[发明专利]利用虚拟固件的虚拟机使用数据收集

权利要求书

1.一种计算机实现的用于收集使用数据的方法，包括：

由主机的管理程序将虚拟可信平台模块加载到所述主机上的虚拟机的虚拟硬件层中；

将虚拟固件加载到所述虚拟机的虚拟硬件层中，其中，所述虚拟固件可在所述虚拟硬件层中以比所述虚拟机的内核更高的信任级别操作，以及，其中，所述虚拟可信平台模块监视所述虚拟固件的加载，以确保所述虚拟固件和所述虚拟机的内核之间的安全通信；

在所述虚拟机的虚拟硬件层中和内核中运行所述虚拟固件，其中，所述虚拟固件被保护免受虚拟机的用户空间访问，其中，所述虚拟固件作为代理在内核内执行，以及，其中，所述代理从所述虚拟机的所述内核内的内核子系统收集使用数据；

在所述虚拟固件经由所述内核内的代理接收描述所述虚拟机的使用数据，所述使用数据描述所述虚拟机的资源利用以及受保护免受所述虚拟机的用户空间访问；以及

将所述使用数据从所述虚拟固件发送到托管所述虚拟机的主机上的收集器。

2.如权利要求1所述的方法，进一步包括，在所述虚拟机的用户空间运行用户工具，其中，所述用户工具与所述虚拟固件通信，并配置为提供到所述使用数据的访问。

3.如权利要求2所述的方法，进一步包括，需要证书来访问所述用户工具。

4.如权利要求2所述的方法，其中，运行所述用户工具包括，使用proc文件系统来在所述用户工具和所述虚拟固件之间提供接口。

5.如权利要求1所述的方法，进一步包括，在生成所述虚拟机时，将所述虚拟可信平台模块加载到所述虚拟机的所述虚拟硬件层中。

6.如权利要求1所述的方法，进一步包括，将所述虚拟机固件加载到所述虚拟机的所述虚拟硬件层中，其中，所述加载由操作系统加载器执行。

7.一种用于收集使用数据的系统，包括：

具有计算机可读指令的存储器；以及

一个或多个处理器，用于执行所述计算机可读指令，所述计算机可读指令包括：

由主机的管理程序将虚拟可信平台模块加载到所述主机上的虚拟机的虚拟硬件层中；

将虚拟固件加载到所述虚拟机的虚拟硬件层中，其中，所述虚拟固件可在所述虚拟硬件层中以比所述虚拟机的内核更高的信任级别操作，以及，其中，所述虚拟可信平台模块监视所述虚拟固件的加载，以确保所述虚拟固件和所述虚拟机的内核之间的安全通信；

在所述虚拟机的虚拟硬件层中和内核中运行所述虚拟固件，其中，所述虚拟固件被保护免受虚拟机的用户空间访问，其中，所述虚拟固件作为代理在内核内执行，以及，其中，所述代理从所述虚拟机的所述内核内的内核子系统收集使用数据；

在所述虚拟固件经由所述内核内的代理接收描述所述虚拟机的使用数据，所述使用数据描述所述虚拟机的资源利用以及受保护免受所述虚拟机的用户空间访问；以及

将所述使用数据从所述虚拟固件发送到托管所述虚拟机的主机上的收集器。

8.如权利要求7所述的系统，所述计算机可读指令进一步包括，在所述虚拟机的用户空间运行用户工具，其中，所述用户工具与所述虚拟固件通信，并配置为提供到所述使用数据的访问。

9.如权利要求8所述的系统，所述计算机可读指令进一步包括，需要证书来访问所述用户工具。

10.如权利要求8所述的系统，其中，运行所述用户工具包括，使用proc文件系统来在所述用户工具和所述虚拟固件之间提供接口。

11.如权利要求7所述的系统，所述计算机可读指令进一步包括，在生成所述虚拟机时，将所述虚拟可信平台模块加载到所述虚拟机的所述虚拟硬件层中。

12.如权利要求7所述的系统，所述计算机可读指令进一步包括，将所述虚拟机固件加载到所述虚拟机的所述虚拟硬件层中，其中，所述加载由操作系统加载器执行。