一種云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)系統(tǒng)及其方法技術(shù)領(lǐng)域本發(fā)明涉及到云計(jì)算平臺(tái)中的安全I(xiàn)/O請(qǐng)求計(jì)數(shù)技術(shù)，特別是涉及到準(zhǔn)確并且有安全性的云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)系統(tǒng)及其方法。

背景技術(shù)：
隨著計(jì)算技術(shù)的不斷發(fā)展，傳統(tǒng)的個(gè)人PC已經(jīng)很難滿足用戶的計(jì)算需求，云計(jì)算技術(shù)應(yīng)運(yùn)而生，在近幾年得到迅速的發(fā)展。云計(jì)算通過(guò)使用虛擬化等核心技術(shù)，為用戶提供計(jì)算能力遠(yuǎn)大于個(gè)人PC的服務(wù)器集群來(lái)為用戶進(jìn)行大規(guī)模的計(jì)算任務(wù)。云計(jì)算的一種主要應(yīng)用形式是由供應(yīng)商為用戶提供以虛擬機(jī)為單位的實(shí)例，用戶通過(guò)網(wǎng)絡(luò)等渠道將需要進(jìn)行處理的任務(wù)提交給該虛擬機(jī)實(shí)例進(jìn)行運(yùn)行。然而，這樣的環(huán)境存在很多安全性的隱患。由于用戶無(wú)法與處理其數(shù)據(jù)的機(jī)器進(jìn)行直接的接觸，數(shù)據(jù)存在泄露的風(fēng)險(xiǎn)，而且，云計(jì)算平臺(tái)的集群的供應(yīng)商也需要提供足夠的證據(jù)證明自己不會(huì)對(duì)用戶的數(shù)據(jù)進(jìn)行改動(dòng)。與安全性有關(guān)的另一個(gè)關(guān)鍵問(wèn)題是云計(jì)算平臺(tái)的計(jì)費(fèi)問(wèn)題。當(dāng)前的計(jì)費(fèi)模式一般是按照時(shí)間收費(fèi)，然而該種方式過(guò)于粗略，而且，由于多個(gè)虛擬機(jī)的調(diào)度問(wèn)題，很容易造成執(zhí)行時(shí)間分配不均的情況，會(huì)直接造成用戶的經(jīng)濟(jì)損失。因此，如何為用戶提供更為準(zhǔn)確的資源使用計(jì)數(shù)憑證，以及如何確保該憑證是安全可信的，是當(dāng)前亟需解決的問(wèn)題。作為當(dāng)前云計(jì)算平臺(tái)的主要實(shí)現(xiàn)技術(shù)，虛擬化技術(shù)產(chǎn)生于上世紀(jì)六十年代，IBM提出了虛擬化的概念，并把此技術(shù)應(yīng)用于IBM的System/370系統(tǒng)。到目前為止，虛擬化技術(shù)已經(jīng)被應(yīng)用于很多行業(yè)和領(lǐng)域，并且在未來(lái)將有更廣泛的使用。通過(guò)虛擬化技術(shù)，可以提高服務(wù)器的利用率，提高服務(wù)的穩(wěn)定性和健壯性以及軟件的可移植性，此外，虛擬化技術(shù)也由于其出色的隔離性為解決系統(tǒng)的安全問(wèn)題提供了一種思路。Xen是一種廣泛使用的虛擬化軟件，其主要部件為虛擬機(jī)管理層（VirtualMachineMonitor，以下簡(jiǎn)稱VMM）、包含管理工具的特權(quán)虛擬機(jī)Domain0（以下簡(jiǎn)稱Dom0），以及客戶虛擬機(jī)（以下簡(jiǎn)稱DomU），其中，VMM層運(yùn)行在客戶虛擬機(jī)和硬件之間，Dom0與DomU都運(yùn)行在VMM層之上，Dom0的特殊之處在于，其具有管理其他DomU的管理工具，以及與VMM通信的接口，從而達(dá)到對(duì)Xen虛擬環(huán)境進(jìn)行控制的目的。Dom0端還包括接收DomU硬件訪問(wèn)信息的接口，稱為后端驅(qū)動(dòng)，后端驅(qū)動(dòng)能夠接收同一物理機(jī)上所有的DomU的硬件請(qǐng)求，并通過(guò)訪問(wèn)真實(shí)設(shè)備驅(qū)動(dòng)來(lái)對(duì)這些請(qǐng)求進(jìn)行統(tǒng)一處理。文獻(xiàn)1“ChenChen,PetrosManiatis,AdrianPerrig,AmitVasudevan,VyasSekar.TowardsVerifiableResourceAccountingforOutsourcedComputation.VEE2013”首次開(kāi)始關(guān)注如何在云計(jì)算平臺(tái)中進(jìn)行可驗(yàn)證的資源計(jì)數(shù)問(wèn)題，該文章從保證實(shí)例整個(gè)運(yùn)行生命周期安全性的角度來(lái)確保其對(duì)于資源的計(jì)數(shù)是安全的，并且使用增加一層虛擬化層次的方法對(duì)各個(gè)實(shí)例的CPU和內(nèi)存使用情況進(jìn)行記錄，并通過(guò)一種加密的技術(shù)將該記錄發(fā)送給用戶。然而，該文章并未考慮I/O資源的計(jì)數(shù)問(wèn)題。目前，大數(shù)據(jù)處理是云計(jì)算平臺(tái)主要的任務(wù)之一，頻繁的I/O訪問(wèn)是這類應(yīng)用的主要特征之一，此外，對(duì)用戶的I/O資源使用情況進(jìn)行記錄還可以為用戶提供分析應(yīng)用性能的憑證，因此，對(duì)于供應(yīng)商和用戶來(lái)說(shuō)，I/O資源使用的計(jì)數(shù)問(wèn)題是十分重要的。文獻(xiàn)2“M.Wachs,L.Xu,A.Kanevsky,andG.R.Ganger.Exertion-basedBillingforCloudStorageAccess.InHotCloud,2011.”則提出存儲(chǔ)云的計(jì)費(fèi)問(wèn)題的主要方面是要保證準(zhǔn)確記錄每個(gè)請(qǐng)求的磁盤處理時(shí)間。此外，標(biāo)識(shí)每個(gè)I/O請(qǐng)求來(lái)自于哪個(gè)實(shí)例的哪個(gè)應(yīng)用是十分必要的。因此有必要針對(duì)云計(jì)算平臺(tái)的I/O請(qǐng)求計(jì)數(shù)問(wèn)題，提出一種安全準(zhǔn)確的I/O請(qǐng)求計(jì)數(shù)方法及其系統(tǒng)。

技術(shù)實(shí)現(xiàn)要素：
本發(fā)明的目的在于提供一種云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)系統(tǒng)及其方法，用于為用戶的資源使用情況提供了安全可信的憑證，并為用戶提供了一種分析其應(yīng)用運(yùn)行情況的有效方法。為了實(shí)現(xiàn)上述目的，本發(fā)明提供一種云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)系統(tǒng)，應(yīng)用于Xen虛擬化系統(tǒng)，該Xen虛擬化系統(tǒng)包括虛擬機(jī)管理層VMM、特權(quán)虛擬機(jī)Dom0、客戶虛擬機(jī)DomU，該VMM運(yùn)行在DomU和真實(shí)設(shè)備之間，Dom0與DomU運(yùn)行在VMM之上，其特征在于，該I/O請(qǐng)求計(jì)數(shù)系統(tǒng)包括：部署于同一安全虛擬機(jī)的后端設(shè)備驅(qū)動(dòng)模塊、真實(shí)設(shè)備驅(qū)動(dòng)模塊；后端設(shè)備驅(qū)動(dòng)模塊還設(shè)置有一I/O計(jì)數(shù)監(jiān)控模塊；該虛擬機(jī)管理層VMM啟動(dòng)該安全虛擬機(jī)，該安全虛擬機(jī)在啟動(dòng)后通知該虛擬機(jī)管理層VMM關(guān)閉該安全虛擬機(jī)與該特權(quán)虛擬機(jī)之間的通信通道；該后端設(shè)備驅(qū)動(dòng)模塊接收該客戶虛擬機(jī)發(fā)送的I/O請(qǐng)求，并交由真實(shí)設(shè)備驅(qū)動(dòng)模塊執(zhí)行，該I/O計(jì)數(shù)監(jiān)控模塊檢測(cè)該I/O請(qǐng)求并進(jìn)行計(jì)數(shù)。所述的云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)系統(tǒng)，其中，所述客戶虛擬機(jī)還設(shè)置一前端設(shè)備驅(qū)動(dòng)模塊，用于將所述I/O請(qǐng)求通過(guò)一共享環(huán)傳送給所述后端設(shè)備驅(qū)動(dòng)模塊，由所述后端設(shè)備驅(qū)動(dòng)模塊將所述I/O請(qǐng)求交由真實(shí)設(shè)備驅(qū)動(dòng)模塊執(zhí)行。所述的云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)系統(tǒng)，其中，所述I/O計(jì)數(shù)監(jiān)控模塊當(dāng)所述I/O請(qǐng)求為磁盤I/O請(qǐng)求時(shí)，從磁盤I/O請(qǐng)求中提取所述客戶虛擬機(jī)的標(biāo)識(shí)信息，根據(jù)該標(biāo)識(shí)信息向VMM層發(fā)送超級(jí)調(diào)用請(qǐng)求，獲取所述客戶虛擬機(jī)當(dāng)前正在運(yùn)行的進(jìn)程信息。所述的云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)系統(tǒng)，其中，所述I/O計(jì)數(shù)監(jiān)控模塊根據(jù)所述客戶虛擬機(jī)的當(dāng)前CPU的CR3寄存器值獲取所述客戶虛擬機(jī)當(dāng)前正在運(yùn)行的進(jìn)程信息。所述的云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)系統(tǒng)，其中，所述I/O計(jì)數(shù)監(jiān)控模塊還包括：一轉(zhuǎn)換應(yīng)用模塊，用于每隔一定時(shí)間對(duì)運(yùn)行的客戶虛擬機(jī)的當(dāng)前運(yùn)行進(jìn)程列表信息進(jìn)行提取，利用得到的初始進(jìn)程地址得到第一個(gè)進(jìn)程的進(jìn)程結(jié)構(gòu)，通過(guò)該進(jìn)程結(jié)構(gòu)的進(jìn)程名偏移得到該第一個(gè)進(jìn)程的進(jìn)程名，通過(guò)進(jìn)程鏈表信息獲取到下一個(gè)進(jìn)程的地址信息，再由下一個(gè)進(jìn)程地址信息獲取到下一個(gè)進(jìn)程的結(jié)構(gòu)信息，以此類推，獲取到每個(gè)進(jìn)程名以及其頁(yè)目錄基址信息，根據(jù)該信息將記錄的CR3值轉(zhuǎn)換為其對(duì)應(yīng)的進(jìn)程名。為了實(shí)現(xiàn)上述目的，本發(fā)明提供一種云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)方法，其特征在于，包括：步驟一，將后端設(shè)備驅(qū)動(dòng)模塊、真實(shí)設(shè)備驅(qū)動(dòng)模塊部署于同一安全虛擬機(jī)；步驟二，虛擬機(jī)管理層VMM啟動(dòng)該安全虛擬機(jī)，該安全虛擬機(jī)在啟動(dòng)后通知該虛擬機(jī)管理層VMM關(guān)閉該安全虛擬機(jī)與該特權(quán)虛擬機(jī)Dom0之間的通信通道；步驟三，該后端設(shè)備驅(qū)動(dòng)模塊接收該客戶虛擬機(jī)DomU發(fā)送的I/O請(qǐng)求，并交由真實(shí)設(shè)備驅(qū)動(dòng)模塊執(zhí)行，該后端設(shè)備驅(qū)動(dòng)模塊中的I/O計(jì)數(shù)監(jiān)控模塊檢測(cè)該I/O請(qǐng)求并進(jìn)行計(jì)數(shù)。所述的云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)方法，其中，所述步驟三中，還包括：所述客戶虛擬機(jī)通過(guò)一共享環(huán)將所述I/O請(qǐng)求傳送給所述后端設(shè)備驅(qū)動(dòng)模塊，由所述后端設(shè)備驅(qū)動(dòng)模塊將所述I/O請(qǐng)求交由真實(shí)設(shè)備驅(qū)動(dòng)模塊執(zhí)行。所述的云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)方法，其中，所述步驟三中，包括：所述I/O計(jì)數(shù)監(jiān)控模塊當(dāng)所述I/O請(qǐng)求為磁盤I/O請(qǐng)求時(shí)，從磁盤I/O請(qǐng)求中提取所述客戶虛擬機(jī)的標(biāo)識(shí)信息，根據(jù)該標(biāo)識(shí)信息向VMM層發(fā)送超級(jí)調(diào)用請(qǐng)求，獲取所述客戶虛擬機(jī)當(dāng)前正在運(yùn)行的進(jìn)程信息。所述的云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)方法，其中，所述步驟三中，包括：所述I/O計(jì)數(shù)監(jiān)控模塊根據(jù)所述客戶虛擬機(jī)的當(dāng)前CPU的CR3寄存器值獲取所述客戶虛擬機(jī)當(dāng)前正在運(yùn)行的進(jìn)程信息。所述的云計(jì)算平臺(tái)中的I/O請(qǐng)求計(jì)數(shù)方法，其中，所述步驟三中，包括：所述I/O計(jì)數(shù)監(jiān)控模塊通過(guò)一轉(zhuǎn)換應(yīng)用模塊，每隔一定時(shí)間對(duì)運(yùn)行的客戶虛擬機(jī)的當(dāng)前運(yùn)行進(jìn)程列表信息進(jìn)行提取，利用得到的初始進(jìn)程地址得到第一個(gè)進(jìn)程的進(jìn)程結(jié)構(gòu)，通過(guò)該進(jìn)程結(jié)構(gòu)的進(jìn)程名偏移得到該第一個(gè)進(jìn)程的進(jìn)程名，通過(guò)進(jìn)程鏈表信息獲取到下一個(gè)進(jìn)程的地址信息，再由下一個(gè)進(jìn)程地址信息獲取到下一個(gè)進(jìn)程的結(jié)構(gòu)信息，以此類推，獲取到每個(gè)進(jìn)程名以及其頁(yè)目錄基址信息，根據(jù)該信息將記錄的CR3值轉(zhuǎn)換為其對(duì)應(yīng)的進(jìn)程名。與現(xiàn)有技術(shù)相比，本發(fā)明的有益技術(shù)效果是：本發(fā)明提供了一種云計(jì)算平臺(tái)中的安全準(zhǔn)確的I/O計(jì)數(shù)方法，為用戶的資源使用情況提供了安全可信的憑證，也為用戶提供了一種分析其應(yīng)用運(yùn)行情況的有效方法。在該部署有I/O計(jì)數(shù)監(jiān)控模塊的虛擬化架構(gòu)中，特權(quán)虛擬機(jī)Dom0作為整個(gè)架構(gòu)的管理節(jié)點(diǎn)，擁有創(chuàng)建關(guān)閉虛擬機(jī)、內(nèi)存內(nèi)容映射等接口。安全虛擬機(jī)具有能夠訪問(wèn)真實(shí)設(shè)備的能力，即部署有真實(shí)的設(shè)備驅(qū)動(dòng)，以及響應(yīng)其他客戶虛擬機(jī)DomU的I/O請(qǐng)求的后端設(shè)備驅(qū)動(dòng)模塊。客戶虛擬機(jī)DomU中安裝有前端設(shè)備驅(qū)動(dòng)模塊，該前端設(shè)備驅(qū)動(dòng)模塊能夠?qū)⒖蛻籼摂M機(jī)DomU中的I/O請(qǐng)求信息通過(guò)一段共享內(nèi)存?zhèn)鬟f到安全虛擬機(jī)提供的后端設(shè)備驅(qū)動(dòng)模塊，由后端設(shè)備驅(qū)動(dòng)模塊發(fā)送給真實(shí)設(shè)備驅(qū)動(dòng)模塊執(zhí)行，這里使用的共享內(nèi)存成為I/O共享環(huán)，這里使用一種環(huán)狀機(jī)制，I/O請(qǐng)求被前端設(shè)備驅(qū)動(dòng)模塊提交到I/O共享環(huán)中后，XenVMM層將發(fā)送中斷信號(hào)給后端設(shè)備驅(qū)動(dòng)模塊，后端設(shè)備驅(qū)動(dòng)模塊接到中斷信號(hào)后從I/O共享環(huán)中提取請(qǐng)求信息，根據(jù)請(qǐng)求信息中包含的磁盤扇區(qū)號(hào)、網(wǎng)絡(luò)目的端地址等信息重新生成真實(shí)I/O設(shè)備訪問(wèn)請(qǐng)求，最終交由真實(shí)設(shè)備驅(qū)動(dòng)模塊進(jìn)行處理：對(duì)于磁盤訪問(wèn)I/O請(qǐng)求，按照扇區(qū)號(hào)及大小讀取磁盤內(nèi)容，最終獲取到相關(guān)扇區(qū)的內(nèi)容并返回給客戶虛擬機(jī)DomU；對(duì)于網(wǎng)絡(luò)訪問(wèn)I/O請(qǐng)求，根據(jù)目的端地址發(fā)送請(qǐng)求，等待目的端處理返回包信息后，傳遞給客戶虛擬機(jī)DomU；當(dāng)處理完成后，后端設(shè)備驅(qū)動(dòng)模塊將應(yīng)答信息同樣放于共享環(huán)中，由VMM層發(fā)送中斷信號(hào)給前端設(shè)備驅(qū)動(dòng)模塊來(lái)完成請(qǐng)求。附圖說(shuō)明圖1為本發(fā)明的計(jì)數(shù)系統(tǒng)結(jié)構(gòu)示意圖；圖2為本發(fā)明的安全虛擬機(jī)啟動(dòng)流程示意圖；圖3為本發(fā)明的磁盤I/O請(qǐng)求計(jì)數(shù)流程示意圖。具體實(shí)施方式以下結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述，但不作為對(duì)本發(fā)明的限定。如圖1所示，為本發(fā)明的計(jì)數(shù)系統(tǒng)結(jié)構(gòu)示意圖。在圖1中，在該系統(tǒng)中，后端設(shè)備驅(qū)動(dòng)模塊以及真實(shí)設(shè)備驅(qū)動(dòng)模塊被部署到了一個(gè)安全虛擬機(jī)中，而不是傳統(tǒng)的特權(quán)虛擬機(jī)Dom0中。安全虛擬機(jī)將具備轉(zhuǎn)發(fā)其他客戶虛擬機(jī)DomU的I/O請(qǐng)求到真實(shí)設(shè)備驅(qū)動(dòng)模塊，并與真實(shí)硬件通信的能力。特權(quán)虛擬機(jī)Dom0則只具備管理其他客戶虛擬機(jī)DomU的能力，包括啟動(dòng)、關(guān)閉操作等。安全虛擬機(jī)由Xen的VMM層自行啟動(dòng)，而不需要通過(guò)特權(quán)虛擬機(jī)Dom0。在安全虛擬機(jī)啟動(dòng)后，將安全虛擬機(jī)與特權(quán)虛擬機(jī)Dom0的所有共享通道關(guān)閉，包括內(nèi)存映射通道、共享內(nèi)存通道等，以此來(lái)保證管理者無(wú)法通過(guò)內(nèi)存映射通道等接觸到安全虛擬機(jī)。同一物理平臺(tái)上的所有客戶虛擬機(jī)DomU所發(fā)出的I/O請(qǐng)求經(jīng)由前端設(shè)備驅(qū)動(dòng)模塊發(fā)送到安全虛擬機(jī)的后端設(shè)備驅(qū)動(dòng)模塊中進(jìn)行集中處理。因此，在后端設(shè)備驅(qū)動(dòng)模塊上部署I/O計(jì)數(shù)監(jiān)控模塊，該I/O計(jì)數(shù)監(jiān)控模塊能夠獲取到所有的I/O請(qǐng)求信息，并按照客戶虛擬機(jī)DomU進(jìn)行分離的I/O計(jì)數(shù)記錄，此處分離的I/O計(jì)數(shù)是指以每個(gè)客戶虛擬機(jī)DomU為一個(gè)單位，發(fā)送自或者接受自某個(gè)客戶虛擬機(jī)DomU的I/O請(qǐng)求分別保存到一個(gè)單獨(dú)的記錄中，最終形成各個(gè)客戶虛擬機(jī)DomU的I/O計(jì)數(shù)記錄。如圖2所示，為本發(fā)明的安全虛擬機(jī)啟動(dòng)流程示意圖。結(jié)合圖1，詳細(xì)描述安全虛擬機(jī)的啟動(dòng)流程，具體地，安全虛擬機(jī)的啟動(dòng)步驟如下：步驟201，機(jī)器啟動(dòng)，XenVMM開(kāi)始啟動(dòng)；步驟202，XenVMM啟動(dòng)特權(quán)虛擬機(jī)Dom0；步驟203，XenVMM啟動(dòng)安全虛擬機(jī)，在啟動(dòng)之前，通過(guò)XenVMM中記錄的hash值對(duì)安全虛擬機(jī)的內(nèi)核完整性進(jìn)行驗(yàn)證，確定其沒(méi)有被更改，允許啟動(dòng)；如果發(fā)現(xiàn)被更改，說(shuō)明可能受到攻擊，不允許啟動(dòng)，并向提供商報(bào)錯(cuò)。步驟204，安全虛擬機(jī)內(nèi)核啟動(dòng)，掛載文件系統(tǒng)。在掛載之前，通過(guò)記錄的hash值對(duì)根目錄分區(qū)進(jìn)行完整性驗(yàn)證，確定其沒(méi)有被修改，允許啟動(dòng)；如果發(fā)現(xiàn)其被更改，說(shuō)明可能受到攻擊，不允許啟動(dòng)，并向供應(yīng)商報(bào)錯(cuò)。步驟205，安全虛擬機(jī)正常啟動(dòng)，通知XenVMM關(guān)閉安全虛擬機(jī)與特權(quán)虛擬機(jī)Dom0之間的通信通道，達(dá)到隔離的目的。如圖3所示，為本發(fā)明的磁盤I/O請(qǐng)求計(jì)數(shù)流程示意圖。該流程中描述了磁盤I/O請(qǐng)求計(jì)數(shù)過(guò)程，結(jié)合圖1、2，對(duì)該磁盤I/O請(qǐng)求計(jì)數(shù)的具體過(guò)程描述如下：I/O計(jì)數(shù)監(jiān)控模塊部署于后端設(shè)備驅(qū)動(dòng)模塊。由于客戶虛擬機(jī)DomU的I/O請(qǐng)求都必須要經(jīng)過(guò)后端設(shè)備驅(qū)動(dòng)模塊來(lái)達(dá)到真實(shí)設(shè)備驅(qū)動(dòng)模塊，因此，在后端設(shè)備驅(qū)動(dòng)模塊處可以截獲到來(lái)自同一物理平臺(tái)上的所有客戶虛擬機(jī)DomU的全部I/O請(qǐng)求。下面以磁盤I/O請(qǐng)求計(jì)數(shù)為例，詳細(xì)說(shuō)明I/O計(jì)數(shù)監(jiān)控模塊的工作流程，網(wǎng)絡(luò)I/O請(qǐng)求計(jì)數(shù)與其類似：步驟301，一個(gè)客戶虛擬機(jī)的前端設(shè)備驅(qū)動(dòng)模塊發(fā)送出一個(gè)磁盤I/O請(qǐng)求；步驟302，磁盤I/O請(qǐng)求到達(dá)磁盤的后端設(shè)備驅(qū)動(dòng)模塊，I/O計(jì)數(shù)監(jiān)控模塊部署于后端設(shè)備驅(qū)動(dòng)模塊中，I/O計(jì)數(shù)監(jiān)控模塊在此時(shí)會(huì)檢測(cè)到有磁盤I/O請(qǐng)求到達(dá)，開(kāi)始一次記錄；步驟303，I/O計(jì)數(shù)監(jiān)控模塊從磁盤I/O請(qǐng)求的結(jié)構(gòu)中提取客戶虛擬機(jī)DomU的標(biāo)識(shí)信息，利用該標(biāo)識(shí)信息，通過(guò)與XenVMM的交互設(shè)備模塊向XenVMM層發(fā)送超級(jí)調(diào)用請(qǐng)求，獲取當(dāng)前客戶虛擬機(jī)DomU正在運(yùn)行的進(jìn)程信息，由于每個(gè)進(jìn)程的頁(yè)目錄基址的值是不同的，而每個(gè)CPU中的CR3寄存器存儲(chǔ)的是當(dāng)前運(yùn)行的進(jìn)程的頁(yè)目錄基址。因此，通過(guò)獲取該客戶虛擬機(jī)DomU的當(dāng)前CPU的CR3寄存器值就可以知道當(dāng)前客戶虛擬機(jī)DomU中運(yùn)行的是哪一個(gè)進(jìn)程。I/O計(jì)數(shù)監(jiān)控模塊將獲取到的該信息與當(dāng)前的I/O請(qǐng)求信息一起存儲(chǔ)。步驟304，為了進(jìn)一步達(dá)到準(zhǔn)確計(jì)數(shù)的目的，在I/O計(jì)數(shù)監(jiān)控模塊中還設(shè)置一個(gè)CR3到進(jìn)程名的轉(zhuǎn)換應(yīng)用模塊，該轉(zhuǎn)換應(yīng)用模塊每隔一段時(shí)間對(duì)運(yùn)行的客戶虛擬機(jī)DomU的當(dāng)前運(yùn)行進(jìn)程列表信息進(jìn)行提取，本項(xiàng)操作需要虛擬機(jī)的操作系統(tǒng)的初始進(jìn)程地址、進(jìn)程結(jié)構(gòu)偏移量等信息，但并不需要虛擬機(jī)協(xié)同進(jìn)行操作，I/O計(jì)數(shù)監(jiān)控模塊利用初始進(jìn)程地址得到第一個(gè)進(jìn)程的進(jìn)程結(jié)構(gòu)，通過(guò)進(jìn)程名偏移（即內(nèi)核中進(jìn)程結(jié)構(gòu)體中進(jìn)程名描述變量的位置，該值形式上等于進(jìn)程結(jié)構(gòu)體的起始地址+進(jìn)程名描述變量在進(jìn)程結(jié)構(gòu)體中的偏移量）得到該第一個(gè)進(jìn)程的進(jìn)程名，然后再通過(guò)進(jìn)程鏈表信息（該信息通過(guò)外部讀取客戶虛擬機(jī)DomU描述進(jìn)程鏈表的內(nèi)存內(nèi)容解析得到）獲取到下一個(gè)進(jìn)程的地址信息，再由下一個(gè)進(jìn)程地址信息獲取到下一個(gè)進(jìn)程的結(jié)構(gòu)信息，以此類推，獲取到每個(gè)進(jìn)程名以及其頁(yè)目錄基址信息。I/O計(jì)數(shù)監(jiān)控模塊的轉(zhuǎn)換應(yīng)用模塊負(fù)責(zé)根據(jù)該信息將記錄的CR3值轉(zhuǎn)換為其對(duì)應(yīng)的進(jìn)程名。步驟305，I/O計(jì)數(shù)監(jiān)控模塊根據(jù)用戶需求，將該信息保存在本地或直接發(fā)送給用戶。如果直接發(fā)送，則利用用戶提供的密鑰進(jìn)行加密傳輸，避免數(shù)據(jù)泄露的風(fēng)險(xiǎn)。在該部署有I/O計(jì)數(shù)監(jiān)控模塊的虛擬化架構(gòu)中，特權(quán)虛擬機(jī)Dom0作為整個(gè)架構(gòu)的管理節(jié)點(diǎn)，擁有創(chuàng)建關(guān)閉虛擬機(jī)、內(nèi)存內(nèi)容映射等接口。安全虛擬機(jī)具有能夠訪問(wèn)真實(shí)設(shè)備的能力，即部署有真實(shí)的設(shè)備驅(qū)動(dòng)，以及響應(yīng)其他客戶虛擬機(jī)DomU的I/O請(qǐng)求的后端設(shè)備驅(qū)動(dòng)模塊?？蛻籼摂M機(jī)DomU中安裝有前端設(shè)備驅(qū)動(dòng)模塊，該前端設(shè)備驅(qū)動(dòng)模塊能夠?qū)⒖蛻籼摂M機(jī)DomU中的I/O請(qǐng)求信息通過(guò)一段共享內(nèi)存?zhèn)鬟f到安全虛擬機(jī)提供的后端設(shè)備驅(qū)動(dòng)模塊，由后端設(shè)備驅(qū)動(dòng)模塊發(fā)送給真實(shí)設(shè)備驅(qū)動(dòng)模塊執(zhí)行，這里使用的共享內(nèi)存成為I/O共享環(huán)，這里使用一種環(huán)狀機(jī)制，I/O請(qǐng)求被前端設(shè)備驅(qū)動(dòng)模塊提交到I/O共享環(huán)中后，XenVMM層將發(fā)送中斷信號(hào)給后端設(shè)備驅(qū)動(dòng)模塊，后端設(shè)備驅(qū)動(dòng)模塊接到中斷信號(hào)后從I/O共享環(huán)中提取請(qǐng)求信息，根據(jù)請(qǐng)求信息中包含的磁盤扇區(qū)號(hào)、網(wǎng)絡(luò)目的端地址等信息重新生成真實(shí)I/O設(shè)備訪問(wèn)請(qǐng)求，最終交由真實(shí)設(shè)備驅(qū)動(dòng)模塊進(jìn)行處理：對(duì)于磁盤訪問(wèn)I/O請(qǐng)求，按照扇區(qū)號(hào)及大小讀取磁盤內(nèi)容，最終獲取到相關(guān)扇區(qū)的內(nèi)容并返回給客戶虛擬機(jī)DomU；對(duì)于網(wǎng)絡(luò)訪問(wèn)I/O請(qǐng)求，根據(jù)目的端地址發(fā)送請(qǐng)求，等待目的端處理返回包信息后，傳遞給客戶虛擬機(jī)DomU；當(dāng)處理完成后，后端設(shè)備驅(qū)動(dòng)模塊將應(yīng)答信息同樣放于共享環(huán)中，由VMM層發(fā)送中斷信號(hào)給前端設(shè)備驅(qū)動(dòng)模塊來(lái)完成請(qǐng)求。本發(fā)明提供了一種云計(jì)算平臺(tái)中的安全準(zhǔn)確的I/O計(jì)數(shù)方法及其系統(tǒng)，其中，云計(jì)算平臺(tái)主要基于Xen虛擬化技術(shù)，安全是指提供商可以保證不能干涉計(jì)數(shù)系統(tǒng)的正常運(yùn)行，而且惡意攻擊者也無(wú)法對(duì)其進(jìn)行干擾；準(zhǔn)確是指I/O計(jì)數(shù)能夠獲取當(dāng)前處理的I/O請(qǐng)求來(lái)自于哪一個(gè)虛擬機(jī)實(shí)例中的哪一個(gè)應(yīng)用。本發(fā)明需要將特權(quán)虛擬機(jī)Dom0的后端設(shè)備驅(qū)動(dòng)模塊進(jìn)行隔離，這里是使用一個(gè)安全虛擬機(jī)來(lái)運(yùn)行后端設(shè)備驅(qū)動(dòng)模塊，對(duì)其他客戶虛擬機(jī)DomU的I/O請(qǐng)求進(jìn)行響應(yīng)。該安全虛擬機(jī)無(wú)法通過(guò)特權(quán)虛擬機(jī)Dom0進(jìn)行訪問(wèn)，這樣就保證了提供商無(wú)法對(duì)其運(yùn)行進(jìn)行干擾，同時(shí)攻擊者也沒(méi)有渠道對(duì)其記錄的數(shù)據(jù)進(jìn)行讀取或篡改。本發(fā)明提供的云計(jì)算平臺(tái)中的安全準(zhǔn)確I/O計(jì)數(shù)方法，為用戶的資源使用情況提供了安全可信的憑證，也為用戶提供了一種分析其應(yīng)用運(yùn)行情況的有效方法。當(dāng)然，本發(fā)明還可有其它多種實(shí)施例，在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下，熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形，但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。