《保护虚拟桌面基础设施中的登出虚拟机的技术.pdf》由会员分享,可在线阅读,更多相关《保护虚拟桌面基础设施中的登出虚拟机的技术.pdf(20页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103917982 A (43)申请公布日 2014.07.09 CN 103917982 A (21)申请号 201280020824.4 (22)申请日 2012.03.14 13/049480 2011.03.16 US G06F 21/57(2013.01) (71)申请人 赛门铁克公司 地址 美国加利福尼亚州 (72)发明人 BE麦科肯德尔 WE曹贝乐 MR巴内斯 (74)专利代理机构 北京纪凯知识产权代理有限 公司 11245 代理人 赵蓉民 (54) 发明名称 保护虚拟桌面基础设施中的登出虚拟机的技 术 (57) 摘要 本文披露了保护虚拟机桌面基础设施 。
2、(VDI) 中登出的虚拟机的多种技术。在一个具体示例性 实施例中, 这些技术可以实现为一种保护登出的 来宾虚拟机的方法, 该方法包括接收一条请求以 便登出由一个服务器网络元件托管的一个来宾虚 拟机, 其中登出该来宾虚拟机包括将该来宾虚拟 机的管理权从该服务器网络元件传递至一个客户 端网络元件。这种保护登出的来宾虚拟机的方法 还可以包括为该来宾虚拟机配置一个安全模块以 便保护该来宾虚拟机, 并且当该来宾虚拟机登出 时向该来宾虚拟机提供该安全模块。 (30)优先权数据 (85)PCT国际申请进入国家阶段日 2013.10.28 (86)PCT国际申请的申请数据 PCT/US2012/029105 。
3、2012.03.14 (87)PCT国际申请的公布数据 WO2012/125747 EN 2012.09.20 (51)Int.Cl. 权利要求书 2 页 说明书 12 页 附图 5 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书2页 说明书12页 附图5页 (10)申请公布号 CN 103917982 A CN 103917982 A 1/2 页 2 1. 一种保护登出的来宾虚拟机的方法, 包括 : 接收一条请求以便登出由一个服务器网络元件托管的一个来宾虚拟机, 其中登出该 来宾虚拟机包括将该来宾虚拟机的管理权从该服务器网络元件传递至一个客户端网络元 件 ; 为该。
4、来宾虚拟机配置一个安全模块以便保护该来宾虚拟机 ; 并且 当该来宾虚拟机登出时向该来宾虚拟机提供该安全模块。 2. 如权利要求 1 所述的方法, 进一步包括向该客户端网络元件传送一个探测数据包以 搜集与该客户端网络元件相关联的信息。 3. 如权利要求 2 所述的方法, 其中至少部分地基于与该客户端网络元件相关联的信息 来配置该来宾虚拟机的安全模块。 4. 如权利要求 2 所述的方法, 其中与该客户端网络元件相关联的信息包括虚拟化平 台、 管理程序、 安全信息、 安全隐患、 权限、 存储器、 CPU 利用率、 内存和网络输入输出 (I O) 中的至少一个。 5. 如权利要求 4 所述的方法, 其。
5、中与该客户端网络元件相关联的安全信息包括安全应 用程序、 制造商、 版本、 日期、 历史、 杀毒软件、 反垃圾邮件程序、 恶意软件和接口中的至少一 个。 6. 如权利要求 1 所述的方法, 进一步包括确定一个安全应用程序是否与该客户端网络 元件相关联。 7. 如权利要求 1 所述的方法, 其中为该来宾虚拟机配置该安全模块包括为该安全模块 配置一个接口以便与该客户端网络元件相交互。 8. 如权利要求 7 所述的方法, 其中用于该安全模块的接口被配置成用于与一个安全应 用程序相交互, 该安全应用程序与该客户端网络元件相关联。 9. 如权利要求 1 所述的方法, 其中为该来宾虚拟机配置该安全模块包括。
6、为该安全模块 配置一个接口以便与该服务器网络元件相交互。 10. 如权利要求 1 所述的方法, 其中为该来宾虚拟机配置该安全模块包括为该安全模 块配置反病毒软件、 反恶意软件软件、 防火墙软件、 入侵防护软件、 和数据泄露防护软件中 至少一个的完整版本。 11. 如权利要求 1 所述的方法, 其中为该来宾虚拟机配置该安全模块包括为该安全模 块配置反病毒软件、 反恶意软件软件、 防火墙软件、 入侵防护软件、 和数据泄露防护软件中 至少一个的部分版本。 12. 如权利要求 1 所述的方法, 其中为该来宾虚拟机配置该安全模块包括为该安全模 块配置反病毒软件、 反恶意软件软件、 防火墙软件、 入侵防护。
7、软件、 和数据泄露防护软件中 至少一个的更新版本。 13. 如权利要求 2 所述的方法, 进一步包括至少部分地基于与该客户端网络元件相关 联的信息确定与该客户端网络元件相关联的权限。 14. 如权利要求 13 所述的方法, 进一步包括至少部分地基于该客户端网络元件不具有 权限的决定来显示一个登出出错消息。 15. 至少一种永久处理器可读存储介质, 用于存储由指令构成的一个计算机程序, 这些 指令被配置成可由至少一个处理器读取, 以指令该至少一个处理器执行一个计算机进程从 权 利 要 求 书 CN 103917982 A 2 2/2 页 3 而执行根据权利要求 1 中所述的方法。 16. 一种保。
8、护登出的来宾虚拟机的系统, 包括 : 通信性地连接至一个网络的一个或多个处理器 ; 其中该一个或多个处理器被配置成用 于 : 接收一条请求以便登出由一个服务器网络元件托管的一个来宾虚拟机, 其中登出该 来宾虚拟机包括将该来宾虚拟机的管理权从该服务器网络元件传递至一个客户端网络元 件 ; 为该来宾虚拟机配置一个安全模块以便保护该来宾虚拟机 ; 并且 当该来宾虚拟机登出时向该来宾虚拟机提供该安全模块。 17. 如权利要求 16 所述的系统, 其中该一个或多个处理器进一步被配置成用于 : 向该客户端网络元件传送一个探测数据包以搜集与该客户端网络元件相关联的信息。 18. 如权利要求 17 所述的系统。
9、, 其中至少部分地基于与该客户端网络元件相关联的信 息来配置该安全模块。 19. 如权利要求 16 所述的系统, 其中该一个或多个处理器进一步被配置成用于 : 确定一个安全应用程序是否与该客户端网络元件相关联。 20. 如权利要求 17 所述的系统, 其中该一个或多个处理器进一步被配置成用于 : 至少部分地基于与该客户端网络元件相关联的信息确定与该客户端网络元件相关联 的权限。 权 利 要 求 书 CN 103917982 A 3 1/12 页 4 保护虚拟桌面基础设施中的登出虚拟机的技术 0001 披露领域 0002 本披露总体上涉及虚拟桌面基础设施中的虚拟机 (VM), 并且更具体地涉及保。
10、护虚 拟桌面基础设施 (VDI) 中的登出虚拟机 (VM) 的技术。 0003 披露背景 0004 虚拟桌面基础设施 (VDI) 可以包括远程地访问在数据中心中作为虚拟机 (VM) 运 行的桌面镜像。当虚拟机 (VM) 连接至虚拟桌面基础设施 (VDI) 时, 安全虚拟机 (SVM) 可以 为多个虚拟机 (VM) 提供安全服务。虚拟桌面基础设施 (VDI) 可以使断开连接的用户继续 访问虚拟机 (VM), 方式是通过允许它们 “登出” 虚拟机 (VM)( 例如, 从数据中心向用户装置 转移虚拟机(VM)的管理权)。 当断开连接的用户登出虚拟机(VM)时, 登出的虚拟机可能缺 乏端点安全功能。 。
11、0005 鉴于前述内容, 可以理解的是可能存在重大问题和缺陷, 这些问题和缺陷与保护 虚拟机桌面基础设施 (VDI) 中的登出虚拟机 (VM) 的技术相关联。 0006 披露综述 0007 本文披露了保护虚拟机桌面基础设施(VDI)中登出的虚拟机(VM)的多种技术。 在 一个具体示例性实施例中, 这些技术可以实现为一种保护登出的来宾虚拟机的方法, 该方 法包括接收一条请求以便登出由一个服务器网络元件托管的一个来宾虚拟机, 其中登出该 来宾虚拟机包括将该来宾虚拟机的管理权从该服务器网络元件传递至一个客户端网络元 件。 这种保护登出的来宾虚拟机的方法还可以包括为该来宾虚拟机配置一个安全模块以便 保。
12、护该来宾虚拟机, 并且当该来宾虚拟机登出时向该来宾虚拟机提供该安全模块。 0008 根据该具体示例性实施例的其他方面, 该方法可以进一步包括向该客户端网络元 件传送一个探测数据包以搜集与该客户端网络元件相关联的信息。 0009 根据该具体示例性实施例的进一步方面, 可以至少部分地基于与该客户端网络元 件相关联的信息来配置该来宾虚拟机的安全模块。 0010 根据该具体示例性实施例的附加方面, 与该客户端网络元件相关联的信息可以 包括虚拟化平台、 管理程序、 安全信息、 安全隐患、 权限、 存储器、 CPU 利用率、 内存和网络输 入输出 (I O) 中的至少一个。 0011 根据该具体示例性实施。
13、例的又一个方面, 与该客户端网络元件相关联的安全信息 可以包括安全应用程序、 制造商、 版本、 日期、 历史、 杀毒软件、 反垃圾邮件程序、 恶意软件和 接口中的至少一个。 0012 根据该具体示例性实施例的其他方面, 该方法可以进一步包括确定一个安全应用 程序是否与该客户端网络元件相关联。 0013 根据该具体示例性实施例的进一步方面, 为该来宾虚拟机配置该安全模块的步骤 可以包括为该安全模块配置一个接口以便与该客户端网络元件相交互。 0014 根据该具体示例性实施例的附加方面, 用于该安全模块的接口可以被配置成用于 与一个安全应用程序相交互, 该安全应用程序与该客户端网络元件相关联。 00。
14、15 根据该具体示例性实施例的又一个方面, 为该来宾虚拟机配置该安全模块的步骤 说 明 书 CN 103917982 A 4 2/12 页 5 可以包括为该安全模块配置一个接口以便与该服务器网络元件相交互。 0016 根据该具体示例性实施例的其他方面, 为该来宾虚拟机配置该安全模块的步骤可 以包括为该安全模块配置反病毒软件、 反恶意软件软件、 防火墙软件、 入侵防护软件、 和数 据泄露防护软件中至少一个的完整版本。 0017 根据该具体示例性实施例的进一步方面, 为该来宾虚拟机配置该安全模块的步骤 可以包括为该安全模块配置反病毒软件、 反恶意软件软件、 防火墙软件、 入侵防护软件、 和 数据泄。
15、露防护软件中至少一个的部分版本。 0018 根据该具体示例性实施例的附加方面, 为该来宾虚拟机配置该安全模块的步骤可 以包括为该安全模块配置反病毒软件、 反恶意软件软件、 防火墙软件、 入侵防护软件、 和数 据泄露防护软件中至少一个的更新版本。 0019 根据该具体示例性实施例的又一个方面, 该方法可以进一步包括至少部分地基于 与该客户端网络元件相关联的信息确定与该客户端网络元件相关联的权限。 0020 根据该具体示例性实施例的其他方面, 该方法可以进一步包括至少部分地基于该 客户端网络元件不具有权限的决定来显示一个登出错误消息。 0021 根据该具体示例性实施例的进一步方面, 至少一种永久处。
16、理器可读存储介质, 用 于存储由指令构成的一个计算机程序, 这些指令被配置成可由至少一个处理器读取, 以指 令该至少一个处理器执行一个计算机进程从而执行前述的用于保护登出的来宾虚拟机的 方法。 0022 在另一个具体示例性实施例中, 这些技术可以实现为一种保护登出的来宾虚拟机 的系统, 该系统包括通信性地连接至一个网络的一个或多个处理器 ; 其中该一个或多个处 理器可以被配置成用于接收一条请求以便登出由一个服务器网络元件托管的一个来宾虚 拟机, 其中登出该来宾虚拟机包括将该来宾虚拟机的管理权从该服务器网络元件传递至一 个客户端网络元件。 该一个或多个处理器还可以被配置成用于为该来宾虚拟机配置一。
17、个安 全模块以便保护该来宾虚拟机并且当该来宾虚拟机登出时向该来宾虚拟机提供该安全模 块。 0023 根据该具体示例性实施例的其他方面, 该一个或多个处理器可以进一步被配置为 向该客户端网络元件传送一个探测数据包以搜集与该客户端网络元件相关联的信息。 0024 根据该具体示例性实施例的进一步方面, 可以至少部分地基于与该客户端网络元 件相关联的信息来配置该安全模块。 0025 根据该具体示例性实施例的附加方面, 该一个或多个处理器可以进一步被配置为 确定一个安全应用程序是否与该客户端网络元件相关联。 0026 根据该具体示例性实施例的进一步方面, 该一个或多个处理器可以进一步被配置 为至少部分地。
18、基于与该客户端网络元件相关联的信息确定与该客户端网络元件相关联的 权限。 0027 现在将参考附图中所示的本披露的示例性实施例更为详细地描述本披露。 尽管以 下参考示例性实施例描述本披露, 但应当理解的是本披露不用于限制于此。利用这些技术 的本领域普通技术人员将认识到, 附加的实现方式、 修改方式和实施例以及其他领域的使 用都在本文所描述的披露的范围之内, 并且对它们而言本披露可以具有显著效用。 0028 附图简要说明 说 明 书 CN 103917982 A 5 3/12 页 6 0029 为了帮助更完整地理解本披露, 现在参考附图, 其中相似的元素以相似的数字来 引用。这些附图不应当解释为。
19、限制本披露, 而是仅用于示例。 0030 图 1 根据本披露的一个实施例展示了描绘一个网络架构 100 的框图, 该网络架构 用于保护虚拟机桌面基础设施 (VDI) 中登出的虚拟机 (VM)。 0031 图 2 根据本披露的一个实施例描绘了一种计算机系统的框图。 0032 图 3 根据本披露的一个实施例展示了一个安全虚拟机。 0033 图4根据本披露的一个实施例描绘了一种向虚拟机桌面基础设施(VDI)中登出的 虚拟机提供安全性的方法。 0034 图5根据本披露的一个实施例描绘了一种向虚拟机桌面基础设施(VDI)中的虚拟 机提供安全性的方法。 0035 示例性实施方案的详细说明 0036 图 1。
20、 根据本披露的一个实施例展示了描绘一种网络架构 100 的框图, 该网络架构 用于保护虚拟机桌面基础设施 (VDI) 中登出的虚拟机 (VM)。图 1 是网络架构 100 的简化 视图, 该网络架构可以包括并未绘出的附加元素。网络架构 100 可以包含客户端网络元件 110-130 以及服务器网络元件 140A 和 140B( 它们中的一个或多个可以利用图 2 中所示的 计算机系统 200 来实施 )。客户端网络元件 110-130 可以通信性地连接至网络 150。服务 器网络元件 140A 可以通信性地连接至网络 190 和 150。服务器网络元件 140B 可以通信性 地连接至存储装置 1。
21、60A(1)-(N)。服务器网络元件 140B 可以通信性地连接至 SAN( 存储区 域网络 ) 结构 170。SAN 结构 170 可以支持服务器网络元件 140B 和网络元件 110 通过网络 150 来访问存储装置 180A(1)-(N)。 0037 以下说明描述了一种系统和方法的网络元件、 计算机和或组件, 该系统和方法 用于保护虚拟桌面基础设施 (VDI) 中登出的虚拟机, 该虚拟机桌面基础设施可以包括一个 或多个模块。如本文所用, 术语 “模块” 可以理解为指代计算软件、 固件、 硬件和或它们的 各种组合。 然而, 这些模块不应当解释为不在硬件、 固件中实现的或记录在处理器可读可记。
22、 录存储介质中的软件 ( 即, 模块不是软件本身 )。需要注意的是这些模块是示例性的。可以 组合、 集成、 分离和或复制这些模块以支持各种应用。另外, 本文描述为在特定模块上执 行的功能可以在一个或多个其他模块上和或由一个或多个其他装置来执行, 来代替在该 特定模块上执行的功能或实现除该功能以外的其他功能。进一步地, 这些模块可以在多个 装置和或彼此接近或远离的其他装置之间实现。另外, 这些模块可以从一个装置上移除 并添加到另一个装置, 和或包含在两个装置中。 0038 服务器网络元件140A和140B可以通信性地连接至SAN(存储区域网络)结构170。 SAN 结构 170 可以支持服务器网。
23、络元件 140A 和 140B 和客户端网络元件 110-130 通过网络 150 来访问存储装置 180(1)-(N)。服务器网络元件 140A 可以通信性地连接至网络 190。根 据一些实施例, 服务器网络元件 140A 可以是代理服务器、 数据中心和或能够托管一个或 多个虚拟机 (VM) 的其他网络装置。服务器网络元件 140A 可以通信性地连接至网络 190。 0039 服务器网络元件 140A 可以包括托管虚拟化环境 145 的平台。例如, 服务器网络元 件140A可以包括通过远程桌面协议(RDP)托管虚拟化环境的虚拟桌面基础设施(VDI)。 虚 拟化环境 145 能够托管一个或多个。
24、虚拟机, 例如像来宾虚拟机 156A-C 和安全虚拟机 158。 例如, 安全虚拟机 158 可以向该多个来宾虚拟机 156A-C 提供安全服务。本领域技术人员可 说 明 书 CN 103917982 A 6 4/12 页 7 以理解的是, 可以实现多个安全虚拟机 158 以便向多个来宾虚拟机 156 提供安全服务。 0040 客户端网络元件 110-130 可以通信性地连接至服务器网络元件 140A 并通过网络 150 远程地访问来宾虚拟机 156A-C( 例如通过远程桌面协议 (RDP)。例如, 客户端网络元 件 110 可以远程地访问来宾虚拟机 156A, 客户端网络元件 120 可以远。
25、程地访问来宾虚拟机 156B, 并且客户端网络元件 130 可以远程地访问来宾虚拟机 156C。服务器网络元件 140A 可以将客户端虚拟机 156A-C 的管理权转移至客户端网络元件 110-130 并因此使虚拟机 156A-C 甚至在客户端网络元件 110-130 通信性地脱离 ( 例如,“登出 (checked-out)” ) 服 务器网络元件 140A 之后能够继续运行。 0041 为了使虚拟机 156A-C 在客户端网络元件 110-130 通信性地脱离服务器网络元件 140A 之后继续运行, 客户端网络元件 110-130 的每一个可以各自包括一个托管虚拟化环境 145A-C的平台。
26、。 每个虚拟化环境145A-C能够支持一个或多个登出的来宾虚拟机, 例如像来 宾虚拟机 156A-C。根据一些实施例, 虚拟化环境 145A-C 可以是由客户端网络元件 110-130 托管的管理程序或虚拟机管理器 (VMM)。 0042 虚拟化可以出现在不同的抽象等级上。根据一些实施例, 来宾虚拟机 156A-C 可以 在硬件等级上抽象并且可以位于操作系统 ( 例如, 虚拟机工作站和微软虚拟 PC Server) 的顶层。根据其他实施例, 来宾虚拟机 156A-C 可以抽象在硬件等级上并可以不位于操作系 统的顶层(即, 它们可以是裸机实现方式)。 根据一些实施例, 来宾虚拟机156A-C还可。
27、以在 其他等级上进行抽象, 这些等级包括但不限于操作系统 (OS) 等级、 OS 系统调用等级、 指令 集仿真、 应用程序二进制接口仿真、 用户级 OS 仿真等。 0043 通信性地脱离服务器网络元件 140A 之后由每个客户端网络元件 110-130 托管的 来宾虚拟机156A-C的每一个可以分别包含安全模块158A-C中的一个。 例如, 当来宾虚拟机 156A-C的管理权从服务器网络元件140A转移到客户端网络元件110-130时, 可以激活安全 模块158A-C以向来宾虚拟机156A-C提供安全服务。 根据一些实施例, 当来宾虚拟机156A-C 由客户端网络元件 110-130 上的虚拟。
28、化环境 145A-C 托管时, 安全模块 158A-C 能够为来宾 虚拟机 156A-C 提供安全服务。例如, 包括在来宾虚拟机 156A-C 中的安全模块 158A-C 可以 类似于位于服务器网络元件 140A 上的安全虚拟机 158。在另一个示例中, 安全模块 158A-C 可以包括应用程序接口 (API) 或预装在客户端网络元件 110-130 上的安全程序的接口, 以 便为来宾虚拟机 156A-C 提供安全服务。在其他示例中, 安全模块 158A-C 可以包括预防、 检 测和或移除计算机病毒、 蠕虫、 入侵、 数据泄露和或恶意软件的软件、 代码或脚本, 以便 为来宾虚拟机 156A-C。
29、 提供安全服务。根据一些实施例, 当客户端网络元件 110-130 重新建 立与服务器网络元件140A的通信时, 可以不使用安全模块158A-158C(例如, 利用服务器网 络元件 140A 的安全虚拟机 158 可以提供来宾虚拟机 156A-C 的安全服务 )。如以下更为详 细讨论的, 当客户端网络元件 110-130 通信性地脱离服务器网络元件 140A( 例如,“登出的” 虚拟机 ) 时, 安全模块 158A-C 可以为客户端网络元件 110-130 托管的来宾虚拟机 156A-C 提供安全服务。 0044 参见图 2 的计算机系统 200, 调制解调器 247、 网络接口 248 或某。
30、一其他方法可以 用于提供从客户端网络元件110-130中的一个到网络150的连接。 客户端网络元件110-130 能够利用例如网络浏览器或其他客户端软件访问服务器网络元件 140A 或 140B 上的信息。 这种客户端可以允许客户端网络元件 110-130 访问服务器网络元件 140A 或 140B 或存储装 说 明 书 CN 103917982 A 7 5/12 页 8 置 160A(1)-(N)、 160B(1)-(N) 和或 180(1)-(N) 之一托管的数据。 0045 网络 150 和 190 可以是局域网 (LAN)、 广域网 (WAN)、 互联网、 蜂窝网络、 卫星网络、 或允。
31、许在客户端 110-130、 服务器 140A 和 140B 与通信性地连接至 150 和 190 的其他装置 之间进行通信的其他网络。网络 150 和 190 可以进一步包括作为一个独立网络或彼此配合 操作的这些上述示例性类型网络中的一个或任意数量。网络 150 和 190 可以利用它们所通 信性地连接到其上的一个或多个客户端 110-130 或服务器网络元件 140A 和 140B 的一个或 多个协议。网络 150 和 190 可以转换到其他协议或从其他协议转换到网络装置的一个或多 个协议。尽管网络 150 和 190 各自被描绘为一个网络, 应当理解的是, 根据一个或多个实施 例, 网络。
32、 150 和 190 各自可以包括多个互联的网络。 0046 存储装置 160A(1)-(N)、 160B(1)-(N)、 和或 180(1)-(N) 可以是网络可访问存 储器并且可以是位于服务器网络元件 140A 或 140B 本地、 远离它们或两者结合。存储装置 160A(1)-(N)、 160B(1)-(N)、 和或 180(1)-(N) 可以利用廉价磁盘冗余阵列 (“RAID” )、 磁 带、 磁盘、 存储区域网络 (“SAN” )、 互联网小型计算机系统接口 (“iSCSI” )SAN、 光纤信道 SAN、 通用互联网文件系统 (“CIFS” )、 网络连接存储 (“NAS” )、 。
33、网络文件系统 (“NFS” )、 光基存储器、 或其他计算机可访问存储器。存储装置 160A(1)-(N)、 160B(1)-(N)、 和或 180(1)-(N) 可用于备份或归档目的。 0047 根据一些实施例, 客户端网络元件 110-130 可以是智能电话、 PDA、 桌上计算机、 膝上计算机、 服务器、 另一种计算机、 或通过无线或有线连接与网络 150 相连接的另一个装 置。客户端网络元件 110-130 可以从用户输入、 数据库、 文件、 网络服务、 和或应用程序 编程接口接收数据。根据一些实施例, 客户端网络元件 110-130 可以是移动装置, 例如像智 能电话。虚拟化和虚拟环。
34、境之间的转换可以出现在服务器侧平台上并且客户端网络元件 110-130 可以根据当前的虚拟环境接收用于显示的数据。 0048 服务器网络元件 140A 和 140B 可以是应用服务器、 归档平台、 虚拟化环境平台、 备 份服务器、 网络存储装置、 媒体服务器、 电子邮件服务器、 文档管理平台、 娱乐搜索服务器、 或通信性地连接至网络 150 的其他装置。服务器网络元件 140A 或 140B 可以利用存储装 置 160A(1)-(N)、 160B(1)-(N)、 和或 180(1)-(N) 中的一个来存储应用程序数据、 备份数 据或其他数据。服务器网络元件 140A 或 140B 可以是主机 。
35、( 例如应用程序服务器 ), 这些 主机可以处理客户端网络元件 110-130 与备份平台、 备份进程和或存储器之间传输的数 据。根据一些实施例, 服务器网络元件 140A 或 140B 可以是用于对数据进行备份和或归 档的平台。 0049 根据一些实施例, 当客户端网络元件 110-130 通信性地连接至服务器网络元件 140A 时, 安全虚拟机 158 可以向来宾虚拟机 156A-C 提供安全服务。安全虚拟机 158 可以向 来宾虚拟机158A-C提供安全模块158A-C, 在客户端网络元件110-130通信性地脱离服务器 网络元件 140A 后, 这些安全模块将由客户端网络元件 110-。
36、130( 例如,“登出的” ) 来托管。 例如, 安全虚拟机 158 可以向来宾虚拟机 158A-C 中的每一个提供相同的安全模块 158A-C。 安全虚拟机 158 可以将安全模块 158A-C 配置成具有与安全虚拟机 158 相似的功能, 以便在 登出到客户端网络元件 110-130( 例如, 由客户端网络元件 110-130 托管 ) 时向客户端虚拟 机 156A-C 提供安全服务。 0050 安全虚拟机158可以至少基于与托管客户端元件110-130相关联的参数向不同的 说 明 书 CN 103917982 A 8 6/12 页 9 来宾虚拟机 156A-C 提供安全模块 158A-C。
37、。例如, 安全虚拟机 158 可以探测客户端网络元 件 110-130, 以便确定与客户端网络元件 110-130 相关联的一个或多个参数。与客户端网 络元件 110-130 相关联的一个或多个参数可以包括虚拟化平台、 管理程序、 安全性、 安全隐 患、 权限、 存储器、 CPU 利用率、 内存、 网络输入输出 (I O) 和与客户端网络元件 110-130 相关联的其他参数。客户端网络元件 110-130 通信性地脱离服务器网络元件 140A 之后, 安全虚拟机 158 可以向客户端网络元件 110-130 托管的来宾虚拟机 156A-C 提供安全模块 158A-C。 0051 在一个示例性。
38、实施例中, 安全模块158A-C可以包括应用程序接口(API)或其他接 口以便与安全虚拟机 158 交互。安全虚拟机 158 可以通过接口与安全模块 158A-C 进行通 信。例如, 安全虚拟机 158 可以向安全模块 158A-C 传送一条或多条指令。安全虚拟机 158 可以向安全模块 158A-C 传送激活指令。安全虚拟机 158 可以向安全模块 158A-C 传送去激 活指令。安全虚拟机 158 可以向安全模块 158A-C 传送卸载指令。安全虚拟机 158 可以通 过接口向安全模块 158A-C 提供一个或多个更新。例如, 安全虚拟机 158 可以向安全模块 158A-C 提供更新的杀。
39、毒软件、 反恶意软件软件、 防火墙软件、 入侵防护软件、 数据泄露防护 软件和或其他安全软件。安全虚拟机 158 可以定期地更新安全模块 158A-C。例如, 当客 户端网络元件 110-130 通信性地连接至服务器网络元件 140A 时, 安全虚拟机 158 可以更新 安全模块 158A-C。 0052 安全模块 158A-C 的接口可以与预装在客户端网络元件 110-130 上的安全程序相 交互。例如, 安全模块 158A-C 的接口可以与预装在客户端网络元件 110-130 上的安全程序 相互通信。例如, 安全模块 158A-C 可以向预装在客户端网络元件 110-130 上的安全应用程。
40、 序传送一条或多条指令。安全模块 158A-C 可以向预装在客户端网络元件 110-130 上的安 全应用程序传送激活指令。安全模块 158A-C 可以激活预装在客户端网络元件 110-130 上 的安全应用程序, 以便为来宾虚拟机 156A-C 提供安全服务。安全模块 158A-C 可以向预装 在客户端网络元件 110-130 上的安全应用程序传送去激活指令。 0053 图 2 根据本披露的一个实施例描绘了一种计算机系统 200 的框图。计算机系统 200 适合于实施与本披露相一致的技术。计算机系统 200 可以包括总线 212, 该总线将计算 机系统 200 的主要子系统相互连接, 例如中。
41、央处理器 214、 系统内存 217( 例如 RAM( 随机存 取存储器 )、 ROM( 只读存储器 )、 闪存 RAM、 或类似的存储器 )、 输入输出 (I O) 控制器 218、 外部音频装置 ( 例如经由音频输出接口 222 的扬声器系统 220)、 外部装置 ( 例如经由 显示适配器 226 的显示屏 224)、 串行端口 228 和 230、 键盘 232( 与键盘控制器 233 连接 )、 存储接口234、 可操作用于接收软盘238的软盘驱动器237、 可操作用于与光纤通道网络290 相连接的主机总线适配器(HBA)接口卡235A、 可操作用于连接至SCSI总线239的主机总线 。
42、适配器 (HBA) 接口卡 235B、 以及可操作用于接收光盘 242 的光盘驱动器 240。还可以包括 鼠标246(或其他点击装置, 经由串行端口228连接至总线212)、 调制解调器247(经由串行 端口230连接至总线212)、 以及网络接口248(直接连接至总线212)、 电源管理器250、 以及 电池 252。 0054 如前所述, 总线 212 允许中央处理器 214 与系统内存 217 之间的数据通信, 该系 统内存可以包括只读存储器 (ROM) 或闪存 ( 均未示出 )、 以及随机存取存储器 (RAM)( 未示 出 )。RAM 可以是可加载操作系统和应用程序的主存储器。除其他代。
43、码之外, ROM 或闪存可 说 明 书 CN 103917982 A 9 7/12 页 10 以包含基本输入输出系统(BIOS), 该系统控制基本的硬件操作, 如与外围部件的交互。 与计 算机系统 210 共同驻留的多个应用程序通常存储在一种计算机可读介质上, 例如硬盘驱动 器 ( 例如, 固定盘 244)、 光盘驱动器 ( 例如, 光盘驱动器 240)、 软盘单元 237、 或者其他存储 介质, 并且可以通过该计算机可读介质来访问这些应用程序。例如, 安全虚拟机 158 可以驻 留在系统内存 217 中。 0055 如计算机系统 210 的其他存储器接口一样, 存储器接口 234 可以连接至。
44、标准计算 机可读介质用于信息的存储和或检索, 例如固定盘驱动器 244。固定盘驱动器 244 可以 是计算机系统 210 的一部分或可以是分离的并且可以通过其他接口系统来访问。调制解调 器 247 可以通过一个电话链路提供到远程服务器上的直接连接、 或者通过互联网服务提供 商 (ISP) 提供到互联网的直接连接。网络接口 248 可以通过一个直接网络链路提供到一个 远程服务器的直接连接、 或者通过一个 POP( 存在点 ) 提供到互联网的直接连接。网络接口 248 还可以使用无线技术提供此类连接, 包括数字蜂窝电话连接、 蜂窝数字包数据 (CDPD) 连接、 数字卫星数据连接或类似的连接。 0。
45、056 许多其他装置或子系统 ( 未示出 ) 可以用类似的方式 ( 例如, 文档扫描仪、 数码照 相机等等)进行连接。 相反, 实施本披露并不要求图2中示出的所有装置都存在。 这些装置 和子系统可以采用与图 2 中所示的不同方式相互连接。实施本披露的代码可以存储在计算 机可读存储介质中, 例如系统内存 217、 固定盘 244、 光盘 242 或软盘 238 中的一种或多种。 实施本披露的代码还可以经由一个或多个接口来接收并存储在存储器中。在计算机系统 210 上所提供的操作系统可以是 或另一种已知的操作系统。 0057 电源管理器 250 可以监控电池 252 的功率等级。电源管理器 250。
46、 可以提供一个或 多个 API( 应用程序接口 ) 以允许确定功率等级、 在计算机系统 200 关机之前留下的时间 窗、 电源耗用速率、 是否计算机系统接通主电源 ( 例如, AC 电源 ) 或电池电源 ) 的指示、 以 及其他电源相关信息。根据一些实施方案, 电源管理器 250 的 API 可以远程访问 ( 例如, 可 通过网络连接访问远程备份管理模块)。 根据一些实施方案, 电池252可以是位于计算机系 统200本地或远离它的不间断电源供应器(UPS)。 在这些实施方案中, 电源管理器250可以 提供与 UPS 的功率等级相关的信息。 0058 参见图 3, 图 3 根据本披露的一个实施例。
47、展示了一个安全虚拟机 310。如图所示, 安全虚拟机310可以包含一个或多个组件, 这些组件包括探测模块312、 接口模块314、 配置 模块 316 和或更新模块 320。 0059 探测模块 312 可以探测客户端网络元件 110-130 以便捕获与客户端网络元件 110-130 相关联的信息和或参数。例如, 探测模块 312 可以向客户端网络元件 110-130 传输探测数据包。探测数据包可以捕获与客户端网络元件 110-130 相关联的信息和或 参数。具有捕获的信息和或参数的探测数据包可以返回到探测模块 312。探测模块 312 可以提取与客户端网络元件 110-130 相关联的信息和。
48、或参数。例如, 与客户端网络元件 110-130 相关联的信息和或参数可以包括虚拟化平台、 管理程序、 安全信息、 安全隐患、 权 限、 存储器、 CUP 利用率、 内存、 网络输入输出 (I O) 以及与客户端网络元件 110-130 相 关联的其他参数。 0060 在示例性实施例中, 与客户端网络元件 110-130 相关联的安全信息可以包括与预 说 明 书 CN 103917982 A 10 8/12 页 11 装在客户端网络元件 110-130 上的安全应用程序相关联的信息。与预装在客户端网络元件 110-130 上的安全应用程序相关联的信息可以包括安全应用程序、 制造商、 版本、 日。
49、期、 历 史、 反病毒程序、 反垃圾邮件程序、 接口、 和或与安全应用程序相关联的其他特性。 在另一 个示例性实施例中, 与客户端网络元件 110-130 相关联的安全信息可以指示可能没有安全 应用程序预装在客户端网络元件 110-130 上。与客户端网络元件 110-130 相关联的安全信 息可以包括与安全模块158A-C相关联的信息, 这些安全模块与来宾虚拟机156A-C相关联。 探测模块 312 可以向安全虚拟机 310 的不同模块 ( 例如, 接口模块 314、 配置模块 316、 权限 模块 318 和或更新模块 320) 提供与客户端网络元件 110-130 相关联的信息和或参数。 0061 接口模块 314 可以与客户端网络元件 110-130 托管的来宾虚拟机 156A-C 的安全 模块158A-C相交互。 例如, 接口模块314可以向安全模块158A-C传送一条或多条指令。 接 口模块 314 可以向安全模块 158A-C。