[发明专利]一种基于软件故障注入的可靠性评测系统设计方法

摘要

本发明提供一种基于软件故障注入的可靠性评测系统设计方法，该方法针对可靠性这一项衡量计算机系统性能的一项重要指标，对计算机系统进行测试和评估，故障注入能够加速系统失效的手段，对容错系统的容错性能进行测试和评估。本文基于软件故障注入的思想，介绍了一种面向容错系统可靠性评测的故障注入器的设计方法，具有故障类型多样化，触发方式多样化，注入故障接近真实故障，操作简单，对系统影响小等优点，能够有效地评测系统可靠性。

主权项

一种基于软件故障注入的可靠性评测系统设计方法, 其特征在于系统包括主控机、目标机、配置管理模块、系统诊断模块、心跳检测模块、故障注入模块、结果回收模块、数据处理模块和仲裁控制模块，其中：主控机负责选择注入故障的类型，发送故障注入指令，选择目标机上生成的负载，存储回收结果以及一切的用户交互操作，主控机和目标机之间通过一条专用的心跳线相连，这条心跳线一方面用于心跳检测，另一方面用于传递控制信息和数据信息，主控机和目标机之间还存在外部的网络连接，此连接对IP地址无确定限制；目标机运行来自负载生成器包括：应用程序、BENCHMARKS或综合工作量的工作负载，注入执行器将故障注入；a)配置管理模块：完成主控机和目标机的IP配置、心跳检测的心跳间隔时间和超时时间限额设定和目标机的负载选择等功能，设定了心跳检测模块中主控机向目标机发送心跳检测包的间隔时间，如果设置的间隔时间T过于短，发送太过频繁，将会影响到系统的正常运行，占用系统资源；而设置的间隔时间太长，则检测会比较迟钝，影响故障检测的及时性，并会影响到整个系统运行的正确性，此间隔时间必须大于两节点间往返一次消息的最低时间限额，超时最低时间限额，一般设定为从主控机发出心跳检测信息到目标机处理结束后返回回复信息所花费的时间；b)系统诊断模块，根据送来的检测结果诊断系统中发生的故障；c)心跳检测模块：心跳检测的原理是通过两个节点之间周期性的交换心跳消息互相监视对方的状态，对节点的状态进行定期的检测，当发现心跳信息异常或心跳信息超时时，采取相应措施，从而保证系统能够正确连续地工作，该模块完成主控机对目标机的心跳检测，由于本文尚未完成外部的硬件仲裁装置，所以不能区分心跳线失效和目标机失效，即假设心跳线是安全的，当心跳检测出现超时时，认为目标系统失效，心跳线除去进行心跳检测信息的传递外还传送数据信息和控制信息；d)故障注入模块：实现将选定事件集注入到目标系统的功能,包括在目标机上的注入执行模块和在主控机上的故障注入模块,主控机上的故障注入模块用于远程网络攻击的注入；应用层的故障注入是使用操作系统所提供的调试API以及文件映射API来实现，调试API是由操作系统所提供的一组功能特别的API函数，其目的是为系统开发人员实现程序调试器，内存映射文件是由一个文件到一块内存的映射，Win32提供了允许应用程序把文件映射到一个进程的函数CreateFileMapping，这样，文件内的数据就用内存读/写指令来访问，而不是用ReadFile和WriteFile这样的I/O系统函数，从而提高了文件存取速度，在用这种方法进行故障注入时所注入的页有可能受到保护，这时就需要将该页的保护先去掉，然后再注入故障，当故障注入完成后需要再次改回页保护属性；内核故障注入模块以驱动的形式工作在内核态，当应用层注入模块发出故障注入指令后，内核注入模块会迅速注入瞬时故障，内核驱动模块与应用层界面模块通过DeviceIoControl函数来通信，注入模块以驱动的形式工作在内核态，当应用层注入模块发出故障注入指令后，内核故障注入模块会迅速注入瞬时故障；e)结果回收模块：主要完成事件注入结果回收功能，还有部分的操作结果回收功能；f)数据处理模块：对结果回收模块回收的数据进行离线分析，进行运算，得出目标系统的可靠性评测结果，通过计数器精确地控制注入信号的时长和频率，以实现多种时间类型的故障注入；g)仲裁控制模块，根据可靠性评测指标进行运算，最后得出目标系统的可靠性评测结果；具体检测步骤如下：双机系统通过b)系统诊断模块、c)心跳检测模块、f)数据处理模块和g)仲裁控制模块检测系统故障，b)系统诊断模块根据送来的检测结果诊断系统中发生的故障,开始的时候评测系统使用a)配置管理模块配置主控机和目标机的网络连接参数，选择目标机应用负载，以及配置c)心跳检测模块的心跳间隔时间和超时限额等参数,执行d)故障注入模块，在故障库中选择不同的故障类型，设定不同的故障注入参数进行故障注入,e)结果回收模块回收故障注入的结果数据并把数据输出到f)数据处理模块,f)数据处理模块对e)结果回收模块回收的数据进行离线分析，分析数据送 g仲裁控制模块，g仲裁控制模块根据可靠性评测指标进行运算，最后得出目标系统的可靠性评测结果。