[发明专利]一种基于字节码增强实现微服务安全的安全插件

权利要求书

1.一种基于字节码增强实现微服务安全的安全插件，其特征在于，所述安全插件包括扫描检测模块、执行器模块、服务鉴权模块和通讯模块，且所述安全插件在JVM启动时加载至程序中；

所述扫描检测模块用于在安全插件加载完成后进行初始化操作，以对程序是否非法修改进行扫描检测；

所述执行器模块用于接收指令并执行，所述指令包括扫描检测模块的基础配置加载指令和基于扫描检测数据生成的下发指令数据；

所述通讯模块用于上报扫描检测数据至安全控制后台，以及接收安全控制后台下发的下发指令数据和授权token；

所述服务鉴权模块用于获取授权token并进行缓存更新，以进行服务鉴权。

2.如权利要求1所述的一种基于字节码增强实现微服务安全的安全插件，其特征在于：

所述初始化操作包括加载扫描检测的基础配置和白名单配置；

所述安全控制后台基于扫描检测模块得到的扫描检测数据生成下发指令数据；

所述通讯模块还用于与安全控制后台通讯以对安全插件进行心跳保活；

所述服务鉴权模块具体用于在安全控制后台进行appId和appSecert的配置以供安全插件获取授权token，以及在服务调用方和服务提供方启动时注入应用配置进行token缓存、token更新、缓存公钥和更新公钥。

3.如权利要求2所述的一种基于字节码增强实现微服务安全的安全插件，其特征在于：

所述基础配置包括对非授权Agent插件的处置方式、清理脚本和执行策略；

所述白名单配置为授权的Agent插件列表。

4.如权利要求3所述的一种基于字节码增强实现微服务安全的安全插件，其特征在于，所述扫描检测模块对程序进行扫描检测的具体过程为：

启动JVM，加载安全插件，扫描检测模块进行初始化操作；

扫描器执行check方法，递归检测ClassFileTransformer接口，判断是否存在非白名单中Agent插件的加载：

若是，则基于配置的处理逻辑对非白名单中的Agent插件进行清理，然后继续运行主程序；

若否，则继续运行主程序。

5.如权利要求4所述的一种基于字节码增强实现微服务安全的安全插件，其特征在于，所述基于配置的处理逻辑对非白名单中的Agent插件进行清理，然后继续运行主程序，具体步骤包括：

基于配置的处理逻辑，判断是否为立即清理：

若是，则执行清理脚本，然后继续运行主程序；

若否，则判断是否中止程序的运行：

-若为中止程序运行，则中止程序的运行；

-若不为中止程序运行，则继续运行主程序。

6.如权利要求2所述的一种基于字节码增强实现微服务安全的安全插件，其特征在于：

所述下发指令数据包括执行对象、执行时机和执行方式；

所述下发指令数据下发至执行器模块后由执行器模块进行解析，解析完成后加载至执行器；

所述执行器包括SimpleAsyncTaskExecutor和SchedulerTaskExecutor；

所述SimpleAsyncTaskExecutor为一次性异步执行器，且指令执行完成后控制执行器模块退出；

所述SchedulerTaskExecutor为任务执行器，用于按照下发指令数据中的执行时机进行指令执行，且执行完成后通过通讯模块将执行结果上报至安全控制后台，安全控制后台对执行结果进行存储和展示。

7.如权利要求6所述的一种基于字节码增强实现微服务安全的安全插件，其特征在于，所述执行器模块的具体工作流程为：

进入执行器模块，判断是否存在新下发的下发指令数据，若是，则基于下发指令数据覆盖基础配置，并实例化执行器，若否，则根据原基础配置实例化执行器；

判断当前下发指令数据是否为一次性异步执行：

若是，则驱使SimpleAsyncTaskExecutor工作，得到执行结果并上报安全控制后台；

若否，则驱使SchedulerTaskExecutor工作，得到执行结果并上报安全控制后台。