微服务是云原生环境下典型的应用场景,但是应用程序接口（Application Program Interface,API）网关作为微服务体系架构中的关键组件,其安全防护能力尚不足以应对云原生环境下复杂的外部攻击,亦无法应对微服务集群内部的安全威胁。因此,本文基于零信任“持续验证、永不信任”的核心思想,提出零信任API网关系统框架,并针对零信任和API网关系统结合过程中所遇到的关键问题进行了研究。本文的主要工作如下:1.针对API网关无法应对复杂的外部攻击和内部威胁的问题,结合零信任核心逻辑架构,提出零信任API网关体系结构,并对零信任和API网关结合过程中所需解决的访问控制策略问题和网络资源消耗问题进行了总结分析。2.针对API网关体系静态、固化的授权策略无法对请求流量进行动态、持续评估的问题,提出基于机器学习的信任评估模型及访问控制机制。首先,面向零信任API网关场景构建信任评估指标体系;其次,针对传统信任评估模型主观性强、准确率低等缺点,提出基于反向传播（Back Propagation,BP）神经网络构建的信任评估模型,并基于Ada Boost思想对信任评估模型进行改进,提高了信任评估模型的准确率;此外,基于信任评估结果提出一种信任约束的访问控制机制,提高了访问控制的动态性和准确性;最后,通过现有的开源技术搭建原型系统,对所提模型和机制进行了验证。3.针对现有微隔离技术僵化的隔离粒度所导致的网络资源消耗过多的问题,提出基于安全域划分的微隔离技术,通过“域间强验证、域内弱验证”的思想,在保证系统安全的同时降低网络资源消耗。首先,提出系统安全和资源消耗两个目标函数,对安全域划分问题进行系统建模,将安全域划分问题转化成多目标优化问题进行求解;其次,提出基于第二代非支配排序遗传算法（Non-dominated Sorting Genetic Algorithm-Ⅱ,NSGA-Ⅱ）的动态安全域划分算法,并通过标签传播算法（Label Propagation Algorithm,LPA）对初始种群进行优化,提高算法的收敛速度;最后,通过不同网络场景下的仿真对该部分研究内容进行验证。