技術領域

本發明涉及計算機應用技術領域，特別是涉及一種PaaS平臺的安全運行方法和PaaS平臺。

背景技術

隨著IT技術的迅猛發展，云計算技術及理念的深入應用，云安全越來越成為安全業界關注的重點。一方面，云計算應用的無邊界性和流動性等特點引發了很多新的安全問題，另一方面，云計算技術及理念也對傳統安全技術及應用產生了深遠的影響。

按照服務類型的不同，云計算技術分為SaaS(Soft?as?a?Service，軟件即服務)、PaaS(Platform?as?a?Service，平臺即服務)和IaaS(Infrastructure?as?aService，基礎設施即服務)。其中，Paas就是云計算中的應用基礎設施服務，由于PaaS平臺在云架構中位于中間層，其上層是SaaS平臺，其下層是IaaS平臺，因此，PaaS也可以稱為中間件即服務。與其它類型的平臺相比，PaaS平臺對應用程序安全性的要求比IaaS平臺和SaaS平臺要高。

Java開發工具自身已經提供了具備各種安全功能的Java安全沙箱，這種Java安全沙箱主要是從應用角度分析應用程序的生命周期，在生命周期的每個階段提供對應的安全功能。具體地，Java提供了以下幾個方面的安全功能：類裝載器、字節碼文件校驗、虛擬機的安全限制、安全管理器和API等。類裝載器為應用程序的開始階段提供安全功能，字節碼文件校驗位應用程序的開始和運行階段提供安全功能，虛擬機內置安全為應用程序的運行和結束階段提供安全功能。

但是，在PaaS平臺的應用場景中，需要由客戶端將應用程序上傳到PaaS平臺的應用程序節點中運行。應用程序節點即為真實的服務器主機或者IaaS層提供的虛擬主機。對于PaaS平臺而言，PaaS平臺的應用程序節點通常是多租戶形式的，也就是說，PaaS平臺的應用程序節點會接收到來自于各種各樣的客戶端上傳的應用程序，這些上傳的應用程序不僅有可能對PaaS平臺上運行這些應用程序的應用程序節點造成安全問題，而且還會對部署在應用程序節點上的其它應用程序造成安全問題，甚至于，在一些情況下，這些上傳的應用程序可能通過該應用程序節點對PaaS平臺內的其它應用程序節點造成安全問題，相當于，在一個PaaS云平臺中，安全問題從一個應用程序節點向外滲透到了其它應用程序節點，即，引起一系列的安全問題。但是，現有的Java安全沙箱僅能從語言本身保證應用程序的安全性，卻無法避免PaaS平臺中的上述安全問題。

發明內容

為了解決上述技術問題，本發明實施例提供了一種PaaS平臺的安全運行方法和PaaS平臺，以避免客戶端上傳的應用個程序對PaaS云平臺造成的安全問題。

本發明實施例公開了如下技術方案：

一種PaaS平臺的安全運行方法，包括：

管理服務器獲取應用程序代碼；

所述管理服務器為所述應用程序代碼調度分配應用程序節點和邏輯隔離方式；

所述應用程序節點從所述管理服務器下載所述應用程序代碼和邏輯隔離方式；

所述應用程序節點在Java代碼進入Java虛擬機時，通過JavaInstrumentation攔截所述Java代碼，所述Java代碼中包含所述應用程序代碼和用于運行所述應用程序代碼的服務程序代碼；

所述應用程序節點通過Java類加載器將所述Java代碼中包含的所述應用程序代碼和所述服務程序代碼進行相互隔離；

所述應用程序節點通過字節碼增強，將隔離出的所述應用程序代碼按照所述邏輯隔離方式進行的限制和屏蔽。

一種PaaS平臺，包括：一個管理服務器和至少一個應用程序節點，其中，所述管理服務器包括獲取模塊、調度分配模塊，所述應用程序節點包括下載模塊、攔截模塊、隔離模塊和限制屏蔽模塊，

獲取模塊，用于獲取應用程序代碼；

調度分配模塊，用于為所述應用程序代碼調度分配應用程序節點和邏輯隔離方式；

下載模塊，用于從所述管理服務器下載所述應用程序代碼和邏輯隔離方式；

攔截模塊，用于在Java代碼進入Java虛擬機時，通過Java?Instrumentation攔截所述Java代碼，所述Java代碼中包含所述應用程序代碼和用于運行所述應用程序代碼的服務程序代碼；

隔離模塊，用于通過Java類加載器將所述Java代碼中包含的所述應用程序代碼和所述服務程序代碼進行相互隔離；

限制屏蔽模塊，用于通過字節碼增強，將隔離出的所述應用程序代碼按照所述邏輯隔離方式進行的限制和屏蔽。