[发明专利]一种PaaS平台的安全运行方法和PaaS平台

说明书

技术领域

本发明涉及计算机应用技术领域，特别是涉及一种PaaS平台的安全运行方法和PaaS平台。

背景技术

随着IT技术的迅猛发展，云计算技术及理念的深入应用，云安全越来越成为安全业界关注的重点。一方面，云计算应用的无边界性和流动性等特点引发了很多新的安全问题，另一方面，云计算技术及理念也对传统安全技术及应用产生了深远的影响。

按照服务类型的不同，云计算技术分为SaaS(Soft as a Service，软件即服务)、PaaS(Platform as a Service，平台即服务)和IaaS(Infrastructure as aService，基础设施即服务)。其中，Paas就是云计算中的应用基础设施服务，由于PaaS平台在云架构中位于中间层，其上层是SaaS平台，其下层是IaaS平台，因此，PaaS也可以称为中间件即服务。与其它类型的平台相比，PaaS平台对应用程序安全性的要求比IaaS平台和SaaS平台要高。

Java开发工具自身已经提供了具备各种安全功能的Java安全沙箱，这种Java安全沙箱主要是从应用角度分析应用程序的生命周期，在生命周期的每个阶段提供对应的安全功能。具体地，Java提供了以下几个方面的安全功能：类装载器、字节码文件校验、虚拟机的安全限制、安全管理器和API等。类装载器为应用程序的开始阶段提供安全功能，字节码文件校验位应用程序的开始和运行阶段提供安全功能，虚拟机内置安全为应用程序的运行和结束阶段提供安全功能。

但是，在PaaS平台的应用场景中，需要由客户端将应用程序上传到PaaS平台的应用程序节点中运行。应用程序节点即为真实的服务器主机或者IaaS层提供的虚拟主机。对于PaaS平台而言，PaaS平台的应用程序节点通常是多租户形式的，也就是说，PaaS平台的应用程序节点会接收到来自于各种各样的客户端上传的应用程序，这些上传的应用程序不仅有可能对PaaS平台上运行这些应用程序的应用程序节点造成安全问题，而且还会对部署在应用程序节点上的其它应用程序造成安全问题，甚至于，在一些情况下，这些上传的应用程序可能通过该应用程序节点对PaaS平台内的其它应用程序节点造成安全问题，相当于，在一个PaaS云平台中，安全问题从一个应用程序节点向外渗透到了其它应用程序节点，即，引起一系列的安全问题。但是，现有的Java安全沙箱仅能从语言本身保证应用程序的安全性，却无法避免PaaS平台中的上述安全问题。

发明内容

为了解决上述技术问题，本发明实施例提供了一种PaaS平台的安全运行方法和PaaS平台，以避免客户端上传的应用个程序对PaaS云平台造成的安全问题。

本发明实施例公开了如下技术方案：

一种PaaS平台的安全运行方法，包括：

管理服务器获取应用程序代码；

所述管理服务器为所述应用程序代码调度分配应用程序节点和逻辑隔离方式；

所述应用程序节点从所述管理服务器下载所述应用程序代码和逻辑隔离方式；

所述应用程序节点在Java代码进入Java虚拟机时，通过JavaInstrumentation拦截所述Java代码，所述Java代码中包含所述应用程序代码和用于运行所述应用程序代码的服务程序代码；

所述应用程序节点通过Java类加载器将所述Java代码中包含的所述应用程序代码和所述服务程序代码进行相互隔离；

所述应用程序节点通过字节码增强，将隔离出的所述应用程序代码按照所述逻辑隔离方式进行的限制和屏蔽。

一种PaaS平台，包括：一个管理服务器和至少一个应用程序节点，其中，所述管理服务器包括获取模块、调度分配模块，所述应用程序节点包括下载模块、拦截模块、隔离模块和限制屏蔽模块，

获取模块，用于获取应用程序代码；

调度分配模块，用于为所述应用程序代码调度分配应用程序节点和逻辑隔离方式；

下载模块，用于从所述管理服务器下载所述应用程序代码和逻辑隔离方式；

拦截模块，用于在Java代码进入Java虚拟机时，通过Java Instrumentation拦截所述Java代码，所述Java代码中包含所述应用程序代码和用于运行所述应用程序代码的服务程序代码；

隔离模块，用于通过Java类加载器将所述Java代码中包含的所述应用程序代码和所述服务程序代码进行相互隔离；

限制屏蔽模块，用于通过字节码增强，将隔离出的所述应用程序代码按照所述逻辑隔离方式进行的限制和屏蔽。