去中心化网络中的零知识证明：保障点对点会话隐私

TL;DR

本文探讨了零知识证明如何彻底改变去中心化虚拟专用网络和去中心化物理基础设施网络生态系统中的点对点会话隐私。我们涵盖了零知识简洁非交互式知识论证与可扩展透明知识论证的技术机制、它们在带宽挖矿奖励中的作用，以及如何在不泄露敏感数据的情况下保护用户身份。您将了解无信任互联网访问的未来以及向代币化网络资源的转变。

究竟什么是 SASE，它为何如此重要？

你是否曾有过这样的经历：坐在咖啡馆里，试图打开一个基础的电子表格，却发现那笨重的虚拟专用网络（VPN）慢得像蜗牛爬行？坦白说，这是现代“随处办公”生活中最令人沮丧的体验之一，而这恰恰是最近大家都在热议 SASE 的原因。

在过去，网络安全就像一座带有护城河的城堡——你在办公室部署了一个庞大的防火墙，只要身处内部，你就是“安全”的。但现在，我们的数据无处不在。我们可能在厨房里登录客户关系管理系统（Salesforce），在平板电脑上查阅医疗记录，或者在仓库现场检查零售库存。

根据 IBM 的定义，SASE（发音同 "sassy"）代表安全访问服务边缘。简单来说，它将网络功能与安全防护整合到一个云端交付的架构中。这样一来，你就不必为了查收一封邮件，而不得不将所有流量绕回到总部办公室那个落满灰尘的服务器房。

软件定义广域网（SD-WAN，网络层）： 这是“大脑”，负责为你的数据寻找最快路径，无论你使用的是 5G、家庭宽带还是办公室光纤。
安全服务边缘（SSE，安全层）： 这是“保安”部分。它作为 SASE 架构中专门负责安全的分支被提出，旨在处理所有的防护工作。
边缘（The Edge）： 安全防护不再发生在中央枢纽，而是在靠近你实际位置的“入网点”（PoPs）进行。

架构图 1

Gartner 在 2021 年的一份报告中正式将安全部分定义为 SSE。这一概念的重要性在于它消除了“发夹弯”现象——即那种让数据先跨越数百公里跑去数据中心，再折返回到原本离你仅几公里远的网站所造成的恼人延迟。

如果你经营着一家零售连锁店或一家小型医疗诊所，你肯定不想管理十几种不同的安全硬件。SASE 通过将规则部署在云端简化了流程。正如 Microsoft 所指出的，这有助于确保在公园里用笔记本电脑办公的员工，能与董事会办公室的首席执行官执行完全相同的安全策略。

这不仅仅是为了提速，更是为了确保数字世界的“后门”不会处于敞开状态。接下来，我们将深入探讨 SD-WAN 等核心组件，以及安全端究竟是如何运作的。

深度解析 SASE 的核心组件

有没有想过，为什么您的企业网络感觉就像一团乱麻，谁都不敢轻易碰它？坦白说，这是因为我们仍在使用 2010 年的陈旧工具来解决 2025 年的复杂问题。而 SASE（安全访问服务边缘）本质上就是那把利剪，终于让我们能够剪断这些乱局。

我们可以把 SD-WAN（软件定义广域网）想象成数据的智能导航系统。在过去，我们依赖 MPLS（多协议标签交换）专线——它们就像昂贵的私人收费公路，只能通往您的办公室。如果您在家办公，必须先绕道回办公室，才能通过那条“安全”的道路连接互联网。这种方式不仅慢，而且成本极高。

根据 CodiLime 的技术博客，SD-WAN 实现了网络硬件与控制功能的解耦。这意味着您不再受困于机房里那些笨重的路由器；软件会根据当前的实时表现，自动决定您的视频会议是该走办公室光纤、5G 连接，还是家庭宽带。

摆脱硬件束缚： 您不再需要在每个分支机构部署无数昂贵的硬件盒子，系统的“大脑”完全由软件驱动。
基于链路健康的路由： 如果主互联网线路出现波动（如抖动、延迟等常见问题），SD-WAN 会在您毫无察觉的情况下，自动将流量切换到备份链路。
大幅削减成本： 您可以停止支付那笔昂贵的专线费用，直接利用普通互联网连接，这会让财务团队非常满意。

如果说 SD-WAN 是导航，那么 SSE（安全服务边缘）就是那辆装甲车。它是 SASE 架构中负责安全的一半。正如我们之前提到的，Gartner 提出这个术语，是因为有些公司已经理顺了网络架构，只想单独强化安全部分。

SSE 的重要性在于它将多种工具集成到了一个平台：包括 SWG（安全 Web 网关——过滤网页流量以拦截恶意网站）、CASB（云访问安全代理——用户与云应用之间的安全哨所）以及 FWaaS（防火墙即服务——可随流量规模弹性扩展的云端防火墙）。Zscaler 在其《2024 年人工智能安全报告》中指出，SSE 是 SASE 的一个子集，专注于这些核心安全服务。对于那些已经实现“云原生”且不想管理庞大物理分支网络的架构来说，它是完美的选择。

SSE 帮助企业彻底摆脱“发夹弯”式绕路（Hairpinning）——即流量必须先跑到几百公里外的中心数据中心接受检查，然后再绕回目标网站的尴尬局面。

架构图 2

您可能会想：“我能不能只买安全部分？”当然可以。但 SASE 的精髓在于“强强联手”。当您将网络（SD-WAN）与安全（SSE）结合时，您就获得了一个统一的管理平台。

以一家拥有 500 家门店的连锁零售企业为例。他们无需在每家店都部署防火墙和路由器，只需应用一套统一的 SASE 策略。如果西雅图的一名收银员试图访问可疑网站，SWG 会立即拦截；与此同时，SD-WAN 会确保信用卡交易始终运行在最快的路径上。

在医疗领域，这更为关键。医生在家里进行远程诊疗时，既需要极低的延迟（依靠 SD-WAN），又必须符合 HIPAA（医疗保险流通与责任法案）的合规要求（依靠 SSE）。如果您只有其中一半，要么视频会卡顿，要么就会留下安全隐患。

我曾见过这种架构在不同行业的落地：

金融业： 一家全国性的信用社利用 SASE 整合了其安全工具，大幅减少了 IT 团队需要监控的仪表盘数量。
制造业： 一家拥有全球工厂的企业利用 SASE 保护其 IoT（物联网）传感器，无需派遣工程师飞往各个现场去配置硬件。
教育行业： 大学使用 SASE 让学生在任何地方都能访问图书馆资源，同时确保校园主网不受个人笔记本电脑中恶意软件的侵害。

SASE 不仅仅是一个时髦的术语，它的核心目标是确保在厨房餐桌旁办公的员工，能享受到与总部员工完全同级别的安全防护。接下来，我们将探讨为什么在 SASE 的世界里，“信任”是一个被重新定义的词汇。

安全访问服务边缘（SASE）如何助力威胁检测

你是否曾纳闷，为什么公司的“安全”网络给人的感觉像是靠胶带和祈祷勉强维持的？这通常是因为我们仍试图根据员工的物理位置来建立信任，坦白说，在 2025 年，这种安全管理方式早已过时。

SASE 真正捕捉威胁的核心在于**零信任（Zero Trust）**架构。在过去，只要你在办公室里，网络就会默认你是“好人”。而零信任彻底颠覆了这一逻辑——它假设每个人都可能是潜在威胁，除非能证明自己的身份。

正如微软在之前的指南中所述，这不仅仅是一次性的登录验证，而是基于身份驱动的访问控制。系统会持续监测：这真的是首席执行官本人吗？为什么他会在凌晨 3 点从另一个国家的平板电脑上登录？

环境语境是核心： SASE 平台在允许你进入之前，会综合评估你的设备健康状况、地理位置以及你试图访问的资源。
微隔离（Micro-segmentation）： 与其给你整座城堡的钥匙，系统只允许你访问特定的应用程序。即便黑客窃取了你的密码，他们也只能被困在某个“房间”里，而无法在整个系统内横向移动。
设备健康检查： 诸如终端保护之类的工具会检查你的笔记本电脑是否开启了防火墙、软件是否已更新，只有通过检查，应用程序接口（API）才会允许连接。

图表 3

SASE 处理威胁检测最酷的一点在于它能让你的应用程序实现“隐身”。在传统配置中，你的虚拟专用网络（VPN）网关直接暴露在互联网上，简直是在向黑客招手。

根据趋势科技（Trend Micro） 2024 年的一份报告，**零信任网络访问（ZTNA）**取代了那些笨重的传统 VPN，并将你的应用程序从公共网络中隐藏起来。如果黑客试图扫描你公司的薪酬管理系统，他们将一无所获。对他们来说，这些应用根本不存在，因为 SASE 这个“数字保镖”只向通过验证的人展示入口。

由于所有流量都流经 SASE 云端，它可以利用**人工智能（AI）**识别出人类极易忽略的异常模式。这就像雇佣了一名安全警卫，他能记住每一位员工走路的姿势和说话的语气，任何细微的偏差都难逃法眼。

赛思嘉（Zscaler）在 2024 年的一项洞察中解释道，由于安全服务边缘（SSE）是专为云端构建的，它可以对加密流量进行深度检测，而不会让你的网速慢得像当年的拨号上网。

如今，大多数恶意软件都隐藏在加密流量中。传统的防火墙很难“看穿”这些数据包，因为这需要耗费巨大的计算资源。但由于 SASE 部署在边缘（Edge），它可以在毫秒内拆开数据包，利用机器学习检查病毒，然后重新封装发送。

我曾亲眼目睹这种技术挽救了不同行业的企业：

医疗保健： 医生使用个人平板电脑查看病人记录。SASE 系统检测到该设备未加密，随即阻止了访问请求，但仍允许该医生查看工作邮件。
零售业： 商场经理试图下载一个可疑附件。**安全 Web 网关（SWG）**在恶意软件特征触及门店本地网络之前，就在云端将其拦截。
金融业： 一家全国性的信用合作社利用 SASE 确保即使某个网点的物理互联网遭到破坏，数据依然保持加密状态，且这种“由内而外”的连接方式能防止攻击者进行横向渗透。

归根结底，SASE 的核心在于缩小攻击面。如果坏人根本看不见你的应用，且人工智能在全天候盯着每一个诡异动作，你的安全处境就会大幅提升。

接下来，我们将探讨这种 SASE 架构如何让你的管理工作变得更轻松，同时也更省钱。

赋能企业：探索 SASE 的实战价值

说实话，没有人会一大早醒来就对管理网络防火墙感到兴奋。这通常是一项费力不讨好的工作，你只有在网速变慢或虚拟专用网络（VPN）连接断开时才会听到大家的声音。但安全访问服务边缘（SASE）的出现彻底改变了这一现状，它不仅让繁杂的网络管理变得轻而易举，还能为企业节省大量资金。

在信息技术（IT）领域，最让人头疼的问题之一就是“控制台疲劳”。你可能需要在一个屏幕上查看路由器，在另一个屏幕上管理防火墙，甚至还要在第三个屏幕上监控云安全。这种碎片化的管理方式极其耗神。根据 Zscaler 的研究，安全服务边缘（SSE，即 SASE 的安全核心部分）允许你将所有这些单一功能的点产品整合到一个统一平台中。这不仅自然而然地降低了运营成本，也能让财务部门少给你一些压力。

告别“硬件盒子”思维： 每当开设新的分支机构时，你不再需要购买昂贵的硬件设备。由于安全功能托管在云端，你只需接入基础的互联网连接即可快速上线。
大幅削减多协议标签交换（MPLS）成本： 正如我们之前提到的，你可以不必再为那些价格高昂的专用线路买单。SASE 利用普通的公共互联网，却能实现如同私有网络般的性能与安全性，这对预算管理来说是一个颠覆性的改变。
无感扩容： 如果你明天突然新招了 50 名员工，你不需要订购 50 个新的硬件令牌或升级更大容量的 VPN 汇聚器。你只需更新云端许可，业务就能照常推进。

图表 4

我们都经历过这样的窘境：当你试图参加一个视频会议时，VPN 却在将你的流量通过半个国家以外的数据中心进行“发夹弯”式的绕路传输。这种延迟让人抓狂。得益于我们之前讨论过的“全球服务点”（PoP），安全检测发生在靠近用户的地方。

Zscaler 在 2024 年的一份洞察报告中指出，这种分布式架构意味着在咖啡馆办公的员工可以获得与办公室总部同等的高速网络体验。

在实际应用中，这种优势体现在方方面面：

零售行业： 门店经理需要通过平板电脑检查库存。SASE 不再让流量在缓慢的后台连接中徘徊，而是将他们安全地直接引导至云端应用。
金融服务： 居家办公的信贷员可以访问敏感数据库，而不会在每次点击“保存”时都看到 VPN 那令人绝望的“加载转圈圈”。
制造业： 偏远地区的工厂可以将物联网（IoT）传感器连接到云端，而不需要专门的 IT 人员在现场修理随时可能出故障的物理防火墙。

SASE 的核心理念是让“安全于无形”。当它完美运行增长时，你的员工甚至感觉不到它的存在——他们只知道应用程序运行得飞快。接下来，我们将总结如何平滑地向这种“SASE 化”的未来转型，且无需推翻你现有的所有基础设施。

轻松实现 SASE 转型，告别部署焦虑

既然你已经决定拥抱 SASE（安全访问服务边缘） 架构，但又担心这会破坏现有的网络基础？坦白说，大多数人都有这种顾虑。毕竟，谁也不想成为那个在周二早上不小心搞垮公司网络的“罪人”。

事实上，实施 SASE 并不意味着必须经历“推倒重来”的痛苦。你可以采取分阶段实施的策略，这不仅能保住你的预算，更能保住你的头发。

最明智的切入点是先解决最令你头疼的问题——通常就是那个笨重过时的虚拟专用网络 (VPN)。正如我们之前讨论过的，用零信任网络访问 (ZTNA) 取代传统的 VPN 是完美的起步方案。它能在不触动办公室硬件的前提下，为远程员工提供更快的速度和极高的安全性。

识别“核心资产”： 优先将最敏感的应用程序置于 SASE 的保护之下。
设立“试点”小组： 先让市场部或销售部中精通技术的几位同事测试新的访问方式，确认无误后再全员推行。
清理访问策略： 借此机会清理掉那些已经闲置三年的僵尸账户。

Zscaler 发布的 2024 年报告指出，数字体验监测 (DEM) 正在深度融入 SASE 平台，这是一个重大趋势。由于 SASE 直接处于用户与应用程序之间，它拥有观察性能数据的“头等舱视野”。这意味着你可以在用户拨打报修电话之前，就精准判断出连接缓慢的原因——究竟是他们家里那糟糕的无线网络，还是真实的网络故障。

在选择方案时，你不必被单一供应商捆绑。有些公司为了简单起见倾向于“单供应商”方案，而另一些公司则青睐“双供应商”模式，即保留现有的网络架构，同时叠加一层新的云安全防护。

微软 (Microsoft) 在其指南中建议，SASE 的部署应当与你现有的身份提供商无缝对接。如果你已经在使用单点登录 (SSO)，请务必确保你的 SASE 工具能与其完美兼容，这样员工就无需再额外记忆一套密码。

图表 5