操作系统管理的制作方法

背景技术：

移动计算设备为用户提供了很大的自由度。随着无线网络性能的进步，移动计算设备(诸如膝上型计算机、平板计算机、智能手机等)为用户提供在工作、在家或旅行时在其设备上工作和娱乐的能力。当在可信物理或网络环境(诸如具有安全网络域的可信企业园区)中使用时，站点和网络管理员可以实施严格的策略和协议来保护移动计算设备和其它设备以及网络上的信息。然而，当移动计算设备在未知的或不可信域中使用时(诸如在公共街道上或连接到未被防护的公共无线网络)，难以预期每一个可能的威胁。计算设备可能被盗或丢失或受到基于网络的攻击。

附图说明

图1描绘出对应于域的改变的操作系统的示例管理。

图2图示出用于管理域特定的操作系统的示例系统。

图3图示出用于管理域特定的操作系统之间的切换的示例数据流。

图4图示出用于管理可信域特定的操作系统的恢复的示例数据流。

图5是用于管理域特定的操作系统之间的切换的示例方法的流程图。

具体实施方式

本公开内容描述了用于管理驻留在计算设备上以在各种可信和不可信域中使用的操作系统或数据的系统、方法和设备的技术。各种实现方式包括用以从目前操作系统切换到另一操作系统而几乎不中断用户的操作体验的能力。计算设备上的管理程序可以管理执行目标或备用操作系统的虚拟计算设备的实例。当虚拟计算系统正在运行时，用户可以继续使用具有备用操作系统的功能性的计算设备。在后台，管理程序可以生成目前操作系统的备份镜像，将其存储到本地或远程备份设备，并且然后从计算设备中删除与目前操作系统相关联的所有数据。管理程序可以在计算设备上安装备用操作系统的本地副本。当安装完成时，管理程序可以通过从备用操作系统的已安装版本进行引导并合并由备用操作系统的虚拟版本所做的任何改变来从虚拟计算设备中转换计算设备的操作。然后，可以重复该过程以将计算设备从备份设备恢复回到先前安装的操作。

图1描绘出具有用以基于其将被在其中使用的域或环境来管理(例如，安装、删除和执行)操作系统的功能性的示例计算设备110。可以将计算设备110实现为任何类型的计算设备。例如，计算设备110可以是移动计算设备，诸如膝上型计算机、平板计算机、智能手机、智能手表、可穿戴计算机等。计算设备110可以包括处理器以及耦合到处理器且能够在不同位置中操作或连接到不同网络的存储器设备。例如，计算设备110可以根据域改变120从可信域101移动到未知域103。类似地，计算设备110可以根据域改变125从未知域103返回到可信域101。

如本文中所描述的，域改变120和125可以表示可以包括物理和/或网络位置的改变的操作条件的改变。例如，域改变120可以表示其中用户将计算设备110(诸如膝上型计算机)从装备有限制进出的门、防护装置、大门以及其它提高的物理安全措施的可信域101(例如，企业办公地点、政府大楼、研究实施等)物理地移到不可信域103(例如，私有车辆、私人住宅、购物中心、公共交通系统等)的场景。这样的不可信域103可能具有用来保护计算设备110的相对有限或不足的安全措施。当在不可信域103中时，计算设备110以及存储在其上的任何潜在的敏感或机密信息可能处于被盗或丢失的风险之中。

域改变120还可以表示包括网络连接或其它通信操作条件的改变的场景。例如，域改变120可以包括用户从可信网络205(例如，安全企业网络)断开计算设备110，并随后将其重新连接到不太安全的网络或与安全的可信网络205相比具有较不严格的安全性的不可信网络215(例如，图书馆、机场或咖啡馆中的公共无线网络或用户的私人家庭网络)。这样的通信操作条件的改变可以包括随物理位置的改变或在物理位置没有改变的情况下发生的网络位置的改变(例如，互联网协议(ip)地址或相关联的无线网络的改变)。例如，计算设备110可以切换到新的无线网络，被从可访问私人网络的位置移动，或停止使用安全虚拟私人网络(vpn)。通信操作条件的改变可能与网络安全性水平的改变相关联。

例如，不可信网络215(例如，公共或家庭网络)可能具有最小或过时的安全性、加密、防火墙和数据共享限制协议。这样的不可信域的降低的安全性可以暴露使得计算设备110以及存储在其上的数据容易受到潜在的基于网络的攻击或来自黑客、病毒或恶意软件入侵的脆弱性。此外，当在将计算设备110置于风险之中的不可信域103中使用时，计算设备110上的任何攻击或入侵也可能使安全网络的安全性向基于网络的攻击妥协。当计算设备110在不可信域103中使用时，从已妥协的计算设备110收集的任何信息(诸如密码、加密密钥、安全协议)或潜入系统的恶意软件可以随后在计算设备110返回到可信域101时用于打破安全措施。

为了减轻或完全地避免源于计算设备110在不可信域103中或在不可信网络215上使用而对计算设备110、可信域101和/或可信网络205产生的威胁，本公开内容的实现方式可以改变驻留在计算设备110上的操作系统或数据。这样的实现方式可以根据用户的需要或用于在与用户或计算设备110相关联的特定域中操作的策略要求来定制操作参数、网络配置设置、安全性和驻留在计算设备110上的数据。

例如，当计算设备110处于可信域101中或被连接到可信网络205时，它可以执行具有用于访问可信域中的其它计算系统和数据的全部功能性的操作系统。这样的操作系统可以包括加密协议、加密密钥、存储的用户名和密码、网络地址等。此外，当在可信域101中时，也可以允许计算设备110获得并保存存储在计算设备110的本地存储器设备上的任何数据或文档的本地副本。例如，可以允许员工创建存储在其公司发放的膝上型计算机上的机密文档或电子邮件的本地副本。

然而，在从可信域101到不可信域103的域改变120期间或预期有从可信域101到不可信域103的域改变120的情况下，本公开内容的实现方式可以改变计算设备110的操作参数及计算设备110上的数据。在一些实现方式中，对操作参数和数据的改变可以特定于预期的操作条件或不可信域103的威胁等级。在各种示例实现方式中，对操作参数和数据的改变被具体地称为操作系统和相关联数据的改变。

例如，如果用户指定计算设备110将做出从可信企业网络环境到用户的家庭无线网络的域改变120，那么计算设备110可以安装完全新的操作系统并且限制可以保留在计算设备110上的数据类型。这样的操作系统可以包括用于使用vpn和用于调节允许保留在计算设备110上的数据的安全协议来连接到企业网络的功能性。当计算设备110处于企业位置的相同地理区域中(例如，处于相同的大都市区域、省、州等中)时，要安装的操作系统可以与允许驻留在计算设备110上的数据分类相关联。在类似的实现方式中，如果用户指示去到具有高度可疑的物理和网络安全性的位置的行程(例如，飞往另一国家或连接到竞争者的内部网络)，那么计算设备110可以安装具有增强的安全协议的操作系统并且更严格地限制要保留在存储器中的数据类型，以避免潜在的信息泄露。

安装在计算设备110上的操作参数(例如，操作系统及相关联的安全措施、联网能力、加密功能性等)和数据的客户化可以是基于与计算设备110相关联的用户的证书(例如，安全许可、工作职能、先前的安全实践等)。如本文中所描述的，安装或维持在计算设备110上的操作参数和数据的特定集合也可以是基于将在其中使用计算设备110的不可信域103的预期特性或条件。这样的客户化也可以是基于可适用于特定组、组织或实体中的所有用户的一般安全策略，或是基于个别用户的身份或工作职能。为了例示本公开内容的各个方面，下面参考附图描述几个具体示例实现方式。

如图1所示，示例计算设备110可以包括处理器(未示出)和一个或多个存储器设备113和115。在一些实现方式中，存储器设备113和115可以包括非暂时性计算机可读存储介质上的一个或多个分区。此外，存储器设备113和115可以包括物理硬盘驱动器、固态驱动器(ssd)或者易失性或非易失性计算机可读介质的任何其它组合。因此，计算设备110可以包括可以彼此隔离的多个存储器设备。

在一些实现方式中，可以将存储器设备113实现为硬盘驱动器或ssd上的特定分区，而可以将存储器设备115实现为在相同硬盘驱动器或ssd上的另一分区。在一些实现方式中，一个分区可以是隐藏或非活动分区，而另一分区可以是活动分区。如此，一个操作系统(例如，os1114)及数据集可以作为计算机可执行/可读代码被安装在存储器设备113(例如，活动分区)上，而另一操作系统(例如，os2116)及数据集可以作为计算机可执行/可读代码安装在存储器设备115(例如，隐藏分区)上。如此，当从os1114转换到os2116时，可以将备用os2116从隐藏分区拷贝到活动分区。

本文中所描述的计算设备110的功能性可以被实现为硬件和可执行代码的任何组合，或者使用专用集成电路(asic)来实现。例如，可以将本文中所描述的计算设备110的功能性实现为包括当由处理器执行时引起处理器执行计算设备110的各种操作的指令的可执行代码。

如所描述的，当由计算设备110的处理器执行或访问时，os1114及其在存储器设备113上的关联数据可以与os2116及其在存储器设备115上的关联数据隔离开。因此，当计算设备110处于可信域101中时，它可以执行os1114并访问其存储在存储器设备113上的关联数据。然后，当计算设备被移动到或预期移动到不可信域103时(例如，在域改变120之前、期间或之后)，计算设备110可以删除os1114并从存储器设备115执行单独且隔离的os2116并且访问其相关联的数据集。然后，计算设备110可以返回到可信域101(例如，域改变125)，并且重新安装原始os1114，并且可以从备份镜像重新安装其相关联的数据集。在一些实现方式中，当返回到可信域101时，计算设备110可以从存储器设备115中删除os2116及其相关联的数据。

os2116的删除可以保护可信域101中的计算设备110和其它计算系统免受来自可能在不可信域103中时已经潜入计算设备110的任何恶意软件的潜在攻击。在相关实现方式中，由计算设备110的用户当在不可信域103中时生成的任何用户级数据(例如，文档、电子邮件、应用程序等)或者可以被完全删除，或者可以在重新安装在计算设备110上之前被针对潜在的威胁进行封锁(quarantine)和扫描。

在本公开内容的实现方式中，os1114与os2116之间的切换可以是对用户几乎没有中断的无缝操作。这样的实现方式包括在计算设备110上执行的管理程序111的实例。可以将管理程序111的功能性实现为硬件、计算机可执行代码的任何组合和/或专用集成电路(asic)。在一个示例中，管理程序111可以包括用以管理执行对应操作系统的一个或多个虚拟计算系统的功能性。可以使用计算设备110中的处理器和存储器来实例化管理程序111及其管理的任何虚拟计算系统。

在一个实现方式中，管理程序111可以管理将计算设备110的操作从一个操作系统(例如，供可信域101中使用的os1114)改变到另一操作系统(例如，供不可信域103中使用的os2116)的转换。从一个操作系统到另一个操作系统的转换可以通过向管理程序111指示计算设备将从一个域移动到另一个域(例如，从可信域101移动到不可信域103/从不可信域103移动到可信域101)来触发。在一些实现方式中，响应于用户输入，可以在本地生成该触发。在其它实现方式中，响应于由远程计算机系统(例如，在其上托管用户接口网站的服务器计算机)接收的用户输入，可以远程地生成该触发。

图2描绘出用于管理操作系统之间的切换的示例系统200。系统200可以包括与操作系统镜像管理器210通信的计算设备110。操作系统镜像管理器210可以包括用于管理和/或存储可以安装在计算设备110上的各种操作系统(osx118)的功能性。在一个示例中，在计算设备110上实例化的管理程序111可以经由可信网络205和对应的网络连接203和207从操作系统镜像管理器210接收指令和数据。例如，操作系统镜像管理器210可以向计算设备110发送触发信号，以发起和管理从一个操作系统到另一操作系统的转换。

在一些实现方式中，触发信号可以包括对应于计算设备110的操作应当被转换到的特定操作系统的数据或计算设备110的操作应当被转换到的特定操作系统的指示。例如，触发信号可以包括计算设备110在不可信域103中操作时可以使用的特定操作系统的镜像。类似地，触发信号可以包括计算系统110在返回到可信域101时可以用其来恢复正常操作的原始操作系统的备份镜像。

可以在操作系统镜像管理器210中存储和/或管理包括与计算设备110可使用的操作系统相对应的可执行代码和/或机器可读信息的数据。例如，操作系统镜像管理器210可以包括操作系统库211，用以存储用于特定计算设备110的操作系统osx118的备份镜像。操作系统库211也可以存储计算设备110在具体域中操作时可以使用的操作系统的镜像。在这样的实现方式中，可以将操作系统的镜像中的每一个与具体的使用场景相关联。例如，可以将存储在操作系统库211中的操作系统的镜像与用户、域、安全级别、工作职能、计算设备类型、项目、合作协议、合同等的具体分类或标识符相关联。因此，要安装在计算设备110上的操作系统可以是基于与具体使用场景相关联的分类或标识符。

例如，存储在操作系统库211中的操作系统镜像可以与包括高级企业主管在出差时将膝上型计算机带到外国来访问潜在商业伙伴的设施的场景相关联。这样的操作系统可以包括增强的安全协议，其限制或禁止膝上型计算机对被分类为敏感或机密以及拒绝所有传入的网络通信的公司文档的访问以防止基于网络的攻击。虽然这样的操作系统在旅行时可能具有实用性，但是当主管正在企业网络的可信域101内工作时，增强的安全协议可能是过度的或者妨碍生产力。因此，当膝上型计算机返回到企业网络环境时，操作系统镜像管理器210可以发送用于计算设备恢复旨在在可信域101内使用的osx118并删除用户在旅行时生成的操作系统和/或文档级数据的触发命令。

响应于触发信号，管理程序111和/或操作系统镜像代理117可以执行独立或相互关联的操作。例如，管理程序111和/或操作系统镜像代理117可以创建当前操作计算设备110的目前操作系统的备份镜像，将备份镜像发送到操作系统镜像管理器210，基于从操作系统镜像管理器210接收的镜像实例化执行新的操作系统的虚拟机，删除目前的操作系统，以及将计算设备110的操作转换到新的操作系统。参考图3和图4所示的具体示例实现方式，详细地描述了目前操作系统到新操作系统之间的转换以及回到目前操作系统的恢复的各个方面。虽然在图2中将操作系统镜像代理117描绘为独立的功能性框，但是在各种实现方式中，本文中所描述的操作系统镜像代理117的功能性可以被包括在操作系统(诸如osx118)或在计算设备110上实例化的管理程序111中。

在各种实现方式中，计算设备110可以包括使用可信网络205与操作系统镜像管理器210通信的通信和/或联网能力。在这样的实现方式中，可以通过对应的网络连接203将计算设备110连接到可信网络205。网络连接203可以包括任何有线或无线网络通信协议和/或介质。类似地，可以通过对应的网络连接207将操作系统镜像管理器210连接到可信网络。像网络连接203一样，网络连接207可以包括任何有线或无线网络通信协议和/或介质。因此，网络连接203和207以及可信网络205可以实现各种安全和加密协议，以防护并保护计算设备110与操作系统镜像管理器210之间的通信信号交换。

虽然图2所图示的示例描绘出计算设备110、操作系统管理器210通过可信网络205进行通信，但是本公开内容的其它示例实现方式可以包括通过不可信网络215的通信。为了防护计算设备110与操作系统镜像管理器210之间的通信，可以使用各种端点型安全协议，诸如虚拟专用网络、公共密钥基础设施、加密密钥协议等。因此，计算设备110和操作系统管理器210可以包括用于通过可信网络205和/或不可信网络215经由对应的网络连接203和207与彼此安全地通信的功能性。

图3描绘出用于管理计算设备110上的操作系统之间的转换的示例系统200中的示例数据流300。一个操作系统到另一操作系统之间的转换可以开始于操作系统镜像管理器210，其在参考标记301处可以接收备份触发信号。如图2所描绘的，可以在远离计算设备110的计算机系统上对操作系统镜像管理器210进行实例化。例如，可以在连接到可信网络205的服务器计算机上托管操作系统镜像管理器210。如此，可以将操作系统镜像管理器210实现为可执行代码，其包括当由处理器执行时引起所述处理器具有本文中所描述的操作系统镜像管理器210的功能性的指令。因此，可以由用户来发起由操作系统镜像管理器210在参考标记301处接收的备份触发信号。

在一些实现方式中，用户可以通过访问连接到操作系统镜像管理器210或与其相关联的网站来发起参考标记301处的备份触发信号。在这样的实现方式中，操作系统镜像管理器210可以包括用于提供网站或其它远程可访问的用户接口(诸如在配套设备(例如，与膝上型计算机配套的智能手机)上执行的应用程序或“应用(app)”)的功能性。

在其它实现方式中，用户可以使用在计算设备110上实例化的操作系统镜像代理117的功能性来发起参考标记301处的备份触发。在这样的实施例中，操作系统镜像代理117可以通过可信网络205发送参考标记301处的备份触发消息。

在各种实现方式中，操作系统镜像代理117和/或操作系统镜像管理器210可以提供用于从在操作系统库2111中可用的多个操作系统中选择操作系统以安装在计算设备110上的控制。例如，可以向用户呈现适合于在不可信域103中使用的操作系统及相关联的数据级配置的集合。呈现给用户的操作系统的集合可以是基于用户的证书、工作职能、许可级别以及计算设备类型和能力。

此外，操作系统镜像代理117和/或操作系统镜像管理器210可以包括用于发起并执行当前在计算设备110上运行的操作系统(例如，osx118)的备份的功能性。因此，在图3所描绘的示例实现方式中，操作系统镜像管理器210可以在参考标记303处生成并向在计算设备110上实例化的管理程序111发送操作系统快照命令。响应于在参考标记303处的操作系统快照命令，管理程序111可以在参考标记305处把操作系统快照命令发给操作系统镜像代理117。

响应于在参考标记305处的操作系统快照命令，操作系统镜像代理117可以在参考标记307处生成并保存操作系统快照。在参考标记307处生成并保存操作系统快照可以包括生成当前在计算设备110上运行的操作系统的当前状态的镜像。在参考标记307处的操作系统快照还可以包括在快照时存储在计算设备110上的任何文档级或用户级数据的备份版本。例如，在参考标记307处的操作系统快照还可以包括文字处理文档、电子表格、演示/幻灯片、数字图像、电子邮件等的备份副本。

在参考标记307处保存操作系统快照可以包括保存镜像的本地副本和/或将镜像的副本传送到在远程服务器计算机上实例化的操作系统镜像管理器210。因此，操作系统镜像管理器210可以将目前操作系统的镜像保存在操作系统库211中，目前操作系统的镜像可以在那里通过时间戳或创建日期来进行组织。也可以将操作系统库211中的操作系统的每个镜像与对应于用户和/或计算设备110的标识符相关联。

一旦创建了操作系统快照，操作系统镜像管理器210就可以在参考标记311处接收重新镜像触发信号。可以响应于通过计算设备110的操作系统镜像代理117或者通过连接到操作系统镜像管理器210的网站或其它控制机制接收到的用户输入来在参考标记311处生成重新镜像触发信号，如上文针对参考标记301处的备份触发信号所描述的那样。因此，操作系统镜像代理117或与操作系统镜像管理器210相关联的网站可以包括用于响应于指示域改变120或125的用户输入来生成备份触发信号301和/或在参考标记311处生成重新镜像触发信号的功能性。

响应于在参考标记311处的重新镜像触发信号，操作系统镜像管理器210可以在参考标记312处生成重新镜像命令信号并将其发送到管理程序111。响应于在参考标记312处的重新镜像命令，管理程序111可以发起多个并行操作。

在参考标记313处，管理程序111可以作为在计算设备110上实例化的写时拷贝(cow)虚拟计算系统或虚拟机(vm)来引导备用操作系统。例如，管理程序111可以实例化执行旨在在不可信域103中使用的os2116的cowvm。当新实例化的cowvm在参考标记313处执行备用操作系统时，在参考标记314处，管理程序111可以将备用操作系统安装在存储器设备上。安装备用操作可以包括对在其上存储目前操作系统的位置(例如，分区)进行重写。在这样的实现方式中，目前操作系统的删除是隐含的，并且如此，与目前操作系统相关联的残留数据可以经历重写过程之后还存在(例如，如果与备用操作系统相关联的数据量小于或少于与目前操作系统相关联的数据量的话)。在一些其它实现方式中，在参考标记314处的目前操作系统的删除可以是显式删除步骤，或者包括重新格式化存储器设备中的关联位置(例如，分区)。在这样的实现方式中，可以在安装备用操作系统之前删除目前操作系统。因此，删除可以移除可执行代码以及与旨在在可信域101中使用的目前操作系统(诸如os1114)相关联的任何数据。这样的实现方式在安全关键的用例中是有用的。

在一些实现方式中，可以将备用操作系统被安装于其上的存储器设备与目前操作系统被安装于其上的存储器设备隔离开。例如，可以将备用操作系统安装在硬盘驱动器的分区(例如，存储器设备115)上，该分区与从其执行目前操作系统的硬盘驱动器的分区(例如，存储器设备113)分离。如此，备用操作系统的安装和目前操作系统的显式删除可以是两个不同的且可能并发的操作。在与从其执行目前操作系统的存储器设备隔离的存储器设备上安装备用操作系统可以防止来自可能的恶意软件威胁的交叉污染。

当在参考标记314处的备用操作系统的安装完成时，在参考标记317处，管理程序111可以引起计算设备110切换到从所述存储器设备执行的备用操作系统或恢复对所述备用操作系统的使用。在一些实现方式中，在参考标记317处切换到备用操作系统可以包括暂停执行备用操作系统的cowvm的实例。可以在参考标记317处将由在cowvm中执行的备用操作系统引起的对数据或备用操作系统的任何改变都合并到从存储器设备执行的备用操作系统中。从用户的角度来看，使用作为cowvm的实例执行的备用操作系统到从存储器设备执行的备用操作系统之间的切换是无缝的。在一些实现方式中，备用操作系统的实例之间的切换可以在不重启计算机的情况下发生。即，根据本公开内容的实现方式，管理程序111可以在不重启计算设备的情况下将由备用操作系统的cowvm版本所做的任何改变合并到存储在存储器设备上的备用操作系统的副本中。

因为可以并行地执行参考标记313和314处的操作，所以从目前操作系统到备用操作系统的转换可以在对用户几乎没有中断的情况下发生。在示例300的数据流完成的情况下，计算设备110已准备好在不可信域103中使用。使用执行备用操作系统的计算设备103可以导致文档级数据被存储到计算设备110的存储器设备。可以将这样的文档级数据存储在备用操作系统被安装于其中的相同的存储器设备上。

在参考标记318处，管理程序111可以生成重新镜像确认消息并将其发送回操作系统镜像管理器210，以指示备用操作系统的安装成功完成。

一旦用户结束了在不可信域103中使用计算设备110，用户就可以发起返回到由计算设备110在转换到供在不可信域103中使用的备用操作系统之前使用的原始操作系统的转换。图4图示出用于管理从先前安装的操作系统的备份镜像恢复操作系统的示例数据流400。在参考标记411处，操作系统管理器210可以接收恢复触发命令。可以响应于由操作系统镜像代理117或远程计算系统接收到的用户输入来发起参考标记411处的恢复触发命令。在一些实现方式中，可以响应于通过与操作系统镜像管理器210相关联的网站接收到的用户输入来生成在参考标记411处的恢复触发命令。

响应于在参考标记411处的恢复触发命令，操作系统镜像管理器210可以发起几个并行操作。例如，操作系统镜像管理器可以在参考标记412处生成对审计日志的请求并将其发送到计算设备110上的管理程序111。响应于对审计日志的请求，在参考标记413处，管理程序111可以生成审计日志数据并将其发送回操作系统镜像管理器210。审计日志可以包括关于当计算设备在不可信域103中操作时对固件或软件做出的任何改变的信息。例如，审计日志可以包括管理程序安全引导操作的bios日志或对计算设备110的固件所做的任何改变。在参考标记413处的审计日志可以用于分析计算设备110当在不可信域103中操作时所经历的任何攻击。

在参考标记414处，操作系统镜像管理器210可以生成对当前在计算设备110上运行的操作系统进行镜像的请求。响应于在参考标记414处对操作系统进行镜像的请求，在参考标记415处，管理程序可以生成操作系统的快照或备份镜像。可以将参考标记415处的操作系统的镜像传送回操作系统镜像管理器210。操作系统镜像管理器210可以封锁参考标记415处的操作系统的备份镜像以供稍后分析。

在参考标记416处，操作系统镜像管理器210可以生成对用户数据的请求并将其发送到管理程序111。在参考标记416处的对用户数据的请求可以包括要上传到操作系统镜像管理器210或其它封锁系统的所有用户级或文档级数据的指示。例如，在参考标记416处的用户数据请求可以指示由用户当在不可信域103中操作计算设备110时生成的所有数据被压缩、加密和/或上传到操作系统镜像管理器210。响应于在参考标记416处对用户数据的请求，在参考标记417处，管理程序111可以收集所有请求的用户级数据并将其传送回操作系统镜像管理器210。

操作系统镜像管理器210可以组织参考标记416处的用户级数据并将其置于封锁中。封锁中的用户级数据可以被擦除潜在的恶意软件，并稍后被恢复到计算设备110。

当操作系统镜像管理器110接收到了参考标记413、415和417处的审计日志、操作系统镜像和用户数据时，在参考标记418处，操作系统镜像管理器210可以生成操作系统恢复命令并将其传送到管理程序111。响应于参考标记418处的操作系统恢复命令，在参考标记419处，管理程序111可以从作为cowvm的备份设备切换到原始操作系统(例如，在转换到要在不可信域103中使用的备用操作系统之前计算设备110所使用的操作系统)。如本文中所使用的，术语“cow虚拟机”是指使用以下策略的计算系统：所述策略要求每当对诸如操作系统的状态或用户级数据之类的共享信息做出改变时，都要创建单独(私有)的信息副本。在本公开内容的实现方式中，因此可以记录由cow虚拟机所做的任何改变，并且使用所述改变在原始操作系统或备用操作系统一被执行或从计算设备110中的存储器设备恢复时就更新所述原始操作系统或备用操作系统。如此，从用户的角度来看，从作为cowvm执行的原始操作系统到从存储器设备执行的原始操作系统的切换可以是无缝的，因为不需要重启计算设备。

在本公开内容的实现方式中，管理程序111可以从存储在对于计算设备110是本地的存储器设备上的备份镜像或从耦合到操作系统镜像管理器210的远程操作系统库211中检索原始操作系统。因此，当管理程序111作为cow虚拟机引导原始操作系统时，其可以耦合到包含原始操作系统的备份镜像的备份介质。

与作为cow虚拟机引导原始操作系统并行地，在参考标记420处，管理程序111可以从计算设备110中删除目前操作系统(例如，旨在在不可信域中使用的备用操作系统)。在一些实现方式中，删除目前操作系统可以包括重新格式化正从其执行备用操作系统的分区或其它存储器设备(例如，存储器设备115)。删除目前操作系统还可以包括将原始操作系统立即安装到计算设备110中的分区或其它存储器设备。

在一些实现方式中，可以将原始操作系统安装到与最近从其删除目前操作系统的相同分区。在其它实现方式中，可以将原始操作系统安装在与先前从其执行目前操作系统的分区不同的单独和/或隔离的分区上。

在参考标记421处，管理程序111可以将作为cow虚拟机引导原始操作系统时由所述原始操作系统所做的所有改变写入到安装在计算设备110中的原始操作系统的副本。然后，可以使用来自安装分区或存储器设备的原始操作系统引导计算设备110。当使用参考标记421处已安装的原始操作系统成功地引导了计算设备110时，在参考标记422处，计算设备110可以生成操作系统恢复确认消息并将其发送回操作系统镜像管理器210，以指示完成了恢复。

图5描绘出用于管理将计算设备110的操作从一个操作系统转换到另一个操作系统的示例方法500的流程图。如本文中所描述的，从一个操作系统到另一个操作系统的转换可以包括将旨在在可信域101中使用的操作系统改变为旨在在不可信域103中使用的操作系统，并且然后，恢复回旨在在可信域101中使用的操作系统。因此，参考图5描述的操作可以应用于安装备用操作系统来替换原始操作系统或者将原始操作系统恢复到计算设备110。

如所示，方法500可以在框510处开始，其中计算设备110可以生成目前操作系统的备份镜像。目前操作系统的备份镜像可以包括存储在计算设备110上的当前操作参数及关联数据。在一个示例实现方式中，计算设备110可以将目前操作系统的备份镜像及关联数据保存在诸如光学驱动器、usb硬盘驱动器、拇指驱动器、磁带驱动器等的本地存储设备上。在其它实现方式中，计算设备可以将目前操作系统的备份镜像及关联数据保存在诸如在其上实例化操作系统镜像管理器210的服务器计算机的远程存储设备上。

在框520处，计算设备110可以作为cow虚拟机引导备用操作系统。如本文中所描述的，备用操作系统可以包括操作参数，诸如安全协议、联网能力、病毒保护功能性、对用户级数据的限制等。备用操作系统的具体操作参数和用户级数据可以是基于计算设备110预期在其中进行操作的特定域的条件。

在框530处，计算设备110可以从存储器设备中删除目前操作系统。在本文中所描述的一些实现方式中，当由通过管理程序111在计算设备110上执行的虚拟机上实例化的备用操作系统操作计算设备110的同时发生目前操作系统的删除。删除目前操作系统还可以包括删除与目前操作系统相关联的存储在计算设备110上的任何用户级数据。

在框540处，计算设备110可以将备用操作系统拷贝到本地存储器设备或其上的分区。当将备用操作系统安装在本地存储器设备上时，计算设备110可以从本地存储器设备引导备用操作系统。然后，在框550处，可以将实例化为cow虚拟机的备用操作系统所做的任何改变作为改变合并到安装在本地存储器设备上的备用操作系统的版本中。可以在对用户几乎没有中断的情况下将计算设备110的操作从备用操作系统的cow虚拟机版本切换到从本地存储器设备执行的操作系统的版本。

这些和其它变化、修改、添加和改进可以落入(一个或多个)所附权利要求的范围内。如在本文中的描述中以及遍及以下权利要求所使用的，除非上下文另有明确规定，否则“一”、“一个”和“该”包括复数引用。此外，如在本文中的描述中以及遍及以下权利要求所使用的，除非上下文另有明确规定，否则“在......中”的含义包括“在......中”和“在......上”。本说明书(包括任何所附权利要求、摘要和附图)中公开的所有特征和/或这样公开的任何方法或过程的所有元素都可以被组合在任何组合中，除了其中这样的特征和/或元素中的至少一些互斥的组合之外。