式计算设备。系统的组件可由任何形式或者介质的数字 数据通信,例如,通信网络来互连。通信网络的示例包括局域网(LAN)和广域网(WAN),例 如,互联网或者无线LAN或者电信网络。
[0103] 计算系统可包括客户端和服务器。客户端和服务器一般相互远离并且通常通过通 信网络交互。客户端和服务器的关系借助于在各个计算机上运行且相互具有客户端-服务 器关系的计算机程序而产生。
【主权项】
1. 一种用于使得客户端设备(200)能够访问远程桌面的计算机实现的方法(2000),所 述远程桌面在从虚拟主机(301)上运行的一个或多个虚拟机引擎(302, 302a,302b)中选择 的远程虚拟机引擎(302)内实现,该方法包括: 从客户端设备(200)接收(2100)连接请求,其中所述连接请求指向建立客户端设备 (200)的代理客户端(202)与远程虚拟机引擎(302)之间的连接; 如果与连接请求相关联的授权数据符合预定义的访问数据结构和相应访问规则,则请 求(2300)远程虚拟机引擎(302)的目的地数据,所述目的地数据允许与虚拟机引擎(302) 进行交互; 接收(2400)目的地数据; 基于目的地数据向代理服务(102)发送(2500)会话请求以用于根据授权数据通过代 理服务(102)与远程虚拟机引擎(302)建立会话(1010); 从代理服务(102)接收代理连接数据,所述代理连接数据被配置为允许客户端设备经 由广域网(400)建立代理连接(1009);以及 发送(2700)代理连接数据到客户端设备(200)以使能客户端设备(200)的代理客 户端(202)通过广域网(400)建立客户端设备(200)与代理服务(102)之间的代理连接 (1009),从而通过与远程虚拟机引擎(302)的会话(1010)访问远程虚拟机引擎(302)。2. 如权利要求1所述的计算机实现的方法,其中,从代理服务(102)访问虚拟机经由管 理程序(303)发生,所述管理程序(303)在虚拟主机(301)上运行并且与虚拟机引擎(302) 相关联。3. 如权利要求1或2中所述的计算机实现的方法,还包括: 建立(2800)所述代理客户端与所述代理服务之间的代理连接(1009),其中所述代理 连接是安全连接并且所述代理服务连续监听标准端口。4. 如先前的权利要求中的任何一个所述的计算机实现的方法,还包括: 所述代理服务(102)从代理客户端(202)接收数据最优化指示符,所述数据最优化指 示符基于客户端设备(200)的技术约束;以及 所述代理服务(102)向客户端设备(200)上的代理客户端(202)推送用于代理连接 (1009)的最优化方法,所述最优化方法是从预定义的最优化协议集合中选择的,其中特定 最优化协议与所述数据最优化指示符相关联。5. 如先前的权利要求中的任何一个所述的计算机实现的方法,其中,所述代理连接通 过唯一标识符来标识。6. 如先前的权利要求中的任何一个所述的计算机实现的方法,还包括: 存储多个用户(U1,U2, "·,υη)的用户数据以及存储多个用户组的用户组数据,其中 用户组(UG1)具有多个用户的子集(U1,U2)并且与多个远程虚拟机引擎(302,302a,302b) 相关联;以及 将多个远程虚拟机映射到用户组专用虚拟局域网。7. 如权利要求6所述的计算机实现的方法,其中: 多个用户组按组层次布置,其中至少一个用户组是用户组(UG1)的父,并且所述多个 远程虚拟机引擎(302,302a,302b)到用户组(UG1)内的多个用户的映射在父用户组发生。8. 如先前的权利要求中的任何一个所述的计算机实现的方法,其中 所述预定义的访问数据结构和相应访问规则存储下列访问规则中的任何一者:至少部 分地允许或者拒绝显示器连接,允许或者拒绝键盘连接,允许或者拒绝鼠标连接,允许或者 拒绝文件传送,允许或者拒绝剪贴板,允许或者拒绝USB重定向,定义USB重定向设备类别 的黑名单和/或白名单,定义用于每个访问规则的访问时间,定义用于限制访问特定客户 端机器的客户端系统ID,以及定义用于限制客户端访问指定子网的网络黑名单/白名单; 以及 在建立所述代理连接时,仅使能被访问规则允许用于接收到的授权数据的连接协议。9. 一种具有指令的计算机程序产品,所述指令在被加载到计算机系统的存储器中以及 被计算机系统的至少一个处理器运行时运行根据先前权利要求中的任何一个所述的计算 机实现的方法。10. -种用于使得客户端设备(200)能够访问远程桌面的计算机系统(100),其被实现 为在从虚拟主机(301)上运行的一个或多个虚拟机引擎(302, 302a,302b)中选择的远程虚 拟机引擎(302)中运行的任何操作系统,所述计算机系统(100)包括: 连接管理组件(101),包括: 管理接口,用于从客户端设备(200)接收连接请求,其中所述连接请求指向建立客户 端设备(200)的代理客户端与远程虚拟机引擎(302)之间的连接; 访问策略组件(103),用于评价与连接请求相关联的授权数据与预定义的访问数据结 构和相应访问规则的符合;以及 数据处理组件(105),用于在符合的情况下请求远程虚拟机引擎(302)的目的地数据, 所述目的地数据允许与虚拟机引擎(302)进行交互; 其中,所述管理接口被配置为接收远程虚拟机引擎(302)的目的地数据,并且基于目 的地数据向代理服务(102)发送会话请求,并且发送代理连接数据到客户端设备的代理客 户端以使能客户端设备(200)通过广域网(400)建立到远程虚拟机引擎(302)的代理连 接; 以及 代理服务组件(102),包括: 代理接口,用于接收会话请求;以及 代理服务,被配置为响应于会话请求通过代理接口根据授权数据与远程虚拟机引擎 (302)建立会话,并且向管理接口发送代理连接数据,所述代理连接数据被配置为允许客户 端设备经由广域网(400)建立代理连接。11. 如权利要求10所述的计算机系统,其中,所述代理服务组件(102)被配置为经由管 理程序(303)与虚拟机进行通信,所述管理程序(303)是在虚拟主机(301)上运行且与虚 拟机引擎(302)相关联的。12. 如权利要求10或11所述的计算机系统,其中所述连接管理组件(101)还包括: 用户数据结构,用于存储多个用户(U1,U2,…,此)的用户数据和多个用户组的用户组 数据,其中用户组(UG1)具有多个用户的子集(Ul,U2)并且与多个远程虚拟机引擎(302, 302a,302b)相关联;以及 映射组件104,被配置为将多个远程虚拟机引擎(302,302a,302b)映射到用户组专用 虚拟局域网。13. 如权利要求12所述的计算机系统,其中: 多个用户组按组层次布置,其中至少一个用户组是用户组(UG1)的父,并且多个远程 虚拟机引擎(302, 302a,302b)到用户组(UG1)内的多个用户的映射在父用户组发生。14. 如权利要求13所述的计算机系统,其中: 用户组(UG1)的用户(U1)被允许控制父用户组的访问控制结构。15. 如权利要求13或者14所述的计算机系统,其中: 父用户组的用户被使能访问与子用户组(UG1)相关联的远程虚拟机引擎(302,302a, 302b)〇
【专利摘要】提供了用于使得客户端设备能够访问远程桌面的计算机实现方法、计算机程序产品和系统。该远程桌面在从虚拟主机上运行的一个或多个虚拟机引擎选择的远程虚拟机引擎(302)内实现。连接管理组件从客户端设备200接收连接请求,其中该连接请求指向建立客户端设备(200)与远程虚拟机引擎(302)之间的连接。如果与连接请求相关联的授权数据符合预定义的访问数据结构和相应访问规则,则连接管理组件请求远程虚拟机引擎(302)的目的地数据,并作为响应,接收目的地数据,该目的地数据允许与虚拟机引擎(302)进行交互。然后它基于目的地数据向代理服务(102)发送会话请求以用于根据授权数据通过代理服务(102)与远程虚拟机引擎(302)建立会话(1010)。其从代理服务(102)接收代理连接数据,该代理连接数据被配置为允许客户端设备经由广域网(400)建立代理连接。代理连接数据然后被发送给客户端设备(200)以使能客户端设备(200)通过广域网(400)建立客户端设备(200)与代理服务(102)之间的代理连接,从而通过与远程虚拟机引擎(302)的会话访问远程虚拟机引擎(302)。
【IPC分类】G06F9/44, G06F9/54
【公开号】CN105378659
【申请号】CN201480033770
【发明人】T.奥特, M.隆巴多
【申请人】托加里奥有限责任公司
【公开日】2016年3月2日
【申请日】2014年6月2日
【公告号】EP2813945A1, US20160099948, WO2014198567A1