零信任网络安全：从理论到实践

doi:10.11772/j.issn.1001-9081.2023111617

摘要/Abstract

摘要：

零信任（ZT）是一种新兴的网络安全理念，旨在改变传统的“信任但验证”模式，从而在网络中实现更严格的访问控制和安全防御。ZT架构基于一个基本前提，即不信任任何用户、设备或网络，要求在每次访问时都验证用户身份，并对访问请求进行细粒度的授权控制。首先，阐述ZT的概念及核心原则。其次，介绍ZT架构的主要应用场景及其主要组成部分，以及这些架构的工作原理。同时，比较分析现有的ZT架构，从而为掌握ZT理念的具体实现方式并构建ZT架构提供重要的借鉴和参考。最后，总结ZT架构的局限性，从而为优化ZT的应用提供思路。

关键词: 零信任, 身份认证, 权限检验, BeyondCorp, VMware NSX, SDP, 7层零信任方案

Abstract:

As an emerging cybersecurity concept， Zero Trust （ZT） aims at changing the traditional “trust but verify” mode to achieve stricter access control and security defense in networks. The ZT architectures are based on the fundamental premise of not trusting any user， device， or network， and requiring user identity verification and fine-grained authorization control for every access request. First， an elaboration on the concept and core principles of ZT was carried out. Then， the main application scenarios and components of the ZT architectures were introduced， as well as the working principles of these architectures. At the same time， the existing ZT architectures were compared and analyzed， for understanding the specific implementation methods of the ZT concept and providing valuable references for constructing ZT architectures. Finally， the limitations of the ZT architectures were summarized， thereby providing directions for optimizing the application of ZT.

Key words: Zero Trust (ZT), authentication, permission verification, BeyondCorp, VMware NSX, Software-Defined Perimeter (SDP), 7-layer zero-trust scheme

中图分类号:

TP393.0

方智阳, 方玏彦, 杨湘. 零信任网络安全：从理论到实践[J]. 计算机应用, 0, (): 88-94.

Zhiyang FANG, Leyan FANG, Xiang YANG. Zero trust network security： from theory to practice[J]. Journal of Computer Applications, 0, (): 88-94.

图/表 10

参考文献 38

1	MILLER K W， VOAS J， HURLBURT G F. BYOD： security and privacy considerations［J］. IT Professional， 2012， 14（5）： 53-55.
2	MOHAMAD NOOR M B， HASSAN W H. Current research on Internet of Things （IoT） security： a survey［J］. Computer Networks， 2019， 148： 283-294.
3	SINGH K K V V， GUPTA H. A new approach for the security of VPN［C］// Proceedings of the 2nd International Conference on Information and Communication Technology for Competitive Strategies. New York： ACM， 2016： No.13.
4	MEHRAJ S， BANDAY M T. Establishing a zero trust strategy in cloud computing environment［C］// Proceedings of the 2020 International Conference on Computer Communication and Informatics. Piscataway： IEEE， 2020： 1-6.
5	ROSE S， BORCHERT O， MITCHELL S， et al. Zero trust architecture NIST special publication 800-207［EB/OL］. ［2023-11-12］. .
6	STAFFORD V A. Zero trust architecture［J］. NIST Special Publication， 2020， 800： 207.
7	YAVATKAR R， PENDARAKIS D， GUERIN R. A framework for policy-based admission control： RFC 2753 ［S］. Reston， VA： Internet Society， 2000-01.
8	SYED N F， SHAH S W， SHAGHAGHI A， et al. Zero Trust Architecture （ZTA）： a comprehensive survey［J］. IEEE Access， 2022， 10： 57143-57179.
9	BUCK C， OLENBERGER C， SCHWEIZER A， et al. Never trust， always verify： a multivocal literature review on current knowledge and research gaps of zero-trust［J］. Computers and Security， 2021， 110： No.102436.
10	KINDERVAG J. Build security into your network’s DNA： the zero trust network architecture［EB/OL］. ［2023-11-13］. .
11	李璇. Gartner发布2022-2023年八大网络安全趋势预测［EB/OL］. ［2023-11-12］. .
12	BAU J， MITCHELL J C. Security modeling and analysis［J］. IEEE Security and Privacy， 2011， 9（3）： 18-25.
13	LI S， IQBAL M， SAXENA N. Future industry internet of things with zero-trust security［J/OL］. Information Systems Frontiers（2022-03-10）［2024-05-01］. .
14	YAN X， WANG H. Survey on zero-trust network security［C］// Proceedings of the 2020 International Conference on Artificial Intelligence and Security， CCIS 1252. Singapore： Springer， 2020： 50-60.
15	YAO Q， WANG Q， ZHANG X， et al. Dynamic access control and authorization system based on zero-trust architecture［C］// Proceedings of the 1st International Conference on Control， Robotics and Intelligent System. New York： ACM， 2020： 123-127.
16	SOMANI G， GAUR M S， SANGHI D， et al. DDoS attacks in cloud computing： issues， taxonomy， and future directions［J］. Computer Communications， 2017， 107： 30-48.
17	方滨兴，崔翔，王威. 僵尸网络综述［J］. 计算机研究与发展， 2011， 48（8）： 1315-1331.
18	DENNING D E R. Cryptography and data security［M］. Boston： Addison-Wesley， 1982.
19	BOURKE J， WESSELY S. Confidentiality［J］. BMJ， 2008， 336： 888-891.
20	HE Y， HUANG D， CHEN L， et al. A survey on zero trust architecture： challenges and future trends［J］. Wireless Communications and Mobile Computing， 2022， 2022： No.6476274.
21	McFALL L. Integrity［J］. Ethics， 1987， 98（1）： 5-20.
22	ALEVIZOS L， TA V T， HASHEM EIZA M. Augmenting zero trust architecture to endpoints using blockchain： a state-of-the-art review［J］. Security and Privacy， 2022， 5（1）： No.e191.
23	郭雪，吴倩琳，孔松. 零信任的行业应用场景分析研究［J］. 中国信息安全， 2022（2）： 36-38.
24	CHUAN T， LV Y， QI Z， et al. An implementation method of zero-trust architecture［J］. Journal of Physics： Conference Series， 2020， 1651： No.012010.
25	苗功勋，蔡力兵，魏敬伟. 基于零信任的企业安全上云融合解决方案研究［J］. 保密科学技术， 2021（8）： 24-32.
26	张刘天，陈丹伟. 基于零信任的动态访问控制模型研究［J］. 信息安全研究， 2022， 8（10）： 1008-1017.
27	ALPEROVITCH D. Revealed： operation Shady RAT［R/OL］. ［2023-11-09］. .
28	WARD R， BEYER B. BeyondCorp： a new approach to enterprise security［J］. ；login：， 2014， 39（6）： 6-11.
29	PETTIT J， PFAFF B， STRINGER J， et al. Bringing platform harmony to VMware NSX［J］. ACM SIGOPS Operating Systems Review， 2018， 52（1）： 123-128.
30	KEERIYATTIL S. Microsegmentation and zero trust： introduction［M］// Zero trust networks with VMware NSX： build highly secure network architectures for your data centers. Berkely： Apress， 2019： 17-31.
31	MOUBAYED A， REFAEY A， SHAMI A. Software-Defined Perimeter （SDP）： state of the art secure solution for modern networks［J］. IEEE Network， 2019， 33（5）： 226-233.
32	CONDE D. Software-defined perimeters： an architectural view of SDP［J/OL］. IEEE Softwarization ［2024-05-02］. .
33	SALLAM A， REFAEY A， SHAMI A. On the security of SDN： a completed secure and scalable framework using the software-defined perimeter［J］. IEEE Access， 2019， 7： 146577-146587.
34	王斯梁，冯暄，蔡友保，等. 零信任安全模型解析及应用研究［J］. 信息安全研究， 2020， 6（11）： 966-971.
35	李聪聪，纪寿文，范修斌，等. 认证体制综述［J］. 信息安全研究， 2016， 2（7）： 649-659.
36	赵军. 路由劫持故障及类似故障处理［J］. 和田师范专科学校学报， 2010， 29（6）： 246-246.
37	MILLER J F. Supply chain attack framework and attack patterns： MTR140021［R/OL］. ［2023-11-13］. .
38	TEERAKANOK S， UEHARA T， INOMATA A. Migrating to zero trust architecture： reviews and challenges［J］. Security and Communication Networks， 2021， 2021： No.9947347.

解决方案	认证和授权机制	访问控制	应用范围	集成和部署	安全性和性能
BeyondCorp	多层次身份验证和授权	细粒度访问控制和动态策略调整	移动办公、远程访问等	相对复杂，需要基础设施改造	高安全性，对网络性能影响较小
VMware NSX	可自定义的认证机制	细粒度网络隔离和安全控制	虚拟化网络环境，容器环境	需要与VMware 环境集成	高安全性，可根据应用需求调整
SDP	TLS加密、多因素身份验证	应用层访问控制	云环境、远程访问等	相对灵活，可以与现有基础设施集成	高安全性，可动态调整访问权限
百度7层零信任方案	Web应用防火墙、身份认证等	综合的应用层安全防护	Web应用程序、网络环境等	相对灵活，可与百度服务集成	高安全性，可提供全面的安全防护

解决方案	认证和授权机制	访问控制	应用范围	集成和部署	安全性和性能
BeyondCorp	多层次身份验证和授权	细粒度访问控制和动态策略调整	移动办公、远程访问等	相对复杂，需要基础设施改造	高安全性，对网络性能影响较小
VMware NSX	可自定义的认证机制	细粒度网络隔离和安全控制	虚拟化网络环境，容器环境	需要与VMware 环境集成	高安全性，可根据应用需求调整
SDP	TLS加密、多因素身份验证	应用层访问控制	云环境、远程访问等	相对灵活，可以与现有基础设施集成	高安全性，可动态调整访问权限
百度7层零信任方案	Web应用防火墙、身份认证等	综合的应用层安全防护	Web应用程序、网络环境等	相对灵活，可与百度服务集成	高安全性，可提供全面的安全防护

[1]	王作广, 李超, 赵利. 基于零信任的网络数据安全保护框架与实现[J]. 《计算机应用》唯一官方网站, 2025, 45(4): 1232-1240.
[2]	刘德渊, 张金全, 张鑫, 万武南, 张仕斌, 秦智. 基于无证书签密的跨链身份认证方案[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3731-3740.
[3]	王群, 袁泉, 李馥娟, 夏玲玲. 零信任网络及其关键技术综述[J]. 《计算机应用》唯一官方网站, 2023, 43(4): 1142-1150.
[4]	田洪亮, 王佳玥, 李晨曦. 基于混合算法区块链和节点身份认证的数据存储方案[J]. 《计算机应用》唯一官方网站, 2022, 42(8): 2481-2486.
[5]	杜心雨, 王化群. LTE-A网络中基于动态组的有效的身份认证和密钥协商方案[J]. 计算机应用, 2021, 41(6): 1715-1722.
[6]	张兴兰, 赵怡静. 基于单光子的量子双向同步身份认证协议[J]. 计算机应用, 2020, 40(9): 2634-2638.
[7]	江泽涛, 徐娟娟. 云环境下基于签密的异构跨域身份认证方案[J]. 计算机应用, 2020, 40(3): 740-746.
[8]	刘威, 汪阳, 郑建彬, 詹恩奇. 基于加速度传感器的中文签名身份认证[J]. 计算机应用, 2017, 37(4): 1004-1007.
[9]	胡振宇, 李志华, 陈超群. 基于用户社会关系的移动终端认证方案[J]. 计算机应用, 2016, 36(6): 1552-1557.
[10]	王康, 李清宝. 结合容量伪装和双文件系统的文件隐藏方法[J]. 计算机应用, 2016, 36(4): 979-984.
[11]	庞永春, 孙子文, 王尧. 基于手机触摸屏传感器多点触摸身份认证算法[J]. 计算机应用, 2015, 35(6): 1780-1784.
[12]	薛锋, 汪定, 曹品军, 李勇. 对两个无线传感器网络中匿名身份认证协议的安全性分析[J]. 计算机应用, 2015, 35(12): 3424-3428.
[13]	刘超耿焕同刘文杰. 基于对称W态和身份认证的安全量子通信协议[J]. 计算机应用, 2014, 34(2): 438-441.
[14]	戴永张维静孙广武. 金融交易密码多模态化方法[J]. 计算机应用, 2013, 33(01): 135-137.
[15]	薛锋汪定王立萍马春光. 对两个基于智能卡的口令认证协议的安全性分析[J]. 计算机应用, 2012, 32(07): 2007-2009.