[发明专利]云环境的监控方法及物理节点

说明书

技术领域

本发明属于通信领域，尤其涉及一种云环境的监控方法及物理节点。

背景技术

虚拟化技术是一种新型的计算模式，它支持在单一硬件平台上同时运行多个隔离的虚拟环境，通过将不同的服务部署在这些虚拟环境中，实现多个服务聚合在单一物理结点，在2008和2009连续两年公布的Gartner技术发展趋势报告中，虚拟化技术都成为十大IT关键技术之一，作为计算机体系结构的发展趋势以及近年来研究的热点，虚拟化技术取得了长足的发展，随之带动了云计算的普和发展，基于虚拟计划技术的云平台具有强大的资源聚合和服务迁移能力，它能够按需使用和动态伸缩、显著提高资源利用率、简化服务部署，这些优点吸引了越来越多的厂商在云环境中部署服务、提供服务，然而，由于云平台服务提供商与云用户的信任问题，大大阻碍了云计算的发展。

为了解决云环境中的信任问题，现有技术提供了一种Ether的技术方案，Ether是一种透明的、在虚拟机外部的恶意代码分析方法，通过硬件辅助虚拟化技术，它实现了指令执行监控、内存写、系统调用截获和限制特定进程的内存访问。Ether系统架构如图1所示，如图1所示，其中，Ether系统架构包括：管理域（Dom0）和用户域（DomU），现有的云环境的可信度监控是通过可信平台模块（Trusted Platform Module，TPM）可信启动来实现的，其具体的步骤包括：可信根→基本输入输出系统（Basic Input Output System，BIOS）→统一引导程序（GRand Unified Bootloader，GRUB）→虚拟机管理器（Virtual Machine Management，VMM）→管理域→监控域，Ether由超级访问（Hypervisor）部分模块与用户部分模块组成，Hypervisor部分负责截获目标虚拟机中发生的事件，这些事件包括系统调用、指令执行、内存写、上下文切换等。用户部分模块负责控制目标虚拟机中哪些信息需要被监控，同时也负责监控信息的语义恢复，如将系统调用号转化为系统调用名，根据系统调用的参数类型恢复出具体的参数。

现有技术的技术方案的管理域与用户均由监控域监控，但监控域本身的可信度无法监控。

发明内容

本发明实施例的目的在于提供一种云环境的监控方法，旨在解决现有技术监控域本身的可信度无法监控的问题。

一方面，本发明提供一种云环境的监控方法，所述方法包括：

当云环境的可信链扩张到扩展到管理域时，管理域在开启监控域时，虚拟管理器VMM通过迷你可信平台模块mini TPM驱动度量所述监控域的内存布局；所述mini TPM驱动具体包括：TPM驱动中的可信扩展和度量子功能；

VMM并根据所述监控域的内存布局是否符合要求判断所述监控域是否可信。

进一步，本发明的实施例还提供一种云环境的物理节点，包括：管理域、监控域和虚拟管理器VMM；其中

所述管理域，用于当云环境的可信链扩张到扩展到管理域时，开启监控域，并通知所述VMM；

所述VMM，用于通过mini TPM驱动度量所述监控域的内存布局，并根据所述监控域的内存布局是否符合要求判断所述监控域是否可信；

所述mini TPM驱动具体包括：TPM驱动中的可信扩展和度量子功能。

本发明实施例提供的方法在监控域启动时，就通过mini TPM驱动来监控该监控域是否可信以实现监控域的监控，所以本发明实施例提供的方法具有对监控域进行可信监控的优点。

附图说明

图1是现有技术提供的Ether系统架构图；

图2是本发明实施例提供的云环境的监控方法的流程图；

图3是本发明实施例提供的监控域监控管理域的操作流程图；

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例提供一种云环境的监控方法，该方法由云平台内的客户虚拟机执行，该方法如图2所示，包括：

S21、当云环境的可信链扩张到扩展到管理域时，管理域在开启监控域时，虚拟管理器VMM通过mini TPM驱动度量所述监控域的内存布局；

所述mini TPM驱动具体包括：TPM驱动中的可信扩展和度量子功能；

S22、VMM并根据所述监控域的内存布局是否符合要求判断所述监控域是否可信。