摘要：隨著信息技術的快速發(fā)展，高校網(wǎng)絡運維面臨日益嚴峻的安全挑戰(zhàn)。文章提出了零信任API網(wǎng)關解決方案，應用在高校網(wǎng)絡運維體系中，旨在增強網(wǎng)絡的安全性。該方案基于APISIX架構，遵循零信任原則，強調(diào)身份認證和持續(xù)信任評估，通過微服務架構，構建了一個全面的安全防護體系。系統(tǒng)實現(xiàn)了認證鑒權、信任評估和動態(tài)防御的具體功能，通過模擬退火優(yōu)化的反向傳播神經(jīng)網(wǎng)絡算法，提高了智能決策能力。該研究成果已在高校信息化網(wǎng)絡中得到應用，驗證了其有效性和可行性，為未來網(wǎng)絡安全防護提供了新的思路和方法。

關鍵詞：零信任；API網(wǎng)關；BP神經(jīng)網(wǎng)絡；模擬退火

中圖分類號：TP31""文獻標志碼：A

0"引言

隨著科技的迅猛發(fā)展，高校基礎建設規(guī)模不斷擴大，信息化水平不斷提升以及校園網(wǎng)絡建設不斷完善，高校網(wǎng)絡運維需求也隨之增多^［1］。然而，這一過程中也伴隨著日益嚴重的安全隱患。接入方式、接入設備、接入系統(tǒng)的多樣化導致了缺乏統(tǒng)一的認證鑒權機制，服務間的調(diào)用鏈關系變得異常繁雜，網(wǎng)絡邊界的模糊化使得安全防護變得更加困難^［2］。此外，人員安全意識的不足、資金的限制以及安全防護系統(tǒng)的昂貴成本，都使得高校網(wǎng)絡運維面臨著前所未有的挑戰(zhàn)。各種突破內(nèi)網(wǎng)邊界的安全事件層出不窮，對現(xiàn)有網(wǎng)絡中間件的安全要求也日益提高，特別是作為請求唯一入口的API網(wǎng)關，其安全防控的重要性不言而喻。

然而，傳統(tǒng)的API網(wǎng)關在面對這些挑戰(zhàn)時顯得力不從心。它們往往只關注于請求的轉發(fā)，即便添加了安全功能，也主要集中在外網(wǎng)到內(nèi)網(wǎng)的邊界安全上，忽視了內(nèi)網(wǎng)中橫向流量的保護。此外，作為流量中樞，缺乏長期有效的持續(xù)管控機制，使得傳統(tǒng)API網(wǎng)關在應對不斷變化的安全挑戰(zhàn)時顯得愈發(fā)困難^［3］。

針對這些問題，本文提出了一種基于APISIX的零信任API網(wǎng)關解決方案。該方案在APISIX架構基礎上，依據(jù)零信任理念設計，整合南北及東西向流量，結合人工智能技術，實現(xiàn)了統(tǒng)一認證鑒權、信任評估和動態(tài)防御等功能。在高校網(wǎng)絡運維體系中，API網(wǎng)關不再僅僅是請求的中轉站，而是變成了一個全面的安全防護節(jié)點，能夠持續(xù)對內(nèi)外部的流量進行動態(tài)的監(jiān)控和管理。

1"關鍵技術

1.1"APISIX架構

APISIX是一個動態(tài)、實時、高性能的API網(wǎng)關架構，設計初衷是解決網(wǎng)絡代理的動態(tài)配置問題以及網(wǎng)關功能的擴展性問題^［4］。APISIX的結構分為3層，最底層的Nginx是一個高性能的開源網(wǎng)絡代理服務器，善于處理高并發(fā)場景下的網(wǎng)絡請求。上一層的OpenResty是Nginx的擴展，通過設計擴展掛載點，對外提供代理擴展功能。APISIX內(nèi)核實現(xiàn)了OpenResty的許多掛載函數(shù)，使用插件運行框架接管了API請求的生命周期。零信任API網(wǎng)關主要借助APISIX的2個主要特性。（1）插件運行框架。APISIX不僅提供了一系列開箱即用的插件，而且支持二次開發(fā)和擴展。通過開發(fā)新的插件以及對現(xiàn)有插件進行定制，零信任API網(wǎng)關可以無縫對接高校的其他組件和服務，以滿足安全防護需求。（2）動態(tài)配置能力。通過遠程API接口，可以方便地管理路由、上游服務等內(nèi)容。這些配置可以實時生效，無須重啟，極大地提高了零信任API網(wǎng)關的動態(tài)管控能力。

1.2"BP神經(jīng)網(wǎng)絡

反向傳播（Back Propagation，BP）神經(jīng)網(wǎng)絡是一種多層前饋神經(jīng)網(wǎng)絡，通過反向傳播誤差來訓練網(wǎng)絡權重的監(jiān)督學習算法^［5］。在訓練時，首先須要通過前向傳播預測輸出值，如公式（1）所示。

y^i=f（∑nj=1w_ij·xj+bi）（1）

其中，y^i為預測輸出值，f為激活函數(shù)，n為輸入值個數(shù)，w_ij為權重，xj為第j個輸入值，bi為偏置。然后計算誤差，如公式（2）所示。

第23期2024年12月無線互聯(lián)科技·技術應用"No.23December，2024

第23期2024年12月無線互聯(lián)科技·技術應用"No.23December，2024

L=1m∑mi=1yi-y^i²（2）

其中，L為均方誤差結果，m為輸出個數(shù)，yi為真實輸出值。最后通過反向傳播計算每個參數(shù)的梯度并通過梯度下降法更新參數(shù)^［5］，如公式（3）所示。

w^new_ij=w^old_ij-ηLw_ij（3）

其中，w^new_ij為新權重，w^old_ij為舊權重，η為學習率，Lw_ij為誤差關于權重的偏導數(shù)。零信任API網(wǎng)關可以集成BP神經(jīng)網(wǎng)絡，以增強其智能決策能力，通過學習API請求模式和用戶行為特征，實現(xiàn)對API請求的動態(tài)訪問控制。

2"系統(tǒng)設計

2.1"零信任設計

零信任是一種新興的網(wǎng)絡安全范式，強調(diào)默認不信任網(wǎng)絡內(nèi)任何實體，通過實時認證和授權動態(tài)調(diào)整訪問控制，構建基于身份驗證和持續(xù)信任評估的安全模型^［6］?；诖?，零信任API網(wǎng)關的設計遵循如下理念。

2.1.1"以身份為基礎

網(wǎng)絡位置不再決定訪問權限，所有訪問主體都須要經(jīng)過身份認證和授權^［6］。零信任API網(wǎng)關針對南北和東西向流量，分別設計不同認證鑒權方案，輔以不同的加密算法支撐，確保數(shù)據(jù)傳輸?shù)陌踩院驮L問控制的精確性。

2.1.2"持續(xù)評估

授權決策不再僅基于靜態(tài)訪問控制模型，而是通過持續(xù)的安全監(jiān)測和信任評估，進行動態(tài)細粒度的授權^［6］。零信任API網(wǎng)關借助流量樞紐的優(yōu)勢，采集API請求數(shù)據(jù)，使用BP神經(jīng)網(wǎng)絡算法，實現(xiàn)對訪問主體進行信任評估。

2.1.3"動態(tài)訪問控制

對環(huán)境因子進行全程實時監(jiān)測，當發(fā)生變更時，進行動態(tài)處置。零信任API網(wǎng)關針對請求路由構建安全策略，根據(jù)實時監(jiān)測到的安全態(tài)勢和信任評估結果，借助控制接口動態(tài)修改網(wǎng)關路由規(guī)則，實現(xiàn)對訪問流量的精細化管理。

2.1.4"最小訪問權限

為用戶和設備分配盡可能少的權限，以便限制潛在攻擊者能夠竊取的信息量并降低單一用戶賬戶被濫用的風險。零信任API網(wǎng)關針對不同情形實現(xiàn)了多種權限限制，確保用戶只能訪問被授權的資源，從而減少權限過度擴散帶來的安全風險。

2.2"架構設計

與傳統(tǒng)單一職責單體架構的API網(wǎng)關不同，零信任API網(wǎng)關采用微服務設計思路，結合云原生技術，通過整合多個服務來共同實現(xiàn)全方位的安全防護需求。系統(tǒng)架構如圖1所示，分為數(shù)據(jù)面、控制面和驗證面。

數(shù)據(jù)面是零信任API網(wǎng)關的基礎，負責處理所有的網(wǎng)絡流量。其中，微服務集群包括了高校中須要部署運維的各類服務，例如教務服務、財務服務、教工服務、學工服務等。注冊中心作為數(shù)據(jù)面的關鍵組件，維護微服務集群和API網(wǎng)關的注冊信息，確保微服務的動態(tài)發(fā)現(xiàn)請求路由。API網(wǎng)關基于APISIX架構并結合自定義安全插件搭建，是數(shù)據(jù)面的核心。一方面API網(wǎng)關作為所有南北向流量的單一入口，對所有外網(wǎng)流量進行安全校驗。另一方面，API網(wǎng)關還負責東西向流量管理，實現(xiàn)微服務之間的安全調(diào)用。

控制面負責零信任API網(wǎng)關的管理和策略制定。其中，認證服務和權限服務是高校中已有的關鍵服務，負責用戶身份驗證和權限控制。網(wǎng)絡運維服務是APISIX控制臺的功能擴展，負責路由、流控、日志等可視化配置。動態(tài)防御服務是控制面的重要組成部分，根據(jù)用戶評分和安全策略，實時修改權限服務中的用戶身份權限以及API網(wǎng)關中的訪問控制列表，以實現(xiàn)動態(tài)的訪問控制。

驗證面包括日志分析服務、指標監(jiān)控服務和鏈路追蹤服務等開源數(shù)據(jù)分析服務，可以高效地對API網(wǎng)關的運行狀態(tài)進行實時監(jiān)控和分析。可信評估服務是驗證面的核心，它對接數(shù)據(jù)分析服務，持續(xù)同步用戶、設備、請求、資源等信息，通過搭建機器學習平臺，定期使用BP神經(jīng)網(wǎng)絡算法模型分析數(shù)據(jù)，以評估請求主體的信任狀況，為控制面的動態(tài)防御服務提供依據(jù)。

3"系統(tǒng)實現(xiàn)

在高校網(wǎng)絡運維體系中，零信任API網(wǎng)關旨在確保高效穩(wěn)定的請求轉發(fā)、路由配置、流量監(jiān)控等基礎功能的同時，實現(xiàn)認證鑒權、信任評估、動態(tài)防御等零信任安防功能，以應對不斷變化的網(wǎng)絡安全挑戰(zhàn)。

3.1"認證鑒權實現(xiàn)

零信任API網(wǎng)關同時實現(xiàn)了對南北和東西向流量的認證鑒權。針對南北向流量中用戶的請求訪問，API網(wǎng)關采用單點登錄技術進行用戶認證，借助外部認證服務確保用戶身份的真實性和合法性。認證后，API網(wǎng)關利用基于角色的訪問控模型，通過權限服務進行權限驗證，確保用戶訪問請求在角色權限范圍內(nèi)。此外，為了保障數(shù)據(jù)傳輸?shù)陌踩?，API網(wǎng)關在通信過程中采用超文本傳輸安全協(xié)議（Hypertext Transfer Protocol Secure，HTTPS）協(xié)議，利用加密技術防止數(shù)據(jù)在傳輸過程中被截獲或篡改。針對東西向流量中微服務之間的遠程過程調(diào)用（Remote Procedure Call，RPC），API網(wǎng)關采用JSON網(wǎng)絡令牌技術進行服務間的認證，傳遞加密的JSON對象，其中包含了認證和授權信息。認證后，API網(wǎng)關利用訪問控制列表進行細粒度的權限控制。訪問控制列表定義在API網(wǎng)關中，明確定義了服務的資源訪問權限。在通信安全方面，采用雙向傳輸層安全性協(xié)議，要求通信雙方在建立連接前必須通過加密技術進行雙向身份認證，有效降低了中間人攻擊的風險。

認證鑒權的核心在于設計并實現(xiàn)APISIX插件，以打通高校的認證和權限服務。以南北向流量的認證鑒權為例，如圖2所示。其中，第2步當API網(wǎng)關檢查到用戶會話信息失效時，將返回302狀態(tài)碼告知客戶端重定向到認證服務。第5步當用戶在認證服務中完成賬戶登錄后，API網(wǎng)關會向認證服務發(fā)起RPC請求，以驗證服務票據(jù)的有效性。第6步當服務票據(jù)驗證通過后，API網(wǎng)關會向權限服務發(fā)起RPC請求，查詢用戶的授權信息，確保用戶請求的資源訪問符合權限策略。

3.2"信任評估實現(xiàn)

信任評估實現(xiàn)的核心在于構建評估模型。為此，本文首先構建一個全面的評估指標體系，涵蓋了主體、行為、環(huán)境3個方面的指標。主體方面的指標是評估的基礎，涉及身份信息、訪問權限、來源IP、客戶端版本等。這些指標主要依托于日志分析服務提供。行為方面的指標更加關注請求主體的行為模式，包括請求信息、響應信息、資源信息、訪問模式、操作類型、請求頻率、錯誤率等。這些指標同樣源自日志分析服務，但需要進一步的數(shù)據(jù)處理和特征工程，比如使用特征工程中滑動窗口算法統(tǒng)計獲得聚合指標。環(huán)境方面的指標著眼于請求發(fā)起的外部環(huán)境，包括網(wǎng)關狀態(tài)、服務狀態(tài)、設備狀態(tài)、鏈路狀態(tài)等。其中，鏈路狀態(tài)指標來自鏈路追蹤服務，而其他指標由指標監(jiān)控服務提供。

在指標體系的基礎上，本文采用基于模擬退火的BP神經(jīng)網(wǎng)絡算法進行訓練。模擬退火算法是一種概率型優(yōu)化算法，它受到冶金學中退火過程的啟發(fā)，可以用來優(yōu)化BP神經(jīng)網(wǎng)絡的權重和偏置參數(shù)，跳出局部最優(yōu)解，有可能找到全局最優(yōu)解，從而提高學習效果。優(yōu)化后的BP神經(jīng)網(wǎng)絡算法訓練流程如圖3所示，包括內(nèi)循環(huán)和外循環(huán)。內(nèi)循環(huán)在給定溫度下進行，涉及參數(shù)的隨機擾動、損失函數(shù)的計算以及新解的接收決策。這一過程不斷迭代，直至達到預定的迭代次數(shù)，確保了在當前溫度下充分的搜索和評估。外循環(huán)則負責控制溫度的降低和內(nèi)循環(huán)的重復執(zhí)行，從初始化的高溫逐漸降溫至預設的低溫閾值，直至模型誤差達到可接受的范圍，此時算法逐漸收斂至最優(yōu)解。

3.3"動態(tài)防御實現(xiàn)

動態(tài)防御服務基于信任評估服務定時計算出的用戶評分，結合安全策略，通過實時修改用戶身份權限和訪問控制列表的方式，實現(xiàn)動態(tài)的網(wǎng)絡安全防護。為滿足高校網(wǎng)絡運維體系的安全需求，本文設計了多級安全策略，如表1所示，包括正常、嚴格、隔離、受限、鎖定和凍結6個等級。這種策略劃分提供了靈活性，允許根據(jù)實際安全態(tài)勢和需求，調(diào)整對不同等級請求主體的管理。每級策略都涉及對用戶身份驗證的嚴格程度、資源訪問權限、敏感數(shù)據(jù)訪問限制以及網(wǎng)絡訪問安全要求等方面的綜合考量和限制。

安全策略中的限制通過不同的方案實現(xiàn)。例如，通過RPC機制動態(tài)通知認證服務和權限服務，改變相應用戶的身份校驗方式和用戶狀態(tài)。通過調(diào)用API網(wǎng)關的控制接口，動態(tài)變更API網(wǎng)關的路由規(guī)則、外網(wǎng)訪問方式、敏感數(shù)據(jù)權限等配置。API網(wǎng)關的動態(tài)配置能力，使得這些變更能夠?qū)崟r生效，無需重啟服務，大大提高了響應速度和系統(tǒng)的靈活性。

4"系統(tǒng)應用

零信任API網(wǎng)關部署在高校信息化網(wǎng)絡集群中，如圖4所示。它作為流量入口，為南北和東西向流量提供安全防護。零信任API網(wǎng)關運維著高校多個關鍵服務，如圖5中路由列表所示。通過精細配置路由規(guī)則，每個服務均對應設置多個路由，每個路由根據(jù)服務特性和安全需求，配置了不同的認證、授權策略以及訪問控制列表，確保了服務間的邏輯分離，實現(xiàn)了對校園網(wǎng)絡資源的有效管理和控制。同時通過動態(tài)調(diào)整路由規(guī)則，響應了校園網(wǎng)絡環(huán)境中不斷變化的訪問模式和安全威脅，確保了信息化服務的穩(wěn)定性和可靠性。

5"結語

本文針對當前高校網(wǎng)絡運維面臨的安全隱患，基于APISIX架構成功設計并實施了零信任網(wǎng)關，實現(xiàn)了統(tǒng)一認證鑒權、信任評估、動態(tài)防御等功能。該網(wǎng)關已部署在高校信息化集群中，運行效果良好，可為后續(xù)類似平臺研發(fā)提供借鑒。展望未來，下一步將持續(xù)探索零信任模型與其他新興技術如人工智能、大數(shù)據(jù)等的融合應用，以期實現(xiàn)更全面、更智能的網(wǎng)絡安全防護。

參考文獻

［1］金義.高校校園網(wǎng)絡運維標準化管理研究［J］.大眾標準化，2024（12）：166-168.

［2］張濤，高建，黎臻，等.基于零信任架構的安全網(wǎng)關設計［J］.網(wǎng)絡安全技術與應用，2023（6）：2-4.

［3］劉坤.面向零信任api網(wǎng)關的微隔離技術研究［D］.重慶：重慶郵電大學，2022.

［4］黃宏暉，季昭沁，楊海亮.云原生網(wǎng)關apisix的cas認證插件設計與實現(xiàn)［J］.微型電腦應用，2024（1）：9-11.

［5］吳崇.基于BP神經(jīng)網(wǎng)絡的設備快速估價模型研究［J］.煤炭工程，2024（7）：220-224.

［6］李宏昌.零信任網(wǎng)絡安全模型的實現(xiàn)與應用［J］.電子元器件與信息技術，2024（3）：188-191.

（編輯"王雪芬）

Application of zero trust API gateway in university network operations and maintenance

ZHANG "Zhen

（Zhejiang Financial College， Hangzhou 310000， China）

Abstract： "With the rapid development of information technology， university network operations and maintenance face increasingly severe security challenges. This paper proposes a zero trust API gateway solution applied to the university network operations and maintenance system， aiming to enhance the security of the network. The solution is based on the APISIX architecture， adheres to the principles of zero trust， emphasizes identity authentication and continuous trust assessment， and constructs a comprehensive security protection system through a microservices architecture. The system implements specific functions of authentication and authorization， trust assessment， and dynamic defense， and improves intelligent decision-making capabilities through a backpropagation neural network algorithm optimized by simulated annealing. The research results of this paper have been applied in the university’s information network， verifying its effectiveness and feasibility， providing new ideas and methods for future network security protection.

Key words： zero trust; API gateway; backpropagation neural network; simulated annealing