立项原因:该集团拥有上千个异构系统(ERP、MES、PLM、CRM、SRM、WMS等),系统间API调用关系错综复杂,形成“蜘蛛网式架构”,存在以下问题:
1)每次业务变更(如新品上市流程调整),需要协调5-8个团队修改接口,交付周期长达2个月
2)缺乏统一的安全策略,部分系统仍使用HTTP明文传输,存在数据泄露风险
3)无法满足等保2.0、GDPR等合规要求
解决什么问题:打造一套可视化API编排 + 零信任安全的网关平台,具备以下能力:
1)业务人员通过拖拽配置即可完成跨系统流程编排,交付周期从2个月缩短至1周
2)所有API调用实现双向mTLS加密、国密合规、精细鉴权
3)支持同态加密,敏感数据全程密文计算
4)支持MFA二次认证、HSM硬件加密机集成
行业背景
微服务架构已普及十年,但大多数企业的服务治理仍停留在“注册发现 + 简单路由”层面。Gartner预测,到2027年,60%的大型企业将采用“编排优先”的集成策略。同时,零信任安全也成为等保2.0、密评的强制要求,市场规模年增长超过30%。
模块 | 功能说明
API编排引擎 | 基于BPMN 2.0标准,支持串行、并行、条件分支、循环、聚合、补偿等编排模式,支持Saga分布式事务
低代码配置界面 | 可视化拖拽服务节点,自动生成DSL配置,支持导入OpenAPI/Swagger文档,支持版本管理
零信任Sidecar | 基于eBPF的流量劫持,无侵入式部署,自动注入mTLS,支持JWT/OAuth2/SPIFFE等多种身份认证
密钥管理(KMS)| 支持SM2/SM4/AES-256等多种算法,30天自动轮换,集成HSM硬件加密机,证书链管理
同态加密(HE) | 支持CKKS/BFV方案,订单金额、用户画像等敏感数据全程密文计算,密文膨胀率约65倍
MFA二次认证 | 支持TOTP、短信验证码、生物识别(指纹/FaceID)、FIDO2硬件密钥,覆盖率98.7%
策略执行点 | 支持IP白名单、时间窗口、频次限制、数据脱敏、请求/响应改写、熔断降级
可观测性 | 全链路Trace(Jaeger)、SLA指标(P99延迟、错误率)、调用拓扑图自动生成、AI异常检测
我负责的任务
1)整体架构设计:定义网关与Sidecar的分工、编排引擎的状态机模型、零信任安全架构
2)编排引擎核心实现:基于DAG的流程调度、异步回调补偿机制、Saga模式实现
3)安全架构设计:定义mTLS证书轮换策略、JWT细粒度权限映射、国密合规方案
4)运维平台建设:策略配置台、审计日志系统、告警规则配置
技术栈:Apache APISIX(Java Runner)+ Cilium/eBPF + 自定义Java编排引擎(BPMN/Saga)+ 同态加密(BouncyCastle/SEAL)+ etcd/Nacos + Prometheus/Jaeger
难点与技术亮点
难点 | 解决方案 |技术亮点
编排流程的持久化与恢复| 采用事件溯源模式,每个步骤的状态变更写WAL日志,支持任意节点重试与回滚| 流程状态永不丢失,支持跨天恢复
异步调用的超时与补偿| 实现Saga模式,定义Compensation Handler,支持向前/向后恢复| 长事务场景下数据最终一致,业务无感
eBPF无侵入流量劫持 |在K8S环境下注入eBPF程序拦截socket调用,无需修改业务代码| 业务代码零改造,支持任意语言
证书自动轮换 |集成SPIFFE标准,每24小时自动签发新证书,支持证书吊销检查(CRL + OCSP Stapling)| 无需人工介入,安全合规,符合密评要求
同态加密性能优化| 采用CKKS方案 + 多项式优化(N=8192),针对整数运算场景深度优化| 密文计算性能仅比明文慢23%,满足生产需求
国密合规 |全链路TLS 1.3国密套件(ECC_SM4_SM3),SM2双证书(加密+签名)| 通过密评三级认证,符合GM/T 0024标准
评论