零信任API網關在高校網絡運維中的應用

摘要：隨著信息技術的快速發展，高校網絡運維面臨日益嚴峻的安全挑戰。文章提出了零信任API網關解決方案，應用在高校網絡運維體系中，旨在增強網絡的安全性。該方案基于APISIX架構，遵循零信任原則，強調身份認證和持續信任評估，通過微服務架構，構建了一個全面的安全防護體系。系統實現了認證鑒權、信任評估和動態防御的具體功能，通過模擬退火優化的反向傳播神經網絡算法，提高了智能決策能力。該研究成果已在高校信息化網絡中得到應用，驗證了其有效性和可行性，為未來網絡安全防護提供了新的思路和方法。

關鍵詞：零信任；API網關；BP神經網絡；模擬退火

中圖分類號：TP31""文獻標志碼：A

0"引言

隨著科技的迅猛發展，高校基礎建設規模不斷擴大，信息化水平不斷提升以及校園網絡建設不斷完善，高校網絡運維需求也隨之增多^［1］。然而，這一過程中也伴隨著日益嚴重的安全隱患。接入方式、接入設備、接入系統的多樣化導致了缺乏統一的認證鑒權機制，服務間的調用鏈關系變得異常繁雜，網絡邊界的模糊化使得安全防護變得更加困難^［2］。此外，人員安全意識的不足、資金的限制以及安全防護系統的昂貴成本，都使得高校網絡運維面臨著前所未有的挑戰。各種突破內網邊界的安全事件層出不窮，對現有網絡中間件的安全要求也日益提高，特別是作為請求唯一入口的API網關，其安全防控的重要性不言而喻。

然而，傳統的API網關在面對這些挑戰時顯得力不從心。它們往往只關注于請求的轉發，即便添加了安全功能，也主要集中在外網到內網的邊界安全上，忽視了內網中橫向流量的保護。此外，作為流量中樞，缺乏長期有效的持續管控機制，使得傳統API網關在應對不斷變化的安全挑戰時顯得愈發困難^［3］。

針對這些問題，本文提出了一種基于APISIX的零信任API網關解決方案。該方案在APISIX架構基礎上，依據零信任理念設計，整合南北及東西向流量，結合人工智能技術，實現了統一認證鑒權、信任評估和動態防御等功能。在高校網絡運維體系中，API網關不再僅僅是請求的中轉站，而是變成了一個全面的安全防護節點，能夠持續對內外部的流量進行動態的監控和管理。

1"關鍵技術

1.1"APISIX架構

APISIX是一個動態、實時、高性能的API網關架構，設計初衷是解決網絡代理的動態配置問題以及網關功能的擴展性問題^［4］。APISIX的結構分為3層，最底層的Nginx是一個高性能的開源網絡代理服務器，善于處理高并發場景下的網絡請求。上一層的OpenResty是Nginx的擴展，通過設計擴展掛載點，對外提供代理擴展功能。APISIX內核實現了OpenResty的許多掛載函數，使用插件運行框架接管了API請求的生命周期。零信任API網關主要借助APISIX的2個主要特性。（1）插件運行框架。APISIX不僅提供了一系列開箱即用的插件，而且支持二次開發和擴展。通過開發新的插件以及對現有插件進行定制，零信任API網關可以無縫對接高校的其他組件和服務，以滿足安全防護需求。（2）動態配置能力。通過遠程API接口，可以方便地管理路由、上游服務等內容。這些配置可以實時生效，無須重啟，極大地提高了零信任API網關的動態管控能力。

1.2"BP神經網絡

反向傳播（Back Propagation，BP）神經網絡是一種多層前饋神經網絡，通過反向傳播誤差來訓練網絡權重的監督學習算法^［5］。在訓練時，首先須要通過前向傳播預測輸出值，如公式（1）所示。

y^i=f（∑nj=1w_ij·xj+bi）（1）

其中，y^i為預測輸出值，f為激活函數，n為輸入值個數，w_ij為權重，xj為第j個輸入值，bi為偏置。然后計算誤差，如公式（2）所示。

第23期2024年12月無線互聯科技·技術應用"No.23December，2024

第23期2024年12月無線互聯科技·技術應用"No.23December，2024

L=1m∑mi=1yi-y^i²（2）

其中，L為均方誤差結果，m為輸出個數，yi為真實輸出值。最后通過反向傳播計算每個參數的梯度并通過梯度下降法更新參數^［5］，如公式（3）所示。

w^new_ij=w^old_ij-ηLw_ij（3）

其中，w^new_ij為新權重，w^old_ij為舊權重，η為學習率，Lw_ij為誤差關于權重的偏導數。零信任API網關可以集成BP神經網絡，以增強其智能決策能力，通過學習API請求模式和用戶行為特征，實現對API請求的動態訪問控制。

2"系統設計

2.1"零信任設計

零信任是一種新興的網絡安全范式，強調默認不信任網絡內任何實體，通過實時認證和授權動態調整訪問控制，構建基于身份驗證和持續信任評估的安全模型^［6］。基于此，零信任API網關的設計遵循如下理念。

2.1.1"以身份為基礎

網絡位置不再決定訪問權限，所有訪問主體都須要經過身份認證和授權^［6］。零信任API網關針對南北和東西向流量，分別設計不同認證鑒權方案，輔以不同的加密算法支撐，確保數據傳輸的安全性和訪問控制的精確性。

2.1.2"持續評估

授權決策不再僅基于靜態訪問控制模型，而是通過持續的安全監測和信任評估，進行動態細粒度的授權^［6］。零信任API網關借助流量樞紐的優勢，采集API請求數據，使用BP神經網絡算法，實現對訪問主體進行信任評估。

2.1.3"動態訪問控制

對環境因子進行全程實時監測，當發生變更時，進行動態處置。零信任API網關針對請求路由構建安全策略，根據實時監測到的安全態勢和信任評估結果，借助控制接口動態修改網關路由規則，實現對訪問流量的精細化管理。

2.1.4"最小訪問權限

為用戶和設備分配盡可能少的權限，以便限制潛在攻擊者能夠竊取的信息量并降低單一用戶賬戶被濫用的風險。零信任API網關針對不同情形實現了多種權限限制，確保用戶只能訪問被授權的資源，從而減少權限過度擴散帶來的安全風險。

2.2"架構設計

與傳統單一職責單體架構的API網關不同，零信任API網關采用微服務設計思路，結合云原生技術，通過整合多個服務來共同實現全方位的安全防護需求。系統架構如圖1所示，分為數據面、控制面和驗證面。

數據面是零信任API網關的基礎，負責處理所有的網絡流量。其中，微服務集群包括了高校中須要部署運維的各類服務，例如教務服務、財務服務、教工服務、學工服務等。注冊中心作為數據面的關鍵組件，維護微服務集群和API網關的注冊信息，確保微服務的動態發現請求路由。API網關基于APISIX架構并結合自定義安全插件搭建，是數據面的核心。一方面API網關作為所有南北向流量的單一入口，對所有外網流量進行安全校驗。另一方面，API網關還負責東西向流量管理，實現微服務之間的安全調用。

控制面負責零信任API網關的管理和策略制定。其中，認證服務和權限服務是高校中已有的關鍵服務，負責用戶身份驗證和權限控制。網絡運維服務是APISIX控制臺的功能擴展，負責路由、流控、日志等可視化配置。動態防御服務是控制面的重要組成部分，根據用戶評分和安全策略，實時修改權限服務中的用戶身份權限以及API網關中的訪問控制列表，以實現動態的訪問控制。

驗證面包括日志分析服務、指標監控服務和鏈路追蹤服務等開源數據分析服務，可以高效地對API網關的運行狀態進行實時監控和分析。可信評估服務是驗證面的核心，它對接數據分析服務，持續同步用戶、設備、請求、資源等信息，通過搭建機器學習平臺，定期使用BP神經網絡算法模型分析數據，以評估請求主體的信任狀況，為控制面的動態防御服務提供依據。

3"系統實現

在高校網絡運維體系中，零信任API網關旨在確保高效穩定的請求轉發、路由配置、流量監控等基礎功能的同時，實現認證鑒權、信任評估、動態防御等零信任安防功能，以應對不斷變化的網絡安全挑戰。

3.1"認證鑒權實現

零信任API網關同時實現了對南北和東西向流量的認證鑒權。針對南北向流量中用戶的請求訪問，API網關采用單點登錄技術進行用戶認證，借助外部認證服務確保用戶身份的真實性和合法性。認證后，API網關利用基于角色的訪問控模型，通過權限服務進行權限驗證，確保用戶訪問請求在角色權限范圍內。此外，為了保障數據傳輸的安全性，API網關在通信過程中采用超文本傳輸安全協議（Hypertext Transfer Protocol Secure，HTTPS）協議，利用加密技術防止數據在傳輸過程中被截獲或篡改。針對東西向流量中微服務之間的遠程過程調用（Remote Procedure Call，RPC），API網關采用JSON網絡令牌技術進行服務間的認證，傳遞加密的JSON對象，其中包含了認證和授權信息。認證后，API網關利用訪問控制列表進行細粒度的權限控制。訪問控制列表定義在API網關中，明確定義了服務的資源訪問權限。在通信安全方面，采用雙向傳輸層安全性協議，要求通信雙方在建立連接前必須通過加密技術進行雙向身份認證，有效降低了中間人攻擊的風險。

認證鑒權的核心在于設計并實現APISIX插件，以打通高校的認證和權限服務。以南北向流量的認證鑒權為例，如圖2所示。其中，第2步當API網關檢查到用戶會話信息失效時，將返回302狀態碼告知客戶端重定向到認證服務。第5步當用戶在認證服務中完成賬戶登錄后，API網關會向認證服務發起RPC請求，以驗證服務票據的有效性。第6步當服務票據驗證通過后，API網關會向權限服務發起RPC請求，查詢用戶的授權信息，確保用戶請求的資源訪問符合權限策略。

3.2"信任評估實現

信任評估實現的核心在于構建評估模型。為此，本文首先構建一個全面的評估指標體系，涵蓋了主體、行為、環境3個方面的指標。主體方面的指標是評估的基礎，涉及身份信息、訪問權限、來源IP、客戶端版本等。這些指標主要依托于日志分析服務提供。行為方面的指標更加關注請求主體的行為模式，包括請求信息、響應信息、資源信息、訪問模式、操作類型、請求頻率、錯誤率等。這些指標同樣源自日志分析服務，但需要進一步的數據處理和特征工程，比如使用特征工程中滑動窗口算法統計獲得聚合指標。環境方面的指標著眼于請求發起的外部環境，包括網關狀態、服務狀態、設備狀態、鏈路狀態等。其中，鏈路狀態指標來自鏈路追蹤服務，而其他指標由指標監控服務提供。

在指標體系的基礎上，本文采用基于模擬退火的BP神經網絡算法進行訓練。模擬退火算法是一種概率型優化算法，它受到冶金學中退火過程的啟發，可以用來優化BP神經網絡的權重和偏置參數，跳出局部最優解，有可能找到全局最優解，從而提高學習效果。優化后的BP神經網絡算法訓練流程如圖3所示，包括內循環和外循環。內循環在給定溫度下進行，涉及參數的隨機擾動、損失函數的計算以及新解的接收決策。這一過程不斷迭代，直至達到預定的迭代次數，確保了在當前溫度下充分的搜索和評估。外循環則負責控制溫度的降低和內循環的重復執行，從初始化的高溫逐漸降溫至預設的低溫閾值，直至模型誤差達到可接受的范圍，此時算法逐漸收斂至最優解。

3.3"動態防御實現

動態防御服務基于信任評估服務定時計算出的用戶評分，結合安全策略，通過實時修改用戶身份權限和訪問控制列表的方式，實現動態的網絡安全防護。為滿足高校網絡運維體系的安全需求，本文設計了多級安全策略，如表1所示，包括正常、嚴格、隔離、受限、鎖定和凍結6個等級。這種策略劃分提供了靈活性，允許根據實際安全態勢和需求，調整對不同等級請求主體的管理。每級策略都涉及對用戶身份驗證的嚴格程度、資源訪問權限、敏感數據訪問限制以及網絡訪問安全要求等方面的綜合考量和限制。

安全策略中的限制通過不同的方案實現。例如，通過RPC機制動態通知認證服務和權限服務，改變相應用戶的身份校驗方式和用戶狀態。通過調用API網關的控制接口，動態變更API網關的路由規則、外網訪問方式、敏感數據權限等配置。API網關的動態配置能力，使得這些變更能夠實時生效，無需重啟服務，大大提高了響應速度和系統的靈活性。

4"系統應用

零信任API網關部署在高校信息化網絡集群中，如圖4所示。它作為流量入口，為南北和東西向流量提供安全防護。零信任API網關運維著高校多個關鍵服務，如圖5中路由列表所示。通過精細配置路由規則，每個服務均對應設置多個路由，每個路由根據服務特性和安全需求，配置了不同的認證、授權策略以及訪問控制列表，確保了服務間的邏輯分離，實現了對校園網絡資源的有效管理和控制。同時通過動態調整路由規則，響應了校園網絡環境中不斷變化的訪問模式和安全威脅，確保了信息化服務的穩定性和可靠性。

5"結語

本文針對當前高校網絡運維面臨的安全隱患，基于APISIX架構成功設計并實施了零信任網關，實現了統一認證鑒權、信任評估、動態防御等功能。該網關已部署在高校信息化集群中，運行效果良好，可為后續類似平臺研發提供借鑒。展望未來，下一步將持續探索零信任模型與其他新興技術如人工智能、大數據等的融合應用，以期實現更全面、更智能的網絡安全防護。

參考文獻

［1］金義.高校校園網絡運維標準化管理研究［J］.大眾標準化，2024（12）：166-168.

［2］張濤，高建，黎臻，等.基于零信任架構的安全網關設計［J］.網絡安全技術與應用，2023（6）：2-4.

［3］劉坤.面向零信任api網關的微隔離技術研究［D］.重慶：重慶郵電大學，2022.

［4］黃宏暉，季昭沁，楊海亮.云原生網關apisix的cas認證插件設計與實現［J］.微型電腦應用，2024（1）：9-11.

［5］吳崇.基于BP神經網絡的設備快速估價模型研究［J］.煤炭工程，2024（7）：220-224.

［6］李宏昌.零信任網絡安全模型的實現與應用［J］.電子元器件與信息技術，2024（3）：188-191.

（編輯"王雪芬）

Application of zero trust API gateway in university network operations and maintenance

ZHANG "Zhen

（Zhejiang Financial College， Hangzhou 310000， China）

Abstract： "With the rapid development of information technology， university network operations and maintenance face increasingly severe security challenges. This paper proposes a zero trust API gateway solution applied to the university network operations and maintenance system， aiming to enhance the security of the network. The solution is based on the APISIX architecture， adheres to the principles of zero trust， emphasizes identity authentication and continuous trust assessment， and constructs a comprehensive security protection system through a microservices architecture. The system implements specific functions of authentication and authorization， trust assessment， and dynamic defense， and improves intelligent decision-making capabilities through a backpropagation neural network algorithm optimized by simulated annealing. The research results of this paper have been applied in the university’s information network， verifying its effectiveness and feasibility， providing new ideas and methods for future network security protection.

Key words： zero trust; API gateway; backpropagation neural network; simulated annealing