	模块应用接口句柄
查询ZTNA模块的状态FindStatus	phapphandle［in］	模块应用接口句柄
查询ZTNA模块的状态FindStatus	status［out］	模块状态
上传ZTNA模块日志UploadLog	phapphandle［in］	模块应用接口句柄
上传ZTNA模块日志UploadLog	logname［in］	模块日志文件名绝对路径

接口名称	参数名称	参数说明
初始化Initialize	pincode［in］	可信模块中存储私钥文件的解密钥
	puccfgfilepath［in］	配置文件全路径
	phapphandle［out］	返回模块应用接口句柄
ZIAM模块反初始化Deinitialize	phapphandle［in］	模块应用接口句柄
配置ZTNA模块SetParam	phapphandle［in］	模块应用接口句柄
配置ZTNA模块SetParam	obj［in］	可信模块参数
下载证书链DownloadChain	phapphandle［in］	模块应用接口句柄
下载证书链DownloadChain	chainfilename［in］	带绝对路径的证书链文件
销毁证书链DestroyChain	phapphandle［in］	模块应用接口句柄
国密证书签发CertDownload	phapphandle［in］	模块应用接口句柄
国密证书签发CertDownload	certsubjectname［in］	证书主题
启动ZTNA模块的数据处理业务StartCS	phapphandle［in］	模块应用接口句柄
结束ZTNA模块的数据处理业务StopCS	phapphandle［in］	模块应用接口句柄
查询ZTNA模块的状态FindStatus	phapphandle［in］	模块应用接口句柄
查询ZTNA模块的状态FindStatus	status［out］	模块状态
上传ZTNA模块日志UploadLog	phapphandle［in］	模块应用接口句柄
上传ZTNA模块日志UploadLog	logname［in］	模块日志文件名绝对路径

模块TCP服务协议功能	协议数据格式	命令成功返回
状态查询	QUERYSTATUS	初始化自检完成
启动数据处理与传输业务	STARTCS	STARTCSACK：OKIP=
停止数据处理与传输业务	STOPCS	STOPCSACK：OK
参数设置	SETPARAM：xxx	SETPARAMACK：OK
阐述查询	GETPARAM	GETPARAM：OK params
上传日志	GETLOG	GETLOG： OK log
下载证书链	SETCHAIN：证书内容	SETCHAINACK：OK
销毁证书链	DESTORYCHAIN	DESTORYCHAIN：OK
国密证书签发	SETGMCERTP10：CN=	SETGMCERTP10ACK：OKP10
签名证书导入	IMPORTSIGNCERT：CERT=	IMPORTSIGNCERTACK：OK
加密证书导入	IMPORTCRYPTCERT：CERT=xxx	IMPORTCRYPTCERTACK：OK
加密私钥导入	IMPORTCRYPTKEY：KEY=	IMPORTCRYPTKEY：OK

模块TCP服务协议功能	协议数据格式	命令成功返回
状态查询	QUERYSTATUS	初始化自检完成
启动数据处理与传输业务	STARTCS	STARTCSACK：OKIP=
停止数据处理与传输业务	STOPCS	STOPCSACK：OK
参数设置	SETPARAM：xxx	SETPARAMACK：OK
阐述查询	GETPARAM	GETPARAM：OK params
上传日志	GETLOG	GETLOG： OK log
下载证书链	SETCHAIN：证书内容	SETCHAINACK：OK
销毁证书链	DESTORYCHAIN	DESTORYCHAIN：OK
国密证书签发	SETGMCERTP10：CN=	SETGMCERTP10ACK：OKP10
签名证书导入	IMPORTSIGNCERT：CERT=	IMPORTSIGNCERTACK：OK
加密证书导入	IMPORTCRYPTCERT：CERT=xxx	IMPORTCRYPTCERTACK：OK
加密私钥导入	IMPORTCRYPTKEY：KEY=	IMPORTCRYPTKEY：OK

安全特性		对应的功能或设计
以身份为中心的访问控制与授权		通过接入网关认证之后获取访问策略，授权可以访问的资源和应用
身份识别与认证	用户身份识别与认证	基于用户名与口令的身份认证
	用户身份识别与认证	基于国密数字证书的认证
	设备身份识别与认证	基于国密数字证书的认证
	设备身份识别与认证	基于设备指纹的身份认证
认证与授权的动态更新		实时监控、评估可信网络访问模块、接入认证网关的运行状态，持续认证、动态更新访问授权
可信计算		基于国产安全芯片（可信密码模块）的硬件与底层系统，构建独立的可信计算环境
数据安全处理与传输		基于国密体系的密钥协商与交换基于SM2、SM3、SM4算法的数据加密、数据签名、完整性检验、数据安全传输
安全审计		日志记录与审计

基于零信任的网络数据安全保护框架与实现

Framework and implementation of network data security protection based on zero trust

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 15

参考文献 23

相关文章 15

编辑推荐

Metrics

[1]	王群, 袁泉, 李馥娟, 夏玲玲. 零信任网络及其关键技术综述[J]. 《计算机应用》唯一官方网站, 2023, 43(4): 1142-1150.
[2]	肖跃雷, 邓小凡. 基于证书的有线局域网安全关联方案改进与分析[J]. 计算机应用, 2021, 41(7): 1970-1976.
[3]	张学旺, 殷梓杰, 冯家琦, 叶财金, 付康. 基于区块链与可信计算的数据交易方案[J]. 计算机应用, 2021, 41(4): 939-944.
[4]	齐能, 谭良. 具有瀑布特征的可信虚拟平台信任链模型[J]. 计算机应用, 2018, 38(2): 327-336.
[5]	徐明迪, 高杨, 高雪原, 张帆. 满足对应性属性的平台配置证明[J]. 计算机应用, 2018, 38(2): 337-342.
[6]	肖跃雷, 武君胜, 朱志祥. 基于预共享密钥的LAN安全关联方案改进与分析[J]. 计算机应用, 2018, 38(11): 3246-3251.
[7]	孙亮, 陈小春, 郑树剑, 刘赢. 基于固件的终端位置管理系统研究与应用[J]. 计算机应用, 2017, 37(2): 417-421.
[8]	张鑫, 杨晓元, 朱率率. 移动网络可信匿名认证协议[J]. 计算机应用, 2016, 36(8): 2231-2235.
[9]	翁晓康张平王炜朱毅. 基于非平衡哈希树的平台完整性远程验证机制[J]. 计算机应用, 2014, 34(2): 433-437.
[10]	吴浩刘晓洁罗鹏. 基于TRAP-4的连续数据保护系统[J]. 计算机应用, 2014, 34(1): 54-57.
[11]	何龙彭新光. 基于双线性对签密的安全高效远程证明协议[J]. 计算机应用, 2013, 33(10): 2854-2857.
[12]	朱贺新王正鹏刘业辉方水平. 基于统一可扩展固件接口的可信密码模块驱动研究与设计[J]. 计算机应用, 2013, 33(06): 1646-1649.
[13]	邵婧陈性元杜学绘曹利峰. 基于无干扰理论的分布式多级安全核心架构[J]. 计算机应用, 2013, 33(03): 712-716.
[14]	姚建华吴加敏牛温佳童恩栋. 基于可信QoS聚类的遥感服务发现机制[J]. 计算机应用, 2013, 33(02): 587-591.
[15]	莫家庆胡忠望叶雪琳. 基于模糊理论的可信计算信任评估方法研究[J]. 计算机应用, 2013, 33(01): 142-145.