拟态化微服务的装置及方法

1.本发明属于网络空间安全技术领域，具体涉及一种拟态化微服务的装置及方法。


背景技术：

2.云原生技术有利于各组织在公有云、私有云和混合云等动态环境中，构建和运行可弹性扩展的应用，这使得云原生技术飞速发展。微服务作为云原生的代表技术，能够满足软件开发中高内聚低耦合的要求，构建出易于管理和便于观察的松耦合系统。其本质是将应用软件切分成若干个小服务，这些小服务独立运行且互不影响。微服务的特性使得云原生下微服务技术迅速发展，但同时也带来很多安全问题。微服务场景相比于单体场景面对更多的入口点，导致攻击面增大，使得微服务场景面临更高的安全威胁。针对微服务场景下的安全威胁，攻击者可以通过控制单个微服务，窃取微服务场景中其他微服务相关的数据，进一步篡改微服务数据，传播病毒等造成服务瘫痪、中断或以非预期的方式运行，严重威胁微服务安全。
3.拟态防御技术是一种基于动态性、异构性、冗余性的架构技术，该技术能够抵御基于未知漏洞和后门的攻击。对低成本、轻量级构建需求的微服务技术拟态防御可以形成良好的互补，因而拟态防御技术应用于微服务，是提升微服务安全性的一个可行途径。
4.如今拟态化方法及装置已经取得部分成果，如：拟态交换机，通用性拟态异构平台，拟态化云平台，分布式模式的拟态括号等。近年来，随着微服务的快速发展，微服务安全领域出现很多安全问题，拟态化微服务对部分安全问题有很好的防御效果，但目前还没有拟态化微服务相关的方法。


技术实现要素：

5.针对微服务出现的安全问题，本发明提出一种拟态化微服务的装置及方法，能够有效提升微服务安全性。
6.为解决上述技术问题，本发明采用以下的技术方案：本发明提供了一种拟态化微服务的装置，所述装置包括微服务网关组件和控制组件；所述微服务网关组件包括微服务原生网关和微服务拟态化网关，所述微服务拟态化网关是在微服务原生网关上增加拟态微服务通信代理单元。
7.进一步地，所述拟态微服务通信代理单元包括输入代理模块和输出代理模块；所述输入代理模块用于接收前端微服务请求，并复制分发给多个执行体，同时接收执行体的返回信息，对执行体的返回信息进行裁决并响应给前端微服务；所述输出代理模块用于接收执行体访问后端微服务请求并进行裁决，同时接收后端微服务的返回信息，并响应给执行体。
8.进一步地，所述执行体通过在同一个微服务环境中以多样化编译或者背靠背开发方式实现异构功能。
9.进一步地，所述控制组件用于控制微服务网关组件，包括生命周期管理、制定规
则、熔断控制和选择裁决算法。
10.进一步地，所述装置部署在kubernetes平台上，微服务作为一个独立的逻辑单元，运行多个pod副本，每个实例运行在一个pod当中，输入代理模块和输出代理模块在实现原有微服务网关的基础上增加了拟态功能，微服务、输入代理模块和输出代理模块以容器的方式运行。
11.进一步地，所述控制组件部署在kubernetes集群master节点上。
12.本发明还提供了一种拟态化微服务的方法，包含以下步骤：步骤1，选择需要保护的微服务进行拟态化改造；步骤2，在拟态化改造的微服务中运行多个异构的执行体，并在微服务原生网关上增加拟态微服务通信代理单元；步骤3，拟态微服务通信代理单元包括输入代理模块和输出代理模块，输入代理模块与前端微服务建立连接，并接收前端微服务请求，同时将前端微服务请求复制分发给多个执行体；步骤4，执行体接收来自输入代理模块的前端微服务请求，解析前端微服务请求，完成相关的业务处理，生成后端微服务请求，并发送给输出代理模块；步骤5，输出代理模块接收执行体的后端微服务请求并进行解析和裁决，根据裁决结果，选择发送给后端微服务；若裁决结果异常，则返回错误并上报；若裁决结果正常，则发送请求给后端微服务；步骤6，后端微服务接收输出代理模块中的执行体访问后端微服务请求，进行相应的业务处理，生成执行体响应，并返回给输出代理模块；步骤7，输出代理模块接收后端微服务响应并复制分发给多个执行体；步骤8，执行体接收来自输出代理模块的后端微服务响应，解析后端微服务响应，完成相关的业务处理，生成前端微服务响应，并发送给输入代理模块；步骤9，输入代理模块接收执行体的前端微服务响应并进行解析和裁决，根据裁决结果，选择发送给前端微服务；若裁决结果异常，则返回错误并上报；若裁决结果正常，则发送响应给前端微服务。
13.进一步地，控制组件用于控制微服务网关组件，包括生命周期管理、指定规则、熔断控制和选择裁决算法。
14.与现有技术相比，本发明具有以下优点：1、本发明选择需要保护的微服务进行拟态化改造，在微服务原生网关上增加拟态微服务通信代理单元，拟态微服务通信代理单元包括输入代理模块和输出代理模块，对经过执行体微服务的请求及响应进行裁决，能够有效的抵御针对微服务的实时网络攻击和微服务未知的漏洞和后门。
15.2、本发明可以根据用户需求，自主选择微服务进行拟态化改造，使得拟态化微服务场景具有很强的灵活性，能够在增加少量开销的前提下，为攻击者带来更大的攻击难度，增强微服务交互的安全性。
附图说明
16.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现
有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
17.图1是本发明实施例一的拟态化微服务的装置的结构示意图；图2是本发明实施例一的拟态化微服务的方法的流程示意图；图3是本发明实施例二的拟态化微服务的装置的结构示意图；图4是本发明实施例二的拟态化微服务的方法的流程示意图。
具体实施方式
18.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
19.实施例一如图1所示，本实施例的拟态化微服务的装置包括微服务网关组件和控制组件；所述微服务网关组件包括微服务原生网关和微服务拟态化网关，所述微服务拟态化网关是在微服务原生网关上增加拟态微服务通信代理单元；所述拟态微服务通信代理单元包括输入代理模块和输出代理模块；所述输入代理模块用于接收前端微服务请求，并复制分发给多个执行体，同时接收执行体的返回信息，对执行体的返回信息进行裁决并响应给前端微服务；所述输出代理模块用于接收执行体访问后端微服务请求并进行裁决，同时接收后端微服务的返回信息，并响应给执行体。
20.所述控制组件用于控制微服务网关组件，包括生命周期管理、制定规则、熔断控制和选择裁决算法等。
21.优选的，所述执行体通过在同一个微服务环境中以多样化编译或者背靠背开发方式实现异构功能。
22.基于上述的拟态化微服务的装置，本实施例还提供一种拟态化微服务的方法，如图2所示，包含以下步骤：步骤s21，选择需要保护的微服务进行拟态化改造。
23.步骤s22，在拟态化改造的微服务中运行多个异构的执行体，并在微服务原生网关上增加拟态微服务通信代理单元。
24.步骤s23，拟态微服务通信代理单元包括输入代理模块和输出代理模块，输入代理模块与前端微服务建立连接，并接收前端微服务请求，同时将前端微服务请求复制分发给多个执行体。
25.步骤s24，执行体接收来自输入代理模块的前端微服务请求，解析前端微服务请求，完成相关的业务处理，生成后端微服务请求，并发送给输出代理模块。
26.步骤s25，输出代理模块接收执行体的后端微服务请求并进行解析和裁决，根据裁决结果，选择发送给后端微服务；若裁决结果异常，则返回错误并上报；若裁决结果正常，则发送请求给后端微服务。
27.步骤s26，后端微服务接收输出代理模块中的执行体访问后端微服务请求，进行相
应的业务处理，生成执行体响应，并返回给输出代理模块。
28.步骤s27，输出代理模块接收后端微服务响应并复制分发给多个执行体。
29.步骤s28，执行体接收来自输出代理模块的后端微服务响应，解析后端微服务响应，完成相关的业务处理，生成前端微服务响应，并发送给输入代理模块。
30.步骤s29，输入代理模块接收执行体的前端微服务响应并进行解析和裁决，根据裁决结果，选择发送给前端微服务；若裁决结果异常，则返回错误并上报；若裁决结果正常，则发送响应给前端微服务；控制组件用于控制微服务网关组件。
31.实施例二如图3所示，本实施例的拟态化微服务的装置，对串行或并行微服务，在前端微服务和后端微服务交互过程中，有选择的对中间微服务进行拟态化改造，该装置部署在kubernetes平台上，微服务作为一个独立的逻辑单元，可以运行多个pod副本，每个实例运行在一个pod当中，输入代理模块和输出代理模块在实现原有微服务网关的基础上增加了拟态功能，微服务、输入代理模块和输出代理模块以容器的方式运行。图3中数据流以实线表示，控制流以虚线表示。
32.该装置包括微服务网关组件和控制组件；所述微服务网关组件包括微服务原生网关和微服务拟态化网关，所述微服务拟态化网关是在微服务原生网关上增加拟态微服务通信代理单元；所述拟态微服务通信代理单元包括输入代理模块和输出代理模块；所述输入代理模块用于接收前端微服务请求，并复制分发给多个执行体，同时接收执行体的返回信息，对执行体的返回信息进行裁决并响应给前端微服务；所述输出代理模块用于接收执行体访问后端微服务请求并进行裁决，同时接收后端微服务的返回信息，并响应给执行体。
33.所述控制组件部署在kubernetes集群master节点上，用于控制微服务网关组件，包括生命周期管理、制定规则、熔断控制和选择裁决算法等。
34.基于上述的拟态化微服务的装置，本实施例还提供一种拟态化微服务的方法，如图4所示，包含以下步骤：步骤s41，微服务运行在kubernetes平台上的pod中，微服务、输入代理模块和输出代理模块以容器的方式运行，根据用户需求，有选择地对需要保护的微服务进行拟态化改造。
35.步骤s42，在拟态化改造的微服务中运行多个异构的执行体，并在微服务原生网关上增加拟态微服务通信代理单元。
36.步骤s43，拟态微服务通信代理单元包括输入代理模块和输出代理模块，输入代理模块与前端微服务建立连接，并接收前端微服务请求（例如http请求），同时将前端微服务请求复制分发给多个执行体。
37.步骤s44，执行体接收来自输入代理模块的前端微服务请求，解析前端微服务请求，完成相关的业务处理，生成后端微服务请求，并发送给输出代理模块。
38.步骤s45，输出代理模块接收执行体的后端微服务请求并进行解析和裁决，根据裁决结果，选择发送给后端微服务；若裁决结果异常，则返回错误并上报；若裁决结果正常，则发送请求给后端微服务。
39.步骤s46，后端微服务接收输出代理模块中的执行体访问后端微服务请求，进行相应的业务处理，生成执行体响应，并返回给输出代理模块。
40.步骤s47，输出代理模块接收后端微服务响应并复制分发给多个执行体。
41.步骤s48，执行体接收来自输出代理模块的后端微服务响应，解析后端微服务响应，完成相关的业务处理，生成前端微服务响应，并发送给输入代理模块。
42.步骤s49，输入代理模块接收执行体的前端微服务响应并进行解析和裁决，根据裁决结果，选择发送给前端微服务；若裁决结果异常，则返回错误并上报；若裁决结果正常，则发送响应给前端微服务；控制组件用于控制微服务网关组件。
43.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。
44.最后需要说明的是：以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。