[发明专利]云环境的监控方法及物理节点

权利要求书

1.一种云环境的监控方法，其特征在于，所述方法包括：

当云环境的可信链扩张到扩展到管理域时，管理域在开启监控域时，虚拟管理器VMM通过迷你可信平台模块mini TPM驱动度量所述监控域的内存布局；所述mini TPM驱动具体包括：TPM驱动中的可信扩展和度量子功能；

VMM并根据所述监控域的内存布局是否符合要求判断所述监控域是否可信。

2.根据权利要求1所述的方法，其特征在于，所述方法在判断出监控域可信时还包括：

VMM将监控域的内存页面锁定。

3.根据权利要求1所述的方法，其特征在于，所述监控域包括：不同类型的操作系统的语义解析模块，所述语义解析模块包括：封装有不同类型操作系统对应的设备驱动；所述在判断出监控域可信时还包括：

在进行语义解析时，所述监控域根据所述语义对应的操作系统的类型调用与该操作系统对应的语义解析模块对该语义进行解析。

4.根据权利要求1所述的方法，其特征在于，所述在判断出监控域可信时还包括：

当进行系统调用时，确定所述系统调用为传统系统调用或快速系统调用；

当确定是传统系统调用时，将自定义的函数入口写入所述监控域的中断描述符表以拦截所述传统系统调用，在拦截成功后，进入语义解析流程；

当确定是快速系统调用时，将用户域的系统调用入口函数地址寄存器设置为不存在的值，将所述快速系统调用转化为缺页异常，并将缺页地址发送给VMM，VMM通过缺页地址判断是否为正常的缺页异常，如否，拦截所述快速系统调用，并进入监控流程；

所述监控流程包括：获取客户虚拟机在系统调用时的低级语义，根据该低级语义解析出高级语义以实现在系统调用时的客户虚拟机的监控。

5.一种云环境的物理节点，其特征在于，所述节点包括：管理域、监控域和虚拟管理器VMM；其中

所述管理域，用于当云环境的可信链扩张到扩展到管理域时，开启监控域，并通知所述VMM；

所述VMM，用于通过mini TPM驱动度量所述监控域的内存布局，并根据所述监控域的内存布局是否符合要求判断所述监控域是否可信；

所述mini TPM驱动具体包括：TPM驱动中的可信扩展和度量子功能。

6.根据权利要求5所述的物理节点，其特征在于，所述VMM在判断出监控域可信时，所述VMM进一步用于将监控域的内存页面锁定。

7.根据权利要求5所述的物理节点，其特征在于，所述监控域包括：不同类型的操作系统的语义解析模块，所述语义解析模块包括：封装有不同类型操作系统对应的设备驱动；

所述监控域，用于在所述VMM在判断出监控域可信且在进行语义解析时，根据所述语义对应的操作系统的类型调用与所述操作系统对应的语义解析模块对该语义进行解析。

8.根据权利要求5所述的物理节点，其特征在于，所述VMM在判断出监控域可信时，所述物理节点还包括：用户域；

所述用户域，用于执行系统调用，并在进行系统调用时，触发判断模块；

所述判断模块，用于判断所述系统调用为传统系统调用或快速系统调用，并将判断结果发送给第一拦截模块和第二拦截模块；

第一拦截模块，用于在所述判断结果为传统系统调用时，将自定义的函数入口写入所述监控域的中断描述符表以拦截所述传统系统调用，在拦截成功后，触发监控模块进入监控流程；

第二拦截模块，用于在所述判断结果为快速系统调用时，将用户域的系统调用入口函数地址寄存器设置为不存在的值，将所述快速系统调用转化为缺页异常，并将缺页地址发送给VMM以使所述VMM通过缺页地址判断是否为正常的缺页异常，如否，拦截所述快速系统调用，并触发监控模块进入监控流程；

所述监控模块，用于执行监控流程，所述监控流程包括：获取客户虚拟机在系统调用时的低级语义，根据该低级语义解析出高级语义以实现在系统调用时的客户虚拟机的监控；所述系统调用包括：传统系统调用或快速系统调用。