Framework and implementation of network data security protection based on zero trust

doi:10.11772/j.issn.1001-9081.2024040526

Abstract

Abstract:

In order to address the failure of boundary protection measures caused by the evolution with complexity， dynamics and fragmentation of network architecture， and to cope with the challenge for network data security caused by the continuous emergence of vulnerabilities in non-autonomous controllable systems， software， hardware and cryptographic algorithms， the following tasks were performed. Firstly， a zero trust network architecture implementation model was designed on the basis of zero trust concept. Secondly， a zero trust network security protection framework was proposed， which integrated concept of zero trust security， Chinese cryptographic algorithm system， and trusted computing technology in links such as identity management and authentication， authorization and access， data processing and transmission， framework processes such as Chinese cryptographic certificate application and issuance， business data secure processing and transmission were designed， and functional components such as identity and access management module， terminal trusted network access proxy device were designed and implemented. Finally， a network platform based on the security protection framework was built， which provided new frameworks， technologies and tools for network data security protection and zero trust security practices. Security analysis and performance test results show that with the proposed platform， the signing and signature verification performance of the SM2 reaches 1 118.72 and 441.43 times per second respectively， the encryption and decryption performance of SM4 reaches 10.05 MB/s and 9.96 MB/s respectively， and the secure data access/response performance reaches 7.23 MB/s， demonstrating that the proposed framework can provide stable support for data security.

Key words: zero trust, data protection, security framework, Chinese cryptographic algorithm, trusted computing

摘要：

为解决网络架构复杂化、动态化和碎片化演变导致的边界防护措施失效，应对非自主可控的系统、软硬件和密码算法不断呈现的脆弱性对网络数据安全造成的挑战，首先，基于零信任理念设计一个零信任网络架构实现模型；其次，提出一种零信任网络安全保护框架，在身份管理与认证、授权与访问、数据处理与传输等环节融合利用零信任安全理念、国密算法体系和可信计算技术，设计国密证书申请与签发、业务数据安全处理与传输等框架流程，并设计与实现身份与访问管理模块、终端可信网络访问代理设备等功能组件；最后，构建基于安全保护框架的网络平台，从而为网络数据安全保护和零信任安全实践提供新框架、技术和工具。安全分析与性能测试的结果显示，所提平台对SM2的签名与验签性能分别平均达到了每秒1 118.72次和每秒441.43次，对SM4的加密和解密性能分别平均达到了10.05 MB/s和9.96 MB/s，平台数据安全访问/响应性能为7.23 MB/s，表明所提框架可以提供稳定的数据安全支持。

关键词: 零信任, 数据保护, 安全框架, 国密算法, 可信计算

CLC Number:

TP309

Zuoguang WANG, Chao LI, Li ZHAO. Framework and implementation of network data security protection based on zero trust[J]. Journal of Computer Applications, 2025, 45(4): 1232-1240.

王作广, 李超, 赵利. 基于零信任的网络数据安全保护框架与实现[J]. 《计算机应用》唯一官方网站, 2025, 45(4): 1232-1240.

Figures/Tables 15

References 23

1	Ponemon Institute， DTEX. 2023 cost of insider risks： global report［R/OL］. ［2024-02-28］..
2	Ponemon Institute. 2020 cost of insider threats global report［R/OL］. ［2024-02-28］..
3	CHARFEDDINE M， KAMMOUN H M， HAMDAOUI B， et al. ChatGPT’s security risks and benefits： offensive and defensive use-cases， mitigation measures， and future implications［J］. IEEE Access， 2024， 12： 30263-30310.
4	王作广，朱红松，孙利民. 社工概念演化分析［J］. 信息安全学报， 2021， 6（2）： 12-29.
	WANG Z G， ZHU H S， SUN L M. The concept evolution analysis of social engineering［J］. Journal of Cyber Security， 2021， 6（2）： 12-29.
5	AGHAO K R， TRIBHUVAN V. Hardware vulnerability： meltdown［C］// Proceedings of the 2023 International Conference on Communication， Electronics and Digital Technology， LNNS 676. Singapore： Springer， 2023： 217-228.
6	PATEL R. The final countdown： how much longer until quantum computers become the next cybersecurity threat［J］. The Canadian Science Fair Journal， 2022， 3（6）： 1-6.
7	CVE. CVE-2014-0160［EB/OL］. ［2024-02-21］..
8	BOJANOVA I， GALHARDO C E C. Heartbleed revisited： is it just a buffer over-read？［J］. IT Professional， 2023， 25（2）： 83-89.
9	BENCSÁTH B， PÉK G， BUTTYÁN L， et al. The cousins of Stuxnet： Duqu， Flame， and Gauss［J］. Future Internet， 2012， 4（4）： 971-1003.
10	全国信息安全标准化技术委员会. 网络安全标准实践指南——网络数据分类分级指引： TC260-PG-20212A ［S/OL］. ［2024-03-02］. .
	National Information Security Standardization Technical Committee. Network security standard practice guide — network data classification and grading guidelines： TC260-PG-20212A ［S/OL］. ［2024-03-02］. .
11	全国信息安全标准化技术委员会秘书处. 关于征求国家标准《信息安全技术网络数据分类分级要求》（征求意见稿）意见的通知［EB/OL］. ［2024-03-02］. .
	Secretariat of National Information Security Standardization Technical Committee. Notice on the soliciting opinions on national standard “Network security standard practice guide — network data classification and grading guidelines” （draft for comments）［EB/OL］. ［2024-03-02］. .
12	张宇，张妍. 零信任研究综述［J］. 信息安全研究， 2020， 6（7）： 608-614.
	ZHANG Y， ZHANG Y. A survey of zero trust research［J］. Journal of Information Security Research， 2020， 6（7）： 608-614.
13	ROSE S， BORCHERT O， MITCHELL S， et al. Zero trust architecture： NIST Special Publication 800-207［EB/OL］. ［2024-02-28］..
14	诸葛程晨，王群，刘家银，等. 零信任网络综述［J］. 计算机工程与应用， 2022， 58（22）： 12-29.
	ZHUGE C C， WANG Q， LIU J Y， et al. Survey of zero trust network［J］. Computer Engineering and Applications， 2022， 58（22）： 12-29.
15	王群，袁泉，李馥娟，等. 零信任网络及其关键技术综述［J］. 计算机应用， 2023， 43（4）： 1142-1150.
	WANG Q， YUAN Q， LI F J， et al. Review of zero trust network and its key technologies［J］. Journal of Computer Applications， 2023， 43（4）： 1142-1150.
16	BERTINO E. Zero trust architecture： does it help？［J］. IEEE Security and Privacy， 2021， 19（5）： 95-96.
17	GREENWOOD D. Applying the principles of zero-trust architecture to protect sensitive and critical data［J］. Network Security， 2021， 2021（6）： 7-9.
18	国家密码管理局——标准规范［EB/OL］. ［2024-02-28］..
	Standard Specification of State Cryptography Administration［EB/OL］. ［2024-02-28］..
19	国家密码管理局. 国家密码管理局关于发布《SM2椭圆曲线公钥密码算法》公告［EB/OL］. ［2024-02-28］..
	State Cryptography Administration. State Cryptography Administration’s notice about publishing “Public key cryptographic algorithm SM2 based on elliptic curves”［EB/OL］. ［2024-02-28］..
20	石孟鑫. 基于国密算法的安全芯片设计与实现［D］. 沈阳：辽宁大学， 2022.
	SHI M X. Design and implementation of security chip based on national secret algorithm［D］. Shenyang： Liaoning University， 2022.
21	冯登国，秦宇，汪丹，等. 可信计算技术研究［J］. 计算机研究与发展， 2011， 48（8）： 1332-1349.
	FENG D G， QIN Y， WANG D， et al. Research on trusted computing technology［J］. Journal of Computer Research and Development， 2011， 48（8）： 1332-1349.
22	孙铂. 基于国产平台的TCM应用研究［D］. 太原：中北大学， 2017.
	SUN B. Research of TCM applied on native platform［D］. Taiyuan： North University of China， 2017.
23	姚键. 国产商用密码算法研究及性能分析［J］. 计算机应用与软件， 2019， 36（6）： 327-333.
	YAO J. Domestic commercial cryptographic algorithm and its performance analysis［J］. Computer Applications and Software， 2019， 36（6）： 327-333.

接口名称	参数名称	参数说明
初始化Initialize	pincode［in］	可信模块中存储私钥文件的解密钥
	puccfgfilepath［in］	配置文件全路径
	phapphandle［out］	返回模块应用接口句柄
ZIAM模块反初始化Deinitialize	phapphandle［in］	模块应用接口句柄
配置ZTNA模块SetParam	phapphandle［in］	模块应用接口句柄
配置ZTNA模块SetParam	obj［in］	可信模块参数
下载证书链DownloadChain	phapphandle［in］	模块应用接口句柄
下载证书链DownloadChain	chainfilename［in］	带绝对路径的证书链文件
销毁证书链DestroyChain	phapphandle［in］	模块应用接口句柄
国密证书签发CertDownload	phapphandle［in］	模块应用接口句柄
国密证书签发CertDownload	certsubjectname［in］	证书主题
启动ZTNA模块的数据处理业务StartCS	phapphandle［in］	模块应用接口句柄
结束ZTNA模块的数据处理业务StopCS	phapphandle［in］	模块应用接口句柄
查询ZTNA模块的状态FindStatus	phapphandle［in］	模块应用接口句柄
查询ZTNA模块的状态FindStatus	status［out］	模块状态
上传ZTNA模块日志UploadLog	phapphandle［in］	模块应用接口句柄
上传ZTNA模块日志UploadLog	logname［in］	模块日志文件名绝对路径

接口名称	参数名称	参数说明
初始化Initialize	pincode［in］	可信模块中存储私钥文件的解密钥
	puccfgfilepath［in］	配置文件全路径
	phapphandle［out］	返回模块应用接口句柄
ZIAM模块反初始化Deinitialize	phapphandle［in］	模块应用接口句柄
配置ZTNA模块SetParam	phapphandle［in］	模块应用接口句柄
配置ZTNA模块SetParam	obj［in］	可信模块参数
下载证书链DownloadChain	phapphandle［in］	模块应用接口句柄
下载证书链DownloadChain	chainfilename［in］	带绝对路径的证书链文件
销毁证书链DestroyChain	phapphandle［in］	模块应用接口句柄
国密证书签发CertDownload	phapphandle［in］	模块应用接口句柄
国密证书签发CertDownload	certsubjectname［in］	证书主题
启动ZTNA模块的数据处理业务StartCS	phapphandle［in］	模块应用接口句柄
结束ZTNA模块的数据处理业务StopCS	phapphandle［in］	模块应用接口句柄
查询ZTNA模块的状态FindStatus	phapphandle［in］	模块应用接口句柄
查询ZTNA模块的状态FindStatus	status［out］	模块状态
上传ZTNA模块日志UploadLog	phapphandle［in］	模块应用接口句柄
上传ZTNA模块日志UploadLog	logname［in］	模块日志文件名绝对路径

模块TCP服务协议功能	协议数据格式	命令成功返回
状态查询	QUERYSTATUS	初始化自检完成
启动数据处理与传输业务	STARTCS	STARTCSACK：OKIP=
停止数据处理与传输业务	STOPCS	STOPCSACK：OK
参数设置	SETPARAM：xxx	SETPARAMACK：OK
阐述查询	GETPARAM	GETPARAM：OK params
上传日志	GETLOG	GETLOG： OK log
下载证书链	SETCHAIN：证书内容	SETCHAINACK：OK
销毁证书链	DESTORYCHAIN	DESTORYCHAIN：OK
国密证书签发	SETGMCERTP10：CN=	SETGMCERTP10ACK：OKP10
签名证书导入	IMPORTSIGNCERT：CERT=	IMPORTSIGNCERTACK：OK
加密证书导入	IMPORTCRYPTCERT：CERT=xxx	IMPORTCRYPTCERTACK：OK
加密私钥导入	IMPORTCRYPTKEY：KEY=	IMPORTCRYPTKEY：OK

模块TCP服务协议功能	协议数据格式	命令成功返回
状态查询	QUERYSTATUS	初始化自检完成
启动数据处理与传输业务	STARTCS	STARTCSACK：OKIP=
停止数据处理与传输业务	STOPCS	STOPCSACK：OK
参数设置	SETPARAM：xxx	SETPARAMACK：OK
阐述查询	GETPARAM	GETPARAM：OK params
上传日志	GETLOG	GETLOG： OK log
下载证书链	SETCHAIN：证书内容	SETCHAINACK：OK
销毁证书链	DESTORYCHAIN	DESTORYCHAIN：OK
国密证书签发	SETGMCERTP10：CN=	SETGMCERTP10ACK：OKP10
签名证书导入	IMPORTSIGNCERT：CERT=	IMPORTSIGNCERTACK：OK
加密证书导入	IMPORTCRYPTCERT：CERT=xxx	IMPORTCRYPTCERTACK：OK
加密私钥导入	IMPORTCRYPTKEY：KEY=	IMPORTCRYPTKEY：OK

安全特性		对应的功能或设计
以身份为中心的访问控制与授权		通过接入网关认证之后获取访问策略，授权可以访问的资源和应用
身份识别与认证	用户身份识别与认证	基于用户名与口令的身份认证
	用户身份识别与认证	基于国密数字证书的认证
	设备身份识别与认证	基于国密数字证书的认证
	设备身份识别与认证	基于设备指纹的身份认证
认证与授权的动态更新		实时监控、评估可信网络访问模块、接入认证网关的运行状态，持续认证、动态更新访问授权
可信计算		基于国产安全芯片（可信密码模块）的硬件与底层系统，构建独立的可信计算环境
数据安全处理与传输		基于国密体系的密钥协商与交换基于SM2、SM3、SM4算法的数据加密、数据签名、完整性检验、数据安全传输
安全审计		日志记录与审计