YDT 4574-2023零信任安全技术参考框架

ICS35.040

CCSL80

YD

中华人民共和国通信行业标准

YD/T[×××××]—[××××]

[代替YD/T]

零信任安全技术参考框架

Zerotrustsecuritytechnologyreferenceframework

（报批稿）

[××××]-[××]-[××]发布[××××]-[××]-[××]实施

中华人民共和国工业和信息化部发布

YD/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：深圳市腾讯计算机系统有限公司、国家计算机网络应急技术处理协调中心、北

京奇虎科技有限公司、数据通信科学技术研究所、中国移动通信集团设计院有限公司、奇安信科技集

团股份有限公司、北京天融信网络安全技术有限公司、公安部第三研究所、中兴通讯股份有限公司、

上海观安信息技术股份有限公司、恒安嘉新（北京）科技股份公司、深信服科技股份有限公司、北京

东方通网信科技有限公司、西安邮电大学、广州大学网络空间先进技术研究院、新华三技术有限公

司、杭州安恒信息技术股份有限公司、杭州迪普科技股份有限公司、北京山石网科信息技术有限公

司、北京京东尚科信息技术有限公司、长扬科技（北京）股份有限公司、郑州信大捷安信息技术股份

有限公司、北京神州绿盟科技有限公司、腾讯云计算（北京）有限责任公司、亚信科技（成都）有限

公司。

本文件主要起草人：黄超、蔡东赟、龙凡、张屹、刘治平、王卫东、张勇、张晨、张彬、陈妍、

王文磊、闫兆腾、周继华、谢江、崔婷婷、王龑、李蓉、叶润国、李然、汪义舟、赵华、李宇、陈

葭、黄铭恺、刘为华、廖正赟、訾然、梁伟、仇俊杰、杨洪起、张亚京、吴强、鲁曈、李凯、刘国

平、林海长、梅宗林、刘海涛、王菲飞、殷丽华、姜政委、蔡晨、王宇、代威、李伟、张丽婷、常

玲、谢仪頔、岳炳词、周开宇、张睿、张利民、付超、于道森、郝振武。

II

YD/TXXXXX—XXXX

零信任安全技术参考框架

1范围

本文件给出了零信任安全技术参考框架，包括基本原则、技术框架、工作过程、核心功能模块等内

容。

本文件适用于零信任安全系统的设计、开发和使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文

件。

GB/T25069－2010信息安全技术术语

3术语和定义

GB/T25069-2010界定的以及下列术语和定义适用于本文件。

3.1

访问主体accesssubject

能访问客体的主动实体。

[来源：GB/T29242-2012，3.7]

注：访问主体可以是发起访问的设备、用户、应用等。

3.2

资源resource

可通过网络访问的目标对象。

注：资源例如服务器、数据库、打印服务等。

3.3

零信任zerotrust

一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续

的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全

防护。

3.4

零信任安全系统zerotrustsecuritysystem

参考零信任安全技术框架，实现了零信任核心能力的系统。

3.5

安全信道securechannel

具备交换消息保密性和真实性的通信信道。

[来源：ISO/IEC24745:2011，2.30]

1

YD/TXXXXX—XXXX

3.6

终端代理terminalproxy

实现对终端上访问流量的获取和转发等功能。

注：代理形式可以是在终端上部署代理软件或者基于浏览器等。

4零信任安全技术参考框架

4.1基本原则

零信任安全技术参考框架应遵循以下基本原则：

a）任何访问主体，在访问任何资源前，都应经过身份认证和授权；

b）访问主体对资源的访问权限是动态的；

c）所有的通信传输使用加密等方式保障安全；

d）对访问主体的权限分配遵循最小权限原则；

e）确保所有要保护的资源都处在尽可能安全的状态。

4.2技术框架

零信任安全技术框架主要包括：访问主体、零信任安全系统（零信任安全控制中心和零信任安全代

理）和资源。零信任安全技术参考框架如图1所示，零信任安全系统的技术实现参考方案可参考附录A。

其中，控制平面实现授予或拒绝对资源的访问，用于控制访问主体到资源之间的通信路径；数据平

面用于访问主体对资源的实际通信，直接处理访问主体到资源的所有流量。

访问主体通过零信任安全代理与资源通信。

零信任安全控制中心具备对整个访问过程的持续安全监测、信任评估和动态更新访问控制策略等

功能，零信任安全代理具备访问流量的重定向和访问控制策略执行、流量加密等功能。访问主体能否对

资源进行访问，取决于零信任安全系统的持续安全监测、信任评估和授权决策。

零信任安全技术框架可适用于多种安全防护场景，其应用场景可参考附录B。

注：其他安全模块为零信任安全系统核心模块之外的安全模块，提供如终端设备安全防护、威胁情报等功能。

图1零信任安全技术参考框架

2

YD/TXXXXX—XXXX

4.3工作过程

4.3.1准备过程

系统的准备过程如下：

a）身份认证初始化，包括访问主体和资源的身份注册验证；

b）访问控制策略初始化，根据机构的安全需求配置对应的访问控制策略，配置的策略参数包括用

户（角色）、设备、应用、信任等级、操作权限等；

c）安全控制中心对安全代理进行初始化设置，为访问主体和资源配置安全代理，包括如为资源配

置域名解析指向的安全代理地址、为访问主体安装安全代理模块并配置参数等。

4.3.2访问过程

在整个访问过程中，安全控制中心应持续监测当前安全状态，并根据监测评估结果进行信任评估，

对访问主体的访问权限进行动态调整，包括如修改访问控制策略、向安全代理发指令阻断当前访问等操

作。

a）访问主体发起访问请求，安全代理重定向访问请求并上报安全控制中心；

b）安全控制中心对访问主体进行身份认证；

c）安全控制中心根据来自终端设备、网络、服务端等多源的信息监测当前访问过程的安全状态；

d）安全控制中心根据安全监测信息对访问主体进行信任评估；

e）安全控制中心根据身份认证结果、信任评估结果、访问控制策略来判断是否对访问主体进行授

权，并通知安全代理；

f）访问主体在通过安全控制中心的授权后，通过安全代理访问目标资源。

5零信任安全系统核心功能

5.1概述

零信任安全系统的核心功能模块包括安全控制中心模块和安全代理模块。

5.2安全控制中心模块

安全控制中心模块的核心功能包括：

a）持续安全监测和信任评估功能：支持根据访问主体、通信链路、资源反馈的信息和外部威胁情

报等多源数据进行持续的安全分析，实时评估访问主体当前的信任状态；

b）动态访问控制功能：支持动态管理访问控制策略，在资源的IP地址等状态发生变化时，策略可

以自适应调整；支持基于基于角色的访问控制、基于属性的访问控制等访问控制模型，并根据访问

主体当前信任状态动态决定访问权限；支持细粒度的访问控制，最小粒度可达到对单一资源的单次

访问请求进行授权控制；

c）身份认证功能：支持对访问主体等进行身份认证；

d）安全联动功能：支持通过API接口等形式与其他安全模块的联动，包括接收/查询访问主体、资

源的安全状态信息，下发安全策略，接收外部威胁情报和管理要求等。

5.3安全代理模块

安全代理模块的核心功能包括：

a）支持接收和执行安全控制中心的授权决策；

b）支持在访问主体和资源间建立、终止访问；

c）支持对访问请求和响应数据的安全保护。

3

YD/TXXXXX—XXXX

5.4系统自身安全

零信任安全系统还应满足以下安全要求：

a）系统管理用户的标识鉴别与权限管理：应为用户提供唯一的身份标识，能区分用户角色（如系

统管理员、审计管理员和安全管理员等），具有用户登录失败处理功能。并支持针对不同用户角色

设定不同的访问权限，应按最小授权原则进行授权；

b）模块间安全通信：应能对模块的身份进行识别，对模块的身份凭证和权限凭证签发者进行验证，

提供安全信道对模块之间传输的数据通过加密、信息摘要或签名等手段进行安全保护，保障数据的

保密性和完整性；

c）终端代理的自身安全保护(仅在终端代理存在时适用)：应采取措施防止非授权强行终止代理软

件程序运行、修改代理软件配置参数、卸载代理软件程序等恶意行为，在代理软件被恶意停止运行

或卸载后阻止用户进一步的访问行为；

d）关键能力高可用：零信任安全控制中心、安全代理等功能应具备高可用性，当动态访问控制等

功能出现故障、安全代理等功能出现性能瓶颈时，应及时发现并采取相关措施（如冗余部署、负载

均衡等）缓解；

e）本地信息存储安全：应对系统中存储的用户关键信息（如主、子账号口令等）等敏感数据进行

加密等安全保护，并采取相关措施保障密钥的安全；

f）审计能力：应能记录用户操作、安全事件等发生的时间、用户标识、事件描述和结果等信息，

并提供审计日志管理能力；

g）密码算法安全：使用的密码算法应符合相关国家标准、行业标准等要求，同时应避免被轻易通

过穷举攻击、碰撞攻击等方式被破解。

4

YD/TXXXXX—XXXX

附录A

（资料性）

零信任安全系统的技术实现参考方案

在零信任核心能力的实现上，零信任安全控制中心基本上都由一组逻辑集中的安全组件实现，但零

信任安全代理根据适用的场景和协议支持等不同，可以有多种实现方式，包括终端代理模式、网关代理

模式等。

终端代理模式，根据是否需要在终端设备上安装代理软件（Agent），终端代理模式具体实现可以分

为软件代理和Web代理等。

网关代理模式，根据代理的协议类型（HTTP或者其他协议），网关代理模式具体实现可以分为应用

代理网关和流量代理网关等。

注：代理软件为安装在终端设备上的软件，通常具备生成终端唯一标识、采集终端设备安全信息、加固终端设备系

统安全等功能；应用代理网关接收终端设备上代理软件或浏览器通过七层应用层代理方式重定向的访问请求，实现请求

转发到资源，并反馈响应数据到访问主体；流量代理网关接收终端设备上代理软件使用hook、虚拟网卡、网络过滤驱动

等方式获取的四层访问流量，实现请求转发到资源，并反馈响应数据到访问主体。

网关代理模式具体可分为以下三种：

a)有Agent的应用代理网关模式

如图A.1所示，首先要在终端设备上安装和配置Agent软件，通过Agent实现设备安全加固、监测设

备安全状态等操作；所有访问请求通过Agent转发给应用代理网关；由应用网关代理向安全控制中

心进行访问主体的认证和访问操作授权请求；授权通过后，转发访问请求到资源，待资源响应后，

将资源响应报文转发给终端用户。

图A.1有Agent的应用代理网关模式

b)无Agent的应用代理网关模式

如图A.2所示，因为各种原因无法在终端设备上安装Agent软件时（如非企业可控制的设备），

用户可通过常见的浏览器对资源进行访问；首先要将资源的域名解析指向应用代理网关；所有访问

请求经域名解析后，直接通过浏览器发送给应用代理网关；由应用网关代理向安全控制中心进行访

问主体的认证和访问操作授权请求；授权通过后，转发访问请求到资源，待资源响应后，将资源响

应报文转发给终端用户。

由于终端设备上没有Agent，无法实现对设备的身份认证，也无法监测到终端设备的安全情况；

因此不能实现零信任的所有安全原则和目标，并且只能支持HTTP类协议的业务访问，可作为特殊情

况下的妥协实现方案。

5

YD/TXXXXX—XXXX

图A.2无Agent的应用代理网关模式

c)有Agent的流量代理网关模式

如图A.3所示，在要访问的对象只支持非Http协议时，应用代理网关或者浏览器访问无法满足需

求，因此可以通过Agent实现hook、虚拟网卡、网络过滤驱动等方式，将所有访问请求重定向到流

量网关代理；由流量网关代理向安全控制中心进行访问主体的认证和访问操作授权请求；授权通过

后，转发访问请求到资源，待资源响应后，将资源响应报文转发给终端用户。

由于流量网关代理是四层流量代理，因此可以实现全局代理，无论是B/S应用，还是C/S应用都

可以支持，此外，该模式下，C/S应用不需要改造，可以直接接入进零信任体系中，对业务干扰较

小。

图A.3有Agent的流量代理网关模式

除此之外，还可以根据实际需要，采取以上三种模式的混合模式，实现更灵活的零信任安全系

统。

6

YD/TXXXXX—XXXX

附录B

（资料性）

零信任的应用场景

B.1远程办公安全应用

随着整个社会的信息化程度、移动化程度不断提高，企业员工在公司办公场所和远程场所灵活办公

的需求越来越多。需要确保远程办公访问过程的安全，以减少企业内部系统被从职场外部环境侵入的风

险。零信任远程办公场景如图B.1所示。

通过零信任安全系统提供统一的安全访问通道，取消公司办公场所内部终端设备直连内部业务系

统的网络策略，尽可能避免企业内部服务完全暴露在办公网络中（建设内网中过多的默认信任）的情况。

所有的终端设备访问都需进行用户、终端设备/系统/应用的身份认证，并进行细粒度的权限访问校验，

然后通过网关代理访问具体的业务，这样能极大的减少企业内部资产被非授权访问的行为。

远程用户使用互联网接入，通过负载均衡入口减少对外暴露IP的资源消耗，并能够实现网关代理处

理能力的快速扩展。网关代理暴露在外网而内部资产被隐藏，通过可信用户、可信设备、可信应用、可

信链路，建立信任链的方式来访问资源。

图B.1远程办公场景

B.2混合云安全接入场景

越来越多的企业用户使用多个公有云厂商的云服务，在不同的公有云上部署不同的业务，并结合

企业自建数据中心（IDC）和私有云，实现对计算和存储等资源的弹性、安全使用。因此需要在多个

云、混合云上构建统一的接入网络，安全地使用混合云上的资源。混合云安全接入场景如图B.2所示。

7

YD/TXXXXX—XXXX

图B.2混合云安全接入场景

需要为终端设备提供多个云的连接通道能力，多个云复用同一个零信任安全控制中心，提供统

一的访问控制策略。安全控制中心和网关代理间通过低流量的决策同步机制，做到统一的授权管理。

用户在具体要访问某个云上业务的时候，可以通过控制中心，对接到相应云的零信任网关代理入口进

行访问。

B.3远程运维场景

随着企业信息化水平的提升，面对快速膨胀的运维工作，企业运维人员和资源面临巨大压力，部

分企业通过雇佣第三方运维人员或允许员工通过远程运维等方式来缓解。在远程运维过程中，使用零

信任安全技术排除接入终端的安全风险，解决运维人员越权访问等安全问题。远程运维场景如图B.3

所示。

8

YD/TXXXXX—XXXX

图B.3远程运维场景

通过部署零信任安全系统，确保运维人员及运维终端的安全性后才可获得运维权限；对运维终端环

境进行持续安全评估并及时调整运维权限，可与堡垒机、远程桌面等常见运维工具快速集成。

9

YD/TXXXXX—XXXX

参考文献

[1]GB/T29242—2012信息安全技术鉴别与授权安全断言标记语言

[2]ISO/IEC24745:2011Informationtechnology—Securitytechniques—Biometric

informationprotection

[3]ISO/IEC24745:2011Informationtechnology—Securitytechniques—Biometric

informationprotection

[4]NISTSP.800-207ZeroTrustArchitecture2020.8

[5]CSASDP_Specification

10

YD/TXXXXX—XXXX

目次

前言...............................................................................................................................................................II

1范围......................................................................................................................................................................1

2规范性引用文件..................................................................................................................................................1

3术语和定义..........................................................................................................................................................1

4零信任安全技术参考框架..................................................................................................................................2

4.1基本原则.....................................................................................................................................................2

4.2技术框架.....................................................................................................................................................2

4.3工作过程.....................................................................................................................................................3

5零信任安全系统核心功能..................................................................................................................................3

5.1概述.............................................................................................................................................................3

5.2安全控制中心模块.....................................................................................................................................3

5.3安全代理模块.............................................................................................................................................3

5.4系统自身安全.............................................................................................................................................4

附录A（资料性）零信任安全系统的技术实现参考方案................................................................................5

附录B（资料性）零信任的应用场景................................................................................................................7

参考文献................................................................................................................................................................10

I

YD/TXXXXX—XXXX

零信任安全技术参考框架

1范围

本文件给出了零信任安全技术参考框架，包括基本原则、技术框架、工作过程、核心功能模块等内

容。

本文件适用于零信任安全系统的设计、开发和使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文

件。

GB/T25069－2010信息安全技术术语

3术语和定义

GB/T25069-2010界定的以及下列术语和定义适用于本文件。

3.1

访问主体accesssubject

能访问客体的主动实体。

[来源：GB/T29242-2012，3.7]

注：访问主体可以是发起访问的设备、用户、应用等。

3.2

资源resource

可通过网络访问的目标对象。

注：资源例如服务器、数据库、打印服务等。

3.3

零信任zerotrust

一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续

的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全

防护。

3.4

零信任安全系统zerotrustsecuritysystem

参考零信任安全技术框架，实现了零信任核心能力的系统。

3.5

安全信道securechannel

具备交换消息保密性和真实性的通信信道。

[来源：ISO/IEC24745:2011，2.30]

1

YD/TXXXXX—XXXX

3.6

终端代理terminalproxy

实现对终端上访问流量的获取和转发等功能。

注：代理形式可以是在终端上部署代理软件或者基于浏览器等。

4零信任安全技术参考框架

4.1基本原则

零信任安全技术参考框架应遵循以下基本原则：

a）任何访问主体，在访问任何资源前，都应经过身份认证和授权；

b）访问主体对资源的访问权限是动态的；

c）所有的通信传输使用加密等方式保障安全；

d）对访问主体的权限分配遵循最小权限原则；

e）确保所有要保护的资源都处在尽可能安全的状态。

4.2技术框架

零信任安全技术框架主要包括：访问主体、零信任安全系统（零信任安全控制中心和零信任安全代

理）和资源。零信任安全技术参考框架如图1所示，零信任安全系统的技术实现参考方案可参考附录A。

其中，控制平面实现授予或拒绝对资源的访问，用于控制访问主体到资源之间的通信路径；数据平

面用于访问主体对资源的实际通信，直接处理访问主体到资源的所有流量。

访问主体通过零信任安全代理与资源通信。

零信任安全控制中心具备对整个访问过程的持续安全监测、信任评估和动态更新访问控制策略等

功能，零信任安全代理具备访问流量的重定向和访问控制策略执行、流量加密等功能。访问主体能否对

资源进行访问，取决于零信任安全系统的持续安全监测、信任评估和授权决策。

零信任安全技术框架可适用于多种安全防护场景，其应用场景可参考附录B。

注：其他安全模块为零信任安全系统核心模块之外的安全模块，提供如终端设备安全防护、威胁情报等功能。

图1零信任安全技术参考框架

2

YD/TXXXXX—XXXX

4.3工作过程

4.3.1准备过程

系统的准备过程如下：

a）身份认证初始化，包括访问主体和资源的身份注册验证；

b）访问控制策略初始化，根据机构的安全需求配置对应的访问控制策略，配置的策略参数包括用

户（角色）、设备、应用、信任等级、操作权限等；

c）安全控制中心对安全代理进行初始化设置，为访问主体和资源配置安全代理，包括如为资源配

置域名解析指向的安全代理地址、为访问主体安装安全代理模块并配置参数等。

4.3.2访问过程

在整个访问过程中，安全控制中心应持续监测当前安全状态，并根据监测评估结果进行信任评估，

对访问主体的访问权限进行动态调整，包括如修改访问控制策略、向安全代理发指令阻断当前访问等操

作。

a）访问主体发起